DE112006001666T5 - Verwaltung einer geschützten Uhr auf der Basis einer nicht-vertrauenswürdigen ständigen Zeitquelle - Google Patents

Verwaltung einer geschützten Uhr auf der Basis einer nicht-vertrauenswürdigen ständigen Zeitquelle Download PDF

Info

Publication number
DE112006001666T5
DE112006001666T5 DE112006001666T DE112006001666T DE112006001666T5 DE 112006001666 T5 DE112006001666 T5 DE 112006001666T5 DE 112006001666 T DE112006001666 T DE 112006001666T DE 112006001666 T DE112006001666 T DE 112006001666T DE 112006001666 T5 DE112006001666 T5 DE 112006001666T5
Authority
DE
Germany
Prior art keywords
time
trusted
clock
time difference
protected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE112006001666T
Other languages
English (en)
Inventor
Dori Hillsboro Eldar
Omer Levy
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE112006001666T5 publication Critical patent/DE112006001666T5/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/04Generating or distributing clock signals or signals derived directly therefrom
    • G06F1/14Time supervision arrangements, e.g. real time clock
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • G06F21/725Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits operating on a secure reference time value

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Electric Clocks (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Verfahren, das Folgendes umfaßt:
Vergleichen einer vertrauenswürdigen Zeit mit einer ständigen Zeit, um einen vertrauenswürdigen Zeitunterschied zu bestimmen, wobei die ständige Zeit über eine nicht-vertrauenswürdige Zeitquelle zugänglich ist;
Speichern des Zeitunterschiedes in einem nicht-flüchtigen Speicher, wobei der nicht-flüchtige Speicher vor einer Änderung durch die nicht-vertrauenswürdige Zeitquelle geschützt ist; und
Einstellen einer geschützten Uhr mit der vertrauenswürdigen Zeit auf der Basis der ständigen Zeit und des vertrauenswürdigen Zeitunterschieds in Reaktion auf das Verlieren der vertrauenswürdigen Zeit infolge eines Verlustes der Stromzufuhr zu der geschützten Uhr.

