方案詳情:

    研賽在標準飛騰主板上增加符合中國國密認證標準的主動(dòng)度量控制芯片（TPCM）做為主板硬件可信源根：支持中國國密SM2，SM3，SM4算法硬件處理；安全存儲功能安全存儲和管理密碼，數據特征值和特定用戶(hù)數據；TPCM芯片的讀寫(xiě)保護保證存儲區防止被非法讀出破除。

圖1 飛騰D2000 工控機主板

    在主板硬件集成TPCM可信源根基礎上，TPCM與主板BIOS通過(guò)SPI接口通訊，在系統啟動(dòng)時(shí)，TPCM做為系統的可信根，先于飛騰處理器啟動(dòng)，并主動(dòng)對主板BIOS鏡像文件進(jìn)行驗證，在驗證通過(guò)后，通過(guò)主板電源管理單元允許飛騰處理器啟動(dòng)運行，TPCM先于飛騰處理器啟動(dòng)是為了保證對系統控制，防止可信機制被系統旁路，如果驗證不通過(guò)，TPCM禁止飛騰處理器啟動(dòng)，同時(shí)記錄錯誤信息，進(jìn)行報警。

圖2 BIOS驗證

    TPCM主動(dòng)驗證BIOS通過(guò)后，飛騰處理器上電啟動(dòng)。在飛騰處理器上電啟動(dòng)后，構建飛騰處理器TEE安全運行環(huán)境，在TEE安全運行環(huán)境中，BIOS調用飛騰TEE安全運行環(huán)境軟件接口針對操作系統的系統引導程序，系統內核文件和操作系統關(guān)鍵內核驅動(dòng)程序模塊文件進(jìn)行度量校驗，校驗通過(guò)，BIOS運行操作系統加載相應根文件系統，保證操作系統運行環(huán)境可信。

圖3 操作系統驗證

方案實(shí)施效果:

    本方案能滿(mǎn)足銀行對可信安全的要求，使金融機具具備可信安全能力，滿(mǎn)足了金融機具的信創(chuàng )化、自主化安全化的要求，并能迅速的推廣到金融行業(yè)的其他應用場(chǎng)景，此方案還能推廣到行業(yè)信創(chuàng )的其他領(lǐng)域（交通、能源、電力等關(guān)系到國計民生的行業(yè)）。

相關(guān)產(chǎn)品:

可信計算金融機具工控機

支持CPU平臺:

飛騰騰銳D2000

FT-2000/4