用于管理安全状态转换的方法和设备.pdf

摘要
申请专利号：	CN201280007723.3	申请日：	2012.01.17
公开号：	CN103348355A	公开日：	2013.10.09
当前法律状态：	撤回	有效性：	无权
法律详情：	发明专利申请公布后的视为撤回IPC(主分类):G06F 21/57申请公布日:20131009\|\|\|实质审查的生效IPC(主分类):G06F 21/57申请日:20120117\|\|\|公开
IPC分类号：	G06F21/57(2013.01)I; G06F21/74(2013.01)I	主分类号：	G06F21/57
申请人：	摩托罗拉移动有限责任公司
发明人：	乔尔·D·沃斯
地址：	美国伊利诺伊州
优先权：	2011.02.04 US 13/021,071
专利代理机构：	中原信达知识产权代理有限责任公司 11219	代理人：	谢晨;刘光明
PDF下载：	PDF下载

内容摘要

本发明提供了一种用于管理在装置内的安全状态转换的方法和设备。在操作期间，安全令牌将指示装置以安全状态还是非安全状态进行操作。安全令牌控制镜像验证是否将出现以及是否允许对安全关键资源的访问。当进行对非安全状态的切换时，将消除安全令牌，并且阻止在非安全状态中重建安全令牌，因此防止非安全代码假冒安全状态指示。在非安全状态中，绕过镜像验证，并且允许执行非安全代码。一旦切换回安全状态发生，就重新创建安全令牌，并且分析装置上的所有镜像以确定其是否被认可。

权利要求书

权利要求书
1.  一种方法，包括下述步骤：
以安全状态进行操作；
确定对非安全状态的转换已经发生；
当确定了对非安全状态的转换已经发生时，擦除令牌，其中，所述令牌被用来指示安全状态。

2.  根据权利要求1所述的方法，其中，使用安全密钥来对所述令牌进行签名和加密。

3.  根据权利要求2所述的方法，进一步包括下述步骤：当确定了对非安全状态的转换已经发生时，限制对所述安全密钥的访问。

4.  根据权利要求1所述的方法，进一步包括下述步骤：
确定对安全状态的转换正在发生；
验证在贮存器中存在的镜像；
当确定了已经验证了所述镜像时，创建所述令牌。

5.  根据权利要求4所述的方法，进一步包括下述步骤：
当已经确定已经验证了所述镜像时，允许对安全密钥的访问。

6.  根据权利要求4所述的方法，其中，创建所述令牌的步骤包括下述步骤：使用随机数来创建所述令牌。

7.  一种方法，包括下述步骤：
对装置进行引导；
确定安全令牌是否存在；
当已经确定存在所述安全令牌时，仅允许在所述装置上存储和执行认可的镜像，并且允许安全相关的特征完全可操作；并且
当已经确定不存在所述安全令牌时，允许在所述装置上存储和执行未认可的镜像，并且不允许安全相关的特征完全可操作。

8.  根据权利要求7所述的方法，其中，对所述令牌进行签名。

9.  根据权利要求8所述的方法，进一步包括下述步骤：当确定了所述安全令牌不存在时，限制对所述安全密钥的访问。

10.  根据权利要求7所述的方法，其中，使用随机数来创建所述令牌。

11.  一种设备，包括：
存储器，所述存储器存储令牌；
处理器，所述处理器确定对非安全状态的转换已经发生，并且当确定对所述非安全状态的转换已经发生时擦除所述令牌。

12.  根据权利要求11所述的设备，其中，对所述令牌进行签名。

13.  根据权利要求12所述的设备，其中，当确定对所述非安全状态的转换已经发生时，所述处理器限制对所述安全密钥的访问。

14.  根据权利要求11所述的设备，其中，所述处理器确定对安全状态的转换正在发生，验证在贮存器中存在的镜像，并且当确定了已经验证了所述镜像时创建所述令牌。

15.  根据权利要求14所述的设备，其中，当已经验证了所述镜像时，所述处理器允许对所述安全密钥的访问。

16.  根据权利要求11所述的设备，其中，使用随机数来创建所述令牌。

17.  一种设备，包括：
存储器，所述存储器存储令牌；
处理器，所述处理器执行下述步骤：
确定安全令牌是否存在；
当已经确定了所述安全令牌存在时，仅允许在所述装置上存储和执行认可的镜像，并且允许安全相关的特征完全可操作；以及
当已经确定了所述安全令牌不存在时，允许在所述装置上存储和执行未认可的镜像，并且不允许安全相关的特征完全可操作。

18.  根据权利要求17所述的设备，其中，对所述令牌进行签名。

19.  根据权利要求18所述的设备，其中，当确定了不存在所述安全令牌时，所述处理器限制对所述安全密钥的访问。

20.  根据权利要求17所述的设备，其中，使用随机数来创建所述令牌。

说明书

说明书用于管理安全状态转换的方法和设备
技术领域
本发明总体上涉及在装置内的非安全模式和安全模式之间的移动，并且具体地，涉及用于管理装置内的安全状态转换的方法和设备。
背景技术
许多装置在工厂处被“锁定”，并且仅接受认可的镜像在装置上进行存储和执行。然而，一些装置能够被“解锁”，使得开发者可以体验正在开发但是还没有被认可的软件。例如，运行安卓操作系统的特定装置可能需要出于刷新未签名的未认可镜像的目的而使装置被解锁。理想地，锁定功能还被提供为重新锁定装置，并且使其返回安全状态。当装置被解锁时，必须禁用需要隐私/保密的特定安全相关特征，诸如数字权限管理（DRM）。如果要重新锁定装置，则期望该装置在其原始的安全状况下进行操作，在该状况中，先前禁用的特征再一次完全可操作。因此，必须安全地管理状态转换，使得满足隐私和保密要求。
现代智能电话操作系统（OS）使用动态更新的读取/写入文件系统，并且因此，不能使用在装置的每个引导上的静态代码签名来验证其完整性。而是，仅当这些文件系统第一次被编程到存储器分区中，并且通过稍后应用的更新的数字签名验证时，才可以确保其完整性。需要安全地保持这些镜像的验证状态，使得如果存储了未认证的镜像，则在使用之前将验证该镜像的完整性。如果允许用户切换到解锁状态（非安全状态），则他们将具有用于操纵这些文件系统的完全控制。因此，变得关键的是，安全地管理状态转换回安全模式，因此可信引导过程将验证建立可信系统所需要的所有镜像的完整性。因此，需要一种用于管理在装置内的安全状态转换的方法和设备，该方法和设备确保当从非安全状态移动到安全状态时在装置上仅存储有效的镜像，并且使得安全关键的资源仅可以用于在安全状态中执行的软件。
附图说明
图1是装置的框图。
图2是图1的装置的框图。
图3是示出图1的装置在从安全状态向非安全状态移动时的操作的流程图。
图4是示出图1的装置在从非安全状态向安全状态移动时的操作的流程图。
本领域的技术人员可以明白，出于简单和清楚的目的而示出附图中的元素，并且在附图中的元素不必然是根据比例绘制的。例如，在附图中的一些元素的尺寸和/或相对定位可以相对于其他元素被夸大，以有助于改善对本发明的各个实施例的理解。而且，经常不描绘在商业上可行的实施例中的有用或必需的常见但是公知的元素，以便于促进本发明的这些各个实施例的不太受阻的查看。可以进一步明白，可以以特定的出现顺序来描述或描绘特定动作和/或步骤，而本领域的技术人员可以理解实际上不要求相对于顺序的这样的特定性。本领域的技术人员可以进一步认识到，可以经由使用在通用计算设备（例如，CPU）或专用处理设备（例如，DSP）上的软件指令执行的替换来等同地实现对于诸如“电路”的特定实现实施例的引用。还可以明白，在此使用的术语和表达具有符合如上所述由本技术领域内的技术人员给出的这样的术语和表达的普通技术含义，除非在此给出的不同的其他特定含义之外。
具体实施方式
为了缓解上述需要，这里提供了一种用于管理装置内的安全状态转换的方法和设备。在操作期间，利用安全令牌，该安全令牌指示装置以安全还是非安全状态进行操作。安全令牌控制是否将发生镜像验证以及是否允许对安全关键的资源的访问。当进行对非安全状态的切换时，安全令牌将被消除并且阻止在非安全状态中重新创建该安全令牌，由此防止非安全代码假冒安全状态指示。在非安全状态中，绕过镜像验证，并且允许非安全代码执行。一旦切换回安全状态发生，就重新创建安全令牌，并且分析装置上的所有镜像以确定该镜像是否被认可。该装置仅在安全状态中执行有效镜像，并且允许对关键安全资源的访问。
本发明包括一种方法，包括下述步骤：以安全状态进行操作；确定对非安全状态的转换已经发生；当确定了对所述不安全状态的转换已经发生时擦除令牌，其中，利用所述令牌来指示安全状态。
本发明还包括一种方法，包括下述步骤：对装置进行引导；以及确定是否存在安全令牌。当已经确定了存在安全令牌时，仅允许在装置上存储和执行认可的镜像，并且安全相关的特征完全可操作。当已经确定了不存在安全令牌时，允许在所述装置上存储和执行未认可的镜像，并且不允许安全相关的特征完全可操作。
本发明包括一种设备，包括：存储器，用于存储令牌；以及处理器，用于确定对非安全状态的转换已经发生，并且当确定了对非安全状态的转换已经发生时擦除令牌。
本发明还包括一种设备，包括处理器和存储令牌的存储器。该处理器执行确定是否存在安全令牌的步骤。当已经确定了存在安全令牌时，仅允许在装置上存储和执行认可的镜像，并且安全相关的特征完全可操作。当已经确定了不存在安全令牌时，允许在装置上存储和执行未认可的镜像，并且不允许安全相关的特征完全可操作。
在描述用于管理在装置内的安全状态转换的方法和设备的操作之前，提供了下面的定义：
·安全状态——以安全状态进行操作的装置执行有效的认可的软件，并且访问包含在装置硬件中的安全关键资源。
·非安全状态——以非安全状态进行操作的装置可以执行未认可的软件，并且不允许访问包含在装置硬件中的安全关键资源。
·引导装载程序——在通过安全引导ROM建立的信任链中的可信组件。通过加密地验证在引导装载程序上的数字签名并且查看其撤销状态来建立信任。引导装载程序用于发起安全/非安全状态转换，并且负责验证镜像、控制对于安全关键的硬件资源的访问，并且引导装置操作系统（OS）。
·密钥加密密钥（KEK）——是在装置上的加密硬件中保持的装置唯一机密。该密钥加密密钥（KEK）可以由软件重写和/或禁用，并且由此防止不可信的软件的访问，直到下一个引导循环。可以通过加密、数字签名和/或消息认证代码（MAC）的手段来由KEK或受得到的KEK保护的密钥层级来保护装置机密和OEM数据。如果禁用KEK，则在禁用密钥时，受KEK保护的机密将不再可访问。最常见的是，KEK是使用诸如AES或3DES的算法的对称密钥。
·安全分区（SP）是用于存储安全令牌的分区，安全令牌指示文件系统的安全状态和验证状态。假定在非安全状态中通过不可信软件的访问。
·令牌——是保持装置的安全状态信息的镜像/文件。使用KEK来对令牌进行完整性保护，并且可以在启用KEK和关联的加密硬件时，通过安全引导装载程序来生成令牌。
·安全相关DRM特征——诸如DRM或API密钥的由装置制造商提供的特定安全相关的特征经常需要保密和完整性，使得该特征可以仅由制造商认可的软件访问。
现在转向附图，在附图中，类似的标号指示类似的部件，图1是示出移动装置10的框图。装置10包括GUI12和多个数据输入按钮14。从包括但不限于下述的组中选择装置10：移动个人计算机（PC）、笔记本、上网本、移动电话、膝上型计算机、手持式计算机和智能电话。虽然装置10是移动的，但是期望具有能够执行在装置10上存储为镜像的程序/指令集的强大计算能力。用户可以将装置10连接到各种外围装置（未示出）。从包括但不限于下述的组中选择外围装置：计算机监视器、膝上型计算机、台式计算机、平板PC和屏幕投影仪的组。
现在参考图2，示出了装置10的更详细的框图。如示，装置10包括处理器201、贮存器202、引导ROM205和密钥203。处理器201包括标准微处理器控制器201，诸如但是不限于Texas Instruments OMAP3630微处理器。处理器201优选地运行操作系统，诸如但是不限于基于安卓的操作系统（开放手机联盟，www.openhandsetalliance.com）。贮存器202优选地包括用于存储镜像、程序和指令集的标准随机存取存储器。引导ROM被提供为包括在装置启动期间由引导装载程序执行的指令的只读存储器。最后，密钥203优选地包括加密密钥（例如，KEK），对该加密密钥的访问是通过在处理器201上存在的硬件加速器（未示出）来控制的。
在装置启动期间，处理器201执行引导装载程序指令，包括在由安全引导ROM205建立的信任链中的可信组件。这些指令被存储在贮存器202的安全部分内。通过下述方式来建立信任：加密地验证在引导装载程序上的数字签名，并且检查其撤销状态。最终用户可以命令引导装载程序以将装置10置于安全或非安全状态中。
如上所述，变得关键的是，安全地管理装置10向和从安全模式的状态转换，因此装置10的引导过程将控制状态转换。为了完成该任务，处理器201将利用令牌204来指示装置10以安全状态还是非安全状态进行操作。令牌的存在指示安全状态，而令牌不存在指示非安全状态。更具体地，当切换为非安全状态时，处理器201消除贮存器202中的令牌204。令牌的消除包括从贮存器永久擦除令牌，使得令牌无法被恢复。令牌204的消除防止非安全软件为了诱导安全引导装载程序错失非安全状态到安全状态的转换而进行的重放或备份和恢复。
如果没有找到有效的安全令牌，则引导装载程序假定非安全状态，并且处理器201阻止对密钥203的访问。一旦切换回安全状态发生，则处理器201重新创建安全令牌204，并且将该安全令牌204存储在贮存器202中。此后，处理器201将分析贮存器202中的所有镜像，以确定在贮存器202中是否仅存在认可的镜像。如果存在，则处理器201将允许对密钥203的访问，并且向可信软件传送执行。因此，安全令牌向安全引导装载程序指示两个事项：1）必须在对引导系统授权许可之前验证所有镜像；以及2）允许对于安全关键资源（例如，KEK）的访问。
如上所述，当处于由有效的安全令牌204的存在指示的安全状态时，处理器201分析在贮存器202中的所有镜像，以便于确定镜像是否被认可。该任务通过下述方式而发生：使用诸如但不限于李维斯特沙米尔艾德曼（Rivest-Shamir_Adleman）公钥加密（RSA）或数字签名算法（DSA）的标准技术来验证镜像的加密数字签名。对于动态更新的镜像，重新发起镜像验证状态，以便于使得镜像签名被重新验证。在处于安全状态时引导装载程序仅执行认可的镜像。
当转换为安全状态时，引导装载程序将创建安全令牌204。该安全令牌可以包括安全状态指示以及版本化和撤销状态数据。撤销状态数据可以用于使令牌与软件版本配对，使得引导装载程序可以在确定了安全状态指示时确定令牌是否被撤销，并且因此是否应当忽略令牌。这特别有助于在安全软件中的安全漏洞可能已经允许从装置提取令牌时撤销安全令牌，并且因此在非安全软件执行重放或备份/恢复攻击以试图假冒安全状态中是实用的。使用密钥203来对令牌204进行签名并且可选地加密。以该方式，非安全软件不能创建令牌并对令牌进行签名。该签名可以是对称签名，诸如消息认证代码（MAC）。在将令牌认证（honor）为有效并且利用其内容之前，引导装载程序将使用密钥203来验证令牌签名和撤销状态。
图3是示出装置10在从安全状态向非安全状态移动时的操作的流程图。假定装置10在步骤301之前以安全模式进行操作。在步骤301处，处理器201确定装置10是否将继续以安全模式进行操作。换句话说，处理器201确定对非安全状态的转换是否已经发生。当作为引导装载程序处理的一部分执行引导指令时，优选地进行该确定。如果对非安全状态的转换已经发生，则该逻辑流程返回到步骤301，否则该逻辑流程继续到步骤303，其中，处理器201擦除令牌204。在步骤305处，处理器201限制对KEK203的访问。这是通过指示在处理器201上存在的硬件加速器以限制对KEK203的访问来实现的。
必要的是，装置10能够检测非安全状态向安全状态的转换。令牌204包含安全状态指示。使用KEK对令牌204进行完整性保护，使得令牌204不能受到未认证的软件假冒或更新。仅在转换为安全模式时令牌从安全引导装载程序被写入安全分区。
如果安全装置包含可以允许对KEK的未认证的访问的安全漏洞，则在假定更新的操作系统撤销数据时，攻击者可以预先创建新的安全令牌。为了对此进行处理，可以添加随机因数。例如，对于安全漏洞进行修补的软件更新可以包含嵌入的随机数，当生成新的令牌时使用该随机数。为了使令牌被视为有效，必须包含嵌入在软件更新中的随机数。因为攻击者在软件更新之前不具有随机数，所以无法合理地预测以预先生成令牌。而且，因为随机数是在使用之前数字地签名和验证的软件更新的一部分，所以不能改变该随机数。替代地，如果使用对称代码签名技术，则当安装软件更新时装置可以生成该随机数，并且将该随机数存储为签名的镜像的一部分。每当验证令牌时，在令牌视为有效之前，相对于基准来检查该随机数以确保匹配。
这些技术的任何一个将需要令牌在软件更新改变嵌入在令牌中的撤销或版本化值时进行更新。安全引导装载程序处理必须在创建新的安全令牌之前有效地从非安全状态开始，并且重新验证整个系统以确保其完整性。
图4是示出装置10在从非安全状态到安全状态移动时的操作的流程图。图4的处理流程可以被添加到图3的处理流程。假定装置10在步骤401之前以非安全模式进行操作。在步骤401处，处理器201确定装置是否要以非安全状态进行操作，并且如果装置以非安全状态进行操作，则逻辑流程返回到步骤401。如果在步骤401处确定了对安全模式的切换发生，则逻辑流程继续到步骤403，其中，处理器201试图验证贮存器202中的所有镜像。如上所述，这可以经由处理器201对每一个镜像执行数字签名验证而发生。然后，逻辑流程继续到步骤405，其中，处理器201确定是否已经验证了所有的镜像。如果没有，则可以经由GUI12向用户提供警告，并且逻辑流程返回到步骤401。然而，如果在步骤405处已经验证了所有的镜像，则逻辑流程继续到步骤407，其中，处理器201允许对KEK的访问，并且使用KEK来重新创建令牌204（步骤409）。令牌204将被存储在贮存器202的安全分区中。
在另一实现中，当进入装置分区和验证状态被初始化的安全状态时，创建令牌，然后重新引导发生。在下一次引导时，装置尝试验证镜像。如果成功，则装置在KEK完整无缺的情况下进行引导。如果不成功，则装置保持处于引导装载程序模式，并且请求对有效镜像进行编程（经由GUI的指示）。
图5是示出在正常引导过程期间的装置10的操作的更详细的流程图。逻辑流程在步骤501处开始，在步骤501中，处理器201执行引导ROM205中的启动指令。作为启动过程的一部分，处理器201确定是否存在有效的令牌（步骤503）。如果存在，则确保贮存器202中的OS镜像的完整性，并且逻辑流程继续到步骤503，在步骤503中，处理器201仅允许在装置上存储和执行认可的镜像。装置现在“可信”，并且安全相关特征完全可操作。
返回到步骤501，如果处理器201确定了不存在有效令牌，则逻辑流程继续到步骤505，在步骤505中，处理器201允许在装置上存储和执行未认可的镜像。装置不可信，因此安全相关特征将不可操作。
虽然已经参考特定实施例具体示出和描述了本发明，但是本领域内的技术人员可以明白，在不偏离本发明的精神和范围的情况下，可以在其中进行在形式和细节上的各种改变。例如，处理器可以存储多个密钥，其中，通过安全令牌的存在来控制对于几个密钥的访问。另外，可以使用相同或不同的密钥来将令牌签名和/或加密，并且保护由在装置上的安全相关特征使用的保密数据。在所提供的实施例中，引导装载程序建立令牌。替代地，令牌可以被诸如安全的签名服务器的外部来源建立，并且通过安全通道被传递到装置。这样的改变旨在落入所附的权利要求的范围内。

资源描述

《用于管理安全状态转换的方法和设备.pdf》由会员分享，可在线阅读，更多相关《用于管理安全状态转换的方法和设备.pdf（11页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 103348355 A (43)申请公布日 2013.10.09 CN 103348355 A *CN103348355A* (21)申请号 201280007723.3 (22)申请日 2012.01.17 13/021,071 2011.02.04 US G06F 21/57(2013.01) G06F 21/74(2013.01) (71)申请人摩托罗拉移动有限责任公司地址美国伊利诺伊州 (72)发明人乔尔D沃斯 (74)专利代理机构中原信达知识产权代理有限责任公司 11219 代理人谢晨刘光明 (54) 发明名称用于管理安全状态转换的方法和设。

2、备 (57) 摘要本发明提供了一种用于管理在装置内的安全状态转换的方法和设备。在操作期间，安全令牌将指示装置以安全状态还是非安全状态进行操作。安全令牌控制镜像验证是否将出现以及是否允许对安全关键资源的访问。当进行对非安全状态的切换时，将消除安全令牌，并且阻止在非安全状态中重建安全令牌，因此防止非安全代码假冒安全状态指示。在非安全状态中，绕过镜像验证，并且允许执行非安全代码。一旦切换回安全状态发生，就重新创建安全令牌，并且分析装置上的所有镜像以确定其是否被认可。 (30)优先权数据 (85)PCT申请进入国家阶段日 2013.08.05 (86)PCT申请。

3、的申请数据 PCT/US2012/021470 2012.01.17 (87)PCT申请的公布数据 WO2012/106097 EN 2012.08.09 (51)Int.Cl. 权利要求书 2 页说明书 5 页附图 3 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书2页说明书5页附图3页 (10)申请公布号 CN 103348355 A CN 103348355 A *CN103348355A* 1/2 页 2 1. 一种方法，包括下述步骤：以安全状态进行操作；确定对非安全状态的转换已经发生；当确定了对非安全状态的转换已经发生时，擦除令牌，。

4、其中，所述令牌被用来指示安全状态。 2. 根据权利要求 1 所述的方法，其中，使用安全密钥来对所述令牌进行签名和加密。 3. 根据权利要求 2 所述的方法，进一步包括下述步骤：当确定了对非安全状态的转换已经发生时，限制对所述安全密钥的访问。 4. 根据权利要求 1 所述的方法，进一步包括下述步骤：确定对安全状态的转换正在发生；验证在贮存器中存在的镜像；当确定了已经验证了所述镜像时，创建所述令牌。 5. 根据权利要求 4 所述的方法，进一步包括下述步骤：当已经确定已经验证了所述镜像时，允许对安全密钥的访问。 6. 根据权利要求 4 所述的方法，其中，。

5、创建所述令牌的步骤包括下述步骤：使用随机数来创建所述令牌。 7. 一种方法，包括下述步骤：对装置进行引导；确定安全令牌是否存在；当已经确定存在所述安全令牌时，仅允许在所述装置上存储和执行认可的镜像，并且允许安全相关的特征完全可操作；并且当已经确定不存在所述安全令牌时，允许在所述装置上存储和执行未认可的镜像，并且不允许安全相关的特征完全可操作。 8. 根据权利要求 7 所述的方法，其中，对所述令牌进行签名。 9. 根据权利要求 8 所述的方法，进一步包括下述步骤：当确定了所述安全令牌不存在时，限制对所述安全密钥的访问。 10. 根据权利要求。

6、7 所述的方法，其中，使用随机数来创建所述令牌。 11. 一种设备，包括：存储器，所述存储器存储令牌；处理器，所述处理器确定对非安全状态的转换已经发生，并且当确定对所述非安全状态的转换已经发生时擦除所述令牌。 12. 根据权利要求 11 所述的设备，其中，对所述令牌进行签名。 13. 根据权利要求 12 所述的设备，其中，当确定对所述非安全状态的转换已经发生时，所述处理器限制对所述安全密钥的访问。 14. 根据权利要求 11 所述的设备，其中，所述处理器确定对安全状态的转换正在发生，验证在贮存器中存在的镜像，并且当确定了已经验证了所述镜像时创建所述令牌。。

7、 15. 根据权利要求 14 所述的设备，其中，当已经验证了所述镜像时，所述处理器允许对所述安全密钥的访问。 16. 根据权利要求 11 所述的设备，其中，使用随机数来创建所述令牌。权利要求书 CN 103348355 A 2 2/2 页 3 17. 一种设备，包括：存储器，所述存储器存储令牌；处理器，所述处理器执行下述步骤：确定安全令牌是否存在；当已经确定了所述安全令牌存在时，仅允许在所述装置上存储和执行认可的镜像，并且允许安全相关的特征完全可操作；以及当已经确定了所述安全令牌不存在时，允许在所述装置上存储和执行未认可的镜像，并且不。

8、允许安全相关的特征完全可操作。 18. 根据权利要求 17 所述的设备，其中，对所述令牌进行签名。 19. 根据权利要求 18 所述的设备，其中，当确定了不存在所述安全令牌时，所述处理器限制对所述安全密钥的访问。 20. 根据权利要求 17 所述的设备，其中，使用随机数来创建所述令牌。权利要求书 CN 103348355 A 3 1/5 页 4 用于管理安全状态转换的方法和设备技术领域 0001 本发明总体上涉及在装置内的非安全模式和安全模式之间的移动，并且具体地，涉及用于管理装置内的安全状态转换的方法和设备。背景技术 0002 许多装置在工厂处被 “锁定” 。

9、，并且仅接受认可的镜像在装置上进行存储和执行。然而，一些装置能够被 “解锁” ，使得开发者可以体验正在开发但是还没有被认可的软件。例如，运行安卓操作系统的特定装置可能需要出于刷新未签名的未认可镜像的目的而使装置被解锁。理想地，锁定功能还被提供为重新锁定装置，并且使其返回安全状态。当装置被解锁时，必须禁用需要隐私 / 保密的特定安全相关特征，诸如数字权限管理（DRM）。如果要重新锁定装置，则期望该装置在其原始的安全状况下进行操作，在该状况中，先前禁用的特征再一次完全可操作。因此，必须安全地管理状态转换，使得满足隐私和保密要求。 0003 现代智能电话操。

10、作系统（OS）使用动态更新的读取 / 写入文件系统，并且因此，不能使用在装置的每个引导上的静态代码签名来验证其完整性。而是，仅当这些文件系统第一次被编程到存储器分区中，并且通过稍后应用的更新的数字签名验证时，才可以确保其完整性。需要安全地保持这些镜像的验证状态，使得如果存储了未认证的镜像，则在使用之前将验证该镜像的完整性。如果允许用户切换到解锁状态（非安全状态），则他们将具有用于操纵这些文件系统的完全控制。因此，变得关键的是，安全地管理状态转换回安全模式，因此可信引导过程将验证建立可信系统所需要的所有镜像的完整性。因此，需要一种用于管理在装置内的安。

11、全状态转换的方法和设备，该方法和设备确保当从非安全状态移动到安全状态时在装置上仅存储有效的镜像，并且使得安全关键的资源仅可以用于在安全状态中执行的软件。附图说明 0004 图 1 是装置的框图。 0005 图 2 是图 1 的装置的框图。 0006 图 3 是示出图 1 的装置在从安全状态向非安全状态移动时的操作的流程图。 0007 图 4 是示出图 1 的装置在从非安全状态向安全状态移动时的操作的流程图。 0008 本领域的技术人员可以明白，出于简单和清楚的目的而示出附图中的元素，并且在附图中的元素不必然是根据比例绘制的。例如，在附图中的一些元素的尺寸和 / 或相对定位可。

12、以相对于其他元素被夸大，以有助于改善对本发明的各个实施例的理解。而且，经常不描绘在商业上可行的实施例中的有用或必需的常见但是公知的元素，以便于促进本发明的这些各个实施例的不太受阻的查看。可以进一步明白，可以以特定的出现顺序来描述或描绘特定动作和 / 或步骤，而本领域的技术人员可以理解实际上不要求相对于顺序的这样的特定性。本领域的技术人员可以进一步认识到，可以经由使用在通用计算设备（例如， CPU）或专用处理设备（例如， DSP）上的软件指令执行的替换来等同地实现对于诸如 “电路” 说明书 CN 103348355 A 4 2/5 页 5 的特定实现实施例的引用。。

13、还可以明白，在此使用的术语和表达具有符合如上所述由本技术领域内的技术人员给出的这样的术语和表达的普通技术含义，除非在此给出的不同的其他特定含义之外。具体实施方式 0009 为了缓解上述需要，这里提供了一种用于管理装置内的安全状态转换的方法和设备。在操作期间，利用安全令牌，该安全令牌指示装置以安全还是非安全状态进行操作。安全令牌控制是否将发生镜像验证以及是否允许对安全关键的资源的访问。当进行对非安全状态的切换时，安全令牌将被消除并且阻止在非安全状态中重新创建该安全令牌，由此防止非安全代码假冒安全状态指示。在非安全状态中，绕过镜像验证，并且允许非安全代码执行。。

14、一旦切换回安全状态发生，就重新创建安全令牌，并且分析装置上的所有镜像以确定该镜像是否被认可。该装置仅在安全状态中执行有效镜像，并且允许对关键安全资源的访问。 0010 本发明包括一种方法，包括下述步骤：以安全状态进行操作；确定对非安全状态的转换已经发生；当确定了对所述不安全状态的转换已经发生时擦除令牌，其中，利用所述令牌来指示安全状态。 0011 本发明还包括一种方法，包括下述步骤：对装置进行引导；以及确定是否存在安全令牌。当已经确定了存在安全令牌时，仅允许在装置上存储和执行认可的镜像，并且安全相关的特征完全可操作。当已经确定了不存在安全令。

15、牌时，允许在所述装置上存储和执行未认可的镜像，并且不允许安全相关的特征完全可操作。 0012 本发明包括一种设备，包括：存储器，用于存储令牌；以及处理器，用于确定对非安全状态的转换已经发生，并且当确定了对非安全状态的转换已经发生时擦除令牌。 0013 本发明还包括一种设备，包括处理器和存储令牌的存储器。该处理器执行确定是否存在安全令牌的步骤。当已经确定了存在安全令牌时，仅允许在装置上存储和执行认可的镜像，并且安全相关的特征完全可操作。当已经确定了不存在安全令牌时，允许在装置上存储和执行未认可的镜像，并且不允许安全相关的特征完全可操作。 0014 在描述。

16、用于管理在装置内的安全状态转换的方法和设备的操作之前，提供了下面的定义： 0015 安全状态以安全状态进行操作的装置执行有效的认可的软件，并且访问包含在装置硬件中的安全关键资源。 0016 非安全状态以非安全状态进行操作的装置可以执行未认可的软件，并且不允许访问包含在装置硬件中的安全关键资源。 0017 引导装载程序在通过安全引导 ROM 建立的信任链中的可信组件。通过加密地验证在引导装载程序上的数字签名并且查看其撤销状态来建立信任。引导装载程序用于发起安全 / 非安全状态转换，并且负责验证镜像、控制对于安全关键的硬件资源的访问，并且引导装置操作系统（OS）。。

17、0018 密钥加密密钥（KEK）是在装置上的加密硬件中保持的装置唯一机密。该密钥加密密钥（KEK）可以由软件重写和 / 或禁用，并且由此防止不可信的软件的访问，直到下一个引导循环。可以通过加密、数字签名和 / 或消息认证代码（MAC）的手段来由 KEK 或受得到的 KEK 保护的密钥层级来保护装置机密和 OEM 数据。如果禁用 KEK，则在禁用密钥时，说明书 CN 103348355 A 5 3/5 页 6 受 KEK 保护的机密将不再可访问。最常见的是， KEK 是使用诸如 AES 或 3DES 的算法的对称密钥。 0019 安全分区（SP）是用于存储安全。

18、令牌的分区，安全令牌指示文件系统的安全状态和验证状态。假定在非安全状态中通过不可信软件的访问。 0020 令牌是保持装置的安全状态信息的镜像 / 文件。使用 KEK 来对令牌进行完整性保护，并且可以在启用 KEK 和关联的加密硬件时，通过安全引导装载程序来生成令牌。 0021 安全相关 DRM 特征诸如 DRM 或 API 密钥的由装置制造商提供的特定安全相关的特征经常需要保密和完整性，使得该特征可以仅由制造商认可的软件访问。 0022 现在转向附图，在附图中，类似的标号指示类似的部件，图1是示出移动装置10的框图。装置 10 包括 GUI12 和多个数据输入按钮 14。。

19、从包括但不限于下述的组中选择装置 10 ：移动个人计算机（PC）、笔记本、上网本、移动电话、膝上型计算机、手持式计算机和智能电话。虽然装置 10 是移动的，但是期望具有能够执行在装置 10 上存储为镜像的程序 / 指令集的强大计算能力。用户可以将装置 10 连接到各种外围装置（未示出）。从包括但不限于下述的组中选择外围装置：计算机监视器、膝上型计算机、台式计算机、平板 PC 和屏幕投影仪的组。 0023 现在参考图 2，示出了装置 10 的更详细的框图。如示，装置 10 包括处理器 201、贮存器 202、引导 ROM205 和密钥 203。处。

20、理器 201 包括标准微处理器控制器 201，诸如但是不限于 Texas Instruments OMAP3630 微处理器。处理器 201 优选地运行操作系统，诸如但是不限于基于安卓的操作系统（开放手机联盟，）。贮存器 202 优选地包括用于存储镜像、程序和指令集的标准随机存取存储器。引导 ROM 被提供为包括在装置启动期间由引导装载程序执行的指令的只读存储器。最后，密钥 203 优选地包括加密密钥（例如， KEK），对该加密密钥的访问是通过在处理器 201 上存在的硬件加速器（未示出）来控制的。 0024 在装置启动期间，处理器 201 执行引导装载程序。

21、指令，包括在由安全引导 ROM205 建立的信任链中的可信组件。这些指令被存储在贮存器 202 的安全部分内。通过下述方式来建立信任：加密地验证在引导装载程序上的数字签名，并且检查其撤销状态。最终用户可以命令引导装载程序以将装置 10 置于安全或非安全状态中。 0025 如上所述，变得关键的是，安全地管理装置 10 向和从安全模式的状态转换，因此装置 10 的引导过程将控制状态转换。为了完成该任务，处理器 201 将利用令牌 204 来指示装置 10 以安全状态还是非安全状态进行操作。令牌的存在指示安全状态，而令牌不存在指示非安全状态。更具体地，当切换为非安全状。

22、态时，处理器 201 消除贮存器 202 中的令牌 204。令牌的消除包括从贮存器永久擦除令牌，使得令牌无法被恢复。令牌 204 的消除防止非安全软件为了诱导安全引导装载程序错失非安全状态到安全状态的转换而进行的重放或备份和恢复。 0026 如果没有找到有效的安全令牌，则引导装载程序假定非安全状态，并且处理器 201 阻止对密钥 203 的访问。一旦切换回安全状态发生，则处理器 201 重新创建安全令牌 204，并且将该安全令牌204存储在贮存器202中。此后，处理器201将分析贮存器202中的所有镜像，以确定在贮存器 202 中是否仅存在认可的镜像。如果存在，则处理。

23、器 201 将允许对密钥 203 的访问，并且向可信软件传送执行。因此，安全令牌向安全引导装载程序指示两个事说明书 CN 103348355 A 6 4/5 页 7 项： 1）必须在对引导系统授权许可之前验证所有镜像；以及 2）允许对于安全关键资源（例如， KEK）的访问。 0027 如上所述，当处于由有效的安全令牌204的存在指示的安全状态时，处理器201分析在贮存器 202 中的所有镜像，以便于确定镜像是否被认可。该任务通过下述方式而发生：使用诸如但不限于李维斯特沙米尔艾德曼（Rivest-Shamir_Adleman）公钥加密（RSA）或数。

24、字签名算法（DSA）的标准技术来验证镜像的加密数字签名。对于动态更新的镜像，重新发起镜像验证状态，以便于使得镜像签名被重新验证。在处于安全状态时引导装载程序仅执行认可的镜像。 0028 当转换为安全状态时，引导装载程序将创建安全令牌204。该安全令牌可以包括安全状态指示以及版本化和撤销状态数据。撤销状态数据可以用于使令牌与软件版本配对，使得引导装载程序可以在确定了安全状态指示时确定令牌是否被撤销，并且因此是否应当忽略令牌。这特别有助于在安全软件中的安全漏洞可能已经允许从装置提取令牌时撤销安全令牌，并且因此在非安全软件执行重放或备份 / 恢复攻击以试图假冒安全状态。

25、中是实用的。使用密钥 203 来对令牌 204 进行签名并且可选地加密。以该方式，非安全软件不能创建令牌并对令牌进行签名。该签名可以是对称签名，诸如消息认证代码（MAC）。在将令牌认证（honor）为有效并且利用其内容之前，引导装载程序将使用密钥 203 来验证令牌签名和撤销状态。 0029 图 3 是示出装置 10 在从安全状态向非安全状态移动时的操作的流程图。假定装置10在步骤301之前以安全模式进行操作。在步骤301处，处理器201确定装置10是否将继续以安全模式进行操作。换句话说，处理器 201 确定对非安全状态的转换是否已经发生。当作为引导装载程序处。

26、理的一部分执行引导指令时，优选地进行该确定。如果对非安全状态的转换已经发生，则该逻辑流程返回到步骤 301，否则该逻辑流程继续到步骤 303，其中，处理器 201 擦除令牌 204。在步骤 305 处，处理器 201 限制对 KEK203 的访问。这是通过指示在处理器 201 上存在的硬件加速器以限制对 KEK203 的访问来实现的。 0030 必要的是，装置 10 能够检测非安全状态向安全状态的转换。令牌 204 包含安全状态指示。使用 KEK 对令牌 204 进行完整性保护，使得令牌 204 不能受到未认证的软件假冒或更新。仅在转换为安全模式时令牌从安全引导装载程序。

27、被写入安全分区。 0031 如果安全装置包含可以允许对 KEK 的未认证的访问的安全漏洞，则在假定更新的操作系统撤销数据时，攻击者可以预先创建新的安全令牌。为了对此进行处理，可以添加随机因数。例如，对于安全漏洞进行修补的软件更新可以包含嵌入的随机数，当生成新的令牌时使用该随机数。为了使令牌被视为有效，必须包含嵌入在软件更新中的随机数。因为攻击者在软件更新之前不具有随机数，所以无法合理地预测以预先生成令牌。而且，因为随机数是在使用之前数字地签名和验证的软件更新的一部分，所以不能改变该随机数。替代地，如果使用对称代码签名技术，则当安装软件更新时装置可以生成该。

28、随机数，并且将该随机数存储为签名的镜像的一部分。每当验证令牌时，在令牌视为有效之前，相对于基准来检查该随机数以确保匹配。 0032 这些技术的任何一个将需要令牌在软件更新改变嵌入在令牌中的撤销或版本化值时进行更新。安全引导装载程序处理必须在创建新的安全令牌之前有效地从非安全状态开始，并且重新验证整个系统以确保其完整性。说明书 CN 103348355 A 7 5/5 页 8 0033 图 4 是示出装置 10 在从非安全状态到安全状态移动时的操作的流程图。图 4 的处理流程可以被添加到图 3 的处理流程。假定装置 10 在步骤 401 之前以非安全模式进行操作。在。

29、步骤 401 处，处理器 201 确定装置是否要以非安全状态进行操作，并且如果装置以非安全状态进行操作，则逻辑流程返回到步骤401。如果在步骤401处确定了对安全模式的切换发生，则逻辑流程继续到步骤 403，其中，处理器 201 试图验证贮存器 202 中的所有镜像。如上所述，这可以经由处理器 201 对每一个镜像执行数字签名验证而发生。然后，逻辑流程继续到步骤 405，其中，处理器 201 确定是否已经验证了所有的镜像。如果没有，则可以经由 GUI12 向用户提供警告，并且逻辑流程返回到步骤 401。然而，如果在步骤 405 处已经验证了所有的镜像，。

30、则逻辑流程继续到步骤 407，其中，处理器 201 允许对 KEK 的访问，并且使用 KEK 来重新创建令牌 204（步骤 409）。令牌 204 将被存储在贮存器 202 的安全分区中。 0034 在另一实现中，当进入装置分区和验证状态被初始化的安全状态时，创建令牌，然后重新引导发生。在下一次引导时，装置尝试验证镜像。如果成功，则装置在 KEK 完整无缺的情况下进行引导。如果不成功，则装置保持处于引导装载程序模式，并且请求对有效镜像进行编程（经由 GUI 的指示）。 0035 图 5 是示出在正常引导过程期间的装置 10 的操作的更详细的流程图。逻辑流程。

31、在步骤 501 处开始，在步骤 501 中，处理器 201 执行引导 ROM205 中的启动指令。作为启动过程的一部分，处理器 201 确定是否存在有效的令牌（步骤 503）。如果存在，则确保贮存器 202 中的 OS 镜像的完整性，并且逻辑流程继续到步骤 503，在步骤 503 中，处理器 201 仅允许在装置上存储和执行认可的镜像。装置现在 “可信” ，并且安全相关特征完全可操作。 0036 返回到步骤 501，如果处理器 201 确定了不存在有效令牌，则逻辑流程继续到步骤 505，在步骤 505 中，处理器 201 允许在装置上存储和执行未认可的镜像。装。

32、置不可信，因此安全相关特征将不可操作。 0037 虽然已经参考特定实施例具体示出和描述了本发明，但是本领域内的技术人员可以明白，在不偏离本发明的精神和范围的情况下，可以在其中进行在形式和细节上的各种改变。例如，处理器可以存储多个密钥，其中，通过安全令牌的存在来控制对于几个密钥的访问。另外，可以使用相同或不同的密钥来将令牌签名和 / 或加密，并且保护由在装置上的安全相关特征使用的保密数据。在所提供的实施例中，引导装载程序建立令牌。替代地，令牌可以被诸如安全的签名服务器的外部来源建立，并且通过安全通道被传递到装置。这样的改变旨在落入所附的权利要求的范围内。说明书 CN 103348355 A 8 1/3 页 9 图 1 图 2 说明书附图 CN 103348355 A 9 2/3 页 10 图 3 图 4 说明书附图 CN 103348355 A 10 3/3 页 11 图 5 说明书附图 CN 103348355 A 11 。

展开阅读全文