基于双体系架构的可信计算平台的静态度量方法和装置与流程

本发明涉及互联网安全领域，具体而言，涉及一种基于双体系架构的可信计算平台的静态度量方法和装置。
背景技术：
：：当前的网络空间极其脆弱，震网、勒索病毒(如wannacry)、mirai病毒等造成较大影响的网络攻击事件层出不穷，且日益猖獗，究其根源，在于并没有从网络安全风险的实质原因入手解决问题，一味采用以“防火墙”、“病毒查杀”、“入侵检测”等为代表的“封堵查杀”被动防御手段，防不胜防，特别在面对针对目标系统的漏洞发起的攻击时，根本无法有效防御。国际tcg组织(英文全称trustedcomputinggroup，中文名为可信计算组织)提出的可信计算芯片tpm是作为计算机的外部设备，以被动挂接的方式，通过主机软件调用来发挥作用，仅能对计算机的固件和可执行程序等资源进行静态度量。以tpm方式所实现的可信计算平台实质是单系统架构，tpm在资源访问、控制上都有局限性，其安全能力完全依赖于主机系统的安全性，难以防御黑客利用主机系统漏洞进行的攻击，并不能实质上提升计算机系统的主动防御能力。为解决当前网络空间安全面临的问题，国际tcg组织提出了可信计算的方法，提出了以tpm和bios起始代码为信任根，一级度量一级，进而构建起计算机的信任链，保护计算机重要资源不被非法篡改和破坏，起到了较好的效果。但是，tpm本质上只是计算机上一个被动挂接的外部设备，只有被主机程序调用才会发挥作用，一旦主机被攻击者控制，tpm的作用就会无从发挥，导致tcg的可信计算架构在面对黑客利用计算机系统逻辑缺陷进行攻击时，基本难以抵御，例如windows10完全实现了tcg的可信计算架构，但是却未能阻止wannacry勒索病毒的攻击。此外，以tpm方式所实现的可信计算平台实质是单系统架构，tpm在对计算机的资源访问、控制上都有局限性。且，tpm仅能对计算机的固件和可执行程序等资源进行静态度量，无法对应用执行及其所依赖的执行环境进行动态度量。针对以tpm方式所实现的可信计算平台实质是单系统架构，tpm的固件和可执行程序等资源进行静态度量，无法对应用执行及其所依赖的执行环境进行动态度量，且tpm在资源访问、控制上都有局限性，tpm的安全能力完全依赖于主机系统的安全性。针对上述的问题，目前尚未提出有效的解决方案。技术实现要素：本发明实施例提供了一种基于双体系架构的可信计算平台的静态度量方法和装置，以至少解决相关技术中的计算机安全性较低的技术问题。根据本发明实施例的一个方面，提供了一种基于双体系架构的可信计算平台的静态度量方法，包括：在计算机上电时，将计算机的硬件资源划分为防护硬件资源和计算硬件资源，其中，计算硬件资源允许被防护硬件资源访问且不能访问防护硬件资源，防护硬件资源用于运行防护子系统，计算硬件资源用于运行计算子系统；控制防护硬件资源先于计算硬件资源启动，并在计算硬件资源启动计算子系统的过程中，对计算硬件资源的启动阶段进行度量。根据本发明实施例的另一方面，还提供了一种基于双体系架构的可信计算平台的静态度量装置，包括：划分单元，用于在计算机上电时，将计算机的硬件资源划分为防护硬件资源和计算硬件资源，其中，计算硬件资源允许被防护硬件资源访问且不能访问防护硬件资源，防护硬件资源用于运行防护子系统，计算硬件资源用于运行计算子系统；度量单元，用于控制防护硬件资源先于计算硬件资源启动，并在计算硬件资源启动计算子系统的过程中，对计算硬件资源的启动阶段进行度量。根据本发明实施例的另一方面，还提供了一种存储介质，该存储介质包括存储的程序，程序运行时执行上述的方法。根据本发明实施例的另一方面，还提供了一种电子装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器通过计算机程序执行上述的方法。在本发明实施例中，在处理器cpu内部构建安全隔离的计算部件(包括计算硬件资源)与防护部件(包括防护硬件资源)并存的双体系架构，计算部件无法访问防护部件的资源，防护部件可访问计算部件的所有资源，双方可通过安全的专用通道进行交互，防护部件可以可信平台控制模块tpcm为核心和信任源点，能够先于计算部件处理器启动，对计算部件资源和总线进行初始化配置，并通过直接内总线共享机制访问主机所有资源，进行静态和动态可信验证度量，通过验证方能启动或继续执行，否则进行报警和控制，主动抵御入侵行为，并能实时生成主机的可信报告，上报至可信安全管理平台进行进一步关联分析，可以解决了相关技术中的计算机安全性较低的技术问题，进而达到提高计算机安全性的技术效果。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图1是根据本发明实施例的一种可选的基于双体系架构的可信计算平台的静态度量方法的流程图；图2是根据本发明实施例的一种可选的双体系架构的示意图；图3是根据本发明实施例的一种可选的cpu内部资源的示意图；图4是根据本发明实施例的一种可选的计算机上电过程的流程图；图5是根据本发明实施例的一种可选的动态度量框架的示意图；图6是根据本发明实施例的一种可选的动态度量方案的示意图；图7是根据本发明实施例的一种可选的动态度量功能模块的示意图；图8是根据本发明实施例的一种可选的内核关键数据结构度量的流程图；图9是根据本发明实施例的一种可选的系统进程度量的流程图；图10是根据本发明实施例的一种可选的内核驱动度量的流程图；图11是根据本发明实施例的一种可选的系统关键内存块度量的流程图；图12是根据本发明实施例的一种可选的命令交互的流程图；图13是根据本发明实施例的一种可选的发送通知的流程图；图14是根据本发明实施例的一种可选的基于双体系架构的可信计算平台的静态度量装置的示意图；以及图15是根据本发明实施例的一种终端的结构框图。具体实施方式为了使本
技术领域：
