基本輸入輸出系統環境下可信度量的方法、主機及系統技術方案

本發明專利技術涉及一種基本輸入輸出系統環境下可信度量的方法、主機及系統，應用于主機中，該方法包括：當掃描到與主機連接的PCI密碼卡中預存有可信度量程序時，加載并執行所述可信度量程序，在管理員模式下，獲取所述主機的第一硬件信息，將所述第一硬件信息寫入所述PCI密碼卡的存儲區；在進入文件指定界面后，獲取待度量文件的第一哈希值，將第一哈希值寫入存儲區；在重開機或跳轉進入用戶模式時，掃描主機中的第二硬件信息并獲取主機中的待度量文件的第二哈希值；讀取存儲區的第一硬件信息及第一哈希值，加載可信度量程序，利用可信度量程序對第一硬件信息、第二硬件信息、第一哈希值及第二哈希值進行可信度量。本發明專利技術實現對主機啟動過程的靜態可信度量，提高了系統信息的安全性。

【技術實現步驟摘要】

本專利技術涉及信息安全
，尤其涉及一種基本輸入輸出系統環境下可信度量的方法、主機及系統。
技術介紹
基于密碼學的信息安全技術已得到廣泛的應用，如公鑰基礎設施(PublicKeyInfrastructure，PKI)，公鑰基礎設施是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范。以PKI技術為基礎的PCI密碼卡，其可以用在需要密碼卡運算和密鑰管理等安全功能的、具有標準PCI/PCIExpress接口的通信設備、計算機設備或安全保密設備上，安全性要求較高。在PCI密碼卡插入主機后，只能在主機操作系統運行起來并加載驅動后才能實現信息安全的檢測，而主機啟動過程中加載的數據有可能是被篡改的，是不可信的，這給PCI密碼卡的后續應用造成安全隱患。
技術實現思路
本專利技術所要解決的技術問題是提供一種基本輸入輸出系統環境下可信度量的方法、主機及系統。本專利技術解決上述技術問題的技術方案如下：一種基本輸入輸出系統環境下可信度量的方法，應用于主機中，包括：當掃描到與主機連接的PCI密碼卡中預存有可信度量程序時，加載并執行所述可信度量程序，在管理員模式下，獲取所述主機的第一硬件信息，將所述第一硬件信息寫入所述PCI密碼卡的存儲區；在進入文件指定界面后，獲取待度量文件的第一哈希值，將所述第一哈希值寫入所述存儲區；在重開機或跳轉進入用戶模式時，掃描所述主機中的第二硬件信息并獲取所述主機中的待度量文件的第二哈希值；讀取所述存儲區的所述第一硬件信息及所述第一哈希值，加載所述可信度量程序，利用所述可信度量程序對所述第一硬件信息、第二硬件信息、第一哈希值及第二哈希值進行可信度量。本專利技術的有益效果是：在啟動過程中的BIOS環境下，在管理員模式時將主機的第一硬件信息及待度量文件的第一哈希值存入PCI密碼卡，在用戶模式下時調用PCI密碼卡中預存有可信度量程序，通過可信度量程序對第一硬件信息、第二硬件信息、第一哈希值及第二哈希值進行可信度量，從而實現對主機啟動過程的靜態可信度量，使得主機啟動過程加載的數據是可信的，未被篡改的，為后續PCI密碼卡的使用提供安全保障，提高了系統信息的安全性。在上述技術方案的基礎上，本專利技術還可以做如下改進。進一步，還包括：在可信度量通過時，獲取控制權并完成操作系統的裝載，以進入所述操作系統；在可信度量未通過時，返回所述管理員模式以再次執行可信度量。采用上述進一步方案的有益效果是：在可信度量通過時方進入操作系統，使得主機啟動過程加載的數據是可信的，而在可信度量未通過時不可進入操作系統，提高了系統信息的安全性。進一步，還包括：在所述管理員模式下，修改管理員口令。采用上述進一步方案的有益效果是：進一步提高了系統信息的安全性。進一步，所述在可信度量未通過時，返回所述管理員模式以再次執行可信度量的步驟包括：在可信度量未通過，返回所述管理員模式之前，輸入修改后的所述管理員口令，根據所述管理員口令返回所述管理員模式以再次執行可信度量。采用上述進一步方案的有益效果是：通過輸入修改后的管理員口令返回管理員模式，使得他人不能隨意進入管理員模式來修改相關信息，進一步提高了系統信息的安全性。進一步，所述在進入文件指定界面后，獲取待度量文件的第一哈希值，將所述第一哈希值寫入所述存儲區的步驟包括：在進入文件指定界面后，設置文件路徑，根據所述文件路徑獲取待度量文件；獲取所述待度量文件的二進制數據，對所述二進制數據進行哈希運算，得到所述第一哈希值，將所述第一哈希值寫入所述存儲區。采用上述進一步方案的有益效果是：通過將待度量文件的二進制數據計算得到哈希值，便于后續的可信度量。本專利技術解決上述技術問題的技術方案還如下：一種主機，所述主機包括：第一寫入模塊，用于當掃描到與主機連接的PCI密碼卡中預存有可信度量程序時，加載并執行所述可信度量程序，在管理員模式下，獲取所述主機的第一硬件信息，將所述第一硬件信息寫入所述PCI密碼卡的存儲區；第二寫入模塊，用于在進入文件指定界面后，獲取待度量文件的第一哈希值，將所述第一哈希值寫入所述存儲區；掃描模塊，用于在重開機或跳轉進入用戶模式時，掃描所述主機中的第二硬件信息并獲取所述主機中的待度量文件的第二哈希值；可信度量模塊，用于讀取所述存儲區的所述第一硬件信息及所述第一哈希值，加載所述可信度量程序，利用所述可信度量程序對所述第一硬件信息、第二硬件信息、第一哈希值及第二哈希值進行可信度量。進一步，所述主機還包括：裝載模塊，用于在可信度量通過時，獲取控制權并完成操作系統的裝載，以進入所述操作系統；返回模塊，用于在可信度量未通過時，返回所述管理員模式以再次執行可信度量。進一步，所述主機還包括：修改模塊，用于在所述管理員模式下，修改管理員口令。進一步，所述返回模塊具體用于在可信度量未通過，返回所述管理員模式之前，輸入修改后的所述管理員口令，根據所述管理員口令返回所述管理員模式以再次執行可信度量。進一步，所述第二寫入模塊具體用于在進入文件指定界面后，設置文件路徑，根據所述文件路徑獲取待度量文件；獲取所述待度量文件的二進制數據，對所述二進制數據進行哈希運算，得到所述第一哈希值，將所述第一哈希值寫入所述存儲區。本專利技術解決上述技術問題的技術方案還如下：一種系統，包括PCI密碼卡及上述的主機，所述PCI密碼卡用于預存可信度量程序；在與所述主機連接后并在所述主機處于管理員模式下，接收所述主機發送的第一硬件信息及待度量文件的第一哈希值并存儲；在所述主機進入用戶模式時，發送所述第一硬件信息及所述第一哈希值至所述主機，供所述主機在加載所述預存可信度量程序后進行可信度量。附圖說明圖1為本專利技術基本輸入輸出系統環境下可信度量的方法一實施例的流程示意圖；圖2為圖1所示的詳細流程示意圖；圖3為本專利技術主機的結構示意圖。具體實施方式以下結合附圖對本專利技術的原理和特征進行描述，所舉實例只用于解釋本專利技術，并非用于限定本專利技術的范圍。如圖1所示，圖1為本專利技術基本輸入輸出系統環境下可信度量的方法一實施例的流程示意圖，應用于主機中，該方法包括：S1，當掃描到與主機連接的PCI密碼卡中預存有可信度量程序時，加載并執行所述可信度量程序，在管理員模式下，獲取所述主機的第一硬件信息，將所述第一硬件信息寫入所述PCI密碼卡的存儲區；本實施例中，主機在開機啟動時處于基本輸入輸出系統(BasicInputOutputSystem，BIOS)環境下，BIOS是一組固化到主機內主板上一個ROM芯片上的程序，它保存著主機最重要的基本輸入輸出的程序、開機后自檢程序和系統自啟動程序，其主要功能是為主機提供最底層的、最直接的硬件設置和控制。PCI密碼卡第一次插在主機上時，在管理員模式下，需要將主機上的與可信度量相關的信息存儲到PCI密碼卡中，以便后續進行可信度量。本實施例為靜態可信度量。本實施例主機在BIOS環境下調用PCI密碼卡，相比于主機進入操作系統后存在一定難度，因為進入操作系統后有很多封裝好的函數可以調用，因此在可信度量程序中含有小型的文件系統代碼。本實施例通過相關的設置，可在利用BIOS的相關功能枚舉設備并分配硬件資源后，查詢作為擴展設備的PCI密碼卡是否存在擴展ROM，如果PCI密碼卡存在擴展ROM，查詢相應的寄存器的標志位，例如如果標志位為“1”本文檔來自技高網...

【技術保護點】
一種基本輸入輸出系統環境下可信度量的方法，應用于主機中，其特征在于，包括：當掃描到與主機連接的PCI密碼卡中預存有可信度量程序時，加載并執行所述可信度量程序，在管理員模式下，獲取所述主機的第一硬件信息，將所述第一硬件信息寫入所述PCI密碼卡的存儲區；在進入文件指定界面后，獲取待度量文件的第一哈希值，將所述第一哈希值寫入所述存儲區；在重開機或跳轉進入用戶模式時，掃描所述主機中的第二硬件信息并獲取所述主機中的待度量文件的第二哈希值；讀取所述存儲區的所述第一硬件信息及所述第一哈希值，加載所述可信度量程序，利用所述可信度量程序對所述第一硬件信息、第二硬件信息、第一哈希值及第二哈希值進行可信度量。

【技術特征摘要】
1.一種基本輸入輸出系統環境下可信度量的方法，應用于主機中，其特征在于，包括：當掃描到與主機連接的PCI密碼卡中預存有可信度量程序時，加載并執行所述可信度量程序，在管理員模式下，獲取所述主機的第一硬件信息，將所述第一硬件信息寫入所述PCI密碼卡的存儲區；在進入文件指定界面后，獲取待度量文件的第一哈希值，將所述第一哈希值寫入所述存儲區；在重開機或跳轉進入用戶模式時，掃描所述主機中的第二硬件信息并獲取所述主機中的待度量文件的第二哈希值；讀取所述存儲區的所述第一硬件信息及所述第一哈希值，加載所述可信度量程序，利用所述可信度量程序對所述第一硬件信息、第二硬件信息、第一哈希值及第二哈希值進行可信度量。2.根據權利要求1所述一種基本輸入輸出系統環境下可信度量的方法，其特征在于，還包括：在可信度量通過時，獲取控制權并完成操作系統的裝載，以進入所述操作系統；在可信度量未通過時，返回所述管理員模式以再次執行可信度量。3.根據權利要求2所述一種基本輸入輸出系統環境下可信度量的方法，其特征在于，還包括：在所述管理員模式下，修改管理員口令。4.根據權利要求3所述一種基本輸入輸出系統環境下可信度量的方法，其特征在于，所述在可信度量未通過時，返回所述管理員模式以再次執行可信度量的步驟包括：在可信度量未通過，返回所述管理員模式之前，輸入修改后的所述管理員口令，根據所述管理員口令返回所述管理員模式以再次執行可信度量。5.根據權利要求1至4任一項所述一種基本輸入輸出系統環境下可信度量的方法，其特征在于，所述在進入文件指定界面后，獲取待度量文件的第一哈希值，將所述第一哈希值寫入所述存儲區的步驟包括：在進入文件指定界面后，設置文件路徑，根據所述文件路徑獲取待度量文件；獲取所述待度量文件的二進制數據，對所述二進制數據進行哈希運算，得到所述第一哈希值，將所述第一哈希值寫入所述存儲區。6.一種主機，其特征在于，所述主機包括：第一寫入模塊，用于當掃描到與主機連接的PCI密碼卡...

【專利技術屬性】
技術研發人員：張玉國，桑洪波，
申請(專利權)人：北京三未信安科技發展有限公司，
類型：發明
國別省市：北京;11