本实用新型专利技术实施例提供一种计算机用可信计算信任根设备及计算机。该设备包括:电路板、接口转换模块和至少一个信任根模块;所述电路板上设有接口,所述接口与计算机主板的PCI接口或PCI-E接口或USB接口相匹配;所述接口转换模块和信任根模块均设置在电路板上;所述接口转换模块,用于对各模块经所述电路板的接口与计算机的PCI接口或PCI-E接口或USB接口进行数据交换;所述信任根模块,用于进行密钥生成、加解密处理,及存储密钥和敏感数据,提供完整性度量,数据安全保护和身份认证信息。该设备可用在普通计算机中,使普通计算机具备可信计算机的安全性。(*该技术在2020年保护过期,可自由使用*)
【技术实现步骤摘要】
本技术涉及计算机
,特别是涉及一种计算机用可信计算信任根设备 及计算机。
技术介绍
传统的安全手段往往集中在网络边界,这是人们对待信息安全问题上的一个误 区。事实上,终端是创建和存放重要数据的源头,而且绝大多数的攻击事件都是从终端发起 的。究其根源,安全问题主要是由终端体系结构和操作系统的不安全所引起的,例如可能导 致资源被任意使用,尤其是执行代码可修改,恶意程序可以植入攻击程序,肆意进行破坏更 为严重的是对合法的用户没有进行严格的访问控制,可以进行超越权限访问,造成不安全 事故。传统安全手段过分强调了易用性,而忽略了安全性。在传统的系统中,密钥和授权信 息都直接存储在内存和硬盘之中,攻击者有很多的方法来获取它们。导致终端不安全。为解决如何从终端操作平台实施高等级的安全防范,将不安全因素将从终端源头 被控制,目前是通过可信计算(Trusted Computing, TC)技术来实现,可信计算即通过向 计算机硬件平台引入安全芯片(TPM,Trusted Platform Module,可信赖平台模块或TCM, Trusted Cryptography Module,可信密码模块)架构,密钥和授权信息等这些秘密数据都 是由安全芯片(TPM或TCM)来保护的。通过其提供的安全特性来提高终端系统的安全性, 从而在根本上实现了对各种不安全因素的主动防御。其核心是在用户与计算机、网络平台 间建立一种信任机制。现有的可信计算架构的计算机,由于要设置安全芯片(TPM或TCM),一般要采用特 殊架构的主板,在其上集成安全芯片(TPM或TCM),或通过设置特殊的接口来安装安全芯片 (TPM或TCM),从而形成具有可信计算功能的计算机。而普通的计算机由于主板上未设置安 全芯片(TPM或TCM),或不具有安装安全芯片(TPM或TCM)的接口,从而导致无法实现可信 计算,从而导致普通的计算机无法利用可信计算技术来提高使用中的安全性。
技术实现思路
基于上述现有技术所存在的问题,本技术实施例提供一种计算机用可信计算 信任根设备及计算机,解决普通计算机无法安装安全芯片实现可信计算的问题。本技术的目的是通过下述技术方案实现的本技术实施例提供一种计算机用可信计算信任根设备,包括电路板、接口转换模块和至少一个信任根模块;所述电路板上设有接口,所述接口与计算机主板的PCI接口或PCI-E接口或USB 接口相匹配;所述接口转换模块和信任根模块均设置在电路板上;所述接口转换模块,用于对各模块经所述电路板的接口与计算机的PCI接口或 PCI-E接口或USB接口进行数据交换;所述信任根模块,用于进行密钥生成、加解密处理,及存储密钥和敏感数据,提供3完整性度量,数据安全保护和身份认证信息。所述信任根模块可为多个,分别用于对应处理不同权限用户的安全数据。所述信任根设备还包括身份识别模块和主控模块;所述身份识别模块和主控模 块均设置在所述电路板上,分别与所述接口转换模块电连接;所述身份识别模块,用于对用户的身份进行识别,并将识别后确认的用户信息传 输至所述主控模块;所述主控模块,用于根据所述身份识别模块确认的用户信息的权限开通相应的信 任根模块。所述信任根设备还包括非易失存储模块,与所述主控模块电连接,用于当所述主 控模块控制的信任根模块存储空间不足时,存储信任根模块加密后的数据。所述身份识别模块采用指纹识别模块、虹膜识别模块、USB KEY识别模块、智能卡 识别模块中的任一种。所述主控模块采用ASIC芯片;或所述主控模块采用通过IP核在其上实现控制功 能的CPLD芯片或FPGA芯片。所述接口转换模块设置在所述主控模块内,通过主控模块与所述电路板的接口及 各模块电连接。所述接口转换模块设置在所述电路板上,与所述电路板的接口及各模块电连接。 所述接口转换模块采用PCI接口或PCI-E接口或USB接口的ASIC芯片;或所述接 口转换模块采用通过IP核在其上实现PCI接口或PCI-E接口或USB接口功能的CPLD芯片 或FPGA芯片。所述信任根模块采用TPM芯片或TCM芯片。本技术实施例还提供一种计算机,包括主机、可信计算信任根设备,存储装置、输入装置和输出装置;其中可信计算信任 根设备采用上述的可信计算信任根设备;所述存储装置、输入装置和输出装置均与所述主机内的主板电连接;所述可信计 算信任根设备连接至所述主机内主板的PCI插槽或PCI-E插槽或USB接口与所述主板电连接。从上述本技术实施例提供的技术方案中可以看出,本技术实施例中通过 在具有与计算机的PCI接口或PCI-E接口或USB接口相匹配接口的电路板上设置接口转换 模块、身份识别模块、主控模块和至少一个信任根模块,形成一种可连接至普通计算机主板 的PCI接口或PCI-E接口或USB接口上使用的可信计算信任根设备。利用该可信计算信任 根设备使得普通计算机增加可信计算功能,以较简单的方式使普通计算机具备了可信计算 机的安全性。附图说明图1为本技术实施例一提供的可信计算信任根设备的结构框图;图2为本技术实施例一提供的另一种可信计算信任根设备的结构框图;图3为本技术实施例二提供的可信计算信任根设备的结构框图;图4为本技术实施例二提供的另一种可信计算信任根设备的结构框4图5为本技术实施例三提供的计算机的结构示意图。具体实施方式以下结合附图和具体实施例对本技术作进一步说明。实施例一本实施例一提供一种计算机用可信计算信任根设备,应用在普通计算机中,使普 通计算机具备可信计算功能,如图1所示,该可信计算信任根设备包括电路板1、接口转换模块3和至少一个信任根模块4 ;其中,所述电路板1上设有接口 2,接口 2可采用PCI接口或PCIE接口或USB接 口,它与计算机主板的PCI接口或PCI-E接口(即计算机主板上的PCI插槽或PCI-E插槽) 或USB接口相匹配;接口 2采用PCI接口或PCI-E接口时,一般是由接口模块与电路板上印 刷形成的金手指电连接形成的PCI接口或PCI-E接口,其中电路板上的金手指实现了与PCI 插槽或PCI-E插槽的物理兼容,而接口模块则实现与计算机主板的PCI插槽或PCI-E插槽 数据交换协议上的兼容;接口 2采用USB接口时,一般是由接口模块与USB插头电连接形成 的USB接口,其中USB插头实现了与计算机主板的USB接口的物理兼容,而接口模块则实现 与计算机主板的USB接口数据交换协议上的兼容;上述可信计算信任根设备中的接口转换模块3和信任根模块4均设置在电路板1 上;所述的接口转换模块3分别与电路板1的接口 2和各模块电连接,用于对各模块 (信任根模块4)经所述电路板1的接口 2与计算机的PCI接口或PCI-E接口或USB接口进 行数据交换;该接口转换模块3可采用具有PCI接口或PCI-E接口或USB接口功能的ASIC 芯片;或采用CPLD芯片或FPGA芯片,并用IP核在CPLD芯片或FPGA芯片上实现PCI接口 或PCI-E接口桥功能或USB接口功能;所述的信任根模块4是一个可独立进行密钥生成、加解密的芯片,内部拥有独立 的处理器和存储单元的芯片,一般采用TPM芯片或TCM芯片,该信任根模块4可存储密钥和 敏本文档来自技高网...
【技术保护点】
一种计算机用可信计算信任根设备,其特征在于,包括: 电路板、接口转换模块和至少一个信任根模块; 所述电路板上设有接口,所述接口与计算机主板的PCI接口或PCI-E接口或USB接口相匹配;对各模块经所述电路板的接口与计算机的PCI接口或PCI-E接口或USB接口进行数据交换的所述接口转换模块和进行密钥生成、加解密处理,及存储密钥和敏感数据,提供完整性度量,数据安全保护和身份认证信息的所述信任根模块均设置在电路板上。
【技术特征摘要】
【专利技术属性】
技术研发人员:李光,牛峰,吴悠,郝福珍,王江少,张拥政,张淑芬,张心臻,唐海,张玉,张鹏,范耀学,章文康,葛小蔓,张金霞,杨红,郑玉冰,马文龙,吴迪,贾立宗,从秀芳,刘绍方,
申请(专利权)人:华北计算技术研究所,
类型:实用新型
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。