状态 命令编号 类别 命令名 描述
允许 151 管理员启动和状态 TPM_Init 这是计算机发送的第一条命令。启动过程中,此命令被发送到 TPM。此命令无法由软件运行。
已阻止 152 管理员启动和状态 TPM_SaveState 此命令通知 TPM 保存状态,然后进入睡眠状态。
已阻止 153 管理员启动和状态 TPM_Startup 此命令必须跟随在 TPM_Init 命令之后。它会向 TPM 传输有关调用时正在发生的重置类型的附加计算机信息。
允许 80 管理员测试 TPM_SelfTestFull 这个命令测试 TPM 的所有内部功能。任何故障都会导致 TPM 进入故障模式。
允许 83 管理员测试 TPM_ContinueSelfTest 此命令通知 TPM 已完成所有 TPM 功能(在开机自检过程中未测试)的自检。
允许 84 管理员测试 TPM_GetTestResult 此命令提供与自检结果有关的制造商特定的信息和诊断信息。
允许 110 管理员选择性加入 TPM_OwnerSetDisable 此命令允许 TPM 所有者启用或禁用 TPM。详细信息,请参阅 TPM_PhysicalEnable 和 TPM_PhysicalDisable 命令。
允许 111 管理员选择性加入 TPM_PhysicalEnable 此命令启用 TPM。此命令要求在计算机上物理存在,并且无法由操作系统运行。打开 TPM 涉及启用和激活 TPM (使用 TPM_PhysicalSetDeactivated)。
允许 112 管理员选择性加入 TPM_PhysicalDisable 此命令禁用 TPM。此命令要求在计算机上物理存在,并且无法由操作系统运行。关闭 TPM 涉及禁用或停用 TPM (TPM_PhysicalSetDeactivated)。
允许 113 管理员选择性加入 TPM_SetOwnerInstall 此命令允许或不允许设置所有者的功能。此命令要求在计算机上物理存在,并且无法由操作系统运行。
允许 114 管理员选择性加入 TPM_PhysicalSetDeactivated 此命令激活或停用 TPM。此命令要求在计算机上物理存在,并且无法由操作系统运行。不建议阻止此命令。
允许 115 管理员选择性加入 TPM_SetTempDeactivated 此命令允许计算机操作员停用 TPM 直到下次重新启动该计算机为止。操作员必须在该计算机上物理存在,或者提供使用 TPM_SetOperatorAuth 命令定义的操作员授权值。
允许 116 管理员选择性加入 TPM_SetOperatorAuth 此命令定义操作员授权值。此命令要求在计算机上物理存在,并且无法由操作系统运行。
允许 1073741834 管理员所有权 TSC_PhysicalPresence 此命令声明在该计算机上的物理存在性。操作系统无法运行此命令。
允许 1073741835 管理员所有权 TSC_ResetEstablishmentBit 此命令不能在当前版本的 BitLocker 中使用。
允许 13 管理员所有权 TPM_TakeOwnership 这个命令使用从该所有者密码派生的新所有者授权值获取 TPM 所有权。在运行此命令之前必须满足的其他条件当中,必须启用,然后停用 TPM。
允许 91 管理员所有权 TPM_OwnerClear 此命令允许 TPM 所有者清除 TPM。这意味着仅保留在 TPM 上的密钥是认可密钥。
允许 92 管理员所有权 TPM_DisableOwnerClear 此命令允许 TPM 所有者永久禁用 TPM_OwnerClear 命令。一旦使用,所有者必须运行 TPM_ForceClear 命令清除 TPM。
允许 93 管理员所有权 TPM_ForceClear 此命令清除 TPM。此命令要求在计算机上物理存在,并且无法由操作系统运行。
允许 94 管理员所有权 TPM_DisableForceClear 此命令在计算机重新启动之前禁用 TPM_ForceClear 命令。
允许 63 GetCapability 命令 TPM_SetCapability 这个命令允许 TPM 所有者设置 TPM 中的值。
允许 101 GetCapability 命令 TPM_GetCapability 这个命令返回 TPM 信息。
允许 133 正在审核 TPM_GetAuditDigest 这个命令返回 TPM 审核摘要。
允许 134 正在审核 TPM_GetAuditDigestSigned 这个命令返回已签名的 TPM 审核摘要和当前已审核的命令列表。
允许 141 正在审核 TPM_SetOrdinalAuditStatus 此命令允许 TPM 所有者为给定的命令编号设置审核标志。打开此标志时,此命令将审核返回到审核摘要,并且此命令被添加到当前审核的命令列表中。
允许 64 管理功能 - 管理 TPM_ResetLockValue 这个命令重置用于保护针对 TPM 授权值的攻击的机制。
允许 154 管理功能 - 管理 TPM_SetRedirection 这个命令允许 TPM 通过重定向输出直接与连接的安全处理器通信。
允许 170 管理功能 - 管理 TPM_FieldUpgrade 这个命令允许制造商升级 TPM 功能。此命令专用于 TPM 制造商。
允许 23 存储功能 TPM_Seal 此命令允许 TPM 保护机密,直到完整性、计算机配置和授权检查成功。
允许 24 存储功能 TPM_Unseal 如果完整性、平台配置和授权检查均已成功的话,这个命令公开先前由 TPM 密封的机密。
允许 30 存储功能 TPM_Unbind 这个命令解密先前使用 TPM 绑定密钥的公用部分加密的数据。
允许 31 存储功能 TPM_CreateWrapKey 这个命令生成和创建安全的非对称密钥。
允许 33 存储功能 TPM_GetPubKey 此命令允许已加载密钥的所有者获取该密钥的公钥值。已加载密钥是使用 TPM_LoadKey2 命令创建的。
允许 61 存储功能 TPM_Sealx 这个命令允许软件保护机密,以便只有指定的计算机配置通过验证之后才会公开这些机密。机密必须经过加密。
允许 65 存储功能 TPM_LoadKey2 此命令将密钥加载到 TPM 中以便所有者可以在其上设置其他操作。这些操作包括封装、解包、绑定、取消绑定、密封、解封和签名。
允许 18 迁移 TPM_CMK_CreateTicket 此命令允许 TPM 所有者使用提供的公钥创建签名验证票证。此票证与可证明迁移密钥(由 TPM_CMK_CreateKey 生成)一起使用创建将密钥移动到新计算机或父密钥所需的迁移 blob。
允许 19 迁移 TPM_CMK_CreateKey 此命令为一个或多个迁移颁发机构使用授权票证生成安全的非对称可证明迁移密钥(由 TPM_CMK_ApproveMA 生成)。
允许 27 迁移 TPM_CMK_CreateBlob 此命令允许持有可证明迁移密钥(由 TPM_CMK_CreateKey 生成)的迁移授权票证(由 TPM_CMK_CreateTicket 生成)的实体创建将该密钥移动到新计算机或父密钥所需的迁移 blob。
允许 28 迁移 TPM_CMK_SetRestrictions 此命令允许 TPM 所有者指定可证明迁移密钥的用法(由 TPM_CMK_CreateKey 生成)。
允许 29 迁移 TPM_CMK_ApproveMA 此命令允许 TPM 所有者为一个或多个迁移颁发机构创建授权票证,以便用户无需 TPM 所有者的介入即可(通过 TPM_CMK_CreateKey)创建可证明迁移密钥。
允许 36 迁移 TPM_CMK_ConvertMigration 此命令创建可以使用 TPM_LoadKey2 命令加载到另一台计算机上的可证明迁移密钥 blob。此命令提供了随机的数字和可证明迁移密钥的迁移 blob (由 TPM_CMK_CreateBlob 生成)。
允许 37 迁移 TPM_MigrateKey 这个命令允许 TPM 通过使用指定的公钥重新加密 blob(通过TPM_CreateMigrationBlob 或 TPM_CMK_CreateBlob 生成)将其迁移到目的地。
允许 40 迁移 TPM_CreateMigrationBlob 此命令允许持有密钥迁移授权票证的实体创建将迁移密钥移动到新计算机或父密钥所需的迁移 blob。
允许 42 迁移 TPM_ConvertMigrationBlob 此命令创建可以使用 TPM_LoadKey2 命令加载到另一台计算机上的密钥 blob。此命令提供了随机的数字和该密钥的迁移 blob(由 TPM_CreateMigrationBlob 生成)。
允许 43 迁移 TPM_AuthorizeMigrationKey 这个命令允许 TPM 所有者创建迁移授权票证,以便用户无需 TPM 所有者的介入即可移动密钥。
允许 44 维护功能(可选) TPM_CreateMaintenanceArchive 此命令允许 TPM 所有者创建能够迁移 TPM 存储的数据的维护存档。此数据包括存储根密钥(SRK)和 TPM 所有者授权。
允许 45 维护功能(可选) TPM_LoadMaintenanceArchive 这个命令允许 TPM 所有者加载存档(通过 TPM_CreateMaintenanceArchive 生成)。加载之后,存储根密钥(SRK)的授权值将被设置为与 TPM 所有者授权相同。
允许 46 维护功能(可选) TPM_KillMaintenanceFeature 此命令允许 TPM 所有者禁止使用 TPM_CreateMaintenanceArchive 命令创建维护存档。此操作在使用 TPM_TakeOwnership 命令设置新 TPM 所有者之前一直有效。
允许 47 维护功能(可选) TPM_LoadManuMaintPub 此命令将计算机制造商的公钥加载到 TPM 中以便在维护过程中使用。此命令仅可运行一次,并且只能在计算机发货之前运行。
允许 48 维护功能(可选) TPM_ReadManuMaintPub 这个命令返回计算机制造商公用维护密钥(通过 TPM_LoadManuMaintPub 加载)的摘要。
允许 50 加密功能 TPM_CertifyKey 此命令使用另一密钥的公用部分证明已加载的密钥(由 TPM_LoadKey2 创建)。TPM 身份密钥只能证明非迁移密钥。签名密钥和旧密钥可证明所有密钥。
允许 51 加密功能 TPM_CertifyKey2 这个命令基于 TPM_CertifyKey,但包括额外的参数以证明可证明的迁移密钥(CMK)。
允许 60 加密功能 TPM_Sign 这个命令使用已加载的签名密钥签名数据并返回生成的数字签名。
允许 70 加密功能 TPM_GetRandom 这个命令返回来自 TPM 随机数字生成器的指定长度的随机数据。
允许 71 加密功能 TPM_StirRandom 这个命令将加密信息添加到 TPM 随机编号生成器状态。
已阻止 160 加密功能 TPM_SHA1Start 这个命令启动计算 SHA-1 摘要的进程。执行此命令后必须执行 TPM_SHA1Update,否则 SHA-1 进程将无效。
已阻止 161 加密功能 TPM_SHA1Update 这个命令将完整的数据块输入到挂起的 SHA-1 摘要(通过 TPM_SHA1Start 启动)中。
已阻止 162 加密功能 TPM_SHA1Complete 这个命令完成挂起的 SHA-1 摘要进程并返回生成的 SHA-1 哈希输出。
已阻止 163 加密功能 TPM_SHA1CompleteExtend 这个命令完成挂起的 SHA-1 摘要进程并返回生成的 SHA-1 哈希输出,并将此哈希合并到平台配置注册表(PCR)中。
允许 120 认可密钥的处理 TPM_CreateEndorsementKeyPair 这个命令创建 TPM 认可密钥(EK)(如果该密钥尚不存在的话)。
允许 124 认可密钥的处理 TPM_ReadPubek 此命令返回 TPM 认可密钥的公用部分。当使用 TPM_TakeOwnership 取消 TPM 所有权时,会禁用此命令。
允许 127 认可密钥的处理 TPM_CreateRevocableEK 此命令创建 TPM 认可密钥(EK)。用户也可以指定是否能够重置 EK,并可以指定重置此密钥必需的授权值(如果此值不是由 TPM 生成的)。这是一个可选命令,可能不受计算机制造商的支持。
允许 128 认可密钥的处理 TPM_RevokeTrust 此命令清除可撤消的 TPM 认可密钥(由 TPM_CreateRevocableEK 生成)并重置 TPM,如果它找到了此重置的正确授权值。此命令需要在平台上物理存在,并且无法由操作系统运行。
允许 129 认可密钥的处理 TPM_OwnerReadInternalPub 这个命令允许 TPM 所有者返回 TPM 认可密钥(EK)或存储根密钥(SRK)的公用部分。
允许 121 身份的创建和激活 TPM_MakeIdentity 这个命令允许 TPM 所有者生成证明标识密钥(AIK),此密钥可用于签名 TPM 内部生成的信息。
允许 122 身份的创建和激活 TPM_ActivateIdentity 这个命令允许 TPM 所有者解包会话密钥,该会话密钥允许解密证明标识密钥(AIK)凭据,从而确保该凭据对此 TPM 有效。
已阻止 20 完整性集合和报告 TPM_Extend 这个命令向指定的平台配置注册表(PCR)添加新摘要并返回此扩展摘要。
允许 21 完整性集合和报告 TPM_PCRRead 此命令返回指定的平台配置注册表(PCR)的内容。
已阻止 22 完整性集合和报告 TPM_Quote 这个命令返回已签名的摘要,此摘要合并了特定平台注册表(PCR)和某些指定外部数据的内容。此摘要使用已加载的密钥进行签名。
已阻止 62 完整性集合和报告 TPM_Quote2 此命令与 TPM_Quote 命令类似,但包括位置信息,以便为当前计算机配置提供更全面的信息。
已阻止 200 完整性集合和报告 TPM_PCR_Reset 这个命令将指定的平台配置注册表(PCR)重置为其默认状态。
允许 12 更改 AuthData TPM_ChangeAuth 这个命令允许某个实体(例如 TPM 密钥)的所有者更改该实体的授权值。
允许 16 更改 AuthData TPM_ChangeAuthOwner 这个命令允许 TPM 所有者更改 TPM 所有者授权值或存储根密钥(SRK)授权值。
允许 10 授权会话 TPM_OIAP 此命令为对象独立授权协议(OIAP)生成授权会话句柄,OSAP 用于向 TPM 安全地传递授权数据以及 TPM 跟踪此授权会话句柄所需的信息。
允许 11 授权会话 TPM_OSAP 这个命令为对象特定授权协议(OSAP)生成授权会话句柄,OSAP 用于向 TPM 安全地传递授权数据以及 TPM 跟踪此授权会话句柄所需的信息。
允许 17 授权会话 TPM_DSAP 这个命令为委派特定授权协议(DSAP)生成授权会话句柄,此协议用于向 TPM 安全地传递委派的授权数据以及 TPM 跟踪此授权会话句柄所需的信息。
允许 117 授权会话 TPM_SetOwnerPointer 此命令设置执行 OIAP 或 OSAP 会话时 TPM 使用的所有者授权的引用。仅在需要为不支持 DSAP 的旧代码提供所有者委派功能时使用此命令。
允许 209 委派命令 TPM_Delegate_UpdateVerification 此命令允许 TPM 所有者更新委派实体,以便 TPM 继续接受此实体。
允许 210 委派命令 TPM_Delegate_Manage 此命令允许 TPM 所有者管理委派系列表。在对该系列表执行委派命令之前,必须至少执行一次此命令。
允许 212 委派命令 TPM_Delegate_CreateKeyDelegation 此命令允许密钥所有者委派使用该密钥的特权。
允许 213 委派命令 TPM_Delegate_CreateOwnerDelegation 此命令允许 TPM 所有者委派运行命令的特权(执行这些命令通常需要所有者授权)。
允许 214 委派命令 TPM_Delegate_VerifyDelegation 此命令解释委派 blob 并返回该 blob 当前是否有效。
允许 216 委派命令 TPM_Delegate_LoadOwnerDelegation 此命令允许 TPM 所有者将委派表的一行加载到 TPM 的稳定存储中。此命令无法用于将密钥委派 blob 加载到 TPM 中。
允许 219 委派命令 TPM_Delegate_ReadTable 此命令读取此系列的公用内容并委派 TPM 中存储的表。
允许 204 稳定存储 TPM_NV_DefineSpace 这个命令允许 TPM 所有者在 TPM 上为稳定存储的区域定义空间。此定义包括读写该区域的访问要求。
允许 205 稳定存储 TPM_NV_WriteValue 此命令向已定义的稳定存储区域(由 TPM_NV_DefineSpace 创建)写入指定的值。
允许 206 稳定存储 TPM_NV_WriteValueAuth 此命令向已定义的稳定存储区域写入指定的值,如果它已找到该区域所需的授权。
允许 207 稳定存储 TPM_NV_ReadValue 这个命令从已定义的稳定存储读取。
允许 208 稳定存储 TPM_NV_ReadValueAuth 此命令从已定义的稳定存储区域读取,如果它已找到该区域所需的授权。
允许 35 会话管理 TPM_KeyControlOwner 此命令允许 TPM 所有者设置某些属性,如是否除所有者之外的任何人都可以收回该密钥。
允许 184 会话管理 TPM_SaveContext 这个命令在 TPM 外部保存已加载的资源。成功执行此命令之后,TPM 将为会话自动释放内存,但仍保留密钥。
允许 185 会话管理 TPM_LoadContext 此命令将之前保存的上下文加载到 TPM 中。
允许 186 逐出 TPM_FlushSpecific 此命令从 TPM 中刷新指定的资源句柄。
允许 241 计时标记 TPM_GetTicks 此命令返回 TPM 的当前滴答计数。
允许 242 计时标记 TPM_TickStampBlob 这个命令使用已加载的签名密钥签名具有 TPM 当前标记计数的指定摘要。
允许 230 传输会话 TPM_EstablishTransport 这个命令建立可用于(使用 TPM_ExecuteTransport)向 TPM 秘密传输共享机密、加密密钥和会话日志的传输会话。
允许 231 传输会话 TPM_ExecuteTransport 这个命令在传输会话内部向 TPM 交付打包的 TPM 命令。TPM 将解包该命令并运行该命令。
允许 232 传输会话 TPM_ReleaseTransportSigned 此命令完成传输会话。如果打开了日志记录功能,则此命令将返回会话期间执行的所有操作的哈希以及哈希的数字签名。
允许 220 单调计数器 TPM_CreateCounter 这个命令允许 TPM 所有者创建新的单调计数器,为该计数器分配授权值,对 TPM 内部计数器的值递增 1,并将新计数器的起始值设置为更新后的内部值。
允许 221 单调计数器 TPM_IncrementCounter 此命令允许单调计数器所有者对计数器递增 1 并返回此更新后的值。
允许 222 单调计数器 TPM_ReadCounter 此命令返回指定单调计数器的值。
允许 223 单调计数器 TPM_ReleaseCounter 此命令允许计数器所有者释放指定的计数器。此命令会停止该计数器的所有后续读取或递增操作。
允许 224 单调计数器 TPM_ReleaseCounterOwner 此命令允许 TPM 所有者释放指定的计数器。此命令会停止该计数器的所有后续读取或递增操作。
允许 41 DAA 命令 TPM_DAA_Join 这个命令允许 TPM 所有者在 TPM 中为特定的 DAA 颁发机构建立直接匿名证明(DAA)参数。
允许 49 DAA 命令 TPM_DAA_Sign 这个命令允许 TPM 所有者使用直接匿名证明(DAA)签名数据。
已阻止 14 弃用的命令 TPM_ChangeAuthAsymStart 取代此命令的方法是使用 TPM 建立传输会话并运行 TPM_ChangeAuth 命令。
已阻止 15 弃用的命令 TPM_ChangeAuthAsymFinish 取代此命令的方法是使用 TPM 建立传输会话并运行 TPM_ChangeAuth 命令。
已阻止 25 弃用的命令 TPM_DirWriteAuth 此命令已被 TPM_NV_WriteValue 命令和 TPM_NV_WriteValueAuth 命令取代。
已阻止 26 弃用的命令 TPM_DirRead 此命令已被 TPM_NV_ReadValue 命令和 TPM_NV_ReadValueAuth 命令取代。
已阻止 32 弃用的命令 TPM_LoadKey 此命令已被 TPM_LoadKey2 命令取代。
已阻止 34 弃用的命令 TPM_EvictKey 此命令已被 TPM_FlushSpecific 取代。
已阻止 82 弃用的命令 TPM_CertifySelfTest 此命令执行完整的自检,并且如果测试通过即返回通过验证的值。此命令不是 TPM 1.2 版的升级。
已阻止 90 弃用的命令 TPM_Reset 此命令释放与现有授权会话相关的所有资源。此命令不是 TPM 1.2 版的升级。
已阻止 125 弃用的命令 TPM_OwnerReadPubek 此命令已被 TPM_OwnerReadInternalPub 命令取代。
已阻止 126 弃用的命令 TPM_DisablePubekRead 取代此命令的方法是使用 TPM_ReadPubek 命令读取认可密钥(EK)的公用部分时,自动禁用 TPM_TakeOwnership 命令。
已阻止 150 弃用的命令 TPM_Terminate_Handle 此命令已被 TPM_FlushSpecific 取代。
已阻止 180 弃用的命令 TPM_SaveKeyContext 此命令已被 TPM_SaveContext 取代。
已阻止 181 弃用的命令 TPM_LoadKeyContext 此命令已被 TPM_LoadContext 取代。
已阻止 183 弃用的命令 TPM_LoadAuthContext 此命令已被 TPM_LoadContext 取代。
已阻止 182 弃用的命令 TPM_SaveAuthContext 此命令已被 TPM_SaveContext 取代。
已阻止 100 已删除的命令 TPM_GetCapabilitySigned 由于安全因素已删除此命令。
已阻止 102 已删除的命令 TPM_GetCapabilityOwner 由于安全因素已删除此命令。
已阻止 130 已删除的命令 TPM_GetAuditEvent 由于安全因素已删除此命令。
已阻止 131 已删除的命令 TPM_GetAuditEventSigned 由于安全因素已删除此命令。
已阻止 140 已删除的命令 TPM_GetOrdinalAuditStatus 由于安全因素已删除此命令。