[发明专利]用于TPM故障切换的方法和装置

说明书

本公开的实施例涉及一种用于TPM故障切换的方法和装置。公开了一种在计算设备上执行安全操作的方法。该方法包括以下步骤：检测第一可信平台模块(TPM)是否被损坏；以及响应于检测到第一TPM被损坏，将原本要由第一TPM执行的安全操作转换到第二TPM。还提供了一种用于检测TPM的故障并提供故障切换的计算设备。因此，上述方法解决了在TPM设备被破坏且不可用时必须更换整个主板的问题。

技术领域

本发明涉及计算设备中使用的安全密码处理器，具体涉及这种密码处理器的故障的检测及其故障切换。

背景技术

存储在计算机系统上的信息的安全是主要的关注点。从安装在计算机系统上的安全应用软件到访问信息所需的硬件密钥，已经实现了许多不同的技术来保护这些信息。另一种保护信息的方式被称为来自可信计算组织(TCG)的可信平台模块(TPM)规范。在该规范中，包括可编程微控制器的标准芯片组在制造期间被提供在计算机的电路板上，并被用于存储和保护期望被保护的计算机系统的信息，即实现有效的可信计算特征。在微控制器上运行的安全架构(即功能和应用程序接口(API))可以被称为TPM。TPM可以提供各种特征，包括随机数字生成器、用于安全生成加密密钥的设施以及限制密钥使用的能力，例如用于签名和验证，和/或加密和解密。

然而，传统计算设备中与TPM芯片相关的问题是，TPM芯片被焊接到计算设备的主板，在TPM芯片被破坏的情况下，必须更换整个主板。TPM芯片可能由于固件更新而被破坏，或者由于TPM芯片的内部存储装置磨损而被破坏。由于TPM芯片的破坏所导致的主板更换不仅成本非常高，而且还中断了计算设备的正常操作，特别是对于经常需要7×24运行的服务器而言。

发明内容

因此，在一个方面中，本发明提供了一种在计算设备上执行安全操作的方法。该方法包含以下步骤：检测第一可信平台模块(TPM)是否被损坏；以及响应于检测到第一TPM被损坏，将原本要由第一TPM执行的安全操作转换到第二TPM。

优选地，该转换步骤还包含在不影响存储器映射I/O(MMIO)中的TPM存储器映射的情况下，通过多工器选择第二TPM。

在一个具体的实现中，多工器是计算设备的通用输入/输出(GPIO)电路。

根据优选实施例的变型，转换步骤之后是计算设备的重启。

根据优选实施例的另一个变型，转换步骤还包含TPM准备、TPM版本对齐检查或TPM版本切换。

在一个具体的实现中，检测步骤还包含尝试向第一TPM发送TPM接口规范(TIS)命令并从第一TPM接收响应。

优选地，评估步骤还包含基于从第一TPM接收到的响应来确定损坏程度。

在另一个具体的实现中，检测步骤和评估步骤在计算设备的通电自检(POST)过程期间发生，并且包括执行统一可扩展固件接口(UEFI)的驱动程序执行环境(DXE)代码。

在又一个具体的实现中，检测步骤和评估步骤在计算设备的操作系统被加载有特定的OS驱动程序之后发生，并且涉及高级配置和功率接口(ACPI)。

根据本发明的另一个方面，一种计算设备包括：控制模块；第一可信平台模块(TPM)；以及第二TPM。控制模块可操作以检测第一TPM是否被损坏，以及响应于第一TPM被损坏，将原本要由第一TPM执行的安全操作转换到第二TPM。

优选地，控制模块适于检测第一TPM的可用性，评估第一TPM的损坏程度，并将第一TPM的状态标记在主板上的一致性存储装置中。

优选地，计算设备还包含多工器，通过该多工器从第一TPM转换到第二TPM不会影响存储器映射I/O(MMIO)中的TPM存储器映射。

在具体的实现中，多工器是计算设备的通用输入/输出(GPIO)电路。