[发明专利]一种基于可信计算平台生成度量报告的方法及装置

权利要求书

1.一种基于可信计算平台生成度量报告的方法，其特征在于，所述可信计算平台包括并行的计算子系统与防护子系统，其中，所述计算子系统用于完成计算任务，所述防护子系统用于根据可信策略对所述计算子系统进行主动度量，所述主动度量包括静态度量和动态度量，所述方法包括：

在所述防护子系统的可信平台控制模块中，分别将所述静态度量的结果扩展到静态度量的平台状态寄存器中，得到用于表征所述静态度量的度量过程可信的第一值；

将所述可信策略的更新记录扩展到可信策略更新的平台状态寄存器中，得到用于表征所述可信策略可信的第二值；

将所述动态度量的结果扩展到动态度量的平台状态寄存器中，得到用于表征所述动态度量的度量过程可信的第三值；

在所述可信平台控制模块中，依据所述第一值、所述第二值及所述第三值生成度量报告；

其中，将所述动态度量的结果扩展到动态度量的平台状态寄存器中，得到用于表征所述动态度量的度量过程可信的第三值包括：

将所述动态度量的度量日志扩展到动态度量日志的状态寄存器中，得到用于表征所述动态度量的度量日志可信的第四值；

依据所述动态度量的度量结果获得所述动态度量的可信评估值，其中，所述第三值包括：所述第四值和所述可信评估值。

2.根据权利要求1所述的方法，其特征在于，将所述静态度量的结果扩展到静态度量的平台状态寄存器中，得到用于表征所述静态度量的度量过程可信的第一值包括：

在所述计算子系统启动过程中，所述防护子系统对所述计算子系统的启动镜像进行逐级度量，并在每度量完一级启动镜像之后执行以下步骤：

将已度量完的当前启动镜像的度量结果对应的第一哈希值与所述静态度量的平台状态寄存器中的第二哈希值进行哈希计算，得到第三哈希值；

将所述静态度量的平台状态寄存器中的哈希值更新为所述第三哈希值。

3.根据权利要求1所述的方法，其特征在于，将所述可信策略的更新记录扩展到可信策略更新的平台状态寄存器中，得到用于表征所述可信策略可信的第二值包括：

在所述防护子系统的可信软件基检测到可信管理中心下发更新后的可信策略时，所述可信软件基向所述可信平台控制模块发送策略更新消息，其中，所述策略更新消息用于指示相对应的待更新的可信策略与所述更新后的可信策略；

在所述可信平台控制模块中，将所述更新后的可信策略对应的第四哈希值与所述可信策略更新的平台状态寄存器中的第五哈希值进行哈希计算，得到第六哈希值，并将所述可信策略更新的平台状态寄存器中的哈希值更新为所述第六哈希值。

4.根据权利要求1所述的方法，其特征在于，将所述动态度量的结果扩展到动态度量的平台状态寄存器中，得到用于表征所述动态度量的度量过程可信的第三值包括：

在所述计算子系统运行过程中，所述防护子系统的可信软件基在检测到满足动态度量触发条件时对所述计算子系统进行动态度量，并在每执行完一次动态度量之后执行以下步骤：

将已执行完的当前动态度量的度量结果对应的第七哈希值与所述动态度量的平台状态寄存器中的第八哈希值进行哈希计算，得到第九哈希值；

将所述动态度量的平台状态寄存器中的哈希值更新为所述第九哈希值。

5.根据权利要求1所述的方法，其特征在于，在依据所述第一值、所述第二值及所述第三值生成度量报告之后，所述方法还包括：

在所述可信平台控制模块中，对所述度量报告进行签名，得到签名后的度量报告；

将所述签名后的度量报告发送至所述防护子系统的可信软件基，由所述可信软件基将所述签名后的度量报告转发至可信管理中心；或者将所述签名后的度量报告直接发送至所述可信管理中心。

6.根据权利要求1所述的方法，其特征在于，在依据所述第一值、所述第二值及所述第三值生成度量报告之后，所述方法还包括：

将所述度量报告发送至所述防护子系统的可信软件基，由所述可信软件基对所述度量报告进行签名，并将签名后的度量报告发送至可信管理中心。