技術領域

本發(fā)明涉及可信計算技術領域，特別是涉及一種構(gòu)建可信硬件信任鏈的方法以及裝置。

背景技術

目前，計算機終端架構(gòu)缺乏相應的安全機制，可能會使得整個計算平臺很容易被攻擊，進而使計算平臺處于不可控狀態(tài)。故可以從底層硬件、固件、及操作系統(tǒng)應用程序等方面采取綜合措施，以提高計算平臺的安全性。

可信計算技術可以在計算機中嵌入可信平臺模塊硬件設備，在計算機運行過程中各個執(zhí)行階段加入完整性度量機制，以建立完整信任鏈。可信平臺模塊硬件設備可以提供秘密信息硬件保護存儲功能，其可以應用于各個領域，例如黨政、能源等涉密領域。而可信平臺模塊硬件設備可以表現(xiàn)為可信芯片，例如為TPM芯片。

底層硬件的信任鏈建立作為完整信任鏈的源端，尤其對度量根的可信度量，是整個信任鏈建立的基礎。現(xiàn)有的可信度量一般是以可信芯片作為核心度量根，但是，其一般不會對核心度量根進行可信度量，可能導致可信度量的可信度較低，進而使計算終端的安全性較低。如何提高計算終端的安全性是本領域亟待解決的問題。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種構(gòu)建可信硬件信任鏈的方法以及裝置，目的在于解決現(xiàn)有技術中計算終端的安全性較低的問題。

為解決上述技術問題，本發(fā)明提供一種構(gòu)建可信硬件信任鏈的方法，該方法包括：

在基板管理控制器上電啟動之后，所述基板管理控制器通過上電時序控制程序，使CPU處于斷電狀態(tài)；

將可信芯片作為可信根，對所述基板管理控制器進行完整性度量，判斷所述基板管理控制器是否可信；

當判斷出所述基板管理控制器可信時，對BIOS的初始引導模塊進行完整性度量，判斷所述初始引導模塊是否可信；

當判斷出所述初始引導模塊可信時，所述基板管理控制器通過所述上電時序控制程序控制電源給所述CPU上電；

將所述基板管理控制器作為核心度量根，完成BIOS層面的完整性度量，以實現(xiàn)硬件信任鏈的構(gòu)建。

可選地，所述將可信芯片作為可信根，對所述基板管理控制器進行完整性度量，判斷所述基板管理控制器是否可信包括：

以所述可信芯片作為可信根，對所述基板管理控制器進行完整性度量，得出相應的第一可信度量值；

將所述第一可信度量值與預存儲的第一基準值進行比對，判斷是否一致；

當一致時，判斷所述基板管理控制器可信；

當不一致時，判斷所述基板管理控制器不可信。

可選地，所述當判斷出所述基板管理控制器可信時，對BIOS的初始引導模塊進行完整性度量，判斷所述初始引導模塊是否可信包括：

當所述第一可信度量值和所述第一基準值比對一致時，對所述初始引導模塊進行完整性度量，得出相應的第二可信度量值；

將所述第二可信度量值與所述第一可信度量值進行合并，得出相應的第三可信度量值；

將所述第三可信度量值與預存儲的第二基準值進行比對，判斷是否一致；

當一致時，判斷所述初始引導模塊可信；

當不一致時，判斷所述初始引導模塊不可信。

可選地，還包括：

通過創(chuàng)建網(wǎng)頁界面，對可信狀態(tài)進行呈現(xiàn)。

可選地，所述可信芯片為TCM可信芯片或TPM可信芯片。

此外，本發(fā)明還提供了一種構(gòu)建可信硬件信任鏈的裝置，該裝置包括：

斷電控制模塊，用于在基板管理控制器上電啟動之后，所述基板管理控制器通過上電時序控制程序，使CPU處于斷電狀態(tài)；

第一判斷模塊，用于將可信芯片作為可信根，對所述基板管理控制器進行完整性度量，判斷所述基板管理控制器是否可信；

第二判斷模塊，用于當判斷出所述基板管理控制器可信時，對BIOS的初始引導模塊進行完整性度量，判斷所述初始引導模塊是否可信；

上電控制模塊，用于當判斷出所述初始引導模塊可信時，所述基板管理控制器通過所述上電時序控制程序控制電源給所述CPU上電；

度量模塊，用于將所述基板管理控制器作為核心度量根，完成BIOS層面的完整性度量，以實現(xiàn)硬件信任鏈的構(gòu)建。

可選地，所述第一判斷模塊包括：

第一度量單元，用于以所述可信芯片作為可信根，對所述基板管理控制器進行完整性度量，得出相應的第一可信度量值；

第一比對單元，用于將所述第一可信度量值與預存儲的第一基準值進行比對，判斷是否一致；

第一可信判斷單元，用于當一致時，判斷所述基板管理控制器可信；