專利名稱:基于不可信持久時間源的受保護時鐘管理的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于平臺管理領(lǐng)域����。更具體地�����,本發(fā)明涉及用于基
于不可信但持久的時間源為受保護時鐘保持可信時間的方法和裝置��。
背景技術(shù):
計算機的應(yīng)用和相對低成本計算機解決方案的開發(fā)導(dǎo)致在 用于個人和商業(yè)相關(guān)活動等許多方面對于計算機和網(wǎng)絡(luò)資源的依賴���。 例如����,如遠程辦公����、獲取新聞和股票市場信息���、交易、銀行業(yè)務(wù)��、購 物�、航運、IP語音(VoiceIP)(參見國際電信聯(lián)盟(ITU) 2000年11月 公布的題為"基于分組的多媒體通信系統(tǒng)"的推薦標(biāo)準(zhǔn)H.323��,可從 "www.itu.int" ( "H.323規(guī)范")得到)和email形式的通信以及其 它服務(wù)這樣的商業(yè)嚴重依賴于計算機����。甚至對許多個人而言���,個人計 算機是其謀生的基本工具��。利用個人計算機通過網(wǎng)絡(luò)進行商業(yè)交易的關(guān)鍵問題是精確 時間的維持�。維持精確時間不但直接影響例如經(jīng)由安全證書的交易安 全��,而且直接影響維持計算機系統(tǒng)正確操作的能力��。例如�����,Kerberos 是一種網(wǎng)絡(luò)認證協(xié)議,其使用強大的密碼技術(shù)��,使得客戶機能夠經(jīng)由 不安全的網(wǎng)絡(luò)連接向服務(wù)器證明其身份�����,反之亦然�。具體而言, Kerberos認證系統(tǒng)使用一系列加密消息�����,以向檢驗器證明客戶機代表 特定用戶在運行��。檢驗器檢查消息上的時間戳��,以保證認證者是新的��。 如果時間戳在規(guī)定時間窗口 (典型為以檢驗器上當(dāng)前時間為中心的五 分鐘范圍)內(nèi)���,那么檢驗器可以接受消息為可靠的�����。然而��,如果在例 如檢驗器或消息上的系統(tǒng)時間不準(zhǔn)確�����,并且導(dǎo)致時間戳看起來在例如 五分鐘之前���,那么檢驗器將不認為消息是新的�����,并將拒絕消息�����。作為進一步的說明,系統(tǒng)管理員可以審査系統(tǒng)日志和出錯
日志�,以找到計算機系統(tǒng)上問題的源。然而�����,如果對于系統(tǒng)事件的時 間指示并不準(zhǔn)確�,更不用說精確,那么系統(tǒng)管理員將會更加困難地去 試圖找出問題的源。這種情形在系統(tǒng)日志來自例如網(wǎng)絡(luò)服務(wù)器�����、出錯
日志來自工作站以及這兩個日志中的一個或兩個具有不準(zhǔn)確的時間 戳?xí)r更加嚴重�。因而,系統(tǒng)管理員可能不會把工作站處的事件與網(wǎng)絡(luò) 服務(wù)器處的事件聯(lián)系起來���。隨著計算機和網(wǎng)絡(luò)快速增加而演變出的問題是諸如黑客的
不可信用戶�����,其直接地或經(jīng)由軟件�、病毒以及蠕蟲遠程地與計算機系 統(tǒng)交互����。 一個普遍的策略是修改計算機網(wǎng)絡(luò)中一個或多個系統(tǒng)的時 間。將工作站上的時間修改到若干年以前��,可以允許黑客經(jīng)由過期的 安全證書訪問網(wǎng)絡(luò)上的保密數(shù)據(jù)��。這種攻擊歸類為滲透攻擊��。另一方面�,將系統(tǒng)時間修改為若干年之后����,能夠?qū)е孪到y(tǒng) 拒絕來自其它可信用戶的有效證書��。這種攻擊通常稱作拒絕服務(wù)攻 擊����,它們能夠表面上凍結(jié)特定計算機系統(tǒng)的通信并且可能遍及整個網(wǎng) 絡(luò)。例如��,Kerberos認證協(xié)議要求彼此的時鐘同步在幾分鐘內(nèi)����,所以 若攻擊者能夠?qū)⑵渲幸粋€或兩個時鐘修改僅僅幾分鐘,則能夠成功地 執(zhí)行"拒絕服務(wù)攻擊"����。當(dāng)前的解決方案包括阻止不可信用戶經(jīng)由直接通信、病毒 或蠕蟲進行遠程訪問的安全措施���,但是隨著可用安全措施的改善,攻 擊者實施更精密的策略來對付安全措施��。解決方案還可以建立單一的 可信時間源���。單一的可信時間源是針對網(wǎng)絡(luò)而建立的��,因為各個單獨 工作站上的系統(tǒng)時間能夠被其它不可信源修改�����,包括工作站的指定用 戶可以有意或無意地訪問系統(tǒng)時間�。然而,建立單一的可信時間源來 訪問用于驗證證書和創(chuàng)建日志的時間指示���,要求每個計算機系統(tǒng)每次 都訪問時間源或至少經(jīng)常訪問時間源����,以減少有關(guān)利用不可信時間源 的問題�����。讓網(wǎng)絡(luò)上每臺計算機通過訪問可信時間源的時間來驗證安全 證書和創(chuàng)建日志�����,能夠顯著地影響帶寬以及處理交易的延時���。
本發(fā)明實施例的優(yōu)點將在閱讀以下詳細描述并參考附圖之
后變得顯然��,其中相同附圖標(biāo)記可以指示相似元件����。其中
圖l描繪了一個系統(tǒng)的實施例,該系統(tǒng)包括具有用于經(jīng)由不可信 實時時鐘(RTC)維持受保護時鐘上可信時間的嵌入式可管理裝置的計
