JP5455318B2 - 動的信頼管理 - Google Patents
動的信頼管理 Download PDFInfo
- Publication number
- JP5455318B2 JP5455318B2 JP2008082849A JP2008082849A JP5455318B2 JP 5455318 B2 JP5455318 B2 JP 5455318B2 JP 2008082849 A JP2008082849 A JP 2008082849A JP 2008082849 A JP2008082849 A JP 2008082849A JP 5455318 B2 JP5455318 B2 JP 5455318B2
- Authority
- JP
- Japan
- Prior art keywords
- software component
- component
- platform
- integrity
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Description
本発明は、コンピューティングプラットフォームで動的信頼管理を可能にする方法及び装置に関する。
検証可能な信頼は、コンピューティングシステムにとって望ましい特性である。ユーザは、自身が使用しようとしている(又は使用中の)コンピューティングプラットフォームが、信用でき且つ予測できる方法で振る舞うのか、又は破壊を受けやすい(又は既に破壊を受けている)のかを知ることには根本的な興味を持っている。
既存のトラステッドプラットフォームは、通常、破壊から少なくとも論理的に保護されているコンポーネントを含んでいる。このようなプラットフォームは、トラステッドコンピューティンググループ(TCG)を形成する企業によって開発されている。この団体は、この分野の仕様を策定し、現行のTCG仕様は、http://www.trustedcomputinggroup.org(詳細には、トラステッドプラットフォームモジュール設計原理(Trusted Platform Module Design Principles)仕様を参照)で入手可能である。トラステッドプラットフォームの暗黙的なトラステッドコンポーネント(及び、詳細には、トラステッドプラットフォームモジュール、すなわち「TPM」)は、プラットフォームの完全性の測定を確実に行って記憶し、その後、完全性メトリックとして、そのプラットフォームとの対話を望むユーザ(リモートコンピューティングエンティティを含む)へ報告することを可能にする。このようなユーザは、その後、測定された完全性メトリックが既知の値又は予測値と一致していることから、プラットフォームが予測通りに動作していることを判断することができる。
資源共有を(たとえば、仮想化技術を通じて)最大にするシステムを設計する一般的な傾向に伴って、これらの資源を消費するパーティは、情報機密コンテンツをこれらのシステム上にデプロイする前に、検証可能な信頼の手段をますます必要としている。この問題は、抵触する可能性のある関心を有するパーティをホスティングするシステムにとって特に重大である。信頼管理の課題は、非常に動的な仮想化コンピュータシステムで信頼性を管理することである。これは、現在のシステム状態を反映するために進行形式でシステム完全性を監視して、変化を報告することを可能にすることを伴う。これは、システム構成及びセキュリティポリシーが頻繁に変化し、コンポーネントがさまざまなセキュリティモードで動作することが認められるシステムにとって特に重大である。現在の解決法は、通例、このような変化を悪意のあるものと考え、信頼を再確立できるように、たとえば、システムのリセット及び再起動を要求する。これらの解決法は、実用的でないか、又は、複雑なコンピュータシステムでシステムコンポーネントの数が増加するにつれてスケーリングしない。
TCG仕様で説明されている信頼アーキテクチャは、主として、ソフトウェアコンポーネントの関連のある状態がロード時に一度測定される静的な方法での信頼チェーンの作成を扱っている。これらの測定は、TPMのいわゆるプラットフォーム構成レジスタ(PCR)に記憶され、インクリメンタルである。すなわち、一連の測定は、前の測定を、そのサイズを変えることなく増加的に拡張することによって同じPCRで報告することができ、したがって、実質的には無限個の測定が可能になる。このように、完全な実行シーケンスを記録することができ、サードパーティは後の段階でそれを検証することが可能になる。この静的なアーキテクチャは、システム構成及びセキュリティポリシーが頻繁に変化することが認められている複雑な動的システムにいくつかの制限を課す。
TCG信頼アーキテクチャは、クリティカルな(すなわち、測定された)システムコンポーネントが(たとえば、ソフトウェア更新を通じて)別の形態に変化するか若しくは現在の状態に適応することが認められている状況、又は、システムコンポーネントが(たとえば、異なる構成を有する)さまざまな動作モードで機能して、変化するセキュリティニーズと共にオペレーションを実行する状況を効率的に取り扱わない。いずれの状況でも、TCG仕様は、保守的な手法を取り、このようなどの変化も、悪意があり、撤回できない可能性があるものと考える。
本発明は、コンピューティングプラットフォームで動的信頼管理を可能にするための方法及び装置を提供する。
本発明の第1の態様によれば、コンピューティングプラットフォーム上で使用されているソフトウェアコンポーネントの状態を追跡する方法が提供され、その方法は、
ソフトウェアコンポーネントの第1のタイプの変更時に、ソフトウェアコンポーネントの適切な完全性メトリックを確実に測定すると共に、ソフトウェアコンポーネントに対する上記第1のタイプの変更について記録されるあらゆる前の完全性メトリック値と累積的に組み合わせて記録すること、及び
ソフトウェアコンポーネントの第2のタイプの変更時に、ソフトウェアコンポーネントの適切な完全性メトリックを確実に測定すると共に、ソフトウェアコンポーネントに対する上記第2のタイプの変更について記録されるあらゆる前の完全性メトリック値の代わりとして記録すること
を含む。
ソフトウェアコンポーネントの第1のタイプの変更時に、ソフトウェアコンポーネントの適切な完全性メトリックを確実に測定すると共に、ソフトウェアコンポーネントに対する上記第1のタイプの変更について記録されるあらゆる前の完全性メトリック値と累積的に組み合わせて記録すること、及び
ソフトウェアコンポーネントの第2のタイプの変更時に、ソフトウェアコンポーネントの適切な完全性メトリックを確実に測定すると共に、ソフトウェアコンポーネントに対する上記第2のタイプの変更について記録されるあらゆる前の完全性メトリック値の代わりとして記録すること
を含む。
本発明の第2の態様によれば、コンピューティングプラットフォームであって、当該コンピューティングプラットフォーム上で使用されているソフトウェアコンポーネントの状態を追跡する監視機構を含む、コンピューティングプラットフォームが提供され、監視機構は、
ソフトウェアコンポーネントに対する第1のタイプの変更及び第2のタイプの変更を検出及び区別する変更応答手段と、
第1のメモリレジスタ及び第2のメモリレジスタと、
ソフトウェアコンポーネントの第1のタイプの変更の検出に応答して、ソフトウェアコンポーネントの適切な完全性メトリックを確実に測定する第1の測定手段と、
第1の測定手段によって測定される完全性メトリックを、ソフトウェアコンポーネントに対する上記第1のタイプの変更について第1のレジスタに記録されるあらゆる前の完全性メトリック値と累積的に組み合わせて、第1のレジスタに記録する第1の記録手段と、
ソフトウェアコンポーネントの第2のタイプの変更の検出に応答して、ソフトウェアコンポーネントの適切な完全性メトリックを確実に測定する第2の測定手段と、
第2の測定手段によって測定される完全性メトリックを、ソフトウェアコンポーネントに対する上記第2のタイプの変更について第2のレジスタに記録されるあらゆる前の完全性メトリック値の代わりとして、第2のレジスタに記録する第2の記録手段と
を備える。
ソフトウェアコンポーネントに対する第1のタイプの変更及び第2のタイプの変更を検出及び区別する変更応答手段と、
第1のメモリレジスタ及び第2のメモリレジスタと、
ソフトウェアコンポーネントの第1のタイプの変更の検出に応答して、ソフトウェアコンポーネントの適切な完全性メトリックを確実に測定する第1の測定手段と、
第1の測定手段によって測定される完全性メトリックを、ソフトウェアコンポーネントに対する上記第1のタイプの変更について第1のレジスタに記録されるあらゆる前の完全性メトリック値と累積的に組み合わせて、第1のレジスタに記録する第1の記録手段と、
ソフトウェアコンポーネントの第2のタイプの変更の検出に応答して、ソフトウェアコンポーネントの適切な完全性メトリックを確実に測定する第2の測定手段と、
第2の測定手段によって測定される完全性メトリックを、ソフトウェアコンポーネントに対する上記第2のタイプの変更について第2のレジスタに記録されるあらゆる前の完全性メトリック値の代わりとして、第2のレジスタに記録する第2の記録手段と
を備える。
次に、従来技術及び本発明の実施の形態の添付の概略図面を参照して本発明の実施の形態を非限定的な例として説明することにする。
本発明の実施形態を説明する前に、本発明の実施形態の説明で後に使用されるいくつかの用語及び概念を紹介するために、2つの従来技術のトラステッドコンピューティングプラットフォームを図1〜図6を参照して説明することにする。説明する従来技術のトラステッドコンピューティングプラットフォームの詳細(次の段落から始まる)は、特に言及のない限り、本発明の範囲を限定するように意図されていない。本明細書で使用されるように、「コンピューティングプラットフォーム」という用語は、計算を行うことができるあらゆる装置を包含するものと理解されるべきであり、コンピュータに限定されるものではない。たとえば、デジタルセルラー機器(移動電話を含む)は、実質的なコンピューティング能力を有し、「コンピューティングプラットフォーム」という用語の範囲内に含まれる。さらに、本文脈では、「信頼」は、デバイスが特定の方法で特定の目的のために振る舞うと予測されることであり、「ユーザ」は、ローカルユーザ、又は、リモートコンピューティングエンティティ等のリモートユーザとすることができる。
従来技術のトラステッドプラットフォームの一般的特徴
トラステッドコンピューティングプラットフォームは、信頼可能なプラットフォーム完全性の測定及び報告を提供し、この目的のために、複数のシールドされているロケーション、すなわち、機密データに対する操作が安全である場所(メモリ、レジスタ等)を有する。完全性の測定は、プラットフォームの完全性メトリック測定値(すなわち、プラットフォームの完全性、つまり信頼性に影響を与えるプラットフォームの特徴の測定)を取得すると共に、それら測定値(ここでは、ダイジェスト等の派生する値を包含するようにみなされる)をシールドされているロケーションに配置するプロセスである。TCG用語において、完全性メトリックを記憶するのに使用されるシールドされているロケーションは、プラットフォーム構成レジスタ(Platform Configuration Register)、すなわち「PCR」と呼ばれ、以下では、この術語が使用される。PCRに保持された値は、報告可能な完全性メトリック値である。完全性の報告は、関係しているプラットフォームにメトリックを関連付ける方法でPCRに記録された完全性メトリックを証明するプロセスである。トラステッドコンピューティングプラットフォームは、シールドされているロケーションに加えて、暗号化された形でデータをセキュアに記憶し、且つ、このデータへのアクセスが、指定された環境でのみ行われることを確実にする信頼可能なストレージも提供することができる。上記トラステッド機能は、暗号機能の使用を標準的に伴う。
トラステッドコンピューティングプラットフォームは、信頼可能なプラットフォーム完全性の測定及び報告を提供し、この目的のために、複数のシールドされているロケーション、すなわち、機密データに対する操作が安全である場所(メモリ、レジスタ等)を有する。完全性の測定は、プラットフォームの完全性メトリック測定値(すなわち、プラットフォームの完全性、つまり信頼性に影響を与えるプラットフォームの特徴の測定)を取得すると共に、それら測定値(ここでは、ダイジェスト等の派生する値を包含するようにみなされる)をシールドされているロケーションに配置するプロセスである。TCG用語において、完全性メトリックを記憶するのに使用されるシールドされているロケーションは、プラットフォーム構成レジスタ(Platform Configuration Register)、すなわち「PCR」と呼ばれ、以下では、この術語が使用される。PCRに保持された値は、報告可能な完全性メトリック値である。完全性の報告は、関係しているプラットフォームにメトリックを関連付ける方法でPCRに記録された完全性メトリックを証明するプロセスである。トラステッドコンピューティングプラットフォームは、シールドされているロケーションに加えて、暗号化された形でデータをセキュアに記憶し、且つ、このデータへのアクセスが、指定された環境でのみ行われることを確実にする信頼可能なストレージも提供することができる。上記トラステッド機能は、暗号機能の使用を標準的に伴う。
ユーザは、たとえば、プラットフォームとデータを交換する前に、1つ又は2つ以上の完全性メトリックを提供するようにトラステッドプラットフォームに要求することによって、トラステッドコンピューティングプラットフォームの正しいオペレーションを検証することができる。ユーザは、1つ又は複数の完全性メトリックを受け取り、それら完全性メトリックを、ユーザが正確であると考えている値と比較する(これらの値は、プラットフォームの信頼性を保証するために準備されたトラステッドパーティTPによって、又は、ユーザが快く信頼する別のパーティによって提供される)。一致する場合には、それが暗に意味するものは、完全性メトリックの範囲に応じて、プラットフォームの少なくとも一部が正しく動作しているということである。一致しない場合には、想定されることは、プラットフォーム全体が破壊されており、(切り離し技術が、信頼することができないものの範囲を限定するのに用いられない限り)信頼することができないということである。
ユーザは、プラットフォームの確立されたトラステッドオペレーションを確立すると、プラットフォームとデータを交換する。ローカルユーザの場合、この交換は、プラットフォーム上に実行されている或るソフトウェアアプリケーションと対話することによるものである場合がある。リモートユーザの場合、この交換は、セキュアなトランザクションを伴う場合がある。いずれの場合も、交換されるデータは、好ましくは、トラステッドプラットフォームによって「署名」される。ユーザは、その後、データが振る舞いを信頼することができるプラットフォームと交換されているというより大きな確信を有することができる。交換されるデータは、そのコンピュータプラットフォーム上で実行されているソフトウェアの一部又は全部に関する情報とすることができる。
信頼のルート(root of trust)を提供するトラステッドエンティティ
コンピューティングプラットフォームにトラステッドコンピューティングプラットフォームの特徴を与えるには、一定の本来的に信頼可能な機能(本明細書では、「トラステッドエンティティ」と呼ばれるものを集合的に構成する)をプラットフォームに提供することが必要である。これら信頼可能な機能は、プラットフォームに物理的又は論理的にバインドされ、コンピューティングプラットフォームのエレメントと共に、所望のトラステッドな特徴(最小で完全性の測定及び報告)を提供するように動作する。実際には、トラステッドエンティティは、プラットフォームに「信頼ルート」を提供する。この一例を以下で述べる。
コンピューティングプラットフォームにトラステッドコンピューティングプラットフォームの特徴を与えるには、一定の本来的に信頼可能な機能(本明細書では、「トラステッドエンティティ」と呼ばれるものを集合的に構成する)をプラットフォームに提供することが必要である。これら信頼可能な機能は、プラットフォームに物理的又は論理的にバインドされ、コンピューティングプラットフォームのエレメントと共に、所望のトラステッドな特徴(最小で完全性の測定及び報告)を提供するように動作する。実際には、トラステッドエンティティは、プラットフォームに「信頼ルート」を提供する。この一例を以下で述べる。
TCG仕様に従うトラステッドプラットフォームの場合、トラステッドエンティティは、トラステッドプラットフォームモジュール(「TPM」)と呼ばれ、トラステッドエンティティがバインドされるコンピューティングプラットフォームのエレメントと共に、次の複数の「信頼ルート」を提供する働きをする。すなわち、1つは測定用の信頼ルート(root of trust for measurement)(RTM)である。このRTMは、本来的に信用できる完全性測定を行うことができるコンピューティングエンジンであり、通常は、いわゆる測定用のコア信頼ルート(core root of trust for measurement)(CRTM)によって制御される標準的なプラットフォームコンピューティングエンジン(メインプロセッサ)である。CRTMは、RTMとして動作する時にプラットフォームによって実行される命令である。CRTMは、論理的には、上記トラステッドエンティティの一部であり、理想的にはTPMに含まれるが、コストの理由から、通常は、別個のROMによって実装される。
