[发明专利]一种高信度计算平台有效
| 申请号: | 200910250396.4 | 申请日: | 2009-12-07 |
| 公开(公告)号: | CN101877040A | 公开(公告)日: | 2010-11-03 |
| 发明(设计)人: | 王晓程;蒋志翔;王斌;孙永泉;杜中平;李红;曲新春;陈志浩;王旭;曾颖明 | 申请(专利权)人: | 中国航天科工集团第二研究院七○六所 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00 |
| 代理公司: | 中国航天科工集团公司专利中心 11024 | 代理人: | 岳洁菱 |
| 地址: | 100854*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种高信度计算平台,包括主板(1)和可信BIOS(3),还包括可信密码模块(2),并通过总线连接。计算机加电,可信密码模块(2)首先上电,通过对电源、时钟和复位信号线的控制使主板(1)处于复位状态,同时安全控制模块(4)启动BIOS完整性度量机制确保BIOS可信,之后安全控制模块(4)释放电源、时钟和复位信号,主板(1)通过LPC总线直接访问BIOS芯片,加载可信BIOS(3)正常启动;可信BIOS(3)依次加载其中的硬盘引导扇区完整性度量单元(9)和操作系统核心组件完整性度量单元(10)完成软件完整性度量;度量通过后正常加载操作系统运行。本发明保证了计算机启动过程中的安全、可信。 | ||
| 搜索关键词: | 一种 信度 计算 平台 | ||
【主权项】:
一种高信度计算平台,包括主板(1)和可信BIOS(3),其特征在于:还包括可信密码模块(2),其中可信密码模块(2)包括安全控制模块(4)、密码芯片(5)、存储模块(6)和SDRAM(7),可信BIOS(3)包括可信密码模块驱动单元(8)、硬盘引导扇区完整性度量单元(9)和操作系统核心组件完整性度量单元(10);主板(1)通过PCIE总线和LPC总线与可信密码模块(2)连接,可信BIOS(3)通过LPC总线与可信密码模块(2)连接;可信密码模块(2)中,存储模块(6)和SDRAM(7)分别与安全控制模块(4)连接,密码芯片(5)通过PEBI总线与安全控制模块(4)连接;可信BIOS(3)中,可信密码模块驱动单元(8)分别与硬盘引导扇区完整性度量单元(9)以及操作系统核心组件完整性度量单元(10)连接;计算机加电,主板(1)启动过程中,可信密码模块(2)作为可信度量根首先上电,通过对电源、时钟和复位信号线的控制使主板(1)处于复位状态;同时安全控制模块(4)获得CPU控制权,启动BIOS完整性度量机制,通过LPC总线读取可信BIOS(3)的内容,对BIOS镜像进行完整性度量校验,度量通过比较系统当前可信BIOS的度量值和可信密码模块(2)中预先存储的预期值进行,如果度量校验失败,安全控制模块(4)将启动恢复机制,从可信密码模块(2)中恢复可信BIOS镜像并重新进行度量;BIOS完整性度量通过后,安全控制模块(4)释放电源、时钟和复位信号,同时将主板(1)的LPC总线通过安全控制模块(4)的内部硬件逻辑连接到可信BIOS(3)上,此时系统加载可信BIOS(3)正常启动;可信BIOS(3)调用硬盘引导扇区完整性度量单元(9)对硬盘主引导扇区进行完整性度量校验,度量通过后,接着调用操作系统核心组件完整性度量单元(10)对操作系统内核及核心组件进行完整性度量校验;软件完整性度量通过后,系统正常加载操作系统运行;至此通过以上各项安全措施,系统以可信密码模块为可信度量根,完成了信任链的正确传递,实现了计算机的安全启动。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国航天科工集团第二研究院七○六所,未经中国航天科工集团第二研究院七○六所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/200910250396.4/,转载请声明来源钻瓜专利网。
