專利名稱:一種可信硬件設(shè)備及其使用方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域�,尤其涉及一種可信硬件設(shè)備。
背景技術(shù):
目前��,發(fā)生信息安全事故的技術(shù)原因主要是現(xiàn)在的計(jì)算機(jī)軟��、硬件結(jié)構(gòu)簡(jiǎn)化���,從而 導(dǎo)致資源非法使用����。為了解決信息安全隱患�����,可信計(jì)算需要從提高終端自身防護(hù)能力著手, 從源頭解決信息安全問題��。例如硬件設(shè)備(特別是SOC芯片)�����,是整個(gè)計(jì)算系統(tǒng)的基礎(chǔ)��。 其他的系統(tǒng)軟件�、應(yīng)用軟件甚至信息安全系統(tǒng)都建立在芯片之上,如果硬件不安全的話����,我 們的所有努力都會(huì)付之東流。國(guó)外的硬件設(shè)備���、芯片�����,我們不可能研究得非常清楚�����,更無(wú)法 了解其安全狀況�。由于國(guó)內(nèi)的芯片設(shè)計(jì)與生產(chǎn)工具幾乎完全被國(guó)外產(chǎn)品壟斷,我們能保證 硬件設(shè)計(jì)方案的安全性��,但無(wú)法保證設(shè)計(jì)與生產(chǎn)流程的安全�����。表面上很平常的一件硬件設(shè) 備���,很有可能就包含著邏輯炸彈、嗅探器����,不知道它在收集什么信息也不知道它什么時(shí)候會(huì) 爆發(fā)。所以長(zhǎng)期使用外國(guó)的硬件����、芯片或者設(shè)計(jì)與生產(chǎn)平臺(tái),會(huì)使我們?cè)诎踩矫嫣幱诒粍?dòng) 局面�����。因此研究開發(fā)具有自主知識(shí)產(chǎn)權(quán)的可信硬件設(shè)備有助于實(shí)現(xiàn)計(jì)算環(huán)境的自主可控����。本發(fā)明中提供一種可信硬件設(shè)備具體實(shí)施方法�����,配合可信計(jì)算平臺(tái)的可信平臺(tái)控 制模塊共同使用�����,以達(dá)到硬件設(shè)備可信受控的目的�����?���?尚牌脚_(tái)控制模塊及其控制方法也屬 于本發(fā)明的發(fā)明人共同設(shè)計(jì)��,用于提供對(duì)可信硬件設(shè)備和可信計(jì)算平臺(tái)的控制功能���,是控 制操作的實(shí)施者���,也是可信計(jì)算平臺(tái)上的可信根基,保障可信計(jì)算平臺(tái)信任鏈的源頭可信���, 為平臺(tái)的可信性提供判斷依據(jù)���。
發(fā)明內(nèi)容
1����、所述可信硬件設(shè)備��,由改造之前的用于表征硬件設(shè)備功能的基本硬件功能電路 構(gòu)成�,其特征在于硬件組成單元進(jìn)一步包括電路工作狀態(tài)檢查點(diǎn)����、可信模塊、策略存儲(chǔ)單 元���、配置存儲(chǔ)單元��、固件存儲(chǔ)單元��、保密數(shù)據(jù)存儲(chǔ)單元�����、平臺(tái)總線接口��、外部總線接口�����、總線 控制器�����、恢復(fù)默認(rèn)值按鈕和更新按鈕����;電路工作狀態(tài)檢查點(diǎn),嵌入到基本硬件功能電路����,通過信號(hào)線連接到可信模塊,檢 查基本硬件功能電路的關(guān)鍵模塊的輸入輸出信號(hào)�;可信硬件設(shè)備的總線控制器,至少包括4個(gè)端口����,分別是第一端口、第二端口�����、第 三端口和第四端口,第一端口連接平臺(tái)總線接口�,第二端口通過連接到外部總線接口,第三 端口通過連接到可信模塊����,第四端口通過連接到基本硬件功能電路、固件存儲(chǔ)單元����、配置存 儲(chǔ)單元、策略存儲(chǔ)單元和保密數(shù)據(jù)存儲(chǔ)單元���;可信模塊,分別連接電路工作狀態(tài)檢查點(diǎn)�����、恢復(fù)默認(rèn)值按鈕�、更新按鈕和總線控制 器的第三端口;可信計(jì)算平臺(tái)��,包括但不局限于��,可信個(gè)人計(jì)算機(jī)�����、可信服務(wù)器、可信終端�、可信嵌 入式設(shè)備、可信網(wǎng)絡(luò)設(shè)備;恢復(fù)默認(rèn)值按鈕和更新按鈕,連接到可信硬件設(shè)備內(nèi)部的可信模塊���;
總線控制器通過第一端口,連接到平臺(tái)總線接口,然后連接到可信硬件設(shè)備之外 的可信計(jì)算平臺(tái)����; 總線控制器通過第二端口��,連接到外部總線接口����,然后連接到硬件設(shè)備;總線控制器通過第四端口����,連接到策略存儲(chǔ)單元、配置存儲(chǔ)單元�、固件存儲(chǔ)單元、 保密數(shù)據(jù)存儲(chǔ)單元和基本硬件功能電路���;由總線控制器第四端口所連接的策略存儲(chǔ)單元���、配置存儲(chǔ)單元���、固件存儲(chǔ)單元、保 密數(shù)據(jù)存儲(chǔ)單元和基本硬件功能電路����,之間相互連接;可信模塊通過總線控制器的第三端口��,從總線控制器內(nèi)部連接到第四端口�����,再連 接到策略存儲(chǔ)單元�����、配置存儲(chǔ)單元�����、固件存儲(chǔ)單元�����、保密數(shù)據(jù)存儲(chǔ)單元和基本硬件功能電 路���;可信模塊通過總線控制器的第三端口�����,從總線控制器內(nèi)連接到第一端口����,再連接 到平臺(tái)總線接口��,最終連接到可信計(jì)算平臺(tái)�;可信模塊通過第三端口,向總線控制器發(fā)送控制信號(hào)�,控制第一端口與第四端口 之間的連通和斷開、控制第二端口與第四端口之間的連通和斷開����、控制第二端口與第三端 口之間的連通和斷開,第一端口與第三端口之間始終連通�����;總線控制器過濾來(lái)自可信硬件設(shè)備之外的,針對(duì)策略存儲(chǔ)單元�����、配置存儲(chǔ)單元����、固 件存儲(chǔ)單元、保密數(shù)據(jù)存儲(chǔ)單元的讀寫操作����;可信硬件設(shè)備的可信模塊包括以下硬件單元執(zhí)行引擎用于執(zhí)行固件,實(shí)現(xiàn)對(duì)可信模塊內(nèi)部的各個(gè)硬件單元的操作��;密碼算法引擎是加解密功能的硬件單元�����,用于建立可信硬件設(shè)備和可信計(jì)算平 臺(tái)之間的加密通道����,產(chǎn)生的密鑰存儲(chǔ)在可信模塊的非易失性存儲(chǔ)單元和可信硬件設(shè)備的保 密數(shù)據(jù)存儲(chǔ)單元中����;接口 用于連接恢復(fù)默認(rèn)值按鈕�����、更新按鈕���、總線控制器的第三端口、電路功能狀 態(tài)檢查點(diǎn)�����、策略存儲(chǔ)單元����、配置存儲(chǔ)單元、固件存儲(chǔ)單元和保密數(shù)據(jù)存儲(chǔ)單元��;非易失性存儲(chǔ)單元用于可信模塊存儲(chǔ)會(huì)話密鑰����、可信硬件設(shè)備的證書和完整性 度量結(jié)果,具有掉電不丟失的特性����;易失性存儲(chǔ)單元用于為可信模塊的執(zhí)行引擎,提供存儲(chǔ)運(yùn)算數(shù)據(jù)的臨時(shí)性存儲(chǔ) 單元;2�����、所述可信硬件設(shè)備的使用方法����,其特征在于,由可信硬件設(shè)備的可信模塊控制 可信硬件設(shè)備實(shí)現(xiàn)以下使用方法可信硬件設(shè)備的初始化與自檢����;可信計(jì)算平臺(tái)對(duì)可信硬 件設(shè)備的身份檢查;可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的完整性檢查�����;工作狀態(tài)的檢查和可信 計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的更新操作��;詳細(xì)使用方法如下可信計(jì)算平臺(tái)通常是指可信計(jì)算機(jī)的主機(jī)系統(tǒng)�,包括主板、處理器���、設(shè)備控制器�����、 存儲(chǔ)設(shè)備或輸入輸出設(shè)備��。當(dāng)可信硬件設(shè)備連接到可信計(jì)算平臺(tái)時(shí)���,以及每次可信計(jì)算平臺(tái)上電啟動(dòng)時(shí),所 有連接在可信計(jì)算平臺(tái)的可信硬件設(shè)備���,首先進(jìn)行初始化和自檢操作����,然后等待可信計(jì)算 平臺(tái)對(duì)可信硬件設(shè)備進(jìn)行身份檢查��;通過身份檢查后�����,可信硬件設(shè)備才能在可信計(jì)算平臺(tái) 上正常使用���,禁止訪問者對(duì)沒有通過身份檢查的可信硬件設(shè)備進(jìn)行訪問�����;可信計(jì)算平臺(tái)根據(jù)輸入輸出系統(tǒng)�、訪問者、操作系統(tǒng)或者應(yīng)用程序的請(qǐng)求����,對(duì)可信硬件設(shè)備進(jìn)行完整性檢查、工作狀態(tài)檢查和更新操作��;可信計(jì)算平臺(tái)與可信硬件設(shè)備之間進(jìn)行通信時(shí)�����,需要約定擇通信方式�。沒有特殊 說明時(shí),可信計(jì)算平臺(tái)與可信硬件設(shè)備之間選擇原始數(shù)據(jù)的通信方式�。具體的通信方式包 括原始數(shù)據(jù)的通信方式、公開協(xié)議的通信方式���、私有協(xié)議的通信方式����、數(shù)字簽名的通信方 式���、加密的通信方式和數(shù)字簽名且加密的通信方式��。通信方式說明如下1)原始數(shù)據(jù)的通信方式����,適用于可信計(jì)算平臺(tái)與可信硬件設(shè)備之間數(shù)據(jù)與信號(hào)的 傳輸過程中,不做特殊要求的情況���;本通信方式用于初始化與自檢命令、工作狀態(tài)檢查和完 整性檢查命令��、請(qǐng)求信號(hào)����、確認(rèn)信號(hào)、錯(cuò)誤信號(hào)、執(zhí)行結(jié)果或返回?cái)?shù)據(jù)的傳輸�;方法通信雙方均通過信號(hào)線傳輸原始數(shù)據(jù)。2)公開協(xié)議的數(shù)據(jù)通信�,適用于可信計(jì)算平臺(tái)與可信硬件設(shè)備之間數(shù)據(jù)與信號(hào)的 傳輸過程中����,需要保證數(shù)據(jù)和信號(hào)的傳輸格式標(biāo)準(zhǔn)化的情況�����。本通信方式用于初始化與自 檢命令�、工作狀態(tài)和完整性檢查命令、請(qǐng)求信號(hào)���、確認(rèn)信號(hào)、錯(cuò)誤信號(hào)����、執(zhí)行結(jié)果或返回?cái)?shù)據(jù) 的傳輸;方法通信雙方均按照約定的公開協(xié)議所要求的數(shù)據(jù)傳輸格式�����,進(jìn)行數(shù)據(jù)傳輸�。3)私有協(xié)議的數(shù)據(jù)通信���,適用于可信計(jì)算平臺(tái)與可信硬件設(shè)備之間數(shù)據(jù)與信號(hào)的 傳輸過程中����,需要保證數(shù)據(jù)和信號(hào)的傳輸過程標(biāo)準(zhǔn)化�,但標(biāo)準(zhǔn)不公開的情況。本通信方式用 于初始化與自檢命令���、工作狀態(tài)檢查和完整性檢查命令�、請(qǐng)求信號(hào)����、確認(rèn)信號(hào)、錯(cuò)誤信號(hào)�、執(zhí) 行結(jié)果或者返回?cái)?shù)據(jù)的傳輸��;方法通信雙方均按照雙方自定義的非公開協(xié)議所要求的數(shù)據(jù)傳輸格式�,進(jìn)行數(shù) 據(jù)傳輸。4)數(shù)字簽名的數(shù)據(jù)通信�����,適用于可信計(jì)算平臺(tái)與可信硬件設(shè)備之間數(shù)據(jù)與信號(hào)的 傳輸過程中�,需要保證數(shù)據(jù)與信號(hào)的完整性和發(fā)送方身份合法性的情況��。