專利名稱:驗(yàn)證初始可信設(shè)備到被保護(hù)處理系統(tǒng)的綁定的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及處理系統(tǒng)中的安全性���,并且特別涉及用于將綁定信息安裝到被保護(hù)處理系統(tǒng)中的初始或替代可信設(shè)備中的方法����。
背景技術(shù):
現(xiàn)在的計(jì)算系統(tǒng),并且特別是大型服務(wù)器系統(tǒng)通常包括對(duì)運(yùn)行多個(gè)虛擬機(jī)的支持�。所述系統(tǒng)可以是這樣的大型按需服務(wù)器系統(tǒng),所述系統(tǒng)在單一硬件平臺(tái)上執(zhí)行數(shù)百個(gè)服務(wù)器實(shí)例以支持具有可變計(jì)算需求的客戶�。在這些系統(tǒng)中最靈活的系統(tǒng)中,可能在操作系統(tǒng)和應(yīng)用組合上不同的多個(gè)分區(qū)同時(shí)出現(xiàn)在系統(tǒng)存儲(chǔ)器中�,并且在每個(gè)分區(qū)中執(zhí)行的過程在支持其在訪客(guest)操作系統(tǒng)上的執(zhí)行的環(huán)境中運(yùn)行。所述虛擬機(jī)提供了足夠類似于實(shí)際硬件平臺(tái)的環(huán)境���,以致所述操作系統(tǒng)通過很少或不進(jìn)行任何修改就可以運(yùn)行���。管理程序(hypervisor)(有時(shí)稱為虛擬機(jī)監(jiān)視器)管理所述虛擬機(jī)或分區(qū)的全部并且提取系統(tǒng)資源,以便每個(gè)分區(qū)為每個(gè)操作系統(tǒng)實(shí)例提供類似于機(jī)器的環(huán)境����。
為實(shí)現(xiàn)上述體系結(jié)構(gòu)目標(biāo),多個(gè)處理模塊和其它設(shè)備被安裝到系統(tǒng)中���,并且每個(gè)設(shè)備一般支持一個(gè)或更多個(gè)上面描述的分區(qū)�,盡管也可以在多個(gè)設(shè)備之間共享一個(gè)分區(qū)上的任務(wù)分配����。設(shè)備組或單個(gè)設(shè)備可以關(guān)聯(lián)于特定客戶���,并且希望保護(hù)由僅該客戶到設(shè)備或組的訪問,其包括保護(hù)所述設(shè)備免于來自系統(tǒng)或設(shè)備的制造商的風(fēng)險(xiǎn)�。
為提供所述系統(tǒng)中的安全性,設(shè)備必須被綁定到該系統(tǒng)����,其避免了移除和數(shù)據(jù)挖掘,其中���,所述移除和數(shù)據(jù)挖掘通過或者從設(shè)備提取數(shù)據(jù)或者使用設(shè)備“模擬”其從中被提取的系統(tǒng)或其一部分而可能發(fā)生。綁定可以是物理的����,即設(shè)備被永久附接到所述系統(tǒng),或者綁定可以加密地被完成����,其允許可移除設(shè)備和連網(wǎng)系統(tǒng)。僅當(dāng)憑證提供者確定可信設(shè)備已被有效綁定到系統(tǒng)時(shí)�,平臺(tái)憑證才被發(fā)布到系統(tǒng)(或系統(tǒng)中的特定可信設(shè)備組)。所述憑證證明所述平臺(tái)包含一個(gè)或更多可信設(shè)備�����,并且因此具有關(guān)聯(lián)于其的屬性。典型地����,所述證明在制造商處被實(shí)施,并且所述可信設(shè)備或者被永久物理綁定到所述系統(tǒng)���,或在沒有字段替代可能性的情況下被加密地綁定到所述系統(tǒng)�。
上面提到的可移除和連網(wǎng)設(shè)備通過除非該設(shè)備被加密地綁定到該系統(tǒng)則拒絕在系統(tǒng)中進(jìn)行初始化來提供對(duì)數(shù)據(jù)篡改或模擬的預(yù)防��。關(guān)聯(lián)于所述綁定的信息一般被制造商加密并且存儲(chǔ)在所述設(shè)備中的非易失性存儲(chǔ)器中���。通過使用上面描述的機(jī)制�,僅可信系統(tǒng)可以訪問關(guān)聯(lián)于特定設(shè)備或被存儲(chǔ)在特定設(shè)備中的數(shù)據(jù)�����,其顯著減小了可移除設(shè)備被盜用或誤用的影響�����。另外����,關(guān)聯(lián)于設(shè)備的數(shù)據(jù)(例如所存儲(chǔ)的上面提到的虛擬機(jī)之一的語境或“狀態(tài)”)通過這樣的加密機(jī)制被保護(hù)�����,該加密機(jī)制需要存儲(chǔ)在所述關(guān)聯(lián)的一個(gè)或多個(gè)設(shè)備中的密鑰�。該兩層機(jī)制硬件綁定和針對(duì)特定的一個(gè)或多個(gè)設(shè)備的數(shù)據(jù)加密對(duì)由可移除設(shè)備的盜用或誤用引起的數(shù)據(jù)挖掘提供了高安全級(jí)別��。
