专利名称:从外部管理的安全和验证处理设备的制作方法
技术领域:
本公开总体涉及从外 部管理的安全和验证处理设备,例如但不限于可信平台模块(TPM)。
背景技术:
安全和验证服务在计算和通信行业中是重要的,例如用于加密数据并验证软件未被改变或者用户被授权使用软件。可信平台模块(TPM)通常被包括在当今售卖的计算机中以提供这样的安全和验证服务。TPM通常包括利用私人签名密钥或数字凭证进行编程的特定硬件,并且例如,利用特定TPM被加密的信息仅可使用相同的物理TPM来访问。
发明内容
尤其公开了与从外部管理的安全和认证处理设备相关联的方法、装置、计算机存储介质、机制和手段。一个实施例包括一种装置,该装置包括加密处理子系统,包括一个或多个处理器和存储器,被配置用于执行安全或验证服务;应用接口,被配置用于与所述装置外部的应用系统通信,其中所述通信包括将所述安全或验证服务提供给所述应用系统;以及安全管理接口,被配置用于与在所述装置外部的服务简档系统传输包括所述加密处理子系统用来执行所述安全或验证服务的配置信息(例如,提供和撤回凭证)的信息,而不将所述配置信息传输通过所述应用系统。通过提供和撤回与服务简档相关联的凭证,一个实施例没有到特定TPM的物理绑定,这在某些计算环境中,尤其是虚拟计算机可在不同计算系统之中被移动的虚拟计算环境中可以是有利的。如这里使用的,凭证是指私人签名密钥、数字凭证或者其他认证配置信息,当凭证被提供时,允许执行相应的所述安全或验证服务;并且当凭证被撤回时,停止提供所述安全或验证服务的能力。在一个实施例中,该装置是可信平台模块(TPM)。在一个实施例中,该装置是被配置用于在包括应用系统的装备内操作的模块卡。在一个实施例中,应用接口包括外围组件接口(PCI)系列的接口。在一个实施例中,安全管理接口包括被配置用于与服务简档系统通信的网络接口。
所附权利要求具体阐述了一个或多个实施例的特征。从以下结合附图所做的详细描述中可最好地理解这(一个或多个)实施例及其优点,在附图中图I图示出了根据一个实施例的由在网络中进行操作的外部服务简档系统管理的多个装备的多个安全或验证模块;图2图示出了在一个实施例中使用的装置或组件;以及图3图示出了在一个实施例中执行的处理。
具体实施方式
尤其公开了与从外部管理的安全和认证处理设备相关联的方法、装置、计算机存储介质、机制和手段。这里描述的实施例包括各种元件和限定,其中没有一个元件或限定被认为是关键性元件或限定。每个权利要求的整体分别记载了本发明的一个方面。此外,所描述的一些实施例可以包括但不限于系统、网络、集成电路芯片、嵌入式处理器、ASIC和包含指令的计算机可读介质。一个或多个系统、设备、组件等可以包含一个或多个实施例,其可包括由相同或不同系统、设备、组件等执行的权利要求的一些元件或限定。处理元件可以是通用处理器、特定于任务的处理器或者用于执行相应处理的其它实现方式。下面描述的实施例体现了各个方面和配置,其中附示出了示例性和非限制性配置。注意,用于执行方法和处理块操作的装置(例如,被配置来执行这些操作的处理器和存储器或其它装置)和计算机可读介质也被公开,并且符合实施例的可扩展范围和精神。注意,术语“装置”在此以其装置或设备的通常定义而被一致地使用。注意,包括但不限于任何块和流程图以及消息序列图的附图中所图示出的信号和信息的步骤、连接和处理在其它实施例中通常可按相同或不同顺序或并行顺序执行和/或通过不同组件和/或处理、线程等来执行,和/或通过不同连接并与其它功能相组合地来执行,除非这禁止了该实施例或者明确地或隐含地需要某种顺序(例如,读取值、处理所读取 值的顺序一因为该值必须在处理之前被获取,尽管相关联处理中的某些可以在读取操作之前、同时和/或之后执行)。还注意,本文中描述的或参考的任何事物都不被承认为本申请的现有技术,除非明确地如此说明。术语“一个实施例”在此被用来引用特定实施例,其中,对“一个实施例”的每次引用可以指不同实施例,并且这里在描述相关联特征、元件和/或限定时对该术语的重复使用并不建立起每个实施例必须包括的相关联特征、元件和/或限定的累积集合,尽管实施例通常可以包括所有这些特征、元件和/或限定。另外,术语“第一”、“第二”等在此通常被用来表示不同单元(例如,第一元件、第二元件)。这里对这些术语的使用不一定意味着诸如一个单元或事件在另一单元或事件之前出现或到来的某种顺序,而是提供了一种在特定单元之间进行区分的机制。此外,短语“基于X”和“响应于X”被用来指示从其推导出或引出某事物的项“x”的最小集合,其中,“x”是扩展的并且不一定描述了对其执行操作等的项的完整列表。另外,短语“被耦合到”用来指示两个元件或设备之间的某种程度的直接或间接连接,其中一个或多个耦合设备修改或不修改所耦合信号或所传输信息。此外,术语“或”在此用来标识对连接项中的一个或多个(包括所有)的选择。另外,与“包括”、“含有”或“特征在于”同义的过渡术语“包含”是包括性的或开放式的,并且不排除另外的未记载元件或方法步骤。最后,术语“特定机器”当被记载在用于执行步骤的方法权利要求中时,是指35USC § 101机器法定类中的特定机器。尤其公开了与从外部管理的安全和认证处理设备相关联的方法、装置、计算机存储介质、机制和手段。一个实施例包括一种装置,该装置包括加密处理子系统,包括一个或多个处理器和存储器,被配置用于执行安全或验证服务;应用接口,被配置用于与所述装置外部的应用系统通信,其中所述通信包括将所述安全或验证服务提供给所述应用系统;以及安全管理接口,被配置用于与在所述装置外部的服务简档系统传输包括所述加密处理子系统用来执行所述安全或验证服务的配置信息(例如,提供和撤回凭证)的信息,而不将所述配置信息传输通过所述应用系统。通过提供和撤回与服务简档相关联的凭证,一个实施例没有到特定TPM的物理绑定,这在某些计算环境中,尤其是虚拟计算机可在不同计算系统之中被移动的虚拟计算环境中可以是有利的。如这里使用的,凭证是指私人签名密钥、数字凭证或者其他认证配置信息,当凭证被提供时,允许执行相应的所述安全或验证服务;并且当凭证被撤回时,停止提供所述安全或验证服务的能力。在一个实施例中,该装置是可信平台模块(TPM)。在一个实施例中,该装置是被配置用于在包括应用系统的装备内操作的模块卡。在一个实施例中,应用接口包括外围组件接口(PCI)系列的接口。在一个实施例中,安全管理接口包括被配置用于与服务简档系统通信的、用于接收所述配置信息的网络接口。一个实施例包括一种装置,该装置包括应用系统,包括一个或多个处理元件以及存储器;以及可信平台模块。在一个实施例中,该可信平台模块包括加密处理子系统,包括一个或多个处理器和存储器,被配置用于执行安全或验证服务;应用接口,被配置用于与所述应用系统通信,其中所述通信包括将所述安全或验证服务提供给所述应用系统;以及安全管理接口,被配置用于与在所述装置外部的服务简档系统传输包括所述加密处理子系统用来执行所述安全或验证服务的配置信息的信息,而不将所述配置信息传输通过所述应用系统。所述应用系统被配置为使用由所述可信平台模块提供的所述安全或验证服务。·在一个实施例中,所述应用系统包括被配置用于运行操作系统的一个或多个处理元件和存储器。在一个实施例中,所述可信平台模块是位于包括所述应用系统的装备内的模块卡。在一个实施例中,所述装置包括总线;其中,所述应用接口包括外围组件接口(PCI)系列的接口 ;并且其中,所述应用系统和所述可信平台模块通过所述总线通信。在一个实施例中,所述安全管理接口包括被配置用于与所述服务简档系统通信、接收所述配置信息的网络接口;并且其中,所述配置接口不通过所述总线被传输。在一个实施例中,所述应用系统包括被配置用于实现超级管理者程序和多个操作系统的计算机硬件和软件;并且其中,所述超级管理者程序本身被配置为使用由所述可信平台模块提供的所述安全或验证服务。在一个实施例中,所述超级管理者程序被配置来使用所述安全或验证服务来对所述多个操作系统中的一个或多个进行认证。在一个实施例中,所述超级管理者程序被配置为除了将由所述可信平台模块提供的所述安全或验证服务用于其本身之外,还为所述多个操作系统中的一个或多个提供和接口连接由所述可信平台模块提供的所述安全或验证服务。一个实施例执行一种方法,该方法包括基于经由集成在装备的可信平台模块中的安全管理接口接收的配置参数来配置所述可信平台模块,其中所述可信平台模块包括使用一个或多个处理元件和存储器;以及由所述可信平台模块通过位于所述装备内的且与所述安全管理接口不同的总线来向所述装备内的应用系统提供安全或验证服务,其中所述应用系统是利用与所述可信平台模块不同的硬件来实现的;其中,所述可信平台模块的配置参数既不经过所述总线也不能由所述应用系统访问。在一个实施例中,所述应用系统实现超级管理者程序、以及在所述超级管理者程序之上的层级上操作的一个或多个操作系统;并且其中,所述超级管理者程序使用由所述可信平台模块提供的所述安全或验证服务,包括用于其自身的认证目的。一个实施例包括一种联网系统,该联网系统包括服务简档系统、第一平台和第二平台。第一平台包括被配置用于执行安全或验证服务的第一加密处理子系统;以及被配置来使用所述第一加密系统执行所述安全或验证服务的第一应用系统;其中,所述第一加密系统包括包含一个或多个处理器和存储器并被配置用于执行安全或验证服务的第一加密处理子系统;被配置用于与所述第一应用系统通信的第一应用接口,其中所述通信包括向所述第一应用系统提供所述安全或验证服务;以及第一安全管理接口,被配置用于与在所述第一平台外部的服务简档系统传输包括所述第一加密处理子系统用来执行所述安全或验证服务的第一配置信息的信息,而不将所述配置信息传输通过所述第一应用系统和所述第一应用接口。第二平台包括被配置用于执行安全或验证服务的第二加密处理子系统;以及被配置来使用所述第二加密系统执行所述安全或验证服务的第二应用系统;其中,所述第二加密系统包括包含一个或多个处理器和存储器并被配置用于执行安全或验证服务 的第二加密处理子系统;被配置用于与所述第二应用系统通信的第二应用接口,其中所述通信包括向所述第二应用系统提供所述安全或验证服务;以及第二安全管理接口,被配置用于与在所述第二平台外部的服务简档系统传输包括所述第二加密处理子系统用来执行所述安全或验证服务的第二配置信息的信息,而不将所述配置信息传输通过所述第二应用系统和所述第二应用接口。所述服务简档系统被配置为将所述第一配置信息提供给所述第一加密系统并将所述第二配置信息提供给所述第二加密系统。在一个实施例中,所述第一加密系统和所述第二加密系统的每个包括可信平台模块。在一个实施例中,所述服务简档系统被配置为向用于提供所述安全或验证服务的所述第一加密系统提供第三配置信息;并且接下来基于所述第三配置信息禁止所述第一加密系统提供所述安全或验证服务,并且将所述第三配置信息提供给用于提供所述安全或验证服务的所述第二加密系统。在一个实施例中,所述第一加密系统和所述第二加密系统的每个包括可信平台模块。清楚地,转向附图,图I图示出了包括N个不同平台/装备100、120( “装备100、120”)的一个实施例,这些装备100、120经由安全网络140可通信地耦合到服务简档系统150。注意,值“N”用来表示多于一个(即,2,3…),其可以包括非常大数量的不同装备。装备100、120通常还被连接到160(例如,私有网络、因特网)用于以标准方式传输信息。在一个实施例中,装备100、120具有耦合到其各自的总线(102、122)(例如,而不位于应用系统101、121内)的网络接口。在一个实施例中,装备100、120的每个是计算机系统,该计算机系统包括安全/验证模块卡110、130以及应用系统101、121 (例如,在操作系统或者具有多个操作系统的超级管理者程序上运行的存储器和一个或多个处理元件)。在一个实施例中,安全/验证模块卡110是可彳目平台模块。如图所示,在一个实施例中,安全验证模块卡110、130各自包括应用接口 111、131 (例如,PCIe接口、命令解释器)、加密处理系统112、132 (例如,被配置用于执行安全或验证服务的一个或多个处理元件和存储器),以及被配置用于与服务简档系统通信以接收用于执行安全或验证服务的指令和配置信息(151)(例如,私人签名密钥、数字凭证)的安全管理接口 113、133。图2是与从外部管理的安全和验证处理设备相关联的、在一个实施例中使用的装置或组件200的框图。在一个实施例中,系统或组件200执行与这里图示出的或以其它方式描述的流程图之一相对应的一个或多个处理。
在一个实施例中,装置或组件200包括一个或多个处理元件201、存储器202、(一个或多个)存储设备203、( 一个或多个)特殊化组件205 (例如,如用于执行操作的最优化硬件等),以及用于传输信息(例如,发送和接收分组、用户界面、显示信息等等)的(一个或多个)接口 207,接口 207通常经由一个或多个通信机构209与通信路径耦合,通信路径通常被裁制以符合应用的需要。在一个实施例中,装置或组件200对应于图I的网络设备101或者是其一部分。装置或组件200的各个实施例可以包括更多或更少的元件。装置或组件200的操作通常由(一个或多个)处理元件201利用存储器202和(一个或多个)存储设备203执行一个或多个任务或处理来控制。存储器202是一种类型的计算机可读/计算机存储介质,并且通常包括随机存取存储器(RAM)、只读存储器(ROM)、闪存、集成电路和/或其它存储器组件。存储器202通常存储将由(一个或多个)处理元件201执行的计算机可执行指
令和/或由(一个或多个)处理元件201操纵的数据,用于实现根据实施例的功能。(一个或多个)存储设备203是另一种类型的计算机可读介质,并且通常包括固态存储介质、盘驱动器、磁盘、联网服务、磁带驱动器以及其它存储设备。(一个或多个)存储设备203通常存储将由(一个或多个)处理元件201执行的计算机可执行指令和/或由(一个或多个)处理元件201操纵的数据,用于实现根据实施例的功能。图3中图示出了在一个实施例中执行的处理。处理开始于处理块300。在处理块302中,装置(例如,信任平台模块或其它模块卡)由服务简档系统经由该装置的安全管理接口进行配置。注意,该安全管理接口与用于将安全或验证服务(例如,通过总线)提供给应用系统的接口不同。这种体系结构在物理上将配置信息(例如,私人密钥、数字凭证)隔离而不让该装备(其包括用于提供安全或验证服务的装置和应用系统)的应用系统访问。此外,通常利用与装置(例如,TPM、安全或验证模块卡,等等)不同的硬件来实施应用系统。接下来,在处理块304中,安全或验证服务通过在装备内的且不同于安全管理接口的总线被提供给应用系统,即由装置提供给装备内的应用系统,通常,应用系统利用不同于装置的硬件来实现。如在处理块305中确定的,当安全或验证服务应当从一个装备/平台被迁移到另一个时,则对块306进行处理,第二装备的第二装置(例如,可信平台模块)经由其安全管理接口利用(例如,被提供给先前的装置的)配置信息被配置,其安全管理接口与用于提供安全或验证服务的接口(例如,总线)不同,例如以便在物理上将配置信息(例如,私人密钥、数字凭证)隔离而不让包括应用系统和装置的第二装备的应用系统访问。在处理块308,安全或验证服务在先前的装备中被禁用。因此,安全或验证服务从一个装备被迁移到了另一个。如果对应的应用系统也被迁移到了第二装备,则即使安全或验证服务在完全不同的硬件上操作,应用系统也可以利用这些安全或验证服务。因此,例如,当应用系统和可信平台模块两者都被移动时,被绑系到特定可信平台模块的软件系统将在新的装备上工作。否则,如在处理块310中确定的,如果由当前装置提供的安全或验证服务应当被禁用,则服务简档系统在装置的安全管理接口上向装置提供适当的命令。图3的流程图的处理完成,如处理块314所指示的。考虑到可以应用本发明的原理的许多可能的实施例,将理解,这里相对于附图描述的本发明的实施例和各方面仅仅是说明性的,并且不应当被认为是对本发明的范围的限 制。例如,如本领域技术人员将清楚的,许多处理块操作可以被重新排序以在其它操作之前、之后或者基本上与其它操作并发地执行。此外,可以在各个实施例中使用许多不同形式的数据结构。这里描述的本发明构想了所有这样的实施例,因为它们可落在以下权利要求及其等同物的范围内。
权利要求
1.ー种装置,包括 加密处理子系统,包括一个或多个处理器和存储器,被配置用于执行安全或验证服务; 应用接ロ,被配置用干与所述装置外部的应用系统通信,其中所述通信包括将所述安全或验证服务提供给所述应用系统;以及 安全管理接ロ,被配置用干与在所述装置外部的服务简档系统传输包括所述加密处理子系统用来执行所述安全或验证服务的配置信息的信息,而不将所述配置信息传输通过所述应用系统; 其中,所述配置信息包括提供和撤回ー个或多个凭证。
2.如权利要求I所述的装置,其中,所述装置是可信平台模块(TPM)。
3.如权利要求2所述的装置,其中,所述装置是被配置用于在包括所述应用系统的装备内操作的模块卡。
4.如权利要求3所述的装置,其中,所述应用接ロ包括外围组件接ロ(PCI)系列的接□。
5.如权利要求4所述的装置,其中,所述安全管理接ロ包括被配置用干与所述服务简档系统通信、用于接收所述配置信息的网络接ロ。
6.如权利要求3所述的装置,其中,所述安全管理接ロ包括被配置用干与所述服务简档系统通信、用于接收所述配置信息的网络接ロ。
7.如权利要求2所述的装置,其中,所述安全管理接ロ包括被配置用干与所述服务简档系统通信、用于接收所述配置信息的网络接ロ。
8.如权利要求2所述的装置,其中,所述应用接ロ包括外围组件接ロ(PCI)系列的接□。
9.ー种装置,包括 应用系统,包括一个或多个处理元件以及存储器;以及 可信平台模块,该可信平台模块包括 加密处理子系统,包括一个或多个处理器和存储器,被配置用于执行安全或验证服务; 应用接ロ,被配置用干与所述应用系统通信,其中所述通信包括将所述安全或验证服务提供给所述应用系统;以及 安全管理接ロ,被配置用干与在所述装置外部的服务简档系统传输包括所述加密处理子系统用来执行所述安全或验证服务的配置信息的信息,而不将所述配置信息传输通过所述应用系统;其中,所述配置信息包括提供和撤回一个或多个凭证; 其中,所述应用系统被配置为使用由所述可信平台模块提供的所述安全或验证服务。
10.如权利要求9所述的装置,其中,所述应用系统包括被配置用于运行操作系统的ー个或多个处理元件和存储器。
11.如权利要求10所述的装置,其中,所述可信平台模块是位于包括所述应用系统的装备内的模块卡。
12.如权利要求9所述的装置,其中,所述装置包括总线;其中,所述应用接ロ包括外围组件接ロ(PCI)系列的接ロ ;并且其中,所述应用系统和所述可信平台模块通过所述总线通信。
13.如权利要求12所述的装置,其中,所述安全管理接ロ包括被配置用干与的所述服务简档系统通信、接收所述配置信息的网络接ロ ;并且其中,所述配置接ロ不通过所述总线被传输。
14.如权利要求9所述的装置,其中,所述应用系统包括被配置用于实现超级管理者程序和多个操作系统的计算机硬件和软件;并且其中,所述超级管理者程序本身被配置为使用由所述可信平台模块提供的所述安全或验证服务。
15.如权利要求14所述的装置,其中,所述超级管理者程序被配置来使用所述安全或验证服务来对所述多个操作系统中的一个或多个进行认证。
16.如权利要求14所述的装置,其中,所述超级管理者程序被配置为除了将由所述可信平台模块提供的所述安全或验证服务用于其本身之外,还为所述多个操作系统中的ー个或多个提供和接ロ连接由所述可信平台模块提供的所述安全或验证服务。
17.—种方法,包括 基于经由集成在装备的可信平台模块中的安全管理接ロ接收的配置參数来配置所述可信平台模块,其中所述可信平台模块包括使用一个或多个处理元件和存储器;以及 由所述可信平台模块通过位于所述装备内的且与所述安全管理接ロ不同的总线来向所述装备内的应用系统提供安全或验证服务,其中所述应用系统是利用与所述可信平台模块不同的硬件来实现的; 其中,所述可信平台模块的配置參数既不经过所述总线也不能由所述应用系统访问。
18.如权利要求17所述的方法,其中,所述应用系统实现超级管理者程序、以及在所述超级管理者程序之上的层级上操作的ー个或多个操作系统;并且其中,所述超级管理者程序使用由所述可信平台模块提供的所述安全或验证服务,包括用于其自身的认证目的。
19.一种联网系统,包括 服务简档系统; 第一平台,包括被配置用于执行安全或验证服务的第一加密处理子系统;以及被配置来使用所述第一加密系统执行所述安全或验证服务的第一应用系统;其中,所述第一加密系统包括包含一个或多个处理器和存储器并被配置用于执行安全或验证服务的第一加密处理子系统;被配置用干与所述第一应用系统通信的第一应用接ロ,其中所述通信包括向所述第一应用系统提供所述安全或验证服务;以及第一安全管理接ロ,被配置用干与在所述第一平台外部的服务简档系统传输包括所述第一加密处理子系统用来执行所述安全或验证服务的第一配置信息的信息,而不将所述配置信息传输通过所述第一应用系统和所述第一应用接ロ ;以及 第二平台,包括被配置用于执行安全或验证服务的第二加密处理子系统;以及被配置来使用所述第二加密系统执行所述安全或验证服务的第二应用系统;其中,所述第二加密系统包括包含一个或多个处理器和存储器并被配置用于执行安全或验证服务的第二加密处理子系统;被配置用干与所述第二应用系统通信的第二应用接ロ,其中所述通信包括向所述第二应用系统提供所述安全或验证服务;以及第二安全管理接ロ,被配置用干与在所述第二平台外部的服务简档系统传输包括所述第二加密处理子系统用来执行所述安全或验证服务的第二配置信息的信息,而不将所述配置信息传输通过所述第二应用系统和所述第二应用接ロ; 其中,所述服务简档系统被配置为将所述第一配置信息提供给所述第一加密系统并将所述第二配置信息提供给所述第二加密系统。
20.如权利要求19所述的联网系统,其中,所述第一加密系统和所述第二加密系统的每个包括可信平台模块。
21.如权利要求18所述的联网系统,其中,所述服务简档系统被配置为向用于提供所述安全或验证服务的所述第一加密系统提供第三配置信息;并且接下来基于所述第三配置信息禁止所述第一加密系统提供所述安全或验证服务,并且将所述第三配置信息提供给用于提供所述安全或验证服务的所述第二加密系统。
22.如权利要求21所述的联网系统,其中,所述第一加密系统和所述第二加密系统的每个包括可信平台模块。
全文摘要
从外部管理的安全和验证处理设备包括加密处理子系统,被配置用于执行安全或验证服务;应用接口,被配置用于与应用系统传输安全或验证服务;以及安全管理接口,被配置用于与在装置外部的服务简档系统传输包括加密处理子系统用来执行安全或验证服务的配置信息的信息,而不将配置信息传输通过应用系统。该服务简档系统通常还可将由一个装置提供的安全服务迁移到另一装置。
文档编号G06F21/00GK102763112SQ201180009245
公开日2012年10月31日 申请日期2011年2月4日 优先权日2010年2月11日
发明者史瑞杰特·慕克吉 申请人:思科技术公司