CN101529376B - 经由透明辅助因素的平台认证 - Google Patents
经由透明辅助因素的平台认证 Download PDFInfo
- Publication number
- CN101529376B CN101529376B CN2007800401147A CN200780040114A CN101529376B CN 101529376 B CN101529376 B CN 101529376B CN 2007800401147 A CN2007800401147 A CN 2007800401147A CN 200780040114 A CN200780040114 A CN 200780040114A CN 101529376 B CN101529376 B CN 101529376B
- Authority
- CN
- China
- Prior art keywords
- block device
- platform
- equipment
- block
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 59
- 230000015654 memory Effects 0.000 claims description 34
- 238000004166 bioassay Methods 0.000 claims description 15
- 238000012217 deletion Methods 0.000 claims 2
- 230000037430 deletion Effects 0.000 claims 2
- 238000013500 data storage Methods 0.000 abstract description 8
- 238000003860 storage Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 6
- 230000027455 binding Effects 0.000 description 4
- 238000009739 binding Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000005055 memory storage Effects 0.000 description 3
- 230000002207 retinal effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 101000666896 Homo sapiens V-type immunoglobulin domain-containing suppressor of T-cell activation Proteins 0.000 description 1
- 102100038282 V-type immunoglobulin domain-containing suppressor of T-cell activation Human genes 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000005465 channeling Effects 0.000 description 1
- IJJVMEJXYNJXOJ-UHFFFAOYSA-N fluquinconazole Chemical compound C=1C=C(Cl)C=C(Cl)C=1N1C(=O)C2=CC(F)=CC=C2N=C1N1C=NC=N1 IJJVMEJXYNJXOJ-UHFFFAOYSA-N 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
- G06Q20/3415—Cards acting autonomously as pay-media
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/356—Aspects of software for card payments
- G06Q20/3563—Software being resident on card
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/388—Payment protocols; Details thereof using mutual authentication without cards, e.g. challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Finance (AREA)
- Computer Networks & Wireless Communication (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
系统的固件被配置为允许诸如智能卡等辅助设备被用于认证。在一示例实施例中,辅助设备是符合ISO 7816规范的CCID智能卡。在引导系统之前,智能卡被插入到耦合到该系统的读卡器。该固件包括被配置为允许利用来自该智能卡的认证信息以允许引导进程的执行的仿真程序和驱动程序。在一示例实施例中,该智能卡包括供与BITLOCKERTM一起使用的外部键。该辅助设备与实现BIOS的系统和与实现EFI的系统兼容。认证还可以经由诸如生物测定设备等不提供数据存储的设备来完成。
Description
技术领域
本技术领域一般涉及计算机处理器,且更具体地涉及访问受保护的文件。
背景
当前的处理系统提供数据保护。例如,作为公司产品的BITLOCKERTM驱动器加密(也被称为BITLOCKERTM),是可随各
操作系统获得的数据保护特征。BITLOCKERTM防止引导另一操作系统或运行软件黑客攻击工具的用户使文件或系统保护无效,或防止该用户对存储在受保护驱动器上的文件执行离线查看。BITLOCKERTM保护用户数据并确保运行
操作系统(例如,
VISTA)的处理器在该系统离线时不被篡改。
BITLOCKERTM可以锁定正常的引导进程,直到用户提供PIN或插入包含键控(keying)材料的USB闪存驱动器。例如,USB闪存驱动器可以在引导进程之前插入到处理系统中。在引导进程期间,该USB闪存驱动器将被识别,并且可以从其中访问键控材料。然而,当前的处理系统在引导进程期间不识别诸如智能卡和CCID(集成电路卡接口设备)智能卡等用于这一目的设备。
概述
提供本概述以便以简化的形式介绍将在以下说明性实施例的详细描述中进一步描述的一些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于限定所要求保护的主题的范围。
平台提供对受由该平台的固件所支持的任何认证机制选通(gated)的受保护的文件的透明访问。该平台能够接受PIN,能够使用来自诸如USB闪存驱动器或智能卡等各种设备的键,且与诸如生物测定设备等不提供数据存储的其它设备兼容。在一示例实施例中,平台固件允许BITLOCKERTM访问一设备(例如,CCID智能卡)上专门提供的文件,和/或访问该设备的受保护的BIOS(基本输入/输出系统)部分。
