CN107851159B - 控制配置数据储存器 - Google Patents
控制配置数据储存器 Download PDFInfo
- Publication number
- CN107851159B CN107851159B CN201680044912.6A CN201680044912A CN107851159B CN 107851159 B CN107851159 B CN 107851159B CN 201680044912 A CN201680044912 A CN 201680044912A CN 107851159 B CN107851159 B CN 107851159B
- Authority
- CN
- China
- Prior art keywords
- configuration data
- machine
- implemented method
- receiving
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2137—Time limited access, e.g. to a computer or data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
提供了一种用于保护配备有储存器的设备免于将恶意配置数据引入到配置数据储存器中的、机器实现的方法,该方法包括以下步骤:由设备接收用于该设备的配置的修改的可信信号;响应于接收,将该设备置于操作受限模式并进行停用服务和重新引导该设备中的至少一个;响应于将该设备置于操作受限模式和停用或重新引导,允许配置数据进入到配置数据储存器的受限部分中。
Description
本发明涉及在配备有储存器中的配置数据储存器的控制。
自因特网出现以来,能够存储和处理数据的设备的互联性迅速增加。现在,随着所谓的物联网(IoT)的发展,没有常规配备以存储和处理数据的设备正变得如此配备。一个示例是设置有识别与易腐食品相关联的编码数据、将数据存储在设备储存器中,并随后通过网络向智能电话警告用户食品的即将到来的“保质期”的能力的家用冰箱。
设备的这样的扩展能力带来了优势,但是同时这些设备可能不利地易于受到潜在的有害活动的损害,该活动可以包括对系统或更广泛的网络的威胁,无论是由不正确的程序非故意地引起的,还是更糟糕地由有意插入的恶意代码或虚假数据引起,该恶意代码或虚假数据可能会损害(vitiate)除此以外是非恶意的执行代码的效果。现代设备的互联性意味着不可信的代码或数据会在网络上广泛传播,使得其存在于许多设备中,其中每个设备可以反过来被用作新的向前感染源。
可能出现的特定问题是不可信的配置数据,该配置数据可以由人类操作员直接输入到设备储存器中,或者可以通过通信信道接收并且以编程方式放置在设备储存器中。在一些情况下,这种不可信的代码或数据可以以使得重新启动或复位设备也可能不能检测到或移除它的方式变成驻留,使得当在重新启动之后该不可信的代码或数据从它隐藏在配置数据中的位置复活时,不良影响继续。
为了更好地理解现有技术的背景,需要清楚当设备互联成非常广泛和异构的网络时,期望安全性、完整性或可信性能够得到绝对的保证是乐观的。因此,本领域技术人员使他们自己专心于通过约束任何可能的系统或设备的“攻击面”(即,通过减少恶意或仅是非故意的不可信的代码和数据进入系统或设备的机会,然后,如果检测到这种代码或数据,那么尽可能多地减少其造成危害并传播到其它系统的机会)来降低其系统的脆弱性的所有可能手段。
在所公开的技术的第一方面中,提供了一种用于保护配备有储存器的设备免于将恶意配置数据引入到配置数据储存器中的机器实现的方法,该方法包括以下步骤:由所述设备接收用于所述设备的配置的修改的可信信号;响应于所述接收,将所述设备置于操作受限模式以及停用服务和重新引导所述设备中的至少一个;响应于所述将所述设备置于所述操作受限模式并且所述停用或重新引导,允许配置数据输入所述配置数据储存器的受限部分中。
在本公开技术的第二方面中,提供了一种配备有储存器的设备,该设备可操作以根据配置数据储存器中存储的数据进行配置并且包括:信号接收部件,用于接收用于所述设备的配置的修改的可信信号;操作限制器部件,用于将所述设备置于操作受限模式以及停用服务和重新引导所述设备中的至少一个;以及输入信道,响应于所述操作限制器部件,用于允许配置数据输入所述配置数据储存器的受限部分。
在所公开的技术的第三方面中,提供了一种包括有形地存储在计算机可读介质上的计算机程序代码的计算机程序产品,该计算机程序代码可由计算机系统执行,用于保护配备有储存器的设备免于将恶意配置数据引入到配置数据储存器中,该计算机程序代码包括用于执行根据第一方面的方法的步骤的代码部件。第三方面的可选代码部件相应地与第一方面的可选方法步骤对应。
附图说明
参考附图,读者将更好地理解所公开的技术的实施例,在附图中:
图1示出了根据安全配置技术的设备;
图2示出了安全配置储存器的操作的方法;
图3示出了安全配置储存器的操作的另一种方法;
图4示出了在安全配置储存器中使用的模式的细节;
图5示出了根据该技术的设备的进一步的细节;
图6示出了操作示例性设备的方法;
图7示出了设备的“健康系统”;以及
图8示出了示例性的“健康系统”的操作的方法。
现在转到图1,示出了包括示例性安全域对(安全域A 102和安全域B 104)的设备100。设备100可以是例如根据预定的计划用于控制处理或用于操作家电(appliance)的控制器设备,或者可以可操作以接收并执行从外部源传递给它的指令。这种设备通常包括控制设备的配置和设备与物理和虚拟环境的关系的固件和数据。固件通常需要从设备100外部的源加载到设备100中,并且这样的加载活动的安全性对于设备100及其网络中其它设备的“生态系统”的安全性和完整性而言非常重要。
为了说明的目的,安全域A 102被示为包括适用于存储一个或多个配置数据项124(为了简单起见,在此示出其中的单个配置数据项)的配置数据储存器106。配置数据储存器106可以包括永久或临时储存器,例如记录在非易失性或易失性储存器(诸如随机存取存储器)中的寄存器或数组。设备100设置有设备适配器108,该设备适配器可操作地与输入和输出信道112和114通信。设备100还设置有网络适配器110,该网络适配器可操作地与网络116通信。为了解释的清楚性,将在下面详细描述安全域B 104。转向配置数据项124,在图4中示出了更详细的示例。配置数据项124可以包括密钥:值对,包括密钥402和值404。配置数据项还可以包括安全指示符406和次序408,作为配置数据项124到达的时间或次序的指示符。安全指示符406和次序408的使用将在下文中变得更清楚。安全域A 102和安全域B 104可以被理解为包括更安全的域和较不安全的域,如例如由技术提供的。区别的实际示例是较不安全的域可以是具有到公共网络(诸如互联网)的连接性的域,而更安全的域可以是没有这种连接性的域。例如,更安全的域可以完全与公共网络隔离并且只能通过直接连接的本地信道的方式来访问。
