本发明涉及vpn设备的密码算法领域,尤其涉及一种vpn设备安全启动方法及系统。
背景技术:
随着现代网络技术的迅猛发展,网络互联已经成为一种不可阻挡的潮流,但这种互联方式极易受到各种攻击,导致对内部网络的非法访问和信息泄露。vpn英文全称是virtualprivatenetwork,虚拟专用网络,以公用开放的网络(如internet)作为基本传输媒体,通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改,从而向最终用户提供类似于私有网络(privatenetwork)性能的网络服务,但如果在启动阶段遭到恶意攻击,私有网络的访问将受到严重威胁,为此,如何能够安全可靠的vpn设备是当下丞待解决的技术问题。
技术实现要素:
为了克服上述现有技术中的不足,本发明提供一种vpn设备安全启动方法,方法包括:
vpn设备上电,启动bios固件;
可信密码模块对bios固件的启动代码进行哈希运算,将bios启动代码运算结果与第一预设合法阈值进行比对;
当bios启动代码运算结果满足第一预设合法阈值时,启动vpn设备的操作系统;
可信密码模块对操作系统的启动代码进行哈希运算,将操作系统启动代码运算结果与第二预设合法阈值进行比对;
当操作系统启动代码运算结果满足第二预设合法阈值时,vpn设备正常启动。
优选地,方法包括:
当操作系统启动代码运算结果满足第二预设合法阈值时,之后还包括:
启动vpn设备的应用程序;
可信密码模块对应用程序的启动代码进行哈希运算,将应用程序启动代码运算结果与第三预设合法阈值进行比对;
当应用程序启动代码运算结果满足第三预设合法阈值时,vpn设备正常启动。
优选地,方法包括:
当bios启动代码运算结果不满足第一预设合法阈值时,vpn设备停止启动。
优选地,方法包括:
当操作系统启动代码运算结果不满足第二预设合法阈值时,vpn设备停止启动。
优选地,方法包括:
当应用程序启动代码运算结果不满足第三预设合法阈值时,vpn设备停止启动。
优选地,方法包括:
哈希运算采用md5,sha-1,sha-2,sha-256,sha-512,sha-3,ripemd一种或多种组合。
优选地,可信密码模块对bios固件的启动代码进行哈希运算,将bios启动代码运算结果与第一预设合法阈值进行比对的方法还包括:
可信密码模块为bios固件配置第一预设合法阈值的存储器,将启动过程中bios固件的启动代码储存至存储器,并将各个参数的合法阈值预存至存储器内;bios固件的启动代码包括:bios启动代码参数、bios引导参数、bios版本参数、bios主时钟参数、vpn设备主板参数;
利用哈希运算,按照bios固件的启动代码的运行步骤进行运算,并对每个步骤运算后的运算结果与存储器储存的合法阈值进行比对;
如果当前步骤满足合法阈值,则继续对下一bios固件启动参数进行加载,否则不对下一bios固件启动参数进行加载,并结束vpn设备停止启动。
优选地,可信密码模块对bios固件的启动代码进行哈希运算,将bios启动代码运算结果与第一预设合法阈值进行比对的方法还包括:
加载bios固件的启动代码,可信密码模块将bios启动代码参数转换为bios启动代码参数哈希值,bios启动代码参数哈希值与存储器中的合法阈值进行比对,如果满足合法阈值,则加载bios引导参数,可信密码模块将bios引导参数转换为bios引导参数哈希值,bios引导参数哈希值与存储器中的合法阈值进行比对,如果满足合法阈值,则加载bios版本参数,可信密码模块将bios版本参数转换为bios版本参数哈希值,bios版本参数哈希值与存储器中的合法阈值进行比对,如果满足合法阈值,则加载bios主时钟参数,可信密码模块将bios主时钟参数转换为bios主时钟参数哈希值,bios主时钟参数哈希值与存储器中的合法阈值进行比对,如果满足合法阈值,则加载vpn设备主板参数,可信密码模块将vpn设备主板参数转换为vpn设备主板参数哈希值,vpn设备主板参数哈希值与存储器中的合法阈值进行比对,如果满足合法阈值,bios固件的启动完成;
上述参数如不满足合法阈值,结束vpn设备停止启动。
一种vpn设备安全启动系统,包括:vpn设备启动模块,可信密码模块,启动执行模块;
vpn设备启动模块用于使vpn设备上电,启动bios固件;
可信密码模块用于对bios固件的启动代码进行哈希运算,将bios启动代码运算结果与第一预设合法阈值进行比对;
当bios启动代码运算结果满足第一预设合法阈值时,启动执行模块启动vpn设备的操作系统;
可信密码模块对操作系统的启动代码进行哈希运算,将操作系统启动代码运算结果与第二预设合法阈值进行比对;
当操作系统启动代码运算结果满足第二预设合法阈值时,启动执行模块使vpn设备正常启动。
优选地,可信密码模块包括:存储器,参数转换模块,参数预设模块;
存储器用于储存vpn设备启动过程中bios固件的启动代码,操作系统的启动代码,应用程序的启动代码,以及储存第一预设合法阈值,第二预设合法阈值,第三预设合法阈值;
参数预设模块用于根据bios固件的启动代码,操作系统的启动代码,应用程序的启动代码分别对应预设第一预设合法阈值,第二预设合法阈值,第三预设合法阈值,并将预设的第一预设合法阈值,第二预设合法阈值,第三预设合法阈值储存至存储器;
参数转换模块用于将bios固件的启动代码,操作系统的启动代码,应用程序的启动代码分别对应转换为bios固件的启动代码哈希值,操作系统的启动代码哈希值,应用程序的启动代码哈希值,并将转换的bios固件的启动代码哈希值,操作系统的启动代码哈希值,应用程序的启动代码哈希值储存至存储器;
可信密码模块还用于将vpn设备启动过程中的bios固件的启动代码哈希值,操作系统的启动代码哈希值,应用程序的启动代码哈希值分别对应与预设的第一预设合法阈值,第二预设合法阈值,第三预设合法阈值进行比对。
从以上技术方案可以看出,本发明具有以下优点:
vpn设备安全启动方法通过可信密码模块对bios固件、操作系统与应用程序进行参数比对,只有bios固件、操作系统与应用程序都满足合法阈值时,vpn才能正常启动。保护vpn设备在启动时避免遭受非法攻击,保障私有网络访问的合法与可靠,保证信息安全。采用可信密码模块作为可信计算平台,为密码算法提供可靠安全的运算空间与存储空间,使运算与存储更加安全可靠;同时可信密码模块内置的国密算法,使vpn设备启动更加自主可控,安全可靠。
附图说明
为了更清楚地说明本发明的技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为vpn设备安全启动方法流程图;
图2为vpn设备安全启动方法实施例方法流程图;
图3为vpn设备安全启动系统整体示意图。
具体实施方式
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将运用具体的实施例及附图,对本发明保护的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本专利中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利保护的范围。
本实施例提供一种vpn设备安全启动方法,如图1所示,方法包括:
s1:vpn设备上电,启动bios固件;
s2:可信密码模块对bios固件的启动代码进行哈希运算,将bios启动代码运算结果与第一预设合法阈值进行比对;
s3:当bios启动代码运算结果满足第一预设合法阈值时,启动vpn设备的操作系统;
当bios启动代码运算结果不满足第一预设合法阈值时,vpn设备停止启动。
s4:可信密码模块对操作系统的启动代码进行哈希运算,将操作系统启动代码运算结果与第二预设合法阈值进行比对;
s5:当操作系统启动代码运算结果满足第二预设合法阈值时,vpn设备正常启动。
当操作系统启动代码运算结果不满足第二预设合法阈值时,vpn设备停止启动。
这样,采用可信密码模块,为vpn设备提供可信的计算平台,并提供安全可用的密码算法功能,能够对bios固件代码,操作系统的启动代码做出可信度量,判断启动过程是否被恶意程序修改。
将可信密码模块与vpn设备相结合,通过可信密码模块所提供的哈希算法,对vpn设备做可信计算,将计算结果与真实值做校验,从而保障启动过程的安全性。将可信密码模块作为信任比对,对vpn设备bios固件到操作系统、应用程序进行参数比对,保证每级代码度量均处于合法状态。
本发明还提供一种实施例具体包括:如图2所示,
s11:vpn设备上电,启动bios固件;
s12:可信密码模块对bios固件的启动代码进行哈希运算,将bios启动代码运算结果与第一预设合法阈值进行比对;
s13:当bios启动代码运算结果满足第一预设合法阈值时,启动vpn设备的操作系统;
s14:可信密码模块对操作系统的启动代码进行哈希运算,将操作系统启动代码运算结果与第二预设合法阈值进行比对;
s15:当操作系统启动代码运算结果满足第二预设合法阈值时,启动vpn设备的应用程序;
s16:可信密码模块对应用程序的启动代码进行哈希运算,将应用程序启动代码运算结果与第三预设合法阈值进行比对;
s17:当应用程序启动代码运算结果满足第三预设合法阈值时,vpn设备正常启动。
当应用程序启动代码运算结果不满足第三预设合法阈值时,vpn设备停止启动。
哈希运算采用md5,sha-1,sha-2,sha-256,sha-512,sha-3,ripemd一种或多种组合。
上述两个实施例中,可信密码模块对bios固件的启动代码进行哈希运算,将bios启动代码运算结果与第一预设合法阈值进行比对的方法还包括:
可信密码模块为bios固件配置第一预设合法阈值的存储器,将启动过程中bios固件的启动代码储存至存储器,并将各个参数的合法阈值预存至存储器内;bios固件的启动代码包括:bios启动代码参数、bios引导参数、bios版本参数、bios主时钟参数、vpn设备主板参数;
利用哈希运算,按照bios固件的启动代码的运行步骤进行运算,并对每个步骤运算后的运算结果与存储器储存的合法阈值进行比对;
如果当前步骤满足合法阈值,则继续对下一bios固件启动参数进行加载,否则不对下一bios固件启动参数进行加载,并结束vpn设备停止启动。
进一步的,可信密码模块对bios固件的启动代码进行哈希运算,将bios启动代码运算结果与第一预设合法阈值进行比对的方法还包括:
加载bios固件的启动代码,可信密码模块将bios启动代码参数转换为bios启动代码参数哈希值,bios启动代码参数哈希值与存储器中的合法阈值进行比对,如果满足合法阈值,则加载bios引导参数,可信密码模块将bios引导参数转换为bios引导参数哈希值,bios引导参数哈希值与存储器中的合法阈值进行比对,如果满足合法阈值,则加载bios版本参数,可信密码模块将bios版本参数转换为bios版本参数哈希值,bios版本参数哈希值与存储器中的合法阈值进行比对,如果满足合法阈值,则加载bios主时钟参数,可信密码模块将bios主时钟参数转换为bios主时钟参数哈希值,bios主时钟参数哈希值与存储器中的合法阈值进行比对,如果满足合法阈值,则加载vpn设备主板参数,可信密码模块将vpn设备主板参数转换为vpn设备主板参数哈希值,vpn设备主板参数哈希值与存储器中的合法阈值进行比对,如果满足合法阈值,bios固件的启动完成;上述参数如不满足合法阈值,结束vpn设备停止启动。
本发明还提供一种vpn设备安全启动系统,如图3所示,包括:vpn设备启动模块1,可信密码模块2,启动执行模块3;
vpn设备启动模块1用于使vpn设备上电,启动bios固件;
可信密码模块2用于对bios固件的启动代码进行哈希运算,将bios启动代码运算结果与第一预设合法阈值进行比对;当bios启动代码运算结果满足第一预设合法阈值时,启动执行模块3启动vpn设备的操作系统;
可信密码模块2对操作系统的启动代码进行哈希运算,将操作系统启动代码运算结果与第二预设合法阈值进行比对;当操作系统启动代码运算结果满足第二预设合法阈值时,启动执行模块3使vpn设备正常启动。
本实施例中,可信密码模块2包括:存储器6,参数转换模块4,参数预设模块5;
存储器6用于储存vpn设备启动过程中bios固件的启动代码,操作系统的启动代码,应用程序的启动代码,以及储存第一预设合法阈值,第二预设合法阈值,第三预设合法阈值;
参数预设模块5用于根据bios固件的启动代码,操作系统的启动代码,应用程序的启动代码分别对应预设第一预设合法阈值,第二预设合法阈值,第三预设合法阈值,并将预设的第一预设合法阈值,第二预设合法阈值,第三预设合法阈值储存至存储器;
参数转换模块4用于将bios固件的启动代码,操作系统的启动代码,应用程序的启动代码分别对应转换为bios固件的启动代码哈希值,操作系统的启动代码哈希值,应用程序的启动代码哈希值,并将转换的bios固件的启动代码哈希值,操作系统的启动代码哈希值,应用程序的启动代码哈希值储存至存储器;
可信密码模块还用于将vpn设备启动过程中的bios固件的启动代码哈希值,操作系统的启动代码哈希值,应用程序的启动代码哈希值分别对应与预设的第一预设合法阈值,第二预设合法阈值,第三预设合法阈值进行比对。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。