标识计算设备上的安全边界制造技术

在计算设备引导期间，生成多个安全边界。安全边界是指计算设备或计算设备的部分的操作方式，其中在一个安全边界中执行的程序被禁止访问另一个安全边界内的数据和程序。作为引导计算设备的部分，由计算设备的引导测量系统维持作为引导计算设备的部分而加载和执行的各种模块（例如，散列值或其他标识）的测量。附加地，作为引导计算设备的部分，生成或以其他方式获取安全边界之一的公共/私有密钥对。公共/私有密钥对的私有密钥被提供给所述一个安全边界，公共/私有密钥对的公共密钥被提供给引导测量系统。

【技术实现步骤摘要】
【国外来华专利技术】标识计算设备上的安全边界
技术介绍
计算设备在我们生活的许多领域已经变得常见。考虑到可用于我们的计算设备的数量，通常期望使两个计算设备彼此通信。然而，可能会出现这样的情形，其中计算设备的某些部分被信任以经由与另一设备的通信来接收数据，但是计算设备的其他部分不被信任以接收这样的数据。允许这样的通信，但是对不被信任以接收数据的计算设备的部分隐瞒数据可能是困难的，从而导致用户对其设备不满意。
技术实现思路
提供本
技术实现思路
以便以简化的形式介绍概念的选择，这些概念在下面的具体实施方式中进一步描述。本
技术实现思路
不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在被用于限制所要求保护主题的范围。根据一个或多个方面，在具有多个安全边界的计算设备的引导期间，获取用于多个安全边界的第一安全边界的公共/私有密钥对。第一安全边界的数据对于多个安全边界的第二安全边界中的程序是不可访问的。将公共/私有密钥对的私有密钥提供给第一安全边界的操作系统模块，并且将公共/私有密钥对的公共密钥提供给包括安全密码处理器（crypto-processor）的计算设备的引导测量（measurement）系统。根据一个或多个方面，本文档来自技高网...

【技术保护点】
一种在计算设备中实现的方法，所述方法包括：在具有多个安全边界的计算设备的引导期间，获取用于多个安全边界的第一安全边界的公共/私有密钥对，第一安全边界的数据不可由多个安全边界的第二安全边界内的程序访问；将公共/私有密钥对的私有密钥提供给第一安全边界的操作系统模块，以使得能够在第一安全边界和远程设备之间建立安全通信信道；以及将公共/私有密钥对的公共密钥提供给包括安全密码处理器的计算设备的引导测量系统。

【技术特征摘要】
【国外来华专利技术】2014.10.13 US 62/063294;2015.02.04 US 14/6141321.一种在计算设备中实现的方法，所述方法包括：在具有多个安全边界的计算设备的引导期间，获取用于多个安全边界的第一安全边界的公共/私有密钥对，第一安全边界的数据不可由多个安全边界的第二安全边界内的程序访问；将公共/私有密钥对的私有密钥提供给第一安全边界的操作系统模块，以使得能够在第一安全边界和远程设备之间建立安全通信信道；以及将公共/私有密钥对的公共密钥提供给包括安全密码处理器的计算设备的引导测量系统。2.如权利要求1所述的方法，获取公共/私有密钥对包括生成公共/私有密钥对。3.如权利要求1所述的方法，获取公共/私有密钥对包括仅仅在当公共/私有密钥对的至少私有密钥被解密的时刻计算设备的引导系统的安全敏感状态和当公共/私有密钥对的至少私有密钥之前被加密的时刻计算设备的引导系统的安全敏感状态是相同的安全敏感状态的情况下，解密之前生成的公共/私有密钥对的至少私有密钥。4.如权利要求1至3中任一项所述的方法，获取公共/私有密钥对包括在创建第一安全边界时获取公共/私有密钥对。5.如权利要求1至3中任一项所述的方法，获取公共/私有密钥对包括在创建第一安全边界之前获取公共/私有密钥对。6.如权利要求1至5中任一项所述的方法，安全密码处理器包括可信平台模块物理设备。7.如权利要求1至6中任一项所述的方法，还包括使用公共/私有密钥对的私有密钥在第一安全边界和远程设备之间建立安全通信信道。8.如权利要求7所述的方法，还包括向远程设备提供事件日志，其标...

【专利技术属性】
技术研发人员：K金舒曼，YA桑索诺夫，NT费尔古森，MF诺瓦克，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国,US