技術領域

本發明屬于計算機應用領域，尤其涉及一種計算機系統及其度量方法。

背景技術

隨著我國國民經濟、信息化建設和國防建設的快速發展，人們對高安全、高性能的信息安全應用產品的需要越來越迫切。基于可信計算的信息安全應用產品的研發將促進我國經濟社會信息化進程、保障國家信息安全。為了滿足對信息安全要求比較高的用戶的需求，現有技術提供了擁有可信計算機平臺、可信基本輸出輸出系統(Basic?Input?Output?System，BIOS)、可信存儲和虛擬機監控等技術的新一代可信計算安全應用產品。這種可信計算安全應用產品一般需要對計算機系統進行可信度量，來提高其全性。

現有的可信計算安全應用產品一般采用可信計算和虛擬化技術來解決計算機信息安全問題。現有的虛擬機監視器(Virtual?Machine?Monitor，VMM)，也稱為VMM虛擬機，是架設在BIOS和操作系統之間的，由于該虛擬機監視器擁有多用戶管理、系統網絡控制、系統防火墻等重要功能，因此，虛擬機監視器的安全和可信將關系到整個計算機系統的安全和可信。

現有的對可信計算安全應用產品的度量方法簡述如下：首先對BIOS進行度量，再對操作系統進行度量，最后對運行于操作系統之上的應用程序進行度量，以提高計算機系統的安全性。這種方式雖然一定程度上可以提高計算機系統的安全性，但由于虛擬機監視器的安全性極大的影響了計算機系統的整體安全性，因此，現有的度量方法依然難以使計算機系統達到較高的安全性。

發明內容

本發明實施例的目的在于提供一種計算機系統的度量方法，旨在解決現有的計算機系統安全性低的問題。

本發明實施例是這樣實現的，一種計算機系統的度量方法，所述方法包括下述步驟：

在基本輸入輸出系統BIOS啟動后，在操作系統啟動前，調用可信安全芯片對BIOS進行可信度量，在可信度量通過后，將信任鏈傳遞至虛擬機監視器；

調用可信安全芯片對虛擬機監視器進行可信度量，在可信度量通過后，將信任鏈傳遞至操作系統；

虛擬機監視器之上的操作系統通過其內置的前端驅動與內置于虛擬機監視器中的后端驅動之間的通信，調用可信安全芯片對虛擬機監視器之上的操作系統進行可信度量，在可信度量通過時，將信任鏈傳遞至運行在所述操作系統之上的應用程序；

通過內置于操作系統中的前端驅動與內置于虛擬機監視器中的后端驅動之間的通信，調用可信安全芯片對運行在操作系統之上的應用程序進行可信度量，在可信度量通過時，建立計算機系統的可信計算信任鏈。

本發明實施例的另一目的在于提供一種計算機系統，包括可信計算平臺、基于可信計算平臺的虛擬機監控器、基于虛擬機監控器的操作系統以及運行于操作系統上的應用程序，所述可信計算平臺包括安全主板，所述安全主板包括基本輸入輸出系統和主板平臺，所述可信計算平臺還包括可信安全芯片和安全支持軟件；

所述可信安全芯片對BIOS、虛擬機監視器、操作系統以及應用程序進行可信度量；

所述安全支持軟件在BIOS可信度量通過后，將信任鏈傳遞至所述虛擬機監視器；

所述虛擬機監視器包括物理驅動、可信度量單元和后端驅動；

所述物理驅動是可信安全芯片的物理驅動，用于驅動并調用所述可信安全芯片；

所述可信度量單元通過所述物理驅動調用可信安全芯片對虛擬機監視器進行可信度量，并在可信度量通過時，將信任鏈傳遞至操作系統；

所述操作系統包括前端驅動和可信度量與報告單元；

所述前端驅動是可信安全芯片的前端驅動，用于與所述后端驅動進行通信，驅動并調用所述可信安全芯片；

所述可信度量與報告單元通過所述前端驅動與后端驅動之間的通信，調用所述可信安全芯片對操作系統進行可信度量，并在可信度量通過時，將信任鏈傳遞至應用程序；

所述應用程序通過所述前端驅動與所述后端驅動之間的通信，調用所述可信安全芯片對應用程序進行可信度量，并在可信度量通過時，建立計算機系統的可信計算信任鏈。

在本發明實施例中，在啟動BIOS之后，在啟動操作系統之前，采用可信安全芯片依次對BIOS、虛擬機監視器、操作系統以及運行于操作系統之上的應用程序進行可信度量，建立計算機系統的可信計算信任鏈，由于虛擬機監視器的安全性極大程度上影響了計算機系統的安全性，因此，通過對虛擬機監視器進行可信度量，并建立計算機系統的可信計算信任鏈，從而極大的提高了計算機系統安全性。

附圖說明

圖1是本發明實施例提供的計算機系統的度量方法的實現流程圖；

圖2是本發明實施例提供的信任鏈傳遞示例圖；