专利名称:计算机用可信计算信任根设备及计算机的制作方法
技术领域:
本实用新型涉及计算机技术领域,特别是涉及一种计算机用可信计算信任根设备 及计算机。
背景技术:
传统的安全手段往往集中在网络边界,这是人们对待信息安全问题上的一个误 区。事实上,终端是创建和存放重要数据的源头,而且绝大多数的攻击事件都是从终端发起 的。究其根源,安全问题主要是由终端体系结构和操作系统的不安全所引起的,例如可能导 致资源被任意使用,尤其是执行代码可修改,恶意程序可以植入攻击程序,肆意进行破坏更 为严重的是对合法的用户没有进行严格的访问控制,可以进行超越权限访问,造成不安全 事故。传统安全手段过分强调了易用性,而忽略了安全性。在传统的系统中,密钥和授权信 息都直接存储在内存和硬盘之中,攻击者有很多的方法来获取它们。导致终端不安全。为解决如何从终端操作平台实施高等级的安全防范,将不安全因素将从终端源头 被控制,目前是通过可信计算(Trusted Computing, TC)技术来实现,可信计算即通过向 计算机硬件平台引入安全芯片(TPM,Trusted Platform Module,可信赖平台模块或TCM, Trusted Cryptography Module,可信密码模块)架构,密钥和授权信息等这些秘密数据都 是由安全芯片(TPM或TCM)来保护的。通过其提供的安全特性来提高终端系统的安全性, 从而在根本上实现了对各种不安全因素的主动防御。其核心是在用户与计算机、网络平台 间建立一种信任机制。现有的可信计算架构的计算机,由于要设置安全芯片(TPM或TCM),一般要采用特 殊架构的主板,在其上集成安全芯片(TPM或TCM),或通过设置特殊的接口来安装安全芯片 (TPM或TCM),从而形成具有可信计算功能的计算机。而普通的计算机由于主板上未设置安 全芯片(TPM或TCM),或不具有安装安全芯片(TPM或TCM)的接口,从而导致无法实现可信 计算,从而导致普通的计算机无法利用可信计算技术来提高使用中的安全性。
实用新型内容基于上述现有技术所存在的问题,本实用新型实施例提供一种计算机用可信计算 信任根设备及计算机,解决普通计算机无法安装安全芯片实现可信计算的问题。本实用新型的目的是通过下述技术方案实现的本实用新型实施例提供一种计算机用可信计算信任根设备,包括电路板、接口转换模块和至少一个信任根模块;所述电路板上设有接口,所述接口与计算机主板的PCI接口或PCI-E接口或USB 接口相匹配;所述接口转换模块和信任根模块均设置在电路板上;所述接口转换模块,用于对各模块经所述电路板的接口与计算机的PCI接口或 PCI-E接口或USB接口进行数据交换;所述信任根模块,用于进行密钥生成、加解密处理,及存储密钥和敏感数据,提供
3完整性度量,数据安全保护和身份认证信息。所述信任根模块可为多个,分别用于对应处理不同权限用户的安全数据。所述信任根设备还包括身份识别模块和主控模块;所述身份识别模块和主控模 块均设置在所述电路板上,分别与所述接口转换模块电连接;所述身份识别模块,用于对用户的身份进行识别,并将识别后确认的用户信息传 输至所述主控模块;所述主控模块,用于根据所述身份识别模块确认的用户信息的权限开通相应的信 任根模块。所述信任根设备还包括非易失存储模块,与所述主控模块电连接,用于当所述主 控模块控制的信任根模块存储空间不足时,存储信任根模块加密后的数据。所述身份识别模块采用指纹识别模块、虹膜识别模块、USB KEY识别模块、智能卡 识别模块中的任一种。所述主控模块采用ASIC芯片;或所述主控模块采用通过IP核在其上实现控制功 能的CPLD芯片或FPGA芯片。