授权组件更新
背景技术:
1.电子设备(诸如,消费电子器件)可以被描述为平台或设备,并且可以例如包括硬件、软件和数据。这种平台可以包括诸如硬盘、cpu、ram、hid设备、bios和可配置设置(如序列号)之类的组件。相似的设备(诸如,两个pc)可以具有相同类型的硬件,但是具有不同的固件版本和序列号。
附图说明
2.现在将参考附图通过非限制性示例的方式来描述示例,在附图中:图1是根据一些示例的方法的流程图;图2是根据一些示例的另外方法的流程图;以及图3是根据一些示例的设备的简化示意图。
具体实施方式
3.在设备、平台或产品的生命周期期间,可能存在对其中的组件的许多合法的改变,诸如所有者进行的有意修改、it提供商进行的授权更新、或由于故障或降级(degradation)所致的不可避免的改变。
4.在一些情况下,这些改变可能被认为是故障/恶意改变/流氓组件/攻击,并且可能引发警报。接受改变并且更新该平台的新版本或状态可能需要对平台清单(manifest)进行完全的重新认证,以允许该平台继续如正常那样运作,这对于一些设备来说可能是不可行的。例如,认证(certification)可以在工厂中完成,或者作为制造过程的一部分而完成,在制造过程中,可以针对合法组件的存在来进行检查。一旦组件已经离开工厂,对该平台的重新认证就变得更加困难。在一些示例中,如果检测到篡改,则合法组件可能不再被视为合法的。换句话说,在制造期间安装并且被认证为合法的原始组件可能在某个时候被篡改,并且取决于该篡改的程度,可能不再是合法组件,这是因为它可能不会作为原始的合法组件来运作,或者可能不再具有相同的信任度或安全性等级(rating)。
5.平台的示例可以包括电子产品或消费电子器件。在一些示例中,平台是由硬件、软件和数据组成的计算设备。这些组件影响该设备的行为,并且因此可以通过它们的存在或不存在来表征设备。每个组件可以显示该特定组件所特有的行为。例如,存储器可以如存储器那样表现,cpu可以如cpu那样表现,等等。
6.为了改进对这种改变的检测,在一些示例中,可以提供以不同粒度水平来表征设备的方法。根据一些示例,设备可以收集与该平台的组件相关的测量或其他数据。组件可以经由与这些组件唯一相关联的值和/或行为模式被单独地表征。例如,每个硬件组件可以具有序列号和/或制造商id。软件可以具有版本号。其他组件可能展示出特有的行为,诸如usb大容量存储设备,它可以通过遵循预期的请求而被预期像一个usb大容量存储设备那样起作用。
[0007] 当特性或行为模式非预期地改变时,可以检测到组件中的改变。组件或包括至少
一个组件的设备的状态可以给出当前设备或(一个或多个)组件的特性、行为、版本号等的指示。行为模式可以包括性能和能量使用(energy usage)、来自组件的输入和输出、以及其格式,包括响应时间。
[0008]
根据一些示例,提供了一种方法,该方法用于捕获或检测平台(设备)上的组件(软件和硬件两者),并且使得像原始设备制造商(oem)这样的权威机构能够认证详细描述了这些组件的“清单”。该清单可以由该平台上的可信组件或权威机构来使用,以针对偏差进行检查从而检测故障、恶意修改或其他问题。
[0009]
此外,基于所限定的策略,对该平台的改变对于认证方而言可以要么是可接受的、要么是不可接受的。确定该改变是否可接受可以指定附加信息或要在该设备上执行的检查,以做出该决策。例如,策略可以限定特定的制造商和零件号(part number),或者可以指定将组件替换为更优越的组件(例如,在处理速度、功率使用、容量等方面更优越的组件)。在一些示例中,策略可以针对该组件指定某个级别的信任度、性能或安全性。
[0010]
在一些示例中,提供了如图1中所示的方法。该方法可以包括:检测、监测或捕获s101计算设备的状态。该计算设备可以包括至少一个组件。该方法可以进一步包括:将通过该检测而检测到的状态与该设备的认证状态进行比较s102。认证状态可以指示由可信权威机构认证的该设备的预期状态。响应于检测到的状态和认证状态不同,该方法可以进一步包括:标识s103作为该差异的来源的组件。该方法可以进一步包括:由可信权威机构来检查该组件是否合法。此外,该方法可以包括:响应于该组件是合法的,认证s104该差异并且更新认证状态。
[0011]
可以通过扫描该计算设备及其系统/组件、或通过运行自诊断来进行检测。该计算设备可以是任何计算机,诸如膝上型电脑、台式电脑、平板电脑、移动电话或其他。设备的认证状态可以是该设备内的组件的报告、列表或清单,包括版本号、特性和行为数据中的至少一个,它们是当可信权威机构分析了设备的状态并且认证了组件如预期的那样(即,合法的)按照预期标准进行执行和/或执行预期任务时被创建的。
[0012]
可信权威机构可以是具有所指派的信任度的正确级别的任何权威机构。可信权威机构可以例如与oem相关联,或者可以是被授权检测和认证系统内的设备的性能、安全性或信任度标准的独立方。可信权威机构可以执行上面描述的任何或所有方法,并且可以随机地或在预定时间处执行该方法。如果怀疑正在篡改该计算设备,则可信权威机构可以自主地执行上述方法,以快速标识潜在问题并采取适当的行动作为响应。
