一種VPN設備安全啟動方法及系統與流程

2023-05-04 08:10:06 1

本發明涉及vpn設備的密碼算法領域，尤其涉及一種vpn設備安全啟動方法及系統。

背景技術：

隨著現代網絡技術的迅猛發展，網絡互聯已經成為一種不可阻擋的潮流，但這種互聯方式極易受到各種攻擊，導致對內部網絡的非法訪問和信息洩露。vpn英文全稱是virtualprivatenetwork，虛擬專用網絡，以公用開放的網絡(如internet)作為基本傳輸媒體，通過加密和驗證網絡流量來保護在公共網絡上傳輸的私有信息不會被竊取和篡改，從而向最終用戶提供類似於私有網絡(privatenetwork)性能的網絡服務，但如果在啟動階段遭到惡意攻擊，私有網絡的訪問將受到嚴重威脅，為此，如何能夠安全可靠的vpn設備是當下丞待解決的技術問題。

技術實現要素：

為了克服上述現有技術中的不足，本發明提供一種vpn設備安全啟動方法，方法包括：

vpn設備上電，啟動bios固件；

可信密碼模塊對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結果與第一預設合法閾值進行比對；

當bios啟動代碼運算結果滿足第一預設合法閾值時，啟動vpn設備的作業系統；

可信密碼模塊對作業系統的啟動代碼進行哈希運算，將作業系統啟動代碼運算結果與第二預設合法閾值進行比對；

當作業系統啟動代碼運算結果滿足第二預設合法閾值時，vpn設備正常啟動。

優選地，方法包括：

當作業系統啟動代碼運算結果滿足第二預設合法閾值時，之後還包括：

啟動vpn設備的應用程式；

可信密碼模塊對應用程式的啟動代碼進行哈希運算，將應用程式啟動代碼運算結果與第三預設合法閾值進行比對；

當應用程式啟動代碼運算結果滿足第三預設合法閾值時，vpn設備正常啟動。

優選地，方法包括：

當bios啟動代碼運算結果不滿足第一預設合法閾值時，vpn設備停止啟動。

優選地，方法包括：

當作業系統啟動代碼運算結果不滿足第二預設合法閾值時，vpn設備停止啟動。

優選地，方法包括：

當應用程式啟動代碼運算結果不滿足第三預設合法閾值時，vpn設備停止啟動。

優選地，方法包括：

哈希運算採用md5，sha-1，sha-2，sha-256，sha-512，sha-3，ripemd一種或多種組合。

優選地，可信密碼模塊對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結果與第一預設合法閾值進行比對的方法還包括：

可信密碼模塊為bios固件配置第一預設合法閾值的存儲器，將啟動過程中bios固件的啟動代碼儲存至存儲器，並將各個參數的合法閾值預存至存儲器內；bios固件的啟動代碼包括：bios啟動代碼參數、bios引導參數、bios版本參數、bios主時鐘參數、vpn設備主板參數；

利用哈希運算，按照bios固件的啟動代碼的運行步驟進行運算，並對每個步驟運算後的運算結果與存儲器儲存的合法閾值進行比對；

如果當前步驟滿足合法閾值，則繼續對下一bios固件啟動參數進行加載，否則不對下一bios固件啟動參數進行加載，並結束vpn設備停止啟動。

優選地，可信密碼模塊對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結果與第一預設合法閾值進行比對的方法還包括：

加載bios固件的啟動代碼，可信密碼模塊將bios啟動代碼參數轉換為bios啟動代碼參數哈希值，bios啟動代碼參數哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載bios引導參數，可信密碼模塊將bios引導參數轉換為bios引導參數哈希值，bios引導參數哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載bios版本參數，可信密碼模塊將bios版本參數轉換為bios版本參數哈希值，bios版本參數哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載bios主時鐘參數，可信密碼模塊將bios主時鐘參數轉換為bios主時鐘參數哈希值，bios主時鐘參數哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載vpn設備主板參數，可信密碼模塊將vpn設備主板參數轉換為vpn設備主板參數哈希值，vpn設備主板參數哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，bios固件的啟動完成；

上述參數如不滿足合法閾值，結束vpn設備停止啟動。

一種vpn設備安全啟動系統，包括：vpn設備啟動模塊，可信密碼模塊，啟動執行模塊；

vpn設備啟動模塊用於使vpn設備上電，啟動bios固件；

可信密碼模塊用於對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結果與第一預設合法閾值進行比對；

當bios啟動代碼運算結果滿足第一預設合法閾值時，啟動執行模塊啟動vpn設備的作業系統；

可信密碼模塊對作業系統的啟動代碼進行哈希運算，將作業系統啟動代碼運算結果與第二預設合法閾值進行比對；

當作業系統啟動代碼運算結果滿足第二預設合法閾值時，啟動執行模塊使vpn設備正常啟動。

優選地，可信密碼模塊包括：存儲器，參數轉換模塊，參數預設模塊；

存儲器用於儲存vpn設備啟動過程中bios固件的啟動代碼，作業系統的啟動代碼，應用程式的啟動代碼，以及儲存第一預設合法閾值，第二預設合法閾值，第三預設合法閾值；

參數預設模塊用於根據bios固件的啟動代碼，作業系統的啟動代碼，應用程式的啟動代碼分別對應預設第一預設合法閾值，第二預設合法閾值，第三預設合法閾值，並將預設的第一預設合法閾值，第二預設合法閾值，第三預設合法閾值儲存至存儲器；

參數轉換模塊用於將bios固件的啟動代碼，作業系統的啟動代碼，應用程式的啟動代碼分別對應轉換為bios固件的啟動代碼哈希值，作業系統的啟動代碼哈希值，應用程式的啟動代碼哈希值，並將轉換的bios固件的啟動代碼哈希值，作業系統的啟動代碼哈希值，應用程式的啟動代碼哈希值儲存至存儲器；

可信密碼模塊還用於將vpn設備啟動過程中的bios固件的啟動代碼哈希值，作業系統的啟動代碼哈希值，應用程式的啟動代碼哈希值分別對應與預設的第一預設合法閾值，第二預設合法閾值，第三預設合法閾值進行比對。

從以上技術方案可以看出，本發明具有以下優點：

vpn設備安全啟動方法通過可信密碼模塊對bios固件、作業系統與應用程式進行參數比對，只有bios固件、作業系統與應用程式都滿足合法閾值時，vpn才能正常啟動。保護vpn設備在啟動時避免遭受非法攻擊，保障私有網絡訪問的合法與可靠，保證信息安全。採用可信密碼模塊作為可信計算平臺，為密碼算法提供可靠安全的運算空間與存儲空間，使運算與存儲更加安全可靠；同時可信密碼模塊內置的國密算法，使vpn設備啟動更加自主可控，安全可靠。

附圖說明

為了更清楚地說明本發明的技術方案，下面將對描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為vpn設備安全啟動方法流程圖；

圖2為vpn設備安全啟動方法實施例方法流程圖；

圖3為vpn設備安全啟動系統整體示意圖。

具體實施方式

為使得本發明的發明目的、特徵、優點能夠更加的明顯和易懂，下面將運用具體的實施例及附圖，對本發明保護的技術方案進行清楚、完整地描述，顯然，下面所描述的實施例僅僅是本發明一部分實施例，而非全部的實施例。基於本專利中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其它實施例，都屬於本專利保護的範圍。

本實施例提供一種vpn設備安全啟動方法，如圖1所示，方法包括：

s1：vpn設備上電，啟動bios固件；

s2：可信密碼模塊對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結果與第一預設合法閾值進行比對；

s3：當bios啟動代碼運算結果滿足第一預設合法閾值時，啟動vpn設備的作業系統；

當bios啟動代碼運算結果不滿足第一預設合法閾值時，vpn設備停止啟動。

s4：可信密碼模塊對作業系統的啟動代碼進行哈希運算，將作業系統啟動代碼運算結果與第二預設合法閾值進行比對；

s5：當作業系統啟動代碼運算結果滿足第二預設合法閾值時，vpn設備正常啟動。

當作業系統啟動代碼運算結果不滿足第二預設合法閾值時，vpn設備停止啟動。

這樣，採用可信密碼模塊，為vpn設備提供可信的計算平臺，並提供安全可用的密碼算法功能，能夠對bios固件代碼，作業系統的啟動代碼做出可信度量，判斷啟動過程是否被惡意程序修改。

將可信密碼模塊與vpn設備相結合，通過可信密碼模塊所提供的哈希算法，對vpn設備做可信計算，將計算結果與真實值做校驗，從而保障啟動過程的安全性。將可信密碼模塊作為信任比對，對vpn設備bios固件到作業系統、應用程式進行參數比對，保證每級代碼度量均處於合法狀態。

本發明還提供一種實施例具體包括：如圖2所示，

s11：vpn設備上電，啟動bios固件；

s12：可信密碼模塊對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結果與第一預設合法閾值進行比對；

s13：當bios啟動代碼運算結果滿足第一預設合法閾值時，啟動vpn設備的作業系統；

s14：可信密碼模塊對作業系統的啟動代碼進行哈希運算，將作業系統啟動代碼運算結果與第二預設合法閾值進行比對；

s15：當作業系統啟動代碼運算結果滿足第二預設合法閾值時，啟動vpn設備的應用程式；

s16：可信密碼模塊對應用程式的啟動代碼進行哈希運算，將應用程式啟動代碼運算結果與第三預設合法閾值進行比對；

s17：當應用程式啟動代碼運算結果滿足第三預設合法閾值時，vpn設備正常啟動。

當應用程式啟動代碼運算結果不滿足第三預設合法閾值時，vpn設備停止啟動。

哈希運算採用md5，sha-1，sha-2，sha-256，sha-512，sha-3，ripemd一種或多種組合。

上述兩個實施例中，可信密碼模塊對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結果與第一預設合法閾值進行比對的方法還包括：

可信密碼模塊為bios固件配置第一預設合法閾值的存儲器，將啟動過程中bios固件的啟動代碼儲存至存儲器，並將各個參數的合法閾值預存至存儲器內；bios固件的啟動代碼包括：bios啟動代碼參數、bios引導參數、bios版本參數、bios主時鐘參數、vpn設備主板參數；

利用哈希運算，按照bios固件的啟動代碼的運行步驟進行運算，並對每個步驟運算後的運算結果與存儲器儲存的合法閾值進行比對；

如果當前步驟滿足合法閾值，則繼續對下一bios固件啟動參數進行加載，否則不對下一bios固件啟動參數進行加載，並結束vpn設備停止啟動。

進一步的，可信密碼模塊對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結果與第一預設合法閾值進行比對的方法還包括：

加載bios固件的啟動代碼，可信密碼模塊將bios啟動代碼參數轉換為bios啟動代碼參數哈希值，bios啟動代碼參數哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載bios引導參數，可信密碼模塊將bios引導參數轉換為bios引導參數哈希值，bios引導參數哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載bios版本參數，可信密碼模塊將bios版本參數轉換為bios版本參數哈希值，bios版本參數哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載bios主時鐘參數，可信密碼模塊將bios主時鐘參數轉換為bios主時鐘參數哈希值，bios主時鐘參數哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載vpn設備主板參數，可信密碼模塊將vpn設備主板參數轉換為vpn設備主板參數哈希值，vpn設備主板參數哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，bios固件的啟動完成；上述參數如不滿足合法閾值，結束vpn設備停止啟動。

本發明還提供一種vpn設備安全啟動系統，如圖3所示，包括：vpn設備啟動模塊1，可信密碼模塊2，啟動執行模塊3；

vpn設備啟動模塊1用於使vpn設備上電，啟動bios固件；

可信密碼模塊2用於對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結果與第一預設合法閾值進行比對；當bios啟動代碼運算結果滿足第一預設合法閾值時，啟動執行模塊3啟動vpn設備的作業系統；

可信密碼模塊2對作業系統的啟動代碼進行哈希運算，將作業系統啟動代碼運算結果與第二預設合法閾值進行比對；當作業系統啟動代碼運算結果滿足第二預設合法閾值時，啟動執行模塊3使vpn設備正常啟動。

本實施例中，可信密碼模塊2包括：存儲器6，參數轉換模塊4，參數預設模塊5；

存儲器6用於儲存vpn設備啟動過程中bios固件的啟動代碼，作業系統的啟動代碼，應用程式的啟動代碼，以及儲存第一預設合法閾值，第二預設合法閾值，第三預設合法閾值；

參數預設模塊5用於根據bios固件的啟動代碼，作業系統的啟動代碼，應用程式的啟動代碼分別對應預設第一預設合法閾值，第二預設合法閾值，第三預設合法閾值，並將預設的第一預設合法閾值，第二預設合法閾值，第三預設合法閾值儲存至存儲器；

參數轉換模塊4用於將bios固件的啟動代碼，作業系統的啟動代碼，應用程式的啟動代碼分別對應轉換為bios固件的啟動代碼哈希值，作業系統的啟動代碼哈希值，應用程式的啟動代碼哈希值，並將轉換的bios固件的啟動代碼哈希值，作業系統的啟動代碼哈希值，應用程式的啟動代碼哈希值儲存至存儲器；

可信密碼模塊還用於將vpn設備啟動過程中的bios固件的啟動代碼哈希值，作業系統的啟動代碼哈希值，應用程式的啟動代碼哈希值分別對應與預設的第一預設合法閾值，第二預設合法閾值，第三預設合法閾值進行比對。

對所公開的實施例的上述說明，使本領域專業技術人員能夠實現或使用本發明。對這些實施例的多種修改對本領域的專業技術人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發明的精神或範圍的情況下，在其它實施例中實現。因此，本發明將不會被限制於本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一致的最寬的範圍。