本申请公开了一种双体系结构的可信计算平台的构建方法及装置。该方法包括:将可信计算处理器、可信计算内存和可信计算存储器进行封装,得到可信平台控制模块;将可信平台控制模块与计算机中央处理器进行封装,得到可信计算模块;将可信计算模块与计算机主板连接,得到双体系结构的可信计算平台,其中,可信计算平台包括并行运行的计算子系统与防护子系统,防护子系统用于对计算子系统进行主动度量和主动控制,防护子系统包括可信平台控制模块,计算子系统包括计算机中央处理器和计算机主板。通过本申请,解决了相关技术中利用单系统构架的TPM对计算机平台进行防护,导致防护效率不高的问题。
The construction method and device of double architecture trusted computing platform
【技术实现步骤摘要】
双体系结构的可信计算平台的构建方法及装置
本申请涉及计算机信息防护领域,具体而言,涉及一种双体系结构的可信计算平台的构建方法及装置。
技术介绍
当前的网络空间极其脆弱,震网、Wannacry勒索病毒、Mirai等造成较大影响的网络攻击事件层出不穷,且日益猖獗。究其根源,在于并没有从网络安全风险的实质原因入手解决问题,一味采用以“防火墙”、“病毒查杀”、“入侵检测”等为代表的“封堵查杀”被动防御手段,防不胜防,特别在面对针对目标系统的漏洞发起的攻击时,根本无法有效防御。为解决当前网络空间安全面临的问题,国际上TCG组织提出了可信计算的方法,但是,TPM本质上只是计算机上一个被动挂接的外部设备,只有被主机程序调用才会发挥作用,一旦主机被攻击者控制,TPM的作用就会无从发挥,导致TCG的可信计算架构在面对黑客利用计算机系统逻辑缺陷进行攻击时,基本难以抵御,例如Windows10完全实现了TCG的可信计算架构,但是却未能阻止Wannacry勒索病毒的攻击。此外,以TPM方式所实现的可信计算平台实质是单系统架构,TPM在对计算机的资源访问、控制上都有局限性。并且,TPM仅能对计算机的固件和可执行程序等资源进行静态度量,无法对应用执行及其所依赖的执行环境进行动态度量。针对相关技术中存在的上述问题,目前尚未提出有效的解决方案。
技术实现思路
本申请的主要目的在于提供一种双体系结构的可信计算平台的构建方法及装置,以解决相关技术中利用单系统构架的TPM对计算机平台进行防护,导致防护效率不高的问题。为了实现上述目的,根据本申请的一个方面,提供了一种双体系结构的可信计算平台的构建方法。该方法包括:将可信计算处理器、可信计算内存和可信计算存储器进行封装,得到可信平台控制模块;将可信平台控制模块与计算机中央处理器进行封装,得到可信计算模块;将可信计算模块与计算机主板连接,得到双体系结构的可信计算平台,其中,可信计算平台包括并行运行的计算子系统与防护子系统,防护子系统用于对计算子系统进行主动度量和主动控制,防护子系统包括可信平台控制模块,计算子系统包括计算机中央处理器和计算机主板。进一步地,将可信平台控制模块与计算机中央处理器进行封装,得到可信计算模块包括:将可信平台控制模块、计算机中央处理器和可信监控模块进行封装,得到可信计算模块,其中,可信监控模块用于监控计算机中央处理器与计算机主板之间传输的数据,并将监控到的数据发送至可信平台控制模块。进一步地,将可信计算模块与计算机主板连接,得到双体系结构的可信计算平台包括:将可信计算模块、计算机主板分别与可信监控模块连接,得到双体系结构的可信计算平台,其中,可信监控模块通过PCIE总线分别与可信计算模块、计算机主板连接,可信监控模块用于监控计算机中央处理器与计算机主板之间传输的数据,并将监控到的数据发送至可信平台控制模块。进一步地,在得到双体系结构的可信计算平台之后,该方法还包括:在可信计算平台上电后,计算机主板上的时序控制电路控制可信平台控制模块先于计算机中央处理器启动;防护子系统以可信平台控制模块为信任根,利用可信监控模块监控到的数据对计算子系统进行主动度量。进一步地,防护子系统以可信平台控制模块为信任根,利用可信监控模块监控到的数据对计算子系统进行主动度量包括:在计算子系统启动过程中,可信平台控制模块通过可信监控模块获取启动镜像数据,其中,启动镜像数据为计算机中央处理器待加载到计算机主板上的内存中的数据;可信平台控制模块对启动镜像数据进行度量;若启动镜像数据的度量结果可信,则可信平台控制模块控制计算机中央处理器加载启动镜像数据到内存中执行。进一步地,防护子系统以可信平台控制模块为信任根,利用可信监控模块监控到的数据对计算子系统进行主动度量包括:在计算子系统运行过程中,可信平台控制模块通过PCIE总线直接读取计算机主板上的内存数据,或可信平台控制模块通过可信监控模块读取内存数据;可信平台控制模块对内存数据进行度量;可信平台控制模块根据内存数据的度量结果对计算子系统进行主动控制。为了实现上述目的,根据本申请的另一方面,提供了一种双体系结构的可信计算平台的构建装置。该装置包括:第一封装单元,用于将可信计算处理器、可信计算内存和可信计算存储器进行封装,得到可信平台控制模块;第二封装单元,用于将可信平台控制模块与计算机中央处理器进行封装,得到可信计算模块;连接单元,用于将可信计算模块与计算机主板连接,得到双体系结构的可信计算平台,其中,可信计算平台包括并行运行的计算子系统与防护子系统,防护子系统用于对计算子系统进行主动度量和主动控制,防护子系统包括可信平台控制模块,计算子系统包括计算机中央处理器和计算机主板。进一步地,第二封装单元包括:封装子单元,用于将可信平台控制模块、计算机中央处理器和可信监控模块进行封装,得到可信计算模块,其中,可信监控模块用于监控计算机中央处理器与计算机主板之间传输的数据,并将监控到的数据发送至可信平台控制模块。为了实现上述目的,根据本申请的另一方面,提供了一种存储介质,存储介质包括存储的程序,其中,该程序执行上述任意一项的一种双体系结构的可信计算平台的构建方法。为了实现上述目的,根据本申请的另一方面,提供了一种处理器,存储介质包括存储的程序,其中,该程序执行上述任意一项的一种双体系结构的可信计算平台的构建方法。通过本申请,采用以下步骤:将可信计算处理器、可信计算内存和可信计算存储器进行封装,得到可信平台控制模块;将可信平台控制模块与计算机中央处理器进行封装,得到可信计算模块;将可信计算模块与计算机主板连接,得到双体系结构的可信计算平台,其中,可信计算平台包括并行运行的计算子系统与防护子系统,防护子系统用于对计算子系统进行主动度量和主动控制,防护子系统包括可信平台控制模块,计算子系统包括计算机中央处理器和计算机主板,解决了相关技术中利用单系统构架的TPM对计算机平台进行防护,导致防护效率不高的问题,进而通过构建可信平台控制模块得到双体系结构的可信计算平台,达到了通过防护子系统为计算子系统的启动、运行等整个生命周期提供主动的安全防护的技术效果。附图说明构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1是根据本申请实施例提供的一种双体系结构的可信计算平台的构建方法的流程图;图2是根据本申请实施例提供的一种双体系结构的可信计算平台的示意图;以及图3是根据本申请实施例提供的一种双体系结构的可信计算平台的构建装置的示意图。具体实施方式需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺本文档来自技高网...
【技术保护点】
1.一种双体系结构的可信计算平台的构建方法,其特征在于,包括:将可信计算处理器、可信计算内存和可信计算存储器进行封装,得到可信平台控制模块;将所述可信平台控制模块与计算机中央处理器进行封装,得到可信计算模块;将所述可信计算模块与计算机主板连接,得到双体系结构的所述可信计算平台,其中,所述可信计算平台包括并行运行的计算子系统与防护子系统,所述防护子系统用于对所述计算子系统进行主动度量和主动控制,所述防护子系统包括所述可信平台控制模块,所述计算子系统包括所述计算机中央处理器和所述计算机主板。
【技术特征摘要】
1.一种双体系结构的可信计算平台的构建方法,其特征在于,包括:将可信计算处理器、可信计算内存和可信计算存储器进行封装,得到可信平台控制模块;将所述可信平台控制模块与计算机中央处理器进行封装,得到可信计算模块;将所述可信计算模块与计算机主板连接,得到双体系结构的所述可信计算平台,其中,所述可信计算平台包括并行运行的计算子系统与防护子系统,所述防护子系统用于对所述计算子系统进行主动度量和主动控制,所述防护子系统包括所述可信平台控制模块,所述计算子系统包括所述计算机中央处理器和所述计算机主板。2.根据权利要求1所述的方法,其特征在于,将所述可信平台控制模块与计算机中央处理器进行封装,得到可信计算模块包括:将所述可信平台控制模块、所述计算机中央处理器和可信监控模块进行封装,得到所述可信计算模块,其中,所述可信监控模块用于监控所述计算机中央处理器与所述计算机主板之间传输的数据,并将监控到的数据发送至所述可信平台控制模块。3.根据权利要求1所述的方法,其特征在于,将所述可信计算模块与计算机主板连接,得到双体系结构的所述可信计算平台包括:将所述可信计算模块、所述计算机主板分别与可信监控模块连接,得到双体系结构的所述可信计算平台,其中,所述可信监控模块通过PCIE总线分别与所述可信计算模块、所述计算机主板连接,所述可信监控模块用于监控所述计算机中央处理器与所述计算机主板之间传输的数据,并将监控到的数据发送至所述可信平台控制模块。4.根据权利要求2或3所述的方法,其特征在于,在得到双体系结构的所述可信计算平台之后,所述方法还包括:在所述可信计算平台上电后,所述计算机主板上的时序控制电路控制所述可信平台控制模块先于所述计算机中央处理器启动;所述防护子系统以所述可信平台控制模块为信任根,利用所述可信监控模块监控到的数据对所述计算子系统进行主动度量。5.根据权利要求4所述的方法,其特征在于,所述防护子系统以所述可信平台控制模块为信任根,利用所述可信监控模块监控到的数据对所述计算子系统进行主动度量包括:在所述计算子系统启动过程中,所述可信平台控制模块通过所述可信监控模块获取启动镜像数据,其中,所述...
【专利技术属性】
技术研发人员:孙瑜,王强,王涛,洪宇,
申请(专利权)人:北京可信华泰信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。