安全主机交互制造技术

一种可信设备，其包括安全接口和主机接口，所述安全接口通过一个隔离环境而与所述主机接口隔离。可信来源通过所述安全接口向所述可信设备供应以包括私人信息，例如私人用户信息和密码数据。当所述可信设备通过所述主机接口连接至不可信主机设备时，所述不可信主机设备将关于所述私人信息的请求发送至所述主机接口的写文件。所述隔离环境的处理器检索所述请求，并且产生对来自所述不可信主机设备的请求做出响应的输出，例如加密输出。所述可信设备将该输出发送至所述主机接口的读文件，因而使所述不可信主机设备可通过所述主机接口获得该输出。然后，所述不可信主机设备通过所述主机接口接收到该输出。

【技术实现步骤摘要】
【国外来华专利技术】
本公开涉及可信计算、安全私人用户信息(例如用于主机交互的安全用户信息)、用户之间的安全通信以及建立安全系统事件日志，以管理与该主机相关联的事件日志条目。
技术介绍
由于除了计算机用户和制造商的控制之外的多种因素，传统的计算机系统——包括移动计算系统——对私人数据所有权关系非常怀有敌意。例如，连接至网络的任何计算设备都可能具有允许未授权个体获得对用户私人信息的访问的弱点。例如，未授权个体可能发现计算机系统的弱点，通常通过在主人未知的情况下安装危险的恶意软件来窃取、改变或破坏信息。然后，该计算机的主人处在各种欺诈动作的风险下，包括身份窃取和财务损失。同样，如果未授权个体访问用户的移动设备，则未授权的个体可能拦截用户的通信。然后，未授权个体能够使用所拦截的会话的内容——在用户未知的情况下——欺骗该用户或其它人。在一些情况下，未授权个体可能尝试消除未授权个体的入侵证据。例如，如果未授权个体已经在用户的计算系统上安装了恶意软件，在与用户的计算机系统相关联的系统事件日志可以产生关于该安装的事件日志条目。然而，机智的未授权个体能够删除或改变与用户的计算机系统相关联的系统事件日志条目，从而消除未授权个体的入侵证据。因而，在一些情况下，未授权个体掩盖他或她的痕迹，使得即使是老练的用户仍意识不到未授权个体的入侵。这样，并且由于与传统计算系统相关的严重弱点，传统的计算系统通常被视为用户私人信息的有敌意且不可信任的主机。
技术实现思路
在本文所述的特定示例性方面，提供了一种可信计算设备。例如，在一些实施例中，可信计算设备是一种microSD形状因素(formfactor)的设备，这种设备包括隔离环境、microSD主机接口、安全接口、用于可信计算的计算机程序产品，以及可选的绕过主机系统的带外通信信道。该隔离环境包括隔离环境处理器、存储器和辅助处理器。存储器被完全分配给安全分区，或者被划分为安全分区和非安全分区，并且为了数据通信而与隔离环境处理器连接。辅助处理器为了数据通信而连接至隔离环境处理器和存储器。该存储器和辅助处理器两者都仅通过隔离环境处理器而与主机进行数据通信。主机接口和安全接口两者都为了数据通信而连接至隔离环境处理器。计算机程序产品包括具有在其上实施的计算机可执行程序指令的非暂态计算机可读介质。这些指令在当由可信计算设备执行时使得该可信计算设备执行可信计算。特别地，该计算机程序产品包括通过安全接口向可信计算设备提供加密操作的程序指令。另外的程序指令使得该可信计算设备通过所述隔离环境处理器在主机接口处产生第一文件分配表(FAT)文件系统。第一FAT文件系统分区包括主机写文件和主机读文件。如果未仅配置成用于安全分区，则进一步的程序指令使得可信计算设备通过所述隔离环境处理器在主机接口产生具有对存储器的非安全分区的访问的非安全第二FAT文件系统分区。可信计算设备计算机程序产品的程序指令使得该可信计算设备经由主机写文件来接收在隔离环境中执行可信计算的请求。该可信计算包括下列中的一个或多个：产生随机数、仅增日志、单调计数、流加密和解密、批量加密和解密、访问密码原语和隔离存储器。进一步的程序指令使得该可信计算设备使用所述隔离环境处理器、存储器安全分区和辅助处理器中的至少一个来执行所请求的可信计算，然后将可信计算的结果写入主机读文件。在本文所述的特定示例性方面，提供了一种用于安全主机交互的计算机实施方法。例如，与主机计算设备相关联的可信计算设备接收受限信息。例如，可信计算设备被预配置成包括隔离环境和主机接口，该主机接口包括写文件和读文件。例如，该隔离环境不能直接访问主机计算设备。例如，该可信计算设备在隔离环境的安全存储设备中存储所接收的受限信息。在接收到受限信息之后，可信计算设备的写文件从主机计算设备接收写文件条目。例如，该写文件条目包括对该写文件条目做出响应的受限信息的指示。然后，可信计算设备在该可信计算设备的隔离环境下处理写文件条目。为了处理写文件条目，可信计算设备识别——基于对该写文件条目做出响应的受限信息的指示——对该写文件条目做出响应的受限信息的至少一部分。然后，该可信计算设备向该可信计算设备的读文件产生一个输出，例如安全输出。然后，所产生的输出(例如所产生的安全输出)可由主机计算设备在可信计算设备的读文件中获得。在本文所述的特定示例性方面，还提供了一种用于安全通信(例如两个或更多个主机计算设备之间的通信)的方法。例如，与第一主机计算设备相关联的第一可信计算设备从第一用户接收第一通信。安全接口接收该第一通信，该第一安全接口与第一可信计算设备的主机接口是隔离的。例如，该安全接口与将该安全接口隔离的隔离环境相关联。在接收到第一通信之后，第一可信计算设备在第一可信计算设备的第一隔离环境中对第一通信加密。例如，第一隔离环境不能由第一主机设备直接访问。然后，第一可信计算设备将加密后的第一通信发送至第一可信计算设备的主机接口的第一读文件。然后，该加密的第一通信可由第一主机计算设备在第一可信计算设备的第一读文件中获得。然后，第一主机计算设备将加密后的第一通信发送至第二主机计算设备，该第二主机计算设备与第一主机计算设备是分离的。在将加密的第一通信发送至第二主机计算设备之后，与第二主机计算设备相关联的第二可信计算设备接收该加密的第一通信。例如，第二主机计算设备将该加密的第一通信发送至与第二主机计算设备相关联的第二可信计算设备，并且第二可信计算设备的主机接口的写文件接收到该加密的第一通信。第二可信计算设备在第二可信计算设备的第二隔离环境中对第一用户的该加密的第一通信解密，该第二隔离环境不能由第二主机设备直接访问。在对该加密的第一通信解密后，第二可信计算设备将解密后的第一通信发送至第二用户。例如，第二可信计算设备通过第二可信计算设备的第二安全接口将解密后的第一通信发送至第二用户，第二安全接口与第二可信计算设备的主机接口是隔离的。然后，第二用户接收到解密后的第一通信。在本文所述的特定示例性方面，还提供了一种用于安全事件日志管理的方法。例如，与主机计算设备相关联的可信计算设备将写文件条目接收到可信计算设备的主机计算设备接口的写文件中。响应于接收到该写文件条目，可信计算设备确定与写文件条目相关联的日志数据。基于所确定的日志数据，可信计算设备——在不能被主机计算设备直接访问的可信计算设备的隔离环境中——建立事件日志条目。然后，可信计算设备在该隔离环境的安全存储设备中记录该事件日志条目。如果某个授权用户请求访问该事件日志条目，例如，可信计算设备则通过安全接口或通过可信计算设备的读文件而向用户提供该事件日志条目。在本文所述的特定的示例性方面，在向读文件产生诸如加密通信、事件日志条目的输出、或诸如安全输出的其它输出之前，可信计算设备通过可信计算设备的安全接口向用户发送请求，以授权对写文件条目的处理。响应于用户请求授权对写文件条目的处理，可信计算设备将用户输入接收到可信计算设备的安全接口中。例如，用户输入起到授权该可信计算设备处理该写文件条目的作用。因而，可信计算设备处理该写文件条目。当考虑针对所示出的示例性实施例的以下详细说明，本领域技术人员将明白上述示例性实施例的这些和其它方面、目标、特征和优点。附图说明图1是示出了根据特定的示例性实施例的、本文档来自技高网...

【技术保护点】
一种用于安全主机交互的计算机实施方法，包括：由与主机计算设备相关联的可信计算设备接收受限信息，其中，所述可信计算设备被预配置成包括隔离环境和具有写文件和读文件的主机接口；所述隔离环境不能被所述主机计算设备直接访问，并且所述受限信息被存储在所述隔离环境的安全存储设备内；由所述可信计算设备的所述写文件从所述主机计算设备接收写文件条目，其中，所述写文件条目包括对所述写文件条目做出响应的所述受限信息的指示；由所述可信计算设备在所述可信计算设备的所述隔离环境中处理所述写文件条目，其中，处理所述写文件数据包括：基于对所述写文件条目做出响应的所述受限信息的所述指示来识别对所述写文件条目做出响应的所述受限信息的至少一部分，和基于所识别出的所述受限信息来产生对所述可信计算设备的所述读文件的安全输出，其中，所述安全输出能够由所述主机计算设备在所述可信计算设备的所述读文件中获得。

【技术特征摘要】
【国外来华专利技术】2014.12.31 US 14/587,8961.一种用于安全主机交互的计算机实施方法，包括：由与主机计算设备相关联的可信计算设备接收受限信息，其中，所述可信计算设备被预配置成包括隔离环境和具有写文件和读文件的主机接口；所述隔离环境不能被所述主机计算设备直接访问，并且所述受限信息被存储在所述隔离环境的安全存储设备内；由所述可信计算设备的所述写文件从所述主机计算设备接收写文件条目，其中，所述写文件条目包括对所述写文件条目做出响应的所述受限信息的指示；由所述可信计算设备在所述可信计算设备的所述隔离环境中处理所述写文件条目，其中，处理所述写文件数据包括：基于对所述写文件条目做出响应的所述受限信息的所述指示来识别对所述写文件条目做出响应的所述受限信息的至少一部分，和基于所识别出的所述受限信息来产生对所述可信计算设备的所述读文件的安全输出，其中，所述安全输出能够由所述主机计算设备在所述可信计算设备的所述读文件中获得。2.根据权利要求1所述的计算机实施方法，还包括：由所述可信计算设备的所述隔离环境通过所述可信计算设备的安全接口接收所述受限信息，所述可信计算设备的所述安全接口与所述可信计算设备的主机接口是隔离的。3.根据权利要求1所述的计算机实施方法，其中，所述受限信息与用户相关联。4.根据权利要求1所述的计算机实施方法，还包括：通过所述可信计算设备的安全接口发送要求用户授权处理所述写文件条目的请求。5.根据权利要求4所述的计算机实施方法，还包括：由所述可信计算设备响应于要求用户授权处理所述写文件条目的请求而将用户输入接收到所述可信计算设备的所述安全接口中，其中，所述用户输入授权处理所述写文件条目。6.根据权利要求5所述的计算机实施方法，其中，所述用户输入包括与所述用户相关联的安全代码。7.根据权利要求1所述的计算机实施方法，其中，所述受限信息包括密码数据。8.根据权利要求1所述的计算机实施方法，其中，所述受限信息包括用户的金融信息。9.一种用于安全主机交互的系统，包括：存储设备；以可通信方式耦合至所述存储设备的处理器，其中，所述处理器执行被存储在所述存储设备内的应用代码指令，以使所述系统：由与主机计算设备相关联的可信计算设备接收受限信息，其中，所述可信计算设备被预配置成包括隔离环境和具有写文件和读文件的主机接口；所述隔离环境不能被所述主机计算设备直接访问，并且所述受限信息被存储在所述隔离环境的安全存储设备内；从所述主机计算设备将写文件条目接收到所述可信计算设备的所述写文件中，其中，所述写文件条目包括对所述写文件条目做出响应的所述受限信息的指示；由所述可信计算设备在所述可信计算设备的所述隔离环境中处理所述写文件条目，其中，处理所述写文件数据包括：基于对所述写文件条目做出响应的所述受限信息的所述指示来识别对所述写文件条目做出响应的所述受限信息的至少一部分，和基于所识别出的所述受限信息来产生对所述可信计算设备的所述读文件的输出，其中，所述...

【专利技术属性】
技术研发人员：派特尔·查尔斯·扎特科，多米尼克·里佐，
申请(专利权)人：谷歌公司，
类型：发明
国别省市：美国;US