DE112008003855T5 - System und Verfahren zum Bereitstellen von sicherem Zugriff auf einen Systemspeicher - Google Patents

System und Verfahren zum Bereitstellen von sicherem Zugriff auf einen Systemspeicher Download PDF

Info

Publication number
DE112008003855T5
DE112008003855T5 DE112008003855T DE112008003855T DE112008003855T5 DE 112008003855 T5 DE112008003855 T5 DE 112008003855T5 DE 112008003855 T DE112008003855 T DE 112008003855T DE 112008003855 T DE112008003855 T DE 112008003855T DE 112008003855 T5 DE112008003855 T5 DE 112008003855T5
Authority
DE
Germany
Prior art keywords
memory
data
encryption key
random encryption
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112008003855T
Other languages
English (en)
Other versions
DE112008003855B4 (de
Inventor
Manuel Houston Novoa
Walter G. Houston Fry
Valiuddin Y. Houston Ali
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of DE112008003855T5 publication Critical patent/DE112008003855T5/de
Application granted granted Critical
Publication of DE112008003855B4 publication Critical patent/DE112008003855B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data

Abstract

Ein Verfahren zum Bereitstellen von sicherem Zugriff auf Daten, die in einem Systemspeicher eines Computersystems gespeichert sind, wobei das Computersystem eine Speichersteuerung umfasst zum Schreiben von Daten in den und Lesen von Daten von dem Systemspeicher, wobei das Verfahren folgende Schritte umfasst:
Erzeugen eines Zufallsverschlüsselungsschlüssels jedes Mal, wenn das Computersystem hochgefahren wird;
Speichern des Zufallsverschlüsselungsschlüssels in einer flüchtigen Speicherregion der Speichersteuerung;
Verschlüsseln von Daten unter Verwendung des Zufallsverschlüsselungsschlüssels, um verschlüsselte Daten zu erzeugen; und
Speichern der verschlüsselten Daten in dem Systemspeicher.

