移动tpm中部分虚拟的pcr组的制作方法
【技术领域】
[0001] 本发明的示例性和非限制性实施例大致涉及受信任计算、安全和在例如无线通信 系统中的移动受信任模块的使用,并且特别地涉及提供用于在受信任执行环境内运行的受 信任应用与TCG/TPM机制的平台绑定。
【背景技术】
[0002] 本节旨在提供本发明的背景或上下文。本文的描述可以包括可以探宄的概念,但 不一定是那些之前已经设想或者探宄的概念。因此,除非在本文中指出,否则本节所描述的 不是本申请中的说明书和权利要求的现有技术,并且不能因为包括在本节中就被认为是现 有技术。
[0003] 可以在说明书和/或附图中找到的以下缩写定义如下:
[0004] AIK 身份证明密钥
[0005] ASIC专用集成电路
[0006] DRTM 动态信任根测量("dynamic root of trust measurement")
[0007] HW 硬件
[0008] iTAP内部受信任应用
[0009] MTM 移动受信任模块
[0010] OS 操作系统
[0011] PCR 平台配置寄存器
[0012] RIM 基准完整性度量
[0013] SML 存储的测量日志
[0014] Sff 软件
[0015] TA 受信任应用
[0016] TCB 受信任计算基("trusted computing base")
[0017] TCE 受信任计算机环境
[0018] TCG 受信任计算组
[0019] TEE 受信任执行环境
[0020] TPM 受信任平台模块
[0021] UUID通用唯一标识符
[0022] 在由受信任计算组(TCG)开发的用于受信任平台模块(TPM)和移动受信任模块 (MTM)的架构中,"(实体)认证"是指向例如内部或外部验证器装置的验证器(通常是远 程验证器)说明证人实体("prover entity",即个人或装置)所声明的身份。该过程被称 为"证明"("attestation")。TPM可以用来确保每个计算机将以值得信任的方式报告其 配置参数。在TPM中,安全环境能够容纳若干可以影响测量和相应绑定的安全程序。
【发明内容】
[0023] 在本发明的示例性方面中,提供一种方法,包括:使用装置的实体触发采用装置的 受信任的平台模块/移动平台模块的证明;以及响应于触发,向实体发送包括平台配置寄 存器的值的信息,其中,平台配置寄存器依赖于触发证明的实体的测量。
[0024] 在本发明的另一示例性方面,提供一种编码有计算机程序指令的非暂时计算机可 读介质,处理器执行计算机程序指令从而执行包括以下项的动作:使用装置的实体触发采 用装置的受信任的平台模块/移动平台模块的证明;以及响应于触发,向实体发送包括平 台配置寄存器的值的信息,其中,平台配置寄存器依赖于触发证明的实体的测量。
[0025] 在本发明的另一示例性方面,提供一种设备,包括:至少一个处理器以及至少一个 包含计算机程序代码的存储器,其中,至少一个存储器和计算机程序代码被配置为采用至 少一个处理器引起设备至少:使用装置的实体触发采用装置的受信任的平台模块/移动平 台模块的证明;以及响应于触发,向实体发送包括平台配置寄存器的值的信息,其中,平台 配置寄存器依赖于触发证明的实体的测量。
[0026] 在本发明的又一示例性方面,提供一种设备,包括:用于使用装置的实体触发采用 装置的受信任的平台模块/移动平台模块的证明的部件;以及用于响应于触发向实体发送 包括平台配置寄存器的值的信息的部件,其中,平台配置寄存器依赖于触发证明的实体的 测量。
[0027] 根据以上段落中描述的本发明的示例性实施例,用于触发的部件包括包含计算机 程序代码的非暂时存储器,至少一个处理器执行计算机程序代码,以及其中用于发送的部 件包括到通信网络的接口。
【附图说明】
[0028] 结合所附的附图阅读时,本发明实施例的前述和其它方面在以下详细说明中将更 加明显,其中:
[0029] 图IA是基于3GPP TS 36. 300的图4. 1,并且示出非限制性的和可以在其中实践本 发明的示例性实施例的E-UTRAN系统的总体架构;
[0030] 图IB示出根据本发明的示例性实施例的由TPM PC客户端测量的TPM程序操作;
[0031] 图IC示出根据本发明的示例性实施例的由TPM移动("TPM Mobile")测量的TPM 程序操作;
[0032] 图2示出根据本发明的示例性实施例的由TPM移动测量的TPM程序操作;
[0033] 图3是示出移动平台和接入点的简化框图,其中,移动平台包括TPM/PCR和根据本 发明的示例性实施例操作从而如根据本发明的示例性实施例那样执行与虚拟和/或扩展 PCR关联的操作的受信任软件;以及
[0034] 图4是根据本发明的示例性实施例的示出方法的操作以及计算机程序指令的执 行结果的逻辑流程图。
【具体实施方式】
[0035] 图IA基于3GPPTS 36. 300的图4. 1并且示出E-UTRAN系统的总体架构。E-UTRAN 系统包括向UE5和/或UE7提供E-UTRAN用户平面和控制平面(无线资源控制(RRC))协 议的终止的网络接入节点或eNB。eNB通过X2接口彼此互连。eNB还通过Sl接口连接到 演进分组核心(EPC),更具体地通过SlMME接口连接到移动性管理实体(MME)和服务网关 (S-GW)。Sl接口支持MME、S-GW和eNB之间的多对多关系。本文公开的示例性实施例可以 用非限制性的方式使用从而给与这样的E-UTRAN系统关联的运营方和移动设备用户带来 益处。
[0036] TPM具有保留用于测量代码的PCR。本发明的示例性实施例涉及受信任计 算(" Trusted Computing")领域。最近增加的用于保护计算设备的机制是最新加 载("late-launch")技术,例如动态信任根机制(DRTM,"dynamic root of trust mechanism")。DRTM是用于操作系统临时停止并且进入安全执行环境的方式,其中,或者可 以启动虚拟机、或者安全核心可以被引导("bootstrap")、或者可以执行一些其它代码。该 DRTM启用的安全环境可以用于例如安全地执行凭证。
[0037] 目前,TPM(v2)具有被保留用于测量代码的单个PCR(用于DRTM/最新加载)。PCR 是单个的,原因在于使用最新加载机制在PC中一次只能启动一个代码。如果另一码被启动 (进入相同高速缓存区域),则完成新的测量并且针对旧代码的任何绑定都会丢失。在TPM 移动中,已经设计了相似策略用于在受信任执行环境内启动程序。然而,由此只有一个代码 可以在受信任执行环境中被测量并且绑定到TPM移动功能。因此,至少上述PCR的严格性 使这些操作变得困难。
[0038] 图IB和图IC分别示出TPM PC客户端100和TPM移动测量的程序130或TPM移动 API 15(LAPI 150可以至少用于TPM2命令子集、MTM安全引导、iTAP供应和/或iTAP使用。 图IB示出TPM PC客户端测量的TPM程序原理操作概览。如图IB所示,受信任计算机基TA 102包括受信任应用模块(App) 105、最新加载的代码模块110以及操作系统(OS) 115, TA。 在图IB中,受信任应用(TA 100)的受信任计算机基(TCB,"trusted computer base")执 行PCR应用(例如最新加载的应用)测量。这是通过以下方式完成的:执行处理器命令从 而使用处理器的高速缓存125来移动测量代码(例如对于丨ntel?或AMD?文本和/或 服务(SVC)应用120),以用于处理到虚拟的PCR寄存器135。例如,通过处理器命令将代码 移动到高速缓存125,并且由TCB使用代码执行最新加载的测量,并且测量被提供给虚拟的 PCR寄存器135。图IC示出另一 TPM PC客户端测量的TPM程序原理操作概览。
[0039] 根据本发明的示例性实施例,存在至少在虚拟环境中启用最新加载的代码的PCR 测量的方法。这将至少允许遗留和受信任软件的安全后向兼容映射。本发明的实施例允许 平台建立具有安全状态的虚拟环境以用于将要被测量的最新加载的代码,和/或允许平台 在不干扰现存软件的情况下操作。
[0040] 图IC示出另一 TPM PC客户端100测量的TPM程序原理操作概览。如图IC所示,