[发明专利]一种安全启动方法和装置

权利要求书

1.一种安全启动方法，其特征在于，该方法包括：

当检测到网络设备的操作系统准备启动时，获取所述操作系统的度量配置文件的当前度量值；

判断所述度量配置文件的当前度量值与预先存储的所述度量配置文件的基准度量值是否一致；

若一致，控制所述操作系统正常启动。

2.根据权利要求1所述的方法，其特征在于，当确定所述度量配置文件的当前度量值与所述度量配置文件的基准度量值一致时，还包括：

获取所述度量配置文件中度量文件的当前度量值；

判断所述度量文件的当前度量值与预先存储的所述度量文件的基准度量值是否一致；

若一致，触发所述控制所述操作系统正常启动的步骤。

3.根据权利要求1所述的方法，其特征在于，当确定所述度量配置文件的当前度量值与所述度量配置文件的基准度量值一致时，还包括：

获取所述操作系统的内核的当前度量值；

判断所述内核的当前度量值与预先存储的所述内核的基准度量值是否一致；

若一致，触发所述控制所述操作系统正常启动的步骤。

4.根据权利要求1所述的方法，其特征在于，还包括：

在所述操作系统上电初始化后，获取所述网络设备的硬件信息的当前度量值，并将其保存至寄存装置中；

判断所述寄存装置的当前寄存值与基准寄存值是否一致；

若一致，获取与所述基准寄存值关联的密钥；

使用所述密钥解密所述操作系统的内核。

5.根据权利要求4所述的方法，其特征在于，还包括：

若所述寄存装置的当前寄存值与所述基准寄存值不一致，提示用户输入特权启动码；

判断接收的所述特权启动码与预先设定的特权启动码是否一致；

若一致，获取与所述特权启动码关联的密钥；

使用所述密钥解密所述操作系统的内核。

6.根据权利要求1所述的方法，其特征在于，还包括：

在部署操作系统度量策略过程中，将度量算法写入到存储空间中；

基于所述度量算法获取所述度量配置文件的基准度量值，将所述度量配置文件的基准度量值存储到存储空间中。

7.根据权利要求2所述的方法，其特征在于，还包括：

在部署操作系统完整性策略过程中，获取度量配置文件中度量文件的基准度量值，将所述度量文件的基准度量值保存到存储空间中。

8.根据权利要求3所述的方法，其特征在于，还包括:

在部署操作系统完整性策略过程中，获取操作系统的内核的基准度量值，将所述内核的基准度量值保存到存储空间中。

9.根据权利要求5所述的方法，其特征在于，还包括：

在部署硬件平台完整性策略过程中，创建密钥；

获取网络设备的硬件信息的基准度量值，并将其保存至寄存装置中；

建立所述密钥与所述寄存装置的基准寄存值以及所述特权启动码的关联关系；

使用所述密钥加密所述操作系统的内核。

10.一种安全启动装置，其特征在于，该方法包括：

第一获取单元，用于当检测到网络设备的操作系统准备启动时，获取所述操作系统的度量配置文件的当前度量值；

第一判断单元，用于判断所述度量配置文件的当前度量值与预先存储的所述度量配置文件的基准度量值是否一致；

第一控制单元，用于在确定所述度量配置文件的当前度量值与预先存储的所述度量配置文件的基准度量值一致时，控制所述操作系统正常启动。

11.根据权利要求10所述的装置，其特征在于，还包括：

第二获取单元，用于当确定所述度量配置文件的当前度量值与所述度量配置文件的基准度量值一致时，获取所述度量配置文件中度量文件的当前度量值；

第二判断单元，用于判断所述度量文件的当前度量值与预先存储的所述度量文件的基准度量值是否一致；

第一触发单元，用于当确定所述度量文件的当前度量值与预先存储的所述度量文件的基准度量值一致时，触发所述第一控制单元。