本發明揭露一種計算機系統以及初始化計算機系統的方法，此計算機系統包含中央處理單元、可信根裝置以及信任平臺模塊。此方法包含使用可信根裝置驗證中央處理單元的啟動代碼可信根裝置，使用經驗證的啟動代碼啟動中央處理單元；在中央處理單元啟動后，中央處理單元開始一題詢答處理，讓信任平臺模塊驗證可信根裝置。只有當題詢答處理中可信根裝置驗證成功，信任平臺模塊才釋出用于計算機系統運作的一資源。

相關申請的交互參照：此申請書主張于2018年4月18日所提交的美國正式案申請案號第15/955,703的優先權。該等申請案的揭示內容以引用的方式完整并入本文中。

技術領域

本發明關于計算機系統安全，特別是關于一種方法以及系統用以結合信任平臺模塊(TPM)以及根裝置(Root Device)。

背景技術

近年來，有些計算機系統會包含可信根裝置(Trusted Root Device,TRD)。可信根裝置通常是一個以一致性預期方式運作的裝置，用以執行驗證開機、實施啟動政策以及驗證計算機系統啟動代碼。

發明內容

本發明的一實施例描述一種用以初始化計算機系統的方法，其包含一中央處理單元(CPU)、一可信根裝置(TRD)以及一信任平臺模塊(TPM)。此方法包含使用可信根裝置來驗證中央處理單元的一啟動代碼，以及使用經驗證的啟動代碼來啟動中央處理單元。當信任平臺模塊驗證可信根裝置時，中央處理單元啟動以一題詢答處理(challenge-responsetransaction，又稱為質詢-回應處理)。只有使用題詢答處理中可信根裝置成功驗證，計算機系統運作中使用的一資源才可從信任平臺模塊釋放。

在一些實施例中，題詢答處理是基于一儲存在可信根裝置以及信任平臺模塊的密鑰。在一實施例中，題詢答處理的開始動作包含避免不安全地暴露密鑰至運算系統的任何接口(interface)。

在一些實施例中，題詢答處理的開始動作包含使用中央處理單元向信任平臺模塊要求發出一質詢，并將此質詢轉發至可信根裝置，以及從可信根裝置取得對該質詢的回應，并將該回應轉發至信任平臺模塊。在一教示實施例，從信任平臺模塊釋放資源的動作包含釋放一解密金鑰，其用以解密計算機系統的加密內容。在另一實施例中，從信任平臺模塊釋放資源的步驟包含釋放一身份密鑰，其用以證明使用者的身份或是計算機系統的身份。

根據一實施例，本發明還提供一種計算機系統，其包含一中央處理單元，一可信根裝置以及一信任平臺模塊。可信根裝置用以使用可信根裝置來驗證中央處理單元的一啟動代碼。中央處理單元使用經驗證的啟動代碼來進行啟動，以及啟動后，中央處理單元開始題詢答處理，使信任平臺模塊驗證可信根裝置。只有當使用題詢答處理的可信根裝置成功驗證，信任平臺模塊才釋放計算機系統運作中使用的資源。

為讓本發明的上述特征和優點能更明顯易懂，下文特舉實施例，并配合所附圖式作詳細說明如下。

附圖說明

圖1繪示本發明的一實施例之一計算機系統。

圖2是本發明的一實施例的對計算機系統安全初始化的方法的流程圖。

附圖標號：

20：計算機系統

24：中央處理單元,芯片組

28：可信根裝置(例如EC)

32：SPI快閃存儲器

36：信任平臺模塊

40：處理器

44：內部存儲器

50、54、58、62、66、70、74、78、82：步驟

具體實施方式