[发明专利]自包含的加密引导策略验证

说明书

一种设备本地密钥导出方案在电子设备的第一引导会话期间生成密封密钥，该密封密钥是至少部分地从设备生成的随机种子和对于电子设备是唯一的内部机密来导出的。在生成密封密钥之后，针对第一引导会话的剩余部分并且直到发起第二引导会话为止禁用对内部机密的访问。在运行时，使用密封密钥来对描述被授权访问密封密钥的软件的模块清单进行签名，并且包含密封密钥的模块清单被存留在电子设备的非易失性存储器中。模块清单可以用于在后续引导会话期间验证软件并授权电子设备上的软件更新，而不依赖与外部实体或外部信息来保护设备上机密。

背景技术

电子设备通常用于以数字形式存储私有用户数据。可以以各种方式来保护该数据。例如，安装在电子设备上的操作系统(OS)在访问数据之前可能需要执行认证过程(例如，在用户能够访问存储在电子设备上的数据之前要求该用户输入密码短语)。硬盘加密软件也可以用于加密设备上的数据，以使得攻击者不能通过简单地移除硬盘驱动器并将该硬盘驱动器插入不同的机器来获得对数据的访问。因此，电子设备上的数据的安全性以保持信息机密(例如，密码短语、加密密钥等等)为前提，使得攻击者不能发现机密并获得对存储在电子设备上的敏感数据的访问。

此外，当需要更新电子设备上的当前OS版本(例如，利用经更新的OS版本替换)时，电子设备的系统软件可以验证经更新的代码是利用仅对可信实体(例如，电子设备和/或OS软件的制造商)已知并由该可信实体拥有的私有签名密钥来签名的。以此方式，电子设备隐式地信任由可信实体使用私有签名密钥来签名的所有代码。尽管有前述安全措施，但未经授权的实体(或攻击者)仍然找到了规避这些安全措施以获得对设备机密的访问的方式。

例如，攻击者可以利用特定制造商对大量软件版本进行签名的事实，这增加了一个或多个版本包含软件错误的可能性。攻击者只需要包含错误的一个经签名的软件版本以利用该错误，以便规避电子设备的安全措施，例如前述的密码短语检查。一旦攻击者发现包含此类错误的经签名软件版本，就可以在电子设备上安装该经签名代码(因为该代码是利用私有签名密钥来签名的)，并且可以利用已安装软件中的错误来规避电子设备上的安全措施，从而允许攻击者获得对设备机密和私有的设备上数据的访问。

尝试解决前述安全缺陷的现有方法都遭受类似的缺陷；即，电子设备依赖于电子设备本身外部的实体和/或信息来保持设备上机密安全，同时允许对设备软件的更新。例如，“白名单”方法可以用于对照先前验证的代码列表来验证软件版本，但这需要一种方法来使白名单保持最新并且依赖于外部机制来执行此操作。“黑名单”方法也可以用于定义在对设备软件进行更新之前参考的“已知不良软件”的撤销列表，但该场景中的攻击者可以简单地限制与电子设备的通信并防止设备对黑名单进行更新，从而允许在设备上安装恶意软件。签名验证遭受类似的缺陷，因为需要拥有密钥的外部实体来定义电子设备要信任哪个软件。这不仅需要基础设施来对软件更新进行管理和签名，而且它也是安全漏洞，因为它在设备外部创建了高价值机密，一旦获得该机密，它就允许攻击者访问整类设备的设备上机密。

发明内容

本文所描述的是用于在电子设备上实现自包含的(self-contained)加密引导策略验证的技术和系统。本文所描述的技术和系统是“自包含的”，是因为它们不依赖于外部实体或外部信息来保护设备上机密，同时支持电子设备上的安全软件升级。

可以利用设备本地密钥导出方案来允许在电子设备上运行的当前软件创建并保持设备上机密，而不是依赖于外部源来创建和维护用于对经授权软件进行签名的私钥。该设备本地密钥导出方案在电子设备的初始(第一)引导会话期间生成设备本地私钥(本文被称为“密封密钥”)。该密封密钥部分地从使用电子设备的随机数生成器生成的随机种子、并且部分地从对于电子设备是唯一的内部机密(即，在电子设备内部)来导出。在生成密封密钥之后，针对第一引导会话的剩余部分并且直到发起第二引导会话为止禁用对内部机密的访问。换句话说，在生成密封密钥之后并且直到电子设备重置或重启为止使得对内部机密的访问不可用。还可以在初始(第一)引导期间计算在电子设备上运行的当前软件的代码测量。代码测量可以包括第一引导会话的引导阶段的散列表。