附图简述
以上概述以及以下详细描述在结合附图阅读时可被更好地理解。出于说明经由透明辅助因素的平台认证的目的,在附图中示出了其示例性构造,然而,经由透明辅助因素的平台认证不限于所公开的各具体方法和手段。
图1是用于访问块设备的示例系统的功能框图,该访问是经由该系统的BIOS部分的。
图2是用于访问生物测定设备的示例系统的功能框图,该访问是经由该系统的BIOS部分的。
图3是用于访问块设备的示例系统的功能框图,该访问是经由该系统的EFI的。
图4是用于访问生物测定设备的示例系统的功能框图,该访问是经由该系统的EFI的。
图5是符合ISO 7816规范的块设备的示例文件系统的描绘。
图6是用于在平台存储器中生成虚拟块设备的示例过程的流程图。
图7是对虚拟块设备的平台存储器的示例分配的描绘。
图8是用于访问CCID智能卡的示例过程的流程图。
图9是其中可以实现经由透明辅助因素的平台认证的示例计算环境的描绘。
说明性实施例的详细描述
在一示例实施例中,用于支持平台认证的透明辅助因素或设备包括例如,智能卡、CCID智能卡(集成电路卡接口设备智能卡)、生物测定设备(例如,指纹读取器、视网膜扫描仪等)、或其组合。用于支持平台认证的透明辅助因素在此被描述为应用于作为
公司产品的BITLOCKERTM驱动器加密(也被称为BITLOCKERTM),但其并不限于此。该辅助因素从平台的用户的角度来看是透明的,因为用户不必了解各因素之间差异的细节。
BITLOCKERTM能够使用存储在块设备上的外部键。块设备是以块形式发送和/或接收信息的设备,诸如例如硬盘驱动器。对块设备的访问由平台的固件提供。平台可以包括任何适当的处理器等。例如,适当的平台可以包括但不限于,个人计算机,服务器计算机,手持式或膝上型设备,多处理器系统,基于微处理器的系统,机顶盒,可编程消费电子产品,网络PC,小型机,大型计算机,便携式设备,例如诸如MP3播放器、随身听等便携式音乐播放器等便携式媒体播放器,诸如个人数字助理(“PDA”)、蜂窝电话、便携式电子邮件设备、瘦客户端、便携式游戏设备等便携式计算设备,诸如电视、DVD播放器、机顶盒、监视器、显示器等消费者电子设备,诸如自助服务终端、店内音乐采样设备、自动提款机(ATM)、收银机等公共计算设备,便携式或安装在交通工具中的导航设备和/或如厨房电器、机动车控件(例如,方向盘)等非常规的计算设备,或其组合。在一示例实施例中,平台的固件被配置为提供允许BITLOCKERTM为认证目的利用诸如智能卡、CCID智能卡和/或生物测定设备等辅助因素的能力。因此,BITLOCKERTM读取块设备上专门提供的文件或该块设备的受保护BIOS区域中的文件,类似于从诸如例如硬盘等存储设备读取文件。
在此可适用的示例智能卡是符合ISO 7816规范的智能卡。该规范描述了智能卡的属性和功能。在一示例实施例中,用来访问智能卡的命令是符合ISO 7816规范的,例如定义访问简单文件系统的基本命令和该文件系统本身的ISO 7816-4节。
在一示例实施例中,BITLOCKERTM键(例如,BITLOCKERTM所利用的外部键)存储在块设备的文件系统中。在认证块设备时,从该块设备中检索这些键并且这些键随后由BITLOCKERTM在平台的引导进程期间利用。在一示例实施例中,对块设备的访问是只读访问。在另一示例实施例中,块设备上的文件是受保护的。例如,除非提供PIN等,否则不准许对块设备上的文件的访问。或者,作为又一示例,只选择块设备上的预定文件来由平台访问。因此,如果块设备丢失或被盗,则在该块设备上的信息受到保护且不可由未授权的实体访问。
图1是用于访问块设备18的示例系统12的功能框图,该访问是经由系统12的BIOS(基本输入/输出系统)部分20的。如图1所示,系统12包括PCAT(PC高级技术)兼容的引导管理器22、BITLOCKERTM软件24、和BIOS部分20。BIOS部分20包括块设备仿真程序部分14和块设备驱动程序部分16。块设备仿真程序14被配置为检测块设备18并打开块设备18上的文件。BIOS部分20包括被配置为访问存储在块设备18上的信息的块设备驱动程序16。
BIOS部分20包括用于控制包括系统12的平台的引导进程的固件。在一示例实施例中,BIOS部分20包括例如用于处理对诸如可信平台模块(TPM)等可信计算组(TCG)设备的接口的中断处理程序(例如,中断1A十六进制,中断1Ah)、用于处理对诸如键盘等人类接口设备(HID)的接口的中断处理程序(例如,中断9h)、和用于处理对诸如通用串行总线(USB)兼容的设备(例如,USB盘、USB读卡器)等块设备接口的接口的中断处理程序(例如,中断13h)。要强调的是图1中对具体的中断处理程序的描绘是示例性的,且可以使用任何接口。
BIOS部分20支持USB控制器和基本设备,如HID和存储块设备。在一示例实施例中,BIOS部分20被配置为包括块设备仿真程序14和块设备驱动程序16,以与诸如例如智能卡18或生物测定设备(未在图1中示出)等设备相兼容。在一示例实施例中,至少部分地根据诸如例如集成电路卡接口设备规范1.1修订版等集成电路卡接口设备规范来配置块设备驱动程序16,且其至少部分地基于该规范来执行。不必实现在集成电路卡接口设备规范中描述的完整的设备类,相反,该设备类的子集是适当的。例如,用来允许与读卡器的基本交互和与智能卡18的通信的元素是适当的,这些交互和通信诸如有向智能卡18供电、将智能卡18断电、以及对智能卡18中继命令和响应APDU(应用协议数据单元)。
在一示例实施例中,读卡器经由PCMCIA(个人计算机存储卡国际联合会,或外围组件微通道互连体系结构)接口与智能卡18兼容。该实施例向移动计算机等提供有利的使用。智能卡18可以是如下形式:卡片、键链(key fob)、或任何适当的配置。
在一示例实施例中,如图2所示,块设备18包括生物测定设备,如指纹读取器、视网膜扫描仪等。生物测定设备通常不提供数据存储。在其中块设备18包括生物测定设备或不提供数据存储的其它辅助因素的实施例中,BIOS部分20的固件执行块设备18的认证。如果块设备18的认证成功,则块设备18可以提供令牌,该令牌可被用来访问平台中包含例如通过启动BITLOCKERTM来继续进行引导进程所需的键的安全区域。在该实施例中,在没有成功地认证块设备18之前,不能读取存储在平台的安全区域中的信息。
如图1和图2所示,平台的BIOS部分20是静态绑定的。即,绑定——将值与标识符相关联的过程,是在引导进程或平台操作系统启动之前完成的。因此,块设备仿真程序14和块设备驱动程序16对于所有类型的块设备18而言是固定的。
图3是用于访问块设备18的示例系统28的功能框图,该访问是经由系统28的可扩展固件接口(EFI)26的。系统28与上述系统12类似地执行,其不同之处是系统12的BIOS实现和系统28的EFI实现。EFI已知是用来替换BIOS的。类似于BIOS,EFI负责控制操作系统的引导进程并提供操作系统和硬件之间的接口。EFI 26是动态绑定的。即,绑定是在引导进程期间完成的。因此,块设备仿真程序14和块设备驱动程序16可以分开实现,且不必绑定到一静态单元。块设备驱动程序16可以在EFI引导时加载。
