专利名称:安全处理系统的制作方法
技术领域:
本发明涉及计算机安全,更具体地说,涉及主机隔离(host-isolated)安全技术。
背景技术:
典型的个人计算机(PC)包括主机、存储器和用户输入设备。当今的多数PC在因 特尔处理器上运行视窗(Windows)。这些系统被称为Wintel系统。Wintel系统具有一些 安全性弱点,这些弱点是最受黑客欢迎的目标。因此,提供商和用户持续不断的尝试开发新 技术,以便将这些系统变得更加安全。许多系统包括Wintel系统都能够提供加密存储器,以便用户和系统存储数据。当 系统处于空闲状态(也就是数据未被适用)时,数据都保护在加密存储器里。但是,可以从 加密存储器中获取这些数据,并由运行在主机上的应用使用。当数据移动到安全存储器之 外时,数据变得非常脆弱。敏感数据会在这种不安全的位置受到攻击。因此需要一种系统和方法,能够提供一种主机隔离安全环境,在这种环境下将运 行安全服务,数据将存储在安全受信域中,与不安全的主机隔离。
发明内容
根据本发明的一个方面,提供了一种安全处理系统,包括主处理器(host processor);虚拟机,实例化(instantiated)于主处理器之上;以及虚拟统一安全集线器(unified security hub,USH),实例化于虚拟机之上,其中, 所述虚拟USH模仿基于硬件的USH,为在所述主处理器上执行的应用提供多种安全服务。优选的,所述安全处理系统包括与主处理器相连的USH处理器。优选的,所述安全处理系统包括通过通信网络与主处理器相连的USH处理器。优选的,所述安全处理系统包括通过硬件令牌与主处理器相连的USH处理器。优选的,所述安全处理系统还包括用户输入设备,与所述虚拟USH相连,其中,用户输入设备输入的输入数据将由虚 拟USH通过用户输入设备直接接收到。优选的,所述虚拟USH用于确定是否向主处理器释放所述输入数据。优选的,所述虚拟USH用于在向所述主处理器释放所述输入数据之前对该输入数 据进行加密。优选的,所述用户设备为键盘。优选的,所述用户设备为生物特征验证设备。优选的,所述用户设备为包含用户验证数据的智能卡。优选的,所述安全处理系统还包括安全存储器。优选的,所述虚拟USH从所述安全存储器获取数据以及将数据存储到安全存储器中。优选的,所述安全存储器为受信平台模块。优选的,所述安全存储器为硬件令牌。优选的,所述虚拟机包括应用编程接口(API),用于向应用提供由所述虚拟USH提 供的多种安全服务。优选的,所述API用于为多种应用提供统一接口,以便将用户凭证登记到凭证存 储器中。优选的,所述多种应用包括多种验证应用。优选的,所述多种验证应用之中的每一种都包含在与所述主处理器相连的单独的 集成电路芯片之中。优选的,所述多种验证应用之中的一种验证应用是由非接触式智能卡提供的。优选的,所述多种验证应用之中的一种验证应用是由接触式智能卡提供的。优选的,所述多种应用之中的一种应用是在所述安全处理系统外部的处理器上执 行的。优选的,所述凭证存储器中包括用户凭证和相关联的安全策略。优选的,所述API还用于向在主处理器上执行的多种应用开放凭证存储器,其中, 该凭证存储器中包含用户登记的凭证。优选的,所述用户凭证包括生物特征模板。优选的,所述生物特征模板为指纹模板。优选的,所述用户凭证包括人机接口设备标识符。优选的,所述API用于为多种应用提供统一接口,以便向凭证存储器提供用户凭 证。优选的,所述多种应用之中的一种应用在所述安全处理系统外部的处理器上执 行。优选的,所述凭证存储器包括用户凭证和相关联的安全策略。优选的,所述API还用于向在主处理器上执行的多种应用开放凭证存储器,其中, 该凭证存储器中包含为用户提供的凭证。优选的,所述用户凭证包括生物特征模板。优选的,所述生物特征模板为指纹模板。优选的,所述多种安全服务包括数据加密。优选的,所述多种安全服务包括用户验证。优选的,所述多种安全服务包括指纹匹配。优选的,所述多种安全服务包括反病毒应用。根据本发明的一个方面,提供了一种安全处理系统,包括主处理器;低功耗主处理器,与所述主处理器相连;以及统一安全集线器(USH)处理器,与所述主处理器和低功耗主处理器相连,其中,所 述USH处理器用于为主处理器和低功耗主处理器提供多种安全服务,所述多种安全服务与 所述主处理器和低功耗主处理器隔离。
