【技术实现步骤摘要】
【国外来华专利技术】背景
各实施例总体上涉及计算平台和/或系统中的安全性。更具体地,各实施例涉及输入输出(IO)设备与硬件安全元件的自动配对。讨论计算系统(诸如个人计算机)可运行会易于受到恶意软件(恶意软件)攻击的主机操作系统(OS)。为了提高安全性,专用硬件元件(例如,“安全元件”)可被结合到计算系统中,其中,该元件可安全地引导,仅运行与OS和其他基于主机的软件隔离的硬件环境中的受信固件。安全元件因此可以用于以受信的方式实现安全性和可管理性特征。对于某些使用场景,安全元件可与系统上的其他硬件设备交互。在这些情况下,因此,可存在危害其他硬件设备和/或篡改安全元件与其他硬件设备之间的通信通道的恶意软件的潜在风险。在某些情形下,安全元件和另一个硬件设备之间的通信通道可流经主机OS。实际上,许多输入输出(IO)设备(诸如键盘、鼠标、触摸屏、打印机等等)可通过USB(通用串行总线,例如,USB规范3.0版本,2008年11月12日,USB实现者论坛)连接到系统。由于硬件限制,这些USB设备可仅由主机软件(诸如OS或BIOS(基本输入输出系统、UEFI/统一可扩展固件接口等等))通过USB控制器直接访问。相应地,当使用专用硬件安全元件可能在某些情况下合适时,为改进IO设备留出了足够的空间。附图说明通过阅读以下说明书和所附权利要求书并且通过参考以下附图,本发明实施例的各种优点将对本领域普通技术人员变得明显,在附 ...
【技术保护点】
一种系统,包括:输入输出(IO)设备;安全元件,用于在所述系统的引导过程期间接收第一配对认证值,接收配对密钥,以及使用所述第一配对认证值和所述配对密钥在所述安全元件和所述IO设备之间建立受信通道;以及配对代理,用于在所述引导过程期间向所述安全元件发送所述第一配对认证值,响应于与所述IO设备相关联的配对请求生成所述配对密钥,以及将所述配对密钥发送到所述安全元件和所述IO设备。
【技术特征摘要】
【国外来华专利技术】2013.09.13 US 14/026,3721.一种系统,包括:
输入输出(IO)设备;
安全元件,用于
在所述系统的引导过程期间接收第一配对认证值,
接收配对密钥,以及
使用所述第一配对认证值和所述配对密钥在所述安全元件和所述IO
设备之间建立受信通道;以及
配对代理,用于
在所述引导过程期间向所述安全元件发送所述第一配对认证值,
响应于与所述IO设备相关联的配对请求生成所述配对密钥,以及
将所述配对密钥发送到所述安全元件和所述IO设备。
2.如权利要求1所述的系统,其中,所述安全元件用于仅当在所述引导过
程的预定阶段之前接收到所述第一配对认证值时才接受所述第一配对认证值。
3.如权利要求1所述的系统,其中,所述安全元件用于:
在也包括所述配对密钥的消息中标识第二配对认证值,以及
根据所述第一配对认证值验证所述第二配对认证值以便建立所述受信通
道。
4.如权利要求1所述的系统,进一步包括用于发布所述配对请求的操作系
统(OS)模块,其中,所述配对代理用于向所述OS模块发送配对通知。
5.如权利要求1所述的系统,进一步包括与在系统管理模式外部运行的代
码隔离的隐藏存储器空间,其中,所述配对代理用于:
将所述配对密钥存储到所述隐藏存储器空间,并且其中,所述配对密钥包
括所述第一配对认证值和IO设备地址,以及
在所述配对密钥被发送到所述安全元件和所述IO设备之后从所述隐藏存
储器空间擦除所述配对密钥。
6.如权利要求1至5中任一项所述的系统,其中,所述配对代理是系统管
理中断(SMI)处理程序或认证代码模块(ACM)之一,并且所述IO设备是通
用串行总线(USB)设备。
7.一种至少部分地在固定功能硬件中实现的操作配对代理的方法,包括:
在系统的引导过程期间向所述系统的安全元件发送来自所述配对代理的
配对授权值;
响应于与耦合到所述系统的输入输出(IO)设备相关联的配对请求生成配
对密钥;以及
将所述配对密钥发送到所述安全元件和所述IO设备。
8.如权利要求7所述的方法,其中,所述配对代理是系统管理中断(SMI)
处理程序或认证代码模块(ACM)之一。
9.如权利要求7所述的方法,进一步包括从操作系统(OS)模块接收所述
配对请求。
10.如权利要求9所述的方法,进一步包括向所述OS模块发送配对通知。
11.如权利要求7所述的方法,进一步包括:
将所述配对密钥存储到与在系统管理模式之外运行的代码隔离的隐藏存
储器空间中,其中,在也包括所述配对认证值和IO设备地址的消息中发送所
述配对密钥;以及
在所述配对密钥被发送到所述安全元件和所述IO设备之后从所述隐藏存
储器空间擦除所述...
【专利技术属性】
技术研发人员:S·岑,K·D·布来诺克,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。