可信赖平台中的物理存在判定的制作方法

专利名称：可信赖平台中的物理存在判定的制作方法
技术领域：
本发明涉及计算机系统和其他信息处理系统，并且更具体地说，涉及建立在诸如TCPA工业标准平台之类的可信赖平台上的计算机系统。
背景技术：
在计算机行业中，需要提高用户运行应用和执行网络事务的信任水平。对于用户键入信用卡和其他敏感信息的电子商务交易来说，这尤为正确。在本行业中已经出现了若干解决方案。其中一个解决方案，智能卡，作为通过提供建立可信赖用户的硬件来提高信任水平的标准而出现。在智能卡解决方案中，计算机系统并不是可信赖实体。相反，智能卡硬件才是可信赖实体并与特定用户相关联。另一个解决方案，可信赖计算平台，作为通过提供建立可信赖平台的硬件来提高信任水平的标准而出现。对于可信赖平台，用户并不是可信赖实体。相反，是该平台被信赖。
现代计算机系统提供了远程接通电源的能力。例如，当在计算机调制解调器中检测到来自进入传真的振铃信号时，计算机可以被接通电源。然后，计算机可以接通电源、引导并接收进入的传真。同样地，当在计算机网卡中检测到局域网活动时，计算机可以被接通电源；然后，计算机可以引导并对任何局域网请求做出响应。但是，具有这种能力的计算机在无人值守时尤其危险，因为它们即使在关闭电源的情况下也很容易受到攻击。

发明内容
根据一个方面，提供了一种方法，所述方法包括如下步骤通过读取指示发生启动的接通电源状况寄存器，判定是否通过启动接通电源开关将电源施加到了计算机系统；以及作为所述判定的功能，影响包括在所述计算机系统内的可信赖平台模块(TPM)的运行。
在一个实施例中，所述接通电源状况寄存器仅可在硬件中设置。
在一个实施例中，所述判定和影响步骤发生在复位事件之后，并且发生在加载操作系统的OS加载事件之前。所述OS加载事件可以是所述复位事件之后的INT 19h的第一实例。所述复位事件可以是从包括硬件启动复位和软件启动复位的组中选择的事件。所述影响步骤优选地进一步包括在所述TPM中设置物理存在标志的步骤。所述影响步骤进一步优选地包括在所述TPM中设置物理存在锁定标志的步骤。
在一个实施例中，所述判定和影响步骤发生在复位事件之后，并且发生在计算机系统I/O设备可用之前。优选地，所述计算机系统I/O设备是从包括键盘设备、视频设备以及指点设备的组中选择的设备。所述复位事件可以是从包括硬件启动复位和软件启动复位的组中选择的事件。
在一个实施例中，所述影响步骤是限制所述TPM的运行以响应所述判定步骤中的所述接通电源开关没有被启动的判定的步骤。
在一个实施例中，所述影响步骤是允许预定的可信赖操作在所述TPM中执行以响应如所述判定步骤中判定的通过启动所述接通电源开关来施加电源的步骤。
根据另一个方面，本发明提供了一种方法，所述方法包括以下步骤通过读取指示发生启动的接通电源状况寄存器，判定是否通过启动连接到计算机系统的接通电源开关将电源施加到了所述计算机系统，其中所述接通电源状况寄存器仅可在硬件中设置；配置包括在所述计算机系统内的可信赖平台模块(TPM)的物理存在标志以指示没有物理存在，以响应所述判定步骤中的所述接通电源开关没有被启动的判定；其中所述判定和配置步骤发生在系统复位事件之后、OS加载事件之前，并且作为所述配置步骤的功能限制所述TPM的运行。
在一个实施例中，所述方法进一步包括以下步骤通过在所述TPM中设置物理存在锁定标志来锁定所述TPM中的所述物理存在标志；其中所述锁定步骤发生在所述系统复位事件之后、所述OS加载事件之前。所述OS加载事件优选地是加载操作系统的事件，并且所述系统复位事件优选地是从包括硬件启动复位和软件启动复位的组中选择的事件。所述加载操作系统的事件可以是所述系统复位事件之后的INT 19h的第一实例。
根据另一个方面，提供了一种方法，所述方法包括以下步骤通过读取指示发生启动的接通电源状况寄存器，判定是否通过启动连接到计算机系统的接通电源开关将电源施加到了所述计算机系统，其中所述接通电源状况寄存器仅可在硬件中设置；配置包括在所述计算机系统内的可信赖平台模块(TPM)的物理存在标志以指示物理存在，以响应如所述判定步骤中判定的通过启动所述接通电源开关来施加电源；其中所述判定和配置步骤发生在系统复位事件之后、OS加载事件之前，并且作为所述配置步骤的功能，允许预定的可信赖操作在所述TPM中执行。
优选地，可以通过在所述TPM中设置物理存在锁定标志来锁定所述TPM中的物理存在标志，并且优选地这在所述系统复位事件之后、所述OS加载事件之前完成。优选地，所述OS加载事件是加载操作系统的事件，并且所述系统复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。优选地，所述加载操作系统的事件是所述系统复位事件之后的INT19h的第一实例。
根据另一个方面，提供了一种程序产品，所述程序产品包括其中包含计算机可读程序代码的计算机可用介质，当所述程序产品中的所述计算机可读程序代码执行时可有效进行以下操作通过读取指示发生启动的接通电源状况寄存器，判定是否通过启动接通电源开关将电源施加到了计算机系统；以及作为所述判定的功能，影响包括在所述计算机系统内的可信赖平台模块(TPM)的运行。
根据另一个方面，提供了一种程序产品，所述程序产品包括其中包含计算机可读程序代码的计算机可用介质，当所述程序产品中的所述计算机可读程序代码执行时可有效进行以下操作通过读取指示发生启动的接通电源状况寄存器，判定是否通过启动连接到计算机系统的接通电源开关将电源施加到了所述计算机系统，其中所述接通电源状况寄存器仅可在硬件中设置；配置包括在所述计算机系统内的可信赖平台模块(TPM)的物理存在标志以指示没有物理存在，以响应指示所述接通电源开关没有被启动的所述判定；其中所述判定和配置发生在系统复位事件之后、OS加载事件之前，并且作为所述配置的功能限制所述TPM的运行。
根据另一个方面，提供了一种程序产品，所述程序产品包括其中包含计算机可读程序代码的计算机可用介质，当所述程序产品中的所述计算机可读程序代码执行时可有效进行以下操作通过读取指示发生启动的接通电源状况寄存器，判定是否通过启动连接到计算机系统的接通电源开关将电源施加到了所述计算机系统，其中所述接通电源状况寄存器仅可在硬件中设置；配置包括在所述计算机系统内的可信赖平台模块(TPM)的物理存在标志以指示物理存在，以响应根据所述判定的通过启动所述接通电源开关来施加电源；其中所述判定和配置发生在系统复位事件之后、OS加载事件之前，并且作为所述配置的功能，允许预定的可信赖操作在所述TPM中执行。
根据另一个方面，提供了一种装置，所述装置包括可信赖平台模块(TPM)；其中存储有计算机可读程序代码的非易失性存储器；以及电路板，所述电路板连接所述TPM和所述非易失性存储器，并且所述电路板包括处理器，所述处理器执行存储在所述非易失性存储器中的所述代码，并且所述电路板进一步包括状况寄存器，所述状况寄存器呈现接通电源状况状态，该状态指示将电源施加到所述电路板如何被最近地启动；其中当执行存储在所述非易失性存储器中的所述代码时，所述处理器可有效地进行以下操作读取所述状况寄存器的所述接通电源状况状态；根据从所述状况寄存器读取的所述接通电源状况状态，判定将电源施加到所述电路板是否是通过启动被连接到所述电路板的接通电源开关来被最近地启动的；以及作为所述判定的接通电源状态的功能，发布影响所述TPM的运行的命令。
在一个实施例中，所述状况寄存器仅可在硬件中设置。
在一个实施例中，可有效进行读取、判定以及发布的所述代码在复位事件之后执行，并且在存储在所述非易失性存储器之外的代码的执行之前执行。
在一个实施例中，可有效进行读取、判定以及发布的所述代码在复位事件之后执行，并且在加载操作系统的代码的执行之前执行。所述加载操作系统的代码可以是在所述复位事件之后的INT 19h的第一实例。
在一个实施例中，所述复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。
在一个实施例中，当存储在所述非易失性存储器中的所述代码执行时可进一步有效进行以下操作在所述TPM中设置物理存在标志。当存储在所述非易失性存储器中的所述代码执行时优选地可进一步有效进行以下操作在所述PTM中设置物理存在锁定标志。
在一个实施例中，可有效进行读取、判定以及发布的所述代码在复位事件之后执行，并且在访问计算机系统I/O设备的代码的任何执行之前执行，所述计算机系统I/O设备优选地是从包括键盘设备、视频设备以及指点设备的组中选择的设备。
在一个实施例中，根据从所述状况寄存器读取的接通电源状况状态，所述发布的命令限制所述TPM的运行，以响应在最近启动的施加电源中所述接通电源开关没有被启动的判定。
在一个实施例中，根据从所述状况寄存器读取的接通电源状况状态，所述发布的命令允许预定的可信赖操作在所述TPM中执行，以响应在最近启动的施加电源中所述接通电源开关被启动的判定。
根据另一个方面，提供了一种装置，所述装置包括可信赖平台模块(TPM)；其中存储有计算机可读程序代码的非易失性存储器；以及电路板，所述电路板连接所述TPM和所述非易失性存储器，所述电路板具有处理器和状况寄存器，所述状况寄存器仅可在硬件中设置并且呈现接通电源状况状态，该状态指示将电源施加到所述电路板如何被最近地启动；其中所述处理器和所述非易失性存储器被布置在所述电路板上，以便执行其上存储为由所述处理器响应复位事件而执行的初始代码的代码，当所述代码执行时可有效进行以下操作读取所述状况寄存器的所述接通电源状况状态；根据从所述状况寄存器读取的所述接通电源状况状态，判定将电源施加到所述电路板是否是通过启动被连接到所述电路板的接通电源开关来被最近地启动的；以及在所述TPM中配置物理存在标志以指示没有物理存在，以响应所述接通电源开关没有被启动的判定；其中可有效进行读取、判定以及配置的所述代码在OS加载事件之前执行，并且其中作为配置的物理存在标志的功能，所述TPM的运行被限制。
在一个实施例中，当存储在所述非易失性存储器中的所述代码执行时可进一步有效进行以下操作通过在所述TPM中设置物理存在锁定标志来锁定所述TPM中的物理存在标志；其中所述代码在OS加载事件之前锁定所述物理存在标志。优选地，所述OS加载事件是加载操作系统的事件，并且其中所述复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。优选地，所述加载操作系统的事件是所述复位事件之后的INT19h的第一实例。
根据另一个方面，提供了一种装置，所述装置包括可信赖平台模块(TPM)；其中存储有计算机可读程序代码的非易失性存储器；以及电路板，所述电路板连接所述TPM和所述非易失性存储器，所述电路板具有处理器和状况寄存器，所述状况寄存器仅可在硬件中设置并且呈现接通电源状况状态，该状态指示将电源施加到所述电路板如何被最近地启动；其中所述处理器和所述非易失性存储器被布置在所述电路板上，以便执行其上存储为由所述处理器响应复位事件而执行的初始代码的代码，当所述代码执行时可有效进行以下操作读取所述状况寄存器的所述接通电源状况状态；根据从所述状况寄存器读取的所述接通电源状况状态，判定将电源施加到所述电路板是否是通过启动被连接到所述电路板的接通电源开关来被最近地启动的；以及在所述TPM中配置物理存在标志以指示物理存在，以响应所述接通电源开关被启动的判定；其中可有效进行读取、判定以及配置的所述代码在OS加载事件之前执行，并且其中作为配置的物理存在标志的功能，预定的可信赖操作被允许在所述TPM中执行。
在一个实施例中，当存储在所述非易失性存储器中的所述代码执行时可进一步有效进行以下操作通过在所述TPM中设置物理存在锁定标志来锁定所述TPM中的物理存在标志；其中所述代码在OS加载事件之前锁定所述物理存在标志。优选地，所述OS加载事件是加载操作系统的事件，并且其中所述复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。优选地，所述加载操作系统的事件是所述复位事件之后的INT19h的第一实例。
根据另一个方面，提供了一种母板，所述母板包括电路板，所述电路板具有未填充的处理器插槽和状况寄存器，所述状况寄存器呈现接通电源状况状态，该状态指示将电源施加到所述电路板是如何被最近启动的；安装在所述电路板上的可信赖平台模块(TPM)；以及非易失性存储器，所述非易失性存储器安装在所述电路板上并由此与所述TPM相连，并且所述非易失性存储器其中存储有计算机可读程序代码；其中当存储在所述非易失性存储器中的所述代码执行时可有效进行以下操作读取所述状况寄存器的所述接通电源状况状态；根据从所述状况寄存器读取的所述接通电源状况状态，判定将电源施加到所述电路板是否是通过启动被连接到所述电路板的接通电源开关来被最近地启动的；以及作为判定的接通电源状态的功能，发布影响所述TPM的运行的命令。
在一个实施例中，指示通过启动所述接通电源开关来施加电源的所述状况寄存器仅可在硬件中设置。
在一个实施例中，可有效进行读取、判定以及发布的所述代码在复位事件之后执行，并且在存储在所述非易失性存储器之外的代码的执行之前执行。
在一个实施例中，可有效进行读取、判定以及发布的所述代码在复位事件之后执行，并且在加载操作系统的代码的执行之前执行。优选地，加载操作系统的所述代码是在所述复位事件之后的INT 19h的第一实例。
在一个实施例中，所述复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。
在一个实施例中，当存储在所述非易失性存储器中的所述代码执行时可有效进行以下操作在所述TPM中设置物理存在标志。优选地，当存储在所述非易失性存储器中的所述代码执行时可进一步有效进行以下操作在所述TPM中设置物理存在锁定标志。
在一个实施例中，可有效进行读取、判定以及发布的所述代码在复位事件之后执行，并且在访问计算机系统I/O设备的代码的任何执行之前执行，并且所述计算机系统I/O设备是从包括键盘设备、视频设备以及指点设备的组中选择的设备。
在一个实施例中，根据从所述状况寄存器读取的接通电源状况状态，所述发布的命令限制所述TPM的运行，以响应在最近启动的施加电源中所述接通电源开关没有被启动的判定。
在一个实施例中，根据从所述状况寄存器读取的接通电源状况状态，所述发布的命令允许预定的可信赖操作在所述TPM中执行，以响应在最近启动的施加电源中所述接通电源开关被启动的判定。
根据另一个方面，提供了一种母板，所述母板包括可信赖平台模块(TPM)；其中存储有计算机可读程序代码的非易失性存储器；以及电路板，所述电路板连接所述TPM和所述非易失性存储器，所述电路板具有未填充的处理器插槽和状况寄存器，所述状况寄存器仅可在硬件中设置并且呈现接通电源状况状态，该状态指示将电源施加到所述电路板是如何被最近启动的；其中所述非易失性存储器被布置在所述电路板上，以便执行其上存储为响应复位事件而执行的初始代码的代码，当所述代码执行时可有效进行以下操作读取所述状况寄存器的所述接通电源状况状态；根据从所述状况寄存器读取的所述接通电源状况状态，判定将电源施加到所述电路板是否是通过启动被连接到所述电路板的接通电源开关来被最近地启动的；以及在所述TPM中配置物理存在标志以指示没有物理存在，以响应所述接通电源开关没有被启动的判定；其中可有效进行读取、判定以及配置的所述代码在存储在所述非易失性存储器之外的代码的执行之前执行，并且其中作为配置的物理存在标志的功能，所述TPM的运行被限制。
在一个实施例中，当存储在所述非易失性存储器中的所述代码执行时可进一步有效进行以下操作通过在所述TPM中设置物理存在锁定标志来锁定所述TPM中的物理存在标志；其中所述代码在存储在所述非易失性存储器之外的代码的执行之前锁定所述物理存在标志。优选地，所执行的存储在所述非易失性存储器之外的代码是加载操作系统的代码，并且所述复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。优选地，加载操作系统的所述代码是所述复位事件之后的INT 19h的第一实例。
根据另一个方面，提供了一种母板，所述母板包括可信赖平台模块(TPM)；其中存储有计算机可读程序代码的非易失性存储器；以及电路板，所述电路板连接所述TPM和所述非易失性存储器，所述电路板具有未填充的处理器插槽和状况寄存器，所述状况寄存器仅可在硬件中设置并且呈现接通电源状况状态，该状态指示将电源施加到所述电路板是如何被最近启动的；其中所述非易失性存储器被布置在所述电路板上，以便执行其上存储为响应复位事件而执行的初始代码的代码，当所述代码执行时可有效进行以下操作读取所述状况寄存器的所述接通电源状况状态；根据从所述状况寄存器读取的所述接通电源状况状态，判定将电源施加到所述电路板是否是通过启动被连接到所述电路板的接通电源开关来被最近地启动的；以及在所述TPM中配置物理存在标志以指示物理存在，以响应所述接通电源开关被启动的判定；其中可有效进行读取、判定以及配置的所述代码在存储在所述非易失性存储器之外的代码的执行之前执行，并且其中作为配置的物理存在标志的功能，预定的可信赖操作被允许在所述TPM中执行。
在一个实施例中，当存储在所述非易失性存储器中的所述代码执行时可进一步有效进行以下操作通过在所述TPM中设置物理存在锁定标志来锁定所述TPM中的物理存在标志；其中所述代码在存储在所述非易失性存储器之外的代码的执行之前锁定所述物理存在标志。优选地，所执行的存储在所述非易失性存储器之外的代码是加载操作系统的代码，并且所述复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。优选地，加载操作系统的所述代码是所述复位事件之后的INT 19h的第一实例。
根据一个实施例，提供了一种计算机系统，所述计算机系统具有可信赖平台模块(TPM)、存储程序代码的非易失性存储器以及其上支持所述TPM和非易失性存储器的电路板。所述电路板优选地还包括用于执行所述代码的处理器。所述电路板优选地还包括状况寄存器，所述状况寄存器呈现接通电源状况状态，该状态指示电源如何被最近地施加。当执行时，所述代码优选地可有效读取所述状况寄存器的接通电源状况状态。然后，所述代码优选地判定电源的最近施加是否是通过启动接通电源开关来被之前启动的。优选地，根据从所述状况寄存器读取的所述接通电源状况状态进行所述判定。优选地，取决于结果，发布影响所述TPM的运行的命令。
根据一个实施例，提供了一种在计算机系统的制造中使用的母板制品。所述母板优选地支持并提供可信赖平台模块(TPM)与存储程序代码的非易失性存储器之间的电互连。所述母板还优选地包括为处理器提供连接的未填充的处理器插槽。所述插槽优选地被这样布置当所述母板被用于制造计算机系统时，所提供的处理器执行所述非易失性存储器中的代码。所述母板优选地还包括状况寄存器，所述状况寄存器呈现接通电源状况状态，该状态指示电源如何被最近地施加。优选地，当被执行时，所述代码可有效读取所述状况寄存器的所述接通电源状况状态。然后，所述代码优选地判定电源的最近施加是否是通过启动接通电源开关来被之前启动的。优选地，根据从所述状况寄存器读取的所述接通电源状况状态进行所述判定。优选地，取决于结果，发布影响所述TPM的运行的编码后(codified)的命令。
优选地，根据一个实施例，提供了一种在计算机系统中提供可信赖平台的方法。优选地，做出关于电源是否是通过启动电源接通开关被施加到所述计算机系统的判定。在做出所述判定中，优选地读取指示此类启动的发生的接通电源状况寄存器。优选地，取决于所述判定的结果，影响包括在所述计算机系统中的可信赖平台模块的运行。
在另一个实施例中，在其中存储有程序代码的计算机可读介质上提供了一种程序产品，所述程序产品用于在计算机系统中提供可信赖平台。优选地，当执行时，所述代码可有效判定电源是否是通过启动电源接通开关被施加到所述计算机系统的。在做出所述判定中，优选地读取指示此类启动的发生的接通电源状况寄存器。优选地，取决于所述判定的结果，影响包括在所述计算机系统中的可信赖平台模块的运行。


现在将仅通过实例的方式并参考附图对本发明的各优选实施例进行说明，这些附图是图1示出了根据本发明的一个实施例配置的计算机系统；图2是本发明的一个实施例的安全组件的详细方框图；图3是支持并提供用于本发明的一个实施例的安全组件的电互连的母板的透视图。
具体实施例方式
尽管以下将参考其中示出本发明的优选实施例的附图更充分地说明本发明，但是在随后的说明开始处可以理解，本领域的技术人员可以对此处说明的发明进行修改，同时仍然获得本发明的有利效果。因此，随后的说明应被理解为对本领域技术人员的广泛的教导公开，并且不应被理解为限制本发明。
现在参考附图，首先参考图3，图3示出了根据本发明的一个实施例配置的母板301或电路板的透视图。母板301在TPM 111、NVRAM 116、核心南桥芯片组202以及未填充的处理器插槽之间提供机械支持和电互连。此电路布置为可信赖系统平台(其提供信息给用户并接收来自用户的信息)的制造提供了基础。当被制造时，所述平台包括图3所示的电路布置、在插槽310处提供的处理器或CPU以及连接到电路板301的基本外围设备(未示出)。基本外围设备被认为是直接与母板301相连并与母板301直接交互的那些设备。例如PCI卡、LPC组件、USB主控制器及根集线器、连接的串行或并行端口等。但是，USB和IEEE 1394设备并不被认为是基本外围设备。
图1示出了根据本发明的一个优选实施例配置的示例性计算机系统113(例如，利用根据本发明的一个实施例配置的母板的计算机系统)。系统113具有中央处理单元(CPU)110，其通过系统总线112与各种其他组件相连。系统总线112可以是直接(straight)总线，或是分级的总线系统。闪速非易失性随机存取存储器(“NVRAM”)116与系统总线112相连，并包括控制计算机系统113的某些基本功能的基本输入/输出系统(“BIOS”)。由NVRAM 116执行的存储基本输入输出系统的功能与通常由ROM设备执行的功能相同。本实施例的闪速设备具有可现场升级的优点。随机存取存储器(“RAM”)114、I/O适配器118以及通信适配器134也与系统总线112相连。I/O适配器118可以是与磁盘存储设备120通信的小型计算机系统接口(“SCSI”)适配器。通信适配器134将总线112与外部网络160(如，因特网)互连，使计算机系统能够与其他此类系统进行通信。输入/输出设备也通过用户接口适配器122和显示适配器136与系统总线112相连。键盘124和鼠标126都通过用户接口适配器122与总线112互连。显示监视器138通过显示适配器136与系统总线112相连。以这种方式，用户能够通过键盘124或鼠标126对系统113进行输入并通过显示装置138接收来自系统的输出。
本发明的实现优选地包括作为被编程执行本文所述的一种或多种方法的计算机系统的实现，以及作为计算机程序产品的实现。根据所述计算机系统实现，用于执行所述一种或多种方法的指令组或程序代码可以驻留在NVRAM 116中。在替代实施例中，程序代码无需驻留在NVRAM 116中，但可以驻留在其他非易失性存储器中。直到计算机系统(例如，使用母板301制造的计算机系统)需要为止，程序代码可以作为计算机程序产品被存储在另一计算机存储器中，例如，在磁盘驱动器120(其可以包括诸如光盘或软盘之类的可移动存储器以便最终在磁盘驱动器120中使用)中。在一个或多个实施例中，不管程序代码的来源如何，其都可以作为在计算机系统中的任何复位事件之后运行的初始代码来执行。进而，所述代码也可以被存储在另一计算机处，并在需要时通过网络或外部网络160发送到用户的工作站。本领域的技术人员将理解，程序代码的物理存储装置物理地改变介质(代码存储于其中)以便介质承载计算机可读信息。所述改变可以是电、磁、化学、生物或某些其他物理改变。虽然根据指令、符号、字符等可以很方便地描述本发明，但是读者应该记住所有这些以及类似术语都应该与适合的物理元件相关联。
计算机系统113被实现为向用户提供其上可以执行特定可信赖操作的可信赖平台(例如，母板301可以被实现为向用户提供此类可信赖平台)。系统(在一个实施例中，母板301)根据标题为TCPA Main SpecificationVersion 1.1b(其在此引入作为参考)的可信赖计算平台联盟(TCPA)技术规范来构建。在优选实施例中，计算机系统113(在一个实施例中，母板301)作为PC体系结构系统被实现，并且进一步遵照TCPA PC SpecificImplementation Specification Version 1.00(其也在此引入作为参考)。可信赖平台模块(TPM)111是一个为计算机系统113(在一个实施例中，母板301)提供硬件支持的加密能力的密码处理器。TPM 111可以是被设计成集成到系统内的完全集成的安全模块。可以使用任何类型的密码处理器。但是，在优选实施例中，TPM 111实施用于可信赖平台模块(TPM)的TCPA技术规范的1.1b版本。TPM 111包括不对称加密协处理器，其执行密钥生成、随机数生成、数字签名密钥生成、散列生成功能以及其他功能。TPM 111能够使用CRT来计算RSA签名，并具有用于存储预定数量的RSA密钥的内部EEPROM存储装置。TPM 111还包括一组20字节平台配置寄存器(PCR)，其用于为平台建立信赖基础。此类TPM设备的一个实例是AtmelTM，部件号AT97SC320。
除了存储BIOS代码之外，NVRAM 116还存储用于执行加电自检(POST)例程的代码。此POST代码的一部分负责为平台建立信赖基础。通过使NVRAM 116和TPM 111在计算机系统中物理地和/或逻辑地连接以形成可信赖构建块来在平台中建立信赖。
如此后将更详细说明的，NVRAM 116和TPM 111以这样的方式被装配在也称为母板的电路板(例如，母板301)上存储在NVRAM 116中的可信赖代码在系统复位时获得对计算机系统的控制。此可信赖代码被称为用于测量的信赖核心根(CRTM)(Core Root of Trust forMeasurement)。为了验证被运行的POST代码是制造商加载的代码，每个部分--在其被执行之前--首先由CRTM自身确定大小(在一个实施例中，所述代码被布置在母板301上以便每个部分--在其被执行之前--首先由CRTM自身确定大小)。将检查代码的每个部分的长度以及校验和，并创建代表被运行的代码的散列。然后，每个散列被存储在TPM 111内的多个20字节PCR中的一个PCR中。然后，通过将所述散列值与公布的散列值(其由制造商公布，用于验证目的)进行比较来执行对这些散列值的验证。
由于可以远程地接通计算机系统的电源，例如通过局域网唤醒或振铃唤醒，可以远程地接通系统的电源并对其进行攻击。但是，通过提供符合TCPA技术规范要求的物理存在检测功能(例如，在母板上)，可以防止此类攻击。为了维持一个安全的系统，在特定的关键操作可以被在计算机系统上执行之前，CRTM代码在接通电源时检查个人的物理存在。如将随着本实施例的说明更详细地说明的那样，与TCPA技术规范所指导的实施物理跳线或开关不同，本实施例的系统(在一个实施例中，母板301)通过检查核心芯片组寄存器对计算机如何被接通电源的指示来检查物理存在。基于此检查，本实施例的计算机系统推断用户的物理存在。当推断出没有物理存在时，CRTM代码以这样的方式与TPM 111联系从该时刻起，从该引导起，TPM 111将拒绝特定类型的关键TPM事务。另一方面，当推断出具有物理存在，则允许特定类型的关键TPM事务。消除了物理跳线或开关，使本实施例具有较低的制造成本。此外，没有物理跳线或开关允许在没有电气或机械唯一性的情况下制造组件。此没有唯一性又允许更大的能力来将本系统的组件用作其他系统中共享相同电气和机械设计的组件，从而进一步降低制造商的总体成本(例如，在任何共享相同电气和机械设计的系统中利用母板301)。
参考图3并如上所述，示出了根据本发明的一个实施例配置的电路板301或母板的透视图。电路板301优选地在TPM 111、NVRAM 116、核心南桥芯片组202以及CPU或处理器(例如，在插槽310提供)之间提供机械支持和电互连。此电路布置为提供信息给用户和接收来自用户的信息的可信赖系统平台提供了基础。平台本身包括图3所示的电路布置、在插槽310处提供的处理器或CPU以及连接到电路板301的基本外围设备(未示出)。基本外围设备被认为是直接与CPU 110相连并与CPU 110直接交互的那些设备。例如PCI卡、LPC组件、USB主控制器及根集线器、连接的串行和并行端口等。但是，USB和IEEE 1394设备并不被认为是基本外围设备。
参考图2和图3，处理器110执行存储在NVRAM 116中的CRTM代码。如上所述，此CRTM代码以提供可信赖平台的方式与TPM 111交互。存储在NVRAM 116中的可信赖CRTM代码以及TPM 111是可信赖平台的基本组件，并且是平台仅有的可信赖组件。当在CRTM代码与TPM 111之间建立适当的绑定时，在平台中建立了信赖的基础。NVRAM 116和TPM111的绑定可以是物理的或逻辑的，并且被认为超出了本发明的范围。有关将CRTM绑定到TPM 111的详细内容在可信赖计算领域中是公知的，并在此省略以便不会以不必要的细节使本公开变得混乱。在本实施例中，CRTM被包含在NVRAM 116的一部分之内。但是在另一个实施例中，CRTM代码消耗了全部NVRAM 116。由于CRTM和TPM 111是平台仅有的可信赖组件，并且由于物理存在的指示要求可信赖机制由平台用户来激活，物理存在的指示被包含在NVRAM 116的CRTM代码和TPM 111内。
优选实施例的总线112是具有北总线桥(此后称为“北桥”，未示出)和南总线桥202(此后称为“南桥”)的分级总线。北桥包括操作上更靠近处理器的总线，诸如存储器和高速缓存总线。南桥202包括更靠近系统I/O的总线，诸如X-总线、IDE、LPC以及其他总线。但是，注意优选实施例的总线112无需作为分级总线来实现。相反，图1中示意地示出的扁平总线可以被物理地实现。可替代地，可以使用只含有单个桥芯片的分级结构。南桥202提供LPC总线，其连接NVRAM 116和其他组件。所述LPC总线是基于IBMPCAT总线的低引脚数总线并形成分级总线112的一部分(IBM是国际商业机器公司在美国和其他国家/地区的注册商标)。南桥202还与TPM 111相连。南桥202还包括许多诸如高级配置和电源接口(ACPI)兼容的电源控制器204之类的低级系统控制器。ACPI是一种用于OS指导配置和电源管理的工业标准接口。南桥202内的ACPI电源控制器204在操作系统与其电源被控制的设备之间提供硬件接口。由电源控制器204提供的许多功能通过寄存器(作为允许寄存器或状况寄存器)来访问。一个此类寄存器是状况寄存器206。状况寄存器206包含一系列的位，每个位给出关于计算机的电源配置和其当前和初始状况的状况。在优选实施例中，所述位中的一个位(电源开关位)被保留，以指示电源是否是通过启动位于系统前面板的系统电源开关来被最近施加到系统的。系统电源开关可以直接或通过电源间接与电路板301(例如，母板)相连。系统电源开关还可以被直接安装在电源上，尽管将电源开关安装在前面板是优选的。当电源的最近施加通过系统电源开关被施加到计算机(在一个实施例中，到母板301)时，电源开关位被确定。当电源的最近施加通过系统电源开关以外的方式被施加到计算机时，电源开关位被解除确定。因此，如果系统(在一个实施例中，使用母板301制造的系统)通过例如局域网唤醒或振铃唤醒事件被远程地接通电源，则电源开关位被解除确定。在优选实施例中，电源开关位被这样实现其仅可在硬件中设置并且不能由软件来设置。这样做是为了防止被试图突破平台安全性的木马或病毒软件所欺骗。允许电源开关位通过软件复位(设置成解除确定状态)被认为是一种可接受的设计选择，因为在操作系统加载后，电源开关位的解除确定被忽略，并且即使不被忽略，电源开关位的软件解除确定将用于以其他方式提高系统中的安全性水平。在优选实施例中，电源开关位指示通过系统电源开关施加电源是否是在最近接通电源事件的时刻被启动的。在可替代实施例中，电源开关位可以被设计成指示系统电源开关是否已被压下。在后者的情况下，作出判定的软件必须立刻运行，或采取其他措施来进行可信赖判定。
优选地，处理器110执行存储在NVRAM 116中的作为系统复位后执行的初始代码的CRTM代码。(在一个实施例中，使用诸如在插槽310处提供的处理器110之类的处理器来构建母板301。)系统(在一个实施例中，母板301)从硬件或软件复位事件进入复位状态。在计算机系统中施加电源时进入硬件复位状态，或者可以通过专用系统复位开关进入硬件复位状态。在优选实施例中，CRTM代码被给与对计算机的初始控制以便建立平台中的信赖。一旦CRTM代码执行，CRTM与TPM 111交互以便为平台建立信赖基础。如上所述，CRTM代码通过使用散列函数和TPM 111的PCR寄存器来验证其自身。除此以外，CRTM代码读取状况寄存器206以便得到电源开关位的当前状态。然后，CRTM代码对用户在计算机处的存在或不存在做出推论，并且根据此推论发布命令到TPM 111，以限制或允许特定的关键TPM功能。
当发现状况寄存器206的电源开关位处于确定状态时，做出用户在计算机处的推论。在此情况下，发布的命令允许一组预定功能在TPM 111中执行。在优选实施例中，发布的命令是在TPM 111中设置物理存在标志的命令。然后，当按照物理存在标志指示物理存在时，TPM 111被实现为仅允许某些功能。此类命令的一个实例是将TPM 111重置为其出厂默认状态的命令。只有已经判定了物理存在，此类命令才能被TPM 111接受和执行。
相反地，当发现状况寄存器206的电源开关位处于解除确定状态时，做出用户不在计算机处的推论。在此情况下，发布的命令阻止一组预定功能在TPM 111中执行。在优选实施例中，发布的命令是在指示没有物理存在的判定之后，在TPM 111中重置物理存在标志的命令。然后，当按照物理存在标志没有指示物理存在时，TPM 111被实现为限制某些功能。如果出现这种情况，试图将TPM 111重置为其出厂默认状态的示例性命令将因为没有指示物理存在而被TPM 111所阻止。
在很大程度上，关于哪些命令被TPM 111所限制和哪些命令被TPM111所允许的细节已经被省略，因为此类细节并非是获得对本发明的完整理解所必需的，并且其在相关领域的一般技术人员的技能之内。另外，对与所述命令有关的细节感兴趣的任何读者可以另外关注作为参考引入的TCPA技术规范(其提供了此类细节)。
在一个替代实施例中，除了在TPM 111中设置或重置物理存在标志，还发布在TPM 111中设置物理存在锁定标志的附加命令。然后，TPM 111被这样实现一旦物理存在锁定标志被设置，则物理存在标志的值不可改变。物理存在标志的锁定具有一定寿命，其延续到下一次平台复位。
不管物理存在标志是被锁定标志的机制所锁定还是被某些其他绑定机制所锁定，一旦所有的CRTM度量已被记录在TPM 111的PCR的散列表中，并且一旦物理存在或没有物理存在已在TPM 111处被建立，此后，在判定的范围内平台被认为是可信赖的和安全的。在平台信赖已被建立之后，控制然后可以被传递给不安全的代码。
在本发明的一个实施例中，控制然后被传递给驻留在NVRAM 116内的不安全的POST代码。在此实施例中，在平台已安全后被给与控制的代码是访问诸如键盘设备、视频设备和指点设备之类的任何计算机系统I/O设备的代码。
在另一个实施例中，CRTM代码被认为是NVRAM 116内存储的代码的总体。在此实施例中，控制然后被传递给存储在NVRAM 116之外的不安全代码。一般而言，这将是加载操作系统的代码。在IBM PC兼容计算机系统(在一个实施例中，在IBM PC兼容计算机系统的母板中)中，操作系统的加载通常通过执行软件INT 19(其作为存储在NVRAM 116内的最后指令被执行)来被实例化。但是，本领域的技术人员能够使用其他方法来加载操作系统，并且所使用的任何方法都将不会偏离本发明的精神和范围。
权利要求
1.一种方法，所述方法包括以下步骤通过读取指示发生启动的接通电源状况寄存器，判定是否通过启动接通电源开关将电源施加到了计算机系统；以及作为所述判定的功能，影响包括在所述计算机系统内的可信赖平台模块(TPM)的运行。
2根据权利要求1的方法，其中所述接通电源状况寄存器仅可在硬件中设置。
3.根据权利要求1的方法，其中所述判定和影响步骤发生在复位事件之后，并且发生在加载操作系统的OS加载事件之前。
4.根据权利要求3的方法，其中所述OS加载事件是所述复位事件之后的INT 19h的第一实例。
5.根据权利要求3的方法，其中所述复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。
6.根据权利要求3的方法，其中所述影响步骤进一步包括以下步骤在所述TPM中设置物理存在标志。
7.根据权利要求6的方法，其中所述影响步骤进一步包括以下步骤在所述TPM中设置物理存在锁定标志。
8.根据权利要求1的方法，其中所述判定和影响步骤发生在复位事件之后，并且发生在计算机系统I/O设备可用之前，其中所述计算机系统I/O设备是从包括键盘设备、视频设备以及指点设备的组中选择的设备。
9.根据权利要求8的方法，其中所述复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。
10.根据权利要求1的方法，其中所述影响步骤是限制所述TPM的运行以响应所述判定步骤中的所述接通电源开关没有被启动的判定的步骤。
11.根据权利要求1的方法，其中所述影响步骤是允许预定的可信赖操作在所述TPM中执行以响应如所述判定步骤中判定的通过启动所述接通电源开关来施加电源的步骤。
12.一种方法，所述方法包括以下步骤通过读取指示发生启动的接通电源状况寄存器，判定是否通过启动连接到计算机系统的接通电源开关将电源施加到了所述计算机系统，其中所述接通电源状况寄存器仅可在硬件中设置；配置包括在所述计算机系统内的可信赖平台模块(TPM)的物理存在标志以指示没有物理存在，以响应所述判定步骤中的所述接通电源开关没有被启动的判定；其中所述判定和配置步骤发生在系统复位事件之后并且发生在OS加载事件之前，并且作为所述配置步骤的功能，限制所述TPM的运行。
13.根据权利要求12的方法，进一步包括以下步骤通过在所述TPM中设置物理存在锁定标志来锁定所述TPM中的所述物理存在标志；其中所述锁定步骤发生在所述系统复位事件之后并且发生在所述OS加载事件之前。
14.根据权利要求13的方法，其中所述OS加载事件是加载操作系统的事件，并且其中所述系统复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。
15.根据权利要求14的方法，其中所述加载操作系统的事件是所述系统复位事件之后的INT 19h的第一实例。
16.一种方法，所述方法包括以下步骤通过读取指示发生启动的接通电源状况寄存器，判定是否通过启动连接到计算机系统的接通电源开关将电源施加到了所述计算机系统，其中所述接通电源状况寄存器仅可在硬件中设置；配置包括在所述计算机系统内的可信赖平台模块(TPM)的物理存在标志以指示物理存在，以响应如所述判定步骤中判定的通过启动所述接通电源开关来施加电源；其中所述判定和配置步骤发生在系统复位事件之后并且发生在OS加载事件之前，并且作为所述配置步骤的功能，允许预定的可信赖操作在所述TPM中执行。
17.根据权利要求16的方法，进一步包括以下步骤通过在所述TPM中设置物理存在锁定标志来锁定所述TPM中的所述物理存在标志；其中所述锁定步骤发生在所述系统复位事件之后并且发生在所述OS加载事件之前。
18.根据权利要求17的方法，其中所述OS加载事件是加载操作系统的事件，并且其中所述系统复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。
19.根据权利要求18的方法，其中所述加载操作系统的事件是所述系统复位事件之后的INT 19h的第一实例。
20.一种程序产品，所述程序产品包括其中包含计算机可读程序代码的计算机可用介质，当所述程序产品中的所述计算机可读程序代码执行时可有效进行以下操作通过读取指示发生启动的接通电源状况寄存器，判定是否通过启动接通电源开关将电源施加到了计算机系统；以及作为所述判定的功能，影响包括在所述计算机系统内的可信赖平台模块(TPM)的运行。
21.一种程序产品，所述程序产品包括其中包含计算机可读程序代码的计算机可用介质，当所述程序产品中的所述计算机可读程序代码执行时可有效进行以下操作通过读取指示发生启动的接通电源状况寄存器，判定是否通过启动连接到计算机系统的接通电源开关将电源施加到了所述计算机系统，其中所述接通电源状况寄存器仅可在硬件中设置；配置包括在所述计算机系统内的可信赖平台模块(TPM)的物理存在标志以指示没有物理存在，以响应指示所述接通电源开关没有被启动的所述判定；其中所述判定和配置发生在系统复位事件之后并且发生在OS加载事件之前，并且作为所述配置的功能，限制所述TPM的运行。
22.一种程序产品，所述程序产品包括其中包含计算机可读程序代码的计算机可用介质，当所述程序产品中的所述计算机可读程序代码执行时可有效进行以下操作通过读取指示发生启动的接通电源状况寄存器，判定是否通过启动连接到计算机系统的接通电源开关将电源施加到了所述计算机系统，其中所述接通电源状况寄存器仅可在硬件中设置；配置包括在所述计算机系统内的可信赖平台模块(TPM)的物理存在标志以指示物理存在，以响应根据所述判定的通过启动所述接通电源开关来施加电源；其中所述判定和配置发生在系统复位事件之后并且发生在OS加载事件之前，并且作为所述配置的功能，允许预定的可信赖操作在所述TPM中执行。
23.一种装置，所述装置包括可信赖平台模块(TPM)；其中存储有计算机可读程序代码的非易失性存储器；以及电路板，所述电路板连接所述TPM和所述非易失性存储器，并且所述电路板包括处理器，所述处理器执行存储在所述非易失性存储器中的所述代码，并且所述电路板进一步包括状况寄存器，所述状况寄存器呈现接通电源状况状态，该状态指示将电源施加到所述电路板如何被最近地启动；其中当执行存储在所述非易失性存储器中的所述代码时，所述处理器可有效地进行以下操作读取所述状况寄存器的所述接通电源状况状态；根据从所述状况寄存器读取的所述接通电源状况状态，判定将电源施加到所述电路板是否是通过启动被连接到所述电路板的接通电源开关来被最近地启动的；以及作为所述判定的接通电源状态的功能，发布影响所述TPM的运行的命令。
24.根据权利要求23的装置，其中所述状况寄存器仅可在硬件中设置。
25.根据权利要求23的装置，其中可有效进行读取、判定以及发布的所述代码在复位事件之后执行，并且在存储在所述非易失性存储器之外的代码的执行之前执行。
26.根据权利要求23的装置，其中可有效进行读取、判定以及发布的所述代码在复位事件之后执行，并且在加载操作系统的代码的执行之前执行。
27.根据权利要求26的装置，其中所述加载操作系统的代码是在所述复位事件之后的INT 19h的第一实例。
28.根据权利要求25的装置，其中所述复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。
29.根据权利要求25的装置，其中当存储在所述非易失性存储器中的所述代码执行时可进一步有效进行以下操作在所述TPM中设置物理存在标志。
30.根据权利要求29的装置，其中当存储在所述非易失性存储器中的所述代码执行时可进一步有效进行以下操作在所述TPM中设置物理存在锁定标志。
31.根据权利要求23的装置，其中可有效进行读取、判定以及发布的所述代码在复位事件之后执行，并且在访问计算机系统I/O设备的代码的任何执行之前执行，其中所述计算机系统I/O设备是从包括键盘设备、视频设备以及指点设备的组中选择的设备。
32.根据权利要求23的装置，其中根据从所述状况寄存器读取的接通电源状况状态，所述发布的命令限制所述TPM的运行，以响应在最近启动的施加电源中所述接通电源开关没有被启动的判定。
33.根据权利要求23的装置，其中根据从所述状况寄存器读取的接通电源状况状态，所述发布的命令允许预定的可信赖操作在所述TPM中执行，以响应在最近启动的施加电源中所述接通电源开关被启动的判定。
34.一种装置，所述装置包括可信赖平台模块(TPM)；其中存储有计算机可读程序代码的非易失性存储器；以及电路板，所述电路板连接所述TPM和所述非易失性存储器，所述电路板具有处理器和状况寄存器，所述状况寄存器仅可在硬件中设置并且呈现接通电源状况状态，该状态指示将电源施加到所述电路板如何被最近地启动；其中所述处理器和所述非易失性存储器被布置在所述电路板上，以便执行其上存储为由所述处理器响应复位事件而执行的初始代码的代码，当所述代码执行时可有效进行以下操作读取所述状况寄存器的所述接通电源状况状态；根据从所述状况寄存器读取的所述接通电源状况状态，判定将电源施加到所述电路板是否是通过启动被连接到所述电路板的接通电源开关来被最近地启动的；以及在所述TPM中配置物理存在标志以指示没有物理存在，以响应所述接通电源开关没有被启动的判定；其中可有效进行读取、判定以及配置的所述代码在OS加载事件之前执行，并且其中作为配置的物理存在标志的功能，所述TPM的运行被限制。
35.根据权利要求34的装置，其中当存储在所述非易失性存储器中的所述代码执行时可进一步有效进行以下操作通过在所述TPM中设置物理存在锁定标志来锁定所述TPM中的物理存在标志；其中所述代码在OS加载事件之前锁定所述物理存在标志。
36.根据权利要求35的装置，其中所述OS加载事件是加载操作系统的事件，并且其中所述复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。
37.根据权利要求36的装置，其中所述加载操作系统的事件是所述复位事件之后的INT 19h的第一实例。
38.一种装置，所述装置包括可信赖平台模块(TPM)；其中存储有计算机可读程序代码的非易失性存储器；以及电路板，所述电路板连接所述TPM和所述非易失性存储器，所述电路板具有处理器和状况寄存器，所述状况寄存器仅可在硬件中设置并且呈现接通电源状况状态，该状态指示将电源施加到所述电路板如何被最近地启动；其中所述处理器和所述非易失性存储器被布置在所述电路板上，以便执行其上存储为由所述处理器响应复位事件而执行的初始代码的代码，当所述代码执行时可有效进行以下操作读取所述状况寄存器的所述接通电源状况状态；根据从所述状况寄存器读取的所述接通电源状况状态，判定将电源施加到所述电路板是否是通过启动被连接到所述电路板的接通电源开关来被最近地启动的；以及在所述TPM中配置物理存在标志以指示物理存在，以响应所述接通电源开关被启动的判定；其中可有效进行读取、判定以及配置的所述代码在OS加载事件之前执行，并且其中作为配置的物理存在标志的功能，预定的可信赖操作被允许在所述TPM中执行。
39.根据权利要求38的装置，其中当存储在所述非易失性存储器中的所述代码执行时可进一步有效进行以下操作通过在所述TPM中设置物理存在锁定标志来锁定所述TPM中的物理存在标志；其中所述代码在OS加载事件之前锁定所述物理存在标志。
40.根据权利要求39的装置，其中所述OS加载事件是加载操作系统的事件，并且其中所述复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。
41.根据权利要求40的装置，其中所述加载操作系统的事件是所述复位事件之后的INT 19h的第一实例。
42.一种母板，所述母板包括电路板，所述电路板具有未填充的处理器插槽和状况寄存器，所述状况寄存器呈现接通电源状况状态，该状态指示将电源施加到所述电路板是如何被最近启动的；安装在所述电路板上的可信赖平台模块(TPM)；以及非易失性存储器，所述非易失性存储器安装在所述电路板上并由此与所述TPM相连，并且所述非易失性存储器其中存储有计算机可读程序代码；当存储在所述非易失性存储器中的所述代码执行时可有效进行以下操作读取所述状况寄存器的所述接通电源状况状态；根据从所述状况寄存器读取的所述接通电源状况状态，判定将电源施加到所述电路板是否是通过启动被连接到所述电路板的接通电源开关来被最近地启动的；以及作为判定的接通电源状态的功能，发布影响所述TPM的运行的命令。
43.根据权利要求42的母板，其中指示通过启动所述接通电源开关来施加电源的所述状况寄存器仅可在硬件中设置。
44.根据权利要求42的母板，其中可有效进行读取、判定以及发布的所述代码在复位事件之后执行，并且在存储在所述非易失性存储器之外的代码的执行之前执行。
45.根据权利要求42的母板，其中可有效进行读取、判定以及发布的所述代码在复位事件之后执行，并且在加载操作系统的代码的执行之前执行。
46.根据权利要求45的母板，其中加载操作系统的所述代码是在所述复位事件之后的INT 19h的第一实例。
47.根据权利要求44的母板，其中所述复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。
48.根据权利要求44的母板，其中当存储在所述非易失性存储器中的所述代码执行时可进一步有效进行以下操作在所述TPM中设置物理存在标志。
49.根据权利要求48的母板，其中当存储在所述非易失性存储器中的所述代码执行时可进一步有效进行以下操作在所述TPM中设置物理存在锁定标志。
50.根据权利要求42的母板，其中可有效进行读取、判定以及发布的所述代码在复位事件之后执行，并且在访问计算机系统I/O设备的代码的任何执行之前执行，其中所述计算机系统I/O设备是从包括键盘设备、视频设备以及指点设备的组中选择的设备。
51.根据权利要求42的母板，其中根据从所述状况寄存器读取的接通电源状况状态，所述发布的命令限制所述TPM的运行，以响应在最近启动的施加电源中所述接通电源开关没有被启动的判定。
52.根据权利要求42的母板，其中根据从所述状况寄存器读取的接通电源状况状态，所述发布的命令允许预定的可信赖操作在所述TPM中执行，以响应在最近启动的施加电源中所述接通电源开关被启动的判定。
53.一种母板，所述母板包括可信赖平台模块(TPM)；其中存储有计算机可读程序代码的非易失性存储器；以及电路板，所述电路板连接所述TPM和所述非易失性存储器，所述电路板具有未填充的处理器插槽和状况寄存器，所述状况寄存器仅可在硬件中设置并且呈现接通电源状况状态，该状态指示将电源施加到所述电路板是如何被最近启动的；其中所述非易失性存储器被布置在所述电路板上，以便执行其上存储为响应复位事件而执行的初始代码的代码，当所述代码执行时可有效进行以下操作读取所述状况寄存器的所述接通电源状况状态；根据从所述状况寄存器读取的所述接通电源状况状态，判定将电源施加到所述电路板是否是通过启动被连接到所述电路板的接通电源开关来被最近地启动的；以及在所述TPM中配置物理存在标志以指示没有物理存在，以响应所述接通电源开关没有被启动的判定；其中可有效进行读取、判定以及配置的所述代码在存储在所述非易失性存储器之外的代码的执行之前执行，并且其中作为配置的物理存在标志的功能，所述TPM的运行被限制。
54.根据权利要求53的母板，其中当存储在所述非易失性存储器中的所述代码执行时可进一步有效进行以下操作通过在所述TPM中设置物理存在锁定标志来锁定所述TPM中的物理存在标志；其中所述代码在存储在所述非易失性存储器之外的代码的执行之前锁定所述物理存在标志。
55.根据权利要求54的母板，其中所执行的存储在所述非易失性存储器之外的代码是加载操作系统的代码，并且其中所述复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。
56.根据权利要求55的母板，其中加载操作系统的所述代码是所述复位事件之后的INT 19h的第一实例。
57.一种母板，所述母板包括可信赖平台模块(TPM)；其中存储有计算机可读程序代码的非易失性存储器；以及电路板，所述电路板连接所述TPM和所述非易失性存储器，所述电路板具有未填充的处理器插槽和状况寄存器，所述状况寄存器仅可在硬件中设置并且呈现接通电源状况状态，该状态指示将电源施加到所述电路板是如何被最近启动的；其中所述非易失性存储器被布置在所述电路板上，以便执行其上存储为响应复位事件而执行的初始代码的代码，当所述代码执行时可有效进行以下操作读取所述状况寄存器的所述接通电源状况状态；根据从所述状况寄存器读取的所述接通电源状况状态，判定将电源施加到所述电路板是否是通过启动被连接到所述电路板的接通电源开关来被最近地启动的；以及在所述TPM中配置物理存在标志以指示物理存在，以响应所述接通电源开关被启动的判定；其中可有效进行读取、判定以及配置的所述代码在存储在所述非易失性存储器之外的代码的执行之前执行，并且其中作为配置的物理存在标志的功能，预定的可信赖操作被允许在所述TPM中执行。
58.根据权利要求57的母板，其中当存储在所述非易失性存储器中的所述代码执行时可进一步有效进行以下操作通过在所述TPM中设置物理存在锁定标志来锁定所述TPM中的物理存在标志；其中所述代码在存储在所述非易失性存储器之外的代码的执行之前锁定所述物理存在标志。
59.根据权利要求58的母板，其中所执行的存储在所述非易失性存储器之外的代码是加载操作系统的代码，并且其中所述复位事件是从包括硬件启动复位和软件启动复位的组中选择的事件。
60.根据权利要求59的母板，其中加载操作系统的所述代码是所述复位事件之后的INT 19h的第一实例。
全文摘要
本发明提供了一种计算机系统(以及用于计算机系统的母板)，所述系统提供了可信赖的平台，借助该平台可以执行提高了信赖和信任水平的操作。所述计算机系统(或母板)的信赖基础通过加密协处理器以及通过与该加密协处理器联系并为所述平台建立信赖量度基础的代码来建立。所述加密协处理器被这样构建只有已检测到操作者的物理存在，才允许特定的关键操作。根据核心芯片组(例如，在母板上)中的寄存器的状况，通过推断来判定物理存在。
文档编号G06F1/26GK1723427SQ200480001747
公开日2006年1月18日 申请日期2004年4月8日 优先权日2003年4月10日
发明者R·C·卡瑟曼, S·D·古德曼, J·P·霍夫, R·S·斯普林菲尔德, J·P·沃德 申请人:国际商业机器公司