一種傳統計算機升級為可信計算機的方法
2023-07-01 05:33:11 2
專利名稱:一種傳統計算機升級為可信計算機的方法
技術領域:
本發明涉及信息安全技術領域,特別是一種傳統計算機升級為可信計算機的方法。
背景技術:
近幾年來,可信計算已經成為信息安全領域的一個熱點,中國的可信計算現在已經越來越受到國家密碼管理部門的重視,並已經上升為國家標準,眾多的對安全保密要求比較高的場所對可信計算的需求越來越多。在原來的可信計算模塊的設計中,基本都是採用低引腳數目LPC總線接口,LPC 總線接口是周邊元件擴展PCI總線接口的一個子集,並滿足TIS規範(TPM Interface Specification)。TIS 規範是 TCG CTrust Compute Group)提出的針對 TPM 的一種通訊規範,在我們國內的TCM規範中沿用了此規範。但是,傳統計算機的主板上普遍沒有預留LPC接口,無法連接只具備標準LPC接口的可信計算TCM模塊。而如果將現有傳統計算機的主板全部更換成具備LPC接口的主板, 將耗費大量的資金、人力和時間。
發明內容
針對上述現有技術中存在的不足,本發明的目的是提供一種傳統計算機升級為可信計算機的方法。它能將傳統計算機升級實現可信計算,具有操作簡單、節時、省力的特點。為了達到上述發明目的,本發明的技術方案以如下方式實現—種傳統計算機升級為可信計算機的方法,其步驟為1)將傳統計算機通過主板上的PCI接口與可信計算TCM模塊上的LPC接口轉換電路連接訪問可信計算TCM模塊;2) PCI接口電路中擴展一個只讀存儲器ROM電路;3)傳統計算機在BIOS啟動階段運行PCI接口電路中的擴展ROM內的程序;4)擴展ROM程序實現信任鏈的建立。在上述方法中,所述傳統計算機主板上的PCI接口與可信計算TCM模塊上的LPC 接口轉換電路之間包括PCI目標接口和LPC主機接口。在上述方法中,所述擴展ROM程序實現信任鏈建立的步驟為1)傳統計算機BIOS程序對擴展ROM檢測正確後,BIOS程序拷貝擴展ROM程序到運行空間;2)執行擴展ROM程序,擴展ROM程序完成信任鏈建立的處理;3)退出擴展ROM程序,執行BIOS的其他功能。在上述方法中,所述BIOS程序對擴展ROM檢測方法為DBIOS啟動代碼,檢測PCI設備的配置空間的擴展ROM基址寄存器是否存在,存在則BIOS將為擴展ROM分配一段空閒的地址空間;
2)檢測代碼的前兩個字節是否是AA55 ;3)如果擴展ROM有效,則BIOS會檢測代碼類型,以及廠商代碼和設備代碼的其他
fn息; 4)信息都正確後,BIOS會將擴展ROM中正確的代碼都拷貝到RAM中,這些代碼就可以執行了。在上述方法中,所述擴展ROM程序完成信任鏈建立的處理方法為1)啟動TCM模塊並進行初始化;2)將BIOS空間代碼送給TCM模塊進行摘要計算;3)將摘要計算的結果存放在TCM模塊的PCR中;4)將摘要計算結果和存放在TCM模塊內部非易失存儲區中的正確摘要值進行比較;5)比較結果正確則正常啟動,否則提示用戶出現異常。本發明由於採用了上述方法,通過在傳統計算機主板上插入一塊PCI卡,使傳統計算機實現可信計算的全部功能。本發明方法操作簡單、成本低廉,藉助可信計算的完備的安全機制,為傳統計算機提供可靠的安全保障。下面結合附圖和具體實施方式
對本發明作進一步說明。
