本發明提供了一種計算機啟動方法，計算機的CPU內設有可信根，該計算機啟動方法包括：在所述計算機加電后，執行所述可信根的程序代碼；所述可信根對所述計算機的基礎固件進行驗簽；當所述可信根對所述基礎固件驗簽成功時，執行所述基礎固件的當前程序代碼，使所述基礎固件完成對所述CPU的硬件的初始化；所述基礎固件對所述計算機的第三方固件進行驗簽；當所述基礎固件對所述第三方固件驗簽成功時，執行所述第三方固件的當前程序代碼，使所述第三方固件加載所述計算機的操作系統。本發明能增強計算機系統的安全性。

技術領域

本發明涉及計算機安全技術領域，特別涉及一種計算機啟動方法。

背景技術

計算機啟動安全對整個計算機系統的安全至關重要，是系統其它安全機制起作用的基礎。傳統的計算機啟動方式中，中央處理器(CPU，Central Processing Unit)沒有對啟動程序代碼以及用戶數據進行驗簽，黑客等攻擊者可以通過篡改程序代碼來奪取CPU的執行權限，加載惡意程序、獲取用戶數據，威脅計算機系統安全。

發明內容

本發明提供了一種計算機啟動方法，其目的是為了解決計算機在啟動過程中計算機系統的安全性低的問題。

為了達到上述目的，本發明的實施例提供了一種計算機啟動方法，計算機的CPU內設有可信根，所述計算機啟動方法包括：

在所述計算機加電后，執行所述可信根的程序代碼；

所述可信根對所述計算機的基礎固件進行驗簽；

當所述可信根對所述基礎固件驗簽成功時，執行所述基礎固件的當前程序代碼，使所述基礎固件完成對所述CPU的硬件的初始化；

所述基礎固件對所述計算機的第三方固件進行驗簽；

當所述基礎固件對所述第三方固件驗簽成功時，執行所述第三方固件的當前程序代碼，使所述第三方固件加載所述計算機的操作系統。

其中，所述可信根內存儲有用于訪問所述基礎固件的密鑰證書的第一公鑰；

所述可信根對所述計算機的基礎固件進行驗簽的步驟，包括：

所述可信根利用所述第一公鑰訪問所述基礎固件的密鑰證書，從所述基礎固件的密鑰證書中獲得用于訪問所述基礎固件的內容證書的第二公鑰；

所述可信根利用所述第二公鑰訪問所述基礎固件的內容證書，從所述基礎固件的內容證書中獲得第一哈希值；所述第一哈希值是使用hash算法對所述基礎固件的原始程序代碼、原始用戶數據以及所述基礎固件的容量大小進行計算得到的；

所述可信根根據所述第一哈希值，對所述計算機的基礎固件進行驗簽。

其中，所述可信根根據所述第一哈希值，對所述計算機的基礎固件進行驗簽的步驟，包括：

所述可信根使用hash算法，對所述基礎固件的當前程序代碼、當前用戶數據以及所述基礎固件的容量大小進行計算，得到第二哈希值；

所述可信根對所述第一哈希值和所述第二哈希值進行比對；

當所述第一哈希值和所述第二哈希值相同時，所述可信根對所述基礎固件驗簽成功；

當所述第一哈希值和所述第二哈希值不相同時，所述可信根對所述基礎固件驗簽失敗。

其中，在所述可信根對所述基礎固件驗簽失敗的步驟之后，所述計算機啟動方法還包括：

顯示一用于提示所述可信根對所述基礎固件驗簽失敗的報錯信息。

其中，所述基礎固件內存儲有用于訪問所述第三方固件的密鑰證書的第三公鑰；

所述基礎固件對所述計算機的第三方固件進行驗簽的步驟，包括：