一种基于外部存储的度量日志加密方法与流程

本发明公开一种度量日志加密方法，涉及可信计算安全领域，具体地说是一种基于外部存储的度量日志加密方法。

背景技术：

TPM，Trusted Platform Module是可信计算平台的核心，能够为可信终端和平台提供基于硬件的数据安全存储和密码运算。同时在系统启动过程中，以TPM硬件中的可信度量根为起点，对系统组件进行度量并构建信任链生成的完整性度量日志，保证系统启动运行过程中的安全可信。

当系统重启或者开启发起本地验证可信服务时，会将度量组件的历史记录包括特征和对应的序列存储到本地度量存储日志（Stored Measurement Log，SML）中，由于SML中涉及本机的操作系统版本、系统配置参数和运行软件等关键信息，在本地存储中这些关键信息容易被外部获取，导致本机配置信息泄露，而是本机进一步遭受攻击或被窃取其他主要信息，造成不可估量的损失。

为此，本发明提供一种基于外部存储的度量日志加密方法，通过增设外部存储与可信终端连接，将系统的度量日志SML存储至外部设备中，利用启动授权并加载密钥，对度量信息进行加密，防止系统可信度量信息泄露，保证其度量日志数据存储的安全性，防止本机信息的泄露。

技术实现要素：

本发明针对现有技术中SML中涉及本机的操作系统版本、系统配置参数和运行软件等关键信息，在本地存储中这些关键信息容易被外部获取，导致本机配置信息泄露的问题，提供一种基于外部存储的度量日志加密方法，具有通用性强、实施简便等特点，具有广阔的应用前景。

本发明提出的具体方案是：

一种基于外部存储的度量日志加密方法：

可信终端包括一外部存储设备，可信终端系统发起本地完整性度量后，将度量日志存储在外部存储设备中，可信终端启动授权会话功能和密钥功能，设定对外部存储设备的操作身份证明并产生的密钥对度量日志数据进行加密。

所述可信终端利用TPM协议启动会话功能和密钥功能，设置会话身份认证并利用TPM产生密钥对度量信息进行加密。

所述可信终端系统发起从信任根到 BIOS、BootLoader、OS到应用程序的验证，对系统组件的特征值产生度量摘要，将度量摘要扩展存储至TPM。

所述可信终端通过TPM命令创建RSA算法的密钥句柄，加载密钥句柄和度量日志数据，对度量日志数据进行加密，将加密后的密文存储至外部存储设备中。

所述输入授权会话设定的身份证明进行会话验证，验证通过，调用TPM命令携带密钥句柄和密文发送至TPM中，进行解密获取度量日志数据明文。

一种基于外部存储的度量日志加密系统：

包括可信终端，

其中可信终端包括一外部存储设备，

可信终端还包括启动授权会话功能和密钥功能的单元，用于设定对外部存储设备的操作身份证明并产生的密钥对度量日志数据进行加密。

所述启动授权会话功能和密钥功能的单元内置TPM芯片和对应的可信软件协议栈TSS。

所述可信终端通过USB接口与外部存储设备连接。

本发明的有益之处是：

本发明提供一种基于外部存储的度量日志加密方法，通过增设外部存储与可信终端连接，将系统的度量日志SML存储至外部存储设备中，利用启动授权并加载密钥，对度量信息进行加密，防止系统可信度量信息泄露，保证其度量日志数据存储的安全性，防止本机信息的泄露。优选地，使用TPM协议支持的会话启动功能和密钥管理功能，设置会话操作身份的认证并利用TPM产生的密钥对度量信息进行加密，防止系统可信度量信息泄露，保证其度量日志数据存储的安全性。

附图说明

图1本发明系统框架示意图；

图2是本发明方法流程示意图。

具体实施方式

本发明提供一种基于外部存储的度量日志加密方法：

可信终端包括一外部存储设备，可信终端系统发起本地完整性度量后，将度量日志存储在外部存储设备中，可信终端启动授权会话功能和密钥功能，设定对外部存储设备的操作身份证明并产生的密钥对度量日志数据进行加密。

以具体操作实施来对本发明做进一步解释。

同时提供一种基于外部存储的度量日志加密系统：

包括可信终端，

其中可信终端包括一外部存储设备，

可信终端还包括启动授权会话功能和密钥功能的单元，用于设定对外部存储设备的操作身份证明并产生的密钥对度量日志数据进行加密。

本发明系统可以是可信终端PC，可信终端PC使用USB接口与外部存储设备连接，启动授权会话功能和密钥功能的单元可以是可信终端PC内置TPM芯片和对应的可信软件协议栈TSS组成的TPM。

利用本发明方法和系统，

可信终端PC开机或者重启时，将外部存储设备通过USB接口与可信终端连接。系统发起从信任根到 BIOS、BootLoader、OS到应用程序的验证，通过HASH函数对系统中组件的特征值进行哈希运算并产生度量摘要；

调用TPM2_PCR_Extend命令将度量摘要扩展存储至TPM的PCR寄存器中，同时将需要将度量组件的历史记录包括特征和对应的序列存储到本地度量存储日志SML（Stored Measurement Log）中；

完整性可信度量完成产生SML后，调用TPM的TPM2_StartAuthSession命令创建并启动一个授权会话，设定对外部存储设备的操作的身份证明；

调用TPM支持的非对称加解密算法RSA的TPM2_RSA_Encrypt命令，创建RSA算法的密钥句柄，加载密钥句柄和度量日志数据，对度量日志数据进行加密，并将加密后的密文存储至外部存储设备中；

当需要查看系统的度量日志时，输入授权会话设定的身份证明比如密码，然后进行会话验证，验证通过后，调用TPM的TPM2_RSA_Decrypt命令携带密钥句柄和密文发送至TPM进行解密，获取度量日志数据明文。

即利用本发明方法，通过增设外部存储与可信终端连接，将系统的度量日志SML存储至外部存储设备中，利用启动授权并加载密钥，对度量信息进行加密，防止系统可信度量信息泄露，保证其度量日志数据存储的安全性，防止本机信息的泄露。其中实施例中使用TPM协议支持的会话启动功能和密钥管理功能，设置会话操作身份的认证并利用TPM产生的密钥对度量信息进行加密，防止系统可信度量信息泄露，保证其度量日志数据存储的安全性。

以上所述的实施方式，只是本发明具体实施方式的一种，本领域的技术人员在本发明技术方案范围内进行的常规变化和替换都应包含在本发明的保护范围内。