[发明专利]用于预引导生物特征认证的技术

权利要求书

1.一种用于在预引导过程期间提供认证服务的计算装置，所述计算装置包括：

可管理性控制器，其中，所述可管理性控制器包括用以接收来自网络来源的生物特征模板的模板管理器；

部件认证管理器，其用以对所述可管理性控制器和所述计算装置的安全执行环境进行相互认证，其中，所述安全执行环境与所述计算装置的不受信任软件隔离；以及

生物特征认证管理器，其用以(i)响应于所述可管理性控制器和所述安全执行环境的相互认证而将所述生物特征模板从所述可管理性控制器安全地提供至所述安全执行环境，以及(ii)在所述预引导过程期间利用所述安全执行环境利用所述生物特征模板对生物特征输入执行生物特征认证操作。

2.根据权利要求1所述的计算装置，其中，对所述可管理性控制器和所述安全执行环境进行相互认证包括：

在所述可管理性控制器和所述安全执行环境之间安全地交换共享秘密密钥；

响应于所述共享秘密密钥的安全交换而由所述可管理性控制器安全地存储所述共享秘密密钥；以及

响应于所述共享秘密密钥的安全交换而由所述安全执行环境安全地存储所述共享秘密密钥。

3.根据权利要求2所述的计算装置，其中，将所述生物特征模板从所述可管理性控制器安全地提供至所述安全执行环境包括利用所述共享秘密密钥保护所述生物特征模板。

4.根据权利要求2所述的计算装置，其中，由所述可管理性控制器安全地存储所述共享秘密密钥包括将所述共享秘密密钥存储到所述可管理性控制器的内部储存器中。

5.根据权利要求2所述的计算装置，其中，由所述安全执行环境安全地存储所述共享秘密密钥包括：

利用所述安全执行环境的身份密封所述共享秘密密钥，以生成密封密钥；以及

将所述密封密钥存储到所述计算装置的数据储存装置中。

6.根据权利要求5所述的计算装置，其中，将所述生物特征模板从所述可管理性控制器安全地提供至所述安全执行环境还包括：

由所述安全执行环境利用所述安全执行环境的身份对所述密封密钥进行解密封，以恢复所述共享秘密密钥；以及

响应于对所述密封密钥的解密封而利用所述共享秘密密钥保护所述生物特征模板。

7.根据权利要求1所述的计算装置，其中，对所述可管理性控制器和所述安全执行环境进行相互认证包括由所述可管理性控制器验证所述安全执行环境的身份。

8.根据权利要求1所述的计算装置，其中，对所述可管理性控制器和所述安全执行环境进行相互认证包括由所述安全执行环境验证所述可管理性控制器的地点。

9.根据权利要求1所述的计算装置，还包括引导管理器，所述引导管理器用以：

加载所述计算装置的运行时环境；以及

利用所述计算装置的处理器的安全飞地支持将部件认证飞地加载到所述运行时环境内，其中，所述安全执行环境包括所述部件认证飞地；

其中，对所述可管理性控制器和所述安全执行环境进行相互认证包括对所述可管理性控制器和所述部件认证飞地进行相互认证。

10.根据权利要求9所述的计算装置，还包括引导管理器，所述引导管理器用以：

在所述预引导过程期间加载轻量级固件环境；以及

利用所述处理器的所述安全飞地支持将生物特征认证飞地加载到所述轻量级固件环境内，其中，所述安全执行环境包括所述生物特征认证飞地；

其中，将所述生物特征模板从所述可管理性控制器安全地提供至所述安全执行环境包括将所述生物特征模板从所述可管理性控制器安全地提供至所述生物特征认证飞地；并且

其中，执行所述生物特征认证操作包括由所述生物特征认证飞地执行所述生物特征认证操作。