MX2008009867A - Ambiente de ejecucion seguro desagregado - Google Patents

Abstract

Un dispositivo electrónico, tal como, una computadora, puede adaptarse para auto-verificación para cumplimiento con la política operativa. La política operativa puede especificar un modelo de negocio de pago por uso o suscripción y medidas asociadas con uso condescendiente. Un ambiente de ejecución seguro puede medir uso de acuerdo con el modelo de negocio asícomo verificar e imponer cumplimiento con la política operativa. Para aumentar la dificultad de ataque o de otra forma deshabilitar el ambiente de ejecución seguro, pueden distribuirse los elementos del ambiente de ejecución seguro. Los puntos de distribución pueden incluir otros elementos funcionales de la computadora, tal como circuitos de interfase, o incluso pueden localizarse remotamente a través de una red. También se describe un método de implementación para desagregar el ambiente de ejecución seguro.

Description

AMBIENTE DE EJECUCIÓN SEGURO DESAGREGADO ANTECEDENTES Los modelos de negocio de pago por momento o pago por uso se han utilizado en muchas áreas de comercio, desde teléfonos celulares hasta lavanderías comerciales. Al desarrollar un negocio de pago por momento, un proveedor, por ejemplo, un proveedor de teléfono celular, ofrece el uso de hardware (un teléfono celular) a un costo inferior al del mercado al intercambiar un compromiso para mantener un suscriptor en su red. En este ejemplo específico, el cliente recibe un teléfono celular por poco o nada de dinero en intercambio por firmar un contrato para volverse un suscriptor durante un período de tiempo dado. En el curso del contrato, el proveedor de servicio recupera el costo del hardware al cargar al consumidor el uso del teléfono celular. El modelo de negocio de pago por momento se predice en el concepto que el hardware proporcionó poco o ningún valor, o uso, si se desconecta del proveedor de servicio. Para ilustrar, el suscriptor antes mencionado debe dejar de pagar su cuenta, el proveedor de servicio desactiva su cuenta, y mientras el teléfono celular puede encenderse, las llamadas no pueden hacerse debido a que el proveedor de servicio no las permitirá. El teléfono desactivado no tiene valor de "recuperación", debido a que teléfono no trabajará en ninguna otra parte y las partes de componente no tienen un valor en el mercado significativo. Cuando la cuenta se actualiza, el proveedor de servicio volverá a permitir el uso del dispositivo para hacer llamadas. Este modelo trabaja bien cuando el proveedor de servicio, u otra entidad que toma el riesgo financiero de proporcionar hardware subsidiado, tiene un control cerrado en el uso del hardware y cuando el dispositivo tiene poco valor de recuperación. El modelo de negocio no trabaja bien cuando el hardware tiene usos substanciales fuera del intervalo de control del proveedor de servicio. De esa forma, una computadora típica no satisface estos criterios ya con una computadora puede tener substanciales usos más allá de un intento original y los componentes de una computadora, por ejemplo una presentación o unidad de disco, pueden tener un valor de recuperación significativo.

BREVE DESCRIPCION DE LA INVENCION Una política operativa para una computadora o un recurso de computadora, particularmente una computadora o componente de pago por uso o de suscripción, pueden definir las reglas para el cumplimiento con los términos de negocios establecidos asociados con la decisión de recurso, como medir el cumplimiento a las reglas, y qué hacer cuando las medidas indican no cumplimiento. Para verificar y para impulsar la política operativa, puede emplearse un ambiente de ejecución seguro. El ambiente de ejecución seguro puede ser un componente separado o puede insertarse dentro de uno de los otros componentes de la computadora. Debido a que el ambiente de ejecución seguro puede atraer la atención de piratas informáticos y otros con motivos fraudulentos, en lugar de un ambiente de ejecución seguro monolítico, las funciones de un ambiente de ejecución seguro pueden no agregarse entre componentes de la computadora. Un núcleo y varias funciones pueden colocarse en diferentes componentes, lo que resulta en al menos dos beneficios posibles. Uno es extender los objetivos de ataque, que requiere más recursos y energía para deshabilitar o evadir el ambiente de ejecución seguro. Otro beneficio involucra la capacidad de requerir que los componentes alojen las funciones de ambiente de ejecución seguro para estar presentes y ser operacionales, lo que reduce el valor de componentes individuales y con lo cual desalienta ataques de "desensamble". Un ambiente de ejecución seguro puede distinguirse de una base de cómputo confiada (TCB) o una base de cómputo segura de la siguiente generación (NGSCB) en la cual el ambiente de ejecución seguro no intenta limitar las características o funciones de la computadora, ni intenta proteger la computadora de virus, software maligno, u otros efectos laterales indeseables que pueden ocurrir en el uso. El ambiente de ejecución seguro no intenta proteger los intereses de asegurador o propietario de recurso para asegurar que los términos de negocio, tal como pago por uso o suscripción, se satisfacen y para desalentar el robo o hurto de la computadora como un todo o en parte.

BREVE DESCRIPCIÓN DE LOS DIBUJOS La Figura 1 es un diagrama de bloques funcional de una computadora; la Figura 2 es un diagrama de bloques arquitectónico de la computadora de la Figura 1; la Figura 3 es un diagrama de bloques de un ambiente de ejecución seguro; la Figura 4 es un diagrama de bloques arquitectónico de una modalidad alterna de la computadora de la Figura 2 con un SEE desagregado; la Figura 5 es otra modalidad de una computadora con un SEE desagregado; la Figura 6 es incluso otra modalidad de una computadora con un SEE desagregado; y la Figura 6A es otra modalidad de la computadora de la Figura 6.

DESCRIPCIÓN DETALLADA DE VARIAS MODALIDADES Aunque el siguiente texto menciona una descripción detallada de numerosas modalidades diferentes, se debe entender que el alcance legal de la descripción se define por las palabras de las reivindicaciones mencionadas al final de esta descripción. La descripción detallada se va a interpretar como ilustrativa solamente y no describe toda modalidad posible ya que describir toda modalidad posible sería impráctico, si no es que imposible. Pueden implementarse numerosas modalidades alternativas, que utilizan cualquier tecnología actual o tecnología desarrollada después de la fecha de presentación de esta patente, que aún caerán dentro del alcance de las reivindicaciones. También se debe entender que, a menos que un término se define expresamente en esta patente al utilizar la oración "como se utiliza aquí, en término ' ' se define aquí para significar..." o una oración similar, no hay intención de limitar el significado de ese término, ya sea expresamente o por implicación, más allá de su plan o significado ordinario, y tal término no debe interpretarse para limitarse en alcance basándose en cualquier declaración hecha en cualquier sección de esta patente (diferente al lenguaje de las reivindicaciones). A la extensión que cualquier término mencionado en las reivindicaciones al final de esta patente se denomina en esta patente en una forma consistente con el significado individual, eso se hace para búsqueda de claridad solamente para no confundir al lector, y no se pretende que tal término de reivindicación se limita, por implicación o de otra forma, a ese significado individual. Gran parte de la funcionalidad inventiva y muchos de los principios inventivos se implementan mejor con o en programa de software o instrucciones y circuitos integrados (ICs) tal como ICs específicos de aplicación. Se espera que un experto en la técnica, sin importar esfuerzo posiblemente significativo en muchas elecciones de diseño motivadas, por ejemplo, por tiempo disponible, tecnología actual, y consideraciones económicas, cuando se guían por los conceptos y principios aquí descritos será fácilmente capaz de generar tales instrucciones de software y programas e ICs con experimentación mínima. Por lo tanto, en el interés de brevedad y minimización de cualquier riesgo de obscurecer los principios y conceptos de acuerdo con la presente invención, discusión adicional de tal software e ICs, si hay alguno, se limitará a los esenciales con respecto a los principios y conceptos de las modalidades preferidas.

Muchas de las computadoras de alto valor de la técnica previa, asistentes digitales personales, organizadores y similares no son adecuados para uso en un modelo de negocio de prepago o de pago por uso al cual. Como se discutió anteriormente, tal equipo puede tener valor significativo además de aquellos que requieren un proveedor de servicio. Por ejemplo, una computadora personal puede desensamblarse y venderse como componentes, lo que crea una pérdida potencialmente significativa al asegurador del equipo subsidiado. En el caso en donde un proveedor de servicio de Internet asegura el costo de la computadora personal con la expectación de cuotas futuras, este "valor residual" crea una oportunidad de suscripciones fraudulentas y robo. Los modelos de negocio de prepago, en donde un usuario paga por adelantado el uso de un ambiente de sistema de cómputo subsidiado, de alto valor tienen riesgos similares de fraude y robo. La Figura 1 ilustra un dispositivo de cómputo en la forma de una computadora 110 que puede conectarse a la red 10 y utilizarse para implementar uno o más componentes del sistema de provisión de software dinámico. Los componentes de la computadora 110 pueden incluir, pero no se limitan a una unidad de procesamiento 120, una memoria de sistema 130, y un conductor común de sistema 121 que acopla varios componentes de sistema que incluyen la memoria de sistema a la unidad de procesamiento 120. El conductor común de sistema 121 puede ser cualquiera de varios tipos de estructuras de conductor común que incluyen un conductor común de memoria o controlador de memoria, un conductor común periférico, y un conductor común local que utiliza cualquiera de una variedad de arquitecturas de conductor común. A manera de ejemplo, y no de limitación, tales arquitecturas incluyen conductor común de Arquitectura de Estándar de Industria (ISA), conductor común de Arquitectura de Microcanal (MCA), conductor común de ISA Mejorado (EISA), conductor común local de Asociación de Estándares de Electrónica de Video (VESA), y conductor común de Interconexión de Componente Periférico (PCI) también conocido como conductor común de Mezzanine. La computadora 110 también puede incluir una unidad criptográfica 124 que proporciona servicios criptográficos. Tales servicios pueden incluir soporte tanto para algoritmos criptográficos simétricos como asimétricos, generación de clave, generación de número aleatorio y almacenamiento seguro. Los servicios criptográficos pueden proporcionarse por un circuito integrado comúnmente disponible, por ejemplo, un chip inteligente tal como aquellos proporcionados por Atmel Corporation, Infineon Technologies, o ST Microelectronics. La computadora 110 puede incluir un ambiente de ejecución seguro 125 (SEE). El SEE 125 puede habilitarse para realizar la verificación de seguridad, manejo de uso de pago por uso y de suscripción e imposición de política para términos y condiciones asociados con uso pagado, particularmente en un modelo de negocio de compra subsidiado el ambiente de ejecución seguro 125 puede representarse en la unidad de procesamiento 120 ó como un componente individual como se ilustró en la Figura 1. Las funciones detalladas que pueden soportarse por el SEE 125 y modalidades adicionales del SEE 125 se discuten posteriormente con respecto a la Figura 3. La computadora 110 típicamente incluye una variedad de medios legibles por computadora. Los medios legibles por computadora puede ser cualquier medio que pueda accederse por la computadora 110 e incluye tanto medios volátiles como no volátiles, medios removibles y no removibles. A manera de ejemplo, y no de limitación, los medios legibles por computadora pueden comprender medios de almacenamiento por computadora y medios de comunicación. Los medios de almacenamiento por computadora incluyen medios volátiles y no volátiles, removibles y no removibles implementados en cualquier método o tecnología para almacenamiento de información tal como instrucciones legibles por computadora, estructuras de datos, módulos de programa u otros datos. Los medios de almacenamiento por computadora incluyen, pero no se limitan a, RAM, ROM, EEPROM, memoria flash u otra tecnología de memoria, CD-ROM, discos versátiles digitales (DVD) u otro almacenamiento de disco óptico, casetes magnéticos, cinta magnética, almacenamiento de disco magnético u otros dispositivos de almacenamiento magnético, o cualquier otro medio que puede utilizarse para almacenar la información deseada y que puede accederse por la computadora 110. Los medios de comunicación típicamente representan instrucciones legibles por computadora, estructuras de datos, módulos de programa u otros datos en una señal de datos modulada tal como una onda portadora u otro mecanismo de transporte e incluyen cualquier medio de entrega de información. El término "señal de datos modulada" significa una señal que tiene una o más de sus características establecidas o cambiadas de tal forma para codificar información en la señal. A manera de ejemplo, y no de limitación, los medios de comunicación incluyen medios por cable tal como una red por cable o conexión por cables directa, y medios inalámbricos tal como medios acústicos, de radiofrecuencia, infrarrojos y otros inalámbricos. Combinaciones de cualquiera de los anteriores también deben incluirse dentro del alcance de medios legibles por computadora.

La memoria de sistema 130 incluye medios de almacenamiento por computadora en la forma de memoria volátil y/o no volátil tal como memoria de solo lectura (ROM) 131 y memoria de acceso aleatorio (RAM) 132. Un sistema de entrada/salida básico 133 (BIOS), que contiene las rutinas básicas que ayudan a transferir información entre elementos dentro de la computadora 110, tal como durante el arranque, típicamente se almacena en ROM 131. La RAM 132 típicamente contiene datos y/o módulos de programa que son inmediatamente accesibles a y/o actualmente están siendo operados por la unidad de procesamiento 120. A manera de ejemplo, y no de limitación, la Figura 1 ilustra el sistema operativo 134, programas de aplicación 135, otros módulos de programa 136, y datos de programa 137. La computadora 110 también puede incluir otros medios de almacenamiento por computadora removibles/no removióles, volátiles/no volátiles. A manera de ejemplo solamente, la Figura 1 ilustra una unidad de disco duro 140 que lee de o escribe a medios magnéticos no removibles, no volátiles, una unidad de disco magnético 151 que lee de o escribe a un disco magnético removible, no volátil 152, y una unidad de disco óptico 155 que lee de o escribe a un disco óptico removible, no volátil 156 tal como un CD ROM u otro medio óptico. Otros medios de almacenamiento por computadora removibles/no removibles, volátiles/no volátiles que pueden utilizarse en el ambiente operativo ilustrativo incluyen, pero no se limitan a, casetes de cinta magnética, tarjeta de memoria flash, discos versátiles digitales, cinta de video digital, RAM de estado sólido, ROM de estado sólido, y similares. La unidad de disco duro 141 típicamente se conecta al conductor común de sistema 121 a través de una interfase de memoria no removible tal como interfase 140, y unidad de disco magnético 151 y unidad de disco óptico 155 típicamente se conectan al conductor común de sistema 121 a través de la interfase de memoria removible, tal como interfase 150. Las unidades y sus medios de almacenamiento por computadora asociados discutidos anteriormente e ilustrados en la Figura 1, proporcionan almacenamiento de instrucciones legibles por computadora, estructuras de datos, módulos de programa y otros datos para la computadora 110. En la Figura 1, por ejemplo, la unidad de disco duro 141 se ilustra como almacenando el sistema operativo 144, programas de aplicación 145, otros módulos de programa 146, y datos de programa 147. Se debe notar que estos componentes pueden ser los mismos que o diferentes al sistema operativo 134, programas de aplicación 135, otros módulos de programa 136, y datos de programa 137. El sistema operativo 144, programas de aplicación 145, otros módulos de programa 146, y datos de programa 147 aquí se les proporcionan números diferentes para ilustrar que, en un mínimo, son copias diferentes. Un usuario puede ingresar comandos e información en la computadora 20 a través de dispositivos de entrada tal como un teclado 162 y dispositivos de señalamiento 161, comúnmente denominado como un ratón, seguibola o almohadilla sensible al tacto. Otros dispositivos de entrada (no mostrados) pueden incluir un micrófono, palanca de mandos, almohadilla de juegos, antena parabólica, escáner, o similares. Estos y otros dispositivos de entrada frecuentemente se conectan a la unidad de procesamiento 120 a través de una interfase de entrada de usuario 160 que se acopla al conductor común de sistema, pero puede conectarse por otra interfase y estructuras de conductor común, tal como un puerto paralelo, puerto del juego o un conductor común en serie universal (USB). Un monitor 191 u otro tipo de dispositivo de presentación también se conecta al conductor común de sistema 121 a través de una interfase, tal como una interfase de video 190. Además del monitor, las computadoras también pueden incluir otros dispositivos de salida periféricos tal como bocinas 197 e impresoras 196, que pueden conectarse a través de una interfase periférica de salida 190. La computadora 110 puede operar en un ambiente en red utiliza conexiones lógicas a una o más computadoras remotas, tal como una computadora remota 180. La computadora remota 180 puede ser una computadora personal, un servidor, un enrutador, una PC de red, un dispositivo par u otro nodo de red común, y típicamente incluye muchos o todos los elementos descritos anteriormente relativos a la computadora 110, aunque solo se ilustro un dispositivo de almacenamiento de memoria 181 en la Figura 1. Las conexiones lógicas ilustradas en la Figura 1 incluyen una red de área local (LAN) 171 y una red de área ancha (WAN) 173, pero también pueden incluir otras redes. Tales ambientes en red comúnmente están ubicados en oficinas, redes de computadora extendidas en empresa, intranets e Internet. Cuando se utiliza en un ambiente en red de LAN, la computadora 110 se conecta a la LAN 171 a través de la interfase de red o adaptador 170. Cuando se utiliza en un ambiente en red WAN, la computadora 110 típicamente incluye un módem 172 u otros medios para establecer comunicaciones en la WAN 173, tal como Internet. El módem 172, que puede ser interno o externo, puede conectarse al conductor común de sistema 121 a través de la interfase de entrada de usuario 160, u otro mecanismo apropiado. En un ambiente en red, los módulos de programa ilustrados relativos a la computadora 110, o porciones de la misma, pueden almacenarse en el dispositivo de almacenamiento de memoria remota. A manera de ejemplo, y no de limitación, la Figura 1 ilustra programas de aplicación remotos 185 como residentes en el dispositivo de memoria 181. Se apreciará que las conexiones en red mostradas son ilustrativas y pueden utilizarse otros medios para establecer un enlace de comunicaciones entre las computadoras. La Figura 2 es un diagrama de bloques arquitectónico de una computadora 200 igual que o similar a la computadora de la Figura 1. La arquitectura de la computadora 200 de la Figura 2 puede ser típica de computadora de propósito general ampliamente vendidas y en uso actual. Un procesador 202 puede acoplarse a una interfase de gráficos y de memoria 204. La interfase de gráficos y memoria 204 puede ser un controlador de "Northbridge" o su reemplazo funcional en arquitecturas más nuevas, tal como una "central de Controlador de Gráficos y de Memoria AGP" (GMCH). La interfase de gráficos y de memoria 204 puede acoplarse al procesador 202 a través de un conductor común de datos de alta velocidad, tal como "Conductor común de Lado Frontal" (FSB), conocido en arquitecturas de computadora. La interfase de gráficos y de memoria 204 puede acoplarse a la memoria de sistema 206 y un procesador de gráficos 208, que por sí mismo puede conectarse a una presentación (no ilustrada). El procesador 202 también puede conectarse, ya sea directamente o a través de la interfase de gráficos y de memoria 204, a una interfase de entrada/salida 210 (interfase l/O). La interfase l/O 206 puede acoplarse a una variedad de dispositivos representados por, pero que no se limitan a, los componentes discutidos posteriormente. La interfase l/O 210 puede ser un chip de "Southbridge" o un circuito funcionalmente similar, tal como una "Central de Controlador de l/O" (ICH). Varios vendedores producen circuitos de Northbridge y Southbridge de la técnica actual y sus equivalentes funcionales, que incluyen Intel Corporation. Una variedad de circuitos funcionales puede acoplarse a cualquiera de la interfase de gráficos y de memoria 204 o la interfase de l/O 210. La interfase de gráficos y memoria 204 puede acoplarse a la memoria de sistema 206 y un procesador de gráficos 208, que por sí mismo puede conectarse a una presentación (no mostrada). Un ratón/teclado 212 puede acoplarse a la interfase l/O 210. Un conductor común en serie universal (USB) 214 puede utilizarse para conectar periféricos externos que incluyen memoria flash, cámaras, adaptadores de red, etc. (no ilustrados). Las ranuras de tablero 216 pueden acomodar cualquier número de dispositivos de conexión, conocidos y comunes en la industria. Una interfase de red de área local (LAN) 218, tal como un tablero de Ethernet puede conectarse a la interfase de l/O 210. El firmware, tal como un sistema de entrada salida básico (BIOS) 220 puede accederse a través de la interfase de l/O 210. La memoria no volátil 222, tal como una unidad de disco duro, también puede acoplarse a la interfase l/O 210. La Figura 3 es un diagrama de bloques de un ambiente de ejecución seguro ilustrativo 302, tal como puede encontrarse en la computadora 200 de la Figura 2. El ambiente de ejecución seguro 302 puede incluir un procesador 310, una memoria segura 318 y una interfase 342. La memoria segura 318 puede almacenar, en una forma resiste a falsificación, código y datos relacionados con la operación segura de la computadora 302, tal como un identif icador de hardware 320 e información de política 322. La información de política 322 puede incluir datos relacionados con los términos específicos y condiciones asociadas con la operación de la computadora 200. La memoria segura 318 también puede incluir código o datos requeridos para implementar varias funciones 324. Las funciones 324 pueden incluir un reloj 326 ó cronometro que ¡mplementa funciones de reloj, funciones de imposición 328, medición 330, manejo de política 332, criptografía 334, privacidad 336, verificación biométrica 338, valor almacenado 340, y verificación de cumplimiento 341, por nombrar algunos. El reloj 326 puede proporcionar una base confiable para medición de tiempo y puede utilizarse como una revisión contra un reloj de sistema mantenido por el sistema operativo 134 para ayudar a prevenir intentos de utilizar fraudulentamente la computadora 200 al alterar el reloj de sistema. El reloj 326 también puede utilizarse en conjunto con manejo de política 332, por ejemplo, para requerir que la comunicación con un servidor de huésped verifiqué disponibilidad de mejora. Las funciones de imposición 328 pueden ejecutarse cuando se determina que la computadora 200 no está en cumplimiento con uno o más elementos de la política 322. Los mecanismos de imposición reales pueden localizarse en diferentes bloques funcionales de la computadora 200, como se muestra en varias modalidades ilustrativas en las Figuras 4-6. Los mecanismos de imposición pueden variar basándose en la localización de la función de imposición, es decir, el dispositivo de huésped de función de imposición puede utilizarse para implementar la función de imposición . Haciendo referencia brevemente a la Figura 4, cuando se localiza la función de imposición 438 en la interfase de gráficos/memoria 404, la función de imposición puede ser un mecanismo de reducción de conductor común de memoria o un mecanismo de limitación de presentación de gráfico. Un mecanismo de reducción de conductor común de memoria puede utilizarse para redistribuir la memoria de sistema a una región no dirigible, que la hace no disponible al procesador 402. Similarmente, un mecanismo de reducción de conductor común de memoria puede disminuir el acceso de memoria para limitar la utilidad de la computadora 400. Una limitación de presentación gráfica puede tomar la forma de limitar los pixeles presentados o la profundidad de color de la presentación para restringir operación de características avanzadas.

Cuando se localiza en una interfase de entrada/salida, tal como una interfase 1/0 406, una función de imposición de filtrado de dispositivo puede restringir acceso a ciertos periféricos, o reducir la velocidad de datos de interfase, hacer comunicación con periféricos o una conexión de red de alguna forma entre molesto e imposible. Cuando se localiza una función de imposición en un procesador 402, puede utilizarse una función de reducción de velocidad de procesador para imponer un modo de función limitada al disminuir el procesamiento de instrucción. En otra modalidad, el mecanismo de imposición puede ser para reducir el grupo de instrucción disponible para procesar comandos. Una combinación, tal como utilizar un grupo restringido de instrucciones para ejecutar un programa de una escala de memoria limitada puede ser efectivo. Regresando a la Figura 3, otra función 324 puede ser medición 330. La medición 330 puede incluir una variedad de técnicas y mediciones, por ejemplo, aquellas discutidas en la Solicitud de patente de E.U.A. co-pendiente Serie No. 11/006,837. Si se mide y que artículos específicos medir puede ser una función de la política 322. La selección de una política apropiada y el manejo de actualizaciones para la política pueden im plementarse por la función de manejo de políticas 332. Una función de criptografía 334 puede utilizarse para verificación de firma digital, firma digital, generación de número aleatorio, y codíficación/descodificación críptica. Cualquiera o todas de estas capacidades criptográficas pueden utilizarse para verificar actualizaciones a la memoria segura 318 ó para confianza establecida con una entidad fuera del ambiente de ejecución seguro 302 si está dentro o fuera de la computadora 200. El ambiente de ejecución seguro 302 puede permitir que se desarrollen varias funciones de propósito especial y se utilicen. Un administrador de privacidad 336 puede utilizarse para manejar información personal para un usuario o parte interesada. Por ejemplo, el administrador de privacidad 336 puede utilizarse para implementar una función de "cartera" para mantener datos de dirección y tarjeta de crédito para uso en compra en línea. Una función de verificación biométrica 338 puede utilizarse con un sensor biométrico externo (no mostrado) para verificar identidad personal. Tal verificación de identidad puede utilizarse, por ejemplo, para actualizar información personal en el administrador de privacidad 336 ó cuando se aplica una firma digital. La función de criptografía 334 puede utilizarse para establecer confianza y un canal seguro al sensor biomédico externo. Una función de valor almacenada 340 también puede ¡mplementarse para uso al pagar por tiempo en una computadora de pago por uso o mientras se hacen compras externas, por ejemplo, transacciones de comercio de existencias en linea. El uso de datos y funciones de la memoria segura 318 permite la presentación de la interfase de hardware asegurada 342 para acceso por otros sistemas en la computadora 200. La interfase de hardware asegurada 342 puede permitir acceso restringido y/o verificado a dispositivos periféricos 344 ó el BIOS 346 a través del conductor común de sistema 348. Adicionalmente, las funciones 324 pueden utilizarse para permitir que los programas externos, que incluyen el sistema operativo 134, accedan a instalaciones seguras tal como ID de hardware 356 y generación de número aleatorio 352 de la función criptográfica 334 a través de la interfase de hardware asegurada 342. Otras capacidades accesibles a través del conductor común de sistema 348 pueden incluir almacenamiento seguro 354 y un reloj confiable (mono tónicamente creciente) 350. Cada función 324 discutida anteriormente, como se implemento en código y almacenó en la memoria segura 318 puede ¡mplementarse en lógica e iniciarse como un circuito físico. Las operaciones para delinear comportamiento funcional entre hardware y software son bien conocidas en la técnica y no se discuten aquí en más detalle. En una modalidad, la computadora 200 puede iniciarse al utilizar un procedimiento de arranque de BIOS normal. En un punto cuando el sistema operativo 134 está activo, el procesador 310 puede ejecutar la función de manejo de política 332. La función de manejo de política 332 puede determinar que la política actual 322 es válida y entonces cargar los datos de política 322. La política puede utilizarse en un procedimiento de configuración para establecer la computadora 200 para operación. El procedimiento de configuración puede incluir distribución de memoria, capacidad de procesamiento, disponibilidad periférica y uso así como requerimientos de medición. Cuando se va a impulsar la medición, las políticas que se relacionan con medición, tal como qué medidas tomar puede activarse. Por ejemplo, la medición por uso de CPU (pago por uso) contra uso en un período de tiempo (suscripción), puede requerir diferentes medidas. Adicionalmente, cuando el uso se carga por periodo o por actividad, puede mantenerse un balance de valor almacenado que utiliza la función de valor almacenada 340. Cuando la computadora 300 se configuró de acuerdo con la política 322, el procedimiento de inicio normal puede continuar al activar e iniciar el sistema operativo 134 y otros programas de aplicación 135. En otras modalidades, la política puede aplicarse en diferentes puntos en el procedimiento de inicio o ciclo de operación normal. Debe descubrirse el no cumplimiento con la política, puede activarse la función de imposición 328. Puede encontrarse una discusión de política de imposición y acciones en la Solicitud de Patente de E.U.A. co-pendiente Serie No. 11/152,214. La función de imposición 328 puede colocar la computadora 300 en un modo alterno de operación cuando fallan todos los intentos para restaurar la computadora para cumplimiento con la política 322. Por ejemplo, en una modalidad, puede imponerse una sanción al redistribuir memoria de uso como memoria de sistema 130 y designar su uso por el ambiente de ejecución seguro 302. Ya que la memoria en el ambiente de ejecución seguro puede no ser dirigible por programas exteriores que incluyen el sistema operativo 134, la operación de computadora puede restringirse, incluso severamente, por tal distribución de memoria. Debido a que se mantiene la política y las funciones de imposición dentro del ambiente de ejecución seguro 302, algunos ataques típicos en el sistema son difíciles o imposibles. Por ejemplo, la política puede no "falsificarse" al reemplazar una sección de memoria de política de memoria externa. Similarmente, la política y las funciones de imposición pueden no "abstenerse" al bloquear ciclos de ejecución o sus escalas de dirección respectivas. Para revertir la computadora 300 a operación normal, puede necesitarse el código de restauración para adquirirse de una autoridad de licencia o proveedor de servicio (no ilustrado) e ingresarse en la computadora 300. El código de restauración puede incluir la ID de hardware 320, un abastecimiento de valor almacenado, y una fecha "no previa a" utilizada para verificar el reloj 326. El código de restauración típicamente puede codificarse crípticamente y firmarse por confirmación por la unidad de procesamiento 302. La Figura 4, un diagrama arquitectónico de una computadora 400 muestran otra modalidad de un ambiente de ejecución seguro que tiene funciones no agregadas. La computadora 400 puede ser la misma que o similar a la computadora 200 de la Figura 2. La computadora 400 puede tener un procesador 402, una interfase de gráficos y memoria 404 y una interfase l/O 406. Acoplado a la interfase de gráficos y memoria 104 puede estar un procesador de gráficos 408 y memoria de sistema 410. Acoplado a la interfase l/O 406 pueden estar uno o más dispositivos de entrada 412, tal como un teclado y ratón, ranuras de tabla 414 para aceptar una variedad de tablas de interfase (no ilustradas), una interfase de red de área local 416, firmware, tal como sistema de salida entrada básico 418 (BIOS), almacenamiento no volátil, tal como un disco duro 420, y un conductor común en serie universal 422 (USB), por nombrar algunos. Un ambiente de ejecución seguro puede no agregarse entre dos o más elementos de la computadora 400. Las funciones asociadas con el ambiente de ejecución seguro, como se muestra y describe con respecto a la Figura 3, pueden desagregarse en cualquier número de configuraciones y combinaciones, dependiendo de los recursos disponibles dentro de un componente dado en las elecciones de diseño disponibles para un ingeniero o arquitecto de sistema. En la ilustrativa modalidad ilustrada en la Figura 4, un núcleo de ambiente de ejecución seguro (SEE) 430 se muestra insertado en interfase l/O 406. El núcleo SEE 430 puede incluir la ID de hardware 432, una función de medición 434, y una función de manejo de política 436. El núcleo SEE 430 puede servir como una central o controlador para el funcionamiento del ambiente de ejecución seguro desagregado. Las funciones de imposición 438, en la interfase de gráficos y memoria 404, y 440, en el procesador de gráficos 408, puede tener la capacidad de realizar una escala de sanciones en sus huéspedes respectivos. Por ejemplo, la función de imposición 438 puede tener la capacidad de limitar memoria de sistema 410 e impactar el desempeño total de la computadora 400. La función de imposición 440 puede permitir reducir el tamaño, velocidad, o profundidad de color soportados por el procesador de gráficos 408. El procesador y los componentes de ambiente de ejecución seguro basados en interfase de gráficos/memoria, tal como imposición 438 y criptografía 456 pueden comunicarse a través de memoria estándar o interfaces delineadas l/O soportadas en el conductor común lateral frontal existente. Otras opciones para apilar comunicación en conductores comunes existentes, tal como la interconexión de componente periférico (PCI), pueden requerir modificación de implementaciones existentes para insertar un controlador de software para dirigir paquetes de inter-elemento. Dado el origen de las comunicaciones entre elementos desagregados, puede mantenerse conexiones de pares individuales, particularmente entre el núcleo SEE 430 y otros elementos individuales, tal como valor almacenado 448 y los varios módulos de imposición ilustrativos 438 440 452. La verificación biomédica 442 y el reloj 444 pueden implementarse en el BIOS 418. Los valores sólo de datos asociados con funciones de ambiente de ejecución seguro pueden almacenarse en memoria volátil. Por ejemplo, información de política 446, valor almacenado 448, de información de privacidad 450 puede almacenarse en un disco duro 420. El código ejecutable asociado con ¡mplementar estas funciones también puede almacenarse en unidad dura 420. La ¡nterfase de USB 422 también puede ser otra localización en donde y la función imposición 452 pueden colocarse. La imposición en la interfase de USB 422 puede restringir acceso a varios periféricos, tal como otra memoria no volátil, cámaras, o dispositivos de medios digitales. Una función intensiva de procesamiento, tal como criptografía 456, puede localizarse en el procesador 402 aunque mientras la función de criptografía 456 puede utilizar la energía de procesamiento nativa del procesador 402, la función de criptografía 456 puede implementarse también como una función individual alojada en ese chip. La distribución de las funciones del ambiente de ejecución seguro puede requerir algún exceso adicional para soportar comunicación y verificación entre las funciones separadas. Por ejemplo, cada una de las funciones no agregadas puede necesitar alguna capacidad de comunicarse y alguna capacidad para determinar que los mensajes recibidos son auténticos. Para ese fin, cada una de las funciones no agregadas puede tener su propio identificador una clave criptográfica. Los datos distribuidos tal como política 446 o información de valor almacenado 448 puede no necesitar medidas extra.

Cuando se almacenan datos distribuidos, tal como política 446 o valor almacenado 448, el núcleo SEE 430 puede tener varias opciones. Si el núcleo SEE 430 tiene capacidad de codificación críptica, los datos distribuidos pueden codificase crípticamente localmente y almacenarse remotamente. Si el núcleo SEE 430 sólo tiene capacidad de verificación, es decir, no almacenamiento seguro local para una clave de codificación críptica, el núcleo SEE 430 puede mantener una verificación y almacenar los datos limpios remotamente. La comunicación entre el núcleo SEE 430 y las funciones no agregadas del ambiente de ejecución seguro pueden realizarse al utilizar la estructura de conductor común existente que se acopla a cada uno de los componentes de huésped. Por ejemplo, la comunicación entre el núcleo SEE en la función imposición 440 puede realizarse en el conductor común que sea acopla a la interfase de gráficos y memoria 404 con el procesador de gráficos 408. En otra modalidad, los conductores comunes separados 458 pueden implementarse para conectar el núcleo SEE 430 y los componentes funcionales desagregados del ambiente de ejecución seguro 438-456. Un conductor común relativamente lento, angosto puede ser adecuado para tal comunicación. Por ejemplo, un conductor común de dos cables conocido como conductor común de circuito inter-integrado (IIC o l2C) puede ser adecuado para tal interconexión. La Figura 5 ¡lustra otra modalidad de un ambiente de ejecución seguro desagregado. Una computadora 500 puede tener componentes que son grandes como se ¡lustra en la Figura 4. Puede existir un procesador 502, una interfase de gráficos y memoria 504, y una interfase l/O 506. La interfase de gráficos y memoria puede soportar un procesador de gráficos 508 y memoria de sistema 510. La interfase l/O puede soportar dispositivos o interfaces periféricas tal como dispositivos de entrada 512, tal como un ratón y teclado, ranuras de tabla 514, memoria BIOS 518, memoria no volátil, tal como disco duro 520, un puerto USB 522 y una interfase de red, tal como interfase LAN 516. La interfase LAN 516 puede estar en comunicación con un servidor remoto 560 que puede suministrar almacenamiento de datos no volátil adicional. En la modalidad ¡lustrada en la Figura 5, un ambiente de ejecución seguro puede tener un núcleo de ambiente de ejecución seguro 530 dispuesto en la interfase de gráficos y memoria 504. Otros datos y funciones asociados con la operación del SEE pueden co-localizarse con el núcleo SEE 530, tal como el identif icador de hardware 532 y la función de medición 534. Las funciones adicionales tal como manejo de política 536 e imposición 538 pueden disponerse en la interfase l/O 506, mientras otra función imposición 540 puede localizarse en el procesador de gráficos 508. La verificación biomédica 542 y las funciones de reloj pueden localizarse en el firmware de BIOS 518 y el disco duro 520 puede alojar la función de valor almacenada y los datos 548 y la información de privacidad 550. La interfase de USB puede alojar otra función de imposición 552.

