[发明专利]一种可信计算芯片及可信计算系统

说明书

技术领域

本发明涉及信息安全领域，具体而言是涉及到可信计算领域，特别是涉及一种可信计算芯片及可信计算系统。

背景技术

现有可信计算领域中主要有两种可信计算标准，一种是中国制定的TCM可信计算标准，另一种是由信任运算组织TCG制定的TPM可信计算标准。这两种标准既存在着相似性，同时也存在着差异性。

现有的TCG可信计算标准是由TCG组织定制的国际标准，该标准与中国制定的可信计算标准有很多差异性，比如可信计算的算法不同。中国制定的可信计算标准使用SM2、SM3、SM4和HMAC算法。而TCG标准中使用RSA、SHA-1、HMAC、DSA、ECC、AES算法。现有的技术如果要在某个安全系统上安装这两种可信计算系统，则需要两片物理芯片，而且要确保相互之间能够兼容，并且需要控制器及解析功能模块来判断当前接收到用户的数据是发送给TPM还是发送给TCM芯片。这样做不仅制作工艺复杂，系统稳定性不高，而且浪费了大量的计算机资源，生产成本较高。

发明内容

为解决上述问题，本发明提供了一种可信计算芯片及可信计算系统，避免了需要两块或多块物理芯片才能支持多种可信计算算法及应用的问题。

本发明解决上述技术问题的技术方案如下：

一种可信计算芯片，包括：算法功能层、应用功能层、通信单元和平台配置寄存器；所述算法功能层用于存储所述芯片支持的至少一种算法引擎和产生随机数；所述应用功能层用于调用所述算法功能层的算法引擎和随机数进行可信处理；所述通信单元用于处理芯片内部各单元之间的通信以及芯片内部与芯片外部之间的通信；所述平台配置寄存器用于存储应用功能层的配置参数值以及应用功能层的处理结果值。

进一步的，所述应用功能层包括：平台完整性度量模块、平台身份可信模块和数据安全保护模块；所述平台完整性度量模块用于负责平台的完整性保护；所述平台身份可信模块用于负责平台可信身份标识与证实；所述数据安全保护模块用于负责平台数据密封与绑定。

进一步的，所述算法功能层支持的算法引擎至少包括TCM规范定义的算法引擎和TPM规范定义的算法引擎中的一种。

更进一步的，所述TCM规范定义的算法引擎包括：SM2、SM3、SM4和HMAC算法中的至少一种；所述TPM规范定义的算法引擎包括：RSA、SHA-1、HMAC、DSA、ECC、和AES算法中的至少一种。

一种可信计算系统，包括：服务模块、安全应用模块，以及以上所述的可信计算芯片；所述可信计算芯片用于提供算法引擎以及平台完整性度量、平台身份认证及数据安全保护；所述服务模块用于对可信计算芯片提供基础资源支持，并向所述安全应用模块提供调用入口；所述安全应用模块用于通过服务模块调用可信计算芯片实现基于可信计算的安全功能。

进一步的，所述的可信计算系统还包括：可信计算模式设置模块、固件下载单元、固件单元；所述可信计算模式设置模块用于设置可信计算芯片的工作模式；所述固件下载单元用于根据所述可信计算模式设置模块的设置，从所述固件单元中下载相应的固件，并提供给所述可信计算芯片；所述固件单元用于存储支持各可信计算模式的固件。

进一步的，所述可信计算模式设置模块设置的模式包括：TCM工作模式、TPM工作模式以及TCM/TPM混合工作模式中的至少一种。

进一步的，所述可信计算模式设置模块的模式设置信息为通过BIOS设置，或者通过操作系统中的软件设置。

进一步的，所述固件单元内存储的固件包括：TCM工作模式固件、TPM工作模式固件以及TCM/TPM混合工作模式固件中的至少一种。

进一步的，所述固件单元中的固件存储在BIOS中，或者存储在计算机可识别的存储介质中。

本发明的有益效果是：本发明提供的可信计算芯片及可信计算系统，通过可兼容多种算法引擎，使可信计算系统通过简单的配置能支持多种可信计算算法及应用，不仅提高了系统的兼容性与稳定性，还避免了大量计算机资源的浪费，且大大降低了生产成本。

附图说明

图1为本发明的可信计算芯片结构图；

图2为本发明的可信计算系统图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

如图1所示，一种可信计算芯片的结构图，包含算法功能层、应用功能层、通信单元和平台配置寄存器。

算法功能层包括：符合TCM规范的算法引擎、符合TPM规范的算法引擎中的至少一种以及随机数发生器。