本申請適用于計算機安全技術領域，提供了一種控制可信啟動的方法、可信平臺控制模塊及計算機可讀存儲介質，所述方法包括：通過基于第一預設策略進行可信度自檢操作，得到自檢結果；若自檢結果為通過，則對第一星型信任鏈中的硬件模塊和軟件模塊進行可信度量，實現可信啟動控制；其中，第一星型信任鏈是以可信平臺控制模塊為信任鏈的中心，以硬件模塊和軟件模塊為信任鏈的度量節點分布構建得到。上述控制可信啟動的方法中構建的信任鏈都是以可信平臺控制模塊為起點，直接傳遞至硬件模塊和軟件模塊，不會因為逐級傳遞造成信任損失的現象，確保計算機系統進行可信啟動，提高了計算機系統的安全性。

技術領域

本申請屬于計算機安全技術領域，尤其涉及一種控制可信啟動的方法、可信平臺控制模塊及計算機可讀存儲介質。

背景技術

目前，信息技術已經成為了人們生活中不可分割的一部分，人們每天都通過計算機和互聯網獲取信息、進行各種活動。但計算機與網絡空間并不總是安全的，為了使人們能夠正常地通過計算機在互聯網上進行各種活動，建立一套安全、可靠的防御體系來確保計算機能夠按照預期穩定地提供服務是當務之急。可信計算正是為了解決計算機和網絡空間的不安全，從而在計算和通信系統中廣泛使用基于硬件安全模塊支持下的可信計算平臺，從根本上提高安全性的技術方法。

現有方案中，以可信平臺控制模塊(Trusted Platform Control Module，TPCM)方式實現的可信計算平臺，基于可信平臺控制模塊對基本輸入輸出系統(Basic InputOutput System，BIOS)和操作系統(Operating System，OS)等底層軟件及基板管理控制器(Baseboard Management Controller，BMC)構建了信任鏈，實現了對計算機系統的可信啟動，即檢測了BIOS和操作系統等的完整性和正確性，確定計算機系統的硬件配置和操作系統沒有被篡改過，從而在一定程度上提高了計算機系統的安全性。但是，由于該信任鏈為鏈式信任鏈，且該信任鏈的傳遞方式是將上一階段度量通過之后的信任鏈傳遞給下一階段，也就是說，將信任鏈進行逐級傳遞，因此，該方案在信任鏈逐級傳遞過程中容易造成信任損失的現象，使計算機系統不能進行可信啟動，進而降低了計算機系統的安全性。

發明內容

本申請實施例提供了一種控制可信啟動的方法、可信平臺控制模塊及計算機可讀存儲介質，可以解決現有方案中信任鏈在逐級傳遞過程中容易造成信任損失的現象，使計算機系統不能進行可信啟動，進而降低了計算機系統的安全性的問題。

第一方面，本申請實施例提供了一種控制可信啟動的方法，包括：

基于第一預設策略進行可信度自檢操作，得到自檢結果；

若所述自檢結果為通過，則對第一星型信任鏈中的硬件模塊和軟件模塊進行可信度量，實現可信啟動控制；其中，所述第一星型信任鏈是以所述可信平臺控制模塊為信任鏈的中心，以所述硬件模塊和所述軟件模塊為信任鏈的度量節點分布構建得到。

進一步的，所述對第一星型信任鏈中的硬件模塊和軟件模塊進行可信度量，實現可信啟動控制，包括：

對所述硬件模塊進行第一可信度量，得到第一可信度量結果；

若所述第一可信度量結果為度量通過，則對所述軟件模塊進行第二可信度量，得到第二可信度量結果；

若所述第二可信度量結果為度量通過，則實現可信啟動控制。

進一步的，所述硬件模塊包括基板管理控制器，所述對所述硬件模塊進行第一可信度量，得到第一可信度量結果，包括：

獲取所述基板管理控制器的第一度量信息；所述第一度量信息包括預設程序的代碼信息和配置信息；

基于預設校驗算法計算所述第一度量信息的度量值；

根據所述第一度量信息的度量值和預先存儲的第一基準值確定所述第一可信度量結果。