The invention discloses a trusted computing platform with parallel computing and protection dual-architecture. The trusted computing platform includes: parallel computing subsystem and protection subsystem, calculation subsystem for computing task, protection subsystem for controlling module through trusted platform, active measurement and control of calculation subsystem according to trusted strategy, and protection subsystem for specific use. The calculation subsystem is measured statically and dynamically by trusted software base. The trusted computing platform provided by the invention realizes active security protection while calculating through parallel computing subsystem and protection subsystem. In addition to establishing a static trust chain with trusted platform control module as trust root step by step, a dynamic measurement mechanism based on security and trustworthiness strategy is designed to realize active defense of the whole computer system in the process of computer start-up and operation.
【技术实现步骤摘要】
一种计算与防护并行双体系结构的可信计算平台
本专利技术涉及可信计算
,具体涉及一种计算与防护并行双体系结构的可信计算平台。
技术介绍
当前的网络空间极其脆弱,震网、Wannacry勒索病毒、Mirai等造成较大影响的网络攻击事件层出不穷,且日益猖獗。究其根源,在于并没有从网络安全风险的实质原因入手解决问题,一味采用以“防火墙”、“病毒查杀”、“入侵检测”等为代表的“封堵查杀”被动防御手段,防不胜防,特别在面对针对目标系统的漏洞发起的攻击时,根本无法有效防御。为解决当前网络空间安全面临的问题,国际TCG组织提出了可信计算的方法,提出了以TPM和BIOS起始代码为信任根,一级度量一级,进而构建起计算机的信任链,保护计算机重要资源不被非法篡改和破坏,起到了较好的效果。但是,TPM本质上只是计算机上一个被动挂接的外部设备,只有被主机程序调用才会发挥作用,一旦主机被攻击者控制,TPM的作用就会无从发挥,而且TPM仅实现了计算机启动时的静态度量,并未实现计算机运行时基于策略的动态度量,所以导致TCG的可信计算架构在面对黑客利用计算机系统逻辑缺陷进行攻击时,基本难以抵御,...
【技术保护点】
1.一种计算与防护并行双体系结构的可信计算平台,其特征在于,包括:并行的计算子系统和防护子系统,其中,所述计算子系统用于完成计算任务;所述防护子系统用于通过可信平台控制模块,根据可信策略对所述计算子系统进行主动度量和主动控制;所述计算子系统与所述防护子系统之间具有安全隔离机制,通过专用访问通道进行交互;所述防护子系统根据可信策略对所述计算子系统进行主动度量,包括:通过可信软件基对所述计算子系统分别进行静态度量和动态度量。
【技术特征摘要】
1.一种计算与防护并行双体系结构的可信计算平台,其特征在于,包括:并行的计算子系统和防护子系统,其中,所述计算子系统用于完成计算任务;所述防护子系统用于通过可信平台控制模块,根据可信策略对所述计算子系统进行主动度量和主动控制;所述计算子系统与所述防护子系统之间具有安全隔离机制,通过专用访问通道进行交互;所述防护子系统根据可信策略对所述计算子系统进行主动度量,包括:通过可信软件基对所述计算子系统分别进行静态度量和动态度量。2.根据权利要求1所述的一种计算与防护并行双体系结构的可信计算平台,其特征在于,所述可信软件基包括基本层和控制层,所述基本层用于对所述计算子系统进行静态度量,所述控制层用于对所述计算子系统进行动态度量和控制处理。3.根据权利要求2所述的一种计算与防护并行双体系结构的可信计算平台,其特征在于,所述基本层具体用于建立所述计算子系统的信任链;所述基本层包括:初始环境验证度量模块、系统引导验证度量模块、内核验证度量模块、系统验证度量模块以及应用代码验证度量模块;所述初始环境验证度量模块用于在所述可信平台控制模块启动后,且在所述计算子系统的CPU启动之前,对所述计算子系统的BIOS、OPROM及硬件配置进行主动度量;所述系统引导验证度量模块用于在所述BIOS启动之后,在所述计算子系统的OSLoader代码加载之前,对所述OSLoader代码进行主动度量;所述内核验证度量模块用于在所述OSLoader代码执行之后,在所述计算子系统的操作系统内核代码加载之前,对所述操作系统内核代码进行主动度量;所述系统验证度量模块用于在所述操作系统内核代码执行之后,在所述计算子系统的系统服务加载之前,对所述系统服务进行主动度量;所述应用代码验证度量模块用于在所述计算子系统运行过程中,当需要加载应用程序时,对待加载的应用程序进行主动度量。4.根据权利要求2所述的一种计算与防护并行双体系结构的可信计算平台,其特征在于,所述控制层具体用于根据可信策略对所述计算子系统中的应用执行的相关信息进行度量;所述相关信息包括以下至少之一:主体、客体、操作和执行环境;所述执行环境包括:应用执行所依赖的进程环境和应用执行所依赖的系统环境,所述系统环境包括:所述计算子系统的系统服务和所述计算子系统的操作系统内核;所述可信策略包括:主体、客体、操作和执行环境。5.根据权利要求2所述的一种计算与防护并行双体系结构的可信计算平台,其特征在于,所述控制层包括两种度量模式,分别为直接度...
【专利技术属性】
技术研发人员:沈昌祥,孙瑜,洪宇,王涛,
申请(专利权)人:沈昌祥,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。