当前位置: 首页 > 专利查询>诺基亚公司专利>正文

验证密钥处理制造技术

技术编号:7135818 阅读:222 留言:0更新日期:2012-04-11 18:40
公开一种能够实现验证密钥处理的方法、装置、和计算机程序产品。通过以下步骤实现所述处理:接收验证密钥,其包括所述验证密钥(40)的父验证密钥的标识符,其中所述验证密钥包括限制部分;确定所述验证密钥的限制部分是否对应于所述父验证密钥(41)的限制部分;在所述验证密钥的限制部分对应于所述父验证密钥的限制部分的情况下,使得所述验证密钥与特定状态更新(43)相关联;以及存储与所述特定状态更新(44)关联的验证密钥。

【技术实现步骤摘要】
【国外来华专利技术】
概括地说,本专利技术涉及可信计算,更具体地但非排他地涉及在可信计算中的验证 密钥处理。
技术介绍
如今的移动电话典型地用作由多个商家提供的软件和固件的计算平台。例如,设 备制造商为设备配备能够操作设备的不同组件(例如无线电接口和智能读卡器模块)的软 件和/或固件,而应用处理器制造商提供与应用处理器的处理相关的软件和固件。此外,操 作系统和用户应用可由一个或多个软件商家来提供。在移动计算平台和/或在平台上运行的软件和固件的安全和完整性保护方面存 在强加严格需求的因素。例如,射频的使用由官方严格规定。另一例子是防止设备拦截,从 而移动设备不能够被匿名地用于恶意目的。这意味着,作为计算平台操作的移动设备需要 能够控制在移动设备上运行的软件操作,从而例如可防止无线电配置参数的未授权修改。例如,通过由可信计算组引入移动可信模块概念,已经解决了在移动设备上可信 计算的需求。在所述概念中,例如,可通过在移动设备所提供的安全计算环境中自身运行的 移动可信模块来控制对于系统配置参数的修改。可通过使用参照完整性度量(RIM)证书, 来作出对例如系统配置参数和表示计算机程序模块的特定状态的参数的修改。请求对配置 和状态参数的修改的RIM证书可通过证书密钥来签名,所述证书密钥例如由移动可信模块 向被授权作出所述修改的参与方发出。如果一个参与方拥有适当发出的和确认的验证密 钥,则所述参与方能够授权在移动设备上的任意状态改变,包括其修改可能损害设备安全 或引起移动设备违规操作的那些修改。换句话说,在当前移动计算平台中,适当验证密钥的 持有者享有的授权不能够被适当地限制。
技术实现思路
本专利技术的目的在于解决以上讨论的问题中的至少一些。根据本专利技术的第一方面, 提供一种方法,包括以下步骤接收验证密钥,所述验证密钥包括所述验证密钥的父验证密 钥的标识符,其中所述验证密钥包括限制部分;确定所述验证密钥的限制部分是否对应于 所述父验证密钥的限制部分;在所述验证密钥的限制部分对应于所述父验证密钥的限制部 分的情况下,使得所述验证密钥与特定状态更新关联;以及存储与所述特定状态更新关联 的验证密钥。根据本专利技术的第二方面,提供一种装置,包括处理器,被配置为接收验证密钥, 所述验证密钥包括所述验证密钥的父验证密钥的标识符,其中所述验证密钥包括限制部 分;确定所述验证密钥的限制部分是否对应于所述父验证密钥的限制部分;使得所述验证 密钥与特定状态更新关联;所述装置还包括存储器,被配置为存储与所述特定状态更新 关联的验证密钥。根据第三方面,提供一种在计算机可读介质上实现的计算机程序产品,所述计算机程序包括可操作为加载到计算装置的存储器并且在计算装置上执行的程序代码,所述程 序代码已经被配置为在执行时使得计算装置执行以下操作接收验证密钥,所述验证密钥 包括所述验证密钥的父验证密钥的标识符,其中所述验证密钥包括限制部分;确定所述验 证密钥的限制部分是否对应于所述父验证密钥的限制部分;在所述验证密钥的限制部分对 应于所述父验证密钥的限制部分的情况下,使得所述验证密钥与特定状态更新关联;以及 存储与所述特定状态更新关联的验证密钥。根据第四方面,本专利技术提供一种装置,包括以用于接收验证密钥的部件,所述验 证密钥包括所述验证密钥的父验证密钥的标识符,所述验证密钥包括限制部分;用于确定 所述验证密钥的限制部分是否对应于所述父验证密钥的限制部分的部件;用于使得所述验 证密钥与特定状态更新关联的部件;以及用于存储与所述特定状态更新关联的验证密钥的 部件。以下在本专利技术的具体实施方式中以及所附的从属权利要求中示出本专利技术的各个 示例性实施例。参照所选择的本专利技术的方面示出实施例。本领域普通技术人员可理解,本 专利技术的任意实施例可单独地或与其他实施例结合应用于其他方面。附图说明将仅通过实例,参照附图来描述本专利技术,其中图1示出在上面可实现本专利技术实施例的可信移动平台的概括图;图2示出在上面可实现本专利技术实施例的可信移动平台的另一概括图;图3示出在上面可实现本专利技术实施例的装置的概况;图4示出根据本专利技术实施例的方法的实例;以及图5示出根据本专利技术实施例的方法的另一实例。具体实施例方式在以下描述中,类似标号指示类似元素。参照图1,其示出在上面可实现本专利技术实施例的可信移动平台的概括图。图1示 出三个引擎100、101、102。每个引擎可包括具有对可信资源的访问的专用处理器或运行环 境。每个引擎可运行可信服务和正常服务。可信服务是通过使用和修改计算设备(例如移 动电话)的可信资源而实例化的服务。可信资源是可通过例如使用验证密钥来验证完整性 的资源。图1的引擎100可被配置为经由接口 114向应用服务引擎101提供蜂窝服务,例 如接入移动通信网络所需的蜂窝协议栈。蜂窝服务引擎100可包括传统蜂窝服务模块105、 可信服务模块108、和移动可信模块111。蜂窝服务模块可经由应用编程接口(API) 115和 116使用可信服务模块108的服务,以及移动可信服务模块108可随后经由接口 120访问移 动可信模块111的服务。图1的应用服务引擎101可被配置为经由接口 113为用户服务引擎102提供应用 服务(例如电话簿应用服务)。应用服务引擎101可包括应用服务模块104、可信服务模块 107、和移动可信模块110。应用服务模块104可经由API 117和118访问可信服务模块107 的服务,以及可信服务模块107可随后经由API 121访问移动可信模块110的服务。用户服务引擎102可包括传统用户服务模块103(例如web浏览器应用),可信服 务模块106、和移动可信平台模块109。用户服务模块103可经由接口 112和119访问可信 服务模块106的服务,以及可信服务模块106可经由接口 122访问移动可信模块109的服务。引擎100、101、102(可以是可信引擎)中的每个可以在硬件、软件、固件、或其结合 中实现。可信服务模块106、107、108可进行对传统服务模块103、104、105的配置和功能的 测量,并且分别在移动可信模块109、110、111中存储所述测量。现在参照图2,其示出在上面可实现本专利技术实施例的可信移动平台的另一概括图。 图2示出引擎204、205、206,其对应于图1的引擎100、101、102。图2还示出计算设备的操 作系统200、和可信服务模块201、202、203(其分别对应于图1的可信服务模块108、107、 106)。在图1的平台中,可信服务模块201、202、203实现为操作系统200的服务。图2还 示出分配的信任根模块207和实施信任根(RTE)模块208。弓丨擎204,205,206可以是通过使用安全启动、或安全引导而发动的可信引擎。引 擎的安全启动可使用自举方法,其中自举模块的启动通过模块的发起开始,其完整性通过 计算平台来确保,例如,通过在安全存储器位置中存储自举链中的第一模块。一旦第一模块 开始并运行,则它开始和检验自举安全引导链中的下一模块。图2的分配的信任根模块207可包括存储信任根(RTQ模块、验证信任根(RTV) 模块、和报告信任根(RTR)模块。与分配的信任根模块207中的至少一些组合的实施信任 根(RTE)模块207可用于为移动可信模块启动安全本文档来自技高网...

【技术保护点】
一种方法,包括:  接收验证密钥,所述验证密钥包括所述验证密钥的父验证密钥的标识符,其中所述验证密钥包括限制部分;  确定所述验证密钥的限制部分是否对应于所述父验证密钥的限制部分;  在所述验证密钥的限制部分对应于所述父验证密钥的限制部分的情况下,使得所述验证密钥与特定状态更新关联;以及  存储与所述特定状态更新关联的验证密钥。

【技术特征摘要】
【国外来华专利技术】...

【专利技术属性】
技术研发人员:JE·埃克伯格
申请(专利权)人:诺基亚公司
类型:发明
国别省市:FI

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1