本發(fā)明涉及可信計(jì)算體系，具體而言，涉及一種基于可信計(jì)算體系的可信固件升級(jí)方法及系統(tǒng)。

背景技術(shù)：

1、可信固件是可信計(jì)算體系信任鏈中至關(guān)重要的一環(huán)，保障設(shè)備啟動(dòng)過(guò)程中的可信運(yùn)行。而可信固件的升級(jí)尤為重要，若此階段存在攻擊漏洞，將有可能造成信任鏈的斷鏈，影響設(shè)備的可信運(yùn)行。目前主流的可信固件更新方法是由可信平臺(tái)模塊(trustedplatform?module，tcm)與可信bios協(xié)同完成，主要思路是由可信bios進(jìn)行升級(jí)，升級(jí)完成后告知tcm模塊進(jìn)行采集備份，在下次上電啟動(dòng)時(shí)tcm模塊進(jìn)行采集備份從而完成可信固件的升級(jí)。具體方法為：首先，通過(guò)bios管理頁(yè)面選取上傳的固件更新包進(jìn)行更新，并在更新完成后給tcm模塊發(fā)送重新采集預(yù)期值指令。然后，tcm接收到采集指令后，在重啟上電時(shí)讀取可信固件芯片數(shù)據(jù)，重新采集和備份。但是此種方法存在一些問(wèn)題：目前在升級(jí)、備份過(guò)程中未進(jìn)行有效校驗(yàn)，固件包的可信度難以保證，可能會(huì)導(dǎo)致升級(jí)、備份錯(cuò)誤且難以察覺，以及可能導(dǎo)致信息設(shè)備在升級(jí)、備份時(shí)遭受攻擊后癱瘓或失信并且無(wú)法恢復(fù)；同時(shí)，現(xiàn)有的可信固件升級(jí)方式效率較低，不便于批量化設(shè)備的升級(jí)。例如，選取了錯(cuò)誤的固件升級(jí)包進(jìn)行升級(jí)，或是在升級(jí)完成后采集預(yù)期值的過(guò)程中，可信固件被篡改或破壞等，都可能直接導(dǎo)致信任鏈的崩潰甚至失信，使信息設(shè)備的可信運(yùn)行癱瘓?？紤]到上述因素，現(xiàn)有的可信固件升級(jí)技術(shù)存在安全隱患，容易遭受惡意攻擊。因此亟需研究一種新的可信固件升級(jí)技術(shù)，保證更新過(guò)程中固件的可信性與安全性，以確保可信信任鏈的正常運(yùn)行。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明旨在提供一種基于可信計(jì)算體系的可信固件升級(jí)方法及系統(tǒng)，以解決上述當(dāng)前可信固件升級(jí)存在的問(wèn)題。

2、本發(fā)明提供的一種基于可信計(jì)算體系的可信固件升級(jí)方法，包括如下步驟：

3、步驟1、可信計(jì)算管理系統(tǒng)對(duì)可信固件升級(jí)包進(jìn)行簽名，并將可信固件升級(jí)包推送到軟件商店；

4、步驟2、軟件商店對(duì)可信固件升級(jí)包進(jìn)行驗(yàn)簽，若驗(yàn)簽成功則計(jì)算可信固件升級(jí)包的哈希值h1存入tcm模塊中，并給可信bios發(fā)送升級(jí)指令；若驗(yàn)簽失敗則停止升級(jí)并上報(bào)可信計(jì)算管理系統(tǒng)；

5、步驟3、可信bios接收到升級(jí)指令，計(jì)算可信固件升級(jí)包的哈希值h2，與步驟2中軟件商店計(jì)算的哈希值h1進(jìn)行比對(duì)，若比對(duì)成功則進(jìn)行升級(jí)，比對(duì)失敗則停止升級(jí)并上報(bào)可信計(jì)算管理系統(tǒng)；

6、步驟4、升級(jí)完成后，可信bios發(fā)送采集預(yù)期值指令給tcm模塊，并自動(dòng)重啟，重啟上電后tcm模塊讀取可信bios數(shù)據(jù)并計(jì)算哈希值h3，與步驟2中軟件商店計(jì)算的哈希值h1進(jìn)行比對(duì)，若比對(duì)成功則進(jìn)行采集、備份，若比對(duì)失敗則進(jìn)行可信恢復(fù)并上報(bào)可信計(jì)算管理系統(tǒng)；

