可信計算機平臺的制作方法

專利名稱：可信計算機平臺的制作方法
技術領域：
一般來說，本發明涉及提供計算平臺的安全性的裝置、系統及方法。更具體來說，本發明涉及用來提供可能出現于可信計算平臺中的硬件和軟件驗證的裝置、系統及方法。
背景信息在越來越受到連接大量計算資源的網絡的存在的影響的世界里，數據安全性、信息保護以及用戶保密的主題變得極為重要。個人計算機(PC)通常提供開放式體系結構作為工業標準，它可用來構建普遍存在的計算平臺。但是，平臺中的可信度(trust)一般不是這類設計的組成部分。如本文所用的術語“平臺”可被認為是表示任何類型的裝置，包括硬件、固件、軟件或它們的任何組合，根據多個編程指令來指導其活動。
要運行應用程序時，平臺通常在操作系統(OS)的控制下運行。操作系統和預操作系統組件是復雜的，并且要求加載(即“引導”)過程將它們裝入平臺的存儲器。當平臺從斷電或掛起狀態轉變到加電狀態時，或者當重置信號施加到平臺的重置線時，平臺加載OS。本文中，術語“平臺重置”可用來表示這些條件中的任一個。平臺初始化代碼包含兩個成分平臺初始化引導塊(PIBB)和主平臺初始化代碼(MPIC)。在平臺重置出現之后，中央處理器(CPU)開始在PIBB內的眾所周知的已定義單元上運行。這個代碼有意地較小、健壯和安全。PIBB運行代碼，使主平臺初始化代碼所需的平臺上的裝置能夠運行。然后，PIBB把平臺的控制傳遞給主平臺初始化代碼。
主平臺初始化代碼執行必要的功能來完成平臺的初始化。這些功能可包括初始化嵌入平臺中的裝置，以及查找和初始化可選插件或內嵌適配器(具有其本身的裝置初始化代碼)。此后，主平臺初始化代碼查找OS加載程序并運行該程序。OS加載程序又把OS載入存儲器，并開始運行OS。這時，平臺被認為處于OS存在狀態，并完全處于所加載的OS的控制下。
每當不可信平臺加載OS時，甚至沒有將平臺連接到網絡，也會導致對安全策略的違反。因此，可信計算在計算操作的所有方面越來越重要，甚至當這些操作與網絡分開地進行時。
附圖簡介

圖1是根據本發明的各種實施例的裝置、包括機器可訪問媒體的產品以及系統的框圖；圖2是根據本發明的一個實施例的策略模塊的框圖；以及圖3A和3B是流程圖，說明根據本發明的一個實施例、檢驗平臺的可信度的方法。
實施例詳細說明在本發明的各種實施例的以下詳細描述中，參照構成其組成部分的附圖，附圖中作為說明而不是限制，給出可實施本發明的具體實施例。附圖中，相同的標號描述若干視圖中基本相似的元件。充分詳細地描述所述實施例，使本領域的技術人員能夠實施本文公開的理論。其它實施例可以使用并可從中導出，使得可進行結構的和邏輯的替換以及變更，而沒有背離本公開的范圍。因此，以下詳細描述不應認為是限制性的，本發明的各種實施例的范圍僅由所附權利要求以及權利要求涵蓋的全部等效范圍來限定。
當第一實體(例如代表個人或組織運行的程序)獲得認為從第二實體(例如個人計算機)接收的狀態、配置和響應是與它們對第一實體所表示的同樣準確的基礎時建立可信度。可信計算平臺聯盟(TCPA)已經開發一種標準，為工業界提供一組工作條件，它實現計算平臺及環境的可信度。這個標準“TCPA主要規范”(版本1.1a，2001年11月12日)目前可見于www-trustedcomputing-org(為了避免無意的超鏈接，前面URL中的句點由短劃線代替)。作為各平臺的組成部分，TCPA主要規范定義計算環境元素，它們用來保護商務和個人計算通信中的信息。現有的基于軟件的安全服務不足以提供平臺可信的證明。TCPA主要規范詳細說明一些機制，在平臺中實現時，這些機制將提供提高的可信度，以及實現現有業務的增強以及新業務的提供。
TCPA主要規范還定義一組組件，可信任它們按預計進行操作。當嵌入平臺時，這些組件將可靠地測量及報告關于那個平臺中的環境的信息。這些組件的這個“完整性校驗”特征補充及增強僅軟件安全服務。這些組件包括獨立的計算引擎，其過程是可信的，因為它們無法被改變。這些可信過程包括受保護存儲、數字簽名以及公鑰基礎設施(PKI)數據交換。
TCPA啟用裝置、即可信平臺模塊(TPM)的所建議性能是“報告”平臺的完整性，從而允許該平臺引導到OS，即使其中安裝了不可信組件。這允許外部資源(例如網絡中的服務器)確定平臺的置信度，但不防止用戶對平臺的訪問。
圖1是根據本發明的各種實施例的裝置、包括機器可訪問媒體的產品以及系統的框圖。在本發明的一個實施例中，用于提供平臺102中的可信度的裝置100可包括測量的信任根(RTM)模塊104以及平臺安全屬性策略模塊106、106’。RTM 104建立平臺102的可信度的基礎。因此，平臺用戶必須首先判定信任平臺的RTM 102。一旦進行了那種判定，本文所述的裝置100可用來提供引導進程的剩余部分的可信度的基礎。
如本文所述，假定未經授權的實體將無法修改可作為RTM 104的PIBB 108。還可假定平臺102中的其它所有組件和/或模塊受到有意或其它方式的攻擊或修改。因此，本發明的各種實施例可用來防止在平臺102中加載OS 110(通常包含在存儲器111或其它存儲裝置中)，以及可在出現對平臺的組件的未經授權的修改時警告平臺用戶。
TCPA主要規范定義一組可信功能和屏蔽存儲單元。這些功能和存儲單元包含在通常但不一定作為永久附加到平臺102的裝置來實現的可信平臺模塊(TPM)112中。
屏蔽存儲單元的實例包括數據完整性寄存器(DIR)114、僅可由平臺擁有者修改的非易失性寄存器以及包含度量平臺102的完整性的值的平臺配置寄存器(PCR)116。TCPA主要規范的一部分定義將目標的值散列化、并把散列值放入屏蔽存儲單元，可能把散列值與先前存儲的值組合。這些目標可包括可執行代碼、配置數據、TCPA定義的信息的日志以及其它項目。
可能包含策略表118形式的信息的平臺安全屬性策略模塊106可包含在PIBB 108中。策略表118通常包含在引導過程中影響平臺的操作的信息。
如本文所述，DIR 114其中之一為策略表DIR 120。策略表DIR120(包含在TPM 112中)包含由平臺擁有者或授權代理設置的信息，以便確認PIBB 108以及通過擴展確認策略表118。因此，通過測量以及對照由經授權的可信實體放入策略表DIR 120中的預加載值進行比較來建立PIBB 108以及策略模塊106、106’的可信度(即策略模塊106、106’必須經過檢驗)。策略表118包含平臺102在初始化/引導過程中必須遵守的策略。
測量是得到值的動作，它可與實體的完整性直接相關。一個實例是計算大字節流的散列值，或者對于小值，可直接使用該值本身。檢驗是把測量值與已知的可信值進行比較。因此，如本文所定義的“測量”表示收集關于組件的數據，可選地把收集信息輸入日志(可處于不可信單元)中，可選地將收集數據值和/或已記錄的值散列化，以及把數據/散列數據存儲到PCR 116之一。“比較測量結果”表示把策略表中的值與來自PCR 116或日志的散列或擴充數據進行比較。
如上所述，RTM模塊104可以是與平臺102相關的PIBB 108，它包括入口點122。假定平臺102中的處理器124耦合到重置線126，處理器124通常將用于在接收到重置線126上的重置信號128(即平臺重置條件)時開始在入口點122運行。
比較模塊130可在通信上耦合到RTM模塊104、平臺安全屬性策略模塊106以及各種內部測量功能131并位于其中。如果包含在已檢驗平臺安全屬性策略模塊106中的策略P1-Pn被違反，則比較模塊130可用于防止控制向OS 110轉移，和/或甚至防止引導過程的其余部分。另外，如果在平臺102的初始化期間的任何時間，平臺102中的某個組件違反了已檢驗平臺安全屬性策略模塊106中的策略，如比較模塊130所檢測到的那樣，則例如平臺102可用來警告平臺用戶(和/或可能的其它裝置，經由例如網絡連接)平臺102試圖利用無效組件進行初始化。
因此，裝置100可包括告警裝置132，它在通信上可能利用告警裝置模塊134耦合到處理器124。告警裝置132可由處理器124啟動，從而在包含于平臺安全屬性策略模塊104中的策略P1-Pn被違反時提供告警信號136。告警裝置132可以是用來警告平臺用戶關于平臺因與一個或多個定義的安全策略P1-Pn的不一致而無法完成引導程序的硬件機構。告警信號136可以是簡單的可聽音或者單音序列、光或閃光、能觸知的脈動、遠程消息傳遞等。另外，告警或其它消息140可以可能采用耦合到比較模塊130的告警裝置模塊134、通常通過網絡接口144經網絡142被發送給另一個裝置。在啟動告警裝置132之后，平臺102可進入要求平臺重置條件(例如通常為上述硬件重置)以繼續運行的狀態。
裝置100還可具有存儲器146，其中包括與平臺102相關的MPIC148。存儲器146可在通信上耦合到平臺102，以及平臺102可在通信上耦合到RTM模塊104。
在把控制轉移到平臺的初始化程序的下一個部分之前，必須從策略表118中得到授權。策略表118可包含原始散列值、擴充PCR值或者對確認憑證的標識符。標識符可以是指向存儲單元的指針、索引值或可查找的任何唯一編號。
最后，在把平臺102的控制轉移到OS加載程序150之前，通過檢驗策略表118以確定以下各項，主平臺初始化代碼148把整體配置與平臺102的加載序列進行比較存在包含在平臺102中的一組所需組件，平臺102沒有包含不允許的組件，和/或一組指定組件已經加載到特定序列。因此，平臺102可包括存儲器152或另一種存儲裝置，它包含平臺配置154以及平臺認可憑證156和平臺一致性憑證158。
TCPA還提供幾種不同的憑證，包括認可憑證、平臺憑證以及確認憑證。認可憑證提供關于平臺包含有效TPM的保證。平臺憑證提供關于TPM被適當附加于平臺的保證。以及確認憑證提供關于裝置或裝置初始化代碼來自憑證中命名的廠商的保證。平臺安全屬性策略模塊106(和/或策略表118)還可包括認可憑證、平臺一致性憑證、在它們處于平臺安全屬性策略模塊106的外部時對它們的確認(例如憑證的散列)、和/或一組強制性的序列組件。
平臺102還可包括存儲器160或其它存儲裝置，它包含與一個或多個裝置DEV1-DEVn相關的一個或多個裝置配置162及其相應的裝置初始化代碼CODE1-CODEn 164。存儲器111、152和160可以是毗連的，并且包含在單個較大存儲器166中，或者，存儲器111、152和160可作為物理上與平臺102分離的組件或裝置的一部分而存在。
圖2是根據本發明的一個實施例的策略模塊206的框圖。如上所述，包含在策略模塊206中的策略表218可用于采用其中包含的一個或多個策略來定義平臺的安全屬性。策略表218通常駐留在PIBB中。或者，策略表218可駐留在PIBB之外(參見圖1中的模塊106’的位置)，但在與策略表DIR進行比較時，其測量值必須與PIBB的包含在一起。
策略表218可包括若干條目，它們通常分組為策略部分267，定義平臺的安全屬性，例如平臺初始化代碼策略268，平臺配置策略270，裝置及裝置初始化代碼策略272，可選或內嵌裝置配置策略274，OS加載程序策略276，OS加載程序配置策略278，以及其它安全相關的規則和定義。各部分267還可包含以下各項中的一部分、全部或者沒有包含任何一項原始散列策略值280，擴充策略值282，確認憑證標識符284，標識平臺認可憑證的值286，標識平臺一致性憑證態的值288，和/或標識確認憑證的值290。
各條目通常包含表明那個部分的所要求策略的標志。例如，該部分可以僅包含用來檢驗策略的原始散列值，或者可以僅包含確認憑證的標識符，表明對于那個特定部分僅允許具有確認憑證的組件。
通過把元件/模塊的測量結果與適當的策略表條目進行比較，進行對組件或平臺元件/模塊滿足已定義策略的檢驗。策略表218中可能存在與單個組件或模塊有關的多個條目。可要求部分或全部條目或者不要求任何條目是匹配的，以便讓那個組件或模塊滿足已定義策略。例如，所需組件292的策略274可包含檢驗原始散列值280、檢驗擴充散列值282、確認組件憑證290中的至少一個、然后再比較原始散列值280與憑證290中的指定值。如果組件292無法滿足相關策略274，則檢驗組件292的實體可把平臺的控制轉移給告警裝置模塊。
再參照圖1，這時容易理解，平臺102可包括下列組件中的一個或多個處理器124，平臺初始化代碼194(具有PIBB 108和主平臺初始化代碼148)，以及各種裝置，例如平臺102中的嵌入和/或可選裝置DEV1-DEVn，它們可包含其本身相應的裝置初始化代碼CODE1-CODEn。平臺102通常還包括包含或具有訪問OS加載程序150的功能的裝置以及包含或具有訪問OS 110的功能的裝置。
因此，在本發明的另一個實施例中，系統196可包括耦合到存儲器198的處理器124。存儲器198可包括RTM 104模塊、平臺安全屬性策略模塊106(能夠在通信上耦合到存儲器198)以及比較模塊130(能夠在通信上耦合到存儲器198)。因此，存儲器198可包括初始化引導塊、如PIBB 108。比較模塊130通常用來當包含在平臺安全屬性策略模塊106中的策略被違反時，防止控制向操作系統110或其它預OS組件的轉移(例如完全停止引導進程)。例如當測量和比較(即檢驗)平臺安全屬性模塊106與TPM 112所包含的策略表DIR 120中的值失敗時，可能出現這種情況。在此實施例中，比較模塊130在它得到信任以進行有效比較之前應當被檢驗。
仍然參照圖1，系統196還可包括耦合到處理器124的重置線126，其中，包含在RTM 104中的入口點122由處理器124在重置信號128施加到重置線126時運行，從而發起平臺重置條件。最后，應當指出，系統196還可包括在通信上耦合到處理器124的告警裝置132，其中，告警裝置132可由處理器124啟動，從而在已檢驗平臺安全屬性策略模塊106所包含的策略被違反時提供告警信號136。
現在參照圖1和圖2，裝置100、RTM模塊104、平臺安全屬性策略模塊106、106’、206(包括其中各種元件中的每一個)、PIBB 108、TPM 112、DIR 114、PCR 116、策略表118、218、處理器124、比較模塊130、內部測量功能131、告警裝置132、告警裝置模塊134、網絡接口144以及存儲器111、146、152、160、166、198在本文中都可表征為“模塊”。根據裝置100和系統196的設計者的需要，以及適合于本發明的具體實施例，這些模塊可包括硬件電路和/或微處理器和/或存儲電路、軟件程序模塊和/或固件以及它們的組合。
本領域的技術人員將會理解，本發明的裝置和系統可用于除個人計算機以外的應用中，以及用于除包含個人計算機的網絡以外的應用中，因此本發明不會受到這種限制。裝置100和系統196的說明用于提供對本發明的結構的總體了解，它們不是意在用作對于可能利用本文所述結構的裝置和系統的全部元件及特征的完整描述。
可包括本發明的新穎裝置和系統的應用包括用于高速計算機的電子電路、通信和信號處理電路、調制解調器、處理器模塊、嵌入式處理器以及包括多層多芯片模塊在內的專用模塊。這些裝置和系統還可作為子組件包含在諸如電視、蜂窩電話、個人計算機、無線電裝置、車輛之類的各種電子系統中。
圖3A和3B是流程圖，說明根據本發明的一個實施例、檢驗平臺中的可信度的方法。當平臺中的處理器或其它模塊檢測到平臺重置條件時，方法313在圖3A中可在框315開始。然后，在框317，處理器可開始運行入口點代碼。
PIBB包含其本身的代碼來執行測量(即內部測量功能)，因為其它所有組件在這時都是不可信的。PIBB利用這個內部代碼在框319測量其本身，以及在框321和323根據TPM中的策略表DIR檢驗它是否滿足策略。如果測量結果不滿足策略，則控制通常被移交給告警裝置模塊和/或告警裝置，以及在框325警告平臺用戶。TPM可以可選地被禁用，使得平臺用作不可信平臺，但允許引導進程繼續進行。如果測量結果滿足策略，則策略表是可信的，以及方法313可繼續進行框327。
本文所公開的本發明的各種實施例涉及利用PIBB在框327測量主平臺初始化代碼，以及在框329檢驗它是否滿足策略。仍然參照框327，如果存在主平臺初始化代碼的擴展，則PIBB還測量這些擴展，以及檢驗它們是否滿足策略。如果在框329測量結果不滿足策略，則控制通常被移交給告警裝置模塊和/或告警裝置，以及在框325警告平臺用戶。
如果平臺包含平臺、一致性或認可憑證，則在框333通過策略表中的相應條目對它們進行檢驗。如果憑證沒有檢驗，則平臺不滿足策略。如果在框335測量結果不滿足策略，則控制通常被移交給告警裝置模塊和/或告警裝置，以及在框325警告平臺用戶。
主平臺初始化代碼可用來檢查可選或嵌入式裝置的平臺及其裝置初始化代碼。但是，在把控制從主平臺初始化代碼轉移到任何裝置初始化代碼之前，在框337和339，主平臺初始化代碼應當檢驗該裝置及其裝置初始化代碼是否滿足策略。如果在框339測量結果不滿足策略，則控制通常被移交給告警裝置模塊和/或告警裝置，以及在框325警告平臺用戶。
裝置初始化代碼可驗證它們的相關裝置的配置。在這種情況下，在框341，控制可轉移到裝置初始化代碼。對于各裝置，如果在與所選裝置相關的策略表中存在某個條目，則在框343，與那個裝置相關的裝置初始化代碼可檢驗相關裝置的配置是否滿足策略，其中包括相關裝置的任何隱藏組件。如果在框345測量結果不滿足策略，則控制通常被移交給告警裝置模塊和/或告警裝置，以及在框325警告平臺用戶。如果在框347確定存在另一個策略表條目及相關裝置初始化代碼，則可在框337測量該代碼，以及框339、341、343、345和347所述的過程可重復進行任何次數。
在已經運行所有裝置初始化代碼以及初始化所有裝置之后，方法313可在圖3B中在框349繼續進行，其中，主平臺初始化代碼可用來收集與平臺的配置有關的信息，以及在框351檢驗它是否滿足策略。如果在框351測量結果不滿足策略，則控制通常被移交給告警裝置模塊和/或告警裝置，以及在框325警告平臺用戶。
在完成所有主平臺初始化代碼功能時，主平臺初始化代碼可查找OS加載程序，以及在框353和355檢驗OS加載程序是否滿足策略。如果在框355測量結果不滿足策略，則控制通常被移交給告警裝置模塊和/或告警裝置，以及在框325警告平臺用戶。
在把控制轉移到OS加載程序之前，在框357，主平臺初始化代碼可檢查策略表，以得到所需的、不允許的和/或強制的序列組件集合。策略可要求存在具體組件；它可以不允許具體組件；或者可要求具體的組件序列。如果任何所需條件不滿足，則在框359，平臺不滿足策略，控制通常被移交給告警裝置模塊和/或告警裝置，以及在框325警告平臺用戶。
如果在框359滿足策略，則在框361，控制轉移到OS加載程序。如果OS加載程序允許一些選項，則OS加載程序在框363和365可用來檢驗那些選項是否滿足策略。如果在框365測量結果不滿足該策略，則控制通常被移交給告警裝置模塊和/或告警裝置，以及在框325警告平臺用戶。如果在框365滿足策略，則在框369，允許OS加載程序加載OS，以及平臺的控制轉移到OS。在這時，方法313結束。
總之，方法313可包括檢測平臺重置條件；在測量的信任根(RTM)中的入口點開始運行；以及確定RTM是可信的，它可包括確定與該RTM相關的平臺安全屬性策略模塊是可信的。確定與RTM相關的平臺安全屬性策略模塊是可信的步驟可包括測量策略表以及把測量結果與DIR(包含在TPM中)中包含的一個或多個值進行比較。
該方法可繼續確定與平臺相關的主初始化代碼是可信的，以及把控制轉移到主初始化代碼。否則，該方法可通過確定與平臺相關的主初始化代碼不是可信的來工作，并且可制止把控制轉移到主初始化代碼。另外，該方法可通過在與RTM相關的策略被違反時制止加載與平臺相關的操作系統來工作。
該方法還可包括確定平臺配置沒有違反與RTM相關的策略、確定裝置沒有違反與RTM相關的策略、確定與裝置相關的裝置初始化代碼沒有違反與RTM相關的策略、以及把控制轉移到裝置初始化代碼。
該方法還可包括確定與平臺相關的操作系統加載程序沒有違反與RTM相關的策略、確定存在所選的一組組件、以及把控制轉移到與平臺相關的操作系統加載程序。該方法還可包括確定不存在所選的一組不允許組件以及把控制轉移到與平臺相關的操作系統加載程序。
因此，再參照圖1，這時易于理解，本發明的另一個實施例可包括產品199，例如計算機、存儲系統、磁盤或光盤、其它某種存儲裝置和/或任何類型的電子裝置或系統，其中包含具有相關數據108(例如計算機程序指令)的機器可訪問媒體194(例如包含電、光或電磁導體的存儲器)，它在被訪問時，使機器執行一些動作，例如在測量的信任根(RTM)中的入口點開始運行，確定RTM是可信的，確定與平臺相關的主初始化代碼是可信的，并把控制轉移到主初始化代碼，否則，確定與平臺相關的主初始化代碼不是可信的，并制止把控制轉移到主初始化代碼。
其它動作可包括確定平臺配置沒有違反與RTM相關的策略、確定與平臺相關的操作系統加載程序沒有違反與RTM相關的策略、確定存在所選的一組組件、以及把控制轉移到與平臺相關的操作系統加載程序。同樣，確定不存在所選的一組不允許組件以及把控制轉移到與平臺相關的操作系統加載程序的步驟還可包含在這些活動的范圍之內。
雖然本文已經說明和描述了特定實施例，但本領域的技術人員理解，用于實現相同目的的任何配置均可取代所示的特定實施例。本公開意在涵蓋本發明的各種實施例的所有可能的修改或變更。應理解，以上描述是以說明形式而不是限制形式進行的。通過閱讀以上說明，本領域的技術人員會十分清楚以上實施例的組合以及本文沒有明確說明的其它實施例。本發明的各種實施例的范圍包括采用上述結構和方法的其它任何應用。因此，本發明的各種實施例的范圍應當參照所附權利要求以及權利要求涵蓋的完整等效范圍來確定。
要強調的是，“摘要”是根據37 C.F.R.§1.72(b)要求“摘要”以便使讀者快速了解技術公開的性質和要點而提供的。應當理解，它的提供并不是用于解釋或限制權利要求的范圍或含意。
在本發明的實施例的以上描述中，各種特征共同集合到單一實施例中，用于簡化本公開。這種公開的方法不應解釋為反映了要求其權益的本發明的實施例要求超過各權利要求中明確描述的特征的意圖。相反，如以下權利要求所反映的那樣，發明主題在于少于單個公開實施例的全部特征。因此，以下權利要求結合到發明的實施例說明中，其中各權利要求本身代表一個單獨的優選實施例。
權利要求
1.一種裝置，包括測量的信任根(RTM)模塊；平臺安全屬性策略模塊，能夠在通信上耦合到所述RTM；以及比較模塊，能夠在通信上耦合到所述RTM模塊，所述比較模塊在所述平臺安全屬性策略模塊中包含的策略被違反時防止控制向操作系統的轉移。
2.如權利要求1所述的裝置，其特征在于，所述RTM模塊包括與平臺相關的初始化引導塊。
3.如權利要求2所述的裝置，其特征在于，所述初始化引導塊包括在接收到耦合到處理器的重置線上的重置信號、從而發起平臺重置條件時能夠由所述處理器運行的入口點。
4.如權利要求1所述的裝置，其特征在于還包括包含與平臺相關的主初始化代碼的存儲器，其中所述存儲器在通信上耦合到所述平臺，以及其中所述平臺在通信上耦合到所述RTM模塊。
5.如權利要求1所述的裝置，其特征在于還包括可信平臺模塊(TPM)，包含與所述平臺安全屬性策略模塊相關、存儲在屏蔽存儲單元中的值。
6.如權利要求1所述的裝置，其特征在于還包括包含在所述平臺安全屬性策略模塊中的平臺憑證。
7.如權利要求1所述的裝置，其特征在于還包括包含在所述平臺安全屬性策略模塊中的序列組件的強制集合。
8.一種系統，包括包含測量的信任根(RTM)的存儲器；平臺安全屬性策略模塊，能夠在通信上耦合到所述存儲器；比較模塊，能夠在通信上耦合到所述存儲器，所述比較模塊在所述平臺安全屬性策略模塊中包含的策略被違反時防止控制向操作系統的轉移；以及處理器，能夠在通信上耦合到所述存儲器。
9.如權利要求8所述的系統，其特征在于還包括重置線，在通信上耦合到所述處理器，其中所述RTM中包含的入口點由所述處理器在重置信號施加到所述重置線、從而發起平臺重置條件時運行。
10.如權利要求8所述的系統，其特征在于還包括可信平臺模塊(TPM)，包含與所述平臺安全屬性策略模塊相關并存儲在屏蔽存儲單元中的值。
11.如權利要求8所述的系統，其特征在于還包括告警裝置，在通信上耦合到所述處理器，其中所述告警裝置要由所述處理器啟動，從而在所述平臺安全屬性策略模塊中包含的策略被違反時提供告警信號。
12.一種方法，包括在測量的信任根(RTM)中的入口點開始運行；確定所述RTM是可信的；確定與平臺相關的主初始化代碼是可信的，以及把控制轉移到所述主初始化代碼；以及否則，確定與平臺相關的主初始化代碼不是可信的，以及禁止把控制轉移到所述主初始化代碼。
13.如權利要求12所述的方法，其特征在于還包括檢測平臺重置條件。
14.如權利要求12所述的方法，其特征在于還包括如果與所述RTM相關的策略被違反，則制止加載與所述平臺相關的操作系統(OS)或其它預OS組件。
15.如權利要求12所述的方法，其特征在于，所述RTM是與所述平臺相關的初始化引導塊。
16.如權利要求12所述的方法，其特征在于，確定所述RTM可信的步驟還包括通過測量所述策略表以提供測量結果、并把所述測量結果與可信平臺模塊內的屏蔽存儲單元中存儲的值進行比較，確定與所述RTM相關的策略表是可信的。
17.如權利要求12所述的方法，其特征在于還包括確定裝置沒有違反與所述RTM相關的策略；確定與所述裝置相關的裝置初始化代碼沒有違反與所述RTM相關的策略；以及把控制轉移到所述裝置初始化代碼。
18.一種包含具有相關數據的機器可訪問媒體的產品，其中所述數據在被訪問時，使機器執行以下步驟在測量的信任根(RTM)中的入口點開始運行；確定所述RTM是可信的；確定與平臺相關的主初始化代碼是可信的，以及把控制轉移到所述主初始化代碼；以及否則，確定與平臺相關的主初始化代碼不是可信的，以及禁止把控制轉移到所述主初始化代碼。
19.如權利要求18所述的產品，其特征在于，所述機器可訪問媒體還包括在由所述機器訪問時使所述機器執行以下步驟的數據確定平臺配置沒有違反與所述RTM相關的策略。
20.如權利要求18所述的產品，其特征在于，所述機器可訪問媒體還包括在由所述機器訪問時使所述機器執行以下步驟的數據確定與所述平臺相關的操作系統加載程序沒有違反與所述RTM相關的策略。
21.如權利要求18所述的產品，其特征在于，所述機器可訪問媒體還包括在由所述機器訪問時使所述機器執行以下步驟的數據確定存在所選的一組組件；以及把控制轉移到與所述平臺相關的操作系統加載程序。
22.如權利要求18所述的產品，其特征在于，所述機器可訪問媒體還包括在由所述機器訪問時使所述機器執行以下步驟的數據確定不存在所選的一組不允許組件；以及把控制轉移到與所述平臺相關的操作系統加載程序。
全文摘要
一種裝置可包括耦合到已檢驗平臺安全屬性策略模塊以及比較模塊的測量的信任根(RTM)模塊。如果包含在平臺安全屬性策略模塊中的策略被違反，則比較模塊可用于防止控制向操作系統的轉移(和/或停止引導進程)。一種系統可包括耦合到處理器的存儲器、平臺安全屬性策略模塊以及比較模塊。存儲器可包括RTM。一種方法可包括在RTM中的入口點開始運行，確定RTM是可信的，確定與平臺相關的主初始化代碼是可信的，以及把控制轉移到主初始化代碼，否則，制止把控制轉移到主初始化代碼。
文檔編號G06F21/00GK1678968SQ03819906
公開日2005年10月5日 申請日期2003年6月27日 優先權日2002年6月28日
發明者W·懷斯曼, D·格勞羅克 申請人:英特爾公司