使用單個可信平臺模塊測量平臺部件的制作方法
【專利摘要】根據(jù)一些實(shí)施例，每平臺單個可信平臺模塊可以用于處理常規(guī)的可信平臺任務(wù)以及在常規(guī)系統(tǒng)中存在主要可信平臺模塊之前出現(xiàn)的那些任務(wù)。因而，一個單個可信平臺模塊可以處理所述平臺的包括基板管理控制器的所有方面的測量。在一些實(shí)施例中，使用嵌入在諸如平臺控制器集線器的芯片集中的只讀存儲器作為信任根，查驗(yàn)管理引擎圖像。在基板管理控制器(BMC)被允許啟動之前，它必須查驗(yàn)其閃存的完整性。但是BMC圖像可以被存儲在按照能夠被平臺控制器集線器(PCH)查驗(yàn)的方式耦合到該P(yáng)CH的存儲器中。
【專利說明】使用單個可信平臺模塊測量平臺部件

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明通常涉及可信平臺模塊。

【背景技術(shù)】
[0002] 可信平臺模塊使能密碼密鑰的安全生成以及對它們的使用的限制。它可以包括諸 如遠(yuǎn)程認(rèn)證和密封存儲的能力。遠(yuǎn)程認(rèn)證創(chuàng)建硬件和/或軟件配置的幾乎不可偽造的哈希 密鑰概要。
[0003] 可信平臺模塊的主要功能是確保平臺的"完整性"，其中，完整性是指確保平臺將 按照期望運(yùn)轉(zhuǎn)。平臺是包括服務(wù)器或個人計(jì)算機(jī)、蜂窩電話或者任何其它基于處理器的設(shè) 備的任意計(jì)算機(jī)平臺。
[0004] 可信平臺模塊（TPM)可以包括平臺配置寄存器（PCR)，其允許安全存儲或者安全 相關(guān)度量的報(bào)告。這些度量可以用于檢測對先前配置的改變并且決定如何做出處理。
[0005] 對于一些用戶來說，在平臺上使用的任何固件都必須被驗(yàn)證。為了驗(yàn)證固件，它必 須關(guān)于諸如可信平臺模塊的信任根被測量。平臺可以包括基板管理控制器（BMC)，該BMC在 基于主機(jī)的可信平臺模塊存在于所述平臺上之前執(zhí)行。
[0006] 許多制造商在平臺上放置兩個可信平臺模塊（包括主要和次要模塊）。一個模塊 用于主機(jī)域，包括基本輸入/輸出系統(tǒng)（BIOS)和操作系統(tǒng)。另一個模塊用于可管理性軟件。 用于主機(jī)域的模塊不能夠測量在基板管理控制器上運(yùn)行的固件。這增加了平臺成本和復(fù)雜 度。

【專利附圖】

【附圖說明】
[0007] 參照下面的附圖來描述一些實(shí)施例：
[0008] 圖1是根據(jù)一個實(shí)施例用于平臺的固件布局；并且
[0009] 圖2是本發(fā)明一個實(shí)施例的流程圖。

【具體實(shí)施方式】
[0010] 根據(jù)一些實(shí)施例，每平臺單個可信平臺模塊可以用于處理常規(guī)的可信平臺任務(wù)以 及在常規(guī)系統(tǒng)中存在主要可信平臺模塊之前出現(xiàn)的那些任務(wù)。因而，一個單個可信平臺模 塊可以處理包括基板管理控制的平臺的所有方面的測量。
[0011] 在一些實(shí)施例中，使用嵌入在諸如平臺控制器集線器的芯片集中的只讀存儲器作 為信任根，查驗(yàn)管理引擎圖像。在基板管理控制器（BMC)被允許啟動之前，它必須查驗(yàn)其閃 存的完整性。但是，BMC圖像可以被存儲在按照能夠被平臺控制器集線器（PCH)查驗(yàn)的方 式耦合到該P(yáng)CH的存儲器中。
[0012] 在一些實(shí)施例中，增強(qiáng)串并行接口（eSPI)提供通過SIP總線以隧道化方式傳輸?shù)?引腳數(shù)（LPC)總線信號的一種機(jī)制并且還支持到平臺控制器集線器（PCH)的SPI控制器的 上游存儲器訪問。結(jié)果，在一些實(shí)施例中，額外的可信平臺模塊的成本將被消除。