在这里公开的技术的第一种最简单的形式中,因此可以在设备100中设置在允许存储一个或多个配置数据项124之前要求可信度指示符(例如,安全指示符406)的安全存储机制。根据第一种做法,所提出的配置数据项124(或相同输入事务的一组链接的配置数据项)伴随有指示配置数据项可以被信任的认证证书(使用用于提供这种证书的任何已知技术,诸如“可信第三方”系统)。信任的源可以是例如供应服务器、用户的设备、通过在设备上物理地提供的用户界面提供的输入等。在替代例中,当购买设备时,它可以具有用于更新的一组可信证书,并且还可以设置用于添加其它安全配置数据源的机制。信任的维护中潜在的进一步问题在于当不安全或恶意代码或数据可以被引入到配置数据储存器106中时,设备配置发生的期间的时间。下面将参考图5在适当的时候描述针对这种代码或数据保护设备100的一种做法。
在图1中,继续前文,可以将配置数据项124与证书或者证书的简化形式(诸如部分散列)一起存储到安全配置数据储存器106中,以形成指纹。通过因此存储被用于将允许存储配置数据项124存储在安全储存器中的指纹,以及可选地存储操作的相对顺序的日期或其它指示符(例如,次序408),有可能知道当网络中使用相同数据配置的其它系统被发现已经被损害(compromised)时,是否应当继续信任配置数据项124。如果不再信任配置数据项124,那么可以使用无效器125使其效果无效。下面将在适当的时候描述无效器125的详细操作。
现在回到图1,安全域B 104被示为包括验证器120,验证器120可以包括模式126或者多个这样的模式(为了简单起见,这里示出了一个)。更具体地,图4示出了包括模式126的验证器120,模式126映射用于配置数据项124的值部分的可接受的数据格式或类型。验证器120还包括比较器410,比较器410用于比较值404与模式126,以确定值404符合或不符合可接受的数据格式或类型。
因而,在这里设想的技术的第二种形式中,配置数据项124的可信度可以通过由设备或系统的已知更安全的部分(在这种情况下为安全域B 104)操作的算法的应用来得出,因此在允许存储数据项之前,根据数据项本身的一些特性来确认可信度,并且通过这种手段可以断定在安全配置数据储存器106中的任何配置数据项124均可以被假设为在其进入那个安全配置数据储存器106时是可信的。实现这种做法的一种可能方法是使验证器120(该验证器驻留在系统的更安全的部分中以确保其输出是可以被依赖的)维持与可靠的配置数据项124相关联的一组特定模式(这里表示为模式126),并检查所提出的配置数据项124以确定它是否符合其中一个模式,从而基于符合或不符合已知模式而允许系统接受或拒绝提出的项。模式本身可以驻留在系统的较不安全的域中,前提是使得模式对那个域中的实体是只读的。
因此,只要“未签名”的数据匹配由可信源提供的模式,允许该数据可能是可允许的。例如,供应服务器可以确认它允许将最多10个字符的字符串放入存储设备中,但是该字符串可能来自任意不安全的源。关于这个事务的元数据将存储该模式是安全的指示。另外一个示例可能是定义字段中预期的数据的类型并将信任基于符合数据类型,例如,确认声称是Wi-Fi密钥的数据项实际上看起来像Wi-Fi密钥是有用的,并减少了恶意代码或数据的潜在攻击面。执行验证的系统可以是设备本身、网络中的另一个服务器或对等设备,前提是验证器120本身是可信的。
使用这第二种做法,因为不需要将分离的元数据信任指示符与项一起存储在安全储存器中,可以获得每个配置数据项的安全存储占用空间的有利减少。因此,这种选择在用于配置数据的存储空间受到严格限制的上下文中(诸如在需要尽可能小的便携式或可穿戴式设备中,以及期望尽可能多地使可用储存器专用于设备的应用功能的情况下)是有价值的。
提供安全指示的步骤因此可以包括提供以下至少一个:配置数据项的特性中的固有指示;全部或部分数字证书;对全部或部分数字证书的引用;操作者的物理存在的指示符;可信数据源的标识符;通过其接收配置数据项的可信通信信道的指示符;以及对可信数据模式的符合。
存储配置数据项的步骤还可以包括存储顺序指示符。存储顺序指示符可以包括存储以下至少一个:时间戳;日期戳;序列指示符;以及在缓冲区中的位置指示符。使配置效果无效的步骤可以包括根据顺序指示符回滚至少一个在先的配置数据项。
通过存储顺序指示符,有可能维护随着时间或作为序列的配置数据项的值的历史,并且因此有可能回滚到“已知的安全”配置。例如,如果设备由于安全违规而被重新引导(reboot),那么它可以在没有在过去N天内输入的任何数据的情况下被重新启动,并且随着N的增长进行重复,直到设备再次“安全”为止。在这之后,设备可以具有一组“安全检查点”,并且当发现设备被损害时,这些设备可以回滚到最后一个已知的安全检查点。
在使用上述两种技术中的任一种的情况下,提供了防止将感染性数据写入数据储存器的保护和撤销由受感染或不再受信任的设备所做的配置改变的能力。除了回滚配置数据之外,设备还可以禁止不受信任的实体将来对配置存储设备进行改变,但是保留该实体以其它方式和为了其它目的而与设备进行交互的能力。考虑具体的示例,被感染的智能手机仍然可以被允许操作房屋中的灯,但是不能将其配置为指向不同的固件更新服务器。
在图2中示出了设备100的一个示例的操作的示例性方法200。方法200在开始步骤202处开始,并且在步骤204处接收配置数据项124。在测试步骤206,确定是否存在与配置数据项124相关联的有效安全指示符。如果该确定是否定的,那么在步骤208返回拒绝–配置数据项124不存储在配置数据储存器106中,并且处理在结束步骤218处结束。如果在步骤206处的确定是肯定的,那么在步骤210,将数据项与可选的分开的安全指示符一起被存储在配置数据储存器106中。在替代例中,基于配置数据项124在配置数据储存器106中的存在,可以在将来的操作中依赖隐含的安全指示。设备100继续在步骤212处正常地处理,在测试步骤214处监听指示配置数据项124不再被认为可信的事件。只要没有检测到这样的事件,包括步骤212和步骤214的循环就继续进行正常的处理和监听,直到被中断。如果测试步骤214处的事件指示配置数据项124不再被视为安全的,那么配置数据项124的配置效果在步骤216处被无效器125无效,并且处理在结束步骤218结束。
在图3中示出了方法300,该方法示出了在上述无效步骤216处可以发生的动作。处理在开始步骤302开始并且在步骤304配置效果被无效。配置效果的无效可以包括以下至少之一:撤消效果;将配置数据项设置为缺省值;暂时抑制效果;以及将配置数据项的数据源标记为不可信。在可选的步骤306处,为了可能尝试使用它的任何本地处理的利益,该项被标记为不可信。在可选的步骤308处,为了在更广泛的系统中的连接节点的利益,可以通过通信介质(诸如输入/输出信道112/114或网络116)传送该项为不可信的事实。该方法可选地可以在将数据源标记为不可信之后使来自数据源的至少一个另外的配置数据项的配置效果无效。在步骤310处,识别项的数据源,并且可选地识别存储项的有序序列中的时间或位置。在步骤312处,回滚来自识别出的源的数据的先前配置效果,并且处理在结束步骤314完成。
所公开的技术的进一步扩展是创建暂存(staging)区域(在图1中表示为阶段数据储存器118)-在那里可以放置尚未被信任的数据。可以以任何方式输入尚未被信任的数据,但是在被存储在配置数据储存器106中之前必须由可信实体“确认”。在重新引导之后只在阶段数据储存器118中的数据不可用,从而使得它不可能造成设备的重新感染。访问尚未被信任的数据的能力也取决于安全上下文。例如,当系统以安全模式运行时,系统可能无法访问不受信任的配置数据。
如已经描述的,当系统接收到代表漏洞的潜在目标的、使用配置数据储存器106使自身存留(persist)的配置数据或代码时,一种安全性的做法是确保证明操作者的物理存在(例如,通过设备上的按钮的方式)。然后,设备进入更安全的模式–例如,通过在没有连接的情况下重新引导以及可选地重新擦写(re-flashing)或核实来自安全地点的任何不安全的固件,或者通过使用中断来显示分离的用户界面。在一个替代例中,可信网络可以建立隔离信道来与设备进行通信,以用于传递指示允许配置的可信信号。
因此,在恶意软件有可能将其自身存储在配置中以使得即使重置固件漏洞也重新出现的情况下,目前公开的方法确保使用安全输入模式输入可能存在这种风险的配置数据的元素。例如,指示物理存在(例如,按下按钮)可以将设备切换到安全输入模式。这可以是连续的(例如,保持按钮被按下)或者采取一对信号的形式(一下是进入安全模式,并且另一下是保存数据并退出)。
在设备的内部,可以使用安全中断的方式来完成进入安全输入模式–这可以直接呈现用户界面,或者可以使得设备以更安全的配置重新引导(例如,在没有网络连接的情况下),并且有可能包括重置固件映像的步骤,使得被损害的固件不能修改所输入的输入以便存留。
使用这种技术,只能从这个安全中断执行相关配置设置的修改。通过例如保留只能通过代码写入的屏幕的一部分,可以防止对这种安全配置用户界面的欺骗。这样的空间可以由指示何时安全输入模式是活动状态的符号占据。如果使用“快速重置/重新引导”方法,那么可以设置标志(来自安全代码)以指示安全模式是活动状态的。当配置完成后,该标志可以被取消设置,并且取消连接性和其它限制。
现在转到图5,示出了设备100的进一步的视图,包括安全域A102和安全域B 104、设备适配器108、网络适配器110、输入/输出信道112/114和网络116,如已经描述的。没有示出与设备100的这个视图不相关的特征。设备100可被操作为运行服务502,该服务502可以是用户应用服务或系统支持服务,并且这些服务可以在安全域A 102内、安全域B内操作或以跨域方式操作。如上所述,输入/输出信道112/114和网络116连接到设备100,并且可操作为除其它消息外还传送可信修改信号504。可信修改信号504可以采取指示用户的物理存在的按钮点击、按钮按下或类似信号的形式。在一个替代例中,可信修改信号504可以采取在具有认可的信任级别的隔离侧的信道上的信号的形式。时钟部件128可以被用于限制可以执行配置数据输入的期间的时间,并且作为扩展,时钟超控(override)130可以用于超控时钟并且提前终止用于配置数据输入的时间。
在图6中示出了方法600,通过使用该方法可以实现在数据输入点对配置数据储存器的控制,方法600在开始步骤602开始,并且在步骤604接收可信信号。如果在没有这种可信信号的情况下试图进行对配置数据储存器106的访问,那么访问被拒绝,并且可选地警告信号可以被发送到另外的设备。在步骤606处,设备被置于受限模式,由此可以限制用户界面或网络接口处的活动,以减少恶意代码和数据可用的攻击面。在步骤608处,可以停用设备的所选择的服务–例如,到网络的连接可以被停用,以限制在配置处理期间通过网络活动的方式引入恶意代码的机会。替代地或附加地,设备可以被重新引导。在步骤610处,可选地,可以启动时钟,通过该时钟可以限制用于数据输入的时段。在步骤612处,发放将数据输入到受限区域(例如,配置数据储存器106)中的许可。受限制的区域可以包括配置数据储存器106的全部或一部分。在许可是活动状态的时段期间,被允许向受限区域输入数据的用户或通信实体可以在步骤614处放弃控制,并且从而在步骤618处指示应当放弃该许可。在步骤614处放弃控制的动作可以包括输入命令、释放所按压的按钮、再次点击按钮,或者结束接近状态。在替代例中,当在步骤616处,在步骤610中设置的时钟到期时,则在步骤618处自动放弃该许可。在这个时候,处理在结束步骤620结束。因此,可以通过控制配置数据输入处理给予将配置数据输入储存器的处理附加的安全性。
本领域的技术人员也将清楚的是,利用上述系统,通过系统中随着时间的推移而提供的启发式方法,可以了解更多在检测到恶性代码和数据感染时关于恶性代码和数据感染的性质。例如,考虑监视网络健康状况的“IoT健康系统”。如果它注意到来自一组节点的异常流量,那么它可以查询提供配置存储设备中最后N个密钥:值对的实体的指纹。如果它发现所有行为不当的设备最近都由同一个代理配置,那么可以调查这个代理来检查损害。查询指纹(而不是任何数据)的进一步的优点在于系统保护用户的隐私。在存在常规机制以检查表示对安全性的损害的特殊数据的的系统中,该机制可以被潜在地用于发现安全储存器的内容(例如,密码),但是在通过询问元数据进行安全检查的情况下这是不可能的。
在图7中示出了其中一组设备100A、100B、100C通过网络连接的示例性IoT健康系统700。设备100A、100B、100C均为上面参考图1描述的设备100的示例。设备100A、100B、100C各自包括用于检测指示数据不可信的事件和信号的检测器710,以及用于分析与配置数据项124相关联的元数据(例如,模式符合性元数据、设备中的到达日期等)的分析器716。设备100A、100B、100C各自还包括用于累积信息和信息链接的知识库718,从这些信息和信息链接可以得出关于系统中的设备中的信任的推论。设备100A作为具有多个对等体的网络116中的对等体进行操作,健康系统700的处理可以分布在多个对等体之上。在替代例中,设备100B和设备100C可作为客户端-服务器对在网络116上操作,其中可以在客户端监视器706和服务器监视器708之间分发(delegate)处理。
如图8中所示,IoT健康系统700可以根据方法800进行操作。方法800开始开始步骤802。如果在步骤804处接收到指示数据不可信的事件,或者如果在步骤806处配置改变的速率对于系统来说显得不合理,那么设备100A、100B、100C在步骤808处存储不可信的指示。在步骤810处,如上面参考图2和图3所述地发起本地响应。在步骤812处,相关元数据(包括但不限于数据的源、到达的时间和日期等)由分析器716分析并且与其它存储的元数据进行比较,并且在步骤814处元数据被用于填充知识库718。在步骤816处,分析的结果可以被传送到IoT健康系统700的网络内的其它设备,并且在步骤818处方法800完成。
因此,在配置数据储存器106中存储具体的元数据并允许其被分析的所公开的技术允许IoT健康系统700创建关于感染的有价值度量并且发现感染性配置数据的源。这个元数据也可以用于撤销来自已知的被感染源的配置。对这种IoT健康系统的一个可能的补充是记录配置尝试并记录何时存在安全配置改变请求的不合理速率并提醒其健康系统。可以在某些类别的设备上开发聚合置信度的测量,随着时间的推移,该测量建立在根据一组设备发送的配置中整个网络所具有的置信度的分布曲线,从而允许系统学习比其它类设备更多地信任该类设备。
如本领域技术人员将认识到的,本技术的各方面可以被实现为系统、方法或计算机程序产品。因而,本技术的各个方面可以采取完全硬件实施例、完全软件实施例或者组合软件方面和硬件方面的实施例的形式。
此外,本技术的各方面可以采取具有计算机可读程序代码被嵌入在其上的计算机可读介质中实现的计算机程序产品的形式。计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可以是例如但不限于电、磁、光、电磁、红外或半导体系统、装置或设备,或前述的任意合适组合。
用于执行本技术的各方面的操作的计算机程序代码可以以一种或多种编程语言的任意组合来编写,编程语言包括面向对象的编程语言和常规的过程式编程语言。程序代码可以完全在用户的计算机上执行、部分在用户的计算机上执行部分在远程计算机上执行,或者完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可以通过任何类型的网络连接到用户的计算机。代码部件可以被实现为过程、方法等,并且可以包括子部件,子部件可以采取在任何抽象级别的指令或指令序列(从本机指令集的直接机器指令到高级编译或解释的语言结构)的形式。
本领域技术人员还将清楚的是,根据本技术的优选实施例的逻辑方法的全部或部分可以适当地被实现在包括用于执行该方法的步骤的逻辑元件的逻辑装置中,并且这种逻辑元件可以包括诸如例如可编程逻辑阵列或专用集成电路中的逻辑门的部件。这种逻辑布置还可以被实现为用于使用例如虚拟硬件描述符语言来临时或永久建立这种阵列或电路中的逻辑结构的使能元件,其中可以使用固定或可发送的载波介质来存储和发送虚拟硬件描述符语言。
在一个替代例中,本技术的实施例可以以部署了服务的计算机实现的方法的形式来实现,该服务包括以下步骤:部署计算机程序代码,当计算机程序代码被部署到计算机基础设施或网络中并在其上执行时,该计算机代码可操作以使所述计算机系统或网络执行该方法的所有步骤。
在另一个替代例中,本技术的优选实施例可以以其上具有功能数据的数据载波的形式来实现,所述功能数据包括功能计算机数据结构,当功能计算机数据结构被加载到计算机系统或网络中并由此在其上操作时,该功能计算机数据结构使所述计算机系统能够执行该方法的所有步骤。
本领域技术人员将清楚的是,在不背离本发明的范围的情况下,可以对前述示例性实施例进行许多改进和修改。
Claims (18)
1.一种用于保护配备有储存器的设备免于将恶意配置数据引入到配置数据储存器中的、机器实现的方法,该方法包括以下步骤:
由所述设备接收用于所述设备的配置的修改的可信信号;
响应于所述接收所述可信信号,将所述设备置于操作受限模式,并进行停用服务和重新引导所述设备中的至少一个;以及
响应于将所述设备置于所述操作受限模式和进行所述停用和重新引导中的所述至少一个,允许配置数据进入所述配置数据储存器的受限部分。
2.如权利要求1所述的机器实现的方法,还包括以下步骤:
检测在不存在所述可信信号的情况下对所述配置数据储存器的访问的尝试;以及
响应于所述检测步骤,拒绝所述访问。
3.如权利要求1所述的机器实现的方法,还包括通过通信网络向至少一个另外的配备有储存器的设备传送警告信号的步骤。
4.如权利要求1所述的机器实现的方法,其中所述配置数据储存器的受限部分包括所述配置数据储存器的全部。
5.如权利要求1所述的机器实现的方法,其中所述接收所述可信信号的步骤包括接收用户的物理存在的指示符。
6.如权利要求5所述的机器实现的方法,其中所述接收用户的物理存在的指示符的步骤包括检测按钮点击、按钮保持按下、生物识别检测和个人设备接近信号中的至少一个。
7.如权利要求1所述的机器实现的方法,其中所述接收所述可信信号的步骤包括通过网络接收可信信号。
8.如权利要求7所述的机器实现的方法,其中所述通过网络接收可信信号的步骤包括通过隔离侧的信道接收信号。
9.如权利要求1所述的机器实现的方法,其中所述将所述设备置于操作受限模式的步骤包括限制用户界面元素。
10.如权利要求9所述的机器实现的方法,其中所述限制用户界面元素的步骤包括仅接受命令的子集。
11.如权利要求1所述的机器实现的方法,其中所述停用步骤包括关闭至少一个服务。
12.如权利要求1所述的机器实现的方法,其中,所述停用步骤包括临时抑制至少一个服务的效果。
13.如权利要求1所述的机器实现的方法,其中所述允许配置数据进入所述配置数据储存器的所述受限部分的步骤包括允许配置数据进入在所述设备的安全域的控制之下的设备储存器的一部分。
14.如权利要求1所述的机器实现的方法,其中所述允许配置数据进入所述配置数据储存器的所述受限部分的步骤还包括仅在从所述接收所述可信信号的步骤起有限的时间内允许配置数据进入。
15.如权利要求1所述的机器实现的方法,其中所述允许配置数据进入的步骤可操作为被放弃控制的动作所超控。
16.如权利要求15所述的机器实现的方法,其中所述放弃控制的动作包括输入命令、释放所保持的按钮、进一步的按钮点击以及结束接近状态中的至少一个。
17.一种配备有储存器的设备,该设备可被操作为根据配置数据储存器中存储的数据进行配置,并且包括适于执行如权利要求1至16中任一项所述的方法的步骤的部件。
18.一种有形地存储计算机程序代码的计算机可读介质,该计算机程序代码可由计算机系统执行,以执行如权利要求1至16中任一项所述的方法的步骤。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB1513572.6 | 2015-07-31 | ||
GB1513572.6A GB2540961B (en) | 2015-07-31 | 2015-07-31 | Controlling configuration data storage |
PCT/GB2016/052046 WO2017021683A1 (en) | 2015-07-31 | 2016-07-07 | Controlling configuration data storage |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107851159A CN107851159A (zh) | 2018-03-27 |
CN107851159B true CN107851159B (zh) | 2021-09-10 |
Family
ID=54063001
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680044912.6A Expired - Fee Related CN107851159B (zh) | 2015-07-31 | 2016-07-07 | 控制配置数据储存器 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10671730B2 (zh) |
CN (1) | CN107851159B (zh) |
GB (1) | GB2540961B (zh) |
WO (1) | WO2017021683A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB201413836D0 (en) | 2014-08-05 | 2014-09-17 | Arm Ip Ltd | Device security apparatus and methods |
GB2540965B (en) | 2015-07-31 | 2019-01-30 | Arm Ip Ltd | Secure configuration data storage |
KR102573921B1 (ko) * | 2016-09-13 | 2023-09-04 | 삼성전자주식회사 | 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법 |
US10848972B2 (en) * | 2017-10-18 | 2020-11-24 | Microsoft Technology Licensing, Llc | Mobile device wireless restricted peripheral sessions |
CN108595983B (zh) * | 2018-04-24 | 2021-08-06 | 许昌学院 | 一种基于硬件安全隔离执行环境的硬件架构、及应用上下文完整性度量方法 |
US10924347B1 (en) | 2019-10-16 | 2021-02-16 | Microsoft Technology Licensing, Llc | Networking device configuration value persistence |
WO2021102915A1 (zh) * | 2019-11-29 | 2021-06-03 | Oppo广东移动通信有限公司 | 物联网设备的配置方法、装置及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1957334A (zh) * | 2004-06-24 | 2007-05-02 | 英特尔公司 | 用于总线设备的隔离存储器机制 |
CN102279807A (zh) * | 2010-06-09 | 2011-12-14 | 李尔公司 | 更新共享存储器的方法和系统 |
CN102667794A (zh) * | 2009-12-23 | 2012-09-12 | 国际商业机器公司 | 用于保护操作系统免于非授权修改的方法和系统 |
CN103119602A (zh) * | 2010-08-06 | 2013-05-22 | 英特尔公司 | 在安全环境中提供快速非易失性储存器 |
CN104765552A (zh) * | 2015-04-28 | 2015-07-08 | 小米科技有限责任公司 | 权限管理方法和装置 |
Family Cites Families (52)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0618532B1 (en) | 1993-03-30 | 2000-01-26 | Fujitsu Limited | Deadlock detecting device |
DE69534757T2 (de) | 1994-09-15 | 2006-08-31 | International Business Machines Corp. | System und Verfahren zur sicheren Speicherung und Verteilung von Daten unter Verwendung digitaler Unterschriften |
US5708776A (en) | 1996-05-09 | 1998-01-13 | Elonex I.P. Holdings | Automatic recovery for network appliances |
US5886576A (en) | 1996-10-16 | 1999-03-23 | Baxter International Inc. | Electrical power amplifier for continuous cardiac output monitoring |
GB2329266A (en) | 1997-09-10 | 1999-03-17 | Ibm | Automatic error recovery in data processing systems |
US6098117A (en) | 1998-04-20 | 2000-08-01 | National Instruments Corporation | System and method for controlling access to memory configured within an I/O module in a distributed I/O system |
US6539480B1 (en) * | 1998-12-31 | 2003-03-25 | Intel Corporation | Secure transfer of trust in a computing system |
US20010051890A1 (en) | 2000-03-17 | 2001-12-13 | Raleigh Burgess | Systems and methods for providing remote support via productivity centers |
US6976163B1 (en) | 2000-07-12 | 2005-12-13 | International Business Machines Corporation | Methods, systems and computer program products for rule based firmware updates utilizing certificate extensions and certificates for use therein |
US7590848B2 (en) | 2002-02-07 | 2009-09-15 | Blackhawk Network | System and method for authentication and fail-safe transmission of safety messages |
US20040054901A1 (en) | 2002-09-17 | 2004-03-18 | Microsoft Corporation | Creating and verifying a sequence of consecutive data |
GB0301448D0 (en) | 2003-01-22 | 2003-02-19 | Falanx Microsystems As | Microprocessor systems |
US7591017B2 (en) | 2003-06-24 | 2009-09-15 | Nokia Inc. | Apparatus, and method for implementing remote client integrity verification |
US8887287B2 (en) | 2004-10-27 | 2014-11-11 | Alcatel Lucent | Method and apparatus for software integrity protection using timed executable agents |
EP1659810B1 (en) | 2004-11-17 | 2013-04-10 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Updating configuration parameters in a mobile terminal |
US7617538B2 (en) | 2005-06-30 | 2009-11-10 | Microsoft Corporation | Configuration information protection using cost based analysis |
ES2346447T3 (es) * | 2005-12-09 | 2010-10-15 | Abb Research Ltd. | Metodo de aseguramiento de los datos de configuracion de la red en las redes de automatizacion. |
US7845005B2 (en) | 2006-02-07 | 2010-11-30 | International Business Machines Corporation | Method for preventing malicious software installation on an internet-connected computer |
SE531992C2 (sv) | 2006-02-24 | 2009-09-22 | Oniteo Ab | Metod och system för säker programvaruprovisionering |
US7730302B2 (en) | 2006-05-05 | 2010-06-01 | Microsoft Corporation | Secure and modifiable configuration files used for remote sessions |
EP1868126B1 (en) | 2006-06-16 | 2011-08-10 | Thomson Licensing | Device and method for discovering emulated clients |
WO2008069897A2 (en) | 2006-12-06 | 2008-06-12 | Medtronic, Inc. | Medical device programming safety |
US8209550B2 (en) | 2007-04-20 | 2012-06-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for protecting SIMLock information in an electronic device |
US8522043B2 (en) | 2007-06-21 | 2013-08-27 | Microsoft Corporation | Hardware-based computer theft deterrence |
DE102007040094B4 (de) | 2007-08-24 | 2010-02-11 | Continental Automotive Gmbh | Verfahren und System zur reversiblen Durchführung von Konfigurationsänderungen |
US8572692B2 (en) | 2008-06-30 | 2013-10-29 | Intel Corporation | Method and system for a platform-based trust verifying service for multi-party verification |
US8607216B2 (en) | 2008-08-01 | 2013-12-10 | Palm, Inc. | Verifying firmware |
US9559842B2 (en) | 2008-09-30 | 2017-01-31 | Hewlett Packard Enterprise Development Lp | Trusted key management for virtualized platforms |
GB201000288D0 (en) | 2010-01-11 | 2010-02-24 | Scentrics Information Security | System and method of enforcing a computer policy |
US8782037B1 (en) | 2010-06-20 | 2014-07-15 | Remeztech Ltd. | System and method for mark-up language document rank analysis |
US8522322B2 (en) * | 2010-09-22 | 2013-08-27 | Intel Corporation | Platform firmware armoring technology |
US8799334B1 (en) | 2011-03-30 | 2014-08-05 | Emc Corporation | Remote verification of file protections for cloud data storage |
US8736299B1 (en) | 2011-04-29 | 2014-05-27 | Altera Corporation | Setting security features of programmable logic devices |
US20140149729A1 (en) * | 2011-07-18 | 2014-05-29 | Ted A. Hadley | Reset vectors for boot instructions |
CN102955700A (zh) | 2011-08-18 | 2013-03-06 | 腾讯科技(深圳)有限公司 | 软件升级系统及方法 |
US8812994B2 (en) | 2011-12-29 | 2014-08-19 | Apple Inc. | Device, method, and graphical user interface for configuring restricted interaction with a user interface |
US8843650B2 (en) * | 2012-01-09 | 2014-09-23 | Fujitsu Limited | Trusted network booting system and method |
US9479592B2 (en) | 2012-03-30 | 2016-10-25 | Intel Corporation | Remote management for a computing device |
US8484347B1 (en) | 2012-06-19 | 2013-07-09 | Kaspersky Lab Zao | System and method for malware detection in peer-to-peer computer networks |
US8898654B2 (en) * | 2012-08-29 | 2014-11-25 | Microsoft Corporation | Secure firmware updates |
US9032258B2 (en) | 2012-09-14 | 2015-05-12 | Infineon Technologies Ag | Safety system challenge-and-response using modified watchdog timer |
US8799992B2 (en) * | 2012-10-24 | 2014-08-05 | Watchguard Technologies, Inc. | Systems and methods for the rapid deployment of network security devices |
US8972732B2 (en) | 2012-12-12 | 2015-03-03 | Microsoft Technology Licensing, Llc | Offline data access using trusted hardware |
WO2014121201A1 (en) | 2013-02-04 | 2014-08-07 | Great Luck, LLC | System and method for playing games on behalf of a player with a proxy player server |
SG11201507419UA (en) | 2013-03-15 | 2015-10-29 | Micropace Pty Ltd | System and method for monitoring user activity on a plurality of networked computing devices |
US9407758B1 (en) | 2013-04-11 | 2016-08-02 | Noble Systems Corporation | Using a speech analytics system to control a secure audio bridge during a payment transaction |
US9177122B1 (en) | 2013-06-26 | 2015-11-03 | Amazon Technologies, Inc. | Managing secure firmware updates |
US20150193620A1 (en) * | 2014-01-07 | 2015-07-09 | Dell Products, Lp | System and Method for Managing UEFI Secure Boot Certificates |
US9767317B1 (en) | 2014-03-25 | 2017-09-19 | Amazon Technologies, Inc. | System to provide cryptographic functions to a markup language application |
GB201413836D0 (en) | 2014-08-05 | 2014-09-17 | Arm Ip Ltd | Device security apparatus and methods |
KR101673303B1 (ko) | 2014-11-12 | 2016-11-22 | 현대자동차주식회사 | 와치독 제어 방법 및 장치 |
US9558354B2 (en) * | 2014-11-24 | 2017-01-31 | Dell Products, Lp | Method for generating and executing encrypted BIOS firmware and system therefor |
-
2015
- 2015-07-31 GB GB1513572.6A patent/GB2540961B/en not_active Expired - Fee Related
-
2016
- 2016-07-07 US US15/749,169 patent/US10671730B2/en active Active
- 2016-07-07 CN CN201680044912.6A patent/CN107851159B/zh not_active Expired - Fee Related
- 2016-07-07 WO PCT/GB2016/052046 patent/WO2017021683A1/en active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1957334A (zh) * | 2004-06-24 | 2007-05-02 | 英特尔公司 | 用于总线设备的隔离存储器机制 |
CN102667794A (zh) * | 2009-12-23 | 2012-09-12 | 国际商业机器公司 | 用于保护操作系统免于非授权修改的方法和系统 |
CN102279807A (zh) * | 2010-06-09 | 2011-12-14 | 李尔公司 | 更新共享存储器的方法和系统 |
CN103119602A (zh) * | 2010-08-06 | 2013-05-22 | 英特尔公司 | 在安全环境中提供快速非易失性储存器 |
CN104765552A (zh) * | 2015-04-28 | 2015-07-08 | 小米科技有限责任公司 | 权限管理方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
GB2540961A (en) | 2017-02-08 |
WO2017021683A1 (en) | 2017-02-09 |
US10671730B2 (en) | 2020-06-02 |
GB2540961B (en) | 2019-09-18 |
GB201513572D0 (en) | 2015-09-16 |
US20180225458A1 (en) | 2018-08-09 |
CN107851159A (zh) | 2018-03-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107851159B (zh) | 控制配置数据储存器 | |
US10778444B2 (en) | Devices and methods for application attestation | |
US10565378B1 (en) | Exploit of privilege detection framework | |
US8763077B2 (en) | System and method for enforcing a policy for an authenticator device | |
EP1518158B1 (en) | Trusted computer platform | |
US9183392B2 (en) | Anti-malware tool for mobile apparatus | |
US8763130B2 (en) | Protecting a mobile device against a denial of service attack | |
US10867049B2 (en) | Dynamic security module terminal device and method of operating same | |
KR101700552B1 (ko) | 보안 운영 체제 환경으로의 콘텍스트 기반 전환 | |
US20200092374A1 (en) | On-device, application-specific compliance enforcement | |
US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
US10019577B2 (en) | Hardware hardened advanced threat protection | |
US11366904B2 (en) | Secure configuration data storage | |
US11574046B2 (en) | Protecting a software program against tampering | |
US20200117795A1 (en) | System and method for generating and authenticating a trusted polymorphic and distributed unique hardware identifier | |
CN113366809A (zh) | 弱哈希凭证的确定 | |
CN113836529A (zh) | 进程检测方法、装置、存储介质以及计算机设备 | |
CN108804122B (zh) | 信息安全处理系统、虚拟专用服务器及其控制方法 | |
KR101616702B1 (ko) | 코드사인을 이용한 소프트웨어 관리방법 | |
Akter et al. | Securing app distribution process of iOS exploiting the notion of authentic update | |
Anwar et al. | An alternate secure element access control for NFC enabled Android smartphones | |
CN114329420A (zh) | 一种可移动存储设备的访问控制方法、装置、系统和存储介质 | |
JP2006085598A (ja) | プログラム実行装置及びプログラム実行方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20210910 |
|
CF01 | Termination of patent right due to non-payment of annual fee |