將密碼模塊綁定到平臺的製作方法

2023-05-30 17:16:21

專利名稱：將密碼模塊綁定到平臺的製作方法
將密碼模塊綁定到平臺
背景技術：
密碼(cryptographic)協處理器執行若干個功能，比如生成加密密鑰、存儲秘密、 加密數據、解密數據、對數據籤名和驗證籤名。這種處理器對於計算機安全而言正變得日益重要。為了提供對計算的信任，可信計算組織(TCG)開發了可信平臺模塊(TPM)，其提供 用於可以存儲安全信息的安全密碼處理器的規範。TPM提供各種功能，比如安全生成密碼密 鑰、遠程證明、密封存儲、綁定和硬體隨機數發生器。所述TCG規範要求TPM與該TPM所附接到的母板之間的某種形式的綁定。焊接是 將TPM綁定到母板的一種方式。然而，這種形式的物理綁定限制了 TPM的使用並且給銷售 商與製造商造成供應鏈問題。


圖1示出根據本發明的示範性實施例的用於初始化TPM的流程圖。圖2示出根據本發明的示範性實施例的用於添加葉子密鑰的樹形圖。圖3示出根據本發明的示範性實施例的用於驗證TPM的流程圖。圖4示出根據本發明的實施例的計算機系統。
具體實施例方式根據本發明的示範性實施例針對用於通過密碼方法將可信平臺模塊(TPM)邏輯 地綁定到諸如印刷電路板(PCB)之類的平臺的系統和方法。一個實施例使得能夠將分立的 TPM綁定到母板。在母板與TPM之間提供雙向綁定。TPM與母板之間的共享秘密連同其他 參數一起用於確保所述雙向綁定。示範性實施例提供TPM與所述平臺之間的綁定，使得該TPM可以檢測到何時它正 被用在錯誤的平臺上。而且，實施例使得所述平臺能夠檢測到TPM在正確的平臺中並且能 夠檢測到何時TPM已經被移除和/或被篡改(tamper with)。示範性實施例可以與以多種 方式物理地綁定到所述平臺的TPM —起使用，所述方式比如焊接到所述平臺或利用安全的 插座綁定。將TPM邏輯地綁定到特定平臺為TPM和相關的計算設備提供了另一個安全層。在一個實施例中，TPM保持或存儲與固件或基本輸入/輸出系統(BIOS)商定的秘 密。當TPM啟動時，BIOS基於所述共享秘密的有效性或正確性檢查或驗證是否安裝了正確 的TPM。TPM也檢查或驗證是否已經發送了具有正確的授權值的正確的啟動命令。在一個實 施例中，該授權值與使用sysSRK密鑰層級(hierarchy)的sysAuth相同。作為示例，在2006 年 7 月 27 日提交的序列號為 11/493,972 的題為 「Methods and Systems for Utilizing Cryptographic Functions of a Cryptographic Co-Processor」的且通過引用合併於此的 美國專利申請中描述了這種授權。如果TPM檢測到它接收了具有錯誤bindAuth的啟動命令，則TPM知道它正受到攻 擊並採取適當的動作。這些動作可以包括重置所述SRK、有效地將TPM重置為出廠默認值(manufacture default)。TPM還將設置標誌(flag)(比如，攻擊標誌)。同樣地，當在原始 平臺中更換TPM時，BIOS將會知道TPM已經被篡改並且可以採取由組織策略定義的適當的 措施。一個實施例使用所述sysSRK來將共享秘密保持在其樹下。所述BIOS也存儲或維 護該秘密。在一個實施例中，所述共享密鑰在BIOS中不是保密的(意味著BIOS鏡像可被 轉儲(dump))。然而，共享秘密的使用對攻擊者而言增加了另一複雜度。攻擊者現在將不得 不移除硬碟驅動器、轉儲BIOS、移除TPM以及將TPM安裝在將同樣的PCR測量擴展為原始系 統的系統中，以便能夠攻擊所述系統。在一個實施例中，CPU序列號和晶片組連同特殊總線循環一起被使用。這樣，所述 TPM綁定包括CPU序列號。同時，所述序列號被保密並且不用於侵犯用戶的隱私。示範性實施例使得TPM能夠在子卡上實現。這消除了對具有兩個單獨的SKU (即， 用作唯一標識符的庫存單元)的需要，並且去除了維持兩個單獨的BIOS樹的需要。示範性 實施例進一步使得TPM在被插在錯誤平臺之後能夠被清除(clear)，並且使得銷售商或制 造商能夠將計算機系統運送到具有TPM銷售限制的地理區域。而且，示範性實施例消除了 用於物理地將TPM綁定到所述平臺的機械綁定鉚釘(rivet)的成本。示範性實施例還不要 求在所述BIOS或TPM固件中的複雜編碼並且使得BIOS能夠檢測到何時TPM已被移除或被 篡改。圖1示出根據本發明的示範性實施例的用於初始化TPM的流程圖。根據方框100，所述計算機首先被通電。在通電期間，根據方框110，BIOS引導。 BIOS識別計算機中包括TPM的硬體。該TPM可以利用焊接、具有防篡改移除的插座或其他 物理綁定形式物理地連接到所述計算機(例如，連接到母板或其他PCB)。根據方框120，BIOS查詢TPM。例如，所述BIOS發送查詢以確定是否已經存在系 統SRK (sysSRK)，如方框130所示。如果該問題的答案是「是」，則流程前進到方框150，其中 在所述sysSRK下添加葉子密鑰。如果該問題的答案是「否」，則流程前進到方框140並且創 建所述sysSRK。在添加了所述葉子密鑰之後，流程前進到方框160，其中TPM經由創建bindAuth的 TPM_CreateBindAuth命令而被進一步初始化，該bindAuth是在後續引導循環中要與修 改的TPM_Startup命令一起使用的秘密共享值。流程然後前進到方框170，其中所述BIOS保存方框160中創建的所述bindAuth。 各種機制或技術可以用於保存所述bindAuth。在計算機啟動期間，所述BIOS發布TPM_Init 命令以初始化TPM。在個人計算 機(PC)上，該命令經由LPC總線到達TPM，並且通知TPM所述平臺正在執行引導過程。TPM_ Init將TPM置於其中其等待命令TPM_StartUp (該命令指定了所需的初始化類型)的狀態中。圖2示出駐留在TPM上的存儲根密鑰(SRK) 220和系統存儲根密鑰210的樹層級。 在一個示範性實施例中，所述SRK和SysSRK是2048位RSA密鑰，其在TPM密鑰層級的頂部。所述系統存儲根密鑰210進一步包括例如兩個密鑰240和按照圖1的方框150添 加的系統葉子密鑰230。所述存儲根密鑰220 (其已經是TCG規範的一部分)進一步包括例 如密鑰270或「用戶」葉子密鑰260。
兩個對象之間的每條線表示較低的對象被其上面的對象(其父親)的密鑰包裝 (wrap) 0為了解包(unwrap)任何授權數據對象，必須加載適當的葉子密鑰。在一個實施例 中，所述系統葉子密鑰230在TPM中以軟體生成。圖3示出根據本發明的示範性實施例的用於驗證TPM的流程圖。根據方框300，所述計算機首先被通電。在通電期間，根據方框310，BI0S引導。然 後所述BIOS和TPM開始驗證或確認過程以確定正確的TPM是否被安裝且沒有受到損害，例 如遭受先前的攻擊或被安裝在正確的平臺上。根據方框320，所述 BIOS 向 TPM 發出 TPM_Startup (bindAuth)。根據方框 330，TPM 通過檢查TPM_Startup命令的bindAuth參數確定所述TPM_Startup命令是否來自認證的 平臺。如果該問題的答案是「是」，則TPM已經驗證所述平臺是可靠的(綁定的平臺)並且 流程前進到方框340。這裡，所述啟動命令是由綁定的平臺發出的，並且根據方框350，啟動 序列正常進行。所述TPM_Startup是在從初始環境到受限操作狀態的轉換期間可用的命令。 Startup (啟動)將TPM從初始化狀態轉換到操作狀態。如果啟動命令不包括正確的授權， 則所述TPM將不會轉換到所述操作狀態。自然地，如果所述TPM不具有授權值，則所述TPM 不會預期TPM_StartUp被授權並且所述BIOS可以繼續綁定階段，其中它創建用於在後續引 導循環上發送授權的TPM_Startup命令的bindAuth。如果所述問題的答案是「否」，則所述TPM沒有從綁定的平臺接收到所述命令並且 流程前進到方框360。這裡，所述TPM未被插在所述綁定平臺中。作為示例，如果所述TPM 受到攻擊，則該情況將會發生，意味著所述TPM從「綁定的」平臺中被移除並被插在不知道 bindAuth的新平臺中。根據方框370，由於所述TPM未被插在有效的平臺中，所以進入攻擊 模式。一旦在攻擊模式中，各種校正的或保護的動作中的一個或多個可能發生，如方框 380所示，比如將TPM重置為清除了所述SRK和其層級的出廠默認值。例如，如果所述平臺 未被認證，則所述TPM被清除並且返回到出廠默認值。作為示例，所述清除過程使所述SRK 無效。一旦被無效，使用所述SRK存儲的所有信息現在不可用。所述無效並不改變使用該 SRK的二進位大對象(blob)，而是在所述SRK無效後無法解密所述二進位大對象。根據本發明的實施例用在多種系統、方法和裝置中或包括多種系統、方法和裝置。 圖4示出作為計算機系統400的示範性實施例，該計算機系統400是或使用根據本發明的 示範性實施例的計算機、方法、流程圖和/或各方面的一個或多個。根據本發明的實施例不限於任何特定類型或數量的計算機系統。所述計算機系統 例如包括各種可攜式和非可攜式計算機和/或電子設備。示範性計算機系統包括但不限 於，計算機(可攜式和非可攜式)、伺服器、大型計算機(main frame computer)、分布式計 算設備、膝上型計算機以及其他電子設備和系統，無論這樣的設備和系統是可攜式的還是 非可攜式的。本發明的實施例使得諸如基本輸入/輸出系統(BIOS)系統FW或UEFI之類的平臺 實體能夠選擇性地使用諸如可信平臺模塊(TPM)之類的密碼協處理器的密碼功能。例如， 平臺BIOS可以使用TPM的數字籤名驗證功能以確保BIOS flash鏡像是可靠的。平臺BIOS 也可以使用TPM的RSA算法來包裝(wrap)對稱密鑰以在所述BIOS與作業系統組件之間安全地交換所述對稱密鑰。平臺BIOS也可以使用TPM的對稱密鑰加密和解密以安全地加密 和解密在BIOS與作業系統之間傳送的數據。為了確保TPM的密碼功能僅僅對授權的實體 可訪問，本發明的實施例實現了至少一個認證方案。如果平臺實體或平臺實體的命令被成 功認證，則使得所述TPM的密碼功能對於該平臺實體可用。如果認證失敗，則所述TPM的密 碼功能對該平臺實體是不可用的。在至少一些實施例中，不同的TPM功能選擇性地對不同 的平臺實體可用。因此，在成功認證後，平臺實體可以被授權使用一些TPM功能而不能使用 其他功能。如圖4所示，系統400包括優選地經由網絡452耦合到至少一個遠程實體454的 計算機402。該計算機402可以是例如，伺服器、臺式計算機、膝上型計算機或行動裝置。計 算機402包括耦合到至少一個本地實體450的處理器440。如本文所使用的「本地實體」是 指計算機402內部的硬體/固件/軟體實體，並且「遠程實體」是指計算機402外部的硬體 /固件/軟體實體。本地實體的示例包括但不限於，作業系統和外設，比如智慧卡讀取器、硬 盤驅動器、網絡控制器和圖形控制器。遠程實體的示例包括但不限於，提供BIOS升級的服 務器或請求關於BIOS的版本的信息的對等計算機。如圖所示，處理器440耦合到網絡接口 448。網絡接口 444可以採取以下形式 數據機、數據機組、乙太網卡、通用串行總線(USB)接口卡、串行接口、令牌環卡、 光纖分布式數據接口(FDDI)卡、無線區域網(WLAN)卡、無線電收發器卡(比如碼分多址 (CDMA)和/或全球移動通信系統(GSM)無線電收發器卡)，或其他網絡接口。經由網絡接口 448，處理器440能夠連接到網絡452並與之通信，網絡452可以表示網際網路、區域網(LAN) 或廣域網(WAN)。利用這樣的網絡連接，預期所述BIOS 410 (經由處理器440)可以在與遠 程實體454通信的過程中從網絡接收信息，或可以向網絡輸出信息。如圖4所示，處理器440也可以訪問基本輸入/輸出系統(BIOS)410，基本輸入/ 輸出系統(BI0S)410可以實現為例如晶片組(例如，「南橋」)或其他模塊的一部分。示範 性實施例使得BIOS 410 (或另一個平臺實體)能夠安全地與本地實體450和/或遠程實體 454進行通信。處理器440還耦合到存儲計算機402的作業系統(OS) 444的存儲器442。如圖所 示，存儲器442也可以存儲TCG軟體棧446 (TSS)，其處理髮送到與處理器440耦合的可信平 臺模塊(TPM)420的請求。TPM 420被配置為提供密碼功能，比如用於數字籤名和用於加密的RSA非對稱算 法、SHA-I散列法、基於散列的消息認證碼(HMAC)功能、安全存儲、隨機數生成或其他功能。 TPM 420是使用軟體、固件和/或硬體實現的。圖4中所示的TPM組件已被一般化，但不是 全部包括的。TPM架構和功能也可能如可信計算組織(TCG)授權的那樣隨時間改變。如圖4所示，TPM 420包括與處理器440進行通信的輸入/輸出(1/0)接口 422。 1/0接口 422耦合到其他TPM組件，比如密碼服務424、隨機數源426、非對稱算法428、存儲 裝置430和平臺配置寄存器(PCR) 432。所述密碼服務424支持諸如散列法、數字籤名、加密 和解密之類的功能。所述隨機數源426生成用於密碼服務424的隨機數。例如，在一些實 施例中，密碼服務424使用隨機數來生成加密密鑰。非對稱算法428使得TPM 420能夠執 行非對稱密鑰操作。存儲裝置430安全地存儲TPM 420保護的秘密(例如，加密密鑰或其 他數據)。PCR 432存儲關於計算機402當前狀態的信息。例如，在一些實施例中，PCR 432存儲與計算機402有關的各個完整性測量以及完整性測量序列。BIOS 410包括TPM接口 414以及本地實體接口 416和遠程實體接口 418。BIOS 410還包括易失性私有存儲裝置412，其可以用於在計算機是活動的同時而不是在斷電之 後存儲諸如一次一密(OTP)數據和/或與TPM 420共享的秘密之類的秘密。如本文所述， 所述TPM接口 414實現BIOS 410與TPM 420之間的安全通信，而管理應用419實現BIOS 410與TPM 420之間的非安全通信。在至少一些實施例中，所述TPM接口 414包括安全認證方案，該方案如果成功將使 得BIOS 410能夠選擇性地使用TPM 420的密碼功能以及經由TPM 420提供的非易失性存 儲功能。在成功認證BIOS 410後，所述本地實體接口 416可以經由TPM接口 414和管理應 用419使用TPM 420的密碼功能以實現BIOS 410與本地實體450之間的安全本地通信。在 至少一些實施例中，所述安全本地通信基於數字籤名(例如，RSA籤名方案)。換言之，BIOS 410與本地實體450之間傳送的消息可以被籤名以指示所述消息的源。如果從BIOS 410傳 送到本地實體450 (或反之亦然)的消息未被籤名或所述籤名是無效的，則所述消息不被信 任並且相應地被處理。在至少一些實施例中，將BIOS秘密存儲在經由TPM 420訪問的非易失性存儲裝置 中涉及TPM 420中的「sysSRK」存儲密鑰。所述sysSRK與現有的存儲根密鑰(SRK) —致 (congruent)。在至少一些實施例中，所述sysSRK被存儲在TPM的非易失性安全存儲器中 並且是單獨的系統保護存儲(SPS)架構的根。所述BIOS 410也可以在單獨的SPS層級中 或在正常的TPM保護的存儲層級中創建其他密鑰。在這兩種情況中的任意一種情況下，所 述密鑰可以基於TCG規範而被存儲為加密二進位大對象。所述BIOS 410可以根據特定需 求將加密二進位大對象存儲在任何便利的存儲器位置中，所述特定需求比如在平臺的引導 循環的特定時段期間訪問該位置(例如，可能期望在引導循環中較早地訪問)。在至少一些 實施例中，所述sysSRK對計算機402可用，不管TPM 420是自有的、被激活的還是被啟用。 利用所述sysSRK，所述BIOS 410可以建立SPS層級並且利用多種類型的訪問控制存儲加密 的數據。例如，可以使用口令、PCR寄存器和位置(locality)建立密碼HMAC挑戰。所述BIOS 410可以包括指示何時不需要創建新的sysSRK的標誌或數據結構。 例如，如果在先前的引導循環中創建了 sysSRK，則可以使所述標誌有效。為了創建新的 sysSRK，所述BIOS 410將sysSRK創建命令發送給TPM 420。所述sysSRK創建命令可以由 TPM 420基於sysAuth的值和/或位置進行認證。在這兩種情況的任一種情況下，用於新 sysSRK密鑰的授權協議基於sysAuth的值。定義本文和權利要求中所使用的下面的詞語具有以下定義術語「自動化的」或「自動地」(及其類似變化)意指使用計算機和/或機械/電 設備控制裝置、系統和/或過程的操作，而無需人為幹預、觀察、努力和/或決策。本文所使用的「證明」是保證信息準確性的過程。例如，外部實體可以證明被屏蔽 位置、受保護的能力和信任的根。平臺可以證明其對影響平臺的完整性(可信任性)的平 臺特性的描述。這兩種形式的證明都需要證明實體的可靠證據。本文所使用的「二進位大對象」是由TPM生成的加密數據(用於受保護存儲或用 於將上下文保存在TPM外面)。CN 101983375 A 6/6頁本文所使用的「BIOS」意指由計算機在最初通電時執行的固件代碼並且用於識別 和啟動組成硬體(比如硬碟驅動器、軟盤、⑶、TPM等)。在引導期間，所述BIOS準備計算 機，因此存儲在各種介質上的其他軟體程序可以加載、執行並且承擔對計算機的控制。所述 BIOS也可以是嵌入在晶片上的識別和控制構成計算機的各種設備的編碼程序。本文所使用的「固件」是嵌入在諸如微控制器之類的硬體設備中的或在閃速ROM 上提供的或作為能夠被用戶上載到現有硬體上的二進位鏡像文件提供的電腦程式。本文所使用的「平臺，，是提供服務的資源的集合。本文所使用的「SRK」或「存儲根密鑰」是與TPM的保護存儲功能相關聯的密鑰層 級的根密鑰；在TPM內生成的不可移植的密鑰。本文所使用的「TPM」或「可信平臺模塊」是根據在TCG可信平臺模塊規範中定義的 規範實現的密碼處理器。TPM提供各種功能，比如安全生成密碼密鑰、遠程證明、密封存儲、 綁定以及硬體隨機數發生器。在一個示範性實施例中，本文所討論的一個或多個方框或步驟是自動化的。換言 之，裝置、系統和方法自動地運行(occur)。根據本發明的示範性實施例的方法被提供為示例並且不應當被解釋為限制本發 明的範圍內的其他實施例。例如，流程圖中的方框或數字(比如(1)、(2)等)不應當被解 釋為必須以特定的順序來進行的步驟。附加的方框/步驟可以被添加，一些方框/步驟可 以刪除，或者方框/步驟的順序可以改變並且仍然在本發明的範圍內。而且，不同附圖內所 討論的方法或步驟可以被添加到其他附圖中的步驟方法或與之交換。而且，特定的數字數 據值(比如特定的數量、數字、類別等)或其他特定信息應當被解釋為說明性的以用於討論 示範性實施例。這種特定信息不是被提供用於限制本發明。在根據本發明的各種實施例中，實施例被實現為方法、系統和/或裝置。作為一個 示例，示範性實施例和與其相關的步驟被實現為用以實現本文所描述的方法的一個或多個 計算機軟體程序。所述軟體被實現為一個或多個模塊(也被稱為代碼子例程，或者在面向 對象的編程中被稱為「對象」)。所述軟體的位置對於各種可替代實施例而言是不同的。軟 件編程代碼例如由計算機或伺服器的一個或多個處理器從諸如CD-ROM驅動器或硬碟驅動 器之類的某些類型的長期存儲介質中訪問。所述軟體編程代碼被包括或存儲在與數據處理 系統一起使用的多種已知介質的任一種上或存儲在任意存儲器設備中，諸如半導體設備、 磁設備和光學設備(包括盤、硬碟驅動器、CD-ROM、ROM等)。所述代碼分布在這樣的介質 上，或從一個計算機系統的存儲器或存儲裝置通過某類型的網絡分發到其他計算機系統的 用戶以供這樣的其他系統的用戶使用。可替代地，所述編程代碼被包括在存儲器中並且由 處理器使用總線訪問。用於將軟體編程代碼包含在存儲器中、物理介質上和/或將軟體代 碼經由網絡進行分發的技術和方法是眾所周知的並且本文將不會進一步討論。上述討論旨在說明本發明的原理和各種實施例。對於本領域技術人員而言，一旦 完全理解了上述公開，多種變形和修改將變得顯然。下面的權利要求意欲被解釋為包含所 有這樣的變形和修改。
權利要求
一種計算機平臺，包括處理器；耦合到所述處理器的密碼協處理器；以及基本輸入/輸出系統(BIOS)，其耦合到所述處理器以建立與所述密碼協處理器的安全關係並且確定所述密碼協處理器是否已被篡改或已從所述計算機平臺中移除。
2.權利要求1的計算機平臺，其中所述密碼協處理器邏輯地被雙向綁定到所述計算機 平臺，並且所述密碼協處理器存儲與所述BIOS商定的共享秘密。
3.權利要求1的計算機平臺，其中當所述密碼協處理器啟動時，所述BIOS檢查TPM標 志以檢測所述密碼協處理器是否已被篡改或已從所述計算機平臺中移除。
4.權利要求1的計算機平臺，其中所述密碼協處理器確定是否從所述BIOS發送具有正 確授權值的正確啟動命令。
5.權利要求1的計算機平臺，其中當所述密碼協處理器從BIOS接收到具有用於控制所 述密碼協處理器中的資源的不正確bindAuth值的啟動命令時，所述密碼協處理器確定正 在發生安全攻擊。
6.權利要求1的計算機平臺，其中當所述密碼協處理器已被篡改或從所述計算機平臺 中移除時，所述密碼協處理器被重置為出廠默認值。
7.權利要求1的計算機平臺，其中所述BIOS將啟動命令發到所述密碼協處理器以認證 所述計算機平臺，如果所述密碼協處理器驗證所述啟動命令包括正確的授權，則所述啟動 命令將所述計算機平臺從初始環境轉換到受限操作狀態。
8.一種具有用於使得計算機執行方法的指令的有形計算機可讀存儲介質，所述方法包括在密碼協處理器與計算機平臺中的固件之間建立共享秘密以將所述密碼協處理器綁 定到所述計算機平臺並且確定所述密碼協處理器何時已被篡改或從所述計算機平臺中移 除。
9.權利要求8的有形計算機可讀存儲介質，進一步包括，設置標誌以指示所述密碼協 處理器被從所述計算機平臺移除或被篡改。
10.權利要求8的有形計算機可讀存儲介質，進一步包括，當所述密碼協處理器被插入 到不正確的計算機平臺時清除所述密碼協處理器。
11.權利要求8的有形計算機可讀存儲介質，進一步包括，使用基本輸入/輸出系統 (BIOS)檢測所述密碼協處理器何時被從計算機平臺移除或被篡改。
12.權利要求8的有形計算機可讀存儲介質，進一步包括，使用由所述密碼協處理器提 供的對稱密鑰加密和解密以允許在可信平臺模塊(TPM)與所述計算機平臺之間的物理綁 定和密碼綁定二者。
13.權利要求8的有形計算機可讀存儲介質，進一步包括，提供所述共享秘密給所述計 算機平臺中的基本輸入/輸出系統(BIOS)以確定所述密碼協處理器是否已被篡改或從所 述計算機平臺中移除。
14.權利要求8的有形計算機可讀存儲介質，進一步包括，確定在所述密碼協處理器的 啟動期間具有正確授權值的正確命令是否被從所述固件發送到所述密碼協處理器。
15.權利要求8的有形計算機可讀存儲介質，進一步包括，在檢測到所述密碼協處理器已被篡改或從所述計算機平臺移除後將所述密碼協處理器恢復到默認值。
16.一種計算機系統，包括處理器；耦合到所述處理器的密碼協處理器；以及耦合到所述處理器的固件，其與所述密碼協處理器共享秘密，從而將所述密碼協處理 器與所述計算機系統綁定並且確定所述密碼協處理器是否已被篡改或從所述計算機系統 中移除。
17.權利要求16的計算機系統，其中所述密碼協處理器是可信平臺模塊(TPM)。
18.權利要求16的計算機系統，其中所述密碼協處理器在引導循環期間在系統存儲根 密鑰(sysSRK)下存儲密鑰葉子，其使得所述固件能夠檢測所述密碼協處理器何時已被篡 改或從所述計算機系統中移除。
19.權利要求16的計算機系統，其中所述秘密在所述固件和所述密碼協處理器之間建 立相互安全的關係並且向所述固件驗證所述密碼協處理器沒有被篡改或沒有被從所述計 算機系統中移除。
20.權利要求16的計算機系統，其中在所述計算機系統中的基本輸入/輸出系統 (BIOS)確定所述密碼協處理器是否已被篡改或從所述計算機系統中移除之後，所述密碼協 處理器向所述計算機系統提供密碼功能。
全文摘要
一個實施例是具有固件的計算機系統，該固件與密碼協處理器共享秘密以確定所述密碼協處理器是否已經被篡改或從所述計算機系統中移除。
文檔編號G06F11/00GK101983375SQ200880128460
公開日2011年3月2日 申請日期2008年4月2日 優先權日2008年4月2日
發明者D·諾伊費爾德, G·普勞德勒, W·易卜拉欣 申請人:惠普開發有限公司