JP2009509373A - 信頼性のある移動電話のための簡単で、拡張可能で且つ構成可能なセキュアなブート - Google Patents
信頼性のある移動電話のための簡単で、拡張可能で且つ構成可能なセキュアなブート Download PDFInfo
- Publication number
- JP2009509373A JP2009509373A JP2008530639A JP2008530639A JP2009509373A JP 2009509373 A JP2009509373 A JP 2009509373A JP 2008530639 A JP2008530639 A JP 2008530639A JP 2008530639 A JP2008530639 A JP 2008530639A JP 2009509373 A JP2009509373 A JP 2009509373A
- Authority
- JP
- Japan
- Prior art keywords
- event
- secure
- certificate
- event certificate
- enforcement function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/22—Microcontrol or microprogram arrangements
- G06F9/24—Loading of the microprogram
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
Abstract
【選択図】図1
Description
セキュアなブートフレームワーク
図1は、本発明の実施形態によりセキュアなブートアッププロセスを提供する目的で、例えば、移動装置において実施できるセキュアなブートフレームワークの主たる構造要素を示す。図示されたように、このアーキテクチャーは、揮発性又は不揮発性のメモリ(例えば、リードオンリメモリ(ROM)、ランダムアクセスメモリ(RAM)、電気的に消去可能なプログラマブルROM(EEPROM)、フラッシュメモリ、ハードディスク、等)、中央処理ユニット(CPU)、及び当業者により必要又は有用と認識されている他のリソースを有する汎用コンピュータを本質的に含む「計算エンジン」を備えることができる。
上述したセキュアなブートメカニズムフレームワークが使用される本発明の実施形態によるブートプロセスについて以下に説明する。このブートプロセスは、2つの段階、即ち(1)施行ファンクションのブーティング、及び(2)システムの寿命全体にわたる施行ファンクションの実行、に分割することができる。
本発明の一実施形態によりブートプロセスの第1段階において施行ファンクションをブーティングするときに行なわれるステップを示すフローチャートである図2を参照する。図示されたように、プロセスは、ステップ201で始まり、計算エンジン及びセキュアな環境がパワーアップされる。ステップ202において、システムが丁度パワーアップされたことを表わすために、システム履歴(SH)が初期化される。次いで、セキュアな環境の状況の中でRTEファンクションが実行される(ステップ203及び204)。
施行ファンクションは、上述したセキュアな環境の要素と一緒に、施行ファンクションからの事象に対する許可を正しく要求するプログラムしかブートされないことを保証する。これを行なわないプログラムは、例えば、オペレーティングシステムにより分離され、計算環境のセキュリティ又は信頼性に影響し得る微妙なリソースにそれらがアクセスしないようにしなければならない。施行ファンクション及びオペレーティングシステムは、バーチャルメモリ及びCPU特典レベルのような標準的な技術を使用して、施行ファンクションと協働しないプログラム及びコードが微妙なリソース又はファンクションにアクセスしないように保証する。
図4は、本発明の実施形態による事象証明書410及び事象許可証420のブロック図である。図示されたように、事象証明書410は、事象必須条件フィールド412、事象フィールド414、及びキー記憶装置(KS)結合フィールド416を含む。一実施形態において、事象フィールドは、事象の定義を与える。上述したように、事象は、コード映像のロード及び実行のコード化表現である(例えば、実行されるべきコード映像の暗号ハッシュ)。事象必須条件フィールドは、事象が許される条件を記述し(例えば、この事象は、他の幾つかの事象が既に実行された場合しか許されない)、そして一実施形態では、事象フィールドに一体化することができる。KS結合フィールドは、事象証明書及びそのコンテンツをキー記憶装置に結合する。上述したように、これは、KSが事象証明書の完全性及び真正性をチェックするのを許す。当業者に理解されるように、多数のプロトコル及び方法を使用して、この結合特徴を与えることができる。
本発明の実施形態から利益を得る移動装置の一形式を示す図5を参照して説明する。特に、図5は、上述したセキュアなブートフレームワークを動作することのできる移動装置を示す。しかしながら、図示して以下に説明する移動装置は、本発明から利益を得る移動装置の一形式を単に例示するもので、それ故、本発明の範囲を限定するものではないことを理解されたい。移動装置の幾つかの実施形態を図示して、例示のために以下に説明するが、他の形式の移動装置、例えば、パーソナルデジタルアシスタント(PDA)や、ページャーや、ラップトップコンピュータや、移動ワイヤレス装置及び固定ワイヤライン装置の両方を含む他の形式の電子システムも、本発明の実施形態を容易に使用することができよう。
例えば、TCG信頼性プラットホームモジュール(TPM)を含むTCGのような特徴を有する移動装置において上述したセキュアなブートフレームワークが実施される本発明の実施形態を以下に説明する。
一般に、TCG TPMは、TPMに含まれる160ビットレジスタである「プラットホームコンフィギュレーションレジスタ(PCR)」のセットを使用してシステムの状態を測定する。TPMに含まれるPCRの数(例えば、16又は24)は、実施されるTPMのバージョンに依存する。各PCRは、事象の「セキュアなハッシュアルゴリズム1(SHA1)」を含み、これは、いわゆるTPM_Extendコマンドを使用して更新することができる。TPM_Extendコマンドについて以下に説明する。
PCRレジスタの数はnであると仮定する。セキュアなブートフレームワーク内のオブジェクトは、今や、次のようになる。即ち、(1)システム履歴は、n個のPCRレジスタ(例えば、16又は24)のセットであり、(2)事象は対であり(即ち、PCRインデックスi、160ビット整数ev)、(3)事象証明書も対であり、即ち、状態記述子及びキー記憶装置(KS)結合、そして(4)事象許可証は、状態記述子及び許可者を含む対である。状態記述子は、n個のPCRレジスタ値のアレーPCR[]及びn個の比較オペレーション定義のPCR_CMP[]のアレーである。PCR_CMP[i]は、インデックスiをもつPCRに対応する。PCR_CMP[]の値は、“equals”又は“don't care”である。
事象証明書記憶装置:
上述したように、事象は、対<PCRインデックス、160ビット整数>で構成され、事象証明書は、<状態記述子、KS結合>で構成され、そして状態記述子は、PCRのアレー及び比較オペレーションのアレーで構成されると仮定する。EC_LOOKUP(事象、システム履歴)オペレーションは、事象証明書の許可を見出すように試みる。本質的に、この手順は、PCR[]アレーで遂行されているTPM_Extend()オペレーションを模擬し、次いで、その結果を、PCR_CMP[]アレーのインストラクションに基づく状態記述子PCR値と比較する。
