專利名稱:軟件認(rèn)證的制作方法
技術(shù)領(lǐng)域:
本發(fā)明通常涉及軟件安全�����。盡管不是絕對(duì)的����,但更準(zhǔn)確地說��,本發(fā)明涉及軟件廢止���、更新以及軟件簽名���。
背景技術(shù):
軟件簽名是一種廣泛使用的方法,以用于確保電子設(shè)備僅運(yùn)行那些它想要運(yùn)行的代碼和已經(jīng)由被可信實(shí)體提供的代碼���?;谝韵聨追矫嬖?���,對(duì)在電子設(shè)備上運(yùn)行哪些軟件進(jìn)行控制很重要:設(shè)備安全�,客戶的私密性����、品牌保護(hù)、設(shè)備證書��、符合立法當(dāng)局規(guī)定�����,保護(hù)設(shè)備的軟件資產(chǎn)���,啟動(dòng)應(yīng)用和服務(wù)業(yè)務(wù)等���。失去對(duì)可執(zhí)行軟件的控制對(duì)消費(fèi)者和設(shè)備制造商都會(huì)產(chǎn)生嚴(yán)重的影響。公共秘密加密(PKI)是一種這樣的方法���,其能夠被用于簽名軟件和驗(yàn)證軟件的真實(shí)性(authenticity)。PKI使用密鑰對(duì)��,其包括公共密鑰和私有密鑰��。私有密鑰被用于簽名軟件,并應(yīng)僅由控制哪些軟件會(huì)被允許在具體設(shè)備上執(zhí)行的實(shí)體知曉����。這種實(shí)體例如可以是設(shè)備制造商。公共密鑰應(yīng)被保存于設(shè)備上��,設(shè)備被配置為使用公共密鑰以用于在允許新軟件在該設(shè)備上執(zhí)行之前對(duì)該軟件執(zhí)行加密檢查�����。
發(fā)明內(nèi)容
根據(jù)本發(fā)明第一個(gè)示例性方面����,提供一種裝置,其包括:至少一個(gè)安全存儲(chǔ)器區(qū)域����,其包含有多個(gè)預(yù)安裝的公共密鑰,以用于驗(yàn)證軟件真實(shí)性����;至少一個(gè)處理器;和至少一個(gè)存儲(chǔ)器���,其包含計(jì)算機(jī)程序代碼����,所述至少一個(gè)存儲(chǔ)器和所述計(jì)算機(jī)程序代碼被配置為,通過用所述至少一個(gè)處理器�����,使得該裝置至少:接收指示���,其指示根據(jù)公共密鑰體系使用私有密鑰簽名的軟件包已經(jīng)被接收到���;從所述安全存儲(chǔ)區(qū)域,檢查與簽名該軟件包所使用的所述私有密鑰相關(guān)聯(lián)的公共密鑰是否被禁用����;和若與該私有密鑰相關(guān)聯(lián)的公共密鑰被禁用,則阻止執(zhí)行所接收到的軟件包����,和否貝U,進(jìn)行至使用與該私有密鑰相關(guān)聯(lián)的公共密鑰����,驗(yàn)證所接收到的軟件包的真實(shí)性��。根據(jù)本發(fā)明的第二個(gè)示例性方面,提供一種方法�,其包括:維護(hù)安全存儲(chǔ)區(qū)域,所述安全存儲(chǔ)區(qū)域包含有多個(gè)預(yù)安裝的公共密鑰����,以用于驗(yàn)證軟件真實(shí)性;接收指示���,其指示根據(jù)公共密鑰體系使用私有密鑰簽名的軟件包已經(jīng)被接收到�;從所述安全存儲(chǔ)區(qū)域��,檢查與簽名該軟件包所使用的所述私有密鑰相關(guān)聯(lián)的公共密鑰是否被禁用����;和若與該私有密鑰相關(guān)聯(lián)的公共密鑰被禁用,則阻止執(zhí)行所接收到的軟件包�����,和否貝U���,進(jìn)行至使用與該私有密鑰相關(guān)聯(lián)的公共密鑰����,驗(yàn)證所接收到的軟件包的真實(shí)性。
根據(jù)本發(fā)明第三個(gè)示例性方面����,提供一種方法,其包括:獲取多個(gè)公共-私有密鑰對(duì)���,將所述公共-私有密鑰對(duì)中的多個(gè)公共密鑰預(yù)安裝于電子裝置的安全存儲(chǔ)區(qū)域中���,以用于驗(yàn)證將運(yùn)行于該電子裝置中的軟件的真實(shí)性;以及將所述公共-私有密鑰對(duì)中的多個(gè)私有密鑰保存在分離的地方����,以用于簽名將運(yùn)行于該電子裝置中的軟件。根據(jù)本發(fā)明第四個(gè)示例性方面���,提供一種計(jì)算機(jī)程序����,其包含在計(jì)算機(jī)可讀介質(zhì)上����,包含有計(jì)算機(jī)可執(zhí)行程序代碼�,當(dāng)由裝置的至少一個(gè)處理器執(zhí)行時(shí)��,其中該裝置包括至少一個(gè)安全存儲(chǔ)區(qū)域�,該安全存儲(chǔ)區(qū)域包含有用于驗(yàn)證軟件真實(shí)性的多個(gè)預(yù)安裝的公共密鑰�,使得該裝置:接收指示,其指示根據(jù)公共密鑰體系使用私有密鑰簽名的軟件包已經(jīng)被接收到�����;從所述安全存儲(chǔ)區(qū)域���,檢查與簽名該軟件包所使用的所述私有密鑰相關(guān)聯(lián)的公共密鑰是否被禁用��;和若與該私有密鑰相關(guān)聯(lián)的公共密鑰被禁用����,則阻止執(zhí)行所接收到的軟件包����,和否貝U,進(jìn)行至使用與該私有密鑰相關(guān)聯(lián)的公共密鑰�����,驗(yàn)證所接收的軟件包的真實(shí)性。根據(jù)本發(fā)明第五個(gè)實(shí)例性方面�,提供一種裝置,其包含:存儲(chǔ)部件�,其包含有用于驗(yàn)證軟件真實(shí)性的預(yù)安裝的公共密鑰;用于接收指示的部件��,該指示表示根據(jù)公共密鑰體系使用私有密鑰簽名的軟件包已經(jīng)被接收到�;用于從所述安全存儲(chǔ)區(qū)域,檢查與簽名該軟件包所使用的所述私有密鑰相關(guān)聯(lián)的公共密鑰是否被禁用的部件�;和被配置為若與該私有密鑰相關(guān)聯(lián)的公共密鑰被禁用,則阻止執(zhí)行所接收到的軟件包�,和否則,進(jìn)行至使用與該私有密鑰相關(guān)聯(lián)的公共密鑰��,驗(yàn)證所接收的軟件包的真實(shí)性的部件���。任何前述存儲(chǔ)器介體可包括數(shù)字?jǐn)?shù)據(jù)存儲(chǔ)器���,諸如數(shù)據(jù)光盤或軟盤、光學(xué)存儲(chǔ)器�,磁盤,全息存儲(chǔ)器�����,光磁存儲(chǔ)器,相變存儲(chǔ)器���,電阻隨機(jī)存儲(chǔ)器����,磁隨機(jī)存儲(chǔ)器����,固態(tài)電解質(zhì)存儲(chǔ)器��,鐵電隨機(jī)存儲(chǔ)器����,有機(jī)存儲(chǔ)器或聚合物存儲(chǔ)器。存儲(chǔ)器介質(zhì)可形成于除了保存記憶外不帶其它實(shí)質(zhì)功能的設(shè)備中或它可形成為帶有其他功能的設(shè)備的一部分�����,包括但不局限于計(jì)算機(jī)的存儲(chǔ)器��、芯片組���、和電子設(shè)備的子組����。已經(jīng)在前面說明了本發(fā)明的幾個(gè)非限定示例性方面和實(shí)施例。上述實(shí)施例僅用于解釋所選擇的可以被用于實(shí)現(xiàn)本發(fā)明的方面和步驟��?���?梢詢H參照本發(fā)明某些實(shí)例性方面來(lái)提供某些實(shí)施例。應(yīng)當(dāng)知道的是�,對(duì)應(yīng)實(shí)施例同樣可以應(yīng)用于其他示例性方面。
僅作為例子��,參照附圖描述本發(fā)明����,其中:圖1表示通常的軟件簽名過程;圖2表示根據(jù)本發(fā)明示例性實(shí)施例的軟件簽名過程����;圖3是根據(jù)本發(fā)明示例性的方法的流程圖;圖4A是根據(jù)本發(fā)明示例性的另一方法的流程圖4B是根據(jù)本發(fā)明示例性的另一方法的流程圖�����;圖5示出包含有安全執(zhí)行環(huán)境的示例性設(shè)備���;圖6表示根據(jù)本發(fā)明示例性實(shí)施例的裝置中的密鑰管理���;和圖7提供其中可以應(yīng)用本發(fā)明的各個(gè)實(shí)施例的裝置的示例性模塊圖�。
具體實(shí)施例方式在下面的說明中�,相同數(shù)字表明相同的單元。對(duì)電子設(shè)備���,像移動(dòng)電話的常見安全威脅是包含在該設(shè)備自己軟件中的缺陷��。惡意黑客能夠利用該缺陷并獲取所需要功能的控制,像補(bǔ)貼鎖(subsidy lock)�。在電子設(shè)備的研究和開發(fā)階段,可能包含有具有安全隱患缺陷的許多軟件版本被創(chuàng)建和簽名以用于該目標(biāo)電子設(shè)備���。正常工作流可能包含實(shí)現(xiàn)�、測(cè)試和固定設(shè)備軟件的許多階段���,作為制造準(zhǔn)備給消費(fèi)者市場(chǎng)的設(shè)備過程的一部分�。由于可能包含有安全威脅缺陷的研究和開發(fā)版本軟件能夠在目標(biāo)設(shè)備上執(zhí)行���,所以當(dāng)它們泄露給公眾時(shí)����,它們就產(chǎn)生了安全威脅。處理這個(gè)的一種可能方法是當(dāng)設(shè)備準(zhǔn)備進(jìn)入消費(fèi)者市場(chǎng)時(shí)改變軟件簽名所使用的公共-私密密鑰對(duì)���。這意味著保存于設(shè)備硬件中的密鑰對(duì)中的公共部分需要被改變�。賣給消費(fèi)者的每個(gè)設(shè)備都具有與在早期研究和開發(fā)階段所使用的密鑰不同的密鑰�。這種方法中,用研究和開發(fā)階段密鑰所簽名的任何軟件圖像都將不能運(yùn)行于賣給消費(fèi)者的設(shè)備上��。公共密鑰被永久地編程到設(shè)備硬件中����,從而改變?cè)撁荑€已經(jīng)意味著制造新設(shè)備?�?刂扑接忻荑€的實(shí)體被迫生成新的私有/公共密鑰對(duì)并獲取包含有新公共密鑰的新硬件部分�。新硬件部分例如一定是已經(jīng)訂購(gòu)于外部芯片供應(yīng)商。從而�,新部分已經(jīng)被傳送到設(shè)備生產(chǎn)線以用于組裝新設(shè)備,并且軟件簽名方案已經(jīng)被改變來(lái)使用新密鑰����,而之前所生成的所有軟件包將不再能運(yùn)行于該新設(shè)備硬件上。換句話說,改變所使用密鑰將是一種消耗資源��、金錢的艱巨任務(wù)�����,并給芯片組合設(shè)備制造商帶來(lái)物流負(fù)擔(dān)�。本發(fā)明的示例性實(shí)施例現(xiàn)在提供新類型的公共密鑰管理來(lái)進(jìn)行軟件簽名。本發(fā)明的示例性實(shí)施例引入將幾個(gè)公共密鑰一次注入設(shè)備硬件����。在另一個(gè)示例性實(shí)施例中,基于索引的管理被創(chuàng)建來(lái)控制公共密鑰的使用����。根據(jù)本發(fā)明的示例性實(shí)施例的裝置包括多個(gè)預(yù)安裝的公共密鑰,而不是僅包含一個(gè)公共密鑰�。多個(gè)公共密鑰可以被保存于安全存儲(chǔ)區(qū)域��。某些預(yù)安裝密鑰可能被禁用于進(jìn)一步的使用���。圖1示出用于裝置106的通常的軟件簽名過程�。該裝置包含處理硬件107 (專用集成電路�����,ASIC)和閃存108。在模塊101中生成公共-私有密鑰對(duì)�����。生成的私有密鑰102應(yīng)當(dāng)保密并應(yīng)當(dāng)僅可用于授權(quán)的軟件制造商���。生成的公共密鑰103被保存于裝置106的硬件107中�。公共密鑰可嵌入在硬件107的一次性可編程存儲(chǔ)器(OTP)中����。在模塊105中,用私有密鑰102來(lái)簽名軟件圖像104以獲得簽名后的軟件圖像(或軟件包)109���。簽名的軟件圖像109和關(guān)聯(lián)簽名110被提供給裝置106的閃存108����。于是�����,裝置106的硬件107對(duì)照嵌入在硬件107中的公共密鑰103來(lái)驗(yàn)證簽名110�����。在這種情形中,在簽名方案中改變密鑰對(duì)實(shí)質(zhì)上意味著需要具有新硬件的新裝置����,因?yàn)楣裁荑€103被嵌入在裝置106內(nèi)部。圖2示出根據(jù)本發(fā)明示例性實(shí)施例用于裝置206的軟件簽名過程���。該裝置包括處理硬件207 (專用集成電路��,ASIC)和閃存108�。在模塊201中生成幾個(gè)公共-私有密鑰對(duì)���。生成的私有密鑰202應(yīng)當(dāng)保密并應(yīng)當(dāng)僅可用于授權(quán)的軟件制造商����。生成的公共密鑰203被保存于裝置206的硬件207中�����。公共密鑰203可嵌入在硬件207的一次性可編程存儲(chǔ)器(OTP)中�����。私有密鑰202和公共密鑰203可以分別被設(shè)置有索引211和212��。在模塊205中�,用幾個(gè)私有密鑰202中的當(dāng)前活動(dòng)私有密鑰來(lái)簽名軟件圖像104,從而獲得被簽名的軟件圖像(或軟件包)109��。被簽名的軟件圖像109和關(guān)聯(lián)簽名被提供給裝置206的閃存108�����。接著�����,裝置206的硬件207確認(rèn)正在使用有效的公共-私有密鑰對(duì)�����,并接著對(duì)照嵌入在硬件207中的幾個(gè)公共密鑰203中的當(dāng)前活動(dòng)密鑰來(lái)驗(yàn)證簽名110�。在這種情況下,在簽名方案中改變密鑰對(duì)涉及禁用之前使用的密鑰對(duì)并采用新的密鑰對(duì)�����,并且在密鑰改變后可以使用完全相同的裝置206���。索引211和212可以用于禁用和改變密鑰對(duì)�。圖3是流程圖,其示出根據(jù)本發(fā)明示例性實(shí)施例的另一種方法�。該方法涉及制造電子裝置。電子裝置例如可以是專用集成電路或某些其它硬件組件�。在階段310,獲取多個(gè)公共-私有密鑰對(duì)�����。該密鑰可被生成或它們可從某些適當(dāng)?shù)脑传@取�����。例如����,該密鑰可以事先被生成。在階段320��,公共-私有密鑰對(duì)的多個(gè)公共密鑰被預(yù)安裝于電子裝置中��,以為了被用于驗(yàn)證將在該電子裝置上運(yùn)行的軟件的真實(shí)性���。公共密鑰可以被保存于電子裝置的安全存儲(chǔ)區(qū)域��。在階段330�����,公共-私有密鑰對(duì)的多個(gè)私有密鑰被保存于單獨(dú)的地方�,以為了被用于簽名為該電子裝置而準(zhǔn)備的軟件�。在本發(fā)明示例性實(shí)施例中,為公共-私有密鑰對(duì)建立索引表���,其將公共和私有密鑰映射到索引號(hào)上�。于是����,該索引號(hào)可以被用于控制正使用的公共-私有密鑰對(duì),并如本文件其他地方所述那樣用于根據(jù)本發(fā)明的各種實(shí)施例來(lái)驗(yàn)證所使用密鑰對(duì)的有效性����。圖4A是流程圖,其示出根據(jù)本發(fā)明實(shí)施例的方法�。該方法例如可被實(shí)現(xiàn)在圖2的裝置206中。在階段410���,接收用私有密鑰簽名的軟件包�����。在階段420���,檢查與簽名該軟件包所使用的私有密鑰相關(guān)聯(lián)的公共密鑰是否被禁用��。如果與該私有密鑰相關(guān)聯(lián)的公共密鑰被禁用�����,在階段430中��,所接收軟件包的執(zhí)行被禁止�����。否則��,該過程進(jìn)行到階段440����,以使用與該私有密鑰相關(guān)聯(lián)的公共密鑰來(lái)驗(yàn)證所接收軟件包的真實(shí)性���。若真實(shí)性未被確認(rèn)�����,則過程進(jìn)行到階段430����,從而所接收軟件包的執(zhí)行被禁止����。否則,在階段450中允許執(zhí)行該軟件包并且/或采取進(jìn)一步的安全措施����。在本發(fā)明示例性實(shí)施例中,多個(gè)預(yù)安裝公共密鑰具有相關(guān)聯(lián)的公共密鑰索引號(hào)���,并且安全存儲(chǔ)區(qū)域包含指示當(dāng)前所使用的公共密鑰的當(dāng)前公共密鑰索引號(hào)�����。接著��,隨著所接收的軟件包�����,私有密鑰索引號(hào)被接收到���,所接收私有密鑰索引號(hào)和所保存的當(dāng)前公共密鑰索引號(hào)相比較����。如果所接收的私有密鑰索引號(hào)等于當(dāng)前公共密鑰索引號(hào)�����,則該過程進(jìn)行以使用與該私有密鑰相關(guān)聯(lián)的公共密鑰來(lái)驗(yàn)證所接收軟件包的真實(shí)性����。如果所接收私有密鑰索引號(hào)不同于當(dāng)前公共密鑰索引號(hào)時(shí),作出進(jìn)一步的檢查�。在本發(fā)明示例性實(shí)施例中,該過程如下繼續(xù)進(jìn)行:若所接收私有密鑰索引號(hào)與被禁用的公共密鑰索引號(hào)匹配���,則所接收軟件包的執(zhí)行被禁止�����。否則�����,過程向前進(jìn)行以使用與該私有密鑰相關(guān)聯(lián)的公共密鑰來(lái)驗(yàn)證所接收軟件包的真實(shí)性�。在本發(fā)明示例性實(shí)施例中,所接收私有密鑰索引號(hào)被保存作為當(dāng)前公共密鑰索引號(hào)�����,從而私有-公共密鑰對(duì)被更改為新的一個(gè)���。另外,之前的公共密鑰被禁用����。通過禁用之前的公共密鑰,由之前的私有-公共密鑰對(duì)簽名的任何軟件都被廢止�����。在本發(fā)明另一示例性實(shí)施例中�����,該過程如下繼續(xù)進(jìn)行:若所接收的私有密鑰索引號(hào)小于當(dāng)前公共密鑰索引號(hào)�����,則所接收軟件包的執(zhí)行被禁止。若所接收私有密鑰索引號(hào)大于當(dāng)前公共密鑰索引號(hào)�����,則過程向前進(jìn)行以使用與該私有密鑰相關(guān)聯(lián)的公共密鑰來(lái)驗(yàn)證所接收軟件包的真實(shí)性��。在本發(fā)明示例性實(shí)施例中�����,所接收私有密鑰索引號(hào)被保存作為當(dāng)前公共密鑰索引號(hào)����,從而私有-公共密鑰對(duì)被更改為新的一個(gè)。在這種情況下�,之前的公共密鑰自動(dòng)變成禁用,由之前的私有-公共密鑰對(duì)簽名的任何軟件被廢止�。圖4B是流程圖,其示出根據(jù)本發(fā)示例性明實(shí)施例的方法���。所示出的方法可以是圖4A中所示方法的一部分�,并例如可以被置于圖4A的階段420的否分支中���。在階段460�,所接收私有密鑰索引號(hào)與保存于設(shè)備中的當(dāng)前公共密鑰索引號(hào)相比較。若索引號(hào)相同�,則過程進(jìn)行到階段470,從而從圖4A的階段440繼續(xù)執(zhí)行�����。在這種情況下�����,可以推斷所接收軟件使用與之前相同的私有-公共密鑰對(duì)�����。若索引號(hào)不同�,則在階段480����,所接收私有密鑰索引號(hào)被保存作為當(dāng)前公共密鑰索引號(hào),從而新的私有-公共密鑰對(duì)被投入使用��。從而過程繼續(xù)進(jìn)行到階段470并從圖4A的階段440繼續(xù)執(zhí)行��。許多電子設(shè)備,例如像移動(dòng)電話裝備�����,有安全執(zhí)行環(huán)境(SEE)��,以用于執(zhí)行安全關(guān)鍵代碼和操控敏感內(nèi)容��。圖5示出包含有這種安全執(zhí)行環(huán)境的示例性設(shè)備501�����。設(shè)備501包含處理硬件502和非易失性存儲(chǔ)器503 (例如閃存)��。處理硬件502包含公共處理單元(PUB PU)504�,用于代碼和數(shù)據(jù)的公共存儲(chǔ)器(PUB MEM) 505,以及安全執(zhí)行環(huán)境(SEE) 506。SEE506包含安全處理單元(SEC PU) 507����,用于代碼和數(shù)據(jù)的安全存儲(chǔ)器(SEC MEM) 508,并訪問一次性可編程(OTP)存儲(chǔ)器509�����。SEE506與處理環(huán)境(PUB PU和PUB MEM)的剩余部分在邏輯和/或物理上分離�����,在該處理環(huán)境中執(zhí)行大部分的軟件,像設(shè)備的操作系統(tǒng)(OS)����。這使得SEE506成為可信的并與操作系統(tǒng)隔離的環(huán)境,這可為整個(gè)設(shè)備501提供安全服務(wù)和功能��。SEE506可提供的服務(wù)中的一個(gè)是在允許任何新的軟件在設(shè)備501上運(yùn)行之前驗(yàn)證它是由可信源簽名過的����。圖6示出根據(jù)本發(fā)明示例性實(shí)施例的裝置中的密鑰管理。該裝置包括處理硬件601和非易失性存儲(chǔ)器602����。非易失性存儲(chǔ)器602包括被簽名的軟件圖像603以及簽名604和閃存索引號(hào)605。閃存索引號(hào)605指示在簽名軟件圖像603中已經(jīng)被使用的私有密鑰的索引號(hào)����。處理硬件601包括可信初始化代碼606�����,0TP索引號(hào)607和保存于OTP存儲(chǔ)器中的與索引號(hào)608相關(guān)聯(lián)的幾個(gè)公共密鑰���?���?尚懦跏蓟a606是一段計(jì)算機(jī)程序代碼,其運(yùn)行于處理硬件601的可信部分(諸如結(jié)合圖5所公開的SEE)中并被配置為認(rèn)證新的軟件�。OTP索引號(hào)607指示當(dāng)前被使用的公共密鑰的索引號(hào)。
在本發(fā)明示例性實(shí)施例中���,圖6的裝置如下運(yùn)行:1.可信初始化代碼606讀取閃存索引號(hào)605���。2.可信初始化代碼606讀取OTP索引號(hào)607,并將它與閃存索引號(hào)605相比較�����。若閃存索引號(hào)605等于或大于OTP索引號(hào)607����,則軟件圖像603的執(zhí)行被允許繼續(xù)進(jìn)行。若閃存索引號(hào)605小于OTP索引號(hào)607�,則軟件圖像603的執(zhí)行被停止并且相反的措施將被實(shí)
施。相反措施可由SEE實(shí)施���。3.若軟件圖像603的執(zhí)行被允許繼續(xù)進(jìn)行���,則可信初始化代碼606將由來(lái)自O(shè)TP存儲(chǔ)器的閃存索引號(hào)606定義的正確公共密鑰608投入使用����。4.過程繼續(xù)進(jìn)行來(lái)驗(yàn)證簽名圖像603的簽名604���。這可由可信初始化代碼或某些其他代碼來(lái)完成���。如果圖像認(rèn)證失敗,則軟件圖像603的執(zhí)行不被允許并且相反的措施將被實(shí)施�。相反措施可由可信初始化代碼或在SEE中實(shí)施。5.若圖像認(rèn)證成功���,則軟件圖像603的執(zhí)行被允許并且/或采取進(jìn)一步的安全檢查�����。例如����,軟件版本號(hào)可以被用于這種安全檢查���。在本發(fā)明示例性實(shí)施例中����,OTP索引號(hào)607用作對(duì)公共密鑰的回復(fù)保護(hù)���。OTP索引號(hào)607定義可由可信初始化代碼接受的最小索引號(hào)�。在本發(fā)明示例性實(shí)施例中���,OTP索引號(hào)607僅對(duì)可信軟件(例如運(yùn)行于SEE中的軟件)是軟件可編程的和可變更的���。由于安全OTP索引號(hào)607提供的回復(fù)保護(hù),閃存索引號(hào)605可以是公共信息并不需要保護(hù)���。圖7表示裝置700的示例性框圖�����,其中可以應(yīng)用本發(fā)明各個(gè)實(shí)施例�����。這可以是用戶裝置(UE)�,用戶設(shè)備或裝置�����,諸如移動(dòng)終端或其他通信設(shè)備。裝置700的通用結(jié)構(gòu)包括通信接口模塊750���,耦合到該通信模塊750的處理模塊710���,耦合到該處理模塊710的用戶接口模塊760,和耦合到該處理模塊710的非易失性存儲(chǔ)器770���。另外��,通信接口模塊750����,用戶接口模塊760�����,和非易失性存儲(chǔ)器770可彼此通信��。處理模塊710包括處理器720和存儲(chǔ)器730�����。處理模塊710還包括保存于存儲(chǔ)器703中并可以被加載到處理器720并在處理器720中執(zhí)行的軟件740���。軟件740可包括一個(gè)或多個(gè)軟件模塊����,并可以是計(jì)算機(jī)程序產(chǎn)品的形式����。處理模塊710可包括用于可信軟件或數(shù)據(jù)的和用于裝置700的常規(guī)操作的分開的處理和存儲(chǔ)器區(qū)域。通信接口模塊750例如可以是無(wú)線電接口模塊����,諸如WLAN,藍(lán)牙�,GSM/GPRS,CDMA�,WCDMA,或LTE (長(zhǎng)期演進(jìn))無(wú)線電模塊���。通信接口模塊750可以集成到裝置700中或集成到可被插入到裝置700的適當(dāng)槽或端口中的適配器��、卡或類似部件中���。通信接口模塊750可支持一種無(wú)線電接口技術(shù)或多種技術(shù)��。圖7示出一個(gè)通信接口模塊750�,但裝置700可包括多個(gè)通信接口模塊750���。處理器710例如是中央處理單元(CPU)�����,微處理器�����,數(shù)字信號(hào)處理器(DSP)��,圖形處理單元���,或類似處理器。圖7示出一個(gè)處理器710�,但裝置700可包含多個(gè)處理器。存儲(chǔ)器730例如可包括非易失性或易失性存儲(chǔ)器�����,諸如只讀存儲(chǔ)器(ROM)、可編程只讀存儲(chǔ)器(PR0M)��、可擦除可編程只讀存儲(chǔ)器(EPR0M)��、隨機(jī)訪問存儲(chǔ)器(RAM)�����、閃存�����、數(shù)據(jù)盤���、光盤存儲(chǔ)器、磁盤存儲(chǔ)器���、智能卡��、或類似存儲(chǔ)器����。裝置700可包括多個(gè)存儲(chǔ)器��。存儲(chǔ)器730可被構(gòu)建作為裝置700的一部分或它可由用戶插入到裝置700的槽、端口或類似接口�����。存儲(chǔ)器730可單獨(dú)服務(wù)于數(shù)據(jù)存儲(chǔ)����,或它可被構(gòu)建為服務(wù)于其他目的(諸如處理數(shù)據(jù)或提供安全措施)的裝置的一部分。非易失性存儲(chǔ)器770例如可以是閃存�����,可服務(wù)于接收和保存軟件變更��。非易失性存儲(chǔ)器770可被構(gòu)建為裝置700的一部分或它可由用戶插入到裝置700的槽�����、端口或類似接口中��。用戶接口模塊760可包括接口電路���,其用于諸如通過鍵盤��、在裝置700的顯示器上示出的圖像用戶接口�����、語(yǔ)音識(shí)別電路����、或諸如耳機(jī)的附屬裝置,從裝置700的用戶接收輸入����,并用于例如通過圖形用戶接口或揚(yáng)聲器向用戶提供輸出。本領(lǐng)域熟練技術(shù)人員知道�,除了圖7所示的單元外�,裝置700可包括其他單元,諸如麥克風(fēng)��、顯示器���、以及其它電路�����,諸如輸入/輸出(I/o)電路���、存儲(chǔ)器芯片�����、專用集成電路(ASIC)���、專用處理電路,諸如源編碼/解碼電路����、信道編碼/解碼電路、加密/解密電路�����,和類似電路����。另外,裝置700可包括一次性電池或可充電電池(未示出)���,用于當(dāng)外部電力(如果提供外部電源)不可用時(shí)為裝置700提供電力��。本發(fā)明的各個(gè)實(shí)施例的各個(gè)特征可提供各個(gè)優(yōu)點(diǎn)����。根據(jù)本發(fā)明各個(gè)實(shí)施例,通過生成和預(yù)安裝多個(gè)公共-私有密鑰對(duì)�����,當(dāng)需要改變被用于軟件簽名和真實(shí)性驗(yàn)證的密鑰對(duì)時(shí)����,人們可以避免承擔(dān)更換整個(gè)設(shè)備的負(fù)擔(dān)。這樣����,在管理產(chǎn)品的安全重要軟件簽名密鑰方面,人們可以獲得更大靈活性�。由于當(dāng)簽名密鑰改變時(shí)不是必須制造新設(shè)備,可以獲得成本��、制造和物流的節(jié)省���。例如,數(shù)字權(quán)限管理(DRM)測(cè)試需要舊的����、可能非可信軟件圖像一定不能夠在包含真實(shí)DRM密鑰的設(shè)備上運(yùn)行。根據(jù)本發(fā)明各個(gè)實(shí)施例�,通過可編程公共密鑰索引���,可以獲得這種類型的設(shè)置,而不需要任何設(shè)備硬件的改變�����。因此����,將用于研究和開發(fā)階段的大量設(shè)備可以被制造并接著以靈活的方式來(lái)使用。已經(jīng)提供各種實(shí)施例���。應(yīng)當(dāng)知道的是��,在本說明書中���,在沒有特別說明情況下,單詞“由……構(gòu)成”���, “包括”�,“包含”中的每一個(gè)被用作開放式表達(dá)����。作為本發(fā)明特定實(shí)施例和實(shí)施方式的非限定例子���,前面的描述已經(jīng)提供用于實(shí)現(xiàn)本發(fā)明的發(fā)明人所設(shè)想的最佳方式的全面和有益描述。然而�,本領(lǐng)域熟練技術(shù)人員應(yīng)當(dāng)清楚本發(fā)明并不限于上述細(xì)節(jié),而是在不脫離本發(fā)明特征的情況下���,它可以使用等同方式或?qū)嵤├牟煌M合來(lái)實(shí)現(xiàn)�����。另外�,本發(fā)明上述實(shí)施例的某些特征可以在沒有其它特征的相應(yīng)使用情況下被有利地使用����。從而,前述說明應(yīng)當(dāng)被認(rèn)為僅是描述本發(fā)明的原理�����,而不對(duì)它限制��。從而�,本發(fā)明的保護(hù)范圍僅由后面權(quán)利要求來(lái)限定��。
權(quán)利要求
1.一種裝置,包括: 至少一個(gè)安全存儲(chǔ)器區(qū)域�,其包含多個(gè)預(yù)安裝的公共密鑰,以用于驗(yàn)證軟件真實(shí)性�; 至少一個(gè)處理器;和 至少一個(gè)存儲(chǔ)器���,其包含計(jì)算機(jī)程序代碼�,所述至少一個(gè)存儲(chǔ)器和所述計(jì)算機(jī)程序代碼被配置為�,通過所述至少一個(gè)處理器,使得所述裝置至少: 接收指示��,其指示根據(jù)公共密鑰體系使用私有密鑰簽名的軟件包已經(jīng)被接收到���;從所述安全存儲(chǔ)區(qū)域�����,檢查與簽名所述軟件包所使用的所述私有密鑰相關(guān)聯(lián)的公共密鑰是否被禁用����;以及 若與所述私有密鑰相關(guān)聯(lián)的公共密鑰被禁用���,則阻止執(zhí)行所接收到的軟件包����,和否則,進(jìn)行至使用與所述私有密鑰相關(guān)聯(lián)的公共密鑰����,驗(yàn)證所接收到的軟件包的真實(shí)性。
2.如權(quán)利要求1所述的裝置���,其中 所述多個(gè)預(yù)安裝飛公共密鑰具有關(guān)聯(lián)公共密鑰索引號(hào)����; 所述安全存儲(chǔ)區(qū)域包括指示當(dāng)前所使用的公共密鑰的當(dāng)前公共密鑰索引號(hào)�����;和所述至少一個(gè)存儲(chǔ)器和所述計(jì)算機(jī)程序代碼被配置為���,通過所述至少一個(gè)處理器����,還使得所述裝置: 接收與所接收到的軟件包相關(guān)聯(lián)的私有密鑰索引號(hào)��; 將所接收的私有密鑰索引號(hào)與所保存的當(dāng)前公共密鑰索引號(hào)相比較��;以及若所接收的私有密鑰索引號(hào)等于所述當(dāng)前公共密鑰索引號(hào)���,則進(jìn)行至使用與所述私有密鑰相關(guān)聯(lián)的公共密鑰來(lái)驗(yàn)證所接收到的軟件包的真實(shí)性����,和 若所接收的私有密鑰索引號(hào)不同于所述當(dāng)前公共密鑰索引號(hào)����,則檢查與所接收的私有密鑰索引號(hào)相關(guān)聯(lián)的公共密鑰是否被禁用,和若與所接收的私有密鑰索引號(hào)相關(guān)聯(lián)的公共密鑰被禁用�����,則阻止所接收到的軟件包的執(zhí)行����,否則進(jìn)行至使用與所述私有密鑰相關(guān)聯(lián)的公共密鑰來(lái)驗(yàn)證所接收到的軟件包的真實(shí)性。
3.如權(quán)利要求1所述的裝置����,其中 所述多個(gè)預(yù)安裝的公共密鑰具有相關(guān)聯(lián)的公共密鑰索引號(hào); 所述安全存儲(chǔ)區(qū)域包括指示當(dāng)前所使用的公共密鑰的當(dāng)前公共密鑰索引號(hào)�;已經(jīng)所述至少一個(gè)存儲(chǔ)器和所述計(jì)算機(jī)程序代碼被配置為���,通過所述至少一個(gè)處理器,還使得所述裝置: 接收與所接收到的軟件包相關(guān)聯(lián)的私有密鑰索引號(hào)�����; 將所接收的私有密鑰索引號(hào)與所保存的當(dāng)前公共密鑰索引號(hào)相比較�;以及若所接收的私有密鑰索引號(hào)小于當(dāng)前公共密鑰索引號(hào),則阻止所接收到的軟件包的執(zhí)行�,和 若所接收的私有密鑰索引號(hào)等于或大于當(dāng)前公共密鑰索引號(hào),則進(jìn)行至使用與所述私有密鑰相關(guān)聯(lián)的公共密鑰來(lái)驗(yàn)證所接收到的軟件包的真實(shí)性��。
4.如權(quán)利要求3所述的裝置���,其中所述至少一個(gè)存儲(chǔ)器和所述計(jì)算機(jī)程序代碼被配置為�,通過所述至少一個(gè)處理器�����,還使得所述裝置: 若所接收的私有密鑰索引號(hào)大于當(dāng)前公共密鑰索引號(hào)�,則將所接收的私有密鑰索引號(hào)保存為當(dāng)前公共密鑰索引號(hào)。
5.如權(quán)利要求1所述的裝置��,其中所述裝置是電子通信設(shè)備����。
6.如權(quán)利要求1所述的裝置��,其中所述裝置是專用集成電路。
7.一種方法��,包括: 維護(hù)安全存儲(chǔ)器區(qū)域���,其包含多個(gè)預(yù)安裝的公共密鑰�,以用于驗(yàn)證軟件真實(shí)性�; 接收指示,其指示根據(jù)公共密鑰體系使用私有密鑰簽名的軟件包已經(jīng)被接收到���;從所述安全存儲(chǔ)區(qū)域��,檢查與簽名所述軟件包所使用的所述私有密鑰相關(guān)聯(lián)的公共密鑰是否被禁用��;以及 若與所述私有密鑰相關(guān)聯(lián)的公共密鑰被禁用���,則阻止執(zhí)行所接收到的軟件包,和否則�,進(jìn)行至使用與所述私有密鑰相關(guān)聯(lián)的公共密鑰,驗(yàn)證所接收到的軟件包的真實(shí)性����。
8.如權(quán)利要求7所述的方法����,其中: 所述多個(gè)預(yù)安裝公共密鑰具有關(guān)聯(lián)公共密鑰索引號(hào)���; 所述安全存儲(chǔ)區(qū)域包括指示當(dāng)前所使用的公共密鑰的當(dāng)前公共密鑰索引號(hào)����;和所述方法還包括: 接收與所接收到的軟件包相關(guān)聯(lián)的私有密鑰索引號(hào)���; 將所接收的私有密鑰索引號(hào)與所保存的當(dāng)前公共密鑰索引號(hào)相比較�����;以及若所接收的私有密鑰索引號(hào)等于所述當(dāng)前公共密鑰索引號(hào)�,則進(jìn)行至使用與所述私有密鑰相關(guān)聯(lián)的公共密鑰來(lái)驗(yàn)證所接收到的軟件包的真實(shí)性�����,和 若所接收的私有密鑰索引號(hào)不同于所述當(dāng)前公共密鑰索引號(hào)����,則檢查與所接收的私有密鑰索引號(hào)相關(guān)聯(lián)的公共密鑰是否被禁用�,和若與所接收的私有密鑰索引號(hào)相關(guān)聯(lián)的公共密鑰被禁用�����,則阻止所接收到的軟件包的執(zhí)行�,否則進(jìn)行至使用于所述私有密鑰相關(guān)聯(lián)的公共密鑰來(lái)驗(yàn)證所接收到的軟件包的真實(shí)性。
9.如權(quán)利要求7所述的方法���,其中 所述多個(gè)預(yù)安裝的公共密鑰具有相關(guān)聯(lián)的公共密鑰索引號(hào); 所述安全存儲(chǔ)區(qū)域包括指示當(dāng)前所使用的公共密鑰的當(dāng)前公共密鑰索引號(hào)����;和所述方法還包括: 接收與所接收到的軟件包相關(guān)聯(lián)的私有密鑰索引號(hào); 將所接收的私有密鑰索引號(hào)與所保存的當(dāng)前公共密鑰索引號(hào)相比較��;和若所接收的私有密鑰索引號(hào)小于當(dāng)前公共密鑰索引號(hào)����,則阻止所接收到的軟件包的執(zhí)行,和 若所接收的私有密鑰索引號(hào)等于或大于當(dāng)前公共密鑰索引號(hào)�,則進(jìn)行至使用于所述私有密鑰相關(guān)聯(lián)的公共密鑰來(lái)驗(yàn)證所接收到的軟件包的真實(shí)性。
10.如權(quán)利要求9所述的方法����,還包括: 若所接收的私有密鑰索引號(hào)大于當(dāng)前公共密鑰索引號(hào)��,將所接收的私有密鑰索引號(hào)保存為當(dāng)前公共密鑰索引號(hào)�。
11.一種方法��,包括: 獲取多個(gè)公共-私有密鑰對(duì)�����, 將所述公共-私有密鑰對(duì)中的多個(gè)公共密鑰預(yù)安裝于電子裝置的安全存儲(chǔ)區(qū)域中����,以用于驗(yàn)證將運(yùn)行于所述電子裝置中的軟件的真實(shí)性;以及將所述公共-私有密鑰對(duì)中的多個(gè)私有密鑰保存在分離的地方�����,以用于簽名將運(yùn)行于所述電子裝置中的軟件���。
12.如權(quán)利要求11所述的方法�,還包括: 建立索引表�,其將所述公共-私有密鑰對(duì)映射到索引號(hào)上,以及 將所述公共-私有密鑰對(duì)中的多個(gè)公共密鑰與關(guān)聯(lián)索引號(hào)一起預(yù)安裝于所述電子裝置的所述安全存儲(chǔ)區(qū)域中���。
13.如權(quán)利要求8所述的方法���,其中所述裝置是專用集成電路�����。
14.一種包含于計(jì)算機(jī)可讀介質(zhì)上的計(jì)算機(jī)程序����,其包括計(jì)算機(jī)可執(zhí)行代碼���,當(dāng)由裝置的至少一個(gè)處理器執(zhí)行時(shí),其中所述裝置包括至少一個(gè)安全存儲(chǔ)區(qū)域����,所述至少一個(gè)安全存儲(chǔ)區(qū)域包含用于驗(yàn)證軟件真實(shí)性的多個(gè)預(yù)安裝的公共密鑰,使得所述裝置: 接收指示��,其指示根據(jù)公共密鑰體系使用私有密鑰簽名的軟件包已經(jīng)被接收到�����; 從所述安全存儲(chǔ)區(qū)域���,檢查與簽名所述軟件包所使用的所述私有密鑰相關(guān)聯(lián)的公共密鑰是否被禁用���;以及 若與所述私有密鑰相關(guān)聯(lián)的公共密鑰被禁用����,則阻止執(zhí)行所接收到的軟件包�����,和否則��,進(jìn)行至使用與所述私有 密鑰相關(guān)聯(lián)的公共密鑰�����,驗(yàn)證所接收到的軟件包的真實(shí)性����。
全文摘要
一種裝置具有至少一個(gè)安全存儲(chǔ)器區(qū)域,該至少一個(gè)安全存儲(chǔ)器區(qū)域包含有多個(gè)預(yù)安裝的公共密鑰以用于驗(yàn)證軟件真實(shí)性�����。使得該裝置接收指示��,其指示根據(jù)公共密鑰體系使用私有密鑰簽名的軟件包已經(jīng)被接收到;從所述安全存儲(chǔ)區(qū)域�,檢查與簽名所述軟件包所使用的所述私有密鑰相關(guān)聯(lián)的公共密鑰是否被禁用;以及若與所述私有密鑰相關(guān)聯(lián)的公共密鑰被禁用�����,則阻止執(zhí)行所接收到的軟件包����,和否則,進(jìn)行至使用與所述私有密鑰相關(guān)聯(lián)的公共密鑰��,驗(yàn)證所接收到的軟件包的真實(shí)性�����。
文檔編號(hào)H04L9/12GK103189877SQ201180052461
公開日2013年7月3日 申請(qǐng)日期2011年10月3日 優(yōu)先權(quán)日2010年10月29日
發(fā)明者J·盧卡里拉, R·塔米寧 申請(qǐng)人:諾基亞公司