本申请公开了一种可信计算系统构建方法、装置、可信计算系统及处理器。该方法包括:建立目标芯片与外接持久化存储区之间的连接,以构建可信计算模块,其中,持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件,目标芯片读取可信平台控制模块固件、可信软件基以及可信密码模块固件;通过PCIE接口和预置接口建立可信计算模块与计算机主板之间的连接,以构建可信计算系统,通过本申请,解决了相关技术中以TPM方式所实现的可信计算系统难以提升计算机系统的防御能力的问题。
Trusted computing system construction method, device, trusted computing system and processor
【技术实现步骤摘要】
可信计算系统构建方法、装置、可信计算系统及处理器
本申请涉及可信计算领域,具体而言,涉及一种可信计算系统构建方法、装置、可信计算系统及处理器。
技术介绍
当前的网络空间极其脆弱,震网、Wannacry勒索病毒、Mirai等造成较大影响的网络攻击事件层出不穷,且日益猖獗。究其根源,在于并没有从网络安全风险的实质原因入手解决问题,一味采用以“防火墙”、“病毒查杀”、“入侵检测”等为代表的“封堵查杀”被动防御手段,防不胜防,特别在面对针对目标系统的漏洞发起的攻击时,根本无法有效防御。为解决当前网络空间安全面临的问题,国际上TCG组织提出了可信计算的方法,提出了以TPM和BIOS起始代码为信任根,一级度量一级,进而构建起计算机的信任链,保护计算机重要资源不被非法篡改和破坏,起到了较好的效果。TPM是作为计算机的外部设备,以被动挂接的方式,通过主机软件调用来发挥作用,仅能对计算机的固件和可执行程序等资源进行静态度量。以TPM方式所实现的可信计算平台实质是单系统架构,只有被主机程序调用才会发挥作用,其安全能力完全依赖于主机系统的安全性,并不能实质上提升计算机系统的主动防御能力,一旦主机被攻击者控制,TPM的作用就会无从发挥,导致TCG的可信计算架构在面对黑客利用计算机系统逻辑缺陷进行攻击时,基本难以抵御。例如Windows10完全实现了TCG的可信计算架构,但是却未能阻止Wannacry勒索病毒的攻击。此外,以TPM方式所实现的可信计算平台实质是单系统架构,TPM在对计算机的资源访问、控制上都有局限性。TPM仅能对计算机的固件和可执行程序等资源进行静态度量,无法对应用执行及其所依赖的执行环境进行动态度量。针对相关技术中以TPM方式所实现的可信计算系统难以提升计算机系统的防御能力的问题,目前尚未提出有效的解决方案。
技术实现思路
本申请提供一种可信计算系统构建方法、装置、可信计算系统及处理器,以解决相关技术中以TPM方式所实现的可信计算系统难以提升计算机系统的防御能力的问题。根据本申请的一个方面,提供了一种可信计算系统构建方法。该方法包括:建立目标芯片与外接持久化存储区之间的连接,以构建可信计算模块,其中,持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件,目标芯片读取可信平台控制模块固件、可信软件基以及可信密码模块固件;通过PCIE接口和预置接口建立可信计算模块与计算机主板之间的连接,以构建可信计算系统,其中,可信计算模块用于构成可信计算系统的防护子系统,计算机主板用于构成可信计算系统的计算子系统,防护子系统与计算子系统并行运行,用于对计算子系统进行主动度量。进一步地,通过PCIE接口和预置接口建立可信计算模块与计算机主板之间的连接包括:可信计算模块通过预置接口控制计算机主板上的时序控制电路,使得目标芯片在计算机主板上的中央处理器启动前启动;可信计算模块通过预置接口读取计算机主板上的固件存储区中的BIOS固件;可信计算模块通过PCIE接口读取计算机主板上的内存数据。进一步地,该方法还包括:在目标芯片启动时,目标芯片加载可信平台控制模块固件,并利用可信平台控制模块固件对目标芯片的固有固件进行可信性度量,在度量结果可信的情况下加载目标芯片的固有固件。根据本申请的一个方面,提供了一种可信计算系统。该系统包括:可信计算模块,至少包括互相连接的目标芯片与外接持久化存储区,其中,持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件,目标芯片读取可信平台控制模块固件、可信软件基以及可信密码模块固件;计算机主板,通过PCIE接口和预置接口与可信计算模块连接。进一步地,预置接口用于通过第一总线控制计算机主板上的时序控制电路,和/或通过第二总线读取BIOS固件,和/或通过第三总线控制计算机主板上的外置设备。进一步地,可信计算模块还包括:同步动态随机存取内存,与目标芯片连接,用于对数据进行存储。进一步地,目标芯片还包括:第一接口,用于与同步动态随机存取内存进行数据传输;第二接口,用于与持久化存储区进行数据传输。进一步地,持久化存储区包括:用户存储区,用于存储目标芯片的目标用户的行为数据;可信存储区,用于至少存储目标芯片的固有固件、可信平台控制模块固件、可信软件基、可信密码模块固件以及度量日志,其中,度量日志为可信计算模块对计算机主板进行可信度量时产生的日志。根据本申请的另一方面,提供了一种可信计算系统构建装置。该装置包括:第一构建单元,用于建立目标芯片与外接持久化存储区之间的连接,以构建可信计算模块,其中,持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件,目标芯片读取可信平台控制模块固件、可信软件基以及可信密码模块固件;第二构建单元,用于通过PCIE接口和预置接口建立可信计算模块与计算机主板之间的连接,以构建可信计算系统,其中,可信计算模块用于构成可信计算系统的防护子系统,计算机主板用于构成可信计算系统的计算子系统,防护子系统与计算子系统并行运行,用于对计算子系统进行主动度量。为了实现上述目的,根据本申请的另一方面,提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述任意一种可信计算系统构建方法。通过本申请,采用以下步骤:建立目标芯片与外接持久化存储区之间的连接,以构建可信计算模块,其中,持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件,目标芯片读取可信平台控制模块固件、可信软件基以及可信密码模块固件;通过PCIE接口和预置接口建立可信计算模块与计算机主板之间的连接,以构建可信计算系统,其中,可信计算模块用于构成可信计算系统的防护子系统,计算机主板用于构成可信计算系统的计算子系统,防护子系统与计算子系统并行运行,用于对计算子系统进行主动度量,解决了相关技术中以TPM方式所实现的可信计算系统难以提升计算机系统的防御能力的问题。通过PCIE接口和预置接口建立可信计算模块与计算机主板之间的连接,以构建可信计算系统,进而达到了提高可信计算系统对计算机系统进行防御的能力的效果。附图说明构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1是根据本申请实施例提供的可信计算系统构建方法的流程图;图2是根据本申请实施例提供的可信计算系统的示意图;图3是根据本申请实施例提供的另一种可信计算系统的示意图;以及图4是根据本申请实施例提供的可信计算系统构建装置的示意图。具体实施方式需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当本文档来自技高网...
【技术保护点】
1.一种可信计算系统构建方法,其特征在于,包括:建立目标芯片与外接持久化存储区之间的连接,以构建可信计算模块,其中,所述持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件,所述目标芯片读取所述可信平台控制模块固件、所述可信软件基以及所述可信密码模块固件;通过PCIE接口和预置接口建立所述可信计算模块与计算机主板之间的连接,以构建可信计算系统,其中,所述可信计算模块用于构成所述可信计算系统的防护子系统,所述计算机主板用于构成所述可信计算系统的计算子系统,所述防护子系统与所述计算子系统并行运行,用于对所述计算子系统进行主动度量。
【技术特征摘要】
1.一种可信计算系统构建方法,其特征在于,包括:建立目标芯片与外接持久化存储区之间的连接,以构建可信计算模块,其中,所述持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件,所述目标芯片读取所述可信平台控制模块固件、所述可信软件基以及所述可信密码模块固件;通过PCIE接口和预置接口建立所述可信计算模块与计算机主板之间的连接,以构建可信计算系统,其中,所述可信计算模块用于构成所述可信计算系统的防护子系统,所述计算机主板用于构成所述可信计算系统的计算子系统,所述防护子系统与所述计算子系统并行运行,用于对所述计算子系统进行主动度量。2.根据权利要求1所述的方法,其特征在于,通过PCIE接口和预置接口建立所述可信计算模块与计算机主板之间的连接包括:所述可信计算模块通过所述预置接口控制所述计算机主板上的时序控制电路,使得所述目标芯片在所述计算机主板上的中央处理器启动前启动;所述可信计算模块通过所述预置接口读取所述计算机主板上的固件存储区中的BIOS固件;所述可信计算模块通过所述PCIE接口读取所述计算机主板上的内存数据。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:在所述目标芯片启动时,所述目标芯片加载所述可信平台控制模块固件,并利用所述可信平台控制模块固件对所述目标芯片的固有固件进行可信性度量,在度量结果可信的情况下加载所述目标芯片的固有固件。4.一种可信计算系统,其特征在于,包括:可信计算模块,至少包括互相连接的目标芯片与外接持久化存储区,其中,所述持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件,所述目标芯片读取所述可信平台控制模块固件、所述可信软件基以及所述可信密码模块固件;计算机主板,通过PCIE接口和预置接口与所述可信计算模块连接。5.根据权利要求...
【专利技术属性】
技术研发人员:孙瑜,王强,洪宇,王涛,
申请(专利权)人:北京可信华泰信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。