[0013]
可信权威机构可以负责安全地聚集(gather)描述该设备的组件的信息。可信权威机构可以进一步安全地存储指示该设备的认证状态的信息。所存储的信息可以表示作为该设备的一部分或被包括在该设备中的预期组件的列表或类似物。可信权威机构可以根据请求或者在预定时间处认证设备的状态。这可以包括捕获或标识设备中的一些或所有组件,将这些组件与可接受组件的数据库进行比较,并且如果这些组件对应于数据库中的可接受组件,则将该设备的状态认证为合法的。该数据库可以由可信权威机构或者由oem或另一个权威机构来维护。
[0014]
如果基于该比较,针对每个状态所收集的对应数据不匹配,则检测到的状态和认证状态可能被视为不同的。这种比较可能不是确切的匹配,并且可以具有对某些可接受特性的一定程度的遵从(compliance)。例如,可以指定组件标识号以便作为确切匹配,但是考
虑到该组件的年龄,性能测量结果可能会略微地变化。此外,该比较可以提供关于状态的更加细粒度(more granular)的信息,以便能够提供附加的上下文来帮助进行更细微(more subtle)的决策过程,从而允许在检测到的状态与认证状态之间进行更明智的比较。
[0015]
根据一些示例,可以对该差异进行认证,或者单独地对被改变的组件进行认证,而不是必须对整个计算设备进行认证或重新认证。因此,其中组件被更新或改变的设备在该改变之后可以仍然维持认证级别,而不是失去该认证。实际上,这对于确保消费电子设备的制造商保修可能是有用的,或者可以向网络提供某设备可以按照指定标准进行执行的保证级别,而不需要将该设备物理地返回到工厂或原始认证权威机构。对组件或改变进行认证可以包括向该组件授权某些权限(right)或能力,或者可以涉及发布证书,该证书对于与该组件通信的其他组件是可访问的并且反映了该认证。
[0016]
如果组件被修改,则可信权威机构可以在常规扫描(检测和比较序列)期间标识被修改的组件。在一些示例中,如果组件被改变,则它可以向可信权威机构报告其自己,以请求认证以及对认证状态的更新。
[0017]
响应于检测到的状态和认证状态没有不同(相同),重新认证被视为不适当的。在一些示例中,针对该设备的下一次扫描,可以考虑状态中的微小变化,这些微小变化被认为不足以显著到构成改变(诸如,在预定阈值以下的性能降低,这可以例如随着组件老化而被预期)。响应于组件被视为不合法的,可以采取多个动作,诸如以下操作中的至少一个:将该组件与该设备的其余部分隔离、将该设备作为整体进行隔离、通知相关方、以及重启该设备。在一些示例中,该组件可以被允许继续操作,但是可能具有降低的安全性或信任度等级。在该示例中,可以提供对该改变的新认证,该新认证具有如下指示:改变被接受为合法的,但是该新认证可能不被视为如工厂认证那样值得信任。
[0018]
在一些示例中,认证状态可以包括指示该至少一个组件的设备组件列表、以及与该至少一个组件相关的简档。
[0019]
设备组件列表可以列出设备中先前已经被认证为合法、真实、或满足预定标准的现有组件。如果设备内的组件尚未被认证,则它可以从设备组件列表中省略,可以被标记或标示为可疑的,或者可以与该设备的其余部分隔离。
[0020] 可以更新设备组件列表,以考虑设备在其寿命期间将经历的改变,诸如上面描述的改变。改变可以是对组件的修改、添加或移除。在改变之后,设备组件列表可能经历增量认证(incremental certification),这是因为设备组件列表将被更新或扩展以包括反映该改变的条目。这避免了对设备组件列表进行完全重新认证的需要。这进而减少了设备组件列表的未改变部分被篡改的机会。在一些示例中,对改变的认证可以利用关于这些改变的不同假设来执行。例如,可以接受改变,但是设备组件列表的部分更新可能被认为与原始工厂认证相比较不值得信任。在该示例中,对该改变的新认证可以提供如下指示:改变被接受为合法的,但是该新认证可能不被视为如工厂认证那样值得信任。
[0021]
在一些示例中,在至少一个改变认证已经被发布之后,设备可以被发布完全重新认证,例如通过原始工厂或其他安全环境来进行。以这种方式,组件可以在改变之后被临时重新认证,并且随后经历进一步的完全重新认证。在一些示例中,可以在特定时间量内应用改变认证,并且一旦该时间量已经过去,改变认证就可以到期。这可以为用户给出足够的时间,以将该设备带到/发送到允许完全重新认证(或进一步分析,从而可能使得不需要完全
重新认证)的位置或环境。
[0022]
在一些示例中,该简档可以包括与组件的操作参数、启动时间、运行时间和/或功率使用相关的数据。
[0023]
该简档可以包括每个组件的预期特性数据,该预期特性数据可以用于标识组件、标识该组件何时被替换、以及标识该组件如何(在功能方面)被改变。此外,在一些示例中,具有多于一个度量——在该度量的基础上,对值进行比较——可以改进该简档的质量,并且因此改进不合法组件继续操作而不被检测到的难度。