Description

  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft das Gebiet der Plattformverwaltung. Insbesondere betrifft die vorliegende Erfindung Verfahren und Anordnungen zum Aufrechterhalten einer vertrauenswürdigen Zeit für eine geschützte Uhr auf der Basis einer nicht-vertrauenswürdigen, aber ständigen Zeitquelle.
  • Allgemeiner Stand der Technik
  • Die Nützlichkeit von Computern und die Entwicklung relativ kostengünstiger Computerlösungen hat dazu geführt, daß man sich heute für viele Facetten der privaten und geschäftlichen Aktivitäten auf Computer- und Netzwerkressourcen stützt. Zum Beispiel arbeiten Firmen sehr intensiv mit Computer zum Beispiel zum Zweck des Telecommuting, des Erhalts von Nachrichten und Börseninformationen, für Handel, Banking, Einkauf, Versand, das Kommunizieren in Form von Voice Internet Protocol (VoiceIP) [siehe die Empfehlung H.323 der International Telecommunication Union (ITU) mit dem Titel "Packet-based Multimedia Communication Systems", herausgegeben im November 2000 und verfügbar unter "www.itu.int" (H.323 Specification")] und E-Mail sowie andere Dienste. Für viele Menschen ist der Personalcomputer heute sogar ein wesentliches Instrument für den Verdienst ihres Lebensunterhalts.
  • Ein wesentliches Problem bei der Nutzung von Personalcomputern zum Durchführen von Geschäften über ein Netzwerk ist die Aufrechterhaltung der genauen Zeit. Das Aufrechterhalten einer genauen Zeit beeinflußt unmittelbar nicht nur die Sicherheit von Transaktionen zum Beispiel über Sicherheitszertifikate, sondern auch die Fähigkeit, den korrekten Betrieb des Computersystems aufrecht zu erhalten. Zum Beispiel ist Kerberos ein Netzwerkauthentifizierungsprotokoll, das mit einer leistungsfähigen Verschlüsselung arbeitet, so daß ein Client gegenüber einem Server über eine unsichere Netzwerkverbindung seine Identität nachweisen kann und umgekehrt. Genauer gesagt, benutzt das Authentifizierungssystem Kerberos eine Reihe verschlüsselter Nachrichten, um einem Verifizierer nachzuweisen, daß ein Client im Auftrag eines bestimmten Nutzers arbeitet. Der Verifizierer überprüft den Zeitstempel auf den Nachrichten, um sich zu vergewissern, daß der Authentifizierer aktuell ist. Wenn der Zeitstempel innerhalb eines spezifizierten Zeitfensters liegt, das in der Regel fünf Minuten – um die aktuelle Zeit auf dem Verifizierer herum – beträgt, so kann der Verifizierer die Nachricht als authentisch akzeptieren. Wenn jedoch die Systemzeit zum Beispiel auf dem Verifizierer oder einer Nachricht nicht korrekt ist und infolge dessen der Zeitstempel offenbar älter als zum Beispiel fünf Minuten ist, so erachtet der Verifizierer die Nachricht nicht als aktuell, und er weist die Nachricht zurück.
  • Als eine weitere Veranschaulichung kann ein Systemadministrator System-Logs und Fehler-Logs überprüfen, um zur Ursache eines Problems in einem Computersystem vorzudringen. Wenn jedoch die Zeitanzeigen für die Systemereignisse nicht präzise sind, und erst recht nicht richtig, so fällt es dem Systemadministrator viel schwerer, die Ursache des Problems zu finden. Diese Situation wird noch erschwert, wenn das System-Log zum Beispiel von einem Netzwerk-Server stammt, das Fehler-Log von einem Arbeitsplatzrechner ist oder ein oder beide Logs falsche Zeitstempel haben. Dadurch kann es dem Systemadministrator unmöglich sein, Ereignisse auf dem Arbeitsplatzrechner mit Ereignissen auf dem Netzwerk-Server zu korrelieren.
  • Ein Problem, das sich zusammen mit der Verbreitung von Computer und Netzwerken entwickelt hat, sind nicht-vertrauenswürdige Nutzer, wie zum Beispiel Hacker, die mit einem Computersystem direkt oder räumlich abgesetzt über Software, Viren und Würmer interagieren. Eine übliche Taktik besteht darin, die Zeit von einem oder mehreren der Systeme in einem Computernetzwerk zu ändern. Das Ändern der Zeit in einem Arbeitsplatzrechner auf einige Jahre zurück kann es einem Hacker ermöglichen, über ein abgelaufenes Sicherheitszertifikat Zugang zu vertraulichen Daten in dem Netzwerk zu erhalten. Solche Angriffe werden als Eindringangriffe kategorisiert.
  • Andererseits kann das Ändern der Systemzeit auf einige Jahre in die Zukunft bewirken, daß das System gültige Zertifikate von anderen, vertrauenswürdigen Nutzer nicht anerkennt. Solche Angriffe werden oft als Dienstverweigerungsangriffe bezeichnet, und sie können die Kommunikation für das betroffene Computersystem und möglicherweise die Kommunikation im gesamten Netzwerk buchstäblich zum Erliegen bringen. Das Authentifizierungsprotokoll Kerberos zum Beispiel verlangt, daß die Uhren innerhalb eines Abstands von Minuten synchronisiert werden, so daß ein Angreifer erfolgreich einen "Dienstverweigerungsangriff ausführen kann, wenn der Angreifer einen oder beide Uhren lediglich um Minuten verändern kann.
  • Derzeitige Lösungen beinhalten zwar Sicherheitsmaßnahmen, um zu verhindern, daß sich nicht-vertrauenswürdige Nutzer über direkte Kommunikation oder einen Virus oder Wurm von einer räumlich abgesetzten Stelle aus Zugang verschaffen, aber in dem Maße, wie die verfügbaren Sicherheitsmaßnahmen besser werden, arbeiten die Angreifer mit immer ausgeklügelteren Taktiken, um die Sicherheitsmaßnahmen zu umgehen. Lösungen können auch eine einzelne, vertrauenswürdige Zeitquelle bereitstellen. Eine einzelne, vertrauenswürdige Zeitquelle wird für ein Netzwerk bereitgestellt, weil die Systemzeit in individuellen Arbeitsplatzrechnern durch andere nicht-vertrauenswürdige Quellen verändert werden kann, einschließlich des zugewiesenen Nutzers des Arbeitsplatzrechners, die absichtlich oder versehentlich einen Zugriff auf die Systemzeit ermöglichen können. Das Bereitstellen der einzelnen, vertrauenswürdigen Zeitquelle zum Zugreifen für Zeitanzeigen zum Validieren von Zertifikaten und Erstellen von Logs erfordert jedoch, daß jedes Computersystem, das jedes Mal oder zumindest häufig auf die Zeitquelle zugreift, die Probleme mindert, die mit der Nutzung der nicht-vertrauenswürdigen Zeitquelle verbunden sind. Wenn man jeden Computer in dem Netzwerk Sicherheitszertifikate validieren und Logs erstellen läßt, indem er für die Zeit auf die vertrauenswürdige Zeitquelle zugreift, so kann sich dies erheblich auf die Bandbreite sowie auf die Latenzen auswirken, die bei der Verarbeitung von Transaktionen benötigt werden bzw. entstehen.
  • Kurze Beschreibung der Zeichnungen
  • Vorteile von Ausführungsformen der Erfindung werden beim Lesen der folgenden detaillierten Beschreibung und dem Studium der begleitenden Zeichnungen verstanden. In den Zeichnungen können ähnliche Elemente mit gleichen Bezugszahlen versehen sein.
  • 1 zeigt eine Ausführungsform eines Systems, das einen Computer mit einer eingebetteten Verwaltungsfähigkeitsvorrichtung enthält, um eine vertrauenswürdige Zeit in eine geschützte Uhr über eine nicht-vertrauenswürdige Echtzeituhr (EZU) aufrecht zu erhalten.
  • 2 zeigt eine Ausführungsform einer Rechenplattform mit verwalteter Firmware und dedizierter Hardware.
  • 3 zeigt ein Flußdiagramm einer Ausführungsform zum Initialisieren einer geschützten Uhr mit einer vertrauenswürdigen Zeit.
  • 4 zeigt ein Flußdiagramm einer Ausführungsform zum Aktualisieren einer geschützten Uhr in Reaktion auf eine Änderung einer Zeiteinstellung für eine nicht-vertrauenswürdige Uhr.
  • 5 zeigt ein Flußdiagramm einer Ausführungsform zum Zurücksetzen einer geschützten Uhr mit einer vertrauenswürdigen Zeit nach einem Stromverlust zu der geschützten Uhr, während das Computersystem abgeschaltet wird.
  • Detaillierte Beschreibung von Ausführungsformen
  • Das Folgende ist eine detaillierte Beschreibung von Ausführungsbeispielen der Erfindung, die in den begleitenden Zeichnungen gezeigt sind. Die Ausführungsbeispiele sind ausreichend detailliert, um die Erfindung in verständlicher Form darzulegen. Allerdings soll der hier verwendete Grad an Detailliertheit nicht die zu erwartenden Varianten von Ausführungsformen einschränken, sondern es besteht im Gegenteil die Absicht, sämtliche Modifikationen, Äquivalente und Alternativen mit aufzunehmen, die unter den Geist und Geitungsbereich der vorliegenden Erfindung fallen, wie er durch die angehängten Ansprüche definiert wird. Die folgenden detaillierten Beschreibungen sind so verfaßt, daß derartige Ausführungsformen für einen Fachmann offenkundig sind.
  • Allgemein ausgedrückt, werden Verfahren und Anordnungen zum Aufrechterhalten einer vertrauenswürdigen Zeit für eine geschützte Uhr auf der Basis einer nicht-vertrauenswürdigen, aber ständigen Zeitquelle behandelt. Ausführungsformen können eine eingebettete Vorrichtung umfassen, bei der es sich um eine Hardware, eine Software, eine Firmware und/oder eine sonstige Logik handeln kann, um eine vertrauenswürdige Zeit in einer geschützten Uhr aufrecht zu erhalten. Die eingebettete Vorrichtung kann die geschützte Uhr durch Erhalten einer vertrauenswürdigen Zeit von einer vertrauenswürdigen Zeitquelle, wie zum Beispiel einem Netzwerk-Server, initialisieren. Die eingebettete Vorrichtung hält dann die vertrauenswürdige Zeit im Fall eines Verlustes der Stromzufuhr zu der geschützten Uhr durch Überwachen eines Zeitunterschieds zwischen der geschützten Uhr und einer nicht-vertrauenswürdigen, aber ständigen Systemuhr aufrecht. Zum Beispiel kann in einigen Ausführungsformen die eingebettete Vorrichtung einen Interrupt empfangen, wenn die nicht-vertrauenswürdige Systemuhr verändert wird, und aktualisiert in Reaktion darauf den Zeitunterschied zwischen der vertrauenswürdigen Zeit und der Systemzeit. Die eingebettete Vorrichtung speichert dann den Zeitunterschied im Fall eines Stromverlustes in einem nicht-flüchtigen Speicher.
