[发明专利]一种安全启动方法和装置

说明书

技术领域

本发明涉及安全检测技术领域，更具体的说是涉及一种安全启动方法和装置。

背景技术

随着网络技术的发展，网络设备的安全性问题引起了越来越多的关注。为了保证网络设备不被非法侵犯，一般采用在网络设备中设置安全软件来实现对网络设备的保护。

但是，现有的安全软件，例如网络防火墙均是在网络设备的操作系统加载之后，对运行在操作系统上的应用的保护。

可见，现有技术中并没有一种针对网络设备的操作系统本身一种保护方式。

发明内容

有鉴于此，本发明提供一种安全启动方法和装置，以实现针对网络设备的操作系统本身的保护。

为实现上述目的，本发明提供如下技术方案：

一种安全启动方法，该方法包括：

当检测到网络设备的操作系统准备启动时，获取所述操作系统的度量配置文件的当前度量值；

判断所述度量配置文件的当前度量值与预先存储的所述度量配置文件的基准度量值是否一致；

若一致，控制所述操作系统正常启动。

优选的，当确定所述度量配置文件的当前度量值与所述度量配置文件的基准度量值一致时，还包括：

获取所述度量配置文件中度量文件的当前度量值；

判断所述度量文件的当前度量值与预先存储的所述度量文件的基准度量值是否一致；

若一致，触发所述控制所述操作系统正常启动的步骤。

优选的，当确定所述度量配置文件的当前度量值与所述度量配置文件的基准度量值一致时，还包括：

获取所述操作系统的内核的当前度量值；

判断所述内核的当前度量值与预先存储的所述内核的基准度量值是否一致；

若一致，触发所述控制所述操作系统正常启动的步骤。

优选的，还包括：

在所述操作系统上电初始化后，获取所述网络设备的硬件信息的当前度量值，并将其保存至寄存装置中；

判断所述寄存装置的当前寄存值与基准寄存值是否一致；

若一致，获取与所述基准寄存值关联的密钥；

使用所述密钥解密所述操作系统的内核。

优选的，还包括：

若所述寄存装置的当前寄存值与所述基准寄存值不一致，提示用户输入特权启动码；

判断接收的所述特权启动码与预先设定的特权启动码是否一致；

若一致，获取与所述特权启动码关联的密钥；

使用所述密钥解密所述操作系统的内核。

优选的，还包括：

在部署操作系统度量策略过程中，将度量算法写入到存储空间中；

基于所述度量算法获取所述度量配置文件的基准度量值，将所述度量配置文件的基准度量值存储到存储空间中。

优选的，还包括：

在部署操作系统完整性策略过程中，获取度量配置文件中度量文件的基准度量值，将所述度量文件的基准度量值保存到存储空间中。

优选的，还包括:

在部署操作系统完整性策略过程中，获取操作系统的内核的基准度量值，将所述内核的基准度量值保存到存储空间中。

优选的，还包括：

在部署硬件平台完整性策略过程中，创建密钥；

获取网络设备的硬件信息的基准度量值，并将其保存至寄存装置中；

建立所述密钥与所述寄存装置的基准寄存值以及所述特权启动码的关联关系；

使用所述密钥加密所述操作系统的内核。

一种安全启动装置，该方法包括：

第一获取单元，用于当检测到网络设备的操作系统准备启动时，获取所述操作系统的度量配置文件的当前度量值；

第一判断单元，用于判断所述度量配置文件的当前度量值与预先存储的所述度量配置文件的基准度量值是否一致；

第一控制单元，用于在确定所述度量配置文件的当前度量值与预先存储的所述度量配置文件的基准度量值一致时，控制所述操作系统正常启动。

优选的，还包括：

第二获取单元，用于当确定所述度量配置文件的当前度量值与所述度量配置文件的基准度量值一致时，获取所述度量配置文件中度量文件的当前度量值；

第二判断单元，用于判断所述度量文件的当前度量值与预先存储的所述度量文件的基准度量值是否一致；

第一触发单元，用于当确定所述度量文件的当前度量值与预先存储的所述度量文件的基准度量值一致时，触发所述第一控制单元。

优选的，还包括：