WO2024060756A1

WO2024060756A1 - 计算机设备及其运行方法、安全芯片

Info

Publication number: WO2024060756A1
Application number: PCT/CN2023/103448
Authority: WO
Inventors: 张瑞; 胡科开
Original assignee: 华为技术有限公司
Priority date: 2022-09-19
Filing date: 2023-06-28
Publication date: 2024-03-28
Also published as: CN117763553A

Abstract

本申请公开了一种计算机设备及其运行方法、安全芯片，属于机密计算技术领域。该计算机设备包括：处理芯片和安全芯片；安全芯片用于运行可信根，并基于可信根启动处理芯片和对处理芯片进行可信控制；处理芯片包括可信执行环境，可信执行环境基于可信根构建，可信执行环境用于执行机密计算。本申请使得安全芯片中的可信根的可信程度不再受制于处理芯片厂商的可信程度，摆脱了可信执行环境的构建限制于处理芯片厂商的现状，进而提高了机密计算的可信程度。

Description

计算机设备及其运行方法、安全芯片

本申请要求于2022年09月19日提交的申请号为202211139911.3、发明名称为“计算机设备及其运行方法、安全芯片”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及机密计算技术领域，特别涉及一种计算机设备及其运行方法、安全芯片。

背景技术

随着计算机技术的快速发展，数据的安全性受到了越来越多的重视。当前对数据的安全性的保护策略通常作用于静态存储的数据或处于网络传输状态的数据。但是，当数据正在被使用时，数据的安全性仍然存在风险。因此，对正在被使用的数据进行保护是亟待解决的问题。

目前，可以采用机密计算(confidential computing)技术对正在被使用的数据进行保护。在国际机密计算联盟(confidential computing consortium，CCC)中，机密计算的定义为：机密计算是通过在基于硬件的可信执行环境中执行计算来保护使用中的数据的一种技术。由于计算过程在可信执行环境(trusted execution environment，TEE)中进行，因此计算过程中涉及的数据能够被保护。机密计算能够保护使用中的数据的安全性，其关键点在于依赖可信执行环境的信任链，而该信任链需要依赖执行计算的处理芯片中的可信根构建。

但是，可信根的可信程度受制于处理芯片厂商的可信程度，导致机密计算的可信程度也会受到处理芯片厂商的可信程度的影响。

发明内容

本申请提供了一种计算机设备及其运行方法、安全芯片。本申请使得安全芯片中的可信根的可信程度不再受制于处理芯片厂商的可信程度，摆脱了可信执行环境的构建限制于处理芯片厂商的现状，进而提高了机密计算的可信程度。本申请提供的技术方案如下：

第一方面，本申请提供了一种计算机设备。计算机设备包括：处理芯片和安全芯片；安全芯片用于运行可信根，并基于可信根启动处理芯片和对处理芯片进行可信控制；处理芯片包括可信执行环境，可信执行环境基于可信根构建，可信执行环境用于执行机密计算。

在本申请提供的计算机设备中，安全芯片与处理芯片分开设置，实现了安全芯片与处理芯片的解耦，安全芯片的安全性可以由安全芯片的厂商进行保障和背书。这样一来，安全芯片中的可信根的可信程度不再受制于处理芯片厂商的可信程度，摆脱了可信执行环境的构建限制于处理芯片厂商的现状，进而提高了机密计算的可信程度，且能够消除用户对处理芯片厂商的不信任。由于安全芯片与处理芯片解耦，使得安全芯片能够与不同类型的处理芯片对接，提高了整个计算机设备对多种芯片的兼容性，有利于促进大规模机密计算应用场景的发展以及推动机密计算安全生态的标准化进程。

可选的，可信根包括以下一种或多种：启动根、度量根和加密根。启动根用于安全启动处理芯片。度量根用于向远程的用户证明计算机设备的运行状态的安全可信，即实现远程证明。加密根用于对可信执行环境的内存空间进行加密，以保证数据在内存中不会出现明文泄露。

在一种实现方式中，安全芯片具体用于使用可信根获取启动处理芯片使用的固件镜像，并在处理芯片上电后，使用固件镜像引导处理芯片启动。

将可信根外置在处理芯片外后，一个比较关键的问题是如何继续保证可信根本身以及可信根与处理芯片之间通信的安全可信。为此，本申请在实现可信根外置的同时，还提出了一些安全保障机制。在一种可实现方式中，可以在计算机设备中设置访问控制机制和/或通信保护机制，以保证可信根的安全可信，以及保证安全芯片与处理芯片之间通信的安全可信。下面分别对访问控制机制和通信保护机制进行说明。

在访问控制机制的一种实现方式中，处理芯片包括第一访问控制模块。第一访问控制模块用于接收对可信根的访问请求，在访问请求具有访问权限时，向安全芯片转发访问请求，在访问请求不具有访问权限时，拒绝访问请求；安全芯片还用于对访问请求进行响应。

在访问控制机制的另一种实现方式中，安全芯片包括第二访问控制模块。第二访问控制模块用于接收对可信根的访问请求，在访问请求具有访问权限时，对访问请求进行响应，在访问请求不具有访问权限时，拒绝访问请求。

在访问控制机制的再一种实现方式中，处理芯片包括第三访问控制模块，安全芯片包括第四访问控制模块。第三访问控制模块用于接收对可信根的访问请求，获取访问请求的权限指示信息，向安全芯片转发访问请求及其权限指示信息；第四访问控制模块用于在权限指示信息指示访问请求具有访问权限时，对访问请求进行响应，在权限指示信息指示访问请求不具有访问权限时，拒绝访问请求。

其中，由于可信根是可信执行环境的可信根，对可信根而言，可信执行环境具有较高的安全等级，可信根能够能被可信执行环境访问，因此，来自可信执行环境的访问请求具有访问权限，来自可信执行环境外的访问请求不具有访问权限。

通过访问控制机制对访问请求进行鉴权，能够保证来自可信执行环境的访问有效，并屏蔽来自可信执行环境外的访问，能够保证可信根的安全可信。

下面对通信保护机制进行说明。在本申请中，通信保护机制可以通过处理芯片和安全芯片合作实现。在通信保护机制的一种可实现方式中，处理芯片包括第一通信保护模块，安全芯片包括第二通信保护模块，第二通信保护模块与第一通信保护模块匹配。此时，第一通信保护模块与第二通信保护模块联合对安全芯片和处理芯片之间的通信进行保护。例如，第一通信保护模块对安全芯片和处理芯片之间的通信内容执行第一通信保护措施；第二通信保护模块对安全芯片和处理芯片之间的通信内容执行第二通信保护措施，第二通信保护措施与第一通信保护措施匹配。或者，第二通信保护模块对安全芯片和处理芯片之间的通信内容执行第一通信保护措施；第一通信保护模块对安全芯片和处理芯片之间的通信内容执行第二通信保护措施，第二通信保护措施与第一通信保护措施匹配。

在实现通信保护机制时，第一通信保护模块和第二通信保护模块之间可以通过一种或多种策略，保障安全芯片和处理芯片之间通信的安全性。在一种实现方式中，第一通信保护模块和第二通信保护模块具体用于基于密钥策略，对安全芯片和处理芯片之间的通信进行保护，以保障安全芯片和处理芯片之间通信的机密性。

