一种TCM芯片、查毒方法及运行TCM芯片的设备

摘要

本发明公开了一种TCM芯片、查毒方法及运行TCM芯片的设备。所述TCM芯片包括输入输出模块，存储模块，微控制器，所述TCM芯片还包括硬件病毒扫描模块；所述输入输出模块用于将病毒库特征信息和待检测内容输入所述硬件病毒扫描模块；所述硬件病毒扫描模块用于根据输入的病毒库特征信息，调用所述存储模块和微控制器内的资源来扫描输入的待检测内容，得到待检测内容的扫描结果；所述输入输出模块还用于输出所述扫描结果。应用本发明，能够避免病毒扫描引擎自身被病毒感染或篡改的风险，并且，TCM芯片根据扫描结果可以知道待检测内容中是否存在病毒，从而使得TCM芯片具有查毒能力，增强了TCM芯片的功能。

说明书

技术领域

本发明涉及可信计算领域，具体而言，尤其涉及一种TCM芯片、查毒方法 及运行TCM芯片的设备。

背景技术

随着计算机设备的普遍使用，计算机设备深入到日常生活的各个角落。例 如，PC、服务器、工作站、数据中心、工控、上网本等给人们工作生活带来了 极大便利，改变了人们的生活方式。计算机设备在给人们提供便利的同时也带 来了新的问题，也就是人们所熟知的计算机病毒。计算机病毒是可以对计算机 资源进行破坏的一组程序或指令集，其具有独特的复制能力。而随着网络的广 泛使用，网络成为了计算机病毒传播的主要载体，而网络蠕虫则成为了最主要 和破坏力最大的新型病毒。随着技术的演变，木马与病毒技术的结合，从而出 现了明显带有病毒特征的木马或木马特征的病毒。计算机病毒逐步控制和消耗 系统资源，对用户软件、硬件、数据、信息、资源进行占用或破坏，造成难以 估量的损失。

为了有效遏止病毒或者木马的危害，于是产生了杀毒技术及杀毒软件。但 是由于病毒都具有潜伏伪装能力，通常状况下不会发作，很难发现，因此如何 识别病毒则成为了杀毒技术的核心问题及难点所在。常规的杀毒方法是启动一 套杀毒软件，该杀毒软件内配有一个病毒扫描引擎，该扫描引擎负责将待检测 内容按照一定方式(按文件、按扇区等)进行扫描，从而判断将待检测内容是 否包含病毒。

病毒扫描引擎是整个杀毒软件的核心，现有技术中，病毒扫描引擎都是一 段软件程序，软件本身就存在被病毒感染或篡改的风险。若该种软件病毒扫描 引擎自身被病毒感染，则其就无法有效地发挥杀毒软件应有的功效。并且，现 有的软件病毒扫描引擎还无法扫描计算机操作系统内核，无法保证计算机操作 系统内核的安全性。

发明内容

本发明要解决的主要技术问题是，提供一种TCM芯片、杀毒方法及运行TCM 芯片的设备，能够避免病毒扫描引擎自身被病毒感染及篡改的风险，使得TCM 芯片具有查毒功能。

为解决上述技术问题，本发明采用了如下技术方案：

一种TCM芯片，包括输入输出模块，存储模块，微控制器，其特征在于，所 述TCM芯片还包括硬件病毒扫描模块；所述输入输出模块用于将病毒库特征信 息和待检测内容输入所述硬件病毒扫描模块；所述硬件病毒扫描模块用于根据 输入的病毒库特征信息，调用所述存储模块和微控制器内的资源来扫描输入的 待检测内容，得到待检测内容的扫描结果；所述输入输出模块还用于输出所述 扫描结果。

在本发明的一种实施例中，所述硬件病毒扫描模块包括输入/输出接口、病 毒库输入接口、引擎操作接口以及扫描引擎；所述输入接口用于接收所述待检 测内容；所述病毒库输入接口用于接收所述病毒库特征信息；所述扫描引擎用 于根据所述病毒库特征信息，通过引擎操作接口调用所述存储模块和微控制器 内的资源来扫描所述待检测内容，得到待检测内容的扫描结果；所述输出接口 用于输出所述扫描结果。

在本发明的一种实施例中，所述TCM芯片还包括加/解密模块，所述加/解 密模块与所述硬件病毒扫描模块相连，用于对所述病毒库特征信息进行加/解 密。

在本发明的一种实施例中，所述扫描结果包括待检测内容简介和判断结果； 其中，所述待检测内容简介包括待检测内容的数据长度和摘要；所述判断结果 包括待检测内容是否有病毒，以及相应的病毒类型，病毒位置。

