CN101523401A - 用户秘密在计算平台上的安全使用 - Google Patents

Abstract

计算平台(20)适配为安全使用可信用户输入。该计算平台(20)包括：用户输入装置(14)，用于执行需要使用可信用户输入的应用程序的第一隔离的操作环境(21)，适配为安全处理与用户有关的信息的第二隔离的操作环境(23)，适配为与用户输入装置(14)安全通信的第三隔离的操作环境(22)。在该计算平台中，隔离的操作环境不能与另一隔离的操作环境通信，除非通过其的安全路径(26、27)。当在第一隔离的操作环境中执行的应用程序需要提供可信用户输入时，该用户通过用户输入装置(14)提供用户输入到第三隔离的操作环境(22)。该用户输入接着被提供给第二隔离的操作环境(23)，并且第二隔离的操作环境(23)按照在第一操作环境(21)中执行的应用程序的需要提供与该可信用户输入有关的服务。

Description

用户秘密在计算平台上的安全使用

技术领域

本发明涉及用于在计算平台上安全使用用户秘密的方法和设备。

背景技术

计算机平台典型地运行在它们的行为易受本地或者远程实体的修改影响的环境中。对于用于要求与第三方(包括用户对其知之甚少或不知的第三方)的有规律交互的功能的计算机平台来说尤其如此。这样的修改可能导致不可靠的性能或者数据丢失，但是潜在的更大风险是对用户秘密的侵占。下载恶意代码可能导致存储在计算机平台上的用户秘密的曝光，或者导致诸如由用户响应于本地或者远程提示而输入的密码之类的用户秘密的捕获(通过例如按键记录的进程)。现有维护用户输入安全性的方法或者依赖于用于高度安全处理的重要的专用硬件或者易受计算环境修改的影响。因此希望寻找一种在比较常规的计算机平台上使用用户秘密的方法，其提供某种安全性保障。

发明内容

根据本发明，提供一种适于可信用户输入的安全使用的计算平台，包括：用户输入装置；用于执行需要使用可信用户输入的应用程序(application)的第一隔离的操作环境；适用于与用户有关信息的安全处理的第二隔离的操作环境；适用于与用户输入装置的安全通信的第三隔离的操作环境，

其中，除了通过其间的安全路径，隔离的操作环境不能与另一隔离的操作环境通信，并且当在第一隔离的操作环境中执行的应用程序需要提供可信用户输入时，该用户通过用户输入装置向第三隔离的操作环境提供用户输入，该用户输入被提供给第二隔离的操作环境，并且第二隔离的操作环境按照在第一操作环境中执行的该应用程序的需要提供与该可信用户输入有关的服务。

附图说明

举例来说，本发明的具体实施例参考附图描述如下，其中：

图1示出根据现有技术的但适于供本发明实施例使用的常规的计算平台的物理元件；

图2示出根据本发明的第一实施例的计算平台的功能元件；

图3示出根据本发明的第二实施例的计算平台的功能元件；

图4示出根据本发明的第三实施例的计算平台的功能元件；

图5示出根据现有技术的但适于供如图4所示的本发明实施例使用的可信平台模块；

图6示出用于更新可信平台模块的平台配置寄存器的过程，该过程是根据现有技术的但是适于供本发明的实施例使用；

图7示出根据本发明的第四实施例的计算平台的功能元件；

图8示出根据本发明的第五实施例的计算平台的功能元件；

图9示出在根据本发明实施例的用户秘密的使用方法的执行中交互的实体；以及

图10A、10B和10C示出在使用根据本发明实施例的用户秘密使用方法的银行业务交互中采用的步骤。

具体实施方式

图1示出常规的计算机设备的物理元件(其中能够部署本发明的实施例)。该计算机设备包括计算机平台10以及用于用户输入和输出的***设备，所述***设备具体是键盘14、鼠标16和显示器18。还示出了网络19，对于网络19，计算机平台10具有网络连接(通过网络接口卡，未示出)，-如下所述，本发明的实施例能被有效地用在与可通过网络19访问的服务的安全用户交互中。计算机平台10至少包含主处理器和主存储器(未示出)，-如下所示，在本发明的实施例中，使用附加的处理器和存储器，而在本发明的其它实施例中，该主处理器和主存储器被用于多个计算环境。

图2示出根据本发明的第一实施例的计算平台的功能元件。计算平台20包含三个计算环境，以下称作组件。这些组件中的其中两个被隔离并且仅通过安全路径连接到其它元件(包括其它组件)。这些组件在下面讨论。

第一组件21(以虚线边界示出-这指示该组件或者可以是与其它组件类似的分立组件，或者可以基本上构成整个计算环境，而不是诸如下述的第二和第三组件之类的具体隔离的组件)在这里被描述为通用组件(或者GPC)。该组件表示-并且可以包括-传统的操作***和相关联的计算环境。这是用户执行应用程序的地方。在本发明的实施例中该组件的作用是当需要使用用户秘密时向第二组件22发出警报。在本发明的实施例中(如下所述)，该GPC 21是与下述的其它组件具有相同形式的隔离环境。

