專利名稱:檢驗電子設(shè)備中儲存信息完整性的系統(tǒng)和方法
1.領(lǐng)域本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域���。更具體而言,本發(fā)明涉及用于檢驗裝載于電子設(shè)備中的儲存信息的完整性的方案�。
2.一般背景許多電子設(shè)備包括一組被稱為固件的半永久性儲存指令。例如��,計算機包括一種叫做基本輸入/輸出系統(tǒng)(BIOS)的固件。通過該計算機處理器的執(zhí)行�,對BIOS編碼以完成各種功能����。舉例來說����,在通電的預(yù)引導(dǎo)周期期間��,BIOS控制該計算機的初始化以及各種硬件外設(shè)的初始化�。正常情況下BIOS是由單個供應(yīng)商提供,在計算機制造期間將它裝入諸如只讀存儲器(ROM)部件或閃速存儲器部件的非易失存儲器的預(yù)引導(dǎo)空間���。
但是�,近來已經(jīng)希望將更復(fù)雜的例程和數(shù)據(jù)儲存在這種非易失存儲器的預(yù)引導(dǎo)空間。作為一個實例�����,在最近致力于防止軟件病毒和BIOS的惡性腐壞之中��,可以將BIOS代碼的圖像數(shù)字簽字以產(chǎn)生數(shù)字簽名���。在執(zhí)行BIOS之前�����,可以用該數(shù)字簽名判斷該BIOS是否被加以修改��。這就很大程度上提供了所需要的防病毒保護�。
本領(lǐng)域內(nèi)都知道�����,數(shù)字簽名是利用簽字人個人密鑰的簽字數(shù)字數(shù)據(jù)��。同加密相似��,這種“簽字過程”可以利用任何一套軟件算法實現(xiàn)�,這些軟件算法有諸如Rivert Shamir和Adleman(RSA)算法或數(shù)字簽名算法(DSA)����,在題為“Digital Signature Standard”的“FederalInformation Processing Standards publication 186(1994�����,5月19日)”中對這些算法都做了說明����。通常�����,這種數(shù)字數(shù)據(jù)是以一種編碼形式(叫做“散列值”)固定的�,它是在將該散列值簽字之前通過對該原始數(shù)字數(shù)據(jù)的單向散列操作得到的。術(shù)語“單向”指的是實際上并不存在一種反向操作或功能以從該散列值恢復(fù)該數(shù)字數(shù)據(jù)的任何可辨別部分�����。
最近���,計算機產(chǎn)業(yè)已經(jīng)在努力研制一種軟件模塊集合的BIOS�,它是由不同商家生產(chǎn)的軟件模塊的集合而非由單一商家生產(chǎn)的一片整體式代碼。很可能該種BIOS的代碼被配置成“原位執(zhí)行(excute-in-place)”模塊��,因為這種代碼可以在系統(tǒng)隨機訪問存儲器(RAM)供使用之前加以執(zhí)行��。而且�����,很可能使用重新定位將該BIOS模塊正確裝入非易失存儲器內(nèi)���,因為對所有的BIOS商家而言無法在此之前就這種特殊的尋址方案達到一致�����。
就如在該行業(yè)中通曉的那樣����,“重新定位”是一種過程����,通過這種過程每一BIOS模塊內(nèi)的地址將根據(jù)存儲器內(nèi)對該BIOS模塊分配給的特殊地址位置(叫做“基地址”)加以調(diào)整。因而��,BIOS模塊內(nèi)的軟件例程通常用同基地址的相對偏移編碼,而這一基地址尚未賦值��。在重新定位期間�,BIOS模塊內(nèi)各種軟件例程的地址將通過將該地址加到每個相對偏移上而加以調(diào)整����。
不幸的是,假如重新定位是在原位執(zhí)行BIOS模塊上進行�,則任何與該BIOS模塊的圖像相關(guān)的數(shù)字簽名將是無效的,因為使用數(shù)字簽名的任何數(shù)據(jù)完整性分析將表明該BIOS模塊已經(jīng)被修改��。因此���,最終不可能判斷該BIOS模塊的修改到底是由非授權(quán)的還是只是由于重新定位操作引起的��。因而�����,希望研制一種完整性檢驗機制���,這種機制能改進在探測對BIOS非授權(quán)修改中數(shù)字簽字的有效性同時又允許圖像進行重新定位。
而且��,當研制的BIOS是作為由不同商家生產(chǎn)的數(shù)字簽字BIOS模塊的集合時,在某些情況下�,也許希望將這些數(shù)字簽字的模塊加以動態(tài)鏈接。特別地��,可以將一種BIOS模塊配置成調(diào)用編碼在另一種BIOS模塊內(nèi)的功能����。但是,為了使BIOS模塊動態(tài)鏈接在一起����,將要求至少一種BIOS模塊的修改,而這樣又勢必使同該BIOS模塊的圖像相關(guān)的任何數(shù)字簽名無效��。因此�����,原始的數(shù)字簽名對于識別非授權(quán)的模塊修改將是無效的�����。因而�����,希望有一種完整性檢驗機制能克服這一弊端。
附圖簡述從以下對本發(fā)明的詳細描述�,將使本發(fā)明的特點和優(yōu)點變得清晰,其中
圖1展示用于將軟件模塊集合作為固件裝入電子設(shè)備中的方框圖���。
圖2是利用本發(fā)明的電子設(shè)備的一種實施方案的方框圖。
圖3是圖2的非易失存儲器部件的存儲信息的第一種展示性實施方案的方框圖�,它集體用于用數(shù)字簽名檢驗重新定位過的重新定位后圖像的完整性。
圖4是圖2的非易失存儲器部件的存儲信息的第二種展示性實施方案的方框圖���。
圖5是用于檢驗儲存信息完整性�,如圖3和圖4中所示的重新定位后圖像的完整性的操作流程圖�����。
圖6是本發(fā)明的第二種展示性實施方案的方框圖��,這種方案的特點是多個數(shù)字簽字圖像通過一個或多個約束和重新定位輸入表(BRITs)被動態(tài)鏈接在一起����。
圖7是用于發(fā)生約束和重新定位輸入表(BRIT)的操作流程圖。
圖8是用于檢驗圖7的約束和重新定位輸入表(BRIT)的操作流程圖����。
發(fā)明的詳細說明現(xiàn)在�,對本發(fā)明的某些實施方案加以說明���,這些方案用于檢驗在預(yù)引導(dǎo)操作期間儲存在電子設(shè)備中的信息完整性�。一般來說���,該種儲存信息����,例如���,可以包括數(shù)字簽字圖像����,而這種圖像包括軟件模塊的重新定位后圖像或者是同另外的數(shù)字簽字圖像動態(tài)鏈接的���。
在以下的說明中使用了某些術(shù)語來討論本發(fā)明的特點���。“軟件模塊”包括一組執(zhí)行特殊功能的指令��。例如���,該軟件模塊可以是在預(yù)引導(dǎo)周期期間被執(zhí)行以便將電子設(shè)備初始化的特征指令��。對同該軟件模塊相關(guān)的指令的二進制表示的復(fù)制被稱之為“圖像”�����。不同類型的圖像可以用于代表不同格式化的階段�����。例如����,“重新定位前圖像”是該軟件模塊在對它進行重新定位操作之前的二進制表示�。“重新定位后圖像”是重新定位后該模塊的二進制表示���。
還有���,“電子設(shè)備”是集體操作以完成一種或多種特定功能的電子軟件和硬件之組合。一種電子設(shè)備的實例包括計算機(如膝上型����、臺式��、手提式�����、服務(wù)器��、大型計算機等)����,計算機部件(和串行端口)�����,手機����,機頂盒(電纜盒,網(wǎng)絡(luò)計算機���,衛(wèi)星電視接收機等)�,網(wǎng)絡(luò)設(shè)備等��?�!版溄印睆膹V義上定義為一種或多種建立通信路徑的信息承載媒介,包括物理媒介(例如��,電線�,光纖,電纜�����,總線跟蹤等)或無線媒介(例如�����,和無線信令技術(shù)相結(jié)合中的空氣)��。
簡而言之���,一種完整性檢驗機制涉及數(shù)字簽字圖像的配置以包括重新定位信息,重新定位后的圖像以及數(shù)字簽名���?���!爸匦露ㄎ恍畔ⅰ笔且贿B串對基地址的相對偏移�����。這些偏移是在儲存信息(例如軟件模塊圖像)被編輯并置于像MC-DOS“EXE”格式的可執(zhí)行格式中以后生成的(MS-DOS是Microsoft Corporation of Redmond,Washington的注冊商標)���。在重新定位期間����,在該基地址�,即該軟件模塊圖像被儲存和恢復(fù)以便執(zhí)行的存儲地址被確定之后,該偏移被轉(zhuǎn)換成合適的地址����。因此,重新定位后的圖像同重新定位前的圖像不同��。但是�����,數(shù)字簽名是基于重新定位前的圖像�����。
另一種第二完整性檢驗機制涉及在每種數(shù)字簽字圖像之中包括輸入表和輸出表。這些表允許在不同數(shù)字簽字圖像之內(nèi)將功能經(jīng)由約束和重新定位輸入表(Bound & Relocated Import TableBRIT)動態(tài)限制在一起�。該BRIT駐留在該數(shù)字簽字圖像之外。兩種完整性檢驗機制均可以用硬件或者用置入處理器內(nèi)(下面說明)的軟件程序或只由處理器可執(zhí)行的軟件程序加以完成����。
參照圖1,它是“N”個軟件模塊集合的展示性方框圖�����,這些模塊準備作為固件100裝入電子設(shè)備之中��。其中每一軟件模塊110N(N≥1)包括標題120N和圖像130N����,用于該固件100的一特殊軟件段。在將該軟件模塊以固件形式裝入如下面描述的那種非易失存儲器之前����,每一圖像130N由簽字人數(shù)字簽字以產(chǎn)生數(shù)字簽名140N��。在每個模塊之間可以有不同的簽字人��,或者多個模塊為同一簽字人�。“簽字人”可包括任何承認或保證該數(shù)字簽名的信賴個人或?qū)嶓w(例如��,銀行,政府實體�����,貿(mào)易協(xié)會���,原始設(shè)備制造商���,商家等)。
參照圖2���,它示出了一種電子設(shè)備的實施方案圖���。對于這種實施方案,該電子設(shè)備200包括芯片組210����,該芯片組分別經(jīng)由第一總線240和第二總線250連接到處理器220和存儲器230。此外�,該芯片組還與第三總線260連接,以提供通向1個或多個系統(tǒng)資源270的通道�。其中,第三總線260被表示成輸入/輸出(I/O)總線(例如,外圍部件互連“PCI”總線)�����,但是可以采用任何其他類型的總線結(jié)構(gòu)����,包括像工業(yè)標準結(jié)構(gòu)(ISA),擴展ISA(EISA)�,通用串行總線(USB)等總線結(jié)構(gòu)。示出的第三總線260是單總線�,但是應(yīng)當理解該第三總線可以包括通過橋電路連接在一起的多條總線。
如圖所示���,系統(tǒng)資源270連接到多總線中的至少一個�。該系統(tǒng)資源270包括通信設(shè)備280和非易失存儲器部件290�。通信設(shè)備280被配置成經(jīng)通信鏈接建立同另一電子設(shè)備的通信。通信設(shè)備280的實例包括網(wǎng)絡(luò)接口卡���,調(diào)制解調(diào)器卡或外部調(diào)制解調(diào)器�����。非易失存儲器部件290包括以1個或多個軟件模塊的數(shù)字簽字圖像為特征的固件。在一種實施方案中,這些軟件模塊的1個或多個可以形成該電子設(shè)備200的基本輸入/輸出系統(tǒng)(BIOS)代碼��。這種非易失存儲器部件290包括可編程的非易失存儲器�����,如閃速存儲器���,電池支持的隨機存取存儲器(RAM)����,只讀式存儲器(ROM)���,可擦除可編程的ROM(EPROM)���,電可擦除PROM(EEPROM),或任何適合于儲存該模塊的其他類型存儲器�。
參照圖3,它顯示圖2的非易失存儲器部件290的裝載和儲存信息的第一實施方案的方框圖����。該非易失存儲器部件290用1個或多個數(shù)字簽字圖像300裝載,300本身集體作為固件運行�。對于這種實施方案�,數(shù)字簽字圖像300包括重新定位信息310���,重新定位前圖像320以及數(shù)字簽名330�����。形成任何圖像的元件的定位是設(shè)計選擇�����。
重新定位信息310包括對重新定位前圖像320內(nèi)的某些例程的相對偏移315����。通常�����,該偏移315是在與該數(shù)字簽字圖像相關(guān)的該軟件模塊被編輯時發(fā)生的��。偏移315用于在重新定位期間一旦圖像300的叫做基地址“B_ADDR”的起始位置���,被確定后正確對該軟件模塊之內(nèi)的信息段尋址�。該重新定位是用對稱重新定位功能進行的��,這種功能允許對使用數(shù)字簽名330的數(shù)據(jù)完整性檢驗取消該重新定位過的信息。
在重新定位期間�����,依據(jù)裝載期間圖像300的重新處理前的圖像320�,該重新處理前的圖像320被轉(zhuǎn)換成(重新定位成)重新定位后的圖像340����。即是說,重新定位前的圖像320被重新定位以便從配給圖像300的基地址恢復(fù)����。實質(zhì)上,該重新定位操作將B_ADDR加到包含在該重新定位信息310之內(nèi)的偏移315上�。這樣就修改了諸如儲存在非易失存儲器部件中的重新定位后的圖像340的二進制圖像,而與由商家編碼的重新定位前的圖像320不同�。
數(shù)字簽名330包括至少該重新定位前圖像320的一種散列值,它是由簽字人的個人密鑰(PRK)以數(shù)字方式簽字的��。雖然該重新定位后的圖像340在重新定位之后現(xiàn)在駐留在該非易失存儲器部件之中�,但應(yīng)當知道該數(shù)字簽名330是依據(jù)重新定位前圖像320,而重新定位前圖像320是在裝入非易失存儲器部件之前最初產(chǎn)生的二進制形式�。
參照圖4,它顯示非易失存儲器部件290的儲存信息的第二展示性實施方案的方框圖���。該非易失存儲器部件290包含形成固件400(例如BIOS)的多幅數(shù)字簽字圖像4101-410M(“M”為正整數(shù))�。例如,作為一種展示性實例��,每一數(shù)字簽字圖像4101-410M是用一重新定位前的圖像4201-420M���、重新定位信息4301-430M和數(shù)字簽名4401-440M所形成的����。每一數(shù)字簽名4001-400M是依據(jù)至少一種與它對應(yīng)的重新定位前圖像4201-420M的散列值��,并且用1個或多個簽字人的個人密鑰(PRK)數(shù)字簽字的��。在用數(shù)字簽字圖像4101-410M裝載時�,該非易失存儲器部件290進行重新定位操作,這種操作將所儲存的圖像分別從重新定位前的圖像4201-420M修改成重新定位后的圖像4501-450M����。
現(xiàn)在參照圖5,它顯示用于檢驗所儲存信息完整性的操作流程圖�����,例如圖3和圖4的重新定位后的圖像的操作流程圖���。對于完整性檢驗��,數(shù)字簽字圖像的重新定位后的圖像被轉(zhuǎn)換成重新定位前的圖像(方框500)����。這是利用包含在該數(shù)字簽字圖像中的重新定位信息實現(xiàn)的��。具體而言��,對每一偏移進行一次或多次算術(shù)操作����,即���,作為一個實例�,將同該非易失存儲器部件相關(guān)的基地址從在重新定位信息中提到的每一偏移減去��。此后����,在方框510,對再轉(zhuǎn)換的重新定位前的圖像進行散列操作以產(chǎn)生一散列值(稱為再轉(zhuǎn)換散列值)�����。
對該數(shù)字簽字圖像的數(shù)字簽名加以訪問并將該數(shù)字簽名的散列值加以恢復(fù)(方框520)。這一點可以將該數(shù)字簽字圖像通過為解碼目的而裝備有該簽字人的公共密鑰的數(shù)字簽名算法而加以運行實現(xiàn)�。此后,將該恢復(fù)后的散列值同其再轉(zhuǎn)換的散列值進行比較(方框530)�。如果判斷兩者相符,則該重新定位后的圖像得到驗證(方框540)����,不然的話,表明該圖像沒有得到驗證����,該圖象已經(jīng)被修改成超出了重新定位所引起的那種修改范圍(方框550)。
圖6是本發(fā)明的第二展示性實施方案的方框圖�,其中多幅(M)數(shù)字簽字圖像6001-600M通過1個或多個約束和重新定位輸入表(BRITs)動態(tài)鏈接在一起。每一個BRIT僅對應(yīng)一個數(shù)字簽字圖像�。考慮到每一數(shù)字簽字圖像6001-600M可以包括BRIT或者僅有一個分組的數(shù)字簽字圖像6001-600M可以被提供BRIT�。
在該實施方案中,示出了兩幅數(shù)字簽字圖像6001和600M的動態(tài)鏈接�����。其中,數(shù)字簽字圖像6001包括BRIT 6001��,輸入表6201�����,輸出表6301��,基于選擇信息(如軟件模塊)的圖像6401以及數(shù)字簽名6501���。該數(shù)字簽名6501是通過對輸入表6201��,輸出表6301以及圖像6401進行單向散列操作以產(chǎn)生最終散列值發(fā)生的。最終的散列值是由簽名人利用它個人的密鑰數(shù)字簽字的�。
一般而言,輸入表6201儲存信息的列表���,它位于另一數(shù)字簽字圖像之中(如圖像640M),對于圖像6401的正當執(zhí)行需要對它進行訪問。輸入表6201包括多個條目625,輸入表620的至少1個條目(如條目626)包括標識符627和第一偏移628��。該標識符627既可以在電子設(shè)備內(nèi)部發(fā)生也可以經(jīng)集中化機構(gòu)遙控產(chǎn)生�,它表明不包含在該數(shù)字簽字圖像6001內(nèi)的哪個信息段或哪些信息段(如函數(shù)�,例程����,代碼�,數(shù)據(jù)等)是在執(zhí)行期間被圖像6401所要求的�。該標識符627可以被表示為一種字符數(shù)字名字或者被承認的唯一識別號(如一種16字節(jié)的值)所代表���。第一偏移628是一種偏移指針,它指向與條目626相對應(yīng)的BRIT 610的一個條目���。
輸出表630是包含在數(shù)字簽字圖像中的信息列表,它用于其他數(shù)字簽字圖像的恢復(fù)。例如,輸出表630M的條目包括用于包含在圖像640M中的每段信息的標識符635以及第二偏移636。該第二偏移636等效于從該數(shù)字簽字圖像600M的地址位置至數(shù)字簽字圖像6001的圖像6401所要求的信息段的地址位置的偏移。
如圖所示���,該BRIT 6101同該數(shù)字簽字圖像6001相關(guān)聯(lián)����。BRIT 6101的每一條目包括標識符627以及該信息段的位置的地址指針611�。地址指針611是圖像640M的起始地址同第二偏移636的算術(shù)組合�。因此��,在圖像6001的執(zhí)行期間�����,對由標識符627參考的信息段的請求經(jīng)由BRIT至圖像640M中的一個位置進行路徑選擇�,如圖660中的虛線所表示����。這樣就使得在那一位置的信息段可以被訪問而不會對圖像640M產(chǎn)生修改��。因此���,數(shù)字簽名6501和650M仍可以用于監(jiān)測輸入表6201和620M����,輸出表6301和630M和/或圖像6401和640M的修改����。
參照圖7,它是用于發(fā)生圖6所示的第一數(shù)字簽字圖像600的約束和重新定位輸入表(BRIT)的操作流程圖��。最初�,將所有在非易失存儲器部件之中的數(shù)字簽字圖像找出(方框700)。隨后�����,將第一數(shù)字簽字圖像的輸入表找出(方框710)�����。對該輸入表的一個初始條目,確定其標識符并進行搜索以找到另一數(shù)字簽字圖像的輸出表中的一種相匹配的標識符�,也就是說,即除該第一數(shù)字簽字圖像還找到的任何其他數(shù)字簽字圖像(方框700和730)的一種相匹配的標識符�����。
假如沒有找到該匹配的標識符��,將錯誤報告(方框740和750)���。如果,例如����,在第二數(shù)字簽字圖像內(nèi)找到了該匹配的標識符,則將對應(yīng)于該標識符并駐留在第二數(shù)字簽字圖像中的該輸出表中的偏移同該第二數(shù)字簽字圖像的起始地址以算術(shù)方式加以組合(方框740和760)��。將組合后的地址連同與輸入表相關(guān)的標識符放入該BRIT的一個條目(方框770)���。這一過程一直繼續(xù)直至在輸入表中的所有條目在BRIT都具有相對應(yīng)的條目為止(方框780)�。
參照圖8��,它是用于檢驗圖7的約束和重新定位輸入表(BRIT)的操作流程圖。在本實施方案中�,發(fā)生所有數(shù)字簽字圖像的列表(方框800)。對每種數(shù)字簽字圖像�,通過確認它相應(yīng)的輸入表,輸出表以及圖像還沒有被修改來實現(xiàn)對這些數(shù)字簽字圖像完整性的檢驗(方框810)����。例如,對第一數(shù)字簽字圖像��,這可以通過對該第一數(shù)字簽字圖像的輸入表,輸出表以及圖像進行散列操作來實現(xiàn)��。這樣就產(chǎn)生最終的散列值��。將該最終散列值同來自該數(shù)字簽名與該第一數(shù)字簽字圖像相關(guān)聯(lián)的恢復(fù)后的散列值相比較����。假如該最終散列值同恢復(fù)的散列值相符��,則該第一數(shù)字簽字圖像的輸入表����、輸出表以及圖像沒有被修改���。將這一操作對所有余下的數(shù)字圖像加以繼續(xù)��。
如果該數(shù)字簽字圖像的完整性不能得到檢驗,則報告錯誤(方框820)��。否則����,對該第一數(shù)字簽字圖像,判斷在它的輸入表內(nèi)的標識符是否同另一數(shù)字簽字圖像的輸出表中的一標識符相符(方框830)��。假如沒有找到相符�,則報告錯誤(方框820)。假如找到了相符��,判斷對應(yīng)于該輸入表的標識符的BRIT條目是否指向由另一數(shù)字簽字圖像的輸出表的相匹配的標識符所規(guī)定的一個地址(方框840)�����。因為該BRIT僅能指向由包含在一數(shù)字簽字圖像中的輸出表所規(guī)定的一個地址,它僅能指向所信賴的信息��。假如對應(yīng)于輸入表的該標識符的BRIT條目指向由另一數(shù)字簽字圖像的輸出表的相符合的標識符所規(guī)定的一個地址�����,則該BRIT得到檢驗(方框850)�����。否則����,該BRIT沒得到檢驗(方框860)。
盡管對某些示例性實施方案做了說明并示出了相應(yīng)的附圖���,當然這些實施方案只是示范性的���,而不是對本發(fā)明寬廣范圍的限制,并且不應(yīng)當將本發(fā)明限制到所示和所說明的這些特殊的結(jié)構(gòu)和布局�����,因為對本領(lǐng)域內(nèi)的那些技術(shù)人員來說可以做出各種其他的修改��。
權(quán)利要求
1.包含于存儲部件中的數(shù)字簽字圖像,包括重新定位后的圖像���,它是在將圖像裝入存儲部件時由對稱的重新定位功能改變了的一種軟件模塊的圖像����;和基于該圖像的數(shù)字簽名�����。
2.權(quán)利要求1的數(shù)字簽字圖像�,其中數(shù)字簽名是由所選擇的簽名人的個人密鑰數(shù)字簽字圖像的一種散列值。
3.權(quán)利要求1的數(shù)字簽字圖像��,進一步包括由對稱性重新定位功能用于將該圖像轉(zhuǎn)換成重新定位圖像的信息�。
4.權(quán)利要求3的數(shù)字簽字圖像�����,其中該信息包括給軟件模塊的例程的偏移�����。
5.權(quán)利要求4的數(shù)字簽字圖像�����,其中的偏移是在該軟件模塊被編輯時生成的。
6.包含于存儲部件中的數(shù)字簽字圖像��,包括約束和重新定位輸入表(BRIT)�����;輸入表���;輸出表�;軟件模塊圖像��;以及基于該輸入表����、輸出表和圖像的數(shù)字簽名。
