用于通電用戶驗證的系統(tǒng)和方法
【專利摘要】公開了用于通電用戶驗證的系統(tǒng)和方法的實施例。用于通電用戶驗證的方法可包括在向計算裝置的主處理器供電之前利用計算裝置的安全控制器來接收驗證輸入�����、使用安全控制器來比較驗證輸入和驗證碼���、以及響應(yīng)于驗證輸入匹配驗證碼而向主處理器供電。
【專利說明】用于通電用戶驗證的系統(tǒng)和方法
【背景技術(shù)】
[0001]現(xiàn)代計算裝置(例如膝上型計算機����、智能電話、移動互聯(lián)網(wǎng)裝置(MID)以及平板計算機)經(jīng)常攜帶敏感的個人和專業(yè)數(shù)據(jù)�。保護這樣的數(shù)據(jù)免受惡意攻擊的盜竊越來越重要����。因為惡意攻擊變得更加復(fù)雜�,所以安全越來越困難。響應(yīng)于那些威脅��,用戶驗證方案當前存在于引導(dǎo)過程中的不同點處�����,例如在BIOS (基本輸入輸出系統(tǒng))處��、PBA (預(yù)引導(dǎo)驗證級)處或在操作系統(tǒng)(OS)登錄處����。
[0002]然而,在某些環(huán)境中���,甚至是那些類型的用戶驗證也可能是易受攻擊的��。已知基于BIOS的密碼是不安全的-密碼被存儲在存儲器中已知位置處并且因此易被禁用或被竊用���。此外,基于BIOS的密碼是可選的并且可能未被啟用。另外����,可以通過改變計算裝置上的引導(dǎo)驅(qū)動器或通過選擇除硬盤之外的引導(dǎo)源來繞過PBA和OS密碼。此外���,當計算裝置準備好接受用戶驗證時���,該計算裝置的大部分部件將被初始化并運行,這可讓整個系統(tǒng)易受攻擊�����。
【專利附圖】
【附圖說明】
[0003]在附圖中�����,通過示例的方式而不是通過限制的方式說明了本文描述的發(fā)明��。為了說明的簡單和清楚起見�,附圖中圖示的元件不一定按比例繪制。例如��,為了清楚起見����,一些元件的尺寸可以相對于其它元件被放大。此外�,在認為適當?shù)牡胤剑綀D中附圖標記被重復(fù)以指示對應(yīng)的或類似的元件��。
[0004]圖1是包括具有通電用戶驗證的計算裝置的系統(tǒng)的一個實施例的簡化框圖���;
圖2是圖1的計算裝置的安全控制器的一個實施例的簡化框圖����;以及
圖3是用于圖1的計算裝置的通電用戶驗證的方法的一個實施例的簡化流程圖���。
【具體實施方式】
[0005]雖然本公開的概念易于各種修改和備選形式��,在附圖中通過示例的方式已經(jīng)示出了其特定示范性實施例并且將在本文中詳細描述其特定示范性實施例�����。然而�,應(yīng)該理解沒有意圖將本公開的概念限于所公開的特定形式�,而是相反,意圖是覆蓋落在如由所附的權(quán)利要求書限定的本發(fā)明的精神和范圍內(nèi)的所有修改�����、等同物以及備選。
[0006]在以下的描述中��,闡述了許多具體細節(jié)��,例如邏輯實現(xiàn)���、操作碼��、規(guī)定操作數(shù)的設(shè)備�����、資源劃分/共享/復(fù)制實現(xiàn)����、系統(tǒng)部件的類型和相互關(guān)系以及邏輯劃分/集成化選擇�,以便提供對本公開的更徹底的理解。然而�����,本領(lǐng)域技術(shù)人員將會意識到��,在沒有這樣的具體細節(jié)的情況下,也可以實施本公開的實施例�����。在其它實例中��,為了不使本發(fā)明含糊���,沒有詳細示出控制結(jié)構(gòu)、門電平電路以及完整的軟件指令序列��。利用所包括的描述��,本領(lǐng)域普通技術(shù)人員在沒有不適當?shù)膶嶒灥那闆r下將能夠?qū)崿F(xiàn)適當?shù)墓δ苄浴?br>
[0007]說明書中對“ 一個實施例”�����、“實施例”�����、“說明性實施例”等等的提及表明所描述的實施例可包括特定特征����、結(jié)構(gòu)或特性��,但是每個實施例可能不一定包括所述特定特征��、結(jié)構(gòu)或特性��。此外��,這樣的短語不一定指得是相同的實施例����。另外����,當結(jié)合實施例來描述特定特征、結(jié)構(gòu)或特性時�����,認為結(jié)合無論是否被明確描述的其它實施例來實現(xiàn)這樣的特征��、結(jié)構(gòu)或特性是在本領(lǐng)域技術(shù)人員所能了解的范圍內(nèi)的��。
[0008]本發(fā)明的實施例可以在硬件�、固件、軟件或其中的任何組合中實現(xiàn)����。在計算裝置中實現(xiàn)的本發(fā)明的實施例可包括部件之間的一個或多個基于總線的互連和/或部件之間的一個或多個點到點互連����。本發(fā)明的實施例還可以被實現(xiàn)為存儲在一個或多個非暫時性����、機器可讀媒體上的指令���,其可以被一個或多個處理器和/或控制器讀取并且執(zhí)行��。非暫時性���、機器可讀介質(zhì)可包括用于存儲或傳輸以機器(例如計算裝置)可讀的形式的信息的任何有形機制。例如���,非暫時性�、機器可讀媒體可包括只讀存儲器(ROM);隨機存取存儲器(RAM)����;磁盤存儲媒體;光存儲媒體����;閃速存儲器裝置�;等等�����。
[0009]現(xiàn)在參考圖1和圖2��,用于通電用戶驗證的系統(tǒng)100包括計算裝置102�����,計算裝置102包括主處理器104和安全控制器110����。在下面更詳細討論的一個說明性實施例中,在向主處理器104供電之前�,安全控制器110驗證用戶。當安全控制器110接收通電信號206(例如從電源按鈕124)時�,安全控制器110啟動驗證程序。作為驗證程序的一部分��,安全控制器110可接收授權(quán)輸入208����。授權(quán)輸入208可以體現(xiàn)為經(jīng)由鍵盤122鍵入的密碼��、響應(yīng)于近場通信(NFC)裝置146正被帶入NFC電路126的附近而來自NFC裝置146的通信�,或者體現(xiàn)為其它授權(quán)數(shù)據(jù)���。作為驗證程序的另一部分��,安全控制器110還從專用存儲器114取回授權(quán)碼210��。然后��,安全控制器110比較授權(quán)輸入208和授權(quán)碼210。如果授權(quán)輸入208與授權(quán)碼210匹配���,則安全控制器110向主處理器104供電��,允許計算裝置102繼續(xù)進行引導(dǎo)�����。
[0010]計算裝置102可以體現(xiàn)為能夠執(zhí)行本文描述的功能的任何類型的計算裝置�。通過示例的方式��,計算裝置102可以體現(xiàn)為膝上型計算機�����、桌上型計算機、服務(wù)器����、上網(wǎng)本、智能電話�、蜂窩電話、移動互聯(lián)網(wǎng)裝置�����、平板計算裝置�����、手持式計算機����、個人數(shù)字助理或其它計算裝置。如圖1的說明性實施例中示出的�����、計算裝置102包括主處理器104、芯片集106���、存儲器108���、鍵盤控制器112、專用存儲器114�����、鍵盤122����、電源按鈕124和NFC電路126。在一些實施例中����,前述部件中的若干個部件可以被合并在計算裝置102的母板上�,而其它部件可以經(jīng)由例如外圍端口以通信的方式耦合到母板上。此外�,本領(lǐng)域技術(shù)人員將會意識到計算裝置102可包括為了描述的清楚起見而未在圖1中說明的、在計算機和/或計算裝置中通常找到的其它部件�、子部件和裝置。
[0011]計算裝置102的主處理器104可以體現(xiàn)為能夠執(zhí)行軟件/固件的任何類型的處理器�����,例如微處理器、數(shù)字信號處理器�、微控制器等等。主處理器104說明性地體現(xiàn)為具有處理器核120的單核處理器�����。然而����,在其它實施例中,主處理器104可體現(xiàn)為具有多個處理器核120的多核處理器����。另外,計算裝置102可包括具有一個或多個處理器核120的附加處理器104����。在其它實施例中,主處理器104可以是芯片上系統(tǒng)(SoC)集成電路的一部分�。例如,主處理器104可以是作為智能電話的一部分的SoC實現(xiàn)的微處理器�。另外,在一個特定實施例中��,主處理器104體現(xiàn)為計算裝置102的中央處理單元(CPU)。
[0012]處理器104經(jīng)由許多信號路徑以通信的方式耦合到芯片集106�����。這些信號路徑(以及圖1中說明的其它信號路徑)可以體現(xiàn)為能夠便于計算裝置102的部件之間的通信的任何類型的信號路徑�。例如,信號路徑可以體現(xiàn)為任何數(shù)量的電線��、電纜�����、光波導(dǎo)���、印刷電路板跡線��、通路(via)��、總線�����、介入裝置和/或類似物。
[0013]計算裝置102的芯片集106可包括存儲器控制器集線器(MCH或“北橋”)���、輸入/輸出控制器集線器(ICH或“南橋”)和固件裝置��。芯片集106的固件裝置可以體現(xiàn)為用于存儲基本輸入/輸出系統(tǒng)(BIOS)數(shù)據(jù)和/或指令和/或其它信息(例如在計算裝置102的引導(dǎo)期間使用的BIOS驅(qū)動器)的存儲器裝置�。然而,在其它實施例中����,可以使用具有其它配置的芯片集。例如����,在一些實施例中,芯片集106可以體現(xiàn)為平臺控制器集線器(PCH)���。在這樣的實施例中���,MCH可以被合并到主處理器104中或以其它方式與主處理器104相關(guān)聯(lián),并且主處理器104可以與存儲器108直接通信(如由圖1中的虛線所示)����。
[0014]存儲器108可以體現(xiàn)為一個或多個存儲器裝置或數(shù)據(jù)存儲位置,包括例如動態(tài)隨機存取存儲器裝置(DRAM)�����、同步動態(tài)隨機存取存儲器裝置(SDRAM)、雙倍數(shù)據(jù)速率同步動態(tài)隨機存取存儲器裝置(DDR SDRAM)�、閃速存儲器裝置和/或其它易失性存儲器裝置。在說明性實施例中����,存儲器108經(jīng)由許多信號路徑以通信方式耦合到芯片集106。各種數(shù)據(jù)和軟件可以被存儲在存儲器108中�。例如,組成由主處理器104執(zhí)行的軟件棧的一個或多個操作系統(tǒng)�����、應(yīng)用��、程序�、庫和驅(qū)動程序在執(zhí)行期間可以駐留在存儲器108中。此外�����,存儲在存儲器108中的軟件和數(shù)據(jù)可以作為存儲器管理操作的一部分在存儲器108和數(shù)據(jù)存儲裝置(例如硬盤驅(qū)動器)之間進行交換����。
[0015]計算裝置102還包括配置成監(jiān)視用戶輸入并且執(zhí)行電源管理的鍵盤控制器112。鍵盤控制器112可以體現(xiàn)為經(jīng)由許多信號路徑以通信方式耦合到芯片集106或者備選地是芯片集106的一部分的嵌入式控制器�。在說明性實施例中,鍵盤控制器112還經(jīng)由許多信號路徑以通信方式耦合到專用存儲器114���、鍵盤122�、電源按鈕124和NFC電路126�����。如下面所描述的����,鍵盤控制器112可操作來接收來自鍵盤122、電源按鈕124和NFC電路126的輸入信號并且響應(yīng)于這些輸入信號而執(zhí)行各種任務(wù)�����。在其它任務(wù)當中��,鍵盤控制器112負責(zé)管理向計算裝置102的各種部件的供電�。同樣地,鍵盤控制器112可以選擇性地向至少主處理器104供電�����。在一些實施例中��,除了門控向主處理器104的供電之外,鍵盤控制器112還可門控向計算裝置102的其它部件(例如芯片集106)的供電����。鍵盤控制器112可以被持續(xù)地加電并且能夠在任何時間接受來自電源按鈕124的輸入信號。
[0016]專用存儲器114可以體現(xiàn)為配置用于數(shù)據(jù)的短期或長期存儲的任何類型的裝置���,例如���,諸如存儲器裝置和電路、存儲卡���、硬盤驅(qū)動器���、固態(tài)驅(qū)動器或其它數(shù)據(jù)存儲裝置。各種軟件����、固件和/或數(shù)據(jù)可以被存儲在專用存儲器114中。例如����,可由鍵盤控制器112執(zhí)行的一個或多個軟件或固件模塊可以駐留在專用存儲器114中。雖然在圖1中專用存儲器114被示為與鍵盤控制器112不同的部件,但是預(yù)期在其它實施例中專用存儲器114可以集成到鍵盤控制器112中�����。在任一情況下����,專用存儲器114可直接訪問鍵盤控制器112�,但是不可直接訪問計算裝置102的其它部件。換句話說��,保護專用存儲器114免受未授權(quán)的寫操作并且因此使專用存儲器114基本上沒有遭受惡意攻擊的危險����。專用存儲器114的保留性質(zhì)幫助在運行時間期間通過鍵盤控制器112訪問的軟件、固件和/或數(shù)據(jù)的安全�。
[0017]計算裝置102的鍵盤122可以是可以由計算裝置102的用戶操作來提供輸入給計算裝置102的任何人機接口(HMI)。在說明性實施例中����,計算裝置102的用戶可以按壓鍵盤122的一個或多個鍵,鍵盤控制器112將會將其登記為一個或多個擊鍵��。預(yù)期鍵盤122可以是物理的(例如如標準個人計算機鍵盤)或虛擬的(例如智能電話或平板計算機上的觸摸屏�,其可以被獨立加電或者從鍵盤控制器112接收電力)。
[0018]電源按鈕124可以體現(xiàn)為配置成發(fā)送通電信號206給鍵盤控制器112的任何類型的按鈕、開關(guān)或其它機制�。在一些實施例中,電源按鈕124還可提供將計算裝置102斷電或把計算裝置102放入睡眠��、暫?����;虿僮鞯钠渌凸β誓J降男盘柦o鍵盤控制器112��。雖然用電源按鈕124說明圖1的實施例���,但是應(yīng)該意識到可以通過任何數(shù)量的源(包括遠離計算裝置102的源)來生成通電信號206�。
[0019]在一些實施例中���,計算裝置102還可包括NFC電路126���。NFC電路126可包括相對短程的高頻無線通信電路。例如�����,在一些實施例中����,NFC電路126的有效通信范圍可以是大約10厘米���。NFC電路126的這個相對短的通信范圍允許通過NFC電路126對另一個裝置(即NFC裝置146)的物理存在進行確認。NFC裝置146可以體現(xiàn)為能夠與NFC電路126通信或者被NFC電路126識別的任何類型的裝置�����。通過示例的方式�,NFC裝置146可以體現(xiàn)為智能電話或蜂窩電話��。
[0020]如上面提到的���,計算裝置102還包括配置成執(zhí)行通電用戶驗證的安全控制器110��。安全控制器110可體現(xiàn)為執(zhí)行用戶驗證�����、電源管理����、鍵盤管理和/或其它功能的任何數(shù)量的硬件��、固件和/或軟件模塊。在圖1的說明性實施例中���,安全控制器110體現(xiàn)為鍵盤控制器112內(nèi)的許多硬件���、固件和/或軟件模塊。在這個說明性實施例中�����,安全控制器110以上面關(guān)于鍵盤控制器112描述的相同方式����、以通信方式耦合到專用存儲器114、鍵盤122���、電源按鈕124和NFC電路126����。
[0021]在圖2中�,安全控制器110的軟件/固件環(huán)境200的一個說明性實施例被示出為框圖。安全控制器Iio說明性地包括電源管理模塊220����、驗證模塊222和鍵盤管理模塊224���。這些模塊220-224中的每個模塊可以體現(xiàn)為硬件、軟件���、固件或其中的任何組合�。另外���,這些模塊220-224中的每個模塊可以配置成接收一個或多個輸入(例如通電信號206�、驗證輸入208和/或驗證碼210)���,處理由一個或多個輸入代表的數(shù)據(jù)并且生成一個或多個輸出。這些一個或多個輸出可以被傳遞給模塊220-224中的另一個模塊或者傳輸給計算裝置102的另一個部件����。
[0022]安全控制器110的電源管理模塊220配置成接收通電信號206并且選擇性地向計算裝置102的各種部件供電。如上面討論的����,通電信號206可以從電源按鈕124接收。在其它實施例中����,通電信號206可以從計算裝置102的另一個部件或遠程源接收�����。在接收到通電信號206時��,電源管理模塊220可命令驗證模塊222執(zhí)行用戶驗證���。如果驗證模塊222返回肯定的結(jié)果(即用戶被驗證),則電源管理模塊220將導(dǎo)致向計算裝置102的主處理器104供電��。
[0023]安全控制器110的驗證模塊222配置成接收驗證輸入208���、取回驗證碼210并且比較驗證輸入208和驗證碼210��。驗證輸入208可以體現(xiàn)為配置成向計算裝置102驗證特定用戶的任何輸入����、數(shù)據(jù)或信號�。在一些實施例中,驗證模塊222將經(jīng)由鍵盤管理模塊224接收驗證輸入208���。在這樣的實施例中����,鍵盤管理模塊224監(jiān)視鍵盤122并且登記計算裝置102的用戶輸入的一個或多個擊鍵。然后�,鍵盤管理模塊224將驗證輸入208傳遞給驗證模塊222。在其它實施例中����,當與特定用戶相關(guān)聯(lián)的NFC裝置146被帶入接近NFC電路126時,驗證輸入208可以是從NFC電路126提供給驗證模塊222的信號�����。在又一些實施例中�,驗證輸入208可以通過輸入唯一授權(quán)的口語字或其他手段來提供。
[0024]驗證模塊222還從專用存儲器114取回驗證碼210����。驗證碼210可以體現(xiàn)為包括唯一用戶標識的任何數(shù)據(jù)。計算裝置102的每個授權(quán)用戶(和/或代表授權(quán)用戶的每個NFC裝置146)可以具有存儲在專用存儲器114中的唯一驗證碼210���。在一些實施例中,驗證碼210可以被存儲為專用存儲器114中的哈希(hash)表中的哈希值�。在接收到驗證輸入208并且取回驗證碼210之后,驗證模塊222將兩個值進行比較以便確定驗證輸入208的真實性���??梢允褂萌魏螖?shù)量的已知方法來執(zhí)行這個比較。通過示例的方式����,其中驗證碼210被存儲為哈希值,驗證模塊222可以執(zhí)行驗證輸入208的哈希并且比較所述兩個哈希值���。驗證模塊222可以將結(jié)果返回給電源管理模塊220��,然后電源管理模塊220可以響應(yīng)于成功的用戶驗證而向主處理器104供電�����。
[0025]時常���,可能需要改變驗證碼210或者為新用戶添加新驗證碼210。在用戶已經(jīng)被驗證并且已經(jīng)向主處理器104供電之后��,如上所述����,用戶可以請求改變密碼(或通過計算裝置102識別的NFC裝置146)。作為響應(yīng)�,驗證模塊222可以從鍵盤管理模塊224或者從NFC電路126偵聽驗證輸入208。當接收到驗證輸入208時�,驗證模塊222將把驗證輸入208作為新驗證碼210對待���。驗證模塊222可以用這個新驗證碼210來代替存儲在專用存儲器114中的舊驗證碼210。
[0026]現(xiàn)在回到圖1�,在備選實施例中,安全控制器110可以體現(xiàn)為芯片集106的安全引擎130內(nèi)的許多硬件�����、固件和/或軟件模塊(如模型中說明的)����。安全引擎130可以包括配置成執(zhí)行安全、加密和/或驗證功能的硬件�、固件和/或軟件模塊。例如����,安全引擎130可以體現(xiàn)為或以其它方式包括帶外處理器、可信平臺模塊(TPM)和/或其它安全增強硬件以及相關(guān)聯(lián)的軟件模塊���。安全引擎130可以被持續(xù)加電并且能夠進行操作而不管主處理器104的電力狀態(tài)。在其中安全控制器110位于安全引擎130 (而不是鍵盤控制器112)內(nèi)的實施例中����,專用存儲器114可以體現(xiàn)為只可訪問安全引擎130的存儲器108的安全部分���。這樣的實施例中的安全控制器110還可以與鍵盤122、電源按鈕124和NFC電路126直接通信���,或者可以經(jīng)由鍵盤控制器112來訪問這些部件�。
[0027]除了計算裝置102之外�����,用于通電用戶驗證的系統(tǒng)100還可以包括經(jīng)由網(wǎng)絡(luò)144以通信方式耦合到計算裝置102的遠程服務(wù)器142��。網(wǎng)絡(luò)144可以體現(xiàn)為任何數(shù)量的各種有線的和/或無線的電信網(wǎng)絡(luò)���。例如��,網(wǎng)絡(luò)144可以體現(xiàn)為或以其它方式包括一個或多個蜂窩網(wǎng)絡(luò)�����、電話網(wǎng)絡(luò)�����、局域網(wǎng)或廣域網(wǎng)����、公共可用全球網(wǎng)絡(luò)(例如互聯(lián)網(wǎng))或其中的任何組合。此外����,網(wǎng)絡(luò)144可以包括任何數(shù)量的附加裝置以便于計算裝置102和遠程服務(wù)器142之間的通信,例如路由器��、交換機���、介入計算機和/或類似物��。計算裝置102和遠程服務(wù)器142可使用任何適當?shù)耐ㄐ艆f(xié)議來通過網(wǎng)絡(luò)144互相通信���。
[0028]遠程服務(wù)器142可以是體現(xiàn)為在計算裝置102之外的并且與計算裝置102分離的以及配置成支持安全控制器110和/或安全引擎130的安全功能的任何類型的計算裝置。作為一個說明性示例����,遠程服務(wù)器142可以體現(xiàn)為Intel?AntiTheft服務(wù)器。遠程服務(wù)器142和計算裝置102可具有建立的信任關(guān)系���,使得在操作期間在遠程服務(wù)器142和計算裝置102之間維護安全��。由于這個建立的信任關(guān)系�,遠程服務(wù)器142可周期性地或響應(yīng)于來自用戶的請求而將新驗證碼210傳遞給計算裝置102的安全控制器110��。安全控制器110則可以用這個新驗證碼210來替代存儲在專用存儲器114中的舊驗證碼210����。使用這個機制,盡管忘記密碼�,用戶也可以訪問計算裝置102。
[0029]安全控制器110的特征中的若干特征(包括它的持續(xù)電力連接和專用存儲器114)允許計算裝置102提供通電用戶驗證��。為了這樣做�,如圖3所示,計算裝置102可以配置成執(zhí)行方法300�。一般來說,方法300涉及接收的驗證輸入208和取回的驗證碼210的比較�����。方法300可以例如由安全控制器110連同可以與系統(tǒng)100的其它部件交互的計算裝置102的其它部件一起執(zhí)行��。
[0030]方法300在框302中開始����,其中安全控制器110接收通電信號206。如上面討論的,通電信號206可以從電源按鈕124接收�����。在其它實施例中����,通電信號206可以從計算裝置102的另一部件或遠程源接收。安全控制器110可以通過任何已知方法來接收通電信號206��。例如��,在一些實施例中�,通電信號206可以創(chuàng)建引起安全控制器110響應(yīng)的硬件或軟件中斷。在其它實施例中����,安全控制器110可以輪詢通電信號206。
[0031]在框302中接收通電信號206之后���,方法300進行到框304�,其中安全控制器110接收驗證輸入208�。在框304期間,安全控制器110可以為驗證輸入208監(jiān)視鍵盤122��、NFC電路126和/或其它輸入源。如上所述�����,當用戶在鍵盤122上鍵入密碼或當特定NFC裝置146被帶入到接近NFC電路126時��,可以將驗證輸入208提供給安全控制器110��。安全控制器110可以通過任何已知方法來接收驗證輸入208�。例如����,在一些實施例中,驗證輸入208可以創(chuàng)建引起安全控制器110響應(yīng)的硬件或軟件中斷����。
[0032]在接收驗證輸入的框之后,方法300進行到框306���,其中安全控制器110從專用存儲器114取回驗證碼210���。當然,應(yīng)該意識到可以在框304之前或與框304同時執(zhí)行框306�����。從專用存儲器114取回代表計算裝置102的一個或多個授權(quán)用戶的驗證碼210。如上面討論的�����,在一些實施例中����,取回的驗證碼210可以是一個或多個哈希值。
[0033]在框306之后�����,方法300進行到框308�����,其中安全控制器110確定在框304中接收的驗證輸入208是否匹配在框306中從專用存儲器114取回的驗證碼210��?����?梢允褂萌魏螖?shù)量的已知方法來執(zhí)行這個比較�����。通過示例的方式,其中取回的驗證碼210是哈希值�����,安全控制器110可以執(zhí)行驗證輸入208的哈希并且比較所述兩個哈希值����。驗證輸入208和驗證碼210之間的匹配指示計算裝置102的授權(quán)用戶的存在���。
[0034]如果在框308中安全控制器110確定驗證輸入208匹配驗證碼210����,則方法300進行到框310�,其中安全控制器110向主處理器104供電,從而允許計算裝置102的通電�。如上面提到的,響應(yīng)于確定驗證輸入208匹配驗證碼210���,安全控制器110還可向計算裝置102的其它部件供電����。
[0035]如果在框308中安全控制器110確定驗證輸入208不匹配驗證碼210,則方法300替代地進行到框312�,其中安全控制器110停止向主處理器104供電,從而防止計算裝置102的通電��。在一些實施例中��,安全控制器110可以在框312中采取其它適當?shù)男袆?�。例如�,安全控制?10可以傳遞消息給用戶,通知他們主處理器104和/或計算裝置102的其它部件將不通電�����。
[0036]雖然在附圖和在前的描述中已經(jīng)詳細地描述并說明了本公開�����,但是這樣的說明和描述將被認為在特征上是示范性的而不是限制性的���,會理解已經(jīng)示出和描述了僅僅說明性的實施例�,并且期望保護在本公開的精神的范圍內(nèi)的所有改變和修改����。
【權(quán)利要求】
1.一種方法��,包括: 在向計算裝置的主處理器供電之前���,利用所述計算裝置的安全控制器來接收驗證輸A ; 使用所述安全控制器來比較所述驗證輸入和驗證碼�����;以及 響應(yīng)于所述驗證輸入匹配所述驗證碼�����,向所述主處理器供電��。
2.如權(quán)利要求1所述的方法�����,其中接收所述驗證輸入包括利用所述安全控制器來接收一個或多個擊鍵��。
3.如權(quán)利要求1所述的方法��,其中接收所述驗證輸入包括與接近所述計算裝置的近場通信(NFC)裝置通信��。
4.如權(quán)利要求1所述的方法����,其中比較所述驗證輸入和所述驗證碼包括從專用存儲器取回所述驗證碼。
5.如權(quán)利要求1所述的方法����,其中比較所述驗證輸入和所述驗證碼包括: 計算所述驗證輸入的哈希值;以及 比較所述驗證輸入的哈希值和所述驗證碼��。
6.如權(quán)利要求1所述的方法���,還包括: 在向所述主處理器供電之后��,接收用戶請求來改變所述驗證碼�; 利用所述安全控制器來接收新驗證碼��;以及 在所述專用存儲器中用所述新驗證碼來替代所述驗證碼���。
7.如權(quán)利要求1所述的方法�����,還包括: 從具有與所述計算裝置的建立的信任關(guān)系的遠程服務(wù)器接收新驗證碼���;以及 在所述專用存儲器中用所述新驗證碼來替代所述驗證碼�����。
8.一個或多個非暫時性��、機器可讀媒體�����,包括在由計算裝置的安全控制器執(zhí)行時引起所述安全控制器執(zhí)行下列操作的多個指令: 在向所述計算裝置的主處理器供電之前���,接收驗證輸入; 比較所述驗證輸入和驗證碼����;以及 響應(yīng)于所述驗證輸入匹配所述驗證碼,向所述主處理器供電��。
9.如權(quán)利要求8所述的一個或多個非暫時性�、機器可讀媒體��,其中所述多個指令引起所述安全控制器通過登記一個或多個擊鍵來接收所述驗證輸入����。
10.如權(quán)利要求8所述的一個或多個非暫時性��、機器可讀媒體���,其中所述多個指令引起所述安全控制器從配置成與接近所述計算裝置的近場通信(NFC)裝置通信的NFC電路接收所述驗證輸入。
11.如權(quán)利要求8所述的一個或多個非暫時性��、機器可讀媒體�,其中所述多個指令還引起所述安全控制器從專用存儲器取回所述驗證碼。
12.如權(quán)利要求8所述的一個或多個非暫時性��、機器可讀媒體���,其中所述多個指令引起所述安全控制器執(zhí)行下列操作: 計算所述驗證輸入的哈希值���;以及 比較所述驗證輸入的哈希值和所述驗證碼。
13.如權(quán)利要求8所述的一個或多個非暫時性���、機器可讀媒體��,其中所述多個指令還引起所述安全控制器執(zhí)行下列操作:在向所述主處理器供電之后�����,接收用戶請求來改變所述驗證碼�; 接收新驗證碼;以及 在所述專用存儲器中用所述新驗證碼來替代所述驗證碼�����。
14.如權(quán)利要求8所述的一個或多個非暫時性�����、機器可讀媒體�����,其中所述多個指令還引起所述安全控制器執(zhí)行下列操作: 從具有與所述計算裝置的建立的信任關(guān)系的遠程服務(wù)器接收新驗證碼�����;以及 在所述專用存儲器中用所述新驗證碼來替代所述驗證碼�。
15.一種計算裝置,包括: 主處理器����; 安全控制器����,配置成執(zhí)行驗證模塊�;以及 專用存儲器���,所述專用存儲器包括所述驗證模塊和驗證碼�; 其中所述驗證模塊在由所述安全控制器執(zhí)行時引起所述安全控制器(i)在向所述主處理器供電之前接收驗證輸入�����,(ii )比較所述驗證輸入和所述驗證碼����,以及(iii )響應(yīng)于所述驗證輸入匹配所述驗證碼而向所述主處理器供電。
16.如權(quán)利要求15所述的計算裝置�����,其中: 所述專用存儲器還包括鍵盤模塊�; 所述安全控制器還配置成執(zhí)行`所述鍵盤模塊;并且所述鍵盤模塊在由輔助處理器執(zhí)行時引起所述安全控制器通過登記一個或多個擊鍵來接收所述驗證輸入����。
17.如權(quán)利要求15所述的計算裝置,還包括近場通信(NFC)電路��,其配置成從接近所述計算裝置的NFC裝置接收所述驗證輸入并且將所述驗證輸入傳輸給所述安全控制器。
18.如權(quán)利要求15所述的計算裝置�����,其中所述專用存儲器僅可訪問所述安全控制器����。
19.如權(quán)利要求15所述的計算裝置,其中所述安全控制器是配置用于所述計算裝置的電源管理的嵌入式控制器�。
20.如權(quán)利要求15所述的計算裝置,其中所述安全控制器是配置成進行操作而不管所述主處理器的電力狀態(tài)的安全執(zhí)行引擎�����。
【文檔編號】G06F21/31GK103703470SQ201280038095
【公開日】2014年4月2日 申請日期:2012年7月2日 優(yōu)先權(quán)日:2011年7月2日
【發(fā)明者】G.普拉卡斯, S.達杜, S.艾斯 申請人:英特爾公司