CN1678968A

CN1678968A - 可信计算机平台

Info

Publication number: CN1678968A
Application number: CNA038199068A
Authority: CN
Inventors: W·怀斯曼; D·格劳罗克
Original assignee: Intel Corp
Current assignee: Intel Corp
Priority date: 2002-06-28
Filing date: 2003-06-27
Publication date: 2005-10-05
Anticipated expiration: 2023-06-27
Also published as: ATE550728T1; CN100388150C; EP1518158B1; US20040003288A1; WO2004003824A1; EP1518158A1; AU2003280494A1; US7216369B2; ES2381355T3

Abstract

一种装置可包括耦合到已检验平台安全属性策略模块以及比较模块的测量的信任根(RTM)模块。如果包含在平台安全属性策略模块中的策略被违反，则比较模块可用于防止控制向操作系统的转移(和/或停止引导进程)。一种系统可包括耦合到处理器的存储器、平台安全属性策略模块以及比较模块。存储器可包括RTM。一种方法可包括在RTM中的入口点开始运行，确定RTM是可信的，确定与平台相关的主初始化代码是可信的，以及把控制转移到主初始化代码，否则，制止把控制转移到主初始化代码。

Description

可信计算机平台

相关申请

本申请涉及2000年12月27日提交的题为“创建加强适当用户验证以及加强硬件配置的安全引导的方法”的共同未决申请第09/751897号，它共同转让给本发明的受让人。

技术领域

一般来说，本发明涉及提供计算平台的安全性的装置、系统及方法。更具体来说，本发明涉及用来提供可能出现于可信计算平台中的硬件和软件验证的装置、系统及方法。

背景信息

在越来越受到连接大量计算资源的网络的存在的影响的世界里，数据安全性、信息保护以及用户保密的主题变得极为重要。个人计算机(PC)通常提供开放式体系结构作为工业标准，它可用来构建普遍存在的计算平台。但是，平台中的可信度(trust)一般不是这类设计的组成部分。如本文所用的术语“平台”可被认为是表示任何类型的装置，包括硬件、固件、软件或它们的任何组合，根据多个编程指令来指导其活动。

要运行应用程序时，平台通常在操作系统(OS)的控制下运行。操作系统和预操作系统组件是复杂的，并且要求加载(即“引导”)过程将它们装入平台的存储器。当平台从断电或挂起状态转变到加电状态时，或者当重置信号施加到平台的重置线时，平台加载OS。本文中，术语“平台重置”可用来表示这些条件中的任一个。平台初始化代码包含两个成分：平台初始化引导块(PIBB)和主平台初始化代码(MPIC)。在平台重置出现之后，中央处理器(CPU)开始在PIBB内的众所周知的已定义单元上运行。这个代码有意地较小、健壮和安全。PIBB运行代码，使主平台初始化代码所需的平台上的装置能够运行。然后，PIBB把平台的控制传递给主平台初始化代码。

主平台初始化代码执行必要的功能来完成平台的初始化。这些功能可包括初始化嵌入平台中的装置，以及查找和初始化可选插件或内嵌适配器(具有其本身的装置初始化代码)。此后，主平台初始化代码查找OS加载程序并运行该程序。OS加载程序又把OS载入存储器，并开始运行OS。这时，平台被认为处于OS存在状态，并完全处于所加载的OS的控制下。

每当不可信平台加载OS时，甚至没有将平台连接到网络，也会导致对安全策略的违反。因此，可信计算在计算操作的所有方面越来越重要，甚至当这些操作与网络分开地进行时。

附图简介

图1是根据本发明的各种实施例的装置、包括机器可访问媒体的产品以及系统的框图；

图2是根据本发明的一个实施例的策略模块的框图；以及

图3A和3B是流程图，说明根据本发明的一个实施例、检验平台的可信度的方法。

实施例详细说明

在本发明的各种实施例的以下详细描述中，参照构成其组成部分的附图，附图中作为说明而不是限制，给出可实施本发明的具体实施例。附图中，相同的标号描述若干视图中基本相似的元件。充分详细地描述所述实施例，使本领域的技术人员能够实施本文公开的理论。其它实施例可以使用并可从中导出，使得可进行结构的和逻辑的替换以及变更，而没有背离本公开的范围。因此，以下详细描述不应认为是限制性的，本发明的各种实施例的范围仅由所附权利要求以及权利要求涵盖的全部等效范围来限定。

当第一实体(例如代表个人或组织运行的程序)获得认为从第二实体(例如个人计算机)接收的状态、配置和响应是与它们对第一实体所表示的同样准确的基础时建立可信度。可信计算平台联盟(TCPA)已经开发一种标准，为工业界提供一组工作条件，它实现计算平台及环境的可信度。这个标准“TCPA主要规范”(版本1.1a，2001年11月12日)目前可见于www-trustedcomputing-org(为了避免无意的超链接，前面URL中的句点由短划线代替)。作为各平台的组成部分，TCPA主要规范定义计算环境元素，它们用来保护商务和个人计算通信中的信息。现有的基于软件的安全服务不足以提供平台可信的证明。TCPA主要规范详细说明一些机制，在平台中实现时，这些机制将提供提高的可信度，以及实现现有业务的增强以及新业务的提供。

TCPA主要规范还定义一组组件，可信任它们按预计进行操作。当嵌入平台时，这些组件将可靠地测量及报告关于那个平台中的环境的信息。这些组件的这个“完整性校验”特征补充及增强仅软件安全服务。这些组件包括独立的计算引擎，其过程是可信的，因为它们无法被改变。这些可信过程包括受保护存储、数字签名以及公钥基础设施(PKI)数据交换。

TCPA启用装置、即可信平台模块(TPM)的所建议性能是“报告”平台的完整性，从而允许该平台引导到OS，即使其中安装了不可信组件。这允许外部资源(例如网络中的服务器)确定平台的置信度，但不防止用户对平台的访问。

图1是根据本发明的各种实施例的装置、包括机器可访问媒体的产品以及系统的框图。在本发明的一个实施例中，用于提供平台102中的可信度的装置100可包括测量的信任根(RTM)模块104以及平台安全属性策略模块106、106’。RTM 104建立平台102的可信度的基础。因此，平台用户必须首先判定信任平台的RTM 102。一旦进行了那种判定，本文所述的装置100可用来提供引导进程的剩余部分的可信度的基础。

如本文所述，假定未经授权的实体将无法修改可作为RTM 104的PIBB 108。还可假定平台102中的其它所有组件和/或模块受到有意或其它方式的攻击或修改。因此，本发明的各种实施例可用来防止在平台102中加载OS 110(通常包含在存储器111或其它存储装置中)，以及可在出现对平台的组件的未经授权的修改时警告平台用户。

TCPA主要规范定义一组可信功能和屏蔽存储单元。这些功能和存储单元包含在通常但不一定作为永久附加到平台102的装置来实现的可信平台模块(TPM)112中。

屏蔽存储单元的实例包括数据完整性寄存器(DIR)114、仅可由平台拥有者修改的非易失性寄存器以及包含度量平台102的完整性的值的平台配置寄存器(PCR)116。TCPA主要规范的一部分定义将目标的值散列化、并把散列值放入屏蔽存储单元，可能把散列值与先前存储的值组合。这些目标可包括可执行代码、配置数据、TCPA定义的信息的日志以及其它项目。

可能包含策略表118形式的信息的平台安全属性策略模块106可包含在PIBB 108中。策略表118通常包含在引导过程中影响平台的操作的信息。

如本文所述，DIR 114其中之一为策略表DIR 120。策略表DIR120(包含在TPM 112中)包含由平台拥有者或授权代理设置的信息，以便确认PIBB 108以及通过扩展确认策略表118。因此，通过测量以及对照由经授权的可信实体放入策略表DIR 120中的预加载值进行比较来建立PIBB 108以及策略模块106、106’的可信度(即策略模块106、106’必须经过检验)。策略表118包含平台102在初始化/引导过程中必须遵守的策略。

测量是得到值的动作，它可与实体的完整性直接相关。一个实例是计算大字节流的散列值，或者对于小值，可直接使用该值本身。检验是把测量值与已知的可信值进行比较。因此，如本文所定义的“测量”表示收集关于组件的数据，可选地把收集信息输入日志(可处于不可信单元)中，可选地将收集数据值和/或已记录的值散列化，以及把数据/散列数据存储到PCR 116之一。“比较测量结果”表示把策略表中的值与来自PCR 116或日志的散列或扩充数据进行比较。

如上所述，RTM模块104可以是与平台102相关的PIBB 108，它包括入口点122。假定平台102中的处理器124耦合到重置线126，处理器124通常将用于在接收到重置线126上的重置信号128(即平台重置条件)时开始在入口点122运行。

比较模块130可在通信上耦合到RTM模块104、平台安全属性策略模块106以及各种内部测量功能131并位于其中。如果包含在已检验平台安全属性策略模块106中的策略P1-Pn被违反，则比较模块130可用于防止控制向OS 110转移，和/或甚至防止引导过程的其余部分。另外，如果在平台102的初始化期间的任何时间，平台102中的某个组件违反了已检验平台安全属性策略模块106中的策略，如比较模块130所检测到的那样，则例如平台102可用来警告平台用户(和/或可能的其它装置，经由例如网络连接)：平台102试图利用无效组件进行初始化。

因此，装置100可包括告警装置132，它在通信上可能利用告警装置模块134耦合到处理器124。告警装置132可由处理器124启动，从而在包含于平台安全属性策略模块104中的策略P1-Pn被违反时提供告警信号136。告警装置132可以是用来警告平台用户关于平台因与一个或多个定义的安全策略P1-Pn的不一致而无法完成引导程序的硬件机构。告警信号136可以是简单的可听音或者单音序列、光或闪光、能触知的脉动、远程消息传递等。另外，告警或其它消息140可以可能采用耦合到比较模块130的告警装置模块134、通常通过网络接口144经网络142被发送给另一个装置。在启动告警装置132之后，平台102可进入要求平台重置条件(例如通常为上述硬件重置)以继续运行的状态。

装置100还可具有存储器146，其中包括与平台102相关的MPIC148。存储器146可在通信上耦合到平台102，以及平台102可在通信上耦合到RTM模块104。

在把控制转移到平台的初始化程序的下一个部分之前，必须从策略表118中得到授权。策略表118可包含原始散列值、扩充PCR值或者对确认凭证的标识符。标识符可以是指向存储单元的指针、索引值或可查找的任何唯一编号。

最后，在把平台102的控制转移到OS加载程序150之前，通过检验策略表118以确定以下各项，主平台初始化代码148把整体配置与平台102的加载序列进行比较：存在包含在平台102中的一组所需组件，平台102没有包含不允许的组件，和/或一组指定组件已经加载到特定序列。因此，平台102可包括存储器152或另一种存储装置，它包含平台配置154以及平台认可凭证156和平台一致性凭证158。

TCPA还提供几种不同的凭证，包括认可凭证、平台凭证以及确认凭证。认可凭证提供关于平台包含有效TPM的保证。平台凭证提供关于TPM被适当附加于平台的保证。以及确认凭证提供关于装置或装置初始化代码来自凭证中命名的厂商的保证。平台安全属性策略模块106(和/或策略表118)还可包括认可凭证、平台一致性凭证、在它们处于平台安全属性策略模块106的外部时对它们的确认(例如凭证的散列)、和/或一组强制性的序列组件。

平台102还可包括存储器160或其它存储装置，它包含与一个或多个装置DEV1-DEVn相关的一个或多个装置配置162及其相应的装置初始化代码CODE1-CODEn 164。存储器111、152和160可以是毗连的，并且包含在单个较大存储器166中，或者，存储器111、152和160可作为物理上与平台102分离的组件或装置的一部分而存在。

图2是根据本发明的一个实施例的策略模块206的框图。如上所述，包含在策略模块206中的策略表218可用于采用其中包含的一个或多个策略来定义平台的安全属性。策略表218通常驻留在PIBB中。或者，策略表218可驻留在PIBB之外(参见图1中的模块106’的位置)，但在与策略表DIR进行比较时，其测量值必须与PIBB的包含在一起。

策略表218可包括若干条目，它们通常分组为策略部分267，定义平台的安全属性，例如：平台初始化代码策略268，平台配置策略270，装置及装置初始化代码策略272，可选或内嵌装置配置策略274，OS加载程序策略276，OS加载程序配置策略278，以及其它安全相关的规则和定义。各部分267还可包含以下各项中的一部分、全部或者没有包含任何一项：原始散列策略值280，扩充策略值282，确认凭证标识符284，标识平台认可凭证的值286，标识平台一致性凭证态的值288，和/或标识确认凭证的值290。

各条目通常包含表明那个部分的所要求策略的标志。例如，该部分可以仅包含用来检验策略的原始散列值，或者可以仅包含确认凭证的标识符，表明对于那个特定部分仅允许具有确认凭证的组件。

通过把元件/模块的测量结果与适当的策略表条目进行比较，进行对组件或平台元件/模块满足已定义策略的检验。策略表218中可能存在与单个组件或模块有关的多个条目。可要求部分或全部条目或者不要求任何条目是匹配的，以便让那个组件或模块满足已定义策略。例如，所需组件292的策略274可包含检验原始散列值280、检验扩充散列值282、确认组件凭证290中的至少一个、然后再比较原始散列值280与凭证290中的指定值。如果组件292无法满足相关策略274，则检验组件292的实体可把平台的控制转移给告警装置模块。

再参照图1，这时容易理解，平台102可包括下列组件中的一个或多个：处理器124，平台初始化代码194(具有PIBB 108和主平台初始化代码148)，以及各种装置，例如平台102中的嵌入和/或可选装置DEV1-DEVn，它们可包含其本身相应的装置初始化代码CODE1-CODEn。平台102通常还包括包含或具有访问OS加载程序150的功能的装置以及包含或具有访问OS 110的功能的装置。

因此，在本发明的另一个实施例中，系统196可包括耦合到存储器198的处理器124。存储器198可包括RTM 104模块、平台安全属性策略模块106(能够在通信上耦合到存储器198)以及比较模块130(能够在通信上耦合到存储器198)。因此，存储器198可包括初始化引导块、如PIBB 108。比较模块130通常用来当包含在平台安全属性策略模块106中的策略被违反时，防止控制向操作系统110或其它预OS组件的转移(例如完全停止引导进程)。例如当测量和比较(即检验)平台安全属性模块106与TPM 112所包含的策略表DIR 120中的值失败时，可能出现这种情况。在此实施例中，比较模块130在它得到信任以进行有效比较之前应当被检验。

仍然参照图1，系统196还可包括耦合到处理器124的重置线126，其中，包含在RTM 104中的入口点122由处理器124在重置信号128施加到重置线126时运行，从而发起平台重置条件。最后，应当指出，系统196还可包括在通信上耦合到处理器124的告警装置132，其中，告警装置132可由处理器124启动，从而在已检验平台安全属性策略模块106所包含的策略被违反时提供告警信号136。

现在参照图1和图2，装置100、RTM模块104、平台安全属性策略模块106、106’、206(包括其中各种元件中的每一个)、PIBB 108、TPM 112、DIR 114、PCR 116、策略表118、218、处理器124、比较模块130、内部测量功能131、告警装置132、告警装置模块134、网络接口144以及存储器111、146、152、160、166、198在本文中都可表征为“模块”。根据装置100和系统196的设计者的需要，以及适合于本发明的具体实施例，这些模块可包括硬件电路和/或微处理器和/或存储电路、软件程序模块和/或固件以及它们的组合。

本领域的技术人员将会理解，本发明的装置和系统可用于除个人计算机以外的应用中，以及用于除包含个人计算机的网络以外的应用中，因此本发明不会受到这种限制。装置100和系统196的说明用于提供对本发明的结构的总体了解，它们不是意在用作对于可能利用本文所述结构的装置和系统的全部元件及特征的完整描述。

可包括本发明的新颖装置和系统的应用包括用于高速计算机的电子电路、通信和信号处理电路、调制解调器、处理器模块、嵌入式处理器以及包括多层多芯片模块在内的专用模块。这些装置和系统还可作为子组件包含在诸如电视、蜂窝电话、个人计算机、无线电装置、车辆之类的各种电子系统中。

图3A和3B是流程图，说明根据本发明的一个实施例、检验平台中的可信度的方法。当平台中的处理器或其它模块检测到平台重置条件时，方法313在图3A中可在框315开始。然后，在框317，处理器可开始运行入口点代码。

PIBB包含其本身的代码来执行测量(即内部测量功能)，因为其它所有组件在这时都是不可信的。PIBB利用这个内部代码在框319测量其本身，以及在框321和323根据TPM中的策略表DIR检验它是否满足策略。如果测量结果不满足策略，则控制通常被移交给告警装置模块和/或告警装置，以及在框325警告平台用户。TPM可以可选地被禁用，使得平台用作不可信平台，但允许引导进程继续进行。如果测量结果满足策略，则策略表是可信的，以及方法313可继续进行框327。

本文所公开的本发明的各种实施例涉及利用PIBB在框327测量主平台初始化代码，以及在框329检验它是否满足策略。仍然参照框327，如果存在主平台初始化代码的扩展，则PIBB还测量这些扩展，以及检验它们是否满足策略。如果在框329测量结果不满足策略，则控制通常被移交给告警装置模块和/或告警装置，以及在框325警告平台用户。

如果平台包含平台、一致性或认可凭证，则在框333通过策略表中的相应条目对它们进行检验。如果凭证没有检验，则平台不满足策略。如果在框335测量结果不满足策略，则控制通常被移交给告警装置模块和/或告警装置，以及在框325警告平台用户。

主平台初始化代码可用来检查可选或嵌入式装置的平台及其装置初始化代码。但是，在把控制从主平台初始化代码转移到任何装置初始化代码之前，在框337和339，主平台初始化代码应当检验该装置及其装置初始化代码是否满足策略。如果在框339测量结果不满足策略，则控制通常被移交给告警装置模块和/或告警装置，以及在框325警告平台用户。

装置初始化代码可验证它们的相关装置的配置。在这种情况下，在框341，控制可转移到装置初始化代码。对于各装置，如果在与所选装置相关的策略表中存在某个条目，则在框343，与那个装置相关的装置初始化代码可检验相关装置的配置是否满足策略，其中包括相关装置的任何隐藏组件。如果在框345测量结果不满足策略，则控制通常被移交给告警装置模块和/或告警装置，以及在框325警告平台用户。如果在框347确定存在另一个策略表条目及相关装置初始化代码，则可在框337测量该代码，以及框339、341、343、345和347所述的过程可重复进行任何次数。

在已经运行所有装置初始化代码以及初始化所有装置之后，方法313可在图3B中在框349继续进行，其中，主平台初始化代码可用来收集与平台的配置有关的信息，以及在框351检验它是否满足策略。如果在框351测量结果不满足策略，则控制通常被移交给告警装置模块和/或告警装置，以及在框325警告平台用户。

在完成所有主平台初始化代码功能时，主平台初始化代码可查找OS加载程序，以及在框353和355检验OS加载程序是否满足策略。如果在框355测量结果不满足策略，则控制通常被移交给告警装置模块和/或告警装置，以及在框325警告平台用户。

在把控制转移到OS加载程序之前，在框357，主平台初始化代码可检查策略表，以得到所需的、不允许的和/或强制的序列组件集合。策略可要求存在具体组件；它可以不允许具体组件；或者可要求具体的组件序列。如果任何所需条件不满足，则在框359，平台不满足策略，控制通常被移交给告警装置模块和/或告警装置，以及在框325警告平台用户。

如果在框359满足策略，则在框361，控制转移到OS加载程序。如果OS加载程序允许一些选项，则OS加载程序在框363和365可用来检验那些选项是否满足策略。如果在框365测量结果不满足该策略，则控制通常被移交给告警装置模块和/或告警装置，以及在框325警告平台用户。如果在框365满足策略，则在框369，允许OS加载程序加载OS，以及平台的控制转移到OS。在这时，方法313结束。

总之，方法313可包括：检测平台重置条件；在测量的信任根(RTM)中的入口点开始运行；以及确定RTM是可信的，它可包括确定与该RTM相关的平台安全属性策略模块是可信的。确定与RTM相关的平台安全属性策略模块是可信的步骤可包括测量策略表以及把测量结果与DIR(包含在TPM中)中包含的一个或多个值进行比较。

该方法可继续确定与平台相关的主初始化代码是可信的，以及把控制转移到主初始化代码。否则，该方法可通过确定与平台相关的主初始化代码不是可信的来工作，并且可制止把控制转移到主初始化代码。另外，该方法可通过在与RTM相关的策略被违反时制止加载与平台相关的操作系统来工作。

该方法还可包括确定平台配置没有违反与RTM相关的策略、确定装置没有违反与RTM相关的策略、确定与装置相关的装置初始化代码没有违反与RTM相关的策略、以及把控制转移到装置初始化代码。

该方法还可包括确定与平台相关的操作系统加载程序没有违反与RTM相关的策略、确定存在所选的一组组件、以及把控制转移到与平台相关的操作系统加载程序。该方法还可包括确定不存在所选的一组不允许组件以及把控制转移到与平台相关的操作系统加载程序。

因此，再参照图1，这时易于理解，本发明的另一个实施例可包括：产品199，例如计算机、存储系统、磁盘或光盘、其它某种存储装置和/或任何类型的电子装置或系统，其中包含具有相关数据108(例如计算机程序指令)的机器可访问媒体194(例如包含电、光或电磁导体的存储器)，它在被访问时，使机器执行一些动作，例如在测量的信任根(RTM)中的入口点开始运行，确定RTM是可信的，确定与平台相关的主初始化代码是可信的，并把控制转移到主初始化代码，否则，确定与平台相关的主初始化代码不是可信的，并制止把控制转移到主初始化代码。

其它动作可包括确定平台配置没有违反与RTM相关的策略、确定与平台相关的操作系统加载程序没有违反与RTM相关的策略、确定存在所选的一组组件、以及把控制转移到与平台相关的操作系统加载程序。同样，确定不存在所选的一组不允许组件以及把控制转移到与平台相关的操作系统加载程序的步骤还可包含在这些活动的范围之内。

虽然本文已经说明和描述了特定实施例，但本领域的技术人员理解，用于实现相同目的的任何配置均可取代所示的特定实施例。本公开意在涵盖本发明的各种实施例的所有可能的修改或变更。应理解，以上描述是以说明形式而不是限制形式进行的。通过阅读以上说明，本领域的技术人员会十分清楚以上实施例的组合以及本文没有明确说明的其它实施例。本发明的各种实施例的范围包括采用上述结构和方法的其它任何应用。因此，本发明的各种实施例的范围应当参照所附权利要求以及权利要求涵盖的完整等效范围来确定。

要强调的是，“摘要”是根据37 C.F.R.§1.72(b)要求“摘要”以便使读者快速了解技术公开的性质和要点而提供的。应当理解，它的提供并不是用于解释或限制权利要求的范围或含意。

在本发明的实施例的以上描述中，各种特征共同集合到单一实施例中，用于简化本公开。这种公开的方法不应解释为反映了要求其权益的本发明的实施例要求超过各权利要求中明确描述的特征的意图。相反，如以下权利要求所反映的那样，发明主题在于少于单个公开实施例的全部特征。因此，以下权利要求结合到发明的实施例说明中，其中各权利要求本身代表一个单独的优选实施例。

Claims

1.一种装置，包括：

测量的信任根(RTM)模块；

平台安全属性策略模块，能够在通信上耦合到所述RTM；以及

比较模块，能够在通信上耦合到所述RTM模块，所述比较模块在所述平台安全属性策略模块中包含的策略被违反时防止控制向操作系统的转移。

2.如权利要求1所述的装置，其特征在于，所述RTM模块包括与平台相关的初始化引导块。

3.如权利要求2所述的装置，其特征在于，所述初始化引导块包括在接收到耦合到处理器的重置线上的重置信号、从而发起平台重置条件时能够由所述处理器运行的入口点。

4.如权利要求1所述的装置，其特征在于还包括：

包含与平台相关的主初始化代码的存储器，其中所述存储器在通信上耦合到所述平台，以及其中所述平台在通信上耦合到所述RTM模块。

5.如权利要求1所述的装置，其特征在于还包括：

可信平台模块(TPM)，包含与所述平台安全属性策略模块相关、存储在屏蔽存储单元中的值。

6.如权利要求1所述的装置，其特征在于还包括：

包含在所述平台安全属性策略模块中的平台凭证。

7.如权利要求1所述的装置，其特征在于还包括：

包含在所述平台安全属性策略模块中的序列组件的强制集合。

8.一种系统，包括：

包含测量的信任根(RTM)的存储器；

平台安全属性策略模块，能够在通信上耦合到所述存储器；

比较模块，能够在通信上耦合到所述存储器，所述比较模块在所述平台安全属性策略模块中包含的策略被违反时防止控制向操作系统的转移；以及

处理器，能够在通信上耦合到所述存储器。

9.如权利要求8所述的系统，其特征在于还包括：

重置线，在通信上耦合到所述处理器，其中所述RTM中包含的入口点由所述处理器在重置信号施加到所述重置线、从而发起平台重置条件时运行。

10.如权利要求8所述的系统，其特征在于还包括：

可信平台模块(TPM)，包含与所述平台安全属性策略模块相关并存储在屏蔽存储单元中的值。

11.如权利要求8所述的系统，其特征在于还包括：

告警装置，在通信上耦合到所述处理器，其中所述告警装置要由所述处理器启动，从而在所述平台安全属性策略模块中包含的策略被违反时提供告警信号。

12.一种方法，包括：

在测量的信任根(RTM)中的入口点开始运行；

确定所述RTM是可信的；

确定与平台相关的主初始化代码是可信的，以及把控制转移到所述主初始化代码；以及

否则，确定与平台相关的主初始化代码不是可信的，以及禁止把控制转移到所述主初始化代码。

13.如权利要求12所述的方法，其特征在于还包括：

检测平台重置条件。

14.如权利要求12所述的方法，其特征在于还包括：

如果与所述RTM相关的策略被违反，则制止加载与所述平台相关的操作系统(OS)或其它预OS组件。

15.如权利要求12所述的方法，其特征在于，所述RTM是与所述平台相关的初始化引导块。

16.如权利要求12所述的方法，其特征在于，确定所述RTM可信的步骤还包括：

通过测量所述策略表以提供测量结果、并把所述测量结果与可信平台模块内的屏蔽存储单元中存储的值进行比较，确定与所述RTM相关的策略表是可信的。

17.如权利要求12所述的方法，其特征在于还包括：

确定装置没有违反与所述RTM相关的策略；

确定与所述装置相关的装置初始化代码没有违反与所述RTM相关的策略；以及

把控制转移到所述装置初始化代码。

18.一种包含具有相关数据的机器可访问媒体的产品，其中所述数据在被访问时，使机器执行以下步骤：

在测量的信任根(RTM)中的入口点开始运行；

确定所述RTM是可信的；

19.如权利要求18所述的产品，其特征在于，所述机器可访问媒体还包括在由所述机器访问时使所述机器执行以下步骤的数据：

确定平台配置没有违反与所述RTM相关的策略。

20.如权利要求18所述的产品，其特征在于，所述机器可访问媒体还包括在由所述机器访问时使所述机器执行以下步骤的数据：

确定与所述平台相关的操作系统加载程序没有违反与所述RTM相关的策略。

21.如权利要求18所述的产品，其特征在于，所述机器可访问媒体还包括在由所述机器访问时使所述机器执行以下步骤的数据：

确定存在所选的一组组件；以及

把控制转移到与所述平台相关的操作系统加载程序。

22.如权利要求18所述的产品，其特征在于，所述机器可访问媒体还包括在由所述机器访问时使所述机器执行以下步骤的数据：

确定不存在所选的一组不允许组件；以及

把控制转移到与所述平台相关的操作系统加载程序。