[发明专利]用于预引导生物特征认证的技术

说明书

提供了一种用于在预引导过程期间提供针对安全执行环境中的硬件部件的认证服务的方法。所述方法是使用计算装置实施的。所述方法包括将生物特征认证飞地加载到安全执行环境内以及由可管理性控制器接收来自网络来源的生物特征模板，所述安全执行环境与所述计算装置的不受信任软件隔离。所述方法还包括对所述可管理性控制器和所述生物特征认证飞地进行相互认证，并响应于所述相互认证将生物特征模板从所述可管理性控制器提供至所述生物特征认证飞地。所述方法还包括由所述生物特征认证飞地使用所述生物特征模板对生物特征输入进行认证。所述方法可以还包括响应于对所述生物特征输入的认证而提供对硬件部件的访问。

背景技术

当前处理器可以为诸如安全飞地(enclave)的受信任执行环境提供支持。安全飞地包括存储器的区段(包括代码和/或数据)，处理器保护该区段以防止受到未经授权的访问，包括未经授权的读取和写入。具体而言，某些处理器可以包括软件保护扩展(Software Guard Extensions,SGX)，以提供安全飞地支持。具体而言，当安全飞地数据存在于平台存储器中时向所述数据提供保密性、完整性和重放保护，并因而提供对抗软件和硬件攻击的保护。片上边界形成了自然的安全边界，其中，数据和代码可以被明文存储，并且被认为是安全的。SGX不保护跨越片上边界移动的I/O数据。

受信任I/O(TIO)技术使应用能够安全地向装置发送和/或从装置接收I/O数据。该I/O数据可以包括认证数据。例如，I/O装置可以提供认证数据(例如，用户名、口令或者生物特征数据等)。就生物特征数据而言，生物特征I/O装置可以提供(例如)用户的指纹图像，将所述指纹图像与包括所存储的该用户的指纹图像或其它生物特征数据的生物特征模板进行比较，从而对用户进行认证。这种生物特征数据和生物特征模板是敏感的且个人可识别的数据，其可能易于遭受期望认证为授权用户的未授权个人的侵入或攻击。例如，未授权个人可能希望使用通过未授权手段接收到的认证凭证或数据来访问加密部件(例如，加密硬盘驱动器)。

附图说明

在附图中通过举例方式而非通过限制方式对本文描述的概念进行了图示。为了图示的简单和清晰起见，图中所示出的元件未必是按比例绘制的。在认为适当的地方，可以在各附图之间重复附图标记以指示对应或类似的元件。

图1是用于预引导生物特征认证的计算装置的至少一个实施例的简化方框图；

图2是图1的计算装置的环境的至少一个实施例的简化方框图；

图3是可以由图1-图2的计算装置执行的用于安全预引导生物特征认证的方法的至少一个实施例的简化流程图；

图4是可以由图1-图2的计算装置执行的用于相互部件认证以及生物特征模板的安全提供的方法的至少一个实施例的简化流程图；

图5是可以由图1-图2的计算装置执行的用于相互部件认证的方法的至少一个实施例的简化流程图；以及

图6是可以由图1-图2的计算装置执行的用于安全预引导生物特征认证的方法的至少一个实施例的简化流程图。

具体实施方式

尽管本公开的概念易于产生各种修改和替代形式，已经在附图中通过举例的方式示出了本发明的具体实施例，并且将在本文中详细描述本发明的这些具体实施例。但是，应当理解，并非旨在使本公开的概念局限于所公开的具体形式，相反，本发明将涵盖与本公开及所附权利要求一致的所有修改、等价方案和替代方案。