CN104782155A - 移动tpm中部分虚拟的pcr组 - Google Patents
移动tpm中部分虚拟的pcr组 Download PDFInfo
- Publication number
- CN104782155A CN104782155A CN201380058206.3A CN201380058206A CN104782155A CN 104782155 A CN104782155 A CN 104782155A CN 201380058206 A CN201380058206 A CN 201380058206A CN 104782155 A CN104782155 A CN 104782155A
- Authority
- CN
- China
- Prior art keywords
- entity
- configuration register
- platform configuration
- equipment
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/60—Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
根据本发明的示例性实施例,存在执行以下操作的至少方法和设备,操作包括:使用装置的实体触发采用所述装置的受信任的平台模块/移动平台模块的证明;以及响应于所述触发,向所述实体发送包括平台配置寄存器的值的信息,其中,所述平台配置寄存器依赖于触发所述证明的所述实体的测量。
Description
技术领域
本发明的示例性和非限制性实施例大致涉及受信任计算、安全和在例如无线通信系统中的移动受信任模块的使用,并且特别地涉及提供用于在受信任执行环境内运行的受信任应用与TCG/TPM机制的平台绑定。
背景技术
本节旨在提供本发明的背景或上下文。本文的描述可以包括可以探究的概念,但不一定是那些之前已经设想或者探究的概念。因此,除非在本文中指出,否则本节所描述的不是本申请中的说明书和权利要求的现有技术,并且不能因为包括在本节中就被认为是现有技术。
可以在说明书和/或附图中找到的以下缩写定义如下:
AIK 身份证明密钥
ASIC 专用集成电路
DRTM 动态信任根测量(“dynamic root of trust measurement”)
HW 硬件
iTAP 内部受信任应用
MTM 移动受信任模块
OS 操作系统
PCR 平台配置寄存器
RIM 基准完整性度量
SML 存储的测量日志
SW 软件
TA 受信任应用
TCB 受信任计算基(“trusted computing base”)
TCE 受信任计算机环境
TCG 受信任计算组
TEE 受信任执行环境
TPM 受信任平台模块
UUID 通用唯一标识符
在由受信任计算组(TCG)开发的用于受信任平台模块(TPM)和移动受信任模块(MTM)的架构中,“(实体)认证”是指向例如内部或外部验证器装置的验证器(通常是远程验证器)说明证人实体(“prover entity”,即个人或装置)所声明的身份。该过程被称为“证明”(“attestation”)。TPM可以用来确保每个计算机将以值得信任的方式报告其配置参数。在TPM中,安全环境能够容纳若干可以影响测量和相应绑定的安全程序。
发明内容
在本发明的示例性方面中,提供一种方法,包括:使用装置的实体触发采用装置的受信任的平台模块/移动平台模块的证明;以及响应于触发,向实体发送包括平台配置寄存器的值的信息,其中,平台配置寄存器依赖于触发证明的实体的测量。
在本发明的另一示例性方面,提供一种编码有计算机程序指令的非暂时计算机可读介质,处理器执行计算机程序指令从而执行包括以下项的动作:使用装置的实体触发采用装置的受信任的平台模块/移动平台模块的证明;以及响应于触发,向实体发送包括平台配置寄存器的值的信息,其中,平台配置寄存器依赖于触发证明的实体的测量。
在本发明的另一示例性方面,提供一种设备,包括:至少一个处理器以及至少一个包含计算机程序代码的存储器,其中,至少一个存储器和计算机程序代码被配置为采用至少一个处理器引起设备至少:使用装置的实体触发采用装置的受信任的平台模块/移动平台模块的证明;以及响应于触发,向实体发送包括平台配置寄存器的值的信息,其中,平台配置寄存器依赖于触发证明的实体的测量。
在本发明的又一示例性方面,提供一种设备,包括:用于使用装置的实体触发采用装置的受信任的平台模块/移动平台模块的证明的部件;以及用于响应于触发向实体发送包括平台配置寄存器的值的信息的部件,其中,平台配置寄存器依赖于触发证明的实体的测量。
根据以上段落中描述的本发明的示例性实施例,用于触发的部件包括包含计算机程序代码的非暂时存储器,至少一个处理器执行计算机程序代码,以及其中用于发送的部件包括到通信网络的接口。
附图说明
结合所附的附图阅读时,本发明实施例的前述和其它方面在以下详细说明中将更加明显,其中:
图1A是基于3GPP TS 36.300的图4.1,并且示出非限制性的和可以在其中实践本发明的示例性实施例的E-UTRAN系统的总体架构;
图1B示出根据本发明的示例性实施例的由TPM PC客户端测量的TPM程序操作;
图1C示出根据本发明的示例性实施例的由TPM移动(“TPMMobile”)测量的TPM程序操作;
图2示出根据本发明的示例性实施例的由TPM移动测量的TPM程序操作;
图3是示出移动平台和接入点的简化框图,其中,移动平台包括TPM/PCR和根据本发明的示例性实施例操作从而如根据本发明的示例性实施例那样执行与虚拟和/或扩展PCR关联的操作的受信任软件;以及
图4是根据本发明的示例性实施例的示出方法的操作以及计算机程序指令的执行结果的逻辑流程图。
具体实施方式
图1A基于3GPPTS 36.300的图4.1并且示出E-UTRAN系统的总体架构。E-UTRAN系统包括向UE5和/或UE7提供E-UTRAN用户平面和控制平面(无线资源控制(RRC))协议的终止的网络接入节点或eNB。eNB通过X2接口彼此互连。eNB还通过S1接口连接到演进分组核心(EPC),更具体地通过S1MME接口连接到移动性管理实体(MME)和服务网关(S-GW)。S1接口支持MME、S-GW和eNB之间的多对多关系。本文公开的示例性实施例可以用非限制性的方式使用从而给与这样的E-UTRAN系统关联的运营方和移动设备用户带来益处。
