在使用秘密共享方案的计算环境中生成用于资产集合的标识符的容忍变化方法技术

一种用来使N个共享的集合变成标识符的安全以及容错或容忍变化的方法和系统，即使当仅有来自该集合的M个共享具有正确值时。秘密共享算法用来从与资产集合的资产参数相关联的共享的子集生成许多候选标识符。然后，最频繁出现的候选标识符被确定为最终标识符。该方法在节点锁定和指纹识别领域具有特别的应用。

【技术实现步骤摘要】
【国外来华专利技术】在使用秘密共享方案的计算环境中生成用于资产集合的标识符的容忍变化方法
本公开内容一般地涉及生成标识符。更特别的是，本公开内容涉及在使用秘密共享方案的计算环境中生成用于资产集合的标识符的容忍变化方法，诸如可以用于计算机系统的节点锁定以及指纹识别。
技术介绍
许多用于个人计算机（PC）系统的保护技术需要用来稳健地识别其上运行软件的PC的机制。这一般通过从系统的各种资产读出装置标识符来完成，所述资产诸如是集成到计算机中的硬件装置（母板参数、BIOS、MAC地址、硬盘、CD/DVD播放器、图形卡、I/O控制器）。然后，将这些装置标识符组合为系统的标识符。导出该系统标识符的简单方式是将异或（XOR）施加至所有装置标识符。当计算机硬件部分或者其它资产变化（诸如由于替换和修理）时，用来确定系统标识符的方法需要适应对设备标识符的偶尔的变化。支持硬件更新的一个方式是通过在仍生成相同的系统标识符的同时允许少许装置标识符变化。用来达到这个的已知的方式是通过：在初始化阶段期间记录唯一的装置标识符，以及在标识符计算阶段期间，将所记录的参数与实际的参数比较。如果存在充分的匹配，所记录的参数用来计算系统标识符。存在类似的从信息的可随着时间变化的贡献片段的集合导出系统标识符的方法。尽管基于不同的贡献信息，这样的方法也需要在不改变所计算的标识符的情况下适应对贡献信息的改变。如以前，该方法由如下步骤组成：记录贡献信息，以及如果在实际信息与所记录信息之间存在充分的匹配则使用所记录信息。这种方法的一个问题是所记录的装置标识符与所检索的参数的比较对攻击敏感。所记录的装置标识符的存在是这些攻击的关键推动者。因此期望提供一种生成系统标识符的方法，所述系统标识符能忍受在计算环境中的变化，同时抵抗恶意攻击。
技术实现思路
在第一方面，提供了一种生成用于与计算环境相关联的资产集合的标识符的容忍变化方法。资产中的每个资产将资产参数与之相关联。该方法包括：检索用于资产集合的资产参数；生成对应于每个资产参数的共享以提供多个共享；将秘密共享算法施加至多个共享的许多子集以导出多个候选标识符，子集的数量根据资产参数与计算环境的原始资产参数比较的差异的容许阈值来确定；以及将候选标识符值中的最占优势者确定为用于资产集合的最终标识符。最终标识符可以例如确定软件应用是否可以在资产集合上被有效地执行。根据实施例，在生成共享之前，每个资产参数可以通过标准化资产参数（诸如通过将散列函数施加至资产参数）来生成。秘密共享算法可以是(M-k,N)-秘密共享算法，其中N是多个共享的数量，M<N，并且k是预定常数，并且其中容许阈值等于N-M。候选标识符的最占优势者可以包括在候选标识符之中具有最高出现频率的候选标识符，或者在一旦候选标识符已经出现预定次数则秘密共享算法可能终止的情况下，可以包括出现预定次数的候选标识符。根据进一步的方面，提供了一种用来将应用的执行限制到给定计算机系统的节点锁定方法，以及用于存储用来执行该方法的指令的非瞬态计算机可读。计算机系统具有多个资产，并且每个资产将资产参数与之相关联。该方法包括：检索用于计算机系统资产的资产参数；生成对应于每个资产参数的共享以提供多个共享；将秘密共享算法施加至多个共享的子集以导出多个候选标识符；将候选标识符值中的最占优势者确定为用于计算机系统的系统标识符；以及根据系统标识符在计算机系统上执行应用。在生成共享之前，每个资产参数可以诸如通过将散列函数施加至资产参数来进行标准化。为了实现节点锁定，可以修改应用以将其有效执行仅仅限制在给定的资产集合上。这种修改可以包括：获得资产集合的资产的原始资产参数；对原始资产参数进行加密以提供对应的密文常数；以及将密文常数嵌入在应用中。原始资产参数可以通过将它们与根据秘密共享算法确定的预定共享组合（诸如通过将异或函数施加至原始资产参数和预定共享）来进行加密。对应于每个资产参数的共享可以通过将资产参数中的每个资产参数与密文常数的对应密文常数相组合（诸如通过将异或函数施加至资产参数的每个资产参数和密文常数的对应密文常数）来生成。如在第一方面，秘密共享算法可以是(M-k,N)-秘密共享算法，其中N是多个共享的数量，M<N，并且k是预定常数，并且容许阈值等于N-M。候选标识符的最占优势者可以包括在候选标识符之中具有最高出现频率的候选标识符，或者可以包括出现预定次数的候选标识符，而在这样的情况下，一旦候选标识符已经出现预定次数，秘密共享算法可以终止。附图说明现在将参考附图仅仅通过举例来描述本公开内容的实施例。图1是本专利技术的方法的实施例的流程图；图2-4是根据本专利技术的实施例的节点锁定方法的图表；图5是根据实施例的应用个性化过程的图表；以及图6是根据实施例的生成共享的方法的图表。具体实施方式本公开内容提供了一种用来使N个共享的集合变成标识符的安全以及容错或容忍变化的方法，即使仅当来自该集合的M个共享具有正确值时。根据实施例，方法使用来自N个共享的M-1个共享的所有子集来生成候选标识符。根据实施例，所生成候选标识符的最频繁出现者是最终结果标识符。如果没有候选标识符比其它标识符更经常地出现，这意味着比N个资产的M个更少的是正确的。在这种情况下，可以将随机值返回为系统标识符。这样的随机值可以通过例如将候选标识符中的两个加在一起来获得。基于对于具有错误的共享的随机子集完全相同的候选者是非常不可能的假设，替换的实施例第一时间终止产生相同的候选标识符的M-1个共享的两个不同子集。本方法可以适于使用任何(M-k,N)-秘密共享算法。方法一般可以用来生成用于任何资产集合的标识符，可以为所述资产集合分配或确定资产参数。如本文中使用的，“资产”是任何数据、应用、装置、节点或计算环境的其它部件。资产一般包括硬件（例如，服务器和交换机）、软件（例如，任务关键性应用和支持系统）和机密信息。术语“计算环境”和“计算机系统”在本文中可交换地使用，并且意在包含单个计算机和其它装置，所述其它装置包括处理器、分布式计算系统、其部件、存储或以其它方式与之相关联的数据，并且包括与该计算机系统的用户相关联的数据、附着或可访问的外围装置、软件应用和操作系统、及其组合。如本文中使用的，“资产参数”意指被在资产、状况或者区域的给定类别的出现中受限的所分配或所确定的参数。至少在分配或确定资产参数的时候，该参数可以是唯一的或可以排他地识别资产。可以将资产参数表达成例如数字、符号、数字和字母串、或者函数。可以在其中使用本方法的示例系统是具有许多外围装置的计算机，所述外围装置均或多或少具有唯一的装置标识符，诸如序列号或者其它分配的资产参数。一般地，由制造商将这种装置标识符分配给装置。也可以将该方法应用于嵌入式微控制器的网络，其中每个微控制器具有唯一的标识符。这种配置通常出现在更复杂的系统（例如，飞机、汽车、工业机器）中，所述系统通过替换整个微控制器模块来进行修理。在这样的机器中，将控制器的固件链接到特别的网络设备可以是有益的。与计算机系统相关联的或存储在计算机系统上的数据源也可以是所考虑的资产。示例包括联系列表、用户参数设置、名称、地址、数据或者相对不频繁地变化的其它参数。资产参数可以通过将函数施加至与一个或多个资产相关联的参数来获得。例如，资产参数可以本文档来自技高网...

【技术保护点】
一种生成用于与计算环境相关联的资产集合的标识符的容忍变化方法，所述资产中的每个资产将资产参数与之相关联，所述方法包括：检索用于所述资产集合的资产参数；生成对应于每个资产参数的共享以提供多个共享；将秘密共享算法施加至所述多个共享的许多子集以导出多个候选标识符，所述子集的数量根据所述资产参数与所述计算环境的原始资产参数比较的差异的容许阈值来确定；以及将所述候选标识符值中的最占优势者确定为用于所述资产集合的最终标识符。

【技术特征摘要】
【国外来华专利技术】1.一种生成用于与计算环境相关联的多个资产的标识符的容忍变化方法，所述资产中的每个资产将资产参数与之相关联，所述方法包括：检索用于所述多个资产的资产参数；生成对应于每个资产参数的共享以生成多个共享；将秘密共享算法施加至多个共享子集以生成对应于所述多个共享子集的多个候选标识符；以及至少部分基于候选标识符的出现频率从所述多个候选标识符值中选择候选标识符作为用于所述多个资产的最终标识符，其中所述最终标识符被配置成在不要求所述多个共享中的任何共享的单独校验的情况下提供所述多个资产的校验。2.权利要求1所述的方法，其中所述最终标识符被配置成当预定容许阈值内的资产参数的一部分不同于初始资产参数时提供所述多个资产的校验。3.权利要求1所述的方法，其中生成对应于每个资产参数的共享包括在生成所述共享之前对所述资产参数进行标准化。4.权利要求3所述的方法，其中对所述资产参数进行标准化包括将散列函数施加至所述资产参数。5.权利要求1所述的方法，其中所述最终标识符可以确定软件应用是否能够在所述多个资产上被有效地执行。6.权利要求1所述的方法，其中所述秘密共享算法是(M-k,N)-秘密共享算法，其中N是多个共享的数量，M<N，并且k是预定常数。7.权利要求6所述的方法，其中容许阈值等于N-M。8.权利要求1所述的方法，其中至少部分基于候选标识符的出现频率从所述多个候选标识符值中选择候选标识符作为用于所述多个资产的最终标识符包括在所述候选标识符之中选择具有最高出现频率的候选标识符。9.权利要求1所述的方法，其中至少部分基于候选标识符的出现频率从所述多个候选标识符值中选择候选标识符作为用于所述多个资产的最终标识符包括选择出现预定次数的候选标识符。10.权利要求9所述的方法，其中一旦所述候选标识符已经出现所述预定次数，终止施加所述秘密共享算法。11.一种用来将应用执行限制到给定计算机系统的节点锁定方法，所述计算机系统具有多个资产，并且每个资产将资产参数与之相关联，所述方法包括：检索用于所述计算机系统的所述资产的资产参数；生成对应于每个资产参数的共享以生成多个共享；将秘密共享算法施加至多个共享子集以生成对应于所述多个共享子集的多个候选标识符；至少部分基于候选标识符的出现频率从所述多个候选标识符中选择候选标识符作为用于所述计算机系统的系统标识符，其中所述系统标识符被配置成在不要求所述多个共享中的任何共享的单独校验的情况下提供所述多个资产的校验；以及根据所述系统标识符在所述计算机系统上执行所述应用。12.权利要求11所述的方法，其中生成对应于每个资产参数的共享包括在生成所述共享之前对所述资产参数进行标准化。13.权利要求12所述的方法，其中对所述资产参数进行标准化包括将散列函数施加至所述资产参数。14.权利要求11所述的方法，进一步包括修改所述应用以将其有效执行仅仅限制在所述多个资产上。15.权利要求14所述的方法，其中修改所述应用包括：获得所述多个资产中的资产的原始资产参数；对所述原始资产参数进行加密以提供对应的密文常数；以及将所述密文常数嵌入在所述应用中。16.权利要求15所述的方法，其中对所述原始资产参数进行加密包括将所述原始资产参数与根据所述秘密共享算法确定的预定共享相组合。17.权利要求16所述的方法，其中将所述原始资产参数与预定共享相组合包括将异或函数施加至所述原始资产参数和所述预定共享。18.权利要求15所述的方法，其中生成对应于每个资产参数的共享包括将所述资产参数的每个资产参数与所述密文常数的对应密文常数相组合。19.权利要求18所述的方法，其中将所述资产参数的每个资产参数与所述密文常数的对应密文常数相组合包括将异或函数施加至所述资产参数的每个资产参数和所述密文常数的所述对应密文常数。20.权利要求11所述的方法，其中所述秘密共享算法是(M-k,N)-秘密共享算法，其中N是所述多个共享的数量，M<...

【专利技术属性】
技术研发人员：PA埃森，MJ维纳，GS古德斯，J缪尔，
申请(专利权)人：耶德托公司，
类型：发明
国别省市：荷兰;NL