JP2012533128A - セキュア仮想マシンを提供するためのシステムおよび方法 - Google Patents

セキュア仮想マシンを提供するためのシステムおよび方法 Download PDF

Info

Publication number
JP2012533128A
JP2012533128A JP2012520055A JP2012520055A JP2012533128A JP 2012533128 A JP2012533128 A JP 2012533128A JP 2012520055 A JP2012520055 A JP 2012520055A JP 2012520055 A JP2012520055 A JP 2012520055A JP 2012533128 A JP2012533128 A JP 2012533128A
Authority
JP
Japan
Prior art keywords
secure
processor
virtual machine
public
zone manager
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012520055A
Other languages
English (en)
Other versions
JP5497171B2 (ja
Inventor
ボス,ペーテル
コレスニコフ,ブラジーミル
ミユレンデル,サーペ
マツキー,ジム
ドブラーレ,フイリツプ
マクレラン,ヒユーバート
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2012533128A publication Critical patent/JP2012533128A/ja
Application granted granted Critical
Publication of JP5497171B2 publication Critical patent/JP5497171B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

本発明は、仮想マシンにおけるセキュリティを改善する。現代のセキュアプロセッサの機能を拡張することによって、機器の所有者とプロセッサで実行中の他のユーザの両方からコンピュータ使用のプライバシーが提供され、これはレンタルできるセキュアコンピュータに有利な特徴である。仮想化できるコンピュータをセキュリティ保護するために必要とされるハードウェアの拡張に加えて、このようなプロセッサを配備するためのインフラストラクチャもまた提供される。さらに、所有者、ユーザ、および機器の製造業者の間で様々な関係を確立するためのシグナリングフローが開示される。

Description

本発明は、クラウドコンピューティングまたはネットワークベースのコンピューティングの分野に関し、より具体的にはセキュア仮想マシンの分野に関する。
仮想コンピューティングは、クラウドコンピューティングの重要な要素である。インターネットのどこかに位置している仮想コンピュータを借りて、自身のアプリケーションを実行することができる。これは、チープサイクル(cheap cycles)にアクセスするための適切な方法であるが、アプリケーションは他の誰かのコンピュータ上で実行されるので、自身のデータおよびアプリケーションのプライバシーを保証することができないという、特有の恐れもある。今日の汎用プロセッサは、クラウドまたはネットワークベースのコンピュータの所有者(すなわち、インフラストラクチャのプロバイダ)が、ネットワークに接続されたコンピュータをスヌーピングすることから守るためのメカニズムを提供していない。
セキュアな仮想コンピューティングがないことは、クラウドコンピューティングの発達を阻む重大な障害である。アプリケーションをネットワークでホストする利点は、既存のプロセッサの本質的にセキュアでない性質のためにアプリケーションおよび/またはアプリケーションデータが公になるという恐れと比較検討されなければならない。
例えば、プライベートアカウント情報を有するウェブサーバのデータベースをクラウド/ネットワークベースのコンピュータ上で実行することは、クラウド/ネットワークベースのコンピュータに物理的にアクセスする敵対者が、例えばJoint Test Action Group(JTAG)接続を使用することによって、メモリバンクにアクセスすること、およびプロセッサ内部のレジスタにアクセスすることができることを意味する。あるいは、攻撃者は、ホストオペレーションシステム、または以下「ゾーンマネージャ」とも呼ぶ仮想マシンマネージャを変更することによって、物理マシンのオペレーションに進入しようとする恐れがある。
さらに、ゾーンマネージャの中のソフトウェア侵入者は、マシンのメモリスペースにある他のユーザの他のアプリケーションおよびアプリケーションデータへのアクセスを可能にする恐れがある。特定のタイプの攻撃は、ルートキットを使用するが、これはオペレーティングシステム下で展開され、特別に対象とされたツールなしではオペレーティングシステムに検知できないソフトウェアからなる。
仮想コンピュータをユーザにセキュアにレンタルできるようにするには、セキュリティアーキテクチャにおいていくつかの要素が必要である。プロセッサは、セキュアな処理環境を提供する必要があり、検証可能なソフトウェアスタックを用いてセキュアなブート手順を確立する必要があり、プロセッサ内にセキュアな仮想ゾーンを確立するためにコンピュータの所有者(すなわちインフラストラクチャプロバイダ)を介してセキュアなエンドポイントを提供する必要があり、ユーザからアプリケーションをセキュアにロードできる必要がある。同時に所有者は、コンピュータ上で実行されるアプリケーションからいかなる重要なプライベートデータも知ることができてはならない。
本発明によるセキュアプロセッサの一般的な実施形態は、プロセッサの秘密鍵を格納するメモリと、ゾーンマネージャのインスタンスと関連付けられる第1の公開/秘密鍵のペアを生成するための第1の生成器と、プロセッサの秘密鍵によって第1の公開/秘密鍵のペアを証明するための第1の認証エージェント(certification agent)と、仮想マシンインスタンス化コマンドをセキュアに受信するための受信機と、仮想マシンのインスタンスと関連付けられ、インスタンス化コマンドに反応して作成される第2の公開/秘密鍵のペアを生成するための第2の生成器と、第1の公開/秘密鍵のペアによって第2の公開/秘密鍵のペアを証明するための第2の認証エージェントとを含む。
1つの実施形態では、本発明のプロセッサは、初期ブートプログラムを格納するためのプライベートブートエリア(410)をさらに含む。
1つの実施形態では、本発明のプロセッサは、ゾーンマネージャを含むイメージファイルを受信して、その正当性を確認する(validating)ための手段をさらに含む。
本発明のプロセッサの1つの実施形態では、仮想マシンインスタンス化コマンドをセキュアに受信するというセキュリティ態様は、PKIを介して取得される証明書に依存する。
1つの実施形態では、本発明のプロセッサは、上記複数のセキュア仮想マシンによって使用されるメモリをさらに含み、メモリへのアクセスは、複数のセキュア仮想マシンの様々なマシンに対する様々な暗号鍵によってセキュリティ保護される。
1つの実施形態では、本発明のプロセッサは、複数のセキュア仮想マシンのデジタルアクセス許可情報を格納するメモリをさらに含む。
本発明によるセキュア仮想マシンをセットアップするための方法の一般的な実施形態は、ゾーンマネージャのイメージを使用してプロセッサをブートすることと、ゾーンマネージャのセッションと関連する第1の公開/秘密鍵のペアをプロセッサで入手することと、プロセッサと関連する秘密鍵を使用してプロセッサで第1の公開/秘密鍵のペアの公開鍵を証明することと、ゾーンマネージャでセキュア仮想マシンインスタンス化コマンドを受信することと、ゾーンマネージャとユーザとの間でセキュア通信チャネルを作成することと、セキュア仮想マシンと関連する第2の公開/秘密鍵のペアを入手することと、第1の公開/秘密鍵のペアの秘密鍵を使用して第2の公開/秘密鍵のペアの公開鍵を証明することとを含む。
1つの実施形態では、本発明の方法は、プライベートブートエリアに格納されたプログラムからプロセッサをブートすることをさらに含む。
1つの実施形態では、本発明の方法は、上記ゾーンマネージャのイメージを上記プロセッサにダウンロードすること、および上記ゾーンマネージャのイメージの上記ブートすることのための前提条件として、上記プロセッサにおいて上記ゾーンマネージャのイメージに関するバリデーション値を検証することをさらに含む。
本発明の方法の1つの実施形態では、上記セキュア通信チャネルのセキュリティ態様は、PKIを介して取得される証明書に依存する。
1つの実施形態では、本発明の方法は、プロセッサの共有メモリに格納された特定のコンテンツにアクセスするための暗号鍵を上記セキュア仮想マシンと関連付けることをさらに含む。
本発明の方法の1つの実施形態では、セキュア仮想マシンのインスタンス化コマンドは、上記ユーザに関する証明書を含む。特定の実施形態では、上記セキュア通信チャネルのセキュリティ態様は、上記ユーザに関する上記証明書に依存する。
別の特定の実施形態では、この方法はさらに、上記ユーザに関する上記証明書を上記ゾーンマネージャに提供することを含む。
本発明の方法の1つの実施形態では、セキュア通信チャネルは、公開鍵の暗号化技術によってセキュリティ保護される。
1つの実施形態では、本発明の方法はさらに、上記仮想マシンのアクセス許可で機能マトリックスを更新することを含む。
1つの実施形態では、本発明の方法はさらに、セキュア仮想マシンにブートプログラムを提供することによってセキュア仮想マシンを準備することと、セキュア仮想マシンを起動させることとを含む。
本発明の一実施形態は、サービスプロバイダ、サービスユーザ、ゾーンマネージャ、仮想マシンのインスタンス化の間で適切な信頼関係を賢明に確立してこれらを組み合わせることによって、セキュア仮想マシン環境を取得することができるという見識に基づいている。本発明の一実施形態はさらに、こうした信頼関係を確立する際にサービスユーザ、サービスプロバイダ、およびハードウェア製造業者がそれぞれ役割を有するという見識に基づいている。以下、サービスユーザを「ユーザ」と呼ぶ場合があり、サービスプロバイダを「所有者」と呼ぶ場合があり、ハードウェア製造業者を「製造業者」と呼ぶ場合がある。
本明細書に記載する信頼関係は、とりわけ公開鍵暗号化技術(PKC)によって確立でき、それによって暗号を使用してセキュリティ保護されたデータトンネルが作成され、様々な行為者の公開鍵が適切な認証局によって認証されることを、デジタル認証およびセキュア通信の当業者は、容易に理解するであろう。信頼関係の確立についてさらに、公開鍵暗号化技術に関して説明するが、いかなるPKCの特定の実施の詳細に本発明を限定するものではない。
特定の実施形態では、サービスプロバイダとハードウェアプラットフォーム上にインスタンス化されたゾーンマネージャとの間で第1の信頼関係が確立される。ハードウェアプラットフォームは、秘密鍵を保持し、その対の公開鍵は、ハードウェア製造業者によって認証される。ゾーンマネージャは、秘密鍵を保持し、その対の公開鍵は、同じくハードウェアプラットフォームによって認証される。ユーザとサービスプロバイダとの間に第2の信頼関係が確立され、その信用証明書は、いかなる信頼される手段によっても確立され、通常の方法でいかなる信頼される機関によっても認証される。ユーザとゾーンマネージャとの間に、第3の信頼関係が確立される。ユーザとサービスプロバイダから受信されるリクエストに応じてゾーンマネージャによってインスタンス化された仮想マシンとの間に、第4の信頼関係が確立される。この仮想マシンのインスタンスは秘密鍵を保持し、その対の公開鍵はゾーンマネージャによって認証される。ハードウェアプラットフォーム、ゾーンマネージャ、および仮想マシンのインスタンス化の信頼性(authenticity)は、すべてハードウェア製造業者からの表明に戻すことができ、これらはそれぞれの証明書チェーンを通じて信頼されると仮定される。
本発明の一実施形態は、ハードウェア保護リングの概念は、セキュアなハードウェアプラットフォーム内部の周辺装置における各仮想マシンの機能を表す2次元マトリックスを提供することによって、複数の仮想マシンのインスタンス化をホストするハードウェアに有利に拡張できるという見識に基づいている。このように仮想化は、バイナリ実行のいかなる変換も取り入れることなく行うことができる。これは、ランタイム環境内部の実行コード全体にわたるチェックサムを検証する必要性を考えると重要な利点である。
次に本発明の諸実施形態に従った装置および/または方法の一部の実施形態について、単に一例として、添付の図面を参照して説明する。
本発明による方法の概略図である。 本発明による方法に関連するそれぞれの行為者間の様々な信頼関係を示す図である。 本発明による方法の一実施形態における典型的なメッセージフローを示す図である。 本発明による方法の一実施形態における典型的なメッセージフローを示す図である。 本発明によるセキュアなプロセッサの一実施形態を概略的に示す図である。 仮想マシンの例示的機能マトリックスの一例を示す図である。
プロセッサの現在のリングまたはゾーンをASIC内部の周辺装置に反映させるためにASIC内部バスへ拡張して、セキュリティ保護されていないコンピューティングリングもしくはゾーンとセキュリティ保護されたコンピューティングリングもしくはゾーンとの間でプロセッサのタイムスライシングを組み合わせることによって、高パフォーマンスのセキュアコンピューティングが達成可能である。
「ASIC」という用語は、本明細書では、一定の実施形態でASIC技術によって実装することができるセキュアプロセッサを指すように使用されるが、上記の技術への限定を意味するものではない。
プロセッサがそのセキュアリングまたはゾーンにあるとき、セキュリティ周辺装置はアクティブである。プロセッサがそのセキュリティ保護されていないリングまたはゾーンにある場合、セキュリティ周辺装置は応答しない。ゾーン間の切り換え時に、プロセッサはゾーン間で渡されるパラメータを検証する。このような組合せは、Trustzoneを備えたARMの1176プロセッサで利用できる。本発明は、とりわけ、ARM1176/Trustzoneアーキテクチャの要素と同様の要素を備えるが、仮想化を行うために適合されたさらなる特徴を有するASICとして具体化することができる。
本発明の一実施形態によれば、仮想高信頼コンピューティング基盤(virtual Trusted Computing Base、vTCB)が提供され、所有者および製造業者がスヌーピングする、ハイジャックする、またはvTCB上の演算を変えることを防ぐ方法でvTCBを借りることを可能にするインフラストラクチャと併せて、プロセッサに埋め込まれる。有利には、保護リング、ACL用の機能に基づくラティス、セキュアで高性能なコンピューティング、および仮想化技術を提供する。
3つの役割、すなわち所有者220、ユーザ210、および製造業者230が、システムの動作に関連していると仮定する。所有者は、vTCBを所有して仮想コンピューティングサービスを提供し、ユーザは、vTCB上でセキュアに実行する必要があるアプリケ−ションを提供し、製造業者は、vTCBを埋め込むセキュアASICを作製する。
図2は、このように定義された3つの役割の間の様々な信頼関係を示す。
さらに、2つの追加エンティティ、すなわちセキュアゾーンマネージャ240およびセキュア仮想マシン250を認める。セキュアゾーンマネージャ240およびセキュア仮想マシン250は共に、vTCBの一部である。ここではセキュアゾーンマネージャ240は、セキュア仮想マシンの保守を担当し、製造業者230によってインストールされる、セキュアASIC内部で実行される信頼されるソフトウェアコンポーネントである。セキュア仮想マシン250は、本質的にプロセッサの「一部(slice)」である。
上記のエンティティに関連するいくつかの信頼要件について、次により詳細に記載する。本発明の諸実施形態は、記載する信頼要件の一部または全部に対処することができる。
第1の信頼要件は、スヌーピングされることが不可能なセキュア仮想マシン250を確立するために適切なセキュリティ特性を有するプロセッサを製造業者230が供給するということをユーザ210が信頼する必要があることである。ユーザ210は単に、プロセッサの証明書上の署名をチェックすることによって、この効果への表明が実際に製造業者230から発信されたことを検証することができる。vTCBのセキュリティ機能(セキュアゾーンマネージャおよびセキュア仮想マシン)に対するユーザの信頼は、製造業者に対するこの信頼から得られる。
第2の信頼要件は所有者220が、製造業者230は正確な使用レポートを生成するように構成されたvTCBを供給すると信頼する必要があるということである。所有者220は単に、プロセッサの証明書上の署名をチェックすることによって、この効果への表明が実際に製造業者230から発信されたことを検証することができる。vTCBのセキュリティ機能(セキュアゾーンマネージャおよびセキュア仮想マシン)に対する所有者の信頼は、ゾーンマネージャの秘密鍵を使用することに基づいており、これが本物であることの証明はまた、製造業者にさかのぼる一連の証明書によって保証される。ゆえに、vTCBに対する所有者の信頼は、製造業者に対するこの信頼から得られる。
第3の信頼要件は、セキュアゾーンマネージャ240が適切な所有者220と通信し、デバイスの実際の所有者の要求に基づいてのみ動作すると信頼する必要があることである。
第4の信頼要件は、ユーザ210が所有者220と通信すると信頼する必要があること、逆もまた同様であることである。この信頼関係は、アカウンティング、課金、および追跡の目的で所有者220に必要とされるものであり、ユーザ210については、正当な所有者と通信することをわかっていることが重要である。この信頼要件は、一般にはPKIを介した証明書によって対応される。
第5の信頼要件は、セキュアゾーンマネージャ240が、所有者220によって指示される適切なユーザ210と通信することを信頼する必要があることである。この要件は、仮想マシンのインスタンス化コマンドの引数としてユーザの証明書をセキュアゾーンマネージャに提供することによって対応することができる。
第6の信頼要件は、セキュア仮想マシン250が、それ自体のセキュアなブート手順について、信頼できるセキュアゾーンマネージャ240によって作成されることを信頼する必要があることである。これは、新しく作成されたセキュアゾーンに適切なブートソフトウェアおよび鍵材料をロードしたデバイスの製造業者230に対する暗黙の信頼である。
第7の信頼要件は、ユーザ210およびそのセキュア仮想マシン250が、相互に互いを信頼する必要があること、セキュア仮想マシン250が適切なユーザ210と通信することを理解する必要があること、ユーザ210が真のセキュア仮想マシン250と通信することを表明する必要があることである。この要件は、第1の信頼要件と似ており、ユーザ部分については第1の信頼要件から得られ、セキュア仮想マシン部分については第5の信頼要件から得られる。
便宜上図3aと図3bに分けているが、本発明による方法の一実施形態におけるメッセージフローを概略的に示す。図4は、本発明によるセキュアなプロセッサの一実施形態の要素を概略的に示す図である。
セキュアゾーンマネージャ420は、セキュアASICのプライマリブートシステムによってロードされる。このブートシステムは、製造業者が提供するプライマリブートシステム410と、ASIC秘密鍵418とからなる。プライマリブートは、第2ブートをロードすることができ、第2ブートを介してセキュアゾーンマネージャのイメージ402がロード可能である、またはプライマリブートはセキュアゾーンマネージャ402を直接ロードすることができ、どちらのシナリオとも、図3(aおよびb)の抽象メッセージ301および302によって例示される。様々な所有者が様々な特別仕様のセキュアゾーンマネージャを使用することを望む可能性があるが、イメージは、製造業者によって生成されることが好ましい。これにより、信頼性の負担は製造業者にかかる。
セキュアゾーンマネージャ420が起動するとき、セキュアゾーンマネージャ420は、図3(aおよびb)ではメッセージフロー303として、図4ではインタフェース440として概略的に示す、所有者へのセキュア通信チャネルを確立する。この相互に認証されたチャネル440は、所有者(図示せず)とセキュアゾーンマネージャ420との間の信頼関係を表す。このチャネル440の主な使用法は、セキュア仮想マシン430の管理用のセキュア通信パスを確立することである。さらに、セキュアゾーンマネージャ420は、所有者(図示せず)に使用レポートを送信することができる。
ユーザ/所有者304と所有者/セキュアゾーンマネージャ303/440の両方のチャネルが確立されると、通信チャネルはユーザによって使用されて、セキュアゾーンマネージャ420を介して新しいセキュア仮想マシン430の確立を要求する305。ユーザが所有者に呼びかけると、所有者はセキュア仮想マシン要求をvTCB400の1つに発送する306。ユーザは、セキュアゾーンマネージャの証明書404を信頼してセキュアゾーンマネージャ自体を認証することによって、適切なvTCBと通信することを確認することができる。さらに、ユーザは、セキュアゾーンマネージャ420によって署名された、新しく作成されたセキュア仮想マシン430の証明書を受信する308ことができる。
ユーザのためにセキュア仮想マシン430が作成された後、ユーザのアプリケーションをセキュアにブートする必要がある。セキュアゾーンマネージャ420は、したがって、ユーザがそのアプリケーションを用いてそのセキュア仮想マシン430をセキュアにブートできるようにするインフラストラクチャを提供する。所有者は、この手順の一部ではなく、したがって干渉する方法がないことに留意されたい。ユーザ−ゾーンマネージャチャネル450のエンドツーエンドのセキュアリングは、いかなる潜在的な中間者攻撃も効果的に防ぐ。
新しいセキュア仮想マシン430は、次にユーザの選択したプログラムをロードし311、セキュアな方法でアプリケーションをブートする。新しいセキュア仮想マシン430が秘密鍵432を受信するとき、ユーザと直接にセキュア通信チャネル470をセットアップすることができる312。
本発明によるセキュアで、仮想化できる処理環境の一実施形態は、単一マシンのセキュアプロセッサARM1176+Trustzoneに基づいている。この実施形態は、複数のこのようなセキュア処理マシンを支援する。この実施形態は、図4に概略的に示している。
第1に、Trustzoneアーキテクチャで複数のセキュア仮想マシンを支援するために、単一のセキュアアドレス変更子ビットの代わりに、nビット幅のバスが設けられる。各セキュア仮想マシンは、以下、セキュアアドレス変更子バス(Secure Address Modifier Bus、SAMB)と呼ばれる、このアドレス変更子のバス上で特定のバイナリ表現に入力される。セキュアASIC内部の周辺装置は、それらのデバイスへのアクセスを有効または無効にするとき、SAMBの状態を考慮に入れる。
セキュアASIC内部の周辺装置上のセキュア仮想マシンの機能を表す2次元マトリックスは、ASIC内部のバス上のSAMBと関連付けられる。4つの周辺機器および4つの仮想マシンを扱う、このようなマトリックスの例示的表現を図5に示す。セキュアASICの各周辺装置は列で表され、セキュア仮想マシンのそれぞれに行が与えられる。特定のセキュア仮想マシンの周辺装置への読み取りおよび/または書き込みアクセスを可能にするために、マトリックス中の関連ビットが設定される。
2つの特定の行は、セキュリティ保護されていないマシンとスーパーセキュア仮想マシンという、機能マトリックスに定義することができる。これらのゾーンは共に、それぞれセキュア周辺アクセスのないマシンとセキュア周辺アクセスのあるマシンという、標準的なTrustzoneアーキテクチャにおけるその等価状態と全く同一である。セキュリティ保護されていないマシンは、一般に、セキュアゾーンのアドレス変更子バスにそのバイナリ表現で表わされ、行ゼロに位置している。1つの好ましい実施形態では、スーパーセキュア仮想マシンは、SAMBで変更子01*1を使用する。一般に、ただ1つのスーパーセキュア仮想マシンのみが、セキュア機能マトリックスへの書込アクセス権を有するべきである。
セキュリティ保護されていない処理マシンは、いかなる特定のセキュリティも必要としていない、またいかなる特定のセキュリティも確保することがないタスクを実行するためのものである。
スーパーセキュア仮想マシンは、他のセキュア仮想マシンを管理するためのものである。スーパーセキュア仮想マシンによって、新しい行が初期設定されることが可能であり、新しく形成された通常のセキュアゾーンに新しいアプリケーションがインストールされることが可能である。またスーパーセキュア仮想マシンは、通常のセキュア仮想マシンを停止し、削除することもできる。
様々なセキュリティ保護されたセキュア仮想マシンとセキュリティ保護されていないキュア仮想マシンとの間で情報が漏れないことを保証するために、各セキュア仮想マシンは、個々のメモリ暗号鍵と関連付けることができる。メモリコントローラは、メモリコントローラデバイス内に、またはメモリコントローラ独自の鍵で保護された通常のメモリ内に、このメモリの鍵を格納する。SAMB上のセキュア変更子に基づいて、メモリコントローラは、メイン外部メモリに送信される、またはメイン外部メモリから取り出されるデータを暗号化することができる鍵を選択する。
セキュアゾーンマネージャは、実行されるゲストオペレーティングシステムのバイナリ変換に依存しない、準仮想化の仮想マシンマネージャである。これは、ユーザが確実に、実行中のイメージ全体にわたってMD5チェックサムを計算して、イメージが変更されていないことを確認できるようにする。さらに、セキュアゾーンマネージャは、プロセッサおよびマシンのリソースを仮想化するためのすべてのメカニズムを、プロセッサで実行中のすべてのゲストオペレーティングシステムに提供する。
図2に示すように、呼フローのエンティティは、所有者(機器の持ち主)、セキュアゾーンマネージャ、セキュア仮想マシン、およびユーザ(すなわち借り手)である。また、製造業者の役割を認識する必要がある。
所有者、製造業者、およびユーザは、秘密鍵と公開鍵を有し、公開鍵は、署名された証明書の一部である。それぞれの秘密鍵は、
Figure 2012533128
 および
Figure 2012533128
 に指定される。それぞれの公開鍵は、Kown、Kmfr、およびKuserに指定される。
公開鍵をそれぞれ所有者、製造業者、およびユーザと関連付ける証明書は、指定されるそれぞれの各機関A(.)によって署名され、公開鍵基盤(PKI)の一部であることが可能であり、
Figure 2012533128
Figure 2012533128
 および
Figure 2012533128
 となる。ユーザの証明書は、ユーザのアドレスを含み、ゾーンマネージャおよび/またはセキュア仮想マシンのインスタンス化を可能にして信頼できるアドレスを使用してユーザと交信することが好ましい。
ASICが、例えばヒューズアレイの中、またはASIC上の不揮発性RAMの中で符号化されたASIC独自の秘密鍵418、
Figure 2012533128
 を備えていると仮定し、公開鍵Kasicが、これと結合される。
製造業者によって署名された証明書が、ASICの秘密鍵418と関連付けられる。ASICは、最初のブートプログラム用のプライベートブートエリア410を有すると仮定する。このブートプログラムのセキュアハッシュが、ASICの証明書に埋め込まれる:
Figure 2012533128
 製造業者は、さらなる方法で信頼できるブートプログラムのセキュアハッシュを利用することができる。
埋め込まれたブートプログラムをブートすると、ASICは、典型的には所有者から、ASIC−所有者チャネル460を介してゾーンマネージャのイメージ402を受信するように構成される。このゾーンマネージャのイメージ402は、製造業者によって全体または一部を所有者の仕様に作成されることが可能である。ASICは、MD5のようなハッシングアルゴリズムによって、ゾーンマネージャのイメージについてセキュアハッシュHを計算し412、これを製造業者によって提供され、認証されるハッシュ
Figure 2012533128
 と比較するように構成される。ゾーンマネージャのイメージ420は、確認が成功する場合のみブートされる。
第2のイメージ402は、所有者の証明書
Figure 2012533128
 を含む。
起動されるとき、ゾーンマネージャ420は、ゾーンマネージャの開始と、プロセッサがリセットされ、リブートされる時間との間の時間として定義されたセッションのために、公開/秘密鍵のペア
Figure 2012533128
 を作成し414、ゾーンマネージャの終了を示す。公開鍵は、ASIC鍵418を用いて認証され416、証明書404
Figure 2012533128
 は、所有者に入手できるようにされる。同じく秘密鍵426は、ゾーンマネージャ420が作成するインスタンス430に対して証明書424に署名できるようにする。
ユーザは、セキュア仮想マシン430を所有者から要求することによってこれを取得することができる。このためユーザは、例えばPKIを介して取得された証明書を信頼して、まず所有者とユーザ(図示せず)との間にセキュアな相互認証チャネルを確立する。確立されるとユーザは、「セキュア仮想マシンを生成」メッセージを所有者に送信する。所有者は、適切な(例えば軽負荷の)セキュアプロセッサのゾーンマネージャ420を選択し、要求をゾーンマネージャ420に転送する。
所有者の「セキュア仮想マシンを生成」メッセージは、ユーザの証明書C(ユーザ、...)を添付されることが可能である。この証明書は、まずセキュアゾーンマネージャ420とユーザとの間にセキュア通信チャネル450を確立するために使用され、後にこの証明書は、新しく作成されるセキュア仮想マシン430によって使用されてユーザへのセキュアチャネル470を確立する。ゾーンマネージャとユーザとの間のセキュアチャネル450は、ユーザがゾーンマネージャを信用することができるとユーザに断言するために使用される。
「セキュア仮想マシンを生成」メッセージを受信すると、ゾーンマネージャ420はまず、新しいゾーンの公開/秘密鍵のペア
Figure 2012533128
 を作成し422、公開鍵を証明する424。次いでゾーンマネージャは、それまでに確立された通信チャネル450を通じて、証明書
Figure 2012533128
 をユーザに送信する。
最後に、ゾーンマネージャ420は、新しいセキュア仮想マシン430を準備する。ゾーンマネージャ420は、前述のセキュリティ機能マトリックスに項目を割り当て、メモリコントローラに適切なセッションキーを与え、新しいセキュア仮想マシン430にブートプログラムをロードする。ユーザの証明書
Figure 2012533128
 は、パラメータとしてセキュア仮想マシンのブートローダに渡される。このブートローダは、ゾーンマネージャ420によってあらかじめインストールされている(したがって信頼されている)。
仮想マシン430は、ゾーンマネージャ420を介して実行の準備をされ、最終的にゾーンマネージャ420は、新しいセキュア仮想マシン430を起動させる。
新しいセキュア仮想マシン430が起動するとき、新しいセキュア仮想マシン430はゾーンマネージャ420だけが潜在的に動作を中断させることができるセキュア環境で動作する。製造業者は信頼できると仮定するので、ゾーンマネージャ420はそうすることができる。新しいセキュア仮想マシン430の最初のロードは、ユーザのネットワークアドレスを与えられたセキュアブートローダであることに留意されたい。
セキュア仮想マシン430が最初に行うことは、新しいゾーンとユーザとの間にセキュア通信チャネル470を確立することである。新しいゾーンは、証明書に記録されたネットワークアドレスを含む、
Figure 2012533128
 を使用してセッションを確立し、一方ユーザは、
Figure 2012533128
 を使用してセッションを確立する。
Figure 2012533128
 が、「create secure virtual machine」メッセージ中に所有者によってユーザに返された。
ユーザと新しく作成されたセキュア仮想マシン430との間にセキュア通信チャネル470が確立されると、ユーザはアプリケーションを新しいセキュア仮想マシン430にアップロードし、そのアプリケーションを起動する。ブートローダは、ユーザの証明書
Figure 2012533128
 を新しくロードされたアプリケーションに渡して、アプリケーションが現在ユーザのアプリケーションを実行しているセキュア仮想マシンとユーザとの間にセキュア通信チャネルを再確立できるようにする。セキュア仮想マシン430は、ここで動作モードを起動する。
本発明の一実施形態では、稼働中のゾーンマネージャ420はおよび所有者は、セキュア仮想マシン430の使用レポート313を定期的に交換する。こうしたレポートは、例えばユーザのハードウェア使用に関する請求記録を準備するために、所有者によって使用されることが可能である。さらに、ユーザは、セキュア通信チャネル(450、470)を介してゾーンマネージャ420に管理要求314を送信することができる。こうした要求は、セキュア仮想マシン430に費やされるサイクル数を増減する、またはセキュア仮想マシン430を完全に停止して再開する動作に関するものであることが可能である。このような1つの要求316は、セキュア仮想マシン430全体を停止することに関し、終了されるセキュア仮想マシン430に関するすべての状態情報をクリーンアップする場合がある。この結果を達成するための効果的な方法は、ゾーンのセキュアメモリスライスに使用されるセッションキーをクリアすることである。
本発明の一実施形態では、セキュア仮想マシン430は、そのセキュア仮想マシンのデータのプライバシーを保証するためにその特定のセキュア仮想マシン430に割り当てられたメモリ暗号化鍵を使用して、メモリコントローラ480を介して共有メモリ490にアクセスする。
説明および図面は、本発明の原理を示すにすぎない。したがって、本明細書には明示的に記載または表示されていないが、本発明の原理を具体化し、本発明の趣旨および範囲の内に含まれる様々な仕組みを当業者は考案することができるであろうと理解される。さらに、本明細書に列挙するすべての例は、原則として、発明者により当技術分野の促進をもたらす本発明の原理および概念を理解する際に読者の助けとなるように、明らかに教育上の目的のためにすぎないものとし、このような具体的に列挙した例および条件に限定しないものであると解釈されたい。さらに、本発明の原理、態様、および実施形態、ならびにその特定の例を列挙する本明細書中のあらゆる記載は、その均等物を包むものとする。
「プロセッサ」と呼ぶいかなる機能ブロックも含む、図に示した様々な要素の機能は、専用のハードウェア、ならびに適切なソフトウェアと関連してソフトウェアを実行することができるハードウェアを使用することによって提供されることが可能である。プロセッサによって提供されるとき、機能は、単一の専用プロセッサによって、単一の共有プロセッサによって、またはその一部を共有することができる複数の個々のプロセッサによって、提供されることが可能である。さらに、「プロセッサ」または「コントローラ」という用語の明示的な使用は、ソフトウェアを実行することができるハードウェアを排他的に指すと解釈されるべきではなく、暗黙的に、デジタル信号プロセッサ(DSP)のハードウェア、ネットワークプロセッサ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、ソフトウェアを格納するリードオンリーメモリ(ROM)、ランダムアクセスメモリ(RAM)、および不揮発記憶装置を含む場合があるが、それらには限定されない。また、従来型および/またはカスタム型の他のハードウェアを含む場合もある。同様に、図に示したいかなるスイッチも、概念上にすぎない。これらの機能は、プログラム論理の動作によって、専用論理によって、プログラム制御と専用論理の相互作用によって、または手動でも実行されることが可能であり、特定の技術は、状況からより具体的に理解されるように実行者によって選択可能である。

Claims (15)

  1. 所有者の要求で作成される複数のセキュア仮想マシンをホストするためのプロセッサであって、
    プロセッサの秘密鍵を格納するメモリと、
    ゾーンマネージャのインスタンスと関連付けられる第1の公開/秘密鍵のペアを生成するための第1の生成器と、
    前記プロセッサの秘密鍵によって前記第1の公開/秘密鍵のペアを証明するための第1の認証エージェントと、
    前記所有者から仮想マシンインスタンス化コマンドをセキュアに受信する受信機と、
    前記インスタンス化コマンドに応えて作成された、前記複数の仮想マシンのうちの1つの仮想マシンのインスタンスと関連付けられる第2の公開/秘密鍵のペアを生成するための第2の生成器と、
    前記第1の公開/秘密鍵のペアによって前記第2の公開/秘密鍵のペアを証明するための第2の認証エージェントと
    を含む、プロセッサ。
  2. 初期ブートプログラムを格納するための、プライベートブートエリア(410)をさらに含む、請求項1に記載のプロセッサ。
  3. 前記ゾーンマネージャを含むイメージファイルを受信して正当性を確認するための手段をさらに含む、請求項1または2に記載のプロセッサ。
  4. 前記複数のセキュア仮想マシンによって使用されるメモリをさらに含み、前記メモリへのアクセスが、前記複数のセキュア仮想マシンのセキュア仮想マシン毎に異なる暗号鍵によってセキュリティ保護される、請求項1から3のいずれかに記載のプロセッサ。
  5. 前記複数のセキュア仮想マシンのデジタルアクセス許可情報を格納するメモリをさらに含む、請求項1から4のいずれかに記載のプロセッサ。
  6. 所有者の要求でプロセッサ内のセキュア仮想マシンをセットアップするための方法であって、
    ゾーンマネージャのイメージを使用して前記プロセッサをブートすることと、
    前記プロセッサでゾーンマネージャのセッションと関連する第1の公開/秘密鍵のペアを入手することと、
    前記第1の公開/秘密鍵のペアの公開鍵を前記プロセッサで前記プロセッサと関連する秘密鍵を使用して証明することと、
    前記ゾーンマネージャでセキュア仮想マシンインスタンス化コマンドを前記所有者から受信することと、
    前記ゾーンマネージャと前記ユーザとの間でセキュア通信チャネルを作成することと、
    セキュア仮想マシンと関連する第2の公開/秘密鍵のペアを入手することと、
    前記第1の公開/秘密鍵のペアの秘密鍵を使用して前記第2の公開/秘密鍵のペアの公開鍵を証明することと
    を含む、方法。
  7. プライベートブートエリアに格納されたプログラムからプロセッサをブートすることをさらに含む、請求項6に記載の方法。
  8. 前記ゾーンマネージャのイメージを前記プロセッサにダウンロードすることと、前記プロセッサで、前記ゾーンマネージャのイメージの前記ブートすることのための前提条件として、前記ゾーンマネージャのイメージに関するバリデーション値を検証することとをさらに含む、請求項6に記載の方法。
  9. 前記プロセッサの共有メモリに格納された特定のコンテンツにアクセスするための暗号鍵を、前記セキュア仮想マシンと関連付けることをさらに含む、請求項6に記載の方法。
  10. 前記セキュア仮想マシンのインスタンス化コマンドが前記ユーザに関する証明書を含む、請求項6に記載の方法。
  11. 前記セキュア通信チャネルのセキュリティ面が、前記ユーザに関する前記証明書に依存する、請求項10に記載の方法。
  12. 前記ユーザに関する前記証明書を前記ゾーンマネージャに提供することをさらに含む、請求項10または11に記載の方法。
  13. 前記セキュア通信チャネルが、公開鍵暗号化技術を用いてセキュリティ保護される、請求項10または11に記載の方法。
  14. 前記仮想マシンのアクセス許可で機能マトリックスを更新することをさらに含む、請求項6から13のいずれかに記載の方法。
  15. 前記セキュア仮想マシンにブートプログラムを提供することによって、前記セキュア仮想マシンを準備することと、
    前記セキュア仮想マシンを起動することと
    をさらに含む、請求項6から14のいずれかに記載の方法。
JP2012520055A 2009-07-16 2010-07-16 セキュア仮想マシンを提供するためのシステムおよび方法 Active JP5497171B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP09165682.7A EP2278514B1 (en) 2009-07-16 2009-07-16 System and method for providing secure virtual machines
EP09165682.7 2009-07-16
PCT/EP2010/060341 WO2011006997A1 (en) 2009-07-16 2010-07-16 System and method for providing secure virtual machines

Publications (2)

Publication Number Publication Date
JP2012533128A true JP2012533128A (ja) 2012-12-20
JP5497171B2 JP5497171B2 (ja) 2014-05-21

Family

ID=41198539

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012520055A Active JP5497171B2 (ja) 2009-07-16 2010-07-16 セキュア仮想マシンを提供するためのシステムおよび方法

Country Status (6)

Country Link
US (1) US8856544B2 (ja)
EP (1) EP2278514B1 (ja)
JP (1) JP5497171B2 (ja)
KR (1) KR101318524B1 (ja)
CN (1) CN102473213B (ja)
WO (1) WO2011006997A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016511610A (ja) * 2013-03-15 2016-04-14 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation マルチテナント・コンピューティング・インフラストラクチャにおける鍵管理の方法、装置、コンピュータ・プログラム製品、およびクラウド・コンピュート・インフラストラクチャ(マルチテナント環境における鍵管理)

Families Citing this family (74)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9386021B1 (en) * 2011-05-25 2016-07-05 Bromium, Inc. Restricting network access to untrusted virtual machines
US8996851B2 (en) * 2010-08-10 2015-03-31 Sandisk Il Ltd. Host device and method for securely booting the host device with operating system code loaded from a storage device
US8694777B2 (en) * 2010-08-13 2014-04-08 International Business Machines Corporation Securely identifying host systems
US9818079B2 (en) * 2011-05-21 2017-11-14 Ortho-Clinical Diagnostics, Inc. System and method of inventory management
US9178698B1 (en) * 2011-12-21 2015-11-03 Google Inc. Dynamic key management
US9992024B2 (en) * 2012-01-25 2018-06-05 Fujitsu Limited Establishing a chain of trust within a virtual machine
US8938611B1 (en) * 2012-02-02 2015-01-20 Trend Micro, Inc. Enterprise cloud security gateway
US8880882B2 (en) * 2012-04-04 2014-11-04 Google Inc. Securely performing programmatic cloud-based data analysis
TW201349009A (zh) 2012-04-13 2013-12-01 Ologn Technologies Ag 用於數位通信之安全區
EP2836968B1 (en) 2012-04-13 2020-05-06 OLogN Technologies AG Apparatuses, methods and systems for computer-based secure transactions
TW201403375A (zh) 2012-04-20 2014-01-16 歐樂岡科技公司 用於安全購買之安全區
US9385918B2 (en) * 2012-04-30 2016-07-05 Cisco Technology, Inc. System and method for secure provisioning of virtualized images in a network environment
US9210162B2 (en) * 2012-05-02 2015-12-08 Microsoft Technology Licensing, Llc Certificate based connection to cloud virtual machine
US9027102B2 (en) 2012-05-11 2015-05-05 Sprint Communications Company L.P. Web server bypass of backend process on near field communications and secure element chips
US9282898B2 (en) 2012-06-25 2016-03-15 Sprint Communications Company L.P. End-to-end trusted communications infrastructure
US9066230B1 (en) 2012-06-27 2015-06-23 Sprint Communications Company L.P. Trusted policy and charging enforcement function
GB2513826A (en) * 2012-06-29 2014-11-12 Ibm Trusted boot of a virtual machine
US8649770B1 (en) 2012-07-02 2014-02-11 Sprint Communications Company, L.P. Extended trusted security zone radio modem
US8667607B2 (en) 2012-07-24 2014-03-04 Sprint Communications Company L.P. Trusted security zone access to peripheral devices
US9183412B2 (en) * 2012-08-10 2015-11-10 Sprint Communications Company L.P. Systems and methods for provisioning and using multiple trusted security zones on an electronic device
US9215180B1 (en) 2012-08-25 2015-12-15 Sprint Communications Company L.P. File retrieval in real-time brokering of digital content
US9015068B1 (en) 2012-08-25 2015-04-21 Sprint Communications Company L.P. Framework for real-time brokering of digital content delivery
JP6357158B2 (ja) * 2012-10-12 2018-07-11 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. 仮想マシンによる安全なデータ処理
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9161227B1 (en) 2013-02-07 2015-10-13 Sprint Communications Company L.P. Trusted signaling in long term evolution (LTE) 4G wireless communication
US9104840B1 (en) 2013-03-05 2015-08-11 Sprint Communications Company L.P. Trusted security zone watermark
US9613208B1 (en) 2013-03-13 2017-04-04 Sprint Communications Company L.P. Trusted security zone enhanced with trusted hardware drivers
US9049013B2 (en) 2013-03-14 2015-06-02 Sprint Communications Company L.P. Trusted security zone containers for the protection and confidentiality of trusted service manager data
US9021585B1 (en) 2013-03-15 2015-04-28 Sprint Communications Company L.P. JTAG fuse vulnerability determination and protection using a trusted execution environment
US9374363B1 (en) 2013-03-15 2016-06-21 Sprint Communications Company L.P. Restricting access of a portable communication device to confidential data or applications via a remote network based on event triggers generated by the portable communication device
CA2902292C (en) 2013-03-15 2024-05-21 Ologn Technologies Ag Systems, methods and apparatuses for securely storing and providing payment information
US9191388B1 (en) 2013-03-15 2015-11-17 Sprint Communications Company L.P. Trusted security zone communication addressing on an electronic device
US9454723B1 (en) 2013-04-04 2016-09-27 Sprint Communications Company L.P. Radio frequency identity (RFID) chip electrically and communicatively coupled to motherboard of mobile communication device
US9324016B1 (en) 2013-04-04 2016-04-26 Sprint Communications Company L.P. Digest of biographical information for an electronic device with static and dynamic portions
US9171243B1 (en) 2013-04-04 2015-10-27 Sprint Communications Company L.P. System for managing a digest of biographical information stored in a radio frequency identity chip coupled to a mobile communication device
US9838869B1 (en) 2013-04-10 2017-12-05 Sprint Communications Company L.P. Delivering digital content to a mobile device via a digital rights clearing house
US9443088B1 (en) 2013-04-15 2016-09-13 Sprint Communications Company L.P. Protection for multimedia files pre-downloaded to a mobile device
US9069952B1 (en) 2013-05-20 2015-06-30 Sprint Communications Company L.P. Method for enabling hardware assisted operating system region for safe execution of untrusted code using trusted transitional memory
US9560519B1 (en) 2013-06-06 2017-01-31 Sprint Communications Company L.P. Mobile communication device profound identity brokering framework
US9183606B1 (en) 2013-07-10 2015-11-10 Sprint Communications Company L.P. Trusted processing location within a graphics processing unit
US9948640B2 (en) 2013-08-02 2018-04-17 Ologn Technologies Ag Secure server on a system with virtual machines
US9208339B1 (en) 2013-08-12 2015-12-08 Sprint Communications Company L.P. Verifying Applications in Virtual Environments Using a Trusted Security Zone
FR3011654B1 (fr) * 2013-10-08 2016-12-23 Commissariat Energie Atomique Procede et dispositif d'authentification et d'execution securisee de programmes
US9185626B1 (en) 2013-10-29 2015-11-10 Sprint Communications Company L.P. Secure peer-to-peer call forking facilitated by trusted 3rd party voice server provisioning
US9191522B1 (en) 2013-11-08 2015-11-17 Sprint Communications Company L.P. Billing varied service based on tier
US9161325B1 (en) 2013-11-20 2015-10-13 Sprint Communications Company L.P. Subscriber identity module virtualization
US9118655B1 (en) 2014-01-24 2015-08-25 Sprint Communications Company L.P. Trusted display and transmission of digital ticket documentation
US9226145B1 (en) 2014-03-28 2015-12-29 Sprint Communications Company L.P. Verification of mobile device integrity during activation
US9652631B2 (en) * 2014-05-05 2017-05-16 Microsoft Technology Licensing, Llc Secure transport of encrypted virtual machines with continuous owner access
US9230085B1 (en) 2014-07-29 2016-01-05 Sprint Communications Company L.P. Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services
US20170364685A1 (en) * 2014-11-20 2017-12-21 Interdigital Patent Holdings. Inc. Providing security to computing systems
US9779232B1 (en) 2015-01-14 2017-10-03 Sprint Communications Company L.P. Trusted code generation and verification to prevent fraud from maleficent external devices that capture data
US10068092B2 (en) 2015-01-21 2018-09-04 Microsoft Technology Licensing, Llc Upgrading a secure boot policy on a virtual machine
US9838868B1 (en) 2015-01-26 2017-12-05 Sprint Communications Company L.P. Mated universal serial bus (USB) wireless dongles configured with destination addresses
US9560078B2 (en) * 2015-02-04 2017-01-31 Intel Corporation Technologies for scalable security architecture of virtualized networks
US9473945B1 (en) 2015-04-07 2016-10-18 Sprint Communications Company L.P. Infrastructure for secure short message transmission
US9819679B1 (en) 2015-09-14 2017-11-14 Sprint Communications Company L.P. Hardware assisted provenance proof of named data networking associated to device data, addresses, services, and servers
US10282719B1 (en) 2015-11-12 2019-05-07 Sprint Communications Company L.P. Secure and trusted device-based billing and charging process using privilege for network proxy authentication and audit
US9817992B1 (en) 2015-11-20 2017-11-14 Sprint Communications Company Lp. System and method for secure USIM wireless network access
US10404470B2 (en) * 2017-01-13 2019-09-03 Microsoft Technology Licensing, Llc Signature verification of field-programmable gate array programs
US10499249B1 (en) 2017-07-11 2019-12-03 Sprint Communications Company L.P. Data link layer trust signaling in communication network
US11068607B2 (en) 2018-03-10 2021-07-20 International Business Machines Corporation Protecting cognitive code and client data in a public cloud via deployment of data and executables into a secure partition with persistent data
US10685106B2 (en) 2018-03-10 2020-06-16 International Business Machines Corporation Protecting cognitive code and client data in a public cloud via deployment of data and executables into a stateless secure partition
US10853498B2 (en) * 2018-09-19 2020-12-01 Dell Products L.P. Secure boot orchestration device in a virtual desktop infrastructure
US11165575B2 (en) * 2019-01-02 2021-11-02 Citrix Systems, Inc. Tracking tainted connection agents
US11061711B2 (en) 2019-09-23 2021-07-13 Red Hat, Inc. Storage deduplication for virtual machines with encrypted storage
US11232030B2 (en) 2019-09-27 2022-01-25 Red Hat Inc. Storage deduplication for virtual machines with encrypted storage
US11656891B2 (en) 2019-09-27 2023-05-23 Red Hat, Inc. Copy-on-write for virtual machines with encrypted storage
KR20210069473A (ko) 2019-12-03 2021-06-11 삼성전자주식회사 사용자에 대한 인증을 통해 유저 데이터에 대한 권한을 부여하는 시큐리티 프로세서 및 이를 포함하는 컴퓨팅 시스템
US11768611B2 (en) 2020-04-02 2023-09-26 Axiado Corporation Secure boot of a processing chip
CN112257064B (zh) * 2020-10-31 2024-02-09 海光信息技术股份有限公司 一种嵌套页表度量方法、装置及相关设备
US11995197B2 (en) 2021-07-27 2024-05-28 International Business Machines Corporation Sensitive data encryption
WO2023115248A1 (en) * 2021-12-20 2023-06-29 Intel Corporation Circuitry and methods for implementing a trusted execution environment security manager
WO2023191895A1 (en) * 2022-03-28 2023-10-05 Intel Corporation Secure shared memory buffer for communications between trusted execution environment virtual machines

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030188165A1 (en) * 2002-03-29 2003-10-02 Sutton James A. System and method for execution of a secured environment initialization instruction
JP2007141096A (ja) * 2005-11-21 2007-06-07 Sony Corp 情報処理装置、情報記録媒体製造装置、情報記録媒体、および方法、並びにコンピュータ・プログラム
JP2007188520A (ja) * 2005-06-28 2007-07-26 Matsushita Electric Ind Co Ltd 検証方法、情報処理装置、記録媒体、検証システム、証明プログラム及び検証プログラム
JP2007233704A (ja) * 2006-03-01 2007-09-13 Nec Corp 仮想マシンを利用した情報処理装置および情報処理システム、並びに、アクセス制御方法
WO2009044461A1 (ja) * 2007-10-03 2009-04-09 Fujitsu Limited デバイスアクセス制御プログラム、デバイスアクセス制御方法および情報処理装置
JP2009124520A (ja) * 2007-11-16 2009-06-04 Fujitsu Ltd データ送付方法および電子機器

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6560706B1 (en) * 1998-01-26 2003-05-06 Intel Corporation Interface for ensuring system boot image integrity and authenticity
US7137004B2 (en) * 2001-11-16 2006-11-14 Microsoft Corporation Manifest-based trusted agent management in a trusted operating system environment
DE60200323T2 (de) * 2002-03-26 2005-02-24 Soteres Gmbh Verfahren zum Schutz der Integrität von Programmen
US7380119B2 (en) * 2004-04-29 2008-05-27 International Business Machines Corporation Method and system for virtualization of trusted platform modules
JP5016189B2 (ja) * 2004-08-03 2012-09-05 株式会社リコー 電子装置、電子装置の制御方法、プログラム及び記録媒体
US7836299B2 (en) * 2005-03-15 2010-11-16 Microsoft Corporation Virtualization of software configuration registers of the TPM cryptographic processor
EP1975830A1 (en) * 2007-03-30 2008-10-01 British Telecommunications Public Limited Company Distributed computer system
US8010763B2 (en) * 2007-08-02 2011-08-30 International Business Machines Corporation Hypervisor-enforced isolation of entities within a single logical partition's virtual address space
CA2640804C (en) * 2007-10-07 2015-04-07 Embotics Corporation Method and system for integrated securing and managing of virtual machines and virtual appliances
US20090249471A1 (en) * 2008-03-27 2009-10-01 Moshe Litvin Reversible firewall policies
US20090276774A1 (en) * 2008-05-01 2009-11-05 Junji Kinoshita Access control for virtual machines in an information system
JP5369502B2 (ja) * 2008-06-04 2013-12-18 株式会社リコー 機器、管理装置、機器管理システム、及びプログラム
US8479015B2 (en) * 2008-10-17 2013-07-02 Oracle International Corporation Virtual image management
US8560825B2 (en) * 2010-06-30 2013-10-15 International Business Machines Corporation Streaming virtual machine boot services over a network
US8707301B2 (en) * 2010-11-08 2014-04-22 Microsoft Corporation Insertion of management agents during machine deployment

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030188165A1 (en) * 2002-03-29 2003-10-02 Sutton James A. System and method for execution of a secured environment initialization instruction
JP2007188520A (ja) * 2005-06-28 2007-07-26 Matsushita Electric Ind Co Ltd 検証方法、情報処理装置、記録媒体、検証システム、証明プログラム及び検証プログラム
JP2007141096A (ja) * 2005-11-21 2007-06-07 Sony Corp 情報処理装置、情報記録媒体製造装置、情報記録媒体、および方法、並びにコンピュータ・プログラム
JP2007233704A (ja) * 2006-03-01 2007-09-13 Nec Corp 仮想マシンを利用した情報処理装置および情報処理システム、並びに、アクセス制御方法
WO2009044461A1 (ja) * 2007-10-03 2009-04-09 Fujitsu Limited デバイスアクセス制御プログラム、デバイスアクセス制御方法および情報処理装置
JP2009124520A (ja) * 2007-11-16 2009-06-04 Fujitsu Ltd データ送付方法および電子機器

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN5012016192; GARFINKEL T: 'TERRA: A VIRTUAL MACHINE-BASED PLATFORM FOR TRUSTED COMPUTING' ACM SOSP. PROCEEDINGS OF THE ACM SYMPOSIUM ON OPERATING SYSTEMSPRINCIPLES , 20031019 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016511610A (ja) * 2013-03-15 2016-04-14 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation マルチテナント・コンピューティング・インフラストラクチャにおける鍵管理の方法、装置、コンピュータ・プログラム製品、およびクラウド・コンピュート・インフラストラクチャ(マルチテナント環境における鍵管理)

Also Published As

Publication number Publication date
US20120137117A1 (en) 2012-05-31
JP5497171B2 (ja) 2014-05-21
US8856544B2 (en) 2014-10-07
WO2011006997A1 (en) 2011-01-20
EP2278514A1 (en) 2011-01-26
CN102473213A (zh) 2012-05-23
KR20120018820A (ko) 2012-03-05
CN102473213B (zh) 2015-06-17
KR101318524B1 (ko) 2013-11-21
EP2278514B1 (en) 2018-05-30

Similar Documents

Publication Publication Date Title
JP5497171B2 (ja) セキュア仮想マシンを提供するためのシステムおよび方法
US11258605B2 (en) Out-of-band remote authentication
Buhren et al. Insecure until proven updated: analyzing AMD SEV's remote attestation
US9509692B2 (en) Secured access to resources using a proxy
JP6222592B2 (ja) モバイルアプリケーション管理のためのモバイルアプリケーションのアイデンティティの検証
EP3061027B1 (en) Verifying the security of a remote server
US8171295B2 (en) Information processing apparatus, a server apparatus, a method of an information processing apparatus, a method of a server apparatus, and an apparatus executable process
US9413538B2 (en) Cryptographic certification of secure hosted execution environments
CN112765637A (zh) 数据处理方法、密码服务装置和电子设备
CN117453343A (zh) 虚拟机度量、机密计算认证方法、设备、系统及存储介质
CN111245600B (zh) 基于区块链技术的鉴权认证方法和系统
Galanou et al. Matee: Multimodal attestation for trusted execution environments
Bravi Use of Trusted Computing techniques to counteract Cybersecurity attacks in Critical Infrastructures
Pedone et al. Trusted computing technology and proposals for resolving cloud computing security problems
Sharma Onboard credentials: Hardware assisted secure storage of credentials
Uzunay et al. Trust-in-the-middle: towards establishing trustworthiness of authentication proxies using trusted computing
St Clair Shamon-establishing Trust in Distributed Virtualized Environments

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130904

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130917

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140305

R150 Certificate of patent or registration of utility model

Ref document number: 5497171

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250