：的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。首先，在对本发明实施例进行描述的过程中出现的部分名词或者术语适用于如下解释：tcm:可信密码模块，可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。tpcm:可信平台控制模块，一种集成在可信计算平台中，用于建立和保障信任源点的硬件核心模块，为可信计算提供完整性度量、安全存储、可信报告以及密码服务等功能。tsb:可信软件基，为可信计算平台的可信性提供支持的软件元素的集合。bios：是英文"basicinputoutputsystem"的缩略词，中文名称就是"基本输入输出系统"，在pc兼容系统上，是一种业界标准的固件接口。根据本发明实施例的一方面，提供了一种基于双体系架构的可信计算平台的静态度量方法的方法实施例。本申请提供了一种基于cpu同构方式构建的可信计算双体系架构，基于多核cpu架构，本申请将cpu核、内存和i/o划分为相互隔离的可信部件和防护部件两部分，防护部件用于对计算部件进行主动度量和主动控制，且防护部件可以访问计算部件，但计算部件不可以访问防护部件。基于可信计算双体系架构，利用多核cpu的基础固件，可以控制启动流程让tpcm先于计算部件启动，以便tpcm可以先对计算部件进行度量防护。tpcm可以对计算部件的启动流程进行逐级度量，建立静态信任链。基于可信计算双体系架构，在计算部件的运行过程中，tsb还可以根据可信策略对计算部件进行动态度量，并根据度量结果对计算部件进行相应的控制处理。基于可信计算双体系架构，防护部件与计算部件可以通过专用安全交互通道进行通信交互，两者之间进行交互方式可以分为三个主要类：命令、通知和资源访问。图1是根据本发明实施例的一种可选的基于双体系架构的可信计算平台的静态度量方法的流程图，如图1所示，该方法可以包括以下步骤：步骤s102，在计算机上电时，将计算机的硬件资源划分为防护硬件资源和计算硬件资源，计算硬件资源允许被防护硬件资源访问且不能访问防护硬件资源，防护硬件资源用于运行防护子系统，计算硬件资源用于运行计算子系统。可选地，将计算机的硬件资源划分为防护硬件资源和计算硬件资源包括：在为计算机上电时，将计算机的处理器划分为第一处理器核和第二处理器核，其中，硬件资源包括计算机的处理器；利用第一处理器核对处理器的基础固件进行度量；在处理器的基础固件的度量结果可信的情况下，将计算机的内存资源和输入输出接口资源划分入防护硬件资源或计算硬件资源，其中，防护硬件资源和计算硬件资源包括的内存资源不同、所包括的输入输出接口不同。上述实施例中，利用第一处理器核对处理器的基础固件进行度量包括：通过执行保存在计算机的只读存储器中的指令激活第一处理器核，第一处理器核利用验证公钥对处理器的基础固件的签名进行验证。步骤s104，控制防护硬件资源先于计算硬件资源启动，并在计算硬件资源启动计算子系统的过程中，对计算硬件资源的启动阶段进行度量。可选地，在计算硬件资源启动计算子系统之前，通过第一处理器核执行处理器的基础固件中的指令，对防护子系统进行度量；在对防护子系统的度量结果可信的情况下，在第一处理器核上加载并运行防护子系统。可选地，在第一处理器核上加载并运行防护子系统之后，可利用防护子系统对可信平台控制模块进行初始化。可选地，对计算硬件资源的启动阶段进行度量包括：在可信平台控制模块完成初始化之后，激活计算机的处理器的第二处理器核，其中，激活后的第二处理器核用于启动计算子系统；利用可信平台控制模块对计算子系统的多个启动阶段进行度量。在上述实施例中，多个启动阶段包括按照顺序启动多级启动镜像，其中，利用可信平台控制模块对计算子系统的多个启动阶段进行度量包括：对多级启动镜像中当前加载的第一级启动镜像进行度量；在对第一级启动镜像的度量结果可信的情况下，加载第一级启动镜像；对多级启动镜像中的第二级启动镜像进行度量，其中，第二级启动镜像为第一级启动镜像的下一级启动镜像；在对第二级启动镜像的度量结果可信的情况下，加载第二级启动镜像；在对多级启动镜像的度量结果可信，并完成加载的情况下，在计算子系统中设置可信软件基代理，其中，可信软件基代理用于与可信平台控制模块相配合完成计算子系统运行过程中的度量。上述防护子系统可包括硬件部分(防护硬件资源)和软件部分(可信操作系统和tsb)，计算子系统包括也包括硬件部分(计算硬件资源)和软件部分(计算机操作系统和各种应用程序，例如office)；利用可信平台控制模块tpcm对计算机进行度量，可以是指tpcm就是防护子系统，tpcm包括硬件部分(防护硬件资源)和软件部分(可信操作系统和tsb)。上述的静态度量的过程包括计算硬件资源、计算机操作系统启动过程、应用程序启动过程等。通过上述步骤，在处理器cpu内部构建安全隔离的计算部件(即计算子系统)与防护部件(即防护子系统)并存的双体系架构，计算部件无法访问防护部件的资源，防护部件可访问计算部件的所有资源，双方可通过安全的专用通道进行交互，防护部件可以可信平台控制模块tpcm为核心和信任源点，能够先于计算部件处理器启动，对计算部件资源和总线进行初始化配置，并通过直接内总线共享机制访问主机所有资源，进行静态和动态可信验证度量，通过验证方能启动或继续执行，否则进行报警和控制，主动抵御入侵行为，并能实时生成主机的可信报告，上报至可信安全管理平台进行进一步关联分析，可以解决了相关技术中的计算机安全性较低的技术问题，进而达到提高计算机安全性的技术效果。作为一种可选的实施例，下面结合具体的实施方式进一步详述本申请的技术方案，防护部件具体可包括可信密码模块tcm、可信平台控制模块tpcm、可信嵌入式操作系统(即可信操作系统)等基础部件，可信密码模块作为密码基因，tpcm是主动免疫机制的具体执行机构，可信嵌入式操作系统管理tpcm本地物理资源以及访问和调度主机资源和tcm资源。综上，可信计算双体系架构是主动免疫防御的基础，也是可信计算3.0区别于其他安全防护机制的核心特征，其tpcm和tcm构成了可信根，可信根拥有独立于主机的软硬件资源，并能够主动访问主机所有资源支撑可信验证机制的实施，是整个主动免疫防御体系的源点。本发明将基于cpu多核架构提供的资源隔离和交互机制构建可信计算双体系架构。