CN103034812B - 一种可信芯片兼容方法、设备及该设备的使用方法 - Google Patents

Abstract

本发明公开了一种本发明提供的兼容多种可信芯片的设备和方法，通过设置可信芯片基座单元，兼容各种可信芯片基座，进而可将各种可信芯片连接到兼容设备上，通过兼容设备连接到主板上，从而可屏蔽各芯片外观不同、封装形式不同等硬件上的差异；同时，通过固件包括的统一可信计算接口层对可信芯片的初始化和可信操作进行封装，提供统一的功能接口，屏蔽了不同可信芯片功能接口差异。因此，利用本申请提供的兼容方法和设备，可提高主板对可信芯片的兼容性，用户可方便的替换使用不同的可信芯片实现相应的可信操作，实现简单、快捷，且不需要对主板和固件做大的改动，成本低，用户体验好，利于可信芯片的推广使用。

Description

一种可信芯片兼容方法、设备及该设备的使用方法

技术领域

本发明涉及信息安全领域，具体涉及一种可信芯片兼容方法、设备及该设备的使用方法。

背景技术

目前，随着信息安全技术的发展，可信计算也越来越受关注和重视，随着可信计算应用日益广泛，为了满足各种各样的需求，具有可信计算功能的芯片种类也越来越多，例如：

由国际可信计算组织(Trusted Computing Group)的可信芯片---TPM芯片(Trusted Platform Module)，它是一个含有密码运算部件和存储部件的小型片上的系统，由CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成；它能够保护BIOS、芯片组固件以及操作系统等不被恶意篡改，提高系统安全性。

由国家密码管理局联合国内IT企业推出的基于中国标准的安全芯片---TCM芯片(Trusted Cryptography Module)，它包括CPU、I/O、算法引擎以及存储其等物理模块；主要是通过安全协议为平台提高密码服务，平台度量等基础服务，以保护平台的BIOS、OS等基础软件和固件，防止恶意篡改。

由以沈昌祥院士为首的可信计算标准工作组，提出的可信平台控制模块(Trusted Platform Control Module，TPCM)的概念，TPCM应包括：执行引擎、非易失性存储单元、易失性存储单元、随机数发生器、密码算法引擎、密钥生成器、定时器、输入输出桥接单元和各种输入输出控制器模块，其中，TPCM能在计算机启动过程中实现对BIOS的度量，检测BIOS是否发生篡改，以决定正常启动或进入预先设定的出错处理机制。即TPCM芯片具有自主度量、检测的功能，定义此类可信芯片为主控型可信芯片。

可信计算芯片所具有的可信功能类似，但可信芯片的种类越来越多，且不同的可信芯片所具有的外观，封装形式，管脚定义，算法组成，以及功能接口各不相同，而在主板设计时往往只能针对某一种可信芯片进行设计，导致一块主板只能对应于一种可信芯片使用，若要从众多可信芯片中选择其他种类的可信芯片使用时，则需根据重新选择的可信芯片重新设计、制版，周期长、过程复杂、使用成本高、用户满意度低，严重阻碍了可信芯片的推广使用。

发明内容

本发明要解决的主要技术问题是，提供一种可兼容多种可信芯片的方法、设备及该设备的使用方法，可在不对主板改动的情况下兼容多种可信芯片，便于用户替换使用各种可信芯片，有利于可信芯片的推广使用。

为解决上述技术问题，本发明提供一种可信芯片兼容方法，包括：

设置接口管理电路单元，用于提供外接接口，并用于在外接时从所述外接接口中选择与可信芯片相对应的接口；

设置存储单元，用于存储与所述可信芯片兼容设备相配合的主板的BIOS和存储所述可信芯片兼容设备的固件，所述固件用于为可信芯片提供统一功能接口；

设置控制单元，用于检测可信芯片的类型，并根据检测结果选择与所述可信芯片相对应的系统启动方式；

设置可信芯片基座单元，用于与各种可信芯片基座相配合；

设置电源管理电路单元；用于为所述接口管理电路单元、存储单元、控制单元、可信芯片基座单元供电；

其中，所述存储单元、控制单元、可信芯片基座单元分别与所述电源管理电路单元连接；所述存储单元、可信芯片基座单元分别与所述接口管理电路单元连接；所述可信芯片基座单元与所述控制单元连接，所述控制单元与所述存储单元连接。

