[发明专利]信息处理设备和信息处理方法

说明书

技术领域

本发明涉及执行多个程序的信息处理设备，尤其涉及以可信的方式来启动要在与其他序列不同的第一序列中执行的多个程序的信息处理设备。

背景技术

首创文献(initiative)(诸如可信计算组(TCG)的移动可信模块(MTM)文档“TCG Mobile Reference Architecture，版本1.0，2007年6月12日”(非专利文献1)以及“TCG Mobile Trusted Module Specification，版本1.0，2007年6月12日”(非专利文献2))描述了如何以确信和可信的方式来启动设备。已经详细审查了这些方法以确保在整个引导过程中保持信任和安全，从而为期望实施能够安全引导的设备的那些设备提供有用的基线。该安全引导过程的关键部件是RIM(参照完整性度量)证书。这是一种签名结构，其定义了由一组平台配置寄存器(PCR)的哈希来表示当前的期望平台状态应当是什么，这组平台配置寄存器自身包括公知的、公开定义的哈希值。这些PCR用作可以被记录在RIM证书中以便定义期望的机器状态的完整性测量。另外，如果当前状态得到验证，则RIM证书还指定要被扩展的PCR。该扩展过程采用指定的PCR，并基于与在RIM证书中定义的新的已知值相联系的之前的PCR值来计算新的哈希值。由TCG定义的典型直观的安全引导序列从核心部件(诸如，信任根)的初始化和自我验证开始，以用于验证和测量(RTV+RTM)MTM自身以及相关联的核心MTM接口部件。接下来，以可信的方式启动支持固件的其他部分的另外的部件，以便在向其传递控制之前每个部件都由已经可信的部件来验证，然后该部件对其自身进行验证以确保它已经自可信部件启动。这种验证＝＞执行＝＞自我验证的序列的效果在于，可以动态地将可信边界从信任根向该系统中的每个部件扩展。最后，操作系统运行，以向客户端应用程序提供访问MTM服务的安全可信的路径。

在上述的事件序列中还可以出现额外的功能。TCG规定设备可以具有不止一个MTM，其中，一些MTM必须在安全引导期间启动，其他MTM则可以在应用空间中加载。可替换地，如在日本专利申请2008-264530中描述的那样，可以定义瞬时PCR，或者如在美国专利申请No.2006/0212939A1(专利文献1)中描述的那样，可以定义虚拟PCR。在本专利申请中，将管理一组PCR(并提供现有技术中定义的其他服务)的这些功能和模块整体描述为“PCR域”，其中，一个PCR域的一对一的关系用于管理一组PCR。另外，将“PCR域状态”定义为在给定时刻来自PCR域的一个或多个PCR的值的集合。通过指示特定PCR的值，域状态描述了该域中哪些部件已经是活跃的；如上面针对每个PCR域描述的那样，存在着扩展操作的指定的期望序列，从而通过查看给定PCR域状态，人们能够通过扩展操作的期望序列来确定进展，从而通过部件执行的期望序列来暗示进展。在TCG规范中，该状态可以由TPM_PCR_SELECTION和TPM_COMPOSITE_HASH来表示，其中TPM_PCR_SELECTION用于指示要引用的域中的PCR，TPM_COMPOSITE_HASH用于存储由TPM_PCR_SELECTION指示的PCR的组合哈希。为了使RIM证书被认为是有效的，该RIM证书包括用于指示必须被设置在该域中的PCR值的这种PCR域状态。

引用列表

专利文献

PTL 1：美国专利申请No.2006/0212939 A1

非专利文献

NPL 1：可信计算组(TCG)的移动可信模块(MTM)文档，TCG Mobile Reference Architecture，v1.0，2007年6月12日

NPL 2：TCG Mobile Trusted Module Specification，v1.0，2007年6月12日

发明内容

技术问题

然而，根据TCG移动参考架构，当第一PCR域是第二PCR域的父域时，第二PCR域不能基于其自身已经评估的测量结果在其自己的域中设置PCR而不打断传递的信任链，因此如同现有技术描述的那样，每个域必须具有独立的信任链，从而导致第二域的客户端不能通过仅检查第二PCR域中的PCR值来验证第一域中的信任。

因此，需要一种设备，其接合这两个信任链以形成能够联合这两个PCR域的单个信任链，从而允许第二PCR域的客户端通过仅检查第二PCR域中的PCR值来验证第一域中的信任。