专利名称:一种可信模块的可变优先权通讯装置及其控制方法
技术领域:
本发明涉及一种可信模块的可变优先权通讯装置及其控制方法。
背景技术:
在一般具有多个可信设备(Trusted device, TD)的TPM(Trusted platformmodule, TPM)平台中,TPM主机与各个可信模块TD间进行通信中,往往有如下一些实际情况
(1) 在一般情况下,TD与TPM间进行通信时,主要工作是在进行安全计算和检测,所传输的信息限于密钥、证书、状态、控制、以及少量的其它数据信息,这些通讯的信息量不大,信息量固定,每个TD的通信及处理时间差别不大。
(2) 在TD与TPM进行通信时主要用于证明TD的合法性。每台TD—般情况下都只与TPM控制主机进行通讯,而TD之间没有信息交换。
(3) 要求系统安全性好,TD之间的信息泄露少,使之与安全可信计算环境相匹配。
(4) 由于有些TD在某一时段并没有启动,因此,TPM控制的多个TD会有时在线,而有时不在线,在线的TD也会由于现有的模型结构不一样而形成不同的控制权链路。
基于上述一些情况,TPM与TD通信中往往采用总线拓朴结构或环形结构。在总线型结构中,由于所有TD都共享总线,因此, 一个TD的安全私有信息,如私钥、私有证书等,极易被其它TD所监听,从而导致安全信息的泄露。在环形结构中, 一般需要一个环令牌Token来控制环中的哪个TD拥有通信权力,这涉及到两个问题 一是如何管理Token, 二是当有些TD不在线时,它是无法获得通信权力的,此时它要从环中脱离,这也需要对通信控制权的管理。
5本方案就是根据多TD设备共享总线方式,设计一个对TD可变优先权的自动实现通信权的可控交接方案,并能灵活实现多TD间的通讯次序的可排序性。
TPM模块在一个周期性的时间内与多个TD设备进行安全认证和数据传输。采取的方式一种是周期查询方式。由于每个TD与TPM间的通信量都差不多,因此实5见TPM与多个TD间的时间片轮询的查询方式。此方式中,控制主才几4巴一个定时间片分为N个小时间片,分别使N个TD模块在每个小时间片内进行读写,控制模块TPM依照时间片轮换唤醒各个TD才莫块,让其与TPM才莫块进入与对应TD的通信状态。在这种方式下,TPM才莫块当至始至终地与多个TDi殳备进行循环查询和轮环通讯,因此TPM模块的利用率较低,特别是当一部分TD设备没有数据通讯要求时,时间片仍然要分配给它,致使整个系统效率大大降低。在这种循环调度方式中,随着时间的移动,每台TD设备与TPM模块的通讯权力和通讯时间是平等的,各台TD设备的优先级也不断改变,TPM分配给每个TD模块的时间也大致相等,不会出现由于某个TD与TPM模块之间通讯时间长而出现低级中断丟失数据的现象。
另一种是中断方式。在这种方式下,控制模块TPM并不关心什么时候与TD设备进行数据通讯,而是打开中断。TD设备中若有认证请求或数据需要与TPM模块进行数据交换时,则向它提请中断申请。这种方式大大提高了整个系统的的效率,但在这种方式下,往往会出现一个TD设备与TPM模块的通信尚未结束,其它的TD设备又要向TPM模块申请通信,这就导致了 TPM才莫块与TD设备通信中的沖突和嵌套,解决此冲突最好方式是进行链式中断优先级排队,在一个通信过程尚未结束时,又有下一个TD设备要申请中断时,则进行中断的登记、排队,并根据中断优先级而进行中断的嵌套处理,这同时又带来嵌套层数的问题,以及低优先级的TD设备所占用时间片太少而通信不能及时完成的问题。
在可信计算环境中,由于中断随机性和对设备的扩展性的要求,在可信任系统中TD与TPM之间采用这种随机的中断方式, 一方面增加系统控制的难度,另一方面,也未考虑到可信系统中TD与TPM之间通信过程中数据量较固定、通信安全性要求较高、TD的在线与离线等方面的考虑。
发明内容
针对现有技术的缺点,本发明的目的是提供一种根据可信设备的中断请求而由优先级环链管理的控制筒单的可信模块的可变优先权通讯装置及其控制方法。
为实现上述目的,本发明的技术方案为 一种可信模块的可变优先权通讯装置,包括TPM及通过共享总线与TPM通信的多个可信设备,共享总线与TPM之间还包括有依次连接的控制某个可信设备具有通讯资格的通讯权控制模块、对多个可信设备的优先级进行调整的可变优先权管理模块、保证各个可信设备的请求和数据通讯实时和正确传输的通讯次序保证模块及将系统的优先权转给下一个次高优先权可信设备的交权模块。
该通讯权控制模块包括第i个可信设备上的第三数据端口和第i+l个可信设备上的中断请求脚连接且第N个可信设备的第三数据端口与第1个可信设备的中断请求脚连接所形成的一个闭合环链,还包括一个N位锁存器,用于保存每个可信设备第一数据端口的状态位,该值由各个可信设备进行置/复位,且该锁存器被各个可信设备访问,其中1《i《N。
该通讯权控制模块还设置有将N个可信设备是否加入闭合环链的电子控制开关K。一KN—,,其受锁存器相应的状态位的联动控制,若锁存器中的某位是1,则对应可信设备通过电子控制开关Ki联动接通中断请求脚,进入闭合环链,否则该开关接向该可信设备的第三数据端口 ,连接至闭合环链的下一个可信设备的中断请求脚。
可变优先权管理模块包括在每个可信设备的第三数据端口通过两个串联的三态緩沖门连接至中断请求脚。
一种可信模块的可变优先权通讯装置的控制方法,其包括以下步骤
a. 利用通讯权控制模块控制某个可信设备具有通讯资格;
b. 通过可变优先权管理模块对多个可信设备的优先级进行调整,并实时才全测离线可信设备,使之脱离优先级环链路;C.通过通讯次序保证模块负责保证优先权环链路上各个可信设备的请求和
数据通讯的实时和正确传输;
d.当某个可信设备的服务结束后,或者其固定的时间片到达后,将通过交 权模块将系统的优先权转给下一个次高优先权的可信设备。
在步骤a中,对于N台可信设备,用一个优先级排队链路链接,将正在与TPM 主机通信的可信设备具有最高优先级,而再次进入排队队列的可信设备按中断 申请时间顺序排队。
在步骤b中,可信设备通过其第二数据端口向TPM发出请求发送信号,其由 整个锁存器当时状态决定,当某可信设备的时间到,可信设备通过其第一数据 端口向锁存器对应的状态为置l,同时4全查锁存器的其它位,若其它N-1位全为0, 则该可信设备立即由第二凄t据端口申请发出请求信号,并将该可信设备引脚中 的忙信号BUSY和REN置为1;当该可信设备发送完数据后,将锁存器对应状态位 清零,退出闭合环链,同时,再检查锁存器的其它位是否全为O,若不全为0, 该可信设备由第二数据端口发出中断信号,通知次高优先权的可信设备接替控 制权,下一台可信设备从中断请求脚接收到信号后,即可请求发送,占有通讯 控制权。
在步骤d中,每个可信设备的第三数据端口通过两个串联的三态緩冲门连4妻 至中断请求脚,当具有最高优先级的可信设备正在通讯时,其第一三态緩冲门 的控制门打开,第二三态緩冲门的控制门关闭,而将下一级别可信设备的第三 三态緩沖门的控制门关闭,第四三态緩沖门的控制门打开,当该可信设备通信 完成后,通过其第三数据端口向下一级别的可信设备发出交权命令,下一级别 的可信设备取得控制权后,立即向TPM申请中断,该可信设备的交权过程结束, 退出可变环链。
本发明与现有技术相比具有如下优点和有益效果多TD设备采用共享总线 的情况下实现可变环链的优先权管理, 一方面可以在不改变现有计算机体系结
8构的基础上实现可信模块及外设的管理,同时根据设备的中断请求而由优先级 环链管理,系统中的离线设备可动态地进入或退出环链,提高系统的效率。
图l是本发明的系统框图2是本发明可信模块的可变优先权通讯装置的工作原理图; 图3是本发明的可变环链的原理图; 图4是本发明的通讯权控制原理图; 图5是本发明的可变环链的电路实现原理图; 图6是本发明改进的环链实现原理图; 图7是本发明的交权信号传递原理图。
具体实施例方式
图l是系统的模块框架示意图。系统由通讯权控制模块、可变优先权管理模 块、通讯次序保证模块和交权模块等组成。多个TD设备通过共享总线与TPM相 连和通信,哪个TD设备具有通讯资格是在通讯控制权控制模块的作用下实现。 系统中多个设备的优先级是可调整的,在可变优先权管理模块的作用下可以对 系统的优先级进行在线可控,并可以实时检测离线设备,并使之脱离优先级环 链路。通讯次序保证模块负责保证优先权环链路上各个TD设备的请求和数据通 讯的实时和正确传输。当某个TD设备的服务结束后,或者其固定的时间片到达 后,将通过交权电路将系统的优先权转给下一个次高优先权的设备。
图3是实现通讯控制权原理图。为了每个TD设备能及时地完成数据的传送任 务,必须保证以下几点
1 )每台TD设备都能申请与TPM控制模块进行数据通讯,而且在申请后的特 定时间内能够进行数据传送。
2)当某一台TD设备与TPM控制模块正在通讯时,其它主机不能通信。
93) 某TD设备申请通信而不能得到响应时,应自动地进入排队等待。
4) 每台TD设备都必须在时间T内有发送数据的控制权,以确保认证的有效 性和传输过程中数据不丟失。
由于TD设备得到控制权即是向TPM申请中断发送数据,因此其控制权也是 数据发送的权力。
对于N台TD设备,为了显示其通信权力,必须用一个优先级排队链路链接, 让正在与TPM主机通信的TDi殳备具有最高优先级,而再次进入排队队列的TD设 备按中断申请时间顺序排队。通讯控制权电路如图3.
采用一种可控的硬件电路实现对优先权的管理,通讯控制权交接过程如下 假定每台TD设备采用三位数据端口P1,P2和P3。通过个三个信号输出有关信号, N台TD设备通过P3和中断请求脚(INT(^)连接成了 一个闭合环链,并通过设置一 个N位锁存器(图中a)保存每个TD设备的P1端口的值,它的数据由各个TD设备 进行置/复位,且这个锁存器可以被各个TD设备访问。
系统初始化后,锁存器清零,在每个TD设备的定时时间T到时,随即通过 Pl脚将锁存器中的相应位置l,对于定时时间未到或处于停机状态的TD设备,相 应锁存器的位置O.
系统设置N个TD设备是否加入环链的电子控制开关KO--KN-l,它受锁存器 相应的状态位P1的联动控制,若锁存器中的某位是l,则对应TD设备Ki通过联动 开关接通INTO弁脚,进入环链,否则该开关接向该TD设备的P3脚,即指向闭合 环的下一个TD设备的INTOl显然,此时该机从环链中脱出。
P2信号作为各TD设备"请求发送信号",但并不是任何一台TD设备在规定 时间到后都能请求发送,而是由整个锁器器当时状态决定。当某TD设备的时间 到,它先置P1-1,即使锁存器相应位为l,同时检查锁存器的其它位,若其它N-1 位全为O,则说明其它TD设备当时都没有数据发送请求,该机可以立即由P2申请 发出请求信号。并置引脚TD^t块中的忙信号BUSY和REN为l,占有通讯控制权。当该机发送完数据后,将锁存器对应位置清,退出环链。同时,再检查锁存器
的其它位是否全为O,若不全为0,则说明有其它TD设备请求认证和数据传送, 该机由P2发出中断信号,通知逻辑上的下一台TD设备接替控制权,下一台TD设 备从INT(^脚接收到信号后,即可请求发送,占有通讯控制权。从逻辑上实现了 通讯控制权的交接。
在分布式多TD设备请求认证和数据通信过程中,通讯次序的保证是通讯控 制权交接的前提。通讯权的交接主要涉及到是软件及协议的处理,而通讯次序 除了涉及到软件与协议之外,还要是硬件设计方面。
图3中,各TD设备依照次序构成了一个闭合环链,若将多个TD设备看成多 个节点,其拓朴结构可以是一个非常简单的顺序结构(0-l-2-3-4-5-6-7-0),若某台 或TD不进网,则将相应的节点短接,而整个拓朴结构不会变。
由此环链来控制通讯权的交换,经常会出现"插队"现象,这主要是由于
置一个优先级,可以有效地实现多个TD设备的公平性的占有通信的机会,确保 每个TD设备的地位是平等的。例如,0-3-2-5-4-7-1-6-O优先权是一个在顺序结构 基础上的一个可改变优先级的多i殳备优先级结构。
为避免由"插队,,现象所引起的通讯优先级的平等性,设计一个具有可变 的环链网络保i正通讯次序。
图4中,当任意一台TD设备需要请求发送时,若当时控制锁存器的其余锁存 器的相应位全为O (即只有本机相应位为l ),则将此TD设备链到0弁链,若有一个 1,则链入1#链,...,每台新加入的环链的TD设备总是连接到设备链路的末端。 由于多个TD设备在请求认证服务和数据通信服务时彼此之间是没有时间上的关 联的,因此进入链的设备链的优先级是根据设备进行请求的时间作为优先权的 大小。可控部件采用多个三态门进行控制。
要实现上述的可变链路电路,只需为每台TD设备增配一组三态门,如图5。
ii若需要将编号为X的TD设备链入到环链,只需将相应的三态门打开。图5中即是
0存号TD设备的INTO0申请进入环链的示意图,图5中寄存器的内容是当进入环 链的第i个TD设备所对应的锁存器除第i位外,其余位若为0个"1",则130=1,有 l个T则bl:l,…,若有N-1个1则,bN-l=l。
为保证TD设备不出现"插队"现象,利用一种可变的环链结构,本着"先 来先进环,,的原则进行优先级服务。这种方案采用两种方式保证 一是利用硬 件组成的环链,另 一种是利用软件判断其优先级。
改进的可变优先权的通讯环链方案如图6。可变环网结构中,每台TD设备都 用一组8三态缓沖门。在改进的方案中,只需要2个三态门即可由于每次与TPM 模块通信的TD设备都享有最高优先权,其请求和通讯结束后都将控制权交给下 一个环链中具有较高优先权的TD设备,此时先前的TD设备已退出了可变环链。 在这时与TPM模块通信的TD设备享有最高优先权。此时各TD设备的优先权分别 各自在自己的锁存器中保存,只有当与主机通信完成后,主机通知所有TD设备 都进行移位操作(和上升一个优先级),这时后面的环形链没有多大意义,只需 要一个链连接最高优先级的TD设备和次高级TD设备就可以。
图6中,当具有最高优先级的0#机正在通讯时,控制门C11开(此时没有中 断信号进来),C12关闭,C21关闭(不允许向外部发出中断申请),C22开(任 何时候都等候外部中断)。当0#机通信完成后,向下一级别的1#发出交权命令(通 过P3口 ), 1#机取得控制权后,立即向主机申请中断,0#机的交权过程结束,退 出可变环链。此时系统只需要两个三态緩冲门,大大减少了成本以及硬件设计。
图7显示交权信号的传递。它通过一片74LS199芯片进行控制,当前的服务 TD设备的认证和通讯过程结束时,通过控制74LS199芯片中置QH-0和QG二1, P3的队列令牌信号将由三态门A流向三态门B,到达下一个具有最高优先级的TD 设备,此TD设备收到P3的令牌信号后将进入中断服务处理程序。这样,完成了 通讯控制权的交接工作。
1权利要求
1、一种可信模块的可变优先权通讯装置,包括TPM及通过共享总线与TPM通信的多个可信设备,其特征在于共享总线与TPM之间还包括有依次连接的控制某个可信设备具有通讯资格的通讯权控制模块、对多个可信设备的优先级进行调整的可变优先权管理模块、保证各个可信设备的请求和数据通讯实时和正确传输的通讯次序保证模块及将系统的优先权转给下一个次高优先权可信设备的交权模块。
2、 根据权利要求l所述的可信模块的可变优先权通讯装置,其特征在于 该通讯权控制模块包括第i个可信设备上的第三数据端口 (P3)和第i+l个可 信设备上的中断请求脚连接且第N个可信设备的第三数据端口 (P3)与第1个 可信设备的中断请求脚连接所形成的一个闭合环链,还包括一个N位锁存器, 用于保存每个可信设备第一数据端口 (Pl)的状态位,该值由各个可信设备进 行置/复位,且该锁存器被各个可信设备访问,其中l《i《N。
3、 根据权利要求2所述的可信模块的可变优先权通讯装置,其特征在于 该通讯权控制模块还设置有将N个可信设备是否加入闭合环链的电子控制开关 K。一KN—,,其受锁存器相应的状态位的联动控制,若锁存器中的某位是l,则对应 可信设备通过电子控制开关Ki联动接通中断请求脚,进入闭合环链,否则该开 关接向该可信设备的第三数据端口 (P3),连接至闭合环链的下一个可信设备的 中断ffr求脚。
4、 根据权利要求3所述的可信模块的可变优先权通讯装置,其特征在于 可变优先权管理模块包括在每个可信设备的第三数据端口 (P3)通过两个串联 的三态緩冲门连接至中断请求脚。
5、 一种可信模块的可变优先权通讯装置的控制方法,其特征在于包括以下 步骤a.利用通讯权控制模块控制某个可信设备具有通讯资格;b. 通过可变优先权管理模块对多个可信设备的优先级进行调整,并实时检测离线可信设备,使之脱离优先级环链路;c. 通过通讯次序保证模块负责保证优先权环链路上各个可信设备的请求和数据通讯的实时和正确传输;d. 当某个可信设备的服务结束后,或者其固定的时间片到达后,将通过交权模块将系统的优先权转给下一个次高优先权的可信设备。
6、 根据权利要求5所述的控制方法,其特征在于在步骤a中,对于N台可信设备,用一个优先级排队链路链接,将正在与TPM主机通信的可信设备具有最高优先级,而再次进入排队队列的可信设备按中断申请时间顺序排队。
7、 根据权利要求6所述的控制方法,其特征在于在步骤b中,可信设备通过其第二数据端口 (P2)向TPM发出请求发送信号,其由整个锁存器当时状态决定,当某可信设备的时间到,可信设备通过其第一数据端口 (Pl)向锁存器对应的状态为置l,同时^f全查锁存器的其它位,若其它N-l位全为O,则该可信i殳备立即由第二数据端口 (P2)申请发出请求信号,并将该可信设备引脚中的忙信号BUSY和REN置为1;当该可信设备发送完数据后,将锁存器对应状态位清零,退出闭合环链,同时,再检查锁存器的其它位是否全为O,若不全为0,该可信设备由第二数据端口 (P2)发出中断信号,通知次高优先权的可信设备接替控制权,下一台可信设备从中断请求脚接收到信号后,即可请求发送,占有通讯控制权。
8、 根据权利要求7所述的控制方法,其特征在于在步骤d中,每个可信设备的第三数据端口 (P3)通过两个串联的三态緩冲门连接至中断请求脚,当具有最高优先级的可信设备正在通讯时,其第一三态緩冲门的控制门(Cll)打开,第二三态緩冲门的控制门(C12)关闭,而将下一级别可信设备的第三三态緩沖门的控制门(C21)关闭,第四三态缓冲门的控制门(C22)打开,当该可信设备通信完成后,通过其第三数据端口 (P3)向下一级别的可信设备发出交权命令,下一级别的可信设备取得控制权后,立即向TPM申请中断,该可信设备的交权过程结束,退出可变环链。
全文摘要
本发明公开了一种可信模块的可变优先权通讯装置,包括TPM及通过共享总线与TPM通信的多个可信设备,其特征在于共享总线与TPM之间还包括有依次连接的控制某个可信设备具有通讯资格的通讯权控制模块、对多个可信设备的优先级进行调整的可变优先权管理模块、保证各个可信设备的请求和数据通讯实时和正确传输的通讯次序保证模块及将系统的优先权转给下一个次高优先权可信设备的交权模块。本发明根据可信设备的中断请求而由优先级环链管理,控制简单、系统工作效率高。
文档编号H04L12/56GK101488911SQ20081021952
公开日2009年7月22日 申请日期2008年11月28日 优先权日2008年11月28日
发明者敏 周, 张明武, 波 杨, 祝胜林 申请人:华南农业大学