基于用户认证修改完整性度量的方法和系统.pdf

提供了一种计算机系统(100)，包括处理器(134)和可以由处理器(134)访问的基本输入/输出系统(BIOS)(110)。在引导过程中，BIOS(110)为计算机系统(100)确定完整性度量，并基于用户认证来修改完整性度量。

1.  一种计算机系统(100)，包括：
处理器(134)；以及
基本输入/输出系统(BIOS)(110)，可由处理器(134)访问；
其中，在引导过程中，BIOS(110)为计算机系统(100)确定完整性度量，并且其中BIOS(110)基于用户认证来修改完整性度量。

2.  如权利要求1所述的计算机系统(100)，其中，如果用户认证成功，BIOS(110)用第一值来修改完整性度量，并且其中，如果用户认证不成功，BIOS(110)用不同于第一值的第二值来修改完整性度量。

3.  如权利要求1所述的计算机系统(100)，其中，被修改的完整性度量与预定的完整性度量比较，并且如果被修改的完整性度量与预定的完整性度量匹配，则BIOS(110)接收对秘密的访问。

4.  如权利要求3所述的计算机系统(100)，还包括连接到处理器(134)的锁定存储设备(140)，其中，BIOS(110)使用所述秘密来对锁定存储设备(140)解锁。

5.  如权利要求3所述的计算机系统(202)，还包括连接到处理器(234)的存储设备(240)，其中，存储设备(240)存储被加密数据(242)，并且其中，BIOS基于所述秘密来解密被加密的数据(242)。

6.  如权利要求1所述的计算机系统(100)，还包括连接到处理器(134)的可信平台模块(TPM)(120)，其中，TPM(120)封存秘密和预定的完整性度量，并且其中，除非被修改的完整性度量与预定的完整性度量匹配，TPM(120)不解封该秘密。

7.  一种方法，包括：
在一引导过程中，安全地存储计算机系统(100)的第一完整性度量；
在以后的引导过程中，为计算机系统(100)生成第二完整性度量；
基于用户认证来修改第二完整性度量；并且如果第一完整性度量与被修改的第二完整性度量匹配，则访问秘密。

8.  如权利要求7所述的方法，还包括基于所述秘密对存储设备(140)解锁。

9.  如权利要求7所述的方法，还包括基于所述秘密解密数据(242)。

10.  如权利要求7所述的方法，其中，安全地存储第一完整性度量包括：
将加电自检(POST)开始值扩充到平台配置寄存器(PCR)(132)；
测量特定于计算机系统(100)的多个参数，并将对应的值扩充到PCR(132)；以及
将成功的用户认证值扩充到PCR(132)。

