[发明专利]针对ARM*TRUSTZONETM实现的基于固件的可信平台模块

摘要

“基于固件的TPM”或“fTPM”确保安全代码执行被隔离，以防止各种各样的潜在安全违背。与基于常规硬件的可信平台模块（TPM）不同，实现隔离而无需使用专用安全处理器硬件或硅。一般而言，fTPM首先在预OS引导环境中通过从系统固件或固件可访问的存储器或存储中读取fTPM并且将fTPM置于设备的受保护的只读存储器中来实例化。一旦被实例化，fTPM就启用执行隔离以确保安全代码执行。更具体地，fTPM被置于受保护的只读存储器，以使该设备能够使用诸如体系结构的TrustZone^TM扩展之类的硬件和安全原语（或类似处理器体系结构）以及由此基于这些体系结构的设备，从而在“基于固件的TPM”内提供安全执行隔离，而无需对现有设备进行硬件修改。

主权项

1.一种用于在各计算设备中启用可信执行环境（TrEE）而无需硬件可信平台模块（TPM）组件的方法，包括用于以下操作步骤：从计算设备的固件组件中检索“fTPM”模块，所述fTPM提供至整合到所述计算设备中的一个或多个处理器的安全扩展功能的基于软件的接口；从所述计算设备的固件组件中检索基于软件的“监视”模块；在所述计算设备上引导OS之前，将所述fTPM模块和所述监视模块实例化到所述计算设备的受保护的存储器内的“安全世界”环境；以及通过允许“普通世界”环境中的“调用者”经由对监视模块的“安全监视调用”访问所述一个或多个处理器的安全功能来启用所述计算设备上的TrEE，所述监视模块随后将与所述“安全监视调用”有关的指令传至“安全世界”中的fTPM。