【技术实现步骤摘要】
用于预引导生物特征认证的技术
技术介绍
当前处理器可以为诸如安全飞地(enclave)的受信任执行环境提供支持。安全飞地包括存储器的区段(包括代码和/或数据),处理器保护该区段以防止受到未经授权的访问,包括未经授权的读取和写入。具体而言,某些处理器可以包括软件保护扩展(SoftwareGuardExtensions,SGX),以提供安全飞地支持。具体而言,当安全飞地数据存在于平台存储器中时向所述数据提供保密性、完整性和重放保护,并因而提供对抗软件和硬件攻击的保护。片上边界形成了自然的安全边界,其中,数据和代码可以被明文存储,并且被认为是安全的。SGX不保护跨越片上边界移动的I/O数据。受信任I/O(TIO)技术使应用能够安全地向装置发送和/或从装置接收I/O数据。该I/O数据可以包括认证数据。例如,I/O装置可以提供认证数据(例如,用户名、口令或者生物特征数据等)。就生物特征数据而言,生物特征I/O装置可以提供(例如)用户的指纹图像,将所述指纹图像与包括所存储的该用户的指纹图像或其它生物特征数据的生物特征模板进行比较,从而对用户进行认证。这种生物特征数据和生物特征模板是敏感的且个人可识别的数据,其可能易于遭受期望认证为授权用户的未授权个人的侵入或攻击。例如,未授权个人可能希望使用通过未授权手段接收到的认证凭证或数据来访问加密部件(例如,加密硬盘驱动器)。附图说明在附图中通过举例方式而非通过限制方式对本文描述的概念进行了图示。为了图示的简单和清晰起见,图中所示出的元件未必是按比例绘制的。在认为适当的地方,可以在各附图之间重复附图标记以指示对应或类似的元件。图1是用 ...
【技术保护点】
1.一种用于在预引导过程期间提供认证服务的计算装置,所述计算装置包括:可管理性控制器,其中,所述可管理性控制器包括用以接收来自网络来源的生物特征模板的模板管理器;部件认证管理器,其用以对所述可管理性控制器和所述计算装置的安全执行环境进行相互认证,其中,所述安全执行环境与所述计算装置的不受信任软件隔离;以及生物特征认证管理器,其用以(i)响应于所述可管理性控制器和所述安全执行环境的相互认证而将所述生物特征模板从所述可管理性控制器安全地提供至所述安全执行环境,以及(ii)在所述预引导过程期间利用所述安全执行环境利用所述生物特征模板对生物特征输入执行生物特征认证操作。
【技术特征摘要】
2018.01.12 US 15/870,3661.一种用于在预引导过程期间提供认证服务的计算装置,所述计算装置包括:可管理性控制器,其中,所述可管理性控制器包括用以接收来自网络来源的生物特征模板的模板管理器;部件认证管理器,其用以对所述可管理性控制器和所述计算装置的安全执行环境进行相互认证,其中,所述安全执行环境与所述计算装置的不受信任软件隔离;以及生物特征认证管理器,其用以(i)响应于所述可管理性控制器和所述安全执行环境的相互认证而将所述生物特征模板从所述可管理性控制器安全地提供至所述安全执行环境,以及(ii)在所述预引导过程期间利用所述安全执行环境利用所述生物特征模板对生物特征输入执行生物特征认证操作。2.根据权利要求1所述的计算装置,其中,对所述可管理性控制器和所述安全执行环境进行相互认证包括:在所述可管理性控制器和所述安全执行环境之间安全地交换共享秘密密钥;响应于所述共享秘密密钥的安全交换而由所述可管理性控制器安全地存储所述共享秘密密钥;以及响应于所述共享秘密密钥的安全交换而由所述安全执行环境安全地存储所述共享秘密密钥。3.根据权利要求2所述的计算装置,其中,将所述生物特征模板从所述可管理性控制器安全地提供至所述安全执行环境包括利用所述共享秘密密钥保护所述生物特征模板。4.根据权利要求2所述的计算装置,其中,由所述可管理性控制器安全地存储所述共享秘密密钥包括将所述共享秘密密钥存储到所述可管理性控制器的内部储存器中。5.根据权利要求2所述的计算装置,其中,由所述安全执行环境安全地存储所述共享秘密密钥包括:利用所述安全执行环境的身份密封所述共享秘密密钥,以生成密封密钥;以及将所述密封密钥存储到所述计算装置的数据储存装置中。6.根据权利要求5所述的计算装置,其中,将所述生物特征模板从所述可管理性控制器安全地提供至所述安全执行环境还包括:由所述安全执行环境利用所述安全执行环境的身份对所述密封密钥进行解密封,以恢复所述共享秘密密钥;以及响应于对所述密封密钥的解密封而利用所述共享秘密密钥保护所述生物特征模板。7.根据权利要求1所述的计算装置,其中,对所述可管理性控制器和所述安全执行环境进行相互认证包括由所述可管理性控制器验证所述安全执行环境的身份。8.根据权利要求1所述的计算装置,其中,对所述可管理性控制器和所述安全执行环境进行相互认证包括由所述安全执行环境验证所述可管理性控制器的地点。9.根据权利要求1所述的计算装置,还包括引导管理器,所述引导管理器用以:加载所述计算装置的运行时环境;以及利用所述计算装置的处理器的安全飞地支持将部件认证飞地加载到所述运行时环境内,其中,所述安全执行环境包括所述部件认证飞地;其中,对所述可管理性控制器和所述安全执行环境进行相互认证包括对所述可管理性控制器和所述部件认证飞地进行相互认证。10.根据权利要求9所述的计算装置,还包括引导管理器,所述引导管理器用以:在所述预引导过程期间加载轻量级固件环境;以及利用所述处理器的所述安全飞地支持将生物特征认证飞地加载到所述轻量级固件环境内,其中,所述安全执行环境包括所述生物特征认证飞地;其中,将所述生物特征模板从所述可管理性控制器安全地提供至所述安全执行环境包括将所述生物特征模板从所述可管理性控制器安全地提供至所述生物特征认证飞地;并且其中,执行所述生物特征认证操作包括由所述生物特征认证飞地执行所述生物特征认证操作。11.根据权利要求10所述的计算装置,其中:所述部件认证飞地与所述部件认证飞地的授权机构的签名身份相关联;并且所述生物特征认证飞地与所述签名身份相关联。12.根据权利要求1所述的计算装置,其中,所述生物特征认证管理器还响应于所述生物特征认证操作的执行而提供对所述计算装置的硬件部件的访问。13.根据权利要求12所述的计算装置,其中,所述硬件部件包括加密数据储存装置。14.一种用于在预引导过程期间提供认证服务的方法,所述方法包括:由计算装置的可管理性控制器接收来自网络来源的生物特征模板;由所述计算装置对所述可管理性控制器和所述计算装置的安全执行环境进行相互认证,其中,所述安全执行环境与所述计算装置的不受信任软件隔离;响应于对所述可管理性控制器和所述安全执行环境进行相互认证而由所述计算装置将所述生物特征模板从所述可管理性控制器安全地提供至所述安全执行环境;...
【专利技术属性】
技术研发人员:R·拉尔,R·埃奇库姆,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。