本發(fā)明大體上涉及代碼認(rèn)證，特定來說涉及受控安全代碼認(rèn)證。

背景技術(shù)：

在實(shí)例情境中，方法經(jīng)實(shí)施來針對欺騙性操作的修改或攻擊而保護(hù)在裝置上執(zhí)行的代碼或程序。為了說明，在實(shí)例安全引導(dǎo)方法中，裝置中的處理器產(chǎn)生引導(dǎo)代碼的摘要且使用引導(dǎo)代碼的所存儲(chǔ)認(rèn)證簽名來確認(rèn)引導(dǎo)代碼的摘要。然而，此引導(dǎo)實(shí)施方案通過裝置的處理器在本地執(zhí)行，且因此受此本地處理器的性能、存儲(chǔ)裝置和安全性約束。因此，主機(jī)/客戶端網(wǎng)絡(luò)的安全性變得依賴于客戶端側(cè)的處理器系統(tǒng)的安全性。歸因于成本約束，本地安全引導(dǎo)的安全性可歸因于有限的計(jì)算能力或缺少對引導(dǎo)過程、操作存儲(chǔ)器和/或確認(rèn)密鑰的保護(hù)而受到限制。

技術(shù)實(shí)現(xiàn)要素：

本說明書描述用于受控安全代碼認(rèn)證的系統(tǒng)、方法、電路和計(jì)算機(jī)可讀媒體。在一個(gè)方面，一種方法包含：發(fā)射請求到客戶端裝置，請求包含對客戶端裝置的代碼的性質(zhì)的質(zhì)詢；接收對請求的響應(yīng)，響應(yīng)包括和代碼的性質(zhì)相關(guān)聯(lián)的信息；基于接收到的信息驗(yàn)證響應(yīng)的正確性；和基于響應(yīng)的正確性的驗(yàn)證，確定存儲(chǔ)在客戶端裝置內(nèi)的代碼是授權(quán)代碼。

一或多個(gè)所揭示實(shí)施方案的細(xì)節(jié)在以下附圖和描述中闡述。其它特征、方面和優(yōu)點(diǎn)將從描述、附圖和權(quán)利要求書變得顯而易見。

附圖說明

圖1是根據(jù)實(shí)例實(shí)施例的實(shí)例環(huán)境的框圖。

圖2a是根據(jù)實(shí)例實(shí)施例的包含執(zhí)行實(shí)例客戶端裝置的受控安全代碼認(rèn)證的實(shí)例主機(jī)裝置的實(shí)例系統(tǒng)的框圖。

圖2b是根據(jù)實(shí)例實(shí)施例的包含執(zhí)行實(shí)例客戶端裝置的受控安全代碼認(rèn)證的實(shí)例主機(jī)裝置的另一實(shí)例系統(tǒng)的框圖。

圖3是根據(jù)實(shí)例實(shí)施例的實(shí)例過程的流程圖，主機(jī)裝置通過所述過程可執(zhí)行客戶端裝置的安全代碼認(rèn)證。

圖4是根據(jù)實(shí)例實(shí)施例的實(shí)例過程的流程圖，主機(jī)裝置通過所述過程可執(zhí)行多個(gè)客戶端裝置的安全代碼認(rèn)證。

具體實(shí)施方式

系統(tǒng)概述

圖1是根據(jù)實(shí)施方案的實(shí)例環(huán)境100的框圖。出于說明的目的，環(huán)境100包含具有主機(jī)裝置112和“n”個(gè)客戶端裝置116a到116n的系統(tǒng)110。主機(jī)裝置112通過網(wǎng)絡(luò)114和客戶端裝置116a到116n通信，所述網(wǎng)絡(luò)114可為(例如)系統(tǒng)110的局域網(wǎng)絡(luò)。然而，應(yīng)注意，本技術(shù)不限于局域網(wǎng)絡(luò)的實(shí)施方案；事實(shí)上，網(wǎng)絡(luò)可不同于局域網(wǎng)絡(luò)，例如，可為廣域網(wǎng)絡(luò)或受控區(qū)域網(wǎng)路(can)。另外，網(wǎng)絡(luò)114可為有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)或其任何組合。主機(jī)裝置112經(jīng)配置以確認(rèn)存儲(chǔ)在客戶端裝置中的代碼或程序是否為授權(quán)(或認(rèn)證)代碼以供客戶端裝置116a到116n執(zhí)行?？蛻舳搜b置的代碼包含引導(dǎo)代碼或操作代碼中的至少一者。引導(dǎo)代碼經(jīng)配置以在被執(zhí)行時(shí)使客戶端裝置執(zhí)行引導(dǎo)操作。操作代碼經(jīng)配置以在被執(zhí)行時(shí)使客戶端裝置執(zhí)行對應(yīng)于操作代碼的操作。

在一些情況下，歸因于(例如)受約束成本，客戶端裝置116a到116n是不安全的或缺乏安全性。攻擊者可攻擊客戶端裝置(例如)以出于欺騙性目的修改客戶端裝置116a到116n上的代碼。在一個(gè)實(shí)例中，攻擊者修改存儲(chǔ)在不安全客戶端裝置內(nèi)的引導(dǎo)代碼來在無認(rèn)證的情況下重新引導(dǎo)戶端裝置。在另一實(shí)例中，攻擊者修改存儲(chǔ)在不安全客戶端裝置內(nèi)的操作代碼來改變通過客戶端裝置執(zhí)行的操作。為了解決這些安全性問題，主機(jī)裝置112經(jīng)配置以執(zhí)行客戶端裝置116a到116n的受控安全代碼認(rèn)證，如本文中參考圖3和4所論述。

在一些實(shí)施方案中，主機(jī)裝置112將包含對存儲(chǔ)在客戶端裝置內(nèi)的代碼的性質(zhì)(例如，代碼的摘要、代碼的簽名或代碼的消息認(rèn)證代碼(mac))的質(zhì)詢的請求發(fā)送到客戶端裝置。在一些實(shí)例中，主機(jī)裝置112請求代碼的摘要?？蛻舳搜b置產(chǎn)生存儲(chǔ)在客戶端裝置內(nèi)的代碼的摘要。在一項(xiàng)實(shí)施例中，客戶端裝置發(fā)送所產(chǎn)生的摘要到主機(jī)裝置。主機(jī)裝置112使用對應(yīng)于存儲(chǔ)在客戶端裝置內(nèi)的代碼的授權(quán)代碼的信息(例如，代碼的認(rèn)證簽名，如原始設(shè)備制造商(oem)簽名)來驗(yàn)證所產(chǎn)生的摘要。在另一實(shí)施例中，客戶端裝置中的安全性模塊基于所產(chǎn)生的摘要和存儲(chǔ)在安全性模塊中的私有密鑰計(jì)算簽名，且將簽名發(fā)送到主機(jī)裝置112。主機(jī)裝置112接著基于授權(quán)代碼和/或?qū)?yīng)于私有密鑰的公共密鑰的信息驗(yàn)證簽名。

基于驗(yàn)證結(jié)果，主機(jī)裝置112確定存儲(chǔ)在客戶端裝置內(nèi)的代碼是否為客戶端裝置的授權(quán)(或認(rèn)證)代碼。在一些實(shí)施方案中，主機(jī)裝置112和客戶端裝置之間存在安全性策略。例如，如果客戶端裝置116a上的代碼經(jīng)授權(quán)，那么主機(jī)裝置112允許客戶端裝置116a使用代碼或使用授權(quán)密鑰執(zhí)行操作?；蛘撸鳈C(jī)裝置112允許客戶端裝置116a存取網(wǎng)絡(luò)102。如果操作代碼通過主機(jī)裝置112被確定為未授權(quán)，那么主機(jī)裝置112禁止客戶端裝置116a存取網(wǎng)絡(luò)102(即，將客戶端裝置116a和外側(cè)環(huán)境隔離)和/或發(fā)送警告或通知到和系統(tǒng)110相關(guān)聯(lián)的實(shí)體。主機(jī)裝置112還可通知實(shí)體或客戶端裝置116a更新存儲(chǔ)在客戶端裝置116a內(nèi)的代碼。以此方式，欺騙性操作被最小化或消除，且對客戶端裝置116a的操作的安全性得以改善。

在一些實(shí)施方案中，主機(jī)裝置112發(fā)送代碼的質(zhì)詢和簽名到客戶端裝置。質(zhì)詢請求存儲(chǔ)在客戶端裝置內(nèi)的代碼的摘要。在一些實(shí)例中，簽名是代碼的認(rèn)證簽名，例如，oem簽名。在一些實(shí)例中，基于代碼和私有密鑰通過主機(jī)裝置112產(chǎn)生簽名。客戶端裝置基于存儲(chǔ)在客戶端裝置內(nèi)的代碼計(jì)算摘要?？蛻舳搜b置的安全性模塊可產(chǎn)生摘要的簽名且用自主機(jī)裝置112接收的認(rèn)證簽名確認(rèn)所產(chǎn)生的簽名。安全性模塊可使用對應(yīng)于主機(jī)裝置112中的私有密鑰的公共密鑰產(chǎn)生摘要的簽名。如果所產(chǎn)生的簽名得以確認(rèn)，那么在一個(gè)實(shí)例中，安全性模塊例如經(jīng)由耦合到客戶端裝置的引腳啟用客戶端裝置；在另一實(shí)例中，安全性模塊允許客戶端裝置使用認(rèn)證密鑰以和主機(jī)裝置112通信。如果所產(chǎn)生的簽名是無效的，那么安全性模塊禁止客戶端裝置引導(dǎo)或執(zhí)行對應(yīng)于代碼的操作。安全性模塊還可隔離客戶端裝置而不能存取網(wǎng)絡(luò)114。

在一些實(shí)施方案中，主機(jī)裝置112是相較于客戶端裝置116a到116n具有較大安全能力的可信或安全裝置，如參考圖2所論述。例如，主機(jī)裝置112包含對客戶端裝置116a到116n不可用的安全存儲(chǔ)器和/或隨機(jī)數(shù)產(chǎn)生器。在一項(xiàng)實(shí)施例中，客戶端裝置116a到116n不具有包含安全存儲(chǔ)器和/或隨機(jī)數(shù)產(chǎn)生器的能力。在另一實(shí)施例中，客戶端裝置116a到116n無法存取遠(yuǎn)程安全存儲(chǔ)器和/或隨機(jī)數(shù)產(chǎn)生器。主機(jī)裝置112針對各客戶端裝置接收(例如，從遠(yuǎn)程服務(wù)器)且存儲(chǔ)和一或多個(gè)授權(quán)代碼(例如，oem引導(dǎo)代碼和/或操作代碼)相關(guān)聯(lián)的安全存儲(chǔ)信息。信息包含整個(gè)授權(quán)代碼的代碼圖像、授權(quán)代碼的簽名、授權(quán)代碼的摘要、授權(quán)代碼的mac或授權(quán)代碼的其它性質(zhì)中的一或多者。在一些實(shí)施例中，主機(jī)裝置112存儲(chǔ)授權(quán)代碼的經(jīng)選擇部分的性質(zhì)以用于安全代碼認(rèn)證。在一些實(shí)施例中，主機(jī)裝置112存儲(chǔ)加密或安全密鑰以供使用客戶端裝置認(rèn)證(和/或授權(quán))的。

