JP2013539106A - セキュア環境における高速不揮発性ストレージの提供 - Google Patents

セキュア環境における高速不揮発性ストレージの提供 Download PDF

Info

Publication number
JP2013539106A
JP2013539106A JP2013524106A JP2013524106A JP2013539106A JP 2013539106 A JP2013539106 A JP 2013539106A JP 2013524106 A JP2013524106 A JP 2013524106A JP 2013524106 A JP2013524106 A JP 2013524106A JP 2013539106 A JP2013539106 A JP 2013539106A
Authority
JP
Japan
Prior art keywords
secure
secure partition
storage
mode
partition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013524106A
Other languages
English (en)
Other versions
JP5705983B2 (ja
Inventor
シー. スワンソン,ロバート
ブルス,マリク
ジェイ. ジンマー,ヴィンセント
Original Assignee
インテル コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インテル コーポレイション filed Critical インテル コーポレイション
Publication of JP2013539106A publication Critical patent/JP2013539106A/ja
Application granted granted Critical
Publication of JP5705983B2 publication Critical patent/JP5705983B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Microcomputers (AREA)
  • Fittings On The Vehicle Exterior For Carrying Loads, And Devices For Holding Or Mounting Articles (AREA)

Abstract

一実施例では、プロセッサに接続される周辺コントローラは、ストレージコントローラを有することができる。このストレージコントローラは、周辺コントローラに接続される不揮発性ストレージへのアクセスを制御可能である。ストレージは、セキュアパーティションとオープンパーティションの双方を含むものであってもよく、ストレージコントローラは、プロセッサがセキュアモードにあるときに限ってセキュアパーティションへのアクセスを可能にすることができる。さらに、第三者のコードの実行などの非セキュア処理中、セキュアパーティションの可視性が阻止できる。他の実施例が開示及び請求される。