双体系架构是一个防护部件与计算部件并行运行，实现主动免疫的计算体系结构；其计算部件负责完成业务计算任务，其防护部件负责对计算部件进行监控和保护，确保业务计算任务的执行符合预期。防护部件根据可信安全策略，以密码为基因，通过身份识别、状态度量、状态分析、动态感知、响应控制、保密存储和安全控制等一系列手段为计算部件的可靠运行保驾护航。多核cpu架构可以将cpu核、内存空间和i/o外设等计算机硬件资源划分为两组资源集合并进行隔离控制，并提供安全防护和相互通信的能力。本发明利用cpu的特性，将cpu核(一个cpu有多个核，常见的4核、8核、16核和64核)、内存空间(片内、片外的内存空间)和i/o外设划分为计算部件和防护部件两组硬件资源。并通过相应配置，可以灵活改变防护部件和计算部件的资源分配，同时使防护部件与外部复杂的计算环境隔离出来，成为一个相对封闭的环境，即防护部件资源不可从外部访问，计算部件也不可访问防护部件的资源，从而使防护部件的资源得到有效保护，安全级别更高。通过相应配置，还可以使防护部件可以访问计算部件的资源，以便对其进行监控和保护；计算部件和防护部件通过专用的交互机制和特定接口进行通信，在提供交互能力的同时，最大程度的保护防护部件不受计算部件的干涉和破坏。如图2所示为可信计算双体系架构示意图，可信计算双体系架构中，原有的计算机系统成为计算部件，可信平台控制模(tpcm)是防护部件。防护部件与计算部件并行运行，防护部件独立于计算部件，其资源受硬件机制保护(例如扩展总线、控制器、管理单元等)，不受计算部件和外部的干涉和破坏。反过来，tpcm根据自身的策略，主动发起对计算部件的度量和安全防护(在cpu的设计中将防护部件的安全等级和优先级设置为最高)。此外，可信安全管理平台负责管理可信策略和基准值等。在上述可信计算双体系架构中：1)cpu提供资源隔离、资源访问、资源控制、防护部件和计算部件之间的通信机制、安全防护等的硬件支撑。2)cpu基础固件，对资源隔离保护进行设置，控制启动流程让tpcm先于计算部件启动，以便tpcm对计算部件进行度量防护。cpu基础固件还负责建立计算部件和防护部件之间的通信机制。3)防护部件硬件资源包括可信专用cpu核(1个或多个cpu核，可配置数量)、片内密码引擎、片内持久存储、专用内存区域、真随机数发生器、时钟、计数器等、板载持久存储、i/o设备、板载专用网卡和可扩展的可信密码模块(tcm)等。4)tpcmos是可信部件的操作系统，是持续运行在可信专用的cpu核上的操作系统，与计算核上的操作系统(即计算机操作系统)同时工作，为可信业务功能提供必要的环境。包括操作系统通用的任务调度、驱动和基本服务。也包括可信计算特有的可信密码模块(tcm)内部实现(若cpu内部有硬件的密码引擎，则tcm由tpcm操作系统的软件和硬件密码引擎构成，若cpu中没有密码引擎则tcm可由tpcm操作系统的软件完成)、资源访问驱动、可信通信驱动、可信控制等。tpcm的可信计算业务逻辑需要访问主机侧资源，需要管理和使用tpcm内部的存储资源和密码计算资源。操作系统和其内部驱动模块为tpcm的这些业务计算提供必要的支持。5)tsb实现可信计算的主要业务逻辑，包括在启动阶段和运行时对计算部件进行度量和控制，以及记录度量结果、评估可信状态、生成可信日志、凭据和报告。tsb采用策略语言定义其功能执行，提供最大程度的灵活性和适应性。策略语言定义了何时度量、度量什么、如何判断、如何进行控制和防护，tsb策略执行引擎解析执行策略语言。由于策略语言的灵活性，我们可以将计算部件的很多业务与可信度量结合起来，比如登录、打开某个文件、执行某个程序、连接某个网络、使用某个设备等等，都可以灵活地与可信度量结合起来。tsb采用基准库作为度量时判断的依据。策略和基准库由可信安全管理平台下发到tpcm。度量日志和报告由tsb产生并上传到可信安全管理平台，凭据传递需要凭据的请求者。tsb的度量包括静态启动度量和动态度量。静态启动是从计算部件启动开始，度量启动各阶段的模块，如bios、bootloader，建立一个完整的信任链。动态度量实时监控系统，确保计算部件运行阶段可信。6)tsb代理位于计算部件之中，但逻辑上属于tpcm，tsb代理代表tsb执行一些与计算部件环境紧密关联的任务。这些任务由于深入计算部件软件内部，tpcm无法或者不方便从外部直接执行。比如获取os行为相关信息、拦截行为、杀死进程等任务，难以从计算机外部执行，这些任务将由tsb代理代表tsb执行。由于tsb代理本身是由tpcm度量和保护的，由tsb代理执行这些任务也是可以信任的。tsb代理的主要任务是获取和控制系统行为、获取系统行为和环境相关数据、协助执行控制、可信连接协商和控制。其中可信连接在节点可信的基础上建立可信网络环境。7)可信安全管理平台负责管理可信策略和基准值等。tpcm是可信免疫双体系架构的核心部件，负责对计算部件进行可信度量和防护，并生成可信日志和报告数据。tpcm包括可信硬件资源、可信操作系统、内置tcm和可信软件基。可信操作系统为可信功能提供必要的底层服务和运行环境，tpcm操作系统由基本层和功能层构成。基本层包括任务调度、本地资源和系统服务访问等普通操作系统应有的基本功能。功能层包括主机资源访问控制驱动、主机通信驱动、密码资源访问驱动、状态记录、可信凭据和报告、策略和基准管理等可信计算专用服务。tsb是实现可信业务功能的核心软件层，负责度量、安全防护和相关日志、报告的生成。tsb有基本信任基、主动监控机制(包括控制机制、度量机制、判断机制)、可信基准库、支撑机制和协作机制和协同机制组成。基本信任基在tsb启动过程中实现对其它机制的验证和加载。主动监控机制拦截应用的系统调用，在tpcm支撑下实现对系统调用相关的主体、客体、操作和环境的主动度量和控制。tsb通过支撑机制实现对tpcm资源的访问；tsb通过协作机制实现与可信安全管理平台的策略和审计信息交互，以及与其它计算平台tsb之间的可信协作。控制机制是主动监控机制发挥作用的入口，依据控制策略主动截获应用的系统行为，并根据判定结果实施控制。控制策略包含系统控制点的范围、系统控制点获取信息和控制机制响应判定结果的处理方式等。控制过程包括拦截系统调用行为，获取行为相关的主体、客体、操作、环境等信息，依据控制策略将信息发送给度量机制进行度量，并接受判定机制的判定结果，进行相关的控制。度量机制依据度量策略对度量对象进行度量。度量策略由度量对象、度量方法等组成。度量对象包括程序、数据和行为等。度量方法包括度量对象中度量点的设置、度量的时机、度量的算法等。度量过程包括依据度量策略对控制机制传递的相关的主体、客体、操作、环境等信息进行度量，并将度量结果发送至判定机制。判定机制依据判定策略对度量结果进行判定。判定策略包括度量结果与基准值的比较方式、不同度量结果的权重值、综合计算方法等。判定过程包括依据判定策略利用可信基准库和度量结果进行综合判定，并将判定结果发送控制机制。tsb交互接口包括内部交互接口和外部交互接口。内部交互接口支撑tsb各个机制之间的交互；外部交互接口支持tsb与tpcm、宿主基础软件和可信安全管理平台之间的交互。tcm提供可信计算的密码支撑。tpcm硬件资源包括一套专用的cpu、存储、密码单元、io设备以及可能通过外接扩展的tcm模块。通过cpu提供隔离、保护和交互机制，可以对tpcm的硬件资源进行隔离和保护，并实现计算部件和可信节点相互通信的能力。图3所示为是根据本发明实施例的cpu内部资源示意图，cpu支持基于隔离保护的可信架构，本发明实施例在cpu内部将所有的软硬件资源划分为可信资源或计算资源。cpu内部资源如图3所示，在系统启动时cpu通过一个核进行加载运行cpu基础固件这个核是可信核(即第一处理器核)，cpu基础固件可以通过存储在寄存器中的值将部分核设置为可信核，可信核处在较高的特权级，能访问所有地址空间，计算核(即第二处理器核)处在较低的特权级，只能访问计算环境的地址空间。可信核只运行可信代码，构建可信环境，计算核运行可信代码之外的代码(业务应用的程序代码，非安全相关的)。cpu可以通过总线扩展方式增加可信位标识，可信位标识指示了对应的访问请求是属于可信核还是计算核。结合各资源内部的资源控制器实现资源隔离及访问控制。内存资源中设置有内存资源控制器，该内存资源控制器可以根据cpu基础固件将内存划分为可信内存和计算内存。当内存资源控制器在接收到访问请求时，如果可信位标识指示是可信核的访问请求，则内存资源控制器允许该访问请求执行，如果可信位标识指示是计算核的访问请求，则内存资源控制器会检查访问地址空间是否在计算内存空间内，如果在则允许该访问请求执行，如果不在则禁止该访问请求执行。可信内存还可以划分为多个可信域，每个可信域都有独立的读写访问权限。在系统启动时，cpu基础固件可以将部分内存划分为可信内存，这部分内存对计算部件的os是不可见的，计算部件的os不会再分配使用这些内存空间，同时可信内存资源控制器将过滤计算部件访问可信内存的请求。同理，i/o资源控制器也可以根据cpu基础固件将i/o划分为可信i/o和计算i/o，当i/o资源控制器在接收到访问请求时，如果可信位标识指示是可信核的访问请求，则i/o资源控制器允许该访问请求执行，如果可信位标识指示是计算核的访问请求，则i/o资源控制器会检查访问地址空间是否在计算i/o空间内，如果在则允许该访问请求执行，如果不在则禁止该访问请求执行。需要说明的是，如果cpu内部没有内存资源控制器和i/o资源控制器，可以通过配置相应的桥设备实现内存和i/o的划分以及访问请求的过滤。i/o的可信是通过一些转换桥或外设的控制器内的可信控制寄存器保证的。片上总线控制器(控制器、过滤器或桥设备，可根据总线上的扩展位判断资源请求是否有权限，从而实现可信感知)是可信感知的，可识别可信请求与计算请求。pcie、网络等外设的可信属性是可配置的，可以动态通过可信核配置其进入可信态。i/o接口(io控制器过滤器或转发桥，noc)将根据对应的可信属性检查访问请求，过滤越权访问请求，保护可信i/o外设的安全。本发明通过增加可信标识位的比对，能够确保计算核不能获取可信资源，保证可信资源的安全性。同时dma设备在进行dma请求的时候，也必须指定可信访问特性，如果为计算环境里的dma，则不能访问可信的地址空间。本申请中的防护部件自身安全性能较好，主要体现在以下四方面：1、自身环境隔离，处理器完整支持基于域隔离的可信架构，可将所有的软硬件资源划分为可信资源或计算资源，分别归防护部件和计算部件使用。系统启动时，防护部件(tpcm)首先启动运行，完成对物理资源的划分，并对计算部件相关固件或软件验证之后，计算部件主cpu才会开始运行，实现了启动过程的隔离。系统运行时，防护部件和计算部件能够并行运行，基于cpu核和总线的支持双方运行环境实现了运行时完全隔离，隔离的资源包括cpu核、内存、i/o设备等，防护部件所使用的资源不能被计算部件所访问，而防护部件可以主动发起对计算部件所有资源的访问。计算部件只能通过专用交互通道和防护部件进行通信。总之，系统启动时和运行时，防护部件都在完全隔离的环境里运行，并主动对计算部件进行可信验证，极大的减小了系统攻击面，即使主机侧的操作系统被攻陷，黑客也难以渗透防护部件，确保tpcm对主机全程的可测可控，为整体防护体系的构建打下根基。2、交互通道安全，计算部件和tpcm之间通过专用的核间交互通道进行通信，采用中断通知和共享内存参数传递方式，tpcm不提供对外的服务接口，消除了攻击者对服务接口的直接攻击。同时，tpcm对输入的参数进行严格的格式检查和过滤，因tpcm的逻辑处理比较固定，这样可最大化防止黑客利用参数传递进行的渗透攻击。3、自身数据安全，防护部件(tpcm)的自身数据主要包括三个方面，第一是存储在本地的数据，例如策略数据、密码数据等，第二是与可信管理平台交互的网络数据，第三是在tpcm运行空间中加载的数据。本地数据存储于片外flash，所有数据基于片内otp密钥进行加密，保证flash中的数据始终为密文，而在数据加载进内存时进行自动解密。网络数据是由防护部件和可信管理平台交互产生，包括策略下发、审计日志上传、可信报告上传等，数据传输全程采用ssl/tls加密，确保数据网络传输层的安全。