JP5149195B2 - モービル・セキュリティ・システム及び方法 - Google Patents

モービル・セキュリティ・システム及び方法 Download PDF

Info

Publication number
JP5149195B2
JP5149195B2 JP2008541418A JP2008541418A JP5149195B2 JP 5149195 B2 JP5149195 B2 JP 5149195B2 JP 2008541418 A JP2008541418 A JP 2008541418A JP 2008541418 A JP2008541418 A JP 2008541418A JP 5149195 B2 JP5149195 B2 JP 5149195B2
Authority
JP
Japan
Prior art keywords
memory
zone
module
security
debug
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008541418A
Other languages
English (en)
Other versions
JP2009516879A (ja
Inventor
モーロ、アンソニー・パトリック・ザ・セカンド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of JP2009516879A publication Critical patent/JP2009516879A/ja
Application granted granted Critical
Publication of JP5149195B2 publication Critical patent/JP5149195B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Description

本発明は、一般に携帯電話機のようなモービル・デバイスに係わる。より詳しくは、本発明は、モービル・デバイス及びその他の通信デバイスのためのセキュリティ・システム及び方法に関する。
現在の技術は、様々な通信メディアを介して複数のデバイス間の通信を提供する。例えば、コンピュータは、インターネットを介して日常的に通信する。モービル・デバイス、例えば、携帯電話機及び個人ディジタル補助装置(PDA:personal digital assistants)は、無線手段、アナログ手段、ディジタル手段、及びその他の手段を介して様々なデバイスと通信するために使用される。モービル・デバイスは、例えば、他のモービル・ユニット、コンピュータ・システム及びネットワーク、アナログ電話システムそしてその他のデバイスと通信するために使用されることができる。
モービル・デバイスの接続性及び機能性は、マルチメディア、多機能の使用のために広い場を提供する。例えば、携帯電話機は、別の携帯(無線)電話機及びアナログ電話機と通信するために;ゲーム・パックをダウンロードしそしてランさせるために;音楽をダウンロードしそして再生するために;ビデオをダウンロードしそして見るために;電子的支払方法を使用して製品を購入しそして販売するような商取引(m−コマース)を行うために;カメラとして;別のデバイスに全ての様々なデータと情報を送信するために;そしてカレンダー機能とアドレス・アプリケーション、電子財布ソフトウェア、及びその他のアプリケーションをランさせるために、一般的に使用される。
しかしながら、携帯電話機の機能に本質的なものは、相当量の有害な影響を有する意図的なセキュリティ侵害に関するかなりの機会である。例えば、アイデンティティ窃盗(不正行為及び犯罪行為の目的で使用する個人情報の窃盗)は、現在急速に拡大している犯罪の1つであり、年間15億ドルの推定される関連損害を有する。
ソフトウェア著作権侵害(ソフトウェアの非合法的な盗用又はコピー)は、約130億ドルの年間損害をもたらすと現在推定される。統計的に、3つのうちの1つのソフトウェア・アプリケーションは、著作権侵害される。コンテントの盗用、例えば、映画又は音楽の盗用及び再配信、は、アナログ・コンテントだけの窃盗で30億ドルの損害を結果としてもたらす。ディジタル・コンテントの窃盗は、1日当たり映画だけで350,000の不法コピーと推定される。把握できる損害に加えて、把握できない対価は、莫大なものである。例えば、デバイス製造業者は、セキュリティ侵害に対する潜在的な責任;市場の部分からの潜在的な排除;及び発明者と事業関係への損害に直面することがある。
そのような侵害は、様々な手段を介して、そして様々なハードウェア、ソフトウェア、及び通信のコンポーネントとチャネルを介して実行されている。例えば、脆弱さを利用する単純な方法は、ネットワーク・レベルでパケットを偽造すること又はだますことを含む。その他の手段は、密入(stealth)診断、スニファー(sniffer)、ハイジャック・セッション、及び自動置き換えコードへの裏口アタックにまで及ぶ。任意の単独のハードウェア構成要素、ソフトウェア構成要素、又は今日一般的に使用されている通信リンクに関して、デバイス、コード、関係する情報、又はそれらの組み合わせを危うくする−多数でなくとも−少なくとも1つの手段がある。
そのようなアタック・モデルは、例えば、モデム濫用、アイデンティティ窃盗、ディジタル著作権管理(DRM:digital rights management)侵害、を含む。通信のためにモデムを信頼しているデバイスでは、ユーザは、不当なコードを含んでいるアプリケーションを不注意にダウンロードすることがある。そのコードは、メモリ管理ユニット(MMU:memory management unit)の変更を実行し、それは順番に、それ自身の目的のためにハードウェア構成要素を制御するコードを許容する。
アイデンティティ窃盗のアタック・モデルにおいて、ユーザの個人情報、例えば、非公開キー、ユーザ名、及びパスワード、が携帯電話機から抜き取られる。その情報は、機密認証システムを通過するために使用され、濫用を可能にする。例えば、盗まれた情報は、クレジット口座へのアクセスを電子的に手に入れるために、そしてその口座に請求される購入取引を完了させるために使用されることができる。
ディジタル著作権管理に関するアタック・モデル、又は商取引の違反、それは、音楽のようなマルチメディア・コンテントをダウンロードすること、コンテントを使用するための許可を要請すること、その要請を認証すること、及び許可を購入することを含む、は、コンテント中の知的財産権の所有者から搾取するために頻繁に利用される。例えば、1つのデバイス上のMP3ファイルの使用のための許可を安全にした後で、その許可は、許可を再取決めすることなく複数のデバイスへファイルを“超配送する(superdistribute)”ことができ、そのためコンテントの所有者に許可費用又は著作権使用料を支払うことなく相当量の使用をだまし取る。
その上、セキュリティ問題に対処するための試みは、過去において、新たな有害な問題を結果としてもたらしていた。ソフトウェア解決法は、セキュリティの欠陥に対してまだ高い可能性を有する。ソフトウェア解決法は、しかも検証することが非常に困難である。デバッグする操作とセキュリティは、直交する概念である。信頼をおかれた構成要素と信頼をおかれていない(無防備な)構成要素との間の物理的な分離は、ある種の保護を提供する。マイクロチップ・セット−例えば、PCプラットフォームで使用されているようなもの−のようなハードウェア構成要素は、埋め込まれた、不変のセキュリティ・モジュールを有することができる。しかしながら、そのような“安全なドメイン”は、ハードウェアを変更しないで拡大することが事実上不可能である。したがって、そのように製造されたデバイスの無差別の(wholesale)購入者は、製造者によりそのチップに初期に与えられたフィーチャ(feature)及び機能を不満足ながら受け入れることがある。これは、チップ製造者及び販売者に製造ラインを提供する他の供給者に対する現実性のある解ではない。販売者は、埋め込まれたオペレーティング・システム及びチップと販売者のハードウェアとの間での互換性と機能性とを可能にするための他のコードをアクセスするための能力を有することができる。しかしながら、そのようなアクセスは、システムに侵入するために濫用されることがあり、そしてその意図された目的を否定することがある。この一般に行われている例は、携帯電話機である。製造者は、埋め込まれるセキュリティ・オプションを先行させることができ、カスタム化の目的のためにチップ及び他の構成要素に販売者がアクセスすることを認める。カスタム化しそしてデバイスの小売業者又はカスタマ(ユーザ)に販売した後で、任意の数の関係者は、携帯電話機の様々な構成要素への認可されていないアクセスを得ることができ、大失敗という結果になる。例えば、携帯電話機が動作するダイナミックな環境は、携帯電話機へのサード・パーティ・アプリケーションのダウンロードを認める。アタックは、そのようなダウンロードの形で行われることがあり、その後、そのアプリケーションは、パワー・アンプの制御及びホスト(携帯電話機)と同じ市内の別の携帯電話機との間の無線通信の制御を取得し、可能性として所定の地理的な領域内の全体の通信ネットワークを無力化するという結果をもたらす。
これから分かるように、モービル・デバイスの使用に関係する全ての状況を安全にする必要性がある。特に、モービル・デバイスに対する経済的なセキュリティ・システム及び方法を提供すること、そしてそのようなシステム及び方法に対してセキュリティ違反を同様に防止してハードウェア構成要素とソフトウェア構成要素への認可されたアクセスを可能にすることが望まれる。
サマリー
1つの実施形態は、少なくとも1つの構成要素のエリアに相関付けられる少なくとも1つの信頼ゾーンを含み、該信頼ゾーンは該通信デバイスの該構成要素の該エリアへの信頼のおけるエンティティと信頼されていないエンティティとによるアクセス可能性を決定する。
別の実施形態は、複数のモジュールを有するセキュリティ・マトリックス・モデルを含み、該複数のモジュール中の各モジュールは複数の構成要素中の少なくとも1つの構成要素を安全にする。
さらに別の実施形態は、階層化されたメモリ体系に相関付けられる少なくとも1つの信頼ゾーン、該信頼ゾーンは該通信デバイスの該構成要素の該エリアへの信頼のおけるエンティティ及び信頼されていないエンティティによるアクセス可能性を決定し;複数のモジュールを有するセキュリティ・マトリックス・モデル、該複数のモジュール中の各モジュールは該複数の構成要素中の少なくとも1つの構成要素を安全にし、該セキュリティ・マトリックス・モデルは:メモリを保護するためのメモリ保護モジュール;該デバッグ・モジュールのセキュリティを確実にするための安全なデバッグ・モジュール;該安全なファイル・システムを保護するための安全なファイル・システム・モジュール;及び該複数の構成要素中の少なくとも1つの構成要素を保護するための信頼のおける時間ソース・モジュール、を有し;そしてセキュリティ・モード制御モジュール、を含む。
さらに別の実施形態は、メモリの少なくとも1つの階層に相関付けられる少なくとも1つの信頼ゾーン、該信頼ゾーンは該通信デバイスの該構成要素の該エリアへの信頼のおけるエンティティ及び信頼されていないエンティティによるアクセス可能性を決定する;及びメモリを保護するためのメモリ保護モジュール、を含む。
さらなる実施形態は、メモリの少なくとも1つの階層に相関付けられる少なくとも1つの信頼ゾーン、該信頼ゾーンは該通信デバイスの該構成要素の該エリアへの信頼のおけるエンティティ及び信頼されていないエンティティによるアクセス可能性を決定する;及び安全なデバッグ・モジュールを含む。
しかもなおさらなる実施形態は、メモリの少なくとも1つの階層に相関付けられる少なくとも1つの信頼ゾーン、該信頼ゾーンは該通信デバイスの該構成要素の該エリアへの信頼のおけるエンティティ及び信頼されていないエンティティによるアクセス可能性を決定する;及び安全なファイル・システムを含む。
まださらなる実施形態は、メモリの少なくとも1つの階層に相関付けられる少なくとも1つの信頼ゾーン、該信頼ゾーンは該通信デバイスの該構成要素の該エリアへの信頼のおけるエンティティ及び信頼されていないエンティティによるアクセス可能性を決定する;及び信頼のおけるブート・モジュールを含む。
そのうえの実施形態は、メモリの少なくとも1つの階層に相関付けられる少なくとも1つの信頼ゾーン、該信頼ゾーンは該通信デバイスの該構成要素の該エリアへの信頼のおけるエンティティ及び信頼されていないエンティティによるアクセス可能性を決定する;及び少なくとも1つのオン−チップ・メモリ構成要素を含む。
そのうえの実施形態は、メモリの少なくとも1つの階層に相関付けられる少なくとも1つの信頼ゾーン、該信頼ゾーンは該通信デバイスの該構成要素の該エリアへの信頼のおけるエンティティ及び信頼されていないエンティティによるアクセス可能性を決定する;複数のモジュールを有するセキュリティ・マトリックス・モデル、該複数のモジュール中の各モジュールは該複数の構成要素中の少なくとも1つの構成要素を安全にする、該セキュリティ・マトリックス・モデルは:メモリを保護するためのメモリ保護モジュール;該デバッグ・モジュールのセキュリティを確実にするための安全なデバッグ・モジュール;該安全なファイル・システムを保護するための安全なファイル・システム・モジュール;及び該複数の構成要素中の少なくとも1つの構成要素を保護するための信頼のおける時間ソース・モジュール、を有し、そしてセキュリティ・モード制御モジュール、を含む。
そのうえの実施形態は、少なくとも1つの信頼ゾーンを階層化されたメモリ体系に相関付けるためのステップ、該信頼ゾーンは該通信デバイスの該構成要素の該エリアへの信頼のおけるエンティティ及び信頼されていないエンティティによるアクセス可能性を決定する;メモリ保護モジュールを介してメモリを保護するためのステップ;安全なデバッグ・モジュールを介して該デバッグ・モジュールのセキュリティを確実にするためのステップ;安全なファイル・システム・モジュールを介して該安全なファイル・システムを保護するためのステップ;信頼のおける時間ソース・モジュールを介して該複数の構成要素中の少なくとも1つの構成要素を保護するためのステップ;及びセキュリティ・モード制御モジュールを介して該安全なブート・モード及び安全なデバッグ・モード・セキュリティの論理と信号を統合するためのステップ、を含む。
そのうえの実施形態は、階層化されたメモリの少なくとも1つの階層に少なくとも1つの信頼ゾーンを相関付けること;メモリ保護モジュールを介してメモリを保護すること;安全なデバッグ・モジュールを介して該デバッグ・モジュールの該セキュリティを確実にすること;安全なファイル・システム・モジュールを介して該安全なファイル・システムを保護すること;信頼のおける時間ソース・モジュールを介して該通信デバイスを保護すること;及びセキュリティ・モード制御モジュールを介して安全なブート・モード及び安全なデバッグ・モードのための論理と信号を統合すること、の各ステップを含む。
そのうえの実施形態は、階層化されたメモリの少なくとも1つの階層に少なくとも1つの信頼ゾーンを相関付けるための手段;メモリ保護モジュールを介してメモリを保護するための手段;安全なデバッグ・モジュールを介して該デバッグ・モジュールの該セキュリティを確実にするための手段;安全なファイル・システム・モジュールを介して該安全なファイル・システムを保護するための手段;信頼のおける時間ソース・モジュールを介して該通信デバイスを保護するための手段;及びセキュリティ・モード制御モジュールを介して安全なブート・モード及び安全なデバッグ・モードのための論理と信号を統合するための手段、を含む。
これらの実施形態は、以下の図面、説明及び特許請求の範囲を参照してより良く理解されるようになるであろう。
詳細な説明
下記の詳細な説明は、本発明を実行する最善の現在予想されるモードである。その説明は、限定するという感覚で取り入れられるのではなく、本発明の一般的な原理を説明する目的のために単になされる、というのは、本発明の範囲が特許請求の範囲により最も良く定められるためである。
概して、本発明の実施形態は、様々なコンピュータ・デバイス及び通信デバイスに適用されることができ、携帯電話機、個人ディジタル補助装置(PDA:personal digital assistants)、及び任意の形式又はフォーマットで情報を使用するか、交換するか、送信するか、又は受信するデバイスを含む他の通信デバイス、を含む。本発明の様々な実施形態は、モデムを有するコンピュータ・デバイス又は通信デバイスに特に適用可能であり得る。本発明の複数の実施形態のセキュリティのフィーチャ(feature)は、ソフトウェアに基づくアタック又は物理的なアタックを阻止することが可能であり、それはそうでなければモデムの機能を経由してある程度の制御をアタッカーが取得するという結果をもたらすはずである。
本発明の実施形態は、個別セキュリティ解を有するセキュリティ・マトリックス・モデル及び/又は信頼ゾーン化方式の使用でそのような改善を提供し、その個別セキュリティ解は以降にさらに十分に論じられるように、セキュリティ違反を阻止するために個々に又は様々な組み合わせで利用されることができる。単独で又は組み合わせで使用されると、上記の解のそれぞれは、モデムのオペレーション、アプリケーション、セキュリティ・プロトコル、ユーザ認証プロセス、及び標準に準拠する無線オペレーションのために一般的に使用されるデバイス認証プロセス、m−コマース処理、そしてDRMがイネーブルしたアプリケーションと再生装置、を保護するように動作することができる。様々な組み合わせで使用されると、上記の解は、コンピュータ・デバイス及び通信デバイスのための結合性があり、効率的あり、そして経済的なセキュリティ解を提供する。
対比のために、通信及びデバイスを安全にするように試みる従来技術の発明は、例えあったとしても、信頼のおけるブート及び乱数発生器のような2〜3の別々のセキュリティ・インプリメンテーションを一般的に頼りにする。従来発明のいずれもが、単独で又は組み合わせで、デバイス又は通信セッションに対して包括的なセキュリティ解を提供しない。例えば、信頼のおけるブート解は、モービル・デバイスのブート・シーケンス中の侵入に対するモービル・デバイスのセキュリティを提供するが、デバイス又は通信をデバイスが使用されている間のそれらへのそしてそれらからのアタックに対して無防備のままにする。乱数発生器は、ある種のコード又はアルゴリズムを破るための困難さのレベルを増加させるが、ある種のハードウェア構成要素又は暗号化されていないソフトウェア、例えば、メディア・コンテント、を侵入に対して防御しない。
より詳しくは、本発明の実施形態は、とりわけ、信頼ゾーン化の原理及びセキュリティ・マトリックス・モジュールを利用することができる。信頼ゾーン化の概念は、次のように説明されることができる:信頼ゾーン化は、コンピュータ・デバイス、通信デバイス、又は通信環境、例えば、携帯電話機、に関係する1又はそれより多くのゾーンを規定する。信頼ゾーンは、コンピュータ環境又は通信環境内の、変数か、事前に決められた論理的な境界か、物理的な境界か、又は両者の組み合わせ、によって形成される。コンピュータ環境又は通信環境は、通信ネットワーク又はコンピュータ・ネットワーク;デバイスのグループ;個別のデバイス;デバイス内の又は個別の構成要素又はデバイス内の構成要素又はモジュールのグループ;若しくは個別のデバイス又は構成要素(以降、包括的に“エレメント”と呼ぶ)内のエリア、を含むことができる。各信頼ゾーンは、エレメントの事前に決められたグループを記述する(境界を定める)。各信頼ゾーンは、様々なモードでランしている信頼のおけるエンティティ及び信頼されていないエンティティによる信頼ゾーン内の複数のエレメントへのアクセス可能性の事前に決められたレベルを提供する。例えば、信頼のおけるコードは、全部のメモリ空間へのアクセスを認められることができる、ところがサード・パーティ・アプリケーションは、メモリの不連続のエリア、又はレイヤ、へは禁止されることがある。
階層化されたメモリ概念は、定義されるメモリのタイプとエリアとを含む。複数の階層は、機能的な目的又はその他の基準に応じて、重なることもあるし重ならないこともある。例えば、デバイスの内部で、メモリは、システム・メモリ;周辺メモリ;アプリケーション・ディジタル信号プロセッサ(DSP:digital signal processor)メモリ;及びフラッシュ・メモリ、例えば、NANDフラッシュ・メモリ、の階層を含むことができ、NANDフラッシュ・メモリはブロックと呼ばれるメモリの単位内で消去されそして再書き込みされることが可能な一定電力消費の不揮発性メモリの1つのタイプである。メモリ・セルのある区域が単一の動作すなわち“フラッシュ”で消去されるようにマイクロチップが機能化されているために、フラッシュ・メモリは、その名前を得ている。消去は、ファウラー−ノルドハイム・トンネリングによりもたらされ、そこでは、電子は、薄い、誘電材料を通り抜けて、各メモリ・セル;例えば、NANDゲート又はNORゲート、に付随するフローティング・ゲートから電荷を取り除く。
各階層は、入れ子にされた階層を含むことができる;例えば、周辺メモリは、安全な周辺部と安全でない周辺部として定義されることができる。様々な階層と様々な信頼ゾーンとの間の提携は、その後、機能及びセキュリティを最適化するように設定される。
ここで図面を参照して、そこでは類似の参照符号は、図面全体を通して対応する部分を識別し、本発明の1つの実施形態にしたがった信頼ゾーン化及びメモリ階層を利用するメモリ保護の一例が、図1に示される。メモリ保護モジュールのシステム全体の概要は、10で一般的に示される。メモリ保護モジュールは、それぞれゾーン1−5として示され、そして12−20として番号を付けられた信頼ゾーン凡例を含む。信頼ゾーンは、次の事前に決められた(エンティティとモードに関して、最大の信頼から最低の信頼へと順番に並べられた)定義にしたがって与えられることができる:
ゾーン1:モデム・リソース・マネージャ(プロセッサ)管理モード:信頼のおけるコードと全部のメモリ空間へのアクセスが認められる;
ゾーン2:アプリケーション・ディジタル信号プロセシング(DSP)リアル・タイム・オペレーティング・システム(RTOS:real time operating system)モード:信頼のおけるコードとシステム・メモリ空間へのアクセスが認められる;
ゾーン3:モデム自動化リソース・マネージャ(プロセッサ)ユーザ・モード:モデム制御コード、モデム無線及びDSPメモリ空間へのアクセスが認められる;
ゾーン4:アプリケーションDSPアプレット(applet)実行;信頼されていないコードが認められる;アクセスはアプリケーションDSP RTOS(ゾーン2)により制御される;及び
ゾーン5:アプリケーション・プロセッサの任意のモード:信頼されていないコード、アプリケーション・メモリと周辺部へのアクセスが認められる。
ゾーン1(12)は、例えば、完全に信頼のおけるコードのためであり得て、そして最小の可能なコード・サイズであり得る。それは、コア・オペレーティング・システム機能及び安全なファイル・システムからのハードウェア・キー又は非公開キーを含む暗号法(crypto)動作を実行することができる。
ゾーン2(14)は、例えば、完全に信頼のおけるコードのためであり得て、そして個別のアプリケーションDSPアプレットのアクセス権利を制御することができる。
ゾーン3(16)は、例えば、モデム管理モードである間に無線制御レジスタへの信頼のおけるアクセスを認めることができ、そして全てのコア制御コード、例えば、符号分割多元接続(CDMA:code division multiple access)、移動体通信のためのグローバル・システム(GSM:global system for mobile communications);及びユニバーサル移動体電気通信サービス(UMTS:universal mobile telecommunications service)、を含むことができる。
ゾーン4(18)は、例えば、アプレットに応じてある種のアドレス範囲に対して信頼されることができる。ゾーン2(RTOS)は、ゾーン4のアクセス権利を決定することに対する責任があり得る。
ゾーン5(20)は、例えば、全く信頼されていないことがあり得る。
メモリ保護モジュールは、システム・メモリ22;周辺メモリ24;及びアプリケーションDSPメモリ26のメモリ層をさらに含むことができる。メモリの層は、エリアへとさらに細分化されることができ、次の通りである:システム・メモリ22は、オペレーティング・システム(OS:operating system)カーネルのための30で示されるエリア1;動作ソフトウェア・タスクのための32で示されるエリア2;共有メモリのための34で示されるエリア3;サード・パーティ・アプリケーションOSカーネルとアプリケーションのための36で示されるエリア4;及び専用のワーキング・バッファを有する38で示されるエリア5、を備える。周辺メモリ24は、安全な周辺部のための40で示されるエリア6、及び安全でない周辺部のための42で示されるエリア7、を備える。アプリケーションDSPメモリ26は、RTOSカーネル・アプリケーションのための44で示されるエリア8、及び共有メモリのための46で示されるエリア9、を備える。
携帯電話通信とデバイスにおいて一般的に使用される下記のデータ、制御、リソース・マネージャ、チャネル、及びモードは、この例では:ハードウェア・キー52;モデム・プロセッサ安全スクラッチ・パッド・メモリ(IRAM)54;セキュリティ制御56;直接メモリ・アクセス(DMA)制御58;DMAコントローラ・チャネル60;管理モード62;モデム・プロセッサ64;ユーザ・モード66;制御コード68;RTOS70;アプリケーションDSP72;DSPアプリケーション74;アプリケーション・プロセッサ76;及びその他のバス・マスタ78、において考慮される。
各ゾーン1−5に対して描かれた色の陰影は、図示されたシステムのそれぞれのゾーンの陰影を付けられたエリアに相互に関係付けられる。例えば、12で示されるゾーン1の非常に信頼をおかれるエリアは、ハードウェア・キー52、IRAM54、セキュリティ制御56、管理モード62のようなシステムのエリア、システム・メモリ22のエリア1、及び周辺メモリ24のエリア6を含む。上記の陰影を付けることは、さらに(凡例80で示されるように)複数のシステム構成要素間の矢印に相互に関係付けられ、その矢印は、データ又はコードがメモリのエリアへ又はエリアから移動されることができ、そして動作のモードに関係して移動するチャネルを表す。例えば、アプリケーション・プロセッサ76は、サード・パーティOSカーネル及びアプリケーションのようなデータ又はコードを36で示されるエリア4へそしてエリア4から矢印80aにより示される動きで移動させることができる。別の例では、ハードウェア・キー52は、(矢印80bとして示されるように)管理モード62においてそれぞれ矢印80c、80d、及び80eにより示されるようにシステム・メモリ22のエリア1,2又は3(それぞれ30,32、及び34で示される)へと動かされることができる。この特定の実施形態では、上記の例に示されるように、信頼のあるレベルの構成要素は、同じレベルの信頼又はより低いレベル(低い信頼のゾーン)を有するメモリ層をアクセスすることができる。
この実施形態の固有の詳細は、下記の相互関係を含む。アプリケーション・プロセッサのエグゼキューション76は、いずれのモードにおいても信頼されていない。これゆえ、アプリケーション・メモリ管理ユニット(MMU:memory management unit)設定は、信頼されていず、そしてどんな想定もそれらの設定になされない;すなわち、サード・パーティOSは、アプリケーションMMU(36におけるエリア4)を自由に使用することができる。モデム・プロセッサ管理モードのエグゼキューション62、64は、完全に信頼されており、そしてそれゆえ、モデムMMUは、32におけるエリア2の個々の動作ソフトウェア・プロセスとモデム・メモリ空間でのそれらのアクセス権利との間を防御するために使用される。アプリケーションDSP RTOS70,72は、信頼のおけるアプレットと信頼されていないアプレットのいかなる混合物をも実行することができる。アプレットごとの個々のアクセス権利をサポートするために、RTOSは、メモリ転送/アクセスを要請するためにドライバ機能を与える。RTOSは、アプレットごとのアクセス権利を同定するためにそしてしたがって割り当てられたDMAコントローラ・チャネル60のMPUを設定するために信頼されている。アプリケーションMMUが信頼されていないので、個別のメモリ保護ユニット(MPU)は、別のゾーン(例えば、ゾーン3,4と5のうちの1又はそれより多く)からの不当なアクセスからゾーン1から4を防御するために使用される。
ここで信頼ゾーン化に関係する信頼ゾーン・デバッグ・アクセスに関して、メモリ−マッピングされたドメインへの異なるレベルの可視性は、携帯電話機の電源を入れたときに設定可能である。適正なデバッグ設定は、オン−チップ不揮発性(NV)メモリ(ヒューズ)のコンテントから自動的に導出される、又は副ブート・ローダの認定情報にしたがって読み出し専用メモリ(ROM:read only memory)中のブート・ローダによって設定される。NVメモリ・コンテントから導出されるデバッグ設定は、電源を入れた後で直ちに設定され、そして実行するために携帯電話機を実際にブートすることを必要としない。ソフトウェアにより設定されるデバッグ設定は、もしそのように望まれるのであれば、初期の不揮発性メモリに基づいた設定を無効にすることができる。
デバッグ目的のために、様々なレベルのユーザが同定されることが可能である。例えば、3つのレベルのユーザは、発明者デベロッパ、相手先製品製造者(OEM:original equipment manufacturer)デベロッパ、サード・パーティOSデベロッパ、及びエンド・ユーザ/加入者を含むことができる。“デバッグ・アクセス権利の例”と題される下記の表は、例示の目的として、各ユーザに提供されるデバッグ・アクセス権利をまとめる。
Figure 0005149195
例えば、様々な実施形態において、製造した後で、メモリ・マッピングされたドメインは、初期には完全に“開放”されている;すなわち、ヒューズ設定は、全てのモードに対してデバッグ・アクセスを示している。この時点で、デバイスのハードウェア・キー52を直接アクセスすることそして供給することは、同様に可能である。全チップ・スキャン・チェーンへのアクセス及びハードウェア・キー52の値全体を直接的にスキャンすること及びその値を変更する能力は、OEMへの出荷の前には常に望ましいことがある。一旦、全てのモデム管理モード・コードがオブジェクト・コードとして出荷され、そして直接モデム制御機能を含まないと、管理モードにおけるモデム・プロセッサへのデバッグ・アクセスは、OEMへの出荷の前に同様にディスエーブルされることができる。いずれのモデム・デバッグ機能は、同様に製品出荷でディスエーブルされることができる。そのように、最大のシステム設定可能性は、設計フェーズ及びインプリメンテーション・フェーズの間に与えられ、一方で、最大のセキュリティは、設計から使用までの全てのシステム・フェーズに適用されたままである。
図2を参照してそして図1を続けて参照して、セキュリティ・マトリックス・モデルが82で一般的に示されている。モデル82は、単独で又は組み合わせで、任意のモジュールを備えることができ、それはここに記述される機能を実行する。例えば、メモリ保護モジュール84、安全なデバッグ・モジュール86、信頼のおけるブート・モジュール88、安全なファイル・システム・モジュール90、オン−チップ・メモリ・モジュール92、及び信頼のおける時間ソース・モジュール94のようなモジュールの種々の組み合わせは、様々な実施形態において見出されることができる。
様々な実施形態において、例えば、メモリ保護モジュール84は、信頼ゾーン化セキュリティ・ゴールを満足することを必要とされることがあり、そして信頼ゾーン化特性によって定められることができる。安全なデバッグ・モジュール86は、FIPS I2準拠を保証することができ、そして“デバッグ・アクセス権利の例”と題された上記の表に例示されるように、信頼ゾーン特性にしたがって実装されることができる。信頼のおけるブート・モジュール88は、例えば、ブートの間にロードされるソフトウェア・イメージがOEMにより供給される認証されたイメージであることを確実にするために強いプロトコルを利用することができる。安全なファイル・システム・モジュール90は、例えば、取扱注意のデータをデバイスに固有のハードウェア・キー52を使用して外部、不揮発性メモリ中に記憶する前にその取扱注意のデータを暗号化するために信頼のおけるソフトウェアを使用することができ、そのようにして複数のデバイスのセキュリティ侵害を防止する。オン−チップ・メモリ・モジュール92(埋め込まれるメモリ)は、例えば、暗号キーのような秘密情報のための記憶場所を提供するために使用されることができ、そのようにして、例えば、プローブを介したそのような情報への不当なアクセスを防止する。信頼のおける時間ソース・モジュール94は、例えば、時間に拘束される権利、例えば、DRMコンテント許可及び一時的なデバッグ権利許可、のタイムリーな時間切れを確実にするために使用されることができ、そのようにして、コンテント又はデバイス構成要素の不当な所有又は使用を防止する。これらのエレメントは、以降にさらに十分に説明されるように、この技術において以前には知られていないセキュリティ対策を提供するために単独で又は任意の組み合わせで使用されることが可能である。
メモリ保護モジュール
メモリ保護モジュール84設計は、前に論じた信頼ゾーン化特性に関係付けられることができ、そしてモデム・オペレーション、DRMコンテント、及びm−コマースそして各種のシステムの他の機能と構成要素を保護することができる。
本発明の様々な実施形態は、独立したメモリ空間を有するシステムに対するセキュリティを提供することができる。一例では、システムは、2つの独立したメモリ空間を有することができ、そのそれぞれは、信頼のおけるエンティティと信頼されていないエンティティの両者によりアクセスされることが可能である(そしてそれゆえメモリ保護を必要とする)。2つの独立したメモリ空間は、例えば、周辺部84bとDSP埋め込みメモリ84cとを含むメイン・メモリ空間84a及びフラッシュ・メモリ84d、例えば、NANDフラッシュ・メモリ、とを備えることができる。メモリ空間は、セキュリティ区分を規定することによりそして守らせることにより保護されることができる。例えば、ゾーン1と2に関係するモデム・プロセッサ動作ソフトウェア・カーネル及びアプリケーションDSP RTOSのような信頼のおけるソフトウェアだけが、メモリ保護設定を設定することそして変更することを許されることができる。
様々な実施形態において、メモリ保護モジュール84は、例えば、下記のメモリ保護エレメントに関係する1又はそれより多くの複合動作を介してメイン・メモリ84aを保護することができる:そのメモリ保護エレメントは、事前に決められた数、例えば、3個のメイン・メモリ保護ユニット(MPU)ブロック;モデム・プロセッサ・メモリ管理ユニット(MMU);モデム・サブシステム・安全モード・マルチプレクサ(SMM)ブロック;アプリケーション・ディジタル信号プロセッサ(アプリケーションDSP72)MPU;DMAコントローラ・セキュリティ・フィーチャ(feature)(埋め込みMPU、シャドー・レジスタ、セキュリティ識別子(ID));汎用入力/出力拡張インターフェース(GPIO)セキュリティ・フィーチャ(シャドー・レジスタ、ビットマスク);及びメイン・メモリMPUブロックである。
MPUブロックは、バス・トランザクション要請をモニタすることができ、そしてセキュリティ区分許可に違反するそれらの要請を締め出すことができる。複数のMPUブロックは、複数の物理バス上のバス要請をモニタするために利用されることができる。様々な実施形態において、MPUブロックは、設計において同じであり得るそしてそれぞれがサポートする区分の数だけが異なることがある。
モデム・プロセッサMMUは、例えば、プロセッサがユーザ・モードであるときに、モデム・プロセッサ・メモリ・アクセスに対するセキュリティ区分許可を守らせることができ、そのようにして、プロセッサが絶えず特別に許可されたモード(信頼のおける)ソフトウェアをあたかもランさせているようにメイン・メモリMPUがプロセッサを扱うことを認める。
SMMは、例えば、TICがイネーブルされたときに、IRAMとSMCに対するチップ選択信号を接地することによって、任意のマスタへのMPUブロックのアクセスを完全にできないようにさせることができる。
アプリケーションDSP72MPUは、アプリケーションDSPアプリケーションが、例えば、それらのゾーン4が、様々なレジスタをアクセスすることを妨げることができ、それゆえ、そのアプリケーションは、メモリ・アクセスを実行するためにRTOSシステム・コールを発する必要がある。
DMAコントローラ・セキュリティ・フィーチャは、DMAが異なる信頼ゾーンに属している別の構成要素の代わりにメモリ・アクセスを実行するときに、信頼ゾーン・メモリ保護要請が強制であり得ることを確実にすることができる。
GPIOセキュリティ・フィーチャは、信頼のおけるゾーン・マスタによってのみアクセスすることが可能なチャネルのサブセットの設定をイネーブルすることができる。
様々な実施形態において、メイン・メモリ区分設定は、例えば、分散型大量記憶装置システム区分;分散型大量記憶装置システムの外面的な状態区分;少なくとも1つのビデオ・フレーム・バッファ区分;少なくとも1つのMDP区分;及び少なくとも1つのアプリケーション・ディジタル信号プロセッサ区分、を含むことができる。
様々な実施形態において、周辺メモリ24設定は、例えば、DMA安全周辺区分;非DMA安全周辺区分;GPIOシャドー・レジスタ区分;DMAシャドー・レジスタ区分;及びアプリケーションDSP区分、を含むことができる。
様々な実施形態において、メモリ保護モジュール84は、メイン・メモリ・マップに属していないNANDフラッシュ・メモリを保護することができる。専用NAND MPUは、NANDコントローラに集積されることができる。NAND MPUブロックは、NANDコントローラ及びNANDフラッシュ動作命令からの解釈された情報を利用することができる、どのNANDページがアクセスされそしてどのタイプのアクセスであるかを判断するために。この情報に基づいて、NAND MPUは、NANDフラッシュ動作を許可することができる又は締め出すことができる。
様々な実施形態において、NANDメモリ設定は、動作上のソフトウェア区分及び読出し専用サード・パーティOS区分を含むことができる。動作上のソフトウェア区分は、信頼をおかれていないマスタにより破壊されることからクリティカルなソフトウェア及び状態情報を保護することができ、そしてコード・イメージ及びブート・プロセスの間に使用される状態情報/設定情報を消去する又はそうでなければ危うくさせるソフトウェアに基づくアタックで、携帯電話機のようなデバイスが恒久的にディスエーブルできないことを確実にすることができる。読出し専用サード・パーティOS区分は、アプリケーション実行可能なイメージ及び不当なソフトウェアから書き込み保護されているべき他のデータを記憶するために使用されることができる。
様々な実施形態において、MPU論理は、各バス要請中に存在するバス・マスタ識別情報を頼りにすることができる。各バス要請のために、MPUは、ターゲット・メモリ区分と要請を発するバス・マスタの両者に対応する許可の集合を調べることができる。
安全なデバッグ・モジュール
安全なデバッグ・モジュール86は、FIPS L2準拠を確実にするために使用されることができ、そしてしかも信頼ゾーン化原理により導かれることができる。全てのデバッグ及び欠陥検査フィーチャにわたるハードウェアに基づく制御は、信頼ゾーン・デバッグ・アクセス規則を守らせるために要求されることができる。同時に、信頼をおかれるソフトウェアがハードウェアの安全なデバッグ設定を置き換えることを可能にし、そして臨時のアクセスが信頼モデルにより通常認められないときに、選択されるカスタマがデバッグ・フィーチャへの臨時のアクセスを行うことを認める。その上、例えば、元々のチップ製造者に返却されることがあるデバイスにおける全てのデバッグ及び欠陥検査フィーチャへの全てのアクセスを回復させるための機構を提供する必要がある。後者の要求は、既存の検査方法が著しく変えられないように実行されることができる。最後に、システム再設定が適用されるまで、電源を入れた時のチップの初期状態が未決定であり得るという事実を利用することにより、安全なデバッグ・モデルは、アタックに対して耐えることができる。例えば、アタッカーは、境界−スキャン技術を使用するように試みることができ、例えば、上記の境界−スキャン技術は、例えば、米国電気電子技術者協会(IEEE)規格1149.1に述べられているものであり、しかも共同検査動作グループ(JTAG:joint test action group)とも呼ばれ、検査アクセス点(TAP:test access point)コントローラ又は残りのデバイスを再設定することのないピンであり、そしてそのようにしてハードウェア(HW)キーのような保護された情報へのアクセスを潜在的に得る。
本発明の様々な実施形態において、安全なデバッグ・モジュール86のセキュリティに敏感なフィーチャは、全チップ・スキャンのようなフィーチャを認めることができる自身のモード・コントローラ非公開命令86a、及びイン−シリコン・デバッグ・システム(ISDS:in-silicon debug system)を含んでいるmDSPとアプリケーションDSPデバッグ86b、及びその他のフィーチャ、であり得る。別のフィーチャは、検査インターフェース・コントローラ(TIC:test interface controller)86cであり得て、それはピンの外部から主モデム・バスへの直接バス・マスタ・アクセスを提供することができる。さらに別のフィーチャは、JTAGピン及びデバッグ・トレース・ピン86dを介したモデム・プロセッサ・デバッグ・アクセス可能性であり得る。さらに別のフィーチャは、HWキー・ヒューズとセキュリティ制御ヒューズ86eを与えるための能力をサポートすることができる。
動作では、安全なデバッグ・モジュール86は、オン−チップNVメモリ(eヒューズ)を含むことができ、それはセキュリティに敏感なデバッグ機能にわたるHW制御を提供するために利用されることができる。それぞれのそのような機能は、専用のNVメモリ・ビット(ヒューズ)を割り当てられることができる。ヒューズが切られるまで、その機能は、利用可能なままである。一旦、ヒューズが切られると、その機能は、ディスエーブルになる。そのように、カスタマは、信頼モデル中のカスタマの位置に合うように作られた全てのヒューズを有するチップを受け取ることができる。ブート時において、全てのデバッグ・フィーチャの利用可能性は、対応するヒューズの状態により決定されることができる。
メモリにマッピングされたレジスタは、信頼のおけるソフトウェアがヒューズ値を置き換えることを可能にするために、そして所望のデバッグ機能を選択的に再イネーブルすることを可能にするために使用されることができる。この機構の利点の例は、あるシナリオを含むことができ、そこではカスタマは、チップ製造者から動作上のソフトウェア・イメージの特別にサインされたコピーを受け取ることができ、そしてそれをデバイスにダウンロードすることができる。その機構は、ソフトウェア失効の日付を与え、その時の後では、そのデバイスは特別なソフトウェアを実行することを拒否し、そして次のブートにおいて、そのデバイスのヒューズ値によって指定されるように元々の安全なデバッグ設定値に戻る。
デバイスの安全なデバッグ設定値を置き換えるためのソフトウェアに基づくアプローチは、カスタマ環境に対して適切であり得て、その理由は、カスタマが携帯電話機又は関連システム中のデバイスとデバイス・デバッグ・セッションを行うためである。そのように、カスタマは、デバッグ・セッションが始まる前にデバイスがブートするという要求によって影響されない。その機構は、同様に、カスタマの前提で使用されるために十分に安全にされることができる;すなわち、もし失効日付又はHWキーが期限切れにならないか又は危うくされる場合には、デバッグ機能は、選択的に再イネーブルされる。
ある繰り返し機構は、返却物認定(RMA:return material authorization)検査のために元々のチップ製造者に返却されたデバイス中の全体のデバッグ機能を回復させることを要求されることがある。その機構は、ソフトウェアに基づくアプローチのセキュリティ・フィーチャを有する必要がないが、全てのデバッグ機能がブート・アップすることなくデバイス中で回復されることを可能にすることができる。この機構は、下記に説明される。
RMAのために元々のチップ製造者に返却されたデバイスは、開発システム・ボード上に始めに設置されることができ、そこでは動作ソフトウェアの特別なサインをされたバージョンを用いてブートされる。このソフトウェアの唯一の目的は、そのデバイスのハードウェア・キー52の値を出力することである。このステップは、各RMAチップに対して1回だけ行われることができる。このステップが終わった後で、チップは、テスタ・システムへ移されることができる。テスタが電源を入れられた後で、ハードウェア・キー52値の最初の32ビットをスキャンすることだけが、デバッグ機能全体をイネーブルために必要とされることがある。残りの検査を実行することの前にハードウェア・キー52中をスキャンする要求は、既存の検査手順の受け入れ可能な変形として見られることができる。TAPコントローラのリセットの後でなく、各全チップのリセットの後にだけ、キーがスキャンされ得ることに注意する。
いずれかのセキュリティに敏感なデバッグ機能がアクセスされることがある前に、ヒューズの状態を検知することに責任がある論理及びヒューズ値を書き換えることに責任がある論理が、適正に始められることができることを確実にする、ある特別な機能が、実装されることができる。この機構は、例えば、セキュリティに敏感なデバッグ機能を使用するために試みることに先立って、32−ビット中の、秘密でない一定値のスキャンを必要とすることがある。デバッグ機能へのアクセスが認可される前に、全てのクリティカルな論理回路が既知の状態であることを確実にするために、デバイスのハードウェアは、この余分なステップを利用することができる。
安全なデバッグ・モジュール86に関する使用シナリオは、下記を含む:電源を入れるとき、ユーザは、TAPコントローラ公開命令に及び安全なデバッグ・イネーブル(SDE)JTAGチェーンにだけアクセスを行う。この状態で、ユーザは、いずれのデバッグ機能へのアクセスをも行わず、そしてHWキーとセキュリティ・ヒューズとを与えることができない。ユーザは、直ぐに検査モードに入ること、又は最初に完全にデバイスをブートさせることを選択できる。検査モードが直ぐに入られる場合には、下記の動作が行われることができる:最初に、ユーザは、32−ビットの秘密でない値を引き続いて32のゼロ・ビットを、TAPコントローラSDE命令を使用してスキャンする。これは、全てのデバッグ機能及び対応するヒューズが切断されないヒューズ供給能力をイネーブルする。あるいは、ユーザは、32−ビットの秘密でない値を引き続いてデバイスのHWキーの最初の32ビットを、DEVICE TAPコントローラSDE命令を使用してスキャンすることができる。これは、ヒューズ値に拘わらず全てのデバッグ機能そしてヒューズ供給能力をイネーブルする。上記のステップのうちのいずれか1つを実行した後で、ユーザは、どんなデバッグ機能がイネーブルされるにせよ利用することができる。
別のシナリオでは、チップが完全にブートすることを許される場合には、信頼のおけるソフトウェアは、ヒューズ書き換えレジスタの全てを所望の値に常に初期状態にすることができる。このケースでは、ユーザは、どんなデバッグ機能がソフトウェアによってイネーブルされるにせよ利用することができ、そしてSDEチェーンを介してどんな値も入力することを必要としないことがある。
安全なファイル・システム・モジュール
安全なファイル・システム・モジュール90は、そのようなアプリケーションが外部、不揮発性メモリ(NVメモリ)中にユーザ及びデバイス識別情報の長期の記憶を必要とする程度まで、M−コマースとDRMアプリケーションに関係することができる。そのような情報は、FIPS L2準拠のために暗号化される必要があり得る。信頼のおけるソフトウェアは、一般的に取扱注意のデータを外部NVメモリ中に記憶する前に、デバイス固有のハードウェア・キーを使用してその取扱注意のデータを暗号化する。この機構は、安全なファイル・システムと呼ばれることができる。デバイス固有のハードウェア・キー52を有することは、もしキーが危うくされる場合に、これまでに製造された全ての類似のデバイスのセキュリティ消滅よりはむしろ1つだけのデバイスのセキュリティ消滅をもたらす程度までセキュリティが危うくされることが広がることを防ぐことができる。
本発明の様々な実施形態は、SFSを容易にするためのハードウェア・キー52を与えるためにセキュリティ・ハードウェア90aを利用することができる。様々な実施形態は、同様に、SFS中に記憶されたデータのエンコーディングとデコーディングを速めるために使用する暗号法エンジン90b及びDMAコントローラ・ブロック90cを実装する。
ハードウェア・キー52は、例えば、オン−チップNVメモリ(eヒューズ)中に記憶されることができ、そして256−ビット長であり得る。信頼のおけるソフトウェアだけが、安全モード制御モジュール・メモリ・マップ中のハードウェア・キー・レジスタをアクセスすることによりハードウェア・キー52の値を読み出すことができる。ソフトウェアは、IRAM以外のいずれのメモリ中にもハードウェア・キー52を記憶することができない、IRAMではハードウェア・キー52がそこに保持される間、安全なパーティションが常に存在する。
与えられたハードウェア・キーが残りのハードウェア・キー・ヒューズを切断することによって変えることができないことを確実にするために、ディスエーブリング・ヒューズ90dが利用されることができる。ディスエーブリング・ヒューズが切断されたときには、ハードウェア・キー・ヒューズに対するプログラミング機能は、ディスエーブルされることができる。
信頼のおける時間ソース・モジュール
信頼のおける時間ソース・モジュール94は、DRMコンテント許可証及び臨時デバッグ権利許可証を適切な時に失効させるために利用されることができる。後者は、特定のユーザ・システム・デバッグ能力を一時的に許可するために使用されることができ、それはこのユーザに対する信頼モデルにより指定される能力を超える。信頼のおける時間ソースが実際のネットワーク時間よりも遅れるようになるある条件下である一方で、信頼のおける時間ソース・モジュール94は、システム時間が常に進み、そしてソフトウェアに基づくアタック又は物理的なアタックの手段により認定されていないユーザによっていずれかの過去の値に決してリセットされない又はそうでなければ危うくされないことを確実にする。
信頼のおける時間ソースのインプリメンテーションは、いかなる追加のセキュリティ・ハードウェアをも必要としない。それはおそらくメモリ保護及びSFSセキュリティ・フィーチャにより行われることができる。様々な実施形態において、信頼のおける時間ソース・モジュール94インプリメンテーションは、次の3つのモジュールからなる:第1に、ネットワーク時間ソースが利用可能でないあいだ、ローカル時間基準94aを維持すること。例えば、携帯電話機は、スリープ・コントローラ・ハードウェア回路(タイマ)を利用するローカル時間を維持し、それはその電話機がオンにされている限り全ての電源領域においてアクティブであり得る。第2のモジュールは、外部NVメモリ94bにおいて定期的に保存することそして時間を回復することを備え、電源が切られたときにローカル時間がゼロにリセットされることを防止する。第3のモジュールは、可能であるときにネットワーク時間のソースとローカル時間94cを同期させることを備える。
様々な実施形態において、スリープ・コントローラsleep_xtal_timetic回路は、ローカル時間基準を維持するために利用されることができる。sleep_xtal_timeticは、本質的に32−ビット・カウンタであり、それはモデム・サブシステム・リセットのときにゼロに初期化されることがあり、そしてその後リセットされることなく連続的にランする。それは、例えば、ソフトウェア選択に依存して32MHzのsleep_xtalクロック又はTCXO/512クロックのいずれかで行われる。プロセッサMMU(図1に98として示される)は、複数のスリープ・コントローラ・レジスタのうちの1つを特定の値に設定することができ、そしてsleep_xtal_timeticがこの値に到達するときに、それはモデム・プロセッサへのsleep_xtal_timetic_int中断を生成する。この論理は、常に電源オン領域を使用する。モデム・プロセッサ64がスリープ・モードにあるとき、sleep_xtal_timetic_int中断が受信されることができる場合には、モデム・プロセッサを目覚めさせるようにさせる。
モデム・プロセッサ・ソフトウェアは、sleep_xtal_timetic_int中断を所望の周波数に設定する。中断が受信されるそれぞれの時に、ソフトウェアは、ローカル時間基準変数を増加させる。ローカル時間基準がソフトウェア中に存在するだけであり、そしてそれゆえ任意の幅であり得ることに注意する。
もしネットワーク時間が利用可能である場合には、ソフトウェアは、ローカル時間をネットワーク時間に定期的に同期させる。同期がsleep_xtal_timeticカウンタに何も特別なことを行う必要なく実行されることに注意する。
電話機の電源が切られるときにローカル時間基準変数がリセットされることを避けるために、ソフトウェアは、変数値をNVメモリに定期的に保存することができる。もし電話機が電源を切られたとしても、ネットワーク時間ソースがなくても多くの場合に電話機時間が今まで通り進むように、変数は、十分に頻繁に保存されることができる。一方で、余り頻繁に保存される場合には、NVメモリを早々と劣化させることがある。例えば、10万回の書き込みをすることが可能なデバイスでは、そしてそのデバイスの寿命が3年であるとき、実際の時間は、5分毎に保存されることができる。もしそれが少なすぎるのであれば、ソフトウェアは、ラウンド・ロビン機能を容易に実行することができ、そこでは保存場所は、8−入力の循環バッファ又は16−入力の循環バッファの中を移動する。このケースでは、保存頻度は、ほぼ40秒毎、又はほぼ20秒毎であり、それは適切であるはずである。
CDMAは、ページン・チャネルを介して定期的にネットワーク時間を同報通信することにより信頼のおけるネットワーク時間のソースを提供する。GSMも広帯域符号分割多元接続(WCDMA:wideband CDMA)もどちらもこの特徴を持たない。別の代案は、全地球位置決め衛星(GPS:global positioning satellite)を使用することができるが、ある携帯電話機は、GPS受信チェーンを搭載しない。それゆえ、GSM/WCDMAそしてGPSがないケースでは、ネットワーク時間ソースがないはずである。GSM/WCDMA環境では、例えば、SMSを経由して現在の時間を送ることにより、又は現在の調整された世界時(UTC)の時間を提供するインターネット・プロトコル(IP)レスポンダに問い合わせを送ることによって、アプリケーション・レベルのシステム時間を作り出すことが可能であり得る。しかしながら、これらのオプションは、第3世代パートナーズ・プロジェクト(3GPP)規格の範囲外であり得る。
信頼のおけるブート・モジュール
信頼のおけるブート・モジュール88は、強い暗号法プロトコルを利用することができ、ブートの間にロードされたソフトウェア・イメージが供給者又はそのパートナーの認証されたイメージであり得ることを保証する。信頼のおけるブート・モジュール88は、L2 FIPS準拠を保証することが必要であり得る。
信頼のおけるブート・モジュール88は、モデム・プロセッサ・ソフトウェア88a中に実装されることができる。さらに、信頼のおけるブート・モジュール88は、次の構成要素として本発明の様々な実施形態において実装されることができる、その構成要素は:ブートROM88b、それは主ブート・ローダ・コードを保持する:外部NVメモリ・エリアのメモリ保護88c、そこでは、ブート・コードの残りが記憶されることができ、前に論じたように、不当なソフトウェアによるこのメモリのコンテントの破壊によってチップが恒久的にディスエーブルされないことを確実にする;ソフトウェア読み出し可能なレジスタ88d、それは所望のブート・モードを指定する;すなわち、(どのチップ外のNVメモリからそして信頼のおけるブート・プロトコルが利用されるべきであるか否かから)どのようにしてモデム・プロセッサ64がブートされるべきか;1対の入力ピン88e、それはどちらのブート・モードが使用されるべきかをユーザが選択することを可能にする;及びオン−チップNVメモリ・ビット88f(eヒューズ)、それは一旦切断されると信頼のおけるブート・モジュール88を利用しないボート・モードをユーザが選択することを防止する、である。
様々な実施形態は、暗号法エンジン88g、及びDMAコントローラ・ブロック88h、それは一般に信頼のおけるブートの間に実行されるブート・イメージのハッシングを加速するために使用する、を同様に含むことができる。
(複数の)オン−チップ・メモリ・モジュール
暗号法アルゴリズムは、本発明の実施形態の複数のセキュリティ・フィーチャの基礎になる。これらのアルゴリズムがソフトウェア又はハードウェアにより実行されるとき、(暗号キーのような)秘密情報は、メモリ中に絶えず記憶される必要がある。FIPS L2準拠を保証するために、本発明の様々な実施形態は、(複数の)オン−チップ・メモリ・モジュール92、例えば、埋め込みメモリ、を与え、暗号法アルゴリズム計算及びその他の機能を利用されるようにする。埋め込みメモリは、例えば、ブートROM92a、ブートRAM92b、及びモデム・プロセッサ安全スクラッチ・パッド・メモリ92c、を含むことができる。
ブートROM92aは、モデム・プロセッサ主ブート・ローダ・コードを保有し、そして64KBのサイズであり得る。ブートROM92aは、スレーブBUSインターフェースを搭載し、そしてモデムに接続されることができる。
ブートRAM92bは、アプリケーション・プロセッサ・ウォーム・ブートのためのアプリケーションOSのための信頼されるコードを保有し、そして4KBのサイズであり得る。ブートRAM92bは、スレーブBUSインターフェースを搭載し、そして周辺バスに接続されることができる。
モデム・プロセッサ安全スクラッチ・パッド・メモリ92cは、16KBメモリであり得て、それは複数のアプリケーションを有し、そのうちのあるものはセキュリティに関係する。モデム・プロセッサは、IRAMを利用することができ、長期キー(デバイス・キー又はユーザの非公開キー)を含む安全な計算を実行する。IRAMは、スレーブBUSインターフェースを搭載し、そしてモデム・バスに接続されることができる。
特殊なセキュリティ項目
アプリケーションDSP72は、マルチタスキングRTOS70をランさせることができ、それは信頼をおかれることができそして特別許可モードで常にランされるはずである。DSP72は、例えば、32までのユーザ・モード実行スレッドを使用してアプリケーションを実行することができる。あるアプリケーションは、信頼されていない。
DSP72は、MMUを搭載し、それは互いのメモリ空間をアクセスすることからRTOS70及びアプリケーションを保護する。しかしながら、MMUは、DSP内部メモリをそしてDSP自身からだけ保護するだけである。
DSP72は、単純な、配線で接続されたMPUを搭載することができ、それは全体のメモリ空間を分割し、複数の区分にマッピングされる。半分(例えば、32−48KB)は、DSP72が特別許可モードであるときにアクセス可能であるだけであり、一方で、残り(例えば、48−64KB)は、常にアクセス可能である。
ここで図3を参照して、そして図1と図2を参照し続けて、通信デバイスのセキュリティ方法が一般的に94で示され、そのデバイスは階層化されたメモリ(図1参照)、デバッグ・モジュール、及びファイル・システムを含む複数の構成要素を有し、その方法50は:ステップ96において、少なくとも1つの信頼ゾーン12−20を階層化されたメモリの一部に相関付けること;ステップ98において、メモリ保護モジュール84を介してメモリを保護すること;ステップ100において、安全なデバッグ・モジュール86を介してデバッグ・モジュールのセキュリティを確実にすること;ステップ102において、安全なファイル・システム・モジュール90を介して安全なファイル・システムを保護すること;ステップ104において、信頼のおける時間ソース・モジュール94を介して通信デバイスを保護すること;そしてステップ106,108において、ブート・モードを安全にするための論理と信号とを統合し、そしてステップ110において、安全なデバッグ・モジュール86を介して安全なデバッグ・モードを統合すること、の各ステップを備える。
当然のことながら、上記は、本発明の好ましい実施形態に関係すること、そしてその変形が特許請求の範囲で述べられるような本発明の精神及び範囲から逸脱することなくなされ得ることが、理解されるはずである。
本発明の1つの実施形態にしたがった、メモリ保護モジュールのシステム全体の概要を図示する。 本発明の1つの実施形態にしたがった、セキュリティ・マトリックス・モデルを図示する。 本発明の1つの実施形態にしたがった、通信デバイスを安全にするための方法を図示する。

Claims (5)

  1. デバッグモジュールと、安全ファイルシステム及び階層化メモリシステムを含む複数の構成要素と、
    メモリ空間に対してセキュリティ区分を規定し、守ることにより前記階層化メモリシステムを保護するためのメモリ保護モジュールと、
    信頼ゾーン特性に従って実装される前記デバッグモジュールのセキュリティを確実にするための安全デバッグモジュールと、
    モバイルデバイス特定ハードウェアキーを用いて取扱注意のデータを暗号化することによって、前記安全ファイルシステムを保護するための安全ファイルシステムモジュールと、
    前記モバイルデバイス特定ハードウェアキーを記憶するためのオンチップ不揮発性メモリと、
    前記複数の構成要素の中の少なくとも1つの構成要素を保護するためDRMコンテント許可及び一時的なデバッグ権利許可のタイムリーな時間切れを確実にするための信頼時間ソースモジュールと、
    ブート処理のための安全ブートモード及びデバッグ処理のための安全デバッグモードのための論理と信号とを統合するセキュリティモードコントロールモジュールと、
    を具備し、
    前記信頼ゾーン特性は信頼のおけるコードと全部のメモリ空間へのアクセスが認められるゾーン1と、信頼のおけるコードとシステム・メモリ空間へのアクセスが認められるゾーン2と、モデム無線及びDSPメモリ空間へのアクセスが認められるゾーン3と、ゾーン2で動作するアプリケーション・ディジタル信号プロセシングリアル・タイム・オペレーティング・システムモード(DSPRTOS)によりアクセス制御される信頼されていないコードが認められるゾーン4と、信頼されていないコードとアプリケーション・メモリと周辺部へのアクセスが認められるゾーン5を含む、モバイルデバイス。
  2. 階層化メモリと、デバッグモジュールと、安全ファイルシステムとを含む構成要素を有するモバイルデバイスのためのセキュリティ方法であって、
    少なくとも1つの信頼ゾーンを前記階層化メモリの一部に相互に関連付けること、
    メモリ保護モジュールを介してメモリ空間に対してセキュリティ区分を規定し、守ることにより前記階層化メモリを保護すること、
    信頼ゾーン特性に従って安全デバッグモジュールを実装することによって前記デバッグモジュールの前記セキュリティを確実にすること、
    安全ファイルシステムモジュールを介してモバイルデバイス特定ハードウェアキーを用いて取扱注意のデータを暗号化することによって前記安全ファイルシステムを保護すること、
    前記モバイルデバイス特定ハードウェアキーをオンチップ不揮発性メモリに記憶すること、
    信頼時間ソースモジュールを介してDRMコンテント許可及び一時的なデバッグ権利許可のタイムリーな時間切れを確実にすることによって前記モバイルデバイスを保護すること、
    セキュリティモードコントロールモジュールを介してブート処理のための安全ブートモード及びデバッグ処理のための安全デバッグモードのためのロジック及び信号を収集すること、
    含み、前記信頼ゾーン特性は信頼のおけるコードと全部のメモリ空間へのアクセスが認められるゾーン1と信頼のおけるコードとシステム・メモリ空間へのアクセスが認められるゾーン2とモデム無線及びDSPメモリ空間へのアクセスが認められるゾーン3と、ゾーン2で動作するアプリケーション・ディジタル信号プロセシングリアル・タイム・オペレーティング・システムモード(DSPRTOS)によりアクセス制御される信頼されていないコードが認められるゾーン4と、信頼されていないコードとアプリケーション・メモリと周辺部へのアクセスが認められるゾーン5を含む、セキュリティ方法。
  3. 信頼ブートモジュールを介して前記ブート処理を確実にすること、少なくとも1つのオンチップメモリを介して構成要素を保護することを更に含む、請求項2のセキュリティ方法。
  4. 階層化メモリ、デバッグモジュール及び安全ファイルシステムを含む構成要素を持つモバイルデバイスのためのセキュリティシステムであって、
    少なくとも1つの信頼ゾーンを前記階層化メモリの一部に相関関連付ける手段と、
    メモリ保護モジュールを介してメモリ空間に対してセキュリティ区分を規定し、守ることにより前記階層化メモリを保護する手段と、
    モバイルデバイス特定ハードウェアキーを用いて安全ファイルシステムモジュールを介して取扱注意のデータを暗号化することによって前記安全ファイルシステムを保護する手段と、
    前記モバイルデバイス特定ハードウェアキーを記憶するオンチップ不揮発性メモリと、
    信頼時間ソースモジュールを介して前記モバイルデバイスを保護する手段と、
    セキュリティモードコントロールモジュールを介してブート処理のための安全ブートモード及びデバッグ処理のための安全デバッグモードのためのロジック及び信号を収集する手段と、
    信頼ゾーン特性に従って安全デバッグモジュールを実装することによって前記デバッグモジュールの前記セキュリティを確実にする手段と、
    を具備し、
    前記信頼ゾーン特性は信頼のおけるコードと全部のメモリ空間へのアクセスが認められるゾーン1と、信頼のおけるコードとシステム・メモリ空間へのアクセスが認められるゾーン2と、モデム無線及びDSPメモリ空間へのアクセスが認められるゾーン3と、ゾーン2で動作するアプリケーション・ディジタル信号プロセシングリアル・タイム・オペレーティング・システムモード(DSPRTOS)によりアクセス制御される信頼されていないコードが認められるゾーン4と、信頼されていないコードとアプリケーション・メモリと周辺部へのアクセスが認められるゾーン5を含む、セキュリティシステム。
  5. 信頼ブートモジュールを介して前記ブート処理を確実にする手段と、少なくとも1つのオンチップメモリを介して構成要素を保護する手段を更に含む、請求項4のセキュリティシステム。
JP2008541418A 2005-11-18 2006-11-20 モービル・セキュリティ・システム及び方法 Active JP5149195B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/283,360 2005-11-18
US11/283,360 US7921303B2 (en) 2005-11-18 2005-11-18 Mobile security system and method
PCT/US2006/045030 WO2007062020A2 (en) 2005-11-18 2006-11-20 Mobile security system and method

Publications (2)

Publication Number Publication Date
JP2009516879A JP2009516879A (ja) 2009-04-23
JP5149195B2 true JP5149195B2 (ja) 2013-02-20

Family

ID=37872442

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008541418A Active JP5149195B2 (ja) 2005-11-18 2006-11-20 モービル・セキュリティ・システム及び方法

Country Status (6)

Country Link
US (2) US7921303B2 (ja)
EP (1) EP1952298A2 (ja)
JP (1) JP5149195B2 (ja)
KR (1) KR101029956B1 (ja)
CN (1) CN101356536B (ja)
WO (1) WO2007062020A2 (ja)

Families Citing this family (120)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106444292A (zh) * 2003-04-11 2017-02-22 株式会社尼康 沉浸式光刻装置、清洗方法、器件制造方法及液体沉浸式光刻装置
US7921303B2 (en) 2005-11-18 2011-04-05 Qualcomm Incorporated Mobile security system and method
KR20080067774A (ko) * 2007-01-17 2008-07-22 삼성전자주식회사 허가되지 않은 메모리 접근으로부터 비밀 영역을 보호하기위한 방법 및 시스템
US8209550B2 (en) * 2007-04-20 2012-06-26 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for protecting SIMLock information in an electronic device
US8689010B2 (en) * 2007-06-28 2014-04-01 Microsoft Corporation Secure storage for digital rights management
US8646096B2 (en) * 2007-06-28 2014-02-04 Microsoft Corporation Secure time source operations for digital rights management
US8661552B2 (en) 2007-06-28 2014-02-25 Microsoft Corporation Provisioning a computing system for digital rights management
US20090067625A1 (en) * 2007-09-07 2009-03-12 Aceurity, Inc. Method for protection of digital rights at points of vulnerability in real time
US20090080665A1 (en) * 2007-09-25 2009-03-26 Aceurity, Inc. Method of Generating Secure Codes for a Randomized Scrambling Scheme for the Protection of Unprotected Transient Information
WO2009102821A2 (en) * 2008-02-12 2009-08-20 Virident Systems, Inc. Methods and apparatus for two-dimensional main memory
US8127131B2 (en) * 2008-04-10 2012-02-28 Telefonaktiebolaget Lm Ericsson (Publ) System and method for efficient security domain translation and data transfer
US9141776B2 (en) 2008-04-30 2015-09-22 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for secure hardware analysis
US20150006411A1 (en) * 2008-06-11 2015-01-01 James D. Bennett Creative work registry
US8281169B2 (en) * 2008-08-27 2012-10-02 Wireless Silicon Group, Inc. Method and system for power management for a handheld mobile electronic device executing-in-place an application kernel from execute-in-place non-volatile memory (XIP NVM)
US20100083365A1 (en) * 2008-09-30 2010-04-01 Naga Gurumoorthy Apparatus and method to harden computer system
US8132267B2 (en) 2008-09-30 2012-03-06 Intel Corporation Apparatus and method to harden computer system
JP5302083B2 (ja) * 2009-04-23 2013-10-02 株式会社メガチップス メモリ装置およびメモリ装置の制御方法
US8826042B2 (en) 2009-04-14 2014-09-02 Megachips Corporation Memory controller, memory control apparatus, memory device, memory information protection system, control method for memory control apparatus, and control method for memory device
US8989705B1 (en) 2009-06-18 2015-03-24 Sprint Communications Company L.P. Secure placement of centralized media controller application in mobile access terminal
US8484451B2 (en) * 2010-03-11 2013-07-09 St-Ericsson Sa Method and apparatus for software boot revocation
US8495750B2 (en) 2010-08-31 2013-07-23 International Business Machines Corporation Filesystem management and security system
US10511630B1 (en) 2010-12-10 2019-12-17 CellSec, Inc. Dividing a data processing device into separate security domains
CN102088348A (zh) * 2010-12-22 2011-06-08 东南大学 用于嵌入式平台的手机安全芯片和包括该芯片的防护系统
US9305187B2 (en) 2011-02-22 2016-04-05 Htc Corporation Data security management systems and methods
JP4966422B1 (ja) * 2011-03-31 2012-07-04 株式会社東芝 情報処理装置及びデータ保護方法
WO2013012953A1 (en) * 2011-07-18 2013-01-24 Visa International Service Association Mobile device with secure element
US9143529B2 (en) 2011-10-11 2015-09-22 Citrix Systems, Inc. Modifying pre-existing mobile applications to implement enterprise security policies
US9280377B2 (en) 2013-03-29 2016-03-08 Citrix Systems, Inc. Application with multiple operation modes
DE102011117855A1 (de) * 2011-11-08 2013-05-08 Joachim Linz Verfahren zum Bewerten und Eindämmen von Risiken durch Smart-Phone-Applikationen.
KR20130101629A (ko) * 2012-02-16 2013-09-16 삼성전자주식회사 보안 실행 환경 지원 휴대단말에서 컨텐츠 출력 방법 및 장치
FR2989801B1 (fr) * 2012-04-18 2014-11-21 Schneider Electric Ind Sas Procede de gestion securisee d'un espace memoire pour microcontroleur
JP2015527624A (ja) 2012-05-08 2015-09-17 セレンティック エルティーディー. 電子実体アーキテクチャの動的生成及び修正のための方法
US8910307B2 (en) * 2012-05-10 2014-12-09 Qualcomm Incorporated Hardware enforced output security settings
US20130305388A1 (en) * 2012-05-10 2013-11-14 Qualcomm Incorporated Link status based content protection buffers
US9027102B2 (en) 2012-05-11 2015-05-05 Sprint Communications Company L.P. Web server bypass of backend process on near field communications and secure element chips
US8862181B1 (en) 2012-05-29 2014-10-14 Sprint Communications Company L.P. Electronic purchase transaction trust infrastructure
US8756669B2 (en) * 2012-06-20 2014-06-17 Futurewei Technologies, Inc. Security mode for mobile communications devices
US9282898B2 (en) 2012-06-25 2016-03-15 Sprint Communications Company L.P. End-to-end trusted communications infrastructure
US9066230B1 (en) 2012-06-27 2015-06-23 Sprint Communications Company L.P. Trusted policy and charging enforcement function
US8649770B1 (en) 2012-07-02 2014-02-11 Sprint Communications Company, L.P. Extended trusted security zone radio modem
US9141809B2 (en) * 2012-07-23 2015-09-22 Qualcomm Incorporated Method and apparatus for deterring a timing-based glitch attack during a secure boot process
US8667607B2 (en) 2012-07-24 2014-03-04 Sprint Communications Company L.P. Trusted security zone access to peripheral devices
US8863252B1 (en) 2012-07-25 2014-10-14 Sprint Communications Company L.P. Trusted access to third party applications systems and methods
US10305937B2 (en) 2012-08-02 2019-05-28 CellSec, Inc. Dividing a data processing device into separate security domains
US9294508B2 (en) * 2012-08-02 2016-03-22 Cellsec Inc. Automated multi-level federation and enforcement of information management policies in a device network
US9183412B2 (en) 2012-08-10 2015-11-10 Sprint Communications Company L.P. Systems and methods for provisioning and using multiple trusted security zones on an electronic device
US9215180B1 (en) 2012-08-25 2015-12-15 Sprint Communications Company L.P. File retrieval in real-time brokering of digital content
US9015068B1 (en) 2012-08-25 2015-04-21 Sprint Communications Company L.P. Framework for real-time brokering of digital content delivery
US8954588B1 (en) 2012-08-25 2015-02-10 Sprint Communications Company L.P. Reservations in real-time brokering of digital content delivery
US9038179B2 (en) 2012-08-28 2015-05-19 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Secure code verification enforcement in a trusted computing device
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US9971585B2 (en) 2012-10-16 2018-05-15 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
US20140109072A1 (en) 2012-10-16 2014-04-17 Citrix Systems, Inc. Application wrapping for application management framework
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9161227B1 (en) 2013-02-07 2015-10-13 Sprint Communications Company L.P. Trusted signaling in long term evolution (LTE) 4G wireless communication
US9104840B1 (en) 2013-03-05 2015-08-11 Sprint Communications Company L.P. Trusted security zone watermark
US9613208B1 (en) 2013-03-13 2017-04-04 Sprint Communications Company L.P. Trusted security zone enhanced with trusted hardware drivers
US8881977B1 (en) 2013-03-13 2014-11-11 Sprint Communications Company L.P. Point-of-sale and automated teller machine transactions using trusted mobile access device
US9049013B2 (en) 2013-03-14 2015-06-02 Sprint Communications Company L.P. Trusted security zone containers for the protection and confidentiality of trusted service manager data
US9049186B1 (en) * 2013-03-14 2015-06-02 Sprint Communications Company L.P. Trusted security zone re-provisioning and re-use capability for refurbished mobile devices
US9374363B1 (en) 2013-03-15 2016-06-21 Sprint Communications Company L.P. Restricting access of a portable communication device to confidential data or applications via a remote network based on event triggers generated by the portable communication device
US9191388B1 (en) 2013-03-15 2015-11-17 Sprint Communications Company L.P. Trusted security zone communication addressing on an electronic device
US8984592B1 (en) 2013-03-15 2015-03-17 Sprint Communications Company L.P. Enablement of a trusted security zone authentication for remote mobile device management systems and methods
US9021585B1 (en) 2013-03-15 2015-04-28 Sprint Communications Company L.P. JTAG fuse vulnerability determination and protection using a trusted execution environment
US9985850B2 (en) 2013-03-29 2018-05-29 Citrix Systems, Inc. Providing mobile device management functionalities
US9355223B2 (en) 2013-03-29 2016-05-31 Citrix Systems, Inc. Providing a managed browser
US10284627B2 (en) 2013-03-29 2019-05-07 Citrix Systems, Inc. Data management for an application with multiple operation modes
US9171243B1 (en) 2013-04-04 2015-10-27 Sprint Communications Company L.P. System for managing a digest of biographical information stored in a radio frequency identity chip coupled to a mobile communication device
US9324016B1 (en) 2013-04-04 2016-04-26 Sprint Communications Company L.P. Digest of biographical information for an electronic device with static and dynamic portions
US9454723B1 (en) 2013-04-04 2016-09-27 Sprint Communications Company L.P. Radio frequency identity (RFID) chip electrically and communicatively coupled to motherboard of mobile communication device
US9838869B1 (en) 2013-04-10 2017-12-05 Sprint Communications Company L.P. Delivering digital content to a mobile device via a digital rights clearing house
US9443088B1 (en) 2013-04-15 2016-09-13 Sprint Communications Company L.P. Protection for multimedia files pre-downloaded to a mobile device
US9069952B1 (en) 2013-05-20 2015-06-30 Sprint Communications Company L.P. Method for enabling hardware assisted operating system region for safe execution of untrusted code using trusted transitional memory
US9560519B1 (en) 2013-06-06 2017-01-31 Sprint Communications Company L.P. Mobile communication device profound identity brokering framework
US9530009B2 (en) 2013-06-27 2016-12-27 Visa International Service Association Secure execution and update of application module code
US9183606B1 (en) 2013-07-10 2015-11-10 Sprint Communications Company L.P. Trusted processing location within a graphics processing unit
US9836306B2 (en) * 2013-07-31 2017-12-05 Marvell World Trade Ltd. Parallelizing boot operations
US9208339B1 (en) 2013-08-12 2015-12-08 Sprint Communications Company L.P. Verifying Applications in Virtual Environments Using a Trusted Security Zone
US9185626B1 (en) 2013-10-29 2015-11-10 Sprint Communications Company L.P. Secure peer-to-peer call forking facilitated by trusted 3rd party voice server provisioning
US9191522B1 (en) 2013-11-08 2015-11-17 Sprint Communications Company L.P. Billing varied service based on tier
US9161325B1 (en) 2013-11-20 2015-10-13 Sprint Communications Company L.P. Subscriber identity module virtualization
US9118655B1 (en) 2014-01-24 2015-08-25 Sprint Communications Company L.P. Trusted display and transmission of digital ticket documentation
US9226145B1 (en) 2014-03-28 2015-12-29 Sprint Communications Company L.P. Verification of mobile device integrity during activation
US9942049B2 (en) 2014-04-04 2018-04-10 Qualcomm Incorporated Remote station and method for re-enabling a disabled debug capability in a system-on-a-chip device
WO2015154066A1 (en) 2014-04-04 2015-10-08 David Goldschlag Method for authentication and assuring compliance of devices accessing external services
WO2015196450A1 (en) 2014-06-27 2015-12-30 Microsoft Technology Licensing, Llc System for data protection in power off mode
US9721100B2 (en) * 2014-06-27 2017-08-01 Intel Corporation Technologies for protected hardware function monitoring and forensics
CN105493054B (zh) * 2014-06-27 2018-10-16 微软技术许可有限责任公司 使用双文件系统的快速数据保护
WO2015196449A1 (en) 2014-06-27 2015-12-30 Microsoft Technology Licensing, Llc Data protection system based on user input patterns on device
WO2015196447A1 (en) 2014-06-27 2015-12-30 Microsoft Technology Licensing, Llc Data protection based on user input during device boot-up, user login, and device shut-down states
US9230085B1 (en) 2014-07-29 2016-01-05 Sprint Communications Company L.P. Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services
CN105574423B (zh) * 2014-10-09 2021-05-04 中兴通讯股份有限公司 一种终端设备及其文件管理方法
FR3028069B1 (fr) * 2014-11-05 2016-12-09 Oberthur Technologies Procede de chargement de fichier en memoire vive dans un appareil electronique et appareil electronique associe
US9779232B1 (en) 2015-01-14 2017-10-03 Sprint Communications Company L.P. Trusted code generation and verification to prevent fraud from maleficent external devices that capture data
US9838868B1 (en) 2015-01-26 2017-12-05 Sprint Communications Company L.P. Mated universal serial bus (USB) wireless dongles configured with destination addresses
US9794784B2 (en) 2015-01-29 2017-10-17 Qualcomm Incorporated Techniques for preventing unauthorized users from controlling modem of mobile device
US9473945B1 (en) 2015-04-07 2016-10-18 Sprint Communications Company L.P. Infrastructure for secure short message transmission
US10057260B2 (en) 2015-08-27 2018-08-21 International Business Machines Corporation Electronic device identification
US9819679B1 (en) 2015-09-14 2017-11-14 Sprint Communications Company L.P. Hardware assisted provenance proof of named data networking associated to device data, addresses, services, and servers
US10817609B2 (en) 2015-09-30 2020-10-27 Nvidia Corporation Secure reconfiguration of hardware device operating features
US10282719B1 (en) 2015-11-12 2019-05-07 Sprint Communications Company L.P. Secure and trusted device-based billing and charging process using privilege for network proxy authentication and audit
US9817992B1 (en) 2015-11-20 2017-11-14 Sprint Communications Company Lp. System and method for secure USIM wireless network access
CN106650460B (zh) * 2016-11-15 2019-07-19 上海华为技术有限公司 一种版本校验方法、装置及终端设备
KR102518881B1 (ko) * 2017-01-09 2023-04-05 삼성전자주식회사 반도체 장치의 동작 방법
TWI640872B (zh) * 2017-07-07 2018-11-11 群聯電子股份有限公司 記憶體控制電路單元、記憶體儲存裝置及其控制方法
US10499249B1 (en) 2017-07-11 2019-12-03 Sprint Communications Company L.P. Data link layer trust signaling in communication network
CN111756754B (zh) * 2017-07-28 2023-04-07 创新先进技术有限公司 一种训练模型的方法及装置
US11184164B2 (en) 2018-02-02 2021-11-23 Microsoft Technology Licensing, Llc Secure crypto system attributes
US10664643B2 (en) * 2018-02-09 2020-05-26 University Of Louisiana At Lafayette Method for the non-copyable manufacture of integrated circuits
US10841343B2 (en) 2018-03-09 2020-11-17 Xerox Corporation Time limited debugging of secure communication systems
US10867076B2 (en) 2018-04-25 2020-12-15 Hewlett Packard Enterprise Development Lp Edge device disablement
US10984108B2 (en) 2018-10-05 2021-04-20 International Business Machines Corporation Trusted computing attestation of system validation state
CN110321715A (zh) * 2019-07-08 2019-10-11 北京可信华泰信息技术有限公司 可信度量方法、装置及处理器
CN111722878A (zh) * 2020-06-19 2020-09-29 北京集创北方科技股份有限公司 芯片启动控制方法、芯片、显示面板及电子设备
US11625480B2 (en) * 2020-09-08 2023-04-11 Osom Products, Inc. Mobile device with secure private memory
US11595189B2 (en) 2020-10-27 2023-02-28 Microsoft Technology Licensing, Llc Secure key exchange using key-associated attributes
EP4093076A1 (en) * 2021-05-21 2022-11-23 G-Innovations Viet Nam Joint Stock Company Method, mobile equipment, and system for vulnerability detection and prevention in a sim, and storage media
US20230078058A1 (en) * 2021-09-10 2023-03-16 Ampere Computing Llc Computing systems employing a secure boot processing system that disallows inbound access when performing immutable boot-up tasks for enhanced security, and related methods
US20230083979A1 (en) * 2021-09-10 2023-03-16 Ampere Computing Llc Method and system for secure boot and rma intervention
CN116226870B (zh) * 2023-05-06 2023-09-26 北京清智龙马科技有限公司 安全增强系统及方法

Family Cites Families (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4658093A (en) 1983-07-11 1987-04-14 Hellman Martin E Software distribution system
JPS63257843A (ja) * 1987-04-15 1988-10-25 Mitsubishi Electric Corp デバツグモニタ装置
JPH01288943A (ja) * 1988-05-17 1989-11-21 Mitsubishi Electric Corp 記憶保護方式
JP3111355B2 (ja) * 1990-10-31 2000-11-20 横河電機株式会社 計算機システム
US5398285A (en) 1993-12-30 1995-03-14 Motorola, Inc. Method for generating a password using public key cryptography
US5473692A (en) 1994-09-07 1995-12-05 Intel Corporation Roving software license for a hardware agent
US5638446A (en) 1995-08-28 1997-06-10 Bell Communications Research, Inc. Method for the secure distribution of electronic files in a distributed environment
JP3540543B2 (ja) 1996-05-20 2004-07-07 富士通株式会社 ソフトウェアコピー処理装置、ソフトウェアコピー処理方法およびソフトウェアをコピーするプログラムを記録したコンピュータ読み取り可能な記録媒体
US5805699A (en) 1996-05-20 1998-09-08 Fujitsu Limited Software copying system
JPH10301773A (ja) 1997-04-30 1998-11-13 Sony Corp 情報処理装置および情報処理方法、並びに記録媒体
JPH10311773A (ja) 1997-05-09 1998-11-24 Natl Aerospace Lab 衝撃波位置推定方法および衝撃波位置推定装置
JP2001517822A (ja) 1997-09-19 2001-10-09 パク,ヒョ,ジョーン 独立的ソフトウェア登録サーバを利用したソフトウェア使用権管理システム
US6243468B1 (en) 1998-04-29 2001-06-05 Microsoft Corporation Software anti-piracy system that adapts to hardware upgrades
JP3713141B2 (ja) 1998-05-19 2005-11-02 インターナショナル・ビジネス・マシーンズ・コーポレーション プログラムの不正実行防止方法
JP3704973B2 (ja) * 1998-10-15 2005-10-12 株式会社デンソー 電子制御装置
US6510236B1 (en) 1998-12-11 2003-01-21 International Business Machines Corporation Authentication framework for managing authentication requests from multiple authentication devices
US6711684B1 (en) * 1999-06-08 2004-03-23 General Instrument Corporation Variable security code download for an embedded processor
US6460023B1 (en) 1999-06-16 2002-10-01 Pulse Entertainment, Inc. Software authorization system and method
US6728880B1 (en) * 1999-09-17 2004-04-27 Adobe Systems Incorporated Secure time on computers with insecure clocks
JP3740931B2 (ja) 2000-03-01 2006-02-01 日本電信電話株式会社 アプリケーションプログラム管理方法及びシステム及びコンピュータ読み取り可能な記録媒体
US7177421B2 (en) 2000-04-13 2007-02-13 Broadcom Corporation Authentication engine architecture and method
JP4681105B2 (ja) 2000-07-07 2011-05-11 パナソニック電工株式会社 電子機器組み込みソフトウェアの保護方法及び電子機器
US20020136401A1 (en) 2000-07-25 2002-09-26 Jeffrey Hoffstein Digital signature and authentication method and apparatus
US6931545B1 (en) 2000-08-28 2005-08-16 Contentguard Holdings, Inc. Systems and methods for integrity certification and verification of content consumption environments
JP4162863B2 (ja) * 2001-03-30 2008-10-08 株式会社ルネサステクノロジ マイクロコンピュータ
US20020150253A1 (en) 2001-04-12 2002-10-17 Brezak John E. Methods and arrangements for protecting information in forwarded authentication messages
JP2002312052A (ja) 2001-04-13 2002-10-25 Nippon Telegraph & Telephone West Corp コンピュータプログラム、コンピュータプログラムの生成方法、コンピュータプログラムの提供方法
US7853531B2 (en) 2001-06-07 2010-12-14 Contentguard Holdings, Inc. Method and apparatus for supporting multiple trust zones in a digital rights management system
IL160395A0 (en) * 2001-08-13 2004-07-25 Qualcomm Inc Application level access privilege to a storage area on a computer device
TWI281107B (en) 2001-08-13 2007-05-11 Qualcomm Inc Using permissions to allocate device resources to an application
JP2003084984A (ja) 2001-09-12 2003-03-20 Canon Inc 情報処理装置、及び、情報処理方法、及び、制御プログラム、及び、制御プログラムを記憶した記憶媒体
US7114051B2 (en) * 2002-06-01 2006-09-26 Solid State System Co., Ltd. Method for partitioning memory mass storage device
GB2391082B (en) 2002-07-19 2005-08-03 Ritech Internat Ltd Portable data storage device with layered memory architecture
US20040123089A1 (en) * 2002-12-20 2004-06-24 Bodily Melvin Dirk Method of field upgradeable boot code
WO2004075525A1 (en) * 2003-02-20 2004-09-02 Ase R & D Europe Method for offering time on smart card and method for time registration by means of mobile communication device
US8041957B2 (en) 2003-04-08 2011-10-18 Qualcomm Incorporated Associating software with hardware using cryptography
TW200502758A (en) 2003-07-07 2005-01-16 Yuen Foong Paper Co Ltd Portable secure information accessing system and method thereof
JP2005122474A (ja) * 2003-10-16 2005-05-12 Fujitsu Ltd 情報漏洩防止プログラムおよびその記録媒体並びに情報漏洩防止装置
US7321957B2 (en) * 2003-10-24 2008-01-22 Intel Corporation Debugging a trusted component in a system
US20050138409A1 (en) * 2003-12-22 2005-06-23 Tayib Sheriff Securing an electronic device
EP1724657A4 (en) 2004-03-03 2010-11-24 Pioneer Corp ELECTRONIC DEVICE, ITS CONTROL METHOD, SAFETY PROGRAM AND OTHERS
JP4442294B2 (ja) * 2004-04-09 2010-03-31 ソニー株式会社 コンテンツ再生装置,プログラム,コンテンツ再生制御方法
US7564345B2 (en) * 2004-11-12 2009-07-21 Verayo, Inc. Volatile device keys and applications thereof
US7921303B2 (en) 2005-11-18 2011-04-05 Qualcomm Incorporated Mobile security system and method

Also Published As

Publication number Publication date
WO2007062020A2 (en) 2007-05-31
EP1952298A2 (en) 2008-08-06
JP2009516879A (ja) 2009-04-23
CN101356536A (zh) 2009-01-28
US20110154032A1 (en) 2011-06-23
KR20080068759A (ko) 2008-07-23
CN101356536B (zh) 2013-06-05
US7921303B2 (en) 2011-04-05
KR101029956B1 (ko) 2011-04-19
WO2007062020A3 (en) 2007-08-09
US20070118880A1 (en) 2007-05-24
US8499171B2 (en) 2013-07-30

Similar Documents

Publication Publication Date Title
JP5149195B2 (ja) モービル・セキュリティ・システム及び方法
US7237121B2 (en) Secure bootloader for securing digital devices
US8978132B2 (en) Apparatus and method for managing a microprocessor providing for a secure execution mode
US8751818B2 (en) Method and apparatus for a trust processor
CN103221961B (zh) 包括用于保护多用户敏感代码和数据的架构的方法和装置
EP1273996A2 (en) Secure bootloader for securing digital devices
US20130086385A1 (en) System and Method for Providing Hardware-Based Security
US20040093505A1 (en) Open generic tamper resistant CPU and application system thereof
Arfaoui et al. Trusted execution environments: A look under the hood
TW200937249A (en) Handling of secure storage key in always on domain
US10452565B2 (en) Secure electronic device
Khan et al. Utilizing and extending trusted execution environment in heterogeneous SoCs for a pay-per-device IP licensing scheme
Pott et al. Firmware Security Module: A Framework for Trusted Computing in Automotive Multiprocessors
EP2575068A1 (en) System and method for providing hardware-based security
Kepa et al. IP protection in partially reconfigurable FPGAs
Amato et al. Mobile Systems Secure State Management
Areno Strengthening embedded system security with PUF enhanced cryptographic engines
CN110059489A (zh) 安全电子设备

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110201

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110502

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110512

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110601

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110608

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110701

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110708

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110728

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111018

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120118

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120125

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120216

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120223

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120319

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120529

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121001

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20121009

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121030

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121129

R150 Certificate of patent or registration of utility model

Ref document number: 5149195

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151207

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250