[发明专利]密钥认证

权利要求书

1.一种用于生成加密密钥的方法，包括在计算设备的启动过程期间：

访问存储在所述计算设备上的安全位置处的标识符；

根据密钥生成过程生成加密密钥；以及

基于所述标识符，验证所述加密密钥是在所述计算设备的所述启动过程期间真实生成的。

2.根据权利要求1所述的方法，其中验证所述加密密钥包括：

基于所述标识符在所述加密密钥上生成加密签名。

3.根据权利要求1所述的方法，包括：

验证加密密钥是由所述计算设备真实生成的。

4.根据权利要求3所述的方法，其中验证所述密钥对包括：

基于所述标识符验证所述加密密钥上的加密签名。

5.根据权利要求1所述的方法，包括确定所述标识符是否链接到所述计算设备。

6.根据权利要求5所述的方法，其中确定所述标识符是否链接到所述计算设备包括：

生成所述计算设备的序列号的加密签名；

将所述计算设备的所述序列号通信给所述设备制造商；

基于所述序列号接收经过验证的公钥；以及

使用所述经过验证的公钥验证所述加密签名。

7.根据权利要求5所述的方法，其中确定所述标识符链接到所述计算设备包括：

从所述设备制造商接收公钥；

访问预先安装在所述计算设备上的所述公钥和序列号的加密签名；以及

使用所述公钥验证所述加密签名。

8.根据权利要求6所述的方法，包括经由带外通信通道从所述设备制造商接收所述公钥。

9.根据权利要求1所述的方法，包括：

至少基于所述加密密钥，在所述计算设备和另一设备之间的质询和响应协议中生成质询；

将所述质询通信给所述另一设备；以及

基于在所述计算设备处接收到的响应来认证所述另一设备的用户。

10.根据权利要求9所述的方法，其中，所述质询通过所述计算设备显示的快速响应(QR)码来通信。

11.根据权利要求8所述的方法，其中，响应于用户成功地向所述计算设备认证，用户被认证以在所述计算设备上执行基本输入/输出(BIOS)管理操作。

12.一种装置，包括：

可信平台模块；

加密密钥生成模块，所述加密密钥生成模块通信地耦接到所述可信平台模块，以生成加密密钥；以及

处理器，所述处理器与所述可信平台模块通信地耦接，所述处理器用于与所述可信平台模块协作以执行可信启动过程，

其中，所述处理器基于安全存储在可信平台模块上的标识符，认证在所述可信启动过程期间由所述加密密钥生成模块生成的加密密钥。

13.根据权利要求12所述的装置，其中，所述可信平台模块被布置为验证在所述可信启动过程期间由所述处理器执行的操作的完整性。

14.根据权利要求12所述的装置，包括通信地耦接到所述处理器的基本输入/输出系统(BIOS)管理模块。

15.一种用处理器可执行的指令编码的非暂态机器可读存储介质，用于：

从计算设备上的安全存储装置中检索基于硬件的数字签名密钥；以及

根据所述基于硬件的数字签名密钥对在所述计算设备的启动过程期间根据加密密钥生成算法生成的加密密钥进行认证。