[发明专利]对隔离计算环境编程的系统和方法

说明书

本申请是2004年12月22日提交的美国专利申请第11/022,493号的部分延续， 后者是2004年12月8日提交的美国专利申请第11/006,837号的部分延续，而该申 请又是2004年11月15日提交的美国专利申请10/989,122号的部分延续。

背景

如在以上所引用的申请中讨论的，对隔离计算环境，有时候称为可信计算基 础的使用带来了管理计算机，尤其是在按使用付费(pay-per-use)或即用即付 (pay-as-you-go)商业模型中使用的计算机的操作的重要能力。当这一计算机为最终 用户所控制时，隔离计算环境可表示不在场服务供应商或其它有利益方的利益。由 于隔离计算环境代表不在场方来操作，因此它必须维持其完整性以表示该不在场方 在整个制造和递送过程中的利益。在制造期间对隔离计算环境的编程可能会不必要 地将隔离计算环境的有效性限于一特定的操作环境，诸如特定的商业逻辑/政策、 应用、处理器销售商或操作系统版本。相反，在递送给最终用户之后对隔离计算环 境编程可能会允许最终用户不利于服务提供商而干扰隔离计算环境的编程。

概述

根据本发明公开的一方面，一种用于隔离计算环境的配置和编程的方法和装 置使用了密码学方法来进行认证。在一个实施例中，隔离计算环境可以在发行和分 发之前在安全制造环境中编程。在另一实施例中，隔离计算环境最初用通用系统环 境和标准密钥来编程。隔离计算环境然后可使用该通用系统环境和标准密钥来认证 将来的中间或最终编程和密钥。这一级别的编程可在安全制造环境之内或之外发 生。在又一实施例中，隔离计算环境的编程可以被推迟到安全制造环境之外。在该 实施例中，操作系统可以负责在日常的基础上从大容量存储设备下载编程。隔离计 算环境然后可负责下载数据的认证和授权。

为实现稍后的制造阶段中或在递送到现场，包括递送给最终用户之后的认证 和授权，隔离计算环境可用设置或传输密钥以及初始程序来编程以提供特定功能。 隔离计算环境然后可由可信源或用递送周期中稍后的认证数据来更新。通过推迟最 终编程，隔离计算环境的有效性和灵活性可被极大地扩展。为实施最终编程，可对 计算机施加制裁(sanction)以限制计算机的有效性，直到经批准的代码版本在隔 离计算环境中进行安装或直到所尝试的下载无法通过认证。

隔离计算环境的灵活性可通过允许计算机和隔离计算环境跨不同的操作和安 装环境交互的应用程序接口来进一步增强。

附图简述

图1是计算机的简化和代表性框图；

图2是简化的隔离计算环境的框图；

图3是示出隔离计算环境服务之间的功能关系的简化和示例性框图；

图4是示出用于对隔离计算环境连续编程的系统的框图；以及

图5是描绘推迟隔离计算环境的编程和设置的方法的流程图。

各实施例的详细描述

尽管以下正文陈述了众多不同实施例的详细描述，但是应当理解，该描述的 法律范围由本申请公开末尾陈述的权利要求书的言辞来限定。该详细描述应被解释 为仅是示例性的，且不描述每一可能的实施例，因为描述每一可能的实施例即使不 是不可能的也是不切实际的。可使用现有技术或在本申请提交日之后开发的技术来 实现众多替换实施例，而这仍落入权利要求书的范围之内。

还应当理解，除非一术语在本专利中使用语句“如此处所使用的，术语‘___’ 此处被定义为指……”或类似的语句来定义，否则毫无意图将该术语的含义明确地 或隐含地限制在其简单或普通意义之外，且这类术语不应当被解释为基于本专利的 任何一节中所作出的任何陈述(权利要求书的语言除外)而在范围上有限制。就本 专利末尾的权利要求书中引用的任何术语在本专利中以与单数意义相一致的方式 来引用而言，这是为简明起见而如此做的，仅仅是为了不使读者感到混淆，且这类 权利要求术语并不旨在隐含地或以其它方式限于该单数意义。最后，除非一权利要 求要素是通过叙述单词“装置”和功能而没有叙述任何结构来定义的，否则任何权 利要求要素的范围并不旨在基于35U.S.C.§112第6段的应用来解释。