[发明专利]用于检测虚拟化环境的用户可信设备

权利要求书

1.一种用户可信设备(10)，包含：

使得能够与计算机(101)连接的连接接口(12)；和

存储模块(15，16，17)的持久性存储器(14)，其被配置得用于在用户可信设备(10)与所述计算机(101)通过所述连接接口(12)连接后：

使所述计算机(101)从用户可信设备(10)开始引导；

指示计算机(101)的处理器(105)在开始引导期间执行虚拟化敏感代码并在执行完成后发布完成数据；

根据所述完成数据，确定该执行是否没有在虚拟化环境中进行；和

在确定该执行是否没有在虚拟化环境中进行后，使计算机(101)能从用户可信设备(10)完成引导。

2.按照用户可信设备(10)，其中，所述模块包含：

使所述计算机(101)能从设备(10)开始并完成引导的引导加载器(16)；

处理器的指令模块(15)，可在计算机(101)处执行，以指示处理器(105)执行虚拟化敏感代码和发布完成数据；

验证模块(17)，被配置得用于指示根据所述完成数据确定该执行是否没有在虚拟化环境中进行，该验证模块(17)可在设备(10)和/或计算机(101)处执行，

并且其中，

引导加载器(16)在用户可信设备(10)与所述计算机(101)连接后可被初始化固件(122)检测到，并包含让固件(122)发起向计算机(101)上传送所述处理器指令模块(15)、用于在计算机(101)处的后续执行的指令。

3.按照权利要求2的用户可信设备(10)，其中，处理器指令模块(15)进一步被配置得用于在计算机(101)处的执行后，指示处理器(105)执行为处理器设计的虚拟化敏感代码，以生成由计算机(101)支持的、优选地由该处理器自身支持的的一个或多个功能的列表，作为完成数据的一部分。

4.按照权利要求2或3的用户可信设备(10)，其中处理器指令模块(15)进一步被配置得用于在计算机(101)处的执行后，指示处理器(105)生成取决于处理器执行所述虚拟化敏感代码所需的计算量的最终状态值，作为完成数据的一部分。

并且其中，优选地，处理器指令模块(15)进一步被配置得用于在计算机(101)处的执行后，指示处理器(105)生成反映处理器在执行所述虚拟化敏感代码之前的状态的初始状态值。

5.按照权利要求4的用户可信设备(10)，其中，验证模块(17)进一步被配置得用于

根据初始状态值和最终状态值，生成量化处理器执行虚拟化敏感代码所需的计算量的处理器用量值，如计算持续时间、处理器周期数、或计数器；和

根据所述处理器用量值，确定该执行是否没有在虚拟化环境中进行。

6.按照权利要求4的用户可信设备(10)，其中，处理器指令模块(15)进一步被配置得用于在计算机(101)处的执行后，指示处理器(105)生成量化处理器执行虚拟化敏感代码所需的计算量的处理器用量值，如计算持续时间、处理器周期数、或计数器，作为完成数据的一部分，

并且其中，验证模块(17)进一步被配置得用于根据所述处理器用量值，确定该执行是否没有在虚拟化环境中进行。

7.按照权利要求2到6的任何一个的用户可信设备(10)，其中验证模块(17)进一步被配置得用于指示优选地通过所述计算机(101)连接到服务器(30)，以至少部分地在服务器处确定该执行是否没有在虚拟化环境中进行。

8.按照权利要求7的用户可信设备(10)，其中，验证模块(17)进一步被配置得用于执行以下的一项或多项：

与所述固件(122)互相作用，以便随后与计算机(101)的网卡(124)互相作用，以便在所述网卡(124)所启用的网络(165)上发起通信，以连接到服务器(30)：

访问在用户可信设备(10)上存储的网卡驱动程序以直接与计算机(101)的网卡(124)互相作用，以便在所述网卡所启用的网络(165)上发起通信，以连接到服务器；和/或

优选地通过引导加载器与固件(122)互相作用，以部分地运行计算机的操作系统，以按需通过所述计算机(101)连接到服务器。