CN103106373B - 一种可信计算芯片及可信计算系统 - Google Patents
一种可信计算芯片及可信计算系统 Download PDFInfo
- Publication number
- CN103106373B CN103106373B CN201110355020.7A CN201110355020A CN103106373B CN 103106373 B CN103106373 B CN 103106373B CN 201110355020 A CN201110355020 A CN 201110355020A CN 103106373 B CN103106373 B CN 103106373B
- Authority
- CN
- China
- Prior art keywords
- module
- algorithm
- firmware
- credible
- chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种可信计算芯片及可信计算系统。本发明的可信计算芯片包括:算法功能层、应用功能层、通信单元和平台配置寄存器。本发明的可信计算系统包括:服务模块、安全应用模块、可信计算芯片、可信计算模式设置模块、固件下载单元、固件单元。本发明的可信计算芯片及可信计算系统,通过简单的配置使可信计算系统能支持多种可信计算算法及应用,不仅提高了系统的兼容性与稳定性,还避免了大量计算机资源的浪费,且大大降低了生产成本。
Description
技术领域
本发明涉及信息安全领域,具体而言是涉及到可信计算领域,特别是涉及一种可信计算芯片及可信计算系统。
背景技术
现有可信计算领域中主要有两种可信计算标准,一种是中国制定的TCM可信计算标准,另一种是由信任运算组织TCG制定的TPM可信计算标准。这两种标准既存在着相似性,同时也存在着差异性。
现有的TCG可信计算标准是由TCG组织定制的国际标准,该标准与中国制定的可信计算标准有很多差异性,比如可信计算的算法不同。中国制定的可信计算标准使用SM2、SM3、SM4和HMAC算法。而TCG标准中使用RSA、SHA-1、HMAC、DSA、ECC、AES算法。现有的技术如果要在某个安全系统上安装这两种可信计算系统,则需要两片物理芯片,而且要确保相互之间能够兼容,并且需要控制器及解析功能模块来判断当前接收到用户的数据是发送给TPM还是发送给TCM芯片。这样做不仅制作工艺复杂,系统稳定性不高,而且浪费了大量的计算机资源,生产成本较高。
发明内容
为解决上述问题,本发明提供了一种可信计算芯片及可信计算系统,避免了需要两块或多块物理芯片才能支持多种可信计算算法及应用的问题。
本发明解决上述技术问题的技术方案如下:
一种可信计算芯片,包括:算法功能层、应用功能层、通信单元和平台配置寄存器;所述算法功能层用于存储所述芯片支持的至少一种算法引擎和产生随机数;所述应用功能层用于调用所述算法功能层的算法引擎和随机数进行可信处理;所述通信单元用于处理芯片内部各单元之间的通信以及芯片内部与芯片外部之间的通信;所述平台配置寄存器用于存储应用功能层的配置参数值以及应用功能层的处理结果值。
进一步的,所述应用功能层包括:平台完整性度量模块、平台身份可信模块和数据安全保护模块;所述平台完整性度量模块用于负责平台的完整性保护;所述平台身份可信模块用于负责平台可信身份标识与证实;所述数据安全保护模块用于负责平台数据密封与绑定。
进一步的,所述算法功能层支持的算法引擎至少包括TCM规范定义的算法引擎和TPM规范定义的算法引擎中的一种。
更进一步的,所述TCM规范定义的算法引擎包括:SM2、SM3、SM4和HMAC算法中的至少一种;所述TPM规范定义的算法引擎包括:RSA、SHA-1、HMAC、DSA、ECC、和AES算法中的至少一种。
一种可信计算系统,包括:服务模块、安全应用模块,以及以上所述的可信计算芯片;所述可信计算芯片用于提供算法引擎以及平台完整性度量、平台身份认证及数据安全保护;所述服务模块用于对可信计算芯片提供基础资源支持,并向所述安全应用模块提供调用入口;所述安全应用模块用于通过服务模块调用可信计算芯片实现基于可信计算的安全功能。
进一步的,所述的可信计算系统还包括:可信计算模式设置模块、固件下载单元、固件单元;所述可信计算模式设置模块用于设置可信计算芯片的工作模式;所述固件下载单元用于根据所述可信计算模式设置模块的设置,从所述固件单元中下载相应的固件,并提供给所述可信计算芯片;所述固件单元用于存储支持各可信计算模式的固件。
进一步的,所述可信计算模式设置模块设置的模式包括:TCM工作模式、TPM工作模式以及TCM/TPM混合工作模式中的至少一种。
进一步的,所述可信计算模式设置模块的模式设置信息为通过BIOS设置,或者通过操作系统中的软件设置。
进一步的,所述固件单元内存储的固件包括:TCM工作模式固件、TPM工作模式固件以及TCM/TPM混合工作模式固件中的至少一种。
进一步的,所述固件单元中的固件存储在BIOS中,或者存储在计算机可识别的存储介质中。
本发明的有益效果是:本发明提供的可信计算芯片及可信计算系统,通过可兼容多种算法引擎,使可信计算系统通过简单的配置能支持多种可信计算算法及应用,不仅提高了系统的兼容性与稳定性,还避免了大量计算机资源的浪费,且大大降低了生产成本。
附图说明
图1为本发明的可信计算芯片结构图;
图2为本发明的可信计算系统图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,一种可信计算芯片的结构图,包含算法功能层、应用功能层、通信单元和平台配置寄存器。
算法功能层包括:符合TCM规范的算法引擎、符合TPM规范的算法引擎中的至少一种以及随机数发生器。
应用功能层包含平台完整性度量模块、平台身份可信模块和数据安全保护模块。平台完整性度量模块负责平台的完整性保护;平台身份可信模块负责平台可信身份标识与证实;数据安全保护模块负责平台数据密封与绑定。
通信单元用于处理芯片内部各单元之间的通信以及芯片内部与芯片外部之间的通信。
算法功能层符合TCM规范的算法包含SM2算法、SM3算法、SM4和HMAC算法中的至少一种。
算法功能层符合TPM规范的算法包含RSA算法、SHA-1算法、HMAC算法、DSA算法、ECC算法和AES算法中的至少一种。
平台配置单元用于存储应用功能层的配置参数值以及应用功能层的处理结果值。
如图2所示,一种可信计算系统图,包含可信计算芯片、服务模块、安全应用模块、可信计算模式设置模块、固件下载单元、固件单元。
可信计算芯片用于提供各种算法以及平台完整性度量、平台身份认证及数据安全保护。
服务模块是一个中间件,提供对可信计算基础资源的支持。每个模块由多个部分组成,以提供规范化的函数。服务模块为应用程序调用可信计算安全保护功能提供一个入口点,提供对可信计算模块的同步访问,向应用程序隐藏可信计算模块所建立的功能命令以及管理可信计算模块资源
安全应用模块是基于服务模块实现的一系列安全应用程序。
可信计算模式设置模块用于设置可信计算芯片的工作模式,工作模式包括TCM工作模式、TPM工作模式,TCM/TPM混合工作模式中的至少一种。
固件下载单元根据可信计算模式设置模块的设置从固件单元中下载固件,并提供给可信计算芯片。
固件单元包括:TCM工作模式固件、TPM工作模式固件以及TCM/TPM混合工作模式固件中的至少一种。
可信计算模式设置模块可在BIOS中设置,或在操作系统中的通过软件进行设置。
固件单元可存储在BIOS,也可存储在计算机可识别的存储介质。
通过可信计算模式设置工作模式,利用固件下载器从而将对应的固件下载到可信计算单元内,可单独支持中国可信计算标准的密码算法,也可单独支持国际可信计算标准的密码算法,也可以同时支持中国和国际可信计算标准的密码算法。
当可信计算模式将可信计算单元设置为TCM工作模式,则将下载TCM工作模式固件到可信计算芯片内,可信计算单元将不对TPM可信计算标准的请求进行响应;当可信计算模式将可信计算单元设置为TPM工作模式,则将下载TPM工作模式固件到可信计算芯片内,则可信计算单元将不对TCM可信计算标准的请求进行响应;当可信计算模式将可信计算单元设置为TCM/TPM混合工作模式,则下载TCM/TPM混合工作模式固件到可信计算芯片内,可信计算单元既对TPM可信计算标准的请求进行响应,也对TCM可信计算标准进行响应。
在本实施方式中,算法功能层还可以包含其他的算法引擎,其他算法引擎包含如3DES算法、MD5算法、RC算法等。
以上内容是结合具体的实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明;因此,对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (9)
1.一种可信计算芯片,其特征在于,所述可信计算芯片的工作模式包括TCM工作模式、TPM工作模式以及TCM/TPM混合工作模式中的至少一种;所述可信计算芯片包括:算法功能层、应用功能层、通信单元和平台配置寄存器;
所述算法功能层用于存储所述芯片支持的至少一种算法引擎和产生随机数;
所述应用功能层用于调用所述算法功能层的算法引擎和随机数进行可信处理;
所述通信单元用于处理芯片内部各单元之间的通信以及芯片内部与芯片外部之间的通信;
所述平台配置寄存器用于存储应用功能层的配置参数值以及应用功能层的处理结果值。
2.根据权利要求1所述的可信计算芯片,其特征在于,所述应用功能层包括:平台完整性度量模块、平台身份可信模块和数据安全保护模块;所述平台完整性度量模块用于负责平台的完整性保护;所述平台身份可信模块用于负责平台可信身份标识与证实;所述数据安全保护模块用于负责平台数据密封与绑定。
3.根据权利要求1或2所述的可信计算芯片,其特征在于,所述算法功能层支持的算法引擎至少包括TCM规范定义的算法引擎、TPM规范定义的算法引擎中的一种。
4.根据权利要求3所述的可信计算芯片,其特征在于,所述TCM规范定义的算法引擎包括:SM2、SM3、SM4和HMAC算法中的至少一种;所述TPM规范定义的算法引擎包括:RSA、SHA-1、HMAC、DSA、ECC、和AES算法中的至少一种。
5.一种可信计算系统,其特征在于,包括:服务模块、安全应用模块、可信计算模式设置模块,以及权利要求1-4任一项所述的可信计算芯片;
所述可信计算芯片用于提供算法引擎以及平台完整性度量、平台身份认证及数据安全保护;
所述服务模块用于对可信计算芯片提供基础资源支持,并向所述安全应用模块提供调用入口;
所述安全应用模块用于通过服务模块调用可信计算芯片实现基于可信计算的安全功能;
所述可信计算模式设置模块用于设置可信计算芯片的工作模式,所述工作模式包括TCM工作模式、TPM工作模式以及TCM/TPM混合工作模式中的至少一种。
6.根据权利要求5所述的可信计算系统,其特征在于,还包括:固件下载单元、固件单元;
所述固件下载单元用于根据所述可信计算模式设置模块的设置,从所述固件单元中下载相应的固件,并提供给所述可信计算芯片;
所述固件单元用于存储支持各可信计算模式的固件。
7.根据权利要求6所述的可信计算系统,其特征在于,所述可信计算模式设置模块的模式设置信息为通过BIOS设置,或者通过操作系统中的软件设置。
8.根据权利要求7所述的可信计算系统,其特征在于,所述固件单元内存储的固件包括:TCM工作模式固件、TPM工作模式固件以及TCM/TPM混合工作模式固件中的至少一种。
9.根据权利要求6或8所述的可信计算系统,其特征在于,所述固件单元中的固件存储在BIOS中,或者存储在计算机可识别的存储介质中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110355020.7A CN103106373B (zh) | 2011-11-10 | 2011-11-10 | 一种可信计算芯片及可信计算系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110355020.7A CN103106373B (zh) | 2011-11-10 | 2011-11-10 | 一种可信计算芯片及可信计算系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103106373A CN103106373A (zh) | 2013-05-15 |
| CN103106373B true CN103106373B (zh) | 2016-11-09 |
Family
ID=48314224
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110355020.7A Active CN103106373B (zh) | 2011-11-10 | 2011-11-10 | 一种可信计算芯片及可信计算系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103106373B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9413765B2 (en) * | 2014-03-25 | 2016-08-09 | Intel Corporation | Multinode hubs for trusted computing |
| CN104573516B (zh) * | 2014-12-25 | 2017-11-28 | 中国科学院软件研究所 | 一种基于安全芯片的工控系统可信环境管控方法和平台 |
| CN104966022A (zh) * | 2015-06-12 | 2015-10-07 | 浪潮电子信息产业股份有限公司 | 一种基于芯片的信任链构建方法和装置 |
| CN107508666B (zh) * | 2017-08-31 | 2021-01-19 | 华南理工大学 | 一种基于rsa和sha-512的低成本数字签名sopc设计方法 |
| CN112866998B (zh) * | 2021-01-26 | 2023-06-16 | 国网福建省电力有限公司泉州供电公司 | 基于可信计算的5g切片配置数据安全保护方法 |
| CN112948855B (zh) * | 2021-03-03 | 2024-03-19 | 深圳市建讯电子有限公司 | 集成式处理器芯片、应用程序终端及终端设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1987882A (zh) * | 2005-12-23 | 2007-06-27 | 联想(北京)有限公司 | 基于安全芯片的软件保护方法和系统 |
| CN101986641A (zh) * | 2010-10-20 | 2011-03-16 | 杭州晟元芯片技术有限公司 | 可应用于移动通讯设备的可信计算平台芯片及其认证方法 |
| CN102063592A (zh) * | 2011-01-07 | 2011-05-18 | 北京工业大学 | 一种可信平台及其对硬件设备的控制方法 |
-
2011
- 2011-11-10 CN CN201110355020.7A patent/CN103106373B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1987882A (zh) * | 2005-12-23 | 2007-06-27 | 联想(北京)有限公司 | 基于安全芯片的软件保护方法和系统 |
| CN101986641A (zh) * | 2010-10-20 | 2011-03-16 | 杭州晟元芯片技术有限公司 | 可应用于移动通讯设备的可信计算平台芯片及其认证方法 |
| CN102063592A (zh) * | 2011-01-07 | 2011-05-18 | 北京工业大学 | 一种可信平台及其对硬件设备的控制方法 |
Non-Patent Citations (2)
| Title |
|---|
| 可信密码模块的密钥服务兼容性研究与实现;蒋敏慧 等;《计算机科学》;20100630;第37卷(第6期);第82-85页 * |
| 可信计算密码支撑平台功能与接口规范;Emily;《http://www.docin.com/p-21028444.html》;20090526;第3-4节、附图1-3 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103106373A (zh) | 2013-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103106373B (zh) | 一种可信计算芯片及可信计算系统 | |
| CN102136043B (zh) | 一种计算机系统及其度量方法 | |
| CN101770406B (zh) | 用于运行时间完整性校验的设备和方法 | |
| EP2962241B1 (en) | Continuation of trust for platform boot firmware | |
| US20080098478A1 (en) | System, Method and Computer Program Product for Administering Trust Dependent Functional Control over a Portable Endpoint Security Device | |
| CN101488173B (zh) | 支持零宕机的可信虚拟域启动文件完整性度量的方法 | |
| US20200142682A1 (en) | Blockchain-based secure customized catalog system | |
| CN103793654A (zh) | 服务器主动管理技术协助的安全引导 | |
| EP3706019B1 (en) | Hardware-enforced access protection | |
| WO2015090196A1 (zh) | 一种在配电终端中建立可信环境的方法 | |
| EP3008653A1 (en) | Secure battery authentication | |
| US8752130B2 (en) | Trusted multi-stakeholder environment | |
| CN110851188B (zh) | 一种基于双体架构的国产plc可信链实现装置及方法 | |
| CN103034812A (zh) | 一种可信芯片兼容方法、设备及该设备的使用方法 | |
| CN101923609A (zh) | 一种计算机网络的安全保护方法及系统 | |
| CN107111511B (zh) | 访问控制的方法、装置和系统 | |
| CN103200008A (zh) | 一种Linux身份认证系统及方法 | |
| CN104951701A (zh) | 一种基于usb控制器的终端设备操作系统引导的方法 | |
| CN104951695A (zh) | 一种基于Selinux定制应用程序安全策略方法和装置 | |
| CN109614204A (zh) | 内存隔离保护方法、隔离检查硬件、soc芯片和存储介质 | |
| CN105046138A (zh) | 一种基于飞腾处理器的可信管理系统及方法 | |
| CN108460282A (zh) | 一种基于异构多核芯片的计算机安全启动方法 | |
| CN103997502A (zh) | 一种基于云计算数据中心安全增强模型的设计方法 | |
| US20160065375A1 (en) | Dynamic integrity validation of a high level operating system | |
| CN101047701A (zh) | 保证应用程序安全运行的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Fu Yuepeng Inventor after: Liu Xin Inventor after: Wan Wentao Inventor after: Liu Juan Inventor after: Wang Zhengpeng Inventor after: Ai Jun Inventor before: Fu Yuepeng Inventor before: Wang Zhengpeng Inventor before: Ai Jun |