优选的,所述USH处理器包括应用编程接口(API),用于向在主处理器上执行的多 种应用提供由USH处理器提供的多种安全服务。优选的,所述虚拟机包括应用编程接口(API),用于向在低功耗处理器上执行的多 种应用提供由USH处理器提供的多种安全服务。优选的,所述USH处理器包括API,用于为多种应用提供统一接口,以便向凭证存 储器中登记用户凭证。优选的,所述多种应用包括多种验证应用。优选的,所述多种验证应用之中的每一种都包含在与主处理器相连的单独的集成 电路芯片中。优选的,所述多种验证应用之中的一种验证应用由非接触式智能卡提供。优选的,所述多种验证应用之中的一种验证应用由接触式智能卡提供。优选的,所述多种应用之中的一种应用在所述安全处理系统外部的处理器上执 行。优选的,所述凭证存储器包括用户凭证和相关联的安全策略。优选的,所述API用于向在主处理器上执行的多种应用开放凭证存储器,其中包 含为用户登记的凭证。优选的,所述用户凭证包括生物特征模板。优选的,所述生物特征模板为指纹模板。优选的,所述用户凭证包括人机接口设备标识符。优选的,所述USH处理器包括API,用于向多种应用提供统一接口,以便向凭证存 储器提供用户凭证。优选的,所述多种应用之中的一种应用在所述安全处理系统外部的处理器上执 行。优选的,所述凭证存储器包括用户凭证和相关联的安全策略。优选的,所述API用于向在主处理器上执行的多种应用开放凭证存储器,其中包 含为用户提供的凭证。优选的,所述用户凭证包括生物特征模板。优选的,所述生物特征模板为指纹模板。优选的,所述多种安全服务包括数据加密。优选的,所述多种安全服务包括用户验证。优选的,所述多种安全服务包括指纹匹配。优选的,所述多种安全服务包括反病毒应用。优选的,所述安全处理系统还包括用户输入设备,与USH处理器相连,所述用户输入设备输入的输入数据将由虚拟 USH直接从用户输入设备中接收到。优选的,所述USH处理器用于确定是否向主处理器释放输入数据。优选的,所述USH处理器用于在将输入数据释放给所述主处理器之前对其进行加
滋
Γ t [ O优选的,所述用户设备为键盘。
优选的,所述用户设备为生物特征验证设备。优选的,所述用户设备为智能卡,其中包含用户验证数据。
下面将结合附图及实施例对本发明作进一步说明,附图中图1是具有双主机和单独的安全处理器的系统的结构示意图;图2是依据本发明一较佳实施例的具有主机隔离安全的系统的结构示意图;图3是依据本发明一较佳实施例的具有基于软件的USH的系统的框图;图4是依据本发明一较佳实施例的应用于具有基于软件的USH的系统400的服务 器模型的框图;图5A-5C是依据本发明一较佳实施例的具有凭证保险库API (CV-API)的系统的框 图;图6是依据本发明一较佳实施例的具有从API开放的服务的角度而言的CV-API 的系统高级框图;图7是依据本发明一较佳实施例的具有从凭证使用和管理角度而言的公共 CV-API的系统的框图;图8是依据本发明一较佳实施例的示范性凭证存储器的框图;图9是依据本发明一较佳实施例的示范性计算机系统900的示意图;下面将结合上述附图对本发明进行详细描述。在上述附图中,相似的参考标记表 示相同或者功能上类似的器件。此外,参考标记最左边的数字表示该参考标记最先出现的 附图。
具体实施例方式1.0架构实施例1. 1基于硬件的统一安全集线器当今的许多计算机系统包含多个处理器。这些多处理器系统向管理员和用户展 示唯一的安全挑战(security challenges).图1是具有双主机和单独的安全处理器的 系统的结构示意图。系统100包括三个物理处理器-用于执行传统视窗处理的主处理器 (host) 110、用于执行低功耗处理的主处理器120和安全处理器130。主系统110可基于因特尔X86CPU118,其运行视窗操作系统114。视窗-因特尔系 统通常称为Wintel系统。主系统(host system) 110还可运行一个或多个个人验证进程 111,例如指纹匹配,以及一个或多个数据安全应用113,例如一次性密码验证和反病毒。主 系统110还可包括凭证存储器115,用于存储加密材料例如密钥。低功耗主机系统120可基于ARM处理器128,其运行单独的操作系统(例如 Linux) 124。低功耗主系统120设计用于处理低功耗处理应用(例如电子邮件、网页浏览)。 这使得系统100能够扩展系统自身的电池寿命,这是通过在低功耗处理器而不是搞功耗视 窗主处理器上运行特定应用来实现的。低功耗主系统120还可运行个人验证进程121,例如 指纹匹配。安全处理系统130设计用于为系统100执行安全处理。安全处理系统130 (设计为统一安全集线器(USH)系统)包括凭证保险库132和安全处理器(USH) 134。系统,例如系统100存在一些限制。首先,这些系统将安全凭证和安全进程/操作 暴露给开放的主机资源(host resource) 0因此,敏感安全数据和操作,特别是那些在主系 统110上的敏感安全数据和操作将暴露给基于Wintel的攻击。此外,安全解决方案通常为 专用主机而设计。系统100的双主机配置要求两个单独的安全方案。这种双安全方案导致 IT复杂性增大,这是因为这种双安全方案必须独立进行管理,增加了用户的负担,因为用户 必须为每一个主机注册凭证,尽管这两个主机是设置在同一系统上的。为了解决这些问题,本发明的实施例将安全性与脆弱的主机资源隔离开。这些实 施例还将安全服务向两个主机开放,因此创建了一致的安全方案。图2是依据本发明一较佳实施例的具有主机隔离安全的系统的结构示意图。系统 200将安全应用与图1中的多个主机隔离开来,并为不同的物理机提供安全服务。系统200包括三个单独的物理系统一主系统210 (例如正常的视窗处理),低功耗 主系统220和安全处理系统230。在系统200中,与安全有关的服务将从不安全的主处理系 统(210、220)转移到安全处理系统230。安全处理系统230为副处理器,其具有存储凭证和 运行使用这些凭证的应用的能力。例如,安全处理系统可支持RSA—次性密码验证、生物特 征识别(例如指纹匹配)和/或其他形式的用户验证。通过这种方式,敏感数据将永远不 会离开安全处理系统230的安全边界。如图2所示,安全处理系统(USH系统)230包括个人验证进程231,例如指纹匹配, 还包括数据安全应用233。安全处理系统230还可包括反病毒应用、人脸识别应用和/或通 用(general purpose)加密。安全处理系统230还可包括凭证保险库232,用于安全存储一 些数据例如加密密钥。正如可从图2中看到的一样,主系统210和低功耗主系统220不再 包含任何与安全有关的服务,或者存储任何与安全有关的数据。在一个实施例中,安全处理系统230直接连接到一个或多个用户设备290a 290η。用户设备290可包括键盘、非接触式智能卡、接触式智能卡或者任何其他类型的用户 输入设备。在本实施例中,当用户通过用户输入设备提供输入(例如使用键盘输入数据) 时,安全处理系统230判断是否将数据发往主机。到用户设备的直接连接主要(或者仅仅) 用于进行用户验证。例如,如果用户通过键盘输入密码,安全处理系统230会将该密码保存 在安全处理系统内,并且在安全处理器内执行用户验证。安全处理系统230还可判断是否 将用户输入的数据是放给主处理器或者低功耗处理器。此外或者作为可选的,安全处理系 统230还可确定是否需要对用户输入的数据进行加密,然后再将其发往主处理器或者低功 耗处理器。1.2基于软件的USH前文的图1和图2将USH描述为单独的物理处理器(例如物理芯片)。在另一实 施例中,USH还可全部由软件或者部分的由软件来实现。例如,在本发明的实施例中,USH可 作为运行在主机上的进程或者虚拟机。图3是依据本发明一较佳实施例的具有基于软件的 USH的系统的框图。图3中的示范性系统300包括第一虚拟机330Α、第二虚拟机330Β和第η虚拟机 350、系统管理程序(hyperViSOr)320(也成为虚拟机管理器),以及主系统310。主系统310 包括一个或多个主处理器312、主存储器314和一个或多个其他的硬件资源例如串行AT附
7件(SATA) 316a和以太网设备316b。主系统还可包括受信平台模块(TPM)318。主处理器312可包括适当的逻辑、电路和/或代码,用于控制和/或管理与主系统 310有关的数据处理和/或网络操作。主存储器314可包括适当的逻辑、电路和/或代码, 用于存储主系统310所使用的数据。受信平台模块(TPM) 318为安全加密处理器。例如,TPM可设计用于满足受信计算 组(TCG)定义的规范。TPM 318可支持验证算法、加密/解密算法、随机数生成,和安全密钥 和数据存储。例如,TPM 318可用于在密钥在系统中处于空闲状态时存储加密密钥。在高层面上,虚拟机例如虚拟机330A、330B和350可代表软件实现的机器。虚拟机 用于为操作系统和/或应用提供硬件独立性。此外,通过使用多个虚拟机,应用(和/或操 作系统)可独立进行设计并彼此隔离。在图3中,虚拟机330A和330B包括操作系统332A、 332B和一个或多个应用334A、334B。在实施例中,操作系统332A和/或操作系统332B为 访客操作系统。访客操作系统是这样一种操作系统,其可运行在独立于系统300硬件处理 器的物理系统上。操作系统332A和操作系统332B可以是相同的操作系统(例如Linux) 或者不同的操作系统(例如,windows和Linux)。虚拟机330A和330B还可包含虚拟图3 中其他硬件资源的虚拟机。主系统310可包括适当的逻辑、电路和/或代码,用于进行数据处理和/或联网操 作,例如。主系统310可通过系统管理程序320支持第一虚拟机(和第一访客操作系统) 操作、第二虚拟机(和第二访客操作系统)操作,以及第η虚拟机操作。主系统320所支持 的虚拟机或者访客操作系统的数量并非仅限于图3所描述的实施例。例如,主系统310还 可支持两个或更多的虚拟机和/或访客操作系统。系统管理程序320可运行为用于对主系统310之中的硬件资源进行操作系统虚拟 化的软件层。作为选择,系统管理程序320可运行为用于对与主系统(如图4所示)相连 的硬件资源进行虚拟化的软件层。系统管理程序还可实现虚拟机330Α、330Β和350与主系 统310的硬件资源之间的数据通信。系统300还可包括安全令牌380。安全令牌380可以是连接到系统300的硬件外 围设备。在一个实施例中,安全令牌380为USB连接器(USB dongle)、智能卡或者类似的设 备。安全令牌380可与系统300 —同用于提供对密钥和/或数据的安全存储。图3描述了虚拟化的几个层级。正如本领域的技术人员所了解的那样,系统可支 持所有层级的虚拟化或者图3中描述的虚拟化各层级的一个子集。在一个虚拟化层级上, 虚拟机1330A和虚拟机2330B具有I/O和USH的虚拟化。如图3所示,虚拟机1330A和虚 拟机2330B包括vUSH 342。为支持I/O和USH的虚拟化,系统300可在主系统310中包括 USH硬件和软件。第二层级虚拟化为虚拟机n350的虚拟USH。虚拟机350包括USH 352,其运行在 内嵌的操作系统354中。USH 352可包括软件凭证保险库、验证服务和/或其他加密服务 (例如加密/解密)。在一个实施例中,虚拟机η可包括系统管理程序监视器356。第二层 级的虚拟化提供附加的安全性,因为虚拟USH是与其他进程相隔离的。在只包含虚拟USH 的系统300的实施例中,凭证、密钥和/或其他安全数据存储在机器上任何可用的安全硬件 中(例如TPM 318或者安全令牌380)。当进程开始时,安全数据将直接从安全存储器(例 如TPM或者安全令牌)中拉出以进入虚拟USH。安全数据将不会暴露给非安全主系统。
类似于图2中描述的基于硬件的USH,在一个实施例中,基于软件的USH(虚拟机 n350的虚拟USH或者虚拟机1和2330的虚拟USH)直接连接到一个或多个用户设备(未 示出)。用户设备可包括键盘、非接触式智能卡、接触式智能卡或者任何其他类型的用户输 入设备。在本实施例中,当用户通过用户输入设备提供输入(例如使用键盘输入一些数据) 时,基于软件的USH判断是否需要将该数据个主机。到用户设备的直接连接主要(或者仅 仅)用于进行用户验证。例如,如果用户通过键盘输入密码,基于软件的USH可将该密码数 据保存在基于软件的USH中,并在基于软件的USH的安全边界内执行用户验证。基于软件 的USH还可判断是否需要将用户输入的数据释放给主处理器或者低功耗处理器。此外或者 作为可选的,基于软件的USH还可确定是否需要对用户输入的数据进行加密,然后再将其 发往主处理器或者低功耗处理器。图4是依据本发明一较佳实施例的应用于具有基于软件的USH的系统400的服务 器模型的框图。图4中的示范性系统400包括第一虚拟机430和第二虚拟机450、系统管理 程序420 (也称为虚拟机管理器)和主系统410。在本发明的实施例中,虚拟机430、虚拟机450、系统管理程序420和主系统410包 含在同一物理机器内。服务器490通过通信网络480连接到这些部件。服务器490为USH 服务器,其提供安全存储和安全处理服务(包括安全备份)。在一个实施例中,服务器490 包括基于硬件的USH。主系统410包括一个或多个主处理器412、主存储器414和一个或多个其他的硬件 资源例如SATA 416a和以太网设备416b。主处理器412可包括适当的逻辑、电路和/或代 码,用于控制和/或管理与主系统410有关的数据处理和/或联网操作。主存储器414可 包括适当的逻辑、电路和/或代码,用于存储主系统410所使用的数据。在图4中,虚拟机430包括操作系统432 (例如Windows)和一个或多个应用434。 虚拟机430还可包括图4中其他硬件资源的虚拟机。主系统410可包括适当的逻辑、电路和/或代码,用于进行数据处理和/或联网操 作,例如。主系统410可通过系统管理程序420支持第一虚拟机430 (和第一访客操作系 统)操作、第二虚拟机450操作。主系统420所支持的虚拟机或者访客操作系统的数量并 非仅限于图4中描述的示范性实施例。在图4所示的实施例中,系统管理程序420实现为软件层,其可支持与主系统相连 的服务器490中硬件资源的虚拟化。系统管理程序还可支持在虚拟机430和450与主系统 410和USH服务器490的硬件资源之间进行数据通信。图4描述了几个层级的虚拟化。虚拟机430具有I/O和虚拟远端USH (描述为虚 拟机430中的vUSH)。为支持I/O和虚拟USH,系统400包括远端服务器490中的USH硬件 和软件(未示出)。虚拟机450包括USH 452,其运行在内嵌操作系统454上。USH 452可 包括软件凭证保险库、验证服务和/或加密服务(例如加密/解密)。在一个实施例中,虚 拟机450可包括系统管理程序监视器456。2.0凭证保险库API在本发明的实施例中,包含应用变成接口(API)也称为凭证保险库API (CV-API), 用于将上文描述的统一安全集线器(USH)提供的安全特征和服务平台开放给任何应用。图 5A-5C是依据本发明一较佳实施例的具有凭证保险库API (CV-API)的系统的框图。
图5A描述了依据本发明一较佳实施例的具有CV-API 570A和硬件USH530的系统 500A的高层级框图。CV-API 570A在运行于主处理器(也就是x86处理器)之上的软件和 物理USH芯片530之间提供接口。USH芯片530包括固件534,其提供一组安全服务和安全 凭证保险库532。图5B描述了依据本发明一较佳实施例的包含CV-API 570B和实现为运行在主处 理器510之上的软件进程的USH的系统500B的高层级框图。在本实施例中,CV-API用作 运行在主处理器510之上的软件和USH软件530B之间的接口。如上文所述,USH可实现为 运行在主处理器之上的软件。在本实施例中,CV-API是运行在主机之上的另一软件应用和 运行在主机之上的USH进程之间的接口。安全数据可存储在系统500B之中,其存储在主处 理器存储器514、TPM 518和/或安全令牌580中。图5C描述了依据本发明一较佳实施例的包含CV-API 570C和实现为虚拟机550 的USH的系统500C的高层次框图。虚拟机550可进一步的由系统管理程序(未示出)提 供保护。系统500C可包括主处理器512C,TPM 518和/或安全令牌580。图6是依据本发明一较佳实施例的具有从API开放的服务的角度而言的CV-API 的系统高级框图。在系统600中,CV-API 650提供一统一接口,以便向运行在主机620之 上的多个安全应用开放一组安全服务和处理。在本实施例中,应用620包括中间件应用。上述一组安全服务可包括凭证管理服务692、供应(provisioning)服务694、加密 服务696、验证服务698和安全处理699。凭证管理服务692和供应服务694将结合下面的 图7进行详细描述。系统600可通过CV-API 650将一定范围的加密服务开放给应用620。加密服务可 包括对称和/或非对称(公共密钥)加密服务。例如,加密服务可包括块加密/解密(AES、 DES等)、流加密/解密(例如RC4)和/或本领域技术人员所熟知的其他类型的加密/解 密。加密服务还可包括数字签名服务和加密散列服务。在本发明的实施例中,加密服务还 可包括密钥管理服务(例如密钥创建、密钥收回和密钥加密)。系统600还可通过CV-API 650将一定范围的验证服务开放给应用620。验证服 务包括例如但不限于生物特征验证(例如指纹匹配)、加密验证(例如一次性密码验证) 和密码匹配。验证服务还可支持接触式智能卡和非接触式智能卡。例如,这样的一种智能 卡应用为人机接口设备(HID)验证。本领域的技术人员应当明白,其他安全服务也可通过 CV-API 650进行开放。在本发明的实施例中,USH为系统或设备中的其他域(domain)(例 如虚拟机)提供公共验证引擎。在图5A所示的基于硬件的USH的实施例中,图6中的安全服务通过运行在USH上 的固件来提供。在图5B和5C所示的基于软件的USH的实施例中,安全服务通过USH软件 进程来提供。图7是依据本发明一较佳实施例的具有从凭证使用和管理角度而言的公共 CV-API的系统的框图。CV-API 750提供集中式部件(centralizedcomponent),用于管理凭 证,包括提供、强制策略(enforcing policy)和凭证收回。该集中式部件允许通过到一个 或多个应用的公共接口展示多个凭证。公共CV-API 750提供公共API,用于使用不同类型以及多种类型的验证设备 710a-n例如生物特征设备、非接触式设备和键盘(从密码角度)。一个或多个验证设备
10710a-n可在多个硬件芯片(称为芯片包(a bag of chips))中实现。CV-API 750提供公 共软件API来将这些各异的硬件组件拉到一起。CV-API 750提供单个位置供登记凭证。在登记过程中,将收集与用户有关的信息。 如图7所示,一个或多个硬件设备710可使用CV-API 750来进行凭证登记。登记可通过登 记接口 755来提供。登记接口可以是CV-API 750的一个部件,或者可作为一个单独的软 件模块来提供。硬件设备710可以是验证设备,包括但不限于生物特征设备710a(例如指 纹)、非接触式模块或者键盘(例如从输入密码的角度来说)。一旦登记,多个应用便可请 求该凭证了。CV-API 750还提供单个位置用于凭证的供应。在供应过程 (provisioningprocess)中,应用或者设备供应一个或多个凭证给凭证存储器760。供应应 用或者设备可以是系统700的一个部件或者在系统700的外部。供应过程可通过供应接口 765来提供。供应接口可以是CV-API 750的一个部件或者作为一个单独的软件模块来提{共。登记的和/或供应的凭证存储在凭证存储器760中。图8是依据本发明一较佳实 施例的示范性凭证存储器860的框图。凭证存储器包括标识符862,用于标识与凭证相关联 的用户。凭证存储器860包括用户的一个或多个凭证864a-n (例如指纹模板、RSA种子值、 HID值)。凭证存储器还可包含策略,或者与策略相关联。该策略可由策略目标来提供。测 绝可针对单个凭证、凭证存储器和/或多个凭证存储器来进行定义。策略可用于定义验证 和/或访问控制进程执行凭证或者凭证的子集。策略可用于定义何种验证应用凭证,和/或何种访问控制列表应用凭证。例如,策 略可定义如何处理凭证,依据系统是否供应给或者登记到硬件或者软件。在该例子中,策略 可允许用户从任何系统解密和阅读用户的个人电子邮件。但是,策略会限定对系统附件的 访问,其包括一块硬件,用于保护用来解密附件的密钥。凭证存储器可存储在USH凭证保险箱中。在本发明的实施例中,凭证保险箱可通 过硬件或者软件来实现。在本发明的另一实施例中,例如基于软件的USH的实施例中,凭证 存储器可存储在TPM或者安全令牌中。回到图7,CV-API750还提供公共接口,以供应一个或多个凭证给一个或多个应用 620a-n。如图7所示,通过CV-API,凭证可进行一次登记,然后由多个应用使用。例如,用户 可登记其指纹模板一次,而多个应用(例如文件访问应用、网站访问应用和密码管理器应 用)可使用该登记的模板来通过进行指纹匹配来进行验证。如上述实施例所述,输入到系统或者设备的多个(或者全部)验证例如通过键盘、 生物特征设备或者HID阅读器输入的验证,均可前往统一位置进行处理。3.0示范性计算机实现本发明实施例的多个方面可通过软件、固件、硬件或者其结合来实现。图9是依据 本发明一较佳实施例的示范性计算机系统900的示意图,其中,该本发明的实施例或者其 中的一些部分,可通过计算机可读代码来实现。本发明的各种实施例将依据本实施例计算 机系统900来进行描述。在阅读该描述之后,本领域的技术人员应当明白如何使用其他计 算机系统和/或计算机架构来实现本发明。计算机系统900可以是任何的商业上可用的以及熟知的计算机,其能够执行本发明描述的功能,例如国际商业机器公司、苹果、Sim、惠普、戴尔、康柏、数字(Digital)、Cray 等提供的计算机。计算机900包括一个或多个处理器(也称为中央处理单元或者CPU),例如处理器 906。处理器906连接到通信总线904。计算机900还包括主存储器908,例如随机访问存储器(RAM)。主存储器908存储 有控制逻辑928A (计算机软件)和数据。计算机900还包括一个或多个辅助存储设备910。辅助存储设备910包括例如硬 盘驱动器912和/或可移除存储设备或驱动器914,以及其他类型的存储设备,例如存储卡 和存储棒。可移除存储驱动器914代表软盘驱动器、磁带驱动器、光盘驱动器、光存储设备、 磁带备份等。可移除存储驱动器914与可移除存储单元916进行交互。可移除存储单元916包 括计算机可用或者可读存储介质924A,其中存储有计算机软件928B (控制逻辑)和/或数 据。可移除存储单元916代表软盘、磁带、光盘、DVD、光存储盘或者任何其他类型的计算机 数据存储设备。可移除存储设备914采用公知方式从可移除存储单元916读取数据或者向 其中写入数据。计算机900还包括输入/输出/显示设备922,例如监视器、键盘、指针设备等。计算机900还包括通信或网络接口 918。网络接口 918使得计算机900可以与远 端设备进行通信。例如,网络接口 918允许计算机900通过通信网络或者介质924B(代表 计算机可用或者可读介质),例如LAN、WAN、互联网等进行通信。网络接口 918可通过有线 或者无线连接与远端站点或者网络相连。控制逻辑928C可通过通信介质924B发往计算机900,或者从计算机900接收。具 体的,计算机900可通过通信介质924B接收和发送调制有控制逻辑930的载波(电磁信号)。包含存储有控制逻辑(软件)的计算机可用或可读介质的任何设备或者产品在本 文都称为计算机程序产品或者程序存储设备。其包括但不限于,计算机900、主存储器908、 辅助存储设备910、可移除存储单元916和调制有控制逻辑930的载波。这种存储有控制逻 辑的计算机程序产品,在通过一个或多个数据处理设备执行时,可控制这种数据处理设备 依照本文所述的实施例进行操作。本发明可与本文描述以外的软件、硬件和/或操作系统一同工作。适合执行本文 所述功能的任何软件、硬件和操作系统实现都是可用的。4.0 结论虽然本文描述了本发明的各种实施例,但应当明白,这些实施例仅用于举例,并非 用于限定本发明。本领域的技术人员应当明白,在不脱离本发明实质的情况下,可进行各种 形式上或者细节上的修改。因此,本发明的宽度和范围并非仅限于上文所述的任意实施例, 而应由权利要求或者其等效内容进行定义。本申请要求2008年10月2日提交的名称为“安全虚拟机管理器”的美国临时专 利申请61/102,198的优先权,并将其全文引用于此。
权利要求
一种安全处理系统,其特征在于,包括主处理器;虚拟机,实例化于主处理器之上;以及虚拟统一安全集线器USH,实例化于虚拟机之上,其中,所述虚拟USH模仿基于硬件的USH,为在所述主处理器上执行的应用提供多种安全服务。
2.根据权利要求1所述的安全处理系统,其特征在于,所述安全处理系统包括与主处 理器相连的USH处理器。
3.根据权利要求1所述的安全处理系统,其特征在于,所述安全处理系统包括通过通 信网络与主处理器相连的USH处理器。
4.根据权利要求1所述的安全处理系统,其特征在于,所述安全处理系统包括通过硬 件令牌与主处理器相连的USH处理器。
5.根据权利要求1所述的安全处理系统,其特征在于,所述安全处理系统还包括 用户输入设备,与所述虚拟USH相连,其中,用户输入设备输入的输入数据将由虚拟USH通过用户输入设备直接接收到。
6.根据权利要求5所述的安全处理系统,其特征在于,所述虚拟USH用于确定是否向主 处理器释放所述输入数据。
7.根据权利要求5所述的安全处理系统,其特征在于,所述虚拟USH用于在向所述主处 理器释放所述输入数据之前对该输入数据进行加密。
8.一种安全处理系统,其特征在于,包括 主处理器;低功耗主处理器,与所述主处理器相连;以及统一安全集线器USH处理器,与所述主处理器和低功耗主处理器相连,其中,所述USH 处理器用于为主处理器和低功耗主处理器提供多种安全服务,所述多种安全服务与所述主 处理器和低功耗主处理器隔离。
9.根据权利要求8所述的安全处理系统,其特征在于,所述USH处理器包括应用编程接 口,用于向在主处理器上执行的多种应用提供由USH处理器提供的多种安全服务。
10.根据权利要求8所述的安全处理系统,其特征在于,所述虚拟机包括应用编程接 口,用于向在低功耗处理器上执行的多种应用提供由USH处理器提供的多种安全服务。
全文摘要
本发明涉及计算机安全,更具体地说,涉及主机隔离(host-isolated)安全技术。本发明提供一种安全处理系统,包括主处理器;虚拟机,实例化于主处理器之上;以及虚拟统一安全集线器USH,实例化于虚拟机之上,其中,所述虚拟USH模仿基于硬件的USH,为在所述主处理器上执行的应用提供多种安全服务。
文档编号G06F21/00GK101930508SQ20091017948
公开日2010年12月29日 申请日期2009年10月9日 优先权日2008年10月2日
发明者马克·布尔 申请人:美国博通公司