[发明专利]无线网络设备及将其完整性确认绑定至其它功能的方法

说明书

本申请是申请日为2011年04月12日、申请号为201180018789.8、名称为“启动过程中的阶段性控制释放”的中国专利申请的分案申请。

相关申请的交叉引用

本申请要求于2010年4月12日提交的申请号为61/323,248、2010年6月22日提交的申请号为61/357,474的美国临时专利申请的优先权，这些申请的内容通过引用而被视为在此完全加入。

背景技术

传统的安全方法可以允许对资源释放进行二元决策，例如基于复位之后的成功安全启动的用于认证的单一密钥。如果没有发生复位之后的成功安全启动，则可能会发生问题。

发明内容

公开了一种系统、方法和工具(instrumentality)来执行网络设备的完整性确认(validation)。网络设备可以包括安全存储器。例如，安全存储器可以包含在安全硬件模块中。安全存储器可以接收根密钥。例如，根密钥可以在制造或供应时被安全存储器接收。根密钥可以存储在安全存储器上，并且其对于安全硬件模块之外软件和硬件是不可见的。

所述安全硬件模块可以接收第一码字测量(对第一码字的测量)。例如，处理器(比如与包括安全硬件模块的网络设备相关联的处理器)可以选择码字的第一部分来测量。码字的第一部分可以被存储在与网络设备相关联的存储器上，例如ROM存储器、RAM存储器等等。所述处理器可以测量选择的码字的第一部分，得到第一码字测量。所述处理器可以提供该测量给安全硬件模块。

所述安全硬件模块可以基于根密钥和第一码字测量生成第一密钥。例如，该安全硬件模块可以得到或释放第一密钥。当第一码字测量有效时，生成的第一密钥有效，当第一码字测量无效时，生成的第一密钥无效。例如，该安全硬件模块可以部分基于第一码字测量得到第一密钥。如果第一码字测量无效，则得到的第一密钥也无效。所生成的第一密钥由该安全硬件模块生成以便提供到资源的接入。当码字存储在所述安全存储器上时，可以在没有码字测量的情况下提供到资源的接入。

所述第一密钥可以与和第一功能相关联的信任(trust)的第一阶段相关(例如，一个或多个资源可以与第一功能相关联)。进一步地，第一利益相关方(stakeholder)可以使用该有效的第一密钥来接入该第一功能。如果该第一密钥无效，则所述第一利益相关方不可以接入该第一功能。这就是说，当第一码字测量无效时，所述安全硬件模块可以阻止对第一功能的接入。

所述安全硬件模块可以接收第二码字测量(对第二码字的测量)。该安全硬件模块可以基于第一密钥和第二码字测量生成第二密钥。该第二密钥可以与和第二功能相关联的信任的第二阶段相关(例如，一个或多个资源可以与第二功能相关联)。进一步地，第二利益相关方可以使用有效的第二密钥来接入第二功能。密钥释放可以被限制在最后已知的好的启动阶段(例如，最后已知的具有成功认证的启动阶段)。

资源(比如密钥和基于硬件、码字、和/或数据的完整性测量的功能)的生成和/或释放可以阶段性地提供认证。例如，设备可以包括若干层，每个层有其自己的认证秘密。每个认证秘密可以对应在设备能力(比如制造商固件、可信的执行代码、操作系统和第三方应用)的层中的特殊的利益相关方。进一步例如，有效的第一密钥可以与对第一启动阶段的有效认证相关联。该有效第一密钥可以被设备制造商(例如，第一利益相关方)使用来接入网络设备上的固件，以在该固件上执行修复。有效的第二密钥可以与在随后的启动阶段(例如，中间的启动阶段)期间对一个或多个软件组件的有效认证相关联。该有效的第二密钥可以被设备管理者(例如，第二利益相关方)使用来接入所述软件组件，例如来执行该软件的修复。通过对已成功认证的各阶段提供有效密钥，接入可以被许可，其与最后没有认证失败的阶段相当。

本申请公开的多阶段认证的阶段数目可以变化并且不受限制。进一步地，可以提供多个认证途径。这就是说，在完整性校验的某个阶段，认证可以以不同的方式进行分支(branch)。例如，每个利益相关方可以提供与一个或多个认证阶段相关的一个或多个策略。在每个阶段，认证可以基于利益相关方的策略以不同的方式分支。利益相关方能够在外部管理其策略。

附图说明

从以下描述中可以更详细地理解本发明，下面的描述是以实例结合附图的形式给出的。

图1是示例的长期演进(LTE)无线通信系统图。

图2是示例的LTE无线通信系统框图。

图3示出了具有设备确认和设备认证之间的绑定的示例设备。