在本发明的一种实施例中，所述硬件病毒扫描模块判断所述待检测内容是 否有病毒的方法为特征代码法，或为校验和法，或为行为检测法。

同时，本发明还提供了一种查毒方法，包括以下步骤：

硬件病毒扫描模块根据输入输出模块输入的病毒库特征信息，调用存储模 块和微控制器内的资源来扫描输入输出模块输入的待检测内容，得到待检测内 容的扫描结果，并通过输入输出模块输出所述扫描结果。

在本发明的一种实施例中，所述硬件病毒扫描模块包括输入/输出接口、病 毒库输入接口、引擎操作接口以及扫描引擎；所述硬件病毒扫描模块根据输入 输出模块输入的病毒库特征信息，调用存储模块和微控制器内的资源来扫描输 入输出模块输入的待检测内容，得到待检测内容的扫描结果，并通过输入输出 模块输出所述扫描结果的步骤进一步包括：

所述输入接口接收所述待检测内容，所述病毒库输入接口接收所述病毒库 特征信息；

所述扫描引擎根据所述病毒库特征信息，通过引擎操作接口调用所述存储 模块和微控制器内的资源来扫描所述待检测内容，得到待检测内容的扫描结果；

所述输出接口输出所述扫描结果。

同时，本发明还提供了一种运行TCM芯片的设备，所述设备内集成有上述 任一所述的TCM芯片。

在本发明的一种实施例中，所述设备为计算机，所述TCM芯片进行查毒扫 描时消耗所述TCM芯片内的CPU资源。

在本发明的一种实施例中，所述设备为计算机，所述TCM芯片被焊接在所 述计算机的主板上。

本发明的有益效果是：利用TCM芯片中的硬件病毒扫描模块，根据输入的 病毒库特征信息，调用存储模块和微控制器内的资源来扫描输入的待检测内容 得到待检测内容的扫描结果。如此设计，由于TCM芯片利用硬件病毒扫描模块 扫描待检测内容，从而能够避免病毒扫描引擎自身被病毒感染或篡改的风险， 并且，TCM芯片根据扫描结果可以知道待检测内容中是否存在病毒，从而使得 TCM芯片具有查毒能力，增强了TCM芯片的功能。

若将TCM芯片集成于可运行TCM芯片的设备中，则可以提升用户环境的安 全性。例如，可将TCM芯片集成于计算机设备中，使得计算机在查找病毒时， 可以不占用计算机内主CPU的资源，因而可提供高计算机的整体工作效率。

附图说明

图1为本发明一种实施例的TCM芯片的组成示意图；

图2为本发明一种实施例的硬件病毒扫描模块的组成示意图；

图3为本发明另一种实施例的TCM芯片的组成示意图；

图4为本发明另一种实施例的方法流程图。

具体实施方式

下面通过具体实施方式结合附图对本发明作进一步详细说明。

现有杀毒技术中存在的病毒扫描引擎本身存在着可能被病毒感染或篡改， 不能有效地发挥杀毒软件应有功效的问题。为解决该技术问题，本发明的主要 构思是：将病毒扫描引擎做成硬件的形式，如此病毒扫描引擎自身则不会被病 毒感染或篡改，因而能有效避免病毒扫描引擎本身被病毒感染的风险。

然而，若硬件病毒扫描引擎需要正常地运行，就需要搭建最小的硬件系统， 具体地，需要微处理器、存储器、输入输出控制器(I/O控制器)等基本部件。 由此可见，单独实现一个硬件病毒扫描引擎的实体成本造价将比较昂贵，因而 无法在当前计算机环境中广泛地使用。

现有技术中，TCM芯片(可信密码模块，Trusted Cryptography Module) 拥有独立的微处理器、存储器、哈希算法引擎、输入输出控制器(I/O控制器)、 对称算法及非对称算法引擎等模块，能够提高计算机的可信任性、平台完整性、 数据安全性。通过独立于计算机系统的方式，并基于可信任的理念来保证底层 硬件及用户数据的安全。TCM芯片最重要的功能是提供一个可信任的环境，在此 基础上，实现身份认证、数字签名、文件加解密、硬盘加密、VPN/PKI认证、WIFI 认证等各环节的安全应用。TCM芯片还能够生成加密密钥，实现密钥的存储和加 密数据的还原等。目前TCM芯片在个人电脑、笔记本、服务器等大规模使用。

由此可见，TCM芯片拥有一个最小的硬件系统。试想，若通过内部改造，将 硬件病毒扫描引擎集成在TCM芯片中，对TCM芯片的生产成本影响不会很大。 此时硬件病毒扫描引擎就可以与TCM芯片中的内部模块共用微处理器、存储器、 输入输出控制器等资源，与其他模块一同工作。

如此，则解决了现有技术中软件形式的病毒扫描引擎容易被病毒感染或篡 改等问题，并且将硬件病毒扫描引擎集成于TCM芯片中，还使得TCM芯片具有 查毒的能力，从而可以增强现有TCM芯片的功能。

由上述发明构思，本发明提出了一种TCM芯片及查毒方法。

由于一个硬件系统要能正常运行，包括5个基本组成部分，即输入/输出部 分，存储部分，计算部分，具体程序运行部分。

如图1所示，本发明中的TCM芯片1，包括一个最小的硬件系统，即包括输 入输出模块14、存储模块12、微控制器13；该TCM芯片还包括硬件病毒扫描模 块11，其中，输入输出模块14用于将病毒库特征信息和待检测内容输入给硬件 病毒扫描模块11。硬件病毒扫描模块11则用于接收病毒库特征信息和待检测内 容，并根据输入的病毒库特征信息，调用存储模块12和微控制器13内的资源 来扫描输入的待检测内容，得到待检测内容的扫描结果，而输入输出模块14还 用于将得到的扫描结果输出。其中，将硬件病毒扫描模块11集成在TCM芯片中， 如此，硬件病毒扫描模块11就可以与TCM芯片中的其它模块一起，共用TCM芯 片中的输入/输出模块、存储模块、微控制器等硬件设备，从而保证了硬件病毒 扫描模块11的正常运行。其中，输入/输出模块还用于传递命令字，控制硬件 病毒扫描模块11的启动与工作的执行，而存储模块12还可以用于存储硬件病 毒扫描模块本身的一些硬件参数信息。

利用本发明TCM芯片中的硬件病毒扫描模块，可以对待检测内容进行病毒 扫描，如此，则避免了病毒扫描模块自身被病毒感染或篡改的可能，能够有效 地发挥硬件病毒扫描模块应有的功能。并且，将硬件病毒扫描模块集成于TCM 芯片中，与TCM芯片中的其它模块共用TCM芯片的输入输出模块、存储模块、 微控制器的资源，对待检测内容进行扫描，从而使得TCM芯片具有了查毒的能 力，既而增强了TCM芯片的功能。并且，在生产该种改良TCM芯片的时候，不 需要对现有的TCM芯片进行较大的改动，因此本发明中的TCM芯片具有生产成 本低的优点。

如图2所示，在一种实施例中，硬件病毒扫描模块11包括输入接口111、 病毒库输入接口112、引擎操作接口113以及输出接口114，以及扫描引擎115； 具体地，输入接口111用于接收输入输出模块输入的待检测内容；病毒库输入 接口112用于接收输入输出模块输入的病毒库特征信息；而扫描引擎115则根 据输入的病毒库特征信息，通过引擎操作接口113调用存储模块12和微控制器 13内的资源来扫描所述待检测内容，并分析其内容，得到待检测内容的扫描结 果；输出接口114则用于输出待检测内容的扫描结果。其中，通过病毒库输入 接口112可以用于接收输入到扫描引擎115的不同的病毒库特征信息。

如图3所示，在一种实施例中，TCM芯片1还包括TCM芯片还包括加/解密 模块15，加/解密模块15与硬件病毒扫描模块11相连，对接收的病毒库特征信 息加密，并在硬件病毒扫描模块11需要时才解密，如此，则保证了病毒库特征 信息的正确性。也保证TCM芯片在后续处理过程中，查找到的病毒的正确性。 需要说明的是，待检测内容即为TCM芯片的查杀对象，待检测内容包括的内容 形式非常丰富，例如，待检测内容可以为存储在文件中的内容，或者为存储在 磁盘中的内容，也可以为存储在逻辑块中的内容。具体地，硬件病毒扫描模块 扫描待检测内容的位置和大小。

类似地，病毒库特征信息的内容则包括病毒的位置特征和版本特征，即该 种病毒属于那个版本，那种病毒类型，以及其具体位置等。

在一种实施例中，待检测内容的扫描结果包括两部分，即待检测内容简介 和判断结果。其中，待检测内容简介包括待检测内容的数据长度和摘要，而判 断结果则包括待检测内容是否有病毒，以及病毒类型，病毒位置等。若TCM芯 片中的扫描引擎判断待检测内容包含病毒，则在输出接口输出的扫描结果中显 示待检测内容包含病毒的结论，并具体地描述出该病毒的类型，以及其所述的 位置等。

当然，TCM芯片中的硬件病毒扫描模块判断待检测内容是否有病毒的方法有 很多种。例如，可以使用特征代码法，或使用校验和法，或使用行为检测法。 其中，特征代码法是检测已知病毒的最简单、开销最小的方法。该方法检测准 确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。

在本发明的一种实施例中，以TCM芯片使用特征代码法进行查毒为例进行 详细说明。

准备工作，首先需要采集已知的病毒库样本，抽取其特征代码，得到病毒 库特征信息。抽取的代码需要有适当的长度，其目的是一方面维持特征代码的 唯一性，另一方面又不需要有太大的空间与时间的开销。在保持唯一性的前提 下，尽量使得特征代码长度短，以减少空间与时间开销。采集已知病毒样本并 抽取特征代码形成病毒库特征信息的工作比较耗费资源，一般由杀毒软件厂商 提供，此处不要求用TCM芯片实现。TCM芯片只需要寻找到病毒库特征信息，并 能够接收以及更新病毒库特征信息即可。

其次，硬件病毒扫描模块中的扫描引擎根据从病毒库输入接口处获取的病 毒库特征信息，针对待检测内容，调用微处理器和存储模块内的资源来搜索待 检测内容中是否包含病毒库特征信息中的病毒特征代码串或者病毒特征字。如 果在待检测内容中发现有与病毒库特征信息中相同的病毒特征代码，由于特征 代码与病毒一一对应，因此便可以断定，待检测内容中有何种病毒。

具体地，可采用如下步骤进行处理：

1、通过输入接口(ReadPEImage)输入待检测内容；

2、通过病毒库输入接口(ReadSector)输入病毒库特征信息；

3、扫描引擎根据病毒库特征信息，通过引擎操作接口(ExtractPE、 CompareDB)调用存储模块和微处理内的资源来扫描待检测内容，等待扫描结果。

4、扫描引擎将最终得到的扫描结果通过输出接口输出。

如此，TCM芯片则可以根据扫描结果，知道待检测内容中是否包含有病毒。 利用特征代码法来查毒的优点是：检测准确快速、可识别病毒的名称、误报警 率低。

同时，本发明还提供了一种查毒方法，包括以下步骤：

硬件病毒扫描模块根据输入输出模块输入的病毒库特征信息，调用存储模 块和微控制器内的资源来扫描输入输出模块输入的待检测内容，得到待检测内 容的扫描结果，并通过输入输出模块输出所述扫描结果。

其中，硬件病毒扫描模块包括输入/输出接口、病毒库输入接口、引擎操作 接口以及扫描引擎。具体地，查毒方法可分为以下步骤：

S1、输入接口接收待检测内容；病毒库输入接口接收病毒库特征信息；

S2、扫描引擎根据病毒库特征信息，通过引擎操作接口调用存储模块和微 控制器内的资源来扫描待检测内容，得到待检测内容的扫描结果；

S3、输出接口输出检测内容的扫描结果。

另外，本发明还提供了一种运行TCM芯片的设备，该种设备内集成有包括 上述任一实施例的TCM芯片。如此，该种设备在运行主杀毒程序时，利用TCM 芯片中的硬件病毒扫描引擎来扫描待检测内容中是否包含病毒，从而避免了病 毒扫描引擎被病毒感染的风险，能够有效地对设备中可能存在的病毒进行查找。 在扫描到待检测内容包含病毒时，则利用主杀毒程度进行相应地查杀，从而保 证了设备中存储的内容的安全性，提升用户环境的安全性。该种设备可以为计 算机，笔记本，平板电脑，手机等。

例如，在本发明的一种实施例中，该设备具体为计算机，TCM芯片则被焊接 在计算机的主板上。该种计算机在运行主杀毒程序时，可以利用TCM芯片硬件 扫描模块对待检测内容进行病毒扫描。这样设计的好处是，一方面是避免了硬 件病毒扫描引擎被病毒感染的风险，能够有效地对计算机中可能存在的病毒进 行查找；另一方面，在TCM芯片执行病毒扫描时，消耗的是TCM芯片内的CPU 资源，而不会消耗计算机内的主CPU资源，如此，计算机内的主CPU资源此时 则可以去运行其它的程序，待TCM芯片中的硬件扫描模块得到扫描结果后，主 CPU资源才根据扫描结果进行相应的处理，这样就减少病毒查找中对主CPU资源 的占用，实现了可异步并发执行扫描的工作模式，提高计算机的整体工作效率。 最后，将本发明公开的TCM芯片焊接在计算机的主板上，如此，则无法从物理 上切断TCM芯片与计算机的连接。由于TCM芯片处于计算机系统的较底层，可 以和BIOS配合工作，从而使得该种TCM芯片可以在计算机启动早期工作，进一 步保证了计算机系统的安全性。

以上内容是结合具体的实施方式对本发明所作的进一步详细说明，不能认 定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术 人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换， 都应当视为属于本发明的保护范围。