文档介绍:主动控制功能的可信设备及其认证方法
专利名称:主动控制功能的可信设备及其认证方法
技术领域:
本发明涉及信息安全领域,尤其涉及一种主动控制功能的可信设备及其认证方 法。
背景技术:
随着对可信计算技术研究的不断深入,可信计算规范对 的认证;可信平台控制模块具有较高的安全性,由于其具有主动度量和认证功能,因此是 可信平台对可信硬件设备认证的工具。可信平台信任可信平台安全控制模块的所有操作。 即可信平台与可信硬件的认证就是可信平台控制模块与可信硬件设备之间的认证。可信平 台控制模块与可信硬件的认证方法包括可信平台初始化方法、可信平台硬件更新方法和 可信平台认证方法;其中,执行可信硬件设备更新方法和可信平台认证方法的前提是在
所 述可信平台上已经执行了可信平台初始化方法;在所述可信平台上执行更新硬件设备时, 需要执行可信硬件设备更新方法;每次启动可信平台需要执行认证方法。设备代码、厂商代码是指硬件设备的设备代码和厂商的代码,这两个代码是由硬 件生产商在生产硬件时,固化在硬件设备中的。一般用户无法更改。可信平台控制模块与 可信硬件的绑定过程对操作系统和应用程序都是完全透明的。操作系统无法旁路或干预可 信平台绑定可信硬件的过程。
1可信平台初始化方法1. 1可信计算机首次上电启动后,可信平台控制模块与外围设备控制器进行首次 交互,如果外围设备控制器存在,则继续启动;否则终止启动;可信平台控制模块与外围设备控制器的首次交互是指可信平台控制模块向外围 设备控制器发送初始化信号,如果外围设备控制器响应初始化信号并完成初始化操作,则 可信平台控制模块与外围设备控制器相互认定对方存在。1. 2外围设备控制器初始化结束后,可信平台控制模块通过外围设备控制器访问 可信平台上的硬件设备,检查可信硬件设备是否存在;如果可信硬件设备存在则继续启动; 否则终止启动;检查可信硬件设备的存在性是指可信平台控制模块通过外围设备控制模块依次 向可信硬件设备发送初始化信号,待可信硬件设备依次响应初始化信号并完成初始化操作 后,可信平台控制模块确认可信硬件设备存在。1. 3可信平台控制模块读取可信硬件设备的厂商代码和设备代码,并生成摘要值 存储至可信平台控制模块的易失存储单元。可信硬件设备内部的可信模块开始度量自身固 件代码,并生成摘要值存储至可信硬件设备的可信模块的易失性存储单元;、显卡,然后可信平台控制模块 从非易失性存储单元读取管理控制程序,并通过外围设备控制器在屏幕上提示用户提供平 台管理密钥;在用户提供管理密钥后;可信平台控制模块将采集到的硬件设备信息通过显 卡显示在显示器上,在人工确认硬件信息正确后,如果信息无误则将可信硬件,否则终止启 动。 钥对;同时将私钥存入设备内部的可信模块中;可信平台控制模块将公钥分发给外可信硬 件设备,可信硬件设备将可信平台控制模块的公钥存储在各自的可信模块的非易失性存储 单元中;可信硬件设备将各自的公钥和各自固件代码的度量摘要值发送给可信平台控制模 块;可信平台控制模块将收到的公钥信息按顺序存入可信平台控制模块内部的非易失性存 储单元,将收到的可信硬件设备自身固件代码的度量摘要值和可信平台控制模块的易失性 存储单元中对应的由厂