技術領域

本發明涉及網絡安全技術，更具體地，涉及一種動態安全度量的實現方法、安全度量裝置及應用系統。

背景技術

安全度量通常指系統和/或信息的完整性度量。目前，現有系統中通常采用靜態度量，即在被度量實體執行時刻或者約定的時刻進行度量。圖1是現有技術的應用系統的一個例子的結構示意圖。如圖1所示，該應用系統10可以包括：通用處理器11、BIOS(Basic?Input?Output?System，基本輸入輸出系統)12、FW(Firmware，固件)13、操作系統14和應用程序15。通過對應用系統進行靜態度量，在一定程度上保障了系統的安全性。

但是，靜態度量無法克服被度量實體在度量后使用前被篡改的問題，仍然存在一定的安全隱患，并且由于現有的硬件系統性能較低也無法解決該問題。

發明內容

本發明要解決的一個技術問題是提供一種安全度量裝置，能夠根據度量比對的結果確定被調用的系統和/或軟件信息的完整性。

本發明提供了一種安全度量裝置，包括：控制模塊，用于獲取系統和/或軟件信息，向安全處理器發送度量比對指令，并將系統和/或軟件信息發送到安全處理器；安全處理器，用于根據來自控制模塊的度量比對指令對接收的系統和/或軟件信息進行度量操作，并將度量操作獲得的度量結果和度量基準值進行比較，根據比較結果返回比較結果狀態。

根據本發明安全度量裝置的一個實施例，控制模塊還用于在應用系統初始化時向安全處理器發送度量存儲指令，并將需要被度量的系統和/或軟件信息發送到安全處理器；安全處理器還用于根據來自控制模塊的度量存儲指令對接收的需要被度量的系統和/或軟件信息進行度量操作，存儲度量操作的結果作為度量基準值。

根據本發明安全度量裝置的另一實施例，安全處理器包括：存儲器，用于存儲度量基準值；宏指令譯碼器，用于對來自控制模塊的度量比對指令進行譯碼獲得散列運算指令和比較指令，將散列運算指令和比較指令分別發送給散列運算IP部件和比較IP部件；散列運算IP部件，用于接收散列運算指令，根據散列運算指令對系統和/或軟件信息進行度量操作，將度量結果發送給比較IP部件；比較IP部件，用于接收比較指令，將來自散列運算IP部件的度量結果與存儲在存儲器中的度量基準值進行比較，輸出比較結果。

本發明提供的安全度量裝置，根據控制模塊發送的度量指令對被調用的系統和/或軟件信息進行度量，再將度量后的結果與存儲的度量基準值進行比對以根據比對的結果確定被調用的系統和/或軟件信息是否被篡改，從而在系統和/或軟件信息被加載到應用系統之前接受完整性檢查，進而可以保護應用系統的安全。

進一步，通過散列運算IP部件和比較IP部件完成度量比對操作，可以滿足完整性度量對硬件系統的性能要求，使得安全度量裝置具有較高的性能。

本發明要解決的另一技術問題是提供一種應用系統，能夠根據度量比對的結果確定應用系統中被調用的系統和/或軟件信息的完整性。

本發明提供了一種應用系統，包括安全度量裝置，用于接收應用系統的系統和/或軟件信息，對接收的系統和/或軟件信息進行度量操作，將度量操作獲得的度量結果和度量基準值進行比較，根據比較結果返回比較結果狀態。

根據本發明應用系統的一個實施例，安全度量裝置包括：控制模塊，用于獲取系統和/或軟件信息，向安全處理器發送度量比對指令，并將系統和/或軟件信息發送到安全處理器，返回比較結果狀態；安全處理器，用于根據來自控制模塊的度量比對指令對接收的系統和/或軟件信息進行度量操作，并將度量操作獲得的度量結果和度量基準值進行比較，根據比較結果向控制模塊返回比較結果狀態。

根據本發明應用系統的另一實施例，安全處理器包括：存儲器，用于存儲度量基準值；宏指令譯碼器，用于對來自控制模塊的度量比對指令進行譯碼獲得散列運算指令和比較指令，將散列運算指令和比較指令分別發送給散列運算IP部件和比較IP部件；散列運算IP部件，用于接收散列運算指令，根據散列運算指令對系統和/或軟件信息進行度量操作，將度量結果發送給比較IP部件；比較IP部件，用于接收比較指令，將來自散列運算IP部件的度量結果與存儲在存儲器中的度量基準值進行比較，輸出比較結果。

本發明提供的應用系統，通過其中的安全度量裝置來檢查應用系統中被調用的系統和/或軟件信息的完整性，從而可以保護應用系統的安全。

本發明要解決的又一技術問題是提供一種動態安全度量的實現方法，能夠根據度量比對的結果確定被調用的系統和/或軟件信息的完整性。