【技术实现步骤摘要】
按照参考平台清单和数据封装的安全操作系统启动本申请是申请日为2014年8月13日、申请号为201480045238、4的专利技术专利申请“按照参考平台清单和数据封装的安全操作系统启动”的分案申请。
技术介绍
典型地,计算设备利用安全模块以在启动期间监测计算设备的硬件平台和操作系统。安全模块通常是在计算设备启动时从计算设备的各个组件接收状态输入的专用处理芯片。进而,安全模块向计算设备上的应用程序提供状态输入。应用程序总体上使用状态输入来验证该计算设备对于执行应用程序来说是安全的平台,例如,操作系统是最新的并且没有已知的安全问题。然而,在许多实例中,由于初始化了大量的硬件组件,因此安全模块在启动期间从硬件和软件平台接收了大量的输入。此外,许多应用程序不能够处理从安全模块接收到的状态输入。开发能够处理来自具有各种硬件配置的过多的计算设备的状态输入以对安全的计算设备和受到威胁的(compromised)计算设备进行区分的应用程序,典型地需要大量的资源支出。通常,应用程序开发者缺少或另外不愿意投入这样的资源。由此,虽然安全模块旨在协助创建安全的计算平台,但是计算设备上大量的应用程序经常忽略由安全模块提供的状态输入。由此,尽管事实上状态输入反映了受到威胁的计算设备,但是应用程序仍在该计算设备上执行。执行这样的应用程序经常无意中允许恶意的一方控制该计算设备和/或从计算设备窃取用户数据。
技术实现思路
本文中描述了用于使用由计算设备上的信任模块推导的一个或多个设备健康值来确定计算设备的健康状态的技术。这些技术可以生成计算设备的一个或多个参考健康值。该一个或多个参考健康值是可以提前使 ...
【技术保护点】
1.一种设备,包括:一个或多个处理器;一个或多个计算机可读介质;存储在所述一个或多个计算机可读介质上并且能够由所述一个或多个处理器执行的启动加载器,所述启动加载器被配置为:初始化硬件平台的一个或多个硬件组件;以及加载操作系统;存储在所述一个或多个计算机可读介质上并且能够由所述一个或多个处理器执行的信任组件,所述信任组件被配置为生成与所述硬件平台或所述操作系统中的至少一个相关联的设备健康值;存储在所述一个或多个计算机可读介质上并且能够由所述一个或多个处理器执行的状态评价器,所述状态评价器被配置为确定所述设备健康值与从验证实体接收的对应的参考健康值匹配;以及存储在所述一个或多个计算机可读介质上并且能够由所述一个或多个处理器执行的数据保护组件,所述数据保护组件被配置为至少部分地基于所述设备健康值与所述对应的参考健康值匹配来提供使用从所述验证实体接收的一个或多个密钥而对数据的访问。
【技术特征摘要】
2013.08.15 US 13/968,2051.一种设备,包括:一个或多个处理器;一个或多个计算机可读介质;存储在所述一个或多个计算机可读介质上并且能够由所述一个或多个处理器执行的启动加载器,所述启动加载器被配置为:初始化硬件平台的一个或多个硬件组件;以及加载操作系统;存储在所述一个或多个计算机可读介质上并且能够由所述一个或多个处理器执行的信任组件,所述信任组件被配置为生成与所述硬件平台或所述操作系统中的至少一个相关联的设备健康值;存储在所述一个或多个计算机可读介质上并且能够由所述一个或多个处理器执行的状态评价器,所述状态评价器被配置为确定所述设备健康值与从验证实体接收的对应的参考健康值匹配;以及存储在所述一个或多个计算机可读介质上并且能够由所述一个或多个处理器执行的数据保护组件,所述数据保护组件被配置为至少部分地基于所述设备健康值与所述对应的参考健康值匹配来提供使用从所述验证实体接收的一个或多个密钥而对数据的访问。2.如权利要求1所述的设备,其中,所述数据被存储在所述一个或多个计算机可读介质的数据部分上。3.如权利要求1所述的设备,其中,所述信任组件还被配置为从所述验证实体接收所述对应的参考健康值以及所述一个或多个密钥。4.如权利要求1所述的设备,其中所述信任组件还被配置为:获取一个或多个硬件配置值,所述一个或多个硬件配置值表示被初始化的硬件平台的状态;以及获取一个或多个操作系统配置值,所述一个或多个操作系统配置值表示被加载的操作系统的状态。5.如权利要求4所述的设备,其中,所述信任组件被配置为至少部分地基于所述一个或多个硬件配置值和所述一个或多个操作系统配置值中的至少一个来生成所述设备健康值。6.如权利要求1所述的设备,其中,所述信任组件在所述硬件平台的初始化或所述操作系统的加载中的至少一个期间生成所述设备健康值。7.如权利要求1所述的设备,还包括存储在所述一个或多个计算机可读介质上并且能够由所述一个或多个处理器执行的应用程序,所述应用程序被配置为:至少部分地基于所述设备健康值与所述对应的参考健康值匹配,向服务提供者提供从所述验证实体接收的健康证书;以及从所述服务提供者获取服务。8.一种方法,包括:初始化硬件平台的一个或多个硬件组件;加载操作系统;生成设备健康值,所述设备健康值与所述硬件平台或所述操作系统中的至少一个相关联;确定所述设备健康值与从验证实体接收的对应的参考健康值匹配;至少部分地基于所述设备健康值与所述对应的参考健康值匹配,向服务提供者提供从所述验证实体接收的健康证书;以及从所述服务提供者获取服务。9.如权利要求8所述的方法,其中,所述健康证书包括一个或多个密钥,并且所述方法还包括使用所述一个或多个密钥访问数据。10.如权利要求8所述的方法,其中,所述健康证书证明设备处于安全状态。11.如权利要求8所述的方法,还包括至少部分地基于向所述服务提供者提供所述健康证书来接收来自所述服务提供者的认证票,其中,所述认证票用于从所述服务提供者获取所述服务。12.如权利要求8所述的方法,还包括:获取一个或多个硬件配置值,所述一个或多个硬件配置值表示被初始化的硬件平台的状态;以及获取一个或多个操作系统配置值,所述一个或多个操作系统配置值表示被加载的操作系统的状态。13.如权利要求12所述的方法,其中,生成所述设备健康值包括至少部分地基于所述一个或多个硬件配置值和所述一个或多个操作系统配置值中的至少一个来生成所述设备健康值。14.存储计算机可执行指令的一个或多个计算机存储设备,所述计算机可执行指令在由一个或多个处理器执行时使所述一个或多个处理器执行包括以下的操作:生成与硬件平台或操作系统中的至少一个相关联的设备健康值;确定所述设备健康值与从验证实体接收的对应的参考健康值匹配;以及至少部分地基于所述设备健康值与所述对应的参考健康值匹配,提供使用从所述验证实体接收的一个或多个密钥而对数据的访问。15.如权利要求14所述的一个或多个计算机存储设备,其中,所述数据被存储在所述一个或多个计算机存储设备的数据部分上。16.如权利要求14所述的一个或多个计算机存储设备,所述操作还包括从所述验证实体接收所述对应的参考健康值以及所述一个或多个密钥。17.如权利要求14所述的一个或多个计算机存储设备,所述操作还包括:获取一个或多个硬件配置值,所述一个或多个硬件配置值表示被初始化的硬件平台的状态;以及获取一个或多个操作系统配置值,所述一个或多个操作系统配置值表示被加载的操作系统的状态。18.如权利要求17所述的一个或多个计算机存储设备,其中,生成所述设备健康值包括至少部分地基于所述一个或多个硬件配置值和所述一个或多个操作系统配置值中的至少一个而生成所述设备健康值。19.如权利要求14所述的一个或多个计算机存储设备,其中,生成所述设备健康值包括在所述硬件平台的初始化或所述操作系统的加载中的至少一个期间生成所述设备健康值。20.如权利要求14所述的一个或多个计算机存储设备,所述操作还包括:至少部分地基于所述设备健康值与所述对应的参考健康值匹配,向服务提供者提供从所述验证实体接收的健康证书;以及从所述服务提供者获取服务。21.一种设备,包括:一个或多个处理器;一个或多个计算机可读介质;启动加载器,其被存储在所述一个或多个计算机可读介质中并且能够由所述一个或多个处理器执行以用于:启动硬件平台的一个或多个硬件组件;以及加载操作系统;信任组件,其能够由所述一个或多个处理器执行以生成与所述硬件平台或所述操作系统中的至少一个相关联的设备健康值;以及状态评价器,其能够由所述一个或多个处理器执行以用于:确定所述设备健康值与从验证实体接收的对应的参考健康值不匹配;以及至少部分地基于所述设备健康值与所述对应的参考健康值不匹配,实现恢复环境。22.如权利要求21所述的设备,还包括维护模块,所述维护模块被存储在所述一个或多个计算机可读介质中并且能够由所述一个或多个处理器执行以至少部分地基于实现所述恢复环境来执行以下中的至少一个:修复损坏的数据文件;移除恶意软件或病毒;重新映射所述操作系统;针对所述一个或多个硬件组件安装固件;或更新所述操作系统。23.如权利要求21所述的设备,还包括维护模块,所述维护模块被存储在所述一个或多个计算机可读介质中并且能够由所述一个或多个处理器执行以至少部分地基于实现所述恢复环境来建立与所述验证实体的通信链路以便检测并修复所述设备上的错误。24.如权利要求21所述的设备,其中,所述信任组件还能够由所述一个或多个处理器执行以用于:获取一个或多个硬件配置值,所述一个或多个硬件配置值表示被初始化的硬件平台的状态;以及获取一个或多个操作系统配置值,所述一个或多个操作系统配置值表示被加载的操作系统的状态,其中,所述信任组件能够由所述一个或多个处理器执行以至少部分地基于所述一个或多个硬件配置值或所述一个或多个操作系统配置值中的至少一个而生成所述设备健康值。25.如权利要求21所述的设备,其中,所述信任组件能够由所述一个或多个处理器执行,以在所述硬件平台的初始化或所述操作系统的加载中的至少一个期间生成所述设备健康值。26.一种方法,包括:通过电子设备初始化硬件平台的一个或多个硬件组件;通过所述电子设备加载操作系统;通过所述电子设备生成设备健康值,所述设备健康值与所述硬件平台或所述操作系统中的至少一个相关联;通过所述电子设备确定所述设备健康值与参考健康值不匹配;以及至少部分地基于确定所述设备健康值与所述参考健康值不匹配,通过所述电子设备在所述电子设备上实现恢复环境。27.如权利要求26所述的方法,还包括至少部分地基于确定所述设备健康值与所述参考健康值不匹配来确定所述电子设备处于非期望状态。28.如权利要求26所述的方法,还包括至少部分地基于在所述电子设备上实现所述恢复环境来执行以下中的至少一个:修复损坏的数据文件;移除恶意软件或病毒;重新映射所述操作系统;针对所述一个或多个硬件组件安装固件;或更新所述操作系统。29.如权利要求26所述的方法,还包括至少部分地基于在所述电子设备上实现所述恢复环境来建立与实体的通信链路,以便检测并修复所述电子设备上的错误。30.如权利要求26所述的方法,还包括至少部分地基于在所述电子设备上实现所述恢复环境来拒绝对存储在所述电子设备上的数据的访问。31.如权利要求26所述的方法,还包括从验证实体接收所述参考健康值。32.如权利要求26所述的方法,还包括:获取一个或多个硬件配置值,所述一个或多个硬件配置值表示被初始化的硬件平台的状态;以及获取一个或多个操作系统配置值,所述一个或多个操作系统配...
【专利技术属性】
技术研发人员:S·汤姆,R·艾格纳,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。