[发明专利]用于可信引导优化的方法和设备

权利要求书

1.一种用于引导数据处理系统的方法，所述方法包括：

响应数据处理系统被再激活而执行所述数据处理系统的引导过程，其中执行所述引导过程的所述操作包括运行引导对象，以及其中所述数据处理系统包括具有被保护免于更新的高速缓存的高完整性存储(HIS)装置；以及

在所述引导过程期间，在运行所述引导对象之前，从所述HIS装置的被保护高速缓存来检索所述引导对象的摘要，其中所述摘要包括所述引导对象的密码散列值。

2.如权利要求1所述的方法，还包括：

在所述引导过程期间，使用所述引导对象的所检索摘要来扩展所述数据处理系统的可信平台模块(TPM)中的平台配置寄存器(PCR)。

3.如权利要求1所述的方法，还包括：

对所述引导对象进行散列，以便生成所述引导对象的所述摘要；以及

将所述引导对象的所述摘要保存在所述HIS装置的被保护高速缓存中。

4.如权利要求1所述的方法，还包括：

在所述引导过程期间，在从所述HIS装置的被保护高速缓存来检索所述引导对象的所述经高速缓存的摘要之前，自动将所述HIS装置的被保护高速缓存设置成只读模式。

5.如权利要求4所述的方法，还包括：

确定是否已经授权所述数据处理系统的用户更新所述被保护高速缓存；以及

仅在确定已经授权所述用户更新所述被保护高速缓存之后才将所述HIS装置的被保护高速缓存设置成可写模式。

6.如权利要求5所述的方法，还包括：

在将所述被保护高速缓存设置成可写模式之后，将新摘要保存在所述被保护高速缓存中；以及

在将所述新摘要保存在所述高速缓存中之后，自动将所述被保护高速缓存设置成只读模式。

7.如权利要求6所述的方法，还包括：

将新引导对象保存在所述数据处理系统中；以及

其中所述新摘要包括所述新引导对象的密码散列值。

8.如权利要求6所述的方法，其中，确定是否已经授权所述用户更新所述被保护高速缓存、将所述被保护高速缓存设置成可写模式、将所述新摘要保存在所述被保护高速缓存中以及自动将所述被保护高速缓存设置成只读模式的所述操作在所述引导过程期间执行。

9.如权利要求6所述的方法，还包括：

在将所述被保护高速缓存设置成可写模式之后，自动监测所述用户是否在所述数据处理系统在场；以及

响应检测到所述用户的不在场而自动撤回写特权。

10.如权利要求1所述的方法，还包括：

在所述引导过程期间，将引导配置数据记录在所述数据处理系统的可信平台模块(TPM)的事件日志中，其中所述引导配置数据指示在所述引导过程期间是否使用所述HIS装置。

11.如权利要求1所述的方法，其中：

所述数据处理系统包括可信平台模块(TPM)；以及 

将所述高完整性存储(HIS)装置与所述TPM集成。

12.如权利要求11所述的方法，其中：

从所述HIS装置的被保护高速缓存来检索所述引导对象的所述摘要的所述操作包括运行单个指令，所述指令使所述TPM从所述集成HIS存储装置来读取所述摘要以及将所述摘要扩展到所述TPM中的平台配置寄存器(PCR)。

13.如权利要求12所述的方法，其中，所述单个指令包括读扩展指令。

14.如权利要求11所述的方法，其中，在所述引导过程期间得到所述引导对象的所述摘要，而在那个引导过程期间不计算所述引导对象的所述摘要。

15.至少一个非暂时机器可访问介质，包括：

指令，在由数据处理系统所运行时使所述数据处理系统能够执行如权利要求1至14中的任一项所述的方法。

16.一种数据处理系统，包括：

处理器；

响应所述处理器的至少一个非暂时机器可访问介质；以及

所述机器可访问介质中的指令，在由所述数据处理系统所运行时使所述数据处理系统能够执行如权利要求1至14中的任一项所述的方法。