[发明专利]安全启动方法及装置

说明书

本发明公开了一种安全启动方法及装置，包括：启动链中上级启动项读取其下级启动项的启动镜像；计算所述启动镜像的安全效验值；通过非授权读的方式读取存储在安全芯片中所述启动镜像对应的标准效验值；比对所述安全效验值和所述标准效验值，若所述安全效验值与所述标准效验值匹配，则启动所述下级启动项；否则，停止启动。通过该启动方式避免了现有技术中因使用解密封机制受到解密数据长度的限制而导致的启动效率低的技术问题。同时，本申请提出的安全启动方法中，在系统更新时只需将需要更新的启动项的标准效验值更新到安全芯片即可，并不会影响到其他不需要更新的启动项，简化了系统升级流程。

技术领域

本发明涉及安全技术领域，尤其涉及一种安全启动方法及装置。

背景技术

设备从加电到完全运行的过程称为启动，启动一般有两种启动方式，一种为可信启动，另一种为安全启动。可信启动是对当前需要运行的启动项进行度量后，无论其是否安全都继续运行该启动项，然后将对启动项的度量结果通知验证方，由验证方评估所运行设备的安全状态。安全启动指除核度量信任根(Core Root of trusted measurement，CRTM)之外，每次运行一个启动项之前，就对该启动项的安全性进行评估，只有在该启动项安全的情况下，才继续运行该启动项，否则，则拒绝运行并发出告警。

在2011年7月27日公开的公开号为102136044A的中国专利文献中公开了一种安全启动方法，其方案大致为：具有操作控制权的启动组件调用可信平台模块TPM中的解封装函数，所述解封装函数被调用以用于在所述具有操作控制权的启动组件运行时，获取当前所述具有操作控制权的启动组件所对应的平台配置寄存器PCR中的数值，在当前所述具有操作控制权的启动组件所对应的PCR中的数值与封装包中的PCR值匹配且封装包中具有用于解密下一个即将启动的加密组件的解密密钥时，向所述具有操作控制权的启动组件返回所述解密密钥；利用调用返回的解密密钥解密所述下一个即将启动的加密组件，并度量解密得到的启动组件，得到度量值，控制TPM将所述度量值与所述解密得到的启动组件所对应的PCR中的数值进行哈希运算，将哈希运算结果作为当前所述解密得到的启动组件所对应的PCR中的数值，将操作控制权移交给所述解密得到的启动组件，返回执行步骤A，直到设备的启动组件全部启动完成。

该方案的基本思想是利用安全芯片以及密封、解密封思想，对启动组件进行解密与镜像度量，并将度量结果扩展到安全芯片的PCR寄存器，这实质上是通过数字签名的方式来保证启动的安全。由于安全芯片的密封和解密封操作使用标准的非对称加密算法，该算法规定解密数据长度不应大于秘钥长度，所以每次能够解密的数据小于150个字节，因此该方法可以保证启动镜像的正确性，但是有严重的效率问题。同时，如果每个启动镜像的度量值扩展到不同索引的PCR寄存器，就限制了系统启动链中的启动镜像数目不能大于平台中PCR寄存器的个数；如果将启动镜像的度量值扩展到平台的同一个PCR寄存器，虽然系统启动链中的启动镜像的数目不受约束，但是，该方案在系统升级时却面临严重的限制：因为启动链中的某一个镜像的升级将影响到启动链后面的所有镜像，必须对此后的每个启动镜像进行重新度量和扩展的操作验证，这种方案会使系统的升级流程异常繁琐。

发明内容

本发明要解决的主要技术问题是，提供一种安全启动方法，用以解决现有技术中采用数字签名方式来启动时导致的启动效率低、系统升级流程复杂的技术问题。

为解决上述技术问题，本发明提供一种安全启动方法,其特征在于，包括：

启动链中上级启动项读取其下级启动项的启动镜像；

计算所述启动镜像的安全效验值；

通过非授权读的方式读取存储在安全芯片中所述启动镜像对应的标准效验值；

比对所述安全效验值和所述标准效验值，若所述安全效验值与所述标准效验值匹配，则启动所述下级启动项；否则，停止启动。

在本发明的一种实施例中，读取所述下级启动项的启动镜像包括：读取所述下级启动项的安装位置及大小。