7、步驟5、若步驟4中完成采集、備份，則可信固件升級(jí)完成，可信信任鏈正常運(yùn)行。

8、本發(fā)明還提供一種基于可信計(jì)算體系的可信固件升級(jí)系統(tǒng)，用于實(shí)現(xiàn)如權(quán)利要求1所述的基于可信計(jì)算體系的可信固件升級(jí)方法；

9、所述基于可信計(jì)算體系的可信固件系統(tǒng)包括tcm模塊、可信bios、軟件商店和可信控制電路；

10、所述可信bios與tcm模塊和軟件商店構(gòu)成信任連，形成可信計(jì)算體系，其中，所述tcm模塊通過(guò)可信控制電路實(shí)現(xiàn)與可信bios之間的交互，并對(duì)cpu進(jìn)行控制，并且可信bios與tcm模塊通過(guò)通信接口進(jìn)行數(shù)據(jù)傳輸；

11、所述軟件商店與可信計(jì)算管理系統(tǒng)之間通過(guò)網(wǎng)絡(luò)連接進(jìn)行數(shù)據(jù)傳輸；

12、所述軟件商店通過(guò)驅(qū)動(dòng)程序與tcm模塊及可信bios進(jìn)行通信。

13、進(jìn)一步地，所述tcm模塊的功能組件包括執(zhí)行引擎、控制裁決引擎、非易失性存儲(chǔ)單元、易失性存儲(chǔ)單元、真隨機(jī)數(shù)發(fā)生器、算法引擎、平臺(tái)配置寄存器pcr和定時(shí)器；各功能組件由輸入輸出橋接單元進(jìn)行地址空間的映射。

14、進(jìn)一步地，所述軟件商店提供軟件的下載、安裝、卸載、管理，能夠接收可信計(jì)算管理系統(tǒng)服務(wù)端的軟件下發(fā)等，并對(duì)軟件進(jìn)行合法性檢驗(yàn)。

15、進(jìn)一步地，所述可信控制電路由邏輯控制電路和主板上的相關(guān)接口電路組成；所述tcm模塊通過(guò)邏輯控制電路控制cpu復(fù)位信號(hào)和cpu對(duì)可信固件的數(shù)據(jù)訪問(wèn)通道來(lái)實(shí)現(xiàn)對(duì)可信固件升級(jí)的控制。

16、進(jìn)一步地，若tcm模塊檢測(cè)可信固件升級(jí)正常，則打開可信固件與tcm模塊的spi訪問(wèn)通道，將可信固件備份至可信固件備份flash，之后放開cpu復(fù)位信號(hào)，切換可信bios訪問(wèn)通道至cpu，正常啟動(dòng)設(shè)備；而當(dāng)tcm模塊校驗(yàn)到升級(jí)的可信固件損壞時(shí)，tcm模塊首先控制cpu復(fù)位信號(hào)使其處于復(fù)位狀態(tài)，同時(shí)打開可信固件與tcm模塊的spi訪問(wèn)通道，將可信固件備份flash的數(shù)據(jù)進(jìn)行恢復(fù)。

17、綜上所述，由于采用了上述技術(shù)方案，本發(fā)明的有益效果是：

18、在可信計(jì)算體系中，由可信平臺(tái)模塊(tcm)、可信bios、可信軟件基(trustedsoftware?base，tsb)構(gòu)成信任鏈。以tcm作為可信根，通過(guò)逐級(jí)的可信度量進(jìn)行信任傳遞，保障信息系統(tǒng)的可信運(yùn)行。本發(fā)明基于可信計(jì)算體系，將信任連傳遞的思路引入可信固件升級(jí)當(dāng)中，通過(guò)tcm模塊、可信bios、軟件商店、可信計(jì)算管理系統(tǒng)的各層級(jí)聯(lián)動(dòng)，在各層級(jí)對(duì)可信固件的更新進(jìn)行監(jiān)控、檢驗(yàn)和傳遞，確?？尚殴碳碌耐暾浴⒖尚判院桶踩裕軌蛴行У谋苊庠诳尚殴碳?jí)過(guò)程中遭受惡意攻擊，保障信息設(shè)備的可信運(yùn)行，同時(shí)實(shí)現(xiàn)了可信固件的一鍵升級(jí)，在提高安全性的同時(shí)大大增加了效率。因此，本發(fā)明具備安全檢測(cè)和應(yīng)急響應(yīng)措施，能夠有效的提高可信設(shè)備的安全風(fēng)險(xiǎn)控制，保障信息系統(tǒng)的可信運(yùn)行。同時(shí)增強(qiáng)固件升級(jí)的效率和易操作性，改善用戶的使用體驗(yàn)。

