DE112006001666T5 - Verwaltung einer geschützten Uhr auf der Basis einer nicht-vertrauenswürdigen ständigen Zeitquelle - Google Patents
Verwaltung einer geschützten Uhr auf der Basis einer nicht-vertrauenswürdigen ständigen Zeitquelle Download PDFInfo
- Publication number
- DE112006001666T5 DE112006001666T5 DE112006001666T DE112006001666T DE112006001666T5 DE 112006001666 T5 DE112006001666 T5 DE 112006001666T5 DE 112006001666 T DE112006001666 T DE 112006001666T DE 112006001666 T DE112006001666 T DE 112006001666T DE 112006001666 T5 DE112006001666 T5 DE 112006001666T5
- Authority
- DE
- Germany
- Prior art keywords
- time
- trusted
- clock
- time difference
- protected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
- 230000002085 persistent effect Effects 0.000 title abstract 3
- 238000000034 method Methods 0.000 claims abstract description 22
- 230000004044 response Effects 0.000 claims abstract description 15
- 230000008859 change Effects 0.000 claims description 23
- 238000004891 communication Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 10
- 238000004519 manufacturing process Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 239000000463 material Substances 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 206010010144 Completed suicide Diseases 0.000 description 1
- 101001094044 Mus musculus Solute carrier family 26 member 6 Proteins 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/04—Generating or distributing clock signals or signals derived directly therefrom
- G06F1/14—Time supervision arrangements, e.g. real time clock
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
- G06F21/725—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits operating on a secure reference time value
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Electric Clocks (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
Verfahren,
das Folgendes umfaßt:
Vergleichen einer vertrauenswürdigen Zeit mit einer ständigen Zeit, um einen vertrauenswürdigen Zeitunterschied zu bestimmen, wobei die ständige Zeit über eine nicht-vertrauenswürdige Zeitquelle zugänglich ist;
Speichern des Zeitunterschiedes in einem nicht-flüchtigen Speicher, wobei der nicht-flüchtige Speicher vor einer Änderung durch die nicht-vertrauenswürdige Zeitquelle geschützt ist; und
Einstellen einer geschützten Uhr mit der vertrauenswürdigen Zeit auf der Basis der ständigen Zeit und des vertrauenswürdigen Zeitunterschieds in Reaktion auf das Verlieren der vertrauenswürdigen Zeit infolge eines Verlustes der Stromzufuhr zu der geschützten Uhr.
Vergleichen einer vertrauenswürdigen Zeit mit einer ständigen Zeit, um einen vertrauenswürdigen Zeitunterschied zu bestimmen, wobei die ständige Zeit über eine nicht-vertrauenswürdige Zeitquelle zugänglich ist;
Speichern des Zeitunterschiedes in einem nicht-flüchtigen Speicher, wobei der nicht-flüchtige Speicher vor einer Änderung durch die nicht-vertrauenswürdige Zeitquelle geschützt ist; und
Einstellen einer geschützten Uhr mit der vertrauenswürdigen Zeit auf der Basis der ständigen Zeit und des vertrauenswürdigen Zeitunterschieds in Reaktion auf das Verlieren der vertrauenswürdigen Zeit infolge eines Verlustes der Stromzufuhr zu der geschützten Uhr.
Description
- Gebiet der Erfindung
- Die vorliegende Erfindung betrifft das Gebiet der Plattformverwaltung. Insbesondere betrifft die vorliegende Erfindung Verfahren und Anordnungen zum Aufrechterhalten einer vertrauenswürdigen Zeit für eine geschützte Uhr auf der Basis einer nicht-vertrauenswürdigen, aber ständigen Zeitquelle.
- Allgemeiner Stand der Technik
- Die Nützlichkeit von Computern und die Entwicklung relativ kostengünstiger Computerlösungen hat dazu geführt, daß man sich heute für viele Facetten der privaten und geschäftlichen Aktivitäten auf Computer- und Netzwerkressourcen stützt. Zum Beispiel arbeiten Firmen sehr intensiv mit Computer zum Beispiel zum Zweck des Telecommuting, des Erhalts von Nachrichten und Börseninformationen, für Handel, Banking, Einkauf, Versand, das Kommunizieren in Form von Voice Internet Protocol (VoiceIP) [siehe die Empfehlung H.323 der International Telecommunication Union (ITU) mit dem Titel "Packet-based Multimedia Communication Systems", herausgegeben im November 2000 und verfügbar unter "www.itu.int" (H.323 Specification")] und E-Mail sowie andere Dienste. Für viele Menschen ist der Personalcomputer heute sogar ein wesentliches Instrument für den Verdienst ihres Lebensunterhalts.
- Ein wesentliches Problem bei der Nutzung von Personalcomputern zum Durchführen von Geschäften über ein Netzwerk ist die Aufrechterhaltung der genauen Zeit. Das Aufrechterhalten einer genauen Zeit beeinflußt unmittelbar nicht nur die Sicherheit von Transaktionen zum Beispiel über Sicherheitszertifikate, sondern auch die Fähigkeit, den korrekten Betrieb des Computersystems aufrecht zu erhalten. Zum Beispiel ist Kerberos ein Netzwerkauthentifizierungsprotokoll, das mit einer leistungsfähigen Verschlüsselung arbeitet, so daß ein Client gegenüber einem Server über eine unsichere Netzwerkverbindung seine Identität nachweisen kann und umgekehrt. Genauer gesagt, benutzt das Authentifizierungssystem Kerberos eine Reihe verschlüsselter Nachrichten, um einem Verifizierer nachzuweisen, daß ein Client im Auftrag eines bestimmten Nutzers arbeitet. Der Verifizierer überprüft den Zeitstempel auf den Nachrichten, um sich zu vergewissern, daß der Authentifizierer aktuell ist. Wenn der Zeitstempel innerhalb eines spezifizierten Zeitfensters liegt, das in der Regel fünf Minuten – um die aktuelle Zeit auf dem Verifizierer herum – beträgt, so kann der Verifizierer die Nachricht als authentisch akzeptieren. Wenn jedoch die Systemzeit zum Beispiel auf dem Verifizierer oder einer Nachricht nicht korrekt ist und infolge dessen der Zeitstempel offenbar älter als zum Beispiel fünf Minuten ist, so erachtet der Verifizierer die Nachricht nicht als aktuell, und er weist die Nachricht zurück.
- Als eine weitere Veranschaulichung kann ein Systemadministrator System-Logs und Fehler-Logs überprüfen, um zur Ursache eines Problems in einem Computersystem vorzudringen. Wenn jedoch die Zeitanzeigen für die Systemereignisse nicht präzise sind, und erst recht nicht richtig, so fällt es dem Systemadministrator viel schwerer, die Ursache des Problems zu finden. Diese Situation wird noch erschwert, wenn das System-Log zum Beispiel von einem Netzwerk-Server stammt, das Fehler-Log von einem Arbeitsplatzrechner ist oder ein oder beide Logs falsche Zeitstempel haben. Dadurch kann es dem Systemadministrator unmöglich sein, Ereignisse auf dem Arbeitsplatzrechner mit Ereignissen auf dem Netzwerk-Server zu korrelieren.
- Ein Problem, das sich zusammen mit der Verbreitung von Computer und Netzwerken entwickelt hat, sind nicht-vertrauenswürdige Nutzer, wie zum Beispiel Hacker, die mit einem Computersystem direkt oder räumlich abgesetzt über Software, Viren und Würmer interagieren. Eine übliche Taktik besteht darin, die Zeit von einem oder mehreren der Systeme in einem Computernetzwerk zu ändern. Das Ändern der Zeit in einem Arbeitsplatzrechner auf einige Jahre zurück kann es einem Hacker ermöglichen, über ein abgelaufenes Sicherheitszertifikat Zugang zu vertraulichen Daten in dem Netzwerk zu erhalten. Solche Angriffe werden als Eindringangriffe kategorisiert.
- Andererseits kann das Ändern der Systemzeit auf einige Jahre in die Zukunft bewirken, daß das System gültige Zertifikate von anderen, vertrauenswürdigen Nutzer nicht anerkennt. Solche Angriffe werden oft als Dienstverweigerungsangriffe bezeichnet, und sie können die Kommunikation für das betroffene Computersystem und möglicherweise die Kommunikation im gesamten Netzwerk buchstäblich zum Erliegen bringen. Das Authentifizierungsprotokoll Kerberos zum Beispiel verlangt, daß die Uhren innerhalb eines Abstands von Minuten synchronisiert werden, so daß ein Angreifer erfolgreich einen "Dienstverweigerungsangriff ausführen kann, wenn der Angreifer einen oder beide Uhren lediglich um Minuten verändern kann.
- Derzeitige Lösungen beinhalten zwar Sicherheitsmaßnahmen, um zu verhindern, daß sich nicht-vertrauenswürdige Nutzer über direkte Kommunikation oder einen Virus oder Wurm von einer räumlich abgesetzten Stelle aus Zugang verschaffen, aber in dem Maße, wie die verfügbaren Sicherheitsmaßnahmen besser werden, arbeiten die Angreifer mit immer ausgeklügelteren Taktiken, um die Sicherheitsmaßnahmen zu umgehen. Lösungen können auch eine einzelne, vertrauenswürdige Zeitquelle bereitstellen. Eine einzelne, vertrauenswürdige Zeitquelle wird für ein Netzwerk bereitgestellt, weil die Systemzeit in individuellen Arbeitsplatzrechnern durch andere nicht-vertrauenswürdige Quellen verändert werden kann, einschließlich des zugewiesenen Nutzers des Arbeitsplatzrechners, die absichtlich oder versehentlich einen Zugriff auf die Systemzeit ermöglichen können. Das Bereitstellen der einzelnen, vertrauenswürdigen Zeitquelle zum Zugreifen für Zeitanzeigen zum Validieren von Zertifikaten und Erstellen von Logs erfordert jedoch, daß jedes Computersystem, das jedes Mal oder zumindest häufig auf die Zeitquelle zugreift, die Probleme mindert, die mit der Nutzung der nicht-vertrauenswürdigen Zeitquelle verbunden sind. Wenn man jeden Computer in dem Netzwerk Sicherheitszertifikate validieren und Logs erstellen läßt, indem er für die Zeit auf die vertrauenswürdige Zeitquelle zugreift, so kann sich dies erheblich auf die Bandbreite sowie auf die Latenzen auswirken, die bei der Verarbeitung von Transaktionen benötigt werden bzw. entstehen.
