本申請涉及信息安全，尤其涉及一種設備可信啟動方法、系統、設備及存儲介質。

背景技術：

1、基于tpcm(trusted?platform?control?module,可信平臺控制模塊)的嵌入式設備，系統的復位啟動狀態分為冷啟動狀態和熱啟動狀態。通過斷電重啟使系統進入冷啟動狀態時，tpcm模塊能夠在底層固件上電啟動之前主動對bios(basic?input?outputsystem，基本輸入輸出系統)進行驗證，可以完成對關鍵組件的可信驗證，完成啟動信任鏈的可信驗證；但是當通過系統命令reboot(重新啟動)進入熱啟動的方式時，設備通常會出現可信根通信異常的現象，即系統重啟后，tpcm模塊沒有收到復位信號，tpcm模塊只能度量內核等其他關鍵數據，不度量bios，度量階段不完整，沒有完整的啟動信任鏈，啟動異常。目前，可通過硬件改造和監控措施來解決，但這帶來了高昂的成本和技術實施難度。

2、因此，如何通過低成本、低難度的方式，對設備在熱啟動時實現對bios的有效度量，是本領域技術人員需要解決的問題。

技術實現思路

1、本申請提供了一種設備可信啟動方法、系統、設備及存儲介質，以通過低成本、低難度的方式，對設備在熱啟動時實現對bios的有效度量。

2、第一方面，本申請提供了一種設備可信啟動方法，所述方法基于可信軟件基代理，所述方法包括：

3、接收熱啟動指令；

4、利用所述熱啟動指令，從重啟通知鏈查找對應的事件類型；

5、調用所述事件類型的回調函數，通過所述回調函數向tpcm模塊發送復位信號，以便所述tpcm模塊通過所述復位信號將模式切換為主模式，并對設備執行完整啟動度量操作。

6、可選地，接收熱啟動通知之前，還包括：

7、確定待注冊的事件類型及回調函數；

8、將所述事件類型及所述回調函數，注冊到重啟通知鏈。

9、可選地，利用所述熱啟動指令，從重啟通知鏈查找對應的事件類型包括：

10、若所述熱啟動指令為reboot命令，則從重啟通知鏈查找系統重啟事件類型；所述系統重啟事件類型包括sys_down及sys_restart。

11、可選地，利用所述熱啟動指令，從重啟通知鏈查找對應的事件類型包括：

12、若所述熱啟動指令為shutdown命令，則從重啟通知鏈查找對應的系統掛起事件類型；所述系統掛起事件類型為sys_halt。

13、可選地，通過所述回調函數向tpcm模塊發送復位信號，包括：

14、所述回調函數利用tpcm通信驅動，將復位信息發送至tpcm模塊。

15、第二方面，本申請提供了一種設備可信啟動方法，所述方法基于tpcm模塊，所述方法包括：

16、接收可信軟件基代理發送的復位信號；所述復位信號為可信軟件基代理利用熱啟動指令從重啟通知鏈查找對應的事件類型，并調用所述事件類型的回調函數，通過所述回調函數向tpcm模塊發送的；

17、利用所述復位信號將模式切換為主模式；

18、對設備執行完整啟動度量操作。

19、可選地，對設備執行完整啟動度量操作，包括：

20、對設備的bios、內核及應用依次進行可信度量，得到度量結果。

21、第三方面，本申請提供了一種設備可信啟動系統，包括：

22、可信軟件基代理，用于接收熱啟動指令，利用所述熱啟動指令，從重啟通知鏈查找對應的事件類型，調用所述事件類型的回調函數，通過所述回調函數向tpcm模塊發送復位信號；

23、tpcm模塊，用于接收所述復位信號，利用所述復位信號將模式切換為主模式，對設備執行完整啟動度量操作。

24、第四方面，本申請還提供了一種電子設備，包括：

25、處理器、存儲器及存儲在所述存儲器上并可在所述處理器上運行的計算機程序，所述處理器通過所述計算機程序執行本申請上述設備可信啟動方法的步驟。

26、第五方面，本申請還提供了一種計算機存儲介質，所述計算機存儲介質存儲有計算機可執行指令，所述計算機可執行指令用于執行本申請上述設備可信啟動方法的步驟。

27、本申請實施例提供的上述技術方案與現有技術相比具有如下優點：本申請公開了一種設備可信啟動方案，在本方案中，可信軟件基代理接收熱啟動指令，利用熱啟動指令，從重啟通知鏈查找對應的事件類型；調用事件類型的回調函數，通過回調函數向tpcm模塊發送復位信號，以便tpcm模塊通過復位信號將模式切換為主模式，并對設備執行完整啟動度量操作；可見，在本申請中，可信軟件基代理接收熱啟動指令后，通過內核通知鏈機制向tpcm模塊發送復位信號，以便執行包括對bios可信度量的完整啟動度量操作，該方式無需對硬件進行改造，即可在設備熱啟動時對bios進行有效度量，進而降低技術難度及成本，提高設備安全性。

技術特征：

1.一種設備可信啟動方法，其特征在于，所述方法基于可信軟件基代理，所述方法包括：

2.根據權利要求1所述的設備可信啟動方法，其特征在于，接收熱啟動通知之前，還包括：

3.根據權利要求1所述的設備可信啟動方法，其特征在于，利用所述熱啟動指令，從重啟通知鏈查找對應的事件類型包括：

4.根據權利要求1所述的設備可信啟動方法，其特征在于，利用所述熱啟動指令，從重啟通知鏈查找對應的事件類型包括：

5.根據權利要求1至4中任意一項所述的設備可信啟動方法，其特征在于，通過所述回調函數向tpcm模塊發送復位信號，包括：

6.一種設備可信啟動方法，其特征在于，所述方法基于tpcm模塊，所述方法包括：

7.根據權利要求6所述的設備可信啟動方法，其特征在于，對設備執行完整啟動度量操作，包括：

8.一種設備可信啟動系統，其特征在于，包括：

9.一種電子設備，其特征在于，包括：

10.一種計算機存儲介質，其特征在于，所述計算機存儲介質存儲有計算機可執行指令，所述計算機可執行指令用于執行本申請上述權利要求1至5中任意一項所述的設備可信啟動方法的步驟，或者上述權利要求6或7所述的設備可信啟動方法的步驟。

技術總結
本申請涉及一種設備可信啟動方法、系統、設備及存儲介質。在本方案中，可信軟件基代理接收熱啟動指令，利用熱啟動指令，從重啟通知鏈查找對應的事件類型；調用事件類型的回調函數，通過回調函數向TPCM模塊發送復位信號，以便TPCM模塊通過復位信號將模式切換為主模式，并對設備執行完整啟動度量操作；可見，在本申請中，可信軟件基代理接收熱啟動指令后，通過內核通知鏈機制向TPCM模塊發送復位信號，以便執行包括對BIOS可信度量的完整啟動度量操作，該方式無需對硬件進行改造，即可在設備熱啟動時對BIOS進行有效度量，進而降低技術難度及成本，提高設備安全性。

技術研發人員：段古納,沈俊偉,劉丹,梁豪杰
受保護的技術使用者：北京可信華泰信息技術有限公司
技術研發日：
技術公布日：2025/4/28