1.一種基于國產(chǎn)TCM的可信計算單元，其特征在于，包括機械結構層、平臺硬件層、固件層、操作系統(tǒng)層、可信軟件層；

所述機械結構層包括機箱、散熱系統(tǒng)、電源；所述固件層包括固件；所述操作系統(tǒng)層包括操作系統(tǒng)；所述平臺硬件層包括背板、計算單元模塊、可信密碼模塊；所述可信軟件層包括可信應用模塊、可信計算支撐模塊；

所述可信計算支撐模塊為所述可信應用模塊訪問可信密碼模塊的橋梁，所述可信應用模塊通過調用可信軟件基和可信軟件服務的接口來使用可信密碼模塊提供的安全功能，安全功能包括完整性度量、身份認證、加解密功能；

所述可信應用模塊基于所述可信計算支撐模塊提供的編程接口和操作系統(tǒng)安全內(nèi)核機制設計開發(fā)，采用QT庫設計圖形化用戶界面，提供身份認證功能、可信文件加密功能、可信程序控制功能、可信文件保護功能、安全審計功能、可信接入驗證功能，同時在內(nèi)核層設計內(nèi)核安全模塊支撐用戶層功能模塊。

2.根據(jù)權利要求1所述的一種基于國產(chǎn)TCM的可信計算單元，其特征在于，所述計算單元模塊為龍芯3A處理器。

3.根據(jù)權利要求2所述的一種基于國產(chǎn)TCM的可信計算單元，其特征在于，所述龍芯3A處理器的主頻為1GHZ，主板通過北橋芯片AMD RS780連接Intel82574芯片擴展2個千兆網(wǎng)口、1個PCIEx16插槽、1個VGA接口、1個串口，對外擴展預留一個PCI-E×16插槽，主板通過南橋芯片AMD SB710擴展4個USB接口和SATA接口。

4.根據(jù)權利要求1所述的一種基于國產(chǎn)TCM的可信計算單元，其特征在于，所述可信密碼模塊包括國產(chǎn)TCM芯片、FPGA芯片、電源轉換芯片。

5.根據(jù)權利要求4所述的一種基于國產(chǎn)TCM的可信計算單元，其特征在于，所述身份認證基于USBkey和TCM芯片實現(xiàn)，設備開機登錄、可信應用軟件登錄時，對用戶信息進行身份合法性驗證；

所述可信程序控制基于白名單機制實現(xiàn)，基于LSM機制對HOOK函數(shù)進行重載，實現(xiàn)對可執(zhí)行文件執(zhí)行的攔截；

所述可信文件保護通過Linux LSM內(nèi)核安全模塊機制，回調文件保護函數(shù)過濾用戶的操作，實現(xiàn)文件的保護；

所述可信文件加密基于Linux加密文件系統(tǒng)進和TCM芯片密碼服務接口開發(fā)，通過調用TCM密碼服務接口對稱加解密；

所述安全審計主要審計用戶違規(guī)行為日志；

所述可信接入驗證主要對其他設備進行完整性驗證和認證。

6.根據(jù)權利要求1所述的一種基于國產(chǎn)TCM的可信計算單元，其特征在于，所述固件為昆侖固件。

7.權利要求1-6任一所述的一種基于國產(chǎn)TCM的可信計算單元的運行方法，包括步驟如下：

(1)系統(tǒng)開機后，對整機BIOS進行完整性度量；

(2)對用戶進行認證；

(3)對光驅、硬盤、顯卡硬件以及內(nèi)核關鍵文件進行完整性度量；

(4)完整性度量完成后，系統(tǒng)加載，進入登陸界面，調用USBKey和TCM芯片共同完成身份認證；

(5)系統(tǒng)運行過程中通過可信文件加密以及可信文件保護來實現(xiàn)文件的訪問控制；通過可信程序控制實現(xiàn)非法程序攔截以及防止應用程序的篡改；

(6)可信接入控制功能主要是實現(xiàn)對客戶端的訪問控制，通過對客戶端的軟硬件信息進行收集判斷，對于非法客戶端拒絕鏈接訪問該單元，預防非法攻擊。