Devices include reset resistant repositories and trusted key services. The Reset Resistance Repository maintains data across various device resets or invalid data operations. Trusted key service maintains the encryption key associated with the boot configuration for each of one or more operating systems configured to run on the device from boot. The device also has a master key specific to the device. Each key associated with the boot configuration is encrypted using the primary key. When booting the device, identify the boot configuration running on the device and obtain the key associated with the boot configuration (for example, from a reset resistance repository or encrypted key repository). The master key is used to decrypt the obtained key, and the obtained key is used to decrypt the secret associated with the operating system running from the boot configuration.
【技术实现步骤摘要】
【国外来华专利技术】跨重置维护操作系统秘密
技术介绍
随着计算技术的进步,计算设备在我们的生活中变得越来越普遍并且用于执行各种不同的任务。计算设备运行控制设备操作的操作系统,并支持运行其他应用程序或程序。可以通过重新安装当前操作系统或安装不同的操作系统来替换计算设备上的操作系统。然而,这种操作系统的安装或重新安装可能产生各种问题,因为数据可能丢失或者新操作系统无法访问。数据的不可访问性对用户来说可能是令人沮丧的。
技术实现思路
提供本
技术实现思路
是为了以简化的形式介绍一些概念,这些概念将在下面的具体实施方式中进一步描述。本
技术实现思路
不旨在确定所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。根据一个或多个实施例,在计算设备中,获得与计算设备相关联的主密钥。识别计算设备的当前引导配置,并获得与当前引导配置相关联的加密的引导配置特定密钥。主密钥用于解密加密的引导配置特定密钥,并且解密的引导配置特定密钥用于解密与从引导配置运行的计算设备的当前操作系统相关联的数据。附图说明参考附图描述了具体实施方式。在附图中,参考标号的最左边的数字标识首次出现参考标号的图。在说明书和附图中的不同实例中使用相同的附图标记可以指示相似或相同的项目。图中表示的实体可以指示一个或多个实体,因此可以在讨论中将单个或多个形式的实体互换地引用。图1是示出根据一个或多个实施例的实现跨重置维护操作系统秘密的示例计算设备的框图。图2示出了根据一个或多个实施例的示例密钥集。图3是示出根据一个或多个实施例的用于跨重置实现维护操作系统秘密的示例过程的流程图。图4是示出根据一个或多个实施例的用于备份加密密钥 ...
【技术保护点】
1.一种在计算设备中实现的方法,所述方法包括:获得与所述计算设备相关联的主密钥;识别所述计算设备的当前引导配置;获取与所述当前引导配置相关联的加密的引导配置特定密钥;使用所述主密钥解密加密的所述引导配置特定密钥;以及使用解密的所述引导配置特定密钥来解密与从所述引导配置运行的所述计算设备的当前操作系统相关联的数据。
【技术特征摘要】
【国外来华专利技术】2016.06.30 US 15/199,6501.一种在计算设备中实现的方法,所述方法包括:获得与所述计算设备相关联的主密钥;识别所述计算设备的当前引导配置;获取与所述当前引导配置相关联的加密的引导配置特定密钥;使用所述主密钥解密加密的所述引导配置特定密钥;以及使用解密的所述引导配置特定密钥来解密与从所述引导配置运行的所述计算设备的当前操作系统相关联的数据。2.如权利要求1所述的方法,还包括:仅在满足与所述引导配置特定密钥相关联的策略的情况下,才允许对与所述当前操作系统相关联的所述数据的改变。3.如权利要求1或权利要求2所述的方法,还包括跨操作系统重新安装和操作系统重置来维护与所述当前操作系统相关联的所述数据。4.如权利要求1至权利要求0中任一项所述的方法,还包括:将解密的所述引导配置特定密钥维护在可信平台模块中,并且维护与所述当前操作系统相关联的所述数据,而不管对可信平台模块中的数据的无效。5.如权利要求1至4中任一项所述的方法,还包括:将与所述当前操作系统相关联的加密的数据维护在所述计算设备的重置抗性存储库中,所述重置抗性存储库跨操作系统重新安装和操作系统重置而持续存在。6.如权利要求1至5中任一项所述的方法,所述重置抗性存储库包括统一可扩展固件接口变量。7.如权利要求1至6中任一项所述的方法,还包括:在可信密钥服务中维护加密的所述引导配置特定密钥;以及将加密的操作系统密钥从所述可信密钥服务备份到所述重置抗性存储库。8.如权利要求1至7中任一项所述的方法,来自不同供应商的操作系统具有不同的引导配置特定密钥,并且来自不同供应商的操作系...
【专利技术属性】
技术研发人员:R·D·杨,J·B·巴克卢,R·艾格纳,A·L·米肖,J·J·考克斯,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。