本通信方式用于 發(fā)送固件代碼���、工作模式配置信息、控制策略配置信息���、固件代碼切換信號(hào)、工作模式切換 信號(hào)�����、控制策略切換信號(hào)或者會(huì)話密鑰切換信號(hào)���,用于可信計(jì)算平臺(tái)與可信硬件設(shè)備之間, 以及在可信計(jì)算平臺(tái)與連接在可信硬件設(shè)備的外部總線接口的硬件設(shè)備之間,發(fā)送需要數(shù) 字簽名保護(hù)的數(shù)據(jù)與信號(hào)��。方法通信雙方的數(shù)字簽名通信方式流程如下a�����、發(fā)送方使用約定的完整性度量算法對(duì)傳輸數(shù)據(jù)和信號(hào)進(jìn)行完整性度量�,計(jì)算出 完整性度量值,然后發(fā)送方利用約定的會(huì)話密鑰和密碼算法對(duì)完整性度量值進(jìn)行加密���,得 到數(shù)字簽名信息�����。b���、發(fā)送方將數(shù)字簽名信息����、需要傳輸?shù)臄?shù)據(jù)和信號(hào),發(fā)送給接收方。C�、接收方使用約定的完整性度量算法對(duì)收到的傳輸?shù)臄?shù)據(jù)和信號(hào)進(jìn)行完整性度 量��,計(jì)算出完整性度量值�����,然后利用約定的會(huì)話密鑰和密碼算法對(duì)收到的數(shù)字簽名信息進(jìn) 行解密,并將接收方計(jì)算出的完整性度量值與解密得到的完整性度量值與進(jìn)行比較����。d��、如果接收方計(jì)算出的完整性度量值和解密得到的完整性度量值一致����,則認(rèn)定接 收到的數(shù)據(jù)和信號(hào)是真實(shí)的�、完整的和有效的,并且數(shù)據(jù)和信號(hào)是來(lái)自于合法的發(fā)送方。5)加密的通信方式,適用于可信計(jì)算平臺(tái)與可信硬件設(shè)備之間數(shù)據(jù)與信號(hào)的傳輸 過程中,需要保證數(shù)據(jù)與信號(hào)的機(jī)密性的情況�����。本通信方式用于可信硬件設(shè)備向可信計(jì)算平臺(tái)返回工作狀態(tài)檢查結(jié)果和完整性檢查結(jié)果����,用于可信計(jì)算平臺(tái)向可信硬件設(shè)備發(fā)送固 件代碼、保密數(shù)據(jù)、工作模式配置信息�、控制策略配置信息��、會(huì)話密鑰和可信硬件設(shè)備的證 書��,用于可信計(jì)算平臺(tái)與可信硬件設(shè)備之間,以及在可信計(jì)算平臺(tái)與連接在可信硬件設(shè)備 的外部總線接口的硬件設(shè)備之間����,發(fā)送需要加密保護(hù)的數(shù)據(jù)與信號(hào)���。方法通信雙方的加密的通信方式流程如下a、發(fā)送方使用約定的會(huì)話密鑰和密碼算法����,對(duì)傳輸?shù)臄?shù)據(jù)與信號(hào)進(jìn)行加密����,然后 發(fā)送方將加密后的數(shù)據(jù)與信號(hào)發(fā)送給接收方��。b�、接收方使用約定的會(huì)話密鑰和密碼算法對(duì)收到的加密數(shù)據(jù)與信號(hào)進(jìn)行解密�。C���、接收方解密出來(lái)的數(shù)據(jù)與信號(hào),即為發(fā)送方發(fā)送的數(shù)據(jù)與信號(hào)���。6)數(shù)字簽名且加密的通信方式�����,適用于在可信計(jì)算平臺(tái)與可信硬件設(shè)備之間數(shù)據(jù) 與信號(hào)的傳輸過程中,需要保證數(shù)據(jù)與信號(hào)的完整性�����、機(jī)密性和發(fā)送方身份合法性的情況���。 本通信方式用于可信硬件設(shè)備向可信計(jì)算平臺(tái)返回工作狀態(tài)檢查結(jié)果和完整性檢查結(jié)果�, 用于可信計(jì)算平臺(tái)向可信硬件設(shè)備發(fā)送固件代碼、保密數(shù)據(jù)、工作模式配置信息、控制策略 配置信息���、會(huì)話密鑰和可信硬件設(shè)備的證書��,用于可信計(jì)算平臺(tái)與可信硬件設(shè)備之間���,以及 可信計(jì)算平臺(tái)與連接在可信硬件設(shè)備的外部總線接口的硬件設(shè)備之間��,發(fā)送需要數(shù)字簽名 保護(hù)和加密保護(hù)的數(shù)據(jù)與信號(hào)�����。方法通信雙方的數(shù)字簽名且加密的通信方式流程如下a���、發(fā)送方使用約定的完整性度量算法對(duì)傳輸?shù)臄?shù)據(jù)與信號(hào)進(jìn)行完整性度量�����,計(jì)算 出完整性度量值����,然后發(fā)送方利用約定的會(huì)話密鑰和密碼算法對(duì)完整性度量值進(jìn)行加密�����, 得到數(shù)字簽名信息��。b、發(fā)送方使用約定的會(huì)話密鑰和密碼算法對(duì)需要傳輸?shù)臄?shù)據(jù)與信號(hào)進(jìn)行加密����。
c、發(fā)送方將數(shù)字簽名信息和加密后的數(shù)據(jù)與信號(hào)����,發(fā)送給接收方。d、接收方使用約定的會(huì)話密鑰和約定的密碼算法對(duì)接收到的加密數(shù)據(jù)與信號(hào)進(jìn) 行解密���,并利用約定的完整性度量算法對(duì)解密出的數(shù)據(jù)和信號(hào)進(jìn)行完整性度量����,計(jì)算出完 整性度量值��。e、接收方使用約定的會(huì)話密鑰和密碼算法對(duì)收到的數(shù)字簽名信息進(jìn)行解密�����,并將 解密的完整性度量值與d步驟中計(jì)算出的完整性度量值進(jìn)行比較。f���、如果接收方計(jì)算出的完整性度量值和解密得到的完整性度量值一致,則認(rèn)定接 收到的數(shù)據(jù)和信號(hào)是真實(shí)的�����、完整的和有效的����,并且數(shù)據(jù)和信號(hào)是來(lái)自于合法的發(fā)送方��?�?尚庞?jì)算平臺(tái)的訪問者包括可信計(jì)算平臺(tái)的管理員和用戶;可信硬件設(shè)備的控制策略包括通過設(shè)置可信硬件設(shè)備的總線控制器的帶寬���,達(dá) 到控制通過可信硬件設(shè)備的平臺(tái)總線接口和外部總線接口的數(shù)據(jù)流量�;斷開或者連通可信 硬件設(shè)備的總線控制器的第二端口與第三端口之間的電路���、第二端口與第四端口之間的電 路����;以及對(duì)流經(jīng)可信硬件設(shè)備的總線控制器的數(shù)據(jù)進(jìn)行過濾�。可信硬件設(shè)備通常通過較短的數(shù)據(jù)線連接到可信計(jì)算平臺(tái),兩者之間通常情況下 不會(huì)出現(xiàn)數(shù)據(jù)傳輸故障����,即不會(huì)出現(xiàn)傳輸中斷、傳輸數(shù)據(jù)無(wú)法接收等情況���。因此正常情況下 可以不考慮兩者之間傳輸數(shù)據(jù)丟失��,或者無(wú)法接收的情況。數(shù)據(jù)傳輸丟失或者無(wú)法接收數(shù) 據(jù)�����,不屬于可信硬件設(shè)備的正常工作狀態(tài)。A�、可信硬件設(shè)備的初始化與自檢
A. 1可信硬件設(shè)備上電時(shí)����,可信模塊先上電�,并立即進(jìn)行初始化,然后可信模塊對(duì) 可信硬件設(shè)備進(jìn)行完整性檢查,完整性檢查內(nèi)容包括固件存儲(chǔ)單元中的初始化默認(rèn)的固 件代碼��、策略存儲(chǔ)單元中的初始化默認(rèn)的控制策略配置信息�����、配置存儲(chǔ)單元中的初始化默 認(rèn)的工作模式配置信息和保密數(shù)據(jù)存儲(chǔ)單元中的可信硬件設(shè)備的證書與初始化默認(rèn)的會(huì) 話密鑰��,并將完整性度量結(jié)果存儲(chǔ)在可信模塊的非易失性存儲(chǔ)單元�����;A. 2可信硬件設(shè)備的固件代碼��、初始化默認(rèn)的控制策略配置信息���、初始化默認(rèn)的工 作模式配置信息��、可信硬件設(shè)備的證書和初始化默認(rèn)的會(huì)話密鑰的完整性檢查結(jié)束后��,可 信模塊讀取策略存儲(chǔ)單元中的初始化默認(rèn)的控制策略配置信息,配置總線控制器��,對(duì)可信 硬件設(shè)備的輸入輸出操作進(jìn)行訪問控制����,并檢查總線控制器的第二端口與第三端口�����、第二 端口與第四端口之間是否處于斷開狀態(tài),如果處于連通狀態(tài),則控制總線控制器斷開第二 端口與第三端口、第二端口與第四端口之間的連接電路��;A. 3可信硬件設(shè)備的可信模塊對(duì)可信硬件設(shè)備的總線控制器配置完成后��,可信模 塊通過總線控制器的第三端口和第四端口��,向基本硬件功能電路發(fā)送初始化命令�����;然后基 本硬件功能電路通過信號(hào)線���,讀取、執(zhí)行固件存儲(chǔ)單元中的初始化默認(rèn)的固件代碼和配置 存儲(chǔ)單元中的初始化默認(rèn)的工作模式配置信息�����;A. 4基本硬件功能電路的初始工作結(jié)束后,可信模塊還要通過電路工作狀態(tài)檢查 點(diǎn)檢查基本硬件功能電路的初始工作狀態(tài)��,是否與初始化默認(rèn)的工作模式配置信息對(duì)應(yīng); 通過檢查總線控制器的工作狀態(tài)�����,判斷可信硬件設(shè)備的控制策略��,是否與初始化默認(rèn)的控 制策略配置信息對(duì)應(yīng)��;檢查可信模塊對(duì)基本功能電路的控制功能和可信模塊對(duì)總線總裁器 的控制功能����;最后�,將基本硬件功能電路的初始化工作狀態(tài)和可信硬件設(shè)備的控制策略的 檢查結(jié)果存儲(chǔ)在可信模塊的非易失性存儲(chǔ)單元;A. 5操作完畢�����。B���、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢查B. 1可信硬件設(shè)備的初始化與自檢通過之后��,可信計(jì)算平臺(tái)通過平臺(tái)總線接口���,檢 測(cè)到可信硬件設(shè)備的存在�����,并通過可信硬件設(shè)備的平臺(tái)總線接口、總線控制器的第一端口 和總線控制器的第三端口,向可信硬件設(shè)備的可信模塊�����,發(fā)送交互請(qǐng)求信號(hào);B. 2當(dāng)可信硬件設(shè)備的可信模塊��,收到可信計(jì)算平臺(tái)發(fā)送的交互請(qǐng)求信號(hào)后�����,可信 模塊向可信計(jì)算平臺(tái)發(fā)送確認(rèn)信號(hào),完成可信計(jì)算平臺(tái)和可信硬件設(shè)備之間初步的相互確 認(rèn),建立兩者之間的通信關(guān)系����;否則�����,不發(fā)送確認(rèn)信號(hào);B. 3可信計(jì)算平臺(tái)收到可信硬件設(shè)備發(fā)送的確認(rèn)信號(hào)后�,立即向可信硬件設(shè)備的 可信模塊發(fā)送身份檢查命令和返回信息的通信方式;返回信息的通信方式包括原始數(shù)據(jù) 的通信方式、公開協(xié)議的通信方式、私有協(xié)議的通信方式、數(shù)字簽名的通信方式���、加密的通 信方式和數(shù)字簽名且加密的通信方式。如果可信計(jì)算平臺(tái)沒有收到確認(rèn)信號(hào),則再次向向 可信硬件設(shè)備發(fā)送交互請(qǐng)求信號(hào)��,如果仍然沒有收到可信硬件設(shè)備發(fā)送的確認(rèn)信號(hào)�����,則終 止當(dāng)前正在進(jìn)行的可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢查操作,禁止訪問者對(duì)該可信硬 件設(shè)備的訪問操作����,并向訪問者發(fā)送報(bào)警信號(hào)���,等待訪問者對(duì)該可信硬件設(shè)備的檢查或更 換����;B. 4當(dāng)可信硬件設(shè)備的可信模塊,接收到可信計(jì)算平臺(tái)發(fā)送的身份檢查命令和返 回信息的通信方式后,可信模塊按照返回信息的通信方式要求����,立即將可信硬件設(shè)備的證