基于用户认证修改完整性度量的方法和系统
背景技术
许多认证策略限制可以被认证的不同用户身份或秘密的数量。例如，一些驱动器锁机制仅支持单个口令的认证。为了认证驱动器锁定口令，基本输入/输出系统(BIOS)需要用户在预引导环境期间输入口令，并向硬盘驱动器提供用户输入的值。如果口令正确，则硬盘驱动器将开始旋转(即，驱动器被“解锁”)。如果口令不正确，则驱动器将不会旋转(即驱动器被“锁定”)。该预引导认证特征在多用户环境(例如，工作场所)中有些不兼容。虽然多个用户可以共享公共的口令(使得多个用户中的任一个可以使用该相同的口令来被认证)，但使用个人化的口令可以有更好的安全性和用户友好性。此外，其它认证过程(例如，智能卡或生物测量过程)可以和多个个人用户而不是多个组关联。于是，在需要认证很多用户身份或秘密的多用户环境中，与认证单个秘密或有限数量的秘密相关的认证策略变得不兼容，或至少不方便。
附图说明
为了对本发明的示例性实施例进行详细描述，现在将参考附图，其中：
图1示出了根据本发明的实施例的计算机；
图2示出了根据本发明的实施例的系统；
图3说明了根据本发明的实施例的方法；并且
图4说明了根据本发明的实施例的另一个方法。
符号和术语
特定的术语在以下描述和权利要求中被通篇使用，来指特定的系统组件。正如本领域技术人员所理解，不同计算机公司可能用不同的名称来指某组件。本文档不旨在区分名称不同而不是功能不同的组件。在下面的讨论以及在权利要求书中，术语“包括”和“包含”以非限制的方式使用，并且因此应该被解释成表示“包括，但不限于...”。同时，术语“连接”旨在表示间接、直接、光或无线电连接中的任一个。因此，如果第一设备连接到第二设备，则该连接可以通过直接的电连接、通过经由其它设备或连接的间接电连接、通过光电连接，或通过无线电连接。
具体实施方式
下列讨论针对本发明的各种实施例。尽管这些实施例中的一个或更多个可以是优选的，公开的实施例不应被解释为，或以其他方式被用于，限制包括权利要求的本公开的范围。此外，本领域技术人员将理解下列说明具有广泛的用途，并且任一实施例的讨论仅用作该实施例的示例，而不是要表示包括权利要求的本公开的范围被限于该实施例。
许多认证策略限制可被认证的不同用户身份或秘密的数量。本发明的实施例支持认证多个用户身份或秘密中的任一个作为访问安全设备(或特权)的先决条件，该安全设备(或特权)在没有本发明的实施例时仅支持单个秘密或有限的一组秘密(即，将要访问安全设备的潜在用户的数量大于可以为或被该安全设备认证的秘密的数量)的认证。
在至少一些实施例中，计算平台的基本输入/输出系统(BIOS)作为多个用户和安全设备之间的可信代理。换句话说，BIOS控制对安全设备或特权解锁的秘密。在引导过程期间，BIOS可以基于个人的口令、智能卡、生物测量或某个其它认证过程来认证多个用户中的任一个。如果用户认证成功，BIOS安全地访问与该安全设备关联的秘密。在一些实施例中，BIOS从可信平台模块(TPM)获取秘密，该TPM可以封存或解封秘密。一旦收到，BIOS使用秘密来解锁安全设备或访问特权。作为例子，安全设备可以是被驱动器锁机制保护的磁盘驱动器。附加地或可替换地，BIOS可以使用秘密来访问安全特权，例如对加密数据的解密。
图1示出了根据本发明的实施例的计算机100。计算机100可以是，例如，服务器、桌上型计算机、膝上型计算机或手持设备。在一些实施例中，计算机100包括连接到可信平台模块(TPM)120的处理器134，以及具有驱动器锁功能142的磁盘驱动器140。如图所示，处理器134可以访问基本输入/输出系统(BIOS)110，该BIOS可以被实现为，例如，芯片组(例如“南桥(Southbridge)”)或其它模块的一部分。处理器134还连接到认证接口150，该认证接口使用户可以向计算机100输入数据用于用户认证。认证接口150可以是，例如，键盘、鼠标、虚拟令牌(例如，通用串行总线令牌(USB token))源、智能卡读卡器、生物测量扫描器、或接收用于用户认证的数据的某些其它接口。
TPM 120被配置为提供加密功能，例如用于数字签名和加密的RSA非对称算法、SHA-1散列、基于散列的消息认证码(HMAC)功能、安全存储、随机数生成或其它功能。TPM 120用软件、固件和/或硬件来实现。图1和图2中示出的TPM组件已被一般化，并且不是包括一切的。同时，TPM架构和功能可能如可信计算组(TCG)所授权而随时间改变。
如图1所示，TPM 120包括与处理器134通信的输入/输出(I/O)接口122。I/O接口122连接到另外的TPM组件例如加密服务124、随机数源126、非对称算法128、存储器130和多个平台配置寄存器(PCR)132。加密服务124支持诸如散列、数字签名、加密和解密的功能。随机数源126产生随机数用于加密服务124。例如，在一些实施例中，加密服务124使用随机数来生成加密密钥。非对称算法128使TPM 120能执行非对称密钥操作。存储器130安全地存储被TPM 120保护的秘密(例如加密密钥或其它数据)。多个PCR 132存储关于计算机100当前状态的信息。例如，在一些实施例中，多个PCR 132存储与计算机100相关的各单独的完整性度量，以及完整性度量的顺序。如后面将要描述的，在至少一个PRC 132中存储的完整性度量可以被验证，作为向BIOS 110提供与驱动器锁定功能142关联的秘密的先决条件。
如图1所示，BIOS 110包括驱动器锁定接口114和可信代理功能116。为了便于描述本发明的实施例，术语“初始化阶段”和“验证阶段”将被使用。在初始化阶段，秘密被安全地存储，从而秘密只有在满足特定条件时才能被访问。在验证阶段，做出这些条件是否满足的决定。如果条件已经满足，秘密变得可以被BIOS 110访问。否则，秘密保持安全存储并且不能被访问。如这里所描述，驱动器锁定接口114和可信代理功能116两者都在初始化阶段和验证阶段执行特定的功能。
在初始化阶段期间，驱动器锁定接口114使管理员或其它被授权的实体能够输入将与磁盘驱动器140的驱动器锁定功能142一起使用的秘密(即，秘密可以被用来锁定和/或解锁磁盘驱动器140)。可替换地，驱动器锁定接口114使BIOS 110产生秘密而不用用户输入。在任一种情况下，可信代理功能116使秘密被安全地存储，从而只有满足特定条件时秘密才能被访问。在至少一些实施例中，可信代理功能116使秘密被TPM 120封存，从而只有TPM 120可以解封该秘密。
为了封存秘密，TPM 120将秘密插入一数据结构(有时被称为“二进制大对象(blob)”)。在至少一些实施例中，二进制大对象的格式由TCG定义。二进制大对象的部分(例如包括秘密的区域)被TPM 120加密。二进制大对象还可以包括PCR值，该PCR值已基于由BIOS 110执行的引导操作或完整性度量而被“扩充”。BIOS 110可以扩充到给定的PCR 132的值的一些例子包括，但不限于，加电自检(POST)开始值、特定于平台的值、成功的用户认证的值、失败的用户认证的值、POST退出值(即，平台的硬件、固件或软件的完整性度量)、或其它值。在至少一些实施例中，与秘密一起封存的PCR值已基于POST开始值、特定于平台的值和成功的用户认证值而被扩充。使用加密服务124，TPM 120封存包括秘密和PCR值的二进制大对象，从而只有TPM 120可以解封该二进制大对象。在至少一些实施例中，TPM 120在将秘密释放给BIOS 110之前，验证当前PCR值与在二进制大对象中指定的PCR值匹配。如果TPM120涉及到用户认证中，正如在一些实施例中的情况，用户口令(或其它标识符)也可以被插入该二进制大对象并被TPM 120封存。在这种情况下，TPM 120可以在将秘密释放给BIOS 110之前验证该口令。
在验证阶段(例如，在以后的引导中)，BIOS 110再次执行计算机100的引导操作或完整性度量。这些完整性度量可以被存储在，例如，PCR 132的至少一个中。在验证阶段的某个点，可信代理功能116执行对访问计算机100的多个用户中的任一个的认证。用户认证可以基于认证接口150和BIOS 110支持的口令、智能卡、生物测量或任何其它认证过程。TPM 120可以或可以不和用户认证相关，尽管TPM 120部分基于成功的用户认证来选择性地解封秘密。如果TPM 120与用户认证相关，用户可以通过输入口令来被认证，如前所述，该口令和秘密一起被封存。
如果用户被成功认证(不管是否涉及TPM 120)，可信代理功能116使BIOS 110修改计算机100的完整性度量。例如，BIOS 110可以通过将成功的用户认证值扩充到给定的PCR 132来修改完整性度量。在至少一些实施例中，给定的PCR 132将已经具有扩充给它的计算机100的POST开始值和特定于平台的值。可替换地，值(度量)可以以不同的顺序扩充到给定的PCR 132(例如，成功的用户认证值可以在计算机100的特定于平台的值扩充到给定的PCR 132之前扩充到给定的PCR 132)。只要相同的过程在初始化阶段和验证阶段期间被使用，扩充到给定的PCR 132的值的顺序和数量可以变化。换句话说，验证阶段的一个目的是选择性地生成与初始化阶段生成并封存的PCR值相同的PCR值。在至少一些实施例中，只有当用户认证成功并且计算机100的某些特定于平台的度量没有改变时，在初始化阶段生成的PCR值在验证阶段生成。
