[发明专利]持久安全系统及方法

说明书

背景技术

计算机系统有时会对硬盘驱动器(HDD)使用整卷/全盘加密，其中数 据以加密格式存入HDD，并且在数据被提供给用户或另一个应用之前必 须被解密。但是，由于HDD的加密状态，与从HDD获取数据或向HDD写 入数据相关的操作一般必须被延迟，直到密钥或其它类型的解密组件被 获取或生成(例如，响应于认证操作)，由此造成HDD可存取性的限制， 特别是在计算机系统的引导期间。

附图说明

为了对本发明及其优势的更完整理解，现在将结合附图参考下列描 述，在附图中：

图1是示出持久安全系统的实施例的图；

图2是示出持久安全方法的实施例的流程图。

具体实施方式

通过参考附图中的图1和图2，本发明的优选实施例及其优势被最 好地理解，相同的附图标记被用于不同图中类似及相应的部分。

图1是示出持久安全系统10的实施例的框图。简要地，系统10的 实施例提供了计算机系统中的持久安全组件，该组件被基本输入/输出 系统(BIOS)自动载入到加密的硬盘驱动器(HDD)(及/或验证其在加密的 HDD上的存在性)，从而HDD所在的计算机系统每次被引导时，安全组 件可以从HDD被用于操作系统以用于其执行。于是，即使安全组件已经 从HDD上无意或有意地移除/删除，系统10的实施例使BIOS在计算机 系统的引导期间自动将安全组件重新载入到HDD，由此对于计算机系统 的每个用户会话，都保持安全组件在计算机系统中的存在。

在图1示出的实施例中，系统10包括计算机系统12，该计算机系 统具有位于主板20上的嵌入固件16和可信平台模块(TPM)18。计算机 系统12可以包括任意类型的计算设备例如，但不限于，台式机、笔记 本电脑、个人数字助理及平板电脑。在图1示出的实施例中，嵌入固件 16包括BIOS 24(例如，在闪存组件中存储)，在其中存储了引导程序 30和资产保护安全程序32。引导程序30和安全程序32包括可以被中 央处理器(CPU)40执行的一组指令。在一些实施例中，引导程序32包括 在计算机系统12的引导操作期间(例如，响应于电源接通事件，或响 应于从休眠、休止或其它类型的降低功耗操作模式中唤醒的事件)执行 的一组指令，例如，但不限于，加电自检(POST)程序。

在图1示出的实施例中，资产保护安全程序32包括一组指令，作 为资产跟踪和/或报告系统的一部分使用。例如，在一些实施例中，资 产保护安全程序32使计算机系统12的操作系统(OS)34能通过通信网 络38(例如，因特网或其它类型的有线或无线通信网络)与远程安全服 务36联系，以确定对于计算机系统12是否存在安全事件，和/或向安 全服务36提供信息以便于对计算机系统12的跟踪和/或恢复。例如， 如果向安全服务36报告了计算机系统12丢失或被偷，则对于计算机系 统12会存在安全事件。于是，在操作中，响应于计算机系统12连接到 通信网络38，资产保护安全程序32被OS 34执行，并被配置为使OS 34 与安全服务36通信和/或联系，由此，如果计算机系统12存在安全事 件，使得安全服务36能针对计算机系统12采取特殊的一个或多个动作 (例如，记录因特网协议(IP)地址和/或其它动作)，以便于对计算机 系统12的跟踪和/或恢复。在图1示出的实施例中，持久安全组件包括 用于资产跟踪安全的组件(例如，实体的计算机系统12)。但是，应该 理解系统10的实施例可以被用于其它类型的安全组件(例如，数据保 护、安全证书认证等)。

通常，TPM 18被用来存储并报告系统12的平台42上的特定软件和 硬件的测量(完整性度量)值。例如，在一些实施例中，TPM 18被用来 测量、存储并报告HDD 44和嵌入固件16的完整性。但是，应该理解TPM 18可以被用来存储并报告其它设备和/或硬件的完整性，并被用来安全 地存储平台信息和机密，例如口令、密钥和证书。在图1示出的实施例 中，系统12还包括一个或更多可执行的应用程序52，可以被OS 34调 用和/或以其它方式执行。