运行时tpcm应能够将重要数据与度量值绑定，实现数据封装保护。受保护的数据只能在绑定tpcm的平台以及特定完整性状态下才能被解封。tpcm应具有安全数据迁移、备份与恢复的功能，迁移、备份与恢复操作在保证数据的机密性和完整性前提下进行。4、运维操作安全，防护部件的运维操作包括本地软件或固件升级、故障检查等，在运维时要进行双因子身份认证，即只有运维管理员用ukey进行身份认证后，才可以登录进入系统进行升级或故障检查，运维管理员的进入严格受控且操作全程审计。同时，对于要升级的软件或固件首先要进行签名验证，确定来源或版本无问题才会执行升级操作，最大化杜绝运维操作所引入的安全风险。基于上述可信计算双体系架构，防护部件对计算部件进行静态度量的过程可以描述为：计算机上电时，通过配置预先将系统资源进行划分，分为可信资源和计算资源。可信资源包括一部分cpu核(可信核)、可信内存和可信i/o设备，构成可信环境用于实现tpcm；计算资源包括另一部分cpu核(计算核)、计算内存和计算i/o设备，构成计算环境用于完成计算任务。运行于计算环境的计算核不可访问可信环境的资源，运行于可信环境的可信核，可访问可信环境和计算环境的所有资源。启动过程还包括整个启动链条的逐级度量，构成一个完整的信任链，保障启动以后进入一个可信的计算环境。如图4所示为计算机启动过程流程图，启动流程包括以下步骤：步骤s401，系统加电后，romcode可信核度量cpu基础固件，系统加电chiprom首先利用romcode对cpu基础固件进行度量验证，然后跳转到cpu基础固件入口代码。考虑到cpu基础固件可能升级，基于片内公钥对cpu基础固件的起始部分镜像进行签名验证。验证过程由可信核(tpcm核)完成，计算核等待被唤醒。步骤s402，可信核设置可信资源(内存和io设备)。步骤s403，cpu基础固件度量可信os镜像，可信核执行cpu基础固件代码度量tpcmos镜像，然后加载执行tpcmos。步骤s404，启动可信os和tsb，tpcmos完成tpcm自身初始化，然后tpcm度量计算环境os启动镜像。步骤s405，tsb度量计算环境bootloader。步骤s406，tsb唤醒计算核，计算核加载执行计算环境bootloader，度量完成后唤醒计算核，计算核加载执行计算环境os启动镜像。步骤s407，tsb逐级度量启动镜像并根据度量结果执行下一级，直至计算os和tsb代理完成启动，计算环境启动镜像一般为多级启动镜像(如bios->grub->os或uboot->os)，前一个启动镜像执行完成后，在加载下一级启动镜像的时候，通知度量tpcm度量下一级启动镜像。度量完成后计算环境执行下一级启动镜像，直到操作系统和tsb代理完成启动。tpcm在上一步收到计算环境启动流程发送的度量通知后，对启动各环节进行度量。tpcm记录度量结果，作为计算环境启动可信的依据。也可作为安全启动控制的依据。步骤s408，tsb代理发送计算环境基本信息给tpcm(代码、数据分布情况)，计算环境os中的tsb代理发送计算环境度量对象相关信息和状态数据给tpcm。步骤s409，tsb度量记录计算环境基本信息。步骤s410，根据策略和计算环境信息动态度量，tpcm收到计算环境的数据信息后结合可信策略，开始主动动态度量，对计算环境进行实时监控和保护。之后计算环境开始执行业务处理。基于上述可信计算双体系架构，可信软件基tsb对计算部件的动态度量过程可以描述为：动态度量是可信软件基的重要组成部分，也是可信保障的重要内容。可信软件基能够通过静态度量功能保证系统运行对象初态可信。在此基础上，动态度量功能将针对不同的度量对象，选择合适的度量时机，采用合理的度量方法，对系统中度量对象的运行状况进行度量，并依据策略及不同度量对象的特性，对发生变化的度量对象进行报告，并将度量结果发送给控制机制，同时采取更新度量预期值或可信恢复措施，从而确保系统运行状态的可信，为访问控制机制和可信证明机制提供支撑。动态度量模块实时监视系统内所有关键进程、模块、执行代码、数据结构、重要跳转表等，对进程的资源访问行为进行实时度量和控制，是保障系统安全运行、安全机制不被旁路和篡改的核心部件。动态度量模块针对不同的度量对象，采用合理的度量方法，选择合适的度量时机，对系统的运行进行全面度量，确保系统安全可信。动态度量是系统的核心保障，是监控系统运行状态、度量进程行为、分析系统可信性的关键。动态度量的运行机制实现了对系统的重要节点进行监控，有效阻断恶意代码对系统入侵。如图5所示为本发明实施例的动态度量框架示意图，如图6所示为本发明实施例的动态度量的度量总体方案。首先，编辑策略语言，配置控制点信息(截获具体操作行为：包括文件的打开、读/写、程序的执行、动态库的加载、驱动加载等)。生成动态度量调用策略(包括动态度引擎选择，具体度量对象的选择等)；其次，tsb代理(tsb代理主要为原tsb中的控制机制)截获系统调用行为，获取主/客体信息、操作行为，根据策略配置调用相应的动态度量引擎以及具体度量操作(如：系统进程度量、内核模块度量、syscall_table系统调用表度量、idt中断描述符表度量、网络度量、文件系统度量、内核代码段度量)，动态度量引擎调用tpcm进行hash运行计算具体度量对象的摘要值并与基准库对比；最后，将度量结果返回给tsb控制机制，控制机制综合度量结果生成最终的控制结果。如图7所示为根据本发明实施例的动态度量功能模块示意图，动态度量模块主要包括动态度量控制子模块、动态度量引擎子模块、动态度量报告子模块和动态度量基准库子模块等。度量控制子模块包括引擎控制，周期度量，触发度量。引擎控制负责度量引擎的注册，根据产品侧重点不同，以及客户的需求注册相应的度量引擎；周期性度量是按照安全策略中设定的时间间隔基数，然后周期性地检测动态度量的度量条件是否满足，一旦检测满足度量要求，则对其进行特征值检查。如果检测出异常，则生成度量报告，发送给可信报告机制；触发度量由tsb控制机制通过策略触发相应的度量引擎进行度量。