CN103080904B - 提供多阶段锁步完整性报告机构 - Google Patents
提供多阶段锁步完整性报告机构 Download PDFInfo
- Publication number
- CN103080904B CN103080904B CN201180041576.7A CN201180041576A CN103080904B CN 103080904 B CN103080904 B CN 103080904B CN 201180041576 A CN201180041576 A CN 201180041576A CN 103080904 B CN103080904 B CN 103080904B
- Authority
- CN
- China
- Prior art keywords
- equipment
- main equipment
- designator
- integrity
- main
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
- Multi Processors (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
在一个实施例中,处理器强制执行黑名单并且根据多阶段锁步完整性协议来验证与所述处理器耦合的设备。这种强制执行可防止设备在验证之前访问系统的一个或多个资源。黑名单可以包括尚未根据所述多阶段锁步完整性协议验证的设备的列表。描述并要求保护了其它实施例。
Description
技术领域
本发明涉及计算机系统,尤其是涉及验证设备以提高安全性的方案。
背景技术
许多计算机系统包含根据依照PCIExpressTMSpecificationBaseSpecificationversion2.0(公布于2007年1月17日)(下文称为PCIeTM规范)的外设部件互连ExpressTM(PCIExpressTM(PCIeTM))协议的根联合体(rootcomplex)通信总线。在这种系统中,平台设备、嵌入式微处理器、输入/输出(IO)控制器、IO桥以及在中央处理单元(CPU)上运行的虚拟设备均可交互。在根联合体总线上使用的平台初始化和可管理性协议既能够支持主-从交互模型又能够支持对等交互模型。根联合体节点可经由直接存储器访问(DMA)架构以及通过管理控制传输协议(MCTP)与其它节点直接交互。
随着根联合体设备的复杂性和能力的增强,与可能的损害相关联的安全风险也增加。因此,在设备的配置被验证之前,这些设备相互怀疑其它设备。然而,当前的验证过程是费时且复杂的,并且仍会导致安全性损害。
发明内容
按照本发明的一个方面,提供一种验证设备的方法,包括:验证与根联合体总线耦合的所述设备的固件并且将对所述固件的权限测量写入到所述设备的表中;经由与所述根联合体总线耦合的主设备访问所述表以读取所述权限测量,响应于此而扩展权限平台配置寄存器PCR,以及将所述设备放置在黑名单上从而防止所述设备对至少一个平台资源进行访问;响应于权限PCR扩展,测量所述设备的图像清单,并且将用于所述图像清单的细节条目写入到所述表中;以及经由所述主设备访问所述表以读取所述细节条目,响应于此而扩展细节PCR,以及从所述黑名单中去除所述设备。
按照本发明的另一个方面,提供一种验证设备的装置,包括:处理器,其包括多个内核和非内核逻辑,其中所述处理器强制执行黑名单并且根据多阶段锁步完整性协议来验证与所述处理器耦合的所述设备,其中所述处理器与所述设备均执行由控制指示符为该处理器和设备选通的完整性协议,所述黑名单包括尚未根据所述多阶段锁步完整性协议验证的设备的列表;主设备,所述主设备与所述设备耦合以执行至少一部分的所述多阶段锁步完整性协议,其中在所述设备已经完成所述多阶段锁步完整性协议的第一阶段的至少一部分之后,所述主设备响应于由所述设备写入的、从所述设备的表的策略条目读取出的权限值,而扩展第一可信平台模块TPM平台配置寄存器PCR。
按照本发明的再一个方面,提供一种验证设备的系统,包括:主设备,其能访问第一平台配置寄存器PCR和第二PCR;以及从设备,其经由互连与所述主设备耦合,其中在所述从设备被允许访问所述系统的至少一个资源之前,用于所述从设备的完整性报告协议继续经过多个阶段,并且所述主设备将所述从设备置于黑名单上以防止所述从设备与至少一个资源进行交互直到所述完整性报告协议的多个阶段已经完成,所述黑名单包括尚未根据所述多阶段锁步完整性协议验证的设备的列表,其中所述主设备与从设备在完成所述完整性报告协议之前是相互不信任的;其中所述完整性报告协议的所述多个阶段包括:由所述从设备对固件的验证以及由所述从设备对图像清单的测量,以及分别响应于所述验证和所述图像清单测量而通过所述主设备相应扩展所述第一和第二PCR。
而根据本发明的方案,用于报告和验证设备完整性的两阶段锁步协议能够确保不受信任的设备能够与后续交互隔离,避免根联合体上的设备对主机资源进行访问。
附图说明
图1为根据本发明的实施例的系统的框图。
图2为根据本发明的一个实施例的具有完整性报告构造的配置空间的框图。
图3为根据本发明的一个实施例的游标储存器的框图。
图4为根据本发明的一个实施例的表的框图。
图5为根据本发明的实施例的进行通信的主设备和从设备的框图。
图6为根据本发明的实施例的包括双缓冲区的存储器表示的框图。
图7为根据本发明的一个实施例的用于收集设备完整性测量的主-从模型的框图。
图8为根据本发明的又一实施例的系统的框图。
图9为根据本发明的一个实施例的使用隐私增强型识别符(EPID)的完整性验证的框图。
图10为根据本发明的一个实施例的平台的框图。
图11为根据本发明的一个实施例的多阶段锁步完整性方法的流程图。
图12为根据本发明的一个实施例的多阶段完整性报告方法的流程图。
图13为根据本发明的另一实施例的系统的框图。
具体实施方式
在各个实施例中,提供了一种在用于主-从交互模型和对等交互模型的多个根联合体设备之间引导信任的方法,其中最初每个设备与其它设备相互不信任。用于报告和验证设备完整性的两阶段锁步协议能够确保不受信任的设备能够与后续交互隔离,因为这些不受信任的设备会对安全性造成重大风险。也就是说,如果恶意设备(roguedevice)被容许变为完全操作,则恶意设备可利用用于根联合体设备和虚拟设备的固件/微代码的弱点来获得未授权访问。例如,恶意设备能够执行对主机固件/软件(其对于可接受/不可接受设备固件可具有启动控制策略)隐瞒的代码。在没有如本文所述的保护的情况下,根联合体上的设备可对主机资源进行访问。恶意代码可用于访问主机资源或者向可直接访问这些主机资源的设备发起攻击。根联合体设备可以引入对于一些设备而言可信任以使用而对其它设备而言不可信任以使用的虚拟设备消息(VDM)。这样,出于利用VDM进行交互的目的,恶意设备可伪装成可信设备。
现在参照图1,示出了根据本发明的实施例的系统的框图。如图1所示,系统10可以为基于PCIeTM的系统,其中各个部件经由根联合体总线30耦合。具体地,在图1的实施例中,处理器20经由总线30耦合到输入输出中心(IOH)40,IOH40接着耦合到外围控制器中心(PCH)60。接着,PCH60可耦合到可信平台模块(TPM)90。可以看出,每个部件均可以包括耦合到根联合体总线的各种根联合体设备。每个这样的设备可以包括或者可关联PCI配置空间,PCI配置空间可以为本地存储器的包括配置信息的部分。在各个实施例中,这种配置空间还可包括根据本发明的实施例的完整性报告构造。
从图1中可见,处理器20可以包括多个内核,为了便于图示,在图1中仅示出了一个内核。可以看出,可执行线程x的内核22可以包括配置空间24,线程x可以执行在下文进一步说明的隐藏资源管理器(HRM)的细节。另外,处理器20还可以包括非内核25,非内核25可以包括在处理器内核的外部执行的处理器的各种逻辑。另外,处理器20还可包括集成存储器控制器(IMC)28,IMC28可以耦合到系统存储器(为便于图示而未在图1中示出)。可存在桥26,在一个实施例中,桥26可以为PCIeTM桥,其可耦合到与处理器耦合的一个或多个PCIeTM设备。可以看出,这些部件中的每个部件均可包括相关联的配置空间27和29。
从图1的实施例可进一步看出,IOH40还可包括PCIeTM桥41和控制器43,在一个实施例中,控制器43可以为使能执行各种测试操作的联合测试工作组(JTAG)控制器。另外,还可以存在符合直接介质接口(DMI)规范的桥45。可以看出,这些部件中的每个部件可以包括配置空间,即空间42、44和46。
从图1中还显示出,PCH60可以包括各种部件,这些部件包括桥和控制器。另外,可以存在虚拟引擎(VE)62和管理引擎(ME)64,该两者中的每个可与相应的配置空间63和65相关联。可以看出,PCH60的部件可以包括控制器和桥68、70、72、74、76、78和82,其每一个均包括相应的配置空间69、71、73、75、77、79和83。除了别的以外,这些控制器可以包括可扩展主机控制器接口(XHCI)、高级主机控制器接口(AHCI)、低引脚数(LPC)和串行外围接口(SPI)控制器。在一些实施例中,部件还可以包括传感器和专用设备。
可以看出,根联合体中的每个节点可以具有PCI配置空间,PCI配置空间能够用于存储设备能力的完整性测量。联合体设备具有可加载固件,能够支持修补和更新,并且可以连接至其它总线或网络。因此,被与根联合体设备连接的恶意软件、主机或设备利用的风险会很高。
现在参照图2,示出了根据本发明的一个实施例的具有完整性报告构造(即,完整性数据块100)的PCIeTM配置空间的框图。可以看出,可存储在给定设备的配置空间中的块100包括完整性数据110。这种数据可包括报头115,报头115提供各种识别信息。另外,可存在用于可充当给定完整性锁步协议的主设备的一个设备和其它设备的各种指示符。具体地,可存在第一设备就绪指示符(DR0)120和第二设备就绪指示符(DR1)125。如将在下文进一步讨论的,这些指示符可由设备设置以指示该设备已到达其认证协议的特定阶段。类似地,一个或多个主设备指示符(MR0-N)130可向主设备提供类似的信息。可进一步看出,可以存在表140。该表可以实现为标签-长度-值(TLV)条目的列表。在图2的实施例中,表包含在PCIeTM配置空间中,但是表还可以存储在其它设备存储器中。如将在下文进一步讨论的,该表可以存储与针对该设备进行的完整性测量和度量有关的各种信息。通过这种方式,PCIeTM配置空间用于基于自校验状态的完整性进行记录和报告。
当根联合体节点初始化时,其可加载应用程序、修补程序、固件或更新包。可利用包含数字签名的一个或多个完整性散列的清单(manifest)来描述包完整性。用于对清单进行签名的密钥是授权密钥。被称为设备启动策略(DLP)的清单指定该设备被授予哪个授权密钥,并且清单被测量成TLV表中的条目,称为策略TLV条目。策略TLV条目断言设备固件和设置被精确地陈述,并且因此权限值为用于保护设备清单的签名密钥的散列。主设备可利用策略TLV条目验证设备的完整性配置符合信息技术(IT)策略。设备和主设备的这些行动可以为锁步完整性报告协议的第一阶段。例如,IT可构造对应于由硬件生成的条目的TLV策略条目的白名单。比较函数将确定哪个TLV不在白名单中且因此未被IT授权。
在某些环境中,能够创建由设备加载的每个编码图像(例如,设备固件和PCI配置设置)的加密散列(也即测量)。在不同的实现中,包含图像的实际散列的清单可能被散列,或者图像可能被直接散列。可利用嵌入式散列函数(诸如安全散列算法1(Sha1)、Sha2或基于高级加密标准散列的消息认证代码(HMAC)、密码消息认证代码(CMAC)等)来计算这些散列。细节完整性值被写入细节TLV条目,细节TLV条目存储固件配置设置的散列。主设备随后可在协议的第二阶段中访问该细节TLV条目。
这样,PCIeTM配置空间可包含控制指示符(在一个实施例中可利用控制位来实现控制指示符),即设备和主设备指示符,控制指示符用于选通多阶段协议。在一个这样的实施例中,设备就绪-0(DR0)指示符能够用于报告权限测量何时准备好由读取器/验证设备消费。依次,设备就绪-1(DR1)指示符能够用于报告细节测量何时准备好消费。依次,主设备使用主设备就绪-0(MR0)指示符来发出其何时已完成完整性处理的第一阶段的信号。然后,主设备使用主设备就绪-1(MR1)来结束第二阶段。这样,主设备通过设置相应的MR位来结束第一阶段和第二阶段。因此,协议继续进行锁步,使得设备不能完成其完整性校验,直到主设备确认成功完成至少部分校验。当存在多个主设备时,可使用额外的位用作主设备就绪位。
现在参照图3,示出了根据本发明的一个实施例的TLV游标的框图。主设备利用TLV游标150来读取TLV条目,TLV游标通常包括寄存器域和值域。CURSOR_READ_INDEX寄存器152指向下一未读取的TLV条目,并且CURSOR_VALUE寄存器154包含可用于传送的TLV条目。在各个实施例中,TLV游标可存在于配置空间中,例如存在于TLV表本身的头部。
接下来,在图4中示出了根据本发明的实施例的TLV表。可以看出,TLV表160为包括策略TLV条目和细节TLV条目(通常为1620-1627)的测量的示例表。每个条目包括类型或标签域164、长度域166和值域168。标签域164可用于识别测量类型,而长度域166可用于指定值域168的长度。依次,值域168可以包含包括识别被测量的清单或图像的全局唯一识别符(GUID)的各种信息。该域的下一部分<alg>识别设备用于测量清单的散列算法,而接下来该域的最后部分<hash>是散列计算的结果。
现在参照图5,其示出了根据本发明的实施例的进行通信的主设备和从设备的框图。如图5所示,系统200包括主设备210,主设备210可以包括一组TPM平台配置寄存器(PCR)215。可以看出,主设备可通过总线230与设备220耦合,在一个实施例中,总线230可以为根联合体总线。依次,设备220可以包括各种部件,这些部件包括固件图像222、配置空间224、设备存储器226和命令缓冲器228。除了上文针对图2所述的其它各种完整性数据之外,诸如上面图4所示的认证表可包括在配置空间224中。在图5的系统运作时,主设备210可从设备220请求用于报告设备日志信息的设备条目日志(DEL)条目,其中条目的数量超过PCI配置区域中的有限资源。在这种情况下,设备能够实现虚拟设备方法(VDM),VDM支持通过命令接口来报告DEL。在一个这样的实施例中,设备可双重缓冲DEL内容以避免与将指针返回到设备存储页面相关联的安全风险。该通信可经由设备条目寄存器/记录(DER)日志读取命令,其使用用于报告设备日志信息的固定大小的缓冲区。
现在参照图6,其示出了根据本发明的实施例的包括双缓冲区的存储器表示的框图。可以看出,为了执行存在于配置空间中的信息的存储器复制,表的一些条目被复制到命令缓冲区。具体地,如图6所示,示出了配置空间224的一部分以及命令缓冲区228。可以看出,存储在配置空间中的TLV表242的条目可实现为具有多个条目2420-242n+3的链接列表。指针240(以及稍后的240')可用于指向待读取的当前条目。可以看出,条目经由存储器复制操作被缓冲到命令缓冲区228。具体地,条目2520-252n被完全复制。在图6中,日志条目表示为索引阵列242或链接列表,其中游标指针240用于保持对列表中的当前TLV条目的引用。
