[发明专利]可信计算系统构建方法、装置、可信计算系统及处理器

权利要求书

1.一种可信计算系统构建方法，其特征在于，包括：

建立目标芯片与外接持久化存储区之间的连接，以构建可信计算模块，其中，所述芯片为嵌入式芯片，所述持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件，所述目标芯片读取所述可信平台控制模块固件、所述可信软件基以及所述可信密码模块固件；

通过PCIE接口和预置接口建立所述可信计算模块与计算机主板之间的连接，以构建可信计算系统，其中，所述可信计算模块用于构成所述可信计算系统的防护子系统，所述计算机主板用于构成所述可信计算系统的计算子系统，所述防护子系统与所述计算子系统并行运行，用于对所述计算子系统进行主动度量；

其中，所述预置接口用于通过第一总线控制所述计算机主板上的时序控制电路，和/或通过第二总线读取BIOS固件，和/或通过第三总线控制所述计算机主板上的外置设备；

在所述目标芯片启动时，所述目标芯片加载所述可信平台控制模块固件，并利用所述可信平台控制模块固件对所述目标芯片的固有固件进行可信性度量，在度量结果可信的情况下加载所述目标芯片的固有固件；

其中，所述目标芯片还包括：第一接口，用于与所述可信计算模块的同步动态随机存取内存进行数据传输；第二接口，用于与所述持久化存储区进行数据传输；第三接口，用于通过数据线进行目标芯片内的各个模块之间的数据传输；

与密码密钥相关的操作在所述目标芯片内的存储区进行，包括：在可信平台控制模块密钥生成阶段，由密码算法引擎生成的明文密钥通过静态随机存取存储器送入片上存储器中，再经过存储密钥加密之后送到芯片外的所述静态随机存取存储器中，并保存于所述持久化存储区上。

2.根据权利要求1所述的方法，其特征在于，通过PCIE接口和预置接口建立所述可信计算模块与计算机主板之间的连接包括：

所述可信计算模块通过所述预置接口控制所述计算机主板上的时序控制电路，使得所述目标芯片在所述计算机主板上的中央处理器启动前启动；

所述可信计算模块通过所述预置接口读取所述计算机主板上的固件存储区中的BIOS固件；

所述可信计算模块通过所述PCIE接口读取所述计算机主板上的内存数据。

3.一种可信计算系统，其特征在于，包括：

可信计算模块，至少包括互相连接的目标芯片与外接持久化存储区，其中，所述芯片为嵌入式芯片，所述持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件，所述目标芯片读取所述可信平台控制模块固件、所述可信软件基以及所述可信密码模块固件，在所述目标芯片启动时，所述目标芯片加载所述可信平台控制模块固件，并利用所述可信平台控制模块固件对所述目标芯片的固有固件进行可信性度量，在度量结果可信的情况下加载所述目标芯片的固有固件；

计算机主板，通过PCIE接口和预置接口与所述可信计算模块连接；

其中，所述预置接口用于通过第一总线控制所述计算机主板上的时序控制电路，和/或通过第二总线读取BIOS固件，和/或通过第三总线控制所述计算机主板上的外置设备；

其中，所述目标芯片还包括：第一接口，用于与所述可信计算模块的同步动态随机存取内存进行数据传输；第二接口，用于与所述持久化存储区进行数据传输；第三接口，用于通过数据线进行目标芯片内的各个模块之间的数据传输；

与密码密钥相关的操作在所述目标芯片内的存储区进行，包括：在可信平台控制模块密钥生成阶段，由密码算法引擎生成的明文密钥通过静态随机存取存储器送入片上存储器中，再经过存储密钥加密之后送到芯片外的所述静态随机存取存储器中，并保存于所述持久化存储区上。

4.根据权利要求3所述的可信计算系统，其特征在于，所述可信计算模块还包括：

同步动态随机存取内存，与所述目标芯片连接，用于对数据进行存储。

5.根据权利要求3所述的可信计算系统，其特征在于，所述持久化存储区包括：

用户存储区，用于存储所述目标芯片的目标用户的行为数据；

可信存储区，用于至少存储所述目标芯片的固有固件、所述可信平台控制模块固件、所述可信软件基、可信密码模块固件以及度量日志，其中，所述度量日志为所述可信计算模块对所述计算机主板进行可信度量时产生的日志。