亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

使用監(jiān)控程序?qū)pm總是鎖定為“開”的系統(tǒng)和方法

文檔序號:6553141閱讀:667來源:國知局
專利名稱:使用監(jiān)控程序?qū)pm總是鎖定為“開”的系統(tǒng)和方法
使用監(jiān)控程序?qū)PM總是鎖定為"開"的系統(tǒng)和方法

供諸如個人計算機等計算設(shè)備中使用的可信平臺模塊(TPM)是已知的。TPM 的目的在于提供計算機身份和與交易、應(yīng)用程序和媒體的許可、保護用戶數(shù)據(jù)以及 特殊功能有關(guān)的安全服務(wù)。
可信平臺模塊可在市場上出售,例如一TPM出自STM microelectronics,即 ST19WP18模塊。TPM存儲密鑰,然后使用那些密鑰來認證應(yīng)用程一、BIOS信息、 或身份。然而,對TPM的使用是自愿的,且根據(jù)目前和預(yù)期的標(biāo)準(zhǔn)和實現(xiàn),它不 能用于在計算設(shè)備上強加條件。某些商業(yè)模型假定計算機超出計算機所有者/供應(yīng) 商的直接控制之外,例如按使用付費(pay-per-use)商業(yè)模型。在這樣的情況中, TPM服務(wù)有可能被規(guī)避,且如果發(fā)生規(guī)避,則可能對商業(yè)帶來不期望的負面影響。
概述
一種可信平臺模塊(TPM)可用于認證在計算設(shè)備上強制條件的監(jiān)控程序。 注入或?qū)懭隩PM的所有者密鑰可用于要求由所有者批準(zhǔn)的監(jiān)控程序是可操作的。 進而,所批準(zhǔn)的監(jiān)控程序能夠經(jīng)由監(jiān)控程序的經(jīng)認證的狀態(tài)來訪問TPM的資源。 TPM的這一安全資源可以是例如通用輸入/輸出(GPIO)端口。簡單的監(jiān)視計時器 可被配制成以定時的間隔對計算機復(fù)位,除非該監(jiān)視計時器該在間隔期內(nèi)由使用 GPIO接收到的信號重啟。
通過以這種方式配置計算機,TPM可用于幫助確保已知監(jiān)控程序正在運行, 且監(jiān)視計時器可用于幫助確保監(jiān)控程序或TPM中的任何一個未被禁用或篡改。
附圖簡述


圖1是互聯(lián)多個計算資源的網(wǎng)絡(luò)的框圖2是表示根據(jù)本發(fā)明的實施例的計算機的簡化、代表性的框圖3是示出圖2的計算機內(nèi)的功能層的分層表示的簡化、代表性的框圖4是圖2的計算機的計算機體系結(jié)構(gòu)的簡化、代表性的框圖; 圖5是圖2的計算機的替換計算機體系結(jié)構(gòu)的簡化、代表性的框圖6是TPM的簡化、代表性的框圖;以及
圖7是示出使用監(jiān)控程序鎖定TPM的方法的流程圖。
詳細描述
盡管以下文字闡明了各種不同實施例的詳細描述,但應(yīng)理解,該描述的合法 范圍由本發(fā)明所附權(quán)利要求書的文字定義。該詳細描述應(yīng)被解釋為僅是示例性的, 而不是描述每個可能的實施例,因為描述每個可能的實施例即使不是不可能也是不 現(xiàn)實的??墒褂卯?dāng)前的技術(shù)或在本專利的申請日之后開發(fā)的技術(shù)來實現(xiàn)眾多替換實 施例,它們?nèi)月淙氡景l(fā)明的范圍之內(nèi)。
應(yīng)理解,除非使用語句"如此處所使用的,術(shù)語'一'此處定義為指的是" 或類似語句在本發(fā)明中顯式地定義一術(shù)語,否則不旨在顯式或隱式地超出該術(shù)語普 通或?qū)こR饬x而限制該術(shù)語的含義,且這樣的術(shù)語不應(yīng)被解釋為限于基于本專利的 任何部分中所作出的任何陳述(除權(quán)利要求書的語言以外)的范圍。就本專利所附 權(quán)利要求書中所述的任何術(shù)語在本專利中以與單數(shù)意義一致的方式引用而言,這僅 是為了清楚起見以便不混淆讀者,且這樣的權(quán)利要求術(shù)語不旨在通過暗示等限于該 單數(shù)意義。最后,除非權(quán)利要求元素通過敘述單詞"指的是"和功能而未敘述任何 結(jié)構(gòu)來定義的,否則任何權(quán)利要求元素的范圍不旨在基于對35 U.S.C.S 112第6 段的應(yīng)用來解釋。
眾多發(fā)明性功能和眾多發(fā)明性原理最佳地使用軟件程序或指令以及諸如專用 IC等集成電路(IC)來實現(xiàn)。盡管可能要花費大量努力以及存在例如由可用時間、 當(dāng)前技術(shù)以及經(jīng)濟上的考慮而激發(fā)的眾多設(shè)計選擇,但期望本領(lǐng)域的普通技術(shù)人員 在由此處公開的概念和原理指導(dǎo)時,將能容易地以最小的試驗而生成這樣的軟件指 令和程序。從而,為了簡明以及最小化模糊根據(jù)本發(fā)明的原理和概念的風(fēng)險,如果 有這樣的軟件和IC的進一步描述,它們也將被限于關(guān)于優(yōu)選實施例的原理和概念 的要素。
圖l示出可用于實現(xiàn)動態(tài)軟件供應(yīng)系統(tǒng)的網(wǎng)絡(luò)10。網(wǎng)絡(luò)10可以是因特網(wǎng),虛 擬專用網(wǎng)(VPN),或允許一臺或多臺計算機、通信設(shè)備、數(shù)據(jù)庫等彼此通信連接 的任何其它網(wǎng)絡(luò)。網(wǎng)絡(luò)10可經(jīng)由以太網(wǎng)連接16、路由器18以及陸線20連接至個 人計算機12和計算機終端14。另一方面,網(wǎng)絡(luò)10可經(jīng)由無線通信站26和無線鏈 路28被無線連接至膝上型計算機22和個人數(shù)字助理24。類似地,服務(wù)器30可使
用通信鏈路32連接至網(wǎng)絡(luò)10,大型機34可使用另一通信鏈路36被連接至網(wǎng)絡(luò)10。 圖2示出計算機110形式的計算設(shè)備。計算機110的組件可包括,但不限于, 處理單元120、系統(tǒng)存儲器130和將包括系統(tǒng)存儲器在內(nèi)的各種系統(tǒng)組件耦合至處 理單元120的系統(tǒng)總線121。系統(tǒng)總線121可以是若干類型的總線結(jié)構(gòu)中的任一種, 包括存儲器總線或存儲器控制器、外圍總線和使用各種總線體系結(jié)構(gòu)中的任一種的 局部總線。作為示例,而非限制,這樣的體系結(jié)構(gòu)包括工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(ISA) 總線、微通道體系結(jié)構(gòu)(MCA)總線、擴展的ISA (EISA)總線、視頻電子技術(shù) 標(biāo)準(zhǔn)協(xié)會(VESA)局部總線和外圍部件互連(PCI)總線(也被稱為Mezzanine 總線)。
計算機110通常包括各種計算機可讀介質(zhì)。計算機可讀介質(zhì)可以是能夠被計 算機IIO訪問的任何可用介質(zhì),且包括易失性和非易失性介質(zhì)、可移動和不可移動 介質(zhì)。作為示例,而非限制,計算機可讀介質(zhì)可以包括計算機存儲介質(zhì)和通信介質(zhì)。 計算機存儲介質(zhì)包括以任何方法或技術(shù)實現(xiàn)的用于存儲諸如計算機可讀指令、數(shù)據(jù) 結(jié)構(gòu)、程序模塊或其它數(shù)據(jù)等信息的易失性和非易失性、可移動和不可移動介質(zhì)。 計算機存儲介質(zhì)包括,但不限于,RAM、 ROM、 EEPROM、閃存或其它存儲器技 術(shù);CD-ROM、數(shù)字多功能盤(DVD)或其它光盤存儲;磁帶盒、磁帶、磁盤存 儲或其它磁性存儲設(shè)備;或能用于存儲所需信息且可以由計算機110訪問的任何其 它介質(zhì)。通信介質(zhì)通常具體化為諸如載波或其它傳輸機制等已調(diào)制數(shù)據(jù)信號中的計 算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其它數(shù)據(jù),且包含任何信息傳遞介質(zhì)。術(shù)語 "已調(diào)制數(shù)據(jù)信號"指的是這樣一種信號,其一個或多個特征以在信號中編碼信息 的方式被設(shè)定或更改。作為示例,而非限制,通信介質(zhì)包括有線介質(zhì),諸如有線網(wǎng) 絡(luò)或直接線連接,以及無線介質(zhì),諸如聲學(xué)、RF、紅外線和其它無線介質(zhì)。上述 中任一個的組合也應(yīng)包括在計算機可讀介質(zhì)的范圍之內(nèi)。
系統(tǒng)存儲器130包括易失性或非易失性存儲器形式的計算機存儲介質(zhì),諸如 只讀存儲器(ROM) 131和隨機存取存儲器(RAM) 132。基本輸入/輸出系統(tǒng)133 (BIOS)包含有助于諸如啟動時在計算機110中元件之間傳遞信息的基本例程, 它通常存儲在ROM 131中。RAM 132通常包含處理單元120可以立即訪問和/或 目前正在操作的數(shù)據(jù)和/或程序模塊。作為示例,而非限制,圖l示出了操作系統(tǒng) 134、應(yīng)用程序135、其它程序模塊136和程序數(shù)據(jù)137。
計算機110也可以包括其它可移動/不可移動、易失性/非易失性計算機存儲介 質(zhì)。僅作為示例,圖l示出了從不可移動、非易失性磁介質(zhì)中讀取或向其寫入的硬
盤驅(qū)動器141,從可移動、非易失性磁盤152中讀取或向其寫入的磁盤驅(qū)動器151, 以及從諸如CD ROM或其它光學(xué)介質(zhì)等可移動、非易失性光盤156中讀取或向其 寫入的光盤驅(qū)動器155??梢栽谑纠圆僮鳝h(huán)境下使用的其它可移動/不可移動、易 失性/非易失性計算機存儲介質(zhì)包括,但不限于,盒式磁帶、閃存卡、數(shù)字多功能 盤、數(shù)字錄像帶、固態(tài)RAM、固態(tài)ROM等。硬盤驅(qū)動器141通常由諸如接口 140 等不可移動存儲器接口連接至系統(tǒng)總線121,磁盤驅(qū)動器151和光盤驅(qū)動器155通 常由諸如接口 150等可移動存儲器接口連接至系統(tǒng)總線121。
以上描述和在圖2中示出的驅(qū)動器及其相關(guān)聯(lián)的計算機存儲介質(zhì)為計算機 110提供了對計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊和其它數(shù)據(jù)的存儲。例如,在 圖1中,硬盤驅(qū)動器141被示為存儲操作系統(tǒng)144、應(yīng)用程序145、其它程序模塊 146和程序數(shù)據(jù)147。注意,這些組件可以與操作系統(tǒng)134、應(yīng)用程序135、其它程 序模塊136和程序數(shù)據(jù)137相同或不同。操作系統(tǒng)144、應(yīng)用程序145、其它程序 模塊146和程序數(shù)據(jù)147在這里被標(biāo)注了不同的標(biāo)號是為了說明至少它們是不同的 副本。用戶可以通過輸入設(shè)備,諸如鍵盤162和定點設(shè)備161 (通常指鼠標(biāo)、跟蹤 球或觸摸墊)向計算機20輸入命令和信息。其它輸入設(shè)備(未示出)可以包括麥 克風(fēng)、操縱桿、游戲墊、圓盤式衛(wèi)星天線、掃描儀等。這些和其它輸入設(shè)備通常由 耦合至系統(tǒng)總線的用戶輸入接口 160連接至處理單元120,但也可以由諸如并行端 口、游戲端口或通用串行總線(USB)等其它接口或總線結(jié)構(gòu)連接。陰極射線管 191或其它類型的顯示設(shè)備也經(jīng)由諸如視頻接口 190的接口連接至系統(tǒng)總線121。 除監(jiān)視器以外,計算機也可以包括其它外圍輸出設(shè)備,諸如揚聲器197和打印機 196,它們可以通過輸出外圍接口 l卯連接。
計算機110可使用至一臺或多臺遠程計算機,諸如遠程計算機180的邏輯連 接在網(wǎng)絡(luò)化環(huán)境下操作。遠程計算機180可以是個人計算機、服務(wù)器、路由器、網(wǎng) 絡(luò)PC、對等設(shè)備或其它常見網(wǎng)絡(luò)節(jié)點,且通常包括以上相對于計算機110描述的 許多或所有元件,盡管在圖1中只示出存儲器存儲設(shè)備181。圖1中所示邏輯連接 包括局域網(wǎng)(LAN) 171和廣域網(wǎng)(WAN) 173,但也可以包括其它網(wǎng)絡(luò)。這樣的 連網(wǎng)環(huán)境在辦公室、企業(yè)范圍計算機網(wǎng)絡(luò)、內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中是常見的。
當(dāng)在LAN連網(wǎng)環(huán)境中使用時,計算機110通過網(wǎng)絡(luò)接口或適配器170連接至 LAN 171。當(dāng)在WAN網(wǎng)絡(luò)環(huán)境中使用時,計算機110通常包括調(diào)制解調(diào)器172或 用于通過諸如因特網(wǎng)等WAN 173建立通信的其它裝置。調(diào)制解調(diào)器172可以是內(nèi) 置或外置的,它可以通過用戶輸入接口 160或其它合適的機制連接至系統(tǒng)總線121。
在網(wǎng)絡(luò)化環(huán)境中,相對于計算機iio所描述的程序模塊或其部分可以存儲在遠程存
儲器存儲設(shè)備中。作為示例,而非限制,圖1示出了遠程應(yīng)用程序185駐留在存儲 器設(shè)備181上。
通信連接170、 172允許設(shè)備與其它設(shè)備通信。通信連接170、 172是通信介 質(zhì)的示例。通信介質(zhì)通常具體化為諸如載波或其它傳輸機制等已調(diào)制數(shù)據(jù)信號中的 計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其它數(shù)據(jù),且包含任何信息傳遞介質(zhì)。術(shù) 語"己調(diào)制數(shù)據(jù)信號"指的是這樣一種信號,其一個或多個特征以在信號中編碼信 息的方式被設(shè)定或更改。作為示例,而非限制,通信介質(zhì)包括有線介質(zhì),諸如有線 網(wǎng)絡(luò)或直接線連接,以及無線介質(zhì),諸如聲學(xué)、RF、紅外線和其它無線介質(zhì)。計 算機可讀介質(zhì)可包括存儲介質(zhì)和通信介質(zhì)兩者。
將在以下更詳細描述的可信平臺模塊125或其它可信環(huán)境可存儲數(shù)據(jù)以及密 鑰,并驗證可執(zhí)行代碼和數(shù)據(jù)??尚牌脚_模塊規(guī)范在章節(jié)4.5.2.1中有陳述"作 為系統(tǒng)初始化的一部分,將進行對平臺組件和配置的測量。進行測量將不會檢測出 不安全的配置,也不會采取措施來阻止初始化過程的繼續(xù)。這種責(zé)任歸于諸如操作 系統(tǒng)等合適的基準(zhǔn)監(jiān)控程序。"。因為TPM未被定義為強制工具,因此以下所述 的進一步增強對常見的TPM進行了補充。
監(jiān)視電路126可被配置成測量時間期限,且當(dāng)時間期滿時觸發(fā)干擾計算機110 的操作的信號127。干擾可以是使計算機110重新引導(dǎo)的系統(tǒng)復(fù)位。干擾可中斷系 統(tǒng)總線121或外圍總線上的數(shù)據(jù)。為防止監(jiān)視器126干擾計算機110的操作,可能 要求通信連接128上的信號對時間期限復(fù)位并再次啟動定時過程。如圖2中所示, 監(jiān)視計時器復(fù)位信號可承載于通信連接128上。如將在以下更詳細描述的,TPM 125可響應(yīng)于來自監(jiān)控程序的信號來啟動監(jiān)視計時器的復(fù)位。以下所述的步驟可用 于幫助確保存在特定的、所需的監(jiān)控程序且該程序通過使用TPM 125和監(jiān)視電路 126的組合正在操作中。
討論并描述了圖3,它是示出諸如圖2的代表性計算機內(nèi)的功能層的分層表示 的簡化的框圖??尚牌脚_模塊202可以是駐留在基本輸入/輸出結(jié)構(gòu)(BIOS) 204 下方的硬件。TPM202可用作計算機和更高層操作,諸如BIOS 204的資源。BIOS 可激活監(jiān)控程序206。監(jiān)控程序駐留在監(jiān)控程序?qū)?10處,在操作系統(tǒng)208下方。 監(jiān)控程序206可訪問并使用TPM 202的資源以實現(xiàn)與更高層實體的操作相關(guān)聯(lián)的 策略。操作系統(tǒng)208支持計算機110的主要功能,且可以負責(zé)(在初始程序引導(dǎo)過 程移交控制之后)通信、用戶輸入/輸出、磁盤和其它存儲器訪問、應(yīng)用程序啟動
等。操作系統(tǒng)也可直接訪問和使用TPM202。如圖所示,第一和第二應(yīng)用程序212、 214可在操作系統(tǒng)208上運行。在某些情況中,監(jiān)控程序可強制與操作系統(tǒng)208和 應(yīng)用程序212、 214有關(guān)的策略。例如,在應(yīng)用程序214可從磁盤216啟動之前, 由線218所示,操作系統(tǒng)可檢查許可狀態(tài)以確定應(yīng)用程序214是否滿足啟動的給定 準(zhǔn)則。啟動的準(zhǔn)則以及隨后使用監(jiān)控程序函數(shù)對應(yīng)用程序的計量在于2004年12 月8日提交的代理案巻號為30835/40476的美國專利申請"Method for Pay-As-You-Go Computer and Dynamic Differential Pricing"中有更詳細討論。簡要 地,例如在按使用付費或預(yù)付情形中,監(jiān)控程序206可用于測量和計量應(yīng)用程序、 實用程序和計算機資源。
簡要地參考圖6,將更詳細地描述TPM 202。 TPM 202可具有包括易失性和非 易失性存儲器兩者的內(nèi)部存儲器502,其中至少一部分沒有遭受篡改或未經(jīng)授權(quán)的 寫操作的危險。存儲器可為配置TPM 202起見并為建立對外部實體的信任,存儲 供確認聲稱與所有者有聯(lián)系的實體使用的所有者密鑰504。存儲器可也包括平臺配 置寄存器(PCR) 506等。PCR506可用于存儲與監(jiān)控程序206相關(guān)聯(lián)的散列或其 它強(strong)標(biāo)識符。TPM 202還可包括時鐘508和密碼服務(wù)510。這兩者均可 在如將在以下更詳細描述的認證和授權(quán)過程中使用。TPM202還可包括總線512, 它有時被稱為單引腳總線或通用輸入/輸出(GPIO)。在一個實施例中,GPI0 512 可被耦合至如在別處所描述的監(jiān)視電路。
TPM 202也可被耦合至通用總線514用于計算機內(nèi)的數(shù)據(jù)通信,例如運行監(jiān) 控程序206的進程。使用總線514,或在某些情況中的另一機制516, TPM202能 夠測量監(jiān)控程序。對監(jiān)控程序的測量可包括檢查監(jiān)控程序的密碼散列,即檢查由監(jiān) 控程序所占用的存儲器范圍的散列。PCR可用于存儲測量數(shù)據(jù)506。所有者密鑰 504可例如通過要求所有者密鑰504來確認的監(jiān)控程序的數(shù)字簽署的散列來與監(jiān)控 程序506的散列建立聯(lián)系。所有者密鑰504可在制造時或稍后例如遞送給顧客時被 寫入或注入到TPM 202內(nèi)。所有者密鑰504然后用于認證監(jiān)控程序206。
在一個示例性實施例中,監(jiān)控程序206由引導(dǎo)序列中它之前的可信模塊,例 如由BIOS測量。監(jiān)控程序度量,諸如由BIOS 204計算出的散列,可經(jīng)由總線514 被存儲在TPM PCR 506中。當(dāng)TPM 202確認該度量(散列)時,TPM 202然后可 允許訪問分配給監(jiān)控程序206并存儲在TPM 202中的監(jiān)視程序206的唯一密鑰和/ 或其它機密。TPM 202將向任何監(jiān)控程序分配與監(jiān)控程序的度量所匹配的任何度 量相對應(yīng)的密鑰和機密。
可使用所有者密鑰504和相應(yīng)的監(jiān)控程序度量506,即已知監(jiān)控程序206的散 列來對TPM編程。所有者密鑰被用于對監(jiān)控程序度量506編程或更新,使得僅擁 有所有者密鑰504的實體可為已知監(jiān)控程序206設(shè)置PCR寄存器506。標(biāo)準(zhǔn)的TPM 202具有僅針對給定度量506驗證的監(jiān)控程序206可控制GPIO 512的特征。當(dāng)GPIO 512以防篡改的方式連接至監(jiān)視電路126時,可完成信任鏈。gP,僅經(jīng)驗證的監(jiān)控 程序206可控制GPI0 512,且僅GPI0 512可用于重啟監(jiān)視電路126。從而,盡管 監(jiān)控程序206可被替換或更改,但僅由所有者密鑰506設(shè)置的PCR 506驗證的監(jiān) 控程序206可用于重啟監(jiān)視電路126的計時器。因此,僅經(jīng)授權(quán)的監(jiān)控程序可用于 防止監(jiān)視器例如通過對計算機UO復(fù)位來干擾計算機110。監(jiān)視電路126的計時器 可被置為被選來允許還原經(jīng)破壞或篡改的計算機110,但足夠短來防止大量有用的 工作在計算機110上完成的期限。例如,監(jiān)視器可被置為除非由經(jīng)確認的監(jiān)控程序 206重啟,否則每隔10-20分鐘即干擾計算機110。
所有者密鑰504和監(jiān)控程序度量506可在安全制造環(huán)境中被編程,或可使用 對所有者密鑰504編程的實體所知的傳輸密鑰來現(xiàn)場編程。 一旦所有者密鑰504 已知,編程實體,例如服務(wù)供應(yīng)商可設(shè)置監(jiān)控程序的度量,它將確定哪一監(jiān)控程序 能訪問GPIO總線??赡苄枰姓呙荑€504來對所有者密鑰重新編程。對所得密 鑰的使用可便于密鑰分發(fā)、定標(biāo)(scaling)以及針對萬一本地所有者密鑰504被泄 漏時可能遭受的廣泛損失的保護。密鑰管理技術(shù)在數(shù)據(jù)安全領(lǐng)域中是已知的。
圖4是與計算機110相同或類似的計算機300的代表性體系結(jié)構(gòu)的框圖。該 計算機可具有第一和第二接口橋302、 304。接口橋302、 304可由高速總線306連 接。第一接口橋302可連接至處理器308、圖形控制器310和存儲器312。存儲器 312可主存監(jiān)控程序314、以及其它通用存儲器使用。
第二接口橋304可連接至外圍總線和組件,例如通用串行總線(USB) 316、 集成驅(qū)動器電子設(shè)備(IDE) 318、或外圍部件互連(PCI) 320,用于連接磁盤驅(qū) 動器、打印機、掃描儀等。第二接口橋也可連接至TPM322。如上所述,TPM322 可具有用于密鑰和散列數(shù)據(jù)的安全存儲器324、以及通用輸入/輸出(GPIO) 326。 TPM 322可由連接328物理上或邏輯上耦合至監(jiān)控程序。如上所述,BIOS 204可 測量監(jiān)控程序206,并在TPM 322中存儲度量,這向監(jiān)控程序314分配對應(yīng)于所 提供的度量的密鑰和機密。監(jiān)控程序314從而被給予對使用這些密鑰和機密鎖定的 資源和數(shù)據(jù)的訪問權(quán)。為向監(jiān)視電路330發(fā)送信號,連接328也可由監(jiān)控程序使用 來控制GPIO 326。該信號可使監(jiān)視器復(fù)位。當(dāng)監(jiān)視電路330在由監(jiān)視電路330中 的設(shè)定所規(guī)定的時間期限內(nèi)未接收到該信號時,可經(jīng)由連接332發(fā)送復(fù)位或其它干 擾信號。為了防止篡改,GPIO 326與監(jiān)視電路330之間的連接可例如通過在電路 板層之間密封或布線以防止對監(jiān)視電路330的手動重啟來保護??深愃频蒯槍Υ鄹?保護計算機復(fù)位信號連接332,或監(jiān)視電路330與主處理器計算機復(fù)位點(未示出) 之間的復(fù)位信號連接332的至少一部分。
圖5是圖2的計算機的替換體系結(jié)構(gòu)的代表性框圖。與圖4的描述相比,同 樣標(biāo)號的組件是相同的。監(jiān)視電路330被移至第二接口橋304內(nèi),示出監(jiān)視電路 330可如何組合到另一電路內(nèi)以改進抗篡改能力的代表性圖示。監(jiān)視電路330與第 二接口橋芯片304的集成盡管本身是適當(dāng)?shù)?,但僅是說明性的。由于第二接口橋 304是計算機體系結(jié)構(gòu)的一個主要組件,因此所需級別的干擾可從第二接口橋304 之內(nèi)實現(xiàn)。從而,可能不需要從監(jiān)視電路外部到第二接口橋304的連接,諸如連接 332。
在該替換體系結(jié)構(gòu)中,GPIO 326可能未被用于向監(jiān)視電路330發(fā)送復(fù)位信號。 相反,可經(jīng)由直接從監(jiān)控程序314到監(jiān)視電路330的邏輯連接334發(fā)送消息。
因為在兩個實體(314、 330)之間可能不存在足夠的信任級別,因此消息可 使用TPM 322中所保存的密鑰來簽署。例如,這些密鑰可在第一引導(dǎo)(例如,在 生產(chǎn)線上,為可信度起見)期間與監(jiān)控程序314相關(guān)聯(lián)。密鑰可被任意分配,或如 上所述密鑰可從主密鑰和諸如根證書、序列號或制造序號等已知數(shù)據(jù)中導(dǎo)出。監(jiān)視 計時器330可被配置成僅與例如在裝配線上的計算機110的第一引導(dǎo)期間使用這些 密鑰在簽署的消息有關(guān)。此外,監(jiān)控程序?qū)⑦@些密鑰鎖入TPM 332內(nèi),使得僅同 樣測量的監(jiān)控程序314可訪問這些密鑰。該體系結(jié)構(gòu)的變型是監(jiān)控程序依賴于TPM 332來向其分配對其度量而言唯一且相應(yīng)的這些密鑰。
在正常操作期間,監(jiān)控程序314可請求TPM 322代其對要發(fā)送給監(jiān)視計時器 330的消息進行簽署。TPM332使用對應(yīng)于監(jiān)控程序314的密鑰(按照在每一引導(dǎo) 期間由BIOS存儲到TPM 322內(nèi)的其度量)來簽署消息。監(jiān)控程序314可經(jīng)由例 如連接328的邏輯連接從TPM 322接收已簽署消息,然后經(jīng)由邏輯連接334將其 提供給監(jiān)視電路330。
當(dāng)監(jiān)視電路330接收到該消息時,監(jiān)視電路330可使用密鑰(在制造期間設(shè) 置)以認證該消息。或者,它可使用邏輯連接336請求使用TPM 322中的密鑰或 密碼來驗證。如果另一監(jiān)控程序正在運行,則它會不同地測量,得到由TPM分配 的不同的密鑰和機密。從而,替換監(jiān)控程序?qū)⒉荒軌蛘_簽署該消息,以使它將由
監(jiān)視電路330認證。因此,監(jiān)視電路330將啟動制裁(sanction),諸如當(dāng)計算機 110的定時間隔期滿之后激發(fā)其復(fù)位。對已簽署或加密消息的使用可減少對邏輯連 接328和334的攻擊的幾率。
討論并描述了圖7,它是示出使用監(jiān)控程序?qū)⒖尚牌脚_模塊(TPM)總是鎖定 為"開"的方法的流程圖。典型的TPM,例如TPM125可任選地由用戶啟用。如 下所述,該方法將幫助確保TPM 125仍被啟用,并且由企業(yè)所有者選擇的監(jiān)控程 序206將被執(zhí)行,但是冒了諸如禁用計算機110等制裁的風(fēng)險。
在開始402處以通電開始,計算機110可通過正常的引導(dǎo)機制啟動各種硬件 組件。這也適用于TPM322。引導(dǎo)序列可遵循可信計算平臺聯(lián)盟(TCPA)方法。 用于測量的核心信任根(CRTM)測量BIOS 133并將其度量存儲到TPM 322內(nèi) (403)。然后,CRTM加載并執(zhí)行BIOS 133。
(CRTM理想上可被存儲在計算機 110中非常難以攻擊的可信位置中。)
BIOS 133可按照常規(guī)方式執(zhí)行,從而啟動并列舉各種計算機組件,只有一個 例外——它可在加載并執(zhí)行每一軟件模塊之前對其進行測量。而且,它可將這些度 量存儲到TPM 322內(nèi)。具體地,它可測量監(jiān)控程序314并將監(jiān)控程序度量存儲到 TPM322內(nèi)(405)。
TPM 322將密鑰和機密唯一且相應(yīng)地分配給監(jiān)控程序度量。要點在于,TPM 322始終如一地分配對應(yīng)于給定度量的唯一密鑰和機密(408)。因此,監(jiān)控程序 314可用的密碼是唯一、 一致且相應(yīng)的。結(jié)果是,任何監(jiān)控程序可鎖定資源,使其 僅對該特定的監(jiān)控程序獨占地可用。例如,這允許通過僅關(guān)于與真實監(jiān)控程序314 相關(guān)聯(lián)的度量對連接至監(jiān)視電路330的GPIO 326編程而將真實的監(jiān)控程序314鏈 接至監(jiān)視電路330。 GPIO 326則僅對與真實監(jiān)控程序314相同地測量的監(jiān)控程序 可用。
不考慮所加載的監(jiān)控程序真實與否,引導(dǎo)序列加載并執(zhí)行監(jiān)控程序(410)。 正常的引導(dǎo)過程可繼續(xù)(411),并假定成功的引導(dǎo),之后是計算機110的正常操 作(412)。
一旦監(jiān)控程序314在410處被加載并執(zhí)行之后,它啟動其循環(huán)(413-419)。 首先,監(jiān)控程序314經(jīng)由TPMGPIO 326向監(jiān)視電路330發(fā)送消息(413)。該消 息可用信號通知TPM 322使用GPIO 326來發(fā)信號通知監(jiān)視電路330重啟其計時器 (未示出)。
當(dāng)向TPM 322發(fā)送消息之后,監(jiān)控程序返回其測試狀態(tài)414。監(jiān)控程序可測
試計算機iio的狀態(tài)是否遵循當(dāng)前策略。當(dāng)前策略可涉及已知程序、實用程序或外 設(shè)的特定的存在與否。測試也可與計量或其它按使用付費度量有關(guān)。例如,測試可 檢查可供消費的可用供應(yīng)包與特定的應(yīng)用程序操作之間的關(guān)系。在另一實施例中, 測試可與諸如日歷月等特定時間期限期間的操作有關(guān)。
當(dāng)測試414失敗時,可跟隨否分支(416),在那里監(jiān)控程序根據(jù)策略行動。 動作可以僅是發(fā)送給操作系統(tǒng)的警告代碼或呈現(xiàn)給用戶的警告消息。動作可以是對 操作系統(tǒng)和用戶施加的某些制裁,例如限制或消除計算機的某一功能。這可應(yīng)用于 硬件和/或軟件功能。例如,可減慢計算機、可禁用某些軟件、或可禁用某些設(shè)備, 例如網(wǎng)絡(luò)攝像頭。更嚴厲的制裁可以是限制OS可用的RAM的量,或減少操作系 統(tǒng)可用的指令集體系結(jié)構(gòu)。在一個示例性實施例中,當(dāng)找到不遵循條件時監(jiān)控程序 314可用的一個行動過程可以是不采取措施來重啟監(jiān)視電路330的計時器而令監(jiān)視 電路330施加制裁。
當(dāng)測試成功時,可跟隨是分支(414)。在任一情況中,執(zhí)行在返回到步驟413 之前等待一間隔(419)。等待間隔避免了因反復(fù)運行監(jiān)視程序314而耗盡計算機: 的資源。顯然,該等待間隔419應(yīng)是監(jiān)視計時器計數(shù)期限的某一部分。可用部分的 確定可以是計算機正常操作將延遲循環(huán)執(zhí)行完成的可能性。然后循環(huán)返回至上述步 驟413。重復(fù)循環(huán)的周期可被置為小于監(jiān)視電路超時期限的任何時間,否則將出現(xiàn) 不期望的干擾。
當(dāng)TPM322接收到消息(420)時,TPM 322根據(jù)監(jiān)控程序度量行動。如果度 量被認為是非真實失敗(420),則將采用否分支至框422,在那里不采取任何動 作,即不發(fā)送到監(jiān)視電路330的信號。TPM 322不需要任何其它動作,因為監(jiān)視 電路330將干擾計算機110,除非采取步驟來停止??扇芜x地,TPM322在422處 可生成用于日志記錄的出錯、生成警告/出錯代碼、通知操作系統(tǒng)以及可向用戶顯 示消息。
當(dāng)TPM 322驗證監(jiān)控程序度量真實時,可激活GPIO 326來用信號通知監(jiān)視 電路330重啟其計時器(424)。如上所述,重啟監(jiān)視電路計時器防止監(jiān)視電路330 啟動干擾動作,諸如對計算機110的復(fù)位。監(jiān)視電路330然后可將計時器復(fù)位為其 初始值(426)。計時器然后可計數(shù)(428)并測試預(yù)定時間是否期滿(430)。計 時器期限是可設(shè)定的。計時器實現(xiàn)是已知的,且計時器是數(shù)到給定數(shù)字、減至O、 數(shù)到設(shè)定時鐘時間、還是其它機制均是設(shè)計選擇。
如果計時器未期滿,則可從430采用返回到428的否分支,這將對計時器進
行另一次計數(shù)。當(dāng)時間期滿時,可從430采用是分支,監(jiān)視器可通過干擾計算機 (432)來實施制裁。干擾可以是系統(tǒng)復(fù)位、引起重新引導(dǎo)或?qū)ν庠O(shè)的禁用等。監(jiān) 視電路計時器遞減計數(shù)至干擾432的期限可能足以允許用戶糾正計算機110上的不 遵循條件,但應(yīng)足夠頻繁以限制計算機110上的可靠或有用活動。
從432到426的鏈接可以是概念上的。如果通過對整個計算機復(fù)位來實現(xiàn)干 擾,則該鏈接是沒有實際意義的。在更微小干擾的情況中,例如減緩計算機,該鏈 接用于重啟遞減計數(shù)并可導(dǎo)致更嚴重的禁用干擾,例如引起復(fù)位。
可見可通過以上方法實現(xiàn)與按使用付費來供應(yīng)計算機相關(guān)聯(lián)的企業(yè)所有者或 其它承保人的兩個目的。首先,如果TPM322因為用戶選擇不使用TPM322或?qū)?計算機進行黑客攻擊以禁用TPM 322而被禁用,則將不會生成至監(jiān)視電路330的 消息,且計算機110將被干擾。
類似地,如果TPM 322被啟用并是可操作的,但監(jiān)視程序被更改或替換,可 能更改或忽略有效策略(例如,使用策略),則TPM將不會承兌監(jiān)視程序的請求。 實際上,經(jīng)更改的監(jiān)控程序度量不同于真實監(jiān)控程序的度量。因此,當(dāng)監(jiān)控程序度 量被存儲到TPM 322內(nèi)時,它將分配對該經(jīng)更改的監(jiān)控程序的相應(yīng)且唯一的一組 密鑰和機密,這組密鑰和機密不同于GPI0 326操作所需的那些。結(jié)果,從經(jīng)更改 的監(jiān)控程序到TPM以向GPIO 326發(fā)送信號的任何消息將不會被承兌。從而,監(jiān) 視電路330將不會接收到重啟信號,并且計算機110將被干擾。
在這兩種情況中,TPM 322必須被啟用,且真實監(jiān)控程序314必須就位且是 可操作的以使計算機110正確操作。
可構(gòu)想以上方法和裝置的其它使用。例如,引導(dǎo)過程的一部分可要求經(jīng)授權(quán) 用戶提供憑證。如果未提供正確的憑證,則引導(dǎo)過程可能不能加載真實的監(jiān)控程序, 這將最終導(dǎo)致對計算機110的禁用。
權(quán)利要求
1.一種實現(xiàn)用于強制監(jiān)控程序的操作的可信計算基礎(chǔ)的計算機,所述計算機包括執(zhí)行所述監(jiān)視程序的處理器;耦合至所述處理器以便確保所述監(jiān)控程序的執(zhí)行的可信環(huán)境,所述可信環(huán)境適用于從所述監(jiān)控程序接收消息;耦合至所述可信環(huán)境的監(jiān)視電路,所述監(jiān)視電路在一期限之后干擾所述計算機,除非所述可信環(huán)境在所述期限內(nèi)接收到所述消息。
2. 如權(quán)利要求1所述的計算機,其特征在于,所述可信環(huán)境密碼地標(biāo)識所述 監(jiān)控程序。
3. 如權(quán)利要求2所述的計算機,其特征在于,所述可信環(huán)境還包括通用輸入 /輸出端口,且所述監(jiān)控程序在被密碼地標(biāo)識之后可訪問所述通用輸入/輸出端口。
4. 如權(quán)利要求1所述的計算機,其特征在于,所述監(jiān)視電路還包括用于確定 所述期限的計時器,且其中所述監(jiān)視電路接收已簽署的重啟信號以便當(dāng)所述已簽署 重啟信號被驗證時重啟所述計時器。
5. 如權(quán)利要求1所述的計算機,其特征在于,所述可信環(huán)境經(jīng)由專用通信線 路耦合至所述監(jiān)視電路。
6. 如權(quán)利要求1所述的計算機,其特征在于,所述監(jiān)視電路當(dāng)干擾所述計算 機時使所述計算機重新引導(dǎo)。
7. 如權(quán)利要求6所述的計算機,其特征在于,使所述計算機重新引導(dǎo)的信號 承載于一導(dǎo)體上,所述導(dǎo)體適用于抗篡改。
8. 如權(quán)利要求1所述的計算機,其特征在于,所述監(jiān)控程序結(jié)合發(fā)送消息至 少一次驗證令牌。
9. 如權(quán)利要求9所述的計算機,其特征在于,所述令牌包括供所述監(jiān)控程序 用于確定所述監(jiān)控程序是否是當(dāng)前版本的版本號。
10. —種激勵計算機中的己知操作狀態(tài)的方法,包括 執(zhí)行一己知監(jiān)控程序;從所述已知監(jiān)控程序向一監(jiān)視電路發(fā)送信號;以及 響應(yīng)于所述信號防止所述監(jiān)視電路干擾所述計算機的操作。
11. 如權(quán)利要求10所述的方法,其特征在于,還包括驗證所述已知監(jiān)控程序的真實性。
12. 如權(quán)利要求10所述的方法,其特征在于,所述從監(jiān)控程序發(fā)送信號還包 括,在向所述監(jiān)視電路發(fā)送所述信號之前從所述監(jiān)控程序向一可信環(huán)境發(fā)送所述信 號。
13. 如權(quán)利要求10所述的方法,其特征在于,還包括 簽署所述信號,且所述監(jiān)視器驗證所述信號的真實性。
14. 如權(quán)利要求10所述的方法,其特征在于,還包括當(dāng)未在預(yù)定時間內(nèi)接收到所述信號時,干擾所述計算機的操作。
15. —種供計算機中使用的監(jiān)視電路,包括 用于確定時間期限的計時器; 用于接收重啟所述計時器的信號的輸入;以及用于當(dāng)在所述時間期限中未接收到所述信號時干擾所述計算機的操作的輸出。
16. 如權(quán)利要求15所述的監(jiān)視電路,其特征在于,還包括密碼能力,其中所 述信號被數(shù)字簽署,且所述密碼電路確定所述信號的真實性。
17. 如權(quán)利要求15所述的監(jiān)視電路,其特征在于,所述輸入被耦合至一可信 環(huán)境。
18. 如權(quán)利要求17所述的監(jiān)視電路,其特征在于,所述可信環(huán)境控制至所述 監(jiān)視電路的所述信號。
19. 如權(quán)利要求15所述的監(jiān)視電路,其特征在于,所述輸出被耦合至復(fù)位電 路和總線驅(qū)動器電路之一。
20. 如權(quán)利要求15所述的監(jiān)視電路,其特征在于,所述監(jiān)視電路以限制對所 述計時器、所述輸入和所述輸出之一的訪問的方式被設(shè)置在所述計算機中。
全文摘要
一種可通過包括用于驗證已知監(jiān)控程序的可信環(huán)境來保護免受攻擊的計算機。該監(jiān)控程序可用于確定計算機的狀態(tài)是否遵循一組條件。這些條件可與使用條款有關(guān),諸如可供按使用付費的信用、或計算機正運行諸如病毒保護等某些軟件、或未附加未經(jīng)授權(quán)的外設(shè)、或提供了所需令牌。該監(jiān)控程序可直接或通過可信環(huán)境向監(jiān)視電路發(fā)送信號。當(dāng)未在給定超時期限內(nèi)接收到該信號時,該監(jiān)視電路干擾計算機的使用。
文檔編號G06F15/18GK101116070SQ200580040764
公開日2008年1月30日 申請日期2005年12月20日 優(yōu)先權(quán)日2004年12月23日
發(fā)明者A·法蘭克, P·英格蘭 申請人:微軟公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1