專利名稱:一種可信計(jì)算的度量方法及裝置、可信計(jì)算終端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域�����,尤其涉及一種可信計(jì)算的度量方法及裝置�����、可信計(jì)算終端 ����。
背景技術(shù):
TPM(Trusted Platform Module,可信平臺(tái)模塊)芯片是一個(gè)含有密碼運(yùn)算部件和存儲(chǔ)部件的小型片上系統(tǒng)����。TPM芯片由中央處理器CPU�、存儲(chǔ)器、輸入輸出I/O��、密碼運(yùn)算器���、隨機(jī)數(shù)產(chǎn)生器和嵌入式操作系統(tǒng)等部件組成��。TPM芯片能夠保護(hù)BIOS (Basic InputOutput System���,基本輸入輸出系統(tǒng))、芯片組固件以及操作系統(tǒng)等不被惡意篡改�,提高系統(tǒng)安全性。TCM (Trusted Cryptography Module,可信密碼模塊)芯片是由中國(guó)國(guó)家密碼管理局聯(lián)合國(guó)內(nèi)IT企業(yè)推出的基于中國(guó)標(biāo)準(zhǔn)的安全芯片����。TCM芯片包括CPU、1/0�����、算法引擎以及存儲(chǔ)器等物理模塊�����。TCM芯片主要是通過(guò)安全協(xié)議為平臺(tái)提供密碼服務(wù)、平臺(tái)度量等基礎(chǔ)服務(wù)�����,以保護(hù)平臺(tái)的BIOS�����、OS (操作系統(tǒng))等基礎(chǔ)軟件和固件��,防止惡意篡改����?;赥PM芯片的信任鏈建立使用的度量方法采用的是長(zhǎng)度為160bits (比特)的消息摘要算法,基于TCM芯片的信任鏈建立使用的度量方法采用的是長(zhǎng)度為256bits的消息摘要算法���,此兩種度量方法的不同導(dǎo)致了 OS及平臺(tái)芯片組無(wú)法采用統(tǒng)一的方法建立平臺(tái)信任鏈����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種可信計(jì)算的度量方法及裝置���、可信計(jì)算終端�����,使得對(duì)于不同度量方法都能夠使用統(tǒng)一方法建立平臺(tái)信任鏈�,提高信計(jì)算度量的兼容性。為解決上述技術(shù)問(wèn)題����,本發(fā)明提出了一種可信計(jì)算的度量方法,包括
對(duì)接收的數(shù)據(jù)進(jìn)行初步度量運(yùn)算����,產(chǎn)生初步度量結(jié)果;
根據(jù)預(yù)設(shè)的補(bǔ)償算法對(duì)所述初步度量結(jié)果進(jìn)行處理���,生成設(shè)定長(zhǎng)度的最終度量結(jié)果��。進(jìn)一步地�����,上述方法還可具有以下特點(diǎn)���,根據(jù)預(yù)設(shè)的補(bǔ)償算法對(duì)所述初步度量結(jié)果進(jìn)行處理���,生成設(shè)定長(zhǎng)度的最終度量結(jié)果具體為
在所述初步度量結(jié)果的補(bǔ)償數(shù)據(jù)位上添加數(shù)據(jù)信息,生成設(shè)定長(zhǎng)度的最終度量結(jié)果����,所述補(bǔ)償數(shù)據(jù)位的長(zhǎng)度等于所述初步度量結(jié)果與所述最終度量結(jié)果的長(zhǎng)度之差。進(jìn)一步地����,上述方法還可具有以下特點(diǎn)���,對(duì)接收的數(shù)據(jù)進(jìn)行初步度量運(yùn)算�,產(chǎn)生初步度里!結(jié)果具體為
對(duì)接收的數(shù)據(jù)進(jìn)行可信密碼模塊TCM度量運(yùn)算��,產(chǎn)生初步度量結(jié)果��。進(jìn)一步地�����,上述方法還可具有以下特點(diǎn)���,對(duì)接收的數(shù)據(jù)進(jìn)行初步度量運(yùn)算����,產(chǎn)生初步度里!結(jié)果具體為
對(duì)接收的數(shù)據(jù)進(jìn)行可信平臺(tái)模塊TPM度量運(yùn)算,產(chǎn)生初步度量結(jié)果����。
為解決上述技術(shù)問(wèn)題,本發(fā)明還提出了一種可信計(jì)算的度量裝置���,包括
