[发明专利]计算机系统以及初始化计算机系统的方法

说明书

本发明揭露一种计算机系统以及初始化计算机系统的方法，此计算机系统包含中央处理单元、可信根装置以及信任平台模块。此方法包含使用可信根装置验证中央处理单元的启动代码可信根装置，使用经验证的启动代码启动中央处理单元；在中央处理单元启动后，中央处理单元开始一题询答处理，让信任平台模块验证可信根装置。只有当题询答处理中可信根装置验证成功，信任平台模块才释出用于计算机系统运作的一资源。

相关申请的交互参照：此申请书主张于2018年4月18日所提交的美国正式案申请案号第15/955,703的优先权。该等申请案的揭示内容以引用的方式完整并入本文中。

技术领域

本发明关于计算机系统安全，特别是关于一种方法以及系统用以结合信任平台模块(TPM)以及根装置(Root Device)。

背景技术

近年来，有些计算机系统会包含可信根装置(Trusted Root Device,TRD)。可信根装置通常是一个以一致性预期方式运作的装置，用以执行验证开机、实施启动政策以及验证计算机系统启动代码。

发明内容

本发明的一实施例描述一种用以初始化计算机系统的方法，其包含一中央处理单元(CPU)、一可信根装置(TRD)以及一信任平台模块(TPM)。此方法包含使用可信根装置来验证中央处理单元的一启动代码，以及使用经验证的启动代码来启动中央处理单元。当信任平台模块验证可信根装置时，中央处理单元启动以一题询答处理(challenge-responsetransaction，又称为质询-回应处理)。只有使用题询答处理中可信根装置成功验证，计算机系统运作中使用的一资源才可从信任平台模块释放。

在一些实施例中，题询答处理是基于一储存在可信根装置以及信任平台模块的密钥。在一实施例中，题询答处理的开始动作包含避免不安全地暴露密钥至运算系统的任何接口(interface)。

在一些实施例中，题询答处理的开始动作包含使用中央处理单元向信任平台模块要求发出一质询，并将此质询转发至可信根装置，以及从可信根装置取得对该质询的回应，并将该回应转发至信任平台模块。在一教示实施例，从信任平台模块释放资源的动作包含释放一解密金钥，其用以解密计算机系统的加密内容。在另一实施例中，从信任平台模块释放资源的步骤包含释放一身份密钥，其用以证明使用者的身份或是计算机系统的身份。

根据一实施例，本发明还提供一种计算机系统，其包含一中央处理单元，一可信根装置以及一信任平台模块。可信根装置用以使用可信根装置来验证中央处理单元的一启动代码。中央处理单元使用经验证的启动代码来进行启动，以及启动后，中央处理单元开始题询答处理，使信任平台模块验证可信根装置。只有当使用题询答处理的可信根装置成功验证，信任平台模块才释放计算机系统运作中使用的资源。

为让本发明的上述特征和优点能更明显易懂，下文特举实施例，并配合所附图式作详细说明如下。

附图说明

图1绘示本发明的一实施例之一计算机系统。

图2是本发明的一实施例的对计算机系统安全初始化的方法的流程图。

附图标号：

20：计算机系统

24：中央处理单元,芯片组

28：可信根装置(例如EC)

32：SPI快闪存储器

36：信任平台模块

40：处理器

44：内部存储器

50、54、58、62、66、70、74、78、82：步骤

具体实施方式