[发明专利]充分确保并实施有效/当前代码的最后一道防线

说明书

技术领域

本专利一般涉及计算机，尤其涉及适用于针对对软件、固件和微码的篡改进行保护的计算机。

背景

计算机系统日益复杂。随着复杂性增加，将易受攻击性引入计算机的各个组件的机会也增加。这不仅在通用软件上，而且尤其在与微处理器的引导进程和操作相关联的固件和微码的情况中也是如此。不再可能对这样的复杂系统构件块进行穷举测试。即使当被仔细设计、编码或测试时，复杂软件(包括固件或微码)也可能具有未预期的用途或副作用。因此，甚至在原本满足所有设计要求并通过了严格的测试程序的计算机中也可能存在安全性缺口。这样的安全性缺口可能仅在将产品广泛发行并在为揭开任何隐藏的易受攻击性而付出一致努力之后暴露。

现代计算机的这种特性可能具有广泛的影响。不仅各个计算机的安全性可能受损，而且网络以及耦合至网络的其它计算机也可能受损。一旦计算机受损之后，可能会加载并执行新软件、固件或微码，这进一步损害各个系统及相关系统。对代理和企业的影响也是广泛的。

尤其易受攻击的一种商业模型是按使用付费计划，其中诸如服务供应商等承保人以补助价格分发或销售计算机，承保人期望将来的收入来偿付该补助。当到位以确保遵循契约的使用条款的控制被损害时，承保人可能面临巨大的损失。

概述

如上所述，计算机的复杂性和技术上的进步出于至少两个原因而可能使得100％有效的措施几乎不可能。首先，如上所述，没有系统能够被保证没有允许损害该系统的特性，无论是直接缺陷还是之前未被发现的副作用。其次，随着技术的进步，当前的安全措施变得过时，使得以往的安全系统易于被损害。例如，在不久的过去，使用48位密钥的DES算法被认为是安全的。然而，现在，计算机能力的进步以及链接计算机的能力使得这样的安全措施实际上无用。如此处所公开的，可能期望在计算机内置入用于计算机的最终保护的“最后一道防线”确认电路。理想上，该确认电路可以是小型的、便携的、且非常良好地进行了测试，以确保该确认电路本身不会引入新的易受攻击性。此外，该确认电路可被足够深地嵌入到计算机内，使得使确认电路失效需要安装起来比计算机的价值花费更高的硬件攻击。这一确认电路可被内建到处理器本身内，或另一主要半导体组件内。确认例程的代码可与处理器微码一起被嵌入。理想上，最后一道防线代码和状态与微码或固件的其余部分分开。这种模块性改进了总体安全性，因为使处理器或其微码/固件的任何其它部分的安全性失效仍不会损害该最后一道防线。

确认电路的激活可按长间隔进行，甚至可能是若干个月，但当确认电路确定计算机可能被“劫持”时可用的制裁可能是严厉的。制裁可要求计算机被返还给支持场所或联系原始服务供应商以便还原至可操作状态。制裁可包括计算机的停用、处理器的严重减速、减少程序执行可用的指令集体系结构(ISA)或其它措施。制裁越简单，越容易确保其安全性强度。假定制裁应是偶发事件，则制裁的严厉性不是问题。相反，越严厉越能确保用户不会简单地忽视制裁或无意地使用经篡改的计算机或计算机组件，包括软件。经良好宣告的制裁越严厉，损害原始设计的系统的广泛尝试的风险越低。用于确认计算机的过程可包括，但不限于，要求呈现数字签署的软件、对存储器范围散列或评估到期日。例如，拥有补助的按使用付费计算机的用户可能被引诱来使用在因特网上找到的程序以改变计量使用的方式。然而，当知道计算机可能突然停止工作并要求服务呼叫时，用户可能会对试图欺诈再次进行考虑。在另一示例中，当找到可能在因特网上传播的易受攻击性时，可能会发生广泛的欺诈。然而，如果确认电路主存在处理器的一部分或主要接口芯片上，则仅那些具有相对复杂装备的用户才有可能试图对硅片本身进行硬件攻击。

附图简述

图1是计算机网络的简化、代表性框图；

图2是可连接至图1的网络的计算机的框图；

图3是类似于图2的示例性计算机的框图，它示出确认电路的细节；

图4是包括确认电路的示例性处理器的框图；以及

图5是示出用于确认计算机软件、固件或微码的真实性和/或完整性的方法的流程图。

各实施例的详细描述

尽管以下文字阐述了各个不同实施例的详细描述，但应理解，该描述的法律范围由本发明所附的权利要求书的文字来定义。该详细描述应被解释为仅是示例性的，且不描述每个可能的实施例，因为描述每个可能的实施例即使不是不可能也是不实际的。可使用当前的技术或在本专利的申请日之后开发的技术来实现众多替换实施例，它们仍落入权利要求书的范围之内。