專利名稱:計算機用可信計算信任根設備及計算機的制作方法
技術領域:
本實用新型涉及計算機技術領域�����,特別是涉及一種計算機用可信計算信任根設備 及計算機�。
背景技術:
傳統(tǒng)的安全手段往往集中在網(wǎng)絡邊界���,這是人們對待信息安全問題上的一個誤 區(qū)�����。事實上����,終端是創(chuàng)建和存放重要數(shù)據(jù)的源頭���,而且絕大多數(shù)的攻擊事件都是從終端發(fā)起 的�����。究其根源�,安全問題主要是由終端體系結(jié)構和操作系統(tǒng)的不安全所引起的����,例如可能導 致資源被任意使用�����,尤其是執(zhí)行代碼可修改�����,惡意程序可以植入攻擊程序��,肆意進行破壞更 為嚴重的是對合法的用戶沒有進行嚴格的訪問控制�,可以進行超越權限訪問�����,造成不安全 事故�����。傳統(tǒng)安全手段過分強調(diào)了易用性���,而忽略了安全性。在傳統(tǒng)的系統(tǒng)中�,密鑰和授權信 息都直接存儲在內(nèi)存和硬盤之中��,攻擊者有很多的方法來獲取它們�。導致終端不安全�����。為解決如何從終端操作平臺實施高等級的安全防范����,將不安全因素將從終端源頭 被控制,目前是通過可信計算(Trusted Computing, TC)技術來實現(xiàn)����,可信計算即通過向 計算機硬件平臺引入安全芯片(TPM,Trusted Platform Module��,可信賴平臺模塊或TCM��, Trusted Cryptography Module�����,可信密碼模塊)架構�,密鑰和授權信息等這些秘密數(shù)據(jù)都 是由安全芯片(TPM或TCM)來保護的。通過其提供的安全特性來提高終端系統(tǒng)的安全性���, 從而在根本上實現(xiàn)了對各種不安全因素的主動防御��。其核心是在用戶與計算機��、網(wǎng)絡平臺 間建立一種信任機制?��,F(xiàn)有的可信計算架構的計算機��,由于要設置安全芯片(TPM或TCM)�,一般要采用特 殊架構的主板��,在其上集成安全芯片(TPM或TCM)�,或通過設置特殊的接口來安裝安全芯片 (TPM或TCM),從而形成具有可信計算功能的計算機���。而普通的計算機由于主板上未設置安 全芯片(TPM或TCM)���,或不具有安裝安全芯片(TPM或TCM)的接口�����,從而導致無法實現(xiàn)可信 計算����,從而導致普通的計算機無法利用可信計算技術來提高使用中的安全性�����。
實用新型內(nèi)容基于上述現(xiàn)有技術所存在的問題�����,本實用新型實施例提供一種計算機用可信計算 信任根設備及計算機�,解決普通計算機無法安裝安全芯片實現(xiàn)可信計算的問題���。本實用新型的目的是通過下述技術方案實現(xiàn)的本實用新型實施例提供一種計算機用可信計算信任根設備�����,包括電路板���、接口轉(zhuǎn)換模塊和至少一個信任根模塊;所述電路板上設有接口����,所述接口與計算機主板的PCI接口或PCI-E接口或USB 接口相匹配;所述接口轉(zhuǎn)換模塊和信任根模塊均設置在電路板上;所述接口轉(zhuǎn)換模塊�����,用于對各模塊經(jīng)所述電路板的接口與計算機的PCI接口或 PCI-E接口或USB接口進行數(shù)據(jù)交換���;所述信任根模塊��,用于進行密鑰生成�����、加解密處理��,及存儲密鑰和敏感數(shù)據(jù)�����,提供
3完整性度量����,數(shù)據(jù)安全保護和身份認證信息�。所述信任根模塊可為多個,分別用于對應處理不同權限用戶的安全數(shù)據(jù)�。所述信任根設備還包括身份識別模塊和主控模塊;所述身份識別模塊和主控模 塊均設置在所述電路板上��,分別與所述接口轉(zhuǎn)換模塊電連接��;所述身份識別模塊����,用于對用戶的身份進行識別,并將識別后確認的用戶信息傳 輸至所述主控模塊��;所述主控模塊��,用于根據(jù)所述身份識別模塊確認的用戶信息的權限開通相應的信 任根模塊���。所述信任根設備還包括非易失存儲模塊��,與所述主控模塊電連接�����,用于當所述主 控模塊控制的信任根模塊存儲空間不足時��,存儲信任根模塊加密后的數(shù)據(jù)�����。所述身份識別模塊采用指紋識別模塊���、虹膜識別模塊���、USB KEY識別模塊、智能卡 識別模塊中的任一種�。所述主控模塊采用ASIC芯片;或所述主控模塊采用通過IP核在其上實現(xiàn)控制功 能的CPLD芯片或FPGA芯片��。所述接口轉(zhuǎn)換模塊設置在所述主控模塊內(nèi)��,通過主控模塊與所述電路板的接口及 各模塊電連接�。所述接口轉(zhuǎn)換模塊設置在所述電路板上,與所述電路板的接口及各模塊電連接�。 所述接口轉(zhuǎn)換模塊采用PCI接口或PCI-E接口或USB接口的ASIC芯片;或所述接 口轉(zhuǎn)換模塊采用通過IP核在其上實現(xiàn)PCI接口或PCI-E接口或USB接口功能的CPLD芯片 或FPGA芯片�����。所述信任根模塊采用TPM芯片或TCM芯片����。本實用新型實施例還提供一種計算機,包括主機��、可信計算信任根設備,存儲裝置�����、輸入裝置和輸出裝置����;其中可信計算信任 根設備采用上述的可信計算信任根設備����;所述存儲裝置、輸入裝置和輸出裝置均與所述主機內(nèi)的主板電連接���;所述可信計 算信任根設備連接至所述主機內(nèi)主板的PCI插槽或PCI-E插槽或USB接口與所述主板電連接�。從上述本實用新型實施例提供的技術方案中可以看出�����,本實用新型實施例中通過 在具有與計算機的PCI接口或PCI-E接口或USB接口相匹配接口的電路板上設置接口轉(zhuǎn)換 模塊����、身份識別模塊、主控模塊和至少一個信任根模塊�,形成一種可連接至普通計算機主板 的PCI接口或PCI-E接口或USB接口上使用的可信計算信任根設備�����。利用該可信計算信任 根設備使得普通計算機增加可信計算功能��,以較簡單的方式使普通計算機具備了可信計算 機的安全性���。
圖1為本實用新型實施例一提供的可信計算信任根設備的結(jié)構框圖;圖2為本實用新型實施例一提供的另一種可信計算信任根設備的結(jié)構框圖����;圖3為本實用新型實施例二提供的可信計算信任根設備的結(jié)構框圖;圖4為本實用新型實施例二提供的另一種可信計算信任根設備的結(jié)構框4[0031]圖5為本實用新型實施例三提供的計算機的結(jié)構示意圖�����。
具體實施方式
以下結(jié)合附圖和具體實施例對本實用新型作進一步說明���。實施例一本實施例一提供一種計算機用可信計算信任根設備��,應用在普通計算機中��,使普 通計算機具備可信計算功能��,如圖1所示�,該可信計算信任根設備包括電路板1、接口轉(zhuǎn)換模塊3和至少一個信任根模塊4 �;其中,所述電路板1上設有接口 2�,接口 2可采用PCI接口或PCIE接口或USB接 口,它與計算機主板的PCI接口或PCI-E接口(即計算機主板上的PCI插槽或PCI-E插槽) 或USB接口相匹配��;接口 2采用PCI接口或PCI-E接口時�,一般是由接口模塊與電路板上印 刷形成的金手指電連接形成的PCI接口或PCI-E接口���,其中電路板上的金手指實現(xiàn)了與PCI 插槽或PCI-E插槽的物理兼容�,而接口模塊則實現(xiàn)與計算機主板的PCI插槽或PCI-E插槽 數(shù)據(jù)交換協(xié)議上的兼容�����;接口 2采用USB接口時�,一般是由接口模塊與USB插頭電連接形成 的USB接口,其中USB插頭實現(xiàn)了與計算機主板的USB接口的物理兼容���,而接口模塊則實現(xiàn) 與計算機主板的USB接口數(shù)據(jù)交換協(xié)議上的兼容���;上述可信計算信任根設備中的接口轉(zhuǎn)換模塊3和信任根模塊4均設置在電路板1 上;所述的接口轉(zhuǎn)換模塊3分別與電路板1的接口 2和各模塊電連接��,用于對各模塊 (信任根模塊4)經(jīng)所述電路板1的接口 2與計算機的PCI接口或PCI-E接口或USB接口進 行數(shù)據(jù)交換;該接口轉(zhuǎn)換模塊3可采用具有PCI接口或PCI-E接口或USB接口功能的ASIC 芯片��;或采用CPLD芯片或FPGA芯片�����,并用IP核在CPLD芯片或FPGA芯片上實現(xiàn)PCI接口 或PCI-E接口橋功能或USB接口功能;所述的信任根模塊4是一個可獨立進行密鑰生成�����、加解密的芯片,內(nèi)部擁有獨立 的處理器和存儲單元的芯片�����,一般采用TPM芯片或TCM芯片,該信任根模塊4可存儲密鑰和 敏感數(shù)據(jù)���,為所在的計算平臺提供完整性度量,數(shù)據(jù)安全保護和身份認證服務���。如圖2所 示����,信任根模塊一般可設置多個�,各信任根模塊可分別用于為不同權限用戶的提供可信計 算的數(shù)據(jù)處理和存儲。上述可信計算信任根設備中的接口采用USB接口時,可制成內(nèi)置設備或外置設備 的形式�,通過USB接口與普通計算機連接,使普通計算機具備可信計算機的功能�����;當上述可 信計算信任根設備中的接品采用PCI接口或PCI-E接口時,該信任根設備可制成板卡形式�����, 插裝在普通計算機主板的PCI插槽或PCI-E插槽上使用�����,具有使用方便的優(yōu)點�����。上述可信計算信任根設備使用時�����,可連接至普通計算機主板的PCI插槽或PCI-E 插槽或USB接口上��;計算機加電后��,可信計算信任根設備啟動��,計算機BIOS啟動后�,可以正 常訪問可信計算信任根設備上相應的信任根模塊���,從信任板模塊中獲取信任根數(shù)據(jù)后���,進 行正常啟動��,之后的啟動過程與通用的可信計算機啟動模式一致���。并且��,可以進一步通過在 BIOS或操作系統(tǒng)引導程序(OS Loader)中集成身份識別和控制軟件�,實現(xiàn)對用戶的身份識 別和多個信任根模塊的調(diào)度。本實用新型實施例提供的信任根設備,由于具備與普通計算機主板上的PCI插槽或PCI-E插槽或USB接口相匹配的接口��,可以方便的連接到普通計算機主板上使用����,無需重 新設計計算機主板,只要安裝����、升級進行可信計算相應的軟件���,即可使普通計算機實現(xiàn)可信 計算機的所有功能�����。并且���,在一個可信計算信任根設備上設置多個信任根模塊(即提供了 多塊TPM芯片或TCM芯片)時��,可滿足在計算機上運行的虛擬機系統(tǒng)上每個操作系統(tǒng)獨立 使用一塊信任根芯片的需求,提高虛擬機上多操作系統(tǒng)的安全性���。實施例二本實施例二提供一種計算機用可信計算信任根設備�,應用在普通計算機中,使普 通計算機具備可信計算功能�,該信任根設備的結(jié)構與上述實施例一中給出的信任根設備基 本相同,不同的是本實施例的信任根設備還設有身份識別模塊5和主控模塊6����,如圖3所示�����, 該信任根設備的身份識別模塊5和主控模塊6均設置在電路板1上,身份識別模塊5和主 控模塊6分別與接口轉(zhuǎn)換模塊3電連接��,主控模塊6分別與身份識別模塊5、各信任根模塊 電連接��;所述的身份識別模塊5用于對用戶的身份進行識別�,并將識別后確認的用戶信息 傳輸至所述主控模塊6 ����;該身份識別模塊4可采用指紋識別模塊、虹膜識別模塊�、USB KEY識 別模塊���、智能卡(IC卡)識別模塊等身份識別裝置中的任一種���;所述的主控模塊6用于根據(jù)所述身份識別模塊5的確認的用戶信息的權限開通相 應的信任根模塊��,實現(xiàn)對多個信任根模塊進行調(diào)度訪問;該主控模塊6可采用ASIC芯片�����; 或采用CPLD芯片或FPGA芯片,并用IP核在CPLD芯片或FPGA芯片上實現(xiàn)控制功能�����。本實施例的信任根設備中的信任根模塊一般也可設置多個�,分別與所述主控模塊 6和接口轉(zhuǎn)換模塊3電連接,各信任根模塊分別用于為不同權限用戶的提供可信計算的數(shù) 據(jù)處理和存儲���。上述信任根設備中還可以設置非易失存儲模塊7,它分別與主控模塊6和接口轉(zhuǎn) 換模塊3電連接,用于當主控模塊6控制的信任根模塊存儲空間不足時,對信任根模塊加密 后的數(shù)據(jù)進行存儲�,該非易失存儲模塊7的安全讀寫由主控模塊6控制����。該非易失存儲模 塊7 —般采用Flash芯片���,是對該信任根設備中的信任根模塊存儲空間有限的補充���。上述信任根設備中接口轉(zhuǎn)換模塊3可以設置在電路板1上,與接口 2和各模塊電 連接;該接口轉(zhuǎn)換模塊3也可以設置在主控模塊6內(nèi)(參見圖4)����,通過主控模塊6實現(xiàn)與接 口 2和各模塊電連接,即在一個主控模塊6內(nèi)實現(xiàn)兩個模塊(即主控模塊和接口轉(zhuǎn)換模塊) 的功能。該接口轉(zhuǎn)換模塊3主要是提供信任根模塊4���、身份識別模塊5與接口 2 (即PCI接 口或PCI-E接口或USB接口)的連接,將兼容其它形式接口的各模塊通過該接口轉(zhuǎn)換模塊3 實現(xiàn)與接口 2 (即PCI接口或PCI-E接口或USB接口)相兼容,如目前大多信任根芯片TPM 或TCM外部接口是LPC接口���,無法直接與PCI接口或PCI-E接口或USB接口進行連接���,而通 過接口轉(zhuǎn)換模塊3即可實現(xiàn)信任根芯片與PCI接口或PCI-E接口或USB接口進行連接�;身 份識別模塊5 —般提供的是串口或USB接口���,也無法直接與PCI接口或PCI-E接口連接�����,而 通過接口轉(zhuǎn)換模塊3即可實現(xiàn)身份識別模塊與PCI接口或PCI-E接口連接��。也可以在集成 接口轉(zhuǎn)換模塊3的主控模塊6內(nèi)集成接口 2的接口模塊(參見圖4)�����,如可在一個CPLD或 FPGA中集成主控模塊����、接口轉(zhuǎn)換模塊3和接口 2的接口模塊,這樣在一個主控模塊內(nèi)集成了 三個模塊的功能���,提高了集成度�,也便于降低整個設備的成本。上述可信計算信任根設備中的接口采用USB接口時�����,可制成內(nèi)置設備或外置設備
6的形式,通過USB接口與普通計算機連接��,使普通計算機具備可信計算機的功能���;當上述可 信計算信任根設備中的接品采用PCI接口或PCI-E接口時�����,該信任根設備可制成板卡形式�, 插裝在普通計算機主板的PCI插槽或PCI-E插槽上使用,具有使用方便的優(yōu)點����。上述可信計算信任根設備使用時,可連接至普通計算機主板的PCI插槽或PCI-E 插槽或USB接口上����,計算機加電后,用戶首先需要通過可信計算信任根設備上的身份識別 模塊進行身份認證����,身份認證通過后����,主控模塊根據(jù)用戶的權限開通相應的信任根模塊�,計 算機BIOS啟動,可以正常訪問相應的信任根模塊��,從信任板模塊中獲取信任根數(shù)據(jù)后�,進 行正常啟動����,之后的啟動過程與通用的可信計算機啟動模式一致��。本實用新型實施例提供的信任根設備���,由于具備與普通計算機主板上的PCI插槽 或PCI-E插槽或USB接口相匹配的接口�����,可以方便的連接到普通計算機主板上使用,無需重 新設計計算機主板����,只要安裝��、升級進行可信計算相應的軟件���,即可使普通計算機實現(xiàn)可信 計算機的所有功能�����。利用該信任根設備����,使得普通計算機對用戶的身份識別是在信任根設 備內(nèi)完成,計算機上軟件無法直接接觸到該信任根設備�,從而提高了身份識別的安全性����。并 且�,當在一個信任根設備上設置多個信任根模塊(即提供了多塊TPM芯片或TCM芯片)時�, 可滿足在計算機上運行的虛擬機系統(tǒng)上每個操作系統(tǒng)獨立使用一塊信任根芯片的需求�,提 高虛擬機上多操作系統(tǒng)的安全性。實施例三本實施例三提供一種計算機�,如圖5所示�����,該計算機包括主機21��、可信計算信任根設備25�,存儲裝置(圖中未示出)、輸入裝置22和輸出裝 置23 ;其中主機21內(nèi)設有主板M���,所述的可信計算信任根設備25采用上述實施例一中給 出的可信計算信任根設備����;所述存儲裝置�、輸入裝置22和輸出裝置23均與所述主機21內(nèi)的主板24電連接����; 所述的可信計算信任根設備25連接至所述主機21內(nèi)主板M的PCI插槽或PCI-E插槽或 USB接口上與所述主板M電連接�。該計算機與普通的計算機的硬件結(jié)構基本相同,不同的是該計算機還包括可信計 算信任根設備���,通過將可信計算信任根設備連接至主機內(nèi)主板的PCI插槽或PCI-E插槽或 USB接口上��,從而使得該計算機在與相應軟件的配合下�����,具備了可信計算機的安全性�����。以上所述����,僅為本實用新型較佳的具體實施方式
���,但本實用新型的保護范圍并不 局限于此����,任何熟悉本技術領域的技術人員在本實用新型揭露的技術范圍內(nèi)��,可輕易想到 的變化或替換���,都應涵蓋在本實用新型的保護范圍之內(nèi)�。因此��,本實用新型的保護范圍應該 以權利要求書的保護范圍為準���。
權利要求1.一種計算機用可信計算信任根設備��,其特征在于��,包括電路板�、接口轉(zhuǎn)換模塊和至少一個信任根模塊�����;所述電路板上設有接口���,所述接口與計算機主板的PCI接口或PCI-E接口或USB接口 相匹配��;對各模塊經(jīng)所述電路板的接口與計算機的PCI接口或PCI-E接口或USB接口進行 數(shù)據(jù)交換的所述接口轉(zhuǎn)換模塊和進行密鑰生成、加解密處理����,及存儲密鑰和敏感數(shù)據(jù)�����,提供 完整性度量��,數(shù)據(jù)安全保護和身份認證信息的所述信任根模塊均設置在電路板上。
2.如權利要求1所述的計算機用可信計算信任根設備����,其特征在于�����,所述信任根模塊 可為多個,分別用于對應處理不同權限用戶的安全數(shù)據(jù)��。
3.如權利要求1或2所述的計算機用可信計算信任根設備��,其特征在于��,所述信任根設 備還包括對用戶的身份進行識別����,并將識別后確認的用戶信息傳輸至主控模塊的身份識 別模塊和根據(jù)所述身份識別模塊確認的用戶信息的權限開通相應的信任根模塊的主控模 塊;其中����,所述身份識別模塊和主控模塊均設置在所述電路板上,所述身份識別模塊和主 控模塊分別與所述接口轉(zhuǎn)換模塊電連接����。
4.如權利要求3所述的計算機用可信計算信任根設備����,其特征在于��,所述信任根設備 還包括非易失存儲模塊,與所述主控模塊電連接,用于當所述主控模塊控制的信任根模塊 存儲空間不足時���,存儲信任根模塊加密后的數(shù)據(jù)�����。
5.如權利要求3所述的計算機用可信計算信任根設備,其特征在于�,所述身份識別模 塊采用指紋識別模塊��、虹膜識別模塊�、USB KEY識別模塊�、智能卡識別模塊中的任一種���。
6.如權利要求3所述的計算機用可信計算信任根設備�,其特征在于,所述主控模塊采 用ASIC芯片�����;或所述主控模塊采用通過IP核在其上實現(xiàn)控制功能的CPLD芯片或FPGA芯 片��。
7.如權利要求3所述的計算機用可信計算信任根設備�,其特征在于��,所述接口轉(zhuǎn)換模 塊設置在所述主控模塊內(nèi),通過主控模塊與所述電路板的接口及各模塊電連接��。
8.如權利要求1所述的計算機用可信計算信任根設備�����,其特征在于��,所述接口轉(zhuǎn)換模 塊設置在所述電路板上����,與所述電路板的接口及各模塊電連接。
9.如權利要求1�、2或8任一項所述的計算機用可信計算信任根設備�����,其特征在于���,所 述接口轉(zhuǎn)換模塊采用PCI接口或PCI-E接口或USB接口的ASIC芯片;或所述接口轉(zhuǎn)換模塊 采用通過IP核在其上實現(xiàn)PCI接口或PCI-E接口或USB接口功能的CPLD芯片或FPGA芯 片����。
10.如權利要求1所述的計算機用可信計算信任根設備���,其特征在于,所述信任根模塊 采用TPM芯片或TCM芯片����。
11.一種計算機,其特征在于����,包括主機、可信計算信任根設備�,存儲裝置���、輸入裝置和輸出裝置���;其中可信計算信任根設 備采用上述權利要求1 10中任一項所述的可信計算信任根設備����;所述存儲裝置���、輸入裝置和輸出裝置均與所述主機內(nèi)的主板電連接��;所述可信計算信 任根設備連接至所述主機內(nèi)主板的PCI插槽或PCI-E插槽或USB接口與所述主板電連接。
專利摘要本實用新型實施例提供一種計算機用可信計算信任根設備及計算機��。該設備包括電路板��、接口轉(zhuǎn)換模塊和至少一個信任根模塊;所述電路板上設有接口����,所述接口與計算機主板的PCI接口或PCI-E接口或USB接口相匹配;所述接口轉(zhuǎn)換模塊和信任根模塊均設置在電路板上����;所述接口轉(zhuǎn)換模塊��,用于對各模塊經(jīng)所述電路板的接口與計算機的PCI接口或PCI-E接口或USB接口進行數(shù)據(jù)交換��;所述信任根模塊���,用于進行密鑰生成����、加解密處理���,及存儲密鑰和敏感數(shù)據(jù)���,提供完整性度量�,數(shù)據(jù)安全保護和身份認證信息�����。該設備可用在普通計算機中,使普通計算機具備可信計算機的安全性。
文檔編號G06F21/00GK201820230SQ20102004705
公開日2011年5月4日 申請日期2010年1月22日 優(yōu)先權日2010年1月22日
發(fā)明者從秀芳, 劉紹方, 吳悠, 吳迪, 唐海, 張心臻, 張擁政, 張淑芬, 張玉, 張金霞, 張鵬, 李光, 楊紅, 牛峰, 王江少, 章文康, 范耀學, 葛小蔓, 賈立宗, 鄭玉冰, 郝福珍, 馬文龍 申請人:華北計算技術研究所