[发明专利]对隔离计算环境编程的系统和方法

权利要求书

1.一种适用于使用隔离计算环境进行操作的计算机，所述隔离计算环境包括：

提供核心服务的核心服务组件；

用于接收消息的接口，所述消息包括更新代码和配置信息中的至少一个；

用于提供密码服务的密码服务组件，所述密码服务用于访问第一密钥并使用 所述第一密钥来验证所述消息的数字签名；

用于提供更新服务的更新服务组件，其中在使用所述第一密钥对所述消息验 证成功之后，所述更新服务响应于所述消息来更新所述核心服务；以及

用于提供用于限制所述计算机的功能的制裁服务的制裁服务组件。

2.如权利要求1所述的计算机，其特征在于，所述隔离计算环境还包括配置 表，其中所述更新服务响应于包括所述配置信息的所述消息更新所述配置表。

3.如权利要求1所述的计算机，其特征在于，所述制裁服务在响应于通过所 述第一密钥验证的消息更新所述核心服务之前限制所述计算机的功能。

4.如权利要求1所述的计算机，其特征在于，所述隔离计算环境还包括主存 的应用程序，其中所述消息包括核心服务更新数据和主存的应用程序更新数据中的 至少一个。

5.如权利要求1所述的计算机，其特征在于，所述核心服务的特征被数字地 验证。

6.如权利要求1所述的计算机，其特征在于，所述隔离计算环境还包括应用 程序接口，所述应用程序接口提供所述计算机和所述隔离计算环境之间的标准接 口，以便于进行实例化所述隔离计算环境上主存的应用程序、配置所述隔离计算环 境上主存的应用程序以及更新所述隔离计算环境中的任一项。

7.一种适用于使用隔离计算环境来操作的计算机，所述计算机包括：

处理器：

耦合到所述处理器、用于储存处理器可执行指令的存储器；以及

响应经由应用程序接口发送的信号的隔离计算环境，所述隔离计算环境包括：

密码电路；

处理电路；

用于储存所述应用程序接口、第一可执行码和第一配置的安全存储器； 以及

用于阻碍所述计算机的功能的制裁电路；

其中所述制裁电路阻碍所述计算机的功能，至少直到使用所述应用程序接口 替换所述第一可执行码和所述第一配置中的一个为止。

8.如权利要求7所述的计算机，其特征在于，还包括用于双向数据传输的端 口，其中经由所述端口接收的数据包括第二可执行码和第二配置中的至少一个。

9.如权利要求7所述的计算机，其特征在于，所述应用程序接口包括用于更 新所述第一可执行码和所述第一配置中的一个的第一例程。

10.如权利要求7所述的计算机，其特征在于，所述应用程序接口包括对至 所述隔离计算环境的安全数据传输连接的支持。

11.如权利要求7所述的计算机，其特征在于，还包括耦合在所述计算机和 所述制裁电路之间的触发机制，由此当触发所述制裁电路时所述计算机的功能被阻 碍。

12.如权利要求11所述的计算机，其特征在于，所述触发机制是防篡改的。

13.如权利要求7所述的计算机，其特征在于，阻碍所述计算机的功能包括 持久复位和减少所述处理器的功能中的一种。

14.一种对计算机中的隔离计算环境编程的方法，所述计算机具有操作系统， 所述方法包括：

提供包括隔离计算环境的所述计算机；

将临时性功能编程到所述隔离计算环境中；

从操作系统接收用于更新所述临时性功能的可执行指令；

认证所述可执行指令；

用经更新的功能覆盖所述临时性功能对所述隔离计算环境重新编程。

15.如权利要求14所述的方法，其特征在于，还包括当对所述可执行指令的 认证失败时限制所述计算机的功能。