WO2022143429A1

WO2022143429A1 - 计算机系统、可信功能组件及运行方法

Info

Publication number: WO2022143429A1
Application number: PCT/CN2021/140990
Authority: WO
Inventors: 邵萌
Original assignee: 华为技术有限公司
Priority date: 2020-12-29
Filing date: 2021-12-23
Publication date: 2022-07-07
Also published as: US20230342472A1; EP4258146A1; CN114692159A; EP4258146A4

Abstract

一种计算机系统、可信功能组件及运行方法，属于可信计算技术领域。该计算机系统包括：计算组件（12）和可信功能组件（13），可信功能组件（13）包括带外管理芯片（131）；带外管理芯片（131）用于通过运行安全固件（1321），在带外管理芯片（131）中构建可信根，基于可信根对计算组件（12）进行可信度量，基于可信度量结果对计算组件（12）进行控制；计算组件（12）用于基于带外管理芯片（131）的控制，执行带外管理芯片（131）的控制指示的操作。该计算机系统能够保证根据可信根进行可信度量和控制的安全性。

Description

计算机系统、可信功能组件及运行方法

技术领域

本申请涉及可信计算技术领域，特别涉及一种计算机系统、可信功能组件及运行方法。

背景技术

若计算机缺乏用于保护计算机安全的安全机制，会使得整个计算机较容易被攻击，导致计算机运行在不可控状态。因此，需要对计算机采取安全措施，以提高计算的安全性。

目前，通常采用可信计算技术对计算机的安全进行保护。可信计算技术可以在计算机中植入密码算法，并使用该密码算法在计算机运行过程中各个执行阶段加入可信度量机制，以保障计算机的安全。

但是，目前对计算机进行可信度量的安全性较差。

发明内容

本申请提供了一种计算机系统、可信功能组件及运行方法，能够保证基于可信根对计算组件和可信功能组件进行可信度量和控制的安全性。本申请提供的技术方案如下：

第一方面，本申请提供了一种计算机系统，该计算机系统包括：计算组件和可信功能组件，可信功能组件包括带外管理芯片；带外管理芯片用于通过运行安全固件，在带外管理芯片中构建可信根，基于可信根对计算组件进行可信度量，基于可信度量结果对计算组件进行控制；计算组件用于基于带外管理芯片的控制，执行控制指示的操作。

在本申请提供的计算机系统中，通过在带外管理芯片中构建可信根，由于带外管理芯片具有硬件更安全的特点，能够保证构建的可信根的安全性。并且，基于可信根对计算组件和可信功能组件进行可信度量和控制，能够保证可信度量和控制的安全性。

其中，带外管理芯片具有安全核；安全核具体用于通过运行安全固件，在安全核中构建可信根。由于安全核实现了物理隔离，该物理隔离能够保证安全核内的安全性。因此，通过该安全核实现构建可信根的构建过程，能够进一步保证构建的可信根的安全性。

在一种可实现方式中，用于构建可信根的可信度量根核心(CRTM)存储在带外管理芯片的只读存储器中。由于CRTM存储在只读存储器中，只读存储器只能被安全核访问，且只能对只读存储器执行读操作不能执行写操作，当想要对该只读存储器中存储的可执行代码进行恶意篡改时，由于该只读存储器不支持再次写入，能够防止对该只读存储器中存储的可执行代码的恶意篡改，能够保证该只读存储器中存储的CRTM的安全性，能够进一步保证根据CRTM构建的可信根的安全性。

在一种可实现方式中，安全固件包括具体用于对计算组件进行可信度量，基于对计算组件的可信度量结果，对计算组件进行控制。

此时，通过使用安全固件对计算组件中的至少一个待度量对象进行可信度量和控制，相较于相关技术中计算组件中待度量对象的可信度量和控制过程，能够将度量主体尽量集中在安全固件上，使得待度量对象能够尽量靠近可信根，能够解决因计算组件中的度量主体也是待度量对象，导致度量主体和待度量对象身份混淆及可信域与非可信域边界模糊的问题，能够进一步保证计算组件的安全性。

并且，安全固件具体用于对计算组件中的至少两个待度量对象进行可信度量，基于对至少两个待度量对象中的任一个待度量对象的可信度量结果，对任一个待度量对象进行控制。

并且，当安全固件用于对计算组件中的至少两个待度量对象进行可信度量时，能够使对该至少两个待度量对象的可信度量和控制过程不会互相依赖，将相关技术中链式传递的信任链改成了以安全固件为中心的集中式可信拓扑结构，能够避免出现计算组件中某一个待度量对象被攻击或篡改，导致整个信任链断裂的情况。

其中，计算组件中包括多个待度量对象。例如，计算组件中的待度量对象包括：基本输入/输出装置的镜像文件、第一操作系统内核的镜像文件、第一操作系统引导层的镜像文件和业务应用程序的镜像文件。

并且，计算组件的待度量对象还包括：复杂可编程逻辑器件的配置文件。通过对复杂可编程逻辑器件进行可信度量，能够保证该复杂可编程逻辑器件的启动和运行的安全性。

安全固件包括：安全固件启动层、安全固件引导层和安全固件功能层。为进一步提高计算机的安全性，也可以对可信功能组件进行可信度量和控制，其实现方式包括：

带外管理芯片具体用于运行安全固件启动层，在带外管理芯片中构建可信根，安全固件启动层还用于基于可信根对安全固件引导层进行可信度量，基于对安全固件引导层的度量结果，对安全固件引导层进行控制；安全固件引导层用于基于可信根对安全固件功能层进行可信度量，基于对安全固件功能层的度量结果，对安全固件功能层进行控制；安全固件功能层用于对待度量对象进行可信度量，基于对其他待度量对象的可信度量结果，对其他待度量对象进行控制，其他待度量对象包括计算机系统中除安全固件外的待度量对象。

在一种可实现方式中，带外管理芯片具有安全核，安全核具体用于运行安全固件。例如，安全固件启动层、安全固件引导层和安全固件功能层均由安全核运行，以进一步保证安全固件启动层、安全固件引导层和安全固件功能层的安全性。

通过安全核运行安全固件，能够利用安全核的物理隔离优势，使得性能域环境中运行的组件不具备向安全域越权的基础，实现对安全固件的隔离保护，保证了计算机具备更好的安全性。

在一种可实现方式中，带外管理芯片具有性能核，该性能个用于运行计算机的第二操作系统。例如，可信功能组件还包括：第二操作系统引导层、第二操作系统内核层和可信应用程序层，该性能核用于运行第二操作系统引导层、第二操作系统内核层和可信应用程序层。

为进一步提高计算机的安全性，对可信功能组件进行可信度量和控制的实现方式还包括：

可信功能组件还包括：第二操作系统引导层、第二操作系统内核层和可信应用程序层；安全固件还用于基于可信根对第二操作系统引导层进行可信度量，基于对第二操作系统引导层的度量结果，对第二操作系统引导层进行控制；第二操作系统引导层用于基于可信根对第二操作系统内核层进行可信度量，基于对第二操作系统内核层的度量结果，对第二操作系统内核层进行控制；第二操作系统内核层用于基于可信根对可信应用程序层进行可信度量，基于对可信应用程序层的度量结果，对可信应用程序层进行控制；可信应用程序层用于接收来自计算机系统外部的带外管理信号，基于带外管理信号提供运维服务和/或安全服务。

其中，第二操作系统内核层包括：可信软件基模块；可信软件基模块用于获取计算组件的第一操作系统内核、应用程序、可信功能组件中的第二操作系统内核和可信应用软件中至少一个待度量对象的可信模型，并基于任一待度量对象的可信模型对任一待度量对象进行可信度量，待度量对象的可信模型用于反映待度量对象的可信程度，可信模型包括待度量对象的度量值和其他参数。

通过将可信软件基模块部署在可信功能组件中，能够进一步保证该第二操作系统的运行安全性，进一步保证根据该可信软件基模块维护的计算机的安全性。并且，通过该可信软件基模块获取待度量对象的可信模型，并根据该可信模型对待度量对象进行可信度量，由于该可信模型包括度量值和一个或多个其他参数，能够从多个维度反映待度量对象的可信程度，提高了对待度量对象的可信程度进行描述的准确性，当根据该可信模型对待度量对象进行可信度量时，提高了待度量对象的安全性。

在一种可实现方式中，第二操作系统内核层还包括以下一个或多个：可信度量策略管理模块、可信控制策略管理模块、可信基准库管理模块和可信度量结果与日志管理模块；可信度量策略管理模块用于管理可信度量过程中使用的度量策略，并向度量主体提供度量策略，度量主体用于对待度量对象进行可信度量；可信控制策略管理模块用于管理根据度量结果对待度量对象进行控制的控制策略，并向度量主体提供控制策略；可信基准库管理模块用于管理可信度量过程中用于与待度量对象的度量值进行比较的度量基准，并向度量主体提供度量基准；可信度量结果与日志管理模块用于记录可信度量结果和用于反映可信度量过程的信息。

并且，第二操作系统内核层还包括：可信中间件，可信中间件包括：可信度量服务模块；第二操作系统内核层基于可信根对可信应用程序层进行可信度量的功能，通过可信度量服务模块基于可信根对可信应用程序层进行可信度量实现；第二操作系统内核层还用于基于可信根对可信中间件进行可信度量，基于对可信中间件的度量结果，对可信中间件进行控制。

进一步地，可信中间件还包括以下一个或多个：远程安全管理代理模块、远程可信证明代理模块和可信密码服务中间件；远程安全管理代理模块用于基于与远程安全运维管理中心的连接，为可信功能组件提供远程安全管理服务；远程可信证明代理模块用于基于与远程安全运维管理中心的连接，为可信功能组件提供远程可信证明服务；可信密码服务中间件用于向计算组件和可信功能组件，提供用于使用密码模块的应用程序接口。

其中，可信度量包括：在待度量对象运行期间执行的可信度量和在待度量对象启动阶段执行的可信度量；当在待度量对象的运行期间执行可信度量时，该控制用于指示待度量对象是否继续运行；当在待度量对象的启动阶段执行可信度量时，该控制用于指示待度量对象是否启动。

通过在运行期间和启动阶段对待度量对象进行可信度量和的控制，使得本申请实施例提供的可信防护能力能够覆盖计算组件和可信功能组件的运行期间和启动阶段。

第二方面，本申请提供了一种计算机系统的可信功能组件，可信功能组件包括：基板管理控制器BMC芯片，BMC芯片的安全核中运行有安全固件功能层；BMC芯片用于通过运行安全固件功能层，在BMC芯片中构建可信根，对计算机系统的计算组件中的至少一个待度量对象进行可信度量，基于对至少一个待度量对象中的任一个待度量对象的可信度量结果，对任一个待度量对象进行控制；至少一个待度量对象包括以下一个或多个：复杂可编程逻辑器件的配置文件、基本输入/输出装置的镜像文件、第一操作系统内核的镜像文件、第一操作系统引导层的镜像文件和业务应用程序的镜像文件。

