本发明专利技术涉及一种增强TCM应用的方法及系统、可信计算处理方法。其中,增强TCM应用的方法为:在计算机的操作系统中预留一用于可信计算的受保护内存区域PMSTC,所述PMSTC不能被自动访问,在进行可信计算时,可信计算相关应用程序根据预设的特定访问方法访问所述PMSTC,使用所述PMSTC和TCM芯片共同完成可信计算。本发明专利技术为提升可信计算应用的范围,借用主机资源并结合TCM功能将可信计算应用范围扩大,提高了可信计算的效率,并且具有更高的系统易用性、安全性和可靠性。
【技术实现步骤摘要】
本专利技术涉及可信计算领域,尤其涉及一种增强TCM应用的方法及系统、可信计算处理方法。
技术介绍
在越来越受到连接大量计算资源的网络影响的世界里,数据信息安全、信息防护及用户信息保密的主体日益凸现。当前个人计算机(PC)是采用开放式体系结构设计的,但平台的可信度在设计之初未考虑。随着云计算的推出,计算机系统的可信性被提到了日程。国际可信计算组织对可信的定义是,若一个实体它的行为总是以预期的方式,达到预期的目标,该实体是可信的。IS0/IEC 15408标准对可信的定义是,参与计算的组件、操作或过程在任意的条件下是可预测的,并能够抵御病毒和物理干扰。 近些年来可信计算已成为信息安全领域的一个新方向,越来越多的单位对其进行关注和研究。可信计算系统主要以可信计算芯片TCM (Trusted Cryptography Module,可信密码模块)芯片为基础,使用可信计算芯片TCM芯片提供的功能,建立一个用户可预期的计算环境,保证计算机硬件软件资源不会被恶意篡改。现有技术中,可信计算的应用方式是将要进行密码学运算的数据传给TCM硬件,由TCM硬件进行密码学运算,再返回结果,即直接在OS (Operation Syste,操作系统)中访问TCM芯片,这种方式由于受总线传输速度及CPU的处理能力等多方面因素影响,效率受到一定影响,大规模数据处理的应用受到影响。另一种方式是直接使用主存进行处理,即将明文直接放到内存进行运算与处理,这种方式由于内存的访问不受任何保护,因而内存不可信,对数据的安全性构成威胁。如何高效率的使用TCM芯片,减少总线传输的开销,提升计算效率,进行大数据量的密码学运算,是一个严重的问题,当前某些应用直接使用主存在未进行任何保护措施的情况下进行密码学运算虽然部分解决了效率的问题,但安全性可信性受到了质疑。综上所述,如何在保证安全性、可靠性的前提下增强TCM应用的范围、提高计算效率,成为当前可信计算领域亟待解决的一个重要问题。
技术实现思路
本专利技术所要解决的技术问题是提供一种增强TCM应用的方法及系统、可信计算处理方法,能够扩大可信计算应用的范围,提高可信计算的效率,具有更高的系统易用性、安全性和可靠性。为解决上述技术问题,本专利技术提出了一种增强TCM应用的方法,在计算机的操作系统中预留一用于可信计算的受保护内存区域PMSTC,所述PMSTC只允许通过预设的访问方式访问,在进行可信计算时,可信计算相关应用程序根据所述预设的访问方式访问所述PMSTC,使用所述PMSTC和TCM芯片共同完成可信计算。进一步地,上述方法还可具有以下特点,所述PMSTC的位置及大小固定。进一步地,上述方法还可具有以下特点,所述PMSTC的大小小于所述计算机主存容量的5%。进一步地,上述方法还可具有以下特点,在进行可信计算时,可信计算相关应用程序直接将明文密文暂存于所述PMSTC中。进一步地,上述方法还可具有以下特点,在进行可信计算时,可信计算相关应用程序在所述PMSTC中进行密码学运算。为解决上述技术问题,本专利技术还提出了一种增强TCM应用的系统,包括可信平台、 系统固件和操作系统,其中所述可信平台,包括计算机通用硬件系统和TCM芯片,用于为可信计算提供硬件支持;所述系统固件,用于初始化所述可信平台、配置系统资源和装载所 述操作系统,在所述初始化过程中为可信计算定义出受保护的内存区域PMSTC、设置所述PMSTC的访问方法,并将所述PMSTC的有关信息传递给所述操作系统;所述操作系统,用于根据所述系统固件传递的信息重新配置内存,在内存中预留所述PMSTC,供可信计算使用。进一步地,上述系统还可具有以下特点,包括可信计算相关应用模块,用于根据所述系统固件设置的PMSTC访问方法访问所述PMSTC,使用所述PMSTC和TCM芯片共同完成可信计算。进一步地,上述系统还可具有以下特点,所述PMSTC的位置及大小固定。进一步地,上述系统还可具有以下特点,所述PMSTC的大小小于计算机主存容量的5% ο为解决上述技术问题,本专利技术还提出了一种可信计算处理方法,基于上述的增强TCM应用的系统,包括 步骤a,可信计算相关应用模块判断是否存在PMSTC,若是则执行步骤b ; 步骤b,可信计算相关应用模块根据预置的PMSTC访问方法访问所述PMSTC,将数据在所述PMSTC中进行运算,然后将运算结果记录到TCM芯片中。本专利技术提供的增强TCM应用的方法及系统、可信计算处理方法,为提升可信计算应用的范围,借用主机资源并结合TCM功能将可信计算应用范围扩大,提高了可信计算的效率,并且具有更高的系统易用性、安全性和可靠性。附图说明图I为本专利技术实施例中增强TCM应用的系统的结构 图2为图I所示增强TCM应用的系统的启动流程 图3为本专利技术实施例中可信计算处理方法的流程图。具体实施例方式本专利技术的主要构思是,在计算机的操作系统中开辟一块专用区域,用于可信计算的受保护内存区域 PMSTC (Protected Memory Space use for Trusted Computing), TCM相关程序通过特定方法使用PMSTC。利用PMSTC可以扩展可信计算和TCM的应用范围,增强已有TCM相关应用场景。以下结合附图对本专利技术的原理和特征进行描述,所举实例只用于解释本专利技术,并非用于限定本专利技术的范围。本专利技术提出了一种增强TCM应用的方法,即在计算机的操作系统中预留一用于可信计算的受保护内存区域PMSTC,PMSTC不能被自动访问,只允许通过预设的访问方式访问,在进行可信计算时,可信计算相关应用程序根据预设的访问方式访问PMSTC,使用PMSTC和TCM芯片共同完成可信计算。在此说明一下,本文中,可信计算相关应用程序是指执行过程或执行结果直接或间接具备可信计算行为的应用程序;可信计算相关应用模块是指由可信计算相关应用程序组合而成的用于完成某些特定功能的程序或功能组合。例如,一个应用程序,调用该应用程序就能进行杂凑运算(HASH),则该应用程序就属于可信计算相关应用程序。如果用一个程序A调用上述HASH程序,完成可信计算所具备的完整性度量功能,形成信任链,则A+HASH就可以组成了一个模块,由于这个模块具备可信计算相关特性(完整性度量),则可以把A+HASH这个整体称之为可信计算相关应用模块。在操作系统内存机制上划分出的区域PMSTC无法被自动访问,只有通过预先设置的特定的方式才能访问,因此该内存区域PMSTC的安全性高于其他内存区域。PMSTC为其它基于TCM的应用提供了一个平台,应用程序在使用PMSTC时可以充分的相信PMSTC的安全 性,在该平台上可以放心的使用主机系统的资源,从而解决了总线传输速率低而影响可信计算效率的问题。PMSTC的访问方法(即预设的访问方式)可由系统固件提供或可信计算相关应用程序提供,这点我们在后面再作详细说明。优选的,PMSTC的位置及大小是固定的。当然,不需要暂时就要定义出PMSTC的具体位置和大小,也就是说,PMSTC的位置及大小可以改变,但在具体实施时,位置和大小相对固定有利于可信计算应用快捷的访问到PMSTC,便于第三方独立使用PMSTC开发应用程序,例如显卡显存在内存中定义为高端地址某处,各厂商都默认遵循。由于P本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种增强TCM应用的方法,其特征在干,在计算机的操作系统中预留ー用于可信计算的受保护内存区域PMSTC,所述PMSTC只允许通过预设的访问方式访问,在进行可信计算吋,可信计算相关应用程序根据所述预设的访问方式访问所述PMSTC,使用所述PMSTC和TCM芯片共同完成可信计算。2.根据权利要求I所述的增强TCM应用的方法,其特征在于,所述PMSTC的位置及大小固定。3.根据权利要求I所述的增强TCM应用的方法,其特征在于,所述PMSTC的大小小于所述计算机主存容量的5%。4.根据权利要求I所述的增强TCM应用的方法,其特征在于,在进行可信计算时,可信计算相关应用程序直接将明文密文暂存于所述PMSTC中。5.根据权利要求I所述的增强TCM应用的方法,其特征在干,在进行可信计算吋,可信计算相关应用程序在所述PMSTC中进行密码学运算。6.一种增强TCM应用的系统,其特征在干,包括可信平台、系统固件和操作系统,其中 所述可信平台,包括计算机通用硬件系统和TCM芯片,用于为可信计算提供硬件支持; 所述系统固件,用于初始化所述可信平台、配置系统资源和装载所述...
【专利技术属性】
技术研发人员:王正鹏,朱贺新,王英明,
申请(专利权)人:国民技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。