系统的固件被配置为允许诸如智能卡等辅助设备被用于认证。在一示例实施例中,辅助设备是符合ISO 7816规范的CCID智能卡。在引导系统之前,智能卡被插入到耦合到该系统的读卡器。该固件包括被配置为允许利用来自该智能卡的认证信息以允许引导进程的执行的仿真程序和驱动程序。在一示例实施例中,该智能卡包括供与BITLOCKER↑[TM]一起使用的外部键。该辅助设备与实现BIOS的系统和与实现EFI的系统兼容。认证还可以经由诸如生物测定设备等不提供数据存储的设备来完成。
【技术实现步骤摘要】
【国外来华专利技术】
本
一般涉及计算机处理器,且更具体地涉及访问受保护的文件。 背景当前的处理系统提供数据保护。例如,作为MICROSOFT⑧公司产品的 BITLOCKERTM驱动器加密(也被称为BITLOCKERtm ),是可随各 WINDOWS 操作系统获得的数据保护特征。BITLOCKERtm防止引导另一 操作系统或运行软件黑客攻击工具的用户使文件或系统保护无效,或防止 该用户对存储在受保护驱动器上的文件执行离线查看。BITLOCKERTM保护 用户数据并确保运行WINDOWS⑧操作系统(例如,WINDOWS VISTA) 的处理器在该系统离线时不被篡改。BITLOCKERTM可以锁定正常的引导进程,直到用户提供PIN或插入包含键控(keying)材料的USB闪存驱动器。例如,USB闪存驱动器可以在 引导进程之前插入到处理系统中。在引导进程期间,该USB闪存驱动器将 被识别,并且可以从其中访问键控材料。然而,当前的处理系统在引导进 程期间不识别诸如智能卡和CCID (集成电路卡接口设备)智能卡等用于这 一目的设备。概述提供本概述以便以简化的形式介绍将在以下说明性实施例的详细描述 中进一步描述的一些概念。本概述并不旨在标识出所要求保护的主题的关 键特征或必要特征,也不旨在用于限定所要求保护的主题的范围。平台提供对受由该平台的固件所支持的任何认证机制选通(gated)的 受保护的文件的透明访问。该平台能够接受PIN,能够使用来自诸如USB 闪存驱动器或智能卡等各种设备的键,且与诸如生物测定设备等不提供数据存储的其它设备兼容。在一示例实施例中,平台固件允许BITLOCKERTM 访问一设备(例如,CCID智能卡)上专门提供的文件,和/或访问该设备 的受保护的BIOS (基本输入/输出系统)部分。附图简述以上概述以及以下详细描述在结合附图阅读时可被更好地理解。出于 说明经由透明辅助因素的平台认证的目的,在附图中示出了其示例性构造, 然而,经由透明辅助因素的平台认证不限于所公开的各具体方法和手段。附图说明图1是用于访问块设备的示例系统的功能框图,该访问是经由该系统 的BIOS部分的。图2是用于访问生物测定设备的示例系统的功能框图,该访问是经由 该系统的BIOS部分的。图3是用于访问块设备的示例系统的功能框图,该访问是经由该系统 的EFI的。图4是用于访问生物测定设备的示例系统的功能框图,该访问是经由该系统的EFI的。图5是符合ISO 7816规范的块设备的示例文件系统的描绘。图6是用于在平台存储器中生成虚拟块设备的示例过程的流程图。图7是对虚拟块设备的平台存储器的示例分配的描绘。图8是用于访问CCID智能卡的示例过程的流程图。图9是其中可以实现经由透明辅助因素的平台认证的示例计算环境的描绘。说明性实施例的详细描述在一示例实施例中,用于支持平台认证的透明辅助因素或设备包括例 如,智能卡、CCID智能卡(集成电路卡接口设备智能卡)、生物测定设备 (例如,指纹读取器、视网膜扫描仪等)、或其组合。用于支持平台认证 的透明辅助因素在此被描述为应用于作为MICROSOFT⑧公司产品的 BITLOCKERTM驱动器加密(也被称为BITLOCKER ),但其并不限于此。该辅助因素从平台的用户的角度来看是透明的,因为用户不必了解各因素 之间差异的细节。BITLOCKERTM能够使用存储在块设备上的外部键。块设备是以块形式 发送和/或接收信息的设备,诸如例如硬盘驱动器。对块设备的访问由平台 的固件提供。平台可以包括任何适当的处理器等。例如,适当的平台可以 包括但不限于,个人计算机,服务器计算机,手持式或膝上型设备,多处 理器系统,基于微处理器的系统,机顶盒,可编程消费电子产品,网络PC, 小型机,大型计算机,便携式设备,例如诸如MP3播放器、随身听等便携 式音乐播放器等便携式媒体播放器,诸如个人数字助理("PDA")、蜂 窝电话、便携式电子邮件设备、瘦客户端、便携式游戏设备等便携式计算 设备,诸如电视、DVD播放器、机顶盒、监视器、显示器等消费者电子设 备,诸如自助服务终端、店内音乐采样设备、自动提款机(ATM)、收银 机等公共计算设备,便携式或安装在交通工具中的导航设备和/或如厨房电 器、机动车控件(例如,方向盘)等非常规的计算设备,或其组合。在一 示例实施例中,平台的固件被配置为提供允许BITLOCKERTM为认证目的利 用诸如智能卡、CCID智能卡和/或生物测定设备等辅助因素的能力。因此, BITLOCKERTM读取块设备上专门提供的文件或该块设备的受保护BIOS区域中的文件,类似于从诸如例如硬盘等存储设备读取文件。在此可适用的示例智能卡是符合ISO 7816规范的智能卡。该规范描述了智能卡的属性和功能。在一示例实施例中,用来访问智能卡的命令是符合ISO 7816规范的,例如定义访问简单文件系统的基本命令和该文件系统本身的ISO 7816-4节。在一示例实施例中,BITLOCKERTM键(例如,BITLOCKERtm所利用的外部键)存储在块设备的文件系统中。在认证块设备时,从该块设备中 检索这些键并且这些键随后由BITLOCKERTM在平台的引导进程期间利用。在一示例实施例中,对块设备的访问是只读访问。在另一示例实施例中, 块设备上的文件是受保护的。例如,除非提供PIN等,否则不准许对块设 备上的文件的访问。或者,作为又一示例,只选择块设备上的预定文件来 由平台访问。因此,如果块设备丢失或被盗,则在该块设备上的信息受到保护且不可由未授权的实体访问。图1是用于访问块设备18的示例系统12的功能框图,该访问是经由系统12的BIOS (基本输入/输出系统)部分20的。如图1所示,系统12 包括PCAT(PC高级技术)兼容的引导管理器22、 BITLOCKERtm欽件24、 和BIOS部分20。 BIOS部分20包括块设备仿真程序部分14和块设备驱动 程序部分16。块设备仿真程序14被配置为检测块设备18并打开块设备18 上的文件。BIOS部分20包括被配置为访问存储在块设备18上的信息的块 设备驱动程序16。BIOS部分20包括用于控制包括系统12的平台的引导进程的固件。在 一示例实施例中,BIOS部分20包括例如用于处理对诸如可信平台模块 (TPM)等可信计算组(TCG)设备的接口的中断处理程序(例如,中断 1A十六进制,中断lAh)、用于处理对诸如键盘等人类接口设备(HID) 的接口的中断处理程序(例如,中断9h)、和用于处理对诸如通用串行总 线(USB)兼容的设备(例如,USB盘、USB读卡器)等块设备接口的接 口的中断处理程序(例如,中断13h)。要强调的是图1中对具体的中断处 理程序的描绘是示例性的,且可以使用任何接口。BIOS部分20支持USB控制器和基本设备,如HID和存储块设备。在 一示例实施例中,BIOS部分20被配置为包括块设备仿真程序14和块设备 驱动程序16,以与诸如例如智能卡18或生物测定设备(未在图1中示出) 等设备相兼容。在一示例实施例中,至少部分地根据诸如例如集成电路卡 接口设备规范1.1修订版等集成电路卡接口设备规范来配置块设备驱动程 序16,且其至少部分地基于该规范来执行。不必本文档来自技高网...
【技术保护点】
一种平台认证系统,包括: BIOS部分和EFI部分中的至少一个,包括: 被配置为执行以下动作的块设备仿真程序: 检测耦合到所述系统的块设备;以及 打开所述块设备上的文件;以及 被配置为访问所述块设备上的信息的块 设备驱动程序。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:DR伍藤,E霍特,S汤姆,T乌雷彻,D斯莱茨,DM麦克莱夫,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。