利用可信计算组平台寄存器的安全引导的制作方法
利用可信计算组平台寄存器的安全引导的制作方法【专利摘要】公开了一种方法,其包括:提供至少两个平台配置寄存器,其中第一平台配置寄存器为测量平台配置寄存器且其中第二平台配置寄存器为可重设的绑定配置平台配置寄存器;根据可信引擎的指导执行授权链以执行授权,其中所述测量平台配置寄存器的值作为前提条件被包括;用通过所述授权所实施的值扩展所述绑定平台配置寄存器;以及例如用可信操作系统监视所述绑定平台配置寄存器的确认结果。还公开了实现所述方法的装置和在计算机可读介质中实施的计算机程序指令。【专利说明】利用可信计算组平台寄存器的安全引导【
技术领域:
】[0001]本发明的示例性和非限制性实施例概括来说涉及数据处理系统、方法、设备和计算机程序,并且更具体来说涉及安全引导过程、可信计算组(TCG)技术和可信平台模块。【
背景技术:
】[0002]本部分g在提供在权利要求书中叙述的本发明的背景或上下文。本文的描述可能包括可被追究的概念,但不一定是以前已经设想、实现或描述的概念。因此,除非本文另外指出,否则在本部分中描述的内容不是本申请中的说明书和权利要求的现有技木,并且不通过包括在本部分中而被承认是现有技木。[0003]可能在说明书和/或附图中找到的以下縮写词定义如下:[0004]MRTM移动远程所有者可信模块[0005]MTM移动可信模块[0006]PCR平台配置寄存器[0007]RIM引用完整性度量[0008]RoV验证可信根[0009]RTM测量可信根[0010]RTS存储可信根[0011]RTV验证可信根[0012]RVAI根验证机构信息[0013]TCG可信计算组[0014]TPM可信平台模块[0015]可以在“MobileTrustedEnvironment(MTM)-anintroduction”(筒-埃里克〃埃克伯格,马可库〃基兰帕,诺基亚研究中心NRC-TR-2007-015,2007诺基亚)中找到对MTM的介绍。[0016]本文中,图1再现了TCG移动可信模块规范(规范版本1.0,修订版7.02,2010年4月29日)的图2。图1示出了可如何使用MRTM的简单实例。MRTM本身将由TPMvl.2的子集加上ー组新的移动特定命令组成,该组新的移动特定命令被设计来支持由可信计算组设定的要求(移动电话工作组使用案例情形,规范版本2.7,2005年)。另外,验证可信根(RTV)和測量可信根(RTM)模块将是在运行时环境中运行的第一个可执行程序。RTV+RTM模块将首先记录其实现的诊断测量。在诊断延长之后,RTV+RTM模块将使用MRTM测量并验证测量和验证代理可执行程序(executable),然后再将控制权传递给该可执行程序。然后,该测量和验证代理再測量并验证操作系统映像,之后再将控制权传递给操作系统。此结构允许了安全引导的实现。[0017]在上面提到的移动规范“TCG移动可信模块规范”版本I中,MTM具有用来支持移动设备的安全引导的专用命令和功能集合。在向版本2修订此规范的上下文中,已将PC(基线)规范增补为具有用来访问对所谓的平台控制寄存器(PCR)的控制更新的功能,以便尝试直接在基线规范中支持安全引导。【
发明内容】[0018]在本发明的第一示例性和非限制性实施例中,提供了ー种方法,其包括:提供至少两个平台配置寄存器,其中第一平台配置寄存器为測量平台配置寄存器且其中第二平台配置寄存器为可重设的绑定配置平台配置寄存器;根据可信引擎的指导执行授权链以执行授权,其中所述测量平台配置寄存器的值作为前提条件被包括;用通过所述授权所实施的值扩展所述绑定平台配置寄存器;以及监视所述绑定平台配置寄存器的确认(validation)结果。[0019]在本发明的进ー步的示例性和非限制性实施例中,提供了ー种装置,其包括:至少一个处理器和至少ー个存储器,所述存储器包括计算机程序代码。所述至少一个存储器和计算机程序代码被配置来利用所述至少一个处理器促使所述装置提供至少两个平台配置寄存器,其中第一平台配置寄存器为測量平台配置寄存器且其中第二平台配置寄存器为可重设的绑定配置平台配置寄存器;根据可信引擎的指导执行授权链以执行授权,其中所述測量平台配置寄存器的值作为前提条件被包括;用通过所述授权所实施的值扩展所述绑定平台配置寄存器;以及监视所述绑定平台配置寄存器的确认結果。[0020]在本发明的又一示例性和非限制性实施例中,提供了ー种装置,其包括:用于提供至少两个平台配置寄存器的构件,其中第一平台配置寄存器为測量平台配置寄存器且其中第二平台配置寄存器为可重设的绑定配置平台配置寄存器;用于根据可信引擎的指导执行授权链以执行授权的构件,其中所述测量平台配置寄存器的值作为前提条件被包括;用于用通过所述授权所实施的值扩展所述绑定平台配置寄存器的构件;用于用可信操作系统监视所述绑定平台配置寄存器的确认结果的构件;以及用于响应于其中所述绑定平台配置寄存器的确认结果指示成功的条件,用引用值扩展所述测量平台配置寄存器否则用预先确定的错误值扩展所述测量平台配置寄存器的构件。【专利附图】【附图说明】[0021]在附图中,[0022]图1再现了TCG移动可信模块规范(规范版本1.0,修订版7.02)的图2,并示出了可如何使用MRTM的简单实例。[0023]图2示出了引用完整性度量。[0024]图3是可用来实现本发明的示例性实施例的设备(如移动设备)的框图。[0025]图4是示出根据用来提供设备的安全引导路径的本发明的示例性实施例的方法的操作以及计算机程序指令的执行结果的逻辑流程图。【具体实施方式】[0026]在高级别,TPM2给出的规定自身并不足以构建用以在满足以下前提条件时有条件地扩展引用寄存器的系统(例如,用于MTM2):[0027]已载入可信验证密钥;[0028]寄存器具有正确的初始值;[0029]存在用于寄存器更新的证书;[0030]通过载入的可信验证密钥对证书可验证地签名;[0031]证书包含要扩展到寄存器中的值;以及[0032]如果证书前提条件保持则有条件地扩展寄存器值。[0033]相反,两个PCR的系统必须以特定方式部署以实现相同目的。所克服的特定问题是TPM2_PoIicyAuthorize(策略授权)的前提条件包括PCR值。如果引导链改变PCR值,并且TPM2_PoIicyAuthorize不履行委派,则由于改变的PCR值而不是被委派的实体制作新的签名,授权的原点必须产生新的授权。[0034]更技术性地:为了绕过授权绑定的“紧密”,命令TPM2_PoIicyAuthorize存在。假定approvedPolicy(批准的策略)与当前的policyHash(策略散列值)匹配,此命令允许重设policyHash(并为其附加ー个新值policyRef(策略引用))。操作通过非对称密钥(keySign)绑定到外部签名,就像在PolicySigned(已签名策略)中那样。然而,PolicyAuthorize的使用将与R頂证书的MTMl使用不同,其中RIM证书自身強制锁定测量PCR。借助于“测量”意味着设备的状态部分地存储在该PCR中。[0035]在规范的版本I中,MTM安全引导支持利用专用命令来进行。已认识到对该功能的需要,其具有系统操作需要满足的针对完整性保护令牌(证书)的确认的ー组基本前提条件。[0036]TPM2规范为此添加了命令,即以便支持安全引导。然而,如果扩展的命令被简单地应用于(可以将这些命令应用的)以给定寄存器为目标的安全引导,则系统可导致其中证书不是委派的权限(如果改变发生,可以事后应用于安全引导操作系统的权限)的设置,而不是其中在设备可以上市之前必须事先进行所有认证并且将这些认证与MTM状态匹配的严格的设置。这不符合安全引导架构的最初概念,在该最初概念中,(对用于安全引导路径的代码进行签名的)权限作为设备集成过程的部分被委派。[0037]本发明的各种示例性实施例的若干使用使得能够事后委派用于安全引导路径的组件。这通过使用两个PCR寄存器来完成:对应于在MTM版本I中使用的PCR的测量PCR以及作为用于认证的引用(绑定)寄存器的可重设的PCR寄存器(通过某个重设特征)。重设特征使得可能从PCR值解除授权(绑定寄存器的引用始终为0,因为其可重设)。此外,尽管測量寄存器的值作为前提条件被包括,但在绑定寄存器的上下文中执行授权。另外,当授权链完成吋,MTM版本2外部的可信OS(操作系统)组件监视绑定寄存器的确认結果,并且如果确认成功,其用引用值扩展測量寄存器,否则用NULL值扩展測量寄存器。[0038]系统被允许能够以完整性受保护的方式绑定前提条件PCR值、引用更新值以及例如一个或多个计数器,使得对于用于确认的数据不存在线下攻击可能性。[0039]在TPM2(TPM版本2),用于构造被授权的PCR更新机制的必要的基本构建块作为基线规范的一部分是可获得。因此,RM证书、验证密钥和相关概念(verifiedPCRs)的数据结构在TPM规范的版本2中不是特定于MTM的。[0040]下文描述了实现规范的版本2中的对应功能的引用命令序列。[0041]verifiedPCRs列表被命令TPM2_PCR_SetAuthPolicy(其制约PCR或PCR组以要求授权)和用于设定给定PCR集合的授权会话的引用值的TPM2_PCR_SetAuthValue替代。在MTM2中,最小的功能集合可假定这些设定是隐式的并通过代码实现或配置来定义。[0042]由于但是只有很少的差异,RIM证书被扩展的授权会话替代。为了实现必要的设备绑定,MTMl使用RVAI作为可信根(例如,公钥散列值),该可信根以作为验证R頂证书的公钥的根的状态存储。在默认情况下,RVAI被绑定到授权会话,因为授权密钥的公钥(散列值)被包括在授权会话的policyHash中。[0043]例如,一个简单的可能步骤是具有允许对具有给定值的单个PCR的更新(假定同一PCR具有给定的先前值)的(单个)RIM证书。虽然这是基本的例子,但注意直接扩展到数个R頂更新仅是间接上可能的:[0044]PCRX的authValue被设定为由以下命令累积的policyHash:[0045]+PolicyPCR(绑定到PCR的更早值)[0046]+PolicySigned(绑定到外部签名)。由于密钥的公钥散列值累积到policyHash中,所以通过authValue(授权值)而不是通过特定的RVAI来绑定要使用的特定密钥。[0047]+PolicyCpHash(绑定到命令和參数值)。此授权约束将更新到PCR中的值,SP,TPM2_Event的命令參数被固定。[0048]对于传统的RM证书,在前面的简单例子的情况下,存在几个缺点。例如,PCR的下一次更新不能立即发生,因为PCR的authValue是固定的。这可通过使用PolicyOr:s来绕开,其中制定允许将一系列更新绑定到PCR的策略是可能的(假定在MTM部署时已知签名密钥和PCR值)。虽然在实践中此情形不可能发生,但在包括连续的两个PCR更新的下ー个非限制性实例中追究此方法:[0049]PCRX的authValue被设定为由以下命令累积的policyHash:[0050]+PolicyOr(接受以下两个集合中的任ー个):[0051]集合1:[0052]+PolicyPCR(绑定到PCR的原始值)[0053]+PolicySigned(绑定到外部签名)。由于密钥的公钥散列值累积到policyHash中,所以通过authValue而不是通过特定的RVAI来绑定要使用的特定密钥。[0054]+PolicyCpHash(绑定到命令和參数值)。此授权约束将扩展到PCR中的值。我们假定在此扩展后PCR将具有值Y。[0055]集合2:[0056]+PolicyPCR(绑定到PCR的值Y)[0057]+PolicySigned(绑定到外部签名)[0058]+PolicyCpHash(绑定到命令和參数值)[0059]可以注意到,在前面两个例子中,签名的使用不相关。虽然它们提供授权,但授权的内容(PCR值)事先被固定。RM证书的目的是通过验证密钥的方式委派授权机构来设定这些值,并且此目的实现了。另外,在ー个TPM中最多可接受八个PolicyOR,从而转换成最多八个的一系列更新。虽然在某些情况下对于给定PCR这可能是令人满意的,但总的来说这将不是最优的实现。[0060]为了绕过授权绑定的严格性,使用命令TPM2_P0licyAuth0riZe。假定approvedPolicy与当前的policyHash匹配,此命令允许重设policyHash(并为其附加一个新值policyRef)。操作通过非对称密钥(keySign)绑定到外部签名,就像在PolicySigned中那样。然而,PolicyAuthorize的使用将不同于RIM证书的MTMl使用,其中RIM证书自身強制锁定测量PCR。通过“测量”,意味着设备的状态部分地存储在该PCR中。[0061]在本发明的示例性实施例的最相关的上下文中,引用和可重设的绑定PCR被锁定,但测量PCR(将包含所引导的设备的状态的PCR)可为传统的PCR(例如,可被任何PCR扩展的ー个PCR)。因此,若通过使用绑定PCR的特征来评估被签名的授权,则在安全引导过程期间将标记值插入到測量PCR中是某个“在执行前測量”过程的职责。[0062]可參考图2,图2用于示出根据本发明的非限制性实施例的示例性引用完整性度量。在图2中,示出了验证根(可信引擎)10、授权会话12和两个PCR,即其中存储引导事件的测量PCR14和用作寄存器的绑定PCR16。[0063]尽管与本讨论并不是特别相关,但可以注意使用PolicyAuthorize(參见图2中的步骤6)是两个步骤的过程,其中首先用TPM2_verifySignature()(參见图2中的步骤5)确认对“证书”的签名,产生票证,并且只有这时才可使用该票证来部署PolicyAuthorize。[0064]由于PolicyAuthorize操作的方式,相比于验证密钥在MTMl中被载入的方式,绑定PCR16还以相反的顺序被映射。[0065]过程进行如下。注意,在图2中描绘和下文描述的顺序的过程可被视为描述根据本发明的示例性实施例的方法的逻辑流过程。[0066]验证可信根(RoV)10(即MTM外面的其自身已经过验证且作为引导链的一部分的计算机代码片段或模块)执行在图2中示出的操作中的以下步骤:[0067]+RoVlO測量下一片段代码或某些数据(M)。[0068]+绑定PCR16的authValue包含使用密钥(RVAI)应用PolicyAuthorize的结果。[0069]+RoVlO重设绑定PCR16(图2中的步骤I)。[0070]+授权会话12响应于步骤2(TPM2_StartAuthSession(TPM2_开始授权会话))授权绑定PCR16(注意,不是测量PCR14)的更新。[0071]+RoVlO在步骤3中将PolicyPCR应用于测量PCR14(以绑定到PCR的原始值)。[0072]+RoVlO在步骤4中应用PolicyCpHash(以绑定到命令和參数值)。在这里,可以注意到差別,因为该过程绑定參数值(显著地,最终将被放在測量PCR14中的事件/散列值M),以确保(借助于由PolicyAuthorize隐式形成的“证书”)M匹配预期的引用。然而,此绑定技术上是用于绑定PCR16的最終更新,而不是用于作为最終目标的测量PCR14。[0073]+在步骤5TPM2_VerifySignature(验证签名)之后,在步骤6中,RoVlO应用PolicyAuthorize(策略授权)。由于与当前policyHash的比较,这间接检查测量PCR14的当前值的值,并且PolicyCpHash确保值M被更新。