專利名稱:信息處理裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種信息處理裝置��,該裝置具備多個使用了虛擬化技術(shù)的參與方(stakeholder),基于各參與方之間的依賴關(guān)系進行安全引導(dǎo)(secureboot)處理�。
背景技術(shù):
近年來,隨著信息安全意識的提高����,對數(shù)據(jù)保護技術(shù)的需求不斷增加。在該背景下��,設(shè)立了可信計算組織(TCG =Trusted Computing Group)�,致力于安全 的計算機平臺的開發(fā)和普及。在TCG中���,利用被稱為可信平臺模塊(TPM=Trusted Platform Module)的核心安全模塊實現(xiàn)了安全的終端環(huán)境(參照非專利文獻1 3)�����。TCG的基本 功能包括2個特征性功能�。首先是可信引導(dǎo)(Trusted Boot)功能,該功能對從終端啟動 時刻開始到OS和應(yīng)用程序啟動完成為止的各模塊的完整性信息進行計測����,并將計測值與 其前一個模塊的完整性信息關(guān)聯(lián)起來進行累積處理(與TCG的TPM_EXtend命令相當?shù)?處理),將該累積值保存到TPM內(nèi)被稱為平臺配置寄存器(PCR =Platform Configuration Registers)的寄存器中���。另一個是證明(Attestation)功能��,該功能將PCR中蓄積的值作 為終端環(huán)境信息通知外部的服務(wù)器��,在外部服務(wù)器中驗證該終端環(huán)境信息是否是所期望的 環(huán)境信息����。利用這些功能能夠遠程驗證終端環(huán)境的真實性����,這是TCG技術(shù)的優(yōu)點之一。另外,TCG將移動電話也作為搭載TPM終端的目標,面向移動電話的TPM的技 術(shù)規(guī)格也正在被標準化(非專利文獻3���、4)。面向移動電話的TPM被稱為移動可信模塊 (MTM =Mobile Trusted Module)��。MTM既實現(xiàn)了 TPM的功能����,也面向移動電話對一部分命 令進行了修改,增加了新的命令�����。作為其追加功能����,定義了安全引導(dǎo)功能和多參與方模型 (multi-stakeholder model)0安全引導(dǎo)指的是這樣一種引導(dǎo)方式,該方式一邊進行引導(dǎo)一邊對從移動電話的終 端啟動時刻開始到OS和應(yīng)用程序啟動完成為止的各模塊的完整性信息進行計測���,并在本 地終端內(nèi)驗證計測值是否是所期望的值�����。另外��,多參與方模型指的是為了使設(shè)備制造商���、電信運營商、應(yīng)用服務(wù)提供者����、用 戶等與移動電話終端有關(guān)的多個參與方安全地使用各自所擁有的權(quán)利物而定義的實施 模型�����。作為各參與方的權(quán)利物�����,例如�����,就設(shè)備制造商而言是國際移動設(shè)備識別碼(IMEI: International Mobile Equipmentldentity)���,就電信運營商而言是用戶識別模塊(SIM: Subscriber IdentificationModule),就應(yīng)用服務(wù)提供者而言是用于提供服務(wù)的數(shù)據(jù)�����;就 用戶而言是地址簿等�����。總而言之�����,多參與方模型就是分別單獨地分配各個參與方所使用的 MTM,從而使各參與方安全地使用各自的權(quán)利物的模型�����。使用虛擬化技術(shù)��,能夠在1個終端 內(nèi)虛擬式實現(xiàn)多個MTM�。專利文獻1公開了一種使用虛擬化技術(shù)實現(xiàn)虛擬TPM的技術(shù)����。專利文獻1 日本特表2008-500651號公報非專利文獻 1 :TPM Main, Partl Design Principles, Specification versionl. 2 Level2 Rivisionl03(9 July 2007)
非專利文獻 2:TPM Main, Part2 TPM Structures, Specification versionl. 2 Level2 Revisionl03(9 July 2007)非專利文獻 3:TPM Main Part3 Commands, Specification version 1. 2Level2 Rivisionl03(9 July 2007)非專利文獻4 :TCG Mobile Trusted Module Specification version 1. ORevisionl (12 June 2007)非專利文獻5 :TCG Mobile Reference Architecture Specification versionl. 0 Revisionl (12 June 2007)專利文獻1是 一種使用虛擬化技術(shù)在虛擬機監(jiān)視器上實現(xiàn)虛擬機動作的方法,虛 擬機所使用的TPM被實現(xiàn)為虛擬TPM����。另外使用終端內(nèi)所具備的物理TPM來保護該虛擬TPM 所持的密鑰(鍵、key)或證書等敏感信息��。在該專利文獻1的實施模型中�,從終端啟動時刻 開始到虛擬機監(jiān)視器層的完整性校驗值經(jīng)過關(guān)聯(lián)處理后得到的值被保存到物理TPM的PCR 中。另外��,虛擬機的完整性校驗值經(jīng)過關(guān)聯(lián)處理后得到的值被保存到分配給各個虛擬機的 虛擬TPM的PCR中。這里���,虛擬化技術(shù)是一種能夠使虛擬機宛如一臺真實的機器一樣工作 的技術(shù)��,因此�,TCG中的安全引導(dǎo)處理的完整性校驗值的關(guān)聯(lián)處理封閉在虛擬機內(nèi)執(zhí)行���。即��, 從虛擬機監(jiān)視器到虛擬機啟動為止的完整性的關(guān)聯(lián)在中途就會中斷�����。因此�,存在這樣一個 課題��,即���,即使試圖利用完整性校驗值的確認來驗證終端環(huán)境的真實性��,也無法驗證虛擬機 的下層環(huán)境即虛擬機監(jiān)視器層的環(huán)境的真實性�。另外�����,多參與方模型中定義了使參與方之間帶有依賴關(guān)系的信任模型。信任模型 是指用于具體地實現(xiàn)電信運營商使用設(shè)備制造商的MTM來參照作為設(shè)備制造商的權(quán)利物 的IMEI數(shù)據(jù)等這一類實例的模型����。在這種情況下,電信運營商在信任設(shè)備制造商環(huán)境的基 礎(chǔ)上使用設(shè)備制造商的MTM功能�����。但是��,專利文獻1中存在這樣一個課題�,即�,這是一種以 虛擬機之間沒有信賴關(guān)系為前提的技術(shù),因而無法實施定義了上述信任模型的多參與方模 型�,也無法驗證是否正在以規(guī)定的信任模型進行啟動。
發(fā)明內(nèi)容
因此���,本發(fā)明是為了解決這些課題而提出的���,利用虛擬化技術(shù)實現(xiàn)了在實現(xiàn)了多 參與方模型并保持了多參與方模型中定義的參與方之間的信賴關(guān)系(信任模型)的狀態(tài)下 進行安全引導(dǎo)的方法,還實現(xiàn)了能夠驗證包含虛擬機監(jiān)視器的環(huán)境在內(nèi)的終端真實性的方法�。為了解決上述課題,本發(fā)明的信息處理裝置是一種使多個虛擬機動作的信息處理 裝置,其具備依賴信息保存部�����,針對所述多個虛擬機中的每個虛擬機來保存依賴信息��,該 依賴信息表示所述多個虛擬機各自使用其他虛擬機所具備的1個以上功能之中的某個����,或 者表示所述多個虛擬機各自不使用其他虛擬機的功能;以及虛擬機管理部����,用于管理所述 多個虛擬機的啟動,在應(yīng)啟動的虛擬機的依賴信息表示所述應(yīng)啟動的虛擬機使用其他虛擬 機的功能的情況下�,判斷為所述應(yīng)啟動的虛擬機依賴所述其他虛擬機,在所述應(yīng)啟動的虛 擬機依賴其他虛擬機的情況下�,控制所述多個虛擬機的啟動順序,以便在啟動了所述其他 虛擬機之后再啟動所述應(yīng)啟動的虛擬機�����。發(fā)明效果
本發(fā)明的一個實施方式的信息處理裝置具備上述結(jié)構(gòu)����,因而能夠在多個虛擬機之 中確定使用其他虛擬機的功能的虛擬機��,一定在所述其他虛擬機達到啟動狀態(tài)之后才啟動 所確定的虛擬機�����,從而能夠使所述被確定的虛擬機可靠地使用所述其他虛擬機的功能�����。因 此����,能夠使多個虛擬機在保持預(yù)定的信賴關(guān)系的狀態(tài)下啟動����。
圖1是表示本發(fā)明的實施方式1中的多參與方模型中的信任模型的圖�����。圖2是表示本發(fā)明的實施方式1中的信息處理終端的圖��。圖3是表示本發(fā)明的實施方式1中的虛擬機的結(jié)構(gòu)的圖����。圖4是表示本發(fā)明的實施方式1中的虛擬機監(jiān)視器的結(jié)構(gòu)的圖�����。圖5是表示本發(fā)明的實施方式1中的TPM證書的圖��。圖6是表示利用本發(fā)明的實施方式1中的TPM證書來表達信任模型的圖����。圖7是表示本發(fā)明的實施方式1中的模塊證書的圖。圖8是基于本發(fā)明的實施方式1中的信任模型的安全引導(dǎo)的流程9是本發(fā)明的實施方式1中的PCR的初始值設(shè)定的流程10是本發(fā)明的實施方式1中的安全引導(dǎo)詳細流程11是表示本發(fā)明的實施方式2中的證明模型的圖���。圖12是本發(fā)明的實施方式2中的證明模型的序列圖�����。圖13是表示本發(fā)明的實施方式3中的信息處理終端的結(jié)構(gòu)的圖�����。附圖標記說明101���、102�����、111�����、112���、121、122 參與方103���、104��、113�、114�����、123 TPM10�、1000����、1200 信息處理終端11、1280 CPU12����、1281 I/O 設(shè)備13、1282 易失性存儲器14��、1283 非易失性存儲器20����、30、1010����、1020���、1210、1220 虛擬機21�����、31���、1211�、1222 虛擬 TPM 接口22���、32�����、1212�����、1223 虛擬設(shè)備驅(qū)動器25���、35 應(yīng)用程序24,34 Guest OS (客機操作系統(tǒng))23,33 OS 加載器(OS loader)40�、1030�、1203 虛擬機監(jiān)視器41,1260 設(shè)備驅(qū)動器42�����、1250 TPM 接口50��、1033�、1202 虛擬 TPM 控制部60、70�����、1230���、1240 虛擬 TBB61�����、71�、1231��、1241 虛擬計測驗證部
62�、72、1031、1032����、1232、1242 虛擬 TPM80����、1270 TBB81、1271 計測驗證部82��、1040���、1272 TPM63����、73����、83 PCR410 信任模型管理部411 TPM 證書412,413 虛擬 TPM 證書420 引導(dǎo)控制部421 模塊證書保存部422 PCR初始值設(shè)定部423 引導(dǎo)控制部501 證書版本502 序列號503、703 簽名算法504 頒發(fā)者信息505 有效期間506 主體507 公開密鑰信息508 TPM 版本509 信任模型識別信息510 依賴TPM證書識別信息511 依賴 TPM-PCR 號碼512 擴展區(qū)域513,708 簽名數(shù)據(jù)701 模塊識別信息702 模塊版本信息704 認證完整性校驗值705 認證 PCR 值706 PCR 索弓 I707 驗證密鑰識別信息2000 服務(wù)提供服務(wù)器3000 網(wǎng)絡(luò)2001 AIK證書數(shù)據(jù)庫2002 認正PCR數(shù)據(jù)庫2003 信任模型管理數(shù)據(jù)庫1011�、1021 通知部1021 管理機
1204 虛擬TPM控制通知部
具體實施例方式技術(shù)方案1所述的實施方式中的信息處理裝置是一種實現(xiàn)多個虛擬機動作的信 息處理裝置,其具備依賴信息保存部�����,針對所述多個虛擬機中的每個虛擬機來保存依賴信 息,該依賴信息表示所述多個虛擬機各自使用其他虛擬機所具備的1個以上功能之中的某 個�,或者表示所述多個虛擬機各自不使用其他虛擬機的功能;以及虛擬機管理部����,用于管理 所述多個虛擬機的啟動����,在應(yīng)啟動的虛擬機的依賴信息表示所述應(yīng)啟動的虛擬機使用其他 虛擬機的功能的情況下,判斷為所述應(yīng)啟動的虛擬機依賴所述其他虛擬機����,在所述應(yīng)啟動 的虛擬機依賴其他虛擬機的情況下,控制所述多個虛擬機的啟動順序��,以便在啟動了所述 其他虛擬機之后再啟動所述應(yīng)啟動的虛擬機 ����。另外也可以是,所述信息處理裝置還具備多個狀態(tài)保存部�����,該多個狀態(tài)保存部與 所述多個虛擬機分別對應(yīng)����,分別保存在所述多個虛擬機各自具有的功能的完整性驗證中所 使用的驗證信息�;在所述應(yīng)啟動的虛擬機依賴其他虛擬機的情況下���,所述虛擬機管理部從 所述其他虛擬機的狀態(tài)保存部讀出所述應(yīng)啟動的虛擬機所使用的功能的驗證信息����,并反映 到所述應(yīng)啟動的虛擬機的狀態(tài)保存部中�����。根據(jù)這種結(jié)構(gòu)�,能夠使多個虛擬機各自在繼承了具有所述驗證信息的相關(guān)功能的 其他虛擬機的完整性的狀態(tài)下啟動并工作。因此�����,能夠在保持了虛擬機之間的信賴關(guān)系的 狀態(tài)下使用驗證信息進行驗證��。由此��,能夠驗證虛擬機是否是在保持了預(yù)定的信賴關(guān)系的 狀態(tài)下啟動的����,可以實現(xiàn)在保持了信賴關(guān)系的狀態(tài)下的安全引導(dǎo)��。另外也可以是���,所述多個狀態(tài)保存部分別具有多個記錄區(qū)域,針對與所述多個狀 態(tài)保存部分別對應(yīng)的虛擬機����,將在所述虛擬機所具有的1個以上功能的完整性驗證中使用 的驗證信息保存到所述多個記錄區(qū)域的某個中�����;在所述應(yīng)啟動的虛擬機的依賴信息表示使 用所述其他虛擬機所具有的1個以上功能之中的一部分功能的情況下���,所述虛擬機管理部 將所述其他虛擬機的狀態(tài)保存部中保存的驗證信息之中被記錄在與所述應(yīng)啟動的虛擬機 所使用的功能相對應(yīng)的記錄區(qū)域內(nèi)的驗證信息反映到所述應(yīng)啟動的虛擬機的狀態(tài)保存部 中�����,與所述應(yīng)啟動的虛擬機所使用的功能不對應(yīng)的記錄區(qū)域內(nèi)的驗證信息不反映到所述應(yīng) 啟動的虛擬機的狀態(tài)保存部����。根據(jù)這種結(jié)構(gòu)����,在使用其他虛擬機所具有的1個以上功能之中的一部分功能的情 況下���,僅繼承與使用的功能相對應(yīng)的驗證信息。因此�,針對應(yīng)啟動的虛擬機的功能之中使用 其他虛擬機的功能的功能,將該其他虛擬機的功能包含在內(nèi)進行真實性驗證�����,而針對不使 用其他虛擬機的功能的功能��,則僅對應(yīng)啟動的虛擬機進行真實性驗證就可以結(jié)束��。由此����,能 夠在各功能的驗證中適當?shù)胤从程摂M機之間的信賴關(guān)系。另外也可以是�����,所述信息處理裝置還具備與所述多個虛擬機分別對應(yīng)的多個防篡 改模塊���,所述多個狀態(tài)保存部分別被包含在所述多個防篡改模塊中的各防篡改模塊中���,所 述多個虛擬機各自所具有的功能通過與所述多個虛擬機分別對應(yīng)的防篡改模塊來實現(xiàn)����。根據(jù)這種結(jié)構(gòu)��,驗證信息在虛擬機之間傳遞時不會被篡改���,能夠在無篡改的狀態(tài) 下實施功能����。另外也可以是�����,所述多個虛擬機分別與多個參與方相對應(yīng)��,所述多個參與方分別 與以下某一個參與方模型相對應(yīng)�����,包括第1參與方模型����,僅使用與各參與方對應(yīng)的虛擬機所具有的功能;第2參與方模型��,使用其他虛擬機所具有的功能中的一部分功能��;以及第3 參與方模型���,使用其他虛擬機所具有的全部功能��;所述依賴信息表示所述依賴信息所對應(yīng) 的虛擬機的參與方模型是所述第1參與方模型、所述第2參與方模型和所述第3參與方模 型之中的某一個;所述虛擬機管理部基于所述依賴信息來判斷所述應(yīng)啟動的虛擬機的參與 方模型�����。另外也可以是,所述依賴信息包含表示具有與所述依賴信息相對應(yīng)的虛擬機所 使用的功能的其他虛擬機的信息;以及表示記錄區(qū)域的信息����,該記錄區(qū)域保存有與所述依 賴信息相對應(yīng)的虛擬機所使用的功能的驗證信息���。另外也 可以是����,當所述應(yīng)啟動的虛擬機的依賴信息表示出保存有所述應(yīng)啟動的虛 擬機所使用的功能的驗證信息的記錄區(qū)域是其他虛擬機的記錄區(qū)域的一部分的情況下����,所 述虛擬機管理部將所述應(yīng)啟動的虛擬機的參與方模型判斷為第2參與方模型���。另外也可以是,當所述應(yīng)啟動的虛擬機的依賴信息表示出保存有所述應(yīng)啟動的虛 擬機所使用的功能的驗證信息的記錄區(qū)域是其他虛擬機的整個記錄區(qū)域的情況下�,所述虛 擬機管理部將所述應(yīng)啟動的虛擬機的參與方模型判斷為第3參與方模型。根據(jù)這種結(jié)構(gòu)��,能夠正確地確定虛擬機的參與方模型���,并基于所確定的參與方模 型啟動所述虛擬機���。另外也可以是,所述虛擬機所具有的功能通過1個以上模塊來實現(xiàn)���,所述多個狀 態(tài)保存部分別針對自身所對應(yīng)的虛擬機所具有的功能�����,每當實現(xiàn)所述功能的模塊啟動時�����, 將表示所述啟動的模塊的信息累積到所述多個狀態(tài)保存部分別保存的驗證信息中�,由此更 新所述驗證信息;所述虛擬機管理部將所述應(yīng)啟動的虛擬機所使用的功能的驗證信息作為 所述驗證信息的初始值保存到所述應(yīng)啟動的虛擬機的狀態(tài)保存部中����,由此將所述應(yīng)啟動的 虛擬機所使用的功能的驗證信息反映到所述應(yīng)啟動的虛擬機的狀態(tài)保存部中。根據(jù)這種結(jié)構(gòu)��,各虛擬機能夠在生成本虛擬機的驗證信息時分別繼承其他虛擬機 的驗證信息作為初始值�,由此,能夠生成可保證其他虛擬機的完整性的本虛擬機的驗證信 肩���、ο另外也可以是�,所述信息處理裝置在所述多個虛擬機按照由所述虛擬機管理部控 制的順序完成啟動后����,基于所述多個狀態(tài)保存部中所保存的驗證信息對所述信息處理裝置 整體的完整性進行驗證。根據(jù)這種結(jié)構(gòu)�,在使用虛擬機的結(jié)構(gòu)中,能夠確認整個裝置的完整性����。另外也可以是�,所述信息處理裝置還具備用于接收來自外部服務(wù)器的認證請求的 接收部,一旦接收到所述認證請求,就在所述多個虛擬機按照由所述虛擬機管理部控制的 順序完成啟動后����,將保存在所述多個狀態(tài)保存部中的驗證信息發(fā)送到所述外部服務(wù)器。根據(jù)這種結(jié)構(gòu)�,在提供服務(wù)的服務(wù)器裝置一端,能夠?qū)π畔⑻幚硌b置內(nèi)的完整性 進行驗證����。另外也可以是,所述信息處理裝置還具備管理狀態(tài)保存部��,該管理狀態(tài)保存部針 對所述虛擬機管理部�����,保存在所述虛擬機管理部所具有的1個以上功能的完整性驗證中使 用的驗證信息�����;所述依賴信息還包含管理依賴信息����,該管理依賴信息針對所述多個虛擬機 的每個虛擬機�,表示所述多個虛擬機各自使用所述虛擬機管理部所具有的功能之中的某 個�,或者表示所述多個虛擬機各自不使用所述虛擬機管理部的功能;如果在啟動所述多個虛擬機的某個時應(yīng)啟動的虛擬機的依賴信息顯示所述應(yīng)啟動的虛擬機使用虛擬機管理部 的功能中的某個�,則所述虛擬機管理部還從所述虛擬機管理部的管理狀態(tài)保存部中讀出所 述應(yīng)啟動的虛擬機使用的功能的驗證信息�����,并反映到所述應(yīng)啟動的虛擬機的狀態(tài)保存部���。根據(jù)這種結(jié)構(gòu),能夠在繼承了與各虛擬機的依賴信息所顯示的其他虛擬機或虛擬 機管理部的功能相關(guān)的完整性的狀態(tài)下啟動多個虛擬機的每一個并使其工作���。因此�����,可以 將虛擬機監(jiān)視器(虛擬機管理部)的環(huán)境也包含在內(nèi)����,對終端的真實性進行驗證����。技術(shù)方案13所述的方式中的移動終端是使多個虛擬機動作的移動終端,其具備 依賴信息保存部��,針對所述多個虛擬機中的每個虛擬機來保存依賴信息,該依賴信息表示 所述多個虛擬機各自使用其他虛擬機所具備的1個以上功能之中的某個�����,或者表示所述多 個虛擬機各自不使用其他虛擬機的功能�;以及虛擬機管理部,用于管理所述多個虛擬機的 啟動��,在應(yīng)啟動的虛擬機的依賴信息表示所述應(yīng)啟動的虛擬機使用其他虛擬機的功能的情 況下�,判斷為所述應(yīng)啟動的虛擬機依賴所述其他虛擬機,在所述應(yīng)啟動的虛擬機依賴其他 虛擬機的情況下��,控制所述多個虛擬機的啟動順序�,以便在啟動了所述其他虛擬機之后再 啟動所述應(yīng)啟動的虛擬機。技術(shù)方案14所述的方式中的控制方法是使多個虛擬機動作的信息處理裝置的控 制方法��,所述信息處理裝置具備依賴信息保存部����,該依賴信息保存部針對所述多個虛擬機 中的每個虛擬機來保存依賴信息,該依賴信息表示所述多個虛擬機各自使用其他虛擬機所 具備的1個以上功能之中的某個����,或者表示所述多個虛擬機各自不使用其他虛擬機的功 能;所述控制方法包含判斷步驟�����,該步驟在應(yīng)啟動的虛擬機的依賴信息表示出所述應(yīng)啟 動的虛擬機使用其他虛擬機的功能的情況下,判斷為所述應(yīng)啟動的虛擬機依賴所述其他虛 擬機����;以及控制步驟�,該步驟管理所述多個虛擬機的啟動,在所述應(yīng)啟動的虛擬機依賴其他 虛擬機的情況下����,控制所述多個虛擬機的啟動順序,以便在啟動了所述其他虛擬機之后再 啟動所述應(yīng)啟動的虛擬機�����。技術(shù)方案15所述的方式中的記錄介質(zhì)是記錄著使多個虛擬機動作的信息處理裝 置的控制程序的記錄介質(zhì)�����,所述信息處理裝置具備依賴信息保存部�����,該依賴信息保存部針 對所述多個虛擬機中的每個虛擬機來保存依賴信息����,該依賴信息表示所述多個虛擬機各自 使用其他虛擬機所具備的1個以上功能之中的某個�����,或者表示所述多個虛擬機各自不使用 其他虛擬機的功能��;所述控制程序包含判斷步驟����,該步驟在應(yīng)啟動的虛擬機的依賴信息 表示出所述應(yīng)啟動的虛擬機使用其他虛擬機的功能的情況下����,判斷為所述應(yīng)啟動的虛擬機 依賴所述其他虛擬機;以及控制步驟�,該步驟管理所述多個虛擬機的啟動,在所述應(yīng)啟動的 虛擬機依賴其他虛擬機的情況下����,控制所述多個虛擬機的啟動順序,以便在啟動了所述其 他虛擬機之后再啟動所述應(yīng)啟動的虛擬機�����。技術(shù)方案16所述的方式中的集成電路對使多個虛擬機動作的信息處理裝置進行 控制,所述信息處理裝置具備依賴信息保存部����,該依賴信息保存部針對所述多個虛擬機中 的每個虛擬機來保存依賴信息,該依賴信息表示所述多個虛擬機各自使用其他虛擬機所具 備的1個以上功能之中的某個��,或者表示所述多個虛擬機各自不使用其他虛擬機的功能��; 所述集成電路管理所述多個虛擬機的啟動��,在應(yīng)啟動的虛擬機的依賴信息表示出所述應(yīng)啟 動的虛擬機使用其他虛擬機的功能的情況下�,判斷為所述應(yīng)啟動的虛擬機依賴所述其他虛 擬機�;在所述應(yīng)啟動的虛擬機依賴其他虛擬機的情況下,控制所述多個虛擬機的啟動順序����,
11以便在啟動了所述其他虛擬機之后再啟動所述應(yīng)啟動的虛擬機。根據(jù)這種結(jié)構(gòu)��,能夠在多個虛擬機之中確定使用其他虛擬機的功能的虛擬機�����,一 定在所述其他虛擬機達到啟動狀態(tài)之后才啟動所確定的虛擬機����,從而能夠使所述被確定的 虛擬機可靠地使用所述其他虛擬機的功能��。下面�,參照
本發(fā)明的實施方式����。(實施方式1)說明本發(fā)明的實施方式。以后���,本實施方式中所示的TPM作為具有由TCG標準化 的可信平臺模塊的功能的核心安全模塊進行說明�����。<多參與方模型中的信任模型>首先�����,針對多參與方模型以移動電話為例進行說明���。移動電話涉及到設(shè)備制造 商、電信運營商��、應(yīng)用服務(wù)提供者���、用戶等多個參與方�����。各參與方擁有各自的權(quán)利物���。例 如��,就設(shè)備制造商而言是國際移動設(shè)備識別碼(IMEI international Mobile Equipment Identity)����,就電信運營商而言是用戶識別模塊(SIM Subscriber Identification Module)�,就應(yīng)用服務(wù)提供者而言是服務(wù)被提供的數(shù)據(jù)�;就用戶而言是地址簿等。多參與方 模型指的是分別單獨地分配各個參與方所使用的TPM從而使各參與方安全地使用各自的 權(quán)利物的模型����。圖1是表示多參與方模型中的信任模型的圖。信任模型被定義為3個模型����。另外,雖然圖1中并未示出�����,但各參與方分別管理各 自的參與方權(quán)利物,利用與各參與方相關(guān)聯(lián)的TPM��,安全地訪問參與方所擁有的權(quán)利物�。下 面分別說明3個模型。圖1 (a)表示的是Ind印endent Model (獨立模型)����。該模型是各參與方之間不存 在信任依賴關(guān)系的模型。例如�����,這是一種參與方1(101)使用TPMl (103)而參與方2 (102) 使用TPM2(104)的模型�。圖1 (b)表示的是Interd印endent Model (相互依賴模型)。該模型是參與方之 間存在部分依賴關(guān)系的模型�����。例如����,參與方1(111)使用TPMl (113)而參與方2(112)使用 TPM2(114)。雖然這與Ind印endent Model相同��,但如圖1 (b)所示,其中存在局部區(qū)域重合 的部分�。這表明,參與方2(112)除了使用TPM2(114)以外�����,也使用TPMl (113)的功能����。例 如,如果是移動電話�����,在參與方2(112)是電信運營商而參與方1(111)是設(shè)備制造商的情況 下���,電信運營商需要訪問設(shè)備制造商的權(quán)利物即IMEI�����。圖1 (c)表示的是D印endent Model (依賴模型)。該模型是在參與方之間某個參與 方完全依賴別的參與方的模型����。這是一種參與方1(121)使用TPMl (123)而參與方2 (122) 也使用TPM2(123)的模型�����。如果是移動電話�����,在參與方2是電信運營商而參與方1是設(shè)備 制造商的情況下�,設(shè)備制造商的權(quán)利物即IMEI被TPMl (123)的功能保護���,電信運營商的權(quán) 利物SIM信息也利用TPMl (123)的功能而加以安全保護����?��!葱畔⑻幚斫K端〉圖2是在利用虛擬化技術(shù)實現(xiàn)了多參與方模型的情況下的信息處理終端的整體 結(jié)構(gòu)圖����。信息處理終端10由CPUl 1�����、1/0設(shè)備12�、RAM等易失性存儲器13���、ROM或閃存等非 易失性存儲器14等硬件組以及包含TPM(82)的可信構(gòu)建模塊80 (以后簡稱為TBB)、包含虛擬TPM控制部50和虛擬可信構(gòu)建模塊(60��、70)(以后簡稱為虛擬TBB)等的虛擬機監(jiān)視器 40和虛擬機(20��、30)的軟件組構(gòu)成�����。虛擬機(20����、30)或虛擬機監(jiān)視器40等的軟件是通過 CPUll對存儲在非易失性存儲器或非易失性存儲器中的程序加以執(zhí)行而實現(xiàn)的。另外�����,圖 1中表示的是TPM(82)不包含在硬件組中的結(jié)構(gòu)��,毋庸贅言�����,TPM(82)也可以包含在硬件組 中���。另外�,如果信息處理終端10具備安全的執(zhí)行環(huán)境��,那么也可以利用軟件實現(xiàn)TPM(82)���。 在本實施方式1中�����,將TPM(82)當做硬件進行說明��。TBB80由TPM82和計測驗證部81構(gòu)成�����。TPM80是具有由TCG標準化的可信平臺 模塊的功能的安全模塊����。計測驗證部81是TCG中的可信測量根(RTM:Root of Trust for Measurement)和可信驗證根(RTV =Root ofTrust for Verification)����,是安全引導(dǎo)處理過 程中最先啟動的模塊。如果終端本身不支持安全引導(dǎo)而僅支持可信引導(dǎo)��,則不存在RTV,也 可以是可信測量核心根(CRTM :Core Root of Trust for Measurement)���。計測驗證部81被 包含在存儲有圖2中未示出的初始程序加裁程序(IPL =Initial ProgramLoader)等的引導(dǎo) ROM中�。進而���,這里所說的引導(dǎo)ROM優(yōu)選是不可改寫的安全的ROM�����。虛擬機監(jiān)視器40包含虛擬TPM控制部50����、虛擬TBB(60���、70)��、設(shè)備驅(qū)動器41����、TPM 接口 42����,是用于提供用來使虛擬機(20���、30)工作的基礎(chǔ)設(shè)施的軟件�。虛擬TBBl (60)是虛擬機1 (20)所使用的可信構(gòu)建模塊,包含虛擬計測驗證部(61) 和虛擬TPM1(62)�����。虛擬TBB1(60)是以虛擬方式實現(xiàn)了與TBB80同等功能的部件����,虛擬 TPMl (62)是以虛擬方式實現(xiàn)了與TPM82同等功能的部件,虛擬計測驗證部61是以虛擬方式 實現(xiàn)了與計測驗證部81同等功能的部件���。這里所說的以虛擬方式實現(xiàn)指的是通過軟件實 現(xiàn)�。虛擬TBB2(70)是供虛擬機2 (30)使用的可信構(gòu)建模塊�����。虛擬TBB2 (70)以及構(gòu)成 虛擬TBB2(70)的虛擬計測驗證部71����、虛擬TPM2(72)具有與上述虛擬TBBl (60)同等的功 能,因此省略其說明。虛擬TPM控制部50是所謂的虛擬TPM管理部件��,其將虛擬機(20�、30)經(jīng)由虛擬 TPM接口(21、22)發(fā)出的TPM命令分配給適當?shù)奶摂MTPM(62�����、72)加以執(zhí)行���,并將虛擬TPM 的處理結(jié)果返回給適當?shù)奶摂M機(20����、30)�����。TPM接口(42)是用于訪問TPM(82)的接口�,例如,是TCG的軟件協(xié)議棧即可信軟件 找(TSS Trusted Software Stack)0設(shè)備驅(qū)動器41是用于訪問硬件組中的1/0設(shè)備等硬件的驅(qū)動軟件��。虛擬機1 (20)����、虛擬機2 (30)是在虛擬機監(jiān)視器40上運行的虛擬機�,1個虛擬機作 為1個參與方環(huán)境而運行���。使用圖3詳細說明虛擬機1����、虛擬機2�����?��!刺摂M機〉如上所述,虛擬機1 (20)作為1個參與方而運行���,其結(jié)構(gòu)包含OS加載器1 (20)�����、 Guest OSl (24)�����、應(yīng)用程序1(25)����、虛擬TPM接口(21)。虛擬TPM接口(21)是用于訪問虛擬 TPM(62)的接口����,是TCG中的TSS接口。TSS的實體未作圖示說明���,假定其安裝在虛擬機監(jiān) 視器40上��。虛擬機1 (20)在虛擬機監(jiān)視器(40)啟動后被啟動����。虛擬機的啟動順序是0S加 載器1 (23) ,Guest OSl (24)�����、應(yīng)用程序1 (25)���。虛擬機1 (20)在虛擬機1 (30)啟動時一邊經(jīng) 由虛擬TPM接口 21使用虛擬TPMl (62)的功能一邊進行引導(dǎo)����。
虛擬機2(20)也在虛擬機監(jiān)視器(40)啟動后被啟動�����。虛擬機的啟動順序是0S加 載器2(33)、Guest 0S2 (34)����、應(yīng)用程序1 (35)。虛擬機2 (30)在虛擬機2 (30)啟動時一邊經(jīng) 由虛擬TPM接口 31使用虛擬TPM2 (72)的功能一邊進行引導(dǎo)�����。引導(dǎo)序列的詳細內(nèi)容將在后 文使用圖8�����、圖9進行敘述����?����!刺摂M機監(jiān)視器〉下面使用圖4說明虛擬機監(jiān)視器的詳細情況�����。以下僅對在圖2的說明中未作說明 的結(jié)構(gòu)要素進行說明。虛擬TPM控制部40由信任模型管理部410和引導(dǎo)控制部420構(gòu)成�����。信任模型管理部410管理圖1中所說明的多參與方模型中的信任模型��。具體而言�����, 其利用將在后文使用圖5進行敘述的TPM證書來表達圖1的3個信任模型�����,并對這些TPM證 書(411�、412、413)進行管理�����。TPM證書(411�����、412���、413)是賦予各TPM的證書�,在本實施方式 1中,TPM82被賦予TPM證書411�,虛擬TPMl (62)被賦予虛擬TPMl證書412,虛擬TPM2 (72) 被賦予虛擬TPM2證書413����。引導(dǎo)控制部420由模塊證書保存部421、引導(dǎo)驗證部423和PCR初始值設(shè)定部422 構(gòu)成�。模塊證書保存部421中保存模塊證書,該模塊證書用于在各虛擬機的安全引導(dǎo)序 列(secure boot sequence)過程中驗證應(yīng)啟動的模塊是否是以未經(jīng)篡改的方式被引導(dǎo)的����。 模塊證書是包含認證用完整性校驗值和認證用完整性信息的證書,相當于TCG中的參照完 整性度量(RIM =ReferenceIntegrity Metrics)證書��。在后文將使用圖7對模塊證書進行 敘述�。1 11(82)��、虛擬1 11(62���、63)分別具備16個�����?0 ��。PCR是被稱為平臺配置寄存器的 寄存器��,用于保存由TCG的TPM_EXtend命令生成的完整性校驗值�。另外,PCR的個數(shù)并不 限于16個���,也可以多于或少于16個��。此外�,在本實施方式中���,假定具備大于等于TCG的標 準所決定的個數(shù)的PCR����。PCR初始值設(shè)定部422基于由信任模型管理部410管理的TPM證書或虛擬TPM證 書����,設(shè)定虛擬機各自使用的TPM的PCR83、虛擬TPM的PCR (63��、73)的初始值���。引導(dǎo)驗證部423基于由信任模型管理部410管理的TPM證書或虛擬TPM證書��,在 各虛擬機啟動前驗證其是否保持了基于信任模型的信賴關(guān)系而啟動�����?!炊x了信任模型的TPM證書>接著,使用圖5說明定義了信任模型的TPM證書�。假定TPM證書411、虛擬TPMl證 書412���、虛擬TPM2證書413的格式都相同��。具體而言�����,使用X. 509標準的格式。TPM證書由 以下部分構(gòu)成證書版本501��,表示X. 509標準的版本�;序列號502,其是由頒發(fā)者分配的具 有唯一性的值�;簽名算法信息503��,表示證書的簽名驗證過程中使用的簽名算法�;頒發(fā)者信 息504 �����;證書有效期間505 ���;主體506�����,表示接受證書的對象��;公開密鑰信息507�,表示密鑰值 和/或公開密鑰算法�;TPM版本508 ;信任模型識別信息509��、依賴TPM證書識別信息510和 依賴TPM-PCR號碼511 �;擴展區(qū)域512 ;以及這些數(shù)據(jù)的簽名數(shù)據(jù)513��。擴展區(qū)域512中既可以記載CRL或IS090000等制造流程或EAL等通用評估準則 (Common Criteria)之類的安全性關(guān)聯(lián)信息,也可以記載功能控制的條件和功能控制的內(nèi) 容��。
14
在本實施方式中�����,為了定義信任模型而在證書中包含信任模型識別信息509�、依賴 TPM證書識別信息510和依賴TPM-PCR號碼511。下面詳細說明這些結(jié)構(gòu)��。信任模型識別信息509中記載用于識別3個信任模型即IncbpendentMode 1����、 Interdependent Model、Dependent Model 的信息�。依賴TPM證書識別信息510保存有指向信任模型中存在信賴關(guān)系的TPM證書的指
針fe息。依賴TPM-PCR號碼511表示的是基于信任模型而在啟動完成后的環(huán)境中的TPM或 虛擬TPM存在信任依賴關(guān)系的PCR號碼���。在本實施方式中�,各TPM或虛擬TPM將依賴TPM證書識別信息510所指示的TPM 或虛擬TPM所具有的PCR之中由依賴TPM-PCR號碼511所指示的PCR的值設(shè)定為自身的 PCR的初始值�,在此基礎(chǔ)上進行安全引導(dǎo)。這里���,考慮某個虛擬機B依賴另一個虛擬機A的 情形,即必須在虛擬機A啟動之后才能啟動虛擬機B的模型。在這種情況下���,如果僅確認虛 擬機B已經(jīng)正常啟動�����,并不能確定虛擬機B是在虛擬機A正常啟動之后才啟動的����。因此���,如 下所示�����,必須在虛擬機B的驗證值中繼承使用虛擬機A的驗證值(PCR值)���。這可以通過將 虛擬機A模塊啟動完成之后的PCR值代入虛擬機B的TPM的PCR作為其初始值而實現(xiàn)。虛 擬機B的PCR值也可以繼承虛擬機A的PCR值�。在安全引導(dǎo)中的PCR累積處理過程中,每 當各模塊啟動時���,計算出反映了當前PCR中保存的值和根據(jù)該模塊計算出來的完整性校驗 值的數(shù)值��,作為新的PCR值保存到PCR中��。因此�����,只要將虛擬機A的PCR值設(shè)定為初始值�, 就能夠?qū)⑻摂M機A的PCR值反映到虛擬機B的PCR值中。此外���,在虛擬機監(jiān)視器和虛擬機 之間繼承PCR值時也同樣如此��。如前所述�����,各TPM具有多個PCR�����。這里�,各PCR分別保存不同模塊的PCR值�。這里, 各虛擬機根據(jù)信任模型使用自身所依賴的虛擬機或虛擬機監(jiān)視器的不同功能����。因此���,各虛 擬機的信任模型不同�,其要繼承的PCR值就不同。首先�,在Ind印endent Model的情況下,虛擬機僅依賴虛擬機監(jiān)視器�。因此,其繼 承虛擬機監(jiān)視器的環(huán)境信息即保存有完整性信息的PCR值�����。在本實施方式1中�,假定虛擬 機監(jiān)視器的環(huán)境信息被保存在PCRO至PCR2中,下面使用圖6至圖8進行說明�����。另外���,在Intercbpendent Model的情況下����,虛擬機僅使用自身所依賴的虛擬機中 的一部分功能。因此����,只要繼承與該功能相關(guān)的PCR值即可。另外���,在D印endent Model的情況下�����,虛擬機使用自身所依賴的虛擬機的全部功 能�����。因此���,必須繼承與全部功能相關(guān)的PCR值,所以必須繼承全部PCR值����。在本實施方式中,為了實現(xiàn)這種控制�����,使用被包含在TPM證書中的信任模型信息 識別信息509、依賴TPM證書識別信息510�����、依賴TPM-PCR號碼511��。關(guān)于這些信息的使用方 法����,將使用圖6至圖8進行具體說明��。此外�,這里所說明的TPM證書是公開密鑰證書,但并不限于公開密鑰證書�,也可 以是屬性證書。如果是公開密鑰證書�����,那么也可以將信任模型表達為TCG中的簽注密鑰 (EK indorsement Key)證書�����;如果是屬性證書�����,那么也可以將信任模型表達為TCG中的 Platform 證書。此外�����,證書格式采用了 X. 509標準進行說明���,但并不限于此�����。證書只要包含必要的 信息即可����,也可以使用其他格式���。
15
<表達信任模型的TPM證書的實例>圖6是表達信任模型的TPM證書的具體實例���。此外,在本實施方式1中假定虛擬機監(jiān)視器啟動時計測得到的累積完整性校驗 值被記錄在TPM82的PCR83中�����,虛擬機1 (20)啟動時計測得到的累積完整性校驗值被記錄 在虛擬TPMl (62)的?0 63中����,虛擬機2(30)啟動時計測得到的累積完整性校驗值被記錄在 虛擬TPM2 (72)的PCR73中。另外��,將TPM證書的識別信息表示為“CERT000”���、虛擬TPMl證 書的識別信息表示為“CERT001”�、虛擬TPM2證書的識別信息表示為“CERT002”進行說明�。 圖6的TPM證書僅對與信任模型相關(guān)的信息進行了圖示說明�,實際上各TPM證書具有圖5 所說明的格式。IH 6 (a) Mi Independent Model 的具體實例���。在該實例中��,將表示 Inckpendent Model的信任模型識別信息表示為“001”����。另外�,該實例表示出CERT001對CERT000存在信 任依賴關(guān)系、CERT002也對CERT000存在信任依賴關(guān)系�。這表示�,虛擬機1信任虛擬機監(jiān)視 器��,虛擬機2也信任虛擬機監(jiān)視器�����。換句話說�����,這表示必須在虛擬機監(jiān)視器啟動后虛擬機1���、 虛擬機2才能啟動��。在該實例中��,CERTOO1的依賴TPM證書識別信息510是“CERT000”�����,依賴 TPM-PCR號碼511是“PCR
”���。這表示,與CERTOO1對應(yīng)的虛擬TPMl對與CERT000對應(yīng) 的TPM存在依賴關(guān)系,在虛擬機1啟動之前��,虛擬TPMl的PCR
�、PCR[1]、PCR[2]的初始值 被設(shè)定為TPM的PCR
�、PCR[1]、PCR[2]�。同樣地,CERT002的各字段的值表示��,與CERT002 對應(yīng)的虛擬TPM2對與CERT000對應(yīng)的TPM存在依賴關(guān)系����,在虛擬機1啟動之前,虛擬TPMl 的 PCR
����、PCR[1]�����、PCR[2]的初始值被設(shè)定為 TPM 的 PCR
�、PCR[1]、PCR[2]�����。另外,在該 實例中表示的是�����,CERTOO1和CERT002的信任模型識別信息511是“001”�����,虛擬機1和虛擬 機2都按照Incbpendent Model動作�����。圖6(b)是Interdependent Model的具體實例��。其中��,該實例說明的是圖1 (b)的 模型中的參與方1和參與方2重疊部分的模塊(即被參與方2使用的參與方1的模塊)的 完整性校驗值關(guān)聯(lián)后的值被記錄在TPMl的PCR [7]中��。在該實例中����,將表示Intercbpendent Model的信任模型識別信息表示為“002”。另外�,該實例表示CERT002對CERT001存在信任 依賴關(guān)系����、CERT001對CERT000存在信任依賴關(guān)系�����。這表達出虛擬機2信任虛擬機1��、虛擬機 1信任虛擬機監(jiān)視器這樣一種信任鏈���。換句話說�,這表示必須在虛擬機監(jiān)視器啟動完成后虛 擬機1才能啟動��、接著在虛擬機1啟動完成后虛擬機2才能啟動��。在該實例中��,CERT002的 依賴TPM證書識別信息510是“CERT000”����,依賴TPM-PCR號碼511是“PCRW-2] ”�。這表示, 與CERT001對應(yīng)的虛擬TPMl對與CERT000對應(yīng)的TPM存在依賴關(guān)系���,在虛擬機1啟動之前���, 虛擬 TPMl 的 PCR
��、PCR[1]����、PCR[2]的初始值被設(shè)定為 TPM 的 PCR
���、PCR[1]�、PCR[2]�。 另外,在該實例中���,CERT002的依賴TPM證書識別信息510是“CERT001 ”���,依賴TPM-PCR號碼 511是“PCR
”。這表示�����,與CERT002對應(yīng)的虛擬TPM2對與CERT000對應(yīng)的TPM存在 依賴關(guān)系���,在虛擬機1啟動之前��,虛擬TPMl的PCR
���、PCR[1]����、PCR[2]和PCR[7]的初始值被 設(shè)定為TPM的PCR
�、PCR[1]、PCR[2]和PCR[7]��。另外����,在該實例中表示的是,CERT001和 CERT002的信任模型識別信息511是“002”��,虛擬機_1和虛擬機2都按照Interd印endent Model動作�。圖6(c)是D印endent Model的具體實例。在該實例中����,將表示D^endentModel 的信任模型識別信息表示為“003”。另外��,該實例表示CERT002對CERT001存在信任依賴關(guān)系�����、CERTOO1對CERTO00存在信任依賴關(guān)系�。這表達出虛擬機2信任虛擬機1、虛擬機1 信任虛擬機監(jiān)視器這樣一種信任鏈��。換句話說��,這表示必須在虛擬機監(jiān)視器啟動完成后虛 擬機1才能啟動�、在虛擬機1啟動完成后虛擬機2才能啟動。在該實例中����,CERT002的依賴 TPM證書識別信息510是“CERT000”,依賴TPM-PCR號碼511是“PCRW-2] ”�����。這表示����,在虛 擬機1啟動之前將虛擬TPMl的PCR
、PCR[1]���、PCR[2]的初始值設(shè)定為TPM的PCR
�、 PCR[1]、PCR[2]的值�����。另外���,因為這是一種參與方2依賴參與方1的全部環(huán)境的模型���,所 以在CERT002的依賴TPM-PCR號碼512中記載“ALL”。這表示��,在虛擬機2啟動之前將虛 擬TPM2的全部PCR(PCR
���、PCR[1]���、PCR[2]、……PCR[15])的初始值設(shè)定為TPMl的全部 PCR(PCR
��、PCR[1]�、PCR[2]、……PCR[15])的值。關(guān)于這些PCR的初始值的設(shè)定流程�����,將 使用圖9在后文進行敘述��?�!茨K證書〉接著進行模塊證書的說明�����。圖7表示的是進行安全引導(dǎo)處理時所使用的模塊證 書�。模塊證書700是賦予每個作為安全引導(dǎo)對象的模塊的證書���,其由以下部分構(gòu)成模塊識 別信息701 ���;模塊版本信息702 ;簽名算法信息703����,該信息表示對該證書進行驗證時所使用 的簽名算法;認證完整性校驗值704�,該校驗值是所期望的模塊的完整性校驗值;認證PCR 值705,該值表示保存著所期望的關(guān)聯(lián)處理后的完整性校驗值的PCR的值�;PCR索引706,該 索引表示作為關(guān)聯(lián)處理對象的PCR值號碼���;驗證密鑰信息707�,該信息用于識別對模塊證 書本身進行驗證時使用的驗證密鑰��;以及簽名數(shù)據(jù)708���,該簽名數(shù)據(jù)用于驗證證書自身的 完整性�。模塊證書700也可以作為TCG中的參照完整性度量(RIM Reference Integrity Metrics)證書而實現(xiàn)����。<基于信任模型的安全引導(dǎo)概要>接著,使用圖8說明基于信任模型在多參與方環(huán)境中進行安全引導(dǎo)的總體序列�。首先,電源啟動后���,圖2所示的TBB80的計測驗證部81啟動�,對TPM證書411進行 簽名驗證���。即���,使用簽名數(shù)據(jù)513和預(yù)先準備的驗證密鑰進行簽名驗證�,由此確認TPM證書 是否被篡改�����。此外����,以下所述的TPM證書和模塊證書的簽名驗證也是同樣的處理���。(步驟 S801)���。接著,基于TPM證書411的依賴TPM證書識別信息510和依賴TPM-PCR號碼511���, 設(shè)定TPM的PCR的初始值���。如果依賴TPM證書識別信息和依賴TPM-PCR號碼顯示為NULL, 則將TPM80的PCR83初始化為零(步驟S802)�。接著,對虛擬機監(jiān)視器的環(huán)境進行安全引導(dǎo)(步驟S803)���。關(guān)于安全引導(dǎo)的詳細步 驟�,將使用圖10在后文進行敘述。接著���,虛擬TPM控制部的引導(dǎo)控制部420的引導(dǎo)驗證部423從信任模型管理部410 讀出虛擬TPM證書��,接著對與應(yīng)啟動的虛擬機相對應(yīng)的虛擬TPM證書進行簽名驗證(步驟 S804)����。接著��,參照表示TPM證書的信賴關(guān)系的信任模型識別信息509或依賴TPM證書識別 信息510�,確定應(yīng)啟動的虛擬機的特定方法。接著���,如果S804中對要執(zhí)行的虛擬機的虛擬 TPM證書進行簽名驗證的結(jié)果為驗證NG(失敗)��,則中止引導(dǎo)處理(步驟S808)�����。否則��,如果 S805的虛擬TPM證書的簽名驗證結(jié)果為驗證OK (成功)�����,則移至步驟S805的處理��。接著��,虛擬TPM控制部的引導(dǎo)控制部420的PCR初始值設(shè)定部422基于在S805中 經(jīng)過簽名驗證后的虛擬TPM證書的依賴TPM證書識別信息510和依賴TPM-PCR號碼512��,設(shè)定與該虛擬TPM證書相對應(yīng)的虛擬TPM的PCR的初始值(步驟S805)�����。使用圖9說明PCR 的初始值的詳細設(shè)定流程����。接著�����,對與步驟S804中進行了驗證的虛擬TPM證書相對應(yīng)的虛擬機進行安全引導(dǎo) (步驟 S806)�����。接著�,確認全部虛擬機的安全引導(dǎo)是否都已經(jīng)完成(步驟S809)��。此外�����,在引導(dǎo)驗 證部中采用標志位等實現(xiàn)對全部虛擬機的安全引導(dǎo)是否都已經(jīng)完成的確認��。<使用了 TPM證書的PCR設(shè)定處理>這里對圖8的S802�����、S805的TPM和虛擬TPM的PCR的設(shè)定方法的流程進行說明����。首先���,參照TPM證書或虛擬TPM證書的信任模型識別信息509��,以其識別信息的值 作為TRUST_M0DEL進行管理(步驟S901)��。這里所說的TRUST_M0DEL既可以是特定的寄存 器����,也可以是RAM中的臨時變量����。只要在安全引導(dǎo)之間能夠以不揮發(fā)的形式進行管理即可���。接著,參照S901中所參照的證書的依賴TPM識別信息510 (步驟S902)�����。如果依賴 TPM識別信息510是“NULL”����,則表示該證書沒有信任對象,即該證書是其環(huán)境內(nèi)的信任根�����。 在本實施方式1中�����,所有信任模型中的所有虛擬機都在虛擬機監(jiān)視器上動作����,因此��,與虛擬 機監(jiān)視器層的TPM相對應(yīng)的TPM證書的依賴TPM識別信息510是NULL。因此��,如果S902的 結(jié)果是NULL�,則PCR初始值設(shè)定部422識別該證書為TPM證書、從此被啟動的環(huán)境是虛擬 機監(jiān)視器(步驟S903)����。否則,如果S902的結(jié)果不是NULL�����,則PCR初始值設(shè)定部422識別 該證書是與虛擬機所使用的虛擬TPM相對應(yīng)的虛擬TPM證書�、從此被啟動的環(huán)境是虛擬機 (步驟 S906)。接著�,在S903的處理中,PCR初始值設(shè)定部422在啟動虛擬機監(jiān)視器環(huán)境之前�����,為 了設(shè)定TPM的初始值而對依賴TPM-PCR號碼511進行檢驗(check)(步驟S904)��。如果S904 的結(jié)果為依賴TPM-PCR號碼511是“NULL”�����,則將TPM的PCR初始化為0 (步驟S905)。如果 S904的結(jié)果不是NULL����,則執(zhí)行報錯處理(步驟S913)。原因在于����,TPM證書本來是沒有信任 依賴對象的證書,所以應(yīng)該沒有設(shè)定依賴TPM-PCR號碼����,如果設(shè)定了,就與證書內(nèi)容發(fā)生了 矛盾而出現(xiàn)錯誤����。接著說明S906以后的處理。在S906中�,對作為啟動對象的虛擬機的虛擬TPM證書的依賴關(guān)系進行調(diào)查。