  • Viele Ausführungsformen verwenden der geschützten Uhr vorteilhafterweise ohne eine Reservebatterie, um Herstellungskosten und Platz zu sparen, können aber trotzdem die vertrauenswürdige Zeit im Fall eines Stromverlustes durch Verlaß auf eine Reservebatterie für die nicht-vertrauenswürdige Systemuhr aufrecht erhalten. Insbesondere kann die nicht-vertrauenswürdige Systemuhr im Fall eines solchen Stromverlustes im Wesentlichen unzugänglich sein, so daß sich die eingebettete Vorrichtung auf die Genauigkeit der ständigen Zeit stützen kann, die durch die Systemuhr angezeigt wird, wenn der Strom wiederhergestellt wird.
  • Obgleich Abschnitte der folgenden detaillierten Besprechung Ausführungsformen der Erfindung anhand einer eingebetteten Verwaltungsfähigkeitsvorrichtung und verwalteter Firmware beschreiben, erkennt der Durchschnittsfachmann, daß Ausführungsformen zum Beispiel auch über eine sichere Partition oder eine sonstige sichere Umgebung implementiert werden können, die den Zugriff auf eine geschützte Uhr auf vertrauenswürdigen Code und/oder vertrauenswürdige Vorrichtungen beschränken.
  • Wenden wir uns nun den Zeichnungen zu. 1 zeigt eine Ausführungsform eines Systems 100, das einen Computer 120 mit einer eingebetteten Verwaltungsfähigkeitsvorrichtung 126 enthält, um eine vertrauenswürdige Zeit in einer geschützten Uhr 130 über eine nicht-vertrauenswürdige Echtzeituhr (EZU) 124 aufrecht zu erhalten. Das System 100 umfaßt einen Computer 120, einen Computer 140, ein Netzwerk 150, eine vertrauenswürdige Zeitquelle 160 und eine Informationstechnologie (IT)-Konsole 170.
  • Der Computer 120 kann ein Personalcomputer sein, wie zum Beispiel ein Desktop- oder Laptop-Computer, der einem Nutzer 110 zum Beispiel über eine Anzeigevorrichtung, eine Tastatur und eine Maus einen direkten Zugang ermöglicht. Der Computer 120 kann auch mit einem Netzwerk 150 verbunden sein, um dem Nutzer Zugang zu E-Mail, Netzwerkressourcen und, in einigen Ausführungsformen, einen Fernzugang durch andere Computer zu ermöglichen, die mit dem Netzwerk 150 verbunden sind, wie zum Beispiel ein Computer 140. Der Nutzer 110 kann absichtlich oder versehentlich die Systemzeit für den Computer 120 durch direkten Zugriff auf die Uhreneinstellung oder durch Ausführen von Code einstellen. Die Zeiteinstellung kann von der Zeitquelle versetzt sein, die von anderen Computern verwendet wird, die mit dem Netzwerk 150 verbunden sind, kann infolge von Unterschieden bei den Zeitzonen der Computer versetzt sein oder kann auf ein früheres oder ein künftiges Datum versetzt sein. Auf jeden Fall kann die Zeitanzeige der EZU 124 für den Zweck des Korrelierens von System-Logs, des Validierens von Sicherheitszertifikaten und/oder dergleichen falsch sein.
  • Der Computer 120 kann eine Benutzerschnittstelle 122, eine EZU 124, eine eingebettete Verwaltungsfähigkeitsvorrichtung 126, einen Flash-Speicher 128 und eine geschützte EZU 130 umfassen. Die Benutzerschnittstelle 122 kann eine nicht-vertrauenswürdige Schnittstelle sein, die mit der EZU 124 verbunden ist, um eine Änderung der Systemzeit durch eine nicht-vertrauenswürdige Zeitquelle zu ermöglichen. Zum Beispiel kann die Benutzerschnittstelle 122 eine Systempräferenz sein, die über ein Fenster zugänglich ist, das es dem Nutzer 110 ermöglicht, die Uhrzeit und das Datum der EZU 124 einzustellen. Insbesondere kann die Benutzerschnittstelle 122 Code umfassen, der in einem Speicher, wie zum Beispiel einem dynamischen Direktzugriffsspeicher (DRAM) 123, oder einem anderen Speicher gespeichert ist. Wenn er ausgeführt wird, so kann der Code mit dem Nutzer 110, dem Computer 140 oder einer anderen nicht-vertrauenswürdigen Zeitquelle interagieren, um eine neue Zeit für die EZU 124 festzulegen. Die Hardware der Benutzerschnittstelle 122 kann dann die EZU 124 auf die neue Zeit einstellen.
  • Die EZU 124 ist eine Uhr, die auch dann noch die Zeit hält, wenn der Computer 120 abgeschaltet wird, und hält somit eine ständige Zeit aufrecht. Die EZU 124 wird von einer speziellen Batterie oder einer anderen Stromspeichervorrichtung betrieben, die nicht an die normale Stromversorgung angeschlossen ist. Im Gegensatz dazu funktionieren Uhren, wie zum Beispiel die geschützte EZU 130, nicht, wenn der Computer ausgeschaltet ist. In anderen Ausführungsformen kann die EZU 124 diese Batterie als Reservebatterie haben und kann mit normalem Strom arbeiten, während der normale Strom verfügbar ist.
  • Die eingebettete Verwaltungsfähigkeitsvorrichtung 126 kann eine eingebettete Vorrichtung mit Firmware sein, um eine verschlüsselte und ständige Ressourcenverwaltung sowie Ferndiagnose- oder Fernwiederherstellungsfähigkeiten über eine Verwaltungskonsole, wie zum Beispiel die IT-Verwaltungskonsole 170, zu ermöglichen. In der vorliegenden Ausführungsform kann die eingebettete Verwaltungsfähigkeitsvorrichtung 126 mit der EZU 124 verbunden sein, um einen vertrauenswürdigen Zeitunterschied zwischen einer Systemzeit von der EZU 124 und einer vertrauenswürdigen Zeit von der geschützten EZU 130 zu ermitteln. Die eingebettete Verwaltungsfähigkeitsvorrichtung 126 kann dann die vertrauenswürdige Zeit auf der Basis der Systemzeit und des vertrauenswürdigen Zeitunterschieds im Fall eines Verlustes der Stromzufuhr zu der geschützten EZU 130 einstellen.
  • Die eingebettete Verwaltungsfähigkeitsvorrichtung 126 kann den Zeitunterschied in einem nicht-flüchtigen Speicher, wie zum Beispiel dem Flash-Speicher 128, speichern und die vertrauenswürdige Zeit der geschützten EZU 130 einstellen. In verschiedenen Ausführungsformen sind der Flash-Speicher 128 und die geschützten EZU 130 dedizierte Hardware, die durch die eingebettete Verwaltungsfähigkeitsvorrichtung 126 verwaltet wird. In weiteren Ausführungsformen sind der Flash-Speicher 128 und/oder die geschützte EZU 130 Teil der eingebetteten Verwaltungsfähigkeitsvorrichtung 126.
  • In anderen Ausführungsformen kann ein Abschnitt des Flash-Speichers 128 der eingebetteten Verwaltungsfähigkeitsvorrichtung 126 zugewiesen sein und kann über eine sichere Umgebung des Computers 120 vor Beschädigung geschützt sein. Zum Beispiel kann ein Speichercontroller-Hub des Computers 120 den Zugang zu dem Abschnitt des Flash-Speichers, welcher der eingebetteten Verwaltungsfähigkeitsvorrichtung 126 zugeordnet ist, über vertrauenswürdigen oder authentifizierten Code und/oder über eine vertrauenswürdige Komponente, wie zum Beispiel die eingebettete Verwaltungsfähigkeitsvorrichtung 126, ermöglichen.
  • Die geschützte EZU 130 kann eine vertrauenswürdige Zeit aufrecht erhalten, und die eingebettete Verwaltungsfähigkeitsvorrichtung 126 kann die Kommunikation mit der geschützten EZU 130 verwalten, um eine Änderung der vertrauenswürdigen Zeit durch eine nicht-vertrauenswürdige Zeitquelle, wie zum Beispiel einen Nutzer 110 und räumlich abgesetzte Computer, wie zum Beispiel der Computer 140, zu verhindern. In vielen Ausführungsformen hat die geschützte EZU 130 keine Reservebatterie, was vorteilhafterweise den Platz und die Kosten spart, die mit dem Bereitstellen und Nutzen einer dedizierten Batterie verbunden ist, die von der speziellen Batterie getrennt ist, die für die EZU 124 gedacht ist. Wenn zum Beispiel der Computer 120 zum ersten Mal hochgefahren wird, so kann die eingebettete Verwaltungsfähigkeitsvorrichtung 126 mit der vertrauenswürdigen Zeitquelle 160 kommunizieren, um eine vertrauenswürdige Zeit zu erhalten. Die eingebettete Verwaltungsfähigkeitsvorrichtung 126 kann dann die geschützte EZU 130 auf die vertrauenswürdige Zeit einstellen und die vertrauenswürdige Zeit über die ständige Zeit der EZU 124 aufrecht erhalten.
  • Das Netzwerk 150 ist eine Netzwerkverbindung, wie zum Beispiel ein Nahbereichsnetz oder ein Fernbereichsnetz, um die Computer 120 und 140, die vertrauenswürdige Zeitquelle 160 und die IT-Verwaltungskonsole 170 miteinander zu verbinden, um eine Kommunikation zu ermöglichen. In einigen Ausführungsformen kann das Netzwerk 150 ein Netzwerk in einem Büro, das über Ethernet verbunden ist, optische Medien wie OptiConnect, ein drahtloses Netzwerk oder dergleichen enthalten. In verschiedenen Ausführungsformen ist das Netzwerk 150 über ein Kabelmodem, eine digitale Teilnehmerleitung (DSL), eine T1-Leitung, eine T3-Leitung oder dergleichen auch an das Internet angeschlossen. In weiteren Ausführungsformen kann das Netzwerk 150 ein Netzwerk aus temporaren Verbindungen enthalten, wie zum Beispiel Verbindungen über ein Telefonsystem.
