文档介绍:目前对可信计算平台的研究,主要集中在可信计算平台的重要部件TPM上面。嵌入TPM芯片的系统在加电时,TPM首先验证当前底层固件的完整性,如正确则完成正常的系统初始化,然后由底层固件依次验证BIOS和操作系统完整性,如正确则正常运行操作系统,否则停止运行[1-3]。由此我们可以看出,在计算机主板上安装TPM的安全计算机存在下列问题:用户在使用TPM的过程中不可避免的会出现某些故障或失误,如TPM被拔出、TPM芯片烧毁等,。一旦出现这些情况,系统就不能正常启动。TPM使用者就无法恢复出保存在TPM中的秘密信息以及用这些秘密信息加密的硬盘数据。导致现有TPM的使用严重妨碍了易用性的原则。申请(专利)号:——可信平台模块的体系结构及其提供服务的方法,提供了一种基于硬件的解决方案,即通过在现有的TPM芯片的结构基础上,增设专用信息I/O接口模块替代原有的PP引脚来实现可新平台模块内部信息的内置,备份与恢复,但其不足是需要改变现有的TPM芯片的结构,不符合兼容性的原则。文献[4]提出了一种借鉴太行安全BIOS可信体系结构与实现方案,虽然能够保障BIOS安全,但是并未考虑TPM芯片发生故障的情况;文献[5]提出了一种基于BIOS和USB盘实现对PC机的安全访问策略,虽然实现了从计算机启动入口处的安全检查,提高了系统的安全性,但是并未兼容TPM。本文采用基于软件的方法,无需改变现有TPM的架构,改进了文献[4]的BIOS体系结构,借鉴文献[5]的技术,使系统在TPM故障时,可以禁用TPM进行可信测量,并以及通过改变BIOS可执行顺序使计算机能够正常启动,在并能启动过程中,还可以利用USBKEY,实现在BIOS层的身份认证;然后利用保存在TPM里的相关证书和密钥,恢复用户的一些重要信息。基于BIOS和USBKEY实现对PC机的安全访问太行安全BIOS技术BIOS安全是目前信息安全领域研究的一个热点。BIOS作为固化在主板上ROM芯片中的一段软件代码,主要包括基本硬件驱动与初始化启动及引导部分代码。文献[4]提出的太行可信BIOS由两部分构成:CRTM(CoreRootofTrustforMeasurement)和N-CRTM(Non-CRTM)。CRTM是可信链建立的起点,是被无条件信任的。可信BIOS的CRTM包含4个功能模块:平台初始化模块完成CPU、芯片组、主板、内存、堆栈的初始化工作,建立后续BIOS程序最小化运行环境;可信硬件驱动模块初始化可信硬件设备,提供可信硬件设备调用的协议函数;可信测量引擎为后续可信测量提供消息摘要和非对称加密引擎;可信恢复引擎在N-CRTM完整性遭到破坏时驱动BIOS备份存储设备USBKEY,并从该设备中对可信BIOS的N-CRTM进行可信恢复。进入可信恢复模式后,CRTM阶段的可信恢复引擎负责从USBKEY中读入除CRTM之外的可信BIOS的其他部分的映像,并写回到Flash芯片中。可信恢复的过程同样需要对被加载的BIOS映像进行可信测量,要求操作者提供完整合法的恢复映像。可信BIOS的N-CRTM完成BIOS固件的其他功能,包括对硬件平台的进一步检测和初始化、设备驱动、模块调度、系统管理、板卡上OPROM(OptionROM)固件代码的调用执行,操作系统引导代码等。用于安全/管理的其