专利名称:一种传统计算机升级为可信计算机的方法
技术领域:
本发明涉及信息安全技术领域,特别是一种传统计算机升级为可信计算机的方法。
背景技术:
近几年来,可信计算已经成为信息安全领域的一个热点,中国的可信计算现在已经越来越受到国家密码管理部门的重视,并已经上升为国家标准,众多的对安全保密要求比较高的场所对可信计算的需求越来越多。在原来的可信计算模块的设计中,基本都是采用低引脚数目LPC总线接口,LPC 总线接口是周边元件扩展PCI总线接口的一个子集,并满足TIS规范(TPM Interface Specification)。TIS 规范是 TCG CTrust Compute Group)提出的针对 TPM 的一种通讯规范,在我们国内的TCM规范中沿用了此规范。但是,传统计算机的主板上普遍没有预留LPC接口,无法连接只具备标准LPC接口的可信计算TCM模块。而如果将现有传统计算机的主板全部更换成具备LPC接口的主板, 将耗费大量的资金、人力和时间。
发明内容
针对上述现有技术中存在的不足,本发明的目的是提供一种传统计算机升级为可信计算机的方法。它能将传统计算机升级实现可信计算,具有操作简单、节时、省力的特点。为了达到上述发明目的,本发明的技术方案以如下方式实现—种传统计算机升级为可信计算机的方法,其步骤为1)将传统计算机通过主板上的PCI接口与可信计算TCM模块上的LPC接口转换电路连接访问可信计算TCM模块;2) PCI接口电路中扩展一个只读存储器ROM电路;3)传统计算机在BIOS启动阶段运行PCI接口电路中的扩展ROM内的程序;4)扩展ROM程序实现信任链的建立。在上述方法中,所述传统计算机主板上的PCI接口与可信计算TCM模块上的LPC 接口转换电路之间包括PCI目标接口和LPC主机接口。在上述方法中,所述扩展ROM程序实现信任链建立的步骤为1)传统计算机BIOS程序对扩展ROM检测正确后,BIOS程序拷贝扩展ROM程序到运行空间;2)执行扩展ROM程序,扩展ROM程序完成信任链建立的处理;3)退出扩展ROM程序,执行BIOS的其他功能。在上述方法中,所述BIOS程序对扩展ROM检测方法为DBIOS启动代码,检测PCI设备的配置空间的扩展ROM基址寄存器是否存在,存在则BIOS将为扩展ROM分配一段空闲的地址空间;
2)检测代码的前两个字节是否是AA55 ;3)如果扩展ROM有效,则BIOS会检测代码类型,以及厂商代码和设备代码的其他
fn息; 4)信息都正确后,BIOS会将扩展ROM中正确的代码都拷贝到RAM中,这些代码就可以执行了。在上述方法中,所述扩展ROM程序完成信任链建立的处理方法为1)启动TCM模块并进行初始化;2)将BIOS空间代码送给TCM模块进行摘要计算;3)将摘要计算的结果存放在TCM模块的PCR中;4)将摘要计算结果和存放在TCM模块内部非易失存储区中的正确摘要值进行比较;5)比较结果正确则正常启动,否则提示用户出现异常。本发明由于采用了上述方法,通过在传统计算机主板上插入一块PCI卡,使传统计算机实现可信计算的全部功能。本发明方法操作简单、成本低廉,借助可信计算的完备的安全机制,为传统计算机提供可靠的安全保障。下面结合附图和具体实施方式
对本发明作进一步说明。
图1为本发明的连接示意图;图2为本发明方法中BIOS程序对扩展ROM检测方法流程图;图3为本发明方法中扩展ROM程序完成信任链建立的处理方法流程图;图4为本发明中PCI目标接口使用信号示意图;图5为本发明中PCI配置空间读时序图;图6为本发明中PCI配置空间写时序图;图7为本发明中LPC总线时序图。
具体实施例方式参看图1至图3,本发明传统计算机升级为可信计算机的方法步骤为1)将传统计算机通过主板上的PCI接口与可信计算TCM模块上的LPC接口转换电路连接访问可信计算TCM模块,PCI接口与LPC接口转换电路之间包括PCI目标接口和LPC 主机接口。2) PCI接口电路中扩展一个只读存储器ROM电路。3)传统计算机在BIOS启动阶段运行PCI接口电路中的扩展ROM内的程序。4)扩展ROM程序实现信任链的建立,其方法为A)传统计算机BIOS程序对扩展ROM检测正确后,BIOS程序拷贝扩展ROM程序到运行空间;BIOS程序对扩展ROM检测方法为a) BIOS启动代码,检测PCI设备的配置空间的扩展ROM基址寄存器是否存在,存在则BIOS将为扩展ROM分配一段空闲的地址空间;b)检测代码的前两个字节是否是AA55 ;
c)如果扩展ROM有效,则BIOS会检测代码类型,以及厂商代码和设备代码的其他 fn息;d)信息都正确后,BIOS会将扩展ROM中正确的代码都拷贝到RAM中,这些代码就可以执行了。B)执行扩展ROM程序,扩展ROM程序完成信任链建立的处理方法为a)启动TCM模块并进行初始化;b)将BIOS空间代码送给TCM模块进行摘要计算;c)将摘要计算的结果存放在TCM模块的PCR中;d)将摘要计算结果和存放在TCM模块内部非易失存储区中的正确摘要值进行比较;e)比较结果正确则正常启动,否则提示用户出现异常。C)退出扩展ROM程序,执行BIOS的其他功能。本发明中的PCI目标接口接收来自PCI主设备的命令,完成对PCI读写寄存器的访问以及扩展ROM的访问,扩展ROM中存放用于信任链建立的代码。PCI目标接口通过PCI 写寄存器向LPC主机接口发送指令,完成对LPC接口的TCM模块的访问。PCI读、写寄存器地址分配于配置空间,扩展ROM地址分配于记忆memory空间。参看图4,本发明中为处理数据、寻址、接口控制、仲裁以及系统功能,PCI目标接口只需要做为目标设备使用。在本发明的可信计算平台上,通过对PCI目标接口和LPC主机接口的自动检测,将自动加载不同的驱动,不需要根据不同的系统分别安装不同的驱动。在同时安装了 LPC主机接口的TCM模块和PCI目标接口的TCM模块的场合,将优先选择LPC主机接口的TCM。参看图5,在FRAME#信号由高变低有效后的第一个时钟上升沿,地址总线信号AD 被采样,由C/BE#决定选择的是PCI设备的配置空间,IDSEL#是用于选取被配置的PCI设备。当PCI主设备端准备好接收数据时,IRDY#变有效(本设计IRDY#始终准备好接收数据),如果PCI设备端也准备好发送数据,则TRDY#信号被PCI设备端拉低,变为有效。只有在IRDY#和TRDY#都有效时,同时DEVSEL#也有效时,数据传输才开始进行。在传输到最后一个字节时,FRAMES信号无效,但是IRDY#信号继续保持有效,此时TRDY#有效时,则传输最后一个字节。参看图6,配置空间写的时序和读的时序基本相同,只是在PCI主设备准备发送数据时将IRDY#有效,然后等待PCI从设备端将TRDY#置为有效,同时使得DEVSEL#有效,开始数据写操作。参看图7,LPC总线主控端将LFRAME#信号拉低并保持大于1个时钟周期的时间, 使得LAD信号发出Mart,表示一帧数据传输的开始。然后LFRAME#信号拉高无效,帧数据传输开始,第一个字节传输的是操作类型和读写方式,本设计采用了 1/0读和1/0写两种方式。每次传输一个字节,接下来传输1/0的地址。TAR表示在读取数据时数据传输方向的改变,使得外部总线处于三态,后面的Sync表示插入等待周期。因为在数据传输方向变化时由于LPC从设备可能并没有将数据准备好,所以通过插入等待周期等待对方准备数据,然后开始数据的传输。在写周期内,则TAR不需改变传输方向,Sync为0,表示不需插入等待。
权利要求
1.一种传统计算机升级为可信计算机的方法,其步骤为1)将传统计算机通过主板上的PCI接口与可信计算TCM模块上的LPC接口转换电路连接访问可信计算TCM模块;2)PCI接口电路中扩展一个只读存储器ROM电路;3)传统计算机在BIOS启动阶段运行PCI接口电路中的扩展ROM内的程序;4)扩展ROM程序实现信任链的建立。
2.根据权利要求1所述的传统计算机升级为可信计算机的方法,其特征在于,所述传统计算机主板上的PCI接口与可信计算TCM模块上的LPC接口转换电路之间包括PCI目标接口和LPC主机接口。
3.根据权利要求1或2所述的传统计算机升级为可信计算机的方法,其特征在于,所述扩展ROM程序实现信任链建立的步骤为1)传统计算机BIOS程序对扩展ROM检测正确后,BIOS程序拷贝扩展ROM程序到运行空间;2)执行扩展ROM程序,扩展ROM程序完成信任链建立的处理;3)退出扩展ROM程序,执行BIOS的其他功能。
4.根据权利要求3所述的传统计算机升级为可信计算机的方法,其特征在于,所述 BIOS程序对扩展ROM检测方法为DBIOS启动代码,检测PCI设备的配置空间的扩展ROM基址寄存器是否存在,存在则 BIOS将为扩展ROM分配一段空闲的地址空间;2)检测代码的前两个字节是否是AA55;3)如果扩展ROM有效,则BIOS会检测代码类型,以及厂商代码和设备代码的其他信息;4)信息都正确后,BIOS会将扩展ROM中正确的代码都拷贝到RAM中,这些代码就可以执行了。
5.根据权利要求3所述的传统计算机升级为可信计算机的方法,其特征在于,所述扩展ROM程序完成信任链建立的处理方法为1)启动TCM模块并进行初始化;2)将BIOS空间代码送给TCM模块进行摘要计算;3)将摘要计算的结果存放在TCM模块的PCR中;4)将摘要计算结果和存放在TCM模块内部非易失存储区中的正确摘要值进行比较;5)比较结果正确则正常启动,否则提示用户出现异常。
全文摘要
一种传统计算机升级为可信计算机的方法,涉及信息安全技术领域。本发明的方法步骤为1)将传统计算机通过主板上的PCI接口与可信计算TCM模块上的LPC接口转换电路连接访问可信计算TCM模块;2)PCI接口电路中扩展一个只读存储器ROM电路;3)传统计算机在BIOS启动阶段运行PCI接口电路中的扩展ROM内的程序;4)扩展ROM程序实现信任链的建立。同现有技术相比,本发明能将传统计算机升级实现可信计算,具有操作简单、节时、省力的特点。
文档编号G06F9/445GK102236747SQ20101015380
公开日2011年11月9日 申请日期2010年4月23日 优先权日2010年4月23日
发明者丁义民, 徐秀波, 王小龙, 王庆林, 黄金煌 申请人:北京同方微电子有限公司, 清大安科(北京)科技有限公司