[发明专利]用户秘密在计算平台上的安全使用

权利要求书

1.一种适于安全使用可信用户输入的计算平台，包括：

a.用户输入装置；

b.用于执行需要使用可信用户输入的应用程序的第一隔离的操 作环境组件；

c.适于安全处理与用户有关的信息的第二隔离的操作环境组件；

d.适于与该用户输入装置安全通信的第三隔离的操作环境组件，

其中，隔离的操作环境组件除了通过其间的安全路径之外不能与 另一隔离的操作环境组件通信，并且当在第一隔离的操作环境组件中 执行的应用程序需要可信用户输入的提供时，该用户通过该用户输入 装置向该第三隔离的操作环境组件提供用户输入，该用户输入被提供 给该第二隔离的操作环境组件，并且该第二隔离的操作环境组件提供 与在该第一隔离的操作环境组件中执行的应用程序所需要的该可信 用户输入有关的服务，

其中，所述计算平台还包括适于与用户显示装置安全通信的第四 隔离的操作环境组件，其中该第四隔离的操作环境组件适于提供与可 信用户输入相关的信息的显示使得该用户能够信任该显示，以及

其中，隔离的操作环境组件的每一个是分立的物理组件，并且这 些隔离的操作环境组件的一对之间的任何安全路径是分立的物理路 径。

2.如权利要求1所述的计算平台，其中该可信用户输入包括用户 秘密，并且其中由第二隔离的操作环境组件提供的服务包括使用该用 户秘密来认证该用户。

3.如权利要求1或者权利要求2所述的计算平台，其中该可信用 户输入包括待确认为来源于物理地存在于该计算平台处的用户的输 入，并且其中由第二隔离的操作环境组件提供的服务包括向在第一隔 离的操作环境组件中执行的应用程序或者任何其它相关的计算实体 确认该可信用户输入是由物理地存在于该计算平台处的用户提供的。

4.如权利要求1或者权利要求2所述的计算平台，其中第一隔离 的操作环境组件包括用于控制与其他隔离的操作环境组件的交互的 安全切换应用程序。

5.如权利要求1所述的计算平台，其中每个分立的物理组件在物 理上并且在逻辑上抗干扰并且适于可靠地提供和报告与它的隔离的 操作环境组件有关的测量。

6.一种用于在计算平台上提供并且使用可信用户输入的方法， 包括以下步骤：

a.实例化用于用户信息的隔离的操作环境，该用于用户信息的隔 离的操作环境适于安全处理与用户有关的信息；

b.该用于用户信息的隔离的操作环境接收对与可信用户输入的 使用有关的服务的请求；

c.该用于用户信息的隔离的操作环境证实能够安全地从用于输 入的隔离的操作环境接收可信用户输入，该用于输入的隔离的操作环 境适于可靠地接收由用户提供到用户输入装置中的用户输入，并且安 全地保留该用户输入；

d.该用于用户信息的隔离的操作环境从该用于输入的隔离的操 作环境沿着其间的可信路径安全地接收该可信用户输入；

e.该用于用户信息的隔离的操作环境使用该可信用户输入来提 供与该可信用户输入的使用有关的所请求的服务，

其中，步骤c包括接收和评估对该用于输入的隔离的操作环境的 测量。

7.如权利要求6所述的方法，其中该可信用户输入包括用户秘密， 并且由该用于用户信息的隔离的操作环境提供的服务包括通过使用 由该用于用户信息的隔离的操作环境持有的秘密和该可信用户输入 来认证该用户。

8.如权利要求6或者权利要求7所述的方法，其中该可信用户输 入包括待确认为来源于物理地存在于该计算平台处的用户的输入，并 且其中由该用于用户信息的隔离的操作环境提供的服务包括向任何 其它相关的计算实体确认该可信用户输入是由物理地存在于该计算 平台处的用户提供的。

9.如权利要求6或者权利要求7所述的方法，其中该计算平台进 一步包括主操作环境，并且由在该主操作环境中运行的应用程序提供 到该用于用户信息的隔离的操作环境的请求。

10.如权利要求9所述的方法，其中该主操作环境是隔离的操作 环境。