【技术实现步骤摘要】
【国外来华专利技术】协调设备引导安全性的技术
技术介绍
用于引导处理设备以供使用的初始化过程可能会受到不同的安全性要求的影响。政府和/或公司实体可能需要更高的安全性级别来保护机密信息,包括关于人员的信息(例如人员记录,客户信息等)和/或关于与这些实体相关联的活动的信息(例如知识产权,正在进行的项目的方面等)。为了适应这种较高的安全性级别,可以在初始化期间实现各种机制以强制仅使用可信的可执行例程(例如,固件,操作系统,应用例程等)。然而,个人可能不需要和/或可能不想在他们用于其个人用途的处理设备上实施这样的更高的安全性级别。举例来说,个人可能希望具有如下的灵活性:能够在这样的处理设备上获得并安装各种可执行例程中的任何一个,其可能不符合用于被视为可信的可执行例程的一个或多个资格。附图说明图1A和图1B各自示出了安全处理系统的示例实施例。图2示出了向处理设备的组件提供安全性凭证的示例实施例。图3示出了接收所选安全性级别的指示的示例实施例。图4A和图4B一起示出了认证验证例程的示例实施例。图5示出了选择性地认证至少一个固件的示例实施例。图6示出了收集寄存器的示例实施例。图7示出了分析信任链的操作系统或应用例程的示例实施例。图8A,8B和8C一起示出了根据实施例的逻辑流程。图9示出了根据实施例的另一逻辑流程。图10示出了根据实施例的处理架构。具体实施方式各种实施例通常涉及用于协调处理设备的组件之间的信任链的形成以更容易地适应对这些组件中的一个的改变的技术。至少在处理设备的初始化期间,并入其处理器组件中的验证微代码可以尝试认证存储在处理设备的其他存储设备内的验证例程。在成功认证验证例程从而形成 ...
【技术保护点】
一种用于安全初始化的装置,包括:第一处理器组件,包括验证微代码,用于响应于处理设备的初始化而尝试基于第一安全性凭证来认证验证例程,以在所述处理设备内创建信任链,所述信任链至少包括所述验证微代码和所述验证例程;第一收集寄存器,用于在被读取时提供自从所述初始化以来被写入到所述第一收集寄存器的一个或多个值的第一散列值;以及所述验证例程的验证组件,用于确定所述初始化的所选安全性级别,并且基于所述所选安全性级别,尝试基于第二安全性凭证来认证第一固件,以将所述信任链扩展为包括所述第一固件,并且在所述第一收集寄存器中存储对所述第一固件的尝试认证的结果的指示。
【技术特征摘要】
【国外来华专利技术】1.一种用于安全初始化的装置,包括:第一处理器组件,包括验证微代码,用于响应于处理设备的初始化而尝试基于第一安全性凭证来认证验证例程,以在所述处理设备内创建信任链,所述信任链至少包括所述验证微代码和所述验证例程;第一收集寄存器,用于在被读取时提供自从所述初始化以来被写入到所述第一收集寄存器的一个或多个值的第一散列值;以及所述验证例程的验证组件,用于确定所述初始化的所选安全性级别,并且基于所述所选安全性级别,尝试基于第二安全性凭证来认证第一固件,以将所述信任链扩展为包括所述第一固件,并且在所述第一收集寄存器中存储对所述第一固件的尝试认证的结果的指示。2.根据权利要求1所述的装置,所述第一处理器组件包括嵌入在所述验证微代码内的所述第一安全性凭证,所述第一安全性凭证包括密钥,所述验证例程包括利用与密钥相关联的另一密钥生成的数字签名,并且所述验证微代码包括取回组件,用于取回所述验证例程和所述验证微代码以尝试将所述密钥与所述数字签名进行匹配以尝试认证所述验证例程。3.根据权利要求1所述的装置,所述第一处理器组件响应于认证所述验证例程的失败而避免执行所述处理设备的进一步初始化。4.根据权利要求3所述的装置,所述第一处理器组件将对所述第一固件的所述尝试认证的结果的指示存储在所述第一收集寄存器中,而不管所述结果如何,并且响应于包括中级安全性级别的所选安全性级别而尝试初始化所述处理设备内的操作系统。5.根据权利要求1所述的装置,包括:第二收集寄存器,用于在被读取时提供从自从所述初始化以来被写入到所述第二收集寄存器的一个或多个值取的散列的第二散列值,并且所述验证例程的所述验证组件将指示所选安全性级别的值存储在所述第二收集寄存器中。6.根据权利要求5所述的装置,包括操作系统,用于从所述第一收集寄存器读取所述第一散列值,并从所述第二收集寄存器读取所述第二散列值,以获得所述信任链的范围的指示,并且基于所述第一散列值和所述第二散列值来确定是否允许在所述处理设备内对所述操作系统的初始化。7.根据权利要求6所述的装置,所述验证组件向所述第一固件提供指示所选安全性级别的所述值,所述第一固件产生包括所述值的事件日志并将所述事件日志提供给操作系统,并且所述操作系统从所述事件日志中的所述值导出第三散列值,并比较所述第二散列值和所述第三散列值,以确定是否允许在所述处理设备内对所述操作系统的初始化。8.根据权利要求1所述的装置,包括:跳线,其能够操作至至少一个位置以选择所选安全性级别;以及设置寄存器,其能够由所述第一处理器组件访问,以在被读取时提供如经由所述跳线选择的所选安全性级别的指示。9.根据权利要求1所述的装置,包括第二处理器组件,用于执行所述验证例程以使所述验证组件对所述第一固件进行认证,以将所述信任链扩展为包括所述第一固件,并且所述验证微代码用于创建所述信任链以包括所述第二处理器组件。10.一种用于安全初始化的装置,包括:第一处理器组件,包括验证微代码,用于响应于处理设备的初始化而尝试基于第一安全性凭证来认证验证例程,以在所述处理设备内创建信任链,所述信任链至少包括所述验证微代码和所述验证例程;所述验证例程的验证组件,用于确定所述初始化的所选安全性级别,并且基于所选安全性级别,尝试基于第二安全性凭证来认证第一固件,以将所述信任链扩展为包括所述第一固件,并且将对所述第一固件的尝试认证的结果的指示存储在第一收集寄存器中,所述第一收集寄存器在被读取时提供自从所述初始化以来被写入到所述第一收集寄存器的一个或多个值的第一散列值;以及所述验证例程的选择组件,用于基于所选安全性级别并且响应于认证所述第一固件的失败而识别第二固件,所述验证组件用于基于所选安全性级别尝试基于所述第二安全性凭证认证所述第二固件来将所述信任链扩展为包括所述第二固件,并且将对所述第二固件的尝试认证的结果的指示存储在所述第一收集寄存器中。11.根据权利要求10所述的装置,所述第二安全性...
【专利技术属性】
技术研发人员:姚颉文,V·J·齐默,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。