专利名称:硬件信任锚的制作方法
技术领域:
本文讨论的实施方式涉及计算机的安全。
背景技术:
反病毒和反恶意软件(anti-malware)工具通过在目标机(计算装置/计算机)中执行程序来工作,该程序收集数据并且尝试检测恶意软件。此后,利用目标机外围设备/资源(监视器等)来显示检测结果。然而,这种方法存在一些问题。第一,反病毒软件本身
很可能是病毒和/或恶意软件的目标和/或受害者,由此不能实现其职能。第二,特定恶意软件的所有目的就是通过显示像“你的计算机被感染”的消息来“销售”反恶意软件。第三,对于机器上的虚拟机的情况来说,用户可能面对在驻留在单个机器中的不同环境(VM)之间进行辨别的问题,并且可以被容易地欺骗而使用可能已被破坏的环境来代替正确的环境。即使对恶意软件的检测的结果来自真正的反病毒工具,用户也很可能不相信显示在屏幕上的、该对恶意软件检测的结果。针对这种情况的一种解决方案是从受感染机器的与硬盘驱动器(HDD)不同的存储装置(如⑶,或USB存储器(USB thumb drive))引导该受感染机器进入清洁状态。此后,该用户针对该恶意软件开始扫描该HDD。然而,这种解决方案需要对计算机的一定程度的精通,即,重新引导,并且该⑶和USB存储器仅用作用于重新引导受感染机器的重新引导功能。
发明内容
在此讨论的实施方式的一方面是提供一种方法、机器(计算装置/设备)及其计算机可读介质,根据对目标计算机系统(目标机)的安全审查来确认该目标计算机系统的健康状况或“信任状态”。一方面的实施方式利用硬件(计算硬件)带外(00B,out-of-band)信任诊断器(例如,外部硬件带外信任诊断装置)作为硬件信任锚(anchor),和/或在不需要与目标计算机系统的数据通信连接之外的另一数据通信连接的情况下,利用硬件隔离(带内)信任诊断器(例如,外部硬件带内信任诊断装置)作为硬件信任锚,来提供对目标计算机系统的信任状态的诊断。根据一方面的实施方式,该硬件带外信任锚和/或带内信任锚都可信任并且确认目标计算机系统的信任状态。根据一方面的实施方式,包括OOB和/或带内信任锚的硬件信任锚可作为能够与目标计算机系统通信地连接的外部硬件信任锚而在目标计算机系统的外部,和/或集成为目标计算机系统中的独立计算电路(信任锚芯片),和/或并入/实现为目标计算机系统的可信任平台模块(TPM)的部件,或者是它们的任何组合。根据一方面的实施方式,“信任状态”包括根据对目标计算机系统的安全审查,确认包括该目标计算机系统上的目标虚拟机的、该目标计算系统的信任状态。应当明白,前面的一般描述和下面的详细描述都是示例性和解释性的,并且不是对如要求保护的本发明的限制。
图I是本发明一实施方式的功能和物理部件的图。图2是根据本发明一实施方式的、报告目标机器的信任状态的流程图。图3A是根据本发明一实施方式的计算机系统的图。、
图3B-3C是根据本发明一实施方式的、图3A中的计算机系统的状态图。图4-6是根据本发明一实施方式的、诊断具有外部硬件信任锚装置的目标计算机的流程图。图7是根据本发明一实施方式的实施方式、诊断具有外部带外硬件信任锚装置的目标计算机的图。图8是用于本发明多个实施方式的计算机的功能框图。
具体实施例方式本文讨论的实施方式的一方面是提供一种方法、机器(计算装置/设备)及其计算机可读介质,其根据目标计算机系统的安全审查来确认该目标计算机系统(目标机器)的健康状况或“信任状态”。一方面的实施方式利用硬件(计算硬件)带外(OOB)信任诊断器(例如,外部硬件带外信任诊断装置)作为硬件信任锚,和/或在不需要与目标计算机系统的数据通信连接之外的另一数据通信连接的情况下,利用硬件隔离(带内)信任诊断器(例如,外部硬件带内信任诊断装置)作为硬件信任锚,来提供对目标计算机系统的信任状态的诊断。根据一方面的实施方式,该硬件带外和/或带内信任锚都可信任并且确认目标计算机系统的信任状态。根据一方面的实施方式,包括OOB和/或带内信任锚的硬件信任锚可作为能够与目标计算机系统通信地连接的外部硬件信任锚而位于目标计算机系统外部,和/或集成为目标计算机系统中的独立计算电路(信任锚芯片)和/或并入/实现为目标计算机系统的可信任平台模块(TPM)的部件,或它们的任何组合。根据一方面的实施方式,“信任状态”包括根据对目标计算机系统的安全审查,确认包括该目标计算机系统上的目标虚拟机的、该目标计算系统的信任状态。对于虚拟环境的情况来说,当将当前安全技术应用至便携式虚拟环境时,大多数技术被证明是无效的。虽然可以修改传统安全工具,但该修改可能付出非常高的成本,并且以可用性和缩减保护为代价。本文实施方式提供了一种另选解决方案硬件信任锚,其可以在目标计算机系统外部和/或与目标计算机系统集成。这种硬件信任锚如同船锚一样,通过使虚拟机坚实地以硬件装置基础而保护虚拟环境不受普通危险。这些实施方式在使用虚拟系统的同时使用硬件信任锚。该信任锚保护虚拟机并且提供了用于断言部署该虚拟机的基础平台的可信度的机制。也许更重要的是,该硬件信任锚向用户通知目标系统的当前“信任状态”,由此提高安全意识并且加强最佳实践。示例性候选硬件信任锚装置被描述成提供最优安全,而不需要牺牲便携式虚拟环境的灵活性。根据一方面的实施方式,用户透明地工作在具有两个分立环境的同一计算机上,一个环境绑定至执行严格安全策略的信任锚,例如,专门启动以单独或者与另一计算装置一起执行目标安全操作或目标安全应用(例如,银行业务),而另一环境完全不被管理并且可由用户修改。作为移动计算的虚拟技术对于需要移动计算的公司来说,已经成为一种好坏掺半之事。移动计算在此指对例如通过网络发送、通过计算机可读记录介质等在计算机系统之间传输/传递的计算环境的虚拟化。一方面,虚拟机(VM)使用户的灵活性增加,允许他们不仅能够作为文件传输他们的整个工作环境(OS、应用),而且容易地共享和修改该工作环境。另一方面,这种新技术的本质要求在怎样保护虚拟平台方面进行一种范例转变。参见Tal Garfinkel and Mendel Rosenblum, When Virtual is Harder thanReal SecurityChallenges in Virtual Machine Based Computing Environments, 2005 年有关操作系统的热门话题的第十次研讨会(10th Workshop on Hot Topics in OperatingSystem 2005);和 Steven J. Vaughan-Nichols, Virtualization Sparks SecurityConcerns, Computer,41(8) 13-15,2008。允许用户创建并可潜在地共享数千虚拟机的相同灵活性还产生了新的安全危险和管理恶梦。另外,部署虚拟机的目标平台中的虚拟化软件可能被破坏,从而将私有数据泄露至部署在同一目标平台上的其它虚拟机。遗憾的是,打算保护虚拟机的当前反病毒产品和其它安全相关产品不能标识以虚拟化层为目标的根工具包(root kits)或恶意软件,如在 Samual T. King and Peter M. Chen, SubVirt implementing malware withvirtual machines,in Security and Privacy,2006 IEEE Symposium on page 14,2006中所讨论的。而且,用户可能面对在不同环境(驻留在单个机器中的真实环境与可信VM与欺骗/假冒/恶意VM)之间进行辨别的问题,并且可以被容易地欺骗成使用可能已破坏的环境来代替正确的环境。复制虚拟机可能非常简单,从而,甚至对于新手攻击者来说,创建用户看上去相同的恶意环境也是可行的。帮助用户在不同环境之间辨别是这些实施方式所解决的问题之一。因此,合理的是,在将当前安全设计改编为适应虚拟机之前对其进行详尽的再检查。具体来说,由于虚拟机不能直接检查目标平台,因而,需要预先可靠地证实要部署该虚拟机的目标平台。受信任计算可以实现这种需要并且很有希望提供可靠的用于(远程)证实的测量结果-参见 Trusted Co即uting Group,「Online"!〈URL https: //www.trustedcomputinggroup. org>。受信任计算利用存储在加密存储库中的链式测量结果,其出于证实的目的而在需要时可以提供给第三方。然而,受信任计算不是没有其自身的问题-参见 Shane Balfe, Eimear Gallery, Chris J. Mitchell, and Kenneth G. Paterson.ChallenRes for trusted computinR,IEEE Security and Privacy,6 (6) :60-66,2008。在多数情况下,不存在容易的机制来向终端用户可靠地发送该测量结果,因为如果该目标机器不安全,则不能确保会显示恰当的消息。另外,信任链必须从某处开始,并且其需要某类基础结构。有趣的是,虚拟化和可信任计算都共有相似问题缺少“锚”,所述锚收集并确认测量结果,并且向用户提供可靠且可理解的信息。为解决这些问题,本发明实施方式提供了一种硬件信任锚。如和船只的海锚一样,该硬件信任锚的目的是通过防止修改来保持目标计算环境“不动”,由此为该架构提供支持点。根据一方面的实施方式,硬件信任锚提供以下中的一个或更多个1)获取和/或确认对目标计算系统的测量结果,作为该目标计算系统的“信任状态”,2)在VM的情况下,为个性化该VM所需的数据(甚或整个VM的映像),3)能够将VM环境安全地部署到目标平台中;或者3)如实地报告VM和部署该VM的可信任基础(TCB)(目标计算系统)两者的“信任状态”,或其任何组合。虽然很多技术可被用于实现硬件信任锚所需的处理机制,但硬件信任锚和可信任计算技术的组合将提供良好的实现结果,参见,Jonathan M. McCune,Adrian Perrig,Arvind Seshadri,and Leendert van Doorn,Turtles all the way down Research challenges in user-based attestation,in Proceedings of the Workshop onHot Topics in Security (HotSec),August 2007 ;和 Bryan Parno,Bootstrapping trustin a “trusted,,platform, in HOTSEC’ 08 !Proceedings of the 3rd conference on Hottopics in security, USENIX Association, pages 1—6,Berkeley,CA,USA,2008。安全审查指以下中的一种或更多种确认、执行和/或监视对目标机器和/或VM的测量、目标机器和/或该目标机器上的虚拟机的信任状态、虚拟机至硬件信任锚的关联(或绑定)、密钥/证书的安全存储、将硬件信任锚指配给用于通信的特定真实/VM环境、对更新进行认证、认证用户和/或管理员、确认和/或在目标机器上安装可信任计算基础(TCB)、安全诊断、安全补救,或它们的任何组合,其中,绑定指硬件信任锚可通信地连接、实施、监视,以及/或报告(反馈)利用真实和/或VM环境的安全策略以及与真实和/或VM环境有关的安全策略,所述安全策略例如包括对在该真实/VM环境中的修改和/或执行进行严格限制。可信任计算基础(TCB)指用以维持目标计算机系统的可信任状态的硬件和/或软件部件的安全控制或者提供(例如,要被安全审查以使/保持可信任的这种部件可以包括(但不限于)TPM、视频卡、接口、外围设备、存储器、BIOS、存储装置、虚拟化等)。测量结果指对具有任何长度的输入数据序列的固定长度数字表述。测量结果例如可以是全部和/或部分的操作环境(例如,OS、计算机可读介质(存储器、硬盘等)中的数据、有关配置的外围设备/装置的数据)的数字表述和/或目标机器的文件(例如,软件应用的文件、数据文件)的数字表述,或者在VM的情况下,包括任何VM硬盘和/或存储器映像的输入虚拟机(VM)映像,和/或目标计算装置上的任何VM的文件(例如,软件应用的文件、数据文件),并且被用于例如通过与另一测量结果进行比较来检测目标机器和/或该目标机器中的目标VM中的任何变化来确认目标机器或该目标机器的目标VM是否为“信任状态”的目标机器和/或目标VM。可信任计算TCG(可信任计算组)的基础是可信任平台模块(TPM)(可信任计算组。可信任平台模块(TPM)规范。
