[发明专利]启动度量的方法及装置

说明书

本申请公开了一种启动度量的方法及装置。其中，该方法包括：检测到主板上电的情况下，控制可信平台控制模块TPCM处于工作状态，并控制主板上的除可信平台控制模块TPCM之外的其他模块处于非工作状态；确定度量标识，其中，度量标识包括：启动度量关闭、启动基准值采集和启动度量；依据度量标识控制可信平台控制模块TPCM度量主板上的其他模块。本申请解决了由于TPM作为被动挂接到计算机的外部设备，需由主机软件调用才能实现对计算机的固件和可执行程序等资源进行度量，其安全能力完全依赖主机系统的安全性造成的可信计算方法安全性能低的技术问题。

技术领域

本申请涉及可信计算领域，具体而言，涉及一种启动度量的方法及装置。

背景技术

当前的网络空间极其脆弱，震网、Wannacry勒索病毒、Mirai等造成较大影响的网络攻击事件层出不穷，且日益猖獗。究其根源，在于并没有从网络安全风险的实质原因入手解决问题，一味采用以“防火墙”、“病毒查杀”、“入侵检测”等为代表的“封堵查杀”被动防御手段，在面对针对目标系统的漏洞发起的攻击时，根本无法有效防御。

为解决当前网络空间安全面临的问题，国际可信计算组织(Trusted ComputingGroup，TCG)提出了可信计算的方法，提出了以可信计算芯片(Trusted Platform Module，TPM)和基本输入/输出系统(Basic Input/Output System，BIOS)起始代码为信任根，一级度量一级，进而构建起计算机的信任链，保护计算机重要资源不被非法篡改和破坏，起到了较好的效果。但是，TPM本质上只是计算机上一个被动挂接的外部设备，只有被主机程序调用才会发挥作用，一旦主机被攻击者控制，TPM的作用就会无从发挥，导致TCG的可信计算架构在面对黑客利用计算机系统逻辑缺陷进行攻击时，基本难以抵御，例如Windows 10完全实现了TCG的可信计算架构，但是却未能阻止Wannacry勒索病毒的攻击。

针对TPM作为被动挂接到计算机的外部设备，需由主机软件调用才能实现对计算机的固件和可执行程序等资源进行度量，其安全能力完全依赖主机系统的安全性，导致可信计算方法安全性能低的问题，目前尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种启动度量的方法及装置，以至少解决由于TPM作为被动挂接到计算机的外部设备，需由主机软件调用才能实现对计算机的固件和可执行程序等资源进行度量，其安全能力完全依赖主机系统的安全性造成的可信计算方法安全性能低的技术问题。

根据本申请实施例的一个方面，提供了一种启动度量的方法，包括：检测到主板上电的情况下，控制可信平台控制模块TPCM处于工作状态，并控制主板上的除可信平台控制模块TPCM之外的其他模块处于非工作状态；确定度量标识，其中，度量标识包括：启动度量关闭、启动基准值采集和启动度量；依据度量标识控制可信平台控制模块TPCM度量主板上除可信平台控制模块TPCM之外的其他模块。

可选地，在检测到主板上电之后，上述方法还包括：检测可信平台控制模块TPCM是否在位；如果可信平台控制模块TPCM在位，则启动控制可信平台控制模块TPCM上电，并隔断主板上除可信平台控制模块TPCM之外的其他模块上电。

可选地，依据度量标识控制可信平台控制模块TPCM度量主板上的其他模块，包括：控制可信平台控制模块TPCM检查度量标识，其中，可信平台控制模块TPCM为信任根；在度量标识为启动度量关闭的情况下，发出告警信息；在度量标识为启动基准值采集的情况下，依次加载预设的待度量模块的度量策略，并依据度量策略采集待度量模块对应的基准值，并存储基准值；在度量标识为启动度量的情况下，依次加载预设的待度量的度量策略，并基于对应的度量策略依次对待度量模块进行度量。