11書發(fā)送給可信計(jì)算平臺(tái);如果可信硬件設(shè)備的可信模塊�����,沒有接收到可信計(jì)算平臺(tái)發(fā)送的 身份檢查命令和返回信息的通信方式����,則可信硬件設(shè)備的可信模塊再次向可信計(jì)算平臺(tái)發(fā) 送確認(rèn)信號(hào)����,如果仍然沒有收到可信計(jì)算平臺(tái)發(fā)送的身份檢查命令和返回信息的通信方 式,則可信硬件設(shè)備終止當(dāng)前正在進(jìn)行的身份檢查操作�;B. 5可信計(jì)算平臺(tái)將收到的可信硬件設(shè)備的證書����,與可信計(jì)算平臺(tái)的訪問者提供 的可信硬件設(shè)備的證書進(jìn)行比較,判斷可信硬件設(shè)備的身份合法性�;如果可信硬件設(shè)備身 份合法�����,則認(rèn)定可信硬件設(shè)備中存在一個(gè)合法的可信模塊;否則認(rèn)為該可信硬件設(shè)備沒有 通過身份檢查�,可信計(jì)算平臺(tái)禁止對(duì)該可信硬件設(shè)備進(jìn)行除了初始化與自檢和身份檢查之 外的任何訪問操作;;可信硬件設(shè)備的證書包括設(shè)備標(biāo)識(shí)號(hào)�、生產(chǎn)廠家標(biāo)識(shí)號(hào)�、設(shè)備類型 號(hào)和會(huì)話公鑰。B. 6操作完畢�。C、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的完整性檢查和工作狀態(tài)檢查C. 1當(dāng)可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份合法性的檢查通過后�,可信計(jì)算平臺(tái) 根據(jù)訪問者的請(qǐng)求,向可信硬件設(shè)備的可信模塊發(fā)送完整性檢查和工作狀態(tài)檢查的命令�����, 以及返回信息的通信方式�;可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份合法性的檢查通過之前, 可信計(jì)算平臺(tái)拒絕執(zhí)行訪問者提出的針對(duì)該可信硬件設(shè)備的任何使用請(qǐng)求����。如果可信計(jì)算 平臺(tái)對(duì)可信硬件設(shè)備的身份檢查沒有通過,則可信計(jì)算平臺(tái)不對(duì)可信硬件設(shè)備進(jìn)行完整性 檢查和工作狀態(tài)檢查操作�����;C. 2可信硬件設(shè)備的可信模塊接收到可信計(jì)算平臺(tái)發(fā)送的完整性檢查和工作狀態(tài) 檢查的命令后�,進(jìn)行以下操作可信硬件設(shè)備的可信模塊通過可信硬件設(shè)備的電路工作狀 態(tài)檢查點(diǎn),讀取流經(jīng)電路工作狀態(tài)檢查點(diǎn)的數(shù)據(jù)�����,判斷基本硬件功能電路當(dāng)前的工作狀態(tài); 可信硬件設(shè)備的可信模塊通過總線控制器和密碼算法引擎,對(duì)策略存儲(chǔ)單元中所有的策略 配置信息��、配置存儲(chǔ)單元中所有的工作模式配置信息�、固件存儲(chǔ)單元中所有的固件代碼,以 及保密數(shù)據(jù)存儲(chǔ)單元中所有的會(huì)話密鑰和可信硬件設(shè)備的證書����,進(jìn)行完整性度量;可信硬 件設(shè)備的可信模塊將完整性度量結(jié)果�,存儲(chǔ)在可信模塊的非易失性存儲(chǔ)單元;可信硬件設(shè) 備的可信模塊按照返回信息的通信方式的要求�����,將完整性度量結(jié)果和工作狀態(tài)檢查結(jié)果發(fā) 送給可信計(jì)算平臺(tái)����;如果可信硬件設(shè)備的可信模塊沒有接收到完整性檢查和工作狀態(tài)檢查 命令,則不進(jìn)行任何操作���;C. 3可信計(jì)算平臺(tái)將收到的可信硬件設(shè)備的完整性檢查結(jié)果和工作狀態(tài)檢查結(jié) 果����,與訪問者提供的該可信硬件設(shè)備的完整性檢查參考值和工作狀態(tài)檢查參考值進(jìn)行比 較。如果比較結(jié)果一致�����,則可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的完整性檢查和工作狀態(tài)檢查通 過�����,因此該可信硬件設(shè)備被認(rèn)為是可以被信賴的硬件設(shè)備�,至此���,可信計(jì)算平臺(tái)可以正常的 使用該可信硬件設(shè)備����;反之���,如果可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的工作狀態(tài)檢查和完整性 檢查�,任何一個(gè)檢查沒有通過�����,則可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的完整性檢查和工作狀態(tài) 檢查立即終止�,可信計(jì)算平臺(tái)禁止訪問者和可信計(jì)算平臺(tái)上的硬件設(shè)備����,使用該可信硬件 設(shè)備�����,并向訪問者發(fā)送可信硬件設(shè)備檢查失敗的警告���,等待訪問者對(duì)該可信硬件設(shè)備進(jìn)行 檢查�����、恢復(fù)或更換����;C. 4當(dāng)訪問者收到可信硬件設(shè)備完整性檢查失敗或者工作狀態(tài)檢查失敗的警告 后����,訪問者必須手動(dòng)按下可信硬件設(shè)備的恢復(fù)默認(rèn)值按鈕,將可信硬件設(shè)備的工作狀態(tài)和控制策略強(qiáng)制恢復(fù)到的初始化默認(rèn)的狀態(tài)����;強(qiáng)制恢復(fù)操作包括可信硬件設(shè)備的可信模 塊���,立即從可信硬件設(shè)備的固件存儲(chǔ)單元中讀取初始化默認(rèn)的固件代碼��,從配置存儲(chǔ)單元 中讀取初始化默認(rèn)的工作模式配置信息�����,從策略存儲(chǔ)單元中讀取初始化默認(rèn)的控制策略配 置信息,從保密數(shù)據(jù)存儲(chǔ)單元中讀取初始化默認(rèn)的會(huì)話密鑰,然后可信模塊使用初始化默 認(rèn)的固件代碼和工作模式配置信息對(duì)可信硬件設(shè)備的基本硬件功能電路進(jìn)行配置���,使用初 始化默認(rèn)的控制策略配置信息對(duì)可信硬件設(shè)備的總線控制器進(jìn)行配置��,使用初始化默認(rèn)的 會(huì)話密鑰�,用于數(shù)據(jù)通訊;然后可信硬件設(shè)備的可信模塊對(duì)可信硬件設(shè)備重新執(zhí)行初始化 與自檢操作�,然后由可信計(jì)算平臺(tái)再次對(duì)可信硬件設(shè)備進(jìn)行身份檢查���、完整性檢查和工作 狀態(tài)的檢查���;如果問者沒有收到檢查失敗的警告,則可信計(jì)算平臺(tái)繼續(xù)執(zhí)行對(duì)可信硬件設(shè) 備的完整性檢查和工作狀態(tài)檢查��;C. 5如果訪問者強(qiáng)制可信硬件設(shè)備恢復(fù)到初始化默認(rèn)狀態(tài)之后,仍然不能通過可 信計(jì)算平臺(tái)對(duì)該可信硬件設(shè)備的完整性檢查和工作狀態(tài)檢查�����,則可信計(jì)算平臺(tái)禁止用戶繼 續(xù)使用該可信硬件設(shè)備�,并向用戶發(fā)出警告信號(hào),由用戶對(duì)該可信硬件設(shè)備進(jìn)行更換���;更換 后的可信硬件設(shè)備�,需要重新進(jìn)行初始化與自檢����、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢 查,以及可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備進(jìn)行的完整性檢查和工作狀態(tài)檢查����;D���、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的更新操作發(fā)送更新數(shù)據(jù)的操作方法D. 1當(dāng)可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備發(fā)送更新數(shù)據(jù)��,進(jìn)行更新時(shí)���,需要先約定可信 計(jì)算平臺(tái)與可信硬件設(shè)備之間的通信方式��;更新數(shù)據(jù)為可信硬件設(shè)備的固件代碼�����、工作 模式配置信息�、控制策略配置信息或者會(huì)話密鑰�����。D. 2可信計(jì)算平臺(tái)通過約定的通信方式�����,向可信硬件設(shè)備發(fā)送更新的固件代碼�、工 作模式配置信息、控制策略配置信息或者會(huì)話密鑰的命令�;D. 3可信硬件設(shè)備收到可信計(jì)算平臺(tái)發(fā)送的更新的固件代碼、工作模式配置信息��、 控制策略配置信息或者會(huì)話密鑰的命令后���,并通過約定的通信方式���,向可信計(jì)算平臺(tái)發(fā)送 反饋信號(hào)�����;如果可信硬件設(shè)備沒有收到更新命令����,則可信硬件設(shè)備不向可信計(jì)算平臺(tái)發(fā)送 任何信號(hào)�����;D. 4當(dāng)可信計(jì)算平臺(tái)收到反饋信號(hào)后�,通過約定的通信方式,向可信硬件設(shè)備的可 信模塊發(fā)送更新數(shù)據(jù)和更新數(shù)據(jù)的編號(hào)����;如果可信計(jì)算平臺(tái)沒有收到反饋信號(hào),則可信計(jì) 算平臺(tái)重新向可信硬件設(shè)備發(fā)送更新命令���。如果仍然無(wú)法接收到可信硬件設(shè)備的反饋信 號(hào),則可信計(jì)算平臺(tái)停止此次對(duì)可信硬件設(shè)備的更新操作�����,并通知訪問者��,由訪問者檢查、 恢復(fù)或者更換該可信硬件設(shè)備����;當(dāng)用戶對(duì)可信硬件設(shè)備進(jìn)行強(qiáng)制恢復(fù)或者更換后,需要重 新執(zhí)行可信硬件設(shè)備的初始化與自檢����、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢查,以及可 信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的完整性檢查和工作狀態(tài)檢查�,并且在上述檢查通過后,才可 以執(zhí)行可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的更新操作�;如果更換的設(shè)備仍然無(wú)法使用,要么繼 續(xù)更換新的可信硬件設(shè)備��,要么不再使用該類型的可信硬件設(shè)備��;D. 5可信硬件設(shè)備的可信模塊���,將收到的更新數(shù)據(jù)中的固件代碼存儲(chǔ)到固件存儲(chǔ) 單元��,將更新數(shù)據(jù)中的工作模式配置信息存儲(chǔ)到配置存儲(chǔ)單元��,將更新數(shù)據(jù)中的控制策略 配置信息存儲(chǔ)到策略存儲(chǔ)單元��,將更新數(shù)據(jù)中的會(huì)話密鑰存儲(chǔ)到保密數(shù)據(jù)存儲(chǔ)單元���,將更 新數(shù)據(jù)的編號(hào)存儲(chǔ)到保密數(shù)據(jù)存儲(chǔ)單元���;并立即通過約定的通信方式,向可信計(jì)算平臺(tái)發(fā)送確認(rèn)信號(hào)�,否則立即向可信計(jì)算平臺(tái)發(fā)送重新發(fā)送更新數(shù)據(jù)和更新數(shù)據(jù)編號(hào)的請(qǐng)求;如 果可信硬件設(shè)備的可信模塊沒有收到更新數(shù)據(jù)和更新數(shù)據(jù)的編號(hào)����,則可信硬件設(shè)備的可信 模塊向可信計(jì)算平臺(tái)發(fā)送重發(fā)更新數(shù)據(jù)的請(qǐng)求;如果重新發(fā)送請(qǐng)求后��,可信硬件設(shè)備的可 信模塊仍然不能收到可信計(jì)算平臺(tái)發(fā)送的更新數(shù)據(jù)和更新數(shù)據(jù)的編號(hào)��,則可信硬件設(shè)備終 止此次更新操作��;發(fā)送切換信號(hào)的操作方法D. 6當(dāng)可信計(jì)算平臺(tái)收到可信硬件設(shè)備發(fā)送的確認(rèn)信號(hào)時(shí)���,可信計(jì)算平臺(tái)通過約 定的通信方式����,向可信硬件設(shè)備發(fā)送更新數(shù)據(jù)的切換命令和更新數(shù)據(jù)的編號(hào)��,并等待可信 硬件設(shè)備的確認(rèn)信號(hào)����;切換信號(hào)為固件代碼的切換信號(hào)、工作模式的切換信號(hào)�、控制策略 的切換信號(hào)或者會(huì)話密鑰的切換信號(hào);如果可信計(jì)算平臺(tái)沒有收到可信硬件設(shè)備發(fā)送的確 認(rèn)信號(hào)���,則可信計(jì)算平臺(tái)重新向可信硬件設(shè)備發(fā)送切換信號(hào)和更新數(shù)據(jù)的編號(hào)���。如果仍然 無(wú)法接收到可信硬件設(shè)備的反饋信號(hào),則可信計(jì)算平臺(tái)停止此次對(duì)可信硬件設(shè)備的更新操 作�����,并通知訪問者��,由訪問者檢查����、恢復(fù)或者更換該可信硬件設(shè)備;當(dāng)用戶對(duì)可信硬件設(shè)備 進(jìn)行強(qiáng)制恢復(fù)或者更換后�����,需要重新執(zhí)行可信硬件設(shè)備的初始化與自檢、可信計(jì)算平臺(tái)對(duì) 可信硬件設(shè)備的身份檢查��,以及可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的完整性檢查和工作狀態(tài)檢 查�����,并且在上述檢查通過后�����,才可以執(zhí)行可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的更新操作�;如果更 換的設(shè)備仍然無(wú)法使用,要么繼續(xù)更換新的可信硬件設(shè)備�����,要么不再使用該類型的可信硬 件設(shè)備��;D. 7當(dāng)可信硬件設(shè)備的可信模塊收到可信計(jì)算平臺(tái)發(fā)送的更新數(shù)據(jù)的切換信號(hào)和 更新數(shù)據(jù)的編號(hào)后�����,可信硬件設(shè)備的可信模塊立即通過約定的通信方式����,向可信計(jì)算平臺(tái) 發(fā)送確認(rèn)信號(hào)����;否則����,立即通過約定的通信方式�,向可信計(jì)算平臺(tái)發(fā)送重發(fā)更新數(shù)據(jù)的切換 信號(hào)和更新數(shù)據(jù)的編號(hào)的請(qǐng)求;如果可信硬件設(shè)備的可信模塊仍然無(wú)法收到切換信號(hào)和更 新數(shù)據(jù)的編號(hào)�,則可信硬件設(shè)備終止可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的更新操作;D. 8當(dāng)可信計(jì)算平臺(tái)收到可信硬件設(shè)備的可信模塊發(fā)送的確認(rèn)信號(hào)時(shí)�,可信計(jì)算 平臺(tái)立即通過指示燈或者中斷信號(hào),向訪問者發(fā)送按動(dòng)可信硬件設(shè)備的更新按鈕的提示信 號(hào)����;如果可信計(jì)算平臺(tái)沒有收到可信硬件設(shè)備發(fā)送的確認(rèn)信號(hào),則可信計(jì)算平臺(tái)重新向可 信硬件設(shè)備發(fā)送切換信號(hào)和更新數(shù)據(jù)的編號(hào)���。如果仍然無(wú)法接收到可信硬件設(shè)備的反饋信 號(hào)�����,則可信計(jì)算平臺(tái)停止此次對(duì)可信硬件設(shè)備的更新操作��,并通知訪問者�����,由訪問者檢查�、 恢復(fù)或者更換該可信硬件設(shè)備;當(dāng)用戶對(duì)可信硬件設(shè)備進(jìn)行強(qiáng)制恢復(fù)或者更換后�,需要重 新執(zhí)行可信硬件設(shè)備的初始化與自檢、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢查���,以及可 信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的完整性檢查和工作狀態(tài)檢查�����,并且在上述檢查通過后�,才可 以執(zhí)行可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的更新操作����;如果更換的設(shè)備仍然無(wú)法使用,要么繼 續(xù)更換新的可信硬件設(shè)備���,要么不再使用該類型的可信硬件設(shè)備�;D. 9當(dāng)訪問者按下可信硬件設(shè)備的更新按鈕后��,可信硬件設(shè)備的可信模塊立即根 據(jù)更新數(shù)據(jù)的編號(hào)���,從策略存儲(chǔ)單元中讀取對(duì)應(yīng)的控制策略配置信息���,對(duì)可信硬件設(shè)備的 總線控制器進(jìn)行控制策略配置操作�����;同時(shí),可信硬件設(shè)備的可信模塊從固件存儲(chǔ)單元中讀 取與更新數(shù)據(jù)編號(hào)對(duì)應(yīng)的固件代碼����,以及從配置存儲(chǔ)單元中讀取與更新數(shù)據(jù)編號(hào)對(duì)應(yīng)的工 作模式配置信息,對(duì)可信硬件設(shè)備的基本功能電路進(jìn)行配置����,進(jìn)而完成了可信硬件設(shè)備的 工作狀態(tài)和控制策略的切換操作;切換操作執(zhí)行完畢后���,可信硬件設(shè)備通過約定的通信方式�����,向可信計(jì)算平臺(tái)發(fā)送更新數(shù)據(jù)切換操作執(zhí)行完畢的信號(hào)���;D. 10如果訪問者在可信計(jì)算平臺(tái)規(guī)定的時(shí)間內(nèi)�����,沒有按動(dòng)可信硬件設(shè)備的更新按 鈕���,則可信計(jì)算平臺(tái)取消此次更新操作,并通過操作系統(tǒng)或者指示燈通知訪問者��;刪除更新數(shù)據(jù)的操作方法D. 11如果可信計(jì)算平臺(tái)要?jiǎng)h除可信硬件設(shè)備中不再繼續(xù)使用的更新數(shù)據(jù)時(shí)���,則可 信計(jì)算平臺(tái)通過約定的通信方式���,向可信硬件設(shè)備的可信模塊發(fā)送刪除更新數(shù)據(jù)的命令和 更新數(shù)據(jù)的編號(hào);初始化默認(rèn)的固件代碼����、工作模式配置信息、控制策略配置信息和會(huì)話密 鑰���,以及可信硬件設(shè)備的證書不能被刪除����。D. 12可信硬件設(shè)備收到可信計(jì)算平臺(tái)發(fā)送的刪除可信硬件設(shè)備的更新數(shù)據(jù)的命 令和更新數(shù)據(jù)的編號(hào)后���;并由可信硬件設(shè)備的可信模塊檢查更新編號(hào)對(duì)應(yīng)的更新數(shù)據(jù)是否 正在被可信硬件設(shè)備使用�;如果沒有正在被使用,則刪除固件存儲(chǔ)單元���、配置存儲(chǔ)單元��、策 略存儲(chǔ)單元和保密數(shù)據(jù)存儲(chǔ)單元中與更新數(shù)據(jù)編號(hào)對(duì)應(yīng)的更新數(shù)據(jù)�,并向可信計(jì)算平臺(tái)發(fā) 送刪除成功的返回信號(hào)�;如果更新數(shù)據(jù)的編號(hào)對(duì)應(yīng)的數(shù)據(jù)不存在或者正在使用,則取消此 次刪除操作�����,并向可信計(jì)算平臺(tái)發(fā)送刪除數(shù)據(jù)不存在或者正在使用的返回信號(hào)�����;D. 13當(dāng)可信計(jì)算平臺(tái)收到可信硬件設(shè)備發(fā)送的刪除更新數(shù)據(jù)成功的返回信號(hào)后����, 結(jié)束對(duì)可信硬件設(shè)備的數(shù)據(jù)更新操作�����;當(dāng)可信計(jì)算平臺(tái)收到可信硬件設(shè)備發(fā)送的刪除數(shù)據(jù) 不存在或者正在使用的返回信號(hào)后,可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備進(jìn)行的刪除更新數(shù)據(jù)的 操作結(jié)束��;本發(fā)明效果1)本發(fā)明中的可信硬件設(shè)備可以提供實(shí)時(shí)的完整性自檢功能��、工作狀態(tài)檢查功 能��、控制策略工作狀態(tài)檢查功能����,并通過檢查硬件設(shè)備工作狀態(tài)、工作模式配置信息完整 性�����、控制策略信息的完整性�,保證硬件設(shè)備身份可信和行為可信。2)所述可信硬件設(shè)備結(jié)合可信計(jì)算平臺(tái)的控制功能和可信管道技術(shù)�,可以實(shí)現(xiàn)在 可信環(huán)境或非可信環(huán)境下的多種可信通信方式,實(shí)現(xiàn)了可信的數(shù)據(jù)通訊����、設(shè)備控制、任務(wù)處 理等功能�����。3)所述可信硬件設(shè)備具有工作模式和控制策略動(dòng)態(tài)切換功能,可以滿足不同安全 等級(jí)要求����,向訪問者提供滿足需求的功能服務(wù)。4)本發(fā)明可以通過微小改動(dòng)計(jì)算平臺(tái)結(jié)構(gòu)的情況下�,實(shí)現(xiàn)對(duì)可信硬件設(shè)備的認(rèn)證 功能,具有計(jì)算平臺(tái)硬件結(jié)構(gòu)通用性和高安全性的優(yōu)點(diǎn)����。
圖1可信硬件設(shè)備與可信計(jì)算平臺(tái)的連接關(guān)系,描述了可信計(jì)算平臺(tái)與可信硬件 設(shè)備之間的連接關(guān)系����。圖2可信硬件設(shè)備結(jié)構(gòu)圖,描述可信硬件設(shè)備的主要硬件組成單元以及硬件單元 之間的控制關(guān)系����。其中����,圖2中的黑色小方塊代表嵌入到基本硬件功能電路中的電路工作 狀態(tài)檢查點(diǎn)。圖3可信硬件設(shè)備的可信模塊��,描述可信硬件設(shè)備的可信模塊的硬件組成結(jié)構(gòu)。
具體實(shí)施例方式下面結(jié)合附圖以及實(shí)施案例對(duì)本發(fā)明進(jìn)行詳細(xì)的說明����。一、可信硬件設(shè)備構(gòu)成可信硬件設(shè)備主要包括硬件電路部分�、固件代碼部分、控制策略部分和工作模式 配置部分�����。如圖1所示����,硬件電路部分包括可信模塊(TM)、策略存儲(chǔ)單元����、配置存儲(chǔ)單元、 固件存儲(chǔ)單元�����、保密數(shù)據(jù)存儲(chǔ)單元�、總線控制器、基本硬件功能電路�����、電路工作狀態(tài)檢查點(diǎn)、 外部總線接口���、平臺(tái)總線接口��、恢復(fù)默認(rèn)值按鈕和更新按鈕構(gòu)成��。1.硬件電路部分實(shí)現(xiàn)方法1)可信模塊硬件結(jié)構(gòu)實(shí)現(xiàn)方法如下執(zhí)行引擎選用一個(gè)32位的RI SC處理器(ARM9處理器)�����。內(nèi)部總線使用32位AMBA總線�。密碼算法引擎包括橢圓曲線ECC算法�����、RAS算法���、SHA-I算法�、HMAC算法����、3DES算 法、SCH算法��、SMS4算法和自定義算法�����?�?尚拍K的接口采用32位數(shù)據(jù)線�,一端連接到AMBA總線上,另一端連接到可信硬 件設(shè)備中的通訊總線上�。可信硬件設(shè)備的重要數(shù)據(jù)信息包括會(huì)話密鑰�、可信硬件設(shè)備的證書、可信硬件設(shè) 備固件�����、工作模式配置信息��、控制策略配置信息��、工作模式配置信息和控制策略配置信息的 完整性參考值����、功能電路工作狀態(tài)參考值�;2)可信硬件設(shè)備硬件結(jié)構(gòu)實(shí)現(xiàn)方法如下基本硬件功能電路以網(wǎng)絡(luò)設(shè)備為例���,選擇10/100/1000自適應(yīng)網(wǎng)絡(luò)IP模塊����。電路工作狀態(tài)檢查點(diǎn)從網(wǎng)絡(luò)IP模塊中�����,各個(gè)單元模塊的輸入輸出接口中���,引出 32位的數(shù)據(jù)線���,用于構(gòu)成監(jiān)測(cè)點(diǎn),主要檢測(cè)流經(jīng)各個(gè)單元模塊的數(shù)據(jù)�����。選用IG的FALSH����,分別用于實(shí)現(xiàn)策略存儲(chǔ)單元、配置存儲(chǔ)單元���、固件存儲(chǔ)單元和保 密數(shù)據(jù)存儲(chǔ)單元�����??偩€接口 包括對(duì)內(nèi)的平臺(tái)總線接口和對(duì)外的外部總線接口兩種����。對(duì)內(nèi)接口采用 的是PCI-E接口,連接到可信計(jì)算平臺(tái)的設(shè)備控制器上�����。對(duì)外接口采用的是RJ45接口�,連 接到其他網(wǎng)絡(luò)設(shè)備上?����?偩€控制器通過可信硬件設(shè)備的內(nèi)部總線��,連接到可信模塊���、平臺(tái)總線接口�、外 部總線接口和基本硬件功能電路,由可信模塊控制總線控制器����,實(shí)現(xiàn)對(duì)平臺(tái)總線接口和外 部總線接口的控制。2.可信硬件設(shè)備出廠前進(jìn)行以下設(shè)置1)可信模塊(TM)向總線控制器發(fā)送禁用信號(hào)�����,斷開第二端口與第三端口���、第二端 口與第四端口之間的信號(hào)線�����,斷開可信硬件設(shè)備與可信計(jì)算平臺(tái)之外的實(shí)體的通訊功能���。2)通過可信模塊(TM)檢查固件存儲(chǔ)單元、配置存儲(chǔ)單元���、策略存儲(chǔ)單元和保密數(shù) 據(jù)存儲(chǔ)單元的可用性和完好性���。3)通過可信模塊(TM)向可信硬件設(shè)備中的保密數(shù)據(jù)存儲(chǔ)單元中載入會(huì)話密鑰, 向策略存儲(chǔ)單元中載入控制策略配置信息,向配置單元中載入工作模式配置信息�,向固件 代碼存儲(chǔ)單元中載入固件代碼。4)通過可信模塊(TM)對(duì)保密數(shù)據(jù)存儲(chǔ)單元中的密鑰和證書����,策略存儲(chǔ)單元中的策略配置信息�����,配置存儲(chǔ)單元中的工作模式配置信息和固件存儲(chǔ)單元中的固件代碼進(jìn)行一 次完整性檢查�。5)可信模塊(TM)通過電路工作狀態(tài)檢查點(diǎn)����,檢查基本硬件功能電路的工作狀態(tài)�����。6)控制策略配置信息和工作模式配置信息都包括動(dòng)態(tài)的配置信息和初始化默認(rèn)
配直^[曰息ο7)初始化默認(rèn)的工作模式配置信息只能用于計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的檢測(cè)�����,以 及計(jì)算平臺(tái)與可信硬件設(shè)備內(nèi)部可信模塊的基本交互�����。8)初始化默認(rèn)的策略控制配置只打開了可信硬件設(shè)備和計(jì)算平臺(tái)之間的通訊總 線接口�����,關(guān)閉了可信硬件設(shè)備與除可信計(jì)算平臺(tái)之外的所有通訊總線接口����。9)動(dòng)態(tài)的工作模式配置信息是通過計(jì)算平臺(tái)的可信平臺(tái)控制模塊驗(yàn)證后下發(fā)的, 用于實(shí)時(shí)更新可信硬件設(shè)備的工作狀態(tài)���。10)動(dòng)態(tài)的控制策略配置信息是通過計(jì)算平臺(tái)的可信平臺(tái)控制模塊產(chǎn)生或者經(jīng)驗(yàn) 證可信后下發(fā)的�����,用于實(shí)時(shí)更新可信硬件設(shè)備對(duì)外的交互權(quán)限����。二�����、可信硬件設(shè)備的使用首先對(duì)可信計(jì)算平臺(tái)與可信硬件設(shè)備之間的通信方式進(jìn)行定義原始數(shù)據(jù)的通信 方式(編號(hào)OxFl)�、公開協(xié)議的通信方式(編號(hào)0xF2)、私有協(xié)議的通信方式(編號(hào)0xF3)����、 數(shù)字簽名的通信方式(編號(hào)0xF4)���、加密的通信方式(編號(hào)0xF5)和數(shù)字簽名且加密的通信 方式(編號(hào)0xF6)。數(shù)字簽名的通信方式(編號(hào)0xF4)時(shí)選用shal算法進(jìn)行完整性度量��,選用RSA 密碼算法對(duì)完整性度量結(jié)果進(jìn)行加解密���。加密的通信方式(編號(hào)0xF5)時(shí)選用ECC或者RSA作為加解密的算法���。數(shù)字簽名且加密的通信方式(編號(hào)0xF6)時(shí)選用Shal算法進(jìn)行完整性度量��,選 用RSA算法對(duì)完整性數(shù)據(jù)進(jìn)行加解密的算法����,選用ECC作為數(shù)據(jù)加解密的算法?����?尚庞布O(shè)備支持的受控命令定義可信硬件設(shè)備的上電初始化與自檢命令(編 號(hào)OxEl)���、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢查命令(編號(hào)0xE2)����、可信計(jì)算平臺(tái)對(duì)可 信硬件設(shè)備的完整性檢查和工作狀態(tài)檢查命令(編號(hào)0xE3)、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè) 備的更新操作命令(編號(hào)0xE4)和刪除更新數(shù)據(jù)的命令(編號(hào)0xE5)�����?�?尚庞布O(shè)備中的固件存儲(chǔ)單元中有初始化默認(rèn)的固件代碼(編號(hào)0χΑ1)和一 個(gè)更新的固件代碼(編號(hào)0xA2)���,用戶提供的初始化默認(rèn)的固件代碼的完整性參考值為 (假設(shè)數(shù)值為=OxFFFF FFFF 1111 0001)����,用戶提供的更新的固件代碼的完整性參考值為 (假設(shè)數(shù)值為OxFFFF FFFF 1111 0002)�����;可信硬件設(shè)備中的策略存儲(chǔ)單元中有初始化默認(rèn)的控制策略配置信息(編號(hào) OxBl)和一個(gè)更新的控制策略配置信息(編號(hào)0xB2)���,用戶提供的初始化默認(rèn)的控制策略 配置信息的完整性參考值為(假設(shè)數(shù)值為0xFFFFFFFF 22220001)�,用戶提供的更新的控 制策略配置信息的完整性參考值為(假設(shè)數(shù)值為=OxFFFF FFFF 2222 0002)��;可信硬件設(shè)備中的配置存儲(chǔ)單元中有初始化默認(rèn)的工作模式配置信息(編號(hào) OxCl)和一個(gè)更新的工作模式配置信息(編號(hào)0xC2)���,用戶提供的初始化默認(rèn)的工作模 式配置信息的完整性參考值為(假設(shè)數(shù)值為0xFFFFFFFF 333 0001)��,用戶提供的更新的 工作模式配置信息的完整性參考值為(假設(shè)數(shù)值為=OxFFFF FFFF 3333 0002)�����,初始化默
17認(rèn)的工作模式配置信息對(duì)應(yīng)的基本硬件功能電路的工作狀態(tài)檢查結(jié)果參考值為(OxFFFF FFFF 6666 0001)�,更新的工作模式配置信息對(duì)應(yīng)的基本硬件功能電路的工作狀態(tài)檢查結(jié) 果參考值為(OxFFFF FFFF 6666 0002);可信硬件設(shè)備中的保密數(shù)據(jù)存儲(chǔ)單元中有初始化默認(rèn)的會(huì)話密鑰(編號(hào)0xDl) 和一個(gè)更新的會(huì)話密鑰(編號(hào)0xD2)用戶提供的初始化默認(rèn)的會(huì)話密鑰的完整性參考值 為(假設(shè)數(shù)值為=OxFFFF FFFF 4444 0001)�����,用戶提供的更新的會(huì)話密鑰的完整性參考值 為(假設(shè)數(shù)值為0xFFFF FFFF 4444 0002)��;可信硬件設(shè)備中的保密數(shù)據(jù)存儲(chǔ)單元中可信硬件設(shè)備的證書的完整性參考值為 (假設(shè)數(shù)值為OxFFFF FFFF 5555 0001)�����;可信硬件設(shè)備的切換信號(hào)包括固件代碼切換信號(hào)(編號(hào)0x91)��、控制策略切換信 號(hào)(編號(hào)0x92)����、工作模式切換信號(hào)(編號(hào)0x93)和會(huì)話密鑰切換信號(hào)(編號(hào)0x94)��;1、可信硬件設(shè)備上電初始化與自檢可信硬件設(shè)備上電工作時(shí)����,初始化與自檢流程如下1)可信硬件設(shè)備上電,可信模塊進(jìn)行初始化��,然后可信模塊對(duì)可信硬件設(shè)備的固 件存儲(chǔ)單元中的初始化默認(rèn)的固件代碼��、策略存儲(chǔ)單元中的初始化默認(rèn)的控制策略配置信 息�����、配置存儲(chǔ)單元中的初始化默認(rèn)的工作模式配置信息和保密數(shù)據(jù)存儲(chǔ)單元中的可信硬件 設(shè)備的證書與初始化默認(rèn)的會(huì)話密鑰��,進(jìn)行完整性檢查�����,得出初始化默認(rèn)的固件代碼的完 整性度量結(jié)果(OxFFFF FFFF1111 0001)�、初始化默認(rèn)的控制策略配置信息的完整性度量結(jié) 果(OxFFFF FFFF2222 0001)、初始化默認(rèn)的工作模式配置信息的完整性度量結(jié)果(OxFFFF FFFF3333 0001)��、可信硬件設(shè)備的證書的完整性度量結(jié)果(OxFFFF FFFF 5555 0001)與初 始化默認(rèn)的會(huì)話密鑰的完整性度量結(jié)果(OxFFFF FFFF 4444 0001)�。并將完整性度量結(jié)果 存儲(chǔ)在可信模塊的非易失性存儲(chǔ)單元;2)可信模塊根據(jù)初始化默認(rèn)的控制策略配置信息(編號(hào)0χΒ1)����,配置總線控制 器����,并設(shè)置總線控制器的第二端口�、第三端口和第四端口為斷開的狀態(tài)。3)可信模塊通過總線控制器��,向基本硬件功能電路發(fā)送初始化命令��,然后基本硬 件功能電路根據(jù)初始化默認(rèn)的工作模式配置信息(編號(hào)0xCl)���,進(jìn)行初始化��;2����、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢查4)可信計(jì)算平臺(tái)通過可信硬件設(shè)備的平臺(tái)總線接口�����,向可信硬件設(shè)備發(fā)送交互請(qǐng) 求信號(hào)0x01 (16進(jìn)制數(shù))���;5)當(dāng)可信硬件設(shè)備收到交互請(qǐng)求信號(hào)0x01后���,立即向可信計(jì)算平臺(tái)發(fā)送確認(rèn)信 號(hào) 0x02 ;6)可信計(jì)算平臺(tái)收到確認(rèn)信號(hào)0x02后�,立即向可信硬件設(shè)備發(fā)送身份檢查命令 (0xE2)和返回信息的通信方式(0xF4);7)可信硬件設(shè)備的可信模塊���,接收到身份檢查命令(0xE2)和返回信息的通信方 式(0xF4)后�����,按照返回信息的傳輸方式(0xF4)要求����,立即將可信硬件設(shè)備的證書發(fā)送給可 信計(jì)算平臺(tái)���;8)可信計(jì)算平臺(tái)將可信硬件設(shè)備的證書與訪問者提供的可信硬件設(shè)備的證書進(jìn)行比 較����,判斷出可信硬件設(shè)備的身份是合法的���,認(rèn)定可信硬件設(shè)備中存在一個(gè)合法的可信模塊��;完成上述第1)步驟到第8)步驟的操作后�����,可以計(jì)算平臺(tái)可以接收訪問者發(fā)送的對(duì)可信硬件設(shè)備的完整性檢查和工作狀態(tài)檢查的命令�����。3�����、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的完整性檢查和工作狀態(tài)檢查9)可信計(jì)算平臺(tái)向可信硬件設(shè)備發(fā)送完整性檢查和工作狀態(tài)檢查的命令 (0xE3)���,以及返回信息的通信方式(編號(hào)0xF6)����;10)可信硬件設(shè)備的可信模塊接收到檢查命令(0xE3)后�����,通過可信硬件設(shè)備的電 路工作狀態(tài)檢查點(diǎn)���,檢查基本硬件功能電路當(dāng)前的工作狀態(tài),得到結(jié)果(OxFFFF FFFF 6666 0001)�����;通過總線控制器和密碼算法引擎對(duì)固件存儲(chǔ)單元中所有的固件代碼(編號(hào)OxAl和 編號(hào)0xA2)、策略存儲(chǔ)單元中現(xiàn)有的策略配置信息(編號(hào)OxBl和編號(hào)0xB2)����、配置存儲(chǔ)單 元中所有的工作模式配置信息(編號(hào)OxCl和編號(hào)0xC2),以及保密數(shù)據(jù)存儲(chǔ)單元中所有 的會(huì)話密鑰(編號(hào)OxDl和編號(hào)0xD2)和可信硬件設(shè)備的證書�����,進(jìn)行完整性度量���;將完整 性度量結(jié)果(OxFFFF FFFF 1111 0001��、OxFFFF FFFF 1111 0002����、OxFFFF FFFF 22220001�����、 OxFFFF FFFF 2222 0002���、OxFFFF FFFF 3333 0001�、OxFFFF FFFF 33330002、OxFFFF FFFF 4444 000UOxFFFF FFFF 4444 0002,OxFFFF FFFF 55550001)存儲(chǔ)在可信模塊的非易失性 存儲(chǔ)單元����;按照返回信息的通信方式的要求(編號(hào)0xF6)��,將完整性度量結(jié)果和工作狀態(tài)檢 查結(jié)果發(fā)送給可信計(jì)算平臺(tái)��;11)當(dāng)可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的完整性檢查和工作狀態(tài)檢查通過后,可信 硬件設(shè)備被認(rèn)為是可以被信賴的硬件設(shè)備�����,至此���,可信計(jì)算平臺(tái)可以正常的使用該可信硬 件設(shè)備�����;4���、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的更新操作下發(fā)更新數(shù)據(jù)的操作方法12)約定可信計(jì)算平臺(tái)與可信硬件設(shè)備之間的通信方式(編號(hào)0xF6)����;13)可信計(jì)算平臺(tái)通過約定的通信方式(編號(hào)0xF6),向可信硬件設(shè)備發(fā)送更新命 令�;14)可信硬件設(shè)備收到更新命令(編號(hào)0xE4)后�����,通過約定的通信方式(編號(hào) 0xF6)�����,向可信計(jì)算平臺(tái)發(fā)送反饋信號(hào)(0x06);15)當(dāng)可信計(jì)算平臺(tái)收到反饋信號(hào)后(0x06)���,通過約定的通信方式(編號(hào)0xF6)�, 向可信硬件設(shè)備的可信模塊下發(fā)更新數(shù)據(jù)和更新數(shù)據(jù)的編號(hào)�����;更新數(shù)據(jù)包括固件代碼 (編號(hào)0xA3,對(duì)應(yīng)的完整性參考值為OxFFFF FFFF 11110003)、控制策略配置信息(編號(hào) 0xB3�����,對(duì)應(yīng)的完整性參考值為OxFFFF FFFF22220003)���、工作模式配置信息(編號(hào)0xC3,對(duì)應(yīng) 的完整性參考值為OxFFFFFFFF 3333 0003)�����、和會(huì)話密鑰(編號(hào)0xD3��,對(duì)應(yīng)的完整性參考值 為 OxFFFF FFFF4444 0003)�;16)可信硬件設(shè)備的可信模塊將收到的更新數(shù)據(jù)和更新數(shù)據(jù)的編號(hào)�����,分別存儲(chǔ) 在固件存儲(chǔ)單元�����、配置存儲(chǔ)單元��、策略存儲(chǔ)單元和保密數(shù)據(jù)存儲(chǔ)單元�,并立即通過約定的 通信方式(0xF6),向可信計(jì)算平臺(tái)發(fā)送確認(rèn)信號(hào)(0x07)��,否則發(fā)送重發(fā)更新數(shù)據(jù)的請(qǐng)求 (0x08)�����;發(fā)送切換信號(hào)的操作方法;17)可信計(jì)算平臺(tái)收到確認(rèn)信號(hào)后(0x07)�����,通過約定的通信方式(0xF6)��,向可信 硬件設(shè)備發(fā)送切換信號(hào)(0x91���、0x92����、0x93或0x94)和更新數(shù)據(jù)的編號(hào)(0xA3���、0xB3�、0xC3或 0xD3)�����,并等待可信硬件設(shè)備的確認(rèn)信號(hào)(OxOA)����;
18)可信硬件設(shè)備的可信模塊收到切換信號(hào)和更新數(shù)據(jù)的編號(hào)后�,立即通過約定 的通信方式(0xF6)��,向可信計(jì)算平臺(tái)發(fā)送確認(rèn)信號(hào)(OxOB)�����;否則���,立即通過約定的通信方 式(0xF6)�����,向可信計(jì)算平臺(tái)發(fā)送重發(fā)切換信號(hào)和更新數(shù)據(jù)的編號(hào)的請(qǐng)求(OxOC);19)可信計(jì)算平臺(tái)收到確認(rèn)信號(hào)(OxOB)后�����,立即向訪問者發(fā)送按動(dòng)可信硬件設(shè)備 的更新按鈕的提示信號(hào)(每秒閃爍一次的指示燈信號(hào))����;20)當(dāng)訪問者按下可信硬件設(shè)備的更新按鈕后,可信硬件設(shè)備的可信模塊立即對(duì) 總線控制器進(jìn)行控制策略切換操作��,并命令可信硬件設(shè)備的基本功能電路執(zhí)行固件代碼切 換和工作模式切換�;切換操作執(zhí)行后��,可信硬件設(shè)備通過約定的通信方式�����,向可信計(jì)算平臺(tái) 發(fā)送確認(rèn)信號(hào)(OxOD)�����;21)如果訪問者在規(guī)定的時(shí)間內(nèi)�,沒有按動(dòng)可信硬件設(shè)備的更新按鈕�����,則可信計(jì)算 平臺(tái)取消此次更新操作�,并通過操作系統(tǒng)或者指示燈通知訪問者;刪除更新數(shù)據(jù)的操作方法22)如果可信計(jì)算平臺(tái)要?jiǎng)h除可信硬件設(shè)備中不再使用的更新數(shù)據(jù)中的固件代碼 (編號(hào)0xA2)���,則通過約定的通信方式(0xF6)�����,向可信硬件設(shè)備發(fā)送刪除更新數(shù)據(jù)的命令 (編號(hào)0xE5)和更新數(shù)據(jù)的編號(hào)0xA2 ����;23)可信硬件設(shè)備收到刪除更新數(shù)據(jù)的命令(0xE5)和更新數(shù)據(jù)的編號(hào)(0xA2)后, 由可信模塊檢查更新編號(hào)(0xA2)對(duì)應(yīng)的更新數(shù)據(jù)是否正在使用���;此時(shí)更新數(shù)據(jù)0xA2沒有 使用�,則刪除固件存儲(chǔ)單元中更新數(shù)據(jù)編號(hào)為0xA2對(duì)應(yīng)的更新數(shù)據(jù)�����;24)刪除更新數(shù)據(jù)的操作結(jié)束后���,可信硬件設(shè)備通過約定的通信方式(編號(hào)0xF6) 向可信計(jì)算平臺(tái)發(fā)送確認(rèn)信號(hào)(OxOE)�����;25)至此,操作結(jié)束�����。
權(quán)利要求
可信硬件設(shè)備���,包括基本硬件功能電路����,其特征在于進(jìn)一步包括電路工作狀態(tài)檢查點(diǎn)、可信模塊�、策略存儲(chǔ)單元、配置存儲(chǔ)單元����、固件存儲(chǔ)單元、保密數(shù)據(jù)存儲(chǔ)單元����、平臺(tái)總線接口、外部總線接口�、總線控制器、恢復(fù)默認(rèn)值按鈕和更新按鈕�����;電路工作狀態(tài)檢查點(diǎn)��,嵌入到基本硬件功能電路���,通過信號(hào)線連接到可信模塊���,檢查基本硬件功能電路的關(guān)鍵模塊的輸入輸出信號(hào);可信硬件設(shè)備的總線控制器,至少包括4個(gè)端口����,分別是第一端口、第二端口�����、第三端口和第四端口���,第一端口連接平臺(tái)總線接口�����,第二端口通過連接到外部總線接口��,第三端口通過連接到可信模塊��,第四端口通過連接到基本硬件功能電路�����、固件存儲(chǔ)單元、配置存儲(chǔ)單元��、策略存儲(chǔ)單元和保密數(shù)據(jù)存儲(chǔ)單元;可信模塊����,分別連接電路工作狀態(tài)檢查點(diǎn)、恢復(fù)默認(rèn)值按鈕���、更新按鈕和總線控制器的第三端口���;恢復(fù)默認(rèn)值按鈕和更新按鈕,連接到可信硬件設(shè)備內(nèi)部的可信模塊����;總線控制器通過第一端口,連接到平臺(tái)總線接口��,然后連接到可信硬件設(shè)備之外的可信計(jì)算平臺(tái)��;可信計(jì)算平臺(tái)�����,是可信個(gè)人計(jì)算機(jī)���、可信服務(wù)器�、可信終端、可信嵌入式設(shè)備或可信網(wǎng)絡(luò)設(shè)備�����;總線控制器通過第二端口����,連接到外部總線接口,然后連接到硬件設(shè)備���;總線控制器通過第四端口��,連接到策略存儲(chǔ)單元�、配置存儲(chǔ)單元�����、固件存儲(chǔ)單元�、保密數(shù)據(jù)存儲(chǔ)單元和基本硬件功能電路;所述的策略存儲(chǔ)單元�����、配置存儲(chǔ)單元����、固件存儲(chǔ)單元、保密數(shù)據(jù)存儲(chǔ)單元和基本硬件功能電路之間相互連接��;可信模塊通過總線控制器的第三端口�����,從總線控制器內(nèi)部連接到第四端口�,再連接到策略存儲(chǔ)單元、配置存儲(chǔ)單元�、固件存儲(chǔ)單元、保密數(shù)據(jù)存儲(chǔ)單元和基本硬件功能電路���;可信模塊通過總線控制器的第三端口����,從總線控制器內(nèi)連接到第一端口����,再連接到平臺(tái)總線接口,最終連接到可信計(jì)算平臺(tái)��;可信模塊通過第三端口�,向總線控制器發(fā)送控制信號(hào)��,控制第一端口與第四端口之間的連通和斷開��、控制第二端口與第四端口之間的連通和斷開�、控制第二端口與第三端口之間的連通和斷開���,第一端口與第三端口之間始終連通�����;總線控制器過濾來(lái)自可信硬件設(shè)備之外的��,針對(duì)策略存儲(chǔ)單元����、配置存儲(chǔ)單元�����、固件存儲(chǔ)單元��、保密數(shù)據(jù)存儲(chǔ)單元的讀寫操作����;可信硬件設(shè)備的可信模塊包括以下硬件單元執(zhí)行引擎用于執(zhí)行固件�����,實(shí)現(xiàn)對(duì)可信模塊內(nèi)部的各個(gè)硬件單元的操作;密碼算法引擎是加解密功能的硬件單元���,用于建立可信硬件設(shè)備和可信計(jì)算平臺(tái)之間的加密通道�����,產(chǎn)生的密鑰存儲(chǔ)在可信模塊的非易失性存儲(chǔ)單元和可信硬件設(shè)備的保密數(shù)據(jù)存儲(chǔ)單元中�;接口用于連接恢復(fù)默認(rèn)值按鈕�����、更新按鈕�、總線控制器的第三端口、電路功能狀態(tài)檢查點(diǎn)�、策略存儲(chǔ)單元、配置存儲(chǔ)單元����、固件存儲(chǔ)單元和保密數(shù)據(jù)存儲(chǔ)單元;非易失性存儲(chǔ)單元用于可信模塊存儲(chǔ)會(huì)話密鑰����、可信硬件設(shè)備的證書和完整性度量結(jié)果�����,具有掉電不丟失的特性����;易失性存儲(chǔ)單元用于為可信模塊的執(zhí)行引擎��,提供存儲(chǔ)運(yùn)算數(shù)據(jù)的臨時(shí)性存儲(chǔ)單元��。
2.根據(jù)權(quán)利要求1所述的可信硬件設(shè)備的使用方法��,其特征在于���,可信硬件設(shè)備連接 到可信計(jì)算平臺(tái)時(shí)��,以及每次可信計(jì)算平臺(tái)上電啟動(dòng)時(shí)�,所有連接在可信計(jì)算平臺(tái)的可信 硬件設(shè)備����,首先進(jìn)行初始化和自檢操作,然后可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備進(jìn)行身份檢查����; 通過身份檢查后���,可信硬件設(shè)備才能在可信計(jì)算平臺(tái)上正常使用,禁止訪問者對(duì)沒有通過 身份檢查的可信硬件設(shè)備進(jìn)行訪問���;可信計(jì)算平臺(tái)根據(jù)輸入輸出系統(tǒng)、訪問者��、操作系統(tǒng)或應(yīng)用程序的請(qǐng)求����,對(duì)可信硬件設(shè) 備進(jìn)行完整性檢查、工作狀態(tài)檢查和更新操作��;可信計(jì)算平臺(tái)與可信硬件設(shè)備之間進(jìn)行通信時(shí)�,需要先選擇通信方式;通信方式包括 普通的數(shù)據(jù)通信方式�、公開協(xié)議的數(shù)據(jù)通信方式、私有協(xié)議的數(shù)據(jù)通信方式�����、數(shù)字簽名的數(shù) 據(jù)通信方式�、加密的數(shù)據(jù)通信方式和數(shù)字簽名且加密數(shù)據(jù)通信方式�; 具體步驟如下A�、可信硬件設(shè)備的初始化與自檢A. 1可信硬件設(shè)備上電時(shí),可信模塊首先進(jìn)行初始化����,然后可信模塊對(duì)可信硬件設(shè)備進(jìn) 行完整性檢查,檢查內(nèi)容包括固件存儲(chǔ)單元中的初始化默認(rèn)的固件代碼��、策略存儲(chǔ)單元中 的初始化默認(rèn)的控制策略配置信息���、配置存儲(chǔ)單元中的初始化默認(rèn)的工作模式配置信息和 保密數(shù)據(jù)存儲(chǔ)單元中的可信硬件設(shè)備的證書與初始化默認(rèn)的會(huì)話密鑰����,并將完整性度量結(jié) 果存儲(chǔ)在可信模塊的非易失性存儲(chǔ)單元��;A. 2可信模塊對(duì)可信硬件設(shè)備的完整性檢查結(jié)束后���,可信模塊根據(jù)初始化默認(rèn)的控制 策略配置信息��,配置總線控制器�����,并斷開總線控制器的第二端口�����、第三端口和第四端口的開 關(guān)��;A.3可信模塊對(duì)可信硬件設(shè)備的總線控制器配置完成后����,可信模塊通過總線控制器,向 基本硬件功能電路發(fā)送初始化信號(hào)�,基本硬件功能電路根據(jù)初始化默認(rèn)的工作模式配置信 息,開始進(jìn)行初始化�;B�、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢查B. 1可信硬件設(shè)備的初始化與自檢結(jié)束之后,可信計(jì)算平臺(tái)通過可信硬件設(shè)備的平臺(tái) 總線接口���,向可信硬件設(shè)備發(fā)送交互請(qǐng)求信號(hào)����;B. 2當(dāng)可信硬件設(shè)備收到交互請(qǐng)求信號(hào)后����,立即向可信計(jì)算平臺(tái)發(fā)送確認(rèn)信號(hào);否則, 不發(fā)送確認(rèn)信號(hào)�;B. 3可信計(jì)算平臺(tái)收到確認(rèn)信號(hào)后,立即向可信硬件設(shè)備發(fā)送身份檢查命令和返回信 息的通信方式�����;如果可信計(jì)算平臺(tái)沒有收到確認(rèn)信號(hào)�����,則再次向向可信硬件設(shè)備發(fā)送交互 請(qǐng)求信號(hào)����,如果仍然沒有收到可信硬件設(shè)備發(fā)送的確認(rèn)信號(hào),則終止當(dāng)前正在進(jìn)行的可信 計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢查操作���,禁止訪問者對(duì)該可信硬件設(shè)備的訪問操作����,并 向訪問者發(fā)送報(bào)警信號(hào)���,等待訪問者對(duì)該可信硬件設(shè)備的檢查或更換����;B. 4當(dāng)可信硬件設(shè)備的可信模塊,接收到可信計(jì)算平臺(tái)發(fā)送的身份檢查命令和返回信 息的通信方式后����,按照返回信息的傳輸方式要求,立即將可信硬件設(shè)備的證書發(fā)送給可信 計(jì)算平臺(tái)���;如果可信硬件設(shè)備的可信模塊���,沒有接收到可信計(jì)算平臺(tái)發(fā)送的身份檢查命令 和返回信息的通信方式,則可信硬件設(shè)備的可信模塊再次向可信計(jì)算平臺(tái)發(fā)送確認(rèn)信號(hào)����, 如果仍然沒有收到可信計(jì)算平臺(tái)發(fā)送的身份檢查命令和返回信息的通信方式,則可信硬件 設(shè)備終止當(dāng)前正在進(jìn)行的身份檢查操作�;B.5可信計(jì)算平臺(tái)將可信硬件設(shè)備的證書與訪問者提供的可信硬件設(shè)備的證書進(jìn)行比 較,判斷可信硬件設(shè)備的身份合法性�����;如果可信硬件設(shè)備身份合法����,則認(rèn)定可信硬件設(shè)備中 存在一個(gè)合法的可信模塊���;否則認(rèn)為該可信硬件設(shè)備沒有通過身份檢查�����,可信計(jì)算平臺(tái)禁 止對(duì)該可信硬件設(shè)備進(jìn)行除了初始化與自檢和身份檢查之外的任何訪問操作����;C、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的完整性檢查和工作狀態(tài)檢查C. 1當(dāng)可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢查通過后��,可信計(jì)算平臺(tái)向可信硬件設(shè) 備發(fā)送完整性檢查和工作狀態(tài)檢查的命令��,以及一個(gè)不重復(fù)的隨機(jī)數(shù)和返回信息的通信方 式��;如果可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢查沒有通過��,則可信計(jì)算平臺(tái)不對(duì)可信硬 件設(shè)備進(jìn)行完整性檢查和工作狀態(tài)檢查操作�����;C. 2可信硬件設(shè)備的可信模塊接收到完整性檢查和工作狀態(tài)檢查命令后�,進(jìn)行以下操 作通過可信硬件設(shè)備的電路工作狀態(tài)檢查點(diǎn),檢查基本硬件功能電路當(dāng)前的工作狀態(tài)��; 通過總線控制器和密碼算法引擎對(duì)策略存儲(chǔ)單元中所有的策略配置信息�、配置存儲(chǔ)單元中 所有的工作模式配置信息�、固件存儲(chǔ)單元中所有的固件代碼���,以及保密數(shù)據(jù)存儲(chǔ)單元中所 有的會(huì)話密鑰和可信硬件設(shè)備的證書��,進(jìn)行完整性度量�����;將完整性度量結(jié)果存儲(chǔ)在可信模 塊的非易失性存儲(chǔ)單元��;對(duì)可信計(jì)算平臺(tái)發(fā)送的隨機(jī)數(shù)進(jìn)行加1操作�;按照返回信息的通 信方式的要求���,將完整性度量結(jié)果�、工作狀態(tài)檢查結(jié)果和加1后的隨機(jī)數(shù)發(fā)送給可信計(jì)算 平臺(tái)�;如果可信硬件設(shè)備的可信模塊沒有接收到完整性檢查和工作狀態(tài)檢查命令,則不進(jìn) 行任何操作����;C. 3當(dāng)可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的完整性檢查���、工作狀態(tài)檢查和隨機(jī)數(shù)加1操作 的檢查通過后��,可信硬件設(shè)備被認(rèn)為是可以被信賴的硬件設(shè)備�����,至此��,可信計(jì)算平臺(tái)可以正 常的使用該可信硬件設(shè)備�����;反之����,如果可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的工作狀態(tài)檢查、完整 性檢查和隨機(jī)數(shù)加1操作的檢查中����,任何一個(gè)檢查沒有通過,則可信計(jì)算平臺(tái)對(duì)可信硬件 設(shè)備的完整性檢查和工作狀態(tài)檢查立即終止��,可信計(jì)算平臺(tái)禁止使用該可信硬件設(shè)備�,并 向訪問者發(fā)送可信硬件設(shè)備檢查失敗的警告,等待訪問者對(duì)該可信硬件設(shè)備進(jìn)行檢查�、恢 復(fù)或更換;C. 4當(dāng)訪問者收到檢查失敗的警告后��,必須手動(dòng)按下可信硬件設(shè)備的恢復(fù)默認(rèn)值按鈕, 將可信硬件設(shè)備強(qiáng)制恢復(fù)到的初始化默認(rèn)狀態(tài)����,然后可信硬件設(shè)備重新執(zhí)行初始化與自 檢,并由可信計(jì)算平臺(tái)再次對(duì)可信硬件設(shè)備進(jìn)行身份檢查���、完整性檢查和工作狀態(tài)的檢查�; 如果問者沒有收到檢查失敗的警告����,則可信計(jì)算平臺(tái)繼續(xù)執(zhí)行對(duì)可信硬件設(shè)備的完整性檢 查和工作狀態(tài)檢查;C.5如果訪問者強(qiáng)制可信硬件設(shè)備恢復(fù)到初始化默認(rèn)狀態(tài)之后���,仍然不能通過可信計(jì) 算平臺(tái)對(duì)該可信硬件設(shè)備的完整性檢查和工作狀態(tài)檢查��,則可信計(jì)算平臺(tái)禁止用戶繼續(xù)使 用該可信硬件設(shè)備����,并向用戶發(fā)出警告信號(hào)��,由用戶對(duì)該可信硬件設(shè)備進(jìn)行更換���;更換后的 可信硬件設(shè)備��,需要重新進(jìn)行初始化與自檢�����、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢查�����,以 及可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備進(jìn)行的完整性檢查和工作狀態(tài)檢查����;D�����、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的更新操作下發(fā)更新數(shù)據(jù)的操作方法D. 1當(dāng)可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備進(jìn)行固件代碼����、工作模式配置信息、控制策略配置 信息或會(huì)話密鑰的更新時(shí)�����,需要先約定可信計(jì)算平臺(tái)與可信硬件設(shè)備之間的通信方式�;D. 2可信計(jì)算平臺(tái)通過約定的通信方式�����,向可信硬件設(shè)備發(fā)送更新命令��; D. 3可信硬件設(shè)備收到更新命令后���,通過約定的通信方式,向可信計(jì)算平臺(tái)發(fā)送反饋信 號(hào)���;如果可信硬件設(shè)備沒有收到更新命令�,則可信硬件設(shè)備不向可信計(jì)算平臺(tái)發(fā)送任何信 號(hào)��;D. 4當(dāng)可信計(jì)算平臺(tái)收到反饋信號(hào)后���,通過約定的通信方式����,向可信硬件設(shè)備的可信模 塊下發(fā)更新數(shù)據(jù)和更新數(shù)據(jù)的編號(hào)����;更新數(shù)據(jù)包括固件代碼、工作模式配置信息、控制策 略配置信息或會(huì)話密鑰�;如果可信計(jì)算平臺(tái)沒有收到反饋信號(hào),則可信計(jì)算平臺(tái)重新向可 信硬件設(shè)備發(fā)送更新命令��;如果仍然無(wú)法接收到可信硬件設(shè)備的反饋信號(hào)�,則可信計(jì)算平 臺(tái)停止此次對(duì)可信硬件設(shè)備的更新操作����,并通知訪問者,由訪問者檢查��、恢復(fù)或者更換該可 信硬件設(shè)備���;當(dāng)用戶對(duì)可信硬件設(shè)備進(jìn)行強(qiáng)制恢復(fù)或者更換后����,需要重新執(zhí)行可信硬件設(shè) 備的初始化與自檢�、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢查,以及可信計(jì)算平臺(tái)對(duì)可信 硬件設(shè)備的完整性檢查和工作狀態(tài)檢查����,并且在上述檢查通過后,才可以執(zhí)行可信計(jì)算平 臺(tái)對(duì)可信硬件設(shè)備的更新操作���;如果更換的設(shè)備仍然無(wú)法使用���,要么繼續(xù)更換新的可信硬 件設(shè)備�����,要么不再使用該類型的可信硬件設(shè)備�;D. 5可信硬件設(shè)備的可信模塊將收到的更新數(shù)據(jù)和更新數(shù)據(jù)的編號(hào)�,分別存儲(chǔ)在固件 存儲(chǔ)單元、配置存儲(chǔ)單元���、策略存儲(chǔ)單元和保密數(shù)據(jù)存儲(chǔ)單元����,并立即通過約定的通信方 式���,向可信計(jì)算平臺(tái)發(fā)送確認(rèn)信號(hào)��;如果可信硬件設(shè)備的可信模塊沒有收到更新數(shù)據(jù)和更 新數(shù)據(jù)的編號(hào)����,則可信硬件設(shè)備的可信模塊向可信計(jì)算平臺(tái)發(fā)送重發(fā)更新數(shù)據(jù)的請(qǐng)求����;如 果重新發(fā)送請(qǐng)求后�,可信硬件設(shè)備的可信模塊仍然不能收到可信計(jì)算平臺(tái)發(fā)送的更新數(shù)據(jù) 和更新數(shù)據(jù)的編號(hào)��,則可信硬件設(shè)備終止此次更新操作���; 發(fā)送切換信號(hào)的操作方法D. 6可信計(jì)算平臺(tái)收到確認(rèn)信號(hào)后�,通過約定的通信方式���,向可信硬件設(shè)備發(fā)送切換 信號(hào)和更新數(shù)據(jù)的編號(hào),并等待可信硬件設(shè)備的確認(rèn)信號(hào)�����;切換信號(hào)包括固件代碼切換 信號(hào)���、工作模式切換信號(hào)����、控制策略切換信號(hào)和會(huì)話密鑰切換信號(hào)����;如果可信計(jì)算平臺(tái)沒有 收到可信硬件設(shè)備發(fā)送的確認(rèn)信號(hào)�����,則可信計(jì)算平臺(tái)重新向可信硬件設(shè)備發(fā)送切換信號(hào)和 更新數(shù)據(jù)的編號(hào)�����;如果仍然無(wú)法接收到可信硬件設(shè)備的反饋信號(hào)��,則可信計(jì)算平臺(tái)停止此 次對(duì)可信硬件設(shè)備的更新操作�,并通知訪問者���,由訪問者檢查��、恢復(fù)或者更換該可信硬件設(shè) 備�����;當(dāng)用戶對(duì)可信硬件設(shè)備進(jìn)行強(qiáng)制恢復(fù)或者更換后��,需要重新執(zhí)行可信硬件設(shè)備的初始 化與自檢���、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢查,以及可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備 的完整性檢查和工作狀態(tài)檢查����,并且在上述檢查通過后���,才可以執(zhí)行可信計(jì)算平臺(tái)對(duì)可信 硬件設(shè)備的更新操作;如果更換的設(shè)備仍然無(wú)法使用���,要么繼續(xù)更換新的可信硬件設(shè)備�,要 么不再使用該類型的可信硬件設(shè)備����;D. 7可信硬件設(shè)備的可信模塊收到切換信號(hào)和更新數(shù)據(jù)的編號(hào)后,立即通過約定的通 信方式��,向可信計(jì)算平臺(tái)發(fā)送確認(rèn)信號(hào)���;否則,可信硬件設(shè)備立即通過約定的通信方式�,向 可信計(jì)算平臺(tái)發(fā)送重發(fā)切換信號(hào)和更新數(shù)據(jù)的編號(hào)的請(qǐng)求;如果可信硬件設(shè)備的可信模塊 仍然無(wú)法收到切換信號(hào)和更新數(shù)據(jù)的編號(hào)��,則可信硬件設(shè)備終止可信計(jì)算平臺(tái)對(duì)可信硬件 設(shè)備的更新操作�;D. 8可信計(jì)算平臺(tái)收到確認(rèn)信號(hào)后,立即向訪問者發(fā)送按動(dòng)可信硬件設(shè)備的更新按鈕 的提示信號(hào)��;如果可信計(jì)算平臺(tái)沒有收到可信硬件設(shè)備發(fā)送的確認(rèn)信號(hào),則可信計(jì)算平臺(tái)重新向可信硬件設(shè)備發(fā)送切換信號(hào)和更新數(shù)據(jù)的編號(hào)�;如果仍然無(wú)法接收到可信硬件設(shè)備 的反饋信號(hào),則可信計(jì)算平臺(tái)停止此次對(duì)可信硬件設(shè)備的更新操作����,并通知訪問者,由訪問 者檢查����、恢復(fù)或者更換該可信硬件設(shè)備;當(dāng)用戶對(duì)可信硬件設(shè)備進(jìn)行強(qiáng)制恢復(fù)或者更換后����, 需要重新執(zhí)行可信硬件設(shè)備的初始化與自檢、可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的身份檢查��, 以及可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的完整性檢查和工作狀態(tài)檢查����,并且在上述檢查通過 后,才可以執(zhí)行可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備的更新操作�����;如果更換的設(shè)備仍然無(wú)法使用�, 要么繼續(xù)更換新的可信硬件設(shè)備��,要么不再使用該類型的可信硬件設(shè)備���;D. 9當(dāng)訪問者按下可信硬件設(shè)備的更新按鈕后,可信硬件設(shè)備的可信模塊立即對(duì)總線 控制器進(jìn)行控制策略切換操作���,并命令可信硬件設(shè)備的基本功能電路執(zhí)行固件代碼切換和 工作模式切換�;切換操作執(zhí)行后�,可信硬件設(shè)備通過約定的通信方式,向可信計(jì)算平臺(tái)發(fā)送 確認(rèn)信號(hào)��;如果訪問者在可信計(jì)算平臺(tái)規(guī)定的時(shí)間內(nèi)��,沒有按動(dòng)可信硬件設(shè)備的更新按鈕����, 則可信計(jì)算平臺(tái)取消此次更新操作���,并通過操作系統(tǒng)通知訪問者���; 刪除更新數(shù)據(jù)的操作方法D. 11如果可信計(jì)算平臺(tái)需要?jiǎng)h除可信硬件設(shè)備中不再使用的更新數(shù)據(jù),則通過約定的 通信方式�,向可信硬件設(shè)備發(fā)送刪除更新數(shù)據(jù)的命令和更新數(shù)據(jù)的編號(hào)����;D. 12可信硬件設(shè)備根據(jù)刪除更新數(shù)據(jù)的命令和更新數(shù)據(jù)的編號(hào)�����,由可信模塊檢查更新 數(shù)據(jù)的編號(hào)對(duì)應(yīng)的更新數(shù)據(jù)是否正在使用����;如果不使用,則刪除固件存儲(chǔ)單元��、配置存儲(chǔ)單 元�、策略存儲(chǔ)單元和保密數(shù)據(jù)存儲(chǔ)單元中與更新數(shù)據(jù)編號(hào)對(duì)應(yīng)的更新數(shù)據(jù),并向可信計(jì)算 平臺(tái)發(fā)送刪除成功的返回信號(hào)���;如果更新數(shù)據(jù)的編號(hào)對(duì)應(yīng)的數(shù)據(jù)不存在或者正在使用��,則 取消此次刪除操作�,并向可信計(jì)算平臺(tái)發(fā)送刪除數(shù)據(jù)不存在或者正在使用的返回信號(hào)����;D. 13當(dāng)可信計(jì)算平臺(tái)收到可信硬件設(shè)備發(fā)送的刪除更新數(shù)據(jù)成功的返回信號(hào)后,結(jié)束 對(duì)可信硬件設(shè)備的數(shù)據(jù)更新操作;當(dāng)可信計(jì)算平臺(tái)收到可信硬件設(shè)備發(fā)送的刪除數(shù)據(jù)不存 在或者正在使用的返回信號(hào)后�����,可信計(jì)算平臺(tái)對(duì)可信硬件設(shè)備進(jìn)行的刪除更新數(shù)據(jù)的操作 結(jié)束��。
全文摘要
一種可信硬件設(shè)備及其使用方法屬于可信計(jì)算領(lǐng)域�。可信硬件設(shè)備中具有控制功能的可信模塊��,負(fù)責(zé)對(duì)可信硬件設(shè)備進(jìn)行工作狀態(tài)檢查和完整性檢查�����。檢查內(nèi)容包括但不限于基本硬件功能電路的固件代碼���、工作模式配置信息����、控制策略配置信息�����、會(huì)話密鑰�、設(shè)備證書、基于可信交互的受控功能和基本硬件功能電路的工作狀態(tài)等��?����?尚拍K可以驗(yàn)證可信計(jì)算平臺(tái)數(shù)字簽名或者加密的包括固件代碼����、工作模式配置信息、控制策略配置信息�、會(huì)話密鑰和設(shè)備證書的數(shù)據(jù)包,將驗(yàn)證后的數(shù)據(jù)包存儲(chǔ)于可信硬件設(shè)備的固件存儲(chǔ)單元���、配置存儲(chǔ)單元��、策略存儲(chǔ)單元和保密數(shù)據(jù)存儲(chǔ)單元中�。本發(fā)明為可信計(jì)算平臺(tái)提供一個(gè)判斷硬件設(shè)備可信性和可信度的判斷手段�。
文檔編號(hào)G06F13/38GK101901318SQ20101023751
公開日2010年12月1日 申請(qǐng)日期2010年7月23日 優(yōu)先權(quán)日2010年7月23日
發(fā)明者劉毅, 毛軍捷, 沈昌祥, 胡俊 申請(qǐng)人:北京工業(yè)大學(xué)