〈URL :https://www. trustedcomputinggroup.org/specs/TPM/>, a hardware root-of-trust。TPM的最普通实现是物理地接合至计算机的芯片。由使用很好定义的命令集的软件访问TPM。通过该命令集,TPM提供加密功能,如力口密、签名、密钥生成以及随机数生成。TPM还可以在非易失性存储器中存有限量的信息。另外,TPM包含一组可扩展平台配置寄存器(PCR)。作为最新版本,TPM上存在总计24个PCR。PCR被用于存储对该平台的当前状态的测量结果。PCR在系统加电时重置,并且仅可以被重置或扩展,但绝不被直接修改。PCR的扩展可以利用加密等式(I)来执行Extend(PCRn ;value) = Hash(PCRn II value) (I)该II符号代表级联这两个阵列,而“Hash”指应用加密散列函数(具体来说,SHA1)。由于该目标平台没有被任何其它实体以前测量过,因而该目标平台的第一测量实体 被默认为是可信任的。该早先测量实体被称作测量的信任核心根(CRT)。对于增强安全来说,该CRT可以存储在TPM芯片本身内部。此后,通过在启动任何其它软件之前扩展该PCR,期望启动的所有软件实体继续该信任链。记录每一个测量结果并且可以由确认方利用该PCR加密地确认。向确认方发送这些测量结果以确认的动作被称作核实。核实密钥可以被用于对该TPM内部的测量结果签名。因此,该TPM可以被看作用于对目标机器的测量结果的加密存储库。桌面虚拟化虚拟化,允许用户在另一软件之上部署整个OS的技术,向移动用户提供改进的用户体验。该虚拟化软件划分硬件上的资源,并且使得能够执行多个环境。该虚拟化软件通常被称为虚拟机监视器(VMM)或管理程序(hypervisor)。服务器管理器能够立即明白这种技术的意义,如该管理员可以通过在单个硬件上协同定位几个计算环境地点来最大化硬件资源。对于桌面计算来说,其允许用户在不同平台之间执行整个操作系统。桌面上虚拟化的一些最初安全益处(其在Tal Garfinkel, Ben Pfaff, JimChow, Mendel Rosenblum, and Dan Boneh, Terra a virtual machine-based platformfor trustedcomputing, in SOSPj 03 Proceedings of the nineteenth ACM symposium on Operating systems principles, pages 193-206, New York, NY, USA,2003 中提出)因一些新的安全顾虑而结束。参见Tal Garfinkel and Mendel Rosenblum, WhenVirtual is Harder thanReal Security Challenges in Virtual Machine BasedComputing Environments, 2005年有关操作系统的热门话题的第十次研讨会;和StevenJ. Vaughan-Nichols, VirtualizationSparks Security Concerns,Computer,41 (8)13-15,2008,在大多数情况下,不能在当前安全工具和技术下处理该虚拟化。与虚拟化的安全有关的最重要因素之一是,维持包括真实/VM环境的目标平台的完整性,其可以通过执行对目标平台的测量(包括测量任何虚拟环境)来实现。接下来,对包括被开发来执行独特测量和通信的技术的、硬件信任锚的实施方式进行描述。根据一方面的实施方式,防止当一移动环境(即,VM)在一已知但可能被破坏的机器(目标机器)中使用时的数据泄露。最简单示例是,当一员工在公司外的平台(如该员工家的计算机)中启动工作环境时。另一可能情况是创建针对在线游戏的“欺骗证明”游戏客户端。这些实施方式的益处是,通过改进用户的安全意识同时维持日常任务的透明度,来增强用户体验。该用户不需要修改该用户的、可能包含不安全软件的其它环境,只要该目标平台在多个环境之间提供完全隔离即可。这些实施方式还不需要复杂的架构,如 PKI 或私有 CA。-see TCG Infrastructure WorkRroup, Subiect keyattestationevidence extension, [Online]〈URL https://www. trustedcomputinggroup. org/specs/HG/IffG SKAE Extension 1-00. pdf>,June 2005。-但是可以将 PKI 或私有 CA 用于特定目的,如该解决方案的扩展性。这些实施方式也不需要恒定的因特网连接来在肯定情况下利用该环境。_ 参见 Samuel T. King and Peter M. Chen, SubVirt impIementinR malwarewith virtual machines, in Security and Privacy,2006 IEEE Symposium on, page 14,2006。-但是可以根据策略定期恒定地或者间歇地进行因特网接入(例如,00B数据通信连接)以便更新。威胁模型可以包括1)攻击者在VM环境启动之前修改目标平台;2)攻击者将用户误导成选择看上去相似但不正确或假冒或特洛伊木马VM环境;3)用户错误地同意在不安全的目标平台中启动VM环境;以及4)信任锚被未经授权用户获取并使用。
设计的这些实施方式中的部件和参与者图I是本发明一实施方式的功能部件和物理部件的图。该实施方式包括四个主要部件目标平台100,其是包括作为部件的软件环境102的目标计算机或计算机器。软件环境102可以是真实的和/或作为虚拟机(VM)的虚拟的。另两个部件是用户数据104,和硬件信任锚200。分离环境102和用户数据104是必需的,以在保持稳定环境102的同时建立针对用户数据104的策略。这种概念如果与游戏机系统(例如SONY PLAYSTATION)比较,则可以容易地理解。SONY PLAYSTATION用户可以通过将游戏数据存储到外部存储器棒或内部存储器中,来启动(很大程度上)不可变的平台(游戏机)中的(很大程度上)不可变的环境(游戏),同时仍个人化该系统。对于游戏机来说,唯一必须的是该环境(游戏)不容易被复制。另外,本实施方式还需要确保保护该数据不被泄露。接下来,对该实施方式的架构的四个主要部件进行描述。该目标平台100是部署(可执行)软件环境102的计算机。目标平台100包括为启动被称作可信任计算基础(TCB)的“可信任计算环境” 103所需的硬件和软件(参见James Hendricks and Leendert vanDoorn,Secure bootstrap is not enough shoring up the trusted computing base,in Proceedings of the Ilth workshop on ACM SIGOPS European workshop. ACM New York,NY, USA,2004),而且或许包括其它环境和硬件外围设备(根据一方面的实施方式,为最大化安全性,所有硬件都应当被考虑TCB的部件)。目标平台100的TCB包括用于启动虚拟机(如虚拟机监视器(VMM)的虚拟技术。另外,TCB应当在环境102a-n之间设置隔离,向硬件信任锚200如实报告TCB的完整性,包括密钥的安全存储以及将信任锚分配给特定环境以通信。环境102可以是包含软件、操作系统以及用户为执行活动所需的非暂时数据的真实的和/或虚拟的机器。根据一方面的实施方式,该VM仅可通过涉及硬件信任锚的更新处理修改。否则,该虚拟机不可变。环境102包括用于与硬件信任锚200通信的机制,以报告其状态并且储存用户创建的数据。用户数据104包括用户相关数据(包括任何数据),如用户所创建和修改的文档。这些文档遵守由管理员阐述的策略,该策略通过环境102和硬件信任锚200来进行。用户数据104可以存储在硬件信任锚内、目标平台100内,以及/或远程地驻留在其它计算机中并受到保护。硬件信任锚200可以是目标平台100的外部的实体,和/或目标平台100的内部独立集成的实体,用于确认该目标平台100、保护用户数据、认证用户和管理员,以及向用户提示目标平台100和/或环境102的信任状态信息。硬件信任锚200需要通信信道,以从目标平台100收集安全相关审查数据(如策略),并且用于向环境102递送任何用户数据104。根据一方面的实施方式,硬件信任锚200可以独立地审查目标系统100,独立安全审查指在最小化或不需要目标平台100相互作用的情况下,主动地收集审查相关数据。然而,这种独立安全审查仅可以通过将硬件信任锚200插入到直接存取总线(如PCI,或FIREWIRE)中来进行,在总线处可以经由专用传递机制(例如DMA)访问目标平台100的资源(存储器、硬盘)。参见 Jesus Molina and William A. Arbaugh, “Using independentauditors as intrusion detection systems,” In Proc. of the 4th InternationalConference on Information and Communications Security(10108^2),pages 291-302,Singapore, December 2002 ;and Jesus Molina, Houcheng Lee, Sung Lee, and ZhexuanSong, A Mobile Trusted Platform Module(mTPM)Architecture, in Proc.of 2ndWorkshop on Advances in Trusted Computing(WATC06), 2006 ;and Michael Becher,Maximillian Dornseif,and Christian N. Klein,Fireffire all your memory are belongto us, in Proceedings of CanSecWest, 2005。然而,因为硬件信任锚不仅可以读取而且可以写入目标平台100的资源,所以向用于审查的外部外围设备开放这些总线还可能产生具有潜在安全威胁的开放门户,因而根据应用,使用直接存取总线可能不可取。根据一方面的实施方式,硬件信任锚通过诸如USB的可信任通道接收来自平台100的安全审查数据(如测量结果)。诸如测量结果的该安全审查数据应当提供认证以证明该安全审查数据真实。硬件信任锚可以例如通过在信任锚200上和/或目标平台100上和/或在其它带外显示器上实时(实况)显示信任状态或安全审查结果,来与目标平台100相独立地向用户显示信任状态信息或安全审查的结果。该信息呈现得越清楚,越可能防止安全问题。该实施方式基于实现灵活性,因而,不同部件可以利用不同技术来实现。该实施方式的架构中可以具有两种现有动作者用户106和管理者108。用户106对目标平台100和用户数据104进行初始控制,并且利用环境102用用户数据104进行工作。管理员108创建环境102,提供并安装硬件信任锚200,以及确保正确的可信任计算基础存在于受用户/拥有者106控制的目标平台100上。不同部件之间的关系可以在图I中看出,其中,由用户106控制的部件用实线表示,而由管理员108控制的部件用虚线表示。图2是根据本发明一实施方式的、报告目标机器的信任状态的流程图。在初始阶段210,管理员108针对用户106对信任锚200进行个性化,并且将计算环境(例如,环境102)绑定至硬件信任锚200。在第二阶段220,用户106利用硬件信任锚200来确认并安装(若需要)所需TCB 103至目标平台100。该操作220还可以由管理员直接执行。在第二阶段220之后,用户106可以利用目标平台100与环境102,在第二阶段220,硬件信任锚200首先确认要启动环境102的目标平台100。由于TCB 103较小,因而,目标平台100应当具有有限的一组状态,该组状态已经被预先存储在硬件信任锚200中。在第二阶段220,目标平台100随着第二操作而可以确认硬件信任锚200的完整性,以确定其是否为可信任外围设备。确认目标平台100和硬件信任锚200的第二阶段220可以按任何次序并且按任何组合来执行。如果对目标平台100和硬件信任锚200的这两种确认中的任一者失败,则硬件信任锚200将根据如在本文讨论的策略执行不同动作。与该结果无关地,由硬件信任锚执行的动作应当显示给用户106。当成功确认时,在阶段230,硬件信任锚200执行对目标平台100的安全审查,例如,硬件信任锚200进行这样的控制,即,通过要被硬件信任锚200检查的目标平台100来测量软件环境102。一旦建立了目标平台100的“信任状态”,在阶段240,通过信任锚200连续监视并向用户报告目标平台100的信任状态,环境102就变得不可变。例如,在240,硬件信任锚200可以确保仅仅先前测量过的环境102存取用户数据104。根据一方面的实施方式,由于环境102可能是较大的VM,因而测量可能复杂或耗时。本文对测量大型虚拟机进行讨论,而且在共同未决US专利申请第12/246,144中进行了讨论,通过引用将该专利申请并入于此。、
在210,作为绑定的一部分,目标平台100仅向在210启动的真实的或虚拟的软件环境102分配硬件信任锚200,由此,禁止目标平台100中的其它环境(例如,随后启动的真实的和/或虚拟的软件环境)与硬件信任锚200通信。在230,在用户认证成功之后,解锁用户数据,使文档可用并且针对用户106使该环境的个性化。在240,软件环境102向硬件信任锚200传送安全状态(例如,所启动的程序等),因而,攻击者不能欺骗用户106在目标平台上利用相似但恶意的环境。根据一方面的实施方式,在(安全或可信任)环境102中创建的任何数据将被自动地存储在硬件信任锚200中,以防止被其它软件环境误用并防止可能的数据泄露。迄今为止,已经描述了包括两种可能性(允许或拒绝)的策略。然而,硬件信任锚200不限于这种非黑即白的方法。例如,硬件信任锚200可以根据软件审查结果(例如,从目标平台100接收到的测量结果)来选择恰当的环境,或者根据策略选择性地释放用户数据。由此,该硬件信任锚能够实现更丰富的安全策略并且向管理员添加灵活性。
一旦用户106完成了利用环境102的工作,该用户106就应当将硬件信任锚200从目标平台200去除,其进而应当擦除由环境102所留下的存储器痕迹(例如,关闭环境102,重启环境102)。图3A是根据本发明一实施方式的计算机系统的图。硬件信任锚200包括TPM814a、可信任计算组(TCG)软件栈(TSS) 302、密钥管理软件/硬件304、存储数据(例如,用户数据104)的安全存储部306、用户检查器/认证器816 (软件和/或计算硬件)(如指纹/手掌传感器和认证器)、以及主机安全检查器310。该主机安全检查器310进行安全审查,例如,对目标平台100的测量结果的收集进行控制和/或收集对目标平台100的测量结果。硬件信任锚200可以在目标平台100外部或内部。在图3A中,目标主机100包括虚拟环境102。在一非限制例中,目标主机100通过XEN来执行虚拟机监视器(VMM)和管理程序320,XEN包括在引导管理程序320时自动地引导的第一来宾虚拟操作系统(guest virtualized operating system) “域0”或域零(DomO) 325。Dom O被赋予特定管理特权,并且直接访问物理硬件。在DomO之后,其它来宾虚拟化操作系统可以安装或启动,作为用户虚拟机(VM)330a-n。用户VM 330可以是任何操作系统,如MICROSOFT WINDOWS、APPLE OS、LINUX等。当在230,目标主机100被安全审查(例如,测量)时,用户VM 330a变为可信任VM 330a_T。所启动的安全审查器340可以例如通过获取或执行对目标主机100的测量来对目标主机100进行安全审查。根据一方面的实施方式,主机安全检查器/控制部310和安全审查器340可以是可由信任锚200和/或目标主机100的一个或更多个计算机处理器的任何组合执行的一个或更多个软件的任何组合。对于用户体验来说,该实施方式集中在企业环境102上,其中,用户想要利用膝上型电脑上或个人桌面上的工作环境。目标是通过使策略判定透明而不向用户隐藏来保护移动虚拟环境102,保持向用户通报使信任链完整从而实现良好的安全实践。用户首先将硬件信任锚(例如,在此讨论的外部K9移动服务器)连接到或切换到所选定目标机器100的USB端口中。目标机器100包含所需密钥和可信任计算基础(TCB) (稍后要讨论的、用于执行初始配置(即图2中的操作220)的方法和/或可控制或所提供的硬件/软件部件)。根据一方面的实施方式,在图3中,TCB包括管理程序320、Dom O325以及目标平台100的BIOS。
图3B-3C是根据本发明一实施方式的、图3A中的计算机系统的状态图。在该部分(TVM) 330a_T中被指示为可信任虚拟机的工作环境与被称为用户虚拟机(UVM) 330a的用户环境共存。在将硬件信任锚200连接至平台100之前,TVM持对用户透明,整
个TCB也一样。虚拟机技术保持对用户106透明,赋予用户这样的感觉,S卩,该用户在具有直接在物理硬件上执行的单个OS的机器中工作。这种感觉通过UVM 330a的近原生速度(near-native speed)来加强。 在将硬件信任锚200插入或接通/连接(视情况而定)之后,Dom 0检测硬件信任锚200,并且在245a,与硬件信任锚200的初始化例程247协作地,Dom 0启动(245b)虚拟机330a。在249,TCB与安全审查器340和/或与主机安全检查器/控制部310协作,测量并向硬件信任锚200发送对目标平台100的测量结果。如果硬件信任锚200确认该测量结果正确,则虚拟机330a可以认为是或改变至可信任状态,作为TVM330A_T,并且在硬件信任锚200中和通过TVM 330a_T两者向用户106显示一消息。一旦硬件信任锚200确认了该测量结果,在350,TCB就可以在UVM 330a桌面上分配TVM 330a)_T快捷方式。同时,硬件信任锚200例如通过用户检查器816请求对用户进行生物测量认证。在用户认证正确时,解锁用户数据306。并且将到TVM程序和用户数据的快捷方式显现在桌面上。用户认证与在UVM 330a中显现根据TVM330a_T的快捷方式之间的时间大约为5秒钟-10秒钟。这包括硬件信任锚200的所有确认。当用户在多个新快捷方式中的一个上点击时,在TVM 330a_T中启动一程序,并且用户可以在UVM 330a中与该程序交互。当用户利用基于TVM 330a_T的应用工作时,硬件信任锚200显示相同图标,确保该用户工作在可信任空间中。尽管视觉上,这两个VM 330a和330a_T合并在同一桌面上,但在环境之间仍存在TCB施加的隔离。例如,安装在UVM 330a上的作为恶意软件的键盘记录器不能截取由TVM 330a_T启动的程序内键入的信息。而且,SP使同时打开基于UVM 330a的浏览器和基于TVM330a_T的浏览器两者,基于UVM 330a的浏览器中的跨站点脚本攻击也不会影响基于TVM 330a_T的浏览器。如果在TVM 330a_T中关闭一程序,则硬件信任锚200上的相关图标消失,向用户通知该应用不再运行于TVM 330a_ T中。硬件信任锚200如同“罗盘(compass) ” 一样起作用,使用户106获知哪些程序被绑定至硬件信任锚200。另外,仅运行在TVM 330a_T中的程序存取存储在硬件信任锚200中的用户数据306,因而存储在硬件信任锚200中的工作文档仅可通过TVM330a_T获得。如果在230,硬件信任锚200未接收到测量结果,则例如在5秒钟之后,该硬件信任锚200向用户通知并且执行补救过程,如开始充当USB存储器,允许该用户启动用于常规工作的Xclient/Xserver模式的操作。如果在230,测量结果不正确,则硬件信任锚200也开始补救处理,例如,在利用OOB连接的带外硬件信任锚的情况下,或者在利用目标平台机器100的带内硬件信任锚的情况下,作为“不可信”跳转,以访问管理员站点服务器(健康检查服务器),以确定该未知测量结果是否有效。管理员站点可以利用私有密钥对该测量结果进行签名,并且硬件信任锚200可以通过利用来自管理员的嵌入式公共密钥来确认该结果。接下来,对一实现的技术细节进行讨论。图4-6是根据本发明一实施方式的、用外部硬件信任锚装置诊断目标平台100的流程图。在该示例性流程图中,目标平台100的目标虚拟软件环境102和仅对目标平台100的测量结果的收集被描述为对该目标平台100的安全审查,然而,该实施方式不限于将虚拟软件环境102和收集对目标平台100的测量结果作为安全审查,而是如在本文讨论的,硬件信任锚装置200可以确认目标真实软件环境102的健康或信任状态,并且可以执行与包括目标软件环境102的目标平台100有关的其它安全审查操作。换句话说,这些实施方式不限于用于安全诊断的测量结果收集,而是可以收集包括安全诊断信息的任何诊断信息。在图4中,在操作400,针对目标计算环境100激活硬件信任锚(HTA) 200,例如,插入到目标计算环境或目标PC 100中。在404,例如,通过接收和/或主动地(直接)收集对目标机器100的测量结果来确定HTA是否可以执行对目标平台100的安全审查。在404,如果不能收集测量结果,则在406,目标平台100确认失败,从而在408,将这种诊断结果显示在HTA200的显示器802上。在404,如果可以收集测量结果,则在410,HTA 200接收该测量结果,并且HTA 200检查该测量结果的源。在410,确定该测量结果是否是由目标平台100的TPM 814b收集的,并且如果是,则在416,确认TPM证明密钥。如果该测量结果的源不同 于TPM 814b,则在417,确认该测量结果的签名。在418,在HTA 200的显示器802上向用户显示签名确认结果。在420,确定该测量结果的签名确认是否正确。如果在420,不能确认该测量结果的签名,则在408,显示失败了的消息。如果在420,确认了该测量结果的签名,则在500,继续安全审查,以在图5中确认测量结果。如果在500,测量结果确认成功,则在418,向用户显示成功。如果在500,测量结果确认失败,则在432,向用户显示测量结果确认失败这一结果。在图5中,在500,HTA确定是否能够或应当内部地确认测量结果。例如,如果HTA700具有到服务器710的OOB连接714,则在600,在图6中继续安全审查。如果HTA 200内部地确认该测量结果,则在502,HTA 200内部地确认所接收的测量结果。例如,在502,如果该测量结果指示存储器/存储装置的特定文件或区域有变化,则将这种指示用于故障定位和/或补救。在506,确定目标平台100是否需要任何补救。如果在506,确定需要补救,则在508,确定是否存在作为补救的任何补丁 /清理软件/数据,并且如果存在,则在510,确定是否可以将该补丁 /清理器推入目标平台100。在512,将该补丁 /清理器推入目标平台100并执行。在504,在HTA 200的显示器802上向用户显示补丁 /清理器的可用性的结果和/或是否可以通过将补丁 /清理器推入目标平台100进行补救的结果。在图6中,在600,服务器710确认发送至该远程服务器710的测量结果和/或测量结果的签名确认结果(视情况而定)。服务器710确认该测量结果(例如,利用在可从TPM 814b获得时的签名等)并且在602,向HTA 200发送该结果和/或补救手段和/或补丁。在604,OOB HTA 700处理从服务器710接收到的对测量结果的确认结果和/或补救手段。在606,HTA 700确定是否存在任何可用补救手段,如补丁和/或清理器软件等,并且如果是,则在612,确认这种补丁 /清理器的签名。在610,在HTA 700的显示器802上向用户显示在612的确认结果和/或在606是否存在任何补丁 /清理器的确认结果。在612,还可以确定是否可以将补丁 /清理器推入到目标平台100上,并且如果是,则在614,将该补丁 /清理器推入目标平台100并执行。如果该补丁 /清理器不能推入目标平台100,则在610,在HTA 700的显示器802上向用户显示这种结果。图7是根据本发明一实施方式的计算机系统的图。在图7中,外部带外(OOB)硬件信任锚700确认并保持目标计算环境100的安全健康。OOB装置700被插入和/和可通信地连接至目标计算机100,并且该目标计算机100启动安全审查器340,例如,用于收集目标平台100的状态的内部测量结果收集程序。一种另选方法是目标系统100例如通过将该装置700伪装成存储装置(例如,⑶-ROM、USB装置等)来启动在OOB硬件信任锚装置700中的安全审查器340,并且执行该安全审查器340。另一另选方法是OOB硬件信任锚700本身启动可以直接收集目标系统100的状态的安全审查器310。利用诸如FIREWIRE的、已经被证明能够用于直接存取目标系统100存储器和资源连接器,这是可以实现的。此后,受确认的目标系统100向便携式装置700发送所收集的数据,或者该数据被便携式装置700收集(视情况而定)。便携式装置700将通过主机安全诊断软件310和/或与健康检查服务器710协作地来确认该结果,并且利用其自身的显示机构向用户提议补救。例如,便携式装置700中的显示器802可以示出“有两个病毒”。该通知应当清楚,甚或
新手用户也可以清楚地理解受确认目标系统100的状态和用于补救所报告问题的必需步骤。在图7中,OOB硬件信任锚700在有线或无线网络712中与目标计算环境(例如,PC) 100通信,并且控制对目标计算环境100的安全诊断。带外(OOB)指与目标计算环境100相独立的或排除目标计算环境100的计算环境。根据一方面的实施方式,OOB包括OOB网络连接,其是用于连接至远程装置710的另一网络连接,独立于或排除由目标计算环境100所使用的网络连接。根据一方面的实施方式,安全诊断指与计算环境的操作有关的任何诊断,包括(但不限于)恶意软件检测/反恶意软件过程,计算环境配置/设置/特性管理(检索、设置、分析),计算环境的测量等。根据一方面的实施方式,OOB硬件信任锚700是带外安全健康检查确认器或安全诊断器,其可以是外部安全诊断计算装置,例如,手持式计算装置安全健康检查确认器700,其被设置成例如经由显示器802输出信息,并且被设置成与目标机器100有关地与另一计算装置/设备710进行有线或无线网络714带外通信。在大多数情况下,这将是针对健康检查确认器700的卸载,以防止恶意软件(例如,病毒)篡改和欺骗。换句话说,外部OOB连接714不涉及或者独立于目标机器的网络连接712。带外诊断器(例如,外部诊断装置(即,手持式诊断装置)700)决不可能被目标机器100的状态影响。根据一方面的实施方式,带外诊断器700可信任。利用外部诊断装置作为非限制例,具有用户交互能力(集成显示器等)的便携式OOB安全确认器或安全诊断装置700利用诸如USB或FIREWIRE的现有连接器712连接至目标平台100。典型OOB安全确认器装置700是用户更可能信任的装置,如IPOD或蜂窝电话,和/或已经被确认可被信任的装置。例如,IPOD或移动电话可能因具有与目标机器100 (例如,台式计算机100)更好的网络隔离特性而例如被用户106视为可信任装置。OOB安全确认器装置700可以包括所需的诊断软件,即,已经存储在OOB安全确认器装置700的存储部(计算机可读记录介质)716中的反恶意软件、测量结果收集器等,或者OOB安全确认器装置700可以首先经由OOB连接714从提供安全健康检查能力的安全健康检查服务器710下载某一所存储的安全健康检查软件310。作为一另选例,反病毒软件厂商可能出售用于OOB安全确认器装置102的反病毒软件,作为反病毒软件的一部分。作为一另选例,可以设计单一目的外部和/或内部硬件200、700并且将其用于确认或诊断其被插入到的或其被激活的目标机器100的安全健康。其就象目标系统100的“数字式温度计” 一样工作,在很大程度上与测量发热以认定人类疾病的方式相同。根据一方面的实施方式,所收集的数据可以来自可信任源(如嵌入式黑框(例如,TPM 814)),或者来自不可信源(如,在系统上运行的、其结果可能被恶意软件(例如,恶意软件、病毒)篡改的软件310、340)。便携式装置200、700可以向用户提供针对这些安全诊断的置信度的、根据用以收集信息的机制的估计。例如,如果该结果从诸如TPM 814的可信任硬件返回则其可以连同该结果示出“极高置信度”。如果该结果来自虚拟机监视器/管理器330,则可以显示“高置信度”。如果该结果由主机安全检查器310和/或安全审查器340与现成反病毒软件协作地提供,则其可以显示“低置信度”等。存在用于确认数据源的质量的各种技术。诸如TPM 814的嵌入式装置可以利用已证明的私钥对该报告签名。这将向安全确认器装置200、700证明该报告本身的完整性。如果主机安全检查器310和安全审查器340来自同一源(如在反病毒软件厂商提供两者的情 况下),则两个程序可以通过键入散列值(如HMAC)来彼此认证。在这种情况下,负责对收集进行控制和/或收集来自目标主机100的安全数据的主机安全检查器软件310将利用在主机100中运行的软件340与在安全确认器装置200、700中运行的软件310之间的预先共享的密钥来创建该报告的加密散列值。因此,安全确认器装置200、700中的软件310可以通过重新创建该加密散列值来确认该报告的有效性。一般来说,任何加密确认技术(HMAC、签名密钥)都可以被目标主机计算机100用于证明对所容纳的安全确认器装置200、700的 目任。根据一方面的实施方式,如果便携式安全确认器装置是具有外部连接能力(如WIFI,或蜂窝网络)的便携式OOB安全确认器装置700,则最终确认也可以在远程服务器710中完成,并且可以将诸如恶意软件清理器的补救工具下载至确认器装置700中,稍后将其推入受确认的目标系统100中。这在很大程度上与一旦提供了诊断医生就向病人提供药物的方式相同地工作。根据一方面的实施方式,硬件信任锚或安全诊断器装置200、700根据对目标计算环境的可达性确定来执行诊断组合并且引导用户动作。硬件信任锚操作包括以下一个或更多个诊断动作(I)当被目标环境100中的诊断信息收集器340识别时,硬件信任锚700接收诊断信息(例如,收集有关于存储器、操作系统、初始化/注册表文件、存储装置、用以检查文件中的变化的文件测量结果等的信息),进行分析(检测文件中的变化、恶意软件检测等)/基于该分析进行补救;(2)如果硬件信任锚可以被识别为存储装置,则执行诊断信息收集器340 ; (3)如果目标环境100的操作系统被确定成被破坏或者不可操作,则利用另一操作系统重启目标环境100,以收集目标环境的信息;(4)响应于目标计算环境100的失败OS等,在目标环境100上安装和/或利用预先安装的虚拟机监视器/管理器(VMM),以启动收集诊断信息的虚拟机(VM) ;(5)在该VM被感染的情况下,因为VMM已经存取了支持执行VM的所有信息,所以控制/管理该VMM作为诊断信息收集器340,以诊断该VM;以及(6)如果目标环境100操作系统被确定成被破坏或不可操作,则建立直接收集目标系统100 (如存储器、资源、文件、装置等)的状态的连接,例如FIREWIRE等。执行诊断行为的任何组合。根据一方面的实施方式,根据从OOB连接714接收到的目标计算环境100的诊断信息和/或补救手段信息(视情况而定),硬件信任锚通过诊断行为交互地引导用户。根据一方面的实施方式,硬件信任锚通过不执行来自目标计算环境100的任何事或者仅执行主机安全检查器软件310而排它或独立,提供了一种防止来自目标计算环境100的感染的益处。根据一方面的实施方式,硬件信任锚200是只读的。根据一方面的实施方式,硬件信任锚是只读虚拟机。存在几种方式来实现硬件信任锚的这种只读特征,即,将该硬件信任锚实现为VM,并且特定VMM通过在关闭该VMM之后将该VM映像恢复至初始状态来支持这种只读功能,和/或例如在启动VM映像之前,通过创建VM映像的快照并且在关闭该VMM之后恢复至该快照而经由文件系统来控制。或者在硬件信任锚是外部计算装置的情况下,将该装置设置为只读的或非写入的。普通用户一旦认为他们的计算机已经被病毒感染甚至害怕触摸该计算机。启动画面(splashing screen)和其它恶意软件技术降低了用户对被感染的系统的信任。这些实施方式的、有带外外部装置帮助的确认更可能向非专业用户提供有关该诊断正确的信任感,并且还将帮助确保用户理解用于补救的必需操作。而且,如果用户使用高度可信任的带、外外部装置,如IPOD或电话(例如,移动电话),来提供系统诊断和补救,则该用户更可能通过执行所提议动作来清理该系统,使其容易且便利地修理系统。根据一方面的实施方式,外部硬件带内信任锚是手持式装置健康检查(信任状态)确认器,其被设置成例如经由显示器输出信息,并且被设置成,在不需要与和目标机器先前或现在建立的通信有关的另一通信连接的情况下,带内第对该目标计算系统进行安全审查。在大多数情况下,这将是针对健康检查确认器的卸载,以防止病毒篡改和欺骗。这些实施方式基本上确保外部硬件带内信任锚(例如,手持式OOB诊断装置)不受目标机器的状态影响。根据一方面的实施方式,外部硬件OOB信任锚是手持式装置健康检查(信任状态)确认器,其被设置成例如经由显示器输出信息,并且被设置成有线或无线地和另一计算装置/设备带外通信(00B连接)并且OOB安全审查该目标计算机机器,该带外通信是独立于或排除了与目标机器的先前或现有建立的通信的通信。在大多数情况下,这将是针对健康检查确认器的卸载,以防止病毒篡改和欺骗。换句话说,该OOB连接不涉及或者独立于和/或排除了与网络的目标机器的连接。这些实施方式基本上确保外部硬件OOB信任锚(例如,手持式带内诊断装置)不受目标机器的状态影响。对于外部硬件OOB信任锚的情况来说,益处是使用熟悉装置,如IP0D,作为外部硬件OOB诊断装置,以确认和显示对目标计算环境的任何诊断的结果,例如,反病毒收集,提供涉及目标计算环境的“信任状态”的信息,并且提议或实现补救技术。这些实施方式的益处是,当目标计算环境的网络连接例如因恶意软件被禁用和/或不起作用时,对目标计算环境进行OOB诊断。根据一方面的实施方式,外部硬件OOB诊断装置根据诊断目标计算环境的可达性确定来执行组合诊断。针对目标虚拟化机器的这些实施方式的其它示例性益处可以如下。I、用于基于硬件信任锚来保护虚拟机的普通架构。因为该硬件信任锚可以在不同候选移动装置(如移动/便携式计算机、具有CPU的USB驱动器、移动电话,或专门设计的装置)中具体实施,所以可在可能实现中保持灵活性的同时,解决移动虚拟机的安全问题。3、通过提供基于专用单一目的嵌入式装置中的硬件信任锚、所创建的用于在目标虚拟机与硬件信任锚之间通信的驱动器和软件、以及针对虚拟机监视器(例如,XEN虚拟机监视器)的修改的实施方式,来改进其安全性和可用性,提供了一种实用的用户体验,加强了这些实施方式的实用性。图8是用于本发明多个实施方式的计算机的功能框图,S卩,该计算机是作为健康检查确认器的外部硬件信任锚装置200的实施例。而且,该计算机可以是目标机器或目标计算环境100的实施例。在图8中,该计算机可以是任何计算装置。典型地,该计算机包括用于显示用户接口或输出信息或指示的显示器或输出单元802,如二极管。计算机控制器804(例如,硬件中央处理单元)执行控制该装置以执行操作的指令(例如,计算机程序或软件)。典型地讲,存储器806存储要由控制器804执行的指令。可以提供可信任平台模块(TPM) 814。根据一方面的实施方式,该装置读取/写入/处理任何计算机可读记录介质810和/或通信传送介质接口 812的数据。用户认证器816可以是指纹/手掌传感器,或者用于认证用户的其它软件/计算硬件。显示器802、CPU 804(例如,对指令(即,软件)进行处理的基于硬件逻辑电路的计算机处理器)、存储器806、计算机可读介质810、通信传输介质接口 812、TPM 814以及用户认证器816通过数据总线802通信。所生成的任何结果都可以显示在该计算硬件的显示器上。因此,根据本发明多个实施方式的一方面,可以提供所描述的特征、功能、操作,以及/或益处中的一个或更多个的任何组合。一组合可以仅包括一个,或者可以包括两个或更多个。这些实施方式可以实现为包括计算硬件(即,计算装置)的装置(机器),如(在非限制例中的)可以存储、检索、处理以及/或输出数据并且/或与其它计算机通信(连网)的任何计算机。另外,一装置可以包括彼此相互通信或与其它装置通信的计算机网络中的一个或更多个装置。另外,计算机处理器可以包括一个或更多个装置中的一个或更多个计算机处理器,或者一个或更多个计算机处理器和/或装置的任何组合。一方面的实施方式涉及使一个或更多个装置和/或计算机处理器执行所述操作。所生成结果可以显示在显示器上。实现这些实施方式的程序/软件可以记录在计算机可读记录介质上。计算机可读记录介质的示例包括磁记录装置、光盘、磁光盘,以及/或易失性和/或非易失性半导体存储器(例如,RAM、ROM等)。磁记录装置的示例包括硬盘装置(HDD)、软盘(FD),以及磁带(MT)。光盘的示例包括DVD (数字万用盘)、DVD-ROM、DVD-RAM (DVD随机存取存储器)、BD (蓝光盘)、CD-ROM (光盘只读存储器),以及CD-R (可录)/鼎。实现这些实施方式的程序/软件还可以被包括/编码为数据信号并且通过传送通信介质发送。数据信号例如通过并入载波中而在诸如有线网络或无线网络的传送通信介质上移动。该数据信号还可以通过所谓的基带信号来传递。载波可以以磁或电磁形式、或者光学、声学或任何其它形式来传送。在此陈述的所有实施例和条件化语言都出于教学目的,旨在帮助读者理解本发明人为促进本领域而贡献的本发明和概念,并且应视为不限于这种具体陈述的实施例和条件,在本说明书中这些实施例的组织也不涉及展现本发明的优劣性。尽管已经详细描述了本发明的实施方式,但应当明白,在不脱离本发明的精神和范围的情况下,可以对本发明进行各种变化、替代以及改变。权利要求
1.一种用于保护目标计算环境的方法,所述方法包括以下步骤 针对所述目标计算环境可通信地激活硬件信任锚装置; 通过基于所述硬件信任锚到所述目标计算环境的绑定来对所述目标计算环境进行安全审查,并且从所绑定的所述目标计算环境获取安全诊断信息,由所述硬件信任锚装置建立所述目标计算环境的信任状态;以及 持续保持所述目标计算环境的所述信任状态。
2.根据权利要求I所述的方法,其中,绑定硬件信任锚包括以下步骤 由所述硬件信任锚启动所述目标计算装置上的虚拟机; 測量所启动的虚拟机,以建立可信任虚拟机;以及 使所述硬件信任锚来执行针对包括所述可信任虚拟机的所述目标计算装置所建立的安全策略的实施、监测以及/或报告的操作。
3.根据权利要求I所述的方法,其中,所述硬件信任锚到所述目标计算环境的绑定包括使所述硬件信任锚来执行针对所述目标计算装置所建立的安全策略的实施、监测以及/或报告的操作。
4.根据权利要求2所述的方法,其中,所述安全策略包括限制修改所述可信任虚拟机和/或将所述可信任虚拟机中的执行限制为目标处理。
5.根据权利要求4所述的方法,其中,所述安全策略包括进行所述硬件信任锚到指定可信任虚拟机的分配。
6.根据权利要求I所述的方法,其中,持续保持所述目标计算装置的所述信任状态包括向用户提供所述信任状态的实时反馈。
7.根据权利要求6所述的方法,其中,所述实时反馈包括提供所述计算环境中的已启动的应用的信息。
8.根据权利要求I所述的方法,其中,所述安全诊断信息包括所述目标计算环境的测量結果。
9.根据权利要求I所述的方法,其中,持续保持所述目标计算环境的所述信任状态包括 建立与服务器的带外通信;以及 与所述服务器协同地保持所述目标计算环境的所述信任状态,包括执行所述安全诊断,并且执行用于恢复所述信任状态的安全补救处理。
10.一种用于保护目标计算环境的装置,所述装置包括 计算机处理器,所述计算机处理器执行 通过基于硬件信任锚到所述目标计算环境的绑定来对所述目标计算环境进行安全审查,并且从所绑定的所述目标计算环境获取安全诊断信息来建立所述目标计算环境的信任状态;并且 持续保持所述目标计算环境的所述信任状态。
11.ー种方法,所述方法包括 利用硬件信任锚装置 基于对所述目标计算环境的测量结果来确认目标计算环境; 在经确认的计算环境中建立包括启动虚拟机的可信任计算基础(TCB);以及通过将所述硬件信任锚绑定至所述TCB的所述虚拟机,来根据对所述目标计算环境的 持续安全审查,保持所述目标计算环境的信任状态。
全文摘要
目标计算环境通过硬件信任锚来保护,该硬件信任锚基于对该目标计算环境的安全审查来提供该目标计算环境的信任状态。而且,所述硬件信任锚可以根据所述安全诊断信息来诊断所述目标计算环境。
文档编号G06F11/00GK102687118SQ201080037765
公开日2012年9月19日 申请日期2010年7月28日 优先权日2009年9月9日
发明者J·戈登, J·莫利纳, 宋哲炫 申请人:富士通株式会社