TPM具有保留用于测量代码的PCR。本发明的示例性实施例涉及受信任计算(“Trusted Computing”)领域。最近增加的用于保护计算设备的机制是最新加载(“late-launch”)技术,例如动态信任根机制(DRTM,“dynamic root of trust mechanism”)。DRTM是用于操作系统临时停止并且进入安全执行环境的方式,其中,或者可以启动虚拟机、或者安全核心可以被引导(“bootstrap”)、或者可以执行一些其它代码。该DRTM启用的安全环境可以用于例如安全地执行凭证。
目前,TPM(v2)具有被保留用于测量代码的单个PCR(用于DRTM/最新加载)。PCR是单个的,原因在于使用最新加载机制在PC中一次只能启动一个代码。如果另一码被启动(进入相同高速缓存区域),则完成新的测量并且针对旧代码的任何绑定都会丢失。在TPM移动中,已经设计了相似策略用于在受信任执行环境内启动程序。然而,由此只有一个代码可以在受信任执行环境中被测量并且绑定到TPM移动功能。因此,至少上述PCR的严格性使这些操作变得困难。
图1B和图1C分别示出TPM PC客户端100和TPM移动测量的程序130或TPM移动API 150。API 150可以至少用于TPM2命令子集、MTM安全引导、iTAP供应和/或iTAP使用。图1B示出TPM PC客户端测量的TPM程序原理操作概览。如图1B所示,受信任计算机基TA 102包括受信任应用模块(App)105、最新加载的代码模块110以及操作系统(OS)115,TA。在图1B中,受信任应用(TA 100)的受信任计算机基(TCB,“trusted computer base”)执行PCR应用(例如最新加载的应用)测量。这是通过以下方式完成的:执行处理器命令从而使用处理器的高速缓存125来移动测量代码(例如对于或文本和/或服务(SVC)应用120),以用于处理到虚拟的PCR寄存器135。例如,通过处理器命令将代码移动到高速缓存125,并且由TCB使用代码执行最新加载的测量,并且测量被提供给虚拟的PCR寄存器135。图1C示出另一TPM PC客户端测量的TPM程序原理操作概览。
根据本发明的示例性实施例,存在至少在虚拟环境中启用最新加载的代码的PCR测量的方法。这将至少允许遗留和受信任软件的安全后向兼容映射。本发明的实施例允许平台建立具有安全状态的虚拟环境以用于将要被测量的最新加载的代码,和/或允许平台在不干扰现存软件的情况下操作。
图1C示出另一TPM PC客户端100测量的TPM程序原理操作概览。如图1C所示,在TPM移动API 150与包括受信任执行环境驱动的TPM PC客户端100之间建立有隔离边界。TPM PC客户端100包括受信任计算机基TA 170。TA 170包括TPM移动核心服务155以及iTAP测量的/测量程序160和165。iTAP技术是用于移动电话的预测性文本技术,其原本被设计成代替电话上的旧的字符映射从而帮助词语输入。该技术支持移动电话的特征,例如文本消息传送和笔记。受信任应用(TA 102)使用应用编程接口(API)(例如微软测试管理器(MTM)API)170来执行具有其它机载凭证的iTAP引擎(ObC)。如图1C所示,TPM移动状态190(其可以包括存储器高速缓存)使用虚拟PCR寄存器198处理iTAP和平台API 180,从而执行根据示例性实施例的操作。
在创造本发明的时候,具有PCR的安全环境和正被启动的受信任应用之间的绑定是不存在的。而且,由于在计算装置(例如个人计算机(PC))中一次只能启动一个代码,所以PCR是单个的。如果启动另一代码,例如到PC的相同高速缓存区域中,则执行新的测量并且任何对于旧代码的绑定都会丢失。在TPM移动中,已经设计了相似策略以用于在受信任执行环境内启动程序。然而,由此只有一个启动的应用可以被测量并且绑定到TPM移动功能。目前的系统是不灵活的,并不能适当地允许服务并发地运行受信任应用。
本发明使得能够有效使用平台配置寄存器(PCR)从而提供用于在受信任执行环境的受保护背景下运行的受信任应用的平台绑定。
用于测量进入平台寄存器的代码的用例包括:
1.平台绑定:密钥或数据可以被绑定到TPM平台,并且只有在最新加载的程序是特定程序的条件下才被释放。这种绑定意味着用于正在启动的代码的授权的(安全)储存设施。
2.远程证明:远程平台可能想要知道哪些代码已经启动并且被测量到隔离的环境中。无论新的最新加载于何时发生,测量都会被擦除的事实可以被看作证明属性的缺点,因为它丢失了关于在先测量的历史。
通常的基于属性的TCG证明系统可以具有任意数量的证明属性,但是仅有有限数量的平台配置寄存器(PCR)可用。在TCG风格的证明中,在加载软件组件时,操作系统测量软件组件,并且与测量匹配的属性被累积到可用的PCR中。由于通常要证明的属性比可用的PCR更多,通常多个属性需要被累积到单个PCR中。当远程验证器请求一个属性的证明时,强制TPM来证明累积到该PCR中的所有属性。在移动TPM中,安全环境能够容纳可以影响测量和相应绑定的若干安全程序。然而,PCR的严格性使得实现映射这样的绑定很麻烦。
根据本发明的示例性实施例的第一方面,单个PCR组寄存器(“PCRbank register”)被虚拟化,从而使得其内容取决于访问移动TPM的实体。至少在移动TPM中,用于呈现的寄存器(内容)和TPM移动的使用方(例如调用受信任应用)之间的这样的一对一映射的安排是容易安排的,因为两个实体都很有可能运行在相同的受信任执行环境中。在该环境中,操作系统或调度器通常至少具有可以用于映射或绑定的过程上下文,并且它只有在被测量的程序处于运行中时才必须维持。
在根据本发明的示例性实施例中,单个PCR组寄存器处于一个聚合的访问形式(例如当从在操作系统中的程序访问时)。因此,它的内容只是扩展的而不是被擦除的。这为远程证明的过程提供了明显的益处。此外,当从单个代码访问PCR时,PCR仅可以包含该单个代码自身的测量的事实使得平台将数据绑定到调用程序变得相当容易。
在根据本发明的示例性实施例的另一方面中,TPM(移动)托管若干组的单个PCR寄存器(或一组PCR寄存器),从而使得PCR内容与在装置的操作系统中执行的程序、实体或功能关联。
在更详细地描述的示例性实施例之前,可以参考示出经由链路11与无线网络1的接入点(AP)12进行无线通信的移动平台(MP)10的示例的图3。网络1可以包括网络控制单元(NCE)14,网络控制单元(NCE)14可以包括移动管理实体(MME)/网关(GW)功能并且可以提供与例如电话网络和/或数据通信网络(例如互联网)的其它网络的连接。MP 10包括例如计算机或数据处理器(DP)10A的控制器、体现为存储计算机指令程序(PROG)10C的存储器(MEM)10B的计算机可读存储介质,以及用于经由一个或多个天线与AP 12双向无线通信的适合的射频(RF)收发器10D。AP 12还包括例如计算机或数据处理器(DP)12A的控制器、体现为存储计算机指令程序(PROG)12C的存储器(MEM)12B的计算机可读存储介质、以及用于经由一个或多个天线与MP 10通信的合适的RF收发器12D。AP 12经由数据/控制路径13耦合至NCE 14。
为了描述本发明的示例性实施例,可以假定MP 10还包括可以实现在硬件、软件中的或者实现为硬件和软件(和固件)的结合的TPM/PCR 10E。程序10C可以实现OS、以及TPM/PCR 10E的所有或一些功能。存储器还可以存储受信任软件(TS)10F。还包括可以实现为存储器10B中的存储器位置、或者实现为硬件寄存器、或者实现为存储器位置和硬件寄存器的结合的一组PCR 10G。TPM/PCR 10E被假定为根据如下文所述的本发明的示例性实施例操作。
大致上,MP 10的多种实施例可以包括但不限于蜂窝电话、具有无线通信能力的个人数字助理(PDA)、具有无线通信能力的便携式计算机、例如具有无线通信能力的数字摄像机的图像捕捉设备、具有无线通信能力的游戏设备、具有无线通信能力的音乐存储和回放器具、允许无线互联网访问和浏览的互联网器具,以及包含这些功能的结合的便携式单元或终端。计算机可读MEM 10B和12B可以是适于本地技术环境的任何类型并且可以使用任何适合的数据存储技术来实现,例如基于半导体的存储装置、闪存存储器、磁存储装置和系统、光存储装置和系统、固定存储器和可移动存储器。DP 10A和12A可以是适于本地技术环境的任何类型,并且作为非限制性的示例,可以包括一个或多个通用计算机、专用计算机、微处理器、数字信号处理器(DSP)和基于多核处理器架构的处理器。图3所示的MP 10和AP 12的所有或部分功能可以实现在一个或多个相应的ASIC中。
根据实施例,装置10(例如可以被实现为图3的MP 10)配备有TPM和PCR组(一起示为TPM/PCR 10E)。TPM/PCR 10E包括无论何时从特定应用访问TPM移动时对该特定应用的测量。TPM/PCR 10E具有可以用于映射或绑定的可用的至少过程上下文。由于每个应用可以具有绑定到其自身的数据,绑定属性将产生效果。相似地,AP 12或者例如eNB可以被配置为根据示例性实施例的方面使用这些新颖的操作。
本发明的技术实现是相对容易完成的。TPM移动旨在成为TEE内的SW,因此,如果调用接口可以提供调用方的“身份”(过程Id,UUID),组中单个PCR的虚拟化对于整体代码来说是相当小的添加。这既可用于我们自己的环境,也可用于GP TEE规范(UUID)。由于虚拟化是动态的,实现必须限制以这种方式服务的受信任应用的最大数量是有可能的,但是一般来说这和在受信任环境和安全单元中的相似(存储器)限制没有什么不同。
关于附图2,TPM移动PCR 8 205是虚拟的,从而使得存在针对每个受信任应用的单独的虚拟PCR寄存器条目207。如箭头所示,由受信任OS 230在隔离环境207中将虚拟的PCR值与TPM移动PCR组200的PCR8 205关联,其中在PCR 8 205处做测量。根据示例性实施例,无论何时从每个特定的内部受信任应用210、215和220访问TPM移动,虚拟的PCR值将包含使用该特定应用的测量。根据示例性实施例,绑定属性将操作从而使得每个应用将具有绑定到其自身的数据。
根据示例性实施例,密钥或数据绑定到TPM移动PCR,并且仅在最新加载的程序被识别为一个特定程序的条件下被释放。该绑定提供用于最新加载的程序的授权和/或(安全)存储设施,该最新加载的程序正在使用针对程序(例如最新加载的程序)的虚拟值而被启动。另外,根据示例性实施例,远程平台可以将已经被启动并且测量到隔离环境中的代码识别为关于虚拟值测量的历史,而且绑定从隔离环境中保持可用。
现在描述示例性实施例的所涉及的方面。关于基本的受信任平台特征的一般参考可以参照文档“TSG规范架构概述”,规范修订版1.4,2007年8月2日(“TSG Specification Architecture Overview”,SpecificationRevision 1.4,2 August 2007)。
根据TCG规范架构概述,TPM特征的基本原理包含设备将以针对特定目的的具体方式运作的期望。受信任平台应当提供至少三个基本特征:受保护的能力、完整性测量和完整性报告。
受保护的能力是具有访问被屏蔽的位置的独有权限的一组命令。被屏蔽的位置是操作敏感数据很安全的地方(存储器、寄存器等);仅可以由受保护的能力访问的数据位置。TPM实现受保护的能力和用来保护并且报告完整性测量的被屏蔽的位置(被称为平台配置寄存器:PCR)。TPM还存储用来认证报告的测量的加密密钥。TPM受保护的能力可以包括附加的安全功能,例如加密密钥管理、随机数生成、密封数据到系统状态以及由TCG成员确定为必要的其它功能。
证明是担保信息的准确性的过程。外部实体可以证明被屏蔽的位置、受保护的能力以及信任根。平台可以证明其影响到平台完整性(受信任度)的平台特性描述。所有形式的证明需要可靠的证明实体证据。可以沿若干维度来理解证明:由TPM证明、针对平台的证明(“attestation to theplatform”)、对平台的证明(“attestation of the platform”)以及平台的认证。由TPM证明是提供TPM已知的数据的证据的操作。这是通过使用证明身份密钥(AIK)数字签名特定的内部TPM数据来完成的。由验证器确定完整性测量和AIK自身这两者的认可和有效性。
证明协议包括若干步骤:
1.询问器从平台请求一个或多个PCR值。
2.平台上的代理(“agent”),其包含TPM,收集SML条目。
3.平台代理从TPM接收PCR值。
4.TPM使用AIK对PCR值签名。
5.平台代理收集为TPM担保的凭证。已签名的PCR值、SML条目和凭证被返回给询问器。
6.询问器验证请求。计算测量摘要并且将测量摘要与PCR值比较。评估平台凭证并且检查签名。
平台的认证提供所声称的平台身份的证据。所声称的身份可以或者可以不与用户或由用户执行的任何动作有关。使用任何不可迁移的签名密钥执行平台认证。被鉴定的密钥(即由AIK签名的)具有可证明的附加语义。由于存在无限数量的与TPM关联的不可迁移密钥,所以存在无限数量的可以被认证的身份。
完整性测量是获得影响平台的完整性(受信任度)的平台特性的度量并且将那些度量的摘要放入PCR中的过程。测量的起始点被称为针对测量的信任根。针对测量的静态信任根从例如上电自测试的众所周知的起始状态开始测量。针对测量的动态信任根从非受信任状态转移到一个受信任状态。完整性测量和完整性报告之间的可选中间步骤是完整性日志记录,其在日志中存储完整性度量以备以后使用。日志记录是推荐的。否则可能需要重复完整性测量以便解释PCR值。
完整性报告是证明记录在PCR中的完整性测量的过程。完整性测量、日志记录以及报告的理念是:可以允许平台进入可能包括不希望或不安全状态的任何状态,但是不可以允许平台关于其曾经处于或者曾经不处于的状态撒谎。独立的过程可以评估(多个)完整性状态并且确定恰当的响应。
测量内核生成测量事件。测量事件包括两类数据;1)被测量的值—嵌入的数据或程序代码的表示以及2)测量摘要—那些值的散列1(“hashl”)。生成消息摘要的测量内核扫描数据。摘要是机器操作状态的快照。分开存储两个数据元素(被测量的值和测量摘要)。使用RTR和RST功能将测量摘要存储在TPM中。被测得的值2(“values2”)可以被存储在由测量内核自行确定的几乎任何地方。事实上,可以根本不存储被测得的值2,但是无论何时需要串行化表示时,它被重新计算。
TPM包含称为平台配置寄存器(PCR)的一组寄存器,其包含测量摘要。代数地,对PCR的更新如下:PCR[n]βSHA-1(PCR[n]+被测量的数据)。PCR值是暂时的并且在系统重启时复位。测量事件的验证需要测量摘要的重新创建和摘要值的简单比较(使用PCR值作为比较器之一)。TCG没有定义用于SML内容的数据编码规则,但是推荐以下恰当的标准以便确保广泛的可访问性,标准例如可扩展标记语言(XML)。
根据本发明的示例性实施例,如在TCG规范架构概览中那样,存在以如下方式在TPM中实现PCR:寄存器的值取决于调用TPM的实体。根据本发明的示例性实施例,如果证明PCR8通过相应的受信任应用被请求,则证明PCR8是如上文所定义的。此外,如果正在例如从OS或从尚未最新加载的受信任应用使用PCR8,则“非虚拟化的”PCR8值将包含所有已经测量的受信任程序的聚合的最新加载测量。所有受信任程序的这些聚合的最新加载测量被按照测量的顺序放置并且被聚合为PCR。PCR将指示例如新值=H(旧值,H(测量))。
根据本发明的示例性实施例,对于证明,可以使用更复杂的聚合,从而包括在证明快照中的所有测量。作为示例,并且如上文所描述的,TPM移动可以具有专用于接收受信任应用的测量的单个PCR寄存器,所述测量是由在TEE内的受信任OS测量的。举例说,这是PCR 15。每个调用方=受信任应用,在访问TPM移动时,将看到其自身的测量作为该寄存器中的值。然而,对于装置证明,可能需要在所有已经访问TPM移动的受信任应用上的这些PCR值的总数,从而例如证实哪些受信任应用已经正在访问TPM移动(或在一些实现中,甚至是哪些已经启动的受信任应用的全部)。为此,一种方式是将所有“虚拟化的”PCR 15值聚合在单个PCR 15值中,该单个PCR 15值被呈现给不是受信任应用而是例如从“正常”、丰富环境OS调用的应用的任意调用方。所有受信任程序的聚合“最新加载的”(PCR 15)测量被按照测量的顺序放置并且被聚合为单个PCR 15。PCR 15聚合将例如被构造为如下连续调用:新值=H(旧值,H(测量))。
在遗留的TPM标准中,PCR组是静态的,专用于给出的TPM元素,并且在装置启动时PCR被初始化为00000..00(或0)。当PCR按照每调用方被虚拟化时,TPM移动内部将需要更多存储器管理从而管理将正确的PCR寄存器呈现给每个体的调用方。此外,调用方的身份(UUID)必须与虚拟化的PCR一起存储。由于在许多实现中,TPM移动是在TEE内部相同的受信任OS下作为将要被分配其各自PCR的调用方而运行的另一应用,因此,很容易实现这样的数据结构。一个简单的示例是允许预定的最大数量的调用方(例如16或256),并且与主PCR组关联的具有例如16行和2列的表格可以在引导时与其余PCR一起被初始化。无论何时受信任OS要测量在该OS下将要启动的新应用时,该OS可以向TPM移动应用提供用于插入到该表格中的UUID和测量。无论何时受信任应用访问TPM移动(使用两个应用——调用方应用和TPM移动——之间的、在受信任OS内的远程过程调用)时,TPM移动将知道其UUID,并且TPM移动可以将在上文所述的表格中的适当行中的值表示为在PCR 15中的值。
本发明的示例性实施例提供至少以下优点:
-最新加载的系统变得更通用。这在移动TPM中是最紧要的,但是也可能最终成为在PC的多核实现中的问题。
-可以针对所有受信任应用、独立于其执行中的并行性完成平台绑定。
-实际地改进了远程证明。很有可能的设置是测量所有受信任应用,并且于是聚合的PCR8将包含所有最新加载的受信任代码的完整历史,这又提供关于从引导起,在受信任OS中已经执行何代码的说明。该信息具有用于例如确定以下情况的值:“损坏的”程序是否已经在受信任OS中运行,可能已经能够损害TEE的完整性或其它属性。
图4是示出根据本发明的示例性实施例的方法的操作以及计算机程序指令的执行结果的逻辑流程图。根据这些示例性实施例,在框4A处,方法在移动装置中执行使用装置的实体触发采用装置的受信任的平台模块/移动平台模块的证明的步骤。在框4B处执行这样的步骤:响应于触发,向实体发送包括平台配置寄存器的值的信息,其中平台配置寄存器依赖于触发证明的实体的测量。
如图4中的方法,进一步包括将实体绑定到移动装置的受信任平台模块。
如图4中的方法,其中,实体包括在移动装置上运行的受信任应用。
如图4和前述段落中的方法,其中,信息包括与软件程序相关联的测量信息。
如图4和前述段落中的方法,其中,信息包括与软件程序相关联的测量信息。
如图4中的方法,其中,PCR是与实体相关联的虚拟PCR。
本发明的示例性实施例还提供一种设备,其包括:处理器和包含计算机程序代码的存储器,其中,存储器和计算机程序代码被配置为采用处理器引起设备至少执行使用装置的实体触发采用装置的受信任的平台模块/移动平台模块的证明。以及,响应于触发,执行向实体发送包括平台配置寄存器的值的信息,其中,平台配置寄存器依赖于触发证明的实体的测量。
本发明的示例性实施例还提供了一种设备,其包括:用于从移动装置的实体接收对移动装置的受信任软件的访问请求的部件;用于触发采用装置的受信任平台模块/移动平台模块的证明的部件。以及,用于响应于触发,向实体发送包括平台配置寄存器的值的信息的部件,其中,平台配置寄存器依赖于触发证明的实体的测量。
一般地,多种示例性实施例可以在硬件或专用电路、软件、逻辑或者其任何结合中实现。例如,一些方面可以以硬件实现,而其它方面可以以固件或软件来实现,该软件可以由控制器、微处理器或者其它计算装置执行,但是本发明不限于此。尽管本发明的示例性实施例的多种方面可以作为框图、流程图、或者使用一些其它图像表示来示出并且描述,但是应该理解,作为非限制示例,本文所述的这些框、设备、系统、技术或方法可以在硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其它计算装置、或者其一些结合中实现。
因此,应当理解,本发明的示例性实施例的至少一些方面可以在例如集成电路芯片和模块的多种组件中实践,并且,本发明的示例性实施例可以在体现为集成电路的设备中实现。集成电路,或电路,可以包括用于体现可配置的以便根据本发明示例性实施例操作的一个或多个数据处理器(一个或多个)、数字信号处理器(一个或多个)、基带电路系统以及射频电路系统的电路系统(以及可能的固件)。
鉴于前面的描述,当结合附图进行阅读时,本发明的上述示例性实施例的多种变形和修改对于相关领域的技术人员来说将变得明显。然而,任何和所有修改将仍然落在本发明的非限制性和示例性实施例的范围内。
应当注意,术语“连接的”、“耦合的”或其任何变化意指两个或更多个元件之间的直接或间接的任何连接或耦合,并且可以包含被“连接”或“耦合”在一起的两个元件之间的一个或多个中间元件的存在。元件之间的耦合或连接可以是物理的、逻辑的或其结合。作为若干非限制性和非穷举的示例,在本文中使用的两个元件可以认为是通过使用一个或多个电线、电缆和/或印刷的电连接、以及通过使用电磁能量(例如具有在射频区域、微波区域和光(可见光和不可见光二者)区域中的波长的电磁能量)被“连接”或“耦合”在一起。
此外,用于描述参数的多种名称不旨在任何方面被限制,因为这些参数可以由任何合适的名称识别。此外,使用这些多种参数的公式和表达式可以不同于本文中明确地公开的那些。此外,分配给不同的事件(例如,询问等)的多种名称不旨在任何方面被限制,因为多种事件可以通过任何合适的名称识别。
此外,可以有利地使用本发明的多种非限制性和示例性实施例的一些特征而无需相应使用其它特征。因此,以上描述应当被认为是仅仅说明了本发明的原理、教导和示例性实施例,而不是对其的限制。
Claims (25)
1.一种方法,包括:
使用装置的实体触发采用所述装置的受信任的平台模块/移动平台模块的证明;以及
响应于所述触发,向所述实体发送包括平台配置寄存器的值的信息,其中,所述平台配置寄存器依赖于触发所述证明的所述实体的测量。
2.如权利要求1所述的方法,进一步包括将所述实体绑定到移动装置的受信任平台模块。
3.如权利要求1所述的方法,其中,所述实体包括在移动装置上运行的受信任应用。
4.如权利要求1所述的方法,其中,所述信息包括与受信任应用相关联的测量信息。
5.如权利要求1所述的方法,其中,所述信息包括与软件程序相关联的测量信息。
6.如权利要求1所述的方法,其中,所述平台配置寄存器是与所述实体相关联的虚拟平台配置寄存器。
7.一种编码有计算机程序指令的非暂时计算机可读介质,处理器执行所述计算机程序指令从而执行包括以下项的动作:
使用装置的实体触发采用所述装置的受信任的平台模块/移动平台模块的证明;以及
响应于所述触发,向所述实体发送包括平台配置寄存器的值的信息,其中,所述平台配置寄存器依赖于触发所述证明的所述实体的测量。
8.如权利要求7所述的非暂时计算机可读介质,进一步包括将所述实体绑定到移动装置的受信任平台模块。
9.如权利要求7所述的非暂时计算机可读介质,其中所述实体包括在移动装置上运行的受信任应用。
10.如权利要求7所述的非暂时计算机可读介质,其中,所述信息包括与受信任应用相关联的测量信息。
11.如权利要求7所述的非暂时计算机可读介质,其中,所述信息包括与软件程序相关联的测量信息。
12.如权利要求7所述的非暂时计算机可读介质,其中,所述平台配置寄存器是与所述实体相关联的虚拟平台配置寄存器。
13.一种设备,包括:
至少一个处理器;以及
至少一个包含计算机程序代码的存储器,其中,所述至少一个存储器和所述计算机程序代码被配置为采用所述至少一个处理器引起所述设备至少:
使用装置的实体触发采用所述装置的受信任的平台模块/移动平台模块的证明;以及
响应于所述触发,向所述实体发送包括平台配置寄存器的值的信息,其中,所述平台配置寄存器依赖于触发所述证明的所述实体的测量。
14.如权利要求13所述的设备,进一步包括将所述实体绑定到移动装置的受信任平台模块。
15.如权利要求13所述的设备,其中,所述实体包括在移动装置上运行的受信任应用。
16.如权利要求13所述的设备,其中,所述信息包括与受信任应用相关联的测量信息。
17.如权利要求13所述的设备,其中,所述信息包括与软件程序相关联的测量信息。
18.如权利要求13所述的设备,其中,所述平台配置寄存器是与所述实体相关联的虚拟平台配置寄存器。
19.一种设备,包括:
用于使用装置的实体触发采用所述装置的受信任的平台模块/移动平台模块的证明的部件;以及
用于响应于所述触发向所述实体发送包括平台配置寄存器的值的信息的部件,其中,所述平台配置寄存器依赖于触发所述证明的实体的测量。
20.如权利要求19所述的设备,进一步包括用于将所述实体绑定到移动装置的受信任平台模块的部件。
21.如权利要求19所述的设备,其中,所述实体包括在移动装置上运行的受信任应用。
22.如权利要求19所述的设备,其中,所述信息包括与受信任应用相关联的测量信息。
23.如权利要求19所述的设备,其中,所述信息包括与软件程序相关联的测量信息。
24.如权利要求19所述的设备,其中,所述平台配置寄存器是与所述实体相关联的虚拟平台配置寄存器。
25.如权利要求19所述的设备,其中,所述用于触发的部件包括包含计算机程序代码的非暂时存储器,至少一个处理器执行所述计算机程序代码,以及其中所述用于发送的部件包括到通信网络的接口。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261723976P | 2012-11-08 | 2012-11-08 | |
| US61/723,976 | 2012-11-08 | ||
