專(zhuān)利名稱(chēng):使用監(jiān)控程序?qū)pm總是鎖定為“開(kāi)”的系統(tǒng)和方法
使用監(jiān)控程序?qū)PM總是鎖定為"開(kāi)"的系統(tǒng)和方法
體
供諸如個(gè)人計(jì)算機(jī)等計(jì)算設(shè)備中使用的可信平臺(tái)模塊(TPM)是已知的�����。TPM 的目的在于提供計(jì)算機(jī)身份和與交易��、應(yīng)用程序和媒體的許可�����、保護(hù)用戶數(shù)據(jù)以及 特殊功能有關(guān)的安全服務(wù)��。
可信平臺(tái)模塊可在市場(chǎng)上出售,例如一TPM出自STM microelectronics,即 ST19WP18模塊���。TPM存儲(chǔ)密鑰�����,然后使用那些密鑰來(lái)認(rèn)證應(yīng)用程一�����、BIOS信息�、 或身份。然而����,對(duì)TPM的使用是自愿的,且根據(jù)目前和預(yù)期的標(biāo)準(zhǔn)和實(shí)現(xiàn)��,它不 能用于在計(jì)算設(shè)備上強(qiáng)加條件����。某些商業(yè)模型假定計(jì)算機(jī)超出計(jì)算機(jī)所有者/供應(yīng) 商的直接控制之外,例如按使用付費(fèi)(pay-per-use)商業(yè)模型���。在這樣的情況中��, TPM服務(wù)有可能被規(guī)避�,且如果發(fā)生規(guī)避���,則可能對(duì)商業(yè)帶來(lái)不期望的負(fù)面影響���。
概述
一種可信平臺(tái)模塊(TPM)可用于認(rèn)證在計(jì)算設(shè)備上強(qiáng)制條件的監(jiān)控程序。 注入或?qū)懭隩PM的所有者密鑰可用于要求由所有者批準(zhǔn)的監(jiān)控程序是可操作的。 進(jìn)而��,所批準(zhǔn)的監(jiān)控程序能夠經(jīng)由監(jiān)控程序的經(jīng)認(rèn)證的狀態(tài)來(lái)訪問(wèn)TPM的資源�����。 TPM的這一安全資源可以是例如通用輸入/輸出(GPIO)端口����。簡(jiǎn)單的監(jiān)視計(jì)時(shí)器 可被配制成以定時(shí)的間隔對(duì)計(jì)算機(jī)復(fù)位,除非該監(jiān)視計(jì)時(shí)器該在間隔期內(nèi)由使用 GPIO接收到的信號(hào)重啟�����。
通過(guò)以這種方式配置計(jì)算機(jī)��,TPM可用于幫助確保已知監(jiān)控程序正在運(yùn)行��, 且監(jiān)視計(jì)時(shí)器可用于幫助確保監(jiān)控程序或TPM中的任何一個(gè)未被禁用或篡改�。
附圖簡(jiǎn)述
圖1是互聯(lián)多個(gè)計(jì)算資源的網(wǎng)絡(luò)的框圖2是表示根據(jù)本發(fā)明的實(shí)施例的計(jì)算機(jī)的簡(jiǎn)化、代表性的框圖3是示出圖2的計(jì)算機(jī)內(nèi)的功能層的分層表示的簡(jiǎn)化���、代表性的框圖4是圖2的計(jì)算機(jī)的計(jì)算機(jī)體系結(jié)構(gòu)的簡(jiǎn)化、代表性的框圖����; 圖5是圖2的計(jì)算機(jī)的替換計(jì)算機(jī)體系結(jié)構(gòu)的簡(jiǎn)化���、代表性的框圖6是TPM的簡(jiǎn)化、代表性的框圖�;以及
圖7是示出使用監(jiān)控程序鎖定TPM的方法的流程圖。
詳細(xì)描述
盡管以下文字闡明了各種不同實(shí)施例的詳細(xì)描述�����,但應(yīng)理解�,該描述的合法 范圍由本發(fā)明所附權(quán)利要求書(shū)的文字定義。該詳細(xì)描述應(yīng)被解釋為僅是示例性的��, 而不是描述每個(gè)可能的實(shí)施例�����,因?yàn)槊枋雒總€(gè)可能的實(shí)施例即使不是不可能也是不 現(xiàn)實(shí)的�。可使用當(dāng)前的技術(shù)或在本專(zhuān)利的申請(qǐng)日之后開(kāi)發(fā)的技術(shù)來(lái)實(shí)現(xiàn)眾多替換實(shí) 施例�,它們?nèi)月淙氡景l(fā)明的范圍之內(nèi)。
應(yīng)理解����,除非使用語(yǔ)句"如此處所使用的�����,術(shù)語(yǔ)'一'此處定義為指的是" 或類(lèi)似語(yǔ)句在本發(fā)明中顯式地定義一術(shù)語(yǔ)����,否則不旨在顯式或隱式地超出該術(shù)語(yǔ)普 通或?qū)こR饬x而限制該術(shù)語(yǔ)的含義�,且這樣的術(shù)語(yǔ)不應(yīng)被解釋為限于基于本專(zhuān)利的 任何部分中所作出的任何陳述(除權(quán)利要求書(shū)的語(yǔ)言以外)的范圍。就本專(zhuān)利所附 權(quán)利要求書(shū)中所述的任何術(shù)語(yǔ)在本專(zhuān)利中以與單數(shù)意義一致的方式引用而言���,這僅 是為了清楚起見(jiàn)以便不混淆讀者���,且這樣的權(quán)利要求術(shù)語(yǔ)不旨在通過(guò)暗示等限于該 單數(shù)意義。最后�,除非權(quán)利要求元素通過(guò)敘述單詞"指的是"和功能而未敘述任何 結(jié)構(gòu)來(lái)定義的,否則任何權(quán)利要求元素的范圍不旨在基于對(duì)35 U.S.C.S 112第6 段的應(yīng)用來(lái)解釋���。
眾多發(fā)明性功能和眾多發(fā)明性原理最佳地使用軟件程序或指令以及諸如專(zhuān)用 IC等集成電路(IC)來(lái)實(shí)現(xiàn)�。盡管可能要花費(fèi)大量努力以及存在例如由可用時(shí)間���、 當(dāng)前技術(shù)以及經(jīng)濟(jì)上的考慮而激發(fā)的眾多設(shè)計(jì)選擇����,但期望本領(lǐng)域的普通技術(shù)人員 在由此處公開(kāi)的概念和原理指導(dǎo)時(shí)�,將能容易地以最小的試驗(yàn)而生成這樣的軟件指 令和程序。從而�����,為了簡(jiǎn)明以及最小化模糊根據(jù)本發(fā)明的原理和概念的風(fēng)險(xiǎn)���,如果 有這樣的軟件和IC的進(jìn)一步描述�,它們也將被限于關(guān)于優(yōu)選實(shí)施例的原理和概念 的要素�。
