JP2010500694A - 仮想セキュリティモジュールのアーキテクチャ - Google Patents
仮想セキュリティモジュールのアーキテクチャ Download PDFInfo
- Publication number
- JP2010500694A JP2010500694A JP2009524711A JP2009524711A JP2010500694A JP 2010500694 A JP2010500694 A JP 2010500694A JP 2009524711 A JP2009524711 A JP 2009524711A JP 2009524711 A JP2009524711 A JP 2009524711A JP 2010500694 A JP2010500694 A JP 2010500694A
- Authority
- JP
- Japan
- Prior art keywords
- client
- processing
- command
- virtual machine
- selection signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Storage Device Security (AREA)
- User Interface Of Digital Computer (AREA)
- Computer And Data Communications (AREA)
Abstract
クライアントが発行したコマンドをセキュアに識別および差別化するマッピングシステムを介してプロセッサの多数のアクティブアプリケーションの処理をサポートするデバイスを提供する。実体選択信号がマッピングシステムにより生成されることで、プロセッサに対して、特定のクライアントについて識別されたコマンドおよびクライアントトラックシステムが該クライアントについて許可したデータを用いて、該クライアント用のアルゴリズムを処理しサービスを提供するよう指示する。他のクライアントについて識別されたデータアクセスおよびコマンドは、該アルゴリズム処理中には制限される。
【選択図】 図1
【選択図】 図1
Description
ビジネスおよび商取引で利用されるコネクテッド・モバイル・コンピューティングおよび無線通信技術は、ユーザデータおよび秘密を保護する必要がある。アーキテクチャは、デジタル署名および鍵包装処理、ハッシュ演算および乱数生成を行うのにセキュリティエンジンを、暗号化復号化機能を提供するハードウェアおよびサポートソフトウェアとともに含み、データプライバシーおよび向上したセキュリティを保証してよい。
これらシステムのアーキテクチャは、秘密の利用を制限して、正規のアプリケーションのみが特定の秘密を利用することができるが、現在では秘密を利用する全てのコマンドが暗号処理の権限チェックを受けることになっている。同時に実行される多数のアクティブなアプリケーションをサポートすべく全てのコマンドが権限チェックを受けなくてもよくする機構が望まれている。
発明とみなす主題は、明細書の結論部に特に指摘および明確に請求されている。しかし発明は、組織および動作方法両方について、その目的、特徴、および利点とともに、添付図面とともに以下の詳細な記載を参照することでよりよく理解されよう。図面は以下の通りである。
例示の簡潔性および明瞭性を期して、図面に示した要素は、必ずしも原寸に比例していないことを理解されたい。例えば、幾らかの要素の寸法は、他の要素より誇張して描いて明瞭化をしている。さらには、適切と考えられる場合には、参照番号を図面間で繰り返して、対応するまたは類似する要素であることを示している。
以下の詳細な記載において、幾多もの詳細を述べて、本発明の完全な理解を提供している。しかし、当業者であれば本発明がこれら特定の詳細なしに実施できることを理解しよう。他の場合においては、公知の方法、手順、部材、および回路は、本発明を曖昧にしないために、詳細には説明しない。
図1に示すように、本発明の実施形態は、ラジオを含み、無線/位置スペースで他のデバイスとの通信を許可するデバイス10が示されている。従って、デバイス10は、スマートフォンなどの、標準化オペレーティングシステムを有する通信デバイスであってよく、様々なアプリケーション間でマルチタスクを実行し、無線ネットワーク上で動作するが、本発明は無線デバイス以外のデバイスに組み込まれてもよいことを理解されたい。本図は、1以上のアンテナから、変調された信号の送受信を行うトランシーバ12を表す。プロセッサ14は、ベースバンドのデジタル信号に変換され、周波数ダウンコンバートされ、フィルタされた信号を受信する。概して、プロセッサ14は、命令をフェッチし、デコードを生成し、オペランドを見つけ、適切な処置を行い、結果を記憶するアルゴリズム関数を処理する。プロセッサ14は、多数のコア16および18を利用して、処理ワークロードがコア間で共有されうるベースバンドおよびアプリケーション処理関数両方を計算しうる。プロセッサ14は、メモリインタフェース22を介してシステムメモリ24へデータを転送してよく、システムメモリ24には、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、および不揮発性メモリなどのメモリの組み合わせが含まれうるが、システムメモリ24に含まれるメモリの種類あるいはメモリの多様性は、本発明の限定とはならない。
デバイス10は、暗号処理機能および攻撃者から秘密を保護するソフトウェアを実行するよう構成されたハードウェアを含む仮想セキュリティ・プラットフォームトラストモジュール20を利用する。概して、モジュール20は、暗号処理で用いる鍵を作成、記憶、および管理し、デジタル署名処理、および鍵およびデジタル証書の信頼のアンカーチェーンを行う。故に、モジュール20は、ファイルおよびフォルダーをセキュアにし、ユーザ情報、ユーザネーム、パスワード、および個人情報をセキュアに記憶および管理する様々なサービスを提供する。
図2は、本発明による、仮想マシン(VM)またはセキュリティドメイン(SD)と、特定のクライアントに属する様々な組の秘密との関連付けを生成するモジュール20の一部を示す。VMは、ネットワーク上の共通の規則および手順で管理される一群の処理コアまたは処理デバイスであってよい。さらには、VMまたはドメインは、タスクを行わせるリソースを有するソフトウェアの実体であってよい。本図は、クライアントが発行したコマンドを、該クライアントを該コマンドとともに識別するよう生成された実体選択信号とともにマッピングするマッピングシステム208を示す。該コマンドおよび実体選択信号は、その後、サービスを協同して行う個々のハードウェアおよびソフトウェアコンポーネントからなる構成へ渡されてよい。仮想マシンまたはクライアント202、204、または206は、情報フローおよびアクセス制御目的でプラットフォーム特定指令へコマンドを発行してよい。例えば、クライアントX202がコマンドを発行すると、マッピングシステム208は該コマンドを受け取り、該コマンドをクライアント202とともに明確に識別する実体選択信号を生成する。コマンドおよび実体選択信号は、その後、クライアントXのみに割り当てられた秘密210のみを利用してアルゴリズム実行および計算実行を行う、保護された実行環境を構成するのに利用される。例えばクライアントYの秘密212およびクライアントZの秘密214などの他の秘密は、他のクライアントに関するものなので(それぞれクライアントY204およびクライアントZ206に関するものなので)、クライアントX202用に行うアルゴリズムおよび計算では制限され、利用できない。
故に、デバイス10は多数のアクティブなアプリケーションをサポートする認証機能を有する処理システムである。マッピングシステム208は、多数のクライアント202、204、および206が発行するコマンドを受け取り、これらコマンドを処理デバイスへ、これらコマンドを該クライアントに関連付けて明確に識別する実体選択信号とともに、渡す。そして、該実体選択信号が識別する該クライアントに特有の処理が行われてよい。ここでも、識別されたクライアントの処理は、該クライアントについて前もって権限付与されているコマンドおよび記憶データの利用に制限される。他のクライアントに権限付与された記憶データは、制限されたデータであり、利用できない。
本図は、実体選択信号と、該クライアントからのものであり該信号が識別するコマンドとを利用して、要求されたサービスのセキュリティおよびオペレーション管理を提供するクライアントナンバーマッピングブロック216を示す。マッピングシステム208は、クライアントナンバーマッピング216と協同して、大きな分散システム内においてセキュアなサービスを柔軟に実施することで信頼性管理を簡略化する。様々なクライアントに特有の秘密の集合体は維持され保護され、これら秘密へのアクセスは、マッピングシステム208が識別しクライアントナンバーマッピング216がイネーブルにする特定のクライアントのみに許される。
デバイス10の仮想セキュリティ・プラットフォームトラストモジュール20は、サービス処理の前に、特定のクライアント用の秘密の、明示され且つ自発的な保護を提供するよう設計されている。アプリケーションの開発者は、サービス処理で発行される全コマンドについてセキュリティ関連暗号認証関数を実装および検証しなければならないという負担から開放される。ユーザ毎にまたはシステム毎に個々に指定される代わりに、動作させるべきアプリケーションまたはサービスが、仮想マシンまたはセキュリティドメインと、該デバイスに送られた全てのその後のコマンドについての指定された1組の秘密との関連付けを、該アプリケーションがこれら秘密との関連付けを解かれるまで、維持する。
図3は、本発明の様々な実施形態との関連で、本発明による、特定のクライアントが発行したコマンドを識別し、該クライアントのメモリデータにアクセスするアルゴリズムを処理する方法を示すフローチャートである。方法300は、多数の仮想マシンまたは多数のセキュリティドメインをサポートするコンピュータシステム内で利用されて、アプリケーションによる利用が許可された秘密を保護してよい。方法300は、仮想マシンまたはセキュリティドメインと、該処理デバイスに送られた全てのその後のコマンドについての指定された組の秘密との関連付けを、該アプリケーションがこれら秘密との関連付けを解かれるまで、セキュアに維持する。
幾らかの実施形態においては、方法300、またはその部分は、コントローラ、プロセッサ、または電子システムで実行され、この実施形態は様々な図面に示されている通りである。方法300は、特定の種類の装置、ソフトウェアエレメント、または該方法を行うシステムに限定されない。方法300の様々な動作は、提示された順序で実行されてもよいが、異なる順序で実行されてもよい。さらに、幾らかの実施形態では、図3に示す幾らかの動作が方法300から省かれてもよい。
方法300は、モニタブロック(例えば図1に示すマッピングシステム208)が、多数の仮想マシンまたは多数のセキュリティドメインから発行されるコマンドをモニタするブロック302から始まる。クライアントから発されたコマンドは、特定のクライアントが発行したものとして識別される。ブロック302で行う方法は、コマンドが該デバイスへ送られる度毎に、アプリーケーションが動作しているVM/SDを識別する実体選択信号を生成して、その識別情報(identity)を周辺デバイスへ通信する。識別子はデバイスのクライアントナンバーマッピング218に提供される。
ブロック304は、デバイスが、クライアント用のアルゴリズムを、該クライアントについて識別されたコマンドを利用して処理していることを示す。キャッシュおよびシステムメモリに記憶されているデータにアクセスすることはできるが、メモリに記憶されている秘密へのアクセスは、該クライアントトラッキングシステムが許可しないと行えない(図2のクライアントナンバーマッピング218を参照のこと)。マッピングシステム208およびクライアントナンバーマッピング218は、アプリケーションによる利用が許可されるべき秘密およびコマンドを含んでいるデバイスに対する、オペレーティングシステム(OS)またはハイパーバイザからのセキュアな通信を許可するよう、リソース制御を行う。ブロック306は、VMまたはSDと、該デバイスに送られた全てのその後のコマンドについての指定された組の秘密との関連付けを、該アプリケーションがこれら秘密との関連付けを解かれるまで、維持することで、アプリケーションがシステムのセキュリティを脅かす可能性のある秘密を利用しないようにすることを示す。
動作中、プロセッサ内のハードウェアは、一意に各VMまたはSDを識別する状態ビットを含みうる。幾らかのプロセッサにおいては、これは、処理識別子(PID)またはアドレス空間識別子(ASID)であってよい。VMまたはSDで動作するアプリケーションは、周辺装置にコマンドを送り、プロセッサハードウェアは、該周辺装置に、該周辺装置に対してどのVMまたはSDが該コマンドを送信しているかを伝える信号を送る。この信号処理は、プロセッサが出力した専用信号により、または、アドレスバスなどの他の信号に情報をエンコードすることにより、行われてよい。この周辺装置は、その後、送信コマンドおよびこれらコマンドを実行するのに利用されるデータが、コマンドを送っている該VMまたはSDについて相応しいことを保証してよい。
1つの処理から次へ移る際、特定のアプリケーションを動かしているVMまたはSDに関連付けられた識別子を変更して、該SD/VM識別子から1組の秘密へのダイナミックマッピングを行ってもよい。秘密を利用するアプリケーションが開始されると、該OS(ハイパーバイザ)は、先ず、整合性および識別情報の両方をチェックするアプリケーションを認証する。ひとたびアプリケーションがOSを認証すると、周辺装置に、VM/SD識別子、および、関連付けられて記憶された一組の秘密と該アプリケーションに許可されている一組の処理の利用のロックを解除するトークンの両方を送る。アプリケーションが停止または中断した場合には、OSは該周辺装置に該関連付けを解除するように別のコマンドを送る。さらに、アプリケーションは、関連付け自身を終了させうる。ただし、その関連付けに限ったものである。OSは、ハードウェアが利用する特別なVM/SD識別子を含むことで、VM/SD識別子と1組の秘密とを関連付けるコマンドを送ってもよい。
周辺装置は、1つのVM/SDと幾らかの秘密との間の関連を同時に複数記憶してよいことに注意されたい。さらには、多数のVMまたはSDを、同時に1つの組の秘密と関連付けてもかまわない。こうすると、例えば、同じプログラムについて多数のインスタンスが多数の異なるVMまたはSDの下で動作する場合、また、単一のVMまたはSDを複数の組の秘密と関連付ける場合などに有用であろう。
今までの記載から、プロセッサ内の多数のアクティブなアプリケーションの処理をサポートする回路および方法が明らかになったであろう。本発明の実施形態によれば、第1のクライアントが発行したコマンドを他のクライアントが発行したコマンドから識別するマッピングシステムを介すことで、セキュリティをソフトウェアと協同することでハードウェアレベルまで押し下げた。マッピングシステムが生成する実体選択信号は、プロセッサに対して、第1のクライアント用のアルゴリズムを、該第1のクライアントについて識別されたコマンドおよび、クライアントトラッキングシステムが該第1のクライアントについて許可したデータを用いて、処理するよう指示する。他のクライアントについて識別されたデータアクセスおよびコマンドは、該アルゴリズム処理中には制限される。
本発明の幾らかのフィーチャを例示および記載したが、当業者には多くの変形例、代替例、変更例、および均等物が明らかであろう。故に、添付請求項は、全てのこのような変形例、代替例、変更例、および均等物も本発明の真の精神に含むことを意図していることを理解されたい。
Claims (17)
- 認証機能を有する処理システムであって、
第1のクライアントおよび第2のクライアントと、
前記第1のクライアントが発行したコマンドと前記第2のクライアントが発行したコマンドとを受信し、前記第2のクライアントが発行したコマンドから、前記第1のクライアントが発行したコマンドを一意に識別する信号を生成するマッピングデバイスと、
前記第1のクライアント用の記憶データと前記第2のクライアント用の記憶データとにアクセスする処理デバイスと、を備え、
前記処理デバイスにおいて、前記第1のクライアントからのものとして識別されるコマンドを介して要求された処理は、前記第1のクライアントに予め権限付与されたデータに制限され、前記第2のクライアントからのものとして識別されるコマンドを介して要求された処理は、前記第2のクライアントに予め権限付与されたデータに制限される、処理システム。 - 前記コマンドを一意に識別する信号は、専用信号である、請求項1に記載の処理システム。
- 前記第1のクライアントが発行したコマンドと前記第2のクライアントが発行したコマンドとを受信する前記マッピングデバイスは、前記処理デバイス内に埋め込まれている、請求項1に記載の処理システム。
- 無線で信号受信するトランシーバをさらに備える、請求項1に記載の処理システム。
- 前記第1のクライアントに予め権限付与されたデータは、前記第1のクライアント用の秘密を含む、請求項1に記載の処理システム。
- プロセッサにおける多数のアクティブなアプリケーションをサポートする方法であって、
第1のクライアントが発行したコマンドを、他のクライアントが発行したコマンドから識別する工程と、
他のクライアントについて識別されたデータアクセスの制限およびコマンド実行の制限を行いながら、前記第1のクライアントについて識別され、前記第1のクライアントについてクライアントトラッキングシステムが許可したデータにアクセスするコマンドを利用して、前記第1のクライアント用のアルゴリズムを処理する工程と、を備える、方法。 - 前記第1のクライアントが発行したコマンドを、他のクライアントが発行したコマンドから識別する工程は、前記第1のクライアントを識別する実体選択信号を生成する工程をさらに含む、請求項6に記載の方法。
- 前記実体選択信号を利用して前記第1のクライアントを識別してから前記コマンドを前記アルゴリズムの処理に利用する工程をさらに備える、請求項7に記載の方法。