算機���;
圖2描繪了一個具有管理固件和專用硬件的計算平臺的實施例�����; 圖3描述了用可信時間初始化受保護時鐘的實施例的流程圖4描繪了響應(yīng)于對不可信時鐘的時間設(shè)置的修改而更新受保 護時鐘的實施例的流程圖5描繪了在計算系統(tǒng)斷電時導(dǎo)致受保護時鐘掉電后�,用可信時 間重設(shè)受保護時鐘的實施例的流程圖����。
具體實施例方式以下詳細描述附圖所描繪的本發(fā)明的示例實施例。示例實 施例的詳細程度以清楚表達本發(fā)明為準(zhǔn)�。然而,所提供的細節(jié)量并不 旨在限制實施例的預(yù)期變化��,與此相反�,本發(fā)明旨在涵蓋所有屬于如 隨附權(quán)利要求所定義的本發(fā)明的精神和范圍內(nèi)的修改、等價以及替 代���。下面的詳細描述旨在使得實施例對于本領(lǐng)域的普通技術(shù)人員而言 是容易理解的�?����!愣?���,提出了基于不可信但持久的吋間源保持受保護 時鐘的可信時間的方法和裝置。實施例可以包括可以是硬件����、軟件、 固件和/或其它邏輯的嵌入式裝置��,用于維持受保護時鐘中的可信時 間�。嵌入式裝置可以通過從諸如網(wǎng)絡(luò)服務(wù)器的可信時間源獲得可信時 間來初始化受保護時鐘。然后�,嵌入式裝置通過監(jiān)測受保護時鐘和不 可信但持久的系統(tǒng)時鐘之間時間差,在受保護時鐘掉電的情況下維持 可信時間��。例如��,在一些實施例中���,嵌入式裝置可以在不可信系統(tǒng)時 鐘被修改時接收中斷���,并且作為響應(yīng)�,更新可信時間和系統(tǒng)時間之間 的時間差�����。然后�����,嵌入式裝置將該時間差存儲于非易失性存儲器中����, 以防掉電。許多實施例有利地利用沒有備用電池的受保護時鐘���,以節(jié) 省制造成本和空間���,但是在掉電情況下仍可以依靠用于不可信系統(tǒng)時
鐘的備用電池來維持可信時間。具體而言�,不可信系統(tǒng)時鐘在這種掉 電情況下可能實質(zhì)上是不能訪問的,所以嵌入式裝置只有在電力恢復(fù) 時才可以依靠系統(tǒng)時鐘所指示的持久時間的精確度��。雖然下列詳細討論中的某些部分參考嵌入式可管理裝置和 管理固件描述了本發(fā)明的實施例,但是本領(lǐng)域的普通技術(shù)人員將認識 到可以通過例如限制對可信代碼和/或裝置的受保護時鐘的訪問的安 全分區(qū)或其它安全環(huán)境�,來實現(xiàn)各種實施例。現(xiàn)在來看附圖���,圖1描述一種系統(tǒng)100的實施例,系統(tǒng)100 包括具有用于經(jīng)由不可信實時時鐘(RTC)124維持受保護時鐘130上 可信時間的嵌入式可管理裝置126的計算機120�。系統(tǒng)100包括計算 機120、計算機140����、網(wǎng)絡(luò)150、可信時間源160以及信息技術(shù)(IT) 控制臺170�。計算機120可以是諸如臺式計算機或膝上型計算機的個人 計算機,用戶IIO經(jīng)由例如顯示器�、鍵盤以及鼠標(biāo)來直接訪問計算機 120。計算機120還可耦合到網(wǎng)絡(luò)150�,以使得用戶訪問電子郵件、 網(wǎng)絡(luò)資源�����,以及在一些實施例中��,由連接到網(wǎng)絡(luò)150的其它計算機諸 如計算機140來遠程訪問���。用戶IIO可以通過直接訪問時鐘設(shè)置或通 過執(zhí)行代碼�����,來有意或無意地設(shè)置計算機120的系統(tǒng)時間�����。該時間設(shè) 置可以與連接到網(wǎng)絡(luò)150的其它計算機所使用的時間源偏移�,可以由 于計算機的時區(qū)差別而偏移、或相對于過去或?qū)淼娜掌谄?����。在?何情況下���,對于關(guān)聯(lián)系統(tǒng)日志����、驗證安全證書和/或諸如此類的目的����, RTC 124的時間指示可能是不精確的。計算機120可以包括用戶接口 122���、 RTC 124��、嵌入式可管 理裝置126���、閃速存儲器128以及受保護RTC 130��。用戶接口 122可 以是耦合到RTC 124的不可信接口�����,便于修改不可信時間源的系統(tǒng)時 間。例如���,用戶接口 122可以是可經(jīng)由窗口訪問的系統(tǒng)優(yōu)選項��,該窗 口允許用戶110設(shè)置RTC 124的時間和日期��。具體而言����,用戶接口 122可以包括存儲于諸如動態(tài)隨機訪問存儲器(DRAM)123或其它存 儲器的存儲器中的代碼�����。該代碼在被執(zhí)行時,可以與用戶110����、計算 機140或其它不可信時間源交互,以為RTC 124確定新的時間����。然后,
用戶接口 122的硬件可以用新的時間來設(shè)置RTC 124����。RTC 124是即使在計算機120關(guān)閉時仍跟蹤時間的時鐘, 因而維持持久時間����。RTC 124依靠沒有連接到正常電源的特殊電池或 其它儲能裝置運行。與此相反����,諸如受保護RTC130的時鐘,在計算 機關(guān)閉時不工作�。在其它實施例中,RTC124可以由電池支持�����,并且 在正常電源可用時使用正常電源運行。嵌入式可管理裝置126可以是具有固件的嵌入式裝置����,其 允許加密和持久的器材管理以及經(jīng)由諸如IT管理控制臺170的管理 控制臺的遠程診斷/恢復(fù)能力。在本實施例中��,嵌入式可管理裝置126 可以耦合到RTC 124�,以確定來自RTC 124的系統(tǒng)時間和來自受保護 RTC 130的可信時間之間的可信時間差。那么���,在受保護RTC 130發(fā) 生掉電的情況下����,嵌入式可管理裝置126可以基于系統(tǒng)時間和可信時 間差來設(shè)置可信時間��。嵌入式可管理裝置126可以將時間差存儲在諸如閃速存儲 器128的非易失性存儲器中��,并且設(shè)置受保護RTC 130的可信時間����。 在多個實施例中���,閃速存儲器128和受保護RTC 130是由嵌入式可管 理裝置126所管理的專用硬件�。在另一個實施例中,閃速存儲器128 和/或受保護的RTC 130是嵌入式可管理裝置126的一部分�����。在其它實施例中��,可以將閃速存儲器128的一部分分配給 嵌入式可管理裝置126�����,并且保護該部分使之免于經(jīng)由計算機120的 安全環(huán)境被破壞���。例如���,計算機120的存儲控制集線器可以便于經(jīng)由 可信的或經(jīng)認證的代碼和/或經(jīng)由諸如嵌入式可管理裝置126的可信 組件,來訪問分配給嵌入式可管理裝置126的該部分閃速存儲器��。受保護RTC 130可以維持可信時間�����,并且嵌入式可管理裝 置126可以管理與受保護RTC 130的通信����,以防止不可信時間源對可 信時間的修改���,該不可信時間源諸如用戶110和如計算機140的遠程 計算機。在許多實施例中���,受保護RTC130沒有備用電池����,其優(yōu)勢是 節(jié)省了提供并維持與專用于RTC 124的特殊電池分開的專用電池所 消耗的空間和成本���。例如����,當(dāng)計算機120第一次啟動時���,嵌入式可管 理裝置126可以與可信時間源160通信,以獲得可信時間��。然后�,嵌
入式可管理裝置126可以用該可信時間來設(shè)置受保護RTC 130,并且 經(jīng)由RTC 124的持久時間來維持可信時間�。網(wǎng)絡(luò)150是耦合計算機120和140、可信時間源160以及 IT管理控制臺170的諸如局域網(wǎng)或廣域網(wǎng)的網(wǎng)絡(luò)連接���,以便于通信����。 在一些實施例中,網(wǎng)絡(luò)150可以包括在辦公室中經(jīng)由以太網(wǎng)����、像 OptiConnect —樣的光學(xué)介質(zhì)、無線網(wǎng)絡(luò)等耦合的網(wǎng)絡(luò)����。在多個實施 例中,網(wǎng)絡(luò)150還經(jīng)由電纜調(diào)制解調(diào)器��、數(shù)字用戶線(DSL)���、 Tl線����、 T3線等耦合到因特網(wǎng)�����。在另一些實施例中���,網(wǎng)絡(luò)150可以包括臨時 連接的網(wǎng)絡(luò)�����,諸如經(jīng)由電話系統(tǒng)連接�����?�?尚艜r間源160可以是安全源���,其基于為嵌入式可管理裝 置126配置的認證信息而與嵌入式可管理裝置126成功認證�����。認證信 息可以是�����,例如,用作超文本傳輸協(xié)議(HTTP)認證一部分的用戶名/ 密碼對����,或由嵌入式可管理裝置126相信的根證書頒發(fā)機構(gòu)(CA)簽署 的傳輸層安全(TLS)客戶機/服務(wù)器證書�。TLS是一種系統(tǒng)����,其保護利 用公/私密鑰對和密碼證書的因特網(wǎng)通信協(xié)議的安全,密碼證書將可 信時間源的身份捆綁到公共密鑰上����。在一些實施例中,可信時間源 160可以是IT管理控制臺170的一部分�。信息技術(shù)(IT)控制臺170可以維持諸如計算機120和140 的器材的清單和位置以及進行遠程診斷,并且恢復(fù)諸如計算機120和 140的器材的操作�。例如,嵌入式可管理裝置126可以耦合到計算機 120的持久存儲器����,例如閃速存儲器128,以即使在計算機120斷電 時訪問事件日志和出錯日志����。在多個實施例中,IT管理控制臺170 可以經(jīng)由嵌入式可管理裝置126上電并啟動計算機120����,以例如安裝 軟件更新,為安裝在計算機120上的軟件編目錄,以及為計算機120 內(nèi)諸如存儲卡�、硬盤驅(qū)動器、光盤驅(qū)動器等的器材編清單���。圖2說明了一種計算平臺200的實施例�����,該計算平臺200 具有管理固件250和嵌入式裝置硬件260�,以基于不可信但持久的時 間源RTC244為受保護時鐘260保持可信時間264��。例如�,平臺200 可以是用于新公司工程任務(wù)的許多計算機之一。平臺200 —旦連接到 工程場地處的內(nèi)聯(lián)網(wǎng)或局域網(wǎng)(LAN)�,就可與中央服務(wù)器通信,以經(jīng)
內(nèi)聯(lián)網(wǎng)地址報告平臺200的物理位置����,接收用于標(biāo)準(zhǔn)工程軟件的軟件 更新,并且下載分配給該工程場地的特定軟件�。平臺200還可以經(jīng)由 LAN與可信時間源通信。在其它實施例中�,因為在將平臺200移動 到該新的工程場地時由電池248維持RTC 244的系統(tǒng)時間264,所以 平臺200在啟動時可以基于可信時間差272來簡單地更新受保護時鐘 262的可信時間264�����。計算平臺200可以是諸如工作站或服務(wù)器的個人計算機��, 并且可以包括宿主系統(tǒng)210��、硬件240��、管理固件250以及嵌入式裝 置硬件260���。宿主系統(tǒng)210可以包括作為用于用戶的一個或多個應(yīng)用 程序的宿主而操作的軟件��。具體而言�����,基本輸入輸出系統(tǒng)(BIOS 230) 可以執(zhí)行基本功能����,諸如對系統(tǒng)存儲器的完整性檢驗和在向操作系統(tǒng) 225傳輸控制前的初始程序加載(IPL)��。在許多實施例中�,用戶可以經(jīng) 由BIOS 230的接口訪問RTC 246,以在IPL之前或期間設(shè)置系統(tǒng)時 間244�。RTC 244可以位于例如硬件240的輸入輸出(I/0)控制集線 器中,并且I/0控制集線器可以包括中斷發(fā)生器242,用于響應(yīng)于改 變系統(tǒng)時間246的請求而產(chǎn)生中斷請求(IRQ)��。例如�,中斷發(fā)生器242 可以產(chǎn)生IRQ,并且經(jīng)由諸如INTEL 8259中斷控制器或集成在芯 片組上的類似邏輯電路的中斷控制器�����,傳輸IRQ到嵌入式裝置固件 252��。在其它實施例中�����,中斷發(fā)生器242可以產(chǎn)生消息信號中斷(MSI)��, 其以類似于寫交易的方式將其傳送到嵌入式裝置固件252���。在另一些 實施例中�,中斷發(fā)生器242可以位于其它硬件和/或軟件中����。操作系統(tǒng)225可以是大的、相對復(fù)雜的低級軟件����,其作為 用于應(yīng)用程序220的硬件240的接口��。例如�����,操作系統(tǒng)225可以是 Windows(95、 98�、 NT、 ME�����、 2000�、 XP)、 Macintosh OS X���、 Li麗�����、 Unix(Solaris�、 AIX���、 HP-UX等)等等的版本����。類似于BIOS 230,操作 系統(tǒng)225可以提供用戶接口�����,以便于用戶對系統(tǒng)時間246的修改�。操 作系統(tǒng)225可以通過內(nèi)嵌在操作系統(tǒng)225或應(yīng)用程序220中的優(yōu)選面 板(preference panels)提供用于系統(tǒng)時間246的接口。在一些實施例中��,操作系統(tǒng)225可以在例如電池248耗盡
或沒有充足的功率來維持RTC 244時����,有利地利用可信時間264代替 系統(tǒng)時間246。在這個實施例中����,嵌入式裝置固件252或操作系統(tǒng)225 還可以產(chǎn)生指示電池248故障的報警。嵌入式裝置固件252和/或操 作系統(tǒng)225可以把報警記錄在出錯日志中�,經(jīng)由網(wǎng)絡(luò)接口 280發(fā)送該 報警到遠程管理系統(tǒng),和/或經(jīng)由例如耦合到平臺200的顯示器上的 報警信息將該故障通知給用戶��。應(yīng)用程序220是較高級軟件����,其為用戶執(zhí)行更復(fù)雜的功能����, 諸如文字處理��、圖形說明��、視頻編輯以及其它高級功能��。應(yīng)用程序 220可以包括證書驗證器222���,其與受保護時鐘262通信。具體而言�, 證書驗證器222可以基于可信時間264來驗證安全證書,以提供遠程 用戶對例如硬盤驅(qū)動器或平臺200上的其它數(shù)據(jù)存儲器的訪問���。例 如�,平臺200可以維持與用于工程各階段的預(yù)算估計有關(guān)的工程數(shù) 據(jù)��,并且遠程用戶可以通過提供尚未過期的����、可信的��、經(jīng)認證的安全 證書來訪問預(yù)算數(shù)據(jù)���。響應(yīng)于這種請求,證書驗證器222可以與嵌入 式裝置固件252通信��,以讀取可信時間264來驗證安全證書�。管理固件250可以是安全環(huán)境,其限制與不可信軟件或其 它代碼的通信�����,也限制與可信經(jīng)認證代碼的通信����,但是程度較輕。在 本實施例中��,管理固件250包括嵌入式裝置固件252�,用于管理與嵌 入式裝置硬件260的通信。在一些實施例中����,嵌入式裝置固件252可 以內(nèi)嵌在嵌入式可管理裝置中,該嵌入式可管理裝置還可以包括嵌入 式裝置硬件260的一些元件�。例如��,諸如操作系統(tǒng)225和證書驗證器 222的不可信代碼可以得到允許�,以讀取受保護時鐘262的可信時間 264��,但是可能無權(quán)改變可信時間264���。另一方面�,嵌入式裝置固件 252是可信的經(jīng)驗證的代碼��,其可以在特定條件下修改可信時間264����。嵌入式裝置固件252可以包括初始時間設(shè)置器254�、時鐘 比較器256以及可信時間確定器258。初始時間設(shè)置器254經(jīng)由網(wǎng)絡(luò) 接口 280與可信時間源通信�����,以獲得可信時間264�����,來設(shè)置平臺200 第一次啟動時的受保護時鐘262�。在一些實施例中��,管理固件250可 以不允許初始時間設(shè)置器254用新的設(shè)置修改可信時間264��,除非平 臺200剛剛啟動��。
時鐘比較器256對來自中斷發(fā)生器242的中斷做出響應(yīng)��, 該中斷指示用戶用新的系統(tǒng)吋間246來設(shè)置RTC244�����。在接收到中斷 時����,時鐘比較器256可以基于可信時間264和新的系統(tǒng)時間246來更 新非易失性存儲器270中的可信時間差272�。例如,在新的工程場地 處���,用戶可以登錄并將系統(tǒng)時間246修改兩小時�,這是平臺200的原 始位置和新的工程場地之間時區(qū)的差別�����。中斷發(fā)生器242在更新系統(tǒng) 時間246時發(fā)送中斷請求到嵌入式裝置固件252。響應(yīng)于該中斷請求����, 時鐘比較器256可以用新的系統(tǒng)時間244減去可信時間264,以確定 兩小時的新的可信時間差272��。然后����,時鐘比較器256可以將兩小時 的指示存儲在非易失性存儲器270的可信時間差272中?��?尚艜r間確定器258可以是可信的經(jīng)認證的代碼����,其被允 許在受保護時鐘262掉電的情況下更新受保護時鐘262的可信時間 264����。具體而言��,當(dāng)正常電源266 (其為平臺200的主電源)在掉電 后恢復(fù)并且平臺200啟動時�,可信時間確定器258確定可信時間272。 為了確定可信時間272�,可信時間確定器258可以在不可信源能夠經(jīng) 由BIOS 230建立訪問以修改系統(tǒng)時間246前讀取系統(tǒng)時間246。不 可信源可以是例如代碼或用戶??尚艜r間確定器258可以讀取系統(tǒng)時 間246來確定可信時間272,因為系統(tǒng)時間246有利地是由電池248 在掉電期間維持的�����。然后�����,可信時間確定器258將非易失性存儲器 270中的可信時間差272加到系統(tǒng)時間246上�,以計算可信時間264。 因此���,可信時間確定器258將用可信時間264設(shè)置受保護時鐘262���。嵌入式裝置硬件260可以是由管理固件250管理的平臺 200的硬件,用于嵌入式裝置固件252使用�����。在一些實施例中�,嵌入 式裝置硬件260的部分或全部可以內(nèi)嵌在嵌入式可管理裝置中。嵌入式裝置硬件260可以包括受保護時鐘262��、非易失性 存儲器270以及網(wǎng)絡(luò)接口 280。受保護時鐘262可以是在經(jīng)由正常電 源266供電時維持可信時間264的電路����。非易失性存儲器270可以是 任何形式的可寫入存儲器,其能夠在沒有供電情況下維持數(shù)據(jù)����。例如, 非易失性存儲器270可以包括閃速存儲器�、電可擦只讀存儲器和/或 其它等等。網(wǎng)絡(luò)接口 280可以包括提供訪問網(wǎng)絡(luò)的端口���。例如�,網(wǎng)絡(luò) 接口 280可以包括硬件連接或設(shè)備���,以利用以太網(wǎng)電纜��、光學(xué)介質(zhì)�����、 無線網(wǎng)絡(luò)等等來物理連接平臺200。圖3描繪了用可信時間初始化受保護時鐘的實施例的流程 圖300���。具體而言��,流程圖300描述了諸如圖2中平臺200的計算機 的功能�����。流程圖300開始于第一次啟動計算機(要素310)���。例如�����, 計算機可以剛到達���,用戶將計算機插到電源插口中并按下電源幵關(guān)?����!┯嬎銠C上電�,嵌入式可管理裝置可以發(fā)送用于受保護 時鐘更新的請求到可信時間源(要素315)??尚艜r間源可以用通過 私鑰加密的消息(包括可信時間)和安全證書來響應(yīng)。安全證書包括 可信時間源的身份�,并且由可信證書頒發(fā)機構(gòu)簽署�?��!┙邮盏郊用芟?���,嵌入式可管理裝置通過用該可信時 間源的公鑰解密該消息來認證該消息(要素320)���。對消息進行解密 來獲得可信時間����。然后�,嵌入式可管理裝置可以讀取來自系統(tǒng)時鐘的系統(tǒng)時 間(要素325),并且基于可信時間和系統(tǒng)時間�����,確定可信時間差(要 素330)��。在許多實施例中�����,嵌入式可管理裝置用系統(tǒng)時間減去可信 時間�,以確定可信時間差�����。然后,嵌入式可管理裝置將可信時間差存 儲在非易失性存儲器中(要素335)��。嵌入式可管理裝置在確定可信時間差的同時����,還可以基本 上同步地用可信時間設(shè)置受保護時鐘(要素340)。在其它實施例中����, 嵌入式可管理裝置在確定和/或存儲可信時間差之前或之后設(shè)置受保 護時鐘。圖4描繪了響應(yīng)于對不可信系統(tǒng)時鐘的時間設(shè)置的修改而 更新受保護時鐘的實施例的流程圖400�。具體而言,流程圖400描述 了諸如圖2中嵌入式裝置固件252的嵌入式可管理裝置的功能�。流程 圖400開始于接收中斷,該中斷指示對系統(tǒng)時鐘的已更新系統(tǒng)時間的 存儲(要素410)���。在其它實施例中���,嵌入式可管理裝置接收中斷請 求之外的通信,其指示系統(tǒng)時間正在被修改�。響應(yīng)于接收到中斷�,嵌入式可管理裝置讀取已更新的系統(tǒng)
時間(要素415)�����。在一些實施例中����,嵌入式可管理裝置可以產(chǎn)生讀
請求,以確定系統(tǒng)時鐘的已更新系統(tǒng)時間���。在其它實施例中��,嵌入式 存儲器裝置可以有更直接的方法來確定已更新的系統(tǒng)時間�����。用已更新的系統(tǒng)時間�,嵌入式可管理裝置基于來自受保護 時鐘的可信時間來確定新的可信時間差(要素420)���。具體而言�,嵌 入式可管理裝置可以用可信時間減去已更新的系統(tǒng)時間�,或反之亦 然,以確定可信時間差�����。在確定新的時間差后,嵌入式裝置可以從非易失性存儲器 讀取當(dāng)前的可信時間差(要素425)���。如果新的時間差顯著不同于當(dāng) 前的時間差,那么嵌入式可管理裝置可以將新的時間差寫入到非易失 性存儲器中�����。該差別的顯著性與所維持的時間的粒度有關(guān)����,例如為了 確定安全證書是否過期、維持出錯日志和/或諸如此類等等所維持的 時間的粒度��。例如�����,在一些實施例中���,如果新的可信時間差和當(dāng)前的 可信時間差之間的差別不超過諸如一個小時的閾值(要素430)�����,那 么嵌入式可管理裝置可以忽略該改變�����,以有利于延長非易失性存儲器 的壽命�����。另一方面���,如果新的可信時間差和當(dāng)前的可信時間差之間 的差別超過閾值(要素430)����,那么嵌入式可管理裝置可以用新的可 信時間差更新非易失性存儲器中的時間差(要素435)?��,F(xiàn)在參照圖5����,示出了在計算系統(tǒng)斷電的同時受保護時鐘 發(fā)生掉電后��,用可信時間來重設(shè)受保護時鐘的實施例的流程圖500�����。 流程圖500可以描述諸如圖1中計算機120的計算系統(tǒng)的功能。流程 圖500開始于在掉電之后啟動計算系統(tǒng)(要素510)�����。例如���,用戶可 以經(jīng)電源板關(guān)閉系統(tǒng)�����,切斷供給受保護時鐘的功率。對于電池或其它 儲能裝置不支持受保護時鐘的實施例而言��,受保護時鐘所維持的可信 時間丟失��。然后��,當(dāng)用戶準(zhǔn)^"再次使用該系統(tǒng)工作時�,用戶可以重新 啟動該系統(tǒng)。 '當(dāng)BIOS加載時但是在用戶能夠訪問BIOS來改變系統(tǒng)時 間之前�,嵌入式可管理系統(tǒng)可以從系統(tǒng)時鐘讀取系統(tǒng)時間(要素515)。 例如����,嵌入式可管理裝置可以等待BIOS建立讀取系統(tǒng)時鐘的功能�,然后���,在不可信用戶有時間向系統(tǒng)時鐘寫入新的時間之前讀取系統(tǒng)時 鐘�����。在其它實施例中�����,嵌入式可管理裝置能夠在BIOS加載前讀取系 統(tǒng)時鐘����。在讀取系統(tǒng)時間后����,嵌入式可管理裝置可以基于系統(tǒng)時間 和存儲在非易失性存儲器中的可信時間差來確定新的可信時間(要素 520)。換言之�����,嵌入式可管理系統(tǒng)讀取掉電之前建立的可信時間差�����, 并且在恢復(fù)電力之后立刻基于系統(tǒng)時間計算新的可信時間,以確保由 系統(tǒng)時間精確反映掉電期間流逝的時間�。因而,嵌入式可管理裝置有 利地利用了系統(tǒng)時鐘在系統(tǒng)斷開電源時保持時間的能力����。—旦通過系統(tǒng)時間和可信時間差確定了新的可信時間�,嵌 入式可管理裝置用新的可信時間設(shè)置受保護時鐘(要素525)。例如�, 嵌入式可管理裝置可以將可信時間差加到系統(tǒng)時間上,以確定新的可 信時間��。本發(fā)明的一個實施例實現(xiàn)為用于例如圖1中所示系統(tǒng)100 的計算機系統(tǒng)的程序產(chǎn)品�。程序產(chǎn)品中的程序定義了各種實施例的功 能(包括在此所述的方法)����,并且能夠包含在各種信號承載介質(zhì)上。 說明性的信號承載介質(zhì)包括但不限于(i )永久存儲在非可寫存儲介 質(zhì)(如�����,計算機中的只讀存儲器裝置�,例如CD-ROM驅(qū)動器可讀的 CD-ROM盤)上的信息;(ii)存儲在可寫存儲介質(zhì)(如,硬盤驅(qū)動器 或軟盤驅(qū)動器內(nèi)的軟盤)上的可改變信息���;以及(iii)通過包括無線通 信的通信媒介�����,例如通過計算機或電話網(wǎng)絡(luò)���,傳送到計算機的信息。 后者的實施例特別包括從因特網(wǎng)和其它網(wǎng)絡(luò)下載的信息�。這種信號承 載介質(zhì)在攜帶控制本發(fā)明功能的機器可存取指令時,代表本發(fā)明的實 施例�����。通常����,實現(xiàn)本發(fā)明實施例所執(zhí)行的例程可以是操作系統(tǒng)或 特定應(yīng)用程序的一部分、組件����、程序、模塊����、對象或指令序列�����。本發(fā) 明的計算機程序典型包括多條指令��,其將由本地計算機翻譯成機器可 存取格式��,并且因此變成可執(zhí)行指令���。并且,程序包括變量和數(shù)據(jù)結(jié) 構(gòu)����,位于該程序本地中,或可在存儲器或存儲裝置上找到���。此外,在 此后所述的各種程序可以基于本發(fā)明特定實施例中實現(xiàn)這些程序所
對應(yīng)的應(yīng)用來識別��。然而��,應(yīng)當(dāng)理解的是���,任何特殊的程序命名僅用 于方便起見�����,因而本發(fā)明并不限于僅僅在由這種命名所識別和/或暗 示的任何特定應(yīng)用中使用�。對于本領(lǐng)域受益于本公開的技術(shù)人員而言顯而易見的是, 本發(fā)明提供了基于不可信但持久的時間源為受保護時鐘保持可信時 間的系統(tǒng)和裝置�����。應(yīng)理解的是�,詳細描述和附圖中所描述和顯示的本 發(fā)明的形式僅作為實例。下面的權(quán)利要求旨在從廣義上解釋以包括所 公開實施例的全部變形��。雖然本發(fā)明及其一些優(yōu)點已經(jīng)在一些實施例中進行了詳細 描述���,但是應(yīng)理解的是����,在不脫離所附權(quán)利要求所定義的本發(fā)明的精 神和范圍的情況下���,在此能夠作出各種改變����、替代和改造。雖然本發(fā) 明的實施例可以實現(xiàn)多個目的���,但是并不是每個落在所附權(quán)利要求范 圍內(nèi)的實施例都將實現(xiàn)每個目的�����。此外��,本申請的范圍并不是旨在限 制說明書中所描述的作為特定實施例的過程�����、機器�����、制造�、物質(zhì)組成�、 裝置、方法以及步驟��。因為本領(lǐng)域中普通技術(shù)人員從本發(fā)明的公開中 將容易理解�,根據(jù)本發(fā)明可以利用目前存在或以后將開發(fā)的過程����、機
器�����、制造��、物質(zhì)組成���、裝置、方法或步驟�����,來執(zhí)行在此所述的相應(yīng)實 施例實質(zhì)上相同的功能或?qū)崿F(xiàn)實質(zhì)上相同的結(jié)果��。因此����,所附權(quán)利要 求旨在在其范圍內(nèi)包括這種過程、機器���、制造����、物質(zhì)組成、裝置�、方 法或步驟。
權(quán)利要求
1����、一種方法,包括將可信時間與持久時間進行比較�����,以確定可信時間差����,所述持久時間可被不可信時間源訪問;將所述時間差存儲在非易失性存儲器中��,所述非易失性存儲器受到保護使之不被所述不可信時間源修改���;以及響應(yīng)于由于受保護時鐘掉電而丟失所述可信時間��,用基于所述持久時間和所述可信時間差的所述可信時間來設(shè)置所述受保護時鐘���。
2、 根據(jù)權(quán)利要求1所述的方法,進一步包括響應(yīng)于對所述持 久時間的修改而對所述可信時間差進行更新�。
3、 根據(jù)權(quán)利要求2所述的方法����,其中����,對所述可信時間差進行更新包括基于來自系統(tǒng)時鐘的修改的持久時間和來自所述受保護時鐘的當(dāng)前的可信時間,來確定新的時間差����,并且將所述新的時間差存 儲在所述非易失性存儲器中。
4����、 根據(jù)權(quán)利要求3所述的方法,其中��,將所述新的時間差存儲 在所述非易失性存儲器中包括如果所述新的時間差超過閾值時間 差�����,那么存儲所述新的時間差��。
5、 根據(jù)權(quán)利要求1所述的方法�,進一步包括當(dāng)啟動使用所述系統(tǒng)時鐘的計算系統(tǒng)時、并在所述不可信源能夠經(jīng)由所述計算系統(tǒng)訪 問所述系統(tǒng)時鐘之前���,確定所述可信時間差�����。
6�、 根據(jù)權(quán)利要求1所述的方法����,進一步包括響應(yīng)于確定用于保持所述持久時間的儲能裝置已實質(zhì)上耗盡,而產(chǎn)生報警消息��。
7�����、 根據(jù)權(quán)利要求1所述的方法����,進一步包括與可信時間源進行通信,以確定所述可信時間來初始設(shè)置所述受保護時鐘�。
8��、 根據(jù)權(quán)利要求1所述的方法����,進一步包括讀取所述受保護 時鐘�,以驗證安全證書。
9�����、 根據(jù)權(quán)利要求1所述的方法�����,進一步包括讀取所述可信時 間�,以產(chǎn)生事件日志的項�����。
10�����、 一種設(shè)備����,其包括受保護時鐘��,其維持可信時間����,所述受保護時鐘受到保護使之不 被不可信時間源修改��;時鐘比較器����,其耦合到系統(tǒng)時鐘,以基于來自所述系統(tǒng)時鐘的系 統(tǒng)時間和所述可信時間來確定可信時間差����;非易失性存儲器,其耦合到所述時鐘比較器�����,以存儲所述可信時間差�����;以及可信時間確定器�,其響應(yīng)于所述受保護時鐘掉電�,而基于所述系 統(tǒng)時間和所述可信時間差���,來設(shè)置所述受保護時鐘的所述可信時間�����。
11���、 根據(jù)權(quán)利要求IO所述的設(shè)備,進一步包括初始時間設(shè)置 器�,其耦合到網(wǎng)絡(luò)接口�����,以與可信時間源通信��,從而至少一次用所述 可信時間來設(shè)置所述受保護時鐘���。
12���、 根據(jù)權(quán)利要求10所述的設(shè)備,進一步包括證書驗證器�, 其耦合到所述受保護時鐘���,其中,所述證書驗證器基于所述可信時間 來驗證安全證書����。
13、 根據(jù)權(quán)利要求10所述的設(shè)備���,其中���,所述受保護時鐘耦合 到正常電源,以維持所述可信時間����。
14、 根據(jù)權(quán)利要求10所述的設(shè)備��,其中�,所述時鐘比較器響應(yīng)于指示用新的系統(tǒng)時間設(shè)置所述系統(tǒng)時鐘的中斷,基于所述可信時間 和所述新的系統(tǒng)時間來更新所述可信時間差�。
15、 根據(jù)權(quán)利要求10所述的設(shè)備����,其中��,所述時鐘比較器響應(yīng) 于所述中斷�����,以當(dāng)所述新的系統(tǒng)時間和所述系統(tǒng)時間之間的差超過閾 值時間差時�,更新所述可信時間差�����。
16�、 根據(jù)權(quán)利要求10所述的設(shè)備,其中�����,所述可信時間確定器 當(dāng)啟動包含所述系統(tǒng)時鐘的計算系統(tǒng)時���、并在所述不可信時間源能夠 經(jīng)由所述計算系統(tǒng)訪問所述系統(tǒng)時鐘之前,確定所述可信時間差�。
17、 一種系統(tǒng)�,其包括 系統(tǒng)時鐘,其維持持久時間�;耦合到所述系統(tǒng)時鐘的接口 �����,其便于不可信時間源對所述持久時 間進行修改�����;耦合到所述接口的動態(tài)隨機訪問存儲器�,所述動態(tài)隨機訪問存儲 器存儲代碼���,其中�����,所述代碼用于與所述不可信時間源交互����,以確定 所述修改���;中斷發(fā)生器��,其響應(yīng)于所述修改而產(chǎn)生中斷���;以及 嵌入式裝置��,其維持可信時間并保護所述可信時間不被不可信時 間源修改����;其響應(yīng)于所述中斷��,以基于所述持久時間和所述可信時間 確定可信時間差�;其存儲所述可信時間差,其中所述可信時間差的存 儲相對于所述嵌入式裝置掉電而言是持久的����;并且其響應(yīng)于所述掉 電,而基于所述持久時間和所述可信時間差來設(shè)置所述可信時間�。
18、 根據(jù)權(quán)利要求17所述的系統(tǒng)�����,其中�����,所述嵌入式裝置包括 初始時間設(shè)置器���,其當(dāng)所述系統(tǒng)初始啟動時與可信時間源通信��,以設(shè) 置所述可信時間����。
19�����、 根據(jù)權(quán)利要求18所述的系統(tǒng)�����,其中���,所述嵌入式裝置包括 網(wǎng)絡(luò)接口 ����,其耦合到所述初始時間設(shè)置器�����,以與所述可信時間源通信�。
20、 根據(jù)權(quán)利要求17所述的系統(tǒng),其中����,所述嵌入式裝置在所 述系統(tǒng)啟動時、并在所述不可信源能夠訪問所述系統(tǒng)時鐘之前���,確定 所述可信時間差���。
21、 一種包含指令的機器可訪問介質(zhì)�����,所述指令當(dāng)由機器執(zhí)行時 使所述機器執(zhí)行以下操作���,包括-將可信時間與系統(tǒng)時間進行比較��,以確定可信時間差�,所述系統(tǒng) 時間可被不可信時間源訪問���,其中��,通過儲能裝置持久保持所述系統(tǒng) 時間����;以及將所述時間差存儲在非易失性存儲器中�,所述非易失性存儲器受 到保護使之不被所述不可信時間源修改;響應(yīng)于由于受保護時鐘掉電而丟失所述可信時間����,用基于所述系 統(tǒng)時間和所述可信時間差的所述可信時間來設(shè)置所述受保護時鐘。
22��、 根據(jù)權(quán)利要求21所述的機器可訪問介質(zhì)�,其中,所述操作 進一步包括響應(yīng)于對所述系統(tǒng)時間的修改���,更新所述可信時間差����。
23����、 根據(jù)權(quán)利要求21所述的機器可訪問介質(zhì),其中��,所述操作 進一步包括當(dāng)啟動使用所述系統(tǒng)時鐘的計算系統(tǒng)時����、并在所述不可 信源能夠經(jīng)由所述計算系統(tǒng)訪問所述系統(tǒng)時鐘之前�����,確定所述可信時 間差�����。
24�����、 根據(jù)權(quán)利要求21所述的機器可訪問介質(zhì)��,其中�����,更新所述 可信時間差包括基于修改的系統(tǒng)時間和當(dāng)前的可信時間���,確定新的 時間差,并且將所述新的時間差存儲在所述非易失性存儲器中����。
25�����、 根據(jù)權(quán)利要求24所述的機器可訪問介質(zhì)���,其中��,將所述新的時間差存儲在所述非易失性存儲器中包括如果所述新的時間差超 過閾值時間差����,則存儲所述新的時間差。
全文摘要
公開了基于不可信但持久的時間源保持受保護時鐘的可信時間的方法和裝置����。實施例可以包括可為硬件、軟件���、固件和/或其他邏輯的嵌入式裝置����,來維持受保護時鐘的可信時間�����。嵌入式裝置可以通過從諸如網(wǎng)絡(luò)服務(wù)器的可信時間源獲得可信時間,來初始化受保護時鐘�。然后嵌入式裝置通過監(jiān)測受保護時鐘和不可信系統(tǒng)時鐘之間的時間差,在受保護時鐘掉電的情況下維持可信時間����。許多實施例還采用沒有備用電池的受保護時鐘,以有利地節(jié)省制造成本和空間�,并依靠用于不可信系統(tǒng)時鐘的備用電池,在掉電情況下維持可信時間���。還公開了其他實施例并相應(yīng)地要求了權(quán)利�。
文檔編號G06F21/02GK101194266SQ200680020631
公開日2008年6月4日 申請日期2006年6月22日 優(yōu)先權(quán)日2005年6月22日
發(fā)明者D·埃爾達, O·利維 申請人:英特爾公司