技術領域

本發明涉及一種基于國產TCM的可信計算單元及其運行方法，屬于國產龍芯計算機、數據加解密以及身份驗證等技術領域。

背景技術

隨著“棱鏡門”事件的爆發，國家對研制自主可控的國產計算機越來越重視。硬件方面，我國擁有自主研制的龍芯3A、3B系列CPU、飛騰1500A系列CPU、申威4A系列CPU等多款CPU，在性能方面已經接近普通intel處理器，可滿足正常辦公需求，同時擁有研制相應主板的核心技術和成熟工藝。軟件方面，已有自主研制的BIOS(如昆侖、百敖)以及中標麒麟、銀河麒麟、中科方德為代表的國產操作系統，配套的WPS等國產軟件也逐漸豐富起來。

國產首先可以做到自主可控，這是一個基本的條件，自主可控的軟硬件平臺可以杜絕了x86系列計算機的安全后門，但是我國的安全防護技術仍然十分薄弱。以可信技術為支撐的安全可控軟硬件技術正逐步發展起來，已成為我國個人終端抵御外界入侵的天然屏障。

普通的國產平臺只是提供了一個硬件基礎，硬件、BIOS、系統易被非法篡改。

中國專利文獻CN 103106373A公開了一種可信計算芯片及可信計算系統。本發明的可信計算芯片包括：算法功能層、應用功能層、通信單元和平臺配置寄存器。本發明的可信計算系統包括：服務模塊、安全應用模塊、可信計算芯片、可信計算模式設置模塊、固件下載單元、固件單元。本發明的可信計算芯片及可信計算系統，通過簡單的配置使可信計算系統能支持多種可信計算算法及應用。但是，該專利中存在以下缺陷：該專利只是描述了一種可信計算芯片，只能保證開機過程中的安全性，對于系統運行過程中的運行安全無法保證。

中國專利文獻CN104200156A公開了一種基于龍芯處理器的可信加密系統，通過TCM芯片對BIOS及操作系統進行完整性保護，并基于TCM芯片密碼算法對密鑰進行加密保護，密鑰存儲在USBkey內部，通過對BIOS改造實現密鑰使用認證，密鑰從USBKey到硬盤密碼芯片的傳輸，采用可信計算技術保證系統不被破壞，通過加密密鑰存儲、使用過程的安全性保護，保證加密數據的安全可信。但是，該專利中存在以下缺陷：該專利在開機過程中僅僅對BIOS、OS進行度量并未對平臺的硬件進行完整性保護；其次只保證了系統運行過程中的數據安全，對于惡意程序無法阻止。

發明內容

針對現有技術的不足，本發明提供了一種基于國產TCM的可信計算單元；

本發明還提供了上述可信計算單元的運行方法；

本發明結合國產TCM，在開機階段對光驅、網卡、硬盤以及BIOS、OS進行完整性度量，防止硬件、BIOS、系統的非法篡改；提供雙重身份認證，BIOS階段以及系統登錄階段均需認證通過；系統運行過程中通過白名單機制防止惡意程序的運行。本發明穩定性好、適用性強，在自主可控基礎上保證機器的運行安全。

術語解釋：

TCM，trusted cryptography module，可信密碼模塊；

本發明的技術方案為：

一種基于國產TCM的可信計算單元，包括機械結構層、平臺硬件層、固件層、操作系統層、可信軟件層；

所述機械結構層包括機箱、散熱系統、電源；所述固件層包括固件；所述操作系統層包括操作系統；所述平臺硬件層包括背板、計算單元模塊、可信密碼模塊；所述可信軟件層包括可信應用模塊、可信計算支撐模塊；

所述可信計算支撐模塊為所述可信應用模塊訪問可信密碼模塊的橋梁，所述可信應用模塊通過調用可信軟件基和可信軟件服務的接口來使用可信密碼模塊提供的安全功能，安全功能包括完整性度量、身份認證、加解密功能；

所述可信應用模塊基于所述可信計算支撐模塊提供的編程接口和操作系統安全內核機制設計開發，采用QT庫設計圖形化用戶界面，提供身份認證功能、可信文件加密功能、可信程序控制功能、可信文件保護功能、安全審計功能、可信接入驗證功能，同時在內核層設計內核安全模塊支撐用戶層功能模塊。

根據本發明優選的，所述計算單元模塊為龍芯3A處理器。

根據本發明優選的，所述龍芯3A處理器的主頻為1GHZ，主板通過北橋芯片AMD RS780連接Intel82574芯片擴展2個千兆網口、1個PCIEx16插槽、1個VGA接口、1個串口，對外擴展預留一個PCI-E×16插槽，主板通過南橋芯片AMD SB710擴展4個USB接口和SATA接口。

根據本發明優選的，所述可信密碼模塊包括國產TCM芯片、FPGA芯片、電源轉換芯片。