专利名称:安全状态监控器的制作方法
技术领域:
本发明一般涉及计算机安全领域,尤其涉及反应计算机系统的内部状态的可信性和安全性的独立的可靠状态指示器。
背景技术:
在现代计算中,可以在计算机上执行的许多任务需要某种等级的安全。为了提供一种安全等级,有若干选项。一种选项是在完全与可能不安全的元件相分离的计算机上执行所有的安全应用程序,或使用虚拟机监控程序(VMM)以便允许运行在单个计算机系统上的两个执行环境(例如,操作系统)之间的完全隔离。然而,这可能是不切实际的。出于成本或便利的原因,对于安全执行环境来说可能需要与不确保安全的应用程序共享资源,并且这些应用程序和这些资源对于攻击者来说可能是易受攻击的。此外,在使用VMM时,因为VMM要求对机器及其所有设备进行全虚拟化(从而要求VMM为每个可能的设备提供它自己的设备驱动程序),因此VMM不适合于开放式体系结构的机器,其中可以对该机器添加几乎无限的各种设备。
提供在两个执行环境间共享资源的能力的一种方法是提供一种计算机系统,其中有一个“主”操作系统,它控制着机器上大多数进程和设备,并且其中还存在第二操作系统。该第二操作系统是与主操作系统并排的小型、用途有限的操作系统,它执行某些有限的任务。使得操作系统“小型”或“用途有限”的一种方法是允许小型操作系统从“主”操作系统借用某些基础设施(例如,调度工具、存储器管理器、设备驱动程序等)。
某些其它技术允许操作系统并存。一种这样的技术是使一个操作系统作为其它操作系统的“主机”。(“主机”所主存的操作系统有时候被称为“访客”。)在这种情况下,主机操作系统为访客提供资源,诸如存储器和处理器时间。另一种这样的技术是使用“外核”。外核管理某些设备(诸如,处理器和存储器),并且还管理操作系统间的某些类型的交互,虽然外核(与VMM不同)不对整个机器进行虚拟化。即使在使用外核时,可能出现这样的情况,即,一个操作系统(例如,“主”操作系统)为其它操作系统提供大量基础设施,在这种情况下,主操作系统仍然可以被称为“主机”,并且较小的操作系统被称为“访客”。同样,实际的可信管理程序可以运行在支持“主机”和“访客”分区的机器上,其中“主机”分区为“访客”分区提供许多服务,“访客”分区导入大多数服务并且集中于安全上。主宿模型、管理程序/VMM模型和外核模型允许支持基础设施共享的操作系统之间的有用的交互类型。
因此,这些技术可以用于提供具有至少两个执行环境的计算机系统。这些执行环境之一可以是“高保证(high-assurance)”操作系统,在此处被称为“连接点(nexus)”。高保证操作系统是提供了关于其行为的某种级别的保证的操作系统。例如,通过提供保证不向连接点外部泄漏信息的遮蔽(curtianed)存储器,并且通过仅允许某些被证明的应用程序在连接点下执行并且访问遮蔽存储器,连接点可以用于以不应被泄漏的安全信息(例如,密钥等)来工作。
在具有两个执行环境的计算机系统中(其中之一是连接点),可能希望连接点是访客操作系统,并且第二操作系统(不服从于关于行为的相同保证级别)是主机操作系统。这允许连接点尽可能的小。小连接点允许由连接点提供的保证内的更高的置信度级别。因此,操作系统的功能由主机操作系统运行。
可以由主机操作系统运行的这样一种操作系统是窗口系统。当使用窗口系统时,用户的显示用窗口来填充,窗口即屏幕上的区域,它们显示来自应用程序的信息。应用程序可以具有一个或多个窗口。所显示的所有窗口中的一个窗口可以具有焦点。例如,可以由窗口周围的不同的边框指示出焦点窗口。
在传统的窗口系统中,当窗口具有焦点时,它一般是用户输入的对象。因此,如果用户使用键盘输入信息,在许多情况下,键盘输入数据将由操作系统发送到拥有具有焦点的窗口的应用程序。某些键盘输入和其它输入动作可能不被发送到拥有具有焦点的窗口的应用程序。例如,在某些窗口系统中,有最小化所有窗口的键盘输入命令。这种命令将由窗口系统处理,并且不被发送到拥有具有焦点的窗口的应用程序。拥有焦点窗口的应用程序可以接收最小化窗口的通知;然而,用户的键盘输入旨在用于窗口系统,而不是拥有具有焦点的窗口的应用程序,并且不被发送到该应用程序。
当窗口系统由主机操作系统而不是连接点运行时,它易于受到攻击。因为如所述的,窗口系统通过跟踪哪个窗口具有焦点来跟踪哪个窗口将接收用户输入,这引起了一个问题。因此,通过在用户不注意或甚至于没有用户可以注意的指示的情况下转移焦点,攻击可以被安装在系统上。
攻击可以(例如)通过运行在主机上的程序发生,该程序转换焦点并且捕捉键盘输入。导致用户相信用户的输入将被定向到可信实体一某些硬件、系统软件、应用程序或在连接点中运行的窗口。然而,在某个时刻焦点发生了转移。作为替代,用户输入被定向到攻击程序,在该程序中用户输入被捕捉并且可以被以后使用。
因此,因为窗口系统在主机操作系统的控制下,并且用户输入一般被定向到进行输入时具有焦点的窗口,因此危害了连接点的高保证特性。虽然参考窗口系统描述了本发明,但可以有其它系统,其中有两个或多个保证级别,并且用户可以选择与哪个实体(例如应用程序)交互。同样在这些系统中,某些输入必须被保持对于低保证应用程序和实体是安全的,并且出现上述的相同的问题。再有,本发明对于仅具有单个安全等级的系统也有价值一即,就像本发明可以解决双模式系统中存在的安全问题一样,其中焦点被改变而用户没有注意,它也可以解决单安全模式系统中的问题,其中整个假系统而不是真实的系统被引导。即,本发明允许用户知道正确的单安全等级系统在运行,而不是给出完整的欺骗性UI的某些攻击者。事实上,作为一个一般性规则,人们不能通过检查断定他们正与安全组件交互还是与不安全的组件交互。
因此,在人们访问希望高保证UI的资源的任何时候,尤其是当同时给出各种安全等级的UI时,一种监控器是有利的。
另一种可能的攻击被称为欺骗(spoof)。欺骗是这样的攻击,其中使得用户相信某些硬件、系统软件、应用程序或代理软件或给定的窗口是可信实体,即使它不是。攻击者欺骗可信实体。这可以用于偷窃用户凭证,或捕捉由用户(该用户相信他正在使用高保证实体)输入的敏感特性的其它数据。
例如,在其中连接点以登录屏幕运行银行业务程序的的系统中,攻击者可以编写运行在主机操作系统上的程序,并且显示一个看起来与该银行业务程序的登录屏幕完全一样的窗口。当用户被这个欺骗性窗口欺骗时,用户将向该欺骗窗口中输入信息。该信息被攻击者捕捉,并且然后可以被攻击者使用,而用户并不知情。
对于被称为置于困境(snooker)的攻击,窗口系统也是易受攻击的。在置于困境攻击中,攻击者改变用户的显示,以便当系统不安全时,在用户看来系统是安全的。例如,计算机系统可以包括用户锁定系统的功能,或允许计算机睡眠或休眠。在这种情况下,置于困境攻击将模拟系统被锁定、睡眠或休眠时的屏幕。当用户不注意,认为系统没有被激活并且安全时,攻击者可以对该系统进行未授权的使用。
一般地,不论合法的连接点侧程序或功能系统可以在监视器上产生何种像素模式,主机侧的攻击程序都可以模仿。因为任何软件可以在显示器上绘制任何像素、设置键盘上任何的灯、或形成任何波形,因此人们不可能通过简单的检查来判定给定的计算机是否为可信计算机,或可能的可信计算机当前是否运行在可信模式中。某些攻击迫使机器脱离可信状态,并且依旧是相对“寂静的”—这意味着机器将在非常短的时间内从可信变为不可信,并且用户可能注意不到。然而,为了保持连接点的高保证特性,用户必须能够区分合法连接点侧的用户界面图像元素和假的用户界面图像元素。
鉴于上述内容,需要一种克服现有技术的缺点的系统。
发明内容
根据本发明的一个实施例,连接到包括某些安全功能的计算机系统的安全设备“监控”该安全功能,并且提供对机器的安全状态的指示。在一个实施例中,该安全设备查询计算机系统的安全功能的状态。在一个实施例中,这种查询确定是否危害了该安全功能。在另一实施例中,该查询确定安全功能(例如,连接点)或计算机系统的另一部分正接收用户输入或向用户提供信息。还设想通过该查询获得关于安全功能的其它状态信息。
较佳地,安全设备包括至少某些下面的特征独立的电源(例如,电池、太阳能电池等),或当丧失电源时向用户报警的方法;独立的时钟(即,测量不依赖于被监控的系统,或不依赖于不保证其可靠性的外部时钟的时间的方法);独立的计算能力(即,它自己的处理器);至少某些独立的存储器(例如,作为用于以不能从设备外部危及到的方式执行计算的工作空间,或是如果安全设备依赖于外部验证实体,则用于存储可从其识别正确的外部验证实体的信息的足够的独立存储器。)这些资源较佳地是独立的组件,但是也可以物理地与计算机系统集成在一起;这种设计的效果取决于该设备是如何防篡改的。
状态信息用于确定安全功能是否处于不合要求的状态。如果存在这样的不合要求的状态,则向用户报警。这允许对计算机系统的安全功能的正确运行的独立确认。在一个实施例中,通过以仅能由符合要求地运行的安全功能回答的质询来质询安全功能,安全设备确定是否存在符合要求的状态。在一个实施例中,该质询是以某种形式加密的。在一个实施例中,该查询/发信号通知至少以一个给定的周期发生,例如每秒一次。较佳地,没有以适时的方式回答将被认为与回复完全失败相同;因此,较佳的是,执行监控器功能的安全设备具有其自己的(可信的和可靠的)时钟。
在一个实施例中,向计算机系统查询安全功能的状态。如果没有收到响应,则安全设备发信号通知。如果响应不符合要求,则安全设备以第二种,可能是不同的信号发信号通知。
向用户报警可以包括诸如闪动或改变的视觉显示等视觉信号;诸如音调、嘟嘟声、蜂鸣声或其它噪声等听觉信号;或诸如振动等触觉信号。这些报警的任一组合可以用于向用户报警。
在另一实施例中,该安全设备还提供了关于安全功能的其它状态信息的指示。例如,如上所述,在具有不同保证等级(诸如主机和连接点)的环境的情况中,安全设备可以显示这样的信息,它指出在任一时刻哪个保证等级是活动的,并且因此指出,例如,用户的输入将被定向到何处。在其它实施例中,该安全设备指示两种执行环境间何时发生转换,或一个执行环境何时关闭。当较高保证的执行环境包含保密数据,例如,第二执行环境不知道的图像或用于构造由较高保证的执行环境显示的窗口的颜色,则这种秘密可以从较高保证的执行环境中获得,并且由该安全设备显示。
在一个实施例中,该安全设备担当安全功能的“安全警惕开关”(“dead man’sswitch”)。即,如果没有来自安全功能的对安全状态符合要求的指示,则该安全设备假设有某些东西不符合要求,并且向用户报警。由于安全设备旨在检测对安全功能的攻击,并在发生了这样的攻击的情况下向用户报警,因此应保护安全设备不受攻击。攻击的一种明显的模式是禁用安全设备的电源。因此,在一个实施例中,为安全设备提供与计算机系统的电源分离的电源。在另一个实施例中,使用计算机系统的电源,然而为安全设备提供后备电源,该后备电源允许如果计算机电源是或变为对于安全设备不可用,则发出警报声音。
在一个实施例中,发出警报的动作包括通过计算机外的通道向中央监视服务发送消息。因此,该安全设备不仅可以向用户通知安全问题,而且还将该问题以可靠、可信的方式传递给计算机管理员。
在一个实施例中,发出警报的动作包括命令人工输入设备或为人工输入设备服务的集线器关闭一小段时间,或是关闭一段延长的时间。因此,当系统处于不安全状态时(或在安全性不能被验证时),可以防止用户向系统内输入数据,因为这种数据可能包括可能被处于非安全状态的系统偷窃的敏感数据。
该安全设备可以用某种方式集成到计算机系统中。例如,该安全设备可以被嵌入到键盘、监视器、鼠标或计算机外壳中。在另一实施例中,该安全设备与计算机系统相分离,但是可以被放置在计算机系统整体或部分的邻近处,或通过(例如)夹子或通过挂钩和闭锁钩扣附件附着在计算机系统上。
在一个实施例中,该安全设备通过一个或多个下面的连接类型连接到计算机系统USB(通用串行总线)连接、串口连接、1394连接(根据IEEE-1394协议运行的连接,被非正式地称为“火线”)、SCSI(小型计算机系统接口)连接、或以太网连接。也可以使用并行、串行、调制解调器或无线连接。该安全设备可以使用允许它与安全系统交换(密码)查询和回复的任一数字通道,只要以人们交互的标准来看信息往返时间是短的即可。
在一个实施例中,该安全设备包括接收用户改变安全设备的操作的命令的选项接口。该选项接口通过计算机系统提供,只要没有确定计算机系统的安全功能处于不符合要求的状态。
系统中可以有若干不同的安全功能元件。例如,显示器可以由安全视频功能完全或部分地控制。这种功能可以与安全用户输入功能相分离。在一个实施例中,安全设备通过对系统中存在的安全功能的一个以上元件的每一个执行单独查询和信号协议实例,监视这些元件。
此外,根据本发明的一个实施例,安全设备通过可信分发基础设施来传递。一旦被建立,该可信分发基础设施用于传递安全设备的至少某些部分。被传递的部分可以是该安全设备的任一部分。可以设想分发安全设备的纯软件和纯硬件部分。以这种方法,确保了安全设备的安全性。
本发明的其它特征在下面描述。
当结合附图进行阅读,将更好地理解前面的概述,以及下面对较佳实施例的详细描述。出于说明本发明的目的,在附图中示出了本发明的示例性构造;然而,本发明并不限于所公开的特定方法和手段。附图中图1是其中可实现本发明的各方面的示例性计算环境的框图;图2是两个示例性执行环境的框图,它们彼此保持某些交互并且保持彼此之间的某些分离;图3是根据本发明的一个实施例的计算机系统和安全设备的框图;图4是根据本发明的一个实施例用于向用户显示信息的方法的流程图;
图5是根据本发明的一个实施例的安全设备的电源的框图;以及图6是根据本发明的一个实施例用于提供包括安全功能的计算机系统的安全性的方法的流程图。
具体实施例方式
示例性计算装置图1示出了可在其中实现本发明的各方面的示例性计算环境的框图。计算系统环境100仅是适合的计算环境的一个例子,并且不旨在对本发明的使用范围或功能提出任何限制。计算环境100也不应被解释为对示例性操作环境100中示出的任一组件或它们的组合具有任何依赖或需求。
本发明可以用许多通用或专用计算系统环境或配置来实施。适用于本发明的公知的计算系统、环境和/或配置的例子包括,但不限于,个人计算机、服务器计算机、手持或膝上设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费者电子设备、网络PC、微型计算机、大型计算机、嵌入式系统、包括任一上述系统或设备的分布式计算环境等。
可以在由计算机执行的计算机可执行指令(诸如程序模块)的一般环境中描述本发明。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。本发明还可以在分布式计算环境中实现,其中任务由通过通信网络或其它数据传输介质连接的远程处理设备来执行。在分布式计算环境中,程序模块和其它数据可以位于包括存储器存储设备的本地和远程计算机存储介质两者内。
参考图1,用于实现本发明的示例性系统包括计算机110形式的通用计算设备。计算机110的组件可以包括,但不限于,处理单元120、系统存储器130和将包括系统存储器在内的各种系统组件耦合到处理单元120的系统总线121。处理单元120可以表示多个逻辑处理单元,诸如在多线程处理器上支持的那些处理单元。系统总线121可以是若干总线类型中的任意一种,包括存储器总线或存储器控制器、外围总线、以及使用各种总线体系结构中的任意一种的局部总线。作为例子,而非限制,这种体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强ISA(EISA)总线、视频电子技术标准协会(VESA)局部总线和外围部件互连(PCI)总线(也被称为Mezzanine总线)。在通信设备中,系统总线121还可以被实现为点对点连接、交换光纤等。
计算机110通常包括各种计算机可读介质。计算机可读介质可以是可以由计算机110访问的任何可用介质,并且包括易失性和非易失性介质、可移动和不可移动介质两者。作为例子,而非限制,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据的信息的任何方法或技术实现的易失性和非易失性介质、可移动和不可移动介质两者。计算机存储介质包括,但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CDROM、数字多功能盘(DVD)或其它光盘存储、盒式磁带、磁带、磁盘存储或其它磁存储设备、或可以用于存储所希望的信息并且可以被计算机110访问的其它介质。通信介质通常具体化为诸如载波或其它传输机制等已调制数据信号中的计算机可读指令、数据结构、数据模块或其它数据,并且包括任一信息传递介质。术语“已调制数据信号”的含义是这样的信号,其一个或多个特征以对信号内的信息编码的方式被改变或设置。作为例子,而非限制,通信介质包括诸如有线网络或直接布线连接的有线介质,以及诸如声学、RF、红外线和其它无线介质的无线介质。上面所述的任一组合也被认为在计算机可读介质的范围内。
系统存储器130包括易失性和/或非易失性存储器形式的计算机存储介质,诸如只读存储器(ROM)131和随机存取存储器(RAM)132。基本输入/输出系统133(BIOS)通常被存储在ROM 131中,它包含有助于(例如)在启动期间在计算机110内的元件之间传送信息的基本例程。RAM 132通常包含可以立即由处理单元120访问和/或当前正被处理单元120操作的数据和/或程序模块。作为例子,而非限制,图1示出了操作系统134、应用程序135、其它程序模块136和程序数据137。
计算机110还可以包括其它可移动/不可移动、易失性/非易失性计算机存储介质。作为例子,图1示出了从不可移动、非易失性磁介质读或向其写的硬盘驱动器140,从可移动、非易失性磁盘152读或向其写的磁盘驱动器151,以及从可移动、非易失性光盘156,诸如CDROM或其它光学介质读或向其写的光盘驱动器155。可以用于示例性计算环境中的其它可移动/不可移动、易失性/非易失性计算机存储介质包括,但不限于,盒式磁带、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等。硬盘驱动器141通常通过不可移动存储器接口,诸如接口140连接到系统总线121,磁盘驱动器151和光盘驱动器155通常由可移动存储器接口,诸如接口150连接到系统总线121。
