可網(wǎng)絡(luò)更新的用戶信任裝置制造方法
【專利摘要】本發(fā)明公開了可網(wǎng)絡(luò)更新的用戶信任裝置���。一種用戶信任裝置(10)包括:連接接口�����;和永久存儲器(14)�����,其中�����,網(wǎng)絡(luò)更新器(15)被配置為在主機計算機(101)處執(zhí)行的情況下與主機計算機的固件(122)進行交互以啟動通信��,并且����,引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)(16)能夠在用戶信任裝置(10)與所述主機計算機(10)連接的情況下被固件(122)檢測;使得主機計算機(101)能夠從用戶信任裝置(10)引導(dǎo)����;并且包含用于固件(122)的如下指令,該指令在主機計算機從用戶信任裝置引導(dǎo)的情況下啟動所述網(wǎng)絡(luò)更新器(15)到主機計算機(10)上的傳送以供隨后在主機計算機(101)處執(zhí)行�����。
【專利說明】可網(wǎng)絡(luò)更新的用戶信任裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明總體上涉及配備有用于與主機計算機連接的連接接口的用戶信任裝置的領(lǐng)域,特別是涉及用于通過網(wǎng)絡(luò)更新這種裝置的軟件更新方法����。
【背景技術(shù)】
[0002]用戶信任裝置(包含安全、防竄改裝置)通常是已知的����。例如,對于在線交易���,一種已開發(fā)的方案是所謂的區(qū)域可信信息信道(或簡稱為ZTIC)����。ZTIC是用于交易數(shù)據(jù)認證的安全�、不可編程的裝置。由于ZTIC保持與服務(wù)器的安全的端對端網(wǎng)絡(luò)連接�����,因此ZTIC自身針對惡意軟件攻擊是防竄改的�,并且�,由于它具有自身的與和它連接的主機無關(guān)的輸入和輸出部件,因此�����,在ZTIC顯示器上示出的數(shù)據(jù)是真實的。關(guān)于更多的細節(jié)�,可參見例如 The Zurich Trusted Information Channel - An Efficient Defence againstMan-1n—the—Middle and Malicious Software Attacks, by Thomas Weigoldj Thorsten
KrampjReto Hermann,Frank Horing, Peter Buhlerj Michael Baentsch.1n
P.Lippj A.-R.Sadeghij and K.-M.Koch (Eds.): TRUST2008,LNCS4968, pp.75-91�,2008.Springer-Verlag Berlin Heidelberg2008.[0003]一些具有內(nèi)置的網(wǎng)卡的安全裝置(例如,路由器�、附接存儲器的網(wǎng)絡(luò)裝置)提供了可網(wǎng)絡(luò)更新的功能。但是����,這些裝置需要其自身的網(wǎng)絡(luò)連接。
[0004]其它的裝置使用通過PC的安全信道以可更新(諸如Migros銀行存儲棒�,參見例如http://www.kobil.com/nc/press-news/newssingleview/article/migros-bank-lau nches-new-system-for-safer-e-banking.html?tx_ttnews%5BbackPid%5D=596&cHash=4480355b72)。但是�����,這些裝置需要給定的在PC上可用的操作系統(tǒng)���,以使得更新成功�����。
【發(fā)明內(nèi)容】
·
[0005]根據(jù)第一方面���,本發(fā)明體現(xiàn)為用戶信任裝置�����,該用戶信任裝置包括:
[0006]能夠?qū)崿F(xiàn)與主機計算機的連接的連接接口 �;和
[0007]存儲引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)和網(wǎng)絡(luò)更新器的永久存儲器����,
[0008]其中,網(wǎng)絡(luò)更新器被配置為在主機計算機處執(zhí)行的情況下與主機計算機的固件進行交互�,以啟動通過可與主機計算機連接的網(wǎng)絡(luò)的通信,并且��,
[0009]引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)可在用戶信任裝置與所述主機計算機連接的情況下被所述固件檢測到����;
[0010]引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)使得主機計算機可優(yōu)選地按照引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)的數(shù)據(jù)結(jié)構(gòu),從用戶信任裝置引導(dǎo)�����;和
[0011]引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)包含用于固件的如下指令����,該指令在主機計算機從用戶信任裝置引導(dǎo)的情況下啟動所述網(wǎng)絡(luò)更新器到主機計算機上的傳送以供隨后在主機計算機處執(zhí)行。
[0012]在實施例中��,所述網(wǎng)絡(luò)更新器被配置為在所述主機計算機處執(zhí)行的情況下與主機計算機的所述固件進行交互��,以隨后與主機計算機的網(wǎng)卡進行交互�,以便啟動由所述網(wǎng)卡使能的通過網(wǎng)絡(luò)的所述通信。
[0013]優(yōu)選地��,網(wǎng)絡(luò)更新器包含對于在啟動通過所述網(wǎng)絡(luò)的所述通信的情況下要聯(lián)系的服務(wù)器的參照�����。
[0014]在優(yōu)選的實施例中����,所述用戶信任裝置不包含網(wǎng)卡(或者,更一般地�����,缺少聯(lián)網(wǎng)功能)�����。
[0015]優(yōu)選地,所述永久存儲器包含:
[0016]安全存儲器����,在安全存儲器上存儲網(wǎng)絡(luò)更新器的第一部分;和
[0017]非安全存儲器���,在非安全存儲器上存儲網(wǎng)絡(luò)更新器的第二部分���。
[0018]在實施例中,網(wǎng)絡(luò)更新器的第二部分以加密的方式駐留于非安全存儲器上�����,相應(yīng)的加密密鑰存儲于安全存儲器上�。
[0019]優(yōu)選地,網(wǎng)絡(luò)更新器的第二部分占據(jù)安全存儲器的小于一半的大小����,所述存儲器大小優(yōu)選小于等于256ko、更優(yōu)選小于等于128ko�。
[0020]在優(yōu)選的實施例中,所述網(wǎng)絡(luò)更新器被配置為在主機計算機處執(zhí)行的情況下與主機計算機的固件進行交互以啟動所述通信�,所述固件是以下中的一個:
[0021]BIOS,優(yōu)選具有 PXE BIOS ;
[0022]可擴展固件接口 EFIB10S ;或
[0023]統(tǒng)一可擴展固件接口 BIOS�。
[0024]優(yōu)選地���,所述連接接口是以下類型中的一種:
[0025]通用串行總線或USB ;
[0026]外部小計算機系統(tǒng)接口或SCSI ;
[0027]外部串行高級技術(shù)附件或SATA ���;
[0028]火線;或
[0029]Thunderbolt (雷電接口)����。
[0030]本發(fā)明還可自然地體現(xiàn)為一種系統(tǒng),該系統(tǒng)包括:根據(jù)前面的權(quán)利要求中的任一項的用戶信任裝置�����;在啟動通過網(wǎng)絡(luò)的通信的情況下要聯(lián)系的服務(wù)器�,用戶信任裝置的網(wǎng)絡(luò)更新器包含對于所述服務(wù)器以及優(yōu)選的所述主機計算機的參照。
