JP2013501300A5

JP2013501300A5 -

Info

Publication number: JP2013501300A5
Application number: JP2012523622A
Authority: JP
Filing date: 2010-06-29
Publication date: 2013-08-15
Anticipated expiration: 2030-06-29

Claims

プロセッサ（１１２）によって、ユーザインターフェイス（１５０）と信頼性のある実行ファイル（３１２）との間に、ハイパーバイザ（３１６）およびドライバシム（３１４）を含む信頼性のあるパス（１５２）を確立する方法であって、前記プロセッサ（１１２）は、前記ユーザインターフェイス（１５０）と、メモリ（１１４）とに接続され、前記メモリ（１１４）は、前記プロセッサ（１１２）に実行される実行ファイル（３１２）、ハイパーバイザ（３１６）、およびドライバシム（３１４）を記憶する、前記方法であって、
前記ハイパーバイザのアイデンティティを測定すること（７１０）、
前記ハイパーバイザの前記アイデンティティの前記測定値を、前記ハイパーバイザ用のポリシと比較すること（７１２）、
前記ドライバシムのアイデンティティを測定すること（７１４）、
前記ドライバシムの前記アイデンティティの前記測定値を、前記ドライバシム用のポリシと比較すること（７１６）、
前記ユーザインターフェイスのアイデンティティを測定すること（７１８）、
前記ユーザインターフェイスの前記アイデンティティの前記測定値を、前記ユーザインターフェイス用のポリシと比較すること（７２０）、
前記ハイパーバイザの前記アイデンティティ、前記ドライバシムの前記アイデンティティ、および前記ユーザインターフェイスの前記アイデンティティが、前記ハイパーバイザ用の前記ポリシ、前記ドライバシム用の前記ポリシ、および前記ユーザインターフェイス用の前記ポリシにそれぞれ一致するかどうかについての、人間が知覚できる指示を提供すること（７２２）
を含む、方法。
前記ユーザインターフェイス（１５０）が、入力装置（１１６）および出力装置（１１８）の少なくとも一方を含む、請求項１に記載の方法。
前記入力装置（１１６）が、キーボードおよびコンピュータマウスからなる群から選択され、
前記出力装置（１１８）が、ビデオディスプレイ装置、プリンタ、およびオーディオ装置からなる群から選択される、請求項２に記載の方法。
前記ハイパーバイザの前記アイデンティティ、前記ドライバシムの前記アイデンティティ、および前記ユーザインターフェイスの前記アイデンティティが、前記ハイパーバイザ用の前記ポリシ、前記ドライバシム用の前記ポリシ、および前記ユーザインターフェイス用の前記ポリシにそれぞれ一致するかどうかについての、人間が知覚できる指示を提供すること（７２２）は、
前記ハイパーバイザの前記アイデンティティ、前記ドライバシムの前記アイデンティティ、および前記ユーザインターフェイスの前記アイデンティティのすべてが、前記ハイパーバイザ用の前記ポリシ、前記ドライバシム用の前記ポリシ、および前記ユーザインターフェイス用の前記ポリシにそれぞれ一致する場合に人間が知覚できる第１の指示を提供すること、
前記ハイパーバイザの前記アイデンティティ、前記ドライバシムの前記アイデンティティ、および前記ユーザインターフェイスの前記アイデンティティのうちの少なくとも１つが、前記ハイパーバイザ用の前記ポリシ、前記ドライバシム用の前記ポリシ、および前記ユーザインターフェイス用の前記ポリシそれぞれに一致しない場合に人間が知覚できる第２の指示を提供すること
を含み、前記人間が知覚できる第１の指示は、前記人間が知覚できる第２の指示とは異なる、請求項１に記載の方法。
前記ハイパーバイザ用の前記ポリシおよび前記ドライバシム用の前記ポリシが、前記ユーザインターフェイス（１５０）と前記信頼性のある実行ファイル（３１２）との間の前記信頼性のあるパス（１５２）の一部ではないコンポーネント内に記憶される、請求項１に記載の方法。
前記ハイパーバイザ（３１６）および前記ドライバシム（３１４）がコンピュータによって実装され、前記ハイパーバイザ用の前記ポリシおよび前記ドライバシム用の前記ポリシが、前記ハイパーバイザおよび前記ドライバシムが実装される前記コンピュータから離れた装置内に記憶される、請求項１に記載の方法。
前記ユーザインターフェイス用の前記ポリシが、前記ドライバシム内に記憶される、請求項１に記載の方法。
前記信頼性のある実行ファイルのアイデンティティを測定すること（８１０）、
前記信頼性のある実行ファイルの前記アイデンティティの前記測定値を、前記信頼性のある実行ファイル用のポリシと比較すること（８１２）
をさらに含む、請求項１に記載の方法。
前記ドライバシムの前記アイデンティティを測定すること（７１４）、および前記ドライバシムの前記アイデンティティの前記測定値を比較すること（７１６）は、
前記ハイパーバイザの前記アイデンティティを測定した（７１０）後に、および前記ハイパーバイザの前記アイデンティティの前記測定値を比較した（７１２）後に実行され、
前記信頼性のある実行ファイルの前記アイデンティティを測定すること（８１０）、および前記信頼性のある実行ファイルの前記アイデンティティの前記測定値を比較すること（８１２）は、
前記ドライバシムの前記アイデンティティを測定した（７１４）後に、および前記ドライバシムの前記アイデンティティの前記測定値を比較した（７１６）後に実行される、請求項８に記載の方法。
前記ハイパーバイザの前記アイデンティティを測定すること（７１０）が、前記ハイパーバイザの前記アイデンティティの前記測定値を証明することを含み、
前記ドライバシムの前記アイデンティティを測定すること（７１４）が、前記ドライバシムの前記アイデンティティの前記測定値を証明することを含み、
前記ユーザインターフェイスの前記アイデンティティを測定すること（７１８）が、前記ユーザインターフェイスの前記アイデンティティの前記測定値を証明することを含む、請求項１に記載の方法。
前記ハイパーバイザの前記アイデンティティの前記測定値を証明することは、ソフトウェアベースの証明であり、
前記ドライバシムの前記アイデンティティの前記測定値を証明することは、ソフトウェアベースの証明であり、
前記ユーザインターフェイスの前記アイデンティティの前記測定値を証明することは、ソフトウェアベースの証明である、請求項１０に記載の方法。
前記ユーザインターフェイスと前記ハイパーバイザとの間の前記信頼性のあるパス１５２内の追加コンポーネントのアイデンティティを測定すること（９１０）、
前記ユーザインターフェイスと前記ハイパーバイザとの間の前記信頼性のあるパス１５２内の前記追加コンポーネントの前記アイデンティティの前記測定値を、前記コンポーネント用のポリシと比較すること（９１２）
をさらに含む、請求項１に記載の方法。
前記ユーザインターフェイスと前記ハイパーバイザとの間の前記追加コンポーネントが、メモリコントローラハブ、入出力コントローラハブ、グラフィックスコントローラ、ＵＳＢコントローラ、専用キーボードコントローラ、および前記ユーザインターフェイスと前記ハイパーバイザとの間のバスからなる群から選択される、請求項１２に記載の方法。
前記追加コンポーネント用の前記ポリシが、前記ユーザインターフェイスと前記信頼性のある実行ファイルとの間の前記信頼性のあるパスの一部ではないコンポーネント内に記憶される、請求項１２に記載の方法。
前記追加コンポーネントがコンピュータによって実装され、前記追加コンポーネント用の前記ポリシが、前記追加コンポーネントが実装される前記コンピュータから離れた装置内に記憶される、請求項１２に記載の方法。
前記ハイパーバイザの前記アイデンティティ、前記ドライバシムの前記アイデンティティ、および前記ユーザインターフェイスの前記アイデンティティのうちの少なくとも１つが、前記ハイパーバイザ用の前記ポリシ、前記ドライバシム用の前記ポリシ、および前記ユーザインターフェイス用の前記ポリシそれぞれに一致しない場合に前記人間が知覚できる第２の指示を提供した後に、
自らのポリシに一致しない前記ハイパーバイザ、前記ドライバシム、および前記ユーザインターフェイスの少なくとも１つを既知の良好な状態に復元すること（１０１０）
をさらに含む、請求項４に記載の方法。
前記ハイパーバイザの前記アイデンティティが前記ハイパーバイザ用の前記ポリシに一致すると判定すること（１１１０）、
前記ハイパーバイザの前記アイデンティティが前記ハイパーバイザ用の前記ポリシに一致すると判定した後に、前記ドライバシムの前記アイデンティティが、前記ドライバシム用の前記ポリシに一致するかどうかを判定すること（１１１２）、