上面讨论和图1中示出的驱动器和及其相关联计算机存储介质为计算机110提供了计算机可读指令、数据结构、程序模块和其它数据的存储。例如,在图1中,硬盘驱动器141被示出为存储操作系统144、应用程序145、其它程序模块146和程序数据147。注意,这些组件可以与操作系统134、应用程序135、其它程序模块136和程序数据137相同或不同。此处给予操作系统144、应用程序145、其它程序模块146和程序数据147不同的标号,以便示出它们至少是不同的副本。用户可以通过输入设备,诸如键盘162和定位设备161(一般被称为鼠标、跟踪球或触摸垫)向计算机110输入命令和信息。其它输入设备(未示出)可以包括麦克风、操纵杆、游戏垫、圆盘式卫星天线、扫描仪等。这些和其它输入设备常常通过耦合到系统总线的用户输入接口160连接到处理单元120,但是也可以通过其它接口和总线结构,例如并行端口、游戏端口或者通用串行总线(USB)连接。监视器191或其它类型的显示设备也通过接口,例如视频接口190连接到系统总线121。除了监视器之外,计算机还可以包括其它外围输出设备,诸如扬声器197和打印机196,它们可以通过输出外围接口190连接。
使用到一个或多个远程计算机,诸如远程计算机180的逻辑连接,计算机110可以在联网环境中操作。远程计算机180可以是个人计算机、服务器、路由器、网络PC、对等设备或其它普通网络节点,并且通常包括以上相对于计算机110所描述的许多或所有元件,尽管图1中仅示出了存储器存储设备181。图1中所给出的逻辑连接包括局域网(LAN)171和广域网(WAN)173,但是还可以包括其它网络。这种联网环境在办公室、企业范围计算机网络、内联网以及因特网中是很常见的。
当在LAN联网环境中使用时,计算机110通过网络接口或适配器170连接到LAN171。当在WAN联网环境中使用时,计算机110通常包括调制解调器172或用于通过广域网173,例如因特网建立通信的其它装置。调制解调器172可以是内置或者外置的,它通过用户输入接口160或其它适合的机制连接到系统总线121。在联网环境中,相对于计算机110所描述的程序模块或其部分可以存储在远程存储器存储设备中。作为例子,而非限制,图1示出远程应用程序185驻留在存储器设备181内。应当理解,所示的网络连接是示例性的,并且可以使用在计算机之间建立通信链路的其它装置。
单个机器上的多个计算环境如前所述,在本领域中公知的是,两个操作系统可以在单个计算设备上并排执行。使用本发明可以解决的一个问题是如何在两个操作系统之间提供某种级别的隔离,而同时仍然提供这两种操作系统之间的某种级别的交互。
图2示出了这样的系统,其中两个操作系统134(1)和134(2)在单个计算机110上执行。某些类型的逻辑隔离202存在于操作系统134(1)和134(2)之间,从而在操作系统134(1)和134(2)之间允许某种数量的交互204,同时仍然允许保护该操作系统中的至少一个不受其它操作系统中始发的事件的影响。在图2的例子中,操作系统134(1)是主机操作系统,而操作系统134(2)是访客操作系统,诸如上面所述的“连接点”。如前面所述的,当操作系统134(2)是连接点时,所希望的是构造隔离202,从而操作系统134(2)可以与操作系统134(1)交互以便借用操作系统134(1)的基础设施,同时仍然允许操作系统134(2)保护其自己不受发生在操作系统134(1)中的动作(恶意的或无害的)的影响,并且可以使得操作系统134(2)以与其行为规范相反的方式运行。(然而应当理解,本发明不限于操作系统134(2)是连接点的情况。)操作系统134(1)和134(2)之间的隔离202可以(可任选地)在安全监控程序的辅助下实施。安全监控程序是操作系统134(1)和134(2)两者外部的组件,它提供了可以用于保护操作系统134(2)免受操作系统134(1)的影响的某些安全服务。例如,安全监控程序可以控制对某些硬件的访问、可以管理对存储器的使用(以便给予操作系统134(2)对存储器的某些部分的独占使用)、或可以有助于以安全的方式将数据从操作系统134(1)传递到操作系统134(2)。应当注意,对安全监控程序的使用表示可以如何保护操作系统134(2)免受操作系统134(1)的影响的一种模型,虽然使用安全监控程序不是所要求的。作为另一个例子,操作系统134(2)可以包括保护它自己免受操作系统134(1)的影响所需的所有功能。
应当注意,图2示出操作系统134(1)为“主机”,而操作系统134(2)为“访客”。一般地,这个特征是指这样的事实,即,在这些例子中,操作系统134(1)提供由操作系统134(1)和134(2)两者使用的某些操作系统基础设施(例如,设备驱动程序、调度等),而操作系统134(2)在较佳地缺少这种基础设施但是使用操作系统134(1)的基础设施的意义上来说是“访客”。然而,应当注意,使得操作系统成为“主机”或“访客”的因素是灵活的。此外,应当注意,“主机”和“访客”的传统概念假设主机需要保护其自己免受访客动作的影响。然而,在图2的例子中,操作系统134(2)被假设为需要保护其自己免受操作系统134(1)的影响的高保证操作系统。在下面的例子中,出于在它们之间进行区分的目的,将一般地称操作系统134(1)为“主机”,而称操作系统134(2)为“访客”或“连接点”。应当理解,此处描述的技术可以适用于运行在同一机器(或甚至是同一组连接的机器)上的任意两个或多个操作系统的交互。
单个机器上的多个计算环境内的用户输入模式当用户与包含高保证操作系统的计算机系统上的程序交互时,用户借助于用户输入设备,诸如鼠标161或键盘162(见图1)来完成这种工作。如上所述,允许运行在主机操作系统134(1)上的窗口系统控制输入事件流的目的地可以允许使用受到危及的主机操作系统或应用程序的攻击。
在一个实施例中,输入事件流的目的地由运行在连接点134(2)上的可信用户接口引擎控制。建立了计算机110可以运行的两种模式。这两种模式是标准输入模式(SIM)和连接点输入模式(NIM)。在NIM中,用户输入被定向到连接点或定向到运行在连接点上的进程。
秘密共享在一个实施例中,为了防止上面所述的欺骗攻击,在主机侧被隐藏的秘密可以由连接点显示。主机侧上没有一个进程可以访问该秘密,并且因此,如果窗口或其它图形用户界面元素可以显示该秘密,则它是主机侧图形用户界面元素。连接点用户秘密可以是图像或短语。图像可以是有用的连接点用户秘密,因为它们易于被用户识别,并且难以描述。如果由用户选择用作连接点用户秘密的图像是(例如)用户的狗在用户住宅前面的照片,则该照片可以由在用户的屏幕上观看到该图像的攻击者描述,然而,即使使用这些信息,攻击者也将难以重新创建该图像或找到它的副本。连接点用户秘密也可以是窗口装饰,诸如由连接点侧程序显示的窗口的边框。如果所有连接点侧窗口在同一时刻改变边框颜色,并且具有匹配的边框颜色,则欺诈性的连接点侧窗口将是易于辨别的。该秘密可以被不断地更新。
其它安全功能和其它秘密虽然上面已经描述了计算机系统中的一种特定的安全功能,然而可以设想,在计算机系统中可以存在其它安全功能。例如,在仅有一个执行环境的计算机系统中,可以由运行在该执行环境上的软件应用程序、由该计算机系统的硬件元件、或由软件和硬件的某一组合来提供安全功能。计算机系统可以在该系统的操作系统内包括安全功能。一个例子是根据由可信计算组提出的标准,以可信平台模块(TPM)运行的计算机系统。一般地,本发明被设想为可用于其中安全功能作为该安全功能的可信性监控程序存在于计算机系统上的任何情况。
类似地,虽然参考两个执行环境(主机和连接点)描述了秘密,然而可以设想任何安全功能都可以具有相关联的秘密。
安全设备图3是根据本发明的一个实施例的计算机系统和安全设备的框图。如图3中所见,计算机系统110包括安全功能310。安全设备300包括查询器302和报警器304。查询器查询安全功能310。向安全功能310请求状态。该状态请求可以包括测试或质询,对它的响应将指出该安全功能是否响应。如果确定安全功能的不符合要求的状态,则报警器304向用户报警。在一个实施例中,如果(1)安全功能没有响应;或如果(2)接收到的响应被辨别为不是来自该安全功能;或是(3)如果从安全功能接收到的响应指出已经违反了某些安全性,则确定安全功能的不符合要求的状态。如上所述,通过使用独立的电源322、独立的时间源324、独立的计算组件326和独立的存储器328,安全设备300执行其功能的能力可以被增强或启用。
应当注意,安全设备不限于确定特定安全功能是开启还是关闭(或工作还是未工作)的功能。而是,安全设备可以被配置成确定安全设备是否“足够好地”工作(即,合乎某些定义的标准地执行,或是满足某些定义的安全准则)。在许多模型中,基于一组证明矢量并且基于软件堆栈确定安全系统的运作;判断这些特征可能会带来一个难题,因为有效的证明矢量或软件堆栈由什么组成可以根据不同的机器和不同的环境而改变。解决这个问题的一种方式是由判断服务做出对安全系统的运作的最终确定,该判断服务被配备为基于关于被评估的系统的信息做出这个确定。关于这种判断服务的一种使用情形将在下面更具体地描述。
在一个实施例中,查询器302包括质询器、接收器和响应器。质询器向安全功能310提出质询。接收器接收来自安全功能的响应。评估器评估该响应(如果有的话),并且确定它是否不符合要求。
在一个实施例中,质询是加密质询。对该加密质询的响应仅可以用对秘密的知识,诸如私钥来计算。因此,对是否从安全功能310接收到不符合要求响应的确定是关于该质询是否已经被正确地响应的确定。
在计算机系统110上可以有一个以上安全功能。例如,与执行环境有关的安全功能可以与保护显示器上数据的可信显示的安全功能分离。因此,在一个实施例中,安全设备300监视计算机系统110上的两个或多个安全功能。
从报警器304向用户的报警可以包括诸如闪动或改变的视觉显示等视觉信号;诸如语音、嘟嘟声、蜂鸣声或其它声音等听觉信号;或诸如振动等触觉信号。这些警报的任一组合可以用于向用户报警。此外,作为报警的一部分,用户输入设备可以被禁用(例如,以便防止用户向不安全的系统提供敏感信息),并且可以将该报警通知给远程监视中心(诸如与系统管理器相关联的远程监视中心)。还可以设想向用户提供报警的任何其它的方法。
在一个实施例中,查询器320在任何给定的时间段内至少一次查询安全功能310。因此,查询周期确保安全功能310在每个给定的周期内被检定至少一次以便确定它是否处于符合要求的状态。在一个实施例中,查询器302每秒一次检查安全功能310的状态。
计算机系统310和安全设备300之间的连接320可以是任何类型。特别地,它不必是物理连接,而是可以通过无线或其它手段来实现。在一个实施例中,使用了安全连接,从而该连接不受攻击者的更改或攻击者的监听的影响。在一个实施例中,安全设备通过一种或多种下面的连接类型连接到计算机系统USB(通用串行总线)连接、串口连接、1394连接(根据IEEE-1394协议运行的连接,被非正式地称为“火线”)、SCSI(小型计算机系统接口)连接、或以太网连接。
虽然图3示出安全设备300与计算机系统100相分离,然而安全设备300可以被结合到计算机系统110内。安全设备可以作为计算机系统的某些物理部分的一部分,诸如而非限制,包含计算机系统的全部或部分的外壳、键盘162、定位设备161或监视器191或其它显示设备,被集成到计算机系统110内。
图4是根据本发明的一个实施例用于向用户显示信息的方法的流程图。在步骤400,向计算机系统查询安全功能的状态。在步骤410,确定是否收到响应。如果没有收到响应,则在步骤420,发出第一信号。如果收到了响应,则在步骤430,确定该响应是否符合要求。如果该响应不符合要求,则在步骤440发出第二信号。在步骤410,在确定是否已经收到所述响应之前可能已经过一个规定的时间段。可以用给定的周期重复该过程,以便确保向用户发信号通知的信息保持为真。第一和第二信号可以是相同的。在一个实施例中,如果已经收到符合要求的响应,则可以发送不同的信号。
电源图5是根据本发明的一个实施例用于安全设备的电源的框图。在一个实施例中,如果安全功能310的状态不符合要求,则安全设备300向用户报警。因此,一种可能的攻击是使安全设备300静默。敌人可通过以禁用安全设备300的电源禁用安全设备300来试图这样做。为了抵抗这种做法,在一个实施例中,安全设备300包括第一电源500。报警器304可以被配置成如果第一电源500电量低则以信号通知用户。如所示出的,在一个实施例中,包括第二电源510。第二电源510用作第一电源500的后备。如果第一电源500失去电量,则第二电源510使得报警器304向用户发信号通知。例如,第一电源500可以被连接到插座。它可以是电池盒。第一电源500还可以是到用于计算机系统110的电源的连接。如果第一电源500出现某些故障,则第二电源510向用户警告该事实。在一个实施例中,第二电源510是电池。
判断服务如上所述,根据本发明的安全设备(或“监控器”)可以使用外部判断服务来确定被“监控”的安全系统是否足够好地运行(即,合乎相关标准地执行)。下面描述了一个示例情况,其中使用了这种判断服务。用户获得监控器,并且通过可信分发基础设施给用(例如)名称、地址和“判断服务”或可能是若干这种服务的确认密码凭证来加载监控器。装入监控器的数据包括判断服务账户数据,从而可以协调判断服务的记账/支付。
用户还可以对监控器编程,以便反映出用户关于信任的看法和策略。用户通过可信分发基础设施中的某些帮助进行这种编程。此时,监控器知道如何联系判断服务并且告诉它用户需要什么。
接着,监控器试图学习关于被监控的系统的相关信息,从而这种信息可以被传递到判断服务器(或“验证服务器”),并且由其进行评估。在一个示例实施例中,用户进入感兴趣的系统,并且“接通”监控器。该监控器首先向系统发送质询,并且取回一个“引语(quote)”,它是关于机器上有什么的密码语句。理论上,这单独地告知是否信任该机器的安全组件,但是矢量可能是复杂的并且难于理解。监控器接受引语结果,并且参考监控器记住的已知良好证明列表。如果该证明不在列表内,或是太陈旧,或没有通过某些其它测试,则监控器向将进入判断服务的安全组件发送消息。发送到判断服务的消息是密码消息。如果它没有到达判断服务,或没有返回,则监控器超时,并且发出一个它的警报。(在这种情况下,意味着“安全组件”根本不能被确认,这与意味着安全组件无法响应相反。)如果从判断服务返回了适当的密码消息,则监控器将解释该消息,并且缓存该结果。该消息可以包含各种数据,但最重要的是,它报告感兴趣的系统的证明矢量是否满足用户指定的标准。如果答案是“是”,则如本专利别处所描述的那样进行处理。如果答案是“否”,则发出报警。
作为可选择的情形,监控器创建使用它希望使用的判断服务的公钥加密的分组。该分组包括不重性(nonce)和监控器策略的陈述。它将该分组和所希望的判断服务的URL一起交给被检查的系统。该系统与判断服务协商,并且判断服务收集检查被检查的系统是否满足来自监控器的策略陈述所需要的任何信息。在检查的结尾,判断服务向监控器发送加密的分组(使用判断服务的私钥),该分组指出该系统是否满足所述的策略。不重性用于确保响应是唯一的。这种技术的优点是监控器不必出现在试图对配置进行验证之中。从系统接收到的引语可以是或可以不是有意义的,并且因此该引语本身可以不告知系统是否满足相关策略。可能有能够用于解决任何岐义的日志信息,在该情况下,该日志以及该引语都是需要的。然而,对于监控器来说,不出现在验证者和被验证者之间的这种会话的中间是有利的。
除了提供关于系统的二元(例如,“良好/非良好”)信息之外,判断服务可以通知监控器,安全组件内的哪些状态协议是可靠的,或向它给出其它的信息以便帮助纠正配置。
下面是使用判断服务的一个例子。在这个例子中,监控器被编程为以帐号12345联系WindowsVerify.Microsoft.com,并且设置paranoid=7,minos=r5.7,revokenevil=yes,cache_time_out=7days。当用户走近系统,并且将该监控器插入其内时,它执行上面所述的工作。如果WindowsVerify.Microsoft.com欣赏该系统(即,发现在相关标准下,它是可接受的。),则这被缓存7天,其含义是只要监控器在接下来的7天看到相同的证明矢量,则它可以判定系统完好。
注意,在这个例子中,如果WindowsVerify.Microsoft.com获知硬件损坏,或有坏的SMI bios或有隐错的管理程序,则它可以将对此的了解传递到调用它的每一监控器,从而可以用近乎实时的方式向用户告知停止信任该受损系统。
其它安全设备指示除了在确定安全功能310的不符合要求状态时向用户报警之外,安全设备可以提供安全功能的状态的显示(或其它指示)。因此,在一个实施例中,如果安全功能处于符合要求状态,则显示绿灯,如果没有处于符合要求状态,则显示红灯。在计算机系统110内有主机和连接点的情况下,这种显示指示是主机还是连接点处于活动状态。在连接点输入模式(NIM)和标准输入模式(SIM)对于计算机系统110是可行的情况下,在一个实施例中,报警器指出计算机系统110的输入模式。在另一个实施例中,当做出从主机活动到连接点活动、从连接点活动到主机活动、或从NIM到SIM状态、或从SIM到NIM状态的转换时,报警器可以发信号通知。在一个实施例中,当安全功能被停止/关闭时,报警器指出该事实。
如上所述,对于安全功能来说,可能包含关于不能被计算机系统110的其它部分访问的秘密的信息。在这种情况下,在一个实施例中,该安全设备包括显示或指出该秘密的能力。因此,例如,在秘密是照片时,安全设备可以显示该照片。作为另一个例子,在秘密是由安全功能显示的窗口边框的颜色时,安全设备显示该颜色。还可以设想其它视觉和非视觉秘密。
安全设备选项在一个实施例中,使用安全设备选项,安全设备可以被编程、改变选项或检查状态。例如,通过安全设备选项的设置,安全功能310的检查周期可以是用户可调的。用户可以请求检查诸如电池等电源的状态。安全设备可以包括用户用于请求进行这种设备选项改变和接收信息的输入/输出装置。或者,通过计算机系统110提供选项接口。为了确保选项不被敌人更改,在一个实施例中,选项接口仅能在计算机系统的安全功能没有处于不符合要求的状态时被访问。此外,如上所述,如果其安全性被评估的系统没有处于可接受的安全状态中,则安全设备可以切断输入设备或向远程监视站发送消息。此外,安全设备可以适用于通过经由网络向对被监视的设备的安全组件的安全性进行评估的远程判断服务发送消息来判断设备的安全性。
安全设备的分发如果安全设备受到攻击者的危害或如果是从不可信的来源接收的,则安全设备不能被信任。因此,根据本发明的一个实施例,使用可信分发基础设施(它可以包括计算机网络)来分发安全设备。图6是用于提供包括安全功能的计算机系统的安全性的方法的流程图。如图6所示,步骤600是可信分发基础设施的建立。可信分发基础设施可以被建立在已经是可信的位置。例如,可信分发基础设施可以是银行、邮局或可信经销商。