第二组件22在这里被描述为拥有秘密的隔离组件(ICS)。该组件适于包含-以及处理-用户(或者任何其他有关的数据所有者)希望保护以免受来自在GPC 21中运行的任何代码的危险的任何秘密。无论GPC 21中的代码是什么(即使它纯粹是用户代码)，这都是希望的，但是当GPC21的作用产生了显著的附加风险时这更是希望的，该显著的附加风险是GPC 21包含无用的并且甚至有害的代码，例如病毒、恶意软件和间谍软件。

第三组件23在这里被描述为输入隔离组件(IIC)。该组件适于控制来自打算提供可信输入的装置(在这种情况下是键盘14)的所有输入。该IIC23适于决定将可信输入发送到哪里-这实际上将取决于GPC 21中的应用程序已经请求哪个ICS 22作为可信输入的接受方。

应该注意到可以存在多个ICS组件22-GPC 21上的各个应用程序可以具有相关联的ICS 22。在适当的情况下计算机平台20内的每种组件可以有多个(例如，可能存在每个与不同的物理可信输入装置相关联的多个IIC组件23-生物测定(biometric)传感器或者智能卡接口可以有用地配备有其自己的IIC组件23)。

GPC 21包含操作***25以及与用户秘密的使用相关联的应用程序-该应用程序在这里被描述为切换信令应用程序(Switch SignallingApplication，SSA)26。该SSA 26在该GPC内运行并且当需要使用用户秘密时变成活动的。当确定需要到ICS 22的安全输入时，该SSA 26发送消息到该IIC23以指示可信输入应该被传送到该特定ICS 22。

图3示出本发明的第二实施例，其包括第四组件24。该实施例的计算机平台20以与第一实施例相同的方式采用GPC 21，ICS 22和IIC 23，但是另外具有在这里被描述为输出隔离组件(OIC)24的第四组件。该OIC 24提供对到用户的输出的控制-该输出通知用户他们的与秘密有关的输入当前正去向哪里。在本情况下，该OIC 24控制到显示器18的输出。该第四组件24为用户提供了优势-它使得用户能够更好地信赖该用户正与其交互的计算机平台20，并且特别地能够提供该输入没有被欺骗(并且没有被恶意软件用来利用他们的秘密)的再保证。然而，应该注意本发明的第一实施例也提供对欺骗的防御，因为即便从用户输入偷取了秘密，它们不能被用在秘密使用的该模型中，除非该使用是在处理这些秘密的可信IIC23中。在任一的实施例中，如果ICS 22不能与IIC 23建立令人满意的信任关系，该ICS 22不会向该IIC23泄露秘密。

所识别的这四个组件中的每一个可以是分立的物理组件，并且这些组件的一对之间的任何可信路径可以是分立的物理路径。然而，如下参考另外的实施例所述的，可选布置可以提供不需要物理隔离的逻辑隔离和逻辑可信路径。

现在将描述这些组件的一般操作方法(可应用于图2和图3的实施例)。每一个组件的缺省状态使得根据本发明实施例的计算机平台反映(mirror)常规计算机平台的缺省状态-换句话说，当用户需要提供一般的用户输入时，该用户输入由IIC23接收并且直接转到GPC 21和在其内运行的相关应用程序。该行为继续直到需要用户秘密-例如，要求用户认证。该相关的用户秘密被保持在ICS22中。在运行在GPC 21的应用程序中，这种情况可以通过在GPC 21中创建密码录入框来反映-认识到需要用户秘密，GPC 21发送消息到IIC23，以指示它想接收可用ICS组件22的列表。该IIC 23询问该IIC 23知道的每个ICS 22，问该ICS22是否希望将其自己展现给GPC 21(或者希望将其自己识别为对于所示目的准备进行参与)。在许多情况下，ICS 22能够做出关于它是否希望让它的存在被GPC 21所知的明智的决定-例如，如果存在ICS 22可用来安全并且可靠地确定GPC 21正在被用来干什么的方法。例如，创建为充当一个公司的机密材料的显示器的GPC 21可能被适于持有另一公司的机密材料的ICS 22检测到-则该ICS 22逻辑上可能根本不希望揭示其存在，而不是向GPC 21揭示如果正确的密码或者其它安全准则可以被满足的话，该另一公司的机密信息是可得到的。然后肯定答复的任何ICS 22被列给(listed to)GPC 21。该GPC 21然后选择特定的ICS 22来提供用户秘密功能。当(在本例中)该密码录入框获得用户输入的焦点(gain the focus for user input)时，GPC 21中的SSA 25发送消息给IIC 23：由用户提供的输入将被发送到所选择的ICS22。由IIC 23接收的用户输入然后通过安全路径26被发送给所选择的ICS22。预定义信号(例如按回车键)可以被用于指示该输入何时完成，该输入可以被认为是从用户到ICS 22的可信输入。应该注意，指示可信输入的完成的可选方法可能需要GPC 21和IIC 23之间的适当通信，所述可选方法例如单击在GPC 21中运行的应用程序的“完成”按钮，或者以其他方式使用不涉及解释通过IIC 23接收的输入的机制。