Description

コンピュータシステムは、システムソフトウェアの一部、すなわち、BIOS(Basic Input/Output System)の一部であるシステムマネージメントモード(SMM)と呼ばれるモードを実装する。このSMMは、システムマネージメントモードランダムアクセスメモリ(SMRAM)と呼ばれるシステムメモリにおける小型のプロテクトされた位置から実行される。一部のセキュリティアタックは、メモリへのアクセスに基づく。また、このメモリ領域はスペース制約されている。
このプロテクトされたメモリに加えて、各種パスワードなどの他のセキュア情報がシステムに存在する。システムパスワードの格納位置は、CMOS(Complementary Metal Oxide Semiconductor)又はホストにより可視的な不揮発性メモリに含まれ、ホスト(プロセッサやオペレーティングシステム(OS)など)がそれらを読むことができる。パスワード自体は暗号化可能であるが、悪意のあるユーザは依然としてそれらを削除できる。パスワードが削除又は無効になると、攻撃者は自らのパスワードを設定することが可能になり、各種アタックをもたらす。
TSEG(Top Segment of memory)は、BIOS SMMランタイム及び特定のデバッグ利用のために設けられたシステムメモリ(DRAM(Dynamic Random Access Memory)など)の一部である。現在のチップセットは、BIOS機能スペースのための4メガバイト(MB)を有する8メガバイトに当該スペースを制限してもよいが、将来のチップセットでは、これははるかに大きくなりうる。しかしながら、TSEG FRAMのすべてが、4ギガバイト(GB)以下のホストから取得される。これは、プラットフォーム上の貴重なリソースであり、BIOSは、それの利用を最小限にすることを求める(これは、32ビットOS及びPCI(Peripheral Component Interconnect)−ExpressTMシステムにとって特に希少であり、後者のメモリマップドI/Oは4GB以下のリソースのさらに多くを取得している)。さらに、セキュリティの懸念のため、BIOSは、SMRAM/TSEGの外部をコールしない。従って、TSEG RAMは、すべてのSMMベース機能の制限を提供する。さらに、BIOSフラッシュデバイスはOS/ホストにより可読であるため、セキュアなBIOS専用の不揮発性RAMストアはない。これはまた、セキュリティの懸念をもたらす。例えば、各種コンフィギュレーション情報が、低電力状態中に非プロテクトDRAMに格納され、これは、DRAMがセルフリフレッシュ状態にある間、悪意のあるユーザが非プロテクトデータにアクセスすることを可能にし得る。
図1は、本発明の一実施例によるシステムの一部のブロック図である。 図2は、図1のシステムのさらなるブロック図である。 図3は、本発明の実施例によるセキュアパーティションとして利用する高速不揮発性ストレージの一部の初期設定のフロー図である。 図4は、本発明の実施例によるセキュアパーティションを設定するためのさらなる処理の方法のフロー図である。 図5は、本発明の実施例によるセキュアパーティションを利用する方法のフロー図である。 図6は、本発明の実施例によるセキュアパーティションに対するアクセスリクエストを処理する方法のフロー図である。 図7は、本発明の一実施例によるシステムのブロック図である。 図8は、本発明の他の実施例によるシステムのブロック図である。
各実施例は、BIOS機能及びセキュアなログ処理のためのセキュア不揮発性(NV)ストアとして高速不揮発性(NV)メモリの一部を利用する。このように、各種ファームウェア、他のシステムソフトウェア、セキュアテーブル、パスワードなどがシステム実行中に格納可能である(また、関連するプロセッサの低電力状態中に状態を維持してもよい)。図1を参照して、本発明の一実施例によるシステムの一部のブロック図が示される。図1に示されるように、システム100は、サーバシステム、デスクトップシステム、ラップトップシステム、ネットブック、携帯電話、スマートフォン、モバイルインターネットデバイスなどの何れかのタイプのコンピュータシステムであってもよい。図示されるように、システム100は、命令を実行するための1以上の処理コアを含む中央処理ユニット(CPU)110を有する。図示されるように、サーバなどのマルチプロセッサシステムの実現形態では、複数のリンクが、1つのプロセッサソケットであるCPU110を、同様に設定可能な他のプロセッサソケットに接続するため設けられてもよい。プロセッサコアに加えて、例えば、電力管理機能、パフォーマンスモニタリングなどの各種処理を扱うCPUの他のロジックであってもよい統合メモリコントローラ(IMC)や非コアロジックなどの他の各種回路がCPU内に含まれてもよい。
図示されるように、CPU110は、リンク115を介し周辺コントローラハブ(PCH)120に接続される。一実施例では、リンク115は、本発明の範囲はこれに限定されるものでないが、ダイレクトメディアインタフェース(DMI)リンクであってもよい。PCH120は、PCHに接続可能なシステムの各種周辺コンポーネントのためのインタフェースを提供する。例えば、各種入出力(IO)デバイス、メモリデバイスなどがPCH120に接続されてもよい。図1の実施例では、このような1つのデバイスは、BIOSイメージ及び他のシステムファームウェアを格納可能なフラッシュメモリ130などの不揮発性ストレージであってもよい。当該メモリとの通信を可能にするため、SPI(Serial Peripheral Interface)125は、フラッシュメモリ130との通信の制御及び実現を提供する。
さらに図示されるように、PCH120はさらに、他のストレージデバイス、すなわち、不揮発性ストレージ140との制御及び通信を提供するストレージコントローラ128を有してもよい。一実施例では、ストレージコントローラ128は、セキュアパーティションに提供される前に、任意的にデータを暗号化可能である(また、当該パーティションから読み出すときに暗号化されたデータを解読可能である)小型の汎用プロセッサコアとすることができる。このように、NVRAMチップがベースボードから破棄され、読み出しを防ぐことができる。各種実施例では、NVストレージ140は、ユーザレベルアプリケーションなどの実行中に迅速な保存処理を可能にするため、フラッシュドライブなどのアプリケーション最適化ストレージであってもよい。すなわち、NVストレージ140は、アプリケーション中に利用される情報の迅速なキャッシュのために利用可能な、いわゆる、ソリッドステートストレージデバイスとして機能する。図示されるように、不揮発性ストレージ140は、通常のシステム処理中に当該ホストの利用のために利用可能なオープン領域140を有する。しかしながら、図2に関して説明されるように、NVストレージ140はさらに、ホストの利用から隠されたままにすることが可能なセキュアパーティションを含むものであってもよい。すなわち、セキュアパーティションは、システムがSMMなどのセキュア処理モードにない場合、可視的であることが阻止されてもよい。
図2を参照して、図1のシステムの他のブロック図が示される。ここで、システムがSMMなどのプロテクトモードにあるとき、それの可視的なセキュアパーティション140を有するNVストレージ140が示される。すなわち、CPU110がSMMモードに入るとき、図2に示されるように、それは、信号118をPCH120に送信する。各種実施例では、当該信号は、システムマネージメントインタラプト(SMI)信号又はバーチャルレガシワイヤ(VLW)信号であってもよい。他の実施例は、SMMモード中にのみレジスタが変更されることを可能にし、これにより、VLWメッセージを介し実現される同一のセキュリティ機構を提供するSMMモードにおけるリード・ライト(RW)として定義されるストレージコントローラなどのコンフィギュレーションレジスタに設定されるときに限って可視的であるセキュアな隠された部分を提供する。このVLW又は対応するSMI信号は、CPU処理コアが現在SMIの内部にあることを示す。この状態情報は、PCH120の内部に格納される。ストレージコントローラ128は、内部のSMM状態遷移の指示を受信し、セキュアパーティション140bを開く。SMIのエンドにおいて、BIOSは、セキュアパーティションを再ロックするため、PCH120のSMI(EOS)ビットのエンドをクリアする。これが実行されるとき、ストレージコントローラ128は当該パーティションを隠す。従って、セキュアパーティションは、後述されるように、BIOSがSMMプロテクションの外部でホストによりアドレッシングされることを可能にすることを選択しない場合、SMI中に限って可視的である。
さらに、ストレージコントローラ128は、セキュアパーティションの少なくとも一部の特権をロックするため設けられる。これはさらに、後述されるように、セキュアパーティションの設定中にBIOS SMMハンドラにより規定されるようなセクタへのホストの読み出し専用アクセスを可能にする。一部の実施例では、これらの領域は、エラーログ、BIOSアップデート、データテーブルなどを格納するため、100キロバイトから数メガバイトまでの範囲とすることができる。本発明の範囲はこれに限定されるものでないが、BIOSイメージ、他のシステムファームウェア又はソフトウェア、システムパスワード及び他のセキュア情報などの各種セキュア情報がセキュアパーティションに格納可能である。図1及び2の実施例では当該ハイレベルビューにより示されたが、本発明の範囲はこれに限定されず、各種実施例では、さらなるコンポーネントがシステムに存在しうることが理解されるであろう。
初期的なプラットフォームのパワーオンセルフテスト(POST)中、BIOSは、セキュアなSMMの利用のためにNVストレージ140の一部を設定可能である。図3を参照して、本発明の実施例によるセキュアパーティションとして利用される高速不揮発性ストレージの一部の初期的な設定のフロー図が示される。図3に示されるように、方法200は、不揮発性ストレージに接続される周辺コントローラハブのストレージコントローラを用いて実現されてもよい。図示されるように、方法200は、プラットフォームリセット信号を受信することによって開始される(ブロック210)。当該信号に応答して、ストレージコントローラは、不揮発性ストレージを初期化する(ブロック220)。ストレージコントローラは、典型的には、ウェアレベリング、スペアリング、ブロックマイグレーション及びコンパクションなどの信頼性及びパフォーマンスのある各種機能を実現するNANDフラッシュなどの実際のストレージメディアを管理するための機能及び命令処理のためのホストインタフェースを管理するための計算タスク系列及びリアルタイムオペレーティングシステムを有する埋め込み処理サブシステムであってもよいことに留意されたい。この埋め込みサブシステムは、ホストからのリード/ライト命令の受付前のリセット指示に応答して、自らを初期化する。次に、セキュアパーティションがすでに作成されたか判断される(ダイヤモンド225)。例えば、セキュアパーティションが存在するか示すための指示が、ストレージコントローラの制御レジスタに設定されてもよい。このような部分が生成されていない場合、制御はブロック230に移行し、BIOSはセキュアパーティションを生成することが可能とされる。そうでない場合、制御はブロック240に移行し、BIOS SMMハンドラなどを介しBIOSモードにおいて、以前に生成されたセキュアパーティションが再提供可能である。すなわち、各種実施例では、不揮発性セキュアパーティションがBIOSにより生成されると、BIOS SMMハンドラのみが当該パーティションを再提供可能である。
制御は次にブロック250に移行し、システム処理は、例えば、何れかのプリブートアクティビティを終了し、オペレーティングシステムに制御オフをわたすことによって、継続されてもよい。当該セキュアパーティションの設定後、システムのセキュアモードにおいてエージェントが動作することによってのみ可視的となるように、それは隠されてもよい。従って、各種実施例では、当該セキュアパーティションへのアクセスは、システムがシステムマネージメントモードにあるときに限って可能とされてもよい。これは、例えば、システムがシステムマネージメントモードにあるときに設定されるPCHの制御レジスタのフラグなどによって決定されてもよい。しかしながら、アクティブなSMMを示すための他の何れかの手段が、他の実施例により実現可能である。例えば、SMMインタプロセッサインタラプト(IPI)などのCPU専用システムマネージメントモードインタラプトは、ホストCPUがSMMにあることを示すのに利用可能であり、CPUローカルアドバンストプログラマブルインタラプトコントローラ(APIC)は、当該“in−smm”指示をPCHに伝えることが可能である。
セキュア情報のパーティションへの格納を含む、セキュアパーティションの設定に関するさらなる詳細が、本発明の実施例によるセキュアパーティションを設定するためのさらなる処理の方法のフロー図である図4に関して示すことが可能である。図4に示されるように、方法300は、POST BIOSの開始に応答して開始される。まず、セキュアパーティションがすでにセットアップされているか判断される(ダイヤモンド320)。設定されていない場合、制御はブロック330に移行し、セキュアパーティションがセットアップ及び設定される。より詳細には、所望の情報が、各種位置からの情報を含むセキュアパーティションに格納される。例えば、一般性を失うことなく、BIOSはデータを何れかからのパーティションにプッシュできる。何れの情報を格納すべきかの判断は、所与の信頼機構に基づきBIOS次第であってもよい。例えば、セキュアサービスパーティションは、セキュアなインタプロセッサマネージメントインタフェース(IPMI)−KCS/ブロックトランスファ(BT)通信経路を介して、ベースボードマネージメントコントローラ(BMC)からBIOSにロード可能である。さらに、セキュアパーティションの設定を有効にするため、セキュアパーティションのベース及びリミットレジスタが、これに従って設定されてもよい。これらのレジスタは、PCHのストレージコントローラに配置されるか、又はアクセス可能であってもよい。例えば、ベースレジスタは、セキュアパーティションの開始に対応する位置に設定されてもよい(ホストに自由にアクセス可能な不揮発性ストレージのセグメントの先頭にあってもよい)。さらに、リミットレジスタはセキュアパーティションのトップエンドに設定されてもよい。上述されるように、各種処理中、これらのベース及びリミットレジスタは、SMM処理中に再設定されてもよい。
図4をさらに参照して、制御は次にブロック340に移行し、BIOSはSMIイベント中にセキュアなストレージパーティションを利用可能である。本発明の範囲はこれに限定されないが、SMMコアは、当該ストレージを用いて、UEFI(Unified Extensible Firmware Interface)プレ初期化(PI)SMMドライバ実行(DXE)設計のため、さらなるSMMドライバ/ハンドラ/機能を格納することができる。ここでは、各SMMハンドラは、当該ストレージから“ロード”可能なPE/COFF(Portable Executable and Common Object File Format)実行可能イメージである。また、SMMドライバは、当該領域を用いてエラーログを格納可能である。これらは、PCI、メモリシングルビットエラー(SBE)及びマルチビットエラー(MBE)を含むことができる。当該領域はまた、UEFI PIファームウェアボリュームなどのフルシステムBIOSアップデートを格納可能であり、高可用性サーバのため、リセット数は制限され、これにより、BIOSアップデート系列は、ホストからSMMドライバに送信可能であり、次のリセットにわたってアプリケーション用のSMMセキュアストレージにキュー/格納可能である。当該領域はまた、ACPI(Advanced Configuration and Power Interface)システム状態S5においてBIOSにより格納され、プラットフォーム設定が“変更”されなかったときにS3再スタート又は後続のS4/S5においてリプレイ又はリプログラミングされるチップセット設定を含みうる。当該領域はまた、SMBIOS及びACPIテーブルを格納するのに利用され、これにより、“ギャップ”中に、信頼されていない第三者のドライバ/ローダが実行されると、テーブルはプロテクト可能であり、及び/又はIntelTM Trusted Execution Technology(TXT) SENTERイベントにより開始されるものなど、信頼された環境が開始すると、テーブルはBIOS SMMにより信頼された環境のためメモリにコピー可能である。任意的には、BIOSは、セキュアパーティションをSMI−to−SMIベースによりホストにオープンにしたままにすることができる。すなわち、一部の利用モデルでは、セキュアパーティションは、1つのSMMモードの終了時にオープンにされたままであってもよい。しかしながら、このような実現形態では、定期的なSMMモードは、以下のSMMにおいて、セキュアパーティションが信頼されていないエージェントによるそれへの自由なアクセスを阻止するためロック可能である。さらに図4を参照して、最終的に制御はブロック360にわたされ、OSはブートされる。
このような設定処理後、以降のSMI信号に対して、BIOS SMMハンドラが呼び出され、すべてのコアがSMMランデブに入るようにしてもよい。図5を参照して、本発明の実施例によりセキュアパーティションを利用する方法のフロー図が示される。図5に示されるように、方法400は、SMMハンドラが呼び出されると開始される(ブロック410)。その後、制御はブロック420に移行し、BIOSハンドラはセキュアパーティションを利用する。例えば、高速で各種処理を実現するため当該高速メモリは、BIOSイメージの一部を実行するため、又はパスワードなどのセキュア情報にアクセスするためアクセス可能である。
セキュアパーティションのこのような利用後、制御はダイヤモンド430に移行し、セキュアパーティションがホストにオープンなままにできるか判断される。オープンなままにできる場合、ブロック440に示されるように、パーティションはホストに可視的にされたままである。そうでない場合、制御はブロック450に移行し、セキュアパーティションはロックされる。例えば、不揮発性ストレージに関するストレージコントローラの制御レジスタにあるフラグは、セキュアパーティションがロックされていることを示すよう設定されてもよい。従って、不揮発性ストレージの当該部分は、ホストのアクセス又はさらにビューに対して非可視的である。
