[发明专利]一种计算机可信启动方式

权利要求书

1.一种计算机可信启动方式, 其特征在于, 可信启动模块的引导过程主要分为两个阶段，即硬件平台的引导阶段和操作系统的启动阶段；其中：

硬件平台的引导包括从平台加电、BIOS运行到BIOS将控制权交给Boot之前，这期间主要保证硬件环境的可信；

操作系统的启动阶段是从主引导区调入操作系统装载程序一直到操作系统内核运行完毕，并运行初始化进程之前，该阶段主要保证系统的启动过程和操作系统内核的可信，启动步骤如下：

1）通过二选一模拟开关的SPI接口直接从可信模组的FPGA引出，连接到主板上存储固件代码的BIOS芯片上，可信模组的TCM芯片的BIOS_WP#引脚连接到BIOS芯片的写保护信号上，由TCM芯片控制向BIOS芯片写入数据；

2）在系统上电时，由可信模组中的TCM控制断开CPU与BIOS之间的通路，将BIOS权限交给可信模组的FPGA端，并在此时输出复位信号使得CPU一直处于复位状态，FPGA通过SPI接口的逻辑转换将BIOS传输到TCM完成主动度量，度量完成后将度量信息反馈给FPGA，再由FPGA撤销CPU复位，并将BIOS权限重新交给CPU从而完成正常启动；

3）为了实现重要数据的备份，在可信模组中设计有存储器，完整的BIOS备份就存放在TCM芯片的扩展存储器中，在度量过程中发现主机的BIOS被篡改，由TCM芯片调用恢复指令，将备份信息通过FPGA还原到主机的BIOS存储芯片中；

4）当TCM输出的使能信号为高电平时，连通CPU和BIOS之间的通信通路，系统正常启动；当使能信号为低电平时，连通可信模组与BIOS之间的通路，完成TCM对BIOS的主动度量。