圖l示出可用于實(shí)現(xiàn)動(dòng)態(tài)軟件供應(yīng)系統(tǒng)的網(wǎng)絡(luò)10。網(wǎng)絡(luò)10可以是因特網(wǎng)�,虛 擬專(zhuān)用網(wǎng)(VPN),或允許一臺(tái)或多臺(tái)計(jì)算機(jī)��、通信設(shè)備���、數(shù)據(jù)庫(kù)等彼此通信連接 的任何其它網(wǎng)絡(luò)���。網(wǎng)絡(luò)10可經(jīng)由以太網(wǎng)連接16、路由器18以及陸線20連接至個(gè) 人計(jì)算機(jī)12和計(jì)算機(jī)終端14���。另一方面��,網(wǎng)絡(luò)10可經(jīng)由無(wú)線通信站26和無(wú)線鏈 路28被無(wú)線連接至膝上型計(jì)算機(jī)22和個(gè)人數(shù)字助理24����。類(lèi)似地,服務(wù)器30可使
用通信鏈路32連接至網(wǎng)絡(luò)10�����,大型機(jī)34可使用另一通信鏈路36被連接至網(wǎng)絡(luò)10�����。 圖2示出計(jì)算機(jī)110形式的計(jì)算設(shè)備����。計(jì)算機(jī)110的組件可包括,但不限于���, 處理單元120�����、系統(tǒng)存儲(chǔ)器130和將包括系統(tǒng)存儲(chǔ)器在內(nèi)的各種系統(tǒng)組件耦合至處 理單元120的系統(tǒng)總線121�。系統(tǒng)總線121可以是若干類(lèi)型的總線結(jié)構(gòu)中的任一種���, 包括存儲(chǔ)器總線或存儲(chǔ)器控制器��、外圍總線和使用各種總線體系結(jié)構(gòu)中的任一種的 局部總線�。作為示例����,而非限制,這樣的體系結(jié)構(gòu)包括工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(ISA) 總線����、微通道體系結(jié)構(gòu)(MCA)總線、擴(kuò)展的ISA (EISA)總線�、視頻電子技術(shù) 標(biāo)準(zhǔn)協(xié)會(huì)(VESA)局部總線和外圍部件互連(PCI)總線(也被稱(chēng)為Mezzanine 總線)。
計(jì)算機(jī)110通常包括各種計(jì)算機(jī)可讀介質(zhì)��。計(jì)算機(jī)可讀介質(zhì)可以是能夠被計(jì) 算機(jī)IIO訪問(wèn)的任何可用介質(zhì)��,且包括易失性和非易失性介質(zhì)���、可移動(dòng)和不可移動(dòng) 介質(zhì)�����。作為示例���,而非限制�����,計(jì)算機(jī)可讀介質(zhì)可以包括計(jì)算機(jī)存儲(chǔ)介質(zhì)和通信介質(zhì)���。 計(jì)算機(jī)存儲(chǔ)介質(zhì)包括以任何方法或技術(shù)實(shí)現(xiàn)的用于存儲(chǔ)諸如計(jì)算機(jī)可讀指令、數(shù)據(jù) 結(jié)構(gòu)���、程序模塊或其它數(shù)據(jù)等信息的易失性和非易失性�����、可移動(dòng)和不可移動(dòng)介質(zhì)��。 計(jì)算機(jī)存儲(chǔ)介質(zhì)包括��,但不限于�����,RAM��、 ROM�����、 EEPROM����、閃存或其它存儲(chǔ)器技 術(shù);CD-ROM�、數(shù)字多功能盤(pán)(DVD)或其它光盤(pán)存儲(chǔ)�;磁帶盒、磁帶���、磁盤(pán)存 儲(chǔ)或其它磁性存儲(chǔ)設(shè)備���;或能用于存儲(chǔ)所需信息且可以由計(jì)算機(jī)110訪問(wèn)的任何其 它介質(zhì)。通信介質(zhì)通常具體化為諸如載波或其它傳輸機(jī)制等已調(diào)制數(shù)據(jù)信號(hào)中的計(jì) 算機(jī)可讀指令��、數(shù)據(jù)結(jié)構(gòu)��、程序模塊或其它數(shù)據(jù)�����,且包含任何信息傳遞介質(zhì)。術(shù)語(yǔ) "已調(diào)制數(shù)據(jù)信號(hào)"指的是這樣一種信號(hào)����,其一個(gè)或多個(gè)特征以在信號(hào)中編碼信息 的方式被設(shè)定或更改。作為示例���,而非限制�,通信介質(zhì)包括有線介質(zhì)����,諸如有線網(wǎng) 絡(luò)或直接線連接,以及無(wú)線介質(zhì)��,諸如聲學(xué)����、RF、紅外線和其它無(wú)線介質(zhì)����。上述 中任一個(gè)的組合也應(yīng)包括在計(jì)算機(jī)可讀介質(zhì)的范圍之內(nèi)。
系統(tǒng)存儲(chǔ)器130包括易失性或非易失性存儲(chǔ)器形式的計(jì)算機(jī)存儲(chǔ)介質(zhì)���,諸如 只讀存儲(chǔ)器(ROM) 131和隨機(jī)存取存儲(chǔ)器(RAM) 132���?����;据斎?輸出系統(tǒng)133 (BIOS)包含有助于諸如啟動(dòng)時(shí)在計(jì)算機(jī)110中元件之間傳遞信息的基本例程����, 它通常存儲(chǔ)在ROM 131中��。RAM 132通常包含處理單元120可以立即訪問(wèn)和/或 目前正在操作的數(shù)據(jù)和/或程序模塊��。作為示例���,而非限制,圖l示出了操作系統(tǒng) 134����、應(yīng)用程序135、其它程序模塊136和程序數(shù)據(jù)137��。
計(jì)算機(jī)110也可以包括其它可移動(dòng)/不可移動(dòng)�����、易失性/非易失性計(jì)算機(jī)存儲(chǔ)介 質(zhì)。僅作為示例�����,圖l示出了從不可移動(dòng)��、非易失性磁介質(zhì)中讀取或向其寫(xiě)入的硬
盤(pán)驅(qū)動(dòng)器141���,從可移動(dòng)�����、非易失性磁盤(pán)152中讀取或向其寫(xiě)入的磁盤(pán)驅(qū)動(dòng)器151�����, 以及從諸如CD ROM或其它光學(xué)介質(zhì)等可移動(dòng)��、非易失性光盤(pán)156中讀取或向其 寫(xiě)入的光盤(pán)驅(qū)動(dòng)器155���。可以在示例性操作環(huán)境下使用的其它可移動(dòng)/不可移動(dòng)����、易 失性/非易失性計(jì)算機(jī)存儲(chǔ)介質(zhì)包括�,但不限于����,盒式磁帶、閃存卡����、數(shù)字多功能 盤(pán)、數(shù)字錄像帶���、固態(tài)RAM���、固態(tài)ROM等。硬盤(pán)驅(qū)動(dòng)器141通常由諸如接口 140 等不可移動(dòng)存儲(chǔ)器接口連接至系統(tǒng)總線121����,磁盤(pán)驅(qū)動(dòng)器151和光盤(pán)驅(qū)動(dòng)器155通 常由諸如接口 150等可移動(dòng)存儲(chǔ)器接口連接至系統(tǒng)總線121��。
以上描述和在圖2中示出的驅(qū)動(dòng)器及其相關(guān)聯(lián)的計(jì)算機(jī)存儲(chǔ)介質(zhì)為計(jì)算機(jī) 110提供了對(duì)計(jì)算機(jī)可讀指令�����、數(shù)據(jù)結(jié)構(gòu)�、程序模塊和其它數(shù)據(jù)的存儲(chǔ)����。例如����,在 圖1中,硬盤(pán)驅(qū)動(dòng)器141被示為存儲(chǔ)操作系統(tǒng)144��、應(yīng)用程序145��、其它程序模塊 146和程序數(shù)據(jù)147���。注意����,這些組件可以與操作系統(tǒng)134���、應(yīng)用程序135����、其它程 序模塊136和程序數(shù)據(jù)137相同或不同��。操作系統(tǒng)144���、應(yīng)用程序145�����、其它程序 模塊146和程序數(shù)據(jù)147在這里被標(biāo)注了不同的標(biāo)號(hào)是為了說(shuō)明至少它們是不同的 副本����。用戶可以通過(guò)輸入設(shè)備,諸如鍵盤(pán)162和定點(diǎn)設(shè)備161 (通常指鼠標(biāo)���、跟蹤 球或觸摸墊)向計(jì)算機(jī)20輸入命令和信息�����。其它輸入設(shè)備(未示出)可以包括麥 克風(fēng)�����、操縱桿���、游戲墊�����、圓盤(pán)式衛(wèi)星天線�、掃描儀等。這些和其它輸入設(shè)備通常由 耦合至系統(tǒng)總線的用戶輸入接口 160連接至處理單元120,但也可以由諸如并行端 口、游戲端口或通用串行總線(USB)等其它接口或總線結(jié)構(gòu)連接��。陰極射線管 191或其它類(lèi)型的顯示設(shè)備也經(jīng)由諸如視頻接口 190的接口連接至系統(tǒng)總線121���。 除監(jiān)視器以外,計(jì)算機(jī)也可以包括其它外圍輸出設(shè)備���,諸如揚(yáng)聲器197和打印機(jī) 196,它們可以通過(guò)輸出外圍接口 l卯連接。
計(jì)算機(jī)110可使用至一臺(tái)或多臺(tái)遠(yuǎn)程計(jì)算機(jī)����,諸如遠(yuǎn)程計(jì)算機(jī)180的邏輯連 接在網(wǎng)絡(luò)化環(huán)境下操作��。遠(yuǎn)程計(jì)算機(jī)180可以是個(gè)人計(jì)算機(jī)��、服務(wù)器����、路由器、網(wǎng) 絡(luò)PC、對(duì)等設(shè)備或其它常見(jiàn)網(wǎng)絡(luò)節(jié)點(diǎn)���,且通常包括以上相對(duì)于計(jì)算機(jī)110描述的 許多或所有元件,盡管在圖1中只示出存儲(chǔ)器存儲(chǔ)設(shè)備181。圖1中所示邏輯連接 包括局域網(wǎng)(LAN) 171和廣域網(wǎng)(WAN) 173����,但也可以包括其它網(wǎng)絡(luò)�����。這樣的 連網(wǎng)環(huán)境在辦公室����、企業(yè)范圍計(jì)算機(jī)網(wǎng)絡(luò)����、內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中是常見(jiàn)的。
當(dāng)在LAN連網(wǎng)環(huán)境中使用時(shí)��,計(jì)算機(jī)110通過(guò)網(wǎng)絡(luò)接口或適配器170連接至 LAN 171��。當(dāng)在WAN網(wǎng)絡(luò)環(huán)境中使用時(shí)�,計(jì)算機(jī)110通常包括調(diào)制解調(diào)器172或 用于通過(guò)諸如因特網(wǎng)等WAN 173建立通信的其它裝置����。調(diào)制解調(diào)器172可以是內(nèi) 置或外置的�,它可以通過(guò)用戶輸入接口 160或其它合適的機(jī)制連接至系統(tǒng)總線121����。
在網(wǎng)絡(luò)化環(huán)境中,相對(duì)于計(jì)算機(jī)iio所描述的程序模塊或其部分可以存儲(chǔ)在遠(yuǎn)程存
儲(chǔ)器存儲(chǔ)設(shè)備中��。作為示例���,而非限制���,圖1示出了遠(yuǎn)程應(yīng)用程序185駐留在存儲(chǔ) 器設(shè)備181上。
通信連接170、 172允許設(shè)備與其它設(shè)備通信����。通信連接170����、 172是通信介 質(zhì)的示例����。通信介質(zhì)通常具體化為諸如載波或其它傳輸機(jī)制等已調(diào)制數(shù)據(jù)信號(hào)中的 計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其它數(shù)據(jù),且包含任何信息傳遞介質(zhì)���。術(shù) 語(yǔ)"己調(diào)制數(shù)據(jù)信號(hào)"指的是這樣一種信號(hào)����,其一個(gè)或多個(gè)特征以在信號(hào)中編碼信 息的方式被設(shè)定或更改。作為示例���,而非限制�,通信介質(zhì)包括有線介質(zhì),諸如有線 網(wǎng)絡(luò)或直接線連接�����,以及無(wú)線介質(zhì)���,諸如聲學(xué)�����、RF�����、紅外線和其它無(wú)線介質(zhì)�����。計(jì) 算機(jī)可讀介質(zhì)可包括存儲(chǔ)介質(zhì)和通信介質(zhì)兩者����。
將在以下更詳細(xì)描述的可信平臺(tái)模塊125或其它可信環(huán)境可存儲(chǔ)數(shù)據(jù)以及密 鑰���,并驗(yàn)證可執(zhí)行代碼和數(shù)據(jù)����。可信平臺(tái)模塊規(guī)范在章節(jié)4.5.2.1中有陳述"作 為系統(tǒng)初始化的一部分�����,將進(jìn)行對(duì)平臺(tái)組件和配置的測(cè)量��。進(jìn)行測(cè)量將不會(huì)檢測(cè)出 不安全的配置����,也不會(huì)采取措施來(lái)阻止初始化過(guò)程的繼續(xù)。這種責(zé)任歸于諸如操作 系統(tǒng)等合適的基準(zhǔn)監(jiān)控程序�����。"���。因?yàn)門(mén)PM未被定義為強(qiáng)制工具����,因此以下所述 的進(jìn)一步增強(qiáng)對(duì)常見(jiàn)的TPM進(jìn)行了補(bǔ)充�。