7.權(quán)利要求6的數(shù)字簽字圖像�,其中輸入表包括多個條目,每個條目包括一標識符用以表明包含在另一數(shù)字簽字圖像中的哪個信息段是該圖像所需要的����。
8.權(quán)利要求7的數(shù)字簽字圖像,其中標識符包括唯一的字節(jié)值序列�。
9.權(quán)利要求7的數(shù)字簽字圖像����,其中標識符包括字母數(shù)字符號的唯一序列�����。
10.權(quán)利要求7的數(shù)字簽字圖像�����,其中輸入表的每一條目進一步包括對BRIT的相應(yīng)條目的偏移����。
11.權(quán)利要求6的數(shù)字簽字圖像,其中輸出表包括形成包含在圖像中的信息段列表的多個條目���,多個條目的一個所選條目包括同該信息段相關(guān)的信息段的標識符。
12.權(quán)利要求11的數(shù)字簽字圖像�����,其中所選條目進一步包括第二偏移�����,該偏移是從該數(shù)字簽字圖像的起始地址到該信息段的地址位置的偏移。
13.一種方法�,包括將數(shù)字簽字圖像的重新定位后的圖像再轉(zhuǎn)換成重新定位前圖像,該重新定位前圖像是在被對稱性重新定位功能改變之前的軟件模塊圖像���;對再轉(zhuǎn)換的重新定位前圖像進行散列操作以產(chǎn)生再轉(zhuǎn)換散列值����。從包含在該數(shù)字簽字圖像中的數(shù)字簽名恢復(fù)散列值���,該散列值是基于該軟件模塊的圖像���;以及將該散列值同再轉(zhuǎn)換的散列值進行比較。
14.權(quán)利要求13的方法����,進一步包括如果該散列值同再轉(zhuǎn)換的散列值相符,判斷該重新定位后圖像的完整性保持不變����。
15.權(quán)利要求13的方法,進一步包括當該散列值不和再轉(zhuǎn)換的散列值相符時��,判斷該重新定位后圖像已經(jīng)被修改成超出由重新定位所引起的修改范圍���。
16.權(quán)利要求13的方法���,其中散列操作是一種單向散列操作�����。
17.用于在一種電子設(shè)備中生成約束和重新定位輸入表(BRIT)的方法��,包括a)找出裝在電子設(shè)備中的第一數(shù)字簽字圖像的輸入表�,該輸入表的每一條目包括一個標識符和一個第一偏移��;b)訪問在所選第一數(shù)字簽字圖像的條目內(nèi)的標識符��;c)判斷該標識符是否同裝在該電子設(shè)備中的第二數(shù)字簽字圖像的輸出表內(nèi)的標識符相符���,該輸出表的標識符和相應(yīng)的第二偏移一起儲存��;和(d)在判斷所選條目內(nèi)的標識符同輸出表內(nèi)的標識符相符時�����,通過將該第二偏移同第二數(shù)字簽字圖像的起始地址相組合產(chǎn)生一地址,和將該標識符裝入所選條目中和將地址裝入BRIT的條目��。
18.權(quán)利要求17的方法,進一步包括對輸入表的每一余下條目重復(fù)(a)至(d)的操作以便將最終的地址和標識符對裝入BRIT的不同條目�。
19.權(quán)利要求17的方法,其中通過將第二偏移同第二數(shù)字簽字圖像的起始地址相組合以產(chǎn)生地址的過程包括算術(shù)運算���。
20.權(quán)利要求17的方法��,其中在找出第一數(shù)字簽字圖像的輸入表之前����,該方法進一步包括找出裝在該電子設(shè)備中的多個數(shù)字簽字圖像����。
21.一種方法,包括檢驗裝在電子設(shè)備中的多幅數(shù)字簽字圖像的完整性�,該多幅數(shù)字簽字圖像包括一幅第一數(shù)字簽字圖像和一幅第二數(shù)字簽字圖像;判斷在該第一數(shù)字簽字圖像的輸入表中的標識符是否同在該第二數(shù)字簽字圖像的輸出表中的標識符相符����;和判斷與該輸入表內(nèi)標識符相對應(yīng)的約束和重新定位輸入表(BRIT)的條目是否指向由輸出表內(nèi)的標識符所規(guī)定的地址。
