专利名称:可信平台模块管理系统和方法
可信平台模块管理系统和方法
背景技术:
可信计算组(TCG)发展并i^a硬件使能可信运算和安全技术的工业标准
规范,例如可信平台模块(TPM)。 TPM使数字密钥、证书和密码能够安全存 储,并且更加不易穀嗽件和硬件攻击。然而,国别的禾口/或其它类型柳蹄何 能禁止使用具有TPM布置其上的计算机系统。尽管计^m系统可被专门制造以 适应和/鹏守这些限制,但是在制^31程及其之后,聽和S郞宗这些专门制造 的计算机系统是昂贵的。
为完全理解本发明及其优势,结合附图参考下列描述,其中 图1是可信平台模块管理系统的一个实施例的示意图; 图2是可信平台模块管理方法的一个实施例的流程图;以及 图3是可信平台模i央管理方法的另一个实施例的流程图。
具体实施例方式
参考图l-3,本发明的优选实施例及其优势肖,得到最佳理解。不同附图的 相似和相应部分用相同的数字5tt^。
图1是可信平台模±央(TPM)管理系统IO的一个实施例的结构图。在图1 所示的实施例中,系统10包括具有TPM 14的计算机系统12,其中TPM 14设 置在主板16上。 一般而言,TPM 14用于存储和报告在系统12的平台18中特 定软件和硬件的测量(完整性度量)值。例如,在一些实施例中,TPM14用来 测量、存储和报告l鹏20和内嵌固件22例如基本输A/输出系统(BIOS) 24 的完整性。然而应该理解的是,TPM 14可被用来存储和报告其它设备和/或 更 件的完整性,以及安全地存储平台信息禾鹏密,例如密码、密钥和证书。计算 机系统12可包括任何类型的运算设备,例如但不限于,台式计^+几、笔记本电 脑、平板电脑、个人数字助理以及任何TPM可存在其上的其它类型的设备。
在图l所示的实施例中,系统12包括至少一个操作系统(OS)30,以及一 个或多个可执行的应用程序32。 OS 30和应用程序32可存储于硬盘20,并被加载到计算机系统12的存储器组件以在其上运行。进一步,主板16被配置为具 有中央处理器(CPU) 40和存储器42。在图l所示的实施例中,存储器包括功 用接口44,该功用接口包括用于编程、配置和减以其他方式控帝U计算机系统12 的各种特征和/或设置的指令集和/或接口。例如,在一些实施例中,功用接口44 在计算机系统12的制造环境中使用,禾B/或由授权实体用于对计算机系统12的 现场更新来配置和/或以其他方式应用对计算机系统12的各禾中设置。然而,应当
理解,不同的应用程序、例程或方法可被用于ies和/或以其他方式控制计^m
系统12的各种操作参数,而功用接口 44可在计^m系统12的制造环境外^ffi。 系统10的实施例使得冑,对TPM 14应用或设定设置,射旨示TPM 14为 或者可用(例如,會詢多由OS 30和/或不同的应用程序32 4顿和/或为其4顿而 访问),或者隐藏(例如,不可用和/或向OS 30报告TPM 14在计#|几系统12 上不存在,以使得OS 30和/鹏用程序32不能容易地访问禾tV或4顿TPM 14)。 在图l所示的实施例中,功用接口44用于与BIOS24交互以应用,禾B/或以其它 方式应用对计算机系统12上的TPM 14的希望的设置(即或者可用或者隐藏)。 举例而言,如果计算机系统12的目的地是没有TPM 14使用限制的国家或者特 定消费者,使用功用接口 44来与BIOS 24交互以将TPM 14的设置应用为可用。 然而,如果计算机系统12的目的地是有TPM4顿限制的国家或者消费者,使 用功用接口 44来与BIOS24交互以将隐藏设置应用到TPM 14,从而使得TPM 14不可用。雌地,如果隐藏或者不可用设置被应用到TPM14, BIOS 24被配 置为,向OS 30报告TPM 14没有位于或没有存在于计算机系统12上。