[发明专利]一种计算机系统及其度量方法

说明书

技术领域

本发明属于计算机应用领域，尤其涉及一种计算机系统及其度量方法。

背景技术

随着我国国民经济、信息化建设和国防建设的快速发展，人们对高安全、高性能的信息安全应用产品的需要越来越迫切。基于可信计算的信息安全应用产品的研发将促进我国经济社会信息化进程、保障国家信息安全。为了满足对信息安全要求比较高的用户的需求，现有技术提供了拥有可信计算机平台、可信基本输出输出系统(Basic Input Output System，BIOS)、可信存储和虚拟机监控等技术的新一代可信计算安全应用产品。这种可信计算安全应用产品一般需要对计算机系统进行可信度量，来提高其全性。

现有的可信计算安全应用产品一般采用可信计算和虚拟化技术来解决计算机信息安全问题。现有的虚拟机监视器(Virtual Machine Monitor，VMM)，也称为VMM虚拟机，是架设在BIOS和操作系统之间的，由于该虚拟机监视器拥有多用户管理、系统网络控制、系统防火墙等重要功能，因此，虚拟机监视器的安全和可信将关系到整个计算机系统的安全和可信。

现有的对可信计算安全应用产品的度量方法简述如下：首先对BIOS进行度量，再对操作系统进行度量，最后对运行于操作系统之上的应用程序进行度量，以提高计算机系统的安全性。这种方式虽然一定程度上可以提高计算机系统的安全性，但由于虚拟机监视器的安全性极大的影响了计算机系统的整体安全性，因此，现有的度量方法依然难以使计算机系统达到较高的安全性。

发明内容

本发明实施例的目的在于提供一种计算机系统的度量方法，旨在解决现有的计算机系统安全性低的问题。

本发明实施例是这样实现的，一种计算机系统的度量方法，所述方法包括下述步骤：

在基本输入输出系统BIOS启动后，在操作系统启动前，调用可信安全芯片对BIOS进行可信度量，在可信度量通过后，将信任链传递至虚拟机监视器；

调用可信安全芯片对虚拟机监视器进行可信度量，在可信度量通过后，将信任链传递至操作系统；

虚拟机监视器之上的操作系统通过其内置的前端驱动与内置于虚拟机监视器中的后端驱动之间的通信，调用可信安全芯片对虚拟机监视器之上的操作系统进行可信度量，在可信度量通过时，将信任链传递至运行在所述操作系统之上的应用程序；

通过内置于操作系统中的前端驱动与内置于虚拟机监视器中的后端驱动之间的通信，调用可信安全芯片对运行在操作系统之上的应用程序进行可信度量，在可信度量通过时，建立计算机系统的可信计算信任链。

本发明实施例的另一目的在于提供一种计算机系统，包括可信计算平台、基于可信计算平台的虚拟机监控器、基于虚拟机监控器的操作系统以及运行于操作系统上的应用程序，所述可信计算平台包括安全主板，所述安全主板包括基本输入输出系统和主板平台，所述可信计算平台还包括可信安全芯片和安全支持软件；

所述可信安全芯片对BIOS、虚拟机监视器、操作系统以及应用程序进行可信度量；

所述安全支持软件在BIOS可信度量通过后，将信任链传递至所述虚拟机监视器；

所述虚拟机监视器包括物理驱动、可信度量单元和后端驱动；

所述物理驱动是可信安全芯片的物理驱动，用于驱动并调用所述可信安全芯片；

所述可信度量单元通过所述物理驱动调用可信安全芯片对虚拟机监视器进行可信度量，并在可信度量通过时，将信任链传递至操作系统；

所述操作系统包括前端驱动和可信度量与报告单元；

所述前端驱动是可信安全芯片的前端驱动，用于与所述后端驱动进行通信，驱动并调用所述可信安全芯片；

所述可信度量与报告单元通过所述前端驱动与后端驱动之间的通信，调用所述可信安全芯片对操作系统进行可信度量，并在可信度量通过时，将信任链传递至应用程序；

所述应用程序通过所述前端驱动与所述后端驱动之间的通信，调用所述可信安全芯片对应用程序进行可信度量，并在可信度量通过时，建立计算机系统的可信计算信任链。

在本发明实施例中，在启动BIOS之后，在启动操作系统之前，采用可信安全芯片依次对BIOS、虚拟机监视器、操作系统以及运行于操作系统之上的应用程序进行可信度量，建立计算机系统的可信计算信任链，由于虚拟机监视器的安全性极大程度上影响了计算机系统的安全性，因此，通过对虚拟机监视器进行可信度量，并建立计算机系统的可信计算信任链，从而极大的提高了计算机系统安全性。

附图说明

图1是本发明实施例提供的计算机系统的度量方法的实现流程图；

图2是本发明实施例提供的信任链传递示例图；