[发明专利]验证密钥处理

说明书

技术领域

概括地说，本发明涉及可信计算，更具体地但非排他地涉及在可信计算中的验证密钥处理。

背景技术

如今的移动电话典型地用作由多个商家提供的软件和固件的计算平台。例如，设备制造商为设备配备能够操作设备的不同组件(例如无线电接口和智能读卡器模块)的软件和/或固件，而应用处理器制造商提供与应用处理器的处理相关的软件和固件。此外，操作系统和用户应用可由一个或多个软件商家来提供。

在移动计算平台和/或在平台上运行的软件和固件的安全和完整性保护方面存在强加严格需求的因素。例如，射频的使用由官方严格规定。另一例子是防止设备拦截，从而移动设备不能够被匿名地用于恶意目的。这意味着，作为计算平台操作的移动设备需要能够控制在移动设备上运行的软件操作，从而例如可防止无线电配置参数的未授权修改。

例如，通过由可信计算组引入移动可信模块概念，已经解决了在移动设备上可信计算的需求。在所述概念中，例如，可通过在移动设备所提供的安全计算环境中自身运行的移动可信模块来控制对于系统配置参数的修改。可通过使用参照完整性度量(RIM)证书，来作出对例如系统配置参数和表示计算机程序模块的特定状态的参数的修改。请求对配置和状态参数的修改的RIM证书可通过证书密钥来签名，所述证书密钥例如由移动可信模块向被授权作出所述修改的参与方发出。如果一个参与方拥有适当发出的和确认的验证密钥，则所述参与方能够授权在移动设备上的任意状态改变，包括其修改可能损害设备安全或引起移动设备违规操作的那些修改。换句话说，在当前移动计算平台中，适当验证密钥的持有者享有的授权不能够被适当地限制。

发明内容

本发明的目的在于解决以上讨论的问题中的至少一些。根据本发明的第一方面，提供一种方法，包括以下步骤：接收验证密钥，所述验证密钥包括所述验证密钥的父验证密钥的标识符，其中所述验证密钥包括限制部分；确定所述验证密钥的限制部分是否对应于所述父验证密钥的限制部分；在所述验证密钥的限制部分对应于所述父验证密钥的限制部分的情况下，使得所述验证密钥与特定状态更新关联；以及存储与所述特定状态更新关联的验证密钥。

根据本发明的第二方面，提供一种装置，包括：处理器，被配置为：接收验证密钥，所述验证密钥包括所述验证密钥的父验证密钥的标识符，其中所述验证密钥包括限制部分；确定所述验证密钥的限制部分是否对应于所述父验证密钥的限制部分；使得所述验证密钥与特定状态更新关联；所述装置还包括：存储器，被配置为存储与所述特定状态更新关联的验证密钥。

根据第三方面，提供一种在计算机可读介质上实现的计算机程序产品，所述计算机程序包括可操作为加载到计算装置的存储器并且在计算装置上执行的程序代码，所述程序代码已经被配置为在执行时使得计算装置执行以下操作：接收验证密钥，所述验证密钥包括所述验证密钥的父验证密钥的标识符，其中所述验证密钥包括限制部分；确定所述验证密钥的限制部分是否对应于所述父验证密钥的限制部分；在所述验证密钥的限制部分对应于所述父验证密钥的限制部分的情况下，使得所述验证密钥与特定状态更新关联；以及存储与所述特定状态更新关联的验证密钥。

根据第四方面，本发明提供一种装置，包括：以用于接收验证密钥的部件，所述验证密钥包括所述验证密钥的父验证密钥的标识符，所述验证密钥包括限制部分；用于确定所述验证密钥的限制部分是否对应于所述父验证密钥的限制部分的部件；用于使得所述验证密钥与特定状态更新关联的部件；以及用于存储与所述特定状态更新关联的验证密钥的部件。

以下在本发明的具体实施方式中以及所附的从属权利要求中示出本发明的各个示例性实施例。参照所选择的本发明的方面示出实施例。本领域普通技术人员可理解，本发明的任意实施例可单独地或与其他实施例结合应用于其他方面。

附图说明

将仅通过实例，参照附图来描述本发明，其中：

图1示出在上面可实现本发明实施例的可信移动平台的概括图；

图2示出在上面可实现本发明实施例的可信移动平台的另一概括图；

图3示出在上面可实现本发明实施例的装置的概况；

图4示出根据本发明实施例的方法的实例；以及

图5示出根据本发明实施例的方法的另一实例。

具体实施方式

在以下描述中，类似标号指示类似元素。