前記ドライバシムの前記アイデンティティが前記ドライバシム用の前記ポリシに一致しない場合、前記ドライバシムを既知の良好な状態に復元すること（１１１４）、
前記ドライバシムの前記アイデンティティが前記ドライバシム用の前記ポリシに一致しない場合、前記ドライバシムを既知の良好な状態に復元した後に、前記ユーザインターフェイスの前記アイデンティティが、前記ユーザインターフェイス用の前記ポリシに一致するかどうかを判定すること（１１１６）、
前記ユーザインターフェイスの前記アイデンティティが前記ユーザインターフェイス用の前記ポリシに一致しない場合、前記ユーザインターフェイスを既知の良好な状態に復元すること（１１１８）
をさらに含む、請求項１６に記載の方法。
前記ドライバシムの前記アイデンティティが前記ドライバシム用の前記ポリシに一致しない場合、前記ユーザインターフェイスの前記アイデンティティが、前記ユーザインターフェイス用のポリシに一致しないと想定される、請求項１７に記載の方法。
前記ハイパーバイザ、前記ドライバシム、および前記ユーザインターフェイスの少なくとも１つを既知の良好な状態に復元した後に、
既知の良好な状態に復元した前記ハイパーバイザ、前記ドライバシム、および前記ユーザインターフェイスの少なくとも１つの前記アイデンティティを測定すること（１２１０）、
既知の良好な状態に復元した前記ハイパーバイザ、前記ドライバシム、および前記ユーザインターフェイスの少なくとも１つの前記アイデンティティの前記測定値を、前記ハイパーバイザ、前記ドライバシム、および前記ユーザインターフェイスの前記少なくとも１つのための対応するポリシと比較すること（１２１２）
をさらに含む、請求項１６に記載の方法。
前記ハイパーバイザの前記アイデンティティが前記ハイパーバイザ用の前記ポリシに一致すると判定すること（１３１０）、
ＴＰＭ装置が損なわれていると判定すること（１３１２）
をさらに含む、請求項１に記載の方法。
前記ＴＰＭが損なわれていると判定した（１３１２）後に、
前記ＴＰＭ装置を既知の良好な状態に戻すこと（１３１４）
をさらに含む、請求項２０に記載の方法。
前記ハイパーバイザから前記ＴＰＭ装置に命令を送った後、
前記ＴＰＭ装置内の既存の鍵を破壊すること（１３１６）、
前記ＴＰＭ装置内の新たな鍵を作成すること（１３１８）
をさらに含む、請求項２１に記載の方法。
前記信頼性のあるパスが信頼性のあるシェルを含み、
前記信頼性のあるシェルのアイデンティティを測定すること（１４１０）、
前記信頼性のあるシェルの前記アイデンティティの前記測定値を、前記信頼性のあるシェル用のポリシと比較すること（１４１２）
をさらに含む、請求項１に記載の方法。
前記信頼性のあるシェル用の前記ポリシが、前記信頼性のあるパスの外側に記憶される、請求項２３に記載の方法。
信頼性のあるシェルがコンピュータによって実装され、前記信頼性のあるシェル用のポリシが、前記信頼性のあるシェルが実装される前記コンピュータから離れた装置内に記憶される、請求項１に記載の方法。
前記ハイパーバイザの前記アイデンティティ、前記ドライバシムの前記アイデンティティ、および前記ユーザインターフェイスの前記アイデンティティが、前記ハイパーバイザ用の前記ポリシ、前記ドライバシム用の前記ポリシ、および前記ユーザインターフェイス用の前記ポリシにそれぞれ一致するかどうかについての、人間が知覚できる指示を提供した後に、
前記信頼性のある実行ファイルを実行すること（７２４）
をさらに含む、請求項１に記載の方法。
前記信頼性のある実行ファイルを実行した後に、
前記信頼性のある実行ファイルの前記実行を一時停止すること（１５１０）、
前記信頼性のある実行ファイルが一時停止されたという、人間が知覚できる指示を提供すること（１５１２）
をさらに含む、請求項２６に記載の方法。
前記信頼性のある実行ファイルを実行する前に、且つ前記ハイパーバイザの前記アイデンティティ、前記ドライバシムの前記アイデンティティ、および前記ユーザインターフェイスの前記アイデンティティが、前記ハイパーバイザ用の前記ポリシ、前記ドライバシム用の前記ポリシ、および前記ユーザインターフェイス用の前記ポリシにそれぞれ一致するかどうかについての、人間が知覚できる指示を提供した後に、
前記信頼性のある実行ファイルを実行する確認を示す入力を人間のユーザから受け取ること（１６１０）
をさらに含む、請求項２６に記載の方法。
コンピュータであって、
プロセッサ（１１２）と、
前記プロセッサ（１１２）に接続されるユーザインターフェイス（１５０）と、
前記プロセッサ（１１２）に接続され、且つ前記プロセッサ（１１２）によって実行されるとき、前記プロセッサ（１１２）にコンピューティングプラットフォームを作成させるコンピュータ可読命令を記憶するメモリ（１１４）であって、
ハイパーバイザ（３１６）、およびドライバシム（３１４）を記憶し、
前記ユーザインターフェイス（１５０）と前記プロセッサ（１５２）との間の信頼性のあるパス（１５２）であって、前記ハイパーバイザ（３１６）および前記ドライバシム（３１４）を含む、前記信頼性のあるパス（１５２）とを有する、前記メモリ（１１４）と、
前記プロセッサ（１１２）に接続され、且つプロセッサ（１２２）およびメモリ（１２４）を含む検証装置（１２０）であって、前記検証装置（１２０）の前記メモリ（１２４）は、コンピュータ可読命令と、前記ハイパーバイザ（３１６）用のポリシと、前記ドライバシム（３１４）用のポリシとを含む、前記検証装置（１２０）と
を備えるコンピュータであって、
前記コンピュータ（１１０）の前記プロセッサ（１１２）によって実行されるとき、前記コンピュータ（１１０）の前記メモリ（１１４）内の前記コンピュータ可読命令が、
信頼性のある実行ファイルを実行する要求を示す信号を受け取ること（５１０）、
前記信頼性のある実行ファイルを実行する前記要求を示す前記信号を受け取った後に、前記ハイパーバイザと前記検証装置との間の安全な接続を認証すること（５１２）、
前記ハイパーバイザの少なくとも一部分のアイデンティティを測定すること（５１４）、
前記ハイパーバイザの前記アイデンティティの前記測定値を前記検証装置に送ること（５１６）、
前記ドライバシムの少なくとも一部分の前記アイデンティティを測定すること（５１８）、
前記ドライバシムの前記アイデンティティの前記測定値を前記検証装置に送ること（５２０）、
前記ユーザインターフェイスの少なくとも一部分の前記アイデンティティを測定すること（５２２）、
前記ユーザインターフェイスの前記アイデンティティの前記測定値を前記ユーザインターフェイス用のポリシと比較すること（５２４）
を前記コンピュータ（１１０）の前記プロセッサ（１１２）に実行させ、
前記検証装置（１２０）内の前記プロセッサ（１２２）によって実行されるとき、前記検証装置（１２０）の前記メモリ（１２４）内の前記コンピュータ可読命令が、
前記コンピュータ内の前記プロセッサから前記ハイパーバイザの前記測定値を受け取ること（６１０）、
前記検証装置内に記憶される前記ハイパーバイザ用の前記ポリシを、前記検証装置が受け取る前記ハイパーバイザの前記測定値と比較すること（６１２）、
前記コンピュータ内の前記プロセッサから前記ドライバシムの前記測定値を受け取ること（６１４）、
前記検証装置内に記憶される前記ドライバシム用の前記ポリシを、前記検証装置が受け取る前記ドライバシムの前記測定値と比較すること（６１６）
を前記検証装置（１２０）内の前記プロセッサ（１２２）に実行させ、
前記認証すること（５１２）、前記ハイパーバイザの少なくとも一部分の前記アイデンティティを測定すること（５１４）、前記ハイパーバイザの前記アイデンティティの前記測定値を前記検証装置に送ること（５１６）、前記ドライバシムの少なくとも一部分の前記アイデンティティを測定すること（５１８）、前記ドライバシムの前記アイデンティティの前記測定値を前記検証装置に送ること（５２０）、前記ユーザインターフェイスの少なくとも一部分の前記アイデンティティを測定すること（５２２）、前記ユーザインターフェイスの前記アイデンティティの前記測定値を前記ユーザインターフェイス用のポリシと比較すること（５２４）、前記コンピュータ内の前記プロセッサから前記ハイパーバイザの前記測定値を受け取ること（６１０）、前記検証装置内に記憶される前記ハイパーバイザ用の前記ポリシを、前記検証装置が受け取る前記ハイパーバイザの前記測定値と比較すること（６１２）、前記コンピュータ内の前記プロセッサから前記ドライバシムの前記測定値を受け取ること（６１４）、および前記検証装置内に記憶される前記ドライバシム用の前記ポリシを、前記検証装置が受け取る前記ドライバシムの前記測定値と比較すること（６１６）が、前記信頼性のある実行ファイルを実行する前記要求を示す前記信号を受け取ること（５１０）の後に、かつ前記コンピュータ（１１０）をリブートすることなしに実行される、
コンピュータ。