本發明專利技術提供了一種計算機啟動方法,計算機的CPU內設有可信根,該計算機啟動方法包括:在所述計算機加電后,執行所述可信根的程序代碼;所述可信根對所述計算機的基礎固件進行驗簽;當所述可信根對所述基礎固件驗簽成功時,執行所述基礎固件的當前程序代碼,使所述基礎固件完成對所述CPU的硬件的初始化;所述基礎固件對所述計算機的第三方固件進行驗簽;當所述基礎固件對所述第三方固件驗簽成功時,執行所述第三方固件的當前程序代碼,使所述第三方固件加載所述計算機的操作系統。本發明專利技術能增強計算機系統的安全性。
Computer startup method
【技術實現步驟摘要】
計算機啟動方法
本專利技術涉及計算機安全
,特別涉及一種計算機啟動方法。
技術介紹
計算機啟動安全對整個計算機系統的安全至關重要,是系統其它安全機制起作用的基礎。傳統的計算機啟動方式中,中央處理器(CPU,CentralProcessingUnit)沒有對啟動程序代碼以及用戶數據進行驗簽,黑客等攻擊者可以通過篡改程序代碼來奪取CPU的執行權限,加載惡意程序、獲取用戶數據,威脅計算機系統安全。
技術實現思路
本專利技術提供了一種計算機啟動方法,其目的是為了解決計算機在啟動過程中計算機系統的安全性低的問題。為了達到上述目的,本專利技術的實施例提供了一種計算機啟動方法,計算機的CPU內設有可信根,所述計算機啟動方法包括:在所述計算機加電后,執行所述可信根的程序代碼;所述可信根對所述計算機的基礎固件進行驗簽;當所述可信根對所述基礎固件驗簽成功時,執行所述基礎固件的當前程序代碼,使所述基礎固件完成對所述CPU的硬件的初始化;所述基礎固件對所述計算機的第三方固件進行驗簽;當所述基礎固件對所述第三方固件驗簽成功時,執行所述第三方固件的當前程序代碼,使所述第三方固件加載所述計算機的操作系統。其中,所述可信根內存儲有用于訪問所述基礎固件的密鑰證書的第一公鑰;所述可信根對所述計算機的基礎固件進行驗簽的步驟,包括:所述可信根利用所述第一公鑰訪問所述基礎固件的密鑰證書,從所述基礎固件的密鑰證書中獲得用于訪問所述基礎固件的內容證書的第二公鑰;r>所述可信根利用所述第二公鑰訪問所述基礎固件的內容證書,從所述基礎固件的內容證書中獲得第一哈希值;所述第一哈希值是使用hash算法對所述基礎固件的原始程序代碼、原始用戶數據以及所述基礎固件的容量大小進行計算得到的;所述可信根根據所述第一哈希值,對所述計算機的基礎固件進行驗簽。其中,所述可信根根據所述第一哈希值,對所述計算機的基礎固件進行驗簽的步驟,包括:所述可信根使用hash算法,對所述基礎固件的當前程序代碼、當前用戶數據以及所述基礎固件的容量大小進行計算,得到第二哈希值;所述可信根對所述第一哈希值和所述第二哈希值進行比對;當所述第一哈希值和所述第二哈希值相同時,所述可信根對所述基礎固件驗簽成功;當所述第一哈希值和所述第二哈希值不相同時,所述可信根對所述基礎固件驗簽失敗。其中,在所述可信根對所述基礎固件驗簽失敗的步驟之后,所述計算機啟動方法還包括:顯示一用于提示所述可信根對所述基礎固件驗簽失敗的報錯信息。其中,所述基礎固件內存儲有用于訪問所述第三方固件的密鑰證書的第三公鑰;所述基礎固件對所述計算機的第三方固件進行驗簽的步驟,包括:所述基礎固件利用所述第三公鑰訪問所述第三方固件的密鑰證書,從所述第三方固件的密鑰證書中獲得用于訪問所述第三方固件的內容證書的第四公鑰;所述基礎固件利用所述第四公鑰訪問所述第三方固件的內容證書,從所述第三方固件的內容證書中獲得第三哈希值;所述第三哈希值是使用hash算法對所述第三方固件的原始程序代碼、原始用戶數據以及所述第三方固件的容量大小進行計算得到的;所述基礎固件根據所述第三哈希值,對所述計算機的第三方固件進行驗簽。其中,所述基礎固件根據所述第三哈希值,對所述計算機的第三方固件進行驗簽的步驟,包括:所述基礎固件使用hash算法,對所述第三方固件的當前程序代碼、當前用戶數據以及所述第三方固件的容量大小進行計算,得到第四哈希值;所述基礎固件對所述第三哈希值和所述第四哈希值進行比對;當所述第三哈希值和所述第四哈希值相同時,所述基礎固件對所述第三方固件驗簽成功;當所述第三哈希值和所述第四哈希值不相同時,所述基礎固件對所述第三方固件驗簽失敗。其中,在所述基礎固件對所述第三方固件驗簽失敗的步驟之后,所述計算機啟動方法還包括:顯示一用于提示所述基礎固件對所述第三方固件驗簽失敗的報錯信息。其中,所述基礎固件位于所述計算機的片外非易失性存儲介質上。本專利技術的上述方案至少有如下的有益效果:在本專利技術的實施例中,通過在計算機的CPU內設置無法被篡改、無需驗證、確保可信的可信根,使得在計算機加電后,執行該可信根的程序代碼,通過該可信根對計算機的基礎固件進行驗簽,并在基礎固件驗簽成功時,確定基礎固件的程序代碼和用戶數據的來源可靠,沒被篡改,執行該基礎固件的當前程序代碼,使該基礎固件完成對CPU的硬件的初始化,然后通過該基礎固件對計算機的第三方固件進行驗簽,并在第三方固件驗簽成功時,確定該第三方固件的程序代碼和用戶數據的來源可靠,沒被篡改,執行該第三方固件的當前程序代碼,使第三方固件加載計算機的操作系統,完成計算機的啟動。其中由于在計算機的整個啟動過程中,只有當可信的可信根確認基礎固件可信、可信的基礎固件確認第三方固件可信后,才能完成計算機的啟動,從而避免在基礎固件(或者第三方固件)的程序代碼、用戶數據被黑客等攻擊者篡改時啟動計算機,增強計算機系統的安全性。附圖說明為了更清楚地說明本專利技術實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本專利技術的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。圖1是本專利技術實施例的計算機啟動方法的流程圖;圖2是本專利技術實施例的圖1中步驟12的具體實現方式的流程圖;圖3是本專利技術實施例的圖1中步驟14的具體實現方式的流程圖。具體實施方式下面將結合本專利技術實施例中的附圖,對本專利技術實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例是本專利技術一部分實施例,而不是全部的實施例。應當理解,此處所描述的具體實施例僅僅用以解釋本專利技術,并不用于限定本專利技術。基于本專利技術中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬于本專利技術保護的范圍。需要說明的是,術語“第一”、“第二”僅用于描述目的,而不能理解為指示或暗示相對重要性或者隱含指明所指示的技術特征的數量。由此,限定有“第一”、“第二”的特征可以明示或者隱含地包括一個或者更多個該特征。在本專利技術的描述中,“多個”的含義是兩個或兩個以上,除非另有明確具體的限定。本專利技術的實施例提供了一種計算機啟動方法,其中,計算機的CPU內設有可信根,該可信根是一個不可篡改、無需驗證、確保可信的初始基礎啟動模塊。具體的,如圖1所示,上述計算機啟動方法包括如下步驟:步驟11,在所述計算機加電后,執行所述可信根的程序代碼。其中,在本專利技術的實施例中,上述可信根保存在計算機的CPU芯片內,是無法被篡改的,在計算機加電后,執行該可信根的程序代碼,以便該可信根對計算機的基礎固件進行驗簽。其中,該基礎固件可位于所述計算機的片外非易失性存儲介質上,以便可信根對其進行驗簽。步驟12本文檔來自技高網...
【技術保護點】
1.一種計算機啟動方法,其特征在于,計算機的CPU內設有可信根,所述計算機啟動方法包括:/n在所述計算機加電后,執行所述可信根的程序代碼;/n所述可信根對所述計算機的基礎固件進行驗簽;/n當所述可信根對所述基礎固件驗簽成功時,執行所述基礎固件的當前程序代碼,使所述基礎固件完成對所述CPU的硬件的初始化;/n所述基礎固件對所述計算機的第三方固件進行驗簽;/n當所述基礎固件對所述第三方固件驗簽成功時,執行所述第三方固件的當前程序代碼,使所述第三方固件加載所述計算機的操作系統。/n
【技術特征摘要】
1.一種計算機啟動方法,其特征在于,計算機的CPU內設有可信根,所述計算機啟動方法包括:
在所述計算機加電后,執行所述可信根的程序代碼;
所述可信根對所述計算機的基礎固件進行驗簽;
當所述可信根對所述基礎固件驗簽成功時,執行所述基礎固件的當前程序代碼,使所述基礎固件完成對所述CPU的硬件的初始化;
所述基礎固件對所述計算機的第三方固件進行驗簽;
當所述基礎固件對所述第三方固件驗簽成功時,執行所述第三方固件的當前程序代碼,使所述第三方固件加載所述計算機的操作系統。
2.根據權利要求1所述的計算機啟動方法,其特征在于,所述可信根內存儲有用于訪問所述基礎固件的密鑰證書的第一公鑰;
所述可信根對所述計算機的基礎固件進行驗簽的步驟,包括:
所述可信根利用所述第一公鑰訪問所述基礎固件的密鑰證書,從所述基礎固件的密鑰證書中獲得用于訪問所述基礎固件的內容證書的第二公鑰;
所述可信根利用所述第二公鑰訪問所述基礎固件的內容證書,從所述基礎固件的內容證書中獲得第一哈希值;所述第一哈希值是使用hash算法對所述基礎固件的原始程序代碼、原始用戶數據以及所述基礎固件的容量大小進行計算得到的;
所述可信根根據所述第一哈希值,對所述計算機的基礎固件進行驗簽。
3.根據權利要求2所述的計算機啟動方法,其特征在于,所述可信根根據所述第一哈希值,對所述計算機的基礎固件進行驗簽的步驟,包括:
所述可信根使用hash算法,對所述基礎固件的當前程序代碼、當前用戶數據以及所述基礎固件的容量大小進行計算,得到第二哈希值;
所述可信根對所述第一哈希值和所述第二哈希值進行比對;
當所述第一哈希值和所述第二哈希值相同時,所述可信根對所述基礎固件驗簽成功;
當所述第一哈希值和所述第二哈希值不相同時,所述可信根對所述基礎固件驗簽失敗。
4.根據權利要求3所述的計算機啟動...
【專利技術屬性】
技術研發人員:舒奕棋,郭御風,劉勇鵬,張明,李信德,楊勛,謝鵬,王旭,陳振華,
申請(專利權)人:天津飛騰信息技術有限公司,
類型:發明
國別省市:天津;12
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。