CN106529305A - 嵌入式可信计算模块通信协议 - Google Patents
嵌入式可信计算模块通信协议 Download PDFInfo
- Publication number
- CN106529305A CN106529305A CN201611027403.0A CN201611027403A CN106529305A CN 106529305 A CN106529305 A CN 106529305A CN 201611027403 A CN201611027403 A CN 201611027403A CN 106529305 A CN106529305 A CN 106529305A
- Authority
- CN
- China
- Prior art keywords
- computing module
- processor unit
- embedded
- main processor
- credible
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种嵌入式可信计算模块通信协议,所述协议用于实现嵌入式可信计算模块与终端主处理器单元的通信交互,在此基础上实现终端可信计算功能;所述协议中嵌入式可信计算模块采用UART作为可信计算模块管理接口;所述协议中嵌入式可信计算模块通过外部引脚选择工作模式。本发明提供支持终端可信启动的通信协议,提供可信计算模块管理接口,提供终端主处理器单元调用可信计算模块进行可信校验和商密运算的通信接口。
Description
技术领域
本发明涉及一种嵌入式可信计算模块通信方法。
背景技术
可信计算技术指的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。在1983年,美国国防部发表了可信计算机系统评价准则,在《准则》中,可信计算机和可信计算基这两个重要的概念首次进入人们的实现,同时美国国防部也将可信计算基作为整个可信计算系统安全的技术基础。紧接着在1984年美国国防部作为补充文件又先后提出了可信数据库解释和可信网络解释。直到1999年,世界领先的IT巨头企业IBM、惠普、英特尔以及微软联合发起并建立了可信计算平台联盟,可信计算平台联盟的成立也标志着可信计算技术的基础研究和产业化进入一个全新的发展阶段。在2003年,可信计算平台联盟改名并重组成为可信计算组织,可信计算组织的出现同时也推动了可信计算技术研究和应用想着更高层次发展。可信计算平台联盟和可信计算组织自成立以来已经研究并确定了多种关于可信计算平台、可信存储以及可信网络连接等关于可信计算技术规范。
随着可信计算技术的快速发展,大量的终端需要进行可信计算技术改造或重新设计,使用嵌入式可信计算模块成为终端支持可信计算技术的实现方式。因此,需要嵌入式可信计算模块通信协议。
发明内容
本发明的目的在于提供一种可实现嵌入式可信计算模块与终端主处理器单元的通信交互,从而实现终端可信计算功能的嵌入式可信计算模块通信方法。
本发明的技术解决方案是:
一种嵌入式可信计算模块通信方法,其特征是:用于实现嵌入式可信计算模块与终端主处理器单元的通信交互,在此基础上实现终端可信计算功能;所述嵌入式可信计算模块采用UART作为可信计算模块管理接口;所述协议中嵌入式可信计算模块通过外部引脚选择工作模式。
所述嵌入式可信计算模块采用SPI或UART方式与终端主处理器单元进行通信。
嵌入式可信计算模块可控制终端主处理器单元复位引脚。
嵌入式可信计算模块与终端主处理器单元通过4路选通芯片与存储系统Boot的SPI Flash芯片进行通信。
提供可信计算模块管理接口,提供终端主处理器单元调用可信计算模块进行可信校验和商密运算的通信接口。
所述工作模式包括配置模式和可信通信模式,在配置模式下,通过可信计算模块管理接口对可信计算模块进行相关参数配置;在可信通信模式下,可信计算模块与终端主处理器单元通过通信接口进行可信通信。
所述嵌入式可信计算模块控制SPI Flash芯片和嵌入式可信计算模块或者终端主处理器单元进行通信;
终端上电后,嵌入式可信计算模块控制终端主处理器单元的复位引脚为低电平,使终端主处理器单元保持在复位状态;同时嵌入式可信计算模块与SPI Flash芯片进行通信,对SPI Flash芯片中的数据进行可信度量,度量正确后断开与SPI Flash芯片的通信,使其与终端主处理器单元连通,然后控制终端主处理器单元的复位引脚为高电平,使控制终端主处理器单元开始工作,启动Boot代码。
所述终端主处理器单元进入Boot后可通过通信接口对系统应用程序和关键数据进行可信校验。
所述终端主处理器单元完成可信校验后进入系统,进入系统后终端主处理器单元可通过通信接口进行商密运算。
本发明提供的一种嵌入式可信计算模块通信协议,支持嵌入式可信计算模块采用SPI或UART方式与终端主处理器单元进行通信;支持终端可信启动的通信协议,提供可信计算模块管理接口,提供终端主处理器单元调用可信计算模块进行可信校验和商密运算的通信接口;采用外部引脚选择进入配置模式和可信通信模式两种工作模式,避免远程修改可信计算模块关键配置;在适应性、安全性上均有提升和创新。
附图说明
下面结合附图和实施例对本发明作进一步说明。
图1是本发明提供的一种嵌入式可信计算模块通信协议终端主处理器单元下发指令结构图;
图2是本发明提供的一种嵌入式可信计算模块通信协议嵌入式可信计算模块应答指令结构图;
图3是本发明提供的一种嵌入式可信计算模块通信协议中指令编码部分定义及描述示意图;
图4是本发明提供的一种嵌入式可信计算模块通信协议中指令编码部分定义及描述示意图。
图5是本发明提供的一种嵌入式可信计算模块通信协议中嵌入式可信计算模块与终端主处理器单元通信的基本硬件架构示意图。
具体实施方式
一种嵌入式可信计算模块通信方法,用于实现嵌入式可信计算模块与终端主处理器单元的通信交互,在此基础上实现终端可信计算功能;所述嵌入式可信计算模块采用UART作为可信计算模块管理接口;所述协议中嵌入式可信计算模块通过外部引脚选择工作模式。
所述嵌入式可信计算模块采用SPI或UART方式与终端主处理器单元进行通信。
嵌入式可信计算模块可控制终端主处理器单元复位引脚。
嵌入式可信计算模块与终端主处理器单元通过4路选通芯片与存储系统Boot的SPI Flash芯片进行通信。
提供可信计算模块管理接口,提供终端主处理器单元调用可信计算模块进行可信校验和商密运算的通信接口。
所述工作模式包括配置模式和可信通信模式,在配置模式下,通过可信计算模块管理接口对可信计算模块进行相关参数配置;在可信通信模式下,可信计算模块与终端主处理器单元通过通信接口进行可信通信。
所述嵌入式可信计算模块控制SPI Flash芯片和嵌入式可信计算模块或者终端主处理器单元进行通信;
终端上电后,嵌入式可信计算模块控制终端主处理器单元的复位引脚为低电平,使终端主处理器单元保持在复位状态;同时嵌入式可信计算模块与SPI Flash芯片进行通信,对SPI Flash芯片中的数据进行可信度量,度量正确后断开与SPI Flash芯片的通信,使其与终端主处理器单元连通,然后控制终端主处理器单元的复位引脚为高电平,使控制终端主处理器单元开始工作,启动Boot代码。
所述终端主处理器单元进入Boot后可通过通信接口对系统应用程序和关键数据进行可信校验。
所述终端主处理器单元完成可信校验后进入系统,进入系统后终端主处理器单元可通过通信接口进行商密运算。
本发明提供了一种嵌入式可信计算模块通信协议,如图1和图2所示,所述协议提供了终端主处理器单元下发指令结构和嵌入式可信计算模块应答指令结构。所述协议的通信指令包括:起始字节、指令长度、指令编码、数据、CRC校验、结束字节。
本发明提供了一种嵌入式可信计算模块通信协议,如图3和图4所示,所述协议提供了指令编码部分定义及描述。根据不同的指令编码,通信指令中数据部分的内容进行相应变化。
本发明提供了一种嵌入式可信计算模块通信协议,如图5所示,所述协议提供了嵌入式可信计算模块与终端主处理器单元通信的基本硬件架构。按照所述硬件架构进行硬件设计,配合所述协议便可以实现嵌入式可信计算模块与终端主处理器单元的通信交互,并在此基础上实现终端可信计算功能。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (9)
1.一种嵌入式可信计算模块通信方法,其特征是:用于实现嵌入式可信计算模块与终端主处理器单元的通信交互,在此基础上实现终端可信计算功能;所述嵌入式可信计算模块采用UART作为可信计算模块管理接口;所述协议中嵌入式可信计算模块通过外部引脚选择工作模式。
2.根据权利要求1所述的嵌入式可信计算模块通信方法,其特征是:所述嵌入式可信计算模块采用SPI或UART方式与终端主处理器单元进行通信。
3.根据权利要求1所述的嵌入式可信计算模块通信方法,其特征是:嵌入式可信计算模块可控制终端主处理器单元复位引脚。
4. 根据权利要求1所述的嵌入式可信计算模块通信方法,其特征是:嵌入式可信计算模块与终端主处理器单元通过4路选通芯片与存储系统Boot的SPI Flash芯片进行通信。
5.根据权利要求1所述的嵌入式可信计算模块通信方法,其特征是:提供可信计算模块管理接口,提供终端主处理器单元调用可信计算模块进行可信校验和商密运算的通信接口。
6.根据权利要求1所述的嵌入式可信计算模块通信方法,其特征是:所述工作模式包括配置模式和可信通信模式,在配置模式下,通过可信计算模块管理接口对可信计算模块进行相关参数配置;在可信通信模式下,可信计算模块与终端主处理器单元通过通信接口进行可信通信。
7. 根据权利要求4所述的嵌入式可信计算模块通信方法,其特征是:所述嵌入式可信计算模块控制SPI Flash芯片和嵌入式可信计算模块或者终端主处理器单元进行通信;
终端上电后,嵌入式可信计算模块控制终端主处理器单元的复位引脚为低电平,使终端主处理器单元保持在复位状态;同时嵌入式可信计算模块与SPI Flash芯片进行通信,对SPI Flash芯片中的数据进行可信度量,度量正确后断开与SPI Flash芯片的通信,使其与终端主处理器单元连通,然后控制终端主处理器单元的复位引脚为高电平,使控制终端主处理器单元开始工作,启动Boot代码。
8.根据权利要求7所述的嵌入式可信计算模块通信方法,其特征是:所述终端主处理器单元进入Boot后可通过通信接口对系统应用程序和关键数据进行可信校验。
9.根据权利要求8所述的嵌入式可信计算模块通信方法,其特征是:所述终端主处理器单元完成可信校验后进入系统,进入系统后终端主处理器单元可通过通信接口进行商密运算。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611027403.0A CN106529305A (zh) | 2016-11-22 | 2016-11-22 | 嵌入式可信计算模块通信协议 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611027403.0A CN106529305A (zh) | 2016-11-22 | 2016-11-22 | 嵌入式可信计算模块通信协议 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106529305A true CN106529305A (zh) | 2017-03-22 |
Family
ID=58352832
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611027403.0A Pending CN106529305A (zh) | 2016-11-22 | 2016-11-22 | 嵌入式可信计算模块通信协议 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106529305A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108153554A (zh) * | 2017-12-18 | 2018-06-12 | 江苏方天电力技术有限公司 | 一种基于可信芯片的rtos可信系统及实现方法 |
| CN108229132A (zh) * | 2017-12-27 | 2018-06-29 | 北京和利时系统工程有限公司 | 一种安全启动方法和装置、终端 |
| CN117633906A (zh) * | 2023-11-14 | 2024-03-01 | 国网上海能源互联网研究院有限公司 | 一种台区智能融合终端有效性的可信验证方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102663301A (zh) * | 2012-04-13 | 2012-09-12 | 北京国基科技股份有限公司 | 一种可信计算机及可信性检测方法 |
| CN202600714U (zh) * | 2012-05-28 | 2012-12-12 | 山东神思电子技术股份有限公司 | 基于sd可信计算模块的嵌入式终端 |
| CN103760892A (zh) * | 2014-01-23 | 2014-04-30 | 国家电网公司 | 一种嵌入式可信计算平台及其检测方法 |
| CN104318142A (zh) * | 2014-10-31 | 2015-01-28 | 山东超越数控电子有限公司 | 一种计算机可信启动方式 |
-
2016
- 2016-11-22 CN CN201611027403.0A patent/CN106529305A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102663301A (zh) * | 2012-04-13 | 2012-09-12 | 北京国基科技股份有限公司 | 一种可信计算机及可信性检测方法 |
| CN202600714U (zh) * | 2012-05-28 | 2012-12-12 | 山东神思电子技术股份有限公司 | 基于sd可信计算模块的嵌入式终端 |
| CN103760892A (zh) * | 2014-01-23 | 2014-04-30 | 国家电网公司 | 一种嵌入式可信计算平台及其检测方法 |
| CN104318142A (zh) * | 2014-10-31 | 2015-01-28 | 山东超越数控电子有限公司 | 一种计算机可信启动方式 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108153554A (zh) * | 2017-12-18 | 2018-06-12 | 江苏方天电力技术有限公司 | 一种基于可信芯片的rtos可信系统及实现方法 |
| CN108229132A (zh) * | 2017-12-27 | 2018-06-29 | 北京和利时系统工程有限公司 | 一种安全启动方法和装置、终端 |
| CN117633906A (zh) * | 2023-11-14 | 2024-03-01 | 国网上海能源互联网研究院有限公司 | 一种台区智能融合终端有效性的可信验证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106529305A (zh) | 嵌入式可信计算模块通信协议 | |
| CN104318142A (zh) | 一种计算机可信启动方式 | |
| US20130347088A1 (en) | Remote Direct Memory Access Authentication of a Device | |
| CN106406936A (zh) | 一种fpga程序多版本管理装置及方法 | |
| CN105446933A (zh) | 多核心处理器的调试系统与调试方法 | |
| CN107608700A (zh) | 一种fpga固件的更新方法、装置及介质 | |
| CN104102499A (zh) | 移动终端及其软件升级的方法 | |
| US10972979B2 (en) | Technologies for associating an offline Wi-Fi system with a wireless access point | |
| CN106973054B (zh) | 一种基于可信平台的操作系统登录认证方法和系统 | |
| CN102820061A (zh) | 嵌入式远程设备程序烧写装置及方法 | |
| KR101284403B1 (ko) | 저장 네트워크 환경에서 scsi 타겟으로부터 scsi 에러 응답을 커스터마이징하는 방법, 비-일시적 컴퓨터 판독 가능한 저장 매체, 저장 네트워크 환경에서 scsi 타겟으로부터 수신된 scsi 에러 응답을 커스터마이징하는 시스템 | |
| CN111125707A (zh) | 一种基于可信密码模块的bmc安全启动方法、系统及设备 | |
| CN106774508A (zh) | 一种温度控制方法及终端 | |
| CN104461660A (zh) | 一种异构系统的多模式动态加载方法 | |
| CN106201605A (zh) | 基于FPGA和PowerPC的FPGA启动加载FLASH升级系统及方法 | |
| CN104809378A (zh) | 一种kvm本地管理系统用户身份验证设计方法 | |
| CN104636249A (zh) | 一种应用程序调试信息生成系统和方法 | |
| CN104166579A (zh) | 一种利用bmc实现关机状态下刷新bios的硬件设计方法 | |
| CN104270754A (zh) | 一种用户识别卡鉴权方法和装置 | |
| CN106778282A (zh) | 可信配电终端 | |
| CN209570925U (zh) | 用于tee测试的板卡设备 | |
| CN201298648Y (zh) | 手机应用程序灌装数据线 | |
| CN105159808B (zh) | 一种对bios进行审计的方法 | |
| CN104516752A (zh) | 一种信息处理方法及电子设备 | |
| CN204480260U (zh) | 居民身份证网络读卡终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170322 |