本發(fā)明公開了一種基于雙體系架構(gòu)的可信計(jì)算平臺的靜態(tài)度量方法和裝置。其中，該方法包括：在計(jì)算機(jī)上電時(shí)，將計(jì)算機(jī)的硬件資源劃分為防護(hù)硬件資源和計(jì)算硬件資源，其中，計(jì)算硬件資源允許被防護(hù)硬件資源訪問且不能訪問防護(hù)硬件資源，防護(hù)硬件資源用于運(yùn)行防護(hù)子系統(tǒng)，計(jì)算硬件資源用于運(yùn)行計(jì)算子系統(tǒng)；控制防護(hù)硬件資源先于計(jì)算硬件資源啟動，并在計(jì)算硬件資源啟動計(jì)算子系統(tǒng)的過程中，對計(jì)算硬件資源的啟動階段進(jìn)行度量。本發(fā)明解決了相關(guān)技術(shù)中的計(jì)算機(jī)安全性較低的技術(shù)問題。

技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)安全領(lǐng)域，具體而言，涉及一種基于雙體系架構(gòu)的可信計(jì)算平臺的靜態(tài)度量方法和裝置。

背景技術(shù)

當(dāng)前的網(wǎng)絡(luò)空間極其脆弱，震網(wǎng)、勒索病毒(如Wannacry)、Mirai病毒等造成較大影響的網(wǎng)絡(luò)攻擊事件層出不窮，且日益猖獗，究其根源，在于并沒有從網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的實(shí)質(zhì)原因入手解決問題，一味采用以“防火墻”、“病毒查殺”、“入侵檢測”等為代表的“封堵查殺”被動防御手段，防不勝防，特別在面對針對目標(biāo)系統(tǒng)的漏洞發(fā)起的攻擊時(shí)，根本無法有效防御。

國際TCG組織(英文全稱Trusted Computing Group，中文名為可信計(jì)算組織)提出的可信計(jì)算芯片TPM是作為計(jì)算機(jī)的外部設(shè)備，以被動掛接的方式，通過主機(jī)軟件調(diào)用來發(fā)揮作用，僅能對計(jì)算機(jī)的固件和可執(zhí)行程序等資源進(jìn)行靜態(tài)度量。以TPM方式所實(shí)現(xiàn)的可信計(jì)算平臺實(shí)質(zhì)是單系統(tǒng)架構(gòu)，TPM在資源訪問、控制上都有局限性，其安全能力完全依賴于主機(jī)系統(tǒng)的安全性，難以防御黑客利用主機(jī)系統(tǒng)漏洞進(jìn)行的攻擊，并不能實(shí)質(zhì)上提升計(jì)算機(jī)系統(tǒng)的主動防御能力。

為解決當(dāng)前網(wǎng)絡(luò)空間安全面臨的問題，國際TCG組織提出了可信計(jì)算的方法，提出了以TPM和BIOS起始代碼為信任根，一級度量一級，進(jìn)而構(gòu)建起計(jì)算機(jī)的信任鏈，保護(hù)計(jì)算機(jī)重要資源不被非法篡改和破壞，起到了較好的效果。但是，TPM本質(zhì)上只是計(jì)算機(jī)上一個(gè)被動掛接的外部設(shè)備，只有被主機(jī)程序調(diào)用才會發(fā)揮作用，一旦主機(jī)被攻擊者控制，TPM的作用就會無從發(fā)揮，導(dǎo)致TCG的可信計(jì)算架構(gòu)在面對黑客利用計(jì)算機(jī)系統(tǒng)邏輯缺陷進(jìn)行攻擊時(shí)，基本難以抵御，例如Windows 10完全實(shí)現(xiàn)了TCG的可信計(jì)算架構(gòu)，但是卻未能阻止Wannacry勒索病毒的攻擊。

此外，以TPM方式所實(shí)現(xiàn)的可信計(jì)算平臺實(shí)質(zhì)是單系統(tǒng)架構(gòu)，TPM在對計(jì)算機(jī)的資源訪問、控制上都有局限性。且，TPM僅能對計(jì)算機(jī)的固件和可執(zhí)行程序等資源進(jìn)行靜態(tài)度量，無法對應(yīng)用執(zhí)行及其所依賴的執(zhí)行環(huán)境進(jìn)行動態(tài)度量。

針對以TPM方式所實(shí)現(xiàn)的可信計(jì)算平臺實(shí)質(zhì)是單系統(tǒng)架構(gòu)，TPM的固件和可執(zhí)行程序等資源進(jìn)行靜態(tài)度量，無法對應(yīng)用執(zhí)行及其所依賴的執(zhí)行環(huán)境進(jìn)行動態(tài)度量，且TPM在資源訪問、控制上都有局限性，TPM的安全能力完全依賴于主機(jī)系統(tǒng)的安全性。

針對上述的問題，目前尚未提出有效的解決方案。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種基于雙體系架構(gòu)的可信計(jì)算平臺的靜態(tài)度量方法和裝置，以至少解決相關(guān)技術(shù)中的計(jì)算機(jī)安全性較低的技術(shù)問題。

根據(jù)本發(fā)明實(shí)施例的一個(gè)方面，提供了一種基于雙體系架構(gòu)的可信計(jì)算平臺的靜態(tài)度量方法，包括：在計(jì)算機(jī)上電時(shí)，將計(jì)算機(jī)的硬件資源劃分為防護(hù)硬件資源和計(jì)算硬件資源，其中，計(jì)算硬件資源允許被防護(hù)硬件資源訪問且不能訪問防護(hù)硬件資源，防護(hù)硬件資源用于運(yùn)行防護(hù)子系統(tǒng)，計(jì)算硬件資源用于運(yùn)行計(jì)算子系統(tǒng)；控制防護(hù)硬件資源先于計(jì)算硬件資源啟動，并在計(jì)算硬件資源啟動計(jì)算子系統(tǒng)的過程中，對計(jì)算硬件資源的啟動階段進(jìn)行度量。

根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了一種基于雙體系架構(gòu)的可信計(jì)算平臺的靜態(tài)度量裝置，包括：劃分單元，用于在計(jì)算機(jī)上電時(shí)，將計(jì)算機(jī)的硬件資源劃分為防護(hù)硬件資源和計(jì)算硬件資源，其中，計(jì)算硬件資源允許被防護(hù)硬件資源訪問且不能訪問防護(hù)硬件資源，防護(hù)硬件資源用于運(yùn)行防護(hù)子系統(tǒng)，計(jì)算硬件資源用于運(yùn)行計(jì)算子系統(tǒng)；度量單元，用于控制防護(hù)硬件資源先于計(jì)算硬件資源啟動，并在計(jì)算硬件資源啟動計(jì)算子系統(tǒng)的過程中，對計(jì)算硬件資源的啟動階段進(jìn)行度量。