• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    たとえ安全な装置のファームウェア内でコンポーネントのいくつかが存在していなく、正確に認証されていなく、若しくは正確に動作していなくても、装置が安全な方法でブートすることができる方法。
    公开号:JP2011511331A
    申请号:JP2010525959
    申请日:2009-01-29
    公开日:2011-04-07
    发明作者:アレクサンダー;ニコルソン ケネス;孝幸 伊藤;秀樹 松島;智之 芳賀;久 高山
    申请人:パナソニック株式会社;
    IPC主号:G06F21-22
    专利说明:

    [0001] 本発明は、セキュアブートを実行するシステムにおいて、オプショナルな又は失敗コンポーネントをサポートするシステムに関する。]
    背景技術

    [0002] 例えば、Trusted Computing Group (TCG) のMobile Trusted Module (MTM) documents TCG Mobile Reference Architecture version 1.0 12 June 2007(非特許文献1)およびTCG Mobile Trusted Module Specification version 1.0 12 June 2007(非特許文献2)のようなイニシアチブは、装置をどのようにして、保証され、また、信頼された方法で起動させるかを記述している。これらの方法は、信頼性や安全性がブートプロセスの間保持されるということを確実にするため完全に見直されてきており、その結果、安全にブートができる装置の実装を要求する人々に有用な基準を提供する。このセキュアブートプロセスのキーコンポーネントは、RIM証明書である。これは、現在期待されるプラットフォームの状態がどのようなものであるべきかを定義する署名構造である。プラットフォームの状態は、それぞれが一般に定義されたハッシュ値を含むプラットフォーム設定レジスタ(PCRs)の集合に対するハッシュによって表される。これらのレジスタは完全性測定(integrity measurement)として用いられるものであり、期待される装置の状態を定義するためにRIM証明書に記録されていても良い。さらに、RIM証明書は、また、もし現在の状態が検証される場合に、拡張されるべきレジスタを特定する。この拡張の処理では、指定されたレジスタの値を取得し、RIM証明書内で定義される新たな既知の値と以前のレジスタ値とを連結させた値に基づいて新たなハッシュ値を計算する。TCGによって定義される典型的なセキュアブートシーケンスは、コアコンポーネントの初期化および自己検証から開始する。ここで、コアコンポーネントとは、検証及び測定(RTV+RTM)、MTM自体や結合されたコアMTMインタフェースなどの信頼性のルートである。次に、ファームウェアの他の部分をサポートする追加コンポーネントが、信頼された方法で起動される。ここで信頼された方法とは、例えば、各追加コンポーネントが、各追加コンポーネントの起動時に、先にブートされた他のコンポーネントによって検証されることである。そして、最後に、オペレーティングシステムが、クライアントアプリケーションに対して、MTMサービスへとアクセスする安全で信頼されたパスを提供するために起動される。]
    [0003] 米国特許出願公開第2005/0138414号明細書]
    先行技術

    [0004] TCGMobile Reference Architecture version 1.0 12 June 2007
    TCG Mobile Trusted Module Specification version 1.0 12 June 2007]
    発明が解決しようとする課題

    [0005] しかし、仕様書は、完全に成功するか失敗するかのどちらかの結果にしかならない単一の制御パスのみを提供しており、融通の利かない内容となっている。言い換えると、もし1つのコンポーネントのブートプロセスが失敗すると、他のコンポーネントの全ては、たとえ、そのコンポーネント自身のブートプロセスが成功していたとしても使用されないこととなる。]
    [0006] さらに、TCG仕様書は、携帯電話などの携帯端末でリソースが限られていることを、監査し、確認する機能を提供している。仕様書では、これらの監査の形態はMTMではオプショナルであると定義されているが、これには下記に示す問題を生じる。上述したように、この機構はオプショナルに過ぎないが、この機構に対するブートプロセスが失敗すると、携帯電話の全てのコンポーネントが使用できなくなる。さらに、この形態は実装されることを必要とされないにも関わらず(というのもオプショナルなため)、この形態を実装しなくては、検証が常に失敗することとなる。これは、他のプロセスに対して、ブートプロセス中でなぜ若しくはどこで失敗があったのかを検出することをより難しくする。さらに、装置製造者は、所定の信頼されたコンポーネントをオプションとして提供することを望むことがある。]
    [0007] さらに多くの市場では、ユーザが現在サービス契約していない、若しくは、現在のサービス契約の場所の外にある携帯電話からでも緊急電話をできるようにするという、サービスプロバイダへの法的な要求がある。MTMを備えた電話では、証明書がリボークされたり、重要でないコンポーネントのデータ破損があった場合、全く操作できない電話となってしまうため、この法的な要求に応えることができない。]
    [0008] ジマーらによる米国特許出願公開第2005/0138414号明細書(特許文献1)では、オプショナルなコンポーネントの様々なブート方法が開示されているが、オプショナルなコンポーネントは、明示的なスイッチに応じて実装されている:例えば、コンポーネントプログラムファイルの破損、若しくは、ハードウェアの初期化の失敗のようなオプショナルなコンポーネントを処理するときに生じるエラーをどのように処理するかということを考慮していない。]
    [0009] 従って、必要なことは、TCG携帯電話ワーキンググループによって定義されるセキュアブートの状況内でオプショナルなコンポーネントをサポートする方法であり、たとえいくつかのRIM証明書(RIM Cert/RIM Certs)がリボークされ、若しくは、コンポーネントが機能していなくても、少ない機能で動作する方法であり、また、セキュアブートが終了した後、MTMの状態を決定する、より簡単な、リソース負荷のより少ない方法である。]
    [0010] 従来技術では、単一の定義されたシーケンスに応じてブートする方法を述べているが、そこでは、もし1つの必須でないコンポーネントが失敗若しくは存在しないなら、何をするのかを提案していない。さらに、失敗の状態は、セキュアブート全体で記録されるのみであり、各個別のコンポーネントごとに記録されていない。結果として、RIM証明書が必要とされる箇所の各役割のうち、たった一つしか用いることができない。]
    課題を解決するための手段

    [0011] そのため、ブートされている装置の安全性や信頼性を保持しつつ、セキュアブートに関する複数の実行シーケンスを定義することで、オプショナルかつ失敗したコンポーネントのために装置をサポートすることのできるシステムや方法については、満たされないニーズがあり、このようなシステムや方法を得ることは大いに役立つことである。]
    [0012] さらに、上記に加えて、セキュアブートシステム内の各個別のコンポーネントの成功若しくは失敗を記録することで、ユーザがセキュアブートが完了した後に安全な環境の状態を決定できるシステムや方法に関して満たされていない要求があり、このようなシステムや方法を得ることは大いに役立つことである。]
    [0013] さらに、上記に加えて、各役割ごとに複数のRIM証明書を使用することで装置の安全性や信頼性を保持する一方、オプショナルなコンポーネントをサポートできるようにするシステムや方法については、満たされていない要求があり、このようなシステムや方法を得ることは大いに役立つことである。]
    [0014] 本発明に係る好ましい実施の形態においては、各個別のコンポーネントの成功若しくは失敗は、全ての他の信頼コンポーネントによって利用できるテーブル内に記録される。]
    [0015] 本発明の別の好ましい実施の形態においては、複数の実行シーケンスは、所定のコンポーネントが失敗した後に実行すべき代替コンポーネントを記述するテーブル内に記述される。このテーブルは、失敗したモジュールや、以前に実行した、若しくは、失敗したコンポーネントの状態に関する識別子の組み合わせを用いて索引が付けられる。]
    [0016] 本発明の別の好ましい形態においては、各個別のコンポーネントが以前に実行した、若しくは、失敗したコンポーネントの状態に応じて正確に検証するために、各コンポーネントは、コンポーネントを実行する前に明らかにしなくてはならない様々な有効な前提条件を記述する複数のRIM証明書を有する。]
    発明の効果

    [0017] 本発明によれば、信頼性及び安全性を確保したブートプロセスにおいて、1つのコンポーネントのブートプロセスが失敗した場合であっても、失敗に対応したブートプロセスを実行することができる。]
    [0018] 2008年1月30日に出願された特開2008−019379号公報の開示であって、明細書、図面及び特許請求の範囲を含む開示は、その全てが参照として本願に取り込まれる。]
    図面の簡単な説明

    [0019] 本発明のよりよい理解は、後述のより好ましい実施の形態の詳細な記述を以下の図面と共に考察することで、得られることができる。
    図1は、従来技術を表すブロック図を示す。
    図2は、従来のセキュアブートのシーケンスを示す。
    図3は、オプショナルなコンポーネントを有するセキュアブートを表すブロック図を示す。
    図4は、エラー検出及びオプショナルなコンポーネントを有するセキュアブートの追加のシーケンスを示す。
    図5aは、オプショナルなコンポーネントをサポートするために必要とされるテーブルを表す追加のデータを含むRIM証明書を示す。
    図5bは、RIM証明書に付されるID−証明書対応テーブルを示す。
    図5cは、RIM証明書に付される次コンポーネントテーブルを示す。
    図6は、本発明に係るオプショナルなコンポーネントを有するセキュアブートを実行する処理のフローチャートを示す。
    図7は、本発明に係るオプショナルなコンポーネントを有するセキュアブートを実行する処理のフローチャートを示す。
    図8は、本発明に係るオプショナルなコンポーネントを有するセキュアブートを実行する処理のフローチャートを示す。
    図9は、本発明に係るオプショナルなコンポーネントを有するセキュアブートを実行する処理のフローチャートを示す。
    図10は、本発明における追加機能の処理のフローチャートを示す。] 図1 図10 図2 図3 図4 図5a 図5b 図5c 図6 図7
    実施例

    [0020] (実施の形態)
    本発明は、セキュアブートを実行するシステム内でオプショナル若しくは失敗のコンポーネントをサポートするためのシステムに関する。後述する追加のRIM証明書及びデータテーブルを提供することにより、セキュアブートをサポートする装置の開発者は、起動に失敗したコンポーネントを扱う柔軟さを有するシステムや、セキュアブートの結果である信頼された環境内で、コンポーネントの状態を報告できる装置を生産できる。]
    [0021] セキュアブートをサポートする装置でのオプショナルなコンポーネントを扱うために新たな方法が述べられる。以下では、説明のため、複数の仕様書の詳細が本発明の徹底した理解を提供するために説明される。他の例では、よく知られた構造や装置が、説明を容易にするために、その詳細を説明することなく、ブロック図の形態で示される。しかし、当業者であれば、変形することで、若しくは、これらの具体的な詳細がなくても、本発明を実施できることは明らかである。より好ましい実施の形態の記述は、ここで主張する請求の範囲を限定するものではない。]
    [0022] 図1は、従来技術を示す。この図は、信頼エリア100内で例えばRTV+RTM及びMTMインタフェースのようなコア要素が自己検証した後の時間における、ある瞬間でのセキュアブートプロセスの状態をとらえたものである。MTM102は、この信頼エリア100のコアである。しかし、信頼エリア100内の他のキーアイテムとして、セキュアブートが正確に進行しているか否かを示すシステム状態104のフラグ;システム状態104を設定するシステムエラー記録部106;信頼エリア100に追加される次のコンポーネントを立ち上げる責任のあるランチャ108;要求された成功RIM証明書114を調べる認証データベース110がある。これらの成功RIM証明書114は、セキュアブートが完全に成功した時の期待されるプラットフォーム状態を記述する。RIM証明書は、セキュアブートが成功若しくは正確でない結果となったかを確認するために、改竄から保護されるべきである。そのため、それらは、完全性が保護されており、完全性保護112されたデータ項目のセットに入れられる。TCGによって定義されるように、この完全性の保護は、RIM証明書内に署名入りハッシュを埋め込むことにより達成され、これにより、MTM102が改竄を検出することが可能となる。] 図1
    [0023] セキュアブートの目的は、信頼エリア100を、例えば信頼コンポーネント1 116、信頼コンポーネント2 118、信頼コンポーネント3 120のような追加的なコンポーネントまで包含するよう拡張することである。ランチャ108から信頼コンポーネント1 116、信頼コンポーネント2 118、信頼コンポーネント3 120を介する122,124,126で示される点線は、従来技術の一つの側面における通常の実行パスを示す。従来技術の別の側面においては、最終の信頼コンポーネントとしてのオペレーティングシステム(図示せず)と共に、更なる信頼コンポーネントが存在してもよい。信頼コンポーネントを立ち上げるために特定のシーケンスは、セキュアブートシステムの設計によって定義される。]
    [0024] 図2は、図1に示す方法における従来のセキュアブートプロセスの結果を示す。ここで、標準的なセキュアブートはMTMから開始し、それから信頼コンポーネント1 116が動作し、信頼コンポーネント2 118、そして、信頼コンポーネント3 120、信頼コンポーネント4 200、信頼コンポーネント5 202、それから最後にオペレーティングシステム204へと制御が移る。信頼コンポーネント2 118、信頼コンポーネント4 200、及び信頼コンポーネント5 202は、信頼コンポーネント1 116、及び信頼コンポーネント3 120により提供される基本的なサービスに加え、さらにオプショナルなサービスを提供するコンポーネントである。成功の場合には、フロー206で示されるように、全てのコンポーネントは動作に成功し、完全に動作している信頼エリア208を利用することができる。しかしながら、フロー210では、信頼コンポーネント4 200がロードに失敗し、そのために失敗状態となることによって信頼エリア212の全てが使用できない。信頼エリアの線図208、212内では、MTMはMTM102を表し、TC1は信頼コンポーネント1 116を表し、TC2は信頼コンポーネント2 118を表し、TC3は信頼コンポーネント3 120を表し、TC4は信頼コンポーネント4 200を表し、TC5は信頼コンポーネント5 202を表し、OSはオペレーティングシステム204を表す。全てのコンポーネントは、MTM102に依存し、またさらに信頼コンポーネント2 118は、信頼コンポーネント1 116に依存し、信頼コンポーネント4 200及び信頼コンポーネント5 202は信頼コンポーネント3 120に依存する。オペレーティングシステム204は、信頼コンポーネント1 116及び信頼コンポーネント3 120に依存する。斜線部分は使用できないコンポーネントを示す。] 図1 図2
    [0025] 図3は、図1に示す従来技術に基づく本発明を示す。この図は、例えば信頼エリア100内のRTV+RTM及びMTMインタフェースのようなコア要素が自己検証をした後の時間における、ある瞬間でのセキュアブートプロセスの状態をとらえたものである。MTM102は、この信頼エリア100のコアである。しかし、信頼エリア100内の他のキーアイテムとして、以下のものがある。セキュアブート内のコンポーネントの各々が開始し及び正確に動作しているか否かを示すコンポーネントエラー状態300のフラグ;適切なコンポーネントに関するコンポーネントエラー状態300を設定するコンポーネントエラー記録部302;ID−証明書対応テーブル306及びコンポーネントエラー状態300に応じて要求された成功RIM証明書114若しくは失敗RIM証明書308を検索する証明書検索部304;これらの失敗RIM証明書308は、セキュアブート中に1以上のコンポーネントが正確に動作するのを失敗した時に期待されるプラットフォーム状態を記述する。次に立ち上げるコンポーネントを選択するための次コンポーネントテーブル312及びコンポーネントエラー状態300を使用する失敗シーケンサ324については、図9で詳細が述べられる。これらRIM証明書114及び308、次コンポーネントテーブル312及びID−証明書対応テーブル306は、完全性を保護されるべきであり、完全性保護112されたデータ項目のセット内に入れられる。図1で示しているが、完全性保護は、非本質的な特性と言うより、むしろデータの本質的な特性である。また、成功RIM証明書114及び失敗RIM証明書308のフォーマットは、一致するものである;キーとなる違いは、それらがID−証明書対応テーブル306に応じて割り当てられる役割である;このテーブルに基づく以外、2つの違いを区別することは不可能であり、また、実際、他の箇所で区別する必要はない。] 図1 図3 図9
    [0026] オプショナルなコンポーネントを伴うセキュアブートの目的は、もし可能なら全ての追加的なコンポーネントである、信頼コンポーネント1 116、信頼コンポーネント2 118、及び信頼コンポーネント3 120を包含するよう、信頼エリアを拡張することであるが、もしどれかのコンポーネントが開始を失敗したなら、信頼エリア100はそれらをカバーするようには拡張しない。信頼コンポーネント1 116、信頼コンポーネント2 118、信頼コンポーネント3 120を介する122,124,126で示されるランチャ108からの点線は、従来技術の一つの側面に応じた通常の実行パスを示す。従来技術の別の側面においては、最終の信頼コンポーネントとしてのオペレーティングシステム(図示せず)と共に、更なる信頼コンポーネントが存在してもよい。信頼コンポーネント1 116、失敗シーケンサ324、及び信頼コンポーネント3 120を介する326,328で示される太線は、本発明の一つの側面に応じるものであり、信頼コンポーネント2 118が開始に失敗したら、代わりの実行パスとして有効となる。]
    [0027] 図4は、本発明から生じる新たな結果を示す。使用されるコンポーネントは図2で記述されたものであり、成功結果である208は、もちろん一つの妥当な結果である。しかしながら、失敗状態212の代わりに、新たなフロー400では、失敗している信頼コンポーネント4 200を飛び越える(スキップする)ことができ、機能は限定されるが、機能している信頼エリア402を生成するために信頼コンポーネント5 202に続くことができる。同様に、フロー404は、信頼コンポーネント2 118及び信頼コンポーネント5 202の両方が正確な動作に失敗し、機能が限定されるが、別の機能している信頼エリア406を生成する場合を示している。信頼エリアの線図208、402及び406では、TC1は信頼コンポーネント1 116を表し、TC2は信頼コンポーネント2 118を表し、TC3は信頼コンポーネント3 120を表し、TC4は信頼コンポーネント4 200を表し、TC5は信頼コンポーネント5 202を表し、OSはオペレーティングシステム204を表す。全てのコンポーネントはMTMに依存し、また加えて信頼コンポーネント2 118は、信頼コンポーネント1 116に依存し、信頼コンポーネント4 200及び信頼コンポーネント5 202は信頼コンポーネント3 120に依存する。オペレーティングシステム204は信頼コンポーネント1 116及び信頼コンポーネント3 120に依存する。斜線部分は使用できないコンポーネントを示す。] 図2 図4
