【摘要】 一种对BIOS进行保护的可信计算系统及其应用方法属于信息安全领域,特征在于可信计算模块与BOOT ROM的物理连接方式:先将所述可信计算模块连接到系统主板上,再通过通信总线将BOOT ROM连接到可信计算模块上。可信计算模块包括DMA控制器、FIFO单元、安全隔离单元;DMA控制器用于将BIOS代码读入到可信计算模块的FIFO单元或者将BIOS代码从FIFO单元中读出到可信计算模块I/O总线上;FIFO用于暂存待处理的BIOS代码;安全隔离单元用于防止可信计算模块外部恶意程序读取可信计算模块内部存储单元机密信息。本发明对BIOS代码的读写和更新都需要对当前操作用户进行身份认证和口令认证,保证BIOS关键代码自身的安全性;通过硬件方法实现设备访问控制,达到对主板外围设备进行主动控制的效果。 【专利类型】发明授权 【申请人】北京工业大学 【申请人类型】学校 【申请人地址】100124 北京市朝阳区平乐园100号 【申请人地区】中国 【申请人城市】北京市 【申请人区县】朝阳区 【申请号】CN200810111682.8 【申请日】2008-05-16 【申请年份】2008 【公开公告号】CN101281577B 【公开公告日】2010-06-23 【公开公告年份】2010 【授权公告号】CN101281577B 【授权公告日】2010-06-23 【授权公告年份】2010.0 【IPC分类号】G06F21/22; G06F9/445; G06F21/12 【发明人】张兴; 毛军捷; 马朝斌; 刘贤刚; 姜广智; 孙瑜; 庄俊玺; 李萌萌; 李瑜 【主权项内容】1.一种可信计算系统,包括主板及主板外围设备,主板包括可信计算模块TCM、中央处理器CPU、主板设备控制器,BOOT ROM;所述可信计算模块包括:自主密码引擎、自主密码算法模块和自主密钥生成器,I/O总线;所述可信计算模块用于,不可篡改地存储核心可信度量根、可信存储根、可信报告根,对外围设备和BIOS关键代码进行完整性度量与读写保护;所述CPU用于,接收到可信计算模块对BIOS关键代码度量完成的指示后,加载并执行BIOS代码中的初始化和启动部分;主板外围设备用于,接受可信计算模块的权限访问控制,针对不同的用户提供不同的服务;所述BOOT ROM用于,存储可信计算系统的初始化和启动代码;其特征在于:所述可信计算模块与BOOT ROM的物理连接方式:先将所述可信计算模块连接到系统主板上,再通过通信总线将BOOT ROM连接到可信计算模块上;用于保护BIOS代码,防止恶意程序对其篡改;在主板设备控制器与主板外围硬件设备的控制信号线之间添加一个访问控制器,由可信计算模块负责控制该设备访问控制器,阻断或者接通系统设备控制器与主板外围硬件设备的控制信号线;所述访问控制器,系统CPU通过该设备访问控制器发出设备访问信号,访问主板上的所有硬件设备;所述访问控制器的输入信号线,至少包括一条接在系统设备控制器上,一条接在所述可信计算模块的I/O总线上。 【当前权利人】北京工业大学 【当前专利权人地址】北京市朝阳区平乐园100号 【专利权人类型】公立 【统一社会信用代码】12110000400687411U 【引证次数】4.0 【被引证次数】2 【他引次数】4.0 【被他引次数】2.0 【家族引证次数】4.0 【家族被引证次数】45