度量引擎子模块是对动态度量模块的核心模块。它将完成对动态度量对象列表进行触发式或者周期性的度量。度量引擎子模块中分为两部分：一部分是动态的，它将启动一个内核进程，它将周期性地检测各个模块的度量周期，一旦度量周期到了，则将对该模块进行度量；另一部分是静态的，它将被动地等待tsb控制机制的触发。一旦tsb控制机制发来指令，则触发度量引擎将依据策略调用不同度量引擎进行度量。这些度量数据可以是一个对象，或者是一组对象，也可以是全部度量对象。动态度量针对度量对象、度量方式的不同分为四类，包括内核关键数据结构度量，系统进程度量，内核驱动度量，系统关键内存块度量。如图8所示为内核关键数据结构度量流程图。其中，度量对象如idt中断描述符表，syscall_table系统调用表；文件系统关键操作函数fs->mount、fs->kill_sb，超级块关键操作函数sb->s_op；网络地址族pf->family、pf->create，协议族proto；度量时机：控制机制触发度量，策略控制周期度量。如图8所示，度量流程可包括：步骤s801，动态度量系统关键数据结构度量机制启动；步骤s802，记录系统关键数据结构内容，关键操作函数地址；步骤s803，调用tpcm计算其基准值；步骤s804，存储基准值到基准值库；步骤s805，启动并加载系统关键结构度量引擎；步骤s806，tsb控制机制截获应用程序系统调用行为；步骤s807，tsb控制机制根据截获的主/客体信息调用相应的度量引擎；步骤s808，度量引擎调用具体度量操作；步骤s809，调用tpcm计算基准值；步骤s810，与基准库中的基准值进行比较；步骤s811，返回度量结果给tsb控制机制。如图9所示为根据本发明实施例的系统进程度量流程图。度量对象：系统进程代码段、只读数据段，进程相关的共享库。度量时机：控制机制触发度量，策略控制周期度量。如图9所示，度量流程包括：步骤s901，动态度量进程度量机制启动；步骤s902，扫描系统已启动的进程链表；步骤s903，调用tpcm计算其基准值；步骤s904，存储基准值到基准值库；步骤s905，启动并加载进程度量引擎；步骤s906，tsb控制机制截获应用程序系统调用行为；步骤s907，启动监控动态库加载/卸载服务；步骤s908，调用tpcm计算基准值；步骤s909，更新基准值到基准值库；步骤s910，tsb控制机制根据截获的主/客体信息调用相应的度量引擎；步骤s911，度量引擎调用具体度量操作；步骤s912，调用tpcm计算基准值；步骤s913，与基准库中的基准值进行比较；步骤s914，返回度量结果给tsb控制机制。如图10所示为根据本发明实施例的内核驱动度量流程图。度量对象：内核模块的代码段。度量时机：控制机制触发度量，策略控制周期度量；如图10所示，度量流程包括：步骤s1001，动态度量模块度量机制启动；步骤s1002，扫描系统已加载的模块链表；步骤s1003，调用tpcm计算其基准值；步骤s1004，存储基准值到基准值库；步骤s1005，启动监控内核模块加载/卸载服务，调用tpcm计算基准值；步骤s1006，更新基准值到基准值库；步骤s1007，启动内核度量引擎；步骤s1008，tsb控制机制截获应用程序系统调用行为；步骤s1009，tsb控制机制根据截获的主/客体信息调用相应的度量引擎；步骤s1010，度量引擎调用具体度量操作；步骤s1011，调用tpcm计算基准值；步骤s1012，与基准库中的基准值进行比较；步骤s1013，返回度量结果给tsb控制机制；如图11所示为根据本发明实施例的系统关键内存块度量流程图。度量对象：内核代码段kernel_section。度量时机：控制机制触发度量，策略控制周期度量。如图11所示，度量流程包括：步骤s1101，动态度量系统关键内存块度量机制启动；步骤s1102，记录系统关键内存卡首末地址；步骤s1103，调用tpcm计算其基准值；步骤s1104，存储基准值到基准值库；步骤s1105，启动系统关键内存块度量引擎；步骤s1106，tsb控制机制截获应用程序系统调用行为；步骤s1107，tsb控制机制根据截获的主/客体信息调用相应的度量引擎；步骤s1108，度量引擎调用具体度量操作；步骤s1109，调用tpcm计算基准值；步骤s1110，与基准库中的基准值进行比较；步骤s1111，返回度量结果给tsb控制机制。动态度量报告子模块，度量报告子模块包括度量报告以及度量结果两个部分。其中度量报告功能是将度量引擎产生的周期度量数据，生成度量报告，并发送给tsb可信报告功能进行分析；度量结果是将度量引擎产生的触发性度量结果整理后发送给控制机制，控制机制根据度量结果进行控制。动态度量基准库子模块，度量基准库子模块根据度量对象的不同分别存储为静态基准值和动态基准值。静态基准值：包括系统调用基准值，中断描述符基准值，网络协议基准值，文件系统基准值，内核代码段基准值等。动态基准值：后续启动进程度量对象的基准值和后续加载的内核驱动对象的基准值。基于上述可信计算双体系架构，防护部件与计算部件之间的交互过程可以描述为：本发明将计算环境和tpcm的交互方式分为三类：命令、通知和资源直接访问。命令是由计算环境发起的交互方式(实际是由嵌入计算环境的tsb代理发起的)。包括由tsb代理向tpcm发送主机基本信息、发送度量通知、下发策略和基准值、获取可信数据(状态、凭据、报告、日志等)。通知是由tpcm发起的交互方式，由tpcm向计算环境发送的通知(实际上是发送给tsb代理)。包括命令处理完成的通知、辅助控制的通知。资源直接访问，由tpcm直接访问计算环境的资源，直接资源访问不涉及与计算环境软件层交互。(这个主要是通过cpu内部设计实现的，也是多核cpu本身具备的功能机制，是静态度量和动态度量的核心支撑)如图12所示，为根据本发明实施例的计算环境向tpcm发送命令交互流程示意图。发送命令的方式分为同步发送和异步发送。同步发送命令，发送方cpu发送命令以后进入等待状态，直到命令处理完成。同步发送命令一般用于发送一些简单命令，这类命令处理时间很短的命令，可以在中断上下文中完成。由于命令处理时间较短，可能小于cpu调动需要的时间周期，这种情况不调度发送方cpu，而让发送方cpu做短暂的等待更合适。异步发送命令，发送方cpu发送命令后并不等待命令处理完成(只等待命令成功发送)，在命令处理期间，发送方cpu可以执行其他任务。这种方式一般用于发送处理时间较长的命令，这样可以充分利用cpu的计算能力。如图12所示，cpu0表示计算核，cpu1表示可信核，流程如下：步骤s1201，tsb代理请求发送命令步骤s1202，主机侧驱动将命令写入共享内存。步骤s1203，主机侧驱动并给可信cpu发送软中断。步骤s1204，主机侧驱动轮询返回值标记，直到返回值非空。步骤s1205，同时tpcm通信驱动，保存原有执行上下文，进入中断处理函数。步骤s1206，tpcm驱动从共享内存读取命令，调用命令处理函数，命令处理函数会在中断上下文中处理简短的命令，对于处理事件较长的异步命令，驱动只是将命令排入队列就立即返回。步骤s1207，tpcm驱动将命令处理后或排入队列后的返回值写入共享内存，并设置返回值标记。步骤s1208，tpcm驱动恢复tpcmcpu原有任务，即恢复上下文，继续执行。由于可能队列中插入了新的任务，tpcm可能将开始执行新的任务。步骤s1209，步骤s1207将导致主机侧cpu轮询结束，主机侧cpu从共享内存读取返回值，并清空返回值标记。步骤s1210，主机侧通信驱动将处理结果返回给tsb代理。步骤s1211，tsb代理继续执行。如图13所示为根据本发明实施例的tpcm向计算环境发送通知的流程示意图。通知包括命令处理完成的通知和辅助控制的通知。流程如下：步骤s1301，tsb需要tsb代理协助进行控制时，或者tsb处理完异步命令时，通过tpcm通信驱动给计算环境发送通知。步骤s1302，tpcm通信驱动轮询通知标记，直到通知标记为空，表示前一通知已经由主机侧接收。tpcm设置通知标记。步骤s1303，tpcm通信驱动将通知内容写入共享内存区域。步骤s1304，tpcm通信驱动给计算环境cpu发送中断。步骤s1305，tpcmcpu继续执行tsb后继任务。步骤s1306，同时，计算侧cpu被中断，保存上下文，进入计算侧驱动执行通知处理函数，即调用中断处理函数。步骤s1307，计算侧通信驱动的通知处理函数从共享内存读取通知，并清除通知标记，此后tpcm侧驱动可发送后继通知。步骤s1308，计算侧通信驱动通知tsb代理处理通知。如果是异步命令完成通知,tsb代理唤醒等待的进程。否则tsb代理调用通知处理函数。步骤s1309，主机侧cpu恢复上下继续执行原有任务。在某种条件下原有任务可能被抢占。计算部件和tpcm之间通过专用的核间交互通道进行通信，采用中断通知和共享内存参数传递方式，tpcm不提供对外的服务接口，消除了攻击者对服务接口的直接攻击。同时，tpcm对输入的参数进行严格的格式检查和过滤，因tpcm的逻辑处理比较固定，这样可最大化防止黑客利用参数传递进行的渗透攻击。需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。根据本发明实施例的另一个方面，还提供了一种用于实施上述基于双体系架构的可信计算平台的静态度量方法的基于双体系架构的可信计算平台的静态度量装置。图14是根据本发明实施例的一种可选的基于双体系架构的可信计算平台的静态度量装置的示意图，如图14所示，该装置可以包括：划分单元1401，用于在计算机上电时，将计算机的硬件资源划分为防护硬件资源和计算硬件资源，其中，计算硬件资源允许被防护硬件资源访问且不能访问防护硬件资源，防护硬件资源用于运行防护子系统，计算硬件资源用于运行计算子系统；度量单元1403，用于控制防护硬件资源先于计算硬件资源启动，并在计算硬件资源启动计算子系统的过程中，对计算硬件资源的启动阶段进行度量。需要说明的是，该实施例中的划分单元1401可以用于执行本申请实施例中的步骤s102，该实施例中的度量单元1403可以用于执行本申请实施例中的步骤s104。此处需要说明的是，上述模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例所公开的内容。需要说明的是，上述模块作为装置的一部分可以通过软件实现，也可以通过硬件实现。通过上述模块，在处理器cpu内部构建安全隔离的计算部件(包括计算硬件资源)与防护部件(包括防护硬件资源)并存的双体系架构，计算部件无法访问防护部件的资源，防护部件可访问计算部件的所有资源，双方可通过安全的专用通道进行交互，防护部件可以可信平台控制模块tpcm为核心和信任源点，能够先于计算部件处理器启动，对计算部件资源和总线进行初始化配置，并通过直接内总线共享机制访问主机所有资源，进行静态和动态可信验证度量，通过验证方能启动或继续执行，否则进行报警和控制，主动抵御入侵行为，并能实时生成主机的可信报告，上报至可信安全管理平台进行进一步关联分析，可以解决了相关技术中的计算机安全性较低的技术问题，进而达到提高计算机安全性的技术效果。可选地，划分单元包括：第一划分模块，用于在为计算机上电时，将计算机的处理器划分为第一处理器核和第二处理器核，其中，硬件资源包括计算机的处理器；第一度量模块，用于利用第一处理器核对处理器的基础固件进行度量；第二划分模块，用于在处理器的基础固件的度量结果可信的情况下，将计算机的内存资源和输入输出接口资源划分入防护硬件资源或计算硬件资源，其中，防护硬件资源和计算硬件资源包括的内存资源不同、所包括的输入输出接口不同。可选地，第一度量模块还用于：通过执行保存在计算机的只读存储器中的指令激活第一处理器核，第一处理器核利用验证公钥对处理器的基础固件的签名进行验证。可选地，度量单元还用于，在计算硬件资源启动计算子系统之前，通过第一处理器核执行处理器的基础固件中的指令，对防护子系统进行度量；在对防护子系统的度量结果可信的情况下，在第一处理器核上加载并运行防护子系统。可选地，度量单元还用于在第一处理器核上加载并运行防护子系统之后，利用防护子系统对可信平台控制模块进行初始化。可选地，度量单元还用于：在可信平台控制模块完成初始化之后，激活计算机的处理器的第二处理器核，其中，激活后的第二处理器核用于启动计算子系统；利用可信平台控制模块对计算子系统的多个启动阶段进行度量。可选地，度量单元利用可信平台控制模块对计算子系统的多个启动阶段进行度量时，可对多级启动镜像中当前加载的第一级启动镜像进行度量；在对第一级启动镜像的度量结果可信的情况下，加载第一级启动镜像；对多级启动镜像中的第二级启动镜像进行度量，其中，第二级启动镜像为第一级启动镜像的下一级启动镜像；在对第二级启动镜像的度量结果可信的情况下，加载第二级启动镜像；在完成对多级启动镜像的度量和加载的情况下，在计算子系统中设置可信软件基代理，其中，可信软件基代理用于与可信平台控制模块相配合完成计算子系统运行过程中的度量，可信软件基代理用于获取计算机的相关信息以及对计算机进行控制。此处需要说明的是，上述模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例所公开的内容。需要说明的是，上述模块作为装置的一部分可以通过软件实现，也可以通过硬件实现，其中，硬件环境包括网络环境。根据本发明实施例的另一个方面，还提供了一种用于实施上述基于双体系架构的可信计算平台的静态度量方法的服务器或终端。图15是根据本发明实施例的一种终端的结构框图，如图15所示，该终端可以包括：一个或多个(图中仅示出一个)处理器1501、存储器1503、以及传输装置1505，如图15所示，该终端还可以包括输入输出设备1507。其中，存储器1503可用于存储软件程序以及模块，如本发明实施例中的基于双体系架构的可信计算平台的静态度量方法和装置对应的程序指令/模块，处理器1501通过运行存储在存储器1503内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的基于双体系架构的可信计算平台的静态度量方法。存储器1503可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器1503可进一步包括相对于处理器1501远程设置的存储器，这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。上述的传输装置1505用于经由一个网络接收或者发送数据，还可以用于处理器与存储器之间的数据传输。上述的网络具体实例可包括有线网络及无线网络。在一个实例中，传输装置1505包括一个网络适配器(networkinterfacecontroller，nic)，其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中，传输装置1505为射频(radiofrequency，rf)模块，其用于通过无线方式与互联网进行通讯。其中，具体地，存储器1503用于存储应用程序。处理器1501可以通过传输装置1505调用存储器1503存储的应用程序，以执行下述步骤：在计算机上电时，将计算机的硬件资源划分为防护硬件资源和计算硬件资源，其中，计算硬件资源允许被防护硬件资源访问且不能访问防护硬件资源，防护硬件资源用于运行防护子系统，计算硬件资源用于运行计算子系统；控制防护硬件资源先于计算硬件资源启动，并在计算硬件资源启动计算子系统的过程中，对计算硬件资源的启动阶段进行度量。可选地，本实施例中的具体示例可以参考上述实施例中所描述的示例，本实施例在此不再赘述。本领域普通技术人员可以理解，图15所示的结构仅为示意，终端可以是智能手机(如android手机、ios手机等)、平板电脑、掌上电脑以及移动互联网设备(mobileinternetdevices，mid)、pad等终端设备。图15其并不对上述电子装置的结构造成限定。例如，终端还可包括比图15中所示更多或者更少的组件(如网络接口、显示装置等)，或者具有与图15所示不同的配置。本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(read-onlymemory，rom)、随机存取器(randomaccessmemory，ram)、磁盘或光盘等。本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以用于执行基于双体系架构的可信计算平台的静态度量方法的程序代码。可选地，在本实施例中，上述存储介质可以位于上述实施例所示的网络中的多个网络设备中的至少一个网络设备上。可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：在计算机上电时，将计算机的硬件资源划分为防护硬件资源和计算硬件资源，其中，计算硬件资源允许被防护硬件资源访问且不能访问防护硬件资源，防护硬件资源用于运行防护子系统，计算硬件资源用于运行计算子系统；控制防护硬件资源先于计算硬件资源启动，并在计算硬件资源启动计算子系统的过程中，对计算硬件资源的启动阶段进行度量。可选地，本实施例中的具体示例可以参考上述实施例中所描述的示例，本实施例在此不再赘述。可选地，在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在上述计算机可读取的存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在存储介质中，包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。在本申请所提供的几个实施例中，应该理解到，所揭露的客户端，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。以上所述仅是本发明的优选实施方式，应当指出，对于本
技术领域：
：的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。当前第1页12当前第1页12