1つはストレージ用の信頼ルート(root of trust for storage)(RTS)である。このRTSは、完全性測定のダイジェストの値の正確な概要をPCRに保持することができるコンピューティングエンジンである。また、RTSは、「保護されているストレージ」も提供し、RTSによるアクセス用のオパークな「ブロブ」(opaque blob)及び「シール」/「アンシール」として外部ストレージデバイスに保持されたデータ(多くの場合、鍵)を特定の環境(PCR値によって示される)から保護するように働く。
1つは報告用の信頼ルート(root of trust for reporting)(RTR)である。このRTRは、プラットフォームの識別情報の確立、プラットフォーム構成(PCR値)の報告、報告された値の保護、及び報告された値を証明する状況の確立を担当するコンピューティングエンジンである。RTRは、測定のダイジェストの保護の役割をRTSと共有する。
上記に示したように、RTMを形成するエレメントは、通常(必ずしもそうではないが)、TPMの外部にあり、これとは対照的に、RTS及びRTRは、標準的にはTPM自体によって提供されることに留意することができる。
一般に、どのトラステッドプラットフォームも、このような信頼ルートを(ただし、場合によっては異なる概念的構成で)提供する。
トラステッドエンティティは、ハードウェアデバイス(プログラム制御されるプロセッサを含むことができる)として実施することもできるし、プラットフォームのメインプロセッサによって実行されるソフトウェアで実施することもできる(この場合、このプラットフォームは通例「仮想」トラステッドエンティティ/デバイス、又はTPMの場合には仮想TPMと呼ばれる)。実際には、仮想トラステッドエンティティは、標準的には、基本プラットフォーム環境の基本ハードウェアトラステッドエンティティを有するプラットフォーム上ではあるが、プラットフォーム上に作成された仮想環境用のさらなるトラステッドエンティティを使用するプラットフォーム上に設けられる。
もちろん、ハードウェアデバイスと、プラットフォームプロセッサ上での実行を意図されるソフトウェアとの組み合わせとしてトラステッドエンティティを実装することも可能である。これは、たとえば、RTMをルートとした信頼チェーンによってソフトウェアの信頼性を確立できるトラステッドエンティティのより高レベルな機能(非コアの機能)を有するソフトウェアの実装に適している。
トラステッドエンティティの機能は、複数のデバイス間(ハードウェアの実施形態の場合)又はコードブロック間(「仮想的」な実施形態の場合)に分散させることができる。
トラステッドエンティティは、暗号プロセスを使用するが、必ずしもそれらの暗号プロセスに外部インターフェースを提供するとは限らない。トラステッドエンティティは、他のエンティティから論理的に保護されるべきである。これら他のエンティティには、トラステッドエンティティ自体がプラットフォームの一部である当該プラットフォームの他の部分が含まれる。また、ほとんどの望ましい実施態様は、トラステッドエンティティによって記憶された機密又は処理されている機密を他のプラットフォーム機能に対してアクセス不能にすることによってそれら機密を保護する保護用機能をトラステッドエンティティに提供し、認可されていない変更を実質的に免れる環境を提供する。
ハードウェアの実施形態の場合、トラステッドエンティティは、したがって、好ましくは、耐タンパ性を有する1つの物理コンポーネントから成る。耐タンパ性に関連のある技法は、セキュリティの当業者に既知である。これらの技法には、タンパリングを阻止する方法(トラステッドエンティティの適切なカプセル化等)、タンパリングを検出する方法(指定外の電圧の検出、X線の検出、又はトラステッドエンティティのケーシングの物理的完全性の喪失の検出等)、及び、タンパリングが検出された時にデータを削除する方法が含まれる。「仮想」トラステッドエンティティに関して、ソフトウェアは、このような高度な耐タンパ性をハードウェアデバイスとして与えない場合があるが、これは、追加の保護対策によって補償することができる。たとえば、ソフトウェアコードは、トラステッド機能の完全性をチェックする自己試験機能を含むことができる。ソフトウェアベースの実施態様を保護する他の対策も既知であろう。
信頼チェーン
プラットフォームにトラステッドエンティティが存在することによって可能にされる信頼可能な完全性の測定及び報告によって、通常、さらなるプラットフォームのコンポーネント又は機能等の信頼可能な完全性測定を次に行う他のプラットフォームのコンポーネント又は機能に信頼を置くことが可能になる。信頼可能であるものの境界を拡張するこのプロセスは、「推移的信頼(transitive trust)」と呼ばれ、プラットフォームの信頼ルートをルートとする信頼チェーンを確立するものとみなすことができる。したがって、一般的な例では、
初期完全性測定(TCG用語でのCRTM)を行うトラステッドコードは、(完全性メトリックが予測値と一致する場合に)OSローダコードに信頼を置くことができるようにするために、このコードの完全性メトリックを測定する働きをする。
OSローダコードは、次に、オペレーティングシステムに信頼を置くことができるようにするために、オペレーティングシステムコードの完全性メトリックを求める。
次に、オペレーティングシステムは、アプリケーションに信頼を置くことができるようにするために、アプリケーションコードの完全性メトリックを求める。
プラットフォームにトラステッドエンティティが存在することによって可能にされる信頼可能な完全性の測定及び報告によって、通常、さらなるプラットフォームのコンポーネント又は機能等の信頼可能な完全性測定を次に行う他のプラットフォームのコンポーネント又は機能に信頼を置くことが可能になる。信頼可能であるものの境界を拡張するこのプロセスは、「推移的信頼(transitive trust)」と呼ばれ、プラットフォームの信頼ルートをルートとする信頼チェーンを確立するものとみなすことができる。したがって、一般的な例では、
初期完全性測定(TCG用語でのCRTM)を行うトラステッドコードは、(完全性メトリックが予測値と一致する場合に)OSローダコードに信頼を置くことができるようにするために、このコードの完全性メトリックを測定する働きをする。
OSローダコードは、次に、オペレーティングシステムに信頼を置くことができるようにするために、オペレーティングシステムコードの完全性メトリックを求める。
次に、オペレーティングシステムは、アプリケーションに信頼を置くことができるようにするために、アプリケーションコードの完全性メトリックを求める。
第1の例の従来技術のトラステッドプラットフォーム−概観
一例のトラステッドプラットフォーム10が、図1の図式に示されている。このコンピューティングプラットフォーム10は、いわゆるパーソナルコンピュータとして示され、外観は完全に従来のものである。コンピューティングプラットフォーム10は、キーボード14、マウス16、及び視覚表示ユニット(VDU)18の標準的機能を関連付けている。これらの標準的機能は、プラットフォームの物理的な「ユーザインターフェース」を提供する。コンピューティングプラットフォーム10は、Microsoft Windows(登録商標) XP等の標準的なオペレーティングシステムを実行するように構成されている。
一例のトラステッドプラットフォーム10が、図1の図式に示されている。このコンピューティングプラットフォーム10は、いわゆるパーソナルコンピュータとして示され、外観は完全に従来のものである。コンピューティングプラットフォーム10は、キーボード14、マウス16、及び視覚表示ユニット(VDU)18の標準的機能を関連付けている。これらの標準的機能は、プラットフォームの物理的な「ユーザインターフェース」を提供する。コンピューティングプラットフォーム10は、Microsoft Windows(登録商標) XP等の標準的なオペレーティングシステムを実行するように構成されている。
図2に示すように、トラステッドコンピューティングプラットフォーム10のマザーボード20は、(他の標準的なコンポーネントの中でも特に)メインプロセッサ21、メインメモリ22、ここではトラステッドデバイス24の形で具現化されたトラステッドエンティティ(ハードウェアTPM等)、データバス26並びに各制御ライン27及び各アドレスライン28、プラットフォーム10用のBIOSプログラムを含むBIOSメモリ29、入出力(IO)デバイス23、並びにリモートデバイス又はリモートシステムとの通信を制御するたとえばイーサネット(登録商標)コントローラといったI/Oデバイス25を含む。入出力デバイス23は、マザーボードのコンポーネントと、キーボード14、マウス16、及びVDU18との間の相互作用を制御する。メインシステムメモリ22は、通常、ランダムアクセスメモリ(RAM)である。動作中、プラットフォーム10は、この場合にはWindows(登録商標) XPであるオペレーティングシステムをハードディスク(図示せず)からRAMにロードする。加えて、動作中、プラットフォーム10は、プラットフォーム10によって実行可能なプロセス又はアプリケーションをハードディスク(図示せず)からRAMにロードする。マザーボード上のトラステッドデバイス24の実装は、トラステッドデバイス24をプラットフォームにバインドする働きをする。
通常、パーソナルコンピュータでは、BIOSプログラムは、システムメモリの最初の1メガバイトの上位64K(アドレスF000h〜FFFFh)等の特別な予約済みのメモリエリアに配置され、メインプロセッサは、業界全体の標準規格に従って、このメモリロケーションを最初に調べるように構成されている。説明されているトラステッドプラットフォームと従来のプラットフォームとの間の大きな相違は、リセット後、メインプロセッサが、初期にCRTMコード(本例では、トラステッドデバイス24に記憶されたハッシュ関数コードを含む)によって制御されるということである。CRTMコードは、次に、プラットフォーム特有のBIOSプログラムに制御を手渡す。プラットフォーム特有のBISOプログラムは、次に、通常通りすべての入出力デバイスを初期化する。BIOSプログラムが実行された後、制御は、通常通り、BIOSプログラムによって、Windows(登録商標) XP等のオペレーティングシステムプログラムに手渡される。オペレーティングシステムプログラムは、通常、ハードディスクドライブ(図示せず)からメインメモリ22にロードされる。
トラステッドプラットフォーム上で実行される最初の測定に信頼を置くことが必要であることから、メインプロセッサ21は、初期にCRTMコードによって制御される。CRTMコードは、通常、その出所によって、少なくとも部分的に信頼される。すでに示したように、メインプロセッサ21は、CRTMの制御下にある時、「測定用の信頼ルート」RTMを形成する。通常通り、この場合のRTMの1つの役割は、他の測定エージェントが使用されてそれらの測定が依拠される前に、それら他の測定エージェントを測定することである。RTMは、上述した「信頼チェーン」の基礎である。RTM及び後続の測定エージェントは、後続の測定エージェントを検証する必要がないことに留意されたい。RTM及び後続の測定エージェントは、後続の測定エージェントが実行される前にそれら後続の測定エージェントを単に測定して記録するだけである。これは、「認証されたブートプロセス(authenticated boot process)」と呼ばれる。測定エージェントのダイジェストを有効な測定エージェントのダイジェストのリストと比較することによって、有効な測定エージェントを認識することができる。リストされていない測定エージェントは、認識されず、それら測定エージェント及び後続の測定エージェントによって行われた測定は疑わしいと考えられる。
トラステッドデバイスの例
次に、トラステッドデバイス24の一実施態様のさらに詳細な内容を述べることにする。対応する機能は、ソフトウェアトラステッドエンティティ(すなわち、仮想トラステッドデバイス)で提供できることが理解される。
次に、トラステッドデバイス24の一実施態様のさらに詳細な内容を述べることにする。対応する機能は、ソフトウェアトラステッドエンティティ(すなわち、仮想トラステッドデバイス)で提供できることが理解される。
トラステッドデバイス24は、図3に示すように、複数のブロックを備える。すでに示したように、システムリセット後、トラステッドデバイス24は、認証されたブートプロセスに参加して、プラットフォーム10の動作状態が安全な方法で確実に記録されるようにする。認証されたブートプロセスの期間中、トラステッドデバイス24は、コンピューティングプラットフォーム10の少なくとも1つの完全性メトリックを取得する。また、トラステッドデバイス24は、自身とスマートカードとの間で暗号化/解読及び署名/検証を介して、セキュアなデータ転送、及び、たとえば認証も行うことができる。さらに、トラステッドデバイス24は、ユーザインターフェースのロック等、さまざまなセキュリティ制御ポリシーをセキュアに施行することもできる。特に好ましい一構成では、コンピューティングプラットフォームのディスプレイドライバは、トラステッドデバイス24内に配置され、その結果として、ローカルユーザは、トラステッドデバイス24によってディスプレイに提供されたデータの表示を信頼することができる。
具体的には、この実施形態のトラステッドデバイス24は、コントローラ30、測定機能31、暗号機能32、認証機能33、及びインターフェース回路部34を備える。コントローラ30は、トラステッドデバイス24の全体オペレーションを制御し、且つ、トラステッドデバイス24上の他の機能及びマザーボード20上の他のデバイスと相互作用するようにプログラミングされている。測定機能31は、直接的な測定を介して、代替的には、プラットフォームのメインプロセッサで実行される実行可能命令を介して間接的にのいずれかでプラットフォーム10から第1の完全性メトリックを取得する。暗号機能32は、指定されたデータの署名、暗号化/解読を行う。認証機能33は、スマートカードを認証する。インターフェース回路部34は、トラステッドデバイス24を、マザーボード20のデータバス26、制御ライン27、及びアドレスライン28にそれぞれ接続する適切なポート(36、37、及び38)を有する。トラステッドデバイス24のブロックのそれぞれは、トラステッドデバイス24の適切な揮発性メモリエリア4及び/又は不揮発性メモリエリア3に(通常はコントローラ30を介して)アクセスすることができる。既に説明したように、トラステッドデバイス24は、既知の方法で、耐タンパ性を有するように設計されている。
性能の理由から、トラステッドデバイス24は、特定用途向け集積回路(ASIC)として実装される場合がある。一方、柔軟性のために、トラステッドデバイス24は、好ましくは、適切にプログラミングされたマイクロコントローラである。ASIC及びマイクロコントローラの双方は、マイクロエレクトロニクスの技術分野で既知であり、本明細書では、これ以上詳細に検討しないことにする。
好ましくはトラステッドデバイス24の不揮発性メモリ3に記憶された1つのデータアイテムは証明書350である。この証明書350は、トラステッドデバイス24の公開鍵351、及び、トラステッドパーティ(TP)によって測定されたプラットフォーム完全性メトリックの認証値352を少なくとも含む。証明書350は、トラステッドデバイス24に記憶される前に、TPの私有鍵を使用してTPによって署名される。後の通信セッションにおいて、プラットフォーム10のユーザは、証明書のTPの署名を検証することによって、公開鍵がトラステッドデバイスに属することを推論することができる。また、プラットフォーム10のユーザは、取得された完全性メトリックを真正な完全性メトリック352と比較することによってプラットフォーム10の完全性を検証することもできる。一致する場合、ユーザは、プラットフォーム10が破壊されていないことを確信することができる。TPの一般に利用可能な公開鍵を知ることによって、証明書350の簡単な検証が可能になる。不揮発性メモリ35は、識別(ID)ラベル353も含む。IDラベル353は、或る状況において一意である、たとえばシリアル番号といった従来のIDラベルである。IDラベル353は、一般に、トラステッドデバイス24に関連のあるデータのインデックス及びラベルに使用されるが、それ自体では、信頼された状況下でプラットフォーム10の識別情報を証明するには不十分である。
すでに示したように、トラステッドデバイス24は、プラットフォームの少なくとも1つの完全性メトリックを確実に取得するために、プラットフォーム10の他の要素と協力する。本実施形態では、トラステッドデバイス24に記憶されるCRTMコードをメインプラットフォームプロセッサに実行させることによって、第1の完全性メトリックが取得される。CRTMは、プラットフォームプロセッサによって実行されると、BIOSメモリにおけるBIOS命令のダイジェストを生成し、このダイジェストを、記憶するために測定機能に渡す。取得されたこのような完全性メトリックは、上述したように検証された場合、プラットフォーム10がハードウェアレベル又はBIOSプログラムレベルにおいて破壊されていないという高レベルの確信をプラットフォーム10の見込みユーザに与える。
代替的に、トラステッドデバイス内に測定エンジンを設け、このエンジンに、プラットフォームの起動(リセット)時にBIOSコードについての完全性メトリックを形成させることも可能である。
本例では、測定機能31は、トラステッドデバイス24のCRTMハッシュコード354及び私有鍵355を記憶する不揮発性メモリ3、並びに、取得された完全性メトリック測定値を記憶する揮発性メモリ4にアクセスすることができる。トラステッドデバイス24は、メモリが限られているが、多数の完全性メトリック測定に関する情報を記憶することが望ましい場合がある。これは、トラステッドコンピューティンググループによって説明されているようなトラステッドコンピューティングプラットフォームでは、プラットフォーム構成レジスタ(PCR)8a〜8nを使用することによって行われる。トラステッドデバイス24は、固定サイズ(標準的な測定ダイジェストと同じサイズ)の複数のPCRを有する。プラットフォームの初期化の際に、これらPCRは、一定の初期値に設定される。完全性測定値は、次に、図4に示すプロセスによってPCR内に「拡張される(extended)」。PCR8iの値は、入力41と連結される(43)。この入力41は、PCRまで拡張される完全性測定の値である。この連結したものは、次に、ハッシュされて(42)、新しい160ビット値が形成される。このハッシュは、PCRにフィードバックされて、関係している完全性メトリックの新たな値が形成される。完全性測定値のPCR内への拡張に加えて、実行された測定の明瞭な履歴を提供するために、測定プロセスも、従来のログファイル(単純にコンピュータプラットフォームのメインメモリに存在することができる)に記録することができる。しかしながら、信頼のために、このログファイルは、依拠されるPCR値であり、ソフトウェアログではない。
明らかに、必要とされる信頼の範囲に応じて、初期の完全性メトリック値を計算できる複数の異なる方法が存在する。BIOSプログラムの完全性の測定は、プラットフォームの基礎を成す処理環境の完全性に対する基本的なチェックを提供する。完全性メトリックの測定は、ブートプロセスの有効性についての論理的判断を可能にするような形態を有するべきである。完全性メトリックの値は、プラットフォームが、正しいBIOSを使用してブートしたか否かを検証するのに使用することができる。オプションとして、BIOS内の個々の機能ブロックは、それら機能ブロック自体のダイジェスト値を有することができ、集合BIOSダイジェスト(ensemble BIOS digest)は、これらの個々のダイジェストのダイジェストである。これによって、ポリシーは、BIOSオペレーションのどの部分が、意図された目的にとって重要であるのか、及び、どの部分が無関係であるのかを提示することが可能になる(この場合、このポリシーの下でのオペレーションの有効性を確立できるような方法で個々のダイジェストを記憶しなければならない)。
好ましくは、BIOSブートプロセスは、ブートプロセス自体の完全性を検証するメカニズムを含むことに留意することができる。このようなメカニズムは、たとえば、Intelの草案「Wired for Management baseline specification v 2.0 - BOOT Integrity Service」からすでに知られており、ソフトウェア又はファームウェアをロードする前に、そのソフトウェア又はファームウェアのダイジェストを計算することを伴う。このような計算されたダイジェストは、トラステッドエンティティによって提供される証明書に記憶された値と比較される。この証明書の公開鍵はBIOSに知られている。次に、ソフトウェア/ファームウェアは、計算された値が証明書からの予測値と一致し、且つ、証明書が、トラステッドエンティティの公開鍵を使用することによって有効であると証明された場合にのみロードされる。そうでない場合、適切な例外ハンドリングルーチンが起動される。オプションとして、トラステッドデバイス24は、計算されたBIOSダイジェストを受け取った後、証明書のBIOSダイジェストの適切な値を検査することができ、計算されたダイジェストがこの適切な値と一致しない場合には、BIOSに制御を渡すことができず、適切な例外ハンドリングルーチンを起動することができる。
BIOSコードが測定され(且つ、好ましくは検証され)、次いでロードされると、BIOSは、好ましくは、次のソフトウェアコンポーネント(OSローダ等)を、そのソフトウェアのロード前に測定して、対応する完全性メトリック測定値をトラステッドデバイス24に記憶する。このように、オペレーティングシステム及びオペレーティングシステムによってロードされるアプリケーションを含め、対応する完全性メトリックがトラステッドデバイス24のPCRに記憶されるように、信頼チェーンを構築することができる。
他の完全性チェックは、プログラムコードの測定、及び、対応する完全性メトリック測定のトラステッドデバイスへの記憶を伴って実行することができる。たとえば、SCSIコントローラに関連するBIOSプログラムを測定するようにCRTM又はBIOSを構成して、周辺機器との通信を信頼できるようにすることができる。他の形態の完全性チェックも行うことができ、たとえば、一定の誰何/応答相互作用を規定して一致した結果を確実にすることによって、プラットフォーム上のメモリデバイス又はコプロセッサを検証することができる。これらのチェックによっても、完全性メトリックはトラステッドデバイス24のPCRに記憶することができる。
上記から明らかなように、RTMによって直接又は間接に測定されるエージェントを測定することによって、多数の完全性測定値を収集することができ、これらの完全性測定値をトラステッドデバイス24のPCR内に拡張することができる。これらの完全性測定値のいくらか−多く−は、トラステッドプラットフォームのソフトウェア状態に関係する。PCRを割り当てる方法は、好ましくは、プラットフォームタイプごとに標準化される。例として、PCクライアント用のTCG仕様によれば、PCRは、2つの主要セットに分割される。第1のセットは、プラットフォームのOS以前の環境用に指定され(PCR[0〜7])、他方は、プラットフォームのOS用に指定される(PCR[8〜15])。この場合、OS以前のPCRは、プラットフォームのリセットから開始するプラットフォームの初期信頼チェーンを提供する。換言すれば、OS以前のPCRは、OSのIPL(初期プログラムロード)コードを通じてCRTMからの信頼チェーンを確立する。
ソフトウェアコンポーネントの初期の測定及びロードの後におけるそのソフトウェアコンポーネントに対する変更の結果、ソフトウェアコンポーネントは再測定され、その結果得られた完全性測定値はトラステッドデバイスに渡されて、そのコンポーネントに関連付けられるPCRは拡張される。
すでに示したように、ユーザは、プラットフォームと通信したいとき、チャレンジ/レスポンスルーチンを使用して、トラステッドデバイス24をチャレンジする(プラットフォームのオペレーティングシステム又は適切なソフトウェアアプリケーションは、そのチャレンジを認識し、通常はBISOタイプのコールを介して適切な方法でそのチャレンジをトラステッドデバイス24に渡すように構成されている)。トラステッドデバイス24は、チャレンジを受け取り、測定された1つ又は複数の完全性メトリックに基づいて適切なレスポンスを作成する。このレスポンスは、予測された完全性メトリック値(複数可)を与える証明書(複数可)と共に提供することができ、署名することができる。このレスポンスは、ユーザによる検証を可能にするのに十分な情報を提供する。
保護されているストレージシール/アンシールデータ
上記に示したように、トラステッドデバイス24等のトラステッドエンティティは、そのトラステッドエンティティの外部に保持されたオパークブロブ内にデータ(通常は鍵又はパスワード)をシールする「保護されているストレージ」メカニズムを提供するトラステッド機能(RTS)を含むことができる。このブロブは、その後、プラットフォームが特定の(トラステッド)状態にある時にのみアクセス可能になる。この状態は、一部又は全部のPCRの値のダイジェストによって、シールの時に指定される。データブロブをアンシールするには、PCRの現在の値から同じダイジェストが形成されなければならない。新しいダイジェストが、オパークブロブのダイジェストと同じでない場合、ユーザは、データを回復することができない。
上記に示したように、トラステッドデバイス24等のトラステッドエンティティは、そのトラステッドエンティティの外部に保持されたオパークブロブ内にデータ(通常は鍵又はパスワード)をシールする「保護されているストレージ」メカニズムを提供するトラステッド機能(RTS)を含むことができる。このブロブは、その後、プラットフォームが特定の(トラステッド)状態にある時にのみアクセス可能になる。この状態は、一部又は全部のPCRの値のダイジェストによって、シールの時に指定される。データブロブをアンシールするには、PCRの現在の値から同じダイジェストが形成されなければならない。新しいダイジェストが、オパークブロブのダイジェストと同じでない場合、ユーザは、データを回復することができない。
次に、保護されているストレージをトラステッドデバイス24で実装する1つの手法を説明することにする。この手法は、TPMで使用されるものである。図5に示すように、この手法では、保護されているストレージは、データオブジェクトの階層(ツリー)52として実装される。このツリーのルートは、トラステッドデバイス24に永久記憶される(且つ、トラステッドデバイス24から解放されない)ストレージルート鍵(SRK)51である。ツリー52は、SRKから離れて、トラステッドデバイスの外部の標準的なメモリ54に記憶することができる。ノードの情報が使用されるか又は明らかにされる時、そのノードは、トラステッドデバイスによって操作される。SRKルートノードまでのすべてにわたって、ツリーの各中間ノードオブジェクトは、ツリーにおいてその中間ノードオブジェクトの上のノードオブジェクト(親ノード)の鍵によって暗号化される。図5では、SRKの下に2つのレベル、すなわち、鍵K1−1〜K1−3を記憶する第1のレベル、並びに、鍵K2−1及びK2−2を記憶する第2のレベルが示されている。各鍵が暗号化されているという性質は、周囲の網掛けされた輪によって示されている。各鍵は、トラステッドデバイスがその鍵の使用を許可する前に、その鍵を利用したいエンティティがトラステッドデバイス24に提示しなければならない関連する認可値を有する(又は、より正確には、その値を明らかにすることなく、その値を知っていることを証明するプロトコルで使用される)。ツリーの中間ノードは、常に鍵であるが、リーフノードは、任意のデータとすることができる(ただし、リーフノードも、バルクデータを保護する際にアプリケーションプロセスによる使用用の対称鍵等の鍵であることが多い)。ツリーの鍵は、私有鍵がトラステッドデバイスにのみ知られていることを意味する「マイグレーション不可能」とすることもできるし、私有鍵の起源及び使用についての保証がないことを意味する「マイグレーション可能」とすることもできる。
第2の例の従来技術のトラステッドプラットフォーム
オペレーティングシステム及びオペレーティングシステムによってロードされたアプリケーションの完全性メトリックが記録されているものと仮定すると、上述したトラステッドプラットフォーム10によって、ユーザは、プラットフォームの状態をチェックし、そのプラットフォームを信頼するか否かを決定することが可能になる。オペレーティングシステムが、第1のユーザによって信頼されない(ただし、場合によっては異なるユーザによって信頼される)アプリケーションを実行していた場合、その第1のユーザは、(たとえ、アプリケーションが終了した後であっても)、関連のあるPCRをチェックすることによってこれを検出することができる。しかしながら、この場合、上述したトラステッドプラットフォームについて、プラットフォームにおける信頼を第1のユーザに対して再確立する唯一の方法は、そのプラットフォームを再起動することである。この欠点は、プラットフォームが、複数のコンピューティング環境をサポートする区画化されたオペレーティングシステムを実行するのに使用される場合に増大される。その理由は、適切な対策が機能していない限り、非トラステッドアプリケーションを複数の環境のうちのいずれかで実行するには、プラットフォームを再起動して信頼を再確立する必要があるからである。
オペレーティングシステム及びオペレーティングシステムによってロードされたアプリケーションの完全性メトリックが記録されているものと仮定すると、上述したトラステッドプラットフォーム10によって、ユーザは、プラットフォームの状態をチェックし、そのプラットフォームを信頼するか否かを決定することが可能になる。オペレーティングシステムが、第1のユーザによって信頼されない(ただし、場合によっては異なるユーザによって信頼される)アプリケーションを実行していた場合、その第1のユーザは、(たとえ、アプリケーションが終了した後であっても)、関連のあるPCRをチェックすることによってこれを検出することができる。しかしながら、この場合、上述したトラステッドプラットフォームについて、プラットフォームにおける信頼を第1のユーザに対して再確立する唯一の方法は、そのプラットフォームを再起動することである。この欠点は、プラットフォームが、複数のコンピューティング環境をサポートする区画化されたオペレーティングシステムを実行するのに使用される場合に増大される。その理由は、適切な対策が機能していない限り、非トラステッドアプリケーションを複数の環境のうちのいずれかで実行するには、プラットフォームを再起動して信頼を再確立する必要があるからである。
これに対する解決法は、コアソフトウェア(BIOS及びオペレーティングシステム/ハイパーバイザ)を高レベルソフトウェアから切り離すことを可能にするハードウェア/ソフトウェアアーキテクチャを提供し、高レベルソフトウェアが信頼されない場合に、コアソフトウェア(コアソフトウェアは信頼されるものと仮定する)から信頼を再構築するだけで足りるようにすることである。コアソフトウェアが、複数のコンピューティング環境をサポートする場合において、複数のコンピューティング環境が互いに切り離されているときは、コアソフトウェアも、コアソフトウェアによってサポートされる他のコンピューティング環境も再起動することなく、非トラステッド環境を再起動することができる。さらに、複数のコンピューティング環境がサポートされる場合に、このような各環境についてそれぞれのトラステッドエンティティ(通常は仮想トラステッドデバイス)を提供することが好都合である。
次に、図6を参照して、複数の切り離されたコンピューティング環境をサポートする一例のトラステッドプラットフォーム60を簡潔に説明することにする。このタイプのトラステッドプラットフォームのより完全な説明は、米国公開特許出願第US2003/0226031号に見つけることができる。
図6に示すトラステッドプラットフォーム60は、1つ又は2つ以上のプラットフォームプロセッサ61及びハードウェアトラステッドデバイス62を有する。このハードウェアトラステッドデバイス62は、上述したトラステッドデバイス24と同様のものであるが、CRTMを形成するコードが別個のROM63に存在する。プラットフォーム10及びトラステッドデバイス24について上述したのと同等の方法で、プラットフォームのリセットに続いて、CRTMコードは、メインプラットフォームプロセッサ61の1つによって実行されて、(たとえばCRTMと同じROM63に記憶された)BIOSコードの完全性メトリックを求め、そして、そのメトリックをPCRに挿入するためにトラステッドデバイス62に渡す。その後、BIOS64がロードされる。BIOSは、次に、セキュリティカーネル65をロードする前に、セキュリティカーネルコードの完全性メトリックを測定してトラステッドデバイス62に記録する。セキュリティカーネル65は、次に、ハイパーバイザ66(仮想マシンモニタとも呼ばれる)をロードする前に、ハイパーバイザコードの完全性メトリックを測定してトラステッドデバイス62に記録する。実際には、通常、より多くの完全性メトリックが記録され、中間コードモジュールがロードされるであろう。BIOS64及びセキュリティカーネル65は、メインプラットフォームプロセッサ61の最高特権レベルで実行される一方、ハイパーバイザ66は、メインプラットフォームプロセッサ61の2番目に高い特権レベルで実行される。他のすべてのコードは、より低い特権レベルで実行され、したがって、BIOS及びハイパーバイザ/セキュリティカーネル65を信頼できない可能性のあるコードから切り離すことが提供される。エレメント61〜65は、プラットフォーム60のトラステッドコンピューティングベース600を形成する。ハイパーバイザ66等の任意の複雑なプログラムについて、プラットフォーム上のハイパーバイザコードが基準バージョンと同一であることを検証することは可能であるが、その基準バージョン自体がセキュリティ弱点を全く所有していないことを確信することが非常に困難であることを条件として、ハイパーバイザ66も、トラステッドコンピューティングベースの一部とみなすことができる。
ハイパーバイザ66によって、複数のオペレーティングシステム環境を他のオペレーティングシステム環境から切り離されたそれ自身のパーティションにそれぞれ設けることが可能になる。図6では、例として、3つのオペレーティングシステム環境68A、68B、及び68Cが、それ自身のそれぞれのパーティション67A、67B、67Cにそれぞれ示されている。各パーティションは、異なるプラットフォームプロセッサ61上で実行されるように構成することができ、それによって、切り離しの程度が改善される。ハイパーバイザ66は、パーティション間の通信及び外部の世界との通信を可能にし且つ保護する。アプリケーションは、オペレーティングシステム環境のうちの適切な1つで必要に応じて実行される。この場合では、オペレーティングシステム環境68Aで実行される1つのアプリケーション601が示されている。アプリケーションは、通常、オペレーティングシステム環境の特権レベルよりも下の最低特権レベルで実行される。
本例では、各パーティション67A、67B、67Cは、それ自身の関連する仮想トラステッドデバイス69A、69B、69Cを有する(ただし、図6では、各パーティションにおいて、仮想トラステッドデバイスは、論理的にセキュリティカーネルの一部であり、同じ特権レベル又は個別のパーティションで実行される)。パーティションの仮想トラステッドデバイスは、関連するオペレーティングシステム環境及びこのオペレーティングシステム環境が実行しているあらゆるアプリケーションの完全性メトリックを測定して記録するのに使用される。
プラットフォーム60によって提供された切り離しは、任意の特定のパーティションにおいて、信頼を再確立するために再起動しなければならないソフトウェアを最小にすることが十分理解されよう。また、パーティションごとに1つのハードウェアトラステッドデバイス62及び1つの仮想トラステッドデバイスを有する構成は、すべてのプラットフォーム用に単一のハードウェアトラステッドデバイス又は仮想トラステッドデバイスしか有しないことを含む、多くのものの中の1つの可能性にすぎないことも十分理解されよう。
発明の実施形態
上述した従来技術のトラステッドデバイス24では、特定のソフトウェアコンポーネント又はコンポーネントの集合に関する完全性測定値は、同じPCRの最後のリセット以降、その同じPCRに前に記憶された値と累積的に組み合わせることによって特定のPCRに記憶される。これによって、信頼できないソフトウェアを示す測定値が、PCRのすべての後続の値に影響を与え、(たとえ、関連しているソフトウェアがアンロードされた後であっても)信頼できないソフトウェアがロードされたことを可視的に保つことが可能になる。しかしながら、この構成は、ソフトウェアコンポーネントが(たとえば、ソフトウェア更新を通じて)別の形態に変化するか若しくは現在の状態に適応することが認められている状況、又は、システムコンポーネントが(たとえば、異なる構成を有する)さまざまな動作モード間で変化して、変化するセキュリティニーズを有するオペレーションを実行する状況を効率的に取り扱わない。いずれの状況でも、たとえこの変化がコンポーネントのセキュリティに影響を与えることができない場合であっても、ソフトウェアコンポーネントは、この変化に続いて更新されたその関連するPCRの値に従って信頼される状態から信頼されない状態に移行する可能性がある。TCG仕様は、保守的な手法を取り、このようなどの変化も、悪意があり、撤回できない可能性があるものと考え、その結果、信頼を再確立するために、プラットフォーム(特権レベルなしで動作するプラットフォームの場合)、又は、関連しているパーティション(図6を参照して上述したようなプラットフォームの場合)のいずれかを再起動することが必要である。
上述した従来技術のトラステッドデバイス24では、特定のソフトウェアコンポーネント又はコンポーネントの集合に関する完全性測定値は、同じPCRの最後のリセット以降、その同じPCRに前に記憶された値と累積的に組み合わせることによって特定のPCRに記憶される。これによって、信頼できないソフトウェアを示す測定値が、PCRのすべての後続の値に影響を与え、(たとえ、関連しているソフトウェアがアンロードされた後であっても)信頼できないソフトウェアがロードされたことを可視的に保つことが可能になる。しかしながら、この構成は、ソフトウェアコンポーネントが(たとえば、ソフトウェア更新を通じて)別の形態に変化するか若しくは現在の状態に適応することが認められている状況、又は、システムコンポーネントが(たとえば、異なる構成を有する)さまざまな動作モード間で変化して、変化するセキュリティニーズを有するオペレーションを実行する状況を効率的に取り扱わない。いずれの状況でも、たとえこの変化がコンポーネントのセキュリティに影響を与えることができない場合であっても、ソフトウェアコンポーネントは、この変化に続いて更新されたその関連するPCRの値に従って信頼される状態から信頼されない状態に移行する可能性がある。TCG仕様は、保守的な手法を取り、このようなどの変化も、悪意があり、撤回できない可能性があるものと考え、その結果、信頼を再確立するために、プラットフォーム(特権レベルなしで動作するプラットフォームの場合)、又は、関連しているパーティション(図6を参照して上述したようなプラットフォームの場合)のいずれかを再起動することが必要である。
本発明の実施形態の以下の説明では、ソフトウェアコンポーネントが受ける可能性がある変更が、第1のタイプと第2のタイプとに分割される。第1のタイプ又は第2のタイプとしての変更のカテゴリー化は、コンポーネントに依存し、コンポーネントに関連付けられる「変更タイプ」ポリシーに設定されるが、大まかに言えば以下の通りである。
第1のタイプの変更は、コンポーネントの完全性を再確立するためにそのコンポーネントを再起動する必要がある変更である。このような変更は、コンポーネントの完全性にクリティカルな部分(integrity critical part)に対して行われる変更、すなわち、コンポーネントがその目的とする機能を正しく実施する能力に影響を与える可能性のあるコンポーネントのコード又は他のデータに対して行われる変更である。便宜上、以下では、このような変更を「クリティカル」変更と呼ぶ。クリティカル変更の一例は、カーネルが、新しいドライバをコンポーネントのメモリにロードすること、又は、アプリケーションが、コンポーネントの振る舞いに影響を与えるようにコンポーネントのメモリにプラグインをロードすることとすることができる。
第2のタイプの変更は、第1のタイプの変更とは異なる変更である。このような変更は、コンポーネントの完全性にクリティカルでない部分に対して行われる変更、すなわち、コンポーネントがその目的とする機能を実施する能力に実質的に影響を与えないコンポーネントのコード又は他のデータに対して行われる変更である。以下では、第2のタイプの変更を「非クリティカル」変更と呼ぶ。非クリティカル変更の特定の例は、構成の変更又はモード変更とすることができる。
第1のタイプの変更は、コンポーネントの完全性を再確立するためにそのコンポーネントを再起動する必要がある変更である。このような変更は、コンポーネントの完全性にクリティカルな部分(integrity critical part)に対して行われる変更、すなわち、コンポーネントがその目的とする機能を正しく実施する能力に影響を与える可能性のあるコンポーネントのコード又は他のデータに対して行われる変更である。便宜上、以下では、このような変更を「クリティカル」変更と呼ぶ。クリティカル変更の一例は、カーネルが、新しいドライバをコンポーネントのメモリにロードすること、又は、アプリケーションが、コンポーネントの振る舞いに影響を与えるようにコンポーネントのメモリにプラグインをロードすることとすることができる。
第2のタイプの変更は、第1のタイプの変更とは異なる変更である。このような変更は、コンポーネントの完全性にクリティカルでない部分に対して行われる変更、すなわち、コンポーネントがその目的とする機能を実施する能力に実質的に影響を与えないコンポーネントのコード又は他のデータに対して行われる変更である。以下では、第2のタイプの変更を「非クリティカル」変更と呼ぶ。非クリティカル変更の特定の例は、構成の変更又はモード変更とすることができる。
変更のこのような分類が行われて、コンポーネントの完全性を判断する際に使用されるソフトウェアコンポーネントを、以下では、「動的」コンポーネントと呼ぶ(その理由は、理解されるように、その信頼性が何度も変化する可能性があるからである)。
第1の実施形態
次に、図7及び図8を参照して、本発明の第1の実施形態を説明することにする。この実施形態によれば、動的コンポーネント71が作成される時、特殊なタイプのトラステッドエンティティ75が、その動的コンポーネント71に1対1に関連付けられる(この特殊なタイプのトラステッドエンティティは、以下では、動的コンポーネントに関係していることを示すために、「動的トラステッドエンティティ」、すなわち「DTE」と呼ぶ)。
次に、図7及び図8を参照して、本発明の第1の実施形態を説明することにする。この実施形態によれば、動的コンポーネント71が作成される時、特殊なタイプのトラステッドエンティティ75が、その動的コンポーネント71に1対1に関連付けられる(この特殊なタイプのトラステッドエンティティは、以下では、動的コンポーネントに関係していることを示すために、「動的トラステッドエンティティ」、すなわち「DTE」と呼ぶ)。
動的コンポーネント71は、そのコンポーネントの目的とする標準的な機能Fを提供するコードに加えて、コンポーネントに対する変更が信頼回復不能な変更であるのか、又は信頼回復可能な変更であるのかを判断する際に使用する変更タイプポリシーエレメント72、及び、コンポーネント自体に対する変更を測定する測定エージェント(複数可)73を備える。動的コンポーネントがその関連付けられるDTE75と通信することを可能にする適切なメカニズムが提供される。変更タイプポリシー72及び測定エージェント73の双方は、動的コンポーネント71の一部として示されているが、コンポーネント71に関連付けられる状態を維持しながら、分離して配置することもできる。
すでに示したように、DTE75は、特殊なタイプのトラステッドエンティティであり、ほとんどの場合、(たとえば、適切な特権レベルにおいて、又は、別個のパーティションで実行することによって)セキュアな環境で実行される仮想トラステッドエンティティとして実施される。図7にボックス76によって示すように、DTE75は、永続的な識別情報を有する。DTE75は、動的コンポーネント71上で行われた完全性測定を保持する静的レジスタ78及び動的レジスタ79の双方を備える。「レジスタ」は、単にメモリロケーションを意味するものにすぎない。静的レジスタ78に記憶される完全性測定値は、そのレジスタに保持された既存の値と組み合わされる。すなわち、このレジスタ値は、(たとえば、従来技術のPCRが拡張される方法と同様の方法で)拡張される。これとは対照的に、動的レジスタ79に記憶される完全性測定値は、そのレジスタに保持された前の値に単に取って代わるだけである。DTE75は、完全性メトリックマネージャ77をさらに備える。この完全性メトリックマネージャ77は、レジスタ78、79に完全性測定を記憶し、且つ、レジスタ値を確実に報告する機能を提供する。また、DTE75は、コンポーネント71の予測測定値も保持することができる。
動的コンポーネント71が作成される時、作成エンティティは、少なくとも、動的コンポーネントがその目的とする機能を正しく実施する能力に影響を与える可能性のある動的コンポーネント71の部分(コード及び他のデータ)の完全性メトリックを取得し、このメトリックの値をDTE75の静的レジスタ78に置く。また、作成エンティティは、少なくとも、コンポーネントがその目的とする機能を実施する能力に影響を与えない動的コンポーネントの部分(コード及び他のデータ)の完全性メトリックも取得することができ、このメトリックの値をDTE75の動的レジスタ79に置く。それ以降、静的レジスタ78は、(完全性メトリックマネージャ77の援助を受けて)コンポーネント71自体によってのみ更新を受けることができるのに対して、動的レジスタ79は、(完全性メトリックマネージャ77を介して)コンポーネント71及び作成エンティティの双方によって更新を受けることができる(作成エンティティは、ポリシー72にアクセスするか、又は、非クリティカル変更を認識できるように同等の知識を有するものと仮定する)。
動的コンポーネント71は、その構造に対する変更を測定して報告する権限を有する。したがって、変更が、(たとえば、動的コンポーネントのいずれかの部分を保持するロケーションに対する何らかの書き込みオペレーションを検出するコードセットによって)判断されると、動的コンポーネントは、その実行された部分(すなわち、クリティカル変更の場合にはその完全性にクリティカルな部分、又は、非クリティカル変更については完全性にクリティカルでない部分のいずれか)を測定する。クリティカル変更の場合、結果として行われる測定は、静的レジスタ79の値を拡張するのに使用され、クリティカル変更が行われたという永続的表示が効果的に作成される。非クリティカル変更の場合、新しい完全性測定が、動的レジスタ79に保持されている以前の値に単に取って代わるだけである。
レジスタ78及び79の双方に記憶されている測定値に応じて、動的コンポーネント71は、次の3つのローカルな完全性状態の1つになることができる。
静的レジスタ78及び動的レジスタ79の値が、予測測定値と一致する場合には、完全性は「損なわれていない」(コンポーネント自体は信頼可能である)。
静的レジスタ78の値が予測測定値と一致しているが、動的レジスタの値が一致していない場合には、完全性は「回復可能」である。
それ以外のすべての場合には、完全性は「回復不可能」である。これらの状態間の関係は、図8の状態図に示されている。
上記構成によって、非クリティカル変更しか受けていない動的コンポーネントは、その信頼可能な状態に復旧することが可能になり、これを、レジスタ78及び79に記憶されているその完全性メトリック値に反映させることが可能になる。また、動的レジスタは、ユーザに知られているがDTEには知られていない予測値と一致するので、ユーザは、DTE75に知られている予測レジスタ値に従ってその回復可能な状態にある動的コンポーネントを快く信頼することができる。
コンポーネントの階層
関連付けられるDTE75と共に動的コンポーネント71を有するという概念は、このようなコンポーネントの階層の状況で特に効果を発揮する。各コンポーネントは、好ましくはそれ自身の切り離された環境(ハイパーバイザパーティション等)にあり、子コンポーネントを作成することができる。図9に示すように、この場合、親コンポーネント70によって起動された動的コンポーネント71は有利には、(ポリシー72及び測定エージェント(複数可)73に加えて)
1.必要なコンポーネント機能を提供する機能群Fと、
2.機能群が実行される実行環境ENVと、
3.1)及び2)の双方のパラメータを定義する構成群Φと
を備える。
関連付けられるDTE75と共に動的コンポーネント71を有するという概念は、このようなコンポーネントの階層の状況で特に効果を発揮する。各コンポーネントは、好ましくはそれ自身の切り離された環境(ハイパーバイザパーティション等)にあり、子コンポーネントを作成することができる。図9に示すように、この場合、親コンポーネント70によって起動された動的コンポーネント71は有利には、(ポリシー72及び測定エージェント(複数可)73に加えて)
1.必要なコンポーネント機能を提供する機能群Fと、
2.機能群が実行される実行環境ENVと、
3.1)及び2)の双方のパラメータを定義する構成群Φと
を備える。
図10は、それぞれがそれ自身の動的トラステッドエンティティ75(DTEi−1、DTEi、DTEi+1)を有する3つの動的コンポーネント71(Ci−1、Ci、Ci+1)の階層的配置を示す。各動的コンポーネントCiは、関連付けられるDTEiと共に、その親コンポーネントCi−1によって作成される。作成中、各DTEiには、階層におけるそのコンポーネントのロケーションをも示す永続的な識別情報が与えられる。図10に示すように、子コンポーネントの実行環境ENVCは、親の実行環境ENVPのサブセットである。したがって、各コンポーネントCiは、1つの直接の祖先(すなわち、親)しか有することができない。その結果生成される依存関係は、関係しているトラステッドプラットフォームの信頼ルートをルートとするコンポーネントツリーで表すことができる。
この依存ツリーは、動的コンポーネントの機密に付属した動的アクセス制御ポリシーを施行するのに使用することができる。これらのポリシーは、どのような状態の下でコンポーネントが、関連付けられるDTEによって提供された保護されているストレージに保持された自身の機密にアクセスすることを認められるのかを決定する。ポリシーは、DTEによって施行される。たとえば、アクセス制御ポリシーは、動的コンポーネント及びその祖先の完全性が損なわれていない場合に限って、動的コンポーネントが自身の機密にアクセスすることを認めることができる(これは、DTEが、適切な要求をその親コンポーネントに行うことによって祖先コンポーネントの完全性状態を取得することを必要とし、これを行うことを可能にするために、各DTE75は、その関連付けられる動的コンポーネント71の親70を知っていることが好ましい)。
第2の実施形態
次に、図11を参照して本発明の第2の実施形態を説明する。図9に関連して説明した第1の実施形態の階層形態と同様に、第2の実施形態では、動的コンポーネント71が、それぞれの動的トラステッドエンティティDTEにそれぞれ関連付けられている。動的コンポーネント71は、階層的に編成される。図11では、文字B〜Iによって個別に識別される8つの動的コンポーネント71が示されているが、明瞭にするために、動的コンポーネント71EのDTE75'Eしか示されていない。DTE75'の形態は、第1の実施形態に関連して説明したものとは異なる。詳細には、第2の実施形態では、動的コンポーネント71に関連付けられる静的レジスタ及び動的レジスタは、対応するDTE75'の一部としてはもはや提供されず、階層74B〜74IのルートコンポーネントAを形成するベースコンポーネント102によって提供される保護されているストレージ103に配置される。一例として、図11は、動的コンポーネント71Eに関連付けられる静的レジスタ78E及び動的レジスタ79Eを保護されているストレージ103内に示している。ベースコンポーネント102は、各子孫動的コンポーネントの予測測定値も保持する。
次に、図11を参照して本発明の第2の実施形態を説明する。図9に関連して説明した第1の実施形態の階層形態と同様に、第2の実施形態では、動的コンポーネント71が、それぞれの動的トラステッドエンティティDTEにそれぞれ関連付けられている。動的コンポーネント71は、階層的に編成される。図11では、文字B〜Iによって個別に識別される8つの動的コンポーネント71が示されているが、明瞭にするために、動的コンポーネント71EのDTE75'Eしか示されていない。DTE75'の形態は、第1の実施形態に関連して説明したものとは異なる。詳細には、第2の実施形態では、動的コンポーネント71に関連付けられる静的レジスタ及び動的レジスタは、対応するDTE75'の一部としてはもはや提供されず、階層74B〜74IのルートコンポーネントAを形成するベースコンポーネント102によって提供される保護されているストレージ103に配置される。一例として、図11は、動的コンポーネント71Eに関連付けられる静的レジスタ78E及び動的レジスタ79Eを保護されているストレージ103内に示している。ベースコンポーネント102は、各子孫動的コンポーネントの予測測定値も保持する。
ベースコンポーネント102は、動的コンポーネント71A〜71Iと同様に、好ましくは、機能群F、実行環境ENV、及び構成群Φを備え、ユニット74によって使用される保護されているストレージを提供することに加えて、以前は各DTE75の完全性メトリックマネージャに見られた暗号資源も提供する。図11の各DTEのマネージャ77'は、ここでは、主として、ベースコンポーネント102へのインターフェースとして機能する。動的コンポーネント71は、これらのインターフェースを使用して、それらの動的コンポーネントのそれぞれに関連付けられる静的レジスタ78及び動的レジスタ79を更新し、自身のために保護されているストレージ103に記憶された他の機密へのアクセスを要求する。アクセスの詳細は、ベースコンポーネント102によって施行されるポリシーによって制御される。
この場合では、ベースコンポーネント102は、プラットフォームのトラステッドコンピューティングベースTCB100の一部である(トラステッドコンピューティングベースは、ベースコンポーネント102を含めて、プラットフォームの信頼性に影響を与える可能性のあるエンティティの集合である)。プラットフォームの信頼チェーンは、(通常はハードウェアTPMに基づく)その信頼ルート101からベースコンポーネント102に伸び、次に、動的コンポーネントの階層を通じて、それら動的コンポーネントのそれぞれの状態が正しいとする範囲まで伸びる。
この実施形態では、現行のTCG方法が使用されて、TCB100の完全性測定が実行されるのに対して、第1の実施形態に関連して説明した方法で静的レジスタ78及び動的レジスタ79が使用されて、トラステッドコンピューティングベース100の外部の動的コンポーネント71の完全性がよりきめ細かく追跡される。
ベースコンポーネント102は、従属コンポーネントのツリーの構造を詳述するデータ及びこのツリーを管理するソフトウェアを保持する。簡単にするために、単一のベースコンポーネント102しか説明されていないが、上述した構成は、それ自身のツリーをそれぞれ有する複数のベースコンポーネントに一般化することができる。動的コンポーネント71は、自身の親コンポーネントの識別情報を除いて、ツリーの構造についていかなる情報も所有しない(この情報は、対応するDTEによって保持される)。
すでに示したように、ツリーの構造の知識は、動的コンポーネントの機密に適用される動的アクセス制御ポリシーを施行するのに使用される。これらのポリシーは、動的コンポーネントがどのような条件下で自身の機密にアクセスすることを認められるのかを決定する。これらのポリシーは、ベースコンポーネント102によって施行される。たとえば、完全性ポリシーは、動的コンポーネント及びその祖先の完全性が損なわれていない場合に限って機密へのアクセスを認める。この方式の結果、各コンポーネントイメージの進行中の測定によって制御される再帰的な完全性定義が得られる。
セキュリティサービス管理フレームワーク(SSMF)
ベースコンポーネント及び従属動的コンポーネントを有する上述したアーキテクチャは、ベースコンポーネントに基づくセキュリティサービス管理フレームワーク(SSMF)を提供するのによく適しており、(動的コンポーネントによって)ユーザに提供されるセキュリティサービス間の信頼関係を管理する。
ベースコンポーネント及び従属動的コンポーネントを有する上述したアーキテクチャは、ベースコンポーネントに基づくセキュリティサービス管理フレームワーク(SSMF)を提供するのによく適しており、(動的コンポーネントによって)ユーザに提供されるセキュリティサービス間の信頼関係を管理する。
たとえば、SSMFによって提供される重要なサービスは、ユーザによって要求されたセキュリティにクリティカルなオペレーションを実行するために動的コンポーネントによって使用されるセキュリティ信用証明書の管理である。一般的な実施は、各信用証明書をアクセスポリシーと結合して、一定のセキュリティ特性が満たされている場合に限って、その使用を認めることである。このために、SSMFは、関連する完全性が損なわれていない場合に限って、完全性ポリシーを使用して、コンポーネント信用証明書がアクセスされるという保証をユーザに提供するように構成することができる。このように、ユーザは、プラットフォームとデータを交換する前にセキュリティサービスの正確なオペレーション及びプラットフォームを検証することができる。SSMFは、これを、セキュリティサービスとユーザとの間のこの信頼関係と同様の信頼関係とを組み合わせて、必要なトラステッドインターフェースを提供する。以下で、フレームワークアーキテクチャをより十分に説明する。
図12に示すように、SSMF200は、コアセキュリティサービス管理(SSM)モジュール202、信用証明書モジュール203、及びリモートサービスレベル証明用の証明モジュール(attestation module)204から成る。SSMFは、セキュリティサービスコンポーネント(ライフサイクル管理、信用証明書管理、及び完全性報告用)及びユーザ(リモート証明用)の双方によって使用されるセキュリティサービス管理インターフェース(SSMI)201を通じてアクセスされる。詳細には、SSMI201によって、サービスは、SSMFを使用して、
親の実行環境内に動的子サービスコンポーネントを作成して、それら動的子サービスコンポーネントのライフサイクルを管理すること、
動的子サービスコンポーネントのセキュリティ信用証明書を保護されているストレージに記憶すること、
動的子サービスコンポーネントのセキュリティ信用証明書に、それぞれと結合された完全性ポリシーでインラインにアクセスすること、
動的子サービスコンポーネントの構造及び構成に対する進行中の動的変更及び静的変更を報告すること、及び
サービスレベルにおける動的子サービスコンポーネントの完全性ステータスを報告すること
が可能になる。
親の実行環境内に動的子サービスコンポーネントを作成して、それら動的子サービスコンポーネントのライフサイクルを管理すること、
動的子サービスコンポーネントのセキュリティ信用証明書を保護されているストレージに記憶すること、
動的子サービスコンポーネントのセキュリティ信用証明書に、それぞれと結合された完全性ポリシーでインラインにアクセスすること、
動的子サービスコンポーネントの構造及び構成に対する進行中の動的変更及び静的変更を報告すること、及び
サービスレベルにおける動的子サービスコンポーネントの完全性ステータスを報告すること
が可能になる。
コアSSMモジュール202は、コンポーネント階層のベースコンポーネント(図11参照)として機能し、サービス(コンポーネント)階層の経過を追跡し、動的測定を可能にする。詳細には、コアSSMモジュール202によって提供される主要な機能は、(1)SSMFによって管理されるサービスコンポーネントの構造を詳述するデータの保持、(2)測定値及び信用証明書用の保護されているストレージの提供、並びに(3)動的サービスの作成のサービスインターフェース及び完全性測定の報告インターフェースの提供である。これらの機能のそれぞれを以下でさらに説明する。
サービス階層マネージャ(ブロック206)。すでに述べたように、セキュリティサービスは、動的コンポーネントによって提供される。各動的コンポーネントは、上述したように、永続的な識別情報を保持する動的トラステッドエンティティ(DTE)に関連付けられている。SSMFの目的のために、この識別情報は、DTEに関連付けられるサービスコンポーネントを識別する働きもする。したがって、サービス階層の経過を追跡するために、コアSSMモジュール202は、ノードがDTE識別情報から成るデータ構造を単に管理する。その結果のデータ構造は、図11に示すツリーと同様のツリーであり、このツリーでは、各ノードは、対応するサービスコンポーネントを表すDTEである。これらのDTEは、サービス階層におけるサービスコンポーネントの位置指定子であり、サービスコンポーネント上のどのオペレーションも、その対応するDTEを通じて行われる。
保護されているストレージ(ブロック207)。コアSSMモジュール202は、サービスコンポーネントの動的完全性測定及び静的完全性測定の双方の経過を追跡する。さらに、各サービスによって使用されるセキュリティ信用証明書が、コアSSMによって取り扱われて記憶される。双方のタイプの情報は、機密データであり、コアSSMモジュール202は、保護されているストレージを使用して、各コンポーネントの各データを記憶する。このストレージの実際の性質は、実施態様によって決まる。一例として、トラステッドハードウェアモジュール(TPM)を使用して、図5を参照して上述したような通常のストレージに記憶されるこのような情報を保護することができる。
サービス/報告マネージャ(ブロック208)。サービス/報告マネージャは、サービスインターフェース及び報告インターフェースを提供する。サービスインターフェースは、単一のcreate()コマンドを提供し、当該単一のcreate()コマンドを使用して、サービスはそれらのDTEと共に子サービスを作成することができる。同様に、報告インターフェースは、静的変更及び動的変更の双方を要求側サービスに報告するのに使用できる単一のreport()要求から成る。
信用証明書モジュール202によって提供される信用証明書管理に関して、サービスが、さまざまな方法でセキュリティ信用証明書を使用できることが十分理解されよう。たとえば、信用証明書は、サービスがデータを署名するのに使用する対称暗号鍵とすることができる。この場合、セキュリティ信用証明書を所有する能力又はセキュリティ信用証明書にアクセスする能力によって、サービスユーザに、そのサービスが信頼できることの十分なプルーフを与えることができる。アクセスポリシーは、これらの信用証明書にアクセスすることをサービスに認める条件を定義するのに使用することができる。これらのポリシーを施行する基礎となるプラットフォームが信頼できる場合、ユーザは、ポリシーの条件が満たされる場合に限って、サービスが信用証明書にアクセスできるものと推論することができる。
信用証明書モジュール202は、セキュリティ信用証明書への使用アクセス(usage access)をセキュアに記憶、管理、及び提供する検証可能な手段を提供し、これらの信用証明書の管理及び使用が、サードパーティユーザによって検証可能なトラステッドエンティティによって実行されることを保証する。完全性ポリシーは、サービスが、自身のセキュリティ信用証明書にアクセスできるか否かを判断するのに使用される。完全性ポリシーは、サービスが、そのサービスの完全性及びその祖先の完全性に加えて、プラットフォーム(すなわち、トラステッドコンピューティングベースTCB)の完全性がすべて損なわれていない場合に限って、自身のセキュリティ信用証明書にアクセスできることを提示する。一例として、図11では、動的サービスコンポーネントFは、F、C、B、及びTCBの完全性が損なわれていない場合に限って、自身の信用証明書にアクセスすることができる。たとえば、Eの完全性は、この特定の決定に影響がないことに留意されたい。
信用証明書管理は、登録及び使用の2つのフェーズを伴う。登録フェーズは、1回限りのフェーズであり、その期間中、信用証明書がSSMFに登録され、そのアクセスポリシーと共に保護されているストレージにシールされる。それを行うために、サービスコンポーネントは、信用証明書モジュール203の信用証明書インターフェースのregister()要求を起動する。これは、好ましくは非対称鍵で暗号化された入力信用証明書の登録要求を開始する。登録が成功すると、信用証明書モジュール203は、シールされた信用証明書への使用アクセスを要求する要求側サービスコンポーネントが後に使用することができるチケットを返す。好ましくは、このチケットは、保護されているストレージのシールサービスによって返されたブロブである。
使用フェーズでは、サービスコンポーネントは、信用証明書インターフェースを介してチケットを信用証明書モジュール203に供給することによって、自身のセキュリティ信用証明書への使用アクセスを得る。信用証明書モジュール203は、最初に、サービスの永続的なDTE識別情報を使用してサービス階層でサービスを位置特定する。チケットが有効であり、且つ、アクセスポリシーが現在のサービス及びプラットフォーム構成に適用できる(たとえば、サービス、そのサービスの祖先、及びTCBの完全性が損なわれていない)場合に限り、信用証明書へのアクセスは許可される。信用証明書への使用アクセスは、信用証明書の性質に関するどの情報も要求側サービスコンポーネントに明らかにすべきでない。この理由は、サービスが自身のセキュリティ信用証明書を所有する場合において、動的サービスコンポーネントが報告インターフェースを通じて静的変更又は動的変更を報告するときは、SSMFが、信用証明書を無効にする能力を失うためである。したがって、信用証明書の使用を要求するオペレーション(暗号化、解読)は、SSMFの内部で(たとえば、信用証明書モジュール203によって)実行される。したがって、サービスコンポーネントから信用証明書モジュール203の信用証明書インターフェースへの信用証明書使用要求は、encrypt()要求又はdecrypt()要求の形を取る。
証明モジュール204に関して、これは、データをサービスと交換する前にサービスの完全性を検証しようと望むサードパーティユーザにサービスレベル証明を提供する。使用される証明プロトコルは、TCG仕様に記載されたものと同様のものである。しかしながら、ここでは、SSMFは、フルスケールのプラットフォーム証明を行う代わりに、ユーザが、はるかにきめ細かなサービス完全性クォート(service integrity quote)を行うことを可能にする。このように、ユーザは、任意のサービスコンポーネントの累積的完全性(cumulative integrity)を要求することができる。サービスコンポーネントの累積的完全性は、サービス、そのサービスの祖先、及び基礎と成るTCBのローカルな測定を組み合わせたものである。
証明プロトコルの2つの例を以下に説明する。これらのプロトコルは、完全性の結果を検証するのに使用されるエンティティ(すなわち、ユーザ又はプラットフォーム)に関して異なる。双方のプロトコルは、証明モジュールに対して行われる単一のattest()要求(適切なオプションを有する)を使用して開始される。
第1の例の証明プロトコル。この場合、サードパーティユーザは、対象となるサービスの完全性の検証者として機能する(すなわち、プラットフォーム及びTCBのすべての関連のあるコンポーネントの予測値にアクセスする)。以下は、図11の階層のコンポーネントCが、対象となるコンポーネントであるものと仮定している。
1.サードパーティユーザは、証明モジュール204によって提供された証明インターフェースを使用して、サービスコンポーネントCの完全性をチェックし、関連する現在のすべての完全性測定の署名されたコピーを要求する。
2.証明モジュール204は、コンポーネントCのDTEの識別情報を使用して階層内でCを位置特定する。
3.証明モジュール204は、C、B、及びTCBの完全性(すなわち、レジスタ値)に加えて、コンポーネントC、B、及びTCBの完全性測定の署名されたコピーから成る署名をサードパーティユーザに返す。コンポーネントC、Bの完全性測定のコピーは、証明モジュール204によって署名され、TCBの完全性測定のコピーは、プラットフォームのトラステッドモジュールTMによって署名され、これら署名されたコピーから成る署名は、以下の通りである。
1.サードパーティユーザは、証明モジュール204によって提供された証明インターフェースを使用して、サービスコンポーネントCの完全性をチェックし、関連する現在のすべての完全性測定の署名されたコピーを要求する。
2.証明モジュール204は、コンポーネントCのDTEの識別情報を使用して階層内でCを位置特定する。
3.証明モジュール204は、C、B、及びTCBの完全性(すなわち、レジスタ値)に加えて、コンポーネントC、B、及びTCBの完全性測定の署名されたコピーから成る署名をサードパーティユーザに返す。コンポーネントC、Bの完全性測定のコピーは、証明モジュール204によって署名され、TCBの完全性測定のコピーは、プラットフォームのトラステッドモジュールTMによって署名され、これら署名されたコピーから成る署名は、以下の通りである。
式中、
は、添え字のエンティティによる署名であり、Iは、添え字の要素に関して行われた完全性測定を示す。
4.サードパーティユーザは測定を受け取り、署名を検証すると、TCB及びコンポーネントB、Cの現在のレジスタ値を予測値と比較し、Cを信頼するか否かを決定する。
4.サードパーティユーザは測定を受け取り、署名を検証すると、TCB及びコンポーネントB、Cの現在のレジスタ値を予測値と比較し、Cを信頼するか否かを決定する。
第2の例の証明プロトコル。この場合、検証者はプラットフォームであり、サードパーティユーザは、プルーフを有する信頼される回答又は単一の信頼されない回答のいずれかを受け取る。プロトコルの最初の2つのステップは、上記と同じである。3番目のステップでは、フレームワークは、完全性測定を返す代わりに、現在の値と予測値とを比較する。たとえば、サービスコンポーネントCについて、フレームワークは、C及びBの双方の静的測定及び動的測定を予測値と比較した後、信頼される回答を返す。その回答と共に、フレームワークは、TCBの完全性、及び、プルーフとして署名
を返す。この理由は、この例では、サードパーティユーザが、まだ、回答がトラステッドプラットフォームによって生成されたことを検証する必要があるためである。
本発明の説明した実施形態によって、動的コンポーネントは、一定の条件の下で全ての再起動を必要とすることなく信頼を再確立することが可能になることが十分理解されよう。これは、頻繁に変化すると共にさまざまなセキュリティモードで動作するコンポーネントを有するシステムにとって特に好都合である。監視及び報告が進行中であることによって、コンポーネントは、最新のシステム状態を反映することが可能になる。これは、ブート中に1回、コンポーネントを測定する現在の実施態様とは対照的に、システムについての最新の情報を提供する。
さらに、完全性測定値は、ソフトウェアレジスタに記憶されるので、説明した実施形態は、ハードウェアレジスタが完全性測定値の全部のセットを記憶することを必要とする現在の構成よりも拡張性がある。
説明した階層的完全性管理方式(すなわち、信頼ツリー)は、複雑なシステムにとっては、線形モデル(すなわち、信頼チェーン)を提供する現在の解決法よりも適している。必要な切り離し特性が保証される場合、この階層的手法は、以下のものを可能にするきめ細かな完全性管理解決法を提供する。
より良好な表現:階層的手法によって、互いに依存関係を有しないコンポーネントは、別々の完全性チェーンを構築することが可能になる。したがって、コンポーネントの完全性は、自身に加えてその祖先の完全性のみを伴う。
切り離し:コンポーネントに対する変更は、完全性チェーンの適切な分岐に切り離されるにすぎず、したがって、プラットフォーム全体に影響を与えることはない。その結果、クリティカル変更は、もはや、プラットフォーム全体の再起動及び再測定を必要とせず、適切な分岐の再起動及び再測定のみを必要とする。
より良好な表現:階層的手法によって、互いに依存関係を有しないコンポーネントは、別々の完全性チェーンを構築することが可能になる。したがって、コンポーネントの完全性は、自身に加えてその祖先の完全性のみを伴う。
切り離し:コンポーネントに対する変更は、完全性チェーンの適切な分岐に切り離されるにすぎず、したがって、プラットフォーム全体に影響を与えることはない。その結果、クリティカル変更は、もはや、プラットフォーム全体の再起動及び再測定を必要とせず、適切な分岐の再起動及び再測定のみを必要とする。
本発明の上述した実施形態に対して多くの変形が可能であることが十分理解されよう。詳細には、当業者は、本発明が、そのオペレーションについて、図1〜図6を参照して上述した特定の形態のトラステッドプラットフォーム技術の使用にも、TCG仕様で説明されたような特定の形態のトラステッドプラットフォーム技術の使用にも依拠しないことを十分理解するであろう。
上述した変更の分類とは異なる変更の分類を使用することができる。
コンポーネントは、実行を通じてプラットフォームの信頼状態を変更できる任意のプラットフォームエンティティであることに留意すべきである。プラットフォームコンポーネントの詳細に対する制限はない。一例として、コンポーネントは、仮想ドメイン(パーティション)に存在するサービスとすることができる。代替的に、コンポーネントは、仮想ドメインそのものとすることもできる。したがって、プラットフォームコンポーネントを定義する際の正確な粒度は、プラットフォーム上で必要とする完全性管理の粒度に依存する。
完全性管理の好都合に異なる粒度を同時に使用することができる。たとえば、異なるコンポーネント粒度を有する2つのレベルの信頼管理を同じプラットフォーム上で使用することができる。したがって、上述したSSMFを、以下のローカルな状況及びグローバルな状況の双方で適用することができる。
ローカル状況では、ローカルSSMFが、(それ自身の仮想ドメイン又はパーティションに確立された)単一の仮想マシンに存在するセキュリティサービスを管理するのに使用される。複数の仮想ドメインの場合、各ドメインは、他のドメインのローカルSSMFから独立して機能するローカルSSMFの実施態様を含む)。
グローバルな状況では、グローバルSSMFが、それぞれが自身の仮想ドメイン内に存在する複数の仮想マシンから成る階層を管理するのに使用される。この場合、仮想マシン間の依存関係は、暗黙的なものでははく、明示的に提示されることに留意されたい(すなわち、実行順序によって、VM間の暗黙的な祖先関係はない)。たとえば、仮想マシンの1つが、仮想マシンの残りのものの管理を担当する管理マシンとして機能する場合、管理仮想マシンが、残りの子仮想マシンの親の役割を引き受ける明示的な依存関係が存在する。
ローカル状況では、ローカルSSMFが、(それ自身の仮想ドメイン又はパーティションに確立された)単一の仮想マシンに存在するセキュリティサービスを管理するのに使用される。複数の仮想ドメインの場合、各ドメインは、他のドメインのローカルSSMFから独立して機能するローカルSSMFの実施態様を含む)。
グローバルな状況では、グローバルSSMFが、それぞれが自身の仮想ドメイン内に存在する複数の仮想マシンから成る階層を管理するのに使用される。この場合、仮想マシン間の依存関係は、暗黙的なものでははく、明示的に提示されることに留意されたい(すなわち、実行順序によって、VM間の暗黙的な祖先関係はない)。たとえば、仮想マシンの1つが、仮想マシンの残りのものの管理を担当する管理マシンとして機能する場合、管理仮想マシンが、残りの子仮想マシンの親の役割を引き受ける明示的な依存関係が存在する。
図13は、セキュアなハイパーバイザ301を実行して複数の仮想ドメイン(「Dom0」〜「DomX」と呼ぶ)302〜309を提供するホスト300についてグローバルSSMFの使用及びローカルSSMFの使用を組み合わせたものを示している。グローバルSSMF332は、Dom0のトラステッドアプリケーションとして実行され、それぞれが自身の仮想ドメイン内に存在する仮想マシンから成る階層を管理する働きをする。グローバルSSMF332と、グローバルSSMF332が管理する仮想マシンとの間の通信は、ドメイン間通信機構320を通じて行われる。ドメイン303〜309のそれぞれは、それ自身のローカルSSMF333〜339をそれぞれ有する。
3・・・不揮発性メモリエリア
4・・・揮発性メモリエリア
8a〜8n・・・プラットフォーム構成レジスタ(PCR)
10・・・トラステッドプラットフォーム
14・・・キーボード
16・・・マウス
18・・・視覚表示ユニット(VDU)
20・・・マザーボード
21・・・メインプロセッサ
22・・・メインメモリ
23・・・入出力(IO)デバイス
24・・・トラステッドデバイス
26・・・データバス
27・・・制御ライン
28・・・アドレスライン
29・・・BIOSメモリ
30・・・コントローラ
31・・・測定機能
32・・・暗号機能
33・・・認証機能
34・・・インターフェース回路部
36、37、38・・・ポート
41・・・入力
42・・・ハッシュ
43・・・連結
51・・・ストレージルート鍵(SRK)
52・・・データオブジェクトの階層(ツリー)
54・・・標準的なメモリ
60・・・トラステッドプラットフォーム
61・・・プラットフォームプロセッサ
62・・・トラステッドデバイス
63・・・ROM
64・・・BIOS
65・・・セキュリティカーネル
66・・・ハイパーバイザ
67A〜67C・・・パーティション
68A〜68C・・・オペレーティングシステム環境
69A〜69C・・・仮想トラステッドデバイス
70・・・親コンポーネント
71・・・動的コンポーネント
72・・・変更タイプポリシー
73・・・測定エージェント
75、75'E・・動的トラステッドエンティティ(DTE)
76・・・識別情報
76'E・・・識別情報およびAssoc Data
77、77'E・・・完全性メトリックマネージャ
78・・・静的レジスタ
79・・・動的レジスタ
100・・・トラステッドコンピューティングベース
101・・・信頼ルート
102・・・ベースコンポーネント
103・・・保護されているストレージ
200・・・セキュリティサービス管理フレームワーク(SSMF)
201・・・セキュリティサービス管理インターフェース(SSMI)
202・・・コアセキュリティサービス管理モジュール
203・・・信用証明書モジュール
204・・・証明モジュール
206・・・サービス階層マネージャ
207・・・保護されているストレージ
208・・・サービス/報告マネージャ
300・・・ホスト
301・・・セキュアなハイパーバイザ
302〜309・・・仮想ドメイン
320・・・ドメイン間通信機構
332・・・グローバルSSMF
333〜339・・・ローカルSSMF
350・・・証明書
351・・・トラステッドデバイスの公開鍵
352・・・プラットフォーム完全性メトリックの認証値
600・・・トラステッドコンピューティングベース
601・・・アプリケーション
4・・・揮発性メモリエリア
8a〜8n・・・プラットフォーム構成レジスタ(PCR)
10・・・トラステッドプラットフォーム
14・・・キーボード
16・・・マウス
18・・・視覚表示ユニット(VDU)
20・・・マザーボード
21・・・メインプロセッサ
22・・・メインメモリ
23・・・入出力(IO)デバイス
24・・・トラステッドデバイス
26・・・データバス
27・・・制御ライン
28・・・アドレスライン
29・・・BIOSメモリ
30・・・コントローラ
31・・・測定機能
32・・・暗号機能
33・・・認証機能
34・・・インターフェース回路部
36、37、38・・・ポート
41・・・入力
42・・・ハッシュ
43・・・連結
51・・・ストレージルート鍵(SRK)
52・・・データオブジェクトの階層(ツリー)
54・・・標準的なメモリ
60・・・トラステッドプラットフォーム
61・・・プラットフォームプロセッサ
62・・・トラステッドデバイス
63・・・ROM
64・・・BIOS
65・・・セキュリティカーネル
66・・・ハイパーバイザ
67A〜67C・・・パーティション
68A〜68C・・・オペレーティングシステム環境
69A〜69C・・・仮想トラステッドデバイス
70・・・親コンポーネント
71・・・動的コンポーネント
72・・・変更タイプポリシー
73・・・測定エージェント
75、75'E・・動的トラステッドエンティティ(DTE)
76・・・識別情報
76'E・・・識別情報およびAssoc Data
77、77'E・・・完全性メトリックマネージャ
78・・・静的レジスタ
79・・・動的レジスタ
100・・・トラステッドコンピューティングベース
101・・・信頼ルート
102・・・ベースコンポーネント
103・・・保護されているストレージ
200・・・セキュリティサービス管理フレームワーク(SSMF)
201・・・セキュリティサービス管理インターフェース(SSMI)
202・・・コアセキュリティサービス管理モジュール
203・・・信用証明書モジュール
204・・・証明モジュール
206・・・サービス階層マネージャ
207・・・保護されているストレージ
208・・・サービス/報告マネージャ
300・・・ホスト
301・・・セキュアなハイパーバイザ
302〜309・・・仮想ドメイン
320・・・ドメイン間通信機構
332・・・グローバルSSMF
333〜339・・・ローカルSSMF
350・・・証明書
351・・・トラステッドデバイスの公開鍵
352・・・プラットフォーム完全性メトリックの認証値
600・・・トラステッドコンピューティングベース
601・・・アプリケーション
Claims (20)
- コンピューティングプラットフォーム上でソフトウェアコンポーネント(71)の状態を追跡する方法であって、
前記ソフトウェアコンポーネントに関連付けられた変更タイプポリシーエレメント(72)を用いて、ソフトウェアコンポーネントにおける変更が、
前記ソフトウェアコンポーネントが、その目的とする機能を実施する能力に影響を与える可能性がある前記ソフトウェアコンポーネントのコードまたは他のデータである完全性にクリティカルな部分に対して行われ、前記ソフトウェアコンポーネントにおける信用を回復するためにソフトウェアコンポーネントの再起動を要求する第1のタイプであるか、
前記第1のタイプの変更以外の変更であって、前記ソフトウェアコンポーネントが目的とする機能を実施する能力に影響を与えない前記ソフトウェアコンポーネントのコードまたは他のデータである完全性に非クリティカルな部分に対して行われ、信用を回復できる第2のタイプであるか
を判断することと、
前記ソフトウェアコンポーネントにおける変更が前記第1のタイプである場合に、前記ソフトウェアコンポーネントの完全性メトリックを、少なくとも前記ソフトウェアコンポーネントの完全性にクリティカルな部分について測定し、前記ソフトウェアコンポーネントに対する前記第1のタイプの変更のために記録されるあらゆる前の完全性メトリック値と累積的に組み合わせて記録することと、
前記ソフトウェアコンポーネントにおける変更が前記第2のタイプである場合に、前記ソフトウェアコンポーネントの完全性メトリックを、少なくとも前記ソフトウェアコンポーネントの完全性に非クリティカルな部分について測定し、前記ソフトウェアコンポーネントに対する前記第2のタイプの変更について記録されるあらゆる前の完全性メトリック値の代わりとして記録することと、
前記ソフトウェアコンポーネントの測定を、前記ソフトウェアコンポーネントに関連付けられた1つ以上の測定エージェント(73)を用いて行うことと
を含む方法。 - 前記第1のタイプの変更の結果として測定される前記完全性メトリックは、第1のレジスタ(78)に記録され、
前記第2のタイプの変更の結果として測定される前記完全性メトリックは、第2のレジスタ(79)に記録され、
前記第1のレジスタ及び前記第2のレジスタは、論理的に、前記ソフトウェアコンポーネントに関連付けられるトラステッドエンティティ(75)の一部である
請求項1に記載の方法。 - 階層における自身の親のソフトウェアコンポーネントの実行環境で実行される前記階層における子であるソフトウェアコンポーネントそれぞれによって階層的に配置される複数のソフトウェアコンポーネント(71 B−I)それぞれに適用され、
前記階層のソフトウェアコンポーネント(71 B−I)それぞれの状態は、別個に追跡され、
前記ソフトウェアコンポーネントそれぞれは、
それぞれ関連付けられた第1のレジスタおよび第2のレジスタのペア
を有する
請求項2に記載の方法。 - 前記プラットフォームは、すべての前記ソフトウェアコンポーネント(71 B−I)に共通のトラステッドベースコンポーネント(102)を提供し、
前記ソフトウェアコンポーネントそれぞれに関連付けられる前記第1のレジスタおよび前記第2のレジスタのペアは、前記トラステッドベースコンポーネントによって保持される
請求項3に記載の方法。 - 前記ベースコンポーネントは、前記階層のルートを形成する
請求項4に記載の方法。 - 前記ベースコンポーネントは、前記階層の実行環境を提供する
請求項5に記載の方法。 - 前記ベースコンポーネントは、前記プラットフォームのトラステッドコンピューティングベース(100)の一部である
請求項4〜10のいずれかに記載の方法。 - 前記第1のタイプの変更のために記録された前記完全性メトリックから求められる累積値と、前記第2のタイプの変更のために最後に記録された前記完全性メトリック値とがそれぞれの予測値と一致しない限り、前記ソフトウェアコンポーネントに関連付けられる機密データの使用を防止すること
をさらに含む請求項1に記載の方法。 - 前記プラットフォームのトラステッドベースコンポーネントをルートにする階層に配置される複数のソフトウェアコンポーネント(71 B−I)それぞれに適用される方法であって、
前記第1のタイプおよび前記第2のタイプの変更の結果として測定される前記完全性メトリックは、前記トラステッドベースコンポーネントによって保持されるセキュアなロケーションに記憶され、
前記ソフトウェアコンポーネントの前記完全性メトリックおよび前記階層におけるその祖先の前記完全性メトリックがすべてそれぞれの予測値と一致しない限り、前記ソフトウェアコンポーネントに関連付けられる機密データの使用を防止すること
をさらに含む請求項1に記載の方法。 - 前記ソフトウェアコンポーネントは、前記プラットフォーム上で実行されるハイパーバイザによって確立されるドメインである
請求項1に記載の方法。 - 前記ソフトウェアコンポーネントは、前記プラットフォーム上で実行されるハイパーバイザ(301)によって確立されるドメインで実行される
請求項1に記載の方法。 - コンピューティングプラットフォームであって、
前記コンピューティングプラットフォーム上で使用されているソフトウェアコンポーネント(71)の状態を追跡する監視機構
を含み、
前記監視機構は、
前記ソフトウェアコンポーネントに対する第1のタイプの変更および第2のタイプの変更が、
前記ソフトウェアコンポーネントに関連付けられた変更タイプポリシーエレメント(72)を用いて、ソフトウェアコンポーネントにおける変更が、
前記ソフトウェアコンポーネントが、その目的とする機能を実施する能力に影響を与える可能性がある前記ソフトウェアコンポーネントのコードまたは他のデータである完全性にクリティカルな部分に対して行われ、前記ソフトウェアコンポーネントにおける信用を回復するためにソフトウェアコンポーネントの再起動を要求する第1のタイプであるか、
前記第1のタイプの変更以外の変更であって、前記ソフトウェアコンポーネントが目的とする機能を実施する能力に影響を与えない前記ソフトウェアコンポーネントのコードまたは他のデータである完全性に非クリティカルな部分に対して行われ、信用を回復できる第2のタイプであるか
を検出し、区別する変更応答手段(72)と、
第1のメモリレジスタおよび第2のメモリレジスタ(78,79)と、
前記ソフトウェアコンポーネントの前記第1のタイプの変更の検出に応答して、前記ソフトウェアコンポーネントの完全性メトリックを測定する第1の測定手段(73)と、
前記第1の測定手段によって測定された完全性メトリックを、前記ソフトウェアコンポーネントに対する前記第1のタイプの変更のために前記第1のレジスタに記録されるあらゆる前の完全性メトリック値と累積的に組み合わせて、前記第1のレジスタに記録する第1の記録手段(77)と、
前記ソフトウェアコンポーネントの前記第2のタイプの変更の検出に応答して、前記ソフトウェアコンポーネントの完全性メトリックを測定する第2の測定手段(73)と、
前記第2の測定手段によって測定された完全性メトリックを、前記ソフトウェアコンポーネントに対する前記第2のタイプの変更のために前記第2のレジスタに記録されるあらゆる変更以前の完全性メトリック値の代わりとして、前記第2のレジスタに記録する第2の記録手段(77)と
を備えるコンピューティングプラットフォーム。 - 前記第1のレジスタおよび前記第2のレジスタは、前記ソフトウェアコンポーネントに論理的に関連付けられるトラステッドエンティティの一部である
請求項12に記載のコンピューティングプラットフォーム。 - 前記コンピューティングプラットフォームは、
階層における自身の親のソフトウェアコンポーネントの実行環境で実行される前記階層における子であるソフトウェアコンポーネントそれぞれによって階層的に配置される複数のソフトウェアコンポーネント
を含み、
前記階層のソフトウェアコンポーネントそれぞれの状態は、別個に追跡され、
前記ソフトウェアコンポーネントそれぞれは、
それぞれに関連付けられる第1のレジスタ(78)および第2のレジスタ(79)と、
それぞれの第1の測定手段、第1の記録手段、第2の測定手段および第2の記録手段(73,77)と
を有する
請求項13に記載のコンピューティングプラットフォーム。 - 前記プラットフォームは、
すべての前記ソフトウェアコンポーネントに共通のトラステッドベースコンポーネント(102)
を含み、
前記ソフトウェアコンポーネントそれぞれに関連付けられる前記第1のレジスタおよび第2のレジスタのペアは、前記トラステッドベースコンポーネントによって保持される
請求項14に記載のコンピューティングプラットフォーム。 - 前記ベースコンポーネントは、前記階層のルートを形成する
請求項14に記載のコンピューティングプラットフォーム。 - 前記ベースコンポーネントは、前記階層の実行環境を提供する
請求項16に記載のコンピューティングプラットフォーム。 - 前記ベースコンポーネントは、前記プラットフォームのトラステッドコンピューティングベースの一部である
請求項15〜17のいずれかに記載のコンピューティングプラットフォーム。 - 前記第1のタイプの変更のために記録された前記完全性メトリックから求められる累積値と、前記第2のタイプの変更のために最後に記録された前記完全性メトリック値とがそれぞれの予測値と一致しない限り、前記ソフトウェアコンポーネントに関連付けられる機密データの使用を防止するアクセス制御機構
をさらに含む請求項12〜18のいずれかに記載のコンピューティングプラットフォーム。 - 前記プラットフォームは、
前記プラットフォームのトラステッドベースコンポーネントをルートにする階層に配置される複数のソフトウェアコンポーネント(71 B−I)
を含み、
前記ソフトウェアコンポーネントは、
それぞれの前記第1のレジスタ、前記第2のレジスタ、前記第1の測定手段および前記第2の測定手段
を有し、
前記第1のレジスタおよび前記第2のレジスタは、
前記トラステッドベースコンポーネントによって保持されるセキュアなロケーション
を含み、
前記コンピューティングプラットフォームは、
前記ソフトウェアコンポーネントの前記完全性メトリックおよび前記階層におけるその祖先の前記完全性メトリックがすべてそれぞれの予測値と一致しない限り、前記ソフトウェアコンポーネントに関連付けられる機密データの使用を防止するアクセス制御機構
をさらに含む
請求項15に記載のコンピューティングプラットフォーム。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0707150.9 | 2007-04-13 | ||
| GBGB0707150.9A GB0707150D0 (en) | 2007-04-13 | 2007-04-13 | Dynamic trust management |
| GB0715497.4 | 2007-08-10 | ||
| GB0715497.4A GB2448379B (en) | 2007-04-13 | 2007-08-10 | Dynamic trust management |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009015818A JP2009015818A (ja) | 2009-01-22 |
| JP5455318B2 true JP5455318B2 (ja) | 2014-03-26 |
Family
ID=38116679
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008082849A Expired - Fee Related JP5455318B2 (ja) | 2007-04-13 | 2008-03-27 | 動的信頼管理 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8060934B2 (ja) |
| EP (1) | EP1980970B1 (ja) |
| JP (1) | JP5455318B2 (ja) |
| GB (2) | GB0707150D0 (ja) |
Families Citing this family (56)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9501635B2 (en) * | 2008-06-25 | 2016-11-22 | Microsoft Technology Licensing, Llc | Isolation of services or processes using credential managed accounts |
| KR101071962B1 (ko) * | 2008-09-24 | 2011-10-11 | 한국전자통신연구원 | 무결성 참조 정보 자동관리시스템 및 그 관리방법 |
| JP5398824B2 (ja) * | 2008-10-10 | 2014-01-29 | パナソニック株式会社 | セキュア処理システムのアプリケーション空間において信頼性を実現するための一時的pcr利用 |
| CN101729289B (zh) * | 2008-11-03 | 2012-04-04 | 华为技术有限公司 | 平台完整性认证方法及系统、无线接入设备和网络设备 |
| CN100581107C (zh) * | 2008-11-04 | 2010-01-13 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别(TePA)的可信平台验证方法 |
| US8832454B2 (en) * | 2008-12-30 | 2014-09-09 | Intel Corporation | Apparatus and method for runtime integrity verification |
| JP4947239B2 (ja) * | 2009-03-31 | 2012-06-06 | 富士通株式会社 | 構成変更の検証機能を有した情報処理装置及びその制御方法 |
| KR101296483B1 (ko) | 2009-04-15 | 2013-08-13 | 인터디지탈 패튼 홀딩스, 인크 | 네트워크와의 통신을 위한 장치의 검증 및/또는 인증 |
| US8832778B2 (en) * | 2009-08-04 | 2014-09-09 | Carnegie Mellon University | Methods and apparatuses for user-verifiable trusted path in the presence of malware |
| US8505103B2 (en) * | 2009-09-09 | 2013-08-06 | Fujitsu Limited | Hardware trust anchor |
| WO2011101538A1 (en) * | 2010-02-16 | 2011-08-25 | Nokia Corporation | Method and apparatus to reset platform configuration register in mobile trusted module |
| DE102010000482A1 (de) | 2010-02-19 | 2011-08-25 | WINCOR NIXDORF International GmbH, 33106 | Methode und Verfahren für PIN-Eingaben bei konsistentem Software-Stack auf Geldautomaten |
| US8661536B2 (en) * | 2010-03-17 | 2014-02-25 | Microsoft Corporation | Side channel attack analysis |
| US8589702B2 (en) | 2010-05-28 | 2013-11-19 | Dell Products, Lp | System and method for pre-boot authentication of a secure client hosted virtualization in an information handling system |
| US8458490B2 (en) | 2010-05-28 | 2013-06-04 | Dell Products, Lp | System and method for supporting full volume encryption devices in a client hosted virtualization system |
| US8751781B2 (en) | 2010-05-28 | 2014-06-10 | Dell Products, Lp | System and method for supporting secure subsystems in a client hosted virtualization system |
| US8639923B2 (en) | 2010-05-28 | 2014-01-28 | Dell Products, Lp | System and method for component authentication of a secure client hosted virtualization in an information handling system |
| US8719557B2 (en) | 2010-05-28 | 2014-05-06 | Dell Products, Lp | System and method for secure client hosted virtualization in an information handling system |
| US8527761B2 (en) | 2010-05-28 | 2013-09-03 | Dell Products, Lp | System and method for fuse enablement of a secure client hosted virtualization in an information handling system |
| US8990584B2 (en) | 2010-05-28 | 2015-03-24 | Dell Products, Lp | System and method for supporting task oriented devices in a client hosted virtualization system |
| US8938774B2 (en) | 2010-05-28 | 2015-01-20 | Dell Products, Lp | System and method for I/O port assignment and security policy application in a client hosted virtualization system |
| US9134990B2 (en) | 2010-05-28 | 2015-09-15 | Dell Products, Lp | System and method for implementing a secure client hosted virtualization service layer in an information handling system |
| CN101909058B (zh) * | 2010-07-30 | 2013-01-16 | 天维讯达无线电设备检测(北京)有限责任公司 | 一种适合可信连接架构的平台鉴别策略管理方法及系统 |
| EP2619701B1 (en) * | 2010-09-22 | 2015-04-22 | International Business Machines Corporation | Attesting use of an interactive component during a boot process |
| US8869264B2 (en) * | 2010-10-01 | 2014-10-21 | International Business Machines Corporation | Attesting a component of a system during a boot process |
| DE112011103048B4 (de) | 2010-11-18 | 2021-12-23 | International Business Machines Corporation | Ein Verfahren zum Beglaubigen einer Vielzahl von Datenverarbeitungssystemen |
| US20120131334A1 (en) | 2010-11-18 | 2012-05-24 | International Business Machines Corporation | Method for Attesting a Plurality of Data Processing Systems |
| US9317276B2 (en) | 2011-01-19 | 2016-04-19 | International Business Machines Corporation | Updating software |
| US8966642B2 (en) * | 2011-04-05 | 2015-02-24 | Assured Information Security, Inc. | Trust verification of a computing platform using a peripheral device |
| WO2012156586A2 (en) * | 2011-05-18 | 2012-11-22 | Nokia Corporation | Secure boot with trusted computing group platform registers |
| US9208319B2 (en) | 2011-12-15 | 2015-12-08 | Microsoft Technology Licensing, Llc | Code base partitioning system |
| TWI546695B (zh) * | 2011-12-15 | 2016-08-21 | 萬國商業機器公司 | 刪除儲存系統中之內容 |
| US8843650B2 (en) * | 2012-01-09 | 2014-09-23 | Fujitsu Limited | Trusted network booting system and method |
| WO2014008961A1 (en) * | 2012-07-10 | 2014-01-16 | Telefonaktiebolaget L M Ericsson (Publ) | Technique for determining a malign or non-malign behavior of an executable file |
| DE102013213314A1 (de) * | 2013-07-08 | 2015-01-08 | Siemens Aktiengesellschaft | Hinterlegen mindestens eines berechenbaren Integritätsmesswertes in einem Speicherbereich eines Speichers |
| US9521125B2 (en) | 2014-03-13 | 2016-12-13 | Intel Corporation | Pseudonymous remote attestation utilizing a chain-of-trust |
| US9509502B2 (en) * | 2014-03-13 | 2016-11-29 | Intel Corporation | Symmetric keying and chain of trust |
| US9348997B2 (en) | 2014-03-13 | 2016-05-24 | Intel Corporation | Symmetric keying and chain of trust |
| JP6054908B2 (ja) * | 2014-05-22 | 2016-12-27 | レノボ・シンガポール・プライベート・リミテッド | 変数セットを修復する方法、コンピュータ・プログラムおよびコンピュータ |
| US10255438B2 (en) | 2014-09-24 | 2019-04-09 | Hewlett Packard Enterprise Development Lp | Operating system agnostic validation of firmware images |
| US10534739B2 (en) | 2014-10-31 | 2020-01-14 | Hewlett Packard Enterprise Development Lp | Indicating a privilege level |
| WO2016081404A1 (en) * | 2014-11-17 | 2016-05-26 | Intel Corporation | Symmetric keying and chain of trust |
| US20170039376A1 (en) * | 2015-08-05 | 2017-02-09 | Dell Products L.P. | Systems and methods for providing secure data |
| US9449189B1 (en) * | 2015-11-03 | 2016-09-20 | International Business Machines Corporation | Protection of state data in computer system code |
| US10218696B2 (en) * | 2016-06-30 | 2019-02-26 | Microsoft Technology Licensing, Llc | Targeted secure software deployment |
| US10621351B2 (en) | 2016-11-01 | 2020-04-14 | Raptor Engineering, LLC. | Systems and methods for tamper-resistant verification of firmware with a trusted platform module |
| JP7009852B2 (ja) * | 2017-09-08 | 2022-01-26 | 富士フイルムビジネスイノベーション株式会社 | 電子装置 |
| US20190109877A1 (en) | 2017-10-11 | 2019-04-11 | Microsoft Technology Licensing, Llc | Secure application metering |
| US11714910B2 (en) * | 2018-06-13 | 2023-08-01 | Hewlett Packard Enterprise Development Lp | Measuring integrity of computing system |
| US10771264B2 (en) | 2018-10-10 | 2020-09-08 | Hewlett Packard Enterprise Development Lp | Securing firmware |
| CN109922056B (zh) | 2019-02-26 | 2021-09-10 | 创新先进技术有限公司 | 数据安全处理方法及其终端、服务器 |
| CN110647750B (zh) * | 2019-09-20 | 2021-09-03 | 大唐高鸿信安(浙江)信息科技有限公司 | 文件完整性度量方法、装置、终端及安全管理中心 |
| CN110929268A (zh) * | 2020-02-03 | 2020-03-27 | 中软信息系统工程有限公司 | 一种安全运行方法、装置及存储介质 |
| US11763043B2 (en) | 2020-09-25 | 2023-09-19 | Intel Corporation | Enabling late-binding of security features via configuration security controller for accelerator devices |
| US11569995B2 (en) * | 2021-03-15 | 2023-01-31 | Seagate Technology Llc | Provisional authentication of a new device added to an existing trust group |
| US12105804B2 (en) * | 2021-07-17 | 2024-10-01 | International Business Machines Corporation | Securely executing software based on cryptographically verified instructions |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6061740A (en) * | 1996-12-09 | 2000-05-09 | Novell, Inc. | Method and apparatus for heterogeneous network management |
| GB2372595A (en) * | 2001-02-23 | 2002-08-28 | Hewlett Packard Co | Method of and apparatus for ascertaining the status of a data processing environment. |
| US7058807B2 (en) * | 2002-04-15 | 2006-06-06 | Intel Corporation | Validation of inclusion of a platform within a data center |
| US7634807B2 (en) | 2003-08-08 | 2009-12-15 | Nokia Corporation | System and method to establish and maintain conditional trust by stating signal of distrust |
| US20050132122A1 (en) | 2003-12-16 | 2005-06-16 | Rozas Carlos V. | Method, apparatus and system for monitoring system integrity in a trusted computing environment |
| GB2424494A (en) * | 2005-03-22 | 2006-09-27 | Hewlett Packard Development Co | Methods, devices and data structures for trusted data |
| US8539587B2 (en) * | 2005-03-22 | 2013-09-17 | Hewlett-Packard Development Company, L.P. | Methods, devices and data structures for trusted data |
-
2007
- 2007-04-13 GB GBGB0707150.9A patent/GB0707150D0/en not_active Ceased
- 2007-08-10 GB GB0715497.4A patent/GB2448379B/en not_active Expired - Fee Related
-
2008
- 2008-03-27 EP EP08153366.3A patent/EP1980970B1/en not_active Not-in-force
- 2008-03-27 JP JP2008082849A patent/JP5455318B2/ja not_active Expired - Fee Related
- 2008-03-31 US US12/059,387 patent/US8060934B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| GB2448379B (en) | 2011-12-14 |
| JP2009015818A (ja) | 2009-01-22 |
| US8060934B2 (en) | 2011-11-15 |
| EP1980970A2 (en) | 2008-10-15 |
| EP1980970A3 (en) | 2010-06-23 |
| GB0715497D0 (en) | 2007-09-19 |
| GB2448379A (en) | 2008-10-15 |
| EP1980970B1 (en) | 2013-07-10 |
| US20090013406A1 (en) | 2009-01-08 |
| GB0707150D0 (en) | 2007-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5455318B2 (ja) | 動的信頼管理 | |
| US8850212B2 (en) | Extending an integrity measurement | |
| JP4732513B2 (ja) | ソフトウェア・ベースのセキュリティ・コプロセッサを提供する方法および装置 | |
| US9361462B2 (en) | Associating a signing key with a software component of a computing platform | |
| Parno et al. | Bootstrapping trust in commodity computers | |
| US20100115625A1 (en) | Policy enforcement in trusted platforms | |
| US9559842B2 (en) | Trusted key management for virtualized platforms | |
| EP2126770B1 (en) | Trusted computing entities | |
| KR101263061B1 (ko) | 점대점 상호연결 시스템 상에서의 보안 환경 초기화 명령의실행 | |
| Sparks | A security assessment of trusted platform modules | |
| Martin | The ten-page introduction to Trusted Computing | |
| US9026803B2 (en) | Computing entities, platforms and methods operable to perform operations selectively using different cryptographic algorithms | |
| Yao et al. | Building secure firmware | |
| Sailer et al. | The role of TPM in enterprise security | |
| Krautheim | Building trust into utility cloud computing | |
| Korthaus et al. | A practical property-based bootstrap architecture | |
| Jansen et al. | Flexible integrity protection and verification architecture for virtual machine monitors | |
| Sisinni | Verification of software integrity in distributed systems | |
| Lyle | Trustworthy services through attestation | |
| Gazidedja | HW-SW architectures for security and data protection at the edge | |
| Witharana et al. | Formal Verification of Virtualization-Based Trusted Execution Environments | |
| Sadeghi et al. | Trusted computing | |
| Cabiddu et al. | Building a Trusted Environment for Security Applications | |
| Computing | 3rd European Trusted Infrastructure Summer School (ETISS 2008) | |
| Bugiel | Using TCG/DRTM for application-specific credential storage and usage |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110204 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130628 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130704 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130925 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131010 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131128 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131213 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140107 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5455318 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |