具有信任链的装置制造方法及图纸

本申请涉及一种具有信任链的装置。描述用以启用具有信任链的装置的方法、系统和装置。作为包含信任根实体的系统的启动程序的部分，控制器可认证所述信任根实体。所述信任根实体可作为所述启动程序的部分接收与所述系统的第一实体相关联的第一代码部分。所述控制器可生成所述第一代码部分的第一测量结果，并且可通过所述信任根实体识别与所述第一代码部分相关联的第二测量结果。所述控制器可作为认证所述第一代码部分的部分通过所述信任根实体确定所述第一测量结果是否与所述第二测量结果匹配，并且可通过所述信任根实体发射所述第一测量结果和所述第二测量结果是否匹配的指示。示。示。

【技术实现步骤摘要】
具有信任链的装置
[0001]交叉参考
[0002]本专利申请要求由刘(Liu)于2020年8月28日提交的标题为“具有信任链的装置(A DEVICE WITH CHAIN OF TRUST)”的第17/006,182号美国专利申请的优先权，所述美国专利申请转让给本受让人，并且明确地以全文引用的方式并入本文中。


[0003]
涉及一种具有信任链的装置。

技术介绍

[0004]下文大体上涉及用于存储器的一或多个系统，并且更确切地说，涉及一种具有信任链的装置。
[0005]存储器装置广泛用于将信息存储在例如计算机、无线通信装置、相机、数字显示器等的各种电子装置中。通过将存储器装置内的存储器单元编程到不同状态来存储信息。举例来说，二进制存储器单元可编程到两个支持状态中的一个，常常由逻辑1或逻辑0来标示。在一些实例中，单个存储器单元可支持多于两个状态，所述多于两个状态中的任一个可被存储。为了存取所存储信息，组件可读取或感测存储器装置中的至少一个所存储状态。为了存储信息，组件可在存储器装置中写入状态或对状态进行编程。
[0006]存在各种类型的存储器装置和存储器单元，包含磁性硬盘、随机存取存储器(RAM)、只读存储器(ROM)、动态RAM(DRAM)、同步动态RAM(SDRAM)、铁电RAM(FeRAM)、磁性RAM(MRAM)、电阻性RAM(RRAM)、快闪存储器、相变存储器(PCM)、自选存储器、硫族化物存储器技术等。存储器单元可为易失性的或非易失性的。例如FeRAM的非易失性存储器即使在不存在外部电源的情况下仍可维持其所存储逻辑状态达很长一段时间。例如DRAM的易失性存储器装置在与外部电源断开连接时可能会丢失其所存储状态。