| PCT/FI2013/051048 WO2014072579A1 (en) | 2012-11-08 | 2013-11-07 | Partially virtualizing pcr banks in mobile tpm |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104782155A true CN104782155A (zh) | 2015-07-15 |
Family
ID=50623637
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380058206.3A Pending CN104782155A (zh) | 2012-11-08 | 2013-11-07 | 移动tpm中部分虚拟的pcr组 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9307411B2 (zh) |
| EP (1) | EP2918090A4 (zh) |
| CN (1) | CN104782155A (zh) |
| WO (1) | WO2014072579A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108616540A (zh) * | 2018-05-09 | 2018-10-02 | 聚龙股份有限公司 | 一种基于跨平台加密算法与声明式过滤认证的平台认证方法及系统 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9633210B2 (en) | 2013-09-13 | 2017-04-25 | Microsoft Technology Licensing, Llc | Keying infrastructure |
| FR3024915B1 (fr) * | 2014-08-18 | 2016-09-09 | Proton World Int Nv | Dispositif et procede pour assurer des services de module de plateforme securisee |
| US10097513B2 (en) * | 2014-09-14 | 2018-10-09 | Microsoft Technology Licensing, Llc | Trusted execution environment extensible computing device interface |
| US10068092B2 (en) | 2015-01-21 | 2018-09-04 | Microsoft Technology Licensing, Llc | Upgrading a secure boot policy on a virtual machine |
| US10248791B2 (en) * | 2015-07-20 | 2019-04-02 | Intel Corporation | Technologies for secure hardware and software attestation for trusted I/O |
| US11372970B2 (en) | 2019-03-12 | 2022-06-28 | Hewlett Packard Enterprise Development Lp | Multi-dimensional attestation |
| CN112668961B (zh) * | 2020-12-18 | 2022-07-12 | 苏州浪潮智能科技有限公司 | 一种自动供料系统、方法及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101473329A (zh) * | 2006-04-21 | 2009-07-01 | 交互数字技术公司 | 用于执行可信计算完整性测量报告的设备和方法 |
| CN101772771A (zh) * | 2007-06-20 | 2010-07-07 | 诺基亚公司 | 用于通信系统中的远程消息证实的方法 |
| WO2011101795A1 (en) * | 2010-02-16 | 2011-08-25 | Nokia Corporation | Method and apparatus to provide attestation with pcr reuse and existing infrastructure |
| US20120266231A1 (en) * | 2011-04-18 | 2012-10-18 | Bank Of America Corporation | Secure Network Cloud Architecture |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4064914B2 (ja) * | 2003-12-02 | 2008-03-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム |
| US20050251857A1 (en) * | 2004-05-03 | 2005-11-10 | International Business Machines Corporation | Method and device for verifying the security of a computing platform |
| GB0411654D0 (en) * | 2004-05-25 | 2004-06-30 | Hewlett Packard Development Co | A generic trusted platform architecture |
| US7836299B2 (en) * | 2005-03-15 | 2010-11-16 | Microsoft Corporation | Virtualization of software configuration registers of the TPM cryptographic processor |
| US7613921B2 (en) * | 2005-05-13 | 2009-11-03 | Intel Corporation | Method and apparatus for remotely provisioning software-based security coprocessors |
| US8108668B2 (en) * | 2006-06-26 | 2012-01-31 | Intel Corporation | Associating a multi-context trusted platform module with distributed platforms |
| US20080046752A1 (en) | 2006-08-09 | 2008-02-21 | Stefan Berger | Method, system, and program product for remotely attesting to a state of a computer system |
| US8522018B2 (en) * | 2006-08-18 | 2013-08-27 | Fujitsu Limited | Method and system for implementing a mobile trusted platform module |
| US20080126779A1 (en) * | 2006-09-19 | 2008-05-29 | Ned Smith | Methods and apparatus to perform secure boot |
| KR100823738B1 (ko) | 2006-09-29 | 2008-04-21 | 한국전자통신연구원 | 컴퓨팅 플랫폼의 설정 정보를 은닉하면서 무결성 보증을제공하는 방법 |
| US9171161B2 (en) * | 2006-11-09 | 2015-10-27 | International Business Machines Corporation | Trusted device having virtualized registers |
| US20080235754A1 (en) * | 2007-03-19 | 2008-09-25 | Wiseman Willard M | Methods and apparatus for enforcing launch policies in processing systems |
| US7945786B2 (en) * | 2007-03-30 | 2011-05-17 | Intel Corporation | Method and apparatus to re-create trust model after sleep state |
| US20090007104A1 (en) * | 2007-06-29 | 2009-01-01 | Zimmer Vincent J | Partitioned scheme for trusted platform module support |
| US8249257B2 (en) * | 2007-09-28 | 2012-08-21 | Intel Corporation | Virtual TPM keys rooted in a hardware TPM |
| US20090204964A1 (en) * | 2007-10-12 | 2009-08-13 | Foley Peter F | Distributed trusted virtualization platform |
| US20090172378A1 (en) * | 2007-12-28 | 2009-07-02 | Kazmierczak Gregory J | Method and system for using a trusted disk drive and alternate master boot record for integrity services during the boot of a computing platform |
| US8259948B2 (en) * | 2007-12-29 | 2012-09-04 | Intel Corporation | Virtual TPM key migration using hardware keys |
| JP2012520027A (ja) * | 2009-03-06 | 2012-08-30 | インターデイジタル パテント ホールディングス インコーポレイテッド | 無線装置のプラットフォームの検証と管理 |
| CN102763111B (zh) * | 2010-01-22 | 2015-08-05 | 交互数字专利控股公司 | 用于可信联合身份管理和数据接入授权的方法和设备 |
| US8667263B2 (en) * | 2010-02-12 | 2014-03-04 | The Johns Hopkins University | System and method for measuring staleness of attestation during booting between a first and second device by generating a first and second time and calculating a difference between the first and second time to measure the staleness |
| CN102763113B (zh) * | 2010-02-16 | 2015-10-07 | 诺基亚公司 | 对移动可信模块中的平台配置寄存器进行复位的方法和设备 |
| KR101533876B1 (ko) * | 2010-03-05 | 2015-07-03 | 인터디지탈 패튼 홀딩스, 인크 | 장치에 대한 보안을 제공하는 방법 및 장치 |
| EP2533169A1 (en) * | 2011-06-08 | 2012-12-12 | Telefonaktiebolaget L M Ericsson (publ) | Method of determining an attribute of a server |
| KR20160043134A (ko) * | 2011-09-30 | 2016-04-20 | 인텔 코포레이션 | 가상 머신 및 네스티드 가상 머신 매니저의 인증 론치 |
-
2013
- 2013-11-07 CN CN201380058206.3A patent/CN104782155A/zh active Pending
- 2013-11-07 EP EP13853445.8A patent/EP2918090A4/en not_active Withdrawn
- 2013-11-07 WO PCT/FI2013/051048 patent/WO2014072579A1/en active Application Filing
- 2013-11-07 US US14/074,135 patent/US9307411B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101473329A (zh) * | 2006-04-21 | 2009-07-01 | 交互数字技术公司 | 用于执行可信计算完整性测量报告的设备和方法 |
| CN101772771A (zh) * | 2007-06-20 | 2010-07-07 | 诺基亚公司 | 用于通信系统中的远程消息证实的方法 |
| WO2011101795A1 (en) * | 2010-02-16 | 2011-08-25 | Nokia Corporation | Method and apparatus to provide attestation with pcr reuse and existing infrastructure |
| US20120266231A1 (en) * | 2011-04-18 | 2012-10-18 | Bank Of America Corporation | Secure Network Cloud Architecture |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108616540A (zh) * | 2018-05-09 | 2018-10-02 | 聚龙股份有限公司 | 一种基于跨平台加密算法与声明式过滤认证的平台认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140130124A1 (en) | 2014-05-08 |
| EP2918090A4 (en) | 2016-06-29 |
| US9307411B2 (en) | 2016-04-05 |
| EP2918090A1 (en) | 2015-09-16 |
| WO2014072579A1 (en) | 2014-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104782155A (zh) | 移动tpm中部分虚拟的pcr组 | |
| KR101106851B1 (ko) | 신뢰 검증 방법 및 신뢰 검증 시스템 | |
| JP5398824B2 (ja) | セキュア処理システムのアプリケーション空間において信頼性を実現するための一時的pcr利用 | |
| US9384367B2 (en) | Measuring platform components with a single trusted platform module | |
| KR101458780B1 (ko) | 다단계 락스텝 무결성 보고 메커니즘 제공 | |
| US8595828B2 (en) | Computer resource verifying method and computer resource verifying program | |
| CN110245518B (zh) | 一种数据存储方法、装置及设备 | |
| CN103329093A (zh) | 更新软件 | |
| CN101473329A (zh) | 用于执行可信计算完整性测量报告的设备和方法 | |
| CN105205413B (zh) | 一种数据的保护方法及装置 | |
| EP2537115B1 (en) | Method and apparatus to reset platform configuration register in mobile trusted module | |
| US20180054731A1 (en) | SMS Message Reading Control Method and Terminal | |
| CN106096418A (zh) | 基于SELinux的开机安全等级选择方法、装置及终端设备 | |
| CN110008758A (zh) | 一种id获取方法、装置、电子设备及存储介质 | |
| CN113448681B (zh) | 一种虚拟机监控器公钥的注册方法、设备和存储介质 | |
| CN111259368A (zh) | 一种登录系统的方法及设备 | |
| CN112329005A (zh) | 操作系统启动的引导度量方法、装置、电子设备和介质 | |
| CN109167785B (zh) | 一种虚拟可信根的调用方法和业务服务器 | |
| CN111680334A (zh) | 一种磁盘安全访问方法、装置、设备、介质 | |
| CN116561772B (zh) | 可信静态度量值计算方法、装置、存储介质及处理器 | |
| CN115396277B (zh) | 登录态的管理方法、装置、设备及存储介质 | |
| KR102345501B1 (ko) | 블록체인 네트워크를 구성하고 있는 복수의 노드 장치들과 연동하여 프로그램의 위/변조 검증을 수행하는 전자 단말 장치 및 그 동작 방법 | |
| CN115544040A (zh) | 基于区块链的链上链下数据一致性验证方法及相关设备 | |
| CN111967043A (zh) | 确定数据相似度的方法、装置、电子设备及存储介质 | |
| CN117411662A (zh) | 一种异构可信执行环境下飞地的跨平台度量验证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150715 |
|
| WD01 | Invention patent application deemed withdrawn after publication |