技術(shù)特征：

1.一種基于可信計(jì)算體系的可信固件升級(jí)方法，其特征在于，包括如下步驟：

2.一種基于可信計(jì)算體系的可信固件升級(jí)系統(tǒng)，其特征在于，用于實(shí)現(xiàn)如權(quán)利要求1所述的基于可信計(jì)算體系的可信固件升級(jí)方法；

3.根據(jù)權(quán)利要求2所述的基于可信計(jì)算體系的可信固件升級(jí)系統(tǒng)，其特征在于，所述tcm模塊的功能組件包括執(zhí)行引擎、控制裁決引擎、非易失性存儲(chǔ)單元、易失性存儲(chǔ)單元、真隨機(jī)數(shù)發(fā)生器、算法引擎、平臺(tái)配置寄存器pcr和定時(shí)器；各功能組件由輸入輸出橋接單元進(jìn)行地址空間的映射。

4.根據(jù)權(quán)利要求2所述的基于可信計(jì)算體系的可信固件升級(jí)系統(tǒng)，其特征在于，所述軟件商店提供軟件的下載、安裝、卸載、管理，能夠接收可信計(jì)算管理系統(tǒng)服務(wù)端的軟件下發(fā)，并對(duì)軟件進(jìn)行合法性檢驗(yàn)。

5.根據(jù)權(quán)利要求2所述的基于可信計(jì)算體系的可信固件升級(jí)系統(tǒng)，其特征在于，所述可信控制電路由邏輯控制電路和主板上的相關(guān)接口電路組成；所述tcm模塊通過(guò)邏輯控制電路控制cpu復(fù)位信號(hào)和cpu對(duì)可信固件的數(shù)據(jù)訪問(wèn)通道來(lái)實(shí)現(xiàn)對(duì)可信固件升級(jí)的控制。

6.根據(jù)權(quán)利要求5所述的基于可信計(jì)算體系的可信固件升級(jí)系統(tǒng)，其特征在于，若tcm模塊檢測(cè)可信固件升級(jí)正常，則打開可信固件與tcm模塊的spi訪問(wèn)通道，將可信固件備份至可信固件備份flash，之后放開cpu復(fù)位信號(hào)，切換可信bios訪問(wèn)通道至cpu，正常啟動(dòng)設(shè)備；而當(dāng)tcm模塊校驗(yàn)到升級(jí)的可信固件損壞時(shí)，tcm模塊首先控制cpu復(fù)位信號(hào)使其處于復(fù)位狀態(tài)，同時(shí)打開可信固件與tcm模塊的spi訪問(wèn)通道，將可信固件備份flash的數(shù)據(jù)進(jìn)行恢復(fù)。

技術(shù)總結(jié)
本發(fā)明提供一種基于可信計(jì)算體系的可信固件升級(jí)方法及系統(tǒng)，所述方法包括：可信計(jì)算管理系統(tǒng)對(duì)可信固件升級(jí)包進(jìn)行簽名并推送到軟件商店；軟件商店對(duì)升級(jí)包進(jìn)行驗(yàn)簽，若驗(yàn)簽成功則計(jì)算升級(jí)包的哈希值H1，并發(fā)送升級(jí)指令；可信BIOS接收升級(jí)指令，計(jì)算哈希值H2，與哈希值H1進(jìn)行比對(duì)，若比對(duì)成功則進(jìn)行升級(jí)；升級(jí)完成后，可信BIOS發(fā)送采集預(yù)期值指令給TCM模塊，重啟上電后TCM模塊讀取可信BIOS數(shù)據(jù)并計(jì)算哈希值H3，與哈希值H1進(jìn)行比對(duì)，若比對(duì)成功則進(jìn)行采集、備份，可信固件升級(jí)完成。本發(fā)明能夠有效的提高可信設(shè)備的安全風(fēng)險(xiǎn)控制，保障信息系統(tǒng)的可信運(yùn)行，同時(shí)增強(qiáng)固件升級(jí)的效率和易操作性，改善用戶的使用體驗(yàn)。

技術(shù)研發(fā)人員：鄭志偉,王遠(yuǎn)強(qiáng),唐六華,周楝淞,楊煦
受保護(hù)的技術(shù)使用者：中國(guó)電子科技集團(tuán)公司第三十研究所
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/9