[发明专利]用户秘密在计算平台上的安全使用

说明书

技术领域

本发明涉及用于在计算平台上安全使用用户秘密的方法和设备。

背景技术

计算机平台典型地运行在它们的行为易受本地或者远程实体的修 改影响的环境中。对于用于要求与第三方(包括用户对其知之甚少或不 知的第三方)的有规律交互的功能的计算机平台来说尤其如此。这样的 修改可能导致不可靠的性能或者数据丢失，但是潜在的更大风险是对用 户秘密的侵占。下载恶意代码可能导致存储在计算机平台上的用户秘密 的曝光，或者导致诸如由用户响应于本地或者远程提示而输入的密码之 类的用户秘密的捕获(通过例如按键记录的进程)。现有维护用户输入 安全性的方法或者依赖于用于高度安全处理的重要的专用硬件或者易 受计算环境修改的影响。因此希望寻找一种在比较常规的计算机平台 上使用用户秘密的方法，其提供某种安全性保障。

发明内容

根据本发明，提供一种适于可信用户输入的安全使用的计算平台， 包括：用户输入装置；用于执行需要使用可信用户输入的应用程序 (application)的第一隔离的操作环境；适用于与用户有关信息的安 全处理的第二隔离的操作环境；适用于与用户输入装置的安全通信的第 三隔离的操作环境，

其中，除了通过其间的安全路径，隔离的操作环境不能与另一隔离 的操作环境通信，并且当在第一隔离的操作环境中执行的应用程序需要 提供可信用户输入时，该用户通过用户输入装置向第三隔离的操作环境 提供用户输入，该用户输入被提供给第二隔离的操作环境，并且第二隔 离的操作环境按照在第一操作环境中执行的该应用程序的需要提供与 该可信用户输入有关的服务。

附图说明

举例来说，本发明的具体实施例参考附图描述如下，其中：

图1示出根据现有技术的但适于供本发明实施例使用的常规的计 算平台的物理元件；

图2示出根据本发明的第一实施例的计算平台的功能元件；

图3示出根据本发明的第二实施例的计算平台的功能元件；

图4示出根据本发明的第三实施例的计算平台的功能元件；

图5示出根据现有技术的但适于供如图4所示的本发明实施例使用 的可信平台模块；

图6示出用于更新可信平台模块的平台配置寄存器的过程，该过程 是根据现有技术的但是适于供本发明的实施例使用；

图7示出根据本发明的第四实施例的计算平台的功能元件；

图8示出根据本发明的第五实施例的计算平台的功能元件；

图9示出在根据本发明实施例的用户秘密的使用方法的执行中交互 的实体；以及

图10A、10B和10C示出在使用根据本发明实施例的用户秘密使用 方法的银行业务交互中采用的步骤。

具体实施方式

图1示出常规的计算机设备的物理元件(其中能够部署本发明的实 施例)。该计算机设备包括计算机平台10以及用于用户输入和输出的 外围设备，所述外围设备具体是键盘14、鼠标16和显示器18。还示出 了网络19，对于网络19，计算机平台10具有网络连接(通过网络接口 卡，未示出)，-如下所述，本发明的实施例能被有效地用在与可通过 网络19访问的服务的安全用户交互中。计算机平台10至少包含主处理 器和主存储器(未示出)，-如下所示，在本发明的实施例中，使用附加 的处理器和存储器，而在本发明的其它实施例中，该主处理器和主存储 器被用于多个计算环境。

图2示出根据本发明的第一实施例的计算平台的功能元件。计算平 台20包含三个计算环境，以下称作组件。这些组件中的其中两个被隔 离并且仅通过安全路径连接到其它元件(包括其它组件)。这些组件在 下面讨论。

第一组件21(以虚线边界示出-这指示该组件或者可以是与其它组 件类似的分立组件，或者可以基本上构成整个计算环境，而不是诸如下 述的第二和第三组件之类的具体隔离的组件)在这里被描述为通用组件 (或者GPC)。该组件表示-并且可以包括-传统的操作系统和相关联的 计算环境。这是用户执行应用程序的地方。在本发明的实施例中该组件 的作用是当需要使用用户秘密时向第二组件22发出警报。在本发明的 实施例中(如下所述)，该GPC 21是与下述的其它组件具有相同形式 的隔离环境。