技術領域

本發明涉及一種用于在執行安全引導的系統內支持可選的或失敗的部件的系統。

背景技術

例如可信計算組(TCG)的移動可信模塊(MTM)先前的文件：2007年6月12日的TCG移動參考架構版本1.0(非專利引文1)和2007年6月12日的TCG移動可信模塊規范1.0(非專利引文2)描述了如何以有保證的并且可信的方式來啟動設備。這些方法已經徹底地被審閱以保證在引導過程中維護信任和安全。因此向想要實現可以安全地引導的設備的那些人提供有益的基準。這個安全引導過程的一個關鍵組成部分是RIM證書。這是帶簽名的結構，其定義了當前期望的平臺狀態應當是什么，由一組平臺配置寄存器(PCR)的散列表示所述簽名的結構，所述平臺配置寄存器(PCR)本身包含已知的、公共定義的散列值。這些PCR作為完整性測量值，所述完整性測量值可以被記錄在RIM證書中，以定義期望的機器狀態。另外，如果驗證了當前狀態，則RIM證書也指定了要擴展的PCR。這個擴展處理獲得指定的PCR，并且基于與在RIM證書中定義的新的已知值串聯的前一個PCR值來計算新的散列值。由TCG定義的典型安全引導序列以核心部件的初始化和自我驗證開始，所述核心部件例如是用于驗證和用于測量的根(RTV+RTM)、MTM本身和相關聯的核心MTM接口部件。接下來，以可信的方式開始支持固件的其他部分的額外的部件，例如，由在它們之前已經引導的另一個部件，在它們的開始的時候，驗證它們中的每一個。最后，操作系統運行以向接入MTM服務提供用于客戶應用的安全和可信的路徑。

專利引文1：美國專利申請No.2005/0138414

非專利引文1：2007年6月12日的TCG移動參考架構版本1.0

非專利引文2：2007年6月12日的TCG移動可信模塊規范1.0

發明內容

技術問題

但是，規范很嚴格，僅提供了通過由完全成功或完全失敗導致的引導處理的單個控制路徑。換句話說，如果一個部件的引導處理失敗，則即使他們自己的引導處理導致成功，也不能使用所有其他部件。

此外，TCG規范提供了用于審計并識別便攜設備(例如，移動電話)是否具有受限的資源的設施。雖然它們定義的這些審計特征對于MTM是可選的，但是這產生了下述的問題。如上所述，雖然這個特征僅是可選項，但是在這個特征的引導處理中的失敗使得不能使用移動電話的所有部件，此外，雖然不必實現這個特征(因為其是可選項)，但是在不實現這個特征的情況下，驗證變得總是失敗。這使得其他處理更難檢測為什么在引導處理中有失敗或在引導處理中何處有失敗。此外，設備制造商可以希望提供特定的可信部件作為可選項。

另外，在許多市場中，服務提供商允許用戶可以與甚至當前沒有服務合同或在其具有當前的服務合同的區域外部的移動電話進行緊急呼叫是合法地要求。在配備了MTM的電話上，證書的撤銷或非關鍵的部件的損壞導致電話根本不能操作，因此不能滿足這個合法要求。

在Zimmer等人提出的美國專利申請No.2005/0138414(專利引文1)中，公開了具有可選的部件的驗證的引導方法，但是，可選的部件是根據明確的切換來實現的；沒有考慮到如何處理當處理例如部件程序文件損壞或硬件初始化失敗的可選的部件時出現的錯誤。

因此，需要一種用于在由TCG移動電話工作組定義的安全引導的環境中支持可選的部件的方法，并且即使撤銷了一些RIM證書(RIM?Cert)或一些部件不起作用，也仍然可以用簡化的功能方式來操作，并且其允許用更容易的、較少資源消耗的方法來確定在安全引導結束后的MTM的狀態。

雖然背景技術描述了根據單獨定義的序列來引導的方式，但是其未提出在如果一個非關鍵部件失敗或不存在的情況下如何做。此外，僅對于整個安全引導處理，而不是對于獨立的部件，記錄失敗狀態。結果，對于其中需要RIM證書的每一個角色，僅單個RIM證書可用。

技術方案

因此，存在對于下述系統和方法來說未滿足的需要，并且具有允許定義安全引導的多個執行序列的系統和方法是很有益的，同時仍然維護被引導的設備的安全和信任，以使得能夠在設備上支持可選的和失敗的部件。

此外，存在對于下述系統和方法來說未滿足的需要，并且具有除了上述之外，還在安全引導系統中記錄每個獨立部件的成功或失敗是很有益的，以使得用戶能夠確定在安全引導完成后的安全環境的狀態。