如图3所示,系统28包括EFI兼容的引导管理器30、BITLOCKERTM软件24、和EFI部分26。EFI部分26包括块设备仿真程序部分14和块设备驱动程序部分16。块设备仿真程序14被配置为检测块设备18并打开块设备18上的文件。EFI部分26包括被配置为访问存储在块设备18上的信息的块设备驱动程序16。
EFI部分26包括用于控制包括系统12的平台的引导进程的固件。在一示例实施例中,EFI部分26包括例如用于处理对诸如可信平台模块(TPM)等可信计算组(TCG)设备的接口的中断处理程序、用于处理对诸如键盘等人类接口设备(HID)的接口的中断处理程序、和用于处理诸如通用串行总线(USB)兼容的设备(例如,USB盘、USB读卡器)等块设备接口的接口的中断处理程序。要强调的是图1中对具体的中断处理程序的描绘是示例性的,且可以使用任何接口。
EFI部分26支持USB控制器和基本设备,如HID和存储块设备。在一示例实施例中,EFI部分26被配置为包括块设备仿真程序14和块设备驱动程序16,以与诸如例如智能卡18或生物测定设备(未在图3中示出)等设备相兼容。在一示例实施例中,至少部分地根据诸如例如集成电路卡接口设备规范1.1修订版等集成电路卡接口设备规范来配置块设备驱动程序16,且其至少部分地基于该规范来执行。不必实现在集成电路卡接口设备规范中描述的完整的设备类,相反,该设备类的子集是适当的。例如,用来允许与读卡器的基本交互和与智能卡18的通信的元素是适当的,这些交互和通信诸如有向智能卡18供电、将智能卡18断电、以及对智能卡18中继命令和响应APDU(应用协议数据单元)。
在一示例实施例中,读卡器经由PCMCIA(个人计算机存储卡国际联合会,或外围组件微通道互连体系结构)接口与智能卡18兼容。该实施例向移动计算机等提供有利的使用。智能卡18可以是如下形式:卡片、键链、或任何适当的配置。
在一示例实施例中,如图4所示,块设备18包括生物测定设备,如指纹读取器、视网膜扫描仪等。生物测定设备通常不提供数据存储。在其中块设备18包括生物测定设备或不提供数据存储的其它辅助因素的实施例中,EFI部分26的固件执行块设备18的认证。如果块设备18的认证成功,则块设备可以提供令牌,该令牌可被用来访问平台中来包含例如通过启动BITLOCKERTM来继续进行引导进程所需的键的安全区域。在该实施例中,在没有成功地认证块设备18之前,不能读取存储在平台的安全区域中的信息。
在另一示例实施例中,EFI是从硬盘等来在BIOS上引导的。
在操作系统加载到平台上之前,块设备被认证。在一示例实施例中,如果实现了BIOS,则块设备是在调用BIOS上的中断19h之前认证的。即,块设备是在BIOS在引导进程期间开始加载操作系统之前认证的。在一示例实施例中,如果实现了EFI,则块设备是在EFI上调用引导管理器之前认证的。块设备可以通过任何适当的手段来认证,诸如例如通过使用PIN等。在成功地认证了该块后,在平台的存储器中生成虚拟块设备。
为在平台存储器中生成该虚拟块设备,搜索块设备的存储以寻找包含将允许引导进程开始/继续执行的信息的位置。块设备上的存储的体系结构可以包括任何适当的结构,且因此可以用任何方式来标识该块设备上的存储的、包含允许引导进程的执行的信息的一个或多个位置。
图5是符合ISO 7816规范的块设备的示例文件系统40的描绘。要强调的是,文件系统40是示例性的,且可以在该块设备上实现任何适当的文件系统。在一示例实施例中,块设备的文件系统40包括至少一个主文件32(在图5中示为MF)、至少一个专用文件34(在图5中示为DF)、以及至少一个基本文件36(在图5中示为EF)。为简明起见,每一类型的文件只标记了一个(32、32和36)。文件系统40的分层结构是这样的:专用文件和基本文件从属于主文件32。主文件32是根文件。专用文件包含文件控制信息。专用文件可任选地包含可用于分配的存储器的指示。专用文件可以是基本文件的父亲和/或专用文件可以是基本文件。
在一示例实施例中,基本文件包括其包含允许引导进程的执行的信息的指示。例如,基本文件可以包括其包含BITLOCKERTM所利用的键的指示。在一示例实施例中,如图5所示,基本文件被指定为VFAT(虚拟文件属性表),以指示其包含允许引导进程的执行的信息。包含在具有VFAT ID的基本文件中的信息的类型的示例在框38中示出。除其它信息外,BITLOCKERTM所利用的键被示为:LFN(逻辑文件名):E5E1A420-0134-4677-88B1-855E9DC200F7.BEK,以及LFN:AE324B14-5264-E32A-9A23-225AB6823A32.BEK。
图6是用于在平台存储器中生成虚拟块设备的示例过程的流程图。在步骤40,分配平台中的存储器,并且初始化任何需要的系统结构。在一示例实施例中,块设备在执行引导进程之前耦合到平台。在一示例实施例中,块设备上的文件系统被实现为只读FAT,其具有等于0的引导扇区以防止平台从该块设备引导。在将操作系统加载到平台之前,块设备的主文件在步骤42被加载到平台存储器。在步骤44,诸如BIOS或EFI等固件递归地搜索该块设备上的主文件和从属专用文件,以寻找具有ID VFAT(表示一ID号)的基本文件。在步骤46,如果未找到具有ID VFAT的基本文件,则在步骤58释放未使用的资源且该过程结束。如果在步骤46找到了具有ID VFAT的基本文件,则在步骤48,所有这种基本文件都被加载到平台存储器中。寻找具有ID VFAT的基本文件是块设备被提供进行引导访问且可以进行虚拟块设备的生成的指示。
在步骤50,打开并解析基本文件。在符合ISO 7816规范的一示例实施例中,基本文件被限为5字节标识符。因此,平台维护块设备上的、要包括在虚拟块设备中以允许BITLOCKERTM使用具有长于5字节的名称的外部键的所有文件的目录。在步骤52,从所解析的基本文件中提取诸如例如BITLOCKERTM键等信息。在步骤54,诸如例如BITLOCKERTM键等所提取的信息被添加到平台存储器中的虚拟块设备的每一适当的文件。如果存在更多的具有ID VFAT的基本文件(步骤56),则该过程前进至步骤50并如上所述地继续。如果不存在更多的具有ID VFAT的基本文件(步骤56),则在步骤58释放未使用的资源且该过程结束。在块设备上所找到的、在EF中未被标识为VFAT的文件不被访问或读取,并且因此未被展示。
虚拟块设备是在平台存储器中动态地生成的。虚拟块设备在引导进程期间(例如,在平台加电时)一次生成。虚拟块设备的文件保留在平台存储器中,即使该块设备从平台去耦。然而,该虚拟块设备在预引导时存在且在加载平台操作系统时将被毁去。
虚拟块设备的文件夹分层结构将遵循块设备的文件夹的分层结构。因为只有具有ID VFAT的基本文件被加载,块设备上不想要的文件未在虚拟块设备中表示。因此,只对实际填充有数据的块分配了平台存储器。对虚拟块设备的平台存储器的示例分配的描绘在图7中示出。如图7所示,向引导记录扇区60、文件分配表扇区62、后备文件分配表扇区64、根目录66、和至少一个数据存储区域扇区68分配了平台存储器。数据存储区域68可以包含用于允许引导进程执行的信息,诸如例如BITLOCKERTM键。在一示例实施例中,每一扇区都包括512字节。可以用任何适当的方式来分配平台存储器,诸如例如连续地。在一示例实施例中,执行步骤66且所有其它框在其从引导应用程序请求时“在运行中”计算。
如上所述,块设备可以包括CCID智能卡。图8是用于访问CCID智能卡的示例过程的流程图。要强调的是,图8所示的过程适用于任何适当的块设备。在步骤70,确定是否检测到CCID读卡器。如果未检测到读卡器(步骤70),则如上所述,如步骤90所示,如果实现了BIOS则调用中断19h或如果实现了EFI则加载引导管理器。如果检测到读卡器(步骤70),则在步骤72确定,是否检测到耦合到该读卡器的智能卡。如果未检测到智能卡(步骤72),则该过程前进至步骤90。如果检测到智能卡(步骤72),则在步骤74确定,该智能卡是否符合ISO 7816-4或任何其它适当的协议。如果智能卡不符合(步骤74),则该过程前进至步骤90。如果智能卡符合(步骤74),则在步骤76,将来自该智能卡的专用引导文件加载到平台存储器中。
在步骤78,确定DF引导文件是否受诸如例如PIN的保护。如果DF引导文件是不受保护的(步骤78),则在步骤88初始化虚拟块设备在平台存储器中的生成。如果DF引导文件是受保护的(步骤78),则在步骤80,呈现对于PIN等的提示。被利用来允许输入PIN等的用户界面(UI)在运行初始程序加载(IPL)或引导代码之前完成。一旦键盘、显示器和/或其它UI设备的控制传到IPL代码,则认证提示可能是不可呈现的。在一示例实施例中,期望在向平台供电之前智能卡耦合到(例如,插入到)读卡器中。
在步骤82接收PIN等。在步骤84,利用PIN等来解锁智能卡。在步骤86处,确定智能卡是否被解锁。如果智能卡被解锁(步骤86),则该过程前进至步骤88。如果智能卡未被解锁(步骤86),则该过程前进至步骤80。
在成功地生成虚拟块设备之后,IPL代码枚举虚拟块设备,并将其包括在对BITLOCKERTM外部键等的搜索中。一旦引导管理器加载了键且键成功地解锁了所加密的卷,即将控制传到操作系统加载程序。在一示例实施例中,虚拟块设备在平台存储器中的存储位置既不是受保护的、保留的,也不是操作系统加载程序所知道的。因此,操作系统文件被加载并最终可以重写虚拟块设备的存储空间。
用于支持平台认证的透明辅助因素的各实施例可在计算设备上执行。图9和以下讨论提供了其中可实现这一计算设备的合适计算环境的简要概括描述。尽管并非所需,但用于支持平台认证的透明辅助因素的各方面可以在诸如程序模块等由诸如客户机工作站或服务器等计算机执行的计算机可执行指令的一般上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。此外,经由透明辅助因素的平台认证可用其它计算机系统配置来实施,包括手持设备、多处理器系统、基于微处理器的系统或可编程消费电子产品、网络PC、小型机、大型计算机等。此外,经由透明辅助因素的平台认证也可以在其中任务由通过通信网络链接的远程处理设备来执行的分布式计算环境中实施。在分布式计算环境中,程序模块可以位于本地和远程存储器存储设备中。
计算机系统可被大致分为三个组件分组:硬件组件、硬件/软件接口系统组件、以及应用程序组件(也被称为“用户组件”或“软件组件”)。在计算机系统的各实施例中,硬件组件可包括中央处理单元(CPU)621、存储器(ROM 664和RAM 625两者)、基本输入/输出系统(BIOS)666、以及诸如键盘640、鼠标642、监视器647和/或打印机(未示出)等各种输入/输出(I/O)设备。硬件组件包括计算机系统的基本物理基础结构。
应用程序组件包括各种软件程序,包括但不限于编译器、数据库系统、文字处理程序、商用程序、视频游戏等。应用程序提供用于利用计算机资源来解决问题、提供解决方案、及处理各种用户(机器、其它计算机系统和/或最终用户)的数据的手段。在一示例实施例中,应用程序执行上述与经由透明辅助因素的平台认证相关联的功能,诸如例如检测块设备、打开块设备上的文件、搜索块设备上的文件、在平台存储器中生成虚拟的块设备、利用PIN等来解锁块设备、以及开始引导进程。
硬件/软件接口系统组件包括(并且在某些实施例中只包括)操作系统,其本身在大多数情况下包括外壳和内核。“操作系统”(OS)是担当应用程序和计算机硬件之间的中介的特殊程序。硬件/软件接口系统组件还可以包括虚拟机管理器(VMM)、公共语言运行库(CLR)或其功能等效物、Java虚拟机(JVM)或其功能等效物、或者作为对计算机系统中的操作系统的替换或补充的其它这样的软件组件。硬件/软件接口系统的目的在于提供用户可在其中执行应用程序的环境。
硬件/软件接口系统通常在启动时被加载到计算机系统中,并且之后管理计算机系统中的所有应用程序。应用程序通过经由应用程序接口(API)请求服务来与硬件/软件接口系统交互。某些应用程序使得最终用户能够经由诸如命令语言或图形用户界面(GUI)等用户接口来与硬件/软件接口系统交互。
硬件/软件接口系统传统上执行用于应用程序的各种服务。在其中多个程序可同时运行的多任务硬件/软件接口系统中,硬件/软件接口系统确定各应用程序应该以何种次序运行以及在为轮换而切换至另一应用程序之前应该允许每一个应用程序多长时间。硬件/软件接口系统还管理多个应用程序之间的内部存储器的共享,并且处理来自诸如硬盘、打印机和拨号端口等附连硬件设备的输入以及对其的输出。硬件/软件接口系统还将关于操作的状态和可能已发生的任何错误的消息发送给每一个应用程序(并且在某些情况下发送给最终用户)。硬件/软件接口系统还可卸载批作业(例如,打印)的管理以使得启动应用程序免除该工作并能够继续执行其它处理和/或操作。在能提供并行处理的计算机上,硬件/软件接口系统还管理划分程序以使其同时在多于一个的处理器上运行。
硬件/软件接口系统外壳(被称为“外壳”)是对硬件/软件接口系统的交互式最终用户接口。(外壳也称为“命令解释程序”,或在操作系统中被称为“操作系统外壳”)。外壳是可直接由应用程序和/或最终用户访问的硬件/软件接口系统的外层。与外壳相反,内核是直接与硬件组件交互的硬件/软件接口系统的最内层。
如图9所示,示例性通用计算系统包括常规计算设备660等,其包括处理单元621、系统存储器662和将包括系统存储器的各种系统组件耦合到处理单元621的系统总线623。系统总线623可以是几种类型的总线结构中的任何一种,包括存储器总线或存储控制器、外围总线、以及使用各种总线体系结构中的任一种的局部总线。系统存储器包括只读存储器(ROM)664和随机存取存储器(RAM)625。基本输入/输出系统(BIOS)666被存储在ROM 664中,它包含帮助在诸如启动期间在计算设备660内的元件之间传递信息的基本例程。计算设备660还可包括对硬盘(未示出)读写的硬盘驱动器627、对可移动磁盘629(例如,软盘、移动存储)读写的磁盘驱动器628(例如,软盘)、以及对诸如CD-ROM或其它光学介质的可移动光盘631读写的光盘驱动器630。硬盘驱动器627、磁盘驱动器628和光盘驱动器630分别通过硬盘驱动器接口632、磁盘驱动器接口633和光盘驱动器接口634来连接到系统总线623。驱动器及其相关联的计算机可读介质为计算设备660提供了对计算机可读指令、数据结构、程序模块和其它数据的非易失性存储。虽然此处所描述的示例性环境采用了硬盘、可移动磁盘629和可移动光盘631,但本领域的技术人员可以理解,在示例性操作环境中也可以使用可储存可由计算机访问的数据的其它类型的计算机可读介质,如磁带盒、闪存卡、数字视频盘、贝努利盒式磁带、随机存取存储器(RAM)、只读存储器(ROM)等等。同样,示例性环境还可包括诸如热传感器和安全或火警系统等许多类型的监控设备,以及其它信息源。
