本发明专利技术涉及一种存储隔离的可信系统,所述系统包括:中央处理器、可信平台控制模块(TPCM);可信平台控制模块通过PCIE总线接入可信系统的主板;可信平台控制模块通过只读的访问中央处理器的存储空间以获取主动度量所需的数据,可信平台控制模块基于度量策略对所述数据进行度量,并将度量结果保存在所述可信平台控制模块的存储空间中。本发明专利技术能够将接入总线的存储器以及处理芯片内部的存储器均进行连续的存储空间映射,从而进行多存储器的集中管理;通过区别的地址映射,使得存储空间为对部分组件可见,而对其他不可见,过这样的方式使得中央处理器和可信平台控制模块之间存储隔离。
【技术实现步骤摘要】
一种存储隔离的可信系统
本专利技术属于信息安全
,尤其涉及一种存储隔离的可信系统。
技术介绍
随着网络技术的发展,目前急需一种安全可靠的服务器系统,以消除安全隐患。ARM处理器的生态环境比较成熟,越来越多的国产系统软件、工具软件、应用软件厂商在围绕ARM处理器进行产品开发。可信计算作为提升国家网络安全保障能力的重要手段之一,得到了产业界和专家的广泛认可。在可信计算领域,存储安全是其中的关键技术。只有从芯片、主板等硬件结构和BIOS、操作系统、存储器等底层软件作起,才能比较有效的提高整个系统的安全性。现在亟需一种新的存储隔离的可信系统,本专利技术能够将接入总线的存储器以及处理芯片内部的存储器均进行连续的存储空间映射,从而进行多存储器的集中管理;通过区别的地址映射,使得存储空间为对部分组件可见,而对其他不可见,过这样的方式使得中央处理器和可信平台控制模块之间存储隔离。
技术实现思路
为了解决现有技术中的上述问题,本专利技术提出了一种存储隔离的可信系统,该系统包括:中央处理器、可信平台控制模块(TPCM);可信平台控制模块通过PCIE总线接入可信系统的主板;可信平台控制模块TPCM以可插拔卡的方式接入可信系统的主板;在基于可信平台控制模块的动态度量过程中,可信平台控制模块通过可信软件基TSB获取的监测数据对中央处理器及其操作系统、应用程序依次的进行动态度量;可信平台控制模块通过只读的访问中央处理器的存储空间以获取主动度量所需的数据,可信平台控制模块基于度量策略对所述数据进行度量,并将度量结果保存在所述可信平台控制模块的存储空间中。进一步的,可信平台控制模块内部的存储空间是可信平台控制模块自身可见的、中央处理器内部的存储空间是中央处理器自身可见的。进一步的,可信平台控制模块和中央处理器通过总线共享可信平台主板上的只读、可读写存储器。进一步的,可信平台主板上的只读、可读写存储器通过地址映射的方式被映射到连续的地址空间中。进一步的,所述部分连续的地址空间对中央处理器为可见的,而另一部分连续的地址空间对中央处理器为不可见的。进一步的,所述可信平台控制模块具有高于中央处理器的访问权限,所述可信平台控制模块能够只读的访问中央处理器的存储空间。进一步的,位于主板上的控制器对所述中央处理器和可信平台控制模块发送的读写指令进行仲裁。进一步的,中央处理器不能访问所述可信平台控制模块的系统存储区。本专利技术的有益效果包括:能够将接入总线的存储器以及处理芯片内部的存储器均进行连续的存储空间映射,从而进行多存储器的集中管理;通过区别的地址映射,使得存储空间为对部分组件可见,而对其他不可见,过这样的方式使得中央处理器和可信平台控制模块之间存储隔离。【附图说明】此处所说明的附图是用来提供对本专利技术的进一步理解,构成本申请的一部分,但并不构成对本专利技术的不当限定,在附图中:图1是本专利技术的存储隔离的可信系统的架构示意图。图2是本专利技术的可信平台控制模块接入存储隔离的可信系统的连接示意图。图3是本专利技术的存储隔离的可信系统的硬件结构示意图。【具体实施方式】下面将结合附图以及具体实施例来详细说明本专利技术,其中的示意性实施例以及说明仅用来解释本专利技术,但并不作为对本专利技术的限定。如图1所示,对本专利技术所应用的一种存储隔离的可信系统进行详细说明,所述系统包括:中央处理器、可信平台控制模块、扩展度量模块EMM(EMM1、EMM2、EMM3)、启动存储器、控制器、可信平台主板;所述存储隔离的可信系统的组件均设置于所述可信平台主板上;中央处理器和可信平台控制模块通过系统总线连接到控制器;所述存储隔离的可信系统还包括:随机存取存储器、时序控制电路、输入输出接口;优选的:控制器控制使得在中央处理器执行启动存储器代码之前,可信平台控制模块先启动,可信平台控制模块可靠地读取启动存储器代码的初始引导模块,可信平台控制模块中的度量根模块RTM对启动存储器代码中的初始引导模块进行完整性度量,并将度量结果保存在可信平台控制模块的存储空间中;所述扩展度量模块EMM用于和度量根模块RTM配合以进行完整性度量,从而实现信任链传递;所述中央处理器用于完成存储隔离的可信系统的计算任务;优选的:所述中央处理器为多核处理器;优选的:总线包括控制总线和数据总线;可信平台控制模块包括可信平台控制芯片、可信平台控制固件、可信平台控制支撑软件、辅助工具等;所述可信平台控制芯片为计算芯片,包括内部处理单元、内存,还包括SPI、GPIO等用于接入可信平台主板;构建于可信平台控制芯片上的可信平台控制固件为嵌入式/片上操作系统,用于对主动度量控制等任务进行调度和执行,从而实现整个系统的可信;所述可信平台控制支撑软件运行于嵌入式/片上操作系统内核层、提供软件层面的交互接口,可信平台控制固件通过可信平台控制支撑软件和中央处理器操作系统内的可信软件基进行数据交互;所述辅助工具包括调试设备、固件刷写、固件签名等;优选的:所述可信平台控制固件包括指令处理模块、初始化模块、输入输出驱动模块、可信功能模块、主动度量模块;其中:指令处理模块负责对外部实体发送的指令进行解析和执行;初始化模块负责模块初始化、模块自检、平台状态初始化等;输入输出驱动模块主要是模块内输入输出的驱动函数库;主动度量模块负责对BootRom的主动度量;可信功能模块主要提供基本的可信支撑;优选的:所述可信平台控制模块最少但不限于控制以下输入输出接口的开启或关闭:USB、PS/2、PCIE、PCI、SATA、串口、网络接口;所述控制器用于对可信平台主板上的组件进行控制;包括中央处理器和可信平台控制模块的启动顺序、权限高低等;所述启动存储器用于存储中央处理器启动所需代码以及保存部分扩展度量模块代码;优选的:所述启动所需代码为MBR、BOOTLOADER等;优选的:所述扩展度量模块以ROM的形式实现,所述扩展度量模块中保存了静态度量中涉及的度量代码;优选的:所述扩展度量模块包含2个独立的物理部分;一部分位于启动存储器中,另一部分独立的接入控制器;其中:所述一部分的启动顺序早于所述另一部分;优选的:所述可信系统中还接入USBkey和TCM模块;通过USBkey和TCM模块进行登录中央处理器的操作系统的用户的身份认证认证;具体的:设备开机登录、可信应用软件基登录时,对用户信息进行身份合法性验证;优选的:所述可信程序控制基于白名单机制实现,基于LSM机制对HOOK函数进行重载,实现对可执行文件执行的拦截;如图2所示,可信平台控制模块通过PCIE总线接入存储隔离的可信系统的主板,并通过PCIE总线和设置于中央处理器上的操作系统中的可信软件基TSB进行命令和数据交互;通过多路复用器对GPIO/SPI/I2C进行复用的方式,实现对控制器和/或BIOS的度量以及与控制器进行连接;优选的:可信平台控制模块TPCM以可插拔卡的方式接入存储隔离的可信系统的主板;在基于可信平台控制模块的动态度量过程中,可信平台控制模块通过可信软件基TSB获取的监测数据对中央处理器及其操作系统、应用程序依次的进行动态度量;优选的:可信平台控制模块内部的存储空间是可信平台控制模块自身可见的、中央处理器内部的存储空间是中央处理器自身可见的;可信平台控制模块和中央处理器通过总线共享可信平台主板上的只本文档来自技高网...
【技术保护点】
1.一种存储隔离的可信系统,其特征在于,该系统包括:中央处理器、可信平台控制模块TPCM;可信平台控制模块通过PCIE总线接入可信系统的主板;可信平台控制模块TPCM以可插拔卡的方式接入可信系统的主板;在基于可信平台控制模块的动态度量过程中,可信平台控制模块通过可信软件基TSB获取的监测数据对中央处理器及其操作系统、应用程序依次的进行动态度量;可信平台控制模块通过只读的访问中央处理器的存储空间以获取主动度量所需的数据,可信平台控制模块基于度量策略对所述数据进行度量,并将度量结果保存在所述可信平台控制模块的存储空间中。
【技术特征摘要】
1.一种存储隔离的可信系统,其特征在于,该系统包括:中央处理器、可信平台控制模块TPCM;可信平台控制模块通过PCIE总线接入可信系统的主板;可信平台控制模块TPCM以可插拔卡的方式接入可信系统的主板;在基于可信平台控制模块的动态度量过程中,可信平台控制模块通过可信软件基TSB获取的监测数据对中央处理器及其操作系统、应用程序依次的进行动态度量;可信平台控制模块通过只读的访问中央处理器的存储空间以获取主动度量所需的数据,可信平台控制模块基于度量策略对所述数据进行度量,并将度量结果保存在所述可信平台控制模块的存储空间中。2.根据权利要求1所述的存储隔离的可信系统,其特征在于,可信平台控制模块内部的存储空间是可信平台控制模块自身可见的、中央处理器内部的存储空间是中央处理器自身可见的。3.根据权利要求2所述的存储隔离的可信系统,其特征在于,可信平台...
【专利技术属性】
技术研发人员:孙瑜,杨秩,王强,王涛,
申请(专利权)人:北京可信华泰信息技术有限公司,北京可信华泰科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。