[发明专利]硬件认证技术

说明书

背景技术

用于电子设备的硬件部件，例如用于计算机或移动设备的计算平台，正在迅速地成为商品。在力图区分产品和服务时，商家越来越多地定制软件产品所提供的应用、服务以及功能，以为终端用户提供独一无二的设备体验。例如，原始设备制造商(OEM)可以制造设备，该设备用从一个公司购买的硬件、从另一个公司购买的软件以及由OEM作为附加值服务提供的特定软件来制成。如此，对于许多商家来说，软件产品已经成为用于给定的设备类或设备族的一个主要资产。

不道德的攻击者试图通过创建具有成功的软件产品的未授权的设备，来利用这一产品或服务的差异。这可以通过使用商品化的硬件和未授权的软件映象克隆一个设备来实现。这还可以通过物理地替换现有设备的芯片组和让未授权的硬件来使用授权的软件产品来实现。通过将软件产品关联或绑定到硬件平台可以阻止或挫败这类攻击，且反之亦然。正是关于这些以及其它的原因，需要当前的改进。

附图说明

图1示出了平台的一个实施方式。

图2示出了第一逻辑流程的一个实施方式。

图3示出了第二逻辑流程的一个实施方式。

图4示出了操作方式的一个实施方式。

图5示出了系统的一个实施方式。

具体实施方式

各种实施方式通常可以针对硬件认证技术。一些实施方式特别地可以针对硬件认证技术以证明或验证为特定的软件产品所用的给定的硬件平台。以这种方式，硬件平台和软件产品可以彼此关联，使得软件产品只可以在授权的硬件平台上执行。

在一个实施方式中，例如，诸如电子设备之类的装置可以包括计算平台，该计算平台具有能够在隔离执行模式中操作的处理器和持久性存储器。该持久性存储器可以存储与控制软件应用程序的实体相关的实体信息，该实体例如OEM或操作系统厂商(OSV)。安全控制器可以通信地耦合到平台。安全控制器可以包括签名生成器，该签名生成器操作来为在平台上执行的软件应用程序生成平台签名。平台签名可以包括实体信息的加密散列。安全控制器还可以包括认证模块，该认证模块操作来为软件应用程序提供平台签名，利用平台签名来验证平台与软件应用程序相关联。描述和请求保护了其它的实施方式。

使用平台签名来建立硬件平台和软件产品之间的绑定可以提供几个优势。例如，不能克隆出或替换成其它硬件平台来让软件产品或软件产品的复制品使用。在另一个例子中，可以为不同的硬件平台实现软件产品的可选择的功能，且反之亦然。这些以及其它的优势可以增强安全性以及对软件产品和相关联的硬件平台的控制。

在下述描述中，使用术语论述了本发明的某些特征。例如，“平台”包括硬件设备和/或在存储的信息上执行不同功能的软件。平台的例子包括但不局限于或限制于计算机(例如，台式机、膝上型计算机、手持式计算机、服务器、工作站等)、桌面办公设备(例如，打印机、扫描仪、传真机等)、无线电话手持机、电视机顶盒等等。“软件产品”或“软件应用程序”或“软件模块”包括代码，当执行该代码时完成某种功能。“节(nub)”是一系列的代码指令，可能是来自软件模块的代码的子集。“链接”广义定义为一个或多个信息承载媒介(例如，电线、光纤、电缆、总线或无线信令技术)。

此外，将术语“信息”定义为一个或多个比特的数据、地址和/或控制。“段”是一个或多个字节的信息。“页”是预定数目的字节，通常在长度上为2的幂(例如，512、1024等)。“加密散列算法”是一个将信息从可变长度转换为固定长度的数学的或其它方式的算法或函数，有时称作“散列值”或“消息摘要”或仅仅是“摘要”。“单向加密散列算法”表示不容易存在逆函数以从固定长度的散列值中恢复出原始信息的任何可辨别的部分。加密散列算法的例子包括由国家安全机构设计的和由国家标准和技术协会(NIST)公布的作为美国联邦信息处理标准的安全散列算法(SHA)，诸如其中2008年公布的名为“联邦信息处理标准公布180-3”的安全散列标准FIPS180-3(2008年10月)中指定的SHA-1、SHA-224、SHA-256、SHA-384以及SHA-512。

图1示出了可用于实现不同硬件认证技术的一个示例性平台100。平台100可以包括，例如，计算平台或通信平台。硬件认证技术可用于验证平台100被授权执行由实体(诸如OEM或OSV或其它软件制造商)控制的软件产品。