【技术实现步骤摘要】
【国外来华专利技术】靶向安全软件部署
技术介绍
诸如操作系统的软件可以由设备制造商安装在计算设备上并且可以在计算设备上操作以提供各种功能。如果用户想要对设备执行工厂重置或者想要使操作系统升级具有新功能,则用户可能不得不使用由设备制造商提供的物理介质来安装新软件。然而,在一些情况下,软件可以通过网络从设备制造商远程地被递送,或者在企业内从计算管理员被递送到计算设备。在这样的情景中,计算设备可能需要许多机制来确定软件的安全未受到危害。此外,这样的远程软件递送通常将数据暴露于被泄漏或者对软件的未经授权的复制。
技术实现思路
本文所描述的技术和系统实现计算环境中的靶向安全软件部署。本文所描述的技术和系统帮助核实计算设备是尚未被恶意软件更改或危害的经授权的计算设备,并且帮助防止软件在经授权的计算设备上的任何安装之前或之后被复制或被提供给未经授权方。在一些情景中,要被安装在计算设备上的软件要求未由传统安装技术提供的高安全级别。传统上,派遣技术人员来核实计算机的身份,核实计算机未被修改,从安全存储器模块(例如,加密的硬盘驱动器)安装软件,并且核实没有软件的复制本被分布在预期的设备之外是成本高的且在大尺寸上是不可行的。使用本文所描述的技术和系统,管理员可以使用各种复杂加密方案来保护数据或软件以将软件提供给计算设备,软件在设备已经被篡改的情况下不可以被安装在设备上,并且软件不可以被安装在未经授权的设备上。在一些实例中,服务提供商可以利用与计算设备的可信平台模块(TPM)相关联的一个或多个加密密钥(诸如存储根密钥(SRK))来以受保护的方式加密软件更新。因为TPM可以被物理地绑定到计算设备(例如,目标设备 ...
【技术保护点】
1.一种系统,包括:一个或多个处理器;以及存储模块的存储器,所述模块在由所述一个或多个处理器执行时使所述系统执行包括以下的操作:确定远程设备要接收软件更新;标识与所述远程设备相关联的公共存储根密钥(SRK);确定与在所述远程设备上操作的固件的可信操作相关联的平台配置寄存器(PCR)的第一集合;确定与所述远程设备上的所述软件更新的至少部分的预期的操作相关联的PCR的第二集合;确定随机对称密钥(RSK);使用所述RSK将所述软件更新加密为加密的软件包;使用所述RSK将PCR的所述第一集合和PCR的所述第二集合加密为加密的配置设置;利用所述远程设备的所述公共SRK将所述RSK加密为加密的RSK;以及将所述加密的软件包、所述加密的配置设置、以及所述加密的RSK传输到所述远程设备,其中所述加密的软件包的至少部分由所述远程设备至少部分地基于所述远程设备的私有SRK来导入。
【技术特征摘要】
【国外来华专利技术】2016.06.30 US 15/198,3361.一种系统,包括:一个或多个处理器;以及存储模块的存储器,所述模块在由所述一个或多个处理器执行时使所述系统执行包括以下的操作:确定远程设备要接收软件更新;标识与所述远程设备相关联的公共存储根密钥(SRK);确定与在所述远程设备上操作的固件的可信操作相关联的平台配置寄存器(PCR)的第一集合;确定与所述远程设备上的所述软件更新的至少部分的预期的操作相关联的PCR的第二集合;确定随机对称密钥(RSK);使用所述RSK将所述软件更新加密为加密的软件包;使用所述RSK将PCR的所述第一集合和PCR的所述第二集合加密为加密的配置设置;利用所述远程设备的所述公共SRK将所述RSK加密为加密的RSK;以及将所述加密的软件包、所述加密的配置设置、以及所述加密的RSK传输到所述远程设备,其中所述加密的软件包的至少部分由所述远程设备至少部分地基于所述远程设备的私有SRK来导入。2.根据权利要求1所述的系统,所述操作还包括:从所述远程设备接收所述加密的软件包与所述远程设备唯一地相关联的第一指示;以及从所述远程设备接收所述远程设备处于可信状态的第二指示。3.根据权利要求1所述的系统,所述操作还包括在由服务提供商对所述远程设备的初始化期间确定PCR的所述第一集合。4.根据权利要求1所述的系统,其中所述远程设备的所述公共SRK与所述远程设备的可信平台模块(TPM)相关联。5.一种计算机实现的方法,包括:在设备处接收加密的卷;至少部分地基于与所述远程设备相关联的私有存储根密钥(SRK)来解密所述加密的卷的至少第一部分;确定所述加密的卷的至少所述第一部分与所述设备唯一地相关联;确定所述设备处于可信状态;以及将所述加密的卷的至少第二部分导入到所述设备作为导入的卷,所述导入至少部分地基于所述设备的所述私有SRK。6.根据权利要求5所述的计算机实现的方法,其中所述加密的卷包括至少加密的软件包以及一个或多个加密的密钥,并且其中所述导入包括至少以下:至少部分地基于所述设备的所述私有SRK来将所述一个或多个加密的密钥解密为一个或多个解密的密钥;至少部分地基于所述一个或多个解密的密钥来将所述加密的软件包的至少部分解密为解密的软件包;以及至少部分地基于与所述设备相关联的对称SRK来将所述解密的软件包的至少部分加密为导入的软件包。7.根据权利要求6所述的计算机实现的方法,其中所述导入还包括删除与在所述导入的软件包中被加密的所述解密的软件包的所述至少部分相对应的所述加密的软件包的所述至少部分。8.根据权利要求5所述的计算机实现的方法,其中所述加密的卷包括至少一个或多个加密的配置设置以及一个或多个加密...
【专利技术属性】
技术研发人员:S·索姆,M·卡帕迪亚,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。