收藏
下载资源 加入会员免费下载

将密码模块绑定到平台.pdf

上传人:奻奴 文档编号:973434 上传时间:2018-03-22 格式:PDF 页数:13 大小:486.16KB
返回 下载 相关 举报
摘要
申请专利号:

CN200880128460.5

 申请日:

2008.04.02
公开号:

CN101983375A

 公开日:

2011.03.02
当前法律状态:

撤回

 有效性:

无权
法律详情:

发明专利申请公布后的视为撤回IPC(主分类):G06F 11/30申请公布日:20110302|||实质审查的生效IPC(主分类):G06F 11/30申请日:20080402|||公开
IPC分类号:

G06F11/30; G06F11/00

 主分类号:

G06F11/30
申请人:

惠普开发有限公司
发明人:

W·易卜拉欣; D·诺伊费尔德; G·普劳德勒
地址:

美国德克萨斯州
优先权:

专利代理机构:

中国专利代理(香港)有限公司 72001

 代理人:

李娜;王洪斌
PDF下载: PDF下载
内容摘要

一个实施例是具有固件的计算机系统,该固件与密码协处理器共享秘密以确定所述密码协处理器是否已经被篡改或从所述计算机系统中移除。

权利要求书

1: 一种计算机平台, 包括 : 处理器 ; 耦合到所述处理器的密码协处理器 ; 以及 基本输入 / 输出系统 (BIOS), 其耦合到所述处理器以建立与所述密码协处理器的安全 关系并且确定所述密码协处理器是否已被篡改或已从所述计算机平台中移除。
2: 权利要求 1 的计算机平台, 其中所述密码协处理器逻辑地被双向绑定到所述计算机 平台, 并且所述密码协处理器存储与所述 BIOS 商定的共享秘密。
3: 权利要求 1 的计算机平台, 其中当所述密码协处理器启动时, 所述 BIOS 检查 TPM 标 志以检测所述密码协处理器是否已被篡改或已从所述计算机平台中移除。
4: 权利要求 1 的计算机平台, 其中所述密码协处理器确定是否从所述 BIOS 发送具有正 确授权值的正确启动命令。
5: 权利要求 1 的计算机平台, 其中当所述密码协处理器从 BIOS 接收到具有用于控制所 述密码协处理器中的资源的不正确 bindAuth 值的启动命令时, 所述密码协处理器确定正 在发生安全攻击。
6: 权利要求 1 的计算机平台, 其中当所述密码协处理器已被篡改或从所述计算机平台 中移除时, 所述密码协处理器被重置为出厂默认值。
7: 权利要求 1 的计算机平台, 其中所述 BIOS 将启动命令发到所述密码协处理器以认证 所述计算机平台, 如果所述密码协处理器验证所述启动命令包括正确的授权, 则所述启动 命令将所述计算机平台从初始环境转换到受限操作状态。
8: 一种具有用于使得计算机执行方法的指令的有形计算机可读存储介质, 所述方法包 括: 在密码协处理器与计算机平台中的固件之间建立共享秘密以将所述密码协处理器绑 定到所述计算机平台并且确定所述密码协处理器何时已被篡改或从所述计算机平台中移 除。
9: 权利要求 8 的有形计算机可读存储介质, 进一步包括, 设置标志以指示所述密码协 处理器被从所述计算机平台移除或被篡改。
10: 权利要求 8 的有形计算机可读存储介质, 进一步包括, 当所述密码协处理器被插入 到不正确的计算机平台时清除所述密码协处理器。
11: 权利要求 8 的有形计算机可读存储介质, 进一步包括, 使用基本输入 / 输出系统 (BIOS) 检测所述密码协处理器何时被从计算机平台移除或被篡改。
12: 权利要求 8 的有形计算机可读存储介质, 进一步包括, 使用由所述密码协处理器提 供的对称密钥加密和解密以允许在可信平台模块 (TPM) 与所述计算机平台之间的物理绑 定和密码绑定二者。
13: 权利要求 8 的有形计算机可读存储介质, 进一步包括, 提供所述共享秘密给所述计 算机平台中的基本输入 / 输出系统 (BIOS) 以确定所述密码协处理器是否已被篡改或从所 述计算机平台中移除。
14: 权利要求 8 的有形计算机可读存储介质, 进一步包括, 确定在所述密码协处理器的 启动期间具有正确授权值的正确命令是否被从所述固件发送到所述密码协处理器。
15: 权利要求 8 的有形计算机可读存储介质, 进一步包括, 在检测到所述密码协处理器 2 已被篡改或从所述计算机平台移除后将所述密码协处理器恢复到默认值。
16: 一种计算机系统, 包括 : 处理器 ; 耦合到所述处理器的密码协处理器 ; 以及 耦合到所述处理器的固件, 其与所述密码协处理器共享秘密, 从而将所述密码协处理 器与所述计算机系统绑定并且确定所述密码协处理器是否已被篡改或从所述计算机系统 中移除。
17: 权利要求 16 的计算机系统, 其中所述密码协处理器是可信平台模块 (TPM)。
18: 权利要求 16 的计算机系统, 其中所述密码协处理器在引导循环期间在系统存储根 密钥 (sysSRK) 下存储密钥叶子, 其使得所述固件能够检测所述密码协处理器何时已被篡 改或从所述计算机系统中移除。
19: 权利要求 16 的计算机系统, 其中所述秘密在所述固件和所述密码协处理器之间建 立相互安全的关系并且向所述固件验证所述密码协处理器没有被篡改或没有被从所述计 算机系统中移除。
20: 权利要求 16 的计算机系统, 其中在所述计算机系统中的基本输入 / 输出系统 (BIOS) 确定所述密码协处理器是否已被篡改或从所述计算机系统中移除之后, 所述密码协 处理器向所述计算机系统提供密码功能。

说明书


将密码模块绑定到平台

    背景技术 密码 (cryptographic) 协处理器执行若干个功能, 比如生成加密密钥、 存储秘密、 加密数据、 解密数据、 对数据签名和验证签名。 这种处理器对于计算机安全而言正变得日益 重要。
     为了提供对计算的信任, 可信计算组织 (TCG) 开发了可信平台模块 (TPM), 其提供 用于可以存储安全信息的安全密码处理器的规范。 TPM 提供各种功能, 比如安全生成密码密 钥、 远程证明、 密封存储、 绑定和硬件随机数发生器。
     所述 TCG 规范要求 TPM 与该 TPM 所附接到的母板之间的某种形式的绑定。焊接是 将 TPM 绑定到母板的一种方式。然而, 这种形式的物理绑定限制了 TPM 的使用并且给销售 商与制造商造成供应链问题。
     附图说明
     图 1 示出根据本发明的示范性实施例的用于初始化 TPM 的流程图。 图 2 示出根据本发明的示范性实施例的用于添加叶子密钥的树形图。 图 3 示出根据本发明的示范性实施例的用于验证 TPM 的流程图。 图 4 示出根据本发明的实施例的计算机系统。具体实施方式
     根据本发明的示范性实施例针对用于通过密码方法将可信平台模块 (TPM) 逻辑 地绑定到诸如印刷电路板 (PCB) 之类的平台的系统和方法。一个实施例使得能够将分立的 TPM 绑定到母板。在母板与 TPM 之间提供双向绑定。TPM 与母板之间的共享秘密连同其他 参数一起用于确保所述双向绑定。
     示范性实施例提供 TPM 与所述平台之间的绑定, 使得该 TPM 可以检测到何时它正 被用在错误的平台上。而且, 实施例使得所述平台能够检测到 TPM 在正确的平台中并且能 够检测到何时 TPM 已经被移除和 / 或被篡改 (tamper with)。示范性实施例可以与以多种 方式物理地绑定到所述平台的 TPM 一起使用, 所述方式比如焊接到所述平台或利用安全的 插座绑定。将 TPM 逻辑地绑定到特定平台为 TPM 和相关的计算设备提供了另一个安全层。
     在一个实施例中, TPM 保持或存储与固件或基本输入 / 输出系统 (BIOS) 商定的秘 密。当 TPM 启动时, BIOS 基于所述共享秘密的有效性或正确性检查或验证是否安装了正确 的 TPM。 TPM 也检查或验证是否已经发送了具有正确的授权值的正确的启动命令。 在一个实 施例中, 该授权值与使用 sysSRK 密钥层级 (hierarchy) 的 sysAuth 相同。 作为示例, 在 2006 年 7 月 27 日提交的序列号为 11/493,972 的题为 “Methods and Systems for Utilizing Cryptographic Functions of a Cryptographic Co-Processor” 的且通过引用合并于此的 美国专利申请中描述了这种授权。
     如果 TPM 检测到它接收了具有错误 bindAuth 的启动命令, 则 TPM 知道它正受到攻 击并采取适当的动作。这些动作可以包括重置所述 SRK、 有效地将 TPM 重置为出厂默认值(manufacture default)。TPM 还将设置标志 (flag)( 比如, 攻击标志 )。同样地, 当在原始 平台中更换 TPM 时, BIOS 将会知道 TPM 已经被篡改并且可以采取由组织策略定义的适当的 措施。
     一个实施例使用所述 sysSRK 来将共享秘密保持在其树下。所述 BIOS 也存储或维 护该秘密。在一个实施例中, 所述共享密钥在 BIOS 中不是保密的 ( 意味着 BIOS 镜像可被 转储 (dump))。 然而, 共享秘密的使用对攻击者而言增加了另一复杂度。 攻击者现在将不得 不移除硬盘驱动器、 转储 BIOS、 移除 TPM 以及将 TPM 安装在将同样的 PCR 测量扩展为原始系 统的系统中, 以便能够攻击所述系统。
     在一个实施例中, CPU 序列号和芯片组连同特殊总线循环一起被使用。这样, 所述 TPM 绑定包括 CPU 序列号。同时, 所述序列号被保密并且不用于侵犯用户的隐私。
     示范性实施例使得 TPM 能够在子卡上实现。这消除了对具有两个单独的 SKU( 即, 用作唯一标识符的库存单元 ) 的需要, 并且去除了维持两个单独的 BIOS 树的需要。示范性 实施例进一步使得 TPM 在被插在错误平台之后能够被清除 (clear), 并且使得销售商或制 造商能够将计算机系统运送到具有 TPM 销售限制的地理区域。而且, 示范性实施例消除了 用于物理地将 TPM 绑定到所述平台的机械绑定铆钉 (rivet) 的成本。示范性实施例还不要 求在所述 BIOS 或 TPM 固件中的复杂编码并且使得 BIOS 能够检测到何时 TPM 已被移除或被 篡改。
     图 1 示出根据本发明的示范性实施例的用于初始化 TPM 的流程图。
     根据方框 100, 所述计算机首先被通电。在通电期间, 根据方框 110, BIOS 引导。 BIOS 识别计算机中包括 TPM 的硬件。该 TPM 可以利用焊接、 具有防篡改移除的插座或其他 物理绑定形式物理地连接到所述计算机 ( 例如, 连接到母板或其他 PCB)。
     根据方框 120, BIOS 查询 TPM。例如, 所述 BIOS 发送查询以确定是否已经存在系 统 SRK(sysSRK), 如方框 130 所示。如果该问题的答案是 “是” , 则流程前进到方框 150, 其中 在所述 sysSRK 下添加叶子密钥。如果该问题的答案是 “否” , 则流程前进到方框 140 并且创 建所述 sysSRK。
     在添加了所述叶子密钥之后, 流程前进到方框 160, 其中 TPM 经由创建 bindAuth 的 TPM_CreateBindAuth() 命令而被进一步初始化, 该 bindAuth 是在后续引导循环中要与修 改的 TPM_Startup 命令一起使用的秘密共享值。
     流程然后前进到方框 170, 其中所述 BIOS 保存方框 160 中创建的所述 bindAuth。 各种机制或技术可以用于保存所述 bindAuth。
     在计算机启动期间, 所述 BIOS 发布 TPM_Init() 命令以初始化 TPM。在个人计算 机 (PC) 上, 该命令经由 LPC 总线到达 TPM, 并且通知 TPM 所述平台正在执行引导过程。TPM_ Init 将 TPM 置于其中其等待命令 TPM_Startup( 该命令指定了所需的初始化类型 ) 的状态 中。
     图 2 示出驻留在 TPM 上的存储根密钥 (SRK)220 和系统存储根密钥 210 的树层级。 在一个示范性实施例中, 所述 SRK 和 SysSRK 是 2048 位 RSA 密钥, 其在 TPM 密钥层级的顶部。
     所述系统存储根密钥 210 进一步包括例如两个密钥 240 和按照图 1 的方框 150 添 加的系统叶子密钥 230。所述存储根密钥 220( 其已经是 TCG 规范的一部分 ) 进一步包括例 如密钥 270 或 “用户” 叶子密钥 260。两个对象之间的每条线表示较低的对象被其上面的对象 ( 其父亲 ) 的密钥包装 (wrap)。为了解包 (unwrap) 任何授权数据对象, 必须加载适当的叶子密钥。在一个实施例 中, 所述系统叶子密钥 230 在 TPM 中以软件生成。
     图 3 示出根据本发明的示范性实施例的用于验证 TPM 的流程图。
     根据方框 300, 所述计算机首先被通电。在通电期间, 根据方框 310, BIOS 引导。然 后所述 BIOS 和 TPM 开始验证或确认过程以确定正确的 TPM 是否被安装且没有受到损害, 例 如遭受先前的攻击或被安装在正确的平台上。
     根据方框 320, 所述 BIOS 向 TPM 发出 TPM_Startup(bindAuth)。根据方框 330, TPM 通过检查 TPM_Startup 命令的 bindAuth 参数确定所述 TPM_Startup 命令是否来自认证的 平台。如果该问题的答案是 “是” , 则 TPM 已经验证所述平台是可靠的 ( 绑定的平台 ) 并且 流程前进到方框 340。这里, 所述启动命令是由绑定的平台发出的, 并且根据方框 350, 启动 序列正常进行。
     所述 TPM_Startup 是在从初始环境到受限操作状态的转换期间可用的命令。 Startup( 启动 ) 将 TPM 从初始化状态转换到操作状态。如果启动命令不包括正确的授权, 则所述 TPM 将不会转换到所述操作状态。自然地, 如果所述 TPM 不具有授权值, 则所述 TPM 不会预期 TPM_Startup 被授权并且所述 BIOS 可以继续绑定阶段, 其中它创建用于在后续引 导循环上发送授权的 TPM_Startup 命令的 bindAuth。 如果所述问题的答案是 “否” , 则所述 TPM 没有从绑定的平台接收到所述命令并且 流程前进到方框 360。这里, 所述 TPM 未被插在所述绑定平台中。作为示例, 如果所述 TPM 受到攻击, 则该情况将会发生, 意味着所述 TPM 从 “绑定的” 平台中被移除并被插在不知道 bindAuth 的新平台中。根据方框 370, 由于所述 TPM 未被插在有效的平台中, 所以进入攻击 模式。
     一旦在攻击模式中, 各种校正的或保护的动作中的一个或多个可能发生, 如方框 380 所示, 比如将 TPM 重置为清除了所述 SRK 和其层级的出厂默认值。例如, 如果所述平台 未被认证, 则所述 TPM 被清除并且返回到出厂默认值。作为示例, 所述清除过程使所述 SRK 无效。一旦被无效, 使用所述 SRK 存储的所有信息现在不可用。所述无效并不改变使用该 SRK 的二进制大对象 (blob), 而是在所述 SRK 无效后无法解密所述二进制大对象。
     根据本发明的实施例用在多种系统、 方法和装置中或包括多种系统、 方法和装置。 图 4 示出作为计算机系统 400 的示范性实施例, 该计算机系统 400 是或使用根据本发明的 示范性实施例的计算机、 方法、 流程图和 / 或各方面的一个或多个。
     根据本发明的实施例不限于任何特定类型或数量的计算机系统。 所述计算机系统 例如包括各种便携式和非便携式计算机和 / 或电子设备。示范性计算机系统包括但不限 于, 计算机 ( 便携式和非便携式 )、 服务器、 大型计算机 (main frame computer)、 分布式计 算设备、 膝上型计算机以及其他电子设备和系统, 无论这样的设备和系统是便携式的还是 非便携式的。
     本发明的实施例使得诸如基本输入 / 输出系统 (BIOS) 系统 FW 或 UEFI 之类的平台 实体能够选择性地使用诸如可信平台模块 (TPM) 之类的密码协处理器的密码功能。例如, 平台 BIOS 可以使用 TPM 的数字签名验证功能以确保 BIOS flash 镜像是可靠的。平台 BIOS 也可以使用 TPM 的 RSA 算法来包装 (wrap) 对称密钥以在所述 BIOS 与操作系统组件之间安
     全地交换所述对称密钥。平台 BIOS 也可以使用 TPM 的对称密钥加密和解密以安全地加密 和解密在 BIOS 与操作系统之间传送的数据。为了确保 TPM 的密码功能仅仅对授权的实体 可访问, 本发明的实施例实现了至少一个认证方案。如果平台实体或平台实体的命令被成 功认证, 则使得所述 TPM 的密码功能对于该平台实体可用。如果认证失败, 则所述 TPM 的密 码功能对该平台实体是不可用的。在至少一些实施例中, 不同的 TPM 功能选择性地对不同 的平台实体可用。因此, 在成功认证后, 平台实体可以被授权使用一些 TPM 功能而不能使用 其他功能。
     如图 4 所示, 系统 400 包括优选地经由网络 452 耦合到至少一个远程实体 454 的 计算机 402。该计算机 402 可以是例如, 服务器、 台式计算机、 膝上型计算机或移动设备。计 算机 402 包括耦合到至少一个本地实体 450 的处理器 440。如本文所使用的 “本地实体” 是 指计算机 402 内部的硬件 / 固件 / 软件实体, 并且 “远程实体” 是指计算机 402 外部的硬件 / 固件 / 软件实体。 本地实体的示例包括但不限于, 操作系统和外设, 比如智能卡读取器、 硬 盘驱动器、 网络控制器和图形控制器。远程实体的示例包括但不限于, 提供 BIOS 升级的服 务器或请求关于 BIOS 的版本的信息的对等计算机。
     如图所示, 处理器 440 耦合到网络接口 448。网络接口 444 可以采取以下形式 : 调制解调器、 调制解调器组、 以太网卡、 通用串行总线 (USB) 接口卡、 串行接口、 令牌环卡、 光纤分布式数据接口 (FDDI) 卡、 无线局域网 (WLAN) 卡、 无线电收发器卡 ( 比如码分多址 (CDMA) 和 / 或全球移动通信系统 (GSM) 无线电收发器卡 ), 或其他网络接口。 经由网络接口 448, 处理器 440 能够连接到网络 452 并与之通信, 网络 452 可以表示因特网、 局域网 (LAN) 或广域网 (WAN)。利用这样的网络连接, 预期所述 BIOS 410( 经由处理器 440) 可以在与远 程实体 454 通信的过程中从网络接收信息, 或可以向网络输出信息。
     如图 4 所示, 处理器 440 也可以访问基本输入 / 输出系统 (BIOS)410, 基本输入 / 输出系统 (BIOS)410 可以实现为例如芯片组 ( 例如, “南桥” ) 或其他模块的一部分。示范 性实施例使得 BIOS 410( 或另一个平台实体 ) 能够安全地与本地实体 450 和 / 或远程实体 454 进行通信。
     处理器 440 还耦合到存储计算机 402 的操作系统 (OS)444 的存储器 442。如图所 示, 存储器 442 也可以存储 TCG 软件栈 446(TSS), 其处理发送到与处理器 440 耦合的可信平 台模块 (TPM)420 的请求。
     TPM 420 被配置为提供密码功能, 比如用于数字签名和用于加密的 RSA 非对称算 法、 SHA-1 散列法、 基于散列的消息认证码 (HMAC) 功能、 安全存储、 随机数生成或其他功能。 TPM 420 是使用软件、 固件和 / 或硬件实现的。图 4 中所示的 TPM 组件已被一般化, 但不是 全部包括的。TPM 架构和功能也可能如可信计算组织 (TCG) 授权的那样随时间改变。
     如图 4 所示, TPM 420 包括与处理器 440 进行通信的输入 / 输出 (I/O) 接口 422。 I/O 接口 422 耦合到其他 TPM 组件, 比如密码服务 424、 随机数源 426、 非对称算法 428、 存储 装置 430 和平台配置寄存器 (PCR)432。 所述密码服务 424 支持诸如散列法、 数字签名、 加密 和解密之类的功能。所述随机数源 426 生成用于密码服务 424 的随机数。例如, 在一些实 施例中, 密码服务 424 使用随机数来生成加密密钥。非对称算法 428 使得 TPM 420 能够执 行非对称密钥操作。存储装置 430 安全地存储 TPM 420 保护的秘密 ( 例如, 加密密钥或其 他数据 )。PCR 432 存储关于计算机 402 当前状态的信息。例如, 在一些实施例中, PCR 432存储与计算机 402 有关的各个完整性测量以及完整性测量序列。
     BIOS 410 包括 TPM 接口 414 以及本地实体接口 416 和远程实体接口 418。BIOS 410 还包括易失性私有存储装置 412, 其可以用于在计算机是活动的同时而不是在断电之 后存储诸如一次一密 (OTP) 数据和 / 或与 TPM 420 共享的秘密之类的秘密。如本文所述, 所述 TPM 接口 414 实现 BIOS 410 与 TPM 420 之间的安全通信, 而管理应用 419 实现 BIOS 410 与 TPM 420 之间的非安全通信。
     在至少一些实施例中, 所述 TPM 接口 414 包括安全认证方案, 该方案如果成功将使 得 BIOS 410 能够选择性地使用 TPM 420 的密码功能以及经由 TPM 420 提供的非易失性存 储功能。在成功认证 BIOS 410 后, 所述本地实体接口 416 可以经由 TPM 接口 414 和管理应 用 419 使用 TPM 420 的密码功能以实现 BIOS 410 与本地实体 450 之间的安全本地通信。 在 至少一些实施例中, 所述安全本地通信基于数字签名 ( 例如, RSA 签名方案 )。换言之, BIOS 410 与本地实体 450 之间传送的消息可以被签名以指示所述消息的源。 如果从 BIOS 410 传 送到本地实体 450( 或反之亦然 ) 的消息未被签名或所述签名是无效的, 则所述消息不被信 任并且相应地被处理。
     在至少一些实施例中, 将 BIOS 秘密存储在经由 TPM 420 访问的非易失性存储装置 中涉及 TPM 420 中的 “sysSRK” 存储密钥。所述 sysSRK 与现有的存储根密钥 (SRK) 一致 (congruent)。在至少一些实施例中, 所述 sysSRK 被存储在 TPM 的非易失性安全存储器中 并且是单独的系统保护存储 (SPS) 架构的根。所述 BIOS 410 也可以在单独的 SPS 层级中 或在正常的 TPM 保护的存储层级中创建其他密钥。在这两种情况中的任意一种情况下, 所 述密钥可以基于 TCG 规范而被存储为加密二进制大对象。所述 BIOS 410 可以根据特定需 求将加密二进制大对象存储在任何便利的存储器位置中, 所述特定需求比如在平台的引导 循环的特定时段期间访问该位置 ( 例如, 可能期望在引导循环中较早地访问 )。 在至少一些 实施例中, 所述 sysSRK 对计算机 402 可用, 不管 TPM 420 是自有的、 被激活的还是被启用。 利用所述 sysSRK, 所述 BIOS 410 可以建立 SPS 层级并且利用多种类型的访问控制存储加密 的数据。例如, 可以使用口令、 PCR 寄存器和位置 (locality) 建立密码 HMAC 挑战。
     所述 BIOS 410 可以包括指示何时不需要创建新的 sysSRK 的标志或数据结构。 例如, 如果在先前的引导循环中创建了 sysSRK, 则可以使所述标志有效。为了创建新的 sysSRK, 所述 BIOS 410 将 sysSRK 创建命令发送给 TPM 420。所述 sysSRK 创建命令可以由 TPM 420 基于 sysAuth 的值和 / 或位置进行认证。在这两种情况的任一种情况下, 用于新 sysSRK 密钥的授权协议基于 sysAuth 的值。
     定义 :
     本文和权利要求中所使用的下面的词语具有以下定义 :
     术语 “自动化的” 或 “自动地” ( 及其类似变化 ) 意指使用计算机和 / 或机械 / 电 设备控制装置、 系统和 / 或过程的操作, 而无需人为干预、 观察、 努力和 / 或决策。
     本文所使用的 “证明” 是保证信息准确性的过程。例如, 外部实体可以证明被屏蔽 位置、 受保护的能力和信任的根。平台可以证明其对影响平台的完整性 ( 可信任性 ) 的平 台特性的描述。这两种形式的证明都需要证明实体的可靠证据。
     本文所使用的 “二进制大对象” 是由 TPM 生成的加密数据 ( 用于受保护存储或用 于将上下文保存在 TPM 外面 )。本文所使用的 “BIOS” 意指由计算机在最初通电时执行的固件代码并且用于识别 和启动组成硬件 ( 比如硬盘驱动器、 软盘、 CD、 TPM 等 )。在引导期间, 所述 BIOS 准备计算 机, 因此存储在各种介质上的其他软件程序可以加载、 执行并且承担对计算机的控制。 所述 BIOS 也可以是嵌入在芯片上的识别和控制构成计算机的各种设备的编码程序。
     本文所使用的 “固件” 是嵌入在诸如微控制器之类的硬件设备中的或在闪速 ROM 上提供的或作为能够被用户上载到现有硬件上的二进制镜像文件提供的计算机程序。
     本文所使用的 “平台” 是提供服务的资源的集合。
     本文所使用的 “SRK” 或 “存储根密钥” 是与 TPM 的保护存储功能相关联的密钥层 级的根密钥 ; 在 TPM 内生成的不可移植的密钥。
     本文所使用的 “TPM” 或 “可信平台模块” 是根据在 TCG 可信平台模块规范中定义的 规范实现的密码处理器。TPM 提供各种功能, 比如安全生成密码密钥、 远程证明、 密封存储、 绑定以及硬件随机数发生器。
     在一个示范性实施例中, 本文所讨论的一个或多个方框或步骤是自动化的。换言 之, 装置、 系统和方法自动地运行 (occur)。
     根据本发明的示范性实施例的方法被提供为示例并且不应当被解释为限制本发 明的范围内的其他实施例。例如, 流程图中的方框或数字 ( 比如 (1)、 (2) 等 ) 不应当被解 释为必须以特定的顺序来进行的步骤。附加的方框 / 步骤可以被添加, 一些方框 / 步骤可 以删除, 或者方框 / 步骤的顺序可以改变并且仍然在本发明的范围内。而且, 不同附图内所 讨论的方法或步骤可以被添加到其他附图中的步骤方法或与之交换。而且, 特定的数字数 据值 ( 比如特定的数量、 数字、 类别等 ) 或其他特定信息应当被解释为说明性的以用于讨论 示范性实施例。这种特定信息不是被提供用于限制本发明。
     在根据本发明的各种实施例中, 实施例被实现为方法、 系统和 / 或装置。作为一个 示例, 示范性实施例和与其相关的步骤被实现为用以实现本文所描述的方法的一个或多个 计算机软件程序。所述软件被实现为一个或多个模块 ( 也被称为代码子例程, 或者在面向 对象的编程中被称为 “对象” )。所述软件的位置对于各种可替代实施例而言是不同的。软 件编程代码例如由计算机或服务器的一个或多个处理器从诸如 CD-ROM 驱动器或硬盘驱动 器之类的某些类型的长期存储介质中访问。 所述软件编程代码被包括或存储在与数据处理 系统一起使用的多种已知介质的任一种上或存储在任意存储器设备中, 诸如半导体设备、 磁设备和光学设备 ( 包括盘、 硬盘驱动器、 CD-ROM、 ROM 等 )。所述代码分布在这样的介质 上, 或从一个计算机系统的存储器或存储装置通过某类型的网络分发到其他计算机系统的 用户以供这样的其他系统的用户使用。可替代地, 所述编程代码被包括在存储器中并且由 处理器使用总线访问。用于将软件编程代码包含在存储器中、 物理介质上和 / 或将软件代 码经由网络进行分发的技术和方法是众所周知的并且本文将不会进一步讨论。
     上述讨论旨在说明本发明的原理和各种实施例。对于本领域技术人员而言, 一旦 完全理解了上述公开, 多种变形和修改将变得显然。下面的权利要求意欲被解释为包含所 有这样的变形和修改。

将密码模块绑定到平台.pdf_第1页
第1页 / 共13页
将密码模块绑定到平台.pdf_第2页
第2页 / 共13页
将密码模块绑定到平台.pdf_第3页
第3页 / 共13页
点击查看更多>>
资源描述

《将密码模块绑定到平台.pdf》由会员分享,可在线阅读,更多相关《将密码模块绑定到平台.pdf(13页珍藏版)》请在专利查询网上搜索。

1、10申请公布号CN101983375A43申请公布日20110302CN101983375ACN101983375A21申请号200880128460522申请日20080402G06F11/30200601G06F11/0020060171申请人惠普开发有限公司地址美国德克萨斯州72发明人W易卜拉欣D诺伊费尔德G普劳德勒74专利代理机构中国专利代理香港有限公司72001代理人李娜王洪斌54发明名称将密码模块绑定到平台57摘要一个实施例是具有固件的计算机系统,该固件与密码协处理器共享秘密以确定所述密码协处理器是否已经被篡改或从所述计算机系统中移除。85PCT申请进入国家阶段日201009308。

2、6PCT申请的申请数据PCT/US2008/0590932008040287PCT申请的公布数据WO2009/123631EN2009100851INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书6页附图4页CN101983377A1/2页21一种计算机平台,包括处理器;耦合到所述处理器的密码协处理器;以及基本输入/输出系统BIOS,其耦合到所述处理器以建立与所述密码协处理器的安全关系并且确定所述密码协处理器是否已被篡改或已从所述计算机平台中移除。2权利要求1的计算机平台,其中所述密码协处理器逻辑地被双向绑定到所述计算机平台,并且所述密码协处理器存储与所述BIOS商。

3、定的共享秘密。3权利要求1的计算机平台,其中当所述密码协处理器启动时,所述BIOS检查TPM标志以检测所述密码协处理器是否已被篡改或已从所述计算机平台中移除。4权利要求1的计算机平台,其中所述密码协处理器确定是否从所述BIOS发送具有正确授权值的正确启动命令。5权利要求1的计算机平台,其中当所述密码协处理器从BIOS接收到具有用于控制所述密码协处理器中的资源的不正确BINDAUTH值的启动命令时,所述密码协处理器确定正在发生安全攻击。6权利要求1的计算机平台,其中当所述密码协处理器已被篡改或从所述计算机平台中移除时,所述密码协处理器被重置为出厂默认值。7权利要求1的计算机平台,其中所述BIOS。

4、将启动命令发到所述密码协处理器以认证所述计算机平台,如果所述密码协处理器验证所述启动命令包括正确的授权,则所述启动命令将所述计算机平台从初始环境转换到受限操作状态。8一种具有用于使得计算机执行方法的指令的有形计算机可读存储介质,所述方法包括在密码协处理器与计算机平台中的固件之间建立共享秘密以将所述密码协处理器绑定到所述计算机平台并且确定所述密码协处理器何时已被篡改或从所述计算机平台中移除。9权利要求8的有形计算机可读存储介质,进一步包括,设置标志以指示所述密码协处理器被从所述计算机平台移除或被篡改。10权利要求8的有形计算机可读存储介质,进一步包括,当所述密码协处理器被插入到不正确的计算机平台。

5、时清除所述密码协处理器。11权利要求8的有形计算机可读存储介质,进一步包括,使用基本输入/输出系统BIOS检测所述密码协处理器何时被从计算机平台移除或被篡改。12权利要求8的有形计算机可读存储介质,进一步包括,使用由所述密码协处理器提供的对称密钥加密和解密以允许在可信平台模块TPM与所述计算机平台之间的物理绑定和密码绑定二者。13权利要求8的有形计算机可读存储介质,进一步包括,提供所述共享秘密给所述计算机平台中的基本输入/输出系统BIOS以确定所述密码协处理器是否已被篡改或从所述计算机平台中移除。14权利要求8的有形计算机可读存储介质,进一步包括,确定在所述密码协处理器的启动期间具有正确授权值。

6、的正确命令是否被从所述固件发送到所述密码协处理器。15权利要求8的有形计算机可读存储介质,进一步包括,在检测到所述密码协处理器权利要求书CN101983375ACN101983377A2/2页3已被篡改或从所述计算机平台移除后将所述密码协处理器恢复到默认值。16一种计算机系统,包括处理器;耦合到所述处理器的密码协处理器;以及耦合到所述处理器的固件,其与所述密码协处理器共享秘密,从而将所述密码协处理器与所述计算机系统绑定并且确定所述密码协处理器是否已被篡改或从所述计算机系统中移除。17权利要求16的计算机系统,其中所述密码协处理器是可信平台模块TPM。18权利要求16的计算机系统,其中所述密码协。

7、处理器在引导循环期间在系统存储根密钥SYSSRK下存储密钥叶子,其使得所述固件能够检测所述密码协处理器何时已被篡改或从所述计算机系统中移除。19权利要求16的计算机系统,其中所述秘密在所述固件和所述密码协处理器之间建立相互安全的关系并且向所述固件验证所述密码协处理器没有被篡改或没有被从所述计算机系统中移除。20权利要求16的计算机系统,其中在所述计算机系统中的基本输入/输出系统BIOS确定所述密码协处理器是否已被篡改或从所述计算机系统中移除之后,所述密码协处理器向所述计算机系统提供密码功能。权利要求书CN101983375ACN101983377A1/6页4将密码模块绑定到平台背景技术0001。

8、密码CRYPTOGRAPHIC协处理器执行若干个功能,比如生成加密密钥、存储秘密、加密数据、解密数据、对数据签名和验证签名。这种处理器对于计算机安全而言正变得日益重要。0002为了提供对计算的信任,可信计算组织TCG开发了可信平台模块TPM,其提供用于可以存储安全信息的安全密码处理器的规范。TPM提供各种功能,比如安全生成密码密钥、远程证明、密封存储、绑定和硬件随机数发生器。0003所述TCG规范要求TPM与该TPM所附接到的母板之间的某种形式的绑定。焊接是将TPM绑定到母板的一种方式。然而,这种形式的物理绑定限制了TPM的使用并且给销售商与制造商造成供应链问题。附图说明0004图1示出根据本。

9、发明的示范性实施例的用于初始化TPM的流程图。0005图2示出根据本发明的示范性实施例的用于添加叶子密钥的树形图。0006图3示出根据本发明的示范性实施例的用于验证TPM的流程图。0007图4示出根据本发明的实施例的计算机系统。具体实施方式0008根据本发明的示范性实施例针对用于通过密码方法将可信平台模块TPM逻辑地绑定到诸如印刷电路板PCB之类的平台的系统和方法。一个实施例使得能够将分立的TPM绑定到母板。在母板与TPM之间提供双向绑定。TPM与母板之间的共享秘密连同其他参数一起用于确保所述双向绑定。0009示范性实施例提供TPM与所述平台之间的绑定,使得该TPM可以检测到何时它正被用在错误。

10、的平台上。而且,实施例使得所述平台能够检测到TPM在正确的平台中并且能够检测到何时TPM已经被移除和/或被篡改TAMPERWITH。示范性实施例可以与以多种方式物理地绑定到所述平台的TPM一起使用,所述方式比如焊接到所述平台或利用安全的插座绑定。将TPM逻辑地绑定到特定平台为TPM和相关的计算设备提供了另一个安全层。0010在一个实施例中,TPM保持或存储与固件或基本输入/输出系统BIOS商定的秘密。当TPM启动时,BIOS基于所述共享秘密的有效性或正确性检查或验证是否安装了正确的TPM。TPM也检查或验证是否已经发送了具有正确的授权值的正确的启动命令。在一个实施例中,该授权值与使用SYSSR。

11、K密钥层级HIERARCHY的SYSAUTH相同。作为示例,在2006年7月27日提交的序列号为11/493,972的题为“METHODSANDSYSTEMSFORUTILIZINGCRYPTOGRAPHICFUNCTIONSOFACRYPTOGRAPHICCOPROCESSOR”的且通过引用合并于此的美国专利申请中描述了这种授权。0011如果TPM检测到它接收了具有错误BINDAUTH的启动命令,则TPM知道它正受到攻击并采取适当的动作。这些动作可以包括重置所述SRK、有效地将TPM重置为出厂默认值说明书CN101983375ACN101983377A2/6页5MANUFACTUREDEFA。

12、ULT。TPM还将设置标志FLAG比如,攻击标志。同样地,当在原始平台中更换TPM时,BIOS将会知道TPM已经被篡改并且可以采取由组织策略定义的适当的措施。0012一个实施例使用所述SYSSRK来将共享秘密保持在其树下。所述BIOS也存储或维护该秘密。在一个实施例中,所述共享密钥在BIOS中不是保密的意味着BIOS镜像可被转储DUMP。然而,共享秘密的使用对攻击者而言增加了另一复杂度。攻击者现在将不得不移除硬盘驱动器、转储BIOS、移除TPM以及将TPM安装在将同样的PCR测量扩展为原始系统的系统中,以便能够攻击所述系统。0013在一个实施例中,CPU序列号和芯片组连同特殊总线循环一起被使用。

13、。这样,所述TPM绑定包括CPU序列号。同时,所述序列号被保密并且不用于侵犯用户的隐私。0014示范性实施例使得TPM能够在子卡上实现。这消除了对具有两个单独的SKU即,用作唯一标识符的库存单元的需要,并且去除了维持两个单独的BIOS树的需要。示范性实施例进一步使得TPM在被插在错误平台之后能够被清除CLEAR,并且使得销售商或制造商能够将计算机系统运送到具有TPM销售限制的地理区域。而且,示范性实施例消除了用于物理地将TPM绑定到所述平台的机械绑定铆钉RIVET的成本。示范性实施例还不要求在所述BIOS或TPM固件中的复杂编码并且使得BIOS能够检测到何时TPM已被移除或被篡改。0015图1。

14、示出根据本发明的示范性实施例的用于初始化TPM的流程图。0016根据方框100,所述计算机首先被通电。在通电期间,根据方框110,BIOS引导。BIOS识别计算机中包括TPM的硬件。该TPM可以利用焊接、具有防篡改移除的插座或其他物理绑定形式物理地连接到所述计算机例如,连接到母板或其他PCB。0017根据方框120,BIOS查询TPM。例如,所述BIOS发送查询以确定是否已经存在系统SRKSYSSRK,如方框130所示。如果该问题的答案是“是”,则流程前进到方框150,其中在所述SYSSRK下添加叶子密钥。如果该问题的答案是“否”,则流程前进到方框140并且创建所述SYSSRK。0018在添加。

15、了所述叶子密钥之后,流程前进到方框160,其中TPM经由创建BINDAUTH的TPM_CREATEBINDAUTH命令而被进一步初始化,该BINDAUTH是在后续引导循环中要与修改的TPM_STARTUP命令一起使用的秘密共享值。0019流程然后前进到方框170,其中所述BIOS保存方框160中创建的所述BINDAUTH。各种机制或技术可以用于保存所述BINDAUTH。0020在计算机启动期间,所述BIOS发布TPM_INIT命令以初始化TPM。在个人计算机PC上,该命令经由LPC总线到达TPM,并且通知TPM所述平台正在执行引导过程。TPM_INIT将TPM置于其中其等待命令TPM_STAR。

16、TUP该命令指定了所需的初始化类型的状态中。0021图2示出驻留在TPM上的存储根密钥SRK220和系统存储根密钥210的树层级。在一个示范性实施例中,所述SRK和SYSSRK是2048位RSA密钥,其在TPM密钥层级的顶部。0022所述系统存储根密钥210进一步包括例如两个密钥240和按照图1的方框150添加的系统叶子密钥230。所述存储根密钥220其已经是TCG规范的一部分进一步包括例如密钥270或“用户”叶子密钥260。说明书CN101983375ACN101983377A3/6页60023两个对象之间的每条线表示较低的对象被其上面的对象其父亲的密钥包装WRAP。为了解包UNWRAP任何。

17、授权数据对象,必须加载适当的叶子密钥。在一个实施例中,所述系统叶子密钥230在TPM中以软件生成。0024图3示出根据本发明的示范性实施例的用于验证TPM的流程图。0025根据方框300,所述计算机首先被通电。在通电期间,根据方框310,BIOS引导。然后所述BIOS和TPM开始验证或确认过程以确定正确的TPM是否被安装且没有受到损害,例如遭受先前的攻击或被安装在正确的平台上。0026根据方框320,所述BIOS向TPM发出TPM_STARTUPBINDAUTH。根据方框330,TPM通过检查TPM_STARTUP命令的BINDAUTH参数确定所述TPM_STARTUP命令是否来自认证的平台。。

18、如果该问题的答案是“是”,则TPM已经验证所述平台是可靠的绑定的平台并且流程前进到方框340。这里,所述启动命令是由绑定的平台发出的,并且根据方框350,启动序列正常进行。0027所述TPM_STARTUP是在从初始环境到受限操作状态的转换期间可用的命令。STARTUP启动将TPM从初始化状态转换到操作状态。如果启动命令不包括正确的授权,则所述TPM将不会转换到所述操作状态。自然地,如果所述TPM不具有授权值,则所述TPM不会预期TPM_STARTUP被授权并且所述BIOS可以继续绑定阶段,其中它创建用于在后续引导循环上发送授权的TPM_STARTUP命令的BINDAUTH。0028如果所述问。

19、题的答案是“否”,则所述TPM没有从绑定的平台接收到所述命令并且流程前进到方框360。这里,所述TPM未被插在所述绑定平台中。作为示例,如果所述TPM受到攻击,则该情况将会发生,意味着所述TPM从“绑定的”平台中被移除并被插在不知道BINDAUTH的新平台中。根据方框370,由于所述TPM未被插在有效的平台中,所以进入攻击模式。0029一旦在攻击模式中,各种校正的或保护的动作中的一个或多个可能发生,如方框380所示,比如将TPM重置为清除了所述SRK和其层级的出厂默认值。例如,如果所述平台未被认证,则所述TPM被清除并且返回到出厂默认值。作为示例,所述清除过程使所述SRK无效。一旦被无效,使用。

20、所述SRK存储的所有信息现在不可用。所述无效并不改变使用该SRK的二进制大对象BLOB,而是在所述SRK无效后无法解密所述二进制大对象。0030根据本发明的实施例用在多种系统、方法和装置中或包括多种系统、方法和装置。图4示出作为计算机系统400的示范性实施例,该计算机系统400是或使用根据本发明的示范性实施例的计算机、方法、流程图和/或各方面的一个或多个。0031根据本发明的实施例不限于任何特定类型或数量的计算机系统。所述计算机系统例如包括各种便携式和非便携式计算机和/或电子设备。示范性计算机系统包括但不限于,计算机便携式和非便携式、服务器、大型计算机MAINFRAMECOMPUTER、分布式。

21、计算设备、膝上型计算机以及其他电子设备和系统,无论这样的设备和系统是便携式的还是非便携式的。0032本发明的实施例使得诸如基本输入/输出系统BIOS系统FW或UEFI之类的平台实体能够选择性地使用诸如可信平台模块TPM之类的密码协处理器的密码功能。例如,平台BIOS可以使用TPM的数字签名验证功能以确保BIOSFLASH镜像是可靠的。平台BIOS也可以使用TPM的RSA算法来包装WRAP对称密钥以在所述BIOS与操作系统组件之间安说明书CN101983375ACN101983377A4/6页7全地交换所述对称密钥。平台BIOS也可以使用TPM的对称密钥加密和解密以安全地加密和解密在BIOS与操。

22、作系统之间传送的数据。为了确保TPM的密码功能仅仅对授权的实体可访问,本发明的实施例实现了至少一个认证方案。如果平台实体或平台实体的命令被成功认证,则使得所述TPM的密码功能对于该平台实体可用。如果认证失败,则所述TPM的密码功能对该平台实体是不可用的。在至少一些实施例中,不同的TPM功能选择性地对不同的平台实体可用。因此,在成功认证后,平台实体可以被授权使用一些TPM功能而不能使用其他功能。0033如图4所示,系统400包括优选地经由网络452耦合到至少一个远程实体454的计算机402。该计算机402可以是例如,服务器、台式计算机、膝上型计算机或移动设备。计算机402包括耦合到至少一个本地实。

23、体450的处理器440。如本文所使用的“本地实体”是指计算机402内部的硬件/固件/软件实体,并且“远程实体”是指计算机402外部的硬件/固件/软件实体。本地实体的示例包括但不限于,操作系统和外设,比如智能卡读取器、硬盘驱动器、网络控制器和图形控制器。远程实体的示例包括但不限于,提供BIOS升级的服务器或请求关于BIOS的版本的信息的对等计算机。0034如图所示,处理器440耦合到网络接口448。网络接口444可以采取以下形式调制解调器、调制解调器组、以太网卡、通用串行总线USB接口卡、串行接口、令牌环卡、光纤分布式数据接口FDDI卡、无线局域网WLAN卡、无线电收发器卡比如码分多址CDMA和。

24、/或全球移动通信系统GSM无线电收发器卡,或其他网络接口。经由网络接口448,处理器440能够连接到网络452并与之通信,网络452可以表示因特网、局域网LAN或广域网WAN。利用这样的网络连接,预期所述BIOS410经由处理器440可以在与远程实体454通信的过程中从网络接收信息,或可以向网络输出信息。0035如图4所示,处理器440也可以访问基本输入/输出系统BIOS410,基本输入/输出系统BIOS410可以实现为例如芯片组例如,“南桥”或其他模块的一部分。示范性实施例使得BIOS410或另一个平台实体能够安全地与本地实体450和/或远程实体454进行通信。0036处理器440还耦合到存。

25、储计算机402的操作系统OS444的存储器442。如图所示,存储器442也可以存储TCG软件栈446TSS,其处理发送到与处理器440耦合的可信平台模块TPM420的请求。0037TPM420被配置为提供密码功能,比如用于数字签名和用于加密的RSA非对称算法、SHA1散列法、基于散列的消息认证码HMAC功能、安全存储、随机数生成或其他功能。TPM420是使用软件、固件和/或硬件实现的。图4中所示的TPM组件已被一般化,但不是全部包括的。TPM架构和功能也可能如可信计算组织TCG授权的那样随时间改变。0038如图4所示,TPM420包括与处理器440进行通信的输入/输出I/O接口422。I/O接。

26、口422耦合到其他TPM组件,比如密码服务424、随机数源426、非对称算法428、存储装置430和平台配置寄存器PCR432。所述密码服务424支持诸如散列法、数字签名、加密和解密之类的功能。所述随机数源426生成用于密码服务424的随机数。例如,在一些实施例中,密码服务424使用随机数来生成加密密钥。非对称算法428使得TPM420能够执行非对称密钥操作。存储装置430安全地存储TPM420保护的秘密例如,加密密钥或其他数据。PCR432存储关于计算机402当前状态的信息。例如,在一些实施例中,PCR432说明书CN101983375ACN101983377A5/6页8存储与计算机402有。

27、关的各个完整性测量以及完整性测量序列。0039BIOS410包括TPM接口414以及本地实体接口416和远程实体接口418。BIOS410还包括易失性私有存储装置412,其可以用于在计算机是活动的同时而不是在断电之后存储诸如一次一密OTP数据和/或与TPM420共享的秘密之类的秘密。如本文所述,所述TPM接口414实现BIOS410与TPM420之间的安全通信,而管理应用419实现BIOS410与TPM420之间的非安全通信。0040在至少一些实施例中,所述TPM接口414包括安全认证方案,该方案如果成功将使得BIOS410能够选择性地使用TPM420的密码功能以及经由TPM420提供的非易失。

28、性存储功能。在成功认证BIOS410后,所述本地实体接口416可以经由TPM接口414和管理应用419使用TPM420的密码功能以实现BIOS410与本地实体450之间的安全本地通信。在至少一些实施例中,所述安全本地通信基于数字签名例如,RSA签名方案。换言之,BIOS410与本地实体450之间传送的消息可以被签名以指示所述消息的源。如果从BIOS410传送到本地实体450或反之亦然的消息未被签名或所述签名是无效的,则所述消息不被信任并且相应地被处理。0041在至少一些实施例中,将BIOS秘密存储在经由TPM420访问的非易失性存储装置中涉及TPM420中的“SYSSRK”存储密钥。所述SYS。

29、SRK与现有的存储根密钥SRK一致CONGRUENT。在至少一些实施例中,所述SYSSRK被存储在TPM的非易失性安全存储器中并且是单独的系统保护存储SPS架构的根。所述BIOS410也可以在单独的SPS层级中或在正常的TPM保护的存储层级中创建其他密钥。在这两种情况中的任意一种情况下,所述密钥可以基于TCG规范而被存储为加密二进制大对象。所述BIOS410可以根据特定需求将加密二进制大对象存储在任何便利的存储器位置中,所述特定需求比如在平台的引导循环的特定时段期间访问该位置例如,可能期望在引导循环中较早地访问。在至少一些实施例中,所述SYSSRK对计算机402可用,不管TPM420是自有的、。

30、被激活的还是被启用。利用所述SYSSRK,所述BIOS410可以建立SPS层级并且利用多种类型的访问控制存储加密的数据。例如,可以使用口令、PCR寄存器和位置LOCALITY建立密码HMAC挑战。0042所述BIOS410可以包括指示何时不需要创建新的SYSSRK的标志或数据结构。例如,如果在先前的引导循环中创建了SYSSRK,则可以使所述标志有效。为了创建新的SYSSRK,所述BIOS410将SYSSRK创建命令发送给TPM420。所述SYSSRK创建命令可以由TPM420基于SYSAUTH的值和/或位置进行认证。在这两种情况的任一种情况下,用于新SYSSRK密钥的授权协议基于SYSAUTH。

31、的值。0043定义0044本文和权利要求中所使用的下面的词语具有以下定义0045术语“自动化的”或“自动地”及其类似变化意指使用计算机和/或机械/电设备控制装置、系统和/或过程的操作,而无需人为干预、观察、努力和/或决策。0046本文所使用的“证明”是保证信息准确性的过程。例如,外部实体可以证明被屏蔽位置、受保护的能力和信任的根。平台可以证明其对影响平台的完整性可信任性的平台特性的描述。这两种形式的证明都需要证明实体的可靠证据。0047本文所使用的“二进制大对象”是由TPM生成的加密数据用于受保护存储或用于将上下文保存在TPM外面。说明书CN101983375ACN101983377A6/6页。

32、90048本文所使用的“BIOS”意指由计算机在最初通电时执行的固件代码并且用于识别和启动组成硬件比如硬盘驱动器、软盘、CD、TPM等。在引导期间,所述BIOS准备计算机,因此存储在各种介质上的其他软件程序可以加载、执行并且承担对计算机的控制。所述BIOS也可以是嵌入在芯片上的识别和控制构成计算机的各种设备的编码程序。0049本文所使用的“固件”是嵌入在诸如微控制器之类的硬件设备中的或在闪速ROM上提供的或作为能够被用户上载到现有硬件上的二进制镜像文件提供的计算机程序。0050本文所使用的“平台”是提供服务的资源的集合。0051本文所使用的“SRK”或“存储根密钥”是与TPM的保护存储功能相关。

33、联的密钥层级的根密钥;在TPM内生成的不可移植的密钥。0052本文所使用的“TPM”或“可信平台模块”是根据在TCG可信平台模块规范中定义的规范实现的密码处理器。TPM提供各种功能,比如安全生成密码密钥、远程证明、密封存储、绑定以及硬件随机数发生器。0053在一个示范性实施例中,本文所讨论的一个或多个方框或步骤是自动化的。换言之,装置、系统和方法自动地运行OCCUR。0054根据本发明的示范性实施例的方法被提供为示例并且不应当被解释为限制本发明的范围内的其他实施例。例如,流程图中的方框或数字比如1、2等不应当被解释为必须以特定的顺序来进行的步骤。附加的方框/步骤可以被添加,一些方框/步骤可以删。

34、除,或者方框/步骤的顺序可以改变并且仍然在本发明的范围内。而且,不同附图内所讨论的方法或步骤可以被添加到其他附图中的步骤方法或与之交换。而且,特定的数字数据值比如特定的数量、数字、类别等或其他特定信息应当被解释为说明性的以用于讨论示范性实施例。这种特定信息不是被提供用于限制本发明。0055在根据本发明的各种实施例中,实施例被实现为方法、系统和/或装置。作为一个示例,示范性实施例和与其相关的步骤被实现为用以实现本文所描述的方法的一个或多个计算机软件程序。所述软件被实现为一个或多个模块也被称为代码子例程,或者在面向对象的编程中被称为“对象”。所述软件的位置对于各种可替代实施例而言是不同的。软件编程。

35、代码例如由计算机或服务器的一个或多个处理器从诸如CDROM驱动器或硬盘驱动器之类的某些类型的长期存储介质中访问。所述软件编程代码被包括或存储在与数据处理系统一起使用的多种已知介质的任一种上或存储在任意存储器设备中,诸如半导体设备、磁设备和光学设备包括盘、硬盘驱动器、CDROM、ROM等。所述代码分布在这样的介质上,或从一个计算机系统的存储器或存储装置通过某类型的网络分发到其他计算机系统的用户以供这样的其他系统的用户使用。可替代地,所述编程代码被包括在存储器中并且由处理器使用总线访问。用于将软件编程代码包含在存储器中、物理介质上和/或将软件代码经由网络进行分发的技术和方法是众所周知的并且本文将不会进一步讨论。0056上述讨论旨在说明本发明的原理和各种实施例。对于本领域技术人员而言,一旦完全理解了上述公开,多种变形和修改将变得显然。下面的权利要求意欲被解释为包含所有这样的变形和修改。说明书CN101983375ACN101983377A1/4页10图1说明书附图CN101983375ACN101983377A2/4页11图2说明书附图CN101983375ACN101983377A3/4页12图3说明书附图CN101983375ACN101983377A4/4页13图4说明书附图CN101983375A。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 物理 > 计算;推算;计数


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1