CN116049837B - 一种可信计算***及方法、电子设备和存储介质 - Google Patents
一种可信计算***及方法、电子设备和存储介质 Download PDFInfo
- Publication number
- CN116049837B CN116049837B CN202310341326.XA CN202310341326A CN116049837B CN 116049837 B CN116049837 B CN 116049837B CN 202310341326 A CN202310341326 A CN 202310341326A CN 116049837 B CN116049837 B CN 116049837B
- Authority
- CN
- China
- Prior art keywords
- trusted computing
- host
- trusted
- gpu
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 72
- 238000012545 processing Methods 0.000 claims abstract description 36
- 230000008569 process Effects 0.000 claims description 18
- 238000004364 calculation method Methods 0.000 claims description 15
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 13
- 238000012546 transfer Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 23
- 238000010586 diagram Methods 0.000 description 22
- 230000006870 function Effects 0.000 description 9
- 230000010365 information processing Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本公开涉及计算机技术领域,公开了一种可信计算***及方法、电子设备和存储介质,所述***包括:主机和主机设备侧、GPU侧;所述主机和主机设备侧,用于向所述GPU侧发送可信计算请求;所述GPU侧,用于响应所述可信计算请求,执行可信计算处理,得到可信计算答复;所述GPU侧,用于将所述可信计算答复返回所述主机和主机设备侧。本公开实施例基于GPU作为可信计算模块,有效构建主机、主机设备统一的安全可信环境,相比于额外配备昂贵的TPM模块,有效节约了成本。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种可信计算***及方法、电子设备和存储介质。
背景技术
可信计算作为信息安全领域一个新的发展方向,受到越来越多公司和研究机构的重视。可信计算***的主要目标是构建一个用户可以预期的计算环境,从而保证计算资源不会被恶意篡改、盗取。当前主流的可信计算方案,主要是在主机主板上插上一个可信平台模块(Trusted Platform Module,TPM),作为主机启动可信度量和应用的可信根硬件。单独的TPM模块成本较贵,且不适用于主机上其它主机设备的安全可信服务。
发明内容
本公开提出了一种可信计算***及方法、电子设备和存储介质的技术方案。
根据本公开的一方面,提供了一种可信计算***,所述***包括:主机和主机设备侧、GPU侧;所述主机和主机设备侧,用于向所述GPU侧发送可信计算请求;所述GPU侧,用于响应所述可信计算请求,执行可信计算处理,得到可信计算答复;所述GPU侧,用于将所述可信计算答复返回所述主机和主机设备侧。
在一种可能的实现方式中,所述主机和主机设备侧与所述GPU侧之间通过目标数据传输总线进行通信。
在一种可能的实现方式中,所述目标数据传输总线包括:I2C总线、PCIE总线。
在一种可能的实现方式中,所述GPU侧通过所述I2C总线接收所述主机和主机设备侧发送的所述可信计算请求,其中,所述可信计算请求中包括:待处理数据的目标地址信息;所述GPU侧基于所述目标地址信息,通过所述PCIE总线从所述主机和主机设备侧获取所述待处理数据。
在一种可能的实现方式中,所述GPU侧包括:***管理单元、一次性可编程OTP模块、密码模块;所述***管理单元,用于接收所述可信计算请求;所述OTP模块,用于存储根密钥,其中,所述根密钥用于对所述可信计算请求进行验证;所述密码模块,用于在所述可信计算请求验证通过后,响应所述可信计算请求,执行所述可信计算处理。
在一种可能的实现方式中,所述GPU侧还包括:可信内存,用于存储所述可信计算***对应的数据。
在一种可能的实现方式中,所述***管理单元对所述可信内存具有访问权限;所述GPU侧除所述***管理单元之外的其他模块,对所述可信内存不具有访问权限。
在一种可能的实现方式中,所述主机和主机设备侧,用于在发出所述可信计算请求之后的预设时长内,查询是否收到所述GPU侧返回的所述可信计算答复。
根据本公开的一方面,提供了一种可信计算方法,所述方法应用于GPU侧,所述方法包括:接收主机和主机设备侧发送的可信计算请求;响应所述可信计算请求,执行可信计算处理,得到可信计算答复;将所述可信计算答复返回所述主机和主机设备侧。
在一种可能的实现方式中,所述主机和主机设备侧与所述GPU侧之间通过目标数据传输总线进行通信。
在一种可能的实现方式中,所述目标数据传输总线包括:I2C总线、PCIE总线。
在一种可能的实现方式中,所述接收主机和主机设备侧发送的可信计算请求,包括:通过所述I2C总线接收所述可信计算请求,其中,所述可信计算请求中包括:待处理数据的目标地址信息;所述方法还包括:基于所述目标地址信息,通过所述PCIE总线从所述主机和主机设备侧获取所述待处理数据。
在一种可能的实现方式中,所述GPU侧包括:***管理单元、OTP模块、密码模块;所述接收主机和主机设备侧发送的可信计算请求,包括:基于所述***管理单元,接收所述可信计算请求;所述方法还包括:基于所述OTP模块,存储根密钥,其中,所述根密钥用于对所述可信计算请求进行验证;在所述可信计算请求验证通过后,基于所述密码模块,响应所述可信计算请求,执行所述可信计算处理。
在一种可能的实现方式中,所述GPU侧还包括:可信内存;所述方法还包括:基于所述可信内存,存储所述可信计算方法对应的数据。
在一种可能的实现方式中,所述***管理单元对所述可信内存具有访问权限;所述GPU侧除所述***管理单元之外的其他模块,对所述可信内存不具有访问权限。
根据本公开的一方面,提供了一种可信计算方法,所述方法应用于主机和主机设备侧,所述方法包括:向GPU侧发送可信计算请求;接收所述GPU侧返回的可信计算答复,其中,所述可信计算答复是所述GPU侧响应所述可信计算请求,执行可信计算处理后得到。
在一种可能的实现方式中,所述方法还包括:在发出所述可信计算请求之后的预设时长内,查询是否收到所述可信计算答复。
根据本公开的一方面,提供了一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为调用所述存储器存储的指令,以执行上述方法。
根据本公开的一方面,提供了一种计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现上述方法。
在本公开实施例中,可信计算***包括:主机和主机设备侧、GPU侧;主机和主机设备侧用于向GPU侧发送可信计算请求;GPU侧用于响应可信计算请求,执行可信计算处理,得到可信计算答复,以及将可信计算答复返回主机和主机设备侧。基于GPU作为可信计算模块,有效构建主机、主机设备统一的安全可信环境,相比于额外配备昂贵的TPM模块,有效节约了成本。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本公开。根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,这些附图示出了符合本公开的实施例,并与说明书一起用于说明本公开的技术方案。
图1示出根据本公开实施例的一种可信计算***的框图。
图2示出根据本公开实施例的一种可信计算***的框图。
图3示出根据本公开实施例的可信计算请求的示意图。
图4示出根据本公开实施例的图3所示的可信计算请求对应的可信计算答复的示意图。
图5示出根据本公开实施例的一种可信计算***的工作流程图。
图6示出根据本公开实施例的一种可信计算方法的流程图。
图7示出根据本公开实施例的一种可信计算方法的流程图。
图8示出根据本公开实施例的一种电子设备的框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
另外,为了更好地说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
相关技术中,基于TPM模块的安全可信计算只能提供给主机安全使用,不能提供给主机的其他主机设备使用。其它主机设备的可信计算需要单独配备TPM模块,这使得安全可信服务的成本较高且不适合实际需求。
本公开实施例提供了一种可信计算***,能够有效构建主机、主机设备统一的安全可信环境。下面对本公开实施例提供的可信计算***进行详细描述。
图1示出根据本公开实施例的一种可信计算***的框图。如图1所示,***10包括:主机和主机设备侧11、GPU侧12;主机和主机设备侧11,用于向GPU侧12发送可信计算请求;GPU侧12,用于响应可信计算请求,执行可信计算处理,得到可信计算答复;GPU侧12,用于将可信计算答复返回主机和主机设备侧11。
在本公开实施例中,基于GPU作为可信计算模块,有效构建主机、主机设备统一的安全可信环境,相比于额外配备昂贵的TPM模块,有效节约了成本。
GPU侧为硬件图形处理器(Graphics Processing Unit,GPU)。后文结合本公开可能的实现方式,对GPU侧包括的具体模块进行详细描述,此处不作赘述。
主机和主机设备侧包括主机和主机侧设备(除硬件GPU以外其他的主机侧设备)。在一示例中,主机包括:笔记本、个人计算机(Personal Computer,PC)、服务器等;主机设备包括:网卡、固态驱动器(Solid State Disk,SSD)卡、声卡等。主机和主机设备的除了可以包括上述结构外,还可以包括其它结构,本公开对此不作具体限定。
在一种可能的实现方式中,主机和主机设备侧与GPU侧之间通过目标数据传输总线进行通信。
主机和主机设备侧与GPU侧之间通过目标数据传输总线进行通信,以实现可信计算过程中的数据传输。
在一种可能的实现方式中,目标数据传输总线包括:I2C总线、PCIE总线。
主机和主机设备侧与GPU侧之间可以通过I2C总线和PCIE总线进行通信,以实现可信计算过程中的数据传输。
图2示出根据本公开实施例的一种可信计算***的框图。如图2所示,主机和主机设备侧与GPU侧之间通过I2C总线和PCIE总线进行通信。
主机和主机侧与GPU侧之间用于进行通信的目标总线除了可以包括I2C总线、PCIE总线之外,还可以包括其他能够用于进行通信的总线,本公开对此不作具体限定。
在一种可能的实现方式中,GPU侧通过I2C总线接收主机和主机设备侧发送的可信计算请求,其中,可信计算请求中包括:待处理数据的目标地址信息;GPU侧基于目标地址信息,通过PCIE总线从主机和主机设备侧获取待处理数据。
可信计算请求的数据量较小,因此,GPU侧可以通过I2C总线接收主机和主机设备侧发送的可信计算请求;但是,由于可信计算请求对应的待处理数据的数据量可能较大,因此,GPU侧可以通过PCIE总线从主机和主机设备侧获取待处理数据,以提高数据传输效率。
在一种可能的实现方式中,主机和主机设备侧,用于在发出可信计算请求之后的预设时长内,查询是否收到GPU侧返回的可信计算答复。
主机和主机设备侧在向GPU侧发出可信计算请求之后的预设时长内,查询是否收到GPU侧返回的该可信计算请求对应的可信计算答复。若在预设时长内收到可信计算答复,则可信计算请求成功;若未在预设时长内收到可信计算答复,则可信计算请求失败。预设时长的具体取值可以根据实际情况进行设置,本公开对此不作具体限定。
在一种可能的实现方式中,GPU侧包括:***管理单元、一次性可编程(Once TimeProgramming,OTP)模块、密码模块;***管理单元,用于接收可信计算请求;OTP模块,用于存储根密钥,其中,根密钥用于对可信计算请求进行验证;密码模块,用于在可信计算请求验证通过后,响应可信计算请求,执行可信计算处理。
在一种可能的实现方式中,GPU侧还包括:可信内存,用于存储可信计算***对应的数据。
如图2所示,GPU侧包括:***管理单元、一次性可编程模块(OTP模块)、密码模块、可信内存。在主机和主机设备侧开机上电之后,GPU侧对***管理单元、OTP模块、密码模块、可信内存进行初始化,为后续安全计算服务做好准备工作。
如图2所示,GPU侧还包括:I2C和PCIE,用于基于I2C总线和PCIE总线,与主机和主机设备侧进行通信。
在GPU侧执行完初始化操作之后,主机和主机设备侧向GPU侧发送可信计算请求。在一示例中,主机和主机设备侧的载入(loader)程序或者安全应用程序可以发起可信计算请求,本公开对此不作具体限定。
主机和主机设备侧与GPU侧之间通过I2C总线、PCIE总线进行通信。主机和主机设备侧基于I2C总线将可信计算请求发送至GPU侧的***管理单元。
***管理单元接收到可信计算请求之后,可以对可信计算请求进行解析,为后续执行相应的可信计算处理做好准备工作。
在一示例中,可信计算请求中包括可信计算处理对应的待处理数据的目标地址信息,进而,GPU侧基于目标地址信息,通过PCIE总线从主机和主机设备侧获取待处理数据,以及将待处理数据存储在GPU侧的可信内存中。
GPU侧包括的OTP模块中存储有根密钥。其中,根密钥是可信计算服务的基础,只有基于根密钥对可信计算请求进行验证通过之后,才可以执行该可信计算请求对应的可信计算处理。若基于根密钥对可信计算请求进行验证未通过,则该可信计算请求为非法请求,可信计算***可以报错或者生成并发出提示信息。
在基于OTP模块中存储的根密钥对可信计算请求进行验证通过之后,密码模块响应该可信计算请求,执行对应的可信计算处理。
在一示例中,可信计算处理包括:a)对称算法加解密、密钥生成;b)非对称算法公钥加密、数字签名、数字验签、密钥生成;c)X509可信证书;d)哈希计算。
可信计算处理除了可以包括上述安全数据处理之外,还可以参考相关可信计算服务中的其它安全数据处理,本公开对可信计算处理的具体处理形式不作限定。
在一种可能的实现方式中,***管理单元对可信内存具有访问权限;GPU侧除***管理单元之外的其他模块,对可信内存不具有访问权限。
响应可信计算请求,执行可信计算处理过程中的相关数据,均可以存储在GPU侧的可信内存中。在GPU侧,仅***管理单元对可信内存具有访问权限,可以对可信内存进行访问,确保了数据安全性。
如图2所示,GPU侧还包括:GPU内核(GPU cores)和其他模块,用于执行常规图形处理操作。但是,执行常规图形处理操作的GPU内核和***管理单元之外的其他模块,对可信内存不具有访问权限,不可以对可信内存进行访问,确保了可信计算服务的数据安全性。
密码模块响应可信计算请求,执行可信计算处理之后,得到可信计算请求对应的可信计算答复,进而基于目标数据传输总线,将可信计算答复返回至主机和主机设备侧。
图3示出根据本公开实施例的可信计算请求的示意图。如图3所示,可信计算请求包括:授权会话信息(2字节)、请求命令(4字节)、请求命令码(4字节)、请求内容。图4示出根据本公开实施例的图3所示的可信计算请求对应的可信计算答复的示意图。如图4所示,可信计算答复包括:授权会话信息(2字节)、响应命令(4字节)、响应命令码(4字节)、响应内容。可信计算请求及其对应的可信计算答复的具体形式除了图3、图4所示形式之外,还可以根据实际情况设置为其他形式,本公开对此不作具体限定。
图5示出根据本公开实施例的一种可信计算***的工作流程图。如图5所示,在步骤S51中,主机和主机设备侧上电启动;在步骤S52中,GPU侧执行初始化操作;在步骤S53中,主机和主机设备侧向GPU侧发送可信计算请求,以及在发出可信计算请求后的预设时长内查询是否收到GPU侧返回的可信计算答复;在步骤S54中,GPU侧响应可信计算请求,执行可信计算处理,得到可信计算答复;在步骤S55中,GPU侧将可信计算答复返回主机和主机设备侧;在步骤S56中,主机和主机设备侧接收到可信计算答复后,执行后续操作。可信计算***中每个模块的具体实现过程可以参考上述相关详细介绍,此处不作赘述。
在本公开实施例中,可信计算***包括:主机和主机设备侧、GPU侧;主机和主机设备侧用于向GPU侧发送可信计算请求;GPU侧用于响应可信计算请求,执行可信计算处理,得到可信计算答复,以及将可信计算答复返回主机和主机设备侧。基于GPU作为可信计算模块,有效构建主机、主机设备统一的安全可信环境,相比于额外配备昂贵的TPM模块,有效节约了成本。
本公开实施例还提供了一种可信计算方法,能够有效构建主机、主机设备统一的安全可信环境。下面对本公开实施例提供的可信计算方法进行详细描述。
图6示出根据本公开实施例的一种可信计算方法的流程图。该方法应用于GPU侧,如图6所示,该方法包括:
在步骤S61中,接收主机和主机设备侧发送的可信计算请求;
在步骤S62中,响应可信计算请求,执行可信计算处理,得到可信计算答复;
在步骤S63中,将可信计算答复返回主机和主机设备侧。
在一种可能的实现方式中,主机和主机设备侧与GPU侧之间通过目标数据传输总线进行通信。
在一种可能的实现方式中,目标数据传输总线包括:I2C总线、PCIE总线。
在一种可能的实现方式中,接收主机和主机设备侧发送的可信计算请求,包括:通过I2C总线接收所述可信计算请求,其中,可信计算请求中包括:待处理数据的目标地址信息;该方法还包括:基于目标地址信息,通过PCIE总线从主机和主机设备侧获取待处理数据。
在一种可能的实现方式中,GPU侧包括:***管理单元、OTP模块、密码模块;接收主机和主机设备侧发送的可信计算请求,包括:基于***管理单元,接收可信计算请求;该方法还包括:基于OTP模块,存储根密钥,其中,根密钥用于对可信计算请求进行验证;在可信计算请求验证通过后,基于密码模块,响应可信计算请求,执行可信计算处理。
在一种可能的实现方式中,GPU侧还包括:可信内存;该方法还包括:基于可信内存,存储可信计算方法对应的数据。
在一种可能的实现方式中,***管理单元对可信内存具有访问权限;GPU侧除***管理单元之外的其他模块,对可信内存不具有访问权限。
图6所示实施例中可信计算方法的具体实现过程,可参考上述***实施例中GPU侧的具体实现方式,此处不作赘述。
图7示出根据本公开实施例的一种可信计算方法的流程图。该方法应用于主机和主机设备侧,如图7所示,该方法包括:
在步骤S71中,向GPU侧发送可信计算请求;
在步骤S72中,接收GPU侧返回的可信计算答复,其中,可信计算答复是GPU侧响应可信计算请求,执行可信计算处理后得到。
在一种可能的实现方式中,该方法还包括:在发出可信计算请求之后的预设时长内,查询是否收到可信计算答复。
图7所示实施例中可信计算方法的具体实现过程,可参考上述***实施例中主机和主机设备侧的具体实现方式,此处不作赘述。
可以理解,本公开提及的上述各个方法实施例,在不违背原理逻辑的情况下,均可以彼此相互结合形成结合后的实施例,限于篇幅,本公开不再赘述。本领域技术人员可以理解,在具体实施方式的上述方法中,各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
此外,本公开还提供了电子设备、计算机可读存储介质、程序,上述均可用来运行本公开提供的任一种可信计算***,相应技术方案和描述和参见上述相关部分的相应记载,不再赘述。
该***与计算机***的内部结构存在特定技术关联,且能够解决如何提升硬件运算效率或执行效果的技术问题(包括减少数据存储量、减少数据传输量、提高硬件处理速度等),从而获得符合自然规律的计算机***内部性能改进的技术效果。
本公开实施例还提出一种计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现上述方法。计算机可读存储介质可以是易失性或非易失性计算机可读存储介质。
本公开实施例还提出一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为调用所述存储器存储的指令,以执行上述方法。
本公开实施例还提供了一种计算机程序产品,包括计算机可读代码,或者承载有计算机可读代码的非易失性计算机可读存储介质,当所述计算机可读代码在电子设备的处理器中运行时,所述电子设备中的处理器执行上述方法。
电子设备可以被提供为终端、服务器或其它形态的设备。
图8示出根据本公开实施例的一种电子设备的框图。参照图8,电子设备1900可以被提供为一服务器或终端设备。参照图8,电子设备1900包括处理组件1922,其进一步包括一个或多个处理器,以及由存储器1932所代表的存储器资源,用于存储可由处理组件1922的执行的指令,例如应用程序。存储器1932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件1922被配置为执行指令,以执行上述方法。
电子设备1900还可以包括一个电源组件1926被配置为执行电子设备1900的电源管理,一个有线或无线网络接口1950被配置为将电子设备1900连接到网络,和一个输入输出接口1958。电子设备1900可以操作基于存储在存储器1932的操作***,例如微软服务器操作***(Windows ServerTM),苹果公司推出的基于图形用户界面操作***(Mac OS XTM),多用户多进程的计算机操作***(UnixTM),自由和开放原代码的类Unix操作***(LinuxTM),开放原代码的类Unix操作***(FreeBSDTM)或类似。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储器1932,上述计算机程序指令可由电子设备1900的处理组件1922执行以完成上述方法。
本公开可以是***、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是(但不限于)电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(***)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
该计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中,所述计算机程序产品具体体现为计算机存储介质,在另一个可选实施例中,计算机程序产品具体体现为软件产品,例如软件开发包(Software Development Kit,SDK)等等。
上文对各个实施例的描述倾向于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,本文不再赘述。
本领域技术人员可以理解,在具体实施方式的上述方法中,各步骤的撰写顺序并不意味着严格的执行顺序而对实施过程构成任何限定,各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
若本申请技术方案涉及个人信息,应用本申请技术方案的产品在处理个人信息前,已明确告知个人信息处理规则,并取得个人自主同意。若本申请技术方案涉及敏感个人信息,应用本申请技术方案的产品在处理敏感个人信息前,已取得个人单独同意,并且同时满足“明示同意”的要求。例如,在摄像头等个人信息采集装置处,设置明确显著的标识告知已进入个人信息采集范围,将会对个人信息进行采集,若个人自愿进入采集范围即视为同意对其个人信息进行采集;或者在个人信息处理的装置上,利用明显的标识/信息告知个人信息处理规则的情况下,通过弹窗信息或请个人自行上传其个人信息等方式获得个人授权;其中,个人信息处理规则可包括个人信息处理者、个人信息处理目的、处理方式以及处理的个人信息种类等信息。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (11)
1.一种可信计算***,其特征在于,所述***包括:主机和主机设备侧、GPU侧,所述主机和主机设备侧包括主机和主机侧设备;
所述主机和主机设备侧,用于向所述GPU侧发送可信计算请求;
所述GPU侧,用于响应所述可信计算请求,执行可信计算处理,得到可信计算答复;
所述GPU侧,用于将所述可信计算答复返回所述主机和主机设备侧;
所述主机和主机设备侧与所述GPU侧之间通过目标数据传输总线进行通信;所述目标数据传输总线包括:I2C总线、PCIE总线;
所述GPU侧包括:***管理单元、可信内存、一次性可编程OTP模块;
所述***管理单元,用于通过所述I2C总线接收所述主机和主机设备侧发送的所述可信计算请求,其中,所述可信计算请求中包括:待处理数据的目标地址信息;
所述可信内存,用于存储所述GPU侧基于所述目标地址信息,通过所述PCIE总线从所述主机和主机设备侧获取的所述待处理数据;
所述OTP模块,用于存储根密钥,其中,所述根密钥用于对所述可信计算请求进行验证。
2.根据权利要求1所述的***,其特征在于,所述GPU侧包括:密码模块;
所述密码模块,用于在所述可信计算请求验证通过后,响应所述可信计算请求,执行所述可信计算处理。
3.根据权利要求1所述的***,其特征在于,所述***管理单元对所述可信内存具有访问权限;
所述GPU侧除所述***管理单元之外的其他模块,对所述可信内存不具有访问权限。
4.根据权利要求1所述的***,其特征在于,所述主机和主机设备侧,用于在发出所述可信计算请求之后的预设时长内,查询是否收到所述GPU侧返回的所述可信计算答复。
5.一种可信计算方法,其特征在于,所述方法应用于GPU侧,所述方法包括:
接收主机和主机设备侧发送的可信计算请求,所述主机和主机设备侧包括主机和主机侧设备;
响应所述可信计算请求,执行可信计算处理,得到可信计算答复;
将所述可信计算答复返回所述主机和主机设备侧;
所述主机和主机设备侧与所述GPU侧之间通过目标数据传输总线进行通信;所述目标数据传输总线包括:I2C总线、PCIE总线;
所述GPU侧包括:***管理单元、可信内存、OTP模块;
所述接收主机和主机设备侧发送的可信计算请求,包括:
基于所述***管理单元,通过所述I2C总线接收所述可信计算请求,其中,所述可信计算请求中包括:待处理数据的目标地址信息;
所述方法还包括:
基于所述目标地址信息,通过所述PCIE总线从所述主机和主机设备侧获取所述待处理数据,以及将所述待处理数据存储在所述可信内存;
基于所述OTP模块中存储的根密钥,对所述可信计算请求进行验证。
6.根据权利要求5所述的方法,其特征在于,所述GPU侧包括:密码模块;
所述方法还包括:
在所述可信计算请求验证通过后,基于所述密码模块,响应所述可信计算请求,执行所述可信计算处理。
7.根据权利要求5所述的方法,其特征在于,所述***管理单元对所述可信内存具有访问权限;
所述GPU侧除所述***管理单元之外的其他模块,对所述可信内存不具有访问权限。
8.一种可信计算方法,其特征在于,所述方法应用于主机和主机设备侧,所述主机和主机设备侧包括主机和主机侧设备,所述方法包括:
向GPU侧发送可信计算请求;
接收所述GPU侧返回的可信计算答复,其中,所述可信计算答复是所述GPU侧响应所述可信计算请求,执行可信计算处理后得到;
所述主机和主机设备侧与所述GPU侧之间通过目标数据传输总线进行通信;所述目标数据传输总线包括:I2C总线、PCIE总线;
所述向GPU侧发送可信计算请求,包括:
通过所述I2C总线向所述GPU侧发送所述可信计算请求,其中,所述可信计算请求中包括:待处理数据的目标地址信息;
所述方法还包括:
基于所述目标地址信息,通过所述PCIE总线向所述GPU侧发送所述待处理数据;
所述可信计算答复是所述GPU侧基于所述GPU侧包括的***管理单元,接收所述可信计算请求,以及将接收到的所述待处理数据存储到所述GPU侧包括的可信内存中,并基于所述GPU侧包括的OTP模块中存储的根密钥,对所述可信计算请求进行验证后,对所述待处理数据执行可信计算处理后得到的。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
在发出所述可信计算请求之后的预设时长内,查询是否收到所述可信计算答复。
10.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为调用所述存储器存储的指令,以执行权利要求5至9中任意一项所述的方法。
11.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,所述计算机程序指令被处理器执行时实现权利要求5至9中任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310341326.XA CN116049837B (zh) | 2023-03-31 | 2023-03-31 | 一种可信计算***及方法、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310341326.XA CN116049837B (zh) | 2023-03-31 | 2023-03-31 | 一种可信计算***及方法、电子设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116049837A CN116049837A (zh) | 2023-05-02 |
CN116049837B true CN116049837B (zh) | 2024-03-15 |
Family
ID=86133590
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310341326.XA Active CN116049837B (zh) | 2023-03-31 | 2023-03-31 | 一种可信计算***及方法、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116049837B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109784070A (zh) * | 2018-12-26 | 2019-05-21 | 北京可信华泰信息技术有限公司 | 一种可信硬件结构 |
CN110334521A (zh) * | 2019-07-08 | 2019-10-15 | 北京可信华泰信息技术有限公司 | 可信计算***构建方法、装置、可信计算***及处理器 |
CN110414235A (zh) * | 2019-07-08 | 2019-11-05 | 北京可信华泰信息技术有限公司 | 一种基于ARM TrustZone的主动免疫的双体系结构*** |
CN113886862A (zh) * | 2021-12-06 | 2022-01-04 | 粤港澳大湾区数字经济研究院(福田) | 一种可信计算***及基于可信计算***的资源处理方法 |
CN115629824A (zh) * | 2022-12-01 | 2023-01-20 | 摩尔线程智能科技(北京)有限责任公司 | Gpu的启动方法、装置、设备、存储介质和程序产品 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9742762B2 (en) * | 2014-12-01 | 2017-08-22 | Microsoft Technology Licensing, Llc | Utilizing a trusted platform module (TPM) of a host device |
-
2023
- 2023-03-31 CN CN202310341326.XA patent/CN116049837B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109784070A (zh) * | 2018-12-26 | 2019-05-21 | 北京可信华泰信息技术有限公司 | 一种可信硬件结构 |
CN110334521A (zh) * | 2019-07-08 | 2019-10-15 | 北京可信华泰信息技术有限公司 | 可信计算***构建方法、装置、可信计算***及处理器 |
CN110414235A (zh) * | 2019-07-08 | 2019-11-05 | 北京可信华泰信息技术有限公司 | 一种基于ARM TrustZone的主动免疫的双体系结构*** |
CN113886862A (zh) * | 2021-12-06 | 2022-01-04 | 粤港澳大湾区数字经济研究院(福田) | 一种可信计算***及基于可信计算***的资源处理方法 |
CN115629824A (zh) * | 2022-12-01 | 2023-01-20 | 摩尔线程智能科技(北京)有限责任公司 | Gpu的启动方法、装置、设备、存储介质和程序产品 |
Non-Patent Citations (1)
Title |
---|
薛丽敏等.《信息安全理论与技术》.国防工业出版社,2014,第107-108页. * |
Also Published As
Publication number | Publication date |
---|---|
CN116049837A (zh) | 2023-05-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11121873B2 (en) | System and method for hardening security between web services using protected forwarded access tokens | |
WO2021012574A1 (zh) | 多重签名方法、签名中心、介质及电子设备 | |
US9197629B2 (en) | Remote direct memory access authentication of a device | |
US9584325B1 (en) | User-configurable cryptographic interface controller | |
EP3133791B1 (en) | Double authentication system for electronically signed documents | |
US11144652B1 (en) | Secure update of programmable integrated circuits in data center computing environments | |
CN111163052B (zh) | 连接物联网平台方法、装置、介质及电子设备 | |
US10984108B2 (en) | Trusted computing attestation of system validation state | |
EP4350556A1 (en) | Information verification method and apparatus | |
CN111200593A (zh) | 应用登录方法、装置和电子设备 | |
US9755832B2 (en) | Password-authenticated public key encryption and decryption | |
CN113806794A (zh) | 文件电子签章的处理方法、装置、计算机设备和存储介质 | |
CN114329644B (zh) | 对逻辑***设计进行加密仿真的方法、设备及存储介质 | |
CN114363088B (zh) | 用于请求数据的方法和装置 | |
CN110545542B (zh) | 基于非对称加密算法的主控密钥下载方法、装置和计算机设备 | |
US8904508B2 (en) | System and method for real time secure image based key generation using partial polygons assembled into a master composite image | |
US10944578B2 (en) | Identity verification | |
CN115629824B (zh) | Gpu的启动方法、装置、设备、存储介质和程序产品 | |
CN116049837B (zh) | 一种可信计算***及方法、电子设备和存储介质 | |
KR20180090060A (ko) | 사물 인터넷 보안 모듈 | |
US10972455B2 (en) | Secure authentication in TLS sessions | |
CN113609156B (zh) | 数据的查询与写入方法、装置、电子设备及可读存储介质 | |
CN109995534B (zh) | 一种对应用程序进行安全认证的方法和装置 | |
KR102019558B1 (ko) | 내재적 인증서를 사용하는 전자서명에 대한 효율적인 서명 검증 방법 | |
CN111949738A (zh) | 基于区块链的数据存储去重方法、终端设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |