[发明专利]可信平台模块管理系统和方法

说明书

背景技术

可信计算组(TCG)发展并促进硬件使能可信运算和安全技术的工业标准 规范，例如可信平台模块(TPM)。TPM使数字密钥、证书和密码能够安全存 储，并且更加不易受到软件和硬件攻击。然而，国别的和/或其它类型的限制可 能禁止使用具有TPM布置其上的计算系统。尽管计算系统可被专门制造以适应 和/或遵守这些限制，但是在制造过程及其之后，建造和跟踪这些专门制造的计 算系统是昂贵的。

附图说明

为完全理解本发明及其优势，结合附图参考下列描述，其中：

图1是可信平台模块管理系统的一个实施例的示意图；

图2是可信平台模块管理方法的一个实施例的流程图；以及

图3是可信平台模块管理方法的另一个实施例的流程图。

具体实施方式

参考图1-3，本发明的优选实施例及其优势能够得到最佳理解。不同附图的 相似和相应部分用相同的数字来表示。

图1是可信平台模块(TPM)管理系统10的一个实施例的结构图。在图1 所示的实施例中，系统10包括具有TPM14的计算系统12，其中TPM14设置 在主板16上。一般而言，TPM14用于存储和报告在系统12的平台18中特定 软件和硬件的测量(完整性度量)值。例如，在一些实施例中，TPM14用来测 量、存储和报告硬盘20和内嵌固件22例如基本输入/输出系统(BIOS)24的完 整性。然而应该理解的是，TPM14可被用来存储和报告其它设备和/或硬件的 完整性，以及安全地存储平台信息和秘密，例如密码、密钥和证书。计算系统 12可包括任何类型的运算设备，例如但不限于，台式计算机、笔记本电脑、平 板电脑、个人数字助理以及任何TPM可存在其上的其它类型的设备。

在图1所示的实施例中，系统12包括至少一个操作系统(OS)30，以及一 个或多个可执行的应用程序32。OS30和应用程序32可存储于硬盘20，并被加 载到计算系统12的存储器组件以在其上运行。进一步，主板16被配置为具有 中央处理器(CPU)40和存储器42。在图1所示的实施例中，存储器包括功用 接口44，该功用接口包括用于编程、配置和/或以其他方式控制计算系统12的 各种特征和/或设置的指令集和/或接口。例如，在一些实施例中，功用接口44 在计算系统12的制造环境中使用，和/或由授权实体用于对计算系统12的现场 更新来配置和/或以其他方式应用对计算系统12的各种设置。然而，应当理解， 不同的应用程序、例程或方法可被用于配置和/或以其他方式控制计算系统12 的各种操作参数，而功用接口44可在计算系统12的制造环境外使用。

系统10的实施例使得能够对TPM14应用或设定设置，来指示TPM14为 或者可用(例如，能够由OS30和/或不同的应用程序32使用和/或为其使用而 访问)，或者隐藏(例如，不可用和/或向OS30报告TPM14在计算系统12上 不存在，以使得OS30和/或应用程序32不能容易地访问和/或使用TPM14)。 在图1所示的实施例中，功用接口44用于与BIOS24交互以应用，和/或以其它 方式应用对计算系统12上的TPM14的希望的设置(即或者可用或者隐藏)。 举例而言，如果计算系统12的目的地是没有TPM14使用限制的国家或者特定 消费者，使用功用接口44来与BIOS24交互以将TPM14的设置应用为可用。 然而，如果计算系统12的目的地是有TPM使用限制的国家或者消费者，使用 功用接口44来与BIOS24交互以将隐藏设置应用到TPM14，从而使得TPM14 不可用。优选地，如果隐藏或者不可用设置被应用到TPM14，BIOS24被配置 为，向OS30报告TPM14没有位于或没有存在于计算系统12上。举例而言， 在一些实施例中，BIOS24响应于检测到对TPM14应用了隐藏或者不可用设置， 使用高级配置和电源接口(ACPI)命名空间中报告的状态方法，向OS30报告 TPM14不存在于计算系统12中。因而，即使TPM14物理上存在于计算系统 12中，BIOS24仍然向OS30报告TPM14不存在于计算系统12中，而OS30 不会加载任何与访问和/或与TPM14交互有关的驱动程序。因此，根据一些实 施例，尽管TPM14物理上存在于计算系统12中，应用程序32和/或OS30仍 不能访问和/或以其他方式使用TPM14，并且TPM14的特征/功能将对计算系 统12的用户隐藏。