    [0028] 図5aはRIM証明書500、従来技術により定義されるRIM証明書の拡張である成功RIM証明書114及び失敗RIM証明書308の詳細を示す。オプショナルなコンポーネントのサポートができるようにするため、mapIDtoCertTableSize 504、mapIDtoCertTable 506、nextComponentTableSize 508、nextComponentTable 510が証明書に加えられ、extension Digest 502のエントリは、これらの追加されたデータの暗号法のハッシュ値を含む。この拡張されたRIM証明書の例は1つだけでよく、また実施の形態ではこれらのテーブルをRTV+RTMが自己認証に使用する単一のRIM証明書に付加する。しかし、従来技術のこの側面は、ここでは述べない。] 図5a
    [0029] 技術分野の当業者は、RIM証明書500を使用することなくmapIDtoCertTable 506及びnextComponentTable 510の完全性を有効にする他の方法、例えば、各テーブルそれぞれ若しくは一緒に署名者及び信頼エリア100の両方に既知の秘密鍵を使用した暗号法の署名など、他の方法があることを理解することができるであろう。]
    [0030] 図5bは、論理識別子や以前のソフトウェアコンポーネントから実際のRIM証明書までのマッピングを示すデータエントリを伴うmapIDtoCertTable 506のフォーマットを示す。第一列の論理証明書ID520は、RIM証明書のための特定の役割を示す識別子であり、システムの他の部分がRIM証明書を要求するために使用する識別子である。第二列の依存する信頼コンポーネントの状態522は、どの信頼コンポーネントエラー状態のセットに、各列が関するかを示すフラグのセットである。第三列の依存する信頼コンポーネントのマスク524は、どのコンポーネントが状態をチェックされたかを示すフラグのセットである。実施の形態では、これらの2つの列は、ビットマップを使用して実装される。最後に、RIM証明書ラベル526の列は、RIM証明書データベースから成功RIM証明書114若しくは失敗RIM証明書308を検索するために使用される実際のRIM証明書ラベルを保持する。この値は、TCGで定義されるRIM証明書のラベルフィールド512を表す。] 図5b
    [0031] 図5cは、サンプルのデータエントリを伴うnextComponentTable 510のフォーマットを示す。第一列の失敗した信頼コンポーネント540は、失敗したコンポーネントを示す識別子である。第二列の依存する信頼コンポーネントの状態542は、どの信頼コンポーネントエラー状態300のセットが、現在の列に関するかを示すフラグのセットである。第三列の依存する信頼コンポーネントのマスク544は、どのコンポーネントが状態をチェックされたかを示すフラグのセットである。実施の形態では、これらの2つの列は、ビットマップを使用して実装される。最後に、立ち上げる信頼コンポーネント546の列は、所定の失敗した信頼コンポーネント540および信頼コンポーネントの状態542のセットについて、次にどのモジュールを立ち上げるべきか、若しくは、セキュアブートが回復できない状態になったためにブートを途中停止させるべきか否かを記述する識別子を保持する。図4を参照するならば、もし信頼コンポーネント1 116若しくは信頼コンポーネント3 120が読み込みに失敗したら、次に立ち上げるべき信頼コンポーネント546がブート中止であることを示すエントリとなる;これは、なぜならこれらの2つのコンポーネントは完全に信頼されたシステムの動作に必要な基本コンポーネントであるためである。もし信頼コンポーネント2 118、信頼コンポーネント4 200若しくは信頼コンポーネント5 202が失敗なら、例えば信頼コンポーネント3 120、信頼コンポーネント5 202及びオペレーティングシステム204それぞれが、次に立ち上げるべき信頼コンポーネント546である、ということを示すエントリがあっても良い。] 図4 図5c
    [0032] MapIDtoCertTable 506及びnextComponentTable 510のテーブルの内容は、特定の装置のため要求されるセキュアブートシーケンスの設計によって定義される。上記の実施の形態では、テーブルはRTV+RTMが自己認証に使用するRIM証明書に付されるとして述べているが、TCGによって定義されるRIM証明書発行局(最もありえそうなのは装置製造者)が、これらのテーブルを生成し、データを特定のRIM証明書に追加し、それからその証明書に署名し、そして装置が使用できるようにすると思われる。しかしながら、これらのテーブルは、別のパーティによって生成され、別々にRIM認証局から送られてもよい。さらに、セキュアブートシステムが自身のセキュアブートシーケンスを分析できるなら、セキュアブートシステムが自身でこれらのテーブルを生成するとしてもよい。]
    [0033] これらのテーブルは、どのコンポーネントが別のコンポーネントに依存しているかを示す情報に応じて生成される。もし、コンポーネントAが別のコンポーネントBに依存している場合、コンポーネントAは、コンポーネントBのブート手順が失敗したなら、ブートされるべきではない。そして、もしコンポーネントAがコンポーネントBから独立しているならば、たとえコンポーネントBのブートが成功しなくとも、コンポーネントAのブート手順からブートプロセスを再開することができる。もちろん、これらのテーブルは、より多くの情報に応じて生成されることができる。例えば、それらは、もし別の独立のブート手順が失敗したならば、いくつかのコンポーネントがブートされるべきでないことを示す情報に応じて生成されることができる。この情報は、各コンポーネントの作者によって生成及び提供されることができる。]
    [0034] 図6から図9は、本発明に係るセキュアブートシステムのキーとなる箇所の間での制御フローシーケンスを示す。まず、従来技術に応じた図6では、システムは電源オンで開始する(600)。それからシステムの基本ブートの実行が進行し(602)、RTV,RTM,MTM等の初期化を行い(604)、信頼エリア自己検証のためのRIM証明書を要求し(608)、RIM証明書内で特定されるレジスタのサブセットを連結することで、RIM証明書をMTMに拡張し(610)、そして、それらのハッシュを計算し、それから従来技術で述べられるRIM証明書内で記録された値とこのハッシュ値とを比較する。それから、これらのハッシュが等しいならば、RIM証明書内で特定された拡張の値を、RIM証明書内でまた特定されるレジスタに拡張する。拡張動作の結果で、この拡張が正しく動作したかを確認し(612)、そして失敗の場合、システムは失敗状態に入る(614)。ここで、本発明によれば、次コンポーネントテーブル312及びID−証明書対応テーブル306は、これらの2つのキーテーブルが改竄されていないことを保証するためにそれらの完全性をチェックさせる(616);実施の形態では、これは図5aに示される拡張された情報が608で読み出される自己検証に関するRIM証明書に存在する、ということをチェックすることで実行される。しかし、技術分野の当業者であれば、これらのテーブルの提供及びこのデータが改竄されていないことを保証するほかの方法があることを理解することができるだろう。] 図5a 図6 図9
    [0035] 次に、信頼コンポーネント1の検証のためRIM証明書を要求する過程において(618)、期待される現在の状態及び期待される信頼コンポーネント1 116の状態を示すRIM証明書を得る。この信頼コンポーネントは、RIM証明書に記述されたものと同じ方法で計算されたハッシュ値を信頼コンポーネント1用のハッシュ計算値として有し(620)、それから値が等しいか否かを確認する(622)。もしハッシュ値が等しくないなら、例えば意図しない、若しくは、故意の破損のようにコンポーネントに問題があることを示している。それから、CPUは、失敗シーケンサにエラーを処理させるため(624)、信頼コンポーネント1のハッシュエラーがあったことを示すインジケータとともに、失敗シーケンサに制御を渡す。この過程は下記の図9に示される。もしハッシュ値が等しいならば、コンポーネントエラー記録部は、このコンポーネントのハッシュチェックが成功だったと記録する(626)。この処理は図7に続く。] 図7 図9
    [0036] 図7は、セキュアブートシーケンスでの更なる処理を示す。以前に得られたRIM証明書は、このRIM証明書で定義された値を、従来技術と同様、このRIM証明書で定義されたPCRに加えることで、MTM中に拡張される(700)。この拡張が正しく動作したかを確認するため、拡張動作の結果が確認される(702)。もし正しく動作していないなら、失敗シーケンサにエラーを処理させるため、失敗シーケンサに制御を渡す。この処理は後述の図9で述べられている。もしハッシュ値が正確に拡張されているなら、これはコンポーネントが信頼エリアから完全に信頼されることができることを示している。したがって、信頼コンポーネント1が立ち上げられ(706)、この新しいコンポーネントに制御を渡す。] 図7 図9
    [0037] 第一プロセスは、コンポーネントやこのコンポーネントが制御するハードウェア等の要求される初期化を実行する、信頼コンポーネントが初期化することである(708)。コンポーネントは初期化の成功を自己確認し(710)、そしてもしエラーが発生していると、信頼コンポーネントは、失敗シーケンサにエラーを処理させるため、現在の信頼コンポーネントが初期化に失敗したことを示すエラーコードとともに、失敗シーケンサに制御を渡す(712)。このプロセスは後述の図9で述べる。もしエラーがなかったなら、コンポーネントエラー記録部は、このコンポーネントの初期化が成功したと記録する(714)。次に、信頼コンポーネントは、期待される現在の状態や所定のレジスタに拡張すべき所定の値が記述されたRIM証明書を得るために、自己検証のためのRIM証明書を要求する(716)。このRIM証明書は、従来技術にしたがって、MTMに拡張され(718)、拡張動作の成功若しくはその他が確認される(720)。もし拡張動作が失敗なら、信頼コンポーネントは、失敗シーケンサにエラーを処理させるため、現在の信頼コンポーネントが自己検証に失敗したことを示すエラーコードとともに、失敗シーケンサに制御を渡す(722)。この過程は後述の図9で示される。もし値が正確に拡張したなら、現在の信頼コンポーネントは、要求されるほかのタスクの実行を継続できる(724)。処理は図8に続く。] 図8 図9
    [0038] 図8は、さらに、セキュアブートシーケンスの処理を示す。最初に、ロードすべき更なる信頼コンポーネントがあるかを確認し(800)、ないなら、セキュアブートは成功で終了する(802)。本実施の形態では、もしオプショナルなコンポーネントの検証が失敗なら、このオプショナルなコンポーネントはブートされない。そのため、ステップ802では、たとえセキュアブートが成功で終了しても、いくつかのオプショナルなコンポーネントはブートされていないことがある。実施の形態では、これは現実のチェックではないが;実施の形態のオペレーティングシステムにおける読込シーケンスでの最後のコンポーネントは、実行するよう定義された他のタスクが完了すると(724)、他のコンポーネントを探さないよう実装される。もし立ち上げる他のコンポーネントがあるなら、次の信頼コンポーネントの検証のためのRIM証明書が要求され(804)、期待される現在の状態及び期待される次の信頼コンポーネントの状態を記述するRIM証明書が得られる。ここで、次の信頼コンポーネントとは、次にブートされるべき信頼コンポーネントを意味する。信頼コンポーネントは、次の信頼コンポーネント向けのハッシュ計算値として、RIM証明書で述べられるのと同じ方法で計算(806)されたハッシュ値を有し、この計算されたハッシュ値が次の信頼コンポーネントのRIM証明書内に記録されたハッシュ値と等しいかの確認を実行する(808)。等しくないなら、故意又は偶然の破損のようなコンポーネントの問題があることを示し、信頼コンポーネントは、失敗シーケンサにエラーを処理させるため、次の信頼コンポーネントのハッシュが有効でないことを示すエラーコードとともに失敗シーケンサに制御を渡す(810)。この過程は後述の図9で述べられている。もしハッシュ値が等しいなら、コンポーネントエラー記録部は、次の信頼コンポーネントのハッシュ確認が成功だったと記録する(812)。次に、このRIM証明書は従来技術に従ってMTMに拡張され(814)、そして拡張動作の成功若しくは他が確認される(816)。もし拡張動作が失敗なら、信頼コンポーネントは(818)、失敗シーケンサにエラーを処理させるために、次の信頼コンポーネントのMTMへの拡張が失敗だったと示すエラーコードとともに失敗シーケンサに制御を渡す。この処理は後述の図9で述べられる。もし一方、拡張されたハッシュが正確なら、これは、次の信頼コンポーネントが信頼エリアから完全に信頼されることができることを示し(820)、ステップ708から、処理が繰り返される。この後、次の追加的なコンポーネントが立ち上げられ(708)、そして、示されているとおり、制御フローは上記の信頼コンポーネントの初期化に続く。] 図8 図9
    [0039] 図9は、本発明に係る失敗シーケンサ動作を示す。まず、渡されたエラーコードがコンポーネントエラー状態300に記録される(900)。続いて(902)、現在の全てのコンポーネントエラー状態がコンポーネントエラー状態300から取り出され、次に立ち上げるべき信頼コンポーネントを見つけるべく次コンポーネントテーブル312を調べるために使用される(904)。チェックは、定義された次のコンポーネントがあるかどうかによってなされ(906)、そして、もしなければ、セキュアブートは、失敗状態に入り(908)、装置は、安全な方法で開始を失敗することとなる。もし次の信頼コンポーネントがあるなら、次の信頼コンポーネントの検証のためのRIM証明書を要求する処理により、期待される現在状態及び期待される次の信頼コンポーネントの状態が記述される失敗RIM証明書を得る(910)。ここで、次の信頼コンポーネントとは、次にブートされるべき信頼コンポーネントを意味する。次の信頼コンポーネントは(912)、自身のハッシュ値を計算させ、計算されたハッシュ値は、RIM証明書内のハッシュ値と比較される(914)。もしそれらが等しくないなら、偶然若しくは故意の破損のようなコンポーネントの問題があることを示している。そこで、失敗シーケンサは、次の信頼コンポーネントのハッシュ値が妥当でなかったことを示すエラーコードとともに、制御を失敗シーケンサの開始時点に戻し(916)、失敗シーケンサが誤りを処理し、制御フローは、コンポーネントエラー記録部に適切なエラーを記録する処理から続けられる(900)。ハッシュ値が等しいなら、それからコンポーネントエラー記録部は、次の信頼コンポーネントが成功したハッシュ確認を記録する(918)。次に、このRIM証明書が従来技術に従ってMTMに拡張され(920)、そして拡張動作の成功若しくはその他が確認される(922)。拡張動作が失敗なら、失敗シーケンサにエラーを処理させるため、失敗シーケンサは次の信頼コンポーネントの拡張が有効でなかったと示すエラーコードとともに、制御を失敗シーケンサの開始時点に戻し(926)、制御フローは、コンポーネントエラー記録部に適切なエラーを記録する処理から続けられる(900)。ハッシュ値が正確に拡張されたなら、これは次の信頼コンポーネントが信頼エリアにより完全に信頼できることを示し(924)、そこで次の追加コンポーネントは立ち上げられ、制御フローに示すように、上記の信頼コンポーネントの初期化に(708)続く。] 図9
    [0040] 上述したように、本発明の一態様に係るセキュアブート方法は、完全性を検証しながら複数のコンポーネントを予め定められた順序で実行するセキュアブート方法であって、第1コンポーネントより前にブートされようとした1つ以上のコンポーネントのそれぞれのブートが成功したか否かを示す情報である現在の状態情報を取得し、前記複数のコンポーネントのそれぞれを識別する論理識別子と、対応するコンポーネントの前にブートされようとした1つ以上のコンポーネントのそれぞれのブートが成功したか否かを示す状態情報と、対応する状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功しているかを検証するための値である完全性測定値とが互いに対応付けられた第1マッピングテーブルを探索することで、前記第1コンポーネントと、前記現在の状態情報によって示される状態とに対応する第1完全性測定値を取得し、ブートされた1つ以上のコンポーネントに基づいて計算された値である現在の完全性測定値を取得し、前記第1完全性測定値と前記現在の完全性測定値とを比較することで、前記現在の状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功したか否かを検証し、前記検証が成功である場合に、前記第1コンポーネントのブートを開始し、前記第1コンポーネントのブートが成功に終わった場合に、前記第1コンポーネントのブートが成功したことを示すように、前記現在の状態情報を更新する。]
    [0041] また、セキュアブート方法は、さらに、前記第1コンポーネントが改竄されているか否かを判断し、前記検証が成功である場合であっても、前記第1コンポーネントが改竄されたと判断された場合、前記第1コンポーネントのブートを抑制し、前記ブートが抑制された場合、前記第1コンポーネントのブートが成功しなかったことを示すように前記現在の状態情報を更新し、前記第1コンポーネントのブートが成功したか否かと、前記現在の状態情報が、前記第1コンポーネントが依存するコンポーネントである第3コンポーネントのブートが成功したことを示すか否かとに対応する識別子を取得するように、前記第1コンポーネントのブートが成功したか否かの状態と、前記第3コンポーネントのブートが成功したか否かの状態とに関連付けられた第2コンポーネントの複数の候補の論理識別子を含む第2マッピングテーブルを探索することで、次にブートされる第2コンポーネントを決定し、前記第2コンポーネントのブートを開始してもよい。]
    [0042] また、前記完全性測定値のそれぞれは、完全性測定証明書に含まれてもよく、前記完全性測定証明書は、完全性測定値と、当該完全性測定値に対応する論理識別子によって識別されるコンポーネントが改竄されているか否かを判断するために用いられる検証値とを含み、前記第1完全性測定値の取得では、前記状態情報のそれぞれと前記完全性測定証明書のそれぞれとが互いに関連付けられた前記第1マッピングテーブルを探索することで、完全性測定証明書が取得されてもよく、前記第1完全性測定値は、取得された完全性測定証明書から抽出されてもよく、前記第1コンポーネントが改竄されているか否かの判断は、前記第1コンポーネントの検証値を算出し、算出された検証値を、前記取得された完全性測定証明書に含まれる前記検証値と比較することで、実行されてもよい。]
    [0043] また、前記第1コンポーネントが改竄されているか否かの判断は、前記第1コンポーネントのブートを開始した後に実行されてもよく、前記ブートの抑制では、前記第1コンポーネントのブートが、前記第1コンポーネントが改竄されていると判断された場合に中止されてもよい。]
    [0044] また、前記セキュアブート方法は、さらに、前記第1コンポーネントが改竄されていると判断された場合に、前記第1コンポーネントのブートが成功しなかったことを示す失敗値を取得し、前記失敗値を用いることで、前記現在の完全性測定値を更新し、前記第1マッピングテーブルを探索することで、前記第2コンポーネントの論理識別子と、前記第1コンポーネントのブートが成功しなかったことを示す更新された現在の状態情報によって示される状態とに対応する第2完全性測定値を取得し、前記第2完全性測定値と前記更新された現在の完全性測定値とを比較することで、(a)前記更新された現在の状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功したか否かと、(b)前記更新された現在の状態情報によってブートが成功しなかったことを示されている1つ以上のコンポーネントが、真に成功していないか否かとの状態を検証し、前記検証が成功である場合に、前記第2コンポーネントをブートしてもよい。]
    [0045] また、前記第1コンポーネントが改竄されていると判断された場合に、前記現在の完全性測定値は更新されなくてもよく、前記セキュアブート方法は、さらに、前記第1マッピングテーブルを探索することで、前記第2コンポーネントの論理識別子と、前記第1コンポーネントのブートが成功しなかったことを示す更新された現在の状態情報によって示される状態とに対応する第2完全性測定値を取得し、前記第2完全性測定値と前記現在の完全性測定値とを比較することで、前記更新された現在の状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功したか否かを検証し、前記検証が成功である場合に、前記第2コンポーネントをブートしてもよい。]
    [0046] また、本発明の一態様に係る方法は、完全性測定によって検証されるソフトウェアコンポーネントを実行する方法であって、(a)論理識別子及び以前のソフトウェアコンポーネントの状態情報から、検証データを含む実際の完全性測定証明書へのマッピングを提供し、(b)前記マッピングから、与えられた前記コンポーネントの検証用の証明書を識別する論理識別子と前記以前のソフトウェアコンポーネントの状態とを検索することで、完全性測定証明書を取得し、(c)実行すべき前記コンポーネントのチェック値を計算し、(d)前記完全性測定が前記完全性測定証明書内の完全性測定値に一致しているか、及び、前記計算されたチェック値が前記完全性測定証明書内のチェック値に一致しているかを検証し、(e)前記検証が成功なら、前記記録された測定の指示を含むように、現在の完全性測定を更新し、(f)前記検証が成功なら、前記コンポーネントを実行する。]
    [0047] また、上記方法は、さらに、(a)前記検証が不成功ならば、前記マッピングから、与えられた前記コンポーネントの検証失敗証明書、及び前記以前のコンポーネント状態を特定する所定の論理識別子を検索して、失敗完全性測定の証明書を取得し、(b)現在の完全性測定を、前記失敗完全性測定証明書に記録される不成功完全性測定の指示を含むよう更新してもよい。]
    [0048] また、上記方法は、さらに、(a)前記検証が不成功なら、論理識別子及び以前のソフトウェアコンポーネントの状態情報からコンポーネント識別子へのマッピングを提供し、(b)前記マッピングから、与えられた前記失敗コンポーネントと前記以前のコンポーネント状態を識別する所定の論理識別子に関する前記マッピングを検索することで、実行されるべき代替ソフトウェアコンポーネントを取得してもよい。]
    [0049] また、本発明の一態様に係る方法は、ソフトウェアコンポーネントが、完全性測定によって自身を検証する方法であって、(a)論理識別子及び以前のソフトウェアコンポーネント状態情報から、検証データを含む実際の完全性測定認証へのマッピングを提供し、(b)前記マッピングから、前記コンポーネントの自己検証証明書を識別する論理識別子と、前記以前のコンポーネント状態とを検索することで、完全性測定証明書を取得し、(c)前記完全性測定が前記完全性測定証明書内の完全性測定値に一致するか検証し、(d)前記検証が成功なら、現在の完全性測定を、前記完全性測定認証内に記録された成功完全性測定の指示を含むよう更新する。]
    [0050] また、上記方法は、さらに、(a)前記検証が不成功ならば、前記マッピングから、前記コンポーネントの自己検証失敗証明書を識別する論理識別子と、前記以前のコンポーネント状態とを検索することで、完全性測定の証明書を取得してもよい。]
    [0051] また、上記方法は、さらに、(a)前記認証が不成功なら、論理識別子及び以前のソフトウェアコンポーネントの状態情報からコンポーネント識別子へのマッピングを提供し、(b)前記マッピングから、前記失敗コンポーネントを示す所定の論理識別子、及び前記以前のコンポーネント状態を検索することで、実行されるべき代替コンポーネントを取得してもよい。]
    [0052] また、本発明の一態様に係る装置は、完全性測定によるソフトウェア検証を実行する装置であって、(a)実行する前に検証される1つ以上の信頼ソフトウェアコンポーネントを記録するコンポーネント記録部と、(b)前記信頼ソフトウェアの完全性を検証する検証部と、(c)前記検証が成功なら前記コンポーネントを実行する実行部と、(d)いくつかの前記信頼ソフトウェアコンポーネントの検証の失敗、及び前記検証に失敗した信頼ソフトウェアコンポーネントと関連のない他のコンポーネントの実行を処理する失敗シーケンサ部とを備える。]
    [0053] また、前記検証とは、前記完全性測定が前記完全性測定証明書内の完全性測定値に一致するか、及び前記計算チェック値が前記完全性測定証明書内のチェック値に一致するかを検証することを意味してもよく、前記装置は、さらに、(a)実行すべき前記コンポーネントのチェック値を計算する計算部と、(b)前記マッピングから、前記コンポーネントの検証証明書を識別する論理識別子と、及び前記信頼ソフトウェアコンポーネント状態とを検索して、完全性測定証明書を取得する調査部と、(c)論理識別子及び以前の信頼ソフトウェアコンポーネント状態情報から検証データを含む実際の完全性測定証明書へマップするマッピング部と、(d)前記検証が成功なら、現在の完全性測定を、前記記録された測定の指示を含むように更新する更新部とを備えてもよい。]
    [0054] また、前記信頼ソフトウェアコンポーネントは、いくつかの信頼機能を実行するためにプログラムされていてもよい。]
    [0055] また、前記信頼ソフトウェアコンポーネントは、実行ソフトウェアを保護するための信頼された実行環境を提供するオペレーティングシステムであってもよく、前記装置は、さらに、(a)1つ以上のオペレーティングシステムを制御するハイパーバイザと、(b)前記オペレーティングシステムの少なくとも1つの検証の失敗に対処する失敗シーケンサ部とを備え、前記装置は、前記検証に失敗した信頼ソフトウェアコンポーネントと関連のない他のオペレーティングシステムを実行してもよい。]
    [0056] 本発明は上記の実施の形態に基づいて述べられているが、本発明は明らかにそのような実施の形態に限定されるのではない、ということを留意すべきである。下記のケースもまた本発明に含まれる。]
    [0057] (1)上記の実施の形態では、コンポーネントが正確にブートされないなら、システムは失敗状態をMTMに反映させることなしに、次のモジュールを探した。しかしながら、システムは、失敗状態をMTMに反映してもよい。図10は、本発明のこのような拡張を示す。コンポーネントエラー記録部に適切なエラーを記録する処理の後に失敗シーケンサによって生成されるエラーを正確に記述するため(900)、CPUは、信頼コンポーネントの失敗を有効にするRIM証明書を要求する(1000)。この失敗RIM証明書308は、現在の失敗状態を正確に記述する拡張する値を含む。このRIM証明書は、失敗状態を記述する値をRIM証明書内で記述されたレジスタに拡張させる(1002)。この拡張動作の成功若しくは失敗が確認され(1004)、そして失敗なら、セキュアブートは失敗状態に入り(1006)、装置は安全な方法で、開始に失敗する。もし成功なら、それから制御フローは、上述した通り他のコンポーネントの開始を試み続けるため現在のコンポーネントエラー状態情報を取り出すべく現在のコンポーネントエラー状態を取得する処理に戻る(902)。] 図10
    [0058] (2)仮想環境の場合、実施の形態では、ハイパーバイザが、実行すべき最後の信頼コンポーネントとなる。他の実施の形態では、例えばオペレーティングシステム等の他の信頼コンポーネントが、ハイパーバイザ信頼コンポーネントの実行の後に実行される。]
    [0059] (3)上述の実施の形態では、各コンポーネントの検証は、それらの各々が立ち上げされる前に実行された。しかしながら、本発明は、各コンポーネントが立ち上げされた後に検証が実行されるシステムに適用できる。その場合、システムは、仮にコンポーネントの検証が失敗したなら、各コンポーネントを中止する。]
    [0060] (4)上述の実施の形態では、検証はTCG検証と同様の方法で実行された。しかしながら、検証システムが、コンポーネントが鎖のように(例えば、一つのコンポーネントが、この一つのコンポーネントの後に立ち上がる別のコンポーネントを検証するように)検証される検証方法を使用するシステム、のコンポーネントを検証することができる限り、本発明は別の検証システムにも適用することができる。例えば、MTMへのハッシュ値の拡張は省略されてもよいが、それはこの動作は、TCGの仕様に特有のものだからである。]
    [0061] (5)上述の実施の形態では、検証は証明書(RIM Cert)内のハッシュ値を使用することに
    より実行された。しかしながら、ハッシュ値を使用しない他の検証方法が本発明に適用されても良い。]
    [0062] 従来のチェックサムや、コンポーネントから抽出される別のデータ(例えば、コンポーネントから抽出される第一所定ビット)が、検証を実行するために使用されても良い。また、証明書は、完全性測定値を含むデータグループに置き換えられても良い。]
    [0063] さらに、認証方法は、コンポーネントから抽出される値および期待される値が等しいか否かをチェックすることに限定されない。例えば、コンポーネントのサイズを確認し、もしサイズが所定量より大きい若しくは小さいなら、コンポーネントは検証されたと判断されるとしてもよい。これらの検証方法は、ハッシュ値と、その期待値とを比較するほど厳密なものではないが、迅速に実行される。]
    [0064] (6)上述した装置の各々は、特にマイクロプロセッサ、ROM、RAM、ハードディスク、表示部、キーボード、マウス等を含むコンピュータシステムである。コンピュータプログラムが、RAM若しくはハードディスクに格納される。各装置は、コンピュータプログラムに
    応じたマイクロプロセッサの動作を介してそれらの機能を実現する。ここで、コンピュータシステムは、コンピュータの動作を示す複数の命令コードを組み合わせることで構成される。]
    [0065] (7)各装置を構成する構成部品の一部若しくは全ては、単一のシステムLSI(Large-Scale Integration)から構成されても良い。システムLSIは、1つのチップ上に構成部を集積化することにより製造される超多機能LSIであり、特にマイクロプロセッサ、ROM、RAM等を含むことにより構成されるコンピュータシステムである。コンピュータプログラムはRAM内に記録される。システムLSIはコンピュータプログラムに応じたマイクロプロセッサの動作を介して機能を達成する。]
    [0066] さらに、各装置を構成する構成部品の各ユニットは、個別のチップとして、又は、一部若しくは全てを含む単一のチップとして作られても良い。]
    [0067] さらに、ここでは、LSIが述べられているが、集積化の程度の違いにより、指定IC、LSI、スーパLSIが使用される場合もある。]
    [0068] さらに、回路の集積化の手段は、LSIに限定されるものではなく、専用回路、若しくは汎用プロセッサによる実装も利用できる。さらに、LSIが製造された後にプログラム可能なフィールドプログラムゲートアレイ(FPGA)を使用することもまた可能であり、またLSI内で回路セルの接続及び設定を再構成可能なリコンフィギュアラブルプロセッサも使用可能である。]
    [0069] さらに、もしLSIに置き換わる集積回路技術が半導体技術若しくは他の派生する技術の進歩を通じて現われるのであれば、その技術は当然に構成要素の集積化を実現するために使用することができる。]
    [0070] (8)各装置を構成する構成部品の一部若しくは全ては、装置と着脱できるICカードや独立したモジュールとして構成してもよい。ICカードやモジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。また、ICカード若しくはモジュールは、上述したスーパマルチ機能LSIに含まれても良い。ICカード若しくはモジュールは、コンピュータプログラムに応じたマイクロプロセッサの動作を介してその機能を達成する。また、ICカード若しくはモジュールは、耐タンパ化されて実装されても良い。]
    [0071] (9)本発明は、上述した方法を実現するためにコンピュータを使用するコンピュータプログラムであってもよいし、コンピュータプログラムを含むデジタル信号としてもよい。]
    [0072] さらに、本発明は、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray Disc)、半導体メモリ等のコンピュータ読取可能な記録媒体に、コンピュータプログラムやデジタル信号を記録することにより実現されても良い。さらに、本発明は、これらの記録媒体に記録されたデジタル信号を含む。]
    [0073] さらに、本発明はまた、電話通信線、無線若しくは有線の通信線、インターネットに代表されるネットワーク、データブロードキャスト等を介した、上記のコンピュータプログラム若しくはデジタル信号の送信により実現されてもよい。]
    [0074] 本発明はまた、マイクロプロセッサとメモリを含み、メモリが上記のコンピュータプログラムを記録し、マイクロプロセッサがコンピュータプログラムに応じて動作するコンピュータシステムとしてもよい。]
    [0075] さらに、プログラムやデジタル信号を上記の記録媒体に記録することで転送したり、若しくは上述のネットワーク等を介してプログラム若しくはデジタル信号を転送することにより、別の独立したコンピュータシステムを使用する実行もまた可能となる。]
    [0076] (10)本技術分野の当業者にとっては、説明した実施の形態の、本発明固有の教示及び利点から原理的に離れることのない多くの変形がありえることを容易に理解することができるだろう。また、上記変更及び実施の形態の任意の組み合わせは、本発明の範囲内に含まれる。]
    [0077] 本発明は、例えば、携帯電話などに用いることができる。]
    [0078] 102MTM
    104システム状態
    106システムエラー記録部
    108ランチャ
    110証明書データベース
    112完全性保護
    114成功RIM証明書
    116信頼コンポーネント1
    118 信頼コンポーネント2
    120 信頼コンポーネント3
    122、124、126 通常の実行パス
    200 信頼コンポーネント4
    202 信頼コンポーネント5
    204オペレーションシステム
    300コンポーネントエラー状態
    302 コンポーネントエラー記録部
    304証明書探索部
    306 ID−証明書対応テーブル
    308 失敗RIM証明書
    312 次コンポーネントテーブル
    324失敗シーケンサ
    326、328エラー時の実行パス]
    权利要求:

    請求項1
    完全性を検証しながら複数のコンポーネントを予め定められた順序で実行するセキュアブート方法であって、第1コンポーネントより前にブートされようとした1つ以上のコンポーネントのそれぞれのブートが成功したか否かを示す情報である現在の状態情報を取得し、前記複数のコンポーネントのそれぞれを識別する論理識別子と、対応するコンポーネントの前にブートされようとした1つ以上のコンポーネントのそれぞれのブートが成功したか否かを示す状態情報と、対応する状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功しているかを検証するための値である完全性測定値とが互いに対応付けられた第1マッピングテーブルを探索することで、前記第1コンポーネントと、前記現在の状態情報によって示される状態とに対応する第1完全性測定値を取得し、ブートされた1つ以上のコンポーネントに基づいて計算された値である現在の完全性測定値を取得し、前記第1完全性測定値と前記現在の完全性測定値とを比較することで、前記現在の状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功したか否かを検証し、前記検証が成功である場合に、前記第1コンポーネントのブートを開始し、前記第1コンポーネントのブートが成功に終わった場合に、前記第1コンポーネントのブートが成功したことを示すように、前記現在の状態情報を更新するセキュアブート方法。
    請求項2
    前記セキュアブート方法は、さらに、前記第1コンポーネントが改竄されているか否かを判断し、前記検証が成功である場合であっても、前記第1コンポーネントが改竄されたと判断された場合、前記第1コンポーネントのブートを抑制し、前記ブートが抑制された場合、前記第1コンポーネントのブートが成功しなかったことを示すように前記現在の状態情報を更新し、前記第1コンポーネントのブートが成功したか否かと、前記現在の状態情報が、前記第1コンポーネントが依存するコンポーネントである第3コンポーネントのブートが成功したことを示すか否かとに対応する識別子を取得するように、前記第1コンポーネントのブートが成功したか否かの状態と、前記第3コンポーネントのブートが成功したか否かの状態とに関連付けられた第2コンポーネントの複数の候補の論理識別子を含む第2マッピングテーブルを探索することで、次にブートされる第2コンポーネントを決定し、前記第2コンポーネントのブートを開始する請求項1記載のセキュアブート方法。
    請求項3
    前記完全性測定値のそれぞれは、完全性測定証明書に含まれ、前記完全性測定証明書は、完全性測定値と、当該完全性測定値に対応する論理識別子によって識別されるコンポーネントが改竄されているか否かを判断するために用いられる検証値とを含み、前記第1完全性測定値の取得では、前記状態情報のそれぞれと前記完全性測定証明書のそれぞれとが互いに関連付けられた前記第1マッピングテーブルを探索することで、完全性測定証明書が取得され、前記第1完全性測定値は、取得された完全性測定証明書から抽出され、前記第1コンポーネントが改竄されているか否かの判断は、前記第1コンポーネントの検証値を算出し、算出された検証値を、前記取得された完全性測定証明書に含まれる前記検証値と比較することで、実行される請求項2記載のセキュアブート方法。
    請求項4
    前記第1コンポーネントが改竄されているか否かの判断は、前記第1コンポーネントのブートを開始した後に実行され、前記ブートの抑制では、前記第1コンポーネントのブートが、前記第1コンポーネントが改竄されていると判断された場合に中止される請求項2記載のセキュアブート方法。
    請求項5
    前記セキュアブート方法は、さらに、前記第1コンポーネントが改竄されていると判断された場合に、前記第1コンポーネントのブートが成功しなかったことを示す失敗値を取得し、前記失敗値を用いることで、前記現在の完全性測定値を更新し、前記第1マッピングテーブルを探索することで、前記第2コンポーネントの論理識別子と、前記第1コンポーネントのブートが成功しなかったことを示す更新された現在の状態情報によって示される状態とに対応する第2完全性測定値を取得し、前記第2完全性測定値と前記更新された現在の完全性測定値とを比較することで、(a)前記更新された現在の状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功したか否かと、(b)前記更新された現在の状態情報によってブートが成功しなかったことを示されている1つ以上のコンポーネントが、真に成功していないか否かとの状態を検証し、前記検証が成功である場合に、前記第2コンポーネントをブートする請求項2記載のセキュアブート方法。
    請求項6
    前記第1コンポーネントが改竄されていると判断された場合に、前記現在の完全性測定値は更新されず、前記セキュアブート方法は、さらに、前記第1マッピングテーブルを探索することで、前記第2コンポーネントの論理識別子と、前記第1コンポーネントのブートが成功しなかったことを示す更新された現在の状態情報によって示される状態とに対応する第2完全性測定値を取得し、前記第2完全性測定値と前記現在の完全性測定値とを比較することで、前記更新された現在の状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功したか否かを検証し、前記検証が成功である場合に、前記第2コンポーネントをブートする請求項2記載のセキュアブート方法。
    請求項7
    完全性を検証しながら複数のコンポーネントを予め定められた順序で実行するセキュアブート装置であって、第1マッピングテーブルを格納するマッピングテーブル格納部と、第1コンポーネントより前にブートされようとした1つ以上のコンポーネントのそれぞれのブートが成功したか否かを示す情報である現在の状態情報を格納する状態格納部と、前記複数のコンポーネントのそれぞれを識別する論理識別子と、対応するコンポーネントの前にブートされようとした1つ以上のコンポーネントのそれぞれのブートが成功したか否かを示す状態情報と、対応する状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功しているかを検証するための値である完全性測定値とが互いに対応付けられた第1マッピングテーブルを探索することで、前記第1コンポーネントと、前記現在の状態情報によって示される状態とに対応する第1完全性測定値を取得する取得部と、ブートされた1つ以上のコンポーネントに基づいて計算された値である現在の完全性測定値を格納する値格納部と、前記第1完全性測定値と前記現在の完全性測定値とを比較することで、前記現在の状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功したか否かを検証する検証部と、前記検証が成功である場合に、前記第1コンポーネントのブートを開始する第1ブート部と、前記第1コンポーネントのブートが成功に終わった場合に、前記第1コンポーネントのブートが成功したことを示すように、前記現在の状態情報を更新する第1更新部とを備えるセキュアブート装置。
    請求項8
    前記セキュアブート装置は、さらに、前記第1コンポーネントが改竄されているか否かを判断する判断部と、前記検証が成功である場合であっても、前記第1コンポーネントが改竄されたと判断された場合、前記第1コンポーネントのブートを抑制する抑制部と、前記ブートが抑制された場合、前記第1コンポーネントのブートが成功しなかったことを示すように前記現在の状態情報を更新する第2更新部と、前記第1コンポーネントのブートが成功したか否かと、前記現在の状態情報が、前記第1コンポーネントが依存するコンポーネントである第3コンポーネントのブートが成功したことを示すか否かとに対応する識別子を取得するように、前記第1コンポーネントのブートが成功したか否かの状態と、前記第3コンポーネントのブートが成功したか否かの状態とに関連付けられた第2コンポーネントの複数の候補の論理識別子を含む第2マッピングテーブルを探索することで、次にブートされる第2コンポーネントを決定する決定部と、前記第2コンポーネントのブートを開始する第2ブート部とを備える請求項7記載のセキュアブート装置。
    請求項9
    前記完全性測定値のそれぞれは、完全性測定証明書に含まれ、前記完全性測定証明書は、完全性測定値と、当該完全性測定値に対応する論理識別子によって識別されるコンポーネントが改竄されているか否かを判断するために用いられる検証値とを含み、前記取得部は、前記状態情報のそれぞれと前記完全性測定証明書のそれぞれとが互いに関連付けられた前記第1マッピングテーブルを探索することで、完全性測定証明書を取得し、取得された完全性測定証明書から前記第1完全性測定値を抽出し、前記判段部は、前記第1コンポーネントの検証値を算出し、算出された検証値を、前記取得された完全性測定証明書に含まれる前記検証値と比較することで、前記第1コンポーネントが改竄されているか否かを判断する請求項8記載のセキュアブート装置。
    請求項10
    前記判断部は、前記第1コンポーネントのブートを開始した後に、前記第1コンポーネントが改竄されているか否かを判断し、前記抑制部は、前記第1コンポーネントが改竄されていると判断された場合に、前記第1コンポーネントのブートを中止する請求項8記載のセキュアブート装置。
    請求項11
    前記セキュアブート装置は、さらに、前記第1コンポーネントが改竄されていると判断された場合に、前記第1コンポーネントのブートが成功しなかったことを示す失敗値を取得する失敗値取得部と、前記失敗値を用いることで、前記現在の完全性測定値を更新する第3更新部とを備え、前記取得部は、さらに、前記第1マッピングテーブルを探索することで、前記第2コンポーネントの論理識別子と、前記第1コンポーネントのブートが成功しなかったことを示す更新された現在の状態情報によって示される状態とに対応する第2完全性測定値を取得し、前記検証部は、さらに、前記第2完全性測定値と前記更新された現在の完全性測定値とを比較することで、(a)前記更新された現在の状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功したか否かと、(b)前記更新された現在の状態情報によってブートが成功しなかったことを示されている1つ以上のコンポーネントが、真に成功していないか否かとの状態を検証し、前記第2ブート部は、前記検証が成功である場合に、前記第2コンポーネントをブートする請求項8記載のセキュアブート装置。
    請求項12
    前記第1コンポーネントが改竄されていると判断された場合に、前記現在の完全性測定値は更新されず、前記取得部は、さらに、前記第1マッピングテーブルを探索することで、前記第2コンポーネントの論理識別子と、前記第1コンポーネントのブートが成功しなかったことを示す更新された現在の状態情報によって示される状態とに対応する第2完全性測定値を取得し、前記検証部は、さらに、前記第2完全性測定値と前記現在の完全性測定値とを比較することで、前記更新された現在の状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功したか否かを検証し、前記第2ブート部は、前記検証が成功である場合に、前記第2コンポーネントをブートする請求項8記載のセキュアブート装置。
    請求項13
    完全性を検証しながら複数のコンポーネントを予め定められた順序で実行するセキュアブート方法をコンピュータに実行させるコンピュータ読み取り可能な媒体に記録されたコンピュータプログラムであって、第1コンポーネントより前にブートされようとした1つ以上のコンポーネントのそれぞれのブートが成功したか否かを示す情報である現在の状態情報を取得し、前記複数のコンポーネントのそれぞれを識別する論理識別子と、対応するコンポーネントの前にブートされようとした1つ以上のコンポーネントのそれぞれのブートが成功したか否かを示す状態情報と、対応する状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功しているかを検証するための値である完全性測定値とが互いに対応付けられた第1マッピングテーブルを探索することで、前記第1コンポーネントと、前記現在の状態情報によって示される状態とに対応する第1完全性測定値を取得し、ブートされた1つ以上のコンポーネントに基づいて計算された値である現在の完全性測定値を取得し、前記第1完全性測定値と前記現在の完全性測定値とを比較することで、前記現在の状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功したか否かを検証し、前記検証が成功である場合に、前記第1コンポーネントのブートを開始し、前記第1コンポーネントのブートが成功に終わった場合に、前記第1コンポーネントのブートが成功したことを示すように、前記現在の状態情報を更新するようにコンピュータを実行させるプログラム。
    請求項14
    完全性を検証しながら複数のコンポーネントを予め定められた順序で実行する集積回路であって、第1マッピングテーブルを格納するマッピングテーブル格納部と、第1コンポーネントより前にブートされようとした1つ以上のコンポーネントのそれぞれのブートが成功したか否かを示す情報である現在の状態情報を格納する状態格納部と、前記複数のコンポーネントのそれぞれを識別する論理識別子と、対応するコンポーネントの前にブートされようとした1つ以上のコンポーネントのそれぞれのブートが成功したか否かを示す状態情報と、対応する状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功しているかを検証するための値である完全性測定値とが互いに対応付けられた第1マッピングテーブルを探索することで、前記第1コンポーネントと、前記現在の状態情報によって示される状態とに対応する第1完全性測定値を取得する取得部と、ブートされた1つ以上のコンポーネントに基づいて計算された値である現在の完全性測定値を格納する値格納部と、前記第1完全性測定値と前記現在の完全性測定値とを比較することで、前記現在の状態情報によってブートが成功したことが示されている1つ以上のコンポーネントのブートが、真に成功したか否かを検証する検証部と、前記検証が成功である場合に、前記第1コンポーネントのブートを開始する第1ブート部と、前記第1コンポーネントのブートが成功に終わった場合に、前記第1コンポーネントのブートが成功したことを示すように、前記現在の状態情報を更新する第1更新部とを備える集積回路。
    类似技术:
    公开号 | 公开日 | 专利标题
    EP2962241B1|2019-02-20|Continuation of trust for platform boot firmware
    US9680648B2|2017-06-13|Securely recovering a computing device
    US8782388B2|2014-07-15|Information processing apparatus, method, and computer-readable storage medium that encrypt data in a blob based on a hash value
    US9542337B2|2017-01-10|Device side host integrity validation
    CN103729597B|2017-11-17|系统启动校验方法、系统启动校验装置和终端
    JP5767751B2|2015-08-19|Biosを検証する方法、コンピューティングプラットフォーム、およびプログラム
    US9021244B2|2015-04-28|Secure boot administration in a Unified Extensible Firmware Interface |-compliant computing device
    US9652632B2|2017-05-16|Method and system for repairing file at user terminal
    US8892858B2|2014-11-18|Methods and apparatus for trusted boot optimization
    EP2681689B1|2017-04-19|Protecting operating system configuration values
    US9202062B2|2015-12-01|Virtual machine validation
    EP3326099B1|2019-11-13|Technologies for secure hardware and software attestation for trusted i/o
    KR101219857B1|2013-01-10|하드웨어 보안 모듈을 구비한 컴퓨터를 보안 부팅하기 위한시스템, 방법 및 컴퓨터 판독 가능 매체
    US9626513B1|2017-04-18|Trusted modular firmware update using digital certificate
    CN100454322C|2009-01-21|具有启动验证功能的信息处理装置
    US8826405B2|2014-09-02|Trusting an unverified code image in a computing device
    CN102279760B|2016-03-30|利用初始保护组件来进行设备引导
    TWI277904B|2007-04-01|Method, recording medium and system for protecting information
    US10032028B2|2018-07-24|Method for processing UEFI protocols and system therefor
    CN100388150C|2008-05-14|可信计算机平台
    US8850212B2|2014-09-30|Extending an integrity measurement
    KR101176646B1|2012-08-23|상태 검증을 사용하는 보호된 오퍼레이팅 시스템 부팅을 위한 시스템 및 방법
    EP2568408B1|2016-05-18|Information processing device, information processing method, and program distribution system
    US8122256B2|2012-02-21|Secure bytecode instrumentation facility
    Kühn et al.2007|Realizing property-based attestation and sealing with commonly available hard-and software
    同族专利:
    公开号 | 公开日
    EP2250609B1|2018-07-18|
    WO2009096181A3|2009-10-29|
    CN101925908B|2013-08-14|
    US8677108B2|2014-03-18|
    WO2009096181A2|2009-08-06|
    US20100318781A1|2010-12-16|
    EP2250609A2|2010-11-17|
    CN101925908A|2010-12-22|
    EA201070673A1|2011-02-28|
    JP5399397B2|2014-01-29|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    法律状态:
    2011-09-01| A621| Written request for application examination|Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110831 |
    2013-06-06| A977| Report on retrieval|Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130605 |
    2013-06-19| A131| Notification of reasons for refusal|Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130618 |
    2013-07-27| A521| Written amendment|Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130726 |
    2013-08-21| A131| Notification of reasons for refusal|Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130820 |
    2013-09-10| A521| Written amendment|Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130909 |
    2013-09-27| TRDD| Decision of grant or rejection written|
    2013-10-02| A01| Written decision to grant a patent or to grant a registration (utility model)|Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131001 |
    2013-10-31| A61| First payment of annual fees (during grant procedure)|Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131023 |
    2013-11-01| R150| Certificate of patent or registration of utility model|Ref document number: 5399397 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
    优先权:
    申请号 | 申请日 | 专利标题
    JP2008019379||2008-01-30||
    JP2008019379||2008-01-30||
    PCT/JP2009/000340|WO2009096181A2|2008-01-30|2009-01-29|Secure boot with optional components method|
    JP2010525959A|JP5399397B2|2008-01-30|2009-01-29|セキュアブート方法、セキュアブート装置、プログラムおよび集積回路|JP2010525959A| JP5399397B2|2008-01-30|2009-01-29|セキュアブート方法、セキュアブート装置、プログラムおよび集積回路|
    [返回顶部]