可选的，第一通信保护模块和第二通信保护模块具体还用于基于签名策略和时间戳策略中的至少一个，对安全芯片和处理芯片之间的通信进行保护，以保障安全芯片和处理芯片之间通信的完整性，防止安全芯片和处理芯片之间的通信内容被伪造和篡改。

可选的，安全芯片还用于远程证明过程。安全芯片可以使用度量根实现远程证明过程。在一种实现方式中，安全芯片还用于接收处理芯片在启动过程中生成的度量值，接收对可信执行环境的安全验证请求，基于度量值生成度量报告，并基于安全验证请求反馈度量报告。

可选的，计算机设备还包括内存芯片，处理芯片包括内存加密模块。则安全芯片还用于对内存进行加密。安全芯片可以使用加密根实现远程证明过程。在一种可实现方式中，安全芯片还用于使用可信根生成密钥，向内存加密模块提供密钥；内存加密模块用于使用密钥对内存数据进行加密，并向内存芯片提供经过加密的内存数据，和/或，从内存芯片获取经过加密的内存数据，并使用密钥对经过加密的内存数据进行解密；内存芯片用于存储经过加密的内存数据，和/或，向内存加密模块提供经过加密的内存数据。

第二方面，本申请提供了一种计算机设备的运行方法。计算机设备包括：处理芯片和安全芯片。该计算机设备的运行方法包括：安全芯片运行可信根，并基于可信根启动处理芯片和对处理芯片进行可信控制；处理芯片基于可信根构建可信执行环境，可信执行环境用于执行机密计算。

可选的，安全芯片基于可信根启动处理芯片，包括：安全芯片使用可信根获取启动处理芯片使用的固件镜像；安全芯片在处理芯片上电后，使用固件镜像引导处理芯片启动。

可选的，可信根包括以下一种或多种：启动根、度量根和加密根。

可选的，处理芯片包括第一访问控制模块，该计算机设备的运行方法还包括：第一访问控制模块接收对可信根的访问请求，在访问请求具有访问权限时，向安全芯片转发访问请求，在访问请求不具有访问权限时，拒绝访问请求；安全芯片对访问请求进行响应。

可选的，安全芯片包括第二访问控制模块，该计算机设备的运行方法还包括：第二访问控制模块接收对可信根的访问请求，在访问请求具有访问权限时，对访问请求进行响应，在访问请求不具有访问权限时，拒绝访问请求。

可选的，处理芯片包括第三访问控制模块，安全芯片包括第四访问控制模块，该计算机设备的运行方法还包括：第三访问控制模块接收对可信根的访问请求，获取访问请求的权限指示信息，向安全芯片转发访问请求及其权限指示信息；第四访问控制模块在权限指示信息指示访问请求具有访问权限时，对访问请求进行响应，在权限指示信息指示访问请求不具有访问权限时，拒绝访问请求。

可选的，来自可信执行环境的访问请求具有访问权限，来自可信执行环境外的访问请求不具有访问权限。

可选的，处理芯片包括第一通信保护模块，安全芯片包括第二通信保护模块，第二通信保护模块与第一通信保护模块匹配，该计算机设备的运行方法还包括：第一通信保护模块与第二通信保护模块联合对安全芯片和处理芯片之间的通信进行保护。

可选的，第一通信保护模块和第二通信保护模块均基于密钥策略，对安全芯片和处理芯片之间的通信进行保护。

可选的，第一通信保护模块和第二通信保护模块均基于签名策略和时间戳策略中的至少一个，对安全芯片和处理芯片之间的通信进行保护。

可选的，该计算机设备的运行方法还包括：安全芯片接收处理芯片在启动过程中生成的度量值；安全芯片接收对可信执行环境的安全验证请求；安全芯片基于度量值生成度量报告，并基于安全验证请求反馈度量报告。

可选的，计算机设备还包括：内存芯片，处理芯片包括内存加密模块，该计算机设备的运行方法还包括：安全芯片使用可信根生成密钥，向内存加密模块提供密钥；内存加密模块使用密钥对内存数据进行加密，并向内存芯片提供经过加密的内存数据；内存芯片存储经过加密的内存数据。

可选的，计算机设备还包括：内存芯片，处理芯片包括内存加密模块，该计算机设备的运行方法还包括：安全芯片使用可信根生成密钥，向内存加密模块提供密钥；内存芯片向内存加密模块提供经过加密的内存数据；内存加密模块使用密钥对经过加密的内存数据进行解密。

第三方面，本申请提供了一种安全芯片，安全芯片为本申请第一方面以及其任一种可能的实现方式中的安全芯片。

第四方面，本申请提供了一种计算机设备，包括存储器和处理器，存储器存储有程序指令，处理器运行程序指令以执行本申请第二方面以及其任一种可能的实现方式中提供的方法。

第五方面，本申请提供了一种计算机可读存储介质，该计算机可读存储介质为非易失性计算机可读存储介质，该计算机可读存储介质包括程序指令，当程序指令在容器管理设备上运行时，使得容器管理设备执行本申请第二方面以及其任一种可能的实现方式中提供的方法。

第六方面，本申请提供了一种包含指令的计算机程序产品，当计算机程序产品在计算机上运行时，使得计算机执行本申请第二方面以及其任一种可能的实现方式中提供的方法。

附图说明

图1是本申请实施例提供的一种计算机设备的结构示意图；

图2是本申请实施例提供的另一种计算机设备的结构示意图；

图3是本申请实施例提供的又一种计算机设备的结构示意图；

图4是本申请实施例提供的再一种计算机设备的结构示意图；

图5是本申请实施例提供的又一种计算机设备的结构示意图；

图6是本申请实施例提供的再一种计算机设备的结构示意图；

图7是本申请实施例提供的又一种计算机设备的结构示意图；

图8是本申请实施例提供的一种计算机设备安全启动的过程示意图；

图9是本申请实施例提供的一种计算机设备实现远程证明的过程示意图；

图10是本申请实施例提供的一种计算机设备实现内存加密的过程示意图；

图11是本申请实施例提供的再一种计算机设备的结构示意图；

图12是本申请实施例提供的一种计算机设备的运行方法的流程图；

图13是本申请实施例提供的另一种计算机设备的运行方法的流程图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

为便于理解，下面先对本申请实施例涉及的一些术语和技术进行简单介绍。

机密计算是基于硬件和软件的能力，构建和运行一种与不可信环境隔离的可信执行环境，保障其机密性，并在其中执行计算以保护使用中的数据的一种技术。在国际机密计算联盟中，机密计算的定义为：机密计算是通过在基于硬件的可信执行环境中执行计算来保护使用中的数据的一种技术。

可信控制是指根据可信度量结果对待度量对象执行的控制操作，因此，可信控制也可称为控制。其中，当对待度量对象的度量通过时，可以维持待度量对象原本的状态，或执行待度量对象在被可信度量之前预期需要执行的操作。当对待度量对象的度量不通过时，可以对待度量对象采取安全措施。例如，可以控制计算机复位，或者，可以控制待度量对象重新启动，以避免导致度量不通过的原因对计算机造成安全威胁。