在一些實(shí)施方案中，用戶104a、104b使用計(jì)算裝置106a、106b來經(jīng)由網(wǎng)絡(luò)102與包含主機(jī)裝置112和/或客戶端裝置116a到116n的系統(tǒng)110通信。計(jì)算裝置106a、106b各自為例如以下各者的計(jì)算裝置：移動(dòng)裝置、膝上計(jì)算機(jī)、臺(tái)式計(jì)算機(jī)、智能手機(jī)、個(gè)人數(shù)字助理、便攜式媒體播放器、平板計(jì)算機(jī)或可用來與系統(tǒng)110通信的任何其它計(jì)算裝置。出于說明目的，在圖1中，計(jì)算裝置106a描繪為移動(dòng)裝置，且計(jì)算裝置106b描繪為臺(tái)式計(jì)算機(jī)。網(wǎng)絡(luò)102是系統(tǒng)110的外部網(wǎng)絡(luò)，例如，公共通信網(wǎng)絡(luò)(例如，因特網(wǎng)、蜂窩數(shù)據(jù)網(wǎng)絡(luò)、電話網(wǎng)絡(luò)上的撥號(hào)調(diào)制解調(diào)器)、廣域網(wǎng)(wan)、局域網(wǎng)(lan)、受控區(qū)域網(wǎng)絡(luò)(can)、私有通信網(wǎng)絡(luò)(例如，私有l(wèi)an、租用線路)或其任何適當(dāng)組合。網(wǎng)絡(luò)102經(jīng)通信耦合到內(nèi)部網(wǎng)絡(luò)114或與所述內(nèi)部網(wǎng)絡(luò)114集成。

在一些實(shí)例中，用戶104a或104b是和系統(tǒng)110相關(guān)聯(lián)的實(shí)體。用戶104a或104b使用計(jì)算裝置106a或106b來經(jīng)由網(wǎng)絡(luò)102和/或網(wǎng)絡(luò)114檢查系統(tǒng)110的狀態(tài)或遠(yuǎn)程控制系統(tǒng)110的操作。例如，用戶104a或104b使用計(jì)算裝置106a或106b來檢查確認(rèn)存儲(chǔ)在系統(tǒng)110中的客戶端裝置內(nèi)的代碼(操作代碼或引導(dǎo)代碼)是否為客戶端裝置的授權(quán)代碼。

在一些實(shí)施方案中，用戶104a或104b使用計(jì)算裝置106a或106b來將對客戶端裝置執(zhí)行安全代碼認(rèn)證且將認(rèn)證結(jié)果傳回到計(jì)算裝置106a或106b的請求發(fā)送到主機(jī)裝置112?；诮邮盏降恼J(rèn)證結(jié)果，用戶104a或104b可確定是否接受來自客戶端裝置的消息或信息。

在一些實(shí)施方案中，用戶104a或104b使用計(jì)算裝置106a或106b來執(zhí)行客戶端裝置的安全代碼認(rèn)證。計(jì)算裝置106a或106b包含類似于主機(jī)裝置112的存儲(chǔ)客戶端裝置的授權(quán)代碼的信息的安全或可信裝置。計(jì)算裝置106查詢客戶端裝置以確認(rèn)客戶端裝置上的代碼是否使用存儲(chǔ)的信息進(jìn)行授權(quán)。

在一些實(shí)施方案中，服務(wù)器計(jì)算系統(tǒng)108經(jīng)由網(wǎng)絡(luò)102與系統(tǒng)110通信。服務(wù)器計(jì)算系統(tǒng)108包含一或多個(gè)計(jì)算裝置和一或多個(gè)機(jī)器可讀存儲(chǔ)庫或數(shù)據(jù)庫。服務(wù)器計(jì)算系統(tǒng)108經(jīng)配置以與包含系統(tǒng)110的若干系統(tǒng)通信。對于各系統(tǒng)，服務(wù)器計(jì)算系統(tǒng)108存儲(chǔ)系統(tǒng)中的相應(yīng)客戶端裝置和/或主機(jī)裝置的相應(yīng)代碼。

服務(wù)器計(jì)算系統(tǒng)108的用戶109(例如，管理員或操作者)使用服務(wù)器計(jì)算系統(tǒng)108來與個(gè)別系統(tǒng)(例如系統(tǒng)110)通信(例如)以檢查系統(tǒng)的狀態(tài)或控制系統(tǒng)的操作。類似于用戶104a或104b，用戶109可使用服務(wù)器計(jì)算系統(tǒng)108來直接控制系統(tǒng)110中的客戶端裝置的一者(例如，經(jīng)由網(wǎng)絡(luò)102和114)或使用服務(wù)器計(jì)算系統(tǒng)108來通過使系統(tǒng)110中的主機(jī)裝置112控制客戶端裝置而間接控制客戶端裝置。例如，服務(wù)器計(jì)算系統(tǒng)108經(jīng)由網(wǎng)絡(luò)102與主機(jī)裝置112通信，且主機(jī)裝置112經(jīng)由網(wǎng)絡(luò)114與客戶端裝置通信。

所揭示的實(shí)施方案可在不同環(huán)境中使用。例如，在一些實(shí)施方案中，環(huán)境100為汽車環(huán)境。系統(tǒng)110是汽車。主機(jī)裝置112可為汽車的中央計(jì)算系統(tǒng)，例如，電子控制單元(ecu)?？蛻舳搜b置116a到116n可各為汽車中的組件的控制器(例如，ecu)，例如，窗戶控制器、制動(dòng)控制器或車輪控制器。網(wǎng)絡(luò)114可為將主機(jī)裝置112和客戶端裝置116a到116b中的各者連接的有線或無線網(wǎng)絡(luò)。用戶104a或104b可為車主，且經(jīng)由網(wǎng)絡(luò)102和/或網(wǎng)絡(luò)114使用移動(dòng)電話106a或計(jì)算機(jī)106b與汽車通信。服務(wù)器計(jì)算系統(tǒng)108可為經(jīng)配置以控制若干汽車且和實(shí)體(例如，汽車制造商、汽車經(jīng)銷商或企業(yè))相關(guān)聯(lián)的服務(wù)器。

應(yīng)了解，所揭示的實(shí)施方案不限于汽車環(huán)境且可適用于其它背景。例如，系統(tǒng)110可為包含用于控制若干器具(例如，燈具、警報(bào)器、車庫開門器或感測器)的中央控制器的家庭網(wǎng)絡(luò)。

在一些實(shí)例中，摘要和加密散列函數(shù)相關(guān)聯(lián)。裝置(例如，主機(jī)裝置112或客戶端裝置116a、116b或116n)采用任意數(shù)據(jù)塊(例如，代碼或程序)且使用加密散列函數(shù)來計(jì)算字串，即(加密)散列值。待編碼的數(shù)據(jù)可稱為“消息”，且散列值可稱為“消息摘要”或簡稱為“摘要”。例如，加密散列函數(shù)可包含例如sha-256的安全散列算法(sha)或md5消息摘要算法。所產(chǎn)生的摘要可具有固定長度或不同長度。然而，應(yīng)注意，本技術(shù)不限于此實(shí)施算法的實(shí)施方案，且可實(shí)施其它類型的散列函數(shù)。

在一些實(shí)例中，簽名是用于證明數(shù)字消息(例如，代碼的摘要)的真實(shí)性的數(shù)學(xué)方案。簽名可和數(shù)字簽名算法(dsa)相關(guān)聯(lián)，例如，與橢圓曲線數(shù)字簽名算法(ecdsa)。裝置可使用dsa來使用摘要和密鑰(例如，私有密鑰)計(jì)算或產(chǎn)生摘要的簽名。然而，應(yīng)注意，本技術(shù)不限于此實(shí)例算法的實(shí)施方案，且可實(shí)施其它類型的簽名算法。

在一些實(shí)例中，裝置的授權(quán)代碼表示無改變或修改的原始代碼，例如，如由裝置或和裝置相關(guān)聯(lián)的實(shí)體的原始設(shè)備制造商(oem)所想要。代碼在不變或未經(jīng)修改時(shí)是授權(quán)代碼且在被改變或修改時(shí)為未授權(quán)代碼。術(shù)語“授權(quán)代碼”和“認(rèn)證代碼”可互換地使用。

實(shí)例主機(jī)和客戶端裝置

圖2a是根據(jù)實(shí)施方案的實(shí)例系統(tǒng)200的框圖。在這實(shí)例實(shí)施方案中，實(shí)例主機(jī)裝置202對客戶端裝置204執(zhí)行受控安全代碼認(rèn)證。主機(jī)裝置202可類似于圖1的主機(jī)裝置112，或可包含在圖1的計(jì)算裝置106a或106b或圖1的服務(wù)器計(jì)算系統(tǒng)108中?？蛻舳搜b置204可類似于圖1的客戶端裝置116a、116b或116n。主機(jī)裝置202經(jīng)配置以驗(yàn)證存儲(chǔ)在客戶端裝置204內(nèi)的代碼是否為授權(quán)代碼以執(zhí)行對應(yīng)操作。在一些情況下，對客戶端裝置執(zhí)行操作，例如，引導(dǎo)操作。在一些情況下，對耦合到客戶端裝置204的裝置或系統(tǒng)執(zhí)行操作。

主機(jī)裝置202使用連接208耦合到客戶端裝置204。連接208可類似于圖1的網(wǎng)絡(luò)102、圖1的網(wǎng)絡(luò)114或其組合。在客戶端裝置204和主機(jī)裝置202對于彼此是遠(yuǎn)程的一些實(shí)施方案中，連接208可為網(wǎng)絡(luò)連接(例如，網(wǎng)絡(luò)102和/或網(wǎng)絡(luò)114)。例如，連接208可經(jīng)由電路交換數(shù)據(jù)網(wǎng)絡(luò)、包交換數(shù)據(jù)網(wǎng)絡(luò)、局域網(wǎng)(lan)、受控區(qū)域網(wǎng)絡(luò)(can)或能夠載送數(shù)據(jù)的任何其它網(wǎng)絡(luò)，例如，基于因特網(wǎng)協(xié)議(ip)或基于異步傳輸模式(atm)的網(wǎng)絡(luò)(包含有線或無線網(wǎng)絡(luò))。在客戶端裝置204和主機(jī)裝置202靠近在一起地定位的一些其它實(shí)施方案中，連接208可為數(shù)據(jù)纜線。在客戶端裝置204和主機(jī)裝置202經(jīng)物理耦合(有線)的其它實(shí)施方案中，連接208可為硬件接口，例如到主板的pci接口。

在一些實(shí)施方案中，主機(jī)裝置202包含主機(jī)接口206、質(zhì)詢產(chǎn)生模塊212、隨機(jī)產(chǎn)生模塊214、安全存儲(chǔ)裝置216和認(rèn)證模塊218外加其它組件。在一些實(shí)施方案中，安全存儲(chǔ)裝置216在主機(jī)裝置202的外部且牢固地耦合到主機(jī)裝置202。例如，安全存儲(chǔ)裝置216可在可信的第三方實(shí)體中。主機(jī)裝置202可從安全存儲(chǔ)裝置216檢索信息。

主機(jī)接口206經(jīng)配置以使主機(jī)裝置202能夠與客戶端裝置204通信。在一些實(shí)施方案中，主機(jī)接口206可為經(jīng)由網(wǎng)絡(luò)將主機(jī)裝置202和遠(yuǎn)程客戶端裝置連接的網(wǎng)絡(luò)接口。例如，主機(jī)接口206可包含以太網(wǎng)端口、ieee802.11芯片、藍(lán)牙(bluetooth^tm)硬件或一段軟件(例如軟件無線電)。在一些其它實(shí)施方案中，主機(jī)接口206可為經(jīng)配置以在主機(jī)裝置202和客戶端裝置204之間提供物理耦合的電接口。例如，主機(jī)接口206可為通用串行總線(usb)接口、外部串行at附接(esata)接口、ieee1394(火線)接口、雷電(thunderbolt)接口或閃電(lightning)接口。

質(zhì)詢產(chǎn)生模塊212經(jīng)配置以產(chǎn)生對客戶端裝置204的質(zhì)詢。質(zhì)詢產(chǎn)生模塊212可在不同時(shí)間產(chǎn)生對客戶端裝置204的不同質(zhì)詢。質(zhì)詢可包含對客戶端裝置204的用于請求客戶端裝置204的代碼的性質(zhì)的查詢。性質(zhì)可為加密性質(zhì)，例如，摘要、簽名、校驗(yàn)和或消息認(rèn)證代碼(mac)。質(zhì)詢還可包含對代碼的特定部分的性質(zhì)的請求。在一些實(shí)例中，特定部分對應(yīng)于存儲(chǔ)器地址范圍(物理或虛擬)，例如，包含起始地址和終結(jié)地址的地址對、具有寬度的中間地址、具有寬度的起始地址或具有寬度的終結(jié)地址。質(zhì)詢可包含指示存儲(chǔ)器地址范圍的數(shù)據(jù)來表示特定部分。在一些實(shí)施方案中，質(zhì)詢包含和用于安全認(rèn)證和/或授權(quán)的加密或認(rèn)證密鑰相關(guān)聯(lián)的信息。

隨機(jī)產(chǎn)生(randgen)模塊214經(jīng)配置以產(chǎn)生用作通過主機(jī)裝置202執(zhí)行的加密操作的種子的隨機(jī)數(shù)。例如，隨機(jī)產(chǎn)生模塊214可包含隨機(jī)數(shù)產(chǎn)生器，其將某一數(shù)目的隨機(jī)字節(jié)(例如，32個(gè)隨機(jī)字節(jié))傳回到質(zhì)詢產(chǎn)生模塊212。在一些實(shí)施方案中，質(zhì)詢產(chǎn)生模塊212將這產(chǎn)生的隨機(jī)數(shù)和單獨(dú)輸入數(shù)組合以形成加密“臨時(shí)數(shù)”，其存儲(chǔ)在主機(jī)裝置212內(nèi)且可由后續(xù)命令使用。主機(jī)裝置202可將臨時(shí)數(shù)(例如，以及質(zhì)詢)發(fā)送到客戶端裝置204，且驗(yàn)證來自客戶端裝置204的響應(yīng)是否包含和臨時(shí)數(shù)相關(guān)聯(lián)的信息。這樣，主機(jī)裝置202可確保對質(zhì)詢的響應(yīng)尚未被攻擊者復(fù)制且在隨后時(shí)間被重放。隨機(jī)產(chǎn)生模塊214可包含在質(zhì)詢產(chǎn)生模塊212中。

在一些實(shí)例中，臨時(shí)數(shù)是在裝置之間的加密通信中僅使用一次的任意數(shù)。臨時(shí)數(shù)可為在認(rèn)證協(xié)議中發(fā)布來確保老的通信無法在重放攻擊中再使用的隨機(jī)數(shù)或偽隨機(jī)數(shù)。臨時(shí)數(shù)還可用來確保流密碼的安全性。為了確保臨時(shí)數(shù)僅被使用一次，所述臨時(shí)數(shù)可為時(shí)變的(在其值中包含適當(dāng)細(xì)粒度的時(shí)間戳)，或用足夠隨機(jī)位產(chǎn)生以確保重復(fù)之前產(chǎn)生的值的概率上不明顯的可能性。

安全存儲(chǔ)裝置216經(jīng)配置以存儲(chǔ)安全信息，所述安全信息包含客戶端裝置204的授權(quán)代碼和/或認(rèn)證密鑰(authkey)215的信息。授權(quán)代碼對應(yīng)于客戶端裝置204的代碼。認(rèn)證密鑰215可包含用于認(rèn)證或加密功能的對稱加密密鑰或非對稱加密密鑰。授權(quán)代碼的信息可包含授權(quán)代碼的整個(gè)副本(或圖像)、授權(quán)代碼的摘要、授權(quán)代碼的簽名、授權(quán)代碼的mac或授權(quán)代碼的任何其它性質(zhì)。授權(quán)代碼的整個(gè)圖像可在主機(jī)裝置202的生產(chǎn)階段(例如，制造、工廠初始化、個(gè)性化或分配)期間存儲(chǔ)在安全存儲(chǔ)裝置216中。授權(quán)代碼的整個(gè)圖像也可從例如(安全)硬件或(安全)服務(wù)器的來源復(fù)制或下載。主機(jī)裝置202可建立與來源的安全信道來例如在不接收圖像的簽名情況下接收整個(gè)圖像。主機(jī)裝置202還可從來源更新授權(quán)代碼的所存儲(chǔ)信息。

在一些實(shí)施方案中，授權(quán)代碼的簽名是客戶端裝置的原始設(shè)備制造商(oem)簽名，其可在主機(jī)裝置202的生產(chǎn)階段期間存儲(chǔ)在主機(jī)裝置202中或在生產(chǎn)階段后復(fù)制、下載或更新到主機(jī)裝置202。在一些實(shí)例中，主機(jī)裝置202使用數(shù)字簽名算法與安全密鑰基于授權(quán)代碼的摘要產(chǎn)生授權(quán)代碼的簽名。安全密鑰可作為認(rèn)證密鑰215連同授權(quán)代碼的信息存儲(chǔ)在安全存儲(chǔ)裝置216中。在一些實(shí)例中，主機(jī)裝置202基于授權(quán)代碼的整個(gè)圖像使用產(chǎn)生的簽名來驗(yàn)證oem簽名。

在一些實(shí)施方案中，授權(quán)代碼的信息包含授權(quán)代碼的一或多個(gè)個(gè)別部分的信息，例如，個(gè)別部分的副本、個(gè)別部分的摘要或簽名，或個(gè)別部分的地址范圍。在一些實(shí)施方案中，主機(jī)裝置202從授權(quán)代碼的整個(gè)圖像(例如，隨機(jī)地)選擇若干部分，使用加密散列函數(shù)或散列算法計(jì)算各部分的相應(yīng)摘要，且將所述部分的摘要存儲(chǔ)在安全存儲(chǔ)裝置216中。主機(jī)裝置202還可使用相應(yīng)摘要計(jì)算各部分的相應(yīng)簽名且將簽名存儲(chǔ)在安全存儲(chǔ)裝置216中。在一些實(shí)施方案中，主機(jī)裝置202確定各部分的相應(yīng)地址范圍或各部分的摘要，將所述部分的地址范圍存儲(chǔ)在安全存儲(chǔ)裝置216中，且將相應(yīng)地址范圍和安全存儲(chǔ)裝置216中的所述部分的相應(yīng)摘要或簽名相關(guān)聯(lián)。

安全存儲(chǔ)裝置216可為主機(jī)裝置202的部分，所述部分實(shí)施強(qiáng)大的安全性機(jī)制，使得包含在安全存儲(chǔ)裝置216中的數(shù)據(jù)無法被輕易復(fù)制、克隆或修改，且對其內(nèi)的數(shù)據(jù)的任何未授權(quán)改變可通過驗(yàn)證裝置檢測到。在一些實(shí)施方案中，安全存儲(chǔ)裝置216包含永久或非易失性存儲(chǔ)器，例如，只讀存儲(chǔ)器(rom)、電子可擦只讀存儲(chǔ)器(eeprom)陣列、快閃存儲(chǔ)器、硬盤驅(qū)動(dòng)器或經(jīng)配置用于以永久的方式存儲(chǔ)數(shù)據(jù)的任何其它合適的存儲(chǔ)機(jī)制。如之前所指示，安全存儲(chǔ)裝置216可用于存儲(chǔ)和客戶端裝置204的授權(quán)代碼、認(rèn)證密鑰215、雜項(xiàng)讀/寫、只讀或機(jī)密數(shù)據(jù)、消費(fèi)記錄和安全性配置相關(guān)聯(lián)的信息。對安全存儲(chǔ)裝置216的各個(gè)區(qū)段的存取可以多個(gè)方式進(jìn)行約束，且經(jīng)配置鎖定以防止改變。

在一些實(shí)施方案中，安全存儲(chǔ)裝置216包含用于暫時(shí)存儲(chǔ)數(shù)據(jù)的臨時(shí)存儲(chǔ)器。例如，臨時(shí)存儲(chǔ)器可為靜態(tài)隨機(jī)存取存儲(chǔ)器(sram)，其中授權(quán)代碼的下載或更新的圖像在與安全來源的安全通信期間被緩沖或者加密或認(rèn)證操作的結(jié)果在與客戶端裝置204的安全通信期間被緩沖。在一項(xiàng)實(shí)施例中，安全存儲(chǔ)裝置包含用電源(例如，電池或電容器)備份的sram。在一些實(shí)施方案中，臨時(shí)存儲(chǔ)器用來存儲(chǔ)輸入命令或輸出結(jié)果以及中間計(jì)算值。每當(dāng)安全存儲(chǔ)裝置216進(jìn)入睡眠模式或移除了電源，臨時(shí)存儲(chǔ)器的整個(gè)內(nèi)容可為無效的。

認(rèn)證模塊218經(jīng)配置以驗(yàn)證對來自客戶端裝置204的質(zhì)詢的響應(yīng)以確定存儲(chǔ)在客戶端裝置204內(nèi)的代碼是否為授權(quán)代碼。認(rèn)證模塊218經(jīng)配置以與安全存儲(chǔ)裝置216、質(zhì)詢產(chǎn)生模塊212和/或隨機(jī)產(chǎn)生模塊214通信且從安全存儲(chǔ)裝置216、質(zhì)詢產(chǎn)生模塊212和/或隨機(jī)產(chǎn)生模塊214獲得信息。例如，質(zhì)詢產(chǎn)生模塊212將用于請求代碼的加密性質(zhì)的質(zhì)詢發(fā)送到客戶端裝置204?？蛻舳搜b置204可發(fā)送回包含代碼的加密性質(zhì)的響應(yīng)。認(rèn)證模塊218可從和存儲(chǔ)在安全存儲(chǔ)裝置216中的授權(quán)代碼相關(guān)聯(lián)的信息獲得對應(yīng)于客戶端裝置204的代碼的授權(quán)代碼的加密性質(zhì)，且確定在響應(yīng)中接收到的代碼的加密性質(zhì)是否與獲得的授權(quán)代碼的加密性質(zhì)匹配。如果代碼的加密性質(zhì)與獲得的授權(quán)代碼的加密性質(zhì)匹配，那么認(rèn)證模塊218可確定存儲(chǔ)在客戶端裝置204內(nèi)的代碼是授權(quán)代碼。如果代碼的加密性質(zhì)與獲得的授權(quán)代碼的加密性質(zhì)不匹配，那么認(rèn)證模塊218可確定代碼并非授權(quán)代碼或未經(jīng)授權(quán)。

在一些實(shí)施方案中，客戶端裝置204包含客戶端接口210、處理器220和存儲(chǔ)器222外加其它組件。客戶端接口210經(jīng)配置以使客戶端裝置204能夠與主機(jī)裝置202通信。在一些實(shí)施方案中，客戶端接口210為經(jīng)由網(wǎng)絡(luò)將客戶端裝置204和遠(yuǎn)程主機(jī)裝置連接的網(wǎng)絡(luò)接口。例如，客戶端接口210可包含以太網(wǎng)端口、ieee802.11芯片、藍(lán)牙(bluetooth^tm)硬件或一段軟件(例如軟件無線電)。在一些其它實(shí)施方案中，客戶端接口210為經(jīng)配置以在客戶端裝置204和主機(jī)裝置202之間提供物理耦合的電接口。例如，客戶端接口210可為通用串行總線(usb)接口、外部串行at附接(esata)接口、ieee1394(火線)接口、雷電接口或閃電接口。

存儲(chǔ)器222經(jīng)配置以存儲(chǔ)包含引導(dǎo)代碼和/或操作代碼的一或多個(gè)代碼。處理器220經(jīng)配置以使用對應(yīng)代碼執(zhí)行引導(dǎo)和/或操作。存儲(chǔ)器222可為處理器220的內(nèi)部存儲(chǔ)器。代碼和/或與代碼相關(guān)聯(lián)的信息(例如，代碼的oem簽名)可在客戶端裝置204的生產(chǎn)階段(例如，制造、工廠初始化、個(gè)性化或分配)期間存儲(chǔ)在存儲(chǔ)器222中。代碼和/或相關(guān)聯(lián)信息也可從安全來源(例如安全硬件或安全服務(wù)器)復(fù)制或下載。安全來源可包含主機(jī)裝置202?？蛻舳搜b置204也可從安全來源更新代碼和/或相關(guān)聯(lián)信息。

客戶端裝置204可為不安全的或缺乏安全性。例如，存儲(chǔ)器222可為不安全的，且存儲(chǔ)在存儲(chǔ)器222中的代碼和/或相關(guān)聯(lián)信息可被攻擊者修改。主機(jī)裝置202可用于認(rèn)證存儲(chǔ)在客戶端裝置204內(nèi)的代碼是否為授權(quán)代碼。

在一些實(shí)施方案中，客戶端裝置204包含經(jīng)配置以對來自主機(jī)裝置202的質(zhì)詢或查詢作出響應(yīng)的響應(yīng)模塊224。響應(yīng)模塊224可包含在處理器220中。在一些情況下，客戶端裝置204從主機(jī)裝置202接收包含對客戶端裝置204的代碼的加密性質(zhì)(例如，代碼的摘要或簽名或mac)的請求的質(zhì)詢。響應(yīng)模塊224可處理質(zhì)詢以確定請求。響應(yīng)模塊224可基于包含存儲(chǔ)代碼和/或相關(guān)聯(lián)信息的來自存儲(chǔ)器222的信息獲得代碼的加密性質(zhì)，且發(fā)送回包含獲得的代碼的加密性質(zhì)的響應(yīng)。例如，如果質(zhì)詢請求代碼的簽名，那么響應(yīng)模塊224可計(jì)算代碼的摘要且用私有密鑰生成摘要的簽名。如果質(zhì)詢請求授權(quán)代碼的特定部分的加密性質(zhì)，那么響應(yīng)模塊224可識(shí)別代碼的對應(yīng)部分且獲得代碼的對應(yīng)部分的加密性質(zhì)。

在一些實(shí)施方案中，客戶端裝置204包含用于存儲(chǔ)安全信息(例如，機(jī)密或認(rèn)證密鑰(authkey)225)的安全存儲(chǔ)裝置226。安全存儲(chǔ)裝置226可具有類似于安全存儲(chǔ)裝置216的安全能力。認(rèn)證密鑰225可包含對稱加密密鑰或非對稱加密密鑰。認(rèn)證密鑰225可包含公共密鑰或私有密鑰?？蛻舳搜b置204可使用認(rèn)證密鑰225以用于安全認(rèn)證和/或與主機(jī)裝置202進(jìn)行通信。在一些情況下，響應(yīng)模塊224使用存儲(chǔ)的認(rèn)證密鑰225產(chǎn)生響應(yīng)的mac(例如，代碼的摘要或簽名)。主機(jī)裝置202可使用存儲(chǔ)在安全存儲(chǔ)裝置216中且對應(yīng)于認(rèn)證密鑰225的認(rèn)證密鑰來認(rèn)證響應(yīng)以確保響應(yīng)在發(fā)射期間未被修改。在一些情況下，響應(yīng)模塊224使用加密算法(例如，對稱加密算法)與認(rèn)證密鑰225產(chǎn)生代碼或經(jīng)選擇代碼部分的密鑰加密mac(例如，hmac或cmac或其它)。響應(yīng)模塊224將密鑰加密mac發(fā)送到主機(jī)裝置202，且主機(jī)裝置202使用對應(yīng)于認(rèn)證密鑰225的存儲(chǔ)認(rèn)證密鑰確認(rèn)密鑰加密mac。

在一些實(shí)施方案中，安全存儲(chǔ)裝置226包含在處理器220中、相較于處理器220的其它組件具有較高安全能力。在一些實(shí)施方案中，安全存儲(chǔ)裝置226和處理器220分離且耦合到處理器220?？蛻舳搜b置204可包含處理器220、存儲(chǔ)代碼的副本的存儲(chǔ)器222和用于對來自主機(jī)裝置202的質(zhì)詢作出響應(yīng)的響應(yīng)模塊224。

在一些實(shí)施方案中，安全存儲(chǔ)裝置226和響應(yīng)模塊224都包含在和處理器220分離的安全裝置230中。安全裝置230可經(jīng)由適當(dāng)接口耦合到客戶端裝置204。此配置可允許客戶端裝置和主機(jī)裝置202通信，使得主機(jī)裝置202可執(zhí)行客戶端裝置204的受控安全代碼認(rèn)證，所述客戶端裝置并未經(jīng)預(yù)配置有適當(dāng)安全性特征。

在第一實(shí)例中，主機(jī)裝置202發(fā)送對客戶端裝置204的代碼的性質(zhì)的質(zhì)詢。處理器220或響應(yīng)模塊224基于存儲(chǔ)在存儲(chǔ)器222中的信息計(jì)算響應(yīng)(例如，代碼的摘要)且將響應(yīng)發(fā)送回到主機(jī)裝置202。響應(yīng)模塊224可具有高于處理器220的計(jì)算能力以加速響應(yīng)計(jì)算或運(yùn)算。主機(jī)裝置202使用存儲(chǔ)在安全存儲(chǔ)裝置216內(nèi)的授權(quán)代碼的簽名或摘要確認(rèn)響應(yīng)。如果主機(jī)裝置202確定響應(yīng)無效(即，存儲(chǔ)在客戶端裝置204內(nèi)的代碼未經(jīng)授權(quán))，那么主機(jī)裝置202可隔離客戶端裝置204且防止外部環(huán)境(例如，圖1的網(wǎng)絡(luò)102、計(jì)算裝置106a、106b或服務(wù)器計(jì)算系統(tǒng)108)存取或利用客戶端裝置204。相反，如果主機(jī)裝置202確定響應(yīng)是有效的(即，存儲(chǔ)在客戶端裝置204內(nèi)的代碼經(jīng)授權(quán))，那么主機(jī)裝置202可允許外部環(huán)境存取或利用客戶端裝置204。

在第二實(shí)例中，主機(jī)裝置202發(fā)送對客戶端裝置204的代碼的摘要的質(zhì)詢。處理器220或響應(yīng)模塊224基于存儲(chǔ)在存儲(chǔ)器222中的信息計(jì)算代碼的摘要。安全裝置230基于代碼的經(jīng)計(jì)算摘要和存儲(chǔ)在安全存儲(chǔ)裝置226中的私有密鑰計(jì)算簽名，且將簽名發(fā)送回到主機(jī)裝置202。主機(jī)裝置基于對應(yīng)于客戶端裝置204的私有密鑰的加密密鑰或已用于簽名的私有密鑰的證書確認(rèn)簽名且信任客戶端裝置204。

在第三實(shí)例中，主機(jī)裝置202發(fā)送客戶端裝置204的代碼的質(zhì)詢和簽名。簽名可為代碼的oem簽名。處理器220或響應(yīng)模塊224基于存儲(chǔ)在存儲(chǔ)器222中的信息計(jì)算代碼的摘要。接著，安全裝置230針對接收到的簽名確認(rèn)所計(jì)算摘要。安全裝置230可響應(yīng)于主機(jī)裝置202發(fā)送確認(rèn)的結(jié)果。在一些實(shí)施方案中，安全裝置230存儲(chǔ)和授權(quán)代碼相關(guān)聯(lián)的信息，執(zhí)行客戶端裝置的代碼的代碼認(rèn)證，且將認(rèn)證結(jié)果傳回至主機(jī)裝置202。

如果安全裝置230確定所計(jì)算摘要無效(即，存儲(chǔ)在客戶端裝置204內(nèi)的代碼并非授權(quán)代碼)，那么安全裝置230可防止外部環(huán)境(例如，圖1的網(wǎng)絡(luò)102、計(jì)算裝置106a、106b或服務(wù)器計(jì)算系統(tǒng)108)存取或利用客戶端裝置204。在一些實(shí)施例中，主機(jī)裝置202充當(dāng)客戶端裝置204的啟用器。防止客戶端進(jìn)行除了等待質(zhì)詢外的任何事情，直至主機(jī)裝置202發(fā)送質(zhì)詢到客戶端。如果安全裝置230確定所計(jì)算摘要為有效的，那么安全裝置230啟用客戶端裝置204。在一些情況下，客戶端裝置204包含經(jīng)耦合到安全裝置230的輸出的引腳。在認(rèn)證存儲(chǔ)在客戶端裝置204中的代碼后，安全裝置230便發(fā)送控制信號(hào)到引腳以啟用客戶端裝置204。在一些實(shí)例中，引腳是硬件引腳，且控制信號(hào)是通電或啟用客戶端裝置204中的特定硬件塊的電信號(hào)。在一些實(shí)施方案中，客戶端裝置204包含耦合到連接208的引腳。在通過主機(jī)裝置202認(rèn)證客戶端裝置上的代碼后，便可(例如)通過主機(jī)裝置202將控制信號(hào)經(jīng)由連接208發(fā)送到引腳以進(jìn)一步啟用客戶端裝置204。在一些情況下，安全裝置230通過允許客戶端裝置204使用用于(例如)與主機(jī)裝置202或外部環(huán)境通信的認(rèn)證密鑰225而啟用客戶端裝置204。

雖然系統(tǒng)200展示單個(gè)客戶端裝置204對單個(gè)主機(jī)裝置202的主機(jī)客戶端配置，但其它配置也有可能。在一些實(shí)施方案中，系統(tǒng)200類似于圖1的系統(tǒng)110，且包含連接到單個(gè)主機(jī)裝置的多個(gè)客戶端裝置。主機(jī)裝置針對客戶端裝置的各者執(zhí)行受控安全代碼授權(quán)，如參考圖4所描述。連接(例如，連接208)可在多個(gè)客戶端裝置間共享，或可針對連接到主機(jī)裝置的各客戶端裝置進(jìn)行重復(fù)連接。

圖2b是根據(jù)實(shí)施方案的另一實(shí)例系統(tǒng)250的框圖。系統(tǒng)250包含主機(jī)裝置252和客戶端裝置254。主機(jī)裝置252可類似于圖2a的主機(jī)裝置202?？蛻舳搜b置254可類似于圖2a的客戶端裝置204。

主機(jī)裝置252具有主機(jī)裝置控制器262，其包含處理器264和耦合到處理器264的一或多個(gè)存儲(chǔ)媒體266。存儲(chǔ)媒體266進(jìn)一步存儲(chǔ)經(jīng)配置以當(dāng)被處理器264執(zhí)行時(shí)使處理器264執(zhí)行動(dòng)作(例如，客戶端裝置204的安全代碼認(rèn)證)的邏輯268。在一項(xiàng)實(shí)施例中，主機(jī)裝置控制器262包含圖2a的隨機(jī)產(chǎn)生模塊214、質(zhì)詢產(chǎn)生模塊212和認(rèn)證模塊218。在另一實(shí)施例中，主機(jī)裝置控制器262也包含圖2a的安全存儲(chǔ)裝置216。

客戶端裝置254具有客戶端裝置控制器272，其包含處理器274和耦合到處理器274的一或多個(gè)存儲(chǔ)媒體276。存儲(chǔ)媒體276進(jìn)一步存儲(chǔ)經(jīng)配置以當(dāng)被處理器274執(zhí)行時(shí)使處理器274執(zhí)行動(dòng)作(例如，對來自主機(jī)裝置252的質(zhì)詢和/或客戶端裝置254的安全代碼認(rèn)證作出響應(yīng))的邏輯278?？蛻舳搜b置控制器272可包含安全模塊280，其類似于圖2a的安全裝置230。在一項(xiàng)實(shí)施例中，客戶端裝置控制器272包含圖2a的處理器220和存儲(chǔ)器222。在另一實(shí)施例中，客戶端裝置控制器272包含圖2a的響應(yīng)模塊224和/或存儲(chǔ)器222。在另一實(shí)施例中，客戶端裝置控制器272包含具有圖2a的響應(yīng)模塊224和安全存儲(chǔ)裝置226的安全裝置230。

實(shí)例流程圖

圖3是通過例如圖1的主機(jī)裝置112或圖2a的主機(jī)裝置202或圖2b的主機(jī)裝置252的主機(jī)裝置執(zhí)行的實(shí)例過程300的流程圖。主機(jī)裝置對例如圖1的客戶端裝置116a、116b或116n或圖2a的客戶端裝置204或圖2b的客戶端裝置254的客戶端裝置執(zhí)行受控安全代碼認(rèn)證。

主機(jī)裝置發(fā)送包含對客戶端裝置的代碼的性質(zhì)的質(zhì)詢的請求到客戶端裝置(302)。代碼可為客戶端裝置起動(dòng)的引導(dǎo)代碼或客戶端裝置執(zhí)行操作的操作代碼。性質(zhì)可為代碼的摘要、簽名或mac。主機(jī)裝置可包含安全存儲(chǔ)裝置(例如，圖2a的安全存儲(chǔ)裝置216)來存儲(chǔ)和對應(yīng)于客戶端裝置的代碼的授權(quán)代碼相關(guān)聯(lián)的信息。如上文所提及，主機(jī)裝置可存儲(chǔ)授權(quán)代碼的整個(gè)副本(或圖像)、授權(quán)代碼的摘要、授權(quán)代碼的簽名(例如，oem簽名)、授權(quán)代碼的mac或授權(quán)代碼的其它性質(zhì)。主機(jī)裝置也可存儲(chǔ)和授權(quán)代碼的一或多個(gè)個(gè)別部分相關(guān)聯(lián)的信息。

在一些實(shí)施方案中，主機(jī)裝置接收通知主機(jī)裝置客戶端裝置將執(zhí)行操作的消息。例如，當(dāng)客戶端裝置復(fù)位時(shí)或每當(dāng)從客戶端裝置移除電源時(shí)，客戶端裝置重復(fù)進(jìn)行引導(dǎo)過程，這可觸發(fā)客戶端裝置發(fā)送客戶端裝置上已發(fā)生重新引導(dǎo)的消息到主機(jī)裝置。響應(yīng)于接收到所述消息，主機(jī)裝置可發(fā)送對對應(yīng)于操作的授權(quán)代碼的性質(zhì)的質(zhì)詢到客戶端裝置。

在一些實(shí)例中，主機(jī)裝置定期地例如以預(yù)定日程用客戶端裝置起始代碼認(rèn)證過程。如果代碼認(rèn)證過程根據(jù)預(yù)定日程不發(fā)生，那么主機(jī)裝置可將客戶端裝置標(biāo)記為不可信的或起始質(zhì)詢來請求客戶端裝置驗(yàn)證其可信度。例如，客戶端裝置的電力循環(huán)使客戶端裝置按預(yù)定日程重復(fù)進(jìn)行引導(dǎo)操作，這觸發(fā)客戶端裝置按預(yù)定日程發(fā)送消息到主機(jī)裝置。然而，當(dāng)電力循環(huán)根據(jù)預(yù)定日程不發(fā)生(例如，電力循環(huán)被修改或改變)時(shí)，主機(jī)裝置可(例如)使用加密密鑰將授權(quán)請求發(fā)送到客戶端裝置。響應(yīng)于從客戶端裝置接收到正確授權(quán)信息，主機(jī)裝置發(fā)送質(zhì)詢到客戶端裝置。否則，如果授權(quán)失敗，那么主機(jī)裝置可禁止客戶端裝置存取網(wǎng)絡(luò)(例如，圖1的網(wǎng)絡(luò)102)和/或發(fā)送警告或通知到與主機(jī)裝置或客戶端裝置相關(guān)聯(lián)的實(shí)體(例如，可信實(shí)體)。

主機(jī)裝置接收來自客戶端裝置的對請求的響應(yīng)(304)。響應(yīng)可包含基于存儲(chǔ)在客戶端裝置內(nèi)的代碼通過客戶端裝置產(chǎn)生的代碼的加密性質(zhì)。在一些實(shí)例中，質(zhì)詢包含對代碼的摘要的請求。客戶端裝置可計(jì)算代碼的摘要且在響應(yīng)中發(fā)送代碼的摘要到主機(jī)裝置。在一些實(shí)例中，質(zhì)詢包含對授權(quán)代碼的簽名的請求。客戶端裝置可基于代碼的摘要和存儲(chǔ)在客戶端裝置中的私有密鑰生成簽名。主機(jī)裝置可存儲(chǔ)對應(yīng)于存儲(chǔ)在客戶端裝置中的私有密鑰的機(jī)密或認(rèn)證密鑰。主機(jī)裝置也可存儲(chǔ)已用于簽名的私有密鑰的證書。

在一些實(shí)施方案中，主機(jī)裝置與質(zhì)詢一起或包含在質(zhì)詢中地發(fā)送查詢(例如，臨時(shí)數(shù)查詢)到客戶端裝置。如上文所提及，查詢可通過隨機(jī)數(shù)產(chǎn)生器(例如，圖2的隨機(jī)產(chǎn)生模塊214)產(chǎn)生。主機(jī)裝置可從客戶端裝置接收響應(yīng)且確定接收到的響應(yīng)是否包含與查詢相關(guān)聯(lián)的信息。在一些實(shí)例中，客戶端裝置產(chǎn)生代碼的摘要，接著用臨時(shí)數(shù)散列摘要且將散列摘要包含在到主機(jī)裝置的響應(yīng)中。如果主機(jī)裝置確定響應(yīng)不包含和查詢相關(guān)聯(lián)的信息，那么主機(jī)裝置可停止代碼認(rèn)證過程和/或發(fā)送警報(bào)或通知到與主機(jī)裝置或客戶端裝置相關(guān)聯(lián)的實(shí)體。如果主機(jī)裝置確定響應(yīng)包含與查詢相關(guān)聯(lián)的信息，那么過程300行進(jìn)到步驟306。

主機(jī)裝置基于授權(quán)代碼的存儲(chǔ)信息驗(yàn)證響應(yīng)是否為正確的(306)。主機(jī)裝置可基于存儲(chǔ)在安全存儲(chǔ)裝置中的授權(quán)代碼的信息獲得授權(quán)代碼的加密性質(zhì)，且確定響應(yīng)中的代碼的加密性質(zhì)是否與獲得的授權(quán)代碼的加密性質(zhì)匹配。

如上文所提及，客戶端裝置可包含安全模塊。安全模塊可基于代碼的摘要和存儲(chǔ)在安全模塊中的私有密鑰計(jì)算代碼的簽名且將簽名包含在響應(yīng)中。如果響應(yīng)包含代碼的簽名，那么主機(jī)裝置可基于授權(quán)代碼的摘要和存儲(chǔ)在安全存儲(chǔ)裝置中的加密密鑰生成簽名。加密密鑰可為對應(yīng)于存儲(chǔ)在與客戶端裝置相關(guān)聯(lián)的安全裝置中的私有密鑰的公共密鑰。代碼的簽名可使用私有密鑰產(chǎn)生。主機(jī)裝置也可使用已被客戶端裝置用來簽名的私有密鑰的證書生成簽名。主機(jī)裝置可確定授權(quán)代碼的所生成的簽名是否與響應(yīng)中的代碼的簽名匹配。如果主機(jī)裝置確定授權(quán)代碼的所生成的簽名與響應(yīng)中的代碼的簽名匹配，那么主機(jī)裝置確定響應(yīng)是正確的。如果主機(jī)裝置確定授權(quán)代碼的所生成的簽名與響應(yīng)中的代碼的簽名不匹配，那么主機(jī)裝置確定響應(yīng)是不正確的。

如果主機(jī)裝置驗(yàn)證響應(yīng)的不正確性，那么主機(jī)裝置確定代碼未經(jīng)授權(quán)(308)，即，存儲(chǔ)在客戶端裝置內(nèi)的代碼并非授權(quán)代碼。因此，主機(jī)裝置可將客戶端裝置和網(wǎng)絡(luò)隔離或防止外部環(huán)境存取或利用客戶端裝置。主機(jī)裝置可發(fā)送警告或通知到與主機(jī)裝置或客戶端裝置相關(guān)聯(lián)的實(shí)體。主機(jī)裝置也可通知實(shí)體或客戶端裝置以(例如)通過從安全來源將授權(quán)代碼的新的副本下載到客戶端裝置來更新存儲(chǔ)在客戶端裝置內(nèi)的代碼。

如果主機(jī)裝置驗(yàn)證響應(yīng)的正確性，那么主機(jī)裝置確定代碼經(jīng)授權(quán)(310)，即，存儲(chǔ)在客戶端裝置內(nèi)的代碼是授權(quán)代碼。因此，主機(jī)裝置可啟用客戶端裝置。在一些實(shí)例中，響應(yīng)于確定代碼經(jīng)授權(quán)，主機(jī)裝置啟動(dòng)耦合到客戶端裝置的引腳以使客戶端裝置能夠執(zhí)行操作。

響應(yīng)于確定代碼經(jīng)授權(quán)，主機(jī)裝置可應(yīng)用安全性策略用于與客戶端裝置的順序通信。策略可包含對稱密鑰授權(quán)或非對稱密鑰授權(quán)。代碼可為引導(dǎo)代碼。在一些實(shí)例中，在安全引導(dǎo)期間啟用存儲(chǔ)在客戶端裝置中的對稱密鑰，且主機(jī)裝置和客戶端裝置之間的運(yùn)行時(shí)連接可使用存儲(chǔ)的對稱密鑰來認(rèn)證或加密。在一些實(shí)例中，每次在客戶端裝置成功完成安全引導(dǎo)之后，主機(jī)裝置使用非對稱密鑰交換或協(xié)議或其它加密方法將新的非對稱密鑰(例如，私有密鑰)傳送到客戶端裝置。主機(jī)裝置可將對應(yīng)非對稱密鑰(例如，公共密鑰)存儲(chǔ)在安全存儲(chǔ)裝置中。

在一些實(shí)施方案中，主機(jī)裝置將授權(quán)代碼的整個(gè)圖像存儲(chǔ)在安全存儲(chǔ)裝置中。主機(jī)裝置可從授權(quán)代碼選擇多個(gè)部分且計(jì)算各部分的一或多個(gè)加密性質(zhì)。例如，針對各部分，主機(jī)裝置可(例如)使用加密散列函數(shù)來計(jì)算所述部分的摘要和/或使用經(jīng)計(jì)算摘要和機(jī)密或認(rèn)證密鑰來生成所述部分的簽名。主機(jī)裝置也可確定經(jīng)計(jì)算摘要的地址范圍且將地址范圍和安全存儲(chǔ)裝置中的摘要和/或簽名相關(guān)聯(lián)。在一些實(shí)施方案中，主機(jī)裝置存儲(chǔ)和授權(quán)代碼的多個(gè)部分相關(guān)聯(lián)的信息(例如，摘要、簽名和/或地址范圍)而非存儲(chǔ)授權(quán)代碼的整個(gè)圖像。

在一些實(shí)施方案中，主機(jī)裝置選擇針對授權(quán)代碼的多個(gè)部分的多個(gè)存儲(chǔ)器地址范圍。例如，授權(quán)代碼包含起始地址和終結(jié)地址。主機(jī)裝置可隨機(jī)地選擇多對起始地址和終結(jié)地址以用作多個(gè)存儲(chǔ)器地址范圍。各存儲(chǔ)器地址范圍對應(yīng)于授權(quán)代碼的特定部分。主機(jī)裝置基于授權(quán)代碼的地址范圍確定各地址范圍的對應(yīng)部分，且計(jì)算各部分的相應(yīng)摘要。接著，主機(jī)裝置將經(jīng)計(jì)算摘要和相應(yīng)地址范圍存儲(chǔ)在安全存儲(chǔ)裝置中且針對安全存儲(chǔ)裝置中的各部分使相應(yīng)地址范圍與相應(yīng)摘要相關(guān)聯(lián)。

主機(jī)裝置可(例如)隨機(jī)選擇授權(quán)代碼的特定部分且產(chǎn)生用于請求特定部分的加密性質(zhì)的質(zhì)詢。質(zhì)詢可包含與特定部分相關(guān)聯(lián)的地址范圍?？蛻舳搜b置可處理質(zhì)詢以確定地址范圍?？蛻舳搜b置可選擇具有地址范圍的存儲(chǔ)在客戶端裝置內(nèi)的代碼的部分，產(chǎn)生代碼的所述部分的性質(zhì)且將代碼的所述部分的所產(chǎn)生性質(zhì)包含在響應(yīng)中。主機(jī)裝置可通過確定響應(yīng)包含對應(yīng)于授權(quán)代碼的特定部分的信息而驗(yàn)證對質(zhì)詢的響應(yīng)的正確性。對于所述質(zhì)詢，主機(jī)裝置每次可從多個(gè)部分選擇不同部分。

主機(jī)裝置可(例如)通過從安全來源下載來更新客戶端裝置的認(rèn)證代碼的副本，且將經(jīng)更新的副本存儲(chǔ)在與主機(jī)裝置相關(guān)聯(lián)的安全存儲(chǔ)裝置中?？蛻舳搜b置還可(例如)從相同安全來源或從主機(jī)裝置更新授權(quán)代碼。主機(jī)裝置可(例如)基于特定部分的關(guān)鍵性和/或主機(jī)裝置的存儲(chǔ)可用性存儲(chǔ)新的授權(quán)代碼的特定部分。主機(jī)裝置每次可使新的授權(quán)代碼的范圍發(fā)生變化以包含在特定部分中。在一些實(shí)施方案中，主機(jī)裝置產(chǎn)生用于請求特定部分的加密性質(zhì)和/或授權(quán)代碼的整個(gè)圖像的加密性質(zhì)的質(zhì)詢。例如，質(zhì)詢可包含對特定部分的摘要和授權(quán)代碼的整個(gè)圖像的請求。

在一些實(shí)施方案中，質(zhì)詢包含對消息認(rèn)證代碼(mac)的請求。質(zhì)詢也可包含臨時(shí)數(shù)?？蛻舳搜b置基于存儲(chǔ)在客戶端裝置內(nèi)的代碼和機(jī)密密鑰(例如，存儲(chǔ)在圖2的安全存儲(chǔ)裝置226中)和/或臨時(shí)數(shù)而產(chǎn)生客戶端側(cè)mac，且將所產(chǎn)生的客戶端側(cè)mac發(fā)送到主機(jī)裝置。主機(jī)裝置基于存儲(chǔ)在主機(jī)裝置內(nèi)的認(rèn)證代碼和機(jī)密密鑰和/或臨時(shí)數(shù)而產(chǎn)生主機(jī)側(cè)mac。機(jī)密密鑰可為與客戶端裝置共享的確認(rèn)密鑰。主機(jī)裝置將響應(yīng)中的客戶端側(cè)mac與所產(chǎn)生的主機(jī)側(cè)mac比較以確定存儲(chǔ)在客戶端裝置中的代碼是否經(jīng)授權(quán)。

在一些實(shí)施方案中，主機(jī)裝置發(fā)送具有對應(yīng)于客戶端裝置的代碼的授權(quán)代碼的簽名的質(zhì)詢?？蛻舳搜b置的安全模塊可基于存儲(chǔ)在安全模塊中的私有密鑰計(jì)算代碼的簽名且使用授權(quán)代碼的簽名確認(rèn)經(jīng)計(jì)算簽名?？蛻舳搜b置可將確認(rèn)結(jié)果包含在響應(yīng)中。主機(jī)裝置可基于接收到的確認(rèn)結(jié)果確定代碼是否存儲(chǔ)在客戶端裝置內(nèi)。

圖4是通過主機(jī)裝置執(zhí)行以對多個(gè)客戶端裝置執(zhí)行受控安全代碼認(rèn)證的實(shí)例過程400的流程圖。主機(jī)裝置可類似于圖1的主機(jī)裝置112或圖2a的主機(jī)裝置202或圖2b的主機(jī)裝置252，且各客戶端裝置可類似于圖1的客戶端裝置116a、116b或116n或圖2a的客戶端裝置204或圖2b的客戶端裝置254。

主機(jī)裝置發(fā)送用于請求客戶端裝置的相應(yīng)代碼的性質(zhì)的相應(yīng)質(zhì)詢到多個(gè)客戶端裝置中的各者(402)。主機(jī)裝置可包含安全存儲(chǔ)裝置(例如，圖2的安全存儲(chǔ)裝置216)用于存儲(chǔ)對應(yīng)于客戶端裝置的代碼的相應(yīng)授權(quán)代碼和客戶端裝置的相關(guān)聯(lián)標(biāo)識(shí)符的信息。各客戶端裝置可經(jīng)由網(wǎng)絡(luò)(例如，圖1的網(wǎng)絡(luò)114)耦合到主機(jī)裝置。針對各客戶端裝置，安全存儲(chǔ)裝置可存儲(chǔ)關(guān)于相應(yīng)授權(quán)代碼的若干部分的信息。對不同客戶端裝置的相應(yīng)質(zhì)詢可為不同的。例如，不同質(zhì)詢可請求不同客戶端裝置的相應(yīng)授權(quán)代碼的不同部分。

主機(jī)裝置接收對特定質(zhì)詢的特定響應(yīng)(404)。特定響應(yīng)包含關(guān)于特定客戶端裝置的特定標(biāo)識(shí)符和存儲(chǔ)在特定客戶端裝置內(nèi)的特定代碼的加密性質(zhì)的信息。例如，特定客戶端裝置可接收對相應(yīng)授權(quán)代碼的摘要的質(zhì)詢。特定客戶端裝置可產(chǎn)生特定操作代碼的摘要且使用所述摘要和特定客戶端裝置的特定標(biāo)識(shí)符生成簽名。特定客戶端裝置接著將所生成的簽名在特定響應(yīng)中發(fā)送到主機(jī)裝置。特定客戶端裝置也可使用摘要產(chǎn)生簽名且將簽名和特定標(biāo)識(shí)符包含在特定響應(yīng)中。

主機(jī)裝置識(shí)別安全存儲(chǔ)裝置中與特定標(biāo)識(shí)符相關(guān)聯(lián)的特定授權(quán)代碼的信息(406)。主機(jī)裝置可分析特定響應(yīng)以獲得特定標(biāo)識(shí)符。基于特定標(biāo)識(shí)符，主機(jī)裝置可識(shí)別與存儲(chǔ)在安全存儲(chǔ)裝置中的特定標(biāo)識(shí)符相關(guān)聯(lián)的特定授權(quán)代碼的信息。

主機(jī)裝置獲得特定授權(quán)代碼的加密性質(zhì)(408)。例如，主機(jī)裝置可基于安全存儲(chǔ)裝置中的特定授權(quán)代碼的經(jīng)識(shí)別信息產(chǎn)生特定授權(quán)代碼的加密性質(zhì)。

主機(jī)裝置驗(yàn)證響應(yīng)是否為正確的(410)。主機(jī)裝置可確定特定授權(quán)代碼的所獲得的加密性質(zhì)是否與特定響應(yīng)中的特定代碼的加密性質(zhì)匹配。

如果特定授權(quán)代碼的所獲得的加密性質(zhì)與特定響應(yīng)中的特定代碼的加密性質(zhì)不匹配，那么主機(jī)裝置驗(yàn)證特定響應(yīng)的不正確性且確定存儲(chǔ)在特定客戶端裝置內(nèi)的代碼未經(jīng)授權(quán)(412)。主機(jī)裝置可隔離外部環(huán)境而不存取或利用特定客戶端裝置和/或發(fā)送消息或通知到與主機(jī)裝置或特定客戶端裝置相關(guān)聯(lián)的實(shí)體。主機(jī)裝置還可發(fā)送通知到客戶端裝置或?qū)嶓w以更新存儲(chǔ)在客戶端裝置內(nèi)的代碼。

如果特定授權(quán)代碼的所獲得的加密性質(zhì)與特定響應(yīng)中的特定代碼的加密性質(zhì)匹配，那么主機(jī)裝置驗(yàn)證特定響應(yīng)的正確性且確定特定客戶端裝置的代碼經(jīng)授權(quán)(414)。主機(jī)裝置可如上文提及啟用特定客戶端裝置。

實(shí)例概念

鑒于前述內(nèi)容，請注意，本技術(shù)可(例如)根據(jù)以下實(shí)例概念實(shí)施：

1.一種裝置包含處理器和耦合到所述處理器并存儲(chǔ)邏輯的一或多個(gè)存儲(chǔ)媒體，所述邏輯經(jīng)配置以在被所述處理器執(zhí)行時(shí)使所述處理器：發(fā)射請求到客戶端裝置，所述請求包含對存儲(chǔ)在所述客戶端裝置內(nèi)的代碼的性質(zhì)的質(zhì)詢；接收對所述請求的響應(yīng)，所述響應(yīng)包括與所述代碼的所述性質(zhì)相關(guān)聯(lián)的信息，所述信息基于所述代碼通過所述客戶端裝置產(chǎn)生；基于接收到的信息驗(yàn)證所述響應(yīng)的正確性；和基于所述響應(yīng)的正確性的所述驗(yàn)證，確定所述代碼是授權(quán)代碼。

2.根據(jù)概念1所述的裝置，其中所述質(zhì)詢是針對所述代碼的摘要且所述響應(yīng)包含所述代碼的所述摘要，所述代碼的所述摘要通過所述客戶端裝置產(chǎn)生，且所述響應(yīng)的所述正確性的所述驗(yàn)證包含：基于存儲(chǔ)在安全存儲(chǔ)裝置中的所述授權(quán)代碼的信息獲得所述授權(quán)代碼的性質(zhì)，所述授權(quán)代碼的所述性質(zhì)包含所述授權(quán)代碼的摘要和所述授權(quán)代碼的簽名中的一者；和基于所述授權(quán)代碼的所述獲得的性質(zhì)驗(yàn)證所述接收到的響應(yīng)中的所述摘要。

3.根據(jù)概念1所述的裝置，其中所述質(zhì)詢是針對所述代碼的摘要和所述代碼的簽名中的一者，所述響應(yīng)包含所述代碼的所述簽名，所述代碼的所述簽名通過所述客戶端裝置產(chǎn)生，且所述響應(yīng)的所述正確性的所述驗(yàn)證包含：基于存儲(chǔ)在安全存儲(chǔ)裝置中的所述授權(quán)代碼的信息獲得所述授權(quán)代碼的簽名；和基于所述授權(quán)代碼的所述獲得的簽名驗(yàn)證包含在所述響應(yīng)中的所述簽名。

4.根據(jù)概念1所述的裝置，其中所述請求包含所述授權(quán)代碼的簽名，且所述響應(yīng)的所述正確性的所述驗(yàn)證包含：基于所述接收到的信息確定所述客戶端裝置使用所述請求中的所述簽名確認(rèn)所述代碼的所述產(chǎn)生的摘要。

5.根據(jù)概念1所述的裝置，其中所述質(zhì)詢是針對所述代碼的消息認(rèn)證代碼(mac)，所述響應(yīng)包含基于存儲(chǔ)在所述客戶端裝置內(nèi)的所述代碼和存儲(chǔ)在所述客戶端裝置內(nèi)的共享機(jī)密密鑰通過所述客戶端裝置產(chǎn)生的所述代碼的所述mac，且所述響應(yīng)的所述正確性的所述驗(yàn)證包含：基于存儲(chǔ)在安全存儲(chǔ)裝置中的所述授權(quán)代碼和存儲(chǔ)在所述安全存儲(chǔ)裝置中的所述共享機(jī)密密鑰計(jì)算所述授權(quán)代碼的mac；和基于所述授權(quán)代碼的所述經(jīng)計(jì)算mac確認(rèn)所述響應(yīng)中的所述代碼的所述mac。

6.根據(jù)概念1所述的裝置，其中所述邏輯經(jīng)配置以使所述處理器產(chǎn)生臨時(shí)數(shù)，所述請求包含所述臨時(shí)數(shù)和所述質(zhì)詢，且所述響應(yīng)的所述正確性的所述驗(yàn)證包含：確定所述接收到的信息包含與所述臨時(shí)數(shù)相關(guān)聯(lián)的信息。

