專利名稱:將數(shù)字簽名嵌入到數(shù)字有效負荷中的制作方法
背景本發(fā)明通常涉及從一個基于處理器的系統(tǒng)被發(fā)送給另一個的數(shù)字有效負荷的認證����。
數(shù)字簽名是基于加密的個人認證方法和被用于“簽署(signing)”電子文檔的保密授權碼���。包括流數(shù)據(jù)的數(shù)字形式的電子文檔����、文件或其它電子數(shù)據(jù)可被稱為有效負荷��。當有效負荷從一個基于處理器的系統(tǒng)被發(fā)送給另一個時���,產(chǎn)生了關于有效負荷是否為被授權的有效負荷的問題�����。
當有效負荷未被授權時可引起多種情況�����。在一種情況下����,為了一些不正當?shù)哪康模词跈嗟牡谌娇赡茉噲D獲得對基于處理器的接收系統(tǒng)的訪問�����。在另一種情況下�����,為了不正當?shù)哪康?��,基于處理器的接收系統(tǒng)的擁有者可能試圖使用另一個基于處理器的系統(tǒng)來訪問其自己的基于處理器的系統(tǒng)以變更其自己的基于處理器的系統(tǒng)上的軟件。這樣����,可能理想的是需要在給定的基于處理器的系統(tǒng)中接收的任何有效負荷上的數(shù)字簽名的存在�。
在其中可能理想的是需要有效負荷的認證的系統(tǒng)的一個實例是有從另一個基于處理器的系統(tǒng)如服務器接收更新軟件的多個基于處理器的客戶的網(wǎng)絡�。由客戶接收的軟件更新可能未經(jīng)授權的可能性是存在的。例如��,某人可能正通過提供有效打開(open up)客戶以由第三方訪問的軟件而試圖不正當?shù)孬@得對客戶的訪問�����。其中這可能是問題的情形的實例包括實施電視分發(fā)的系統(tǒng)����、在被限制的基礎上提供對資源的訪問的系統(tǒng)和允許在受限的情況下對電子文件的訪問的系統(tǒng)。在每種情況下�����,如果未授權方試圖改變加強對客戶的控制的軟件����,則被嵌入客戶的訪問或計費控制可被繞開。
可能理想的是控制客戶操作的方式的又另一種情形是與所謂的MP3播放器連接�。MP3播放器依照MPEG-1、第3層標準(可從國際標準化組織得到的移動畫面專家組-1�,ISO/IEC 11172-3和ISO/IEC13818-3(1993))來播放數(shù)字文件。在一些應用中,可能理想的是限制用戶下載電子文件而不付費的能力��。例如��,可能理想的是需要用戶支付費用以在互聯(lián)網(wǎng)上訪問音樂���。這種按下載支付的政策可由MP3播放器本身內的軟件來加強����。這樣��,有人可能通過提供未授權的軟件更新給MP3播放器而試圖繞開這種軟件���。
數(shù)字簽名軟件可涉及公共密鑰算法的使用����?��?墒褂盟饺嗣荑€以創(chuàng)建安全數(shù)字簽名來加密電子文檔。在其它情況下�����,不同的算法被用于不能被用于加密的數(shù)字簽名。用戶用私人密鑰來加密文檔��,由此簽署該文檔��。文檔然后被發(fā)送給另一個基于處理器的系統(tǒng)�����,在那里用用戶提供的公共密鑰來解密它���,由此校驗簽名��。這樣��,用于描述的密鑰分離于所簽署的文檔而被獲得����。
一旦有效負荷已被校驗���,其然后可不受損害地被用于基于處理器的接收系統(tǒng)中�����。在各種情況下�,可能理想的是確保在被接收時未受破壞的有效負荷在其后的所有時間是未受破壞的。
這樣�,需要較好的方式來提供結合有效負荷的數(shù)字簽名。
附圖簡述
圖1是本發(fā)明一個實施例的方塊圖描述�;圖2是依照本發(fā)明的一個實施例用于將有效負荷和數(shù)字簽名捆綁在一起的軟件的流程圖;以及圖3是依照本發(fā)明的一個實施例可被用于將數(shù)字簽名應用于有效負荷的軟件的流程圖�。
詳述如圖1中所示,基于處理器的接收系統(tǒng)10可從基于處理器的發(fā)送系統(tǒng)56接收有效負荷�����?���;谔幚砥鞯慕邮?0和發(fā)送56系統(tǒng)可以是分級或對等網(wǎng)絡的一部分。在一個實施例中�,發(fā)送系統(tǒng)56可以是服務器而接收系統(tǒng)10可以是客戶。作為幾個實例���,可通過硬連線連接��、網(wǎng)絡連接如局域網(wǎng)(LAN)或互聯(lián)網(wǎng)連接��、電話連接或無線連接來耦合系統(tǒng)10和56��。