  • Die vertrauenswürdige Zeitquelle 160 kann eine sichere Quelle sein, die mit der eingebetteten Verwaltungsfähigkeitsvorrichtung 126 anhand von Authentifizierungsinformationen, die für die Vorrichtung konfiguriert sind, erfolgreich authentifiziert wird. Die Authentifizierungsinformationen können zum Beispiel ein Benutzername/Paßwort-Paar sein, das als Teil einer Hypertext Transfer Protocol (HTTP)-Authentifizierung oder eines Transportschichtsicherheits (TLS)-Client/Server-Zertifikats, das durch eine Wurzelzertifikatinstanz (CA) signiert wurde, die für die eingebettete Verwaltungsfähigkeitsvorrichtung 126 vertrauenswürdig ist, verwendet wird. TLS ist ein System zum Absichern von Internet-Kommunikationsprotokollen, die ein Paar aus einem öffentlichen und einem privaten Schlüssel und ein Verschlüsselungszertifikat verwenden, das die Identität der vertrauenswürdigen Zeitquelle an den öffentlichen Schlüssel bindet. In einigen Ausführungsformen kann die vertrauenswürdige Zeitquelle 160 ein Teil der IT-Verwaltungskonsole 170 sein.
  • Die Informationstechnologie (IT)-Konsole 170 kann einen Bestand und die Positionen von Ressourcen, wie zum Beispiel die Computer 120 und 140, verwalten sowie Ferndiagnoseund -wiederherstellungsoperationen für Ressourcen, wie zum Beispiel die Computer 120 und 140, ausführen. Zum Beispiel kann die eingebettete Verwaltungsfähigkeitsvorrichtung 126 mit dem ständigen Speicher des Computers 120, wie zum Beispiel dem Flash-Speicher 128, verbunden sein, um auf Ereignis-Logs und Fehler-Logs zuzugreifen, selbst wenn der Computer 120 abgeschaltet ist. In verschiedenen Ausführungsformen kann die IT-Verwaltungskonsole 170 den Computer 120 über die eingebettete Verwaltungsfähigkeitsvorrichtung 126 einschalten und hochfahren, um zum Beispiel Software-Updates, Katalog-Software, die auf dem Computer 120 installiert ist, und Bestandsressourcen im Computer 120, wie zum Beispiel Speicherkarten, Festplattenlaufwerke, CD-Laufwerke und dergleichen zu installieren.
  • 2 veranschaulicht eine Ausführungsform einer Rechenplattform 200 mit verwalteter Firmware 250 und Hardware 260 für die eingebettete Vorrichtung zum Aufrechterhalten einer vertrauenswürdigen Zeit 264 für eine geschützte Uhr 262 auf der Basis einer nicht-vertrauenswürdigen, aber ständigen Zeitquelle, EZU 244. Zum Beispiel kann die Plattform 200 einer von vielen Computer sein, die für die Ausführung eines neuen Unternehmensprojekts hergerichtet sind. Die Plattform 200 kann nach dem Verbinden mit einem Intranet oder einem Nahbereichsnetz (LAN) am Projektstandort mit einem zentralen Server kommunizieren, um einen physischen Standort für die Plattform 200 über eine Intranet-Adresse mitzuteilen, Software-Updates für Standard-Projekt-Software zu empfangen und spezielle Software herunterzuladen, die diesem Projektstandort zugewiesen ist. Die Plattform 200 kann auch mit einer vertrauenswürdigen Zeitquelle über das LAN kommunizieren. In anderen Ausführungsformen kann die Plattform 200 einfach die vertrauenswürdige Zeit 264 der geschützten Uhr 262 beim Hochfahren auf der Basis eines vertrauenswürdigen Zeitunterschieds 272 aktualisieren, weil die Systemzeit 246 der EZU 244 durch die Batterie 248 aufrecht erhalten wurde, während die Plattform 200 zu diesem neuen Projektstandort umverlagert wurde.
  • Die Rechenplattform 200 kann ein Personalcomputer sein, wie zum Beispiel ein Arbeitsplatzrechner oder ein Server, und kann ein Host-System 210, Hardware 240, verwaltete Firmware 250 und Hardware 260 für die eingebettete Vorrichtung umfassen. Das Host-System 210 kann Software umfassen, die als ein Host für eine oder mehrere Anwendungen für einen Nutzer fungiert. Insbesondere kann das Basic Input-Output-System (BIOS 230) Basisfunktionen, wie zum Beispiel eine Integritätsverifizierung für den Systemspeicher und Erstprogrammladevorgänge (IPLs), ausführen, bevor die Kontrolle an ein Betriebssystem 225 übergeben wird. In vielen Ausführungsformen kann ein Nutzer über eine Schnittstelle des BIOS 230 auf die EZU 246 zugreifen, um die Systemzeit 244 vor oder während der IPLs einzustellen.
  • Die EZU 244 kann sich zum Beispiel in einem Input-Output (I/O)-Steuerhub der Hardware 240 befinden, und der I/O-Steuerhub kann einen Interruptgenerator 242 umfassen, um in Reaktion auf eine Anforderung, die Systemzeit 246 zu ändern, eine Interrupt-Anforderung (IRQ) zu erzeugen. Zum Beispiel kann der Interruptgenerator 242 eine IRQ erzeugen und die IRQ über einen Interrupt-Controller, wie zum Beispiel einen Interrupt-Controller INTEL 8259 oder eine ähnliche Logik, die in einem Chipsatz integriert ist, an eine Firmware 252 für die eingebettete Vorrichtung senden. In anderen Ausführungsformen kann der Interruptgenerator 242 einen Nachrichtensignal-Interrupt (MSI) erzeugen, der an die Firmware 252 für die eingebettete Vorrichtung in einer ähnlichen Wiese übermittelt wird wie im Fall einer Schreibtransaktion. In weiteren Ausführungsformen kann der Interruptgenerator 242 sich in anderer Hardware und/oder Software befinden.
  • Das Betriebssystem 225 kann eine große, relativ komplexe Basissoftware sein, die als eine Schnittstelle der Hardware 240 für Anwendung(en) 220 dient. Zum Beispiel kann das Betriebssystem 225 eine Version von Windows (95, 98, NT, ME, 2000, XP), Macintosh OS X, Linux, Unix (Solaris, AIX, HP-UX usw.) oder dergleichen sein. Ähnlich dem BIOS 230 kann das Betriebssystem 225 eine Benutzerschnittstelle bereitstellen, um die Änderung der Systemzeit 246 durch einen Nutzer zu ermöglichen. Das Betriebssystem 225 kann eine Schnittstelle für die Systemzeit 246 über Präferenzfelder bereitstellen, die in das Betriebssystem 255 oder in Anwendung(en) 220 eingebaut sind.
  • In einigen Ausführungsformen kann das Betriebssystem 225 vorteilhafterweise die vertrauenswürdige Zeit 264 anstelle der Systemzeit 246 verwenden, wenn zum Beispiel die Batterie 248 erschöpft ist oder nicht mehr genügend Strom hat, um die EZU 244 zu betreiben. In solchen Ausführungsformen kann die Firmware 252 für die eingebettete Vorrichtung oder das Betriebssystem 225 auch einen Alarm erzeugen, der den Ausfall der Batterie 248 anzeigt. Die Firmware 252 für die eingebettete Vorrichtung und/oder das Betriebssystem 225 können den Alarm in ein Fehler-Log aufnehmen, den Alarm über eine Netzwerk-Schnittstelle 280 an ein räumlich abgesetztes Verwaltungssystem übermitteln und/oder den Nutzer zum Beispiel über eine Alarmmeldung auf einer Anzeigevorrichtung, die mit der Plattform 200 verbunden ist, über den Ausfall informieren.
  • Die Anwendung(en) 220 ist/sind eine Software der höheren Ebene, die komplexere Funktionen für einen Nutzer ausführt, wie zum Beispiel Textverarbeitung, Grafikverarbeitung, Videoschnitt und andere Funktionen, die sich auf einer höheren Ebene vollziehen. Die Anwendung(en) 220 kann/können einen Zertifikatvalidierer 222 umfassen, um mit der geschützten Uhr 262 zu kommunizieren. Insbesondere kann der Zertifikatvalidierer 222 Sicherheitszertifikate auf der Basis der vertrauenswürdigen Zeit 264 validieren, um Zugang zum Beispiel zu Festplattenlaufwerken oder anderen Datenspeichern in der Plattform 200 durch einen räumlich abgesetzten Nutzer zu gewähren. Zum Beispiel kann die Plattform 200 Projektdaten verwalten, die sich auf Budgetschätzungen für verschiedene Stufen des Projekts beziehen, und ein räumlich abgesetzte Nutzer kann Zugang zu den Budgetdaten erhalten, indem er ein vertrauenswürdiges, authentifiziertes Sicherheitszertifikat vorlegt, das noch nicht abgelaufen ist. In Reaktion auf eine solche Anforderung kann der Zertifikatvalidierer 222 mit der Firmware 252 für die eingebettete Vorrichtung kommunizieren, um die vertrauenswürdige Zeit 264 zum Validieren der Sicherheitszertifikate zu lesen.
  • Die verwaltete Firmware 250 kann eine sichere Umgebung sein, welche die Kommunikation mit nicht-vertrauenswürdiger Software oder anderem Code sowie die Kommunikation mit vertrauenswürdigem und authentifiziertem Code, wenn auch in geringerem Ausmaß, beschränkt. In der vorliegenden Ausführungsform umfaßt die verwaltete Firmware 250 Firmware 252 für die eingebettete Vorrichtung, um die Kommunikation mit der Hardware 260 für die eingebettete Vorrichtung zu verwalten. In einigen Ausführungsformen kann die Firmware 252 für die eingebettete Vorrichtung in eine eingebettete Verwaltungsfähigkeitsvorrichtung eingebaut sein, die auch einige Elemente der Hardware 260 für die eingebettete Vorrichtung enthalten kann. Zum Beispiel kann nicht-vertrauenswürdigem Code, wie zum Beispiel dem Betriebssystem 225 und dem Zertifikatvalidierer 222, gestattet werden, die vertrauenswürdige Zeit 264 der geschützten Uhr 262 zu lesen, ohne aber befugt zu sein, die vertrauenswürdige Zeit 264 zu ändern. Andererseits ist die Firmware 252 für die eingebettete Vorrichtung vertrauenswürdiger und authentifizierter Code, der die vertrauenswürdige Zeit 264 unter spezifizierten Umständen ändern darf.
  • Die Firmware 252 für die eingebettete Vorrichtung kann eine Anfangszeiteinstellvorrichtung 254, einen Uhrenkomparator 256, und einen Determinierer 258 für die vertrauenswürdige Zeit umfassen. Die Anfangszeiteinstellvorrichtung 254 kommuniziert mit einer vertrauenswürdigen Zeitquelle über die Netzwerk-Schnittstelle 280, um eine vertrauenswürdige Zeit 264 zu erhalten, um die geschützte Uhr 262 einzustellen, wenn die Plattform 200 zum ersten Mal hochgefahren wird. Die Anfangszeiteinstellvorrichtung 254 kommuniziert dann mit der geschützten Uhr 262, um die vertrauenswürdige Zeit 264 einzustellen. In einigen Ausführungsformen kann es die verwaltete Firmware 250 der Anfangszeiteinstellvorrichtung 254 untersagen, die vertrauenswürdige Zeit 264 mit einer neuen Einstellung zu ändern, sofern die Plattform 200 nicht vor kurzem hochgefahren wurde.
  • Der Uhrenkomparator 256 reagiert auf einen Interrupt vom Interruptgenerator 242, der anzeigt, daß ein Nutzer die EZU 244 mit einer neuen Systemzeit 246 eingestellt hat. Bei Erhalt des Interrupt kann der Uhrenkomparator 256 den vertrauenswürdigen Zeitunterschied 272 eines nicht-flüchtigen Speichers 270 auf der Basis der vertrauenswürdigen Zeit 264 und der neuen Systemzeit 246 aktualisieren. Zum Beispiel kann sich ein Nutzer an dem neuen Projektstandort einloggen und die Systemzeit 246 um zwei Stunden ändern, was der Unterschied der Zeitzonen zwischen dem Ursprungsstandort der Plattform 200 und dem neuen Projektstandort ist. Der Interruptgenerator 242 übermittelt eine Interrupt-Anforderung an die Firmware 252 für die eingebettete Vorrichtung, während die Systemzeit 246 aktualisiert wird. In Reaktion auf die Interrupt-Anforderung kann der Uhrenkomparator 256 die vertrauenswürdige Zeit 264 von der neuen Systemzeit 244 subtrahieren, um einen neuen, vertrauenswürdigen Zeitunterschied 272 von zwei Stunden zu bestimmen. Der Uhrenkomparator 256 kann dann einen Hinweis auf einen vertrauenswürdigen Zeitunterschied 272 von zwei Stunden des nicht-flüchtigen Speichers 270 speichern.
  • Der Determinierer 258 für die vertrauenswürdige Zeit kann vertrauenswürdiger und authentifizierter Code sein, dem gestattet wird, die vertrauenswürdige Zeit 264 der geschützten Uhr 262 im Fall eines Verlustes der Stromzufuhr zu der geschützten Uhr 262 zu aktualisieren. Insbesondere, wenn die normale Stromquelle 266, welche die primäre Stromquelle der Plattform 200 darstellt, nach einem Stromverlust wiederhergestellt wird und die Plattform 200 hochfährt, Der Determinierer 258 für die vertrauenswürdige Zeit bestimmt die vertrauenswürdige Zeit 272. Um die vertrauenswürdige Zeit 272 zu bestimmen, kann der Determinierer 258 für die vertrauenswürdige Zeit die Systemzeit 246 lesen, bevor eine nicht-vertrauenswürdige Quelle einen Zugang herstellen kann, um die Systemzeit 246 über das BIOS 230 zu ändern. Die nicht-vertrauenswürdige Quelle kann zum Beispiel Code oder ein Nutzer sein. Der Determinierer 258 für die vertrauenswürdige Zeit kann die Systemzeit 246 lesen, um die vertrauenswürdige Zeit 272 zu bestimmen, weil die Systemzeit 246 vorteilhafterweise während der Dauer des Stromverlustes durch die Batterie 248 beibehalten wird. Der Determinierer 258 für die vertrauenswürdige Zeit kann dann den vertrauenswürdigen Zeitunterschied 272 des nicht-flüchtigen Speichers 270 zu der Systemzeit 246 addieren, um die vertrauenswürdige Zeit 264 zu berechnen. Danach stellt der Determinierer 258 für die vertrauenswürdige Zeit die geschützte Uhr 262 mit der vertrauenswürdigen Zeit 264 ein.
  • Die Hardware 260 für die eingebettete Vorrichtung kann Hardware der Plattform 200 sein, die durch die verwaltete Firmware 250 zur Verwendung durch die Firmware 252 für die eingebettete Vorrichtung verwaltet wird. In einigen Ausführungsformen die Hardware 260 für die eingebettete Vorrichtung vollständig oder teilweise in eine eingebettete Verwaltungsfähigkeitsvorrichtung eingebaut sein.
  • Die Hardware 260 für die eingebettete Vorrichtung kann eine geschützte Uhr 262, einen nicht-flüchtigen Speicher 270 und eine Netzwerk-Schnittstelle 280 umfassen. Die geschützte Uhr 262 kann eine Schaltung sein, welche die vertrauenswürdige Zeit 264 aufrecht erhält, während er über die normale Stromquelle 266 mit Strom versorgt wird. Der nicht-flüchtige Speicher 270 kann eine beliebige Form eines beschreibbaren Speichers sein, der Daten speichern kann, ohne daß ihm Strom zugeführt wird. Zum Beispiel kann der nicht-flüchtige Speicher 270 einen Flash-Speicher, einen elektrisch löschbaren Nurlesespeicher und/oder dergleichen enthalten.
  • Die Netzwerk-Schnittstelle 280 kann einen Port umfassen, um einen Zugang zu einem Netzwerk zu ermöglichen. Zum Beispiel kann die Netzwerk-Schnittstelle 280 eine Hardware-Verbindung oder Vorrichtung umfassen, um die Plattform 200 mit einem Ethernet-Kabel, einem optischen Medium, einem drahtlosen Netzwerk oder dergleichen zu verbinden.
  • 3 zeigt ein Flußdiagramm 300 einer Ausführungsform zum Initialisieren einer geschützten Uhr mit einer vertrauenswürdigen Zeit. Insbesondere beschreibt das Flußdiagramm 300 die Funktion eines Computers, wie zum Beispiel einer Plattform 200 in 2. Das Flußdiagramm 300 beginnt mit dem erstmaligen Hochfahren eines Computers (Element 310). Zum Beispiel kann es sein, daß der Computer gerade erst eingetroffen ist, so daß ein Nutzer den Computer an eine Netzsteckdose anschließt und den Ein-Schalter betätigt.
  • Nachdem der Computer eingeschaltet wurde, kann eine eingebettete Verwaltungsfähigkeitsvorrichtung eine Anforderung für eine Aktualisierung einer geschützten Uhr an eine vertrauenswürdige Zeitquelle senden (Element 315). Die vertrauenswürdige Zeitquelle kann mit einer Nachricht, die mit einem privaten Schlüssel verschlüsselt ist und die vertrauenswürdige Zeit enthält, und einem Sicherheitszertifikat antworten. Das Sicherheitszertifikat umfaßt die Identität der vertrauenswürdigen Zeitquelle und ist durch eine vertrauenswürdige Zertifikatinstanz signiert.
  • Bei Empfang der verschlüsselten Nachricht authentifiziert die eingebettete Verwaltungsfähigkeitsvorrichtung die Nachricht durch Entschlüsseln der Nachricht mit einem öffentlichen Schlüssel für die vertrauenswürdige Zeitquelle (Element 320). Das Entschlüsseln der Nachricht verschafft Zugang zu der vertrauenswürdigen Zeit.
  • Die eingebettete Verwaltungsfähigkeitsvorrichtung kann dann eine Systemzeit von einer Systemuhr lesen (Element 325) und einen vertrauenswürdigen Zeitunterschied auf der Basis der vertrauenswürdigen Zeit und der Systemzeit bestimmen (Element 330). In vielen Ausführungsformen subtrahiert die eingebettete Verwaltungsfähigkeitsvorrichtung die vertrauenswürdige Zeit von der Systemzeit, um den vertrauenswürdigen Zeitunterschied zu bestimmen. Die eingebettete Verwaltungsfähigkeitsvorrichtung speichert dann den vertrauenswürdigen Zeitunterschied in einem nicht-flüchtigen Speicher (Element 335).
  • Die eingebettete Verwaltungsfähigkeitsvorrichtung kann auch eine geschützte Uhr mit der vertrauenswürdigen Zeit (Element 340) im Wesentlichen gleichzeitig mit der Bestimmung des vertrauenswürdigen Zeitunterschieds einstellen. In anderen Ausführungsformen stellt die eingebettete Verwaltungsfähigkeitsvorrichtung der geschützten Uhr vor oder nach dem Bestimmen und/oder Speichern des vertrauenswürdigen Zeitunterschieds ein.
  • 4 zeigt ein Flußdiagramm 400 einer Ausführungsform zum Aktualisieren einer geschützten Uhr in Reaktion auf eine Änderung einer Zeiteinstellung für eine nicht-vertrauenswürdige Systemuhr. Insbesondere beschreibt das Flußdiagramm 400 die Funktion einer eingebetteten Verwaltungsfähigkeitsvorrichtung, wie zum Beispiel der Firmware 252 für die eingebettete Vorrichtung in 2. Das Flußdiagramm 400 beginnt mit dem Empfangen eines Interrupts, der das Speichern einer aktualisierten Systemzeit in der Systemuhr anzeigt (Element 410). In anderen Ausführungsformen empfängt die eingebettete Verwaltungsfähigkeitsvorrichtung eine andere Kommunikation als eine Interrupt-Anforderung, die anzeigt, daß die Systemzeit geändert wird.
  • In Reaktion auf den Empfang des Interrupts liest die eingebettete Verwaltungsfähigkeitsvorrichtung die aktualisierte Systemzeit (Element 415). In einigen Ausführungsformen kann die eingebettete Verwaltungsfähigkeitsvorrichtung eine Lese-Anforderung erzeugen, um die aktualisierte Systemzeit für die Systemuhr zu bestimmen. In anderen Ausführungsformen kann die eingebettete Speichervorrichtung ein direkteres Verfahren zum Bestimmen der aktualisierten Systemzeit aufweisen.
  • Mit der aktualisierten Systemzeit bestimmt die eingebetteten Verwaltungsfähigkeitsvorrichtung einen neuen vertrauenswürdigen Zeitunterschied auf der Basis einer vertrauenswürdigen Zeit vom der geschützten Uhr (Element (420). Insbesondere kann die eingebettete Verwaltungsfähigkeitsvorrichtung die aktualisierte Systemzeit von der vertrauenswürdigen Zeit subtrahieren, oder umgekehrt, um den vertrauenswürdigen Zeitunterschied.
  • Nach dem Bestimmen des neuen Zeitunterschieds kann die eingebettete Vorrichtung einen momentanen vertrauenswürdigen Zeitunterschied aus einem nicht-flüchtigen Speicher lesen (Element 425). Wenn sich der neue Zeitunterschied signifikant von dem momentanen Zeitunterschied unterscheidet, so kann die eingebettete Verwaltungsfähigkeitsvorrichtung den neuen Zeitunterschied in den nicht-flüchtigen Speicher schreiben. Die Signifikanz des Unterschiedes kann sich auf die Granularität der Zeit stützen, die aufrecht erhalten wird, um zum Beispiel zu bestimmen, ob ein Sicherheitszertifikat abgelaufen ist, um ein Fehler-Log zu führen und/oder dergleichen. Wenn zum Beispiel in einigen Ausführungsformen der Unterschied zwischen dem neuen und dem momentanen vertrauenswürdigen Zeitunterschied einen Schwellenwert nicht überschreitet, wie zum Beispiel eine Stunde (Element 430), so kann die eingebettete Verwaltungsfähigkeitsvorrichtung die Änderung ignorieren, um vorteilhafterweise die Lebensdauer des nicht-flüchtigen Speichers zu verlängern.
