专利名称:一种可信计算芯片及可信计算系统的制作方法
技术领域:
本发明涉及信息安全领域,具体而言是涉及到可信计算领域,特别是涉及一种可信计算芯片及可信计算系统。
背景技术:
现有可信计算领域中主要有两种可信计算标准,一种是中国制定的TCM可信计算标准,另一种是由信任运算组织TCG制定的TPM可信计算标准。这两种标准既存在着相似性,同时也存在着差异性。现有的TCG可信计算标准是由TCG组织定制的国际标准,该标准与中国制定的可信计算标准有很多差异性,比如可信计算的算法不同。中国制定的可信计算标准使用SM2、SM3、SM4和HMAC算法。而TCG标准中使用RSA、SHA-1、HMAC、DSA、ECC、AES算法。现有的技术如果要在某个安全系统上安装这两种可信计算系统,则需要两片物理芯片,而且要确保相互之间能够兼容,并且需要控制器及解析功能模块来判断当前接收到用户的数据是发送给TPM还是发送给TCM芯片。这样做不仅制作工艺复杂,系统稳定性不高,而且浪费了大量的计算机资源,生产成本较高。
发明内容
为解决上述问题,本发明提供了一种可信计算芯片及可信计算系统,避免了需要两块或多块物理芯片才能支持多种可信计算算法及应用的问题。本发明解决上述技术问题的技术方案如下:一种可信计算芯片,包括:算法功能层、应用功能层、通信单元和平台配置寄存器;所述算法功能层用于存储所述芯片支持的至少一种算法引擎和产生随机数;所述应用功能层用于调用所述算法功能层的算法弓I擎和随机数进行可信处理;所述通信单元用于处理芯片内部各单元之间的通信以及芯片内部与芯片外部之间的通信;所述平台配置寄存器用于存储应用功能层的配置参数值以及应用功能层的处理结果值。进一步的,所述应用功能层包括:平台完整性度量模块、平台身份可信模块和数据安全保护模块;所述平台完整性度量模块用于负责平台的完整性保护;所述平台身份可信模块用于负责平台可信身份标识与证实;所述数据安全保护模块用于负责平台数据密封与绑定。进一步的,所述算法功能层支持的算法引擎至少包括TCM规范定义的算法引擎和TPM规范定义的算法引擎中的一种。更进一步的,所述TCM规范定义的算法引擎包括:SM2、SM3、SM4和HMAC算法中的至少一种;所述TPM规范定义的算法引擎包括:RSA、SHA-1、HMAC、DSA、ECCJP AES算法中的
至少一种。一种可信计算系统,包括:服务模块、安全应用模块,以及以上所述的可信计算芯片;所述可信计算芯片用于提供算法引擎以及平台完整性度量、平台身份认证及数据安全保护;所述服务模块用于对可信计算芯片提供基础资源支持,并向所述安全应用模块提供调用入口 ;所述安全应用模块用于通过服务模块调用可信计算芯片实现基于可信计算的安全功能。进一步的,所述的可信计算系统还包括:可信计算模式设置模块、固件下载单元、固件单元;所述可信计算模式设置模块用于设置可信计算芯片的工作模式;所述固件下载单元用于根据所述可信计算模式设置模块的设置,从所述固件单元中下载相应的固件,并提供给所述可信计算芯片;所述固件单元用于存储支持各可信计算模式的固件。进一步的,所述可信计算模式设置模块设置的模式包括:TCM工作模式、TPM工作模式以及TCM/TPM混合工作模式中的至少一种。进一步的,所述可信计算模式设置模块的模式设置信息为通过BIOS设置,或者通过操作系统中的软件设置。进一步的,所述固件单元内存储的固件包括:TCM工作模式固件、TPM工作模式固件以及TCM/TPM混合工作模式固件中的至少一种。进一步的,所述固件单元中的固件存储在BIOS中,或者存储在计算机可识别的存储介质中。本发明的有益效果是:本发明提供的可信计算芯片及可信计算系统,通过可兼容多种算法引擎,使可信计算系统通过简单的配置能支持多种可信计算算法及应用,不仅提高了系统的兼容性与稳定性,还避免了大量计算机资源的浪费,且大大降低了生产成本。
图1为本发明的可信计算芯片结构图;图2为本发明的可信计算系统图。
具体实施例方式以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。如图1所示,一种可信计算芯片的结构图,包含算法功能层、应用功能层、通信单元和平台配置寄存器。算法功能层包括:符合TCM规范的算法引擎、符合TPM规范的算法引擎中的至少一种以及随机数发生器。应用功能层包含平台完整性度量模块、平台身份可信模块和数据安全保护模块。平台完整性度量模块负责平台的完整性保护;平台身份可信模块负责平台可信身份标识与证实;数据安全保护模块负责平台数据密封与绑定。通信单元用于处理芯片内部各单元之间的通信以及芯片内部与芯片外部之间的通信。算法功能层符合TCM规范的算法包含SM2算法、SM3算法、SM4和HMAC算法中的至少一种。算法功能层符合TPM规范的算法包含RSA算法、SHA-1算法、HMAC算法、DSA算法、ECC算法和AES算法中的至少一种。
平台配置单元用于存储应用功能层的配置参数值以及应用功能层的处理结果值。如图2所示,一种可信计算系统图,包含可信计算芯片、服务模块、安全应用模块、可信计算模式设置模块、固件下载单元、固件单元。可信计算芯片用于提供各种算法以及平台完整性度量、平台身份认证及数据安全保护。服务模块是一个中间件,提供对可信计算基础资源的支持。每个模块由多个部分组成,以提供规范化的函数。服务模块为应用程序调用可信计算安全保护功能提供一个入口点,提供对可信计算模块的同步访问,向应用程序隐藏可信计算模块所建立的功能命令以及管理可信计算模块资源安全应用模块是基于服务模块实现的一系列安全应用程序。可信计算模式设置模块用于设置可信计算芯片的工作模式,工作模式包括TCM工作模式、TPM工作模式,TCM/TPM混合工作模式中的至少一种。固件下载单元根据可信计算模式设置模块的设置从固件单元中下载固件,并提供给可信计算芯片。固件单元包括:TCM工作模式固件、TPM工作模式固件以及TCM/TPM混合工作模式固件中的至少一种。可信计算模式设置模块可在BIOS中设置,或在操作系统中的通过软件进行设置。固件单元可存储在BIOS,也可存储在计算机可识别的存储介质。通过可信计算模式设置工作模式,利用固件下载器从而将对应的固件下载到可信计算单元内,可单独支持中国可信计算标准的密码算法,也可单独支持国际可信计算标准的密码算法,也可以同时支持中国和国际可信计算标准的密码算法。当可信计算模式将可信计算单元设置为TCM工作模式,则将下载TCM工作模式固件到可信计算芯片内,可信计算单元将不对TPM可信计算标准的请求进行响应;当可信计算模式将可信计算单元设置为TPM工作模式,则将下载TPM工作模式固件到可信计算芯片内,则可信计算单元将不对TCM可信计算标准的请求进行响应;当可信计算模式将可信计算单元设置为TCM/TPM混合工作模式,则下载TCM/TPM混合工作模式固件到可信计算芯片内,可信计算单元既对TPM可信计算标准的请求进行响应,也对TCM可信计算标准进行响应。在本实施方式中,算法功能层还可以包含其他的算法引擎,其他算法引擎包含如3DES算法、MD5算法、RC算法等。以上内容是结合具体的实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明;因此,对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
权利要求
1.一种可信计算芯片,其特征在于,包括:算法功能层、应用功能层、通信单元和平台配置寄存器; 所述算法功能层用于存储所述芯片支持的至少一种算法引擎和产生随机数; 所述应用功能层用于调用所述算法功能层的算法引擎和随机数进行可信处理; 所述通信单元用于处理芯片内部各单元之间的通信以及芯片内部与芯片外部之间的通信; 所述平台配置寄存器用于存储应用功能层的配置参数值以及应用功能层的处理结果值。
2.根据权利要求1所述的可信计算芯片,其特征在于,所述应用功能层包括:平台完整性度量模块、平台身份可信模块和数据安全保护模块;所述平台完整性度量模块用于负责平台的完整性保护;所述平台身份可信模块用于负责平台可信身份标识与证实;所述数据安全保护模块用于负责平台数据密封与绑定。
3.根据权利要求1或2所述的可信计算芯片,其特征在于,所述算法功能层支持的算法引擎至少包括TCM规范定义的算法引擎、TPM规范定义的算法引擎中的一种。
4.根据权利要求3所述的可信计算芯片,其特征在于,所述TCM规范定义的算法引擎包括:SM2、SM3、SM4和HMAC算法中的至少一种;所述TPM规范定义的算法引擎包括:RSA、SHA-1、HMAC、DSA、ECCjP AES 算法中的至少一种。
5.一种可信计算系统,其特征在于,包括:服务模块、安全应用模块,以及权利要求1-4任一项所述的可信计算芯片; 所述可信计算芯片用于提供算法引擎以及平台完整性度量、平台身份认证及数据安全保护; 所述服务模块用于对可信计算芯片提供基础资源支持,并向所述安全应用模块提供调用入口 ; 所述安全应用模块用于通过服务模块调用可信计算芯片实现基于可信计算的安全功倉泛。
6.根据权利要求5所述的可信计算系统,其特征在于,还包括:可信计算模式设置模块、固件下载单元、固件单元; 所述可信计算模式设置模块用于设置可信计算芯片的工作模式; 所述固件下载单元用于根据所述可信计算模式设置模块的设置,从所述固件单元中下载相应的固件,并提供给所述可信计算芯片; 所述固件单元用于存储支持各可信计算模式的固件。
7.根据权利要求6所述的可信计算系统,其特征在于,所述可信计算模式设置模块设置的模式包括=TCM工作模式、TPM工作模式以及TCM/TPM混合工作模式中的至少一种。
8.根据权利要求6或7所述的可信计算系统,其特征在于,所述可信计算模式设置模块的模式设置信息为通过BIOS设置,或者通过操作系统中的软件设置。
9.根据权利要求7所述的可信计算系统,其特征在于,所述固件单元内存储的固件包括:TCM工作模式固件、TPM工作模式固件以及TCM/TPM混合工作模式固件中的至少一种。
10.根据权利要求6或9所述的可信计算系统,其特征在于,所述固件单元中的固件存储在BIOS中,或者存储在计算机可识别的存储介质中。
全文摘要
本发明公开了一种可信计算芯片及可信计算系统。本发明的可信计算芯片包括算法功能层、应用功能层、通信单元和平台配置寄存器。本发明的可信计算系统包括服务模块、安全应用模块、可信计算芯片、可信计算模式设置模块、固件下载单元、固件单元。本发明的可信计算芯片及可信计算系统,通过简单的配置使可信计算系统能支持多种可信计算算法及应用,不仅提高了系统的兼容性与稳定性,还避免了大量计算机资源的浪费,且大大降低了生产成本。
文档编号G06F21/71GK103106373SQ201110355020
公开日2013年5月15日 申请日期2011年11月10日 优先权日2011年11月10日
发明者付月朋, 王正鹏, 艾俊 申请人:国民技术股份有限公司