技术实现思路

[0007]描述一种设备。设备可包含存储器阵列和与存储器阵列耦合的控制器。控制器可被配置成使得设备：认证信任根实体作为包含信任根实体的系统的启动程序的部分；通过信任根实体且作为启动程序的部分至少部分地基于认证信任根实体而接收与系统的第一实体相关联的第一代码部分；至少部分地基于接收到第一代码部分而生成与第一实体相关联的第一代码部分的第一测量结果；通过信任根实体至少部分地基于生成第一测量结果而识别与同第一实体相关联的第一代码部分相关联的第二测量结果；通过信任根实体确定第一测量结果是否与第二测量结果匹配作为认证与第一实体相关联的第一代码部分作为启动程序的部分的部分；以及通过信任根实体发射第一测量结果是否与第二测量结果匹配的指示。
[0008]描述一种存储代码的非暂时性计算机可读媒体。存储代码的非暂时性计算机可读媒体可包含指令，所述指令在由电子装置的处理器执行时使得电子装置：认证信任根实体
作为包含信任根实体的系统的启动程序的部分；通过信任根实体且作为系统的启动程序的部分至少部分地基于认证信任根实体而接收与系统的第一实体相关联的第一代码部分；至少部分地基于接收到第一代码部分而生成与第一实体相关联的第一代码部分的第一测量结果；通过信任根实体至少部分地基于生成第一测量结果而识别与同第一实体相关联的第一代码部分相关联的第二测量结果；通过信任根实体确定第一测量结果是否与第二测量结果匹配作为认证与第一实体相关联的第一代码部分作为启动程序的部分的部分；以及通过信任根实体发射第一测量结果是否与第二测量结果匹配的指示。
[0009]描述一种方法。方法可包含：认证信任根实体作为包含信任根实体的系统的启动程序的部分；通过信任根实体且作为系统的启动程序的部分至少部分地基于认证信任根实体而接收与系统的第一实体相关联的第一代码部分；至少部分地基于接收到第一代码部分而生成与第一实体相关联的第一代码部分的第一测量结果；通过信任根实体至少部分地基于生成第一测量结果而识别与同第一实体相关联的第一代码部分相关联的第二测量结果；通过信任根实体确定第一测量结果是否与第二测量结果匹配作为认证与第一实体相关联的第一代码部分作为启动程序的部分的部分；以及通过信任根实体发射第一测量结果是否与第二测量结果匹配的指示。
附图说明
[0010]图1说明根据如本文中所公开的实例的支持具有信任链的装置的启用的系统的实例。
[0011]图2A说明根据如本文中所公开的实例的支持具有信任链的装置的启用的终端装置配置的实例。
[0012]图2B说明根据如本文中所公开的实例的支持具有信任链的装置的启用的初始化程序的实例。
[0013]图3说明根据如本文中所公开的实例的支持具有信任链的装置的启用的过程流程的实例。
[0014]图4展示根据如本文中所公开的实例的支持具有信任链的装置的启用的系统的框图。
[0015]图5展示说明根据如本文中所公开的实例的支持具有信任链的装置的一或多种方法的流程图。
具体实施方式
[0016]在装置通电时，装置可根据启动序列启动。执行启动序列可涉及启动硬件和/或初始化装置的固件和软件中的一或多个。初始化的代码中的至少一些(例如，对应于基本输入/输出系统(BIOS)、启动加载器或操作系统的代码)可在初始化之前认证。此认证可发生以确保代码在装置已启动之前尚未被篡改。
[0017]在一些实例中，代码自身可包含用于对由代码加载的额外代码执行认证的指令。然而，在一些实例中，对应于执行此认证过程的代码的部分可由未经授权用户篡改。另外，作为认证额外代码的部分，代码可包含用于检查额外代码的签名的指令。作为启动序列的部分起始的不同实体可各自具有其自身的认证或验证过程。具有多个认证过程可使实体或
代码的部分更易受由未经授权用户篡改的影响。
[0018]系统、装置和技艺可包含被配置成在初始化代码之前认证代码的信任根(ROT)实体。用单个实体(例如，ROT实体)集中启动序列的认证程序可提高启动序列的安全性且减少篡改的可能性。ROT实体可从与启动序列相关联的不同实体接收代码，并且可使用所接收代码来生成第一测量结果(例如，散列)。ROT实体可将第一测量结果与同所接收代码的未篡改版本相关联的第二测量结果进行比较。另外，ROT实体自身可与对应于装置的用户的公用密钥相关联。因而，代替使用多个公用密钥来检查签名，可使用一个公用密钥(例如，ROT实体的公用密钥)。另外，ROT实体检查代码的方式可为可配置的。
[0019]一开始在如参考图1和2A所描述的系统和终端装置配置的上下文中描述本公开的特征。在如参考图2B和3所描述的初始化程序和过程流程的上下文中描述本公开的特征。进一步通过如参考图4和5所描述的涉及具有信任链的装置的设备图和流程图来说明和描述本公开的这些和其它特征。