在本发明的一种实施例中，所述固件包括：

可信芯片设备驱动层，用于提供多种可信芯片的驱动程序，实现可信芯片的设备驱动；

封装功能层，用于根据不同可信芯片的规范，实现各可信芯片的基础操作；

统一可信计算接口层，用于封装各可信芯片的初始化及可信操作，提供统一功能接口。

在本发明的一种实施例中，所述统一可信计算接口层通过杂凑运算实现可信芯片可信操作的封装，并提供统一的杂凑运算接口。

在本发明的一种实施例中，所述可信芯片的类型包括主控型可信芯片和非主控型可信芯片；所述控制单元检测到可信芯片的类型为主控型时，选择从可信芯片启动的方式启动系统；否则，选择从所述存储单元启动的方式启动系统。

在本发明的一种实施例中，所述存储单元包括BIOS Flash ROM存储单元，所述BIOS Flash ROM存储单元用于存储所述BIOS。

在本发明的一种实施例中，所述BIOS Flash ROM存储单元还用于存储所述固件。

本发明还提供了一种可信芯片兼容设备，包括：

接口管理电路单元，用于提供外接接口，并用于在外接时从所述外接接口中选择与可信芯片相对应的接口；

存储单元，用于存储与所述可信芯片兼容设备相配合的主板的BIOS和存储所述可信芯片兼容设备的固件；

控制单元，用于检测可信芯片的类型，并根据检测结果选择与所述可信芯片相对应的系统启动方式；

可信芯片基座单元，用于与各种可信芯片基座相配合；

电源管理电路单元；用于为所述接口管理电路单元、存储单元、控制单元、可信芯片基座单元供电；

其中，所述存储单元、控制单元、可信芯片基座单元分别与所述电源管理电路单元连接；所述存储单元、可信芯片基座单元分别与所述接口管理电路单元连接；所述可信芯片基座单元与所述控制单元连接，所述控制单元与所述存储单元连接。

在本发明的一种实施例中，所述存储单元为BIOS Flash ROM存储单元。

在本发明的一种实施例中，所述外接接口包括LPC接口。

在本发明的一种实施例中，所述外接接口包括电源接口，所述电源接口包括四个PIN主电源标准接口。

在本发明的一种实施例中，所述外接接口还包括USB接口、I2C接口、FWH接口和串口中的至少一种。

本发明还提供了一种可信芯片兼容设备的使用方法，包括：

将所述可信兼容设备通过所述电源管理电路单元与电源连接；

根据可信芯片的型号选择与之对应的可信芯片基座，并将载有该可信芯片的可信芯片基座与所述可信芯片基座单元相配合；

从所述接口管理电路单元提供的外接接口中，选择与所述可信芯片相对应的接口，并通过该接口与主板上相对应的接口连接；同时将该接口与所述存储单元和可信芯片基座单元连接；

启动控制单元检测所述可信芯片的类型，根据其检测结果选择与该可信芯片类型对应的系统启动方式启动系统。

本发明的有益效果是：本发明提供的兼容多种可信芯片的设备和方法，通过设置：用于提供外接接口，并在外接时从各外接接口中选择与可信芯片相所对应接口的接口管理电路单元，用于存储主板的BIOS和存储可信芯片兼容设备的固件的存储单元，存储的固件用于为可信芯片提供统一的功能接口；用于检测可信芯片的类型，并根据检测结果选择与可信芯片相对应的系统启动方式的控制单元，以及用于与各种可信芯片基座相配合的设置可信芯片基座单元和用于为上述各单元供电的电源管理电路单元；用户在使用可信芯片时，只需选择与该可信芯片相对应的可信芯片基座，然后将其按相应的规范放置于可信芯片基座中，再将该可信芯片基座与可信芯片基座单元相配合，即可将该可信芯片与上述各单元连接，然后只需将该设备与计算机的主板连接，使用上述各单元提供的功能，即可实现使用该可信芯片进行可信操作；当用户需要更换可信芯片时，只需将需要更换的可信芯片放置于与之配合的可信芯片基座中，然后上述方法操作即可。因此，本发明提供的兼容可信芯片的方法和设备，可实现对多种可信芯片的兼容，用户在替换使用不同的可信芯片时，不需对主板进行重新制版，只需将该可信芯片按上述方法安置在上述与主板连接的设备上即可，操作简单、使用方便，且可大大降低使用成本，非常有利于可信芯片的推广使用。

附图说明

图1为本发明一种实施例的可信芯片兼容设备结构框图；

图2为本发明一种实施例的固件组成框图；

图3为本发明另一种实施例的TCM芯片用于兼容设备的结构框图；

图4为本发明另一种实施例的TPCM芯片用于兼容设备的结构框图。

具体实施方式

针对可信芯片种类日益增多，但各种可信芯片之间的外观，封装形式，管脚定义，算法组成，以及功能接口各不相同，导致主板不能兼容多种可信芯片，用户替换使用可信芯片时需对主板做较大的改动，实现周期长，实现过程复杂，成本高，用户满意度低，不利用可信芯片的推广使用等问题，本发明提供了一种兼容多种可信芯片的方法及设备，可配合主机使用各种可信芯片进行可信计算，用户替换使用不同的可信芯片时，可不必对主板进行较大的改动，只需将该可信芯片置在本发明提供的设备上即可，使用简单、方便，成本低，可提高用户的体验，更利于可信芯片的推广使用。下面通过具体实施方式结合附图对本发明作进一步详细说明。

实施例一：

请参考图1，本例中提供的兼容可信芯片的设备包括：

接口管理电路单元，用于提供外接接口，并用于在外接时从所述外接接口中选择与可信芯片相对应的接口；

存储单元，用于存储与所述可信芯片兼容设备相配合的主板的BIOS和存储所述可信芯片兼容设备的固件，该固件用于驱动可信芯片，实现可信芯片的基本功能，提供统一的功能接口，屏蔽各可信芯片之间功能接口的不同；

控制单元，用于检测可信芯片的类型，并根据检测结果选择与可信芯片相对应的系统启动方式；

可信芯片基座单元，本例中的可信芯片基座单元可为基础基座(即基础socket)，类似于烧录器的socket，用于与各种可信芯片基座(即可信芯片socket)相配合；

电源管理电路单元；用于为上述接口管理电路单元、存储单元、控制单元以及可信芯片基座单元供电，具体可根据控制单元选择的系统启动方式设定不同的供电时序，为上述各单元供电。本例中的电源管理电路单元还可包括稳压、滤波等基础电路单元。

请参见图1，存储单元、控制单元、可信芯片基座单元分别与电源管理电路单元连接；同时存储单元、可信芯片基座单元分别与接口管理电路单元连接；可信芯片基座单元与控制单元连接，控制单元与存储单元连接。

本例中的接口电路管理单元提供的外接接口至少包括存储单元以及可信芯片所需要的接口，例如LPC接口，还可包括USB接口、I2C接口、FWH接口和串口中的至少一种，具体可根据实际情况选择具体实现哪些接口。本例中的接口电路管理单元还提供电源接口，用于连接外电源，本例中电源接口包括四个PIN主电源标准接口，分别对应正负5伏特和正负12伏特电源，本例中的电源接口可与主板电源连接。

本例中的存储单元包括BIOS Flash ROM(具体可为EEPROM芯片或EPROM芯片)，BIOS Flash ROM用于存储与可信芯片兼容设备相配合的主板的BIOS，且本例中可信芯片兼容设备的固件也可存储于BIOS Flash ROM中。当然，本例中可信芯片兼容设备的固件也可单独存储于其他存储器中，并不与主板的BIOS存储在一起。具体的存储方式可根据实际情况选择，本例中选择将主板的BIOS与可信芯片兼容设备的固件都存储在BIOS Flash ROM中为例进行说明。

本例中可信芯片兼容设备的固件用于驱动可信芯片，实现可信芯片的基本功能，提供统一的功能接口，屏蔽各可信芯片之间功能接口的不同，请参见图2，本例中的固件具体可包括：

可信芯片设备驱动层，用于提供多种可信芯片的驱动程序，实现各可信芯片的设备驱动；

封装功能层，用于根据不同可信芯片的规范，实现各可信芯片的基础操作，本例中的基础操作可包括Enable、Disable、Get Capability、以及Transmit等操作；

统一可信计算接口层，用于封装各可信芯片的初始化及可信操作，提供统一功能接口。本例中提供的接口至少包括统一的初始化操作的接口UTCI_INIT和可信计算操作的功能接口，本例中对可信芯片的可信操作进行封装可通过杂凑运算实现，并提供统一的杂凑运算的接口UTCI_HASH。本例中提供的初始化操作的接口原型可如下：UTCI_I NIT(UINT8 Type)；

其中，Type为可信芯片种类(例如，可为TCM、TPM\或TPCM等，具体可根据获取的芯片的ID来判断)，该函数将根据Type选择相应的可信芯片及对应的方式进行对应操作的驱动装载及初始化操作。

本例中提供的杂凑运算的接口原型可如下：

UTCI_HASH(UINT8Type，ALGORITHM_ID AlgorithmId，UINT8*HashData，UINT64 HashDataLen，UINT64*HashedDataLen，UINT8**HashedDataResult)；

其中，Type为可信芯片种类，根据不同的可信芯片选择与之对应的可信计算算法；AlgorithmId为算法类型；HashData将被杂凑的数据起始地址，HashDataLen被杂凑的数据长度，HashedDataLen杂凑结果的长度，HashedDataResult杂凑结果地址指针。

本例中控制单元检测芯片的类型进而选择不同的启动方式可有多种实现方式，例如，可利用手动操作，检测出芯片类型后，利用跳线，根据检测出芯片的类型设置相应的启动方式。也可设置程序自动获取芯片的ID，根据获取的芯片的ID判断该芯片的种类，进而得到其类型，然后自动选择与该类型相对应的系统启动方式启动系统。

本例中将可信芯片的类型分为两种，一种是主控型可信芯片，该类型的芯片在启动过程中会自动实现对BIOS的度量，检测BIOS是否发生篡改，如未发生篡改，则通知BIOS正常启动，将控制权交给BIOS，例如TPCM芯片就属于主控型芯片。另一种是非主控型可信芯片，这类芯片在启动过程中不会实现对BIOS的度量，直接将控制权交给BIOS，例如TCM、TPM芯片就属于非主控型芯片。

本例中，当控制单元获取到芯片的ID，得到其种类(例如为TPCM类)，进而得知该可信芯片为主控型芯片时，则选择从可信芯片启动的方式启动系统。当根据芯片的ID得到其类型为非主控型芯片时，则选择从存有BIOS的存储单元即BIOS Flash ROM启动。

实施例二：

为了更好的理解本发明，下面以具体的可信芯片应用于本发明提供的可信芯片兼容设备为例对本发明做进一步说明：

一、以TCM可信芯片为例进行说明(TPM可信芯片的实现与TCM类似)，请参见图3：

硬件部分：

先将主板电源通过电源接口与可信芯片兼容设备连接，并根据芯片的种类从接口管理电路单元提供的外接接口中选择与该可信芯片即TCM芯片相对应的外接接口，本例中选择LPC接口，将设备的LPC接口与主板的LPC连接，从而将该主板与设备连接，并将LPC接口直接与可信芯片基座单元和存储单元即BIOSFlash ROM连接；

选择与TCM芯片相对应的可信芯片Socket，本例中选为TSSOP28 Socket，将TCM芯片按相应的规范固定在TSSOP28Socket上，然后将TSSOP28Socket与可信芯片基座单元即可信芯片基础Socket相配合连接，这样就将TCM芯片设置于可信芯片兼容设备上；

控制单元根据该芯片的ID可以获知该可信芯片为TCM芯片，进而获知该芯片的类型为非主控型，因此选择从BIOS Flash ROM启动的系统启动方式，即启动主板BIOS，值得注意的是，本例中存储单元存储的主板BIOS主机内的主板上存储的BIOS内容一致，且启动、工作过程也基本一致；

打开相应的电源开关，通过电源管理电路单元为BIOS Flash ROM和TCM芯片以及上述各其他单元正常供电，正常启动系统。

固件部分：

统一可信计算接口层：利用上述初始化接口对TCM芯片进行初始化，利用上述方法对TCM芯片的可信操作进行封装；

功能封装层：封装TCM芯片的Enable、Disable、Get Capability、以及Transmit操作；

可信芯片设备驱动层：根据芯片的种类选择与芯片对应的驱动程序进行加载，完成芯片的驱动，实现TCM芯片的数据发送和接收功能。

二、以TPCM可信芯片为例对本发明做进一步进行说明，请参见图4：

硬件部分：

先将主板电源通过电源接口与可信芯片兼容设备连接，并根据芯片的种类从接口管理电路单元提供的外接接口中选择与该可信芯片即TPCM芯片相对应的外接接口，本例中选择LPC接口，将设备的LPC接口与主板的LPC连接，从而将该主板与设备连接，并将LPC接口直接与可信芯片基座单元和存储单元即BIOSFlash ROM连接；

选择与TCM芯片相对应的可信芯片Socket，本例中选为QFN40Socket，将TPCM芯片按相应的规范固定在QFN40Socket上，然后将QFN40Socket与可信芯片基座单元即可信芯片基础Socket相配合连接，这样就将TPCM芯片设置于可信芯片兼容设备上；

控制单元根据该芯片的ID可以获知该可信芯片为TPCM芯片，进而获知该芯片的类型为非主控型，因此选择从可信芯片启动的系统启动方式敌启动系统，值得注意的是，此处存储单元存储的主板BIOS主机内的主板上存储的BIOS内容、以及二者的启动、工作过程基本一致；

打开相应的电源开关，通过电源管理电路单元为BIOS Flash ROM和TPCM芯片正常供电，并在TPCM完全运行起来后，才通知电源管理电路单元为上述其他单元供电。

固件部分：

统一可信计算接口层：利用上述初始化接口对TPCM芯片进行初始化，利用上述方法对TPCM芯片的可信操作进行封装；

功能封装层：封装TPCM芯片的Enable、Disable、Get Capability、以及Transmit操作；

可信芯片设备驱动层：根据芯片的种类选择与芯片对应的驱动程序进行加载，完成芯片的驱动，实现TPCM芯片的数据发送和接收功能。

综上可知，本发明提供的可信芯片兼容方法和装置可通过设置可信芯片基座单元，兼容各种可信芯片Socket，进而可将各种可信芯片连接到兼容设备上，通过兼容设备连接到主板上，从而可屏蔽各芯片外观不同、封装形式不同等硬件上的差异；同时，通过固件包括的统一可信计算接口层对可信芯片的初始化和可信操作进行封装，提供统一的功能接口，屏蔽了不同可信芯片的管脚定义不同导致的功能接口不同的差异。因此，利用本申请提供的兼容方法和设备，可提高主板对可信芯片的兼容性，用户可方便的替换使用不同的可信芯片实现相应的可信操作，实现简单、快捷，且不需要对主板和固件做大的改动，成本低，用户体验好，利于可信芯片的推广使用。

以上内容是结合具体的实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims (10)

1.一种可信芯片兼容方法，其特征在于，包括：

设置接口管理电路单元，用于提供外接接口，并用于在外接时从所述外接接口中选择与可信芯片相对应的接口；

设置存储单元，用于存储与所述可信芯片兼容设备相配合的主板的BIOS和存储所述可信芯片兼容设备的固件，所述固件用于为可信芯片提供统一功能接口；

设置控制单元，用于检测可信芯片的类型，并根据检测结果选择与所述可信芯片相对应的系统启动方式；

设置可信芯片基座单元，用于与各种可信芯片基座相配合；

设置电源管理电路单元，用于为所述接口管理电路单元、存储单元、控制单元、可信芯片基座单元供电；

其中，所述存储单元、控制单元、可信芯片基座单元分别与所述电源管理电路单元连接；所述存储单元、可信芯片基座单元分别与所述接口管理电路单元连接；所述可信芯片基座单元与所述控制单元连接，所述控制单元与所述存储单元连接。

2.如权利要求1所述的方法，其特征在于，所述固件包括：

可信芯片设备驱动层，用于提供多种可信芯片的驱动程序，实现可信芯片的设备驱动；

封装功能层，用于根据不同可信芯片的规范，实现各可信芯片的基础操作；

统一可信计算接口层，用于封装各可信芯片的初始化及可信操作，提供统一功能接口。

3.如权利要求2所述的方法，其特征在于，所述统一可信计算接口层通过杂凑运算实现可信芯片可信操作的封装，并提供统一的杂凑运算接口。

4.如权利要求1-3任一项所述的方法，其特征在于，所述可信芯片的类型包括主控型可信芯片和非主控型可信芯片；所述控制单元检测到可信芯片的类型为主控型时，选择从可信芯片启动的方式启动系统；否则，选择从所述存储单元启动的方式启动系统。

5.一种可信芯片兼容设备，其特征在于包括：

接口管理电路单元，用于提供外接接口，并用于在外接时从所述外接接口中选择与可信芯片相对应的接口；

存储单元，用于存储与所述可信芯片兼容设备相配合的主板的BIOS和存储所述可信芯片兼容设备的固件，所述固件用于为可信芯片提供统一的功能接口；

控制单元，用于检测可信芯片的类型，并根据检测结果选择与所述可信芯片相对应的系统启动方式；

可信芯片基座单元，用于与各种可信芯片基座相配合；

电源管理电路单元，用于为所述接口管理电路单元、存储单元、控制单元、可信芯片基座单元供电；

其中，所述存储单元、控制单元、可信芯片基座单元分别与所述电源管理电路单元连接；所述存储单元、可信芯片基座单元分别与所述接口管理电路单元连接；所述可信芯片基座单元与所述控制单元连接，所述控制单元与所述存储单元连接。

6.如权利要求5所述的设备，其特征在于，所述存储单元为BIOS FlashROM存储单元。

7.如权利要求5所述的设备，其特征在于，所述外接接口包括LPC接口。

8.如权利要求5-7任一项所述的设备，其特征在于，所述外接接口包括电源接口，所述电源接口包括四个PIN主电源标准接口。

9.如权利要求8所述的设备，其特征在于，所述外接接口还包括USB接口、I2C接口、FWH接口和串口中的至少一种。

10.一种如权利要求5-9任一项所述的可信芯片兼容设备使用方法，其特征在于包括：

将所述可信兼容设备通过所述电源管理电路单元与电源连接；

根据可信芯片的型号选择与之对应的可信芯片基座，并将载有该可信芯片的可信芯片基座与所述可信芯片基座单元相配合；

从所述接口管理电路单元提供的外接接口中，选择与所述可信芯片相对应的接口，并通过该接口与主板上相对应的接口连接；同时将该接口与所述存储单元和可信芯片基座单元连接；

启动控制单元检测所述可信芯片的类型，根据其检测结果选择与该可信芯片类型对应的系统启动方式启动系统。