命令缓冲区228可用于将条目传达到调用程序。然而,因为命令缓冲区可能具有有限的尺寸,所以整个结构不能适应单个命令缓冲区。在这种实现中,多位255用于指示调用程序何时存在额外的条目。如果多位为“真”,则调用程序再次重新发布VDM,直到多位变成“假”或者直到调用程序中止操作。在每个命令调用之后,游标指针被更新(在图6中显示为240')以指代未复制的日志条目直到所有的日志条目均被复制。然后,指针可复位到列表的开始。
图7示出了用于收集设备完整性测量的主-从模型的框图。可以看出,主设备210经由总线230与多个设备220耦合。设备220可充当主设备的从设备。可以看出,系统200'包括主设备210,主设备210具有配置空间212和TPMPCR215。经由总线230,主设备210可与多个设备2200-220n耦合,每个设备2200-220n可包括固件图像2200-220n和配置空间2240-224n。主设备210隐含地断言总线上的所有设备均信任它。这可经由具有轮询根联合体设备并利用本地PCR215处理完整性值的额外功能的TPM来实现。
现在参照图8,其示出了根据本发明的又一实施例的系统的框图。如图8所示,系统200″可以包括多个设备220,每个设备包括固件、配置空间和TPMPCR。通过这种方式,每个节点能够充当主设备和/或设备。具体地,在图8中,描绘了对等模型,其中每个节点既是报告其完整性的设备又是从其它设备处收集完整性值的主设备。每个主设备可包含适于向应用程序软件、管理控制台或其它网络服务报告完整性数据的TPMPCR的等价TPMPCR。在该模型的一个实施例中,每个主设备试图以循环模式从其它设备处收集完整性信息。
图9为根据本发明的一个实施例的使用隐私增强型识别符(EPID)的完整性验证的框图。EPID为非对称加密系统,其具有用于公钥的单个实例的多个私钥。图9中的设备300可根据情形而充当设备和/或主设备。可以看出,设备可以包括根据本发明的实施例的用于执行完整性测量的固件图像310和各种结构。具体地,除了配置空间320之外,可存在一组扩展寄存器330。此外,除了EPID私钥350和公钥360之外还可以存在完整性报告密钥(IRK)340。由于TPM的实现可能成本过高并且对IT产生部署成本,所以由私钥350和公钥360形成的EPID能够用于报告完整性值,作为在每个设备中实现TPM功能的备选。包含EPID的设备能够使用EPID来对完整性报告密钥(IRK)340进行数字签名,而IRK340能够用于认证完整性值AER和DER。IRK340可以为本地生成的用于执行扩展寄存器330的HMAC或AES_CMAC的对称密钥。当报告协议寻求免于重放攻击以及现时(nonce)的保护并且其它信息由调用程序供给时,可以使用IRK。需要注意的是,如果不使用IRK,则EPID能够用于直接对扩展寄存器进行签名。充当主设备的设备可通过使用EPID公钥360的嵌入式复件验证EPID签名来对其收集到的完整性报告进行验证。由于单个EPID公钥可用于制造多个EPID设备识别符,所以单个EPID公钥可用于验证多个设备。
如上所述,实施例可应用于可在各种环境中运行的各种类型的系统。例如,如上文所提及的,处理器可以实现隐藏资源管理器。一般地,存储器的整个范围对于诸如操作系统(OS)或虚拟机监控器(VMM)的系统软件是可见的。然而,为了提供安全的操作等,在存储器中可提供隐藏分区,隐藏分区包括能够使用资源管理器运行的代码,隐藏分区可以例如以处理器微代码实现或经由软件线程实现并且能够对OS/VMM隐藏。在这种实现中,多阶段锁步协议能够用于认证设备。
现在参照图10,器示出了根据本发明的另一实施例的平台的框图。如图10所示,平台410可以为任意类型的计算机系统,例如服务器计算机、台式计算机、膝上型计算机、平板式计算机、上网本计算机等等。平台包括一起操作以执行所请求的操作的各种硬件和软件。可以看出,平台硬件包括处理器420,在一个实施例中,处理器420可以为包括多个处理器内核422a-422n的多核处理器。每个内核422可以包括用于在隐藏环境中执行的微代码,其中该环境对诸如OS或VMM的其它系统软件是隐藏的。可进一步看出,处理器420包括与系统存储器430进行通信的集成存储控制器中心(MCH)424,在一个实施例中,系统存储器430可以为动态随机存取存储器(DRAM)。
平台410另外的硬件可以包括PCH440,PCH440可以包括VE442和ME444,其可提供对诸如储存器450(例如诸如磁盘驱动器、光学储存器或其它非易失性储存器的大容量储存器)的各种外围设备的控制功能。另外,网络接口控制器(NIC)455可使得在平台410与诸如有线网络(例如局域网(LAN))、无线网络(诸如无线LAN(WLAN))或宽范围无线网络(诸如蜂窝网络)的网络的其它代理之间进行通信。尽管在图10的实施例中示出了该特定硬件,但是应当理解的是本发明的范围在这点上不受限制。
从图10中可进一步看出,还存在各种软件。首先,示出了隐藏资源管理器(HRM)425。可以看出,该层软件可充当下层处理器硬件和隐藏分区470之间的接口。在一个实施例中,HRM425可以实现为存储在处理器的微代码储存器中的处理器微代码。应注意的是,该微代码和储存器可与用于为指令集架构(ISA)的相应用户级指令提供处理器指令的常规微代码和微代码储存器分离。然而,在一些实施例中,隐藏微代码和常规微代码可存储在单个微代码储存器的不同分区中。
资源管理器可执行以为隐藏分区470的代码提供服务。可以看出,各种代码可存在于该隐藏分区中,这些代码可存储在例如被分割且对其它系统软件(即,OS和VMM)隐藏的系统存储器430的分区中。隐藏分区470包括各种代码,包括一个或多个隐藏内核和驱动器472,其可提供内核服务以及用于与平台的其它设备接口的驱动器。除了可在隐藏执行环境中执行的一个或多个应用程序475之外,可以存在额外的内核功能代码474。尽管本发明的范围在这点上不受限制,但是隐藏执行环境可用于诸如实现为遵从提供比通用OS高的完整性的正式安全性模型的操作。另外,平台410包括包含主机OS/VMM分区460的常规软件,主机OS/VMM分区460可以包括各种主机设备驱动器462和主机应用程序464。这种代码可存储在系统存储器430的另一分区中。HRM425可为OS/VMM分区提供系统硬件的抽象。
如下文将说明的,在一个实施例中,多阶段锁步完整性协议可用于包括隐藏环境的暂态内核(称为Kernel-0)的环境中,暂态内核充当启动隐藏环境的永久内核(Kernel-1)的引导加载程序。随后,Kernel-1使用由Kernel-0供给的启动控制策略来验证应用程序代码完整性。应用程序的完整性测量可记录在称为启动历史的日志文件中。
现在参照图11,其示出了根据本发明的一个实施例的多阶段锁步完整性方法的流程图。在图11中,示出了用于单个主设备和多个设备的2阶段锁步完整性报告协议流程。当在对等配置中使用时,每个主设备节点重复该协议。可以看出,能够并行地执行用于设备(开始于方框505)和主设备(开始于方框550)的操作。
关于设备操作,设备X开始于通过使用嵌入式验证内核来验证其固件的设备清单(方框505)。接下来,在方框510处,清单用于加载、测量和验证设备固件(但不执行该设备固件)。然后,设备测量权限密钥清单并且通过将权限测量写到其TLV表的条目来创建策略TLV条目(方框515)。设备将其设备就绪位(DR0)设定为“真”(方框520)并且阻塞在MR0位上(菱形525),表示设备进入等待状态直到主设备已对该位进行设置。
并行地,主设备轮询设备X并且阻塞在DR0位上(方框550)。也就是说,如果在菱形555处确定了DR0为“假”,则设备X尚未就绪并且可置于黑名单上(方框558),从而不会履行来自该设备的正常服务请求。在一个实施例中,主设备可拒绝将消息路由到黑名单上的任一从设备。更加复杂的策略能够指定被允许/拒绝的具体VDM。如果设备支持用于禁用设备的VDM,则主设备可选择禁用设备(假设设备供应商实现了允许在设备被禁用的同时该设备继续进行2阶段协议的禁用命令)。主设备可保持阻塞在设备X的DR0位上或者继续轮询其它设备。当DR0变成“真”时,控制转向方框560,此时主设备从TLV条目(例如,策略TLV条目)读取权限值并且扩展TPM权限PCR并更新TPMPCR日志。然后,在方框570处,主设备例如利用VDM功能将设备X的主设备就绪位(MR0)设置为“真”。在对等模式中,VDM消息可由设备使用EPID签名或TPM签名密钥来认证,并且采用与每个具体主设备相关联的主设备就绪位。
现在返回参照设备侧,在菱形525处,如果MR0为“假”则设备会阻塞,并且因此,设备等待主设备变成就绪(方框530)。需注意的是,在对等模式中,对每个主设备可以存在单独的MR0位。当设备测量含有图像的散列的图像清单或者当设备动态地测量图像时,可以开始认证过程的第二阶段(方框535)。因此,创建细节TLV条目。然后,设备将其DR1位设定为“真”(方框540)。
返回参照主设备操作,如果在菱形572处确定DR1位为“假”,则主设备在块575处阻塞,设备X位于黑名单上。当DR1变成“真”时,主设备读取细节TLV条目并且扩展TPM细节PCR并相应地更新TPMPCR日志(方框580)。然后,主设备将第二主设备就绪位(MR1)设置为“真”并且从黑名单中移除设备X(块585)。依次,设备阻塞在MR1位上直到主设备就绪(菱形545和方框548)。当设备检测到MR1现为“真”时,其完成其设备初始化并且可用于正常操作(方框549)。主设备对下一设备进行轮询(方框590)。尽管图11的实施例中显示,但应当理解本发明的范围在这点上不受限制。
在BIOS和隐藏执行环境中,2阶段锁步完整性报告协议可在主-从模式中执行,在这种模式中,BIOS扮演主设备的角色,而隐藏执行环境执行扮演设备的角色。现在参照图12,其示出了根据本发明的一个实施例的2阶段完整性报告流程方法600的流程图。在图12的实施例中,当BIOS设置特征控制机专属寄存器(MSR)而使隐藏执行环境特征变得活跃时,通过BIOS、隐藏执行环境和OS三者中的每个来执行各种操作(方框605)。在方框610处,BIOS阻塞在DR0位上,直到来自隐藏执行环境的完整性测量就绪。
现在,关于由隐藏执行环境执行的操作,HRM创建包含隐藏公钥(HPK)的策略TLV,HPK包括用于验证Kernel-0和Kernel-1图像的密钥,并且HRM还创建Kernel-0的细节TLV条目(方框625)。在HRM使用HPK已经对Kernel-0进行验证之后,HRM引导Kernel-0(方框630)。应注意的是,如果Kernel-0验证失败,则处置权限TLV并且复位HRM。接下来,Kernel-0通过对启动控制策略(LCP)清单进行散列来创建隐藏执行环境应用程序的权限TLV(方框635)。
然后,HRM设置DR0位(方框640)。HRM阻塞在MR0位上直到BIOS已完成PCR扩展(方框645)。返回参照BIOS操作,BIOS扩展日志中条目的权限和细节PCR(方框615)。BIOS还可以设置MR0位,允许隐藏执行环境继续(方框618)。BIOS还引导主OS,主OS承担了主设备的角色(方框620)。OS启动隐藏测量服务(HMS)以继续主设备的角色(方框670)。HMS阻塞在DR1位上直到剩余的完整性值就绪(方框675)。
返回参照隐藏执行环境操作,Kernel-0创建Kernel-1的细节测量并且将它们置于TLV条目中(方框648)。然后,Kernel-0启动Kernel-1(方框649)。依次,Kernel-1通过对应用程序清单进行散列来创建每个应用程序的细节测量并且创建TLV条目(方框650)。Kernel-1设置DR1位,向HMS发出继续进行的信号(方框655)。Kernel-1阻塞在MR1位上以等待HMS完成(方框660)。HMS使用由HRM管理的TLV条目来扩展TPM中的细节PCR(方框680)。HMS通过设置MR1位而向Kernel-1发出继续的信号(方框685)。最后,Kernel-1启动隐藏执行环境应用程序(方框665)。两阶段协议确保主设备环境不会由于隐藏执行环境中不知何故影响主设备安全地更新PCR值的能力的恶意软件而受损。
当然,多阶段锁步完整性报告的其它实现是可能的。现在参照图12,示出了根据本发明的又一实施例的系统的框图。如图12所示,系统700可以包括主设备720,主设备720与包括配置空间745的隐藏执行设备740耦合。为了使主设备能够执行,可存在安全初始化认证代码模块(SINITACM)710并且可进一步与包括一组PCR735的TPM730耦合。在图13的实施例中,可信执行技术(TXT)扮演主设备的角色,而隐藏执行环境扮演设备的角色。在该模型中,SINITACM710可由于发布SENTER指令705而被启动。SENTER致使隐藏执行环境暂停。SINIT在其不能够执行协议的整个主设备侧的约束环境中运行。因为主设备以与SINIT相同的特权等级操作,所以SINIT可将其功能的一些或全部委派给主设备720。由于SENTER状态的特殊本质,所以不遵从2阶段锁步协议。而是,在系统启动时计算出的完整性值能够被向前进行。SINIT/主设备确保在容许隐藏执行环境执行之前对(例如图12的方框680的)动态启动PCR进行更新。在一个实施例中,该实现可按如下方式进行。如果隐藏执行未被使能/运行,则主设备可被调用。SENTER致使隐藏执行暂停,并且对进入SINIT的条目进行初始化(该初始化对隐藏执行驱动器进行验证并且将隐藏执行驱动器扩展到PCR中),然后加载隐藏执行驱动器。该驱动器可以为TXT的系统管理模式(SMM)转移监视器,其在测量被扩展到TPM中之前保护系统免于可能损害测量的未权限SMM中断。接下来,SINIT从在第一系统引导程序处生成的HRM获得TLV条目,并且将细节条目扩展到第一TPMPCR中,并且将权限条目扩展到第二TPMPCR中。最后,SINIT再次使能隐藏执行环境。
因此,通过直接计算图像的完整性散列(或者通过验证清单中所包含的完整性散列,然后对清单进行测量),实施例使得PCIeTM设备能够在加载时测量固件和配置文件完整性。可利用PCIeTM配置空间将测量报告给其它PCIeTM设备,PCIeTM配置空间可被配置为能由其它设备和虚拟设备读而仅能由PCIeTM设备写。可替换地,能够向可信设备制造商认证具有EPID的设备。EPID能够用于对报告的完整性测量进行签名,从而参与设备能够验证设备完整性。此外,诸如BIOS、OS和TXT的主机环境能够扩展TPMPCR,并且在该环境被给予操作和使用设备报告机制的完全的特权之前,验证隐藏执行环境清单,以在设备被允许完全访问其他平台资源之前,在设备/虚拟设备(诸如隐藏执行环境)中建立信任。
因此,包括诸如隐藏执行环境和ME或VE的虚拟PCIeTM设备的根联合体设备可被列入黑名单,从而它们不能与其它平台部件进行交互直到已经执行完整性校验。在一个实施例中,非内核/CPU(例如,图1)强制执行黑名单。
实施例可实现为代码并且可存储在已经存储有能够用于对系统进行编程以执行指令的指令的存储介质上。存储介质可以包括但不限于:任何类型的磁盘,包括软盘、光盘、固态驱动器(SSD)、高密度磁盘只读存储器(CD-ROM)、可重写高密度磁盘(CD-RW)以及磁光盘;半导体设备,诸如只读存储器(ROM)、诸如动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)的随机存取存储器(RAM)、可擦除可编程只读存储器(EPROM)、闪速存储器、电可擦除可编程只读存储器(EEPROM)、磁卡或光学卡;或用于存储电子指令的任何其它类型的介质。
尽管已经参照有限数量的实施例说明了本发明,但本领域技术人员将从中领悟到多种改进方案和变型例。目的在于使随附的权利要求涵盖落在本发明的精神和范围内的所有这样的改进方案和变型例。
Claims (22)
1.一种验证设备的方法,包括:
验证与根联合体总线耦合的所述设备的固件并且将对所述固件的权限测量写入到所述设备的表中;
经由与所述根联合体总线耦合的主设备访问所述表以读取所述权限测量,响应于此而扩展权限平台配置寄存器PCR,以及将所述设备放置在黑名单上从而防止所述设备对至少一个平台资源进行访问;
响应于权限PCR扩展,测量所述设备的图像清单,并且将用于所述图像清单的细节条目写入到所述表中;以及
经由所述主设备访问所述表以读取所述细节条目,响应于此而扩展细节PCR,以及从所述黑名单中去除所述设备。
2.如权利要求1所述的方法,其中所述设备计算所述固件的完整性散列值以验证所述固件,并且将所述权限测量写入到所述设备的配置空间的策略条目。
3.如权利要求2所述的方法,还包括:使所述主设备能够读取至少一部分所述配置空间而不能写入到所述配置空间。
4.如权利要求1所述的方法,还包括:在验证所述固件之后,将第一设备指示符设置在所述设备的完整性数据结构中。
5.如权利要求4所述的方法,其中在所述第一设备指示符被设置之后,所述主设备访问所述表以读取所述权限测量。
6.如权利要求4所述的方法,还包括:在所述权限PCR被扩展之后,将第一主设备指示符设置在所述完整性数据结构中。
7.如权利要求6所述的方法,其中在所述第一主设备指示符被设置之后,所述设备测量所述图像清单。
8.如权利要求1所述的方法,还包括:在测量所述图像清单之后,将第二设备指示符设置在完整性数据结构中。
9.如权利要求8所述的方法,其中在所述第二设备指示符被设置之后,所述主设备访问所述表以读取所述细节条目。
10.如权利要求9所述的方法,还包括:在所述细节PCR被扩展之后,将第二主设备指示符设置在所述完整性数据结构中。
11.如权利要求10所述的方法,其中在所述第二主设备指示符被设置之后,所述设备完成初始化。
12.一种验证设备的装置,包括:
处理器,其包括多个内核和非内核逻辑,其中所述处理器强制执行黑名单并且根据多阶段锁步完整性协议来验证与所述处理器耦合的所述设备,其中所述处理器与所述设备均执行由控制指示符为该处理器和设备选通的完整性协议,所述黑名单包括尚未根据所述多阶段锁步完整性协议验证的设备的列表;
主设备,所述主设备与所述设备耦合以执行至少一部分的所述多阶段锁步完整性协议,其中在所述设备已经完成所述多阶段锁步完整性协议的第一阶段的至少一部分之后,所述主设备响应于由所述设备写入的、从所述设备的表的策略条目读取出的权限值,而扩展第一可信平台模块TPM平台配置寄存器PCR。
13.如权利要求12所述的装置,其中所述第一阶段包括由设备对固件的验证。
14.如权利要求13所述的装置,其中在所述设备已经完成所述多阶段锁步完整性协议的第二阶段的至少一部分之后,所述主设备响应于由所述设备写入的、从所述表的细节条目读取出的细节值而扩展第二TPMPCR。
15.如权利要求14所述的装置,其中所述第二阶段包括由所述设备对图像清单的测量。
16.如权利要求15所述的装置,其中所述表包括:多个条目,每个条目具有指示存储在所述条目中的测量的类型的类型域、指示值域的长度的长度域以及识别被测量代理的值域;算法,其用于执行所述测量;以及所述算法的结果。
17.如权利要求16所述的装置,其中所述表存储在所述设备的配置空间中,所述配置空间还包括:设备指示符,每个所述设备指示符指示所述设备何时已完成所述多阶段锁步完整性协议的一阶段;以及主设备指示符,每个所述主设备指示符指示所述主设备何时已完成所述多阶段锁步完整性协议的一阶段。
18.一种验证设备的系统,包括:
主设备,其能访问第一平台配置寄存器PCR和第二PCR;以及
从设备,其经由互连与所述主设备耦合,其中在所述从设备被允许访问所述系统的至少一个资源之前,用于所述从设备的完整性报告协议继续经过多个阶段,并且所述主设备将所述从设备置于黑名单上以防止所述从设备与至少一个资源进行交互直到所述完整性报告协议的多个阶段已经完成,所述黑名单包括尚未根据所述多阶段锁步完整性协议验证的设备的列表,其中所述主设备与从设备在完成所述完整性报告协议之前是相互不信任的;
其中所述完整性报告协议的所述多个阶段包括:由所述从设备对固件的验证以及由所述从设备对图像清单的测量,以及分别响应于所述验证和所述图像清单测量而通过所述主设备相应扩展所述第一和第二PCR。
19.如权利要求18所述的系统,其中在所述固件的验证之后所述从设备将第一设备指示符设置在所述设备的完整性数据结构中,并且在所述第一设备指示符被设置之后,所述主设备读取由所述从设备写入所述完整性数据结构中的关于所述固件验证的权限测量。
20.如权利要求19所述的系统,其中在所述第一PCR被扩展之后,所述主设备将第一主设备指示符设置在所述完整性数据结构中,并且在所述第一主设备指示符被设置之后,所述从设备测量所述图像清单,并且在所述图像清单的测量之后将第二设备指示符设置在所述完整性数据结构中。
21.如权利要求20所述的系统,其中在所述第二设备指示符被设置之后,所述主设备访问所述完整性数据结构,以读取由所述从设备写入所述完整性数据结构中的关于所述图像清单测量的细节条目。
22.如权利要求21所述的系统,其中在所述第二PCR被扩展之后,所述主设备将第二主设备指示符设置在所述完整性数据结构中,并且在所述第二主设备指示符被设置之后所述从设备完成初始化。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/845,528 US8516551B2 (en) | 2010-07-28 | 2010-07-28 | Providing a multi-phase lockstep integrity reporting mechanism |
US12/845,528 | 2010-07-28 | ||
PCT/US2011/045798 WO2012016086A2 (en) | 2010-07-28 | 2011-07-28 | Providing a multi-phase lockstep integrity reporting mechanism |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103080904A CN103080904A (zh) | 2013-05-01 |
CN103080904B true CN103080904B (zh) | 2015-11-25 |
Family
ID=45528056