举例而 言,在一些实施例中,BIOS24响应于检测到对TPM14应用了隐藏或者不可用 设置,^f顿高级配置和电源接口 (ACPI)命名空间中报告的状态方法,向OS30 报告TPM14不存在于计算机系统12中。因而,即使TPM14物理上存在于计 #|几系统12中,BIOS 24仍然向OS 30报告TPM 14不存在于计算机系统12中, 而OS 30不会加载任何与访问和/或与TPM 14妊有关的驱动程序。因此,根 据一些实施例,尽管TPM 14物理上存在于计算机系统12中,应用程序32和/ 或OS 30仍不能访问和/或以其他方式使用TPM 14,并且TPM 14的特征/功能 将对计算机系统12的用户隐藏。
在操作上,j,在计算机系统12的制造或构建期间(例如,在计算机系统 12被交货给消费者之前),4顿功用接口44来设置TPM 14的状态为或者隐藏或者可用。在图1所示的实施例中,BIOS24包括存储于它的非易失性存储器中 的隐激可用标志50和状态标志52。隐獻可用标志50用于指示TPM 14的设置 是隐藏还是可用。例如,在一些实施例中,如果隐,用标志50被體为"是", TPM 14的设置就包含隐藏或者不可用设置。相应地,如果隐,用标志50被 i體为"否",TPM 14的设置就包含可用设置。然而,应当理解标志50可用其 它方式设置来指示TPM 14的可用性或不可用性。
状态标志52用于指示是否已fflil功用接口 44选择了 TPM 14的隐藏或可 用设置(例如,选择或设置为隐藏或者可用)。 地,TPM 14的可用设置被 用作默认设置。因此,如果没有使用功用接口 44选择或应用特定设置到TPM 14 , TPM14的设置保持为可用。然而,响应于之后从功用接口44接收到i體TPM 14为隐藏或可用的调用或命令,状态标志52被设置为"是"。状态标志52用于 阻iW应用于TPM14的设置的后续改变。举例而言,响应于从功用接口44接 收到后续的用于施加TPM 14的设置的调用或^^令,BIOS 24确定状态标志52 是否已被设置为"是"。如果状态标志52已被设置为"是",BIOS24拒绝此调 用,禾口/或产生错误消息,因而阻iW应用于TPM14的设置的后续改变。从而, 功用接口 44被优选在计算机系统12的制造或构建期间使用,以将隐藏或可用 设置应用于TPM14,使得一旦应用,之后i5S就不能被消费者轻易地改变。
在计算机系统12的引导期间(例如,响应于开机事件或者从休眠、繊民或 其它类型的节电模式中唤醒的事件),BIOS 24确定隐fi/可用标志50是否被设 置为"是",从而指示TPM14的隐藏或不可用状态设置。在图l所示的实施例 中,TPM 14包括使膨禁用状态设置56和激活/无效状态设置58。在计算机系 统12的制造或构建期间,TPM14通常保持在禁用状态设置56,除非例如,现 场更新或者其它动作需要TPM 14被使能。因此,响应于BIOS 24确定已向TPM 14应用了隐藏设置,如果TPM 14处于使能状态,BIOS 24发出禁用命令和无 效命令给TPM 14,并且发出命令在BIOS 24将计算机系统12的控制转给OS 30 之前锁定TPM 14的状态。因此,系统10的实施例物理禁用TPM 14,并且在 将计^t几系统12的控制转给OS 30之前锁定TPM 14的状态。
进一步,响应于BIOS24确定己向TPM14应用了隐藏设置,BIOS24禁用 和/或以其他方式防止与TPM 14有关的任何TPM菜单数据60的显示。举例而 言,因为TPM14存在于计^m系统12中,BIOS24通常包含提供一个接口,
5来使与TPM 14相关的各种选项和减设置能够被应用或以其他方式配置,比如, 3151 BIOS 24以TPM菜单数据60的形式设定。系统10的实施例响应于检测到 TPM 14的隐藏设置,禁用和/或以其他方式防止TPM菜单数据60的显示。
BIOS 24优选地被配置为,如果TPM 14的设置被设为隐藏,就与OS 30交 互,向OS 30报告在计##1系统12中不存在TPM 14。 ^j列而言,在一些实施 例中,BIOS 24使用将计算机系统12的各种设备的存在和资源通过ACPI命名 空间报告给OS 30的状态方法。BIOS 24 tmt也被配置为,响应于检测到TPM 14 的隐藏设置,向OS 30指示在计^m系统12中没有TPM 14。因此,基于从BIOS 24接收到的指示没有TPM 14的状态报告,OS 30不加载任何与TPM 14相关 的驱动程序,从而防止OS 30和/,用程序32访问禾口/或以其他方式与TPM 14 妊。然而,应当理解,在一些实施例中,BIOS 24被配置为还避免执fi^寺定的 配置设g/请求,禾口/或避免使會树TPM 14的功能和/或〈柳来说必要的特定硬件 资源。
因此,在操作上,功用接口44用于将TPM14的设置应用禾口减以其他方式 指定为隐藏或可用。在所希望的设置被应用和/或以其他方式指定之后,状态标 志52用于指示所希望的设置已经被应用到TPM 14,防止对此设置的后续改变。 因此,在隐藏或可用设置被应用到TPM 14之后,用于改变TPM 14的设置的接 口实质上被锁定了。因此,在操作上,如果隐藏设置已经被应用到TPM14,计 對几系统12的用户或管理员通常不能在之后将TPM 14的设置改M;可用。
图2是TPM管理方法的一个实施例的流程图。该方法从块200开始,其中, 确定计算机系统12的目的地,禾卩/或以其他方式确定要应用到TPM14的设置的 指示。剩列而言,在一些实施例中,在计算机系统12的律隨或构建期间,与特 定计穀几系统12有关的材f賴单或其它类型的制造^it物或部件列表,可能包 括应当为该特定计^m系统12的TPM 14应用隐藏设置的指定或者其它类型的 指示(例如,基于特定计嶽几系统12的目的魁也址,ffl31虚拟件编号或其它部 件列表标志,等等)。然而应当理解的是,不同的方法和/或流程可被用于确定要 对特定计算机系统12应用的TPM 14设置。
在块202,访问计算机系统12的功用接口 44。在块204,功用接口 44向 BIOS 24发送调用或命令以设置TPM 14的状态为隐藏或可用。在判定块206, BIOS 24确定是否状态标志52己设置成"是"。如果状态标志52已设置为"是"(例如,指明TPM 14的隐H/可用设置已被应用或设定),本方法就前輕块208, 其中BIOS 24拒绝调用或命令和/或生成错误信息,从而防止任何对TPM 14设 置的进一步改变。如果在判定块206,确定状态标志52还没有设置成"是",本 方法瑕啭到块210,其中对TPM 14期望的i體被接收。 地,隐激可用标 志50默认设置为"否",从而指明TPM14是可用的。然而应当理解的是,TPM 14的默认设置也可以是其它设置。响应于接收到要应用到TPM 14的设置,在 块212, BIOS 24将隐激可用标志50设置为新的值,并且将状态标志52设置为 "是",从而指明TPM14的设置已经被选择过,然后本方法结束。
图3是TPM管理方法的另一实施例的流程图。该方法从块300开始,其中 计算机系统12被引导(例如,响应于开机事件或者从休眠、睡眠或其它节电模 式中唤醒的事件)。在块302,在开机自检(POST)或BIOS24的其它例程期间, BIOS 24确定TPM 14的隐激可用标志50的状态。在判定块304,确定隐獻可 用标志50是否已被设置为指示TPM 14的隐藏设置。如果隐激可用标志50没 有指示TPM14的隐藏设置,本方法就前进到块306, BIOS 24向OS 30报告在 计算机系统12中存在TPM 14,从而使OS 30能加载与TPM 14相关的驱动程 序,禾口/或访问和与TPM 14交互。如果在判定块304确定隐,用标志50指 示了 TPM 14的隐藏设置,本方法跳转到判定块308,其中BIOS 24确定TPM 14 是否被设置为被使能。如果TPM14当前没有被使能,本方法跳转到块312。如 果TPM 14被设置为被使能,本方法跳转到块310,其中BIOS 24发出禁用命令 和无效命令给TPM 14,从而在物理上使TPM 14禁用和/或无效。
在块312, BIOS 24锁定TPM 14的状态。在块314, BIOS 24禁用和/或以 其它方式防止TPM相关菜单的展示,比如和BIOS 24的设置访问相关的TPM 菜单数据60。在块316,BIOS24向OS 30报告在计算机系统12中没有TPM14。 因此,响应于接收到在计^t几系统12中没有TPM 14的报告,OS 30不加载任 何与TPM 14有关的驱动程序,从而防止对TPM 14的访问和/或使用。
因此,系统10的实施例〗體于计算机系统上的TPM能被设置为隐藏或不 可用,以防止操作系统和/或在计算机系统上驻留的其他应用禾將访问和/或4顿 TPM。进一步,系统10的实施例使得能够为要跨不同市场和/或地理消费者区 域使用的计算机系统(例如,具有TPM的计算机系统)使用特定的主板配置, 同时适应任何TPM相关的限制。
权利要求
1.一种可信平台模块(TPM)管理系统(10),包括具有基本输入/输出系统(BIOS)(24),TPM(14),以及操作系统(30)的计算机系统(12),BIOS(24)被配置为,响应于检测到TPM(14)的不可用状态设置,向操作系统(30)报告在计算机系统(12)中没有TPM(14)。
2. 如权利要求l所述的系统(10),其中BIOS (24)被配置为,将状态标 志(52)设置为指示TPM (14)的状态设置已经被设置。
3. 如权利要求2所述的系统(10),其中BIOS (24)被配置为,如果状态 标志(52)已经被设置,就拒绝设置TPM (14)的状态设置的调用。
4. 如权利要求l所述的系统(10),其中BIOS (24)被配置为,在将计算 机系统(12)的控制转给操作系统(30)之前,锁定TPM (14)的不可用状态 设置。
5. 如权利要求l所述的系统(10),其中BIOS (24)被配置为,响应于检 测到不可用状态设置,禁用TPM (14)菜单数据(60)。
6. —种可信平台模i央(TPM)管理方法,包括响应于检测到TPM (14)的不可用状态设置,从计算机系统(12)的基本 输A/输出系统(BIOS) (24)向操作系统(30)报告,布置于计^t几系统(12) 上的TPM (14)在计算机系统(12)中不存在。
7. 如权利要求6所述的方法,进一步包括,将状态标志(52)设置为指示 TPM (14)的状态设置已经被设置。
8. 如权利要求7所述的方法,进一步包括,如果状态标志(52)己经被设 置,就拒绝设置TPM (14)的状态设置的调用。
9. 如权利要求6所述的方法,进一步包括,基于计^m系统(12)的目的 地,设置不可用^R态设置。
10. 如权利要求6所述的方法,进一步包括,在将计^t几系统(12)的控制. 转给操作系统(30)之前,锁定TPM (14)的不可用状态设置。
全文摘要
一种可信平台模块(TPM)管理系统(10)包括,具有基本输入/输出系统(BIOS)(24),可信平台模块(14),以及操作系统(30)的计算机系统(12),BIOS(24)被配置为,响应于检测到TPM(14)的不可用状态设置,向操作系统(30)报告在计算机系统(12)中没有TPM(14)。
文档编号G06F9/445GK101529379SQ200780038698
公开日2009年9月9日 申请日期2007年10月11日 优先权日2006年10月18日
发明者J·L·蒙香, J·里奥斯, S·H·马迪娜, V·Y·阿利 申请人:惠普开发有限公司