[发明专利]保护从在包含嵌入式控制器的平台中的键盘接收到的击键

说明书

技术领域

概括地讲，实施例涉及在嵌入式键盘环境中击键数据的管理。更具体地讲，实施例涉及防止恶意软件访问击键数据，并且使缺乏可操作的或较不安全的主机操作系统（OS）的平台具有键盘功能。

背景技术

在较不安全的计算系统中，恶意软件可以被用来攻击从键盘接收到的击键。例如，“传统的按键记录器”攻击已知是在操作系统驱动器中启动的，会导致从键盘接收的密码、信用卡信息等的丢失。此外，“按键注入器”攻击可能会对接收击键的服务器创建虚假的人类在场的指示，也潜在地导致重大的安全隐患。其他与键盘相关的问题可能涉及可管理性应用（例如远程键盘-视频-鼠标（KVM）控制应用）以及“热键”应用，这些应用可能即使当主机操作系统（OS）不可操作并且通常用于与键盘通信的主机OS堆栈不可用时也要求来自用户的安全的键盘输入。

附图说明

通过阅读下面的描述和附加的权利要求，并参照下面的附图，本发明的实施例的各种优点对本领域的技术人员将会变的明显，其中：

图1是根据实施例的计算架构的示例的框图；

图2是根据实施例的管理击键动作的方法的示例的流程图；和

图3A和3B是根据实施例的管理嵌入式控制器固件更新的方法的示例的流程图。

具体实施方式

实施例可以包括具有键盘、网络控制器、带有第一逻辑的嵌入式控制器，和带有第二逻辑的管理控制器的计算平台。嵌入式控制器的第一逻辑可以被配置以经由专用的边带通信信道接收模式请求。如果模式请求对应于安全模式，则第一逻辑还可以检测键盘处的击键动作并且经由专用的边带通信信道传输击键数据，其中击键数据对应于击键动作。管理控制器的第二逻辑可以被配置以将模式请求传输到嵌入式控制器，并且在安全或证实模式下接收击键数据。在安全模式下，数据不再发送到操作系统。在证实模式下，数据可以被发送到第二逻辑和操作系统。第二逻辑还可以经由网络控制器将加密后的击键数据传输到平台外服务，或者在平台上本地使用它们。

实施例还可以包括计算机可读的持久性存储器介质，其具有一组嵌入式控制器固件指令，该指令如果由嵌入式控制器执行，则会使嵌入式控制器经由专用通信信道从管理控制器接收模式请求。如果模式请求对应于安全模式，则固件指令也可以使嵌入式控制器检测到在键盘处的击键动作，并且经由专用通信信道将击键数据传输到管理控制器，其中击键数据对应于击键动作。固件指令还可以使管理控制器将加密后的击键数据传输到平台外服务。

其它实施例可以包括计算机可读存储介质，其具有一组管理控制器固件指令，该指令如果由管理控制器执行，则会使管理控制器经由专用通信信道从嵌入式控制器接收击键数据，并且同时将击键数据发出到操作系统。固件指令还也以使管理控制器将加密后的击键数据传输到平台外服务。

此外，实施例可以涉及计算机实现方法，其中模式请求经由专用通信信道从管理控制器传送到嵌入式控制器，其中模式请求对应于安全模式和证实输入模式中的至少一个。击键动作可以在耦合到嵌入式控制器的键盘处检测到，其中击键数据被经由专用通信信道从嵌入式控制器传送到管理控制器，作为对击键动作和模式请求的响应。管理控制器可用于加密击键数据，并且加密后的击键数据可以经由网络控制器从管理控制器传输到平台外服务。

现在转到图1，示出了计算架构10，其中计算平台12的用户具有硬件嵌入式小键盘16，其与例如云服务14的平台外服务交互。特别的，计算平台12可以是移动平台的一部分，所述移动平台例如是膝上型计算机、个人数字助理（PDA）、无线智能手机、媒体播放器、成像设备、移动互联网设备（MID），任何智能设备例如智能手机、智能平板电脑、智能电视等等，或其任何组合。计算平台12也可以是固定平台的一部分，所述固定平台例如是个人计算机（PC）、服务器、工作站等。

云服务14可以包括驻留在全球互联网、企业内部网、家庭局域网等的一个或多个电子商务和/或可管理性服务器。因此，就云服务14包括电子商务功能而言，为了完成购买、查看账户信息等，示出的架构10可以涉及从小键盘16传送敏感信息（例如密码和信用卡信息）到云服务14。将会更详细地讨论，经由小键盘16输入的信息可以得到保护以免受到例如恶意软件18的病毒软件的未经授权的访问，恶意软件18可能包括记录小键盘16的用户键入的击键的恶意软件。此外，计算平台12可以向云服务14提供证实/验证：从计算平台12接收到的信息来源于平台12的用户而非恶意软件18，恶意软件18也可以包括伪装成人类的病毒软件（例如，按键注入器恶意软件）。