[0031]根據(jù)另一方面����,本發(fā)明可體現(xiàn)為一種用于啟動根據(jù)以上的實施例中的任一個的用戶信任裝置與網(wǎng)絡(luò)之間的通信的方法,用戶信任裝置可與主機計算機連接�,所述主機計算機可與所述網(wǎng)絡(luò)連接,該方法包括:
[0032]使用戶信任裝置的引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)被主機計算機的固件檢測到���,以便使得主機計算機從用戶信任裝置引導(dǎo)�����,隨后在主機計算機處傳送網(wǎng)絡(luò)更新器��,諸如使得網(wǎng)絡(luò)更新器在主機計算機處執(zhí)行并與固件進行交互以啟動通過所述網(wǎng)絡(luò)的所述通信�����。
[0033]優(yōu)選地���,所述方法還包括:使得所述網(wǎng)絡(luò)更新器與主機計算機的所述固件進行交互����,以隨后與主機計算機的網(wǎng)卡進行交互�,以便啟動由所述網(wǎng)卡使能的通過所述網(wǎng)絡(luò)的所述通信。
[0034]還優(yōu)選地�,所述方法還包括:在啟動通過所述網(wǎng)絡(luò)的所述通信的情況下,聯(lián)系由網(wǎng)絡(luò)更新器參照的服務(wù)器���。
[0035]在實施例中�����,方法還包括:[0036]從服務(wù)器向用戶信任裝置傳送數(shù)據(jù)(優(yōu)選地�����,用戶信任裝置固件更新)�;
[0037]在用戶信任裝置的存儲器(優(yōu)選地,永久存儲器)上存儲所述被傳送的數(shù)據(jù)�;和
[0038]優(yōu)選地,根據(jù)在用戶信任裝置的存儲器上存儲的被傳送的數(shù)據(jù)更新用戶信任裝置的軟件�。
[0039]根據(jù)最后的方面,本發(fā)明體現(xiàn)為一種用于啟動用戶信任裝置與網(wǎng)絡(luò)之間的通信的計算機程序產(chǎn)品�����,該計算機程序產(chǎn)品包括計算機可讀存儲介質(zhì)�,該計算機可讀存儲介質(zhì)承載有引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)和網(wǎng)絡(luò)更新器�����,其中�,
[0040]網(wǎng)絡(luò)更新器被配置為在主機計算機處執(zhí)行的情況下與主機計算機的固件進行交互,以啟動通過可與主機計算機連接的網(wǎng)絡(luò)的通信�,并且,
[0041]引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)可在用戶信任裝置與所述主機計算機連接的情況下被所述固件檢測到��;
[0042]引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)使得主機計算機可優(yōu)選地按照引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)的數(shù)據(jù)結(jié)構(gòu)��,從用戶信任裝置引導(dǎo);和
[0043]引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)包含用于固件的如下指令��,該指令在主機計算機從用戶信任裝置引導(dǎo)的情況下啟動主機計算機上的所述網(wǎng)絡(luò)更新器的傳送以供隨后在主機計算機處執(zhí)行���。
[0044]現(xiàn)在�����,現(xiàn)在作為非限制性的例子并且參照附圖��,將描述體現(xiàn)本發(fā)明的裝置���、系統(tǒng)和方法。
【專利附圖】
【附圖說明】
[0045]圖1表示適于實現(xiàn)包含于本發(fā)明的實施例中的方法步驟的一般的計算系統(tǒng)��;
[0046]圖2示出根據(jù)實施例的圖1的計算機化系統(tǒng)的被選擇的部件連同示出方法的步驟的流程圖�����;
[0047]圖3是根據(jù)實施例的安全裝置的所選擇部件的簡化表示以及這些部件如何在功能上相互關(guān)聯(lián)�;
[0048]圖4是示出根據(jù)實施例的用于啟動安全裝置與網(wǎng)絡(luò)之間的通信的高級步驟的流程圖。
【具體實施方式】
[0049]下文的描述構(gòu)成如下��。首先����,描述一般的實施例和高級變型(第I節(jié))�。下一節(jié)針對更具體的實施例和技術(shù)實現(xiàn)細節(jié)(第2節(jié))
[0050]1.一般實施例和高級變型
[0051]圖1表示適于實現(xiàn)包含于本發(fā)明的實施例中的方法步驟的一般的計算機化系統(tǒng)����。
[0052]將理解,這里描述的方法在很大程度上是非交互的���,并且通過諸如服務(wù)器或嵌入式系統(tǒng)的計算機化系統(tǒng)而被自動化�����。在示例性實施例中,可在(部分)交互或非交互系統(tǒng)中實現(xiàn)這里描述的方法�����?���?蛇M一步通過軟件(例如,固件)��、硬件或它們的組合實現(xiàn)這些方法�。在示例性實施例中���,這里描述的方法通過軟件實現(xiàn)為可執(zhí)行的程序,并且通過諸如個人計算機���、工作站���、微計算機或主機計算機的特殊用途或通用數(shù)字計算機被執(zhí)行。因此�����,最一般的系統(tǒng)100包含通用計算機101���。[0053]在示例性實施例中����,關(guān)于如圖1所示的硬件架構(gòu)���,計算機101包括處理器105���、與存儲器控制器115耦合的存儲器110、和通過本地輸入/輸出控制器135通信耦合的一個或更多個輸入和/或輸出(I/O)裝置(或外設(shè))10、145��。輸入/輸出控制器135可以是但不限于一個或更多個總線或其它的有線或無線連接���,這在本領(lǐng)域中是已知的�����。輸入/輸出控制器135可以具有能夠?qū)崿F(xiàn)通信的諸如控制器����、緩沖器(高速緩存)���、驅(qū)動器�、重復(fù)器和接收器的附加的元件�����,這些附加的元件出于簡化的目的被省略�����。此外���,本地接口可包含地址�、控件和/或數(shù)據(jù)連接���,以能夠?qū)崿F(xiàn)上述的部件之間的適當(dāng)?shù)耐ㄐ?�。如這里描述的那樣�,I/O裝置
10�����、145可一般地包含在本領(lǐng)域中已知的任何一般化的密碼卡或智能卡�。
[0054]這些裝置中的一個是在后面詳細討論的用戶信任裝置10。
[0055]處理器105是用于執(zhí)行軟件����、特別是存儲于存儲器110中的軟件的硬件裝置。處理器105可以是任何定制或者商業(yè)可用的處理器�����、中央處理單元(CPU)�����、與計算機101相關(guān)聯(lián)的數(shù)個處理器之中的輔助處理器、基于半導(dǎo)體的微處理器(微芯片或芯片集的形式)�、宏處理器或用于執(zhí)行軟件指令的通常的任何裝置。
[0056]存儲器110可包括易失性存儲元件(例如�����,隨機存取存儲器(RAM���,諸如DRAM����、SRAM�、SDRAM等))和非易失性(永久)存儲元件(例如,ROM�����、可擦除可編程只讀存儲器(EPR0M)��、電可擦除可編程只讀存儲器(EEPR0M)��、可編程只讀存儲器(PR0M)��、帶�����、光盤只讀存儲器(⑶-ROM)��、盤���、磁盤�����、盒子或盒帶等)中的任一個或組合����。并且�,存儲器110可結(jié)合電子、磁�����、光學(xué)和/或其它類型的存儲介質(zhì)����。注意,存儲器110可具有分布式架構(gòu)����,這里���,各種部件的位置相互遠離,但可被處理器105訪問����。特別地,存儲器110應(yīng)包含存儲部121��,網(wǎng)絡(luò)更新器15可整體或部分地傳送至該存儲部121����,以供隨后執(zhí)行。
[0057]存儲器110中的軟件可包含一個或更多個單獨的程序���,這些程序中的每一個包含用于實現(xiàn)邏輯功能��、特別是包含于本發(fā)明的實施例中的功能的可執(zhí)行指令的列表���。在圖1的例子中,存儲器110可被裝載軟件�����,該軟件包含用于實現(xiàn)用于啟動用戶信任裝置10與網(wǎng)絡(luò)165之間的通信的方法的指令。
[0058]即使這里討論的新穎的方法忽略主機101的OS (它們在更接近硬件的另一層級操作����,由此��,計算機101的正常行為受到影響)��,存儲器110中的軟件還可典型地包含適當(dāng)?shù)牟僮飨到y(tǒng)(OS) 111��。一旦(并且如果)被加載�����,OSlll基本上控制其它計算機程序的執(zhí)行����,并且,提供調(diào)度�����、輸入/輸出控制����、文件和數(shù)據(jù)管理����、存儲器管理和通信控制以及相關(guān)的服務(wù)����。
[0059]這里描述的方法的至少一部分可采取源程序、可執(zhí)行程序(對象代碼)�、腳本或包含要被執(zhí)行的指令集的任何其它實體的形式。當(dāng)為源程序時�����,該程序需要通過可包含于或者可不包含于裝置10和/或主機101的存儲器內(nèi)的編譯程序���、匯編程序或解釋程序等被翻譯�。此外�����,方法可被寫為具有數(shù)據(jù)和方法的類的面向?qū)ο蟮木幊陶Z言或具有例程����、子例程和/或函數(shù)的過程編程語言。在所有的情況下��,這里討論的新穎的方法被設(shè)計為適當(dāng)?shù)亟Y(jié)合固件122 (以及如果需要的話,裝置的CPU111)操作�。
[0060]在不例性實施例中,常規(guī)的鍵盤150和鼠標155可與輸入/輸出控制器135 f禹合����。諸如I/O裝置145的其它輸出裝置可包含例如為但不限于打印機��、掃描儀和麥克風(fēng)等的輸入裝置����。最后,I/O裝置10��、145還可包含傳送輸入和輸出兩者的裝置�����,例如為但不限于網(wǎng)絡(luò)接口卡(NIC)或調(diào)制器/解調(diào)器(用于訪問其它的文件�、裝置、系統(tǒng)或網(wǎng)絡(luò))��、射頻(RF)或其它的收發(fā)器��、電話接口��、橋接器和路由器等。如這里描述的那樣�����,I/O裝置10�、145可以是在本領(lǐng)域中已知的任何一般的密碼卡或智能卡。系統(tǒng)100還可包含耦合到顯示器130的顯示器控制器125���。在示例性實施例中��,系統(tǒng)100還可包含用于耦合到網(wǎng)絡(luò)165的網(wǎng)絡(luò)接口160�����。網(wǎng)絡(luò)165可以是用于通過寬帶連接的計算機101與任何外部服務(wù)器和客戶機等之間通信的基于IP的網(wǎng)絡(luò)�����。網(wǎng)絡(luò)165在計算機101與例如為服務(wù)器30的外部系統(tǒng)之間傳送和接收數(shù)據(jù)����。在示例性實施例中����,網(wǎng)絡(luò)165可以是由服務(wù)提供商操縱的被管理的IP網(wǎng)絡(luò)��?����?衫缤ㄟ^使用諸如WiF1�����、WiMax等的無線協(xié)議和技術(shù)以無線的方式實現(xiàn)網(wǎng)絡(luò)165。網(wǎng)絡(luò)165還可以是諸如局域網(wǎng)絡(luò)��、廣域網(wǎng)絡(luò)���、市區(qū)網(wǎng)絡(luò)���、因特網(wǎng)或其它類似類型的網(wǎng)絡(luò)環(huán)境的分組交換網(wǎng)絡(luò)。網(wǎng)絡(luò)165可以是固定無線網(wǎng)絡(luò)����、無線局域網(wǎng)絡(luò)(LAN)、無線廣域網(wǎng)絡(luò)(WAN)����、個人區(qū)域網(wǎng)絡(luò)(PAN)�、虛擬私人網(wǎng)絡(luò)(VPN)��、內(nèi)聯(lián)網(wǎng)或其它適當(dāng)?shù)木W(wǎng)絡(luò)系統(tǒng)����,并且包含用于接收和發(fā)射信號的設(shè)備。
[0061]如果計算機101是PC���、工作站或智能裝置等�,那么存儲器110中的軟件還可包含基本輸入輸出系統(tǒng)(BIOS) 122���。BIOS是在起動時初始化并且測試硬件���、起動OSlll并且支持硬件裝置之間的數(shù)據(jù)傳送的必要軟件例程集合。BIOS典型地存儲于ROM中����,使得當(dāng)激活計算機101時可執(zhí)行BIOS。
[0062]出于實現(xiàn)這里描述的方法的目的���,B10S122可被用于啟動通過可與主機計算機101連接的網(wǎng)絡(luò)165的通信��。但是�,更一般地,可以使用任何適當(dāng)?shù)墓碳?22或與固件的接口(即�����,永久存儲器和存儲于其中的程序代碼及數(shù)據(jù)的組合��,該組合在軟件棧中的操作系統(tǒng)111 “下面”操作)以實現(xiàn)該目的��。它典型地是BIOS��。但是�����,適當(dāng)?shù)墓碳?22或與其的接口的例子包含 Preboot eXecution Environment (PXE) BIOS�、所謂的可擴展固件接口(EFi)BIOS或統(tǒng)一可擴展固件接口(UEFI)���。后者是限定操作系統(tǒng)與平臺固件之間的軟件界面的規(guī)范���。UEFI要替代當(dāng)前存在于所有IBM PC兼容計算機中的BIOS固件接口。實際上�,大多數(shù)的UEFI圖像對于BIOS服務(wù)具有遺留支持。更一般地,出于實現(xiàn)這里描述的方法的目的�����,可設(shè)想對于BIOS服務(wù)或相當(dāng)?shù)姆?wù)具有遺留支持的任何固件��。但是����,更一般地,出于實現(xiàn)本發(fā)明的目的�����,能夠例如通過與主機計算機的網(wǎng)卡的交互啟動通過網(wǎng)絡(luò)的通信(例如�,啟動網(wǎng)卡)并且在軟件棧中的操作系統(tǒng)下面操作的任何固件(例如,初始化固件)聚集��。
[0063]當(dāng)計算機101處于操作時����,處理器105被配置為執(zhí)行存儲于計算機110中的軟件,以向存儲器110以及從存儲器110傳送數(shù)據(jù)��,并且一般地根據(jù)軟件控制計算機101的操作���。這里描述的方法總體或部分地���、但典型地部分地被處理器105讀取��,可能被緩沖在處理器105內(nèi)����,并然后被執(zhí)行��。
[0064]可通過軟件實現(xiàn)的這里描述的方法的多個部分可存儲于供任何計算機相關(guān)系統(tǒng)或方法使用或者與其相結(jié)合地使用的任何計算機可讀介質(zhì)上�。
[0065]所屬【技術(shù)領(lǐng)域】的技術(shù)人員知道,本發(fā)明的各個方面可以實現(xiàn)為系統(tǒng)��、方法或計算機程序產(chǎn)品�。因此,本發(fā)明的各個方面可以具體實現(xiàn)為以下形式�����,即:完全的硬件實施方式���、完全的固件和/或軟件實施方式(包括固件、駐留軟件�、微代碼等)��,或硬件和固件/軟件方面結(jié)合的實施方式���,這里可以統(tǒng)稱為“電路”、“模塊”或“系統(tǒng)”����。此外,在一些實施例中�,本發(fā)明的各個方面還可以實現(xiàn)為在一個或多個計算機可讀介質(zhì)中的計算機程序產(chǎn)品的形式,該計算機可讀介質(zhì)中包含計算機可讀的程序代碼�。
[0066]可以采用一個或多個計算機可讀介質(zhì)的任意組合。計算機可讀介質(zhì)可以是計算機可讀信號介質(zhì)或者計算機可讀存儲介質(zhì)�����。計算機可讀存儲介質(zhì)例如可以是一但不限于一電�、磁、光����、電磁、紅外線���、或半導(dǎo)體的系統(tǒng)�、裝置或器件,或者任意以上的組合�����。計算機可讀存儲介質(zhì)的更具體的例子(非窮舉的列表)包括:具有一個或多個導(dǎo)線的電連接��、便攜式計算機盤����、硬盤、隨機存取存儲器(RAM)�、只讀存儲器(ROM)、可擦式可編程只讀存儲器(EPR0M或閃存)��、光纖�����、便攜式緊湊盤只讀存儲器(CD-ROM)�、光存儲器件、磁存儲器件��、或者上述的任意合適的組合��。在本文件中�,計算機可讀存儲介質(zhì)可以是任何包含或存儲程序的有形介質(zhì),該程序可以被指令執(zhí)行系統(tǒng)�、裝置或者器件使用或者與其結(jié)合使用。
