CN100375027C - 一种快速启动tcpa/tcg安全计算机的系统和方法 - Google Patents
一种快速启动tcpa/tcg安全计算机的系统和方法 Download PDFInfo
- Publication number
- CN100375027C CN100375027C CNB2005101125109A CN200510112510A CN100375027C CN 100375027 C CN100375027 C CN 100375027C CN B2005101125109 A CNB2005101125109 A CN B2005101125109A CN 200510112510 A CN200510112510 A CN 200510112510A CN 100375027 C CN100375027 C CN 100375027C
- Authority
- CN
- China
- Prior art keywords
- digest calculations
- tcg
- computer
- data
- fail
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
本发明公开了一种快速启动TCPA/TCG安全计算机的系统和方法,所述系统的BIOS中设置有摘要计算模块,该模块可根据摘要算法对所需进行摘要计算的摘要数据进行摘要计算,并将摘要计算结果保存在内存中。本发明的方法为:计算机开机,BIOS自检;BIOS调用TPM对摘要计算模块进行摘要计算,并将摘要计算结果保存到PCR寄存器中;摘要计算模块对所需进行摘要计算的摘要数据进行摘要计算,并将摘要计算结果保存在内存中;TPM按照摘要算法对不需要由摘要计算模块处理的摘要数据进行摘要计算;BIOS调用TPM将内存中的摘要计算结果保存到PCR寄存器中,TPM将摘要计算结果保存到PCR寄存器中。
Description
技术领域
本发明涉及一种计算机系统及其控制方法,尤其涉及一种基于TCPA/TCG(可信计算平台联盟/可信计算机组)架构的安全计算机快速启动的系统和方法。
背景技术
随着计算机在各个领域的广泛使用,计算机的安全性能越来越受到人们的关注,人们采用各种方法来提高计算机的安全性能。基于此种需求,在计算机机硬件平台上引入安全芯片架构,通过提供的安全特性来提高终端系统的安全性,简单地说就是可靠性加安全性。可信计算平台基于TPM(可信平台模块),以密码技术为支持、安全操作系统为核心,涉及到身份认证、软硬件配置、应用程序、平台间验证和管理等内容。TPM嵌入在个人计算机系统内,能够对计算机机及其用户身份进行验证,安全存储关键数据和密码,从而提高了系统的安全性。
计算机在上电自检过程中需要对BIOS及其它的数据源做摘要计算,以确认系统的安全性。目前摘要计算是由TPM中的专用计算单元来完成,即BIOS通过调用TPM内的专用计算单元按照规定算法对BIOS本身、主板上的嵌入存储器、可选存储器、系统配置、操作系统引导程序、计算机工作状态转换事件编码字符串进行摘要计算并将其记录在TPM提供的PCR(平台配置寄存器)中。
TPM连接于系统总线上,被摘要的数据,即TPM中的专用计算单元进行摘要计算的输入数据,需要从计算机主系统端通过系统总线传送到TPM内部的嵌入式处理器,由该处理器负责协调TPM内部资源,交给专用计算单元执行计算,并将计算结果记录在TPM中的PCR寄存器中。
现在的计算机数据处理速度越来越快,启动时间越来越短,但是由于TPM内部的嵌入式处理器的数据处理能力和TPM与系统联系的总线速度的限制,摘要计算的时间相对较长,已成为提高安全计算机启动速度的瓶颈。
发明内容
本发明针对现有技术的缺点,提供一种快速启动安全计算机的系统和方法。
本发明所述系统包括:
摘要计算模块,所述摘要计算模块设置于BIOS中,用于根据摘要算法对所需进行摘要计算的摘要数据进行摘要计算,并将摘要计算结果保存在内存中,以供TPM调用。
本发明提供了一种快速启动TCPA/TCG安全计算机的方法,该方法包括:
步骤一,预先在BIOS中设置摘要计算模块;
步骤二,计算机开机,BIOS自检;
步骤三,BIOS调用TPM对摘要计算模块进行摘要计算,并将摘要计算结果保存到TPM的PCR寄存器中;
步骤四,BIOS中的摘要计算模块对所需进行摘要计算的摘要数据进行摘要计算,并将摘要计算结果保存在内存中;
步骤五,调用TPM将内存中的摘要计算结果保存到PCR寄存器中。
本发明充分利用CPU强大的数据处理能力,将原有TPM中按照摘要算法进行摘要计算的计算单元的功能BIOS中设置的摘要计算模块来实现,提高了系统的启动速度。
因为采用摘要计算模块后,原有需要摘要计算的数据都经过了摘要计算,并且其结果保存到了TPM的PCR寄存器中,因而安全计算机的安全性能并没有降低。
附图说明
图1为本发明所述系统中摘要计算模块完成部分摘要计算的方法流程图。
具体实施方式
下面结合说明书附图对本发明做进一步说明。
本发明在现有技术的基础上,在BIOS中设置了摘要计算模块,用于根据摘要算法对所需进行摘要计算的摘要数据进行摘要计算,并将摘要计算结果保存在内存中,以供TPM调用。其中,这里的摘要算法可以采用SHA-1、MD5等算法。
对于所需进行摘要计算的摘要数据可以包括:计算机BIOS、可选存储器数据和主板上的嵌入存储器数据;系统配置、操作系统引导程序或者计算机工作状态转换事件编码字符串;或,可选存储器配置及其数据和引导程序配置及其数据。
对于需要进行摘要计算的数据来说,可以由摘要计算模块来完成一部分摘要计算,剩余的部分由TPM中具有计算功能的专用计算单元依照摘要算法完成。
摘要计算所需时间可由以下公式计算:
摘要运算时间=输入摘要数据量/计算模块每秒处理的摘要数据量。
对应当前计算机的处理过程,摘要计算占用开机时间为:
摘要计算占用的开机时间=摘要数据从系统传送到TPM的时间+TPM执行摘要计算的时间。
可见,摘要计算所需时间,取决于计算模块的计算速度和摘要输入数据量的大小。
表1对摘要计算中的数据输入来源及数据大小作了说明:
表1
| 摘要计算的输入数据的类型及其规模 | ||
| 输入来源 | 规模 | |
| 1 | 计算机BIOS本身、主板上的嵌入存储器 | 100K |
| 2 | 系统配置数据 | 1K |
| 3 | 可选存储器 | 10K |
| 4 | 操作系统引导程序 | 0.1K |
| 5 | 计算机工作状态转换事件编码字符串 | 0.01K |
| 6 | 可选存储器配置及其数据和引导程序配置及其数据。 | 10K |
由上表可以看出,需要进行摘要计算的输入数据的主要来源在于计算机BIOS本身、主板上的嵌入存储器和可选存储器,因此,只要加快上述输入数据的摘要计算速度,那么系统的速度将会大大提高。本发明中将对计算机BIOS本身、主板上的嵌入存储器和可选存储器进行摘要计算的摘要计算模块设置在BIOS中,利用CPU的数据处理能力,对这一部分数据进行摘要计算,提高了运算速度,系统的启动速度也得到了提高。
如果使用摘要计算模块对全部需要摘要计算的输入数据进行摘要计算,那么系统的启动速度还会得到提高。
如说明书附图1所示,本发明中摘要计算模块对所需进行摘要计算的摘要数据进行摘要计算的方法,包括如下步骤:
步骤一,预先在BIOS中设置摘要计算模块;
步骤二,计算机开机,BIOS自检;
步骤三,BIOS调用TPM对摘要计算模块进行摘要计算,并将摘要计算结果保存到TPM的PCR寄存器中;
步骤四,BIOS中的摘要计算模块对所需进行摘要计算的摘要数据进行摘要计算,并将摘要计算结果保存在内存中;
步骤五,调用TPM将内存中的摘要计算结果保存到PCR寄存器中。
在上述方法中,所述系统的摘要计算模块对大部分摘要数据进行了摘要计算,而剩余的少部分摘要数据由TPM中原有的专用计算单元完成,并且在摘要计算模块进行摘要计算之前BIOS已经调用了TPM对摘要计算模块进行了摘要计算,摘要计算的结果被保存在PCR寄存器中,同时,其他的摘要计算结果也被保存在PCR寄存器中,因此系统的安全性得到了保证,系统的启动速度也得到了提高。
对于上述方法中所述的所需进行摘要计算的摘要数据包括:计算机BIOS、主板上的嵌入存储器数据;系统配置、操作系统引导程序或者计算机工作状态转换事件编码字符串;或,可选存储器配置及其数据和引导程序配置及其数据。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的图例。
Claims (10)
1.一种快速启动可信赖运算平台联盟/可信计算组织TCPA/TCG安全计算机的系统,包括连接于系统总线的可信平台模块TPM,其特征在于,还包括:
摘要计算模块,所述摘要计算模块设置于BIOS中,用于根据摘要算法对所需进行摘要计算的摘要数据进行摘要计算,并将摘要计算结果保存在内存中,以供TPM调用。
2.如权利要求1所述的快速启动TCPA/TCG安全计算机的系统,其特征在于,所述摘要数据包括计算机BIOS、可选存储器数据和主板上的嵌入存储器数据。
3.如权利要求2所述的快速启动TCPA/TCG安全计算机的系统,其特征在于,所述摘要数据进一步包括系统配置、操作系统引导程序或者计算机工作状态转换事件编码字符串。
4.如权利要求1或2所述的快速启动TCPA/TCG安全计算机的系统,其特征在于,所述摘要数据包括可选存储器配置及其数据和引导程序配置及其数据。
5.如权利要求1所述的快速启动TCPA/TCG安全计算机的系统,其特征在于,所述摘要算法包括SHA-1或MD5。
6.一种快速启动可信赖运算平台联盟/可信计算组织TCPA/TCG安全计算机的方法,其特征在于,该方法包括:
步骤一,预先在BIOS中设置摘要计算模块;
步骤二,计算机开机,BIOS自检;
步骤三,BIOS调用可信平台模块TPM对摘要计算模块进行摘要计算,并将摘要计算结果保存到TPM的PCR寄存器中;
步骤四,BIOS中的摘要计算模块对所需进行摘要计算的摘要数据进行摘要计算,并将摘要计算结果保存在内存中;
步骤五,调用TPM将内存中的摘要计算结果保存到PCR寄存器中。
7.如权利要求6所述的快速启动TCPA/TCG安全计算机的方法,其特征在于,所述摘要数据包括计算机BIOS本身、主板上的嵌入存储器数据。
8.如权利要求7所述的快速启动TCPA/TCG安全计算机的方法,其特征在于,所述摘要数据进一步包括系统配置、操作系统引导程序或者计算机工作状态转换事件编码字符串。
9.如权利要求6或7所述的快速启动TCPA/TCG安全计算机的方法,其特征在于,所述摘要数据包括可选存储器配置及其数据和引导程序配置及其数据。
10.如权利要求6所述的快速启动TCPA/TCG安全计算机的系统,其特征在于,所述摘要计算采用SHA-1或MD5算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101125109A CN100375027C (zh) | 2005-09-30 | 2005-09-30 | 一种快速启动tcpa/tcg安全计算机的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101125109A CN100375027C (zh) | 2005-09-30 | 2005-09-30 | 一种快速启动tcpa/tcg安全计算机的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1940871A CN1940871A (zh) | 2007-04-04 |
| CN100375027C true CN100375027C (zh) | 2008-03-12 |
Family
ID=37959082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005101125109A Active CN100375027C (zh) | 2005-09-30 | 2005-09-30 | 一种快速启动tcpa/tcg安全计算机的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100375027C (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104981814B (zh) * | 2013-03-15 | 2018-08-14 | 英特尔公司 | 安全协处理器引导性能 |
| CN104778141B (zh) * | 2015-02-10 | 2017-12-26 | 浙江大学 | 一种基于控制系统可信架构的tpcm模块及可信检测方法 |
| CN106789085B (zh) * | 2017-01-12 | 2018-07-17 | 重庆工业职业技术学院 | 基于手机加密的计算机开机管理系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020120575A1 (en) * | 2001-02-23 | 2002-08-29 | Hewlett-Packard Company | Method of and apparatus for ascertaining the status of a data processing environment |
| US20020120863A1 (en) * | 2001-02-23 | 2002-08-29 | Hewlett-Packard Company | Method of and apparatus for investigating transactions in a data processing environment |
| US6941280B1 (en) * | 2000-03-27 | 2005-09-06 | The American Stock Exchange, Llc | Determining intra-day net asset value of an actively managed exchange traded fund |
-
2005
- 2005-09-30 CN CNB2005101125109A patent/CN100375027C/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6941280B1 (en) * | 2000-03-27 | 2005-09-06 | The American Stock Exchange, Llc | Determining intra-day net asset value of an actively managed exchange traded fund |
| US20020120575A1 (en) * | 2001-02-23 | 2002-08-29 | Hewlett-Packard Company | Method of and apparatus for ascertaining the status of a data processing environment |
| US20020120863A1 (en) * | 2001-02-23 | 2002-08-29 | Hewlett-Packard Company | Method of and apparatus for investigating transactions in a data processing environment |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1940871A (zh) | 2007-04-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107025406B (zh) | 母板、计算机可读存储装置以及固件验证方法 | |
| JP6053786B2 (ja) | Arm(登録商標)トラストゾーン実施のためのファームウェア基盤トラステッドプラットフォームモジュール(tpm) | |
| US7380136B2 (en) | Methods and apparatus for secure collection and display of user interface information in a pre-boot environment | |
| US10275598B2 (en) | Providing a secure execution mode in a pre-boot environment | |
| CN103299311B (zh) | 用于可信引导优化的方法和设备 | |
| US8782801B2 (en) | Securing stored content for trusted hosts and safe computing environments | |
| US10747883B2 (en) | Collated multi-image check in system-on-chips | |
| CN110110526B (zh) | 一种基于安全芯片的安全启动装置及方法 | |
| KR20170095161A (ko) | 시큐어 시스템 온 칩 | |
| US9208292B2 (en) | Entering a secured computing environment using multiple authenticated code modules | |
| TW201145069A (en) | Providing integrity verification and attestation in a hidden execution environment | |
| US20100169631A1 (en) | Authentication for resume boot path | |
| US9047491B2 (en) | Encryption acceleration | |
| CN105718806A (zh) | 一种基于国产bmc和tpm2.0实现可信主动度量的方法 | |
| CN106909848A (zh) | 一种基于bios扩展的计算机安全增强系统及其方法 | |
| CN109992973B (zh) | 一种利用oprom机制的启动度量方法及装置 | |
| US8108905B2 (en) | System and method for an isolated process to control address translation | |
| CN100375027C (zh) | 一种快速启动tcpa/tcg安全计算机的系统和方法 | |
| WO2022037346A1 (zh) | 快速外设组件互联设备启动方法、装置以及存储介质 | |
| US11657157B2 (en) | Secure boot system, method and apparatus | |
| US12008106B2 (en) | Systems, methods, and devices for security attribute caching and accelerated wake times of secured environments | |
| WO2022155973A1 (zh) | 一种终端芯片及其度量方法 | |
| Molina et al. | A mobile trusted platform module (mtpm) architecture | |
| CN118211225A (zh) | 一种安全架构系统、实现安全可信启动的方法和计算设备 | |
| CN118211239A (zh) | 一种安全架构系统、实现安全可信启动的方法和计算设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |