一种用于允许设备即使在安全设备的固件内没有出现一些部件、不正确地被授权或不正确地操作的情况下,也可以用安全的方式来引导的方法。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种用于在执行安全引导的系统内支持可选的或失败的部件的系统。
技术介绍
例如可信计算组(TCG)的移动可信模块(MTM)先前的文件2007年6月12日的 TCG移动参考架构版本1.0 (非专利引文1)和2007年6月12日的TCG移动可信模块规范 1.0(非专利引文2)描述了如何以有保证的并且可信的方式来启动设备。这些方法已经彻 底地被审阅以保证在引导过程中维护信任和安全。因此向想要实现可以安全地引导的设备 的那些人提供有益的基准。这个安全引导过程的一个关键组成部分是RIM证书。这是带签 名的结构,其定义了当前期望的平台状态应当是什么,由一组平台配置寄存器(PCR)的散 列表示所述签名的结构,所述平台配置寄存器(PCR)本身包含已知的、公共定义的散列值。 这些PCR作为完整性测量值,所述完整性测量值可以被记录在RIM证书中,以定义期望的机 器状态。另外,如果验证了当前状态,则RIM证书也指定了要扩展的PCR。这个扩展处理获 得指定的PCR,并且基于与在RIM证书中定义的新的已知值串联的前一个PCR值来计算新的 散列值。由TCG定义的典型安全引导序列以核心部件的初始化和自我验证开始,所述核心 部件例如是用于验证和用于测量的根(RTV+RTM)、MTM本身和相关联的核心MTM接口部件。 接下来,以可信的方式开始支持固件的其他部分的额外的部件,例如,由在它们之前已经引 导的另一个部件,在它们的开始的时候,验证它们中的每一个。最后,操作系统运行以向接 入MTM服务提供用于客户应用的安全和可信的路径。专利引文1 美国专利申请No. 2005/0138414非专利引文1 :2007年6月12日的TCG移动参考架构版本1. 0非专利引文2 2007年6月12日的TCG移动可信模块规范1. 0
技术实现思路
技术问题但是,规范很严格,仅提供了通过由完全成功或完全失败导致的引导处理的单个 控制路径。换句话说,如果一个部件的引导处理失败,则即使他们自己的引导处理导致成 功,也不能使用所有其他部件。此外,TCG规范提供了用于审计并识别便携设备(例如,移动电话)是否具有受限 的资源的设施。虽然它们定义的这些审计特征对于MTM是可选的,但是这产生了下述的问 题。如上所述,虽然这个特征仅是可选项,但是在这个特征的引导处理中的失败使得不能使 用移动电话的所有部件,此外,虽然不必实现这个特征(因为其是可选项),但是在不实现 这个特征的情况下,验证变得总是失败。这使得其他处理更难检测为什么在引导处理中有 失败或在引导处理中何处有失败。此外,设备制造商可以希望提供特定的可信部件作为可 选项。另外,在许多市场中,服务提供商允许用户可以与甚至当前没有服务合同或在其具有当前的服务合同的区域外部的移动电话进行紧急呼叫是合法地要求。在配备了 MTM的 电话上,证书的撤销或非关键的部件的损坏导致电话根本不能操作,因此不能满足这个合 法要求。在Zimmer等人提出的美国专利申请No. 2005/0138414(专利引文1)中,公开了具 有可选的部件的验证的引导方法,但是,可选的部件是根据明确的切换来实现的;没有考虑 到如何处理当处理例如部件程序文件损坏或硬件初始化失败的可选的部件时出现的错误。因此,需要一种用于在由TCG移动电话工作组定义的安全引导的环境中支持可选 的部件的方法,并且即使撤销了一些RIM证书(RIM Cert)或一些部件不起作用,也仍然可 以用简化的功能方式来操作,并且其允许用更容易的、较少资源消耗的方法来确定在安全 引导结束后的MTM的状态。虽然
技术介绍
描述了根据单独定义的序列来引导的方式,但是其未提出在如果一 个非关键部件失败或不存在的情况下如何做。此外,仅对于整个安全引导处理,而不是对于 独立的部件,记录失败状态。结果,对于其中需要RIM证书的每一个角色,仅单个RIM证书可用。技术方案因此,存在对于下述系统和方法来说未满足的需要,并且具有允许定义安全引导 的多个执行序列的系统和方法是很有益的,同时仍然维护被引导的设备的安全和信任,以 使得能够在设备上支持可选的和失败的部件。此外,存在对于下述系统和方法来说未满足的需要,并且具有除了上述之外,还在 安全引导系统中记录每个独立部件的成功或失败是很有益的,以使得用户能够确定在安全 引导完成后的安全环境的状态。此外,存在对于下述系统和方法来说的未满足的需要,并且具有除了上部之外,还 允许对于每个角色使用多个RIM证书的系统和方法是很有益的,以使得在仍然维护设备的 安全性和信任的同时能够支持可选的部件。根据本专利技术的一个优选实施例,在所有其他信任的部件可访问的表中记录每个独 立部件的成功或失败。根据本专利技术的另一个优选实施例,在描述用于在给定的部件失败后执行的替代部 件的表中描述多个执行序列。通过失败的模块的标识符和先前执行或失败的部件的状态的 组合来索引这个表。根据本专利技术的另一个优选实施例,为了可以根据先前执行或失败的部件的状态来 正确地验证每个独立的部件,每个部件具有多个RIM证书,所述RIM证书描述了在部件可以 运行之前必须成立的各种有效前提。有益效果根据本专利技术,在保证信任和安全的引导处理中,即使当一个部件的引导处理失败 时,也可以执行处理失败的引导处理。通过引用于2008年1月30日提交的、包括说明书、附图和权利要求的日本专利申 请No. 2008-019379,将其整体并入本文。附图说明当结合附图考虑优选实施例的下面的详细说明时,可以更好地理解本专利技术,其中图1说明了表示现有技术的框图。图2说明了安全引导的排序的现有技术。图3说明了表示具有可选的部件的安全引导的框图。图4说明了使用错误检测和可选的部件的安全引导的其它排序。图5a说明了 RIM证书,其包含额外的数据,该额外的数据表示支持可选的部件所 需的表。图5b说明了被附到RIM证书的ID到证书的映射表。图5c说明了被附到RIM证书的下一部件的表。图6说明了根据本专利技术的、用于执行具有可选的部件的安全引导的处理的流程 图。图7说明了根据本专利技术的、用于执行具有可选的部件的安全引导的处理的流程 图。图8说明了根据本专利技术的、用于执行具有可选的部件的安全引导的处理的流程 图。图9说明了根据本专利技术的、用于执行具有可选的部件的安全引导的处理的流程 图。图10说明了对于根据本专利技术的、用于执行具有可选的部件的安全引导的处理的 增强的流程图。标记的说明102MTM104系统状态106系统错误记录器108起动器110证书数据库112完整性保护114成功的RIM证书116可信部件1118可信部件2120可信部件3122,124,126正常执行路径200可信部件4202可信部件5204操作系统300部件错误状态302部件错误记录器304证书查找306ID到证书的映射9308失败的RIM证书312下一部件的表324失败排序器326,328错误执行路径具体实施例方式(实施例)本专利技术涉及一种用于在执行安全引导的系统中支持可选的或失败的部件的系统。 通过提供描述的附加的RIM证书和数据表,支持安全引导的设备的开发者能够产生灵活地 处理未能启动的部件的系统,并且产生能够报告从安全引导引起的可信环境内的部件的状 态的设备。描述了一种新方法,其用于处本文档来自技高网...
【技术保护点】
一种安全引导方法,用于以预定的顺序执行部件,同时验证完整性,所述方法包括:获得当前状态信息,所述当前状态信息指示在已经成功地引导第一部件之前是否试图引导一个或多个部件中的每一个;通过查找第一映射表来获得与所述第一部件和由所述当前状态信息指示的状态相对应的第一完整性测量值,在所述第一映射表中,逻辑标识符、状态信息和完整性测量值彼此相关联,所述逻辑标识符中的每一个识别所述部件中对应的一个,所述状态信息中的每一个指示在已经成功地引导一个或多个部件中对应的一个之前是否试图引导所述一个或多个部件中的每一个,并且所述完整性测量值是用于验证由对应的状态信息指示已经成功地引导的一个或多个部件是否已经真的被成功地引导的值;获得当前完整性测量值,所述当前完整性测量值是基于已经被引导的一个或多个部件而计算的值;通过比较所述第一完整性测量值和所述当前完整性测量值,验证是否已经真的成功地引导了由所述当前状态信息指示已经成功地引导的一个或多个部件;当所述验证导致成功时,开始引导所述第一部件;以及,当所述第一部件成功地结束引导时,更新所述当前状态信息,以指示已经成功地引导了所述第一部件。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:KA尼克尔森,松岛秀树,高山久,伊藤孝幸,芳贺智之,
申请(专利权)人:松下电器产业株式会社,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。