[发明专利]一种可信计算系统及安全防护系统

说明书

本申请提供了一种可信计算系统及安全防护系统，可信计算系统中的可信密码模块为可信计算平台提供密码运算支持；可信平台控制模块在可信密码模块的基础上加入信任根，将密码与控制相结合；可信计算平台对可信计算系统的各个节点进行可信度量；可信BIOS平台为可信计算平台的信任链传递提供支持；可信软件模块对可信计算系统的各个节点进行可信验证并监控可信计算系统；可信应用软件作为可信计算平台和可信密码模块之间的系统调用；网络层对可信应用软件、可信计算平台和可信密码模块进行策略验证。通过安全可信策略管控下的运算和防护并存的可信计算系统，能够有效的对大数据环境下的网络空间提供安全防护。

技术领域

本申请涉及可信计算技术领域，具体而言，涉及一种可信计算系统及安全防护系统。

背景技术

当前大部分网络安全系统主要是由防火墙、入侵监测和病毒查杀等组成，称为“老三样”。首先，老三样根据已发生过的特征库内容进行比对查杀，面对层出不穷的新漏洞与攻击方法，这种被动应对是防不胜防的；其次，老三样属于超级用户，权限越规，违背了基本的安全原则；第三，老三样可以被攻击者控制，成为网络攻击的平台，因此网络安全风险极大。

由于人们对IT认知逻辑的局限性，不能穷尽所有逻辑组合，只能局限于完成计算任务去设计IT系统，必定存在逻辑不全的缺陷，从而形成了难以应对人为利用缺陷进行攻击的网络安全问题。

发明内容

有鉴于此，本申请的目的在于提供一种可信计算系统及安全防护系统，通过安全可信策略管控下的运算和防护并存的可信计算系统，具有主动免疫功能的安全防护作用，进而能够有效的对大数据环境下的网络空间提供安全防护。

本申请提供一种可信计算系统，所述可信计算系统包括：可信密码模块、可信平台控制模块、可信计算平台、可信BIOS平台、可信软件模块、可信应用软件和网络层；

所述可信密码模块用于为所述可信计算平台提供密码运算支持；所述可信平台控制模块用于在所述可信密码模块的基础上加入信任根，将密码与控制相结合以对所述可信计算平台进行控制；所述可信计算平台用于在增加可信度量控制节点之后，通过所述可信平台控制模块对所述可信计算系统的各个节点进行可信度量，以及为所述可信软件模块提供信任数据；所述可信BIOS平台用于为所述可信计算平台的信任链传递提供支持；所述可信软件模块用于在不改变可信应用软件的基础上对所述可信计算系统的各个节点进行可信验证，结合所述可信平台控制模块的信任数据监控所述可信计算系统；所述可信应用软件用于作为所述可信计算平台和所述可信密码模块之间的系统调用；所述网络层与所述可信应用软件连接，用于对所述可信应用软件、所述可信计算平台和所述可信密码模块进行策略验证。

优选地，所述可信软件模块包括宿主操作系统和可信软件基；

所述可信软件基用于保护所述宿主操作系统和所述可信应用软件的安全，管理所述可信平台控制模块并承接所述可信平台控制模块的信任链传递；所述宿主操作系统用于与所述可信BIOS平台连接，与所述可信BIOS平台进行数据通信。

优选地，所述网络层采用三元三层对等的可信连接架构。

本申请还提供一种安全防护系统，包括云计算平台、边界交互系统和如上所述的可信计算系统；

所述云计算平台用于处理异构数据，并将处理后的异构数据通过所述边界交互系统发送给所述可信计算系统。

优选地，所述云计算平台还包括可信管理系统，所述可信管理系统用于对所述云计算平台进行统一可信管理和运维。

优选地，所述安全防护系统还包括可信基础软件和可信硬件平台；

所述可信基础软件在所述可信硬件平台上进行可信验证，以保证所述可信计算系统的可信状态。

优选地，所述可信基础软件包括可信基准库、支撑机制模块、主动监控模块和协作机制模块，