本发明专利技术公开了一种双体系架构的可信计算平台的构建方法和装置。其中,该方法包括:将计算机的处理器的第一处理器核划分入防护硬件资源,将处理器的第二处理器核划分入计算硬件资源,其中,防护硬件资源用于对计算硬件资源进行度量;通过第一处理器核将计算机的其它硬件资源划分入防护硬件资源和计算硬件资源,其中,其它硬件资源为计算机内除处理器以外的硬件资源,防护硬件资源和计算硬件资源之间相互隔离。本发明专利技术解决了相关技术中的计算机安全性较低的技术问题。
The construction method and device of dual architecture trusted computing platform
【技术实现步骤摘要】
双体系架构的可信计算平台的构建方法和装置
本专利技术涉及互联网安全领域,具体而言,涉及一种双体系架构的可信计算平台的构建方法和装置。
技术介绍
当前的网络空间极其脆弱,震网、勒索病毒(如Wannacry)、Mirai病毒等造成较大影响的网络攻击事件层出不穷,且日益猖獗,究其根源,在于并没有从网络安全风险的实质原因入手解决问题,一味采用以“防火墙”、“病毒查杀”、“入侵检测”等为代表的“封堵查杀”被动防御手段,防不胜防,特别在面对针对目标系统的漏洞发起的攻击时,根本无法有效防御。国际TCG组织(英文全称TrustedComputingGroup,中文名为可信计算组织)提出的可信计算芯片TPM是作为计算机的外部设备,以被动挂接的方式,通过主机软件调用来发挥作用,仅能对计算机的固件和可执行程序等资源进行静态度量。以TPM方式所实现的可信计算平台实质是单系统架构,TPM在资源访问、控制上都有局限性,其安全能力完全依赖于主机系统的安全性,难以防御黑客利用主机系统漏洞进行的攻击,并不能实质上提升计算机系统的主动防御能力。为解决当前网络空间安全面临的问题,国际TCG组织提出了可信计算的方法,提出了以TPM和BIOS起始代码为信任根,一级度量一级,进而构建起计算机的信任链,保护计算机重要资源不被非法篡改和破坏,起到了较好的效果。但是,TPM本质上只是计算机上一个被动挂接的外部设备,只有被主机程序调用才会发挥作用,一旦主机被攻击者控制,TPM的作用就会无从发挥,导致TCG的可信计算架构在面对黑客利用计算机系统逻辑缺陷进行攻击时,基本难以抵御,例如Windows10完全实现了TCG的可信计算架构,但是却未能阻止Wannacry勒索病毒的攻击。此外,以TPM方式所实现的可信计算平台实质是单系统架构,TPM在对计算机的资源访问、控制上都有局限性。且,TPM仅能对计算机的固件和可执行程序等资源进行静态度量,无法对应用执行及其所依赖的执行环境进行动态度量。针对以TPM方式所实现的可信计算平台实质是单系统架构,TPM的固件和可执行程序等资源进行静态度量,无法对应用执行及其所依赖的执行环境进行动态度量,且TPM在资源访问、控制上都有局限性,TPM的安全能力完全依赖于主机系统的安全性。针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种双体系架构的可信计算平台的构建方法和装置,以至少解决相关技术中的计算机安全性较低的技术问题。根据本专利技术实施例的一个方面,提供了一种双体系架构的可信计算平台的构建方法,包括:将计算机的处理器的第一处理器核划分入防护硬件资源,将处理器的第二处理器核划分入计算硬件资源,其中,防护硬件资源用于对计算硬件资源进行度量;通过第一处理器核将计算机的其它硬件资源划分入防护硬件资源和计算硬件资源,其中,其它硬件资源为计算机内除处理器以外的硬件资源,防护硬件资源和计算硬件资源之间相互隔离。根据本专利技术实施例的另一方面,还提供了一种双体系架构的可信计算平台的构建装置,包括:第一划分单元,用于将计算机的处理器的第一处理器核划分入防护硬件资源,将处理器的第二处理器核划分入计算硬件资源,其中,防护硬件资源用于对计算硬件资源进行度量;第二划分单元,用于通过第一处理器核将计算机的其它硬件资源划分入防护硬件资源和计算硬件资源,其中,其它硬件资源为计算机内除处理器以外的硬件资源,防护硬件资源和计算硬件资源之间相互隔离。根据本专利技术实施例的另一方面,还提供了一种存储介质,该存储介质包括存储的程序,程序运行时执行上述的方法。根据本专利技术实施例的另一方面,还提供了一种电子装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器通过计算机程序执行上述的方法。在本专利技术实施例中,在处理器CPU内部构建安全隔离的计算部件与防护部件并存的双体系架构,计算部件无法访问防护部件的资源,防护部件可访问计算部件的所有资源,双方可通过安全的专用通道进行交互,防护部件可以可信平台控制模块TPCM为核心和信任源点,能够先于计算部件处理器启动,对计算部件资源和总线进行初始化配置,并通过直接内总线共享机制访问主机所有资源,进行静态和动态可信验证度量,通过验证方能启动或继续执行,否则进行报警和控制,主动抵御入侵行为,并能实时生成主机的可信报告,上报至可信安全管理平台进行进一步关联分析,可以解决相关技术中的计算机安全性较低的技术问题,进而达到提高计算机安全性的技术效果。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是根据本专利技术实施例的一种可选的双体系架构的可信计算平台的构建方法的流程图;图2是根据本专利技术实施例的一种可选的双体系架构的示意图;图3是根据本专利技术实施例的一种可选的CPU内部资源的示意图;图4是根据本专利技术实施例的一种可选的计算机启动过程的流程图;图5是根据本专利技术实施例的一种可选的动态度量框架的示意图;图6是根据本专利技术实施例的一种可选的动态度量方案的示意图;图7是根据本专利技术实施例的一种可选的动态度量功能模块的示意图;图8是根据本专利技术实施例的一种可选的内核关键数据结构度量的流程图;图9是根据本专利技术实施例的一种可选的系统进程度量的流程图;图10是根据本专利技术实施例的一种可选的内核驱动度量的流程图;图11是根据本专利技术实施例的一种可选的系统关键内存块度量的流程图;图12是根据本专利技术实施例的一种可选的命令交互的流程图;图13是根据本专利技术实施例的一种可选的发送通知的流程图;图14是根据本专利技术实施例的一种可选的双体系架构的可信计算平台的构建装置的示意图;以及图15是根据本专利技术实施例的一种终端的结构框图。具体实施方式为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。首先,在对本专利技术实施例进行描述的过程中出现的部分名词或者术语适用于如下解释:TCM:可信密码模块,可信计算平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间。TPCM:可信平台控制模块,一种集成在可信计算平台中,用于建立和保障信任源点的硬件核心模块,为可信计算提供完整性度量、安全存储、可信报告以及密码服务等功能。TSB:可信软件基,为可信计算平台的可信性提供支持的软件元素的集合。BIOS:是英文"本文档来自技高网...
【技术保护点】
1.一种双体系架构的可信计算平台的构建方法,其特征在于,包括:将计算机的处理器的第一处理器核划分入防护硬件资源,将处理器的第二处理器核划分入计算硬件资源,其中,所述防护硬件资源用于对所述计算硬件资源进行度量;通过所述第一处理器核将所述计算机的其它硬件资源划分入所述防护硬件资源和所述计算硬件资源,其中,所述其它硬件资源为所述计算机内除所述处理器以外的硬件资源,所述防护硬件资源和所述计算硬件资源之间相互隔离。
【技术特征摘要】
1.一种双体系架构的可信计算平台的构建方法,其特征在于,包括:将计算机的处理器的第一处理器核划分入防护硬件资源,将处理器的第二处理器核划分入计算硬件资源,其中,所述防护硬件资源用于对所述计算硬件资源进行度量;通过所述第一处理器核将所述计算机的其它硬件资源划分入所述防护硬件资源和所述计算硬件资源,其中,所述其它硬件资源为所述计算机内除所述处理器以外的硬件资源,所述防护硬件资源和所述计算硬件资源之间相互隔离。2.根据权利要求1所述的方法,其特征在于,将计算机的处理器的第一处理器核划分入防护硬件资源包括:在所述计算机启动时,将所述处理器中运行所述处理器的基础固件的核作为属于所述防护硬件资源的所述第一处理器核。3.根据权利要求1或2所述的方法,其特征在于,将计算机的处理器的第一处理器核划分入防护硬件资源包括:在所述处理器的核中运行所述处理器的基础固件后,运行所述基础固件的核按照所述处理器的寄存器中存储的指令的指示,将所述处理器的部分核设置为属于所述防护硬件资源的所述第一处理器核。4.根据权利要求1或2所述的方法,其特征在于,将处理器的第二处理器核划分入计算硬件资源包括:在所述处理器的核中运行所述处理器的基础固件后,运行所述基础固件的核按照所述处理器的寄存器中存储的指令的指示,将所述处理器的部分核设置为属于所述计算硬件资源的所述第二处理器核。5.根据权利要求1所述的方法,其特征在于,通过所述第一处理器核将所述计算机的其它硬件资源划分入所述防护硬件资源和所述计算硬件资源包括:在所述处理器的核中运行所述处理器的基础固件后,运行所述基础固件的核按照所述基础固件中的指令的指示,将所述处理器的寄存器的存储区域划分入所述防护硬件资源和所述计算硬件资源,其中,所述寄存器中划分入所述防护硬件资源的存储区域与划分入所述计算硬件资源的存...
【专利技术属性】
技术研发人员:孙瑜,王涛,洪宇,王强,
申请(专利权)人:北京可信华泰信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。