[发明专利]软件运行时出处

说明书

技术领域

本发明一般地针对可靠地标识编程代码，更具体来说针对可靠地标识计算平台的运行时完整性。

背景技术

难以确定及保证包括软件和固件在内的计算机代码的可信任性或完整性。软件在安装或执行之前是否被修改过的有限的确定能够通过各种代码签名技术被实现。例如，使用由受信任机构颁发的密码密钥（例如公开/私有密钥），软件销售商可以使用私有密钥来对文件（例如软件程序）数字签名。终端用户可以利用软件销售商的公开密钥来验证文件的作者。基于该文件所计算出的散列码（例如密码散列）可以被用来验证该文件在由软件销售商签名之后未被修改过。

这些技术试图例如使用密码散列来保证底层代码（例如可执行文件或脚本）自从由软件销售商签名之后未被改动或破坏过。但是这样的技术局限于验证静态文件标识的完整性（即写到计算机可读介质的文件数据的完整性）。

发明内容

根据本发明的一个实施例，能够验证由执行中的第一计算模块接收到的第二计算模块的已签名证书。在第一计算模块处接收来自第二计算模块的至少一个已签名证书，所述已签名证书标识第二计算模块的作者。验证该已签名证书与第二计算模块间的关联。所述关联是通过比较散列值来被验证的。连同其相关联的公开/私有密钥对一起生成由第一计算模块签名的第一出处证书，该第一出处证书标识第二计算模块的运行时出处。

根据一个实施例，向第二计算模块发布第一出处证书和相关联的公开/私有密钥对。

前面所讨论的运行时出处对于标识运行中的软件模块和运行时环境是有用的。举例来说，第二计算模块可以执行第三计算模块并且可以是用于接收第三计算模块的加载器。因此，第二计算模块可以与第三计算模块交互，其交互方式和前面所描述的第一计算模块与第二计算模块交互的方式相同。根据一个实施例，第二计算模块接收来自第三计算模块的至少一个已签名证书，所述已签名证书标识第三计算模块的作者。通过比较散列值，该已签名证书与第二计算模块之间的关联被验证。使用第二计算模块的私有密钥对并且基于由第一计算模块签名的该第一出处证书生成由第二计算模块签名的第二出处证书，该第二出处证书标识第三计算模块的运行时出处。

根据一个实施例，向第二计算模块发布一个已签名证书链。所述已签名证书链包括至少一个由受信任认证机构颁发的证书，并且标识第一计算模块的作者。所述已签名证书链包括多个出处证书，每一个出处证书与执行层相关联，并且每一个静态标识证书标识与每一个软件执行层相关联的软件的各自的作者。

根据一个实施例，所述至少一个已签名证书包括已签名证书链，该已签名证书链包括至少一个由受信任认证机构颁发的证书以及至少一个由所述至少一个已签名证书当中的另一个证书所签名的证书。验证已签名证书与第二计算模块之间的关联包括追踪所述至少一个已签名证书的签名直到由所述受信任认证机构颁发的所述至少一个证书。

根据一个实施例，第一计算模块包括硬件引导过程（hardwareboot process）以及标识硬件设备的证书。初始软件镜像由硬件计算设备验证。由硬件引导过程生成已签名证书，来认证计算设备验证了初始软件镜像并且在重置之后立即执行了该初始软件镜像。

根据一个实施例，第一计算模块包括云计算服务。

根据描述和附图，本领域技术人员将会理解前述和其他特征。

附图说明

图1是根据本发明的一个实施例的用于建立计算模块的运行时出处的过程的流程图；

图2是根据本发明的一个实施例的表示计算模块的运行时出处的证书链的图示；以及

图3是能够根据本发明的一个实施例所配置的计算机的高级图示。

具体实施方式

存在用于签名包含计算机代码（例如可执行文件或脚本文件）的（一个或多个）文件的各种技术。对文件签名标识声称是包含在文件中的计算机代码的作者的实体事实上正是所述计算机代码的作者，并且验证所述计算机代码在该（一个或多个）文件被签名之后没有改变。但是这样的文件签名技术的受限之处在于，没有提供关于与已签名文件中的计算机代码接口的其他软件或计算模块的证书的完整性或作者身份的保证。因此，在与执行中的计算机代码接口的其他软件层处，不安全性和脆弱性能够被引入。