  • Wenn andererseits der Unterschied zwischen dem neuen und dem momentanen vertrauenswürdigen Zeitunterschied den Schwellenwert überschreitet (Element 430), so kann die eingebettete Verwaltungsfähigkeitsvorrichtung den Zeitunterschied in dem nicht-flüchtigen Speicher mit dem neuen vertrauenswürdigen Zeitunterschied aktualisieren (Element 435).
  • Wenden wir uns nun 5 zu, wo ein Flußdiagramm 500 einer Ausführungsform zum Zurücksetzen einer geschützten Uhr mit einer vertrauenswürdigen Zeit nach einem Stromverlust zu der geschützten Uhr gezeigt ist, während ein Computersystem abgeschaltet wird. Das Flußdiagramm 500 kann die Funktion eines Computersystems, wie zum Beispiel des Computers 120 von 1, beschreiben. Das Flußdiagramm 500 beginnt mit dem Hochfahren des Computersystems nach einem Stromverlust (Element 510). Zum Beispiel kann ein Nutzer das System über einer Steckerleiste abschalten, wodurch der Strom zu der geschützten Uhr getrennt wird.
  • Für Ausführungsformen, bei denen eine Batterie oder eine andere Stromspeichervorrichtung keine Stromreserve für die geschützte Uhr bildet, geht die vertrauenswürdige Zeit, die durch die geschützte Uhr aufrechterhalten wird, verloren. Der Nutzer kann dann das System neu starten, wenn der Nutzer bereit ist, wieder mit dem System zu arbeiten.
  • Wenn das BIOS lädt, aber bevor ein Nutzer in der Lage ist, auf das BIOS zuzugreifen, um die Systemzeit zu ändern, kann das eingebettete Verwaltungsfähigkeitssystem die Systemzeit von der Systemuhr lesen (Element 515). Zum Beispiel kann die eingebettete Verwaltungsfähigkeitsvorrichtung darauf warten, daß das BIOS eine Funktion herstellt, um die Systemuhr lesen zu können, und dann die Systemuhr lesen, bevor ein nicht-vertrauenswürdiger Nutzer Zeit hat, eine neue Zeit in die Systemuhr zu schreiben. In anderen Ausführungsformen kann die eingebettete Verwaltungsfähigkeitsvorrichtung in der Lage sein, die Systemuhr zu lesen, bevor das BIOS lädt.
  • Nach dem Lesen der Systemzeit kann die eingebettete Verwaltungsfähigkeitsvorrichtung eine neue vertrauenswürdige Zeit auf der Basis der Systemzeit und eines vertrauenswürdigen Zeitunterschiedes, der in einem nicht-flüchtigen Speicher gespeichert ist, bestimmen (Element 520). Oder anders ausgedrückt: Das eingebettete Verwaltungsfühigkeitssystem liest den vertrauenswürdigen Zeitunterschied, der vor dem Stromverlust festgestellt wurde, und berechnet eine neue Systemzeit auf der Basis der Systemzeit, kurz nachdem der Strom wiederhergestellt wurde, um zu gewährleisten, daß die Zeit, die während des Stromverlustes verstrichen ist, akkurat durch die Systemzeit widergespiegelt wird. Somit nutzt die eingebettete Verwaltungsfähigkeitsvorrichtung zweckmäßig in synergistischer Weise die Fähigkeit der Systemuhr, die Zeit aufrecht zu halten, während das System abgeschaltet wird.
  • Nach dem Bestimmen der neuen vertrauenswürdigen Zeit über die Systemzeit und den vertrauenswürdigen Zeitunterschied stellt die eingebettete Verwaltungsfähigkeitsvorrichtung die geschützte Uhr mit der neuen vertrauenswürdigen Zeit ein (Element 525). Zum Beispiel kann die eingebettete Verwaltungsfähigkeitsvorrichtung den vertrauenswürdigen Zeitunterschied zu der Systemzeit addieren, um eine neue vertrauenswürdige Zeit zu bestimmen.
  • Eine Ausführungsform der Erfindung ist als ein Programmprodukt zur Verwendung mit einem Computersystem, wie zum Beispiel dem in 1 gezeigten System 100, implementiert. Das Programm oder die Programme des Programmprodukts definieren Funktionen der Ausfüh rungsformen (einschließlich der im vorliegenden Text beschriebenen Verfahren) und können auf einer Vielzahl von Signalträgermedien enthalten sein. Zu veranschaulichenden Signalträgermedien gehören, ohne darauf beschränkt zu sein: (i) Informationen, die dauerhaft auf nicht-beschreibbaren Speichermedien gespeichert sind (zum Beispiel Nurlesespeichervorrichtungen in einem Computer, wie zum Beispiel CD-ROM-Disks, die durch ein CD-ROM-Laufwerk gelesen werden können); (ii) änderbare Informationen, die auf beschreibbaren Speichermedien gespeichert sind (zum Beispiel Festlattenlaufwerke oder Disketten in einem Diskettenlaufwerk); und (iii) Informationen, die an einen Computer durch ein Kommunikationsmedium übermittelt werden, wie zum Beispiel durch ein Computer- oder Telefonnetz, einschließlich drahtloser Kommunikation. Die letztgenannte Ausführungsform beinhaltet speziell Informationen, die aus dem Internet und anderen Netzwerken heruntergeladen werden. Solche Signalträgermedien, wenn sich maschinenzugängliche Instruktionen auf ihnen befinden, welche die Funktionen der vorliegenden Erfindung anweisen, stellen Ausführungsformen der vorliegenden Erfindung dar.
  • Generell können die Routinen, die ausgeführt werden, um die Ausführungsformen der Erfindung zu implementieren, ein Teil eines Betriebssystems oder einer speziellen Anwendung, einer Komponente, eines Programms, eines Moduls, eines Objekts oder einer Instruktionsfolge sein. Das Computerprogramm der vorliegenden Erfindung besteht in der Regel aus einer Vielzahl von Instruktionen, die durch den nativen Computer in ein maschinenzugängliches Format und damit in ausführbare Instruktionen übersetzt werden. Des Weiteren bestehen Programme aus Variablen und Datenstrukturen, die sich entweder lokal in dem Programm befinden oder die sich in einem Speicherbaustein oder auf Speichervorrichtungen befinden. Außerdem können verschiedene Programme, die im Weiteren beschrieben werden, auf der Grundlage der Anwendung identifiziert werden, für die sie in einer speziellen Ausführungsform der Erfindung implementiert sind. Es versteht sich jedoch, daß jede Programmbezeichnung, die im Folgenden konkret benutzt wird, lediglich der Veranschaulichung dient. Das heißt, die Erfindung darf nicht auf die Verwendung allein in einer der konkreten Anwendungen beschränkt werden, die durch eine solche Bezeichnung identifiziert und/oder impliziert wird.
  • Dem Fachmann, der in den Genuß der vorliegenden Offenbarung kommt, ist klar, daß die vorliegende Erfindung Systeme und Anordnungen zum Aufrechterhalten einer vertrauenswürdigen Zeit für eine geschützte Uhr auf der Basis einer nicht-vertrauenswürdigen, aber ständigen Zeitquelle betrifft. Es versteht sich, daß die Form der Erfindung, die in der detaillierten Beschreibung und den Zeichnungen gezeigt und beschrieben ist, lediglich als ein Beispiel anzusehen ist.
  • Es ist beabsichtigt, daß die folgenden Ansprüche in einem weiten Sinn zu interpretieren sind, so daß sie alle Varianten der offenbarten Ausführungsformen umfaßt.
  • Obgleich die vorliegende Erfindung und einige ihrer Vorteile detailliert für einige Ausführungsformen beschrieben wurden, versteht es sich, daß verschiedene Änderungen, Ersetzungen und Modifikationen an ihnen vorgenommen werden können, ohne vom Geist und Geltungsbereich der Erfindung abzuweichen, wie er in den angehängten Ansprüchen definiert ist. Obgleich eine Ausführungsform der Erfindung mehrere Aufgaben erfüllen kann, erfüllt nicht jede Ausführungsform, die in den Geltungsbereich der angehängten Ansprüche fällt, jede Aufgabe. Des Weiteren ist nicht beabsichtigt, daß der Geltungsbereich der vorliegenden Anmeldung auf die konkreten Ausführungsformen des Prozesses, der Maschine, der Herstellung, der Materialzusammensetzung, der Mittel, der Verfahren und der Schritte, die in der Spezifikation beschrieben sind, beschränkt ist. Wie dem Durchschnittsfachmann ohne Weiteres aus der Offenbarung der vorliegenden Erfindung klar ist, können Prozesse, Maschinen, Herstellung, Materialzusammensetzung, Mittel, Verfahren und Schritte, die derzeit existieren oder in der Zukunft entwickelt werden und die im Wesentlichen die gleiche Funktion ausführen oder im Wesentlichen das gleiche Ergebnis erreichen wie die entsprechenden Ausführungsformen, die im vorliegenden Text beschrieben sind, gemäß der vorliegenden Erfindung verwendet werden. Dementsprechend ist beabsichtigt, daß die angehängten Ansprüche in ihrem Geltungsbereich derartige Prozesse, Maschinen, Herstellung, Materialzusammensetzung, Mittel, Verfahren und Schritte enthalten.
  • ZUSAMMENFASSUNG
  • Es werden Verfahren und Anordnungen zum Aufrechterhalten einer vertrauenswürdigen Zeit für eine geschützte Uhr auf der Basis einer nicht-vertrauenswürdigen, aber ständigen Zeitquelle offenbart. Ausführungsformen können eine eingebettete Vorrichtung umfassen, bei der es sich um Hardware, Software, Firmware und/oder sonstige Logik handeln kann, um eine vertrauenswürdige Zeit in einer geschützten Uhr aufrecht zu erhalten. Die eingebettete Vorrichtung kann die geschützte Uhr durch Erhalten einer vertrauenswürdigen Zeit von einer vertrauenswürdigen Zeitquelle, wie zum Beispiel einem Netzwerk-Server, initialisieren. Die eingebettete Vorrichtung erhält dann die vertrauenswürdige Zeit im Fall eines Verlustes der Stromzufuhr zu der geschützten Uhr durch Überwachen eines Zeitunterschiedes zwischen der geschützten Uhr und einer nicht-vertrauenswürdigen Systemuhr aufrecht. Viele Ausführungsformen verwenden der geschützten Uhr auch ohne eine Reservebatterie, um vorteilhafterweise Herstellungskosten und Platz zu sparen, während sie die vertrauenswürdige Zeit im Fall eines Stromverlustes durch Verlaß auf eine Reservebatterie für die nicht-vertrauenswürdige Systemuhr aufrechterhalten. Es werden noch weitere Ausführungsformen offenbart und beansprucht.

Claims (25)

  1. Verfahren, das Folgendes umfaßt: Vergleichen einer vertrauenswürdigen Zeit mit einer ständigen Zeit, um einen vertrauenswürdigen Zeitunterschied zu bestimmen, wobei die ständige Zeit über eine nicht-vertrauenswürdige Zeitquelle zugänglich ist; Speichern des Zeitunterschiedes in einem nicht-flüchtigen Speicher, wobei der nicht-flüchtige Speicher vor einer Änderung durch die nicht-vertrauenswürdige Zeitquelle geschützt ist; und Einstellen einer geschützten Uhr mit der vertrauenswürdigen Zeit auf der Basis der ständigen Zeit und des vertrauenswürdigen Zeitunterschieds in Reaktion auf das Verlieren der vertrauenswürdigen Zeit infolge eines Verlustes der Stromzufuhr zu der geschützten Uhr.
  2. Verfahren nach Anspruch 1, das des Weiteren ein Aktualisieren des vertrauenswürdigen Zeitunterschieds in Reaktion auf eine Änderung der ständigen Zeit umfaßt.
  3. Verfahren nach Anspruch 2, wobei das Aktualisieren des vertrauenswürdigen Zeitunterschieds ein Bestimmen eines neuen Zeitunterschieds auf der Basis einer geänderten ständigen Zeit von der Systemuhr und einer momentanen vertrauenswürdigen Zeit von der geschützten Uhr sowie ein Speichern des neuen Zeitunterschieds in dem nicht-flüchtigen Speicher umfaßt.
  4. Verfahren nach Anspruch 3, wobei das Speichern des neuen Zeitunterschieds in dem nicht-flüchtigen Speicher ein Speichern des neuen Zeitunterschieds umfaßt, wenn der neue Zeitunterschied einen Schwellen-Zeitunterschied übersteigt.
  5. Verfahren nach Anspruch 1, das des Weiteren ein Bestimmen des vertrauenswürdigen Zeitunterschieds beim Hochfahren eines Computersystems, das die Systemuhr nutzt, vor der Verfügbarkeit eines Zugangs zu der Systemuhr durch die nicht-vertrauenswürdige Quelle über das Computersystem umfaßt.
  6. Verfahren nach Anspruch 1, das des Weiteren ein Erzeugen einer Alarmmeldung in Reaktion auf ein Feststellen umfaßt, daß eine Stromspeichervorrichtung, die zum Aufrechterhalten der ständigen Zeit verwendet wird, im Wesentlichen erschöpft ist.
  7. Verfahren nach Anspruch 1, das des Weiteren ein Kommunizieren mit einer vertrauenswürdigen Zeitquelle umfaßt, um die vertrauenswürdige Zeit zu bestimmen, um eine Anfangseinstellung der geschützten Uhr vorzunehmen.
  8. Verfahren nach Anspruch 1, das des Weiteren das Lesen der geschützten Uhr umfaßt, um ein Sicherheitszertifikat zu validieren.
  9. Verfahren nach Anspruch 1, das des Weiteren das Lesen der vertrauenswürdigen Zeit umfaßt, um einen Eintrag für ein Ereignis-Log zu erzeugen.
  10. Vorrichtung, die Folgendes umfaßt: eine geschützte Uhr zum Aufrechterhalten einer vertrauenswürdigen Zeit, wobei die geschützte Uhr vor einer Änderung durch eine nicht-vertrauenswürdige Zeitquelle geschützt ist; einen Uhrenkomparator zum Verbinden mit einer Systemuhr zum Bestimmen eines vertrauenswürdigen Zeitunterschieds auf der Basis einer Systemzeit vom der Systemuhr und der vertrauenswürdige Zeit; einen nicht-flüchtigen Speicher zum Verbinden mit dem Uhrenkomparator zum Speichern des vertrauenswürdigen Zeitunterschieds; und einen Determinierer für die vertrauenswürdige Zeit zum Einstellen der vertrauenswürdigen Zeit der geschützten Uhr auf der Basis der Systemzeit und des vertrauenswürdigen Zeitunterschieds in Reaktion auf einen Stromverlust der geschützten Uhr.
  11. Vorrichtung nach Anspruch 10, die des Weiteren eine Anfangszeiteinstellvorrichtung zum Verbinden mit einer Netzwerk-Schnittstelle zum Kommunizieren mit einer vertrauenswürdigen Zeitquelle umfaßt, um der geschützten Uhr mindestens einmal mit der vertrauenswürdigen Zeit einzustellen.
  12. Vorrichtung nach Anspruch 10, die des Weiteren einen Zertifikatvalidierer zum Verbinden mit der geschützten Uhr umfaßt, wobei der Zertifikatvalidierer dazu dient, ein Sicherheitszertifikat auf der Basis der vertrauenswürdigen Zeit zu validieren.
  13. Vorrichtung nach Anspruch 10, wobei die geschützte Uhr mit einer normalen Stromquelle zu verbinden ist, um die vertrauenswürdige Zeit aufrecht zu erhalten.
  14. Vorrichtung nach Anspruch 10, wobei der Uhrenkomparator auf einen Interrupt anspricht, der das Einstellen der Systemuhr mit einer neuen Systemzeit anzeigt, um den vertrauenswürdigen Zeitunterschied auf der Basis der vertrauenswürdigen Zeit und der neuen Systemzeit zu aktualisieren.
  15. Vorrichtung nach Anspruch 10, wobei der Uhrenkomparator auf den Interrupt anspricht, um den vertrauenswürdigen Zeitunterschied zu aktualisieren, wenn ein Unterschied zwischen der neuen Systemzeit und der Systemzeit einen Schwellen-Zeitunterschied übersteigt.
  16. Vorrichtung nach Anspruch 10, wobei der Determinierer für die vertrauenswürdige Zeit dazu dient, den vertrauenswürdigen Zeitunterschied beim Hochfahren eines Computersystems, in dem sich die Systemuhr befindet, zu bestimmen, bevor die nicht-vertrauenswürdige Zeitquelle Zugang über das Computersystem zu der Systemuhr hat.
  17. System, das Folgendes umfaßt: eine Systemuhr zum Aufrechterhalten einer ständigen Zeit; eine Schnittstelle, die mit der Systemuhr verbunden ist, um eine einer Änderung der ständigen Zeit durch eine nicht-vertrauenswürdige Zeitquelle zu ermöglichen; einen dynamischen Direktzugriffsspeicher, der mit der Schnittstelle verbunden ist, wobei der dynamische Direktzugriffsspeicher zum Speichern von Code dient, wobei der Code dazu dient, mit der nicht-vertrauenswürdigen Zeitquelle zusammenzuwirken, um die Änderung zu bestimmen; einen Interruptgenerator zum Erzeugen eines Interrupts in Reaktion auf die Änderung; und eine eingebettete Vorrichtung zum Aufrechterhalten einer vertrauenswürdigen Zeit und zum Schützen der vertrauenswürdigen Zeit vor einer Änderung durch eine nicht-vertrauenswürdige Zeitquelle; zum Reagieren auf den Interrupt zum Bestimmen eines vertrauenswürdigen Zeitunterschieds auf der Basis der ständigen Zeit und der vertrauenswürdige Zeit; zum Speichern des vertrauenswürdigen Zeitunterschieds, wobei das Speichern des vertrauenswürdigen Zeitunterschieds im Hinblick auf einen Stromverlust zu dem eingebetteten Vorrichtung dauerhaft ist; und zum Einstellen der vertrauenswürdigen Zeit auf der Basis der ständigen Zeit und des vertrauenswürdigen Zeitunterschieds in Reaktion auf den Stromverlust.
  18. System nach Anspruch 17, wobei die eingebettete Vorrichtung eine Anfangszeiteinstelleinrichtung umfaßt, um mit einer vertrauenswürdigen Zeitquelle zu kommunizieren, um die vertrauenswürdige Zeit einzustellen, wenn das System anfänglich hochgefahren wird.
  19. System nach Anspruch 18, wobei die eingebettete Vorrichtung eine Netzwerk-Schnittstelle umfaßt, die mit der Anfangszeiteinstelleinrichtung verbunden ist, um mit der vertrauenswürdigen Zeitquelle zu kommunizieren.
  20. System nach Anspruch 17, wobei die eingebettete Vorrichtung dazu dient, den vertrauenswürdigen Zeitunterschied beim Hochfahren des Systems und vor der Verfügbarkeit des Zugangs zu der Systemuhr von der nicht-vertrauenswürdigen Quelle zu bestimmen.
  21. Maschinenzugängliches Medium, das Instruktionen enthält, die, wenn sie durch eine Maschine ausgeführt werden, die Maschine veranlassen, Operationen auszuführen, die Folgendes umfassen: Vergleichen einer vertrauenswürdigen Zeit mit einer Systemzeit, um einen vertrauenswürdigen Zeitunterschied zu bestimmen, wobei die Systemzeit über eine nicht-vertrauenswürdige Zeitquelle zugänglich ist, wobei die Systemzeit über eine Stromspeichervorrichtung aufrecht erhalten wird; Speichern des Zeitunterschiedes in einem nicht-flüchtigen Speicher, wobei der nichtflüchtige Speicher vor einer Änderung durch die nicht-vertrauenswürdige Zeitquelle geschützt ist; und Einstellen einer geschützten Uhr mit der vertrauenswürdigen Zeit auf der Basis der Systemzeit und des vertrauenswürdigen Zeitunterschieds in Reaktion auf das Verlieren der vertrauenswürdigen Zeit infolge eines Verlustes der Stromzufuhr zu der geschützten Uhr.
  22. Maschinenzugängliches Medium nach Anspruch 21, wobei die Operationen des weiten ein Aktualisieren des vertrauenswürdigen Zeitunterschieds in Reaktion auf eine Änderung der Systemzeit umfassen.
  23. Maschinenzugängliches Medium nach Anspruch 21, wobei die Operationen des Weiteren ein Bestimmen des vertrauenswürdigen Zeitunterschieds beim Hochfahren eines Computersystems, das die Systemuhr nutzt, und vor der Verfügbarkeit des Zugangs zu der Systemuhr durch die nicht-vertrauenswürdige Quelle über das Computersystem umfassen.
  24. Maschinenzugängliches Medium nach Anspruch 21, wobei das Aktualisieren des vertrauenswürdigen Zeitunterschieds ein Bestimmen eines neuen Zeitunterschieds auf der Basis einer geänderten Systemzeit und einer momentanen vertrauenswürdigen Zeit sowie ein Speichern des neuen Zeitunterschieds in dem nicht-flüchtigen Speicher umfaßt.
  25. Maschinenzugängliches Medium nach Anspruch 24, wobei das Speichern des neuen Zeitunterschieds in dem nicht-flüchtigen Speicher ein Speichern des neuen Zeitunterschieds umfaßt, wenn der neue Zeitunterschied einen Schwellen-Zeitunterschied überschreitet.
DE112006001666T 2005-06-22 2006-06-22 Verwaltung einer geschützten Uhr auf der Basis einer nicht-vertrauenswürdigen ständigen Zeitquelle Ceased DE112006001666T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/158,968 2005-06-22
US11/158,968 US8327448B2 (en) 2005-06-22 2005-06-22 Protected clock management based upon a non-trusted persistent time source
PCT/US2006/024560 WO2007002451A1 (en) 2005-06-22 2006-06-22 Protected clock management based upon a non-trusted persistent time source