当所选择的ICS 22已经接收到完整的可信用户输入时，它然后可以执行适当的过程以确定给GPC 21中运行的应用程序提供什么。该过程可以仅仅是如果接收到适当的输入，则允许该应用程序继续-例如，用户录入密码，ICS 22将可信用户输入中的密码与合法的用户密码列表相匹配，并向在GPC 21中运行的应用程序提供该应用程序正由合法用户运行的确认。可选地，该ICS 22可以向在GPC 21中运行的应用程序提供依赖于由该用户提供的可信输入的输入-对于第一例子，这样的情况可能出现在先前的例子中，但是合法的用户密码可能不是提供在列表中而是提供在具有相关数据的表格中，并且该相关数据(例如用户名或者用户凭证)可以是提供给该用户的东西；对于第二例子，该用户输入可能是密钥，并且提供给该应用程序的输出是由该密钥解密(无论是否成功)的ICS 22中的加密内容。又一个可选情形是对于由ICS 22执行的某种其它类型的服务，例如与第三方建立安全通信信道以供GPC 21使用。

所有在先前段落中的选项均涉及具有安全性功能(由具有密码或者其它凭证的用户提供)的可信用户输入。该布置的另一目的还可以是确保到在GPC 21中运行的应用程序的输入是来自物理上在该机器处存在的用户的输入。另外的可能性是这种真实的用户输入可能不被直接提供给在GPC 21中运行的应用程序，而是可能由ICS 22直接提供给远程服务-ICS 22和该远程服务之间的信任关系使得该远程服务确信所提供的输入是来自物理上在该机器处存在的用户的真实输入。在这种技术的许多实际用途中，初始用户输入将是提供秘密或者凭证以向ICS 22认证该用户，并且之后用户输入将被应用程序使用或者与远程服务交互以为该用户生成期望的结果。然而，并不一定必须是这种情况-例如，在某些布置中ICS 22可能不要求用户认证，并且所有用户输入可以简单地被提供给应用程序或者远程服务，如被确认为是通过该平台的可信用户输入功能接收的(而不是必须由任何特定用户提供)。

如上所指出的，不同的组件可以被提供为分立的物理组件。这样做的一种有效的示例性方法是使用可信计算技术，并且特别地，相关的组件(或者所有组件)被提供为可信平台模块(下面称为可信装置)。然而，应当注意，本发明的一些实施例不需要具有完全的可信平台模块功能性的任何组件，如下所述。在由可信计算组(TCG)提供的规范中描述了可信计算技术并且在例如由Siani Pearson于2003年编著的“TrustedComputing Platforms-TCPA Technology in Context”(Prentice HallPTR)中更加完整地描述了可信计算技术的各个方面。在可信计算技术中的可信装置是抗破坏(subversion)的组件，其具有处理能力并且具有存储器。典型地，这些组件被提供为在计算平台的母板上提供的分立物理组件(典型地为抗干扰(tampering resistant)集成电路芯片)，其主要功能是提供相关计算平台的状态的可信赖测量以指示该计算平台是否能够被计算实体和过程认为是可信赖的(因此是“可信平台模块”)。这样的测量被称为完整测量-可信装置的特征和完整性度量的测量的各个方面将在下面详述。

图4示出使用如上所述的可信装置的本发明的第三实施例。基本上以可信装置的形式提供第二，第三和第四组件的每一个：ICS可信装置422；IIC可信装置423和OIC可信装置424。每个这样的可信装置被适配为具有到相关组件(用于OIC可信装置424的显示器、用于IIC可信装置423的键盘)的物理或逻辑安全路径。由第二、第三和第四组件执行的任务的复杂性足够低，以致由TCG型可信装置执行这些任务是合理的。由第一组件GPC 21执行的任务更加复杂，-该组件基本上提供计算平台的正常操作环境。在该实施例中基本上以与常规的可信计算平台相同的方式提供该环境-它包含可信装置421，可信装置421充当可信平台模块并用于测量GPC 21的完整性度量并向其它方(这里包括ICS可信装置422、IIC可信装置423和OIC可信装置424)确认GPC 21正按预期操作。应该注意到，即使仅其中一些组件被提供为TCG型可信装置，仍然能够实现有效的布置，而且本发明的实施例不必需要来自任何组件的完全的TCG功能性。通过使用TCG型可信装置将提供好处，其中希望可信装置能够将其本身或者其环境以可信方式报告给另一计算实体。在不需要报告的情况下，提供被(物理地、逻辑地或者物理地且逻辑地)保护以免受未授权修改的组件可能就足够了，但是其本身不具有TCG型可信装置的所有特征。