[0013] 為了改善計(jì)算機(jī)安全，建立了可信計(jì)算群組（TCG)，一個工業(yè)標(biāo)準(zhǔn)組織，目標(biāo)在于 增強(qiáng)不同的計(jì)算機(jī)平臺中的計(jì)算環(huán)境的安全。TCG建立并且正式通過了用于更多安全計(jì)算 機(jī)的規(guī)范。TCG規(guī)范定義了可信計(jì)算機(jī)平臺，S卩，為了特殊目的可以按照特定方式運(yùn)轉(zhuǎn)的計(jì) 算機(jī)平臺?？尚牌脚_可以提供諸如數(shù)據(jù)加密和解密以及數(shù)據(jù)存儲的數(shù)據(jù)安全功能。可信平 臺的關(guān)鍵部件是可信平臺模塊（TPM)，S卩，可以執(zhí)行密碼哈希計(jì)算以便檢測完整性的丟失、 公鑰和私鑰加密以便防止數(shù)據(jù)的未授權(quán)公開，并且執(zhí)行數(shù)字簽名以便驗(yàn)證所傳輸?shù)男畔ⅰ?可以被啟動在硬件中的TCG保護(hù)存儲機(jī)制可以用于保護(hù)密鑰、秘密和哈希值。
[0014] 通過提供配置的測量，當(dāng)可信平臺訪問機(jī)密數(shù)據(jù)時，該可信平臺也可以證明它在 安全的配置中操作。TCG規(guī)范規(guī)定測量計(jì)算機(jī)平臺的部件，硬件和軟件二者，并且規(guī)定存儲 測量的結(jié)果。配置的測量可以被進(jìn)行哈希計(jì)算并且被存儲在平臺配置寄存器（PCR)中。可 信平臺可以僅在該可信平臺的特定配置下才允許對數(shù)據(jù)的訪問。TPM密封操作可以對數(shù)據(jù)、 PCR值的集合以及授權(quán)或唯一標(biāo)識符進(jìn)行加密。為了解封所述數(shù)據(jù)，并且從而獲得對它們的 訪問，必須提供授權(quán)，并且存儲在PCR中的值的集合必須與在封裝操作中使用的集合相匹 配。類似地，簽名密鑰可以被封裝到PCR值的集合。
[0015] 因而參照圖1，平臺10可以包括一個或多個中央處理器單元（CPU) 12和平臺控制 器集線器（PCH) 14。也可以預(yù)期可以使用其它芯片集代替PCH的其它架構(gòu)。該平臺也可以 包括BMC 24。在一些實(shí)施例中，BMC可以通過SPI總線22耦合到PCH 14。在一個實(shí)施例 中，總線22可以是增強(qiáng)SPI總線或者eSPI總線。
[0016] PCH可以包括管理引擎（ME)和創(chuàng)新引擎（IE) 16。管理引擎是在操作系統(tǒng)下操作 的獨(dú)立的且被保護(hù)的計(jì)算機(jī)硬件。創(chuàng)新引擎使BMC使能BMC到芯片集中的集成。耦合到 PCH 14的可以是與SPI總線19相關(guān)聯(lián)的閃存20。閃存20可以存儲基本輸入/輸出系統(tǒng) (BIOS)代碼28、BMC代碼30、管理引擎代碼32以及創(chuàng)新引擎代碼34。由于這些代碼耦合 至IJ PCH，因此他們能夠使用相同的可信平臺模塊通過相同的信任根被驗(yàn)證。
[0017] BMC 24可以包括微控制器，該微控制器監(jiān)控板上儀器（溫度傳感器、CPU狀態(tài)、風(fēng) 扇速度、電壓）、提供遠(yuǎn)程重啟或功率循環(huán)能力、當(dāng)發(fā)生故障時發(fā)送警報(bào)并且使能對BIOS配 置或操作系統(tǒng)控制臺信息的遠(yuǎn)程訪問。BMC24可以用作平臺硬件和管理軟件之間的接口。 BMC可以能夠與CPU 12和操作系統(tǒng)分離地操作。BMC 24可以與底層管理監(jiān)控器通信，報(bào)告 情況并且接收命令。
[0018] 安全系統(tǒng)測量管理引擎并且將其值錄入PCR 42中，或者用于固件TPM (例如在PCH 內(nèi)）或者用于物理TPM 34。嵌入在PCH中的只讀存儲器（ROM) 18能夠測量管理引擎代碼。 因而，管理引擎測量創(chuàng)新引擎的圖像，如果存在，并且最終測量BMC代碼。最后，它提供一種 操作系統(tǒng)通過其能夠看到對于平臺上所有固件部件的測量的解決方案。
[0019] TPM 34可以提供包括被保護(hù)的存儲設(shè)備、平臺的軟件配置的測量和認(rèn)證以及密碼 功能的安全功能。TPM 34可以僅在授權(quán)使被保護(hù)的存儲設(shè)備中的數(shù)據(jù)可用時才允許通過程 序訪問該數(shù)據(jù)。TPM 34可以執(zhí)行密碼密鑰生成、加密和解密。在一些實(shí)施例中，TPM 34可 以被實(shí)現(xiàn)在硬件中。在進(jìn)一步的實(shí)施例中，TPM 34可以由類似于智能卡的模塊構(gòu)成。在其 它實(shí)施例中，TPM 34可以被實(shí)現(xiàn)在軟件中。這樣的實(shí)現(xiàn)被稱為虛擬TPM。在這樣的實(shí)現(xiàn)中， 軟件機(jī)制可以用于使物理存在生效/失效。
[0020] 圖1中說明的計(jì)算機(jī)和部件用于解釋而非限制的目的。在一些其它實(shí)施例中，包 含TPM的嵌入式系統(tǒng)、PDA、蜂窩電話以及其它TPM設(shè)備可以對通過可信網(wǎng)絡(luò)連接接收到消 息做出響應(yīng)而向TPM通過信號的方式傳輸物理存在。在許多其它實(shí)施例中，芯片集可以包 括本領(lǐng)域技術(shù)人員熟知的可替換部件或者附加部件。在一些進(jìn)一步的實(shí)施例中，TPM可以 被集成到另一設(shè)備中（"集成TPM"）。例如，TPM和BIOS可以被集成到超級I/O芯片中。 在其它進(jìn)一步的實(shí)施例中，TPM可以被集成到PCH芯片、網(wǎng)絡(luò)接口卡或者計(jì)算機(jī)的其它部件 中。在這些許多其它實(shí)施例中，適合的總線可以用于使物理存在生效/失效。在幾個其它 實(shí)施例中，與芯片集通信的部件可以與在圖2中說明的部件不同。
[0021] 可選實(shí)施例的一個示例由根據(jù)Intel?活動管理技術(shù)（Intel?AMT)構(gòu)建的計(jì)算機(jī)構(gòu) 成。Intel? AMT是硬件、固件和軟件的組合，其可以規(guī)定獨(dú)立于系統(tǒng)狀態(tài)的用于管理對客戶 端系統(tǒng)的訪問的帶外通信。AMT使能的計(jì)算機(jī)可以包括集成TPM和平臺系統(tǒng)管理模塊而不 是BMC。此外，AMT使能的計(jì)算機(jī)可以使用硬件機(jī)制而不是通用輸入/輸出（GPI0)線來從 平臺系統(tǒng)管理模塊向TPM發(fā)送信號。
[0022] 在一些實(shí)施例中，BMC 24可以包括其自己的SPI總線控制器36。BMC閃存37可 以包括BMC操作圖像38和SPI圖像40。
[0023] 可以使用創(chuàng)新引擎并且管理引擎仍然能夠直接測量BMC，同時圖像仍然被存儲在 閃存20中。一旦BMC固件被認(rèn)證，該BMC固件就能夠被從附接到PCH的SPI總線取回。此外， 在進(jìn)行正確的識別之后，可以使能經(jīng)過SPI總線被以隧道化方式傳輸?shù)奶卣骰蛘呃霉芾?部件傳輸協(xié)議（MCTP)的其它管理業(yè)務(wù)。參見可從Distributed Management Task Force， Inc.獲得的MCTP基本規(guī)范版本1. 1. 0, 2010-04-22。
[0024] 在一些實(shí)施例中，可以使用諸如相變存儲器（PCM)的新穎數(shù)據(jù)存儲設(shè)備以及其它 潛在的用例，例如遷移和管理引擎二進(jìn)制或者其它這樣的固件元件，例如預(yù)啟動固件上下 文等等。此外，能夠添加諸如PCR等等的TPM資源的附加存儲庫，這依次能夠被映射到諸如 BIOS固件的固件用例類型。
[0025] 因而在一些實(shí)施例中，盡管存在對于BMC和管理引擎的分離的域，但是也僅需要 一個TPM。在一些實(shí)施例中，這避免了對于管理引擎的分離TPM的需求并且允許固件可信平 臺模塊用于所有服務(wù)器用例。
[0026] 參照圖2,序列可以被實(shí)現(xiàn)在軟件、固件和/或硬件中：在軟件和固件實(shí)施例中，它 可以通過由計(jì)算機(jī)可執(zhí)行并且被存儲在一個或多個非暫態(tài)計(jì)算機(jī)可讀介質(zhì)中的指令實(shí)現(xiàn)， 該計(jì)算機(jī)可讀介質(zhì)例如是磁、光學(xué)或半導(dǎo)體存儲設(shè)備。在一些實(shí)施例中，可以使用多于一個 存儲設(shè)備。
[0027] 如在塊50指示的，該序列開始于PCH的功率施加。由管理引擎硬件16執(zhí)行的PCH ROM代碼18驗(yàn)證對于存儲在閃存20中的管理引擎圖像30的簽名。接著，如在塊52指示 的，該被驗(yàn)證的圖像的測量被存儲在可信平臺模塊PCH 42中。所以，現(xiàn)在管理引擎已經(jīng)被 驗(yàn)證并且它能夠用于驗(yàn)證閃存20中的其它圖像。
[0028] 菱形塊54處的檢查確定簽名是否有效。如果有效，則管理引擎固件圖像30開始 執(zhí)行（塊56)。管理引擎16驗(yàn)證創(chuàng)新引擎固件32的簽名。如在塊56指示的，管理引擎將 圖像32的測量存儲在可信平臺模塊的PCR中。所以，現(xiàn)在創(chuàng)新引擎固件也已經(jīng)被驗(yàn)證，并 且能夠用于驗(yàn)證其它圖像。
[0029] 菱形塊58處的檢查確定創(chuàng)新引擎簽名是否有效。如果有效，則如在塊60指示的， 管理引擎固件圖像32(通常由原始設(shè)備制造商擁有）認(rèn)證BMC的固件圖像28。所以，現(xiàn)在 BMC圖像也已經(jīng)被驗(yàn)證。
[0030] 菱形塊62處的檢查確定BMC簽名是否有效。如果有效，則如在塊78中指示的，BMC 固件測量被存儲在TPM PCR中。接著，如在塊80中指示的，BMC硬件被允許經(jīng)由SPI總線獲 取被驗(yàn)證的BMC固件。接下來，如在塊82中指示的，當(dāng)從ROM 18到管理引擎固件30部署 的鏈被查驗(yàn)時，所有BMC功能被授權(quán)。接著，如在塊84中指示的，接著發(fā)生正常管理業(yè)務(wù)。
[0031] 如果菱形塊54處的簽名檢查指示所述簽名是無效的，則系統(tǒng)進(jìn)入修復(fù)模式，并且 允許系統(tǒng)啟動但是不使能任何附加的可管理性固件，如在塊74中指示的。接著，可以發(fā)起 原始設(shè)備制造商定義的行為。芯片集制造商的固件檢查跨越所有重啟的有效圖像，如在塊 76中指示的。
[0032] 如果在菱形塊58處的簽名是無效的，則在塊68處，管理引擎繼續(xù)啟動并且支持被 分配到該管理引擎的功能。沒有被查驗(yàn)的創(chuàng)新引擎固件實(shí)體將不被允許提供安全服務(wù)，如 在塊70中指不的。接著，在塊72中，原始設(shè)備制造商定乂的彳丁為繼續(xù)進(jìn)彳丁。如在塊72中 指示的，芯片集固件檢驗(yàn)跨越所有重啟的有效圖像。
[0033] 下面的條款和/或示例涉及進(jìn)一步的實(shí)施例：
[0034] 一個示例實(shí)施例可以是一種用于提供平臺的方法，所述方法包括：與基板管理控 制器一起的芯片集，并且使用單個可信平臺模塊用于所述平臺。所述方法也可以包括使用 增強(qiáng)串并行接口總線耦合所述芯片集和所述基板管理控制器。所述方法可以包括將串并行 接口存儲器直接連接到所述芯片集以便存儲用于所述基板管理控制器的代碼。所述方法可 以包括用于所述芯片集的可信平臺模塊。所述方法可以包括提供直接連接到所述芯片集的 物理可信平臺模塊。所述方法可以包括在所述芯片集內(nèi)提供固件可信平臺模塊。所述方法 可以包括在所述芯片集中提供存儲代碼以便驗(yàn)證管理引擎的簽名的嵌入式只讀存儲器。所 述方法可以包括使用所述管理引擎驗(yàn)證創(chuàng)新引擎的簽名。所述方法可以包括使用所述創(chuàng)新 引擎驗(yàn)證被存儲在直接連接到芯片集的閃存中的基板管理控制器的固件圖像。所述方法還 可以包括使能基板管理控制器以便經(jīng)由增強(qiáng)串并行接口總線獲得被驗(yàn)證的固件。
[0035] 另一示例實(shí)施例可以是計(jì)算機(jī)可讀介質(zhì)，存儲指令以便使能包括與基板管理控制 器一起的芯片集的平臺來使用對于所述平臺的單個可信平臺模塊。所述介質(zhì)可以存儲指令 以便使用增強(qiáng)串并行接口總線耦合所述芯片集和所述基板管理控制器。所述介質(zhì)可以存儲 指令以便將串并行接口存儲器直接連接到所述芯片集來存儲對于所述基板管理控制器的 代碼。所述介質(zhì)可以存儲指令以便將物理可信平臺模塊直接連接到所述芯片集。所述介質(zhì) 可以存儲指令以便在所述芯片集內(nèi)提供固件可信平臺模塊。所述介質(zhì)可以存儲指令以便提 供存儲代碼的位于所述芯片集中的嵌入式只讀存儲器來驗(yàn)證管理引擎的簽名。所述介質(zhì)可 以存儲指令以便使用管理引擎來驗(yàn)證創(chuàng)新引擎的簽名。所述介質(zhì)可以存儲指令以便使用所 述創(chuàng)新引擎來認(rèn)證存儲在直接連接到所述芯片集的閃存中的基板管理控制器的固件圖像。 所述介質(zhì)可以存儲指令以便使用基板管理控制器來經(jīng)由增強(qiáng)串并行接口總線獲得被驗(yàn)證 的固件。
[0036] 另一示例實(shí)施例可以是一種裝置，包括芯片集、耦合到所述芯片集的基板管理控 制器以及用于所述芯片集和所述基板管理控制器的單個可信平臺模塊。所述裝置可以包括 耦合到所述芯片集的中央處理單元。所述裝置可以包括耦合到所述芯片集的所述受信平臺 模塊。所述裝置可以包括耦合到所述芯片集的串并行接口閃存。所述裝置還可以包括所述 串并行接口以便存儲基本輸入輸出裝置、對于基板管理控制器的圖像、對于管理引擎的圖 像以及對于創(chuàng)新引擎的圖像。所述裝置可以包括位于所述芯片集中的嵌入式只讀存儲器以 便驗(yàn)證管理引擎圖像的簽名。所述裝置可以包括經(jīng)由增強(qiáng)串并行接口總線耦合到所述基板 管理控制器的所述芯片集。所述裝置還可以包括連接到所述芯片集的串并行接口存儲器以 便存儲對于所述基板管理控制器的代碼。所述裝置可以包括管理引擎以便驗(yàn)證創(chuàng)新引擎的 簽名。所述裝置可以包括創(chuàng)新引擎以便驗(yàn)證存儲在直接連接到所述芯片集的閃存中的固件 圖像。所述裝置還可以包括所述基板管理控制器以便經(jīng)由增強(qiáng)串并行接口總線獲得被驗(yàn)證 的固件。
[0037] 在整個說明書中對"一個實(shí)施例"或者"實(shí)施例"的引用意味著與結(jié)合該實(shí)施例描 述的特定特征、結(jié)構(gòu)或特性被包括在包含在本發(fā)明內(nèi)的至少一個實(shí)現(xiàn)中。因而，短語"一個 實(shí)施例"或者"在實(shí)施例中"的出現(xiàn)不必指代相同的實(shí)施例。而且，所述特定特征、結(jié)構(gòu)或特 性可以按照除了所說明的特定實(shí)施例之外的其它合適的形式進(jìn)行構(gòu)建，并且所有這樣的形 式都包含在本申請的權(quán)利要求內(nèi)。
[0038] 盡管關(guān)于有限數(shù)量的實(shí)施例描述了本發(fā)明，但是本領(lǐng)域技術(shù)人員將意識到根據(jù)其 的各種修改和變化。期望所附權(quán)利要求涵蓋落入本發(fā)明的真實(shí)精神和范圍內(nèi)的所有這樣的 修改和變化。
【權(quán)利要求】
1. 一種方法，包括： 提供包括與基板管理控制器一起的芯片集的平臺；以及 使用對于所述平臺的單個可信平臺模塊。
2. 如權(quán)利要求1所述的方法，包括使用增強(qiáng)串并行接口總線耦合所述芯片集和所述基 板管理控制器。
3. 如權(quán)利要求1所述的方法，包括將串并行接口存儲器直接連接到所述芯片集以便存 儲對于所述基板管理控制器的代碼。
4. 如權(quán)利要求1所述的方法，包括提供對于所述芯片集的可信平臺模塊。
5. 如權(quán)利要求4所述的方法，包括提供直接連接到所述芯片集的物理可信平臺模塊。
6. 如權(quán)利要求4所述的方法，包括提供位于所述芯片集內(nèi)的固件可信平臺模塊。
7. 如權(quán)利要求1所述的方法，包括提供位于所述芯片集中的嵌入式只讀存儲器，所述 嵌入式只讀存儲器存儲代碼以便驗(yàn)證管理引擎的簽名。
8. 如權(quán)利要求1所述的方法，包括使用所述管理引擎來驗(yàn)證創(chuàng)新引擎的簽名。
9. 如權(quán)利要求8所述的方法，包括使用所述創(chuàng)新引擎來認(rèn)證存儲在直接連接到所述芯 片集的閃存中的基板管理控制器的固件圖像。
10. -個或多個計(jì)算機(jī)可讀介質(zhì)，存儲有指令以便使包括與基板管理控制器一起的芯 片集的平臺能夠執(zhí)行根據(jù)權(quán)利要求1-9中的任意一項(xiàng)所述的方法。
11. 一種裝置，包括： 芯片集； 耦合到所述芯片集的基板管理控制器；以及 對于所述芯片集和所述基板管理控制器的單個可信平臺模塊。
12. 如權(quán)利要求11所述的裝置，包括耦合到所述芯片集的中央處理單元。
13. 如權(quán)利要求11所述的裝置，其中，所述可信平臺模塊耦合到所述芯片集。
14. 如權(quán)利要求11所述的裝置，進(jìn)一步包括耦合到所述芯片集的串并行接口閃存。
15. 如權(quán)利要求14所述的裝置，所述串并行接口存儲基本輸入輸出系統(tǒng)、對于基板管 理控制器的圖像、對于管理引擎的圖像以及對于創(chuàng)新引擎的圖像。
16. 如權(quán)利要求11所述的裝置，包括位于所述芯片集中的嵌入式只讀存儲器以便驗(yàn)證 管理引擎圖像的簽名。
17. 如權(quán)利要求11所述的裝置，所述芯片集經(jīng)由增強(qiáng)串并行接口總線耦合到所述基板 管理控制器。
18. 如權(quán)利要求11所述的裝置，包括連接到所述芯片集的串并行接口存儲器以便存儲 對于所述基板管理控制器的代碼。
19. 如權(quán)利要求11所述的裝置，包括管理引擎以便驗(yàn)證創(chuàng)新引擎的簽名。
20. 如權(quán)利要求19所述的裝置，所述創(chuàng)新引擎認(rèn)證存儲在直接連接到所述芯片集的閃 存中的固件圖像。
【文檔編號】G06F21/50GK104160403SQ201380004612
【公開日】2014年11月19日 申請日期:2013年8月29日 優(yōu)先權(quán)日:2012年9月4日
【發(fā)明者】R·C·斯旺森, P·沙提庫馬爾, M·布魯蘇, R·B·巴恩森 申請人:英特爾公司