當(dāng)所述設(shè)備中的一個(gè)發(fā)生故障或在可信設(shè)備初始安裝到系統(tǒng)中時(shí)����,該新設(shè)備必須被綁定到該系統(tǒng),以便該設(shè)備根據(jù)上面描述的安全方法初始化���。如果具有所希望的安全綁定的其它設(shè)備出現(xiàn)并且運(yùn)轉(zhuǎn)在系統(tǒng)中�����,則綁定信息可以從所述其它設(shè)備中的一個(gè)被傳輸。然而����,如果沒有任何具有所希望的綁定的其它設(shè)備可用,即�,具有所述綁定的最后一個(gè)設(shè)備已發(fā)生故障�,或者最初僅一個(gè)所述設(shè)備出現(xiàn)在所述系統(tǒng)中����,則所述綁定需要通過其它方法被建立,其典型是通過將所述系統(tǒng)返回給其制造商��。
用于替代可信設(shè)備的字段替代機(jī)制導(dǎo)致系統(tǒng)對(duì)于未授權(quán)或已修改硬件的潛在的暴露�����。因此���,希望所述替代技術(shù)至少像所述運(yùn)轉(zhuǎn)安全方案一樣安全�,其典型是同樣要求所述設(shè)備返回給其制造商���。
攻擊具有綁定設(shè)備的系統(tǒng)的一種方法是在綁定過程中移除設(shè)備�,或使設(shè)備呈現(xiàn)為“未綁定”��,并試圖將該設(shè)備安裝到另一系統(tǒng)上���。同時(shí)�����,故障可能在所述綁定過程中發(fā)生�����,其通過導(dǎo)致設(shè)備在其并不受保護(hù)時(shí)對(duì)于特定平臺(tái)顯現(xiàn)為受保護(hù)的而可能危及系統(tǒng)的完整性�����。
因此��,希望提供一種字段替代機(jī)制�����,其用于�,當(dāng)沒有任何其它具有所希望的綁定的設(shè)備出現(xiàn)在系統(tǒng)中時(shí),以安全的方式將替代設(shè)備綁定到系統(tǒng)���。還希望提供一種當(dāng)初始可信設(shè)備被安裝和僅當(dāng)該可信設(shè)備已知被有效綁定到該系統(tǒng)時(shí)對(duì)于平臺(tái)的有效憑證�。還希望提供一種安全綁定方法��,該方法容許綁定過程中的故障或移除�。
發(fā)明內(nèi)容
本發(fā)明提供了一種如權(quán)利要求1中所聲明的方法和相應(yīng)的裝置及計(jì)算機(jī)程序。
被認(rèn)為是新穎特征的本發(fā)明的特性在權(quán)利要求中被闡述�。然而,通過在結(jié)合附圖閱讀時(shí)參考下面對(duì)說明性實(shí)施例的詳細(xì)描述����,本發(fā)明其自身以及優(yōu)選的使用模式�、另外的目的及優(yōu)點(diǎn)將被最好地理解,在附圖中類似標(biāo)號(hào)指示類似部件���,并且圖1是在其中本發(fā)明的實(shí)施例被實(shí)現(xiàn)的計(jì)算系統(tǒng)的框圖���。
圖2是在根據(jù)本發(fā)明的實(shí)施例的系統(tǒng)中的存儲(chǔ)器圖像和信息流的框圖��。
圖3是描述根據(jù)本發(fā)明的實(shí)施例的方法的若干部分的流程圖���。
圖4是描述根據(jù)本發(fā)明的實(shí)施例的方法的另若干部分的流程圖。
圖5是描述根據(jù)本發(fā)明的實(shí)施例的方法的又若干部分的流程圖�����。
具體實(shí)施例方式
