[发明专利]在可信平台模块中的操作系统上下文的表示

权利要求书

1.一种用于控制针对安全资产的访问的系统，该系统包括：

一个或多个处理器；和

存储计算机可执行指令的一个或多个计算机可读存储媒体，所述计算机可执行指令响应于利用一个或多个处理器的执行而导致所述系统执行包括以下的操作：

导致与操作系统上下文的表示相对应的授权原则在可信平台模块中被导出，所述授权原则表示根对象，所述根对象使得所述操作系统上下文能够被表达给所述可信平台模块，所述操作系统上下文表示与操作系统相关地发生的一个或多个基于身份的状态条件；

与所述可信平台模块进行交互，以导致所述授权原则在所述可信平台模块内被绑定到在所述可信平台模块中存储的安全资产；

接收对于访问所述授权原则的请求；

基于是否请求上下文与所述授权原则相匹配来采取动作，所述动作包括以下之一：

响应于请求上下文与所述授权原则相匹配，允许访问所述授权原则，以致针对安全资产的访问被允许；或者

响应于请求上下文与所述授权原则不匹配，拒绝访问所述授权原则，以致针对安全资产的访问不被允许。

2.根据权利要求1所述的系统，其中所述操作利用可信平台模块驱动器来执行。

3.根据权利要求1所述的系统，其中所述操作系统上下文包括用户识别符、应用识别符、群组识别符或特权级之中的一个或多个。

4.根据权利要求1所述的系统，其中所述安全资产包括存储在所述可信平台模块中的安全密钥、安全证书或受保护数据之中的一个或多个。

5.根据权利要求1所述的系统，其中所述授权原则经由指定访问所述安全资产的一个或多个条件的授权策略被绑定到所述安全资产，所述一个或多个条件指定：针对所述授权原则的访问是访问所述安全资产的条件。

6.根据权利要求1所述的系统，其中对于访问授权原则的请求利用所述可信平台模块外部的进程来启动，以及其中所述请求上下文包括与所述进程相关联的用户识别符、与所述进程相关联的应用识别符、与所述进程相关联的群组识别符或与所述进程相关联的特权级之中的一个或多个。

7.一种用于控制针对安全资产的访问的计算机实现的方法，所述方法包括：

接收配置用于在可信平台模块中存储的安全资产的授权策略的请求，所述请求识别个别地与一个或多个操作系统上下文的一个或多个表示相对应的一个或多个授权原则，所述一个或多个授权原则中的至少一个授权原则表示根对象，所述根对象使得所述一个或多个操作系统上下文中的操作系统上下文能够被表达给所述可信平台模块，所述操作系统上下文表示与操作系统相关地发生的基于身份的状态条件；

导致所述授权策略在所述可信平台模块中利用所述一个或多个授权原则来配置；和

导致所述授权策略在所述可信平台模块内被绑定到在所述可信平台模块中存储的安全资产，以致允许对于访问安全资产的请求以请求上下文与所述授权策略的一个或多个授权原则相匹配为条件。

8.根据权利要求7所述的计算机实现的方法，其中所述安全资产包括存储在所述可信平台模块内的安全密钥、安全证书或受保护数据之中的一个或多个。

9.根据权利要求7所述的计算机实现的方法，其中所述一个或多个操作系统上下文包括用户识别符、应用识别符、群组识别符或特权级之中的一个或多个。

10.根据权利要求7所述的计算机实现的方法，其中所述一个或多个授权原则包括使用一个或多个操作系统上下文生成的一个或多个密钥。

11.根据权利要求7所述的计算机实现的方法，其中所述一个或多个授权原则包括表示访问安全资产的访问条件的多个不同的授权原则。