發(fā)送系統(tǒng)56將經(jīng)簽署的有效負荷提供給接收系統(tǒng)10�����。有效負荷可以是由接收系統(tǒng)10使用的電子文檔���。作為一個實例,發(fā)送系統(tǒng)5 6可提供經(jīng)簽署的軟件更新給接收系統(tǒng)10�。
在本發(fā)明的一些實施例中,重要的是確保被提供給接收系統(tǒng)10的有效負荷是真實的(authentic)并且在接收系統(tǒng)10上在有效壽命中一直保持未受破壞�。
在本發(fā)明的一個實施例中,接收系統(tǒng)10是MP3播放器���。就是說��,它是能接收并播放MP3文件形式的數(shù)字音樂文件的便攜裝置����。然而��,本發(fā)明可用于各種各樣的基于處理器的系統(tǒng)應用而決不局限于MP3播放器�����。
在一個實施例中�����,系統(tǒng)10可包括被耦合于北橋14的處理器12。在一個實施例中�����,北橋14耦合于總線18和系統(tǒng)存儲器16�����。在該實施例中����,總線18可被耦合于耦合于顯示器22的顯示控制器20。在MP3播放器應用中����,作為一個實例,顯示器22可以是小液晶顯示器�。
在一個實施例中,總線18亦可耦合于音頻加速器24和編碼器/解碼器或編解碼器26��。編解碼器26可驅動可被耦合于內部或外部揚聲器32的聲音系統(tǒng)30����。在MP3播放器的情況下����,外部揚聲器32可被耦合于系統(tǒng)10�。
在一個實施例中��,編解碼器26和總線18可被耦合于南橋34����。在該實施例中,閃存36可被利用����。然而,包括硬盤驅動器的其它形式的存儲可能較適用于其它應用�����。在所示的實施例中�����,作為一個實例�����,閃存36存儲軟件38、音樂文件40�����、軟件系統(tǒng)42和備份軟件系統(tǒng)44�。
在一個實施例中,南橋34被耦合于總線46�����。在該實施例中�,總線46可被耦合于串行輸入/輸出(SIO)裝置48,該裝置又耦合于控制50和接口52����。控制50可接收用戶輸入����。接口52提供了到遠距離的、基于處理器的發(fā)送系統(tǒng)56的連接�����,該系統(tǒng)在一個實施例中可以是基站。舉幾個實例��,接口52和系統(tǒng)56之間的連接可以是網(wǎng)絡連接�、硬連線連接、通用串行總線連接或無線連接����。
可通過接口52從系統(tǒng)56接收有效負荷。系統(tǒng)56可將軟件存儲于存儲58中�。常規(guī)上系統(tǒng)56是基于處理器的系統(tǒng)����。
亦被耦合于總線46的是基本輸入/輸出系統(tǒng)(BIOS)存儲54。各種其它部件可被包括����,并且其它體系結構可被用于各種不同的實施例。
接下來轉到圖2���,軟件60可被存儲在基于處理器的發(fā)送系統(tǒng)56的存儲58上����,該系統(tǒng)在一些實施例中可起到基站的作用����。軟件60可負責創(chuàng)建數(shù)字文件�,包括有數(shù)字簽名的有效負荷�。在一個實施例中,以這種方式���,有效負荷和數(shù)字簽名可被集成以使每次利用有效負荷時�����,可使用所集成的數(shù)字簽名來自動認證它�。
如在方塊62中所示�,軟件60最初接收可執(zhí)行的二進制數(shù)據(jù)。作為一個實例��,可執(zhí)行的二進制數(shù)據(jù)可以是用于基于處理器的系統(tǒng)10的軟件更新���。如在方塊64中所示�,系統(tǒng)56為可執(zhí)行的二進制數(shù)據(jù)以及數(shù)字簽名而創(chuàng)建文件����。每個文件被創(chuàng)建為與可執(zhí)行的二進制數(shù)據(jù)的大小以及預期的數(shù)字簽名大小相等的大小。在一些實施例中��,文件大小可被上舍入為特定數(shù)量的字節(jié)。
然后為可執(zhí)行的二進制數(shù)據(jù)來創(chuàng)建數(shù)字簽名��。數(shù)字簽名是為文件中的數(shù)據(jù)減去一旦完成則數(shù)字簽名將進行的位而創(chuàng)建的����。任何技術可被用于創(chuàng)建數(shù)字簽名,包括使用用于加密的公共密鑰和私人密鑰�。可替換的是��,不同的算法可被用于創(chuàng)建數(shù)字簽名并加密基礎數(shù)據(jù)��。
如在方塊68中所示���,數(shù)字簽名被附加于適當尺寸的先前所創(chuàng)建的文件內的可執(zhí)行二進制數(shù)據(jù)。在適當?shù)臅r間�����,包括所集成的數(shù)字信號和可執(zhí)行的二進制數(shù)據(jù)的合成文件可從系統(tǒng)56被傳遞到系統(tǒng)10����。
在系統(tǒng)10中,可使用軟件38來解開所簽署的文件�����。作為一個實例,文件可通過接口52在可使用有線或無線連接的適當?shù)耐ㄐ沛溄由媳唤邮?。舉幾個實例,接口52可以是網(wǎng)絡接口卡���、調制解調器�����、無線接口或通用串行總線集線器�����。
如在方塊70中所示��,在系統(tǒng)10中�����,軟件38接收并存儲包括有效負荷和數(shù)字簽名的經(jīng)簽署的數(shù)字文件�。如在菱形72中所確定的�,系統(tǒng)10下一次引導時,簽名被自動應用于可執(zhí)行二進制數(shù)據(jù)��,如在方塊74中所示。換句話說�����,每次需要使用有效負荷和可執(zhí)行的二進制數(shù)據(jù)時�,數(shù)字簽名被應用。這意味著如果由于任何原因有效負荷變得受破壞����,即使接收時是未受破壞的,這種不破壞在引導過程中亦被檢測�����。
如在菱形76中所確定的��,如果在給定的引導操作中����,當與可執(zhí)行的二進制數(shù)據(jù)雜混(hash)在一起時數(shù)字簽名顯示出可靠性�,則可通過執(zhí)行可執(zhí)行的二進制數(shù)據(jù)而形成映像,如方塊78中所示�����。這樣,作為一個實例�,只要通過使用數(shù)字簽名而重復確定有效負荷是真實的,則每次系統(tǒng)10引導時軟件更新可被重復加載�。之后,如方塊80中所示�����,引導過程繼續(xù)進行��。
在一個實施例中�,在菱形76處,如果由于某些原因有效負荷被確定為受破壞���,則如方塊82中所示�,有效負荷被立即刪除���。在本發(fā)明的一個實施例中����,新的有效負荷從不替換現(xiàn)有軟件���。相反����,每次系統(tǒng)引導時,有效負荷上的簽名被檢查���,并且如果是未受破壞的���,則新的有效負荷代替現(xiàn)有軟件而運行。如果真實性被否定���,則新的有效負荷被自動刪除���,如在方塊82中所示。在此情況下��,如在方塊84中所示���,現(xiàn)有軟件被自動加載�����,并且根據(jù)方塊80,引導過程繼續(xù)進行���。
如果有效負荷和現(xiàn)有軟件都是受破壞的���,則在一個實施例中���,系統(tǒng)10可進入等待狀態(tài)。在此情況下�,系統(tǒng)10僅等待以便于替換軟件而不引導。
在本發(fā)明的一個實施例中�����,用于數(shù)字簽名的密鑰被應用于相當于有效負荷或更新軟件的整個映像的整個可執(zhí)行二進制����。
在涉及MP3播放器的應用中,有效負荷可基于每個引導序列而被檢查��。這減小了軟件可在任何時間變得受破壞使用戶能獲得諸如數(shù)字音樂文件的文件并能使用這些文件無需經(jīng)歷適當?shù)氖掷m(xù)的可能性����,由此。在一些情況下���,這些手續(xù)可包括訪問用于下載音樂文件的計費���。
在一些實施例中�����,通過將簽名結合于經(jīng)簽署的數(shù)據(jù)�����,數(shù)字簽名技術的領域和應用可被簡化�����。由于數(shù)字簽名被結合于欲認證簽名的有效負荷����,創(chuàng)建了安全運行時間加載器�。在一個實施例中,如果識別出任何非真實的位�,所簽署的映像可被自動刪除。在一個實施例中�,系統(tǒng)因為它在每次引導時校驗所簽署的數(shù)據(jù)而是安全的。
盡管已參照有限數(shù)量的實施例描述了本發(fā)明�,本領域的技術人員將理解來自它們的諸多修改和變化。所附的權利要求旨在覆蓋屬于本發(fā)明真精神和范圍的所有這些修改和變化。
權利要求
1.一種方法�����,包括接收包括有效負荷和用于有效負荷的數(shù)字簽名的文件��;以及將數(shù)字簽名應用于有效負荷�。
2.權利要求1的方法����,其中接收文件包括在第一基于處理器的系統(tǒng)中接收由第二基于處理器的系統(tǒng)發(fā)送的文件。
3.權利要求1的方法����,其中接收文件包括接收軟件更新。
4.權利要求3的方法�����,其中接收軟件更新包括接收用于先前軟件版本的軟件更新并保留先前軟件版本����。
5.權利要求2的方法,其中應用數(shù)字簽名包括每次第一基于處理器的系統(tǒng)被引導時將數(shù)字簽名應用于有效負荷����。
6.權利要求1的方法�,還包括確定有效負荷是否真實�����。
7.權利要求6的方法��,其中如果有效負荷真實�����,則引導系統(tǒng)��。
8.權利要求6的方法�����,其中如果有效負荷不真實���,則刪除有效負荷�。
9.權利要求8的方法��,包括加載備份而不是有效負荷��。
10.權利要求1的方法,其中接收文件包括接收可執(zhí)行的二進制數(shù)據(jù)形式的有效負荷和將數(shù)字簽名應用于可執(zhí)行的二進制數(shù)據(jù)�。
11.一種產(chǎn)品,包括存儲指令的介質�����,所述指令使基于處理器的系統(tǒng)能進行接收包括有效負荷和用于有效負荷的數(shù)字簽名的文件��;以及將數(shù)字簽名應用于有效負荷����。
12.權利要求11的產(chǎn)品����,還存儲使第一基于處理器的系統(tǒng)能接收由第二基于處理器的系統(tǒng)發(fā)送的文件的指令。
13.權利要求11的產(chǎn)品�����,還存儲使基于處理器的系統(tǒng)能接收軟件更新的指令���。
14.權利要求13的產(chǎn)品����,還存儲使基于處理器的系統(tǒng)能接收用于先前軟件版本的軟件更新并保留先前軟件版本的指令。
15.權利要求12的產(chǎn)品����,還存儲每次第一基于處理器的系統(tǒng)被引導時使第一基于處理器的系統(tǒng)能將數(shù)字簽名應用于有效負荷的指令。
16.權利要求11的產(chǎn)品�,還存儲使基于處理器的系統(tǒng)能確定有效負荷是否真實的指令。
17.權利要求16的產(chǎn)品�����,還存儲如果有效負荷真實則使基于處理器的系統(tǒng)能引導的指令����。
18.權利要求16的產(chǎn)品,還存儲如果有效負荷不真實則使系統(tǒng)能刪除有效負荷的指令��。
19.權利要求18的產(chǎn)品��,還存儲使基于處理器的系統(tǒng)能加載備份代替有效負荷的指令���。
20.權利要求11的產(chǎn)品����,還存儲使基于處理器的系統(tǒng)能接收可執(zhí)行二進制數(shù)據(jù)形式的有效負荷和將數(shù)字簽名應用于可執(zhí)行二進制數(shù)據(jù)的指令����。
21.一種系統(tǒng)�����,包括處理器����;以及被耦合于所述處理器的存儲���,其存儲使系統(tǒng)能接收包括有效負荷和用于有效負荷的數(shù)字簽名的文件并自動將數(shù)字簽名應用于有效負荷的指令。
22.權利要求21的系統(tǒng)��,其中所述系統(tǒng)是MP3播放器�����。
23.權利要求21的系統(tǒng)��,其中所述系統(tǒng)被耦合以從第二基于處理器的系統(tǒng)接收文件��。
24.權利要求21的系統(tǒng)����,其中所述存儲存儲用于接收軟件更新的指令��。
25.權利要求24的系統(tǒng)����,其中所述存儲存儲使系統(tǒng)能接收用于先前軟件版本的軟件更新并保留先前軟件版本的指令�。
26.權利要求23的系統(tǒng),其中所述存儲存儲每次系統(tǒng)被引導時使系統(tǒng)能將數(shù)字簽名應用于有效負荷的指令��。
27.權利要求21的系統(tǒng)���,其中所述存儲存儲自動確定有效負荷是否真實的指令��。
28.權利要求27的產(chǎn)品���,其中所述存儲存儲如果有效負荷真實則使系統(tǒng)能引導的指令。
29.權利要求27的產(chǎn)品�����,其中所述存儲存儲如果有效負荷不真實則使有效負荷能被自動刪除的指令�����。
30.權利要求29的產(chǎn)品�,其中所述存儲存儲當有效負荷被刪除時自動加載備份代替有效負荷的指令����。
全文摘要
文件可從一個基于處理器的系統(tǒng)被傳遞給另一個�。文件可包括可執(zhí)行二進制數(shù)據(jù)以及所集成的數(shù)字簽名。每次基于處理器的接收系統(tǒng)引導時�,數(shù)字簽名被自動應用于有效負荷以確保其可靠性。如果在引導過程中文件被確定為受破壞���,它可被自動刪除并替換為可被維持在接收系統(tǒng)上的前身����。
文檔編號H04L9/32GK1502070SQ02803443
公開日2004年6月2日 申請日期2002年1月2日 優(yōu)先權日2001年1月3日
發(fā)明者R·P·曼戈爾德, E·B·辛, M·T·格羅斯, R P 曼戈爾德, 格羅斯, 辛 申請人:英特爾公司