- Kurze Beschreibung der Zeichnungen
- Vorteile von Ausführungsformen der Erfindung werden beim Lesen der folgenden detaillierten Beschreibung und dem Studium der begleitenden Zeichnungen verstanden. In den Zeichnungen können ähnliche Elemente mit gleichen Bezugszahlen versehen sein.
-
1 zeigt eine Ausführungsform eines Systems, das einen Computer mit einer eingebetteten Verwaltungsfähigkeitsvorrichtung enthält, um eine vertrauenswürdige Zeit in eine geschützte Uhr über eine nicht-vertrauenswürdige Echtzeituhr (EZU) aufrecht zu erhalten. -
2 zeigt eine Ausführungsform einer Rechenplattform mit verwalteter Firmware und dedizierter Hardware. -
3 zeigt ein Flußdiagramm einer Ausführungsform zum Initialisieren einer geschützten Uhr mit einer vertrauenswürdigen Zeit. -
4 zeigt ein Flußdiagramm einer Ausführungsform zum Aktualisieren einer geschützten Uhr in Reaktion auf eine Änderung einer Zeiteinstellung für eine nicht-vertrauenswürdige Uhr. -
5 zeigt ein Flußdiagramm einer Ausführungsform zum Zurücksetzen einer geschützten Uhr mit einer vertrauenswürdigen Zeit nach einem Stromverlust zu der geschützten Uhr, während das Computersystem abgeschaltet wird. - Detaillierte Beschreibung von Ausführungsformen
- Das Folgende ist eine detaillierte Beschreibung von Ausführungsbeispielen der Erfindung, die in den begleitenden Zeichnungen gezeigt sind. Die Ausführungsbeispiele sind ausreichend detailliert, um die Erfindung in verständlicher Form darzulegen. Allerdings soll der hier verwendete Grad an Detailliertheit nicht die zu erwartenden Varianten von Ausführungsformen einschränken, sondern es besteht im Gegenteil die Absicht, sämtliche Modifikationen, Äquivalente und Alternativen mit aufzunehmen, die unter den Geist und Geitungsbereich der vorliegenden Erfindung fallen, wie er durch die angehängten Ansprüche definiert wird. Die folgenden detaillierten Beschreibungen sind so verfaßt, daß derartige Ausführungsformen für einen Fachmann offenkundig sind.
- Allgemein ausgedrückt, werden Verfahren und Anordnungen zum Aufrechterhalten einer vertrauenswürdigen Zeit für eine geschützte Uhr auf der Basis einer nicht-vertrauenswürdigen, aber ständigen Zeitquelle behandelt. Ausführungsformen können eine eingebettete Vorrichtung umfassen, bei der es sich um eine Hardware, eine Software, eine Firmware und/oder eine sonstige Logik handeln kann, um eine vertrauenswürdige Zeit in einer geschützten Uhr aufrecht zu erhalten. Die eingebettete Vorrichtung kann die geschützte Uhr durch Erhalten einer vertrauenswürdigen Zeit von einer vertrauenswürdigen Zeitquelle, wie zum Beispiel einem Netzwerk-Server, initialisieren. Die eingebettete Vorrichtung hält dann die vertrauenswürdige Zeit im Fall eines Verlustes der Stromzufuhr zu der geschützten Uhr durch Überwachen eines Zeitunterschieds zwischen der geschützten Uhr und einer nicht-vertrauenswürdigen, aber ständigen Systemuhr aufrecht. Zum Beispiel kann in einigen Ausführungsformen die eingebettete Vorrichtung einen Interrupt empfangen, wenn die nicht-vertrauenswürdige Systemuhr verändert wird, und aktualisiert in Reaktion darauf den Zeitunterschied zwischen der vertrauenswürdigen Zeit und der Systemzeit. Die eingebettete Vorrichtung speichert dann den Zeitunterschied im Fall eines Stromverlustes in einem nicht-flüchtigen Speicher.
- Viele Ausführungsformen verwenden der geschützten Uhr vorteilhafterweise ohne eine Reservebatterie, um Herstellungskosten und Platz zu sparen, können aber trotzdem die vertrauenswürdige Zeit im Fall eines Stromverlustes durch Verlaß auf eine Reservebatterie für die nicht-vertrauenswürdige Systemuhr aufrecht erhalten. Insbesondere kann die nicht-vertrauenswürdige Systemuhr im Fall eines solchen Stromverlustes im Wesentlichen unzugänglich sein, so daß sich die eingebettete Vorrichtung auf die Genauigkeit der ständigen Zeit stützen kann, die durch die Systemuhr angezeigt wird, wenn der Strom wiederhergestellt wird.
- Obgleich Abschnitte der folgenden detaillierten Besprechung Ausführungsformen der Erfindung anhand einer eingebetteten Verwaltungsfähigkeitsvorrichtung und verwalteter Firmware beschreiben, erkennt der Durchschnittsfachmann, daß Ausführungsformen zum Beispiel auch über eine sichere Partition oder eine sonstige sichere Umgebung implementiert werden können, die den Zugriff auf eine geschützte Uhr auf vertrauenswürdigen Code und/oder vertrauenswürdige Vorrichtungen beschränken.
- Wenden wir uns nun den Zeichnungen zu.
1 zeigt eine Ausführungsform eines Systems100 , das einen Computer120 mit einer eingebetteten Verwaltungsfähigkeitsvorrichtung126 enthält, um eine vertrauenswürdige Zeit in einer geschützten Uhr130 über eine nicht-vertrauenswürdige Echtzeituhr (EZU)124 aufrecht zu erhalten. Das System100 umfaßt einen Computer120 , einen Computer140 , ein Netzwerk150 , eine vertrauenswürdige Zeitquelle160 und eine Informationstechnologie (IT)-Konsole170 . - Der Computer
120 kann ein Personalcomputer sein, wie zum Beispiel ein Desktop- oder Laptop-Computer, der einem Nutzer110 zum Beispiel über eine Anzeigevorrichtung, eine Tastatur und eine Maus einen direkten Zugang ermöglicht. Der Computer120 kann auch mit einem Netzwerk150 verbunden sein, um dem Nutzer Zugang zu E-Mail, Netzwerkressourcen und, in einigen Ausführungsformen, einen Fernzugang durch andere Computer zu ermöglichen, die mit dem Netzwerk150 verbunden sind, wie zum Beispiel ein Computer140 . Der Nutzer110 kann absichtlich oder versehentlich die Systemzeit für den Computer120 durch direkten Zugriff auf die Uhreneinstellung oder durch Ausführen von Code einstellen. Die Zeiteinstellung kann von der Zeitquelle versetzt sein, die von anderen Computern verwendet wird, die mit dem Netzwerk150 verbunden sind, kann infolge von Unterschieden bei den Zeitzonen der Computer versetzt sein oder kann auf ein früheres oder ein künftiges Datum versetzt sein. Auf jeden Fall kann die Zeitanzeige der EZU124 für den Zweck des Korrelierens von System-Logs, des Validierens von Sicherheitszertifikaten und/oder dergleichen falsch sein. - Der Computer
120 kann eine Benutzerschnittstelle122 , eine EZU124 , eine eingebettete Verwaltungsfähigkeitsvorrichtung126 , einen Flash-Speicher128 und eine geschützte EZU130 umfassen. Die Benutzerschnittstelle122 kann eine nicht-vertrauenswürdige Schnittstelle sein, die mit der EZU124 verbunden ist, um eine Änderung der Systemzeit durch eine nicht-vertrauenswürdige Zeitquelle zu ermöglichen. Zum Beispiel kann die Benutzerschnittstelle122 eine Systempräferenz sein, die über ein Fenster zugänglich ist, das es dem Nutzer110 ermöglicht, die Uhrzeit und das Datum der EZU124 einzustellen. Insbesondere kann die Benutzerschnittstelle122 Code umfassen, der in einem Speicher, wie zum Beispiel einem dynamischen Direktzugriffsspeicher (DRAM)123 , oder einem anderen Speicher gespeichert ist. Wenn er ausgeführt wird, so kann der Code mit dem Nutzer110 , dem Computer140 oder einer anderen nicht-vertrauenswürdigen Zeitquelle interagieren, um eine neue Zeit für die EZU124 festzulegen. Die Hardware der Benutzerschnittstelle122 kann dann die EZU124 auf die neue Zeit einstellen. - Die EZU
124 ist eine Uhr, die auch dann noch die Zeit hält, wenn der Computer120 abgeschaltet wird, und hält somit eine ständige Zeit aufrecht. Die EZU124 wird von einer speziellen Batterie oder einer anderen Stromspeichervorrichtung betrieben, die nicht an die normale Stromversorgung angeschlossen ist. Im Gegensatz dazu funktionieren Uhren, wie zum Beispiel die geschützte EZU130 , nicht, wenn der Computer ausgeschaltet ist. In anderen Ausführungsformen kann die EZU124 diese Batterie als Reservebatterie haben und kann mit normalem Strom arbeiten, während der normale Strom verfügbar ist. - Die eingebettete Verwaltungsfähigkeitsvorrichtung
126 kann eine eingebettete Vorrichtung mit Firmware sein, um eine verschlüsselte und ständige Ressourcenverwaltung sowie Ferndiagnose- oder Fernwiederherstellungsfähigkeiten über eine Verwaltungskonsole, wie zum Beispiel die IT-Verwaltungskonsole170 , zu ermöglichen. In der vorliegenden Ausführungsform kann die eingebettete Verwaltungsfähigkeitsvorrichtung126 mit der EZU124 verbunden sein, um einen vertrauenswürdigen Zeitunterschied zwischen einer Systemzeit von der EZU124 und einer vertrauenswürdigen Zeit von der geschützten EZU130 zu ermitteln. Die eingebettete Verwaltungsfähigkeitsvorrichtung126 kann dann die vertrauenswürdige Zeit auf der Basis der Systemzeit und des vertrauenswürdigen Zeitunterschieds im Fall eines Verlustes der Stromzufuhr zu der geschützten EZU130 einstellen. - Die eingebettete Verwaltungsfähigkeitsvorrichtung
126 kann den Zeitunterschied in einem nicht-flüchtigen Speicher, wie zum Beispiel dem Flash-Speicher128 , speichern und die vertrauenswürdige Zeit der geschützten EZU130 einstellen. In verschiedenen Ausführungsformen sind der Flash-Speicher128 und die geschützten EZU130 dedizierte Hardware, die durch die eingebettete Verwaltungsfähigkeitsvorrichtung126 verwaltet wird. In weiteren Ausführungsformen sind der Flash-Speicher128 und/oder die geschützte EZU130 Teil der eingebetteten Verwaltungsfähigkeitsvorrichtung126 . - In anderen Ausführungsformen kann ein Abschnitt des Flash-Speichers
128 der eingebetteten Verwaltungsfähigkeitsvorrichtung126 zugewiesen sein und kann über eine sichere Umgebung des Computers120 vor Beschädigung geschützt sein. Zum Beispiel kann ein Speichercontroller-Hub des Computers120 den Zugang zu dem Abschnitt des Flash-Speichers, welcher der eingebetteten Verwaltungsfähigkeitsvorrichtung126 zugeordnet ist, über vertrauenswürdigen oder authentifizierten Code und/oder über eine vertrauenswürdige Komponente, wie zum Beispiel die eingebettete Verwaltungsfähigkeitsvorrichtung126 , ermöglichen. - Die geschützte EZU
130 kann eine vertrauenswürdige Zeit aufrecht erhalten, und die eingebettete Verwaltungsfähigkeitsvorrichtung126 kann die Kommunikation mit der geschützten EZU130 verwalten, um eine Änderung der vertrauenswürdigen Zeit durch eine nicht-vertrauenswürdige Zeitquelle, wie zum Beispiel einen Nutzer110 und räumlich abgesetzte Computer, wie zum Beispiel der Computer140 , zu verhindern. In vielen Ausführungsformen hat die geschützte EZU130 keine Reservebatterie, was vorteilhafterweise den Platz und die Kosten spart, die mit dem Bereitstellen und Nutzen einer dedizierten Batterie verbunden ist, die von der speziellen Batterie getrennt ist, die für die EZU124 gedacht ist. Wenn zum Beispiel der Computer120 zum ersten Mal hochgefahren wird, so kann die eingebettete Verwaltungsfähigkeitsvorrichtung126 mit der vertrauenswürdigen Zeitquelle160 kommunizieren, um eine vertrauenswürdige Zeit zu erhalten. Die eingebettete Verwaltungsfähigkeitsvorrichtung126 kann dann die geschützte EZU130 auf die vertrauenswürdige Zeit einstellen und die vertrauenswürdige Zeit über die ständige Zeit der EZU124 aufrecht erhalten. - Das Netzwerk
150 ist eine Netzwerkverbindung, wie zum Beispiel ein Nahbereichsnetz oder ein Fernbereichsnetz, um die Computer120 und140 , die vertrauenswürdige Zeitquelle160 und die IT-Verwaltungskonsole170 miteinander zu verbinden, um eine Kommunikation zu ermöglichen. In einigen Ausführungsformen kann das Netzwerk150 ein Netzwerk in einem Büro, das über Ethernet verbunden ist, optische Medien wie OptiConnect, ein drahtloses Netzwerk oder dergleichen enthalten. In verschiedenen Ausführungsformen ist das Netzwerk150 über ein Kabelmodem, eine digitale Teilnehmerleitung (DSL), eine T1-Leitung, eine T3-Leitung oder dergleichen auch an das Internet angeschlossen. In weiteren Ausführungsformen kann das Netzwerk150 ein Netzwerk aus temporaren Verbindungen enthalten, wie zum Beispiel Verbindungen über ein Telefonsystem. - Die vertrauenswürdige Zeitquelle
160 kann eine sichere Quelle sein, die mit der eingebetteten Verwaltungsfähigkeitsvorrichtung126 anhand von Authentifizierungsinformationen, die für die Vorrichtung konfiguriert sind, erfolgreich authentifiziert wird. Die Authentifizierungsinformationen können zum Beispiel ein Benutzername/Paßwort-Paar sein, das als Teil einer Hypertext Transfer Protocol (HTTP)-Authentifizierung oder eines Transportschichtsicherheits (TLS)-Client/Server-Zertifikats, das durch eine Wurzelzertifikatinstanz (CA) signiert wurde, die für die eingebettete Verwaltungsfähigkeitsvorrichtung126 vertrauenswürdig ist, verwendet wird. TLS ist ein System zum Absichern von Internet-Kommunikationsprotokollen, die ein Paar aus einem öffentlichen und einem privaten Schlüssel und ein Verschlüsselungszertifikat verwenden, das die Identität der vertrauenswürdigen Zeitquelle an den öffentlichen Schlüssel bindet. In einigen Ausführungsformen kann die vertrauenswürdige Zeitquelle160 ein Teil der IT-Verwaltungskonsole170 sein. - Die Informationstechnologie (IT)-Konsole
170 kann einen Bestand und die Positionen von Ressourcen, wie zum Beispiel die Computer120 und140 , verwalten sowie Ferndiagnoseund -wiederherstellungsoperationen für Ressourcen, wie zum Beispiel die Computer120 und140 , ausführen. Zum Beispiel kann die eingebettete Verwaltungsfähigkeitsvorrichtung126 mit dem ständigen Speicher des Computers120 , wie zum Beispiel dem Flash-Speicher128 , verbunden sein, um auf Ereignis-Logs und Fehler-Logs zuzugreifen, selbst wenn der Computer120 abgeschaltet ist. In verschiedenen Ausführungsformen kann die IT-Verwaltungskonsole170 den Computer120 über die eingebettete Verwaltungsfähigkeitsvorrichtung126 einschalten und hochfahren, um zum Beispiel Software-Updates, Katalog-Software, die auf dem Computer120 installiert ist, und Bestandsressourcen im Computer120 , wie zum Beispiel Speicherkarten, Festplattenlaufwerke, CD-Laufwerke und dergleichen zu installieren. -
2 veranschaulicht eine Ausführungsform einer Rechenplattform200 mit verwalteter Firmware250 und Hardware260 für die eingebettete Vorrichtung zum Aufrechterhalten einer vertrauenswürdigen Zeit264 für eine geschützte Uhr262 auf der Basis einer nicht-vertrauenswürdigen, aber ständigen Zeitquelle, EZU244 . Zum Beispiel kann die Plattform200 einer von vielen Computer sein, die für die Ausführung eines neuen Unternehmensprojekts hergerichtet sind. Die Plattform200 kann nach dem Verbinden mit einem Intranet oder einem Nahbereichsnetz (LAN) am Projektstandort mit einem zentralen Server kommunizieren, um einen physischen Standort für die Plattform200 über eine Intranet-Adresse mitzuteilen, Software-Updates für Standard-Projekt-Software zu empfangen und spezielle Software herunterzuladen, die diesem Projektstandort zugewiesen ist. Die Plattform200 kann auch mit einer vertrauenswürdigen Zeitquelle über das LAN kommunizieren. In anderen Ausführungsformen kann die Plattform200 einfach die vertrauenswürdige Zeit264 der geschützten Uhr262 beim Hochfahren auf der Basis eines vertrauenswürdigen Zeitunterschieds272 aktualisieren, weil die Systemzeit246 der EZU244 durch die Batterie248 aufrecht erhalten wurde, während die Plattform200 zu diesem neuen Projektstandort umverlagert wurde. - Die Rechenplattform
200 kann ein Personalcomputer sein, wie zum Beispiel ein Arbeitsplatzrechner oder ein Server, und kann ein Host-System210 , Hardware240 , verwaltete Firmware250 und Hardware260 für die eingebettete Vorrichtung umfassen. Das Host-System210 kann Software umfassen, die als ein Host für eine oder mehrere Anwendungen für einen Nutzer fungiert. Insbesondere kann das Basic Input-Output-System (BIOS230 ) Basisfunktionen, wie zum Beispiel eine Integritätsverifizierung für den Systemspeicher und Erstprogrammladevorgänge (IPLs), ausführen, bevor die Kontrolle an ein Betriebssystem225 übergeben wird. In vielen Ausführungsformen kann ein Nutzer über eine Schnittstelle des BIOS230 auf die EZU246 zugreifen, um die Systemzeit244 vor oder während der IPLs einzustellen. - Die EZU
244 kann sich zum Beispiel in einem Input-Output (I/O)-Steuerhub der Hardware240 befinden, und der I/O-Steuerhub kann einen Interruptgenerator242 umfassen, um in Reaktion auf eine Anforderung, die Systemzeit246 zu ändern, eine Interrupt-Anforderung (IRQ) zu erzeugen. Zum Beispiel kann der Interruptgenerator242 eine IRQ erzeugen und die IRQ über einen Interrupt-Controller, wie zum Beispiel einen Interrupt-Controller INTEL 8259 oder eine ähnliche Logik, die in einem Chipsatz integriert ist, an eine Firmware252 für die eingebettete Vorrichtung senden. In anderen Ausführungsformen kann der Interruptgenerator242 einen Nachrichtensignal-Interrupt (MSI) erzeugen, der an die Firmware252 für die eingebettete Vorrichtung in einer ähnlichen Wiese übermittelt wird wie im Fall einer Schreibtransaktion. In weiteren Ausführungsformen kann der Interruptgenerator242 sich in anderer Hardware und/oder Software befinden. - Das Betriebssystem
225 kann eine große, relativ komplexe Basissoftware sein, die als eine Schnittstelle der Hardware240 für Anwendung(en)220 dient. Zum Beispiel kann das Betriebssystem225 eine Version von Windows (95, 98, NT, ME, 2000, XP), Macintosh OS X, Linux, Unix (Solaris, AIX, HP-UX usw.) oder dergleichen sein. Ähnlich dem BIOS230 kann das Betriebssystem225 eine Benutzerschnittstelle bereitstellen, um die Änderung der Systemzeit246 durch einen Nutzer zu ermöglichen. Das Betriebssystem225 kann eine Schnittstelle für die Systemzeit246 über Präferenzfelder bereitstellen, die in das Betriebssystem255 oder in Anwendung(en)220 eingebaut sind. - In einigen Ausführungsformen kann das Betriebssystem
225 vorteilhafterweise die vertrauenswürdige Zeit264 anstelle der Systemzeit246 verwenden, wenn zum Beispiel die Batterie248 erschöpft ist oder nicht mehr genügend Strom hat, um die EZU244 zu betreiben. In solchen Ausführungsformen kann die Firmware252 für die eingebettete Vorrichtung oder das Betriebssystem225 auch einen Alarm erzeugen, der den Ausfall der Batterie248 anzeigt. Die Firmware252 für die eingebettete Vorrichtung und/oder das Betriebssystem225 können den Alarm in ein Fehler-Log aufnehmen, den Alarm über eine Netzwerk-Schnittstelle280 an ein räumlich abgesetztes Verwaltungssystem übermitteln und/oder den Nutzer zum Beispiel über eine Alarmmeldung auf einer Anzeigevorrichtung, die mit der Plattform200 verbunden ist, über den Ausfall informieren. - Die Anwendung(en)
220 ist/sind eine Software der höheren Ebene, die komplexere Funktionen für einen Nutzer ausführt, wie zum Beispiel Textverarbeitung, Grafikverarbeitung, Videoschnitt und andere Funktionen, die sich auf einer höheren Ebene vollziehen. Die Anwendung(en)220 kann/können einen Zertifikatvalidierer222 umfassen, um mit der geschützten Uhr262 zu kommunizieren. Insbesondere kann der Zertifikatvalidierer222 Sicherheitszertifikate auf der Basis der vertrauenswürdigen Zeit264 validieren, um Zugang zum Beispiel zu Festplattenlaufwerken oder anderen Datenspeichern in der Plattform200 durch einen räumlich abgesetzten Nutzer zu gewähren. Zum Beispiel kann die Plattform200 Projektdaten verwalten, die sich auf Budgetschätzungen für verschiedene Stufen des Projekts beziehen, und ein räumlich abgesetzte Nutzer kann Zugang zu den Budgetdaten erhalten, indem er ein vertrauenswürdiges, authentifiziertes Sicherheitszertifikat vorlegt, das noch nicht abgelaufen ist. In Reaktion auf eine solche Anforderung kann der Zertifikatvalidierer222 mit der Firmware252 für die eingebettete Vorrichtung kommunizieren, um die vertrauenswürdige Zeit264 zum Validieren der Sicherheitszertifikate zu lesen. - Die verwaltete Firmware
250 kann eine sichere Umgebung sein, welche die Kommunikation mit nicht-vertrauenswürdiger Software oder anderem Code sowie die Kommunikation mit vertrauenswürdigem und authentifiziertem Code, wenn auch in geringerem Ausmaß, beschränkt. In der vorliegenden Ausführungsform umfaßt die verwaltete Firmware250 Firmware252 für die eingebettete Vorrichtung, um die Kommunikation mit der Hardware260 für die eingebettete Vorrichtung zu verwalten. In einigen Ausführungsformen kann die Firmware252 für die eingebettete Vorrichtung in eine eingebettete Verwaltungsfähigkeitsvorrichtung eingebaut sein, die auch einige Elemente der Hardware260 für die eingebettete Vorrichtung enthalten kann. Zum Beispiel kann nicht-vertrauenswürdigem Code, wie zum Beispiel dem Betriebssystem225 und dem Zertifikatvalidierer222 , gestattet werden, die vertrauenswürdige Zeit264 der geschützten Uhr262 zu lesen, ohne aber befugt zu sein, die vertrauenswürdige Zeit264 zu ändern. Andererseits ist die Firmware252 für die eingebettete Vorrichtung vertrauenswürdiger und authentifizierter Code, der die vertrauenswürdige Zeit264 unter spezifizierten Umständen ändern darf. - Die Firmware
252 für die eingebettete Vorrichtung kann eine Anfangszeiteinstellvorrichtung254 , einen Uhrenkomparator256 , und einen Determinierer258 für die vertrauenswürdige Zeit umfassen. Die Anfangszeiteinstellvorrichtung254 kommuniziert mit einer vertrauenswürdigen Zeitquelle über die Netzwerk-Schnittstelle280 , um eine vertrauenswürdige Zeit264 zu erhalten, um die geschützte Uhr262 einzustellen, wenn die Plattform200 zum ersten Mal hochgefahren wird. Die Anfangszeiteinstellvorrichtung254 kommuniziert dann mit der geschützten Uhr262 , um die vertrauenswürdige Zeit264 einzustellen. In einigen Ausführungsformen kann es die verwaltete Firmware250 der Anfangszeiteinstellvorrichtung254 untersagen, die vertrauenswürdige Zeit264 mit einer neuen Einstellung zu ändern, sofern die Plattform200 nicht vor kurzem hochgefahren wurde. - Der Uhrenkomparator
256 reagiert auf einen Interrupt vom Interruptgenerator242 , der anzeigt, daß ein Nutzer die EZU244 mit einer neuen Systemzeit246 eingestellt hat. Bei Erhalt des Interrupt kann der Uhrenkomparator256 den vertrauenswürdigen Zeitunterschied272 eines nicht-flüchtigen Speichers270 auf der Basis der vertrauenswürdigen Zeit264 und der neuen Systemzeit246 aktualisieren. Zum Beispiel kann sich ein Nutzer an dem neuen Projektstandort einloggen und die Systemzeit246 um zwei Stunden ändern, was der Unterschied der Zeitzonen zwischen dem Ursprungsstandort der Plattform200 und dem neuen Projektstandort ist. Der Interruptgenerator242 übermittelt eine Interrupt-Anforderung an die Firmware252 für die eingebettete Vorrichtung, während die Systemzeit246 aktualisiert wird. In Reaktion auf die Interrupt-Anforderung kann der Uhrenkomparator256 die vertrauenswürdige Zeit264 von der neuen Systemzeit244 subtrahieren, um einen neuen, vertrauenswürdigen Zeitunterschied272 von zwei Stunden zu bestimmen. Der Uhrenkomparator256 kann dann einen Hinweis auf einen vertrauenswürdigen Zeitunterschied272 von zwei Stunden des nicht-flüchtigen Speichers270 speichern. - Der Determinierer
258 für die vertrauenswürdige Zeit kann vertrauenswürdiger und authentifizierter Code sein, dem gestattet wird, die vertrauenswürdige Zeit264 der geschützten Uhr262 im Fall eines Verlustes der Stromzufuhr zu der geschützten Uhr262 zu aktualisieren. Insbesondere, wenn die normale Stromquelle266 , welche die primäre Stromquelle der Plattform200 darstellt, nach einem Stromverlust wiederhergestellt wird und die Plattform200 hochfährt, Der Determinierer258 für die vertrauenswürdige Zeit bestimmt die vertrauenswürdige Zeit272 . Um die vertrauenswürdige Zeit272 zu bestimmen, kann der Determinierer258 für die vertrauenswürdige Zeit die Systemzeit246 lesen, bevor eine nicht-vertrauenswürdige Quelle einen Zugang herstellen kann, um die Systemzeit246 über das BIOS230 zu ändern. Die nicht-vertrauenswürdige Quelle kann zum Beispiel Code oder ein Nutzer sein. Der Determinierer258 für die vertrauenswürdige Zeit kann die Systemzeit246 lesen, um die vertrauenswürdige Zeit272 zu bestimmen, weil die Systemzeit246 vorteilhafterweise während der Dauer des Stromverlustes durch die Batterie248 beibehalten wird. Der Determinierer258 für die vertrauenswürdige Zeit kann dann den vertrauenswürdigen Zeitunterschied272 des nicht-flüchtigen Speichers270 zu der Systemzeit246 addieren, um die vertrauenswürdige Zeit264 zu berechnen. Danach stellt der Determinierer258 für die vertrauenswürdige Zeit die geschützte Uhr262 mit der vertrauenswürdigen Zeit264 ein. - Die Hardware
260 für die eingebettete Vorrichtung kann Hardware der Plattform200 sein, die durch die verwaltete Firmware250 zur Verwendung durch die Firmware252 für die eingebettete Vorrichtung verwaltet wird. In einigen Ausführungsformen die Hardware260 für die eingebettete Vorrichtung vollständig oder teilweise in eine eingebettete Verwaltungsfähigkeitsvorrichtung eingebaut sein. - Die Hardware
260 für die eingebettete Vorrichtung kann eine geschützte Uhr262 , einen nicht-flüchtigen Speicher270 und eine Netzwerk-Schnittstelle280 umfassen. Die geschützte Uhr262 kann eine Schaltung sein, welche die vertrauenswürdige Zeit264 aufrecht erhält, während er über die normale Stromquelle266 mit Strom versorgt wird. Der nicht-flüchtige Speicher270 kann eine beliebige Form eines beschreibbaren Speichers sein, der Daten speichern kann, ohne daß ihm Strom zugeführt wird. Zum Beispiel kann der nicht-flüchtige Speicher270 einen Flash-Speicher, einen elektrisch löschbaren Nurlesespeicher und/oder dergleichen enthalten. - Die Netzwerk-Schnittstelle
280 kann einen Port umfassen, um einen Zugang zu einem Netzwerk zu ermöglichen. Zum Beispiel kann die Netzwerk-Schnittstelle280 eine Hardware-Verbindung oder Vorrichtung umfassen, um die Plattform200 mit einem Ethernet-Kabel, einem optischen Medium, einem drahtlosen Netzwerk oder dergleichen zu verbinden. -
3 zeigt ein Flußdiagramm300 einer Ausführungsform zum Initialisieren einer geschützten Uhr mit einer vertrauenswürdigen Zeit. Insbesondere beschreibt das Flußdiagramm300 die Funktion eines Computers, wie zum Beispiel einer Plattform200 in2 . Das Flußdiagramm300 beginnt mit dem erstmaligen Hochfahren eines Computers (Element310 ). Zum Beispiel kann es sein, daß der Computer gerade erst eingetroffen ist, so daß ein Nutzer den Computer an eine Netzsteckdose anschließt und den Ein-Schalter betätigt. - Nachdem der Computer eingeschaltet wurde, kann eine eingebettete Verwaltungsfähigkeitsvorrichtung eine Anforderung für eine Aktualisierung einer geschützten Uhr an eine vertrauenswürdige Zeitquelle senden (Element
315 ). Die vertrauenswürdige Zeitquelle kann mit einer Nachricht, die mit einem privaten Schlüssel verschlüsselt ist und die vertrauenswürdige Zeit enthält, und einem Sicherheitszertifikat antworten. Das Sicherheitszertifikat umfaßt die Identität der vertrauenswürdigen Zeitquelle und ist durch eine vertrauenswürdige Zertifikatinstanz signiert. - Bei Empfang der verschlüsselten Nachricht authentifiziert die eingebettete Verwaltungsfähigkeitsvorrichtung die Nachricht durch Entschlüsseln der Nachricht mit einem öffentlichen Schlüssel für die vertrauenswürdige Zeitquelle (Element
320 ). Das Entschlüsseln der Nachricht verschafft Zugang zu der vertrauenswürdigen Zeit. - Die eingebettete Verwaltungsfähigkeitsvorrichtung kann dann eine Systemzeit von einer Systemuhr lesen (Element
325 ) und einen vertrauenswürdigen Zeitunterschied auf der Basis der vertrauenswürdigen Zeit und der Systemzeit bestimmen (Element330 ). In vielen Ausführungsformen subtrahiert die eingebettete Verwaltungsfähigkeitsvorrichtung die vertrauenswürdige Zeit von der Systemzeit, um den vertrauenswürdigen Zeitunterschied zu bestimmen. Die eingebettete Verwaltungsfähigkeitsvorrichtung speichert dann den vertrauenswürdigen Zeitunterschied in einem nicht-flüchtigen Speicher (Element335 ). - Die eingebettete Verwaltungsfähigkeitsvorrichtung kann auch eine geschützte Uhr mit der vertrauenswürdigen Zeit (Element
340 ) im Wesentlichen gleichzeitig mit der Bestimmung des vertrauenswürdigen Zeitunterschieds einstellen. In anderen Ausführungsformen stellt die eingebettete Verwaltungsfähigkeitsvorrichtung der geschützten Uhr vor oder nach dem Bestimmen und/oder Speichern des vertrauenswürdigen Zeitunterschieds ein. -
4 zeigt ein Flußdiagramm400 einer Ausführungsform zum Aktualisieren einer geschützten Uhr in Reaktion auf eine Änderung einer Zeiteinstellung für eine nicht-vertrauenswürdige Systemuhr. Insbesondere beschreibt das Flußdiagramm400 die Funktion einer eingebetteten Verwaltungsfähigkeitsvorrichtung, wie zum Beispiel der Firmware252 für die eingebettete Vorrichtung in2 . Das Flußdiagramm400 beginnt mit dem Empfangen eines Interrupts, der das Speichern einer aktualisierten Systemzeit in der Systemuhr anzeigt (Element410 ). In anderen Ausführungsformen empfängt die eingebettete Verwaltungsfähigkeitsvorrichtung eine andere Kommunikation als eine Interrupt-Anforderung, die anzeigt, daß die Systemzeit geändert wird. - In Reaktion auf den Empfang des Interrupts liest die eingebettete Verwaltungsfähigkeitsvorrichtung die aktualisierte Systemzeit (Element
415 ). In einigen Ausführungsformen kann die eingebettete Verwaltungsfähigkeitsvorrichtung eine Lese-Anforderung erzeugen, um die aktualisierte Systemzeit für die Systemuhr zu bestimmen. In anderen Ausführungsformen kann die eingebettete Speichervorrichtung ein direkteres Verfahren zum Bestimmen der aktualisierten Systemzeit aufweisen. - Mit der aktualisierten Systemzeit bestimmt die eingebetteten Verwaltungsfähigkeitsvorrichtung einen neuen vertrauenswürdigen Zeitunterschied auf der Basis einer vertrauenswürdigen Zeit vom der geschützten Uhr (Element (
420 ). Insbesondere kann die eingebettete Verwaltungsfähigkeitsvorrichtung die aktualisierte Systemzeit von der vertrauenswürdigen Zeit subtrahieren, oder umgekehrt, um den vertrauenswürdigen Zeitunterschied. - Nach dem Bestimmen des neuen Zeitunterschieds kann die eingebettete Vorrichtung einen momentanen vertrauenswürdigen Zeitunterschied aus einem nicht-flüchtigen Speicher lesen (Element
425 ). Wenn sich der neue Zeitunterschied signifikant von dem momentanen Zeitunterschied unterscheidet, so kann die eingebettete Verwaltungsfähigkeitsvorrichtung den neuen Zeitunterschied in den nicht-flüchtigen Speicher schreiben. Die Signifikanz des Unterschiedes kann sich auf die Granularität der Zeit stützen, die aufrecht erhalten wird, um zum Beispiel zu bestimmen, ob ein Sicherheitszertifikat abgelaufen ist, um ein Fehler-Log zu führen und/oder dergleichen. Wenn zum Beispiel in einigen Ausführungsformen der Unterschied zwischen dem neuen und dem momentanen vertrauenswürdigen Zeitunterschied einen Schwellenwert nicht überschreitet, wie zum Beispiel eine Stunde (Element430 ), so kann die eingebettete Verwaltungsfähigkeitsvorrichtung die Änderung ignorieren, um vorteilhafterweise die Lebensdauer des nicht-flüchtigen Speichers zu verlängern. - Wenn andererseits der Unterschied zwischen dem neuen und dem momentanen vertrauenswürdigen Zeitunterschied den Schwellenwert überschreitet (Element
430 ), so kann die eingebettete Verwaltungsfähigkeitsvorrichtung den Zeitunterschied in dem nicht-flüchtigen Speicher mit dem neuen vertrauenswürdigen Zeitunterschied aktualisieren (Element435 ). - Wenden wir uns nun
5 zu, wo ein Flußdiagramm500 einer Ausführungsform zum Zurücksetzen einer geschützten Uhr mit einer vertrauenswürdigen Zeit nach einem Stromverlust zu der geschützten Uhr gezeigt ist, während ein Computersystem abgeschaltet wird. Das Flußdiagramm500 kann die Funktion eines Computersystems, wie zum Beispiel des Computers120 von1 , beschreiben. Das Flußdiagramm500 beginnt mit dem Hochfahren des Computersystems nach einem Stromverlust (Element510 ). Zum Beispiel kann ein Nutzer das System über einer Steckerleiste abschalten, wodurch der Strom zu der geschützten Uhr getrennt wird. - Für Ausführungsformen, bei denen eine Batterie oder eine andere Stromspeichervorrichtung keine Stromreserve für die geschützte Uhr bildet, geht die vertrauenswürdige Zeit, die durch die geschützte Uhr aufrechterhalten wird, verloren. Der Nutzer kann dann das System neu starten, wenn der Nutzer bereit ist, wieder mit dem System zu arbeiten.
- Wenn das BIOS lädt, aber bevor ein Nutzer in der Lage ist, auf das BIOS zuzugreifen, um die Systemzeit zu ändern, kann das eingebettete Verwaltungsfähigkeitssystem die Systemzeit von der Systemuhr lesen (Element
515 ). Zum Beispiel kann die eingebettete Verwaltungsfähigkeitsvorrichtung darauf warten, daß das BIOS eine Funktion herstellt, um die Systemuhr lesen zu können, und dann die Systemuhr lesen, bevor ein nicht-vertrauenswürdiger Nutzer Zeit hat, eine neue Zeit in die Systemuhr zu schreiben. In anderen Ausführungsformen kann die eingebettete Verwaltungsfähigkeitsvorrichtung in der Lage sein, die Systemuhr zu lesen, bevor das BIOS lädt. - Nach dem Lesen der Systemzeit kann die eingebettete Verwaltungsfähigkeitsvorrichtung eine neue vertrauenswürdige Zeit auf der Basis der Systemzeit und eines vertrauenswürdigen Zeitunterschiedes, der in einem nicht-flüchtigen Speicher gespeichert ist, bestimmen (Element
520 ). Oder anders ausgedrückt: Das eingebettete Verwaltungsfühigkeitssystem liest den vertrauenswürdigen Zeitunterschied, der vor dem Stromverlust festgestellt wurde, und berechnet eine neue Systemzeit auf der Basis der Systemzeit, kurz nachdem der Strom wiederhergestellt wurde, um zu gewährleisten, daß die Zeit, die während des Stromverlustes verstrichen ist, akkurat durch die Systemzeit widergespiegelt wird. Somit nutzt die eingebettete Verwaltungsfähigkeitsvorrichtung zweckmäßig in synergistischer Weise die Fähigkeit der Systemuhr, die Zeit aufrecht zu halten, während das System abgeschaltet wird. - Nach dem Bestimmen der neuen vertrauenswürdigen Zeit über die Systemzeit und den vertrauenswürdigen Zeitunterschied stellt die eingebettete Verwaltungsfähigkeitsvorrichtung die geschützte Uhr mit der neuen vertrauenswürdigen Zeit ein (Element
525 ). Zum Beispiel kann die eingebettete Verwaltungsfähigkeitsvorrichtung den vertrauenswürdigen Zeitunterschied zu der Systemzeit addieren, um eine neue vertrauenswürdige Zeit zu bestimmen. - Eine Ausführungsform der Erfindung ist als ein Programmprodukt zur Verwendung mit einem Computersystem, wie zum Beispiel dem in
1 gezeigten System100 , implementiert. Das Programm oder die Programme des Programmprodukts definieren Funktionen der Ausfüh rungsformen (einschließlich der im vorliegenden Text beschriebenen Verfahren) und können auf einer Vielzahl von Signalträgermedien enthalten sein. Zu veranschaulichenden Signalträgermedien gehören, ohne darauf beschränkt zu sein: (i) Informationen, die dauerhaft auf nicht-beschreibbaren Speichermedien gespeichert sind (zum Beispiel Nurlesespeichervorrichtungen in einem Computer, wie zum Beispiel CD-ROM-Disks, die durch ein CD-ROM-Laufwerk gelesen werden können); (ii) änderbare Informationen, die auf beschreibbaren Speichermedien gespeichert sind (zum Beispiel Festlattenlaufwerke oder Disketten in einem Diskettenlaufwerk); und (iii) Informationen, die an einen Computer durch ein Kommunikationsmedium übermittelt werden, wie zum Beispiel durch ein Computer- oder Telefonnetz, einschließlich drahtloser Kommunikation. Die letztgenannte Ausführungsform beinhaltet speziell Informationen, die aus dem Internet und anderen Netzwerken heruntergeladen werden. Solche Signalträgermedien, wenn sich maschinenzugängliche Instruktionen auf ihnen befinden, welche die Funktionen der vorliegenden Erfindung anweisen, stellen Ausführungsformen der vorliegenden Erfindung dar. - Generell können die Routinen, die ausgeführt werden, um die Ausführungsformen der Erfindung zu implementieren, ein Teil eines Betriebssystems oder einer speziellen Anwendung, einer Komponente, eines Programms, eines Moduls, eines Objekts oder einer Instruktionsfolge sein. Das Computerprogramm der vorliegenden Erfindung besteht in der Regel aus einer Vielzahl von Instruktionen, die durch den nativen Computer in ein maschinenzugängliches Format und damit in ausführbare Instruktionen übersetzt werden. Des Weiteren bestehen Programme aus Variablen und Datenstrukturen, die sich entweder lokal in dem Programm befinden oder die sich in einem Speicherbaustein oder auf Speichervorrichtungen befinden. Außerdem können verschiedene Programme, die im Weiteren beschrieben werden, auf der Grundlage der Anwendung identifiziert werden, für die sie in einer speziellen Ausführungsform der Erfindung implementiert sind. Es versteht sich jedoch, daß jede Programmbezeichnung, die im Folgenden konkret benutzt wird, lediglich der Veranschaulichung dient. Das heißt, die Erfindung darf nicht auf die Verwendung allein in einer der konkreten Anwendungen beschränkt werden, die durch eine solche Bezeichnung identifiziert und/oder impliziert wird.
- Dem Fachmann, der in den Genuß der vorliegenden Offenbarung kommt, ist klar, daß die vorliegende Erfindung Systeme und Anordnungen zum Aufrechterhalten einer vertrauenswürdigen Zeit für eine geschützte Uhr auf der Basis einer nicht-vertrauenswürdigen, aber ständigen Zeitquelle betrifft. Es versteht sich, daß die Form der Erfindung, die in der detaillierten Beschreibung und den Zeichnungen gezeigt und beschrieben ist, lediglich als ein Beispiel anzusehen ist.
- Es ist beabsichtigt, daß die folgenden Ansprüche in einem weiten Sinn zu interpretieren sind, so daß sie alle Varianten der offenbarten Ausführungsformen umfaßt.
- Obgleich die vorliegende Erfindung und einige ihrer Vorteile detailliert für einige Ausführungsformen beschrieben wurden, versteht es sich, daß verschiedene Änderungen, Ersetzungen und Modifikationen an ihnen vorgenommen werden können, ohne vom Geist und Geltungsbereich der Erfindung abzuweichen, wie er in den angehängten Ansprüchen definiert ist. Obgleich eine Ausführungsform der Erfindung mehrere Aufgaben erfüllen kann, erfüllt nicht jede Ausführungsform, die in den Geltungsbereich der angehängten Ansprüche fällt, jede Aufgabe. Des Weiteren ist nicht beabsichtigt, daß der Geltungsbereich der vorliegenden Anmeldung auf die konkreten Ausführungsformen des Prozesses, der Maschine, der Herstellung, der Materialzusammensetzung, der Mittel, der Verfahren und der Schritte, die in der Spezifikation beschrieben sind, beschränkt ist. Wie dem Durchschnittsfachmann ohne Weiteres aus der Offenbarung der vorliegenden Erfindung klar ist, können Prozesse, Maschinen, Herstellung, Materialzusammensetzung, Mittel, Verfahren und Schritte, die derzeit existieren oder in der Zukunft entwickelt werden und die im Wesentlichen die gleiche Funktion ausführen oder im Wesentlichen das gleiche Ergebnis erreichen wie die entsprechenden Ausführungsformen, die im vorliegenden Text beschrieben sind, gemäß der vorliegenden Erfindung verwendet werden. Dementsprechend ist beabsichtigt, daß die angehängten Ansprüche in ihrem Geltungsbereich derartige Prozesse, Maschinen, Herstellung, Materialzusammensetzung, Mittel, Verfahren und Schritte enthalten.
- ZUSAMMENFASSUNG
- Es werden Verfahren und Anordnungen zum Aufrechterhalten einer vertrauenswürdigen Zeit für eine geschützte Uhr auf der Basis einer nicht-vertrauenswürdigen, aber ständigen Zeitquelle offenbart. Ausführungsformen können eine eingebettete Vorrichtung umfassen, bei der es sich um Hardware, Software, Firmware und/oder sonstige Logik handeln kann, um eine vertrauenswürdige Zeit in einer geschützten Uhr aufrecht zu erhalten. Die eingebettete Vorrichtung kann die geschützte Uhr durch Erhalten einer vertrauenswürdigen Zeit von einer vertrauenswürdigen Zeitquelle, wie zum Beispiel einem Netzwerk-Server, initialisieren. Die eingebettete Vorrichtung erhält dann die vertrauenswürdige Zeit im Fall eines Verlustes der Stromzufuhr zu der geschützten Uhr durch Überwachen eines Zeitunterschiedes zwischen der geschützten Uhr und einer nicht-vertrauenswürdigen Systemuhr aufrecht. Viele Ausführungsformen verwenden der geschützten Uhr auch ohne eine Reservebatterie, um vorteilhafterweise Herstellungskosten und Platz zu sparen, während sie die vertrauenswürdige Zeit im Fall eines Stromverlustes durch Verlaß auf eine Reservebatterie für die nicht-vertrauenswürdige Systemuhr aufrechterhalten. Es werden noch weitere Ausführungsformen offenbart und beansprucht.
Claims (25)
- Verfahren, das Folgendes umfaßt: Vergleichen einer vertrauenswürdigen Zeit mit einer ständigen Zeit, um einen vertrauenswürdigen Zeitunterschied zu bestimmen, wobei die ständige Zeit über eine nicht-vertrauenswürdige Zeitquelle zugänglich ist; Speichern des Zeitunterschiedes in einem nicht-flüchtigen Speicher, wobei der nicht-flüchtige Speicher vor einer Änderung durch die nicht-vertrauenswürdige Zeitquelle geschützt ist; und Einstellen einer geschützten Uhr mit der vertrauenswürdigen Zeit auf der Basis der ständigen Zeit und des vertrauenswürdigen Zeitunterschieds in Reaktion auf das Verlieren der vertrauenswürdigen Zeit infolge eines Verlustes der Stromzufuhr zu der geschützten Uhr.
- Verfahren nach Anspruch 1, das des Weiteren ein Aktualisieren des vertrauenswürdigen Zeitunterschieds in Reaktion auf eine Änderung der ständigen Zeit umfaßt.
- Verfahren nach Anspruch 2, wobei das Aktualisieren des vertrauenswürdigen Zeitunterschieds ein Bestimmen eines neuen Zeitunterschieds auf der Basis einer geänderten ständigen Zeit von der Systemuhr und einer momentanen vertrauenswürdigen Zeit von der geschützten Uhr sowie ein Speichern des neuen Zeitunterschieds in dem nicht-flüchtigen Speicher umfaßt.
- Verfahren nach Anspruch 3, wobei das Speichern des neuen Zeitunterschieds in dem nicht-flüchtigen Speicher ein Speichern des neuen Zeitunterschieds umfaßt, wenn der neue Zeitunterschied einen Schwellen-Zeitunterschied übersteigt.
- Verfahren nach Anspruch 1, das des Weiteren ein Bestimmen des vertrauenswürdigen Zeitunterschieds beim Hochfahren eines Computersystems, das die Systemuhr nutzt, vor der Verfügbarkeit eines Zugangs zu der Systemuhr durch die nicht-vertrauenswürdige Quelle über das Computersystem umfaßt.
- Verfahren nach Anspruch 1, das des Weiteren ein Erzeugen einer Alarmmeldung in Reaktion auf ein Feststellen umfaßt, daß eine Stromspeichervorrichtung, die zum Aufrechterhalten der ständigen Zeit verwendet wird, im Wesentlichen erschöpft ist.
- Verfahren nach Anspruch 1, das des Weiteren ein Kommunizieren mit einer vertrauenswürdigen Zeitquelle umfaßt, um die vertrauenswürdige Zeit zu bestimmen, um eine Anfangseinstellung der geschützten Uhr vorzunehmen.
- Verfahren nach Anspruch 1, das des Weiteren das Lesen der geschützten Uhr umfaßt, um ein Sicherheitszertifikat zu validieren.
- Verfahren nach Anspruch 1, das des Weiteren das Lesen der vertrauenswürdigen Zeit umfaßt, um einen Eintrag für ein Ereignis-Log zu erzeugen.
- Vorrichtung, die Folgendes umfaßt: eine geschützte Uhr zum Aufrechterhalten einer vertrauenswürdigen Zeit, wobei die geschützte Uhr vor einer Änderung durch eine nicht-vertrauenswürdige Zeitquelle geschützt ist; einen Uhrenkomparator zum Verbinden mit einer Systemuhr zum Bestimmen eines vertrauenswürdigen Zeitunterschieds auf der Basis einer Systemzeit vom der Systemuhr und der vertrauenswürdige Zeit; einen nicht-flüchtigen Speicher zum Verbinden mit dem Uhrenkomparator zum Speichern des vertrauenswürdigen Zeitunterschieds; und einen Determinierer für die vertrauenswürdige Zeit zum Einstellen der vertrauenswürdigen Zeit der geschützten Uhr auf der Basis der Systemzeit und des vertrauenswürdigen Zeitunterschieds in Reaktion auf einen Stromverlust der geschützten Uhr.
- Vorrichtung nach Anspruch 10, die des Weiteren eine Anfangszeiteinstellvorrichtung zum Verbinden mit einer Netzwerk-Schnittstelle zum Kommunizieren mit einer vertrauenswürdigen Zeitquelle umfaßt, um der geschützten Uhr mindestens einmal mit der vertrauenswürdigen Zeit einzustellen.
- Vorrichtung nach Anspruch 10, die des Weiteren einen Zertifikatvalidierer zum Verbinden mit der geschützten Uhr umfaßt, wobei der Zertifikatvalidierer dazu dient, ein Sicherheitszertifikat auf der Basis der vertrauenswürdigen Zeit zu validieren.
- Vorrichtung nach Anspruch 10, wobei die geschützte Uhr mit einer normalen Stromquelle zu verbinden ist, um die vertrauenswürdige Zeit aufrecht zu erhalten.
- Vorrichtung nach Anspruch 10, wobei der Uhrenkomparator auf einen Interrupt anspricht, der das Einstellen der Systemuhr mit einer neuen Systemzeit anzeigt, um den vertrauenswürdigen Zeitunterschied auf der Basis der vertrauenswürdigen Zeit und der neuen Systemzeit zu aktualisieren.
- Vorrichtung nach Anspruch 10, wobei der Uhrenkomparator auf den Interrupt anspricht, um den vertrauenswürdigen Zeitunterschied zu aktualisieren, wenn ein Unterschied zwischen der neuen Systemzeit und der Systemzeit einen Schwellen-Zeitunterschied übersteigt.
- Vorrichtung nach Anspruch 10, wobei der Determinierer für die vertrauenswürdige Zeit dazu dient, den vertrauenswürdigen Zeitunterschied beim Hochfahren eines Computersystems, in dem sich die Systemuhr befindet, zu bestimmen, bevor die nicht-vertrauenswürdige Zeitquelle Zugang über das Computersystem zu der Systemuhr hat.
- System, das Folgendes umfaßt: eine Systemuhr zum Aufrechterhalten einer ständigen Zeit; eine Schnittstelle, die mit der Systemuhr verbunden ist, um eine einer Änderung der ständigen Zeit durch eine nicht-vertrauenswürdige Zeitquelle zu ermöglichen; einen dynamischen Direktzugriffsspeicher, der mit der Schnittstelle verbunden ist, wobei der dynamische Direktzugriffsspeicher zum Speichern von Code dient, wobei der Code dazu dient, mit der nicht-vertrauenswürdigen Zeitquelle zusammenzuwirken, um die Änderung zu bestimmen; einen Interruptgenerator zum Erzeugen eines Interrupts in Reaktion auf die Änderung; und eine eingebettete Vorrichtung zum Aufrechterhalten einer vertrauenswürdigen Zeit und zum Schützen der vertrauenswürdigen Zeit vor einer Änderung durch eine nicht-vertrauenswürdige Zeitquelle; zum Reagieren auf den Interrupt zum Bestimmen eines vertrauenswürdigen Zeitunterschieds auf der Basis der ständigen Zeit und der vertrauenswürdige Zeit; zum Speichern des vertrauenswürdigen Zeitunterschieds, wobei das Speichern des vertrauenswürdigen Zeitunterschieds im Hinblick auf einen Stromverlust zu dem eingebetteten Vorrichtung dauerhaft ist; und zum Einstellen der vertrauenswürdigen Zeit auf der Basis der ständigen Zeit und des vertrauenswürdigen Zeitunterschieds in Reaktion auf den Stromverlust.
- System nach Anspruch 17, wobei die eingebettete Vorrichtung eine Anfangszeiteinstelleinrichtung umfaßt, um mit einer vertrauenswürdigen Zeitquelle zu kommunizieren, um die vertrauenswürdige Zeit einzustellen, wenn das System anfänglich hochgefahren wird.
- System nach Anspruch 18, wobei die eingebettete Vorrichtung eine Netzwerk-Schnittstelle umfaßt, die mit der Anfangszeiteinstelleinrichtung verbunden ist, um mit der vertrauenswürdigen Zeitquelle zu kommunizieren.
- System nach Anspruch 17, wobei die eingebettete Vorrichtung dazu dient, den vertrauenswürdigen Zeitunterschied beim Hochfahren des Systems und vor der Verfügbarkeit des Zugangs zu der Systemuhr von der nicht-vertrauenswürdigen Quelle zu bestimmen.
- Maschinenzugängliches Medium, das Instruktionen enthält, die, wenn sie durch eine Maschine ausgeführt werden, die Maschine veranlassen, Operationen auszuführen, die Folgendes umfassen: Vergleichen einer vertrauenswürdigen Zeit mit einer Systemzeit, um einen vertrauenswürdigen Zeitunterschied zu bestimmen, wobei die Systemzeit über eine nicht-vertrauenswürdige Zeitquelle zugänglich ist, wobei die Systemzeit über eine Stromspeichervorrichtung aufrecht erhalten wird; Speichern des Zeitunterschiedes in einem nicht-flüchtigen Speicher, wobei der nichtflüchtige Speicher vor einer Änderung durch die nicht-vertrauenswürdige Zeitquelle geschützt ist; und Einstellen einer geschützten Uhr mit der vertrauenswürdigen Zeit auf der Basis der Systemzeit und des vertrauenswürdigen Zeitunterschieds in Reaktion auf das Verlieren der vertrauenswürdigen Zeit infolge eines Verlustes der Stromzufuhr zu der geschützten Uhr.
- Maschinenzugängliches Medium nach Anspruch 21, wobei die Operationen des weiten ein Aktualisieren des vertrauenswürdigen Zeitunterschieds in Reaktion auf eine Änderung der Systemzeit umfassen.
- Maschinenzugängliches Medium nach Anspruch 21, wobei die Operationen des Weiteren ein Bestimmen des vertrauenswürdigen Zeitunterschieds beim Hochfahren eines Computersystems, das die Systemuhr nutzt, und vor der Verfügbarkeit des Zugangs zu der Systemuhr durch die nicht-vertrauenswürdige Quelle über das Computersystem umfassen.
- Maschinenzugängliches Medium nach Anspruch 21, wobei das Aktualisieren des vertrauenswürdigen Zeitunterschieds ein Bestimmen eines neuen Zeitunterschieds auf der Basis einer geänderten Systemzeit und einer momentanen vertrauenswürdigen Zeit sowie ein Speichern des neuen Zeitunterschieds in dem nicht-flüchtigen Speicher umfaßt.
- Maschinenzugängliches Medium nach Anspruch 24, wobei das Speichern des neuen Zeitunterschieds in dem nicht-flüchtigen Speicher ein Speichern des neuen Zeitunterschieds umfaßt, wenn der neue Zeitunterschied einen Schwellen-Zeitunterschied überschreitet.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/158,968 | 2005-06-22 | ||
US11/158,968 US8327448B2 (en) | 2005-06-22 | 2005-06-22 | Protected clock management based upon a non-trusted persistent time source |
PCT/US2006/024560 WO2007002451A1 (en) | 2005-06-22 | 2006-06-22 | Protected clock management based upon a non-trusted persistent time source |
Publications (1)
Publication Number | Publication Date |
---|---|
DE112006001666T5 true DE112006001666T5 (de) | 2008-05-08 |
Family
ID=36974706
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE112006001666T Ceased DE112006001666T5 (de) | 2005-06-22 | 2006-06-22 | Verwaltung einer geschützten Uhr auf der Basis einer nicht-vertrauenswürdigen ständigen Zeitquelle |
Country Status (7)
Country | Link |
---|---|
US (1) | US8327448B2 (de) |
KR (1) | KR20080014878A (de) |
CN (1) | CN101194266B (de) |
DE (1) | DE112006001666T5 (de) |
GB (1) | GB2442624B (de) |
TW (1) | TWI334522B (de) |
WO (1) | WO2007002451A1 (de) |
Families Citing this family (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1732263A1 (de) * | 2005-06-07 | 2006-12-13 | Sony Ericsson Mobile Communications AB | Verfahren und Vorrichtung für Zertifikatwechsel |
US8327448B2 (en) | 2005-06-22 | 2012-12-04 | Intel Corporation | Protected clock management based upon a non-trusted persistent time source |
US7861308B2 (en) * | 2005-11-28 | 2010-12-28 | Sony Corporation | Digital rights management using trusted time |
JP4434169B2 (ja) * | 2006-03-30 | 2010-03-17 | ブラザー工業株式会社 | 情報処理装置、及び、プログラム |
TW201112656A (en) * | 2006-05-09 | 2011-04-01 | Interdigital Tech Corp | Secure time functionality for a wireless device |
JP5243250B2 (ja) * | 2006-07-26 | 2013-07-24 | パナソニック株式会社 | 不揮発性記憶装置、不揮発性記憶システム、及びホスト機器 |
US8607058B2 (en) | 2006-09-29 | 2013-12-10 | Intel Corporation | Port access control in a shared link environment |
US20080168565A1 (en) * | 2007-01-09 | 2008-07-10 | Nokia Corporation | Method, system, mobile device, apparatus and computer program product for validating rights objects |
US8688924B2 (en) * | 2007-06-08 | 2014-04-01 | Sandisk Technologies Inc. | Method for improving accuracy of a time estimate from a memory device |
WO2008154309A1 (en) * | 2007-06-08 | 2008-12-18 | Sandisk Corporation | Memory device using the time from a trusted host device and method for use therewith |
US8688588B2 (en) * | 2007-06-08 | 2014-04-01 | Sandisk Technologies Inc. | Method for improving accuracy of a time estimate used in digital rights management (DRM) license validation |
US20080307237A1 (en) * | 2007-06-08 | 2008-12-11 | Michael Holtzman | Method for improving accuracy of a time estimate used to authenticate an entity to a memory device |
US8869288B2 (en) * | 2007-06-08 | 2014-10-21 | Sandisk Technologies Inc. | Method for using time from a trusted host device |
US10055251B1 (en) | 2009-04-22 | 2018-08-21 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for injecting code into embedded devices |
US9047458B2 (en) | 2009-06-19 | 2015-06-02 | Deviceauthority, Inc. | Network access protection |
US9047450B2 (en) * | 2009-06-19 | 2015-06-02 | Deviceauthority, Inc. | Identification of embedded system devices |
US8448009B2 (en) * | 2009-08-17 | 2013-05-21 | Sandisk Il Ltd. | Method and memory device for generating a time estimate |
US8726407B2 (en) | 2009-10-16 | 2014-05-13 | Deviceauthority, Inc. | Authentication of computing and communications hardware |
WO2013176711A2 (en) * | 2012-02-15 | 2013-11-28 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for inhibiting attacks on embedded devices |
US9106645B1 (en) * | 2011-01-26 | 2015-08-11 | Symantec Corporation | Automatic reset for time-based credentials on a mobile device |
AU2011101295B4 (en) | 2011-06-13 | 2012-08-02 | Device Authority Ltd | Hardware identity in multi-factor authentication layer |
AU2011101297B4 (en) | 2011-08-15 | 2012-06-14 | Uniloc Usa, Inc. | Remote recognition of an association between remote devices |
US9654467B1 (en) * | 2013-03-14 | 2017-05-16 | EMC IP Holding Company LLC | Time synchronization solutions for forward-secure one-time authentication tokens |
US9015838B1 (en) * | 2012-05-30 | 2015-04-21 | Google Inc. | Defensive techniques to increase computer security |
US8813240B1 (en) | 2012-05-30 | 2014-08-19 | Google Inc. | Defensive techniques to increase computer security |
US9292712B2 (en) | 2012-09-28 | 2016-03-22 | St-Ericsson Sa | Method and apparatus for maintaining secure time |
EP2973137A4 (de) * | 2013-03-13 | 2016-10-19 | Intel Corp | Verfahren und vorrichtung für hardwareunterstützte sichere echtzeit-taktverwaltung |
US9143496B2 (en) | 2013-03-13 | 2015-09-22 | Uniloc Luxembourg S.A. | Device authentication using device environment information |
US9286466B2 (en) | 2013-03-15 | 2016-03-15 | Uniloc Luxembourg S.A. | Registration and authentication of computing devices using a digital skeleton key |
CN103718186B (zh) | 2013-09-05 | 2015-07-08 | 华为技术有限公司 | 存储系统及数据操作请求处理方法 |
FR3018125B1 (fr) | 2014-03-02 | 2017-07-21 | Viaccess Sa | Procede de fourniture, a un terminal, de contenus multimedias proteges |
CN104898491A (zh) * | 2014-03-04 | 2015-09-09 | 广州汽车集团股份有限公司 | 一种处理主控制器时钟复位的方法、装置及相应的汽车 |
US9268972B2 (en) | 2014-04-06 | 2016-02-23 | Freescale Semiconductor, Inc. | Tamper detector power supply with wake-up |
US10114945B2 (en) * | 2014-05-05 | 2018-10-30 | Citrix Systems, Inc. | Clock rollback security |
JP6786482B2 (ja) * | 2015-06-05 | 2020-11-18 | ソニーセミコンダクタソリューションズ株式会社 | 信号処理装置および方法 |
US9977724B2 (en) * | 2015-09-20 | 2018-05-22 | Google Llc | Systems and methods for correcting timestamps on data received from untrusted devices |
US9819696B2 (en) | 2015-11-04 | 2017-11-14 | Bitdefender IPR Management Ltd. | Systems and methods for detecting domain generation algorithm (DGA) malware |
US10075452B2 (en) | 2016-02-18 | 2018-09-11 | Comcast Cable Communications, Llc | Distributed content uploading and validation |
KR102473790B1 (ko) * | 2016-08-30 | 2022-12-05 | 삼성전자 주식회사 | 저전력 상태에서 시간 정보 제공 방법 및 이 방법을 포함하는 전자 장치 |
US10509435B2 (en) | 2016-09-29 | 2019-12-17 | Intel Corporation | Protected real time clock with hardware interconnects |
US10955872B2 (en) * | 2018-07-25 | 2021-03-23 | Dell Products L.P. | System and method to retain baseboard management controller real-time clock time during BMC reboot |
US11392167B2 (en) * | 2019-03-11 | 2022-07-19 | Hewlett Packard Enterprise Development Lp | Device clock setting while booting a device |
US10862854B2 (en) | 2019-05-07 | 2020-12-08 | Bitdefender IPR Management Ltd. | Systems and methods for using DNS messages to selectively collect computer forensic data |
CN113253598A (zh) * | 2020-02-10 | 2021-08-13 | 哈曼国际工业有限公司 | 用于保护和准确化系统时间的技术 |
US11360918B1 (en) * | 2020-12-21 | 2022-06-14 | Otis Elevator Company | Real-time processing system synchronization in a control system |
CN113485524B (zh) * | 2021-07-12 | 2022-11-11 | 上海瓶钵信息科技有限公司 | 基于可信执行环境的时钟同步方法及系统 |
EP4372590A1 (de) * | 2022-11-18 | 2024-05-22 | NXP USA, Inc. | System |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5489095A (en) | 1992-07-01 | 1996-02-06 | U.S. Philips Corporation | Device for protecting the validity of time sensitive information |
US5444780A (en) | 1993-07-22 | 1995-08-22 | International Business Machines Corporation | Client/server based secure timekeeping system |
US5892900A (en) * | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
US5999921A (en) | 1997-04-30 | 1999-12-07 | Pitney Bowes Inc. | Electronic postage meter system having plural clock system providing enhanced security |
US6393126B1 (en) | 1999-06-23 | 2002-05-21 | Datum, Inc. | System and methods for generating trusted and authenticatable time stamps for electronic documents |
US8868914B2 (en) * | 1999-07-02 | 2014-10-21 | Steven W. Teppler | System and methods for distributing trusted time |
US7409557B2 (en) * | 1999-07-02 | 2008-08-05 | Time Certain, Llc | System and method for distributing trusted time |
US6728880B1 (en) | 1999-09-17 | 2004-04-27 | Adobe Systems Incorporated | Secure time on computers with insecure clocks |
US20050160272A1 (en) * | 1999-10-28 | 2005-07-21 | Timecertain, Llc | System and method for providing trusted time in content of digital data files |
US6554927B1 (en) | 2000-11-24 | 2003-04-29 | Sigmabond Technologies Corporation | Method of explosive bonding, composition therefor and product thereof |
US20020104004A1 (en) * | 2001-02-01 | 2002-08-01 | Bruno Couillard | Method and apparatus for synchronizing real-time clocks of time stamping cryptographic modules |
US6968473B2 (en) | 2001-11-15 | 2005-11-22 | International Business Machines Corporation | Method and apparatus for generating a virtual clock in a data processing system |
US20030115503A1 (en) * | 2001-12-14 | 2003-06-19 | Koninklijke Philips Electronics N.V. | System for enhancing fault tolerance and security of a computing system |
US6698712B2 (en) | 2002-05-02 | 2004-03-02 | Dril-Quip, Inc. | Ball valve assembly |
US7076802B2 (en) * | 2002-12-31 | 2006-07-11 | Intel Corporation | Trusted system clock |
US7155629B2 (en) | 2003-04-10 | 2006-12-26 | International Business Machines Corporation | Virtual real time clock maintenance in a logically partitioned computer system |
US7574610B2 (en) * | 2004-09-30 | 2009-08-11 | Microsoft Corporation | Security state watcher |
US8327448B2 (en) | 2005-06-22 | 2012-12-04 | Intel Corporation | Protected clock management based upon a non-trusted persistent time source |
US20080307495A1 (en) * | 2007-06-08 | 2008-12-11 | Michael Holtzman | Memory device with circuitry for improving accuracy of a time estimate used in digital rights management (DRM) license validation |
KR200489472Y1 (ko) | 2016-07-01 | 2019-06-24 | (주)보라매완구상사 | 반두 |
-
2005
- 2005-06-22 US US11/158,968 patent/US8327448B2/en not_active Expired - Fee Related
-
2006
- 2006-06-22 KR KR1020077029743A patent/KR20080014878A/ko not_active Application Discontinuation
- 2006-06-22 TW TW095122496A patent/TWI334522B/zh not_active IP Right Cessation
- 2006-06-22 GB GB0722951A patent/GB2442624B/en not_active Expired - Fee Related
- 2006-06-22 WO PCT/US2006/024560 patent/WO2007002451A1/en active Application Filing
- 2006-06-22 CN CN2006800206313A patent/CN101194266B/zh not_active Expired - Fee Related
- 2006-06-22 DE DE112006001666T patent/DE112006001666T5/de not_active Ceased
Also Published As
Publication number | Publication date |
---|---|
TW200705155A (en) | 2007-02-01 |
US8327448B2 (en) | 2012-12-04 |
US20060294593A1 (en) | 2006-12-28 |
WO2007002451A1 (en) | 2007-01-04 |
KR20080014878A (ko) | 2008-02-14 |
TWI334522B (en) | 2010-12-11 |
CN101194266A (zh) | 2008-06-04 |
GB0722951D0 (en) | 2008-01-02 |
GB2442624B (en) | 2010-10-20 |
GB2442624A (en) | 2008-04-09 |
CN101194266B (zh) | 2010-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE112006001666T5 (de) | Verwaltung einer geschützten Uhr auf der Basis einer nicht-vertrauenswürdigen ständigen Zeitquelle | |
US10326795B2 (en) | Techniques to provide network security through just-in-time provisioned accounts | |
US10902128B2 (en) | Methods for creating a computer-implemented virtual machine manager | |
DE60007724T2 (de) | Chipkarten-benutzerschnittstelle für eine vertraute computerplattform | |
US9785766B2 (en) | Automated password management | |
US6618810B1 (en) | Bios based method to disable and re-enable computers | |
US7703128B2 (en) | Digital identity management | |
DE102011103218B4 (de) | Systeme, Verfahren und Vorrichtung zum Virtualisieren von TPM- Zugriffen | |
EP1842127B1 (de) | Verfahren und system zur sicheren identifizierung von rechnerspeichereinrichtungen | |
DE60102555T2 (de) | Verhinderung der map-aktivierten modulmaskeradeangriffe | |
DE112005003485B4 (de) | Verfahren zur Überwachung einer verwalteten Einrichtung | |
US20130239182A1 (en) | Network security and fraud detection system and method | |
DE102009044576A1 (de) | Verwaltung von Hardwarepasswörtern | |
DE112009004762T5 (de) | System und verfahren zum durchführen einer verwaltunosoperation | |
US20050015628A1 (en) | Method for controlled and audited access to privileged accounts on computer systems | |
US8869234B2 (en) | System and method for policy based privileged user access management | |
DE112007001635T5 (de) | Authentifizierung von Komponenten bei Computersystemen | |
US20180359136A1 (en) | Managing alerts regarding additions to user groups | |
JP6180491B2 (ja) | 自動化されたパスワード管理 | |
DE102009012796A1 (de) | System und Verfahren zum Schützen von Ressourcen, die einen Weitverkehrsnetzanschluss verwenden | |
CN115470473A (zh) | 人工智能系统保护方法、装置、ai分析设备及管控中心 | |
DE102022108627A1 (de) | Sicherheitshoheit über ein computergerät | |
WO2023069062A1 (en) | Blockchain-based certificate lifecycle management | |
CN114138523A (zh) | 异常程序处理方法、系统、终端及存储介质 | |
DE102021206609A1 (de) | Sichere Umgebung, Steuervorrichtung und System, das diese Entitäten aufweist |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: G06F0021020000 Ipc: G06F0021700000 |
|
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: G06F0021020000 Ipc: G06F0021700000 Effective date: 20130315 |
|
R002 | Refusal decision in examination/registration proceedings | ||
R003 | Refusal decision now final |