ブロック440と450の双方から、制御はブロック460に移行し、SMI(EOS)インジケータのエンドが設定され、制御はブロック470に移行し、BIOS SMMハンドラがOSに制御を返す。他の実施例では、OSに制御を返す代わりに、制御はシステムの他のファームウェアなどの他のシステムソフトウェアに返されてもよい。図5の実施例において当該実現形態により示されたが、本発明の範囲がこれに限定されないことが理解されるであろう。
上述されるように、当該セキュアパーティションは、ホストの動作モード中にアクセス又はさらに閲覧からプロテクトされてもよい。図6を参照して、本発明の実施例によるセキュアパーティションに対するアクセスリクエストを処理するための方法のフロー図が示される。図6に示されるように、方法500は、ランタイムフローの実行中に開始される。当該フロー中、ブロックリード/ライトリクエストが、不揮発性ホストメモリの先頭の上にある高速不揮発性ストレージの位置に受信される(ブロック520)。次に、システムがSMMモードなどのセキュアモードにあるか判断される(ダイヤモンド530)。上述されるように、当該判定は、PCHにあるSMMフラグを参照して行われてもよい。システムがセキュアモードにない場合、制御はブロック535に移行し、当該リクエストは利用不可であるとして又は欠落したストレージ位置に対するものであるとして拒絶される。
他方、システムがセキュアモードにあると判断される場合、制御はダイヤモンド530から540に移行し、当該リクエストが、ベース及びリミットレジスタを参照して決定されるようなセキュアパーティション範囲内に属するか判断される。セキュアパーティション範囲内に属さない場合、制御は上述されたブロック535に移行する。セキュアパーティション範囲内に属する場合、有効なリクエストがセキュアパーティション内にある場合、制御はダイヤモンド550に移行する。そこでは、当該リクエストがリードリクエストであるか判断される。リードリクエストである場合、当該リードリクエストは、セキュアパーティションの位置からデータにアクセスし、セキュアパーティションにある間に当該データが暗号化されていた場合には当該データを解読することによって完了する。すなわち、セキュアパーティションに格納される情報のさらなるプロテイションを提供する各種実現形態では、情報の暗号化が行われる。
他方、当該リクエストがライトリクエストである場合、制御はブロック560に移行し、当該データはセキュアパーティションに格納される。再び、実現形態が暗号化を提供している場合、ストレージコントローラは、セキュアパーティションへのそれの格納前にデータを暗号化してもよい。図6の実施例にでは当該実現形態が示されたが、本発明の範囲がこれに限定されないことが理解されるであろう。
各実施例は多数の異なるシステムタイプにより実現されてもよい。図7を参照して、本発明の実施例によるシステムのブロック図が示される。図7に示されるように、マルチプロセッサシステム600は、ポイント・ツー・ポイントインタコネクトシステムであり、ポイント・ツー・ポイントインタコネクト650を介し接続される第1プロセッサ670及び第2プロセッサ680を有する。図7に示されるように、プロセッサ670,680のそれぞれは、可能性としてはより多くのコアがプロセッサにあってもよいが、第1及び第2プロセッサコア(すなわち、プロセッサコア674a,674b及びプロセッサコア684a,684b)を含むマルチコアプロセッサであってもよい。
図7をさらに参照して、第1プロセッサ670はさらに、メモリコントローラハブ(MCH)672と、ポイント・ツー・ポイント(P−P)インタフェース676,678とを有する。同様に、第2プロセッサ680は、MCH682と、P−Pインタフェース686,688とを有する。図7に示されるように、MCH672,682は、これらのプロセッサを各自のメモリ、すなわち、各プロセッサにローカルに付属されるシステムメモリ(DRAMなど)の一部であってもよいメモリ632,634に接続する。第1プロセッサ670及び第2プロセッサ680はそれぞれ、P−Pインタコネクト652,654を介しチップセット690に接続されてもよい。図7に示されるように、チップセット690は、P−Pインタフェース694,698を有する。
さらに、チップセット690は、P−Pインタコネクト639によりハイパフォーマンスグラフィックスエンジン638とチップセット690とを接続するためのインタフェース692を有する。さらに、チップセット690は、本発明の実施例による1以上のセキュア又は隠されたパーティションを有することが可能な高速不揮発性ストレージであってもよいストレージ619とインタフェースをとるためのストレージコントローラであってもよいインタフェース695を有してもよい。さらに、チップセット690は、インタフェース696を介し第1バス616に接続されてもよい。図7に示されるように、各種入出力(I/O)デバイス614は、第1バス616と第2バス620とを接続するバスブリッジ618と共に、第1バス616に接続される。一実施例では、キーボード/マウス622、通信デバイス626、ディスクドライブなどのデータストレージユニット628又はコード630を有する他のマスストレージデバイスなどを含む各種デバイスが、第2バス620に接続されてもよい。さらに、オーディオI/O624が第2バス620に接続されてもよい。
上述されるように、各実施例は、携帯電話などのモバイルデバイスを含む他のタイプのシステムに搭載可能である。図8を参照して、本発明の他の実施例によるシステムのブロック図が示される。図8に示されるように、システム700は、モバイルデバイスであってもよく、各種コンポーネントを含むものであってもよい。図8のハイレベルビューに示されるように、当該デバイスの中央処理ユニットであってもよいアプリケーションプロセッサ710は、ストレージ715を含む各種コンポーネントと通信する。各種実施例では、ストレージ715は、プログラムとデータストレージ部分との双方を含むものであってもよく、本発明の実施例によるセキュアパーティションへのセキュアストレージを提供することが可能である。アプリケーションプロセッサ710はさらに、各種実施例では、実行時にディスプレイに出現可能なタッチキーパッドなどの1以上の入力デバイスとディスプレイとを含むものであってもよい入出力システム720に接続されてもよい。
アプリケーションプロセッサ710はまた、出力用の音声及びデータ通信などの信号を調整すると共に、入力された電話及び他の信号を調整するベースバンドプロセッサ730に接続される。図示されるように、ベースバンドプロセッサ730は、送信機能と受信機能との双方を可能にする送受信機740に接続される。さらに、送受信機740は、無線ワイドエリアネットワーク(3G又は4Gネットワークなど)及び/又は無線ローカルエリアネットワーク(IEEE802.11規格によるいわゆるWI−FITMネットワークやBLUETOOTH(登録商標)など)を介し、音声及びデータ信号を送受信可能な何れかのタイプのアンテナとすることが可能なアンテナ750と通信してもよい。図示されるように、システム700はさらに、モバイル環境における処理を可能にするための充電可能なバッテリを有する充電可能な電源725を有してもよい。図8の実施例では当該実現形態により示されたが、本発明の範囲はこれに限定されるものでない。
各実施例はコードにより実現されてもよいが、命令を実行するようシステムをプログラムするのに利用可能な命令を格納した記憶媒体に格納されてもよい。当該記憶媒体は、限定することなく、フロッピー(登録商標)ディスク、光ディスク、ソリッドステートドライブ(SSD)、CD−ROM(Compact Disk Read−Only Memory)、CD−RW(CD−Rewritable)及び光磁気ディスクを含む何れかのタイプのディスク、ROM(Read−Only Memory)、DRAM(Dynamic Random Access Memory)やSRAM(Static RAM)などのRAM、EPROM(Erasable Programmable ROM)、フラッシュメモリ、EEPROM(Electrically Erasable Programmable ROM)、磁気若しくは光カードなどの半導体デバイス、又は電子命令を格納するのに適した他の何れかのタイプの媒体を含むものであってもよい。
ストレージコントローラはSATA(Serial Advanced Technology Attachment)コントローラと共にPCHにおいて実現されてもよいため、各実施例は、ディスクドライブなどのマスストレージに暗号化されて情報の少なくとも一部を存続するための暗号化ハードドライブインタフェースなど、他の新たな技術により利用可能である。
本発明が限定数の実施例に関して説明されたが、当業者は、そこから多数の改良及び変形を理解するであろう。添付した請求項はこのようなすべての改良及び変形を本発明の真の趣旨及び範囲内に属するものとしてカバーすることが意図されている。

Claims (20)

  1. 命令を実行するプロセッサと、
    第1リンクを介し前記プロセッサに接続される周辺コントローラであって、前記周辺コントローラに接続される不揮発性ストレージを制御するストレージコントローラを有する前記周辺コントローラと、
    を有する装置であって、
    前記ストレージコントローラは、セキュアモードにおいて前記不揮発性ストレージのセキュアパーティションへのアクセスを可能にし、前記セキュアモード以外では前記セキュアパーティションの可視性を阻止する装置。
  2. 前記周辺コントローラはさらに、BIOS(Basic Input/Output System)を格納するフラッシュメモリとインタフェースをとるためのフラッシュインタフェースを有する、請求項1記載の装置。
  3. 前記BIOSの少なくとも一部は、システム処理中に前記セキュアパーティションに格納される、請求項2記載の装置。
  4. 少なくとも1つのシステムパスワードは、前記セキュアパーティションに格納される、請求項2記載の装置。
  5. 前記プロセッサは、前記セキュアモードへのエントリを示すため、システムマネージメントインタラプト(SMI)信号を前記周辺コントローラに送信し、
    前記ストレージコントローラは、前記SMI信号に応答して前記セキュアパーティションを開く、請求項1記載の装置。
  6. 前記ストレージコントローラは、前記セキュアパーティションへの格納前にデータを暗号化する、請求項5記載の装置。
  7. 前記不揮発性ストレージは、非セキュアモードにより実行されるアプリケーションのためのアプリケーション情報への高速キャッシュアクセスを提供する、請求項1記載の装置。
  8. 前記BIOSは、前記セキュアパーティションを生成し、前記ストレージコントローラの複数のバウンダリレジスタにおいて前記セキュアパーティションの領域を設定し、前記生成後に前記セキュアパーティションをロックする、請求項2記載の装置。
  9. 前記BIOSは、非セキュアモードにおいて前記セキュアパーティションの一部へのリードアクセスを可能にし、前記非セキュアモードにおいて前記一部へのライトアクセスを阻止する、請求項8記載の装置。
  10. システムの信頼されたモードの信頼されたコードを用いて、前記システムのファームウェアストレージから分離した前記システムの不揮発性ストレージのセキュアパーティションであって、信頼されない動作モード中は隠される前記セキュアパーティションを設定するステップと、
    前記信頼されたモードへのエントリを示すインタラプト信号に応答して、前記セキュアパーティションへのアクセスを可能にするステップと、
    前記信頼されたモード中に前記セキュアパーティションにアクセスし、前記セキュアパーティションに格納されている情報を用いて少なくとも1つの処理を実行するステップと、を有する方法。
  11. 前記不揮発性ストレージに接続されるストレージコントローラのコンフィギュレーションレジスタを介し前記信頼されないモードにおいて隠される前記セキュアパーティションを維持するステップをさらに有する、請求項10記載の方法。
  12. 前記信頼されたモードにおいて前記少なくとも1つの処理を実行した後、信頼されないコードが前記セキュアパーティションの少なくとも一部にアクセス可能となるように、前記信頼されないモードにおいて前記セキュアパーティションが可視的であり続けることを可能にするステップをさらに有する、請求項10記載の方法。
  13. 前記セキュアパーティションへのさらなるアクセスから前記信頼されないコードを阻止するため、前記インタラプト信号に続く次のインタラプト信号に対して前記セキュアパーティションをロックするステップをさらに有する、請求項12記載の方法。
  14. プロセッサに接続される周辺コントローラのストレージコントローラを介し前記不揮発性ストレージのオープンパーティションに信頼されないコードがアクセスすることを可能にし、前記ストレージコントローラを介し前記不揮発性ストレージのセキュアパーティションへのアクセスから前記信頼されないコードを阻止するステップをさらに有する、請求項10記載の方法。
  15. 前記周辺コントローラに接続されるファームウェアストレージにおいてファームウェアにアクセスし、前記ファームウェアストレージからよりも速い前記ファームウェアへのアクセスを可能にするため、前記セキュアパーティションの前記ファームウェアの少なくとも一部を格納するステップをさらに有する、請求項14記載の方法。
  16. 実行されるとシステムに、
    周辺コントローラに接続される不揮発性ストレージの位置に対するメモリアクセスリクエストを受信するステップとであって、前記不揮発性ストレージは、アプリケーションコードにアクセス可能な第1部分と、前記アプリケーションコードにアクセス不可であって、隠されている第2部分とを有する、前記受信するステップと、
    前記システムが信頼されたモードにあるか判断し、前記システムが信頼されたモードにある場合、前記メモリアクセスリクエストを実行するため、前記第2部分へのアクセスを可能にするステップと、
    前記システムが信頼されたモードにない場合、前記第2部分へのアクセスを阻止するステップと、を実行させる命令を有する非一時的なマシーン可読記憶媒体を有する物。
  17. 前記システムが信頼されたモードにない場合、前記不揮発性ストレージが利用不可であることを前記メモリアクセスリクエストの要求元に前記システムが通知することを可能にする命令をさらに有する、請求項16記載の物。
  18. 前記メモリアクセスリクエストがライトリクエストである場合、前記システムがデータを暗号化し、前記メモリアクセスリクエストのデータを前記第2部分に格納することを可能にする命令をさらに有する、請求項16記載の物。
  19. 前記メモリアクセスリクエストがリードリクエストである場合、前記メモリアクセスリクエストに応答して、前記システムが前記第2部分から取得したデータを解読することを可能にする命令をさらに有する、請求項18記載の物。
  20. 前記第2部分へのアクセスを阻止するステップは、前記メモリアクセスリクエストが欠落したストレージ位置に対するものであることを示すため、前記メモリアクセスリクエストの要求元にメッセージを送信することを含む、請求項16記載の物。
JP2013524106A 2010-08-06 2011-08-03 セキュア環境における高速不揮発性ストレージの提供 Expired - Fee Related JP5705983B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/852,303 US8539245B2 (en) 2010-08-06 2010-08-06 Apparatus and method for accessing a secure partition in non-volatile storage by a host system enabled after the system exits a first instance of a secure mode
US12/852,303 2010-08-06
PCT/US2011/046380 WO2012018889A2 (en) 2010-08-06 2011-08-03 Providing fast non-volatile storage in a secure environment

Publications (2)

Publication Number Publication Date
JP2013539106A true JP2013539106A (ja) 2013-10-17
JP5705983B2 JP5705983B2 (ja) 2015-04-22

Family

ID=45556970

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013524106A Expired - Fee Related JP5705983B2 (ja) 2010-08-06 2011-08-03 セキュア環境における高速不揮発性ストレージの提供

Country Status (8)

Country Link
US (1) US8539245B2 (ja)
EP (1) EP2601588B1 (ja)
JP (1) JP5705983B2 (ja)
KR (1) KR101518207B1 (ja)
CN (1) CN103119602B (ja)
AU (1) AU2011285762B2 (ja)
TW (1) TWI467383B (ja)
WO (1) WO2012018889A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015118631A (ja) * 2013-12-19 2015-06-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 情報処理装置、方法、及び、プログラム
CN109564555A (zh) * 2016-07-19 2019-04-02 赛普拉斯半导体公司 基于上下文的保护系统

Families Citing this family (108)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009019982A1 (de) * 2009-05-05 2010-11-18 Giesecke & Devrient Gmbh Verfahren zum Zugriff auf einen tragbaren Speicherdatenträger mit Zusatzmodul und tragbarer Speicherdatenträger
US8989705B1 (en) 2009-06-18 2015-03-24 Sprint Communications Company L.P. Secure placement of centralized media controller application in mobile access terminal
JP5506568B2 (ja) * 2010-06-25 2014-05-28 キヤノン株式会社 データ処理装置、データ処理装置のデータ処理方法、プログラム
CN102479302A (zh) * 2010-11-24 2012-05-30 鸿富锦精密工业(深圳)有限公司 密码保护系统及方法
US8843769B2 (en) * 2011-04-18 2014-09-23 Texas Instruments Incorporated Microcontroller with embedded secure feature
US8874935B2 (en) 2011-08-30 2014-10-28 Microsoft Corporation Sector map-based rapid data encryption policy compliance
US9143529B2 (en) 2011-10-11 2015-09-22 Citrix Systems, Inc. Modifying pre-existing mobile applications to implement enterprise security policies
US9043480B2 (en) 2011-10-11 2015-05-26 Citrix Systems, Inc. Policy-based application management
US8806570B2 (en) 2011-10-11 2014-08-12 Citrix Systems, Inc. Policy-based application management
US9280377B2 (en) 2013-03-29 2016-03-08 Citrix Systems, Inc. Application with multiple operation modes
US9215225B2 (en) 2013-03-29 2015-12-15 Citrix Systems, Inc. Mobile device locking with context
US20140032733A1 (en) 2011-10-11 2014-01-30 Citrix Systems, Inc. Policy-Based Application Management
US8892858B2 (en) 2011-12-29 2014-11-18 Intel Corporation Methods and apparatus for trusted boot optimization
US9152825B2 (en) * 2012-02-29 2015-10-06 Apple Inc. Using storage controller bus interfaces to secure data transfer between storage devices and hosts
US8712407B1 (en) 2012-04-05 2014-04-29 Sprint Communications Company L.P. Multiple secure elements in mobile electronic device with near field communication capability
US9027102B2 (en) 2012-05-11 2015-05-05 Sprint Communications Company L.P. Web server bypass of backend process on near field communications and secure element chips
US8862181B1 (en) 2012-05-29 2014-10-14 Sprint Communications Company L.P. Electronic purchase transaction trust infrastructure
US9282898B2 (en) 2012-06-25 2016-03-15 Sprint Communications Company L.P. End-to-end trusted communications infrastructure
US9066230B1 (en) 2012-06-27 2015-06-23 Sprint Communications Company L.P. Trusted policy and charging enforcement function
US8649770B1 (en) 2012-07-02 2014-02-11 Sprint Communications Company, L.P. Extended trusted security zone radio modem
US8667607B2 (en) * 2012-07-24 2014-03-04 Sprint Communications Company L.P. Trusted security zone access to peripheral devices
US8863252B1 (en) 2012-07-25 2014-10-14 Sprint Communications Company L.P. Trusted access to third party applications systems and methods
US9183412B2 (en) 2012-08-10 2015-11-10 Sprint Communications Company L.P. Systems and methods for provisioning and using multiple trusted security zones on an electronic device
US9215180B1 (en) 2012-08-25 2015-12-15 Sprint Communications Company L.P. File retrieval in real-time brokering of digital content
US8954588B1 (en) 2012-08-25 2015-02-10 Sprint Communications Company L.P. Reservations in real-time brokering of digital content delivery
US9015068B1 (en) 2012-08-25 2015-04-21 Sprint Communications Company L.P. Framework for real-time brokering of digital content delivery
US8752140B1 (en) 2012-09-11 2014-06-10 Sprint Communications Company L.P. System and methods for trusted internet domain networking
US20140108558A1 (en) 2012-10-12 2014-04-17 Citrix Systems, Inc. Application Management Framework for Secure Data Sharing in an Orchestration Framework for Connected Devices
US9516022B2 (en) 2012-10-14 2016-12-06 Getgo, Inc. Automated meeting room
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US20140109171A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Providing Virtualized Private Network tunnels
US20140109176A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Configuring and providing profiles that manage execution of mobile applications
US9971585B2 (en) 2012-10-16 2018-05-15 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
US20140108793A1 (en) 2012-10-16 2014-04-17 Citrix Systems, Inc. Controlling mobile device access to secure data
US20140109072A1 (en) 2012-10-16 2014-04-17 Citrix Systems, Inc. Application wrapping for application management framework
US9606774B2 (en) 2012-10-16 2017-03-28 Citrix Systems, Inc. Wrapping an application with field-programmable business logic
US9129071B2 (en) * 2012-10-24 2015-09-08 Texas Instruments Incorporated Coherence controller slot architecture allowing zero latency write commit
US9161227B1 (en) 2013-02-07 2015-10-13 Sprint Communications Company L.P. Trusted signaling in long term evolution (LTE) 4G wireless communication
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9104840B1 (en) 2013-03-05 2015-08-11 Sprint Communications Company L.P. Trusted security zone watermark
US8881977B1 (en) 2013-03-13 2014-11-11 Sprint Communications Company L.P. Point-of-sale and automated teller machine transactions using trusted mobile access device
US9613208B1 (en) 2013-03-13 2017-04-04 Sprint Communications Company L.P. Trusted security zone enhanced with trusted hardware drivers
US9049013B2 (en) 2013-03-14 2015-06-02 Sprint Communications Company L.P. Trusted security zone containers for the protection and confidentiality of trusted service manager data
US9049186B1 (en) 2013-03-14 2015-06-02 Sprint Communications Company L.P. Trusted security zone re-provisioning and re-use capability for refurbished mobile devices
US9191388B1 (en) 2013-03-15 2015-11-17 Sprint Communications Company L.P. Trusted security zone communication addressing on an electronic device
US9374363B1 (en) 2013-03-15 2016-06-21 Sprint Communications Company L.P. Restricting access of a portable communication device to confidential data or applications via a remote network based on event triggers generated by the portable communication device
US8984592B1 (en) 2013-03-15 2015-03-17 Sprint Communications Company L.P. Enablement of a trusted security zone authentication for remote mobile device management systems and methods
US9021585B1 (en) 2013-03-15 2015-04-28 Sprint Communications Company L.P. JTAG fuse vulnerability determination and protection using a trusted execution environment
US9355223B2 (en) 2013-03-29 2016-05-31 Citrix Systems, Inc. Providing a managed browser
US9369449B2 (en) 2013-03-29 2016-06-14 Citrix Systems, Inc. Providing an enterprise application store
US9985850B2 (en) 2013-03-29 2018-05-29 Citrix Systems, Inc. Providing mobile device management functionalities
US20140297922A1 (en) * 2013-03-29 2014-10-02 Nitin V. Sarangdhar Method and apparatus for managing serial peripheral interface (spi) flash
US8813179B1 (en) 2013-03-29 2014-08-19 Citrix Systems, Inc. Providing mobile device management functionalities
US10284627B2 (en) 2013-03-29 2019-05-07 Citrix Systems, Inc. Data management for an application with multiple operation modes
US8850049B1 (en) 2013-03-29 2014-09-30 Citrix Systems, Inc. Providing mobile device management functionalities for a managed browser
US20140297840A1 (en) 2013-03-29 2014-10-02 Citrix Systems, Inc. Providing mobile device management functionalities
US9454723B1 (en) 2013-04-04 2016-09-27 Sprint Communications Company L.P. Radio frequency identity (RFID) chip electrically and communicatively coupled to motherboard of mobile communication device
US9171243B1 (en) 2013-04-04 2015-10-27 Sprint Communications Company L.P. System for managing a digest of biographical information stored in a radio frequency identity chip coupled to a mobile communication device
US9324016B1 (en) 2013-04-04 2016-04-26 Sprint Communications Company L.P. Digest of biographical information for an electronic device with static and dynamic portions
US9838869B1 (en) 2013-04-10 2017-12-05 Sprint Communications Company L.P. Delivering digital content to a mobile device via a digital rights clearing house
US9443088B1 (en) 2013-04-15 2016-09-13 Sprint Communications Company L.P. Protection for multimedia files pre-downloaded to a mobile device
US9069952B1 (en) 2013-05-20 2015-06-30 Sprint Communications Company L.P. Method for enabling hardware assisted operating system region for safe execution of untrusted code using trusted transitional memory
US20140344570A1 (en) 2013-05-20 2014-11-20 Microsoft Corporation Data Protection For Organizations On Computing Devices
US9208105B2 (en) 2013-05-30 2015-12-08 Dell Products, Lp System and method for intercept of UEFI block I/O protocol services for BIOS based hard drive encryption support
US9560519B1 (en) 2013-06-06 2017-01-31 Sprint Communications Company L.P. Mobile communication device profound identity brokering framework
US10430608B2 (en) * 2013-06-14 2019-10-01 Salesforce.Com, Inc. Systems and methods of automated compliance with data privacy laws
US9183606B1 (en) 2013-07-10 2015-11-10 Sprint Communications Company L.P. Trusted processing location within a graphics processing unit
US9208339B1 (en) 2013-08-12 2015-12-08 Sprint Communications Company L.P. Verifying Applications in Virtual Environments Using a Trusted Security Zone
JP6129702B2 (ja) * 2013-09-24 2017-05-17 株式会社東芝 情報処理装置、情報処理システム、プログラム
US9185626B1 (en) 2013-10-29 2015-11-10 Sprint Communications Company L.P. Secure peer-to-peer call forking facilitated by trusted 3rd party voice server provisioning
US9191522B1 (en) 2013-11-08 2015-11-17 Sprint Communications Company L.P. Billing varied service based on tier
US9161325B1 (en) 2013-11-20 2015-10-13 Sprint Communications Company L.P. Subscriber identity module virtualization
US9118655B1 (en) 2014-01-24 2015-08-25 Sprint Communications Company L.P. Trusted display and transmission of digital ticket documentation
US10615967B2 (en) * 2014-03-20 2020-04-07 Microsoft Technology Licensing, Llc Rapid data protection for storage devices
US9226145B1 (en) 2014-03-28 2015-12-29 Sprint Communications Company L.P. Verification of mobile device integrity during activation
US9230085B1 (en) 2014-07-29 2016-01-05 Sprint Communications Company L.P. Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services
US10037286B2 (en) 2014-08-26 2018-07-31 Red Hat, Inc. Private partition with hardware unlocking
US9825945B2 (en) 2014-09-09 2017-11-21 Microsoft Technology Licensing, Llc Preserving data protection with policy
US9853812B2 (en) 2014-09-17 2017-12-26 Microsoft Technology Licensing, Llc Secure key management for roaming protected content
US9900295B2 (en) 2014-11-05 2018-02-20 Microsoft Technology Licensing, Llc Roaming content wipe actions across devices
US9779232B1 (en) 2015-01-14 2017-10-03 Sprint Communications Company L.P. Trusted code generation and verification to prevent fraud from maleficent external devices that capture data
US9838868B1 (en) 2015-01-26 2017-12-05 Sprint Communications Company L.P. Mated universal serial bus (USB) wireless dongles configured with destination addresses
KR101639059B1 (ko) * 2015-02-06 2016-07-12 주식회사 텔레칩스 저전력 데이터 보안 장치 및 이를 이용한 저전력 데이터 보안 방법
US9473945B1 (en) 2015-04-07 2016-10-18 Sprint Communications Company L.P. Infrastructure for secure short message transmission
US10474596B2 (en) 2015-06-25 2019-11-12 Intel Corporation Providing dedicated resources for a system management mode of a processor
US9853820B2 (en) 2015-06-30 2017-12-26 Microsoft Technology Licensing, Llc Intelligent deletion of revoked data
GB2540961B (en) * 2015-07-31 2019-09-18 Arm Ip Ltd Controlling configuration data storage
US20170039390A1 (en) * 2015-08-08 2017-02-09 James Alexander KING Methods and systems for privacy preserving third party extension
US9819679B1 (en) 2015-09-14 2017-11-14 Sprint Communications Company L.P. Hardware assisted provenance proof of named data networking associated to device data, addresses, services, and servers
US9900325B2 (en) 2015-10-09 2018-02-20 Microsoft Technology Licensing, Llc Passive encryption of organization data
KR102429906B1 (ko) * 2015-10-13 2022-08-05 삼성전자주식회사 스토리지 장치, 상기 스토리지 장치와 통신하는 호스트 및 상기 스토리지 장치를 포함하는 전자 장치
US10055296B2 (en) * 2015-10-30 2018-08-21 Quanta Computer Inc. System and method for selective BIOS restoration
US10282719B1 (en) 2015-11-12 2019-05-07 Sprint Communications Company L.P. Secure and trusted device-based billing and charging process using privilege for network proxy authentication and audit
US9817992B1 (en) 2015-11-20 2017-11-14 Sprint Communications Company Lp. System and method for secure USIM wireless network access
GB2545250B (en) * 2015-12-10 2019-06-12 Advanced Risc Mach Ltd Devices and method of operation thereof
TWI604304B (zh) 2016-03-28 2017-11-01 緯創資通股份有限公司 電子裝置及其檢測方法
US10678909B2 (en) * 2017-04-21 2020-06-09 Vmware, Inc. Securely supporting a global view of system memory in a multi-processor system
US10706143B2 (en) * 2017-05-19 2020-07-07 Intel Corporation Techniques for secure-chip memory for trusted execution environments
US10499249B1 (en) 2017-07-11 2019-12-03 Sprint Communications Company L.P. Data link layer trust signaling in communication network
KR102474596B1 (ko) * 2017-12-06 2022-12-05 삼성전자주식회사 반도체 장치
GB201806465D0 (en) 2018-04-20 2018-06-06 Nordic Semiconductor Asa Memory-access controll
GB201810653D0 (en) 2018-06-28 2018-08-15 Nordic Semiconductor Asa Secure peripheral interconnect
GB201810662D0 (en) 2018-06-28 2018-08-15 Nordic Semiconductor Asa Peripheral Access On A Secure-Aware Bus System
GB201810659D0 (en) 2018-06-28 2018-08-15 Nordic Semiconductor Asa Secure-Aware Bus System
WO2020252791A1 (zh) * 2019-06-21 2020-12-24 华为技术有限公司 一种集成芯片及数据处理方法
US11113188B2 (en) 2019-08-21 2021-09-07 Microsoft Technology Licensing, Llc Data preservation using memory aperture flush order
US11880718B2 (en) 2020-09-15 2024-01-23 Renesas Electronics Corporation System and method for generating secure partition regions in open and secure processor environments
US11461490B1 (en) 2020-09-23 2022-10-04 Cru Data Security Group, Llc Systems, methods, and devices for conditionally allowing processes to alter data on a storage device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004013563A (ja) * 2002-06-07 2004-01-15 Internatl Business Mach Corp <Ibm> コンピュータシステム、ユーザデータ記憶装置、記憶装置のデータ受け渡し方法、ユーザデータのバックアップ方法、およびプログラム
JP2004171569A (ja) * 2002-11-18 2004-06-17 Arm Ltd データ処理装置内のメモリへアクセスするための技術
JP2008052704A (ja) * 2006-08-28 2008-03-06 Lenovo Singapore Pte Ltd コンピュータおよび共有パスワードの管理方法

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5944821A (en) * 1996-07-11 1999-08-31 Compaq Computer Corporation Secure software registration and integrity assessment in a computer system
US6292874B1 (en) 1999-10-19 2001-09-18 Advanced Technology Materials, Inc. Memory management method and apparatus for partitioning homogeneous memory and restricting access of installed applications to predetermined memory ranges
US7149854B2 (en) * 2001-05-10 2006-12-12 Advanced Micro Devices, Inc. External locking mechanism for personal computer memory locations
US6848046B2 (en) 2001-05-11 2005-01-25 Intel Corporation SMM loader and execution mechanism for component software for multiple architectures
US20030212897A1 (en) * 2001-08-18 2003-11-13 Russell Dickerson Method and system for maintaining secure semiconductor device areas
US7103529B2 (en) 2001-09-27 2006-09-05 Intel Corporation Method for providing system integrity and legacy environment emulation
KR101099463B1 (ko) 2002-11-18 2011-12-28 에이알엠 리미티드 보안 도메인과 비보안 도메인을 갖는 시스템 내에서 가상메모리 어드레스의 물리적 메모리 어드레스로의 매핑
AU2003278350A1 (en) * 2002-11-18 2004-06-15 Arm Limited Secure memory for protecting against malicious programs
US7082509B2 (en) 2003-02-06 2006-07-25 Intel Corporation Method and system for allocating memory during system boot to reduce operating system memory resource consumption at run-time
TWI264672B (en) * 2004-09-21 2006-10-21 Aimgene Technology Co Ltd BIOS locking device, computer system with a BIOS locking device and control method thereof
US20060156008A1 (en) 2005-01-12 2006-07-13 Microsoft Corporation Last line of defense ensuring and enforcing sufficiently valid/current code
KR100710846B1 (ko) 2006-07-21 2007-04-24 비앤비쏠루션주식회사 보조기억매체의 관리장치
US7689817B2 (en) 2006-11-16 2010-03-30 Intel Corporation Methods and apparatus for defeating malware
US20080147555A1 (en) 2006-12-18 2008-06-19 Daryl Carvis Cromer System and Method for Using a Hypervisor to Control Access to a Rental Computer
US7827371B2 (en) 2007-08-30 2010-11-02 Intel Corporation Method for isolating third party pre-boot firmware from trusted pre-boot firmware
US8327415B2 (en) 2008-05-30 2012-12-04 Intel Corporation Enabling byte-code based image isolation
US8495354B2 (en) * 2008-09-24 2013-07-23 Hewlett-Packard Development Company, L.P. Apparatus for determining during a power-on sequence, a value to be written to a first register in a secure area and the same value to a second register in non-secure area, which during a protected mode, the value is compared such that if it is equal, enabling writing to a memory
CN201408535Y (zh) * 2009-05-11 2010-02-17 方正科技集团苏州制造有限公司 面向可信计算密码支撑平台的可信硬盘
US8225062B2 (en) * 2009-10-26 2012-07-17 Microsoft Corporation Controlling memory visibility

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004013563A (ja) * 2002-06-07 2004-01-15 Internatl Business Mach Corp <Ibm> コンピュータシステム、ユーザデータ記憶装置、記憶装置のデータ受け渡し方法、ユーザデータのバックアップ方法、およびプログラム
JP2004171569A (ja) * 2002-11-18 2004-06-17 Arm Ltd データ処理装置内のメモリへアクセスするための技術
JP2008052704A (ja) * 2006-08-28 2008-03-06 Lenovo Singapore Pte Ltd コンピュータおよび共有パスワードの管理方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015118631A (ja) * 2013-12-19 2015-06-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 情報処理装置、方法、及び、プログラム
US9588909B2 (en) 2013-12-19 2017-03-07 International Business Machines Corporation Information processing technique to manage security attributes of data generated in different modes
CN109564555A (zh) * 2016-07-19 2019-04-02 赛普拉斯半导体公司 基于上下文的保护系统
JP2019525319A (ja) * 2016-07-19 2019-09-05 サイプレス セミコンダクター コーポレーション コンテキストベースの保護システム
JP7001670B2 (ja) 2016-07-19 2022-01-19 サイプレス セミコンダクター コーポレーション コンテキストベースの保護システム
US11416421B2 (en) 2016-07-19 2022-08-16 Cypress Semiconductor Corporation Context-based protection system
CN109564555B (zh) * 2016-07-19 2022-12-13 赛普拉斯半导体公司 基于上下文的保护系统

Also Published As

Publication number Publication date
EP2601588A4 (en) 2017-03-01
TW201224759A (en) 2012-06-16
WO2012018889A2 (en) 2012-02-09
KR101518207B1 (ko) 2015-05-11
JP5705983B2 (ja) 2015-04-22
EP2601588B1 (en) 2018-05-23
KR20130042599A (ko) 2013-04-26
CN103119602B (zh) 2016-03-16
AU2011285762B2 (en) 2016-02-04
CN103119602A (zh) 2013-05-22
US20120036347A1 (en) 2012-02-09
EP2601588A2 (en) 2013-06-12
TWI467383B (zh) 2015-01-01
WO2012018889A3 (en) 2012-04-19
AU2011285762A1 (en) 2013-03-14
US8539245B2 (en) 2013-09-17

Similar Documents

Publication Publication Date Title
JP5705983B2 (ja) セキュア環境における高速不揮発性ストレージの提供
Lentz et al. Secloak: Arm trustzone-based mobile peripheral control
US10831934B2 (en) Management of authenticated variables
US10366237B2 (en) Providing a trusted execution environment using a processor
KR100855803B1 (ko) 협동적 임베디드 에이전트
US10726120B2 (en) System, apparatus and method for providing locality assertion between a security processor and an enclave
US20120036308A1 (en) Supporting a secure readable memory region for pre-boot and secure mode operations
US11194588B2 (en) Information handling systems and method to provide secure shared memory access at OS runtime
US10068068B2 (en) Trusted timer service
CN112149144A (zh) 聚合密码引擎
CN113268447A (zh) 计算机架构及其内的访问控制、数据交互及安全启动方法
US11755745B2 (en) Systems and methods for monitoring attacks to devices
US11770414B2 (en) Information handling systems and methods to provide a secure platform control point for cloud-native applications

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140401

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140701

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140924

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150127

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150225

R150 Certificate of patent or registration of utility model

Ref document number: 5705983

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees