一种可信平台模块(TPM)管理系统(10)包括,具有基本输入/输出系统(BIOS)(24),可信平台模块(14),以及操作系统(30)的计算机系统(12),BIOS(24)被配置为,响应于检测到TPM(14)的不可用状态设置,向操作系统(30)报告在计算机系统(12)中没有TPM(14)。
【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
可信计算组(TCG)发展并i^a硬件使能可信运算和安全技术的工业标准规范,例如可信平台模块(TPM)。 TPM使数字密钥、证书和密码能够安全存 储,并且更加不易穀嗽件和硬件攻击。然而,国别的禾口/或其它类型柳蹄何 能禁止使用具有TPM布置其上的计算机系统。尽管计^m系统可被专门制造以 适应和/鹏守这些限制,但是在制^31程及其之后,聽和S郞宗这些专门制造 的计算机系统是昂贵的。 附图说明为完全理解本专利技术及其优势,结合附图参考下列描述,其中 图1是可信平台模块管理系统的一个实施例的示意图; 图2是可信平台模块管理方法的一个实施例的流程图;以及 图3是可信平台模i央管理方法的另一个实施例的流程图。 具体实施例方式参考图l-3,本专利技术的优选实施例及其优势肖,得到最佳理解。不同附图的 相似和相应部分用相同的数字5tt^。图1是可信平台模±央(TPM)管理系统IO的一个实施例的结构图。在图1 所示的实施例中,系统10包括具有TPM 14的计算机系统12,其中TPM 14设 置在主板16上。 一般而言,TPM 14用于存储和报告在系统12的平台18中特 定软件和硬件的测量(完整性度量)值。例如,在一些实施例中,TPM14用来 测量、存储和报告l鹏20和内嵌固件22例如基本输A/输出系统(BIOS) 24 的完整性。然而应该理解的是,TPM 14可被用来存储和报告其它设备和/或 更 件的完整性,以及安全地存储平台信息禾鹏密,例如密码、密钥和证书。计算 机系统12可包括任何类型的运算设备,例如但不限于,台式计^+几、笔记本电 脑、平板电脑、个人数字助理以及任何TPM可存在其上的其它类型的设备。在图l所示的实施例中,系统12包括至少一个操作系统(OS)30,以及一 个或多个可执行的应用程序32。 OS 30和应用程序32可存储于硬盘20,并被加载到计算机系统12的存储器组件以在其上运行。进一步,主板16被配置为具 有中央处理器(CPU) 40和存储器42。在图l所示的实施例中,存储器包括功 用接口44,该功用接口包括用于编程、配置和减以其他方式控帝U计算机系统12 的各种特征和/或设置的指令集和/或接口。例如,在一些实施例中,功用接口44 在计算机系统12的制造环境中使用,禾B/或由授权实体用于对计算机系统12的 现场更新来配置和/或以其他方式应用对计算机系统12的各禾中设置。然而,应当理解,不同的应用程序、例程或方法可被用于ies和/或以其他方式控制计^m系统12的各种操作参数,而功用接口 44可在计^m系统12的制造环境外^ffi。 系统10的实施例使得冑,对TPM 14应用或设定设置,射旨示TPM 14为 或者可用(例如,會詢多由OS 30和/或不同的应用程序32 4顿和/或为其4顿而 访问),或者隐藏(例如,不可用和/或向OS 30报告TPM 14在计#|几系统12 上不存在,以使得OS 30和/鹏用程序32不能容易地访问禾tV或4顿TPM 14)。 在图l所示的实施例中,功用接口44用于与BIOS24交互以应用,禾B/或以其它 方式应用对计算机系统12上的TPM 14的希望的设置(即或者可用或者隐藏)。 举例而言,如果计算机系统12的目的地是没有TPM 14使用限制的国家或者特 定消费者,使用功用接口 44来与BIOS 24交互以将TPM 14的设置应用为可用。 然而,如果计算机系统12的目的地是有TPM4顿限制的国家或者消费者,使 用功用接口 44来与BIOS24交互以将隐藏设置应用到TPM 14,从而使得TPM 14不可用。雌地,如果隐藏或者不可用设置被应用到TPM14, BIOS 24被配 置为,向OS 30报告TPM 14没有位于或没有存在于计算机系统12上。举例而 言,在一些实施例中,BIOS24响应于检测到对TPM14应用了隐藏或者不可用 设置,^f顿高级配置和电源接口 (ACPI)命名空间中报告的状态方法,向OS30 报告TPM14不存在于计算机系统12中。因而,即使TPM14物理上存在于计 #|几系统12中,BIOS 24仍然向OS 30报告TPM 14不存在于计算机系统12中, 而OS 30不会加载任何与访问和/或与TPM 14妊有关的驱动程序。因此,根 据一些实施例,尽管TPM 14物理上存在于计算机系统12中,应用程序32和/ 或OS 30仍不能访问和/或以其他方式使用TPM 14,并且TPM 14的特征/功能 将对计算机系统12的用户隐藏。在操作上,j,在计算机系统12的制造或构建期间(例如,在计算机系统 12被交货给消费者之前),4顿功用接口44来设置TPM 14的状态为或者隐藏或者可用。在图1所示的实施例中,BIOS24包括存储于它的非易失性存储器中 的隐激可用标志50和状态标志52。隐獻可用标志50用于指示TPM 14的设置 是隐藏还是可用。例如,在一些实施例中,如果隐,用标志50被體为"是", TPM 14的设置就包含隐藏或者不可用设置。相应地,如果隐,用标志50被 i體为"否",TPM 14的设置就包含可用设置。然而,应当理解标志50可用其 它方式设置来指示TPM 14的可用性或不可用性。状态标志52用于指示是否已fflil功用接口 44选择了 TPM 14的隐藏或可 用设置(例如,选择或设置为隐藏或者可用)。 地,TPM 14的可用设置被 用作默认设置。因此,如果没有使用功用接口 44选择或应用特定设置到TPM 14 , TPM14的设置保持为可用。然而,响应于之后从功用接口44接收到i體TPM 14为隐藏或可用的调用或命令,状态标志52被设置为"是"。状态标志52用于 阻iW应用于TPM14的设置的后续改变。举例而言,响应于从功用接口44接 收到后续的用于施加TPM 14的设置的调用或^^令,BIOS 24确定状态标志52 是否已被设置为"是"。如果状态标志52已被设置为"是",BIOS24拒绝此调 用,禾口/或产生错误消息,因而阻iW应用于TPM14的设置的后续改变。从而, 功用接口 44被优选在计算机系统12的制造或构建期间使用,以将隐藏或可用 设置应用于TPM14,使得一旦应用,之后i5S就不能被消费者轻易地改变。在计算机系统12的引导期间(例如,响应于开机事件或者从休眠、繊民或 其它类型的节电模式中唤醒的事件),BIOS 24确定隐fi/可用标志50是否被设 置为"是",从而指示TPM14的隐藏或不可用状态设置。在图l所示的实施例 中,TPM 14包括使膨禁用状态设置56和激活/无效状态设置58。在计算机系 统12的制造或构建期间,TPM14通常保持在禁用状态设置56,除非例如,现 场更新或者其它动作需要TPM 14被使能。因此,响应于BIOS 24确定已向TPM 14应用了隐藏设置,如果TPM 14处于使能状态,BIOS 24发出禁用命令和无 效命令给TPM 14,并且发出命令在BIOS 24将计算机系统12的控制转给OS 30 之前锁定TPM 14的状态。因此,系统10的实施例物理禁用TPM 14,并且在 将计^t几系统12的控制转给OS 30之前锁定TPM 14的状态。进一步,响应于BIOS24确定己向TPM14应用了隐藏设置,BIO本文档来自技高网...
【技术保护点】
一种可信平台模块(TPM)管理系统(10),包括: 具有基本输入/输出系统(BIOS)(24),TPM(14),以及操作系统(30)的计算机系统(12),BIOS(24)被配置为,响应于检测到TPM(14)的不可用状态设置,向操作系统 (30)报告在计算机系统(12)中没有TPM(14)。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:SH马迪娜,JL蒙香,J里奥斯,VY阿利,
申请(专利权)人:惠普开发有限公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。