CN1311315C

CN1311315C - 用于受信平台的计算机系统、装置和方法

Info

Publication number: CN1311315C
Application number: CNB2004100585651A
Authority: CN
Inventors: 松迪普·M·巴吉卡尔; 戴维·I·波伊斯尼尔; 莱斯利·E·克莱因; 埃德温·J·波尔二世
Original assignee: Intel Corp
Current assignee: Intel Corp
Priority date: 2003-08-18
Filing date: 2004-08-18
Publication date: 2007-04-18
Anticipated expiration: 2024-08-18
Also published as: US20050044408A1; CN1591273A

Abstract

本发明描述了一种用于笔记本计算机的对接体系结构。具体而言，耦合到低引脚数(LPC)总线上的一个电路监控LPC总线的受信数据周期。如果检测到受信数据周期，则该电路防止受信数据周期对于非受信部件可用。

Description

用于受信平台的计算机系统、装置和方法

技术领域

本发明涉及集成电路设计的领域。更具体地，本发明涉及保护来自计算机系统外部的部件的低引脚数总线上的安全数据的体系结构。

背景技术

LaGrande Technology(LT)是一种由Intel公司发起的使运算更安全和可靠的安全性技术。LT被构建在处理器以及芯片组两者之中，以帮助提高平台中的保护水平。LT提供一种环境，在该环境中，应用程序可以运行在其自身的受保护的空间内，而不用考虑其他的软件。

发明内容

根据本发明的第一方面，提供了一种计算机系统，包括：芯片组；总线，所述总线耦合到所述芯片组，以将受信数据周期传送到计算机系统的内部部件；和耦合到所述总线的安全对接电路，该电路通过下述操作来防止所述计算机系统外部的设备访问受信数据周期。所述安全对接电路的操作是这样的：搜索受信数据周期；确定受信数据周期是否已被检测到；如果受信数据周期已被检测到，则使用过滤机制阻止总线上的受信数据周期暴露于所述计算机系统外部的设备；以及如果没有检测到受信数据周期，则继续搜索受信数据周期。

根据本发明的第二方面，提供了一种用于计算机的装置，该装置包括：用于在低引脚数总线上传输数据的装置；和安全对接装置，该安全对接装置用于通过下述操作来防止在所述低引脚数总线上的受信数据周期被所述计算机系统外部的没有被授权的部件所访问。所述安全对接装置的操作是这样的：搜索受信数据周期；确定受信数据周期是否已被检测到；如果受信数据周期已被检测到，则使用过滤机制阻止所述低引脚数总线上的受信数据周期暴露于所述计算机系统外部的没有被授权的部件；以及如果没有检测到受信数据周期，则继续搜索受信数据周期。

根据本发明的第三方面，提供了一种用于计算机系统的方法，该方法包括：监控计算机系统芯片组的在总线上的受信数据周期的传送；以及通过下述操作来防止所述受信数据周期对于所述计算机系统外部的部件可用。其中所述操作是这样的：安全对接电路搜索受信数据周期；确定受信数据周期是否已被检测到；如果受信数据周期已被检测到，则使用过滤机制阻止所述总线上的受信数据周期出现在将所述计算机系统外部的部件耦合到所述计算机系统的总线上；以及如果没有检测到受信数据周期，则继续搜索受信数据周期。

附图说明

图1是提供安全对接站(docking station)的计算机体系结构的实施例；和

图2是用于安全对接站过滤机制的流程图。

具体实施方式

在下面的详细描述中阐述了很多具体细节，以便于充分理解本发明。但是，本领域的技术人员将理解没有这些具体细节也可以实施本发明。在另外一些例子里，没有对公知的方法、过程、部件和电路进行详细的描述，以避免模糊本发明。

数据偷窃是影响计算机系统的一个问题。虽然数据加密可以保护在互联网上或者通过电话线发送的数据，但是数据加密不能提供针对隐蔽嵌入的应用程序或者部件的安全性，其中所述应用程序或者部件由黑客用来获取对加密前正在个人计算机上处理的数据的访问。例如，黑客可能通过使用用于窃取平台密钥、敲键以及口令的程序来盗窃秘密。部件可能通过伪装成受信设备并响应总线上的用于受信部件的特定周期，来修改秘密。

笔记本计算机的对接接口或者扩展槽是黑客可能用来获取对计算机系统的数据的访问的一个潜在入口。对接接口常常被用来将诸如键盘、鼠标和扬声器之类的外围设备连接到计算机系统。图1描绘了防止黑客通过对接站进行攻击的计算机体系机构的一个实施例。

图1的计算机体系结构包括处理器110，该处理器110耦合到芯片组120。芯片组120被耦合到存储器115、受信平台模块(TPM)130、可以移动键盘控制器(TMKBC)140以及安全对接逻辑150。安全对接逻辑150被耦合到对接连接器155。

芯片组120可以向和从处理器110、存储器115和计算机外部的其他设备传输数据。外部设备可以经由对接连接器155和总线165耦合到芯片组120。在为LT设计的笔记本计算机中，芯片组120还可以与诸如TPM130和TMKBC 140之类的从属部件进行通信。TPM 130和TMKBC 140被直接连接到计算机系统的主板上。芯片组120可以经由总线160耦合到TPM 130和TMKBC 140。对于本发明的一个实施例，总线160可以是低引脚数(Low Pin Count，LPC)总线。与被设计来代替传统的串行总线的X总线相比，LPC总线提供更低的功耗、更少的引脚和更加健壮的设计。LPC总线允许通常被集成在超级I/O芯片中的传统输入/输出(I/O)主板部件从工业标准体系结构总线或者X总线移植到LPC接口，同时保持完全的软件兼容性。诸如TPM 130和TMKBC 140之类的部件可以被焊接到主板上。因此，LPC总线160没有可用于插入其他部件的连接器或者接头(header)。

对于本发明的另一个实施例，总线160可以是外围部件互连(PCI)总线。PCI总线包括连接器，以允许部件被插入到计算机系统中。

总线165可以是通用串行总线(USB)、PCI总线或者LPC总线。

TPM 130是提供硬件密码功能的安全微控制器部件。例如，TPM 130可以提供(a)硬件保护存储、(b)平台绑定以及(c)平台认证。硬件保护存储通过计算机系统上的专用硬件保护用户的秘密数据。用户的秘密数据可以包括文件加密密钥、VPN密钥和认证密钥。硬件保护通过利用TPM 130加密秘密数据来实现。随后秘密数据只能通过专用硬件进行解密，该专用硬件包含用于解密秘密数据的必要的私人密钥。TPM 130外部的硬件和软件代理没有权利执行TPM 130硬件中的密码功能。

平台绑定是将关键数据逻辑绑定到该数据可以用于其上的平台的过程。只有在绑定中指定的条件被满足的话，被绑定到特定平台的数据才可由该平台访问。如果该数据移植到不同的平台或者如果在同一平台上的具体绑定条件没有被满足，则数据不能被访问。关于平台的硬件和/或软件配置信息可以被用来实现关键信息的逻辑绑定。

当将秘密数据绑定到平台时，TPM 130可以将数据连同平台配置值合并在一起。随后对该组合进行加密。当需要访问该秘密数据时，从加密的组合计算出必要的平台配置值。只有计算出的平台配置与存储的平台配置相匹配，秘密数据才被公开以用于使用。

TPM 130还可以用于平台认证，或者证明。例如，计算机系统可以向受信第三方(TTP)发送标识请求。TTP可以是IC芯片。如果TTP认可在该标识请求中所提供的证书，则TTP为平台的标识和配置提供证明。TTP签名标识请求并将结果返回到TPM 130。

与提供密码功能的TPM 130形成对比，TMKBC 140提供受信输入能力。例如，TMKBC 140可以帮助使得用户的键盘敲击和鼠标点击能够被传输到计算机系统的操作系统，而不被修改或窃取。操作系统负责验证该输入是来自受信键盘或者鼠标。操作系统和键盘/鼠标之间的通道必须是这样，即不存在到该通道其他硬件或者软件机制。

TMKBC 140可以提供受信接口，并支持传统的非受信接口。受信接口允许芯片组120以受信的方式与TMKBC 140通信，以从键盘或者鼠标获取信息。TMKBC 140可以将敲键数据作为标准USB人机接口设备(HID)包提供给受信接口或者提供给非受信接口。受信敲键数据仅仅被直接提供给受保护存储器和受信应用程序。类似地，TMKBC 140可以将来自鼠标的点选器数据(pointer data)提供给新的接口或者提供给非受信的接口。与受信接口相关联的寄存器可以被映射到受信寄存器空间中。

以值“0101”开始的数据周期可以表示正在从芯片组120传输到TPM130或者TMKBC 140的数据是受信数据周期。然而，数据周期可以以任何预定的受信数据周期指示标志开始。受信数据周期指示标志允许芯片组120以明文的格式与TPM 130以及TMKBC 140传送数据，而不使用任何形式的加密。另一方面，如果总线160上的任何其他部件能够解密用于TPM 130或者TMKBC 140的受信周期，则该非期待的部件可能对受信平台产生潜在的安全性威胁。例如，通过对接连接器155和总线165耦合到总线160的部件可以使得总线160和该总线的所有数据周期对于笔记本计算机物理边界的外部可用。

安全对接逻辑150可以保护芯片组120和耦合到总线160上的其他部件之间的通信。安全对接逻辑150可以是提供过滤机制的电路。安全对接逻辑150可以检测受信数据周期，然后防止它们出现在总线165上。这将防止总线160上的受信数据周期暴露给耦合到对接连接器155的任何外部设备。过滤机制可以以硬件或者软件实现。

图2描绘了用于实现安全对接逻辑150的过滤机制的流程图。在操作210中，安全对接逻辑150搜索受信数据周期。对于本发明的此实施例，受信数据周期由以值“0101”开始的数据周期来标识。操作220确定受信数据周期是否已经被检测到。如果受信数据周期已经被检测到，则操作230中的过滤机制阻止在该数据周期中总线160上的受信数据周期暴露于任何连接到总线165的设备。否则，如果没有检测到受信数据周期，则安全对接逻辑150继续搜索受信数据周期。

在前面的说明书中，本发明已经参考其具体示例性实施例被描述。然而，明显的是，可以对其进行各种修改和变化而不偏离在所附权利要求中阐述的本发明的更宽泛的精神和范围。因此，说明书和附图被认为是示例性的，而不是限制性的。

Claims

1.一种计算机系统，包括：

芯片组；

总线，所述总线耦合到所述芯片组，以将受信数据周期传送到所述计算机系统的内部部件；和

耦合到所述总线的安全对接电路，该电路通过以下操作来防止所述计算机系统外部的设备访问所述受信数据周期：

搜索所述受信数据周期；

确定所述受信数据周期是否已被检测到；

如果所述受信数据周期已被检测到，则使用过滤机制阻止所述总线

上的受信数据周期暴露于耦合到对接连接器的所述计算机系统外部的设备；以及

如果没有检测到所述受信数据周期，则继续搜索所述受信数据周期。

2.如权利要求1所述的计算机系统，其中，所述总线是低引脚数总线。

3.如权利要求1所述的计算机系统，其中，所述内部部件提供受保护的存储器存储。

4.如权利要求1所述的计算机系统，其中，所述内部部件提供平台认证。

5.如权利要求1所述的计算机系统，其中，所述内部部件维持所述芯片组和键盘之间的受保护路径。

6.如权利要求1所述的计算机系统，其中，所述计算机系统是笔记本计算机。

7.一种用于计算机的装置，包括：

用于在低引脚数总线上传输数据的装置；和

安全对接装置，该安全对接装置用于通过以下操作来防止在所述低引脚数总线上的受信数据周期被所述计算机外部的没有被授权的部件所访问：

搜索所述受信数据周期；

确定所述受信数据周期是否已被检测到；

如果所述受信数据周期已被检测到，则使用过滤机制阻止所述低引脚数总线上的受信数据周期暴露于所述计算机外部的没有被授权的部件；以及

8.如权利要求7所述的装置，还包括：

用于将所述计算机外部的设备连接到所述计算机的装置。

9.如权利要求7所述的装置，还包括：

用于监控所述低引脚数总线上的受信数据周期的装置。

10.一种用于计算机系统的方法，包括：

监控计算机系统芯片组的在总线上的受信数据周期传送；以及

通过如下操作来防止所述受信数据周期对于所述计算机系统外部的部件可用：

安全对接电路搜索所述受信数据周期；

确定所述受信数据周期是否已被检测到；

如果所述受信数据周期已被检测到，则使用过滤机制阻止所述总线上的受信数据周期出现在将所述计算机系统外部的部件耦合到所述计算机系统的总线上；以及

11.如权利要求10所述的方法，其中，所述受信数据周期以值“0101”开始。

12.如权利要求10所述的方法，还包括：

在所述芯片组和所述计算机系统的内部部件之间传送受信数据周期。

13.如权利要求12所述的方法，其中所述芯片组和所述内部部件之间的所述传送采用明文格式。

14.如权利要求12所述的方法，其中，所述内部部件维持所述芯片组和键盘之间的受保护路径，其中敲键数据由所述芯片组传送到受保护存储器和受信应用程序。

15.如权利要求12所述的方法，其中，所述内部部件维持所述芯片组和鼠标之间的受保护路径，其中来自所述鼠标的点选器数据由所述芯片组传送到受保护存储器和受信应用程序。

16.如权利要求12所述的方法，其中，所述内部部件通过加密秘密数据保护所述计算机系统的秘密数据。

17.如权利要求16所述的方法，其中，所述秘密数据由所述计算机系统的硬件解密。

18.如权利要求16所述的方法，其中，所述内部部件将所述秘密数据和所述计算机系统的配置值合并在一起。

19.如权利要求16所述的方法，其中，所述内部部件要求所述计算机系统标识请求。

20.如权利要求19所述的方法，其中，受信第三方芯片验证所述计算机系统的标识，并向所述内部部件发送响应。