【技术实现步骤摘要】
本申请涉及处理器,尤其涉及一种安全度量方法、安全架构系统及计算机设备。
技术介绍
1、随着用户对设备安全性要求的不断提高,越来越多的安全技术应用到计算机设备中。随着设备软件功能的日趋丰富,以及设备数据量的不断增加,越来越多以及越来越多样化的数据和程序运行于设备芯片架构系统中,由此使得保障芯片架构系统的安全成为了保障计算机设备安全的重要手段。因此,有必要研究能够保障芯片架构系统安全的技术方案,以提高设备安全性。
技术实现思路
1、基于上述技术现状,本申请提出一种安全度量方法、安全架构系统及计算机设备,以实现兼容tcm、tpm和tpcm为目标对象提供安全度量服务的目的,能够实现对处理器架构系统的安全性度量,从而有利于保障处理器架构系统以及设备的安全性。
2、为实现上述技术目的,本申请提出如下技术方案:
3、第一方面,本申请提出一种安全度量方法,应用于安全架构系统,安全架构系统包括普通执行环境子系统ree、可信执行环境子系统tee和安全元件子系统se,在除ree之外的子系统中构建有可信计算服务支撑平台,可信计算服务支撑平台包括可信密码模块tcm、可信平台模块tpm和可信平台控制模块tpcm;tcm包括tcm服务模块和tcm密码模块,tpm包括tpm服务模块和tpm密码模块;tcm密码模块和tcm服务模块运行于除ree之外的不同子系统中,和/或,tpm密码模块和tpm服务模块运行于除ree之外的不同子系统中;该方法包括:在主动安全度量功能被触发的情况下,利用tpcm
4、另外,需要说明的是,相关现有技术中,外置tpm、tcm以及tpcm的实现方式,会额外增加计算机设备中硬件资源的消耗。而本申请提出的专利技术构思,在不涉及可信计算的场景下,可以直接升级传统技术中关于处理器的设置;在涉及可信计算的场景下,可以直接更新处理器中关于可信技术的设置。这里,关于可信技术的实现方案可以包括:外置tpm、tcm以及tpcm中的一个或多个;或者,处理器内部集成一个tpm;或者,处理器内部集成一个tcm;或者,处理器内部集成一个tpm和一个tcm等等。
5、在一种实现方式中,tpm密码模块和tcm密码模块运行于同一子系统,而不是分开运行在不同的处理器核上,以这种方式,可以节省处理器资源;另外,以同构的方式设置,可以降低设计复杂度。
6、在一种实现方式中,tpcm、tcm服务模块和tpm服务模块运行于tee中,tcm密码模块和tpm密码模块运行于se中。将服务模块和密码模块分开设置,可以有效提高密码模块安全性。同时,提高tpcm、tpm服务模块、tcm服务模块软件产品开发设计的灵活性。
7、在一种实现方式中,tee和se运行在第一处理器核中,或者,tee运行在第一处理器核中,se运行在第二处理器核中。tee和se运行在同一个处理器核上,而不是分开运行在不同的处理器核上,以这种方式,可以节省处理器资源;另外,以同构的方式设置,可以降低设计复杂度。tee和se分别运行于不同的处理器核上,这使得se具有独立处理任务、响应请求的能力,使得se的任务执行完全独立且不受其他子系统执行环境的影响,有利于提高安全架构系统的安全性,同时也有利于se的任务执行效率的提升。
8、在一种实现方式中,tcm服务模块,还用于直接响应安全服务请求,为目标对象提供安全服务;tpm服务模块,还用于直接响应安全服务请求,为目标对象提供安全服务;响应于安全服务请求,利用tcm和/或tpm为目标对象提供安全度量服务,包括:选择与安全服务请求对应的安全服务模块为目标对象提供安全度量服务;安全服务模块包括tcm密码模块、tcm服务模块、tpm密码模块和tpm服务模块中的至少一者,安全服务请求包括第一类tcm安全服务请求、第二类tcm安全服务请求、第一类tpm安全服务请求和第二类tpm安全服务请求中的至少一种;第一类tcm安全服务请求与tcm密码模块对应,第二类tcm安全服务请求与tcm服务模块对应,第一类tpm安全服务请求与tpm密码模块对应,第二类tpm安全服务请求与tpm服务模块对应。基于该实现方式,安全架构系统能够实现更多方式的安全度量,提高了安全度量的适用性。
9、在一种实现方式中,目标对象包括可信应用和普通应用,ree中运行有普通应用,tee中运行有可信应用,安全服务请求包括tcm安全服务请求和/或tpm安全服务请求;tcm还包括tcm驱动模块,tpm还包括tpm驱动模块;tcm驱动模块,用于响应普通应用或可信应用的tcm服务发起请求,发起tcm安全服务请求;tpm驱动模块,用于响应普通应用或可信应用的tpm服务发起请求,发起tpm安全服务请求。基于这种实现方式,tcm驱动模块和tpm驱动模块可以满足应用程序发起安全服务请求的需求,实现安全服务请求的顺利触发。
10、在一种实现方式中,tcm安全服务请求包括第一类tcm安全服务请求和/或第二类tcm安全服务请求,tpm安全服务请求包括第一类tpm安全服务请求和/或第二类tpm安全服务请求;tcm服务模块,还用于直接响应第二类tcm安全服务请求,为目标对象提供安全度量服务;tpm服务模块,还用于直接响应第二类tpm安全服务请求,为目标对象提供安全度量服务。在这一实现方式中,tcm服务模块和tpm服务模块可以提供安全度量服务,从而进一步提升了系统安全度量性能和适用性。
11、在一种实现方式中,tcm驱动模块设置于ree和/或tee中,以及,tpm驱动模块设置于ree和/或tee中。tcm驱动模块和tpm驱动模块在ree和/或tee的设置,可以实现不同结构的安全架构系统,同时可以使得ree和/或tee中的应用程序以各种不同的方式发起安全服务请求。
12、在一种实现方式中,在ree中设置有tcm驱动模块以及tpm驱动模块的情况下,安全服务请求包括:普通应用通过tcm驱动模块向tcm密码模块直接发起的第一类tcm安全服务请求、普通应用通过tpm驱动模块向tpm密码模块直接发起的第一类tpm安全服务请求、普通应用通过tcm驱动模块向tcm服务模块发起的第一类tcm安全服务请求或第二类tcm安全服务请求、普通应用通过tpm驱动模块向tpm服务模块发起的第一类tpm安全服务请求或第二类tpm安全服务请求中的至少一种。在本文档来自技高网...
【技术保护点】
1.一种安全度量方法,其特征在于,应用于安全架构系统,所述安全架构系统包括普通执行环境子系统REE、可信执行环境子系统TEE和安全元件子系统SE,在除所述REE之外的子系统中构建有可信计算服务支撑平台,所述可信计算服务支撑平台包括可信密码模块TCM、可信平台模块TPM和可信平台控制模块TPCM;
2.根据权利要求1所述的安全度量方法,其特征在于,所述TPM密码模块和所述TCM密码模块运行于同一子系统。
3.根据权利要求2所述的安全度量方法,其特征在于,所述TPCM、所述TCM服务模块和所述TPM服务模块运行于所述TEE中,所述TCM密码模块和所述TPM密码模块运行于所述SE中。
4.根据权利要求1-3任一项所述的安全度量方法,其特征在于,所述TEE和所述SE运行在第一处理器核中,或者,所述TEE运行在所述第一处理器核中,所述SE运行在第二处理器核中。
5.根据权利要求1所述的安全度量方法,其特征在于,所述TCM服务模块,还用于直接响应所述安全服务请求,为所述目标对象提供安全服务;所述TPM服务模块,还用于直接响应所述安全服务请求,为
6.根据权利要求1所述的安全度量方法,其特征在于,所述目标对象包括可信应用和普通应用,所述REE中运行有所述普通应用,所述TEE中运行有所述可信应用,所述安全服务请求包括TCM安全服务请求和/或TPM安全服务请求;
7.根据权利要求6所述的安全度量方法,其特征在于,所述TCM安全服务请求包括第一类TCM安全服务请求和/或第二类TCM安全服务请求,所述TPM安全服务请求包括第一类TPM安全服务请求和/或第二类TPM安全服务请求;
8.根据权利要求7所述的安全度量方法,其特征在于,所述TCM驱动模块设置于所述REE和/或所述TEE中,以及,所述TPM驱动模块设置于所述REE和/或所述TEE中。
9.根据权利要求8所述的安全度量方法,其特征在于,在所述REE中设置有所述TCM驱动模块以及所述TPM驱动模块的情况下,所述安全服务请求包括:
10.根据权利要求9所述的安全度量方法,其特征在于,在所述REE中设置有所述TCM驱动模块以及所述TPM驱动模块,并且所述TEE中设置有所述TCM驱动模块以及所述TPM驱动模块的情况下,所述安全服务请求还包括:
11.根据权利要求9所述的安全度量方法,其特征在于,在所述REE中设置有所述TCM驱动模块以及所述TPM驱动模块,并且所述TEE中设置有所述TCM驱动模块的情况下,所述安全度量服务请求还包括:
12.根据权利要求9所述的安全度量方法,其特征在于,在所述REE中设置有所述TCM驱动模块以及所述TPM驱动模块,并且所述TEE中设置有所述TPM驱动模块的情况下,所述安全服务请求还包括:
13.根据权利要求8所述的安全度量方法,其特征在于,在所述TEE中设置有所述TCM驱动模块以及所述TPM驱动模块的情况下,所述安全服务请求包括:
14.根据权利要求13所述的安全度量方法,其特征在于,在所述TEE中设置有所述TCM驱动模块以及所述TPM驱动模块,并且所述REE中设置有所述TCM驱动模块的情况下,所述安全服务请求还包括:
15.根据权利要求13所述的安全度量方法,其特征在于,在所述TEE中设置有所述TCM驱动模块以及所述TPM驱动模块,并且所述REE中设置有所述TPM驱动模块的情况下,所述安全度量服务请求还包括:
16.根据权利要求8所述的安全度量方法,其特征在于,在所述REE中设置所述TCM驱动模块以及所述TEE中设置所述TPM驱动模块的情况下,所述安全服务请求包括:
17.根据权利要求8所述的安全度量方法,其特征在于,在所述REE中设置所述TPM驱动模块以及所述TEE中设置所述TCM驱动模块的情况下,所述安全度量服务请求包括:
18.根据权利要求6-17中任意一项所述的安全度量方法,其特征在于,所述TEE和所述SE运行在第一处理器核中,或者,所述TEE运行在所述第一处理器核中,所述SE运行在第二处理器核中;将所述第一处理器核虚拟为一个安全核;
19.根据权利要求6-17任一项所述的安全度量方法,其特征在于,所述TPM驱动模块还包括第一密钥表,所述TCM驱动模块还包括第二密钥表,所述第一密钥表中包括第一密钥和所述TPM支持的密钥类型,所述第二密钥表中包括第二密钥和所述TCM支持的密钥类型;
20.根据权利要求1所述的安全度量方法,其特征在于,所述安全架构系统中存储有所述TPCM、所述TCM和所述TPM各自对应的安全...
【技术特征摘要】
1.一种安全度量方法,其特征在于,应用于安全架构系统,所述安全架构系统包括普通执行环境子系统ree、可信执行环境子系统tee和安全元件子系统se,在除所述ree之外的子系统中构建有可信计算服务支撑平台,所述可信计算服务支撑平台包括可信密码模块tcm、可信平台模块tpm和可信平台控制模块tpcm;
2.根据权利要求1所述的安全度量方法,其特征在于,所述tpm密码模块和所述tcm密码模块运行于同一子系统。
3.根据权利要求2所述的安全度量方法,其特征在于,所述tpcm、所述tcm服务模块和所述tpm服务模块运行于所述tee中,所述tcm密码模块和所述tpm密码模块运行于所述se中。
4.根据权利要求1-3任一项所述的安全度量方法,其特征在于,所述tee和所述se运行在第一处理器核中,或者,所述tee运行在所述第一处理器核中,所述se运行在第二处理器核中。
5.根据权利要求1所述的安全度量方法,其特征在于,所述tcm服务模块,还用于直接响应所述安全服务请求,为所述目标对象提供安全服务;所述tpm服务模块,还用于直接响应所述安全服务请求,为所述目标对象提供安全服务;
6.根据权利要求1所述的安全度量方法,其特征在于,所述目标对象包括可信应用和普通应用,所述ree中运行有所述普通应用,所述tee中运行有所述可信应用,所述安全服务请求包括tcm安全服务请求和/或tpm安全服务请求;
7.根据权利要求6所述的安全度量方法,其特征在于,所述tcm安全服务请求包括第一类tcm安全服务请求和/或第二类tcm安全服务请求,所述tpm安全服务请求包括第一类tpm安全服务请求和/或第二类tpm安全服务请求;
8.根据权利要求7所述的安全度量方法,其特征在于,所述tcm驱动模块设置于所述ree和/或所述tee中,以及,所述tpm驱动模块设置于所述ree和/或所述tee中。
9.根据权利要求8所述的安全度量方法,其特征在于,在所述ree中设置有所述tcm驱动模块以及所述tpm驱动模块的情况下,所述安全服务请求包括:
10.根据权利要求9所述的安全度量方法,其特征在于,在所述ree中设置有所述tcm驱动模块以及所述tpm驱动模块,并且所述tee中设置有所述tcm驱动模块以及所述tpm驱动模块的情况下,所述安全服务请求还包括:
11.根据权利要求9所述的安全度量方法,其特征在于,在所述ree中设置有所述tcm驱动模块以及所述tpm驱动模块,并且所述tee中设置有所述tcm驱动模块的情况下,所述安全度量服务请求还包括:
12.根据权利要求9所述的安全度量方法,其特征在于,在所述ree中设置有所述tcm驱动模块以及所述tpm驱动模块,并且所述tee中设置有所述tpm驱动模块的情况下,所述安全服务请求还包括:
13.根据权利要求8所述的安全度量方法,其特征在于,在所述t...
【专利技术属性】
技术研发人员:黎媛,冯彦朝,张明,朱青山,
申请(专利权)人:飞腾信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。