可信根(root of trust，RoT)：由高可靠的硬件、固件及软件所组成的行为运行始终可预期的模块，是包含一个或多个特定安全功能的组件，例如度量、存储、报告、验证或更新。可信根是一个系统能够保证安全可信的基础。在现有的机密计算解决方案中，涉及到的可信根主要有三种：用于安全启动的启动根、用于远程证明的报告根和用于内存加密的加密根。

度量(或称可信度量)是验证度量对象的安全性的过程。可信度量的过程的一般包括：计算和校验两个过程。计算是指采用预定算法对度量对象的软件代码或配置文件进行计算，例如计算软件代码的杂凑值。校验是指将计算结果与预先存储的该度量对象的度量基准进行比对，如果计算结果符合度量基准，则确定该度量对象符合安全性，反之亦然。其中，度量对象为被执行可信度量的主体，对度量对象执行可信度量操作的主体为度量主体。

可信度量根核心(core root of trust for measurement，CRTM)：是用于建立可信度量根的可执行代码，通过运行该可信度量根核心能够的建立可信度量根。可信度量根核心是可信计算平台上电启动后执行的第一段代码。

处理芯片包括可信执行环境和普通执行环境(也称富执行环境(rich execution environment，REE))。可信执行环境和普通执行环境是全球平台组织(global platform，GP)提出的概念。可信执行环境和普通执行环境是在移动终端设备原有的硬件和软件的基础上，通过在一个移动终端设备上划分出的两个独立的执行环境得到。其中，可信执行环境具有自身操作系统，可信执行环境中部署由安全应用。普通执行环境在非授权情况下不能访问可信执行环境的资源。普通执行环境和可信执行环境对设备资源进行了隔离，通过对物理器件共享及硬件内的软件调度隔离运行。在一种实现方式中，处理芯片可以为处理器，例如中央处理器(central processing unit，CPU)。

随着计算机技术的快速发展，数据的安全性受到了越来越多的重视。并且，近年来随着云计算的快速发展，越来越多的关键性服务和高价值数据被迁移到了云端。随着计算从内部部署转移到公共云和边缘，对数据的保护变得更加复杂。当前对数据的安全性的保护策略通常作用于静态存储的数据或处于网络传输状态的数据。但是，当数据正在被使用时，数据的安全性仍然存在风险。这也是数据保护中最具挑战性的一个步骤。因此，对正在被使用的数据进行保护是亟待解决的问题。

目前安全领域重要的一项技术进展名为机密计算。机密计算可以保护使用中数据的安全性，其应用场景非常广泛，特别是在云计算领域。常见的应用有基于Enclave的加密数据分析、版权保护、基因数据处理、密钥保护、密钥管理系统、隐私保护的机器学习、以及保密数据库等。其他如区块链隐私计算、区块链、可信人工智能(artificial intelligence，AI)、隐私边缘计算等，都可以构建在机密计算技术基础上，以更好的服务应用场景。机密计算技术是一种创新的数据隔离和加密处理技术，它可以从服务器芯片硬件层保障，即使OS kernel、Hypervisor、甚至BIOS等特权软件都已经遭到破坏甚至本来就是恶意的情况下，敏感数据和代码依然能安全无虞，确保重要应用数据和代码的机密性和完整性，为关键业务提供易用、安全、集群化的可信计算环境。由于计算过程在可信执行环境中进行，因此计算过程中涉及的数据能够被保护。机密计算能够保护使用中的数据的安全性，其关键点在于依赖可信执行环境的信任链，而该信任链需要依赖执行计算的处理芯片中的可信根构建。

但是，目前在实现机密计算的方案中，可信执行环境的信任链都是基于处理芯片内置的可信根构建。这样一来，可信根的可信程度受制于处理芯片厂商的可信程度，导致机密计算的可信程度也会受到处理芯片厂商的可信程度的影响。并且，这样还导致现有的机密计算解决方案通常与处理芯片的提供厂商强绑定，且难以互相兼容，导致在某些技术方案中，机密计算可信执行环境中的应用开发需要得到处理芯片厂商的审批与认证才能进行。这样就限制了在一个系统或者集群中同时采用不同厂商的芯片，制约了大规模机密计算的发展。

本申请实施例提供了一种计算机设备。图1是本申请实施例提供的一种计算机设备10的示意图。如图1所示，该计算机设备10包括：处理芯片101和安全芯片102。安全芯片102用于运行可信根1021，并基于可信根1021启动处理芯片101和对处理芯片101进行安全控制。处理芯片101包括可信执行环境1011，可信执行环境1011基于可信根1021构建，可信执行环境1011用于执行机密计算。其中，由于可信执行环境1011需要使用信任链，而信任链基于可信根1021构建，因此，可以认为可信执行环境1011基于可信根1021构建。

在该计算机设备10中，安全芯片102与处理芯片101分开设置，实现了安全芯片102与处理芯片101的解耦，安全芯片102的安全性可以由安全芯片102的厂商进行保障和背书。这样一来，安全芯片102中的可信根1021的可信程度不再受制于处理芯片101厂商的可信程度，摆脱了可信执行环境1011的构建限制于处理芯片101厂商的现状，进而提高了机密计算的可信程度，且能够消除用户对处理芯片101厂商的不信任。由于安全芯片102与处理芯片101解耦，使得安全芯片102能够与不同类型的处理芯片101对接，提高了整个计算机设备10对多种芯片的兼容性，有利于促进大规模机密计算应用场景的发展以及推动机密计算安全生态的标准化进程。

将可信根1021外置在处理芯片101外后，一个比较关键的问题是如何继续保证可信根1021本身以及可信根1021与处理芯片101之间通信的安全可信。为此，本申请实施例在实现可信根1021外置的同时，还提出了一些安全保障机制。在一种可实现方式中，可以在计算机设备10中设置访问控制机制和/或通信保护机制，以保证可信根1021的安全可信，以及保证安全芯片与处理芯片101之间通信的安全可信。下面分别对访问控制机制和通信保护机制进行说明。

在本申请实施例中，访问控制机制的实现原则是：在接收到对可信根1021的访问请求后，对该访问请求进行鉴权，在访问请求具有访问权限时允许访问，在访问请求不具有访问权限时拒绝访问。可选的，在实现该访问控制机制时，其可以在处理芯片101中实现，也可以在安全芯片102中实现，还可以通过处理芯片101和安全芯片102合作实现。下面分别对这三种实现情况的实现过程进行说明：

在第一种实现情况中，访问控制机制在处理芯片101中实现。如图2所示，在一种实现方式中，处理芯片101包括第一访问控制模块1012。第一访问控制模块1012用于接收对可信根1021的访问请求，在访问请求具有访问权限时，向安全芯片102转发访问请求，在访问请求不具有访问权限时，拒绝访问请求。此时，由于第一访问控制模块1012向安全芯片102转发的访问请求具有访问权限，安全芯片102还用于接收访问请求，对访问请求进行响应。

在第二种实现情况中，访问控制机制在安全芯片102中实现。如图3所示，在一种实现方式中，安全芯片102包括第二访问控制模块1022。第二访问控制模块1022用于接收对可信根1021的访问请求，在访问请求具有访问权限时，对访问请求进行响应，在访问请求不具有访问权限时，拒绝访问请求。其中，安全芯片102接收的访问请求可以为处理芯片101发送的。

在第三种实现情况中，访问控制机制通过处理芯片101和安全芯片102合作实现。如图4所示，在一种实现方式中，处理芯片101包括第三访问控制模块1013，安全芯片102包括第四访问控制模块1023。第三访问控制模块1013用于接收对可信根1021的访问请求，获取访问请求权限指示信息，向安全芯片102转发访问请求及其权限指示信息。第四访问控制模块1023用于接收访问请求及其访问权限，在权限指示信息指示访问请求具有访问权限时，对访问请求进行响应，在权限指示信息指示访问请求不具有访问权限时，拒绝访问请求。

其中，由于可信根1021是可信执行环境1011的可信根1021，对可信根1021而言，可信执行环境1011具有较高的安全等级，可信根1021能够能被可信执行环境1011访问，因此，来自可信执行环境1011的访问请求具有访问权限，来自可信执行环境1011外的访问请求不具有访问权限。例如，以访问控制机制通过处理芯片101实现为例，如图5所示，当计算机设备10包括可信执行环境1011和普通执行环境1014时，由于可信根1021作为可信执行环境1011的可信根1021，仅能被具有较高安全等级的可信执行环境1011访问，而任何来自普通执行环境1014的访问请求，包括来自普通执行环境1014中管理员级别的访问都不应该拥有对可信根1021的访问权限，因此，所有来自可信执行环境1011的访问请求具有访问权限，所有来自普通执行环境1014的访问请求均不具有访问权限。

通过访问控制机制对访问请求进行鉴权，能够保证来自可信执行环境1011的访问有效，并屏蔽来自可信执行环境1011外的访问，能够保证可信根1021的安全可信。这一点在计算机设备10部署在云端时表现的尤其明显，当计算机设备10部署在云端时，计算机设备10通常由云端管理员进行管理，一般来说云端管理员具有较高的权限，但不排除云端管理员会造成可信根1021的不安全。在本申请实施例中，可将来自云端管理员的访问请求视为来自普通执行环境1014的访问请求，通过该访问控制机制能够拒绝云端管理员对可信根1021的访问，因此，能够有效地保证可信根1021的安全可信。

在一种可实现方式中，在实现访问控制机制时，访问权限可以携带在访问请求中，也可以不携带在访问请求中。当访问权限携带在访问请求中时，访问权限可以由访问请求的发送者确定。例如，可以预先为计算机设备10中每个组件(如计算资源、内存区域和外设等)设置访问权限，当任一组件需要发送访问请求时，可以先读取为其设置的访问权限，并将该访问权限携带在该访问请求中发送。当访问请求不携带在访问请求中时，也可以预先为计算机设备10中每个组件设置访问权限，任一组件可以向需要对其访问请求鉴权的组件发送其访问权限。或者，当访问请求不携带在访问请求中时，计算机设备10的指定位置中可以记载有所有组件的访问权限，在需要获取访问请求的访问权限时，可以根据访问请求的发送端从该指定位置中获取访问请求的访问权限。

并且，访问权限还可以使用权限标识表示，权限标识的不同赋值表示的访问权限不同。例如，当权限标识的赋值为0时，可以确定具有对可信根1021的访问权限，当权限标识的赋值为1时，可以确定不具有对可信根1021的访问权限。

下面对通信保护机制进行说明。在本申请实施例中，通信保护机制可以通过处理芯片101和安全芯片102合作实现。在一种实现方式中，如图6所示，处理芯片101包括第一通信保护模块1015，安全芯片102包括第二通信保护模块1024。第二通信保护模块1024与第一通信保护模块1015匹配。第一通信保护模块1015和第二通信保护模块1024用于对安全芯片102和处理芯片101之间的通信进行保护。例如，第一通信保护模块对安全芯片和处理芯片之间的通信内容执行第一通信保护措施；第二通信保护模块对安全芯片和处理芯片之间的通信内容执行第二通信保护措施，第二通信保护措施与第一通信保护措施匹配。或者，第二通信保护模块对安全芯片和处理芯片之间的通信内容执行第一通信保护措施；第一通信保护模块对安全芯片和处理芯片之间的通信内容执行第二通信保护措施，第二通信保护措施与第一通信保护措施匹配。其中，第一通信保护模块1015和第二通信保护模块1024匹配表示两者能够按照预先商议好的加密通信协议对处理芯片101和安全芯片102之间的通信进行保护。

在实现通信保护机制时，第一通信保护模块1015和第二通信保护模块1024之间可以通过一种或多种策略，保障安全芯片102和处理芯片101之间通信的安全性。在一种实现方式中，第一通信保护模块1015和第二通信保护模块1024可以基于密钥策略，对安全芯片102和处理芯片101之间的通信进行保护，以保障安全芯片102和处理芯片101之间通信的机密性。也即是，在安全芯片102和处理芯片101之间通信时，第一通信保护模块1015和第二通信保护模块1024中的一个可以使用加密密钥对通信内容加密，第一通信保护模块1015和第二通信保护模块1024中的另一个可以使用与加密密钥匹配的解密密钥，对通信内容进行解密，以保证通信内容在通信过程中的安全性。

可选的，第一通信保护模块1015和第二通信保护模块1024还可以基于签名策略和时间戳策略中的至少一个，对安全芯片102和处理芯片101之间的通信进行保护，以保障安全芯片102和处理芯片101之间通信的完整性，防止安全芯片102和处理芯片101之间的通信内容被伪造和篡改。

在使用签名策略时，第一通信保护模块1015和第二通信保护模块1024中的一个可以使用一些方式对通信内容签名，第一通信保护模块1015和第二通信保护模块1024中的另一个可以验证签名，在验证通过时，确定通信内容未被伪造和篡改。例如，当处理芯片101向安全芯片102发送数据时，第一通信保护模块1015可以采用哈希(Hash)算法对待发送的数据进行杂凑操作，然后使用非对称私钥对杂凑的结果进行加密产生签名。第二通信保护模块1024可以采用相应的公钥验证签名。

在使用时间戳策略时，第一通信保护模块1015和第二通信保护模块1024中的一个可以使用一些方式向通信内容添加时间戳，第一通信保护模块1015和第二通信保护模块1024中的另一个可以验证时间戳的有效性，在验证时间戳有效时，确定通信内容未被伪造和篡改。

在一种实现方式中，第一通信保护模块1015和第二通信保护模块1024可以通过传输层安全性协议(transport layer security，TLS)或安全套接层(secure sockets layer，SSL)安全协议实现通信保护机制。

在本申请实施例中，可信根1021包括以下一种或多种：启动根1021a、度量根1021b(也称报告根)和加密根1021c(也称存储根)。启动根1021a用于安全启动处理芯片101。度量根1021b用于向远程的用户证明计算机设备10的运行状态的安全可信，即实现远程证明。加密根1021c用于对可信执行环境1011的内存空间进行加密，以保证数据在内存中不会出现明文泄露。