所述接口转换模块设置在所述主控模块内,通过主控模块与所述电路板的接口及 各模块电连接。所述接口转换模块设置在所述电路板上,与所述电路板的接口及各模块电连接。 所述接口转换模块采用PCI接口或PCI-E接口或USB接口的ASIC芯片;或所述接 口转换模块采用通过IP核在其上实现PCI接口或PCI-E接口或USB接口功能的CPLD芯片 或FPGA芯片。所述信任根模块采用TPM芯片或TCM芯片。本实用新型实施例还提供一种计算机,包括主机、可信计算信任根设备,存储装置、输入装置和输出装置;其中可信计算信任 根设备采用上述的可信计算信任根设备;所述存储装置、输入装置和输出装置均与所述主机内的主板电连接;所述可信计 算信任根设备连接至所述主机内主板的PCI插槽或PCI-E插槽或USB接口与所述主板电连接。从上述本实用新型实施例提供的技术方案中可以看出,本实用新型实施例中通过 在具有与计算机的PCI接口或PCI-E接口或USB接口相匹配接口的电路板上设置接口转换 模块、身份识别模块、主控模块和至少一个信任根模块,形成一种可连接至普通计算机主板 的PCI接口或PCI-E接口或USB接口上使用的可信计算信任根设备。利用该可信计算信任 根设备使得普通计算机增加可信计算功能,以较简单的方式使普通计算机具备了可信计算 机的安全性。
图1为本实用新型实施例一提供的可信计算信任根设备的结构框图;图2为本实用新型实施例一提供的另一种可信计算信任根设备的结构框图;图3为本实用新型实施例二提供的可信计算信任根设备的结构框图;图4为本实用新型实施例二提供的另一种可信计算信任根设备的结构框4[0031]图5为本实用新型实施例三提供的计算机的结构示意图。
具体实施方式
以下结合附图和具体实施例对本实用新型作进一步说明。实施例一本实施例一提供一种计算机用可信计算信任根设备,应用在普通计算机中,使普 通计算机具备可信计算功能,如图1所示,该可信计算信任根设备包括电路板1、接口转换模块3和至少一个信任根模块4 ;其中,所述电路板1上设有接口 2,接口 2可采用PCI接口或PCIE接口或USB接 口,它与计算机主板的PCI接口或PCI-E接口(即计算机主板上的PCI插槽或PCI-E插槽) 或USB接口相匹配;接口 2采用PCI接口或PCI-E接口时,一般是由接口模块与电路板上印 刷形成的金手指电连接形成的PCI接口或PCI-E接口,其中电路板上的金手指实现了与PCI 插槽或PCI-E插槽的物理兼容,而接口模块则实现与计算机主板的PCI插槽或PCI-E插槽 数据交换协议上的兼容;接口 2采用USB接口时,一般是由接口模块与USB插头电连接形成 的USB接口,其中USB插头实现了与计算机主板的USB接口的物理兼容,而接口模块则实现 与计算机主板的USB接口数据交换协议上的兼容;上述可信计算信任根设备中的接口转换模块3和信任根模块4均设置在电路板1 上;所述的接口转换模块3分别与电路板1的接口 2和各模块电连接,用于对各模块 (信任根模块4)经所述电路板1的接口 2与计算机的PCI接口或PCI-E接口或USB接口进 行数据交换;该接口转换模块3可采用具有PCI接口或PCI-E接口或USB接口功能的ASIC 芯片;或采用CPLD芯片或FPGA芯片,并用IP核在CPLD芯片或FPGA芯片上实现PCI接口 或PCI-E接口桥功能或USB接口功能;所述的信任根模块4是一个可独立进行密钥生成、加解密的芯片,内部拥有独立 的处理器和存储单元的芯片,一般采用TPM芯片或TCM芯片,该信任根模块4可存储密钥和 敏感数据,为所在的计算平台提供完整性度量,数据安全保护和身份认证服务。如图2所 示,信任根模块一般可设置多个,各信任根模块可分别用于为不同权限用户的提供可信计 算的数据处理和存储。上述可信计算信任根设备中的接口采用USB接口时,可制成内置设备或外置设备 的形式,通过USB接口与普通计算机连接,使普通计算机具备可信计算机的功能;当上述可 信计算信任根设备中的接品采用PCI接口或PCI-E接口时,该信任根设备可制成板卡形式, 插装在普通计算机主板的PCI插槽或PCI-E插槽上使用,具有使用方便的优点。上述可信计算信任根设备使用时,可连接至普通计算机主板的PCI插槽或PCI-E 插槽或USB接口上;计算机加电后,可信计算信任根设备启动,计算机BIOS启动后,可以正 常访问可信计算信任根设备上相应的信任根模块,从信任板模块中获取信任根数据后,进 行正常启动,之后的启动过程与通用的可信计算机启动模式一致。并且,可以进一步通过在 BIOS或操作系统引导程序(OS Loader)中集成身份识别和控制软件,实现对用户的身份识 别和多个信任根模块的调度。本实用新型实施例提供的信任根设备,由于具备与普通计算机主板上的PCI插槽或PCI-E插槽或USB接口相匹配的接口,可以方便的连接到普通计算机主板上使用,无需重 新设计计算机主板,只要安装、升级进行可信计算相应的软件,即可使普通计算机实现可信 计算机的所有功能。并且,在一个可信计算信任根设备上设置多个信任根模块(即提供了 多块TPM芯片或TCM芯片)时,可满足在计算机上运行的虚拟机系统上每个操作系统独立 使用一块信任根芯片的需求,提高虚拟机上多操作系统的安全性。实施例二本实施例二提供一种计算机用可信计算信任根设备,应用在普通计算机中,使普 通计算机具备可信计算功能,该信任根设备的结构与上述实施例一中给出的信任根设备基 本相同,不同的是本实施例的信任根设备还设有身份识别模块5和主控模块6,如图3所示, 该信任根设备的身份识别模块5和主控模块6均设置在电路板1上,身份识别模块5和主 控模块6分别与接口转换模块3电连接,主控模块6分别与身份识别模块5、各信任根模块 电连接;所述的身份识别模块5用于对用户的身份进行识别,并将识别后确认的用户信息 传输至所述主控模块6 ;该身份识别模块4可采用指纹识别模块、虹膜识别模块、USB KEY识 别模块、智能卡(IC卡)识别模块等身份识别装置中的任一种;所述的主控模块6用于根据所述身份识别模块5的确认的用户信息的权限开通相 应的信任根模块,实现对多个信任根模块进行调度访问;该主控模块6可采用ASIC芯片; 或采用CPLD芯片或FPGA芯片,并用IP核在CPLD芯片或FPGA芯片上实现控制功能。本实施例的信任根设备中的信任根模块一般也可设置多个,分别与所述主控模块 6和接口转换模块3电连接,各信任根模块分别用于为不同权限用户的提供可信计算的数 据处理和存储。上述信任根设备中还可以设置非易失存储模块7,它分别与主控模块6和接口转 换模块3电连接,用于当主控模块6控制的信任根模块存储空间不足时,对信任根模块加密 后的数据进行存储,该非易失存储模块7的安全读写由主控模块6控制。该非易失存储模 块7 —般采用Flash芯片,是对该信任根设备中的信任根模块存储空间有限的补充。上述信任根设备中接口转换模块3可以设置在电路板1上,与接口 2和各模块电 连接;该接口转换模块3也可以设置在主控模块6内(参见图4),通过主控模块6实现与接 口 2和各模块电连接,即在一个主控模块6内实现两个模块(即主控模块和接口转换模块) 的功能。该接口转换模块3主要是提供信任根模块4、身份识别模块5与接口 2 (即PCI接 口或PCI-E接口或USB接口)的连接,将兼容其它形式接口的各模块通过该接口转换模块3 实现与接口 2 (即PCI接口或PCI-E接口或USB接口)相兼容,如目前大多信任根芯片TPM 或TCM外部接口是LPC接口,无法直接与PCI接口或PCI-E接口或USB接口进行连接,而通 过接口转换模块3即可实现信任根芯片与PCI接口或PCI-E接口或USB接口进行连接;身 份识别模块5 —般提供的是串口或USB接口,也无法直接与PCI接口或PCI-E接口连接,而 通过接口转换模块3即可实现身份识别模块与PCI接口或PCI-E接口连接。也可以在集成 接口转换模块3的主控模块6内集成接口 2的接口模块(参见图4),如可在一个CPLD或 FPGA中集成主控模块、接口转换模块3和接口 2的接口模块,这样在一个主控模块内集成了 三个模块的功能,提高了集成度,也便于降低整个设备的成本。上述可信计算信任根设备中的接口采用USB接口时,可制成内置设备或外置设备
6的形式,通过USB接口与普通计算机连接,使普通计算机具备可信计算机的功能;当上述可 信计算信任根设备中的接品采用PCI接口或PCI-E接口时,该信任根设备可制成板卡形式, 插装在普通计算机主板的PCI插槽或PCI-E插槽上使用,具有使用方便的优点。上述可信计算信任根设备使用时,可连接至普通计算机主板的PCI插槽或PCI-E 插槽或USB接口上,计算机加电后,用户首先需要通过可信计算信任根设备上的身份识别 模块进行身份认证,身份认证通过后,主控模块根据用户的权限开通相应的信任根模块,计 算机BIOS启动,可以正常访问相应的信任根模块,从信任板模块中获取信任根数据后,进 行正常启动,之后的启动过程与通用的可信计算机启动模式一致。本实用新型实施例提供的信任根设备,由于具备与普通计算机主板上的PCI插槽 或PCI-E插槽或USB接口相匹配的接口,可以方便的连接到普通计算机主板上使用,无需重 新设计计算机主板,只要安装、升级进行可信计算相应的软件,即可使普通计算机实现可信 计算机的所有功能。利用该信任根设备,使得普通计算机对用户的身份识别是在信任根设 备内完成,计算机上软件无法直接接触到该信任根设备,从而提高了身份识别的安全性。并 且,当在一个信任根设备上设置多个信任根模块(即提供了多块TPM芯片或TCM芯片)时, 可满足在计算机上运行的虚拟机系统上每个操作系统独立使用一块信任根芯片的需求,提 高虚拟机上多操作系统的安全性。实施例三本实施例三提供一种计算机,如图5所示,该计算机包括主机21、可信计算信任根设备25,存储装置(图中未示出)、输入装置22和输出装 置23 ;其中主机21内设有主板M,所述的可信计算信任根设备25采用上述实施例一中给 出的可信计算信任根设备;所述存储装置、输入装置22和输出装置23均与所述主机21内的主板24电连接; 所述的可信计算信任根设备25连接至所述主机21内主板M的PCI插槽或PCI-E插槽或 USB接口上与所述主板M电连接。该计算机与普通的计算机的硬件结构基本相同,不同的是该计算机还包括可信计 算信任根设备,通过将可信计算信任根设备连接至主机内主板的PCI插槽或PCI-E插槽或 USB接口上,从而使得该计算机在与相应软件的配合下,具备了可信计算机的安全性。以上所述,仅为本实用新型较佳的具体实施方式
,但本实用新型的保护范围并不 局限于此,任何熟悉本技术领域的技术人员在本实用新型揭露的技术范围内,可轻易想到 的变化或替换,都应涵盖在本实用新型的保护范围之内。因此,本实用新型的保护范围应该 以权利要求书的保护范围为准。
权利要求1.一种计算机用可信计算信任根设备,其特征在于,包括电路板、接口转换模块和至少一个信任根模块;所述电路板上设有接口,所述接口与计算机主板的PCI接口或PCI-E接口或USB接口 相匹配;对各模块经所述电路板的接口与计算机的PCI接口或PCI-E接口或USB接口进行 数据交换的所述接口转换模块和进行密钥生成、加解密处理,及存储密钥和敏感数据,提供 完整性度量,数据安全保护和身份认证信息的所述信任根模块均设置在电路板上。
2.如权利要求1所述的计算机用可信计算信任根设备,其特征在于,所述信任根模块 可为多个,分别用于对应处理不同权限用户的安全数据。
3.如权利要求1或2所述的计算机用可信计算信任根设备,其特征在于,所述信任根设 备还包括对用户的身份进行识别,并将识别后确认的用户信息传输至主控模块的身份识 别模块和根据所述身份识别模块确认的用户信息的权限开通相应的信任根模块的主控模 块;其中,所述身份识别模块和主控模块均设置在所述电路板上,所述身份识别模块和主 控模块分别与所述接口转换模块电连接。
4.如权利要求3所述的计算机用可信计算信任根设备,其特征在于,所述信任根设备 还包括非易失存储模块,与所述主控模块电连接,用于当所述主控模块控制的信任根模块 存储空间不足时,存储信任根模块加密后的数据。
5.如权利要求3所述的计算机用可信计算信任根设备,其特征在于,所述身份识别模 块采用指纹识别模块、虹膜识别模块、USB KEY识别模块、智能卡识别模块中的任一种。
6.如权利要求3所述的计算机用可信计算信任根设备,其特征在于,所述主控模块采 用ASIC芯片;或所述主控模块采用通过IP核在其上实现控制功能的CPLD芯片或FPGA芯 片。
7.如权利要求3所述的计算机用可信计算信任根设备,其特征在于,所述接口转换模 块设置在所述主控模块内,通过主控模块与所述电路板的接口及各模块电连接。
8.如权利要求1所述的计算机用可信计算信任根设备,其特征在于,所述接口转换模 块设置在所述电路板上,与所述电路板的接口及各模块电连接。
9.如权利要求1、2或8任一项所述的计算机用可信计算信任根设备,其特征在于,所 述接口转换模块采用PCI接口或PCI-E接口或USB接口的ASIC芯片;或所述接口转换模块 采用通过IP核在其上实现PCI接口或PCI-E接口或USB接口功能的CPLD芯片或FPGA芯 片。
10.如权利要求1所述的计算机用可信计算信任根设备,其特征在于,所述信任根模块 采用TPM芯片或TCM芯片。
11.一种计算机,其特征在于,包括主机、可信计算信任根设备,存储装置、输入装置和输出装置;其中可信计算信任根设 备采用上述权利要求1 10中任一项所述的可信计算信任根设备;所述存储装置、输入装置和输出装置均与所述主机内的主板电连接;所述可信计算信 任根设备连接至所述主机内主板的PCI插槽或PCI-E插槽或USB接口与所述主板电连接。
专利摘要本实用新型实施例提供一种计算机用可信计算信任根设备及计算机。该设备包括电路板、接口转换模块和至少一个信任根模块;所述电路板上设有接口,所述接口与计算机主板的PCI接口或PCI-E接口或USB接口相匹配;所述接口转换模块和信任根模块均设置在电路板上;所述接口转换模块,用于对各模块经所述电路板的接口与计算机的PCI接口或PCI-E接口或USB接口进行数据交换;所述信任根模块,用于进行密钥生成、加解密处理,及存储密钥和敏感数据,提供完整性度量,数据安全保护和身份认证信息。该设备可用在普通计算机中,使普通计算机具备可信计算机的安全性。
文档编号G06F21/00GK201820230SQ20102004705
公开日2011年5月4日 申请日期2010年1月22日 优先权日2010年1月22日
发明者从秀芳, 刘绍方, 吴悠, 吴迪, 唐海, 张心臻, 张拥政, 张淑芬, 张玉, 张金霞, 张鹏, 李光, 杨红, 牛峰, 王江少, 章文康, 范耀学, 葛小蔓, 贾立宗, 郑玉冰, 郝福珍, 马文龙 申请人:华北计算技术研究所