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180041576.7A Active CN103080904B (zh) | 2010-07-28 | 2011-07-28 | 提供多阶段锁步完整性报告机构 |
Country Status (6)
Country | Link |
---|---|
US (3) | US8516551B2 (zh) |
EP (1) | EP2598994A4 (zh) |
KR (1) | KR101458780B1 (zh) |
CN (1) | CN103080904B (zh) |
TW (1) | TWI530810B (zh) |
WO (1) | WO2012016086A2 (zh) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103765427B (zh) | 2011-09-07 | 2017-02-15 | 英特尔公司 | 检验设备的固件完整性 |
WO2013101081A1 (en) | 2011-12-29 | 2013-07-04 | Intel Corporation | Methods and apparatus for trusted boot optimization |
US9367688B2 (en) | 2012-06-22 | 2016-06-14 | Intel Corporation | Providing geographic protection to a system |
US8973095B2 (en) | 2012-06-25 | 2015-03-03 | Intel Corporation | Authenticating a user of a system via an authentication image mechanism |
US9100366B2 (en) * | 2012-09-13 | 2015-08-04 | Cisco Technology, Inc. | Early policy evaluation of multiphase attributes in high-performance firewalls |
US9064109B2 (en) | 2012-12-20 | 2015-06-23 | Intel Corporation | Privacy enhanced key management for a web service provider using a converged security engine |
US9560014B2 (en) * | 2013-01-23 | 2017-01-31 | Mcafee, Inc. | System and method for an endpoint hardware assisted network firewall in a security environment |
EP3014507B1 (en) | 2013-06-27 | 2018-04-04 | Intel Corporation | Continuous multi-factor authentication |
US9680646B2 (en) * | 2015-02-05 | 2017-06-13 | Apple Inc. | Relay service for communication between controllers and accessories |
US10073964B2 (en) | 2015-09-25 | 2018-09-11 | Intel Corporation | Secure authentication protocol systems and methods |
US10007634B2 (en) * | 2015-12-07 | 2018-06-26 | Intel Corporation | Method to enable intel mini-mezz open compute project (OCP) plug-and-play network phy cards |
KR102367359B1 (ko) * | 2017-04-17 | 2022-02-25 | 에스케이하이닉스 주식회사 | 직렬 시스템 버스 인터페이스 및 직접메모리액세스 컨트롤러를 갖는 전자 시스템 및 그 동작 방법 |
US10606764B1 (en) | 2017-10-02 | 2020-03-31 | Northrop Grumman Systems Corporation | Fault-tolerant embedded root of trust using lockstep processor cores on an FPGA |
US11677730B2 (en) * | 2018-01-24 | 2023-06-13 | Intel Corporation | Device authentication |
US11165766B2 (en) | 2018-08-21 | 2021-11-02 | International Business Machines Corporation | Implementing authentication protocol for merging multiple server nodes with trusted platform modules utilizing provisioned node certificates to support concurrent node add and remove |
US11206141B2 (en) * | 2018-09-21 | 2021-12-21 | International Business Machines Corporation | Merging multiple compute nodes with trusted platform modules utilizing provisioned node certificates |
US10885197B2 (en) | 2018-09-21 | 2021-01-05 | International Business Machines Corporation | Merging multiple compute nodes with trusted platform modules utilizing authentication protocol with active trusted platform module provisioning |
US11599641B2 (en) * | 2019-04-24 | 2023-03-07 | Crowdstrike, Inc. | Firmware retrieval and analysis |
US10909054B2 (en) * | 2019-04-26 | 2021-02-02 | Samsung Electronics Co., Ltd. | Method for status monitoring of acceleration kernels in a storage device and storage device employing the same |