第三方面，本申请提供了一种计算机系统的可信功能组件，该可信功能组件包括基板管理控制器BMC芯片，该BMC芯片包括安全核和性能核，安全核用于通过运行安全固件启动层，在BMC芯片中构建可信根，对计算机系统的可信功能组件和计算组件进行可信度量，基于对待度量对象的可信度量结果，对待度量对象进行控制。

其中，待度量对象包括以下一个或多个：安全固件引导层的镜像文件、安全固件功能层的镜像文件、第二操作系统引导层的镜像文件、第二操作系统内核层的镜像文件和可信应用程序层的镜像文件，以及计算组件中的复杂可编程逻辑器件的配置文件、基本输入/输出装置的镜像文件、第一操作系统内核的镜像文件、第一操作系统引导层的镜像文件和业务应用程序的镜像文件，安全固件引导层和安全固件功能层被配置为由安全核运行，第二操作系统引导层、第二操作系统内核层和可信应用程序层被配置为由性能核运行。

在一种可实现方式中，安全固件启动层用于基于在BMC芯片中构建的可信根，对安全固件引导层进行可信度量，基于对安全固件引导层的度量结果，对安全固件引导层进行控制；安全固件引导层用于基于可信根对安全固件功能层进行可信度量，基于对安全固件功能层的度量结果，对安全固件功能层进行控制；安全固件功能层用于对第二操作系统引导层进行可信度量，基于对第二操作系统引导层的可信度量结果，对第二操作系统引导层进行控制；第二操作系统引导层用于基于可信根对第二操作系统内核层进行可信度量，基于对第二操作系统内核层的度量结果，对第二操作系统内核层进行控制；第二操作系统内核层用于基于可信根对可信应用程序层进行可信度量，基于对可信应用程序层的度量结果，对可信应用程序层进行控制；可信应用程序层用于接收来自计算机系统外部的带外管理信号，基于带外管理信号提供运维服务和/或安全服务。

第四方面，本申请提供了一种计算机系统，该计算机系统包括：远程安全运维管理中心，远程安全运维管理中心用于对第一方面、第二方面或第三方面提供的可信功能组件，提供远程集中管理服务与运维服务。

其中，远程安全运维管理中心包括以下一个或多个：远程可信证明中心、可信策略与基准管理中心和平台安全管理与审计中心；远程可信证明中心用于为计算机提供可信挑战和远程可信证明服务；可信策略与基准管理中心用于对计算机中的可信度量策略、控制策略和可信基准库进行管理；平台安全管理与审计中心用于为计算机中的引导层可信组件提供远程连接接口、提供可信度量结果可视化界面功能和可信日志审计功能。

通过为计算机配置远程安全运维管理中心，本申请提供的计算机能够配合远程安全运维管理中心提供丰富的安全运维管理能力和远程可信证明服务能力，从而在计算机系统的可信功能组件中建立可信完善的度量主体和可信软件执行环境。

第五方面，本申请提供了一种计算机系统的运行方法，该方法包括：计算机系统的带外管理芯片通过运行安全固件，在带外管理芯片中构建可信根，基于可信根对计算机系统的计算组件进行可信度量，基于可信度量结果对计算组件进行控制；计算组件基于带外管理芯片的控制，执行控制指示的操作。

在该计算机系统的运行方法中，通过在带外管理芯片中构建可信根，由于带外管理芯片具有硬件更安全的特点，能够保证构建的可信根的安全性。并且，基于可信根对计算组件和可信功能组件进行可信度量和控制，能够保证可信度量和控制的安全性。

其中，安全核具体用于通过运行安全固件，在安全核中构建可信根。

在一种可实现方式中，用于构建可信根的可信度量根核心存储在带外管理芯片的只读存储器中。

在一种可实现方式中，安全固件具体用于对计算组件进行可信度量，基于对计算组件的可信度量结果，对计算组件进行控制。

并且，安全固件对计算组件中的至少两个待度量对象进行可信度量，基于对至少两个待度量对象中的任一个待度量对象的可信度量结果，对任一个待度量对象进行控制。

其中，计算组件中的待度量对象包括：基本输入/输出装置的镜像文件、第一操作系统内核的镜像文件、第一操作系统引导层的镜像文件和业务应用程序的镜像文件。

可选地，计算组件的待度量对象还包括：复杂可编程逻辑器件的配置文件。

其中，安全固件包括：安全固件启动层、安全固件引导层和安全固件功能层，为进一步提高计算机的安全性，也可以对可信功能组件进行可信度量和控制，相应的，该方法还包括：带外管理芯片运行安全固件启动层，在带外管理芯片中构建可信根，安全固件启动层基于可信根对安全固件引导层进行可信度量，基于对安全固件引导层的度量结果，对安全固件引导层进行控制；安全固件引导层基于可信根对安全固件功能层进行可信度量，基于对安全固件功能层的度量结果，对安全固件功能层进行控制；安全固件功能层对其他待度量对象进行可信度量，基于对其他待度量对象的可信度量结果，对其他待度量对象进行控制，其他待度量对象包括计算机系统中除安全固件外的待度量对象。

在一种可实现方式中，带外管理芯片具有安全核；安全核具体用于运行安全固件启动层、安全固件引导层和安全固件功能层。

并且，带外管理芯片具有性能核，该性能核用于运行第二操作系统。

此时，该方法还包括：带外管理芯片运行计算机系统的第二操作系统引导层、第二操作系统内核层和可信应用程序层；安全固件基于可信根对第二操作系统引导层进行可信度量，基于对第二操作系统引导层的度量结果，对第二操作系统引导层进行控制；第二操作系统引导层基于可信根对第二操作系统内核层进行可信度量，基于对第二操作系统内核层的度量结果，对第二操作系统内核层进行控制；第二操作系统内核层基于可信根对可信应用程序层进行可信度量，基于对可信应用程序层的度量结果，对可信应用程序层进行控制；其中，可信应用程序层用于接收来自计算机系统外部的带外管理信号，基于带外管理信号提供运维服务和/或安全服务。

可选地，第二操作系统内核层包括：可信软件基模块。该方法还包括：可信软件基模块获取计算组件的第一操作系统内核、应用程序、可信功能组件中的第二操作系统内核和可信应用软件中至少一个待度量对象的可信模型，并基于任一待度量对象的可信模型对任一待度量对象进行可信度量，待度量对象的可信模型用于反映待度量对象的可信程度，可信模型包括待度量对象的度量值和其他参数。

并且，第二操作系统内核层还包括以下一个或多个：可信度量策略管理模块、可信控制策略管理模块、可信基准库管理模块和可信度量结果与日志管理模块。此时，该方法还包括以下一个或多个操作：可信度量策略管理模块管理可信度量过程中使用的度量策略，并向度量主体提供度量策略，度量主体用于对待度量对象进行可信度量；可信控制策略管理模块管理根据度量结果对待度量对象进行控制的控制策略，并向度量主体提供控制策略；可信基准库管理模块管理可信度量过程中用于与待度量对象的度量值进行比较的度量基准，并向度量主体提供度量基准；可信度量结果与日志管理模块记录可信度量结果和用于反映可信度量过程的信息。

进一步地，第二操作系统内核层还包括：可信中间件，可信中间件包括：可信度量服务模块；相应的，第二操作系统内核层基于可信根对可信应用程序层进行可信度量的功能，通过可信度量服务模块基于可信根对可信应用程序层进行可信度量实现。且该方法还包括：第二操作系统内核层基于可信根对可信中间件进行可信度量，基于对可信中间件的度量结果，对可信中间件进行控制。

可选地，可信中间件还包括以下一个或多个：远程安全管理代理模块、远程可信证明代理模块和可信密码服务中间件；相应的，该方法还包括以下一个或多个：远程安全管理代理模块基于与远程安全运维管理中心的连接，为可信功能组件提供远程安全管理服务；远程可信证明代理模块基于与远程安全运维管理中心的连接，为可信功能组件提供远程可信证明服务；可信密码服务中间件向计算组件和可信功能组件，提供用于使用密码模块的应用程序接口。

其中，可信度量包括：在待度量对象运行期间执行的可信度量和在待度量对象启动阶段执行的可信度量；当在待度量对象的运行期间执行可信度量时，控制用于指示待度量对象是否继续运行；当在待度量对象的启动阶段执行可信度量时，控制用于指示待度量对象是否启动。

第六方面，本申请提供了一种计算机系统的可信功能组件的运行方法。该可信功能组件包括基板管理控制器BMC芯片。该方法包括：BMC芯片通过运行计算机的安全固件功能层，在BMC芯片中构建可信根，对计算机系统的计算组件中的至少一个待度量对象进行可信度量，基于对至少一个待度量对象中的任一个待度量对象的可信度量结果，对任一个待度量对象进行控制。

其中，至少一个待度量对象包括以下一个或多个：复杂可编程逻辑器件的配置文件、基本输入/输出装置的镜像文件、第一操作系统内核的镜像文件、第一操作系统引导层的镜像文件和业务应用程序的镜像文件。

第七方面，本申请提供了一种计算机系统的可信功能组件的运行方法。该可信功能组件包括基板管理控制器BMC芯片，BMC芯片包括安全核和性能核。该方法包括：安全核通过运行安全固件启动层，在BMC芯片中构建可信根，对计算机系统的可信功能组件和计算组件进行可信度量，基于对待度量对象的可信度量结果，对待度量对象进行控制。

在一种可实现方式中，BMC芯片进行可信度量的过程包括：安全固件启动层基于在BMC芯片中构建的可信根，对安全固件引导层进行可信度量，基于对安全固件引导层的度量结果，对安全固件引导层进行控制；安全固件引导层基于可信根对安全固件功能层进行可信度量，基于对安全固件功能层的度量结果，对安全固件功能层进行控制；安全固件功能层对第二操作系统引导层进行可信度量，基于对第二操作系统引导层的可信度量结果，对第二操作系统引导层进行控制；第二操作系统引导层基于可信根对第二操作系统内核层进行可信度量，基于对第二操作系统内核层的度量结果，对第二操作系统内核层进行控制；第二操作系统内核层基于可信根对可信应用程序层进行可信度量，基于对可信应用程序层的度量结果，对可信应用程序层进行控制。其中，可信应用程序层接收来自计算机系统外部的带外管理信号，基于带外管理信号提供运维服务和/或安全服务。

第八方面，本申请提供了一种计算机系统的运行方法。该方法包括：计算机系统的远程安全运维管理中心对第一方面、第二方面或第三方面提供的可信功能组件，提供远程集中管理服务与运维服务。

在一种可实现方式中，远程安全运维管理中心提供远程集中管理服务与运维服务，包括以下一个或多个：远程可信证明中心为计算机提供可信挑战和远程可信证明服务；可信策略与基准管理中心对计算机中的可信度量策略、可信控制策略和可信基准库进行管理；平台安全管理与审计中心为计算机中的引导层可信组件提供远程连接接口、提供可信度量结果可视化界面功能和可信日志审计功能。

附图说明

图1是本申请实施例提供的一种计算机的结构示意图；

图2是本申请实施例提供的一种硬件平台的结构示意图；

图3是本申请实施例提供的另一种计算机的结构示意图；

图4是本申请实施例提供的一种计算机系统的结构示意图；

图5是本申请实施例提供的一种集中式可信拓扑结构的示意图；

图6是本申请实施例提供的另一种计算机系统的结构示意图；

图7是本申请实施例提供的又一种计算机系统的结构示意图；

图8是本申请实施例提供的一种计算机系统的运行方法的流程图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

为便于理解，下面先对本申请实施例中出现的部分名词或术语进行解释：

可信计算(trusted computing，TC)是在计算机中广泛使用的，基于密码模块支持的可信计算平台，以提高计算机整体的安全性。

密码模块是为计算机提供完整性和真实性保障的安全芯片，一般通过物理方式被强绑定到计算机的硬件平台中。密码模块的核心功能是基于自主密码算法构建可信计算3个维度的功能，包括：平台完整性度量与验证、平台可信身份标识与鉴别、平台数据保护。可选地，密码模块可以为可信密码模块(trusted crypto module，TCM)或可信平台模块(trusted platform module，TPM)。

可信控制是指根据可信度量结果对待度量对象执行的控制操作，因此，该可信控制也可称为控制。其中，当对待度量对象的度量通过时，可以维持待度量对象原本的状态，或执行待度量对象在被可信度量之前预期需要执行的操作，当对待度量对象的度量不通过时，可以对待度量对象采取安全措施，例如，可以控制计算机复位，或者，可以控制待度量对象重新启动，以避免导致度量不通过的原因对计算机造成安全威胁。

可信根(root of trust，RoT)：是可信度量中的信任源点，是一个必然被信任的组件。一个可信计算平台中包括三种可信根：可信度量根(root of trust for measurement，RTM)、可信存储根(root of trust for storage，RTS)和可信报告根(root of trust for reporting，RTR)。其中，可信度量根是在涉及到度量操作时需要使用到的可信根，可信存储根是涉及在存储操作时需要使用到的可信根，可信报告根是在涉及在报告读写等操作时使用到的可信根。

可信度量根核心(core root of trust for measurement，CRTM)：是用于建立可信度量根的可执行代码，通过运行该可信度量根核心能够的建立可信度量根。可信度量根核心是可信计算平台上电启动后执行的第一段代码。

可信软件基(trusted software base)：可信软件基是可信计算体系的重要组成部分，基于运算和防护并存的双系统体系结构思想设计。软件层面的双系统即宿主基础软件和可信软件基。可信软件基在宿主基础软件运行时进行主动拦截和度量，不需要修改原应用，通过制定策略进行主动实时防护，从而破坏和阻止进入系统的病毒或木马等恶意软件，达到主动免疫防御的安全效果。

基板管理控制器(baseboard management controller，BMC)：广泛应用于服务器类计算机平台处理器带外管理子系统，其功能包括虚拟键盘、鼠标、显示器、电源管理控制和远程运维等，也包括对服务器平台的电源电压、温度、风扇状态、机箱状态等物流信息的监视。基板管理控制器是主板第一个上电启动的部件。

基本输入输出系统(base input/output system，BIOS)，基本输入输出系统通过I/O接口实现基本的输入输出操作。

图1是本申请实施例提供的一种计算机的结构示意图。该计算机可以为：任何类型的服务器、桌上型计算机和膝上型计算机。如图1所示，计算机包括：硬件平台11、基于硬件平台11运行的计算组件12和可信功能组件13，硬件平台11、计算组件12和可信功能组件13之间建立有通信连接。

硬件平台11包括计算机运行所需的各种硬件。例如，如图2所示，硬件平台11包括：处理器111、存储器112、通信接口113、总线114和密码模块115等。

其中，处理器可以是通用处理器，例如，中央处理器(central processing unit，CPU)。

存储器可以包括多种类型的存储器。例如，存储器可以包括只读存储器(read only memory，ROM)，存储器也可以包括易失性存储器(volatile memory)，如随机存取存储器(random-access memory，RAM)。存储器也可以包括非易失性存储器(non-volatile memory)，如NAND闪存(flash)，快闪存储器(flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)。且存储器还可以包括上述种类的存储器的组合。

通信接口可以是以下器件的任一种或任一种组合：网络接口(如以太网接口)、无线网卡等具有网络接入功能的器件。总线可以分为地址总线、数据总线、控制总线等。

密码模块115可以为TCM或TPM等。在本申请实施例中，密码模块115可以是符合《GM/T 0013-2012可信计算可信密码模块符合性检测规范》标准要求的密码芯片或模块，提供SM3，国密算法服务，用以存储度量值非易失寄存器，以及通过串行外设(serial peripheral interface，SPI)接口的应用命令接口。

计算组件12用于为用户提供计算服务。计算组件12包括：基本输入输出系统(basic input output system，BIOS)、第一操作系统引导层、第一操作系统内核和业务应用程序。该业务应用程序用于接收用户提交的任务请求，并根据该任务请求执行该任务请求请求执行的计算任务，并向用户提供计算结果。

可信功能组件13是计算机第一个上电运行的组件，用于为计算组件12提供带外管理服务。该带外管理服务可以包括：对计算组件12的状态和行为进行控制，为计算组件12提供运维管理能力，对计算组件12进行可信度量、可信控制和安全运维。在一种可实现方式中，该可信功能组件13可以在计算组件12的启动阶段和运行阶段，对计算组件12进行可信度量和可信控制，以保证计算机的安全可信启动和运行。

如图3所示，该可信功能组件13包括：带外管理芯片131。该带外管理芯片131中运行有带外管理组件132。可选地，该带外管理芯片131可以为基板管理控制器，此时，该可信功能组件13又称为BMC可信功能组件或BMC带外管理系统。

图3是本申请实施例提供的一种计算机系统的示意图。如图3所示，计算机系统包括：计算组件12和可信功能组件13，可信功能组件13包括：带外管理芯片131。该带外管理芯片131上运行有带外管理组件132，带外管理组件132包括：安全固件1321。

带外管理芯片131用于通过运行安全固件1321，在带外管理芯片131中构建可信根，基于可信根对计算组件12进行可信度量，基于可信度量结果对计算组件12进行可信控制(也称控制)。其中，通过运行安全固件1321构建可信根的过程可以包括：通过运行安全固件1321驱动密码模块115，通过密码模块115在带外管理芯片131中构建可信根。其中，可信度量与可信控制之间还存在证书校验、签名认证、完整性度量和启动控制的关系。

计算组件12用于基于带外管理芯片131的可信控制，执行可信控制指示的操作。

由上可知，通过在带外管理芯片131中构建可信根，由于带外管理芯片131具有硬件更安全的特点，能够保证构建的可信根的安全性，进而保证使用该可信根对计算组件12进行可信度量和可信控制的安全性。

在本申请实施例中，可信度量包括：在待度量对象运行期间执行的可信度量和在待度量对象启动阶段执行的可信度量。当在待度量对象的运行期间执行可信度量时，可信控制用于指示待度量对象是否继续运行。在待度量对象的运行期间对待度量对象进行可信度量和可信控制，能够有效保证待度量对象在运行期间的安全性。当在待度量对象的启动阶段执行可信度量时，可信控制用于指示待度量对象是否启动，在待度量对象的启动阶段对待度量对象进行可信度量和可信控制，能够有效保证待度量对象在启动阶段的安全性。

由上可知，运行安全固件1321构建可信根，是通过运行安全固件1321中的CRTM实现构建可信根的功能。由于可信根是整个可信计算平台的信任源点，在带外管理子系统上电后，该CRTM能够自动加载至可执行内存区域中执行，且该CRTM为带外管理子系统上电启动后被执行的第一段代码。

可选地，该带外管理芯片131具有安全核。此时，构建可信根的操作可以通过该安全核实现。也即是，安全核具体用于通过运行安全固件1321，在安全核中构建可信根。相应的，CRTM可以在带外管理芯片131的安全域内存中运行。此时，该安全固件1321又称为安全核固件。

由于安全核实现了物理隔离，该物理隔离能够保证安全核内的安全性。因此，通过该安全核实现构建可信根的构建过程，能够进一步保证构建的可信根的安全性。

在一种可实现方式中，CRTM存储在带外管理芯片131的只读存储器(read only memory，ROM)中。例如，CRTM在出厂前预置在只读存储器中。

由于CRTM存储在只读存储器中，只读存储器只能被带外管理芯片131的安全核访问，且只能对只读存储器执行读操作不能执行写操作，当想要对该只读存储器中存储的可执行代码进行恶意篡改时，由于该只读存储器不支持再次写入，能够防止对该只读存储器中存储的可执行代码的恶意篡改，能够保证该只读存储器中存储的CRTM的安全性，能够进一步保证根据CRTM构建的可信根的安全性。

可选地，在本申请实施例提供的可信功能组件13中，对计算组件12进行可信度量和可信控制的过程，可以由安全固件1321执行。

并且，如图4所示，安全固件1321包括：安全固件启动层1321a、安全固件引导层1321b和安全固件功能层1321c。其中，安全固件启动层1321a为包括可执行代码的集合，该集合包括CRTM。当由安全核运行安全固件启动层1321a时，安全固件启动层1321a又称为安全核固件启动层。且当安全固件启动层1321a保存在只读存储器中时，该安全固件启动层1321a又称为安全核ROM代码段。当由安全核运行安全固件引导层1321b时，安全固件引导层1321b又称为安全核固件引导层。当由安全核运行安全固件功能层1321c时，安全固件功能层1321c又称为安全核固件功能层。

安全固件引导层1321b是引导加载程序，用于引导安全固件功能层1321c启动。该安全固件引导层1321b的镜像文件存储在带外管理芯片131外的非易失闪存器件中。可选地，该非易失闪存器件同时还具备对该非易失闪存器件的数据访问权限进行识别和控制的功能、对该非易失闪存器件中存储的内容进行内容加密和提供写保护的功能，以提高对该非易失闪存器件中存储内容的硬件安全防护能力，此时，该非易失闪存器件也称为具备硬件防护功能的存储器件。

安全固件功能层1321c用于实现安全固件1321对其他组件执行的操作。安全固件功能层1321c的镜像文件存储于带外管理芯片131外的非易失闪存器件中，如存储在具备硬件防护功能的存储器件中。该其他组件包括除安全固件1321外的软件、固件和硬件。

例如，该其他组件可以为计算组件12。因此，对计算组件12进行可信度量和可信控制的过程，可以由安全固件功能层1321c执行。并且，其他组件可以包括带外管理子系统需要连接的设备，此时，该安全固件功能层1321c的功能可以包括：实现嵌入式多媒体卡(embedded multi media card，eMMC)接口驱动、SPI接口驱动、SPI型闪存控制器(serial peripheral interface flash controller，SFC)接口驱动、CPU总线(又称local bus)接口驱动、千兆网媒体访问控制(gigabit media access control，GMAC)接口驱动、双倍速率(double data rate，DDR)内存接口驱动、及外围组件互连快速(peripheral component interconnect express，PCIe)总线接口驱动等。其中，以上接口驱动对应的接口均是可信功能组件13需要使用的接口。

eMMC接口是多媒体卡(MMC)协会订立的标准闪存管理接口。在本申请实施例中，eMMC接口用于对接封装在非易失闪存器件中的eMMC控制器接口，eMMC接口驱动用以驱动和挂载具备硬件防护功能的存储器件。SPI接口是一种串行全双工同步通信总线接口，本申请实施例中主要用于对BIOS 121的存储器件中内容进行读取。SPI型闪存控制器是基于SPI接口按照SPI型闪存接口逻辑协议进行高度客制化的串行接口，主要用以对接SPI型闪存控制器外设。在本申请实施例中，SPI型闪存控制器用作集成密码模块115的基础接口。local bus是一种传统的数据地址复用总线形式，在本申请实施例中，local bus使用60X总线16位宽模式，其主要作为带外管理芯片131与计算机的复杂可编程逻辑器件(complex programmable logic device，CPLD)之间的控制接口，CPLD用作计算机主板电源和电路的逻辑控制器。PCIe接口是由外围部件互连专业组(peripheral component interconnect special interest group，PCI-SIG)认证的高速串行计算机扩展总线标准接口，用于高速串行点对点双通道高带宽传输，由该PCIe接口连接的设备独享通道带宽，不共享总线带宽。在本申请实施例中，使用的是PCIe x1物理接口(一种PCIe接口)，用于建立可信功能组件13与计算组件12之间的安全可信交互通道。GMAC接口主要用于将带外管理芯片131与网络接口控制器设备连接。DDR接口是双倍速率同步动态随机存储器，DDR内存接口驱动用以对共享内存进行应用隔离和安全防护。

如图6所示，硬件平台11可以包括NAND闪存、BIOS、动态随机存取存储器(dynamic random access memory，DRAM)、CPLD和密码模块115。NAND闪存可以通过eMMC接口与带外管理芯片连接，BIOS可以通过SPI接口与带外管理芯片连接，DRAM可以通过DDR内存接口与带外管理芯片连接，CPLD可以通过local bus与带外管理芯片连接，密码模块115可以通过SFC接口与带外管理芯片131连接。

此时，安全固件1321对计算组件12进行可信度量和可信控制的过程，可以由安全固件功能层1321c执行。也即是，安全固件功能层1321c具体用于对计算组件12进行可信度量，基于对计算组件12的可信度量结果，对计算组件12进行可信控制。

其中，计算组件12中包括多个待度量对象。例如，如图5所示，计算组件12中的待度量对象包括：BIOS 121的镜像文件、第一操作系统内核122的镜像文件、第一操作系统引导层123的镜像文件和业务应用程序124的镜像文件。可选地，该计算组件12的待度量对象还包括：复杂可编程逻辑器件(complex programmable logic device，CPLD)125的配置文件。其中，复杂可编程逻辑器件125的配置文件用于配置复杂可编程逻辑器件125的逻辑功能。通过对复杂可编程逻辑器件125进行可信度量，能够保证该复杂可编程逻辑器件125的启动和运行的安全性。

在一种可实现方式中，如图5所示，当该计算组件12中包括多个待度量对象时，安全固件功能层1321c用于对该多个待度量对象中的至少一个待度量对象进行可信度量和可信控制。其中，图5为安全固件功能层1321c对CPLD125、BIOS 121、第一操作系统内核122、第一操作系统引导层123和业务应用程序124进行可信度量和可信控制的示意图。

此时，通过使用安全固件功能层1321c对计算组件12中的至少一个待度量对象进行可信度量和可信控制，相较于相关技术中对计算组件中待度量对象的可信度量和可信控制过程，能够将度量主体尽量集中在安全固件功能层1321c上，使得待度量对象能够尽量靠近可信根，能够解决因计算组件12中的度量主体也是待度量对象，导致度量主体和待度量对象身份混淆及可信域与非可信域边界模糊的问题，能够进一步保证计算组件12的安全性。

并且，通过安全固件功能层1321c对计算组件12中的至少两个待度量对象进行可信度量，能够使对该至少两个待度量对象的可信度量和可信控制过程不会互相依赖，将相关技术中链式传递的信任链改成了以安全固件功能层1321c为中心的集中式可信拓扑结构，能够避免出现计算组件12中某一个待度量对象被攻击或篡改，导致整个信任链断裂的情况。

在相关技术中，对计算组件中待度量对象进行可信度量的过程为：以可信根度量BIOS的镜像文件，然后由BIOS对第一操作系统引导层的镜像文件进行度量，再由第一操作系统引导层对第一操作系统内核的镜像文件进行可信度量。因此，相关技术中的信任链是从可信根依次传递到BIOS、第一操作系统引导层和第一操作系统内核的链式的信任链。

由于可信功能组件13用于对计算组件12的状态和行为进行控制，对计算组件12进行可信度量、可信控制和安全运维，则可信功能组件13的安全可信属性成为了一个可信计算平台的安全基础，保障在可信功能组件13中部署和执行的软件和固件的安全，是构建一个可信计算平台安全可信属性需首要解决的问题。因此，为进一步提高计算机的安全性，也可以对可信功能组件13本身进行可信度量和可信控制，其实现方式包括：

安全固件启动层1321a还用于基于可信根对安全固件引导层1321b进行可信度量，基于对安全固件引导层1321b的度量结果，对安全固件引导层1321b进行可信控制。其中，当对安全固件引导层1321b的可信度量通过时，对安全固件引导层1321b的可信控制包括：允许带外管理芯片131加载和执行安全固件引导层1321b，当对安全固件引导层1321b的可信度量不通过时，对安全固件引导层1321b的可信控制包括：不允许带外管理芯片131加载和执行安全固件引导层1321b。

安全固件引导层1321b用于基于可信根对安全固件功能层1321c进行可信度量，基于对安全固件功能层1321c的度量结果，对安全固件功能层1321c进行可信控制。其中，当对安全固件功能层1321c的可信度量通过时，对安全固件功能层1321c的可信控制包括：允许带外管理芯片131加载和执行安全固件功能层1321c，当对安全固件功能层1321c的可信度量不通过时，对安全固件功能层1321c的可信控制包括：不允许带外管理芯片131加载和执行安全固件功能层1321c。

安全固件功能层1321c用于对其他待度量对象进行可信度量，基于对其他待度量对象的可信度量结果，对其他待度量对象进行可信控制。其他待度量对象包括计算机系统中除安全固件1321外的待度量对象。例如，其他待度量对象可以为计算组件12中的待度量对象，或者，其他待度量对象可以为运行在带外管理芯片131上的第二操作系统引导层1322等。其中，当对其他待度量对象的可信度量通过时，对其他待度量对象的可信控制包括：允许启动或运行该其他待度量对象，当对其他待度量对象的可信度量不通过时，对其他待度量对象的可信控制包括：不允许启动或运行该其他待度量对象。

在一种可实现方式中，安全固件启动层1321a、安全固件引导层1321b和安全固件功能层1321c中可以部署有多个功能模块，安全固件启动层1321a、安全固件引导层1321b和安全固件功能层1321c的上述功能可以通过对应的功能模块实现。下面对其一种可能的实现方式进行说明：

如图6所示，安全固件启动层1321a包括：可信根构建模块1a1和第一度量模块1a2。可信根构建模块1a1用于构建可信根。该第一度量模块1a2用于对安全固件引导层1321b进行可信度量和可信控制。

如图6所示，安全固件引导层1321b包括：第一引导模块1b1和第二度量模块1b2。第一引导模块1b1用于引导安全固件功能层1321c启动。第二度量模块1b2用于对安全固件功能层1321c进行可信度量和可信控制。

如图6所示，安全固件功能层1321c包括：可信模块服务中间件1c1和第三度量模块1c2。密码模块服务中间件1c1用于提供使用密码模块115的应用程序接口，即该可信模块服务中间件1c1用于将密码模块115的功能转化为驱动，并将转化后的驱动以应用程序接口的形式向安全固件功能层1321c的各个模块提供。第三度量模块1c2用于对其他待度量对象进行可信度量和可信控制。

在一种可实现方式中，安全固件功能层1321c能够对多个待度量对象进行可信度量和可信控制，为保证安全固件功能层1321c对不同待度量对象的可信度量和可信控制的实现效果，第三度量模块1c2的功能可以通过多个子功能模块实现。

示例的，对应于安全固件功能层1321c用于对计算组件12进行可信度量和可信控制的功能，且计算组件12中的待度量对象包括CPLD的配置文件、BIOS 121的镜像文件、第一操作系统内核122的镜像文件、第一操作系统引导层123的镜像文件和业务应用程序124的镜像文件时，如图6所示，第三度量模块1c2可以包括：CPLD度量模块1c21、CPLD控制功能模块1c22、BIOS度量模块1c23、核心可信度量与裁决模块1c24和平台可信控制模块1c25。其中，CPLD度量模块1c21用于对CPLD进行可信度量。CPLD控制功能模块1c22用于对CPLD进行可信控制。BIOS度量模块1c23用于对BIOS 121进行可信度量。核心可信度量与裁决模块1c24用于对第一操作系统内核122、第一操作系统引导层123和业务应用程序124进行可信度量。并且，该核心可信度量与裁决模块1c24还用于负责该安全固件功能层1321c中的公共事务。例如，该核心可信度量与裁决模块1c24还用于接收CPLD度量模块1c21、CPLD控制功能模块1c22和BIOS度量模块1c23等发送的各自的待度量对象，并将该待度量对象发送至密码模块115，以及，接收密码模块115基于接收到的待度量对象返回的度量值，根据度量值进行校验，根据校验结果生成控制命令，并向平台可信控制模块1c25发送该控制命令。平台可信控制模块1c25用于根据控制命令，对对应的经过度量的待度量对象进行可信控制。其中，度量值用于反映待度量对象的可信程度。待度量对象可以包括镜像文件(如二进制文件)和/或配置文件。例如，CPLD的待度量对象为CPLD的配置文件。第一操作系统内核122的待度量对象为第一操作系统内核122的二进制文件。

并且，如图4所示，带外管理组件132还包括：第二操作系统引导层1322、第二操作系统内核层1323和可信应用程序层1324。下面对第二操作系统引导层1322、第二操作系统内核层1323和可信应用程序层1324分别进行介绍：

第二操作系统引导层1322除了具有引导第二操作系统内核层1323启动的功能，第二操作系统引导层1322的功能还包括：在引导第二操作系统内核层1323启动之前，基于可信根对第二操作系统内核层1323进行可信度量，基于对第二操作系统内核层1323的度量结果，对第二操作系统内核层1323进行可信控制，以控制是否启动第二操作系统内核层1323。其中，当对第二操作系统内核层1323的可信度量通过时，对第二操作系统内核层1323的可信控制包括：允许带外管理芯片131加载和执行第二操作系统内核层1323，当对第二操作系统内核层1323的可信度量不通过时，对第二操作系统内核层1323的可信控制包括：不允许带外管理芯片131加载和执行第二操作系统内核层1323。第二操作系统内核层1323的镜像文件存储于带外管理芯片131外的非易失闪存器件中，如存储在具备硬件防护功能的存储器件中。

第二操作系统内核层1323除了用于实现操作系统内核的功能外，该第二操作系统内核1323a还用于基于可信根对可信应用程序层1324进行可信度量，基于对可信应用程序层1324的度量结果，对可信应用程序层1324进行可信控制。其中，可信应用程序层1324包括一个或多个可信应用程序。可信应用程序是在发行时经过发行方发行数字证书并备案管理的应用程序，该可信应用程序下载至带外管理芯片131后，由第二操作系统内核层1323对该可信应用程序进行可信度量。当对可信应用程序的可信度量通过时，对可信应用程序的可信控制包括：允许可信应用程序进入安装、升级或运行进程，当对可信应用程序的可信度量不通过时，对可信应用程序的可信控制包括：不允许可信应用程序进入安装、升级和运行进程。

可信应用程序层1324用于接收来自计算机系统外部的带外管理信号，基于带外管理信号提供运维服务和/或安全服务。如图7所示，可信应用程序层1324包括以下一个或多个可信应用程序：计算机平台智能管理系统软件集1324a、计算机平台状态和故障管理软件1324b、安全模块版本升级管理模块1324c和日志审计安全运维软件1324d。计算机平台智能管理系统软件集1324a是带外管理运维功能软件的统称。计算机平台状态和故障管理软件1324b是通过对计算机平台电源、温度等物理状态的感知信息，对计算机平台进行状态指示和故障处理的软件。安全模块版本升级管理模块1324c是对安全固件1321以及计算组件12中CPLD的配置文件，BIOS 121的二进制文件，第一操作系统引导层123的二进制文件等进行版本升级管理的应用软件。日志审计安全运维软件1324d的功能是对可信功能组件13运行过程中产生的日志文件进行审计，并根据日志信息指示执行对应的处理措施的软件。

需要说明的是，对应于带外管理组件132还包括第二操作系统引导层1322，安全固件1321还用于基于可信根对第二操作系统引导层1322进行可信度量，基于对第二操作系统引导层1322的度量结果，对第二操作系统引导层1322进行可信控制。其中，当对第二操作系统引导层1322的可信度量通过时，对第二操作系统引导层1322的可信控制包括：允许带外管理芯片131加载和执行第二操作系统引导层1322，当对第二操作系统引导层1322的可信度量不通过时，对第二操作系统引导层1322的可信控制包括：不允许带外管理芯片131加载和执行第二操作系统引导层1322。第二操作系统引导层1322的镜像文件存储于带外管理芯片131外的非易失闪存器件中，如存储在具备硬件防护功能的存储器件中。

并且，对应于安全固件功能层1321c中的第三度量模块1c2通过子功能模块实现的实现方式，如图6所示，该第三度量模块1c2还包括：第二操作系统引导层度量模块1c26和第二操作系统内核度量模块1c27。第二操作系统引导层度量模块1c26用于对第二操作系统引导层1322进行可信度量。第二操作系统内核度量模块1c27用于对第二操作系统内核进行可信度量。相应的，该核心可信度量与裁决模块1c24还用于接收第二操作系统引导层度量模块1c26和第二操作系统内核度量模块1c27发送的待度量对象，并将待度量对象发送至密码模块115，以及，接收密码模块115基于接收到的待度量对象返回的度量值，根据度量值进行校验，根据校验结果生成控制命令，并向平台可信控制模块1c25发送该控制命令。平台可信控制模块1c25还用于根据控制命令，对对应的待度量对象进行可信控制。

在一种可实现方式中，如图4所示，第二操作系统引导层1322包括：第二引导模块1322a和引导层可信组件1322b。第二引导模块1322a用于引导第二操作系统内核层1323启动。该第二引导模块1322a的功能可以通过标准开源Linux通用引导加载程序(universal boot loader，U-Boot)代码实现。如图7所示，引导层可信组件1322b包括：第四度量模块2b1。该第四度量模块2b1用于基于可信根对第二操作系统内核层1323进行可信度量，基于对第二操作系统内核层1323的度量结果，对第二操作系统内核层1323进行可信控制。

如图4所示，第二操作系统内核层1323包括：第二操作系统内核1323a和内核可信组件1323b。该第二操作系统内核1323a用于实现可信功能组件13中操作系统内核的功能。该第二操作系统内核1323a的功能可以通过标准开源Linux操作系统内核代码实现。如图7所示，该内核可信组件1323b包括：第五度量模块3b1，该第五度量模块3b1用于基于可信根对可信应用程序层1324进行可信度量，基于对可信应用程序层1324的度量结果，对可信应用程序层1324进行可信控制。

可选地，如图7所示，内核可信组件1323b还包括：可信软件基模块3b2。可信软件基模块3b2用于获取计算组件的第一操作系统内核、应用程序、可信功能组件13中的第二操作系统内核和可信应用程序中的至少一个度量对象的可信模型，并配合第五度量模块3b1基于该至少一个度量对象中任一待度量对象的可信模型对任一待度量对象进行可信度量。待度量对象的可信模型用于反映待度量对象的可信程度，可信模型包括的待度量对象的度量值和一个或多个其他参数。通过将可信软件基模块3b2部署在可信功能组件13中，能够进一步保证该第二操作系统的运行安全性，进一步保证根据该可信软件基模块3b2维护的计算机的安全性。

其他参数和度量值用于共同反映待度量对象的可信程度。其中，可信软件基模块3b2可以获取待度量对象，并根据该待度量对象进行建模，以得到该待度量对象的可信模型。在一种可实现方式中，度量值可以由密码模块115根据待度量对象，通过调用SM3国密算法服务得到。

通过该可信软件基模块3b2获取待度量对象的可信模型，并根据该可信模型对待度量对象进行可信度量，由于该可信模型包括度量值和一个或多个其他参数，能够从多个维度反映待度量对象的可信程度，提高了对待度量对象的可信程度进行描述的准确性，当根据该可信模型对待度量对象进行可信度量时，提高了待度量对象的安全性。

通过对可信功能组件13内部进行可信度量和可信控制，能够在该可信功能组件13内部中运行的可执行代码的加载阶段、启动阶段和运行阶段进行可信度量和可信控制，能够确保固件和软件代码在加载、启动和运行时的合法性和完整性，确保在带外管理芯片131上运行的固件和软件组件未被篡改或植入恶意代码，进一步保证了计算机的安全性。

如图7所示，内核可信组件1323b还包括以下一个或多个：可信度量策略管理模块3b3、可信控制策略管理模块3b4、可信基准库管理模块3b5和可信度量结果与日志管理模块3b6。下面分别对各个模块进行说明：

可信度量策略管理模块3b3用于管理可信度量过程中使用的度量策略，并向度量主体提供度量策略，度量主体用于对待度量对象进行可信度量。并且，对应于内核可信组件1323b包括可信软件基模块3b2，该可信度量策略管理模块3b3还用于提供与可信软件基模块3b2进行交互的交互接口。

其中，可信度量策略管理模块3b3对度量策略的管理包括：对度量策略进行加载使能、版本升级和故障回退。度量策略用于指示进行可信度量的待度量对象和使用的度量方法等信息。度量方法用于指示待度量对象的设置方式、可信度量的时机和可信度量所使用的密码算法等。待度量对象可以包括程序代码、数据和行为等。

可信控制策略管理模块3b4用于管理根据度量结果对待度量对象进行可信控制的控制策略，并向度量主体提供控制策略。并且，对应于内核可信组件1323b包括可信软件基模块3b2，该可信控制策略管理模块3b4还用于提供与可信软件基模块3b2进行交互的交互接口。

其中，可信控制策略管理模块3b4对控制策略的管理包括：对控制策略进行加载使能、版本升级和故障回退。控制策略用于指示可信控制的控制对象(即度量结果所属的待度量对象)和控制范围，通过可信控制使得控制对象达到的状态，控制对象根据可信控制进行响应的方式，以及根据控制对象的响应判断可信控制的执行效果。

可信基准库管理模3b5用于管理可信度量过程中用于与待度量对象的度量值进行比较的度量基准，并向度量主体提供度量基准。其中，可信基准库管理模块3b5对度量基准的管理包括：对度量基准进行登记、加载使能、版本升级和故障回退。并且，对应于内核可信组件1323b包括可信软件基模块3b2，该可信基准库管理模块3b5还用于提供与可信软件基模块3b2进行交互的交互接口。

可信度量结果与日志管理模块3b6用于记录可信度量结果和用于反映可信度量过程的信息。其中，用于反映可信度量过程的信息包括待度量对象。可信度量结果包括密码模块115根据待度量对象生成的度量值等信息和对度量值等信息进行校验的校验结果等日志内容。并且，该可信度量结果与日志管理模块3b6还用于向其他模块提供对度量结果进行管理和对日志进行审计的功能接口。

如图4所示，第二操作系统内核层1323还包括：可信中间件1323c。该可信中间件1323c用于为可信应用程序层1324提供服务。其中，可信中间件1323c的镜像文件存储于带外管理芯片131外的非易失闪存器件中，如存储在具备硬件防护功能的存储器件中。

对应于第二操作系统内核层1323还包括可信中间件1323c，在可信功能组件13中，可信中间件1323c部署在第二操作系统内核1323a和可信应用程序层1324之间，第二操作系统内核层1323包括的基于可信根对可信应用程序层1324进行可信度量的功能，通过可信中间件1323c基于可信根对可信应用程序层1324进行可信度量实现。并且，第二操作系统内核层1323还用于基于可信根对可信中间件1323c进行可信度量，基于对可信中间件1323c的度量结果，对可信中间件1323c进行可信控制。其中，当对可信中间件1323c的可信度量通过时，对可信中间件1323c的可信控制包括：允许带外管理芯片131加载和执行可信中间件1323c，当对可信中间件1323c的可信度量不通过时，对可信中间件1323c的可信控制包括：不允许带外管理芯片131加载和执行可信中间件1323c。

在一种可实现方式中，如图7所示，可信中间件1323c包括：可信度量服务模块3c1。此时，第二操作系统内核层1323基于可信根对可信应用程序层1324进行可信度量的过程，通过该可信度量服务模块3c1基于可信根对可信应用程序层1324进行可信度量实现。

进一步地，如图7所示，可信中间件1323c还包括以下一个或多个：远程安全管理代理模块3c2、远程可信证明代理模块3c3和可信密码服务中间件3c4。远程安全管理代理模块3c2用于基于与远程安全运维管理中心20的连接，为可信功能组件13提供远程安全管理服务。远程可信证明代理模块3c3用于基于与远程安全运维管理中心20的连接，为可信功能组件13提供远程可信证明服务。可信密码服务中间件3c4用于向计算组件12和可信功能组件13，提供用于使用密码模块的应用程序接口。

需要说的是，第二操作系统内核层1323还包括：实现eMMC接口驱动模块、PCIe总线接口驱动模块和DDR内存接口驱动模块。eMMC接口驱动模块、PCIe总线接口驱动模块和DDR内存接口驱动模块的实现方式和作用请相应参考前述内容，此处不再赘述。

对应于第二操作系统引导层1322还包括引导层可信组件1322b，第二操作系统内核层1323还包括内核可信组件1323b和可信中间件1323c，可信应用程序层1324中的安全模块版本升级管理模块1324c还用于对引导层可信组件1322b、内核可信组件1323b和可信中间件1323c进行版本升级管理。

在本申请实施例中，带外管理芯片131包括安全核，安全核能够访问带外管理芯片131上所有的安全域。在一种可实现方式中，安全固件1321由安全核运行。例如，安全固件启动层1321a、安全固件引导层1321b和安全固件功能层1321c均由安全核运行，以进一步保证安全固件启动层1321a、安全固件引导层1321b和安全固件功能层1321c的安全性。

通过安全核运行安全固件1321，能够利用安全核的物理隔离优势，使得性能域环境中运行的组件不具备向安全域越权的基础，实现对安全固件1321的隔离保护，保证了计算机具备更好的安全性。

进一步地，带外管理芯片131还包括性能核，安全核部署于安全域，性能核部署于性能域。该性能域与安全域之间设置有隔离措施，使得性能域无法直接访问安全域。性能核与安全核之间进行通信需要通过核间通信机制实现。其中，性能域包括性能核心和所有安全属性为性能域的硬件资源，性能域性能核心由安全域安全核启动和控制运行，可运行操作系统软件。

在一种可实现方式中，带外管理芯片131具有性能核，该性能核用于运行第二操作系统。例如，第二操作系统引导层1322、第二操作系统内核层1323和可信应用程序层1324可以由性能核运行。

由于密码模块115属于安全器件，性能核运行的组件无法直接使用密码模块115，性能核与密码模块115之间的交互需要通过安全核实现。在一种可实现方式中，安全核与性能核之间的核间通信机制可以通过交互接口实现。以上性能核运行的组件与安全核中运行的组件之间的交互可以通过该交互接口实现。此时，该安全固件功能层1321c的功能、第二操作系统引导层1322的功能、第二操作系统内核层1323的功能和可信中间件1323c的功能还包括：用于实现安全核与性能核之间通信的交互接口驱动。

可选地，如图4所示，本申请实施例提供的计算机系统还包括：远程安全运维管理中心20，计算机与远程安全运维管理中心20可以通过可信网络连接。远程安全运维管理中心20是对计算机的安全可信特性进行远程集中管理与智能运维的功能集。并且，当计算机还具有远程运维管理中心时，该远程安全运维管理中心20可以与计算机的远程运维管理中心采用隔离的方式部署，以满足隔离部署的要求。例如，远程安全运维管理中心20与计算机的远程运维管理中心可以部署运行于同一服务器系统的不同隔离域中，或者，可以分别部署在不同安全属性隔离域的独立服务器系统中，远程安全运维管理中心20与计算机的远程运维管理中心之间通过可信网络连接架构连接。

如图7所示，远程安全运维管理中心20可以包括以下一个或多个：远程可信证明中心201、可信策略与基准管理中心202和平台安全管理与审计中心203。远程可信证明中心201用于为计算机提供可信挑战和远程可信证明服务。可信策略与基准管理中心202是计算机中可信度量策略、可信控制策略和可信基准库的集中管理端，能够实现对可信策略和可信基准库的远程下发、更新管理、版本审计和故障恢复等服务。平台安全管理与审计中心203用于为引导层可信组件提供远程连接接口、固件和软件升级管理和版本管理功能、平台秘钥管理功能、可信度量结果可视化界面功能和可信日志审计功能。

其中，可信中间件1323c中的远程安全管理代理模块3c2和远程可信证明代理模块3c3，用于与远程安全运维管理中心20配合。例如，可信应用程序可以是在发行时经过远程安全运维管理中心20发行数字证书并备案管理的软件，且可信应用程序可以经由远程安全运维管理中心20通过可信网络下发至远程安全管理代理模块3c2，由远程安全管理代理模块3c2对可信应用程序进行可信度量，并在可信度量通过时，允许进入安装和运行进程。当可信度量不通过时，不允许可信应用程序进入安装和运行进程，且可以将可信度量不通过的情况反馈至远程安全运维管理中心20，以提示管理员对可信固件和升级部署行为进行决策。并且，当还部署有远程安全运维管理中心20时，第二操作系统引导层1322还用于建立网络接口控制器驱动及中间件，以便于建立可信功能组件13与远程安全运维管理中心20之间的安全连接。

通过为计算机配置远程安全运维管理中心20，本申请实施例提供的计算机能够配合远程安全运维管理中心20提供丰富的安全运维管理能力和远程可信证明服务能力，从而在计算机系统的可信功能组件13中建立可信完善的度量主体和可信软件执行环境。

综上所述，在本申请实施例提供的计算机系统中，通过在带外管理芯片中构建可信根，由于带外管理芯片具有硬件更安全的特点，能够保证构建的可信根的安全性。并且，基于可信根对计算组件和可信功能组件进行可信度量和可信控制，能够保证可信度量和可信控制的安全性。同时，通过在运行期间和启动阶段对待度量对象进行可信度量和的可信控制，使得本申请实施例提供的可信防护能力能够覆盖计算组件和可信功能组件的运行期间和启动阶段。

另外，当本申请实施例中的带外管理芯片为BMC时，可以利用BMC具有的安全核的物理隔离优势，能够对计算机进行了完善稳妥的隔离保护，相对于相关技术具备更高的安全防护能力。

本申请实施例还提供了一种计算机系统的运行方法。该方法能够应用于本申请实施例提供的计算机系统。该计算机系统的实现方式请相应参考前述描述中的相关内容，此处不再赘述。该计算机系统的运行方法包括：计算机系统的带外管理芯片通过运行安全固件，在带外管理芯片中构建可信根，基于可信根对计算机系统的计算组件进行可信度量，基于可信度量结果对计算组件进行控制；计算组件基于带外管理芯片的控制，执行控制指示的操作。

图8是本申请实施例提供的一种计算机系统的运行方法的流程图。如图8所示，该方法包括：

步骤801、计算机系统的带外管理芯片通过运行安全固件，在带外管理芯片中构建可信根。

其中，安全核具体用于通过运行安全固件，在安全核中构建可信根。进一步地，安全固件包括：安全固件启动层，带外管理芯片可以通过运行安全固件启动层，在带外管理芯片中构建可信根。

步骤802、带外管理芯片根据可信根，对计算机系统的可信功能组件进行度量。

其中，安全固件包括：安全固件启动层、安全固件引导层和安全固件功能层，为进一步提高计算机的安全性，也可以对可信功能组件进行可信度量和控制，相应的，该步骤802的实现过程包括：安全固件启动层基于可信根对安全固件引导层进行可信度量，基于对安全固件引导层的度量结果，对安全固件引导层进行控制；安全固件引导层基于可信根对安全固件功能层进行可信度量，基于对安全固件功能层的度量结果，对安全固件功能层进行控制；安全固件功能层对其他待度量对象进行可信度量，基于对其他待度量对象的可信度量结果，对其他待度量对象进行控制，其他待度量对象包括计算机系统中除安全固件外的待度量对象。

并且，带外管理芯片还具有性能核，该性能核用于运行第二操作系统。例如，带外管理芯片运行计算机系统的第二操作系统引导层、第二操作系统内核层和可信应用程序层。此时，该步骤802还包括：安全固件基于可信根对第二操作系统引导层进行可信度量，基于对第二操作系统引导层的度量结果，对第二操作系统引导层进行控制；第二操作系统引导层基于可信根对第二操作系统内核层进行可信度量，基于对第二操作系统内核层的度量结果，对第二操作系统内核层进行控制；第二操作系统内核层基于可信根对可信应用程序层进行可信度量，基于对可信应用程序层的度量结果，对可信应用程序层进行控制。其中，可信应用程序层用于接收来自计算机系统外部的带外管理信号，基于带外管理信号提供运维服务和/或安全服务。

可选地，第二操作系统内核层包括：可信软件基模块。此时，该步骤802的实现过程还包括：可信软件基模块获取计算组件的第一操作系统内核、应用程序、可信功能组件中的第二操作系统内核和可信应用软件中至少一个待度量对象的可信模型，并基于任一待度量对象的可信模型对任一待度量对象进行可信度量。其中，待度量对象的可信模型用于反映待度量对象的可信程度，可信模型包括待度量对象的度量值和其他参数。

进一步地，第二操作系统内核层还包括：可信中间件。可信中间件包括：可信度量服务模块；相应的，第二操作系统内核层基于可信根对可信应用程序层进行可信度量的功能，通过可信度量服务模块基于可信根对可信应用程序层进行可信度量实现，并且，该步骤802的实现过程还包括：第二操作系统内核层基于可信根对可信中间件进行可信度量，基于对可信中间件的度量结果，对可信中间件进行控制。

可选地，可信中间件还包括以下一个或多个：远程安全管理代理模块、远程可信证明代理模块和可信密码服务中间件；相应的，该步骤802的实现过程还还包括以下一个或多个操作：远程安全管理代理模块基于与远程安全运维管理中心的连接，为可信功能组件提供远程安全管理服务；远程可信证明代理模块基于与远程安全运维管理中心的连接，为可信功能组件提供远程可信证明服务；可信密码服务中间件向计算组件和可信功能组件，提供用于使用密码模块的应用程序接口。

步骤803、带外管理芯片基于可信根对计算机系统的计算组件进行可信度量，基于可信度量结果对计算组件进行控制。

在一种可实现方式中，安全固件具体用于对计算组件进行可信度量，基于对计算组件的可信度量结果，对计算组件进行控制。并且，安全固件可以对计算组件中的至少两个待度量对象进行可信度量，基于对至少两个待度量对象中的任一个待度量对象的可信度量结果，对任一个待度量对象进行控制。其中，计算组件中的待度量对象包括：基本输入/输出装置的镜像文件、第一操作系统内核的镜像文件、第一操作系统引导层的镜像文件和业务应用程序的镜像文件。可选地，计算组件的待度量对象还包括：复杂可编程逻辑器件的配置文件。

步骤804、计算组件基于带外管理芯片的控制，执行控制指示的操作。

综上所述，在本申请实施例提供的计算机系统的运行方法中，通过在带外管理芯片中构建可信根，由于带外管理芯片具有硬件更安全的特点，能够保证构建的可信根的安全性。并且，基于可信根对计算组件和可信功能组件进行可信度量和可信控制，能够保证可信度量和可信控制的安全性。同时，通过在运行期间和启动阶段对待度量对象进行可信度量和的可信控制，使得本申请实施例提供的可信防护能力能够覆盖计算组件和可信功能组件的运行期间和启动阶段。

本申请实施例还提供了一种计算机系统的可信功能组件的运行方法。该可信功能组件包括BMC芯片。该方法包括：BMC芯片通过运行计算机的安全固件功能层，在BMC芯片中构建可信根，对计算机系统的计算组件中的至少一个待度量对象进行可信度量，基于对至少一个待度量对象中的任一个待度量对象的可信度量结果，对任一个待度量对象进行控制。

在该计算机系统的可信功能组件的运行方法中，通过在BMC芯片中构建可信根，由于BMC芯片具有硬件更安全的特点，能够保证构建的可信根的安全性。并且，基于可信根对计算组件和可信功能组件进行可信度量和控制，能够保证可信度量和控制的安全性。

同时，通过使用安全固件功能层对计算组件中的至少一个待度量对象进行可信度量和可信控制，相较于相关技术中对计算组件中待度量对象的可信度量和可信控制过程，能够将度量主体尽量集中在安全固件功能层上，使得待度量对象能够尽量靠近可信根，能够解决因计算组件中的度量主体也是待度量对象，导致度量主体和待度量对象身份混淆及可信域与非可信域边界模糊的问题，能够进一步保证计算组件的安全性。

本申请实施例还提供了一种计算机系统的可信功能组件的运行方法。该可信功能组件包括BMC芯片，BMC芯片包括安全核和性能核。该方法包括：安全核通过运行安全固件启动层，在BMC芯片中构建可信根，对计算机系统的可信功能组件和计算组件进行可信度量，基于对待度量对象的可信度量结果，对待度量对象进行控制。

在一种可实现方式中，BMC芯片进行可信度量的过程包括以下过程：

安全固件启动层基于在BMC芯片中构建的可信根，对安全固件引导层进行可信度量，基于对安全固件引导层的度量结果，对安全固件引导层进行控制；

安全固件引导层基于可信根对安全固件功能层进行可信度量，基于对安全固件功能层的度量结果，对安全固件功能层进行控制；

安全固件功能层对第二操作系统引导层进行可信度量，基于对第二操作系统引导层的可信度量结果，对第二操作系统引导层进行控制；

第二操作系统引导层基于可信根对第二操作系统内核层进行可信度量，基于对第二操作系统内核层的度量结果，对第二操作系统内核层进行控制；

第二操作系统内核层基于可信根对可信应用程序层进行可信度量，基于对可信应用程序层的度量结果，对可信应用程序层进行控制；

其中，可信应用程序层接收来自计算机系统外部的带外管理信号，基于带外管理信号提供运维服务和/或安全服务。

在该计算机系统的运行方法中，通过在BMC芯片中构建可信根，由于BMC芯片具有硬件更安全的特点，能够保证构建的可信根的安全性。并且，基于可信根对计算组件和可信功能组件进行可信度量和控制，能够保证可信度量和控制的安全性。

同时，通过利用BMC具有的安全核的物理隔离优势，能够对计算机进行了完善稳妥的隔离保护，相对于相关技术具备更高的安全防护能力。

另外，通过使用安全固件功能层对计算组件中的至少一个待度量对象进行可信度量和可信控制，相较于相关技术中对计算组件中待度量对象的可信度量和可信控制过程，能够将度量主体尽量集中在安全固件功能层上，使得待度量对象能够尽量靠近可信根，能够解决因计算组件中的度量主体也是待度量对象，导致度量主体和待度量对象身份混淆及可信域与非可信域边界模糊的问题，能够进一步保证计算组件的安全性。

本申请还提供了一种计算机系统的运行方法。该方法包括：计算机系统的远程安全运维管理中心对本申请实施例提供的可信功能组件，提供远程集中管理服务与运维服务。

在一种可实现方式中，远程安全运维管理中心提供远程集中管理服务与运维服务，包括以下一个或多个：

远程可信证明中心为计算机提供可信挑战和远程可信证明服务；

可信策略与基准管理中心对计算机中的可信度量策略、可信控制策略和可信基准库进行管理；

以及，平台安全管理与审计中心为计算机中的引导层可信组件提供远程连接接口、提供可信度量结果可视化界面功能和可信日志审计功能。

通过远程安全运维管理中心提供远程集中管理服务与运维服务，使得本申请实施例提供的计算机能够配合远程安全运维管理中心提供丰富的安全运维管理能力和远程可信证明服务能力，从而在计算机系统的可信功能组件中建立可信完善的度量主体和可信软件执行环境。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的方法的实现过程，可以相应参考前述内容中的对应内容，在此不再赘述。

本申请实施例提供了一种计算机。该计算机包括硬件平台，该硬件平台包括：处理器、存储器、通信接口、总线和密码模块等。该处理器，通信接口、存储器和密码模块之间通过总线相互连接。存储器中存储有计算机程序。处理器执行计算机程序时，计算机设备实现本申请实施例提供的方法。该计算机的实现方式和结构请参考本申请实施例前述内容中的相应内容。

本申请还提供了一种计算机可读存储介质，该计算机可读存储介质可以为非瞬态的可读存储介质，当计算机可读存储介质中的指令被计算机执行时，该计算机用于执行本申请提供的方法。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如SSD)。

本申请还提供了一种计算机程序产品，该计算机程序产品包括计算机指令，在被计算机设备执行时，该计算机设备执行本申请实施例提供的方法。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

在本申请实施例中，术语“第一”、“第二”和“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。术语“至少一个”是指一个或多个，术语“多个”指两个或两个以上，除非另有明确的限定。

本申请中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

以上仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的构思和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

一种计算机系统，其特征在于，所述计算机系统包括：计算组件和可信功能组件，所述可信功能组件包括带外管理芯片；

所述带外管理芯片用于通过运行安全固件，在所述带外管理芯片中构建可信根，基于所述可信根对所述计算组件进行可信度量，基于可信度量结果对所述计算组件进行控制；

所述计算组件用于基于所述带外管理芯片的控制，执行所述控制指示的操作。
根据权利要求1所述的计算机系统，其特征在于，所述带外管理芯片具有安全核；

所述安全核具体用于通过运行所述安全固件，在所述安全核中构建所述可信根。
根据权利要求1或2所述的计算机系统，其特征在于，用于构建所述可信根的可信度量根核心存储在所述带外管理芯片的只读存储器中。
根据权利要求1至3任一所述的计算机系统，其特征在于，所述安全固件具体用于对所述计算组件进行可信度量，基于对所述计算组件的可信度量结果，对所述计算组件进行控制。
根据权利要求4所述的计算机系统，其特征在于，所述安全固件具体用于对所述计算组件中的至少两个待度量对象进行可信度量，基于对所述至少两个待度量对象中的任一个待度量对象的可信度量结果，对所述任一个待度量对象进行控制；

其中，所述计算组件中的待度量对象包括：基本输入/输出装置的镜像文件、第一操作系统内核的镜像文件、第一操作系统引导层的镜像文件和业务应用程序的镜像文件。
根据权利要求5所述的计算机系统，其特征在于，所述计算组件的待度量对象还包括：复杂可编程逻辑器件的配置文件。
根据权利要求1至6任一所述的计算机系统，其特征在于，所述安全固件包括：安全固件启动层、安全固件引导层和安全固件功能层；

所述带外管理芯片具体用于运行所述安全固件启动层，在所述带外管理芯片中构建所述可信根，所述安全固件启动层还用于基于所述可信根对所述安全固件引导层进行可信度量，基于对所述安全固件引导层的度量结果，对所述安全固件引导层进行控制；

所述安全固件引导层用于基于所述可信根对所述安全固件功能层进行可信度量，基于对所述安全固件功能层的度量结果，对所述安全固件功能层进行控制；

所述安全固件功能层用于对其他待度量对象进行可信度量，基于对所述其他待度量对象的可信度量结果，对所述其他待度量对象进行控制，所述其他待度量对象包括所述计算机系统中除所述安全固件外的待度量对象。
根据权利要求7所述的计算机系统，其特征在于，所述带外管理芯片具有安全核，所述安全核具体用于运行所述安全固件启动层、所述安全固件引导层和安全固件功能层。
根据权利要求1至8任一所述的计算机系统，其特征在于，所述带外管理芯片具有性能核，所述性能核用于运行第二操作系统。
如权利要求9所述的计算机系统，其特征在于，所述性能核具体用于运行第二操作系统引导层、第二操作系统内核层和可信应用程序层；

所述安全固件还用于基于所述可信根对所述第二操作系统引导层进行可信度量，基于对所述第二操作系统引导层的度量结果，对所述第二操作系统引导层进行控制；

所述第二操作系统引导层用于基于所述可信根对所述第二操作系统内核层进行可信度量，基于对所述第二操作系统内核层的度量结果，对所述第二操作系统内核层进行控制；

所述第二操作系统内核层用于基于所述可信根对所述可信应用程序层进行可信度量，基于对所述可信应用程序层的度量结果，对所述可信应用程序层进行控制；

所述可信应用程序层用于接收来自所述计算机系统外部的带外管理信号，基于所述带外管理信号提供运维服务和/或安全服务。
根据权利要求10所述的计算机系统，其特征在于，所述第二操作系统内核层包括：可信软件基模块；

所述可信软件基模块用于获取所述计算组件的第一操作系统内核、应用程序、所述可信功能组件中的第二操作系统内核和可信应用软件中至少一个待度量对象的可信模型，并基于任一待度量对象的可信模型对所述任一待度量对象进行可信度量，所述待度量对象的可信模型用于反映所述待度量对象的可信程度，所述可信模型包括所述待度量对象的度量值和其他参数。
根据权利要求10或11所述的计算机系统，其特征在于，所述第二操作系统内核层还包括以下一个或多个：可信度量策略管理模块、可信控制策略管理模块、可信基准库管理模块和可信度量结果与日志管理模块；

所述可信度量策略管理模块用于管理可信度量过程中使用的度量策略，并向度量主体提供所述度量策略，所述度量主体用于对待度量对象进行可信度量；

所述可信控制策略管理模块用于管理根据度量结果对待度量对象进行控制的控制策略，并向度量主体提供所述控制策略；

所述可信基准库管理模块用于管理可信度量过程中用于与待度量对象的度量值进行比较的度量基准，并向度量主体提供所述度量基准；

所述可信度量结果与日志管理模块用于记录可信度量结果和用于反映可信度量过程的信息。
根据权利要求10至12任一所述的计算机系统，其特征在于，所述第二操作系统内核层还包括：可信中间件，所述可信中间件包括：可信度量服务模块；

所述第二操作系统内核层基于所述可信根对所述可信应用程序层进行可信度量的功能，通过所述可信度量服务模块基于所述可信根对所述可信应用程序层进行可信度量实现；

所述第二操作系统内核层还用于基于所述可信根对所述可信中间件进行可信度量，基于对所述可信中间件的度量结果，对所述可信中间件进行控制。
根据权利要求13所述的计算机系统，其特征在于，所述可信中间件还包括以下一个或多个：远程安全管理代理模块、远程可信证明代理模块和可信密码服务中间件；

所述远程安全管理代理模块用于基于与远程安全运维管理中心的连接，为所述可信功能组件提供远程安全管理服务；

所述远程可信证明代理模块用于基于与远程安全运维管理中心的连接，为所述可信功能组件提供远程可信证明服务；

所述可信密码服务中间件用于向所述计算组件和所述可信功能组件，提供用于使用密码模块的应用程序接口。
根据权利要求1至14任一所述的计算机系统，其特征在于，所述可信度量包括：在待度量对象运行期间执行的可信度量和在所述待度量对象启动阶段执行的可信度量；

当在所述待度量对象的运行期间执行可信度量时，所述控制用于指示所述待度量对象是否继续运行；

当在所述待度量对象的启动阶段执行可信度量时，所述控制用于指示所述待度量对象是否启动。
一种计算机系统的可信功能组件，其特征在于，所述可信功能组件包括基板管理控制器BMC芯片，所述BMC芯片的安全核中运行有安全固件功能层；

所述BMC芯片用于通过运行所述安全固件功能层，在所述BMC芯片中构建可信根，对所述计算机系统的计算组件中的至少一个待度量对象进行可信度量，基于对所述至少一个待度量对象中的任一个待度量对象的可信度量结果，对所述任一个待度量对象进行控制；

所述至少一个待度量对象包括以下一个或多个：复杂可编程逻辑器件的配置文件、基本输入/输出装置的镜像文件、第一操作系统内核的镜像文件、第一操作系统引导层的镜像文件和业务应用程序的镜像文件。
一种计算机系统的可信功能组件，其特征在于，所述可信功能组件包括基板管理控制器BMC芯片，所述BMC芯片包括安全核和性能核，

所述安全核用于通过运行安全固件启动层，在所述BMC芯片中构建可信根，对所述计算机系统的可信功能组件和所述计算机系统的计算组件进行可信度量，基于对待度量对象的可信度量结果，对所述待度量对象进行控制；

所述待度量对象包括以下一个或多个：安全固件引导层的镜像文件、安全固件功能层的镜像文件、第二操作系统引导层的镜像文件、第二操作系统内核层的镜像文件和可信应用程序层的镜像文件，以及所述计算组件中的复杂可编程逻辑器件的配置文件、基本输入/输出装置的镜像文件、第一操作系统内核的镜像文件、第一操作系统引导层的镜像文件和业务应用程序的镜像文件，所述安全固件引导层和所述安全固件功能层被配置为由所述安全核运行，所述第二操作系统引导层、所述第二操作系统内核层和所述可信应用程序层被配置为由所述性能核运行。
如权利要求17所述的可信功能组件，其特征在于，

所述安全固件启动层用于基于在所述BMC芯片中构建的可信根，对所述安全固件引导层进行可信度量，基于对所述安全固件引导层的度量结果，对所述安全固件引导层进行控制；

所述安全固件引导层用于基于所述可信根对所述安全固件功能层进行可信度量，基于对所述安全固件功能层的度量结果，对所述安全固件功能层进行控制；

所述安全固件功能层用于对所述第二操作系统引导层进行可信度量，基于对所述第二操作系统引导层的可信度量结果，对所述第二操作系统引导层进行控制；

所述第二操作系统引导层用于基于所述可信根对所述第二操作系统内核层进行可信度量，基于对所述第二操作系统内核层的度量结果，对所述第二操作系统内核层进行控制；

所述第二操作系统内核层用于基于所述可信根对所述可信应用程序层进行可信度量，基于对所述可信应用程序层的度量结果，对所述可信应用程序层进行控制；

所述可信应用程序层用于接收来自所述计算机系统外部的带外管理信号，基于所述带外管理信号提供运维服务和/或安全服务。
一种计算机系统，其特征在于，所述计算机系统包括：远程安全运维管理中心；

所述远程安全运维管理中心用于对权利要求1至18任一所述的可信功能组件，提供远程集中管理服务与运维服务。
根据权利要求19所述的计算机系统，其特征在于，所述远程安全运维管理中心包括以下一个或多个：远程可信证明中心、可信策略与基准管理中心和平台安全管理与审计中心；

所述远程可信证明中心用于为所述计算机提供可信挑战和远程可信证明服务；

所述可信策略与基准管理中心用于对所述计算机中的可信度量策略、可信控制策略和可信基准库进行管理；

所述平台安全管理与审计中心用于为所述计算机中的引导层可信组件提供远程连接接口、提供可信度量结果可视化界面功能和可信日志审计功能。
一种计算机系统的运行方法，其特征在于，所述方法包括：

所述计算机系统的带外管理芯片通过运行安全固件，在所述带外管理芯片中构建可信根，基于所述可信根对所述计算机系统的计算组件进行可信度量，基于可信度量结果对所述计算组件进行控制；

所述计算组件基于所述带外管理芯片的控制，执行所述控制指示的操作。
根据权利要求21所述的方法，其特征在于，所述方法还包括：

所述安全固件对所述计算组件中的至少两个待度量对象进行可信度量，基于对所述至少两个待度量对象中的任一个待度量对象的可信度量结果，对所述任一个待度量对象进行控制；

其中，所述计算组件中的待度量对象包括：基本输入/输出装置的镜像文件、第一操作系统内核的镜像文件、第一操作系统引导层的镜像文件和业务应用程序的镜像文件。
根据权利要求22所述的方法，其特征在于，所述计算组件的待度量对象还包括：复杂可编程逻辑器件的配置文件。
根据权利要求21至23任一所述的方法，其特征在于，所述安全固件包括：安全固件启动层、安全固件引导层和安全固件功能层，所述方法还包括：

所述带外管理芯片运行所述安全固件启动层，在所述带外管理芯片中构建所述可信根，所述安全固件启动层基于所述可信根对所述安全固件引导层进行可信度量，基于对所述安全固件引导层的度量结果，对所述安全固件引导层进行控制；

所述安全固件引导层基于所述可信根对所述安全固件功能层进行可信度量，基于对所述安全固件功能层的度量结果，对所述安全固件功能层进行控制；

所述安全固件功能层对其他待度量对象进行可信度量，基于对所述其他待度量对象的可信度量结果，对所述其他待度量对象进行控制，所述其他待度量对象包括所述计算机系统中除所述安全固件外的待度量对象。
根据权利要求21至24任一所述的方法，其特征在于，所述方法还包括：

所述带外管理芯片运行所述计算机系统的第二操作系统引导层、第二操作系统内核层和可信应用程序层；

所述安全固件基于所述可信根对所述第二操作系统引导层进行可信度量，基于对所述第二操作系统引导层的度量结果，对所述第二操作系统引导层进行控制；

所述第二操作系统引导层基于所述可信根对所述第二操作系统内核层进行可信度量，基于对所述第二操作系统内核层的度量结果，对所述第二操作系统内核层进行控制；

所述第二操作系统内核层基于所述可信根对所述可信应用程序层进行可信度量，基于对所述可信应用程序层的度量结果，对所述可信应用程序层进行控制；

所述可信应用程序层接收来自所述计算机系统外部的带外管理信号，基于所述带外管理信号提供运维服务和/或安全服务。
一种计算机系统的可信功能组件的运行方法，其特征在于，所述可信功能组件包括基板管理控制器BMC芯片，所述方法包括：

所述BMC芯片通过运行所述计算机的安全固件功能层，在所述BMC芯片中构建可信根，对所述计算机系统的计算组件中的至少一个待度量对象进行可信度量，基于对所述至少一个待度量对象中的任一个待度量对象的可信度量结果，对所述任一个待度量对象进行控制；

所述至少一个待度量对象包括以下一个或多个：复杂可编程逻辑器件的配置文件、基本输入/输出装置的镜像文件、第一操作系统内核的镜像文件、第一操作系统引导层的镜像文件和业务应用程序的镜像文件。
一种计算机系统的可信功能组件的运行方法，其特征在于，所述可信功能组件包括基板管理控制器BMC芯片，所述BMC芯片包括安全核和性能核，所述方法包括：

所述安全核通过运行安全固件启动层，在所述BMC芯片中构建可信根，对所述性能核和所述计算机系统的计算组件进行可信度量，基于对待度量对象的可信度量结果，对所述待度量对象进行控制；

所述待度量对象包括以下一个或多个：安全固件引导层的镜像文件、安全固件功能层的镜像文件、第二操作系统引导层的镜像文件、第二操作系统内核层的镜像文件和可信应用程序层的镜像文件，以及所述计算组件中的复杂可编程逻辑器件的配置文件、基本输入/输出装置的镜像文件、第一操作系统内核的镜像文件、第一操作系统引导层的镜像文件和业务应用程序的镜像文件，所述安全固件引导层和所述安全固件功能层被配置为由所述安全核运行，所述第二操作系统引导层、所述第二操作系统内核层和所述可信应用程序层被配置为由所述性能核运行。
一种计算机系统的运行方法，其特征在于，所述方法包括：

所述计算机系统的远程安全运维管理中心对权利要求1至18任一所述的可信功能组件，提供远程集中管理服务与运维服务。