用于使用持久信任日志来监测并断言信任等级的设备、系统、和方法
【专利摘要】本发明公开了用于监测和断言计算设备的信任等级的设备、系统、和方法。在一个示例性实施例中计算设备可以包括具有存储于其中的持久信任日志的存储器,所述持久信任日志包括与影响所述计算设备的信任等级的历史事件有关的数据,以及安全控制器,其被配置为检测影响所述计算设备的信任等级的事件并且将与所述数据有关的数据写入到所述持久信任日志。
【专利说明】用于使用持久信任日志来监测并断言信任等级的设备、系 统、和方法
【背景技术】
[0001] 计算设备(例如,个人计算机、工作站、膝上型计算机、手持计算机、移动互联网设 备、蜂窝电话、个人数字助理、电话设备、网络设备、虚拟化设备、存储设备控制器、或其它基 于计算机的设备)的信任等级可W是针对允许该计算设备参与各种活动和/或事物的决策 准则。通过说明性示例的方式,计算设备的信任等级可W是确定是否允许该计算设备来处 理和/或存储敏感数据(例如,公司记录)或是否允许该计算设备来执行敏感事物(例如, 财务事物)的一个因素。将会理解的是,计算设备的信任等级可W与任何其它类型的活动 和/或事物有关。
[0002] 计算设备在其生命周期内参与的许多事件可W影响该计算设备的信任等级。例 女口,相比于使用了 H年的已"越狱"(即,允许用户使用智能电话开发商所不期望用户来使用 的系统资源和/或权限的过程)、恢复了多次、并且安装有来自不可信源的一些应用程序的 智能电话,刚刚拆箱的新的智能电话将具有更高的信任等级。恶意软件可能试图隐藏对计 算设备的信任等级产生负面影响的事件(例如,越狱)并且将该计算设备的信任等级误表 不为局。
【专利附图】
【附图说明】
[0003] 通过示例而非限制的方式在附图中示出了本公开中所描述的概念。为了说明的简 洁和清楚,附图中所示出的元件并不一定是按比例绘制的。例如,为了清楚,可W将一些元 件的尺寸相对于其它元件放大。此外,在认为适当的情况下,在附图之间重复附图标记W表 明相对应的或类似的元件。
[0004] 图1是用于使用持久信任日志来监测并断言计算设备的信任等级的系统的至少 一个实施例的简化框图;
[0005] 图2是图1中的系统的环境的至少一个实施例的简化框图;
[0006] 图3是用于监测计算设备(例如,图1中的计算设备)的信任等级的方法的至少 一个实施例的简化流程图;
[0007] 图4是用于断言计算设备(例如,图1中的计算设备)的信任等级的方法的至少 一个实施例的简化流程图。
【具体实施方式】
[0008] 尽管本公开的概念易于各种修改和替代形式,但是本公开的特定实施例已经W示 例的方式在附图中示出并且将在本文中具体描述。然而,应当理解的是,并不是要将本公开 的概念限制于所公开的特定形式,但相反,目的在于覆盖与本公开和所附权利要求相一致 的所有修改、等效物、和替代物。
[0009] 在W下描述中,阐述了许多具体细节,例如逻辑实施、操作码、用于指定操作数的 模块、资源分割/共享/重复实施、系统组件的类型和相互关系、W及逻辑分割/整合选择 W便提供对本公开更透彻的理解。然而,本领域技术人员将会理解的是,可W实践本公开的 实施例而无需该样的具体细节。在其它实例中,并没有详细示出控制结构、n级电路、和完 整的软件指令序列W便不模糊对本文中所描述的概念的描述。有了所包括的描述,本领域 普通技术人员将能够实现适当的功能而无需过度的实验。
[0010] 在说明书中提及的"一个实施例"、"实施例"、"示例实施例"等表明所描述的实施 例可W包括特定的特征、结构、或特性,但是每个实施例可能并不一定包括该特定的特征、 结构、或特性。另外,该些短语并不一定指代相同的实施例。此外,当关于实施例描述特定 的特征、结构、或特性时,所主张的是,无论是否明确描述,关于其它实施例来实现该样的特 征、结构、或特性是在本领域技术人员的知识范围内的。
[0011] 可WW硬件、固件、软件、或其任意组合来实现本文中所描述的概念的实施例。W 计算设备实现的实施例可W包括组件之间的一个或多个点对点或基于总线的互连。本文中 所描述的概念的实施例还可W被实现为由一个或多个机器可读或计算机可读存储介质所 携带的或存储在一个或多个机器可读或计算机可读存储介质上的指令,所述指令可W被一 个或多个处理器或控制器读取并执行。机器可读或计算机可读存储介质可W被实现为用于 W由机器(例如,计算设备)可读的形式来存储或传输信息的任何设备、机械装置、或物理 结构。例如,机器可读或计算机可读存储介质可W被实现为只读存储器(ROM)设备;随机存 取存储器(RAM)设备;磁盘存储介质;光学存储介质;闪速存储器设备;小或微型SD卡、记 忆棒等。
[0012] 在附图中,可W为了易于描述而示出示意元件(例如,那些表示设备、模块、指令 块和数据元素)的详细布置或顺序。然而,本领域技术人员应当理解的是,附图中的示意元 件的详细顺序或布置并不是要暗示要求了特定的处理顺序或次序、或过程的分离。此外, 在附图中包括示意元件并不是要暗示在所有实施例中都要求该样的元件,或并不是要暗示 在一些实施例中,由该样的元件所表示的特征不能被包括在其它元件中或与其它元件相组 厶 口 O
[0013] 总得来说,可W使用任何适当形式的机器可读指令来实现用于表示指令块的示意 元件,其中所述任何适当形式的机器可读指令可W是例如,软件或固件应用、程序、函数、模 块、例程、过程、步骤、插件、小程序、小工具、代码段和/或其它,并且每个该样的指令可W 使用任何适当的编程语言、库、应用程序接口(API)、和/或其它软件开发工具来实现。例 女口,可W使用Java、C++、和/或其它编程语言来实现一些实施例。类似地,可W使用任何 适当的电子布置和结构,例如寄存器、数据存储、表、记录、阵列、索引、散列、映射、树、列表、 图、(任何文件类型的)文件、文件夹、目录、数据库和/或其它来实现用于表示数据或信息 的示意元件。
[0014] 此外,在附图中,诸如实线或虚线或箭头该样的连接元素用于示出两个或更多其 它示意元件之间的连接、关系或关联,缺少任何该样的连接元素并不是要暗示不能存在连 接、关系或关联。也就是说,在一些实施例中,可能并没有在附图中示出元件之间的关系或 关联W便不模糊本公开。另外,为了便于说明,单个连接元素可W用于表示元件之间的多个 连接、关系或关联。例如,在连接元素表示信号、数据或指令的通信时,本领域技术人员应当 理解该样的元素可W表示可能需要的一个或多个信号路径(例如,总线)W实现该通信。
[0015] 本公开涉及用于使用持久信任日志来监测并断言信任等级来设备、系统和方法。 如在本文中所使用的,术语"持久"是指即使当用新的软件找重新映像计算设备时仍然被保 持的数据。当前公开的设备、系统、和方法利用计算设备的安全引擎(例如,安全控制器) 通过在持久信任日志中存储与影响信任等级的事件相关的数据来监测该计算设备的信任 等级。安全引擎和持久信任日志的使用有利地提供了防篡改机制W用于监测计算设备的信 任等级,该信任等级可W不被低级恶意软件(例如,内核模式根程序病毒包(rootkit))或 软件重映像所操纵。
[0016] 当前公开的设备、系统、和方法还可W利用安全引擎和持久信任日志W在外部服 务请求时断言计算设备的信任等级。通过分析存储在持久信任日志中的数据,安全引擎可 W生成信任评估,其可W被外部服务用作针对允许计算设备参与各种活动和/或事物的决 策准则。有利地,由安全引擎所生成的信任评估可W响应于由外部服务所提供的一个或多 个标准。此外,由安全引擎所生成的信任评估可W提供安全机制W用于断言计算设备的信 任等级而无需向外部服务透露信任评估之下的事件(即,存储在持久信任日志中的数据), 从隐私和/或安全的角度来说,该事件可能是敏感的。
[0017] 现在参考图1,用于使用持久信任日志来监测并断言计算设备102的信任等级的 系统100的一个示例性实施例被示出为简化框图。系统100包括计算设备102、一个或多个 服务器104、W及将计算设备102与一个或多个服务器104通信地禪合的网络106。可W设 想的是,计算设备102可W与作为系统100 -部分的任意数量的服务器104进行通信。在一 些实施例中,计算设备102与一个或多个服务器104可W相互远离(例如,位于不同房间、 建筑、城市、州、或国家)。网络106可W被实现为任意类型的有线和/或无线网络例如,局 域网、广域网、公开可用的全球网络(例如,互联网)、或其它网络。网络106可W包括任意 数量的额外设备(例如,路由器、交换机、中间计算机等)W促成计算设备102与一个或多 个服务器104之间的通信。
[0018] 计算设备102可W被实现为能够执行本文中所描述的功能的任意类型的电子设 备。通过示例的方式,计算设备102可W被实现为个人计算机、工作站、膝上型计算机、手持 计算机、移动互联网设备、蜂窝电话、个人数字助理、电话设备、网络设备、虚拟化设备、存储 器控制器、或其它基于计算机的设备。在图1中所示的示例性实施例中,计算设备102包括 处理器110、输入/输出(I/O)子系统112、系统存储器114、通信电路116、安全控制器118、 W及专用存储器120。如图1中的虚框图所示,计算设备102还可W可选地包括一个或多个 数据存储设备122 W及一个或多个外围设备124。将会理解的是,在一些实施例中,计算设 备102可W不包括所有的前述组件。此外,应当理解的是,计算设备102可W包括其它计算 机和/或计算设备中常见的组件、子组件、和设备,其中,为了本描述清楚的目的未在图1中 示出该些组件和设备。
[0019] 计算设备102的处理器110可W是能够执行软件/固件的任意类型的处理器,例 如微处理器,数字信号处理器、微控制器等。处理器110起到计算设备102的主处理器(或 中央处理单元)的作用并且一般负责执行软件找,其可W包括主机操作系统W及驻留于计 算设备102上的各种应用、程序、库、和驱动器。如图1中所示,处理器110被示例性地实现 为具有处理器内核126的单核处理器。然而,在其它实施例中,处理器110可W被实现为具 有多个处理器内核126的多核处理器。此外,计算设备102可W包括具有一个或多个处理 器内核126的额外处理器110。
[0020] 处理器110经由多个信号路径被通信地禪合到I/O子系统112。该些信号路径(W 及图1中示出的其它信号路径)可W被实现为能够促成计算设备102的组件之间的通信的 任何类型的信号路径。例如,信号路径可W被实现为任意数量的导线、电缆、光导管、印刷电 路板迹线、通孔、总线、中间设备、和/或其它。计算设备102的I/O子系统112可W被实施 为用于促成与处理器110和/或计算设备102的其它组件的输入/输出操作的电路和/或 组件。在一些实施例中,I/O子系统112可W被实现为存储器控制器中枢(MCH或"北桥")、 输入/输出控制器中枢(IC或"南桥")、W及固件设备。在其它实施例中,可W使用具有其 它配置的I/O子系统。例如,在一些实施例中,I/O子系统112可W被实现为平台控制器中 枢(PCH)D在该样的实施例中,存储器控制器中枢(MCH)可W被并入到处理器110或另外与 处理器110相关联,并且处理器110可W与系统存储器114(如在图1中W虚线所示的)直 接通信。在又一个实施例中,I/O子系统112可W构成片上系统(SoC)的一部分并且可W 与处理器110和计算设备102的其它组件一起被包含在单个集成电路芯片上。
[0021] 计算设备102的系统存储器114还可W经由多个信号路径被通信地禪合到I/O子 系统112。系统存储器114可W被实现为一个或多个存储器设备或数据存储位置,其包括例 女口,动态随机存取存储器设备值RAM)、同步动态随机存取存储器设备(SDRAM)、双倍数据速 率同步动态随机存取存储器设备值DR SDRAM)、闪速存储器设备、和/或其它易失性存储器 设备。另外,尽管在图1中仅示出了单个系统存储器设备114,但是在其它实施例中,计算设 备102可W包括额外的系统存储器设备。在一些实施例中,系统存储器114可W被利用为 可被计算设备102的额外处理器(例如,W示例的方式示出的安全控制器118)访问的共享 存储器。
[0022] 计算设备102的通信电路116可W被实现为用于使能计算设备102与网络106之 间的通信的任意类型的设备和电路。通信电路116可W包括用于促成通过网络106的有线 和/或无线部的通信的一个或多个有线和/或无线网络接口。通信电路116经由多个信号 路径被通信地禪合到I/O子系统112。
[0023] 计算设备102还包括安全控制器118,其不同于处理器110并且可W独立于处理器 110而运行。安全控制器118可W被实现为能够执行软件/固件的任意类型的处理器(例 如微处理器、数字信号处理器、微控制器等),其包括具有一个或多个处理器内核(未示出) 的一个或多个处理器。在图1的示例性实施例中,安全控制器118被实现为经由多个信号 路径被通信地禪合到I/O子系统112的一个或多个单独的集成电路。在其它实施例中,安 全控制器118可W被集成到I/O子系统112中。安全控制器118可W经由I/O子系统112 与计算设备102的各个组件通信。额外地或替代地,如图1中的虚框图所示,安全控制器 118可W经由多个信号路径与计算设备102的各个组件(例如,系统存储器114和通信电路 116)独立地通信。在示例性实施例中,安全控制器118还被通信地禪合到仅可由安全控制 器118访问的专用存储器120。在一些实施例中,专用存储器120可W被包括在安全控制器 118 中。
[0024] 安全控制器118可W被配置为用于不考虑处理器110或计算设备102的主机操作 系统的操作状态而管理计算设备102的特定功能。为了促成该样的独立操作,安全控制器 118可W具有到计算设备102的电源电路(未示出)的独立连接,该允许即使在计算设备 102的其它组件都断电或被关闭时,安全控制器118仍然保持电力。此外,安全控制器118可 W具有经由通信电路116(其也具有到电源电路的独立连接(未示出))的一个或多个独立 网络接口,该允许通过网络106的带外通信。也就是说,无论具有或不具有在处理器110上 执行的主机操作系统,安全控制器118能够与网络106上的设备(例如,一个或多个服务器 104)直接通信。概括起来,无论处理器是否被关闭、在待机状态下运行、正在被初始化、或在 进行常规操作,W及无论主机操作系统是否正在启动、正在运行、已崩溃、或其它,安全控制 器118可W基于传入的请求/命令而智能地运行并跨网络106进行通信。在一些示例性实 施例中,可 W使用IrUeI"管理引擎(可从 Santa Clara, California 的 Intel Coloration 购买和/或在Intel Co巧oration所出售的芯片组内)来实现安全控制器118。
[00巧]在一些实施例中,计算设备102可W可选地包括一个或多个数据存储设备122。数 据存储设备122可W被实现为被配置为用于短期或长期数据存储的任意类型的设备,诸如 例如存储器设备和电路、存储卡、硬盘驱动器、固态硬盘驱动器、或其它数据存储设备。每个 数据存储设备122可W经由多个数据路径被通信地禪合到1/0子系统112,该允许1/0子系 统112接收来自数据存储设备122的输入并向数据存储设备122发送输出。
[0026] 计算设备102还可W可选地包括一个或多个外围设备124。外围设备124可W示 例性地包括显示器、触摸板、触摸屏、键盘、鼠标、麦克风、和/或一个或多个外部扬声器、W 及其它外围设备。计算设备102的外围设备124中所包含的设备的特定数量和类型可W依 据例如,计算设备102 (例如,台式计算设备或移动计算设备)的预期用途。每个外围设备 124可W经由多个信号路径被通信地禪合到1/0子系统112,该允许1/0子系统112接收来 自外围设备124的输入并向外围设备124发送输出。
[0027] 现在参考图2,系统100的环境200的一个示例性实施例被示出为简化的框图。如 上文所讨论的,系统100包括经由网络106被通信地互相禪合的计算设备102 W及一个或 多个服务器104。计算设备102包括主机操作系统202 (在处理器110上执行)、安全引擎 204、W及持久信任日志206。一个或多个服务器104可W包括由计算设备102所利用的外 部服务208、信任简档210、W及在一些实施例中,信任等级数据库212。外部服务208、信任 简档210、W及信任等级数据库212可W驻留于同一个服务器104上或驻留于多个服务器 104 (其包括但不限于在一个服务器104上被执行的外部服务208、被存储在另一个服务器 104上的信任简档210、W及被存储在又一个服务器104上信任等级数据库212)上。