[0024]
在一些示例中,可以由可信权威机构基于该组件的所测量或检测到的特性来创建该简档。
[0025]
可信权威机构既可以在认证时创建与组件进行比较的简档,也可以认证该组件。针对这两个动作具有相同的可信权威机构可以改进测量的一致性以及给予组件的信任度级别。组件通常可以基于许多因素被给予信任度等级,这些因素包括它们的年龄、制造商、处理能力和/或各种策略。还可以基于组件在其中被使用和/或更新的环境来对组件进行关于信任度的评级。例如,组件或设备在其中被制造或组装的工厂可能被认为比大多数设备在其中被使用的环境更加安全。对于此,存在例外,例如,具有安全性意识的政府机构可能会认为从未离开其建筑物的设备比在工厂中被远程生产的那些设备更加安全。
[0026]
在一些示例中,检测可以包括:收集与该至少一个组件的特性相关的数据。
[0027]
可以通过验证组件在该设备中的存在来检测组件。为了改进检测的可靠性并且降低组件成功模仿另一个组件的风险,可以收集与该组件的行为和特性相关的数据。这种数据可以涉及例如该组件的操作参数、启动时间、运行时间和/或功率使用。
[0028]
在一些示例中,该方法可以进一步包括:凭借该比较,响应于该组件是合法的或者被视为合法的,更新与该组件相关联的信任度级别。
[0029]
合法或真实的组件可以仍然指定取决于该组件被预期的安全程度而被设置或改变的信任度级别。例如,存在安全性标准,并且这些安全性标准与不同的信任度级别相关联。基于那些标准,组件可以具有对应的所指派的信任度级别。
[0030]
在一些示例中,提供了一种计算机可读介质。该计算机可读介质可以存储指令,这些指令当在计算机上执行时使得计算机执行过程。该过程可以对应于上面描述的方法。在一些示例中,该过程可以包括:检测计算设备的状态。该计算设备可以包括至少一个组件。该方法可以进一步包括:将检测到的状态与该设备的认证状态进行比较。认证状态可以指示由可信权威机构认证的该设备的状态。响应于检测到的状态和认证状态不同,该方法可以进一步包括:标识作为该差异的来源的组件,并且由可信权威机构来检查该组件是否合法。响应于该组件是合法的或者被视为合法的,该方法可以进一步包括:认证该差异并且更新认证状态。
[0031]
在一些示例中,提供了如图2中所示的方法。该方法可以包括:检测s201设备的状态中的改变。该设备可以包括至少一个组件。该方法可以进一步包括:标识s202已经被改变的至少一个组件。该改变可以是相对于该设备的先前状态、或由可信权威机构认证的认证状态。该方法可以进一步包括:由可信权威机构来确定s203该组件是否合法。响应于该组件被确定为合法的,该方法可以进一步包括将该改变认证s204为合法改变。
[0032]
可以通过标识从状态改变引起的随之而来的改变来检测该状态改变。例如,设备
内的组件可能被替换,这可能导致该设备作为整体的能量使用中的差异、或者处理能力或其他行为中的差异。这些差异可以要么被立即检测到,要么在所调度的扫描期间被检测到。
[0033]
在一些示例中,提供了一种计算机可读介质。该计算机可读介质可以存储指令,这些指令当在计算机上执行时使得计算机执行过程。该过程可以对应于上面描述的方法。在一些示例中,该过程可以包括:检测设备的状态中的改变。该设备可以包括至少一个组件。该方法可以进一步包括:标识已经被改变的至少一个组件。该方法可以进一步包括:由可信权威机构来确定该组件是否合法。响应于该组件被确定为合法的,该方法可以包括:将该改变认证为合法改变。
[0034]
在一些示例中,响应于该组件是合法的,该方法可以包括:更新与该组件相关联的信任度级别。在一些示例中,响应于该组件是合法的,该方法可以包括:更新与该组件相关联的权限。
[0035]
可以基于信任度或性能级别以及其他因素来向该设备内的该至少一个组件指派权限,以便确保给予该组件的权限对于该组件的信任度和/或能力是适当的。
[0036]
在一些示例中,提供了如图3中所示的设备10。设备10可以包括状态检测器100。状态检测器100可以检测计算设备的状态。该计算设备可以包括至少一个组件。设备10可以进一步包括处理器200。处理器200可以将检测到的状态与该计算设备的认证状态进行比较。认证状态指示由可信权威机构认证的该计算设备的状态。设备10可以进一步包括组件标识器300。组件标识器300可以响应于检测到的状态和认证状态不同来标识作为该差异的来源的组件。设备10可以进一步包括组件检查器400。组件检查器400可以检查该组件是否被授权。设备10可以进一步包括认证器500。认证器500可以响应于该组件被授权来认证该差异并且更新认证状态。
[0037]
根据一些示例,状态检测器100可以是硬件设备,例如计算机处理器,和/或可以是可信设备,该可信设备具有与可信权威机构类似的信任度级别。在一些示例中,状态检测器100可以是通用或专用计算机,在其上可执行编程以实施上面描述的状态检测器100的功能。状态检测器100可以有权访问设备10上的所有组件和/或与它们通信,以便检测和确定它们相应的状态。根据一些示例,处理器200可以是硬件设备,例如计算机处理器,和/或可以是能够比较与设备10相关的不同状态的比较器或比较仪。在一些示例中,处理器200可以是通用或专用计算机,在其上可执行编程以实施上面描述的处理器200的功能。根据一些示例,组件标识器300可以是硬件设备,例如计算机处理器,和/或可能能够访问与组件相关的信息,诸如组件标识号或针对该组件的另一种形式的标识。在一些示例中,组件标识器300可以是通用或专用计算机,在其上可执行编程以实施上面描述的组件标识器300的功能。根据一些示例,组件检查器400可以是硬件设备,例如计算机处理器,和/或可能能够访问指示组件是否被授权的信息。这种信息可以本地存储在存储器中,或者远程地存储。在一些示例中,组件检查器400可以是通用或专用计算机,在其上可执行编程以实施上面描述的组件检查器400的功能。根据一些示例,认证器500可以是硬件设备,例如计算机处理器,和/或可能能够发布认证,该认证指示被改变的组件或改变本身是合法的。例如,合法性可以包括该改变是预期的,或者替换组件根据预定策略是可接受的、或者满足某些性能要求。在一些示例中,认证器500可以是通用或专用计算机,在其上可执行编程以实施上面描述的认证器500的功能。
[0038]
设备10可以是该计算设备的一部分,或者可以与该计算设备分离。在一些示例中,可信权威机构可以是本地的或该设备的一部分,或者可信权威机构可以是远程的。在一示例中,该设备可以具有本地可信权威机构,该本地可信权威机构可以将一些评估或认证委托给远程权威机构。
[0039]
因此,根据一些示例,提供了一种方法、计算机可读介质和设备,它们用于基于所应用的标准/测试/策略来评估已经被改变的个体组件,并且要么将它们认证为合法的替换组件、要么在它们不合法的情况下采取补救动作。在一些示例中,对该改变的新认证可以提供如下指示:改变被接受为合法的,但是该新认证可能不被认为如工厂认证那样值得信任,并且因此,该组件可以被给予降低的信任度或安全性等级。
[0040]
本公开中的示例可以作为方法、系统或机器可读指令(诸如,软件、硬件、固件等的任何组合)来提供。这种机器可读指令可以被包括在其中或其上具有计算机可读程序代码的计算机可读存储介质(包括但不限于盘存储装置、cd-rom、光学存储装置等)上。
[0041]
参考根据本公开的示例的方法、设备和系统的流程图和/或框图描述了本公开。尽管上面描述的流程图示出了特定的执行次序,但是执行次序可以不同于所描绘的执行次序。关于一个流程图描述的框可以与另一个流程图的框组合。
[0042]
应理解的是,流程图和/或框图中的每个流程和/或框、以及流程图和/或框图中的流程和/或图的组合可以通过机器可读指令来实现。
[0043]
机器可读指令可以由通用计算机、专用计算机、嵌入式处理器、或其他可编程数据处理设备的处理器来执行,以实现说明书和示图中描述的功能。特别地,处理器或处理装置可以执行机器可读指令。因此,装置和设备的功能模块可以由执行存储在存储器中的机器可读指令的处理器、或根据嵌入在逻辑电路中的指令进行操作的处理器来实现。术语“处理器”要被宽泛地解释为包括cpu、处理单元、asic、逻辑单元或可编程门阵列等。这些方法和功能模块可以全部由单个处理器执行,或者在若干个处理器当中划分。
[0044]
这种机器可读指令也可以存储在计算机可读存储装置中,该计算机可读存储装置可以引导计算机或其他可编程数据处理设备在特定模式下操作。
[0045]
这种机器可读指令也可以被加载到计算机或其他可编程数据处理设备上,使得该计算机或其他可编程数据处理设备执行一系列操作,以产生计算机实现的处理,因此在该计算机或其他可编程设备上执行的指令实现由流程图中的(一个或多个)流程和/或框图中的(一个或多个)框所指定的功能。
[0046]
此外,本文中的教导可以以计算机软件产品的形式来实现,该计算机软件产品被存储在存储介质中,并且包括用于使计算机设备实现本公开的示例中所记载的方法的多个指令。
[0047]
虽然已经参考某些示例描述了方法、装置和相关方面,但是在不脱离本公开的精神的情况下,可以进行各种修改、改变、省略和替代。因此,所意图的是,这些方法、设备和相关方面仅由以下权利要求及其等同物的范围所限制。应当注意的是,上面提到的示例说明而不是限制本文中描述的内容,并且本领域技术人员将能够在不脱离所附权利要求的范围的情况下设计许多替代实现方式。
[0048]
词语“包括”不排除除了权利要求中列出的元件之外的元件的存在,“一(a或an)”不排除多个,并且单个处理器或其他单元可以实现权利要求中记载的若干个单元的功能。
[0049]
任何从属权利要求的特征可以与任何独立权利要求或其他从属权利要求的特征组合。
背景技术:
1.电子设备(诸如,消费电子器件)可以被描述为平台或设备,并且可以例如包括硬件、软件和数据。这种平台可以包括诸如硬盘、cpu、ram、hid设备、bios和可配置设置(如序列号)之类的组件。相似的设备(诸如,两个pc)可以具有相同类型的硬件,但是具有不同的固件版本和序列号。
附图说明
2.现在将参考附图通过非限制性示例的方式来描述示例,在附图中:图1是根据一些示例的方法的流程图;图2是根据一些示例的另外方法的流程图;以及图3是根据一些示例的设备的简化示意图。
具体实施方式
3.在设备、平台或产品的生命周期期间,可能存在对其中的组件的许多合法的改变,诸如所有者进行的有意修改、it提供商进行的授权更新、或由于故障或降级(degradation)所致的不可避免的改变。
4.在一些情况下,这些改变可能被认为是故障/恶意改变/流氓组件/攻击,并且可能引发警报。接受改变并且更新该平台的新版本或状态可能需要对平台清单(manifest)进行完全的重新认证,以允许该平台继续如正常那样运作,这对于一些设备来说可能是不可行的。例如,认证(certification)可以在工厂中完成,或者作为制造过程的一部分而完成,在制造过程中,可以针对合法组件的存在来进行检查。一旦组件已经离开工厂,对该平台的重新认证就变得更加困难。在一些示例中,如果检测到篡改,则合法组件可能不再被视为合法的。换句话说,在制造期间安装并且被认证为合法的原始组件可能在某个时候被篡改,并且取决于该篡改的程度,可能不再是合法组件,这是因为它可能不会作为原始的合法组件来运作,或者可能不再具有相同的信任度或安全性等级(rating)。
5.平台的示例可以包括电子产品或消费电子器件。在一些示例中,平台是由硬件、软件和数据组成的计算设备。这些组件影响该设备的行为,并且因此可以通过它们的存在或不存在来表征设备。每个组件可以显示该特定组件所特有的行为。例如,存储器可以如存储器那样表现,cpu可以如cpu那样表现,等等。
6.为了改进对这种改变的检测,在一些示例中,可以提供以不同粒度水平来表征设备的方法。根据一些示例,设备可以收集与该平台的组件相关的测量或其他数据。组件可以经由与这些组件唯一相关联的值和/或行为模式被单独地表征。例如,每个硬件组件可以具有序列号和/或制造商id。软件可以具有版本号。其他组件可能展示出特有的行为,诸如usb大容量存储设备,它可以通过遵循预期的请求而被预期像一个usb大容量存储设备那样起作用。
[0007] 当特性或行为模式非预期地改变时,可以检测到组件中的改变。组件或包括至少
一个组件的设备的状态可以给出当前设备或(一个或多个)组件的特性、行为、版本号等的指示。行为模式可以包括性能和能量使用(energy usage)、来自组件的输入和输出、以及其格式,包括响应时间。
[0008]
根据一些示例,提供了一种方法,该方法用于捕获或检测平台(设备)上的组件(软件和硬件两者),并且使得像原始设备制造商(oem)这样的权威机构能够认证详细描述了这些组件的“清单”。该清单可以由该平台上的可信组件或权威机构来使用,以针对偏差进行检查从而检测故障、恶意修改或其他问题。
[0009]
此外,基于所限定的策略,对该平台的改变对于认证方而言可以要么是可接受的、要么是不可接受的。确定该改变是否可接受可以指定附加信息或要在该设备上执行的检查,以做出该决策。例如,策略可以限定特定的制造商和零件号(part number),或者可以指定将组件替换为更优越的组件(例如,在处理速度、功率使用、容量等方面更优越的组件)。在一些示例中,策略可以针对该组件指定某个级别的信任度、性能或安全性。
[0010]
在一些示例中,提供了如图1中所示的方法。该方法可以包括:检测、监测或捕获s101计算设备的状态。该计算设备可以包括至少一个组件。该方法可以进一步包括:将通过该检测而检测到的状态与该设备的认证状态进行比较s102。认证状态可以指示由可信权威机构认证的该设备的预期状态。响应于检测到的状态和认证状态不同,该方法可以进一步包括:标识s103作为该差异的来源的组件。该方法可以进一步包括:由可信权威机构来检查该组件是否合法。此外,该方法可以包括:响应于该组件是合法的,认证s104该差异并且更新认证状态。
[0011]
可以通过扫描该计算设备及其系统/组件、或通过运行自诊断来进行检测。该计算设备可以是任何计算机,诸如膝上型电脑、台式电脑、平板电脑、移动电话或其他。设备的认证状态可以是该设备内的组件的报告、列表或清单,包括版本号、特性和行为数据中的至少一个,它们是当可信权威机构分析了设备的状态并且认证了组件如预期的那样(即,合法的)按照预期标准进行执行和/或执行预期任务时被创建的。
[0012]
可信权威机构可以是具有所指派的信任度的正确级别的任何权威机构。可信权威机构可以例如与oem相关联,或者可以是被授权检测和认证系统内的设备的性能、安全性或信任度标准的独立方。可信权威机构可以执行上面描述的任何或所有方法,并且可以随机地或在预定时间处执行该方法。如果怀疑正在篡改该计算设备,则可信权威机构可以自主地执行上述方法,以快速标识潜在问题并采取适当的行动作为响应。
[0013]
可信权威机构可以负责安全地聚集(gather)描述该设备的组件的信息。可信权威机构可以进一步安全地存储指示该设备的认证状态的信息。所存储的信息可以表示作为该设备的一部分或被包括在该设备中的预期组件的列表或类似物。可信权威机构可以根据请求或者在预定时间处认证设备的状态。这可以包括捕获或标识设备中的一些或所有组件,将这些组件与可接受组件的数据库进行比较,并且如果这些组件对应于数据库中的可接受组件,则将该设备的状态认证为合法的。该数据库可以由可信权威机构或者由oem或另一个权威机构来维护。
[0014]
如果基于该比较,针对每个状态所收集的对应数据不匹配,则检测到的状态和认证状态可能被视为不同的。这种比较可能不是确切的匹配,并且可以具有对某些可接受特性的一定程度的遵从(compliance)。例如,可以指定组件标识号以便作为确切匹配,但是考
虑到该组件的年龄,性能测量结果可能会略微地变化。此外,该比较可以提供关于状态的更加细粒度(more granular)的信息,以便能够提供附加的上下文来帮助进行更细微(more subtle)的决策过程,从而允许在检测到的状态与认证状态之间进行更明智的比较。
[0015]
根据一些示例,可以对该差异进行认证,或者单独地对被改变的组件进行认证,而不是必须对整个计算设备进行认证或重新认证。因此,其中组件被更新或改变的设备在该改变之后可以仍然维持认证级别,而不是失去该认证。实际上,这对于确保消费电子设备的制造商保修可能是有用的,或者可以向网络提供某设备可以按照指定标准进行执行的保证级别,而不需要将该设备物理地返回到工厂或原始认证权威机构。对组件或改变进行认证可以包括向该组件授权某些权限(right)或能力,或者可以涉及发布证书,该证书对于与该组件通信的其他组件是可访问的并且反映了该认证。
[0016]
如果组件被修改,则可信权威机构可以在常规扫描(检测和比较序列)期间标识被修改的组件。在一些示例中,如果组件被改变,则它可以向可信权威机构报告其自己,以请求认证以及对认证状态的更新。
[0017]
响应于检测到的状态和认证状态没有不同(相同),重新认证被视为不适当的。在一些示例中,针对该设备的下一次扫描,可以考虑状态中的微小变化,这些微小变化被认为不足以显著到构成改变(诸如,在预定阈值以下的性能降低,这可以例如随着组件老化而被预期)。响应于组件被视为不合法的,可以采取多个动作,诸如以下操作中的至少一个:将该组件与该设备的其余部分隔离、将该设备作为整体进行隔离、通知相关方、以及重启该设备。在一些示例中,该组件可以被允许继续操作,但是可能具有降低的安全性或信任度等级。在该示例中,可以提供对该改变的新认证,该新认证具有如下指示:改变被接受为合法的,但是该新认证可能不被视为如工厂认证那样值得信任。
[0018]
在一些示例中,认证状态可以包括指示该至少一个组件的设备组件列表、以及与该至少一个组件相关的简档。
[0019]
设备组件列表可以列出设备中先前已经被认证为合法、真实、或满足预定标准的现有组件。如果设备内的组件尚未被认证,则它可以从设备组件列表中省略,可以被标记或标示为可疑的,或者可以与该设备的其余部分隔离。
[0020] 可以更新设备组件列表,以考虑设备在其寿命期间将经历的改变,诸如上面描述的改变。改变可以是对组件的修改、添加或移除。在改变之后,设备组件列表可能经历增量认证(incremental certification),这是因为设备组件列表将被更新或扩展以包括反映该改变的条目。这避免了对设备组件列表进行完全重新认证的需要。这进而减少了设备组件列表的未改变部分被篡改的机会。在一些示例中,对改变的认证可以利用关于这些改变的不同假设来执行。例如,可以接受改变,但是设备组件列表的部分更新可能被认为与原始工厂认证相比较不值得信任。在该示例中,对该改变的新认证可以提供如下指示:改变被接受为合法的,但是该新认证可能不被视为如工厂认证那样值得信任。
[0021]
在一些示例中,在至少一个改变认证已经被发布之后,设备可以被发布完全重新认证,例如通过原始工厂或其他安全环境来进行。以这种方式,组件可以在改变之后被临时重新认证,并且随后经历进一步的完全重新认证。在一些示例中,可以在特定时间量内应用改变认证,并且一旦该时间量已经过去,改变认证就可以到期。这可以为用户给出足够的时间,以将该设备带到/发送到允许完全重新认证(或进一步分析,从而可能使得不需要完全
重新认证)的位置或环境。
[0022]
在一些示例中,该简档可以包括与组件的操作参数、启动时间、运行时间和/或功率使用相关的数据。
[0023]
该简档可以包括每个组件的预期特性数据,该预期特性数据可以用于标识组件、标识该组件何时被替换、以及标识该组件如何(在功能方面)被改变。此外,在一些示例中,具有多于一个度量——在该度量的基础上,对值进行比较——可以改进该简档的质量,并且因此改进不合法组件继续操作而不被检测到的难度。
[0024]
在一些示例中,可以由可信权威机构基于该组件的所测量或检测到的特性来创建该简档。
[0025]
可信权威机构既可以在认证时创建与组件进行比较的简档,也可以认证该组件。针对这两个动作具有相同的可信权威机构可以改进测量的一致性以及给予组件的信任度级别。组件通常可以基于许多因素被给予信任度等级,这些因素包括它们的年龄、制造商、处理能力和/或各种策略。还可以基于组件在其中被使用和/或更新的环境来对组件进行关于信任度的评级。例如,组件或设备在其中被制造或组装的工厂可能被认为比大多数设备在其中被使用的环境更加安全。对于此,存在例外,例如,具有安全性意识的政府机构可能会认为从未离开其建筑物的设备比在工厂中被远程生产的那些设备更加安全。
[0026]
在一些示例中,检测可以包括:收集与该至少一个组件的特性相关的数据。
[0027]
可以通过验证组件在该设备中的存在来检测组件。为了改进检测的可靠性并且降低组件成功模仿另一个组件的风险,可以收集与该组件的行为和特性相关的数据。这种数据可以涉及例如该组件的操作参数、启动时间、运行时间和/或功率使用。
[0028]
在一些示例中,该方法可以进一步包括:凭借该比较,响应于该组件是合法的或者被视为合法的,更新与该组件相关联的信任度级别。
[0029]
合法或真实的组件可以仍然指定取决于该组件被预期的安全程度而被设置或改变的信任度级别。例如,存在安全性标准,并且这些安全性标准与不同的信任度级别相关联。基于那些标准,组件可以具有对应的所指派的信任度级别。
[0030]
在一些示例中,提供了一种计算机可读介质。该计算机可读介质可以存储指令,这些指令当在计算机上执行时使得计算机执行过程。该过程可以对应于上面描述的方法。在一些示例中,该过程可以包括:检测计算设备的状态。该计算设备可以包括至少一个组件。该方法可以进一步包括:将检测到的状态与该设备的认证状态进行比较。认证状态可以指示由可信权威机构认证的该设备的状态。响应于检测到的状态和认证状态不同,该方法可以进一步包括:标识作为该差异的来源的组件,并且由可信权威机构来检查该组件是否合法。响应于该组件是合法的或者被视为合法的,该方法可以进一步包括:认证该差异并且更新认证状态。
[0031]
在一些示例中,提供了如图2中所示的方法。该方法可以包括:检测s201设备的状态中的改变。该设备可以包括至少一个组件。该方法可以进一步包括:标识s202已经被改变的至少一个组件。该改变可以是相对于该设备的先前状态、或由可信权威机构认证的认证状态。该方法可以进一步包括:由可信权威机构来确定s203该组件是否合法。响应于该组件被确定为合法的,该方法可以进一步包括将该改变认证s204为合法改变。
[0032]
可以通过标识从状态改变引起的随之而来的改变来检测该状态改变。例如,设备
内的组件可能被替换,这可能导致该设备作为整体的能量使用中的差异、或者处理能力或其他行为中的差异。这些差异可以要么被立即检测到,要么在所调度的扫描期间被检测到。
[0033]
在一些示例中,提供了一种计算机可读介质。该计算机可读介质可以存储指令,这些指令当在计算机上执行时使得计算机执行过程。该过程可以对应于上面描述的方法。在一些示例中,该过程可以包括:检测设备的状态中的改变。该设备可以包括至少一个组件。该方法可以进一步包括:标识已经被改变的至少一个组件。该方法可以进一步包括:由可信权威机构来确定该组件是否合法。响应于该组件被确定为合法的,该方法可以包括:将该改变认证为合法改变。
[0034]
在一些示例中,响应于该组件是合法的,该方法可以包括:更新与该组件相关联的信任度级别。在一些示例中,响应于该组件是合法的,该方法可以包括:更新与该组件相关联的权限。
[0035]
可以基于信任度或性能级别以及其他因素来向该设备内的该至少一个组件指派权限,以便确保给予该组件的权限对于该组件的信任度和/或能力是适当的。
[0036]
在一些示例中,提供了如图3中所示的设备10。设备10可以包括状态检测器100。状态检测器100可以检测计算设备的状态。该计算设备可以包括至少一个组件。设备10可以进一步包括处理器200。处理器200可以将检测到的状态与该计算设备的认证状态进行比较。认证状态指示由可信权威机构认证的该计算设备的状态。设备10可以进一步包括组件标识器300。组件标识器300可以响应于检测到的状态和认证状态不同来标识作为该差异的来源的组件。设备10可以进一步包括组件检查器400。组件检查器400可以检查该组件是否被授权。设备10可以进一步包括认证器500。认证器500可以响应于该组件被授权来认证该差异并且更新认证状态。
[0037]
根据一些示例,状态检测器100可以是硬件设备,例如计算机处理器,和/或可以是可信设备,该可信设备具有与可信权威机构类似的信任度级别。在一些示例中,状态检测器100可以是通用或专用计算机,在其上可执行编程以实施上面描述的状态检测器100的功能。状态检测器100可以有权访问设备10上的所有组件和/或与它们通信,以便检测和确定它们相应的状态。根据一些示例,处理器200可以是硬件设备,例如计算机处理器,和/或可以是能够比较与设备10相关的不同状态的比较器或比较仪。在一些示例中,处理器200可以是通用或专用计算机,在其上可执行编程以实施上面描述的处理器200的功能。根据一些示例,组件标识器300可以是硬件设备,例如计算机处理器,和/或可能能够访问与组件相关的信息,诸如组件标识号或针对该组件的另一种形式的标识。在一些示例中,组件标识器300可以是通用或专用计算机,在其上可执行编程以实施上面描述的组件标识器300的功能。根据一些示例,组件检查器400可以是硬件设备,例如计算机处理器,和/或可能能够访问指示组件是否被授权的信息。这种信息可以本地存储在存储器中,或者远程地存储。在一些示例中,组件检查器400可以是通用或专用计算机,在其上可执行编程以实施上面描述的组件检查器400的功能。根据一些示例,认证器500可以是硬件设备,例如计算机处理器,和/或可能能够发布认证,该认证指示被改变的组件或改变本身是合法的。例如,合法性可以包括该改变是预期的,或者替换组件根据预定策略是可接受的、或者满足某些性能要求。在一些示例中,认证器500可以是通用或专用计算机,在其上可执行编程以实施上面描述的认证器500的功能。
[0038]
设备10可以是该计算设备的一部分,或者可以与该计算设备分离。在一些示例中,可信权威机构可以是本地的或该设备的一部分,或者可信权威机构可以是远程的。在一示例中,该设备可以具有本地可信权威机构,该本地可信权威机构可以将一些评估或认证委托给远程权威机构。
[0039]
因此,根据一些示例,提供了一种方法、计算机可读介质和设备,它们用于基于所应用的标准/测试/策略来评估已经被改变的个体组件,并且要么将它们认证为合法的替换组件、要么在它们不合法的情况下采取补救动作。在一些示例中,对该改变的新认证可以提供如下指示:改变被接受为合法的,但是该新认证可能不被认为如工厂认证那样值得信任,并且因此,该组件可以被给予降低的信任度或安全性等级。
[0040]
本公开中的示例可以作为方法、系统或机器可读指令(诸如,软件、硬件、固件等的任何组合)来提供。这种机器可读指令可以被包括在其中或其上具有计算机可读程序代码的计算机可读存储介质(包括但不限于盘存储装置、cd-rom、光学存储装置等)上。
[0041]
参考根据本公开的示例的方法、设备和系统的流程图和/或框图描述了本公开。尽管上面描述的流程图示出了特定的执行次序,但是执行次序可以不同于所描绘的执行次序。关于一个流程图描述的框可以与另一个流程图的框组合。
[0042]
应理解的是,流程图和/或框图中的每个流程和/或框、以及流程图和/或框图中的流程和/或图的组合可以通过机器可读指令来实现。
[0043]
机器可读指令可以由通用计算机、专用计算机、嵌入式处理器、或其他可编程数据处理设备的处理器来执行,以实现说明书和示图中描述的功能。特别地,处理器或处理装置可以执行机器可读指令。因此,装置和设备的功能模块可以由执行存储在存储器中的机器可读指令的处理器、或根据嵌入在逻辑电路中的指令进行操作的处理器来实现。术语“处理器”要被宽泛地解释为包括cpu、处理单元、asic、逻辑单元或可编程门阵列等。这些方法和功能模块可以全部由单个处理器执行,或者在若干个处理器当中划分。
[0044]
这种机器可读指令也可以存储在计算机可读存储装置中,该计算机可读存储装置可以引导计算机或其他可编程数据处理设备在特定模式下操作。
[0045]
这种机器可读指令也可以被加载到计算机或其他可编程数据处理设备上,使得该计算机或其他可编程数据处理设备执行一系列操作,以产生计算机实现的处理,因此在该计算机或其他可编程设备上执行的指令实现由流程图中的(一个或多个)流程和/或框图中的(一个或多个)框所指定的功能。
[0046]
此外,本文中的教导可以以计算机软件产品的形式来实现,该计算机软件产品被存储在存储介质中,并且包括用于使计算机设备实现本公开的示例中所记载的方法的多个指令。
[0047]
虽然已经参考某些示例描述了方法、装置和相关方面,但是在不脱离本公开的精神的情况下,可以进行各种修改、改变、省略和替代。因此,所意图的是,这些方法、设备和相关方面仅由以下权利要求及其等同物的范围所限制。应当注意的是,上面提到的示例说明而不是限制本文中描述的内容,并且本领域技术人员将能够在不脱离所附权利要求的范围的情况下设计许多替代实现方式。
[0048]
词语“包括”不排除除了权利要求中列出的元件之外的元件的存在,“一(a或an)”不排除多个,并且单个处理器或其他单元可以实现权利要求中记载的若干个单元的功能。
[0049]
任何从属权利要求的特征可以与任何独立权利要求或其他从属权利要求的特征组合。
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