现在将参考图5和图6描述可信装置的结构与操作，-如上所指出的，可信装置的实际实施方式的进一步讨论被提供在如上所述的参考资料中。可以认为可信装置包括若干块，如图5所示。对于用作常规的可信平台模块的可信装置(对于此，将在下面使用术语“可信平台模块装置”)，在***复位之后，该可信平台模块装置执行认证的启动过程以确保以安全方式记录相关平台的操作状态。在该认证的启动过程期间，该可信平台模块装置获得该计算平台的完整性度量(或者若干完整性度量)。这样的可信装置也可以执行其它功能，例如经由加密/解密和签名/验证在它和智能卡之间的例如认证以及安全数据传输。该可信平台模块装置也能够安全地实施各种安全性控制策略，例如锁定用户接口。

具体地，图5所示的可信装置被适配为可信平台模块装置并且包括：控制器30，其被编程为控制该可信装置的整体操作，并且与在该可信装置上的其他功能以及在该计算平台的母板上的其他装置进行交互；测量功能31，用于经由直接测量或者可选地经由要在该平台的主处理器上执行的可执行指令间接地从该平台获得第一完整性度量；密码功能32，用于加密或者解密指定数据或对该数据签名；认证功能33，用于认证智能卡；和接口电路34，其具有适当的端口(36，37和38)用于将该可信平台模块装置分别连接到该母板的数据总线、控制线和地址线。该可信装置中的每一个块可以访问(典型地经由控制器)该可信装置的适当的易失性存储区域4和/或非易失性存储区域3。附加地，以已知的方式将该可信装置设计为抗干扰的。对于被配置为用作在本发明的实施例中使用的其中一个具体组件的可信装置而言，功能31-34可以改变：测量功能31可以不涉及计算平台，而是涉及在该可信装置自身内的或者与相关***设备(例如用于图4的OIC可信装置424的显示器)有关的代码；典型地，仍将需要密码功能32，可能不需要认证功能33；而可能不需要接口电路34(如果存在到该可信装置的专用连接)或者可能比图5所示的简单得多。

出于对性能的考虑，可信装置可以被实现为专用集成电路(ASIC)。然而，为了灵活起见，该可信装置优选地是适当编程的微控制器。ASIC和微控制器在微电子技术领域中为大家所熟知，因此此处不再作进一步地详细考虑。

存储在该可信平台模块装置的非易失性存储器3中的一个数据项是凭证350。该凭证350至少包含该可信装置的公共密钥351和由可信方(TP)测量的平台完整性度量的认证值352-对于不同形式的可信装置，该完整性度量可以不是平台的，而是属于该可信装置功能的(如上对于相关的测量功能所指出的)。凭证350在存储在该可信装置中之前由TP使用TP的私有密钥进行签名。在稍后的通信会话中，该平台的用户能够通过验证该凭证上TP的签名推断该公共密钥属于可信装置。同样(对于可信平台模块装置)，该平台的用户能够通过将获得的完整性度量和真实的(authentic)完整性度量352进行比较来验证该平台的完整性。如果存在匹配，该用户能够相信该平台没有被破坏。TP的普遍可用的公共密钥的知识使得能够对该凭证350进行简单验证。该非易失性存储器35也包含标识(ID)标签353。该ID标签353是常规的ID标签，例如序列号，其在某个上下文中是唯一的。该ID标签353通常用来索引并标记与该可信装置有关的数据，但是其自身不足以在可信条件下证明该平台的标识(identity)。

该可信装置装备有至少一个可靠测量或者获得完整性度量的方法(对于可信计算平台装置，这是其与之相关联的计算平台的完整性度量)。对于常规的可信平台模块，可以通过测量功能31在包括产生BIOS存储器中的BIOS指令的摘要的过程中获得第一完整性度量。这样获得的完整性度量，如果如上所述被验证，向该平台的***给出该平台在硬件或者BIOS程序级还没有被破坏的高置信度。其它已知过程(例如病毒检测程序)将典型地适于检查该操作***和应用程序代码没有被破坏。

测量功能31可以访问：用于存储该可信装置的私有密钥355和混编程序(hash program)354的非易失性存储器3和用于存储获得的完整性度量的易失性存储器4。可信装置具有有限的存储器，然而可能希望存储与大量完整性度量测量有关的信息。这在如可信计算组所描述的可信计算平台中通过利用平台配置寄存器(PCR)8a-8n来实现。该可信装置具有若干具有固定大小(和摘要的大小相同)的PCR-在该平台的初始化时，这些被设为固定的初始值。然后通过图6所示的过程将完整性度量“扩展到”PCR中。该PCR 8i值与输入401级联(concatenate)403，该输入401是要扩展到该PCR中的完整性度量的值。该级联然后被混编(hash)402以形成新的160比特值。该混编被反馈回PCR中以形成它的新值。除将该完整性度量扩展到该PCR中之外，为了提供所执行的测量的清楚历史，该测量过程还可以被记录在常规的日志文件中(其可以简单地在计算机平台的主存储器中)。然而，为了信赖的目的，信赖的是该PCR值，而不是软件日志。

虽然如图4所示的这样的布置对于实施本发明是有效的，但是它在该计算平台中的确需要专用硬件。采用使用软件来逻辑地而不是物理地实现期望的环境分离的方法可能是有利的。这可以通过使用虚拟化来产生多个分离的虚拟机而实现-可以通过单独的虚拟机提供在图2和图3的布置中所示的那些的单独组件。操作***还可以为隔区(compartment)的存在作准备，该隔区被隔离或者可仅通过受控路径连接到其它隔区。这种类型的常规技术可以提供可与图2和图3的那些布置相比较的布置(例如可以通过使加密进程运行在每个虚拟机或者隔区中，并且使沿该安全路径的通信被适当地加密来提供安全路径)。

图7示出了使用虚拟化技术的这种类型的本发明的第四实施例。所描述的虚拟化方法涉及重写运行在控制层上面的操作***使得它们不包含不会自然地引起到该控制层的转移(transition)的任何特权或者敏感指令。“准虚拟化”是用于描述操作***的这种源编码重写的术语。Xen虚拟机监视器依赖于该方法。VMWare使用运行的操作***的动态二进制修改作为其保持控制实际硬件平台的手段。在合成方法中，Intel(虚拟化技术，或者VT)和AMD(安全虚拟机，或者SVM)均开发了CPU中的硬件特征来支持虚拟机监视器的运行。利用该支持，不管特权级如何，可以使任何指令触发到该控制层的转移。本领域技术人员将理解还可以使用其它虚拟化的方法，例如使用多个处理器特权级。

计算平台20包括硬件71。该硬件71支持虚拟机监视器(VMM)74-这是控制虚拟化的虚拟化层。在这之上，关于图3识别的组件被提供为分离的虚拟机：第一隔区721包括GPC组件并提供主应用程序环境并且由此包含操作***761及多个应用程序771；第二隔区722包括ICS组件762；第三组件723包括IIC组件763；并且第四组件724包括OIC组件764。通过虚拟化层74提供隔离-如上所指出的，例如在各个隔区中使用密码过程的方法可以被用于提供组件之间的安全路径(具有来自该VMM74的适当的监视或者控制)。

虚拟化技术可以与可信计算技术一起使用以提供本发明的第五实施例。US2005/0223221描述了在具有可信平台模块的计算平台中使用虚拟化技术来提供具有信任植根于该可信平台模块的可信例程(trustroutine)的多个计算环境-这样的可信例程有效地充当该计算环境的虚拟可信装置。再次，虽然在这里描述了准虚拟化方法，但是本领域技术人员将理解，可以使用虚拟化的替换方法(例如，通过在处理器特权级上执行可信例程功能，该处理器特权级限制访问在具有多个处理器特权级的布置中的计算机平台上执行的其它软件应用程序)。

这样的布置如图8所示。元件如图7的布置，但是现在该硬件71附加地包括作为可信平台模块的物理可信装置72。任何虚拟组件以及因此充当虚拟可信装置的可信例程的隔离通过虚拟化层74来实现。具有硬件中的物理可信装置和位于虚拟化层之上的虚拟可信装置以及相关操作环境的这种布置不依赖于所使用的虚拟化技术。

在其它方面，如上所述的虚拟化原理和可信平台技术的原理能够被简单地应用。该计算平台因此可以使用任何适于与虚拟化技术一起使用的处理器，而不是特定地具有多个特权级的处理器。以上面简短讨论的方式获得完整性度量，对该方式更充分的阐述可见TCG技术规范-如所述的，这种度量的测量过程不依赖于虚拟化技术的形式(虽然该虚拟化技术的相关方面可以通过完整性度量来测量)。根据TCG实践的完整性度量的测量在例如由Siani Pearson于2003年编著的“TrustedComputing Platforms-TCPA Technology in Context”(Prentice HallPTR)中有更加充分的描述。

应该注意到虽然每一个可信装置-以及类似地可信例程-在上面被描述为单个实体，更确切地，在TCG规范中，这些应该被认为是多个实体，而不是单个可信装置。在该可信平台内进行第一测量的测量引擎被称为测量可信根(RTM)-除TPM之外，这也用作信任的根源，通常是通过证明该测量引擎的这种软件的可信源来实现的。测量可信根的核心(CRTM)包括可执行指令，当控制该平台上的主处理引擎时，该可执行指令使该平台执行RTM的功能。该可信平台模块(TPM)是存储并报告由RTM和随后的测量代理装载到其中的测量的引擎。该可信构建块(TBB)包括CRTM和在CRTM、TPM和平台(包括平台的主处理引擎)之间的连接。对于物理平台而言，该可信平台模块包含在物理装置中。US2005/0223221更详细地描述了可信例程如何可以与该物理平台本身的可信元件相关，所述可信例程关于可信例程和其与之相关的操作环境之间的关系以虚拟化的形式提供这些元件-虽然将本领域技术人员的注意吸引到该教导，但所提供的分析本身对于理解本发明是不必要的，并且这里不再重复。

图8的布置具有优势，因为每个隔离环境能够被容易地配置成具有其功能所需要的资源，而没有硬件限制。通过使用虚拟化可得到其它可能性-例如，可以通过在虚拟化层被创建时用其起源、用途和能力的任何一个对该虚拟化层进行标记来促进ICS对GPC正被用于什么(上面关于图3的实施例所讨论的)的安全和可靠的识别。使用充当虚拟可信装置的可信例程意味着组件能够提供并证明它们自身的状态的测量以使得它们能够被其它组件信任。信任植根于硬件可信装置和该计算平台的测量可信根。

现在将参考图9和10描述根据本发明的各方面的用户秘密的使用方法的例子。该例子涉及在线银行的认证-然而，本领域技术人员将易于理解它可以被修改，不仅可用于其它在线服务提供，而且还可以用于用户秘密的其它使用。将关于图8的计算平台来描述该方法，不过将理解还可以使用根据本发明的任何其它实施例的适当的计算平台。

图9示出包含在待描述的例子中的其他实体和计算平台。存在三个主要实体：用户1，银行2，和计算平台3。然而，如上所指出，可以认为该计算平台包括至少三个实体：GPC 721，ICS 722，IIC 723，以及在这种情况下，OIC 724。在这种情况下，整个虚拟机被表示为是相关的组件，而在图7和图8的情况中，该组件被示为仅是其虚拟机内的一个元件-任一种布置均是可能的，并且这些布置之间的差异主要是表示上的而不是功能上的。用户1通过键盘14(以及由此通过并与IIC 723交互)并且通过显示器18(以及由此通过并与OIC 724交互)进行交互。银行2(形式为银行服务器)通过网络19(典型地包括常规的电信网络)与计算平台3交互。在计算机平台处的通信通过适于将通信流(例如IP流)多路传送(multiplex)到不同组件的组件进行处理-实际上，该通信组件连同VMM一起提供作为该平台的可信代码基的一部分并且为了实际目的，能够被认为是VMM的一部分。如将描述的那样，在描述的示例性过程中，ICS 722和GPC 721使用到银行2的该连接。

在本例中，用户的目标将连接到他的银行以进行银行交易。他的第一个步骤是例如通过打开浏览器窗口并指向银行网站来启动1010 GPC中的相关应用程序。下一步骤是在计算平台3上实例化1020用于银行的ICS 722。ICS 722配备有由用户密码保护的用户的认证信息。对于ICS 722的实例化，可选的可能性是可利用的。这可以在启动时进行-然而，期望的是不同的任务将需要不同的ICS，而且用户在启动时起动(launch)其稍后可能需要的每一个ICS将是低效的。如果在任务运行时发生了实例化，则需要适当的机制使其发生-这里，这可以是这样一个过程：银行(或其他远程实体)要求将运行的ICS保持该秘密，并且在该平台处作为响应创建新的虚拟机(或者隔区或者客人(guest)-取决于该平台的操作模型)。将用户认证信息提供给该实例化的ICS 722也可以以各种方式完成。一种方法是以加密的形式将其在本地保持在该平台上，当该用户的认证信息已经被正确输入(例如通过在这里描述的机制)时，发布(release)认证信息的密钥仅被发布到某些可测量环境，例如银行ICS 722。所使用的机制可以与根据可信计算组规范的用于数据的“启封(unsealing)”的机制相同或者类似。然而本领域技术人员将理解存储秘密相关信息以供安全应用程序访问的其它模型也是可用的并且还可以在该情况中使用。

该ICS 722然后测量IIC 723-因为这两个都是具有可信组件的机器(即使这两个机器和可信组件都是虚拟的)，这可以通过从该IIC 723的可信例程753获得相关的完整性度量来完成-并且确定其满足适当的准则。使用的逻辑准则是：它是能访问来自它拥有的键盘14的输入的唯一的虚拟机，以及它仅将来自键盘14的键击发送到IIC 723。可能的是适当的准则可能不仅需要IIC 723来保证，并且还需要该计算平台本身(例如通过由该可信平台模块装置72提供的完整性度量)来保证。

一旦ICS 722已经证实(establish)它能够以可信的方式与IIC 723连接，它接着与银行2通过网络19通信1040。它将计算平台3的相关方面的测量传给银行2以使得银行2能够确定是否应该允许在其计算环境中的ICS 722认证用户。这些测量可以包括在先前步骤中接收的一些或者所有完整性度量，并且可以包括ICS 722的完整性度量。这样的测量通常将指示所有相关的通信路径是安全的，并且IIC 723以及ICS 722满足银行2所要求的标准。

银行2因此确定1050它是否接受ICS722和一个(或多个)相关的计算环境并将此传送给ICS 722。如果它接受，那么ICS722把该信息传递给IIC 723，IIC 723准备接受安全的用户输入-在实际的实施方式中，ICS 722通常还向GPC 721中的相关应用程序指示进展。在这样的实际实施方式中，在显示器18上给用户1呈现由GPC 721中的应用程序产生的对话框，并且当这获得焦点(gain the focus)时，GPC 721中的应用程序将消息发送给IIC 723以告诉它直接输入到ICS 722而不是输入到GPC 721。当GPC 721中的应用程序获得和失去焦点时，IIC 723与OIC 724通信使得OIC 724将输入的当前状态显示给用户1-典型地，该当前状态的显示的一部分将包括一些文本，以通知用户1他的键击正被直接发送给代表银行2的ICS 722。

使用某种预定机制以允许用户1完成1070他们的可信输入。这可以简单地通过适当的键击(例如按“回车”键)或者通过与运行在GPC 721中的应用程序交互(例如，通过按该应用程序所提供的“完成”框)来完成，前一种情况仅仅需要涉及IIC 723和ICS 722之间的交互，在后一种情况中，将需要从GPC 721到IIC 723到ICS 722的通信。OIC 724然后显示该更新的状态-即可信输入已经被完成。

此时，ICS722具有安全用户输入并且准备确定是否能够使用相关的用户秘密。ICS 722此时还可以确定1080在GPC 721中运行的应用程序是否被批准访问由银行2提供的在线银行服务-再次，在该实施例中，这可以通过请求并检查来自GPC 721的可信例程751的适当的完整性度量来完成。

ICS 722然后对照它持有的相关用户秘密来评估该可信用户输入。如上所指出的，该评估步骤能够以不同的方式执行，这取决于由ICS 722执行的服务-在目前的情况下，可信用户输入可以代表密码，并且如果ICS 722将这个密码与它的用户密码列表中该密码或者一密码相匹配，那么它就可以使用其列表中与该密码相关联的认证数据(例如用户凭证)以向银行2认证1100用户1。

认证的成功被ICS 722传递1110到GPC 721(或者在成功验证时直接传递或者在由GPC 721查询之后传递)。此时ICS 722通过安全路径1120提供唯一的会话ID给GPC 721使得GPC 721能够向银行2证明其已经向该银行安全认证过。明显地，银行2需要能够识别该安全ID是有效的-这可以通过ICS 722给银行2和GPC 721提供分离的密钥(该唯一的会话ID是密钥之一)，或者通过本领域技术人员所熟知的其它密码方法来完成。

如上所指出的，可信用户输入的唯一形式不一定总是由用户秘密组成。应用程序也可以，或者代替地，需要证实：能够信任特定输入是来自于特定的认证用户或者来自物理地存在于该计算设备处的用户。这通过图11B中的“B”处所示的附加的循环表示，该附加的循环中的步骤在图11C中表示。图11B中的虚线示出在用于产生这样的可信用户输入的适当阶段处分支到循环“B”，一个变体示出了可以提供可信用户输入来代替用户秘密的用户输入，而不是连同用户秘密的用户输入一起。所示的第一步骤1130是将接收的要被提供给另一组件或者其它实体的任何可信输入提供给该组件或者实体。在这里所示的情况中，该可信用户输入或者一些可信用户输入可能需要被提供给银行以及被ICS直接使用(例如，银行可能需要该用户认证信息的某种摘要，或者该用户也许已经录入了与该交易有关的附加数据但不是认证信息本身，并且该附加信息可能需要被转发给银行)。一些可信用户输入也可能需要被路由到GPC中的应用程序。ICS确定可信用户输入中的哪个(如果有的话)需要被如此引导，并且在步骤1140中根据需要发送它。GPC中的应用程序，或者银行，可能使用该可信用户输入确定需要更多的可信用户输入-这由ICS在步骤1150进行检查-如果是，该输入被收集1155并且如先前那样被路由1140，而如果不是，该循环结束并且处理返回如图10B所示的主控制流程。

应该注意到上面提供的例子仅是根据本发明实施例的应该或者需要被信任的用户秘密及其它用户输入的使用的例子。这样的使用可能涉及用户秘密的任何常规使用，例如：访问第三方服务；访问加密的或者DRM-保护的本地或者远程持有的内容；或者允许该用户访问特权应用程序或者资源。这样的使用还可能涉及将用户输入在本地或者远程地提供给应用程序，其中有必要或者希望确信该输入是由特定用户或者物理地存在于该计算平台处的用户直接提供的。本领域技术人员将容易理解上面对于本发明的实施例描述的功能布置如何能够被适配用于任何这种使用。

由上可见，能够使用专用的硬件来部署本发明的实施例，而能够使用具有适当软件的常规硬件来部署其它实施例。

Claims (19)

1、一种适于安全使用可信用户输入的计算平台，包括：

a.用户输入装置；

b.用于执行需要使用可信用户输入的应用程序的第一隔离的操作环境；

c.适于安全处理与用户有关的信息的第二隔离的操作环境；

d.适于与该用户输入装置安全通信的第三隔离的操作环境

其中，隔离的操作环境除了通过其间的安全路径之外不能与另一隔离的操作环境通信，并且当在第一隔离的操作环境中执行的应用程序需要可信用户输入的提供时，该用户通过该用户输入装置向该第三隔离的操作环境提供用户输入，该用户输入被提供给该第二隔离的操作环境，并且该第二隔离的操作环境按照在该第一操作环境中执行的应用程序的需要提供与该可信用户输入有关的服务。

2、如权利要求1所述的计算平台，其中该可信用户输入包括用户秘密，并且其中由第二隔离的操作环境提供的服务包括使用该用户秘密来认证该用户。

3、如权利要求1或者权利要求2所述的计算平台，其中该可信用户输入包括待确认为来源于物理地存在于该计算平台处的用户的输入，并且其中由第二隔离的操作环境提供的服务包括向在第一隔离的操作环境中执行的应用程序或者任何其它相关的计算实体确认该可信用户输入是由物理地存在于该计算平台处的用户提供的。

4、如前述任一权利要求所述的计算平台，进一步包括适于与用户显示装置安全通信的第四隔离的操作环境，其中该第四操作环境适于提供与可信用户输入相关的信息的显示使得该用户能够信任该显示。

5、如前述任一权利要求所述的计算平台，其中第一计算环境包括用于控制与其他隔离的计算环境的交互的安全切换应用程序。

6、如前述任一权利要求所述的计算平台，其中该计算环境的每一个包括分离的物理组件。

7、如权利要求6所述的计算平台，其中每个分离的物理组件在物理上并且在逻辑上抗干扰并且适于可靠地提供和报告与它的计算环境有关的测量。

8、如权利要求1到5中的任一权利要求所述的计算平台，其中该计算环境中的每一个由虚拟机组成。

9、如权利要求8所述的计算平台，其中该计算平台进一步包括在物理上并且在逻辑上抗干扰并且适于可靠地提供和报告与该计算平台有关的测量的物理组件，并且其中由虚拟机组成的一个或多个计算环境具有可信例程，该可信例程具有植根于该物理组件的信任并且适于可靠地提供和报告与该虚拟机有关的测量。

10、一种用于在计算平台上提供并且使用可信用户输入的方法，包括以下步骤：

a.实例化用于用户信息的隔离的操作环境，该用于用户信息的隔离的操作环境适于安全处理与用户有关的信息；

b.该用于用户信息的隔离的操作环境接收对与可信用户输入的使用有关的服务的请求；

c.该用于用户信息的隔离的操作环境证实能够安全地从用于输入的隔离的操作环境接收可信用户输入，该用于输入的隔离的操作环境适于可靠地接收由用户提供到用户输入装置中的用户输入，并且安全地保留该用户输入；

d.该用于用户信息的隔离的操作环境从该用于输入的隔离的操作环境沿着其间的可信路径安全地接收该可信用户输入；

e.该用于用户信息的隔离的操作环境使用该可信用户输入来提供与该可信用户输入的使用有关的所请求的服务。

11、如权利要求10所述的方法，其中该可信用户输入包括用户秘密，并且由该用于用户信息的隔离的操作环境提供的服务包括通过使用由该用于用户信息的隔离的操作环境持有的秘密和该可信用户输入来认证该用户。

12、如权利要求10或者权利要求11所述的方法，其中该可信用户输入包括待确认为来源于物理地存在于该计算平台处的用户的输入，并且其中由该用于用户信息的隔离的操作环境提供的服务包括向任何其它相关的计算实体确认该可信用户输入是由物理地存在于该计算平台处的用户提供的。

13、如权利要求10到12中任一权利要求所述的方法，其中证实能够安全地从该用于输入的隔离的操作环境接收可信用户输入的步骤包括接收和评估对该用于输入的隔离的操作环境的测量。

14、如权利要求10到13中任一权利要求所述的方法，其中该计算平台进一步包括主操作环境，并且由在该主操作环境中运行的应用程序提供到该用于用户信息的隔离的操作环境的请求。

15、如权利要求14所述的方法，其中该主操作环境是隔离的操作环境。

16、如权利要求10到15中任一权利要求所述的方法，其中该计算平台包括用于显示的隔离的操作环境，该用于显示的隔离的操作环境适于安全地提供输出到显示装置，该方法进一步包括用于输入的隔离的操作环境将信息通过安全路径提供给该用于显示的隔离的操作环境以在用户正在提供可信用户输入时向用户进行指示。

17、如权利要求10到16中任一权利要求所述的方法，其中所有的隔离的操作环境是虚拟机，并且其中隔离和安全路径是通过该计算平台的虚拟机监视器建立的。

18、如权利要求17所述的方法，其中该计算平台包括在物理上并且在逻辑上抗干扰并且适于可靠地提供和报告与该计算平台有关的测量的物理组件，并且其中至少一个虚拟机具有可信例程，该可信例程具有植根于该物理组件中的信任并且适于可靠地提供和报告与该虚拟机有关的测量。

19、如权利要求10到18中任一权利要求所述的方法，其中用于用户信息的隔离组件代表远程实体提供服务，并且该方法进一步包括该用于秘密的隔离组件向该远程实体提供其适于安全地提供该服务的证据。

Images