圖1為本發明的連接示意圖;圖2為本發明方法中BIOS程序對擴展ROM檢測方法流程圖;圖3為本發明方法中擴展ROM程序完成信任鏈建立的處理方法流程圖;圖4為本發明中PCI目標接口使用信號示意圖;圖5為本發明中PCI配置空間讀時序圖;圖6為本發明中PCI配置空間寫時序圖;圖7為本發明中LPC總線時序圖。
具體實施例方式參看圖1至圖3,本發明傳統計算機升級為可信計算機的方法步驟為1)將傳統計算機通過主板上的PCI接口與可信計算TCM模塊上的LPC接口轉換電路連接訪問可信計算TCM模塊,PCI接口與LPC接口轉換電路之間包括PCI目標接口和LPC 主機接口。2) PCI接口電路中擴展一個只讀存儲器ROM電路。3)傳統計算機在BIOS啟動階段運行PCI接口電路中的擴展ROM內的程序。4)擴展ROM程序實現信任鏈的建立,其方法為A)傳統計算機BIOS程序對擴展ROM檢測正確後,BIOS程序拷貝擴展ROM程序到運行空間;BIOS程序對擴展ROM檢測方法為a) BIOS啟動代碼,檢測PCI設備的配置空間的擴展ROM基址寄存器是否存在,存在則BIOS將為擴展ROM分配一段空閒的地址空間;b)檢測代碼的前兩個字節是否是AA55 ;
c)如果擴展ROM有效,則BIOS會檢測代碼類型,以及廠商代碼和設備代碼的其他 fn息;d)信息都正確後,BIOS會將擴展ROM中正確的代碼都拷貝到RAM中,這些代碼就可以執行了。B)執行擴展ROM程序,擴展ROM程序完成信任鏈建立的處理方法為a)啟動TCM模塊並進行初始化;b)將BIOS空間代碼送給TCM模塊進行摘要計算;c)將摘要計算的結果存放在TCM模塊的PCR中;d)將摘要計算結果和存放在TCM模塊內部非易失存儲區中的正確摘要值進行比較;e)比較結果正確則正常啟動,否則提示用戶出現異常。C)退出擴展ROM程序,執行BIOS的其他功能。本發明中的PCI目標接口接收來自PCI主設備的命令,完成對PCI讀寫寄存器的訪問以及擴展ROM的訪問,擴展ROM中存放用於信任鏈建立的代碼。PCI目標接口通過PCI 寫寄存器向LPC主機接口發送指令,完成對LPC接口的TCM模塊的訪問。PCI讀、寫寄存器地址分配於配置空間,擴展ROM地址分配於記憶memory空間。參看圖4,本發明中為處理數據、尋址、接口控制、仲裁以及系統功能,PCI目標接口只需要做為目標設備使用。在本發明的可信計算平臺上,通過對PCI目標接口和LPC主機接口的自動檢測,將自動加載不同的驅動,不需要根據不同的系統分別安裝不同的驅動。在同時安裝了 LPC主機接口的TCM模塊和PCI目標接口的TCM模塊的場合,將優先選擇LPC主機接口的TCM。參看圖5,在FRAME#信號由高變低有效後的第一個時鐘上升沿,地址總線信號AD 被採樣,由C/BE#決定選擇的是PCI設備的配置空間,IDSEL#是用於選取被配置的PCI設備。當PCI主設備端準備好接收數據時,IRDY#變有效(本設計IRDY#始終準備好接收數據),如果PCI設備端也準備好發送數據,則TRDY#信號被PCI設備端拉低,變為有效。只有在IRDY#和TRDY#都有效時,同時DEVSEL#也有效時,數據傳輸才開始進行。在傳輸到最後一個字節時,FRAMES信號無效,但是IRDY#信號繼續保持有效,此時TRDY#有效時,則傳輸最後一個字節。參看圖6,配置空間寫的時序和讀的時序基本相同,只是在PCI主設備準備發送數據時將IRDY#有效,然後等待PCI從設備端將TRDY#置為有效,同時使得DEVSEL#有效,開始數據寫操作。參看圖7,LPC總線主控端將LFRAME#信號拉低並保持大於1個時鐘周期的時間, 使得LAD信號發出Mart,表示一幀數據傳輸的開始。然後LFRAME#信號拉高無效,幀數據傳輸開始,第一個字節傳輸的是操作類型和讀寫方式,本設計採用了 1/0讀和1/0寫兩種方式。每次傳輸一個字節,接下來傳輸1/0的地址。TAR表示在讀取數據時數據傳輸方向的改變,使得外部總線處於三態,後面的Sync表示插入等待周期。因為在數據傳輸方向變化時由於LPC從設備可能並沒有將數據準備好,所以通過插入等待周期等待對方準備數據,然後開始數據的傳輸。在寫周期內,則TAR不需改變傳輸方向,Sync為0,表示不需插入等待。
權利要求
1.一種傳統計算機升級為可信計算機的方法,其步驟為1)將傳統計算機通過主板上的PCI接口與可信計算TCM模塊上的LPC接口轉換電路連接訪問可信計算TCM模塊;2)PCI接口電路中擴展一個只讀存儲器ROM電路;3)傳統計算機在BIOS啟動階段運行PCI接口電路中的擴展ROM內的程序;4)擴展ROM程序實現信任鏈的建立。
2.根據權利要求1所述的傳統計算機升級為可信計算機的方法,其特徵在於,所述傳統計算機主板上的PCI接口與可信計算TCM模塊上的LPC接口轉換電路之間包括PCI目標接口和LPC主機接口。
3.根據權利要求1或2所述的傳統計算機升級為可信計算機的方法,其特徵在於,所述擴展ROM程序實現信任鏈建立的步驟為1)傳統計算機BIOS程序對擴展ROM檢測正確後,BIOS程序拷貝擴展ROM程序到運行空間;2)執行擴展ROM程序,擴展ROM程序完成信任鏈建立的處理;3)退出擴展ROM程序,執行BIOS的其他功能。
4.根據權利要求3所述的傳統計算機升級為可信計算機的方法,其特徵在於,所述 BIOS程序對擴展ROM檢測方法為DBIOS啟動代碼,檢測PCI設備的配置空間的擴展ROM基址寄存器是否存在,存在則 BIOS將為擴展ROM分配一段空閒的地址空間;2)檢測代碼的前兩個字節是否是AA55;3)如果擴展ROM有效,則BIOS會檢測代碼類型,以及廠商代碼和設備代碼的其他信息;4)信息都正確後,BIOS會將擴展ROM中正確的代碼都拷貝到RAM中,這些代碼就可以執行了。
5.根據權利要求3所述的傳統計算機升級為可信計算機的方法,其特徵在於,所述擴展ROM程序完成信任鏈建立的處理方法為1)啟動TCM模塊並進行初始化;2)將BIOS空間代碼送給TCM模塊進行摘要計算;3)將摘要計算的結果存放在TCM模塊的PCR中;4)將摘要計算結果和存放在TCM模塊內部非易失存儲區中的正確摘要值進行比較;5)比較結果正確則正常啟動,否則提示用戶出現異常。
全文摘要
一種傳統計算機升級為可信計算機的方法,涉及信息安全技術領域。本發明的方法步驟為1)將傳統計算機通過主板上的PCI接口與可信計算TCM模塊上的LPC接口轉換電路連接訪問可信計算TCM模塊;2)PCI接口電路中擴展一個只讀存儲器ROM電路;3)傳統計算機在BIOS啟動階段運行PCI接口電路中的擴展ROM內的程序;4)擴展ROM程序實現信任鏈的建立。同現有技術相比,本發明能將傳統計算機升級實現可信計算,具有操作簡單、節時、省力的特點。
文檔編號G06F9/445GK102236747SQ20101015380
公開日2011年11月9日 申請日期2010年4月23日 優先權日2010年4月23日
發明者丁義民, 徐秀波, 王小龍, 王慶林, 黃金煌 申請人:北京同方微電子有限公司, 清大安科(北京)科技有限公司