[发明专利]可信基准值管理方法、装置、电子设备及存储介质

说明书

本申请涉及信息安全领域，提供一种可信基准值管理方法、装置、电子设备及存储介质，包括：接收访问指令，确定所述访问指令对应实体的策略信息；所述访问指令用于请求访问可信密码模块的非易失性存储器空间中，与所述访问指令对应实体的可信基准值；根据所述访问指令对应实体的策略信息确定会话摘要；将所述会话摘要与所述非易失性存储器空间中所述访问指令对应实体的策略摘要进行信息匹配；若确定所述会话摘要与所述策略摘要一致，则授权所述访问指令对应实体访问所述可信基准值。本申请通过在对可信基准值进行访问时进行可信校验，可以避免固件可信基准值被恶意读取，由此可以提高可信基准值的安全性。

技术领域

本申请涉及信息安全领域，具体涉及一种可信基准值管理方法、装置、电子设备及存储介质。

背景技术

随着可信计算技术的兴起，可信启动逐渐成为研究热点。可信性的建立需要借助于可信根的选择，保证可信链建立时信任源点的可信性，而良好的可信链路径，在保证可信启动的同时，确保对服务器启动时间的影响降到最低。在可信链建立时生成的基准值为敏感数据，涉及到服务器启动、更新以及可信策略的执行。目前，可信基准值的安全存取存在着诸多不安全因素，现有的授权方式包括口令授权和HMAC(Hash-based MessageAuthentication Code，哈希消息认证码)授权，口令授权是最简单的授权类型：一个明文口令会被传递到TCM(Trusted Cryptography Module，可信密码模块)设备中用于授权一个动作，以明文形式传输的口令可能被窃取、监听或者篡改，进而导致隐私数据的泄露。HMAC授权：口令使用加密算法以加密形式传输。用到的加密算法包括：非对称加密算法占用空间大且加密的效率低，影响开机效率。对称加密算法的安全性取决于加密密钥的保存情况，密钥交换存在安全性问题，增加密钥管理的复杂性。

当前大多数现有的技术方案都致力于解决可信启动流程中可信链的传递、对关键固件的度量裁决策略，然而，可信传递过程中生成的固件可信基准值可能会被恶意读取并进行破解，导致可信基准值的安全性低。

发明内容

本申请实施例提供一种可信基准值管理方法、装置、电子设备及存储介质，用以提高可信基准值的安全性。

第一方面，本申请实施例提供一种可信基准值管理方法，包括：

接收访问指令，确定所述访问指令对应实体的策略信息；所述访问指令用于请求访问可信密码模块的非易失性存储器空间中，与所述访问指令对应实体的可信基准值；

根据所述访问指令对应实体的策略信息确定会话摘要；

将所述会话摘要与所述非易失性存储器空间中所述访问指令对应实体的策略摘要进行信息匹配；

若确定所述会话摘要与所述策略摘要一致，则授权所述访问指令对应实体访问所述可信基准值。

在一个实施例中，所述策略信息包括操作信息与环境信息。

在一个实施例中，所述根据所述访问指令对应实体的策略信息确定会话摘要，包括：

对所述访问指令对应实体的策略信息中的操作信息进行哈希计算，得到第一哈希值；

对所述访问指令对应实体的策略信息中的环境信息进行哈希计算，得到第二哈希值；

根据所述第一哈希值与所述第二哈希值确定会话摘要。

在一个实施例中，所述对所述访问指令对应实体的策略信息中的操作信息进行哈希计算，得到第一哈希值，包括：

通过SM3算法，对所述访问指令对应实体的策略信息中的操作信息进行哈希计算，得到第一哈希值。

在一个实施例中，所述根据所述第一哈希值与所述第二哈希值确定会话摘要，包括：