[0067]計算機可讀的信號介質(zhì)可以包括在基帶中或者作為載波一部分傳播的數(shù)據(jù)信號���,其中承載了計算機可讀的程序代碼�。這種傳播的數(shù)據(jù)信號可以采用多種形式�,包括——但不限于——電磁信號、光信號或上述的任意合適的組合��。計算機可讀的信號介質(zhì)還可以是計算機可讀存儲介質(zhì)以外的任何計算機可讀介質(zhì)����,該計算機可讀介質(zhì)可以發(fā)送、傳播或者傳輸用于由指令執(zhí)行系統(tǒng)��、裝置或者器件使用或者與其結(jié)合使用的程序�����。
[0068]計算機可讀介質(zhì)上包含的程序代碼可以用任何適當(dāng)?shù)慕橘|(zhì)傳輸���,包括一但不限于一無線��、有線���、光纜���、RF等等,或者上述的任意合適的組合���。
[0069]用于實行本發(fā)明的各方面的操作的計算機程序代碼可被以一種或多種編程語言(包含面向?qū)ο蟮木幊陶Z言�,諸如Java�����、Smalltalk�、C++等)和常規(guī)過程編程語言(諸如,“C”編程語言或類似編程語言)的任何組合書寫��。程序代碼可全部在用戶的計算機上執(zhí)行�,或者部分地在用戶的計算機上(作為孤立軟件包)執(zhí)行,或仍部分地在以下中的兩個或更多個上執(zhí)行:用戶計算機�����、用戶信任裝置和遠程計算機���。主機計算機和服務(wù)器可通過任何類型的網(wǎng)絡(luò)(包括局域網(wǎng)(LAN);廣域網(wǎng)(WAN);與外部計算機的連接(因特網(wǎng)���,使用因特網(wǎng)服務(wù)提供商))連接����。
[0070]下面將參照根據(jù)本發(fā)明實施例的方法�����、裝置(系統(tǒng))和計算機程序產(chǎn)品的流程圖和/或框圖描述本發(fā)明�。應(yīng)當(dāng)理解���,流程圖和/或框圖的每個方框以及流程圖和/或框圖中各方框的組合���,都可以由計算機程序指令實現(xiàn)。這些計算機程序指令可以提供給通用計算機����、專用計算機或其它可編程數(shù)據(jù)處理裝置的處理器,從而生產(chǎn)出一種機器�����,使得這些計算機程序指令在通過計算機或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行時,產(chǎn)生了實現(xiàn)流程圖和/或框圖中的一個或多個方框中規(guī)定的功能/動作的裝置����。
[0071]也可以把這些計算機程序指令存儲在計算機可讀介質(zhì)中,這些指令使得計算機�、其它可編程數(shù)據(jù)處理裝置、或其他設(shè)備以特定方式工作�,從而,存儲在計算機可讀介質(zhì)中的指令就產(chǎn)生出包括實現(xiàn)流程圖和/或框圖中的一個或多個方框中規(guī)定的功能/動作的指令的制造品(article of manufacture)���。計算機程序指令也可被加載到計算機上���、其它可編程數(shù)據(jù)處理設(shè)備或其它裝置上,使得在計算機��、其它可編程設(shè)備或其它裝置上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理�,從而在計算機或其它可編程設(shè)備上執(zhí)行的指令提供了用于實現(xiàn)流程圖和/或框圖的一個(或多個)塊中指定的功能/動作的處理。
[0072]附圖中的流程圖和框圖顯示了根據(jù)本發(fā)明的多個實施例的系統(tǒng)����、方法和計算機程序產(chǎn)品的可能實現(xiàn)的體系架構(gòu)、功能和操作����。在這點上���,流程圖或框圖中的每個方框可以代表一個模塊、程序段或代碼的一部分����,所述模塊、程序段或代碼的一部分包含一個或多個用于實現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令�。也應(yīng)當(dāng)注意�����,在有些作為替換的實現(xiàn)中���,方框中所標注的功能也可以以不同于附圖中所標注的順序發(fā)生����。例如�,兩個連續(xù)的方框?qū)嶋H上可以基本并行地執(zhí)行,它們有時也可以按相反的順序執(zhí)行�����,這依所涉及的功能而定���。也要注意的是���,框圖和/或流程圖中的每個方框���、以及框圖和/或流程圖中的方框的組合,可以用執(zhí)行規(guī)定的功能或動作的專用的基于硬件的系統(tǒng)來實現(xiàn)��,或者可以用專用硬件與計算機指令的組合來實現(xiàn)�����。
[0073]首先�,一般參照圖1?4描述本發(fā)明的涉及安全裝置10 (或者,更一般地���,用戶信任裝置)的方面��。該裝置是公司裝置或個人裝置��,即�,公司或用戶擁有或控制的裝置�����,諸如USB裝置,優(yōu)選的USB閃速驅(qū)動(除了集成的通用串行總線(USB)接口以外還包含閃存的數(shù)據(jù)存儲裝置)��、只有該用戶使用或者由該用戶為其工作的公司擁有和控制的移動電話或個人數(shù)字助理(PDA)�����。典型地����,該裝置的重量一般小于100g,優(yōu)選小于60g�、更優(yōu)選小于40g�����。應(yīng)在后面討論該裝置10的可有助于使其“安全”的附加方面�����。
[0074]該裝置至少包括:
[0075]—連接接口12���,實現(xiàn)與主機計算機101的連接S2 ;和
[0076]一永久存儲器14��,特別地存儲被設(shè)計為如下地進行交互的兩個部件:引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)16和網(wǎng)絡(luò)更新器15��。
[0077]首先��,網(wǎng)絡(luò)更新器15是在主機計算機101上執(zhí)行的軟件���。更準確地說�����,它被配置為在主機101處執(zhí)行的情況下與主機計算機的例如為BIOS的固件122進行交互�,以啟動通過可與主機計算機連接的網(wǎng)絡(luò)165的通信�����。因此����,網(wǎng)絡(luò)更新器15應(yīng)在引導(dǎo)時、即在操作系統(tǒng)被加載之前在主機計算機101上執(zhí)行����。換句話說,操作系統(tǒng)被繞過:網(wǎng)絡(luò)更新器應(yīng)執(zhí)行并能夠執(zhí)行其自然功能����,即更新�����,而不包含操作���。實際上,更新器15是可例如存儲于裝置固件內(nèi)的小的軟件更新程序�。
[0078]第二,引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)16 (以下�����,也稱為引導(dǎo)加載器)可在安全裝置10與所述主機計算機101連接的情況下被固件122檢測����。引導(dǎo)加載器進一步被設(shè)計為使得在重啟時主機計算機101可從安全裝置10引導(dǎo)。該功能可例如按照引導(dǎo)加載器自身的數(shù)據(jù)結(jié)構(gòu)被提供����,這本身是已知的�����。最后����,引導(dǎo)加載器16包含用于固件122的如下指令��,該指令用于在主機計算機從安全裝置10引導(dǎo)的情況下啟動所述網(wǎng)絡(luò)更新器15到主機計算機101上的傳送以供隨后在主機計算機101處執(zhí)行�����。
[0079]本上下文中的傳送指的是固件啟動在適當(dāng)?shù)闹鳈C計算機的存儲部121上存儲網(wǎng)絡(luò)更新器的作用����,例如�,這優(yōu)選在網(wǎng)絡(luò)更新器的一個或更多個(例如,數(shù)個)第一塊被主機101讀取時發(fā)生�。
[0080]因此,作為概括��,引導(dǎo)加載器16可在裝置10與主機101連接的情況下被固件(B10S)122檢測到���,由此�����,主機可從安全裝置10引導(dǎo)�。引導(dǎo)加載器16包含用于固件122的如下指令����,該指令在引導(dǎo)時啟動所述網(wǎng)絡(luò)更新器15到主機101上的傳送以供隨后在主機計算機101處執(zhí)行���。當(dāng)在主機101處執(zhí)行時,網(wǎng)絡(luò)更新器15與固件(B10S)122進行交互以啟動通過網(wǎng)絡(luò)165的通信�����。
[0081]這種方案使得即使裝置10沒有配備網(wǎng)卡或者更一般地沒有直接網(wǎng)絡(luò)接入���,裝置10仍可容易地從網(wǎng)絡(luò)更新�����。事實上�����,裝置10優(yōu)選沒有配備這種直接網(wǎng)絡(luò)接入手段����,這使得該裝置10能夠?qū)崿F(xiàn)更簡單和更便宜的設(shè)計�����。除了固件122以外��,在主機10上不進一步需要用于執(zhí)行更新的特定軟件/OS����。事實上,主機101可以是空的�,甚至沒有任何硬驅(qū)動。
[0082]主機101從裝置10引導(dǎo)��,該裝置繼而可利用與計算機的BIOS組合的計算機內(nèi)置網(wǎng)卡(或者���,更一般地�����,網(wǎng)絡(luò)接入手段)或任何類似的固件(例如��,用于當(dāng)前的計算機的PXEBIOS��、用于將來的計算機的EFI或UEFI BIOS)���。
[0083]在主機計算機上沒有留下印跡。另外,任何用戶可容易地更新裝置10以在裝置10執(zhí)行不同/新的功能�。該方案使得能夠?qū)崿F(xiàn)極其簡單的更新過程,例如�,將裝置10插入計算機101中、重啟�����、選擇新功能���。不需要特定的硬件/軟件/知識以重新配置裝置��。硬件可總是保持相同��。
[0084]該裝置10可進一步被調(diào)整到不同的應(yīng)用方案�,而不僅僅是軟件更新�����。不是裝置10上的所有軟件都必須存儲于安全存儲器中���。應(yīng)用更新器的多個部分以及軟件更新可存儲于簡單的SD卡中�����。但是�,即使功能的變化或更新可部分依賴于其它不安全的通信SD卡���,功能的變化或更新但仍可安全地執(zhí)行(如參照以下的一些實施例討論的)�。
[0085]例如�����,可通過以下的方式將更新安全地引入裝置中:
[0086]—通過計算機101的從服務(wù)器到裝置10的HTTP連接
[0087]一端到端認證��;
[0088]一簽名和其它的加密數(shù)據(jù)13可存儲于裝置上的安全存儲器中�;
[0089]一有效載荷可存儲于SD卡上;以及
[0090]一可在下一訪問期間執(zhí)行驗證���。
[0091]相反���,迄今為止,任何可比較的現(xiàn)有技術(shù)的裝置需要:
[0092](i)用于更新裝置的PClOl上的特定軟件����,該特定軟件需要針對各種OS被編寫并且需要從OS內(nèi)部運行,導(dǎo)致兼容性問題�。并且��,關(guān)于安全問題出現(xiàn)的一個問題是是否可信任OS ;或者
[0093](ii)將軟件更新置于SD卡上并將卡插入SD卡槽中�����,這種類型的方案是根本不現(xiàn)實的并且太昂貴�,原因在于:
[0094]a.需要額外的SD卡槽等��;
[0095]b.十分麻煩�����,需要手動準備�;以及
[0096]c.使得不容易從中心服務(wù)器控制更新。
[0097]現(xiàn)在參照圖1和圖2:優(yōu)選地����,在過程中依賴于主機計算機101的網(wǎng)卡124。S卩�����,網(wǎng)絡(luò)更新器15優(yōu)選被配置為在主機101處執(zhí)行的情況下與固件122進行交互���,以隨后與主機101的網(wǎng)卡124進行交互(例如����,用于啟動網(wǎng)絡(luò)適配器),并且����,為了啟動通過網(wǎng)絡(luò)的通信����,這另外由網(wǎng)卡124使能。還可使用其它的I/O裝置以實現(xiàn)這一點��。
[0098]網(wǎng)絡(luò)更新器15可包含對于在啟動通過網(wǎng)絡(luò)的通信的情況下要聯(lián)系的服務(wù)器的參照(reference)�����。該參照可例如被硬編碼在更新器15���。更一般地,更新器15可包含用于確定服務(wù)器的任何適當(dāng)?shù)氖侄?算法等)��。
[0099]當(dāng)然����,本發(fā)明擴展到諸如圖1或圖2示出的一般的計算機化系統(tǒng)�,S卩���,包含:安全裝置10、服務(wù)器30�,并優(yōu)選包含主機計算機101。
[0100]關(guān)于方法步驟�����,本發(fā)明可體現(xiàn)如下�,即體現(xiàn)為用于啟動安全裝置10與網(wǎng)絡(luò)165之間的通信的方法。現(xiàn)在參照圖4描述這種方法:
[0101]一首先(步驟SI)����,提供諸如以上描述的系統(tǒng),該系統(tǒng)廣義地包含安全裝置10��、主機101�、可與主機連接的網(wǎng)絡(luò)165 ;
[0102]一其次(步驟S2)����,安全裝置10與主機101連接,主機101被(重新)啟動����。計算機需要在與裝置10連接之后被(重新)啟動����,或者另外處于允許其從外部裝置啟動的狀態(tài)��,例如�,以下的選項因此是可能的:
[0103]計算機101被關(guān)斷;插入裝置10 ;啟動計算機�;或
[0104]計算機101已運行;插入裝置���;重新啟動計算機
[0105]一步驟S3:通過主機計算機101的固件122檢測安全裝置10的引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)S3 ;
[0106]一步驟S3a:主機計算機101從安全裝置10引導(dǎo)�����;
[0107]一隨后(步驟S4)�����,網(wǎng)絡(luò)更新器15被傳送到主機101����,例如,傳送到存儲部121���,由此�����,
[0108]〇步驟S5�,網(wǎng)絡(luò)更新器15在主機計算機101處執(zhí)行;和
[0109]〇與固件122進行交互(步驟S6)����,
[0110]〇啟動(步驟S7、S7a��、S7b)通過網(wǎng)絡(luò)165的通信�����。
[0111]優(yōu)選地�����,在包含網(wǎng)卡的情況下�����,網(wǎng)絡(luò)更新器15應(yīng)與所述固件122進行交互(在步驟S6)以隨后與主機101的網(wǎng)卡124進行交互(步驟S7a)(例如,啟動網(wǎng)絡(luò)適配器)��,以便啟動(步驟S7b)由所述網(wǎng)卡使能的通過所述網(wǎng)絡(luò)的所述通信����。
[0112]例如,由更新器15用于啟動PXE BIOS的指令的例子包含但不限于:
[0113]算法:通過更新器啟動PXE BIOS
[0114]Load UNDI ROM
[0115]PXENV_START_UNDI
[0116]PXENV_UNDI_STARTUP
[0117]PXENV_UNDI_INITIALIZE
[0118]PXENV_UNDI_OPEN
[0119]附加的指令(例如����,PXENV_UNDI_TRANSMIT)可被附接以通過網(wǎng)卡向服務(wù)器發(fā)送數(shù)據(jù)包。通過這種指令��,網(wǎng)絡(luò)適配器在主機處執(zhí)行的情況下與PXE B10S122進行交互以啟動網(wǎng)卡124���,由此,可通過網(wǎng)絡(luò)啟動通信�����。
[0120]類似的指令由EFI_SMPLE_NETWORK API中的FEI和UEFI BIOS提供(初始化�����、啟動����、停止�、接收�����、傳送)�����。BIOS也可提供TCP/IP棧的更高層級的協(xié)議實現(xiàn)以及也可被良好地使用的其它的聯(lián)網(wǎng)協(xié)議�。
[0121]如上所述,在啟動通過網(wǎng)絡(luò)的通信的情況下����,所述通信優(yōu)選地被啟動以便聯(lián)系(步驟S7c )服務(wù)器30,這可由于網(wǎng)絡(luò)適配器15而被確定����。
[0122]在可通過本發(fā)明設(shè)想的各種應(yīng)用中,隨后的步驟應(yīng)優(yōu)選包含:
[0123]一從服務(wù)器30向安全裝置10傳送數(shù)據(jù)(步驟S8�、S8a~S8d),優(yōu)選傳送安全固件更新��;
[0124]一在安全裝置10的(永久或者非永久)存儲器上存儲(步驟S8d)所傳送的數(shù)據(jù)����,
[0125]一根據(jù)存儲于安全裝置10的存儲器上的被傳送的數(shù)據(jù)更新(步驟S9)安全裝置(例如����,固件)的軟件����。
[0126]這里可以設(shè)想不同類型的軟件(可以是固件、控制軟件或者僅僅它們的一部分)����;這種軟件可存儲于裝置上,并且應(yīng)優(yōu)選作為更新單元被更新��。
[0127]因此�,典型的情形如下:裝置10首先與計算機101連接,并且���,計算機被重啟。當(dāng)重啟時����,在已從裝置傳送網(wǎng)絡(luò)更新器之后,計算機從裝置引導(dǎo)并且啟動網(wǎng)絡(luò)更新器��。然后,更新器與BIOS進行交互以使用計算機的網(wǎng)卡��,以便建立與服務(wù)器的安全網(wǎng)絡(luò)連接并檢索更新���。更新被傳送回裝置�,以使其更新存儲于裝置上的一個或更多個更新單元�。在最簡單的情形中,更新被下載����,這允許在裝置10實現(xiàn)新/更新后的功能。在更新之后�����,裝置可例如包含新的銀行業(yè)功能或安全企業(yè)桌面功能�。更一般地,裝置10可被更新以通過使用網(wǎng)絡(luò)更新執(zhí)行不同的操作����。
[0128]然而,在僅僅現(xiàn)有功能的更新以外�����,可以設(shè)想其它的應(yīng)用,這里���,引導(dǎo)加載器提示主機傳送和執(zhí)行網(wǎng)絡(luò)更新器��,該網(wǎng)絡(luò)更新器被配置為與固件進行交互以啟動通信�。在這一方面�,應(yīng)注意,“網(wǎng)絡(luò)更新器”是被賦予一些軟件段的名稱��,這些軟件最初位于裝置10上�,并且在本發(fā)明的上下文中其功能最一般地是在主機處執(zhí)行的情況下與其固件進行交互以啟動通過可另外與主機連接的網(wǎng)絡(luò)的通信。因此�,即使裝置10缺少網(wǎng)絡(luò)容量,該功能仍允許通過網(wǎng)絡(luò)執(zhí)行一些“更新”�。
[0129]另外,注意�,盡管有圖2的示圖,但由從服務(wù)器30下載的更新數(shù)據(jù)采取的路徑(步驟S8)可與啟動與服務(wù)器30的通信所采取的路徑(步驟S3?S7)恰恰相反���,或者不相反��。特別地,可在存儲器的除部分121以外的部分中緩沖更新數(shù)據(jù)��。
[0130]下面,重新參照圖3�����,并且���,前面已提到�,永久存儲器14應(yīng)優(yōu)選包含:
[0131]一安全存儲器141�����,在安全存儲器141上存儲網(wǎng)絡(luò)更新器15的第一部分151 (或給定部分)����;和
[0132]一非安全存儲器142 (例如,SD卡)�,在非安全存儲器142上存儲網(wǎng)絡(luò)更新器15的第二部分152 (或其它部分)。
[0133]安全存儲器的存在有助于使得用戶信任裝置為安全裝置���。例如�,網(wǎng)絡(luò)更新器15的一部分可在被加密的情況下駐留于非安全存儲器142上���,而相應(yīng)的加密密鑰存儲于安全存儲器141上�。出于成本的原因,安全存儲器典型地局限于128ko或256ko����。因此,它優(yōu)選被用于僅存儲加密數(shù)據(jù)��,例如���,散列/簽名��。更新器的部分151可因此駐留于安全存儲器141中��,而更新器15的其它部分152應(yīng)在被加密的情況下駐留于非安全存儲器上���。類似地,弓丨導(dǎo)加載器16也可駐留于SD卡上�����,而通過駐留于安全存儲器141上的簽名被加密��。當(dāng)主機計算機101要求引導(dǎo)使能結(jié)構(gòu)的給定的塊或任何數(shù)據(jù)塊時�����,裝置的CPUll應(yīng)由駐留于存儲器14中的軟件提示以將請求的塊解密(例如,通過使用存儲于安全存儲器141中的加密數(shù)據(jù))�。
[0134]優(yōu)選地�,由于存儲器限制,網(wǎng)絡(luò)更新器15的駐留于安全存儲器上的部分應(yīng)僅占據(jù)安全存儲器的小于一半的大小�����。然而��,在理想情況下��,網(wǎng)絡(luò)更新器15的兩個部分均應(yīng)占據(jù)盡可能少的存儲器�����。例如����,對于各部分使用小于64ko的網(wǎng)絡(luò)更新器15的一些實現(xiàn)已被成功測試。
[0135]裝置10的連接接口 12可例如為以下的類型:
[0136]通用串行總線或USB;
[0137]外部小計算機系統(tǒng)接口或SCSI ;
[0138]外部串行高級技術(shù)附件或SATA �;
[0139]火線;或
[0140]Thunderbo 11�����。
[0141]然而,更一般地��,它可以是允許計算機從外部裝置10引導(dǎo)的任何當(dāng)前或?qū)淼倪B接器��。另外�����,相同的接口 12可進一步允許用戶信任裝置與諸如卷軸機�、打印機或任何其它輸出裝置的任何外部裝置通信。
[0142]通常���,用戶信任裝置10可具有與存儲器耦合的處理手段(或計算手段����,即CPU)11����,諸如密碼處理器,該存儲器更一般地包含永久存儲器14和非永久存儲器(未示出)����。
[0143]在本文中,永久存儲器特別是存儲要由處理手段11執(zhí)行的計算機化方法,例如�����,以上提及的組成15��、16�����。
[0144]如果必要的話��,安全裝置具有用于讀取存儲于存儲卡(例如����,非安全存儲器142)或任何智能卡上的用戶證書的讀卡器���?�?赏ㄟ^這種數(shù)據(jù)�,例如�,存儲于卡上的用戶證書,安全地進行適當(dāng)?shù)氖褂?。特別地,可通過終端并使用這種數(shù)據(jù)在用戶(或者嚴格地說,裝置10)與第三方(例如��,服務(wù)器)之間建立值得信任的連接��。在變型中�����,用戶證書可直接存儲于安全裝置上�。也可提供其它的接口(類似于控制按鈕和顯示器)以允許與用戶進行交互。
[0145]已經(jīng)參照附圖簡要描述了以上的實施例��,并且實施例可存在大量的變型�。可以設(shè)想以上的特征的組合��。在下一節(jié)中給出例子���。
[0146]2.特定實施例/技術(shù)實現(xiàn)細節(jié)
[0147]現(xiàn)在討論組合數(shù)個在前一節(jié)中討論的可選特征的特定實施例�����。參照圖4重新描述本實施例:
[0148]—步驟SI�����,設(shè)置安全裝置10�、PClOl和網(wǎng)絡(luò)165;
[0149]一步驟S2���,安全裝置10與PClOl連接����,PC被重啟�����;
[0150]—步驟S3:通過PClOl的B10S122檢測裝置10的引導(dǎo)加載器16 �����;
[0151]一步驟S3a:PC101從安全裝置10引導(dǎo)���;
[0152]一步驟S4,網(wǎng)絡(luò)更新器15被傳送到PClOl的存儲器����,由此,
[0153]〇步驟S5��,更新器15在PClOl處執(zhí)行;和
[0154]〇步驟S6�����,與B10S122進行交互���,以
[0155]〇步驟S7a��,初始化PC ()的網(wǎng)絡(luò)適配器124����,以便
[0156]〇步驟S7b���,啟動通過網(wǎng)絡(luò)165的通信����,由此���,通過PC
[0157]的網(wǎng)絡(luò)適配器�,服務(wù)器30被聯(lián)系����。要聯(lián)系的服務(wù)器由更新器15確定���。
[0158]一步驟SSa~8d,從連接數(shù)據(jù)開始�,數(shù)據(jù)被傳送回裝置10,使得建立服務(wù)器30與裝置10之間的端對端連接�����。同時�����,更新器仍然是活動的�,代表裝置10將數(shù)據(jù)轉(zhuǎn)送到服務(wù)器和代表服務(wù)器將數(shù)據(jù)轉(zhuǎn)送到安全裝置?���?衫鐚崿F(xiàn)以下的認證方案:
[0159]〇例如��,通 過執(zhí)行握手���,認證服務(wù)器并且可能認證客戶機��;
[0160]〇確定新的裝置固件或軟件更新��,其可由服務(wù)器管理員確定���,或者通過使用戶決定通過更新器在PC上或者通過安全裝置的一些I/O機構(gòu)在安全裝置上而被確定�����;
[0161]一步驟S8d����,完成從服務(wù)器到客戶機的更新的傳送���,并且�,在裝置10的存儲器(永久或非永久)上存儲更新�;
[0162]一此時,另一更新可被啟動(意味著返回步驟S7����,或者,如果要從不同的服務(wù)器執(zhí)行更新�����,則甚至返回S6)�,否則連接關(guān)閉��。
[0163]一然后�����,在步驟S9��,安全裝置將它接收的數(shù)據(jù)解封���,并且,根據(jù)它如何被傳送(SSL���、clear等)�,它執(zhí)行完整性檢查��。裝置將解封的數(shù)據(jù)復(fù)制到可由安全裝置10 (例如��,其固件)的裝置軟件安全地控制的(非易失性)存儲器中�,由此在裝置10處執(zhí)行更新����;[0164]〇注意,假設(shè)適當(dāng)?shù)木砘貦C構(gòu)在適當(dāng)位置�,步驟S9實際上可與啟動另一更新并行地實施�,或者在此另一更新正被傳送到裝置中的同時實施���。雖然當(dāng)前的用戶信任裝置典型地確實不具有足夠的計算能力來并行地完成這一點�,但允許這種功能的方案當(dāng)前正在測試���;
[0165]〇另外��,裝置可在更新已被下載之后在各種階段重新引導(dǎo)��。如果裝置重新引導(dǎo)��,那么����,下載的數(shù)據(jù)如果存儲于非安全存儲器上則可能必須被重新驗證�����。
[0166]注意���,可以在接收到更新之后的任何時間執(zhí)行步驟S9���。如果沒有完成傳送�,那么固件更新可能不能完成并且必須重啟�。裝置可在各種步驟、即(在裝置處)更新期間的任何點重新引導(dǎo)��,以確保干凈狀態(tài)(例如���,在新的固件已被接收到之后�,并且�����,如果緩沖器-存儲器跨越重新引導(dǎo)是非易失性的)�����。一旦更新已被接收到�,計算機就仍然可能是需要的,即���,向安全裝置提供電力(如果安全裝置不自供電)�,或者�����,如果安全裝置具有其自身的電池��,則不需要向安全裝置提供電力�����。
[0167]另外��,作為使用PClOl的網(wǎng)絡(luò)功能的替代��,也可使用計算機101的其它部件(提供存儲)����,以提供固件更新(雖然較不實際)。
[0168]并且��,注意����,原則上,如果裝置能夠承載其自身的網(wǎng)絡(luò)裝置驅(qū)動器(這不是根據(jù)本發(fā)明的)�����,則可省略與BIOS的交互。而在這種情況下��,只有配備網(wǎng)卡(對于該網(wǎng)卡���,在安全裝置上存在裝置驅(qū)動器)的那些計算機才可用于更新該裝置�,這會是更不實際的���。
[0169]裝置通過允許從所述裝置引導(dǎo)PC的任何連接設(shè)施與PC連接����。根據(jù)所選擇的連接器�,更窄或更寬的范圍的計算機可能是有用的(例如,USB���、火線��、eSATA�、等)����。
[0170]如上面提到的那樣,可以設(shè)想不同的應(yīng)用:主要關(guān)注的是諸如銀行裝置����、安全引導(dǎo)或安全存儲裝置等的安全裝置�。尤其關(guān)注是如下這樣的裝置����,即該裝置中的哪一個要成為主機計算機���、或者主機計算機可能無論如何都要從該裝置中的哪一個被引導(dǎo)以例如創(chuàng)建安全計算環(huán)境��。但是�����,可通過相同的機制更新更寬類型的裝置�,在這種情況下����,可能能夠省略諸如握手、完整性驗證等的安全機制��。
[0171]雖然已參照有限數(shù)量的實施例�����、變型和附圖描述了本發(fā)明,但本領(lǐng)域技術(shù)人員可以理解��,在不背離本發(fā)明的范圍的情況下�����,可提出各種變化�,并且可以替代等同物。特別地�,在不背離本發(fā)明的范圍的情況下,在給出的實施例�����、變型中陳述的或者在附圖中示出的特征(裝置類或方法類)可與另一實施例���、變型或附圖中的另一特征組合或者替代它�����。因此�,可以設(shè)想關(guān)于以上的實施例或變型中的任一個描述的特征的各種組合���,這些組合仍處于所附的權(quán)利要求的范圍內(nèi)�。另外,在不背離本發(fā)明的范圍的情況下�,可進行許多小的修改以使特定的情況適于本發(fā)明的教導(dǎo)。因此�����,本發(fā)明不限于公開的特定的實施例�,而本發(fā)明將包含落入所附的權(quán)利要求的范圍內(nèi)的所有實施例�����。另外����,可以設(shè)想以上沒有明確提到的許多變型。例如��,安全裝置可通過太陽電池或者任何其它適當(dāng)?shù)碾姵氐缺还╇?����。并且��,這里描述的計算機化方法可根據(jù)它們的主要功能被分類:使得計算機101能夠從外部裝置10開始引導(dǎo)��;并啟動通過網(wǎng)絡(luò)的通信。出于簡化描述的原因�����,這些主要功能被描述為被分配給各模塊15�����、
16�。但是,可通過分布于一個或更多個模塊上的相同的功能等同地描述本發(fā)明的實施例�����,每個模塊具有這些功能中的不同功能�����。例如����,引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)16和網(wǎng)絡(luò)適配器15可被視為單個模塊,該模塊可能被稱為“引導(dǎo)加載器”�,而仍執(zhí)行與這里另外描述的功能相同的功能。
[0172]附圖標記列表[0173]10安全裝置
[0174]11安全裝置的CPU
[0175]12連接接口
[0176]13加密數(shù)據(jù)
[0177]14永久存儲器
[0178]15網(wǎng)絡(luò)更新器
[0179]151網(wǎng)絡(luò)更新器的第一部分
[0180]152網(wǎng)絡(luò)更新器的第二部分
[0181]16引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)(引導(dǎo)加載器)
[0182]30服務(wù)器
[0183]100一般計算機化系統(tǒng)
[0184]101主機計算機(PC)
[0185]105處理器
[0186]110存儲器
[0187]111操作系`統(tǒng)(Os)
[0188]115存儲器控制器
[0189]122主機計算機的固件(BIOS)
[0190]124 網(wǎng)卡
[0191]125顯示器控制器
[0192]130顯示器
[0193]141安全存儲器
[0194]142非安全存儲器
[0195]145I/O裝置(或外設(shè))
[0196]150鍵盤
[0197]155鼠標
[0198]165網(wǎng)絡(luò)
【權(quán)利要求】
1.一種用戶信任裝置(10)�,包括: 連接接口(12)��,能夠?qū)崿F(xiàn)與主機計算機(101)的連接(S2);和 永久存儲器(14)��,存儲引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)(16)和網(wǎng)絡(luò)更新器(15)���, 其中,網(wǎng)絡(luò)更新器(15)被配置為在主機計算機(101)處執(zhí)行的情況下與主機計算機的固件(122)進行交互以啟動通過能夠與主機計算機連接的網(wǎng)絡(luò)(165)的通信�����,并且���, 引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)(16)能夠在用戶信任裝置(10)與所述主機計算機(101)連接的情況下被固件(122)檢測; 引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)(16)使得主機計算機(101)能夠從用戶信任裝置(10)引導(dǎo)���,所述引導(dǎo)優(yōu)選地按照引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)的數(shù)據(jù)結(jié)構(gòu)進行�;和 引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)(16)包含用于固件(122)的如下指令�����,該指令在主機計算機從用戶信任裝置引導(dǎo)的情況下啟動所述網(wǎng)絡(luò)更新器(15)到主機計算機(101)上的傳送以供隨后在主機計算機(101)處執(zhí)行���。
2.根據(jù)權(quán)利要求1的用戶信任裝置(10)����,其中,所述網(wǎng)絡(luò)更新器被配置為在所述主機計算機處執(zhí)行的情況下與主機計算機的所述固(122)進行交互�����,以隨后與主機計算機(101)的網(wǎng)卡(124)進行交互��,以便啟動由所述網(wǎng)卡(124)使能的通過所述網(wǎng)絡(luò)的所述通?目�����。
3.根據(jù)權(quán)利要求1或2的用戶信任裝置(10)����,其中,網(wǎng)絡(luò)更新器(15)包含對于在啟動所述通過網(wǎng)絡(luò)的通信的情況下要聯(lián)系的服務(wù)器(30)的參照��。
4.根據(jù)權(quán)利要求1�、2或3的用戶信任裝置(10),其中���,所述用戶信任裝置不包含網(wǎng)卡����。`
5.根據(jù)權(quán)利要求1~4中的任一項的用戶信任裝置(10),其中����,所述永久存儲器包含: 安全存儲器(141 ),在安全存儲器(141)上存儲網(wǎng)絡(luò)更新器(15)的第一部分(151);和 非安全存儲器(142)�,在非安全存儲器(142)上存儲網(wǎng)絡(luò)更新器(15)的第二部分(152)。
6.根據(jù)權(quán)利要求5的用戶信任裝置(10)�,其中,網(wǎng)絡(luò)更新器(15)的第二部分以加密的方式駐留于非安全存儲器上���,相應(yīng)的加密密鑰(13)存儲于安全存儲器上�����。
7.根據(jù)權(quán)利要求5或6的用戶信任裝置(10)���,其中�����,網(wǎng)絡(luò)更新器(15)的第二部分占據(jù)安全存儲器的小于一半的大小��,所述存儲器大小優(yōu)選小于等于256ko���、更優(yōu)選小于等于128ko�。
8.根據(jù)權(quán)利要求1~7中的任一項的用戶信任裝置(10),其中����,所述網(wǎng)絡(luò)更新器被配置為在主機計算機處執(zhí)行的情況下與主機計算機的固件(122)進行交互,以啟動所述通信����,所述固件(122)是以下中的一個: BIOS,優(yōu)選具有 PXE BIOS �; 可擴展固件接口(EFI) BIOS ;或 統(tǒng)一可擴展固件接口(UEFI) BIOS。
9.根據(jù)權(quán)利要求1~8中的任一項的用戶信任裝置(10)�����,其中����,所述連接接口(12)是以下類型中的一種: 通用串行總線或USB; 外部小計算機系統(tǒng)接口或SCSI ; 外部串行聞級技術(shù)附件或SATA ���;火線��;或 Thunderbolt��。
10.一種系統(tǒng)(1)�����,包括: 根據(jù)前面的權(quán)利要求中的任一項的用戶信任裝置(10); 在啟動通過網(wǎng)絡(luò)的通信的情況下要被聯(lián)系的服務(wù)器(30)����,用戶信任裝置(10)的網(wǎng)絡(luò)更新器(15)包含對于所述服務(wù)器(30)的參照;和優(yōu)選地���,主機計算機(101)���。
11.一種用于啟動根據(jù)權(quán)利要求1~9中的任一項的用戶信任裝置(10)與網(wǎng)絡(luò)之間的通信的方法,用戶信任裝置(10)能夠與主機計算機(101)連接����,所述主機計算機能夠與所述網(wǎng)絡(luò)連接,該方法包括: 使用戶信任裝置(10)的引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)被主機計算機(101)的固件(122)檢測(S3)�����,以便使得主機計算機(101)從用戶信任裝置(10)引導(dǎo)(S3a)����,從而, 隨后傳送(S4)網(wǎng)絡(luò)更新器(15)到主機計算機(101)處�,諸如使網(wǎng)絡(luò)更新器(15)在主機計算機(101)處執(zhí)行(S5)并與固件進行交互(S6),以啟動(S7��、S7a����、S7b)通過所述網(wǎng)絡(luò)的所述通信。
12.根據(jù)權(quán)利要求11的方法��,還包括: 導(dǎo)致所述網(wǎng)絡(luò)更新器(15)與主機計算機的所述固件進行交互(S6)��,以隨后與主機計算機(101)的網(wǎng)卡進行交互(S7a)�,以便啟動(S7b)由所述網(wǎng)卡使能的通過所述網(wǎng)絡(luò)的所述`通信。
13.根據(jù)權(quán)利要求11或12的方法�,還包括: 在啟動通過所述網(wǎng)絡(luò)的所述通信的情況下,聯(lián)系(S7c)由網(wǎng)絡(luò)更新器(15)參照的服務(wù)器(30)���。
14.根據(jù)權(quán)利要求13的方法�,還包括: 從服務(wù)器(30)向用戶信任裝置(10)傳送(S8��、S8a~S8d)數(shù)據(jù)����,所述數(shù)據(jù)優(yōu)選為用戶信任裝置(10)固件更新�����; 在用戶信任裝置(10)的優(yōu)選為永久存儲器的存儲器(14)上存儲(S8d)所述被傳送的數(shù)據(jù)����;和 優(yōu)選根據(jù)在用戶信任裝置(10)的存儲器上存儲的被傳送的數(shù)據(jù)更新(S9)用戶信任裝置(10)的軟件��。
15.一種用于啟動用戶信任裝置(10)與網(wǎng)絡(luò)(165)之間的通信的設(shè)備��,該設(shè)備包括承載有引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)(16)和網(wǎng)絡(luò)更新器(15)的計算機可讀存儲介質(zhì)�����,其中����, 網(wǎng)絡(luò)更新器(15)被配置為在主機計算機(101)處執(zhí)行的情況下與主機計算機的固件(122)進行交互,以啟動通過能夠與主機計算機連接的網(wǎng)絡(luò)(165)的通信���,并且�, 引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)(16)能夠在用戶信任裝置(10)與所述主機計算機(101)連接的情況下被固件(122)檢測�����; 引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)(16)使得主機計算機(101)能夠從用戶信任裝置(10)引導(dǎo)��,所述引導(dǎo)優(yōu)選地按照引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)的數(shù)據(jù)結(jié)構(gòu)進行��;和 引導(dǎo)使能數(shù)據(jù)結(jié)構(gòu)(16)包含用于固件(122)的如下指令�����,該指令在主機計算機從用戶信任裝置引導(dǎo)的情況下啟動到主機計算機(10)上的所述網(wǎng)絡(luò)更新器(15)的傳送以供隨后在主機計算機(101)處執(zhí)行���。`
【文檔編號】G06F21/74GK103870302SQ201310629639
【公開日】2014年6月18日 申請日期:2013年11月29日 優(yōu)先權(quán)日:2012年12月14日
【發(fā)明者】T·格施溫德, F·赫林, M·P·庫珀-哈蒙德 申請人:國際商業(yè)機器公司