[发明专利]用于执行可信计算完整性测量报告的设备和方法

说明书

技术领域

本发明涉及跨越多个平台(即子系统)的可信计算(即计算机安全性)。更特别地，本发明涉及用于执行可信计算完整性测量报告的设备和方法。 

背景技术

平台配置寄存器(PCR)是可信平台模块(TPM)内部用于存储数据散列(hash)的存储器位置。事实上，TPM存储器既可以是易失的，也可以是非易失的。 

常规的可信计算组织(TCG)规范允许读取、扩展和引用那些由TPM对PCR执行的操作。读取操作被用于读取指定的PCR值。扩展操作则通过用新内容扩展旧内容而被用于修改PCR值。这样做允许质询方(challenger)了解最终的PCR摘要(digest)是如何被构建成的。引用操作被用于完整性报告，其中PCR值是由TPM使用身份证明密钥(AIK)加密的。在这上下文中的证明指的是向该信息的内部或外部质询方或请求方提供系统可信度测量的活动。所述完整性报告可以用于确定平台的当前配置。 

当TPM通过执行操作来产生完整性量度以便以后用于在实施关于已散列的一段代码或数据的完整性检验时，TPM并不会只简单计算目标数据或代码的最近值的散列，并且随后将该值输入PCR。取而代之的是，TPM会将PCR的当前已有值与所要测量的系统组件的新值级联，并且对该被级联的数据执行安全散列算法(SHA)，以便执行扩展操作，以及将结果输入到目标PCR中。 

在每次扩展PCR时，在TCG事件日志中还会产生日志条目。TCG事件日志也被称为测量存储日志(SML)，该日志是一个关于在TPM驻留的平台上发生的事件的日志。SML是一个与包含TPM的系统平台中的组件的被测值(例如一段代码)相关的日志。TPM对在TPM驻留的平台中发生的事件进行测量(例如加载特定应用软件(SW))。测量核心是控制TPM的平台操作系统(OS)的可信部分，并且该测量核心会在OS发出请求的时候产生测量事件。应该指出的是，“测量事件”并不是在平台自身内部发生的事件，而是一个用于表示为在平台中发生的事件执行的“测量”活动或事件的术语。这种平台事件的实例是在系统存储器中读取一段软件代码。测量事件由两类数据构成：1)测量值——内置数据或程序代码的表示；以及2)测量摘要——这些值的SHA散列。TPM对数据进行扫描，其中该TPM将会产生消息摘要。这些摘要则是机器工作状态的快照。这两种数据元素(测量值和测量摘要)是分开存储的。测量摘要保存在TPM的PCR中。而测量值则可以保存在几乎任何地方，并且一般被保存在SML中，但是这些测量值必须以加密方式存储。实际上，测量值也可以根本不保存，而是在需要串行化表示的时候重新计算。测量数据描述的是被测组件的属性和特性。SML包含了相关测量值的序列。每一个序列都共享了一个公共测量摘要。而测量值则被附加于这个公共测量摘要，并且将被重新散列。这种处理更常见的是被称为扩展摘要。这种扩展处理将会确保不会忽略相关测量值，并且确保可以保持操作顺序。 

在代数上，在任何时间t+1，更新至第n个PCR的处理是如下进行的： 

PCR[n](t+1)＝SHA-1(PCR[n](t)+测量数据(t+1))           等式(1) 

该PCR值是临时性的，并且它会在系统重新启动时被重置。对测量事件的检验需要重新创建测量摘要以及对摘要值进行简单比较(使用PCR作为比较器之一)。TCG并未规定用于SML内容的数据编码规则，但是建议了可扩展标记语言(XML)之类的后续恰当标准，以便确保广泛的可存取性。 

图1显示了一个由系统100实施的常规的TCG证明过程(即协议)，其 中该系统包括质询方105、平台代理110、TPM 115以及存储库120。