初步度量模塊�����,用于對(duì)接收的數(shù)據(jù)進(jìn)行初步度量運(yùn)算�,產(chǎn)生初步度量結(jié)果�;
補(bǔ)償模塊,用于根據(jù)預(yù)設(shè)的補(bǔ)償算法對(duì)所述初步度量結(jié)果進(jìn)行處理��,生成設(shè)定長(zhǎng)度的最終度量結(jié)果��。進(jìn)一步地���,上述裝置還可具有以下特點(diǎn)��,所述補(bǔ)償模塊包括第一補(bǔ)償單元����,用于在所述初步度量結(jié)果的補(bǔ)償數(shù)據(jù)位上添加數(shù)據(jù)信息,生成設(shè)定長(zhǎng)度的最終度量結(jié)果���,所述補(bǔ)償數(shù)據(jù)位的長(zhǎng)度等于所述初步度量結(jié)果與所述最終度量結(jié)果的長(zhǎng)度之差��。進(jìn)一步地�����,上述裝置還可具有以下特點(diǎn)���,所述初步度量模塊為可信密碼模塊TCM,用于對(duì)接收的數(shù)據(jù)進(jìn)行可信密碼模塊TCM度量運(yùn)算����,產(chǎn)生初步度量結(jié)果���。進(jìn)一步地���,上述裝置還可具有以下特點(diǎn),所述初步度量模塊為可信平臺(tái)模塊TPM�����,用于對(duì)接收的數(shù)據(jù)進(jìn)行可信平臺(tái)模塊TPM度量運(yùn)算,產(chǎn)生初步度量結(jié)果����。為解決上述技術(shù)問(wèn)題,本發(fā)明還提出了一種可信計(jì)算終端�,包括前述任一項(xiàng)所述的可信計(jì)算的度量裝置。進(jìn)一步地�����,上述終端還可具有以下特點(diǎn)����,所述可信計(jì)算終端為計(jì)算機(jī)或手機(jī)。本發(fā)明可信計(jì)算的度量方法及裝置��、可信計(jì)算終端�����,通過(guò)在度量過(guò)程中增加對(duì)度量結(jié)果進(jìn)行數(shù)據(jù)補(bǔ)償?shù)姆绞?�,?duì)現(xiàn)有的TPM芯片或者TCM芯片的度量結(jié)果進(jìn)行二次補(bǔ)償,以產(chǎn)生指定長(zhǎng)度的度量結(jié)果�,從而無(wú)論是基于TPM芯片還是TCM芯片,對(duì)于不同度量方法�����,平臺(tái)芯片組����、操作系統(tǒng)都能夠使用統(tǒng)一方法建立平臺(tái)信任鏈,從而提高了可信計(jì)算度量的兼容性����。
圖I為本發(fā)明實(shí)施例中可信計(jì)算的度量方法流程 圖2為本發(fā)明實(shí)施例中可信計(jì)算的度量裝置結(jié)構(gòu) 圖3為本發(fā)明實(shí)施例中可信計(jì)算終端的結(jié)構(gòu)圖。
具體實(shí)施例方式以下結(jié)合附圖對(duì)本發(fā)明的原理和特征進(jìn)行描述����,所舉實(shí)例只用于解釋本發(fā)明,并非用于限定本發(fā)明的范圍�。圖I為本發(fā)明實(shí)施例中可信計(jì)算的度量方法流程圖。如圖I所示�,本實(shí)施例中���,可信計(jì)算的度量方法流程包括如下步驟
步驟101���,對(duì)接收的數(shù)據(jù)進(jìn)行初步度量運(yùn)算��,產(chǎn)生初步度量結(jié)果�;
這里的數(shù)據(jù)是指需要被度量的外部數(shù)據(jù)�。需要說(shuō)明的是,進(jìn)行初步度量運(yùn)算的模塊(例如TCM或TPM)在進(jìn)行度量運(yùn)算之前應(yīng)當(dāng)進(jìn)行初始化��,然后才能接收需要被度量的外部數(shù)據(jù)����,進(jìn)而對(duì)接收的數(shù)據(jù)進(jìn)行度量運(yùn)算。初步度量運(yùn)算可以是可信密碼模塊TCM度量運(yùn)算�����,也可以是可信平臺(tái)模塊TPM度
量運(yùn)算。步驟102,根據(jù)預(yù)設(shè)的補(bǔ)償算法對(duì)初步度量結(jié)果進(jìn)行處理��,生成設(shè)定長(zhǎng)度的最終度
量結(jié)果���。這里,補(bǔ)償算法可以根據(jù)具體需求而不同���。一種簡(jiǎn)單的補(bǔ)償算法是在初步度量結(jié)果的補(bǔ)償數(shù)據(jù)位上添加數(shù)據(jù)信息��,生成設(shè)定長(zhǎng)度的最終度量結(jié)果�����。例如在初步度量結(jié)果的補(bǔ)償數(shù)據(jù)位上直接補(bǔ)O����。補(bǔ)償數(shù)據(jù)位的長(zhǎng)度等于初步度量結(jié)果與最終度量結(jié)果的長(zhǎng)度之差。當(dāng)然���,也可以采用其他相對(duì)復(fù)雜的補(bǔ)償算法以產(chǎn)生補(bǔ)償數(shù)據(jù)����。下面我們?cè)偻ㄟ^(guò)一個(gè)具體實(shí)例���,來(lái)進(jìn)一步闡述如何實(shí)現(xiàn)本發(fā)明的可信計(jì)算的度量方法�。假設(shè)要通過(guò)TPM芯片產(chǎn)出196bits的度量結(jié)果���,則可通過(guò)如下步驟實(shí)現(xiàn)
步驟al��,TPM芯片接收到初始化度量模塊的命令后����,初始化TPM芯片的度量模塊����;
步驟a2,TPM芯片接收需要被度量的外部數(shù)據(jù)��;
步驟a3����,TPM芯片對(duì)接收到的外部數(shù)據(jù)進(jìn)行度量運(yùn)算;
步驟a4��,判斷度量過(guò)程是否結(jié)束��,如果沒(méi)有結(jié)束���,則返回步驟a2����,如果結(jié)束��,則執(zhí)行步驟a5����。步驟a5���,采用一定的補(bǔ)償算法,對(duì)TPM芯片的度量結(jié)果進(jìn)行補(bǔ)償運(yùn)算��;
這里假設(shè)采用最簡(jiǎn)單的補(bǔ)償算法��,直接在步驟a4產(chǎn)生的度量結(jié)果上補(bǔ)固定的數(shù)據(jù)0�����,針對(duì)TPM芯片����,只需要補(bǔ)償36bits的O。這里����,補(bǔ)償數(shù)據(jù)位的長(zhǎng)度36bits=最終度量結(jié)果的長(zhǎng)度196 bits 一初步度量結(jié)果的長(zhǎng)度160 bits。步驟a6��,返回經(jīng)過(guò)補(bǔ)償處理后的度量數(shù)據(jù)結(jié)果�。本發(fā)明可信計(jì)算的度量方法,通過(guò)在度量過(guò)程中增加對(duì)度量結(jié)果進(jìn)行數(shù)據(jù)補(bǔ)償?shù)姆绞?,?duì)現(xiàn)有的TPM芯片或者TCM芯片的度量結(jié)果進(jìn)行二次補(bǔ)償,以產(chǎn)生指定長(zhǎng)度的度量結(jié)果����,從而無(wú)論是基于TPM芯片還是TCM芯片�,對(duì)于不同度量方法����,平臺(tái)芯片組���、操作系統(tǒng)都能夠使用統(tǒng)一方法建立平臺(tái)信任鏈����,從而提高了可信計(jì)算度量的兼容性�����。本發(fā)明還提出了一種可信計(jì)算的度量裝置���,用以實(shí)施上述的可信計(jì)算的度量方法�。圖2為本發(fā)明實(shí)施例中可信計(jì)算的度量裝置結(jié)構(gòu)圖�����。如圖2所示���,本實(shí)施例中�����,可信計(jì)算的度量裝置200包括初步度量模塊210和補(bǔ)償模塊220��。初步度量模塊210用于對(duì)接收的數(shù)據(jù)進(jìn)行初步度量運(yùn)算���,產(chǎn)生初步度量結(jié)果�����。補(bǔ)償模塊220用于根據(jù)預(yù)設(shè)的補(bǔ)償算法對(duì)初步度量模塊210產(chǎn)生的初步度量結(jié)果進(jìn)行處理����,生成設(shè)定長(zhǎng)度的最終度量結(jié)果���。其中��,初步度量模塊210接收的數(shù)據(jù)是指需要被度量的外部數(shù)據(jù)�����。補(bǔ)償模塊220所采用的補(bǔ)償算法可以根據(jù)具體需求而不同�。一種最簡(jiǎn)單的補(bǔ)償算法是直接補(bǔ)O的方法,即在初步度量結(jié)果的補(bǔ)償數(shù)據(jù)位上直接補(bǔ)0����,補(bǔ)償數(shù)據(jù)位的長(zhǎng)度等于初步度量結(jié)果與最終度量結(jié)果的長(zhǎng)度之差。當(dāng)然�,也可以采用其他相對(duì)復(fù)雜的補(bǔ)償算法以產(chǎn)生補(bǔ)償數(shù)據(jù)。其中�����,補(bǔ)償模塊220可以包括第一補(bǔ)償單元�����。第一補(bǔ)償單元用于在初步度量結(jié)果的補(bǔ)償數(shù)據(jù)位上直接補(bǔ)0��,生成設(shè)定長(zhǎng)度的最終度量結(jié)果���,補(bǔ)償數(shù)據(jù)位的長(zhǎng)度等于初步度量結(jié)果與最終度量結(jié)果的長(zhǎng)度之差。其中���,初步度量模塊210可以為可信密碼模塊TCM��??尚琶艽a模塊TCM用于對(duì)接收的數(shù)據(jù)進(jìn)行可信密碼模塊TCM度量運(yùn)算,產(chǎn)生初步度量結(jié)果�。其中,初步度量模塊210還可以為可信平臺(tái)模塊TPM��?��?尚牌脚_(tái)模塊TPM用于對(duì)接收的數(shù)據(jù)進(jìn)行可信平臺(tái)模塊TPM度量運(yùn)算��,產(chǎn)生初步度量結(jié)果�����。需要說(shuō)明的是��,初步度量模塊210在進(jìn)行度量運(yùn)算之前應(yīng)當(dāng)進(jìn)行初始化����。本發(fā)明可信計(jì)算的度量裝置����,通過(guò)在度量過(guò)程中增加對(duì)度量結(jié)果進(jìn)行數(shù)據(jù)補(bǔ)償?shù)姆绞剑瑢?duì)現(xiàn)有的TPM芯片或者TCM芯片的度量結(jié)果進(jìn)行二次補(bǔ)償�,以產(chǎn)生指定長(zhǎng)度的度量結(jié)果,從而無(wú)論是基于TPM芯片還是TCM芯片,對(duì)于不同度量方法�����,平臺(tái)芯片組��、操作系統(tǒng)都能夠使用統(tǒng)一方法建立平臺(tái)信任鏈���,從而提高了信計(jì)算度量的兼容性�����。本發(fā)明還提出了一種可信計(jì)算終端。圖3為本發(fā)明實(shí)施例中可信計(jì)算終端的結(jié)構(gòu)圖����。如圖3所示,本實(shí)施例中��,可信計(jì)算終端300包括可信計(jì)算的度量裝置200��。其中����,可信計(jì)算終端可以為計(jì)算機(jī)、手機(jī)或者其他采用可信計(jì)算技術(shù)的終端。本發(fā)明的可信計(jì)算終端中包含可信計(jì)算的度量裝置�����,通過(guò)在度量過(guò)程中增加對(duì)度量結(jié)果進(jìn)行數(shù)據(jù)補(bǔ)償?shù)姆绞?�,?duì)現(xiàn)有的TPM芯片或者TCM芯片的度量結(jié)果進(jìn)行二次補(bǔ)償�,以產(chǎn)生指定長(zhǎng)度的度量結(jié)果,從而無(wú)論是基于TPM芯片還是TCM芯片�,對(duì)于不同度量方法,平臺(tái)芯片組�、操作系統(tǒng)都能夠使用統(tǒng)一方法建立平臺(tái)信任鏈,從而提高了可信計(jì)算度量的兼容性�����。以上所述僅為本發(fā)明的較佳實(shí)施例����,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)��,所作的任何修改���、等同替換�����、改進(jìn)等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
權(quán)利要求
1.一種可信計(jì)算的度量方法�����,其特征在于����,包括 對(duì)接收的數(shù)據(jù)進(jìn)行初步度量運(yùn)算,產(chǎn)生初步度量結(jié)果��; 根據(jù)預(yù)設(shè)的補(bǔ)償算法對(duì)所述初步度量結(jié)果進(jìn)行處理��,生成設(shè)定長(zhǎng)度的最終度量結(jié)果�。
2.根據(jù)權(quán)利要求I所述的可信計(jì)算的度量方法����,其特征在于 根據(jù)預(yù)設(shè)的補(bǔ)償算法對(duì)所述初步度量結(jié)果進(jìn)行處理,生成設(shè)定長(zhǎng)度的最終度量結(jié)果具體為 在所述初步度量結(jié)果的補(bǔ)償數(shù)據(jù)位上添加數(shù)據(jù)信息�,生成設(shè)定長(zhǎng)度的最終度量結(jié)果�����,所述補(bǔ)償數(shù)據(jù)位的長(zhǎng)度等于所述初步度量結(jié)果與所述最終度量結(jié)果的長(zhǎng)度之差��。