- 前記プロセッサは、前記実体選択信号を利用して前記第1のクライアントについてのコマンドおよびデータアクセスを差別化することで、前記多数のアクティブなアプリケーションを同時に処理する、請求項6に記載の方法。
- クライアントから発行されたコマンドを実体選択信号とリンクさせるトラッキングシステムを備え、
前記実体選択信号は、前記クライアントに関連付けられたアプリケーションに関する処理を行うときにコマンドおよびデータアクセスを制限するのに利用される、デバイス。 - 前記トラッキングシステムは、前記実体選択信号に従いデータおよびコマンドへのアクセスをイネーブルにする、請求項10に記載のデバイス。
- 前記トラッキングシステムは、他のクライアントが発行したコマンドから前記クライアントが発行したコマンドを識別し差別化するマッピングシステムを介してプロセッサにおける多数のアクティブなアプリケーションの処理をサポートする、請求項10に記載のデバイス。
- 前記マッピングシステムは、複数の前記クライアントと複数の秘密との関連付けるマッピングをさらに行い、当該マッピングは多数のクライアントが同時に同じ1組の秘密に関連付けられることを許可する、請求項10に記載のデバイス。
- 同じプログラムの多数のインスタンスは、複数の異なる仮想マシン下で動作し、単一の仮想マシンは幾らかの秘密の組と関連付けられる、請求項10に記載のデバイス。
- 第1の仮想マシンおよび第2の仮想マシンと、
第1の実体選択信号に前記第1の仮想マシンが発行したコマンドを添付し、第2の実体選択信号に前記第2の仮想マシンが発行したコマンドを添付するマッピングデバイスと、
前記第1の実体選択信号を受信し、前記第1の仮想マシンが発行した前記コマンドを実行し、前記第1の仮想マシンに関連付けられたアプリケーションに関する処理を行うときにデータアクセスをイネーブルにし、前記第2の仮想マシンに関連付けられたコマンドおよびデータへのアクセスを制限する処理デバイスと、を備える、処理システム。 - 前記処理デバイスは前記第2の実体選択信号を受信し、前記第2の仮想マシンが発行した前記コマンドを実行し、前記第2の仮想マシンに関連付けられたアプリケーションに関する処理を行うときにデータアクセスをイネーブルにし、前記第1の仮想マシンに関連付けられたコマンドおよびデータへのアクセスを制限する、請求項15に記載の処理システム。
- 前記第1の仮想マシンを識別する前記第1の実体選択信号と、前記第2の仮想マシンを識別する前記第2の実体選択信号と、を生成するマッピングシステムをさらに備える、請求項15に記載の処理システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/529,987 US8479264B2 (en) | 2006-09-29 | 2006-09-29 | Architecture for virtual security module |
| US11/529,987 | 2006-09-29 | ||
| PCT/US2007/020797 WO2008042191A2 (en) | 2006-09-29 | 2007-09-26 | Architecture for virtual security module |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010500694A true JP2010500694A (ja) | 2010-01-07 |
| JP4940460B2 JP4940460B2 (ja) | 2012-05-30 |
Family
ID=39268967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009524711A Expired - Fee Related JP4940460B2 (ja) | 2006-09-29 | 2007-09-26 | 処理システム、方法およびデバイス |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US8479264B2 (ja) |
| EP (1) | EP2069999A4 (ja) |
| JP (1) | JP4940460B2 (ja) |
| KR (2) | KR20090053806A (ja) |
| CN (1) | CN101517591B (ja) |
| BR (1) | BRPI0716843A2 (ja) |
| RU (1) | RU2444783C2 (ja) |
| WO (1) | WO2008042191A2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013012018A (ja) * | 2011-06-29 | 2013-01-17 | Internatl Business Mach Corp <Ibm> | 安全に管理された仮想マシンの実行環境を構築する方法、プログラムおよびコンピュータ装置 |
| JP2014529272A (ja) * | 2011-09-29 | 2014-10-30 | アマゾン テクノロジーズ インコーポレイテッド | サポートシステムにおけるセキュア通信の実行 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8479264B2 (en) | 2006-09-29 | 2013-07-02 | Micron Technology, Inc. | Architecture for virtual security module |
| US8990584B2 (en) | 2010-05-28 | 2015-03-24 | Dell Products, Lp | System and method for supporting task oriented devices in a client hosted virtualization system |
| US8751781B2 (en) | 2010-05-28 | 2014-06-10 | Dell Products, Lp | System and method for supporting secure subsystems in a client hosted virtualization system |
| US8527761B2 (en) | 2010-05-28 | 2013-09-03 | Dell Products, Lp | System and method for fuse enablement of a secure client hosted virtualization in an information handling system |
| US8458490B2 (en) | 2010-05-28 | 2013-06-04 | Dell Products, Lp | System and method for supporting full volume encryption devices in a client hosted virtualization system |
| US8589702B2 (en) | 2010-05-28 | 2013-11-19 | Dell Products, Lp | System and method for pre-boot authentication of a secure client hosted virtualization in an information handling system |
| US8938774B2 (en) * | 2010-05-28 | 2015-01-20 | Dell Products, Lp | System and method for I/O port assignment and security policy application in a client hosted virtualization system |
| KR101907486B1 (ko) * | 2012-09-14 | 2018-10-12 | 한국전자통신연구원 | 보안성이 우수한 실행환경을 제공하는 이동 컴퓨팅 시스템 |
| CN104756127B (zh) * | 2012-10-12 | 2018-03-27 | 皇家飞利浦有限公司 | 通过虚拟机进行安全数据处理 |
| GB201407862D0 (en) * | 2013-10-30 | 2014-06-18 | Barclays Bank Plc | Transaction authentication |
| WO2015166216A1 (en) | 2014-05-02 | 2015-11-05 | Barclays Bank Plc | Transaction authentication |
| US9916185B2 (en) * | 2014-03-18 | 2018-03-13 | International Business Machines Corporation | Managing processing associated with selected architectural facilities |
| US9582295B2 (en) | 2014-03-18 | 2017-02-28 | International Business Machines Corporation | Architectural mode configuration |
| US20150278512A1 (en) * | 2014-03-28 | 2015-10-01 | Intel Corporation | Virtualization based intra-block workload isolation |
| KR102126218B1 (ko) * | 2015-11-04 | 2020-06-24 | 한국전자통신연구원 | 동적 명령어 처리 장치 및 방법 |
| US10514943B2 (en) * | 2016-11-17 | 2019-12-24 | Qualcomm Incorporated | Method and apparatus for establishing system-on-chip (SOC) security through memory management unit (MMU) virtualization |
| US10757082B2 (en) * | 2018-02-22 | 2020-08-25 | International Business Machines Corporation | Transforming a wrapped key into a protected key |
| US11321238B2 (en) * | 2020-08-11 | 2022-05-03 | Micron Technology, Inc. | User process identifier based address translation |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10333839A (ja) * | 1997-05-29 | 1998-12-18 | Hitachi Ltd | ファイバチャネル接続記憶制御装置 |
| JP2000101568A (ja) * | 1998-09-18 | 2000-04-07 | Fujitsu Ltd | コマンド認証方法 |
| JP2004024607A (ja) * | 2002-06-26 | 2004-01-29 | Konami Co Ltd | サーバ装置及びプログラム |
| JP2004133977A (ja) * | 2002-10-09 | 2004-04-30 | Toshiba Corp | 光ディスク装置及び接続機器判別方法 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2371124A1 (en) * | 2001-02-09 | 2002-08-09 | Itaru Kawakami | Information processing method/apparatus and program |
| US7073059B2 (en) * | 2001-06-08 | 2006-07-04 | Hewlett-Packard Development Company, L.P. | Secure machine platform that interfaces to operating systems and customized control programs |
| US7409487B1 (en) * | 2003-06-30 | 2008-08-05 | Vmware, Inc. | Virtualization system for computers that use address space indentifiers |
| CN100426719C (zh) * | 2003-09-01 | 2008-10-15 | 台均科技(深圳)有限公司 | 用户端设备与本地客户端应用服务器或远程网络服务器间鉴权的方法 |
| US20050138393A1 (en) * | 2003-12-22 | 2005-06-23 | Challener David C. | Determining user security level using trusted hardware device |
| US7222062B2 (en) * | 2003-12-23 | 2007-05-22 | Intel Corporation | Method and system to support a trusted set of operational environments using emulated trusted hardware |
| CN1635738A (zh) * | 2003-12-26 | 2005-07-06 | 鸿富锦精密工业(深圳)有限公司 | 通用认证授权服务系统及方法 |
| US7454756B2 (en) * | 2004-03-05 | 2008-11-18 | Intel Corporation | Method, apparatus and system for seamlessly sharing devices amongst virtual machines |
| US7552419B2 (en) * | 2004-03-18 | 2009-06-23 | Intel Corporation | Sharing trusted hardware across multiple operational environments |
| US7380119B2 (en) * | 2004-04-29 | 2008-05-27 | International Business Machines Corporation | Method and system for virtualization of trusted platform modules |
| US20050278790A1 (en) * | 2004-06-10 | 2005-12-15 | International Business Machines Corporation | System and method for using security levels to simplify security policy management |
| US7590867B2 (en) * | 2004-06-24 | 2009-09-15 | Intel Corporation | Method and apparatus for providing secure virtualization of a trusted platform module |
| FR2873466A1 (fr) * | 2004-07-21 | 2006-01-27 | St Microelectronics Sa | Procede de programmation d'un controleur de dma dans un systeme sur puce et systeme sur puce associe |
| US7562179B2 (en) * | 2004-07-30 | 2009-07-14 | Intel Corporation | Maintaining processor resources during architectural events |
| US7836299B2 (en) * | 2005-03-15 | 2010-11-16 | Microsoft Corporation | Virtualization of software configuration registers of the TPM cryptographic processor |
| US7707629B2 (en) * | 2005-03-31 | 2010-04-27 | Intel Corporation | Platform configuration register virtualization apparatus, systems, and methods |
| US20070056033A1 (en) * | 2005-03-31 | 2007-03-08 | Grawrock David W | Platform configuration apparatus, systems, and methods |
| US7587595B2 (en) * | 2005-05-13 | 2009-09-08 | Intel Corporation | Method and apparatus for providing software-based security coprocessors |
| US7478220B2 (en) * | 2005-06-23 | 2009-01-13 | International Business Machines Corporation | Method, apparatus, and product for prohibiting unauthorized access of data stored on storage drives |
| US20070079120A1 (en) * | 2005-10-03 | 2007-04-05 | Bade Steven A | Dynamic creation and hierarchical organization of trusted platform modules |
| US8479264B2 (en) | 2006-09-29 | 2013-07-02 | Micron Technology, Inc. | Architecture for virtual security module |
-
2006
- 2006-09-29 US US11/529,987 patent/US8479264B2/en active Active
-
2007
- 2007-09-26 BR BRPI0716843-8A2A patent/BRPI0716843A2/pt not_active IP Right Cessation
- 2007-09-26 RU RU2009116231/08A patent/RU2444783C2/ru not_active IP Right Cessation
- 2007-09-26 KR KR1020097004786A patent/KR20090053806A/ko not_active Application Discontinuation
- 2007-09-26 CN CN200780035702.1A patent/CN101517591B/zh not_active Expired - Fee Related
- 2007-09-26 WO PCT/US2007/020797 patent/WO2008042191A2/en active Application Filing
- 2007-09-26 KR KR1020117023055A patent/KR101372109B1/ko active IP Right Grant
- 2007-09-26 EP EP07838900A patent/EP2069999A4/en not_active Withdrawn
- 2007-09-26 JP JP2009524711A patent/JP4940460B2/ja not_active Expired - Fee Related
-
2013
- 2013-07-01 US US13/932,927 patent/US9141810B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10333839A (ja) * | 1997-05-29 | 1998-12-18 | Hitachi Ltd | ファイバチャネル接続記憶制御装置 |
| JP2000339225A (ja) * | 1997-05-29 | 2000-12-08 | Hitachi Ltd | コンピュータシステム |
| JP2000101568A (ja) * | 1998-09-18 | 2000-04-07 | Fujitsu Ltd | コマンド認証方法 |
| JP2004024607A (ja) * | 2002-06-26 | 2004-01-29 | Konami Co Ltd | サーバ装置及びプログラム |
| JP2004133977A (ja) * | 2002-10-09 | 2004-04-30 | Toshiba Corp | 光ディスク装置及び接続機器判別方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013012018A (ja) * | 2011-06-29 | 2013-01-17 | Internatl Business Mach Corp <Ibm> | 安全に管理された仮想マシンの実行環境を構築する方法、プログラムおよびコンピュータ装置 |
| JP2014529272A (ja) * | 2011-09-29 | 2014-10-30 | アマゾン テクノロジーズ インコーポレイテッド | サポートシステムにおけるセキュア通信の実行 |
| US9037511B2 (en) | 2011-09-29 | 2015-05-19 | Amazon Technologies, Inc. | Implementation of secure communications in a support system |
| US9607162B2 (en) | 2011-09-29 | 2017-03-28 | Amazon Technologies, Inc. | Implementation of secure communications in a support system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101517591B (zh) | 2014-04-02 |
| US20130298205A1 (en) | 2013-11-07 |
| CN101517591A (zh) | 2009-08-26 |
| RU2444783C2 (ru) | 2012-03-10 |
| KR20110124339A (ko) | 2011-11-16 |
| US9141810B2 (en) | 2015-09-22 |
| US20080104673A1 (en) | 2008-05-01 |
| WO2008042191A3 (en) | 2008-07-03 |
| EP2069999A4 (en) | 2010-11-10 |
| JP4940460B2 (ja) | 2012-05-30 |
| EP2069999A2 (en) | 2009-06-17 |
| US8479264B2 (en) | 2013-07-02 |
| BRPI0716843A2 (pt) | 2013-10-01 |
| KR101372109B1 (ko) | 2014-03-07 |
| RU2009116231A (ru) | 2010-11-10 |
| KR20090053806A (ko) | 2009-05-27 |
| WO2008042191A2 (en) | 2008-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4940460B2 (ja) | 処理システム、方法およびデバイス | |
| US11088846B2 (en) | Key rotating trees with split counters for efficient hardware replay protection | |
| US10901918B2 (en) | Constructing flexibly-secure systems in a disaggregated environment | |
| US9898624B2 (en) | Multi-core processor based key protection method and system | |
| TWI570589B (zh) | 用以提供受信任計算之裝置 | |
| JP4982825B2 (ja) | コンピュータおよび共有パスワードの管理方法 | |
| CN109565444A (zh) | 安全公共云 | |
| US9607177B2 (en) | Method for securing content in dynamically allocated memory using different domain-specific keys | |
| US9507964B2 (en) | Regulating access using information regarding a host machine of a portable storage drive | |
| US11082231B2 (en) | Indirection directories for cryptographic memory protection | |
| US9948616B2 (en) | Apparatus and method for providing security service based on virtualization | |
| US20040073792A1 (en) | Method and system to maintain application data secure and authentication token for use therein | |
| US10372628B2 (en) | Cross-domain security in cryptographically partitioned cloud | |
| US20190324789A1 (en) | Virtual machine exit support by a virtual machine function | |
| CN103026347A (zh) | 多核架构中的虚拟机内存划分 | |
| US20170288874A1 (en) | Cryptographic protection for trusted operating systems | |
| CN111190686A (zh) | 用于对多租户计算环境中的租户工作负载进行完整性保护的系统、设备和方法 | |
| CN102609643A (zh) | 一种对虚拟机作动态密码学保护与所需的密钥管理方法 | |
| DE102018126136A1 (de) | Technologien zur biometrischen Authentifizierung vor dem Booten | |
| Brasser et al. | Trusted container extensions for container-based confidential computing | |
| CN116450281A (zh) | 访问处理方法、虚拟机标识配置方法、芯片及计算机设备 | |
| CN116126463A (zh) | 内存访问方法、配置方法、计算机系统及相关器件 | |
| JP2004272816A (ja) | マルチタスク実行システム及びマルチタスク実行方法 | |
| Nolte et al. | A Secure Workflow for Shared HPC Systems | |
| CN116860666A (zh) | 一种gpu内存保护方法、装置、芯片及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110830 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110906 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20111206 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20111213 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120106 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120131 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120208 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4940460 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150309 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |