TW201346612A - 使用儲存裝置以實施數位版權管理保護之方法及設備 - Google Patents

使用儲存裝置以實施數位版權管理保護之方法及設備 Download PDF

Info

Publication number
TW201346612A
TW201346612A TW101143998A TW101143998A TW201346612A TW 201346612 A TW201346612 A TW 201346612A TW 101143998 A TW101143998 A TW 101143998A TW 101143998 A TW101143998 A TW 101143998A TW 201346612 A TW201346612 A TW 201346612A
Authority
TW
Taiwan
Prior art keywords
storage
digital rights
rights management
management content
secure
Prior art date
Application number
TW101143998A
Other languages
English (en)
Other versions
TWI564743B (zh
Inventor
Manish Gilani
Paritosh Saxena
Nicholas D Triantafillou
Azam Barkatullah
Hormuzd M Khosravi
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of TW201346612A publication Critical patent/TW201346612A/zh
Application granted granted Critical
Publication of TWI564743B publication Critical patent/TWI564743B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)

Abstract

說明用來以客戶安全地下載數位版權管理內容的系統、設備、及方法之實施例。在一些實施例中,系統為客戶建立信任的安全根。此外,系統在客戶的代理器和客戶的儲存系統之間建立一安全通道。再者,系統透過安全通道安全地下載數位版權管理內容至儲存系統,並從儲存系統安全地提供數位版權管理內容至一顯示器。

Description

使用儲存裝置以實施數位版權管理保護之方法及設備
本發明之領域一般有關儲存裝置,更具體來說係關於安全儲存器的結構和使用。
現今,主機端應用程式(例如,防毒軟體)使用作業系統應用程式介面(API)來讀取來自儲存器的資料(例如,惡意軟體定義資料)以偵測惡意軟體。此外,能使用其他儲存特定命令來讀取、寫入、並以其他方式來管理儲存資料。例如,能使用廠商特有命令、智慧型命令傳輸(SCT)、負邏輯區塊位址(LBA)等來處理儲存資料。然而,這些方法會輕易地被惡意軟體破壞而提供錯誤資訊給呼叫者。此外,沒有提供配置方法來提供應用程式特有保護。再者,儲存在其中的資料會輕易地被惡意軟體攻擊,或者受數位版權管理(DRM)保護的儲存內容可能被複製或修改。此外,耦接電腦的儲存器可能提供在本領域不易啟動的額外服務。
在接下來的說明中,提出許多具體細節。然而,了解沒有這些具體的細節仍可實施本發明之實施例。在其他例子中,並未詳細顯示熟知的電路、結構和技術以免混淆本說明書的理解。
在本說明書中提到的「一個實施例」、「一實施例」、「一示範實施例」、等等,係表示所述之實施例可能包括一特定特徵、結構、或特性,但每個實施例可能不必包括此特定特徵、結構、或特性。此外,這樣的說法不一定係指相同的實施例。又,當說明與實施例關聯之特定特徵、結構、或特性時,應認為無論是否明確地說明,其在本領域之熟知技藝者的理解內能影響這類與其他實施例關聯之特徵、結構、或特性。
儲存通道
如上所述,惡意軟體會攻擊儲存資料並會破壞對儲存系統的作業系統呼叫。下面說明的是在應用軟體和安全儲存系統之間產生一安全通道的系統,其中安全儲存系統藉由加密傳送給安全儲存系統之資料並儲存超過作業系統之可存取性之資料來隱藏資料儲存器。第1圖顯示包括安全儲存器114的系統102之實例。在第1圖中,電腦系統102包括儲存系統106、作業系統104、獨立軟體應用程式130、顯示器128、及硬體切換器142。在一實施例中,電腦102耦接後端伺服器148,其中後端伺服器148係用來授權儲存特徵或用來下載付費內容(例如,數位版權管理架構所管理的內容)。在一實施例中,作業系統104用來控制用於電腦102之一或多個程序及/或應用程式的執行。作業系統104之實例在本領域中是已知的(微軟、蘋果麥金塔電腦OS X等)。在一實施例中,作業系統104 包括私用軟體開發者套件(SDK)126、檔案系統124、驅動程式堆疊122、及應用程式144。在一實施例中,檔案系統124係為在用來管理儲存在儲存器106中之檔案的領域中已知的檔案系統。例如且在一實施例中,檔案系統124係使用驅動程式堆疊122來組織儲存器106中之資料的方法。在一實施例中,驅動程式堆疊122是一組用來與儲存器106一起運作的驅動程式。驅動程式堆疊122可包括多個為驅動程式之形式的軟體層,其呈現不同的功能作用並扮演在應用程式/程序與一或多個儲存裝置之間的全部介面。
應用程式144是在作業系統104中運轉的應用程式。應用程式的一個實例會是電子郵件客戶、文字處理器、影像管理、媒體管理、防毒、作業系統功能等、或任何如本領域所知的其中應用程式類型。如本領域所知,每個應用程式可使用檔案系統124和驅動程式堆疊122來與儲存系統106互動。
在一實施例中,儲存器106包括儲存韌體120、單晶片系統(SOC)108、記憶體110、及儲存區112。在一實施例中,儲存器會是本領域中已知的任何儲存器類型(固態硬碟(SSD)、硬碟(HD)、隨身碟(FD)等)。在一實施例中,單晶片系統108是包括處理器和用來支援儲存器106之其他電路的晶片。SOC 108的實例更於下方的第21圖中說明。在一實施例中,記憶體110是用來暫時儲存資料的記憶體。儲存韌體120是用來操作並管理儲存器 106之不同功能的韌體。
在一實施例中,儲存器包括一信任應用程式介面(API)146和一信任系統韌體118。在一實施例中,信任API 146會被執行在作業系統或ISV應用程式130中的程序使用以存取儲存區112的安全儲存器114。在一實施例中,安全儲存器114不可透過檔案系統124和驅動程式堆疊122被作業系統看見。而是使用信任API 146來存取安全儲存器114。信任系統韌體118是用來管理安全儲存器114的韌體。在此實施例中,信任API 146會被本地或遠端實體使用以產生在實體與安全儲存器之間的通道。通道係用來在實體與安全儲存器之間安全地傳送資訊。例如一實施例,ISV應用程式產生通道150B通過信任API 146和信任系統韌體118至安全儲存器114。
在一實施例中,安全儲存器114係用來儲存重要資料(例如,防毒定義檔案、數位版權管理內容、財務資料、作業系統元件等),而能啟動儲存特徵、或安全地下載在作業系統之外的資料、或任何其他類型的安全儲存器。在一實施例中,安全儲存器114儲存作業系統看不到的資料。例如且在一實施例中,安全儲存器114係位在超過作業系統及/或透過檔案系統124和驅動程式堆疊122存取儲存器106之應用程式可用之最大可定址儲存的儲存位置。儘管在一實施例中,安全儲存器114實際上與一般儲存器116分開,但在替代實施例中,安全儲存器114是一般儲存器116的一部分。
在一實施例中,儲存區112包括安全儲存器114和一般儲存器116。在一實施例中,一般儲存器116是被作業系統104存取並具有定義在一般儲存器116之上方之檔案系統124的儲存器。在此實施例中,作業系統104透過驅動程式堆疊122存取在一般儲存器116中的檔案及/或其他資料。例如且在一實施例中,應用程式144(或其他為作業系統的應用程式)能透過檔案系統124和驅動程式堆疊122存取在一般儲存器116中的檔案。
如上所述,除了透過信任API 146之外,應用程式是無法看到安全儲存器114中的資料。在一實施例中,ISV應用程式130使用通道150B(經由防惡意軟體套件132、私用SDK 126、信任API 146、及信任系統韌體118)存取安全儲存器114。例如且在一實施例中,ISV應用程式130是能使用防惡意軟體套件132和信任操作134來安全地下載由數位版權管理所管理的付費內容之代理器。在一實施例中,信任操作134是與安全儲存器114的信任操作,如信任讀取及/或信任寫入。在此實施例中,信任讀取/寫入意味著請求操作之實體的身分是已知且信任的。在另一實施例中,應用程式130是被授權使用通道來安全地與安全儲存器114傳送資料的代理器,如下面所述。
如上所述,作業系統104或在作業系統104中執行的應用程式看不到儲存在安全儲存器114中的資料。因此,作業系統104和應用程式144皆無法觀看、修改、或刪除儲存在安全儲存器114中的資料。在一實施例中,本架構 係用來使資料免受到可能想改變、修改、或刪除儲存在安全儲存器114中之資料的潛在惡意軟體。
例如且在一實施例中,如作業系統104之主開機記錄或其他重要作業系統104元件的資料會儲存在安全儲存器114中並鎖住,使得潛在惡意軟體作用無法讀取、修改、或刪除這些重要的作業系統元件。在另一實施例中,如防毒定義資料、財務資料等的重要使用者資料能儲存在安全儲存器114中,如此防止惡意程序(例如,惡意軟體、病毒等)存取、修改或刪除重要使用者資料。在一實施例中,使用者資料不是為部分之作業系統的資料。
如上所述,能形成通過私用SDK 126、信任API 146、及信任系統韌體118之在應用軟體(例如,ISV應用軟體130)與存取安全儲存器114之間的通道。如之後所述,此通道能以兩種方法來形成:(1)透過信箱架構,其中留出用來在應用程式與儲存系統之間通訊的邏輯區塊位址、或(2)能基於被儲存系統支援的信任傳送和接收來形成通道。儘管在一實施例中,通道150A係形成在安全儲存器114與執行在包括安全儲存器114之同一個電腦上的應用程式之間,但在另一實施例中,通道150B能形成在儲存系統與通過網路耦接電腦102的後端伺服器148之間。在本實施例中,信任系統韌體118(通過信任API 146)產生自己的網路連線,其用來與後端伺服器148傳遞資訊。例如且在一實施例中,信任系統韌體118能用來產生通道,這樣後端伺服器148就能下載DRM內容至 儲存器106的安全儲存器114。這個於下方第7-10圖中更加說明。
如上所述,第2A和2B圖顯示使用通道將資訊傳給安全儲存系統之代理器的實例。在第2A圖中,經授權的代理器(執行作業系統)202使用信箱基礎的通道來安全地與安全儲存系統204通訊。在一實施例中,安全儲存系統204是如上方第1圖中之方塊114所述的安全儲存器。在一實施例中,代理器202被授權來與安全儲存器204通訊。在一實施例中,通道係基於架構中的信箱,其中安全儲存系統204的請求動作被寫至安全儲存系統204中的專用區,即動作邏輯區塊位址(LBA)206。使用為安全儲存系統204之專用區的結果LBA 208來傳送請求動作的結果。在一實施例中,這些邏輯區塊位址超出最大可定址儲存器。在最大儲存位址之下的儲存位址能被如第1圖所示之作業系統104的作業系統看到。因為LBA 206和208皆超過可被作業系統存取的最大位址空間,因此作業系統看不到這些LBA(及儲存在LBA中的資料)。
在此實施例中,代理器202能使用通道210來存取資料或寫入來自這些LBA的資料。如進一步於下方所述,動作LBA 206用來將動作請求傳給儲存系統204。在一實施例中,這些動作請求會包括些寫入、讀取、及/或通道配置命令或其他如本領域所知的其他命令,用來存取或管理在儲存系統中的資料。這些命令的結果會儲存在結果LRA 208中。
例如且在一實施例中,代理器202希望將資料寫至安全儲存系統204。在本實施例中,代理器202將寫入命令寫至動作LBA 206並將代理器202希望儲存的資料寫進結果LBA 208中。安全儲存系統204處理儲存在動作LBA 206中的命令並藉由更改寫至結果LBA 208之資料的方向來將資料儲存在動作LBA 206中所指的位置中。在另一實施例中,代理器202希望從安全儲存系統204讀取資料。在本實施例中,代理器202將讀取命令寫進動作LBA 206中。安全儲存系統204處理讀取命令並更改待讀取之資料的方向,猶如來自結果LBA 208。代理器202從結果LBA 208讀取資料以完成讀取命令。在一實施例中,信箱基礎的通道210會根據許多不同的儲存協定(例如,信任傳送/接收、超載寫入/讀取、公同儲存管理介面(CSMI)等)建立。使用信箱通道與安全儲存系統通訊的代理器會於下方第3A-6圖中更加說明。
如上所述,安全儲存系統能基於聯繫系統與代理器的信任傳送來使用通道。在第2B圖中,在OS 252中授權的代理器使用基於信任傳送功能的通道256來安全地與安全儲存系統254通訊。在一實施例中,通道256會基於安全SATA的信任傳送功能。在此實施例中,安全儲存系統254中的代理器會與安全儲存系統254議定一個能用來來回傳送信息的通信金鑰。在一實施例中,議定的通信金鑰係用來加密/解密儲存在使用通道256所傳送之每個信息中的資料。使用信任傳送型通道256與安全儲存系統 254傳遞資訊的代理器252會於下方第7圖中更加說明。
第3A和3B圖顯示使用信箱將資訊傳給安全儲存系統之代理器的實例。在第3A圖中,在OS中授權的代理器302將命令寫至動作LBA 304以隨著安全儲存初始動作308。在一實施例中,寫至動作LBA之動作308包含幾個欄位:授權信息欄位306A、命令碼306B、命令序號306C、運算子306D、及封包完整性306E。在一實施例中,授權信息欄位306A包括用來識別和授權代理器302所請求之動作的資料。例如且在一實施例中,授權信息欄位306A包括專用於在代理器302與安全儲存器之間傳遞之資料的私密金鑰。
在一實施例中,命令碼306B是指出什麼類型的命令會寫至動作LBA 304的代碼。例如且在一實施例中,命令碼會是寫入、讀取、組態的代碼、及/或一些其他命令碼用來表示可在代理器和儲存系統之間使用的另一動作類型,用來存取或管理儲存在儲存系統中的資料。在一實施例中,命令序號306C是能用來識別一特有命令信息的號碼。在一實施例中,運算子306D是發信給韌體的旗標或位元以採取與特定命令類型關聯的某種特有動作。在一實施例中,封包完整性306E是用來確保寫至動作308A之資料的完整性。例如且在一實施例中,封包完整性306E中的資料會是檢查和或確保資料被正確寫至動作LBA 304的一些其他形式之資料。
在第3B圖中,在OS中授權的代理器352從結果 LBA 354讀取資料以取得寫至動作LBA之動作的結果358。在一實施例中,結果LBA 354具有授權信息356A、命令碼356B、命令順序356C、運算子356D、及資料356E之欄位。在一實施例中,認證信息356A、命令碼356B、命令順序356C、及運算子356D進行與上方第3A圖所述相同的功能。再者,在一實施例中,資料356E用來傳送因原本寫至動作LBA之動作產生的資料。在另一實施例中,根據結果的資料被不同地取得(例如,直接通過安全通道等)。例如且在一實施例中,資料356E包括從讀取取得的資料。在其他實施例中,資料356E會包括其他資料,如回傳碼、錯誤碼或其他會由於寫至動作LBA之命令而傳遞的資料類型。
第4圖顯示使用信箱與代理器傳輸資訊之方法400的實施例。在一實施例中,安全儲存系統(例如,如上面第1圖所述之安全儲存器114)執行方法400以處理寫至動作LBA的命令。在第4圖中,方法400藉由在方塊402中建立動作和結果LBA來開始。在一實施例中,方法400配置動作和結果LBA來與被授權與安全儲存器通訊的代理器通訊。例如且在一實施例中,方法400配置一動作LBA和結果LBA,其超出作業系統能存取之最大位址的最大讀取。藉由具有系統看不到的動作和結果LBA,需要希望經由動作結果LBA來傳遞資訊的任何代理器來通過如通道之通訊的替代頻道以使用動作和結果LBA。在一實施例中,方法400使用不同對的動作和結果LBA用於想與 安全儲存器通訊的不同代理器。在另一實施例中,方法400建立能用於多於一個代理器的動作和結果LBA。
在方塊404中,方法400監控動作LBA以判斷動作是否已寫入動作LBA,以初始與安全儲存系統的動作。在一實施例中,代理器寫入動作(例如,寫至如上方第3A圖中的動作LBA 304)來進行讀取、寫入、或其他類型與安全儲存系統的動作。在一實施例中,方法400藉由對特定位元樣式掃描和分析進來命令來監控動作LBA。在方塊406中,方法400判斷資料是否寫至動作LBA。若資料已寫至動作LBA,則在方塊408中,方法400取得寫至動作LBA的命令。在一實施例中,寫至動作LBA的資料具有如上方第3A圖所述之欄位306A-E的資料結構。方法400在方塊410中處理取得的命令。處理寫至動作LBA的取得命令會在下方第5圖中更加說明。執行繼續進行至上面的方塊404。若在方塊406中沒有資料寫至動作LBA,則執行繼續進行至上面的方塊404。
第5圖顯示用來處理信箱通訊命令之方法500的實施例。在一實施例中,方法500被上面方法400在方塊410中執行。在第5圖中,方法500在方塊502中藉由解碼命令來開始。在一實施例中,方法500藉由從命令取得授權信息來解碼命令。在一實施例中,方法500藉由分析授權信息來判斷是否命令是經授權的。在一實施例中,若授權失敗,則忽略信息,而若發現授權是有效的,則信息起作用。例如且在一實施例中,方法500從命令取得授權信息 並證實信息為從授權代理器取得的有效信息。在一實施例中,與安全儲存系統通訊的每個代理器具有一組唯一的認證憑證,其用來識別代理器並用來加密/解密命令的內容和結果。再者,方法500使用認證信息來解密命令中的資料。若命令是經授權的,則方法500將命令分割成如上方第3A圖所述的分開欄位。
在方塊504中,方法500判斷命令是否為寫入命令。在一實施例中,方法500藉由檢閱命令碼欄位(例如,如上方第3A圖所述的命令碼欄位306C)中的資料來判斷命令的類型。若命令是寫入命令,則在方塊510中,方法500將待寫進結果LBA的資料導向命令所指的儲存位置。例如且在一實施例中,代理器想將資料寫至安全儲存系統的磁區2000。在本實例中,代理器將命令寫至資料待儲存在磁區2000的動作LBA。再者,方法500解碼命令為寫入命令以決定待寫至結果LBA的資料會被寫至磁區2000。方法500偵測這個對結果LBA的寫入並將此寫至結果LBA的資料重新導向安全儲存系統的磁區2000。
若命令不是寫入命令,則在方塊506中,方法500判斷命令是否為讀取命令。在一實施例中,方法500藉由詢問命令的命令碼來判斷命令是否為讀取命令。若是,則方法500在方塊512中再改變讀取從結果LBA至儲存位置。例如且在一實施例中,若讀取命令是從安全儲存系統的磁區1000讀取資料,則方法500解碼命令以確定讀取是從磁區1000開始以及待讀取的資料量。方法500重新 導向進來的結果LBA之讀取以從磁區1000到結果LBA讀取正確的資料量。在本實例中,初始讀取命令的代理器從結果LBA讀取資料且方法500從所欲之磁區重新導向此讀取。
若命令不是讀取命令,則在方塊508中,方法500判斷命令是否是配置命令。若此命令是配置命令,則方法500根據命令中的資料來配置通道。若命令不是配置通道命令,則在方塊516中,方法500採取替代動作。在一實施例中,方法500可忽略命令、在結果LBA儲存錯誤碼以指出命令是不知道的、或採取如本領域所知的其他動作。
如上所述,代理器和安全儲存系統有兩個不同方法可使用通道來在代理器和安全儲存系統之間傳輸資訊。如上所述,其中一個方法係基於信箱架構,其使用動作和結果LBA來安全地在代理器和安全儲存系統之間傳輸資訊。這類型的架構能被如本領域所知的許多不同儲存通訊協定(SATA、ATA、e-SATA、通用序列匯流排(USB)、Thunderbolt、PCI等)使用。另一方法是使用儲存通訊協定的信任傳送和接收功能(「信任傳送功能」)在安全儲存器中的代理器之間建立通道。在一實施例中,代理器和安全儲存系統使用安全SATA協定的信任傳送功能以議定在代理器和安全儲存系統之間的通信金鑰。
第6圖顯示用來處理使用安全序列先進技術附件(SATA)所傳送之通道信息之方法的實施例。在一實施 例中,方法600被安全儲存系統(例如,上方第1圖的安全儲存器114)執行以安全地與代理器傳輸資訊。在第6圖中,方法600在方塊602中藉由使用安全SATA信任傳送功能與代理器建立通道來開始。在一實施例中,代理器會與方法600議定一個通信金鑰,其對代理器和方法600是唯一的,如此資料便能安全地在使用通信金鑰的代理器和方法600之間傳遞。在一實施例中,通信金鑰係用來識別代理器給方法600,並加密/解密使用通道所傳送的資料。儘管在一實施例中,方法600使用安全SATA的信任傳送功能,但在替代實施例中,能使用提供信任傳送功能的另一儲存協定來在代理器和安全儲存系統之間建立通道。
在方塊604中,方法600從代理器接收信息。在一實施例中,信息包括識別信息是源自代理器的認證資料,並包括能用來解密信息中之資料的認證憑證(如通信金鑰)。例如且在一實施例中,信息能包括如議定通信的認證資料以及使用此金鑰來加密的資料。再者,在方塊604中,方法600解密包含在信息中的資料,如此方法600能進一步地處理收到的信息。
在方塊606中,方法600判斷收到的信息是否是寫入信息。若是,則方法600在方塊612中處理寫入信息。在一實施例中,方法600藉由判斷待寫入哪個資料和資料待寫至何處,並使用根據信息寫入之位置和資料來寫入資料來處理寫入信息。例如且在一實施例中,若寫入信息指出 100位元組的資料欲寫至安全儲存系統的磁區2000,則方法600從信息承載資料取得100位元組的資料並將此100位元組的資料儲存至安全儲存系統的磁區2000。此外且在一實施例中,方法600透過通道回傳指出寫入結果(例如,成功、失敗等)之信息給代理器。
若收到的信息不是寫入信息,則在方塊608中,方法600判斷收到的信息是否是讀取信息。若收到的信息是讀取信息,則在方塊614中,方法600處理讀取信息。在一實施例中,方法600取得讀取的位置和從此位置讀取的資料量。例如且在一實施例中,方法600接收一讀取信息,其表示應從安全儲存系統的磁區1000讀取200位元組的資料。在本實施例中,方法600會從磁區1000讀取200位元組的資料。再者,方法600將具有從磁區1000讀取之200位元組的資料之信息回傳給代理器。在本實施例中,方法600使用議定的通信金鑰來加密資料並將加密資料儲存在信息中以回傳給代理器。此外,方法600使用形成的信息將此資料回傳給代理器。
若在方塊604中收到的信息不是讀取信息,則在方塊610中,方法600判斷收到的信息是否是配置通道信息。若收到的信息是配置通道信息,則在方塊616中,方法600根據信息中的配置參數來配置通道。在一實施例中,根據收到的配置通道信息來配置通道之後,方法600將一回傳信息回傳給代理器,指示此信息中的命令之成功或失敗。若收到的信息不是配置通道信息,則在方塊618中, 方法600進行其他動作(例如,丟掉收到的信息、回傳信息表示收到的信息是不知道的、等)。
可鎖儲存器
第7-10圖說明用來鎖住在儲存裝置級的儲存器之系統及方法,如此儲存資料無法被可在作業系統中執行的程序(例如,惡意軟體、病毒等)修改。例如,若使用者想打開檔案或存取使用者不信任的資料(例如,電子郵件附件、從未知網站來的執行檔等),使用者如何能確保檔案或資料不會侵染或以其他方式損害現有的儲存資料呢?使用者可能不信任許多應用程式或執行檔,因為惡意軟體很容易會出現在下載資料中。使用者當在不安全環境下操作時(如當打開不信任檔案時)可能具有想要保護的個人資料。
當在不安全的地區時,有些使用者可關閉電腦的無線網路卡以防止被附近的惡意駭客攻擊。同樣地,儘管系統上有惡意軟體,使用者可能想要打開不信任檔案,同時使個人、機密資料無法存取或鎖住。因此,「資料安全模式」是有用的,例如在你的膝上型輕便電腦上有一外部開關以鎖住系統上之重要資產(作業系統檔案、如信用卡資訊、密碼及其他機密私人資訊的可組態資料)或在開機期間鎖住作業系統之重要元件的能力。
第7圖顯示包括可鎖儲存器的系統之實例。在第7圖中,電腦700與第1圖的電腦102類似,除了電腦700包 括可鎖儲存器702,其可被鎖住以防止資料儲存在鎖住區中。在一實施例中,可鎖儲存器是一般儲存器116的一部分。在另一實施例中,可鎖儲存器是安全儲存器114的一部分。在一實施例中,可鎖儲存器用來儲存重要的作業系統元件(主開機記錄、驅動程式、其他作業系統檔案等)。在另一實施例中,使用者可將資料儲存在可鎖儲存器,如防毒資料定義、財務記錄、個人項目(照片等)、及/或其它重要資料。
例如且在一實施例中,會有兩類型的儲存器,安全儲存器和修改鎖住儲存器。在一實施例中,安全儲存器本身由兩個模式組成:固定,永遠在安全儲存器上,其不可被一般使用者存取且透過一般儲存存取方法(例如,作業系統呼叫儲存)隱藏;以及在驅動程式之正常可定址範圍中有可配置安全儲存器。在驅動程式之正常可定址範圍中的可配置安全儲存器會是特定LBA範圍,其已被使用者配置關於欲保護驅動程式的哪個部分。在一實施例中,任一類型的安全儲存器不允許與此類型之儲存器的一般寫入和讀取,而允許與安全儲存器的認證讀取或寫入。
作為另一實例且在另一實施例中,對於修改鎖住儲存器,任何人能讀取在此區中的資料,但只有經認證的實體(對此區的驅動程式)能修改在此區中的資料。在此實施例中,可鎖儲存器會是安全儲存器或修改鎖住儲存器的可配置範圍,因為固定的安全儲存器不管怎樣都不可被一般使用者存取。在又一實施例中且除了鎖住儲存器之外,可 利用實體切換器(例如,用於上方第1圖的硬體切換器142)來在切換器是打開時作出即使連經認證的使用者都無法存取之「永遠啟動」的安全儲存器。在一實施例中,對所有人鎖住安全儲存器實際上是一種有用特徵,因為許多惡意軟體可能(通常)會攻擊可進行安全儲存存取的其他信任應用程式。
在一實施例中,可能有兩種方法來鎖住可鎖儲存器。在一實施例中,使用者能藉由使用在作業系統之控制外的切換器來啟動上鎖。在此實施例中,這動作產生將透過信任API 146和信任韌體118來傳送的系統中斷以鎖住可鎖儲存器702。如上所述,上述能用來鎖住重要的使用者檔案,如防毒資料檔案、財務檔案、及個人檔案。使用者上鎖機制於下方第10圖中更加說明。在另一實施例中,在可鎖儲存器中的資料能被作業系統鎖住。在一實施例中,作業系統在開機期間選擇性地鎖住不同部分的可鎖儲存器。本實施例能用來在電腦開機期間鎖住重要的作業系統資料(包括主開機記錄、及其他重要作業系統元件)。
第8圖顯示用來選擇性地鎖住儲存在可鎖儲存器中的作業系統資產之方法的實施例。在第8圖中,方法800藉由初始電腦開機順序來開始。在一實施例中,電腦開機順序是一連串使電腦從停機狀態到完全運作狀態的動作。在方塊804中,方法800存取電腦的主開機記錄並開始開機加載程序。在一實施例中,主開機記錄(MBR)包含用於開機加載作業系統的資訊。在一實施例中,MBR是單一 512位元組的磁區。
在方塊804中,方法800將信號傳給安全儲存系統以鎖住主開機記錄。在一實施例中,方法800鎖住儲存主開機記錄之可鎖儲存器的磁區。藉由鎖住儲存主開機記錄的特定磁區,就無法透過執行在作業系統中的程序(如惡意軟體)來修改這些磁區(及主開機記錄本身)。在另一實施例中,開機順序是基於使用者可延伸韌體介面(UEFI)。在此實施例中,UEFI是另一種啟動系統的方法。UEFI類似於MBR基礎的開機,但更複雜。在UEFI中,有啟動系統的開機管理者用來開機。例如,UEFI開機使用全球唯一識別碼(GUID)分區表(GPT),其類似於MBR,但是為不同格式且不是單一磁區(例如,MBR的LBA 0),GPT開始時就佔用34或35的磁區且於驅動程式結束時佔用34或35個磁區。在此實施例中,方法800在方塊802中會鎖住儲存GPT的相關磁區。
在方塊808中,方法800繼續開機加載程序,並當不再需要寫入作業系統元件時選擇性地鎖住儲存作業系統元件的磁區。在一實施例中,會有複數個重要的作業系統元件儲存在可鎖儲存器中,且這些作業系統元件之各者能儲存在可鎖儲存器之相同或不同的磁區中。複數個重要的作業系統元件能包括整個作業系統或作業系統之子集。由於使用並不需寫入這些作業系統元件,所以方法800鎖住與作業系統元件關聯的磁區。在一實施例中,方法800藉由傳送必須鎖住可鎖儲存器之某些磁區的信號給儲存系統來 鎖住這些磁區。在一實施例中,方法800經由通道來傳送信號,如關於上方第1-6圖所述。
在方塊810中,方法800確定完全啟動作業系統,且已鎖住重要的作業系統元件以防止進一步的修改。在一實施例中,進一步鎖住一些或所有的重要作業系統元件以防止讀取。在此實施例中,鎖住讀取存取安全儲存器能用來鎖住讀取存取驅動程式儲存在驅動程式上之某些類型的金鑰(例如,載入記憶體(且可能在記憶體中保護)的金鑰,且作業系統不再想讓此金鑰能從驅動程式讀取)。
在一實施例中,可鎖儲存器係鎖在儲存級,使得用來撤銷這些磁區之不可改變狀態的任何作業系統命令會被忽略。在一實施例中,寫入鎖住會在儲存裝置的韌體(例如,上方第1圖的儲存韌體120及/或信任系統韌體118)內維護一個保護區的表,並拒絕任何未經授權的試圖寫入那些區。在另一實施例中,寫入鎖住會藉由在儲存裝置的韌體內維護一個保護區的表來實作,並拒絕任何未經授權的試圖寫入那些區。
在方塊812中,試圖侵染或以其他方式修改這些鎖住之作業系統檔案會失敗,因為裝置韌體防止修改防止對這些作業系統檔案的任何修改。在一實施例中,若鎖住驅動程式的特定區,則儲存韌體會監控試圖寫至「鎖住」LBA的進來寫入命令,並當產生上述試圖時回傳寫入錯誤。在另一實施例中,儲存韌體將寫入試圖的資料重新導向特殊隔離區以進一步分析。在這些實施例中,一般會修改或替 代鎖住磁區上的鎖住作業系統檔案的一般作業系統命令將會失敗,因為裝置韌體防止修改撤銷作業系統或其它應用程式能使用的儲存存取命令。
如上所述,作業系統的某些元件將被鎖住,如此它們能不再被一般作業系統元件修改。儘管在許多情況下,這是有利的情況,因為拒絕了惡意軟體、病毒等侵染這些作業系統檔案。但問題在於這些作業系統檔案需要修改多次。在一實施例中,作業系統升級將可能需要修改在可鎖儲存器中鎖住的作業系統檔案。
第9圖顯示用來升級具有儲存在可鎖儲存器中的作業系統資料之作業系統之方法900的實施例。在一實施例中,作業系統升級將可能需要修改在可鎖儲存器中鎖住的作業系統檔案。在第9圖中,方法900是藉由使用已與儲存系統(如上方第1圖所述之透過信任API 146的安全儲存器114)認證的應用程式介面(API)來升級作業系統的方法。藉由透過API通訊,儲存器上的鎖住保持在適當的地方,且方法900使用安全通道來存取在鎖住儲存器中的資料。這允許方法900能寫至被API之經認證使用者指定寫入的鎖住區,如此韌體會驗證改變是來自鎖住區之所有人,而非如惡意軟體的任何人。
方法900藉由接收命令以升級包括儲存一些或所有作業系統元件之鎖住檔案的作業系統來開始。在一實施例中,升級作業系統的命令是來自初始請求的使用者或如本領域已知之對升級作業系統的自動服務提供者請求。在方 塊904中,方法900建立與儲存系統的安全通道。在一實施例中,安全通道是使用信箱架構或使用STAT信任傳送和接收之議定通道之在安全儲存系統與代理器(如進行方法900的代理器)之間的安全通道,如上方第1-6圖所述。在方塊906中,方法900使用安全通道來升級作業系統。在一實施例中,方法900使用安全通道來升級需要在可鎖儲存器中升級的作業系統元件。在升級這些作業系統元件之後,方法900繼續升級如本領域已知的剩餘作業系統。在方塊908中,方法900重新啟動具有已升級之作業系統的裝置。
如上所述,電腦有兩個方法能鎖住儲存在可鎖儲存器中的資料。在一實施例中,作業系統在開機順序期間鎖住在可鎖儲存器中的資料。在另一實施例中,使用者初始可鎖儲存器的鎖住以鎖住一些或所有的使用者資料。在一實施例中,能使用任一種方法來鎖住資料。在另一實施例中,用來鎖住在可鎖儲存器中之資料的兩種方法皆為可用的。第10圖顯示用來鎖住使用者儲存器之方法1000的實施例。在第10圖中,方法1000藉由接收待儲存在可鎖儲存器中的資料來開始。在一實施例中,待儲存在可鎖儲存器中的資料是重要的使用者資料,如防毒定義資料、個人資料、財務記錄等。在方塊1004中,方法1000接收使用者鎖住組態。在一實施例中,此鎖住組態指明哪個資料會在可鎖儲存器中鎖住。儘管在一實施例中,組態是用來鎖住在可鎖儲存器中的所有資料,但在另一實施例中,組態 能指明某些檔案及/或可鎖儲存器的實體磁區應被鎖住。在一實施例中,鎖住組態是由使用者定義。在替代實施例中,電腦裝置的製造商會使用此機制以定義在使用者鎖住請求期間哪個資料會包括在可鎖儲存器中。
在方塊1006中,方法1000接收已啟動使用者鎖住的指示。在一實施例中,使用者可如本領域已知之藉由啟動用來鎖住的專用切換器、鍵盤組合(例如,ALT+F5等)、觸控順序(若使用觸控使用者介面的話)、或任何其他方式以對電腦指示命令來初始可鎖儲存器的鎖住。在方塊1008中,方法1000在電腦系統上觸發系統上之軟體正在聽取的系統中斷。在一實施例中,藉由觸發中斷,執行鎖住的方法1000便在作業系統控制之外。若惡意軟體、病毒等可能出現在電腦系統上,則這是有用的,如此惡意軟體無法令使用者啟動鎖住失效。
在方塊1010中,方法1000傳送信息給儲存系統以進行使用者鎖住。在一實施例中,方法1000使用在作業系統中執行方法1000之代理器與安全儲存系統之間的通道來進行使用者鎖住。在一實施例中,方法1000使用如上方第1-6圖所述的通道。在方塊1012中,方法1000指示完成了使用者鎖住。在一實施例中,方法1000在電腦系統的顯示器上顯示指示啟動使用者鎖住模式的圖符或其他圖像。
在方塊1014中,方法1000在使用者鎖住環境下執行應用程式。在一實施例中,使用者可啟動鎖住,這樣使用 者就能在可能包括惡意軟體、病毒、或其他可能損壞軟體的環境下執行檔案或取得檔案。藉由在使用者鎖住環境期間執行應用程式,便防止儲存在鎖住儲存器中的資料被修改,因為驅動程式機制防止作業系統程序(例如,惡意軟體、病毒等)修改或刪除鎖在可鎖儲存器內的資料。
在方塊1016中,方法1000接收使用者未鎖的指示。在一實施例中,使用者想要解開可鎖儲存器。在方塊1018中,方法1000傳送信息給儲存系統以進行使用者未鎖。在一實施例中,方法1000使用在執行方法1000之代理器與安全儲存系統之間的通道來進行使用者未鎖。在方塊1020中,方法1000指示已移除了使用者鎖住。在一實施例中,方法1000移除顯示在使用者之顯示器上之指示進行使用者鎖住的圖符或影像。
付費內容的安全下載和處理
線上媒體和串流是增大區且這個增加所有安全平台提供付費服務的需求以增加終端使用者體驗並為內容提供者打開分散內容的新頻道以幫助它們增加其整體消費市場(TAM)。現在,個人電腦(PC)平台並不認為夠健全地能使內容提供者(例如,NetflixTM、電影及/或電視台等)允許在計算裝置上下載及/或傳遞付費及最近內容(例如,電腦、機上盒、行動裝置等、及/或任何其他能夠接收及/或呈現內容的裝置)。內容提供者害怕由於剽竊和DRM違反而損失智慧財產。由於這些問題,內容提供者並 不擷取非常大的客戶段,其原本使用PC平台作為其娛樂中心。
此外,內容提供者和ISV亦想要確定它們的資料從起始點到消費點都是安全的,尤其是涉及對線上和串流內容之消費提供選擇陣列的娛樂裝置區段。
下面說明的是使內容提供者和ISV能夠藉由提高儲存平台之能力(例如,對最新電影、遊戲、音頻、書籍等的首要內容提供者)來在PC和替代平台上安全儲存並傳遞其內容的系統。系統亦將藉由使用儲存平台的安全儲存器和通道能力來提供安全執行以提供信任計算環境。此外,資料路徑從起始點通過安全通道到消費點都是安全的,藉此使對記憶體或平台中之暴露資料之窺視和DRM違反的風險降到最低。
第11圖顯示用來保全數位版權管理內容的系統1100之實例。在第11圖中,系統1100包括系統提供者/ISV 1102、平台代理器1104、儲存器1118、及圖形處理單元(GPU)/顯示器1112。在一實施例中,系統提供者/ISV 1102是提供受數位版權管理(DRM)保護之內容的實體。DRM保護內容之實例可以是視頻、音頻、影像、書籍、遊戲、軟體等、及/或任何在使用上受系統提供者/ISV 1102限制的內容類型。在一實施例中,系統提供者/ISV 1102包括用來下載DRM保護內容至平台代理器1104的伺服器。
在一實施例中,平台代理器1104包括作業系統 1106,這裡的平台代理器是電腦及/或如上方第1圖所述的裝置。在一實施例中,平台代理器1104建立與系統提供者/ISV 1102的信任根,如此系統提供者/ISV 1102能安全地下載DRM保護內容至平台代理器1104。再者,平台代理器耦接儲存器1118。在一實施例中,儲存器包括作業系統可見儲存器1108,這裡的作業系統可見儲存器1108包括關聯硬體和韌體。例如且在一實施例中,作業系統可見儲存器1108是如上方第1圖所述的一般儲存器116。再者,在一實施例中,儲存器1118包括用來安全地儲存DRM保護內容的作業系統看不見安全儲存器1110。例如且在一實施例中,作業系統看不見儲存器1110是安全儲存器114。
在一實施例中,平台代理器1104使用安全路徑1114A來儲存DRM保護內容至作業系統看不見安全儲存器1110。在一實施例中,安全路徑1114A是形成在平台代理器1104和作業系統看不見安全儲存器1110之間的通道。通道的實例在上方第1-6圖說明。平台代理器更經由安全路徑1114B來耦接GPU/顯示器1112。在一實施例中,安全路徑1114B是平台代理器1104與GPU/顯示器1112之間的通道。
第12圖顯示用來安全地儲存並處理數位版權管理內容之方法1200的實施例。在一實施例中,平台代理器1104執行方法1200以安全地儲存並處理DRM內容。在第12圖中,方法1200在方塊1202中藉由建立與系統提供者 /ISV(如上方第11圖所述的系統提供者/ISV 1102)的信任之安全根來開始。在一實施例中,系統提供者/ISV使用第三方供應伺服器來認證平台代理器作為信任代理器。例如且在一實施例中,系統提供者/ISV使用第三方(如第三方供應伺服器)所發行的金鑰或憑證來將平台代理器分類成信任代理器。藉由將平台代理器分類成信任代理器,方法1200建立與系統提供者/ISV的信任之安全根並進一步建立安全路徑以下載能用來儲存在安全儲存器中的DRM保護內容。
在方塊1204中,方法1200建立與安全儲存器的安全通道。在一實施例中,安全儲存器是作業系統看不見儲存器1110。在一實施例中,方法建立與如上方第1-6圖所述之儲存器的安全通道。在此實施例中,在安全儲存器和平台代理器之間的安全通道允許平台安全地下載DRM保護內容至安全儲存器。再者,方法1200建立在作業系統看不見儲存器和GPU/顯示器之間的通道。在一實施例中,使用金鑰交換機制來建立與作業系統看不見儲存器和GPU/顯示器的第二通道。
使用兩個通道,方法1200安全地執行下載並處理DRM保護內容。在一實施例中,方法1200安全地從系統提供者/ISV下載DRM保護內容至作業系統看不見儲存器。方法1200更解密並重新加密DRM保護內容,如此GPU/顯示器能處理此內容。安全執行下載並處理DRM內容會進一步於下方第13圖中說明。
第13圖顯示用來請求、儲存、和提供儲存DRM內容之方法1300的實施例。在第13圖中,方法1300在方塊1302中藉由提供ISV金鑰進安全儲存器中來開始。在一實施例中,方法1300藉由從憑證供應服務的遠端伺服器接收一客戶憑證來提供ISV公開金鑰。提供公開金鑰會進一步於下方第14圖中說明。在方塊1304中,方法1300接收對付費內容的請求。在一實施例中,付費內容是使用數位版權管理架構來管理的內容。例如且在一實施例中,付費內容可以是視頻、音頻、影像、書籍、文件、遊戲、軟體等、或任何能受數位版權管理保護的其他媒體類型。例如且在一實施例中,方法1300能用來使付費內容結合單一裝置,如存取此付費內容的裝置。
方法1300在方塊1306中允許發現DRM儲存保護。在一實施例中,DRM儲存保護是如上第1圖所述的安全儲存系統。DRM儲存保護允許內容提供者安全地儲存、傳遞、及/或以其他方式處理付費內容而無須害怕內容被複製、觀看及/或無權限而做成可用的。在方塊1308中,方法1300判斷是否支援DRM儲存保護。若不支援DRM儲存保護,則在方塊1320中,不允許付費內容在執行方法1300的裝置上被儲存。若在方塊1308中支援DRM儲存保護,則在方塊1310中,方法1300使用公開金鑰來認證。在一實施例中,公開金鑰是允許付費內容能從付費內容提供者或ISV(例如,如上第12圖所述的服務提供者/ISV 1202)下載的金鑰。在一實施例中,公開金鑰是在上方的 方塊1302中供應。在方塊1312中,方法1300與付費內容服務提供者/ISV議定一內容特定金鑰。在一實施例中,議定內容特定金鑰產生請求付費內容特有的金鑰。
在方塊1314中,方法1300將內容特定金鑰儲存在安全儲存器中。在一實施例中,方法1300使用通道至安全儲存系統以儲存特定內容金鑰。在方塊1316中,方法1300接收對應於付費內容之請求的加密內容。如上所述,加密內容可以是視頻、音頻、影像、書籍、遊戲、軟體等、或任何其他類型的DRM保護內容。再者,取得內容是被加密的且能使用在方塊1312中取得的內容特定金鑰來解密。在方塊1318中,方法1300將加密內容及關聯內容元資料儲存在安全儲存器中。在一實施例中,方法1300使用在執行方法1300的代理器與安全儲存器之間的通道來安全地儲存加密內容及關聯元資料。在一實施例中,元資料是描述加密內容的資料(例如,標題、藝術家、作者、類型、長度、大小、編碼、等、及/或如本領域所知之關聯於付費內容的其他參數)。
在方塊1320中,方法1300從代理器接收對加密內容的請求。在一實施例中,代理器是軟體實體,其是在內容提供者和安全儲存系統之間安全交易的一方。在一實施例中,代理器進一步於上方第12圖中說明。在方塊1322中,方法1300經由使用路徑保護公開金鑰與顯示/音頻建立的信任協定之根來解密加密內容並重新加密此內容。藉由以信任協定之根來重新加密內容,便能使用與顯示/音 頻的通行保護公開金鑰來觀看下載的付費內容。在方塊1324中,方法1300使用通行保護金鑰來解密重新加密的內容。
如上所述,客戶為了接收付費內容,客戶將需要信任的根。第14圖顯示包括請求且假定為一信任根之客戶的系統1400之實例。在第14圖中,客戶1402是能從ISV/伺服器1404請求付費內容的客戶,這裡的ISV/伺服器1404從供應伺服器1406請求一供應金鑰給客戶1402。代理器1420使用系統1400來安全地下載及顯示、執行等付費內容。
在第14圖中,客戶請求來自ISV/伺服器1404的付費內容(1408)。在一實施例中,客戶1402包括安全儲存器1422。因應於接收對付費內容的客戶請求,ISV/伺服器1404在客戶1402上安裝代理器1420在安全儲存器中並與代理器1420通訊以確定客戶1402(1410)的能力。此外,ISV/伺服器1404以公開金鑰來簽署此信息。
在安全儲存器中的代理器1420以驅動能力回傳信息給ISV/伺服器1404(1412)。回應地,ISV/伺服器1404在1414中判斷儲存器是否是DRM保護儲存器。若儲存器是DRM保護儲存器,則ISV/伺服器1404藉由簽署信息並傳送已簽信息給供應伺服器1406來請求供應金鑰。在一實施例中,供應伺服器1406提供此供應金鑰。此外,供應伺服器1406使用供應伺服器1406的私密金鑰來簽署供應金鑰。供應伺服器1406可能是第三方供應伺服器或可 屬於部分的ISV。供應伺服器1406傳送供應金鑰給ISV/伺服器1404。
因應於接收供應金鑰,ISV/伺服器1404在1418中以供應金鑰提供ISV公開金鑰。在一實施例中,ISV公開金鑰對客戶來說是唯一的。在一實施例中,ISV公開金鑰對用於此客戶的ISV/伺服器1404來說是唯一的。在一實施例中,ISV/伺服器1404使用安全儲存器1422的代理器1420來認證客戶1402並儲存公開金鑰。在一實施例中,ISV公開金鑰是儲存在客戶1402的安全儲存器1422中。在此順序的尾端,ISV/伺服器1404將供應公開金鑰儲存在客戶1402的安全儲存器1422中,且可進行如方法1300所提之剩餘步驟來下載並處理付費內容。
增值儲存服務的啟動和定價
硬碟機公司一直努力地定建立在其硬體中之特徵和能力的價值。在努力將不同模型之數量降至最低並包含多個不同模形下,儲存公司可停止銷售最小公分母價錢的硬體,其接著負面地影響儲存公司的獲利能力。這是因為儲存公司無法在不產生次要收益來源的領域中安全地啟動及/或取消裝置的增值儲存服務。在一實施例中,取消會將實體資源(例如,儲存裝置)的管理權從一個服務提供者轉換至另一個。例如且在一實施例中,製造商A會取消對特定裝置的管理服務,而製造商B會對同一個裝置啟動新服務。可能的增值儲存服務能包括額外的儲存能力、防盜 技術、安全儲存、儲存裝置加密、等等。
第15圖顯示包括請求且假定啟動增值儲存服務之客戶1502的系統1500之實例。在第15圖中,系統1500包括對ISV/伺服器1504請求啟動(及/或取消)增值儲存特徵的客戶1502。反應於接收客戶1502請求,ISV/伺服器1504傳送請求給供應伺服器1506以判斷此請求是否授權給客戶1502。在一實施例中,可能的增值儲存服務可包括對客戶的額外儲存能力、允許儲存在客戶1502上的DRM付費內容、防盜技術、安全儲存等。在一實施例中,供應伺服器1506判斷客戶1502是否被授權啟動所請求的增值儲存特徵。若是,則供應伺服器1506傳送授權給ISV/伺服器1504。ISV/伺服器1504在用來產生對可能增值儲存服務之許可的情求之客戶1502上安裝代理器1508。藉由供應公開金鑰和代理器給客戶,便為客戶產生了信任的安全根。
一旦建立了信任的安全根,執行在客戶1502上的應用程式可使用代理器1508來請求對增值儲存服務的許可。在此實施例中,代理器1508反應於從此應用程式接收對增值儲存服務許可的請求而傳送請求給ISV/伺服器1504。在一實施例中,ISV/伺服器1504轉送此請求給供應伺服器1506。供應伺服器1506授權許可請求並將此授權回傳給ISV/伺服器1504。ISV/伺服器1504從供應伺服器1506接收授權並發出對所請求之增值儲存特徵的許可給客戶1502。代理器1508如何關聯於客戶地運作會進一 步於下方第16圖中說明。
第16圖顯示透過具管理能力引擎1614來請求對增值儲存特徵之許可的應用程式之實例。在第16圖中,電腦1606包括客戶1608、OS 1612、及具管理能力引擎1614。在一實施例中,具管理能力引擎1614是如上第15圖所述的代理器。在一實施例中,客戶1608請求包括產生對增值儲存服務之許可之請求的應用程式1610A。在此實施例中,客戶1608包括用於許可的應用程式1610A、ISV客戶1610B、ISV代理主機1610C、及主機嵌入式控制器介面(HEC)1610D。客戶1608的這些元件係用來產生應用程式許可請求1602給具管理能力引擎1614。在一實施例中,OS 1612是本領域已知的作業系統且更於上方第1圖中說明。
在一實施例中,具管理能力引擎1614包括小型應用程式1616A、JVM核心1616B、JVM ISV外掛程式1616C、及ISV核心1616D。在一實施例中,客戶1608產生對增值儲存服務許可的請求經過ISV核心1616D、ISV外掛程式1616C、JVM核心1616B至小型應用程式1616A。在一實施例中,客戶1608使用元件1610A-D以與具管理能力引擎1614通訊並產生與ISV/伺服器的許可請求。在一實施例中,小型應用程式1616A是用來對ISV/伺服器控制許可請求程序的應用程式。在一實施例中,JVM核心1616B是如本領域已知的JAVA虛擬機核心且用來執行小型應用程式1616A。在一實施例中,JVM ISV外掛程式1616C是運行在具管理能力引擎1614中的外掛程式並用來在ISV核心1616D和JVM核心1616B之間傳遞資料。
在一實施例中,ISV核心1616D是直接與遠端ISV/伺服器(如上方第15圖所述之遠端ISV/伺服器1506)通訊的模組。在一實施例中,ISV核心1616D包括TCP/IP網路堆疊,其允許ISV核心1616D能透過網際網路或一些其他網路協定來直接通訊以請求並接收用於許可的應用程式1610A正請求的許可。在一實施例中,具管理能力引擎1614是電腦1606之安全儲存的一部分。在此實施例中,具管理能力引擎1614是運轉在OS 1612外的程序且用來安全地傳遞並下載對儲存特徵的許可。請求許可會進一步於下方第17圖中說明。
第17圖顯示用來請求對增值儲存特徵之許可之方法的實施例。在第17圖中,方法1700開始供應ISV公開金鑰給客戶的安全儲存器。在一實施例中,供應ISV公開金鑰至安全儲存器中又於上方第14圖中說明。在方塊1704中,方法1700從應用程式接收對增值儲存特徵許可的請求。在一實施例中,增值儲存服務可以是視頻、音頻、影像、書籍、遊戲、軟體等。在方塊1706中,方法1700判斷是否支援用來啟動儲存服務的系統。例如且在一實施例中,若方法1700確定客戶具有安全儲存器來儲存所請求的許可,則客戶具有用來啟動儲存服務的系統。
若不支援用來啟動儲存特徵的系統,則在方塊1718 中,方法1700判斷不啟動儲存特徵。不採取其他動作。若支援用來啟動儲存特徵的系統,則在方塊1708中,方法1700使用公開金鑰來認證。在一實施例中,方法1700使用在上方方塊1702中儲存在安全儲存器中的公開金鑰來認證。在方塊1710中,方法1700接收並轉送對增值儲存服務的請求至儲存授權伺服器。在一實施例中,儲存授權伺服器是如上第15圖所示的ISV/伺服器1504。在此實施例中,安全儲存啟動對增值儲存特徵許可的請求並掌控此請求。
在方塊1712中,方法1700從儲存授權伺服器接收許可。方法1700在方塊1714中將所請求的許可儲存在安全儲存器中。在一實施例中,方法1700使用如上方第1-6圖所述之通道的通道來將許可儲存在安全儲存器中。在方塊1716中,方法1700提供許可給請求應用程式。在一實施例中,方法1700如上方第16圖所述地提供許可。
示範核心架構、處理器、及電腦架構
基於不同目的,處理器核心可以不同方式,且在不同處理器中實作。例如,上述核心之實作可包括:1)預期用於通用計算的通用有序核心;2)預期用於通用計算的高效能通用亂序核心;3)預期主要用於圖形及/或科學(生產量)計算的專用核心。不同處理器之實作可包括:1)CPU,包括一或多個預期用於通用計算的通用有序核心及/或一或多個預期用於通用計算的通用亂序核心;及 2)協處理器,包括一或多個預期主要用於圖形及/或科學(生產量)的專用核心。上述不同的處理器導致不同的電腦系統架構,其可包括:1)在與CPU分開之晶片上的協處理器;2)在與CPU相同封裝中的單獨晶粒上的協處理器;3)在與CPU相同之晶粒上的協處理器(在此情況下,這類協處理器有時是指專用邏輯,例如整合圖形及/或科學(生產量)邏輯、或稱為專用核心);及4)單晶片系統,可在相同晶粒上包括所述之CPU(有時稱為應用核心或應用處理器)、上述協處理器、及額外功能。在說明示範處理器及電腦架構之後接著說明示範核心架構。
示範核心架構 有序和亂序核心方塊圖
第18A圖係繪示根據本發明之實施例之示範有序管線和示範暫存器更名、亂序發出/執行管線兩者的方塊圖。第18B圖係繪示根據本發明之實施例之包括在處理器中的有序架構核心之示範實施例和示範暫存器更名、亂序發出/執行架構核心兩者的方塊圖。第18A-B圖中的實線框繪示有序管線和有序核心,而非必要附加的虛線框繪示暫存器更名、亂序發出/執行管線和核心。假定有序態樣係亂序態樣的子集,將說明亂序態樣。
在第18A圖中,處理器管線1800包括提取級1802、長度解碼級1804、解碼級1806、分配級1808、更名級1810、排程(亦稱為調度或發出)級1812、暫存器讀取/ 記憶體讀取級1814、執行級1816、寫回/記憶體寫入級1818、例外處理級1822、及提交級1824。
第18B圖顯示包括耦接執行引擎單元1850之前端單元1830的處理器核心1890,且這兩者都耦接記憶體單元1870。核心1890可以是精簡指令集計算(RISC)核心、複雜指令集計算(CISC)核心、超長指令集(VLIW)核心、或混合或替代的核心類型。作為另一選擇,核心1890可以是專用核心,例如,網路或通訊核心、壓縮引擎、協處理器核心、通用計算圖形處理單元(GPGPU)核心、圖形核心或之類。
前端單元1830包括耦接指令快取單元1834的分支預測單元1832,指令快取單元1834耦接指令轉譯後備緩衝器(TLB)1836,指令TLB 1836耦接指令提取單元1838,指令提取單元1838耦接解碼單元1840。解碼單元1840(或解碼器)可解碼指令,並產生一或多個微操作、微碼進入點、微指令、其他指令、或其他控制信號作為輸出,其根據原始指令來解碼、或以其他方式反射、或得到。解碼單元1840可使用各種不同機制來實作。適當的機制之實例包括,但不受限於查找表、硬體實作、可程式邏輯陣列(PLA)、微碼唯讀記憶體(ROM)等。在一實施例中,核心1890包括微碼ROM或儲存用於某些微指令(例如,在解碼單元1840中或在前端單元1830內)之微碼的其他媒體。解碼單元1840耦接在執行引擎單元1850中的更名/分配單元1852。
執行引擎單元1850包括耦接引退單元1854及一組一或多個排程單元1856的更名/分配單元1852。排程單元1856表示一些不同排程器,包括保留站、中央指令窗等。排程單元1856耦接實體暫存器檔案單元1858。實體暫存器檔案單元1858之各者表示一或多個實體暫存器檔案,每個儲存一或多個不同的資料類型,例如純量整數、純量浮點數、填充整數、填充浮點數、向量整數、向量浮點數、狀態(例如,待執行之下個指令之位址的指令指標)等。在一實施例中,實體暫存器檔案單元1858包含向量暫存器單元、寫入遮罩暫存器單元、及純量暫存器單元。這些暫存器單元可提供架構向量暫存器、向量遮罩暫存器、及通用暫存器。引退單元1854重疊實體暫存器檔案單元1858以顯示各種可實作暫存器更名和亂序執行的方式(例如,使用重排序緩衝器和引退暫存器檔案;使用未來檔案、歷史緩衝器、及引退暫存器檔案;使用暫存器映射及暫存器池等)。引退單元1854和實體暫存器檔案單元1858係耦接執行叢集1860。執行叢集1860包括一組一或多個執行單元1862和一組一或多個記憶體存取單元1864。執行單元1862可執行各種操作(例如,移位、加法、減法、乘法)及對各種類型的資料(例如,純量浮點數、填充整數、填充浮點數、向量整數、向量浮點數)執行。儘管一些實施例可包括一些專用於特定功能或功能組的執行單元,但其他實施例可只包括一個執行單元或全部執行所有功能的多個執行單元。顯示排程單元1856、實體 暫存器檔案單元1858、及執行叢集1860可能是複數個,因為某些實施例產生分開的管線用於某些類型的資料/操作(例如,純量整數管線、純量浮點數/填充整數/填充浮點數/向量整數/向量浮點數管線、及/或記憶體存取管線,其各者均具有自己的排程單元、實體暫存器檔案單元、及/或執行叢集,且在分開的記憶體存取管線之例子中,某些實施例實作出只有管線之執行叢集具有記憶體存取單元1864)。亦應了解這裡使用分開的管線,這些管線之一或更多者可以是亂序發出/執行且其餘是有序的。
這組記憶體存取單元1864係耦接記憶體單元1870,其包括耦接第2級(L2)快取單元1876的耦接資料快取單元1874之資料TLB單元1872。在一示範實施例中,記憶體存取單元1864可包括載入單元、儲存位址單元、及儲存資料單元,各耦接記憶體單元1870中的資料TLB單元1872。指令快取單元1834更耦接在記憶體單元1870中的第2級(L2)快取單元1876。L2快取單元1876耦接一或更多其他級的快取之且最終耦接主記憶體。
透過舉例方式,示範暫存器更名、亂序發送/執行核心架構可如下實作管線1800:1)指令提取1838進行提取和長度解碼級1802和1804;2)解碼單元1840進行解碼級1806;3)更名/分配單元1852進行分配級1808和更名級1810;4)排程單元1856進行排程級1812;5)實體暫存器檔案單元1858和記憶體單元1870進行暫存器讀取/記憶體讀取級1814;執行叢集1860進行執行級1816; 6)記憶體單元1870和實體暫存器檔案單元1858進行寫回/記憶體寫入級1818;7)各種單元可包括例外處理級1822;及8)引退單元1854和實體暫存器檔案單元1858進行提交級1824。
核心1890可支援一或多個包括本文所述之指令的指令集(例如,x86指令集(具有已加入較新形式的一些擴充);加州桑尼維爾之MIPS技術的MIPS指令集;加州桑尼維爾之ARM公司的ARM指令集(具有如NEON之非必要額外的擴充))。在一實施例中,核心1890包括支援填充資料指令集擴充(例如,AVX1、AVX2)的邏輯,藉此允許許多多媒體應用所使用之操作能使用填充資料來被進行。
應了解核心可支援多執行緒(執行二或多個平行的操作組或執行緒),並可以包括時間切割多執行緒、同步多執行緒(其中單一實體核心提供邏輯核心給實體核心係同步多執行緒的每個執行緒)、或以上之組合(例如,如在Intel®超執行緒技術之後的時間切割提取和解碼和同步多執行緒)的各種方式來實行。
儘管在亂序執行的內容中說明了暫存器更名,但應了解可在有序架構中使用暫存器更名。儘管所述之處理器的實施例亦包括分開的指令和資料快取單元1834/1874及共享L2快取單元1876,但其他實施例可具有用於指令和資料兩者的單一內部快取,例如,第1級(L1)內部快取、或多級之內部快取。在一些實施例中,系統可包括內部快 取與位於核心及/或處理器外部的外部快取之組合。替代地,所有的快取可在核心及/或處理器的外部。
具體的示範有序核心架構
第19A-B圖繪示更具體之示範有序核心架構的方塊圖,其核心會是晶片中的多個邏輯方塊之其一者(包括相同類型及/或不同類型的其他核心)。邏輯方塊依據應用程式透過高頻寬互連網路(例如,環形網路)來與一些固定功能邏輯、記憶體I/O介面、及其他必要I/O邏輯通訊。
第19A圖係根據本發明之實施例之單一處理器核心連同其連接單晶片互連網路1902的連線與其第2級(L2)快取1904的區域子集之方塊圖。在一實施例中,指令解碼器1900支援具有填充資料指令集擴充的x86指令集。L1快取1906允許將快取記憶體低潛時地存取至純量和向量單元。儘管在一(為了簡化設計的)實施例中,純量單元1908和向量單元1910使用單獨暫存器組(分別為純量暫存器1912和向量暫存器1914),且傳輸於其間的資料被寫至記憶體而接著從第1級(L1)快取1906讀回,但本發明之其他實施例可使用不同的方法(例如,使用單一暫存器組或包括一通訊路徑,其允許資料在沒被寫入和讀回的情況下傳輸於這兩個暫存器檔案之間)。
L2快取1904的區域子集係為部分的全域L2快取,其分成單獨的區域子集,每個處理器核心一個。每個處理 器核心具有直接存取路徑至自己的L2外取1904之區域子集。處理器核心所讀取的資料係儲存在其L2快取子集1904中且能與存取其自己區域L2快取子集之其他處理器核心並行地快速存取。處理器核心所寫入的資料係儲存在其自己的L2快取子集1904中且若需要的話會從其他子集清除。環形網路確保共享資料的一致性。環形網路係為雙向的以允許如處理器核心、L2快取及其他邏輯方塊的代理器能在晶片內彼此通訊。每個環形資料路徑在每個方向上係為1012位元寬。
第19B圖係根據本發明之實施例之第19A圖中的處理器核心之一部分的分解圖。第19B圖包括L1快取1904之L1資料快取1906A部分、以及關於向量單元1910和向量暫存器1914的更多細節。具體來說,向量單元1910係16寬的向量處理單元(VPU)(參見16寬的ALU 1928),其執行整數、單精度浮點數、及雙精度浮點數指令之一或更多者。VPU以攪和單元1920來支援攪和暫存器輸入、以數字轉換單元1922A-B來支援數字轉換、且以複製單元1924來支援複製記憶體輸入。寫入遮罩暫存器1926允許斷言所得之向量寫入。
具有整合記憶體控制器和圖形的處理器
第20圖係根據本發明之實施例之可具有一個以上之核心、可具有整合記憶體控制器、及可具有整合圖形的處理器2000之方塊圖。第20圖中的實線框繪示具有單核心 2002A、系統代理器2010、一組一或多個匯流排控制器單元2016的處理器2000,而非必要添加的虛線框繪示具有多個核心2002A-N、在系統代理器單元2010中的一組一或多個整合記憶體控制器單元2014、及專用邏輯2008的另一處理器2000。
因此,處理器2000之不同實作可包括:1)具有為整合圖形及/或科學(生產量)邏輯(其可包括一或多個核心)之專用邏輯2008的CPU、及為一或多個通用核心(例如,通用有序核心、通用亂序核心、這兩者之組合)的核心2002A-N;2)具有為預期主要用於圖形及/或科學(生產量)的大量專用核心之核心2002A-N的協處理器;及3)具有為大量通用有序核心之核心2002A-N的協處理器。由此,處理器2000可以是通用處理器、協處理器、或專用處理器,例如,網路或通訊處理器、壓縮引擎、圖形處理器、GPGPU(通用圖形處理單元)、高產量多重整合核心(MIC)協處理器(包括30個以上之核心)、內嵌處理器或之類。處理器可實作在一或多個晶片上。處理器2000使用如BiCMOS、CMOS、或NMOS的一些處理技術,可以是一部分的一或多個基板及/或可實作在一或多個基板上。
記憶體階層包括核心內之一或多級的快取、一組或一或多個共享快取單元2006、及耦接這組整合記憶體控制器單元2014的外部記憶體(未顯示)。這組共享快取單元2006可包括如第2級(L2)、第3級(L3)、第4級 (L4)、或其他級之快取的一或多個中級快取、最後一級快取(LLC)及/或以上之組合。儘管在一實施例中,環形基礎的互連單元2012使整合圖形邏輯2008,這組共享快取單元2006、及系統代理器單元2010/整合記憶體控制器單元2014互連,但其他實施例可使用一些熟知技術來使上述單元互連。在一實施例中,在一或多個快取單元2006與核心2002A-N之間維持一致性。
在一些實施例中,一或多個核心2002A-N能夠進行多執行緒。系統代理器2010包括那些協同和操作核心2002A-N的元件。系統代理器單元2010可包括例如電源控制單元(PCU)及顯示單元。PCU可以是或包括調節核心2002A-N和整合圖形邏輯2008之電源狀態所需的邏輯和元件。顯示單元係用來驅動一或多個外部連接的顯示器。
核心2002A-N在架構指令集方面可以是同型的或不同型的;意即,二或更多之核心2002A-N也許能夠執行相同指令集,而其他也許能夠僅執行指令集的子集或不同指令集。
示範電腦架構
第21-24圖係示範電腦架構的方塊圖。本技術中所知用於膝上型電腦、桌上型電腦、手持PC、個人數位助理、工程工作站、伺服器、網路裝置、網路集線器、交換器、內嵌處理器、數位信號處理器(DSP)、圖形裝置、 視頻遊戲裝置、機上盒、微控制器、手機、可攜式媒體播放器、手持裝置、及各種其他電子裝置的其他系統設計和組態亦為適用的。一般來說,如本文所揭露之能夠結合處理器及/或其他執行邏輯之種類繁多的系統或電子裝置通常係為適用的。
現在參考第21圖,所顯示的係依照本發明之一實施例之系統2100的方塊圖。系統2100可包括一或多個耦接控制器集線器2120的處理器2110、2115。在一實施例中,控制器集線器2120包括一圖形記憶體控制器集線器(GMCH)2190及一輸入/輸出集線器(IOH)2150(其可在分開的晶片上);GMCH 2190包括耦接記憶體2140和協處理器2145的記憶體和圖形控制器;IOH 2150將輸入/輸出(I/O)裝置2160耦接至GMCH 2190。替代地,記憶體與圖形控制器之一或兩者係整合在處理器內(如本文所述),記憶體2140和協處理器2145直接耦接處理器2110、及在具有IOH 2150之單晶片中的控制器集線器2120。
在第21圖中以虛線來表示額外處理器2115的非必要性。每個處理器2110、2115可包括一或多個本文所述之處理核心且可以是一些形式的處理器2000。
記憶體2140可以是例如動態隨機存取記憶體(DRAM)、相變記憶體(PCM)、或這兩者之組合。針對至少一實施例,控制器集線器2120經由多點下傳匯流排,例如前端匯流排(FSB)、如快速通道互連(QPI)的 點對點介面、或類似連線2195來與處理器2110、2115通訊。
在一實施例中,協處理器2145係為專用處理器,例如,高產量MIC處理器、網路或通訊處理器、壓縮引擎、圖形處理器、GPGPU、嵌入式處理器或之類。在一實施例中,控制器集線器2120可包括整合圖形加速器。
實體資源2110、2115之間在包括架構、微架構、熱、功率消耗特性等之度量範圍方面會存在各種差異。
在一實施例中,處理器2110執行控制一般類型之資料處理操作的指令。內嵌在指令內的可以是協處理器指令。處理器2110辨識這些協處理器指令為應由所附接之協處理器2145所執行的類型。因此,處理器2110在協處理器匯流排或其他互連上發出這些協處理器指令(或代表協處理器指令的控制信號)至協處理器2145。協處理器2145接受並執行收到的協處理器指令。
現在參考第22圖,所顯示的係依照本發明之實施例之第一更具體示範系統2200的方塊圖。如第22圖所示,多處理器系統2200係為點對點互連系統,且包括經由點對點互連2250耦接的第一處理器2270和第二處理器2280。處理器2270和2280之各者可以是一些形式的處理器2000。在本發明之一實施例中,處理器2270和2280分別係為處理器2110和2115,而協處理器2238係為協處理器2145。在另一實施例中,處理器2270和2280分別係為處理器2110和協處理器2145。
顯示處理器2270和2280分別包括整合記憶體控制器(IMC)單元2272和2282。處理器2270亦包括點對點(P-P)介面2276和2278作為其匯流排控制器單元的一部分;同樣地,第二處理器2280包括P-P介面2286和2288。處理器2270、2280可使用P-P介面電路2278、2288經由點對點(P-P)介面2250來交換資訊。如第22圖所示,IMC 2272和2282將處理器耦接至各自的記憶體,即記憶體2232和記憶體2234,其可以是部分區域地附接於各自處理器的主記憶體。
處理器2270、2280各可使用點對點介面電路2276、2294、2286、2298經由個別的P-P介面2252、2254來與晶片組2290交換資訊。晶片組2290可選擇性地經由高效能介面2239與協處理器2238交換資訊。在一實施例中,協處理器2238係為專用處理器,例如,高產量MIC處理器、網路或通訊處理器、壓縮引擎、圖形處理器、GPGPU、嵌入式處理器或之類。
共享快取(未顯示)可包括在任一處理器中或兩處理器之外,還可經由P-P互連與處理器連接,使得若處理器置於低功率模式中,則任一或兩處理器之區域快取資訊可儲存在共享快取中。
晶片組2290可經由介面2296來耦接第一匯流排2216。在一實施例中,第一匯流排2216可以是周邊元件互連(PCI)匯流排、或如PCI快捷匯流排或另一第三代I/O互連匯流排的匯流排,雖然本發明之範圍並不以此為 限。
如第22圖所示,各種I/O裝置2214可與匯流排橋接器2218一起耦接第一匯流排2216、其中匯流排橋接器2218耦接第一匯流排2216和第二匯流排2220。在一實施例中,一或多個如協處理器、高產量MIC處理器、GPGPU的、加速器(例如,圖形加速器或數位信號處理(DSP)單元)、現場可程式閘陣列、或任何其他處理器的額外處理器2215係耦接第一匯流排2216。在一實施例中,第二匯流排2220可以是低針腳數(LPC)匯流排。在一實施例中,各種裝置可耦接第二匯流排2220,包括例如鍵盤及/或滑鼠2222、通訊裝置2227及如磁碟機或其他可包括指令/代碼和資料2230的大容量儲存裝置之儲存單元2228。再者,音頻I/O 2224可耦接第二匯流排2220。請注意其他架構係可能的。例如,系統可實作多點下傳匯流排或其他上述架構而不是第22圖之點對點架構。
現在參考第23圖,所顯示的係依照本發明之實施例之第二更具體示範系統2300的方塊圖。第22和23圖中的相似元件具有相同參考數字,且第22圖之某些態樣已從第23圖省略以避免模糊第23圖之其他態樣。
第23圖繪示處理器2270、2280分別可包括整合記憶體和I/O控制邏輯(「CL」)2272和2282。因此,CL 2272、2282包括整合記憶體控制器單元且包括I/O控制邏輯。第23圖繪示不只記憶體2232、2234耦接CL 2272、2282,而且還繪示I/O裝置2314亦耦接控制邏輯2272、 2282。傳統I/O裝置2315係耦接晶片組2290。
現在參考第24圖,所顯示的係依照本發明之實施例之SoC 2400的方塊圖。第20圖中的相似元件具有相同參考數字。而且,虛線框在更進階的SoC上是非必要的特徵。在第24圖中,互連單元2402係耦接:包括一組一或多個核心2002A-N和共享快取單元2006的應用處理器2410、系統代理器單元2010、匯流排控制器單元2016、整合記憶體控制器單元2014、可包括整合圖形邏輯、影像處理器、音頻處理器、和視頻處理器的一組一或多個協處理器2420、靜態隨機存取記憶體(SRAM)單元2430、直接記憶體存取(DMA)單元2432、及用於耦接一或多個外部顯示器的顯示單元2440。在一實施例中,協處理器2420包括專用處理器,例如網路或通訊處理器、壓縮引擎、GPGPU、高產量MIC處理器、嵌入式處理器或之類。
本文所述之機制的實施例可以硬體、軟體、韌體、或上述實作方法之組合來實作。本發明之實施例可實作成執行在包含至少一處理器、儲存系統(包括揮發性和非揮發性記憶體及/或儲存元件)、至少一輸入裝置、及至少一輸出裝置的可程式系統上的電腦程式或程式碼。
可對輸入指令施用如第22圖所示之代碼2230的程式碼來執行本文所述之功能並產生輸出資訊。可以已知方式來將輸出資訊應用於一或多個輸出裝置。為了此應用之目的,處理系統包括任何具有處理器(例如,數位信號處理 器(DSP)、微控制器、專用積體電路(ASIC)、或微處理器)之系統。
程式碼可以高階程序或物件導向程式語言來實作以與處理系統通訊。若需要的話,程式碼亦可以組合或機器語言來實作。事實上,本文敘述的機制並不受限於此領域的任何特定程式語言。在任何情況下,語言可以是已編譯或已轉譯之語言。
至少一實施例的一或多個態樣可藉由儲存在機器可讀媒體上的代表指令來實作,其表現在處理器內的各種邏輯,當機器讀取指令時,會使機器組裝邏輯來執行本文描述的技術。這樣的表現,稱為「IP核心」,可儲存在有形的機器可讀媒體上並供應至各種顧客或製造廠來下載至實際產生邏輯的製造機器或處理器中。
並非限制地,上述機器可讀儲存媒體可包括機器或裝置製造或形成的物件之非暫態、有形的排列,包括如硬碟、任何類型之磁碟(包括軟碟、光碟、唯讀光碟機(CD-ROM)、可抹寫光碟(CD-RW)、及磁光碟機)、如唯讀記憶體(ROM)的半導體裝置、如動態隨機存取記憶體(DRAM)、靜態隨機存取記憶體(SRAM)的隨機存取記憶體(RAM)、可抹除可程式化唯讀記憶體(EPROM)、快閃記憶體、電子可抹除可程式化唯讀記憶體(EEPROM)、相變記憶體(PCM)、磁性或光學卡、或可適用於儲存電子指令的任何其他類型之媒體的儲存媒體。
因此,本發明之實施例也包括非暫態、有形的機器可讀媒體,其內含指令或包含設計資料,如硬體描述語言(HDL),其定義本文描述的結構、電路、設備、處理器及/或系統特徵。上述實施例也可指程式產品。
模擬(包括二進制轉換、代碼變體等)
在一些情況下,可使用指令轉換器來將來源指令集的指令轉換成目標指令集。例如,指令轉換器可轉譯(例如,使用靜態二進制轉換、包括動態編譯的動態二進制轉換)、變體、模擬、或以其他方式將指令轉換成一或多個待由核心處理的其他指令。指令轉換器可以軟體、硬體、韌體、或以上之組合來實作。指令轉換器可在處理器上、在處理器之外、或部分在處理器上且部分在處理器外。
第25圖係根據本發明之實施例之對照於使用軟體指令轉換器來將來源指令集中的二進制指令轉換成目標指令集中的二進制指令之方塊圖。在所述之實施例中,指令轉換器係為軟體指令轉換器,儘管指令轉換器可替代地以軟體、韌體、硬體、或以上之各種組合來實作。第25圖顯示高階語言2502的程式可使用x86編譯器2504來編譯以產生x86二進制碼2506,其本身可由具有至少一x86指令集核心的處理器2516來執行。具有至少一x86指令集核心的處理器2516表示能執行實質上與具有至少一x86指令集核心的Intel處理器有相同功能的任何處理器,其藉由協調地執行或以其他方式處理(1)Intel x86指令集核 心的實質部份之指令集或(2)目標碼型式的應用程式或其他在具有至少一x86指令集核心的Intel處理器上執行的軟體,以達到大致上與具有至少一x86指令集核心的Intel處理器有相同的結果。x86編譯器2504表示可操作來產生x86二進制碼2506(例如,目標碼)的編譯器,其會連同或無須額外的連鎖處理地在具有至少一x86指令集核心的處理器2516上執行。同樣地,第25圖顯示高階語言2502的程式可使用其他指令集編譯器2508來編譯以產生原本就可被不具有至少一x86指令集核心的處理器2514(例如,具有執行美國加州Sunnyvale的MIPS科技之MIPS指令集及/或執行美國加州Sunnyvale的ARM科技之ARM指令集之核心的處理器)執行的其他指令集二進制碼2510。指令轉換器2512係用來將x86二進制碼2506轉成本身可被不具有x86指令集核心的處理器2514執行的代碼。由於能轉換上述的指令轉換器難以製造,因此已轉換的代碼不太可能與其他指令集二進位碼2510相同;然而,已轉換的代碼將完成一般操作且由其他指令集的指令組成。因此,指令轉換器2512代表軟體、韌體、硬體、或以上之組合,透過模仿、模擬或任何其他程序,允許處理器或其他不具有x86指令集處理器或核心的電子裝置能執行x86二進制碼2506。
其他實施例
儘管已說明的實施例使這些實施例的功能(例如,信 任API、可鎖儲存器、下載和管理付費內容、啟動增值儲存服務等)從儲存系統內進行,但本發明之其他實施例可使這些功能在裝置的不同部分中進行。例如且在一實施例中,這些所述之一或多個功能可在不同的硬體(晶片組、裝置的安全核心、安全處理器、耦接裝置(USB隨身碟等)等、及/或一些其他硬體方塊)中及/或軟體中進行。又,儘管圖示中的流程圖顯示了本發明之某些實施例所執行的操作有特定順序,但應可了解到這樣的順序只是示範用的(例如,其他實施例可以不同順序來執行操作、合併某些操作、重疊某些操作、等等)。
在上面敘述中,為了解釋之目的,提出了許多具體細節以提供對於本發明之實施例的全面性了解。然而,本領域之熟知技術者將清楚明白無需這些具體細節便可實行一或多個其他實施例。所述之特定實施例不會提出來限制本發明,但可用來繪示本發明之實施例。本發明之範圍不是根據上面提出的具體實例來決定,而是僅根據下列之申請專利範圍來決定。
102‧‧‧電腦
104‧‧‧作業系統
106‧‧‧儲存系統
108‧‧‧單晶片系統
110‧‧‧記憶體
112‧‧‧儲存區
114‧‧‧安全儲存器
116‧‧‧一般儲存器
118‧‧‧信任系統韌體
120‧‧‧儲存韌體
122‧‧‧驅動程式堆疊
124‧‧‧檔案系統
126‧‧‧私用軟體開發者套件
128‧‧‧顯示器
130‧‧‧獨立軟體應用程式
132‧‧‧防惡意軟體套件
134‧‧‧信任操作
142‧‧‧硬體切換器
144‧‧‧應用程式
146‧‧‧信任應用程式介面
148‧‧‧後端伺服器
150A‧‧‧通道
150B‧‧‧通道
202‧‧‧代理器
204‧‧‧安全儲存系統
206‧‧‧動作邏輯區塊位址
208‧‧‧結果LBA
252‧‧‧作業系統
254‧‧‧儲存系統
256‧‧‧通道
302‧‧‧代理器
304‧‧‧動作LBA
306A‧‧‧授權信息欄位
306B‧‧‧命令碼
306C‧‧‧命令序號
306D‧‧‧運算子
306E‧‧‧封包完整性
308‧‧‧動作
352‧‧‧代理器
354‧‧‧結果LBA
356A‧‧‧授權信息
356B‧‧‧命令碼
356C‧‧‧命令順序
356D‧‧‧運算子
356E‧‧‧資料
400‧‧‧方法
402-410‧‧‧方塊
500‧‧‧方法
502-516‧‧‧方塊
600‧‧‧方法
602-618‧‧‧方塊
700‧‧‧電腦
702‧‧‧可鎖儲存器
800‧‧‧方法
802-812‧‧‧方塊
900‧‧‧方法
902-908‧‧‧方塊
1000‧‧‧方法
1002-1020‧‧‧方塊
1100‧‧‧系統
1102‧‧‧系統提供者/ISV
1104‧‧‧平台代理器
1106‧‧‧作業系統
1108‧‧‧作業系統可見儲存器
1110‧‧‧作業系統看不見安全儲存器
1112‧‧‧圖形處理單元/顯示器
1114A‧‧‧安全路徑
1114B‧‧‧安全路徑
1118‧‧‧儲存器
1200‧‧‧方法
1202-1206‧‧‧方塊
1300‧‧‧方法
1302-1324‧‧‧方塊
1400‧‧‧系統
1402‧‧‧客戶
1404‧‧‧ISV/伺服器
1406‧‧‧供應伺服器
1420‧‧‧代理器
1422‧‧‧安全儲存器
1500‧‧‧系統
1502‧‧‧客戶
1504‧‧‧ISV/伺服器
1506‧‧‧供應伺服器
1508‧‧‧代理器
1510‧‧‧安全儲存器
1602‧‧‧應用程式許可請求
1604‧‧‧應用程式許可回應
1606‧‧‧電腦
1608‧‧‧客戶
1610A‧‧‧用於許可的應用程式
1610B‧‧‧ISV客戶
1610C‧‧‧ISV代理主機
1610D‧‧‧主機嵌入式控制器介面
1612‧‧‧作業系統
1614‧‧‧具管理能力引擎
1616A‧‧‧小型應用程式
1616B‧‧‧JVM核心
1616C‧‧‧JVM ISV外掛程式
1616D‧‧‧ISV核心
1700‧‧‧方法
1702-1718‧‧‧方塊
1800‧‧‧管線
1802‧‧‧提取級
1804‧‧‧長度解碼級
1806‧‧‧解碼級
1808‧‧‧分配級
1810‧‧‧更名級
1812‧‧‧排程級
1814‧‧‧暫存器讀取/記憶體讀取級
1816‧‧‧執行級
1818‧‧‧寫回/記憶體寫入級
1822‧‧‧例外處理級
1824‧‧‧提交級
1830‧‧‧前端單元
1832‧‧‧分支預測單元
1834‧‧‧指令快取單元
1836‧‧‧指令轉譯後備緩衝器
1838‧‧‧指令提取單元
1840‧‧‧解碼單元
1850‧‧‧執行引擎單元
1852‧‧‧更名/分配單元
1854‧‧‧引退單元
1856‧‧‧排程單元
1858‧‧‧實體暫存器檔案單元
1860‧‧‧執行叢集
1862‧‧‧執行單元
1864‧‧‧記憶體存取單元
1870‧‧‧記憶體單元
1872‧‧‧資料TLB單元
1874‧‧‧資料快取單元
1876‧‧‧第2級(L2)快取單元
1890‧‧‧核心
1900‧‧‧指令解碼器
1902‧‧‧互連網路
1904‧‧‧L2快取
1906‧‧‧L1快取
1908‧‧‧純量單元
1910‧‧‧向量單元
1912‧‧‧純量暫存器
1914‧‧‧向量暫存器
1906A‧‧‧L1資料快取
1928‧‧‧16寬ALU
1920‧‧‧攪和單元
1924‧‧‧複製單元
1926‧‧‧寫入遮罩暫存器
1922A‧‧‧數字轉換單元
1922B‧‧‧數字轉換單元
2000‧‧‧處理器
2002A-N‧‧‧核心
2004A-N‧‧‧快取單元
2006‧‧‧共享快取單元
2008‧‧‧專用邏輯
2010‧‧‧系統代理器
2012‧‧‧環形基礎的互連單元
2014‧‧‧整合記憶體控制器單元
2016‧‧‧匯流排控制器單元
2100‧‧‧系統
2110‧‧‧處理器
2115‧‧‧處理器
2120‧‧‧控制器集線器
2140‧‧‧記憶體
2145‧‧‧共同處理器
2150‧‧‧輸入/輸出集線器
2160‧‧‧輸入/輸出裝置
2190‧‧‧圖形記憶體控制器集線器
2195‧‧‧連線
2200‧‧‧系統
2250‧‧‧點對點互連
2270‧‧‧第一處理器
2280‧‧‧第二處理器
2238‧‧‧共同處理器
2272‧‧‧整合記憶體控制器單元
2282‧‧‧整合記憶體控制器單元
2276‧‧‧P-P介面
2278‧‧‧P-P介面
2286‧‧‧P-P介面
2288‧‧‧P-P介面
2294‧‧‧對點介面電路
2298‧‧‧對點介面電路
2232‧‧‧記憶體
2234‧‧‧記憶體
2252‧‧‧P-P介面
2254‧‧‧P-P介面
2290‧‧‧晶片組
2239‧‧‧高效能介面
2296‧‧‧介面
2216‧‧‧第一匯流排
2214‧‧‧I/O裝置
2218‧‧‧匯流排橋接器
2220‧‧‧第二匯流排
2222‧‧‧鍵盤/滑鼠
2224‧‧‧音頻I/O
2227‧‧‧通訊裝置
2228‧‧‧儲存單元
2230‧‧‧代碼和資料
2300‧‧‧系統
2272‧‧‧I/O控制邏輯
2282‧‧‧I/O控制邏輯
2314‧‧‧I/O裝置
2315‧‧‧傳統I/O裝置
2400‧‧‧單晶片系統
2402‧‧‧互連單元
2410‧‧‧應用處理器
2420‧‧‧共同處理器
2430‧‧‧靜態隨機存取記憶體單元
2432‧‧‧直接記憶體存取單元
2440‧‧‧顯示單元
2502‧‧‧高階語言
2504‧‧‧x86編譯器
2506‧‧‧x86二進制碼
2508‧‧‧其他指令集編譯器
2510‧‧‧其他指令集二進制碼
2512‧‧‧指令轉換器
2514‧‧‧不具有x86指令集核心的處理器
2516‧‧‧具有至少一x86指令集核心的處理器
本發明藉由在附圖中的舉例,而非限定來說明,在附圖中的相同參考數字係指類似元件,而其中:第1圖顯示包括安全儲存器的系統之實例。
第2AB圖顯示使用一通道將資訊傳給安全儲存系統之代理器的實例。
第3AB圖顯示使用信箱將資訊傳給安全儲存系統之代理器的實例。
第4圖顯示使用信箱與代理器傳輸資訊之方法的實施例。
第5圖顯示用來處理信箱通訊命令之方法的實施例。
第6圖顯示用來處理使用安全序列先進技術附件(SATA)所傳送之通道信息之方法的實施例。
第7圖顯示包括可鎖儲存器的系統之實例。
第8圖顯示用來選擇性地鎖住儲存在可鎖儲存器中的作業系統資產之方法的實施例。
第9圖顯示用來升級具有儲存在可鎖儲存器中的作業系統資料之作業系統之方法的實施例。
第10圖顯示用來鎖住使用者儲存器之方法的實施例。
第11圖顯示用來保全數位版權管理內容的系統之實例。
第12圖顯示用來安全地儲存數位版權管理內容之方法的實施例。
第13圖顯示用來請求、儲存、和提供數位版權管理內容之方法的實施例。
第14圖顯示包括請求且假定為一信任根之客戶的系統之實例。
第15圖顯示包括請求且假定啟動增值儲存特徵之客戶的系統之實例。
第16圖顯示透過具管理能力引擎來請求對增值儲存特徵之許可的應用程式之實例。
第17圖顯示用來請求對增值儲存特徵之許可之方法的實施例。
第18A圖係顯示根據本發明之實施例之示範有序管線和示範暫存器更名、亂序發出/執行管線的方塊圖。
第18B圖係顯示根據本發明之實施例之包括在處理器中的有序架構核心之示範實施例和示範暫存器更名、亂序發出/執行架構核心的方塊圖。
第19A和19B圖係顯示根據本發明之實施例之示範有序核心架構的方塊圖。
第20圖係顯示根據本發明之實施例之可具有多於一個核心之處理器的方塊圖。
第21圖係依照本發明之一實施例之系統的方塊圖。
第22圖係依照本發明之一實施例之第二系統的方塊圖。
第23圖係依照本發明之一實施例之第三系統的方塊圖。
第24圖係依照本發明之一實施例之SoC的方塊圖。
第25圖係根據本發明之實施例之對照使用一軟體指令轉換器來將來源指令集中的二進制指令轉換成目標指令集中的二進制指令之方塊圖。
102‧‧‧電腦
104‧‧‧作業系統
106‧‧‧儲存系統
108‧‧‧單晶片系統
110‧‧‧記憶體
112‧‧‧儲存區
114‧‧‧安全儲存器
116‧‧‧一般儲存器
118‧‧‧信任系統韌體
120‧‧‧儲存韌體
122‧‧‧驅動程式堆疊
124‧‧‧檔案系統
126‧‧‧私用軟體開發者套件
128‧‧‧顯示器
130‧‧‧獨立軟體應用程式
132‧‧‧防惡意軟體套件
134‧‧‧信任操作
142‧‧‧硬體切換器
144‧‧‧應用程式
146‧‧‧信任應用程式介面
148‧‧‧後端伺服器
150A‧‧‧通道
150B‧‧‧通道

Claims (21)

  1. 一種方法,用來以一客戶安全地下載數位版權管理內容,包含:為該客戶建立信任的一安全根;在該客戶的一代理器和該客戶的一儲存系統之間建立一安全通道;透過該安全通道安全地下載該數位版權管理內容至該儲存系統;及從該儲存系統安全地提供該數位版權管理內容至一顯示器。
  2. 如申請專利範圍第1項所述之方法,其中該儲存系統包括用來儲存該數位版權管理內容的安全儲存器。
  3. 如申請專利範圍第1項所述之方法,其中該安全儲存器不可被該客戶的一作業系統存取。
  4. 如申請專利範圍第1項所述之方法,其中儲存在該安全儲存器的該數位版權管理內容可透過一私人介面來存取。
  5. 如申請專利範圍第1項所述之方法,其中建立信任的該安全根包含供應一公開金鑰進該儲存系統中。
  6. 如申請專利範圍第1項所述之方法,其中該安全地下載該數位版權管理內容包含:以管理該數位版權管理內容的一服務來認證;議定用於該數位版權管理內容的一內容特定金鑰;及儲存該內容特定金鑰至該儲存系統中。
  7. 如申請專利範圍第6項所述之方法,其中該安全地下載該數位版權管理內容包含:接收該數位版權管理內容,該數位版權管理內容係使用該內容特定金鑰來加密;及儲存該數位版權管理內容和與該數位版權管理內容關聯的元資料至該儲存系統中。
  8. 如申請專利範圍第6項所述之方法,更包含:接收對該數位版權管理內容的一請求;解密該數位版權管理內容;按照信任協定的一根來重新加密該數位版權管理內容;及提供該重新加密的數位版權管理內容給該代理器。
  9. 如申請專利範圍第8項所述之方法,其中該代理器更提供該重新加密的數位版權管理內容給該顯示器。
  10. 如申請專利範圍第1所述之方法,其中該安全通道使用一動作並產生信箱。
  11. 一種裝置,用來安全地下載並顯示數位版權管理內容,包含:一儲存系統,包括:一代理器,用來為該裝置建立信任的一安全根;一安全儲存器,用來以一遠端服務提供者建立一安全通道,以透過該通道安全地下載該數位版權管理內容至該安全儲存器,並從該儲存系統安全地提供該數位版權管理內容。
  12. 如申請專利範圍第11項所述之裝置,其中該安全儲存器不可被該裝置的一作業系統存取。
  13. 如申請專利範圍第11項所述之裝置,其中儲存在該安全儲存器的該數位版權管理內容可透過一私人介面來存取。
  14. 如申請專利範圍第11項所述之裝置,其中用來安全地下載該數位版權管理內容的該代理器係配置以藉由管理該數位版權管理內容的該遠端服務提供者來認證、議定用於該數位版權管理內容的一內容特定金鑰、及儲存該內容特定金鑰至該安全儲存器中。
  15. 如申請專利範圍第14項所述之裝置,其中用來安全地下載該數位版權管理內容的該代理器更配置以接收該數位版權管理內容,該數位版權管理內容係使用該內容特定金鑰來加密、及儲存該數位版權管理內容和與該數位版權管理內容關聯的元資料至該儲存系統中。
  16. 如申請專利範圍第14項所述之裝置,該代理器更配置以接收對該數位版權管理內容的一請求、解密該數位版權管理內容、按照信任協定的根來重新加密該數位版權管理內容、及提供該重新加密的數位版權管理內容給該代理器。
  17. 一種系統,用來安全地下載數位版權管理內容,包含:一服務提供者,管理並儲存該數位版權管理內容;及一儲存系統,包括: 一代理器,以該服務提供者為裝置該建立信任的一安全根;及一安全儲存器,以該服務提供者建立一安全通道、以該服務提供者透過該通道安全地下載該數位版權管理內容至該安全儲存器,並安全地提供該數位版權管理內容給一顯示器。
  18. 如申請專利範圍第17項所述之系統,其中該安全儲存器不可被該裝置的一作業系統存取。
  19. 如申請專利範圍第17項所述之系統,其中儲存在該安全儲存器的該數位版權管理內容可透過一私人介面來存取。
  20. 如申請專利範圍第17項所述之系統,其中該服務提供者供應一公開金鑰給該代理器。
  21. 一種非暫態機器可讀媒體,具有可執行的指令,用來使一或多個處理單元進行用來以一客戶安全地下載數位版權管理內容的方法,該方法包含:為該客戶建立信任的一安全根;在該客戶的一代理器和該客戶的一儲存系統之間建立一安全通道;透過該安全通道安全地下載該數位版權管理內容至該儲存系統;及從該儲存系統安全地提供該數位版權管理內容至一顯示器。
TW101143998A 2011-12-22 2012-11-23 使用儲存裝置以實施數位版權管理保護之方法及設備 TWI564743B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2011/067034 WO2013095574A1 (en) 2011-12-22 2011-12-22 Method and apparatus to using storage devices to implement digital rights management protection

Publications (2)

Publication Number Publication Date
TW201346612A true TW201346612A (zh) 2013-11-16
TWI564743B TWI564743B (zh) 2017-01-01

Family

ID=48669215

Family Applications (1)

Application Number Title Priority Date Filing Date
TW101143998A TWI564743B (zh) 2011-12-22 2012-11-23 使用儲存裝置以實施數位版權管理保護之方法及設備

Country Status (4)

Country Link
US (1) US9419976B2 (zh)
EP (1) EP2795510A4 (zh)
TW (1) TWI564743B (zh)
WO (1) WO2013095574A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9547775B2 (en) 2014-10-08 2017-01-17 Hon Hai Precision Industry Co., Ltd. Device and method for data privacy management
TWI670649B (zh) * 2017-01-19 2019-09-01 美商萬國商業機器公司 用於在異動執行期間之受保護儲存器事件處置之電腦程式產品、電腦系統及電腦實施方法

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2795505A4 (en) 2011-12-22 2015-09-02 Intel Corp ACTIVATION AND MONETIZATION OF INTEGRATED FUNCTIONS IN STORAGE SUBSYSTEMS USING A RELIABLE CONNECTION SERVICE BACKPACK INFRASTRUCTURE
US10452567B2 (en) * 2013-04-29 2019-10-22 Hewlett Packard Enterprise Development Lp Non-volatile memory to store resettable data
US10230529B2 (en) * 2015-07-31 2019-03-12 Microsft Technology Licensing, LLC Techniques to secure computation data in a computing environment
US10789058B2 (en) * 2018-05-30 2020-09-29 Microsoft Technology Licensing, Llc Extensibility of unified platform
US11501027B2 (en) * 2021-02-08 2022-11-15 Micron Technology, Inc. Mechanism to support writing files into a file system mounted in a secure memory device

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7353209B1 (en) 2000-01-14 2008-04-01 Microsoft Corporation Releasing decrypted digital content to an authenticated path
US8027843B2 (en) 2002-11-07 2011-09-27 International Business Machines Corporation On-demand supplemental diagnostic and service resource planning for mobile systems
US7636441B2 (en) * 2004-01-12 2009-12-22 Intel Corporation Method for secure key exchange
US7681241B2 (en) * 2004-06-18 2010-03-16 Red Hat, Inc. Apparatus and method for managing digital rights with arbitration
US20070092082A1 (en) * 2005-10-21 2007-04-26 Rush Frederick A Digital rights management security mechanism for use in a wireless communication apparatus
US8520850B2 (en) 2006-10-20 2013-08-27 Time Warner Cable Enterprises Llc Downloadable security and protection methods and apparatus
US20080162353A1 (en) * 2006-12-27 2008-07-03 Spansion Llc Personal digital rights management agent-server
US20080267411A1 (en) * 2007-04-27 2008-10-30 General Instrument Corporation Method and Apparatus for Enhancing Security of a Device
US8761402B2 (en) * 2007-09-28 2014-06-24 Sandisk Technologies Inc. System and methods for digital content distribution
US7882341B2 (en) * 2007-12-31 2011-02-01 Intel Corporation System and method to enable parallelization of early platform initialization
US20090204803A1 (en) * 2008-02-11 2009-08-13 Nvidia Corporation Handling of secure storage key in always on domain
US8621601B2 (en) * 2008-05-21 2013-12-31 Sandisk Technologies Inc. Systems for authentication for access to software development kit for a peripheral device
US8484720B2 (en) * 2009-05-22 2013-07-09 Sandisk Il Ltd. Service binding method and system
US9910670B2 (en) 2014-07-09 2018-03-06 Intel Corporation Instruction set for eliminating misaligned memory accesses during processing of an array having misaligned data rows

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9547775B2 (en) 2014-10-08 2017-01-17 Hon Hai Precision Industry Co., Ltd. Device and method for data privacy management
TWI609286B (zh) * 2014-10-08 2017-12-21 鴻海精密工業股份有限公司 文檔管理系統及方法
TWI670649B (zh) * 2017-01-19 2019-09-01 美商萬國商業機器公司 用於在異動執行期間之受保護儲存器事件處置之電腦程式產品、電腦系統及電腦實施方法

Also Published As

Publication number Publication date
TWI564743B (zh) 2017-01-01
EP2795510A4 (en) 2015-09-02
EP2795510A1 (en) 2014-10-29
WO2013095574A1 (en) 2013-06-27
US9419976B2 (en) 2016-08-16
US20130276146A1 (en) 2013-10-17

Similar Documents

Publication Publication Date Title
TWI514186B (zh) 用以設定保護平台免受惡意軟體之政策的使用者可控制平台層級觸發技術
US9916454B2 (en) User controllable platform-level trigger to set policy for protecting platform from malware
TWI564743B (zh) 使用儲存裝置以實施數位版權管理保護之方法及設備
US9185079B2 (en) Method and apparatus to tunnel messages to storage devices by overloading read/write commands
TWI514187B (zh) 提供儲存裝置上防有毒軟體保護之系統與方法
KR101219819B1 (ko) 디지털 어플리케이션을 라이센싱하기 위한 유연한 라이센싱 아키텍처
US8332604B2 (en) Methods to securely bind an encryption key to a storage device
TWI526869B (zh) 用以致能耦接至客戶端之儲存系統之加值儲存服務的方法、裝置、系統及非暫時性機器可讀媒體
US9582656B2 (en) Systems for validating hardware devices
US8412903B2 (en) Method and system for managing secure code loading in PC-slave devices
US8607071B2 (en) Preventing replay attacks in encrypted file systems
US9147076B2 (en) System and method for establishing perpetual trust among platform domains
TW200824401A (en) Software authorization utilizing software reputation
US10091213B2 (en) Systems and methods to provide secure storage
US20090307451A1 (en) Dynamic logical unit number creation and protection for a transient storage device
KR101236991B1 (ko) 하드디스크 암호화를 위한 장치 및 방법
Holoubková Rešerše a ukázka zabezpečení platformy (TPM)
Ruan et al. Intel’s Embedded Solutions: from Management to Security

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees