[發明專利]使用用于設備的硬件信任根來遷移秘密有效
| 申請號: | 201680059915.7 | 申請日: | 2016-10-03 |
| 公開(公告)號: | CN108140093B | 公開(公告)日: | 2021-07-27 |
| 發明(設計)人: | D·R·伍滕;A·馬羅克;D·馬頓;P·恩格蘭 | 申請(專利權)人: | 微軟技術許可有限責任公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57 |
| 代理公司: | 北京市金杜律師事務所 11256 | 代理人: | 王茂華;辛鳴 |
| 地址: | 美國華*** | 國省代碼: | 暫無信息 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 使用 用于 設備 硬件 信任 遷移 秘密 | ||
1.一種電子設備,包括:
處理器;以及
包括模塊的計算機可讀存儲設備,所述模塊在由所述處理器執行時,將所述設備配置為至少部分基于接收到用于軟件的更新來執行安全引導過程,所述模塊包括:
密碼模塊,其被配置為通過以下各項來保護所述設備:
至少部分基于所述設備的熔絲得出秘密值,通過將所述設備的所述熔絲得出秘密值到設備密封常數的串聯散列化來生成密封種子;
至少部分基于所述密封種子、以及與所述軟件的先前版本相關聯的至少一個軟件描述符來生成遷移密鑰;
至少部分基于所述密封種子、以及與所述軟件的新版本相關聯的至少一個軟件描述符來生成密封密鑰,其中所述密封秘鑰被用來生成一個或多個加密密鑰;以及
基于所述生成密封密鑰來加密所述軟件的秘密。
2.根據權利要求1所述的設備,其中:
所述密碼模塊被配置為執行密碼函數,以使用所述密封種子從與所述軟件的所述先前版本相關聯的所述至少一個軟件描述符生成所述遷移密鑰;并且
所述密碼模塊被配置為執行密碼函數,以使用所述密封種子從與所述軟件的所述新版本相關聯的所述至少一個軟件描述符生成所述密封密鑰。
3.根據權利要求1所述的設備,其中:
所述軟件包括第一軟件組件和第二軟件組件;
為了生成所述遷移密鑰,所述密碼模塊被配置為:
執行第一密碼函數,以使用所述密封種子從與所述第一軟件組件的先前版本相關聯的第一軟件描述符生成中間遷移密鑰;以及
執行第二密碼函數,以使用所述中間遷移密鑰從與所述第二軟件組件的先前版本相關聯的第二軟件描述符生成所述遷移密鑰;并且
為了生成所述密封密鑰,所述密碼模塊被配置為:
執行第三密碼函數,以使用所述密封種子從與所述第一軟件組件的新版本相關聯的第一軟件描述符生成中間密封密鑰;以及
執行第四密碼函數,以使用所述中間密封密鑰從與所述第二軟件組件的新版本相關聯的第二軟件描述符生成所述密封密鑰。
4.根據權利要求1所述的設備,所述模塊還包括遷移模塊,所述遷移模塊被配置為使用所述遷移密鑰來取回與所述軟件的所述先前版本相關聯的秘密。
5.根據權利要求4所述的設備,其中所述密碼模塊還被配置為使用所述遷移密鑰來生成一個或多個解密密鑰,并且其中為了取回所述秘密,所述遷移模塊被配置為使用所述一個或多個解密密鑰來解密所述秘密。
6.根據權利要求4所述的設備,所述模塊還包括密封模塊,所述密封模塊被配置為使用所述密封密鑰來密封用于所述軟件的所述新版本的所述秘密。
7.根據權利要求6所述的設備,其中所述密碼模塊還被配置為使用所述密封密鑰生成一個或多個加密密鑰,并且其中為了密封所述秘密,所述密封模塊被配置為使用所述一個或多個加密密鑰加密所述秘密。
8.一種用于遷移秘密的方法,包括:
接收用于軟件的更新;
至少部分基于執行所述軟件的設備的熔絲得出秘密值,通過將所述設備的所述熔絲得出秘密值到設備密封常數的串聯散列化來生成密封種子;
至少部分基于所述密封種子、以及與所述軟件的先前版本相關聯的至少一個軟件描述符來生成遷移密鑰;
至少部分基于所述密封種子、以及與所述軟件的新版本相關聯的至少一個軟件描述符來生成密封密鑰,其中所述密封秘鑰被用來生成一個或多個加密密鑰;以及
基于所述生成密封密鑰來加密所述軟件的秘密;
其中以上步驟由所述設備執行。
9.根據權利要求8所述的方法,其中:
生成所述遷移密鑰包括執行密碼函數,以使用所述密封種子從與所述軟件的所述先前版本相關聯的所述至少一個軟件描述符生成所述遷移密鑰;并且
生成所述密封密鑰包括執行密碼函數,以使用所述密封種子從與所述軟件的所述新版本相關聯的所述至少一個軟件描述符生成所述密封密鑰。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于微軟技術許可有限責任公司,未經微軟技術許可有限責任公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201680059915.7/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:具有多個可信根的設備
- 下一篇:用于安全可信I/O訪問控制的技術
