通过物理地连接或断开可热插拔设备来向受信平台模块确立物理存在的制作方法
【技术领域】
[0001]本发明涉及一种具有受信平台模块的系统,以及向受信平台模块确立物理存在的方法。
【背景技术】
[0002]受信平台模块(TPM)是存储密钥、密码和数字证书的微控制器。TPM通常被安装在计算机或者任何需要这些功能的计算设备的母版上。这种微控制器的性质确保使得在计算机上的存储的信息更安全而免受外部软件攻击和物理盗窃。诸如数字签名和密钥交换之类的安全处理通过TPM来被保护。例如,如果启动程序(sequence)并不如预期则TPM可以拒绝对平台中的数据和秘密的访问。从而使得诸如安全电子邮件、安全网页访问以及数据的本地保护之类的关键应用和功能更加地安全。
【发明内容】
[0003]本发明的一个实施例提供了一种方法,该方法包括:响应于检测到可热插拔设备与计算节点的端口的物理连接中的变化而向计算节点的受信平台模块确立物理存在信号,其中可热插拔设备与端口的物理连接中的变化从将可热插拔设备物理地连接到端口、将可热插拔设备与端口物理地断开连接、以及它们的组合中来选择。
[0004]本发明的另一个实施例提供了一种包括计算机可读程序代码的计算机程序产品,该计算机可读程序代码被体现在计算机可读存储介质上,该计算机程序产品包括:计算机可读程序代码,用于响应于检测到可热插拔设备与计算节点的物理连接中的变化而向计算节点的受信平台模块确立物理存在信号,其中可热插拔设备与端口的物理连接中的变化从将可热插拔设备物理地连接到端口、将可热插拔设备与端口物理地断开连接、以及它们的组合中来选择。
[0005]本发明的再一个实施例提供了一种计算节点,包括:具有受信平台模块的母板;端口,用于将可热插拔设备选择性地耦合为与母板通信;以及被耦合到端口的电路,用于检测可热插拔设备与端口的物理连接中的变化并且用于响应于检测到可热插拔设备与端口的物理连接中的变化而向受信平台模块确立物理存在信号,其中可热插拔设备与端口的物理连接中的变化从将可热插拔设备物理地连接到端口、将可热插拔设备与端口物理地断开连接、以及它们的组合中来选择。
【附图说明】
[0006]图1是计算节点的图,其包括用于响应于检测到在该计算节点的USB端口中的USB设备的物理存在来向受信平台模块确立物理存在的电路。
[0007]图2A是与计算节点的USB端口物理地断开连接的USB设备的图。
[0008]图2B是与计算节点的USB端口物理地连接的USB设备的图。
[0009]图3是包括在具有受信平台模块的计算节点中确立物理存在的方法的流程图。
【具体实施方式】
[0010]本发明的一个实施例提供了一种方法,该方法包括:响应于检测到可热插拔设备与计算节点的端口的物理连接中的变化而向该计算节点的受信平台模块确立(a s s e r t)物理存在信号,其中可热插拔设备与端口的物理连接中的变化从将可热插拔设备物理地连接到端口、将可热插拔设备与端口物理地断开连接、以及它们的组合中来选择。
[0011]可热插拔设备可以是任何种类或者具有任何插拔结构。然而,可热插拔设备优选地为对于用户来说是易于取得的以用于人工地抓握该可热插拔设备从而物理地连接或者物理地断开该设备。更优选地,计算节点的端口可以是可外部访问的,例如被暴露在计算节点的前面板上。此外,计算节点可以是安装在多刀片式机箱中的窄刀片。例如,ITE(信息技术设备)或计算节点的前面板可以差不多仅具有电源按钮和一个或多个的端口。根据本发明的实施例,端口(而不是按钮)可以被用来引起物理存在的确立。此外,本发明的实施例可以确立物理存在而不需要(如在一些现有的计算节点中的那样)用户从机箱移除节点、打开节点、切换(toggle)节点内的开关或跳线(jumper)。
[0012]在一个非限制示例中,计算节点具有USB端口并且可热插拔设备具有USB连接器,该USB连接器可物理地连接至USB端口以及可与USB端口物理地断开。可以以这种方式使用各种通用可热插拔USB设备中的任何可热插拔USB设备,例如USB闪速驱动器(也称为拇指驱动器)或硬盘驱动器。按照本发明,可热插拔设备的具体功能是不重要的。
[0013]在另一个实施例中,可以通过检测计算节点的端口上的电压变化来检测可热插拔设备与计算节点的物理连接中的变化。可热插拔设备与端口之间的电连接允许在计算节点内的电路来检测电压变化。具体而言,当先前未连接的可热插拔设备连接至端口时电路可以检测到电压变化并且当已连接的可热插拔设备与端口断开时也可以检测到电压变化。
[0014]可选地,可以响应于检测到在预定时间段内的可热插拔设备与计算节点的物理连接中的至少预定数量的变化(二或者更多)而向受信平台模块确立物理存在信号。为了引起物理连接中的该预定数量的变化,有必要使用将可热插拔设备连接至计算节点的端口和将可热插拔设备与计算节点的端口断开的某种组合。作为非限制示例,如果物理存在的确立需要在五秒的时段内的物理连接中的三次变化,那么用户可以物理地处置USB闪速驱动器,并且在五秒的预定时段内:(I)将USB闪速驱动器连接至USB端口,(2)将USB闪速驱动器与USB端口断开,以及⑶将USB闪速驱动器重新连接至USB端口。备选地但是仍在同一非限制示例中,已经连接至USB端口的USB闪速驱动器可以通过在五秒的预定时段内如下被物理地处置以确立物理存在:(I)将USB闪速驱动器与USB端口断开,(2)将USB闪速驱动器重新连接至USB端口,以及(3)将USB闪速驱动器再次与USB端口断开。在又一选项中,可以响应于检测到按照预定模式发生的可热插拔设备与计算节点的物理连接中的多个变化而向计算节点的受信平台模块确立物理存在信号。
[0015]在又一个实施例中,在向计算节点的受信平台模块确立物理存在信号之前还需要满足附加条件。例如,可以响应于如下操作则而向计算节点的可信平台模块确立物理存在信号:(a)检测到可热插拔设备与计算节点的物理连接中的变化;以及(b)通过计算节点的软件接口使能该物理存在信号。需要多个条件(比如这两个条件)提供更强的安全性以防止无意中确立物理存在。在这个示例中,用户意外地连接、断开以及重新连接USB闪速驱动器将不足以确立物理存在。相反,经过适当授权的用户可以登录到软件接口,诸如用于维持TPM设置的接口,并且就在进行连接、断开和重新连接USB闪速驱动器(S卩,按照早先的非限制示例在少于五秒内引起三个电压变化)之前使能物理存在信号(或许使能达预定时间段)O
[0016]在又一实施例中,该方法可以允许在物理存在信号的确立之后的预定时间段期间修改计算节点的一个或多个设置。备选地,该方法可以在物理确立信号在请求修改一个或多个设置之后的预定时间段内被确立的情况下允许修改计算节点的一个或多个设置。例如,该一个或多个设置可以影响受信平台模块的操作。可以被物理存在保护的设置的一个非限制示例是“安全启动”功能。当被使能时,“安全启动”只启动操作系统(OS),其启动加载器已被来自操作系统开发商(比如微软公司)的秘钥所标记。因此,本发明的物理存在确立可以被用来防止恶意黑客禁用“安全启动”功能。
[0017]本发明的另一实施例提供包括计算机可读程序代码的计算机程序产品,所述计算机可读程序代码被体现在计算机可读存储介质上。该计算机程序产品包括计算机可读程序代码,用于响应于检测到可热插拔设备与计算节点的物理连接中的变化而向该计算节点的受信平台模块确立物理存在信号,其中可热插拔设备与端口的物理连接中的变化从将可热插拔设备物理地连接到端口、将可热插拔设备与端口物理地断开连接、以及它们的组合中来选择。
[0018]前述计算机程序产品可以进一步包括用于实