然后在步骤610,使用分发网络来分发安全设备的至少某些部分。可以分发安全设备的全部或仅分发其某一些。例如,安全设备的特定物理元件(例如,硬件部分)可以通过分发网络分发。该物理元件可以包括防篡改设备,诸如对可信来源的指示(例如,全息图)或对物理元件没有被篡改或更改的视觉指示。分发不必是物理的,而可以是信息化的。因此,一个软件可以通过分发网络来许可和分发。在一个实施例中,软件的可信性是可通过加密方式来验证的。
结论应当注意,仅是出于解释的目的提供了上述例子,并且决不应被设想为是对本发明的限制。虽然已经参考各种实施例描述了本发明,应当理解,此处使用的文字是描述和说明的文字,而不是限制的文字。另外,虽然已经参照特定的装置、材料和实施例描述了本发明,但本发明不旨在限于此处公开的内容;而是,本发明延及诸如在所附权利要求书的范围内的功能上等效的所有结构、方法和用途。根据本说明书的教导,本领域的技术人员可以实现多种修改,并且可以进行改变而不脱离本发明各方面的范围和精神。
权利要求
1.一种用于计算机系统的安全设备,所述计算机系统包括安全功能,所述设备包括可操作地连接到所述计算机系统的查询器,它向所述计算机系统的所述安全功能请求状态;以及可操作地连接到所述查询器的用户报警器,如果确定了所述安全功能的不符合要求的状态,则所述用户报警器发信号通知,如果所述查询器没有检索到所述状态,则所述用户报警器也发信号通知。
2.如权利要求1所述的安全设备,其特征在于,还包括向所述用户报警器供电的第一电源。
3.如权利要求2所述的安全设备,其特征在于,如果所述第一电源的电量低,则所述用户报警器发信号通知。
4.如权利要求2所述的安全设备,其特征在于,还包括向所述用户报警器供电的后备电源。
5.如权利要求4所述的安全设备,其特征在于,如果所述第一电源被断开,则所述用户报警器发信号通知。
6.如权利要求1所述的安全设备,其特征在于,还包括独立的时钟。
7.如权利要求1所述的安全设备,其特征在于,所述安全设备作为所述计算机系统的元件被嵌入在同一物理外壳内。
8.如权利要求7所述的安全设备,其特征在于,所述元件包括从下面选择的至少一个键盘;监视器;外壳;鼠标或集线器。
9.如权利要求1所述的安全设备,其特征在于,所述查询器包括质询器,用于向所述安全功能提出质询;接收器,用于从所述安全功能接收响应(如果有的话);以及评估器,用于评估所述响应以便确定所述的响应(如果有的话)是否不符合要求。
10.如权利要求9所述的安全设备,其特征在于,评估器查询一判断服务以便确定所述安全功能是否符合要求。
11.如权利要求10所述的设备,其特征在于,它缓存对所述判断服务的查询的回答。
12.如权利要求10所述的设备,其特征在于,它允许用户指定参考的判断服务,以及用于解释由所述判断服务提供的回答的偏执级别。
13.如权利要求10所述的安全设备,其特征在于,所述评估器向感兴趣的安全组件查询信息,并且将其传递到一判断服务以便进行评估。
14.如权利要求10所述的安全设备,其特征在于,所述评估器指示感兴趣的安全组件从所述服务获得加密的可证明判断,并且将所述加密的可证明判断返回到所述评估器。
15.如权利要求10所述的安全设备,其特征在于,所述评估器向感兴趣的安全组件查询信息,并且将所述信息传递到一判断服务以便进行评估。
16.如权利要求10所述的安全设备,其特征在于,所述评估器指示感兴趣的安全组件从所述判断服务获得加密的可证明判断,并且将所述加密的可证明判断返回到所述评估器。
17.如权利要求1所述的安全设备,其特征在于,到所述计算机系统的所述可操作连接包括从下面选择的至少一种类型的连接USB连接、串口连接、1394连接、SCSI连接、或以太网连接。
18.如权利要求1所述的安全设备,其特征在于,所述由所述用户报警器发信号通知包括下面的一个或多个视觉信号;闪动的视觉显示;听觉信号;一个或多个音调;触觉信号;以及振动。
19.如权利要求1所述的安全设备,其特征在于,所述报警包括通过禁用所述计算机所附加的集线器,禁用附加在所述计算机上的至少某些人工输入设备。
20.如权利要求17所述的安全设备,其特征在于,它通过直接向所述人工输入设备中的一个发信号通知来禁用所述人工输入设备中的一个。
21.如权利要求1所述的安全设备,其特征在于,所述报警包括向中央监视设备发送消息。
22.如权利要求1所述的安全设备,其特征在于,所述用户报警器还包括用于指示所述安全功能的状态的状态指示器。
23.如权利要求20所述的安全设备,其特征在于,所述计算机系统包括第一执行环境和第二执行环境,并且其中,所述安全功能由所述第二执行环境提供,其中,所述状态指示器指出是所述第一执行环境还是所述第二执行环境处于活动状态。
24.如权利要求21所述的安全设备,其特征在于,所述设备使用显示器向用户指出若干安全组件中的哪些没有通过初始评估、没有对正在进行的评估进行响应、已经失去了焦点、和/或已经关闭。
25.如权利要求21所述的安全设备,其特征在于,所述状态指示器指出对所述第一执行环境或所述第二执行环境的哪一个处于活动状态已发生了改变。
26.如权利要求20所述的安全设备,其特征在于,所述状态指示器提供所述安全功能何时被关闭的指示。
27.如权利要求20所述的安全设备,其特征在于,所述安全功能可以显示秘密,并且其中,所述状态显示器显示所述秘密。
28.如权利要求1所述的安全设备,其特征在于,所述安全设备还包括选项接口,用于接收改变所述安全设备的操作的用户命令。
29.如权利要求28所述的安全设备,其特征在于,如果没有确定所述安全功能的不符合要求的状态,则所述选项接口通过所述计算机系统接收所述用户命令。
30.一种用于向用户发送关于计算机系统的状态的信息的方法,所述计算机系统包括第一安全功能,所述方法包括向所述计算机系统查询所述第一安全功能的状态;如果没有接收到对所述查询的响应,则向所述用户发信号通知;以及如果从所述计算机系统接收到不符合要求的响应或没有接收到响应,则向所述用户发信号通知。
31.如权利要求30所述的方法,其特征在于,如果接收到了不符合要求的响应或没有接收响应则向用户发信号通知是使用第二信号来执行的。
32.如权利要求30所述的方法,其特征在于,所述查询所述计算机系统包括以加密质询来质询所述安全功能。
33.如权利要求32所述的方法,其特征在于,所述如果接收到不符合要求的响应则向所述用户发信号通知包括评估所述响应以便确定所述加密质询是否已经被适当地回答;以及如果所述加密质询没有被适当地回答,则向所述用户发信号通知接收到不符合要求的响应。
34.如权利要求30所述的方法,其特征在于,向所述计算机系统查询状态,如果没有接收到响应则向用户发信号通知,如果接收到不符合要求的响应则向用户发信号通知的所述步骤是至少以预定的周期发生的。
35.如权利要求30所述的方法,其特征在于,所述周期是每秒一次。
36.如权利要求30所述的方法,其特征在于,还包括如果电源电量低,则向所述用户发信号通知。
37.如权利要求30所述的方法,其特征在于,所述第一信号和所述第二信号的每一个包括下面的至少一个或多个视觉信号;闪动的视觉显示;听觉信号;一个或多个音调;触觉信号;振动;禁用人工输入;以及向监视服务发送消息。
38.如权利要求30所述的方法,其特征在于,还包括指出所述第一安全功能的所述状态。
39.如权利要求38所述的方法,其特征在于,所述计算机系统包括第一执行环境和第二执行环境,其中,在任何一个时刻所述第一执行环境或所述第二执行环境处于活动状态,并且其中,所述第一安全功能由所述第二执行环境提供,其中,所述指示所述安全功能包括指出是所述第一执行环境还是所述第二执行环境处于活动状态。
40.如权利要求39所述的方法,其特征在于,所述指示所述第一安全功能的所述状态包括指出对所述第一执行环境或所述第二执行环境的哪一个处于活动状态已发生了改变。
41.如权利要求38所述的方法,其特征在于,对所述第一安全功能的所述状态的指示包括指出所述第一安全功能将被关闭。
42.如权利要求38所述的方法,其特征在于,所述第一安全功能可以显示秘密,并且其中,所述安全功能的所述状态包括显示所述秘密。
43.如权利要求30所述的方法,其特征在于,所述计算机系统还包括第二安全功能,所述方法还包括向所述计算机系统查询所述第二安全功能的状态;如果没有接收到对所述第二安全功能的状态的所述查询的响应,则以第三信号向所述用户发信号通知;以及如果从所述计算机系统接收到对所述第二安全功能的状态的所述查询的不符合要求的响应,则以第四信号向所述用户发信号通知。
44.如权利要求43所述的方法,其特征在于,所述第二安全功能保护视觉显示器上的视觉输出。
45.一种包括计算机可执行指令的计算机可读介质,所述指令向用户发信号通知关于计算机系统的状态的信息,所述计算机系统包括第一安全功能,所述计算机可执行指令执行以下动作向所述计算机系统查询所述第一安全功能的状态;确定是否接收到对所述查询的响应;如果没有接收到对所述查询的响应,或如果从所述计算机系统接收到不符合要求的响应,则向所述用户发信号通知。
46.如权利要求45所述的计算机可读介质,其特征在于,所述动作以至少一个预定周期发生。
47.如权利要求46所述的计算机可读介质,其特征在于,所述预定周期是以与所述计算机系统独立的时钟测量的。
48.如权利要求45所述的计算机可读介质,其特征在于,所述发信号通知的动作包括禁用一个或多个人工输入设备。
49.如权利要求45所述的计算机可读介质,其特征在于,基于与一判断服务的通信,确定所述响应是符合要求还是不符合要求。
50.如权利要求45所述的计算机可读介质,其特征在于,所述计算机系统还包括第二安全功能,所述动作还包括向所述计算机系统查询所述第二安全功能的状态;确定是否接收到对所述第二安全功能的状态的所述查询的响应;如果没有接收到对所述第二安全功能的状态的所述查询的响应或接收到不符合要求的响应,则向所述用户发信号通知。
51.一种用于提供包括安全功能的计算机系统的安全性的方法,所述方法包括建立可信分发基础设施;以及通过所述可信分发基础设施分发安全设备的至少第一部分,其中,所述安全设备包括可操作地连接到所述计算机系统的查询器,所述查询器向所述计算机系统的所述安全功能请求状态;以及可操作地连接到所述查询器的用户报警器,如果确定了所述安全功能的不符合要求的状态,则所述用户报警器发信号通知,如果所述查询器没有获取所述状态,则所述用户报警器也发信号通知。
52.如权利要求51所述的方法,其特征在于,安全设备的至少第一部分的所述分发包括所述安全设备的物理元件的物理分发。
53.如权利要求52所述的方法,其特征在于,所述物理元件包括独立的时钟。
54.如权利要求52所述的方法,其特征在于,所述物理元件包括反篡改设备。
55.如权利要求52所述的方法,其特征在于,所述反篡改设备包括对可信性的视觉指示。
56.如权利要求51所述的方法,其特征在于,安全设备的至少第一部分的所述分发包括所述安全设备的软件代码的分发。
57.如权利要求56所述的方法,其特征在于,所述软件代码的可信性可通过密码来验证。
全文摘要
一种安全设备监控计算机系统内的安全功能。这种“监控器”安全设备可以被集成在计算机系统内,或可以与计算机系统分离。该安全设备查询安全功能以便确定安全功能的状态是否可接受。如果不存在符合要求的状态,或如果没有接收到响应,则发信号通知。该信号可以是听觉的(蜂鸣声)或视觉的(闪动的光),以便发信号通知任何用户安全功能已经收到危害。可任选地,与该信号相结合或替代该信号,人工输入设备可以被禁用,或可以通知监视服务。如果安全功能包括该安全功能和用户之间共享的秘密,则该安全设备可以发信号通知该秘密。例如,当所述秘密是视觉的时,安全设备可以显示该秘密。当计算机系统内有一个以上安全功能元件时,该安全设备可以对一个以上安全功能元件进行单独的监控和报告。该安全设备还可以显示关于计算机系统的状态信息。该安全设备的部分或全部可以通过可信分发基础设施来分发。
文档编号G06F1/00GK1755639SQ20051009966
公开日2006年4月5日 申请日期2005年8月30日 优先权日2004年9月30日
发明者B·M·维尔曼, C·M·楚, D·R·伍腾, J·E·帕夫, P·C·罗伯茨 申请人:微软公司