[发明专利]一种在配电终端中建立可信环境的方法

权利要求书

1.一种在配电终端中建立可信环境的方法，其特征在于：所述方法包括以下步骤：

步骤1：所述配电终端从外部非易失存储器上载入安全启动模块；

步骤2：所述安全启动模块禁止所有中断，初始化寄存器和内存空间，对所述配电终端的状态做完整性度量；

步骤3：所述安全启动模块根据标志位判断是否需要对所述配电终端的操作系统进行升级，如果需要升级，进入升级流程完成操作系统的升级；如果不需要升级，则执行步骤4；

步骤4：安全启动模块计算引导程序和操作系统内核的完整性度量值；

步骤5：完整性验证成功后，配电终端控制权转交给引导程序，进入正常的配电终端引导过程。

2.根据权利要求1所述的在配电终端中建立可信环境的方法，其特征在于：所述步骤1包括以下步骤：

步骤1-1：可信芯片初始化，并使用所述芯片与配电终端之间的IO接口使配电终端进入外部Boot状态；

步骤1-2：重启配电终端，使其进入指定Boot状态；

步骤1-3：配电终端根据指定Boot状态，从外部非易失存储器上载入安全启动模块。

3.根据权利要求1所述的在配电终端中建立可信环境的方法，其特征在于：所述步骤2包括以下步骤：

步骤2-1：调用可信芯片的完整性扩展指令ETM_Extend，将完整性度量后的结果扩展到可信芯片中，以保证完整性度量值的安全；

步骤2-2：调用可信芯片的完整性验证指令ETM_PCR_Validate，判断目前配电终端的状态是否可信；

步骤2-3：可信芯片根据验证结果决定是否进入下一状态，如果完整性验证失败，则可信芯片强制配电终端重启。

4.根据权利要求1所述的在配电终端中建立可信环境的方法，其特征在于：所述步骤3包括以下步骤：

步骤3-1：如果需要对所述配电终端进行升级，通过网络接收数据，升级服务器将升级后的操作系统镜像连同可信芯片需要更新的完整性参考值同时发送给升级子模块；

步骤3-2：所述升级子模块通过解析数据包，对所述配电终端进行升级，同时调用可信芯片的完整性更新指令ETM_PCRRef_Put，更新可信芯片中存储的完整性参考值。

5.根据权利要求1所述的在配电终端中建立可信环境的方法，其特征在于：所述步骤4包括以下步骤：

步骤4-1：从外部非易失存储器上载入引导程序和操作系统内核镜像；

步骤4-2：调用可信芯片的完整性扩展指令ETM_Extend，将完整性度量后的结果扩展到可信芯片中，以保证完整性度量值的安全；

步骤4-3：调用芯片完整性验证指令ETM_PCR_Validate，判断目前引导程序和操作系统各自的状态是否都可信；

步骤4-4：可信芯片根据验证结果决定是否进入下一状态，如果引导程序或操作系统的完整性验证失败，则可信芯片强制配电终端重启。