RU2009116231A - Архитектура виртуального модуля безопасности - Google Patents
Архитектура виртуального модуля безопасности Download PDFInfo
- Publication number
- RU2009116231A RU2009116231A RU2009116231/08A RU2009116231A RU2009116231A RU 2009116231 A RU2009116231 A RU 2009116231A RU 2009116231/08 A RU2009116231/08 A RU 2009116231/08A RU 2009116231 A RU2009116231 A RU 2009116231A RU 2009116231 A RU2009116231 A RU 2009116231A
- Authority
- RU
- Russia
- Prior art keywords
- client
- commands
- data
- clients
- virtual machine
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
1. Система обработки, обладающая способностями аутентификации, содержащая: ! первый и второй клиенты; ! устройство отображения, предназначенное для приема команд, вырабатываемых первым и вторым клиентами, и генерирования сигнала для уникальной идентификации команды, выработанной первым клиентом, в отличие от команды, выработанной вторым клиентом; и ! устройство обработки, имеющее доступ к сохраненным данным для первого и второго клиентов, где операции, запрашиваемые через команды, идентифицированные как назначенные от первого клиента, ограничены данными, к которым прикреплены права, ранее назначенные первому клиенту, и операции, запрашиваемые через команды, идентифицированные как поступившие от второго клиента, ограничены данными, к которым прикреплены права, ранее назначенные второму клиенту. ! 2. Устройство обработки по п.1, в котором сигнал для уникальной идентификации команды представляет собой специально заданный сигнал. ! 3. Система обработки по п.1, в которой устройство отображения для приема команд, выработанных первым и вторым клиентами, встроено в устройство обработки. ! 4. Система обработки по п.1, в которой система обработки дополнительно включает в себя приемопередатчик, предназначенный для приема сигналов, поступающих по воздушному радиоканалу. ! 5. Система обработки по п.1, в которой данные, к которым прикреплены права, ранее назначенные первому клиенту, включают в себя секреты, зарезервированные для первого клиента. ! 6. Способ поддержки множества активных приложений в процессоре, содержащий этап, на котором: ! идентифицируют команды, выработанные первым клиентом, в отличие от команд, выработан
Claims (17)
1. Система обработки, обладающая способностями аутентификации, содержащая:
первый и второй клиенты;
устройство отображения, предназначенное для приема команд, вырабатываемых первым и вторым клиентами, и генерирования сигнала для уникальной идентификации команды, выработанной первым клиентом, в отличие от команды, выработанной вторым клиентом; и
устройство обработки, имеющее доступ к сохраненным данным для первого и второго клиентов, где операции, запрашиваемые через команды, идентифицированные как назначенные от первого клиента, ограничены данными, к которым прикреплены права, ранее назначенные первому клиенту, и операции, запрашиваемые через команды, идентифицированные как поступившие от второго клиента, ограничены данными, к которым прикреплены права, ранее назначенные второму клиенту.
2. Устройство обработки по п.1, в котором сигнал для уникальной идентификации команды представляет собой специально заданный сигнал.
3. Система обработки по п.1, в которой устройство отображения для приема команд, выработанных первым и вторым клиентами, встроено в устройство обработки.
4. Система обработки по п.1, в которой система обработки дополнительно включает в себя приемопередатчик, предназначенный для приема сигналов, поступающих по воздушному радиоканалу.
5. Система обработки по п.1, в которой данные, к которым прикреплены права, ранее назначенные первому клиенту, включают в себя секреты, зарезервированные для первого клиента.
6. Способ поддержки множества активных приложений в процессоре, содержащий этап, на котором:
идентифицируют команды, выработанные первым клиентом, в отличие от команд, выработанных вторыми клиентами; и
обрабатывают алгоритм для первого клиента с использованием команд, идентифицированных для первого клиента, которые обращаются к данным, разрешенным системой отслеживания клиента для первого клиента, при ограничении доступа к данным и ограничения выполнения команд, идентифицированных для других клиентов, при выполнении алгоритма.
7. Способ по п.6, в котором идентификация команд, выработанных первым клиентом, в отличие от команд, выработанных другими клиентами, дополнительно включает в себя генерирование сигнала выбора объекта для идентификации первого клиента.
8. Способ по п.7, дополнительно включающий в себя этап, на котором используют сигнал выбора объекта для идентификации первого клиента перед использованием команд при выполнении алгоритма.
9. Способ по п.6, в котором процессор дополнительно включает в себя одновременную обработку множества активных приложений путем дифференциации команд и доступа к данным для первого клиента с использованием сигнала выбора объекта.
10. Устройство, содержащее:
систему отслеживания, предназначенную для соединения команд, выработанных клиентом, с сигналом выбора объекта, используемым для ограничения команд и доступа к данным при выполнении операций для приложений, ассоциированных с клиентом.
11. Устройство по п.10, в котором система отслеживания дополнительно обеспечивает возможность доступа к данным и командам в соответствии с сигналом выбора объекта.
12. Устройство по п.10, в котором система отслеживания поддерживает обработку множества активных приложений в процессоре, используя систему отображения, которая идентифицирует и дифференцирует команды, выработанные клиентом, в отличие от команд, выработанных другими клиентами.
13. Устройство по п.10, в котором система отображения дополнительно включает в себя ассоциации отображения между клиентами и секретами, которые обеспечивают возможность одновременно ассоциировать множество клиентов с одним и тем же набором секретов.
14. Устройство по п.10, в котором множество копий одной и той же программы работают в различных виртуальных машинах, и одна виртуальная машина ассоциирована с несколькими наборами секретов.
15. Система обработки, содержащая:
первую и вторую виртуальные машины;
устройство отображения, предназначенное для прикрепления к первому сигналу выбора объекта команды, выработанной первой виртуальной машиной, и ко второму сигналу выбора объекта команды, выработанной второй виртуальной машиной; и
устройство обработки, предназначенное для приема первого сигнала выбора объекта и выполнения команды, выработанной первой виртуальной машиной, и обеспечения доступа к данным при выполнении операций для приложений, ассоциированных с первой виртуальной машиной, и ограничения доступа к командам и данным, ассоциированным со второй виртуальной машиной.
16. Система обработки по п.15, в которой устройство обработки принимает сигнал выбора второго объекта и выполняет команду, выработанную второй виртуальной машиной, и обеспечивает доступ к данным при выполнении операций для приложений, ассоциированных со второй виртуальной машиной, и ограничивает доступ к командам и данным, ассоциированным с первой виртуальной машиной.
17. Система обработки по п.15, дополнительно включающая в себя систему отображения для генерирования сигнала выбора первого объекта, который идентифицирует первую виртуальную машину, и сигнала выбора второго объекта, который идентифицирует вторую виртуальную машину.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/529,987 US8479264B2 (en) | 2006-09-29 | 2006-09-29 | Architecture for virtual security module |
| US11/529,987 | 2006-09-29 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2009116231A true RU2009116231A (ru) | 2010-11-10 |
| RU2444783C2 RU2444783C2 (ru) | 2012-03-10 |
Family
ID=39268967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2009116231/08A RU2444783C2 (ru) | 2006-09-29 | 2007-09-26 | Архитектура виртуального модуля безопасности |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US8479264B2 (ru) |
| EP (1) | EP2069999A4 (ru) |
| JP (1) | JP4940460B2 (ru) |
| KR (2) | KR20090053806A (ru) |
| CN (1) | CN101517591B (ru) |
| BR (1) | BRPI0716843A2 (ru) |
| RU (1) | RU2444783C2 (ru) |
| WO (1) | WO2008042191A2 (ru) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2648941C2 (ru) * | 2012-10-12 | 2018-03-28 | Конинклейке Филипс Н.В. | Безопасная обработка данных виртуальной машиной |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8479264B2 (en) | 2006-09-29 | 2013-07-02 | Micron Technology, Inc. | Architecture for virtual security module |
| US8938774B2 (en) * | 2010-05-28 | 2015-01-20 | Dell Products, Lp | System and method for I/O port assignment and security policy application in a client hosted virtualization system |
| US8527761B2 (en) | 2010-05-28 | 2013-09-03 | Dell Products, Lp | System and method for fuse enablement of a secure client hosted virtualization in an information handling system |
| US8990584B2 (en) | 2010-05-28 | 2015-03-24 | Dell Products, Lp | System and method for supporting task oriented devices in a client hosted virtualization system |
| US8458490B2 (en) | 2010-05-28 | 2013-06-04 | Dell Products, Lp | System and method for supporting full volume encryption devices in a client hosted virtualization system |
| US8589702B2 (en) | 2010-05-28 | 2013-11-19 | Dell Products, Lp | System and method for pre-boot authentication of a secure client hosted virtualization in an information handling system |
| US8751781B2 (en) | 2010-05-28 | 2014-06-10 | Dell Products, Lp | System and method for supporting secure subsystems in a client hosted virtualization system |
| JP5719244B2 (ja) * | 2011-06-29 | 2015-05-13 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 安全に管理された仮想マシンの実行環境を構築する方法、プログラムおよびコンピュータ装置 |
| US9037511B2 (en) * | 2011-09-29 | 2015-05-19 | Amazon Technologies, Inc. | Implementation of secure communications in a support system |
| KR101907486B1 (ko) * | 2012-09-14 | 2018-10-12 | 한국전자통신연구원 | 보안성이 우수한 실행환경을 제공하는 이동 컴퓨팅 시스템 |
| GB201407862D0 (en) * | 2013-10-30 | 2014-06-18 | Barclays Bank Plc | Transaction authentication |
| US9582295B2 (en) | 2014-03-18 | 2017-02-28 | International Business Machines Corporation | Architectural mode configuration |
| US9916185B2 (en) | 2014-03-18 | 2018-03-13 | International Business Machines Corporation | Managing processing associated with selected architectural facilities |
| US20150278512A1 (en) * | 2014-03-28 | 2015-10-01 | Intel Corporation | Virtualization based intra-block workload isolation |
| EP3050011B1 (en) | 2014-05-02 | 2017-09-20 | Barclays Bank Plc. | Transaction authentication |
| KR102126218B1 (ko) * | 2015-11-04 | 2020-06-24 | 한국전자통신연구원 | 동적 명령어 처리 장치 및 방법 |
| US10514943B2 (en) * | 2016-11-17 | 2019-12-24 | Qualcomm Incorporated | Method and apparatus for establishing system-on-chip (SOC) security through memory management unit (MMU) virtualization |
| US10757082B2 (en) * | 2018-02-22 | 2020-08-25 | International Business Machines Corporation | Transforming a wrapped key into a protected key |
| US11321238B2 (en) * | 2020-08-11 | 2022-05-03 | Micron Technology, Inc. | User process identifier based address translation |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3228182B2 (ja) * | 1997-05-29 | 2001-11-12 | 株式会社日立製作所 | 記憶システム及び記憶システムへのアクセス方法 |
| JP4170466B2 (ja) * | 1998-09-18 | 2008-10-22 | 富士通株式会社 | コマンド認証方法 |
| CA2371124A1 (en) * | 2001-02-09 | 2002-08-09 | Itaru Kawakami | Information processing method/apparatus and program |
| US7073059B2 (en) | 2001-06-08 | 2006-07-04 | Hewlett-Packard Development Company, L.P. | Secure machine platform that interfaces to operating systems and customized control programs |
| JP3571708B2 (ja) * | 2002-06-26 | 2004-09-29 | コナミ株式会社 | サーバ装置及びプログラム |
| JP3964770B2 (ja) * | 2002-10-09 | 2007-08-22 | 株式会社東芝 | 光ディスク装置及び光ディスク装置の制御方法 |
| US7409487B1 (en) * | 2003-06-30 | 2008-08-05 | Vmware, Inc. | Virtualization system for computers that use address space indentifiers |
| CN100426719C (zh) * | 2003-09-01 | 2008-10-15 | 台均科技(深圳)有限公司 | 用户端设备与本地客户端应用服务器或远程网络服务器间鉴权的方法 |
| US20050138393A1 (en) | 2003-12-22 | 2005-06-23 | Challener David C. | Determining user security level using trusted hardware device |
| US7222062B2 (en) | 2003-12-23 | 2007-05-22 | Intel Corporation | Method and system to support a trusted set of operational environments using emulated trusted hardware |
| CN1635738A (zh) * | 2003-12-26 | 2005-07-06 | 鸿富锦精密工业(深圳)有限公司 | 通用认证授权服务系统及方法 |
| US7454756B2 (en) * | 2004-03-05 | 2008-11-18 | Intel Corporation | Method, apparatus and system for seamlessly sharing devices amongst virtual machines |
| US7552419B2 (en) * | 2004-03-18 | 2009-06-23 | Intel Corporation | Sharing trusted hardware across multiple operational environments |
| US7380119B2 (en) * | 2004-04-29 | 2008-05-27 | International Business Machines Corporation | Method and system for virtualization of trusted platform modules |
| US20050278790A1 (en) | 2004-06-10 | 2005-12-15 | International Business Machines Corporation | System and method for using security levels to simplify security policy management |
| US7590867B2 (en) * | 2004-06-24 | 2009-09-15 | Intel Corporation | Method and apparatus for providing secure virtualization of a trusted platform module |
| FR2873466A1 (fr) * | 2004-07-21 | 2006-01-27 | St Microelectronics Sa | Procede de programmation d'un controleur de dma dans un systeme sur puce et systeme sur puce associe |
| US7562179B2 (en) * | 2004-07-30 | 2009-07-14 | Intel Corporation | Maintaining processor resources during architectural events |
| US7836299B2 (en) * | 2005-03-15 | 2010-11-16 | Microsoft Corporation | Virtualization of software configuration registers of the TPM cryptographic processor |
| US7707629B2 (en) * | 2005-03-31 | 2010-04-27 | Intel Corporation | Platform configuration register virtualization apparatus, systems, and methods |
| US20070056033A1 (en) * | 2005-03-31 | 2007-03-08 | Grawrock David W | Platform configuration apparatus, systems, and methods |
| US7587595B2 (en) * | 2005-05-13 | 2009-09-08 | Intel Corporation | Method and apparatus for providing software-based security coprocessors |
| US7478220B2 (en) * | 2005-06-23 | 2009-01-13 | International Business Machines Corporation | Method, apparatus, and product for prohibiting unauthorized access of data stored on storage drives |
| US20070079120A1 (en) * | 2005-10-03 | 2007-04-05 | Bade Steven A | Dynamic creation and hierarchical organization of trusted platform modules |
| US8479264B2 (en) | 2006-09-29 | 2013-07-02 | Micron Technology, Inc. | Architecture for virtual security module |
-
2006
- 2006-09-29 US US11/529,987 patent/US8479264B2/en active Active
-
2007
- 2007-09-26 JP JP2009524711A patent/JP4940460B2/ja not_active Expired - Fee Related
- 2007-09-26 CN CN200780035702.1A patent/CN101517591B/zh not_active Expired - Fee Related
- 2007-09-26 KR KR1020097004786A patent/KR20090053806A/ko not_active Application Discontinuation
- 2007-09-26 RU RU2009116231/08A patent/RU2444783C2/ru not_active IP Right Cessation
- 2007-09-26 EP EP07838900A patent/EP2069999A4/en not_active Withdrawn
- 2007-09-26 BR BRPI0716843-8A2A patent/BRPI0716843A2/pt not_active IP Right Cessation
- 2007-09-26 KR KR1020117023055A patent/KR101372109B1/ko active IP Right Grant
- 2007-09-26 WO PCT/US2007/020797 patent/WO2008042191A2/en active Application Filing
-
2013
- 2013-07-01 US US13/932,927 patent/US9141810B2/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2648941C2 (ru) * | 2012-10-12 | 2018-03-28 | Конинклейке Филипс Н.В. | Безопасная обработка данных виртуальной машиной |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008042191A2 (en) | 2008-04-10 |
| KR20110124339A (ko) | 2011-11-16 |
| EP2069999A4 (en) | 2010-11-10 |
| JP4940460B2 (ja) | 2012-05-30 |
| KR20090053806A (ko) | 2009-05-27 |
| JP2010500694A (ja) | 2010-01-07 |
| CN101517591A (zh) | 2009-08-26 |
| EP2069999A2 (en) | 2009-06-17 |
| RU2444783C2 (ru) | 2012-03-10 |
| BRPI0716843A2 (pt) | 2013-10-01 |
| US20080104673A1 (en) | 2008-05-01 |
| CN101517591B (zh) | 2014-04-02 |
| US8479264B2 (en) | 2013-07-02 |
| WO2008042191A3 (en) | 2008-07-03 |
| US20130298205A1 (en) | 2013-11-07 |
| US9141810B2 (en) | 2015-09-22 |
| KR101372109B1 (ko) | 2014-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2009116231A (ru) | Архитектура виртуального модуля безопасности | |
| KR101751936B1 (ko) | 호스트 기반 단말 가상화 환경에서 공유 메모리를 이용한 입출력 디바이스 가상화 장치 및 방법 | |
| US8677484B2 (en) | Providing protection against unauthorized network access | |
| US9432195B2 (en) | Method of operating data security and electronic device supporting the same | |
| US9280655B2 (en) | Application authentication method and electronic device supporting the same | |
| US20150241998A1 (en) | Wearable device authentication and operation | |
| DE112020000792T5 (de) | Durch grafikverarbeitungseinheit beschleunigte vertrauenswürdige ausführungsumgebung | |
| EP1271327A3 (en) | System protection map | |
| EP2375328A3 (en) | Methods and Systems for Providing Access to a Computing Environment | |
| RU2005135472A (ru) | Управление безопасностью компьютера, например, в виртуальной машине или реальной операционной системе | |
| CN104932972B (zh) | 一种反动态调试应用程序的方法及装置 | |
| US7802081B2 (en) | Exposed sequestered partition apparatus, systems, and methods | |
| RU2014135229A (ru) | Мобильный телефон в качестве однонаправленного регистрируемого передатчика по сотовой сети | |
| CN104951688B (zh) | 适用于Xen虚拟化环境下的专用数据加密方法及加密卡 | |
| US9519568B2 (en) | System and method for debugging an executing general-purpose computing on graphics processing units (GPGPU) application | |
| CN106095413A (zh) | 一种蓝牙驱动程序的配置方法及装置 | |
| US20150121127A1 (en) | Watchpoint support system for functional simulator | |
| EP3264226B1 (en) | Pin control method and device | |
| CN1737767A (zh) | 芯片电子硬件上具有中止执行能力的除错支援单元及方法 | |
| CN105653948B (zh) | 一种阻止恶意操作的方法及装置 | |
| CN107688481B (zh) | 一种支持多节点的kvm虚拟机隐藏进程检测系统 | |
| CN107249050A (zh) | 云平台中资源的管理方法和装置 | |
| US10754967B1 (en) | Secure interrupt handling between security zones | |
| CN106331892A (zh) | 电视的模组屏调方法、装置及电视 | |
| KR101396781B1 (ko) | 응용프로그램 관리장치 및 관리방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20130927 |