[发明专利]可信计算系统构建方法、装置、可信计算系统及处理器

说明书

本申请公开了一种可信计算系统构建方法、装置、可信计算系统及处理器。该方法包括：建立目标芯片与外接持久化存储区之间的连接，以构建可信计算模块，其中，持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件，目标芯片读取可信平台控制模块固件、可信软件基以及可信密码模块固件；通过PCIE接口和预置接口建立可信计算模块与计算机主板之间的连接，以构建可信计算系统，通过本申请，解决了相关技术中以TPM方式所实现的可信计算系统难以提升计算机系统的防御能力的问题。

技术领域

本申请涉及可信计算领域，具体而言，涉及一种可信计算系统构建方法、装置、可信计算系统及处理器。

背景技术

当前的网络空间极其脆弱，网络攻击事件层出不穷，且日益猖獗。究其根源，在于并没有从网络安全风险的实质原因入手解决问题，一味采用以“防火墙”、“病毒查杀”、“入侵检测”等为代表的“封堵查杀”被动防御手段，防不胜防，特别在面对针对目标系统的漏洞发起的攻击时，根本无法有效防御。

为解决当前网络空间安全面临的问题，国际上TCG组织提出了可信计算的方法，提出了以TPM和BIOS起始代码为信任根，一级度量一级，进而构建起计算机的信任链，保护计算机重要资源不被非法篡改和破坏，起到了较好的效果。TPM是作为计算机的外部设备，以被动挂接的方式，通过主机软件调用来发挥作用，仅能对计算机的固件和可执行程序等资源进行静态度量。以TPM方式所实现的可信计算平台实质是单系统架构，只有被主机程序调用才会发挥作用，其安全能力完全依赖于主机系统的安全性，并不能实质上提升计算机系统的主动防御能力，一旦主机被攻击者控制，TPM的作用就会无从发挥，导致TCG的可信计算架构在面对黑客利用计算机系统逻辑缺陷进行攻击时，基本难以抵御。例如Windows 10完全实现了TCG的可信计算架构，但是却未能阻止部分病毒的攻击。

此外，以TPM方式所实现的可信计算平台实质是单系统架构，TPM在对计算机的资源访问、控制上都有局限性。TPM仅能对计算机的固件和可执行程序等资源进行静态度量，无法对应用执行及其所依赖的执行环境进行动态度量。

针对相关技术中以TPM方式所实现的可信计算系统难以提升计算机系统的防御能力的问题，目前尚未提出有效的解决方案。

发明内容

本申请提供一种可信计算系统构建方法、装置、可信计算系统及处理器，以解决相关技术中以TPM方式所实现的可信计算系统难以提升计算机系统的防御能力的问题。

根据本申请的一个方面，提供了一种可信计算系统构建方法。该方法包括：建立目标芯片与外接持久化存储区之间的连接，以构建可信计算模块，其中，持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件，目标芯片读取可信平台控制模块固件、可信软件基以及可信密码模块固件；通过PCIE接口和预置接口建立可信计算模块与计算机主板之间的连接，以构建可信计算系统，其中，可信计算模块用于构成可信计算系统的防护子系统，计算机主板用于构成可信计算系统的计算子系统，防护子系统与计算子系统并行运行，用于对计算子系统进行主动度量。

进一步地，通过PCIE接口和预置接口建立可信计算模块与计算机主板之间的连接包括：可信计算模块通过预置接口控制计算机主板上的时序控制电路，使得目标芯片在计算机主板上的中央处理器启动前启动；可信计算模块通过预置接口读取计算机主板上的固件存储区中的BIOS固件；可信计算模块通过PCIE接口读取计算机主板上的内存数据。

进一步地，该方法还包括：在目标芯片启动时，目标芯片加载可信平台控制模块固件，并利用可信平台控制模块固件对目标芯片的固有固件进行可信性度量，在度量结果可信的情况下加载目标芯片的固有固件。