7.根據(jù)概念1所述的裝置，其中所述邏輯經(jīng)配置以使所述處理器選擇所述授權(quán)代碼的多個(gè)存儲(chǔ)器地址范圍；對所述多個(gè)存儲(chǔ)器地址范圍的各者確定所述授權(quán)代碼的相應(yīng)部分；計(jì)算各確定部分的相應(yīng)摘要；將所述授權(quán)代碼的所述部分的所述相應(yīng)摘要和所述相應(yīng)存儲(chǔ)器地址范圍存儲(chǔ)在安全存儲(chǔ)裝置中；和使所述相應(yīng)存儲(chǔ)器地址范圍與所述安全存儲(chǔ)裝置中的所述部分的所述相應(yīng)摘要相關(guān)聯(lián)。

8.根據(jù)概念7所述的裝置，其中所述質(zhì)詢包含所述存儲(chǔ)器地址范圍的特定存儲(chǔ)器地址范圍，所述響應(yīng)包含基于包含在所述質(zhì)詢中的所述特定存儲(chǔ)器地址范圍通過所述客戶端裝置產(chǎn)生的所述代碼的特定部分的摘要，且所述響應(yīng)的所述正確性的所述驗(yàn)證包含：確定通過所述客戶端裝置產(chǎn)生的所述代碼的所述特定部分的所述摘要與具有所述特定存儲(chǔ)器地址范圍的所述授權(quán)代碼的所述部分的所述摘要匹配。

9.根據(jù)概念1所述的裝置，其進(jìn)一步包含經(jīng)配置以存儲(chǔ)所述授權(quán)代碼的信息的安全存儲(chǔ)裝置，且存儲(chǔ)在所述安全存儲(chǔ)裝置中的所述授權(quán)代碼的信息包括所述授權(quán)代碼的副本、所述授權(quán)代碼的摘要、所述授權(quán)代碼的簽名和所述授權(quán)代碼的消息認(rèn)證代碼(mac)中的至少一者。

10.根據(jù)概念1所述的裝置，其中所述邏輯經(jīng)配置以使所述處理器分別將多個(gè)請求發(fā)射到多個(gè)客戶端裝置，各請求包括對相應(yīng)客戶端裝置的相應(yīng)代碼的性質(zhì)的相應(yīng)質(zhì)詢；接收對特定請求的特定響應(yīng)，所述特定響應(yīng)包含特定客戶端裝置的標(biāo)識(shí)符和與所述特定客戶端裝置的特定代碼的性質(zhì)相關(guān)聯(lián)的信息，所述信息基于存儲(chǔ)在所述特定客戶端裝置內(nèi)的所述特定代碼通過所述客戶端裝置產(chǎn)生；基于與存儲(chǔ)在安全存儲(chǔ)裝置中的所述標(biāo)識(shí)符相關(guān)聯(lián)的特定授權(quán)代碼的信息來驗(yàn)證所述特定響應(yīng)的正確性；和基于驗(yàn)證所述響應(yīng)的正確性，確定存儲(chǔ)在所述特定客戶端裝置內(nèi)的所述特定代碼為所述特定授權(quán)代碼。

11.一種裝置包含耦合到處理器且存儲(chǔ)邏輯的一或多個(gè)存儲(chǔ)媒體，所述邏輯經(jīng)配置以在被所述處理器執(zhí)行時(shí)使所述處理器：從主機(jī)裝置接收請求，所述請求包含對存儲(chǔ)在所述客戶端裝置內(nèi)的代碼的性質(zhì)的質(zhì)詢；基于所述代碼產(chǎn)生所述代碼的所述性質(zhì)；及將包含與所述代碼的所述產(chǎn)生的性質(zhì)相關(guān)聯(lián)的信息的響應(yīng)發(fā)射到所述主機(jī)裝置。

12.根據(jù)概念11所述的裝置，其進(jìn)一步包含安全模塊。

13.根據(jù)概念12所述的裝置，其中所述代碼的所述性質(zhì)包含所述代碼的摘要，所述安全模塊經(jīng)配置以基于所述代碼的所述產(chǎn)生的摘要和存儲(chǔ)在所述安全模塊中的加密密鑰計(jì)算所述代碼的簽名，且所述響應(yīng)包含所述代碼的所述經(jīng)計(jì)算簽名。

14.根據(jù)概念12所述的裝置，其中所述請求包含對應(yīng)于所述代碼的授權(quán)代碼的簽名，所述安全模塊經(jīng)配置以：基于所述代碼的所述產(chǎn)生的摘要和存儲(chǔ)在所述安全模塊中的加密密鑰計(jì)算所述簽名；及使用在所述接收到的請求中的所述授權(quán)代碼的所述簽名來確認(rèn)所述代碼的所述經(jīng)計(jì)算簽名，且所述響應(yīng)包含所述確認(rèn)的結(jié)果。

15.根據(jù)概念14所述的裝置，其中所述安全模塊經(jīng)配置以響應(yīng)于所述確認(rèn)啟用所述客戶端裝置。

16.根據(jù)概念12所述的裝置，其中所述代碼的所述性質(zhì)為所述代碼的消息認(rèn)證代碼(mac)，且所述安全模塊經(jīng)配置以基于存儲(chǔ)在所述客戶端裝置內(nèi)的所述代碼和存儲(chǔ)在所述安全模塊中的共享機(jī)密密鑰產(chǎn)生所述代碼的所述mac。

17.根據(jù)概念12所述的裝置，其中所述安全模塊經(jīng)配置以使用存儲(chǔ)在所述安全模塊中的共享機(jī)密密鑰產(chǎn)生所述代碼的摘要的mac。

18.根據(jù)概念11所述的裝置，其中所述邏輯經(jīng)配置以使所述處理器確定所述接收到的請求包含臨時(shí)數(shù)；且用所述臨時(shí)數(shù)散列所述代碼的所述產(chǎn)生的性質(zhì)，且所述響應(yīng)包含所述代碼的所述經(jīng)散列性質(zhì)。

19.根據(jù)概念11所述的裝置，其中所述邏輯經(jīng)配置以使所述處理器：確定所述接收到的質(zhì)詢包含存儲(chǔ)器地址范圍；選擇具有所述存儲(chǔ)器地址范圍的存儲(chǔ)在所述客戶端裝置內(nèi)的所述代碼的部分；且產(chǎn)生所述代碼的所述被選擇部分的所述性質(zhì)，且所述響應(yīng)包含所述代碼的所述被選擇部分的所述產(chǎn)生的性質(zhì)。

20.根據(jù)概念11所述的裝置，其中所述邏輯經(jīng)配置以使所述處理器將所述客戶端裝置的標(biāo)識(shí)符包含在所述響應(yīng)中。

21.一種非暫時(shí)性計(jì)算機(jī)可讀存儲(chǔ)媒體，其耦合到一或多個(gè)處理器且上面存儲(chǔ)有指令，所述指令在被所述一或多個(gè)處理器執(zhí)行時(shí)使所述一或多個(gè)處理器執(zhí)行操作，所述操作包含：通過主機(jī)裝置發(fā)射請求到客戶端裝置，所述請求包含對存儲(chǔ)在所述客戶端裝置內(nèi)的代碼的性質(zhì)的質(zhì)詢；通過所述主機(jī)裝置接收對所述請求的響應(yīng)，所述響應(yīng)包含與所述代碼的所述性質(zhì)相關(guān)聯(lián)的信息，所述信息基于所述代碼通過所述客戶端裝置產(chǎn)生；通過所述主機(jī)裝置基于接收到的信息驗(yàn)證所述響應(yīng)的正確性；和基于所述響應(yīng)的正確性的所述驗(yàn)證，通過所述主機(jī)裝置確定所述代碼是授權(quán)代碼。

22.根據(jù)概念21所述的計(jì)算機(jī)可讀存儲(chǔ)媒體，其中所述質(zhì)詢是針對所述代碼的摘要，所述響應(yīng)包含所述代碼的所述摘要，所述代碼的所述摘要通過所述客戶端裝置產(chǎn)生，且所述響應(yīng)的所述正確性的所述驗(yàn)證包含：基于存儲(chǔ)在安全存儲(chǔ)裝置中的所述授權(quán)代碼的信息獲得所述授權(quán)代碼的性質(zhì)，所述授權(quán)代碼的所述性質(zhì)包含所述授權(quán)代碼的摘要和所述授權(quán)代碼的簽名中的一者；和基于所述授權(quán)代碼的所述獲得的性質(zhì)驗(yàn)證所述接收到的響應(yīng)中的所述摘要。

23.根據(jù)概念21所述的計(jì)算機(jī)可讀存儲(chǔ)媒體，其中所述質(zhì)詢是針對所述代碼的摘要和所述代碼的簽名中的一者，所述響應(yīng)包含所述代碼的所述簽名，所述代碼的所述簽名通過所述客戶端裝置產(chǎn)生，且所述響應(yīng)的所述正確性的所述驗(yàn)證包含：基于存儲(chǔ)在安全存儲(chǔ)裝置中的所述授權(quán)代碼的信息獲得所述授權(quán)代碼的簽名；和基于所述授權(quán)代碼的所述獲得的簽名來確認(rèn)包含在所述響應(yīng)中的所述簽名。

24.根據(jù)概念23所述的計(jì)算機(jī)可讀存儲(chǔ)媒體，其中所述客戶端裝置基于存儲(chǔ)在所述客戶端裝置內(nèi)的所述代碼的所述摘要和存儲(chǔ)在所述客戶端裝置內(nèi)的私有密鑰產(chǎn)生所述代碼的所述簽名，且其中獲得所述授權(quán)代碼的所述簽名包含使用所述授權(quán)代碼的摘要和存儲(chǔ)在所述安全存儲(chǔ)裝置中且對應(yīng)于所述私有密鑰的加密密鑰來計(jì)算所述授權(quán)代碼的所述簽名。

25.根據(jù)概念21所述的計(jì)算機(jī)可讀存儲(chǔ)媒體，其中所述請求包含所述授權(quán)代碼的簽名，且驗(yàn)證所述響應(yīng)的正確性包含：基于所述接收到的信息確定所述客戶端裝置使用所述請求中的所述簽名確認(rèn)所述代碼的所述產(chǎn)生的摘要。

26.根據(jù)概念21所述的計(jì)算機(jī)可讀存儲(chǔ)媒體，其中所述質(zhì)詢是針對所述代碼的消息認(rèn)證代碼(mac)，所述響應(yīng)包含所述代碼的所述mac，所述代碼的所述mac基于存儲(chǔ)在所述客戶端裝置內(nèi)的所述代碼和存儲(chǔ)在所述客戶端裝置內(nèi)的共享機(jī)密密鑰通過所述客戶端裝置產(chǎn)生，且驗(yàn)證所述響應(yīng)的正確性包含：基于存儲(chǔ)在安全存儲(chǔ)裝置中的所述授權(quán)代碼和存儲(chǔ)在所述安全存儲(chǔ)裝置中的所述共享機(jī)密密鑰計(jì)算所述授權(quán)代碼的mac；和基于所述授權(quán)代碼的所述經(jīng)計(jì)算mac確認(rèn)所述響應(yīng)中的所述代碼的所述mac。

27.根據(jù)概念21所述的計(jì)算機(jī)可讀存儲(chǔ)媒體，其中所述操作進(jìn)一步包含產(chǎn)生臨時(shí)數(shù)，所述請求包含所述臨時(shí)數(shù)和所述質(zhì)詢，且驗(yàn)證所述響應(yīng)的正確性包含：確定所述接收到的信息包含與所述臨時(shí)數(shù)相關(guān)聯(lián)的信息。

28.根據(jù)概念21所述的計(jì)算機(jī)可讀存儲(chǔ)媒體，其中所述操作進(jìn)一步包含選擇所述授權(quán)代碼的多個(gè)存儲(chǔ)器地址范圍；針對所述多個(gè)存儲(chǔ)器地址范圍中的各者確定所述授權(quán)代碼的相應(yīng)部分；計(jì)算各確定部分的相應(yīng)摘要；將所述授權(quán)代碼的所述部分的所述相應(yīng)摘要和所述相應(yīng)存儲(chǔ)器地址范圍存儲(chǔ)在安全存儲(chǔ)裝置中；和使所述相應(yīng)存儲(chǔ)器地址范圍與所述安全存儲(chǔ)裝置中所述部分的所述相應(yīng)摘要相關(guān)聯(lián)。

29.根據(jù)概念28所述的計(jì)算機(jī)可讀存儲(chǔ)媒體，其中所述質(zhì)詢包含所述存儲(chǔ)器地址范圍中的特定存儲(chǔ)器地址范圍，其中所述響應(yīng)包含基于包含在所述質(zhì)詢中的所述特定存儲(chǔ)器地址范圍通過所述客戶端裝置產(chǎn)生的所述代碼的特定部分的摘要，且其中所述響應(yīng)的所述正確性的所述驗(yàn)證包含確定通過所述客戶端裝置產(chǎn)生的所述代碼的所述特定部分的所述摘要與對應(yīng)于所述特定存儲(chǔ)器地址范圍的所述授權(quán)代碼的所述部分的所述摘要匹配。

30.根據(jù)概念21所述的計(jì)算機(jī)可讀存儲(chǔ)媒體，其中所述客戶端裝置的所述代碼包含以下各者中的一者：引導(dǎo)代碼，其經(jīng)配置以在被執(zhí)行時(shí)使所述客戶端裝置執(zhí)行引導(dǎo)操作；及操作代碼，其經(jīng)配置以在被執(zhí)行時(shí)使所述客戶端裝置執(zhí)行對應(yīng)于所述操作代碼的操作。

31.根據(jù)概念21所述的計(jì)算機(jī)可讀存儲(chǔ)媒體，其中所述主機(jī)裝置包含經(jīng)配置以存儲(chǔ)所述授權(quán)代碼的信息的安全存儲(chǔ)裝置，且存儲(chǔ)在所述安全存儲(chǔ)裝置中的所述授權(quán)代碼的所述信息包括所述授權(quán)代碼的副本、所述授權(quán)代碼的摘要、所述授權(quán)代碼的簽名和所述授權(quán)代碼的消息認(rèn)證代碼(mac)中的至少一者。

32.根據(jù)概念21所述的計(jì)算機(jī)可讀存儲(chǔ)媒體，其中所述響應(yīng)包含基于通過所述客戶端裝置產(chǎn)生的所述摘要和存儲(chǔ)在所述客戶端裝置內(nèi)的共享機(jī)密密鑰通過所述客戶端裝置產(chǎn)生所述代碼的摘要的mac，且驗(yàn)證所述響應(yīng)的正確性包含：基于存儲(chǔ)在安全存儲(chǔ)裝置中的所述授權(quán)代碼和存儲(chǔ)在所述安全存儲(chǔ)裝置中的所述共享機(jī)密密鑰計(jì)算所述授權(quán)代碼的摘要的mac；和基于所述授權(quán)代碼的所述摘要的所述經(jīng)計(jì)算mac確認(rèn)所述響應(yīng)中的所述代碼的所述摘要的所述mac。

應(yīng)注意，以上實(shí)例概念為了說明的目的而呈現(xiàn)，且本技術(shù)不限于這些實(shí)例概念。

本說明書中描述的本發(fā)明主題的特定實(shí)施例可經(jīng)實(shí)施以實(shí)現(xiàn)下列優(yōu)點(diǎn)中的一或多者。通過使用可信或安全主機(jī)裝置來對客戶端裝置執(zhí)行受控安全代碼認(rèn)證，主機(jī)/客戶端網(wǎng)絡(luò)的安全性可通過主機(jī)裝置的安全性得以改善。由于主機(jī)裝置可具有大于客戶端裝置的安全能力，例如，主機(jī)裝置可具有在客戶端裝置上不可用的安全存儲(chǔ)裝置、高計(jì)算能力和隨機(jī)數(shù)產(chǎn)生器，所以客戶端裝置上的操作的安全性可得以增大且欺騙性操作可被避免或最小化。主機(jī)控制安全代碼認(rèn)證可確保，存儲(chǔ)在客戶端裝置中的客戶端代碼是(例如)如oem所想要的認(rèn)證代碼，且惡意軟件無法在客戶端裝置上運(yùn)行。而且，由于主機(jī)裝置執(zhí)行認(rèn)證，所以和自身執(zhí)行本地認(rèn)證的客戶端裝置比較，主機(jī)裝置可具有更快速處理器來改善認(rèn)證速度?？墒沟每蛻舳搜b置具有低安全能力(例如，不具有抵抗攻擊的安全存儲(chǔ)裝置和/或不具有高性能邏輯)，因此可具有低成本。主機(jī)裝置可存儲(chǔ)客戶端裝置的整個(gè)代碼圖像，其可通過濃縮主機(jī)裝置中的聯(lián)網(wǎng)且消除對客戶端裝置中的額外存儲(chǔ)器的需要而簡化對客戶端裝置的代碼更新，這是因?yàn)槿绻率?，那么代碼可被恢復(fù)。憑借主機(jī)控制安全代碼認(rèn)證，即使客戶端裝置提供弱的保護(hù)，用戶也可信任客戶端裝置。例如，即使整個(gè)存儲(chǔ)器已知或能夠被攻擊者修改，仍可確保代碼的完整性。在另一實(shí)例中，即使無法適當(dāng)?shù)乇Ｗo(hù)客戶端裝置的引導(dǎo)代碼，仍可實(shí)施客戶端裝置的安全引導(dǎo)。主機(jī)裝置可用來對若干客戶端裝置執(zhí)行安全代碼認(rèn)證，這可為非常有效的。如果客戶端裝置是經(jīng)復(fù)制裝置，那么主機(jī)裝置可僅用代碼的單個(gè)圖像來管理或認(rèn)證其代碼。受控安全代碼認(rèn)證可應(yīng)用在不同環(huán)境中，例如，應(yīng)用在汽車系統(tǒng)、家庭網(wǎng)絡(luò)或醫(yī)療裝置系統(tǒng)中。

本說明書中描述的本發(fā)明主題的實(shí)施例和功能操作可以以下各者實(shí)施：數(shù)字電子電路、有形體現(xiàn)的計(jì)算機(jī)軟件或固件、計(jì)算機(jī)硬件(包含本說明書中揭示的結(jié)構(gòu)和其結(jié)構(gòu)等同物)，或其一或多者的組合。本說明書中描述的本發(fā)明主題的實(shí)施例可實(shí)施為一或多個(gè)計(jì)算機(jī)程序，即，在有形非暫時(shí)性程序載體上編碼以供數(shù)據(jù)處理設(shè)備執(zhí)行或控制所述設(shè)備的操作的計(jì)算機(jī)程序指令的一或多個(gè)模塊?；蛘呋蛄硗?，程序指令可在人造傳播信號(hào)(例如，機(jī)器產(chǎn)生電、光或電磁信號(hào))上編碼，產(chǎn)生所述信號(hào)以編碼信息以供發(fā)射到適當(dāng)接收器設(shè)備從而供數(shù)據(jù)處理設(shè)備執(zhí)行。計(jì)算機(jī)存儲(chǔ)媒體可為機(jī)器可讀存儲(chǔ)裝置、機(jī)器可讀存儲(chǔ)襯底、隨機(jī)或串行存取存儲(chǔ)器裝置或其一或多者的組合。

本說明書中描述的過程和邏輯流程可通過執(zhí)行一或多個(gè)計(jì)算機(jī)程序的一或多個(gè)可編程計(jì)算機(jī)執(zhí)行以通過對輸入數(shù)據(jù)進(jìn)行運(yùn)算及產(chǎn)生輸出來執(zhí)行功能。過程和邏輯流程也可通過專用邏輯電路(例如，fpga(現(xiàn)場可編程門陣列)或asic(專用集成電路))執(zhí)行，且設(shè)備也可實(shí)施為專用邏輯電路。

例如，適用于執(zhí)行計(jì)算機(jī)程序的計(jì)算機(jī)包含、可基于通用或?qū)Ｓ梦⑻幚砥骰騼烧?，或任何其它種類的中央處理單元。通常，中央處理單元將從只讀存儲(chǔ)器或隨機(jī)存取存儲(chǔ)器或兩者接收指令和數(shù)據(jù)。計(jì)算機(jī)的基本元件是用于執(zhí)行(perform、execute)指令的中央處理單元和用于存儲(chǔ)指令和數(shù)據(jù)的一或多個(gè)存儲(chǔ)器裝置。通常，計(jì)算機(jī)也可包含用于存儲(chǔ)數(shù)據(jù)的一或多個(gè)大容量存儲(chǔ)器(例如，磁盤、磁光盤或光盤)，或以操作方式耦合以從所述大容量存儲(chǔ)器接收數(shù)據(jù)或傳送數(shù)據(jù)到所述大容量存儲(chǔ)器，或既從所述大容量存儲(chǔ)器接收數(shù)據(jù)也傳送數(shù)據(jù)到所述大容量存儲(chǔ)器。然而，計(jì)算機(jī)不需要具有此類裝置。而且，計(jì)算機(jī)可嵌入另一裝置中，例如，嵌入于移動(dòng)電話、個(gè)人數(shù)字助理(pda)、移動(dòng)音頻或視頻播放器、游戲控制臺(tái)、全球定位系統(tǒng)(gps)接收器或便攜式存儲(chǔ)裝置(例如，通用串行總線(usb)閃存驅(qū)動(dòng)器)(這里僅列舉一些)中。

適用于存儲(chǔ)計(jì)算機(jī)程序指令和數(shù)據(jù)的計(jì)算機(jī)可讀媒體包含所有形式的非易失性存儲(chǔ)器、媒體或存儲(chǔ)器裝置，例如包含半導(dǎo)體存儲(chǔ)器裝置，例如，eprom、eeprom和閃存存儲(chǔ)器裝置；磁盤，例如，內(nèi)部硬盤或可抽換式磁盤；磁光盤；以及cd-rom和dvd-rom盤。處理器和存儲(chǔ)器可通過專用邏輯電路補(bǔ)充或并入專用邏輯電路中。

雖然本說明書含有許多特定實(shí)施方案細(xì)節(jié)，但是這些不應(yīng)被解譯為對本發(fā)明的范圍或者可主張的保護(hù)內(nèi)容的限制，而應(yīng)當(dāng)解譯為對于本發(fā)明的特定實(shí)施例可為特定的特征的描述。在本說明書中的在分離的實(shí)施例情形下描述的某些特征也可以在單個(gè)實(shí)施例中組合地實(shí)施。相反地，在單個(gè)實(shí)施例的情形下描述的各種特征也可以單獨(dú)地或者以任何合適的子組合在多個(gè)實(shí)施例中實(shí)施。而且，雖然上文中特征可被描述成以某些組合起作用并且甚至最初如此主張，但是來自所主張的組合的一或多個(gè)特征在一些情況下可以從組合中刪除，并且所主張組合可針對子組合或子組合的變形。

類似地，雖然在附圖中以特定的次序描繪操作，但這不應(yīng)當(dāng)被理解為要求此類操作以所示出的特定次序或以連續(xù)次序來執(zhí)行，或者所有所說明的操作被執(zhí)行，以實(shí)現(xiàn)所要結(jié)果。在某些情形下，多任務(wù)和并行處理可為有利的。而且，上文描述的實(shí)施例中的各種系統(tǒng)模塊和組件的分離不應(yīng)被理解為在所有實(shí)施例中都需要此分離，且應(yīng)理解，所描述的程序組件和系統(tǒng)通常可一起集成在單個(gè)軟件產(chǎn)品中或封裝到多個(gè)軟件產(chǎn)品中。

因此，已經(jīng)描述了本發(fā)明主題的特定實(shí)施例。其它實(shí)施例在以下權(quán)利要求書的范圍內(nèi)。在一些情況下，在權(quán)利要求中敘述的動(dòng)作可以不同順序執(zhí)行但仍然實(shí)現(xiàn)所要結(jié)果。另外，在附圖中描繪的過程不必要求所示的特定次序或連續(xù)次序來獲得所要結(jié)果。在某些實(shí)施方案中，多任務(wù)和并行處理可為有利的。