監(jiān)視電路126可被配置成測(cè)量時(shí)間期限,且當(dāng)時(shí)間期滿時(shí)觸發(fā)干擾計(jì)算機(jī)110 的操作的信號(hào)127���。干擾可以是使計(jì)算機(jī)110重新引導(dǎo)的系統(tǒng)復(fù)位�����。干擾可中斷系 統(tǒng)總線121或外圍總線上的數(shù)據(jù)����。為防止監(jiān)視器126干擾計(jì)算機(jī)110的操作����,可能 要求通信連接128上的信號(hào)對(duì)時(shí)間期限復(fù)位并再次啟動(dòng)定時(shí)過(guò)程。如圖2中所示�, 監(jiān)視計(jì)時(shí)器復(fù)位信號(hào)可承載于通信連接128上。如將在以下更詳細(xì)描述的�,TPM 125可響應(yīng)于來(lái)自監(jiān)控程序的信號(hào)來(lái)啟動(dòng)監(jiān)視計(jì)時(shí)器的復(fù)位。以下所述的步驟可用 于幫助確保存在特定的����、所需的監(jiān)控程序且該程序通過(guò)使用TPM 125和監(jiān)視電路 126的組合正在操作中。
討論并描述了圖3��,它是示出諸如圖2的代表性計(jì)算機(jī)內(nèi)的功能層的分層表示 的簡(jiǎn)化的框圖��。可信平臺(tái)模塊202可以是駐留在基本輸入/輸出結(jié)構(gòu)(BIOS) 204 下方的硬件�����。TPM202可用作計(jì)算機(jī)和更高層操作����,諸如BIOS 204的資源。BIOS 可激活監(jiān)控程序206���。監(jiān)控程序駐留在監(jiān)控程序?qū)?10處���,在操作系統(tǒng)208下方。 監(jiān)控程序206可訪問(wèn)并使用TPM 202的資源以實(shí)現(xiàn)與更高層實(shí)體的操作相關(guān)聯(lián)的 策略��。操作系統(tǒng)208支持計(jì)算機(jī)110的主要功能�,且可以負(fù)責(zé)(在初始程序引導(dǎo)過(guò) 程移交控制之后)通信、用戶輸入/輸出��、磁盤(pán)和其它存儲(chǔ)器訪問(wèn)����、應(yīng)用程序啟動(dòng)
等。操作系統(tǒng)也可直接訪問(wèn)和使用TPM202�����。如圖所示�����,第一和第二應(yīng)用程序212�����、 214可在操作系統(tǒng)208上運(yùn)行���。在某些情況中�����,監(jiān)控程序可強(qiáng)制與操作系統(tǒng)208和 應(yīng)用程序212��、 214有關(guān)的策略��。例如�,在應(yīng)用程序214可從磁盤(pán)216啟動(dòng)之前����, 由線218所示����,操作系統(tǒng)可檢查許可狀態(tài)以確定應(yīng)用程序214是否滿足啟動(dòng)的給定 準(zhǔn)則����。啟動(dòng)的準(zhǔn)則以及隨后使用監(jiān)控程序函數(shù)對(duì)應(yīng)用程序的計(jì)量在于2004年12 月8日提交的代理案巻號(hào)為30835/40476的美國(guó)專(zhuān)利申請(qǐng)"Method for Pay-As-You-Go Computer and Dynamic Differential Pricing"中有更詳細(xì)討論。簡(jiǎn)要 地����,例如在按使用付費(fèi)或預(yù)付情形中,監(jiān)控程序206可用于測(cè)量和計(jì)量應(yīng)用程序���、 實(shí)用程序和計(jì)算機(jī)資源�����。
簡(jiǎn)要地參考圖6�,將更詳細(xì)地描述TPM 202�。 TPM 202可具有包括易失性和非 易失性存儲(chǔ)器兩者的內(nèi)部存儲(chǔ)器502,其中至少一部分沒(méi)有遭受篡改或未經(jīng)授權(quán)的 寫(xiě)操作的危險(xiǎn)�。存儲(chǔ)器可為配置TPM 202起見(jiàn)并為建立對(duì)外部實(shí)體的信任,存儲(chǔ) 供確認(rèn)聲稱(chēng)與所有者有聯(lián)系的實(shí)體使用的所有者密鑰504����。存儲(chǔ)器可也包括平臺(tái)配 置寄存器(PCR) 506等���。PCR506可用于存儲(chǔ)與監(jiān)控程序206相關(guān)聯(lián)的散列或其 它強(qiáng)(strong)標(biāo)識(shí)符。TPM 202還可包括時(shí)鐘508和密碼服務(wù)510�����。這兩者均可 在如將在以下更詳細(xì)描述的認(rèn)證和授權(quán)過(guò)程中使用����。TPM202還可包括總線512���, 它有時(shí)被稱(chēng)為單引腳總線或通用輸入/輸出(GPIO)���。在一個(gè)實(shí)施例中,GPI0 512 可被耦合至如在別處所描述的監(jiān)視電路���。
TPM 202也可被耦合至通用總線514用于計(jì)算機(jī)內(nèi)的數(shù)據(jù)通信�����,例如運(yùn)行監(jiān) 控程序206的進(jìn)程����。使用總線514,或在某些情況中的另一機(jī)制516, TPM202能 夠測(cè)量監(jiān)控程序�����。對(duì)監(jiān)控程序的測(cè)量可包括檢查監(jiān)控程序的密碼散列�,即檢查由監(jiān) 控程序所占用的存儲(chǔ)器范圍的散列。PCR可用于存儲(chǔ)測(cè)量數(shù)據(jù)506��。所有者密鑰 504可例如通過(guò)要求所有者密鑰504來(lái)確認(rèn)的監(jiān)控程序的數(shù)字簽署的散列來(lái)與監(jiān)控 程序506的散列建立聯(lián)系��。所有者密鑰504可在制造時(shí)或稍后例如遞送給顧客時(shí)被 寫(xiě)入或注入到TPM 202內(nèi)��。所有者密鑰504然后用于認(rèn)證監(jiān)控程序206����。
在一個(gè)示例性實(shí)施例中,監(jiān)控程序206由引導(dǎo)序列中它之前的可信模塊�����,例 如由BIOS測(cè)量����。監(jiān)控程序度量,諸如由BIOS 204計(jì)算出的散列,可經(jīng)由總線514 被存儲(chǔ)在TPM PCR 506中��。當(dāng)TPM 202確認(rèn)該度量(散列)時(shí)��,TPM 202然后可 允許訪問(wèn)分配給監(jiān)控程序206并存儲(chǔ)在TPM 202中的監(jiān)視程序206的唯一密鑰和/ 或其它機(jī)密�。TPM 202將向任何監(jiān)控程序分配與監(jiān)控程序的度量所匹配的任何度 量相對(duì)應(yīng)的密鑰和機(jī)密。
可使用所有者密鑰504和相應(yīng)的監(jiān)控程序度量506���,即已知監(jiān)控程序206的散 列來(lái)對(duì)TPM編程��。所有者密鑰被用于對(duì)監(jiān)控程序度量506編程或更新����,使得僅擁 有所有者密鑰504的實(shí)體可為已知監(jiān)控程序206設(shè)置PCR寄存器506�����。標(biāo)準(zhǔn)的TPM 202具有僅針對(duì)給定度量506驗(yàn)證的監(jiān)控程序206可控制GPIO 512的特征��。當(dāng)GPIO 512以防篡改的方式連接至監(jiān)視電路126時(shí)�����,可完成信任鏈��。gP�,僅經(jīng)驗(yàn)證的監(jiān)控 程序206可控制GPI0 512,且僅GPI0 512可用于重啟監(jiān)視電路126�����。從而���,盡管 監(jiān)控程序206可被替換或更改�,但僅由所有者密鑰506設(shè)置的PCR 506驗(yàn)證的監(jiān) 控程序206可用于重啟監(jiān)視電路126的計(jì)時(shí)器����。因此,僅經(jīng)授權(quán)的監(jiān)控程序可用于 防止監(jiān)視器例如通過(guò)對(duì)計(jì)算機(jī)UO復(fù)位來(lái)干擾計(jì)算機(jī)110�����。監(jiān)視電路126的計(jì)時(shí)器 可被置為被選來(lái)允許還原經(jīng)破壞或篡改的計(jì)算機(jī)110��,但足夠短來(lái)防止大量有用的 工作在計(jì)算機(jī)110上完成的期限�。例如,監(jiān)視器可被置為除非由經(jīng)確認(rèn)的監(jiān)控程序 206重啟�,否則每隔10-20分鐘即干擾計(jì)算機(jī)110。
所有者密鑰504和監(jiān)控程序度量506可在安全制造環(huán)境中被編程��,或可使用 對(duì)所有者密鑰504編程的實(shí)體所知的傳輸密鑰來(lái)現(xiàn)場(chǎng)編程。 一旦所有者密鑰504 已知���,編程實(shí)體����,例如服務(wù)供應(yīng)商可設(shè)置監(jiān)控程序的度量�����,它將確定哪一監(jiān)控程序 能訪問(wèn)GPIO總線����。可能需要所有者密鑰504來(lái)對(duì)所有者密鑰重新編程��。對(duì)所得密 鑰的使用可便于密鑰分發(fā)���、定標(biāo)(scaling)以及針對(duì)萬(wàn)一本地所有者密鑰504被泄 漏時(shí)可能遭受的廣泛損失的保護(hù)。密鑰管理技術(shù)在數(shù)據(jù)安全領(lǐng)域中是已知的���。
圖4是與計(jì)算機(jī)110相同或類(lèi)似的計(jì)算機(jī)300的代表性體系結(jié)構(gòu)的框圖�����。該 計(jì)算機(jī)可具有第一和第二接口橋302����、 304。接口橋302��、 304可由高速總線306連 接�����。第一接口橋302可連接至處理器308����、圖形控制器310和存儲(chǔ)器312。存儲(chǔ)器 312可主存監(jiān)控程序314�����、以及其它通用存儲(chǔ)器使用�。
第二接口橋304可連接至外圍總線和組件,例如通用串行總線(USB) 316�、 集成驅(qū)動(dòng)器電子設(shè)備(IDE) 318、或外圍部件互連(PCI) 320��,用于連接磁盤(pán)驅(qū) 動(dòng)器����、打印機(jī)��、掃描儀等�。第二接口橋也可連接至TPM322����。如上所述,TPM322 可具有用于密鑰和散列數(shù)據(jù)的安全存儲(chǔ)器324����、以及通用輸入/輸出(GPIO) 326。 TPM 322可由連接328物理上或邏輯上耦合至監(jiān)控程序����。如上所述,BIOS 204可 測(cè)量監(jiān)控程序206��,并在TPM 322中存儲(chǔ)度量��,這向監(jiān)控程序314分配對(duì)應(yīng)于所 提供的度量的密鑰和機(jī)密���。監(jiān)控程序314從而被給予對(duì)使用這些密鑰和機(jī)密鎖定的 資源和數(shù)據(jù)的訪問(wèn)權(quán)。為向監(jiān)視電路330發(fā)送信號(hào)�,連接328也可由監(jiān)控程序使用 來(lái)控制GPIO 326���。該信號(hào)可使監(jiān)視器復(fù)位。當(dāng)監(jiān)視電路330在由監(jiān)視電路330中 的設(shè)定所規(guī)定的時(shí)間期限內(nèi)未接收到該信號(hào)時(shí)��,可經(jīng)由連接332發(fā)送復(fù)位或其它干 擾信號(hào)��。為了防止篡改����,GPIO 326與監(jiān)視電路330之間的連接可例如通過(guò)在電路 板層之間密封或布線以防止對(duì)監(jiān)視電路330的手動(dòng)重啟來(lái)保護(hù)?�?深?lèi)似地針對(duì)篡改 保護(hù)計(jì)算機(jī)復(fù)位信號(hào)連接332���,或監(jiān)視電路330與主處理器計(jì)算機(jī)復(fù)位點(diǎn)(未示出) 之間的復(fù)位信號(hào)連接332的至少一部分�����。
圖5是圖2的計(jì)算機(jī)的替換體系結(jié)構(gòu)的代表性框圖����。與圖4的描述相比�,同 樣標(biāo)號(hào)的組件是相同的。監(jiān)視電路330被移至第二接口橋304內(nèi)��,示出監(jiān)視電路 330可如何組合到另一電路內(nèi)以改進(jìn)抗篡改能力的代表性圖示。監(jiān)視電路330與第 二接口橋芯片304的集成盡管本身是適當(dāng)?shù)?����,但僅是說(shuō)明性的����。由于第二接口橋 304是計(jì)算機(jī)體系結(jié)構(gòu)的一個(gè)主要組件,因此所需級(jí)別的干擾可從第二接口橋304 之內(nèi)實(shí)現(xiàn)�����。從而�,可能不需要從監(jiān)視電路外部到第二接口橋304的連接,諸如連接 332�。
在該替換體系結(jié)構(gòu)中,GPIO 326可能未被用于向監(jiān)視電路330發(fā)送復(fù)位信號(hào)����。 相反,可經(jīng)由直接從監(jiān)控程序314到監(jiān)視電路330的邏輯連接334發(fā)送消息�����。
因?yàn)樵趦蓚€(gè)實(shí)體(314����、 330)之間可能不存在足夠的信任級(jí)別,因此消息可 使用TPM 322中所保存的密鑰來(lái)簽署��。例如���,這些密鑰可在第一引導(dǎo)(例如�,在 生產(chǎn)線上����,為可信度起見(jiàn))期間與監(jiān)控程序314相關(guān)聯(lián)。密鑰可被任意分配���,或如 上所述密鑰可從主密鑰和諸如根證書(shū)���、序列號(hào)或制造序號(hào)等已知數(shù)據(jù)中導(dǎo)出。監(jiān)視 計(jì)時(shí)器330可被配置成僅與例如在裝配線上的計(jì)算機(jī)110的第一引導(dǎo)期間使用這些 密鑰在簽署的消息有關(guān)�。此外,監(jiān)控程序?qū)⑦@些密鑰鎖入TPM 332內(nèi)�,使得僅同 樣測(cè)量的監(jiān)控程序314可訪問(wèn)這些密鑰。該體系結(jié)構(gòu)的變型是監(jiān)控程序依賴(lài)于TPM 332來(lái)向其分配對(duì)其度量而言唯一且相應(yīng)的這些密鑰�����。
在正常操作期間,監(jiān)控程序314可請(qǐng)求TPM 322代其對(duì)要發(fā)送給監(jiān)視計(jì)時(shí)器 330的消息進(jìn)行簽署�。TPM332使用對(duì)應(yīng)于監(jiān)控程序314的密鑰(按照在每一引導(dǎo) 期間由BIOS存儲(chǔ)到TPM 322內(nèi)的其度量)來(lái)簽署消息。監(jiān)控程序314可經(jīng)由例 如連接328的邏輯連接從TPM 322接收已簽署消息�����,然后經(jīng)由邏輯連接334將其 提供給監(jiān)視電路330�����。
當(dāng)監(jiān)視電路330接收到該消息時(shí)���,監(jiān)視電路330可使用密鑰(在制造期間設(shè) 置)以認(rèn)證該消息��?��;蛘撸墒褂眠壿嬤B接336請(qǐng)求使用TPM 322中的密鑰或 密碼來(lái)驗(yàn)證��。如果另一監(jiān)控程序正在運(yùn)行�����,則它會(huì)不同地測(cè)量,得到由TPM分配 的不同的密鑰和機(jī)密�����。從而��,替換監(jiān)控程序?qū)⒉荒軌蛘_簽署該消息��,以使它將由
監(jiān)視電路330認(rèn)證���。因此,監(jiān)視電路330將啟動(dòng)制裁(sanction)����,諸如當(dāng)計(jì)算機(jī) 110的定時(shí)間隔期滿之后激發(fā)其復(fù)位。對(duì)已簽署或加密消息的使用可減少對(duì)邏輯連 接328和334的攻擊的幾率��。
討論并描述了圖7��,它是示出使用監(jiān)控程序?qū)⒖尚牌脚_(tái)模塊(TPM)總是鎖定 為"開(kāi)"的方法的流程圖����。典型的TPM,例如TPM125可任選地由用戶啟用�。如 下所述,該方法將幫助確保TPM 125仍被啟用,并且由企業(yè)所有者選擇的監(jiān)控程 序206將被執(zhí)行����,但是冒了諸如禁用計(jì)算機(jī)110等制裁的風(fēng)險(xiǎn)。
在開(kāi)始402處以通電開(kāi)始�,計(jì)算機(jī)110可通過(guò)正常的引導(dǎo)機(jī)制啟動(dòng)各種硬件 組件。這也適用于TPM322����。引導(dǎo)序列可遵循可信計(jì)算平臺(tái)聯(lián)盟(TCPA)方法。 用于測(cè)量的核心信任根(CRTM)測(cè)量BIOS 133并將其度量存儲(chǔ)到TPM 322內(nèi) (403)�。然后,CRTM加載并執(zhí)行BIOS 133����。
(CRTM理想上可被存儲(chǔ)在計(jì)算機(jī) 110中非常難以攻擊的可信位置中。)
BIOS 133可按照常規(guī)方式執(zhí)行�,從而啟動(dòng)并列舉各種計(jì)算機(jī)組件,只有一個(gè) 例外——它可在加載并執(zhí)行每一軟件模塊之前對(duì)其進(jìn)行測(cè)量��。而且��,它可將這些度 量存儲(chǔ)到TPM 322內(nèi)�����。具體地,它可測(cè)量監(jiān)控程序314并將監(jiān)控程序度量存儲(chǔ)到 TPM322內(nèi)(405)���。
TPM 322將密鑰和機(jī)密唯一且相應(yīng)地分配給監(jiān)控程序度量�。要點(diǎn)在于�,TPM 322始終如一地分配對(duì)應(yīng)于給定度量的唯一密鑰和機(jī)密(408)。因此��,監(jiān)控程序 314可用的密碼是唯一��、 一致且相應(yīng)的�。結(jié)果是��,任何監(jiān)控程序可鎖定資源��,使其 僅對(duì)該特定的監(jiān)控程序獨(dú)占地可用�。例如,這允許通過(guò)僅關(guān)于與真實(shí)監(jiān)控程序314 相關(guān)聯(lián)的度量對(duì)連接至監(jiān)視電路330的GPIO 326編程而將真實(shí)的監(jiān)控程序314鏈 接至監(jiān)視電路330�。 GPIO 326則僅對(duì)與真實(shí)監(jiān)控程序314相同地測(cè)量的監(jiān)控程序 可用。
不考慮所加載的監(jiān)控程序真實(shí)與否�����,引導(dǎo)序列加載并執(zhí)行監(jiān)控程序(410)�����。 正常的引導(dǎo)過(guò)程可繼續(xù)(411),并假定成功的引導(dǎo)�,之后是計(jì)算機(jī)110的正常操 作(412)。
一旦監(jiān)控程序314在410處被加載并執(zhí)行之后�,它啟動(dòng)其循環(huán)(413-419)。 首先�����,監(jiān)控程序314經(jīng)由TPMGPIO 326向監(jiān)視電路330發(fā)送消息(413)���。該消 息可用信號(hào)通知TPM 322使用GPIO 326來(lái)發(fā)信號(hào)通知監(jiān)視電路330重啟其計(jì)時(shí)器 (未示出)�。
當(dāng)向TPM 322發(fā)送消息之后����,監(jiān)控程序返回其測(cè)試狀態(tài)414。監(jiān)控程序可測(cè)
試計(jì)算機(jī)iio的狀態(tài)是否遵循當(dāng)前策略��。當(dāng)前策略可涉及已知程序�����、實(shí)用程序或外 設(shè)的特定的存在與否�。測(cè)試也可與計(jì)量或其它按使用付費(fèi)度量有關(guān)�����。例如�����,測(cè)試可 檢查可供消費(fèi)的可用供應(yīng)包與特定的應(yīng)用程序操作之間的關(guān)系�。在另一實(shí)施例中��, 測(cè)試可與諸如日歷月等特定時(shí)間期限期間的操作有關(guān)�。
當(dāng)測(cè)試414失敗時(shí),可跟隨否分支(416)�����,在那里監(jiān)控程序根據(jù)策略行動(dòng)�����。 動(dòng)作可以?xún)H是發(fā)送給操作系統(tǒng)的警告代碼或呈現(xiàn)給用戶的警告消息���。動(dòng)作可以是對(duì) 操作系統(tǒng)和用戶施加的某些制裁,例如限制或消除計(jì)算機(jī)的某一功能���。這可應(yīng)用于 硬件和/或軟件功能��。例如�,可減慢計(jì)算機(jī)、可禁用某些軟件����、或可禁用某些設(shè)備, 例如網(wǎng)絡(luò)攝像頭��。更嚴(yán)厲的制裁可以是限制OS可用的RAM的量��,或減少操作系 統(tǒng)可用的指令集體系結(jié)構(gòu)�����。在一個(gè)示例性實(shí)施例中��,當(dāng)找到不遵循條件時(shí)監(jiān)控程序 314可用的一個(gè)行動(dòng)過(guò)程可以是不采取措施來(lái)重啟監(jiān)視電路330的計(jì)時(shí)器而令監(jiān)視 電路330施加制裁����。
當(dāng)測(cè)試成功時(shí),可跟隨是分支(414)����。在任一情況中����,執(zhí)行在返回到步驟413 之前等待一間隔(419)��。等待間隔避免了因反復(fù)運(yùn)行監(jiān)視程序314而耗盡計(jì)算機(jī): 的資源����。顯然,該等待間隔419應(yīng)是監(jiān)視計(jì)時(shí)器計(jì)數(shù)期限的某一部分���?��?捎貌糠值?確定可以是計(jì)算機(jī)正常操作將延遲循環(huán)執(zhí)行完成的可能性。然后循環(huán)返回至上述步 驟413���。重復(fù)循環(huán)的周期可被置為小于監(jiān)視電路超時(shí)期限的任何時(shí)間,否則將出現(xiàn) 不期望的干擾����。
當(dāng)TPM322接收到消息(420)時(shí),TPM 322根據(jù)監(jiān)控程序度量行動(dòng)���。如果度 量被認(rèn)為是非真實(shí)失敗(420)�����,則將采用否分支至框422��,在那里不采取任何動(dòng) 作����,即不發(fā)送到監(jiān)視電路330的信號(hào)。TPM 322不需要任何其它動(dòng)作���,因?yàn)楸O(jiān)視 電路330將干擾計(jì)算機(jī)110���,除非采取步驟來(lái)停止?��?扇芜x地�,TPM322在422處 可生成用于日志記錄的出錯(cuò)�����、生成警告/出錯(cuò)代碼�、通知操作系統(tǒng)以及可向用戶顯 示消息。
當(dāng)TPM 322驗(yàn)證監(jiān)控程序度量真實(shí)時(shí)�,可激活GPIO 326來(lái)用信號(hào)通知監(jiān)視 電路330重啟其計(jì)時(shí)器(424)���。如上所述,重啟監(jiān)視電路計(jì)時(shí)器防止監(jiān)視電路330 啟動(dòng)干擾動(dòng)作���,諸如對(duì)計(jì)算機(jī)110的復(fù)位��。監(jiān)視電路330然后可將計(jì)時(shí)器復(fù)位為其 初始值(426)���。計(jì)時(shí)器然后可計(jì)數(shù)(428)并測(cè)試預(yù)定時(shí)間是否期滿(430)。計(jì) 時(shí)器期限是可設(shè)定的��。計(jì)時(shí)器實(shí)現(xiàn)是已知的��,且計(jì)時(shí)器是數(shù)到給定數(shù)字�、減至O、 數(shù)到設(shè)定時(shí)鐘時(shí)間��、還是其它機(jī)制均是設(shè)計(jì)選擇���。
如果計(jì)時(shí)器未期滿,則可從430采用返回到428的否分支�����,這將對(duì)計(jì)時(shí)器進(jìn)
行另一次計(jì)數(shù)。當(dāng)時(shí)間期滿時(shí)��,可從430采用是分支���,監(jiān)視器可通過(guò)干擾計(jì)算機(jī) (432)來(lái)實(shí)施制裁����。干擾可以是系統(tǒng)復(fù)位�、引起重新引導(dǎo)或?qū)ν庠O(shè)的禁用等。監(jiān) 視電路計(jì)時(shí)器遞減計(jì)數(shù)至干擾432的期限可能足以允許用戶糾正計(jì)算機(jī)110上的不 遵循條件�,但應(yīng)足夠頻繁以限制計(jì)算機(jī)110上的可靠或有用活動(dòng)。
從432到426的鏈接可以是概念上的��。如果通過(guò)對(duì)整個(gè)計(jì)算機(jī)復(fù)位來(lái)實(shí)現(xiàn)干 擾���,則該鏈接是沒(méi)有實(shí)際意義的��。在更微小干擾的情況中���,例如減緩計(jì)算機(jī),該鏈 接用于重啟遞減計(jì)數(shù)并可導(dǎo)致更嚴(yán)重的禁用干擾��,例如引起復(fù)位。
可見(jiàn)可通過(guò)以上方法實(shí)現(xiàn)與按使用付費(fèi)來(lái)供應(yīng)計(jì)算機(jī)相關(guān)聯(lián)的企業(yè)所有者或 其它承保人的兩個(gè)目的���。首先��,如果TPM322因?yàn)橛脩暨x擇不使用TPM322或?qū)?計(jì)算機(jī)進(jìn)行黑客攻擊以禁用TPM 322而被禁用��,則將不會(huì)生成至監(jiān)視電路330的 消息����,且計(jì)算機(jī)110將被干擾���。
類(lèi)似地�,如果TPM 322被啟用并是可操作的���,但監(jiān)視程序被更改或替換���,可 能更改或忽略有效策略(例如,使用策略)�����,則TPM將不會(huì)承兌監(jiān)視程序的請(qǐng)求����。 實(shí)際上,經(jīng)更改的監(jiān)控程序度量不同于真實(shí)監(jiān)控程序的度量��。因此����,當(dāng)監(jiān)控程序度 量被存儲(chǔ)到TPM 322內(nèi)時(shí),它將分配對(duì)該經(jīng)更改的監(jiān)控程序的相應(yīng)且唯一的一組 密鑰和機(jī)密��,這組密鑰和機(jī)密不同于GPI0 326操作所需的那些����。結(jié)果,從經(jīng)更改 的監(jiān)控程序到TPM以向GPIO 326發(fā)送信號(hào)的任何消息將不會(huì)被承兌��。從而���,監(jiān) 視電路330將不會(huì)接收到重啟信號(hào)���,并且計(jì)算機(jī)110將被干擾。
在這兩種情況中�,TPM 322必須被啟用,且真實(shí)監(jiān)控程序314必須就位且是 可操作的以使計(jì)算機(jī)110正確操作�����。
可構(gòu)想以上方法和裝置的其它使用。例如��,引導(dǎo)過(guò)程的一部分可要求經(jīng)授權(quán) 用戶提供憑證�。如果未提供正確的憑證,則引導(dǎo)過(guò)程可能不能加載真實(shí)的監(jiān)控程序�����, 這將最終導(dǎo)致對(duì)計(jì)算機(jī)110的禁用�����。
權(quán)利要求
1.一種實(shí)現(xiàn)用于強(qiáng)制監(jiān)控程序的操作的可信計(jì)算基礎(chǔ)的計(jì)算機(jī)�����,所述計(jì)算機(jī)包括執(zhí)行所述監(jiān)視程序的處理器�;耦合至所述處理器以便確保所述監(jiān)控程序的執(zhí)行的可信環(huán)境,所述可信環(huán)境適用于從所述監(jiān)控程序接收消息�����;耦合至所述可信環(huán)境的監(jiān)視電路�����,所述監(jiān)視電路在一期限之后干擾所述計(jì)算機(jī),除非所述可信環(huán)境在所述期限內(nèi)接收到所述消息��。
2. 如權(quán)利要求1所述的計(jì)算機(jī)���,其特征在于,所述可信環(huán)境密碼地標(biāo)識(shí)所述 監(jiān)控程序����。
3. 如權(quán)利要求2所述的計(jì)算機(jī),其特征在于��,所述可信環(huán)境還包括通用輸入 /輸出端口��,且所述監(jiān)控程序在被密碼地標(biāo)識(shí)之后可訪問(wèn)所述通用輸入/輸出端口�����。
4. 如權(quán)利要求1所述的計(jì)算機(jī)�����,其特征在于��,所述監(jiān)視電路還包括用于確定 所述期限的計(jì)時(shí)器,且其中所述監(jiān)視電路接收已簽署的重啟信號(hào)以便當(dāng)所述已簽署 重啟信號(hào)被驗(yàn)證時(shí)重啟所述計(jì)時(shí)器�。
5. 如權(quán)利要求1所述的計(jì)算機(jī),其特征在于���,所述可信環(huán)境經(jīng)由專(zhuān)用通信線 路耦合至所述監(jiān)視電路����。
6. 如權(quán)利要求1所述的計(jì)算機(jī)�����,其特征在于���,所述監(jiān)視電路當(dāng)干擾所述計(jì)算 機(jī)時(shí)使所述計(jì)算機(jī)重新引導(dǎo)�。
7. 如權(quán)利要求6所述的計(jì)算機(jī)�,其特征在于,使所述計(jì)算機(jī)重新引導(dǎo)的信號(hào) 承載于一導(dǎo)體上�����,所述導(dǎo)體適用于抗篡改��。
8. 如權(quán)利要求1所述的計(jì)算機(jī)�,其特征在于�,所述監(jiān)控程序結(jié)合發(fā)送消息至 少一次驗(yàn)證令牌��。
9. 如權(quán)利要求9所述的計(jì)算機(jī)�����,其特征在于����,所述令牌包括供所述監(jiān)控程序 用于確定所述監(jiān)控程序是否是當(dāng)前版本的版本號(hào)�。
10. —種激勵(lì)計(jì)算機(jī)中的己知操作狀態(tài)的方法,包括 執(zhí)行一己知監(jiān)控程序�;從所述已知監(jiān)控程序向一監(jiān)視電路發(fā)送信號(hào);以及 響應(yīng)于所述信號(hào)防止所述監(jiān)視電路干擾所述計(jì)算機(jī)的操作�。
11. 如權(quán)利要求10所述的方法,其特征在于�,還包括驗(yàn)證所述已知監(jiān)控程序的真實(shí)性。
12. 如權(quán)利要求10所述的方法�,其特征在于,所述從監(jiān)控程序發(fā)送信號(hào)還包 括�����,在向所述監(jiān)視電路發(fā)送所述信號(hào)之前從所述監(jiān)控程序向一可信環(huán)境發(fā)送所述信 號(hào)���。
13. 如權(quán)利要求10所述的方法����,其特征在于,還包括 簽署所述信號(hào)�����,且所述監(jiān)視器驗(yàn)證所述信號(hào)的真實(shí)性��。
14. 如權(quán)利要求10所述的方法�,其特征在于,還包括當(dāng)未在預(yù)定時(shí)間內(nèi)接收到所述信號(hào)時(shí)���,干擾所述計(jì)算機(jī)的操作�����。
15. —種供計(jì)算機(jī)中使用的監(jiān)視電路�,包括 用于確定時(shí)間期限的計(jì)時(shí)器����; 用于接收重啟所述計(jì)時(shí)器的信號(hào)的輸入;以及用于當(dāng)在所述時(shí)間期限中未接收到所述信號(hào)時(shí)干擾所述計(jì)算機(jī)的操作的輸出。
16. 如權(quán)利要求15所述的監(jiān)視電路����,其特征在于,還包括密碼能力���,其中所 述信號(hào)被數(shù)字簽署���,且所述密碼電路確定所述信號(hào)的真實(shí)性。
17. 如權(quán)利要求15所述的監(jiān)視電路����,其特征在于,所述輸入被耦合至一可信 環(huán)境�����。
18. 如權(quán)利要求17所述的監(jiān)視電路�����,其特征在于�,所述可信環(huán)境控制至所述 監(jiān)視電路的所述信號(hào)��。
19. 如權(quán)利要求15所述的監(jiān)視電路�,其特征在于��,所述輸出被耦合至復(fù)位電 路和總線驅(qū)動(dòng)器電路之一���。
20. 如權(quán)利要求15所述的監(jiān)視電路,其特征在于�,所述監(jiān)視電路以限制對(duì)所 述計(jì)時(shí)器、所述輸入和所述輸出之一的訪問(wèn)的方式被設(shè)置在所述計(jì)算機(jī)中�。
全文摘要
一種可通過(guò)包括用于驗(yàn)證已知監(jiān)控程序的可信環(huán)境來(lái)保護(hù)免受攻擊的計(jì)算機(jī)。該監(jiān)控程序可用于確定計(jì)算機(jī)的狀態(tài)是否遵循一組條件��。這些條件可與使用條款有關(guān)�,諸如可供按使用付費(fèi)的信用、或計(jì)算機(jī)正運(yùn)行諸如病毒保護(hù)等某些軟件���、或未附加未經(jīng)授權(quán)的外設(shè)�����、或提供了所需令牌�。該監(jiān)控程序可直接或通過(guò)可信環(huán)境向監(jiān)視電路發(fā)送信號(hào)�。當(dāng)未在給定超時(shí)期限內(nèi)接收到該信號(hào)時(shí),該監(jiān)視電路干擾計(jì)算機(jī)的使用�。
文檔編號(hào)G06F15/18GK101116070SQ200580040764
公開(kāi)日2008年1月30日 申請(qǐng)日期2005年12月20日 優(yōu)先權(quán)日2004年12月23日
發(fā)明者A·法蘭克, P·英格蘭 申請(qǐng)人:微軟公司