多核处理器的计算环境中实现TPM的方法及其系统

本发明涉及多核处理器的计算环境中实现TMP的方法及其系统，包括：步骤1，计算环境中的节点在启动时，允许处理器的一个核工作，所述核运行高权限操作系统，所述处理器的其他核处于休眠状态；步骤2，所述工作的核进入正常工作状态后，写入TPM函数，形成用以实现TPM的功能的TPM模拟器；步骤3，所述处于休眠状态的核开始工作运行普通操作系统，由所述高权限操作系统为所述普通操作系统的启动提供TPM安全服务。本发明能够在系统中不存在TPM安全芯片的情况下，为系统的启动及后续应用的加载提供可信服务的能力。

1.一种多核处理器的计算环境中实现TPM的方法，其特征在于，包括：步骤1，计算环境中的节点在启动时，允许处理器的一个核工作，所述核运行高权限操作系统，所述处理器的其他核处于休眠状态；步骤2，所述工作的核进入正常工作状态后，写入TPM函数，形成用以实现TPM的功能的TPM模拟器；步骤3，所述处于休眠状态的核开始工作运行普通操作系统，由所述高权限操作系统为所述普通操作系统的启动提供TPM安全服务。
2.如权利要求1所述的多核处理器的计算环境中实现TPM的方法，其特征在于，所述计算环境为虚拟化计算环境，所述方法还包括：步骤21，采用Xen对节点进行虚拟化。
3.如权利要求2所述的多核处理器的计算环境中实现TPM的方法，其特征在于，所述步骤21后还包括：步骤31，计算环境中的一个虚拟机形成一个VTPM管理器；步骤32，所述VTPM管理器创建一个线程监听Xen中操作；步骤33，当节点创建一个虚拟机时，所述VTPM管理器为所述虚拟机创建一个VTPM实例；步骤34，所述VTPM实例通过同所述TPM模拟器通信为虚拟机提供TPM服务。
4.如权利要求3所述的多核处理器的计算环境中实现TPM的方法，其特征在于，所述方法还包括：步骤41，将所述节点同前端代理连接；步骤42，VTPM管理器生成平台配置信息，发送给所述前端代理；步骤43，所述前端代理接收所述平台配置信息，并存储到平台配置信息表中；步骤44，当客户端请求访问时，从所述平台配置信息表中查找同所述客户端访问相关的虚拟机的平台配置信息，发送给所述客户端。
5.如权利要求2所述的多核处理器的计算环境中实现TPM的方法，其特征在于，所述方法还包括：步骤51，虚拟机的网卡通过虚拟接口连接到虚拟网桥；步骤52，节点的隔离器检测所述节点上是否有新的虚拟机创建，如果有，执行步骤53；步骤53，隔离器获取虚拟机的MAC地址和虚拟机的类型，根据所述虚拟机类型制定对应隔离规则，将所述隔离规则添加到链路过滤表中；步骤54，在节点接收到数据包时，根据所述链路过滤表中隔离规则，将所述数据包转发给虚拟机。
6.如权利要求5所述的多核处理器的计算环境中实现TPM的方法，其特征在于，所述步骤54后还包括：步骤61，所述节点将新创建的虚拟机的MAC地址和类型广播给其他节点的隔离器；步骤62，所述其他节点的隔离器接收到广播的MAC地址和类型，根据节点的本地存储的虚拟机的信息，制定隔离规则，将隔离规则添加到本地的链路过滤表中；步骤63，在节点接收到数据包时，根据所述链路过滤表中隔离规则，将所述数据包转发给虚拟机。
7.如权利要求2所述的多核处理器的计算环境中实现TPM的方法，其特征在于，所述方法还包括：步骤71，虚拟机启动后，查看虚拟机本地的网络配置信息获得IP地址和子网掩码，计算出虚拟机所在的子网地址，将子网地址的信息发给虚拟机的虚拟隔离器；步骤72，所述虚拟隔离器根据收到的子网地址信息制定相应的过滤规则，将所述过滤规则存储到网络过滤表中；步骤73，在虚拟机接收到IP包时，根据所述网络过滤表中隔离规则，处理所述IP包。
8.如权利要求7所述的多核处理器的计算环境中实现TPM的方法，其特征在于，所述步骤73还包括：步骤81，虚拟机向本地网络广播请求消息，请求获取所在所述节点的虚拟机的网络地址信息；步骤82，将获取的网络信息添加到网络过滤表中。
9.一种多核处理器的计算环境中实现TPM的系统，其特征在于，包括节点，所述节点，用于在启动时，允许处理器的一个核工作，所述核运行高权限操作系统，所述处理器的其他核处于休眠状态；所述工作的核进入正常工作状态后，写入TPM函数，形成用以实现TPM的功能的TPM模拟器；所述处于休眠状态的核开始工作运行普通操作系统，由所述高权限操作系统为所述普通操作系统的启动提供TPM安全服务。
10.如权利要求9所述的多核处理器的计算环境中实现TPM的系统，其特征在于，所述计算环境为虚拟化计算环境，所述节点还用于采用Xen对所述节点进行虚拟化。
11.如权利要求10所述的多核处理器的计算环境中实现TPM的系统，其特征在于，所述系统还包括VTPM管理器，计算环境中的一个虚拟机形成一个VTPM管理器；所述VTPM管理器，用于创建一个线程监听Xen中操作；当节点创建一个虚拟机时，为所述虚拟机创建一个VTPM实例；所述VTPM实例通过同所述TPM模拟器通信为虚拟机提供TPM服务。
12.如权利要求11所述的多核处理器的计算环境中实现TPM的系统，其特征在于，所述系统还包括同节点连接的前端代理；所述VTPM管理器还用于生成平台配置信息，发送给所述前端代理；所述前端代理，用于接收所述平台配置信息，并存储到平台配置信息表中；当客户端请求访问时，从所述平台配置信息表中查找同所述客户端访问相关的虚拟机的平台配置信息，发送给所述客户端。
13.如权利要求10所述的多核处理器的计算环境中实现TPM的系统，其特征在于，所述节点包括隔离器，虚拟机的网卡通过虚拟接口连接到虚拟网桥；所述隔离器，用于检测所述节点上是否有新的虚拟机创建，如果有，则获取虚拟机的MAC地址和虚拟机的类型，根据所述虚拟机类型制定对应隔离规则，将所述隔离规则添加到链路过滤表中；在节点接收到数据包时，根据所述链路过滤表中隔离规则，将所述数据包转发给虚拟机。
14.如权利要求13所述的多核处理器的计算环境中实现TPM的系统，其特征在于，所述节点还用于将新创建的虚拟机的MAC地址和类型广播给其他节点的隔离器；所述隔离器还用于接收到广播的MAC地址和类型，根据节点的本地存储的虚拟机的信息，制定隔离规则，将隔离规则添加到本地的链路过滤表中；在节点接收到数据包时，根据所述链路过滤表中隔离规则，将所述数据包转发给虚拟机。
15.如权利要求10所述的多核处理器的计算环境中实现TPM的系统，其特征在于，所述节点还用于为虚拟机创建虚拟隔离器，所述节点还用于虚拟机启动后，查看虚拟机本地的网络配置信息获得IP地址和子网掩码，计算出虚拟机所述的子网地址，将子网地址的信息发给虚拟机的虚拟隔离器；所述虚拟隔离器，用于根据收到的子网地址信息制定相应的过滤规则，将所述过滤规则存储到网络过滤表中；在虚拟机接收到IP包时，根据所述网络过滤表中隔离规则，处理所述IP包。
16.如权利要求15所述的多核处理器的计算环境中实现TPM的系统，其特征在于，所述节点还用于由虚拟机向本地网络广播请求消息；所述虚拟隔离器还用于在虚拟机向本地网络广播请求消息时，请求获取所在所述节点的虚拟机的网络地址信息；将获取的网络信息添加到网络过滤表中。