密码密钥安全制造技术

描述了与密码密钥安全相关联的示例。一个示例性系统包括基本输入/输出系统(BIOS)可访问的安全存储装置。BIOS安全模块将授权值存储在安全存储装置中的固定位置中。授权值由BIOS在系统引导期间存储。密码密钥模块从固定位置读取授权值，在固定位置盖写授权值，并使用授权值获得密码密钥。

Password key security

【技术实现步骤摘要】
【国外来华专利技术】密码密钥安全
技术介绍
加密密钥的生成是用于保护软件和数据的反复发生的任务。加密密钥用于各种任务，包括加密和解密数据、在应用之间安全地传送数据和/或命令、在系统的组件之间安全地传送数据和/或命令等。附图说明结合以下结合附图的详细描述，可以更全面地理解本申请。图1图示与密码密钥安全相关联的一个示例性系统。图2图示与密码密钥安全相关联的另一示例性系统。图3图示与密码密钥安全相关联的示例性操作的流程图。图4图示与密码密钥安全相关联的另一示例性系统。图5图示示例性系统、方法和等同替换物可在其中操作的示例性计算设备。具体实施方式描述了与密码密钥安全相关联的系统、方法和等同替换物。当生成密码密钥时，可能希望将密钥保持以供稍后使用，因为密钥生成过程可确保随机生成密钥以防止密钥生成过程生成相同的密钥。在不保持密钥的情况下，使用密钥加密的数据可能是不可恢复的。为了保护密钥不受不期望的访问(例如，被恶意行动者访问)，密钥可以由授权值来保护。在一些情况下，该授权可以是个人识别号码(PIN)或密码。然而，在某些情况下，用户输入值可能是不适当的解决方案，使得期望在没有用户输入的情况下可获得授权值。因此，本文描述的示例讨论了与存储用于生成和/或访问加密密钥的授权值的基本输入/输出系统(BIOS)安全过程有关的示例。在系统引导期间，授权值可存储在负责生成或访问加密密钥的可信过程已知的固定位置中。一旦该可信过程已经访问了授权值，该可信过程就可以从固定位置上擦除该授权值以防止该授权值随后被恶意实体访问。图1图示与密码密钥安全相关联的一个示例性系统。应当理解，图1中所描绘的项目是说明性示例，并且许多不同的系统、设备等可以根据各种示例来操作。图1图示与密码密钥安全相关联的一个示例性系统100。作为启动的一部分，系统100可以使用一个或多个密码密钥来执行各种功能，例如访问数据和加密组件之间的通信。这些加密密钥的创建和/或访问可以由授权值104来保护。由于系统100可以在获得授权值的用户输入是可行的之前使用这些密码密钥，所以可能期望系统100具有在没有用户输入的情况下生成和/或访问密码密钥的途径。因此，系统100包括基本输入/输出系统(BIOS)120，其包括BIOS安全模块125。在系统100启动期间，BIOS安全模块125可以将授权值104存储在BIOS120可访问的安全存储装置110的固定位置102中。当授权值104要用于生成和/或获取加密密钥时，BIOS120和/或系统100信任的授权值获取模块130可从固定位置102查找授权值104。因此，固定位置102可以是安全存储装置110内BIOS安全模块125和授权值获取模块130二者已知的位置，其允许系统100每次引导时授权值104被存储在同一位置并从该位置检索。一旦授权值获取模块130获取了授权值104，授权值获取模块130就可以用随机数据盖写固定位置102，以防止其他过程能够读取授权值104。授权值获取模块130随后可以将授权值104提供给密码密钥获取模块140，所述密码密钥获取模块140可以使用授权值104来获得(一个或多个)密码密钥。在一个示例中，密码密钥获取模块140可通过基于授权值104生成密码密钥来获得密码密钥。这可以例如在系统100第一次使用密码密钥时发生。在其它示例中，密码密钥获取模块140可使用授权值104从存储位置199检索密码密钥。作为说明，存储位置199可以存储本身基于授权值104被加密的密码密钥的版本。因此，密码密钥获取模块140可通过使用授权值104对密码密钥的加密版本进行解密来获得密码密钥。在各种示例中，安全存储装置110可以采取各种形式。安全存储装置110的形式可以取决于系统100可访问的资源，并且还可以规定固定位置102的形式和/或各种组件如何与固定位置102和/或授权值104交互(例如，访问、擦除)。例如，安全存储装置110可以是BIOS120的专用存储器。BIOS专用存储器可以是例如具有由BIOS120控制的访问以防止不希望的访问的存储器。这可以确保对BIOS专用存储器的访问只能通过例如BIOS120所信任的过程、对可以保护专用存储器不受不期望的修改和访问的BIOS代码的API调用等来进行。因此，固定位置102可以是统一可扩展固件接口(UEFI)变量。这可以意味着授权值获取模块130使用利用管理员特权的专用BIOS调用从固定位置102读取授权值104。例如，对于运行Windows操作系统的系统100，专用BIOS调用可以采取Windows管理仪表(WMI)调用的形式。在另一示例中，安全存储装置110可以是可信平台模块。因此，固定位置102可以是平台配置寄存器。在该示例中，授权值获取模块130可以直接使用具有管理员特权的操作来从平台配置寄存器读取授权值104。此外，在该示例中，擦除平台配置寄存器可涉及用随机数据来扩展平台配置寄存器。虽然在该示例中被图示为单独的组件，但是在其它实现中，系统100的各种其它组件可以被实现为BIOS120的一部分。例如，授权值获取模块130和/或密码密钥获取模块140可以是在BIOS级实现的指令，并且如上所述，安全存储装置110可以是BIOS专用存储器。应当理解，在以下描述中，陈述了许多具体细节以提供对示例的透彻理解。然而，应当理解，也可以在不局限于这些具体细节的情况下实践所述示例。在其它情况下，可能不详细描述方法和结构，以避免不必要地模糊对示例的描述。此外，这些示例可以彼此组合使用。如本文所使用的“模块”包括但不限于硬件、固件、存储在计算机可读介质上或在机器上执行的软件、和/或执行(一个或多个)功能或(一个或多个)动作和/或引起来自另一模块、方法和/或系统的功能或动作的每个的组合。模块可以包括软件控制的微处理器、分立模块、模拟电路、数字电路、编程的模块设备、包含指令的存储器设备等等。模块可以包括门、门的组合或其他电路组件。在描述多个逻辑模块的情况下，将多个逻辑模块合并到一个物理模块中可以是可能的。类似地，在描述单个逻辑模块的情况下，在多个物理模块之间分布该单个逻辑模块可以是可能的。图2图示与密码密钥安全相关联的一个示例性系统200。系统200包括安全存储装置210。安全存储装置210可由基本输入/输出系统220访问。系统200还包括BIOS安全模块225，用于在安全存储装置210中存储授权值。授权值可被存储在安全存储装置210中在固定位置中。授权值可以在系统200的引导期间被存储在安全存储装置210中。在一些示例中，安全存储装置210可以是BIOS220的专用存储器。因此，固定位置可以是统一可扩展固件接口(UEFI)变量。在其他示例中，安全存储装置210可以是可信平台模块。这里，固定位置可以是预定平台配置寄存器。系统200还包括密码密钥模块230。密码密钥模块230可以从安全存储装置210中的固定位置读取授权值。作为说明，当固定位置是UEFI变量时，密码密钥模块230可使用利用管理员特权的专用BIOS调用从UEFI本文档来自技高网...

【技术保护点】
1.一种系统，包括：/n安全存储装置，其对基本输入/输出系统(BIOS)可访问；/nBIOS安全模块，用于在所述系统的引导期间将授权值存储在所述安全存储装置中的固定位置中；以及/n密码密钥模块，用于：/n从所述固定位置读取所述授权值；/n在所述固定位置盖写所述授权值；以及/n使用所述授权值来获得密码密钥。/n

【技术特征摘要】
【国外来华专利技术】1.一种系统，包括：
安全存储装置，其对基本输入/输出系统(BIOS)可访问；
BIOS安全模块，用于在所述系统的引导期间将授权值存储在所述安全存储装置中的固定位置中；以及
密码密钥模块，用于：
从所述固定位置读取所述授权值；
在所述固定位置盖写所述授权值；以及
使用所述授权值来获得密码密钥。


2.根据权利要求1所述的系统，其中，通过使用所述授权值生成密码密钥来获得所述密码密钥。


3.根据权利要求1所述的系统，其中，通过基于所述授权值访问所述系统可访问的存储装置上的密码密钥来获得所述密码密钥。


4.根据权利要求1所述的系统，其中，所述安全存储装置是所述BIOS的专用存储器，并且其中，所述固定位置是统一可扩展固件接口(UEFI)变量。


5.根据权利要求4所述的系统，其中所述密码密钥模块使用利用管理员特权的专用BIOS调用从所述UEFI变量读取所述授权值。


6.根据权利要求1所述的系统，其中所述安全存储装置是可信平台模块，并且其中所述固定位置是预定平台配置寄存器。


7.根据权利要求6所述的系统，其中盖写所述授权值包括用随机数据扩展所述寄存器。


8.一种存储处理器可执行指令的计算机可读介质，所述处理器可执行指令在由所述处理器执行时控制所述处理器：
从安全存储装置中的固定位置读取授权值，其中所述授权值是在基本...

【专利技术属性】
技术研发人员：V·阿利，R·布拉姆利，E·N·平黑罗，R·迪亚斯科雷亚，R·R·费雷拉，
申请(专利权)人：惠普发展公司，有限责任合伙企业，
类型：发明
国别省市：美国;US