成功,则说明安全密码芯片本次接收到的基准值错误,主平台的度量基准值文件损坏,用安全数据管理区中备份的度量基准值文件替换主平台外存中的度量基准值文件即可完成修复;若再次度量失败,则说明该关键启动文件损坏,用安全数据管理区中的备份文件替换主平台外存中的关键启动文件即可完成修复。系统修复模式解决了由于度量失败所造成的系统无法启动问题。进入应用修复模式后,系统向用户报告程序启动失败即可。
[0036]本发明并不局限于上述【具体实施方式】,本领域技术人员还可据此做出多种变化,但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。
【主权项】
1.一种基于安全密码芯片的可信计算机系统,其特征在于:硬件组成包括主平台和安全密码芯片,安全密码芯片负责主平台的可信引导并为主平台提供度量服务,主平台负责日常处理工作;主平台包含主处理器、内存、外存、总线及外部设备,主处理器包含指令缓存单元、数据缓存单元、执行单元及二级缓存单元,拥有附加的被动工作状态并遵守启动约定,处于被动工作状态的主处理器接收来自安全密码芯片的推送数据并将其存入指令缓存单元,并接收来自安全密码芯片的唤醒信号,将自己切换到正常工作状态,进入正常工作状态后,主处理器遵守启动约定直接从指令缓存单元中取指执行;安全密码芯片包含可信度量单元、安全存储单元、推送单元、唤醒单元,可信度量单元用于度量输入数据并输出度量结果,安全存储单元用于封装主平台的可信度量核心根CRTM和引导程序,推送单元用于向主处理器推送CRTM,唤醒单元用于向主处理器发送唤醒信号,处于主动工作模式的安全密码芯片主动向主处理器推送CRTM并向主处理器发送唤醒信号,此后安全密码芯片进入被动工作模式,接收请求并为主处理器提供服务。2.根据权利要求1所述的基于安全密码芯片的可信计算机系统,其特征在于:主平台与安全密码芯片之间通过通信通道相互通信,通信通道包含专用通道、高速通道,其中,专用通道由安全密码芯片控制,用于向主处理器推送CRTM,高速通道由主处理器控制,用于主平台与安全密码芯片之间的大数据量通信。3.根据权利要求1所述的基于安全密码芯片的可信计算机系统,其特征在于:在初次使用之前需要对系统进行安装,安装所需要的系统镜像及安装工具由可信软件提供方提供,系统镜像中包含主平台的操作系统内核文件、度量基准值文件、安全度量策略文件、系统配置文件、应用程序文件、内核模块文件、共享库文件、脚本文件、数据文件,安装工具利用安全密码芯片对系统镜像进行可信度量并将通过度量的系统镜像安装在主平台的外存中。4.一种基于安全密码芯片的可信计算机系统的可信引导方法,具体包含如下步骤: 步骤1.可信计算机系统加电后,主处理器进入被动工作状态,等待被唤醒; 步骤2.安全密码芯片启动,进入主动工作模式,完成自身及通信通道的初始化后,将内置存储空间中的CRTM推送给主处理器; 步骤3.主处理器接收来自安全密码芯片的CRTM,将其存入指令缓存单元; 步骤4.安全密码芯片向主处理器发送唤醒信号,而后进入被动工作模式; 步骤5.主处理器被唤醒信号唤醒后,进入正常工作状态,执行指令缓存单元中的CRTM,初始化可信计算机系统的存储控制器和高速通道,将安全密码芯片转化成外部密码设备,通过高速通道向安全密码芯片发出读引导程序的请求; 步骤6.安全密码芯片响应读引导程序的请求,将引导程序发送给主处理器; 步骤7.主处理器将引导程序放入内存,执行引导程序,初始化主平台的外存,从外存中读取操作系统内核文件及其度量基准值,通过高速通道将它们发送给安全密码芯片,请求度量; 步骤8.安全密码芯片处理度量请求,度量操作系统内核,将度量结果发送给主处理器; 步骤9.如果度量失败,主处理器进入系统修复模式,否则,主处理器将操作系统内核放入内存,执行操作系统内核,完成主平台的初始化,请求安全密码芯片度量主平台的系统配置文件和安全度量策略文件; 步骤10.安全密码芯片处理度量请求,将度量结果发送给主处理器; 步骤11.如果度量失败,主处理器进入系统修复模式,否则,主处理器根据配置文件、用户请求和安全度量策略,请求安全密码芯片度量应用程序文件; 步骤12.安全密码芯片处理度量请求,将度量结果发送给主处理器; 步骤13.如果度量失败,主处理器进入应用修复模式,否则,主处理器加载并执行应用程序,使可信计算机系统进入正常工作状态。5.根据权利要求4所述的基于安全密码芯片的可信计算机系统的可信引导方法,其特征在于:引导程序按照预定的引导顺序,尝试从主平台的外存中读入操作系统内核和度量基准值文件,直到成功读入或尝试完所有的外存,其中,外存包括U盘、光盘、硬盘;如果尝试完所有外存都无法成功读入操作系统内核和度量基准值文件,主处理器进入系统修复模式。6.根据权利要求4~5任一项所述的基于安全密码芯片的可信计算机系统的可信引导方法,其特征在于:进入系统修复模式后,系统尝试从U盘或光盘中启动修复系统,从备份存储中恢复度量失败的文件;进入应用修复模式后,系统向用户报告程序启动失败。7.根据权利要求4所述的基于安全密码芯片的可信计算机系统的可信引导方法,其特征在于:安全度量策略为白名单策略,在白名单中列出的文件不需要度量;或为黑名单策略,在黑名单中列出的文件必须度量;主平台在使用任一文件之前都要查询安全度量策略,若安全度量策略要求度量文件,主平台必须对其进行可信度量;主平台拒绝使用度量失败的文件。8.根据权利要求4所述的基于安全密码芯片的可信计算机系统的可信引导方法,其特征在于:度量基准值文件包括度量对象的文件标识和度量对象的基准值,度量对象的基准值由可信软件提供方生成,是可信软件提供方使用自身的私钥为度量对象生成的数字签名;在系统运行过程中,基准值文件会随度量对象的改变随时更新;可信软件提供方的公钥已预先封装在安全密码芯片中。9.根据权利要求4所述的基于安全密码芯片的可信计算机系统的可信引导方法,其特征在于:主平台的度量工作由主处理器发起,由安全密码芯片完成,度量对象、度量基准值及度量结果经由高速通道传送,安全密码芯片处理度量请求具体包含如下步骤: 步骤(I).主处理器将度量对象及其度量基准值发送给安全密码芯片; 步骤(2).安全密码芯片计算度量对象的散列值,得到新算散列值; 步骤(3).安全密码芯片利用可信软件提供方的公钥对度量基准值进行解签,得到度量对象的基准散列值; 步骤(4).安全密码芯片比对度量对象的新算散列值和基准散列值,若两者相同,则度量成功,否则,度量失败,将度量结果返还给主处理器。
【专利摘要】本发明涉及一种基于安全密码芯片的可信计算机系统及其可信引导方法,该系统包含主平台和安全密码芯片,主平台包含主处理器、内存、外存、总线及外部设备,主处理器包含指令缓存单元、数据缓存单元、执行单元及二级缓存单元。本发明在系统开机时安全密码芯片先于主处理器运行,将CRTM推送到指令缓存单元并唤醒主处理器;主处理器从CRTM开始执行,利用安全密码芯片度量并加载引导程序、操作系统、应用程序等,建立可信链,安全密码芯片全程参与可信引导过程,无法绕过;CRTM驻留在安全密码芯片内部,在主处理器上运行的其它程序无法见到CRTM,更无法对其分析、篡改,更加安全,系统更加稳固。
【IPC分类】G06F21/57
【公开号】CN105205401
【申请号】CN201510634934
【发明人】郭玉东, 周少皇, 王立新, 董卫宇, 何红旗, 魏小峰, 林键
【申请人】中国人民解放军信息工程大学
【公开日】2015年12月30日
【申请日】2015年9月30日