[發明專利]計算機系統及安全執行的方法有效
| 申請號: | 201610864154.4 | 申請日: | 2016-09-26 |
| 公開(公告)號: | CN106656502B | 公開(公告)日: | 2020-09-01 |
| 發明(設計)人: | 李凱;沈昀;李輝 | 申請(專利權)人: | 上海兆芯集成電路有限公司 |
| 主分類號: | H04L9/32 | 分類號: | H04L9/32 |
| 代理公司: | 北京匯澤知識產權代理有限公司 11228 | 代理人: | 張瑾 |
| 地址: | 201203 上海市浦東新*** | 國省代碼: | 上海;31 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 計算機系統 安全 執行 方法 | ||
1.一種計算機系統,其特征在于,包括:
處理器,其包括電子熔絲存儲器及微碼執行單元;以及
存儲器,操作上耦合至上述處理器,且儲存可信模塊以及上述可信模塊的數字證書;
其中上述微碼執行單元驗證上述數字證書的數字簽名,以及當上述數字簽名通過驗證時,根據上述數字證書中的第一擴展項中所記錄的與上述可信模塊對應的第一哈希值來對上述可信模塊進行驗證;
上述微碼執行單元還計算上述數字證書的公鑰的第二哈希值,并于上述微碼執行單元判定上述第二哈希值與可信公鑰哈希值相同時才執行上述對數字簽名的驗證,其中,所述可信公鑰哈希值預先存儲于所述處理器的所述電子熔絲存儲器中。
2.根據權利要求1所述的計算機系統,其特征在于,上述微碼執行單元在重置后根據默認值得到上述可信模塊以及上述數字證書在上述存儲器中的地址。
3.根據權利要求1所述的計算機系統,其特征在于,上述微碼執行單元在執行特定指令時,根據該特定指令的參數得到上述可信模塊以及上述數字證書在上述存儲器中的地址。
4.根據權利要求1所述的計算機系統,其特征在于,上述微碼執行單元還從上述第一擴展項讀取與上述可信模塊對應的版本號,比對上述版本號是否新于或等于預存版本號,以及于上述版本號新于或等于上述預存版本號時才執行上述對可信模塊的驗證。
5.根據權利要求1所述的計算機系統,其特征在于,上述微碼執行單元還計算出上述可信模塊的第三哈希值,并于上述第一哈希值與上述第三哈希值相同時比對上述可信模塊是否符合上述計算機系統的硬件平臺規格,若是,則決定上述可信模塊通過驗證。
6.根據權利要求1所述的計算機系統,其特征在于,當上述數字證書的證書鏈長度大于1時,上述存儲器還儲存上述可信模塊的證書鏈,上述數字證書為上述證書鏈中的根證書,上述微碼執行單元還根據上述根證書對上述證書鏈中的中級證書進行驗證,根據上述中級證書對上述證書鏈中的葉證書進行驗證,以及根據上述葉證書中的第二擴展項中所記錄與上述可信模塊對應的第三哈希值來對上述可信模塊進行驗證。
7.根據權利要求6所述的計算機系統,其特征在于,當上述中級證書的認證中心標示名與上述根證書匹配時,上述微碼執行單元根據驗證通過的上述根證書中的公鑰驗證上述中級證書的數字簽名。
8.根據權利要求6所述的計算機系統,其特征在于,當上述葉證書的認證中心標示名與上述中級證書匹配時,上述微碼執行單元根據驗證通過的上述中級證書中的公鑰驗證上述葉證書的數字簽名。
9.根據權利要求1所述的計算機系統,其特征在于,上述可信模塊為關聯至基本輸入輸出系統的多個可信固件的第一個,上述微碼執行單元還在上述計算機系統開機時從執行上述對可信模塊的驗證開始逐一由上述可信固件的其中一個向下一個進行驗證,從而建立靜態信任鏈以驗證上述基本輸入輸出系統的可信狀態,并于驗證通過后允許上述基本輸入輸出系統的執行以完成上述計算機系統開機。
10.一種安全執行的方法,適用于處理器,所述處理器包括電子熔絲存儲器及微碼執行單元,其特征在于,包括:
從存儲器讀取可信模塊以及上述可信模塊的數字證書;
由上述微碼執行單元計算上述數字證書的公鑰的第二哈希值;
由上述微碼執行單元驗證上述數字證書的數字簽名,其中,于上述微碼執行單元判定上述第二哈希值與可信公鑰哈希值相同時才執行上述對數字簽名的驗證,其中,所述可信公鑰哈希值預先存儲于所述處理器的所述電子熔絲存儲器中;
當上述數字簽名通過驗證時,根據上述數字證書中的第一擴展項中所記錄的與上述可信模塊對應的第一哈希值來對上述可信模塊進行驗證;以及
于上述可信模塊驗證通過后允許上述可信模塊所關聯的基本輸入輸出系統、操作系統、或軟件應用的執行。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于上海兆芯集成電路有限公司,未經上海兆芯集成電路有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201610864154.4/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種數據包驗證方法及系統
- 下一篇:一種數據廣播系統、數據廣播方法及設備
