[发明专利]双体系结构的可信计算平台的构建方法及可信计算平台

权利要求书

1.一种双体系结构的可信计算平台的构建方法，其特征在于，所述方法包括：

构建计算资源，所述计算资源用于完成计算任务；

构建可信计算资源，所述可信计算资源用于对所述计算资源进行主动度量，以及根据主动度量的结果进行相应主动控制，所述主动度量包括静态度量和动态度量；

将所述计算资源和所述可信计算资源配置到计算机中央处理器中，得到双体系结构的可信计算平台，所述可信计算平台包括：所述计算机中央处理器及其外部的其他资源；

其中，所述将所述计算资源和所述可信计算资源配置到计算机中央处理器中，具体包括：

如果所述计算机中央处理器为多核处理器，且如果构建的所述计算资源和所述可信计算资源是同构的，则

动态选择所述计算机中央处理器的内核，形成第一组内核和第二组内核，每组内核具有至少一个内核，且两组内核不存在相同的内核，其中，所述动态选择包括：所述第一组内核和所述第二组内核中内核数量的动态分配，和/或，具体内核的动态分配；

将所述计算资源和所述可信计算资源两者中的一者配置到所述计算机中央处理器中的所述第一组内核中，以及将所述计算资源和所述可信计算资源两者中的另一者配置到所述计算机中央处理器中的所述第二组内核中；

所述计算资源和所述可信计算资源被配置为两者相互隔离，且仅允许所述可信计算资源访问所述计算资源，且所述可信计算资源具有比所述计算资源更高的访问权限和控制权限；

其中，对于所述第一组内核和所述第二组内核两者中，被分配给所述计算资源一者的动态选择，所述方法还包括：

分析所述计算资源和所述可信计算资源各自的计算处理占用资源需求情况，当所述计算资源的计算处理占用资源需求升高时，为所述计算资源增加内核分配量，或者，为所述计算资源优先分配使用率小的内核。

2.根据权利要求1所述的方法，其特征在于，所述将所述计算资源和所述可信计算资源配置到计算机中央处理器中，包括：

如果构建的所述计算资源和所述可信计算资源是异构的，则将所述计算资源和所述可信计算资源两者一一对应配置到两个不同架构的处理器中；

其中，所述计算机中央处理器内包括所述两个不同架构的处理器。

3.根据权利要求1所述的方法，其特征在于，所述将所述计算资源和所述可信计算资源配置到计算机中央处理器中，包括：

如果构建的所述计算资源和所述可信计算资源是同构的，则将所述计算资源和所述可信计算资源两者一一对应配置到两个相同架构的处理器中；

其中，所述计算机中央处理器内包括所述两个相同架构的处理器。

4.根据权利要求1所述的方法，其特征在于，所述将所述计算资源和所述可信计算资源配置到计算机中央处理器中，还包括：

将所述计算资源和所述可信计算资源挂接到内总线上，并将所述可信计算资源配置为通过内总线与所述计算资源以及所述计算机中央处理器外部的其他资源进行通信。

5.根据权利要求1至4任一项所述的方法，其特征在于，

所述可信计算资源还被配置为在所述可信计算平台上电之后先于所述计算资源启动，对所述计算资源进行所述主动度量及相应所述主动控制。

6.根据权利要求5所述的方法，其特征在于，所述对所述计算资源进行所述主动度量及相应所述主动控制，包括：

所述可信计算资源确定是否控制所述计算资源启动，如果确定出控制所述计算资源启动，所述可信计算资源对所述计算资源的启动流程中的各阶段按启动顺序进行度量，并根据度量结果进行相应处理。

7.根据权利要求5所述的方法，其特征在于，所述对所述计算资源进行所述主动度量及相应所述主动控制，包括：

在所述计算资源完成启动后的运行过程中，如果满足预设触发条件，所述可信计算资源获取所述计算资源的计算对象的相关信息，根据所述相关信息确定可信策略，根据所述可信策略和所述相关信息，对所述计算资源的计算对象进行主动度量，并进行相应处理。

8.一种双体系结构的可信计算平台，其特征在于，所述双体系结构的可信计算平台根据权利要求1-7任一项方法得到。