Publications (1)

Publication Number Publication Date
DE112006001666T5 true DE112006001666T5 (de) 2008-05-08

Family

ID=36974706

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112006001666T Ceased DE112006001666T5 (de) 2005-06-22 2006-06-22 Verwaltung einer geschützten Uhr auf der Basis einer nicht-vertrauenswürdigen ständigen Zeitquelle

Country Status (7)

Country Link
US (1) US8327448B2 (de)
KR (1) KR20080014878A (de)
CN (1) CN101194266B (de)
DE (1) DE112006001666T5 (de)
GB (1) GB2442624B (de)
TW (1) TWI334522B (de)
WO (1) WO2007002451A1 (de)

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1732263A1 (de) * 2005-06-07 2006-12-13 Sony Ericsson Mobile Communications AB Verfahren und Vorrichtung für Zertifikatwechsel
US8327448B2 (en) 2005-06-22 2012-12-04 Intel Corporation Protected clock management based upon a non-trusted persistent time source
US7861308B2 (en) * 2005-11-28 2010-12-28 Sony Corporation Digital rights management using trusted time
JP4434169B2 (ja) * 2006-03-30 2010-03-17 ブラザー工業株式会社 情報処理装置、及び、プログラム
TW201112656A (en) * 2006-05-09 2011-04-01 Interdigital Tech Corp Secure time functionality for a wireless device
JP5243250B2 (ja) * 2006-07-26 2013-07-24 パナソニック株式会社 不揮発性記憶装置、不揮発性記憶システム、及びホスト機器
US8607058B2 (en) 2006-09-29 2013-12-10 Intel Corporation Port access control in a shared link environment
US20080168565A1 (en) * 2007-01-09 2008-07-10 Nokia Corporation Method, system, mobile device, apparatus and computer program product for validating rights objects
US8688924B2 (en) * 2007-06-08 2014-04-01 Sandisk Technologies Inc. Method for improving accuracy of a time estimate from a memory device
WO2008154309A1 (en) * 2007-06-08 2008-12-18 Sandisk Corporation Memory device using the time from a trusted host device and method for use therewith
US8688588B2 (en) * 2007-06-08 2014-04-01 Sandisk Technologies Inc. Method for improving accuracy of a time estimate used in digital rights management (DRM) license validation
US20080307237A1 (en) * 2007-06-08 2008-12-11 Michael Holtzman Method for improving accuracy of a time estimate used to authenticate an entity to a memory device
US8869288B2 (en) * 2007-06-08 2014-10-21 Sandisk Technologies Inc. Method for using time from a trusted host device
US10055251B1 (en) 2009-04-22 2018-08-21 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for injecting code into embedded devices
US9047458B2 (en) 2009-06-19 2015-06-02 Deviceauthority, Inc. Network access protection
US9047450B2 (en) * 2009-06-19 2015-06-02 Deviceauthority, Inc. Identification of embedded system devices
US8448009B2 (en) * 2009-08-17 2013-05-21 Sandisk Il Ltd. Method and memory device for generating a time estimate
US8726407B2 (en) 2009-10-16 2014-05-13 Deviceauthority, Inc. Authentication of computing and communications hardware
WO2013176711A2 (en) * 2012-02-15 2013-11-28 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for inhibiting attacks on embedded devices
US9106645B1 (en) * 2011-01-26 2015-08-11 Symantec Corporation Automatic reset for time-based credentials on a mobile device
AU2011101295B4 (en) 2011-06-13 2012-08-02 Device Authority Ltd Hardware identity in multi-factor authentication layer
AU2011101297B4 (en) 2011-08-15 2012-06-14 Uniloc Usa, Inc. Remote recognition of an association between remote devices
US9654467B1 (en) * 2013-03-14 2017-05-16 EMC IP Holding Company LLC Time synchronization solutions for forward-secure one-time authentication tokens
US9015838B1 (en) * 2012-05-30 2015-04-21 Google Inc. Defensive techniques to increase computer security
US8813240B1 (en) 2012-05-30 2014-08-19 Google Inc. Defensive techniques to increase computer security
US9292712B2 (en) 2012-09-28 2016-03-22 St-Ericsson Sa Method and apparatus for maintaining secure time
EP2973137A4 (de) * 2013-03-13 2016-10-19 Intel Corp Verfahren und vorrichtung für hardwareunterstützte sichere echtzeit-taktverwaltung
US9143496B2 (en) 2013-03-13 2015-09-22 Uniloc Luxembourg S.A. Device authentication using device environment information
US9286466B2 (en) 2013-03-15 2016-03-15 Uniloc Luxembourg S.A. Registration and authentication of computing devices using a digital skeleton key
CN103718186B (zh) 2013-09-05 2015-07-08 华为技术有限公司 存储系统及数据操作请求处理方法
FR3018125B1 (fr) 2014-03-02 2017-07-21 Viaccess Sa Procede de fourniture, a un terminal, de contenus multimedias proteges
CN104898491A (zh) * 2014-03-04 2015-09-09 广州汽车集团股份有限公司 一种处理主控制器时钟复位的方法、装置及相应的汽车
US9268972B2 (en) 2014-04-06 2016-02-23 Freescale Semiconductor, Inc. Tamper detector power supply with wake-up
US10114945B2 (en) * 2014-05-05 2018-10-30 Citrix Systems, Inc. Clock rollback security
JP6786482B2 (ja) * 2015-06-05 2020-11-18 ソニーセミコンダクタソリューションズ株式会社 信号処理装置および方法
US9977724B2 (en) * 2015-09-20 2018-05-22 Google Llc Systems and methods for correcting timestamps on data received from untrusted devices
US9819696B2 (en) 2015-11-04 2017-11-14 Bitdefender IPR Management Ltd. Systems and methods for detecting domain generation algorithm (DGA) malware
US10075452B2 (en) 2016-02-18 2018-09-11 Comcast Cable Communications, Llc Distributed content uploading and validation
KR102473790B1 (ko) * 2016-08-30 2022-12-05 삼성전자 주식회사 저전력 상태에서 시간 정보 제공 방법 및 이 방법을 포함하는 전자 장치
US10509435B2 (en) 2016-09-29 2019-12-17 Intel Corporation Protected real time clock with hardware interconnects
US10955872B2 (en) * 2018-07-25 2021-03-23 Dell Products L.P. System and method to retain baseboard management controller real-time clock time during BMC reboot
US11392167B2 (en) * 2019-03-11 2022-07-19 Hewlett Packard Enterprise Development Lp Device clock setting while booting a device
US10862854B2 (en) 2019-05-07 2020-12-08 Bitdefender IPR Management Ltd. Systems and methods for using DNS messages to selectively collect computer forensic data
CN113253598A (zh) * 2020-02-10 2021-08-13 哈曼国际工业有限公司 用于保护和准确化系统时间的技术
US11360918B1 (en) * 2020-12-21 2022-06-14 Otis Elevator Company Real-time processing system synchronization in a control system
CN113485524B (zh) * 2021-07-12 2022-11-11 上海瓶钵信息科技有限公司 基于可信执行环境的时钟同步方法及系统
EP4372590A1 (de) * 2022-11-18 2024-05-22 NXP USA, Inc. System

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5489095A (en) 1992-07-01 1996-02-06 U.S. Philips Corporation Device for protecting the validity of time sensitive information
US5444780A (en) 1993-07-22 1995-08-22 International Business Machines Corporation Client/server based secure timekeeping system
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US5999921A (en) 1997-04-30 1999-12-07 Pitney Bowes Inc. Electronic postage meter system having plural clock system providing enhanced security
US6393126B1 (en) 1999-06-23 2002-05-21 Datum, Inc. System and methods for generating trusted and authenticatable time stamps for electronic documents
US8868914B2 (en) * 1999-07-02 2014-10-21 Steven W. Teppler System and methods for distributing trusted time
US7409557B2 (en) * 1999-07-02 2008-08-05 Time Certain, Llc System and method for distributing trusted time
US6728880B1 (en) 1999-09-17 2004-04-27 Adobe Systems Incorporated Secure time on computers with insecure clocks
US20050160272A1 (en) * 1999-10-28 2005-07-21 Timecertain, Llc System and method for providing trusted time in content of digital data files
US6554927B1 (en) 2000-11-24 2003-04-29 Sigmabond Technologies Corporation Method of explosive bonding, composition therefor and product thereof
US20020104004A1 (en) * 2001-02-01 2002-08-01 Bruno Couillard Method and apparatus for synchronizing real-time clocks of time stamping cryptographic modules
US6968473B2 (en) 2001-11-15 2005-11-22 International Business Machines Corporation Method and apparatus for generating a virtual clock in a data processing system
US20030115503A1 (en) * 2001-12-14 2003-06-19 Koninklijke Philips Electronics N.V. System for enhancing fault tolerance and security of a computing system
US6698712B2 (en) 2002-05-02 2004-03-02 Dril-Quip, Inc. Ball valve assembly
US7076802B2 (en) * 2002-12-31 2006-07-11 Intel Corporation Trusted system clock
US7155629B2 (en) 2003-04-10 2006-12-26 International Business Machines Corporation Virtual real time clock maintenance in a logically partitioned computer system
US7574610B2 (en) * 2004-09-30 2009-08-11 Microsoft Corporation Security state watcher
US8327448B2 (en) 2005-06-22 2012-12-04 Intel Corporation Protected clock management based upon a non-trusted persistent time source
US20080307495A1 (en) * 2007-06-08 2008-12-11 Michael Holtzman Memory device with circuitry for improving accuracy of a time estimate used in digital rights management (DRM) license validation
KR200489472Y1 (ko) 2016-07-01 2019-06-24 (주)보라매완구상사 반두

Also Published As

Publication number Publication date
TW200705155A (en) 2007-02-01
US8327448B2 (en) 2012-12-04
US20060294593A1 (en) 2006-12-28
WO2007002451A1 (en) 2007-01-04
KR20080014878A (ko) 2008-02-14
TWI334522B (en) 2010-12-11
CN101194266A (zh) 2008-06-04
GB0722951D0 (en) 2008-01-02
GB2442624B (en) 2010-10-20
GB2442624A (en) 2008-04-09
CN101194266B (zh) 2010-12-22

Similar Documents

Publication Publication Date Title
DE112006001666T5 (de) Verwaltung einer geschützten Uhr auf der Basis einer nicht-vertrauenswürdigen ständigen Zeitquelle
US10326795B2 (en) Techniques to provide network security through just-in-time provisioned accounts
US10902128B2 (en) Methods for creating a computer-implemented virtual machine manager
DE60007724T2 (de) Chipkarten-benutzerschnittstelle für eine vertraute computerplattform
US9785766B2 (en) Automated password management
US6618810B1 (en) Bios based method to disable and re-enable computers
US7703128B2 (en) Digital identity management
DE102011103218B4 (de) Systeme, Verfahren und Vorrichtung zum Virtualisieren von TPM- Zugriffen
EP1842127B1 (de) Verfahren und system zur sicheren identifizierung von rechnerspeichereinrichtungen
DE60102555T2 (de) Verhinderung der map-aktivierten modulmaskeradeangriffe
DE112005003485B4 (de) Verfahren zur Überwachung einer verwalteten Einrichtung
US20130239182A1 (en) Network security and fraud detection system and method
DE102009044576A1 (de) Verwaltung von Hardwarepasswörtern
DE112009004762T5 (de) System und verfahren zum durchführen einer verwaltunosoperation
US20050015628A1 (en) Method for controlled and audited access to privileged accounts on computer systems
US8869234B2 (en) System and method for policy based privileged user access management
DE112007001635T5 (de) Authentifizierung von Komponenten bei Computersystemen
US20180359136A1 (en) Managing alerts regarding additions to user groups
JP6180491B2 (ja) 自動化されたパスワード管理
DE102009012796A1 (de) System und Verfahren zum Schützen von Ressourcen, die einen Weitverkehrsnetzanschluss verwenden
CN115470473A (zh) 人工智能系统保护方法、装置、ai分析设备及管控中心
DE102022108627A1 (de) Sicherheitshoheit über ein computergerät
WO2023069062A1 (en) Blockchain-based certificate lifecycle management
CN114138523A (zh) 异常程序处理方法、系统、终端及存储介质
DE102021206609A1 (de) Sichere Umgebung, Steuervorrichtung und System, das diese Entitäten aufweist

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021020000

Ipc: G06F0021700000

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021020000

Ipc: G06F0021700000

Effective date: 20130315

R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final