专利名称:可信平台现场升级系统和方法
可信平台现场升级系统和方法
背景技术:
可信计算组(TCG)开发并促进了诸如可信平台模块(TPM)的用于 硬件使能(hardware-enabled )的可信计算和安全技术的工业标准规范。 TPM使得能够安全存储数字密钥,证书和密码,并且更不易受到软件和 硬件的攻击。 一般而言,TPM在没有"所有者,,的情况下被传送给顾客, 从而使得顾客能够获得TPM的"所有权",这反过来方便了 TPM的使能 /禁用 (enablement/disablement )和 TPM 功能的5效活/无承丈 (activation/deactivation )。 一旦在现场(例如"制造完成"), 可能希望或要求对TPM功能升级。然而,当准备实施或执行现场升级时, TPM的所有权不一定被建立,从而阻碍了现场升级的应用。
为了更完善地理解本发明和其优势,现在结合附图参考以下的描 述,在附图中
图1是示出根据本发明的可信平台现场升级系统的实施例的方框 图;以及
图2A和图2B是示出根据本发明的可信平台现场升级方法的实施例 的流程图。
具体实施例方式
本发明的优选实施例和其优势可以通过参考图1-2B来最好地理 解,同样的附图标记用于表示各图中相同的和对应的部分。
图1示出根据本发明的可信平台现场升级系统10的实施例的方框 图。在图l所示的实施例中,系统10包括具有布置在主板16上的可信 平台模块(TPM) 14的计算系统12。 一般而言,TPM14用于存储和报告 在系统12的平台18上的特定软件和硬件的测量值(完整性度量)。例 如,在本发明的一些实施例中,TPM14用于测量、存储和报告硬盘20和 诸如基本输入/输出系统(BIOS) 24的嵌入式固件22的完整性。然而, 应当理解TPM14可以用于存储和报告其它装置和/或硬件的完整性,并且用于安全地存储平台信息和秘密,诸如密码、密钥和证书。
在图1所示的实施例中,系统12包括至少一个操作系统(0S) 30 和一个或多个可扭j亍的应用32。另外,主板16 ;故配置为具有中央处理 单元(CPU) 40和存储器42。在图l所示的实施例中,TPM14包括微处 理器50、加密引擎52、非易失性存储器54和易失性存储器56。应当理 解TPM 14可以包括其他组件,例如但不限于平台配置寄存器、充当TPM 14的接口的输入/输出组件、随机数生成器、密钥生成引擎和程序代码。
在图1所示的实施例中,非易失性存储器54包括存储和/或包含在 其中的密钥60和自身拥有的标志(owned flag) 62。密钥60—般至少 包括一个存储根密钥(SRK )和用于执行与TPM14相关的鉴权 (authentication)、签名、验证、签注或捆绑功能的一个平台签注密 钥。其它密钥,如果存在的话,进一步通过SRK加以保护。自身拥有的 标志62包括存储在非易失性存储器54中的指示TPM的所有权是否已经 被建立的比特。例如,TPM通常在没有所有者的情况下被传送给顾客或 终端用户,从而使得顾客或终端用户能够获得TPM的所有权以方便TPM 的使能/禁用和T P M功能的激活/无效。 一 旦T P M的所有权已经被建立, 自身拥有的标志62被设置为真状态,并且在非易失性存储器54中保持 该状态直到#皮清除和/或以其它方式纟皮复位。
在图1所示的实施例中,易失性存储器56包括存储和/或包含在其 中的物理存在标志64和物理存在标志70。物理存在标志64包括存储在 易失性存储器56中的比特,该比特指示物理存在是否在预操作系统 (pre-0S) 30启动序列期间#皮断言(assert),并且一般而言, 一旦,皮 断言,保持被断言直到预操作系统30启动序列结束。例如,为了使能 和/或处理特定的TPM命令和/或功能,与TPM14相关联的各种操作和/ 或功能要求证明物理存在。物理存在标志64的断言可以在本地(如, 由系统12的操作员)执行或(如,由管理员)远程执行。在预操作系 统30启动循环(boot cycle)期间的物理存在的断言一般会保持断言, 直到启动循环完成。在预操作系统30启动处理之后,清除物理存在标 志64,并且在下一个启动循环对于特定的命令处理一般必须重新断言该 物理存在标志64。通过在预操作系统30启动循环已经完成后设置物理 存在锁定比特(lock bit),来防止在剩余的启动循环期间物理存在标 志64的不恰当的重新断言。在图l所示的实施例中,易失性存储器56也包括物理存在标志70。 物理存在标志70是存储在易失性存储器56中的比特,该比特指示在物 理存在标志64指示物理存在的断言期间物理存在的证明是否已经被建 立以批准执行所选择的一个(或多个)命令直到物理存在标志64已被 清除并且物理存在锁定比特已被设为真(例如,锁定该物理存在标志64 已被清除的状态)之后。因此,与物理存在标志64相反,物理存在标 志70在预操作系统30启动处理之后并不被清除,而是保持设置直到下 一个启动循环。在本发明中,当TPM14的所有权还没有被建立和/或以 其它方式^皮清除时^f吏用物理存在标志70;然而,应当理解也可以在TPM 被拥有时使用物理存在标志70。
在工作中,当物理存在已经被断言TPM14处于非所有权
(non-ownership)状态(例如,物理存在标志70 -没置为真)时,系统 10使能够得在TPM14中执行和/或以其它方式实施现场升级(例如,对 TPM14的现场可升级固件72的升级和/或出厂复位)。例如,在启动序 列和/或预操作系统30过程期间,确定TPM14的所有权是否已经被建立
(例如,通过片全查自身拥有的标志62的状态)。如果TPM14的所有权 还没有#皮建立和/或已经以其它方式^^皮清除,请求物理存在断言并且基 于物理存在是否已经被断言而设置物理存在标志70 (例如,标志70设 置为真指示物理存在的断言,如果物理存在还没有被断言,则标志70 被设置为假)。在本发明的实施例中,在易失性存储器56中保持物理 存在标志70长达OS 30会话的4寺续时间。例如,在BIOS 24对OS 30 的预操作系统30处理和加载之后,物理存在标志70的状态被保持长达 OS 30会话的持续时间。因为物理存在标志70存储在易失性存储器56 中,掉电将清除物理存在标志70(例如,指示'M叚"比特)。此外,BIOS 24优选地被配置为在系统12的每次启动期间自动清除物理存在标志70
(例如,从而使得每次启动系统12时必须断言物理存在)。
根据本发明的优选实施例,当在OS30环境中时(例如,在OS30已 经被加载并运行之后)基于物理存在是否已经如易失性存储器56中的 标志70所指示的^皮断言以便当TPM处于非所有的(non-owned)状态时 批准现场升级,实施和/或以其他方式#1行对TPM14的现场升级。例如, 响应于接收到请求在OS30环境中时执行现场升级的命令,通过访问物 理存在标志7Q来3全证物理存在。如果物理存在还没有^皮断言(例如,如标志70的假状态所指示的),拒绝执行现场升级。然而,如果物理 存在已经被断言(例如,标志70被设置为真),由TPM14执行并实施 现场升级命令。
因此,对于非所有的TPM14,本发明的实施例使得能够在预操作系 统30环境中由系统12的操作员授权现场升级,以在OS30环境期间(例 如,当OS30运行时)促进TPM14的现场升级的执行。因此,本发明的 实施例使得管理员或其它实体能够对还没有所有者的TPM14远程地和/ 或本地地扭J亍TPM14的现场升级。此外,本发明的实施例防止了对TPM14 的全局攻击(例如,如果TPM14销售商的私人密钥已经被泄密 (compromise)),因为现场升级的执行将被拒绝,除非物理存在已经 被建立(例如,如物理存在标志70所指示的)。
图2A和2B是示出根据本发明的可信平台现场升级方法的实施例的 流程图。该方法开始于框200,其中BI0S24开始启动程序或序列(例如, 加电自才企(POST)程序和/或访问TPM14的程序)。在框202中,BIOS24 清除TPM14的物理存在标志70和/或以其他方式使得TPM14的物理存在 标志70被清除(例如,设置标志70为假)。在决策框204中,确定是 否为TPM14建立了所有权(例如,访问和/或以其他方式确定自身拥有 的标志62的状态)。如果为TPM14建立了所有权,该方法进行到框214 以完成BIOS 24 POST程序,其中易失性的物理存在标志70被设为假。 如果TPM14的所有权没有被建立,该方法从决策框204进行到框208, 在框208中请求马全证物理存在。例如,可以显示一才是示,请求操作员和 /或管理员通过按压键盘上的键、点击鼠标、或通过在系统12处要求物 理存在的其它这样的方法来-睑证物理存在。
在决策框210中,确定物理存在是否已经被断言(例如,现场升级 的延緩执行)。如果物理存在还未被断言,该方法进行到框214。应当 理解如果物理存在还未被断言,系统12可以被配置为关闭或者继续启 动。如果物理存在已经被断言,该方法从决策框210进行到框212,其 中物理存在标志7(H皮i殳为真。在框214中,BIOS 24完成POST和/或其 它预操作系统30启动程序。在框216中,BIOS 24加载和/或以其它方 式将系统12的控制转移给OS30。
在决策框218中,确定是否已经接收到对于TPM14的现场升级命令。 如果还未接收到TPM14的现场升级命令,涉及TPM14的现场升级的进一步处理就没有必要了。如果已经接收到TPM14的现场升级命令,该方法 进行到决策框220,在框220确定TPM14的所有权的确定。如果TPM14 的所有权被建立,该方法进行到决策框222,其中确定TPM14的所有权 证书是否被筌权。如果TPM14的所有权证书被鉴权,该方法进行到框 230,其中由TPM14执行和/或以其他方式实施现场升级命令。如果在决 策框222中TPM14的所有权证书没有被鉴权,该方法进行到框228,其 中拒绝实施该现场升级。如果TPM14的所有权没有被建立,该方法从决 策框220进行到框224,其中确定物理存在标志70的状态。如果物理存 在已经被断言(例如,标志70设置为真),该方法进行到框230,其中 由TPM14执行和/或以其他方式实施现场升级命令。如果物理存在还没 有被断言(例如,标志70设置为假),该方法进行到框228,其中拒绝 执行和/或实施所接收的升级。
因此,本发明的实施例使得能够在OS 30会话期间对非所有的TPM14 实施/4丸行TPM14的现场升级。例如,如果没有取得TPM14的所有权, 请求对于现场升级的物理存在批准,并且如果被断言,这种物理存在断 言存储在TPM14的易失性存储器部分中。因此,在工作中,在OS30会 话期间,物理存在断言(例如,标志70)充当用于确定在OS30环境中 时是否执行/实施现场升级的门限(gate)。此外,用于在OS30环境中 时执行现场升级的门限(例如,标志70)在掉电和系统12重启的情况 下被自动清除。
权利要求
1. 一种可信平台现场升级系统(10),包括具有易失性存储器(56)的可信平台模块(TPM)14,该易失性存储器(56)具有用于验证该TPM(14)的非所有权状态中的物理存在的标志(70),该TPM(14)被配置为基于该物理存在标志(70)的断言,使得能够在操作系统(OS)(30)环境中对该TPM(14)进行现场升级。
2. 权利要求1的系统(10),其中该TPM(14)被配置为响应于对物 理存在标志(70)的非断言,拒绝执行现场升级。
3. 权利要求l的系统(10),进一步包括配置为清除物理存在标志 (70)的基本输入/输出系统(BIOS) (24)。
4. 权利要求1的系统(10),进一步包括配置为在预操作系统(30) 启动序列期间清除物理存在标志(70)的BIOS (24)。
5. 权利要求1的系统(10),其中物理存在标志(70)在预操作系 统(30)环境中是可断言的。
6. 权利要求1的系统(10),其中该TPM(14)被配置为在整个OS (30) 会话期间保持物理存在标志(70)的断言。
7. —种可信平台现场升级方法,包括响应于确定可信平台模块TPM (14)的非所有权状态,验证物理存 在断言;并且基于该物理存在断言,使得能够在操作系统(OS) (30)环境中对 该TPM(14)进4亍现场升级。
8. 权利要求7的方法,进一步包括在该TPM(14)的易失性存储器 (56)中设置指示该物理存在断言的标志(70)。
9. 权利要求7的方法,进一步包括在整个OS(30)会话期间保持该物 理存在断言。
10. 权利要求7的方法,进一步包括在预操作系统(30)启动序列期 间清除存储在该TPM(14)的易失性存储器(56)中的指示该物理存在断 言的标志(70)。
全文摘要
可信平台现场升级系统(10)包括具有易失性存储器(56)的可信平台模块(TPM)14,该易失性存储器(56)具有用于验证该TPM(14)的非所有权状态中的物理存在的标志(70),该TPM(14)被配置为使得能够基于该物理存在标志(70)的断言,在操作系统(OS)(30)环境中对TPM(14)进行现场升级。
文档编号G06F21/00GK101432752SQ200780015503
公开日2009年5月13日 申请日期2007年3月30日 优先权日2006年4月28日
发明者G·J·普劳德勒, M·诺沃亚, V·Y·阿利 申请人:惠普开发有限公司