[发明专利]一种双体系可信计算系统及方法

说明书

本发明公开了一种双体系可信计算系统及方法，该系统包括：可信管理中心和与可信管理中心连接的至少一个双体系可信计算节点，双体系可信计算节点包括：并行的计算子系统和防护子系统，计算子系统与防护子系统之间具有安全隔离机制，通过专用访问通道进行交互；计算子系统用于执行计算任务，防护子系统用于根据可信管理中心中的可信策略，对计算子系统进行度量和控制，并将度量记录发送给可信管理中心，可信管理中心用于对度量记录进行统计分析。本发明所提供的系统及方法，通过并行的计算子系统和防护子系统实现在计算的同时进行主动安全防护，保证计算任务不被干扰和破坏，可抵御各种已知的和未知的攻击。

技术领域

本发明涉及信息安全领域，具体涉及一种双体系可信计算系统及方法。

背景技术

中国是世界上最大的网络市场，随着互联网的普及，网络安全事件直线上升。采用传统重计算轻防御的模式，将导致个人电脑被入侵、企业生产系统被破坏、城乡基础设施故障、国家重要信息系统被破坏，影响无处不在。随着5G网络时代的到来，移动互联网、物联网、云计算、大数据、雾计算等新计算、新应用的兴起，网络安全形势变的更加的严峻，传统的基于防火墙、入侵检测、病毒防范、漏洞升级为代表的修补式的安全防护手段已经不能适应目前的新情况。

防火墙、入侵检测、病毒防范等传统的安全防护手段根据已经发生过的特征库内容进行对比查杀，面对层出不穷的新漏洞和攻击方法令其防不胜防；其自身采用的是超级用户模式、违背了基本的安全原则，可能直接导致内部人员泄密事件；另外，传统安全防护手段可以被攻击者控制而成为新的攻击平台，如“棱镜门”就是用防火墙窃取情报。

中国可信计算是指计算运算的同时进行安全防护，计算全程可测可控，不被干扰，只有这样方能使计算结果总是与预期一样。这种主动免疫的计算模式改变了传统的只讲求计算效率，而不讲安全防护的片面计算模式中国可信计算的概念得到了政府、军队、企业等的广泛认可与推广。经过多年的发展，国内可信计算理论与技术的理论、研究、实践成果已经领先于其他国家，发展到了具有主动控制、主动度量的可信计算3.0时代。

因此，市场迫切需要运用具有主动免疫能力的中国可信计算3.0技术，以抵御已知、未知的各种攻击。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种双体系可信计算系统及方法，通过并行的计算子系统和防护子系统能够主动防御人为利用系统缺陷进行攻击的危害。

为实现上述目的，本发明采用的技术方案如下：

一种双体系可信计算系统，所述系统包括：可信管理中心和与所述可信管理中心连接的至少一个双体系可信计算节点，所述双体系可信计算节点包括：并行的计算子系统和防护子系统，所述计算子系统与所述防护子系统之间具有安全隔离机制，通过专用访问通道进行交互；

所述计算子系统用于执行计算任务，所述防护子系统用于根据所述可信管理中心中的可信策略，对所述计算子系统进行度量和控制，并将度量记录发送给所述可信管理中心，所述可信管理中心用于对所述度量记录进行统计分析。

进一步，所述计算子系统，还用于接收所述防护子系统植入的TSB代理程序，并加载在自身内部的操作系统中；

所述TSB代理程序，用于获取所述计算子系统的度量参数，并发送给所述防护子系统的可信软件基；

所述可信软件基，用于根据所述可信策略对所述度量参数进行度量，得到度量结果；

所述TSB代理程序，还用于根据所述度量结果协助所述防护子系统对所述计算子系统进行控制。

进一步，如上所述的一种双体系可信计算系统，所述可信软件基包括：度量机制、判定机制、控制机制和支撑机制；

所述度量机制用于根据所述可信策略对所述计算子系统进行度量，得到度量结果；