Description

  • Hintergrund
  • In einem typischen Computersystem wird ein Systemspeicher als ein vorübergehender Speicher unter anderem für Sicherheitsschlüssel und Berechtigungsnachweise verwendet. In letzter Zeit haben Hacker begonnen, zu versuchen, unerlaubten Zugriff auf sichere Daten zu erlangen durch physikalisches Entfernen von Speichermodulen von einem Computer eines Nutzers, wobei die Speichermodule möglicherweise eingefroren werden, um den Zerfall der Daten, die darin enthalten sind, zu verzögern. Der Hacker installiert dann die gestohlenen Speichermodule in einen anderen Computer, um ihre Inhalte zu lesen. Auf solch eine Weise können Hacker in der Lage sein, die Sicherheitsschlüssel und Berechtigungsnachweise wiederzugewinnen, die in den Speichermodulen gespeichert sind, und die gestohlenen Informationen zu verwenden, um unbefugten Zugriff auf empfindliche Daten des Nutzers zu erhalten.
  • Kurze Beschreibung der Zeichnungen
  • Bestimmte beispielhafte Ausführungsbeispiele werden nachfolgend in der detaillierten Beschreibung und in Bezugnahme auf die Zeichnungen beschrieben.
  • 1 ist ein Blockdiagramm eines Computersystems gemäß einem beispielhaften Ausführungsbeispiel der vorliegenden Erfindung;
  • 2 ist ein Blockdiagramm eines Speicherteilsystems des in 1 gezeigten Computersystems gemäß einem beispielhaften Ausführungsbeispiel der vorliegenden Erfindung; und
  • 3 ist ein Flussdiagramm, das ein Verfahren zum Betreiben eines geschützten Systemspeichers gemäß einem beispielhaften Ausführungsbeispiel der vorliegenden Erfindung zeigt.
  • Detaillierte Beschreibung spezifischer Ausführungsbeispiele
  • 1 ist ein Blockdiagramm eines Computersystems gemäß einem beispielhaften Ausführungsbeispiel der vorliegenden Erfindung. Das Computersystem wird allgemein mit dem Bezugszeichen 100 bezeichnet. Durchschnittsfachleute auf diesem Gebiet werden erkennen, dass das Computersystem 100 Hardwareelemente, die Schaltungsanordnung umfassen, Softwareelemente, die Computercode umfassen, der auf einem maschinenlesbaren Medium gespeichert ist, oder eine Kombination von sowohl Hardware- als auch Softwareelementen enthalten kann. Außerdem sind die in 1 gezeigten Funktionsblöcke lediglich ein Beispiel von Funktionsblöcken, die in einem beispielhaften Ausführungsbeispiel der vorliegenden Erfindung implementiert sein können. Durchschnittsfachleute auf diesem Gebiet wären ohne weiteres in der Lage, spezifische Funktionsblöcke zu definieren basierend auf Entwurfsüberlegungen für ein bestimmtes Computersystem.
  • Ein Prozessor 102, wie z. B. eine zentrale Verarbeitungseinheit oder CPU, ist angepasst, um den Gesamtbetrieb des Computersystems 100 zu steuern. Der Prozessor 102 ist mit einer Speichersteuerung 104 verbunden, die angepasst ist, um Daten von einem Systemspeicher 106 zu lesen und in denselben zu schreiben. Die Speichersteuerung 104 kann Speicher umfassen, der eine nichtflüchtige Speicherregion und eine flüchtige Speicherregion enthält. Wie es nachfolgend näher beschrieben wird, ist ein beispielhaftes Ausführungsbeispiel der vorliegenden Erfindung angepasst, um Datendiebstahl zu verhindern durch Bereitstellen sicherer Kommunikation zwischen der Speichersteuerung 104 und dem Systemspeicher 106.
  • Der Systemspeicher 106 kann aus einer Mehrzahl von Speichermodulen bestehen, wie es für einen Durchschnittsfachmann auf diesem Gebiet offensichtlich ist. Außerdem kann der Systemspeicher 106 nichtflüchtige und flüchtige Abschnitte umfassen. Ein System-Basis-Eingabe-/Ausgabesystem (BIOS; BIOS = basic input-output system) kann in einem nichtflüchtigen Abschnitt des Systemspeicher 106 gespeichert sein. Das System-BIOS ist angepasst, um einen Einschalt- oder Hochfahrprozess zu steuern und den Betrieb des Computersystems 100 auf niedriger Ebene zu steuern.
  • Der Prozessor 102 ist mit zumindest einem Systembus 108 verbunden, um Kommunikation zwischen dem Prozessor 102 und anderen Systemvorrichtungen zu ermöglichen. Der Systembus kann unter einem Standardprotokoll arbeiten, wie z. B. einer Variation des PCI-Busses (PCI = peripheral component interconnect = Peripheriekomponentenverbindung) oder dergleichen. Bei dem in 1 gezeigten beispielhaften Ausführungsbeispiel verbindet der Systembus 108 den Prozessor 102 mit einem Festplattenlaufwerk 110, einer Graphiksteuerung 112 und zumindest einem Eingabegerät 114. Das Festplattenlaufwerk 110 stellt nichtflüchtige Speicherung für Daten bereit, die durch das Computersystem verwendet werden. Die Graphiksteuerung 112 wiederum ist mit einem Anzeigegerät 116 verbunden, das einem Nutzer ein Bild bereitstellt basierend auf Aktivitäten, die durch das Computersystem 100 durchgeführt werden.
  • 2 ist ein Blockdiagramm eines Speicherteilsystems des in 1 gezeigten Computersystems gemäß einem beispielhaften Ausführungsbeispiel der vorliegenden Erfindung. Das Speicherteilsystem wird allgemein mit dem Bezugszeichen 200 bezeichnet. Das Speicherteilsystem 200 umfasst die Speichersteuerung 104 und den Systemspeicher 106.
  • Wenn das Computersystem 100 hochgefahren wird oder anderweitig eine Systemrücksetzung empfängt, empfängt die Speichersteuerung 106 einen Zufallsverschlüsselungsschlüssel, der in einer flüchtigen Speicherregion 202 gespeichert ist. Bei einem beispielhaften Ausführungsbeispiel der vorliegenden Erfindung umfasst die flüchtige Speicherregion 202 ein Nur-Schreib-/einmal beschreibbares Register, das über eine Systemrücksetzung zurückgesetzt wird. Der Zufallsverschlüsselungsschlüssel kann durch ein System-BIOS erzeugt werden, das verschiedene Initialisierungsfunktionen durchführt, wenn das Computersystem hochgefahren wird. Wie es nachfolgend näher erläutert wird, wird der Zufallsverschlüsselungsschlüssel verwendet, um Daten zu verschlüsseln, die in den Systemspeicher 106 geschrieben werden.
  • Bei einem beispielhaften Ausführungsbeispiel der vorliegenden Erfindung werden nachfolgende Zufallsverschlüsselungsschlüssel selektiv durch die Speichersteuerung 104 verwendet, um Daten zu verschlüsseln. Die nachfolgenden Zufallsverschlüsselungsschlüssel können beispielsweise durch die Speichersteuerung 104 erzeugt werden. Alternativ können die nachfolgenden Zufallsverschlüsselungsschlüssel durch eine andere Komponente des Computersystems 100 bereitgestellt werden, wie z. B. das System-BIOS. Falls nachfolgende Zufallsverschlüsselungsschlüssel verwendet werden, würden unterschiedliche Bereiche des Systemspeichers 106 mit unterschiedlichen Zufallsverschlüsselungsschlüsseln verschlüsselt. Die Verwendung von mehreren Zufallsverschlüsselungsschlüsseln macht es für einen Hacker schwierig, einen Zahlengenerator zu verwenden, um alle Zufallsverschlüsselungsschlüssel zu identifizieren, die verwendet werden, um die Inhalte des Systemspeichers 106 zu verschlüsseln.
  • Ein Verschlüsselungsblock 204 der Speichersteuerung 104 verwendet den aktuellen Zufallsverschlüsselungsschlüssel, um alle Daten zu verschlüsseln, die in den Systemspeicher 106 geschrieben werden. Bei einem beispielhaften Ausführungsbeispiel der vorliegenden Erfindung kann ein einfacher Verschlüsselungsalgorithmus, wie z. B. ein XOR-Algorithmus, durch den Verschlüsselungsblock 204 verwendet werden, um die Auswirkung auf den Durchsatz des Speicherteilsystems 200 zu minimieren. Ein beispielhafter XOR-Algorithmus umfasst das Durchführen einer XOR-Operation unter Verwendung der Daten, die in den Systemspeicher geschrieben sind, und des Zufallsverschlüsselungsschlüssels. Das folgende Beispiel stellt dar, wie ein beispielhaftes Ausführungsbeispiel der vorliegenden Erfindung verbesserte Sicherheit für Daten bereitstellt, die im Systemspeicher gespeichert sind. Angenommen Datenelemente A und B sind in den Systemspeicher zu schreiben, nachdem dieselben unter Verwendung eines Zufallsverschlüsselungsschlüssels R XOR-verschlüsselt wurden. Dieser Prozess kann unter Verwendung der folgenden Gleichungen beschrieben werden: A ⊕ R = C B ⊕ R = D wobei C die verschlüsselte Version von A ist und D die verschlüsselte Version von B ist. Die verschlüsselten Daten C und D sind in dem Systemspeicher gespeichert und nicht A oder B selbst. Mit einer mathematischen Manipulation wird das folgende Ergebnis erhalten: C ⊕ D = A ⊕ B
  • Somit kann ein fähiger Hacker in der Lage sein, Daten von einem gestohlenen Speichermodul zu manipulieren, um ein Konglomerat von A und B wiederherzustellen. Trotzdem wäre es äußerst schwierig, A und B selbst zu erhalten, ohne Zugriff auf den Zufallsverschlüsselungsschlüssel R. Die Verwendung eines beispielhaften Ausführungsbeispiels der vorliegenden Erfindung erhöht wesentlich die Schwierigkeit, eine unbefugte Wiederherstellung von Daten von dem Systemspeicher durchzuführen.
  • Durchschnittsfachleute auf diesem Gebiet werden erkennen, dass andere Verschlüsselungsalgorithmen als eine XOR-Verknüpfung eines Zufallsverschlüsselungsschlüssels mit Daten, die in den Systemspeicher zu schreiben sind, verwendet werden können, um Daten zu verschlüsseln, die in den Systemspeicher 106 geschrieben werden. Darüber hinaus ist der spezifische Verschlüsselungsalgorithmus, der durch den Verschlüsselungsblock 204 verwendet wird, kein wesentliches Merkmal der vorliegenden Erfindung.
  • Wenn verschlüsselte Daten von dem Systemspeicher 106 gelesen werden, werden dieselben durch einen Entschlüsselungsblock 208 in der Speichersteuerung 104 entschlüsselt. Der Entschlüsselungsblock 208 führt die Entschlüsselung durch unter Verwendung des Zufallsverschlüsselungsschlüssels, der verwendet wurde, um die Verschlüsselung der Daten durch den Verschlüsselungsblock 204 durchzuführen. Die entschlüsselten Daten können dann an den Prozessor 102 geliefert werden. Ein beispielhaftes Ausführungsbeispiel der vorliegenden Erfindung liefert verbesserte Datensicherheit indem nur verschlüsselte Daten in den Systemspeicher 106 geschrieben werden.
  • Durch Speichern des Zufallsverschlüsselungsschlüssels in einer flüchtigen Speicherregion in der Speichersteuerung 104 reduziert ein beispielhaftes Ausführungsbeispiel der vorliegenden Erfindung das Risiko, dass ein Hacker oder anderer potentieller Datendieb in der Lage wäre, den Verschlüsselungsschlüssel wiederzugewinnen und Zugriff zu gewinnen auf Daten, die mit dem bestimmten Zufallsverschlüsselungsschlüssel verschlüsselt wurden und nachfolgend in dem Systemspeicher 106 gespeichert wurden. Die Speichersteuerung 104 könnte nicht umgekehrt konstruiert werden oder „zerlegt” werden, um den Schlüssel zu bestimmen, weil der Wert des Schlüssels auf die Entfernung der Leistung zu der Speichersteuerung hin nicht in der nichtflüchtigen Speicherregion 202 vorliegen würde. Dies würde Zugriff auf Daten verhindern, die unter Verwendung des speziellen Zufallsverschlüsselungsschlüssels verschlüsselt wurden, selbst wenn die Daten, die in dem Systemspeicher gespeichert sind, irgendwie beibehalten würden, beispielsweise durch Einfrieren von Speichermodulen, die der Systemspeicher oder dergleichen umfassen.
  • 3 ist ein Flussdiagramm, das ein Verfahren zeigt zum Betreiben eines geschützten Systemspeichers, wie des Systemspeichers 106 (1) gemäß einem beispielhaften Ausführungsbeispiel der vorliegenden Erfindung. Das Verfahren wird allgemein durch das Bezugszeichen 300 bezeichnet. Bei Block 302 beginnt der Prozess.
  • Bei Block 304 wird jedes Mal ein Zufallsverschlüsselungsschlüssel erzeugt, wenn ein Computersystem, wie z. B. das Computersystem 100 (1), hochgefahren wird. Wie es bei Block 306 gezeigt ist, ist der Zufallsverschlüsselungsschlüssel in einer flüchtigen Speicherregion einer Speichersteuerung gespeichert, wie z. B. der Speichersteuerung 104 (1).
  • Daten werden unter Verwendung des Zufallsverschlüsselungsschlüssels verschlüsselt, wie es bei Block 308 gezeigt ist. Die verschlüsselten Daten werden in dem Systemspeicher gespeichert, wie es bei Block 310 gezeigt ist. Bei Block 312 endet der Prozess.
  • Ein beispielhaftes Ausführungsbeispiel der vorliegenden Erfindung schafft ein sicheres Kommunikationsverfahren zwischen einer Speichersteuerung und einem Systemspeicher, der beispielsweise aus einer Mehrzahl von Speichermodulen besteht. Ein solches beispielhaftes Ausführungsbeispiel schützt Systemspeicher vor einem großen Bereich von Hackerangriffen. Insbesondere ist ein beispielhaftes Ausführungsbeispiel der vorliegenden Erfindung angepasst, um Systemspeicher vor physikalischen Angriffen und Hochfahrangriffen zu schützen. Darüber hinaus können Standardspeicherkomponenten und -module verwendet werden. Kein zusätzlicher Aufwand ist erforderlich, wenn eine neue Generation von Speichertechnologie eingeführt wird. Ein beispielhaftes Ausführungsbeispiel der vorliegenden Erfindung schafft Systemspeichersicherheit, ohne die Systemleistungsfähigkeit wesentlich zu beeinträchtigen und ohne die Leistungsfähigkeit des Betriebssystems und der Softwareanwendung zu beeinträchtigen. Schließlich kann ein beispielhaftes Ausführungsbeispiel der vorliegenden Erfindung mit minimalem Einfluss auf die Gesamtsystemkosten und -komplexität implementiert werden.
  • Zusammenfassung
  • Ein Verfahren zum Bereitstellen von sicherem Zugriff auf Daten, die in einem Systemspeicher eines Computersystems gespeichert sind, ist vorgesehen, wobei das Computersystem eine Speichersteuerung umfasst zum Schreiben von Daten in und Lesen von Daten von dem Systemspeicher. Das Verfahren umfasst das Erzeugen eines Zufallsverschlüsselungsschlüssels jedes Mal, wenn das Computersystem hochgefahren wird, und das Speichern des Zufallsverschlüsselungsschlüssels in einer flüchtigen Speicherregion der Speichersteuerung. Das Verfahren umfasst zusätzlich das Verschlüsseln von Daten unter Verwendung des Zufallsverschlüsselungsschlüssels, um verschlüsselte Daten zu erzeugen, und das Speichern der verschlüsselten Daten in dem Systemspeicher. Außerdem ist ein Speicherteilsystem und ein Computersystem zum Durchführen des Verfahrens vorgesehen.

Claims (20)

  1. Ein Verfahren zum Bereitstellen von sicherem Zugriff auf Daten, die in einem Systemspeicher eines Computersystems gespeichert sind, wobei das Computersystem eine Speichersteuerung umfasst zum Schreiben von Daten in den und Lesen von Daten von dem Systemspeicher, wobei das Verfahren folgende Schritte umfasst: Erzeugen eines Zufallsverschlüsselungsschlüssels jedes Mal, wenn das Computersystem hochgefahren wird; Speichern des Zufallsverschlüsselungsschlüssels in einer flüchtigen Speicherregion der Speichersteuerung; Verschlüsseln von Daten unter Verwendung des Zufallsverschlüsselungsschlüssels, um verschlüsselte Daten zu erzeugen; und Speichern der verschlüsselten Daten in dem Systemspeicher.
  2. Das Verfahren gemäß Anspruch 1, das folgende Schritte umfasst: Lesen der verschlüsselten Daten von dem Systemspeicher; und Entschlüsseln der verschlüsselten Daten unter Verwendung des Zufallsverschlüsselungsschlüssels.
  3. Das Verfahren gemäß Anspruch 1, bei dem die flüchtige Speicherregion der Speichersteuerung ein Nur-Schreib-/einmal beschreibbares Register umfasst.
  4. Das Verfahren gemäß Anspruch 1, das das Zurücksetzen der flüchtigen Speicherregion der Speichersteuerung umfasst, wenn eine Systemrücksetzung durchgeführt wird.
  5. Das Verfahren gemäß Anspruch 1, bei dem das Verschlüsseln der Daten das Durchführen einer XOR-Operation unter Verwendung der Daten und des Zufallsverschlüsselungsschlüssels umfasst.
  6. Das Verfahren gemäß Anspruch 1, bei dem der Zufallsverschlüsselungsschlüssel erzeugt wird durch ein System-Basis-Eingabe-/Ausgabesystem (BIOS), jedes Mal, wenn das Computersystem hochgefahren wird.
  7. Das Verfahren gemäß Anspruch 1, das folgende Schritte umfasst: Erzeugen zumindest eines nachfolgenden Zufallsverschlüsselungsschlüssels; und Verschlüsseln von Daten unter Verwendung des zumindest einen nachfolgenden Zufallsverschlüsselungsschlüssels.
  8. Ein Speicherteilsystem eines Computersystems, wobei das Speicherteilsystem folgendes Merkmal umfasst: eine Speichersteuerung, die angepasst ist, um jedes Mal, wenn das Computersystem hochgefahren wird, einen Zufallsverschlüsselungsschlüssel zu empfangen, um den Zufallsverschlüsselungsschlüssel in einer flüchtigen Speicherregion in der Speichersteuerung zu speichern, um den Zufallsverschlüsselungsschlüssel zu verwenden, um Daten zu verschlüsseln, und um verschlüsselte Daten in einem Systemspeicher zu speichern.
  9. Das Speicherteilsystem gemäß Anspruch 8, bei dem die Speichersteuerung angepasst ist, um die verschlüsselten Daten von dem Systemspeicher zu lesen, und um die verschlüsselten Daten unter Verwendung des Zufallsverschlüsselungsschlüssels zu entschlüsseln.
  10. Das Speicherteilsystem gemäß Anspruch 8, bei dem die flüchtige Speicherregion der Speichersteuerung ein Nur-Schreib-/einmal beschreibbares Register umfasst.
  11. Das Speicherteilsystem gemäß Anspruch 8, bei dem die flüchtige Speicherregion der Speichersteuerung zurückgesetzt wird, wenn eine Systemrücksetzung durchgeführt wird.
  12. Das Speicherteilsystem gemäß Anspruch 8, bei dem Speichersteuerung angepasst ist, um die Daten zu verschlüsseln durch Durchführen einer XOR-Operation unter Verwendung der Daten und des Zufallsverschlüsselungsschlüssels.
  13. Das Speicherteilsystem gemäß Anspruch 8, das ein System-Basis-Eingabe-/Ausgabesystem (BIOS) umfasst, das angepasst ist, um den Zufallsverschlüsselungsschlüssel jedes Mal zu erzeugen, wenn das Computersystem hochgefahren wird.
  14. Das Speicherteilsystem gemäß Anspruch 8, bei dem die Speichersteuerung angepasst ist, um zumindest einen nachfolgenden Zufallsverschlüsselungsschlüssel zu verwenden, um Daten zu verschlüsseln.
  15. Ein Computersystem, das folgende Merkmale umfasst: eine Festplatte, die angepasst ist, um Daten zu speichern für die Verwendung durch das Computersystem; einen Prozessor, der angepasst ist, um Daten zu lesen, die auf der Festplatte gespeichert sind; eine Speichersteuerung, die angepasst ist, um jedes Mal, wenn das Computersystem hochgefahren wird, einen Zufallsverschlüsselungsschlüssel zu empfangen, um den Zufallsverschlüsselungsschlüssel in einer flüchtigen Speicherregion in der Speichersteuerung zu speichern, um Daten von dem Prozessor zu empfangen, um den Zufallsverschlüsselungsschlüssel zu verwenden, um die Daten zu verschlüsseln, und um verschlüsselte Daten in einem Systemspeicher zu speichern; und einen Systemspeicher, der angepasst ist, um verschlüsselte Daten zu speichern, die von der Speichersteuerung empfangen werden.
  16. Das Computersystem gemäß Anspruch 15, bei dem Speichersteuerung angepasst ist, um die verschlüsselten Daten von dem Systemspeicher zu lesen, und um die verschlüsselten Daten unter Verwendung des Zufallsverschlüsselungsschlüssels zu entschlüsseln.
  17. Das Computersystem gemäß Anspruch 15, bei dem die flüchtige Speicherregion der Speichersteuerung ein Nur-Schreib-/einmal beschreibbares Register umfasst.
  18. Das Computersystem gemäß Anspruch 15, bei dem die flüchtige Speicherregion der Speichersteuerung zurückgesetzt wird, wenn eine Systemrücksetzung durchgeführt wird.
  19. Das Computersystem gemäß Anspruch 15, bei dem die Speichersteuerung angepasst ist, um die Daten zu verschlüsseln durch Durchführen einer XOR-Operation unter Verwendung der Daten und des Zufallsverschlüsselungsschlüssels.
  20. Das Computersystem gemäß Anspruch 15, das ein System-Basis-Eingabe-/Ausgabesystem (BIOS) umfasst, das angepasst ist, um den Zufallsverschlüsselungsschlüssel jedes Mal zu erzeugen, wenn das Computersystem hochgefahren wird.
DE112008003855T 2008-05-09 2008-05-09 System und Verfahren zum Bereitstellen von sicherem Zugriff auf einen Systemspeicher Expired - Fee Related DE112008003855B4 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2008/063280 WO2009136944A1 (en) 2008-05-09 2008-05-09 System and method for providing secure access to system memory

Publications (2)

Publication Number Publication Date
DE112008003855T5 true DE112008003855T5 (de) 2011-04-07
DE112008003855B4 DE112008003855B4 (de) 2013-09-05

Family

ID=41264845

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112008003855T Expired - Fee Related DE112008003855B4 (de) 2008-05-09 2008-05-09 System und Verfahren zum Bereitstellen von sicherem Zugriff auf einen Systemspeicher

Country Status (6)

Country Link
US (1) US9251358B2 (de)
CN (1) CN102150391A (de)
DE (1) DE112008003855B4 (de)
GB (1) GB2471630B8 (de)
TW (1) TW200947202A (de)
WO (1) WO2009136944A1 (de)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8819446B2 (en) 2009-06-26 2014-08-26 International Business Machines Corporation Support for secure objects in a computer system
US9846789B2 (en) 2011-09-06 2017-12-19 International Business Machines Corporation Protecting application programs from malicious software or malware
US8578175B2 (en) * 2011-02-23 2013-11-05 International Business Machines Corporation Secure object having protected region, integrity tree, and unprotected region
US9954875B2 (en) 2009-06-26 2018-04-24 International Business Machines Corporation Protecting from unintentional malware download
US9298894B2 (en) * 2009-06-26 2016-03-29 International Business Machines Corporation Cache structure for a computer system providing support for secure objects
US8954752B2 (en) 2011-02-23 2015-02-10 International Business Machines Corporation Building and distributing secure object software
GB2497464A (en) 2010-10-05 2013-06-12 Hewlett Packard Development Co Scrambling an address and encrypting write data for storing in a storage device
US9864853B2 (en) 2011-02-23 2018-01-09 International Business Machines Corporation Enhanced security mechanism for authentication of users of a system
KR101857791B1 (ko) 2011-08-30 2018-05-16 삼성전자주식회사 컴퓨팅 시스템, 및 상기 컴퓨팅 시스템을 동작하기 위한 방법
WO2013049438A2 (en) 2011-09-30 2013-04-04 Eaton Corporation Supercharger assembly with independent superchargers and motor/generator
US8745415B2 (en) * 2012-09-26 2014-06-03 Pure Storage, Inc. Multi-drive cooperation to generate an encryption key
US11032259B1 (en) 2012-09-26 2021-06-08 Pure Storage, Inc. Data protection in a storage system
US10623386B1 (en) 2012-09-26 2020-04-14 Pure Storage, Inc. Secret sharing data protection in a storage system
US9223965B2 (en) 2013-12-10 2015-12-29 International Business Machines Corporation Secure generation and management of a virtual card on a mobile device
US9235692B2 (en) 2013-12-13 2016-01-12 International Business Machines Corporation Secure application debugging
US9367690B2 (en) * 2014-07-01 2016-06-14 Moxa Inc. Encryption and decryption methods applied on operating system
US10992453B2 (en) * 2016-05-18 2021-04-27 International Business Machines Corporation System architecture for encrypting external memory

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7330970B1 (en) * 1999-07-13 2008-02-12 Microsoft Corporation Methods and systems for protecting information in paging operating systems
US7069445B2 (en) * 2001-11-30 2006-06-27 Lenovo (Singapore) Pte. Ltd System and method for migration of a version of a bootable program
US7313705B2 (en) * 2002-01-22 2007-12-25 Texas Instrument Incorporated Implementation of a secure computing environment by using a secure bootloader, shadow memory, and protected memory
US7500098B2 (en) 2004-03-19 2009-03-03 Nokia Corporation Secure mode controlled memory
GB2419434A (en) * 2004-10-23 2006-04-26 Qinetiq Ltd Encrypting data on a computer's hard disk with a key derived from the contents of a memory
US20070101158A1 (en) * 2005-10-28 2007-05-03 Elliott Robert C Security region in a non-volatile memory

Also Published As

Publication number Publication date
US20110064217A1 (en) 2011-03-17
DE112008003855B4 (de) 2013-09-05
US9251358B2 (en) 2016-02-02
WO2009136944A1 (en) 2009-11-12
TW200947202A (en) 2009-11-16
GB201018909D0 (en) 2010-12-22
GB2471630B8 (en) 2013-10-23
CN102150391A (zh) 2011-08-10
GB2471630A8 (en) 2013-10-23
GB2471630B (en) 2012-12-26
GB2471630A (en) 2011-01-05

Similar Documents

Publication Publication Date Title
DE112008003855B4 (de) System und Verfahren zum Bereitstellen von sicherem Zugriff auf einen Systemspeicher
DE112009004491T5 (de) System und Verfahren zum sicheren Speichern von Daten in einem elektronischen Gerät
DE112010005842T5 (de) Verwürfeln einer Adresse und Verschlüsseln von Schreibdaten zum Speichern einer Speichervorrichtung
EP3259698B1 (de) Autonom bootendes system mit einem sicherheitsmodul
US6993661B1 (en) System and method that provides for the efficient and effective sanitizing of disk storage units and the like
DE112008003931T5 (de) Systeme und Verfahren für Datensicherheit
WO2017129184A1 (de) Verfahren zur mehrschichtig geschützten sicherung von daten insbesondere anmeldedaten und passwörtern
US8539250B2 (en) Secure, two-stage storage system
DE112011105678T5 (de) Entsperren eines Speichergeräts
DE10393662T5 (de) Bereitstellen eines sicheren Ausführungsmodus in einer Preboot-Umgebung
JP6219391B2 (ja) メモリに保存されたデータの安全な削除
DE102008063335A1 (de) Datenverarbeitungssystem, Verfahren zum Ausführen eines Verschlüsselungsalgorithmus und Verfahren zum Vorbereiten der Ausführung eines Verschlüsselungsalgorithmus
US20080123858A1 (en) Method and apparatus for accessing an encrypted file system using non-local keys
EP2193471A1 (de) Verfahren und system zum schutz gegen einen zugriff auf einen maschinencode eines gerätes
EP3662396A1 (de) Firmware-sicherheit
DE112021005968T5 (de) Krypto-löschung von in einer „key per io“-fähigen einheit gespeicherten daten über eine interne aktion
DE112015007220T5 (de) Techniken zum Koordinieren von Vorrichtungshochfahrsicherheit
DE112020000236T5 (de) Mehrrollenentsperrung einer datenspeicherungsvorrichtung
DE112018002723T5 (de) System, verfahren und vorrichtung zur verschleierung von vorrichtungsoperationen
DE112010005847T5 (de) Modifizieren einer Länge eines Elements, um einen Verschlüsselungsschlüssel zu bilden
DE112021000149T5 (de) Verschlüsselung einer datenspeicherungsvorrichtung
DE102009048756B4 (de) Verfahren und Schlüsselgerät zur Verbesserung der Sicherheit eines verschlüsselten Datenspeichers, von dem ein Computer bootet
DE112020003666T5 (de) Krypto-löschung durch interne und/oder externe massnahmen
DE112020000268T5 (de) Sichere protokollierung von ereignissen der datenspeicherungsvorrichtungen
CN111191272A (zh) 数据脱敏方法、电子设备及存储介质

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final

Effective date: 20131206

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee