[发明专利]用于检查安全代码的运行时完整性的方法和系统

说明书

相关申请案的交叉参考

本申请案主张2008年6月16日申请的第61/061,738号美国临时申请案的权益，所述申请案以引用的方式并入本文中。

技术领域

本发明的领域涉及对基于处理器的计算系统中的安全代码的认证，且更特定来说，涉及用于使用存储器管理单元(MMU)许可硬件来实现对安全代码的运行时完整性检查的方法和系统。

背景技术

在基于嵌入式微处理器的系统中，例如在移动电话中，系统硬件可提供用于在两种模式中的一者中在微处理器上运行程序的机制，所述两种模式为安全模式和不安全模式。在安全模式中运行的程序被授予存取敏感硬件资源的许可，所述敏感硬件资源例如为用于数字版权管理的密钥寄存器和用于控制无线电硬件的寄存器；在不安全模式中运行的程序被拒绝存取以上资源。

通常，安全代码是由装置的制造者产生和分配，且具备数字签名，所述数字签名保证所提供代码的块已由受信任的授权方产生且可借助授予安全代码的普通许可而安全地执行。然而，如果安全代码驻存在处理器集成电路外部的芯片外存储器中，那么攻击者可设法用不安全的未经认证的代码来替换此芯片外的、安全的、经认证的代码。防止此些攻击的已知方法包含周期性地再认证存储于芯片外存储器中的任何安全代码，或将安全代码分页到芯片上存储器中，就像需求分页(demand-paged)系统在磁盘与主存储器之间交换页那样，以及在每次将页带到芯片上时对其进行认证。

因为与正被认证的数据相比，数字签名大体上相对较短，所以在认证粒度为至少数十字节且可能为数千字节的情况下，对假定安全的代码的区段进行认证可能花费较大量的时间。如果此代码是经周期性认证的，那么可能存在并不尝试执行安全代码的若干较长间隔，且因此在所述间隔期间的任何周期性认证均将消耗时间和能量。另外，与在程序仅需要来自每一页的几行的情况下所必需的代码相比，将安全代码分页到芯片上存储器中可加载并认证更多代码，因此消耗了加载和认证大部分代码所需的芯片上空间和功率。

因此，需要用以认证驻存在芯片外存储器中的程序代码且提防可能尝试用未经授权的代码代替由制造者或其它经授权源所分配的代码的攻击者的系统和方法。

发明内容

本发明揭示可提防经设计以用不可信的不安全代码替换经认证的安全代码的攻击并使用处理器的存储器管理单元(MMU)中的现存硬件资源的方法和系统。某些实施例包括具有处理器的系统，所述处理器可运行存储在存储器中的安全或不安全的指令代码。当处理器存取来自具有安全指令代码的个别存储器页的指令时，实施用以将所述页认证为安全代码的可信源的逻辑。系统还具有存储器管理单元(“MMU”)，所述MMU维持存储器页的属性的高速缓冲存储器，所述属性包含用于存储在存储器页中的指令的执行许可。当存储器页经认证时，MMU可设定用于所述页上的指令的执行许可以允许所述指令的执行。

提到此说明性实施例不是为了限制或界定本文揭示的发明性概念，而是为了提供实例以辅助对其的理解。在检视整个申请案后，将明白本揭示案的其它方面、优点和特征，申请案包含以下部分：附图说明、具体实施方式和权利要求书。

附图说明

当参考附图阅读以下具体实施方式时会更好地理解本发明的这些和其它特征、方面和优点，其中：

图1是示范性系统的一部分的图形说明。

图2是说明根据某些实施例的方法的流程图。

图3是说明根据某些实施例的方法的流程图。

图4是说明根据某些实施例的方法的流程图。

图5是说明根据某些实施例的方法的流程图。

图6是说明根据某些实施例的方法的流程图。

图7是说明根据某些实施例的方法的流程图。

图8是说明根据某些实施例的方法的流程图。

图9是说明可包含根据某些实施例的认证系统的实例便携式通信装置的图。

图10是说明可包含根据某些实施例的认证系统的实例蜂窝式电话的图。

图11是说明可包含根据某些实施例的认证系统的实例无线因特网协议电话的图。

图12是说明可包含根据某些实施例的说明性认证系统的便携式数字助理的实施例的图。

图13是说明可包含根据某些实施例的认证系统的实例音频文件播放器的图。

具体实施方式