[发明专利]一种基于TPCM芯片的双向认证可信启动系统及方法

说明书

本发明公开了一种基于TPCM芯片的双向认证可信启动系统及方法，TPCM芯片的主SPI接口与FLASH存储芯片的从SPI接口相连接，TPCM芯片的从SPI接口与CPU芯片的主SPI接口相连接，CPU芯片的主SPI接口又与FLASH存储芯片的从SPI接口相连；所述TPCM芯片的GPIO输出引脚与CPU芯片的RESET复位引脚相连接，用于实现对CPU芯片的启动控制；TPCM芯片的STATE引脚与CPU芯片的GPIO引脚相连接，用于通知CPU度量过程是否已结束、TPCM处于SPI主模式还是SPI从模式。本发明防止在身份认证过程中所有认证信息为同一方所持有，实现对TPCM芯片自身的安全验证，从源头上保证设备运行环境的安全性。

技术领域

本发明涉及一种基于TPCM芯片的双向认证可信启动系统及方法，属于计算机安全技术领域。

背景技术

可信计算体系结构通过在系统中构建实际有效的硬件可信根，并从可信根开始经过逐层可信扩展的方式建立可信链，最终实现系统运行环境的可信。可信根被假设是无条件受信任的，系统并不对可信根行为进行检测。因此可信根是否真正值得信任，可信根是否会被攻击者篡改替换，是确认系统可信的关键。

可信平台控制模块Trusted Platform Control Module(以下简称TPCM)是主动免疫可信体系的可信根，是系统的可信源点，是可信链建立的基础。可信启动的基本原理是：从TPCM初始信任状态发起，通过可信扩展技术将初始信任状态逐一扩展到系统启动的每一环节，进而在系统启动时构建出一个完整的可信链，以保障系统启动后运行环境的初始可信状态。然而当前大多数可信启动方法都未对TPCM芯片自身安全性进行校验，一旦TPCM芯片被篡改，会造成整个系统的失信，无法保障计算环境的安全性。

发明内容

目的：为了克服现有技术中存在的不足，本发明提供一种基于TPCM芯片的双向认证可信启动系统及方法。

技术方案：为解决上述技术问题，本发明采用的技术方案为：

第一方面，一种基于TPCM芯片的双向认证可信启动系统，包括：TPCM芯片、FLASH存储芯片和CPU芯片。

所述TPCM芯片包括：主SPI接口、从SPI接口，FLASH存储芯片包括：从SPI接口，CPU芯片包括：主SPI接口；TPCM芯片的主SPI接口与FLASH存储芯片的从SPI接口相连接，TPCM芯片的从SPI接口与CPU芯片的主SPI接口相连接，CPU芯片的主SPI接口又与FLASH存储芯片的从SPI接口相连；所述TPCM芯片的GPIO输出引脚与CPU芯片的RESET复位引脚相连接，用于实现对CPU芯片的启动控制；TPCM芯片的STATE引脚与CPU芯片的GPIO引脚相连接，用于通知CPU度量过程是否已结束、TPCM处于SPI主模式还是SPI从模式。

作为优选方案，所述TPCM芯片预存有正向度量基准值、正向验证公钥、反向度量基准值。

作为优选方案，所述FLASH存储芯片预存有反向验证公钥。

作为优选方案，所述TPCM芯片有唯一的正向验证公钥、反向验证私钥。

作为优选方案，所述正向度量基准值是在干净的运行环境下对引导程序使用正向验证私钥实行数字签名得到的数字签名值；所述反向度量基准值是在干净的运行环境下对FLASH存储芯片唯一的FLASH ID使用反向验证私钥实行数字签名得到的数字签名值。

第二方面，一种基于TPCM芯片的双向认证可信启动方法，包括如下步骤：

系统上电后，TPCM芯片获取系统的主控权，控制CPU芯片处于复位状态。

TPCM芯片对在FLASH存储芯片中的引导程序进行正向度量，若度量成功，则TPCM释放CPU芯片的复位信号，CPU芯片启动加载引导程序。

CPU芯片完成引导程序的加载之后，对TPCM芯片执行反向度量，若度量成功，则引导程序加载内核，启动操作系统。