[发明专利]标识计算设备上的安全边界有效
| 申请号: | 201580055693.7 | 申请日: | 2015-10-12 |
| 公开(公告)号: | CN107077567B | 公开(公告)日: | 2020-03-06 |
| 发明(设计)人: | K.金舒曼;Y.A.桑索诺夫;N.T.费尔古森;M.F.诺瓦克 | 申请(专利权)人: | 微软技术许可有限责任公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57;H04L9/08;H04L9/32 |
| 代理公司: | 北京市金杜律师事务所 11256 | 代理人: | 王茂华 |
| 地址: | 美国华*** | 国省代码: | 暂无信息 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 标识 计算 设备 安全 边界 | ||
1.一种在计算设备中实现的方法,所述方法包括:
在具有多个安全边界的计算设备的引导期间,获取用于多个安全边界的第一安全边界的公共/私有密钥对,第一安全边界的数据不可由多个安全边界的第二安全边界内的程序访问;
将公共/私有密钥对的私有密钥提供给第一安全边界的操作系统模块;以及
将公共/私有密钥对的公共密钥提供给包括安全密码处理器的计算设备的引导测量系统;以及
使用所述公共/私有密钥对的所述私有密钥,在所述第一安全边界和远程设备之间建立安全通信信道。
2.如权利要求1所述的方法,获取公共/私有密钥对包括生成公共/私有密钥对。
3.如权利要求1所述的方法,所述获取所述公共/私有密钥对包括:仅在如下情况下解密之前生成的公共/私有密钥对的至少私有密钥:所述计算设备的引导系统在所述公共/私有密钥对中的至少所述私有密钥被解密时的安全敏感状态与所述计算设备的引导系统在所述公共/私有密钥对中的至少所述私有密钥之前被加密时的安全敏感状态是同一安全敏感状态。
4.如权利要求1所述的方法,获取公共/私有密钥对包括在创建第一安全边界时获取公共/私有密钥对。
5.如权利要求1所述的方法,获取公共/私有密钥对包括在创建第一安全边界之前获取公共/私有密钥对。
6.如权利要求1所述的方法,安全密码处理器包括可信平台模块物理设备。
7.如权利要求1所述的方法,还包括向远程设备提供事件日志,其标识在计算设备引导期间加载和执行的模块。
8.如权利要求1所述的方法,还包括:
在计算设备的引导期间,获取用于多个安全边界的第三安全边界的公共/私有密钥对,第三安全边界的数据对于第一安全边界中的程序和第二安全边界中的程序而言是不可访问的;
将用于第三安全边界的公共/私有密钥对的私有密钥提供给第三安全边界的操作系统模块;以及
将用于第三安全边界的公共/私有密钥对的公共密钥提供给计算设备的安全密码处理器。
9.一种在计算设备中实现的方法,所述方法包括:
在所述计算设备的引导期间,由所述计算设备的多个安全边界的第一安全边界的操作系统模块获取所述第一安全边界的公共/私有密钥对的私有密钥,所述第一安全边界的数据不可由所述多个安全边界的第二安全边界中的程序访问,所述私有密钥与所述第一安全边界相关联而不与所述计算设备的其他安全边界相关联;以及
使用所述公共/私有密钥对的所述私有密钥,在所述第一安全边界和远程设备之间建立安全通信信道。
10.如权利要求9所述的方法,所述获取所述私有密钥包括在创建所述第一安全边界时从所述计算设备的引导系统的模块接收所述私有密钥。
11.如权利要求9所述的方法,所述私有密钥在创建所述第一安全边界之前已经由所述计算设备的引导系统的模块生成。
12.如权利要求9所述的方法,还包括向所述远程设备提供事件日志,所述事件日志标识在所述计算设备的引导期间被加载和执行的模块。
13.如权利要求9所述的方法,所述获取所述公共/私有密钥对的所述私有密钥包括生成所述公共/私有密钥对。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于微软技术许可有限责任公司,未经微软技术许可有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201580055693.7/1.html,转载请声明来源钻瓜专利网。