22.權(quán)利要求21的方法���,其中檢驗多個數(shù)字簽字圖像的完整性包括對第一數(shù)字簽字圖像的輸入表����、輸出表以及圖像進行散列操作以產(chǎn)生第一最終散列值;從包含在第一數(shù)字簽字圖像中的數(shù)字簽名復(fù)原第一散列值���;和將第一散列值同第一最終散列值進行比較�����。
23.權(quán)利要求22的方法����,其中檢驗多個數(shù)字簽字圖像的完整性����,進一步包括對第二數(shù)字簽字圖像的輸入表、輸出表以及圖像進行散列操作以產(chǎn)生第二最終散列值����;從包含在第二數(shù)字簽字圖像中的數(shù)字簽名復(fù)原第二散列值;和將該第二散列值同第二最終散列值進行比較���。
24.一種電子設(shè)備��,包括處理器�;和與該處理器通信的非易失存儲器部件,該非易失存儲器部件包括重新定位后的圖像����,該圖像是在將圖像裝入該存儲器部件時由對稱性重新定位功能改變后的軟件模塊圖像���,和基于該圖像的數(shù)字簽名�����。
25.權(quán)利要求24的電子設(shè)備�,其中該非易失存儲器部件進一步包括該對稱性重新定位功能用于將圖像轉(zhuǎn)換成重新定位后圖像的信息�����。
26.權(quán)利要求25的電子設(shè)備�,其中置入該非易失存儲器部件之中的信息包括從軟件模塊圖像的起始地址至該軟件模塊內(nèi)的信息段的偏移。
27.一種電子設(shè)備����,包括處理器;和與該處理器通信用的存儲器�,該存儲器裝載有約束和重新定位輸入表(BRIT)、輸入表��、輸出表、軟件模塊圖像���,以及基于該輸入表�、該輸出表和該圖像的數(shù)字簽名����。
28.權(quán)利要求27的電子設(shè)備,其中裝在存儲器內(nèi)的輸入表包括多個條目��,每個條目包括一標識符�,該標識符指明包含在另一數(shù)字簽字圖像中的哪一信息段是該圖像所需要的。
29.權(quán)利要求28的電子設(shè)備����,其中同一具體條目相關(guān)的標識符包括唯一的字節(jié)值序列。
30.權(quán)利要求27的電子設(shè)備����,其中輸出表包括形成包含在該圖像中的信息段的列表的多個條目,該多個條目中的一個被選取的條目包括同該信息段相關(guān)的信息段標識符����。
31.包含于處理器的可讀介質(zhì)中被處理器執(zhí)行的軟件程序,包括第一軟件模塊�,用于將數(shù)字簽字圖像的重新定位后圖像再轉(zhuǎn)換成重新定位前圖像�����,該重新定位前圖像是在由對稱性重新定位功能改變之前的軟件模塊的圖像���;第二軟件模塊�����,用于對再轉(zhuǎn)換的重新定位前的圖像進行散列操作以產(chǎn)生再轉(zhuǎn)換散列值���;第三軟件模塊�,用于從包含在該數(shù)字簽字圖像中的數(shù)字簽名恢復(fù)散列值�����,該散列值是基于該軟件模塊的圖像���;以及第四軟件模塊�,用于將該散列值同再轉(zhuǎn)換后的散列值進行比較��。
32.權(quán)利要求31的軟件程序��,進一步包括第五軟件模塊,用于判斷在散列值與再轉(zhuǎn)換后的散列值相符時該重新定位后圖像的完整性保持不變���。
33.權(quán)利要求31的軟件程序����,進一步包括第6軟件模塊����,用于判斷當該散列值不與再轉(zhuǎn)換的散列值相符時該重新定位后圖像已經(jīng)被修改成超出了由重新定位所引起的任何修改的范圍。
全文摘要
在一種實施方案中�����,將數(shù)字簽字圖像置入諸如非易失存儲器的存儲部件����。該數(shù)字簽字圖像包括重新定位后圖像和數(shù)字簽名。該重新定位后圖像是通過將該圖像裝入該存儲部件由對稱性重新定位功能改變了的軟件模塊圖像���。該數(shù)字簽名基于該圖像���,從而可以用它來分析數(shù)據(jù)的完整性。
文檔編號G06F21/00GK1636176SQ01819302
公開日2005年7月6日 申請日期2001年9月27日 優(yōu)先權(quán)日2000年9月29日
發(fā)明者R·哈勒, A·費斯 申請人:英特爾公司