当前位置: 首页 > 专利查询>英特尔公司专利>正文

虚拟安全模块的体系结构制造技术

技术编号:5446644 阅读:251 留言:0更新日期:2012-04-11 18:40
一种装置支持通过安全识别并区分客户机发出的命令的映射系 统来处理处理器中的多个活动应用。映射系统生成实体选择信号以通 知处理器处理算法并使用识别的该客户机的命令和客户机跟踪系统 所允许的用于该客户机的数据来向该特定客户机提供服务。当处理算 法时,限制对其他客户机识别的命令和其他数据访问。

【技术实现步骤摘要】
【国外来华专利技术】虚拟安全模块的体系结构
技术介绍
用于商业和贸易的相连移动计算和无线通信技术需要保护用户 数据和秘密。体系结构可包括执行数字签名和密钥包装操作、散列操 作和随机数生成的安全引擎,其中硬件和支持软件提供加密和解密能 力以确保数据保密和增强的安全性。这些系统中的体系结构限制了秘密的使用,使得只有经过授权的 应用才能使用特定的秘密,但是目前使用秘密的每个命令都要经过密 码授权检验。这就需要一种机制能够支持同时执行的多个活动应用而 无需对每个命令检验授权。附图说明在说明书的结论部分中特别指出本专利技术的主题并清楚地对本发 明的主题要求权利。然而,通过参考附图阅读下面的详细描述,可最佳地理解本专利技术的组织和操作方法及其目标、特征和优点,在附图中 图1是示出根据本专利技术支持同时执行的多个活动应用的虛拟安 全和平台信任模块的无线装置的实施例的图;图2是示出根据本专利技术用于区分并保护客户机秘密的映射系统 的框图;图3是示出根据本专利技术识别由特定客户机发出的命令并为该客 户机处理访问存储器数据的算法的方法的流程图。将意识到,为了简单和清楚地说明,附图中示出的元件并不一定 按比例绘制。例如,为了清楚起见,其中一些元件的尺寸可相对于其 他元件有所夸大。而且,在认为合适的情况下,在附图中重复使用附 图标记,以指示对应或类似的元件。具体实施方式在下面的详细描述中,阐述了多个具体细节以便充分理解本发 明。然而,本领域的技术人员将理解,无需这些具体细节也可实现本 专利技术。在其他情况下,未详细描述众所周知的方法、过程、组件和电 路,以免使本专利技术含混不清。如图1所示,可在装置10中示出本专利技术的实施例,装置10包括 允许在RF/位置空间中与其他装置通信的无线电。因此,装置10可 以是拥有标准化操作系统并能在各种应用之间处理多项任务且能在 无线网络中操作的诸如智能电话的通信装置,^f旦应该理解,本专利技术也 可结合在除无线装置之外的装置中。图1示出从一个或多个天线接收并发送调制信号的收发器12。 处理器14接收下变频滤波信号,将其转换为基带数字信号。处理器 14通常处理用于提取指令、生成解码、查找操作数、并执行适当动 作的算法函数,然后存储结果。处理器14可使用多个核16和18来 计算基带和应用处理函数,其中可在这些核之间共享处理工作负荷。 处理器14可通过存储器接口 22将数据传送到系统存储器24 ,系统 存储器24可包括诸如随机存取存储器(RAM )、只读存储器(ROM) 和非易失性存储器的存储器组合,但系统存储器24中包含的存储器 的类型和种类都不是对本专利技术的限制。装置10采用虚拟安全和平台信任模块20,该模块20包括配置 成执行密码功能的硬件和用于保护秘密免受攻击者侵害的软件。 一般 而言,模块20可创建、存储和管理密码密钥,执行数字签名操作, 并锚接密钥和数字证书的信任链。因此,模块20提供各种服务以保 护文件和文件夹的安全并保护对用户信息、用户名、密码和个人信息 的存储和管理的安全。图2示出根据本专利技术在虚拟机(VM)或安全域(SD)与属于特 定客户机的各组秘密之间创建关联的模块20的一部分。VM可以是 利用有关网络的普通规则和过程来管理的一组处理核或处理装置。而 且,VM或域可以是具有使得能够执行任务的资源的软件实体。图2示出用于将由客户机发出的命令与经生成用于识别具有这些命令的该客户机的实体选择信号进行映射的映射系统208。然后, 可将命令和实体选择信号传送到一起执行服务的各个硬件和软件组件的配置中。虚拟机或客户机202、 204或206可将命令发出到平台 特有的指示中以用于信息流和访问控制。例如,一M户机X 202 发出命令,映射系统208便接收该命令并生成实体选择信号以清楚地 识别该命令与客户机202。然后,利用命令和实体选择信号来配置受 保护的执行环境以便仅使用指定给客户机X的秘密210来执行算 法并执行计算。诸如客户机Y的秘密212和客户机Z的秘密 214的其他秘密属于其他客户机(分别为客户机Y 204和客户机 Z 206),并且受到限制而不可用于为客户机X 202执行的算法 和计算。因此,装置IO是具有认证能力以支持多个活动应用的处理系统。 映射系统208接收由多个客户机202、 204和206发出的命令,将这 些命令以及将这些命令具体识别为与该客户机关联的实体选择信号 一起传送到处理装置。然后,可执行操作,这些操作专用于由实体选 择信号所识别的客户机。而且,针对所识别的客户机的操作限于使用 与之前指定给该客户机的权利相关的命令和存储的数据。与指定给其 他客户机的权利相关的存储的数据是受限的数据并且不可用。图2示出使用实体选择信号和来自由该信号所识别的客户机的 命令来为所请求的服务提供安全和操作管理的客户机号映射块216。 映射系统208与客户机号映射216合作通过使得能够灵活部署安全服 务来简化大分布式系统中的信任管理。通过^5l准许由映射系统208识 别且由客户机号映射216启用的特定客户机访问那些秘密,来维护并 保护专用于各个客户机的秘密的集合。装置10中的虚拟安全和平台信任才莫块20设计为在处理服务之前 向为特定客户机预留的秘密提供明确且自主的保护。解除了应用开发功能的负担。并不是按用户或按系统单独指定,而^_要运行的应用或 服务维护虚拟机或安全域与发送给该装置的所有随后命令的指定一组秘密之间的关联,直到将应用与这些秘密分离为止。图3是根据本专利技术的多个实施例示出根据本专利技术识别由特定客 户机发出的命令并为该客户机处理访问存储器数据的算法的方法的 流程图。因此,可在支持多个虚拟机或多个安全域的计算机系统中使 用方法300,以保护允许应用使用的秘密。方法300安全地维护虚拟 机或安全域与发送给处理装置的所有随后命令的指定一组秘密之间 的关联,直到将应用与这些秘密分离为止。在一些实施例中,方法300或其部分由控制器、处理器或电子系 统(其实施例如各图所示)执行。方法300不限于由特定类型的设备、 软件元素或系统来执行该方法。方法300中的各个动作可按示出的顺 序执行,也可按不同的顺序执行。而且,在一些实施例中,方法300 可省去图3中列出的一些动作。图中示出方法300从方框302开始,在方框302,监视器块(例 如图1中所示的映射系统208)监视从多个虚拟机或多个安全域发出 的命令。源自客户机的命令被识别为是由那些特定客户机发出的。在 方框302执行的方法生成实体选择信号以识别正在其中运行应用的 VM/SD,并在每次将命令发送到装置时将该标识传送到外围装置。 将标识符提供给装置中的客户机号映射218。方框304示出装置使用为该客户机识别的命令为该客户机处理 算法。可访问存储在高速緩存和系统存储器中的数据,但是存储在存 储器中的秘密仅可按客户机跟踪系统(客户机号映射218,见图2) 所允许的来进行访问。映射系统208和客户机号映射218对资源进行 控制以允许从操作系统(OS)或管理程序到装置的关于应当允许应 用使用装置中的哪些秘密和哪些命令的安全通信。方框306示出,通 过维护VM或SD与发送给装置的所有随后命令的指定一組秘密之间 的关联,直到将应用与这些秘密分离为止,而防止应用使用可能危及 系统安全性的秘密。在操作中,处本文档来自技高网...

【技术保护点】
一种具有认证能力的处理系统,包括: 第一客户机和第二客户机; 映射装置,用于接收由第一客户机和第二客户机发出的命令并生成将由第一客户机发出的命令从由第二客户机发出的命令中唯一识别出来的信号;以及 能够为第一客户机和第二客户 机访问存储数据的处理装置,其中,通过识别为来自第一客户机的命令所请求的操作局限于与之前指定给第一客户机的权利相关的数据,并且通过识别为来自第二客户机的命令所请求的操作局限于与之前指定给第二客户机的权利相关的数据。

【技术特征摘要】
【国外来华专利技术】2006.9.29 US 11/529,9871.一种具有认证能力的处理系统,包括第一客户机和第二客户机;映射装置,用于接收由第一客户机和第二客户机发出的命令并生成将由第一客户机发出的命令从由第二客户机发出的命令中唯一识别出来的信号;以及能够为第一客户机和第二客户机访问存储数据的处理装置,其中,通过识别为来自第一客户机的命令所请求的操作局限于与之前指定给第一客户机的权利相关的数据,并且通过识别为来自第二客户机的命令所请求的操作局限于与之前指定给第二客户机的权利相关的数据。2. 如权利要求1所述的处理系统,其中所迷唯一识别命令的信号 是专用信号。3. 如权利要求1所述的处理系统,其中所述用于接收由第一客户 机和第二客户机发出的命令的映射装置与所述处理装置嵌入在一起。4. 如权利要求1所述的处理系统,其中所述处理系统还包括通过 空中信号进行接收的收发器。5. 如权利要求1所述的处理系统,其中所述与之前指定给第一客 户机的权利相关的数据包括为第 一客户机预留的秘密。6. —种支持处理器中的多个活动应用的方法,包括将由第 一客户机发出的命令从由其他客户机发出的命令中识别 出来;以及使用为第 一客户机识别的、访问客户机跟踪系统所允许的用于第 一客户机的数据的命令来为第 一客户机处理算法,同时在处理所述算 法时,限制对数据的访问,并限制执行为其他客户机识别的命令。7. 如权利要求6所述的方法,其中将由第一客户机发出的命令从 由其他客户机发出的命令中识别出来还包括生成实体选择信号以识别第一客户机。8. 如权利要求7所述的方法,还包括在使用所述命令处理所述 算法之前,使用所述实体选择信号来...

【专利技术属性】
技术研发人员:D·M·奥康诺J·P·布里泽克
申请(专利权)人:英特尔公司
类型:发明
国别省市:US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1