专利名称::对移动可信模块中的平台配置寄存器进行复位的方法和设备的制作方法
技术领域:
:本发明的示例性的和非限制性的实施例一般涉及对例如无线通信系统中的移动可信模块的可信计算、安全和使用。
背景技术:
:该节意在提供在权利要求中涉及的本发明的背景或上下文。这里的描述可包括可执行的概念,但是不是之前已设想或执行的必要的概念。因此,除非在这里进行其它说明,在该节中所描述的不是本申请中的说明书和权利要求的现有技术,并且不因为被包括在该部分而承认其是现有技术。在说明书和/或附图中出现的下列缩写定义如下ASIC专用集成电路DRTM信任动态测量根HW硬件IMA完整性度量架构I/O输入/输出IV初始化矢量MRTM移动远程所有者可信模块MTM移动可信模块OS操作系统PCR平台配置寄存器RIM参考完整性度量RTM测量可信根(root-of-trustformeasurement)Sff软件TCB可信计算基TCG可信计算集TPM可信平台模块TrEE可信执行环境关于MTM可参照“移动可信模块(MTM)-介绍”,Jan-ErikEkberg,MarkkuKylSmpiiii,诺基亚研究中心,NRC-TR-2007-105,2007年11月14日。TPM规范(可信计算组。可信平台模块(TPM)主规范。版本I.2修订版103,2007年7月9日,http://www.trustedcomputinggroup.org/resources/tpm_main_specification)之前介绍了“动态信任根”,意在支持操作系统下的可信管理程序。管理程序基本上是提供虚拟机环境的系统程序。该专用特征的主要功能是外部的,依赖于芯片的触发器对TPMPCR的子集进行复位,将代码(驻留在临时的安全存储位置)发送(launch)到这些PCR的一个中。因此,即使在该事件被触发时该机器已经运行了一段时间,相对于由度量代码(假设为管理程序)进行的计算具有“新的开始”。在过去几年间,研究团体已经发现DRTM技术具有与虚拟化和管理程序无关的许多进一步的使用。在这一点上可参照例如JonathanM.McCune,BryanJ.Parno,AdrianPerrig,MichaelK.Reiter和HiroshiIsozaki,“Flicker:AnExecutionInfrastructureforTCBMinimization”,Eurosys>08:第三届ACMSIGOPS/EuroSys欧洲计算机系统会议2008论文集,第215-328页,纽约,美国,2008。ACM。代码片段可被安全地测量(以及其输入和输出)和独立地执行的概念可被看作为给该系统可信执行环境(TrEE)的方面。即使没有初始化,可在用于凭证计算的单一OS、安全存储器、可信1/0和典型地使用虚拟化、外部智能卡和诸如ARMTrustZone的处理器安全环境实现的其它安全特征中使用虚拟层DRTM。作为概念,DRTM将隔离与硬件支撑的(PCR)复位功能结合。隔离由HW而不是在SW中进行的事实对实现的安全级别具有重要的贡献,尽管在概念上隔离可由其它(either)装置实现。因此,在这里会集中在状态/PCR复位。DRTM的间歇性(所谓的“过山车使用”)对与操作系统状态和/或状态历史无关或有非常弱的关系的服务是非常有用的。例如,假设设备用户需要认证网络或服务,或需要授权购买。服务提供商以及甚至是设备用户可能没有动机将这样的处理与设备状态进行绑定,然而至少用户有动机保护用于认证或授权的凭证(以及因此任何相关的计算,例如密钥(secretkey)参与)。DRTM为此目的提供非常适当的机制。然而,例如,将OS机制与这样的凭证使用进行绑定是不必要的,并最可能增加这种处理的复杂度。从DRTM获益的另一类服务涉及典型地设计为不是不变的而是根据用户需要随意被运行和停止的计算机应用。如果这样的应用定义系统容量或值得关注的特征,通过OS将TPM事件/PCR更新增加到应用运行/终止上,在能够(原理上)进行解析以确定系统当前(应用)状态的完整的TPM证明的帮助下产生事件潜在的无限长的日志,能够将传统的TPM方法具体化。在假设OS已经被安全启动或在可信启动中正确地测量,并用作测量点(所谓测量可信根(RTM)的一部分)时,会发现PCR不能被复位的需求(对于将指示给定配置中的应用状态的那些PCR)是不必要的。DRTM已经提供了用于在TPM域中提供PCR复位的一个(公认的过程消除)方案。
发明内容在本发明的一个示例性方面,提供了一种方法,包括建立和初始化一组平台配置寄存器,其中平台配置寄存器的第一子集被定义为非可复位的,平台配置寄存器的第二子集被定义为可复位的,在一个或多个非可复位平台配置寄存器中存储初始启动系统状态信息,动态地复位由参考完整性度量识别的平台配置寄存器的值以反映由参考完整性度量提供的测量值,以及利用包括来自被复位的平台配置寄存器的动态信息和来自非可复位的平台配置寄存器的系统状态信息的证明响应对证明请求进行响应。在本发明的示例性方面中,提供了一种设备,包括至少一个数据处理器;和包括计算机指令的至少一个程序的至少一个存储器,其中至少一个存储器和计算机指令的至少一个程序被配置为使用至少一个数据处理器使设备至少建立和初始化一组平台配置寄存器,其中平台配置寄存器的第一子集被定义为非可复位的,平台配置寄存器的第二子集被定义为可复位的,在一个或多个非可复位平台配置寄存器中存储初始启动系统状态信息,动态地复位由参考完整性度量识别的平台配置寄存器的值以反映由参考完整性度量提供的测量值,以及利用包括来自被复位的平台配置寄存器的动态信息和来自非可复位的平台配置寄存器的系统状态信息的证明响应对证明请求进行响应。在本发明的另一示例性方面,提供了一种设备,包括用于建立和初始化一组平台配置寄存器的装置,其中平台配置寄存器的第一子集被定义为非可复位的,平台配置寄存器的第二子集被定义为可复位的,用于在一个或多个非可复位平台配置寄存器中存储初始启动系统状态信息的装置,用于动态地复位由参考完整性度量识别的平台配置寄存器的值以反映由参考完整性度量提供的测量值的装置,用于利用包括来自被复位的平台配置寄存器的动态信息和来自非可复位的平台配置寄存器的系统状态信息的证明响应对证明请求进行响应的装置。在本发明的再一示例性方面,提供了包括计算机指令的至少一个程序的至少一个非暂态存储器,计算机指令的至少一个程序由至少一个数据处理器执行以执行包括下列内容的操作建立和初始化一组平台配置寄存器,其中平台配置寄存器的第一子集被定义为非可复位的,平台配置寄存器的第二子集被定义为可复位的,在一个或多个非可复位平台配置寄存器中存储初始启动系统状态信息,动态地复位由参考完整性度量识别的平台配置寄存器的值以反映由参考完整性度量提供的测量值,以及利用包括来自被复位的平台配置寄存器的动态信息和来自非可复位的平台配置寄存器的系统状态信息的证明响应对证明请求进行响应。在结合附图阅读时,本发明的实施例的上述和其它方面在下面的详细描述中会更明显,其中图I描述了可实现本发明的示例性实施例的通用用例架构。图2是示出了移动平台和接入点的简化框图,其中移动平台包括根据本发明的示例性实施例操作的MTM。图3是根据本发明的示例性实施例图示了方法的操作和计算机程序指令的执行结果的逻辑流程图。具体实施例方式因此可能希望提供用于在TCGMTM中对PCR进行复位的用例(真实世界用例)的技术,并进一步将该属性结合到规范中。本发明的示例性实施例包括这些技术。应当明确的是,一些PCR复位特征可以以与DRTM利用TPM发现其“非预期用途”同样的方式有益于移动设备和MTM。关于MTM可以参考例如可信计算组移动可信模块(MTM)规范,版本I.0修订版6,2008年6月26日,和可信计算组,TCG移动参考体系结构规范,版本1.0修订版1,2007年6月12日。可以争论的是,相似的概念可基于“抛弃型(thr0waway)”MTM得出。虽然在原理上这是可行的,但是相对于远程证明该方法是不足的,其中远程证明是任何TPM/MTM活动、至少那些与网络或通信服务相关的活动的基础。作为非限制性的示例,考虑将应用测量为自己的、短暂的MTM的情况,其中MTM很有可能被固定(rooted)在系统MRTM处(在可信的情况下(inatrustsense))。现在,MTM自己可以如所需要的一样“新”,它们各自状态的证明对远程证明人是无痛的。但是,由于这些MTM(以及它们全部现有的实例)可能也必须测量为用于绑定信任的系统MRTM,无限测量链(和相应的证明困难)的问题简单地在系统中移动到另一地点,并且仍需要可复位性特征。MTM不是由HW/SW特征定义,而是由各种信任根定义。对于复位PCR的问题,在不损失一般性的情况下,可假设由RTM处理。由于在许多情况下,大部分简单的“执行前测量”原理必须增加发生的MTM事件更新特征(例如,当应用终止时,或当一些其它内部或外部条件满足时),因此需要一些附加的功能和逻辑。然而,这与在启动过程中如何预期使用TPM/MTM相兼容。例如,在现在的BIOS测量中呈现了当功能被成功运行时向结束增加事件的活动。在一个简单的例示中,对PCR复位的能力以一个MTM的粒度(granularity)来执行。在这种情况下,假设该特定MTM(其上下文)在上层(upper-level)MTM中进行测量,并且在PCR被复位时该测量不会改变。然而,为了证明的目的,对于本地检查员或可能的远程证明人,在该特定MTM中PCR可复位的特征需要成为可视的。根据本发明示例性实施例的一个方面,最有希望的机制使用可用的TPMvl.2命令TMP_RESET_PCR作为起点。如果由固定的PCR属性、源自匹配位置(所需的位置是另一固定的PCR属性)的命令允许,该命令对可复位的PCR的选择进行复位。下面的增加和修改选项可认为在MTM的范围内,确认位置看起来至少已引起第一规范回的问题的事实(稍后分析)。I).在MTM中的verifiedPCR列表可利用MTM_setVerifiedPCRS进行更新的情况下,可以讨论的是同样可复位的PCR:s集合比TPM:s更为动态,其中实际上的可复位PCR列表目前通常由DRTM机制控制(PCR18-24)。一个选择是增加诸如MTM_setResettablePCR的命令。2.尽管可以讨论verified_PCR的列表在远程证明中不是必须需要的(由于PCR表示独立于任何本地接入控制的状态),同样不能是所述复位PCR:s的列表-该信息是相当必要或至少希望成为远程证明的一部分。在TPM中,该信息根据PCR的初始/复位基值进行传送(convey)。该概念可容易地转换到MTM,在TPM的精神中,可将非可复位的PCR在启动时设置为0x000…000,在复位时将可复位的PCR初始化为OxFFF…FFF。这给证明人转达足够的信息以确定PCR是否已经复位。3.从证明人的角度,知道哪个PCR是可复位的没有多大区别,相反重点在于知道哪个PCR已经复位。然而,对于平台所有者,复位的PCR—直是删除历史的方式,至少使提供选择以能够定义非可复位的PCR可取的自变量(argument)。在这一点上,一种选择是不定义具体的resettablePCR矢量,而是说在MTM_incrementBoostrapCounter(作为米用对PCR进行复位的RM证书作为自变量的命令)的精神下完成对PCR进行复位的机制。该逻辑贯彻验证密钥的能力-使RM证书可用于对指定PCR进行复位的权利(条件是给定的系统状态),可由验证密钥结构中的性能比特控制。可选地,RBH正书中的扩展值可用于立即扩展复位PCR,以留下对PCR进行复位的RM证书的持久轨迹(也就是,间接地指示在复位时哪个状态是活动的)。4.以规范(版本1,第6稿)中的下列评论为依据考虑对任何MTMPCR进行复位的选项“然而,在包括核实的PCR时一定不要使用位置。PCR可以是核实的PCR(在MTM_PERMANENT_DATA-verifiedPCR中具有其索引比特集合)或者PCR可具有位置修正符集合。PCR当然还能够没有位置比特集合,不是核实的PCR。然而,PCR一定不是核实的PCR并且具有位置修正符集合。具体地,TPM_PCR_Reset命令一定不为核实的PCR工作。核实的扩展允许人们确凿地从核实的PCR检测是否已经将事件记录到相同或另一核实的PCR中。允许用于核实的PCR的TPM_PCR_Reset会禁止这些。”根据本发明的示例性实施例,为了提供一致的设置,当前用于在MTM中结合PCR复位的优选(但是非限制性的)技术概括如下1.启动后全部MTMPCR的初始值是OxOOO-000(如当前规定的)。2.启动后任何PCR复位由值OxFFF…FFF初始化(服从TPMv.I.2的策略)。3.按照TPM的PCR属性,将多个低指数PCR(例如,最初的4或8)定义为不可复位。这仅为了方便起见和增加安全性,可以假设这些PCR通常意在用于捕获系统启动状态(无论“系统”是什么)。所有进一步的PCR被原理上定义为可复位的。可将用于此的一个公式用于定义PCR属性,例如,为typedefstructtdMTM_PCR_ATTRIBUTES{BOOLpcrReset;}MTM_PCR_ATTRIBUTES04.由于可复位的PCR还可从由RIM证书提供的完整保护(在启动之间)获益,因此除去不允许verified_PCR列表上的PCR可复位的禁令。5.使用新命令对PCR进行复位,为了方便起见将其称为MTM_resetPCR。该命令的格式可以依照MTM_incrementBoostrapCounter,因为它们的语法是类似的。RIM证书以正常的方式,利用表示要复位的PCR的measurementPcrlndex以及包括扩展至PCR复位的值到值OxFFF…FFF的measurementValue进行操作。6.验证密钥结构利用定义进行增加TPM_VERIFICATION_KEY_USAGE_PCR0x0008使用新命令MTM_resetPCR控制对用于复位PCR:s的验证密钥的使用。根据示例性实施例的一个方面,通过尽可能从现有的TPM规范进行重新使用,但同时使MTM的现有特征(RM证书)的使用最大化,并处理不是MTM规范的已建立部分的位置的问题,该方法以服从大部分标准的方式提供所需要的功能。该方法不以严格的方式固定可复位的PCR:S,而是将其留给MTM所有者(设备合成者)以决定策略,通过该策略允许核实密钥(及其RM证书)对PCR空间的部分进行复位。通常,在制造商端处仍可达到刚度,如果在一些情况下希望这样。现在参照图I以解释一个非限制性的用例。考虑操作系统(OS)需要远程方证明(集合的)哪个应用在运行的情况。可以假设根据MTM的原理,OS自己是安全启动的,并已达到其具有一个或多个MRTM:s活动的状态,并且在有或者没有RIM证书的情况下,系统状态以PCR更新的形式登录到其中。从该点起,系统需要记录根据用户活动或其它事件在时间上发起或终止的应用。实现这种跟踪的传统方法是增建诸如IMA的架构,但是这些积累要同认证比较的大量数据(测量日志),或者在IMA的情况下它们不会跟踪系统的动态状态。相反,它们仅确保完整性,也就是,仅测量第一应用使用。假设根据示例性实施例使用上述的PCR复位工具,该示例的使用情况可更好地由、MTM支持。例如,建立MTM阵列,与基MRTM绑定,例如通过测量它们各自的状态信息连同一些识别值为基MRTM。现在任何证明是两个TPM_QUOTE命令的结合,一个来自证明OS状态、并绑定到更多动态的应用证明MTM的基MRTM,第二个来自于相关的应用证明MRTM。每个应用证明MRTM由OS使用以跟踪少数特定应用,可能通过一些属性或应用类型进行聚类划分。一个非常直接的方法是在开始和应用终止时将涉及应用的事件记录到专用的、可复位的PCR中,优选地作为这些各自动作的不同事件。因此,通过检查所讨论的PCR,以及记录到其中的事件,证明人可容易地检查在证明时这种类型的一个或几个应用示例是否是活动的。等效地,通过在空闲时对其进行检测,可信操作系统后台程序可将信息内容大小赋值(bind)到PCR中。当应用发生和终止彼此相抵时,相应的PCR可安全地复位。然而,即使在发生和终止彼此不相抵的情况下,后台程序仍可以复位PCR,并将区别再次加入到讨论中的PCR中。在图I中各种编号的操作如下。初始由RTM/RTV在启动时间测量OS,并将结果存储在(非可复位的)MTMPCR:s中。然后假设动态信息的呈现在用户域中进行证明。在(0)处有证明请求。在(I)处由0S/TCB进行测量。假设存在用于复位特定的PCR:s的RM证书。在(2)处所选择的PCR:s被复位,在(3)处对在(I)得到的属性测量进行更新。TPM_Quote命令在(4)处执行,在(5)处返回证明响应。产生的证明结合动态信息以及非可复位的PCR:s中的系统状态。复位操作可选地包括RM证书更新值。应注意的是,示例性实施例不会与例如IMA相抵触,并且实际上可与IMA并行操作。在这种方式下可获得系统的动态状态的“快照”,而IMA通过列举已至少发生过一次的全部应用,提供应用完整性所需的证据和在一些程度上系统完整性的声明。当启动由传统的MTM控制并且然后动态(dynamism)由更好地适用于该任务的任何专有的或其它规定的机制解决时,可能会出现MTM或TPM是否应当完全用于更多动态的证明活动的问题。乍看这似乎是可行的方法,但是应当考虑下面使用根据本发明的示例性实施例的过程的讨论。A.整体架构通过利用TCG概念定形。由于仅有一种查看需要被包括的数据(PCR)的方式,这使得证明活动更加直接(straight-forward)。B.MTM提供可用作配置(例如以定义事件格式)的工具的RM证书。RM证书通过设计是被完整保护的,从而不受制于修改威胁,即使它们作为数据典型地不被信任测量保护。C.在移动平台中,MTM(作为状态存储)相比于OS存储器通常得到更好的保护。因此如果利用MTM来完成,则证明声明更可靠。D.动态不适合于仅OS概念。例如,TPM/MTM的典型用例是限制访问RSA密钥(密钥使用)。这里,将密钥定义为在特定系统状态中可访问,但是当已经达到该状态时,在实际的密钥使用后,PCR状态能够被篡改(garble)以确保密钥不能被使用,直到再次达到该状态,传统地在下一次重新启动中(传统的PCR不能被复位)。然而,对于一些密钥和它们的使用,这显然太受限制,可能需要在TPM/MTM的正常运行时间期间末尾重新使用密钥。显然地,对PCR复位的能力对支持这些和相似用例是有益的。如果MTM总是(ever)包括用于专用算法和其它代码的可信执行环境(TrEE:S),论点(argument)会变得更强大。图2示出了通过链路11与无线网络I的接入点(AP)21位于无线通信中的移动平台(MP)10。网络I可包括网络控制元件(NCE)14,其中网络控制元件(NCE)14可包括移动管理实体(MME)/网关(GW)功能,并可提供与诸如电话网络和/或数据通信网络(例如,互联网)的进一步网络的连通性。MP10包括诸如计算机或数据处理器(DP)IOA的控制器,体现为存储计算机指令(PROG)IOC的程序的存储器(MEM)IOB的计算机可读存储器介质,和用于通过一个或多个天线与AP12进行双向无线通信的合适的射频(RF)收发器10D。AP12也包括诸如计算机或数据处理器(DP)12A的控制器,体现为存储计算机指令(PROG)12C的程序的存储器(MEM)12B的计算机可读存储器介质,和用于通过一个或多个天线与MP10进行通信的合适的RF收发器12D。AP12通过数据/控制路径13与NCE14耦合。为了描述本发明的示例性实施例,可假设MP10还包括在服、Sff或作为HW和SE(和固件)组合中实现的MTMIOE0程序IOC可执行OS,以及例如MTMIOE的全部或一些功能。假设MTMIOE根据本发明的示例性实施例操作,从而能够使至少一些MTMPCR可复位。可将MTMPCR实现为存储器IOB中的存储位置,或HW寄存器,或存储器位置和HW寄存器的彡口口通常,MP10的各种实施例可以包括但不限于,蜂窝电话,具有无线通信能力的个人数字助理(PDA),具有无线通信能力的便携式计算机,诸如具有无线通信能力的数字照相机的图像捕获设备,具有无线通信能力的游戏设备,具有无线通信能力的音乐存储和回放应用,允许无线互联网接入和浏览的互联网应用,以及并入这些功能的组合的便携式单元或终端。计算机可读MEMIOB和12B可以是适用于本地技术环境的任何类型,并可使用任何合适的数据存储技术实现,例如基于半导体的存储设备,闪存,磁存储器设备和系统,光存储器设备和系统,固定存储器和可移动存储器。DPIOA和12A可以是适用于本地技术环境的任何类型,并且作为非限制性的实施例,可包括通用计算机,专用计算机,微处理器,数字信号处理器(DSP)和基于多核处理器架构的处理器中的一个或多个。在图2中示出的MP10和AP12的全部或部分功能可在一个或多个各自的ASIC中实现。基于上述内容,应显而易见的是,本发明的示例性实施例提供了方法、装置和计算机程序以增强与移动可信模块有关的数据处理系统的操作。示例性实施例提供RIM证书和验证密钥的增加,从而以细粒度和动态方式控制PCR复位。PCR的复位可由平台制造商来控制。图3是根据本发明示例性实施例图示了方法的操作和计算机程序指令的执行结果的逻辑流程图。根据这些示例性实施例,方法在移动可信模块(MTM)中执行,在块3A处,建立和初始化一组平台配置寄存器(PCR)的步骤,其中平台配置寄存器的第一子集被定义为非可复位的,平台配置寄存器的第二子集被定义为可复位的。在块3B处,具有在一个或多个非可复位平台配置寄存器中存储初始启动系统状态信息的步骤。在块3C处,具有动态地服务由参考完整性度量识别的平台配置寄存器的值以反映由参考完整性度量提供的测量值的步骤。在块3D处,具有利用包括来自被复位的平台配置寄存器的动态信息和来自非可复位的平台配置寄存器的系统状态信息的证明响应对证明请求进行响应的步骤。对于图3所述的方法,其中平台配置寄存器被定义为在使用下面的平台配置寄存器属性可复位typedefstructtdMTM_PCR_ATTRIBUTES{BOOLperReset;}MTM_PCR_ATTRIBUTES0前述两个段落的方法,其中复位平台配置寄存器是对MTM_resetPCR命令作出的响应。前述段落的方法,进一步包括利用下列定义增加核实密钥结构TPM_VERIFICATION_KEY_USAGE_RESET_PCR0x0008以使用命令MTM_resetPCR控制用于复位PCR:s的核实密钥的使用。图3所示的各块可视为方法步骤,和/或由计算机程序代码的操作引起的操作,和/或构建以执行关联的功能的多个耦合的逻辑电路元件。本发明的示例性实施例还提供了包括处理器和包括计算机程序代码的存储器的设备,其中存储器和计算机程序代码被配置为使用处理器使装置至少执行建立和初始化一组平台配置寄存器,其中平台配置寄存器的第一子集被定义为非可复位的,平台配置寄存器的第二子集被定义为可复位的;在一个或多个非可复位平台配置寄存器中存储初始启动系统状态信息;复位由参考完整性度量识别的平台配置寄存器的值以反映由参考完整性度量提供的测量值;以及利用包括来自被复位的平台配置寄存器的动态信息和来自非可复位的平台配置寄存器的系统状态信息的证明响应对证明请求进行响应。通常,各示例性实施例可在硬件或专用电路、软件、逻辑或其任何组合中实现。例如,一些方面可在硬件中实现,而其它方面可在固件或可由控制器、微处理器或其它计算设备执行的软件中实现,尽管本发明不局限于此。尽管本发明的示例性实施例的各方面可图示和描述为框图、流程图,或使用一些其它图示表达,但是可以理解的是,这里描述的块、设备、系统、技术或方法,作为非限制性示例,可实现在硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其它计算设备、或其组合中。应显而易见的是,本发明的示例性实施例的至少一些方面可实践在诸如集成电路芯片和模块的各种组件中,并且本发明的示例性实施例可在实施为集成电路的设备中实现。集成电路,或电路,可包括用于体现可配置以根据本发明的示例性实施例进行操作的数据处理器或多个数据处理器,数字信号处理器或多个处理器,基带电路和射频电路中的至少一个或多个的电路(以及可能的固件)。当结合附图阅读时,根据上述描述,对本发明的前述示例性实施例进行各种修改和调整对本领域技术人员来说将变得显而易见。然而,任何和全部修改仍将落入本发明的非限制性的和示例性实施例的范围内。需要说明的是,术语“连接”、“耦合”或其任何变形表示两个或多个元件之间的任何连接或耦合,直接或间接的,并可包括在“连接”或“耦合”在一起的两个元件之间一个或多个中间元件的存在。元件之间的耦合或连接可以是物理的,逻辑的,或其组合。如这里所使用的,作为几个非限制性的和非穷尽的示例,通过使用一个或多个电线、电缆和/或印刷电连接,以及通过使用电磁能,例如具有射频区域、微波区域和光(可见和不可见)区域中的波长的电磁能,可认为两个元件是“连接”或“耦合”在一起的。此外,用于所描述的参数的各名称不意在任何方面进行限制,这些参数可由任何合适的名称识别。此外,使用这些各参数的公式和表达可不同于这些明确的表达。此外,分配给不同命令(例如,MTM_resetPCR等)的各名称不意在任何方法进行限制,这些各种命令可由任何合适的名称来标识。此外,在没有相应使用其它特征的情况下,本发明的各种非限制性的和示例性的实施例的一些特征也可用于获益。同样,前述描述应当仅被认为是对本发明的原理、教导和示例性实施例的解释,并不对其进行限制。权利要求1.一种方法,包括建立和初始化一组平台配置寄存器,其中平台配置寄存器的第一子集被定义为非可复位的,并且平台配置寄存器的第二子集被定义为可复位的;在一个或多个非可复位的平台配置寄存器中存储初始启动系统状态信息;动态地复位由参考完整性度量识别的平台配置寄存器的值以反映由参考完整性度量提供的测量值;利用包括来自被复位的所述平台配置寄存器的动态信息和来自非可复位的平台配置寄存器的系统状态信息的证明响应对证明请求进行响应。2.根据权利要求I所述的方法,其中使用平台配置寄存器属性typedefstructtdMTM_PCR_ATTRIBUTES{BOOLpcrReset;}MTM_PCR_ATTRIBUTES将平台配置寄存器定义为可复位的。3.根据权利要求I所述的方法,其中响应于MTM_resetPCR命令而复位平台配置寄存器。4.根据权利要求3所述的方法,其中所述复位包括参考完整性度量证书更新值。5.根据权利要求3所述的方法,进一步包括利用下列定义增加核实密钥结构TPM_VERIFICATION_KEY_USAGE_RESET_PCR0x0008,其中利用所述定义的所述增加使用命令MTM_resetPCR控制对用于复位PCR:s的核实密钥的使用。6.—种设备,包括至少一个数据处理器;和包括计算机指令的至少一个程序的至少一个存储器,其中所述至少一个存储器和计算机指令的至少一个程序被配置为使用所述至少一个数据处理器使设备至少建立和初始化一组平台配置寄存器,其中平台配置寄存器的第一子集被定义为非可复位的,平台配置寄存器的第二子集被定义为可复位的;在一个或多个非可复位的平台配置寄存器中存储初始启动系统状态信息;动态地复位由参考完整性度量识别的平台配置寄存器的值以反映由所述参考完整性度量提供的测量值;利用包括来自被复位的平台配置寄存器的动态信息和来自非可复位的平台配置寄存器的系统状态信息的证明响应对证明请求进行响应。7.根据权利要求6所述的设备,其中使用平台配置寄存器属性typedefstructtdMTM_PCR_ATTRIBUTES{BOOLpcrReset;}MTM_PCR_ATTRIBUTES将平台配置寄存器定义为可复位的。8.根据权利要求6所述的设备,其中响应于MTM_resetPCR命令而复位平台配置寄存器。9.根据权利要求8所述的设备,其中所述复位包括参考完整性度量证书更新值。10.根据权利要求8所述的设备,进一步包括至少一个存储器,其中至少一个存储器包括计算机指令的至少一个程序,所述至少一个程序被配置为使用至少一个数据处理器使所述设备利用下列定义增加核实密钥结构TPM_VERIFICATION_KEY_USAGE_RESET_PCR0x0008,其中利用所述定义的所述增加使用命令MTM_resetPCR控制对用于复位平台配置寄存器的核实密钥的使用。11.根据权利要求6所述的设备,其中所述设备包括设置在移动平台中的移动可信模块。12.—种设备,包括用于建立和初始化一组平台配置寄存器的装置,其中平台配置寄存器的第一子集被定义为非可复位的,平台配置寄存器的第二子集被定义为可复位的;用于在一个或多个非可复位的平台配置寄存器中存储初始启动系统状态信息的装置;用于动态地复位由参考完整性度量识别的平台配置寄存器的值以反映由参考完整性度量提供的测量值的装置;以及用于利用包括来自被复位的平台配置寄存器的动态信息和来自非可复位的平台配置寄存器的系统状态信息的证明响应对证明请求进行响应的装置。13.根据权利要求12所述的设备,其中所述设备包括设置在移动平台中的移动可信模块。14.根据权利要求12所述的设备,其中用于所述建立、所述存储、所述动态地复位、所述扩展和所述触发的装置包括至少一个存储器,其中至少一个存储器包括由至少一个数据处理器执行的计算机指令的至少一个程序,并且其中用于所述响应的装置包括发射机。15.包括计算机指令的至少一个程序的至少一个非暂态存储器,计算机指令的至少一个程序由至少一个数据处理器执行以执行包括下列步骤的操作建立和初始化一组平台配置寄存器,其中平台配置寄存器的第一子集被定义为非可复位的,平台配置寄存器的第二子集被定义为可复位的;在一个或多个非可复位的平台配置寄存器中存储初始启动系统状态信息;动态地复位由参考完整性度量识别的平台配置寄存器的值以反映由参考完整性度量提供的测量值;利用包括来自被复位的平台配置寄存器的动态信息和来自非可复位的平台配置寄存器的系统状态信息的证明响应对证明请求进行响应。16.根据权利要求15所述的包括计算机指令的至少一个程序的至少一个非暂态存储器,其中使用平台配置寄存器属性typedefstructtdMTM_PCR_ATTRIBUTES{BOOLpcrReset;}MTM_PCR_ATTRIBUTES将平台配置寄存器定义为可复位的。17.根据权利要求15所述的包括计算机指令的至少一个程序的至少一个非暂态存储器,其中响应于MTM_resetPCR命令而复位所述平台配置寄存器。18.根据权利要求17所述的包括计算机指令的至少一个程序的至少一个非暂态存储器,其中所述复位包括参考完整性度量证书更新值。19.根据权利要求17所述的包括计算机指令的至少一个程序的至少一个非暂态存储器,进一步包括利用下列定义增加核实密钥结构TPM_VERIFICATION_KEY_USAGE_RESET_PCR0x0008,其中利用所述定义的所述增加使用命令MTM_resetPCR控制对用于复位平台配置寄存器的核实密钥的使用。全文摘要根据本发明的示例性实施例,至少具有方法、设备和计算机指令的可执行程序以执行以下操作建立和初始化一组平台配置寄存器,其中平台配置寄存器的第一子集被定义为非可复位的,平台配置寄存器的第二子集被定义为可复位的,在一个或多个非可复位的平台配置寄存器中存储初始启动系统状态信息,动态地复位(2)由参考完整性度量识别的平台配置寄存器的值以反映由参考完整性度量提供的测量值,以及利用包括来自被复位的平台配置寄存器的动态信息和来自非可复位的平台配置寄存器的系统状态信息的证明响应(5)对证明请求(0)进行响应。文档编号G06F21/00GK102763113SQ201180009539公开日2012年10月31日申请日期2011年2月14日优先权日2010年2月16日发明者J-E·埃克贝里,K·科斯台宁,N·阿索坎申请人:诺基亚公司