多个程序模块可被存储在硬盘、磁盘629、光盘631、ROM 664或RAM625中,包括操作系统635、一个或多个应用程序636、其它程序模块637和程序数据638。用户可通过诸如键盘640和定点设备642(例如,鼠标)等输入设备将命令和信息输入到计算设备660中。其它输入设备(未示出)可以包括话筒、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪等。这些和其它输入设备通常由耦合至系统总线的串行端口接口646连接至处理单元621,但也可以由其它接口,诸如并行端口、游戏端口或通用串行总线(USB)连接。监视器647或其它类型的显示设备也经由接口,诸如视频适配器648连接至系统总线623。除了监视器647之外,计算机通常包括其它外围输出设备(未示出),诸如扬声器或打印机等。图9的示例性环境还包括主机适配器655、小型计算机系统接口(SCSI)总线656和连接到SCSI总线656的外部存储设备662。
计算设备660可使用至诸如远程计算机649等一个或多个远程计算机的逻辑连接在网络化环境中操作。远程计算机649可以是另一计算设备(例如,个人计算机)、服务器、路由器、网络PC、对等设备或其它常见的网络节点,且通常包括上文相对于计算设备660描述的许多或所有元件,尽管在图9中只示出了存储器存储设备650(软盘)。图9所描绘的逻辑连接包括局域网(LAN)651和广域网(WAN)652。这样的网络环境常见于办公室、企业范围计算机网络、内联网和因特网。
当在LAN联网环境中使用时,计算设备660通过网络接口或适配器653连接至LAN 651。当在WAN联网环境中使用时,计算设备660可包括调制解调器654或用于通过诸如因特网等广域网652来建立通信的其它装置。或为内置或为外置的调制解调器654经由串行端口接口646连接到系统总线623。在网络化环境中,相对于计算设备660描绘的程序模块或其部分可被储存在远程存储器存储设备中。可以理解,所示的网络连接是示例性的,且可以使用在计算机之间建立通信链路的其它手段。
虽然可以想象经由透明辅助因素的平台认证的众多实施例尤其适用于计算机化的系统,但本文并不旨在将本发明限于这些实施例。相反,此处所使用的术语“计算机系统”旨在包括能够存储和处理信息和/或能够使用所存储的信息来控制设备本身的行为或执行的任何及所有设备,而不管那些设备本质上是否为电子的、机械的、逻辑的、或虚拟的。
此处所述的各种技术可结合硬件或软件,或在适当时以其组合来实现。由此,经由透明辅助因素的平台认证的方法和装置或其特定方面或部分可采取包含在诸如软盘、CD-ROM、硬盘驱动器或任何其它机器可读存储介质等有形介质中的程序代码(即,指令)的形式,其中当程序代码被加载到诸如计算机等机器内并由其执行时,该机器成为用于经由透明辅助因素的平台认证的装置。
如果需要,程序可以用汇编语言或机器语言来实现。在任何情况下,语言可以是编译的或解释的语言,且与硬件实现相结合。经由透明辅助因素的平台认证的方法和装置也可以经由以通过某种传输介质传输的程序代码的形式体现的通信来实现,比如通过电线或电缆、通过光纤或经由任何其它传输形式,其中,当程序代码由诸如EPROM、门阵列、可编程逻辑器件(PLD)、客户计算机等机器接收、加载并执行时,该机器成为用于按属性管理虚拟机的装置。当在通用处理器上实现时,程序代码与处理器相结合来提供一种用于调用经由透明辅助因素的平台认证的功能的独特装置。另外,结合经由透明辅助因素的平台认证所使用的任何存储技术都总是可以是硬件和软件的组合。
尽管结合各附图的示例实施例描述了经由透明辅助因素的平台认证,但是可以理解,可以使用其它类似的实施例,或可以对所描述的实施例进行修改或添加来执行经由透明辅助因素的平台认证的相同功能而不背离本发明。因此,此处所描述的经由透明辅助因素的平台认证不应限于任何单个实施例,而是应该根据所附权利要求书的广度和范围来解释。
Claims (10)
1.一种用于经由块设备认证平台的方法,所述方法包括:
经由所述平台的BIOS部分和所述平台的EFI部分中的至少一个来检测块设备;
搜索所述块设备的分层结构文件系统以寻找多个预定文件中包含允许所述平台的引导进程的执行的信息的至少一个文件;
从所述块设备检索所述至少一个文件;
使用所述至少一个文件中所包含的所述信息来在平台存储器上生成虚拟块设备,所述虚拟块设备包括复制所述块设备的所述分层结构文件系统的文件夹分层结构;
认证所检测到的块设备;
使用所述虚拟块设备来允许所述平台的引导进程的执行;以及
在所述引导进程完成且所述平台的操作系统被加载后,删除所生成的所述虚拟块设备。
2.如权利要求1所述的方法,其特征在于,所述块设备包括智能卡和CCID智能卡中的至少一个。
3.如权利要求1所述的方法,其特征在于,所述块设备包括USB兼容块设备和PCMCIA兼容块设备中的至少一个。
4.如权利要求1所述的方法,其特征在于,还包括提供用于从所述块设备中检索所述信息的授权的指示。
5.如权利要求1所述的方法,其特征在于,所述块设备包括生物测定设备和指纹读取器中的至少一个。
6.一种经由块设备认证平台的系统,所述系统包括:
用于经由所述平台的BIOS部分和所述平台的EFI部分中的至少一个的块设备仿真程序来检测块设备的装置;
用于搜索所述块设备的分层结构文件系统以寻找多个预定文件中包含允许所述平台的引导进程的执行的信息的至少一个文件的装置;
用于经由所述块设备仿真程序打开所述块设备上包含所述信息的所述至少一个文件的装置;
用于经由所述至少一个BIOS部分和EFI部分的块驱动程序来访问所述块设备上的信息的装置;
用于使用所述至少一个文件中所包含的所述信息来在平台存储器上生成虚拟块设备的装置,所述虚拟块设备包括复制所述块设备的所述分层结构文件系统的文件夹分层结构;
用于使用所述虚拟块设备来执行所述平台的引导进程的装置;以及
用于在所述引导进程完成且所述平台的操作系统被加载后,删除所生成的所述虚拟块设备的装置。
7.如权利要求6所述的系统,其特征在于,所述块设备包括智能卡和CCID智能卡中的至少一个。
8.如权利要求6所述的系统,其特征在于,所述块设备包括USB兼容块设备和PCMCIA兼容块设备中的至少一个。
9.如权利要求6所述的系统,其特征在于,所述块设备包括生物测定设备和指纹读取器中的至少一个。
10.如权利要求6所述的系统,其特征在于,在所述块设备上访问的信息包括用于允许所述平台的所述引导进程的执行的键控信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/586,283 US8200952B2 (en) | 2006-10-25 | 2006-10-25 | Platform authentication via a transparent second factor |
| US11/586,283 | 2006-10-25 | ||
| PCT/US2007/079737 WO2008051679A1 (en) | 2006-10-25 | 2007-09-27 | Platform authentication via a transparent second factor |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101529376A CN101529376A (zh) | 2009-09-09 |
| CN101529376B true CN101529376B (zh) | 2013-09-04 |
Family
ID=39324915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800401147A Active CN101529376B (zh) | 2006-10-25 | 2007-09-27 | 经由透明辅助因素的平台认证 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8200952B2 (zh) |
| EP (1) | EP2076833A1 (zh) |
| JP (1) | JP2010508578A (zh) |
| KR (1) | KR20090068201A (zh) |
| CN (1) | CN101529376B (zh) |
| TW (1) | TW200821931A (zh) |
| WO (1) | WO2008051679A1 (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100031336A1 (en) * | 2006-12-14 | 2010-02-04 | Denis Dumont | Peripheral Security Device |
| DE102006062244B4 (de) * | 2006-12-22 | 2013-10-17 | Rational Ag | Verfahren zum Auslesen von Daten aus dem Speicher eines Gargeräts und Gargerät zum Durchführen eines solchen Verfahrens |
| US8510352B2 (en) | 2008-10-24 | 2013-08-13 | Microsoft Corporation | Virtualized boot block with discovery volume |
| US20100115116A1 (en) * | 2008-11-03 | 2010-05-06 | Micron Technology, Inc. | System and method for switching communication protocols in electronic interface devices |
| US8073886B2 (en) | 2009-02-20 | 2011-12-06 | Microsoft Corporation | Non-privileged access to data independent of filesystem implementation |
| CN101814037B (zh) * | 2010-03-12 | 2012-12-05 | 青岛海信宽带多媒体技术有限公司 | 兼容多种智能卡的驱动方法 |
| CN101825994B (zh) * | 2010-04-16 | 2016-04-13 | 苏州壹世通科技有限公司 | 基于固件的非操作系统依赖的闪存阵列管理装置和方法 |
| US9721101B2 (en) * | 2013-06-24 | 2017-08-01 | Red Hat, Inc. | System wide root of trust chaining via signed applications |
| US8495356B2 (en) * | 2010-12-31 | 2013-07-23 | International Business Machines Corporation | System for securing virtual machine disks on a remote shared storage subsystem |
| US8503674B2 (en) | 2011-04-28 | 2013-08-06 | Microsoft Corporation | Cryptographic key attack mitigation |
| US8375221B1 (en) | 2011-07-29 | 2013-02-12 | Microsoft Corporation | Firmware-based trusted platform module for arm processor architectures and trustzone security extensions |
| US9183415B2 (en) * | 2011-12-01 | 2015-11-10 | Microsoft Technology Licensing, Llc | Regulating access using information regarding a host machine of a portable storage drive |
| US9208105B2 (en) | 2013-05-30 | 2015-12-08 | Dell Products, Lp | System and method for intercept of UEFI block I/O protocol services for BIOS based hard drive encryption support |
| CN103544037B (zh) * | 2013-10-29 | 2016-08-17 | 飞天诚信科技股份有限公司 | 一种支持OpenSC的软硬件驱动的实现方法 |
| JP2016025616A (ja) * | 2014-07-24 | 2016-02-08 | レノボ・シンガポール・プライベート・リミテッド | ディスク・ドライブが記憶するデータを保護する方法および携帯式コンピュータ |
| JP6751856B2 (ja) | 2016-06-02 | 2020-09-09 | パナソニックIpマネジメント株式会社 | 情報処理装置および情報処理システム |
| CN106250750B (zh) * | 2016-07-18 | 2019-08-16 | 深圳市文鼎创数据科技有限公司 | 基于MacOSX系统的USB设备接入方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1527208A (zh) * | 2003-09-25 | 2004-09-08 | 联想(北京)有限公司 | 基于身份认证的计算机安全及加密的实现方法和装置 |
| CN1822013A (zh) * | 2006-03-14 | 2006-08-23 | 上海一维科技有限公司 | 基于可信平台模块的指纹生物识别引擎系统及其识别方法 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19600081C2 (de) * | 1996-01-03 | 1999-11-18 | Ibm | Sicherung der Datenintegrität bei Datenträgerkarten |
| ATE221677T1 (de) * | 1996-02-09 | 2002-08-15 | Digital Privacy Inc | Zugriffssteuerungs/verschlüsselungssystem |
| KR19990058372A (ko) | 1997-12-30 | 1999-07-15 | 윤종용 | 스마트 카드를 이용한 컴퓨터의 보안 방법 |
| US6754886B1 (en) * | 1998-11-30 | 2004-06-22 | International Business Machines Corporation | Method and system for storing java objects in devices having a reduced support of high-level programming concepts |
| TW463107B (en) * | 1998-12-22 | 2001-11-11 | Ibm | Extended card file system |
| US6463537B1 (en) * | 1999-01-04 | 2002-10-08 | Codex Technologies, Inc. | Modified computer motherboard security and identification system |
| US7036738B1 (en) * | 1999-05-03 | 2006-05-02 | Microsoft Corporation | PCMCIA-compliant smart card secured memory assembly for porting user profiles and documents |
| KR20000018098A (ko) | 2000-01-11 | 2000-04-06 | 이재현 | 지문 및 스마트카드를 이용한 개인용컴퓨터 보안장치 |
| KR20010087034A (ko) | 2000-03-06 | 2001-09-15 | 김효화 | 보안 기능을 내장한 키보드 및 이를 활용한 네트워크보안방법 |
| KR20020004368A (ko) | 2000-07-05 | 2002-01-16 | 구승엽 | 전자 인증 시스템을 이용한 컴퓨터 시스템 운영방법 |
| US7797729B2 (en) * | 2000-10-26 | 2010-09-14 | O2Micro International Ltd. | Pre-boot authentication system |
| US6513721B1 (en) * | 2000-11-27 | 2003-02-04 | Microsoft Corporation | Methods and arrangements for configuring portable security token features and contents |
| US7117376B2 (en) * | 2000-12-28 | 2006-10-03 | Intel Corporation | Platform and method of creating a secure boot that enforces proper user authentication and enforces hardware configurations |
| NZ533945A (en) * | 2001-12-07 | 2006-09-29 | Ecebs Ltd | Smartcard system |
| US20030154375A1 (en) * | 2002-02-08 | 2003-08-14 | Weimin Yang | Universal crypto-adaptor system for supporting multiple APIs and multiple smart cards |
| GB2387254B (en) | 2002-04-05 | 2005-11-23 | Armoursoft Ltd | User authentication for computer systems |
| US7028090B2 (en) * | 2002-05-30 | 2006-04-11 | International Business Machines Corporation | Tokens utilized in a server system that have different access permissions at different access times and method of use |
| US6945454B2 (en) * | 2003-04-22 | 2005-09-20 | Stmicroelectronics, Inc. | Smart card device used as mass storage device |
| KR101100385B1 (ko) * | 2004-03-22 | 2011-12-30 | 삼성전자주식회사 | 인증서 폐지 목록을 이용한 디지털 저작권 관리 방법 및장치 |
| KR20060004584A (ko) | 2004-07-08 | 2006-01-12 | 삼성전자주식회사 | 보안 인증을 통한 화상형성장치의 부팅방법 |
| US7725701B2 (en) * | 2006-03-03 | 2010-05-25 | Hewlett-Packard Development Company, L.P. | Portable device comprising a BIOS setting |
-
2006
- 2006-10-25 US US11/586,283 patent/US8200952B2/en not_active Expired - Fee Related
-
2007
- 2007-09-27 KR KR1020097001576A patent/KR20090068201A/ko not_active IP Right Cessation
- 2007-09-27 WO PCT/US2007/079737 patent/WO2008051679A1/en active Application Filing
- 2007-09-27 CN CN2007800401147A patent/CN101529376B/zh active Active
- 2007-09-27 EP EP07843367A patent/EP2076833A1/en not_active Withdrawn
- 2007-09-27 JP JP2009534741A patent/JP2010508578A/ja not_active Withdrawn
- 2007-10-11 TW TW096138034A patent/TW200821931A/zh unknown
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1527208A (zh) * | 2003-09-25 | 2004-09-08 | 联想(北京)有限公司 | 基于身份认证的计算机安全及加密的实现方法和装置 |
| CN1822013A (zh) * | 2006-03-14 | 2006-08-23 | 上海一维科技有限公司 | 基于可信平台模块的指纹生物识别引擎系统及其识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080148388A1 (en) | 2008-06-19 |
| US8200952B2 (en) | 2012-06-12 |
| TW200821931A (en) | 2008-05-16 |
| CN101529376A (zh) | 2009-09-09 |
| KR20090068201A (ko) | 2009-06-25 |
| WO2008051679A1 (en) | 2008-05-02 |
| EP2076833A1 (en) | 2009-07-08 |
| JP2010508578A (ja) | 2010-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101529376B (zh) | 经由透明辅助因素的平台认证 | |
| US10148429B2 (en) | System and method for recovery key management | |
| US7555568B2 (en) | Method and apparatus for operating a host computer from a portable apparatus | |
| EP2106597B1 (en) | Cryptographic key containers on a usb token | |
| US20080046581A1 (en) | Method and System for Implementing a Mobile Trusted Platform Module | |
| US8417969B2 (en) | Storage volume protection supporting legacy systems | |
| US20070124536A1 (en) | Token device providing a secure work environment and utilizing a virtual interface | |
| US20140115316A1 (en) | Boot loading of secure operating system from external device | |
| WO2009064406A1 (en) | Pc on a usb drive or a cell phone | |
| CN102110007B (zh) | 一种bios/uefi与虚拟机监控器交互方法及系统 | |
| GB2508895A (en) | Bootloader for booting a computer into a second operating system that is hidden from a first host operating system | |
| US20050138414A1 (en) | Methods and apparatus to support the storage of boot options and other integrity information on a portable token for use in a pre-operating system environment | |
| EP2483800B1 (en) | Method and system for supporting portable desktop with enhanced functionality | |
| WO2007098642A1 (en) | MECHANlSM FOR ACCESS CONTROL OF COMPUTING SYSTEM IN PRE-OS STAGE | |
| CN108171039A (zh) | 一种基于ukey的安全办公方法 | |
| US20110082986A1 (en) | Electronic device for providing self-adapting services depending on the platform of the host equipment with which it is connected | |
| US20080244163A1 (en) | Portable data access device | |
| Sebastian et al. | Design and Development of a Dynamic Boot Loader for Loading an Operating System: An Update | |
| Molina et al. | A mobile trusted platform module (mtpm) architecture | |
| CN117055840A (zh) | 音频控制方法、装置、终端设备及存储介质 | |
| Li et al. | A new high-level security portable system based on USB Key with fingerprint | |
| CN116897350A (zh) | 具有虚拟计算机间可转换的结构的计算机及转换方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150513 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150513 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |