[发明专利]用于可信平台证明的系统和方法

说明书

技术领域

本公开一般而言涉及信息系统安全性，更具体地涉及用于可信平台证明(trusted platform attestation)的系统和方法。

背景技术

计算平台通常依赖于基本输入/输出系统(BIOS)来在启动期间初始化硬件。BIOS一般是可配置的固件，并且由于其在体系结构中独特且有特权的地位，BIOS是计算平台中的关键安全性组件。如果BIOS代码或配置被恶意地或者意外地从希望的状态更改，计算平台就可能遭受机密性、完整性和可用性的损失，包括系统不稳定、系统故障和信息泄露。平台还可能易受诸如隐蔽监视之类的更精心计划的攻击，在这种情况下平台可被用作用于攻击其他系统的垫脚石。因此，建立安全的BIOS完整性测量和报告链条是设备制造商、开发商和操作者极为关注的。

发明内容

在第一方面，本发明提供了一种方法，该方法包括：将对象的参考度量(measurement)存储在可信存储装置中；在操作系统被加载之前从所述可信存储装置取回所述参考度量；在所述操作系统被加载之前将所述参考度量与黄金度量相比较；以及如果在所述参考度量和所述黄金度量之间检测到不一致，则应用策略动作。

在第二方面，本发明提供了编码在一个或多个非瞬时介质中的逻辑，该介质包括供执行的代码，所述代码当被一个或多个处理器执行时可操作来执行上述方法。

在第三方面，本发明提供了一种设备，该设备包括：存储元件；基板管理控制器；具有黄金度量的数据存储库；以及一个或多个处理器。处理器可操作来执行与基本输入输出系统相关联的指令以使得所述设备被配置用于：将对象的参考度量存储在所述存储元件中；在操作系统被加载之前从所述存储元件取回所述参考度量；在所述操作系统被加载之前将所述参考度量与黄金度量相比较；以及如果在所述参考度量和所述黄金度量之间检测到不一致，则应用策略动作。

附图说明

为了提供对本公开及其特征和优点的更完整理解，结合附图来参考以下描述，其中，相似标号表示相似部件，其中：

图1是图示出根据本公开可以提供可信平台的证明的计算系统的一个示例实施例的简化框图；

图2是图示出可与该计算系统中的BIOS和微控制器的示例实施例相关联的附加细节的简化框图；

图3是图示出可与计算系统的示例实施例相关联的可能操作的简化流程图；

图4是计算系统在数据中心环境中的替换示例实施例的简化框图；

图5是图示出可与计算系统和数据中心环境的示例实施例相关联的可能操作的简化流程图；

图6是计算系统在网络环境中的另一替换示例实施例的简化框图；以及

图7是可与计算系统和网络环境的示例实施例相关联的可能操作的简化流程图。

具体实施方式

概况

在一个示例实施例中提供了一种方法，其包括：将对象的参考度量存储在可信存储装置中以及在操作系统被加载之前从该可信存储装置取回该参考度量。在预操作系统(pre-operating system)环境中，可将参考度量与黄金度量相比较(例如，进行评估、分析、匹配等)，并且如果在参考度量和黄金度量之间检测到不一致，就可以应用策略动作。在这种上下文中可以实施任何合适的策略动作。在更具体的实施例中，参考度量是诸如BIOS之类的固件的度量，并且更加具体地，该度量可以是固件的哈希(hash)。或者，这种度量可以是任何其他合适的对象、电子元件、或者与微控制器的某些处理相关联的结果。

在一些示例实施例中，黄金度量被存储在本地以使得无需网络连接就可访问。在替换实施例中，黄金度量可被存储在仅通过局域网络连接才可访问的系统管理器中，例如存储在数据中心环境中。在其他实施例中，该方法还可以包括询问系统管理器来确定黄金度量的位置。

示例实施例

转向图1，图1是根据本公开可提供可信平台的证明的计算系统100的示例实施例的简化框图。计算系统100一般包括硬件102的实例和BIOS 104。计算系统100还可以包括诸如操作系统106之类的软件以及外围设备(未示出)。硬件102可以提供可信平台模块(TPM)110、基板管理控制器(BMC)112、网络接口114、数据存储库116和诸如存储器118之类的其他存储元件。