CN101473335B - 信息处理终端、安全设备、在信息处理终端中使用的方法 - Google Patents
信息处理终端、安全设备、在信息处理终端中使用的方法 Download PDFInfo
- Publication number
- CN101473335B CN101473335B CN2007800234337A CN200780023433A CN101473335B CN 101473335 B CN101473335 B CN 101473335B CN 2007800234337 A CN2007800234337 A CN 2007800234337A CN 200780023433 A CN200780023433 A CN 200780023433A CN 101473335 B CN101473335 B CN 101473335B
- Authority
- CN
- China
- Prior art keywords
- subclauses
- clauses
- accumulation
- hash
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/603—Digital right managament [DRM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
信息处理终端、状态通知系统以及状态通知方法,其中当将信息处理终端的状态通知给服务器时,可同时维持隐私和安全。信息处理终端(10)包含公布确定部分(1001),为每个条目确定可能的通知通信的另一端;日志隐藏部分(1002),隐藏条目;多日志确定部分(1003),为通知通信的多个其它端指示散列更新;日志构成部分(1004),为通知通信的其它端创建日志并写入签名;验证请求部分(1005),请求验证;策略存储装置(1006),存储在确定可能的通知通信的其它端时使用的策略;和日志存储装置(1007),存储条目。信息处理终端(10)指示条目的累积,其中已经使用散列为通知通信的其它端的每一个执行了例如适当隐藏处理的处理。
Description
技术领域
本发明涉及一种用于通知服务器关于信息处理终端的状态的技术,该服务器通过网络提供各种服务,该信息处理终端(例如个人计算机)接收服务。
背景技术
通过网络提供的服务近来变得昂贵和多样化,如例如音乐和视频的版权作品的提供、机密的法人信息的交换以及网上银行。为了实现(address)如此多样化的服务,许多客户端软件被安装在例如个人计算机、便携式终端、移动电话以及数字家用电器的信息处理终端中。这些软件被提供了保护花费(expensive)信息的功能和接收服务的功能。
当利用这样的服务所获得的价值增加时,源于避免限制所造成的损坏变得更加严重,该限制是由软件利用对信息处理终端中的软件进行未授权的修改的方法所强加的。存在越来越多的验证是否对信息处理终端中的客户端软件进行了未授权的修改的必要性,该信息处理终端将被提供服务和包括客户端软件运行的操作环境的执行环境。
为了实现该必要性,TCG(信赖计算联盟-Trusted Computing Group)等提出了精确报告关于在信息处理终端中执行的软件的信息的技术。由TCG提出的技术公开在例如专利文献1中。
图14示出了其中验证服务器1410根据由TCG等提出的技术验证在信息处理终端1400中执行的软件的系统。信息处理终端1400配备有称作TPM(信赖平台模块-Trusted Platform Module)1401的防篡改模块。该模块保护在安全性方面是重要信息的私人密钥和散列值(hash value),并且安全地执行在安全性方面重要的处理。
信息处理终端1400计算例如从CPU 1402的启动开始执行的BIOS、加载程序(Loader)或内核程序(Kernel)的软件的代码的散列(hash),并且使得TPM 1401存储经计算的散列。TPM 1401可向位于外部用于验证信息处理终端的状态的验证服务器1410提交经数字签名的散列。因此,验证服务器1410将该散列与正确的散列比较,从而检验信息处理终端处在执行了正确的代码的状态。
目标是采用已经变得更加普遍的散列,并且包含表示关于例如软件的启动或驱动程序的加载的事件的信息的数据(在此之后称作条目(entry))。在这种形式的情况下,可将程序名称和程序的代码的散列放入条目中,并且使各自的条目互相连接的信息(在下文中称作“事件日志”或简化作“日志”)的内容变成保证的对象。
具体地,当执行例如BIOS、加载程序、内核程序、应用(App)A、应用B的软件的代码时,信息处理终端1400的CPU 1402计算各自的散列(散列计算1421),并将这样计算的散列1422发送至TPM 1401,并且将条目1424添加并存储到事件日志1403中。当提供所发送的散列1422时,TPM 1401将已经存储的值与这样接收的值连接起来,执行散列计算以便从而产生一个散列,并且将如此产生的散列存储在PCR(平台构成寄存器-PlatformConfiguration Register)1404中(累积算法处理1423)。
即使当成为篡改检测的对象的数据随后增加时,包含其序列的数据可利用一个散列来得到保证。因为状态得到累积,所以该散列将在下文中称作累积散列。用于计算散列及累积如此计算的散列的处理也将称作测定(measurement)。
当验证服务器1410验证运行在信息处理终端1400上的软件时,首先将竞争1425从验证服务器1410发送至信息处理终端1400。TPM 1401将接收到的竞争1425与存储在PCR 1404中的累积散列连接起来,对由此产生的散列进行数字签名(数字签名处理1426),进一步将证书与事件日志1403连接起来,并且将结果作为验证信息1427发送至验证服务器1410。
验证服务器1410首先验证证书的签名,验证数字签名,将所接收到的事件日志1403的条目与在验证数据DB 1411中注册的条目进行核对,再次计算累积散列,将计算结果与包括在所接收到的验证信息1427中的累积散列进行核对,并且将竞争1425与包括在所接收到的验证信息1427中的竞争进行核对,从而验证运行在信息处理终端1400上的软件。
如上所述,可利用事件日志的通知和经签名的累积散列来执行更加详细的验证。其理由是累积散列也使得能够对事件日志进行验证。
实际上,软件是通过几个层次级的结合而构成的。存在几个软件在较低级别上彼此相同但在较高级别上彼此不同的情况,从而存在多种结合。因此,如果将一个累积散列应用在所有状态,将在验证中遭遇到困难。由于这个原因,TPM可保留多个累积散列,并且从PCR 0到PCR 15的十六个寄存器是可用的。当发送散列至TPM时,CPU 1402指定要用数字(在此以后称作“累积散列数”)更新的累积散列。
专利文献1:JP-T-2002-536757
发明内容
本发明要解决的问题
虽然利用向验证服务器1410通知事件日志可执行更加详细的验证,但是验证服务器1410可查明(ascertain)用户使用什么软件和网络服务,这会引起对泄露隐私信息的关注。因此,必须考虑验证和安全的权衡。
从隐私信息保护的观点,依照作为通知执行状态的目标的服务器,可删除或隐藏一些将被通知的信息是适宜的。然而,在已知配置中,当在更新累积散列之后对事件日志进行修改时,认为该事件日志已经被篡改,因此不能对事件日志的内容进行删除或隐藏的修改。
本发明解决已知的技术问题并意在以这样一种形式提供可通知其自身状态的信息处理终端:使得在保护隐私信息的同时检测对事件日志的篡改。
解决问题的手段
本发明的信息处理终端是向多个被通知方提供条目的累积的通知的信息处理终端,这些条目表示显示状态改变的数据,该信息处理终端包括:累积存储部分,其保存条目的累积,其用于为多个被通知方的每一个检测对条目的日志的篡改;多日志测定部分,命令基于一个条目而更新与多个各自的被通知方相对应的多个条目的累积,所述多个条目的累积被保存在所述累积存储部分中;以及验证请求部分,其将数据发送至被通知方,该数据包含通过将数字签名附于对应于该被通知方的、保存在累积存储部分中的条目的累积而产生的数据。
因此,执行状态的累积以便使得能够为每个被通知方检测篡改,并且可将累积的结果通知给通知的每一方。具体地,可以防止哄骗应用A假装为一方运行,该方在应用A运行的条件下提供服务;或者防止哄骗应用B假装为另一方运行,该另一方在应用B运行的条件下提供服务。
本发明的信息处理终端还是向多个被通知方提供条目的累积的通知的信息处理终端,这些条目表示显示状态改变的数据,该信息处理终端包括:公开/非公开确定部分,其确定是否允许对每个被通知方通知条目;日志隐藏部分,其产生隐藏的条目;日志存储部分,用于存储条目;累积存储部分,其保存用于为每个被通知方检测对日志的篡改的条目的累积;多日志测定部分,其基于由公开/非公开确定部分所做的确定的结果而命令对对应于被通知方的、由累积存储部分所保存的条目的累积进行更新,对于该被通知方,基于隐藏的条目不允许条目的通知,并且命令对对应于被通知方的、由累积存储部分所保存的条目的累积进行更新,对于该被通知方,基于非隐藏的条目允许条目的通知;日志构成部分,其基于由公开/非公开确定部分所做的确定的结果,在存储于日志存储部分中的条目中,以这样一种方式产生被发送至被通知方的日志:不能向被通知方通知的条目变成隐藏的条目;而能够向被通知方通知的条目变成非隐藏的条目;以及验证请求部分,其向被通知方发送附有对应于被通知方的、由累积存储部分保存的条目的累积的数字签名的数据提及包含由日志构成部分产生的日志的数据。
因此,通过改变对于每个被通知方的发送日志的内容而保护隐私信息,并且可累积状态以便检测篡改。具体地,可以一种可检测的方式向服务器通知对事件日志的篡改,该事件日志即不管应用B好像它是应用A一样正在运行的事实而激活应用A的事件日志,以及不包含激活实际上正在运行的应用C(间谍软件等)的证据的事件日志,并且通过为每一个被通知方改变每个条目的隐藏或非隐藏,可以保护隐私信息。
本发明的信息处理终端的特征在于,由累积存储部分所保存的条目的累积是这些条目的累积散列。
因此,被通知方可计算来自所接收的日志的累积散列,并将所计算的累积散列与所接收的条目进行核对,从而验证该日志没被篡改。此外,可减小信息处理终端中的累积存储部分所要求的内存的大小。
本发明的安全设备包括累积存储部分,其保存条目的累积,这些条目表示用于显示信息处理终端的状态改变的数据;累积计算部分,其对保存在累积存储部分中的条目的累积进行更新;签名处理部分,其对条目的累积进行数字签名;验证部分,其验证从信息处理终端接收到的数据;以及服务服务器,当由验证部分执行的对数据的验证成功时提供服务。
因此,通过为每个被通知方改变发送日志的内容保护隐私信息,并且向例如服务器的一方提供通知,以便能够检测篡改。从而,该方可在验证和查明所通知的日志后向被授权的用户提供服务。此外,重要的个人信息存储在安全设备中,并且已成功执行验证的服务服务器允许仅仅被验证的应用获得并操作个人信息,所以可安全使用个人信息。
本发明的安全设备还包括执行环境提供部分,其提供执行环境;以及执行环境存储部分,其存储执行环境。
因此,用于仅仅允许来自于由安全设备提供的执行环境的访问的访问控制成为可能。具体地,从安全设备向信息处理终端提供用于执行环境的软件。从而,为了在信息处理终端上实现执行环境,安全设备知道哪个软件将被启动。核查从信息处理终端接收的日志,从而做出关于访问是否来自于由安全设备提供的执行环境的确定。仅仅允许来自于由安全设备提供的执行环境的访问,从而使得安全性得到加强。
在本发明的安全设备中,验证部分通过安全设备的内部接口接收由累积存储部分保存的条目的累积。
在这种情况中,由于验证部分通过安全设备的内部接口接收条目的累积。因此,即使当提供不附有数字签名的条目的累积时,条目的累积的内容也是可信赖的。由于条目的累积不要求数字签名,因此相应地可高速执行验证处理。
本发明的信息处理终端还包括验证部分,其验证从验证请求部分接收到的数据;以及服务服务器,当由验证部分执行的对数据的验证成功时提供服务。
因此,例如,重要的个人信息存储在服务服务器中,并且已成功执行验证的服务服务器仅仅允许被验证的应用获得并操作个人信息,从而个人信息可通过信息处理终端被安全使用。
在本发明的信息处理终端中,验证部分通过内部接口接收由累积存储部分保存的条目的累积,而不涉及验证请求部分。
在这种情况中,验证部分通过内部接口接收条目的累积,并且从而即使当提供不附有数字签名的条目的累积时,条目的累积的内容也是可信赖的。由于条目的累积不要求数字签名,因此相应地可高速执行验证处理。
在本发明的信息处理终端的多日志测定部分中,当被通知方彼此不同时,在对应于被通知方的条目的累积值彼此相等的情况下保存单段条目的累积,并且复制该单段条目的累积,并单独更新多段条目的累积,并且在对应于被通知方的条目的累积值变得彼此不同的情况下保存多段单独更新的条目的累积。
因此,可节省用于更新条目的累积的过多的操作,并且从而可加速用于更新条目的累积的处理。
在本发明的信息处理终端中,日志隐藏部分保存主密钥,以便从通过用主密钥加密条目ID而产生的数据中产生加密密钥,并用该加密密钥加密该条目。
因此,可减少为了响应对将要被随后提供的公开的请求而被保存的信息,并且从而可减小信息处理终端的存储器大小。
在本发明的信息处理终端中,日志隐藏部分随机地产生加密密钥,以便用该加密密钥加密条目,并且信息处理终端还包括隐藏信息存储部分,用于将加密密钥作为隐藏信息进行存储。因此,可随机产生加密密钥,并且可提高安全性。
在本发明的信息处理终端中,日志隐藏部分删除条目内容的一部分或全部。因此,可取决于被通知方而限制可被公开的内容,并且可提高安全性。
本发明的信息处理终端还包括ID分配部分,其为每个条目分配不同的条目ID;隐藏信息存储部分,其用于存储关于与条目ID关联的每个条目的隐藏的隐藏信息;以及日志公开确定部分,当请求公开被隐藏的条目时,获得或产生与条目ID一致的、用于释放隐藏的信息,确定是否对做出请求的一方公开该条目,并且当确定该方符合公开的条件时,传递该用于释放该隐藏的信息或从被隐藏的状态释放的条目。
因此,在通知时所隐藏的条目可按要求从被隐藏的状态被释放。从而,当分析在信息处理终端中发生的故障或欺骗(fraud)时,被隐藏的信息可按要求随后被公开。
在本发明的信息处理终端中,当确定是否公开条目时,日志公开确定部分向用户提交该从被隐藏的状态释放的条目,从而使用户指定是否公开该条目。
因此,用户查明要被公开的条目的内容,并可确定对该条目的公开是否合适。从而,可增强对用户的隐私的保护。
本发明的状态通知方法是信息处理终端向服务器通知作为其自身终端的状态变化历史的日志的方法,该方法包括以下步骤:当对不允许被通知该条目的服务器隐藏该条目时,产生日志;产生经签名的日志,其是该日志、通过将数字签名附于对应于该日志的累积散列而产生的数据、以及用于验证该数字签名的证书的连接;并且发送该经签名的日志至服务器。
因此,服务器首先可验证数字签名,从而查明累积散列未被篡改。此外,对累积散列进行核查,从而使得查明所接收到的条目的日志被未被篡改成为可能。通过对每个被通知方改变发送日志的内容来保护隐私信息,并且可向服务器提供通知,以便可检测篡改。
本发明提供了一种信息处理终端,用于从服务服务器接收服务,所述信息处理终端包括:多个执行环境(1012);要在所述多个执行环境的每一个上执行的服务客户端(1011),用于从服务服务器接收服务;一个或多个软件,包括要在所述多个执行环境的每一个上执行的所述服务客户端,将在不同执行环境上执行的一个或多个软件的条目累积在不同的累积散列中;日志存储部分(1007),存储所述一个或多个软件的条目;日志构成部分(1004),从存储在所述日志存储部分中的条目提取对应的条目以构成日志;以及验证请求部分(1005),响应于所述服务客户端的验证要求而要求日志,并接收所述日志。其中所述验证请求部分将从关于所述服务客户端操作的执行环境和运行在所述执行环境上的一个或多个软件的条目产生的日志发送至对应的服务服务器,以请求所述对应的服务服务器验证在所述信息处理终端中执行的所述一个或多个软件。
本发明还提供了一种信息处理终端,用于通过使用服务客户端来从服务服务器接收服务,所述信息处理终端包括:系统软件;一个或多个应用,包括用于从服务服务器接收服务的服务客户端(1011);日志存储部分(1007),存储用于所述系统软件和所述一个或多个应用的条目;日志构成部分(1004),从存储在所述日志存储部分中的条目提取对应的条目以构成日志;验证请求部分(1005),响应于所述服务客户端的验证要求而要求日志,并接收所述日志;以及累积计算部分(2001),分别累积对应于所述系统软件的系统累积散列以及对应于所述一个或多个应用的应用累积散列。其中所述验证请求部分将从与所述系统软件和所述一个或多个应用对应的条目以及所述系统累积散列和所述应用累积散列产生的日志发送至所述服务服务器,以请求所述服务服务器验证在所述信息处理终端中执行的所述一个或多个应用。
本发明还提供了一种被连接至信息处理终端的安全设备,所述信息处理终端存储系统软件和一个或多个应用,并且执行所述系统软件和所述一个或多个应用,所述一个或多个应用包括用于接收服务的服务客户端,所述安全设备包括:累积计算部分,其从所述信息处理终端接收包括散列和累积散列数的命令,并分别累积对应于所述系统软件的系统累积散列以及对应于所述一个或多个应用的应用累积散列;验证部分,其使用所述系统累积散列和所述应用累积散列,验证在所述信息处理终端中执行的所述一个或多个应用的执行状态;以及服务器,其在由所述验证部分执行的验证已经成功时、对所述服务客户端提供所述服务。
本发明还提供了一种在信息处理终端中使用的方法,用于通过使用服务客户端而从服务服务器接收服务,所述方法包括:存储系统软件和一个或多个应用,所述一个或多个应用包括用于从所述服务服务器接收服务的服务客户端(1011);存储用于所述系统软件和所述一个或多个应用的条目;从存储在日志存储部分中的条目提取对应的条目以构成日志;响应于所述服务客户端的验证要求而要求日志,并接收所述日志;以及分别累积对应于所述系统软件的系统累积散列以及对应于所述一个或多个应用的应用累积散列,其中将从与所述系统软件和所述一个或多个应用对应的条目以及所述系统累积散列和所述应用累积散列产生的日志发送至所述服务服务器,以请求所述服务服务器验证在所述信息处理终端中执行的所述一个或多个应用。
本发明的优点
本发明的信息处理终端利用依照要被通知的服务器改变每个条目的隐藏或非隐藏,来保护隐私信息,并提供通知,以便能够检测对事件日志的篡改。此外,如分析发生在信息处理终端中的故障或欺骗的情况,当接收服务时,本发明的信息处理终端如有必要可随后公开被隐藏的信息。
附图说明
图1是本发明的第一实施例的框图。
图2是本发明的第二实施例的框图。
图3是本发明的第三实施例的框图。
图4是本发明的第四实施例的框图。
图5是本发明的第一实施例的累积计算的说明图。
图6(a)是本发明的第一实施例的信息处理终端的通知操作的说明图,图6(b)是本发明的第一实施例的服务器的验证操作的说明图,以及图6(c)是本发明的第一实施例的用于公开被隐藏的条目的操作的说明图。
图7是本发明的第一实施例的公开操作的说明图。
图8是本发明的第一实施例的具体示例的说明图。
图9是本发明的第一实施例的具体示例数据的说明图。
图10是本发明的第三实施例的累积计算的说明图。
图11是本发明的第三实施例的通知操作的说明图。
图12是本发明的第三实施例的具体示例的说明图。
图13是本发明的第二实施例的软件堆栈的视图。
图14是基于已知技术验证运行在信息处理终端上的软件的系统的说明图。
附图标记说明
10信息处理终端
1001公开/非公开确定部分
1002日志隐藏部分
1003多日志测定部分
1004日志构成部分
1005验证请求部分
1006策略存储部分
1007日志存储部分
1008ID分配部分
1009隐藏信息存储部分
1010日志公开确定部分
1011服务客户端
1012虚拟执行环境
1013虚拟化软件
1014系统测定部分
20安全模块
2001累积计算部分
2002签名处理部分
2003累积散列存储部分
30服务器
3001验证部分
3002日志公开部分
3003日志保存部分
3004服务器DB
3005服务服务器
40安全设备
4001累积计算部分
4002签名处理部分
4003累积散列存储部分
4004验证部分
4005服务器DB
4006服务服务器
4007执行环境提供部分
4008执行环境存储部分
具体实施方式
下文将参照附图描述本发明的实施例。
(第一实施例)
本发明的第一实施例描述了信息处理终端,其包括防篡改存储区域和配备有处理器的安全模块。该终端从终端的启动开始累积事件日志;更新累积散列;并且向服务器发送数据,从而接收服务,在该服务器上验证所述数据,所述数据是通过以下操作产生的:连接(i)事件日志,(ii)附属于与该事件日志对应的累积散列的经数字签名的数据,以及(iii)用于验证该数字签名的证书(如此连接的数据在此之后将称作“经签名的日志”)。
图1是本发明的第一实施例的框图。将参照图1对实施例的构成进行描述。信息处理终端10具有公开/非公开确定部分1001,其确定服务器,可对该服务器公开条目;日志隐藏部分1002,其隐藏来自非公开服务器的条目;多日志测定部分1003,其接收不被隐藏的条目和将被隐藏的条目,并且依照由公开/非公开确定部分1001所做的确定的结果来命令更新多个累积散列;日志构成部分1004,其构成符合通知服务器的日志;验证请求部分1005,其向服务器通知经签名的日志,以便从而要求验证;策略存储部分1006,其存储策略数据;日志存储部分1007,其存储条目;ID分配部分1008,其向条目分配条目ID;隐藏信息存储部分1009,其存储关于隐藏特性的隐藏信息;日志公开确定部分1010,其确定是否公开对应于输入条目ID的条目;以及服务客户端1011,其接收来自服务器的服务。
安全模块20具有累积计算部分2001,其接收散列和累积散列数,并更新相应的累积散列;签名处理部分2002,其通过累积散列来计算数字签名;以及累积散列存储部分2003,其存储累积散列。安全模块20最好是具有防篡改功能。
服务器30具有:验证部分3001,其验证经签名的日志;日志公开部分3002,其接收隐藏信息,以便从而取消条目的隐藏;日志保存部分3003,其保存日志;服务器DB 3004,其记录用于验证日志的数据;以及服务服务器3005,其提供服务。
信息处理终端10是例如个人计算机或便携式移动电话。公开/非公开确定部分1001、日志隐藏部分1002、多日志测定部分1003、日志构成部分1004、验证请求部分1005、ID分配部分1008、日志公开确定部分1010以及服务客户端1011被实现为在信息处理终端10中提供的由CPU执行的软件。策略存储部分1006、日志存储部分1007以及隐藏信息存储部分1009由例如HDD或半导体存储器的存储设备构成。
安全模块20是像例如TPM的具有防篡改功能的芯片。累积计算部分2001和签名处理部分2002利用在安全模块20中提供的处理器来实现,并且累积散列存储部分2003通过在安全模块20中提供的存储设备来实现。
服务器30是例如高性能个人计算机。验证部分3001、日志公开部分3002、服务服务器3005等被实现为由在服务器30中提供的CPU执行的软件。此外,日志保存部分3003和服务器DB 3004由例如HDD或半导体存储器的存储设备构成。
现在将参照图5对用于在事件发生时累积散列的测定操作进行描述。将由信息处理终端10产生的事件信息的条目传递至ID分配部分1008。ID分配部分1008向条目提供可唯一指定该条目的条目ID(ID分配步骤S101)。
公开/非公开确定部分1001利用存储在策略存储部分1006中的策略数据来确定服务器,可向该服务器公开条目(公开/非公开确定步骤S102)。在这种情况下,对于该条目的软件的提供者、包括信息处理终端10的信息系统的系统管理者、或者信息处理终端10的用户可设置可以向其公开策略数据的人。
日志隐藏部分1002在日志存储部分1007中存储条目,并向不对其公开条目的服务器隐藏条目(日志隐藏步骤S103)。此时,日志隐藏部分1002在隐藏信息存储部分1009中存储表示如何隐藏该条目的信息。
隐藏处理是例如对随机产生的密钥进行加密。在这种情况下,将加密密钥作为与条目ID对应的隐藏信息来存储。或者,可以对称作主密钥的、对于设备是唯一的加密密钥保密,并且也可以从其条目ID使用该主密钥来加密的数据来产生要被用于隐藏的密钥。或者,该条目也可被完全删除,或者也可仅保留关于该条目的零碎(fragmentary)信息。在这种情况下,当该条目的公开随后成为可能时,将该条目本身存储为隐藏信息。
多日志测定部分1003接收不被隐藏的条目和将被隐藏的条目,并且命令安全模块20依照由公开/非公开确定部分1001所做的确定的结果更新多个累积散列(多日志测定步骤S104)。更具体地,将条目的累积散列数和散列传递至安全模块20,以便从而命令安全模块20执行用于将按要求被隐藏的该条目的散列累积到对应于每个服务器的累积散列中的处理。
安全模块20的累积计算部分2001接收该散列和累积散列数,从而更新相应的累积散列。将累积散列存储在累积散列存储部分2003中(累积计算处理步骤S105)。
现在将参照图6A和图6B对服务客户端向服务服务器通知状态的操作进行描述。为了接收来自服务服务器的服务,服务客户端利用该操作发送通知,以使服务服务器能够查明信息处理终端的当前状态是适宜的。首先,服务客户端1011从验证请求部分1005要求验证(验证请求步骤S111)。
验证请求部分1005要求来自日志构成部分1004的经签名的日志(经签名的日志请求步骤S112)。日志构成部分1004从日志存储部分1007提取相应的条目;按要求对该条目执行隐藏处理,以便从而组成符合通知服务器的日志;并且指定对应于该通知服务器的累积散列数,从而要求来自签名处理部分2002的签名(签名请求步骤S113)。
签名处理部分2002计算对应于分配了指定的累积散列数的累积散列的数字签名(签名处理步骤S114)。数字签名的计算是用于利用安全模块20的签名密钥而处理累积散列的典型的计算,并且可利用例如RSA的众所周知的技术来执行。假定属于相同数据序列的散列具有相同的值,并且数字签名的结果可依赖算法而变得彼此相同。由于这个原因,利用从服务器接收的随机数或通过使得条目包含时间戳来采取对重新发送攻击的对策是适宜的。
该数字签名是用于对应重新构成的日志的累积散列的数字签名。从签名处理部分2002接收到数字签名的验证请求部分1005产生经签名的日志,并发送该经签名的日志至验证部分3001(经签名的日志发送步骤S115)。
验证部分3001接收经签名的日志;首先验证证书;然后利用包含在证书里的公共密钥来验证附于累积散列的签名,以便从而查明该累积散列没被篡改;计算来自所接收条目的日志的累积散列;并且将所计算的累积散列与所接收的累积散列进行核对,从而验证在所接收的累积散列与条目的日志之间不存在不一致。
此外,从服务器DB 3004提取用于验证日志的数据,并且验证该日志(日志验证步骤S116)。验证部分3001将所接收到的经签名的日志存储到日志保存部分3003中。
当接收到服务客户端1011的操作状态证实没问题的确认时,服务服务器3005提供服务(服务提供步骤S117)。最好是,在一系列用于通知和验证的通信过程期间,在服务客户端1011和服务服务器3005之间共享会话密钥,并且在提供服务时将该会话密钥用于通信。
现在将参照图7和图6C对当信息处理终端10发送通知至服务器30时用于公开隐藏的条目的操作进行描述。
信息处理终端10的日志公开确定部分1010确定是否公开由条目ID所指定的条目(日志公开确定步骤S121)。当确定该条目可被公开时,从隐藏信息存储部分1009提取有关该条目的隐藏信息,并且将这样提取的隐藏信息发送至该条目将被公开的目的地(隐藏信息发送步骤S122)。
请求日志公开的人是例如发现故障的用户或怀疑欺骗的服务器管理员;并且利用条目ID指定将被请求公开的条目。日志公开确定部分1010根据已给的规则(例如,响应于仅来自经认证的用户或服务器的请求来公开条目的规则)自动确定公开。由于可能存在要被公开的信息包括隐私信息的情况,也可包括由用户输入的命令作为由日志公开确定部分1010所做的公开确定的元素(element)。在这种情况下,用户考虑到条目的内容以及公开的必要性而做出确定,并向信息处理终端输入命令。响应于条目公开的请求,也可将被隐藏的条目而非条目ID输入至日志公开确定部分1010。此外,也可将从被隐藏状态释放的条目代替隐藏信息发送至条目将被公开的目的地。
服务器30的日志公开部分3002接收隐藏信息,从日志保存部分3003提取被隐藏的条目,并且将该条目从被隐藏的状态释放(隐藏释放步骤S123)。
现在将参照图8A至图8D对具体示例数据进行描述。图8A示出了附属于条目的具体示例数据。第一行示出了条目ID。第二行示出了表示事件发生时间的时间戳。第三行示出了事件的类型,其中这里描述了组件的加载。除了加载以外的另一种可能的事件类型是例如卸载。第四行示出了名称,其使得可指定有关组件。第五行示出了组件的散列。第六行示出了版本。一些行依赖于事件的类型而变得没有必要。
图8C示出了附属于策略的具体示例数据。第一行示出了服务的名称。第二行示出了利用服务提供的组件的名称列表。第三行示出了对提供服务的服务器的指定。另外,允许被通知的服务器(或服务)的名称也可包括在策略里。
首先将提供关于数据的具体示例的概括描述。当开启电源时,信息处理终端以BIOS、加载程序和内核程序的顺序依次执行处理,并且测定由此产生的事件。接下来,利用内核程序的功能而运行应用的测定和执行。
确定发生的事件所属于的服务;进一步做出关于哪个服务器符合通知的条件的确定;并且执行测定。将未隐藏的条目累积到对应于符合通知条件的服务器的累积散列,同时将部分加密的条目累积到对应于不符合通知条件的服务器的累积散列。
在必要的情况下,例如应用建立与服务器的连接的情况,从条目建立要被通知至服务器的日志,并且对相应的累积散列签名并将其发送至服务器。服务器验证是否所接收到的日志被篡改,然后在确认该日志没被篡改后验证该日志。在从日志的内容查明被请求的、被授权的组件是否正在运行后,提供服务。
如果在开始提供服务以后,由于另一服务的组件的存在而发生故障,则公开该组件的条目的细节,以便允许服务器管理员执行核查。
现在将参照图9对第一实施例的具体示例进行描述。在该具体示例中,总是发送关于系统的所有日志而不依照每个服务器改变,并且因此考虑到效率而分别进行测定。由于这个原因,单独提供系统测定部分,但是该构成不是必不可少的。
首先,当执行组件时,事件发生,于是产生条目。在条目中描述时间戳、类型、名称、散列和版本,所有这些已在前文描述过。在本示例中,以BIOS、加载程序、内核程序、应用A、应用B和应用C的顺序执行处理。BIOS、加载程序、内核程序、应用A、应用B和应用C的每一个也可包括多个组件。在这种情况下,产生条目作为每个组件的执行结果。应用A是服务A的客户端软件。同样地,应用B是服务B的客户端软件,并且应用C是服务C的客户端软件。在严格意义上,下列描述应用于紧随内核程序之后的测定操作。然而,关于BIOS、加载程序和内核程序,假设也已执行了相似的处理。
ID分配部分1008向产生的条目顺序地分配标号(numeral)。标号从一开始并且单调递增。即使当电源关掉时,所述值也不被复位、并被保留。
公开/非公开确定部分1001接收被分配了条目ID的条目,并且通过使用存储在策略存储部分1006中的策略来确定哪个服务器符合通知的条件。指定组件所属于的服务以及对应于该服务的服务器,并且确定可能对该服务器提供通知。
此外,也可允许向有关的服务器提供通知。在这种情况下,在策略中提供了对此效果(effect)的描述。在此示例中,确定BIOS、加载程序和内核程序对应于系统的条目;确定可向服务器A通知应用A;确定可向服务器B通知应用B;并且确定可向服务器A和服务器B通知应用C。
利用在图8A中示例的条目、在图8C中示例的策略A以及在图8D中示例的策略B,提供了具体的描述。
公开/非公开确定部分1001从条目中获得名称drm-b.dll,并在策略的“服务文件”字段中搜索该名称。虽然没包含在策略A中(图8C),该名称包含在策略B中(图8D)。因此,理解该条目是对应于应用B的。在策略B的“服务器”字段中的内容表示应通知的服务器的名称。在本实施例中,该名称是drm.example.org。这样,确定可向drm.example.org(假设其为服务器B)通知该条目,而不能向其他服务器通知。
为了通过名称高速搜索服务,采用以下这种方式有效地保存数据是可取的:例如使用数据库,通过名称检索(retrieve)服务。
在属于系统的条目的情况下,日志隐藏部分1002将条目按原样(as-is)传递至系统测定部分1014。在其他情况下,使条目经过隐藏操作,并且将原始条目和隐藏的条目传递至多日志测定部分1003。在附图中,条目上的斜线示出了该条目经受了隐藏操作。
对示例隐藏操作进行了描述。条目ID和时间戳被留下而不被隐藏。首先,计算将被隐藏的明文(plain)部分的散列,并且将所计算的散列插入第三行。接下来,从通过用主密钥对条目ID进行加密而产生的数据中产生在加密中使用的密钥。最后,将条目的第四行和其后的行加密,从而执行隐藏操作。图8B示出了示例隐藏的条目。在此方法下,不特别存储任何信息来作为隐藏信息。其原因是可通过从服务器接收第一行而产生用于解密的密钥。当随机产生用于加密的密钥时,与条目ID对应地存储该密钥。
在日志存储部分1007中存储原始条目和可被发送通知的服务器的列表。如果也存储被隐藏的条目,则提高了在通知时执行的处理速度。然而,由于需要冗余的存储空间,所以根据日志存储部分1007的容量选择是否存储它们。
系统测定部分1014计算条目的散列,并将这样计算的散列连同对应于该系统的累积散列数一起发送至累积计算部分2001。累积计算部分2001对累积散列S进行累积,该累积散列S是对应于该系统的累积散列。
多日志测定部分1003接收原始条目和被隐藏的条目,并将为各自服务器所处理的散列连同对应于各自服务器的累积散列数一起发送至所有服务器中的累积计算部分2001。将在条目的首次累积时未被使用的多个累积散列分配作为累积散列数,并且与服务器对应地存储该数,以便随后使用。
累积计算部分2001将条目的散列累积到对应于各自服务器的累积散列中;例如,将为服务器A分配的条目的散列累积到累积散列A,将为服务器B分配的条目的散列累积到累积散列B。在图9中所示的具体示例的情况下,将条目的散列按原样累积到与关于应用A的条目有关的累积散列A,并且将被隐藏的条目的散列累积到与关于应用B的条目有关的累积散列A。反过来,将被隐藏的条目的散列累积到与关于应用A的条目有关的累积散列B,并且将条目的散列按原样累积到与关于应用B的条目有关的累积散列B。
在累积时,为对应于还没启动的应用的服务的服务器分配的累积散列也进行累积。可以假设大部分服务允许单独向它们自己的服务器通知它们的条目。将另一个服务的条目累积在为对应于未启动的应用的服务的服务器分配的累积散列中,并且因此隐藏的条目在多种情况下得到累积。在这种情况下,为对应于多个未启动的应用的服务的服务器分配的累积散列的值变得彼此相等。通过利用这一特征,只要累积散列的值彼此相等,累积的执行就像它们是单一的累积散列一样。当累积散列的值中产生差异时,复制这些累积散列。随后,分别对这些累积散列进行累积,从而可减少累积所需的操作数量。
在上文中,描述了累积的流程。现在将描述通知。接收服务的服务客户端为了通知而向日志构成部分传递要被通知的服务器的名称,并且要求经签名的日志。
日志构成部分1004从日志存储部分1007提取条目,并连接这样提取的条目,以便从而创建日志。此时,当服务器的名称包含在须通知的服务器的列表中时,按原样连接条目。当不包含该名称时,将隐藏的条目互相连接。当存储在累积时隐藏的条目时,使用这些隐藏的条目。此外,要求签名处理部分2002将签名附于对应于该系统的日志的累积散列和对应于服务的累积散列。
签名处理部分2002将签名附于指定的累积散列。日志构成部分1004将日志和签名返回至验证请求部分1005,并且验证请求部分1005进一步将证书与它们连接起来,从而产生经签名的日志,并且向服务器通知该经签名的日志。例如,服务器A301接收经签名的日志A,其包含属于经签名的累积散列S和经签名的累积散列A的数据、具有应用B的隐藏的条目的日志、以及证书。服务器B302接收经签名的日志B,其包含属于经签名的累积散列S和经签名的累积散列B的数据、具有应用A的隐藏的条目的日志、以及证书。
在每个服务器中,日志被保存在日志保存部分3003中。每个服务器首先验证证书;进一步利用包含在证书里的公共密钥验证附于累积散列的签名,从而查明该日志没被篡改;计算来自所接收的条目的日志的累积散列;并且将所计算的散列与所接收的累积散列进行核对,以便从而验证在所接收的累积散列与条目的日志之间不存在不一致。即使涉及隐藏的条目,也以与未隐藏的条目的情况相同的方式对散列进行计算,从而计算累积散列。每个服务器可查明对于提供服务是必要且足够的条目,并且可进一步利用关于服务器DB的信息来核查当系统提供服务时,信息处理终端的状态是否引起任何问题。
例如,确定应用A的组件未经非法篡改,未授权的组件没有在运行,以及相反地所要求的另一组件(例如,drm-b.dll等)正在运行是可能的。终端的用户不需要公开到目前为止没被要求的条目,因此隐私得到保护。
上文为通知的流程。现在将描述公开。假设服务器A的用户已得知对应服务的服务客户端没有正常操作,并不能提供服务,并且向服务器A提供了对该效果的通知。当服务器A的管理员接收该通知,并且为了分析该故障而考虑确定隐藏的条目(应用B的条目)的内容的必要性时,管理员将该隐藏的条目的条目ID发送至日志公开确定部分1010,从而请求对该条目的公开。
日志公开确定部分1010确定是否公开对应于条目ID的条目。在本实施例中,条目ID是从隐藏的条目中提取的,并且加密密钥是从通过使用主密钥对条目ID进行加密而产生的数据中产生的;将条目从隐藏的状态释放,以便从而向用户提交条目的内容,从而用户确定是否公开该条目。
当用户查明属于应用B的条目的内容时,确定条目被允许公开,并且对该效果输入命令,信息处理终端10将未隐藏的条目发送至服务器A。服务器A计算对应于隐藏部分的无格式部分的散列,并且将这样计算的散列与包含在隐藏的条目中的相应散列(对应于图8B示出的示例中第三行的散列值)进行比较,从而查明该条目的内容是正确的。
上文是公开的流程。当随后必须公开在通知时隐藏的条目的内容时,可公开这些内容。
如上所述,在本实施例中,为每个服务器保存条目的累积散列,并且将经数字签名的累积散列和重新构成的条目的日志发送至服务器。服务器执行对数字签名的验证,并且验证累积散列和该条目的日志之间的一致性。服务器首先利用验证附于累积散列的数字签名来验证所接收的累积散列是存储在信息处理终端中的累积散列;计算来自所接收的条目的日志的累积散列;并且将所计算的累积散列与所接收的累积散列进行核对,从而验证在所接收的累积散列与该条目的日志之间不存在不一致。从而,安全和隐私信息均得到保护。
在本实施例中,为了简短说明,将各个服务器描述为在应用层提供服务的服务器,例如应用A和应用B。然而,各个服务器还可提供例如BIOS、内核程序以及应用的不同层的多个软件的服务。当信息处理终端是移动电话时,各个服务器也可以是提供便携式移动电话作为设备的厂商的服务器以及提供网络服务的运营商的服务器。即使在这种情况下,也为每个服务器保存条目的累积散列。
在本实施例中,ID分配部分1008向条目分配用于唯一指定该条目的条目ID;然而,也可将相同的ID分配给具有相同内容的条目。
在本实施例中,公开/非公开确定部分1001确定可被公开的单一服务器,并且在每个服务器的基础上做出关于存在/不存在隐藏的确定;然而,也可做出确定以便从一个服务器到另一个执行不同的隐藏处理。虽然服务器查明本实施例中的各个组件,但是信息处理终端可利用例如证书来执行验证,并使得条目包含验证的结果。
在本实施例中,公开属于系统的所有条目,但是也可为每个服务器改变将要被通知的内容。例如,用户也可提供策略,并且对系统的条目施加限制。例如,不通知属于不需被通知的设备服务器的条目,从而所使用的设备的种类仍可保持未知。
(第二实施例)
本方面的第二实施例描述了服务客户端在虚拟执行环境运行的情况。由于虚拟化软件将虚拟执行环境从由内核程序实现的执行环境中分开,这些环境不互相影响,并且不必通知运行在不同执行环境中的组件。为此目的,虚拟化软件及直到虚拟化软件执行前所使用的组件必须是可验证的。
图2是本发明的第二实施例的框图。将参照图2对其构成进行描述。除了包含有关第一实施例所描述的信息处理终端的元件以外,信息处理终端10具有由内核程序实现的虚拟执行环境1012和使得虚拟执行环境1012执行的虚拟化软件1013,所述内核程序不同于最初启动的内核程序。
现在将描述终端的操作。在作为信息处理终端10的加电(power-on)结果而启动内核程序后,测定并启动虚拟化软件1013。虚拟化软件1013准备并执行虚拟执行环境1012。利用虚拟化软件1013将虚拟执行环境1012从原始执行环境分开,并且虚拟执行环境和运行在该环境中的应用不直接影响原始执行环境。
在虚拟执行环境1012中执行服务客户端1011。虽然也在此时测定服务客户端1011,但使用不同于用于由原始执行环境的测定的累积散列的散列用于累积。当执行多个服务客户端1011时,如在第一实施例中一样执行多个累积。在此情况下,使用不同于在原始执行环境中使用的累积散列的散列用于累积。
在原始执行环境中运行的服务客户端利用原始执行环境的累积散列而向服务器提供通知,并且在虚拟执行环境中运行的服务客户端利用虚拟执行环境的累积散列而向服务器提供通知,以便进一步实现保密的增强。
虽然使用许多资源,但是可利用准备多个执行环境并减少分配给一个执行环境的服务客户端数而进一步实现保密的增强。减少服务客户端数的进行还可使得向一个服务客户端分配一个执行环境。在此情况下,当发生故障时,可指明导致故障的原因是服务客户端、服务客户端的执行环境、虚拟化软件以及较低层级的组件中的某一个。
将参照图12对具体的示例进行描述。在信息处理终端启动之后,按照在原始执行环境中启动的BIOS、加载程序、内核程序、VL(对应于虚拟化软件的虚拟化层的缩写)、内核程序’(Kernel’-对应于虚拟执行环境)、应用A和应用B,以及在虚拟执行环境中执行的应用C和应用D的顺序启动各个软件。图13A示出了在此状态所实现的软件堆栈的视图。
假设各个服务允许向它们的服务器单独通知它们的通知。假设BIOS、加载程序、内核程序、VL以及内核程序’是将被公开的系统的条目。
为了保证虚拟执行环境的状态的正确,必须也保证原始执行环境的正确,并且从而将用于原始执行环境的条目递交给虚拟执行环境。利用虚拟化软件将这些条目递交给虚拟执行环境。对这样递交的条目和用作为虚拟执行环境的内核程序’(Kernel’)的条目进行累积,因此形成用作虚拟执行环境的累积散列S’。
如第一实施例中一样对BIOS、加载程序、内核程序、VL、应用A以及应用B进行累积。在VL启动之后,启动内核程序’(Kernel’),并且随后启动应用C和应用D。将在内核程序’(Kernel’)启动之后在虚拟执行环境中产生的条目累积在独立于原始执行环境的累积散列中。
图12中的箭头代表哪个条目被累积在每个累积散列中。例如,将应用A的条目按原样累积在累积散列A中,并且将应用B的条目以隐藏的方式累积在累积散列A中。不累积应用C的条目和应用D的条目。同样,将应用C的条目按原样累积在累积散列C中,并且将应用D的条目以隐藏的方式累积在累积散列C中。不累积应用A的条目和应用B的条目。
将从关于服务客户端操作的执行环境和运行在执行环境中的应用的条目中产生的日志向各个服务器通知。例如,将包含经签名的累积散列S和经签名的累积散列A的经签名的日志A向服务器A通知,并且将包含经签名的累积散列S’和经签名的累积散列C的经签名的日志C向服务器C通知。
这样,VL保证执行环境不互相影响。由于运行在不同的执行环境中的组件不会导致故障或欺骗,所以不需要通知该组件的条目。
在本实施例中,在内核程序启动之后执行虚拟化软件1013。然而,如图13B中所示,首先启动的程序也可以是虚拟化软件1013,并且该内核程序(Kernel)和其它内核程序’(Kernel’)也可在该软件上启动。
(第三实施例)
在本发明的第三实施例中,将对具有可移动的安全设备的信息处理终端进行描述,所述安全设备配备有防篡改存储区域和处理器。图3是本发明的第三实施例的框图。
将参照图3对终端的构成进行描述。各个组成框的处理内容与第一实施例中所描述的一样。信息处理终端10具有公开/非公开确定部分1001;日志隐藏部分1002;多日志测定部分1003;日志构成部分1004;验证请求部分1005;策略存储部分1006;日志存储部分1007;以及服务客户端1011。
安全设备40具有累积计算部分4001;签名处理部分4002;累积散列存储部分4003;验证部分4004;服务器DB 4005;以及服务服务器4006。
现在将参照图10对在事件发生时用于累积并测定散列的操作进行描述。将发生在信息处理终端10中的事件信息的条目传递至公开/非公开确定部分1001。利用存储在策略存储部分中的策略数据,公开/非公开确定部分1001确定可向其公开条目的服务器(公开/非公开确定步骤S201)。此时,公开/非公开确定部分1001还确定在安全设备40中的服务服务器4006。
日志隐藏部分1002向不被公开条目的服务器隐藏条目(日志隐藏步骤S202)。在此时,被隐藏的条目存储在日志存储部分1007中。
多日志测定部分1003接收不被隐藏的条目和隐藏的条目,并且依照由公开/非公开确定部分1001所做的确定的结果,将更新多个累积散列的命令发送至安全设备40(多日志测定步骤S203)。更具体地,将累积散列数和散列包含在发送至安全设备40的命令中,并且命令对应于各个服务器(包括安全设备40中的服务服务器4006)的累积散列按要求执行用于累积隐藏的条目的散列的处理。
安全设备40的累积计算部分4001接收包含该散列和累积散列数的命令,并且更新相应的累积散列。将累积散列存储在累积散列存储部分4003中(累积计算处理步骤S204)。
参照图11,现在将对使得服务客户端向服务服务器发送状态通知的操作进行描述。服务客户端1011请求验证请求部分1005执行验证(验证请求步骤S211)。
验证请求部分1005从日志构成部分1004请求经签名的日志(经签名日志请求步骤S212)。日志构成部分1004从日志存储部分1007中提取相应的条目;如有必要,对条目进行隐藏处理;并且组成对应于要被通知的服务器的日志;并且对签名处理部分4002请求签名处理(签名请求步骤S213)。
签名处理部分4002计算源自分配有指定的累积散列数的累积散列的数字签名(签名处理步骤S214)。数字签名的计算一般是用于利用安全设备40的签名密钥而处理累积散列的操作,并且是利用例如RSA的众所周知的技术执行的。
数字签名是分配给对应于重新构成的日志的累积散列的数字签名。已从签名处理部分2002接收到数字签名的验证请求部分1005产生经签名的日志,并且将经签名的日志发送至验证部分4004(经签名的日志发送步骤S215)。
验证部分4004接收经签名的日志;首先验证证书;通过利用包含在证书中的公共密钥来验证附于累积散列的签名而查明累积散列没被篡改;计算来自所接收的条目的日志的累积散列;并且将这样计算的散列与所接收的累积散列进行核对,从而验证在所接收的累积散列与该条目的日志之间不存在不一致。此外,从服务器DB 4005中提取用于验证日志的数据,并且验证该日志(日志验证步骤S216)。
当接收到服务客户端1011的操作状态没有问题的确认时,服务服务器4006提供服务(服务提供步骤S217)。在一系列通知和验证通信操作的过程期间,在服务客户端1011与服务服务器4006之间共享会话密钥,并且将该会话密钥用于在提供服务时的执行的通信是适宜的。
如上所述,例如,将重要的个人信息事先存储在安全设备中,并且允许成功执行验证的单一服务客户端获得并操作该个人信息,从而个人信息的安全使用变得切实可行。虽然在本实施例中在安全设备中来实现服务器功能,但是也可以在网络中的普通服务器中实现该服务器功能。在上述描述中,将验证部分4004描述为从信息处理终端10的验证请求部分1005接收经签名的累积散列。然而,验证部分400也可以通过安全设备中的内部接口来接收存储在累积散列存储部分4004中的累积散列;并且从验证请求部分1005接收仅仅重新构成的日志。
(第四实施例)
本发明的第四实施例描述了在第三实施例中的虚拟执行环境中执行服务客户端的情况。图4是本发明的第四实施例的框图。
除了包含第三实施例的信息处理终端的元件以外,信息处理终端10具有由内核程序实现的虚拟执行环境1012以及使得虚拟执行环境1012实现的虚拟化软件1013,该内核程序不同于最初启动的内核程序。
除了具有第三实施例的安全设备以外,安全设备40具有提供虚拟执行环境的执行环境提供部分4007以及存储虚拟执行环境的执行环境存储部分4008。
现在将对信息处理终端的操作进行描述。在作为信息处理终端10的加电结果而启动内核程序后,测定并启动虚拟化软件1013。
虚拟化软件1013从安全设备40的执行环境提供部分4007请求执行环境。执行环境提供部分4007从执行环境存储部分4008中提取虚拟执行环境的映像(image),并且将这样提取的映像发送至虚拟化软件1013。并且虚拟化软件1013执行虚拟执行环境1012。利用虚拟化软件1013将虚拟执行环境1012与原始执行环境分开来,并且原始执行环境不直接影响虚拟执行环境和运行在其中的应用。
在虚拟执行环境1012中执行服务客户端1011。此时,也测定服务客户端1011,但是使用不同于用于原始执行环境的测定的累积散列的散列来进行累积。当执行多个服务客户端1011时,如在第三实施例中一样执行多个累积计算,并且在此情况下也使用不同于由原始执行环境使用的累积散列的散列用于累积。
运行在原始执行环境中的服务客户端利用原始执行环境的累积散列而向服务服务器提供通知,并且运行在虚拟执行环境中的服务客户端利用虚拟执行环境的累积散列而向服务服务器提供通知,从而进一步实现保密的增强。
验证部分4004验证所通知的日志,并且利用来自服务器DB 4005的数据而查明日志的内容。服务服务器4006接收该查明的结果并,确定是否提供服务。例如,服务服务器4006单独响应由执行环境提供部分4007发送的、来自运行在虚拟执行环境1012中的应用的请求。在本实施例中,执行环境提供部分4007仅提供虚拟执行环境1012,但是也提供将运行在该环境中的应用。在上述描述中,假设验证部分4004从信息处理终端10的验证请求部分1005接收经签名的累积散列。然而,验证部分还可通过安全设备中的内部接口来接收存储在累积散列存储部分400中的累积散列,并且从验证请求部分1005接收仅仅重新构成的日志。
在本实施例中,累积计算部分、累积散列存储部分以及签名处理部分在安全设备中单独提供。然而,如在第一实施例中一样,信息处理终端也可配备安全设备,并且利用信息处理终端的功能也可实现例如系统测定的部分测定操作。此外,在连接安全设备时,也可重置保存在安全设备中的累积散列。
参照这些具体实施例对本发明进行了详细描述。然而,对本技术领域的技术人员显而易见的是,在不违背本发明的精神和范围的情况下,可对本发明进行各种变化和修改。
本专利申请基于2006年6月21日提交的日本专利申请(JP-2006-171727),其内容作为引用合并至此。
工业适用性
本发明的信息处理终端在保护隐私信息的同时通知信息处理终端的状态,以便安全和隐私两者均可得到保护。例如,本发明可应用于各种信息处理终端,例如便携式移动电话、个人数字助理(PDA)、个人计算机、音乐播放器(和记录器)、相机、摄像机等。
Claims (17)
1.一种信息处理终端,用于从服务服务器接收服务,所述信息处理终端包括:
多个执行环境(1012);
要在所述多个执行环境的每一个上执行的服务客户端(1011),用于从服务服务器接收服务;
一个或多个软件,包括要在所述多个执行环境的每一个上执行的所述服务客户端,将在不同执行环境上执行的一个或多个软件的条目累积在不同的累积散列中;
日志存储部分(1007),存储所述一个或多个软件的条目;
日志构成部分(1004),从存储在所述日志存储部分中的条目提取对应的条目以构成日志;以及
验证请求部分(1005),响应于所述服务客户端的验证要求而要求日志,并接收所述日志,其中
所述验证请求部分将从关于所述服务客户端操作的执行环境和运行在所述执行环境上的一个或多个软件的条目产生的日志发送至对应的服务服务器,以请求所述对应的服务服务器验证在所述信息处理终端中执行的所述一个或多个软件。
2.如权利要求1所述的信息处理终端,其中,所述多个执行环境的至少一个是虚拟执行环境。
3.如权利要求2所述的信息处理终端,其中,将用于原始执行环境的条目递交给所述虚拟执行环境,并对这样递交的条目和用于所述虚拟执行环境的条目进行累积,因此形成用于所述虚拟执行环境的累积散列。
4.一种信息处理终端,用于通过使用服务客户端来从服务服务器接收服务,所述信息处理终端包括:
系统软件;
一个或多个应用,包括用于从服务服务器接收服务的服务客户端(1011);
日志存储部分(1007),存储用于所述系统软件和所述一个或多个应用的条目;
日志构成部分(1004),从存储在所述日志存储部分中的条目提取对应的条目以构成日志;
验证请求部分(1005),响应于所述服务客户端的验证要求而要求日志,并接收所述日志;以及
累积计算部分(2001),分别累积对应于所述系统软件的系统累积散列以及对应于所述一个或多个应用的应用累积散列,其中
所述验证请求部分将从与所述系统软件和所述一个或多个应用对应的条目以及所述系统累积散列和所述应用累积散列产生的日志发送至所述服务服务器,以请求所述服务服务器验证在所述信息处理终端中执行的所述一个或多个应用。
5.如权利要求4所述的信息处理终端,还包括:
公开/非公开确定部分,其确定是否允许为所述服务服务器通知所述条目的每一个;以及
隐藏部分,其对不允许被通知的条目进行隐藏操作,
其中,所述累积计算部分通过下列步骤来产生所述应用累积散列:(i)对于允许被通知的一个或多个条目,基于允许被通知的所述一个或多个条目而执行所述计算;并且(ii)对于不允许被通知的一个或多个条目,基于一个或多个隐藏的条目而执行所述计算,所述一个或多个隐藏的条目是通过对不允许被通知的所述一个或多个条目进行所述隐藏操作而获得的信息。
6.如权利要求5所述的信息处理终端,其中所述验证请求部分还发送附属于所述系统累积散列和所述应用累积散列的数据。
7.如权利要求5所述的信息处理终端,其中,所述累积计算部分通过按照执行的程序的顺序重复以下步骤,而产生所述系统累积散列:(i)计算用于所述系统软件的所述条目的散列值;(ii)将所述散列值与所述系统累积散列连接;(iii)计算通过连接而获得的信息的散列值;(iv)利用通过连接而获得的所述信息的散列值来更新所述系统累积散列,
其中,所述累积计算部分通过按照执行的程序的顺序重复以下步骤,而产生所述应用累积散列:(i)在允许所述条目的通知的情况下,计算用于所述一个或多个应用的条目的散列值;(ii)在不允许所述条目的通知的情况下,计算隐藏的条目的散列值;(iii)将所述散列值与所述应用累积散列连接;(iv)计算通过连接而获得的信息的散列值,并且(v)利用通过连接而获得的所述信息的散列值来更新所述应用累积散列。
8.如权利要求5所述的信息处理终端,其中,所述信息处理终端从不同于所述服务服务器的第二服务服务器接收服务,
其中,所述累积计算部分基于用于所述一个或多个应用的条目来执行计算,以便产生对应于所述一个或多个应用的第二应用累积散列,所述一个或多个应用至少包括服务客户端,该服务客户端从所述第二服务服务器接收服务,
其中,在所述第二应用累积散列是与所述应用累积散列相同的值的情况下,所述累积计算部分存储所述应用累积散列和所述第二应用累积散列作为单个信息,
其中,在所述第二应用累积散列是与所述应用累积散列不同的值的情况下,所述累积计算部分存储所述第二应用累积散列,以及
其中,所述验证请求部分将所述系统累积散列和所述第二应用累积散列发送至所述第二服务服务器,以便请求所述第二服务服务器验证在所述信息处理终端中执行的所述一个或多个应用。
9.如权利要求5所述的信息处理终端,其中,所述信息处理终端从不同于所述服务服务器的第二服务服务器接收服务,
其中,所述累积计算部分基于用于所述一个或多个应用的条目而执行计算,以产生第二应用累积散列,其中,所述一个或多个应用至少包括服务客户端,该服务客户端从所述第二服务服务器接收服务,
其中,在每次执行所述应用之一时,所述累积计算部分更新所述应用累积散列和所述第二应用累积散列,
其中,在所述第二应用累积散列是与所述应用累积散列相同的值、以及对于所述应用累积散列和所述第二应用累积散列进行相同的更新的情况下,所述累积计算部分更新所述应用累积散列和所述第二应用累积散列中的一个,并且将更新的结果复制到所述应用累积散列和所述第二应用累积散列中的另一个,从而更新所述应用累积散列和所述第二应用累积散列两者,以及
其中,所述验证请求部分将所述系统累积散列和所述第二应用累积散列发送至所述第二服务服务器,以请求所述第二服务服务器验证在所述信息处理终端中执行的所述一个或多个应用。
10.如权利要求5所述的信息处理终端,其中,对所述条目分配用于表示所述条目的条目ID,
其中,所述隐藏部分保存主密钥,以根据通过使用所述主密钥来加密条目ID所产生的数据,来产生加密密钥,并且,利用所述加密密钥来加密所述条目,从而对所述条目执行所述隐藏操作。
11.如权利要求5所述的信息处理终端,其中,所述隐藏部分随机地产生加密密钥,并且,利用所述加密密钥来加密所述条目,从而对所述条目执行所述隐藏操作,以及
其中,所述验证请求部分将所述加密密钥发送至所述服务服务器。
12.如权利要求5所述的信息处理终端,其中,所述隐藏部分删除所述条目的内容的一部分或全部,以对所述条目执行所述隐藏操作。
13.如权利要求5所述的信息处理终端,还包括:
日志公开确定部分,当所述服务服务器请求所述隐藏的条目的公开时,所述日志公开确定部分:(i)获得或产生用于释放被隐藏的状态的信息;(ii)确定是否对做出请求的所述服务服务器公开所述条目;并且(iii)当确定了所述公开时,向所述服务服务器发送用于释放所述被隐藏的状态的信息、或通过释放所述被隐藏的状态而获得的所述条目。
14.如权利要求13所述的信息处理终端,其中,当确定是否公开所述条目时,所述日志公开确定部分向用户提交已经从所述被隐藏的状态释放的所述条目,并且,使所述用户指定是否公开所述条目。
15.一种被连接至信息处理终端的安全设备,所述信息处理终端存储系统软件和一个或多个应用,并且执行所述系统软件和所述一个或多个应用,所述一个或多个应用包括用于接收服务的服务客户端,所述安全设备包括:
累积计算部分,其从所述信息处理终端接收包括散列和累积散列数的命令,并分别累积对应于所述系统软件的系统累积散列以及对应于所述一个或多个应用的应用累积散列;
验证部分,其使用所述系统累积散列和所述应用累积散列,验证在所述信息处理终端中执行的所述一个或多个应用的执行状态;以及
服务器,其在由所述验证部分执行的验证已经成功时、对所述服务客户端提供所述服务。
16.如权利要求15所述的安全设备,其中,所述累积计算部分通过所述安全设备的内部接口,将所述系统累积散列和所述应用累积散列发送至所述验证部分。
17.一种在信息处理终端中使用的方法,用于通过使用服务客户端而从服务服务器接收服务,所述方法包括:
存储系统软件和一个或多个应用,所述一个或多个应用包括用于从所述服务服务器接收服务的服务客户端(1011);
存储用于所述系统软件和所述一个或多个应用的条目;
从存储在日志存储部分中的条目提取对应的条目以构成日志;
响应于所述服务客户端的验证要求而要求日志,并接收所述日志;以及
分别累积对应于所述系统软件的系统累积散列以及对应于所述一个或多个应用的应用累积散列,其中
将从与所述系统软件和所述一个或多个应用对应的条目以及所述系统累积散列和所述应用累积散列产生的日志发送至所述服务服务器,以请求所述服务服务器验证在所述信息处理终端中执行的所述一个或多个应用。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP171727/2006 | 2006-06-21 | ||
| JP2006171727A JP4939851B2 (ja) | 2006-06-21 | 2006-06-21 | 情報処理端末、セキュアデバイスおよび状態処理方法 |
| PCT/JP2007/062035 WO2007148602A1 (ja) | 2006-06-21 | 2007-06-14 | 情報処理端末および状態通知方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101473335A CN101473335A (zh) | 2009-07-01 |
| CN101473335B true CN101473335B (zh) | 2012-05-09 |
Family
ID=38833344
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800234337A Expired - Fee Related CN101473335B (zh) | 2006-06-21 | 2007-06-14 | 信息处理终端、安全设备、在信息处理终端中使用的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8086861B2 (zh) |
| JP (1) | JP4939851B2 (zh) |
| CN (1) | CN101473335B (zh) |
| WO (1) | WO2007148602A1 (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5114994B2 (ja) * | 2007-03-27 | 2013-01-09 | 日本電気株式会社 | 自動収集システム、通信端末、サーバー、自動収集方法、及びプログラム |
| JP4872875B2 (ja) * | 2007-09-28 | 2012-02-08 | ブラザー工業株式会社 | ログ管理装置、及びログ管理プログラム |
| JP2010039882A (ja) * | 2008-08-07 | 2010-02-18 | Kenwood Corp | サーバ装置、車載装置、コンテンツ配信方法、及びコンテンツ配信受領方法 |
| EP2332088B1 (en) * | 2008-08-22 | 2020-10-28 | Titan Automotive Solutions | Verification of process integrity |
| US9490984B2 (en) * | 2009-09-14 | 2016-11-08 | Interdigital Patent Holdings, Inc. | Method and apparatus for trusted authentication and logon |
| US8935487B2 (en) * | 2010-05-05 | 2015-01-13 | Microsoft Corporation | Fast and low-RAM-footprint indexing for data deduplication |
| US20120272167A1 (en) * | 2011-04-20 | 2012-10-25 | Nokia Corporation | Methods, apparatuses and computer program products for providing a mechanism for same origin widget interworking |
| EP2608098B1 (en) * | 2011-12-22 | 2017-05-10 | BlackBerry Limited | System and method for accessing a software application |
| US8689299B2 (en) | 2011-12-22 | 2014-04-01 | Blackberry Limited | System and method for accessing a software application |
| EP2798566B1 (en) * | 2011-12-31 | 2019-10-09 | Intel Corporation | Securing device environment for trust provisioning |
| US8793504B2 (en) * | 2012-02-22 | 2014-07-29 | International Business Machines Corporation | Validating a system with multiple subsystems using trusted platform modules and virtual platform modules |
| US20140245020A1 (en) * | 2013-02-22 | 2014-08-28 | Guardtime Ip Holdings Limited | Verification System and Method with Extra Security for Lower-Entropy Input Records |
| JP6123350B2 (ja) * | 2013-02-26 | 2017-05-10 | 日本電気株式会社 | 検証装置、検証方法、及びプログラム |
| JP6054225B2 (ja) * | 2013-03-26 | 2016-12-27 | 株式会社富士通エフサス | 構成情報管理装置および構成情報管理方法 |
| MY181303A (en) | 2013-10-07 | 2020-12-21 | Fornetix Llc | System and method for encryption key management, federation and distribution |
| US9338013B2 (en) | 2013-12-30 | 2016-05-10 | Palantir Technologies Inc. | Verifiable redactable audit log |
| US9692599B1 (en) * | 2014-09-16 | 2017-06-27 | Google Inc. | Security module endorsement |
| US10871878B1 (en) | 2015-12-29 | 2020-12-22 | Palantir Technologies Inc. | System log analysis and object user interaction correlation system |
| KR102509594B1 (ko) * | 2016-06-28 | 2023-03-14 | 삼성전자주식회사 | 어플리케이션 코드의 위변조 여부 탐지 방법 및 이를 지원하는 전자 장치 |
| JP7088627B2 (ja) * | 2016-10-31 | 2022-06-21 | ヤフー株式会社 | 証明書発行プログラム、証明書発行装置及び証明書発行方法 |
| JP6942601B2 (ja) * | 2017-10-18 | 2021-09-29 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
| CN110335125A (zh) * | 2019-07-12 | 2019-10-15 | 政采云有限公司 | 一种信息报备方法及装置 |
| US11843619B1 (en) * | 2022-10-07 | 2023-12-12 | Uab 360 It | Stateless system to enable data breach notification |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001337600A (ja) * | 2000-05-29 | 2001-12-07 | Toshiba Corp | 電子データ保管システム、履歴検証装置、電子データ保管方法及び記録媒体 |
| CN1334521A (zh) * | 2000-07-24 | 2002-02-06 | 索尼公司 | 信息处理方法、任务间通信方法及其计算机可执行程序 |
| JP2004334362A (ja) * | 2003-05-01 | 2004-11-25 | Hitachi Eng Co Ltd | アクセスログ管理方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000048063A1 (en) * | 1999-02-15 | 2000-08-17 | Hewlett-Packard Company | Trusted computing platform |
| US6757832B1 (en) * | 2000-02-15 | 2004-06-29 | Silverbrook Research Pty Ltd | Unauthorized modification of values in flash memory |
| US6990579B1 (en) * | 2000-03-31 | 2006-01-24 | Intel Corporation | Platform and method for remote attestation of a platform |
| JP2002251326A (ja) * | 2001-02-22 | 2002-09-06 | Hitachi Ltd | 耐タンパ計算機システム |
| JP2003016098A (ja) | 2001-07-03 | 2003-01-17 | Toshiba Corp | クライアント・システム、情報要求方法、情報通信方法及びプログラム |
| JP2004013608A (ja) * | 2002-06-07 | 2004-01-15 | Hitachi Ltd | プログラムの実行および転送の制御 |
| EP1574928A4 (en) * | 2002-12-12 | 2007-11-21 | Fujitsu Ltd | PROGRAM MANAGEMENT CONTROL DEVICE, OS, CLIENT DEVICE, SERVER; PROGRAMMING CONTROL SYSTEM, PROGRAMMING CONTROL METHOD AND PROGRAMMING CONTROL PROGRAM |
| JP2005025617A (ja) * | 2003-07-04 | 2005-01-27 | Toshiba Corp | 履歴情報管理方法及び履歴情報管理装置 |
| FR2864398A1 (fr) * | 2003-12-23 | 2005-06-24 | France Telecom | Terminal de telecommunication a deux espaces d'execution |
| JP2007226277A (ja) * | 2004-04-02 | 2007-09-06 | Matsushita Electric Ind Co Ltd | 仮想マシン改ざん検査方法、および仮想マシン改ざん検査装置 |
-
2006
- 2006-06-21 JP JP2006171727A patent/JP4939851B2/ja active Active
-
2007
- 2007-06-14 WO PCT/JP2007/062035 patent/WO2007148602A1/ja active Application Filing
- 2007-06-14 US US12/305,126 patent/US8086861B2/en active Active
- 2007-06-14 CN CN2007800234337A patent/CN101473335B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001337600A (ja) * | 2000-05-29 | 2001-12-07 | Toshiba Corp | 電子データ保管システム、履歴検証装置、電子データ保管方法及び記録媒体 |
| CN1334521A (zh) * | 2000-07-24 | 2002-02-06 | 索尼公司 | 信息处理方法、任务间通信方法及其计算机可执行程序 |
| JP2004334362A (ja) * | 2003-05-01 | 2004-11-25 | Hitachi Eng Co Ltd | アクセスログ管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008005156A (ja) | 2008-01-10 |
| CN101473335A (zh) | 2009-07-01 |
| US8086861B2 (en) | 2011-12-27 |
| US20090271637A1 (en) | 2009-10-29 |
| JP4939851B2 (ja) | 2012-05-30 |
| WO2007148602A1 (ja) | 2007-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101473335B (zh) | 信息处理终端、安全设备、在信息处理终端中使用的方法 | |
| US10873641B2 (en) | Systems and methods for recognizing a device | |
| US10200194B2 (en) | Theft and tamper resistant data protection | |
| US7526654B2 (en) | Method and system for detecting a secure state of a computer system | |
| US7461249B1 (en) | Computer platforms and their methods of operation | |
| Spinellis | Reflection as a mechanism for software integrity verification | |
| Kinateder et al. | A privacy-enhanced peer-to-peer reputation system | |
| US20070143629A1 (en) | Method to verify the integrity of components on a trusted platform using integrity database services | |
| WO2008024135A2 (en) | Method to verify the integrity of components on a trusted platform using integrity database services | |
| CN1689269A (zh) | 保证软件完整性的系统和方法 | |
| EP1430680B1 (en) | Server with file verification | |
| CN114925141B (zh) | 一种基于区块链的云原生自动化部署管理系统及方法 | |
| US7987513B2 (en) | Data-use restricting method and computer product | |
| US10402573B1 (en) | Breach resistant data storage system and method | |
| CN110851837A (zh) | 一种基于可信计算的自助设备、其安全管理系统及方法 | |
| CN115514470A (zh) | 一种社区矫正数据安全性的存储方法及系统 | |
| CN111934882B (zh) | 基于区块链的身份认证方法、装置、电子设备及存储介质 | |
| CN111769956B (zh) | 业务处理方法、装置、设备及介质 | |
| CN117499159B (zh) | 一种基于区块链的数据交易方法、装置及电子设备 | |
| CN116800454A (zh) | 一种基于云平台进行数据处理的方法及系统 | |
| CN117454359A (zh) | 数据处理方法、装置、设备以及介质 | |
| CN117786683A (zh) | 应用程序防勒索系统、方法、设备和存储介质 | |
| da Silveira Serafim et al. | Restraining and repairing file system damage through file integrity control | |
| Brustoloni et al. | Updates and Asynchronous Communication in Trusted Computing Systems | |
| KR20050074816A (ko) | 실시간 자동복구 시스템 운영방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120509 Termination date: 20130614 |