System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种防护部件、安全度量方法及防护系统技术方案_技高网
当前位置: 首页 > 专利查询>飞腾信息技术有限公司专利>正文

一种防护部件、安全度量方法及防护系统技术方案

技术编号:40442303 阅读:8 留言:0更新日期:2024-02-22 23:04
本发明专利技术公开一种防护部件、安全度量方法及防护系统,所述防护部件独立于微处理器架构设置,防护部件包括PC I e接口和可信核,PC I e接口的两端分别与可信核和微处理器架构相连,PC I e接口具有至少一个虚拟功能,每一虚拟功能能够分别与微处理器架构中的每一度量对象建立起一一对应的映射关系,从而使得防护部件能够利用虚拟功能和度量对象的映射关系,从微处理器架构获取多个度量对象的待度量信息以进行安全度量,实现了使用一个防护部件对多个度量对象进行安全度量的目的,无需额外增加防护部件,降低了硬件资源的浪费。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及处理器,尤其涉及一种防护部件、安全度量方法及防护系统


技术介绍

1、随着技术的发展,人们对系统的安全性提出了越来越高的要求,由此出现了可信计算技术,如可信平台控制模块(trusted platform control module,tpcm)。目前基于防护部件的安全管理,一般都是通过单块板卡来对一类被防护部件进行安全管理,单板卡基本只能实现一个度量对象的安全管理,无法适用于对多个度量对象进行度量的场景,只能通过增加板卡的数量来实现这一要求。随着安全管理要求越来越多样性,单纯的增加板卡数量会加剧硬件的资源消耗。


技术实现思路

1、本专利技术实施例提供了一种防护部件、安全度量方法及防护系统,以解决相关技术中的对多个度量对象的安全度量需使用多个防护部件导致的硬件资源浪费的技术问题。

2、第一方面,本专利技术实施例提供了一种防护部件,所述防护部件独立于微处理器架构设置,所述防护部件包括pcie接口和可信核,所述pcie接口的一端与所述可信核相连,所述pcie接口的另一端用于与所述微处理器架构相连,且所述pcie接口具有与所述微处理器架构中的至少一个度量对象一一对应的至少一个虚拟功能,

3、所述可信核用于执行以下操作:

4、通过第一虚拟功能接收第一度量对象的待度量信息,其中,所述第一虚拟功能为所述至少一个虚拟功能中的任意一个虚拟功能,所述第一度量对象为所述至少一个度量对象中的与所述第一虚拟功能对应的度量对象;

5、根据所述第一度量对象的待度量信息生成所述第一度量对象的度量报告,所述度量报告用于指示所述第一度量对象的可信状态。

6、本专利技术实施例通过设置一种独立于微处理器架构的防护部件,防护部件包括pcie接口和可信核,pcie接口的两端分别与可信核和微处理器架构相连,pcie接口具有至少一个虚拟功能,每一虚拟功能能够分别与微处理器架构中的每一度量对象建立起一一对应的映射关系,从而使得防护部件能够利用虚拟功能和度量对象的映射关系,从微处理器架构获取多个度量对象的待度量信息以进行安全度量,实现了使用一个防护部件对多个度量对象进行安全度量的目的,无需额外增加防护部件,降低了硬件资源的浪费。

7、在第一方面的一种可能的实施方式中,所述防护部件还包括地址转换模块和存储模块,其中,所述可信核分别与所述地址转换模块和所述存储模块相连;

8、所述可信核还用于执行以下操作:

9、接收所述地址转换模块发送的第一可信区域地址,以所述第一可信区域地址对应的存储空间作为所述可信核在执行所述根据所述第一度量对象的待度量信息生成所述第一度量对象的度量报告时所需的存储空间;

10、其中,所述第一可信区域由所述地址转换模块基于预设的地址映射关系,对所述第一虚拟功能上报的基址信息进行地址转换得到的所述存储模块中的第一可信区域地址,所述基址信息用于指示接收所述第一度量对象的待度量信息的所述第一虚拟功能及与所述待度量信息关联的操作类型对应的基址寄存器。

11、本实施例中,地址转换模块通过第一虚拟功能接收第一度量对象的待度量信息,对该待度量信息进行解析,得到其附带的基址信息,该基址信息用于指示第一虚拟功能以及与该待度量信息关联的操作类型对应的基址寄存器,然后利用预先设置的地址映射关系,将基址信息转换成第一可信区域地址,并将第一可信区域和待度量信息上传给可信核,使得存储模块中的第一可信区域对应的存储空间作为可信核在执行根据第一度量对象的待度量信息生成第一度量对象的度量报告时所需的存储空间,其中,地址映射关系可根据实际需求,通过软件进行修改,内存模块的存储空间不会被固定分配,内存模块的存储空间能够灵活分配给不同的安全度量进程。

12、在第一方面的一种可能的实施方式中,所述防护部件为tcm、tpcm和tpm中的一种。

13、在第一方面的一种可能的实施方式中,所述微处理器架构包括至少一个主机,所述度量对象为所述主机或运行在所述主机上的虚拟机。

14、本实施例中,在第一度量对象为指定主机时,防护部件通过利用第一虚拟功能从微处理器架构的指定主机获取待度量信息,以根据获取的待度量信息对指定主机进行安全度量;在第一度量对象为指定虚拟机时,防护部件通过利用第一虚拟功能从微处理器架构中的运行指定虚拟机的主机处获取指定虚拟机的待度量信息,以根据获取的待度量信息对指定虚拟机进行安全度量。由此可知,防护部件可通过多个虚拟功能实现与虚拟功能一一对应的主机或虚拟机的安全度量,无需额外增加防护部件,降低了硬件资源的消耗。

15、第二方面,本专利技术实施例提供了一种安全度量方法,所述方法适用于防护部件,所述防护部件独立于微处理器架构设置,所述防护部件包括pcie接口和可信核,所述pcie接口的一端与所述可信核相连,所述pcie接口的另一端用于与所述微处理器架构相连,且所述pcie接口具有与所述微处理器架构中的至少一个度量对象一一对应的至少一个虚拟功能,所述方法由所述可信核执行,所述方法包括:

16、通过第一虚拟功能接收第一度量对象的待度量信息,其中,所述第一虚拟功能为所述至少一个虚拟功能中的任意一个虚拟功能,所述第一度量对象为所述至少一个计算节点中的与所述第一虚拟功能对应的度量对象;

17、根据所述第一度量对象的待度量信息生成所述第一度量对象的度量报告,所述度量报告用于指示所述第一度量对象的可信状态。

18、在第二方面的一种可能的实施方式中,所述防护部件还包括地址转换模块和存储模块,所述方法还包括:

19、接收所述地址转换模块发送的第一可信区域地址,以所述第一可信区域地址对应的存储空间作为所述可信核在执行所述根据所述第一度量对象的待度量信息生成所述第一度量对象的度量报告时所需的存储空间;

20、其中,所述第一可信区域由所述地址转换模块基于预设的地址映射关系,对所述第一虚拟功能上报的基址信息进行地址转换得到的所述存储模块中的第一可信区域地址,所述基址信息用于指示接收所述第一度量对象的待度量信息的所述第一虚拟功能及与所述待度量信息关联的操作类型对应的基址寄存器。

21、在第二方面的一种可能的实施方式中,所述防护部件为tcm、tpcm和tpm中的一种。

22、在第二方面的一种可能的实施方式中,所述微处理器架构包括至少一个主机,所述度量对象为所述主机或运行在所述主机上的虚拟机。

23、需要说明的是,本专利技术实施例提供的一种安全度量方法的实施例的具体实现方案和有益效果,与上述第二方面提供的一种防护部件的各实施例的具体实现方案和有益效果对应相同,在此不作赘述。

24、第三方面,本专利技术实施例提供了一种防护系统,所述防护系统包括防护部件和微处理器架构,所述防护部件独立于所述微处理器架构设置,所述防护部件包括pcie接口和可信核,所述pcie接口的一端与所述可信核相连,所述pcie接口的另一端与所述微处理器架构相连,且所述pcie接口具有与所述本文档来自技高网...

【技术保护点】

1.一种防护部件,其特征在于,所述防护部件独立于微处理器架构设置,所述防护部件包括PCIe接口和可信核,所述PCIe接口的一端与所述可信核相连,所述PCIe接口的另一端用于与所述微处理器架构相连,且所述PCIe接口具有与所述微处理器架构中的至少一个度量对象一一对应的至少一个虚拟功能,

2.如权利要求1所述的防护部件,其特征在于,所述防护部件还包括地址转换模块和存储模块,其中,所述可信核分别与所述地址转换模块和所述存储模块相连;

3.如权利要求1所述的防护部件,其特征在于,所述防护部件为TCM、TPCM和TPM中的一种。

4.如权利要求1所述的防护部件,其特征在于,所述微处理器架构包括至少一个主机,所述度量对象为所述主机或运行在所述主机上的虚拟机。

5.一种安全度量方法,其特征在于,所述方法适用于防护部件,所述防护部件独立于微处理器架构设置,所述防护部件包括PCIe接口和可信核,所述PCIe接口的一端与所述可信核相连,所述PCIe接口的另一端用于与所述微处理器架构相连,且所述PCIe接口具有与所述微处理器架构中的至少一个度量对象一一对应的至少一个虚拟功能,所述方法由所述可信核执行,所述方法包括:

6.如权利要求5所述的安全度量方法,其特征在于,所述防护部件还包括地址转换模块和存储模块,所述方法还包括:

7.如权利要求5所述的安全度量方法,其特征在于,所述防护部件为TCM、TPCM和TPM中的一种。

8.如权利要求5所述的安全度量方法,其特征在于,所述微处理器架构包括至少一个主机,所述度量对象为所述主机或运行在所述主机上的虚拟机。

9.一种防护系统,其特征在于,所述防护系统包括防护部件和微处理器架构,所述防护部件独立于所述微处理器架构设置,所述防护部件包括PCIe接口和可信核,所述PCIe接口的一端与所述可信核相连,所述PCIe接口的另一端与所述微处理器架构相连,且所述PCIe接口具有与所述微处理器架构中的至少一个度量对象一一对应的至少一个虚拟功能;

10.如权利要求9所述的防护系统,其特征在于,所述防护部件还包括地址转换模块和存储模块,其中,所述可信核分别与所述地址转换模块和所述存储模块相连;

...

【技术特征摘要】

1.一种防护部件,其特征在于,所述防护部件独立于微处理器架构设置,所述防护部件包括pcie接口和可信核,所述pcie接口的一端与所述可信核相连,所述pcie接口的另一端用于与所述微处理器架构相连,且所述pcie接口具有与所述微处理器架构中的至少一个度量对象一一对应的至少一个虚拟功能,

2.如权利要求1所述的防护部件,其特征在于,所述防护部件还包括地址转换模块和存储模块,其中,所述可信核分别与所述地址转换模块和所述存储模块相连;

3.如权利要求1所述的防护部件,其特征在于,所述防护部件为tcm、tpcm和tpm中的一种。

4.如权利要求1所述的防护部件,其特征在于,所述微处理器架构包括至少一个主机,所述度量对象为所述主机或运行在所述主机上的虚拟机。

5.一种安全度量方法,其特征在于,所述方法适用于防护部件,所述防护部件独立于微处理器架构设置,所述防护部件包括pcie接口和可信核,所述pcie接口的一端与所述可信核相连,所述pcie接口的另一端用于与所述微处理器架构相连,且所述pcie接口具有与所述微处理器架...

【专利技术属性】
技术研发人员:朱青山李佐冯彦朝张璐
申请(专利权)人:飞腾信息技术有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有