专利名称:一种可信计算的度量方法及装置、可信计算终端的制作方法
技术领域:
本发明涉及信息安全领域,尤其涉及一种可信计算的度量方法及装置、可信计算终端 。
背景技术:
TPM(Trusted Platform Module,可信平台模块)芯片是一个含有密码运算部件和存储部件的小型片上系统。TPM芯片由中央处理器CPU、存储器、输入输出I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成。TPM芯片能够保护BIOS (Basic InputOutput System,基本输入输出系统)、芯片组固件以及操作系统等不被恶意篡改,提高系统安全性。TCM (Trusted Cryptography Module,可信密码模块)芯片是由中国国家密码管理局联合国内IT企业推出的基于中国标准的安全芯片。TCM芯片包括CPU、1/0、算法引擎以及存储器等物理模块。TCM芯片主要是通过安全协议为平台提供密码服务、平台度量等基础服务,以保护平台的BIOS、OS (操作系统)等基础软件和固件,防止恶意篡改。基于TPM芯片的信任链建立使用的度量方法采用的是长度为160bits (比特)的消息摘要算法,基于TCM芯片的信任链建立使用的度量方法采用的是长度为256bits的消息摘要算法,此两种度量方法的不同导致了 OS及平台芯片组无法采用统一的方法建立平台信任链。
发明内容
本发明所要解决的技术问题是提供一种可信计算的度量方法及装置、可信计算终端,使得对于不同度量方法都能够使用统一方法建立平台信任链,提高信计算度量的兼容性。为解决上述技术问题,本发明提出了一种可信计算的度量方法,包括
对接收的数据进行初步度量运算,产生初步度量结果;
根据预设的补偿算法对所述初步度量结果进行处理,生成设定长度的最终度量结果。进一步地,上述方法还可具有以下特点,根据预设的补偿算法对所述初步度量结果进行处理,生成设定长度的最终度量结果具体为
在所述初步度量结果的补偿数据位上添加数据信息,生成设定长度的最终度量结果,所述补偿数据位的长度等于所述初步度量结果与所述最终度量结果的长度之差。进一步地,上述方法还可具有以下特点,对接收的数据进行初步度量运算,产生初步度里!结果具体为
对接收的数据进行可信密码模块TCM度量运算,产生初步度量结果。进一步地,上述方法还可具有以下特点,对接收的数据进行初步度量运算,产生初步度里!结果具体为
对接收的数据进行可信平台模块TPM度量运算,产生初步度量结果。
为解决上述技术问题,本发明还提出了一种可信计算的度量装置,包括
初步度量模块,用于对接收的数据进行初步度量运算,产生初步度量结果;
补偿模块,用于根据预设的补偿算法对所述初步度量结果进行处理,生成设定长度的最终度量结果。进一步地,上述装置还可具有以下特点,所述补偿模块包括第一补偿单元,用于在所述初步度量结果的补偿数据位上添加数据信息,生成设定长度的最终度量结果,所述补偿数据位的长度等于所述初步度量结果与所述最终度量结果的长度之差。进一步地,上述装置还可具有以下特点,所述初步度量模块为可信密码模块TCM,用于对接收的数据进行可信密码模块TCM度量运算,产生初步度量结果。进一步地,上述装置还可具有以下特点,所述初步度量模块为可信平台模块TPM,用于对接收的数据进行可信平台模块TPM度量运算,产生初步度量结果。为解决上述技术问题,本发明还提出了一种可信计算终端,包括前述任一项所述的可信计算的度量装置。进一步地,上述终端还可具有以下特点,所述可信计算终端为计算机或手机。本发明可信计算的度量方法及装置、可信计算终端,通过在度量过程中增加对度量结果进行数据补偿的方式,对现有的TPM芯片或者TCM芯片的度量结果进行二次补偿,以产生指定长度的度量结果,从而无论是基于TPM芯片还是TCM芯片,对于不同度量方法,平台芯片组、操作系统都能够使用统一方法建立平台信任链,从而提高了可信计算度量的兼容性。
图I为本发明实施例中可信计算的度量方法流程 图2为本发明实施例中可信计算的度量装置结构 图3为本发明实施例中可信计算终端的结构图。
具体实施例方式以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。图I为本发明实施例中可信计算的度量方法流程图。如图I所示,本实施例中,可信计算的度量方法流程包括如下步骤
步骤101,对接收的数据进行初步度量运算,产生初步度量结果;
这里的数据是指需要被度量的外部数据。需要说明的是,进行初步度量运算的模块(例如TCM或TPM)在进行度量运算之前应当进行初始化,然后才能接收需要被度量的外部数据,进而对接收的数据进行度量运算。初步度量运算可以是可信密码模块TCM度量运算,也可以是可信平台模块TPM度
量运算。步骤102,根据预设的补偿算法对初步度量结果进行处理,生成设定长度的最终度
量结果。这里,补偿算法可以根据具体需求而不同。一种简单的补偿算法是在初步度量结果的补偿数据位上添加数据信息,生成设定长度的最终度量结果。例如在初步度量结果的补偿数据位上直接补O。补偿数据位的长度等于初步度量结果与最终度量结果的长度之差。当然,也可以采用其他相对复杂的补偿算法以产生补偿数据。下面我们再通过一个具体实例,来进一步阐述如何实现本发明的可信计算的度量方法。假设要通过TPM芯片产出196bits的度量结果,则可通过如下步骤实现
步骤al,TPM芯片接收到初始化度量模块的命令后,初始化TPM芯片的度量模块;
步骤a2,TPM芯片接收需要被度量的外部数据;
步骤a3,TPM芯片对接收到的外部数据进行度量运算;
步骤a4,判断度量过程是否结束,如果没有结束,则返回步骤a2,如果结束,则执行步骤a5。步骤a5,采用一定的补偿算法,对TPM芯片的度量结果进行补偿运算;
这里假设采用最简单的补偿算法,直接在步骤a4产生的度量结果上补固定的数据0,针对TPM芯片,只需要补偿36bits的O。这里,补偿数据位的长度36bits=最终度量结果的长度196 bits 一初步度量结果的长度160 bits。步骤a6,返回经过补偿处理后的度量数据结果。本发明可信计算的度量方法,通过在度量过程中增加对度量结果进行数据补偿的方式,对现有的TPM芯片或者TCM芯片的度量结果进行二次补偿,以产生指定长度的度量结果,从而无论是基于TPM芯片还是TCM芯片,对于不同度量方法,平台芯片组、操作系统都能够使用统一方法建立平台信任链,从而提高了可信计算度量的兼容性。本发明还提出了一种可信计算的度量装置,用以实施上述的可信计算的度量方法。图2为本发明实施例中可信计算的度量装置结构图。如图2所示,本实施例中,可信计算的度量装置200包括初步度量模块210和补偿模块220。初步度量模块210用于对接收的数据进行初步度量运算,产生初步度量结果。补偿模块220用于根据预设的补偿算法对初步度量模块210产生的初步度量结果进行处理,生成设定长度的最终度量结果。其中,初步度量模块210接收的数据是指需要被度量的外部数据。补偿模块220所采用的补偿算法可以根据具体需求而不同。一种最简单的补偿算法是直接补O的方法,即在初步度量结果的补偿数据位上直接补0,补偿数据位的长度等于初步度量结果与最终度量结果的长度之差。当然,也可以采用其他相对复杂的补偿算法以产生补偿数据。其中,补偿模块220可以包括第一补偿单元。第一补偿单元用于在初步度量结果的补偿数据位上直接补0,生成设定长度的最终度量结果,补偿数据位的长度等于初步度量结果与最终度量结果的长度之差。其中,初步度量模块210可以为可信密码模块TCM。可信密码模块TCM用于对接收的数据进行可信密码模块TCM度量运算,产生初步度量结果。其中,初步度量模块210还可以为可信平台模块TPM。可信平台模块TPM用于对接收的数据进行可信平台模块TPM度量运算,产生初步度量结果。需要说明的是,初步度量模块210在进行度量运算之前应当进行初始化。本发明可信计算的度量装置,通过在度量过程中增加对度量结果进行数据补偿的方式,对现有的TPM芯片或者TCM芯片的度量结果进行二次补偿,以产生指定长度的度量结果,从而无论是基于TPM芯片还是TCM芯片,对于不同度量方法,平台芯片组、操作系统都能够使用统一方法建立平台信任链,从而提高了信计算度量的兼容性。本发明还提出了一种可信计算终端。图3为本发明实施例中可信计算终端的结构图。如图3所示,本实施例中,可信计算终端300包括可信计算的度量装置200。其中,可信计算终端可以为计算机、手机或者其他采用可信计算技术的终端。本发明的可信计算终端中包含可信计算的度量装置,通过在度量过程中增加对度量结果进行数据补偿的方式,对现有的TPM芯片或者TCM芯片的度量结果进行二次补偿,以产生指定长度的度量结果,从而无论是基于TPM芯片还是TCM芯片,对于不同度量方法,平台芯片组、操作系统都能够使用统一方法建立平台信任链,从而提高了可信计算度量的兼容性。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种可信计算的度量方法,其特征在于,包括 对接收的数据进行初步度量运算,产生初步度量结果; 根据预设的补偿算法对所述初步度量结果进行处理,生成设定长度的最终度量结果。
2.根据权利要求I所述的可信计算的度量方法,其特征在于 根据预设的补偿算法对所述初步度量结果进行处理,生成设定长度的最终度量结果具体为 在所述初步度量结果的补偿数据位上添加数据信息,生成设定长度的最终度量结果,所述补偿数据位的长度等于所述初步度量结果与所述最终度量结果的长度之差。
3.根据权利要求I所述的可信计算的度量方法,其特征在于 对接收的数据进行初步度量运算,产生初步度量结果具体为 对接收的数据进行可信密码模块TCM度量运算,产生初步度量结果。
4.根据权利要求I所述的可信计算的度量方法,其特征在于 对接收的数据进行初步度量运算,产生初步度量结果具体为 对接收的数据进行可信平台模块TPM度量运算,产生初步度量结果。
5.一种可信计算的度量装置,其特征在于,包括 初步度量模块,用于对接收的数据进行初步度量运算,产生初步度量结果; 补偿模块,用于根据预设的补偿算法对所述初步度量结果进行处理,生成设定长度的最终度量结果。
6.根据权利要求5所述的可信计算的度量装置,其特征在于所述补偿模块包括第一补偿单元,用于在所述初步度量结果的补偿数据位上添加数据信息,生成设定长度的最终度量结果,所述补偿数据位的长度等于所述初步度量结果与所述最终度量结果的长度之差。
7.根据权利要求5所述的可信计算的度量装置,其特征在于所述初步度量模块为可信密码模块TCM,用于对接收的数据进行可信密码模块TCM度量运算,产生初步度量结果。
8.根据权利要求5所述的可信计算的度量装置,其特征在于所述初步度量模块为可信平台模块TPM,用于对接收的数据进行可信平台模块TPM度量运算,产生初步度量结果。
9.一种可信计算终端,其特征在于,包括权利要求5至8任一项所述的可信计算的度量>j-U ρ α装直。
10.根据权利要求9所述的可信计算终端,其特征在于所述可信计算终端为计算机或手机。
全文摘要
本发明涉及一种可信计算的度量方法及装置、可信计算终端。其中,可信计算的度量方法包括对接收的数据进行初步度量运算,产生初步度量结果;根据预设的补偿算法对所述初步度量结果进行处理,生成设定长度的最终度量结果。本发明可信计算的度量方法及装置、可信计算终端,通过在度量过程中增加对度量结果进行数据补偿的方式,对现有的TPM芯片或者TCM芯片的度量结果进行二次补偿,以产生指定长度的度量结果,从而无论是基于TPM芯片还是TCM芯片,对于不同度量方法,平台芯片组、操作系统都能够使用统一方法建立平台信任链,从而提高了可信计算度量的兼容性。
文档编号G06F21/57GK102982285SQ20111026042
公开日2013年3月20日 申请日期2011年9月5日 优先权日2011年9月5日
发明者陈山 申请人:国民技术股份有限公司