本公开提供一种可信计算设备,包括:输入/输出接口,被配置为与外部设备进行数据/信息交互,所述数据/信息交互包括从外部设备接收可信计算应用程序启动指令,从外部设备接收待进行可信计算的数据,或者将可信计算结果发送给外部设备;可信计算应用程序存储区,至少一个可信计算应用程序被安装在可信计算应用程序存储区中;包括安全计算算法库的操作系统,所述安全计算算法库被配置为存储至少一个安全计算算法;以及Python虚拟机,在Python虚拟机内执行目标可信计算应用程序,以调用对应的安全计算算法来对待进行可信计算的数据进行可信计算,其中,每个可信计算应用程序是利用Python编译器生成的Python字节码可信计算应用程序。
Trusted Computing Method, Equipment and System
【技术实现步骤摘要】
可信计算方法、设备及系统
本公开通常涉及计算机
,更具体地,涉及用于进行可信计算的方法、设备及系统。
技术介绍
在计算机领域,确保信息安全是非常重要的。信息安全主要包括设备安全、数据安全、内容安全与行为安全。行为安全包括行为机密性、行为完整性、行为真实性等。可信计算(TrustedComputing,TC)属于行为安全。可信计算是一项由可信计算组(可信计算平台,TrustedComputingPlatformAlliance,TCPA)推动和开发的技术。可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。早期可信计算的研究主要以可信计算工作组(TrustedComputingGroup,TCG国际)为主,国内开展可信计算研究的思路基本也是跟着TCG的步伐。可信计算最核心的就是可信平台模块(TrustedPlatformModule,TPM)安全芯片。目前TPM安全单元通常使用Javacard。使用Javacard需要支付较高的License费用。此外,Javacard是使用Java编程语言来编写的,需要适应8位MCU,而且Javacard在物联网应用时扩展性受限。
技术实现思路
鉴于上述,本公开提供了一种基于Python虚拟机实现的可信计算方法及设备。利用该可信计算方法及设备,能够实现可深度定制的可信计算框架,并且适应物联网应用时的扩展性。根据本公开的一个方面,提供了一种可信计算设备,包括:输入/输出接口,被配置为与外部设备进行数据/信息交互,所述数据/信息交换包括从所述外部设备接收可信计算应用程序启动指令,从所述外部设备接收至少一个可信计算应用程序,从所述外部设备接收待进行可信计算的数据,或者将可信计算结果发送给所述外部设备;处理器芯片,被配置为执行基于所述可信计算应用程序启动指令启用的目标可信计算应用程序;可信计算应用程序存储区,至少一个可信计算应用程序被安装在所述可信计算应用程序存储区中;操作系统,所述操作系统包括安全计算算法库,所述安全计算算法库被配置为存储至少一个安全计算算法;以及Python虚拟机,其中,在所述Python虚拟机内执行所述目标可信计算应用程序,以调用对应的安全计算算法来对待进行可信计算的数据进行可信计算,其中,所述至少一个可信计算应用程序中的每个可信计算应用程序是利用Python编译器生成的Python字节码可信计算应用程序。可选地,在上述方面的一个示例中,所述操作系统还可以包括:存取服务模块,被配置为执行针对所述至少一个可信计算应用程序的存取处理。可选地,在上述方面的一个示例中,所述存取服务模块被配置为:将所述至少一个可信计算应用程序安装到所述可信计算应用程序存储区;从所述可信计算应用程序存储区卸载所述至少一个可信计算应用程序;和/或在进行可信计算时,执行针对键/值数据库的键/值存取操作。可选地,在上述方面的一个示例中,所述至少一个可信计算应用程序是采用TSM远程发行的方式或者离线烧录的方式安装到所述可信计算应用程序存储区中的。可选地,在上述方面的一个示例中,所述操作系统还可以包括:内存隔离保护模块,被配置为对所述至少一个可信计算应用程序访问的数据执行内存隔离保护处理。可选地,在上述方面的一个示例中,其中,所述操作系统还可以包括:输入/输出接口驱动模块,被配置为对所述输入/输出接口进行驱动,以启用所述输入/输出接口来进行输入/输出操作。可选地,在上述方面的一个示例中,所述输入/输出接口包括下述输入/输出接口中的至少一项:USB接口;I2C接口;UART接口;ISP接口;NFC;7816接口;和蓝牙模块。可选地,在上述方面的一个示例中,所述可信计算设备还可以包括:可信计算应用程序管理平台,被配置为对所述至少一个可信计算应用程序进行管理。可选地,在上述方面的一个示例中,所述至少一个可信计算应用程序包括下述可信计算应用程序中的至少一项:区块链可信计算应用程序,智能卡可信计算应用程序,公交可信计算应用程序和身份可信计算应用程序。根据本公开的另一方面,提供一种可信计算系统,包括:如上所述的可信计算设备;以及可信服务管理平台。根据本公开的另一方面,提供一种可信计算方法,包括:经由输入/输出接口来从外部设备接收可信计算应用程序启动指令,以启动可信计算应用程序存储区中的目标可信计算应用程序;经由输入/输出接口来从所述外部设备接收待进行可信计算的数据,以提供给所述目标可信计算应用程序;在Python虚拟机中执行所述目标可信计算应用程序,以从安全计算算法库中调用对应的安全计算算法来对所述待进行可信计算的数据进行可信计算;以及经由所述输入/输出接口将可信计算结果提供给所述外部设备,其中,所述可信计算应用程序存储区被配置为存储已经安装的至少一个可信计算应用程序,以及所述至少一个可信计算应用程序中的每个可信计算应用程序是利用Python编译器生成的Python字节码可信计算应用程序。可选地,在上述方面的一个示例中,所述可信计算应用程序是利用存取服务模块安装到所述可信计算应用程序存储区中的。可选地,在上述方面的一个示例中,当在Python虚拟机中执行目标可信计算应用程序时,所述目标可信计算应用程序所访问的数据是经由内存隔离保护模块进行内存隔离保护的。附图说明通过参照下面的附图,可以实现对于本公开内容的本质和优点的进一步理解。在附图中,类似组件或特征可以具有相同的附图标记。图1示出了根据本公开的实施例的可信计算系统的方框图;图2示出了根据本公开的实施例的可信计算设备的结构图;图3示出了根据本公开的实施例的可信计算系统的处理过程的示意图;图4示出了根据本公开的实施例的可信计算方法的流程图;图5示出了根据本公开的实施例的可信计算的区块链应用实例的示意图。具体实施方式现在将参考示例实施方式讨论本文描述的主题。应该理解,讨论这些实施方式只是为了使得本领域技术人员能够更好地理解从而实现本文描述的主题,并非是对权利要求书中所阐述的保护范围、适用性或者示例的限制。可以在不脱离本公开内容的保护范围的情况下,对所讨论的元素的功能和排列进行改变。各个示例可以根据需要,省略、替代或者添加各种过程或组件。例如,所描述的方法可以按照与所描述的顺序不同的顺序来执行,以及各个步骤可以被添加、省略或者组合。另外,相对一些示例所描述的特征在其它例子中也可以进行组合。如本文中使用的,术语“包括”及其变型表示开放的术语,含义是“包括但不限于”。术语“基于”表示“至少部分地基于”。术语“一个实施例”和“一实施例”表示“至少一个实施例”。术语“另一个实施例”表示“至少一个其他实施例”。术语“第一”、“第二”等可以指代不同的或相同的对象。下面可以包括其他的定义,无论是明确的还是隐含的。除非上下文中明确地指明,否则一个术语的定义在整个说明书中是一致的。在本公开中,术语“可信计算应用程序”是指可信计算设备中安装的应用程序,该应用程序用于管理针对业务应用程序的可信计算,例如但不限于,密钥存储、私钥签名等。下面将结合附图来详细描述根据本公开的实施例的可信计算方法、设备及系统。图1示出了根据本公开的实施例的可信计算系统10的方框图。如图1所示,可信计算系统10包括可信计算设备100和可信服务管本文档来自技高网...
【技术保护点】
1.一种可信计算设备,包括:输入/输出接口,被配置为与外部设备进行数据/信息交互,所述数据/信息交互包括从所述外部设备接收可信计算应用程序启动指令,从所述外部设备接收待进行可信计算的数据,或者将可信计算结果发送给所述外部设备;处理器芯片,被配置为执行基于所述可信计算应用程序启动指令启用的目标可信计算应用程序;可信计算应用程序存储区,至少一个可信计算应用程序被安装在所述可信计算应用程序存储区中;操作系统,所述操作系统包括安全计算算法库,所述安全计算算法库被配置为存储至少一个安全计算算法;以及Python虚拟机,其中,在所述Python虚拟机内执行所述目标可信计算应用程序,以调用对应的安全计算算法来对待进行可信计算的数据进行可信计算,其中,所述至少一个可信计算应用程序中的每个可信计算应用程序是利用Python编译器生成的Python字节码可信计算应用程序。
【技术特征摘要】
1.一种可信计算设备,包括:输入/输出接口,被配置为与外部设备进行数据/信息交互,所述数据/信息交互包括从所述外部设备接收可信计算应用程序启动指令,从所述外部设备接收待进行可信计算的数据,或者将可信计算结果发送给所述外部设备;处理器芯片,被配置为执行基于所述可信计算应用程序启动指令启用的目标可信计算应用程序;可信计算应用程序存储区,至少一个可信计算应用程序被安装在所述可信计算应用程序存储区中;操作系统,所述操作系统包括安全计算算法库,所述安全计算算法库被配置为存储至少一个安全计算算法;以及Python虚拟机,其中,在所述Python虚拟机内执行所述目标可信计算应用程序,以调用对应的安全计算算法来对待进行可信计算的数据进行可信计算,其中,所述至少一个可信计算应用程序中的每个可信计算应用程序是利用Python编译器生成的Python字节码可信计算应用程序。2.如权利要求1所述的可信计算设备,其中,所述操作系统还包括:存取服务模块,被配置为执行针对所述至少一个可信计算应用程序的存取处理。3.如权利要求2所述的可信计算设备,其中,所述存取服务模块被配置为:将所述至少一个可信计算应用程序安装到所述可信计算应用程序存储区;从所述可信计算应用程序存储区卸载所述至少一个可信计算应用程序;和/或在进行可信计算时,执行针对键/值数据库的键/值存取操作。4.如权利要求1所述的可信计算设备,其中,所述至少一个可信计算应用程序是采用TSM远程发行的方式或者离线烧录的方式安装到所述可信计算应用程序存储区中的。5.如权利要求2所述的可信计算设备,其中,所述操作系统还包括:内存隔离保护模块,被配置为对所述至少一个可信计算应用程序访问的数据执行内存隔离保护处理。6.如权利要求5所述的可信计算设备,所述操作系统还包括:输入/输出接口驱动模块,被配置为对所述输入/输出接口进行驱动,以...
【专利技术属性】
技术研发人员:张鸿,蒋海滔,王林青,湛宗儒,姚四海,李富强,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。