[发明专利]计算机安全系统和方法

说明书

背景

各种类型的敏感信息通常被存储在计算机系统上，例如但不限于口令、个人信息、认证(authentication)机制和数据、以及各种类型的计算机系统访问证书(credential)。敏感信息可以由用户生成，由软件生成，在工厂被存储在计算机系统上，或者以别的方式生成并被存储在计算机系统上。然而，至少因为通常存在访问或利用特定计算机系统的多个用户和/或代理，所以用来保护敏感信息和/或安全信息或者对请求访问敏感信息的用户和/或代理进行认证的这种信息通常仍然易被未经批准或者未经认证的实体剽窃和/或发现。因此，需要将这种类型的敏感信息安全地存储在计算机系统上。

附图简述

为了更完整地理解本发明及其优点，现在参考结合附图所作出的下列说明，在附图中：

图1是说明根据本发明的计算机安全系统的一个实施例的图；

图2A和图2B是说明利用在图1中说明的计算机安全系统的实施例所执行的示例认证和登记操作的图；

图3是说明利用在图1中说明的计算机安全系统的实施例执行的安全信息访问操作的实例的图；

图4是说明根据本发明的计算机安全方法的一个实施例的流程图；以及

图5是说明根据本发明的计算机安全方法的另一个实施例的流程图。

附图详述

通过参考附图的图1-图5来最好地理解本发明的优选实施例及其优点，对于各个附图的相同和相应的部分使用相同的附图标记。

图1是说明根据本发明的计算机安全系统10的一个实施例的图。在图1所说明的实施例中，系统10包括可通信地耦合到安全平台13的处理器12。在图1所说明的实施例中，安全平台13包括基本输入/输出系统(BIOS)14。然而应当理解，其他系统、应用、模块或引擎也可以被用作全平台，所述安全平台包括但不限于操作系统(O/S)或安全软件应用。在图1所说明的实施例中，处理器12和安全平台13被可通信地耦合到可信平台模块(TPM)16。

在图1所说明的实施例中，BIOS 14包括安全模块20和存储器22。安全模块20可以包括软件、硬件、软件和硬件的组合。在本发明至少一个实施例的操作中，安全模块20与TPM 16合作以提供敏感信息的安全存储，所述敏感信息例如但不限于特定于平台和/或设备的敏感信息(例如口令、代码和/或期望安全的其他类型的敏感信息)。在图1所说明的实施例中，安全模块20包括登记模块30、认证模块32和访问模块34。登记模块30被用来接收敏感信息或数据，与TPM 16合作以加密敏感信息，以及将识别为已加密敏感数据40的已加密敏感信息存储在存储器22中。认证模块32被用来认证或者以别的方式验证用于提供要被保护或请求访问敏感信息的源的身份。访问模块34被用来与TPM 1 6合作以解密已加密敏感数据40，并且提供或者以别的方式使得请求实体能够访问已解密敏感信息。将被保护的敏感信息可以包括任何类型的信息，例如但不限于与启动和/或访问安全计算机资源相关的信息、硬盘驱动器锁口令、网络访问授权信息、和/或软件应用启动或访问口令。

在图1所说明的实施例中，存储器22还包括代理标识数据42和TPM存储密钥(key)44。代理标识数据42包括与认证可信代理50的身份相关的信息。可信代理50可以包括用户访问系统10、诸如硬盘驱动器或盘加密软件应用之类的软件应用、或者任何其他类型的实体，所述实体适于生成和/或提供期望保护的敏感信息和/或请求访问安全或受保护的敏感信息。然而还应当理解，可以由另一个实体生成或者以别的方式提供所述敏感信息(例如由BIOS 14生成的口令或代码)。因此，在操作中，可信代理50的认证可以利用任何类型的安全认证方法来执行，所述安全认证方法例如但不限于一系列握手信号、查询/响应交换、或者口令验证。