參照 依賴TPM識別信息���,辨別依賴對象是TPM證書還是虛擬TPM證書(步驟S907)����。根據(jù)S907 的結(jié)果����,如果依賴TPM識別信息表示TPM證書,則移至步驟S908的處理����。否則,根據(jù)S907 的結(jié)果���,如果依賴TPM識別信息表示虛擬TPM證書�����,則移至步驟S912的處理�����。接著���,對依賴TPM-PCR號碼511進行檢驗(步驟S908)。如果S904的結(jié)果為依賴 TPM-PCR號碼511是“NULL”����,則將虛擬TPM的PCR的初始值初始化為0 (步驟S909)。否則, 根據(jù)S908的結(jié)果����,如果依賴TPM-PCR號碼表示特定的PCR號碼,就從依賴對象的TPM中讀 出由依賴TPM-PCR號碼511所指定的PCR值���,將該PCR值設(shè)定為虛擬TPM的PCR的初始值 (步驟S910)�。否則�,根據(jù)S908的結(jié)果,如果依賴TPM-PCR號碼511表示“ALL”��,就讀出TPM 的全部PCR的值��,將該PCR值設(shè)定為虛擬TPM的PCR的初始值(步驟S911)�。接著,根據(jù)S907的結(jié)果���,如果依賴TPM表示虛擬TPM證書�,說明S912以后的流程����。 在S912中,與S904���、S908同樣地對證書內(nèi)的TPM-PCR號碼511進行檢驗(步驟S912)�。根 據(jù)S912的結(jié)果���,如果依賴TPM-PCR號碼是“NULL”����,則執(zhí)行報錯處理(步驟S913)�。原因在于,在S907中判斷為虛擬TPM證書有依賴對象��,所以�����,雖然存在依賴對象但其值為“NULL”����, 作為證書來說這是矛盾的。否則����,根據(jù)S912的結(jié)果,如果TPM-PCR號碼511表示特定的PCR號碼�,則確認在 S901 中設(shè)定的 TRUST_M0DEL 是否是 INTERDEPENDENTMODEL(步驟 S914)。如果 S914 的結(jié) 果是YES (信任模型識別信息509是INTERDEPENDENT MODEL),則從依賴對象的虛擬TPM 中讀出由依賴TPM-PCR號碼511所指定的PCR值�����,將該PCR值設(shè)定為作為依賴方的虛擬 TPM的PCR的初始值(步驟S915)�����。如果S914的結(jié)果是NO(信任模型識別信息509不是 INTERDEPENDENT MODEL)��,則執(zhí)行報錯處理(步驟S912)�����。這里執(zhí)行報錯處理的原因在于��,所 謂依賴特定的PCR號碼����,本來表示的是INTERDEPENDENT MODEL,而如果信任模型識別信息 不是INTERDEPENDENT MODEL,那么作為證書來說就會產(chǎn)生矛盾���。否則�,根據(jù)S912的結(jié)果����,如果TPM-PCR號碼511表示“ALL”���,則確認在S901中設(shè)定 的TRUST_M0DEL是否是DEPENDENT MODEL (步驟S916)。如果S916的結(jié)果是YES (信任模型 識別信息509是DEPENDENTM0DEL)���,則從依賴對象的虛擬TPM中讀出全部PCR值,將該值設(shè) 定為作為依賴方的虛擬TPM的全部PCR的初始值(步驟S915)���。如果S914的結(jié)果是NO (信 任模型識別信息509不是DEPENDENT MODEL)���,則執(zhí)行報錯處理(步驟S912)。這里執(zhí)行報 錯處理的原因在于�����,所謂依賴全部PCR號碼��,本來表示的是DEPENDENT MODEL�,而如果信任 模型識別信息不是DEPENDENT MODEL,那么作為證書來說就會產(chǎn)生矛盾����。此外���,作為圖9中的S913的報錯處理的實例,可以考慮中止引導(dǎo)處理�����。另外���,也可 以不中止引導(dǎo)處理��,而是啟動終端����,但對可用的信息處理終端功能作出限制���。例如��,如果是 移動電話�����,則可以啟動為僅可進行緊急呼叫的狀態(tài)�����?��!窗踩龑?dǎo)處理的詳細內(nèi)容〉圖10是表示圖8中的S803或S806的安全引導(dǎo)處理的詳細內(nèi)容的流程圖�?;?采用與TCG的非專利文獻4中記載的安全引導(dǎo)處理相同的引導(dǎo)手法,但在本實施方式1中����, 如圖7�、圖8所示,在虛擬機監(jiān)視器和各虛擬機的啟動過程中����,TPM/虛擬TPM的PCR中所設(shè) 定的初始值有所不同。在非專利文獻4中��,TPM/虛擬TPM的PCR中所設(shè)定的初始值固定為 “0”����,而在本實施方式1中,根據(jù)信任模型的不同��,有時候設(shè)定為非“0”初始值�����。根據(jù)這種結(jié) 構(gòu),在虛擬機監(jiān)視器和虛擬機之間��、或者各虛擬機之間實現(xiàn)了完整性校驗值信息的關(guān)聯(lián)��,這 一點與非專利文獻4的內(nèi)容有所不同���。下面使用圖10說明本實施方式中的安全引導(dǎo)處理流程�。首先���,對最早應(yīng)啟動的模塊的完整性校驗值進行計測(步驟S1001)����。例如���,如果是 S803的虛擬機監(jiān)視器的安全引導(dǎo)處理�,則TBB80的計測驗證部81首先啟動�,計測虛擬機監(jiān) 視器40的完整性校驗值。如果是S806中的“安全引導(dǎo)虛擬機”的處理�,則虛擬TBB的計測 驗證部首先啟動,對OS加載器進行驗證����。接著�����,對S1001中計測得到的完整性校驗值和圖8中所說明的模塊證書中記載的 認證完整性校驗值704進行核對(步驟S1002)��。根據(jù)S1002的核對結(jié)果����,如果兩者的值不 相等���,則移至步驟S1008的處理���,中止安全引導(dǎo)�。否則,根據(jù)S1002的核對結(jié)果�,如果兩者的 值相等,則移至步驟S903的處理����。接著進行模塊證書的簽名驗證(步驟S1003)。如果S1003的簽名驗證的結(jié)果為驗 證NG�����,則移至步驟S1008的處理,中止安全引導(dǎo)����。
否則,如果S1003的簽名驗證的結(jié)果為驗證0K�����,則移至步驟S1004的處理�����。這里的 簽名驗證處理使用與模塊證書中記載的驗證密鑰識別信息707相對應(yīng)的密鑰進行驗證���。接著����,核對TPM或虛擬TPM的PCR值與模塊證書中記載的認證PCR705是否相等 (步驟S1004)��。如果是S803中的“虛擬機監(jiān)視器的安全引導(dǎo)”處理���,則核對TPM的PCR值 和模塊證書中記載的認證PCR705的值是否相等�;如果是S805中的“虛擬機的安全引導(dǎo)”處 理,則核對虛擬TPM的PCR值和模塊證書700中記載的認證PCR705的值是否相等���。如果 S1004的核對結(jié)果是判斷為不相等�����,則移至步驟S908的處理����,中止安全引導(dǎo)處理�����。否則���,如 果S1004的核對結(jié)果是判斷為相等��,則移至步驟S905的處理。接著����,使用模塊證書700內(nèi)的認證完整性校驗值704和由PCR索引706指定的號碼 的PCR值進行關(guān)聯(lián)處理,并將關(guān)聯(lián)后的結(jié)果保存到由PCR索引706指定的PCR號碼中(步 驟 S1005)。接著執(zhí)行經(jīng)過S1001��、S1002驗證后的模塊(步驟S1006)����。接著確認安全引導(dǎo)是否已經(jīng)完成(步驟S1007)。如果安全引導(dǎo)尚未完成��、還有安 全引導(dǎo)對象模塊尚未被引導(dǎo)��,則移至步驟S1001的處理����,繼續(xù)進行安全引導(dǎo)處理。如果全部 安全引導(dǎo)對象模塊都已被驗證并執(zhí)行��,安全引導(dǎo)處理即告結(jié)束��。這里的被當做虛擬機的安全引導(dǎo)對象的模塊既可以包含OS加載器�����、Guest OS乃 至應(yīng)用程序����,也可以不包含應(yīng)用程序而僅止于Guest OS���。(實施方式2)在本實施方式2中說明這樣一種模型,在該模型中�����,將終端環(huán)境信息通知經(jīng)由網(wǎng) 絡(luò)連接的外部服務(wù)器���,在服務(wù)器端驗證終端環(huán)境的真實性��。該驗證模型以TCG中的證明 (Attestation)功能為基礎(chǔ)�。本實施方式所說明的模型中能夠在服務(wù)器端驗證多參與方模 型終端是否是以設(shè)想的信任模型啟動的��,這是現(xiàn)有的證明功能中所不具備的功能����。<證明處理的概要>圖11采用與實施方式1的信息處理終端1000相同的結(jié)構(gòu),但有一點不同之處在 于����,其能夠經(jīng)由網(wǎng)絡(luò)3000將終端環(huán)境信息通知外部的服務(wù)提供服務(wù)器2000。具體而言��, 信息處理終端1000中的虛擬機1(1010)���、虛擬機2(1020)分別具備通知部(1011,1021) 進而��,虛擬TPM1 (1031)���、虛擬TPM2 (1021)生成簽名數(shù)據(jù),作為來自外部服務(wù)提供服務(wù)器 2000的證明處理請求的結(jié)果�。具體而言,使用未圖示的身份證明密鑰(AIK Attestation Identity Key)針對TPM的PCR值生成簽名����。AIK是公開密鑰加密中的密鑰對,秘密密鑰被 安全地保存在信息處理終端內(nèi)�,與該秘密密鑰對應(yīng)的公開密鑰則由外部業(yè)務(wù)服務(wù)器保存。 可以使用由CA(CertificationAuthority 認證中心)生成的公開密鑰證書(AIK證書)對 AIK的公開密鑰的真實性進行驗證�����。證書的頒發(fā)流程或使用公開密鑰證書的密鑰的檢驗方 法通常使用廣為人知的公開密鑰基礎(chǔ)設(shè)施(PKI :Public Key Infrastructure)技術(shù)��,因此 省略其說明���?����!醋C明序列〉接著����,使用圖12說明本實施方式2中的證明的序列。在該圖12的序列中說明的 實例是�,信息處理終端向外部的服務(wù)提供服務(wù)器發(fā)出服務(wù)請求,服務(wù)提供服務(wù)器則使用證 明功能確認信息處理終端的真實性�,在此基礎(chǔ)上提供服務(wù)。首先��,信息處理終端向服務(wù)提供服務(wù)器發(fā)送用于識別信息處理終端的終端識別信
20息以及服務(wù)請求(步驟S1101)��。接著����,服務(wù)提供服務(wù)器訪問信任模型管理數(shù)據(jù)庫,讀出與終端識別信息相對應(yīng)的 TPM證書和虛擬TPM證書�,辨別信息處理終端的信任模型。辨別出信任模型后�����,決定服務(wù)提 供服務(wù)器想要驗證的PCR號碼����。例如�����,在圖6 (c)的信任模型中,如果要驗證虛擬機監(jiān)視器和 虛擬機1之間的信任模型�����,則指定虛擬機1的TPM證書識別信息CERT001����、識別信息和PCR 號碼 0、1�、2(步驟 S1102)。接著�����,服務(wù)提供服務(wù)器生成隨機數(shù)(nonce)���,將在S1101中決定的虛擬TPM證書ID 和PCR號碼以及隨機數(shù)發(fā)送到信息處理終端(步驟S1103)��。接著����,提出了服務(wù)請求的虛擬機接收S1103的信息,并將接收到的信息通知虛擬 機監(jiān)視器1030的虛擬TPM控制部1033 (步驟S1104)���。接著��,虛擬TPM控制部根據(jù)在S1104接收到的信息����,向虛擬TPM發(fā)出簽名生成請 求�����,要求生成針對隨機數(shù)和所指定的PCR的簽名��,虛擬TPM則使用AIK秘密密鑰生成針對所 指定的PCR值信息和隨機數(shù)的簽名(步驟S1105)����。在S1105中執(zhí)行的簽名生成處理使用由 TCG 標準化的 TPM_Quote 或 TPM_Quote2 命令。接著�����,信息處理終端使用通知部將簽名后的數(shù)據(jù)和隨機數(shù)�����、PCR以及AIK證書發(fā)送 給服務(wù)提供服務(wù)器(步驟S1106)。接著�����,服務(wù)提供服務(wù)器對AIK證書的真實性進行檢驗(步驟S1107)����。AIK證書是 由CA(Certificate Authority)頒發(fā)的�����,因此使用CA的公開密鑰進行驗證�。如果S1107的 驗證結(jié)果是檢驗NG,則向信息處理終端發(fā)送出錯報告(步驟S1111)����。否則,如果S1107的 驗證結(jié)果為檢驗0K����,則移至步驟S1108的處理。接著�,驗證隨機數(shù)的數(shù)據(jù)。服務(wù)提供服務(wù)器確認其是否是指定的隨機數(shù)(步驟 S1108)���。如果S1108的結(jié)果是檢驗NG����,則向信息處理終端發(fā)送出錯報告(步驟S1111)。否 則���,如果S1108的驗證結(jié)果為檢驗0K��,則移至步驟S1109的處理�。 接著���,服務(wù)提供服務(wù)器訪問認證PCR數(shù)據(jù)庫2002�����,對與S1103中指定的虛擬TPM證 書的識別信息相對應(yīng)的認證PCR和從信息處理終端發(fā)送過來的PCR的值進行比較��,由此驗 證信息處理終端的真實性(步驟S1109)�����。如果S1109的驗證結(jié)果為檢驗NG��,則發(fā)送出錯報 告(步驟S1111)��。否則���,如果S1109的驗證結(jié)果為0K���,即兩者的PCR相等,服務(wù)提供服務(wù)器 就判斷認為這是在由服務(wù)提供服務(wù)器指定的虛擬機環(huán)境中保持了信任模型的狀態(tài)下正常 啟動的�����,并向信息處理終端提供服務(wù)�。這樣一來��,服務(wù)提供服務(wù)器就能夠僅向通過了真實性驗證的信息處理終端提供服 務(wù)����。進而,在現(xiàn)有技術(shù)中����,服務(wù)提供服務(wù)器無法辨別提出了服務(wù)請求的終端是否是在虛擬機 監(jiān)視器上運行的,而本發(fā)明的信任模型管理數(shù)據(jù)庫中保存有定義了信任模型的TPM證書/ 虛擬TPM證書���,因此能夠辨別在虛擬機監(jiān)視器上運行的機器��。進而�,在具有多參與方模型之 類的虛擬機之間存在依賴關(guān)系的結(jié)構(gòu)的終端中,也能夠通過讀出信任模型管理數(shù)據(jù)庫內(nèi)的 證書來辨別所使用的信任模型�����,并繼而基于所期望的信任模型辨別是否已經(jīng)啟動�����,服務(wù)提 供者能夠更靈活地驗證信息處理終端內(nèi)的環(huán)境的真實性����。實施方式2的說明到此結(jié)束。以上說明了在服務(wù)提供服務(wù)器端執(zhí)行的驗證步驟S1107至S1109���,但也可以不限 于這些驗證步驟�。例如��,也可以針對認證PCR數(shù)據(jù)庫的認證PCR和在S1101中發(fā)送的隨機數(shù)信息生成認證哈希值���,并利用AIK證書中記載的公開密鑰對在S1106中接收到的簽名數(shù) 據(jù)進行譯碼�����,通過比較上述認證哈希值和譯碼得到的哈希值進行驗證����。(實施方式3)在本實施方式3中,信息處理終端1200除了實施方式1�、2的虛擬機之外,還具備 管理用機器環(huán)境(管理機1201)�����。圖13是具備管理用機器的信息處理終端1200的整體結(jié) 構(gòu)圖�。與實施方式1、2差別較大的不同點在于�����,原來存在于虛擬機監(jiān)視器內(nèi)的虛擬TPM控制 部1202��、虛擬可信構(gòu)建模塊(1230�����、1240)轉(zhuǎn)移到管理機1201內(nèi)����,并且在虛擬機監(jiān)視器1203 內(nèi)新建構(gòu)造出虛擬TPM控制通知部1204。對于功能與已在實施方式1��、2中說明的功能相同 的部分����,省略其說明,這里僅針對具有與實施方式1���、2不同的功能的部分進行說明��。虛擬TPM控制通知部1204從虛擬機(1211�、1220)的虛擬TPM接口(1211�����、1222) 接收虛擬TPM的處理請求����,并將接收到的虛擬TPM處理請求通知管理機1201的虛擬TPM控 制部1202。虛擬TPM管理部1202將虛擬TPM控制通知部1204通知的虛擬TPM處理請求分配 給虛擬TBB內(nèi)適當?shù)奶摂MTPM進行處理�。在圖13的實例中,如果是來自虛擬機1210的虛 擬TPM處理請求�����,則分配給虛擬TPM1 (1232),如果是來自虛擬機1220的虛擬TPM處理請求��, 則分配給虛擬TPM2 (1242)���。虛擬TPM對虛擬TPM處理請求的處理結(jié)果從虛擬TPM管理部1202經(jīng)由虛擬TPM 控制通知部返回到請求方的虛擬機�。在圖11的實例中��,如果是來自虛擬TPM1 (1232)的虛 擬TPM處理結(jié)果��,就將處理結(jié)果返回到虛擬機1 (1210)���,而如果是來自虛擬TPM2 (1242)的虛 擬TPM處理結(jié)果�,就將處理結(jié)果返回到虛擬機2 (1220)��。另外����,虛擬機對設(shè)備提出的處理請求則由虛擬設(shè)備驅(qū)動器(1212����、1223)經(jīng)由虛擬 機監(jiān)視器1203委托給管理機1201的設(shè)備驅(qū)動器1260進行處理��,設(shè)備驅(qū)動器1260執(zhí)行針 對設(shè)備的處理��。設(shè)備的處理結(jié)果沿著與對設(shè)備提出處理請求時相反的流程返回����,因此省略 其詳細說明�����。另外����,在本實施方式3中,管理機使用TPM1272執(zhí)行安全的處理��。因此����,作為管理機 的環(huán)境信息的完整性校驗值被記錄在TPM1272中。在這種情況下�����,將虛擬機監(jiān)視器的完整 性校驗值和管理機的完整性校驗值關(guān)聯(lián)���,關(guān)聯(lián)后的值被記錄到TPM1272中����。另外,圖12中 未圖示的TPM證書采用與虛擬機監(jiān)視器和管理機所使用的TPM1272相對應(yīng)的證書�����。由此�, 不僅能夠使虛擬機具有相對于虛擬機監(jiān)視器的信任依賴關(guān)系,而且也能夠使虛擬機具有相 對于管理機的信任依賴關(guān)系�。使用該TPM證書進行安全引導(dǎo),不僅能夠?qū)⑻摂M機監(jiān)視器的 完整性校驗值與虛擬機的完整性校驗值關(guān)聯(lián)��,而且也能夠?qū)⒐芾頇C的完整性校驗值與虛擬 機的完整性校驗值關(guān)聯(lián)�,關(guān)聯(lián)后的值被記錄到虛擬TPM的PCR中。這樣就能夠一邊驗證虛 擬機環(huán)境和管理機的真實性�����,一邊啟動信息處理終端��。另外�,在執(zhí)行實施方式2這種證明處理的情況下,虛擬機利用圖12中未圖示的虛 擬機的通知部,能夠?qū)⑻摂M機的環(huán)境信息與虛擬機監(jiān)視器和管理機的完整性校驗值關(guān)聯(lián)在 一起的值發(fā)送到外部的服務(wù)提供服務(wù)器�。由此���,能夠在外部的服務(wù)提供服務(wù)器中驗證信息 處理終端的全部環(huán)境信息的真實性����。此外�����,也可以不使虛擬機具有通知部�����,而是使管理機內(nèi)具有通知部�����。由此�,如果來 自外部服務(wù)提供服務(wù)器的證明處理結(jié)果是表示虛擬機不合法的結(jié)果,則管理機既可以停止虛擬機��,也可以限制虛擬機的功能�。實施方式3的說明到此結(jié)束。此外,也可以不在虛擬機之間或者虛擬機與虛擬機監(jiān)視器/管理機之間關(guān)聯(lián)完整 性校驗值�����,而是將關(guān)聯(lián)處理封閉在各個機器內(nèi)部�����。在這種情況下�����,利用TPM證書僅對啟動順 序進行控制���。這樣一來����,以機器為單位的獨立的環(huán)境信息被記錄到各自的TPM的PCR中����,能 夠單獨地驗證各個機器環(huán)境。另外����,也可以設(shè)置2組TPM的PCR���。在這種情況下,一組PCR記錄將存在依賴關(guān)系 的環(huán)境信息關(guān)聯(lián)而成的完整性信息���,另一組PCR記錄未將存在依賴關(guān)系的環(huán)境信息進行關(guān) 聯(lián)的完整性信息。另外�,在這種情況下,在模塊證書中也設(shè)置2組記載認證PCR的區(qū)域�����,一 個區(qū)域中記載的認證PCR值表示將存在依賴關(guān)系的環(huán)境信息關(guān)聯(lián)而成的完整性信息��,另一 個區(qū)域中記載的認證PCR值表示未將存在依賴關(guān)系的環(huán)境信息進行關(guān)聯(lián)的完整性信息�����。這 樣一來���,能夠?qū)崿F(xiàn)對信息處理終端內(nèi)單獨的機器環(huán)境信息的真實性驗證和對對信息處理終 端的整個環(huán)境的真實性驗證這樣2個驗證���,安全引導(dǎo)所作的驗證和證明所作的驗證變得更 加靈活。(其他變形例)此外��,基于上述實施方式對本發(fā)明進行了說明,但本發(fā)明當然并不限于上述實施 方式�����。本發(fā)明也包含以下情況����。(1)上述各裝置具體而言是由微處理器、R0M����、RAM、硬盤單元���、顯示器單元�、鍵盤��、鼠 標等構(gòu)成的計算機系統(tǒng)�����。所述RAM或硬盤單元中存儲有計算機程序�。所述微處理器按照所 述計算機程序執(zhí)行動作,從而使各裝置實現(xiàn)其功能��。這里,為了實現(xiàn)預(yù)定的功能����,將許多針 對計算機的指令代碼組合起來構(gòu)成計算機程序。另外����,各裝置也可以不包含微處理器、ROM���、 RAM、硬盤單元�����、顯示器單元��、鍵盤��、鼠標等所有部件�����,而是僅由其中的一部分構(gòu)成�����。(2)構(gòu)成上述各裝置的一部分或全部結(jié)構(gòu)要素也可以由1個系統(tǒng)LSI (Large Scale Integration:大規(guī)模集成電路)構(gòu)成。系統(tǒng)LSI是將多個構(gòu)成部件集成到1個芯片 上制造而成的超多功能LSI����,具體而言,是一種包含微處理器����、ROM、RAM等而構(gòu)成的計算機 系統(tǒng)�。所述RAM中存儲有計算機程序。所述微處理器按照所述計算機程序執(zhí)行動作��,從而 使系統(tǒng)LSI實現(xiàn)其功能���。另外����,構(gòu)成上述各裝置的結(jié)構(gòu)要素的各部分既可以分別單獨地做成1個芯片���,也 可以將一部分或全部包含在1個芯片上���。另外���,這里稱之為系統(tǒng)LSI,但根據(jù)集成度的不同���,有時候也稱為IC���、LSI、Super LSI.Ultra LSI����。另外,電路集成化的方法也不限于LSI���,也可以通過專用電路或通用處理器 實現(xiàn)。也可以使用能夠在制造出LSI后進行編程的FPGA(Field Programmable Gate Array 現(xiàn)場可編程門陣列)或能夠?qū)SI內(nèi)部的電路單元的連接或設(shè)定重新進行設(shè)置的可重構(gòu)處理器�。進而,隨著半導(dǎo)體技術(shù)的進步或其他派生技術(shù)的產(chǎn)生�����,如果出現(xiàn)了取代LSI的集 成電路技術(shù)����,當然也可以使用這些技術(shù)實現(xiàn)功能塊的集成化�。也有可能應(yīng)用生物技術(shù)等���。(3)構(gòu)成上述各裝置的一部分或全部結(jié)構(gòu)要素也可以由在各裝置上可拆裝的IC 卡或單獨的模塊構(gòu)成���。所述IC卡或所述模塊是由微處理器、R0M��、RAM等構(gòu)成的計算機系統(tǒng)�。 所述IC卡或所述模塊也可以包含上述超多功能LSI。微處理器按照所述計算機程序執(zhí)行動
23作�����,從而使所述IC卡或所述模塊實現(xiàn)其功能��。該IC卡或該模塊也可以具有防篡改性����。(4)本發(fā)明也可以是上述所展示的方法。另外�,既可以是利用計算機實現(xiàn)這些方法 的計算機程序,也可以是所述計算機程序形成的數(shù)字信號�。另外,本發(fā)明也可以將所述計算機程序或所述數(shù)字信號記錄到例如軟盤����、硬盤���、 CD-ROM、MO�����、DVD��、DVD-ROM�����、DVD-RAM�����、BD (Blu-rayDisc 藍光盤)����、半導(dǎo)體存儲器等計算機可 讀記錄介質(zhì)中而形成��。另外����,也可以是這些記錄介質(zhì)中所記錄的所述數(shù)字信號�����。另外���,本發(fā)明也可以將所述計算機程序或所述數(shù)字信號經(jīng)由電氣通信線路、無線 或有線通信線路���、以因特網(wǎng)為代表的網(wǎng)絡(luò)�、數(shù)據(jù)廣播等進行傳輸����。另外,本發(fā)明也可以是具備微處理器和存儲器的計算機系統(tǒng)��,所述存儲器存儲上 述計算機程序�,所述微處理器按照所述計算機程序執(zhí)行動作。另外����,也可以將所述程序或所述數(shù)字信號記錄到所述記錄介質(zhì)中進行轉(zhuǎn)運,或者 將所述程序或所述數(shù)字信號經(jīng)由所述網(wǎng)絡(luò)等進行轉(zhuǎn)運,從而利用獨立的其他計算機系統(tǒng)進 行實施����。(5)本發(fā)明的一個實施方式的信息處理裝置具備多個虛擬機,與多個參與方分 別對應(yīng)���;多個防篡改模塊�,與所述多個虛擬機分別對應(yīng)����;以及管理部,該管理部管理所述多 個虛擬機和所述多個防篡改模塊之間的處理����;所述多個虛擬機分別具有在所述多個虛擬機 相互之間建立依賴關(guān)系的證書。根據(jù)這種結(jié)構(gòu)��,使用證書對所述多個虛擬機各自的依賴關(guān)系進行管理�,從而保證 了所述多個虛擬機各自的依賴關(guān)系不被篡改,因此能夠保證所述多個虛擬機按照期望的依 賴關(guān)系執(zhí)行標準化動作����。另外���,本發(fā)明的一個實施方式的信息處理裝置是�,在所述信息處理裝置中,多個虛 擬機分別使用在多個虛擬機相互之間建立依賴關(guān)系的證書��,按照證書的依賴關(guān)系所確立的 順序啟動�。根據(jù)這種結(jié)構(gòu),當多個虛擬機分別啟動時��,會參照用于證明多個虛擬機相互之間 的依賴關(guān)系的證書�����,并按照證書的依賴關(guān)系所確立的順序啟動����,因此,能夠保證所述多個虛 擬機按照預(yù)先確定的期望的順序彼此關(guān)聯(lián)地啟動�����。另外���,本發(fā)明的一個實施方式的信息處理裝置是��,在所述信息處理裝置中��,多個虛 擬機分別使用在多個虛擬機相互之間建立依賴關(guān)系的證書�,按照證書的依賴關(guān)系所確立的 順序啟動,利用這種按照證書的依賴關(guān)系所確立的順序的啟動而最終得到的具有驗證值的 防篡改模塊基于所述驗證值對所述多個虛擬機進行整體驗證�。根據(jù)這種結(jié)構(gòu),當多個虛擬機分別啟動時���,會使用在多個虛擬機相互之間建立依 賴關(guān)系的證書�,并按照證書的依賴關(guān)系所確立的順序啟動�����,從而能夠得到多個虛擬機各自 相互關(guān)聯(lián)的驗證值��,作為利用這種按照證書的依賴關(guān)系所確立的順序的啟動而最終得到的 驗證值����,因此能夠防止多個虛擬機以參與方為單位進行啟動而產(chǎn)生的啟動鏈條的中斷。另外��,在所述信息處理裝置中�,多個參與方分別與以下參與方模型中的任意一種 參與方模型相對應(yīng),即第1參與方模型�,該模型中的各參與方僅使用與其對應(yīng)的防篡改模 塊;第2參與方模型���,該模型中的某個參與方使用與其對應(yīng)的防篡改模塊以及與其他參與 方對應(yīng)的防篡改模塊的一部分區(qū)域以及第3參與方模型����,該模型中的某個參與方不具有 與其對應(yīng)的防篡改模塊��、而是使用與其他參與方對應(yīng)的防篡改模塊的全部區(qū)域���;多個虛擬機分別使用表達了多個參與方各自的參與方模型并在所述多個虛擬機相互之間建立依賴 關(guān)系的證書����,按照證書的依賴關(guān)系所確立的順序啟動���。根據(jù)這種結(jié)構(gòu)����,當多個虛擬機分別啟動時�����,會使用表達了所述多個參與方各自的 參與方模型并在多個虛擬機相互之間建立依賴關(guān)系的證書��,并按照證書的依賴關(guān)系所確立 的順序啟動�����,從而能夠得到多個虛擬機各自相互關(guān)聯(lián)的驗證值,作為利用這種按照證書的 依賴關(guān)系所確立的順序的啟動而最終得到的驗證值�,因此能夠防止多個虛擬機以參與方為 單位進行啟動而產(chǎn)生的啟動鏈條的中斷。另外���,使用表達了多個參與方各自的參與方模型并在多個參與方相互之間建立依 賴關(guān)系的證書����,并按照證書的依賴關(guān)系所確立的順序啟動���,能夠保證各虛擬機按照相應(yīng)的 參與方模型啟動��,因此能夠可靠地判斷所述信息處理裝置是否在按照正確的參與方模型運 行��。另外�,在所述信息處理裝置中�,證書包含參與方模型的種類;指向與自身虛擬機 關(guān)聯(lián)的其他虛擬機的指針���;表示與自身虛擬機關(guān)聯(lián)的其他虛擬機所對應(yīng)的防篡改模塊內(nèi)的 寄存器的PCR號碼���。另外����,在所述信息處理裝置中�����,當多個虛擬機分別基于證書判斷關(guān)聯(lián)虛擬機的參 與方模型并且證書的指針所指向的參與方模型是第2參與方模型和第3參與方模型中的某 個的情況下�,基于證書的PCR號碼判斷自身虛擬機的參與方模型是第2參與方模型還是第 3參與方模型��。根據(jù)這種結(jié)構(gòu)����,在使用證書進行安全引導(dǎo)時,第2參與方和第3參與方具有公共屬 性_即都使用與其他參與方相對應(yīng)的防篡改模塊����,因此即使在證書顯示為第2參與方模型 和第3參與方模型這兩者的情況下,通過基于證書的PCR號碼判斷自身參與方是屬于第2 參與方模型還是第3參與方模型���,也能夠判斷出是哪一個參與方模型�,因此�,能夠以簡單的 結(jié)構(gòu)而很容易地防止各虛擬機對其對應(yīng)的參與方模型的誤判。另外�,在所述信息處理裝置中�,當多個虛擬機各自的證書的PCR號碼表示的是關(guān) 聯(lián)虛擬機所對應(yīng)的防篡改模塊內(nèi)的寄存器的一部分區(qū)域的情況下�����,就判斷認為自身虛擬機 的參與方模型屬于第2參與方模型����。另外,在所述信息處理裝置中��,關(guān)聯(lián)虛擬機的防篡改模塊內(nèi)的寄存器的一部分區(qū) 域是所述多個虛擬機之一重復(fù)使用與關(guān)聯(lián)虛擬機相對應(yīng)的防篡改模塊內(nèi)的寄存器的區(qū)域��。另外��,在所述信息處理裝置中��,當所述多個虛擬機各自的所述證書的PCR號碼表 示的是關(guān)聯(lián)虛擬機所對應(yīng)的防篡改模塊內(nèi)的寄存器的全部區(qū)域的情況下�����,就判斷認為自身 虛擬機的參與方模型屬于第3參與方模型��。另外��,在所述信息處理裝置中,在接收到外部的服務(wù)器裝置的認證請求 (ATTESTATION)的情況下�����,所述管理部將按照所述證書的依賴關(guān)系所確立的順序進行啟動 而最終得到的驗證值發(fā)送到所述服務(wù)器裝置�。根據(jù)這種結(jié)構(gòu),在提供服務(wù)的服務(wù)器裝置一端能夠可靠地驗證信息處理裝置內(nèi)的 多個虛擬機是否在按照正確的參與方模型運行��。另外����,在所述信息處理裝置中���,多個虛擬機各自在啟動時通過預(yù)定的驗證用運算 進行篡改檢驗���。另外,在所述信息處理裝置中�,多個虛擬機各自通過預(yù)定的驗證用運算進行篡改檢驗時,基于所述管理部的驗證所得到的驗證值�����,將所述多個虛擬機各自的驗證值關(guān)聯(lián)起 來進行所述預(yù)定的驗證用運算��。根據(jù)這種結(jié)構(gòu)��,基于管理部的驗證所得到的驗證值,將多個虛擬機各自的驗證值 關(guān)聯(lián)起來進行所述預(yù)定的驗證用運算���,由此將管理部的驗證值反映到所述多個虛擬機中的 驗證用運算中�����,因此能夠確認多個虛擬機是否在正確的管理部協(xié)調(diào)下運行��。另外��,在所述信息處理裝置中���,多個虛擬機中具有通過安全引導(dǎo)而最終得到的驗 證值的防篡改模塊內(nèi)部保存著所述驗證值。另外����,在所述信息處理裝置中,具有通過安全引導(dǎo)而最終得到的驗證值的防篡改 模塊基于所述驗證值對包含所述多個虛擬機和所述管理部在內(nèi)的整體進行驗證���。另外��,在所述信息處理裝置中���,預(yù)定的驗證用運算采用哈希運算�����,驗證值采用哈希值��。另外����,在所述信息處理裝置中�����,證書證明了多個虛擬機相互之間以及多個虛擬機 與管理部相互之間的依賴關(guān)系�����。根據(jù)這種結(jié)構(gòu)��,使用證書證明多個虛擬機相互之間以及多個虛擬機與管理部相互 之間的依賴關(guān)系�����,由此��,證書能夠證明包含管理部在內(nèi)的多個虛擬機各自的依賴關(guān)系����,因 此,保證了包含管理部在內(nèi)的多個虛擬機各自的依賴關(guān)系不會被篡改����,能夠保證包含管理 部在內(nèi)的多個虛擬機按照期望的依賴關(guān)系進行標準化運行。另外�����,在所述信息處理裝置中�����,多個虛擬機分別使用在多個虛擬機相互之間以及 多個虛擬機與管理部相互之間建立了依賴關(guān)系的證書�,按照證書的依賴關(guān)系所確立的順序 啟動。根據(jù)這種結(jié)構(gòu)����,當所述多個虛擬機分別啟動時,會參照用于證明包含管理部在內(nèi) 的多個虛擬機相互之間的依賴關(guān)系的證書���,并按照證書的依賴關(guān)系所確立的順序啟動���,因 此�,能夠保證包含管理部在內(nèi)的多個虛擬機按照預(yù)先確定的期望的順序彼此關(guān)聯(lián)地啟動�����。另外�����,在所述信息處理裝置中���,多個虛擬機分別使用在多個虛擬機相互之間以及 多個虛擬機與管理部相互之間建立了依賴關(guān)系的證書��,按照證書的依賴關(guān)系所確立的順序 啟動��,具有利用這種按照證書的依賴關(guān)系所確立的順序的啟動而最終得到的驗證值的防篡 改模塊基于驗證值對多個虛擬機進行整體驗證�。根據(jù)這種結(jié)構(gòu)��,當多個虛擬機分別啟動時�����,會使用在包含管理部在內(nèi)的多個虛擬 機相互之間建立了依賴關(guān)系的證書���,并按照證書的依賴關(guān)系所確立的順序啟動����,從而能夠 得到包含管理部在內(nèi)的多個虛擬機各自相互關(guān)聯(lián)的驗證值�����,作為利用這種按照證書的依賴 關(guān)系所確立的順序的啟動而最終得到的驗證值����,因此能夠防止包含管理部在內(nèi)的多個虛擬 機以參與方為單位進行啟動而產(chǎn)生的啟動鏈條的中斷。另外��,在所述信息處理裝置中����,多個參與方分別與以下參與方模型中的任意一種 參與方模型相對應(yīng),即第1參與方模型����,該模型中的各參與方僅使用與其對應(yīng)的防篡改模 塊;第2參與方模型��,該模型中的某個參與方使用與其對應(yīng)的防篡改模塊以及與其他參與 方對應(yīng)的防篡改模塊的一部分區(qū)域���;以及第3參與方模型�����,該模型中的某個參與方不具有 與其對應(yīng)的防篡改模塊�,而是使用與其他參與方對應(yīng)的防篡改模塊的全部區(qū)域;多個虛擬 機分別使用表達了多個參與方各自的參與方模型并在多個虛擬機相互之間以及多個虛擬 機與管理部相互之間建立了依賴關(guān)系的證書����,按照證書的依賴關(guān)系所確立的順序啟動。
26
根據(jù)這種結(jié)構(gòu)�����,當多個虛擬機分別啟動時����,會使用表達了包含管理部在內(nèi)的多個 參與方各自的參與方模型并在多個虛擬機相互之間建立了依賴關(guān)系的證書,按照證書的依 賴關(guān)系所確立的順序啟動����,從而能夠得到包含管理部在內(nèi)的多個虛擬機各自相互關(guān)聯(lián)的驗 證值,作為利用這種按照證書的依賴關(guān)系所確立的順序的啟動而最終得到的驗證值���,因此 能夠防止包含管理部在內(nèi)的多個虛擬機以參與方為單位進行啟動而產(chǎn)生的啟動鏈條的中 斷�。另外���,在所述信息處理裝置中�����,設(shè)置有與管理部相對應(yīng)的第2防篡改模塊����,證書包 含參與方模型的種類���;指向與自身虛擬機關(guān)聯(lián)的其他虛擬機的指針����;表示與自身虛擬機 關(guān)聯(lián)的其他虛擬機所對應(yīng)的防篡改模塊內(nèi)的寄存器的PCR號碼���;以及表示所述第2防篡改 模塊內(nèi)的寄存器的PCR號碼����。另外���,本發(fā)明的一個實施方式的信息處理裝置是具備所述信息處理裝置的功能的 移動式終端裝置�����。另外���,本發(fā)明的一個實施方式的控制方法是一種信息處理裝置的控制方法�,該信 息處理裝置具備多個虛擬機��,與多個參與方分別對應(yīng)�����;多個防篡改模塊����,與多個虛擬機分 別對應(yīng);以及管理部�,該管理部管理多個虛擬機和多個防篡改模塊之間的處理;多個虛擬 機分別具有在多個虛擬機相互之間建立了依賴關(guān)系的證書����,按照證書的依賴關(guān)系所確立的 順序啟動,多個虛擬機分別使用在多個虛擬機相互之間建立了依賴關(guān)系的證書���,按照證書 的依賴關(guān)系所確立的順序啟動�,具有利用這種按照證書的依賴關(guān)系所確立的順序的啟動而 最終得到的驗證值的防篡改模塊基于驗證值對所述多個虛擬機進行整體驗證。根據(jù)這種結(jié)構(gòu)���,使用證書對多個虛擬機各自的依賴關(guān)系進行管理,從而保證了多 個虛擬機各自的依賴關(guān)系不被篡改����,因此能夠保證多個虛擬機按照期望的依賴關(guān)系執(zhí)行標 準化動作。另外����,當多個虛擬機分別啟動時,會參照用于證明多個虛擬機相互之間的依賴關(guān) 系的證書����,按照證書的依賴關(guān)系所確立的順序啟動,因此����,能夠保證多個虛擬機按照預(yù)先確 定的期望的順序彼此關(guān)聯(lián)地啟動。另外�����,本發(fā)明的一個實施方式的控制程序是一種信息處理裝置的控制程序,該信 息處理裝置具備多個虛擬機����,與多個參與方分別對應(yīng);多個防篡改模塊�����,與所述多個虛擬 機分別對應(yīng)�;以及管理部,該管理部管理所述多個虛擬機和所述多個防篡改模塊之間的處 理��;所述多個虛擬機分別具有在所述多個虛擬機相互之間建立了依賴關(guān)系的證書�,所述控 制程序使用在所述多個虛擬機相互之間建立了依賴關(guān)系的所述證書,按照所述證書的依賴 關(guān)系所確立的順序分別啟動所述多個虛擬機��,并使防篡改模塊基于所述驗證值對所述多個 虛擬機進行整體驗證�,該防篡改模塊具有上述按照所述證書的依賴關(guān)系所確立的順序進行 啟動而最終得到的驗證值。根據(jù)這種結(jié)構(gòu)����,使用證書對多個虛擬機各自的依賴關(guān)系進行管理,從而保證了多 個虛擬機各自的依賴關(guān)系不被篡改�,因此能夠保證多個虛擬機按照期望的依賴關(guān)系執(zhí)行標 準化動作。另外�����,當多個虛擬機分別啟動時,會參照用于證明多個虛擬機相互之間的依賴關(guān) 系的證書�����,按照證書的依賴關(guān)系所確立的順序啟動�,因此�����,能夠保證多個虛擬機按照預(yù)先確 定的期望的順序彼此關(guān)聯(lián)地啟動�。
另外,本發(fā)明的一個實施方式的集成電路是一種信息處理裝置中使用的集成電 路����,其具備多個虛擬機,與多個參與方分別對應(yīng)�;多個防篡改模塊,與所述多個虛擬機分 別對應(yīng)�;以及管理部,該管理部管理所述多個虛擬機和所述多個防篡改模塊之間的處理���; 所述多個虛擬機分別具有在所述多個虛擬機相互之間建立了依賴關(guān)系的證書�。根據(jù)這種結(jié)構(gòu),使用證書對所述多個虛擬機各自的依賴關(guān)系進行管理�,從而保證 了所述多個虛擬機各自的依賴關(guān)系不被篡改,因此能夠保證所述多個虛擬機按照期望的依 賴關(guān)系執(zhí)行標準化動作�。 (6)也可以將上述實施方式及上述變形例分別進行組合。工業(yè)實用性利用本發(fā)明的虛擬機的安全引導(dǎo)控制方法�����,在多個虛擬機分別啟動時���,使用在多 個虛擬機相互之間建立了依賴關(guān)系的證書����,并按照證書的依賴關(guān)系所確立的順序啟動��,從 而能夠得到多個虛擬機各自相互關(guān)聯(lián)的驗證值�����,作為按照證書的依賴關(guān)系所確立的順序進 行啟動而最終得到的驗證值�,因此能夠防止多個虛擬機以參與方為單位進行啟動而產(chǎn)生的 啟動鏈條的中斷。
權(quán)利要求
一種信息處理裝置����,是使多個虛擬機動作的信息處理裝置����,其特征在于�,具備依賴信息保存部,針對所述多個虛擬機中的每個虛擬機來保存依賴信息����,該依賴信息表示所述多個虛擬機各自使用其他虛擬機所具備的1個以上功能中的某個,或者表示所述多個虛擬機各自不使用其他虛擬機的功能�;以及虛擬機管理部,用于管理所述多個虛擬機的啟動����,在應(yīng)啟動的虛擬機的依賴信息表示所述應(yīng)啟動的虛擬機使用其他虛擬機的功能的情況下�,判斷為所述應(yīng)啟動的虛擬機依賴所述其他虛擬機,在所述應(yīng)啟動的虛擬機依賴其他虛擬機的情況下�,控制所述多個虛擬機的啟動順序,以便在啟動了所述其他虛擬機之后再啟動所述應(yīng)啟動的虛擬機�����。
2.如權(quán)利要求1所述的信息處理裝置��,其特征在于��,所述信息處理裝置還具備多個狀態(tài)保存部,該多個狀態(tài)保存部與所述多個虛擬機分別 對應(yīng)�����,分別保存在所述多個虛擬機各自具有的功能的完整性驗證中所使用的驗證信息�;在所述應(yīng)啟動的虛擬機依賴其他虛擬機的情況下,所述虛擬機管理部從所述其他虛擬 機的狀態(tài)保存部讀出所述應(yīng)啟動的虛擬機所使用的功能的驗證信息�,并反映到所述應(yīng)啟動 的虛擬機的狀態(tài)保存部中。
3.如權(quán)利要求2所述的信息處理裝置��,其特征在于���,所述多個狀態(tài)保存部分別具有多個記錄區(qū)域���,針對與所述多個狀態(tài)保存部分別對應(yīng)的 虛擬機,將在所述虛擬機所具有的1個以上功能的完整性驗證中使用的驗證信息保存到所 述多個記錄區(qū)域的某個中�����;在所述應(yīng)啟動的虛擬機的依賴信息表示使用所述其他虛擬機所具有的1個以上功能 之中的一部分功能的情況下����,所述虛擬機管理部將在所述其他虛擬機的狀態(tài)保存部中所保 存的驗證信息之中被記錄在與所述應(yīng)啟動的虛擬機所使用的功能相對應(yīng)的記錄區(qū)域內(nèi)的 驗證信息反映到所述應(yīng)啟動的虛擬機的狀態(tài)保存部中,與所述應(yīng)啟動的虛擬機所使用的功 能不對應(yīng)的記錄區(qū)域內(nèi)的驗證信息不反映到所述應(yīng)啟動的虛擬機的狀態(tài)保存部�。
4.如權(quán)利要求3所述的信息處理裝置�����,其特征在于����,所述信息處理裝置還具備與所述多個虛擬機分別對應(yīng)的多個防篡改模塊���, 所述多個狀態(tài)保存部分別被包含在所述多個防篡改模塊中的各防篡改模塊中�����, 所述多個虛擬機各自所具有的功能通過與所述多個虛擬機分別對應(yīng)的防篡改模塊來 實現(xiàn)���。
5.如權(quán)利要求3所述的信息處理裝置,其特征在于�����, 所述多個虛擬機分別與多個參與方相對應(yīng)��,所述多個參與方分別與以下某一個參與方模型相對應(yīng)���,包括第1參與方模型���,僅使用 各參與方所對應(yīng)的虛擬機所具有的功能;第2參與方模型����,使用其他虛擬機所具有功能中 的一部分功能;以及第3參與方模型����,使用其他虛擬機所具有的全部功能;所述依賴信息表示所述依賴信息所對應(yīng)的虛擬機的參與方模型是所述第1參與方模 型�����、所述第2參與方模型和所述第3參與方模型之中的某一個�;所述虛擬機管理部基于所述依賴信息來判斷所述應(yīng)啟動的虛擬機的參與方模型。
6.如權(quán)利要求5所述的信息處理裝置����,其特征在于,所述依賴信息包含表示具有與所述依賴信息相對應(yīng)的虛擬機所使用的功能的其他虛 擬機的信息���;以及表示記錄區(qū)域的信息�,該記錄區(qū)域保存了與所述依賴信息相對應(yīng)的虛擬機所使用的功能的驗證信息���。
7.如權(quán)利要求6所述的信息處理裝置�����,其特征在于�����,當所述應(yīng)啟動的虛擬機的依賴信息表示出保存有所述應(yīng)啟動的虛擬機所使用的功能 的驗證信息的記錄區(qū)域是其他虛擬機的記錄區(qū)域的一部分的情況下����,所述虛擬機管理部將 所述應(yīng)啟動的虛擬機的參與方模型判斷為第2參與方模型。
8.如權(quán)利要求6所述的信息處理裝置�,其特征在于,當所述應(yīng)啟動的虛擬機的依賴信息表示出保存有所述應(yīng)啟動的虛擬機所使用的功能 的驗證信息的記錄區(qū)域是其他虛擬機的整個記錄區(qū)域的情況下�����,所述虛擬機管理部將所述 應(yīng)啟動的虛擬機的參與方模型判斷為第3參與方模型���。
9.如權(quán)利要求2所述的信息處理裝置,其特征在于���,所述虛擬機所具有的功能通過1個以上模塊來實現(xiàn)���,所述多個狀態(tài)保存部分別針對自身所對應(yīng)的虛擬機所具有的功能����,每當實現(xiàn)所述功能 的模塊啟動時���,將表示所述啟動的模塊的信息累積到所述多個狀態(tài)保存部分別保存的驗證 信息中�����,由此更新所述驗證信息�����;所述虛擬機管理部將所述應(yīng)啟動的虛擬機所使用的功能的驗證信息作為所述驗證信 息的初始值保存到所述應(yīng)啟動的虛擬機的狀態(tài)保存部中���,由此將所述應(yīng)啟動的虛擬機所使 用的功能的驗證信息反映到所述應(yīng)啟動的虛擬機的狀態(tài)保存部中。
10.如權(quán)利要求9所述的信息處理裝置��,其特征在于�����,所述信息處理裝置在所述多個虛擬機按照由所述虛擬機管理部控制的順序完成啟動 后,基于所述多個狀態(tài)保存部中所保存的驗證信息對所述信息處理裝置整體的完整性進行 驗證�����。
11.如權(quán)利要求9所述的信息處理裝置����,其特征在于,所述信息處理裝置還具備用于接收來自外部服務(wù)器的認證請求的接收部����,一旦接收到 所述認證請求,就在所述多個虛擬機按照由所述虛擬機管理部控制的順序完成啟動后����,將 保存在所述多個狀態(tài)保存部中的驗證信息向所述外部服務(wù)器發(fā)送。
12.如權(quán)利要求2所述的信息處理裝置��,其特征在于����,所述信息處理裝置還具備管理狀態(tài)保存部,該管理狀態(tài)保存部針對所述虛擬機管理 部����,保存在所述虛擬機管理部所具有的1個以上功能的完整性驗證中使用的驗證信息�;所述依賴信息還包含管理依賴信息��,該管理依賴信息針對所述多個虛擬機中的每個虛 擬機���,表示所述多個虛擬機各自使用所述虛擬機管理部所具有的功能中的某個,或者表示 所述多個虛擬機各自不使用所述虛擬機管理部的功能����;如果在啟動所述多個虛擬機的某個時應(yīng)啟動的虛擬機的依賴信息表示出所述應(yīng)啟動 的虛擬機使用虛擬機管理部的功能中的某個,則所述虛擬機管理部還從所述虛擬機管理部 的管理狀態(tài)保存部中讀出所述應(yīng)啟動的虛擬機使用的功能的驗證信息�,并反映到所述應(yīng)啟 動的虛擬機的狀態(tài)保存部。
13.—種移動終端��,是使多個虛擬機動作的移動終端��,其特征在于���,具備依賴信息保存部�����,針對所述多個虛擬機中的每個虛擬機來保存依賴信息�����,該依賴信息 表示所述多個虛擬機各自使用其他虛擬機所具備的1個以上功能之中的某個�����,或者表示所 述多個虛擬機各自不使用其他虛擬機的功能��;以及虛擬機管理部�,用于管理所述多個虛擬機的啟動,在應(yīng)啟動的虛擬機的依賴信息表示 所述應(yīng)啟動的虛擬機使用其他虛擬機的功能的情況下���,判斷為所述應(yīng)啟動的虛擬機依賴所 述其他虛擬機�����,在所述應(yīng)啟動的虛擬機依賴其他虛擬機的情況下���,控制所述多個虛擬機的 啟動順序,以便在啟動了所述其他虛擬機之后再啟動所述應(yīng)啟動的虛擬機����。
14.一種控制方法,是使多個虛擬機動作的信息處理裝置的控制方法��,其特征在于��,所述信息處理裝置具備依賴信息保存部,該依賴信息保存部針對所述多個虛擬機中的每個虛擬機來保存依賴信息��,該依賴信息表示所述多個虛擬機各自使用其他虛擬機所具備 的1個以上功能之中的某個�,或者表示所述多個虛擬機各自不使用其他虛擬機的功能;所述控制方法包括判斷步驟�����,在應(yīng)啟動的虛擬機的依賴信息表示出所述應(yīng)啟動的虛擬機使用其他虛擬機 的功能的情況下����,判斷為所述應(yīng)啟動的虛擬機依賴所述其他虛擬機���;以及控制步驟���,管理所述多個虛擬機的啟動,在所述應(yīng)啟動的虛擬機依賴其他虛擬機的情 況下��,控制所述多個虛擬機的啟動順序�,以便在啟動了所述其他虛擬機之后再啟動所述應(yīng) 啟動的虛擬機。
15.一種記錄介質(zhì)��,是記錄有使多個虛擬機動作的信息處理裝置的控制程序的記錄介 質(zhì)�,其特征在于��,所述信息處理裝置具備依賴信息保存部�����,該依賴信息保存部針對所述多個虛擬機中的 每個虛擬機來保存依賴信息�,該依賴信息表示所述多個虛擬機各自使用其他虛擬機所具備 的1個以上功能之中的某個���,或者表示所述多個虛擬機各自不使用其他虛擬機的功能�����;所述控制程序包括判斷步驟�����,在應(yīng)啟動的虛擬機的依賴信息表示出所述應(yīng)啟動的虛擬機使用其他虛擬機 的功能的情況下����,判斷為所述應(yīng)啟動的虛擬機依賴所述其他虛擬機���;以及控制步驟�,管理所述多個虛擬機的啟動����,在所述應(yīng)啟動的虛擬機依賴其他虛擬機的情 況下���,控制所述多個虛擬機的啟動順序,以便在啟動了所述其他虛擬機之后再啟動所述應(yīng) 啟動的虛擬機�����。
16.一種集成電路����,對使多個虛擬機動作的信息處理裝置進行控制����,該集成電路的特征 在于,所述信息處理裝置具備依賴信息保存部�����,該依賴信息保存部針對所述多個虛擬機中的 每個虛擬機來保存依賴信息�,該依賴信息表示所述多個虛擬機各自使用其他虛擬機所具備 的1個以上功能之中的某個,或者表示所述多個虛擬機各自不使用其他虛擬機的功能�;所述集成電路管理所述多個虛擬機的啟動,在應(yīng)啟動的虛擬機的依賴信息表示出所述 應(yīng)啟動的虛擬機使用其他虛擬機的功能的情況下�����,判斷為所述應(yīng)啟動的虛擬機依賴所述其 他虛擬機,在所述應(yīng)啟動的虛擬機依賴其他虛擬機的情況下�,控制所述多個虛擬機的啟動 順序,以便在啟動了所述其他虛擬機之后再啟動所述應(yīng)啟動的虛擬機�。
全文摘要
針對具有與多個參與方分別對應(yīng)的多個虛擬機的終端,一邊保持該終端內(nèi)的虛擬機與虛擬機監(jiān)視器之間的信任依賴關(guān)系一邊啟動終端�����。本發(fā)明的信息處理裝置具備與多個參與方分別對應(yīng)的多個虛擬機���;與虛擬機和各虛擬機相對應(yīng)的防篡改模塊��;以及對虛擬機和防篡改模塊之間進行控制的管理部�����,在各虛擬機之間使用帶有信任依賴關(guān)系的證書進行安全引導(dǎo)�����。
文檔編號G06F21/57GK101960464SQ20098010630
公開日2011年1月26日 申請日期2009年2月23日 優(yōu)先權(quán)日2008年2月25日
發(fā)明者伊藤孝幸, 前田學(xué), 松島秀樹, 芳賀智之, 高山久 申請人:松下電器產(chǎn)業(yè)株式會社