Para ilustrar la no agregación del SEE más allá de la computadora local, la modalidad de la Figura 5 muestra la información de política 546 almacenada en el servidor remoto 560. La información de política 546 puede ser específica a la computadora 500 o puede compartirse por otras computadoras (no ilustradas), que hacen cambios de política global disponibles para un grupo dado de computadoras. Otros elementos del SEE también pueden localizarse remotamente, por ejemplo, valor almacenado, verificación biométrica, o ambos pueden localizarse remotamente dados los mecanismos de comunicación apropiadamente protegidos. La Figura 6 es un diagrama de bloques de otra configuración alternativa de un ambiente de ejecución seguro desagregado. Como anteriormente, los elementos base de la computadora pueden incluir un procesador 602, una interfase de gráficos y memoria 604, una interfase 1/0 606. La interfase de gráficos y memoria 604 puede soportar un procesador de gráficos 608. La interfase i/O puede soportar dispositivos o interfaces periféricas tal como dispositivos de entrada 616, tal como un ratón y teclado, ranuras de tabla 610, memoria de BIOS 614, memoria no volátil, tal como disco duro 613, un puerto USB 618 y una interfase de red, tal como interfase LAN 612. Diferente a las modalidades anteriores de las Figuras 4 y 5, la disposición de memoria de sistema de la Figura 6 se modificó para soportar un núcleo SEE individual 632. La memoria de sistema 624, en la modalidad mostrada, se acopla a los gráficos y la interfase de memoria 606 a través de una combinación de memoria intermedias 620 622. En una modalidad, las memorias intermedias 620 622 puede ser una memoria intermedia avanzada (AMB), un circuito estándar, conocido en la industria y disponible de los fabricantes tal NEC Corporation de Japón, número de parte uPD720900. Una aplicación de las memoria intermedias 620 622 es convertir una interfase en serie de alta velocidad a una interfase paralela soportada por los chips de memoria de computadora comunes (DRAM). Sin embargo, el uso de dicha memoria intermedia para interconectarse con el núcleo SEE 632 permite interacción directa con la interfase de gráficos y de memoria 604 sin los requerimientos de velocidad de datos alta de la interfase de gráficos y memoria 604 y sin además cargar la interfase 626. La memoria intermedia 620 convierte una interfase paralela de alta velocidad 626 a una interfase en serie 628. Para interconectarse a la memoria común, existente, otra memoria intermedia 622 puede utilizarse para convertir señales de memoria de nuevo al formato original encontrado en la interfase 626, para acoplar a la memoria de sistema 624. En una modalidad, las memorias intermedias 620 622 pueden ser una memoria intermedia avanzada (AMB), un circuito estándar, conocido en la industria y disponible de los fabricantes tal como NEC Corporation de Japón, número de parte uPD720900. En otras modalidades, las memorias intermedias 620 622 pueden ser circuitos integrados específicos de aplicación. Esta configuración permite una implementación híbrida de un núcleo SEE individual 632 con funciones locales para valor almacenado 634, ID de hardware 636, manejo de política 638 y medición 640, con otras funciones distribuidas entre otros componentes. Por ejemplo, una modalidad puede tener una función criptográfica 642 en el procesador 602, imposición 644 y reloj 646 alojado en la interfase l/O 606, privacidad 648 y verificación biométrica 650 en el firmware de BIOS 614, y datos de política 652 en la memoria de sistema 624. La Figura 6A muestra otra modalidad de la computadora 600 de la Figura 6, específicamente, que muestra otro método para acoplar el núcleo SEE 632 a la interfase de gráficos y memoria 604. Una memoria intermedia individual 654 puede utilizarse en lugar de las memorias intermedias en par 620 622 en la Figura 6. La memoria intermedia 654 simplemente puede realizar la impedancia de coincidencia necesaria para permitir que el núcleo SEE 632 se asiente sobre el conductor común de memoria 626, o puede tener funciones adicionales asociadas con medición y/o imposición. Las modalidades ilustrativas anteriores ilustran varias configuraciones para distribuir funciones de un ambiente de ejecución seguro a través de diferentes elementos de una computadora. El efecto es distribuir el riesgo, y también el punto de ataque, a través de una computadora y ayudar a asegurar que los componentes de equipo originales no se remueven o alteran por alguien más del personal de servicio autorizado. Esto ayuda a proteger la inversión de aseguradoras que pueden tener un interés financiero significativo al proteger la computadora de ataques tanto lógicos como físico. Aunque el texto anterior menciona una descripción detallada de numerosas modalidades diferentes de la invención, se debe entender que el alcance de la invención se define por las palabras de las reivindicaciones mencionadas al final de esta patente la descripción se va interpretar como ilustrativa solamente y no describe toda modalidad posible de la invención ya que describir toda modalidad posible sería impráctico, sino es que imposible. Pueden implementarse numerosas modalidades alternativas, que utilizan cualquier tecnología actual o tecnología desarrollada después de la fecha de presentación de esta patente, que aún caerá dentro del alcance de las reivindicaciones que definen la invención. De esa forma, pueden hacerse muchas modificaciones y variaciones en las técnicas y estructuras descritas e ilustradas aquí sin apartarse del espíritu y alcance de la presente invención. Por consiguiente, se debe entender que los métodos y aparatos aquí descritos son ilustrativos solamente y no son limitantes en el alcance de la invención.

Claims (9)

REIVINDICACIONES

1.- Una computadora adaptada para usarse en modos operativos de función limitada que comprende: una pluralidad de circuitos funcionales; y un ambiente de ejecución seguro desagregado entre al menos uno de una pluralidad de circuitos funcionales, el ambiente de ejecución seguro teniendo elementos desagregados que comprenden: una función de medición para determinar uso de acuerdo con una política; y una función de imposición para activar un modo de función limitado cuando el circuito de medición determina que el uso no está en cumplimiento con la política. 2 - La computadora de acuerdo con la reivindicación 1, en donde el ambiente de ejecución seguro además tiene elementos desagregados que comprenden: una memoria segura que almacena al menos un identif icador de hardware; un reloj que proporciona tiempo monotónicamente creciente; una función de criptografía; y una función de manejo de política para actualizar la política. 3.- La computadora acuerdo con la reivindicación 1, en donde cada uno de los elementos desagregados del ambiente de ejecución seguro comprenden al menos una función de comunicación que acopla comunicativamente los elementos desagregados del ambiente de ejecución seguro. 4. - La computadora de acuerdo con la reivindicación 3, en donde cada uno de los elementos desagregados se acopla comunicativamente en un conductor común de datos compartidos respectivos en común con uno o más de la pluralidad de circuitos funcionales. 5. - La computadora de acuerdo con la reivindicación 3, en donde cada uno de los elementos desagregados se acopla comunicativamente con al menos uno diferente de los elementos desagregados en un conductor común de datos dedicado para uso exclusivo de los elementos desagregados comunicativamente acoplados del ambiente de ejecución seguro. 6. - La computadora de acuerdo con la reivindicación 3, en donde el ambiente de ejecución seguro además comprende un núcleo para manejar comunicación entre los elementos desagregados. 7. - La computadora de acuerdo con la reivindicación 6, en donde la pluralidad de circuitos funcionales comprende un procesador y el núcleo es parte del procesador. 8. - La computadora de acuerdo con la reivindicación 6, en donde la pluralidad de circuitos funcionales comprende un chip o circuito integrado de interfase que soporta acceso de memoria y el núcleo es parte del chip de interfase. 9. - La computadora de acuerdo con la reivindicación 6, en donde la pluralidad de circuitos funcionales comprende un chip de interfase que soporta acceso de componente periférico y el núcleo es JJ parte de un chip de interfase. 10. - La computadora de acuerdo con la reivindicación 6, en donde el núcleo es un chip inteligente individual. 11. - La computadora de acuerdo con la reivindicación 1, en donde la función de imposición es al menos una de una función de reducción de conductor común de memoria localizado en una interfase de gráficos/memoria, una función de limitación de presentación de gráficos localizada en la interfase de gráficos/memoria, una función de limitación de entrada/salida en una interfase de entrada/salida, una función de filtrado de dispositivo periférico localizada en la interfase de entrada/salida, una función de reducción de velocidad de procesador localizada en un procesador y una función de reducción de capacidad de procesador localizada en el procesador. 1

2.- Un ambiente de ejecución seguro que tiene elementos funcionales desagregados entre recursos accesibles para la computadora para usarse en operación medida de la computadora, los elementos funcionales comprenden: un núcleo para medir cumplimiento con una política que corresponde a uso medido; un circuito de imposición para limitar el uso de la computadora en respuesta a una instrucción del núcleo para limitar una función de la computadora. 1

3.- El ambiente de ejecución seguro de acuerdo con la reivindicación 12, que además comprende: Una memoria segura que almacena un indicio que corresponde a uso medido disponible; un reloj que proporciona valores de tiempo monotónicamente crecientes; un unidad criptográfica para procesar un paquete de provisión con instrucciones para alterar al menos uno de los datos de política en la memoria segura o el indicio en la memoria segura. 1

4. - El ambiente de ejecución seguro de acuerdo con la reivindicación 12, en donde al menos uno de los recursos accesibles a la computadora que tiene un elemento funcional del ambiente de ejecución seguro se accede a través de una conexión de Internet. 1

5. - El ambiente de ejecución seguro de acuerdo con la reivindicación 12, en donde al menos uno de los elementos funcionales soporta verificación criptográfica y comunicación segura con al menos otro elemento funcional. 1

6. - El ambiente de ejecución seguro de acuerdo con la reivindicación 12, en donde los recursos accesibles a la computadora comprenden al menos uno de una memoria no volátil, un circuito de interfase de memoria, un circuito de interfase periférico, y un servidor remoto. 1

7. - Un método para distribuir componentes funcionales de un ambiente seguro utilizado para medir e imponer pago por uso y operación de suscripción de una computadora que comprende: activar una función de núcleo en un primer recurso de la computadora, la función de núcleo incluyendo una capacidad de medición y una capacidad de comunicación segura; activar una función de imposición en un segundo recurso de la computadora, la función de imposición que incluye una capacidad para limitar o detener la operación de la computadora y una capacidad de comunicación segura comunicativamente acoplada a la función de núcleo; almacenar datos de uso y una política en una localización de memoria comunicativamente acoplada al menos a la función de núcleo, en donde la función de núcleo mide el uso de computadora de acuerdo con los datos de uso y la política almacenada en la localización de memoria e impone política a través de la función de imposición cuando la función de núcleo determina no cumplimiento con la política. 1

8. - El método de acuerdo con la reivindicación 17, en donde almacenar los datos en una localización de memoria comprende crear una verificación de los datos previo a almacenar los datos. 1

9. - El método de acuerdo con la reivindicación 17, en donde almacenar los datos en una localización de memoria comprende codificar crípticamente los datos previo a almacenamiento de los datos. 20. - El método de acuerdo con la reivindicación 17, que además comprende: instalar una clave criptográfica en cada componente funcional respectivo del ambiente seguro para usarse en comunicación segura y autentif icación entre componentes funcionales.