[发明专利]用于安全地将程序执行绑定到且节点锁定到受信任的签名授权机构的系统和方法

说明书

技术领域

本发明一般涉及防止软件的未被授权的使用。更特别的是，本发明涉及通过将软件应用绑定到且节点锁定到受信任的签名授权机构来进行软件保护。

背景技术

在软件产业中，经常期望的是，由于可以包括防止未被授权的使用（例如，没有得到许可的盗版）或未被授权的操纵（例如，黑客行为）的理由而限制对给定软件的访问。对于软件的未被授权的使用的一个已知的解决方案是将任何给定的软件应用绑定到特定的计算机或装置。如此，软件应用则可以仅在各自得到许可的装置上执行。这种软件应用到特定装置的绑定通常被称作节点锁定或者可替换地被称作硬件软件锚定。

用于节点锁定的传统的方法已经是从一片硬件取得唯一的标识符（ID）并使软件应用依靠所给定的ID。这些唯一ID的编号和特性从一个平台到另一个平台变化巨大。一些通常的硬件标识符包括：介质访问控制（MAC）地址、硬磁盘驱动器标识符（HDD ID）、以及序列号（SN）。附加的节点锁定标识符可以包括基本输入/输出系统（BIOS）值、由驱动器散列函数计算的散列值、装置ID、或者对给定的装置或元件唯一的任何类似的标识符。在用于节点锁定的传统方法中，将一片软件（即，应用）锚定到特别的节点是创建从唯一ID到软件运行的依赖性的问题。在一些系统中，这可以是从唯一ID中导出密钥的数学运算的集合。在其它系统中，可以设计这样的算法，其要求唯一ID的子集是有效的，同时允许所有其它部分是不正确的。后者允许在硬件自身中的变化，例如，可以从计算机移除网络接口卡。

在白盒攻击上下文中，攻击者具有对被攻击系统的完全了解，并且因此完全控制软件的执行。攻击入侵者可以是或者可以不是软件的合法用户，虽然假定软件的执行正常地继续下去。存在许多对于用于在白盒攻击场景中进行节点锁定的传统方法的安全性的困难。硬件ID通常必须在执行期间被读取，并且该特性因此使它们容易被复制。各种各样的这些类型的白盒攻击遵循。

在一种场景中，在软件应用调用询问装置的唯一ID的应用编程接口（API）的时刻，攻击者可以用硬编码的值代替该调用。这可以是攻击者在软件应用中代替代码自身的函数，或者它可以简单的是软件应用希望获得ID的数据区域。如果攻击者可以发动该攻击，则他可以用任何所选择的值代替唯一ID，由此使节点锁定保护失效。此外，硬编码攻击的通常扩展是开发（exploit）的创建。当攻击者知道在哪里硬编码重要的值时，他也变得能够创建自动程序（即，开发）以在任何装置上修改并因此复制软件应用。该自动化移除了攻击者分发并公布他的关于如何发动攻击的知识的需要，因为该开发为他做了这种工作。

第二种通常的对唯一ID的攻击场景是仿真。虚拟机（诸如从加利福尼亚的帕洛阿尔托的VMWARE INC可得的VMware^TM、从Xen.org以及其它地方作为免费软件可得的Xen^TM）是在操作系统（OS）下用软件层模仿硬件装置的技术。这种仿真通常是如此成熟，使得在软件中完全支持所有的装置驱动器和内核服务。如此，也可以用虚拟机技术容易地改变或复制任何唯一ID。

第三种普通的对唯一ID的攻击是在节点锁定保护被移除的情况下执行该节点锁定行动的系统或子系统的简单的重新实现。通过遵循用于在攻击下的系统的的唯一ID的简单观察，攻击者通常可以以汇编代码、C编程等等重新实现使用唯一ID的部分。

所以，期望提供一种用于克服与用于节点锁定的传统方法相关联的问题的系统和方法。

发明内容

本发明的目标是排除或减轻用于节点锁定的以前的方法的至少一个缺点。

本文中描述的本发明下面通过安全地将任意程序绑定到一般执行平台的经授权的实例来解决前述的问题。一旦绑定过程发生，受保护的软件应用将不展示正确的行为，除非它在它所绑定到的执行平台上运行。甚至在篡改软件应用和执行平台的许多攻击存在的情况下，这也适用。根据本发明的实施例，假定攻击者具有对执行平台的规范的完全白盒访问，并且对软件应用的执行具有完全白盒控制。一般地，发明的系统和方法呈现了用来将程序P绑定到包含受信任的签名授权机构（TSA）的任何不受信任的执行平台E的机构。根据本发明，如在详细的描述中更详细地描述的，TSA可以采取许多替换形式。