当前位置: 首页 > 专利查询>沈昌祥专利>正文

双体系结构的可信计算平台的构建方法及可信计算平台技术

技术编号:22330534 阅读:27 留言:0更新日期:2019-10-19 12:21
本申请涉及双体系结构的可信计算平台的构建方法及可信计算平台,属于计算机安全技术领域。本申请方法包括:构建计算资源,计算资源用于完成计算任务;构建可信计算资源,可信计算资源用于对计算资源进行主动度量,以及根据主动度量的结果进行相应主动控制,主动度量包括静态度量和动态度量;将计算资源和可信计算资源配置到计算机中央处理器中,得到双体系结构的可信计算平台,可信计算平台包括:计算机中央处理器及其外部的其他资源。本申请通过在计算机中央处理器中构建计算资源和可信计算资源,得到双体系结构的可信计算平台,有助于提升安全防护能力。

Construction method and trusted computing platform of dual architecture trusted computing platform

【技术实现步骤摘要】
双体系结构的可信计算平台的构建方法及可信计算平台
本申请属于计算机安全
,具体涉及双体系结构的可信计算平台的构建方法及可信计算平台。
技术介绍
国际TCG(TrustedComputingGroup缩写,中文名为可信计算组织),提出以TPM(TrustedPlatformModule缩写,中文名为可信平台模块)作为计算机的外部设备,采用被动挂接的方式,通过主机软件调用来发挥作用,其仅能对计算机的固件和可执行程序等资源进行静态度量。以TPM方式所实现的可信计算平台实质是单系统架构,TPM在资源访问、控制上都有局限性,其安全能力完全依赖于主机系统的安全性,难以防御黑客利用主机系统漏洞进行的攻击,并不能实质上提升计算机系统的主动防御能力,TPM本质上只是计算机上一个被动挂接的外部设备,只有被主机程序调用才会发挥作用,一旦主机被攻击者控制,TPM的作用就会无从发挥,导致TCG的可信计算架构在面对黑客利用计算机系统逻辑缺陷进行攻击时,基本难以抵御,例如:Windows10完全实现了TCG的可信计算架构,但是却未能阻止Wannacry勒索病毒的攻击。
技术实现思路
为至少在一定程度上克服相关技术中存在的问题,本申请提供双体系结构的可信计算平台的构建方法及可信计算平台,通过在计算机中央处理器中构建计算资源和可信计算资源,得到双体系结构的可信计算平台,有助于提升安全防护能力。为实现以上目的,本申请采用如下技术方案:第一方面,本申请提供一种双体系结构的可信计算平台的构建方法,所述方法包括:构建计算资源,所述计算资源用于完成计算任务;构建可信计算资源,所述可信计算资源用于对所述计算资源进行主动度量,以及根据主动度量的结果进行相应主动控制,所述主动度量包括静态度量和动态度量;将所述计算资源和所述可信计算资源配置到计算机中央处理器中,得到双体系结构的可信计算平台,所述可信计算平台包括:所述计算机中央处理器及其外部的其他资源。进一步地,所述将所述计算资源和所述可信计算资源配置到计算机中央处理器中,包括:所述计算资源和所述可信计算资源被配置为两者相互隔离,且仅允许所述可信计算资源访问所述计算资源。进一步地,所述将所述计算资源和所述可信计算资源配置到计算机中央处理器中,包括:如果构建的所述计算资源和所述可信计算资源是异构的,则将所述计算资源和所述可信计算资源两者一一对应配置到两个不同架构的处理器中;其中,所述计算机中央处理器内包括所述两个不同架构的处理器。进一步地,所述将所述计算资源和所述可信计算资源配置到计算机中央处理器中,包括:如果构建的所述计算资源和所述可信计算资源是同构的,则将所述计算资源和所述可信计算资源两者一一对应配置到两个相同架构的处理器中;其中,所述计算机中央处理器内包括所述两个相同架构的处理器。进一步地,所述将所述计算资源和所述可信计算资源配置到计算机中央处理器中,包括:如果构建的所述计算资源和所述可信计算资源是同构的,则将所述计算资源和所述可信计算资源两者中的一者配置到所述计算机中央处理器中的第一组内核中,以及将所述计算资源和所述可信计算资源两者中的另一者配置到所述计算机中央处理器中的第二组内核中;其中,所述计算机中央处理器为多核处理器,所述多核处理器包括:所述第一组内核和所述第二组内核两组内核,每组内核具有至少一个内核,且两组内核不存在相同的内核。进一步地,所述将所述计算资源和所述可信计算资源配置到计算机中央处理器中,还包括:将所述计算资源和所述可信计算资源挂接到内总线上,并将所述可信计算资源配置为通过内总线与所述计算资源以及所述计算机中央处理器外部的其他资源进行通信。进一步地,所述可信计算资源还被配置为在所述可信计算平台上电之后先于所述计算资源启动,对所述计算资源进行所述主动度量及相应所述主动控制。进一步地,所述对所述计算资源进行所述主动度量及相应所述主动控制,包括:所述可信计算资源确定是否控制所述计算资源启动,如果确定出控制所述计算资源启动,所述可信计算资源对所述计算资源的启动流程中的各阶段按启动顺序进行度量,并根据度量结果进行相应处理。进一步地,所述对所述计算资源进行所述主动度量及相应所述主动控制,包括:在所述计算资源完成启动后的运行过程中,如果满足预设触发条件,所述可信计算资源获取所述计算资源的计算对象的相关信息,根据所述相关信息确定可信策略,根据所述可信策略和所述相关信息,对所述计算资源的计算对象进行主动度量,并进行相应处理。第二方面,本申请提供一种双体系结构的可信计算平台,所述双体系结构的可信计算平台根据上述任一项方法得到。本申请采用以上技术方案,至少具备以下有益效果:本申请将计算资源和可信计算资源构建在计算机中央处理器中,得到双体系结构的可信计算平台,在安全防护方面难以绕过可信计算资源,同时可信计算资源具有比计算资源更高的访问权限和控制权限,有助于确保可信计算资源自身的安全性能,从而有助于提升安全防护能力。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本申请一个实施例提供的双体系结构的可信计算平台的构建方法的流程示意图;图2为本申请一个实施例提供的双体系结构的可信计算平台的结构示意图。具体实施方式为使本申请的目的、技术方案和优点更加清楚,下面将对本申请的技术方案进行详细的描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本申请所保护的范围。图1为本申请一个实施例提供的双体系结构的可信计算平台的构建方法的流程示意图,如图1所示,该双体系结构的可信计算平台的构建方法包括如下步骤:步骤S101、构建计算资源,所述计算资源用于完成计算任务;步骤S102、构建可信计算资源,所述可信计算资源用于对所述计算资源进行主动度量,以及根据主动度量的结果进行相应主动控制,所述主动度量包括静态度量和动态度量;步骤S103、将所述计算资源和所述可信计算资源配置到计算机中央处理器中,得到双体系结构的可信计算平台,所述可信计算平台包括:所述计算机中央处理器及其外部的其他资源。需要指出的是,本申请中对上述步骤S101和步骤S102的先后描述,并不表示,在实际应用中,必须是先执行步骤S101,然后再执行步骤S102。在实际应用中,步骤S101和步骤S102在执行时没有先后之分。上述实施例方案中,将计算资源和可信计算资源构建在计算机中央处理器中,形成双体系结构的可信计算平台,可实现主机在计算的同时进行安全防护的目的,计算与防护并行的双体系结构,由于可信计算资源构建在计算机中央处理器中,实现将可信计算资源植入主机系统的计算机中央处理器中,同时可信计算资源对计算资源进行主动度量,以及根据主动度量的结果进行相应主动控制,在安全防护方面难以绕过可信计算资源,从而有助于提升主机系统的安全防护能力。可信计本文档来自技高网...

【技术保护点】
1.一种双体系结构的可信计算平台的构建方法,其特征在于,所述方法包括:构建计算资源,所述计算资源用于完成计算任务;构建可信计算资源,所述可信计算资源用于对所述计算资源进行主动度量,以及根据主动度量的结果进行相应主动控制,所述主动度量包括静态度量和动态度量;将所述计算资源和所述可信计算资源配置到计算机中央处理器中,得到双体系结构的可信计算平台,所述可信计算平台包括:所述计算机中央处理器及其外部的其他资源。

【技术特征摘要】
1.一种双体系结构的可信计算平台的构建方法,其特征在于,所述方法包括:构建计算资源,所述计算资源用于完成计算任务;构建可信计算资源,所述可信计算资源用于对所述计算资源进行主动度量,以及根据主动度量的结果进行相应主动控制,所述主动度量包括静态度量和动态度量;将所述计算资源和所述可信计算资源配置到计算机中央处理器中,得到双体系结构的可信计算平台,所述可信计算平台包括:所述计算机中央处理器及其外部的其他资源。2.根据权利要求1所述的方法,其特征在于,所述将所述计算资源和所述可信计算资源配置到计算机中央处理器中,包括:所述计算资源和所述可信计算资源被配置为两者相互隔离,且仅允许所述可信计算资源访问所述计算资源。3.根据权利要求1所述的方法,其特征在于,所述将所述计算资源和所述可信计算资源配置到计算机中央处理器中,包括:如果构建的所述计算资源和所述可信计算资源是异构的,则将所述计算资源和所述可信计算资源两者一一对应配置到两个不同架构的处理器中;其中,所述计算机中央处理器内包括所述两个不同架构的处理器。4.根据权利要求1所述的方法,其特征在于,所述将所述计算资源和所述可信计算资源配置到计算机中央处理器中,包括:如果构建的所述计算资源和所述可信计算资源是同构的,则将所述计算资源和所述可信计算资源两者一一对应配置到两个相同架构的处理器中;其中,所述计算机中央处理器内包括所述两个相同架构的处理器。5.根据权利要求1所述的方法,其特征在于,所述将所述计算资源和所述可信计算资源配置到计算机中央处理器中,包括:如果构建的所述计算资源和所述可信计算资源是同构的,则将所述计算资源和所述可信计算资源两者中的一者配置到所述计算机中央...

【专利技术属性】
技术研发人员:沈昌祥孙瑜王涛王强
申请(专利权)人:沈昌祥
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1