專利名稱:使用固定令牌和可移動(dòng)令牌兩者的證明的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及用于創(chuàng)建和使用受保護(hù)密鑰二進(jìn)制大對(duì)象的方法、裝置和機(jī)器可讀介質(zhì)。
背景技術(shù):
2002年2月22日1.1b版的可信計(jì)算平臺(tái)聯(lián)盟(TCPA)主規(guī)范(以下稱為“TCPA SPEC”)描述了被附加于計(jì)算設(shè)備或平臺(tái)和/或要不然不能從計(jì)算設(shè)備或平臺(tái)上被移除的令牌或者可信平臺(tái)模塊(TPM)。這種固定令牌支持對(duì)軟件進(jìn)程、平臺(tái)引導(dǎo)完整性、文件完整性以及軟件授權(quán)的審計(jì)和日志記錄。另外,固定令牌提供受保護(hù)存儲(chǔ)器,其中項(xiàng)目能夠受到保護(hù)而免遭暴露或不適當(dāng)?shù)氖褂?,固定令牌還提供可以被用于證明的標(biāo)識(shí)。這些特征促進(jìn)了第三方準(zhǔn)許計(jì)算設(shè)備或者平臺(tái)訪問(wèn)信息,而這在其他情況下是會(huì)被拒絕的。
第三方可以利用遠(yuǎn)程計(jì)算設(shè)備來(lái)與使用固定令牌證明機(jī)制的計(jì)算設(shè)備建立一定水平的信任。但是,用以建立這種水平的信任的處理一般要求第三方的遠(yuǎn)程計(jì)算設(shè)備進(jìn)行復(fù)雜的計(jì)算并且參與和該固定令牌有關(guān)的復(fù)雜協(xié)議。但是,平臺(tái)的本地用戶可能還希望與本地平臺(tái)或計(jì)算設(shè)備建立類似水平的信任。然而,對(duì)于本地用戶要象遠(yuǎn)程計(jì)算設(shè)備一樣進(jìn)行同樣的復(fù)雜計(jì)算并參與和固定令牌有關(guān)的同樣的復(fù)雜協(xié)議以便建立對(duì)該計(jì)算設(shè)備的信任,這是不切實(shí)際的。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的一個(gè)方面,提出了一種方法,包括請(qǐng)求固定令牌創(chuàng)建包括了第一密鑰對(duì)和第一使用授權(quán)數(shù)據(jù)的被密封的密鑰二進(jìn)制大對(duì)象,其中為了使用所述第一密鑰對(duì)的私有密鑰需要對(duì)所述第一使用授權(quán)數(shù)據(jù)的知識(shí),以及請(qǐng)求可移動(dòng)令牌創(chuàng)建包括了所述被密封的密鑰二進(jìn)制大對(duì)象和第二使用授權(quán)數(shù)據(jù)的受保護(hù)密鑰二進(jìn)制大對(duì)象,其中為了從所述受保護(hù)密鑰二進(jìn)制大對(duì)象獲取所述被密封的密鑰二進(jìn)制大對(duì)象需要對(duì)所述第二使用授權(quán)數(shù)據(jù)的知識(shí)。
根據(jù)本發(fā)明的另一個(gè)方面,提出了一種機(jī)器可讀介質(zhì),包括多個(gè)指令,所述多個(gè)指令當(dāng)被執(zhí)行時(shí)使處理器請(qǐng)求可移動(dòng)令牌從包括使用授權(quán)數(shù)據(jù)的受保護(hù)密鑰二進(jìn)制大對(duì)象提供被密封的密鑰二進(jìn)制大對(duì)象,向所述可移動(dòng)令牌提供基于所述處理器具有的對(duì)于所述受保護(hù)密鑰二進(jìn)制大對(duì)象的使用授權(quán)數(shù)據(jù)的認(rèn)證代碼,以及僅當(dāng)所述認(rèn)證代碼表明所述處理器的所述使用授權(quán)數(shù)據(jù)與所述受保護(hù)密鑰二進(jìn)制大對(duì)象的所述授權(quán)數(shù)據(jù)具有預(yù)定關(guān)系時(shí),從所述可移動(dòng)令牌接收所述被密封的密鑰二進(jìn)制大對(duì)象。
根據(jù)本發(fā)明的另一個(gè)方面,提出了一種計(jì)算設(shè)備,包括固定令牌、可移動(dòng)令牌、可移動(dòng)令牌接口和處理器,所述固定令牌包括第一處理器單元和第一受保護(hù)存儲(chǔ)器,所述第一處理器單元響應(yīng)于確定了所述第一認(rèn)證代碼與被密封的密鑰二進(jìn)制大對(duì)象的第一使用授權(quán)數(shù)據(jù)具有預(yù)定關(guān)系,將所述被密封的密鑰二進(jìn)制大對(duì)象的第一密鑰對(duì)加載到所述第一受保護(hù)存儲(chǔ)器中,所述可移動(dòng)令牌包括第二處理單元和第二受保護(hù)存儲(chǔ)器,所述第二處理單元響應(yīng)于確定了第二認(rèn)證代碼與受保護(hù)密鑰二進(jìn)制大對(duì)象的第二使用授權(quán)數(shù)據(jù)具有預(yù)定關(guān)系,從所述受保護(hù)密鑰二進(jìn)制大對(duì)象返回所述被密封的密鑰二進(jìn)制大對(duì)象,所述可移動(dòng)令牌接口使得所述可移動(dòng)令牌能夠被耦合到所述計(jì)算設(shè)備并能夠從所述計(jì)算設(shè)備移除,所述處理器向所述可移動(dòng)令牌提供對(duì)所述被密封的密鑰二進(jìn)制大對(duì)象的請(qǐng)求,所述請(qǐng)求包括所述受保護(hù)密鑰二進(jìn)制大對(duì)象和所述第二認(rèn)證代碼,并且所述處理器向所述固定令牌提供加載所述第一密鑰對(duì)的請(qǐng)求,所述請(qǐng)求包括所述被密封的密鑰二進(jìn)制大對(duì)象和所述第一認(rèn)證代碼。
這里所描述的本發(fā)明是通過(guò)示例而不是限制的方式圖示于附圖中的。為了說(shuō)明的簡(jiǎn)潔和清楚,圖中所示部件不一定按比例繪制。例如,為了清晰,一些部件的尺寸可能相對(duì)于其他部件被夸大。另外,在認(rèn)為合適的地方,在圖之間重復(fù)標(biāo)號(hào)以表示對(duì)應(yīng)或者類似的元素。
圖1圖示了包括有固定令牌和可移動(dòng)令牌的示例計(jì)算設(shè)備;圖2圖示了圖1的示例固定令牌和示例可移動(dòng)令牌;圖3圖示了可利用圖1的計(jì)算設(shè)備實(shí)現(xiàn)的示例可信環(huán)境;圖4圖示了可以被圖1的計(jì)算設(shè)備用于本地證明的示例的被密封的密鑰二進(jìn)制大對(duì)象和示例的受保護(hù)的密鑰二進(jìn)制大對(duì)象;圖5圖示了創(chuàng)建圖4的受保護(hù)的密鑰二進(jìn)制大對(duì)象的示例方法;圖6圖示了加載圖4的受保護(hù)的密鑰二進(jìn)制大對(duì)象的密鑰的示例方法。
具體實(shí)施例方式
在以下詳細(xì)描述中,描述了很多具體細(xì)節(jié)以便提供對(duì)本發(fā)明的全面的理解。但是,本發(fā)明可以在不采用這些具體細(xì)節(jié)的條件下實(shí)現(xiàn)。在其他情況中,沒(méi)有詳細(xì)描述已知的方法、程序、組成部分以及電路以避免使本發(fā)明不清晰。另外,示例尺寸/模塊/值/范圍可能被給出,雖然一些實(shí)施例可以不限于這些具體示例。
說(shuō)明書(shū)中提到的“一個(gè)實(shí)施例”、“實(shí)施例”、“示例實(shí)施例”等表示所描述的實(shí)施例可以包括具體特征、結(jié)構(gòu)或者特性,但是每個(gè)實(shí)施例未必包括該具體特征、結(jié)構(gòu)或者特性。而且,這樣的措詞未必指的是同一個(gè)實(shí)施例。另外,雖然具體特征、結(jié)構(gòu)或者特性是結(jié)合一個(gè)實(shí)施例描述的,但是應(yīng)該認(rèn)為不論是否被明確地描述,本領(lǐng)域技術(shù)人員都知道如何使這樣的特征、結(jié)構(gòu)或者特性結(jié)合其他實(shí)施例起作用。
另外,術(shù)語(yǔ)“二進(jìn)制大對(duì)象”(binarv large object,blob)常用于數(shù)據(jù)庫(kù)領(lǐng)域,指以數(shù)據(jù)庫(kù)本身不能解釋的形式需要被存儲(chǔ)于數(shù)據(jù)庫(kù)中的任何隨機(jī)的大塊二進(jìn)制數(shù)字。但是,術(shù)語(yǔ)“二進(jìn)制大對(duì)象”用在這里意思是具有更廣的范圍。具體而言,術(shù)語(yǔ)“二進(jìn)制大對(duì)象”被規(guī)定為廣義的術(shù)語(yǔ),它包含了不論結(jié)構(gòu)、格式、表示法或者大小的一個(gè)或者多個(gè)二進(jìn)制數(shù)字的任何分組。
此外,動(dòng)詞“散列”以及相關(guān)形式在這里被用來(lái)指基于操作數(shù)或者消息進(jìn)行操作以產(chǎn)生值或者“散列”。理論上,散列操作生成散列,由該散列不能推算找出與該散列相關(guān)的消息,并且不能由其判斷出有關(guān)與該散列相關(guān)消息的任何有用信息。另外,散列操作理論上生成散列,使得不可能通過(guò)推算判斷出產(chǎn)生同樣的散列的兩個(gè)消息。盡管散列操作理論上具有以上性質(zhì),但是實(shí)際上例如消息摘要5算法(MD5)和安全散列算法1(SHA-1)的單向函數(shù)生成從其還原消息是困難的、計(jì)算上繁復(fù)并且/或者實(shí)際上不可行的散列值。
此外,術(shù)語(yǔ)“第一”、“第二”、“第三”等用在這里作為標(biāo)記以區(qū)別類似地命名的組成部分和/或操作。具體而言,這樣的術(shù)語(yǔ)不用來(lái)表示也不意圖要表示組成部分和/或操作的順序。另外,這樣的術(shù)語(yǔ)不用來(lái)表示也不意圖要表示一個(gè)組成部分和/或操作具有比另一個(gè)更高的重要性。
現(xiàn)在參照?qǐng)D1,示出了示例計(jì)算設(shè)備100。計(jì)算設(shè)備100可以包括一個(gè)或多個(gè)處理器1021...102P。處理器1021...102P可支持一個(gè)或者多個(gè)操作模式,例如,實(shí)模式、保護(hù)模式、虛擬8086模式以及虛擬機(jī)擴(kuò)展模式(VMX模式)。另外,處理器1021...102P可以在每個(gè)所支持的操作模式中支持一個(gè)或者多個(gè)特權(quán)等級(jí)或環(huán)。一般而言,處理器1021...102P的操作模式和特權(quán)等級(jí)確定了可以用于執(zhí)行的指令以及執(zhí)行這樣的指令的效果。更具體地說(shuō),僅當(dāng)處理器1021...102P處于合適的模式和/或特權(quán)等級(jí)的時(shí)候,處理器1021...102P才可以被允許執(zhí)行某些被授予特權(quán)的指令。
芯片組104可以包括一個(gè)或者多個(gè)集成電路組件或者芯片,將處理器1021...102P耦合到存儲(chǔ)器106、網(wǎng)絡(luò)接口108、固定令牌110、可移動(dòng)令牌112以及該計(jì)算設(shè)備100的其他I/O設(shè)備114,例如,鼠標(biāo)、鍵盤、磁盤驅(qū)動(dòng)器、視頻控制器等。芯片組104可以包括用于向存儲(chǔ)器106寫(xiě)入數(shù)據(jù)或者從中讀取數(shù)據(jù)的存儲(chǔ)器控制器(未示出)。另外,芯片組104和/或處理器1021...102P可以將存儲(chǔ)器106的某些區(qū)域確定為受保護(hù)存儲(chǔ)器116。在一個(gè)實(shí)施例中,處理器1021...102P僅當(dāng)處于特定操作模式(例如,保護(hù)模式)和特權(quán)等級(jí)(例如,0P)時(shí)才可以訪問(wèn)受保護(hù)存儲(chǔ)器116。
網(wǎng)絡(luò)接口108一般為計(jì)算設(shè)備100提供通信機(jī)構(gòu)以通過(guò)網(wǎng)絡(luò)120與一個(gè)或者多個(gè)遠(yuǎn)程代理1181...118R(例如,認(rèn)證中心、零售商、金融機(jī)構(gòu))通信。例如,網(wǎng)絡(luò)接口108可包括千兆位以太網(wǎng)控制器、有線調(diào)制解調(diào)器、數(shù)字用戶線路(DSL)調(diào)制解調(diào)器、普通老式電話服務(wù)(POTS)調(diào)制解調(diào)器等來(lái)將計(jì)算設(shè)備100耦合到一個(gè)或者多個(gè)遠(yuǎn)程代理1181...118R。
固定令牌110可被附加或者結(jié)合到計(jì)算設(shè)備100中以向遠(yuǎn)程代理1181...118R和/或本地用戶保證固定令牌110只與計(jì)算設(shè)備100相關(guān)聯(lián)。例如,固定令牌110可被結(jié)合到芯片組104的一個(gè)芯片中和/或被表面貼裝到計(jì)算設(shè)備100的主板(未示出)。一般而言,固定令牌1 10可包括對(duì)量度(metric)、密鑰和秘密的受保護(hù)存儲(chǔ),并可響應(yīng)于來(lái)自處理器1021...102P以及芯片組104的請(qǐng)求進(jìn)行各種完整性功能。在一個(gè)實(shí)施例中,固定令牌110可以以可信方式存儲(chǔ)量度,可以以可信方式引用量度,可以將秘密密封到特定環(huán)境(當(dāng)前或者將來(lái))中,并可對(duì)密封秘密的環(huán)境解封秘密。另外,固定令牌110可以加載被密封的密鑰二進(jìn)制大對(duì)象的密鑰并可以建立會(huì)話,使得請(qǐng)求者能夠使用與所建立的會(huì)話相關(guān)的密鑰進(jìn)行操作。
可移動(dòng)令牌112可通過(guò)計(jì)算設(shè)備100的可移動(dòng)令牌接口122建立到處理器1021...102P的鏈接??梢苿?dòng)接口122可包括端口(例如,USB端口、IEEE 1394端口、串行端口、并行端口)、插槽(例如,讀卡器、PC卡插槽等)、收發(fā)器(例如,射頻收發(fā)器、紅外收發(fā)器等)和/或使得可移動(dòng)令牌112能夠方便地被耦合到計(jì)算設(shè)備100并從其上被移除的一些其他接口機(jī)構(gòu)。與固定令牌類似,可移動(dòng)令牌112可以包括對(duì)密鑰和秘密的受保護(hù)存儲(chǔ)器,并可以響應(yīng)于來(lái)自處理器1021...102P和芯片組104的請(qǐng)求完成各種完整性功能。在一個(gè)實(shí)施例中,可移動(dòng)令牌112可以加載被密封的密鑰二進(jìn)制大對(duì)象的密鑰,并可以建立會(huì)話,使得請(qǐng)求者能夠使用與所建立的會(huì)話相關(guān)的密鑰進(jìn)行操作。另外,可移動(dòng)令牌112可以改變與被密封的密鑰二進(jìn)制大對(duì)象相關(guān)的使用授權(quán)數(shù)據(jù),并可以在確定請(qǐng)求者被授權(quán)接收被密封的密鑰二進(jìn)制大對(duì)象之后返回受保護(hù)密鑰二進(jìn)制大對(duì)象的被密封的密鑰二進(jìn)制大對(duì)象。
如圖2所示,固定令牌110可以包括一個(gè)或者多個(gè)處理單元200、隨機(jī)數(shù)生成器202以及受保護(hù)存儲(chǔ)器204,其中受保護(hù)存儲(chǔ)器204可以包括密鑰206、秘密208和/或一個(gè)或多個(gè)用于量度的平臺(tái)配置寄存器(PCR)寄存器210。類似地,可移動(dòng)令牌112可包括一個(gè)或多個(gè)處理單元212、隨機(jī)數(shù)生成器214和受保護(hù)存儲(chǔ)器216,其中受保護(hù)存儲(chǔ)器216可以包括密鑰218和/或秘密220。處理單元200、212可以為計(jì)算設(shè)備100完成完整性功能,例如,生成和/或計(jì)算對(duì)稱和非對(duì)稱的密鑰。在一個(gè)實(shí)施例中,處理單元200、212可以使用所生成的密鑰來(lái)加密和/或標(biāo)記信息。另外,處理單元200、212可基于AES(先進(jìn)加密標(biāo)準(zhǔn))、DES(數(shù)據(jù)加密標(biāo)準(zhǔn))、3DES(三倍數(shù)據(jù)加密標(biāo)準(zhǔn))或者以由隨機(jī)數(shù)生成器202、214所生成的隨機(jī)數(shù)為種子的一些其他的對(duì)稱密鑰生成算法來(lái)生成對(duì)稱密鑰。類似地,處理單元200、212可基于RSA(Rivest-Shamir-Adleman)、EC(橢圓曲線)或者以由隨機(jī)數(shù)生成器202、214所生成的隨機(jī)數(shù)為種子的一些其他的非對(duì)稱密鑰對(duì)生成算法來(lái)生成非對(duì)稱密鑰對(duì)。
在一個(gè)實(shí)施例中,固定令牌110和可移動(dòng)令牌112都可從以其各自的隨機(jī)數(shù)生成器202、214所生成的隨機(jī)數(shù)為種子的對(duì)稱和非對(duì)稱密鑰生成算法生成不可改變的對(duì)稱密鑰和/或非對(duì)稱密鑰對(duì)。一般而言,這些不可改變的密鑰一旦被令牌110、112激活之后就不能被改變。由于不可改變的密鑰在激活之后不能被改變,所以不可改變的密鑰可被用于唯一地標(biāo)識(shí)各自令牌110、112的機(jī)制的一部分。除了不可改變的密鑰,處理單元200、212還可以按照非對(duì)稱密鑰生成算法生成一個(gè)或者多個(gè)補(bǔ)充的非對(duì)稱密鑰對(duì)。在一個(gè)示例的實(shí)施例中,盡管不可改變的非對(duì)稱密鑰對(duì)一旦被激活就不可被改變,計(jì)算設(shè)備100可根據(jù)需要生成補(bǔ)充的非對(duì)稱密鑰對(duì)。為了減少將不可改變的非對(duì)稱密鑰暴露給外界攻擊,對(duì)于大多數(shù)加密、解密以及標(biāo)記操作,計(jì)算設(shè)備100一般都使用其補(bǔ)充的非對(duì)稱密鑰對(duì)。具體而言,計(jì)算設(shè)備100一般僅向一組小規(guī)模的可信實(shí)體,例如,認(rèn)證中心提供不可改變的公共密鑰。另外,在一個(gè)實(shí)施例中計(jì)算設(shè)備100的固定令牌110從不向請(qǐng)求者提供不可改變的私有密鑰,在利用它的一個(gè)不可改變的公共密鑰和/或它的一個(gè)其他補(bǔ)充的非對(duì)稱密鑰對(duì)其加密之后,僅向請(qǐng)求者提供可改變的私有密鑰。
因此,可以有理由向?qū)嶓w保證用一個(gè)補(bǔ)充公共密鑰或一個(gè)不可改變的公共密鑰加密的信息只能用相應(yīng)的令牌110、112解密或者由在相應(yīng)的令牌110、112授權(quán)下的實(shí)體解密。另外,可移動(dòng)令牌112可向計(jì)算設(shè)備100和/或遠(yuǎn)程代理1181...118R提供一些保證,確保與可移動(dòng)令牌112相關(guān)的用戶出現(xiàn)在或者位于或者鄰近計(jì)算設(shè)備100。由于可移動(dòng)令牌112的唯一性以及因?yàn)榧僭O(shè)了該用戶正控制著該可移動(dòng)令牌112,計(jì)算設(shè)備100和/或遠(yuǎn)程代理1181...118R可以有理由假設(shè)可移動(dòng)令牌112的用戶出現(xiàn)了或者該用戶已經(jīng)授權(quán)了其他人使用該可移動(dòng)令牌112。
固定令牌110的一個(gè)或者多個(gè)PCR寄存器210可被用來(lái)以可信方式記錄和報(bào)告量度。為此,處理單元200可支持PCR引用操作,該操作返回被標(biāo)識(shí)的PCR寄存器210的引用或者其內(nèi)容。處理單元200還可支持PCR擴(kuò)展操作,該操作在被標(biāo)識(shí)的PCR寄存器210中記錄所接收的量度。具體而言,PCR擴(kuò)展操作可以(1)將接收到的量度連接或者添加到被存儲(chǔ)在被標(biāo)識(shí)的PCR寄存器210中的量度上以獲取被添加的量度,(2)散列該被添加的量度以獲取代表了所接收的量度和先前由被識(shí)別的PCR寄存器210所記錄的量度的更新的量度,并且(3)將該更新的量度存儲(chǔ)在PCR寄存器210中。
在一個(gè)實(shí)施例中固定令牌110和可移動(dòng)令牌112都提供對(duì)于在請(qǐng)求者和令牌110、112之間建立會(huì)話的支持。具體而言,在一個(gè)實(shí)施例中固定令牌110和可移動(dòng)令牌112都履行了TCPA SPEC中所描述的針對(duì)對(duì)象的認(rèn)證協(xié)議(Object-Specific Authentication Protocol,OS-AP)以建立會(huì)話。另外,固定令牌110和可移動(dòng)令牌112都履行了TCPA SPEC的TPM OSAP操作,結(jié)果使令牌110、112按照OS-AP協(xié)議建立了會(huì)話。一般,OS-AP協(xié)議要求請(qǐng)求者提供標(biāo)識(shí)令牌110、112的密鑰的密鑰句柄。密鑰句柄僅僅是表明密鑰被加載的標(biāo)簽以及用來(lái)定位被加載的密鑰的機(jī)制。令牌110、112然后向請(qǐng)求者提供授權(quán)句柄,該授權(quán)句柄標(biāo)識(shí)了密鑰和從與該密鑰相關(guān)的使用授權(quán)數(shù)據(jù)計(jì)算出的共享秘密。當(dāng)使用會(huì)話時(shí),請(qǐng)求者向令牌110、112提供授權(quán)句柄和消息認(rèn)證代碼(MAC),這兩者都提供了擁有與密鑰相關(guān)的使用授權(quán)數(shù)據(jù)的證據(jù)和對(duì)消息/請(qǐng)求的參數(shù)的證明。在一個(gè)實(shí)施例中,請(qǐng)求者和令牌110、112還基于滾動(dòng)現(xiàn)時(shí)標(biāo)志(nonce)范例計(jì)算認(rèn)證代碼,其中請(qǐng)求者和令牌110、112都生成了被包括在請(qǐng)求及其應(yīng)答中的隨機(jī)值或者現(xiàn)時(shí)標(biāo)志,以便幫助防止重放攻擊。
固定令牌110的處理單元200還可以支持密封操作。密封操作一般使得固定令牌110將二進(jìn)制大對(duì)象密封到規(guī)定的環(huán)境,并向請(qǐng)求部件,例如,監(jiān)視器302、內(nèi)核312、可信小應(yīng)用程序314、操作系統(tǒng)308和/或應(yīng)用程序310提供被密封的二進(jìn)制大對(duì)象。具體而言,請(qǐng)求部件可以建立對(duì)于固定令牌110的非對(duì)稱密鑰對(duì)的會(huì)話。請(qǐng)求部件還可通過(guò)所建立的會(huì)話向固定令牌110提供要被密封的二進(jìn)制大對(duì)象、一個(gè)或多個(gè)標(biāo)識(shí)了對(duì)其密封二進(jìn)制大對(duì)象的PCR寄存器210的索引以及被標(biāo)識(shí)的PCR寄存器210的期望的量度。固定令牌110可生成密封記錄、證據(jù)值以及還可能生成二進(jìn)制大對(duì)象對(duì)其密封的敏感數(shù)據(jù),其中所述密封記錄規(guī)定了環(huán)境標(biāo)準(zhǔn)(例如,對(duì)被標(biāo)識(shí)PCR寄存器210的引用),所述證據(jù)值以后可被固定令牌110用來(lái)驗(yàn)證該固定令牌110創(chuàng)建了被密封的二進(jìn)制大對(duì)象。固定令牌110還可以散列二進(jìn)制大對(duì)象的一個(gè)或者多個(gè)部分以獲取證明該二進(jìn)制大對(duì)象的一個(gè)或多個(gè)被散列部分的完整性的摘要值。固定令牌110然后可以使用非對(duì)稱加密算法和所建立的會(huì)話的公共密鑰,通過(guò)對(duì)例如使用授權(quán)數(shù)據(jù)、私有密鑰以及摘要值的二進(jìn)制大對(duì)象敏感部分進(jìn)行加密,來(lái)生成被密封的二進(jìn)制大對(duì)象。固定令牌110然后可向請(qǐng)求部件提供被密封的二進(jìn)制大對(duì)象。
固定令牌110的處理單元200還可支持解封操作。解封操作一般使得固定令牌110僅當(dāng)二進(jìn)制大對(duì)象是利用該固定令牌110的密鑰被密封的,并且當(dāng)前環(huán)境滿足了對(duì)該被密封的二進(jìn)制大對(duì)象規(guī)定的標(biāo)準(zhǔn)的時(shí)候,才解封二進(jìn)制大對(duì)象。具體而言,請(qǐng)求部件可以對(duì)固定令牌110的非對(duì)稱密鑰對(duì)建立會(huì)話,并可以通過(guò)所建立的會(huì)話向固定令牌110提供被密封的二進(jìn)制大對(duì)象。固定令牌110可以使用所建立的會(huì)話的私有密鑰對(duì)該被密封的二進(jìn)制大對(duì)象的一個(gè)或者多個(gè)部分解密。如果私有密鑰對(duì)應(yīng)被用來(lái)密封被密封的二進(jìn)制大對(duì)象的公共密鑰,則固定令牌110可從該二進(jìn)制大對(duì)象獲取被加密的數(shù)據(jù)的純文本譯文。否則,固定令牌會(huì)遇到出錯(cuò)狀態(tài)并且/或者會(huì)得到被加密的數(shù)據(jù)的被破壞的表達(dá)。固定令牌還可散列二進(jìn)制大對(duì)象的一個(gè)或者多個(gè)部分以得到該二進(jìn)制大對(duì)象的計(jì)算的摘要值。響應(yīng)于確定了計(jì)算的摘要值等于從被密封的二進(jìn)制大對(duì)象獲取的摘要值、PCR寄存器210的量度滿足了由從被密封的二進(jìn)制大對(duì)象獲取的密封記錄所規(guī)定的標(biāo)準(zhǔn)并且證據(jù)值表明固定令牌創(chuàng)建了被密封的二進(jìn)制大對(duì)象,固定令牌110然后可以將該二進(jìn)制大對(duì)象返回到請(qǐng)求部件。否則,固定令牌110可以放棄解封操作并從固定令牌110上擦除二進(jìn)制大對(duì)象、密封記錄、摘要值以及計(jì)算的摘要值。
以上示例的密封和解封操作通過(guò)非對(duì)稱密碼算法使用公共密鑰來(lái)密封二進(jìn)制大對(duì)象并使用私有密鑰來(lái)解封二進(jìn)制大對(duì)象。但是,固定令牌可以使用對(duì)稱密碼算法用單個(gè)密鑰來(lái)密封二進(jìn)制大對(duì)象和解封二進(jìn)制大對(duì)象。例如,固定令牌110可包括被用來(lái)通過(guò)例如DES、3DES、AES和/或其他算法的對(duì)稱密碼算法來(lái)密封和解封二進(jìn)制大對(duì)象的嵌入的密鑰。
應(yīng)該認(rèn)識(shí)到,固定令牌110和可移動(dòng)令牌112可以若干不同的方式來(lái)實(shí)現(xiàn)。例如,固定令牌110和可移動(dòng)令牌112可以類似于TCPA SPEC中所詳細(xì)描述的可信平臺(tái)模塊(TPM)的方式實(shí)現(xiàn)。但是,特征和功能顯著少于TCPA SPEC的TPM的可移動(dòng)令牌的低成本實(shí)現(xiàn)可能適于一些使用模型,例如本地證明。另外,固定令牌110和可移動(dòng)令牌112可以以超出以上所描述的OS-AP協(xié)議的若干不同的方式來(lái)建立會(huì)話和/或授權(quán)其密鑰的使用。
圖3示出了一個(gè)示例的可信環(huán)境300。計(jì)算設(shè)備100可利用處理器1021...102P的操作模式和特權(quán)等級(jí)來(lái)建立該可信環(huán)境300。如所示的,可信環(huán)境300可以包括可信虛擬機(jī)內(nèi)核或者監(jiān)視器302、一個(gè)或者多個(gè)標(biāo)準(zhǔn)虛擬機(jī)(標(biāo)準(zhǔn)VM)304以及一個(gè)或者多個(gè)可信虛擬機(jī)(可信VM)306。可信環(huán)境300的監(jiān)視器302在最高特權(quán)處理器環(huán)(例如0P)上在保護(hù)模式中執(zhí)行,以管理虛擬機(jī)304、306之間的安全和特權(quán)屏障。
標(biāo)準(zhǔn)VM 304可包括在VMX模式的最高特權(quán)處理器環(huán)(例如,0D)上執(zhí)行的操作系統(tǒng)308和在VMX模式的較低的特權(quán)處理器環(huán)(例如,3D)上執(zhí)行的一個(gè)或者多個(gè)應(yīng)用程序310。由于監(jiān)視器302執(zhí)行于其中的處理器環(huán)具有比操作系統(tǒng)308執(zhí)行于其中的處理器環(huán)具有更高的特權(quán),所以操作系統(tǒng)308并不具有對(duì)計(jì)算設(shè)備100的絕對(duì)控制權(quán),而是受到監(jiān)視器302的控制和約束。具體而言,監(jiān)視器302可防止操作系統(tǒng)308及其應(yīng)用程序310訪問(wèn)受保護(hù)存儲(chǔ)器116以及固定令牌110。
監(jiān)視器302可對(duì)內(nèi)核312進(jìn)行一種或者多種測(cè)量,例如對(duì)內(nèi)核代碼的散列,以獲取一個(gè)或者多個(gè)量度,監(jiān)視器302可以使固定令牌利用可信內(nèi)核3 12的量度擴(kuò)展被標(biāo)識(shí)的PCR寄存器210,以及可以將量度記錄在存儲(chǔ)于受保護(hù)存儲(chǔ)器116內(nèi)的相關(guān)的PCR的日志中。另外,監(jiān)視器302可以在受保護(hù)存儲(chǔ)器116中建立可信VM 306并在所建立的可信VM 306中裝入可信內(nèi)核312。
類似地,可信內(nèi)核312可以對(duì)小應(yīng)用程序或應(yīng)用程序314進(jìn)行一種或者多種測(cè)量,例如對(duì)小應(yīng)用程序代碼的散列,以獲取一個(gè)或者多個(gè)量度。通過(guò)監(jiān)視器302,可信內(nèi)核312然后可以使固定令牌110利用小應(yīng)用程序314的量度擴(kuò)展被標(biāo)識(shí)PCR寄存器210。可信內(nèi)核312還可以將量度記錄在存儲(chǔ)于受保護(hù)存儲(chǔ)器116內(nèi)的相關(guān)的PCR的日志中。另外,可信內(nèi)核312可以在受保護(hù)存儲(chǔ)器116的所建立的可信VM 306中裝入可信小應(yīng)用程序314。
響應(yīng)于創(chuàng)立圖3的可信環(huán)境300,計(jì)算設(shè)備100還可以記錄監(jiān)視器302、處理器1021...102P、芯片組104、BIOS固件(未示出)和/或計(jì)算設(shè)備100的其他硬件/軟件部件的量度。另外,計(jì)算設(shè)備100可以響應(yīng)于例如系統(tǒng)啟動(dòng)、應(yīng)用程序請(qǐng)求、操作系統(tǒng)請(qǐng)求等的各種事件創(chuàng)立可信環(huán)境300。
現(xiàn)在參照?qǐng)D4,示出了可以被用于本地證明的被密封的密鑰二進(jìn)制大對(duì)象400和受保護(hù)密鑰二進(jìn)制大對(duì)象402。如所描繪的,被密封的密鑰二進(jìn)制大對(duì)象400可以包括一個(gè)或者多個(gè)完整性數(shù)據(jù)區(qū)404和一個(gè)或者多個(gè)加密數(shù)據(jù)區(qū)406。完整性數(shù)據(jù)區(qū)404可以包括公共密鑰408、密封記錄410,并且可能還有其他非敏感數(shù)據(jù),例如輔助標(biāo)識(shí)二進(jìn)制大對(duì)象和/或加載二進(jìn)制大對(duì)象的密鑰的二進(jìn)制大對(duì)象頭。另外,加密數(shù)據(jù)區(qū)406可包括使用授權(quán)數(shù)據(jù)412、私有密鑰414以及摘要值416。完整性數(shù)據(jù)區(qū)404的密封記錄410可以表明非對(duì)稱密鑰對(duì)408、414對(duì)哪些PCR寄存器210、相應(yīng)的量度、證據(jù)值以及可能的其他敏感數(shù)據(jù)密封。另外,摘要值416可證明完整性數(shù)據(jù)區(qū)404的數(shù)據(jù)并還可證明加密數(shù)據(jù)區(qū)406的數(shù)據(jù),以幫助防止通過(guò)改變被密封的密鑰二進(jìn)制大對(duì)象400的一個(gè)或者多個(gè)部分來(lái)獲取對(duì)加密數(shù)據(jù)區(qū)406數(shù)據(jù)的訪問(wèn)的攻擊。在一個(gè)實(shí)施例中,摘要值416可通過(guò)對(duì)完整性數(shù)據(jù)區(qū)404、使用授權(quán)數(shù)據(jù)412和私有密鑰414進(jìn)行散列來(lái)生成。在一個(gè)實(shí)施例中,數(shù)據(jù)以純文本或者不加密的形式被存儲(chǔ)在完整性數(shù)據(jù)區(qū)404中,這樣使得完整性數(shù)據(jù)區(qū)的數(shù)據(jù)被讀取或者改變而不需要密鑰來(lái)解密數(shù)據(jù)。另外,在一個(gè)實(shí)施例中加密數(shù)據(jù)區(qū)406的數(shù)據(jù)利用固定令牌110的公共密鑰206被加密。如參照?qǐng)D6所詳細(xì)描述的,沒(méi)有與固定令牌110建立會(huì)話以使用對(duì)應(yīng)于被用來(lái)對(duì)數(shù)據(jù)加密的公共密鑰206的私有密鑰206,請(qǐng)求部件就不能成功地將被密封的密鑰二進(jìn)制大對(duì)象400的非對(duì)稱密鑰對(duì)408、414加載到固定令牌110中。另外,沒(méi)有向固定令牌110提供對(duì)于被密封的密鑰二進(jìn)制大對(duì)象400的使用授權(quán)數(shù)據(jù)412或者對(duì)具有使用授權(quán)數(shù)據(jù)412的證明以及滿足了由密封記錄410所規(guī)定的標(biāo)準(zhǔn)的環(huán)境,請(qǐng)求部件就不能成功地加載非對(duì)稱密鑰對(duì)408、416。
受保護(hù)密鑰二進(jìn)制大對(duì)象402可以包括一個(gè)或者多個(gè)完整性數(shù)據(jù)區(qū)418和一個(gè)或者多個(gè)加密數(shù)據(jù)區(qū)420。完整性數(shù)據(jù)區(qū)418可以包括非敏感數(shù)據(jù),例如輔助標(biāo)識(shí)二進(jìn)制大對(duì)象的二進(jìn)制大對(duì)象頭。另外,加密數(shù)據(jù)區(qū)420可以包括使用授權(quán)數(shù)據(jù)422、被密封的密鑰二進(jìn)制大對(duì)象400和摘要值424。摘要值424可證明完整性數(shù)據(jù)區(qū)418的數(shù)據(jù)并還可證明加密數(shù)據(jù)區(qū)420的數(shù)據(jù),以幫助防止通過(guò)改變受保護(hù)密鑰二進(jìn)制大對(duì)象402的一個(gè)或者多個(gè)部分來(lái)獲取對(duì)加密數(shù)據(jù)區(qū)420數(shù)據(jù)的訪問(wèn)的攻擊。在一個(gè)實(shí)施例中,摘要值424可通過(guò)對(duì)完整性數(shù)據(jù)區(qū)418、被密封的密鑰二進(jìn)制大對(duì)象400以及使用授權(quán)數(shù)據(jù)422進(jìn)行散列而生成。在一個(gè)實(shí)施例中,數(shù)據(jù)以純文本或者非加密的形式被存儲(chǔ)于完整性數(shù)據(jù)區(qū)418中,這樣使得完整性數(shù)據(jù)區(qū)的數(shù)據(jù)被讀取或者改變而不需要密鑰來(lái)解密數(shù)據(jù)。另外,在一個(gè)實(shí)施例中利用可移動(dòng)令牌112的公共密鑰216對(duì)加密數(shù)據(jù)區(qū)420的數(shù)據(jù)加密。如參照?qǐng)D6所詳細(xì)描述的,沒(méi)有與可移動(dòng)令牌112建立會(huì)話以使用對(duì)應(yīng)的私有密鑰216,請(qǐng)求部件就不能成功地從受保護(hù)密鑰二進(jìn)制大對(duì)象402獲取被密封的密鑰二進(jìn)制大對(duì)象400。另外,沒(méi)有向可移動(dòng)令牌112提供對(duì)于受保護(hù)密鑰二進(jìn)制大對(duì)象402的使用授權(quán)數(shù)據(jù)422或者具有使用授權(quán)數(shù)據(jù)422的證據(jù),請(qǐng)求部件就不能成功地獲取被密封的密鑰二進(jìn)制大對(duì)象400。
現(xiàn)在參照?qǐng)D5和圖6,示出了創(chuàng)建受保護(hù)密鑰二進(jìn)制大對(duì)象402的方法和使用被密封的密鑰二進(jìn)制大對(duì)象的方法。一般,圖5和圖6的方法由請(qǐng)求者啟動(dòng)。為了簡(jiǎn)化下面的描述,假設(shè)請(qǐng)求者是監(jiān)視器302。但是,請(qǐng)求者可以是例如在監(jiān)視器302允許下的可信內(nèi)核312和/或可信小應(yīng)用程序314的其他模塊。另外,以下描述假設(shè)請(qǐng)求者和令牌110、112已經(jīng)具有標(biāo)識(shí)存儲(chǔ)于受保護(hù)存儲(chǔ)器204、216中的密鑰206、218的一個(gè)或者多個(gè)密鑰句柄和相關(guān)的使用授權(quán)數(shù)據(jù)。例如,作為以前執(zhí)行的密鑰創(chuàng)建和/或密鑰加載命令的結(jié)果,請(qǐng)求者和令牌110、112可以已經(jīng)獲取了這些信息。具體而言,以下描述假設(shè)請(qǐng)求者能夠成功地建立會(huì)話以使用令牌110、112的密鑰對(duì)。但是,應(yīng)該認(rèn)識(shí)到如果請(qǐng)求者沒(méi)有被授權(quán)使用密鑰對(duì),則請(qǐng)求者將不能建立會(huì)話,從而將不能使用這樣的密鑰對(duì)生成對(duì)應(yīng)的密鑰二進(jìn)制大對(duì)象并且將不能加載利用這樣的密鑰對(duì)創(chuàng)建的密鑰二進(jìn)制大對(duì)象的密鑰對(duì)。
圖5中示出了生成圖4的被密封的密鑰二進(jìn)制大對(duì)象的方法。在框500中,監(jiān)視器302和固定令牌110可為固定令牌110的非對(duì)稱密鑰對(duì)建立會(huì)話,所述非對(duì)稱密鑰對(duì)包括存儲(chǔ)于固定令牌110的受保護(hù)存儲(chǔ)器204中的私有密鑰206和對(duì)應(yīng)的公共密鑰206。在框502中,監(jiān)視器302可通過(guò)所建立的會(huì)話請(qǐng)求固定令牌110創(chuàng)建被密封的密鑰二進(jìn)制大對(duì)象400。具體而言,監(jiān)視器302可以向固定令牌110提供對(duì)于被密封的密鑰二進(jìn)制大對(duì)象400的使用授權(quán)數(shù)據(jù)412。另外,監(jiān)視器302可以向固定令牌110提供標(biāo)識(shí)了固定令牌110將被密封的密鑰二進(jìn)制大對(duì)象400的密鑰408、414密封到其中的PCR寄存器210的一個(gè)或多個(gè)索引或者標(biāo)識(shí),并可向固定令牌110提供預(yù)期被存儲(chǔ)于被標(biāo)識(shí)的PCR寄存器210中的量度。
在框504中,固定令牌110可以創(chuàng)建并返回所請(qǐng)求的被密封的密鑰二進(jìn)制大對(duì)象400。具體而言,固定令牌110可以生成包括了私有密鑰414和對(duì)應(yīng)的公共密鑰408的非對(duì)稱密鑰對(duì)408、414,并可以將非對(duì)稱密鑰對(duì)408、414存儲(chǔ)于其受保護(hù)存儲(chǔ)器204中。另外,固定令牌110可將非對(duì)稱密鑰對(duì)408、414以及使用授權(quán)數(shù)據(jù)412密封到由被監(jiān)視器302標(biāo)識(shí)的PCR寄存器210的量度所規(guī)定的環(huán)境。密封的結(jié)果是,固定令牌110可生成標(biāo)識(shí)了PCR寄存器210的密封記錄410、被標(biāo)識(shí)的PCR寄存器210的量度、證據(jù)值以及證明非對(duì)稱密鑰對(duì)408、414、使用授權(quán)數(shù)據(jù)412和密封記錄410的摘要值416。固定令牌110還可通過(guò)利用所建立的會(huì)話的公共密鑰206,對(duì)被密封的密鑰二進(jìn)制大對(duì)象400的私有密鑰414、使用授權(quán)數(shù)據(jù)412、摘要值416以及任何其他敏感數(shù)據(jù)加密,來(lái)創(chuàng)建被密封的密鑰二進(jìn)制大對(duì)象400的加密數(shù)據(jù)區(qū)406。通過(guò)利用會(huì)話的公共密鑰206創(chuàng)建加密數(shù)據(jù)區(qū)406,固定令牌110可以防止對(duì)該加密數(shù)據(jù)區(qū)406的數(shù)據(jù)的訪問(wèn),因?yàn)檫@些數(shù)據(jù)只可利用固定令牌110控制之下的對(duì)應(yīng)的私有密鑰206來(lái)解密。固定令牌110然后可將所請(qǐng)求的被密封的密鑰二進(jìn)制大對(duì)象400返回給監(jiān)視器302。
在框506中,監(jiān)視器302和可移動(dòng)令牌112可以為包括了存儲(chǔ)于可移動(dòng)令牌112的受保護(hù)存儲(chǔ)器216中的私有密鑰218和對(duì)應(yīng)的公共密鑰218的非對(duì)稱密鑰對(duì)建立會(huì)話。在框508中,監(jiān)視器302可以通過(guò)所建立的會(huì)話請(qǐng)求可移動(dòng)令牌112從被密封的密鑰二進(jìn)制大對(duì)象400生成具有使用授權(quán)數(shù)據(jù)422的受保護(hù)密鑰二進(jìn)制大對(duì)象402。具體而言,監(jiān)視器302可以向可移動(dòng)令牌112提供被密封的密鑰二進(jìn)制大對(duì)象400和使用授權(quán)數(shù)據(jù)422。
在框510中,可移動(dòng)令牌112可以創(chuàng)建并返回所請(qǐng)求的受保護(hù)密鑰二進(jìn)制大對(duì)象402。具體而言,可移動(dòng)令牌112可將使用授權(quán)數(shù)據(jù)422和被密封的密鑰二進(jìn)制大對(duì)象400密封到可移動(dòng)令牌112。密封的結(jié)果是,可移動(dòng)令牌112可以生成證明使用授權(quán)數(shù)據(jù)422和被密封的密鑰二進(jìn)制大對(duì)象400的摘要值424??梢苿?dòng)令牌112還可以通過(guò)利用所建立的會(huì)話的公共密鑰218,對(duì)受保護(hù)密鑰二進(jìn)制大對(duì)象402的使用授權(quán)數(shù)據(jù)422、被密封的密鑰二進(jìn)制大對(duì)象、摘要值424以及任何其他敏感數(shù)據(jù)加密,來(lái)創(chuàng)建加密數(shù)據(jù)區(qū)420。通過(guò)利用會(huì)話的公共密鑰218創(chuàng)建加密數(shù)據(jù)區(qū)420,可移動(dòng)令牌112可防止對(duì)加密數(shù)據(jù)區(qū)420的數(shù)據(jù)的訪問(wèn),因?yàn)檫@些數(shù)據(jù)只可利用可移動(dòng)令牌112控制之下的對(duì)應(yīng)的私有密鑰218來(lái)解密??梢苿?dòng)令牌112然后可將所請(qǐng)求的受保護(hù)密鑰二進(jìn)制大對(duì)象402返回給監(jiān)視器302。
現(xiàn)在參照?qǐng)D6,示出了加載受保護(hù)密鑰二進(jìn)制大對(duì)象402的非對(duì)稱密鑰對(duì)408、414的方法。在框600中,監(jiān)視器302和可移動(dòng)令牌112可為被用來(lái)創(chuàng)建受保護(hù)密鑰二進(jìn)制大對(duì)象402的可移動(dòng)令牌112的非對(duì)稱密鑰對(duì)建立會(huì)話。在框602中,監(jiān)視器302可請(qǐng)求可移動(dòng)令牌112返回存儲(chǔ)于受保護(hù)密鑰二進(jìn)制大對(duì)象402中的被密封的密鑰二進(jìn)制大對(duì)象400。為此,監(jiān)視器302可以向可移動(dòng)令牌112提供受保護(hù)密鑰二進(jìn)制大對(duì)象402和認(rèn)證代碼,該認(rèn)證代碼提供了擁有對(duì)受保護(hù)密鑰二進(jìn)制大對(duì)象402的使用授權(quán)數(shù)據(jù)422或者具有對(duì)受保護(hù)密鑰二進(jìn)制大對(duì)象402的使用授權(quán)數(shù)據(jù)422的知識(shí)的證據(jù)。監(jiān)視器302可以若干不同的方式向可移動(dòng)令牌112提供認(rèn)證代碼。在一個(gè)實(shí)施例中,監(jiān)視器302可簡(jiǎn)單地利用所建立的會(huì)話的公共密鑰218對(duì)使用授權(quán)數(shù)據(jù)422的拷貝加密,并向可移動(dòng)令牌112提供其使用授權(quán)數(shù)據(jù)422的加密拷貝。
在另一個(gè)實(shí)施例中,監(jiān)視器302可生成提供了擁有使用授權(quán)數(shù)據(jù)422的證據(jù)和對(duì)請(qǐng)求的一個(gè)或者多個(gè)參數(shù)的證明的消息認(rèn)證代碼(MAC)。具體而言,監(jiān)視器302可以向可移動(dòng)令牌112提供MAC,該MAC是通過(guò)對(duì)包括或者基于第二個(gè)使用授權(quán)數(shù)據(jù)的共享秘密和包括了請(qǐng)求的一個(gè)或者多個(gè)參數(shù)的消息應(yīng)用HMAC算法而得到的。在題為“HMAC用于消息認(rèn)證的加密鑰散列(Keyed-Hashing for Message Authentication)”的請(qǐng)求注釋(RFC)2104中詳細(xì)說(shuō)明了HMAC算法。HMAC算法主要基于共享秘密和被傳送的消息利用密碼散列函數(shù),例如MD5或者SHA-1算法,來(lái)生成MAC。在一個(gè)實(shí)施例中,監(jiān)視器302和可移動(dòng)令牌112可生成用于HMAC計(jì)算的共享秘密,該計(jì)算基于第二個(gè)使用授權(quán)數(shù)據(jù)和由監(jiān)視器302和可移動(dòng)令牌112為所建立的會(huì)話而生成的滾動(dòng)現(xiàn)時(shí)標(biāo)志。此外,監(jiān)視器302可生成請(qǐng)求的參數(shù)的一個(gè)或者多個(gè)散列并利用所計(jì)算的共享秘密和參數(shù)散列作為消息通過(guò)HMAC算法計(jì)算MAC。
在框604中,可移動(dòng)令牌112可以驗(yàn)證受保護(hù)密鑰二進(jìn)制大對(duì)象402和對(duì)被密封的密鑰二進(jìn)制大對(duì)象400的請(qǐng)求。在一個(gè)實(shí)施例中,可移動(dòng)令牌112可計(jì)算可移動(dòng)令牌112期望從監(jiān)視器302接收的認(rèn)證代碼。具體而言,可移動(dòng)令牌112可對(duì)受保護(hù)密鑰二進(jìn)制大對(duì)象402解密以獲取受保護(hù)密鑰二進(jìn)制大對(duì)象402的被密封的密鑰二進(jìn)制大對(duì)象400和使用授權(quán)數(shù)據(jù)422??梢苿?dòng)令牌112然后可以使用從請(qǐng)求中接收到的參數(shù)和從受保護(hù)密鑰二進(jìn)制大對(duì)象402獲取的使用授權(quán)數(shù)據(jù)422,以與監(jiān)視器302同樣的方式,計(jì)算認(rèn)證代碼或者M(jìn)AC。響應(yīng)于確定了所計(jì)算的認(rèn)證代碼或MAC與從監(jiān)視器302接收到的認(rèn)證代碼或MAC不具有預(yù)定的關(guān)系(例如,相等),在框606中,可移動(dòng)令牌112可返回出錯(cuò)消息,可關(guān)閉所建立的會(huì)話,可從可移動(dòng)令牌112中擦去受保護(hù)密鑰二進(jìn)制大對(duì)象402和相關(guān)的數(shù)據(jù),并且可停用可移動(dòng)令牌112。另外,在框604中可移動(dòng)令牌112可驗(yàn)證受保護(hù)密鑰二進(jìn)制大對(duì)象402沒(méi)有被改變過(guò)。具體而言,可移動(dòng)令牌112可基于使用授權(quán)數(shù)據(jù)422和被密封的密鑰二進(jìn)制大對(duì)象400計(jì)算摘要值并可確定所計(jì)算的摘要值是否與受保護(hù)密鑰二進(jìn)制大對(duì)象402的摘要值424具有預(yù)定關(guān)系(例如,相等)。響應(yīng)于確定了所計(jì)算的摘要值不具有預(yù)定關(guān)系,在框604中可移動(dòng)令牌112可返回出錯(cuò)消息,可關(guān)閉所建立的會(huì)話,可從可移動(dòng)令牌112中擦去受保護(hù)密鑰二進(jìn)制大對(duì)象402和相關(guān)的數(shù)據(jù),并且可停用可移動(dòng)令牌112。
響應(yīng)于確定了請(qǐng)求是有效的,在框608中可移動(dòng)令牌112可向監(jiān)視器302提供被密封的密鑰二進(jìn)制大對(duì)象400。在框610中,監(jiān)視器302和固定令牌110然后可為被用來(lái)創(chuàng)建被密封的密鑰二進(jìn)制大對(duì)象400的固定令牌110的非對(duì)稱密鑰建立會(huì)話。在框612中,監(jiān)視器302可請(qǐng)求固定令牌110加載被密封的密鑰二進(jìn)制大對(duì)象400的非對(duì)稱密鑰對(duì)408、414。為此,監(jiān)視器302可向固定令牌110提供被密封的密鑰二進(jìn)制大對(duì)象400和認(rèn)證代碼或MAC,所述認(rèn)證代碼或MAC提供擁有與被密封的密鑰二進(jìn)制大對(duì)象400相關(guān)的使用授權(quán)數(shù)據(jù)412或具有與被密封的密鑰二進(jìn)制大對(duì)象400相關(guān)的使用授權(quán)數(shù)據(jù)412的知識(shí)的證據(jù)。在一個(gè)實(shí)施例中,監(jiān)視器302可向固定令牌110提供MAC,該MAC是通過(guò)HMAC計(jì)算得到的,所述HMAC計(jì)算以與上述參照框602所描述的相同的方式使用了基于使用授權(quán)數(shù)據(jù)412的共享秘密。
在框614中,固定令牌110可驗(yàn)證加載被密封的密鑰二進(jìn)制大對(duì)象400的非對(duì)稱密鑰對(duì)408、414的請(qǐng)求。在一個(gè)實(shí)施例中,固定令牌110可計(jì)算固定令牌110期望從監(jiān)視器302接收的認(rèn)證代碼。具體而言,固定令牌110可利用所建立的會(huì)話的私有密鑰206對(duì)被密封的密鑰二進(jìn)制大對(duì)象400解密以獲取被密封的密鑰二進(jìn)制大對(duì)象400的非對(duì)稱密鑰對(duì)408、414、使用授權(quán)數(shù)據(jù)412、密封記錄410以及摘要值416。固定令牌110然后可以使用從請(qǐng)求接收到的參數(shù)和從第一被密封的密鑰二進(jìn)制大對(duì)象獲取的第一個(gè)使用授權(quán)數(shù)據(jù),以與監(jiān)視器302同樣的方式,計(jì)算認(rèn)證代碼或MAC。響應(yīng)于確定了所計(jì)算的認(rèn)證代碼或MAC與從監(jiān)視器302接收到的認(rèn)證代碼或MAC不具有預(yù)定關(guān)系(例如,相等),在框616中固定令牌110可返回出錯(cuò)消息,可關(guān)閉所建立的會(huì)話,可從固定令牌110上擦去第一個(gè)被密封的密鑰二進(jìn)制大對(duì)象和相關(guān)的數(shù)據(jù),并可停用可移動(dòng)令牌112。另外,在框614中固定令牌110可以驗(yàn)證被密封的二進(jìn)制大對(duì)象400沒(méi)有被改變過(guò)。具體而言,固定令牌110可基于使用授權(quán)數(shù)據(jù)412、非對(duì)稱密鑰對(duì)408、414以及密封記錄410計(jì)算摘要值,并可確定所計(jì)算的摘要值是否與被密封的密鑰二進(jìn)制大對(duì)象400的摘要值416具有預(yù)定關(guān)系(例如,相等)。響應(yīng)于確定了所計(jì)算的摘要值不具有預(yù)定關(guān)系,在框616中固定令牌可返回出錯(cuò)消息,可關(guān)閉所建立的會(huì)話,可從固定令牌110上擦去被密封的密鑰二進(jìn)制大對(duì)象和相關(guān)的數(shù)據(jù),并可停用可移動(dòng)令牌112。
在框618中,固定令牌110還可驗(yàn)證環(huán)境300適于加載被密封的密鑰二進(jìn)制大對(duì)象400的非對(duì)稱密鑰408。具體而言,固定令牌110可確定密封記錄410的量度是否與PCR寄存器210的量度具有預(yù)定關(guān)系(例如,相等)并確定密封記錄410的證據(jù)值是否表明固定令牌110創(chuàng)建了被密封的密鑰二進(jìn)制大對(duì)象400。響應(yīng)于確定了密封記錄410的量度與PCR寄存器210不具有預(yù)定關(guān)系或者確定了固定令牌110沒(méi)有創(chuàng)建被密封的密鑰二進(jìn)制大對(duì)象400,在框616中,固定令牌可返回出錯(cuò)消息,可關(guān)閉所建立的會(huì)話,可從固定令牌110上擦去被密封的密鑰二進(jìn)制大對(duì)象和相關(guān)的數(shù)據(jù),并可停用可移動(dòng)令牌112。
響應(yīng)于確定了請(qǐng)求和環(huán)境是有效的,在框620中,固定令牌110可向監(jiān)視器302提供被密封的密鑰二進(jìn)制大對(duì)象400的公共密鑰408和引用存儲(chǔ)于固定令牌110的受保護(hù)存儲(chǔ)器204中的非對(duì)稱密鑰對(duì)408、414的密鑰句柄。監(jiān)視器302以后可將該密鑰句柄提供給固定令牌110以建立會(huì)話來(lái)使用由該密鑰句柄標(biāo)識(shí)的非對(duì)稱密鑰對(duì)408、414。
圖5和圖6的方法一般結(jié)果是建立非對(duì)稱密鑰對(duì),該密鑰對(duì)僅當(dāng)可移動(dòng)令牌112出現(xiàn)并且,可選地,環(huán)境300如由PCR寄存器210的量度所表明的那樣合適的時(shí)候,才可被使用。計(jì)算設(shè)備100和/或遠(yuǎn)程代理1181...118R從而可基于被密封的密鑰二進(jìn)制大對(duì)象400的密鑰408是否被固定令牌110成功地加載和/或解密秘密的能力來(lái)確定可移動(dòng)令牌112的用戶出現(xiàn),所述秘密只可利用被密封的密鑰二進(jìn)制大對(duì)象400的密鑰408被解密。
另外,用戶可使用可移動(dòng)令牌112來(lái)確定計(jì)算設(shè)備100滿足被密封的密鑰二進(jìn)制大對(duì)象400的密鑰被密封于其中的環(huán)境的標(biāo)準(zhǔn)。具體而言,用戶可基于被密封的密鑰二進(jìn)制大對(duì)象400的密鑰408是否被固定令牌110成功地加載和/或解密秘密的能力來(lái)確定計(jì)算設(shè)備100滿足環(huán)境標(biāo)準(zhǔn),所述秘密只可利用被密封的密鑰二進(jìn)制大對(duì)象400的密鑰408被解密。
計(jì)算設(shè)備100可響應(yīng)于執(zhí)行機(jī)器可讀介質(zhì)的指令進(jìn)行圖5和圖6所示的所有方法或者其一部分,其中機(jī)器可讀介質(zhì)是例如只讀存儲(chǔ)器(ROM)、隨機(jī)訪問(wèn)存儲(chǔ)器(RAM)、磁盤存儲(chǔ)介質(zhì)、光存儲(chǔ)介質(zhì)、閃存設(shè)備和/或電、光、聲或其他形式的傳播信號(hào),例如,載波、紅外信號(hào)、數(shù)字信號(hào)、模擬信號(hào)的介質(zhì)。此外,盡管圖5和圖6的方法被示為系列操作,然而在一些實(shí)施例中,計(jì)算設(shè)備100可以并行或按不同次序來(lái)進(jìn)行該方法的各種所示的操作。
盡管本發(fā)明的某些特征已經(jīng)參考示例實(shí)施例被描述,然而該描述并不是用來(lái)在限定的意義上被解釋。示例實(shí)施例以及本發(fā)明其他實(shí)施例的對(duì)于與本發(fā)明相關(guān)的領(lǐng)域的技術(shù)人員是顯而易見(jiàn)的各種修改,被視為落在本發(fā)明的精神和范圍之內(nèi)。
權(quán)利要求
1.一種方法,包括請(qǐng)求固定令牌創(chuàng)建包括了第一密鑰對(duì)和第一使用授權(quán)數(shù)據(jù)的被密封的密鑰二進(jìn)制大對(duì)象,其中為了使用所述第一密鑰對(duì)的私有密鑰需要對(duì)所述第一使用授權(quán)數(shù)據(jù)的知識(shí),以及請(qǐng)求可移動(dòng)令牌創(chuàng)建包括了所述被密封的密鑰二進(jìn)制大對(duì)象和第二使用授權(quán)數(shù)據(jù)的受保護(hù)密鑰二進(jìn)制大對(duì)象,其中為了從所述受保護(hù)密鑰二進(jìn)制大對(duì)象獲取所述被密封的密鑰二進(jìn)制大對(duì)象需要對(duì)所述第二使用授權(quán)數(shù)據(jù)的知識(shí)。
2.如權(quán)利要求1所述的方法,包括利用所述固定令牌和所述固定令牌的公共密鑰,對(duì)所述第一密鑰對(duì)的所述私有密鑰以及所述第一使用授權(quán)數(shù)據(jù)加密,以及利用所述加密的私有密鑰和所述加密的第一使用授權(quán)數(shù)據(jù),創(chuàng)建被密封的密鑰二進(jìn)制大對(duì)象。
3.如權(quán)利要求2所述的方法,包括利用所述可移動(dòng)令牌和所述可移動(dòng)令牌的公共密鑰,對(duì)所述被密封的密鑰二進(jìn)制大對(duì)象和所述第二使用授權(quán)數(shù)據(jù)加密,以及利用所述加密的被密封的密鑰二進(jìn)制大對(duì)象和所述加密的第二使用授權(quán)數(shù)據(jù),創(chuàng)建所述受保護(hù)密鑰二進(jìn)制大對(duì)象。
4.如權(quán)利要求1所述的方法,包括請(qǐng)求所述可移動(dòng)令牌從所述受保護(hù)密鑰二進(jìn)制大對(duì)象返回所述被密封的密鑰二進(jìn)制大對(duì)象,向所述可移動(dòng)令牌提供對(duì)擁有所述第二使用授權(quán)數(shù)據(jù)的證據(jù),以及僅當(dāng)對(duì)擁有所述第二使用授權(quán)數(shù)據(jù)的所述證據(jù)是有效的時(shí)候,從所述可移動(dòng)令牌獲取所述被密封的密鑰二進(jìn)制大對(duì)象。
5.如權(quán)利要求4所述的方法,包括請(qǐng)求所述固定令牌從所述被密封的密鑰二進(jìn)制大對(duì)象加載所述第一密鑰對(duì),以及向所述固定令牌提供對(duì)擁有所述第一使用授權(quán)數(shù)據(jù)的證據(jù),以及僅當(dāng)對(duì)擁有所述第一使用授權(quán)數(shù)據(jù)的所述證據(jù)是有效的時(shí)候,獲取存儲(chǔ)于所述固定令牌中的對(duì)于所述第一密鑰對(duì)的密鑰句柄。
6.如權(quán)利要求1所述的方法,包括向所述可移動(dòng)令牌發(fā)送請(qǐng)求以從所述受保護(hù)密鑰二進(jìn)制大對(duì)象返回所述被密封的密鑰二進(jìn)制大對(duì)象,所述請(qǐng)求包括對(duì)擁有所述第二使用授權(quán)數(shù)據(jù)的證據(jù),以及僅當(dāng)所述可移動(dòng)令牌出現(xiàn)并且對(duì)擁有所述第二使用授權(quán)數(shù)據(jù)的所述證據(jù)是有效的時(shí)候,從所述可移動(dòng)令牌獲取所述被密封的密鑰二進(jìn)制大對(duì)象。
7.如權(quán)利要求6所述的方法,包括向所述固定令牌發(fā)送請(qǐng)求以從所述被密封的密鑰二進(jìn)制大對(duì)象加載所述第一密鑰對(duì),所述請(qǐng)求包括對(duì)擁有所述第一使用授權(quán)數(shù)據(jù)的證據(jù),以及僅當(dāng)所述對(duì)擁有所述第一使用授權(quán)數(shù)據(jù)的所述證據(jù)是有效的并且與所述請(qǐng)求相關(guān)的環(huán)境滿足由所述被密封的密鑰二進(jìn)制大對(duì)象所規(guī)定的標(biāo)準(zhǔn)的時(shí)候,獲取存儲(chǔ)于所述固定令牌中的對(duì)于所述第一密鑰對(duì)的密鑰句柄。
8.如權(quán)利要求3所述的方法,包括向所述可移動(dòng)令牌提供對(duì)所述受保護(hù)密鑰二進(jìn)制大對(duì)象的所述被密封的密鑰二進(jìn)制大對(duì)象的請(qǐng)求,所述請(qǐng)求提供了對(duì)擁有所述第二使用授權(quán)數(shù)據(jù)的證據(jù),利用所述可移動(dòng)令牌使用所述可移動(dòng)令牌的私有密鑰,對(duì)所述受保護(hù)密鑰二進(jìn)制大對(duì)象的所述加密的被密封的密鑰二進(jìn)制大對(duì)象以及所述加密的第二使用授權(quán)數(shù)據(jù)解密,以及響應(yīng)于所述可移動(dòng)令牌確定了對(duì)擁有所述第二使用授權(quán)數(shù)據(jù)的所述證據(jù)是有效的,從所述可移動(dòng)令牌接收所述被密封的密鑰二進(jìn)制大對(duì)象。
9.如權(quán)利要求8所述的方法,還包括響應(yīng)于確定了對(duì)擁有所述第二使用授權(quán)數(shù)據(jù)的所述證據(jù)是無(wú)效的,從所述可移動(dòng)令牌擦去所述受保護(hù)密鑰二進(jìn)制大對(duì)象和相關(guān)的數(shù)據(jù)。
10.如權(quán)利要求9所述的方法,還包括響應(yīng)于確定了對(duì)擁有所述第二使用授權(quán)數(shù)據(jù)的所述證據(jù)是無(wú)效的,停用所述可移動(dòng)令牌。
11.如權(quán)利要求8所述的方法,包括向所述固定令牌提供請(qǐng)求以加載所述被密封的密鑰二進(jìn)制大對(duì)象的所述第一密鑰對(duì),所述請(qǐng)求提供了對(duì)擁有所述第一使用授權(quán)數(shù)據(jù)的證據(jù),利用所述固定令牌使用所述固定令牌的私有密鑰,對(duì)所述被密封的密鑰二進(jìn)制大對(duì)象的所述加密的私有密鑰和所述加密的第一使用授權(quán)數(shù)據(jù)解密,以及響應(yīng)于所述固定令牌確定了對(duì)擁有所述第一使用授權(quán)數(shù)據(jù)的所述證據(jù)是有效的,接收對(duì)于所述所述被密封的密鑰二進(jìn)制大對(duì)象的第一密鑰對(duì)的密鑰句柄。
12.如權(quán)利要求11所述的方法,還包括響應(yīng)于確定了對(duì)擁有所述第一使用授權(quán)數(shù)據(jù)的所述證據(jù)是無(wú)效的,從所述固定令牌擦去所述被密封的密鑰二進(jìn)制大對(duì)象和相關(guān)的數(shù)據(jù)。
13.如權(quán)利要求12所述的方法,還包括響應(yīng)于確定了對(duì)擁有所述第一使用授權(quán)數(shù)據(jù)的所述證據(jù)是無(wú)效的,停用所述可移動(dòng)令牌。
14.一種機(jī)器可讀介質(zhì),包括多個(gè)指令,所述多個(gè)指令當(dāng)被執(zhí)行時(shí)使處理器請(qǐng)求可移動(dòng)令牌從包括使用授權(quán)數(shù)據(jù)的受保護(hù)密鑰二進(jìn)制大對(duì)象提供被密封的密鑰二進(jìn)制大對(duì)象,向所述可移動(dòng)令牌提供基于所述處理器具有的對(duì)于所述受保護(hù)密鑰二進(jìn)制大對(duì)象的使用授權(quán)數(shù)據(jù)的認(rèn)證代碼,以及僅當(dāng)所述認(rèn)證代碼表明所述處理器的所述使用授權(quán)數(shù)據(jù)與所述受保護(hù)密鑰二進(jìn)制大對(duì)象的所述授權(quán)數(shù)據(jù)具有預(yù)定關(guān)系時(shí),從所述可移動(dòng)令牌接收所述被密封的密鑰二進(jìn)制大對(duì)象。
15.如權(quán)利要求14所述的機(jī)器可讀介質(zhì),其中,所述被密封的密鑰二進(jìn)制大對(duì)象包括第一使用授權(quán)數(shù)據(jù),并且所述多個(gè)指令還使所述處理器請(qǐng)求固定令牌從所述被密封的密鑰二進(jìn)制大對(duì)象加載第一密鑰對(duì),向所述固定令牌提供基于所述處理器具有的對(duì)于所述被密封的密鑰二進(jìn)制大對(duì)象的第一使用授權(quán)數(shù)據(jù)的第一認(rèn)證代碼,以及僅當(dāng)所述第一認(rèn)證代碼表明所述處理器的所述第一使用授權(quán)數(shù)據(jù)與所述被密封的密鑰二進(jìn)制大對(duì)象的所述第一授權(quán)數(shù)據(jù)具有預(yù)定關(guān)系時(shí),接收對(duì)于所述第一密鑰對(duì)的第一密鑰句柄。
16.如權(quán)利要求15所述的機(jī)器可讀介質(zhì),其中,所述多個(gè)指令還使所述處理器基于使用了第一共享秘密的第一HMAC計(jì)算,生成所述第一認(rèn)證代碼,所述第一共享秘密是基于所述處理器具有的對(duì)于所述被密封的密鑰二進(jìn)制大對(duì)象的所述第一使用授權(quán)數(shù)據(jù),基于使用了第二共享秘密的第二HMAC計(jì)算,生成所述認(rèn)證代碼,所述第二共享秘密是基于所述處理器具有的對(duì)于所述受保護(hù)密鑰二進(jìn)制大對(duì)象的所述使用授權(quán)數(shù)據(jù)。
17.如權(quán)利要求15所述的機(jī)器可讀介質(zhì),其中,所述多個(gè)指令還使所述處理器基于第一HMAC計(jì)算,生成所述認(rèn)證代碼,所述HMAC計(jì)算使用了基于所述處理器具有的對(duì)于所述被密封的密鑰二進(jìn)制大對(duì)象的所述第一使用授權(quán)數(shù)據(jù)的第一共享秘密以及與所述固定令牌相關(guān)的第一滾動(dòng)現(xiàn)時(shí)標(biāo)志,基于第二HMAC計(jì)算,生成所述認(rèn)證代碼,所述HMAC計(jì)算使用了基于所述處理器具有的對(duì)于所述受保護(hù)密鑰二進(jìn)制大對(duì)象的所述使用授權(quán)數(shù)據(jù)的第二共享秘密以及與所述可移動(dòng)令牌相關(guān)的第二滾動(dòng)現(xiàn)時(shí)標(biāo)志。
18.如權(quán)利要求15所述的機(jī)器可讀介質(zhì),其中,所述多個(gè)指令還使所述處理器響應(yīng)于接收所述第一密鑰句柄確定與所述可移動(dòng)令牌相關(guān)的用戶出現(xiàn)。
19.如權(quán)利要求15所述的機(jī)器可讀介質(zhì),其中,所述多個(gè)指令還使所述處理器響應(yīng)于成功地使用由所述第一密鑰句柄所標(biāo)識(shí)的所述第一密鑰對(duì)解密秘密,確定與所述可移動(dòng)令牌相關(guān)的用戶出現(xiàn)。
20.如權(quán)利要求14所述的機(jī)器可讀介質(zhì),其中,所述被密封的密鑰二進(jìn)制大對(duì)象包括第一使用授權(quán)數(shù)據(jù),并且所述多個(gè)指令還使所述處理器向所述固定令牌提供至少一個(gè)環(huán)境量度,請(qǐng)求固定令牌從所述被密封的密鑰二進(jìn)制大對(duì)象加載第一密鑰對(duì),向所述固定令牌提供第一認(rèn)證代碼,所述第一認(rèn)證代碼是基于所述處理器具有的對(duì)于所述被密封的密鑰二進(jìn)制大對(duì)象的第一使用授權(quán)數(shù)據(jù),以及僅當(dāng)所述第一認(rèn)證代碼表明所述處理器的所述第一使用授權(quán)數(shù)據(jù)與所述被密封的密鑰二進(jìn)制大對(duì)象的所述第一授權(quán)數(shù)據(jù)具有預(yù)定關(guān)系并且所述至少一個(gè)量度表明所述環(huán)境滿足由所述被密封的密鑰二進(jìn)制大對(duì)象規(guī)定的標(biāo)準(zhǔn)的時(shí)候,接收對(duì)于所述第一密鑰對(duì)的第一密鑰句柄。
21.如權(quán)利要求20所述的機(jī)器可讀介質(zhì),其中,所述多個(gè)指令還使所述處理器響應(yīng)于接收所述第一密鑰句柄,確定所述環(huán)境滿足由所述被密封的密鑰二進(jìn)制大對(duì)象所規(guī)定的所述標(biāo)準(zhǔn)。
22.如權(quán)利要求20所述的機(jī)器可讀介質(zhì),其中,所述多個(gè)指令還使所述處理器響應(yīng)于成功地利用由所述第一密鑰句柄所標(biāo)識(shí)的所述第一密鑰對(duì)解密秘密,確定所述環(huán)境滿足了由所述被密封的密鑰二進(jìn)制大對(duì)象規(guī)定的所述標(biāo)準(zhǔn)。
23.一種計(jì)算設(shè)備,包括固定令牌,所述固定令牌包括第一處理器單元和第一受保護(hù)存儲(chǔ)器,所述第一處理器單元響應(yīng)于確定了所述第一認(rèn)證代碼與被密封的密鑰二進(jìn)制大對(duì)象的第一使用授權(quán)數(shù)據(jù)具有預(yù)定關(guān)系,將所述被密封的密鑰二進(jìn)制大對(duì)象的第一密鑰對(duì)加載到所述第一受保護(hù)存儲(chǔ)器中,可移動(dòng)令牌,所述可移動(dòng)令牌包括第二處理單元和第二受保護(hù)存儲(chǔ)器,所述第二處理單元響應(yīng)于確定了第二認(rèn)證代碼與受保護(hù)密鑰二進(jìn)制大對(duì)象的第二使用授權(quán)數(shù)據(jù)具有預(yù)定關(guān)系,從所述受保護(hù)密鑰二進(jìn)制大對(duì)象返回所述被密封的密鑰二進(jìn)制大對(duì)象,可移動(dòng)令牌接口,所述可移動(dòng)令牌接口使得所述可移動(dòng)令牌能夠被耦合到所述計(jì)算設(shè)備并能夠從所述計(jì)算設(shè)備移除,處理器,所述處理器向所述可移動(dòng)令牌提供對(duì)所述被密封的密鑰二進(jìn)制大對(duì)象的請(qǐng)求,所述請(qǐng)求包括所述受保護(hù)密鑰二進(jìn)制大對(duì)象和所述第二認(rèn)證代碼,并且所述處理器向所述固定令牌提供加載所述第一密鑰對(duì)的請(qǐng)求,所述請(qǐng)求包括所述被密封的密鑰二進(jìn)制大對(duì)象和所述第一認(rèn)證代碼。
24.如權(quán)利要求23所述的計(jì)算設(shè)備,其中所述固定令牌將響應(yīng)于成功地加載所述第一密鑰對(duì),提供對(duì)于所述第一密鑰對(duì)的第一密鑰句柄,并且所述處理器將響應(yīng)于接收所述第一密鑰句柄,確定與所述可移動(dòng)令牌相關(guān)的用戶出現(xiàn)。
25.如權(quán)利要求23所述的計(jì)算設(shè)備,其中所述固定令牌將響應(yīng)于成功地加載了所述第一密鑰對(duì),提供對(duì)于所述第一密鑰對(duì)的第一密鑰句柄,并且所述處理器將響應(yīng)于成功地使用由所述第一密鑰句柄標(biāo)識(shí)的所述第一密鑰對(duì)解密秘密,確定與所述可移動(dòng)令牌相關(guān)的用戶出現(xiàn)。
26.如權(quán)利要求23所述的計(jì)算設(shè)備,其中所述固定令牌的所述第一受保護(hù)存儲(chǔ)器包括用于存儲(chǔ)環(huán)境量度的寄存器,所述處理器將向所述固定令牌提供所述環(huán)境的多個(gè)量度,并且所述第一處理單元將僅當(dāng)存儲(chǔ)于所述寄存器中的所述量度表明所述環(huán)境滿足了所述被密封的密鑰二進(jìn)制大對(duì)象的標(biāo)準(zhǔn)的時(shí)候,將所述第一密鑰對(duì)加載到所述第一受保護(hù)存儲(chǔ)器中。
27.如權(quán)利要求26所述的計(jì)算設(shè)備,其中所述固定令牌將響應(yīng)于成功地加載所述第一密鑰對(duì),提供對(duì)于所述第一密鑰對(duì)的第一密鑰句柄,并且所述處理器將響應(yīng)于接收所述第一密鑰句柄,確定所述環(huán)境滿足了由所述被密封的密鑰二進(jìn)制大對(duì)象規(guī)定的所述標(biāo)準(zhǔn)。
28.如權(quán)利要求26所述的計(jì)算設(shè)備,其中所述固定令牌將響應(yīng)于成功地加載所述第一密鑰對(duì),提供對(duì)于所述第一密鑰對(duì)的第一密鑰句柄,并且所述處理器將響應(yīng)于成功地使用由所述第一密鑰句柄標(biāo)識(shí)的所述第一密鑰對(duì)解密秘密,確定所述環(huán)境滿足了由所述被密封的密鑰二進(jìn)制大對(duì)象規(guī)定的所述標(biāo)準(zhǔn)。
29.如權(quán)利要求26所述的計(jì)算設(shè)備,其中所述第一處理單元將響應(yīng)于確定了所述環(huán)境沒(méi)有滿足所述被密封的密鑰二進(jìn)制大對(duì)象的所述標(biāo)準(zhǔn),從所述固定令牌擦去所述被密封的密鑰二進(jìn)制大對(duì)象和任何相關(guān)的數(shù)據(jù)。
30.如權(quán)利要求23所述計(jì)算設(shè)備,其中所述固定令牌包括用于創(chuàng)建所述被密封的密鑰二進(jìn)制大對(duì)象的密鑰對(duì),所述第一處理單元只響應(yīng)于通過(guò)為被用來(lái)創(chuàng)建所述被密封的密鑰二進(jìn)制大對(duì)象的所述密鑰對(duì)而建立的第一會(huì)話而接收的請(qǐng)求,加載所述被密封的密鑰二進(jìn)制大對(duì)象的所述第一密鑰對(duì),并且所述處理器將在向所述固定令牌提供加載所述第一密鑰對(duì)的所述請(qǐng)求之前,建立所述第一會(huì)話。
31.如權(quán)利要求30所述的計(jì)算設(shè)備,其中所述可移動(dòng)令牌包括用于創(chuàng)建所述受保護(hù)密鑰二進(jìn)制大對(duì)象的密鑰對(duì),所述第二處理單元將只響應(yīng)于通過(guò)為用于創(chuàng)建所述受保護(hù)密鑰二進(jìn)制大對(duì)象的所述密鑰對(duì)而建立的第二會(huì)話而接收的請(qǐng)求,加載所述被密封的密鑰二進(jìn)制大對(duì)象的所述第一密鑰對(duì),并且所述處理器將在向所述可移動(dòng)令牌提供對(duì)于所述被密封的密鑰二進(jìn)制大對(duì)象的所述請(qǐng)求之前,建立所述第二會(huì)話。
全文摘要
本發(fā)明描述了用于創(chuàng)建和使用受保護(hù)密鑰二進(jìn)制大對(duì)象的方法、裝置和機(jī)器可讀介質(zhì),其中在授權(quán)使用所述受保護(hù)密鑰二進(jìn)制大對(duì)象的密鑰之前要求出現(xiàn)特定的可移動(dòng)令牌。這樣的受保護(hù)密鑰二進(jìn)制大對(duì)象可被用于在本地用戶和計(jì)算設(shè)備之間建立一定水平的信任。
文檔編號(hào)G06F21/00GK1514571SQ20031012121
公開(kāi)日2004年7月21日 申請(qǐng)日期2003年12月15日 優(yōu)先權(quán)日2002年12月16日
發(fā)明者戴維·W·克勞羅克, 戴維 W 克勞羅克 申請(qǐng)人:英特爾公司