[发明专利]一种信任链的构建方法及系统在审
申请号: | 201710641132.6 | 申请日: | 2017-07-31 |
公开(公告)号: | CN107451479A | 公开(公告)日: | 2017-12-08 |
发明(设计)人: | 苏振宇 | 申请(专利权)人: | 浪潮(北京)电子信息产业有限公司 |
主分类号: | G06F21/57 | 分类号: | G06F21/57 |
代理公司: | 北京集佳知识产权代理有限公司11227 | 代理人: | 罗满 |
地址: | 100085 北京市海*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 信任 构建 方法 系统 | ||
1.一种信任链的构建方法,其特征在于,包括:
S11:在服务器上电之前启动BMC模块和TCM模块;
S12:采用TCM模块对所述BMC模块中的BMC固件进行度量,得到第一度量结果,并依据所述第一度量结果判断所述BMC固件是否未被篡改,如果是,则进入S13;
S13:采用所述BMC固件对BIOS Boot Block进行度量,得到第二度量结果,并依据所述第二度量结果判断所述BIOS Boot Block是否未被篡改,如果是,则进入S14;
S14:控制电源控制模块为所述服务器上电,并采用BIOS建立后续的信任链。
2.根据权利要求1所述的信任链的构建方法,其特征在于,所述BMC固件包括引导程序、Linux系统的内核、可信代理程序及BMC应用程序;
所述采用TCM模块对所述BMC模块中的BMC固件进行度量,得到度量结果,并依据所述度量结果判断所述BMC固件是否未被篡改,如果是,则进入S13的过程为:
S121:采用TCM模块对所述引导程序进行度量,得到第一度量值,并依据所述第一度量值判断所述引导程序是否未被篡改,如果是,则进入S122;
S122:采用所述引导程序对Linux系统的内核和可信代理程序进行度量,分别得到第二度量值和第三度量值,并依据所述第二度量值和所述第三度量值判断所述Linux系统的内核和所述可信代理程序是否均未被篡改,如果是,则进入S123;
S123:采用所述可信代理程序对BIOS Boot Block和BMC应用程序进行度量,分别得到第四度量值和第五度量值,并依据所述第四度量值和所述第五度量值判断所述BIOS Boot Block和所述BMC应用程序是否均未被篡改,如果是,则进入S13。
3.根据权利要求2所述的信任链的构建方法,其特征在于,所述采用TCM模块对所述引导程序进行度量,得到第一度量值的过程为:
采用TCM模块并依据所述TCM模块中的SM3度量算法对所述引导程序进行度量,得到第一度量值。
4.根据权利要求3所述的信任链的构建方法,其特征在于,所述依据所述第一度量值判断所述引导程序是否未被篡改的过程为:
从TCM模块的寄存器中获取预先存储的、与所述引导程序对应的第一标准值;
将所述第一度量值与所述第一标准值进行匹配,并判断所述第一度量值与所述第一标准值是否一致,如果是,则所述引导程度未被篡改。
5.根据权利要求2所述的信任链的构建方法,其特征在于,所述采用BIOS建立后续的信任链的过程为:
S141:采用所述BIOS Boot Block对所述BIOS的基本信息及BIOS Main Block进行度量,并当所述基本信息及所述BIOS Main Block均未被篡改时进入S142;
S142:采用所述BIOS Main Block对主板的扩展组件进行度量,并当所述主板的度量组件未被篡改时进入S143;
S143:采用所述BIOS Main Block对Boot loader进行度量,并当所述Boot loader未被篡改时进入S144;
S144:采用Boot loader Grub对其配置文件进行度量,当所述配置文件未被篡改时,对需要加载的OS Kernel进行度量,并当所述OS Kernel未被篡改时,进入S115;
S145:通过所述OS Kernel控制操作系统开启。
6.根据权利要求5所述的信任链的构建方法,其特征在于,所述主板的扩展组件包括主板的显卡、硬盘、网卡及PCI-E卡。
7.一种信任链的构建系统,其特征在于,包括:
启动模块,用于在服务器上电之前启动BMC模块和TCM模块;
度量模块,用于采用TCM模块对所述BMC模块中的BMC固件进行度量,得到第一度量结果;用于采用所述BMC固件对BIOS Boot Block进行度量,得到第二度量结果;
判断模块,用于依据所述第一度量结果判断所述BMC固件是否未被篡改,如果是,则触发所述度量模块;用于依据所述第二度量结果判断所述BIOS BootBlock是否未被篡改,如果是,则触发控制模块;
所述控制模块,用于控制电源控制模块为所述服务器上电,并采用BIOS建立后续的信任链。
8.根据权利要求7所述的信任链的构建系统,其特征在于,所述BMC固件包括引导程序、Linux系统的内核、可信代理程序及BMC应用程序;
所述度量模块包括第一度量单元、第二度量单元和第三度量单元;所述判断模块包括第一判断单元、第二判断单元和第三判断单元;
所述第一度量单元,用于采用TCM模块对所述引导程序(U-boot)进行度量,得到第一度量值;
所述第一判断单元,用于依据所述第一度量值判断所述引导程序是否未被篡改,如果是,则触发所述第二度量单元;
所述第二度量单元,用于采用所述引导程序对Linux系统的内核和可信代理程序进行度量,得到第二度量值和第三度量值;
所述第二判断单元,用于依据所述第二度量值和所述第三度量值判断所述Linux系统的内核或所述可信代理程序是否均未被篡改,如果是,则触发所述第三度量单元;
所述第三度量单元,用于采用所述可信代理程序对BIOS Boot Block和BMC应用程序进行度量,分别得到第三度量值和第四度量值;
所述第三判断单元,用于依据所述第三度量值和所述第四度量值判断所述BIOS Boot Block和所述BMC应用程序是否均未被篡改,如果是,则触发所述控制模块。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于浪潮(北京)电子信息产业有限公司,未经浪潮(北京)电子信息产业有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710641132.6/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种合金薄片浇注装置
- 下一篇:连铸机连铸引锭头专用吊具