[0020]图1说明根据如本文中所公开的实例的支持认证软件映像的系统100的实例。系统100可包含终端装置105和管理服务器185。
[0021]终端装置105可包含存储装置112和一或多个额外组件145。在一些情况下，终端装置105可包含超管理器。存储装置可包含安全组件110，其被配置成安全地存储至少装置侧密钥135、软件映像数据140和软本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种设备，其包括：存储器阵列；控制器，其与所述存储器阵列耦合且被配置成使得所述设备：作为包含信任根实体的系统的启动程序的部分，认证所述信任根实体；通过所述信任根实体且作为所述启动程序的部分，至少部分地基于认证所述信任根实体而接收与所述系统的第一实体相关联的第一代码部分；至少部分地基于接收到所述第一代码部分而生成与所述第一实体相关联的所述第一代码部分的第一测量结果；通过所述信任根实体至少部分地基于生成所述第一测量结果而识别与同所述第一实体相关联的所述第一代码部分相关联的第二测量结果；作为作为所述启动程序的部分认证与所述第一实体相关联的所述第一代码部分的部分，通过所述信任根实体确定所述第一测量结果是否与所述第二测量结果匹配；以及通过所述信任根实体发射所述第一测量结果是否与所述第二测量结果匹配的指示。2.根据权利要求1所述的设备，其中所述控制器进一步被配置成使得所述设备：通过所述信任根实体至少部分地基于所述第一测量结果与所述第二测量结果匹配而认证与所述第一实体相关联的所述第一代码部分，其中通过所述信任根实体发射的所述指示使得所述第一实体的所述第一代码部分为所述系统的所述启动程序的部分初始化。3.根据权利要求2所述的设备，其中所述控制器进一步被配置成使得所述设备：通过所述信任根实体且作为所述系统的所述启动程序的部分，至少部分地基于认证所述第一实体而接收与所述系统的第二实体相关联的第二代码部分；至少部分地基于接收到所述第二代码部分而生成与所述第二实体相关联的第三测量结果；通过所述信任根实体至少部分地基于生成所述第三测量结果而识别与同所述第二实体相关联的所述第二代码部分相关联的第四测量结果；作为作为所述启动程序的部分认证与所述第二实体相关联的所述第二代码部分的部分，通过所述信任根实体确定所述第三测量结果是否与所述第四测量结果匹配；以及通过所述信任根实体发射所述第三测量结果是否与所述第四测量结果匹配的指示。4.根据权利要求3所述的设备，其中所述第一实体的所述第一代码部分在生成所述第三测量结果之前初始化。5.根据权利要求3所述的设备，其中所述第一实体的所述第一代码部分在确定所述第三测量结果是否与所述第四测量结果匹配之后初始化。6.根据权利要求1所述的设备，其中所述控制器进一步被配置成使得所述设备：通过所述信任根实体至少部分地基于所述第一测量结果未能与所述第二测量结果匹配而未能认证与所述第一实体相关联的所述第一代码部分，其中通过所述信任根实体发射的所述指示使得所述第一实体的所述第一代码部分避免作为所述系统的所述启动程序的部分初始化。7.根据权利要求1所述的设备，其中所述控制器进一步被配置成使得所述设备：从与所述信任根实体相关联的存储器检索所述第二测量结果，其中识别所述第二测量结果是至少部分地基于检索到所述第二测量结果。
8.根据权利要求1所述的设备，其中所述控制器进一步被配置成使得所述设备：使用具有满足阈值的信赖参数的与所述第一实体相关联的所述第一代码部分的版本来生成所述第二测量结果，其中检索所述第二测量结果是至少部分地基于生成所述第二测量结果。9.根据权利要求1所述的设备，其中所述控制器进一步被配置成使得所述设备：从与所述信任根实体相关联的存储器检索所述第一代码部分的版本且所述版本在接收所述第一代码部分之前存储；以及在作为所述启动程序的部分接收到所述第一代码部分之后且至少部分地基于检索到所述第一代码部分的所述版本而使用所述第一代码部分的所述版本来生成所述第二测量结果，其中识别所述第二测量结果是至少部分地基于生成所述第二测量结果。10.根据权利要求1所述的设备，其中所述信任根实体与包括公用密钥和私用密钥的一对密钥相关联，并且其中所述信任根实体使用所述一对密钥来接收所述第一代码部分。11.根据权利要求1所述的设备，其中所述控制器被配置成通过被配置成使得所述设备进行以下操作来生成所述第一测量结果：对所述第一代码部分进行散列以生成散列。12.根据权利要求1所述的设备，其中...

【专利技术属性】
技术研发人员：刘湛，
申请(专利权)人：美光科技公司，
类型：发明
国别省市：