如果需要，在初始化阶段和验证阶段期间扩充到给定PCR 132的值的顺序和数量可以被更新。这样的更新可以例行地发生以提高初始化阶段和验证阶段的安全性，和/或可以在需要更新计算机100的硬件、固件或软件时发生。
如果用户没有被成功认证，可信代理功能116使BIOS 110修改计算机100的完整性度量，使得基于失败的用户认证的修改的完整性度量与基于成功的用户认证的修改的完整性度量不同。例如，BIOS 110可以通过将失败的用户认证值扩充到给定的PCR 132来修改完整性度量。在至少一些实施例中，给定的PCR 132将已经具有扩充给它的POST开始值和特定于平台的值。如前所述，只要相同的过程在初始化阶段和验证阶段期间被使用，扩充到给定的PCR 132的值的顺序和数量可以变化。
当完整性度量在基于成功或失败的用户认证而被修改之后，可信代理功能116请求访问已被安全存储的秘密。如果修改的完整性度量等于部分对应于成功的用户认证的预定值，秘密被释放到可信代理功能116。在一些实施例中，如果在验证阶段期间生成的PCR值与在初始化阶段期间生成、并与秘密一起封存的PCR值匹配，则TPM 120将秘密释放到可信代理功能116。
如果用户认证失败，在初始化阶段生成的PCR值不在验证阶段生成。附加地或可替换地，如果计算机100的某些特定于平台的度量已改变，在初始化阶段生成的PCR值不在验证阶段生成。至少在初始化阶段中生成的PCR值不会在验证阶段中PCR值被比较的时刻生成。另一方面，如果用户认证成功并且计算机100的某些特定于平台的度量没有改变，在初始化阶段生成的PCR值在验证阶段生成，从而发生PCR值的成功比较。
当修改的完整性度量与预定的完整性度量比较成功，BIOS 110接收秘密。例如，在一些实施例中，当在验证阶段期间生成的PCR值与在初始化阶段期间生成、并与秘密一起封存的PCR值比较成功，BIOS 110从TPM 120接收秘密。驱动器锁定接口114然后可以使用该秘密来解锁磁盘驱动器140的驱动器锁定功能142。如果比较失败，秘密不被提供给BIOS 110，并且磁盘驱动器140保持被锁定。
图2示出了根据本发明的实施例的系统200。如图2所示，系统200包括具有处理器234的计算机202，该处理器连接到可信平台模块(TPM)120。TPM 120的功能在前面对图1中描述了，并且为了方便，不再对图2重复。但是，应该理解虽然前面描述的TPM功能没有改变，TPM 120在图2中使用的方式可以和TPM 120在图1中使用的方式不同。同时，如果图1的计算机100和图2的计算机202是不同的计算机，每个将实现独立的TPM 120。
如图2所示，处理器234可访问BIOS 210，BIOS 210可以被实现为，例如，芯片组(例如“南桥(SouthBridge)”)或其它模块的一部分。BIOS 210类似于图1中的BIOS 110，除了BIOS 210包括加密接口214而不是如图1中的驱动器锁定接口114。在替代的实施例中，BIOS210可以包括如图1中的驱动器锁定接口114和如图2中的加密接口214两者。
如图2所示，处理器234还连接到其它组件例如第二存储器240、随机存取存储器(RAM)238、网络接口244、认证接口250和输入/输出(I/O)设备246。作为例子，I/O设备246可以是打印机、扫描仪、视频监视器、液晶显示器(LCD)、触摸屏显示器、键盘、键座、开关、拨号盘、鼠标、跟踪球、语音识别器、读卡器、纸带读出器或其它I/O设备。
在至少一些实施例中，第二存储器240包括存储被加密数据242的至少一个磁盘驱动器或磁带驱动器。被加密的数据242可以是由第二存储器240存储的数据的部分或全部，并且只有合适的加密密钥可以被用来解密被加密的数据242。第二存储器240被用于数据的非易失性存储，并且如果RAM 238不足够大来保存所有工作数据，第二存储器240作为溢出数据存储设备。同时，第二存储器240可以被用来存储程序，当这样的程序被选择用来执行时，它们被载入到RAM 238。RAM 238可以存储易失性数据和/或指令。
在图2中，处理器234执行从硬盘、软盘、光盘(这些基于不同盘的系统都可以被认为是第二存储器240)、RAM 238或网络接口244访问的指令、代码、计算机程序或脚本。为了让处理器234访问或执行在第二存储器240上存储的被加密的数据242，需要对被加密数据242的解密。该解密涉及BIOS 210获得对下面将描述的被安全存储的加密密钥的访问。
网络接口244可以采用的形式有：调制解调器、调制解调器库、以太网卡、通用串行总线(USB)接口卡、串行接口、令牌环卡、光纤分布式数据接口(FDDI)卡、无线本地网(WLAN)卡、无线电收发卡例如码分多址接入(CDMA)和/或移动通信全球系统(GSM)无线电收发卡、或其它网络接口。通过网络接口244，处理器234可以连接到并与因特网或一个或多个内联网通信。通过这样的网络连接，预期在执行用户认证或访问由计算机202安全存储的加密密钥的过程中，处理器234可以从网络接收信息，或可以向网络输出信息。例如，如果从远程位置引导计算机202，正如一些实施例中的情况，至少一些由加密接口214和可信代理功能216执行的功能可以被远程控制而不是本地控制。如果TPM被用来安全地存储加密密钥，封存加密密钥的相同TPM将解封该加密密钥。
为了方便描述本发明的实施例，术语“初始化阶段”和“验证阶段”将再次被使用。在初始化阶段，加密密钥被安全地存储，从而只有满足特定条件时才能访问加密密钥。在验证阶段，做出是否满足这些条件的决定。如果条件满足了，BIOS 210可以访问加密密钥。否则，加密密钥保持安全地存储并且不可访问。如这里所描述，加密接口214和可信代理功能216两者在初始化阶段和验证阶段执行特定的功能。
在初始化阶段期间，加密接口214使管理员或其它有授权的实体能输入加密密钥，该加密密钥被用于加密数据(例如，第二存储器240的数据)。可替换地，加密接口214可以使BIOS 210生成加密密钥而不用用户输入。在任一种情况下，可信代理功能216使加密密钥被安全地存储，从而只有在满足特定的条件时才能访问加密密钥。在至少一些实施例中，可信代理功能216使加密密钥被TPM 120封存，从而只有TPM 120可以解封加密密钥。
为了封存加密密钥，TPM 120将加密密钥插入到被称为数据的“二进制大对象”的数据结构中。如前所述，在一些实施例中，二进制大对象的格式由TCG定义。二进制大对象的一部分(例如包括加密密钥的区域)被TPM 120加密。二进制大对象还可以包括PCR值，该值已基于BIOS210为计算机202执行的引导操作或完整性度量而被“扩充”。BIOS 210可以扩充到给定PCR 132的值的一些例子包括，但不限于，加电自检(POST)开始值、特定于平台的值(即，平台的硬件、固件或软件的完整性度量)、成功的用户认证值、失败的用户认证值、POST退出值或其他值。在至少一些实施例中，与加密密钥一起封存的PCR值已基于POST开始值、特定于平台的值和成功的用户认证值而被扩充。使用加密服务124，TPM 120封存包括加密密钥和PCR值的二进制大对象，从而只有TPM 120可以解封该二进制大对象。在至少一些实施例中，TPM 120在将加密密钥释放到BIOS 210之前验证当前的PCR值和二进制大对象中指定的PCR值匹配。如果TPM 120与用户认证相关，正如一些实施例中的情况，用户口令(或其它标识符)也可以被插入到二进制大对象中并被TPM 120封存。在这样的情况下，TPM 120可以在将加密密钥释放到BIOS 210之前验证用户口令。
在验证阶段期间(例如，在以后的引导中)，BIOS 210再次执行计算机202的引导操作或完整性度量。这些完整性度量可以被存储在，例如，至少一个PCR 132中。在验证阶段期间的某个点，可信代理功能216执行对访问计算机202的多个用户中的任一个的认证。用户认证可以基于认证接口250和BIOS 210所支持的口令、智能卡、生物测量或某个其它认证过程。TPM 120可以或可以不和用户认证相关，虽然TPM 120之后将部分基于成功的用户认证解封加密密钥。如果TPM 120和用户认证相关，用户可以通过输入与加密密钥一起封存的口令来被认证，如前面所述。
如果用户被成功认证(无论是否涉及TPM 120)，可信代理功能216使BIOS 210修改计算机202的完整性度量。例如，BIOS 210可以通过将成功的用户认证值扩充到给定的PCR 132来修改完整性度量。在至少一些实施例中，给定的PCR 132将已经具有扩充到它的计算机202的POST开始值和特定于平台的值。可替换地，这些值(度量)可以以不同的顺序扩充到给定的PCR 132(例如，成功的用户认证值可以在计算机202的特定于平台的值扩充到给定的PCR 132之前扩充到给定的PCR132)。只要相同的过程在初始化阶段和验证阶段期间被使用，扩充到给定的PCR 132的值的顺序和数量可以变化。换句话说，验证阶段的一个目的是选择性地生成与初始化阶段生成并封存的PCR值相同的PCR值。在至少一些实施例中，当用户认证成功并且计算机202的某些特定于平台的度量没有改变时，在初始化阶段生成的PCR值在验证阶段生成。特定于平台的度量的例子包括但不限于BIOS版本、实际的BIOS码、设备配置值和硬盘驱动器标识符。
如果需要，在初始化阶段和验证阶段期间扩充到给定PCR 132的值的顺序和数量可以被更新。这样的更新可以例行地发生以提高初始化阶段和验证阶段的安全性，和/或可以在需要更新计算机202的硬件、固件或软件时发生。
如果用户没有被成功认证，可信代理功能216使BIOS 210修改计算机202的完整性度量，使得基于失败的用户认证的修改的完整性度量与基于成功的用户认证的修改的完整性度量不同。例如，BIOS 210可以通过将失败的用户认证值扩充到给定的PCR 132来修改完整性度量。在至少一些实施例中，给定的PCR 132将已经具有扩充到它的POST开始值和特定于平台的值。如前所述，只要相同的过程在初始化阶段和验证阶段期间被使用，扩充到给定的PCR 132的值的顺序和数量可以变化。
当完整性度量在基于成功或失败的用户认证而被修改之后，可信代理功能216请求访问已被安全存储的加密密钥。如果修改的完整性度量等于部分对应于成功的用户认证的预定值，加密密钥被释放到可信代理功能216。在一些实施例中，如果在验证阶段期间生成的PCR值与在初始化阶段期间生成、并与加密密钥一起封存的PCR值匹配，则TPM 120将加密密钥释放到可信代理功能216。
如果用户认证失败，在初始化阶段生成的PCR值不在验证阶段生成。附加地或可替换地，如果计算机202的某些特定于平台的度量已改变，在初始化阶段生成的PCR值不在验证阶段生成。至少在初始化阶段中生成的PCR值不会在验证阶段中PCR值被比较的时刻生成。另一方面，如果用户认证成功并且计算机202的某些特定于平台的度量没有改变，在初始化阶段生成的PCR值在验证阶段生成，从而发生PCR值的成功比较。
当修改的完整性度量与预定的完整性度量比较成功，BIOS 210接收加密密钥。例如，在一些实施例中，当在验证阶段期间生成的PCR值与在初始化阶段期间生成、并与加密密钥一起封存的PCR值比较成功，BIOS210从TPM 120接收加密密钥。加密接口114然后可以使用该加密密钥来解密被加密的数据242。可替换地，BIOS 210可以将加密密钥传给执行数据解密的某个其它安全接口(例如，另一个加密接口)。如果PCR值的比较失败，加密密钥不被提供给BIOS 210。在这样的情况下，被加密的数据242不能被解密。
图3示出了根据本发明的实施例的一种方法300。在至少一些实施例中，方法300对应于前面描述的初始化阶段。如图3所示，方法300包括将POST开始值扩充到PCR(块302)。在块304中，特定于平台的值被测量，并且对应的值被扩充到PCR。在块306中，成功的用户认证值被扩充到PCR。秘密和PCR值然后被封存(块308)。秘密可被用来，例如，解锁驱动器锁定功能或解密被加密的数据。最后，POST退出值被扩充到PCR(块310)。通过将POST退出值扩充到PCR，与秘密一起封存的前面的PCR值不能被查出(即，每个扩充操作以这样的方式改变PCR值：防止前面的PCR值中的任何一个被查出)。方法300可以，例如，在使用与TPM通信的BIOS的引导过程期间被执行。
图4示出了根据本发明的实施例的另一种方法400。在至少一些实施例中，方法400对应于前面描述的验证阶段。如图4所示，方法400包括将POST开始值扩充到PCR(块402)。在块404中，特定于平台的值被测量，并且对应的值被扩充到PCR。在块406中，认证多个用户中的任一个。用户认证在计算平台的引导过程期间发生，并且可以基于口令、智能卡、生物测量或另一种认证过程或认证过程的组合。
如果用户没有被认证(判定块408)，失败的用户认证值被扩充到PCR(块410)。可替换地，如果用户被认证(判定块408)，成功的用户认证值被扩充到PCR(块412)。PCR值然后被验证(块414)。如果PCR值不正确(判定块416)(即，当前PCR值与和秘密一起封存的PCR值不匹配)，秘密保持被封存(块418)。可替换地，如果PCR值正确(判定块416)(即，当前PCR值与和秘密一起封存的PCR值匹配)，秘密被释放给计算平台的BIOS(块420)。最后，秘密被用来访问安全设备或特权(块422)。例如，秘密可以使BIOS能够解锁磁盘驱动器或解密数据。