現(xiàn)在參考附圖���,并且特別參考圖1��,描述了在其中本發(fā)明的實(shí)施例可以被實(shí)現(xiàn)的系統(tǒng)的框圖����。應(yīng)當(dāng)理解,所描述的實(shí)施例并不用于限制��,而僅示例了本發(fā)明的方法和技術(shù)可以應(yīng)用于的處理系統(tǒng)的類型���。所述系統(tǒng)包括具有四個(gè)處理器模塊(處理器模塊10A和三個(gè)其它等同的處理器模塊10B-D)的被保護(hù)的本地系統(tǒng)5����。本地系統(tǒng)5可以被連接到構(gòu)成超標(biāo)量處理系統(tǒng)的其它系統(tǒng)單元5A��。所述本地系統(tǒng)被經(jīng)由因特網(wǎng)連接3或可選網(wǎng)絡(luò)接口連接到憑證提供者服務(wù)器1��。憑證提供者服務(wù)器包括用于執(zhí)行根據(jù)本發(fā)明的實(shí)施例的服務(wù)器程序指令的處理器12A�����,和用于存儲(chǔ)所述程序指令和數(shù)據(jù)的服務(wù)器存儲(chǔ)器11�����。
每個(gè)處理模塊10A��、10B-D包括用于執(zhí)行程序指令的處理器12、一般被映射為可被其它處理器模塊10B-D訪問的系統(tǒng)存儲(chǔ)器的本地存儲(chǔ)器6�,以及用于存儲(chǔ)數(shù)據(jù)和程序指令的高速緩存14����。處理模塊10A、10B-D還每個(gè)包括非易失性存儲(chǔ)器13��,其中����,該非易失性存儲(chǔ)器存儲(chǔ)被本發(fā)明的方法用于驗(yàn)證處理器模塊10A、10B-D被安裝在它們被綁定的系統(tǒng)中的值����。處理器模塊10A、10B-D還每個(gè)可包括服務(wù)處理器16�,其中,該服務(wù)處理器可以實(shí)現(xiàn)本發(fā)明的安全功能��,或者可選地�,處理器12可以實(shí)施下面詳細(xì)描述的任務(wù)。處理器模塊10A���、10B-D還包括用于與本地系統(tǒng)5中的其它模塊互通的本地快速接口18�,以及用于與其它系統(tǒng)單元5A和因特網(wǎng)連接3通信的網(wǎng)絡(luò)接口15。本地系統(tǒng)還包括存儲(chǔ)設(shè)備7以及其它設(shè)備9���,其中�����,本發(fā)明的綁定技術(shù)可以被應(yīng)用于所述設(shè)備���。系統(tǒng)非易失性存儲(chǔ)器13A也被包括,其用于存儲(chǔ)綁定驗(yàn)證數(shù)據(jù)以及關(guān)聯(lián)于本發(fā)明的安全技術(shù)的其它系統(tǒng)值�����,例如系統(tǒng)序列號(hào)或其它標(biāo)識(shí)符���。
在系統(tǒng)本地存儲(chǔ)器6中����,虛擬機(jī)監(jiān)視器程序或“管理程序”提供了對(duì)執(zhí)行多個(gè)虛擬機(jī)(VM)或“分區(qū)”的支持�����,其中��,所述多個(gè)虛擬機(jī)或“分區(qū)”的每個(gè)都提供了用于操作系統(tǒng)和大量“訪客”程序(由操作系統(tǒng)執(zhí)行并運(yùn)行在相關(guān)聯(lián)VM中的應(yīng)用和服務(wù))的執(zhí)行環(huán)境。
為確保整個(gè)本地系統(tǒng)5的安全�,以及在上面提到的分區(qū)可屬于需要在所述分區(qū)之間的數(shù)據(jù)保護(hù)的不同客戶的情況下使用本地系統(tǒng)5的多個(gè)客戶之間的安全,本發(fā)明提供了本地系統(tǒng)5中的設(shè)備的綁定����,以便所述設(shè)備僅可以在本地系統(tǒng)5中被使用�����。作為所述綁定過程的結(jié)果��,憑證提供者服務(wù)器1向本地系統(tǒng)5提供憑證���,所述憑證向其它系統(tǒng)證明該系統(tǒng)包括一個(gè)或更多可信設(shè)備并且因此具有關(guān)聯(lián)于所述可信設(shè)備的屬性���。所述證明可以因而被其它系統(tǒng)用于驗(yàn)證其可以使用關(guān)聯(lián)于可信平臺(tái)設(shè)備的特征與系統(tǒng)5互操作。上面描述的裝置是適用于這樣的系統(tǒng)的例子����,在所述系統(tǒng)中,處理器模塊10A�����、10B-D是可移除模塊,其可以經(jīng)由機(jī)架或其它互連裝置被插入本地系統(tǒng)5或從本地系統(tǒng)5移除����。然而,本發(fā)明意義上的綁定可以擴(kuò)展到其它裝置�,例如在本地系統(tǒng)5和其它系統(tǒng)單元5A之間示出的連網(wǎng)互連。本發(fā)明使用加密和公鑰/私鑰對(duì)來保護(hù)設(shè)備之間的與綁定相關(guān)的通信�,并且因此,在其中被綁定到系統(tǒng)的設(shè)備可能實(shí)際位于物理上完全不同的位置的環(huán)境中可以維持安全�。
另外,應(yīng)當(dāng)理解��,本發(fā)明的技術(shù)不僅應(yīng)用于處理器模塊�,而且應(yīng)用于下述任意設(shè)備,對(duì)于其唯一綁定到系統(tǒng)是有益的�,并且其中憑證的驗(yàn)證是有益的。例如����,計(jì)算機(jī)系統(tǒng)中的存儲(chǔ)設(shè)備可以被綁定到該系統(tǒng),以便其將僅通過該系統(tǒng)操作��,并且�,在應(yīng)用或操作系統(tǒng)例程信任存儲(chǔ)在該設(shè)備上的數(shù)據(jù)或信任該設(shè)備為數(shù)據(jù)的匯點(diǎn)(sink)之前,憑證可以響應(yīng)于查詢被提供。因此��,應(yīng)當(dāng)理解��,盡管下面的描述出于說明性目的而涉及處理器模塊10A到本地系統(tǒng)5的綁定���,其也可應(yīng)用于其它設(shè)備和其它系統(tǒng)����。
現(xiàn)在參考圖2�,所示框圖描述圖1的計(jì)算機(jī)系統(tǒng)中的存儲(chǔ)器圖像和信息流��。在設(shè)備非易失性存儲(chǔ)器13中�,設(shè)備特定標(biāo)識(shí)符與在設(shè)備制造時(shí)被安裝的唯一的設(shè)備特定密鑰對(duì)一起被存儲(chǔ)。
在所述綁定過程中����,處理器模塊10A生成隨機(jī)比特序列(設(shè)備生成機(jī)密級(jí)(secret)),其中���,所述設(shè)備然后用由本地系統(tǒng)5提供的系統(tǒng)特定標(biāo)識(shí)符將該隨機(jī)位序列從系統(tǒng)非易失性存儲(chǔ)器13A散列到處理器模塊10A(或者可以由處理器模塊10A直接從系統(tǒng)非易失性存儲(chǔ)器13A訪問)�。所述散列的結(jié)果“平臺(tái)綁定記錄”(PBR)被存儲(chǔ)在處理器模塊10A的非易失性存儲(chǔ)器13中�,以便將來用于驗(yàn)證本地系統(tǒng)5是被唯一綁定到處理器模塊10A的系統(tǒng)。對(duì)于處理器模塊10A唯一的私鑰被用于簽名所述PBR����,并且已簽名PBR被發(fā)送到本地系統(tǒng)5���,其中,其被存儲(chǔ)在系統(tǒng)非易失性存儲(chǔ)器13A中���。由于僅處理器模塊10A知道其唯一的私鑰�,處理器模塊可以在隨后把所述已簽名PBR返回到處理器模塊10A時(shí)驗(yàn)證本地系統(tǒng)5是其被綁定到的系統(tǒng)�,因?yàn)樗鲆押灻鸓BR上的簽名證實(shí)該已簽名PBR已由處理器模塊10A生成。當(dāng)從處理器模塊10A接收到所述PBR時(shí)�,本地系統(tǒng)5使用由處理器模塊10A的制造商提供的系統(tǒng)唯一公鑰驗(yàn)證該已簽名PBR,并且存儲(chǔ)該已簽名PBR�,以便返回給處理器模塊10A,以用于當(dāng)管理程序認(rèn)為必要時(shí)在初始化和其它間隔時(shí)進(jìn)行驗(yàn)證��。
同樣在所述綁定過程中���,綁定驗(yàn)證記錄被發(fā)送到憑證提供者服務(wù)器1����,其驗(yàn)證系統(tǒng)/設(shè)備組合是有效的并且現(xiàn)在被正確地綁定�。所述綁定驗(yàn)證記錄使用從數(shù)據(jù)庫22檢索的設(shè)備特定公鑰來驗(yàn)證,其中,數(shù)據(jù)庫22經(jīng)由設(shè)備標(biāo)識(shí)符和系統(tǒng)標(biāo)識(shí)符進(jìn)行索引����。所述綁定驗(yàn)證記錄通過包括可以僅在該設(shè)備內(nèi)存在的各種信息而提供了特定設(shè)備被綁定到系統(tǒng)的證據(jù)。在所示的實(shí)施例中����,這通過使用設(shè)備特定私鑰簽名幾條信息的散列來實(shí)施,其中�����,所述信息包括設(shè)備特定公共簽注密鑰�、在所述綁定過程中被提供的系統(tǒng)標(biāo)識(shí)符以及唯一的設(shè)備標(biāo)識(shí)符(一般為序列號(hào))。在簽名之前�����,上述信息基于一次使用設(shè)備機(jī)密級(jí)(不同于所述一次設(shè)備生成機(jī)密級(jí))進(jìn)行散列�����,其中�����,所述一次使用設(shè)備機(jī)密級(jí)在所述設(shè)備制造時(shí)被安裝����。所述一次使用設(shè)備機(jī)密級(jí)然后在所述綁定驗(yàn)證記錄被生成之后“燒毀”(擦除)。該一次機(jī)密級(jí)還被存儲(chǔ)在制造商的(憑證提供者的)數(shù)據(jù)庫中���,其提供了對(duì)所述設(shè)備已被綁定的驗(yàn)證����。所述驗(yàn)證僅可以被實(shí)施一次����,因?yàn)橐坏┧鲈O(shè)備已燒毀所述一次使用機(jī)密級(jí),則如果下面描述的其它單向棘輪(ratchet)被克服�,在沒有依照所述一次使用設(shè)備機(jī)密級(jí)生成綁定驗(yàn)證記錄的情況下,所述設(shè)備的綁定仍然無法被驗(yàn)證����。
所述設(shè)備特定簽注密鑰對(duì)于初始可信設(shè)備也是唯一的,并且提供了對(duì)所述設(shè)備所綁定的是正確設(shè)備的進(jìn)一步驗(yàn)證��,因?yàn)樗龊炞⒚荑€還由憑證提供者保留�����。所述簽注密鑰關(guān)聯(lián)于所述憑證,并且隨后被用于表明所述可信平臺(tái)虛擬機(jī)正運(yùn)行在關(guān)聯(lián)于特定憑證(其將也包含所述簽注密鑰)的可信平臺(tái)設(shè)備上�。
數(shù)據(jù)庫22維持所產(chǎn)生的用于所有設(shè)備的公鑰信息,以便密鑰可以被找到用于證實(shí)來自設(shè)備的消息以及所述設(shè)備一次使用機(jī)密級(jí)���。如果所述綁定被證實(shí)���,則憑證20被生成,并被發(fā)送到處理器模塊10A�,該模塊將其存儲(chǔ)在設(shè)備非易失性存儲(chǔ)器13(其可以包括磁盤文件存儲(chǔ)器)中,以用于將由處理器模塊10A提供的平臺(tái)標(biāo)識(shí)為可信平臺(tái)��,其中���,所述可信平臺(tái)具有被憑證提供者(例如制造商或其它證明實(shí)體)證明的身份��。
由于所述的唯一私鑰僅被存儲(chǔ)在處理器模塊10A中�,并且在該私鑰在工廠被注入處理器模塊10A中之后不被制造商保留��,也不被存儲(chǔ)在其它任何地方���,所以另一設(shè)備在綁定過程中模擬處理器模塊10A極其困難。因此憑證將被發(fā)布到除已知系統(tǒng)和已知設(shè)備集合外的設(shè)備和系統(tǒng)的任意組合的情形極不可能�����。除上述以外的其它技術(shù)可以被應(yīng)用以便進(jìn)一步增加其難度。
現(xiàn)在參考圖3���,根據(jù)所示出的本發(fā)明的實(shí)施例的方法的一部分被描述�。當(dāng)未綁定設(shè)備被安裝到(或耦合到)系統(tǒng)中(步驟30)時(shí)����,如果系統(tǒng)中存在另一可信設(shè)備(判決31),則整合過程通過從另一可信設(shè)備遷移綁定信息被實(shí)施(步驟32)�。實(shí)質(zhì)上,所述整合安全地共享被存儲(chǔ)在另一設(shè)備中的散列結(jié)果(PBR)�����,并且將其存儲(chǔ)在所述未綁定設(shè)備的非易失性存儲(chǔ)器13中�,該未綁定設(shè)備可以然后通過用其自己的私鑰簽名來自另一設(shè)備的PBR而向本地系統(tǒng)5返回已簽名PBR,以存儲(chǔ)在系統(tǒng)非易失性存儲(chǔ)器13A中����。當(dāng)本地系統(tǒng)5在初始化時(shí)將所述已簽名PBR發(fā)送到新被綁定的設(shè)備時(shí),該新被綁定的設(shè)備可以與現(xiàn)有可信設(shè)備一樣地驗(yàn)證所述系統(tǒng)��。應(yīng)當(dāng)指出����,每個(gè)設(shè)備的唯一私鑰不需要被輸出�����,而僅輸出在現(xiàn)有可信設(shè)備的綁定期間被生成的散列值���。
然而,如果系統(tǒng)中不存在任何其它可信設(shè)備(判決31)��,則本發(fā)明的方法被用于在不實(shí)施步驟32的整合過程的情況下綁定該新設(shè)備��。首先�,例如系統(tǒng)序列號(hào)的系統(tǒng)特定標(biāo)識(shí)符被發(fā)送到該設(shè)備(步驟33)。該設(shè)備生成被用作機(jī)密級(jí)值的隨機(jī)比特流��,并且用所述系統(tǒng)特定標(biāo)識(shí)符散列該值以產(chǎn)生散列結(jié)果(PBR)(步驟34)��。該設(shè)備存儲(chǔ)所述PBR���,并且然后用該設(shè)備的唯一私鑰簽名所述散列結(jié)果以提供已簽名PBR(步驟36)�,該已簽名PBR然后被發(fā)送到所述系統(tǒng)��,以在每個(gè)設(shè)備初始化時(shí)使用��。
綁定的證明也被生成����,并被與所述系統(tǒng)標(biāo)識(shí)符一起發(fā)送到憑證提供者(步驟37)。憑證提供者通過把系統(tǒng)和設(shè)備的身份驗(yàn)證為綁定的已簽名證明中的簽名而確定該綁定是否有效(判決38)�。憑證提供者具有每個(gè)設(shè)備的公鑰,其中���,所述公鑰被用于證實(shí)綁定記錄的已簽名證明��,以及驗(yàn)證其來自該特定設(shè)備�����。由于系統(tǒng)標(biāo)識(shí)符也是綁定的已簽名證明的基礎(chǔ)的一部分�,所以系統(tǒng)的身份也由此被標(biāo)識(shí)��,即使所述設(shè)備和系統(tǒng)標(biāo)識(shí)符也可以被“明文地”發(fā)送�����。
如果所述綁定有效(判決38)��,則該設(shè)備的憑證被發(fā)布�����,并且被發(fā)送回系統(tǒng)(步驟39),以便系統(tǒng)可以證明其包含可信設(shè)備����。然而,如上面所說明的���,憑證不必非要被發(fā)送到系統(tǒng)����,并且可以被維持在憑證提供者服務(wù)器上或存儲(chǔ)在另一位置��,只要其對(duì)于需要驗(yàn)證系統(tǒng)包含具有特定屬性的可信設(shè)備的部件是可訪問的即可����。但是,如果所述綁定無效(判決38)�,則該設(shè)備被通知中止所述綁定過程(步驟40)。
現(xiàn)在參考圖4��,根據(jù)所示出的本發(fā)明的實(shí)施例的方法的另一部分被描述��。當(dāng)設(shè)備被安裝到系統(tǒng)中(步驟50)時(shí),狀態(tài)值被從所述設(shè)備非易失性存儲(chǔ)器讀取(步驟51)���。三個(gè)狀態(tài)是可能的“已綁定”�、“未綁定”和“正在綁定”����。所述三個(gè)狀態(tài)被用于單向“棘輪”方案中�,其中,所述單向“棘輪”方案確保一旦所述綁定過程在設(shè)備上開始�����,該設(shè)備就無法返回未綁定狀態(tài)��,以及��,一旦綁定被完成���,該設(shè)備就無法從已綁定狀況返回����。
當(dāng)設(shè)備被安裝時(shí)如果該設(shè)備在“正在綁定”狀態(tài)下(判決51)���,則其表明����,綁定過程以某種方式被中斷,以及表明���,在另一綁定過程中�,通過移除該設(shè)備��,篡改可能已發(fā)生���。因此��,如果該設(shè)備當(dāng)安裝時(shí)在正在綁定狀態(tài)下(判決51)��,則該設(shè)備被系統(tǒng)封鎖(步驟52)��,并且必須被返回給制造商以便重新使用�����。如果該設(shè)備在“已綁定”狀態(tài)下(判決53)�,則所述綁定被正常地驗(yàn)證(步驟54)�����,并且該設(shè)備被初始化。如果該設(shè)備在“未綁定”狀態(tài)下(判決53)���,則所述綁定交換和驗(yàn)證被實(shí)施(步驟55)�����,如由圖3所示例的那樣。如果所述綁定成功(判決56)��,則該設(shè)備的狀態(tài)被設(shè)定為“已綁定”狀態(tài)(步驟57)��,否則該設(shè)備被保持在“正在綁定”狀態(tài)下(步驟58)��,其防止了對(duì)該設(shè)備的進(jìn)一步使用����。由此,如果所述綁定過程中的任一點(diǎn)被中斷���,則該設(shè)備直到在工廠被重新編程之前都將被呈現(xiàn)為無用的��,其防止了在安裝期間通過移除而破壞所述綁定過程的企圖�。
現(xiàn)在參考圖5,根據(jù)所示出的本發(fā)明的實(shí)施例的方法的又一部分被描述����。當(dāng)可信設(shè)備的故障發(fā)生時(shí),服務(wù)呼叫被制造商接收到(步驟60)�。如果所述系統(tǒng)還剩有一個(gè)運(yùn)轉(zhuǎn)可信設(shè)備(判決61),則上面提到的整合過程通過使用該可信設(shè)備在替代設(shè)備上被實(shí)施(步驟62)���。然而�,如果所述系統(tǒng)中不剩任何可信設(shè)備在運(yùn)轉(zhuǎn)(判決61)��,則使該系統(tǒng)憑證無效(步驟63)���,并且替代設(shè)備被可選地預(yù)綁定到發(fā)送所述服務(wù)呼叫的系統(tǒng)(步驟64)�,并且該替代設(shè)備被運(yùn)送到客戶處(步驟65)�。一旦所述替代設(shè)備被安裝到系統(tǒng)中,則上面描述的所述綁定過程被實(shí)施���,如圖3和4中所示的那樣����。如果所述設(shè)備在運(yùn)送之前被預(yù)綁定到所述系統(tǒng)��,則由憑證提供者服務(wù)器進(jìn)行的綁定驗(yàn)證依照這樣的數(shù)據(jù)庫條目進(jìn)行,其中���,所述數(shù)據(jù)庫條目表明所述替代設(shè)備準(zhǔn)備安裝在特定系統(tǒng)中�����,并且將僅在該設(shè)備綁定到正確系統(tǒng)時(shí)發(fā)布憑證����。所述數(shù)據(jù)庫包含這樣的信息�,例如設(shè)備標(biāo)識(shí)符、該設(shè)備被分配到的系統(tǒng)標(biāo)識(shí)符�����、以及關(guān)聯(lián)于該系統(tǒng)和該設(shè)備的唯一公鑰��。
權(quán)利要求
1.一種保護(hù)處理系統(tǒng)的方法����,所述處理系統(tǒng)包括多個(gè)設(shè)備�����,所述多個(gè)設(shè)備在初始化為運(yùn)轉(zhuǎn)狀態(tài)前驗(yàn)證特定處理系統(tǒng)的身份,所述方法包括使用由所述處理系統(tǒng)提供的系統(tǒng)特定標(biāo)識(shí)符和僅對(duì)于所述設(shè)備中一個(gè)給定設(shè)備已知的第一私有信息����,第一生成所述給定設(shè)備到所述處理系統(tǒng)的綁定;使用所述系統(tǒng)特定標(biāo)識(shí)符��、僅對(duì)于所述給定設(shè)備已知的第二私有信息以及唯一的設(shè)備標(biāo)識(shí)符�,第二生成所述綁定的證明;將綁定的所述證明從所述處理系統(tǒng)傳送給憑證提供者�����;在所述憑證提供者處確定綁定的所述證明是否表明所述生成的綁定有效���;以及響應(yīng)于確定所述生成的綁定有效��,發(fā)布所述處理系統(tǒng)的平臺(tái)憑證����。
2.根據(jù)權(quán)利要求1所述的方法��,其中所述第二私有信息包括所述第一私有信息��。
3.根據(jù)權(quán)利要求1所述的方法����,還包括響應(yīng)于在所述憑證提供者處接收到綁定的所述證明�����,使所述處理系統(tǒng)的現(xiàn)有憑證無效���。
4.根據(jù)權(quán)利要求1所述的方法,還包括將所述平臺(tái)憑證傳送給所述處理系統(tǒng)�。
5.根據(jù)權(quán)利要求1所述的方法,還包括將所述平臺(tái)憑證存儲(chǔ)在服務(wù)器上���,由此�,所述處理系統(tǒng)的真實(shí)性和安全性可以通過訪問所述服務(wù)器上的所述平臺(tái)憑證被驗(yàn)證��。
6.根據(jù)權(quán)利要求1所述的方法��,其中所述第一生成包括用設(shè)備生成的隨機(jī)值散列所述系統(tǒng)特定標(biāo)識(shí)符�����,以產(chǎn)生已散列結(jié)果�;用設(shè)備特定密鑰簽名所述已散列結(jié)果����,以產(chǎn)生已簽名結(jié)果�����;以及通過將所述已簽名結(jié)果發(fā)送到所述處理系統(tǒng)的另一部分而將所述給定設(shè)備綁定到所述特定系統(tǒng)���,由此,響應(yīng)于所述已簽名結(jié)果對(duì)所述給定設(shè)備的返回和驗(yàn)證��,所述給定設(shè)備將僅在所述特定系統(tǒng)中初始化��。
7.根據(jù)權(quán)利要求6所述的方法�����,其中所述第二生成包括散列至少所述系統(tǒng)特定標(biāo)識(shí)符和唯一設(shè)備標(biāo)識(shí)符的組合�;以及用設(shè)備特定密鑰簽名所述散列的結(jié)果,以產(chǎn)生已簽名結(jié)果����。
8.根據(jù)權(quán)利要求1所述的方法,還包括在實(shí)施所述綁定之前�,將所述給定設(shè)備的狀態(tài)設(shè)定為指示綁定過程正在進(jìn)行;第二接收下述驗(yàn)證�,即綁定的所述證明已由所述憑證提供者驗(yàn)證����;僅響應(yīng)于接收到所述驗(yàn)證���,將所述狀態(tài)設(shè)定為指示所述給定設(shè)備已綁定���。
9.根據(jù)權(quán)利要求1所述的方法,還包括第二確定是否所述系統(tǒng)包括運(yùn)轉(zhuǎn)的可信設(shè)備���;響應(yīng)于確定所述系統(tǒng)不包括運(yùn)轉(zhuǎn)的可信設(shè)備��,實(shí)施所述第一生成�、第二生成��、傳送���、接收����、確定和發(fā)布����。
10.根據(jù)權(quán)利要求1所述的方法,還包括在服務(wù)器處接收服務(wù)請(qǐng)求���,該服務(wù)請(qǐng)求指示所述給定設(shè)備的前任已發(fā)生故障�,并且其中����,響應(yīng)于在所述服務(wù)器處接收到所述服務(wù)請(qǐng)求,所述第二確定被實(shí)施��;響應(yīng)于確定所述系統(tǒng)不包括運(yùn)轉(zhuǎn)的可信設(shè)備�,啟動(dòng)作為所述前任的替代的所述給定設(shè)備的運(yùn)送;以及在所述服務(wù)器的數(shù)據(jù)庫內(nèi)生成關(guān)聯(lián)于所述給定設(shè)備的服務(wù)記錄����。
11.根據(jù)權(quán)利要求10所述的方法,其中所述確定是否所述生成的綁定有效依照存儲(chǔ)在所述服務(wù)記錄中的信息被實(shí)施�,由此,作為所述被運(yùn)送的設(shè)備的所述給定設(shè)備的身份在發(fā)布所述平臺(tái)憑證之前被驗(yàn)證���。
12.一種裝置�����,包括適于實(shí)現(xiàn)根據(jù)任意前面方法權(quán)利要求所述的方法的所有步驟的裝置��。
13.一種計(jì)算機(jī)程序�����,包括當(dāng)所述計(jì)算機(jī)程序在計(jì)算機(jī)系統(tǒng)上被執(zhí)行時(shí)用于實(shí)現(xiàn)根據(jù)任意前面方法權(quán)利要求所述的方法的所有步驟的指令�����。
全文摘要
一種用于驗(yàn)證初始可信設(shè)備到被保護(hù)處理系統(tǒng)的綁定的方法和系統(tǒng)����,其綁定初始設(shè)備,或在沒有任何來自所述系統(tǒng)中的另一設(shè)備的綁定信息可用時(shí)綁定替代�。僅當(dāng)有效綁定被驗(yàn)證時(shí),通過向例如制造商的憑證提供者發(fā)送綁定證明����,平臺(tái)憑證被發(fā)布。所述方法防止了當(dāng)設(shè)備在綁定過程中被從所述系統(tǒng)移除時(shí)可能發(fā)生的安全破壞����。所述綁定信息在設(shè)備安裝時(shí)在設(shè)備中被生成,并且包括系統(tǒng)標(biāo)識(shí)信息��,以便在每次初始化時(shí),當(dāng)綁定信息從所述系統(tǒng)返回到所述設(shè)備時(shí)��,所述設(shè)備可以確保其被安裝到正確的系統(tǒng)中�����,并且如果所述系統(tǒng)不匹配則中止運(yùn)轉(zhuǎn)��。
文檔編號(hào)G06F21/00GK101044489SQ200580035800
公開日2007年9月26日 申請(qǐng)日期2005年6月23日 優(yōu)先權(quán)日2004年10月21日
發(fā)明者S·貝德, D·C·查利納 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司