用于可信数据的方法、设备和数据结构技术

一种数据结构在其中具有以下元素：数据结构类型标识；以及数据结构类型的两个或以上的实例彼此一样值得信任的证据。描述了使用这种数据结构的方法和设备。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及可信任的数据，其意义在于为担保该数据而准备了至 少一个可信实体。它特别地涉及了包括软件的数据(比如数据结构或可执行指令)，并且在实施例中涉及了计算设备上软件的升级或替换。
技术介绍
计算实体之间交互的一个重要考虑是信任一一外来计算实体是 以可靠和可预测的方式行动，还是将(或已经)受到破坏。已经由形成可信计算小组(TCG)的公司开发了包含至少在逻辑上免受破坏的 组件的可信系统——这个团体开发了该领域中的规范，例如在可信 计算平台——上下文中的TCPA技术，Siani Pearson于^03年编著， Prentice Hall PTR中所讨-论的。可信系统的隐含可信组件能够测量可信 系统并且接着能够将这些测量以完整性度量的形式来提供，以供给希 望与可信系统交互的适当实体。接收实体接着能够根据所测量的完整性度量与已知或期望的值的 一 致性来确定可信系统按照所期望的来操作。完整性度量将通常包括对可信系统使用的软件的测量。这些测量 可以通常相结合地用于指明可信系统的状态或可信状态。在可信计算 小组规范中，教导了用于将数据密封到特殊平台状态的机制一一 这就导致将密封数据加密为不可测的不透明斑点，其包含至少部 分根据平台上的软件的测量而导出的值。该测量包括软件的摘要，因 为摘要值将在对软件的任何修改时改变。如果可信组件测量当前平台 状态并发现它由与不透明斑点中相同的值表示，则可以只恢复该密封 数据。将会理解，软件中的任何改变将引起多个问题，既对于这个特定 过程且更一般的是软件测量被当作为计算机系统状态的表示的情 况一一无论软件的变化有多小，测量的有效形式(比如摘要)将给出 不同的值。在以上密封的例子中，这意味着软件的变化——其可能例如对于改进功能或移除错误和弱点是完全期望的 一 一 具有阻止 了对密封数据进行连续访问的缺点。而这只是一个示例性问题，但 是一 一在新的或替换软件中具有与原始软件中相同的信任是存在一 般性困难的，这种 一般性困难在基于该信任的维护功能中具有伴随的 实践困难。所期望的是找到 一 种方式来更新或改变被信任用来提供信任中 以及软件功能中连续性的软件。
技术实现思路
在一个方面，本专利技术提供一种数据结构，包括数据结构类型的标 识和数据结构类型的两个或以上的实例彼此一样值得信任的证据。附图说明现在将仅仅通过举例的方式并参考附图来描述本专利技术的优选实施例，所述附图中图l是适用于本专利技术实施例的示例现有技术计算机平台的图解； 图2指示在适用于本专利技术实施例的现有技术可信计算机平台的母板上存在的功能元件；图3指示适用于本专利技术实施例的图2的可信计算机平台的可信设备的功能元件；图4说明将值扩展到适用于本专利技术实施例的图2的可信计算机平台的平台配置寄存器中的过程；图5说明根据本专利技术的实施例的记录完整性度量的过程；图6说明根据本专利技术的实施例的完整性度量的两个信任等效集合以及第二集合的实施例；图7说明根据本专利技术的实施例的担保新的或替换软件的声明；图8示出根据本专利技术的实施例的在图5中所示类型的声明的链接列表；图9说明根据本专利技术的实施例的在图8中所示类型的声明的保密 性增强版本；图10说明根据本专利技术的实施例的信任等效的两个完整性度量集 合的配置，以及PCR值的合成集合；图11示意性说明根据本专利技术实施例的虚拟可信平台从 一 个物理可信平台到另一个物理可信平台的迁移；和图12说明根据本专利技术实施例的用于将虚拟可信平台从一个物理 可信平台迁移到另 一个物理可信平台的方法。具体实施方式在描述本专利技术的实施例之前，将结合图1到4来描述一种一般适用 于执行本专利技术的实施例的可信计算平台。对可信计算平台的该说明描 述了其构造和操作的某些基本元素。在本文中，用户可以是远程 用户，比如远程计算实体。可信计算平台还在申请人于2000年2月15 曰提交的题目为可信计算平台的国际专利申请No. PCT/GB00/00528中描述，其内容合并在此作为参考。技术人员将理 解，本专利技术对于其操作不依赖于精确按如下所描述的来使用可信计算 平台本专利技术的实施例是针对这种可信计算平台来描述的，但是技术 人员将理解，本专利技术的这些方面可以应用于不同类型的计算机平台， 这些计算机平台不需应用可信计算小组的可信计算平台功能的所有 方面。这里所描述的这种可信计算平台是可信设备合并到其中的计算 平台，可信设备的功能是将平台的身份(identity )与可靠测量的数据 绑定，可靠测量的数据提供平台的一个或多个完整性度量。将该身份 和完整性度量与由可信方(TP)提供的期望值进行比较，可信方被准 备用来担保平台的值得信任度。如果存在匹配，则暗示了至少一部分 平台正确地操作，这取决于完整性度量的范围。请求可信设备提供其身份和一个或多个完整性度量来这样做。i可选 地，如果可信设备本身不能验证平台的正确操作，则可信设备将拒绝 提供身份的证据。)用户接收身份的证据和一个或多个身份度量，并 且将它们与认为是真实的值比较。这些适当的值由TP或用户所信任的 另 一个实体来提供。如果由可信设备报告的数据与由TP所提供的数据 相同，则用户相信该平台。这是因为用户相信该实体。该实体相信平 台，因为它先前已经确认了身份，并确定了平台的适当完整性度量。 一旦用户已经证实了平台的可信操作，则他与平台交换其它数 据。对于本地用户，该交换可能是通过与一些在平台上运行的软件应 用进行交互。对于远程用户，该交换可能涉及安全事务。在任一情况 下，交换的数据由可信设备签名。那么用户可以对数据正在与行 为受信任的平台进行交换具有更大的置信度。所交换的数据可以是与 一些或所有在计算机平台上运行的软件有关的信息。现有的可信计算 小组的可信计算机平台适于提供平台上软件的摘要——它们可以与 已知软件的已知摘要的公共可用列表相比较。但是，这确实提供了在 可信计算平台上运行的特定软件的标识 一 一 这对于保密场所的可信计算平台的所有者可能是不期望的。如将在下面所述的，本专利技术的一 些方面可用于改善可信计算平台拥有者的保密位置的方面。可信设备使用密码进程，但是不需要向那些密码进程提供外部接 口 。可信设备应当在逻辑上不受其它实体的影响一一包括其本身也是 平台一部分的平台其它部分。并且，最期望的实施方式是使可信设备了i本上对未授权修改免疫的环境U卩，在:理丄和逻辑上、都得到; 护)。由于防篡改是不可能的，所以最好的近似方案是抗篡改或检测 篡改的可信设备。因此，该可信设备优选地由抗篡改的一个物理组件这些技^包:用于抗篡改的方法(比如丄当封装可信设备)、用于检测篡改的方法(比如在可信设备外壳中检测超出规定电压、x射线或 丢失物理完整性)、以及用于当检测到篡改时消除数据的方法。 可信平台io是在图1的图中说明的。计算机平台io看上去完全是传统的——它关联有键盘14、鼠标16和可视显示单元(VDU) 18的标 准特征，这些特征提供了平台的物理用户接口。如图2所示，可信计算平台10的母板20包括(除了其它标准组件) 主处理器21、主存储器22、可信设备24、数据总线26和相应的控制线 27和28、包含平台10的BISO程序的BIOS存储器29和输入/输出(10) 设备23， 10设备23控制母板的组件和键盘14、鼠标16以及VDU18本文档来自技高网...

【技术保护点】
一种提供计算机平台状态的证据的方法，包括：测量计算机平台的状态，其中对状态进行测量包括测量计算机平台中的第一数据结构，以提供第一测量状态；在计算机平台状态的证据中使用第一测量状态；在计算机平台中用第二数据结构来替换第一数据结构；测量用第二数据结构替换了第一数据结构的计算机平台的状态，以提供第二测量状态；验证第二测量状态如第一测量状态一样值得信任；和在计算机平台状态的证据中用第二测量状态来代替第一测量状态。

【技术特征摘要】
【国外来华专利技术】GB 2005-3-22 0505746.8;GB 2005-5-25 0510558.0;GB 21. 一种提供计算机平台状态的证据的方法，包括测量计算机平台的状态，其中对状态进行测量包括测量计算机平台中的第一数据结构，以提供第一测量状态；在计算机平台状态的证据中使用第 一测量状态；在计算机平台中用第二数据结构来替换第 一数据结构；测量用第二数据结构替换了第 一数据结构的计算机平台的状态，以提供第二测量状态；验证第二测量状态如第一测量状态一样值得信任；和在计算机平台状态的证据中用第二测量状态来代替第 一 测量状态。2. 如权利要求l中所述的方法，其中计算机平台包括免受破坏的 可信设备，并且该可信设备执行测量、验证和代替步骤。3. 如权利要求2中所述的方法，其中可信设备包括一个或多个平 台配置寄存器，通过将当前平台配置寄存器值与测量数据级联、对结 果进行散列并用散列结果替换当前平台配置寄存器值来将测量值放 置在所述平台配置寄存器中，其中从第一数据结构的平台配置寄存器 值导出第 一 测量状态，并且在第 一数据结构已经被第二数据结构替换 之后从平台配置寄存器值导出第二测量状态，并且验证步骤包括确 定第 一数据结构的平台配置寄存器值与在第 一数据结构已经被第二 数据结构替换之后的平台配置寄存器值有关。4. 如权利要求3中所述的方法，其中第一和第二测量状态均包括 从多个平台配置寄存器导出的值，并且验证步骤包括确定第一测量 状态值与第二测量状态值有关。5. 如权利要求4中所述的方法，其中所述值是通过级联和散列那 些平台配置寄存器中的值而从多个平台配置寄存器中导出的。6. 如权利要求3中所述的方法，其中可信设备适于证实一个平台 配置寄存器值序列与另一个平台配置寄存器值序列是信任等效的。7. 如前面任一权利要求所述的方法，其中证据包括对从测量状 态导出的值密封的数据，使得当计算机平台的测量状态的当前值对应 于所测量的值时只可以访问该数据。8. 如前面任一权利要求所述的方法，其中第二数据结构是多个 数据结构。9. 如权利要求1到7中任意一个所述的方法，其中第二数据结构 是空的数据结构。10. 如前面任一权利要求所述的方法，其中第一和第二数据结构 包括第一软件和第二软件，均被提供用于公共功能目的。11. 如权利要求ll中所述的方法，其中第二软件比第一软件更可信。12. 如权利要求10或权利要求11中所述的方法，其中所述第一和 第二测量状态分别包括第一软件和第二软件的摘要或者分别从第一 软件和第二软件的摘要导出，并且其中验证步骤包括确定第二软件 的摘要与第 一软件的摘要有关。13. 如权利要求12中所述的方法，其中第一软件的摘要和第二软 件的摘要之间的关系由可信软件提供商证明的声明来提供，并且验证 步骤包括验证该声明。14. 如权利要求1到9中任意一个所述的方法，其中第一和第二数 据结构包括第一密钥和第二密钥，均被提供用于公共目的。15. 如权利要求14中所述的依赖于权利要求2的方法，其中公共 目的是作为可信设备的证明密钥。16. —种计算机平台，包含免受破坏并适于测量和担保该计算机 平台上数据结构的可信设备，其中该可信设备适于当计算机平台上的 第 一数据结构已经被第二数据结构替换时确定第二数据结构与第一 数据结构一样值得信任。17. 如权利要求16中所述的计算机平台，其中可信设备适于根据 包括与第 一 数据结构或第二数据结构有关的测量值的测量值来测量 计算机平台的状态。18. 如权利要求17中所述的计算机平台，其中可信设备包括一个 或多个平台配置寄存器，通过将当前平台配置寄存器值与测量数据级 联、对结果进行散列并用散列结果替换当前平台配置寄存器值来将测 量值放置在所述平台配置寄存器中，其中可信设备适于确定第 一平台 状态何时与第二平台状态等效，第 一平台状态由包括与第 一数据结构 有关的测量值的测量值所确定的平台配置寄存器值表示，而第二平台 状态由包括与第二数据结构有关的测量值的测量值所确定的平台配 置寄存器值表示。19. 如权利要求17或权利要求18中所述的计算机平台，其中可信 设备适于提供平台状态的证据。20. 如权利要求17到19中任意一个所述的计算机平台，其中可信 设备适于对从测量的平台状态导出的值密封数据，使得当平台状态的 当前#_对应于所测量的j直时只可以访问该#:据。21. 如权利要求16到20中任意一个所述的计算机平台，其中第一 数据结构包括第 一软件并且第二数据结构包括第二软件，并且其中第 一软件和第二软件均被提供用于公共功能目的并在功能上一致。22. 如权利要求21中所述的计算机平台，其中可信设备根据可信 软件提供商证明的声明并通过验证该声明来确定功能一致性和信 任。23. —种为所识别软件提供升级或替换的方法，包括为升级或替换而确定指明软件性质的声明和升级或替换如所识 别软件一样值得信任的证据；和 向升级或替换提供声明。24.如权利要求中所述的方法，其中所述证据包括来自升级或 替换的可信提供商的证明。25.如权利要求23或权利要求24中所述的方法，其中所述证据包 括将声明识别为与所识别软件有关的声明链接列表的 一部分，并且验 证链接列表是有效的链接列表。26. 如权...

【专利技术属性】
技术研发人员：GJ普鲁德勒，D普拉奎恩，W伯顿，D库尔曼，
申请(专利权)人：惠普开发有限公司，
类型：发明
国别省市：US[美国]