專利名稱:基于可信平臺模塊的計算機安全啟動系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及計算機信息安全技術領域,主要涉及基于可信計算平臺的授權安全啟動����,利 用可信計算平臺保證密鑰的安全存儲�����。
背景技術:
可信計算的基本思想是首先構建一個信任根,再建立一條信任鏈��,從信任根開始到硬 件平臺���,到操作系統(tǒng)���,再到應用��, 一級認證一級, 一級信任一級�,把這種信任擴展到整個計 算機系統(tǒng),從而確保整個計算機系統(tǒng)的可信�����。 一個可信計算機系統(tǒng)由可信根��、可信硬件平臺���、 可信操作系統(tǒng)和可信應用系統(tǒng)組成���。信任鏈把信任關系從信任根擴展到整個計算機系統(tǒng)。在
國際可信計算組織(Trusted Computing Group,縮寫為TCG)的可信PC技術規(guī)范中���,具體給 出了可信PC中的信任鏈�����。這個信任鏈以基本輸入輸出系統(tǒng)引導塊(BIOS Boot Block)和可 信平臺模塊(Trusted Platform Module �����,縮寫為TPM)芯片為信任根��,依次經(jīng)過基本輸入 輸出系統(tǒng)(BI0S)�、操作系統(tǒng)引導加載器(0SLoader)、操作系統(tǒng)(OS);沿著這個信任鏈�����,一 級測量認證一級����, 一級信任一級,以確保整個平臺的系統(tǒng)資源的完整性�����。
可信平臺模塊(見參考文獻[l])是一種片上系統(tǒng)(SOC)芯片���,是可信計算平臺的核心部 件�,包含密碼運算部件和存儲部件����;它由CPU���、存儲器、輸入輸出(I/O)��、密碼協(xié)處理器��、 隨機數(shù)產(chǎn)生器和嵌入式操作系統(tǒng)等部件組成����。TPM是可信計算平臺的信任根(可信存儲根和可 信報告根)��,它包含可信度量的存儲����、可信度量的報告、密鑰產(chǎn)生���、加密和簽名��、數(shù)據(jù)安全存 儲等功能���。
TPM的安全存儲功能是利用一種樹形密鑰結構實現(xiàn)的�����,其樹的根節(jié)點是永遠貯存在TPM 中的存儲根密鑰(Storage Root Key,縮寫為SRK)����。包含TPM的系統(tǒng)可以通過SRK創(chuàng)建密鑰 并對其進行加密���,使其只能通過TPM解密��。這一過程通常稱為打包或綁定密鑰���,有助于防止 密鑰泄露,TPM中創(chuàng)建的密鑰對的隱私部分決不會暴露給任何其他組件�、軟件、過程或個人���。
TPM將數(shù)據(jù)與特定的密鑰及平臺狀態(tài)綁定在一起���,只有被授權的用戶,使用該密鑰在相 同的平臺狀態(tài)下才可以解密被加密的數(shù)據(jù)��。有關平臺特定的硬件或軟件配置信息可以實現(xiàn)這 種邏輯綁定��,這些配置信息主要通過BIOS完成收集,然后被存儲到TPM內(nèi)部的平臺配置寄存 器(Platform Configuration Registers,縮寫為PCR)中�。TPM將密鑰數(shù)據(jù)連同一個或幾個 PCR值合在一起,作為一個整體進行加密處理�。當存取被保護的密鑰數(shù)據(jù)時TPM需要首先計 算對應的平臺配置信息,如果一致則允許訪問����。對于加密文件系統(tǒng)中被加密的密鑰,當只有 在此平臺上且平臺當前的配置信息與加密時指定的配置信息相符時才能夠解密此數(shù)據(jù)���。
多系統(tǒng)引導軟件(GRand Unified Bootloader�,縮寫為GRUB)是一個多重開機管理工具(見 參考文獻[2])�,它可用來激活Linux�����、 BSD�����、 OS/2���、 Windows 95/98/NT/2000/XP/Vista等眾多 操作系統(tǒng)����。它是一個獨立于操作系統(tǒng)之外的開機程序,也是BIOS之后的第一個運行程序��。目 前所有的Linux都會默認安裝GRUB�, Windows下也已經(jīng)有相應的GRUB程序。從組成結構上GRUB主要包含兩個部分stagel和stage2��。 stagel用于加載stage2�����,而 stage2能夠建立文件系統(tǒng)和內(nèi)核格式�����,并提供命令行界面或者菜單界面來進行啟動����。通常而 言,在stagel和stage2之間存在一個stagel. 5,默認情況下stagel. 5是沒有被安裝的��, 它的主要作用是建立文件系統(tǒng)(如Ext2���、 Ext3�����、 Fat32等)并加載stage2文件�。
目前TCG的技術規(guī)范只定義了GRUB啟動之前的信任鏈,對于GRUB啟動中�����、啟動后的信 任鏈建立過程并沒有給出詳細說明��,而GRUB是操作系統(tǒng)加載前的最后一個步驟��,它的安全與 否關系著操作系統(tǒng)的安全����,因此需要針對GRUB自身結構的特點,實現(xiàn)信任鏈的擴展傳遞�����,并 通過TPM的密封存儲功能�,對運行程序進行密封及提供用戶身份認證功能�。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術問題是提供一種基于可信平臺模塊的計算機安全啟動系統(tǒng),該
系統(tǒng)的啟動方法能夠有效地阻止非授權用戶對系統(tǒng)的使用,并利用TPM的安全存儲功能對各 類密鑰進行有效管理�。
本發(fā)明解決其技術問題采用的技術方案是基于可信平臺模塊的計算機安全啟動系統(tǒng),包
括
可信平臺模塊��,作為S^系^S量驗證的可信根����; 可信度量根,作為^t系統(tǒng)度量的錨節(jié)點�; 基本輸入輸出系統(tǒng),用于系統(tǒng)自檢及初始化��; 系統(tǒng)啟動加載器���,用于引導進入所需的操作系統(tǒng)�; 操作系統(tǒng)平臺�,用于監(jiān)視、虛擬或il^作系統(tǒng)環(huán)境���;
所述可信平臺模塊和所腿本輸鳩出系統(tǒng)作為硬件芯片安裝在該計靴安全啟動系統(tǒng)中���, 所述可信度量根安裝在基本輸入輸出系統(tǒng)中,所述系統(tǒng)啟動加載器和所述操作系統(tǒng)平臺安裝在計 算機安全啟動系統(tǒng)的磁盤上���,
其特征在于����,所述系統(tǒng)弓I導管理器細GRUB,所述GRUB中加入安全增強模塊����。
本發(fā)明與現(xiàn)有技術相比具有以下的主要優(yōu)點第一.在可信計算方面,實現(xiàn)了信任鏈的擴展傳遞����,保證了信任鏈從GRUB的stagel傳 遞到stagel. 5及其stage2,從而保證stage2能夠正確地加載操作系統(tǒng)內(nèi)核文件����,確保代碼
裝載和代碼執(zhí)行的一致性。
第二在GRUB安全增強方面���,在stagel. 5中加入密鑰管理模塊和stage2解密模塊��,并 通過修改stagel使其強制加載stagel. 5�,在不改變原有GRUB結構的基礎上�,實現(xiàn)了系統(tǒng)實 現(xiàn)的通用化。
第三.在密鑰管理方面�,采用兩層密鑰管理體系,各級密鑰層層加密�,綁定了平臺當前 運行環(huán)境,從而有效解決了密鑰的安全存儲問題����,并且實現(xiàn)了更髙的安全性。
第四.在密鑰保護措施方面�����,將密鑰和存儲在TPM內(nèi)部的用戶身份驗證授權口令進行綁 定����,提高了系統(tǒng)的安全強度。
總之�����,本發(fā)明利用磁盤扇區(qū)結構在GRUB的適合層次中插入安全啟動操作����,使系統(tǒng)具有通 用性和可移植性;在密鑰管理方面�,采用兩層密鑰管理體系,各級密鑰層層加密���,并將密鑰和平臺運行環(huán)境信息進行綁定���,從而有效解決了密鑰安全存儲的問題����,并且實現(xiàn)了更高的安 全性�����;在系統(tǒng)啟動方面����,TPM —方面保護了密鑰的安全性,另一方面對代碼進行安全存儲����, 確保了其靜態(tài)安全性。
圖1基于可信平臺模塊的計算機安全啟動系統(tǒng)的體系結構��。 圖2基于可信平臺模塊的計算機安全啟動安裝流程��。 圖3基于可信平臺模塊的計^fl安全啟動執(zhí)行流程���。
具體實施例方式
本發(fā)明提出了基于可信平臺模塊的計算機安全啟動方法�,具體是根據(jù)GRUB結構的特點, 在stagel. 5和stage2中加入安全增強模塊���,在系統(tǒng)啟動過程中,通過調(diào)用基本輸入輸出系 統(tǒng)上的中斷服務驅(qū)動程序和可信平臺模塊驅(qū)動程序�,訪問TPM芯片并利用安全存儲功能以及 平臺綁定功能獲取加解密密鑰SEK,位于stagel. 5中的解密模塊通過加解密密鑰SEK完成對 stage2的解密操作,從而實現(xiàn)了對代碼的認證執(zhí)行����。
本發(fā)明提出的基于可信平臺模塊的計算機安全啟動方法體系結構如圖l所示,包括
可信平臺模塊��,作為整個系^量驗證的可信根���;
可信度量根����,作為^t系^S量的錨節(jié)點���;
基本輸入輸出系統(tǒng),用于系統(tǒng)自檢及初始化���;
系統(tǒng)啟動加載器����,用于引導進入所需的操作系統(tǒng);
操作系統(tǒng)平臺�,用于監(jiān)視、虛擬或JI^作系統(tǒng)環(huán)境�����;
所述可信平臺模塊和所述基本輸入輸出系統(tǒng)作為硬件芯片安裝在該計算機安全啟動系統(tǒng)中�����, 所述可信度量根安裝在基本輸入輸出系統(tǒng)中����,所述系統(tǒng)啟動加載器和所述操作系統(tǒng)平臺安裝在計 算機安全啟動系統(tǒng)的磁盤上,所述系統(tǒng)引導管理器5^ffl GRUB�, ,GRUB中加入安全增強模塊,所 述安全增強模塊包括密鑰管理和解密模塊����。所述操作系統(tǒng)平臺可包括虛mm視器(VMM)和操作 系統(tǒng)。
本發(fā)明提供的上述基于可信平臺模塊的計算機安全系統(tǒng)的啟動方法�,包括安裝流程和執(zhí) 行流程。
100.安裝可信引導系統(tǒng)�,包括以下幾個步驟�����,如圖2所示
110)利用所述磁盤扇區(qū)結構在所述GRUB中的stagel (加載器第一部分)和stage2 (加 載器第三部分)之間插入stagel. 5 (加載器第二部分)����; 120)通過所述可信平臺模塊隨機生成加解密密鑰�����;
130)利用所述加解密密鑰對所述磁盤上的stage2進行全加密��,并用加密后的stage2密 文替換原始stage2;
140)通過可信平臺模塊的安全存儲功能對該加解密密鑰進行加密存儲�����。 200.執(zhí)行流程����,包括以下幾個步驟����,如圖3所示
210)所述可信度量根度量所述基本輸入輸出系統(tǒng)的完整性,若驗證通過����,系統(tǒng)自檢及初 始化�����,否則停止啟動流程���;220)所述基本輸入輸出系統(tǒng)度量stagel的完整性,若驗證通過�����,讀取主引導記錄��,否 則停止啟動流程�����;
230) stagel加載stagel. 5���,度量其完整性��,若驗證通過����,運行stagel. 5,否則停止啟 動流程��;
240) stagel. 5驗證用戶和系統(tǒng)平臺的正確性��,若正確則解封被加密存儲的加解密密鑰�, 否則停止啟動流程;
250) stagel. 5的解密模塊根據(jù)加解密密鑰�,將全加密的stage2讀入內(nèi)存,通過可信平 臺模塊對其進行解密�����;
260) stagel. 5度量解密后的stage2的完整性���,若驗證通過,操作權轉至stage2�,否則 停止啟動流程;
270)stage2度量操作系統(tǒng)平臺的完整性�����,若驗證通過�����,啟動操作系統(tǒng),否則停止啟動流程���。
下面結合附圖對本發(fā)明作進一步說明����。
1. 信任鏈擴展傳遞
可信計算的主要思想是通過可信度量根(CRTM)和可信平臺模塊(TPM),從系統(tǒng)啟動 到操作系統(tǒng)到應用程序��,通過完整性度量的方式建立信任鏈��。目前TCG規(guī)范只給出了系統(tǒng)加 電開始�,從BIOS到主引導記錄(腿R)建立信任鏈的方法。本發(fā)明根據(jù)操作啟動加載器GRUB 的結構特點�����,繼續(xù)將信任鏈從MBR(stagel)傳遞到sta辟1.5����、 stage2,再從stage2傳遞到操 作系統(tǒng)加載程序����。
信任鏈傳遞的基本思想是對靜態(tài)程序的完整性度量��,TCG規(guī)范規(guī)定BIOS需要度量 stagel (MBR)的完整性����,通過對GRUB進行安全增強����,本系統(tǒng)規(guī)定stagel度量stagel. 5的完整性, stagel. 5度量stage2的完整性�����,體系結構如圖l所示�����。
在執(zhí)行階段���,信任鏈擴展及其用戶授權流程如圖1和圖3所示,并且
所述210)中��,可信度量根度量所述基本輸入輸出系統(tǒng)的完整性后����,還將該度量結果存入 可信平臺模塊的0~3號平臺配置寄存器;
所述220)中,基本輸入輸出系統(tǒng)度量stagel的完整性后��,還將該度量結果存入可信平 臺模塊的4 5號平臺配置寄存器���;
所述230)中���,stagel度量stagel. 5的完整性后,還將該度量結果存入可信平臺模塊的 8~9號平臺配置寄存器���;
所述260)中�,stagel. 5度量解密后的stage2的完整性后�,還將該度量結果存入可信平 臺模塊的10 11號平臺配置寄存器;
所述270)中��,stage2度量操作系統(tǒng)平臺的完整性后�,還將該度量結果存入可信平臺模塊 的15號平臺配置寄存器。
2. 密鑰管理
TPM芯片內(nèi)部的加密過程與系統(tǒng)是隔離的�,與系統(tǒng)軟件實現(xiàn)的加密函數(shù)相比,對于硬件級 的保護���,傳統(tǒng)的攻擊方法將難以竊取敏感數(shù)據(jù)�,TPM加密具有更髙的安全性���。加解密操作的環(huán)境受到了平臺綁定的保護���,更加安全可靠�����。
本系統(tǒng)采用鏈式加密方法來保護密鑰和stage2���,體系結構如圖2所示,包含兩類密鑰
(1) 存儲根密鑰(SRK):
平臺使用者可通過廠商的配置得到TPM的所有者(owner)權限�����,從而生成SRK�,也就是 得到存儲根密鑰。SRK是整個平臺的可信密鑰根�,其私鑰永久存儲在TPM內(nèi)部,其安^ft通過 TPM自身的物理安全來保證�。
(2) stage2的對稱加解密密鑰(SEK):
在安裝階段,上述步驟120)生成加解密密鑰SEK的步驟如圖2所示 121)進入所述GRUB的控制臺�,由其上的密鑰管理模塊通過所述基本輸入輸出系統(tǒng)上的中 斷服務驅(qū)動程序和可信平臺模塊驅(qū)動程序調(diào)用可信平臺模塊獲得隨機數(shù)�����,并將所得隨機數(shù)作 為stage2加解密密鑰。SEK得到后���,通過加密模塊和安全密封模塊被加密����,具體而言�����,上述 步驟140)對加解密密鑰進行加密存儲的步驟包括
141) 要求用戶輸入兩次授權口令�,分別作為使用所述可信平臺模塊上的存儲根密鑰的密 鑰授權,和封裝SEK的的數(shù)據(jù)授權�;
142) 將所述加解密密鑰、所述存儲根密鑰的密鑰授權��、所述封裝加解密密鑰的數(shù)據(jù)授權 和當前平臺配置信息封裝在一起�,生成封裝數(shù)據(jù);
143) 通過所述可信平臺模塊的存儲根密鑰對步驟142)的所述封裝信息進行加密保護�����, 并將加密后的結果存放在磁盤上���。
與之對應���,上述步驟240)解封被加密存儲的加解密密鑰的步驟包括
241) 驗證用戶輸入的口令���,若口令正確則進入下一步,否則停止解封�����;
242) 驗證所述存儲根密鑰的句柄的正確性�����,若正確則利用存儲根密鑰解密143)的所述 加密后的結果�����,得到所述封裝數(shù)據(jù)��,否則停止解封��;
243) 將封裝數(shù)據(jù)中的所述平臺配置信息和平臺當前的環(huán)境參數(shù)進行比對��,若一致則輸出 加解密密鑰�,否則停止解封。
實施例
本發(fā)明提出的基于可信平臺模塊的計算機安全啟動方法體系結構如圖l所示,包括
可信平臺模塊�����,作為3&t系^量i^的可信根�;
可信度量根���,作為整個系^S量的錨節(jié)點����;
基本輸入輸出系統(tǒng)�,用于系統(tǒng)自檢及初始化;
系統(tǒng)啟動加載器�����,用于引導:ffiA所需的操作系統(tǒng)���;
操作系統(tǒng)平臺�����,用于監(jiān)視��、虛擬或tl^作系統(tǒng)環(huán)境
所述可信平臺模塊和所述基本輸入輸出系統(tǒng)作為硬件芯片安裝在該計算機安全啟動系統(tǒng)中����, 所述可信度量根安裝在基本輸入輸出系統(tǒng)中,所述系統(tǒng)啟動加載器和所述操作系統(tǒng)平臺安裝在計 算機安全啟動系統(tǒng)的磁盤上��,^系統(tǒng)引導管理器^ffiGRUB,所述GRUB中加入安全增強模塊���。
本發(fā)明提供的上述基于可信平臺模塊的計算機安全系統(tǒng)的啟動方法��,包括安裝可信引導 系統(tǒng)和執(zhí)行可信啟動流程��。300.安裝可信引導系統(tǒng)的流程包括
310)利用所述磁盤的扇區(qū)結構在所述GRUB中的stagel和stage2之間插入stagel. 5;
320)進入所述GRUB的控制臺����,通過所述基本輸入輸出系統(tǒng)上的中斷服務驅(qū)動程序和可 信平臺模塊驅(qū)動程序調(diào)用可信平臺模塊獲得隨機數(shù)�����,并將所得隨機數(shù)作為stage2加解密密 鑰
330)利用所述加解密密鑰對所述磁盤上的stage2進行全加密���;
340)要求用戶輸入兩次授權口令����,分別作為使用所述可信平臺模塊上的存儲根密鑰的密 鑰授權,和封裝SEK的的數(shù)據(jù)授權��;
350)將所述加解密密鑰���、所述存儲根密鑰的密鑰授權、所述封裝加解密密鑰的數(shù)據(jù)授權 和當前平臺配置信息封裝在一起����,生成封裝數(shù)據(jù);
360)通過所述可信平臺模塊的存儲根密鑰對步驟350)的所述封裝信息進行加密保護���, 并將加密后的結果存放在磁盤上�。
400.執(zhí)行可信啟動流程包括
410)所述可信度量根度量所述基本輸入輸出系統(tǒng)的完整性��,將該度量結果存入可信平臺
模塊的0 3號平臺配置寄存器�����;若驗證通過�����,系統(tǒng)自檢及初始化�����,否則停止啟動流程;
420)所述基本輸入輸出系統(tǒng)度量stagel的完整性����,將該度量結果存入可信平臺模塊的
4 5號平臺配置寄存器;若驗證通過�,讀取主引導記錄,否則停止啟動流程����;
430) stagel加載stagel. 5,度量其完整性��,將該度量結果存入可信平臺模塊的8 9號 平臺配置寄存器�����;若驗證通過�,運行stagel. 5,否則停止啟動流程
440)驗證用戶輸入的口令�,若口令正確則進入下一步,否則停止啟動流程��;
450)驗證所述存儲根密鑰的句柄的正確性���,若正確則利用存儲根密鑰解密360)的所述 加密后的結果����,得到所述封裝數(shù)據(jù),否則停止啟動流程����;
460)將封裝數(shù)據(jù)中的所述平臺配置信息和平臺當前的環(huán)境參數(shù)進行比對,若一致則輸出 加解密密鑰���,否則停止啟動流程;
470) stagel. 5根據(jù)加解密密鑰�����,通過可信平臺模塊對全加密的stage2進行解密�����;
480) stagel. 5度量解密后的stage2的完整性��,將該度量結果存入可信平臺模塊的10 ll號平臺配置寄存器�;若驗證通過,操作權轉至stage2,否則停止啟動流程�;
490)stage2度量操作系統(tǒng)平臺的完整性��,還將該度量結果存入可信平臺模塊的15號平臺 配置寄存器若驗證通過�,啟動操作系統(tǒng)����,否則停止啟動流程。 參考文獻
1. Trusted Computing Group (TCG). TPM Main Specification, Version 1-2 Revision 94.[EB/0L]. [2006-03-29] https://www.trustedcomputinggroup.org/specs/TPM/.
2. GNU GRUB. [EB/0L]. [2005-05-08] ftp:〃alpha. gnu. org/gnu/grub/grub-O. 97. tar. gz.
權利要求
1.基于可信平臺模塊的計算機安全啟動系統(tǒng)�,包括可信平臺模塊,作為整個系統(tǒng)度量驗證的可信根���;可信度量根�����,作為整個系統(tǒng)度量的錨節(jié)點�����;基本輸入輸出系統(tǒng)���,用于系統(tǒng)自檢及初始化;系統(tǒng)啟動加載器��,用于引導進入所需的操作系統(tǒng)��;操作系統(tǒng)平臺,用于監(jiān)視�、虛擬或提供操作系統(tǒng)環(huán)境;所述可信平臺模塊和所述基本輸入輸出系統(tǒng)作為硬件芯片安裝在該計算機安全啟動系統(tǒng)中����,所述可信度量根安裝在基本輸入輸出系統(tǒng)中,所述系統(tǒng)啟動加載器和所述操作系統(tǒng)平臺安裝在計算機安全啟動系統(tǒng)的磁盤上�,其特征在于,所述系統(tǒng)引導管理器采用GRUB�,所述GRUB中加入安全增強模塊。
2. 如權利要求1所述系統(tǒng)的啟動方法��,其特征在于��,包括 100)安裝可信引導系統(tǒng)�;200)執(zhí)行可信啟動流程�;所述IOO)安裝可信引導系統(tǒng)的流程包括110)利用所述磁盤的扇區(qū)結構在所述GRUB中的stagel和stage2之間插入stagel. 5; 120)通過所述可信平臺模塊隨機生成加解密密鑰;130)利用所述加解密密鑰對所述磁盤上的stage2進行全加密����,并用加密后的stage2密 文替換原始stage2;140)通過可信平臺模塊的安全存儲功能對該加解密密鑰進行加密存儲; 所述200)執(zhí)行可信啟動流程包括210)所述可信度量根度量所述基本輸入輸出系統(tǒng)的完整性�����,若驗證通過,系統(tǒng)自檢及初 始化��,否則停止啟動流程�����;220)所述基本輸入輸山系統(tǒng)度量stagel的完整性���,若驗證通過�,讀取主引導記錄���,否 則停止啟動流程�;230) stagel加載stagel. 5,度量其完整性�,若驗證通過,運行stagel. 5,否則停止啟 動流程�����;240) stagel. 5驗證用戶和系統(tǒng)平臺的正確性�,若正確則解封被加密存儲的加解密密鑰, 否則停止啟動流程250) stagel. 5根據(jù)加解密密鑰����,通過可信平臺模塊對全加密的stage2進行解密��; 260) stagel. 5度量解密后的stage2的完整性���,若驗證通過,操作權轉至stage2�,否則 停止啟動流程;270)stage2度量操作系統(tǒng)平臺的完整性����,若驗證通過,啟動操作系統(tǒng)����,否則停止啟動流程。
3. 如權利要求2所述系統(tǒng)的啟動方法�,其特征在于,所述120)生成加解密密鑰的步驟 包括121)進入所述GRUB的控制臺�,通過所述基本輸入輸出系統(tǒng)上的中斷服務驅(qū)動程序和可信 平臺模塊驅(qū)動程序調(diào)用可信平臺模塊獲得隨機數(shù)�,并將所得隨機數(shù)作為stage2加解密密鑰。
4. 如權利要求2所述系統(tǒng)的啟動方法��,其特征在于���,所述140)對加解密密鑰進行加密 存儲的歩驟包括141) 要求用戶輸入兩次授權口令�,分別作為使用所述可信平臺模塊上的存儲根密鑰的密 鑰授權,和封裝加解密密鑰的的數(shù)據(jù)授權��;142) 將所述加解密密鑰�、所述存儲根密鑰的密鑰授權、所述封裝加解密密鑰的數(shù)據(jù)授權 和當前平臺配置信息封裝在一起����,生成封裝數(shù)據(jù);143) 通過所述可信平臺模塊的存儲根密鑰對步驟142)的所述封裝信息進行加密保護�, 并將加密后的結果存放在磁盤上。
5. 如權利要求4所述系統(tǒng)的啟動方法���,其特征在于����,所述240)解封被加密存儲的加解 密密鑰的歩驟包括241) 驗證用戶輸入的口令��,若口令正確則進入下一步�����,否則停止解封����;242) 驗證所述存儲根密鑰的句柄的正確性�����,若正確則利用存儲根密鑰解密143)的所述 加密后的結果���,得到所述封裝數(shù)據(jù),否則停止解封�;243) 將封裝數(shù)據(jù)中的所述平臺配置信息和平臺當前的環(huán)境參數(shù)進行比對,若一致則輸出 加解密密鑰��,否則停止解封����。
6. 如權利要求2 5中任一項所述系統(tǒng)的啟動方法,其特征在于所述210)中�����,可信度量棍度量所述基本輸入輸出系統(tǒng)的完整性后����,還將該度量結果存入 可信平臺模塊的0 3號平臺配置寄存器�����;所述220)中,基本輸入輸出系統(tǒng)度量stagel的完整性后���,還將該度量鍤果存入可信平 臺模塊的4 5號平臺配置寄存器�;所述230)中�,stagel度量stagel.5的完整性后,還將該度量結果存入可信平臺模塊的 8 9號平臺配置寄存器���;所述260)中�����,stagel.5度量解密后的stage2的完整性后����,還將該度量結果存入可信平 臺模塊的10~11號平臺配置寄存器�;所述270)中,stage2度量操作系統(tǒng)平臺的完整性后��,還將該度量結果存入可信平臺模 塊的15號平臺配置寄存器��。
全文摘要
本發(fā)明提供了一種基于可信平臺模塊的計算機安全啟動系統(tǒng)����,包括可信平臺模塊�、可信度量根��、基本輸入輸出系統(tǒng)���、系統(tǒng)啟動加載器和操作系統(tǒng)平臺����。所述可信平臺模塊和所述基本輸入輸出系統(tǒng)作為硬件芯片安裝在該計算機安全啟動系統(tǒng)中�����,所述可信度量根安裝在基本輸入輸出系統(tǒng)中����,所述系統(tǒng)啟動加載器和所述操作系統(tǒng)平臺安裝在計算機安全啟動系統(tǒng)的磁盤上,所述系統(tǒng)引導管理器采用GRUB�����,所述GRUB中加入安全增強模塊�����,所述安全增強模塊包括密鑰管理和解密模塊。本發(fā)明能有效地阻止非授權用戶對系統(tǒng)的使用�����,并利用TPM的安全存儲功能對各類密鑰進行有效管理�。
文檔編號G06F9/445GK101576944SQ200810197748
公開日2009年11月11日 申請日期2008年11月20日 優(yōu)先權日2008年11月20日
發(fā)明者飛 嚴, 凡 何, 騻 向, 雨 張, 張煥國, 徐士偉, 徐明迪, 飏 楊, 波 趙 申請人:武漢大學