一种包括被配置成维持受保护账户的账户管理模块的系统。例如,特定受保护账户包括在系统外部无法读取并且可能甚至在账户外部无法读取的受保护数据集。该特定数据集对应于指派给特定账户的特定实体并且包括对应于特定实体的密钥。安全处理器响应于从特定实体接收到一个或多个受信执行环境命令而使用多个密钥中的至少一些以执行密码过程。
【技术实现步骤摘要】
【国外来华专利技术】对受保护数据集进行基于网络的管理背景受信平台模块(即“TPM”)是与计算设备的常规操作环境隔离的受信执行环境。通常,TPM以物理上绑定到计算设备的芯片形式来实现。常规计算环境可以通过接口(该接口的一个示例是基于TPM的服务(即“TBS”))与TPM通信。TPM提供各种功能,这些功能中最常用的是密码密钥生成、策略驱动的密钥使用、密封存储、以及证明。TPM具有被称为“受保护区域”的存储器区域,该“受保护区域”包含无法被读取的数据,但是可以使用这些数据来执行操作和/或对这些数据执行操作。一些数据是不可改变的,并且因而由正在执行的操作读取(但不被改变),而一些数据是可改变的并且可以通过这些操作来改变。注意到,读取数据的是在TPM内部正在执行的操作。受保护数据在TPM外部是不可读的。因而,TPM具有执行操作的操作组件,以及保留不能够在TPM外部被读取的受保护数据的存储器组件。TPM的操作速度受限于TPM内硬件的能力。同样,受保护区域的大小受限于TPM内的空间。简要概述本文描述的至少一个实施例涉及一种包括被配置成维持受保护账户的账户管理模块的系统。例如,特定受保护账户包括从系统外部无法访问并且可能甚至从账户外部无法访问的受保护数据集。该特定数据集与指派给特定账户的特定实体(例如,设备、系统、用户、组件、或其组合)相对应并且包括对应于特定设备的密钥。安全处理器响应于从特定实体接收到一个或多个受信执行环境命令而使用这些密钥中的至少一些以执行密码和安全过程。在一些实施例中,可能存在针对属于相同账户的不同实体的多个数据集。提供本概述是为了以简化的形式介绍将在以下具体实施方式中进一步描述的概念选择。本概述不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。附图说明为了描述能够获得上述和其它优点和特征的方式,各实施例的更具体的描述将通过参考各附图来呈现。可以理解,这些附图只描绘了示例实施例,并且因此不被认为是对其范围的限制,将通过使用附图并利用附加特征和细节来描述和解释各实施例,在附图中:图1示出可用于采用本文描述的各实施例并且包括管理级和本地受信执行环境级的示例计算系统;图2示出了一环境,其中多个客户端中的一些客户端通过网络利用受信平台模块(TPM)与系统对接,该系统包括多个账户,每一个账户具有一个或多个受保护数据集,这些受保护数据集服从响应于从客户端接收到的本地受信执行环境命令而实现的密码过程;图3将受保护数据集抽象地示为包括不可改变数据和可改变数据;以及图4示出了用于管理受信执行环境命令的方法的流程图。具体实施方式根据本文描述的至少一个实施例,描述了一种系统,其中账户管理模块维持受保护账户。例如,特定受保护账户包括从系统外部无法访问并且可能甚至从账户外部无法访问的受保护数据集。该特定数据集与指派给特定账户的特定实体(例如,设备、系统(诸如计算系统)、用户、组件、或其组合)相对应并且包括对应于特定实体的密钥。安全处理器响应于从特定实体接收到的一个或多个受信执行环境命令而使用多个密钥中的至少一些以执行密码和安全过程。在一些实施例中,可能存在多个数据集,每个数据集对应于不同的实体。此外,尽管未作要求,但也可能在单个账户内存在多个受保护数据集。计算系统现在越来越多地采取多种多样的形式。例如,计算系统可以是手持式设备(诸如智能电话)、电器、膝上型计算机、台式计算机、大型机、分布式计算系统或甚至常规上不被认为是计算系统的设备(诸如腕带手表、厨房电器、汽车、医疗植入设备等)。在本说明书以及权利要求书中,术语“计算系统”被广义地定义为包括任何设备或系统(或其组合),该设备或系统包含至少一个物理有形的处理器以及其上能含有可由处理器执行的计算机可执行指令的物理有形的存储器。存储器可以采取任何形式,并可以取决于计算系统的性质和形式。如此处所使用的那样,术语“模块”或“组件”可以指在计算系统上执行的软件对象或例程。此处所描述的不同组件、模块、引擎,以及服务可以实现为在计算系统上执行的对象或进程(例如,作为分开的线程)。这里描述的各实施例可包括或利用专用或通用计算机,该专用或通用计算机包括诸如例如一个或多个处理器和系统存储器等计算机硬件,如以下更详细讨论的。这里描述的各实施例还包括用于承载或存储计算机可执行指令和/或数据结构的物理和其他计算机可读介质。这样的计算机可读介质可以是可由通用或专用计算机系统访问的任何可用介质。存储计算机可执行指令或数据的计算机可读介质是物理存储介质。承载计算机可执行指令或数据的计算机可读介质是传输介质。由此,作为示例而非限制,本专利技术的各实施例可包括至少两种显著不同的计算机可读介质:计算机存储介质和传输介质。计算机存储介质包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备、或可用于存储计算机可执行指令或数据结构形式的所需程序代码装置且可由通用或专用计算机访问的任何其他介质。“网络”被定义为使得电子数据能够在计算机系统和/或模块和/或其它电子设备之间传输的一个或多个数据链路。当信息通过网络或另一个通信连接(硬连线、无线、或者硬连线或无线的组合)传输或提供给计算机时,该计算机将该连接适当地视为传输介质。传输介质可包括可用于携带计算机可执行指令或数据结构形式的所需程序代码装置且可由通用或专用计算机访问的网络和/或数据链路。上述的组合也应被包括在计算机可读介质的范围内。此外,在到达各种计算机系统组件之后,计算机可执行指令或数据结构形式的程序代码资料可从传输介质自动传输到计算机存储介质(或反之亦然)。例如,通过网络或数据链路接收到的计算机可执行指令或数据结构可被缓存在网络接口模块(例如,“NIC”)内的RAM中,然后最终被传输到计算机系统RAM和/或计算机系统处的较不易失性的计算机存储介质。因而,应当理解,计算机存储介质可被包括在还利用(或甚至主要利用)传输介质的计算机系统组件中。计算机可执行指令包括,当在处理器处执行时使通用计算机、专用计算机、或专用处理设备执行某一功能或某组功能的指令和数据。计算机可执行指令可以是例如二进制代码、诸如汇编语言之类的中间格式指令、或甚至源代码。尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述特征或动作。更具体而言,上述特征和动作是作为实现权利要求的示例形式而公开的。本领域的技术人员将理解,本专利技术可以在具有许多类型的计算机系统配置的网络计算环境中实践,这些计算机系统配置包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持式设备、多处理器系统、基于微处理器的或可编程消费电子设备、网络PC、小型计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机等等。在本说明书和权利要求书中,“设备”被定义为不是分布式的任何计算系统。然而,本专利技术也可在其中通过网络链接(或者通过硬连线数据链路、无线数据链路,或者通过硬连线和无线数据链路的组合)的本地和远程计算机系统两者都执行任务的分布式系统环境中实施。在分布式系统环境中,程序模块可以位于本地和远程存储器存储设备二者中。图1示出了计算系统100的示例。计算系统100包括管理域110(即“管理级”)和本地受信执行本文档来自技高网...
【技术保护点】
一种系统,包括:接收模块,所述接收模块能够接收由多个实体通过网络发出的受信执行环境命令,每一受信执行环境命令是用于对与发出所述命令的实体相对应的安全上下文进行操作的命令;安全处理器,所述安全处理器被配置成响应于由所述接收模块接收到所述受信执行环境命令对密钥和受保护数据集执行多个密码和安全过程;以及账户管理模块,所述账户管理模块被配置成维持多个受保护账户,其中所述多个受保护账户中的特定受保护账户包括对应于指派给所述特定账户的特定实体的且包括对应于所述特定实体的多个密钥的受保护数据集,所述受保护数据集在所述系统外部不能读取,所述安全处理器响应于从所述特定实体接收到一个或多个受信执行环境命令使用所述多个密钥中的至少一些密钥来执行密码过程。
【技术特征摘要】
【国外来华专利技术】2012.06.19 US 13/527,4391.一种用于管理数据的系统,包括:接收模块,所述接收模块能够接收由多个实体通过网络发出的受信执行环境命令,每一受信执行环境命令是用于对与发出所述命令的实体相对应的安全上下文进行操作的命令;安全处理器实例,所述安全处理器实例被配置成响应于由所述接收模块接收到所述受信执行环境命令对密钥和受保护数据集执行多个密码和安全过程,所述安全处理器实例被绑定至特定实体和所述特定实体的对应受保护数据集,所述安全处理器实例被阻止处理来自其他实体的执行环境命令;以及账户管理模块,所述账户管理模块被配置成维持多个受保护账户,其中所述多个受保护账户中的特定受保护账户包括对应于指派给所述特定账户的特定实体的且包括对应于所述特定实体的多个密钥的受保护数据集,所述受保护数据集在所述系统外部不能读取,所述安全处理器实例响应于从所述特定实体接收到一个或多个受信执行环境命令使用所述多个密钥中的至少一些密钥来执行密码过程。2.如权利要求1所述的系统,其特征在于,所述受信执行环境命令符合受信平台模块(TPM)通信协议。3.如权利要求1所述的系统,其特征在于,所述受保护数据集包括除了所述安全处理器之外不能读取的数据的至少一部分。4.如权利要求1所述的系统,其特征在于,所述特定账户包括各自对应于与所述特定账户相关联的实体的多个数据集,所述特定数据集是第一数据集,所述特定实体是第一实体,并且所述多个密钥是第一多个密钥,所述特定账户进一步包括:对应于指派给所述特定账户的第二实体的且包括对应于所述第二实体的第二多个密钥的第二受保护数据集,所述第二受保护数据集在所述系统外部不能读取,所述安全处...
【专利技术属性】
技术研发人员:M·F·诺瓦克,A·J·雷曼,M·尼斯特伦,S·汤姆,
申请(专利权)人:微软公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。