[0028] 计算设备102的安全引擎204可W被实现为任意数量的硬件组件、固件组件、和/ 或软件组件。例如,在一些示例性实施例中(例如图1中所示),安全引擎204可W被实现 为计算设备102的安全控制器118 (例如,微处理器、数字信号处理器、微控制器等)。在其 它示例性实施例中,安全引擎204可W被实现为被计算设备102的处理器110和/或1/0 子系统112执行为安全执行环境的一个或多个固件和/或软件模块。如图2所示,计算设 备102的安全引擎204可W通过经由主机操作系统202而发送和接收数据来通过网络106 与一个或多个服务器104通信。在一些实施例中,安全引擎204可W额外地或替代地使用 带外通信通过网络106来与一个或多个服务器104通信(如图2中的虚框图所表明)。如 将在下文中参考图3和4而进一步描述的,安全引擎204可W运行W监测和/或断言计算 设备102的信任等级。
[0029] 计算设备102进一步包括持久信任日志206,可W使用任何适当的电子数据结构 或排列来实现持久信任日志206,所述适当的电子数据结构或排列可W是例如,寄存器、数 据存储、表、记录、阵列、索引、散列、映射、树、列表、图、(任何文件类型的)文件、文件夹、目 录、数据库等。在示例性实施例中,持久信任日志206包括关于影响了计算设备102的信任 等级的历史事件的数据。通过示例的方式,持久信任日志206可W包括关于W下内容的数 据:安装在计算设备102上的应用程序、计算设备102所连接到的网络106,计算设备102所 访问的网站、W及在计算设备102上执行的或使用计算设备102来执行的其它动作(例如, "越狱")。如将在下文中参考图3进一步描述的,安全引擎204可W向持久信任日志206写 入关于该些事件的数据。在一些实施例中,存储在持久信任日志206中的数据仅可W被安 全引擎204修改。例如,持久信任日志206可W被存储在仅可由安全引擎204访问的专用 存储器120中。在其它实施例中,持久信任日志206可W被存储在仅可由安全引擎204来 写入的系统存储器114(或数据存储设备122)的一部分上。
[0030] 计算设备102的主机操作系统202 (或运行于其上的应用程序)可W寻求与在一 个或多个服务器104上执行的外部服务208进行交互。通过示例性示例的方式,主机操作 系统202可W从企业权限管理服务208来请求数据(例如,公司记录)。在允许访问任何 敏感数据之前,外部服务208可W期望访问计算设备102的信任等级。如将在下文中参考 图4而进一步描述的,外部服务208可W与安全引擎204进行交互W获取表示计算设备102 的信任等级的信任评估。在一些实施例中,外部服务208可W向安全引擎204提供包括了 用于生成信任评估的一个或多个标准(例如,计算设备102是否曾经被"越狱")的信任简 档210。信任简档210可W包括针对请求该信任评估的外部服务208的标准。在其它实施 例中,信任简档210可W包括针对外部服务208的类型的行业标准的标准(例如,银行业信 任简档210包括关于计算设备102参与金融事务所需的信任等级的一个或多个标准)。在 一些实施例中,一个或多个服务器104还可W存储可由安全引擎204 (通过网络106)访问 的信任等级数据库212。信任等级数据库212可由包括关于一个或多个事件可能会如何影 响计算设备102的信任等级(例如,安装特定的应用程序对计算设备102的信任等级的影 响)的信息。
[0031] 现在参考图3,用于监测计算设备102的信任等级的方法300的一个示例性实施 例被示为简化流程图。在该示例性实施例中,可W由计算设备102的安全引擎204接合计 算设备102的一个或多个其它组件来执行方法300。方法300被示出为图3中的多个块 302-310。可W可选地在方法300的一些实施例中采用块306-310,并且因此在图3中W虚 线框来表不块306-310。
[0032] 方法300开始于块302,在该块中,安全引擎204检测影响了计算设备102的信任 等级的事件。通过示例性示例的方式,在块302中,安全引擎可W检测已经被安装在计算设 备102上的特定应用程序、计算设备102已连接到的特定网络106、计算设备102已访问的 特定网站、或者在计算设备102上执行的或使用计算设备102来执行的一些其它动作(例 如,"越狱")。在一些实施例中,安全引擎204可W主动地监测计算设备102的其它组件(例 女口,主机操作系统202、通信电路116等)并且直接检测影响计算设备102的信任等级的事 件。还可W设想的是,在块302中,可W由计算设备102的另一个部件来通知安全引擎204 该样的事件。
[0033] 在块302之后,方法300进行到块304,在该块中,安全引擎204向持久信任日志 206写入与在块302中检测到的事件有关的数据。例如,安全引擎204可W向持久信任日 志206写入关于事件类型的数据("安装了应用程序X"、"连接到网络Y"、"访问了危险网 站Z"、"检测到越狱"等)、该事件的日期和时间、和/或关于该事件的其它信息。每次在块 302中检测到影响计算设备102的信任等级的事件时,都可W执行块304。由此,持久信任 日志206包括影响了计算设备102的信任等级的历史事件。
[0034] 在一些实施例中,方法300的块304可W包含块306,其中安全引擎204使用私钥 对写入到持久信任日志206的数据进行数字签名。该私钥只对安全引擎204已知,并且因 此块306提供了用于之后确认存储在持久信任日志206中的数据的真实性的机制(即,用 于之后确认存储在持久信任日志206中的数据是否由安全引擎204来写入到持久信任日志 206中的机制)。在其它实施例中,方法300的块304可W包含块308,其中安全引擎204使 用私钥对写入到持久信任日志206的数据进行加密。再一次,该私钥只对安全引擎204已 知,并且因此块308防止计算设备102的其它组件能够读取存储在持久信任日志206中的 数据。
[00巧]在块304之后,方法300可W可选地进行到块310,其中安全引擎204压缩持久信 任日志206。该压缩可W允许安全引擎204限制在设备的生命周期内持久信任日志206所 需的存储空间的量。安全引擎204可W通过用概括了持久信任日志206中的数据的一部分 的变量来替换该数据的该部分,从而压缩持久信任日志206。在一些实施例中,该变量可W 是表示所概括的数据的总体信任等级的定量值(例如,1-10)。在其它实施例中,该变量可 W是表示所概括的数据的总体信任等级的定量描述符(例如,高、中、低)。通过示例性示例 的方式,安全引擎204可W保持之前六个月的完整详细数据,同时将所有的更老的数据概 括为总体信任等级变量。将会理解的是,在采用了块310的情况下,可W根据需要频繁地或 不频繁地执行块310 W期望限制存储持久信任日志206所需的存储空间的量。
[0036] 现在参考图4,用于断言计算设备102的信任等级的方法400的一个示例性实施 例被示为简化流程图。在该示例性实施例中,可W由计算设备102的安全引擎204 W及计 算设备102的一个或多个其它组件来执行方法400。方法400被示出为图4中的多个块 402-420。可W可选地在方法400的一些实施例中采用块404-408 W及块412-418,并且因 此在图4中W虚线框来表示块404-408 W及块412-418。
[0037] 方法400开始于块402,在该块中,安全引擎204接收源自外部服务208的信任评 估请求。如上文所讨论的,外部服务208可能期望在允许计算设备102使用外部服务208 来执行一些活动和/或事物之前先评估计算设备102的信任等级。在一些情况下,外部服 务208可W直接或经由主机操作系统202来向安全引擎204传输信任评估请求。在一些实 施例中,块402可W包含块404,其中安全引擎204从外部服务208接收信任简档210, W及 信任评估请求。信任简档210可W包括在生成信任评估时由安全引擎204所使用的一个或 多个标准。在一些实施例中,块402还可W包含块406,其中安全引擎204从外部服务208 接收身份凭证,W及信任评估请求。该身份凭证可W被安全引擎204使用W确认请求信任 评估的外部服务208的身份。
[0038] 在块402之后,方法400可W可选地进行到块408,其中,安全引擎204确定是否响 应在块402中接收到的信任评估请求。在块408的一些实施例中,安全引擎204可W评价 在块406中接收到的身份凭证W确定是否响应信任评估请求。例如,如果安全引擎204并 不信任外部服务208 (或另外不希望向外部服务208提供信任评估),则可W在块408中中 止方法400。在块408的其它实施例中,安全引擎204可W评价向外部服务208提供信任评 估是否会(W不期望的方式)掲示影响了计算设备102的信任等级的历史事件。例如,女口 果使用在块404中接收到的信任简档210而生成信任评估会危及计算设备102的用户的因 此或安全,则方法400可W在块408中中止。可W设想的是,可W在向外部服务208传输信 任评估(即,方法400的块420)之前(包括在块410中生成信任评估之后)的任何时间由 安全引擎204来可选地执行块408。
[0039] 在块402之后(或者在采用了块408的情况下,在块408之后),方法400进行到 块410,其中安全引擎204通过分析存储在持久信任日志206中的数据而生成信任评估。在 块410期间,安全引擎204可W将存储在持久信任日志206中的数据映射到定义信任评估 的标准。在该示例性实施例中,安全引擎204生成表示计算设备102的信任等级但不掲示影 响了计算设备102的信任等级的特定历史事件的信任评估。例如,在块410中生成的信任评 估可W是表示计算设备102的总体信任等级的定量值(例如,1-10)。在其它实施例中,在 块410中生成的信任评估可W是表示计算设备102的总体信任等级的定量描述符(例如, 高、中、低)。如在下文中所描述的,当在块410中生成信任评估时,安全引擎204可W执行 块412-416中的一个或多个。
[0040] 在一些实施例中,方法400的块410可W包含块412,其中安全引擎204评价数字 签名W确定数据是否被安全引擎204写入到持久信任日志206。如上文所讨论的,当使用私 钥向持久信任日志206写入数据(方法300的块304中)时,安全引擎204可W使用私钥 对数据进行数据签名(或加密)。在方法400的块412中,安全引擎204可W使用该私钥来 评价存储在持久信任日志206中的数据上的数字签名。如果数字签名对应于安全引擎204 的私钥(在适当的处理之后),则安全引擎204可W确认存储在持久信任日志206中的数据 实际上是由安全引擎204写入到该持久信任日志206中。
[0041] 在其它实施例中,方法400的块410可W包含块414,其中安全引擎204使用从发 起信任评估请求的外部服务208接收到的信任简档210中所包含的一个或多个标准,来评 价存储在持久信任日志206中的数据。如上文所讨论的,块410可W包含安全引擎204,其 将存储在持久信任日志206中的数据映射到定义信任评估的标准。在块404中从外部服务 208接收到信任简档210的情况下,包含在信任简档210中的一个或多个标准可W被用作 在块410中用于分析存储在持久信任日志206中的数据的标准。块414可W允许外部服务 208经由信任简档210来指明对于特定的信任评估请求,什么事件应当被认为是重要的。
[0042] 在又一个实施例中,方法400的块410可W包含块416,其中,安全引擎204可W从 外部数据库212取回关于历史事件中的一个或多个如何影响了计算设备102的信任等级的 信息。在块416期间,安全引擎204可W设置与信任等级数据库212的安全链路W分析记 录在持久信任日志206中的特定事件应当如何影响在块410中生成的信任评估。例如,信 任等级数据库212可W包括关于各个应用程序、网络、和网站的可信度的最新信息。
[0043] 在块410之后,方法400可W可选地进行到块418,其中安全引擎204对信任评估 进行数字签名。在一些实施例中,在块418中,安全引擎204可W用时间戳来对信任评估进 行数字签名W确保在之后的时间点上该信任评估不被用于表示计算设备102的信任等级, 其中在该时间点上,该信任评估可能不准确。在其它实施例中,在块418中,安全引擎204 可W用匿名认证凭证(例如,增强隐私ID)来对信任评估进行数字签名W证明该信任评估 由安全引擎204生成,而不掲示计算设备102的用户的身份。
[0044] 在块410之后(或者在采用了块418的情况下,在块418之后),方法400进行到 块410,其中安全引擎204向发起信任评估请求的外部服务208传输信任评估。在块418中 对该信任评估进行了数字签名的情况下,外部服务208可W使用该信息来确认该信任评估 的真实性。接着,外部服务208可W使用信任评估来确定是否允许计算设备102使用外部 服务208来执行一些活动和/或事物。
[0045] 示例
[0046] 在下文中提供了本文中所公开的设备、系统、和方法的示例性示例。设备、系统、和 方法的实施例可W包括下文中所描述的示例中的一个或多个及其任意组合。
[0047] 在一个示例中,具有信任等级的计算设备包括;存储器,其具有存储于其中的持久 信任日志,所述持久信任日志包括与影响所述计算设备的所述信任等级的历史事件有关的 数据,W及安全控制器,其被配置为检测影响了所述计算设备的所述信任等级的事件并向 所述持久信任日志写入与所述事件有关的数据。
[0048] 在示例中,存储在所述持久信任日志中的数据仅可W被所述安全控制器修改。在 示例中,所述存储器可W是仅可由所述安全控制器访问的专用存储器设备。在示例中,所述 安全控制器可W进一步被配置为在向所述持久信任日志写入所述与所述事件有关的数据 时,使用私钥对所述与所述事件有关的数据进行数字签名。在示例中,所述安全控制器可W 进一步被配置为在向所述持久信任日志写入所述与所述事件有关的数据时,使用私钥对所 述与所述事件有关的数据进行加密。在示例中,安全控制器可W进一步被配置为通过用概 括了所述与影响所述计算设备的所述信任等级的历史事件有关的数据的一部分的变量来 替换所述数据的所述部分,W压缩所述持久信任日志。
[0049] 在示例中,所述安全控制器可W进一步被配置为响应于接收到信任评估请求,分 析存储在所述持久信任日志中的数据W生成信任评估。在示例中,信任评估可W不掲示所 述影响所述计算设备的所述信任等级的历史事件。在示例中,所述安全控制器可W被配置 为至少部分地通过评价数字签名而确定存储在所述持久信任日志中的数据是否被所述安 全控制器写入到所述持久信任日志,W分析所述存储在所述持久信任日志中的数据。在示 例中,所述安全控制器可W被配置为至少部分地通过使用随所述信任评估请求而接收到的 信任简档中所包含的一个或多个标准来评价所述存储在所述持久信任日志中的数据,W分 析所述存储在所述持久信任日志中的数据。在示例中,所述安全控制器可W被配置为至少 部分地通过从外部数据库取回关于所述历史事件中的一个或多个历史事件如何影响所述 计算设备的所述信任等级的信息,W分析所述存储在所述持久信任日志中的数据。
[0050] 在示例中,所述安全控制器可W进一步被配置为通过评价所述信任评估是否会掲 示所述影响所述计算设备的所述信任等级的历史事件,W确定是否响应所述信任评估请 求。在示例中,安全控制器可W进一步被配置为通过评价随所述信任评估请求接收到的身 份凭证,W确定是否响应所述信任评估请求。在示例中,所述安全控制器可W进一步被配置 为在传输所述信任评估之前,用时间戳来对所述信任评估进行数字签名。在示例中,所述安 全控制器可W进一步被配置为在传输所述信任评估之前,用匿名认证凭证来对所述信任评 估进行数字签名。
[0051] 在另一个示例中,用于断言计算设备的信任等级的方法可W包括;接收源自外部 服务的信任评估请求,使用所述计算设备的安全引擎,通过分析存储在持久信任日志中的 数据而生成信任评估,并且向发起所述信任评估请求的所述外部服务传输所述信任评估。
[0052] 在示例中,所述存储在所述持久信任日志中的数据仅可由所述安全引擎修改。在 示例中,分析所述存储在所述持久信任日志中的数据可W包括:评价数字签名W确定所述 存储在所述持久信任日志中的数据是否被所述安全引擎写入到所述持久信任日志。在示例 中,分析所述存储在所述持久信任日志中的数据可W包括:使用从发起所述信任评估请求 的所述外部服务接收到的信任简档中所包含的一个或多个标准,而评价所述存储在所述持 久信任日志中的数据。
[0053] 在示例中,所述存储在所述持久信任日志中的数据可W与影响所述计算设备的所 述信任等级的历史事件有关。在示例中,分析所述存储在所述持久信任日志中的数据可W 包括;从外部数据库取回关于所述历史事件中的一个或多个历史事件如何影响所述计算设 备的所述信任等级的信息。在示例中,使用所述安全引擎来生成所述信任评估可W包括:生 成并不掲示所述影响所述计算设备的所述信任等级的历史事件的信任评估。
[0054] 在示例中,所述方法可W进一步包括;在向发起所述信任评估请求的所述外部服 务传输所述信任评估之前,通过评价所述信任评估是否会掲示所述影响所述计算设备的所 述信任等级的历史事件,W确定是否响应所述信任评估请求。在示例中,所述方法可W进一 步包括:在向发起所述信任评估请求的所述外部服务传输所述信任评估之前,通过评价从 发起所述信任评估请求的所述外部服务接收到的身份凭证,来确定是否响应所述信任评估 请求。
[0055] 在示例中,使用所述安全引擎来生成所述信任评估可W包括;在向发起所述信任 评估请求的所述外部服务传输所述信任评估之前,用时间戳来对所述信任评估进行数字签 名。在示例中,使用所述安全引擎来生成所述信任评估可W包括;在向发起所述信任评估请 求的所述外部服务传输所述信任评估之前,用匿名认证凭证来对所述信任评估进行数字签 名。
[0056] 在又一个示例中,用于监测计算设备的信任等级的方法可W包括;检测影响所述 计算设备的所述信任等级的事件,并且使用所述计算设备的安全引擎向持久信任日志写入 与所述事件有关的数据。
[0057] 在示例中,存储在所述持久信任日志中的数据仅可由所述安全引擎修改。在示例 中,向所述持久信任日志写入所述与所述事件有关的数据可W包括:使用所述安全引擎的 私钥对所述与所述事件有关的数据进行数字签名。在示例中,向所述持久信任日志写入所 述与所述事件有关的数据可W包括:使用所述安全引擎的私钥对所述与所述事件有关的数 据进行加密。在示例中,所述持久信任日志可W包括:与影响所述计算设备的所述信任等级 的历史事件有关的数据。在示例中,所述方法可W进一步包括:通过用概括了所述与影响所 述计算设备的所述信任等级的历史事件有关的数据的一部分的变量来替换所述数据的所 述部分,W压缩所述持久信任日志。在示例中,所述方法可W进一步包括:使用上文所述的 任意方法来断言所述计算设备的所述信任等级。
[0058] 在一个示例中,具有信任等级的计算设备可W包括;安全引擎W及具有存储于其 中的多个指令的存储器,当所述指令被所述安全引擎执行时,使得所述计算设备执行上文 所述的任意方法。
[0059] 在另一个示例中,一个或多个机器可读存储介质可W包括;存储于其上的多个指 令,响应于所述指令被执行,导致计算设备执行上文所述的任意方法。
[0060] 尽管在附图和前述描述中详细示出和描述了本公开的概念,但是该样的示出和描 述的特性应当被认为是示例性的而非限制性的,能理解的是,期望保护的是已经示出并描 述的仅仅是示例性的实施例W及与本公开和所陈述的权利要求相一致的所有变化和修改。
【权利要求】
1. 一种具有信任等级的计算设备,所述计算设备包括: 存储器,其具有存储于其中的持久信任日志,所述持久信任日志包括与影响所述计算 设备的所述信任等级的历史事件有关的数据;以及 安全控制器,其被配置为检测影响所述计算设备的所述信任等级的事件并向所述持久 信任日志写入与所述事件有关的数据。
2. 根据权利要求1所述的计算设备,其中,存储在所述持久信任日志中的数据仅能由 所述安全控制器修改。
3. 根据权利要求2所述的计算设备,其中,所述存储器是仅能由所述安全控制器访问 的专用存储器设备。
4. 根据权利要求1所述的计算设备,其中,所述安全控制器进一步被配置为在向所述 持久信任日志写入与所述事件有关的数据时,使用私钥对与所述事件有关的所述数据进行 数字签名。
5. 根据权利要求1所述的计算设备,其中,所述安全控制器进一步被配置为在向所述 持久信任日志写入与所述事件有关的数据时,使用私钥对与所述事件有关的所述数据进行 加密。
6. 根据权利要求1所述的计算设备,其中,所述安全控制器进一步被配置为通过用概 括了与影响所述计算设备的所述信任等级的历史事件有关的所述数据的一部分的变量来 替换所述数据的所述部分,以压缩所述持久信任日志。
7. 根据权利要求1-6中的任意一项所述的计算设备,其中,所述安全控制器进一步被 配置为响应于接收到信任评估请求,分析存储在所述持久信任日志中的数据以生成信任评 估。
8. 根据权利要求7所述的计算设备,其中,所述信任评估不揭示影响所述计算设备的 所述信任等级的所述历史事件。
9. 根据权利要求7所述的计算设备,其中,所述安全控制器被配置为至少部分地通过 评价数字签名而确定存储在所述持久信任日志中的所述数据是否被所述安全控制器写入 到所述持久信任日志,来分析存储在所述持久信任日志中的所述数据。
10. 根据权利要求7所述的计算设备,其中,所述安全控制器被配置为至少部分地通过 使用随所述信任评估请求而接收到的信任简档中所包含的一个或多个标准来评价存储在 所述持久信任日志中的所述数据,来分析存储在所述持久信任日志中的所述数据。
11. 根据权利要求7所述的计算设备,其中,所述安全控制器被配置为至少部分地通过 从外部数据库取回关于所述历史事件中的一个或多个历史事件如何影响所述计算设备的 所述信任等级的信息,来分析存储在所述持久信任日志中的所述数据。
12. 根据权利要求7所述的计算设备,其中,所述安全控制器进一步被配置为通过评价 所述信任评估是否会揭示影响所述计算设备的所述信任等级的所述历史事件,来确定是否 响应所述任评估请求。
13. 根据权利要求7所述的计算设备,其中,所述安全控制器进一步被配置为通过评价 随所述信任评估请求接收到的身份凭证,来确定是否响应所述信任评估请求。
14. 根据权利要求7所述的计算设备,其中,所述安全控制器进一步被配置为在传输所 述信任评估之前,用时间戳来对所述信任评估进行数字签名。
15. 根据权利要求7所述的计算设备,其中,所述安全控制器进一步被配置为在传输所 述信任评估之前,用匿名认证凭证来对所述信任评估进行数字签名。
16. -种用于断言计算设备的信任等级的方法,所述方法包括: 接收源自外部服务的信任评估请求; 使用所述计算设备的安全引擎,通过分析存储在持久信任日志中的数据而生成信任评 估;并且 向发起所述信任评估请求的所述外部服务传输所述信任评估。
17. 根据权利要求16所述的方法,其中,存储在所述持久信任日志中的所述数据仅能 由所述安全引擎修改。
18. 根据权利要求16所述的方法,其中,分析存储在所述持久信任日志中的所述数据 包括:评价数字签名以确定存储在所述持久信任日志中的所述数据是否被所述安全引擎写 入到所述持久信任日志。
19. 根据权利要求16所述的方法,其中,分析存储在所述持久信任日志中的所述数据 包括:使用从发起所述信任评估请求的所述外部服务接收到的信任简档中所包含的一个或 多个标准,来评价存储在所述持久信任日志中的所述数据。
20. 根据权利要求16所述的方法,其中,存储在所述持久信任日志中的所述数据与影 响所述计算设备的所述信任等级的历史事件有关。
21. 根据权利要求20所述的方法,其中,分析存储在所述持久信任日志中的所述数据 包括:从外部数据库取回关于所述历史事件中的一个或多个历史事件如何影响所述计算设 备的所述信任等级的信息。
22. 根据权利要求20所述的方法,其中,使用所述安全引擎来生成所述信任评估包括: 生成并不揭示影响所述计算设备的所述信任等级的历史事件的信任评估。
23. 根据权利要求20所述的方法,进一步包括:在向发起所述信任评估请求的所述外 部服务传输所述信任评估之前,通过评价所述信任评估是否会揭示影响所述计算设备的所 述信任等级的历史事件,来确定是否响应所述信任评估请求。
24. 根据权利要求16所述的方法,进一步包括:在向发起所述信任评估请求的所述外 部服务传输所述信任评估之前,通过评价从发起所述信任评估请求的所述外部服务接收到 的身份凭证,来确定是否响应所述信任评估请求。
25. 根据权利要求16所述的方法,其中,使用所述安全引擎来生成所述信任评估包括: 在向发起所述信任评估请求的所述外部服务传输所述信任评估之前,用时间戳来对所述信 任评估进行数字签名。
26. 根据权利要求16所述的方法,其中,使用所述安全引擎来生成所述信任评估包括: 在向发起所述信任评估请求的所述外部服务传输所述信任评估之前,用匿名认证凭证来对 所述信任评估进行数字签名。
27. -种用于监测计算设备的信任等级的方法,所述方法包括: 检测影响所述计算设备的所述信任等级的事件;并且 使用所述计算设备的安全引擎向持久信任日志写入与所述事件有关的数据。
28. 根据权利要求27所述的方法,其中,存储在所述持久信任日志中的数据仅能由所 述安全引擎修改。
29. 根据权利要求27所述的方法,其中,向所述持久信任日志写入与所述事件有关的 所述数据包括:使用所述安全引擎的私钥对与所述事件有关的所述数据进行数字签名。
30. 根据权利要求27所述的方法,其中,向所述持久信任日志写入与所述事件有关的 所述数据包括:使用所述安全引擎的私钥对与所述事件有关的所述数据进行加密。
31. 根据权利要求27所述的方法,其中,所述持久信任日志包括:与影响所述计算设备 的所述信任等级的历史事件有关的数据。
32. 根据权利要求31所述的方法,进一步包括:通过用概括了与影响所述计算设备的 所述信任等级的历史事件有关的所述数据的一部分的变量来替换所述数据的所述部分,来 压缩所述持久信任日志。
33. 根据权利要求27所述的方法,进一步包括:使用根据权利要求16-26中的任意一 项所述的方法来断言所述计算设备的所述信任等级。
34. 根据权利要求27-32中的任意一项所述的方法,进一步包括:使用根据权利要求16 所述的方法来断言所述计算设备的所述信任等级。
35. -种具有信任等级的计算设备,所述计算设备包括: 安全引擎;以及 存储器,其具有存储于其中的多个指令,当所述指令被所述安全引擎执行时,使得所述 计算设备执行根据权利要求16-32中的任意一项所述的方法。
36. -种或多种机器可读存储介质,其包括存储于其上的多个指令,响应于所述指令被 执行,导致计算设备执行根据权利要求16-32中的任意一项所述的方法。
【文档编号】G06F11/30GK104321780SQ201380027889
【公开日】2015年1月28日 申请日期:2013年6月14日 优先权日:2012年6月27日
【发明者】S·L·格罗布曼, U·K·森古普塔, R·佩尔默赫 申请人:英特尔公司