3.根據(jù)權(quán)利要求I所述的可信計(jì)算的度量方法�����,其特征在于 對(duì)接收的數(shù)據(jù)進(jìn)行初步度量運(yùn)算�,產(chǎn)生初步度量結(jié)果具體為 對(duì)接收的數(shù)據(jù)進(jìn)行可信密碼模塊TCM度量運(yùn)算�,產(chǎn)生初步度量結(jié)果。
4.根據(jù)權(quán)利要求I所述的可信計(jì)算的度量方法����,其特征在于 對(duì)接收的數(shù)據(jù)進(jìn)行初步度量運(yùn)算,產(chǎn)生初步度量結(jié)果具體為 對(duì)接收的數(shù)據(jù)進(jìn)行可信平臺(tái)模塊TPM度量運(yùn)算�����,產(chǎn)生初步度量結(jié)果��。
5.一種可信計(jì)算的度量裝置�,其特征在于,包括 初步度量模塊�,用于對(duì)接收的數(shù)據(jù)進(jìn)行初步度量運(yùn)算����,產(chǎn)生初步度量結(jié)果�����; 補(bǔ)償模塊�����,用于根據(jù)預(yù)設(shè)的補(bǔ)償算法對(duì)所述初步度量結(jié)果進(jìn)行處理����,生成設(shè)定長(zhǎng)度的最終度量結(jié)果。
6.根據(jù)權(quán)利要求5所述的可信計(jì)算的度量裝置����,其特征在于所述補(bǔ)償模塊包括第一補(bǔ)償單元,用于在所述初步度量結(jié)果的補(bǔ)償數(shù)據(jù)位上添加數(shù)據(jù)信息��,生成設(shè)定長(zhǎng)度的最終度量結(jié)果��,所述補(bǔ)償數(shù)據(jù)位的長(zhǎng)度等于所述初步度量結(jié)果與所述最終度量結(jié)果的長(zhǎng)度之差���。
7.根據(jù)權(quán)利要求5所述的可信計(jì)算的度量裝置�����,其特征在于所述初步度量模塊為可信密碼模塊TCM���,用于對(duì)接收的數(shù)據(jù)進(jìn)行可信密碼模塊TCM度量運(yùn)算,產(chǎn)生初步度量結(jié)果���。
8.根據(jù)權(quán)利要求5所述的可信計(jì)算的度量裝置����,其特征在于所述初步度量模塊為可信平臺(tái)模塊TPM����,用于對(duì)接收的數(shù)據(jù)進(jìn)行可信平臺(tái)模塊TPM度量運(yùn)算,產(chǎn)生初步度量結(jié)果�。
9.一種可信計(jì)算終端,其特征在于���,包括權(quán)利要求5至8任一項(xiàng)所述的可信計(jì)算的度量>j-U ρ α裝直����。
10.根據(jù)權(quán)利要求9所述的可信計(jì)算終端����,其特征在于所述可信計(jì)算終端為計(jì)算機(jī)或手機(jī)����。
全文摘要
本發(fā)明涉及一種可信計(jì)算的度量方法及裝置�����、可信計(jì)算終端����。其中,可信計(jì)算的度量方法包括對(duì)接收的數(shù)據(jù)進(jìn)行初步度量運(yùn)算��,產(chǎn)生初步度量結(jié)果�;根據(jù)預(yù)設(shè)的補(bǔ)償算法對(duì)所述初步度量結(jié)果進(jìn)行處理,生成設(shè)定長(zhǎng)度的最終度量結(jié)果�。本發(fā)明可信計(jì)算的度量方法及裝置、可信計(jì)算終端��,通過(guò)在度量過(guò)程中增加對(duì)度量結(jié)果進(jìn)行數(shù)據(jù)補(bǔ)償?shù)姆绞?��,?duì)現(xiàn)有的TPM芯片或者TCM芯片的度量結(jié)果進(jìn)行二次補(bǔ)償���,以產(chǎn)生指定長(zhǎng)度的度量結(jié)果,從而無(wú)論是基于TPM芯片還是TCM芯片��,對(duì)于不同度量方法���,平臺(tái)芯片組�����、操作系統(tǒng)都能夠使用統(tǒng)一方法建立平臺(tái)信任鏈��,從而提高了可信計(jì)算度量的兼容性�。
文檔編號(hào)G06F21/57GK102982285SQ20111026042
公開日2013年3月20日 申請(qǐng)日期2011年9月5日 優(yōu)先權(quán)日2011年9月5日
發(fā)明者陳山 申請(qǐng)人:國(guó)民技術(shù)股份有限公司