本發明公開了一種安全啟動方法及裝置，包括：啟動鏈中上級啟動項讀取其下級啟動項的啟動鏡像；計算所述啟動鏡像的安全效驗值；通過非授權讀的方式讀取存儲在安全芯片中所述啟動鏡像對應的標準效驗值；比對所述安全效驗值和所述標準效驗值，若所述安全效驗值與所述標準效驗值匹配，則啟動所述下級啟動項；否則，停止啟動。通過該啟動方式避免了現有技術中因使用解密封機制受到解密數據長度的限制而導致的啟動效率低的技術問題。同時，本申請提出的安全啟動方法中，在系統更新時只需將需要更新的啟動項的標準效驗值更新到安全芯片即可，并不會影響到其他不需要更新的啟動項，簡化了系統升級流程。

技術領域

本發明涉及安全技術領域，尤其涉及一種安全啟動方法及裝置。

背景技術

設備從加電到完全運行的過程稱為啟動，啟動一般有兩種啟動方式，一種為可信啟動，另一種為安全啟動。可信啟動是對當前需要運行的啟動項進行度量后，無論其是否安全都繼續運行該啟動項，然后將對啟動項的度量結果通知驗證方，由驗證方評估所運行設備的安全狀態。安全啟動指除核度量信任根(Core Root of trusted measurement，CRTM)之外，每次運行一個啟動項之前，就對該啟動項的安全性進行評估，只有在該啟動項安全的情況下，才繼續運行該啟動項，否則，則拒絕運行并發出告警。

在2011年7月27日公開的公開號為102136044A的中國專利文獻中公開了一種安全啟動方法，其方案大致為：具有操作控制權的啟動組件調用可信平臺模塊TPM中的解封裝函數，所述解封裝函數被調用以用于在所述具有操作控制權的啟動組件運行時，獲取當前所述具有操作控制權的啟動組件所對應的平臺配置寄存器PCR中的數值，在當前所述具有操作控制權的啟動組件所對應的PCR中的數值與封裝包中的PCR值匹配且封裝包中具有用于解密下一個即將啟動的加密組件的解密密鑰時，向所述具有操作控制權的啟動組件返回所述解密密鑰；利用調用返回的解密密鑰解密所述下一個即將啟動的加密組件，并度量解密得到的啟動組件，得到度量值，控制TPM將所述度量值與所述解密得到的啟動組件所對應的PCR中的數值進行哈希運算，將哈希運算結果作為當前所述解密得到的啟動組件所對應的PCR中的數值，將操作控制權移交給所述解密得到的啟動組件，返回執行步驟A，直到設備的啟動組件全部啟動完成。

該方案的基本思想是利用安全芯片以及密封、解密封思想，對啟動組件進行解密與鏡像度量，并將度量結果擴展到安全芯片的PCR寄存器，這實質上是通過數字簽名的方式來保證啟動的安全。由于安全芯片的密封和解密封操作使用標準的非對稱加密算法，該算法規定解密數據長度不應大于秘鑰長度，所以每次能夠解密的數據小于150個字節，因此該方法可以保證啟動鏡像的正確性，但是有嚴重的效率問題。同時，如果每個啟動鏡像的度量值擴展到不同索引的PCR寄存器，就限制了系統啟動鏈中的啟動鏡像數目不能大于平臺中PCR寄存器的個數；如果將啟動鏡像的度量值擴展到平臺的同一個PCR寄存器，雖然系統啟動鏈中的啟動鏡像的數目不受約束，但是，該方案在系統升級時卻面臨嚴重的限制：因為啟動鏈中的某一個鏡像的升級將影響到啟動鏈后面的所有鏡像，必須對此后的每個啟動鏡像進行重新度量和擴展的操作驗證，這種方案會使系統的升級流程異常繁瑣。

發明內容

本發明要解決的主要技術問題是，提供一種安全啟動方法，用以解決現有技術中采用數字簽名方式來啟動時導致的啟動效率低、系統升級流程復雜的技術問題。

為解決上述技術問題，本發明提供一種安全啟動方法,其特征在于，包括：

啟動鏈中上級啟動項讀取其下級啟動項的啟動鏡像；

計算所述啟動鏡像的安全效驗值；

通過非授權讀的方式讀取存儲在安全芯片中所述啟動鏡像對應的標準效驗值；

比對所述安全效驗值和所述標準效驗值，若所述安全效驗值與所述標準效驗值匹配，則啟動所述下級啟動項；否則，停止啟動。

在本發明的一種實施例中，讀取所述下級啟動項的啟動鏡像包括：讀取所述下級啟動項的安裝位置及大小。