[发明专利]一种存储隔离的可信系统

说明书

本发明涉及一种存储隔离的可信系统，所述系统包括：中央处理器、可信平台控制模块(TPCM)；可信平台控制模块通过PCIE总线接入可信系统的主板；可信平台控制模块通过只读的访问中央处理器的存储空间以获取主动度量所需的数据，可信平台控制模块基于度量策略对所述数据进行度量，并将度量结果保存在所述可信平台控制模块的存储空间中。本发明能够将接入总线的存储器以及处理芯片内部的存储器均进行连续的存储空间映射，从而进行多存储器的集中管理；通过区别的地址映射，使得存储空间为对部分组件可见，而对其他不可见，过这样的方式使得中央处理器和可信平台控制模块之间存储隔离。

【技术领域】

本发明属于信息安全技术领域，尤其涉及一种存储隔离的可信系统。

【背景技术】

随着网络技术的发展，目前急需一种安全可靠的服务器系统，以消除安全隐 患。ARM处理器的生态环境比较成熟，越来越多的国产系统软件、工具软件、应 用软件厂商在围绕ARM处理器进行产品开发。可信计算作为提升国家网络安全 保障能力的重要手段之一，得到了产业界和专家的广泛认可。在可信计算领域， 存储安全是其中的关键技术。只有从芯片、主板等硬件结构和BIOS、操作系统、 存储器等底层软件作起，才能比较有效的提高整个系统的安全性。现在亟需一种 新的存储隔离的可信系统，本发明能够将接入总线的存储器以及处理芯片内部的 存储器均进行连续的存储空间映射，从而进行多存储器的集中管理；通过区别的 地址映射，使得存储空间为对部分组件可见，而对其他不可见，过这样的方式使 得中央处理器和可信平台控制模块之间存储隔离。

【发明内容】

为了解决现有技术中的上述问题，本发明提出了一种存储隔离的可信系统， 该系统包括：中央处理器、可信平台控制模块(TPCM)；可信平台控制模块通 过PCIE总线接入可信系统的主板；可信平台控制模块TPCM以可插拔卡的方式 接入可信系统的主板；在基于可信平台控制模块的动态度量过程中，可信平台控 制模块通过可信软件基TSB获取的监测数据对中央处理器及其操作系统、应用程 序依次的进行动态度量；

可信平台控制模块通过只读的访问中央处理器的存储空间以获取主动度量所 需的数据，可信平台控制模块基于度量策略对所述数据进行度量，并将度量结果 保存在所述可信平台控制模块的存储空间中。

进一步的，可信平台控制模块内部的存储空间是可信平台控制模块自身可见 的、中央处理器内部的存储空间是中央处理器自身可见的。

进一步的，可信平台控制模块和中央处理器通过总线共享可信平台主板上的 只读、可读写存储器。

进一步的，可信平台主板上的只读、可读写存储器通过地址映射的方式被映 射到连续的地址空间中。

进一步的，所述部分连续的地址空间对中央处理器为可见的，而另一部分连 续的地址空间对中央处理器为不可见的。

进一步的，所述可信平台控制模块具有高于中央处理器的访问权限，所述可 信平台控制模块能够只读的访问中央处理器的存储空间。

进一步的，位于主板上的控制器对所述中央处理器和可信平台控制模块发送 的读写指令进行仲裁。

进一步的，中央处理器不能访问所述可信平台控制模块的系统存储区。

本发明的有益效果包括：能够将接入总线的存储器以及处理芯片内部的存储 器均进行连续的存储空间映射，从而进行多存储器的集中管理；通过区别的地址 映射，使得存储空间为对部分组件可见，而对其他不可见，过这样的方式使得中 央处理器和可信平台控制模块之间存储隔离。

【附图说明】

此处所说明的附图是用来提供对本发明的进一步理解，构成本申请的一部 分，但并不构成对本发明的不当限定，在附图中：

图1是本发明的存储隔离的可信系统的架构示意图。