技術領域

本發明涉及硬件安全單元，特別涉及一種硬件安全單元以及其服務請求的處理方法和系統。

背景技術

硬件安全單元，如可信平臺模塊(TPM，Trusted?Platform?Module)，作為計算系統的核心安全芯片，可以提供多種服務，如密碼學服務、平臺標識、完整性校驗和擴展服務等。但在實際應用中，不是每一個操作系統(OS)或者用戶都需要硬件安全單元提供的所有服務；另一方面，有時需要限制某些OS或者用戶對硬件安全單元一些服務的使用。現有技術中，如果對OS或者用戶訪問硬件安全單元資源的請求進行控制，必須在計算系統上通過軟件針對每個OS或者用戶來實現特定的過濾功能。

例如，在現有的虛擬機技術中，虛擬機在為客戶操作系統(Guest?OS)提供硬件虛擬的時候，僅能做到允許Guest?OS訪問該硬件和拒絕Guest?OS訪問該硬件兩種方式。如果虛擬機上有一個可信的Guest?OS，它需要使用硬件安全單元的密碼學服務、平臺標識和完整性校驗，另外一個非可信的GuestOS，只需要使用硬件安全單元的密碼學服務，而一個專門用做金融操作的Guest?OS，除了硬件安全單元提供的常用的服務外，還需要金融校驗和指紋校驗的擴展服務。現有的方法為了實現虛擬機平臺上的硬件安全單元為不同Guest?OS提供不同的服務，需要在虛擬機上針對每個Guest?OS開發大量的過濾軟件。

發明內容

本發明要解決的一個技術問題是提供一種可以為不同操作系統實例提供差異化服務的硬件安全單元。

本發明提供的硬件安全單元，包括硬件安全單元基礎資源，還包括：

資源管理器，用于接收可用基礎資源請求，并根據操作系統實例的屬性信息為其分配可用基礎資源和資源響應單元；

資源響應單元，用于存儲可用基礎資源列表，接收所述操作系統實例的基礎資源服務請求并判斷與該請求對應的資源是否屬于所述可用基礎資源列表，如果是，則將服務請求發送給硬件安全單元進行處理，否則，拒絕服務請求。

進一步，資源管理器中存儲屬性信息和可用資源列表的對應關系，資源管理器根據該對應關系獲得與操作系統屬性信息對應的可用基礎資源。資源管理器將獲得的可用資源列表發送給所述資源響應單元；資源響應單元接收并存儲所述可用資源列表。進一步，資源管理器還用于創建、管理或者注銷資源響應單元。

進一步，本發明提供的硬件安全單元可以包含多個資源響應單元，資源管理器還用于將操作系統實例的基礎資源請求發送給操作系統實例對應的資源響應單元。

上述屬性信息包括操作系統類型和/或用戶權限和/或用戶名，上述可用基礎資源包括存儲空間、命令、功能、算法。

本發明提供的硬件安全單元，根據操作系統實例的屬性信息為其分配可用基礎資源，并根據分配的可用基礎資源拒絕或者允許操作系統實例對硬件安全單元服務的請求，從而實現為不同的操作系統實例提供差異化服務，并提高了硬件安全單元的使用率。

本發明要解決的另一個技術問題是提供一種對硬件安全單元服務的請求進行處理的方法，不僅可以為不同操作系統實例提供差異化服務，還可以提高硬件安全單元的使用率。

本發明提供的計算系統中對硬件安全單元服務的請求的處理方法，包括步驟：

A，由硬件安全單元根據操作系統實例的屬性信息為操作系統實例分配可用基礎資源；

B，硬件安全單元判斷所述操作系統實例請求服務的基礎資源是否屬于其可用基礎資源，如果是，則允許該服務請求，否則，拒絕該服務請求。

進一步，在步驟A之前包括步驟：

在硬件安全單元內設定屬性信息和可用基礎資源的對應關系；

步驟A包括：

硬件安全單元根據上述對應關系以及操作系統實例的屬性信息為實例分配可用基礎資源。

本發明提供的計算系統中對硬件安全單元服務的請求的處理方法，首先由硬件安全單元根據操作系統實例的屬性信息為其分配可用基礎資源，然后由硬件安全單元根據分配的可用基礎資源拒絕或者允許操作系統實例對硬件安全單元服務的請求，從而實現為不同的操作系統實例提供差異化服務，提高了硬件安全單元的使用率，并進一步提高了系統的性能。

本發明要解決的另一個技術問題是提供一種可以為不同操作系統實例提供差異化服務的計算系統。

本發明提供的計算系統，包括硬件層、核心層和操作系統實例，硬件層包括硬件安全單元，其中，