The present invention provides a system, method, circuit, and computer-readable medium for controlled secure code authentication. In one aspect, a method by the host device includes: a transmission request execution to the client device, the request includes properties of the code stored in the client device in the inquiry; receiving a response to the request, the response includes the code and the nature of related information the information is correct; verify the received the response based on the response; and verify the correctness of the code is based on the authorization code.
【技术实现步骤摘要】
受控安全代码认证
本专利技术大体上涉及代码认证,特定来说涉及受控安全代码认证。
技术介绍
在实例情境中,方法经实施来针对欺骗性操作的修改或攻击而保护在装置上执行的代码或程序。为了说明,在实例安全引导方法中,装置中的处理器产生引导代码的摘要且使用引导代码的所存储认证签名来确认引导代码的摘要。然而,此引导实施方案通过装置的处理器在本地执行,且因此受此本地处理器的性能、存储装置和安全性约束。因此,主机/客户端网络的安全性变得依赖于客户端侧的处理器系统的安全性。归因于成本约束,本地安全引导的安全性可归因于有限的计算能力或缺少对引导过程、操作存储器和/或确认密钥的保护而受到限制。
技术实现思路
本说明书描述用于受控安全代码认证的系统、方法、电路和计算机可读媒体。在一个方面,一种方法包含:发射请求到客户端装置,请求包含对客户端装置的代码的性质的质询;接收对请求的响应,响应包括和代码的性质相关联的信息;基于接收到的信息验证响应的正确性;和基于响应的正确性的验证,确定存储在客户端装置内的代码是授权代码。一或多个所揭示实施方案的细节在以下附图和描述中阐述。其它特征、方面和优点将从描述、附图和权利要求书变得显而易见。附图说明图1是根据实例实施例的实例环境的框图。图2A是根据实例实施例的包含执行实例客户端装置的受控安全代码认证的实例主机装置的实例系统的框图。图2B是根据实例实施例的包含执行实例客户端装置的受控安全代码认证的实例主机装置的另一实例系统的框图。图3是根据实例实施例的实例过程的流程图,主机装置通过所述过程可执行客户端装置的安全代码认证。图4是根据实例实施例的实例过程的流程 ...
【技术保护点】
一种上面存储有指令的非暂时性计算机可读存储媒体,所述指令在被一或多个处理器执行时使所述一或多个处理器执行操作,所述操作包括:从主机装置发射请求到客户端装置,所述请求包含对存储在所述客户端装置内的代码的性质的质询;在所述主机装置处接收对所述请求的响应,所述响应包括与所述代码的所述性质相关联的信息;基于所述接收到的信息验证所述响应的正确性;及基于所述响应的所述正确性的所述验证,确定所述代码是授权代码。
【技术特征摘要】
2016.02.16 US 15/044,6931.一种上面存储有指令的非暂时性计算机可读存储媒体,所述指令在被一或多个处理器执行时使所述一或多个处理器执行操作,所述操作包括:从主机装置发射请求到客户端装置,所述请求包含对存储在所述客户端装置内的代码的性质的质询;在所述主机装置处接收对所述请求的响应,所述响应包括与所述代码的所述性质相关联的信息;基于所述接收到的信息验证所述响应的正确性;及基于所述响应的所述正确性的所述验证,确定所述代码是授权代码。2.根据权利要求1所述的非暂时性计算机可读存储媒体,其中所述质询是针对所述代码的摘要,其中所述响应包含所述代码的所述摘要,所述代码的所述摘要通过所述客户端装置产生,且其中所述响应的所述正确性的所述验证包括:基于存储在安全存储装置中的所述授权代码的信息获得所述授权代码的性质,所述授权代码的所述性质包含所述授权代码的摘要和所述授权代码的签名中的一者;及基于所述授权代码的所述获得的性质确认所述接收到的响应中的所述摘要。3.根据权利要求1所述的非暂时性计算机可读存储媒体,其中所述质询是针对所述代码的摘要和所述代码的签名中的一者,其中所述响应包含所述代码的所述签名,所述代码的所述签名通过所述客户端装置产生,且其中所述响应的所述正确性的所述验证包括:基于存储在安全存储装置中的所述授权代码的信息获得所述授权代码的签名;及基于所述授权代码的所述获得的签名确认包含在所述响应中的所述签名。4.根据权利要求3所述的非暂时性计算机可读存储媒体,其中所述客户端装置基于存储在所述客户端装置内的所述代码的所述摘要和存储在所述客户端装置内的私有密钥产生所述代码的所述签名,且其中所述获得所述授权代码的所述签名包括:使用所述授权代码的摘要和存储在所述安全存储装置中且对应于所述私有密钥的加密密钥来计算所述授权代码的所述签名。5.根据权利要求1所述的非暂时性计算机可读存储媒体,其中所述请求包含所述授权代码的签名,且其中所述验证所述响应的正确性包括:基于所述接收到的信息确定所述客户端装置使用所述请求中的所述签名确认所述代码的所述产生的摘要。6.根据权利要求1所述的非暂时性计算机可读存储媒体,其中所述质询是针对所述代码的消息认证代码MAC,其中所述响应包含所述代码的所述MAC,所述代码的所述MAC基于存储在所述客户端装置内的所述代码和存储在所述客户端装置内的共享机密密钥通过所述客户端装置产生,且其中所述验证所述响应的正确性包括:基于存储在安全存储装置中的所述授权代码和存储在所述安全存储装置中的所述共享机密密钥计算所述授权代码的MAC;及基于所述授权代码的所述经计算MAC确认所述响应中的所述代码的所述MAC。7.根据权利要求1所述的非暂时性计算机可读存储媒体,其中所述操作进一步包括产生临时数,其中所述请求包含所述临时数和所述质询,且其中所述验证所述响应的正确性包括:确定所述接收到的信息包含与所述临时数相关联的信息。8.根据权利要求1所述的非暂时性计算机可读存储媒体,其中所述操作进一步包括选择所述授权代码的多个存储器地址范围;针对所述多个存储器地址范围中的各者确定所述授权代码的相应部分;计算各确定部分的相应摘要;将所述授权代码的所述部分的所述相应摘要和所述相应存储器地址范围存储在安全存储装置中;及使所述相应存储器地址范围与所述安全存储装置中的所述部分的所述相应摘要相关联。9.根据权利要求8所述的非暂时性计算机可读存储媒体,其中所述质询包含指示所述存储器地址范围中的特定存储器地址范围的数据,其中所述响应包含基于包含在所述质询中的所述特定存储器地址范围通过所述客户端装置产生的所述代码的特定部分的摘要,且其中所述响应的所述正确性的所述验证包括:确定通过所述客户端装置产生的所述代码的所述特定部分的所述摘要与对应于所述特定存储器地址范围的所述授权代码的所述部分的所述摘要匹配。10.根据权利要求1所述的非暂时性计算机可读存储媒体,其中所述客户端装置的所述代码包含以下各者中的一者:引导代码,其经配置以在被执行时使所述客户端装置执行引导操作,及操作代码,其经配置以在被执行时使所述客户端装置执行对应于所述操作代码的操作。11.根据权利要求1所述的非暂时性计算机可读存储媒体,其中所述主机装置包括经配置以存储所述授权代码的信息的安全存储装置,且其中存储在所述安全存储装置中的所述授权代码的所述信息包括所述授权代码的副本、所述授权代码的摘要、所述授权代码的签名和所述授权代码的消息认证代码MAC中的至少一者。12.根据权利要求1所述的非暂时性计算机可读存储媒体,其中所述响应包含基于通过所述客户端装置产生的所述摘要和存储在所述客户端装置内的共享机密密钥通过所述客户端装置产生的所述代码的摘要的MAC,且其中所述验证所述响应的正确性包括:基于存储在安全存储装置中的所述授权代码和存储在所述安全存储装置...
【专利技术属性】
技术研发人员:K·D·马莱特斯凯,
申请(专利权)人:爱特梅尔公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。