[0074]+RoVlO用值M更新绑定PCR16。由于签名密钥名称将为新的策略散列值的部分,所以其与绑定PCR16中的policyAuth的匹配保证了已将正确的密钥用于授权。将根据授权来检查M,并且因此如果更新(在步骤7中用TPM2_Event(TPM2_事件))成功,RoVlO可以被确保设备的当前状态正确(測量PCR14的当前值),就像更新值一祥。[0075]+最后,RoVlO用值M更新测量PCR14。然而,如果绑定PCR16的更新失败,则RoVlO用已知错误标记(例如,NULL)更新测量PCR14。[0076]注意,尽管此过程比应用两个相对更简单的命令LoadVerificationkey(加载验证密钥)和后续的VerifyRMCert(验证RM证书)(如在MTMl中的情況)更复杂,但此过程实现了与在MTMl中相同的目标。更具体来说,在引导过程的无论哪个阶段的正确完整性测量与被引导的代码分开,并且可以被独立于代码单独应用和增强。此外,引导策略的增强不需要改变MTM2配置。此外,按照设计,正确的完整性測量凭自身的能力是完整性受保护的。也就是说,正确的完整性测量(实际上是PolicyAuthorize票证)可存储在设备中的任何不受保护的介质中,而没有任何被篡改的风险。[0077]现在讨论计数器绑定,以便实现对本发明的实施例的更全面理解。[0078]在TPM2中,非易失性(NV)存储器支持计数器,并且这些可通过命令PolicyNV绑定到授权中。这尤其适用于PCRauthValue(授权值)和PolicyAuthorize(策略授权)的approvedPolicy(已批准策略)。“好的”授权设置将要求这些值包括与计数器值的比较(大于标称值(operandB),其证明将被包括在授权中)。[0079]为了使安全引导系统跨ー组设备可应用,预先确定将用于计数器(尤其是MTM版本I中的Bootstrap(引导程序)计数器和RMCert计数器的等价物)的NV索引。因此,以下NV索引被认为是被保留和预定义在MTM版本2中的:[0080]OxOIOxOOOxOOOxOO:引导程序计数器。被初始化到计数器(TPMA_NV_COUNTER)。然而,此计数器的所需步骤的最大数目是32,使得可例如通过电子熔丝来实现该计数器。[0081]0x010x000x000x01=RimCert计数器。被初始化到计数器(TPMA_NV_C0UNTER)。然而,此计数器的所需步骤的最大数目是4095。[0082]优选地,利用TPM2_NV_Increment()来对使用这些计数器的授权是以PolicyAuthorize的应用为条件(使用从绑定PCR形成的层级中的某个密钥),其中approvedHash至少包括到增量所应用到的同一NV索引的前一个计数器值的绑定。这样,每个计数器更新均要求新的授权。[0083]图3是可用于实现本发明的示例性实施例的设备20的框图。设备20包括与至少一个存储器设备24(例如,动态RAM、静态RAM、磁盘、FLASH中的ー个或多个)相连的至少ー个数据处理器22,存储器设备24存储包括操作系统(OS)24A和安全引导软件(SW)24B的程序指令,安全引导软件(SW)24B根据如上文所述的示例性实施例且如下面的图4所示操作。存储器24还可以包括非易失性存储器(NVM)设备或部分26。上面提及的计数器中的至少ー些可存储在NVM26中。测量PCR14和绑定PCR16可实施为例如数据处理器22中或其他地方的实体计数器,或者它们可实施为存储器24或NVM26中的位置。[0084]设备20可为无线设备,如“智能电话”、PC,或平板设备、膝上型计算机,或可得益于本文所述的安全引导过程的使用的任何类型的计算设备。在一些实施例中,设备20可为移动设备且可包括用于使用任何合适的射频和射频协议(包括作为两个非限制性实例的蜂窝协议和WiFi协议)来进行双向无线通信的至少ー个无线收发器28。[0085]由至少ー个数据处理器22执行安全引导软件24B可导致符合TCG移动可信模块规范规范版本1.0(作为非限制性实例)和如通过本发明的示例性实施例的使用来增强的后来的版本(如版本2)的过程和算法的执行。0S24A可为任何合适类型的操作系统,如基于Symbian?或Windows?(作为非限制性实例)的ー个操作系统。如上文所述,在移动设备实施例中,设备20可为蜂窝电话或智能电话,或者具有无线通信能力的任何类型的便携设备。[0086]如应理解的,本发明的示例性实施例的使用提供很多优势和技术效果。例如,示例性实施例的使用使得MTM2能够成为(就命令集来说)TPM2的真子集。这时有利的,因为这是规范活动的一个所述目标。此外,MTM2可以与配备有TPM2的诸如PC和膝上型计算机的计算设备一起实现(作为驱动程序),从而大体上定义不仅用于移动设备也用于PC(非移动)的安全引导架构。另外,此机制可作为用于实现安全引导的默认机制包括在MTM2规范中。注意,不清楚可替代机制(没有向现有TPM2命令的添加)的实现是否可行。[0087]图4是示出根据本发明的示例性实施例的方法的操作以及计算机程序指令的执行结果的逻辑流程图。根据这些示例性实施例,ー种方法提供了用于设备的安全引导路径。在块4A,有提供至少两个平台配置寄存器(PCR)的步骤,其中第一PCR为测量PCR且其中第ニPCR为用于认证的引用(绑定)PCR,其中绑定PCR引用可重设以将其引用建立为零。在块4B,有在绑定PCR的上下文中根据可信引擎(RoV)的指导执行授权链的步骤,其中将測量PCR的值作为前提条件包括。在块4C,有用通过授权所实施的值扩展绑定PCR的步骤。在通常情况下,这是在块4E中将被扩展到測量PCR中的相同值。块4C的步骤的操作结果被输入到决策块4D,在决策块4D,有被执行的在完成授权链的执行时监视(如用外部可信操作系统)绑定PCR的确认结果的步骤。如果确认结果指示成功(Y—是),则在块4E有用引用值M扩展测量PCR的步骤。相反,如果确认结果指示失败(N—否),[0088]则在块4F有用已知错误值扩展测量PCR的步骤。[0089]在图4中示出的不同块可被视为方法步骤和/或从计算机程序代码的操作得到的操作和/或被构造来执行相关功能的多个连接的逻辑电路元件。[0090]因此,示例性实施例还包括包含软件程序指令的非瞬时性计算机可读介质,其中由至少ー个数据处理器执行软件程序指令导致包括图4的方法的执行的操作的执行。[0091]总的来说,可以硬件或专用电路、软件、逻辑或其任何组合来实现各种示例性实施例。例如,可以硬件来实现某些方面,而以可由控制器、微处理器或其他计算设备执行的固件或软件来实现其他方面,尽管本发明不限于此。虽然本发明的示例性实施例的各方面可被示出和描绘为框图、流程图或使用某种其他图示来示出和描绘,但应理解本文描述的这些块、装置、系统、技术或方法可以硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备或其某种组合(作为非限制性实例)来实现。[0092]因此,示例性实施例还含有包括至少ー个处理器和至少ー个存储器的装置,所述存储器包括计算机程序代码。该存储器和计算机程序代码被配置来利用所述处理器促使装置提供至少两个平台配置寄存器(PCR),其中第一PCR为测量PCR且其中第二PCR为用于认证的引用(绑定)PCR,其中绑定PCR引用可重设以将其引用建立为零。该存储器和计算机程序代码进一歩被配置来利用所述处理器促使装置在绑定PCR的上下文中根据可信引擎(RoV)的指导来执行授权链,其中測量PCR的值作为前提条件被包括,并且当完成授权链的执行时,监视(如用外部可信操作系统)绑定PCR的确认結果。该存储器和计算机程序代码进一歩被配置来利用所述处理器促使装置在确认结果指示成功时用引用值M扩展测量PCR,否则在确认结果相反地指示失败时用NULL值扩展測量PCR。[0093]装置可实施为移动或非移动设备。[0094]因此,应理解,可以各种组件(如集成电路芯片和模块)来实施本发明的示例性实施例的至少某些方面,并且可以作为集成电路嵌入的装置来实现本发明的示例性实施例。集成电路可包括用于实施可配置以便根据本发明的示例性实施例来操作的数据处理器、数字信号处理器、基带电路和射频电路中的至少ー个或多个的电路(以及可能地固件)。[0095]鉴于前面所述,相关领域技术人员在结合附图阅读该描述时可显见到对本发明的前述示例性实施例的各种修改和调适。然而,任何和所有修改仍将落入本发明的非限制性和示例性实施例的范围。[0096]仅作为ー个例子,可将测量平台配置寄存器(測量PCR14)更新的授权配置为受制于绑定平台配置寄存器(绑定PCR16)的成功授权,其中实施被实现为可信模块或引擎的部分(例如,作为RoVlO的部分)。[0097]应注意,术语“连接”或其任何变体是指两个或更多个元件之间的直接或间接的任何连接,并且可包括在“连接”在一起的两个元件之间的ー个或多个中间元件的存在。元件之间的连接可为物理的、逻辑的或其组合。如本文所使用的,通过使用一条或多条线、电缆和/或印刷电连接以及通过使用电磁能量(如具有射频区域、微波区域和光学(可见和不可见两者)区域(作为几个非限制性和非穷举实例)中的波长的电磁能量),两个元件可被视为“连接”在一起。[0098]进ー步地,用于描述的參数和元件(例如,M、測量PCR、绑定PCR等)的各种名称不是为了在任何方面进行限制,因为这些參数和元件可通过任何合适的名称来标识。[0099]此外,本发明的各种非限制性和示例性实施例的某些特征可用来提供优势,而无需其他特征的对应使用。因此,应仅仅将前面的描述视为是对本发明的原理、教导和示例性实施例的说明而非对其的限制。【权利要求】1.一种方法,其包括:提供至少两个平台配置寄存器,其中第一平台配置寄存器为测量平台配置寄存器且其中第二平台配置寄存器为可重设的绑定配置平台配置寄存器;根据可信引擎的指导执行授权链以执行授权,其中所述测量平台配置寄存器的值作为前提条件被包括;用通过所述授权所实施的值扩展所述绑定平台配置寄存器;以及监视所述绑定平台配置寄存器的确认结果。2.根据权利要求1所述的方法,其中如果所述绑定平台配置寄存器的确认结果指示成功,则进一步包括用引用值扩展所述测量平台配置寄存器,而如果相反地所述确认结果指示失败,则进一步包括用预先确定的错误值扩展所述测量平台配置寄存器。3.根据权利要求1和2中任一项所述的方法,其中监视所述确认结果包括使用可信操作系统。4.根据权利要求1-3中任一项所述的方法,至少部分地由验证可信根执行,其中所述绑定平台配置寄存器包含使用密钥应用策略授权的结果,且其中所述验证可信根重设所述绑定平台配置寄存器。5.根据权利要求4所述的方法,其进一步包括授权所述绑定平台配置寄存器的更新,以及将该授权的所述结果作为用于测量平台配置寄存器更新的策略来应用,以绑定到所述测量平台配置寄存器的原始值。6.根据权利要求4和5中任一项所述的方法,其中所述验证可信根操作来应用策略散列值功能以将命令和参数值作为所述绑定平台配置寄存器的最终更新来绑定。`7.根据权利要求4-6中任一项所述的方法,其中所述验证可信根检查所述测量平台配置寄存器的当前值以验证要更新的值M以确定已将正确的密钥用于所述授权。8.根据权利要求7所述的方法,其进一步包括所述验证可信根用所述值M更新所述绑定平台配置寄存器。9.根据权利要求8所述的方法,其进一步包括所述可信验证根进行其中之一:除非如果所述绑定平台配置寄存器的更新失败则用所述预先确定的错误值更新所述测量平台配置寄存器,否则用所述值M更新所述测量平台配置寄存器。10.根据权利要求1-9中任一项所述的方法,其中所述测量平台配置寄存器更新的授权被配置为受制于所述绑定平台配置寄存器的成功授权,其中实施被实现为所述可信引擎的一部分。11.一种非瞬时性计算机可读介质,其包含软件程序指令,其中由至少一个数据处理器执行所述软件程序指令导致包括权利要求1-10中任一项的所述方法的执行的操作的执行。12.一种装置,其包括:至少一个处理器和至少一个存储器,所述存储器包括计算机程序代码,其中所述至少一个存储器和计算机程序代码被配置来利用所述至少一个处理器促使所述装置提供至少两个平台配置寄存器,其中第一平台配置寄存器为测量平台配置寄存器且其中第二平台配置寄存器为可重设的绑定配置平台配置寄存器;根据可信引擎的指导执行授权链以执行授权,其中所述测量平台配置寄存器的值作为前提条件被包括;用通过所述授权所实施的值扩展所述绑定平台配置寄存器;以及监视所述绑定平台配置寄存器的确认结果。13.根据权利要求12所述的装置,其中所述至少一个存储器和计算机程序代码进一步被配置来利用所述至少一个处理器在所述绑定平台配置寄存器的确认结果指示成功时用引用值扩展所述测量平台配置寄存器,而在所述确认结果相反地指示失败时用预先确定的错误值扩展所述测量平台配置寄存器。14.根据权利要求12和13中任一项所述的装置,其中监视所述确认结果包括使用可信操作系统。15.根据权利要求12-14中任一项所述的装置,其中所述至少一个存储器和计算机程序代码进一步被配置来利用所述至少一个处理器实现验证可信根,其中所述绑定平台配置寄存器包含使用密钥应用策略授权的结果,且其中所述验证可信根重设所述绑定平台配置寄存器。16.根据权利要求15所述的装置,其中所述至少一个存储器和计算机程序代码进一步被配置来利用所述至少一个处理器授权所述绑定平台配置寄存器的更新,以及将策略应用于所述测量平台配置寄存器更新,以绑定到所述测量平台配置寄存器的原始值。17.根据权利要求15和16中任一项所述的装置,其中所述至少一个存储器和计算机程序代码进一步被配置来利用所述至少一个处理器操作所述验证可信根来应用策略散列值功能以将命令和参数值作为所述绑定平台配置寄存器的最终更新来绑定。18.根据权利要求15-17中任一项所述的装置,其中所述至少一个存储器和计算机程序代码进一步被配置来利用所述至少一个处理器操作所述验证可信根来检查所述测量平台配置寄存器的当前值以验证要更新的值M,以便确定已将正确的密钥用于所述授权。19.根据权利要求18所述的装置,其中所述至少一个存储器和计算机程序代码进一步被配置来利用所述至少一个处理器操作所述验证可信根来用所述值M更新所述绑定平台配置寄存器。20.根据权利要求19所述的装置,其中所述至少一个存储器和计算机程序代码进一步被配置来利用所述至少一个处理器进一步操作所述验证可信根来进行以下之一:除非如果所述绑定平台配置寄存器的更新失败,则相反地用所述预先确定的错误值更新所述测量平台配置寄存器;否则用所述值M更新所述测量平台配置寄存器。21.根据权利要求12-20中任一项所述的装置,其中所述测量平台配置寄存器更新的授权被配置为受制于所述绑定平台配置寄存器的成功授权,其中实施被实现为所述可信引擎的一部分。22.根据权利要求12-21中任一项所述的装置,其包括无线通信设备的一部分。23.一种装置,其包括:用于提供至少两个平台配置寄存器的构件,其中第一平台配置寄存器为测量平台配置寄存器且其中第二平台配置寄存器为可重设的绑定配置平台配置寄存器;用于根据可信引擎的指导执行授权链以执行授权的构件,其中所述测量平台配置寄存器的值作为前提条件被包括;用于用通过所述授权所实施的值扩展所述绑定平台配置寄存器的构件;用于用可信操作系统监视所述绑定平台配置寄存器的确认结果的构件;以及用于响应于其中所述绑定平台配置寄存器的确认结果指示成功的条件用引用值扩展所述测量平台配置寄存器否则用预先确定的错误值扩展所述测量平台配置寄存器的构件。24.根据权利要求23所述的装置,其中所述测量平台配置寄存器更新的授权被配置为受制于所述绑定平台配置寄存器的成`功授权,其中实施被实现为所述可信引擎的一部分。【文档编号】G06F15/177GK103597493SQ201280023439【公开日】2014年2月19日申请日期:2012年5月15日优先权日:2011年5月18日【发明者】J-E·埃克贝里申请人:诺基亚公司
技术领域:
】[0001]本发明的示例性和非限制性实施例概括来说涉及数据处理系统、方法、设备和计算机程序,并且更具体来说涉及安全引导过程、可信计算组(TCG)技术和可信平台模块。【
背景技术:
】[0002]本部分g在提供在权利要求书中叙述的本发明的背景或上下文。本文的描述可能包括可被追究的概念,但不一定是以前已经设想、实现或描述的概念。因此,除非本文另外指出,否则在本部分中描述的内容不是本申请中的说明书和权利要求的现有技木,并且不通过包括在本部分中而被承认是现有技木。[0003]可能在说明书和/或附图中找到的以下縮写词定义如下:[0004]MRTM移动远程所有者可信模块[0005]MTM移动可信模块[0006]PCR平台配置寄存器[0007]RIM引用完整性度量[0008]RoV验证可信根[0009]RTM测量可信根[0010]RTS存储可信根[0011]RTV验证可信根[0012]RVAI根验证机构信息[0013]TCG可信计算组[0014]TPM可信平台模块[0015]可以在“MobileTrustedEnvironment(MTM)-anintroduction”(筒-埃里克〃埃克伯格,马可库〃基兰帕,诺基亚研究中心NRC-TR-2007-015,2007诺基亚)中找到对MTM的介绍。[0016]本文中,图1再现了TCG移动可信模块规范(规范版本1.0,修订版7.02,2010年4月29日)的图2。图1示出了可如何使用MRTM的简单实例。MRTM本身将由TPMvl.2的子集加上ー组新的移动特定命令组成,该组新的移动特定命令被设计来支持由可信计算组设定的要求(移动电话工作组使用案例情形,规范版本2.7,2005年)。另外,验证可信根(RTV)和測量可信根(RTM)模块将是在运行时环境中运行的第一个可执行程序。RTV+RTM模块将首先记录其实现的诊断测量。在诊断延长之后,RTV+RTM模块将使用MRTM测量并验证测量和验证代理可执行程序(executable),然后再将控制权传递给该可执行程序。然后,该测量和验证代理再測量并验证操作系统映像,之后再将控制权传递给操作系统。此结构允许了安全引导的实现。[0017]在上面提到的移动规范“TCG移动可信模块规范”版本I中,MTM具有用来支持移动设备的安全引导的专用命令和功能集合。在向版本2修订此规范的上下文中,已将PC(基线)规范增补为具有用来访问对所谓的平台控制寄存器(PCR)的控制更新的功能,以便尝试直接在基线规范中支持安全引导。【
发明内容】[0018]在本发明的第一示例性和非限制性实施例中,提供了ー种方法,其包括:提供至少两个平台配置寄存器,其中第一平台配置寄存器为測量平台配置寄存器且其中第二平台配置寄存器为可重设的绑定配置平台配置寄存器;根据可信引擎的指导执行授权链以执行授权,其中所述测量平台配置寄存器的值作为前提条件被包括;用通过所述授权所实施的值扩展所述绑定平台配置寄存器;以及监视所述绑定平台配置寄存器的确认(validation)结果。[0019]在本发明的进ー步的示例性和非限制性实施例中,提供了ー种装置,其包括:至少一个处理器和至少ー个存储器,所述存储器包括计算机程序代码。所述至少一个存储器和计算机程序代码被配置来利用所述至少一个处理器促使所述装置提供至少两个平台配置寄存器,其中第一平台配置寄存器为測量平台配置寄存器且其中第二平台配置寄存器为可重设的绑定配置平台配置寄存器;根据可信引擎的指导执行授权链以执行授权,其中所述測量平台配置寄存器的值作为前提条件被包括;用通过所述授权所实施的值扩展所述绑定平台配置寄存器;以及监视所述绑定平台配置寄存器的确认結果。[0020]在本发明的又一示例性和非限制性实施例中,提供了ー种装置,其包括:用于提供至少两个平台配置寄存器的构件,其中第一平台配置寄存器为測量平台配置寄存器且其中第二平台配置寄存器为可重设的绑定配置平台配置寄存器;用于根据可信引擎的指导执行授权链以执行授权的构件,其中所述测量平台配置寄存器的值作为前提条件被包括;用于用通过所述授权所实施的值扩展所述绑定平台配置寄存器的构件;用于用可信操作系统监视所述绑定平台配置寄存器的确认结果的构件;以及用于响应于其中所述绑定平台配置寄存器的确认结果指示成功的条件,用引用值扩展所述测量平台配置寄存器否则用预先确定的错误值扩展所述测量平台配置寄存器的构件。【专利附图】【附图说明】[0021]在附图中,[0022]图1再现了TCG移动可信模块规范(规范版本1.0,修订版7.02)的图2,并示出了可如何使用MRTM的简单实例。[0023]图2示出了引用完整性度量。[0024]图3是可用来实现本发明的示例性实施例的设备(如移动设备)的框图。[0025]图4是示出根据用来提供设备的安全引导路径的本发明的示例性实施例的方法的操作以及计算机程序指令的执行结果的逻辑流程图。【具体实施方式】[0026]在高级别,TPM2给出的规定自身并不足以构建用以在满足以下前提条件时有条件地扩展引用寄存器的系统(例如,用于MTM2):[0027]已载入可信验证密钥;[0028]寄存器具有正确的初始值;[0029]存在用于寄存器更新的证书;[0030]通过载入的可信验证密钥对证书可验证地签名;[0031]证书包含要扩展到寄存器中的值;以及[0032]如果证书前提条件保持则有条件地扩展寄存器值。[0033]相反,两个PCR的系统必须以特定方式部署以实现相同目的。所克服的特定问题是TPM2_PoIicyAuthorize(策略授权)的前提条件包括PCR值。如果引导链改变PCR值,并且TPM2_PoIicyAuthorize不履行委派,则由于改变的PCR值而不是被委派的实体制作新的签名,授权的原点必须产生新的授权。[0034]更技术性地:为了绕过授权绑定的“紧密”,命令TPM2_PoIicyAuthorize存在。假定approvedPolicy(批准的策略)与当前的policyHash(策略散列值)匹配,此命令允许重设policyHash(并为其附加ー个新值policyRef(策略引用))。操作通过非对称密钥(keySign)绑定到外部签名,就像在PolicySigned(已签名策略)中那样。然而,PolicyAuthorize的使用将与R頂证书的MTMl使用不同,其中RIM证书自身強制锁定测量PCR。借助于“测量”意味着设备的状态部分地存储在该PCR中。[0035]在规范的版本I中,MTM安全引导支持利用专用命令来进行。已认识到对该功能的需要,其具有系统操作需要满足的针对完整性保护令牌(证书)的确认的ー组基本前提条件。[0036]TPM2规范为此添加了命令,即以便支持安全引导。然而,如果扩展的命令被简单地应用于(可以将这些命令应用的)以给定寄存器为目标的安全引导,则系统可导致其中证书不是委派的权限(如果改变发生,可以事后应用于安全引导操作系统的权限)的设置,而不是其中在设备可以上市之前必须事先进行所有认证并且将这些认证与MTM状态匹配的严格的设置。这不符合安全引导架构的最初概念,在该最初概念中,(对用于安全引导路径的代码进行签名的)权限作为设备集成过程的部分被委派。[0037]本发明的各种示例性实施例的若干使用使得能够事后委派用于安全引导路径的组件。这通过使用两个PCR寄存器来完成:对应于在MTM版本I中使用的PCR的测量PCR以及作为用于认证的引用(绑定)寄存器的可重设的PCR寄存器(通过某个重设特征)。重设特征使得可能从PCR值解除授权(绑定寄存器的引用始终为0,因为其可重设)。此外,尽管測量寄存器的值作为前提条件被包括,但在绑定寄存器的上下文中执行授权。另外,当授权链完成吋,MTM版本2外部的可信OS(操作系统)组件监视绑定寄存器的确认結果,并且如果确认成功,其用引用值扩展測量寄存器,否则用NULL值扩展測量寄存器。[0038]系统被允许能够以完整性受保护的方式绑定前提条件PCR值、引用更新值以及例如一个或多个计数器,使得对于用于确认的数据不存在线下攻击可能性。[0039]在TPM2(TPM版本2),用于构造被授权的PCR更新机制的必要的基本构建块作为基线规范的一部分是可获得。因此,RM证书、验证密钥和相关概念(verifiedPCRs)的数据结构在TPM规范的版本2中不是特定于MTM的。[0040]下文描述了实现规范的版本2中的对应功能的引用命令序列。[0041]verifiedPCRs列表被命令TPM2_PCR_SetAuthPolicy(其制约PCR或PCR组以要求授权)和用于设定给定PCR集合的授权会话的引用值的TPM2_PCR_SetAuthValue替代。在MTM2中,最小的功能集合可假定这些设定是隐式的并通过代码实现或配置来定义。[0042]由于但是只有很少的差异,RIM证书被扩展的授权会话替代。为了实现必要的设备绑定,MTMl使用RVAI作为可信根(例如,公钥散列值),该可信根以作为验证R頂证书的公钥的根的状态存储。在默认情况下,RVAI被绑定到授权会话,因为授权密钥的公钥(散列值)被包括在授权会话的policyHash中。[0043]例如,一个简单的可能步骤是具有允许对具有给定值的单个PCR的更新(假定同一PCR具有给定的先前值)的(单个)RIM证书。虽然这是基本的例子,但注意直接扩展到数个R頂更新仅是间接上可能的:[0044]PCRX的authValue被设定为由以下命令累积的policyHash:[0045]+PolicyPCR(绑定到PCR的更早值)[0046]+PolicySigned(绑定到外部签名)。由于密钥的公钥散列值累积到policyHash中,所以通过authValue(授权值)而不是通过特定的RVAI来绑定要使用的特定密钥。[0047]+PolicyCpHash(绑定到命令和參数值)。此授权约束将更新到PCR中的值,SP,TPM2_Event的命令參数被固定。[0048]对于传统的RM证书,在前面的简单例子的情况下,存在几个缺点。例如,PCR的下一次更新不能立即发生,因为PCR的authValue是固定的。这可通过使用PolicyOr:s来绕开,其中制定允许将一系列更新绑定到PCR的策略是可能的(假定在MTM部署时已知签名密钥和PCR值)。虽然在实践中此情形不可能发生,但在包括连续的两个PCR更新的下ー个非限制性实例中追究此方法:[0049]PCRX的authValue被设定为由以下命令累积的policyHash:[0050]+PolicyOr(接受以下两个集合中的任ー个):[0051]集合1:[0052]+PolicyPCR(绑定到PCR的原始值)[0053]+PolicySigned(绑定到外部签名)。由于密钥的公钥散列值累积到policyHash中,所以通过authValue而不是通过特定的RVAI来绑定要使用的特定密钥。[0054]+PolicyCpHash(绑定到命令和參数值)。此授权约束将扩展到PCR中的值。我们假定在此扩展后PCR将具有值Y。[0055]集合2:[0056]+PolicyPCR(绑定到PCR的值Y)[0057]+PolicySigned(绑定到外部签名)[0058]+PolicyCpHash(绑定到命令和參数值)[0059]可以注意到,在前面两个例子中,签名的使用不相关。虽然它们提供授权,但授权的内容(PCR值)事先被固定。RM证书的目的是通过验证密钥的方式委派授权机构来设定这些值,并且此目的实现了。另外,在ー个TPM中最多可接受八个PolicyOR,从而转换成最多八个的一系列更新。虽然在某些情况下对于给定PCR这可能是令人满意的,但总的来说这将不是最优的实现。[0060]为了绕过授权绑定的严格性,使用命令TPM2_P0licyAuth0riZe。假定approvedPolicy与当前的policyHash匹配,此命令允许重设policyHash(并为其附加一个新值policyRef)。操作通过非对称密钥(keySign)绑定到外部签名,就像在PolicySigned中那样。然而,PolicyAuthorize的使用将不同于RIM证书的MTMl使用,其中RIM证书自身強制锁定测量PCR。通过“测量”,意味着设备的状态部分地存储在该PCR中。[0061]在本发明的示例性实施例的最相关的上下文中,引用和可重设的绑定PCR被锁定,但测量PCR(将包含所引导的设备的状态的PCR)可为传统的PCR(例如,可被任何PCR扩展的ー个PCR)。因此,若通过使用绑定PCR的特征来评估被签名的授权,则在安全引导过程期间将标记值插入到測量PCR中是某个“在执行前測量”过程的职责。[0062]可參考图2,图2用于示出根据本发明的非限制性实施例的示例性引用完整性度量。在图2中,示出了验证根(可信引擎)10、授权会话12和两个PCR,即其中存储引导事件的测量PCR14和用作寄存器的绑定PCR16。[0063]尽管与本讨论并不是特别相关,但可以注意使用PolicyAuthorize(參见图2中的步骤6)是两个步骤的过程,其中首先用TPM2_verifySignature()(參见图2中的步骤5)确认对“证书”的签名,产生票证,并且只有这时才可使用该票证来部署PolicyAuthorize。[0064]由于PolicyAuthorize操作的方式,相比于验证密钥在MTMl中被载入的方式,绑定PCR16还以相反的顺序被映射。[0065]过程进行如下。注意,在图2中描绘和下文描述的顺序的过程可被视为描述根据本发明的示例性实施例的方法的逻辑流过程。[0066]验证可信根(RoV)10(即MTM外面的其自身已经过验证且作为引导链的一部分的计算机代码片段或模块)执行在图2中示出的操作中的以下步骤:[0067]+RoVlO測量下一片段代码或某些数据(M)。[0068]+绑定PCR16的authValue包含使用密钥(RVAI)应用PolicyAuthorize的结果。[0069]+RoVlO重设绑定PCR16(图2中的步骤I)。[0070]+授权会话12响应于步骤2(TPM2_StartAuthSession(TPM2_开始授权会话))授权绑定PCR16(注意,不是测量PCR14)的更新。[0071]+RoVlO在步骤3中将PolicyPCR应用于测量PCR14(以绑定到PCR的原始值)。[0072]+RoVlO在步骤4中应用PolicyCpHash(以绑定到命令和參数值)。在这里,可以注意到差別,因为该过程绑定參数值(显著地,最终将被放在測量PCR14中的事件/散列值M),以确保(借助于由PolicyAuthorize隐式形成的“证书”)M匹配预期的引用。然而,此绑定技术上是用于绑定PCR16的最終更新,而不是用于作为最終目标的测量PCR14。[0073]+在步骤5TPM2_VerifySignature(验证签名)之后,在步骤6中,RoVlO应用PolicyAuthorize(策略授权)。由于与当前policyHash的比较,这间接检查测量PCR14的当前值的值,并且PolicyCpHash确保值M被更新。[0074]+RoVlO用值M更新绑定PCR16。由于签名密钥名称将为新的策略散列值的部分,所以其与绑定PCR16中的policyAuth的匹配保证了已将正确的密钥用于授权。将根据授权来检查M,并且因此如果更新(在步骤7中用TPM2_Event(TPM2_事件))成功,RoVlO可以被确保设备的当前状态正确(測量PCR14的当前值),就像更新值一祥。[0075]+最后,RoVlO用值M更新测量PCR14。然而,如果绑定PCR16的更新失败,则RoVlO用已知错误标记(例如,NULL)更新测量PCR14。[0076]注意,尽管此过程比应用两个相对更简单的命令LoadVerificationkey(加载验证密钥)和后续的VerifyRMCert(验证RM证书)(如在MTMl中的情況)更复杂,但此过程实现了与在MTMl中相同的目标。更具体来说,在引导过程的无论哪个阶段的正确完整性测量与被引导的代码分开,并且可以被独立于代码单独应用和增强。此外,引导策略的增强不需要改变MTM2配置。此外,按照设计,正确的完整性測量凭自身的能力是完整性受保护的。也就是说,正确的完整性测量(实际上是PolicyAuthorize票证)可存储在设备中的任何不受保护的介质中,而没有任何被篡改的风险。[0077]现在讨论计数器绑定,以便实现对本发明的实施例的更全面理解。[0078]在TPM2中,非易失性(NV)存储器支持计数器,并且这些可通过命令PolicyNV绑定到授权中。这尤其适用于PCRauthValue(授权值)和PolicyAuthorize(策略授权)的approvedPolicy(已批准策略)。“好的”授权设置将要求这些值包括与计数器值的比较(大于标称值(operandB),其证明将被包括在授权中)。[0079]为了使安全引导系统跨ー组设备可应用,预先确定将用于计数器(尤其是MTM版本I中的Bootstrap(引导程序)计数器和RMCert计数器的等价物)的NV索引。因此,以下NV索引被认为是被保留和预定义在MTM版本2中的:[0080]OxOIOxOOOxOOOxOO:引导程序计数器。被初始化到计数器(TPMA_NV_COUNTER)。然而,此计数器的所需步骤的最大数目是32,使得可例如通过电子熔丝来实现该计数器。[0081]0x010x000x000x01=RimCert计数器。被初始化到计数器(TPMA_NV_C0UNTER)。然而,此计数器的所需步骤的最大数目是4095。[0082]优选地,利用TPM2_NV_Increment()来对使用这些计数器的授权是以PolicyAuthorize的应用为条件(使用从绑定PCR形成的层级中的某个密钥),其中approvedHash至少包括到增量所应用到的同一NV索引的前一个计数器值的绑定。这样,每个计数器更新均要求新的授权。[0083]图3是可用于实现本发明的示例性实施例的设备20的框图。设备20包括与至少一个存储器设备24(例如,动态RAM、静态RAM、磁盘、FLASH中的ー个或多个)相连的至少ー个数据处理器22,存储器设备24存储包括操作系统(OS)24A和安全引导软件(SW)24B的程序指令,安全引导软件(SW)24B根据如上文所述的示例性实施例且如下面的图4所示操作。存储器24还可以包括非易失性存储器(NVM)设备或部分26。上面提及的计数器中的至少ー些可存储在NVM26中。测量PCR14和绑定PCR16可实施为例如数据处理器22中或其他地方的实体计数器,或者它们可实施为存储器24或NVM26中的位置。[0084]设备20可为无线设备,如“智能电话”、PC,或平板设备、膝上型计算机,或可得益于本文所述的安全引导过程的使用的任何类型的计算设备。在一些实施例中,设备20可为移动设备且可包括用于使用任何合适的射频和射频协议(包括作为两个非限制性实例的蜂窝协议和WiFi协议)来进行双向无线通信的至少ー个无线收发器28。[0085]由至少ー个数据处理器22执行安全引导软件24B可导致符合TCG移动可信模块规范规范版本1.0(作为非限制性实例)和如通过本发明的示例性实施例的使用来增强的后来的版本(如版本2)的过程和算法的执行。0S24A可为任何合适类型的操作系统,如基于Symbian?或Windows?(作为非限制性实例)的ー个操作系统。如上文所述,在移动设备实施例中,设备20可为蜂窝电话或智能电话,或者具有无线通信能力的任何类型的便携设备。[0086]如应理解的,本发明的示例性实施例的使用提供很多优势和技术效果。例如,示例性实施例的使用使得MTM2能够成为(就命令集来说)TPM2的真子集。这时有利的,因为这是规范活动的一个所述目标。此外,MTM2可以与配备有TPM2的诸如PC和膝上型计算机的计算设备一起实现(作为驱动程序),从而大体上定义不仅用于移动设备也用于PC(非移动)的安全引导架构。另外,此机制可作为用于实现安全引导的默认机制包括在MTM2规范中。注意,不清楚可替代机制(没有向现有TPM2命令的添加)的实现是否可行。[0087]图4是示出根据本发明的示例性实施例的方法的操作以及计算机程序指令的执行结果的逻辑流程图。根据这些示例性实施例,ー种方法提供了用于设备的安全引导路径。在块4A,有提供至少两个平台配置寄存器(PCR)的步骤,其中第一PCR为测量PCR且其中第ニPCR为用于认证的引用(绑定)PCR,其中绑定PCR引用可重设以将其引用建立为零。在块4B,有在绑定PCR的上下文中根据可信引擎(RoV)的指导执行授权链的步骤,其中将測量PCR的值作为前提条件包括。在块4C,有用通过授权所实施的值扩展绑定PCR的步骤。在通常情况下,这是在块4E中将被扩展到測量PCR中的相同值。块4C的步骤的操作结果被输入到决策块4D,在决策块4D,有被执行的在完成授权链的执行时监视(如用外部可信操作系统)绑定PCR的确认结果的步骤。如果确认结果指示成功(Y—是),则在块4E有用引用值M扩展测量PCR的步骤。相反,如果确认结果指示失败(N—否),[0088]则在块4F有用已知错误值扩展测量PCR的步骤。[0089]在图4中示出的不同块可被视为方法步骤和/或从计算机程序代码的操作得到的操作和/或被构造来执行相关功能的多个连接的逻辑电路元件。[0090]因此,示例性实施例还包括包含软件程序指令的非瞬时性计算机可读介质,其中由至少ー个数据处理器执行软件程序指令导致包括图4的方法的执行的操作的执行。[0091]总的来说,可以硬件或专用电路、软件、逻辑或其任何组合来实现各种示例性实施例。例如,可以硬件来实现某些方面,而以可由控制器、微处理器或其他计算设备执行的固件或软件来实现其他方面,尽管本发明不限于此。虽然本发明的示例性实施例的各方面可被示出和描绘为框图、流程图或使用某种其他图示来示出和描绘,但应理解本文描述的这些块、装置、系统、技术或方法可以硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备或其某种组合(作为非限制性实例)来实现。[0092]因此,示例性实施例还含有包括至少ー个处理器和至少ー个存储器的装置,所述存储器包括计算机程序代码。该存储器和计算机程序代码被配置来利用所述处理器促使装置提供至少两个平台配置寄存器(PCR),其中第一PCR为测量PCR且其中第二PCR为用于认证的引用(绑定)PCR,其中绑定PCR引用可重设以将其引用建立为零。该存储器和计算机程序代码进一歩被配置来利用所述处理器促使装置在绑定PCR的上下文中根据可信引擎(RoV)的指导来执行授权链,其中測量PCR的值作为前提条件被包括,并且当完成授权链的执行时,监视(如用外部可信操作系统)绑定PCR的确认結果。该存储器和计算机程序代码进一歩被配置来利用所述处理器促使装置在确认结果指示成功时用引用值M扩展测量PCR,否则在确认结果相反地指示失败时用NULL值扩展測量PCR。[0093]装置可实施为移动或非移动设备。[0094]因此,应理解,可以各种组件(如集成电路芯片和模块)来实施本发明的示例性实施例的至少某些方面,并且可以作为集成电路嵌入的装置来实现本发明的示例性实施例。集成电路可包括用于实施可配置以便根据本发明的示例性实施例来操作的数据处理器、数字信号处理器、基带电路和射频电路中的至少ー个或多个的电路(以及可能地固件)。[0095]鉴于前面所述,相关领域技术人员在结合附图阅读该描述时可显见到对本发明的前述示例性实施例的各种修改和调适。然而,任何和所有修改仍将落入本发明的非限制性和示例性实施例的范围。[0096]仅作为ー个例子,可将测量平台配置寄存器(測量PCR14)更新的授权配置为受制于绑定平台配置寄存器(绑定PCR16)的成功授权,其中实施被实现为可信模块或引擎的部分(例如,作为RoVlO的部分)。[0097]应注意,术语“连接”或其任何变体是指两个或更多个元件之间的直接或间接的任何连接,并且可包括在“连接”在一起的两个元件之间的ー个或多个中间元件的存在。元件之间的连接可为物理的、逻辑的或其组合。如本文所使用的,通过使用一条或多条线、电缆和/或印刷电连接以及通过使用电磁能量(如具有射频区域、微波区域和光学(可见和不可见两者)区域(作为几个非限制性和非穷举实例)中的波长的电磁能量),两个元件可被视为“连接”在一起。[0098]进ー步地,用于描述的參数和元件(例如,M、測量PCR、绑定PCR等)的各种名称不是为了在任何方面进行限制,因为这些參数和元件可通过任何合适的名称来标识。[0099]此外,本发明的各种非限制性和示例性实施例的某些特征可用来提供优势,而无需其他特征的对应使用。因此,应仅仅将前面的描述视为是对本发明的原理、教导和示例性实施例的说明而非对其的限制。【权利要求】1.一种方法,其包括:提供至少两个平台配置寄存器,其中第一平台配置寄存器为测量平台配置寄存器且其中第二平台配置寄存器为可重设的绑定配置平台配置寄存器;根据可信引擎的指导执行授权链以执行授权,其中所述测量平台配置寄存器的值作为前提条件被包括;用通过所述授权所实施的值扩展所述绑定平台配置寄存器;以及监视所述绑定平台配置寄存器的确认结果。2.根据权利要求1所述的方法,其中如果所述绑定平台配置寄存器的确认结果指示成功,则进一步包括用引用值扩展所述测量平台配置寄存器,而如果相反地所述确认结果指示失败,则进一步包括用预先确定的错误值扩展所述测量平台配置寄存器。3.根据权利要求1和2中任一项所述的方法,其中监视所述确认结果包括使用可信操作系统。4.根据权利要求1-3中任一项所述的方法,至少部分地由验证可信根执行,其中所述绑定平台配置寄存器包含使用密钥应用策略授权的结果,且其中所述验证可信根重设所述绑定平台配置寄存器。5.根据权利要求4所述的方法,其进一步包括授权所述绑定平台配置寄存器的更新,以及将该授权的所述结果作为用于测量平台配置寄存器更新的策略来应用,以绑定到所述测量平台配置寄存器的原始值。6.根据权利要求4和5中任一项所述的方法,其中所述验证可信根操作来应用策略散列值功能以将命令和参数值作为所述绑定平台配置寄存器的最终更新来绑定。`7.根据权利要求4-6中任一项所述的方法,其中所述验证可信根检查所述测量平台配置寄存器的当前值以验证要更新的值M以确定已将正确的密钥用于所述授权。8.根据权利要求7所述的方法,其进一步包括所述验证可信根用所述值M更新所述绑定平台配置寄存器。9.根据权利要求8所述的方法,其进一步包括所述可信验证根进行其中之一:除非如果所述绑定平台配置寄存器的更新失败则用所述预先确定的错误值更新所述测量平台配置寄存器,否则用所述值M更新所述测量平台配置寄存器。10.根据权利要求1-9中任一项所述的方法,其中所述测量平台配置寄存器更新的授权被配置为受制于所述绑定平台配置寄存器的成功授权,其中实施被实现为所述可信引擎的一部分。11.一种非瞬时性计算机可读介质,其包含软件程序指令,其中由至少一个数据处理器执行所述软件程序指令导致包括权利要求1-10中任一项的所述方法的执行的操作的执行。12.一种装置,其包括:至少一个处理器和至少一个存储器,所述存储器包括计算机程序代码,其中所述至少一个存储器和计算机程序代码被配置来利用所述至少一个处理器促使所述装置提供至少两个平台配置寄存器,其中第一平台配置寄存器为测量平台配置寄存器且其中第二平台配置寄存器为可重设的绑定配置平台配置寄存器;根据可信引擎的指导执行授权链以执行授权,其中所述测量平台配置寄存器的值作为前提条件被包括;用通过所述授权所实施的值扩展所述绑定平台配置寄存器;以及监视所述绑定平台配置寄存器的确认结果。13.根据权利要求12所述的装置,其中所述至少一个存储器和计算机程序代码进一步被配置来利用所述至少一个处理器在所述绑定平台配置寄存器的确认结果指示成功时用引用值扩展所述测量平台配置寄存器,而在所述确认结果相反地指示失败时用预先确定的错误值扩展所述测量平台配置寄存器。14.根据权利要求12和13中任一项所述的装置,其中监视所述确认结果包括使用可信操作系统。15.根据权利要求12-14中任一项所述的装置,其中所述至少一个存储器和计算机程序代码进一步被配置来利用所述至少一个处理器实现验证可信根,其中所述绑定平台配置寄存器包含使用密钥应用策略授权的结果,且其中所述验证可信根重设所述绑定平台配置寄存器。16.根据权利要求15所述的装置,其中所述至少一个存储器和计算机程序代码进一步被配置来利用所述至少一个处理器授权所述绑定平台配置寄存器的更新,以及将策略应用于所述测量平台配置寄存器更新,以绑定到所述测量平台配置寄存器的原始值。17.根据权利要求15和16中任一项所述的装置,其中所述至少一个存储器和计算机程序代码进一步被配置来利用所述至少一个处理器操作所述验证可信根来应用策略散列值功能以将命令和参数值作为所述绑定平台配置寄存器的最终更新来绑定。18.根据权利要求15-17中任一项所述的装置,其中所述至少一个存储器和计算机程序代码进一步被配置来利用所述至少一个处理器操作所述验证可信根来检查所述测量平台配置寄存器的当前值以验证要更新的值M,以便确定已将正确的密钥用于所述授权。19.根据权利要求18所述的装置,其中所述至少一个存储器和计算机程序代码进一步被配置来利用所述至少一个处理器操作所述验证可信根来用所述值M更新所述绑定平台配置寄存器。20.根据权利要求19所述的装置,其中所述至少一个存储器和计算机程序代码进一步被配置来利用所述至少一个处理器进一步操作所述验证可信根来进行以下之一:除非如果所述绑定平台配置寄存器的更新失败,则相反地用所述预先确定的错误值更新所述测量平台配置寄存器;否则用所述值M更新所述测量平台配置寄存器。21.根据权利要求12-20中任一项所述的装置,其中所述测量平台配置寄存器更新的授权被配置为受制于所述绑定平台配置寄存器的成功授权,其中实施被实现为所述可信引擎的一部分。22.根据权利要求12-21中任一项所述的装置,其包括无线通信设备的一部分。23.一种装置,其包括:用于提供至少两个平台配置寄存器的构件,其中第一平台配置寄存器为测量平台配置寄存器且其中第二平台配置寄存器为可重设的绑定配置平台配置寄存器;用于根据可信引擎的指导执行授权链以执行授权的构件,其中所述测量平台配置寄存器的值作为前提条件被包括;用于用通过所述授权所实施的值扩展所述绑定平台配置寄存器的构件;用于用可信操作系统监视所述绑定平台配置寄存器的确认结果的构件;以及用于响应于其中所述绑定平台配置寄存器的确认结果指示成功的条件用引用值扩展所述测量平台配置寄存器否则用预先确定的错误值扩展所述测量平台配置寄存器的构件。24.根据权利要求23所述的装置,其中所述测量平台配置寄存器更新的授权被配置为受制于所述绑定平台配置寄存器的成`功授权,其中实施被实现为所述可信引擎的一部分。【文档编号】G06F15/177GK103597493SQ201280023439【公开日】2014年2月19日申请日期:2012年5月15日优先权日:2011年5月18日【发明者】J-E·埃克贝里申请人:诺基亚公司
最新回复(0)