[发明专利]用于验证处理系统部件的方法和装置

权利要求书

1.一种用于验证软件的方法，所述方法包括：

在引导过程期间，将密码密钥的加密版本从处理系统的非易失性存储器取到所述处理系统的处理单元；

在所述处理单元中解密所述密码密钥；

获取所述处理系统的软件的预定义验证码；

用所述密码密钥来计算所述软件的当前验证码；以及

至少部分基于所述预定义验证码与所述当前验证码的比较而确定所述软件是否应该可信。

2.根据权利要求1所述的方法，其特征在于，在所述处理单元中解密所述密码密钥的操作包括：

使用存于所述处理单元的非易失性存贮器中的密钥来解密所述密码密钥的加密版本。

3.根据权利要求1所述的方法，其特征在于，从非易失性存储器获取所述密码密钥的加密版本的操作包括：

从除可信平台模块以外的部件获取所述密码密钥的加密版本。

4.根据权利要求1所述的方法，其特征在于，用所述密码密钥来为所述软件计算当前验证码的操作包括：

用所述密码密钥来为所述软件计算当前散列消息验证码。

5.根据权利要求1所述的方法，其特征在于，使用所述密码密钥来为所述软件计算当前验证码的操作包括：

使用基于所述密码密钥的密钥来为所述软件计算当前散列消息验证码。

6.根据权利要求1所述的方法，其特征在于，需要验证的所述软件包括由如下部分构成的组中的至少一个程序：

引导固件；

虚拟机监控程序；以及

操作系统。

7.一种用于支持软件验证的方法，所述方法包括：

使用密码密钥来为处理系统的软件产生验证码；

将所述验证码保存到所述处理系统中；

将所述密码密钥保存到所述处理系统的非易失性存储器中；以及

为所述处理系统配置能够使所述处理系统执行引导操作的引导软件，其中包括：

从所述非易失性存储器中取出所述密码密钥；

用所述密码密钥来重新计算所述验证码；以及

至少部分基于所述重新计算的验证码和所述保存的验证码的比较而确定所述软件是否可信。

8.根据权利要求7所述的方法，其特征在于，

将所述密码密钥保存到所述处理系统的非易失性存储器中的操作包括，将所述密码密钥的加密版本保存到所述非易失性存储器中。

9.根据权利要求7所述的方法，其特征在于，用所述密码密钥来重新计算所述验证码的操作包括：

使用至少部分基于所述密码密钥的密钥来重新计算所述验证码。

10.根据权利要求7所述的方法，其特征在于，用所述密码密钥来为所述处理系统的软件产生验证码的操作包括：

为由下列部分构成的组中的至少一个程序产生所述验证码：

引导固件；

虚拟机监控程序；以及

操作系统。

11.一种处理系统包括：

带非易失性存贮器的处理单元；

存于所述非易失性存贮器中的密码处理单元密钥PUK；

与所述处理单元进行通信的至少一个非易失性存贮部件；

所述至少一个非易失性存贮部件中的候选代码模块；以及

所述至少一个非易失性存贮部件中的扩增引导代码模块；

所述处理单元配置成可在执行来自所述候选代码模块的代码之前，执行来自所述扩增引导代码模块的代码；以及

其中，所述扩增引导代码模块包括：

验证密钥的加密版本；以及

在由所述处理单元执行时可使所述处理单元执行如下操作的指令：

用所述PUK解密所述验证密钥的加密版本；以及

在执行任何来自所述候选代码模块的指令之前，使用所述验证密钥来验证所述候选代码模块。

12.根据权利要求11所述的处理系统，其特征在于，

所述至少一个非易失性存贮部件包括非易失性存储器；以及

所述候选代码模块包括引导固件镜像。

13.根据权利要求11所述的处理系统，其特征在于，

所述候选代码模块包括虚拟机监控程序的至少一部分。