[发明专利]一种控制可信启动的方法和可信平台控制模块

说明书

本申请适用于计算机安全技术领域，提供了一种控制可信启动的方法、可信平台控制模块及计算机可读存储介质，所述方法包括：通过基于第一预设策略进行可信度自检操作，得到自检结果；若自检结果为通过，则对第一星型信任链中的硬件模块和软件模块进行可信度量，实现可信启动控制；其中，第一星型信任链是以可信平台控制模块为信任链的中心，以硬件模块和软件模块为信任链的度量节点分布构建得到。上述控制可信启动的方法中构建的信任链都是以可信平台控制模块为起点，直接传递至硬件模块和软件模块，不会因为逐级传递造成信任损失的现象，确保计算机系统进行可信启动，提高了计算机系统的安全性。

技术领域

本申请属于计算机安全技术领域，尤其涉及一种控制可信启动的方法、可信平台控制模块及计算机可读存储介质。

背景技术

目前，信息技术已经成为了人们生活中不可分割的一部分，人们每天都通过计算机和互联网获取信息、进行各种活动。但计算机与网络空间并不总是安全的，为了使人们能够正常地通过计算机在互联网上进行各种活动，建立一套安全、可靠的防御体系来确保计算机能够按照预期稳定地提供服务是当务之急。可信计算正是为了解决计算机和网络空间的不安全，从而在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，从根本上提高安全性的技术方法。

现有方案中，以可信平台控制模块(Trusted Platform Control Module，TPCM)方式实现的可信计算平台，基于可信平台控制模块对基本输入输出系统(Basic InputOutput System，BIOS)和操作系统(Operating System，OS)等底层软件及基板管理控制器(Baseboard Management Controller，BMC)构建了信任链，实现了对计算机系统的可信启动，即检测了BIOS和操作系统等的完整性和正确性，确定计算机系统的硬件配置和操作系统没有被篡改过，从而在一定程度上提高了计算机系统的安全性。但是，由于该信任链为链式信任链，且该信任链的传递方式是将上一阶段度量通过之后的信任链传递给下一阶段，也就是说，将信任链进行逐级传递，因此，该方案在信任链逐级传递过程中容易造成信任损失的现象，使计算机系统不能进行可信启动，进而降低了计算机系统的安全性。

发明内容

本申请实施例提供了一种控制可信启动的方法、可信平台控制模块及计算机可读存储介质，可以解决现有方案中信任链在逐级传递过程中容易造成信任损失的现象，使计算机系统不能进行可信启动，进而降低了计算机系统的安全性的问题。

第一方面，本申请实施例提供了一种控制可信启动的方法，包括：

基于第一预设策略进行可信度自检操作，得到自检结果；

若所述自检结果为通过，则对第一星型信任链中的硬件模块和软件模块进行可信度量，实现可信启动控制；其中，所述第一星型信任链是以所述可信平台控制模块为信任链的中心，以所述硬件模块和所述软件模块为信任链的度量节点分布构建得到。

进一步的，所述对第一星型信任链中的硬件模块和软件模块进行可信度量，实现可信启动控制，包括：

对所述硬件模块进行第一可信度量，得到第一可信度量结果；

若所述第一可信度量结果为度量通过，则对所述软件模块进行第二可信度量，得到第二可信度量结果；

若所述第二可信度量结果为度量通过，则实现可信启动控制。

进一步的，所述硬件模块包括基板管理控制器，所述对所述硬件模块进行第一可信度量，得到第一可信度量结果，包括：

获取所述基板管理控制器的第一度量信息；所述第一度量信息包括预设程序的代码信息和配置信息；

基于预设校验算法计算所述第一度量信息的度量值；

根据所述第一度量信息的度量值和预先存储的第一基准值确定所述第一可信度量结果。