可信平台通讯系统的制作方法

本发明涉及通用计算机安全领域，尤其涉及一种可信平台通讯系统。

背景技术：

如图1所示，现有专用计算机为了确保信息安全，设置了专用总线(或最起码提供单独的片选线)并预留了专用接口以供外接可信芯片设备3(如TPM2.0等)。如图1所示，由于可信芯片设备3是通过专用总线而与主机1和固件2通讯的，受制于现有的可信芯片设备3标准，现有可信芯片设备3无法直接访问固件，即现有可信芯片设备3不具备主控功能，导致其通讯模式单一，无法根据不同平台主机1的控制系统灵活选择通讯模式。另外，由于家用计算机不具备专用总线和专用接口，因此现有可信芯片设备3无法直接在家用计算机上实施，即便需要在家用计算机上实施也需要较复杂的改动，其改动成本较高且容易导致系统不稳定。

因此，亟需一种可信平台通讯系统来解决上述问题。

技术实现要素：

本发明的目的是提供一种通用性强、能够以主控模式直接访问主机固件以完成安全信息验证的可信平台通讯系统。

为了实现上有目的，本发明公开了一种可信平台通讯系统，其包括一主机、至少一主机固件和一可信计算模块，所述主机包括主机单元和至少一第一开关，所述第一开关的一端接所述主机单元，另一端接所述主机固件并形成固件分路；所述可信计算模块分别接所述主机单元、第一开关的控制端以及每一所述固件分路，所述可信计算模块在主控模式下控制所述第一开关断开并依次接入每一所述固件分路以验证每一所述主机固件的安全性，并在验证完成后控制安全通过的主机固件对应连接的所述第一开关导通，并将验证结果输送至所述主机单元。

与现有技术相比，本发明的主机单元和主机固件之间增设有第一开关，且可信计算模块分别接主机单元、第一开关的控制端以及每一固件分路，一方面，可信计算模块直接接入固件分路，无需通过设置专用总线即可对主机固件进行安全信息验证，从而使得可信平台通讯系统能够直接应用于家用计算机和专用计算机，有效拓展了应用场合；另一方面，可信计算模块在主控模式下控制第一开关断开并依次接入每一固件分路以验证每一主机固件的安全性，并在验证完成后控制安全通过的主机固件对应连接的第一开关导通，并将验证结果输送至主机单元，使得可信计算模块在主控模式下能够对所有的主机固件进行主动通讯及安全验证，实现主机单元的启动前的安全信息验证，有效提升主机单元的安全性。

较佳地，所述可信计算模块在获电且主机未启动时进入主控模式。

较佳地，所述可信计算模块包括可信计算单元和切换开关，所述切换开关的第一端接所述可信计算单元，所述切换开关的第二端分别接所有的固件分路，所述可信计算单元接所述切换开关的触发端，以导通所述可信计算单元与任一或所有固件分路的连接。

具体地，所述可信计算模块还包括一第二开关和一解码单元，所述第二开关串接于所述可信计算单元和所述切换开关之间，所述解码单元一端接所述切换开关的第一端，另一端接所述第二开关的触发端，且所述解码单元通过固件分路监测并解码所述主机单元发出的控制信号，并依据解码后的控制信号控制所述第二开关的通断。

所述解码单元在从控模式下处于控制信号侦听状态：控制所述第二开关断开并通过固件分路实时监测并解码所述主机单元发出的控制信号，在所述控制信号针对所述主机固件时，控制所述第二开关断开，在所述控制信号针对所述可信计算模块时控制所述第二开关导通，并将所述控制信号输送至所述可信计算单元，以使所述可信计算单元进行对应动作以接入所述固件分路并与所述主机通讯，所述解码单元还在该控制信号的通讯响应完成后，恢复控制信号侦听状态。

具体地，所述可信计算模块还包括一第二开关，所述第二开关串接于所述可信计算单元和所述切换开关之间，所述可信计算单元在安全验证结束后进入从控模式，所述从控模式具体包括：所述可信计算单元控制所述第二开关断开，并实时获取所述主机单元输出的片选信号，所述可信计算单元接所述第二开关的触发端，并依据所述片选信号控制所述第二开关的通断以及所述切换开关切换导通某一所述固件分路。

较佳地，所述可信计算模块通过与所述主机固件对应的CS线接所述主机，所述从控模式还包括：所述主机单元经由所述CS线发送一第一片选信号至所述可信计算单元，所述可信计算单元依据所述第一片选信号接入并访问与当前CS线对应的分线所对应的主机固件，以验证所述主机固件的安全性，并将验证结果输送至所述主机单元。

较佳地，所述可信计算模块通过与所述主机固件对应的CS线接所述主机，所述从控模式还包括：所述主机单元经由所述CS线发送一第二片选信号至所述可信计算单元，所述可信计算模块依据所述第二片选信号接入与当前CS线对应的分线所对应的固件分路，以供所述主机单元访问并调整所述可信计算模块的内部参数。

较佳地，所述可信计算模块通过与所述主机固件对应的分线接所述主机固件，所述从控模式还包括：所述主机单元通过所述分线分别发送一包含固件暂停信息或可信计算暂停信息的HOLD信号至所述主机固件和所述可信计算模块，所述主机固件依据所述包含固件暂停信息的HOLD信号挂起并暂停与所述主机单元的通讯，所述可信计算模块依据所述包含固件暂停信息的HOLD信号接入所述主机固件，所述主机固件依据所述包含可信计算暂停信息的HOLD信号接入所述主机单元，所述可信计算模块依据所述包含可信计算暂停信息的HOLD信号挂起并暂停与所述主机单元的通讯。

较佳地，所述可信计算模块包括解码单元，所述解码单元接每一所述固件分路，所述可信计算模块在从控模式下处于控制信号侦听状态，所述解码单元实时侦听并解析所述主机的控制信号，在所述控制信号针对所述主机固件时，所述可信计算模块不作响应，在所述控制信号针对所述可信计算模块时，所述主机固件不作响应，且所述可信计算模块接入所述固件分路并与所述主机通讯，在该控制信号的通讯响应完成后，恢复控制信号侦听状态。

附图说明

图1是现有技术的可信计算模块与主机的连接示意图。

图2是本发明的可信平台通讯系统的结构示意图。

图3是本发明的其中一个主机固件分别与主机、可信计算模块之间的连接示意图

具体实施方式

为详细说明本发明的技术内容、构造特征、所实现目的及效果，以下结合实施方式并配合附图详予说明。

请参阅图2和图3所示，本实施例的可信平台通讯系统100包括一主机10、两主机固件20和一可信计算模块30，两主机固件20分别为基本输入输出系统(BIOS)和基本管理单元(BMC)。其中，主机10包括主机单元11和两第一开关12，第一开关12的一端接主机单元11，第一开关12的另一端接主机固件20并形成固件分路40，即本实施例具有两固件分路40，每一固件分路40对应一主机固件20。可信计算模块30分别接第一开关12的控制端以及每一固件分路40，可信计算模块30分别通过与当前主机固件20对应总线的CS线52接主机单元11。其中，主机10和主机固件20可接在一个主板上。

具体地，可信计算模块30通过同一总线分别接固件分路40和主机单元11。具体地，总线包括分线51和CS线52，可信计算模块30通过对应的总线的分线51接入固件分路40，以及通过对应总线的CS线52接主机单元11。可信计算模块30具有主控模式和从控模式，可信计算模块30在主控模式下控制第一开关12断开并依次接入每一固件分路40以验证每一主机固件20的安全性，并在验证完成后控制安全通过的主机固件20对应连接的第一开关12导通，并将验证结果通过对应的固件分路40输送至主机单元11，主机单元11依据验证结果执行操作，具体操作为按照预设规则启动或不启动。

参阅图2，可信计算模块30包括一可信计算单元31、一切换开关32、一第二开关33和一解码单元34，切换开关32的第一端接可信计算单元31，切换开关32的第二端分别接所有的固件分路40，具体地，切换开关32具有两第二端，每一第二端通过对应的分线51接对应的固件分路40。可信计算单元31和解码单元34分别接切换开关32的触发端，以导通可信计算单元31与任一或所有固件分路40的连接，以使得可信计算单元31能够主动控制切换开关32的通断状态。具体地，切换开关32包括两路开关，可信计算单元31和解码单元34均可依据不同的控制信号控制切换开关32的任一路或所有路开关的通断，以使可信计算单元31切换导通与固件分路40的连接。

解码单元34的一端接切换开关32的第一端，解码单元34的另一端接第二开关33的触发端，且解码单元34通过固件分路40监测并解码主机单元11发出的控制信号，并依据解码后的控制信号控制第二开关33的通断。这里的控制信号包含有指向基本输入输出系统和/或指向基本管理单元的字符串，解码单元34只解码包含有上述字符串的控制信号，以根据特定信号控制第二开关33的通断。因此，根据包含有上述字符串的控制信号可以实现可信计算单元31选择性地接入或断开与基本输入输出系统和/或基本管理单元的通讯，从而实现可信计算单元31与不同主机固件20之间的独立通讯。

需要说明的是，本实施例的第二开关33可以具有两个触发端，切换开关32和解码单元分别接入对应的触发端。当然，第二开关33只具有单个触发端，切换开关32和解码单元共同接入该触发端。

上述CS线52用于传输片选信号，不同的片选信号控制可信计算单元31与不同设备进行分时通讯，而分线51用于传输除片选信号外的其他信号。参考图3，这里的分线51包括CLOCK线511、MOSI线512和MISO线513，为便于描述，图2中将CLOCK线511、MOSI线512和MISO线513用一根线(即分线51)进行简化表示，在此不做赘述。图3给出了其中一个主机固件20、主机10、可信计算模块3之间的接线图，CLOCK线511、MOSI线512、MISO线513和CS线52与主机10、可信计算模块30和主机固件20分别连接。可信计算单元31具有两个读写端，两读写端分别通过对应的分线51接入对应的固件分路40，从而实现可信计算单元31、主机单元11、当前固件分路40下的主机固件20之间的共享总线。

参阅图2，可信计算模块30在主机单元11启动后进入从控模式，主机单元11启动并访问任一或所有主机固件20。当控制信号包含有指向基本输入输出系统和/或指向基本管理单元的字符串时，解码单元34解码该控制信号并控制第二开关33闭合，并控制切换开关32切换导通当前固件分路40并断开与另一固件分路40的连接，以将可信计算单元31单独接入当前固件分路40，以访问当前固件分路40下的主机固件20，从而对当前固件分路40下的主机固件20进行安全信息验证，并通过固件分路40将验证结果输送至主机单元11。另外，切换开关32的切换保证了可信计算单元31接入当前固件分路40时是与另一固件分路40处于断开状态的，避免可信计算单元31同时接入两固件分路40。

当控制信号不包含有指向基本输入输出系统和/或指向基本管理单元的字符串时，解码单元34不动作，第二开关33保持断开。

当可信计算单元31完成对当前主机固件20的安全信息验证后，主机单元11通过当前固件分路40发送一包含解码复位信息的控制信号至解码单元34，解码单元34依据该包含解码复位信息的控制信号控制第二开关33断开以及将切换开关32的两路开关重新同时接入两固件分路40，从而将第二开关33和切换开关32复位，以备解码单元34监测下一轮的控制信号，即此时可信平台通讯系统100进入从控模式。

其中，可信计算模块30在从控模式下处于控制信号侦听状态，解码单元34实时侦听并解析所述主机10的控制信号，在所述控制信号针对所述主机固件20时，所述可信计算模块30不作响应，在所述控制信号针对所述可信计算模块30时，所述主机固件20不作响应，且所述可信计算模块30接入所述固件分路40并与所述主机10通讯，在该控制信号的通讯响应完成后，恢复控制信号侦听状态。

具体地，解码单元34在控制信号针对所述可信计算模块30时控制所述第二开关33导通并将控制信号输送至可信计算模块30，以使得可信计算单元31与固件分路40连通，可信计算单元31随之响应主机10进行相关动作。解码单元34在控制信号不针对所述可信计算模块30时控制所述第二开关33断开或者使得第二开关33保持断开状态，可信计算单元31与固件分路40之间的通讯通路保持断开状态，可信计算单元31不响应主机10。

参阅图2，以下分别对本实施例的可信计算单元31的主控模式及从控模式的工作过程进行详细描述：

1、主控模式：在可信计算单元31获得供电且主机单元11未启动前，可信计算单元31分别控制两第一开关12断开与对应主机固件20的连接，并阻止主机单元11的启动。可信计算单元31控制第二开关33闭合，并控制切换开关32的两路开关依次闭合，以使可信计算单元31依次接入任一固件分路40，以对当前固件分路40下的主机固件20进行安全验证。

当首先闭合的固件分路40对应的主机固件20通过安全验证后，可信计算单元31控制该固件分路40对应的第一开关12闭合，并通过当前固件分路40将验证结果发送至主机单元11，并控制切换开关32切换导通另一固件分路40，以对另一固件分路40下的主机固件20进行安全验证。

当另一固件分路40对应的主机固件20也通过安全验证后，可信计算单元31通过当前固件分路40将验证结果发送至主机单元11，可信计算单元31控制该固件分路40对应的第一开关12闭合，此时，两第一开关12均处于导通状态，且主机单元11得到两主机固件20通过验证的验证结果。主机单元11依据上述验证结果启动，同时，可信计算单元31控制第二开关33断开，以及控制切换开关32的两路开关同时接入对应的固件分路40，并进入从控模式。

当任一或所有主机固件20未能通过安全验证时，可信计算单元31控制该主机固件20对应的第一开关12保持断开，主机单元11没有收到或只收到一个通过验证的验证结果，主机单元11依据预设规则设定的启动条件进行启动或不启动。

2、从控模式：本模式依据执行方法的不同，分为解码模式、片选模式和HOLD模式三种子模式，下面分别对三种子模式进行详细说明：

2.1、解码模式：

参阅图2，此模式下的主机单元11处于正常工作状态且与两主机固件2020正常通讯，两第一开关12均闭合，以及切换开关32的两路开关均闭合，第二开关33断开，以使可信计算单元31断开与两固件分路40的连接，而解码单元34分别接入两固件分路40以能够监测任一固件分路40上的控制信号。

解码单元34监测并解码主机单元11发出的控制信号，当该控制信号包含有指向任一主机固件20的字符串时(即控制信号针对可信计算模块30且具体为连接某一主机固件20)，解码单元34接收到该控制信号后控制第二开关33闭合，通过可信计算单元31控制当前主机固件20对应的第一开关12断开、控制切换开关32仅切换导通接入当前主机固件20所在的固件分路40，此时可信计算单元31单独接入当前固件分路40，并直接访问当前主机固件20以进行安全信息验证。主机单元11通过发送不同的控制信号，实现可信计算单元31与不同主机固件20的访问。当然，解码单元34也可以将控制信号通过第二开关33输送至可信计算单元31，然后由可信计算单元31控制切换开关32进行相关动作并进行当前主机固件20的安全信息验证，此时解码单元34可不连接切换开关32的触发端。

当可信计算单元31完成与当前主机固件20的安全信息验证后，可信计算单元31控制当前固件分路40下的第一开关12闭合以使主机固件20重新接入主机单元11，同时，主机单元11通过与当前主机固件20对应的固件分路40发送一复位信号至解码单元34，解码单元34依据复位信号控制第二开关33断开以及切换开关32接入所有的固件分路40，以实现第二开关33和切换开关32的状态复位，以备解码单元34监测主机单元11下一次发出的控制信号。

2.2、片选模式：

参阅图2，此模式适用于总线支持多设备访问，由于总线中的一根为CS线52，此模式利用CS线52的专用片选特性实现主机单元11与主机固件20的访问、主机单元11与可信计算单元31的访问。此模式下，主机单元11处于正常工作状态且与两主机固件20正常通讯，且两第一开关12、切换开关32的两路开关及第二开关33均处于闭合状态，可信计算单元31实时获取主机单元11通过任一CS线52输出的片选信号，可信计算单元31依据片选信号控制第二开关33的通断以及切换开关32切换导通某一固件分路40。

具体地，当主机单元11需要对任一主机固件20进行安全验证时，主机单元11经由当前主机固件20对应的CS线52发送一第一片选信号至可信计算单元31，可信计算单元31依据第一片选信号接入并访问与当前主机固件20对应的固件分路40，以验证当前主机固件20的安全性，并将验证结果通过当前固件分路40输送至主机单元11。

具体地，当主机单元11需要调整可信计算单元31的内部参数时，主机单元11经由任一CS线52发送一第二片选信号至可信计算单元31，可信计算单元31依据第二片选信号接入与当前CS线52对应的固件分路40，以供主机单元11通过当前固件分路40访问并调整可信计算模块30的内部参数。

通过不同的片选信号直接实现主机单元11与主机固件20的访问、主机单元11与可信计算单元31的访问，操作简单方便，且有效实现可信计算单元31与多设备的分时通讯。

2.2、HOLD模式：

参阅图2，此模式适用于总线支持多设备访问，此模式下，主机单元11处于正常工作状态且与两主机固件20正常通讯，且两第一开关12、切换开关32的两路开关及第二开关33均处于闭合状态，可信计算单元31实时获取主机单元11通过任一分线51输出的控制信号。HOLD模式根据控制指令的不同，而有两种HOLD方式，一种是暂停主机单元11与主机固件20的通信，另一种是暂停可信计算单元31与主机单元11的通信。

当需要暂停主机单元11与主机固件20的通信时，主机单元11通过分线51发送一包含固件暂停信息的HOLD信号至主机固件20和可信计算模块30，主机固件20依据包含固件暂停信息的HOLD信号挂起并暂停与主机单元11的通讯。

当需要暂停主机单元11与可信计算单元31的通信时，主机单元11通过分线51发送一包含可信计算暂停信息的HOLD信号至主机固件20和可信计算模块30，主机固件20依据包含可信计算暂停信息的HOLD信号接入主机单元11，可信计算模块30依据包含可信计算暂停信息的HOLD信号挂起并暂停与主机单元11的通讯。

值得注意的是，本实施例所提供的技术方案涉及到的第一开关12、第二开关33和切换开关32既可为计算机中的虚拟开关也可以为实体开关，开关的通断代表一个或多个信号的同时切换，在此不做详细说明。

需要说明的是，本实施例具有两主机固件20，在一些只有单通道总线的普通消费类计算机系统中，仅有单个主机固件20，本发明适用于仅有单个主机固件20的情况，其原理和运行过程与本实施例类似，此时切换开关32仅有一路开关，以根据控制信号导通或断开，在此不做赘述。另外本实施例所涉及到的总线包括但不限于SPI总线，还可以为I2C总线、UART总线等通讯总线协议，在此不对总线类型进行做限定。

结合图2和图3所示，本发明的主机单元11和主机固件20之间增设有第一开关12，且可信计算模块30分别接主机单元11、第一开关12的控制端以及每一固件分路40，一方面，可信计算模块30直接接入固件分路40，无需通过设置专用总线即可对主机固件20进行安全信息验证，从而使得可信平台通讯系统100能够直接应用于家用计算机和专用计算机，有效拓展了应用场合；另一方面，可信计算模块30在主控模式下控制第一开关12断开并依次接入每一固件分路40以验证每一主机固件20的安全性，并在验证完成后控制安全通过的主机固件20对应连接的第一开关12导通，并将验证结果输送至主机单元11，使得可信计算模块30在主控模式下能够对所有的主机固件20进行主动通讯及安全验证，实现主机单元11的启动前的安全信息验证，有效提升主机单元11的安全性。

以上所揭露的仅为本发明的优选实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明申请专利范围所作的等同变化，仍属本发明所涵盖的范围。