本公開內(nèi)容的簡(jiǎn)要總結(jié),W向本領(lǐng)域技術(shù)人員提供基本理解�。該總結(jié) 不是本公開內(nèi)容的廣泛概述,且不意圖指定本發(fā)明的實(shí)施方式的關(guān)鍵的/重要的元素或者 勾勒本發(fā)明的范圍�。該總結(jié)的唯一目的在于W簡(jiǎn)要形式給出本文中公開的一些概念作為在 后文給出的更詳細(xì)描述的前奏。
[0017] 根據(jù)本文中描述的和要求保護(hù)的一個(gè)或多個(gè)實(shí)施方式���,加密簽名的��、對(duì)特定設(shè)備 是唯一的且包括表版本號(hào)的暫時(shí)性防回滾表被提供給需要替換防回滾表的電子設(shè)備�����。在 重新開機(jī)之后����,該表被裝載到存儲(chǔ)器中且被該設(shè)備驗(yàn)證,W及該表用于在全部可信軟件組 件被裝載時(shí)對(duì)它們進(jìn)行防回滾驗(yàn)證�。如果任何軟件組件具有較晚的安全修訂號(hào),或者如果 軟件組件未被列在表中�,則更新暫時(shí)性防回滾表的存儲(chǔ)映像。當(dāng)對(duì)足夠的軟件組件進(jìn)行防 回滾驗(yàn)證和裝載時(shí)�,將暫時(shí)性防回滾表的(可能修改的)存儲(chǔ)映像寫入到非易失性存儲(chǔ)器 (連同完整性信息一起寫入RPMB或者公共存儲(chǔ)器)作為替換防回滾表,且刪除暫時(shí)性防回 滾表�����。也增大在OTP存儲(chǔ)器中的最小暫時(shí)性表版本號(hào)�����,例如通過翻轉(zhuǎn)OTP位元�。該阻止再 次利用暫時(shí)性防回滾表����,該表甚至在刪除后可恢復(fù)�,例如由于閃存的損耗均衡特征。在授權(quán) 服務(wù)中屯����、處使用私人密鑰創(chuàng)建暫時(shí)性防回滾表并對(duì)其進(jìn)行加密簽名;在電子設(shè)備中的對(duì)應(yīng) 的公共密鑰驗(yàn)證該暫時(shí)性防回滾表的真實(shí)性�。該服務(wù)中屯、必須從該設(shè)備讀取唯一的設(shè)備ID W及需要被接受的最小防回滾表版本號(hào)�����,W對(duì)該暫時(shí)性防回滾表進(jìn)行簽名����。
[0018] 一個(gè)實(shí)施方式設(shè)及一種通過電子設(shè)備進(jìn)行恢復(fù)的方法,該電子設(shè)備具有處理器W 及具有非易失性存儲(chǔ)器和一次性可編程(OT巧存儲(chǔ)器�����,其中�,防回滾表丟失或損壞��。將設(shè)備 重新開機(jī)。開機(jī)代碼或最初由開機(jī)代碼裝載的第一安全軟件組件將暫時(shí)性防回滾表從預(yù)定 地址裝載到存儲(chǔ)器中���,該暫時(shí)性防回滾表具有版本號(hào)且已經(jīng)被加密簽名�����。暫時(shí)性防回滾表 包括對(duì)于多個(gè)軟件組件中的每一個(gè)軟件組件的可允許的最小安全修訂號(hào)���。驗(yàn)證暫時(shí)性防回 滾表的有效性。使用暫時(shí)性防回滾表的存儲(chǔ)映像�����,驗(yàn)證在開機(jī)過程期間隨后裝載的各個(gè)軟 件組件的安全修訂號(hào)�����。在裝載合適的存儲(chǔ)器寫入驅(qū)動(dòng)器之后�,安全地保存暫時(shí)性防回滾表 的存儲(chǔ)映像作為替換防回滾表。
[0019] 另一實(shí)施方式設(shè)及一種創(chuàng)建用于電子設(shè)備的暫時(shí)性防回滾表的方法��。從設(shè)備獲得 唯一的設(shè)備ID和防回滾表的所需的最小版本號(hào)���。生成暫時(shí)性防回滾表���,該暫時(shí)性防回滾表 包括待進(jìn)行防回滾驗(yàn)證的全部安全軟件組件的標(biāo)識(shí)W及對(duì)于各個(gè)該種軟件組件的安全修 訂號(hào)���。使用私人密鑰、設(shè)備ID和所需的最小表版本號(hào)對(duì)暫時(shí)性防回滾表進(jìn)行加密簽名���。然 后將暫時(shí)性防回滾表提供給該設(shè)備��。
[0020] 另一實(shí)施方式設(shè)及一種電子設(shè)備�����,該電子設(shè)備包括處理器�、非易失性存儲(chǔ)器和一 次性可編程(OT巧存儲(chǔ)器���。處理器被操作W將設(shè)備重新開機(jī)���,然后通過開機(jī)代碼或最初由 開機(jī)代碼裝載的第一安全軟件組件將暫時(shí)性防回滾表從預(yù)定地址裝載到存儲(chǔ)器中,該暫時(shí) 性防回滾表具有版本號(hào)且已經(jīng)被加密簽名�。暫時(shí)性防回滾表包括對(duì)于多個(gè)軟件組件中的每 一個(gè)軟件組件的可允許的最小安全修訂號(hào)。處理器進(jìn)一步被操作W驗(yàn)證該暫時(shí)性防回滾表 的有效性�,W及使用暫時(shí)性防回滾表的存儲(chǔ)映像驗(yàn)證在開機(jī)過程期間隨后裝載的各個(gè)軟件 組件的安全修訂號(hào)�����。在合適的存儲(chǔ)器寫入驅(qū)動(dòng)器被裝載之后,處理器被操作W安全地保存 暫時(shí)性防回滾表的存儲(chǔ)映像作為替換防回滾表���。
【附圖說明】
[0021] 在下文中將結(jié)合附圖更全面地描述本發(fā)明��,在附圖中示出了本發(fā)明的實(shí)施方式��。 然而���,本發(fā)明不應(yīng)被理解為限于在本文中所列舉的實(shí)施方式。相反�����,該些實(shí)施方式被提供使 得本公開內(nèi)容將是透徹的和完整的����,且將向本領(lǐng)域技術(shù)人員充分表達(dá)本發(fā)明的范圍。在全 文中���,相同的附圖標(biāo)記指的是相同的元件�。
[0022] 圖1為電子設(shè)備的有關(guān)部分的功能性框圖�����。
[0023] 圖2為創(chuàng)建用于電子設(shè)備的暫時(shí)性防回滾表的方法的流程圖。
[0024] 圖3為電子設(shè)備進(jìn)行恢復(fù)的方法的流程圖�,其中,防回滾表丟失或損壞����。
【具體實(shí)施方式】
[0025] 起初應(yīng)理解到,盡管在下文中提供了本發(fā)明的一個(gè)或多個(gè)實(shí)施方式的示例性實(shí) 現(xiàn)�,但是可使用許多技術(shù)(不論是否為目前已知或存在的技術(shù))來實(shí)現(xiàn)所公開的系統(tǒng)和/ 或方法。本公開內(nèi)容絕不應(yīng)當(dāng)受限于下文所示出的示例性實(shí)現(xiàn)�����、附圖和技術(shù)��,其包括本文中 所示出和描述的示例性設(shè)計(jì)和實(shí)現(xiàn)���,但可在所附權(quán)利要求的范圍及其等效物的全部范圍內(nèi) 進(jìn)行修改�����。
[0026] 圖1示出根據(jù)本發(fā)明的一個(gè)或多個(gè)實(shí)施方式的在電子設(shè)備10內(nèi)的計(jì)算資源的操 作視圖�����。在最普通的操作期間���,富執(zhí)行環(huán)境12是有效的。富執(zhí)行環(huán)境12在非安全CPU14 上執(zhí)行�����,該非安全CPU14可運(yùn)行富操作系統(tǒng)���,例如Linux��、WindowsCE����、An化oid等�����。非安全CPU14訪問RAM存儲(chǔ)器16�����、ROM存儲(chǔ)器17���、W及非易失性存儲(chǔ)器�,例如閃存18。在一個(gè)實(shí) 施方式中�,代替閃存18或除了閃存18外,富執(zhí)行環(huán)境12包括符合嵌入式多媒體卡(eMMC) 規(guī)范的閃存20���。eMMC存儲(chǔ)器20包括回放保護(hù)內(nèi)存塊(RPMB) 22�����,訪問該RPMB22需要認(rèn)證��, 例如使用RPMB和可信執(zhí)行環(huán)境30之間共享的秘密密鑰�����。
[0027] 在開機(jī)期間W及在需要安全處理環(huán)境的其它時(shí)間(例如�����,在諸如認(rèn)證或加密/解 密的加密事務(wù)期間���,在數(shù)字版權(quán)管理值igital化曲tsManagement,DRM)內(nèi)容驗(yàn)證期間 等),可信執(zhí)行環(huán)境30是有效的?����?尚艌?zhí)行環(huán)境30在安全CPU32上執(zhí)行����,該安全CPU32 可包括與非安全CPU14分開的處理器����。可替選地���,單一處理器可W按照默認(rèn)模式實(shí)施非安 全CPU14,且按照可信模式實(shí)施安全CPU32 (例如ARVT T民USTZONE^t架構(gòu))���。在可信 執(zhí)行環(huán)境30中,安全CPU32對(duì)安全ROM存儲(chǔ)器34�、RAM存儲(chǔ)器36、W及可能加密的處理電 路38進(jìn)行獨(dú)占訪問���。加密電路38可對(duì)安全的一次性可編程(OT巧存儲(chǔ)器40進(jìn)行獨(dú)占訪 問��。OTP存儲(chǔ)器40可用于存儲(chǔ)版本號(hào)�����、唯一隨機(jī)數(shù)�、設(shè)備ID、秘密的或私人的加密密鑰等�。 在各實(shí)施方式中,可信執(zhí)行環(huán)境30可包括額外的功能電路和/或硬件電路����。通常,在可信 執(zhí)行環(huán)境30內(nèi)的存儲(chǔ)器和電路不可W被非安全硬件或進(jìn)程(例如��,非安全CPU14或其它 電路)訪問��。
[002引當(dāng)然��,電子設(shè)備可包括在此不相關(guān)的且在圖1中未示出的許多電路和組件�,例如 無線調(diào)制解調(diào)器、GI^接收器��、輸入/輸出特征(觸摸屏���、鍵盤等)�����、壓縮/解壓引擎���、圖片處 理器���、照相機(jī)和圖像處理電路等。
[0029] 對(duì)于許多現(xiàn)代化電子設(shè)備����,安全開機(jī)依賴于TCB,TCB包含可信執(zhí)行環(huán)境30的多個(gè) 部分�����。如上文所述���,防回滾表可被裝載和驗(yàn)證,且在裝載軟件之前針對(duì)該表驗(yàn)證可信軟件組 件的安全版本號(hào)�,W確保僅最新版本(修補(bǔ)全部已知的漏洞和安全弱點(diǎn))可被裝載。然而��, 防回滾表可被丟失或損壞��,例如由于對(duì)存儲(chǔ)該表的非易失性存儲(chǔ)器的破壞�。根據(jù)本發(fā)明的 實(shí)施方式��,提供恢復(fù)有效的�、最新的防回滾表�����,同時(shí)通過完整的富OS開機(jī)和進(jìn)入操作狀態(tài) 的設(shè)備10而從第一開機(jī)代碼開始提供防回滾驗(yàn)證和保護(hù)的安全方法��。
[0030] 大多數(shù)電子設(shè)備10最初從ROM34開機(jī)�����。開機(jī)ROM代碼可不包含對(duì)軟件防回滾的 任何支持���。在該種情況下�,軟件防回滾通過由開機(jī)ROM34裝載的第一軟件組件來處理����,開 機(jī)ROM34在本文中稱作初始安全軟件(InitialSecureSoftware,ISSW)。ISSW是TCB的 一部分且被裝載在安全RAM36中并在RAM36中執(zhí)行�����,富操作系統(tǒng)或者在富執(zhí)行環(huán)境12中 執(zhí)行的任何其它代碼不可訪問該RAM36��。對(duì)于ISSW的軟件防回滾保護(hù)由軟件組件自身來 處理。作為在其執(zhí)行期間的第一個(gè)任務(wù)����,ISSW針對(duì)在OTP存儲(chǔ)器40中的對(duì)應(yīng)的號(hào),檢查其 作為其簽名圖像的一部分的安全修訂號(hào)�����。OTP存儲(chǔ)器40存儲(chǔ)任何曾經(jīng)裝載在設(shè)備10上的 ISSW的最高安全修訂號(hào)�����。如果簽名圖像的安全修訂大于或等于OTP存儲(chǔ)器40中的值��,貝U ISSW被接受且繼續(xù)執(zhí)行�。否則,立即停止該執(zhí)行���。在ISSW圖像的安全修訂大于OTP40中 的值的情況下,則OTP40位元被翻轉(zhuǎn)使得OTP40安全修訂號(hào)等于ISSW圖像中的值��。
[0031] 包含�、或者裝載和驗(yàn)證可信執(zhí)行環(huán)境30的核和靜態(tài)可信應(yīng)用的ISSW包含用于防 回滾驗(yàn)證的代碼。當(dāng)驗(yàn)證軟件組件的簽名時(shí)��,該代碼在安全RAM36中保持可用且能夠被其 它軟件組件調(diào)用,W執(zhí)行軟件防回滾檢查��。該代碼處理:
[0032] ?將防回滾表從非易失性存儲(chǔ)器18或者eMMC20的RPMB分區(qū)22裝載到其在安 全RAM36中的存儲(chǔ)映像中����。如果從非易失性存儲(chǔ)器18裝載防回滾表,則ISSW額外地讀取 完整性信息且加密地驗(yàn)證該表����;
[0033] ?對(duì)于試圖裝載的各個(gè)后續(xù)軟件組件,針對(duì)該表的存儲(chǔ)映像中的對(duì)應(yīng)的安全修訂 號(hào)����,檢查該軟件組件的安全修訂號(hào);
[0034] ?在裝載具有比表中的安全修