FR3103586B1 (fr) * | 2019-11-22 | 2023-04-14 | St Microelectronics Alps Sas | Procédé de gestion du fonctionnement d’un système sur puce formant par exemple un microcontrôleur, et système sur puce correspondant |
FR3103585B1 (fr) | 2019-11-22 | 2023-04-14 | Stmicroelectronics Grand Ouest Sas | Procédé de gestion de la configuration d’accès à des périphériques et à leurs ressources associées d’un système sur puce formant par exemple un microcontrôleur, et système sur puce correspondant |
FR3103584B1 (fr) | 2019-11-22 | 2023-05-05 | St Microelectronics Alps Sas | Procédé de gestion du débogage d’un système sur puce formant par exemple un microcontrôleur, et système sur puce correspondant |
CN112835839A (zh) * | 2021-02-04 | 2021-05-25 | 深圳市广和通无线股份有限公司 | PCIe接口的设备枚举方法、装置、设备及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101147154A (zh) * | 2005-03-22 | 2008-03-19 | 惠普开发有限公司 | 用于可信数据的方法、设备和数据结构 |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7590870B2 (en) * | 2003-04-10 | 2009-09-15 | Lenovo (Singapore) Pte. Ltd. | Physical presence determination in a trusted platform |
JP4404190B2 (ja) * | 2003-07-24 | 2010-01-27 | ソニー株式会社 | 電子機器、認証使用情報更新方法 |
US7716494B2 (en) | 2004-07-15 | 2010-05-11 | Sony Corporation | Establishing a trusted platform in a digital processing system |
US7653819B2 (en) * | 2004-10-01 | 2010-01-26 | Lenovo Singapore Pte Ltd. | Scalable paging of platform configuration registers |
US8037318B2 (en) * | 2004-11-17 | 2011-10-11 | Oracle America, Inc. | System and methods for dependent trust in a computer system |
WO2006100522A1 (en) | 2005-03-22 | 2006-09-28 | Hewlett-Packard Development Company, L.P. | Methods, devices and data structures for trusted data |
US20080126779A1 (en) * | 2006-09-19 | 2008-05-29 | Ned Smith | Methods and apparatus to perform secure boot |
US7945786B2 (en) | 2007-03-30 | 2011-05-17 | Intel Corporation | Method and apparatus to re-create trust model after sleep state |
US8782801B2 (en) | 2007-08-15 | 2014-07-15 | Samsung Electronics Co., Ltd. | Securing stored content for trusted hosts and safe computing environments |
US20090132837A1 (en) | 2007-11-15 | 2009-05-21 | Mcm Portfolio Llc | System and Method for Dynamically Selecting Clock Frequency |
US8171321B2 (en) | 2007-12-26 | 2012-05-01 | Intel Corporation | Method and apparatus for cost and power efficient, scalable operating system independent services |
US8042190B2 (en) * | 2007-12-31 | 2011-10-18 | Intel Corporation | Pre-boot protected memory channel |
JP5390619B2 (ja) * | 2008-09-24 | 2014-01-15 | インターデイジタル パテント ホールディングス インコーポレイテッド | Homenode−b装置およびセキュリティプロトコル |
US8161285B2 (en) * | 2008-09-26 | 2012-04-17 | Microsoft Corporation | Protocol-Independent remote attestation and sealing |
US8127146B2 (en) * | 2008-09-30 | 2012-02-28 | Microsoft Corporation | Transparent trust validation of an unknown platform |
GB2466071B (en) * | 2008-12-15 | 2013-11-13 | Hewlett Packard Development Co | Associating a signing key with a software component of a computing platform |
US8832454B2 (en) * | 2008-12-30 | 2014-09-09 | Intel Corporation | Apparatus and method for runtime integrity verification |
US9191211B2 (en) * | 2009-02-27 | 2015-11-17 | Atmel Corporation | Data security system |
AR076088A1 (es) * | 2009-03-06 | 2011-05-18 | Interdigital Patent Holding Inc | Plataforma de validacion y gestion de dispositivos inalambricos |
US9015078B2 (en) * | 2010-03-28 | 2015-04-21 | Lenovo (Singapore) Pte. Ltd. | Audit trails for electronic financial transactions |
-
2010
- 2010-07-28 US US12/845,528 patent/US8516551B2/en not_active Expired - Fee Related
-
2011
- 2011-07-22 TW TW100125997A patent/TWI530810B/zh active
- 2011-07-28 CN CN201180041576.7A patent/CN103080904B/zh active Active
- 2011-07-28 KR KR1020137004939A patent/KR101458780B1/ko not_active IP Right Cessation
- 2011-07-28 EP EP11813213.3A patent/EP2598994A4/en not_active Withdrawn
- 2011-07-28 WO PCT/US2011/045798 patent/WO2012016086A2/en active Application Filing
-
2013
- 2013-06-25 US US13/925,991 patent/US8844021B2/en not_active Expired - Fee Related
-
2014
- 2014-08-21 US US14/464,874 patent/US9245106B2/en not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101147154A (zh) * | 2005-03-22 | 2008-03-19 | 惠普开发有限公司 | 用于可信数据的方法、设备和数据结构 |
Also Published As
Publication number | Publication date |
---|---|
TWI530810B (zh) | 2016-04-21 |
KR20130056894A (ko) | 2013-05-30 |
CN103080904A (zh) | 2013-05-01 |
US8844021B2 (en) | 2014-09-23 |
WO2012016086A3 (en) | 2012-04-05 |
US8516551B2 (en) | 2013-08-20 |
EP2598994A2 (en) | 2013-06-05 |
US20140359754A1 (en) | 2014-12-04 |
US20120030730A1 (en) | 2012-02-02 |
US20130283369A1 (en) | 2013-10-24 |
KR101458780B1 (ko) | 2014-11-07 |
EP2598994A4 (en) | 2016-06-08 |
TW201214192A (en) | 2012-04-01 |
US9245106B2 (en) | 2016-01-26 |
WO2012016086A2 (en) | 2012-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103080904B (zh) | 提供多阶段锁步完整性报告机构 | |
US11741230B2 (en) | Technologies for secure hardware and software attestation for trusted I/O | |
CN103299311B (zh) | 用于可信引导优化的方法和设备 | |
CN109446815B (zh) | 基本输入输出系统固件的管理方法、装置和服务器 | |
US8909940B2 (en) | Extensible pre-boot authentication | |
CN105144185B (zh) | 验证控制器代码和系统启动代码 | |
JP4855679B2 (ja) | サーバ管理コプロセッササブシステム内部のtcpaによる信頼性の高いプラットフォームモジュール機能のカプセル化 | |
US8201239B2 (en) | Extensible pre-boot authentication | |
TWI528281B (zh) | 平臺韌體防護方法、設備、系統以及相關的機器可讀媒體 | |
JP5362767B2 (ja) | リモートサーバからデータ記憶装置の安全性を検査する方法および装置 | |
US8332604B2 (en) | Methods to securely bind an encryption key to a storage device | |
US20080235754A1 (en) | Methods and apparatus for enforcing launch policies in processing systems | |
KR20190047115A (ko) | Arm® trustzone™ 구현을 위한 펌웨어 기반 신뢰 플랫폼 모듈 | |
US10430589B2 (en) | Dynamic firmware module loader in a trusted execution environment container | |
US20230342472A1 (en) | Computer System, Trusted Function Component, and Running Method | |
US8140835B2 (en) | Updating a basic input/output system (‘BIOS’) boot block security module in compute nodes of a multinode computer | |
US20210232688A1 (en) | Determine whether to perform action on computing device based on analysis of endorsement information of a security co-processor | |
CN116956267A (zh) | 平台证书的基于管理控制器的验证 | |
JP2019133220A (ja) | 完全性検証装置、完全性検証システム、完全性検証方法、及び、完全性検証プログラム | |
Akram et al. | Trusted Platform Module: State-of-the-Art to Future Challenges |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |