[发明专利]在可信平台模块中的操作系统上下文的表示

说明书

描述用于在可信平台模块中的操作系统上下文的表示的技术。在至少一些实施例中，在可信平台模块中导出与操作系统上下文的表示相对应的授权原则。授权原则能够用于定义用于访问在可信平台模块中存储的安全资产的授权策略。

背景技术

随着计算机已变得越来越普遍，越来越多的数据量已被存储在计算机上。这对于用户而言具有许多益处，其包括在相对小的空间中存储大量数据的能力。然而，这个数据中的一些数据时常打算被保密或者仅被透露给某些个人。这个数据能够采用不同的方式诸如使用口令或者个人识别号来保护。虽然这样的保护能够是有帮助的，但是计算机能够容易受到攻击，诸如字典攻击或蛮力攻击，其中进行许多尝试来猜测口令或个人识别号。这些脆弱性能够导致用户降低了对其计算机的信任，而这减损积极的用户体验。

发明内容

提供这个概要部分来以简化形式介绍下面在详细描述部分中进一步描述的概念的选择。这个概要部分并不旨在识别所请求保护的主题的关键特性或基本特性，也不旨在被用作辅助手段来确定所请求保护的主题的范畴。

描述用于在可信平台模块中的操作系统上下文(context)的表示的技术。在至少一些实施例中，在可信平台模块中导出与操作系统上下文的表示相对应的授权原则(principal)。这些授权原则能够用于定义用于访问在可信平台模块中存储的安全资产的授权策略。

附图说明

参考附图来描述详细描述部分。在附图中，参考号中的最左边（多个）数字识别该参考号第一次出现在其中的附图。在说明书和附图中在不同的实例中相同的参考号的使用可以指示相似或相同的项。

图1是根据一个或多个实施例的可操作来采用在本文讨论的技术的示例实现方式中的环境的图解。

图2举例说明根据一个或多个实施例的授权原则的示例实现方式。

图3举例说明根据一个或多个实施例的授权策略的示例实现方式。

图4是描述根据一个或多个实施例的用于导出授权原则的方法中的步骤的流程图。

图5是描述根据一个或多个实施例的用于将授权策略绑定(bind)到安全资产的方法中的步骤的流程图。

图6是描述根据一个或多个实施例的用于导致授权策略被绑定到安全资产的方法中的步骤的流程图。

图7举例说明参考图1所描述的示例系统和计算设备，其被配置成实现在本文描述的技术的实施例。

具体实施方式

综述

描述用于在可信平台模块中的操作系统上下文的表示的技术。一般而言，可信平台模块指的是被保护以避免一般系统访问的功能，诸如受保护的硬件和/或固件环境。例如，可信平台模块表示其中能够安全地执行代码的防篡改环境。

根据各种实现方式，操作系统上下文经由授权原则来表达，其中授权原则经由可信平台模块来实现。一般而言，操作系统上下文表示能够与操作系统相关发生的不同的基于身份的状态条件。操作系统上下文属性的示例包括用户识别符、应用与进程(process)识别符、群组(group)识别符（例如用于用户群组）、特权(privilege)识别符（例如用于不同的访问与安全特权级）等。

根据各种实现方式，授权原则基于操作系统上下文来定义。例如，操作系统上下文属性利用可信平台模块（TPM）访问模块来处理，以生成对应的授权原则。这些授权原则可以被绑定到存储在可信平台模块中的安全资产，诸如安全密钥（例如私钥）、安全证书、受保护数据等等。例如，授权策略可以利用授权原则来配置，以控制针对绑定的安全资产的访问。