方案詳情:

    研賽在標準飛騰主板上增加符合中國國密認證標準的主動度量控制芯片（TPCM）做為主板硬件可信源根：支持中國國密SM2，SM3，SM4算法硬件處理；安全存儲功能安全存儲和管理密碼，數據特征值和特定用戶數據；TPCM芯片的讀寫保護保證存儲區防止被非法讀出破除。

圖1 飛騰D2000 工控機主板

    在主板硬件集成TPCM可信源根基礎上，TPCM與主板BIOS通過SPI接口通訊，在系統啟動時，TPCM做為系統的可信根，先于飛騰處理器啟動，并主動對主板BIOS鏡像文件進行驗證，在驗證通過后，通過主板電源管理單元允許飛騰處理器啟動運行，TPCM先于飛騰處理器啟動是為了保證對系統控制，防止可信機制被系統旁路，如果驗證不通過，TPCM禁止飛騰處理器啟動，同時記錄錯誤信息，進行報警。

圖2 BIOS驗證

    TPCM主動驗證BIOS通過后，飛騰處理器上電啟動。在飛騰處理器上電啟動后，構建飛騰處理器TEE安全運行環境，在TEE安全運行環境中，BIOS調用飛騰TEE安全運行環境軟件接口針對操作系統的系統引導程序，系統內核文件和操作系統關鍵內核驅動程序模塊文件進行度量校驗，校驗通過，BIOS運行操作系統加載相應根文件系統，保證操作系統運行環境可信。

圖3 操作系統驗證

方案實施效果:

    本方案能滿足銀行對可信安全的要求，使金融機具具備可信安全能力，滿足了金融機具的信創化、自主化安全化的要求，并能迅速的推廣到金融行業的其他應用場景，此方案還能推廣到行業信創的其他領域（交通、能源、電力等關系到國計民生的行業）。

相關產品:

可信計算金融機具工控機

支持CPU平臺:

飛騰騰銳D2000

FT-2000/4