JP4550147B2 - コンポーネントをロードするための方法、システム及び記録媒体 - Google Patents

コンポーネントをロードするための方法、システム及び記録媒体 Download PDF

Info

Publication number
JP4550147B2
JP4550147B2 JP2009057984A JP2009057984A JP4550147B2 JP 4550147 B2 JP4550147 B2 JP 4550147B2 JP 2009057984 A JP2009057984 A JP 2009057984A JP 2009057984 A JP2009057984 A JP 2009057984A JP 4550147 B2 JP4550147 B2 JP 4550147B2
Authority
JP
Japan
Prior art keywords
boot
operating system
certificate
component
processing unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009057984A
Other languages
English (en)
Other versions
JP2009123247A (ja
Inventor
イングランド ポール
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2009123247A publication Critical patent/JP2009123247A/ja
Application granted granted Critical
Publication of JP4550147B2 publication Critical patent/JP4550147B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4416Network booting; Remote initial program loading [RIPL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/1097Boot, Start, Initialise, Power

Description

本発明は、一般に、コンピュータのオペレーティングシステムに関し、より具体的には、オペレーティングシステムによってロードされたコンポーネントを検証することに関する。
コンテンツがますますデジタル形式で送達されるようになり、デジタルコンテンツは、ますますイントラネット、インターネット、ケーブルTVネットワークなど専用ネットワークおよび公衆ネットワークを介してオンラインで送達されるようになっている。クライアントにとっては、デジタル形式によってより複雑化されたコンテンツが可能となり、オンライン送達によって適時性および利便性が向上する。発行者にとってデジタルコンテンツは、送達コストを引き下げてくれるものでもある。残念なことに発行者の考えでは、これらの価値ある特性よりも、オンラインでの情報送達によって、発行者側の負担および損害をもたらしてオリジナルと遜色のないデジタルコンテンツの取得およびコンテンツの違法コピーが比較的容易に行われるという、相対する欠点の方が重視されることが多い。
コンテンツの盗難や不正使用を防ぐために、コンテンツプロバイダは、信用できるソフトウェアに、したがって加入者コンピュータ上で実行するソフトウェアが信用できることを証明可能な加入者コンピュータにのみ、コンテンツをダウンロードさせることになる。この信用という概念は、その性質上、信用できるコンポーネントのみをロードし、何らかの種類の安全保護記憶装置(secure storage)を提供するコンピュータ上で実行中の、信用できるオペレーティングシステムを有することを前提としている。そこで、コンテンツプロバイダがオペレーティングシステムを信用してコンテンツを与えるかどうかを聡明に判断できるような特性を使用して、オペレーティングシステムを識別することが1つの問題となる。
米国特許第7,174,457号明細書
特許文献1は、オペレーティングシステムによってロードされるすべてのソフトウェアコンポーネントの暗号ダイジェスト(digest)である一意のオペレーティングシステム識別子の一実施形態について開示している。ただし、コンピュータには、膨大な数の異なるハードウェアコンポーネントが含まれており、対応するサポートソフトウェアコンポーネントは、機能強化および問題解決のために頻繁に更新され、その結果、オペレーティングシステムのアイデンティティ(identity)数はほぼ無限となる。コンテンツプロバイダは、信用できるこうしたアイデンティティのリストを維持するか、またはこうしたリストの維持を第三者に委託することができるが、当分野で必要とされるのは、ユーザが入手可能なソフトウェアコンポーネントの選択肢を制限することなく、信用できるオペレーティングシステムの識別数を減らす方法である。
本発明は、前述の欠点、短所、および問題点を対象とするものであり、以下の明細書を読み、研究することによって理解されよう。
クライアントコンピュータ上の検証済みのオペレーティングシステムによってロードされる各ソフトウェアコンポーネントは、ブート証明書に関するブート規則セットを満たすものでなければならない。適切なブート証明書は、コンピュータのブートごとに、ユーザによってあるいはデフォルトで選択される。検証済みオペレーティングシステムの識別子は、ブート証明書から作成される。ブート証明書は、ブート証明書の下でブートされオペレーティングシステムの妥当性を証明するブート機関(boot authority)によって発行(publish)および署名される。オペレーティングシステムの各ソフトウェアコンポーネントは、ブート証明書に署名した同一のブート機関によって発行および署名されたコンポーネント証明書と関連付けられる。ブート規則は、コンポーネントおよびブート証明書の内容に基づいて、ソフトウェアコンポーネントの妥当性を決定する。
クライアントコンピュータは、検証済みオペレーティングシステムのアイデンティティおよびブート証明書を、コンテンツプロバイダなどのサーバコンピュータに伝送し、コンテンツプロバイダは、そのコンテンツを与える検証済みオペレーティングシステムが信用できるかどうかを判定する。ダウンロードされたデータは、検証済みオペレーティングシステムの識別子から導出された鍵を介して、パーマネント記憶装置上で安全に保護される。ブート証明書、コンポーネント証明書、および安全保護されたコンテンツによってブートドメインが定義される。
2つまたはそれ以上のブートコンポーネントの組み合わせを使用して、検証済みのオペレーティングシステムをブートすることができる。ブート証明書およびコンポーネント証明書の更新、基礎となるコンポーネント、並びに検証済みオペレーティングシステムのアイデンティティおよびそのブートドメインに与える影響などについても説明する。
コンテンツプロバイダは、どのブート機関およびそれらの機関からのどのブート証明書を信用するかを決めるだけでよいため、少数のアイデンティティを追跡するだけでよい。クライアントコンピュータが制限されているのは、検証済みオペレーティングシステムによってロードされたコンポーネントが、コンテンツプロバイダによって信用されたブート機関のうち1つによって証明されなければならないことだけである。クライアントコンピュータは、検証済みでないオペレーティングシステムの下で動作することができるが、検証済みブートドメインの下で格納されたデータにはアクセスすることができない。
本発明では、様々な範囲のシステム、クライアント、サーバ、メソッド、およびコンピュータ読取り可能媒体について説明する。図面を参照し、以下の詳細な説明を読めば、この概要で説明した本発明の態様および利点に加えて、本発明のその他の態様および利点が明らかになろう。
共に使用すると本発明の実施形態が実施可能となるハードウェアおよび動作環境を示す図である。 本発明の例示的実施形態で使用するためのクライアントコンピュータを示す図である。 本発明の例示的実施形態のシステムレベルの概要を示す図である。 図2に示された本発明の例示的実施形態で使用されるブート証明書とコンポーネント証明書との間の対話を示す時間線図である。 本発明の例示的実施形態により、ブート時にクライアントが実行するメソッドを示す流れ図である。 本発明の例示的実施形態により、新しいコンポーネント証明書を取得する際にクライアントが実行するメソッドを示す流れ図である。 本発明の例示的実施形態により、更新されたコンポーネント証明書を取得する際にクライアントが実行するメソッドを示す流れ図である。 本発明の例示的実施形態により、ダウンロードされたコンテンツを取得する際にクライアントが実行するメソッドを示す流れ図である。 本発明の例示的実施形態により、ダウンロードされたコンテンツを取得する際にクライアントが実行するメソッドを示す流れ図である。 本発明の例示的実施で使用するための、ブート証明書のデータ構造を示す図である。 本発明の例示的実施で使用するための廃棄リストエントリのデータ構造を示す図である。 本発明の例示的実施で使用するための、コンポーネント証明書のデータ構造を示す図である。 本発明の例示的実施で使用するための時間証明書のデータ構造を示す図である。
以下の、本発明の例示的実施形態の詳細な説明では、本明細書の一部を形成する添付の図面を参照しており、本発明が実施可能な特有の例示的実施形態が例として示されている。これらの実施形態は、当業者であれば本発明が実施できる程度に詳細に記載されており、他の実施形態が利用可能であること、並びに本発明の精神または範囲を逸脱することなく論理的、機械的、電気的、および他の変更が実施可能であることが理解されよう。したがって、以下の詳細な説明は、限定的な意味を持つものではない。
詳細な説明は、5つのセクションに分けられている。第1のセクションでは、共に使用すると本発明の実施形態が実施可能となるハードウェアおよび動作環境について説明する。第2のセクションでは、本発明のシステムレベルの概要が示される。第3のセクションでは、本発明の例示的実施形態に関するメソッドが提供される。第4のセクションでは、Microsoft(登録商標) Corporationのオペレーティングシステムである「WINDOWS(登録商標)」ファミリで使用するための、本発明の特定の実施形態について説明する。最後に第5のセクションでは、詳細な説明の結論が示される。
ハードウェアおよび動作環境
図1Aは、共に使用すると本発明の実施形態が実施可能となるハードウェアおよび動作環境を示す図である。図1Aの記述は、共に使用すると本発明が実施可能となる好適なコンピュータハードウェアおよび好適なコンピューティング環境の簡単な概要について説明することを意図するものである。必須ではないが、本発明は、パーソナルコンピュータなどのコンピュータによって実行されるプログラムモジュールなどのコンピュータ実行可能命令の一般的文脈で説明される。一般に、プログラムモジュールには、特定のタスクを実行するかまたは特定の抽象データ型を実施するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などが含まれる。
さらに、当業者であれば、本発明が、ハンドヘルドデバイス、マルチプロセッサシステム、マイクロプロセッサベースまたはプログラム可能な大衆消費電子製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータなどを含む他のコンピュータシステム構成でも実施可能であることを理解されよう。本発明は、通信ネットワークを介してリンクされているリモート処理デバイスによってタスクが実行される分散型コンピューティング環境でも実施可能である。分散型コンピューティング環境では、プログラムモジュールを、ローカルおよびリモートのどちらのメモリ記憶デバイスに配置することも可能である。
本発明を実施するための図1Aの例示的なハードウェアおよび動作環境には、コンピュータ20の形式の汎用コンピューティングデバイスが含まれており、これが、処理ユニット21、システムメモリ22、並びに、システムメモリを含む様々なシステムコンポーネントを処理ユニット21に結合するように動作可能なシステムバス23を含む。処理ユニット21は1つだけでも複数でもよいため、コンピュータ20の処理装置には、単一の中央処理ユニット(CPU)、または一般に並列処理環境と呼ばれる複数の処理ユニットが含まれる。コンピュータ20は、従来型コンピュータ、分散型コンピュータ、または任意の他のタイプのコンピュータであってよく、本発明はこれに限定されるものではない。
システムバス23は、メモリバスまたはメモリ制御装置、周辺バス、および任意のバスアーキテクチャの変形を使用するローカルバスを含む、いくつかのタイプのバス構造のうちいずれであってもよい。システムメモリは、単にメモリと呼ぶことも可能であり、読み取り専用メモリ(ROM)24およびランダムアクセスメモリ(RAM)25を含む。起動時などにコンピュータ20内の要素間で情報を転送するのを助ける、基本ルーチンを含む基本入力出力システム(BIOS)26は、ROM24に格納される。さらにコンピュータ20には、図示されていないハードディスクとの間で読取りおよび書込みを実行するためのハードディスクドライブ27、取外し可能磁気ディスク29との間で読取りまたは書込みを実行するための磁気ディスクドライブ28、並びにCD−ROMまたは他の光媒体などの取外し可能光ディスク31との間で読取りまたは書込みを実行するための光ディスクドライブ30が含まれる。
ハードディスクドライブ27、磁気ディスクドライブ28、および光ディスクドライブ30は、それぞれ、ハードディスクドライブインターフェース32、磁気ディスクドライブインターフェース33、および光ディスクドライブインターフェース34によって、システムバス23に接続される。ドライブおよびそれらの関連付けられたコンピュータ読取り可能媒体は、コンピュータ読取り可能命令、データ構造体、プログラムモジュール、およびコンピュータ20に関する他のデータの不揮発性記憶装置を提供する。当業者は、磁気カセット、フラッシュメモリカード、デジタルビデオディスク、ベルヌーイカートリッジ、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)などの、コンピュータがアクセス可能なデータを格納できる任意のタイプのコンピュータ読取り可能媒体が例示的な動作環境で使用できることを理解されたい。
オペレーティングシステム35、1つ以上のアプリケーションプログラム36、他のプログラムモジュール37、およびプログラムデータ38を含むいくつかのプログラムモジュールが、ハードディスク、磁気ディスク29、光ディスク31、ROM24、またはRAM25に格納可能である。ユーザは、キーボード40およびポインティングデバイス42などの入力デバイスを介して、コマンドおよび情報をパーソナルコンピュータ20に入力することができる。他の入力デバイス(図示せず)には、マイクロフォン、ジョイスティック、ゲームパッド、衛星放送用アンテナ、スキャナなどが含まれる。これらおよび他の入力デバイスは、システムバスに結合されたシリアルポートインターフェース46を介して処理ユニット21に接続されることが多いが、パラレルポート、ゲームポート、またはユニバーサルシリアルバス(USB)などの他のインターフェースによって接続することもできる。モニタ47または他のタイプのディスプレイデバイスも、ビデオアダプタ48などのインターフェースを介してシステムバス23に接続される。典型的にコンピュータには、モニタに加えて、スピーカおよびプリンタなどの他の周辺出力デバイス(図示せず)が含まれる。
コンピュータ20は、リモートコンピュータ49などの1つ以上のリモートコンピュータへの論理接続を使用するネットワーク化された環境で動作可能である。これらの論理接続は、コンピュータ20に結合されたかまたはその一部である通信デバイスによって達成されるが、本発明は、特定タイプの通信デバイスに限定されるものではない。リモートコンピュータ49は、他のコンピュータ、サーバ、ルータ、ネットワークPC、クライアント、ピアデバイス、または他の共通ネットワークノードであってよく、図1ではメモリ記憶デバイス50のみが記載されているが、典型的には、コンピュータ20に関して上記で述べた要素の多くまたはすべてを含む。図1Aに示された論理接続には、ローカルエリアネットワーク(LAN)51およびワイドエリアネットワーク(WAN)52が含まれる。このようなネットワーキング環境は、オフィス、企業規模のコンピュータネットワーク、イントラネット、およびインターネットでよく見られるものである。
LANネットワーキング環境で使用される場合、コンピュータ20は、通信デバイスの一種であるネットワークインターフェースまたはアダプタ53を介してローカルネットワーク51に接続される。WANネットワーキング環境で使用される場合、典型的にコンピュータ20には、インターネットなどのワイドエリアネットワーク52を介した通信を確立するための、モデム54、一種の通信デバイス、または任意の他のタイプの通信デバイスが含まれる。モデム54は内蔵型でも外付けでもよく、シリアルポートインターフェース46を介してシステムバス23に接続される。ネットワーク化された環境では、パーソナルコンピュータ20に関して、あるいはその一部として示されたプログラムモジュールをリモートメモリ記憶デバイスに格納することができる。図示されたネットワーク接続は例示的なものであり、コンピュータ間で通信リンクを確立するためには、他の手段および通信デバイスが使用可能であることを理解されよう。
以上、共に使用すると本発明の実施形態が実施可能となるハードウェアおよび動作環境について説明してきた。共に使用すると本発明の実施形態が実施可能となるコンピュータは、従来型コンピュータ、分散型コンピュータ、または任意の他のタイプのコンピュータであってよく、本発明はこれらに限定されるものではない。こうしたコンピュータには、典型的に、処理装置として1つ以上の処理ユニットと、メモリとしてコンピュータ読取り可能媒体とが含まれる。コンピュータは、ネットワークアダプタまたはモデムなどの通信デバイスを含むことも可能であるため、他のコンピュータと通信上で結合することができる。
好適なクライアントコンピュータの一実施形態例は、特許文献1に記載されており、図1Bでは加入者ユニット124として図示されている。加入者ユニット124のCPU140は、次に簡単に説明するように、コンピュータにロードされているブートブロックおよびOSコンポーネントのアイデンティティを認証し、このアイデンティティに基づいて、引用符付け(quoting)および安全保護記憶装置動作を提供することができる。加入者ユニット124に関する様々な実施形態の詳細な説明は、関連する出願に記載されている。
CPU140は処理装置160を備えており、暗号化アクセラレータ162を備えることもできる。CPU140は、一般に暗号化機能に関連する集中的な数学計算を支援するアクセラレータ162を使用するかまたは使用せずに、署名、暗号化、復号、および認証などの暗号化機能を実施することができる。
CPU製造業者は、CPU140に、CPUに固有の公開鍵と秘密鍵のペア164を備え付ける。考察のために、CPUの公開鍵を「KCPU」と呼び、対応する秘密鍵を「KCPU -1」と呼ぶ。他の物理的実施には、メインCPUがアクセス権を有する外部デバイス上に鍵を格納することが含まれる(格納された秘密情報には、任意アプリケーションまたはオペレーティングシステムコードがアクセスすることはできない)。秘密鍵は決して明らかにされることがなく、以下で論じるように、コンテンツプロバイダからのチャレンジ(challenge)に応じるときなどに、様式化されたステートメントに署名するという特有の目的のためにのみ使用される。
製造業者は、周知の仕様に従ってCPUを生産したことを保証する署名済み証明書166も発行する。一般に、証明書は、製造業者が鍵ペア164を作成し、その鍵ペアをCPU140に配置し、その後秘密鍵「KCPU -1」の独自の知識を破棄したことを保証するものである。この方法では、CPUのみがCPUの秘密鍵KCPU -1を知っており、同じ鍵は他のCPUに発行されず、製造業者はその記録をいっさい保持しない。証明書は、原則的に、処理装置に関連付けられた別の物理デバイス上に格納することが可能であるが、論理的には対応する鍵を備えた処理装置に属したままである。
製造業者は公開および秘密の署名鍵、KMFRおよびKMFR -1のペアを有する。秘密鍵KMFR -1を知っているのは製造業者だけであるが、公開鍵KMFRは大衆が入手することができる。製造業者の証明書166には、製造業者の公開鍵KMFR、CPUの公開鍵KCPU、および前述の証拠が含まれる。製造業者は、その秘密署名鍵KMFR -1を使用して、以下のように証明書に署名する。
Mfr.Certificate=(KMFR,Certifies−for−Boot,KCPU),signed by KMFR -1
述語(predicate)「certifies−for−boot」は、CPUおよびCPU鍵ペアが周知の仕様に従って作成されたことを、製造業者が誓約するものである。この誓約は、さらに、以下でより詳細に説明するように、CPUが認証済みのブート手順を正しく実行できることを言明するものである。製造業者証明書166には大衆がアクセス可能であるが、製造業者の秘密鍵KMFR -1を知らなければ偽造することはできない。
証明書のチェーンは、中間証明書および追加の鍵ペアを使用して、製造業者の証明書から拡張することができる。製造業者の証明書の代わりにチェーン内の中間証明書を使用して検証が実行されると、重要な「ルート」鍵ペア、すなわちKCPU/KCPU -1およびKMFR/KMFR -1を頻繁に使用することが極めて少なくなるため、ルート鍵が盗まれる確率も少なくなる。
CPU140は、内部ソフトウェアアイデンティティレジスタ(SIR)168を有し、これが、認証済みオペレーティングシステム180のアイデンティティ、またはオペレーティングシステム180の認証が不可能であるとCPUが判断した場合は所定の偽の値(例えばゼロ)を含む。オペレーティングシステム(OS)180はメモリ142に格納され、CPU140で実行される。オペレーティングシステム180は、ブート動作時にCPUに対してオペレーティングシステムを認証するのに使用されるコードブロック182を有する。ブートブロック182は、オペレーティングシステムまたはオペレーティングシステムのクラス(例えば同一の製造業者によって署名されたもの)を一意に決定する。
システムレベルの概要
本発明の例示的実施形態の動作のシステムレベルの概要について、図2の参照によって説明する。図1Aのクライアントコンピュータ20などの加入者コンピュータ200が、WAN52などのワイドエリアネットワークを介してリモートコンピュータ49などのコンテンツプロバイダのサーバコンピュータ220に接続される。図2では、加入者コンピュータ200およびコンテンツプロバイダ220のコンポーネントによって実施されるプロセスが、矢印で示されている。これらプロセスの多くには、公開/秘密鍵ペア、デジタル署名、デジタル証明書、および/または暗号アルゴリズム、あるいはこれら標準の暗号化機能の組み合わせのいずれかが組み込まれている。こうした機能は、以下の記述にある加入者コンピュータのCPUによって提供されるものと想定されるが、当業者であればすぐに理解されるように、他の周知の暗号メカニズムによって提供される場合もある。
図2に示された例示的実施形態では、加入者コンピュータ200で実行中のオペレーティングシステムのアイデンティティをコンテンツプロバイダ220に対して証明するために、コンポーネント証明書およびブート証明書の組合せが使用される。各コンポーネント証明書は、対応するコンポーネントの妥当性およびセキュリティをブート機関が保証していることを示すために、秘密鍵を使用して、ブート機関によって発行および署名される。各ブート機関は、コンポーネント証明書上の署名を検証するのに必要な公開鍵を含むブート証明書も発行する。クライアントコンピュータ200がブートされると、ロードされたコンポーネントを検証するために、ブート機関の特定の組合せが選択される。図2では、以下の考察をわかりやすくするために、2つのコンポーネント証明書および2つのブート証明書のみが示されている。当業者であれば、実際には、通常2つより多くのコンポーネント証明書が使用されること、および異なる数のブート証明書が等しく適用可能であることが容易に理解されよう。
オペレーティングシステム211のブートブロック(基本コンポーネント)は、オペレーティングシステムのベンダによって署名され、ベンダによって発行されたブート証明書201を使用して検証されたコンポーネント証明書205に関連付けられる。ハードウェアデバイスドライバなど、コンピュータ200を動作させるのに必要な追加のソフトウェアコンポーネントは、コンポーネント証明書207に関連付けられる。ソフトウェアコンポーネントのコンポーネント証明書207は、独立したブート機関によって署名され、独立したブート機関によって発行されたブート証明書203を使用して検証される。
クライアントコンピュータ200がブートされると、オペレーティングシステム211用のブートローダ209が、ブート証明書201、203に対して、ロードされる各コンポーネントのコンポーネント証明書を検証する。結果として生じるオペレーティングシステム211のアイデンティティは、ブートブロックとブート証明書201、203の組合せの暗号ダイジェストであり、以前に図1BでSIR168について説明したように、内部ソフトウェアアイデンティティレジスタ(SIR)213に記録される。検証できないコンポーネントがロードされると、アイデンティティは、未検証オペレーティングシステムであることを示すデフォルト値に設定される。
加入者コンピュータ200がプロバイダ220にコンテンツ221のダウンロードを要求すると、コンテンツプロバイダ220は、現在のオペレーティングシステム211のコンポーネントを検証するのに使用されるブート証明書を要求するチャレンジメッセージ(「nonce」)を加入者コンピュータ200に伝送する。加入者コンピュータ200は、ブート証明書201、203、SIR213の現在の値、およびnonceを含む認証メッセージを伝送する。加入者コンピュータは、そのCPUの秘密鍵を使用して値に署名することにより、SIR213のアイデンティティを保証する。
コンテンツプロバイダ220は、加入者コンピュータ200との信用関係を確立するべきであるかどうかを判定するために、証明書201、203およびアイデンティティを検査する。確立すべきである場合、コンテンツプロバイダ220はコンテンツを加入者コンピュータ200にダウンロードする。コンテンツが永久に加入者コンピュータ200に格納されるものである場合、オペレーティングシステム211はコンテンツを記憶デバイス215に書き込み、コンテンツへの未許可のアクセスを防ぐために、格納されたコンテンツすなわち「秘密情報」217のアイデンティティへのアクセスに鍵を掛ける。デバイス215は、ディスクドライブとして図2に示されているが、こうした図は、デバイスの範囲を安全保護された記憶装置として働くことに限定する意図で示されたものではない。
例示的実施形態では、各コンポーネント証明書は限定期間内で有効であり、各ブート証明書には発行日が記載されている。証明書間の対話は、図3で時間線を使用して示されているように、相対日付に基づいている。ブート証明書301には時間マーク1の発行日があり、ブート証明書302には時間マーク4の発行日がある。コンポーネント証明書303は時間マーク5、コンポーネント証明書304は時間マーク3、コンポーネント証明書305は時間マーク2、コンポーネント証明書306は時間マーク6で満了する。時間マーク1から4の間の任意の時間に加入者コンピュータ200がブートされると、ロードされるコンポーネントに関する各コンポーネント証明書の満了日を、ブート証明書の発行日に照らしてチェックする。コンポーネント証明書が発行日時点で有効である限り、コンポーネントはロードされる。したがって、コンポーネント証明書303、304、305、306に関連付けられたコンポーネントは、ブート証明書301を使用しているときには常時ロードされ、コンピュータは、検証済みオペレーティングシステムに常時ブート可能となる。
ただし、ブート証明書302を使用してブートする場合、コンポーネント証明書304、305の有効期間がブート証明書302の発行日以前に満了しているため、これらに関連付けられたコンポーネントを検証することはできない。これらのコンポーネントをロードしなければならない場合、オペレーティングシステムのアイデンティティは、未検証オペレーティングシステムの値に設定される。新しいコンポーネント証明書は、ブート証明書302の下で、検証済みオペレーティングシステム内のコンポーネントをロードする必要がある。新しいコンポーネント証明書を取得するプロセスはオペレーティングシステムによって自動的に処理され、これについては次のセクションで説明する。
関連付けられたコンポーネント証明書の満了日以前は、特定バージョンのコンポーネントが脆弱(vulnerability)であることがわかっているため、本発明の代替実施形態では、各ブート証明書に廃棄リストを関連付けている。廃棄リストにコンポーネントが掲載された場合、ブート証明書はそのコンポーネントの更新済みバージョンが取得されるまで、そのコンポーネントを検証しない。以前と同様に、未検証コンポーネントがロードされる場合、アイデンティティは未検証値に設定される。一実施形態では、廃棄リストに、更新済みバージョンのコンポーネントのオンラインアドレス(URL)も含まれるため、次のセクションで説明するように、オペレーティングシステムは新しいバージョンを自動的に取得できる。脆弱な各コンポーネントがその名前およびバージョンまたはその暗号ダイジェストで識別される廃棄リストの一実施形態例については、以下でより詳細に説明する。
1つ以上のブート証明書の有効期間が満了しているために、コンテンツプロバイダがコンテンツのダウンロードを拒否した場合、現行のオペレーティングシステムは、後で発行されたブート証明書を取得して、新しいブート証明書の下でそれ以降のブート時に使用することができる。既存のコンテンツは、オペレーティングシステムのアイデンティティを介して安全保護されているため、新しいブート証明書を使用してブートすると、コンテンツにアクセスできないことになる。したがって現行のオペレーティングシステムは、システムがリブートされる前に、新しいアイデンティティを使用してコンテンツを格納しなおす。後で発行されたブート証明書を取得してコンテンツの安全保護をやり直すプロセスについても、次のセクションで説明する。
以上、本発明の例示的実施形態の動作のシステムレベルの概要について、詳細に述べてきた。ブートドメインはクライアントの加入者コンピュータ上で作成され、ブート証明書、コンポーネント証明書、および格納された秘密情報によって定義される。加入者コンピュータにロードされるソフトウェアコンポーネントは、指定されたブート規則に従って、証明書を使用して検証される。オペレーティングシステムのアイデンティティは、コンポーネントの検証に使用されるブート証明書を反映するように作成される。コンテンツプロバイダは、オペレーティングシステムのアイデンティティおよびブート証明書に基づいて、そのオペレーティングシステムを信用してもよいかどうかを判定する。本発明はブート証明書とコンポーネント証明書のいずれかの特定の組合せに限定されるものではないが、わかりやすくするために、オペレーティングシステムが2つのブート証明書および2つのコンポーネント証明書を使用しているものとして説明してきた。
本発明の例示的実施形態のメソッド
前のセクションでは、本発明の例示的実施形態の動作のシステムレベルの概要について説明した。このセクションでは、こうした例示的実施形態のクライアント、すなわち加入者コンピュータによって実行される特定のメソッドについて、一連の流れ図を参照しながら説明する。クライアントによって実行されるメソッドは、コンピュータ実行可能命令からなるコンピュータプログラムを構成する。流れ図を参照しながらメソッドについて説明していくことで、当業者であれば、好適にコンピュータ化されたクライアント(コンピュータ読取り可能媒体からの命令を実行するクライアントの処理装置)でメソッドを実施するためのこうした命令を含む、こうしたプログラムを開発することができるようになる。
初めに図4を参照すると、本発明の例示的実施形態に従って加入者コンピュータによって実行されるメソッドの流れ図が示されている。このメソッドには、ブートプロセスの一部として実行する必要のある行為が含まれている。ブートプロセスが開始されると、ブートマネージャがユーザに対して、オペレーティングシステムコンポーネントを検証するのに使用できるブート証明書を選択するように提示する(ブロック401)。ユーザが所望のブート証明書を選択すると、ブートローダは、ブートブロックおよび選択されたブート証明書に基づいて、検証済みオペレーティングシステムのアイデンティティを作成する(ブロック403)。ロードされる各コンポーネントは、そのコンポーネント証明書をブート証明書の1つと照合することによって検証される(ブロック405)。検証プロセスでは、コンポーネント証明書の署名(ブロック407)、コンポーネント証明書の満了日(ブロック409)、および廃棄リスト(ブロック411)をチェックして、コンポーネントがロードできるかどうかを判定する。コンポーネント証明書が3つのテストすべてに合格した場合、すなわち、ブート規則を満たしている場合に、対応するコンポーネントがロードされる(ブロック413)。
コンポーネント証明書がブート規則の1つを満たしていない場合、ブートローダはユーザに対して、対応するコンポーネントのローディング選択を提示し、未検証のオペレーティングシステムにブートするか、またはそのコンポーネントをロードしない(ブロック415)。コンポーネントが必要であれば、ブートローダは、そのオペレーティングシステムのアイデンティティを、未検証オペレーティングシステムであることを示す値に設定し(ブロック417)、コンポーネントをロードする(ブロック413)。ユーザがコンポーネントをロードしないことを選択すると、検証済みアイデンティティは保存される。
ブートプロセスは、すべてのコンポーネントがロードされるまで、ブート規則に従って進められる(ブロック419)。
オペレーティングシステムのブートが完了したときに、1つ以上のコンポーネントが検証できていない場合、図5および6にそれぞれ示されているように、有効なコンポーネント証明書または更新済みコンポーネントのいずれかが取得できる機会がユーザに与えられる。
コンポーネント証明書が満了しており、ユーザが新しい証明書を取得することを選択した場合(図5のブロック501)、オペレーティングシステムは、満了した証明書に署名したブート機関に対して新しいコンポーネント証明書を要求する(ブロック503)。新しいコンポーネント証明書を受け取ると、後続のブートで使用するために、満了した証明書の代わりに格納される(ブロック505)。
コンポーネントのバージョンが廃棄リストに掲載されており、ユーザが更新済みバージョンの取得を選択した場合(図6のブロック601)、オペレーティングシステムは、コンポーネントに関連付けられたダウンロードサイトに対して更新済みバージョンを要求する(ブロック603)。一実施形態では、サイトのURLが廃棄リストに格納されている。更新済みバージョンの新しいコンポーネント証明書もダウンロードされる。更新済みコンポーネントの証明書および新しいコンポーネントの証明書は、次回ブート時の検証およびロードのために格納される(ブロック605)。
図7Aおよび7Bは、プロバイダにコンテンツを要求する際に、加入者コンピュータが実行するプロセスを示す図である。加入者コンピュータは、プロバイダに要求メッセージを送り(ブロック701)、応答でチャレンジnonceを受け取る(ブロック703)。加入者コンピュータは、ブート証明書、オペレーティングシステムアイデンティティ、およびnonceを含む認証メッセージを、プロバイダに返送する(ブロック705)。
プロバイダは、ブート証明書およびオペレーティングシステムアイデンティティに基づいてオペレーティングシステムを信用した場合(ブロック707)、加入者コンピュータにコンテンツをダウンロードし(ブロック709)、加入者コンピュータは、このオペレーティングシステムアイデンティティに基づいて、パーマネント記憶装置上でコンテンツを安全に保護する(ブロック711)。
プロバイダが、コンポーネントを検証するのに使用されるブート証明書が満了日を過ぎていると判断した場合、加入者コンピュータはユーザに対して、新しいブート証明書を取得する機会を提示する(ブロック713)。加入者コンピュータは、対応するブート機関に対して新しいブート証明書を要求し(ブロック715)、古いバージョンを上書きせずに新しいブート証明書を格納する(ブロック717)。
現行のオペレーティングシステムは、新しいブート証明書を発行したブート機関によって署名されたそれぞれのコンポーネント証明書を検証することによって、新しいブート証明書によって定義されたオペレーティングシステムがブートするかどうかを判定する(ブロック719)。新しいブート証明書と照合した際に、1つ以上のコンポーネント証明書が満了しているため(ブロック735)、あるいは、1つ以上のコンポーネントが新しいブート証明書に関連付けられた廃棄リストに掲載されているバージョンであるため(ブロック737)に、新しいオペレーティングシステムが不合格になる場合がある。新しいコンポーネント証明書は、図5に関連して上述したプロセスを使用して取得され、更新済みコンポーネントは、図6に関連して上述したプロセスを使用して取得される。
現行のオペレーティングシステムは、新しいオペレーティングシステムがブートされると判断した場合、新しいブートコンポーネントに基づいて新しいオペレーティングシステムアイデンティティを作成する(ブロック721)。それぞれのオペレーティングシステムアイデンティティは関連付けられたブートドメインにある秘密情報を制御するので、新しいオペレーティングシステムアイデンティティに対して新しいブートドメインを作成しなければならない。それぞれの秘密情報は、新しいブートドメインの一部となるかどうかを判定するために評価される(ブロック723)。新しいブートドメインに関する秘密情報の選択は、新しいブート証明書を現行のブート証明書としてブート機関から取得すること(ブロック725)、新しいブート証明書を現行のブート証明書の後に発行すること(ブロック727)、並びに、コンテンツが新しいブート証明書の発行日以前に満了しないこと(ブロック729)という、3つの規則で管理される。資格付与された秘密情報が現行のオペレーティングシステムアイデンティティを使用して開封(unseal)され、コンテンツのコピーが作成され、そのコピーが新しいオペレーティングシステムアイデンティティを使用して再度密封(re-seal)される(ブロック731)。このプロセスは、適切な秘密情報がすべて新しいブートドメイン内に密封(seal)されるまで続行する(ブロック733)。特定のブート証明書の組合せの下で次に加入者コンピュータがブートされたときに、新しいブート証明書が有効となり、新しいブートドメイン内の秘密情報にアクセスできるようになる。当業者であれば、この手順が通常のオペレーティングシステム更新プロセスの一部として自動化できるものであることを、容易に理解されよう。
一実施形態では、古いブートドメイン内の秘密情報は、新しいブート証明書の下で最初にブートが成功した時点で削除される。代替実施形態では、満了となったコンテンツだけが削除される。
以上、本発明の例示的実施形態のクライアントによって実行される特定のメソッドについて説明した。クライアントコンピュータによって実行されるメソッドは、400〜417、501〜505、601〜605、および701〜737のすべての行為を含む流れ図を参照しながら示した。
1.Microsoft(登録商標)「WINDOWS(登録商標)」での実施
この詳細な説明のセクションでは、本発明の特定の実施について、Microsoft(登録商標) Corporationのオペレーティングシステムである「WINDOWS(登録商標)」ファミリに関して説明する。Microsoft(登録商標)は、様々なバージョンの「WINDOWS(登録商標)」オペレーティングシステムのブートブロックに関するブート証明書およびコンポーネント証明書を発行することで、ブート機関としての役割を果たす。「WINDOWS(登録商標)」オペレーティングシステムのブートマネージャおよびブートローダは、前のセクションで説明したメソッドに従って動作するように拡張される。「WINDOWS(登録商標)」オペレーティングシステムの実施で使用するためのブート証明書およびコンポーネント証明書の例示的実施形態は、それぞれ、図8Aおよび9に示されている。廃棄リストエントリの例示的実施形態は、図8Bに示されている。追加の証明書、時間証明書の例示的実施形態は、図10に示されている。
初めに図8Aを見ると、ブート証明書800の一実施形態には、5つの定数フィールドと3つのオプションフィールドが含まれる。定数フィールドには、ブート機関の識別子801、証明書の発行日802、証明書のダイジェスト803、ブート機関の公開鍵804、および証明書800を発行したブート機関、すなわちフィールド801で識別されたブート機関のデジタル署名808が含まれる。公開鍵804は、ブート証明書800上のデジタル署名808を検証する場合、並びに同一のブート機関によって署名されたコンポーネント証明書を検証する場合に使用される。
一実施形態では、ブート証明書800にはブート証明書の満了日805が含まれる。「WINDOWS(登録商標)」オペレーティングシステムは、この満了日805を使用して、コンテンツプロバイダからの通知がなくとも、新しいブート証明書が必要であるときを判定する。
代替実施形態では、ブート証明書800には廃棄リスト806が含まれる。廃棄リストの機能については前のセクションで説明した。廃棄リスト806のエントリの例示的実施形態が、図8Bに示されている。各エントリ810には、廃棄されたコンポーネントの名前およびバージョン811、廃棄されたコンポーネントの暗号ダイジェスト812、並びにコンポーネントの更新済みバージョンを含むダウンロードサイトのURL813が含まれる。
他の実施形態では、ブート証明書800に、フィールド801によって識別されたブート機関が署名した各コンポーネントをロードする前に、ブートプロセスによって実行されるコマンドスクリプト形式のブート規則807が含まれる。他の代替実施形態では、ブート規則807は一連のオペレーティングシステムコマンドである。
図9に示されるコンポーネント証明書の例示的実施形態は、「WINDOWS(登録商標)」オペレーティングシステムにロードするためのコンポーネントを保証するすべてのブート機関によって実施される。コンポーネント証明書900には、ブート機関のアイデンティティ901、対応するコンポーネントの名前およびバージョン902、コンポーネントのダイジェスト903、コンポーネント証明書の発行日904、証明書の満了日904、およびブート機関のデジタル署名906が含まれる。ブート機関のブート証明書800にある公開鍵は、コンポーネント証明書のデジタル署名906を検証する際に使用される。
ブート証明書800に廃棄リスト806が含まれる場合、「WINDOWS(登録商標)」オペレーティングシステムは、コンポーネント証明書にある名前およびバージョン902並びにダイジェスト903と、廃棄リスト806にあるそれぞれのエントリ810とを照合して、コンポーネントが廃棄されたものかどうかを判定する。コンポーネントが廃棄されている場合、ユーザが選択したときに、エントリ810にあるURLアドレスから新しいバージョンが取得される。
「WINDOWS(登録商標)」オペレーティングシステムの実施では、コンテンツの時間制限をブート証明書のみを使用した場合に可能な期間よりも短く設定することができる。図10に示した時間証明1000の例示的実施形態には、ブート証明書800と同じ定数フィールドが含まれるが、時間証明書には発行日および発行時間1002が含まれる点は異なっている。時間証明書1000は、ブート証明書と共にオペレーティングシステムアイデンティティに折り込まれ、認証メッセージの一部としてコンテンツプロバイダに送信される。時間証明書1000を使用することは、発行日および発行時間1002より後の日付および時間にコンピュータがブートされたことを、「WINDOWS(登録商標)」オペレーティングシステムが保証するのと等価である。
コンテンツプロバイダは、すぐに満了してしまうコンテンツをダウンロードする前に、現行の時間証明書があれば、それが古すぎるかどうかを判定する。古すぎる場合、または現行の時間証明書がない場合、加入者コンピュータは新しい時間証明書を獲得し、新しい時間証明書を含むオペレーティングシステムアイデンティティの下でリブートしなければならない。時間証明書はオペレーティングシステムアイデンティティの一部であるため、古いアイデンティティの下で密封された秘密情報は、ブート証明書に関して前のセクションで説明したように、新しいブートドメインにコピーするために評価しなければならない。この場合、既存のコンテンツの満了日は、時間証明書の発行日および発行時間に基づいて決定される。さらに、新しいオペレーティングシステムアイデンティティが有効になった時点で、満了済みのコンテンツは削除される。
結論
以上、クライアントのブートドメインおよびブート規則について説明した。本明細書では、特定の実施形態について図示および説明してきたが、当業者であれば、図示された特定の実施形態が、同じ目的を達成するように計算された任意の配置構成に置き換えられることを理解されよう。
例えば、当業者であれば、任意の組織がブート機関としての役割を果たせることを理解されよう。どのブート機関を信用するかは、それぞれ個々のコンテンツプロバイダが決めることである。さらに、当業者であれば、ブート証明書のバージョンを変更するには、ブートドメイン内のすべての秘密情報を開封し、再度密封しなければならないことから、コンポーネント証明書の有効期間が典型的にはブート証明書のそれよりも短くなっていることを理解されよう。
さらに、本発明は、コンピュータの電源が投入された結果としてオペレーティングシステムをロードするという点に関して説明してきたが、当業者であれば、本発明が、既に実行中のオペレーティングシステムの制御下でオペレーティングシステムをロードするか、または未検証のオペレーティングシステムを実行中のコンピュータ上にある保護されたアドレス領域にオペレーティングシステムをロードするためにも使用できるものであることを理解されよう。
本明細書で使用された専門用語は、コンピュータを機能させるために異なるソフトウェアコンポーネントをロードしなければならないすべてのオペレーティングシステム環境を含むことを意味するものである。

Claims (12)

  1. 理ユニットと、オペレーティングシステムを記憶する記憶部を有するクライアントコンピュータで実行される方法であって、
    前記処理ユニットが、前記記憶部に記憶された1又は複数のブート証明書の中からブート証明書を前記オペレーティングシステムをブートするときに前記クライアントコンピュータのユーザの指示に基づいて選択するステップであって、前記ブート証明書は、ートされ前記オペレーティングシステムの妥当性を証明するブート機関によって発行および署名された証明書である、ステップと、
    前記処理ユニットが、前記オペレーティングシステムまたは前記オペレーティングシステムのクラスを一意に決定するデータと前記ブート証明書とから妥当性を検証済みのオペレーティングシステムアイデンティティを作成するステップと、
    前記処理ユニットが、前記ブート証明書に含まれるブート規則セットに従って、前記記憶部から前記オペレーティングシステムを構成する複数の部品である複数のオペレーティングシステムコンポーネントをそれぞれ1つずつロードするステップと
    を備え、
    前記複数のオペレーティングシステムコンポーネントのそれぞれは、前記ブート証明書に署名した同一のブート機関によって発行および署名されたコンポーネント証明書であって、前記記憶部に記憶された証明書であるコンポーネント証明書に関連付けられており、
    前記ブート規則セットは、
    前記ブート証明書を発行したブート機関によって各コンポーネント証明書が署名されていること、
    前記ブート証明書の発行日時点で各コンポーネント証明書が有効であること、及び、
    前記ブート証明書に関連付けられた廃棄リストに各オペレーティングシステムコンポーネントがリストされていないこと
    の条件を満たす場合に前記オペレーティングシステムコンポーネントをロードすることを許可する規則を含むこと
    を特徴とする方法。
  2. 前記クライアントコンピュータは通信部を備え、
    前記処理ユニットは、前記コンポーネント証明書が満了している場合、前記通信部を介して新しいコンポーネント証明書を取得して前記満了しているコンポーネント証明書の代わりに前記記憶部に格納するステップをさらに備えることを特徴とする請求項1に記載の方法。
  3. 前記クライアントコンピュータは通信部を備え、
    前記廃棄リストは、オペレーティングシステムコンポーネントの更新済みバージョンをダウンロードするためのサイトのURL含み、
    前記処理ユニットが、前記通信部を介して前記URLが示すサイトから新しいオペレーティングシステムコンポーネントを取得して前記記憶部に記憶するステップと、
    前記処理ユニットが、前記通信部を介して前記URLが示すサイトから前記新しいオペレーティングシステムコンポーネントについて関連付けられたコンポーネント証明書を取得して前記記憶部に記憶するステップと
    をさらに備えることを特徴とする請求項1に記載の方法。
  4. 理ユニットと、オペレーティングシステムを記憶する記憶部と、通信部を有するクライアントコンピュータで実行される方法であって、
    前記処理ユニットが、前記記憶部に記憶された1又は複数のブート証明書の中からブート証明書を前記オペレーティングシステムをブートするときに前記クライアントコンピュータのユーザの指示に基づいて選択するステップであって、前記ブート証明書は、ートされ前記オペレーティングシステムの妥当性を証明するブート機関によって発行および署名された証明書である、ステップと、
    前記処理ユニットが、前記オペレーティングシステムまたは前記オペレーティングシステムのクラスを一意に決定するデータと前記ブート証明書とから妥当性を検証済みのオペレーティングシステムアイデンティティを作成するステップと、
    前記処理ユニットが、前記ブート証明書に含まれるブート規則セットに従って、前記記憶部から前記オペレーティングシステムを構成する複数の部品である複数のオペレーティングシステムコンポーネントをそれぞれ1つずつロードするステップと、
    前記処理ユニットが、前記オペレーティングシステムの前記検証済みのオペレーティングシステムアイデンティティに基づく鍵を使用して、前記記憶部に記憶されたオペレーティングシステムコンポーネントを安全に保護するステップと、
    前記処理ユニットが、前記通信部を介して新しいブート証明書を取得するステップと、
    前記処理ユニットが、前記オペレーティングシステムまたは前記オペレーティングシステムのクラスを一意に決定するデータと前記新しいブート証明書とから新しい検証済みのオペレーティングシステムアイデンティティを作成するステップと、
    前記処理ユニットが、前記新しい検証済みのオペレーティングシステムアイデンティティを使って前記記憶部に記憶されたオペレーティングシステムコンポーネントを再度安全に保護するステップと
    を備え、
    前記ブート規則セットは、
    前記ブート証明書を発行したブート機関によって各コンポーネント証明書が署名されていること、
    前記ブート証明書の発行日時点で各コンポーネント証明書が有効であること、及び、
    前記ブート証明書に関連付けられた廃棄リストに各オペレーティングシステムコンポーネントがリストされていないこと
    の条件を満たす場合に前記オペレーティングシステムコンポーネントをロードすることを許可する規則を含むこと
    を特徴とする方法。
  5. 前記処理ユニットが、前記複数のオペレーティングシステムコンポーネントのうち1つが前記ブート規則セットを満たさない場合に、前記検証済みのオペレーティングシステムアイデンティティを未検証のオペレーティングシステムアイデンティティを示す値に設定するステップをさらに備えることを特徴とする請求項4に記載の方法。
  6. 前記記憶部に記憶されたオペレーティングシステムコンポーネントを再度安全に保護するステップは、
    前記新しいブート証明書がブート証明書を発行したブート機関と同一のブート機関によって発行されたことを検証すること、
    前記新しいブート証明書が、ブート証明書よりも後の日付で発行されたことを検証すること、
    前記オペレーティングシステムコンポーネントが満了していないことを検証すること、
    前記オペレーティングシステムコンポーネントを検証済みのオペレーティングシステムアイデンティティを使って開封(unseal)すること、
    前記オペレーティングシステムコンポーネントをコピーすること、及び、
    前記新しい検証済みのオペレーティングシステムアイデンティティを使って前記オペレーティングシステムコンポーネントの該コピーを密封(seal)すること
    を含むことを特徴とする請求項4に記載の方法。
  7. コンピュータ化されたシステムであって、
    処理ユニットと、
    システムバスを介して前記処理ユニットに結合されたシステムメモリと、
    システムバスを介して前記処理ユニットに結合されたコンピュータ読取り可能媒体と、
    前記処理ユニットによって前記コンピュータ読取り可能媒体から実行されて、前記処理ユニットに、ソフトウェアコンポーネントをブートするときに本システムのユーザに対してブート証明書を選択するように要求させるブートマネージャと、
    前記処理ユニットによって前記コンピュータ読取り可能媒体から実行されて、前記ユーザの指示に基づいて選択された前記ブート証明書のブート規則セットに基づいて前記処理ユニットにソフトウェアコンポーネントをブートさせるブートローダであって、前記ブート規則が満たされているとき、前記システムのオペレーティングシステムを一意に決定するデータと前記ブート証明書とから検証済みのオペレーティングシステムアイデンティティを前記処理ユニットに作成させるブートローダと、
    前記処理ユニットに結合されたワイドエリアネットワーク接続と
    を備え、
    前記ブート証明書は、ートされ前記オペレーティングシステムの妥当性を証明するブート機関によって発行および署名され、前記コンピュータ読取り可能媒体に記憶された証明書であり、
    前記オペレーティングシステムは、前記ブート規則に従ってブートされ、前記処理ユニットに、前記検証済みのオペレーティングシステムアイデンティティ及び前記ブート証明書をサーバコンピュータに伝送させ、前記オペレーティングシステムはさらに、前記ワイドエリアネットワーク接続を介して前記サーバコンピュータからダウンロードされたデータを検証済みのオペレーティングシステムアイデンティティを用いて安全に保護して前記コンピュータ読取り可能媒体に記憶させる検証済みのオペレーティングシステムであり、
    前記ブート規則セットは、
    前記ブート証明書を発行したブート機関によって各コンポーネント証明書が署名されていること、
    前記ブート証明書の発行日時点で各コンポーネント証明書が有効であること、及び、
    前記ブート証明書に関連付けられた廃棄リストに前記オペレーティングシステムを構成する部品である各オペレーティングシステムコンポーネントがリストされていないこと
    の条件を満たす場合に前記オペレーティングシステムコンポーネントをロードすることを許可する規則を含むこと
    を特徴とするコンピュータ化されたシステム。
  8. 前記検証済みのオペレーティングシステムは、さらに前記処理ユニットに、新しいブート証明書を取得させ、前記新しいブート証明書から新しい検証済みのオペレーティングシステムアイデンティティを作成させ、前記検証済みのオペレーティングシステムアイデンティティで安全に保護されたダウンロード済みのデータを開封させ、さらに前記ダウンロード済みのデータを前記新しい検証済みのオペレーティングシステムアイデンティティを用いて再度密封させることを特徴とする請求項7に記載のコンピュータ化されたシステム。
  9. 理ユニットと、オペレーティングシステムを記憶する記憶部を有するクライアントコンピュータに、
    前記処理ユニットが、前記記憶部に記憶された1又は複数のブート証明書の中からブート証明書を前記オペレーティングシステムをブートするときに前記クライアントコンピュータのユーザの指示に基づいて選択するステップであって、前記ブート証明書は、ートされる前記オペレーティングシステムの妥当性を証明するブート機関によって発行および署名された証明書である、ステップと、
    前記処理ユニットが、前記オペレーティングシステムまたは前記オペレーティングシステムのクラスを一意に決定するデータと前記ブート証明書とから妥当性を検証済みのオペレーティングシステムアイデンティティを作成するステップと、
    前記処理ユニットが、前記ブート証明書に含まれるブート規則セットに従って、前記記憶部から前記オペレーティングシステムを構成する複数の部品である複数のオペレーティングシステムコンポーネントをそれぞれ1つずつロードするステップと
    を実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体であって、
    前記複数のオペレーティングシステムコンポーネントのそれぞれは、前記ブート証明書に署名した同一のブート機関によって発行および署名されたコンポーネント証明書であって、前記記憶部に記憶された証明書であるコンポーネント証明書に関連付けられており、
    前記ブート規則セットは、
    前記ブート証明書を発行したブート機関によって各コンポーネント証明書が署名されていること、
    前記ブート証明書の発行日時点で各コンポーネント証明書が有効であること、及び、
    前記ブート証明書に関連付けられた廃棄リストに各オペレーティングシステムコンポーネントがリストされていないこと
    の条件を満たす場合に前記オペレーティングシステムコンポーネントをロードすることを許可する規則を含むこと
    を特徴とするコンピュータ読み取り可能な記録媒体。
  10. さらに前記処理ユニットは、前記複数のオペレーティングシステムコンポーネントのうち1つが前記ブート規則セットを満たしていない場合に、前記検証済みのオペレーティングシステムアイデンティティを未検証のオペレーティングシステムアイデンティティを示す値に設定することを特徴とする請求項9に記載のコンピュータ読み取り可能な記録媒体。
  11. 理ユニットと、オペレーティングシステムを記憶する記憶部と、通信部を有するコンピュータに、
    前記処理ユニットが、前記記憶部に記憶された1又は複数のブート証明書の中からブート証明書を前記オペレーティングシステムをブートするときに前記クライアントコンピュータのユーザの指示に基づいて選択するステップであって、前記ブート証明書は、ートされる前記オペレーティングシステムの妥当性を証明するブート機関によって発行および署名された証明書である、ステップと、
    前記処理ユニットが、前記オペレーティングシステムまたは前記オペレーティングシステムのクラスを一意に決定するデータと前記ブート証明書とから妥当性を検証済みのオペレーティングシステムアイデンティティを作成するステップと、
    前記処理ユニットが、前記ブート証明書に含まれるブート規則セットに従って、前記記憶部から前記オペレーティングシステムを構成する複数の部品である複数のオペレーティングシステムコンポーネントをそれぞれ1つずつロードするステップと、
    前記処理ユニットが、前記通信部を介して新しいブート証明書を取得するステップと、
    前記処理ユニットが、前記オペレーティングシステムまたは前記オペレーティングシステムのクラスを一意に決定するデータと前記新しいブート証明書とから新しい検証済みのオペレーティングシステムアイデンティティを作成するステップと、
    前記処理ユニットが、前記新しい検証済みのオペレーティングシステムアイデンティティを使って前記記憶部に記憶されたオペレーティングシステムコンポーネントを安全に保護するステップと
    を実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体であって、
    前記ブート規則セットは、
    前記ブート証明書を発行したブート機関によって各コンポーネント証明書が署名されていること、
    前記ブート証明書の発行日時点で各コンポーネント証明書が有効であること、及び、
    前記ブート証明書に関連付けられた廃棄リストに各オペレーティングシステムコンポーネントがリストされていないこと
    の条件を満たす場合に前記オペレーティングシステムコンポーネントをロードすることを許可する規則を含むこと
    を特徴とするコンピュータ読み取り可能な記録媒体。
  12. 前記処理ユニットが、前記複数のオペレーティングシステムコンポーネントのうち1つが前記ブート規則セットを満たさない場合に、前記検証済みのオペレーティングシステムアイデンティティを未検証のオペレーティングシステムアイデンティティを示す値に設定するステップをさらに実行させるためのプログラムを記録した請求項11に記載のコンピュータ読み取り可能な記録媒体。
JP2009057984A 1999-12-10 2009-03-11 コンポーネントをロードするための方法、システム及び記録媒体 Expired - Fee Related JP4550147B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US09/459,242 US6757824B1 (en) 1999-12-10 1999-12-10 Client-side boot domains and boot rules

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2001544115A Division JP4310063B2 (ja) 1999-12-10 2000-12-07 クライアント側のデジタルコンテンツロード方法

Publications (2)

Publication Number Publication Date
JP2009123247A JP2009123247A (ja) 2009-06-04
JP4550147B2 true JP4550147B2 (ja) 2010-09-22

Family

ID=23823987

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2001544115A Expired - Fee Related JP4310063B2 (ja) 1999-12-10 2000-12-07 クライアント側のデジタルコンテンツロード方法
JP2009057984A Expired - Fee Related JP4550147B2 (ja) 1999-12-10 2009-03-11 コンポーネントをロードするための方法、システム及び記録媒体

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2001544115A Expired - Fee Related JP4310063B2 (ja) 1999-12-10 2000-12-07 クライアント側のデジタルコンテンツロード方法

Country Status (7)

Country Link
US (3) US6757824B1 (ja)
EP (1) EP1374039B1 (ja)
JP (2) JP4310063B2 (ja)
AT (1) ATE483199T1 (ja)
AU (1) AU4713801A (ja)
DE (1) DE60045043D1 (ja)
WO (1) WO2001042889A2 (ja)

Families Citing this family (88)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1056010A1 (en) 1999-05-28 2000-11-29 Hewlett-Packard Company Data integrity monitoring in trusted computing entity
EP1055990A1 (en) 1999-05-28 2000-11-29 Hewlett-Packard Company Event logging in a computing platform
EP1085396A1 (en) 1999-09-17 2001-03-21 Hewlett-Packard Company Operation of trusted state in computing platform
US7594107B1 (en) * 1999-12-20 2009-09-22 Entrust, Inc. Method and apparatus for updating web certificates
US7032219B2 (en) * 2000-02-25 2006-04-18 Wind River Systems, Inc. System and method for implementing a project facility
US20010034846A1 (en) * 2000-02-28 2001-10-25 Peter Beery Digital data and software security protection
GB2366640B (en) * 2000-03-30 2004-12-29 Ibm Distribution of activation information
GB0020441D0 (en) * 2000-08-18 2000-10-04 Hewlett Packard Co Performance of a service on a computing platform
GB2376763B (en) 2001-06-19 2004-12-15 Hewlett Packard Co Demonstrating integrity of a compartment of a compartmented operating system
GB0102518D0 (en) * 2001-01-31 2001-03-21 Hewlett Packard Co Trusted operating system
GB0102516D0 (en) * 2001-01-31 2001-03-21 Hewlett Packard Co Trusted gateway system
GB2372592B (en) * 2001-02-23 2005-03-30 Hewlett Packard Co Information system
GB2372593B (en) * 2001-02-23 2005-05-18 Hewlett Packard Co Electronic communication
GB2372594B (en) * 2001-02-23 2004-10-06 Hewlett Packard Co Trusted computing environment
GB2372595A (en) * 2001-02-23 2002-08-28 Hewlett Packard Co Method of and apparatus for ascertaining the status of a data processing environment.
GB2372591A (en) * 2001-02-23 2002-08-28 Hewlett Packard Co Method of investigating transactions in a data processing environment
WO2002095552A2 (en) * 2001-05-18 2002-11-28 Imprivata, Inc. Authentication with variable biometric templates
GB2376761A (en) * 2001-06-19 2002-12-24 Hewlett Packard Co An arrangement in which a process is run on a host operating system but may be switched to a guest system if it poses a security risk
GB2376762A (en) * 2001-06-19 2002-12-24 Hewlett Packard Co Renting a computing environment on a trusted computing platform
GB2376765B (en) * 2001-06-19 2004-12-29 Hewlett Packard Co Multiple trusted computing environments with verifiable environment identities
GB2376764B (en) * 2001-06-19 2004-12-29 Hewlett Packard Co Multiple trusted computing environments
GB0114898D0 (en) * 2001-06-19 2001-08-08 Hewlett Packard Co Interaction with electronic services and markets
US7206933B2 (en) 2001-07-09 2007-04-17 Advanced Micro Devices, Inc. Software modem with privileged mode driver authentication
EP1282023A1 (en) * 2001-07-30 2003-02-05 Hewlett-Packard Company Trusted platform evaluation
GB2378272A (en) * 2001-07-31 2003-02-05 Hewlett Packard Co Method and apparatus for locking an application within a trusted environment
US7159240B2 (en) * 2001-11-16 2007-01-02 Microsoft Corporation Operating system upgrades in a trusted operating system environment
US7137004B2 (en) * 2001-11-16 2006-11-14 Microsoft Corporation Manifest-based trusted agent management in a trusted operating system environment
GB2382419B (en) * 2001-11-22 2005-12-14 Hewlett Packard Co Apparatus and method for creating a trusted environment
US7096203B2 (en) * 2001-12-14 2006-08-22 Duet General Partnership Method and apparatus for dynamic renewability of content
US7181603B2 (en) * 2002-03-12 2007-02-20 Intel Corporation Method of secure function loading
US7103914B2 (en) 2002-06-17 2006-09-05 Bae Systems Information Technology Llc Trusted computer system
US20040098591A1 (en) * 2002-11-15 2004-05-20 Fahrny James W. Secure hardware device authentication method
US7181604B2 (en) * 2003-02-13 2007-02-20 Sun Microsystems, Inc. Method and apparatus for configuring the boot options of a multi-domain system
US7467417B2 (en) * 2003-06-18 2008-12-16 Architecture Technology Corporation Active verification of boot firmware
US8456475B2 (en) * 2003-06-30 2013-06-04 Microsoft Corporation Motion line switching in a virtual environment
US7246103B2 (en) * 2003-06-30 2007-07-17 Microsoft Corporation Probabilistic model of distraction for a virtual reality environment
US7358973B2 (en) 2003-06-30 2008-04-15 Microsoft Corporation Mixture model for motion lines in a virtual reality environment
JP4657641B2 (ja) * 2003-07-25 2011-03-23 株式会社リコー 証明書設定方法及び証明書設定装置
US20050154921A1 (en) * 2004-01-09 2005-07-14 General Instruments Corporation Method and apparatus for providing a security profile
TW200535602A (en) * 2004-04-16 2005-11-01 Hon Hai Prec Ind Co Ltd A system and method for testing motherboards automatically
EP1594316A1 (en) * 2004-05-03 2005-11-09 Thomson Licensing Certificate validity checking
US8006100B2 (en) * 2004-06-10 2011-08-23 Oracle America, Inc. Enhancing trusted platform module performance
US7694121B2 (en) * 2004-06-30 2010-04-06 Microsoft Corporation System and method for protected operating system boot using state validation
US7725703B2 (en) * 2005-01-07 2010-05-25 Microsoft Corporation Systems and methods for securely booting a computer with a trusted processing module
US8028172B2 (en) 2005-01-14 2011-09-27 Microsoft Corporation Systems and methods for updating a secure boot process on a computer with a hardware security module
US7565553B2 (en) * 2005-01-14 2009-07-21 Microsoft Corporation Systems and methods for controlling access to data on a computer with a secure boot process
US7506380B2 (en) * 2005-01-14 2009-03-17 Microsoft Corporation Systems and methods for boot recovery in a secure boot process on a computer with a hardware security module
JP4732508B2 (ja) 2005-03-22 2011-07-27 ヒューレット−パッカード デベロップメント カンパニー エル.ピー. トラステッドデータのための方法、デバイス、およびデータ構造体
JP4698285B2 (ja) * 2005-05-19 2011-06-08 富士通株式会社 情報処理装置、情報処理方法及びコンピュータプログラム
DE102005043043A1 (de) * 2005-09-09 2007-03-22 Fujitsu Siemens Computers Gmbh Computer mit mindestens einer Anschlussmöglichkeit für ein Wechselspeichermedium und Verfahren zum Starten und Betreiben eines Computers mit einem Wechselspeichermedium
US8201240B2 (en) * 2005-09-16 2012-06-12 Nokia Corporation Simple scalable and configurable secure boot for trusted mobile phones
FR2901038A1 (fr) 2006-05-15 2007-11-16 France Telecom Procede et dispositif de configuration securisee d'un terminal au moyen d'un dispositif de stockage de donnees de demarrage
US8468591B2 (en) 2006-10-13 2013-06-18 Computer Protection Ip, Llc Client authentication and data management system
US8117429B2 (en) * 2006-11-01 2012-02-14 Nokia Corporation System and method for a distributed and flexible configuration of a TCG TPM-based local verifier
US8239688B2 (en) 2007-01-07 2012-08-07 Apple Inc. Securely recovering a computing device
US8254568B2 (en) 2007-01-07 2012-08-28 Apple Inc. Secure booting a computing device
TWI340332B (en) * 2007-02-02 2011-04-11 Ind Tech Res Inst Computerized apparatus and method for version control and management
US9251350B2 (en) * 2007-05-11 2016-02-02 Microsoft Technology Licensing, Llc Trusted operating environment for malware detection
US20220147634A1 (en) * 2007-05-22 2022-05-12 Computer Protection Ip, Llc Client authentication and data management system
US8230412B2 (en) * 2007-08-31 2012-07-24 Apple Inc. Compatible trust in a computing device
WO2009044533A1 (ja) * 2007-10-05 2009-04-09 Panasonic Corporation セキュアブート端末、セキュアブート方法、セキュアブートプログラム、記録媒体及び集積回路
US7962737B2 (en) * 2007-11-21 2011-06-14 Dell Products L.P. Methods, media and apparatus for booting diskless systems
US9069990B2 (en) 2007-11-28 2015-06-30 Nvidia Corporation Secure information storage system and method
EA201070673A1 (ru) * 2008-01-30 2011-02-28 Панасоник Корпорэйшн Безопасная начальная загрузка с помощью способа необязательных компонентов
US9158896B2 (en) * 2008-02-11 2015-10-13 Nvidia Corporation Method and system for generating a secure key
US20090204801A1 (en) * 2008-02-11 2009-08-13 Nvidia Corporation Mechanism for secure download of code to a locked system
US9069706B2 (en) * 2008-02-11 2015-06-30 Nvidia Corporation Confidential information protection system and method
US9613215B2 (en) 2008-04-10 2017-04-04 Nvidia Corporation Method and system for implementing a secure chain of trust
US8150039B2 (en) 2008-04-15 2012-04-03 Apple Inc. Single security model in booting a computing device
DE102008029636A1 (de) * 2008-06-23 2009-12-24 Giesecke & Devrient Gmbh Freischalten eines Dienstes auf einem elektronischen Gerät
US8095799B2 (en) * 2008-07-28 2012-01-10 Apple Inc. Ticket authorized secure installation and boot
US9256728B2 (en) * 2008-11-26 2016-02-09 Nokia Technologies Oy Method, apparatus, and computer program product for managing software versions
WO2010097090A2 (en) * 2009-02-25 2010-09-02 Aarhus Universitet Controlled computer environment
US8271754B2 (en) * 2009-10-05 2012-09-18 Advanced Micro Devices, Inc. Simple preconfigured client management failsafe
JP2013528872A (ja) 2010-06-02 2013-07-11 ヴイエムウェア インク マルチ・テナント・クラウドにおける顧客仮想計算機の保護
US8566596B2 (en) * 2010-08-24 2013-10-22 Cisco Technology, Inc. Pre-association mechanism to provide detailed description of wireless services
US9256745B2 (en) * 2011-03-01 2016-02-09 Microsoft Technology Licensing, Llc Protecting operating system configuration values using a policy identifying operating system configuration settings
US8839004B1 (en) * 2012-04-16 2014-09-16 Ionu Security, Inc. Secure cloud computing infrastructure
US9489924B2 (en) 2012-04-19 2016-11-08 Nvidia Corporation Boot display device detection and selection techniques in multi-GPU devices
US9715591B2 (en) * 2012-07-30 2017-07-25 Hewlett-Packard Development Company, L.P. Code validation
CN103886246B (zh) * 2012-12-22 2018-08-31 三星电子株式会社 支持认证装置安全引导的动态改变的方法和设备
US9298923B2 (en) * 2013-09-04 2016-03-29 Cisco Technology, Inc. Software revocation infrastructure
CN106471766B (zh) * 2014-03-31 2019-08-06 爱迪德技术有限公司 密码芯片和相关方法
US10601978B2 (en) * 2014-06-04 2020-03-24 T-Mobile Usa, Inc. Telecommunication device utilization based on heartbeat communication
JP6305284B2 (ja) * 2014-09-10 2018-04-04 株式会社東芝 携帯可能電子装置
US10311240B1 (en) * 2015-08-25 2019-06-04 Google Llc Remote storage security
WO2017161300A1 (en) * 2016-03-17 2017-09-21 Allle Inc. Managing program credentials on electronic devices
US11822664B2 (en) 2020-06-22 2023-11-21 Apple Inc. Securely signing configuration settings

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06103058A (ja) * 1992-05-15 1994-04-15 Addison M Fischer プログラム権限情報データ構造
JPH11143706A (ja) * 1997-11-14 1999-05-28 Mitsubishi Electric Corp ソフトウェアのロードシステム及びロード方法
JPH11282753A (ja) * 1998-03-06 1999-10-15 Internatl Business Mach Corp <Ibm> オブジェクトへのアクセス方法及び装置、オブジェクトへのアクセスを制御するプログラムを格納した記憶媒体

Family Cites Families (106)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4827508A (en) 1986-10-14 1989-05-02 Personal Library Software, Inc. Database usage metering and protection system and method
US4977594A (en) 1986-10-14 1990-12-11 Electronic Publishing Resources, Inc. Database usage metering and protection system and method
US5050213A (en) 1986-10-14 1991-09-17 Electronic Publishing Resources, Inc. Database usage metering and protection system and method
US5140634A (en) 1987-09-07 1992-08-18 U.S Philips Corporation Method and apparatus for authenticating accreditations and for authenticating and signing messages
US4969189A (en) 1988-06-25 1990-11-06 Nippon Telegraph & Telephone Corporation Authentication system and apparatus therefor
US5007082A (en) * 1988-08-03 1991-04-09 Kelly Services, Inc. Computer software encryption apparatus
US5023907A (en) 1988-09-30 1991-06-11 Apollo Computer, Inc. Network license server
DE3906349A1 (de) 1989-03-01 1990-09-13 Hartmut Hennige Verfahren und vorrichtung zur vereinfachung des gebrauchs einer vielzahl von kreditkarten u. dgl.
US5335334A (en) 1990-08-31 1994-08-02 Hitachi, Ltd. Data processing apparatus having a real memory region with a corresponding fixed memory protection key value and method for allocating memories therefor
FR2673476B1 (fr) 1991-01-18 1996-04-12 Gemplus Card Int Procede securise de chargement de plusieurs applications dans une carte a memoire a microprocesseur.
US5940504A (en) 1991-07-01 1999-08-17 Infologic Software, Inc. Licensing management system and method in which datagrams including an address of a licensee and indicative of use of a licensed product are sent from the licensee's site
GB2260629B (en) 1991-10-16 1995-07-26 Intel Corp A segment descriptor cache for a microprocessor
US5557518A (en) 1994-04-28 1996-09-17 Citibank, N.A. Trusted agents for open electronic commerce
US5365589A (en) 1992-02-07 1994-11-15 Gutowitz Howard A Method and apparatus for encryption, decryption and authentication using dynamical systems
JP3073590B2 (ja) 1992-03-16 2000-08-07 富士通株式会社 電子化データ保護システム、使用許諾者側装置および使用者側装置
US5421006A (en) 1992-05-07 1995-05-30 Compaq Computer Corp. Method and apparatus for assessing integrity of computer system software
US5349643A (en) * 1993-05-10 1994-09-20 International Business Machines Corporation System and method for secure initial program load for diskless workstations
US5860099A (en) * 1993-05-12 1999-01-12 Usar Systems, Inc. Stored program system with protected memory and secure signature extraction
US5544246A (en) 1993-09-17 1996-08-06 At&T Corp. Smartcard adapted for a plurality of service providers and for remote installation of same
AU1265195A (en) * 1993-12-06 1995-06-27 Telequip Corporation Secure computer memory card
FR2713803B1 (fr) 1993-12-07 1996-01-12 Gemplus Card Int Carte à mémoire et procédé de fonctionnement.
US5491827A (en) 1994-01-14 1996-02-13 Bull Hn Information Systems Inc. Secure application card for sharing application data and procedures among a plurality of microprocessors
US5812980A (en) 1994-02-22 1998-09-22 Sega Enterprises, Ltd. Program operating apparatus
US5787172A (en) * 1994-02-24 1998-07-28 The Merdan Group, Inc. Apparatus and method for establishing a cryptographic link between elements of a system
US5473692A (en) 1994-09-07 1995-12-05 Intel Corporation Roving software license for a hardware agent
US5999711A (en) 1994-07-18 1999-12-07 Microsoft Corporation Method and system for providing certificates holding authentication and authorization information for users/machines
US5557765A (en) * 1994-08-11 1996-09-17 Trusted Information Systems, Inc. System and method for data recovery
US5654746A (en) 1994-12-01 1997-08-05 Scientific-Atlanta, Inc. Secure authorization and control method and apparatus for a game delivery service
US6157721A (en) 1996-08-12 2000-12-05 Intertrust Technologies Corp. Systems and methods using cryptography to protect secure computing environments
US5892900A (en) 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
CN100452071C (zh) 1995-02-13 2009-01-14 英特特拉斯特技术公司 用于安全交易管理和电子权利保护的系统和方法
US5943422A (en) 1996-08-12 1999-08-24 Intertrust Technologies Corp. Steganographic techniques for securely delivering electronic digital rights management control information over insecure communication channels
US5745886A (en) 1995-06-07 1998-04-28 Citibank, N.A. Trusted agents for open distribution of electronic money
US5664016A (en) 1995-06-27 1997-09-02 Northern Telecom Limited Method of building fast MACS from hash functions
US5638446A (en) 1995-08-28 1997-06-10 Bell Communications Research, Inc. Method for the secure distribution of electronic files in a distributed environment
US5671280A (en) 1995-08-30 1997-09-23 Citibank, N.A. System and method for commercial payments using trusted agents
US5721781A (en) 1995-09-13 1998-02-24 Microsoft Corporation Authentication system and method for smart card transactions
US6393495B1 (en) * 1995-11-21 2002-05-21 Diamond Multimedia Systems, Inc. Modular virtualizing device driver architecture
US5812662A (en) 1995-12-18 1998-09-22 United Microelectronics Corporation Method and apparatus to protect computer software
JP2000503154A (ja) 1996-01-11 2000-03-14 エムアールジェイ インコーポレイテッド デジタル所有権のアクセスと分配を制御するためのシステム
US6038551A (en) 1996-03-11 2000-03-14 Microsoft Corporation System and method for configuring and managing resources on a multi-purpose integrated circuit card using a personal computer
US5991876A (en) 1996-04-01 1999-11-23 Copyright Clearance Center, Inc. Electronic rights management and authorization system
US5802592A (en) * 1996-05-31 1998-09-01 International Business Machines Corporation System and method for protecting integrity of alterable ROM using digital signatures
US5944821A (en) 1996-07-11 1999-08-31 Compaq Computer Corporation Secure software registration and integrity assessment in a computer system
US5872847A (en) 1996-07-30 1999-02-16 Itt Industries, Inc. Using trusted associations to establish trust in a computer network
US5841869A (en) 1996-08-23 1998-11-24 Cheyenne Property Trust Method and apparatus for trusted processing
US6148083A (en) * 1996-08-23 2000-11-14 Hewlett-Packard Company Application certification for an international cryptography framework
US5892902A (en) 1996-09-05 1999-04-06 Clark; Paul C. Intelligent token protected system with network authentication
US5958050A (en) * 1996-09-24 1999-09-28 Electric Communities Trusted delegation system
US6006332A (en) 1996-10-21 1999-12-21 Case Western Reserve University Rights management system for digital media
JP2000514584A (ja) * 1996-10-25 2000-10-31 シュルンベルジェ システーム 高級プログラミング言語を用いたマイクロコントローラ
US6167520A (en) * 1996-11-08 2000-12-26 Finjan Software, Inc. System and method for protecting a client during runtime from hostile downloadables
US5892904A (en) 1996-12-06 1999-04-06 Microsoft Corporation Code certification for network transmission
US6367012B1 (en) 1996-12-06 2002-04-02 Microsoft Corporation Embedding certifications in executable files for network transmission
US5757919A (en) 1996-12-12 1998-05-26 Intel Corporation Cryptographically protected paging subsystem
US6009274A (en) 1996-12-13 1999-12-28 3Com Corporation Method and apparatus for automatically updating software components on end systems over a network
US6381741B1 (en) * 1998-05-18 2002-04-30 Liberate Technologies Secure data downloading, recovery and upgrading
US6192473B1 (en) 1996-12-24 2001-02-20 Pitney Bowes Inc. System and method for mutual authentication and secure communications between a postage security device and a meter server
US6073124A (en) 1997-01-29 2000-06-06 Shopnow.Com Inc. Method and system for securely incorporating electronic information into an online purchasing application
US6542610B2 (en) 1997-01-30 2003-04-01 Intel Corporation Content protection for digital transmission systems
US5953502A (en) 1997-02-13 1999-09-14 Helbig, Sr.; Walter A Method and apparatus for enhancing computer system security
US6317832B1 (en) * 1997-02-21 2001-11-13 Mondex International Limited Secure multiple application card system and process
US5920861A (en) 1997-02-25 1999-07-06 Intertrust Technologies Corp. Techniques for defining using and manipulating rights management data structures
US6477648B1 (en) * 1997-03-23 2002-11-05 Novell, Inc. Trusted workstation in a networked client/server computing system
DE69805403T2 (de) * 1997-03-27 2002-12-05 British Telecomm Datenkopierschutz
US6212636B1 (en) 1997-05-01 2001-04-03 Itt Manufacturing Enterprises Method for establishing trust in a computer network via association
US5974546A (en) * 1997-05-08 1999-10-26 Micron Electronics, Inc. Apparatus and method to determine cause of failed boot sequence to improve likelihood of successful subsequent boot attempt
US6229894B1 (en) 1997-07-14 2001-05-08 Entrust Technologies, Ltd. Method and apparatus for access to user-specific encryption information
US6584565B1 (en) * 1997-07-15 2003-06-24 Hewlett-Packard Development Company, L.P. Method and apparatus for long term verification of digital signatures
JPH1145507A (ja) 1997-07-24 1999-02-16 Toshiba Corp 情報再生装置、認識装置、情報処理システム
US5919257A (en) * 1997-08-08 1999-07-06 Novell, Inc. Networked workstation intrusion detection system
US6032257A (en) 1997-08-29 2000-02-29 Compaq Computer Corporation Hardware theft-protection architecture
US6185678B1 (en) * 1997-10-02 2001-02-06 Trustees Of The University Of Pennsylvania Secure and reliable bootstrap architecture
US6148387A (en) * 1997-10-09 2000-11-14 Phoenix Technologies, Ltd. System and method for securely utilizing basic input and output system (BIOS) services
US6026166A (en) 1997-10-20 2000-02-15 Cryptoworx Corporation Digitally certifying a user identity and a computer system in combination
US6112181A (en) 1997-11-06 2000-08-29 Intertrust Technologies Corporation Systems and methods for matching, selecting, narrowcasting, and/or classifying based on rights management and/or other information
US5991399A (en) 1997-12-18 1999-11-23 Intel Corporation Method for securely distributing a conditional use private key to a trusted entity on a remote system
US6560706B1 (en) * 1998-01-26 2003-05-06 Intel Corporation Interface for ensuring system boot image integrity and authenticity
US6148402A (en) 1998-04-01 2000-11-14 Hewlett-Packard Company Apparatus and method for remotely executing commands using distributed computing environment remote procedure calls
US6009401A (en) 1998-04-06 1999-12-28 Preview Systems, Inc. Relicensing of electronically purchased software
US6175917B1 (en) * 1998-04-23 2001-01-16 Vpnet Technologies, Inc. Method and apparatus for swapping a computer operating system
US6118873A (en) 1998-04-24 2000-09-12 International Business Machines Corporation System for encrypting broadcast programs in the presence of compromised receiver devices
US6223284B1 (en) * 1998-04-30 2001-04-24 Compaq Computer Corporation Method and apparatus for remote ROM flashing and security management for a computer system
US6092189A (en) * 1998-04-30 2000-07-18 Compaq Computer Corporation Channel configuration program server architecture
US6363486B1 (en) 1998-06-05 2002-03-26 Intel Corporation Method of controlling usage of software components
US6189100B1 (en) 1998-06-30 2001-02-13 Microsoft Corporation Ensuring the integrity of remote boot client data
US6105137A (en) 1998-07-02 2000-08-15 Intel Corporation Method and apparatus for integrity verification, authentication, and secure linkage of software modules
US7346580B2 (en) 1998-08-13 2008-03-18 International Business Machines Corporation Method and system of preventing unauthorized rerecording of multimedia content
US6735696B1 (en) * 1998-08-14 2004-05-11 Intel Corporation Digital content protection using a secure booting method and apparatus
US6230285B1 (en) 1998-09-08 2001-05-08 Symantec Corporation Boot failure recovery
US6327660B1 (en) * 1998-09-18 2001-12-04 Intel Corporation Method for securing communications in a pre-boot environment
US6609199B1 (en) * 1998-10-26 2003-08-19 Microsoft Corporation Method and apparatus for authenticating an open system application to a portable IC device
US6327652B1 (en) 1998-10-26 2001-12-04 Microsoft Corporation Loading and identifying a digital rights management operating system
US6820063B1 (en) * 1998-10-26 2004-11-16 Microsoft Corporation Controlling access to content based on certificates and access predicates
JP4764536B2 (ja) * 1998-11-17 2011-09-07 株式会社リコー 画像計測機器
US6330588B1 (en) 1998-12-21 2001-12-11 Philips Electronics North America Corporation Verification of software agents and agent activities
US6272629B1 (en) * 1998-12-29 2001-08-07 Intel Corporation Method and apparatus for establishing network connection for a processor without an operating system boot
US6263431B1 (en) * 1998-12-31 2001-07-17 Intle Corporation Operating system bootstrap security mechanism
US7130831B2 (en) 1999-02-08 2006-10-31 Copyright Clearance Center, Inc. Limited-use browser and security system
US6480961B2 (en) 1999-03-02 2002-11-12 Audible, Inc. Secure streaming of digital audio/visual content
US6389537B1 (en) 1999-04-23 2002-05-14 Intel Corporation Platform and method for assuring integrity of trusted agent communications
AU6097000A (en) * 1999-07-15 2001-02-05 Frank W Sudia Certificate revocation notification systems
US6477252B1 (en) 1999-08-29 2002-11-05 Intel Corporation Digital video content transmission ciphering and deciphering method and apparatus
US20020042754A1 (en) 2000-10-10 2002-04-11 Del Beccaro David J. System and method for receiving broadcast audio/video works and for enabling a consumer to purchase the received audio/video works
WO2002073438A1 (en) * 2001-03-13 2002-09-19 Izorch Systems Method and system for management of remote devices
US7580988B2 (en) 2001-04-05 2009-08-25 Intertrust Technologies Corporation System and methods for managing the distribution of electronic content

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06103058A (ja) * 1992-05-15 1994-04-15 Addison M Fischer プログラム権限情報データ構造
JPH11143706A (ja) * 1997-11-14 1999-05-28 Mitsubishi Electric Corp ソフトウェアのロードシステム及びロード方法
JPH11282753A (ja) * 1998-03-06 1999-10-15 Internatl Business Mach Corp <Ibm> オブジェクトへのアクセス方法及び装置、オブジェクトへのアクセスを制御するプログラムを格納した記憶媒体

Also Published As

Publication number Publication date
DE60045043D1 (de) 2010-11-11
JP4310063B2 (ja) 2009-08-05
WO2001042889A3 (en) 2003-10-16
US20050097328A1 (en) 2005-05-05
JP2004504648A (ja) 2004-02-12
WO2001042889A2 (en) 2001-06-14
ATE483199T1 (de) 2010-10-15
EP1374039A2 (en) 2004-01-02
US20040193873A1 (en) 2004-09-30
US7512786B2 (en) 2009-03-31
US6757824B1 (en) 2004-06-29
US6978365B2 (en) 2005-12-20
EP1374039B1 (en) 2010-09-29
AU4713801A (en) 2001-06-18
JP2009123247A (ja) 2009-06-04

Similar Documents

Publication Publication Date Title
JP4550147B2 (ja) コンポーネントをロードするための方法、システム及び記録媒体
US7424606B2 (en) System and method for authenticating an operating system
US7996669B2 (en) Computer platforms and their methods of operation
EP0993631B1 (en) Processing apparatus and method
US6330670B1 (en) Digital rights management operating system
US6327652B1 (en) Loading and identifying a digital rights management operating system
US6820063B1 (en) Controlling access to content based on certificates and access predicates
US7568114B1 (en) Secure transaction processor
US7386736B2 (en) Method and system for using a compact disk as a smart key device
US7159240B2 (en) Operating system upgrades in a trusted operating system environment
US7711951B2 (en) Method and system for establishing a trust framework based on smart key devices
US20050060549A1 (en) Controlling access to content based on certificates and access predicates
US20050154898A1 (en) Method and system for protecting master secrets using smart key devices
US20060015860A1 (en) System and method for storing attributes in a file for processing an operating system
US20060015723A1 (en) System and method for authorizing the use of stored information in an operating system
KR20080008328A (ko) 보호 컴퓨팅 환경의 갱신 가능하고 개별화 가능한 요소

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090311

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100326

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100521

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100702

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100707

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4550147

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130716

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees