专利名称:一种多兼容性可信计算系统及方法
技术领域:
本发明涉及信息安全领域,具体而言,是涉及到可信计算领域,特别是涉及一种具有多兼容性的可信计算系统及方法。
背景技术:
现有在可信计算领域中存在多种可信计算标准,最典型的是国际标准,是由信任运算组织(Trusted Computing Group,TCG)制定的可信运算的标准实施规范,目前最新为1.2版(2003年10月)。同时,也存在如中国各服务厂商制定的可信计算标准等。这些标准既存在着相似性,同时也存在着差异性。
现有的TCG可信计算标准是由TCG组织制定的开放的国际标准,该标准与中国各服务厂商制定的可信计算标准有很多差异性,比如可信计算标准的算法不同,TCG标准中使用RSA(R.Rirest、A.Sllalnlr和L.Adlemand三人开发)非对称加密算法,AES(Advanced Encryption Standard)对称加密算法,SHA1(Secure Hash Algorithm 1)HASH算法;而中国各服务厂商制定的可信计算标准使用椭圆曲线加密算法(Elliptic Curves Cryptography,ECC)非对称加密算法,SMS4对称加密算法,SCH HASH算法。同时,多种标准之间的通讯协议也不同,导致这多种标准不能互相兼容,即如果在某个安全系统上,安装有多个可信计算系统,则多个可信系统之间只能独立运行计算,相互之间不能兼容,这样,多个可信计算系统占有很多的资源,不能很好的适应于不同的商业应用环境,适应性很差,使用成本很高。
发明内容
本发明的所要解决的问题在于提供一种多兼容可信计算系统及方法,其拥有很好的兼容性和适应性,占用资源少,成本低。
为实现本发明目的而提供的一种多兼容可信计算系统,包括至少一个第一可信计算功能单元和至少一个第二可信计算功能单元,其特征在于,还包括一可信接口控制单元,用于从总线接收到传递给第一可信计算功能单元和/或第二可信计算功能单元的协议命令数据流,根据不同的协议命令字,对协议命令数据流进行不同的处理。
所述可信接口控制单元可以包括接收发送单元,解析单元,判断打包单元,其中所述接收发送单元,用于从总线接收协议命令数据流,并将协议命令数据流发送到第一可信计算功能单元或者第二可信计算功能单元;接收第一可信计算功能单元或者第二可信计算功能单元的处理结果,并将处理结果返回给总线;所述解析单元,用于根据接收发送单元接收的协议命令数据流,解析得到不同的协议数据包,根据不同的数据包获得不同的命令字,并将解析数据发送给判断打包单元;所述判断打包单元,用于根据解析数据,判断该协议命令数据流是发送到第一可信计算功能单元还是第二可信计算功能单元,并根据判断结果,将解析数据重新按照第一可信计算功能单元标准或者第二可信计算功能单元标准格式打包,并通过接收发送单元发送给相应的功能单元。
所述可信接口控制单元还可以包括功能配置单元,用于设置处理协议命令数据流的功能模式。
所述功能配置单元设置处理协议命令数据流的功能模式为第一可信计算功能单元标准的功能模式和/或者第二可信计算功能单元标准的功能模式;当功能配置单元设置为只运行第一可信计算功能单元标准的功能模式时,可信接口控制单元将不对第二可信计算功能单元标准的请求进行响应;当功能配置单元设置为只运行第二可信计算功能单元标准的功能模式时,可信接口控制单元将不对第一可信计算功能单元标准的请求进行响应;当功能配置单元设置为运行第一可信计算功能单元标准的功能模式和第二可信计算功能单元标准的功能模式时,既可以对第一可信计算功能单元的标准进行响应,也可以对第一可信计算功能单元的标准进行响应。
所述功能配置单元设置处理协议命令数据流的功能模式为第一可信计算功能单元标准的功能模式和/或第二可信计算功能单元标准的功能模式时,由外部设置命令控制,功能配置单元可以根据外部设置命令的请求,返回当前的功能配置,并接受外部设置命令请求,重新设置功能模式。
所述可信接口控制单元,还可以进一步包括数据验证单元,用于接收发送单元从总线接收协议命令数据流后,验证该协议命令数据流是否为发送给第一可信计算功能单元或者第二可信计算功能单元的数据流,并在验证通过后将协议命令数据流传输给解析单元。
所述多兼容可信计算系统,还包括存储单元,用于将所述第一可信计算功能单元和/或第二可信计算功能单元的数据,分别存储在不同的存储区域。
为实现本发明目的还提供一种多兼容可信计算方法,包括下列步骤步骤A,从外部总线接口接收协议命令数据流;步骤B,从协议命令数据流中解析得到协议数据包,从协议数据包中获得协议命令数据流的命令字;步骤C,根据解析的命令字,判断该协议命令数据流是发送到第一可信计算功能单元还是第二可信计算功能单元,并根据判断结果,进行数据处理;步骤D,第一可信计算功能单元或者第二可信计算功能单元对协议命令数据流数据进行处理,并将处理结果通过可信接口控制单元返回给总线,可信接口控制单元重新准备接收数据。
所述步骤A之前还包括下列步骤步骤A′,设置处理协议命令数据流的功能模式。
所述的多兼容可信计算方法,还包括下列步骤由外部设置命令控制,功能配置单元可以根据外部设置命令的请求,返回当前的功能配置,并接受外部设置命令请求,重新设置功能模式。
所述步骤A和步骤B之间还包括下列步骤验证数据流是否完整正确,如果否,则表明数据包不正确,丢弃并准备接收新数据,转到步骤A;否则,转到步骤B。
所述步骤C中根据判断结果,进行数据处理,包括下列步骤步骤C1,如果设置为只运行第一可信计算功能单元标准的功能模式,在判断是第二可信计算功能标准的请求后,则不再打包传送到第一可信计算功能单元,直接中断处理并返回结束;否则,将解析数据重新按照第一可信计算功能标准格式打包,转入步骤D;步骤C2,如果设置为只运行第二可信计算功能单元标准的功能模式,在判断是第一可信计算功能标准的请求后,则不再打包传送到第二可信计算功能单元,直接中断处理并返回结束;否则,将解析数据重新按照第二可信计算功能标准格式打包,转入步骤D;步骤C3,如果设置为运行第一可信计算功能单元标准的功能模式和第二可信计算功能单元标准的功能模式,在判断该协议命令请求后,根据不同的协议命令字,将解析数据重新按照第一可信计算功能标准或者第一可信计算功能标准格式打包,发送给不同的功能单元处理,转入步骤D。
所述的多兼容可信计算方法,所述不同的第一可信计算功能单元和第二可信计算功能单元存储在不同的存储区域,两种存储区域之间互不关联,访问其中一个存储区域的指令不能访问另一个存储区域。
所述第一可信计算功能单元为TPM功能单元;所述第二可信计算功能单元为cTPM功能单元。
所述总线为LPC总线;所述可信接口控制单元为LPC可信接口控制单元。
本发明的有益效果是本发明的多兼容可信计算系统及计算方法,可以很好的支持多种可信计算的标准,使得可信计算系统在商业应用上具有更好的适应性,可以应用于不同的商业应用环境,拥有极大的灵活性,并且对于最终用户而言,对多种可信计算标准的使用成本也将极大的降低。
图1本发明多兼容可信计算系统结构示意图;图2为本发明多兼容可信计算方法流程图;图3为根据配置以及协议命令判断结果对协议命令数据流进行处理流程图。
具体实施例方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明的一种多兼容可信计算系统及方法进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明的多兼容可信计算系统是在同一个物理芯片中实现对多种可信计算标准的支持。
图1为本发明一种多兼容可信计算系统的结构示意图,包括至少一个TPM(Trusted Platform Module,可信赖平台模块)功能单元和至少一个cTPM(China Trusted Platform Module,中国可信平台模块)功能单元。
TPM功能单元131,又称TPM安全芯片,是指符合TPM标准的安全芯片,它能有效地保护PC、防止非法用户访问,是执行TCG可信计算标准的模块单元,该单元根据TCG组织制定的标准规范运行。
TPM标准是指1999年10月,多家IT公司联合发起成立可信赖运算平台联盟(Trusted Computing Platform Alliance,TCPA)制定的可信计算标准,初期加入者有康柏、HP、IBM、Intel、微软等公司。该联盟致力于促成新一代具有安全且可信赖的硬件运算平台。2003年3月,TCPA增加了诺基亚、索尼等公司的加入,并改组为可信赖计算组织(Trusted Computing Group,TCG),希望从跨平台和操作环境的硬件和软件两方面,制定可信赖电脑相关标准和规范。并在并提出了TPM规范,目前最新版本为1.2。
cTPM功能单元132,又称cTPM安全芯片,是指符合中国TPM标准的安全芯片,它具有现有TPM的功能,同时采用不同与TPM安全芯片的接口与算法。该安全芯片根据中国制定的可信计算标准规范运行。目前中国有联想的“恒智”cTPM安全芯片以及兆日公司的cTPM安全芯片。
TPM功能单元131和cTPM功能单元132的运行工作过程都是一种规范的现有技术,因此,在本发明实施例中不再一一详细描述。
本发明的多兼容可信计算系统,还包括一可信接口控制单元12(TrustedInformation Systems Interface,TIS Interface)。
所述可信接口控制单元12,用于从总线11(BUS)接收到传递给TPM功能单元131和/或cTPM功能单元132的协议命令数据流,根据不同的协议命令字,对协议命令数据流进行不同的处理。
其中,一般地,所述总线11为低脚位数(Low Pin Count,LPC)总线11,相应地,所述可信接口控制单元12为低脚位数-可信接口控制单元12(LPC-TISInterface)。
所述可信接口控制单元12,包括接收发送单元122,解析单元124,判断打包单元125,其中所述接收发送单元122,用于从总线11接收协议命令数据流,并将协议命令数据流发送到TPM功能单元131或者cTPM功能单元132;接收TPM功能单元131或者cTPM功能单元132的处理结果,并将处理结果返回给总线11;所述解析单元124,用于根据接收发送单元122接收的协议命令数据流,解析得到不同的协议数据包,根据不同的数据包获得不同的命令字,并将解析数据发送给判断打包单元125;所述判断打包单元125,用于根据解析数据,判断该协议命令数据流是发送到TPM功能单元131还是cTPM功能单元132,并根据判断结果,将解析数据重新按照TPM标准或者cTPM标准格式打包,并通过接收发送单元122发送给相应的功能单元。
较佳地,所述可信接口控制单元12,还包括数据验证单元123,功能配置单元121,其中所述数据验证单元123,用于接收发送单元122从总线11接收协议命令数据流后,验证该协议命令数据流是否为发送给TPM功能单元131或者cTPM功能单元132的数据流,并在验证通过后将协议命令数据流传输给解析单元124;当接收发送单元122从总线11接收协议命令数据流后,首先根据协议命令数据流中的校验位,判断数据包是否完整正确,如果否,则表明数据包不正确,丢弃并准备接收新数据;否则,在验证通过后将协议命令数据流传输给解析单元124。
所述功能配置单元121,用于设置处理协议命令数据流的功能模式。
功能配置单元121设置处理协议命令数据流的功能模式为TPM功能模式和/或者cTPM功能模式。当功能配置单元121设置为只运行TPM功能模式时,可信接口控制单元12将不对cTPM标准的请求进行响应;当功能配置单元121设置为只运行cTPM标准模式时,可信接口控制单元12将不对TPM标准的请求进行响应;当功能配置单元121设置为运行TPM功能模式和cTPM功能模式时,既可以对TPM标准进行响应,也可以对cTPM标准进行响应。
更佳地,功能配置单元121设置处理协议命令数据流的功能模式为TPM功能模式和/或cTPM功能模式时,可以由外部设置命令控制,功能配置单元121可以根据外部设置命令的请求,返回当前的功能配置,并接受外部设置命令请求,重新设置功能模式。
进一步地,本发明的多兼容可信计算系统,包括存储单元13,用于将所述TPM功能单元131和/或cTPM功能单元132的数据,分别存储在不同的存储区域。
作为一种可实施的方式,存储单元13内部有0x0000到0xFFFF大小的存储区域,则将存储区域强制划分为两个存储区域0x0000~0x7FFF和0x8000~0xFFFF。其中,0x0000~0x7FFF为TPM功能单元131的数据存储地址;0x8000~0xFFFF为cTPM功能单元132的数据存储区域。两种存储区域之间互不关联,访问其中一个存储区域的指令不能访问另一个存储区域。
从总线11发送给TPM或者cTPM功能单元132的协议命令都是标准格式的数据流,也就是说,总线11与安全芯片之间的通讯协议,不同的安全芯片,有不同的标准协议命令格式,其都是一些有标准格式的数据流,因此,当可信接口控制单元12的接收发送单元122接收到协议命令数据流后,首先由数据验证单元123校验接收到的数据流是否完整正确,并在验证通过后传输给解析单元124,解析得到不同的数据包,根据不同的数据包获得不同的命令字,然后传送给判断打包单元125,判断决定该协议命令是发送到TPM功能单元131还是cTPM功能单元132,将协议命令打包分发至TPM功能单元131或者cTPM功能单元132进行处理,并将处理结果返回给总线11。
作为一种可实施的方式,功能配置单元121可以设置处理协议命令数据流的功能模式。
如果功能配置单元121设置为只运行TPM功能模式,判断打包单元125在判断是cTPM标准的请求后,则不再打包传送到功能单元,直接中断处理并返回结束,可信接口控制单元12不对cTPM标准的请求进行响应;如果功能配置单元121设置为只运行cTPM标准模式,则判断打包单元125在判断是TPM标准的请求后,则不再打包传送到功能单元,直接中断处理并返回结束,可信接口控制单元12将不对TPM标准的请求进行响应;如果功能配置单元121设置为运行TPM功能模式和cTPM功能模式,则判断打包单元125在判断该协议命令请求后,根据不同的协议命令字将协议命令数据流发送给不同的功能单元处理,并将处理结果返回给总线11,这样,可信接口控制单元12既可以对TPM标准的TPM功能单元131进行响应,也可以对cTPM标准的cTPM功能单元132进行响应。
本发明的多兼容可信计算系统,在同一个内核上实现了多种可信计算标准所规定的功能。其分别对不同的外部请求进行控制,以最终实现对多种可信计算标准的支持。而且,多个可信计算标准的功能单元可以使用同一个物理设备,共用存储空间和通讯地址。从而以不同的形式实现了对多种可信计算标准逻辑的支持,其支持形式包括1)只支持cTPM标准;2)只支持TPM标准。3)同时支持多种可信计算标准。同时,在这样的架构上,也可以使得本发明的多兼容可信计算系统动态的支持不同的可信计算标准,即通过外部设置命令,读取并改变所支持的可信计算标准。
下面结合本发明的多兼容可信计算系统,进一步详细说明本发明的一种多兼容可信计算方法,如图所示,其包括如下步骤步骤S100,设置处理协议命令数据流的功能模式;设置处理协议命令数据流的功能模式为TPM功能模式和/或者cTPM功能模式。当设置为只运行TCG功能模式时,将不对cTPM标准的请求进行响应;当设置为只运行中国标准模式时,将不对TPM标准的请求进行响应;当设置为运行TPM功能模式和cTPM功能模式时,既可以对TPM标准进行响应,也可以对cTPM标准进行响应。
较佳地,所述多兼容可信计算方法还包括下列步骤由外部设置命令控制,可以根据外部设置命令的请求,返回当前的功能配置,并接受外部设置命令请求,重新设置功能模式。
步骤S200,从外部总线11接口接收协议命令数据流;当系统开始上电运行,自动初始化TPM功能单元131和cTPM功能单元132,以及可信接口控制单元12,等待从外部总线11接收传输给TPM功能单元131或者cTPM功能单元132的协议命令数据流。
较佳地,所述可信接口控制单元12为LPC可信接口控制单元12,所述总线11为LPC总线11。
步骤S300,验证数据流是否完整正确,如果否,则表明数据包不正确,丢弃并准备接收新数据,转到步骤S200;否则,转到下一步骤;可信接口控制单元12从总线11接收协议命令数据流后,首先根据协议命令数据流中的校验位,判断数据包是否完整正确,如果否,则表明数据包不正确,丢弃并返回步骤S200准备接收新数据;否则,在验证通过后进入下一步骤,将协议命令数据流进行解析。
步骤S400,从协议命令数据流中解析得到协议数据包,从协议数据包中获得协议命令数据流的命令字;可信接口控制单元12接收到的协议命令数据流后,根据现有的TPM和cTPM规范解析标准,从协议命令数据流中解析得到协议数据包,从协议数据包中获得协议命令数据流的命令字。
从协议命令数据流解析并获得命令字的过程,本领域普通技术人员根据现有的TPM和cTPM标准就可以解析得到,因此,在本发明中,不再一一详细描述。
步骤S500,根据解析的命令字,判断该协议命令数据流是发送到TPM功能单元131还是cTPM功能单元132,并根据判断结果,进行数据处理;由于TPM标准和cTPM标准的不同协议的命令字的定义空间是不同的,我们可以通过区分命令包的命令字部分判断该协议请求是期望以什么标准运行。
可信接口控制单元12在设置处理协议命令数据流的功能模式为TPM功能模式和/或者cTPM功能模式后。当设置为只运行TPM功能模式时,可信接口控制单元12将不对cTPM标准的请求进行响应;当设置为只运行cTPM标准模式时,可信接口控制单元12将不对TPM标准的请求进行响应;当设置为运行TPM功能模式和cTPM功能模式时,既可以对TPM标准进行响应,也可以对cTPM标准进行响应。
具体而言,所述根据判断结果,进行数据处理,包括下列步骤步骤S510,如果设置为只运行TPM功能模式,在判断是cTPM标准的请求后,则不再打包传送到TPM功能单元131,直接中断处理并返回步骤S200等待新的数据,可信接口控制单元12不对cTPM标准的请求进行响应;否则,将解析数据重新按照TPM标准格式打包,转入步骤S600;步骤S520,如果设置为只运行cTPM标准模式,在判断是TPM标准的请求后,则不再打包传送到cTPM功能单元132,直接中断处理并返回步骤S200等待新的数据,可信接口控制单元12将不对TPM标准的请求进行响应;否则,将解析数据重新按照cTPM标准格式打包,转入步骤S600;步骤S530,如果设置为运行TPM功能模式和cTPM功能模式,在判断该协议命令请求后,根据不同的协议命令字,将解析数据重新按照TPM标准或者cTPM标准格式打包,发送给不同的功能单元处理,转入步骤S600,这样,可信接口控制单元12既可以对TPM标准的TPM功能单元131进行响应,也可以对cTPM标准的cTPM功能单元132进行响应。
较佳地,不同的TPM功能单元131和cTPM功能单元132存储在不同的存储区域,两种存储区域之间互不关联,访问其中一个存储区域的指令不能访问另一个存储区域。这样,可信接口控制单元12就可以在判断不同的协议命令后,将协议命令数据流传输到不同的地址进行处理,并使得数据处理物理隔离,不会引起数据处理错误。
步骤S600,TPM功能单元131或者cTPM功能单元132对协议命令数据流数据进行处理,并将处理结果通过可信接口控制单元12返回给总线11,可信接口控制单元12重新准备接收数据。
TPM功能单元131或者cTPM功能单元132从可信接口控制单元12接收到符合自己标准对协议命令数据流,并根据现有的TPM标准或者cTPM标准对数据流进行处理,并将处理结果通过可信接口控制单元12返回给总线11。
根据TPM标准或者cTPM标准对接收到的数据流进行处理,是本领域的现有技术,因此,在本发明中不再一一详细描述。
本发明的多兼容可信计算系统及方法,在可信接口控制单元的控制下,根据不同的协议命令数据流,决定将请求发送到TPM功能单元或者cTPM功能单元,并将各单元的处理结果返回给总线。其从物理实现上,表现为在同一个内核上实现了多种可信计算标准所规定的硬件功能,分别对不同的外部请求进行控制,以最终实现对多种可信计算标准的支持。以不同的形式实现了对多种可信计算标准逻辑的支持。并且通过利用外部指令实现强制指定其所需要支持的可信计算标准,包括1)只支持cTPM标准。2)只支持TPM标准。3)同时支持多种可信计算标准。
通过以上结合附图对本发明具体实施例的描述,本发明的其它方面及特征对本领域的技术人员而言是显而易见的。
本发明多兼容可信计算系统及方法可以很好的支持多种可信计算标准,这将在商业应用上可以更好的适应于不同的商业应用环境,拥有极大的灵活性。并且对于最终用户而言,对多种可信计算标准的使用成本也将极大的降低。
以上对本发明的具体实施例进行了描述和说明,这些实施例应被认为其只是示例性的,并不用于对本发明进行限制,本发明应根据所附的权利要求进行解释。
权利要求
1.一种多兼容可信计算系统,包括至少一个第一可信计算功能单元和至少一个第二可信计算功能单元,其特征在于,还包括一可信接口控制单元,用于从总线接收到传递给第一可信计算功能单元和/或第二可信计算功能单元的协议命令数据流,根据不同的协议命令字,对协议命令数据流进行不同的处理。
2.根据权利要求1所述的多兼容可信计算系统,其特征在于,所述可信接口控制单元包括接收发送单元,解析单元,判断打包单元,其中所述接收发送单元,用于从总线接收协议命令数据流,并将协议命令数据流发送到第一可信计算功能单元或者第二可信计算功能单元;接收第一可信计算功能单元或者第二可信计算功能单元的处理结果,并将处理结果返回给总线;所述解析单元,用于根据接收发送单元接收的协议命令数据流,解析得到不同的协议数据包,根据不同的数据包获得不同的命令字,并将解析数据发送给判断打包单元;所述判断打包单元,用于根据解析数据,判断该协议命令数据流是发送到第一可信计算功能单元还是第二可信计算功能单元,并根据判断结果,将解析数据重新按照第一可信计算功能单元标准或者第二可信计算功能单元标准格式打包,并通过接收发送单元发送给相应的功能单元。
3.根据权利要求2所述的多兼容可信计算系统,其特征在于,所述可信接口控制单元还包括功能配置单元,用于设置处理协议命令数据流的功能模式。
4.根据权利要求3所述的多兼容可信计算系统,其特征在于,所述功能配置单元设置处理协议命令数据流的功能模式为第一可信计算功能单元标准的功能模式和/或者第二可信计算功能单元标准的功能模式;当功能配置单元设置为只运行第一可信计算功能单元标准的功能模式时,可信接口控制单元将不对第二可信计算功能单元标准的请求进行响应;当功能配置单元设置为只运行第二可信计算功能单元标准的功能模式时,可信接口控制单元将不对第一可信计算功能单元标准的请求进行响应;当功能配置单元设置为运行第一可信计算功能单元标准的功能模式和第二可信计算功能单元标准的功能模式时,既可以对第一可信计算功能单元的标准进行响应,也可以对第一可信计算功能单元的标准进行响应。
5.根据权利要求4所述的多兼容可信计算系统,其特征在于,所述功能配置单元设置处理协议命令数据流的功能模式为第一可信计算功能单元标准的功能模式和/或第二可信计算功能单元标准的功能模式时,由外部设置命令控制,功能配置单元可以根据外部设置命令的请求,返回当前的功能配置,并接受外部设置命令请求,重新设置功能模式。
6.根据权利要求1至5任一项所述的多兼容可信计算系统,其特征在于,所述可信接口控制单元,还包括数据验证单元,用于接收发送单元从总线接收协议命令数据流后,验证该协议命令数据流是否为发送给第一可信计算功能单元或者第二可信计算功能单元的数据流,并在验证通过后将协议命令数据流传输给解析单元。
7.根据权利要求1至5任一项所述的多兼容可信计算系统,其特征在于,还包括存储单元,用于将所述第一可信计算功能单元和/或第二可信计算功能单元的数据,分别存储在不同的存储区域。
8.根据权利要求1至5任一项所述的多兼容可信计算系统,其特征在于,所述第一可信计算功能单元为TPM功能单元;所述第二可信计算功能单元为cTPM功能单元。
9.根据权利要求8所述的多兼容可信计算系统,其特征在于,所述总线为LPC总线;所述可信接口控制单元为LPC可信接口控制单元。
10.一种多兼容可信计算方法,其特征在于,包括下列步骤步骤A,从外部总线接口接收协议命令数据流;步骤B,从协议命令数据流中解析得到协议数据包,从协议数据包中获得协议命令数据流的命令字;步骤C,根据解析的命令字,判断该协议命令数据流是发送到第一可信计算功能单元还是第二可信计算功能单元,并根据判断结果,进行数据处理;步骤D,第一可信计算功能单元或者第二可信计算功能单元对协议命令数据流数据进行处理,并将处理结果通过可信接口控制单元返回给总线,可信接口控制单元重新准备接收数据。
11.根据权利要求10所述的多兼容可信计算方法,其特征在于,所述步骤A之前还包括下列步骤步骤A′,设置处理协议命令数据流的功能模式。
12.根据权利要求11所述的多兼容可信计算方法,其特征在于,还包括下列步骤由外部设置命令控制,功能配置单元可以根据外部设置命令的请求,返回当前的功能配置,并接受外部设置命令请求,重新设置功能模式。
13.根据权利要求10至12任一项所述的多兼容可信计算方法,其特征在于,所述步骤A和步骤B之间还包括下列步骤验证数据流是否完整正确,如果否,则表明数据包不正确,丢弃并准备接收新数据,转到步骤A;否则,转到步骤B。
14.根据权利要求11或12所述的多兼容可信计算方法,其特征在于,所述步骤C中根据判断结果,进行数据处理,包括下列步骤步骤C1,如果设置为只运行第一可信计算功能单元标准的功能模式,在判断是第二可信计算功能标准的请求后,则不再打包传送到第一可信计算功能单元,直接中断处理并返回结束;否则,将解析数据重新按照第一可信计算功能标准格式打包,转入步骤D;步骤C2,如果设置为只运行第二可信计算功能单元标准的功能模式,在判断是第一可信计算功能标准的请求后,则不再打包传送到第二可信计算功能单元,直接中断处理并返回结束;否则,将解析数据重新按照第二可信计算功能标准格式打包,转入步骤D;步骤C3,如果设置为运行第一可信计算功能单元标准的功能模式和第二可信计算功能单元标准的功能模式,在判断该协议命令请求后,根据不同的协议命令字,将解析数据重新按照第一可信计算功能标准或者第一可信计算功能标准格式打包,发送给不同的功能单元处理,转入步骤D。
15.根据权利要求12所述的多兼容可信计算方法,其特征在于,所述不同的第一可信计算功能单元和第二可信计算功能单元存储在不同的存储区域,两种存储区域之间互不关联,访问其中一个存储区域的指令不能访问另一个存储区域。
16.根据权利要求14所述的多兼容可信计算方法,其特征在于,所述第一可信计算功能单元为TPM功能单元;所述第二可信计算功能单元为cTPM功能单元。
17.根据权利要求16所述的多兼容可信计算方法,其特征在于,所述总线为LPC总线;所述可信接口控制单元为LPC可信接口控制单元。
全文摘要
本发明公开了一种多兼容性可信计算系统及方法。该系统包括至少一个第一可信计算功能单元和至少一个第二可信计算功能单元,还包括一可信接口控制单元,用于从总线接收到传递给第一可信计算功能单元和/或第二可信计算功能单元的协议命令数据流,根据不同的协议命令字,对协议命令数据流进行不同的处理。其拥有很好的兼容性和适应性,占用资源少,成本低。
文档编号G06F21/00GK101055612SQ20071009871
公开日2007年10月17日 申请日期2007年4月25日 优先权日2007年4月25日
发明者魏恺言, 刘宏伟, 袁兰平, 乔椿 申请人:深圳兆日技术有限公司