專利名稱:一種快速啟動tcpa/tcg安全計算機的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計算機系統(tǒng)及其控制方法,尤其涉及一種基于TCPA/TCG(可信計算平臺聯(lián)盟/可信計算機組)架構(gòu)的安全計算機快速啟動的系統(tǒng)和方法���。
背景技術(shù):
隨著計算機在各個領(lǐng)域的廣泛使用����,計算機的安全性能越來越受到人們的關(guān)注,人們采用各種方法來提高計算機的安全性能�����?���;诖朔N需求,在計算機機硬件平臺上引入安全芯片架構(gòu)�����,通過提供的安全特性來提高終端系統(tǒng)的安全性�����,簡單地說就是可靠性加安全性�����?�?尚庞嬎闫脚_基于TPM(可信平臺模塊)���,以密碼技術(shù)為支持�����、安全操作系統(tǒng)為核心����,涉及到身份認證���、軟硬件配置���、應(yīng)用程序、平臺間驗證和管理等內(nèi)容���。TPM嵌入在個人計算機系統(tǒng)內(nèi)�,能夠?qū)τ嬎銠C機及其用戶身份進行驗證����,安全存儲關(guān)鍵數(shù)據(jù)和密碼,從而提高了系統(tǒng)的安全性�。
計算機在上電自檢過程中需要對BIOS及其它的數(shù)據(jù)源做摘要計算,以確認系統(tǒng)的安全性�。目前摘要計算是由TPM中的專用計算單元來完成,即BIOS通過調(diào)用TPM內(nèi)的專用計算單元按照規(guī)定算法對BIOS本身��、主板上的嵌入存儲器、可選存儲器����、系統(tǒng)配置、操作系統(tǒng)引導程序�、計算機工作狀態(tài)轉(zhuǎn)換事件編碼字符串進行摘要計算并將其記錄在TPM提供的PCR(平臺配置寄存器)中。
TPM連接于系統(tǒng)總線上����,被摘要的數(shù)據(jù),即TPM中的專用計算單元進行摘要計算的輸入數(shù)據(jù)��,需要從計算機主系統(tǒng)端通過系統(tǒng)總線傳送到TPM內(nèi)部的嵌入式處理器�,由該處理器負責協(xié)調(diào)TPM內(nèi)部資源,交給專用計算單元執(zhí)行計算��,并將計算結(jié)果記錄在TPM中的PCR寄存器中��。
現(xiàn)在的計算機數(shù)據(jù)處理速度越來越快�����,啟動時間越來越短���,但是由于TPM內(nèi)部的嵌入式處理器的數(shù)據(jù)處理能力和TPM與系統(tǒng)聯(lián)系的總線速度的限制�����,摘要計算的時間相對較長�,已成為提高安全計算機啟動速度的瓶頸。
發(fā)明內(nèi)容
本發(fā)明針對現(xiàn)有技術(shù)的缺點���,提供一種快速啟動安全計算機的系統(tǒng)和方法��。
本發(fā)明所述系統(tǒng)包括摘要計算模塊,所述摘要計算模塊設(shè)置于BIOS中����,用于根據(jù)摘要算法對所需進行摘要計算的摘要數(shù)據(jù)進行摘要計算,并將摘要計算結(jié)果保存在內(nèi)存中�����,以供TPM調(diào)用���。
本發(fā)明提供了一種快速啟動TCPA/TCG安全計算機的方法��,該方法包括步驟一��,預(yù)先在BIOS中設(shè)置摘要計算模塊�����;步驟二���,計算機開機��,BIOS自檢����;步驟三����,BIOS調(diào)用TPM對摘要計算模塊進行摘要計算,并將摘要計算結(jié)果保存到TPM的PCR寄存器中�����;步驟四��,BIOS中的摘要計算模塊對所需進行摘要計算的摘要數(shù)據(jù)進行摘要計算��,并將摘要計算結(jié)果保存在內(nèi)存中��;步驟五����,調(diào)用TPM將內(nèi)存中的摘要計算結(jié)果保存到PCR寄存器中���。
本發(fā)明充分利用CPU強大的數(shù)據(jù)處理能力,將原有TPM中按照摘要算法進行摘要計算的計算單元的功能BIOS中設(shè)置的摘要計算模塊來實現(xiàn)�,提高了系統(tǒng)的啟動速度。
因為采用摘要計算模塊后���,原有需要摘要計算的數(shù)據(jù)都經(jīng)過了摘要計算�,并且其結(jié)果保存到了TPM的PCR寄存器中�,因而安全計算機的安全性能并沒有降低。
圖1為本發(fā)明所述系統(tǒng)中摘要計算模塊完成部分摘要計算的方法流程圖�。
具體實施方式
下面結(jié)合
對本發(fā)明做進一步說明���。
本發(fā)明在現(xiàn)有技術(shù)的基礎(chǔ)上���,在BIOS中設(shè)置了摘要計算模塊,用于根據(jù)摘要算法對所需進行摘要計算的摘要數(shù)據(jù)進行摘要計算�����,并將摘要計算結(jié)果保存在內(nèi)存中�����,以供TPM調(diào)用。其中����,這里的摘要算法可以采用SHA-1、MD5等算法����。
對于所需進行摘要計算的摘要數(shù)據(jù)可以包括計算機BIOS、可選存儲器數(shù)據(jù)和主板上的嵌入存儲器數(shù)據(jù)�����;系統(tǒng)配置����、操作系統(tǒng)引導程序或者計算機工作狀態(tài)轉(zhuǎn)換事件編碼字符串;或��,可選存儲器配置及其數(shù)據(jù)和引導程序配置及其數(shù)據(jù)�����。
對于需要進行摘要計算的數(shù)據(jù)來說,可以由摘要計算模塊來完成一部分摘要計算����,剩余的部分由TPM中具有計算功能的專用計算單元依照摘要算法完成。
摘要計算所需時間可由以下公式計算摘要運算時間=輸入摘要數(shù)據(jù)量/計算模塊每秒處理的摘要數(shù)據(jù)量��。
對應(yīng)當前計算機的處理過程��,摘要計算占用開機時間為摘要計算占用的開機時間=摘要數(shù)據(jù)從系統(tǒng)傳送到TPM的時間+TPM執(zhí)行摘要計算的時間�。
可見,摘要計算所需時間����,取決于計算模塊的計算速度和摘要輸入數(shù)據(jù)量的大小。
表1對摘要計算中的數(shù)據(jù)輸入來源及數(shù)據(jù)大小作了說明表1
由上表可以看出�����,需要進行摘要計算的輸入數(shù)據(jù)的主要來源在于計算機BIOS本身�、主板上的嵌入存儲器和可選存儲器�����,因此���,只要加快上述輸入數(shù)據(jù)的摘要計算速度���,那么系統(tǒng)的速度將會大大提高�����。本發(fā)明中將對計算機BIOS本身���、主板上的嵌入存儲器和可選存儲器進行摘要計算的摘要計算模塊設(shè)置在BIOS中,利用CPU的數(shù)據(jù)處理能力����,對這一部分數(shù)據(jù)進行摘要計算,提高了運算速度�����,系統(tǒng)的啟動速度也得到了提高��。
如果使用摘要計算模塊對全部需要摘要計算的輸入數(shù)據(jù)進行摘要計算��,那么系統(tǒng)的啟動速度還會得到提高��。
如
1所示���,本發(fā)明中摘要計算模塊對所需進行摘要計算的摘要數(shù)據(jù)進行摘要計算的方法�,包括如下步驟步驟一,預(yù)先在BIOS中設(shè)置摘要計算模塊����;步驟二,計算機開機����,BIOS自檢;步驟三�,BIOS調(diào)用TPM對摘要計算模塊進行摘要計算,并將摘要計算結(jié)果保存到TPM的PCR寄存器中��;步驟四�����,BIOS中的摘要計算模塊對所需進行摘要計算的摘要數(shù)據(jù)進行摘要計算��,并將摘要計算結(jié)果保存在內(nèi)存中�;步驟五,調(diào)用TPM將內(nèi)存中的摘要計算結(jié)果保存到PCR寄存器中����。
在上述方法中,所述系統(tǒng)的摘要計算模塊對大部分摘要數(shù)據(jù)進行了摘要計算�,而剩余的少部分摘要數(shù)據(jù)由TPM中原有的專用計算單元完成,并且在摘要計算模塊進行摘要計算之前BIOS已經(jīng)調(diào)用了TPM對摘要計算模塊進行了摘要計算��,摘要計算的結(jié)果被保存在PCR寄存器中���,同時��,其他的摘要計算結(jié)果也被保存在PCR寄存器中��,因此系統(tǒng)的安全性得到了保證��,系統(tǒng)的啟動速度也得到了提高�。
對于上述方法中所述的所需進行摘要計算的摘要數(shù)據(jù)包括計算機BIOS���、主板上的嵌入存儲器數(shù)據(jù)���;系統(tǒng)配置、操作系統(tǒng)引導程序或者計算機工作狀態(tài)轉(zhuǎn)換事件編碼字符串���;或�����,可選存儲器配置及其數(shù)據(jù)和引導程序配置及其數(shù)據(jù)��。
盡管本發(fā)明的實施方案已公開如上���,但其并不僅僅限于說明書和實施方式中所列運用�����,它完全可以被適用于各種適合本發(fā)明的領(lǐng)域���,對于熟悉本領(lǐng)域的人員而言,可容易地實現(xiàn)另外的修改��,因此在不背離權(quán)利要求
及等同范圍所限定的一般概念下�����,本發(fā)明并不限于特定的細節(jié)和這里示出與描述的圖例�����。
權(quán)利要求
1.一種快速啟動TCPA/TCG安全計算機的系統(tǒng)���,包括連接于系統(tǒng)總線的TPM���,其特征在于,還包括摘要計算模塊�,所述摘要計算模塊設(shè)置于BIOS中,用于根據(jù)摘要算法對所需進行摘要計算的摘要數(shù)據(jù)進行摘要計算�,并將摘要計算結(jié)果保存在內(nèi)存中,以供TPM調(diào)用����。
2.如權(quán)利要求
1所述的快速啟動TCPA/TCG安全計算機的系統(tǒng),其特征在于�����,所述摘要數(shù)據(jù)包括計算機BIOS����、可選存儲器數(shù)據(jù)和主板上的嵌入存儲器數(shù)據(jù)。
3.如權(quán)利要求
2所述的快速啟動TCPA/TCG安全計算機的系統(tǒng)����,其特征在于,所述摘要數(shù)據(jù)進一步包括系統(tǒng)配置�����、操作系統(tǒng)引導程序或者計算機工作狀態(tài)轉(zhuǎn)換事件編碼字符串。
4.如權(quán)利要求
1或2所述的快速啟動TCPA/TCG安全計算機的系統(tǒng)���,其特征在于���,所述摘要數(shù)據(jù)包括可選存儲器配置及其數(shù)據(jù)和引導程序配置及其數(shù)據(jù)。
5.如權(quán)利要求
1所述的快速啟動TCPA/TCG安全計算機的系統(tǒng)����,其特征在于,所述摘要算法包括SHA-1或MD5�����。
6.一種快速啟動TCPA/TCG安全計算機的方法�,其特征在于,該方法包括步驟一��,預(yù)先在BIOS中設(shè)置摘要計算模塊��;步驟二���,計算機開機�����,BIOS自檢�;步驟三,BIOS調(diào)用TPM對摘要計算模塊進行摘要計算��,并將摘要計算結(jié)果保存到TPM的PCR寄存器中�����;步驟四����,BIOS中的摘要計算模塊對所需進行摘要計算的摘要數(shù)據(jù)進行摘要計算��,并將摘要計算結(jié)果保存在內(nèi)存中���;步驟五��,調(diào)用TPM將內(nèi)存中的摘要計算結(jié)果保存到PCR寄存器中�。
7.如權(quán)利要求
6所述的快速啟動TCPA/TCG安全計算機的方法��,其特征在于�,所述摘要數(shù)據(jù)包括計算機BIOS本身、主板上的嵌入存儲器數(shù)據(jù)����。
8.如權(quán)利要求
7所述的快速啟動TCPA/TCG安全計算機的方法���,其特征在于,所述摘要數(shù)據(jù)進一步包括系統(tǒng)配置�����、操作系統(tǒng)引導程序或者計算機工作狀態(tài)轉(zhuǎn)換事件編碼字符串���。
9.如權(quán)利要求
6或7所述的快速啟動TCPA/TCG安全計算機的方法��,其特征在于��,所述摘要數(shù)據(jù)包括可選存儲器配置及其數(shù)據(jù)和引導程序配置及其數(shù)據(jù)��。
10.如權(quán)利要求
6所述的快速啟動TCPA/TCG安全計算機的系統(tǒng)�,其特征在于�,所述摘要計算采用SHA-1或MD5算法。
專利摘要
本發(fā)明公開了一種快速啟動TCPA/TCG安全計算機的系統(tǒng)和方法�����,所述系統(tǒng)的BIOS中設(shè)置有摘要計算模塊,該模塊可根據(jù)摘要算法對所需進行摘要計算的摘要數(shù)據(jù)進行摘要計算����,并將摘要計算結(jié)果保存在內(nèi)存中。本發(fā)明的方法為計算機開機�,BIOS自檢;BIOS調(diào)用TPM對摘要計算模塊進行摘要計算����,并將摘要計算結(jié)果保存到PCR寄存器中;摘要計算模塊對所需進行摘要計算的摘要數(shù)據(jù)進行摘要計算����,并將摘要計算結(jié)果保存在內(nèi)存中�����;TPM按照摘要算法對不需要由摘要計算模塊處理的摘要數(shù)據(jù)進行摘要計算����;BIOS調(diào)用TPM將內(nèi)存中的摘要計算結(jié)果保存到PCR寄存器中,TPM將摘要計算結(jié)果保存到PCR寄存器中��。
文檔編號G06F1/00GKCN1940871SQ200510112510
公開日2007年4月4日 申請日期2005年9月30日
發(fā)明者王曉文 申請人:聯(lián)想(北京)有限公司導出引文BiBTeX, EndNote, RefMan