示例的，如图7所示，启动根1021a、度量根1021b和加密根1021c均运行在安全芯片102中，该安全芯片102外置在处理芯片101外。这样一来，启动根1021a、度量根1021b和加密根1021c均外置于处理芯片101外，使得启动根1021a、度量根1021b和加密根1021c的安全性可以由安全芯片102的厂商进行保障和背书，而不再受限于处理芯片101的厂商。另外，虽然图7是以启动根1021a、度量根1021b和加密根1021c均运行在安全芯片102中为例进行说明，但不排除启动根1021a、度量根1021b和加密根1021c中的部分也可以运行在安全芯片102外(如处理芯片101中)。例如，启动根1021a和度量根1021b可以运行在安全芯片102中，加密根1021c可以运行在处理芯片101中。本领域普通技术人员可知，随着业务需求的改变，启动根1021a、度量根1021b和加密根1021c的部署方式可以根据业务需求进行调整，本申请实施例对其不做具体限定。

下面分别对启动根1021a、度量根1021b和加密根1021c的实现过程进行说明：

在启动根1021a安全启动处理芯片101的过程中，安全芯片102具体用于在上电后，使用启动根1021a获取启动处理芯片101使用的固件镜像，并使用固件镜像引导处理芯片101启动。在一种实现方式中，如图8所示，在计算机设备10的上电过程中，安全芯片102首先复位并上电，然后安全芯片102通过运行可信度量根核心构建可信根1021。然后，使用启动根1021a对最新版本的固件镜像1031进行校验。在最新版本的固件镜像1031通过校验时，确定使用该最新版本的固件镜像1031引导处理芯片101启动。在最新版本的固件镜像1031未通过校验时，确定使用较老版本的备份固件镜像1031引导处理芯片101启动，以确保计算机设备10能够启动。然后对包括处理芯片101在内的计算机设备10的系统上电，并使用确定的固件镜像引导处理芯片101启动。例如，安全启动系统固件1016，然后对计算机设备10的软件(如可信执行环境1011的操作系统(TEE OS，也称安全操作系统)、普通执行环境1014的操作系统LibOS(也称普通操作系统，例如Linux内核)、虚拟机操作系统等)的完整性进行校验，通过校验确保软件未被篡改后，加载可信的系统软件，从而实现整个计算机设备10的启动。其中，可信度量根核心是安全芯片102上电后运行的第一行代码，其可以存储在安全芯片102的只读存储器(read only memory，ROM)中。固件镜像1031可以存储在计算机设备10的闪存(Flash)103中。对固件镜像进行校验主要是对其完整性进行校验，确保机密计算固件未被篡改，并在确定机密计算固件未被篡改后，加载可信的固件。固件可以为机密计算固件，如基本输入输出系统(base input/output system，BIOS)、引导加载程序(Bootloader)、ATF等。并且，可信执行环境1011中部署有安全应用，在安全启动的过程中，安全启动应扩展到每个安全应用的完整性。每次加载一个安全应用(如用户工作负载)时，计算机设备10还需要对安全应用进行校验，并在确保安全应用未被篡改后，加载可信的安全应用。另外，使用确定的固件镜像引导处理芯片101启动的操作可以由处理芯片101中的启动引导模块1017执行。安全启动过程中各组件的启动顺序见图8中黑色加粗的箭头的指向。

度量根1021b实现远程证明的实现方式包括：安全芯片102接收处理芯片101在启动过程中生成的度量值，在接收到对可信执行环境1011的安全验证请求时，基于度量值生成度量报告，并基于安全验证请求反馈度量报告。在一种实现方式中，如图9所示，在可信根1021安全启动处理芯片101的过程中，当某个层级的固件或者软件被确认安全后，就会生成其度量值，并将度量值发送至安全芯片102(图9中虚线箭头为度量值的发送方向)，安全芯片102可以保存启动过程中各个阶段生成的度量值。在计算机设备10随后的运行过程中，远程的用户可以随时通过密码学挑战的方式来校验可信根1021中保存的度量值，以确认计算机设备10的运行状态的安全可信。此时，就会触发远程证明过程。在这个过程中，度量根1021b作为计算机设备10的报告根，可以根据保存的度量值生成用于远程挑战的度量报告，并向远程证明服务器提供该度量报告(图9中点画线箭头为度量报告的发送方向)。远程服务器可以对度量报告进行校验，以确保可信执行环境1011的安全性。

在对可信执行环境1011的内存空间进行加密时，如图10所示，计算机设备10还包括内存芯片104，处理芯片101包括内存加密模块1018。此时，安全芯片102还用于使用可信根1021生成密钥，并通过加密通道向内存加密模块1018提供密钥。内存加密模块1018用于使用密钥对内存数据进行加密，并向内存芯片104提供经过加密的内存数据，和/或，从内存芯片104获取经过加密的内存数据，并使用密钥对经过加密的内存数据进行解密。内存加密模块1018对内存数据解密后，可向可信执行环境1011提供解密后的内存数据，以便于可信执行环境1011基于该数据进行机密计算。相应的，内存芯片104用于接收并存储经过加密的内存数据，和/或，向内存加密模块1018提供经过加密的内存数据。这样一来，就能够保证数据在离开处理芯片101后始终保持为密文状态。

其中，当可信根1021包括加密根1021c时，由加密根1021c生成密钥。在一种实现方式中，内存加密模块可以为内存加密引擎(memory encryption engine，MEE)，其用于对需要加密的内存空间进行硬件加解密操作。例如，如图10所示，内存芯片104可以包括加密内存区和普通内存区，加密内存区为需要加密的内存空间。另外，可信执行环境1011中通常可以部署有一个或多个安全应用，每个安全应用可以对应加密内存区中的一个加密区。当可信执行环境1011中部署有多个安全应用时，加密根1021c可以为不同的安全应用生成不同的密钥，内存加密模块可以使用安全应用自身的密钥对该安全应用自身使用的数据进行加密或解密操作，以保证每个安全应用使用的数据的安全性。图10中虚线箭头表示密钥的传递方向，点画线箭头表示数据的传递方向。

由上可知，在本申请实施例提供的计算机设备10中，安全芯片102与处理芯片101分开设置，实现了安全芯片102与处理芯片101的解耦，安全芯片102的安全性可以由安全芯片102的厂商进行保障和背书。这样一来，安全芯片102中的可信根1021的可信程度不再受制于处理芯片101厂商的可信程度，摆脱了可信执行环境1011的构建限制于处理芯片101厂商的现状，进而提高了机密计算的可信程度，且能够消除用户对处理芯片101厂商的不信任。由于安全芯片102与处理芯片101解耦，使得安全芯片102能够与不同类型的处理芯片101对接，提高了整个计算机设备10对多种芯片的兼容性，有利于促进大规模机密计算应用场景的发展以及推动机密计算安全生态的标准化进程。

图11是本申请实施例提供的另一种计算机设备10的示意图。如图11所示，该计算机设备10还可以包括：存储器105、通信接口106和总线107。其中，处理芯片101、安全芯片102、存储器105、通信接口106通过总线107实现彼此之间的通信连接。

处理芯片101可以包括通用处理芯片101和/或专用硬件芯片。通用处理芯片101可以包括：中央处理器(central processing unit，CPU)、微处理器或图形处理器(graphics processing unit，GPU)。CPU例如是一个单核处理器(single-CPU)，又如是一个多核处理器(multi-CPU)。专用硬件芯片是一个高性能处理的硬件模块。专用硬件芯片包括数字信号处理器、专用集成电路(application-specific integrated circuit，ASIC)、现场可编程逻辑门阵列(field-programmable gate array，FPGA)或者网络处理器(network processer，NP)中的至少一项。处理芯片101还可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，本申请中处理芯片101实现的部分或全部功能，可以通过处理芯片101中的硬件的集成逻辑电路或者软件形式的指令完成。

存储器105用于存储计算机程序，计算机程序包括操作系统105a和可执行代码(即程序指令)105b。存储器105例如是只读存储器或可存储静态信息和指令的其它类型的静态存储设备，又如是随机存取存储器或者可存储信息和指令的其它类型的动态存储设备，又如是电可擦可编程只读存储器、只读光盘或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备，或者是能够用于携带或存储具有指令或数据结构形式的期望的可执行代码并能够由计算机存取的任何其它介质，但不限于此。例如存储器105用于存放出端口队列等。存储器105例如是独立存在，并通过总线107与处理芯片101相连接。或者存储器105和处理芯片101集成在一起。存储器105可以存储可执行代码。当存储器105中存储的可执行代码被处理芯片101执行时，处理芯片101用于本申请中处理芯片101实现的部分或全部功能。例如，处理芯片101执行机密计算。存储器105中还可以包括操作系统等其他运行进程所需的软件模块和数据等。

通信接口106使用例如但不限于收发器一类的收发模块，来实现与其他设备或通信网络之间的通信。例如，通信接口106可以是以下器件的任一种或任一种组合：网络接口(如以太网接口)、无线网卡等具有网络接入功能的器件。

总线107是任何类型的，用于实现计算机设备10的内部器件(例如，存储器105、处理芯片101、通信接口106)互连的通信总线。例如系统总线。本申请实施例以计算机设备10内部的上述器件通过总线107互连为例说明，可选地，计算机设备10内部的上述器件还可以采用除了总线107之外的其他连接方式彼此通信连接。例如，计算机设备10内部的上述器件通过内部的逻辑接口互连。

可选的，根据应用需求，该计算机设备10还可以包括闪存103和内存芯片104等。

需要说明的是，上述多个器件可以分别设置在彼此独立的芯片上，也可以至少部分的或者全部的设置在同一块芯片上。将各个器件独立设置在不同的芯片上，还是整合设置在一个或者多个芯片上，往往取决于产品设计的需要。本申请实施例对上述器件的具体实现形式不做限定。且上述各个附图对应的流程的描述各有侧重，某个流程中没有详述的部分，可以参见其他流程的相关描述。

在上述实施例中，计算机设备总各组件实现的功能可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。提供程序开发平台的计算机程序产品包括一个或多个计算机指令，在计算机设备10上加载和执行这些计算机程序指令时，全部或部分地实现本申请实施例提供的计算机设备的组件中的功能，如实现处理芯片的功能或实现安全芯片的功能。

并且，计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质存储有提供程序开发平台的计算机程序指令。

应当理解的是，以上计算机设备的结构是对本申请实施例提供的计算机设备的结构的示例性说明，并不构成对于该计算机设备的结构的限定，本领域普通技术人员可知，随着业务需求的改变，计算机设备的结构可以根据应用需求进行调整，本申请实施例对其不做一一列举。

本申请实施例还提供了一种计算机设备的运行方法。该计算机设备包括：处理芯片和安全芯片。在一种可实现方式中，该计算机设备可以为前述实施例提供的计算机设备。例如，该计算机设备可以为图1至图11任一所示的计算机设备。如图12所示，该计算机设备的运行方法包括：

步骤1201、安全芯片运行可信根，并基于可信根启动处理芯片和对处理芯片进行可信控制。

在一种可实现方式中，可信根包括以下一种或多种：启动根、度量根和加密根。

可选的，安全芯片基于可信根启动处理芯片的实现过程，包括：安全芯片使用可信根获取启动处理芯片使用的固件镜像；安全芯片在处理芯片上电后，使用固件镜像引导处理芯片启动。

步骤1202、处理芯片基于可信根构建可信执行环境，可信执行环境用于执行机密计算。

将可信根外置在处理芯片外后，一个比较关键的问题是如何继续保证可信根本身以及可信根与处理芯片之间通信的安全可信。为此，本申请实施例在实现可信根外置的同时，还提出了一些安全保障机制。在一种可实现方式中，可以在计算机设备中设置访问控制机制和/或通信保护机制，以保证可信根的安全可信，以及保证安全芯片与处理芯片之间通信的安全可信。下面分别对访问控制机制和通信保护机制进行说明。

在访问控制机制的一种实现方式中，处理芯片包括第一访问控制模块。如图13所示，该计算机设备的运行方法还可以包括：

步骤1203、第一访问控制模块接收对可信根的访问请求，在访问请求具有访问权限时，向安全芯片转发访问请求，在访问请求不具有访问权限时，拒绝访问请求。

步骤1204、安全芯片对访问请求进行响应。

在访问控制机制的另一种实现方式中，安全芯片包括第二访问控制模块。该计算机设备的运行方法还可以包括：

步骤1205、第二访问控制模块接收对可信根的访问请求，在访问请求具有访问权限时，对访问请求进行响应，在访问请求不具有访问权限时，拒绝访问请求。

在访问控制机制的再一种实现方式中，处理芯片包括第三访问控制模块，安全芯片包括第四访问控制模块。该计算机设备的运行方法还可以包括：

步骤1206、第三访问控制模块接收对可信根的访问请求，获取访问请求的权限指示信息，向安全芯片转发访问请求及其权限指示信息。

步骤1207、第四访问控制模块在权限指示信息指示访问请求具有访问权限时，对访问请求进行响应，在权限指示信息指示访问请求不具有访问权限时，拒绝访问请求。

其中，来自可信执行环境的访问请求具有访问权限，来自可信执行环境外的访问请求不具有访问权限。

在通信保护机制的一种可实现方式中，处理芯片包括第一通信保护模块，安全芯片包括第二通信保护模块，第二通信保护模块与第一通信保护模块匹配。此时，该计算机设备的运行方法还包括：第一通信保护模块与第二通信保护模块联合对安全芯片和处理芯片之间的通信进行保护。例如，如图13所示，该计算机设备的运行方法还包括：步骤1208、第一通信保护模块对安全芯片和处理芯片之间的通信内容执行第一通信保护措施；步骤1209、第二通信保护模块对安全芯片和处理芯片之间的通信内容执行第二通信保护措施，第二通信保护措施与第一通信保护措施匹配。或者，该计算机设备的运行方法还包括：第二通信保护模块对安全芯片和处理芯片之间的通信内容执行第一通信保护措施；第一通信保护模块对安全芯片和处理芯片之间的通信内容执行第二通信保护措施，第二通信保护措施与第一通信保护措施匹配。

可选的，第一通信保护模块和第二通信保护模块均基于密钥策略，对安全芯片和处理芯片之间的通信进行保护。此时，作为一种示例，第一通信保护措施可以为加密，第二通信保护措施可以为解密。

并且，第一通信保护模块和第二通信保护模块均基于签名策略和时间戳策略中的至少一个，对安全芯片和处理芯片之间的通信进行保护。此时，作为一种示例，第一通信保护措施可以为签名和添加时间戳，第二通信保护措施可以为验证签名和时间戳。

需要说明的是，该通信保护机制可以与访问控制机制结合使用，且该通信保护机制可以与访问控制机制的任一种实现方式结合使用。此处图13为通信保护机制与访问控制机制的第一种实现方式结合使用的示意图。

可选的，该计算机设备的运行方法还可以包括远程证明过程。如图13所示，该计算机设备的运行方法还可以包括：

步骤1210、安全芯片接收处理芯片在启动过程中生成的度量值。

步骤1211、安全芯片接收对可信执行环境的安全验证请求。

步骤1212、安全芯片基于度量值生成度量报告，并基于安全验证请求反馈度量报告。

可选的，计算机设备还包括：内存芯片。处理芯片包括内存加密模块。该计算机设备的运行方法还可以包括内存加解密过程。如图13所示，该计算机设备的运行方法还可以包括以下内存加密过程：

步骤1213、安全芯片使用可信根生成密钥，向内存加密模块提供密钥。

步骤1214、内存加密模块使用密钥对内存数据进行加密，并向内存芯片提供经过加密的内存数据。

步骤1215、内存芯片存储经过加密的内存数据。

如图13所示，该计算机设备的运行方法还可以包括以下内存解密过程：

步骤1216、内存芯片向内存加密模块提供经过加密的内存数据。

步骤1217、内存加密模块使用密钥对经过加密的内存数据进行解密。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的计算机设备的运行方法的具体工作过程，可以参考前述实施例中的对应内容，在此不再赘述。

综上所述，在本申请实施例提供的计算机设备的运行方法中，安全芯片与处理芯片分开设置，实现了安全芯片与处理芯片的解耦，安全芯片的安全性可以由安全芯片的厂商进行保障和背书。这样一来，安全芯片中的可信根的可信程度不再受制于处理芯片厂商的可信程度，摆脱了可信执行环境的构建限制于处理芯片厂商的现状，进而提高了机密计算的可信程度，且能够消除用户对处理芯片厂商的不信任。由于安全芯片与处理芯片解耦，使得安全芯片能够与不同类型的处理芯片对接，提高了整个计算机设备对多种芯片的兼容性，有利于促进大规模机密计算应用场景的发展以及推动机密计算安全生态的标准化进程。

本申请实施例还提供了一种安全芯片。该安全芯片用于运行可信根，并基于可信根启动处理芯片和对处理芯片进行可信控制。

可选的，安全芯片还用于对访问请求进行响应。

在一种实现方式中，计算机设备可以包括安全芯片和处理芯片，处理芯片用于接收对可信根的访问请求，在访问请求具有访问权限时，向安全芯片转发访问请求，在访问请求不具有访问权限时，拒绝访问请求。此时，安全芯片接收到的访问请求为具有访问权限的访问请求，则可以对访问请求进行响应。

在另一种实现方式中，安全芯片包括第二访问控制模块。第二访问控制模块用于接收对可信根的访问请求，在访问请求具有访问权限时，对访问请求进行响应，在访问请求不具有访问权限时，拒绝访问请求。

在再一种实现方式中，处理芯片包括第三访问控制模块，安全芯片包括第四访问控制模块。第三访问控制模块用于接收对可信根的访问请求，获取访问请求的权限指示信息，向安全芯片转发访问请求及其权限指示信息；第四访问控制模块用于在权限指示信息指示访问请求具有访问权限时，对访问请求进行响应，在权限指示信息指示访问请求不具有访问权限时，拒绝访问请求。

可选的，安全芯片还可以执行通信保护机制，以对其通信内容进行保护。在一种实现方式中，处理芯片包括第一通信保护模块，安全芯片包括第二通信保护模块，第二通信保护模块与第一通信保护模块匹配，第一通信保护模块和第二通信保护模块用于联合对安全芯片和处理芯片之间的通信进行保护。

在一种实现方式，第一通信保护模块和第二通信保护模块具体用于基于密钥策略，对安全芯片和处理芯片之间的通信进行保护。

进一步地，第一通信保护模块和第二通信保护模块具体还用于基于签名策略和时间戳策略中的至少一个，对安全芯片和处理芯片之间的通信进行保护。

可选的，安全芯片还用于接收处理芯片在启动过程中生成的度量值，接收对可信执行环境的安全验证请求，基于度量值生成度量报告，并基于安全验证请求反馈度量报告。

可选的，计算机设备还包括内存芯片，处理芯片包括内存加密模块。则安全芯片还用于使用可信根生成密钥，向内存加密模块提供密钥；内存加密模块用于使用密钥对内存数据进行加密，并向内存芯片提供经过加密的内存数据，和/或，从内存芯片获取经过加密的内存数据，并使用密钥对经过加密的内存数据进行解密；内存芯片用于存储经过加密的内存数据，和/或，向内存加密模块提供经过加密的内存数据。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的安全芯片的实现过程，可以参考前述实施例中的对应内容，在此不再赘述。

综上所述，在本申请实施例提供的安全芯片中，安全芯片与处理芯片分开设置，实现了安全芯片与处理芯片的解耦，安全芯片的安全性可以由安全芯片的厂商进行保障和背书。这样一来，安全芯片中的可信根的可信程度不再受制于处理芯片厂商的可信程度，摆脱了可信执行环境的构建限制于处理芯片厂商的现状，进而提高了机密计算的可信程度，且能够消除用户对处理芯片厂商的不信任。由于安全芯片与处理芯片解耦，使得安全芯片能够与不同类型的处理芯片对接，提高了整个计算机设备对多种芯片的兼容性，有利于促进大规模机密计算应用场景的发展以及推动机密计算安全生态的标准化进程。

本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质可以为非易失性计算机可读存储介质，该计算机可读存储介质包括程序指令，当程序指令在计算机设备上运行时，使得计算机设备执行如本申请实施例提供的计算机设备的运行方法。

本申请实施例还提供了一种包含指令的计算机程序产品，当计算机程序产品在计算机上运行时，使得计算机执行本申请实施例提供的计算机设备的运行方法。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

需要说明的是，本申请所涉及的信息(包括但不限于用户设备信息、用户个人信息等)、数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)以及信号，均为经用户授权或者经过各方充分授权的，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。

在本申请实施例中，术语“第一”、“第二”和“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。术语“至少一个”是指一个或多个，术语“多个”指两个或两个以上，除非另有明确的限定。

本申请中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

以上所述仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的构思和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

一种计算机设备，其特征在于，所述计算机设备包括：处理芯片和安全芯片；

所述安全芯片用于运行可信根，并基于所述可信根启动所述处理芯片和对所述处理芯片进行可信控制；

所述处理芯片包括可信执行环境，所述可信执行环境基于所述可信根构建，所述可信执行环境用于执行机密计算。
根据权利要求1所述的计算机设备，其特征在于，

所述安全芯片具体用于使用所述可信根获取启动所述处理芯片使用的固件镜像，并在所述处理芯片上电后，使用所述固件镜像引导所述处理芯片启动。
根据权利要求1或2所述的计算机设备，其特征在于，所述可信根包括以下一种或多种：启动根、度量根和加密根。
根据权利要求1至3任一所述的计算机设备，其特征在于，所述处理芯片包括第一访问控制模块；

所述第一访问控制模块用于接收对所述可信根的访问请求，在所述访问请求具有访问权限时，向所述安全芯片转发所述访问请求，在所述访问请求不具有访问权限时，拒绝所述访问请求；

所述安全芯片还用于对所述访问请求进行响应。
根据权利要求1至3任一所述的计算机设备，其特征在于，所述安全芯片包括第二访问控制模块；

所述第二访问控制模块用于接收对所述可信根的访问请求，在所述访问请求具有访问权限时，对所述访问请求进行响应，在所述访问请求不具有访问权限时，拒绝所述访问请求。
根据权利要求1至3任一所述的计算机设备，其特征在于，所述处理芯片包括第三访问控制模块，所述安全芯片包括第四访问控制模块；

所述第三访问控制模块用于接收对所述可信根的访问请求，获取所述访问请求的权限指示信息，向所述安全芯片转发所述访问请求及其权限指示信息；

所述第四访问控制模块用于在所述权限指示信息指示访问请求具有访问权限时，对所述访问请求进行响应，在所述权限指示信息指示访问请求不具有访问权限时，拒绝所述访问请求。
根据权利要求4至6任一所述的计算机设备，其特征在于，来自所述可信执行环境的访问请求具有访问权限，来自所述可信执行环境外的访问请求不具有访问权限。
根据权利要求1至7任一所述的计算机设备，其特征在于，所述处理芯片包括第一通信保护模块，所述安全芯片包括第二通信保护模块，所述第二通信保护模块与所述第一通信保护模块匹配，所述第一通信保护模块和所述第二通信保护模块用于联合对所述安全芯片和所述处理芯片之间的通信进行保护。
根据权利要求8所述的计算机设备，其特征在于，所述第一通信保护模块和所述第二通信保护模块具体用于基于密钥策略，对所述安全芯片和所述处理芯片之间的通信进行保护。
根据权利要求9所述的计算机设备，其特征在于，所述第一通信保护模块和所述第二通信保护模块具体还用于基于签名策略和时间戳策略中的至少一个，对所述安全芯片和所述处理芯片之间的通信进行保护。
根据权利要求1至10任一所述的计算机设备，其特征在于，

所述安全芯片还用于接收所述处理芯片在启动过程中生成的度量值，接收对所述可信执行环境的安全验证请求，基于所述度量值生成度量报告，并基于所述安全验证请求反馈所述度量报告。
根据权利要求1至11任一所述的计算机设备，其特征在于，所述计算机设备还包括内存芯片，所述处理芯片包括内存加密模块；

所述安全芯片还用于使用所述可信根生成密钥，向所述内存加密模块提供所述密钥；

所述内存加密模块用于使用所述密钥对内存数据进行加密，并向所述内存芯片提供经过加密的内存数据，和/或，从所述内存芯片获取经过加密的内存数据，并使用所述密钥对经过加密的内存数据进行解密；

所述内存芯片用于存储经过加密的内存数据，和/或，向所述内存加密模块提供经过加密的内存数据。
一种计算机设备的运行方法，其特征在于，所述计算机设备包括：处理芯片和安全芯片，所述方法包括：

所述安全芯片运行可信根，并基于所述可信根启动所述处理芯片和对所述处理芯片进行可信控制；

所述处理芯片基于所述可信根构建可信执行环境，所述可信执行环境用于执行机密计算。
根据权利要求13所述的方法，其特征在于，所述安全芯片基于所述可信根启动所述处理芯片，包括：

所述安全芯片使用所述可信根获取启动所述处理芯片使用的固件镜像；

所述安全芯片在所述处理芯片上电后，使用所述固件镜像引导所述处理芯片启动。
根据权利要求13或14所述的方法，其特征在于，所述可信根包括以下一种或多种：启动根、度量根和加密根。
根据权利要求13至15任一所述的方法，其特征在于，所述处理芯片包括第一访问控制模块，所述方法还包括：

所述第一访问控制模块接收对所述可信根的访问请求，在所述访问请求具有访问权限时，向所述安全芯片转发所述访问请求，在所述访问请求不具有访问权限时，拒绝所述访问请求；

所述安全芯片对所述访问请求进行响应。
根据权利要求13至15任一所述的方法，其特征在于，所述安全芯片包括第二访问控制模块，所述方法还包括：

所述第二访问控制模块接收对所述可信根的访问请求，在所述访问请求具有访问权限时，对所述访问请求进行响应，在所述访问请求不具有访问权限时，拒绝所述访问请求。
根据权利要求13至15任一所述的方法，其特征在于，所述处理芯片包括第三访问控制模块，所述安全芯片包括第四访问控制模块，所述方法还包括：

所述第三访问控制模块接收对所述可信根的访问请求，获取所述访问请求的权限指示信息，向所述安全芯片转发所述访问请求及其权限指示信息；

所述第四访问控制模块在所述权限指示信息指示访问请求具有访问权限时，对所述访问请求进行响应，在所述权限指示信息指示访问请求不具有访问权限时，拒绝所述访问请求。
根据权利要求16至18任一所述的方法，其特征在于，来自所述可信执行环境的访问请求具有访问权限，来自所述可信执行环境外的访问请求不具有访问权限。
根据权利要求13至19任一所述的方法，其特征在于，所述处理芯片包括第一通信保护模块，所述安全芯片包括第二通信保护模块，所述第二通信保护模块与所述第一通信保护模块匹配，所述方法还包括：

所述第一通信保护模块与所述第二通信保护模块联合对所述安全芯片和所述处理芯片之间的通信进行保护。
根据权利要求20所述的方法，其特征在于，所述第一通信保护模块和所述第二通信保护模块均基于密钥策略，对所述安全芯片和所述处理芯片之间的通信进行保护。
根据权利要求21所述的方法，其特征在于，所述第一通信保护模块和所述第二通信保护模块均基于签名策略和时间戳策略中的至少一个，对所述安全芯片和所述处理芯片之间的通信进行保护。
根据权利要求13至22任一所述的方法，其特征在于，所述方法还包括：

所述安全芯片接收所述处理芯片在启动过程中生成的度量值；

所述安全芯片接收对所述可信执行环境的安全验证请求；

所述安全芯片基于所述度量值生成度量报告，并基于所述安全验证请求反馈所述度量报告。
根据权利要求13至23任一所述的方法，其特征在于，所述计算机设备还包括：内存芯片，所述处理芯片包括内存加密模块，所述方法还包括：

所述安全芯片使用所述可信根生成密钥，向所述内存加密模块提供所述密钥；

所述内存加密模块使用所述密钥对内存数据进行加密，并向所述内存芯片提供经过加密的内存数据；

所述内存芯片存储经过加密的内存数据。
根据权利要求13至24任一所述的方法，其特征在于，所述计算机设备还包括：内存芯片，所述处理芯片包括内存加密模块，所述方法还包括：

所述安全芯片使用所述可信根生成密钥，向所述内存加密模块提供所述密钥；

所述内存芯片向所述内存加密模块提供经过加密的内存数据；

所述内存加密模块使用所述密钥对经过加密的内存数据进行解密。
一种安全芯片，其特征在于，所述安全芯片为权利要求1至12任一所述的安全芯片。
一种计算机可读存储介质，其特征在于，包括程序指令，当所述程序指令在计算机设备上运行时，使得所述计算机设备执行如权利要求13至25任一所述的方法。
一种计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得所述计算机执行如权利要求13至25任一所述的方法。