本発明の一実施形態により、TCGに適合する仕方で、RTEが施行ファンクション(EF)をどのようにブートするかについて以下に説明する。このプロセスのステップが図7に示されている。一般に、RTEは、適当な証明書を探索し、次いで、ブートの進行を許すだけでよい。
一般に、本発明の実施形態の施行ファンクション(EF)は、簡単な仕方で動作する。しかしながら、2つの注目すべき点は、真正性のチェックが事象ベリファイア(EV)の内部で行なわれることと、状態履歴及び状態記述子の比較がセキュアな環境の外部(EFにより)及びセキュアな環境の内部(EVにより)の両方で行なわれることである。
本発明の実施形態により、上述したKS結合及び事象オーセンチケーター(Authenticator)を実施するための幾つかの態様について以下に述べる。
上述したように、本発明の実施形態のKS結合は、事象証明書記憶装置(EC)の証明書を、セキュアな環境及びキー記憶装置の単一インスタンスに結合するものと仮定する。これとは対照的に、事象許可証のオーセンチケーターは、事象許可証を、セキュアなブートファンクションの管理を許された特権を持つ第三者へ結合すると仮定する。
事象許可証におけるオーセンチケーターは、セキュアなブートファンクションの管理が許された特権をもつ第三者に事象許可証を結合すると仮定する。これに対して、KS結合は、セキュアな環境及びキー記憶装置の単一インスタンスにEC証明書を結合すると仮定する。アーキテクチャーレベルにおけるこのデカップリングは、意図的である。というのは、任意の第三者マネージメントフレームワークへのプラグインをそれらのアドレス及びキー配布メカニズムとは独立して許すからである。
上述したように、本発明の実施形態は、最小で、頑丈で、融通性があって、拡張可能で且つ簡単なセキュアなブートメカニズムを提供する。1つの機密事項しか要求されないので(即ち、KS結合に対して)、フレームワークは最小である(それ故、コスト効率が良い)。更に、セキュアなブート状態の定義は、非セキュアな記憶装置(例えば、ハードドライブ又はフラッシュメモリ)に保持することができ、そして機密事項は、対称的暗号化のためのキーであり、従って、パブリックキーに基づく機構より高速にすることができる。コストを減少すると共に、フレームワークを更に最小にするために、一実施形態では、事象許可及び事象マネージメントファンクションを未実施のままとすることができる。唯一重要なことは、事象証明書を更新不能にすることである。
Claims (44)
- セキュアなブートフレームワークを使用してシステムをブートアップするための方法において、前記システムは、計算エンジンと、この計算エンジン内で動作するセキュアな環境であって、該セキュアな環境の外部で動作する1つ以上のプログラム、ファンクション及びリソースから分離されたセキュアな環境とを備え、前記方法は、
前記セキュアな環境の外部に位置するセキュアな施行ファンクションを実行するステップであって、該セキュアな施行ファンクションは、許可されたプログラムモジュールしかシステムで実行されないように保証するよう構成されているステップと、
実行の前にプログラムモジュールが許可された場合には、前記セキュアな施行ファンクションを使用して少なくとも1つのプログラムモジュールを実行するステップと、
を備えた方法。 - 前記セキュアな施行ファンクションを実行する前記ステップは、
前記セキュアな施行ファンクションの実行に関連した事象であって、その実行に対応するコードを含むような事象を生成する段階と、
前記事象に関連した事象証明書を探索する段階であって、この事象証明書が、事象の指示と、事象が許可されるシステム状態の指示とを含むような段階と、
前記事象証明書が本物であるかどうか決定する段階と、
前記事象証明書に少なくとも一部分基づき事象が許可されたかどうか決定する段階と、
前記事象証明書が探索され、本物であり、且つ事象が許可された場合には、前記セキュアな施行ファンクションへ制御を移す段階と、
を含む請求項1に記載の方法。 - 事象証明書を探索する前記段階は、前記セキュアな環境の外部に位置する事象証明書記憶装置にアクセスすることを含み、前記事象証明書記憶装置は、複数の事象証明書を含む、請求項2に記載の方法。
- 前記事象証明書は、更に、この事象証明書を、前記セキュアな環境に及び前記セキュアな環境内に位置するキー記憶装置に結合するように構成されたキー記憶装置結合を含む、請求項2に記載の方法。
- 前記事象証明書が本物であるかどうか決定する前記段階は、前記キー記憶装置にアクセスし、そして前記事象証明書の完全性及び真正性を前記キー記憶装置結合に少なくとも一部分基づいて決定することを含む、請求項4に記載の方法。
- システムの現在状態を決定するステップを更に備え、事象が許可されたかどうか決定する前記段階は、事象が許可されたかどうかをシステムの現在状態に少なくとも一部分基づいて決定することを含む、請求項2に記載の方法。
- セキュアな施行ファンクションを実行する前記ステップは、前記セキュアな施行ファンクションを実行するルート・オブ・トラスト・フォア・エンフォースメントプログラムモジュールを含む、請求項1に記載の方法。
- 前記セキュアな施行ファンクションを使用して少なくとも1つのプログラムモジュールを実行する前記ステップは、
前記プログラムモジュールの実行に関連した事象であって、前記プログラムモジュールの実行に対応するコードを含む事象を生成する段階と、
事象に関連した事象証明書を探索する段階であって、この事象証明書は、事象の指示と、事象が許可されるシステム状態の指示とを含むものである段階と、
前記事象証明書が本物であるかどうか決定する段階と、
前記事象が許可されたかどうか決定する段階と、
前記事象証明書が探索され、本物であり、且つ事象が許可された場合に、前記プログラムモジュールを実行する段階と、
を含む請求項1に記載の方法。 - 事象証明書を探索する前記段階は、前記セキュアな環境の外部に位置する事象証明書記憶装置にアクセスすることを含み、この事象証明書記憶装置は、複数の事象証明書を含む、請求項8に記載の方法。
- 前記事象証明書は、更に、この事象証明書を、前記セキュアな環境に及び前記セキュアな環境内に位置するキー記憶装置に結合するように構成されたキー記憶装置結合を含む、請求項8に記載の方法。
- 前記事象証明書が本物であるかどうか決定する前記段階は、前記キー記憶装置にアクセスし、そして前記事象証明書の完全性及び真正性を前記キー記憶装置結合に少なくとも一部分基づいて決定することを含む、請求項10に記載の方法。
- システムの現在状態を決定するステップを更に備え、事象が許可されたかどうか決定する前記段階は、事象が許可されたかどうかをシステムの現在状態に少なくとも一部分基づいて決定することを含む、請求項8に記載の方法。
- セキュアなブートフレームワークを使用してブートアップするように構成された装置であって、計算エンジンと、この計算エンジン内で動作するセキュアな環境であって、該セキュアな環境の外部で動作する1つ以上のプログラム、ファンクション及びリソースから分離されたセキュアな環境とを備えた装置において、更に、
プロセッサと、
前記プロセッサに通信するメモリと、
を備え、前記メモリは、前記プロセッサにより実行可能なアプリケーションを記憶し、該アプリケーションは、実行時に、
前記セキュアな環境の外部に位置するセキュアな施行ファンクションであって、許可されたプログラムモジュールしか装置で実行されないように保証するよう構成されたセキュアな施行ファンクションを実行し、
実行の前にプログラムモジュールが許可された場合には、前記セキュアな施行ファンクションを使用して少なくとも1つのプログラムモジュールを実行する、
というように構成された、装置。 - 前記セキュアな施行ファンクションを実行するために、前記アプリケーションは、更に、実行時に、
前記セキュアな施行ファンクションの実行に関連した事象であって、その実行に対応するコードを含むような事象を生成し、
前記事象に関連した事象証明書を探索し、この事象証明書は、事象の指示と、事象が許可されるシステム状態の指示とを含むものであり、
前記事象証明書が本物であるかどうか決定し、
前記事象証明書に少なくとも一部分基づき事象が許可されたかどうか決定し、
前記事象証明書が探索され、本物であり、且つ事象が許可された場合には、前記セキュアな施行ファンクションへ制御を移す、
というように構成される請求項13に記載の装置。 - 事象証明書を探索するために、前記アプリケーションは、更に、実行時に、前記セキュアな環境の外部に位置する事象証明書記憶装置にアクセスするように構成され、前記事象証明書記憶装置は、複数の事象証明書を含む、請求項14に記載の装置。
- 前記事象証明書は、更に、この事象証明書を、前記セキュアな環境に及び前記セキュアな環境内に位置するキー記憶装置に結合するように構成されたキー記憶装置結合を含む、請求項14に記載の装置。
- 前記事象証明書が本物であるかどうか決定するために、前記アプリケーションは、更に、実行時に、前記キー記憶装置にアクセスし、そして前記事象証明書の完全性及び真正性を前記キー記憶装置結合に少なくとも一部分基づいて決定するように構成された、請求項16に記載の装置。
- 前記アプリケーションは、更に、実行時に、装置の現在状態を決定するように構成され、事象が許可されたかどうかの決定は、事象が許可されたかどうかを装置の現在状態に少なくとも一部分基づいて決定することを含む、請求項14に記載の装置。
- セキュアな施行ファンクションを実行するために、前記アプリケーションは、前記セキュアな施行ファンクションを実行するように構成されたルート・オブ・トラスト・フォア・エンフォースメントプログラムモジュールを含み、このルート・オブ・トラスト・フォア・エンフォースメントプログラムモジュールは、前記セキュアな環境内で動作する、請求項13に記載の装置。
- 前記セキュアな施行ファンクションを使用して少なくとも1つのプログラムモジュールを実行するために、前記アプリケーションは、更に、実行時に、
前記プログラムモジュールの実行に関連した事象であって、前記プログラムモジュールの実行に対応するコードを含む事象を生成し、
事象に関連した事象証明書を探索し、この事象証明書は、事象の指示と、事象が許可されるシステム状態の指示とを含むものであり、
前記事象証明書が本物であるかどうか決定し、
前記事象が許可されたかどうかを前記事象証明書に少なくとも一部分基づいて決定し、
前記事象証明書が探索され、本物であり、且つ事象が許可された場合に、前記プログラムモジュールを実行する、
というように構成された請求項13に記載の装置。 - 事象証明書を探索するために、前記アプリケーションは、更に、実行時に、前記セキュアな環境の外部に位置する事象証明書記憶装置にアクセスするように構成され、この事象証明書記憶装置は、複数の事象証明書を含む、請求項20に記載の装置。
- 前記事象証明書は、更に、この事象証明書を、前記セキュアな環境に及び前記セキュアな環境内に位置するキー記憶装置に結合するように構成されたキー記憶装置結合を含む、請求項20に記載の装置。
- 前記事象証明書が本物であるかどうか決定するために、前記アプリケーションは、更に、実行時に、前記キー記憶装置にアクセスし、そして前記事象証明書の完全性及び真正性を前記キー記憶装置結合に少なくとも一部分基づいて決定するように構成された、請求項22に記載の装置。
- 前記アプリケーションは、更に、実行時に、装置の現在状態を決定するように構成され、そして事象が許可されたかどうか決定するために、前記アプリケーションは、更に、実行時に、事象が許可されたかどうかを装置の現在状態に少なくとも一部分基づいて決定するように構成された、請求項20に記載の装置。
- セキュアなブートフレームワークを使用してブートアップするように構成されたシステムにおいて、
プログラムモジュールがシステムでの実行について許可されたかどうか決定し、そしてプログラムモジュールが許可された場合にプログラムモジュールを実行するように構成されたセキュアな施行ファンクションを備え、このセキュアな施行ファンクションがシステムのセキュアな環境の外部で動作するようにしたシステム。 - 前記セキュアな環境の外部で動作し、そして複数の事象証明書を含んでいる事象証明書記憶装置を更に備え、プログラムモジュールが許可されたかどうか決定するために、前記セキュアな施行ファンクションは、更に、プログラムモジュールの実行に関連した事象であって、実行に対応するコードを含むような事象を生成し、且つ前記事象証明書記憶装置の複数の事象証明書において事象に関連した事象証明書を探索するように構成された、請求項26に記載のシステム。
- プログラムモジュールが許可されるかどうか決定するために、前記セキュアな施行ファンクションは、更に、事象証明書が本物であるかどうか決定するように構成され、前記システムは、更に、
前記セキュアな環境の内部に配置されて、前記セキュアな施行ファンクションによりアクセスできるキー記憶装置を備え、前記事象証明書記憶装置の各事象証明書は、対応する事象の指示と、事象が許可されるシステム状態の指示と、事象証明書を前記セキュアな環境、特に、キー記憶装置に結合するように構成されたキー記憶装置結合とを含み、更に、事象証明書が本物であるかどうかの前記決定は、前記キー記憶装置にアクセスし、そして前記キー記憶装置結合に少なくとも一部分基づいて事象証明書の完全性及び真正性を決定することを含む、請求項26に記載のシステム。 - 前記セキュアな環境の内部で動作し、前記セキュアな施行ファンクションによりアクセス可能な状態履歴データベースを更に備え、この状態履歴データベースは、現在システム状態の指示及び1つ以上の以前のシステム状態の指示を含み、前記セキュアな施行ファンクションは、更に、現在システム状態を決定するためにこの状態履歴データベースにアクセスするように構成される、請求項27に記載のシステム。
- 前記セキュアな環境の内部で動作し、前記セキュアな施行ファンクションによりアクセス可能な事象ベリファイアを更に備え、この事象ベリファイアは、事象が許可されるかどうかを、対応する事象証明書及び現在システム状態に少なくとも一部分基づいて決定するように構成される、請求項28に記載のシステム。
- 前記セキュアな環境の内部で動作し、前記セキュアな施行ファンクションによりアクセス可能な事象レコーダーを更に備え、この事象レコーダーは、前記プログラムモジュールの実行を前記状態履歴データベースに記録するように構成される、請求項29に記載のシステム。
- 前記セキュアな環境の内部で動作するルート・オブ・トラスト・フォア・エンフォースメントプログラムモジュールを更に備え、このルート・オブ・トラスト・フォア・エンフォースメントプログラムモジュールは、前記セキュアな施行ファンクションを実行するように構成される、請求項25に記載のシステム。
- セキュアなブートフレームワークを使用してシステムをブートアップするコンピュータプログラム製品において、前記システムは、計算エンジンと、この計算エンジン内で動作するセキュアな環境であって、該セキュアな環境の外部で動作する1つ以上のプログラム、ファンクション及びリソースから分離されたセキュアな環境とを備え、前記コンピュータプログラム製品は、コンピュータ読み取り可能なプログラムコード部分が記憶された少なくとも1つのコンピュータ読み取り可能な記憶媒体を備え、前記コンピュータ読み取り可能なプログラムコード部分は、
前記セキュアな環境の外部に位置するセキュアな施行ファンクションであって、許可されたプログラムモジュールしかシステムで実行されないように保証するよう構成されたセキュアな施行ファンクションを実行するための第1の実行可能な部分と、
実行の前にプログラムモジュールが許可された場合には、前記セキュアな施行ファンクションを使用して少なくとも1つのプログラムモジュールを実行するための第2の実行可能な部分と、
を備えたコンピュータプログラム製品。 - 前記第1の実行可能な部分は、更に、
前記セキュアな施行ファンクションの実行に関連した事象であって、その実行に対応するコードを含むような事象を生成するための第3の実行可能な部分と、
前記事象に関連した事象証明書を探索するための第4の実行可能な部分であって、この事象証明書が、事象の指示と、事象が許可されるシステム状態の指示とを含むような第4の実行可能な部分と、
前記事象証明書が本物であるかどうか決定するための第5の実行可能な部分と、
前記事象証明書に少なくとも一部分基づき事象が許可されたかどうか決定するための第6の実行可能な部分と、
前記事象証明書が探索され、本物であり、且つ事象が許可された場合には、前記セキュアな施行ファンクションへ制御を移すための第7の実行可能な部分と、
を含む請求項32に記載のコンピュータプログラム製品。 - 前記第4の実行可能な部分は、事象証明書を探索するために、前記セキュアな環境の外部に位置する事象証明書記憶装置にアクセスするように構成され、前記事象証明書記憶装置は、複数の事象証明書を含む、請求項33に記載のコンピュータプログラム製品。
- 前記事象証明書は、更に、この事象証明書を、前記セキュアな環境に及び前記セキュアな環境内に位置するキー記憶装置に結合するように構成されたキー記憶装置結合を含む、請求項33に記載のコンピュータプログラム製品。
- 前記第5の実行可能な部分は、更に、前記キー記憶装置にアクセスし、そして前記事象証明書の完全性及び真正性を前記キー記憶装置結合に少なくとも一部分基づいて決定するように構成された、請求項35に記載のコンピュータプログラム製品。
- 前記コンピュータ読み取り可能なプログラムコード部分は、更に、
システムの現在状態を決定するための第8の実行可能な部分を備え、前記第6の実行可能な部分は、更に、事象が許可されたかどうかをシステムの現在状態に少なくとも一部分基づいて決定するように構成された、請求項33に記載のコンピュータプログラム製品。 - 前記第1の実行可能な部分は、前記セキュアな施行ファンクションを実行するように構成されたルート・オブ・トラスト・フォア・エンフォースメントプログラムモジュールを含み、このルート・オブ・トラスト・フォア・エンフォースメントプログラムモジュールは、前記セキュアな環境の内部で動作する、請求項32に記載のコンピュータプログラム製品。
- 前記第2の実行可能な部分は、更に、
前記プログラムモジュールの実行に関連した事象であって、前記プログラムモジュールの実行に対応するコードを含む事象を生成するための第3の実行可能な部分と、
事象に関連した事象証明書を探索するための第4の実行可能な部分であって、この事象証明書は、事象の指示と、事象が許可されるシステム状態の指示とを含むものである第4の実行可能な部分と、
前記事象証明書が本物であるかどうか決定するための第5の実行可能な部分と、
前記事象が許可されたかどうか決定するための第6の実行可能な部分と、
前記事象証明書が探索され、本物であり、且つ事象が許可された場合に、前記プログラムモジュールを実行するための第7の実行可能な部分と、
を含む請求項32に記載のコンピュータプログラム製品。 - 前記第4の実行可能な部分は、前記事象証明書を探索するために前記セキュアな環境の外部に位置する事象証明書記憶装置にアクセスするように構成され、この事象証明書記憶装置は、複数の事象証明書を含む、請求項39に記載のコンピュータプログラム製品。
- 前記事象証明書は、更に、この事象証明書を、前記セキュアな環境に及び前記セキュアな環境内に位置するキー記憶装置に結合するように構成されたキー記憶装置結合を含む、請求項39に記載のコンピュータプログラム製品。
- 前記第5の実行可能な部分は、更に、前記キー記憶装置にアクセスし、そして前記事象証明書の完全性及び真正性を前記キー記憶装置結合に少なくとも一部分基づいて決定するように構成された、請求項41に記載のコンピュータプログラム製品。
- 前記コンピュータ読み取り可能なプログラムコード部分は、更に、
システムの現在状態を決定するための第8の実行可能な部分を備え、前記第6の実行可能な部分は、更に、事象が許可されたかどうかをシステムの現在状態に少なくとも一部分基づいて決定するように構成された、請求項39に記載のコンピュータプログラム製品。 - セキュアなブートフレームワークを使用してブートアップするように構成された装置であって、計算エンジンと、この計算エンジン内で動作するセキュアな環境であって、該セキュアな環境の外部で動作する1つ以上のプログラム、ファンクション及びリソースから分離されたセキュアな環境とを備えた装置において、
前記セキュアな環境の外部に位置するセキュアな施行ファンクションであって、許可されたプログラムモジュールしかシステムで実行されないように保証するよう構成されたセキュアな施行ファンクションを実行するための手段と、
実行の前にプログラムモジュールが許可された場合には、前記セキュアな施行ファンクションを使用して少なくとも1つのプログラムモジュールを実行するための手段と、
を備えた装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US71826605P | 2005-09-16 | 2005-09-16 | |
US60/718,266 | 2005-09-16 | ||
PCT/IB2006/002472 WO2007031834A2 (en) | 2005-09-16 | 2006-09-07 | Simple scalable and configurable secure boot for trusted mobile phones |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009509373A true JP2009509373A (ja) | 2009-03-05 |
JP5061110B2 JP5061110B2 (ja) | 2012-10-31 |
Family
ID=37865311
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008530639A Active JP5061110B2 (ja) | 2005-09-16 | 2006-09-07 | 信頼性のある移動電話のための簡単で、拡張可能で且つ構成可能なセキュアなブート |
Country Status (6)
Country | Link |
---|---|
US (1) | US8201240B2 (ja) |
EP (1) | EP1934882B1 (ja) |
JP (1) | JP5061110B2 (ja) |
KR (1) | KR100998344B1 (ja) |
CN (1) | CN101300583B (ja) |
WO (1) | WO2007031834A2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010113282A1 (ja) * | 2009-03-31 | 2010-10-07 | 富士通株式会社 | 構成変更の検証機能を有した情報処理装置及びその制御方法 |
Families Citing this family (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008094452A2 (en) * | 2007-01-26 | 2008-08-07 | Interdigital Technology Corporation | Method and apparatus for securing location information and access control using the location information |
CN101282258B (zh) * | 2007-04-04 | 2011-12-07 | 中兴通讯股份有限公司 | 兼容不同频段Wimax系统的演进系统、帧及其生成方法 |
US8209550B2 (en) * | 2007-04-20 | 2012-06-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for protecting SIMLock information in an electronic device |
GB2454641A (en) * | 2007-07-05 | 2009-05-20 | Vodafone Plc | Security in a telecommunications network |
JP4872875B2 (ja) * | 2007-09-28 | 2012-02-08 | ブラザー工業株式会社 | ログ管理装置、及びログ管理プログラム |
JP5399397B2 (ja) * | 2008-01-30 | 2014-01-29 | パナソニック株式会社 | セキュアブート方法、セキュアブート装置、プログラムおよび集積回路 |
DE102008029636A1 (de) * | 2008-06-23 | 2009-12-24 | Giesecke & Devrient Gmbh | Freischalten eines Dienstes auf einem elektronischen Gerät |
EP2449499B1 (en) * | 2009-07-01 | 2014-11-26 | Panasonic Corporation | Secure boot method and secure boot apparatus |
US8615788B2 (en) * | 2009-08-12 | 2013-12-24 | International Business Machines Corporation | Method and apparatus for scalable integrity attestation in virtualization environments |
US10177934B1 (en) | 2009-09-04 | 2019-01-08 | Amazon Technologies, Inc. | Firmware updates inaccessible to guests |
US9565207B1 (en) | 2009-09-04 | 2017-02-07 | Amazon Technologies, Inc. | Firmware updates from an external channel |
US8214653B1 (en) | 2009-09-04 | 2012-07-03 | Amazon Technologies, Inc. | Secured firmware updates |
US8887144B1 (en) | 2009-09-04 | 2014-11-11 | Amazon Technologies, Inc. | Firmware updates during limited time period |
US8971538B1 (en) | 2009-09-08 | 2015-03-03 | Amazon Technologies, Inc. | Firmware validation from an external channel |
US8959611B1 (en) | 2009-09-09 | 2015-02-17 | Amazon Technologies, Inc. | Secure packet management for bare metal access |
US8300641B1 (en) | 2009-09-09 | 2012-10-30 | Amazon Technologies, Inc. | Leveraging physical network interface functionality for packet processing |
US8381264B1 (en) * | 2009-09-10 | 2013-02-19 | Amazon Technologies, Inc. | Managing hardware reboot and reset in shared environments |
EP2334025A1 (en) * | 2009-12-08 | 2011-06-15 | Gemalto SA | Proactive commands over secure channel between a mobile equipment and a UICC |
CN101765101B (zh) * | 2009-12-15 | 2013-08-21 | 大唐微电子技术有限公司 | 一种空中个人化写卡的方法和系统 |
US20120246470A1 (en) * | 2010-02-16 | 2012-09-27 | Nicolson Kenneth Alexander | Information processing device, information processing system, software routine execution method, and remote attestation method |
US8996851B2 (en) | 2010-08-10 | 2015-03-31 | Sandisk Il Ltd. | Host device and method for securely booting the host device with operating system code loaded from a storage device |
US8782389B2 (en) | 2011-07-19 | 2014-07-15 | Sandisk Technologies Inc. | Storage device and method for updating a shadow master boot record |
US8812830B2 (en) | 2011-08-31 | 2014-08-19 | Microsoft Corporation | Attestation protocol for securely booting a guest operating system |
US9075995B2 (en) | 2013-03-11 | 2015-07-07 | Microsoft Technology Licensing, Llc | Dynamically loaded measured environment for secure code launch |
US9195831B1 (en) | 2014-05-02 | 2015-11-24 | Google Inc. | Verified boot |
US9842212B2 (en) * | 2014-11-03 | 2017-12-12 | Rubicon Labs, Inc. | System and method for a renewable secure boot |
US9639700B2 (en) | 2015-03-20 | 2017-05-02 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Unified extensible firmware interface (UEFI) database for secure bootstrap of a computer |
CN105578469B (zh) * | 2015-04-30 | 2018-04-10 | 宇龙计算机通信科技(深圳)有限公司 | 基于终端的通信方法、通信终端及通信系统 |
US20160350534A1 (en) * | 2015-05-29 | 2016-12-01 | Intel Corporation | System, apparatus and method for controlling multiple trusted execution environments in a system |
US10482258B2 (en) * | 2017-09-29 | 2019-11-19 | Nxp Usa, Inc. | Method for securing runtime execution flow |
US11615188B2 (en) | 2018-05-02 | 2023-03-28 | Hewlett-Packard Development Company, L.P. | Executing software |
EP3929784A1 (de) * | 2020-06-23 | 2021-12-29 | Siemens Aktiengesellschaft | Booteinrichtung für ein computerelement und verfahren zum booten eines computerelements |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10333902A (ja) * | 1997-05-27 | 1998-12-18 | N Ii C Joho Syst:Kk | 改ざん検知機能付きコンピュータシステム |
JP2003006027A (ja) * | 2001-06-21 | 2003-01-10 | Hitachi Ltd | アクセス制御ポリシーの自動設定方法およびそのシステム |
JP2003108253A (ja) * | 2001-09-28 | 2003-04-11 | Hitachi Software Eng Co Ltd | アプリケーションの監視方法およびプログラム |
JP2003271254A (ja) * | 2002-03-08 | 2003-09-26 | Internatl Business Mach Corp <Ibm> | 認証システム、ファームウェア装置、電気機器、及び認証方法 |
US20040003288A1 (en) * | 2002-06-28 | 2004-01-01 | Intel Corporation | Trusted platform apparatus, system, and method |
JP2004046307A (ja) * | 2002-07-09 | 2004-02-12 | Fujitsu Ltd | データ保護プログラムおよびデータ保護方法 |
WO2004053664A1 (ja) * | 2002-12-12 | 2004-06-24 | Fujitsu Limited | プログラム実行制御装置、os、クライアント端末、サーバ、プログラム実行制御システム、プログラム実行制御方法、プログラム実行制御プログラム |
JP2004265026A (ja) * | 2003-02-28 | 2004-09-24 | Matsushita Electric Ind Co Ltd | アプリケーション認証システムと装置 |
JP2004265286A (ja) * | 2003-03-04 | 2004-09-24 | Fujitsu Ltd | 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理 |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3288A (en) * | 1843-09-28 | Improvement in cotton and hay presses | ||
US172542A (en) * | 1876-01-18 | Improvement in cheese-cutters | ||
US53664A (en) * | 1866-04-03 | Improvement in horse-powers | ||
CA2170633A1 (en) * | 1993-08-27 | 1995-03-02 | Christopher Russell Byrne | Super keno |
US6557104B2 (en) * | 1997-05-02 | 2003-04-29 | Phoenix Technologies Ltd. | Method and apparatus for secure processing of cryptographic keys |
US6185678B1 (en) * | 1997-10-02 | 2001-02-06 | Trustees Of The University Of Pennsylvania | Secure and reliable bootstrap architecture |
US6330670B1 (en) * | 1998-10-26 | 2001-12-11 | Microsoft Corporation | Digital rights management operating system |
US6327652B1 (en) * | 1998-10-26 | 2001-12-04 | Microsoft Corporation | Loading and identifying a digital rights management operating system |
EP1076279A1 (en) | 1999-08-13 | 2001-02-14 | Hewlett-Packard Company | Computer platforms and their methods of operation |
EP1085396A1 (en) * | 1999-09-17 | 2001-03-21 | Hewlett-Packard Company | Operation of trusted state in computing platform |
US6757824B1 (en) * | 1999-12-10 | 2004-06-29 | Microsoft Corporation | Client-side boot domains and boot rules |
GB0020441D0 (en) * | 2000-08-18 | 2000-10-04 | Hewlett Packard Co | Performance of a service on a computing platform |
US6938164B1 (en) * | 2000-11-22 | 2005-08-30 | Microsoft Corporation | Method and system for allowing code to be securely initialized in a computer |
GB2378272A (en) * | 2001-07-31 | 2003-02-05 | Hewlett Packard Co | Method and apparatus for locking an application within a trusted environment |
US7243230B2 (en) * | 2001-11-16 | 2007-07-10 | Microsoft Corporation | Transferring application secrets in a trusted operating system environment |
GB2382419B (en) * | 2001-11-22 | 2005-12-14 | Hewlett Packard Co | Apparatus and method for creating a trusted environment |
US20030182561A1 (en) * | 2002-03-25 | 2003-09-25 | International Business Machines Corporation | Tamper detection mechanism for a personal computer and a method of use thereof |
US7082507B1 (en) * | 2002-04-18 | 2006-07-25 | Advanced Micro Devices, Inc. | Method of controlling access to an address translation data structure of a computer system |
US7530103B2 (en) * | 2003-08-07 | 2009-05-05 | Microsoft Corporation | Projection of trustworthiness from a trusted environment to an untrusted environment |
US7398390B2 (en) * | 2003-08-08 | 2008-07-08 | Hewlett-Packard Development Company, L.P. | Method and system for securing a computer system |
US20050091496A1 (en) * | 2003-10-23 | 2005-04-28 | Hyser Chris D. | Method and system for distributed key management in a secure boot environment |
US7464406B2 (en) * | 2004-04-22 | 2008-12-09 | Lenovo (Singapore) Pte. Ltd. | System and method for user determination of secure software |
US20050283826A1 (en) * | 2004-06-22 | 2005-12-22 | Sun Microsystems, Inc. | Systems and methods for performing secure communications between an authorized computing platform and a hardware component |
US7774619B2 (en) * | 2004-11-17 | 2010-08-10 | Broadcom Corporation | Secure code execution using external memory |
US7725703B2 (en) * | 2005-01-07 | 2010-05-25 | Microsoft Corporation | Systems and methods for securely booting a computer with a trusted processing module |
US7908483B2 (en) * | 2005-06-30 | 2011-03-15 | Intel Corporation | Method and apparatus for binding TPM keys to execution entities |
-
2006
- 2006-09-06 US US11/470,307 patent/US8201240B2/en active Active
- 2006-09-07 JP JP2008530639A patent/JP5061110B2/ja active Active
- 2006-09-07 EP EP06820749.7A patent/EP1934882B1/en active Active
- 2006-09-07 CN CN2006800405232A patent/CN101300583B/zh active Active
- 2006-09-07 KR KR1020087008995A patent/KR100998344B1/ko active IP Right Grant
- 2006-09-07 WO PCT/IB2006/002472 patent/WO2007031834A2/en active Application Filing
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10333902A (ja) * | 1997-05-27 | 1998-12-18 | N Ii C Joho Syst:Kk | 改ざん検知機能付きコンピュータシステム |
JP2003006027A (ja) * | 2001-06-21 | 2003-01-10 | Hitachi Ltd | アクセス制御ポリシーの自動設定方法およびそのシステム |
JP2003108253A (ja) * | 2001-09-28 | 2003-04-11 | Hitachi Software Eng Co Ltd | アプリケーションの監視方法およびプログラム |
JP2003271254A (ja) * | 2002-03-08 | 2003-09-26 | Internatl Business Mach Corp <Ibm> | 認証システム、ファームウェア装置、電気機器、及び認証方法 |
US20040003288A1 (en) * | 2002-06-28 | 2004-01-01 | Intel Corporation | Trusted platform apparatus, system, and method |
JP2004046307A (ja) * | 2002-07-09 | 2004-02-12 | Fujitsu Ltd | データ保護プログラムおよびデータ保護方法 |
WO2004053664A1 (ja) * | 2002-12-12 | 2004-06-24 | Fujitsu Limited | プログラム実行制御装置、os、クライアント端末、サーバ、プログラム実行制御システム、プログラム実行制御方法、プログラム実行制御プログラム |
JP2004265026A (ja) * | 2003-02-28 | 2004-09-24 | Matsushita Electric Ind Co Ltd | アプリケーション認証システムと装置 |
JP2004265286A (ja) * | 2003-03-04 | 2004-09-24 | Fujitsu Ltd | 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010113282A1 (ja) * | 2009-03-31 | 2010-10-07 | 富士通株式会社 | 構成変更の検証機能を有した情報処理装置及びその制御方法 |
JP4947239B2 (ja) * | 2009-03-31 | 2012-06-06 | 富士通株式会社 | 構成変更の検証機能を有した情報処理装置及びその制御方法 |
US8838952B2 (en) | 2009-03-31 | 2014-09-16 | Fujitsu Limited | Information processing apparatus with secure boot capability capable of verification of configuration change |
Also Published As
Publication number | Publication date |
---|---|
US20070067617A1 (en) | 2007-03-22 |
US8201240B2 (en) | 2012-06-12 |
JP5061110B2 (ja) | 2012-10-31 |
WO2007031834A3 (en) | 2007-05-18 |
CN101300583A (zh) | 2008-11-05 |
KR100998344B1 (ko) | 2010-12-06 |
KR20080045757A (ko) | 2008-05-23 |
WO2007031834A2 (en) | 2007-03-22 |
CN101300583B (zh) | 2013-04-10 |
EP1934882A4 (en) | 2010-12-22 |
EP1934882A2 (en) | 2008-06-25 |
EP1934882B1 (en) | 2019-01-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5061110B2 (ja) | 信頼性のある移動電話のための簡単で、拡張可能で且つ構成可能なセキュアなブート | |
US7577839B2 (en) | Transferring application secrets in a trusted operating system environment | |
US7305553B2 (en) | Manifest-based trusted agent management in a trusted operating system environment | |
US8560823B1 (en) | Trusted modular firmware update using digital certificate | |
US7159240B2 (en) | Operating system upgrades in a trusted operating system environment | |
US8938618B2 (en) | Device booting with an initial protection component | |
JP4854677B2 (ja) | 処理デバイスのメモリコンテンツの更新 | |
US8239688B2 (en) | Securely recovering a computing device | |
US8789037B2 (en) | Compatible trust in a computing device | |
KR101067399B1 (ko) | 대칭 키 암호화에 기초한 데이터의 저장 및 검색을 위한, 컴퓨팅 장치에서 구현되는 방법, 시스템 및 복수의 명령어를 저장하는 하나 이상의 컴퓨터 판독가능 매체 | |
US8392724B2 (en) | Information terminal, security device, data protection method, and data protection program | |
KR20030082484A (ko) | 공개 키 암호화에 기초한 데이터의 저장 및 검색 | |
KR20060108710A (ko) | 신뢰성 있는 이동 플랫폼 구조 | |
CN112511306A (zh) | 一种基于混合信任模型的安全运行环境构建方法 | |
WO2023102757A1 (zh) | 一种基于面向risc-v架构的启动验证方案 | |
CN117610083A (zh) | 文件校验方法、装置、电子设备及计算机存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110516 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110816 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110823 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111115 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120326 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120611 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120705 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120806 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150810 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5061110 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |