TW535070B

TW535070B - Platform and method for remote attestation of a platform

Info

Publication number: TW535070B
Application number: TW090107591A
Authority: TW
Inventors: Howard C Herbert; David W Grawrock; Carl M Ellison; Roger A Golliver; Derrick C Lin
Original assignee: Intel Corp
Priority date: 2000-03-31
Filing date: 2001-03-30
Publication date: 2003-06-01
Also published as: GB0225050D0; US20060015719A1; HK1050255A1; US6990579B1; DE10196007B4; US7254707B2; DE10196007T1; AU2001247601A1; WO2001075564A2; GB2377794A; WO2001075564A3; HK1050255B; GB2377794B

Description

535070 五、發明說明（1) 1 背景 1 . 本务明係關於平台安全之領域。 2 · 平台微處理器與通訊技術的進步已經開啟許多應用機會’其超越推展業務的傳統方式。電子商務（e-commerce) 與企業對企業（B2B )事務正逐漸流行中，以很快的速度接觸全球市場。遺憾的是，雖然現代微處理器技術提供使用者方便而有效率的方法推展業務，通訊和交易，但此種技術無法支援遠端認證。遠端認證係以一大致安全之方式認 4 一遇端位置上的平台其作業狀態的一種技術。藉由以該平台進行電子商務或者企業對企業事務之前，先確定該平台的作業狀態，可令使用者對事務安全更具信心。圖示簡述從以下之發明詳述，本發明的特性和優點可更為明顯，其中： _ - 圖1 A係一圖形，說明該平台之丨s〇XTM架構其邏輯作業笔構的一具體實施例。一 /圖1 B係一說明圖，顯示根據本發明一具體實施例之作業糸統和處理器中的各種元件其可存取性。圖ic係利用本發明的一平台之說明具體實施例的一第/ 方塊圖。圖2係該平台之說明作業的一流程圖，其中產生已保護之稽核日誌的一具體實施例。

535070 五、發明說明（2) 圖3係圖1 C之處理器中具體實施例的一方塊圖副本。利用的一遠端認證單位其一說明其中取得該稽核日誌的一已保護圖4係圖1 C之晶片組中具體實施例的一方塊圖，誌的一已保護副本。圖5係圖1 C之晶片組+ 具體實施例的一方塊圖，誌的一已保護副本。利用的一遠端認證單位其一說明其中取得晶片組外部之該稽核日利用的一遠端認證單位其一說明其中取得晶片組内部之該稽核日圖6係圖1 C之固定符^ 明具體貫施例的一方棟^ 護副本。己中利用的一遠端認證單位其一說圖’其中取得該稽核日誌的一已保

圖7係圖1 C之可移降# 說明具體實施例的—方V己：利用士的—遠端認證單位其-保護副本。 &圖，其中取得該稽核日誌的-已本發明係關於一平台以另、专# )刀％ T y - M及遂端涊證一平台之方法。當該平台於某特殊作業模式中作業车，土 - L , τ作菓日守可進行遠端認證。此特殊模式的一例包括如以下所^ ^ _ ,,士、甘_^T y斤述的一處理器隔離執行丨丨IsoX” ^ ^ u r m订的一處理器利用密碼學上唯一的硬體保護鎖匙材料產生一翁彳☆欠立 ^ ^ 數位簽章，其中包括有關該平台之作業環境資訊。提供鎖匙材料只、何料保護之硬體此處稱為一"遠端認證單位"（RAU)，可整合於—核心如’-處理器或-晶片組件）或者—非核心邏輯裝置（例

535070 五、發明說明（3) 如，符記）中。以下描述中’某些名詞係用以討論本發如平台”包括以所儲存資訊執行不同功能：：件一，台的例子包括但不受限或侷限於一電腦（例如型，一膝上型，一手持型，一伺服器，一果上型辦公設備（例如，印表機，掃站等桌 -無線電話手機，-電視頂上金之類枝一傳Λ機器等），包括硬體（例士口，-積體電路等）以及；的例子模組。-II軟體模組，，即程式碼時，更多軟體此程式喝可包括—作業種功能。程式碼指令所成的一小塊，其可：：自集:一m乏定義為：用以建置二app :的一碼子多貧訊承載媒體（例如，電線，光纖，^的一或更者結合無線信令技術的空氣）。當實：：：流排，或修正於該通路上路由凓一、…、法未經偵測而 "。珞由〜擇〜貝A，此通路視為”已保護卜資§fl 一詞定義為：一或更多資料，# /或者控制位元，而一"區段”為一或更多資址，以一及 "訊息”為—群組資訊，可能為封裝化的資訊°。"ϋ° 一次數位簽早冷异法的一特定密碼演算法所貝。。一單向函數"為一數學或者其它函數，。 Τ又長度轉換成一固定長度（稱為一"散 ^ 錄丨丨）。丨丨單向”一 q丰千·尤六总左+ ]值或者,丨摘早向 5司表不·不谷易存在一逆函數，將 J 長度之散列值恢復成原始資訊的任何可識八、^固疋 °日口1刀〇 —散列

第9頁 535070 五、發明說明（4) 函數的例子包括由 Redwood City, California 之 RSA Data S^CUrity所提供的°5，或者一九九五年出版之保全散列 ^準F I P S 1 8 〇 - 1，標題”聯邦資訊處理標準出版品"（一九九五年四月十七日）中所說明的保全散列演算法（SHA-1 )。 —^ 一具體實施例中，使用本發明的一平台可以一隔離執 =)，架構予以配置。Is〇XTM架構包括直接或間接與該 σ ς作業系統互動的軟硬體組件之邏輯與實體定義。其環台之作業系統及一處理器可具有數層階層，稱為輯區八μ於數種作業模式。—π環”為硬體與軟體組件之邏根的專屬任務。該項區分通常鍵，ί = 階μ的最高位準。環-◦包含最關準。環::ΐ ?:=為最外環，具有階層中的最低位 =最低位準…與環—2代表中給定特權準。 ]衣’具有遞減的特權位具一圖形，說明is〇xtm架構之邏輯作筆牟媸— :施例。邏輯作業架構5 、輯乍業：構50的- t璲輯作業架構50包括環〜〇 1n ,里。…、、，且忏 30，環〜3 40，和_斤搜哭,仏U 10，蜋―1 20，環-2 50中的每严n处扣小塊载入器52。邏輯竹紫加槿，模式。處理器小塊載入器52吊:」于模式」或者⑴卜為的—實例。 …、~處理益執行（Ρ Ε)處置

第10頁 535070 五、發明說明（5) r = L 1 0包括二部分· 一正常執行環-ο 11和一隔離勃/一壞-0 1 5。正當勒扞# — 0 n A ㈣離執行 έ日，、s a $執订农11包括作業系統其關鍵之敕靜# 組，通常稱為"核心"。此等軟俨媪細勺并一古i ^氡體杈 1 2 (例如，椤，、、、於騁驄^體杈、，且匕括一主要作業系統 π χ ^ )，軚體忑動器1 3，和硬體驅動器1 4。隔卢硪哭t 5匕括如以下所述的一作業系統（os)小塊16牙口處理时小塊1 8。作業系統小塊 # 業系統執行（0SFU _理哭払鬼6矛處理口口小塊8分別為作執行每^ 行（ΡΕ)的—實例。咖响為只_的一部分，作業於與隔離區域70相關的一已保鑊 =兄以及Is〇x模式中。處理器小塊載入器52係一自舉載入器程式碼，負責將處理器小塊18從處理器或晶片組稍後將解釋的一隔離區域。載入如類=地，環—1 20，環-2 30，和環_3 40分別包括正常執行f 1 21，環—2 31，環-3 41，以及隔離執行環一 1 2】用’和環-3 4 5。尤其’正常執行環-3包括叫固心。广4¾，而隔離執行環-3包括Μ個applet 46 -甘中"N"和"Μ”為正整數）。 1 %(其 I s〇X杀構的一觀念為·於平台組件（例如，處理器和曰片組）所保護之系統記憶體中建立一隔離區域。此 ^曰隔離區域稱為一” P錐F挾” 甘士处將4 rTT nx ^ ^ 隔離&域，其亦可於一翻譯查找表雨# A ^取檢查所保遵的快取記憶體中。此隔離區域之存 -排is Ϊ使用於IS〇X模式中執行之處理器所發出的特殊匯排（FSB)進行。）伙處理益的一則側匯流考慮：於遠端認證期間專屬於單獨支援特殊週期（稱為” 535070 五、發明說明（6) 認證週期”）之鏈路可於該平台上使用。此據該隔離讀寫週期，或者與該隔離讀寫调^ f證週期可根使用專屬鏈路處，亦可於該平台上使用共古目互獨立。於遠端認證。此等共享鏈路之例子包括一周十鍵路以支援 (PCI)匯流排，一加速圖形埠（AGp)匯流排，一’且 '互連構（ISA)匯流排，一通用串列匯流排（USB)牟槿標準架類。該等發出之認證週期用以證明其地域性冓即j之材料和一i章引擎的一 t置正存取該平台内所儲存，鎖起護記憶體中的資訊（例如，一稽核日誌）。如已保假裝檢索稽核日誌軟體的威脅。減緩例如

IsoX模式使用處理器中與處理器小塊載入器52组人具特權指令予以初始化。處理器小塊載入器52驗證：且：一環-0小塊軟體模組（例如，處理器小塊18)載入隔離將域。為了安全，處理器小塊載入器5 2為不可修正，防^ 毀，以及不可代換。於一具體實施例中，處理器小器5 2於唯讀記億體（R 〇 Μ )中實行。 ▲导入處理态小塊1 8的一任務為驗證並且將環—q作業系統^ 1 6載入隔離區域。作業系統小塊丨6提供鏈路，於主要作戈系統1 2 (例如’作業系統之未保護區段）中服務，提供被^ 離區域内的頁管理，以及負責將包含app丨et 46ι至46' = -3應用模組4 5載入隔離區域中所配置的已保護頁。作業系統小塊1 6同時可支援隔離區域與一般（例如，非隔離）$ ^ 體間之資料調頁。果真如此，則作業系統小塊1 β同時負主於調回一般記憶體以前隔離區域頁的完整性和機密性，貝以 535070 五、發明說明（7) 及於復原該頁時檢查頁内容。現在參照圖1 B，顯示與本發明_具體實施例之作業系統 1 0其處理器相關之說明元件的一圖形。為了說明，僅顯示元件環-0 10和環-3 40。邏輯作業架構50中之各種元件根據其環階層和執行模式，存取一可存取實體記憶體6 〇。可存取貫體€ fe、體6 0包括一隔離區域7 〇和一非隔離區域 80。隔離區域70包括applet頁72和小塊頁74。非隔離區域 8 0包括應用頁8 2和作業系統頁8 4。隔離區域7 〇僅可由作業於I s ο X模式中之作業系統和處理器的組件加以存取。非^高離區域8 0可由環-0作業系統和處理器之所有元件加以存取。包括主要作業系統1 2，軟體驅動器1 3，和硬體驅動哭1 4 之正常執行環-0 11可同時存取作業系統頁84和應用頁° 82。包括應用42iS42N之正常執行環—3僅可存取應用頁 82。然而，正常執行環-0 1 1和環-3 41均無法存取隔離區域 7 0 〇 - -

包括作業系統小塊1 6和處理器小塊1 8之隔離執行環一〇 15，可同時存取隔離區域70和非隔離區域8〇，前者包括 app 1 e t頁7 2和小塊頁74，而後者包括應用頁8 2和作業系統頁84。包括applets46iS46M之隔離執行環—3 45僅可存取應用頁82和3??161:頁72。3??1时3461至46^駐於隔離區域 70中。參照圖1 C，其中顯示利用本發明的一平台其一說明具體實施例的一方塊圖。於此具體實施例中，平台1 〇 Q包含一

第13頁 535070 五、發明說明（8) 處理器1 1 0，一晶片組1 2 0，一系統記憶體1 4 Q和周邊組件 (例如’符記1 8 0 / 1 8 2 ’耦合至一符記鏈路1 8 5以及/或者一符圯項取器1 9 0 ),彼此通訊。進一步考慮：平台1 〇〇可包含像是一不變性記憶體（例如，快閃）丨6〇之選擇性組件及額外周邊組件。此等額外周邊組件的例子包括但不受限 \ 或者侷限於一大量儲存裝置17〇以及一或更多輸入/輸出-(I/O)裝置175。為了清楚，並未顯示此等周邊組件（例如，PCI匯流排，AGP匯流排，：[Sa匯流排，USB匯流排，無、’袭傳輪杰/接收器組合等）的特定鍵路。 t體上，處理器11 0代表具有任何類型架構的一中央處理單位，像是複雜指令集（CISC)電腦，精簡指令集電腦⑩ (f ISC) ’超大指令字（VLIW)，或其併合架構。於一具體實，例中，處理器1 1 0包括多重邏輯處理器。一 ”邏輯處理裔π有時稱為一線索，為一實體處理器内的一功能單元，其2該實體處理器具有一架構狀態，以及根據一特定分割 j能所配置的-實體資源。因此，一多線索處理器包括多金避輯處理器。處理器i 10與像是一PENTIUM⑱系列，U-32TM 和IA-j4TM之英特爾（Intei)架構（IA)處理器相容。熟知此項技藝人士將可明白：處理器丨丨〇之基本描述和作業可應用於一單一處理器平台，或者一多重處理器平台。〃、心 _ 、處理為11 0可於一正常執行模式或一 Is〇x模式中作業。尤其，一隔離執行電路1 1 5將提供機構，允許處理哭1丨〇於二IS〇X模式中作業。隔離執行電路115提供13以模二之硬；版人軚體支援。此種支援包括：隔離執行組態，隔離區域

535070

定義，排週期例中，行。 ::”疋義（例⑹，解碼及執行），隔離存取匯流之產生，以及隔離模式中斷之產生。於一且體如圖3所示，RAU可作為處理器11〇的一部份加以實介所：二主機鏈路116為-前側匯流排，其提供 L號’允許處理器1 1 〇與其他虛哭 a μ :。J :、正常模式外，當處理器110配置‘isox模式中通 :隔離3路116以隔離讀寫週期之對應介面信號，支援 :器110於1s〇x模式時，判定隔離存取鏈路 :式為啟動記憶體存取。如果位址於隔離區域位址範圍 U 隔離存取鏈路模式為指令預先提取和快取理二二寫回週自。如果判定為隔離存取匯流排週期，則處以隔離區域位址範圍内的一快取位址，響應窺探〇α ) 30和一輪入/輸出控制集線器（ICH)150。MCH _ 1 3 0和I CH 150可整合於相同晶片中，或者放置於分離之

片中並且同作業。在另一具體實施例中，如圖4所示， RAU可作為晶片組1 2〇的一部份加以實行。關於晶片組120，一MCH 130提供像是系統記憶體14〇和 ICH 1 5 0之A憶體和輸入/輸出裝置的控制與組態。 MCH 1 3 0提供介面電路，用以辨識及服務認證週期以及/ 或者隔離記憶體讀寫週期。此外，MCH i 3 〇具有記憶體範

第15頁 535070 五、發明說明（10) 圍暫存器（例如，基底和長度暫存體1 4 0中的隔離區域。一旦配置後σ告’、，Μ代表系統記憶鏈路模式時，MCH 130中止對隔離區隔離存取系統記憶體1 4 〇中儲存程式碼和資料。、可广取。常以動態隨機存取記憶體（DRAM)或者靜態、产’先5己憶體1 4 0通 (SRAM)加以實行。系統記憶體14〇包括（ϋ $ :取:f體所顯示，可存取實=體: 匕括隔離&域70和非隔離區域8〇。隔離區域7〇為：各

IsoX模式中作業時，由處理器11〇所定義的記憶體區田域、。存取隔離區域70係由處理器丨丨〇以及/或者整合隔離區域功能之晶片組12〇予以限制及強迫。非隔離區域8〇包括一載入作業系統（0S)。載入作業系統142為作業系統的一部分，通常經由像是一啟動唯讀記憶體（R〇M)的一啟動儲存器中之某種啟動碼，從大量儲存裝置丨7〇載入。當然，系統§己憶體1 4 0同時可能包括未顯示的其他程式或者資料。如圖1 C所不”除了傳統輸入/輸出功能外，I CH 1 5 0尚― 且支持隔離執行。於此具體實施例中，丨CH丨5 〇包含至欠 (如圖1 A中所示之）處理器小塊載入器52，一硬體保護記憶

體152 ’ 一隔離執行邏輯處理管理員154，以及一符記鏈路介面1 5 8。雖然平台1 〇〇可以多重I c η加以實行，但為了清楚，僅顯不一 ICH 150。當存在多重ICH時，將選定一指定的I CH ’用以控制隔離區域組態和狀態。此選擇可藉由一外部自舉接腳加以執行。如熟知此項技藝人士所知，同樣可使用其他選擇方法。

第16頁 535070 五、發明說明（11) 如圖1 A和1 C所示，虛理哭、τ 处理為小塊載入器5 2包括一處理哭r 塊載入器碼及其散列值（或搞杜、 . 〇小、·，一、Α摘錄）。當處理器1 1 0藉由勃私一適s之隔離指令（例如，I Sο τ M τ τ、早L74 △,、丄J N I T )予以引動後，則將垮理器小塊載入器52傳輸至隔離區域7〇。其後，處理：：載入器5 2將處理器小塊1 8從不變性記憶體i 6 0複製至^離4 區域70，驗證並且將處理器小塊以的一表示法（例如，— 散列值）放置於已保護記憶體152巾。此處，已保護記憶啤 2係以具有單一寫入多重讀取能力的一記憶體陣列加以貫灯。此種不可修正能力係由邏輯加以控制，或者為記體本身之固有特質的一部份。例如，如所示，已保護: 體152可包括複數個單一寫入多重讀取暫存器。心如圖1C和2所示，已保護記憶體152將予以配置，以支援一稽核日誌1 5 6。一 ’’稽核日誌” j 5 6為有關平台i 〇〇其作業，境的資訊；亦即一資料清單，代表於平台1〇〇電力開啟、成功載入系統記憶體1 4 0之資訊為何。例如，代表資 =可為載入系统記憶體1 4 〇的每一軟體模組之散列值。此-等，體模組可包括處理器小塊18，作業系統小塊16，以_及 ^或者载入隔離區域7 0之任何其他關鍵軟體模組（例如，模組）。因此，稽核日誌156可作為識別載入該平台之 ^訊（例如，環_ 〇碼，用以控制隔離執行組態和作業）的一指紋’並且用以認證或證明目前的隔離執行狀態。於另一具體實施例中’保護記憶體1 5 2和未保護記憶體 (例如’圖1 C之系統記憶體1 4 0其非隔離區域8 〇的一記憶體陣列）可共同提供一已保護稽核日誌156。稽核日誌156儲

535070 五、發明說明（12) -

存於記憶體陣列中，而有關稽核日誌156其狀態之資訊（例如’稽核日總156内之代表資料的一散列值護記憶體1 5 2中。 T U W ，仍然參照圖1C，不變性記憶體16〇儲存不變性資訊。常，不變性記憶體1 60係以快閃記憶體加以實行。、不繳記憶體1 60包括如以上所述之處理器小塊丨8。此 ^ 器小塊18同時可將應用程式規劃介面(Αρι)摘要提供；苴他硬體所供應的低階安全服務，並且可透過一動磁/、大里儲存裝置1 7 〇儲存歸檔資訊， Γ4:Γ18)，程式，4#案，資料，應用 17fi 括—唯讀光碟（CD)R0M172，一硬禅 170 P] ^ ^任何其他磁性或光學儲存裝置。大量儲存壯、晉 1 70同日守提供—機構，里儲存叙置於軟體中時’本發明之取六干〇可頃取媒體。當實行中。"處理器可讀x取媒體於一處理器可讀取媒體— 何媒肢。該處理器可讀專輸貝矾的任體記憶體f晉，.體的例子包括-電⑬，-半導可抹除可：體-快閃記憶體- J；；r^(EPR0M> J , 疋岭，以及像是一磁片，一河丁碟二：碟等任何平台可讀；媒體光學磁田”台1GG通訊時，輸人/輸出裝置175包括固定或可

第18頁 535070 五、發明說明（13) 攜式使用者輸入裝置，各執行一或更多輸入/ 一固定使用者輸入裝置的例子包括一鍵盤，一此。、、答句牧鍵登，— /月鼠，一軌跡球，一觸控墊，和一尖筆。一輸入裝置的例子包括一手機，呼叫器，手 /式使用者人數位助理）或者任何無線裝置。輪入/輸出裝置丨75致4 如以下所述之平台1 0 0的遠端認證。月匕么付記鏈路1 8 5提供I CH 1 5 0與一固定符記1 8 〇 (例如，一主機板符記）以及/或者一符記讀取器丨9〇間的一介面，其符記讀取器190與一可移除符記182進行通訊，該可移除符記1 82具有類似一智慧卡的特徵。通常，兩種類型之符記付為執行專屬輸入/輸出功能的裝置。於圖6和7中所示、之具體只施例中，符記1 8 〇以及/或者1 8 2包括鎖匙材料（例如像疋一公用/專用金匙對的唯一密瑪識別字），以及 =該金匙^之專用金匙對稽核日誌（或者一表示法本身）進仃數位式盍章的功能。丨CH J 5 〇中之符記鏈路介面1 5 8提供符α己鏈路1 8 5與I CH 1 5 0間的一邏輯耦合，並且支援遠端認證’以恢復稽核日誌1 5 6的内容。 1 L I生及利用一蒦稽核日諸現在麥照圖2，顯示一具體實施例之說明作業的一流程圖/其^ a亥平台產生已保護之稽核日誌。於該平台電力開啟後貝汛區段載入系統記憶體，由一處理器（區塊2 0 0 ) 加以處理。此等資訊區段的例子包栝處理器小塊和作業系統小塊。將貧訊區段載入系統記憶體之同時，每一資訊區 &的Μ本經歷一岔碼散列作業，以生產該等區段的一散列

535070

五、發明說明（14) 值。此專散列值形成儲存於中的〆稽核日誌。於—I體5蔓記憶體（區塊205和210) 已保護記憶體於ICH内實行體^例中’如圖1C中所示，該容可讀取而且不可修正時τΛ/°以上戶斤a，當記憶體之内定後續的資訊區段進而儲存；二己f體視為”已保護"。當選常’只有所選定小壤的列值（區塊215)之後。通 III遠端認證歹！值可儲存於稽核日諸中。 A ·遠端認證之開始於一具體實施例中，遠端認證藉由發出一認證要求而啟動。該認證^，可發端自一遠端來源或者平台當地的一代理人，其可能疋或者不是該遠端來源的一代理伺服器。正常下，該認證需求包含一主要詢問以及/或者一或更多選擇性次要詢問。每一詢問導致發出認證週期，其中該認證週期設計用以檢索稽核日誌、的内容。至少，稽核日誌、内容可用以驗證I sgXtm處理器和平台之作業系統小塊的完整_ 性。除了稽核日誌外，次要詢問檢索一選定Is〇X aPP1 et 的一散列值，其中該選定IsoX applet由平台載入，以便驗證applet的完整性。該applet之散列值係由作業系統小塊飛快產生。此避免必需將每一載入之app 1 et儲存於稽核曰誌中。關於主要詢問，R A U建立一訊息，其中包括：稽核日誌，覆蓋於該稽核日誌的一數位簽章，以及RAU鎖匙材料的一或更多數位憑證，而且將該訊息轉回要求者。關於次要詢問，RAU建立一訊息，其中包括：app 1 et散列，

第20頁 535070 五、發明說明（15) 稽核日誌，覆蓋於applet散列和稽核 ,^ ^ u RM鎖匙材料的一或更多數位碼批稽核/一數位簽早’以及

求者，以檢索上述的不同資訊“而且將該訊息轉回要 B. 處理器整合之RAU 現在參照圖3，RAU 3 0 0整合於處理行區域程式碼。於偵測一認證需电栌处里的U ϋ執 ,y4.Qln , 一兄而求時，處理器1 1 0建置與 :U 一通訊通路，負責儲存稽核曰誌156。尤其，區域程式碼執行-實體指令，以響 110執行該實體指令時，導致 U:發出認證週期’以讀取稽核曰諸156的内容。件台100内的其他組件，但為了說明，組 =可為圖C之，150。處理器11〇與組件31〇間 t透過弟一鏈路310和一第二鏈路320的一或更多鏈路。此等鏈路310和320可配置作為二證週期，或者已增強供處置認二置認組咖已接受稽核曰該156之讀ί寺…期發信號指示材曰諸156時，處理器"°中之RA"〇〇以鎖匙二二;ί，一預先儲存之專用金匙)對稽核曰諸156進位ίίίο章’而產生一數位簽章33°。稽核曰諸156,數裝化Γ且，，及可能來自RAU鎖匙材料之數位憑證將封區域程式石一訊息’由RAU 30 0傳送至請求者，或者 a &竭可存取的一區域35 0。當然，通常如果稽核日誌156儲存於未保護記憶體中，

第21頁 535070 五、發明說明（16) " 則I CH 1 5 Q可包括-組件（未顯示），用以驗證：於稽核曰誌156釋放予處理器no以前，稽核日誌156的内容並未修 ^。此可由組件3 1 0產生從未保護記憶體所恢復之稽核日 41 5 6的一散列值，並且將該散列值與已保護記憶體中儲存之總散列值相比較而完成。如同一選擇性之具體實施例，使用者可能希望控制何時使用鎖匙材料34 0。例如，該平台可能經由一通訊裝置 36(3，於一已保護通訊路徑上，對一使用者opt-ln裝置380 發，一需求訊息。於一具體實施例中，通訊裝置3 6 〇耦合至符記匯流排1 8 5，以及耦合至一無線接收器3 6 5和一無線傳輸為3 7 0 (此處統稱為一 ”無線收發器”）。無線接收器和傳輸器3 6 5和3 70用以建置及維護與使用者〇1)1： — 111裝置38〇的直接通訊。當然’使用者〇pt— in裝置38〇亦可能經由任何鏈路類型耦合至通訊裝置36〇。於接受該需求訊息時’通訊裝置36〇對使周者〇pt —in裝置3 8 0發出一訊息，以致能使用者申明其希望釋放鎖匙材一料3 40，進而產生數位簽章3 3◦。根據使用者的一輸入抑成不行動（例如’按下與使用者opt — in裝置38〇相關的一按鍵，使用者不行動等），而將一響應訊息轉回通訊裝置 3 6 0 ’於一已保護之通訊路徑上，將響應訊息的内容路由選擇至RAU 3 0 〇。於接受響應訊息時，如果使用者授權使用鎖匙材料3 40，則RAU 3 0 0繼續產生數位簽章3 3 0以及/ 或者R A U鎖匙材料數位憑證，並且放置於區域程式碼可存取的區域35 0中。

第22頁 535070 五、發明說明（17)

C. 晶片組整合之RAU 現在參照圖4 ’ RAU 30 0整合於一核心邏輯裴所示，處理器Π0執行區域程式碼。於偵測得—切批三= 時，核心邏輯裝置4〇〇建置與一組件42〇的—通訊'ym 責儲存稽核曰誌1 5 6。尤丨，於一具體實施例、式碼根據一認證需求，將—訊息傳送至核心邏輯/置私 40 0。該訊息導致核^邏輯裝置侧發出對讀 ^ 1 5 6内容的認證週期。稽h日— 為了響應該認證需求’核心邏輯裝置4 核日口心1 5 6的内各0 4奎攸/1 Q Π -'r ^ cP -wv 4- 或者支援多重功能二中包路二°:專二援遠端認證，的切&如八宁包括由核心邏輯裝置4 00所產生含二iTsIn 、於接，所儲存之稽核曰諸156的内容時，包 156的一位ί 邏輯裝置4 0 0產生（如以上所述）稽核日諸存取的-Γ域’並將數位簽章3 3 0寫入區域程式石馬可核=56如：：所示’⑯果核心邏輯裝置4°。同時包含it Μϋ 30 0存取释^心邏輯裝置400内之内部信號4 50允許内容時，核心曰邏輟？156。再次，於接收稽核曰誌156的簽章，以VI輯裝置4〇Q的RM 3〇0產生稽核日諸之數位顯示）。此資1 &許一或更多RAU鎖匙材料的數位憑證（未如同-選擇性之具體實施例，使用者可能希望控制何時

域程式碼可存/作一訊息提供予該要求者，或者寫入區存取的—區域。匕 535070 五、發明說明（18) 使用鎖匙材料3 4 0。例如，該平台可能經由一通訊裝置 46 0，於一已保護之通訊路徑上，對一使用者opt-i n裝置 4 9 0發出一需求訊息4 7 0。於一具體實施例中，裝置4 6 〇柄合至符記匯流排1 8 5，而且與一無線收發器4 6 5連用，以便建置及維護與使用者opt-in裝置4 90的直接通訊。為了響應接收需求訊息47 0，通訊裝置46 0對使用者 opt-in裝置490發出一訊息，請求使用者申明其希望釋放鎖匙材料3 4 0 ’以產生數位簽章3 3 0。根據使用者的一輸入或者不行動（例如，按下與使用者0pt-in裝置4 9〇相關的一金匙，使用者不行動等），將一響應訊息480轉回通訊裝置 46 0，於一已保護之通訊路徑上，將響應訊息48〇的内容路由選擇至核心邏輯裝置4 〇〇的R A U 3 0 0。於接受響應訊息 480時，如果使用者授權使用鎖匙材料34〇，並且放置於區域程式碼可存取的區域中。 D·固定符記整合之RAU - —，在參照圖6，如果RAU 3 0 0整合於固定符記18〇，則黾 =符記180於符記鏈路185上，與保留稽核日誌156的一^ 增強例如舍2 5〇 :進行通訊。符記鏈路1 85之功能可予以备 /运^ 3忍5登時，用以支援由固定符記1 8 〇唯一生的認證週期。此等認證週期將路由 ° 核曰_之讀取。於接收稽擇核至曰=的内之記18°中實行的RAU 3°°，咖_中所儲存K材料34q，對稽核日奶6進行數位式蓋章，而 535070

產生一數位簽章3 3 0。其後，RAU 30 0將數位簽章33()以及可能為鎖匙材料3 4 0之數位憑證寫至該要求者，或者寫入區域程式碼可存取的一區域。 … 士如同一選擇性之具體實施例中，使用者可能希望控制何時使用RAU 3 0 0中所儲存的鎖匙材料6丨〇。例如，可能提示使用者申明其希望釋放鎖匙材料34〇,以產生數位簽章/、 330 \該提示可例如經由符記18〇中的一無線收發器63〇傳，一訊息6 2 0而完成。希望釋放鎖匙材料34〇之申明可例如藉由（1)將一轉回吼息640從一使用者0pt —in裝置傳輸至如所不的符記1 8 〇，或者（2 )經由實體連接至符記丨8 〇的一使用者opt-丨n裝置（未顯示）輸入存取資訊而進行。其後， RAU 3 0 0繼續產生數位簽章3 3〇以及/或者鎖匙材料34〇之數位憑證。然後，如果使用者授權使用鎖匙材料3 4 〇，則將此伴隨稽核日誌丨5 6之資訊將傳送至該要求者，或者放置於區域程式碼可存取的區域中。當然，如果〇pt—in訊息 62 0和6 40已保鑊，則可透過輸入/輸出裝置175予以路由一選擇。

Ε·可移除符記整合之RAU

現在苓照圖7，如果r a U 3 0 〇整合於可移除符記1 8 2，則可移除付記1 8 2於符記鏈路1 8 5上與保留稽核日誌1 5 6的一組件（例如，I CH 1 5 0 )進行通訊。當要求遠端認證時，符記鏈路185的功能可予以增強，以支援認證週期，其中該認證+週期#係於插入或連接可移除符記182(亦即，無線符 5己）呀由符記讀取器唯一產生。此等認證週期係由儲存稽

第25頁 535070

:曰，6(例如’ICH 150)之硬體的符記讀取器_ 用以要求接受稽核日誌丨56之讀取。於產 =的二Γ寺，可移除符記182中實行的rau 3°°，：曰諸 RAU，中儲存的鎖起材料34。，對稽核曰諸156 “ 式盍早’而產生數位簽章3 3 0。其後位 3 3 0以及/戋者錙阡姑y RAU 30〇將數位簽章存取的^^鎖㈣34G之數位憑證寫人區域程式碼可抽一、之具體實施例，使用者可能希望控制何時使用RAU 300中儲存的鎖匙材料34〇。例如，可能提示使用者申明其希望釋放鎖匙材料340 ’以產生數位簽章33〇。該提示可例如經由位於符記182中的一無線收發器73〇傳輸二訊息720而完成。希望釋放金匙其鎖匙材料34〇之申明可藉由·（1)將一轉回訊息740從一使用者〇pt-in裝置（未顯示）傳輸至如所示的符記1 8 2，或者（2 )例如經由實體連接至符 €182(未顯示）的一使用者0pt-in裝置輸入存取資訊而進行。其後，如果使用者授權使用鎖匙材料340，則RAU 30—0 繼續產生數位簽章33 0以及/或者鎖匙材料340之數位憑-證，透過符記讀取器190予以路由選擇，而且放置於區域程式碼可存取的區域中。當然，如果opt-in訊息62 0和64 0 已保護op t - i η訊息6 2 0和6 4 0，則可透過輸入/輸出裝置 175予以路由選擇。雖然本發明已參照說明之具體實施例加以描述，但不希望將此描述視為其限制。該等說明之具體實施例的各種修正以及熟知本發明所屬技藝人士的本發明其他具體實施例

535070 五、發明說明（21) 均視為落於本發明之精神及範圍内 11111 第27頁

Claims

535070 _案號90107591_外年//月^曰修正_ 六、申請專利範圍 1. 一種具有遠端認證能力之平台，包含：一處理器，包括一遠端認證單位，該處理器執行於一正常實行模式與一隔離實行模式之一；一晶片組，用以儲存一稽核日誌；以及一鏈路，_合至該處理器和晶片組，當债測得一遠端認證需求時，該鏈路用以支援該遠端認證單元之預先決定匯流排週期，以讀取稽核日誌的内容。 2 .如申請專利範圍第1項之平台，其中該處理器之遠端認證單位包括鎖匙材料。 3 .如申請專利範圍第2項之平台，其中該處理器之遠端認證單位包括一數位簽章單位，以鎖匙材料對稽核曰誌進行數位蓋章。 4.如申請專利範圍第3項之平台，其中該遠端認證單位内之鎖匙材料包括一專用金匙。 5 .如申請專利範圍第3項之平台，其中晶片組包括：一系統記憶體，包括一隔離區域和一非隔離區域；一記憶體控制集線器，經由部份形成該鏈路的一第一鏈路，耦合至'該系統記憶體和處理器；以及一輸入/輸出控制集線器，經由部份形成該鏈路岛一第二鏈路，耦合至該記憶體控制集線器，該輸入/輸出控制集線器包括單一寫入，多重讀取記憶體，用以儲存該稽核日諸。 6 .如申請專利範圍第5項之平台，進一步包含一通訊裝置，耦合至該輸入/輸出控制集線器，該通訊裝置致能與 &

O:\70\70265-911126.ptc 第31頁 535070 _案號901Q7591_f/年//月J厶曰修正_ 六、申請專利範圍一使用者opt-in裝置之通訊。 7. 如申請專利範圍第6項之平台，其中該通訊裝置包括一無線傳輸器和一無線接收器，與使用者ο p t - i η裝置進行通訊。 8. 如申請專利範圍第6項之平台，其中該使用者opt-in 裝置致能一使用者藉由防止建立數位簽章而控制遠端認證作業的一階段。 9 .如申請專利範圍第2項之平台，其中該遠端認證需求包括一主要詢問。 1 〇 .如申請專利範圍第9項之平台，其中該遠端認證單位將一訊息轉回一要求者，以響應該主要詢問，該訊息包括稽核日誌，以及至少一數位簽章，其以鎖匙材料，對稽核曰誌進行數位蓋章。 1 1 .如申請專利範圍第1 0項之平台，其中該訊息進一步包括該鎖匙材料的一數位憑證。 1 2 .如申請專利範圍第9項之平台，其中該遠端認證需求包括一次要詢問。 1 3 .如申請專利範圍第1 2項之平台，其中該遠端認證單位將一訊息轉回一要求者，以響應該次要詢問，該訊息包括一選定applet的一散列值，該稽核日誌，以及包括該散列值和稽核日誌、的一數位簽章。 1 4.如申請專利範圍第1 3項之平台，其中該訊息進一步包括該鎖匙材料的一數位憑證。 1 5 . —種具有遠端認證能力之平台，包含：

O:\70\70265-911126.ptc 第32頁 535070 _案號90107591_外年//月^曰___ 六、申請專利範圍一組件，用以容納一稽核日誌；以及一裝置，包括一遠端認證單位，用以檢索該稽核日一誌，以及以該遠端認證單位中所儲存之鎖匙材料對稽核曰誌進行數位蓋章，該稽核日誌包括電力開啟後於該平台内所載入之軟體模組的代表資料。 1 6.如申請專利範圍第1 5項之平台，進一步包含一處理器，用以偵測一遠端認證需求，以及對組件發出週期，以允許該裝置存取該稽核日誌。 1 7.如申請專利範圍第1 5項之平台，其中該裝置為一晶片組。 1 8.如申請專利範圍第1 6項之平台，進一步包含：一晶片組，耦合至處理器，該晶片組包括該組件和一符記鏈路介面；以及一符記鍵路’柄合至晶片組。 1 9.如申請專利範圍第1 5項之平台，其中該裝置為一固定符記，搞合至該符記鏈路。 2 〇 .如申請專利範圍第1 9項之平台，進一步包含一使用者〇 p t - i η裝置’，與該固定符記進行通訊，該使用者〇 p t_- i η 工一裝置致能一使用者停止該遠端認證單位之作業。〜 2 1.如申請專利範圍第1 8項之平台，進一步包含一符記讀取器，耦合至該符記。 2 2.如申請專利範圍第2 1項之平台，其中該裝置為一可移除符記，與該符記讀取器進行通訊。 2 3.如申請專利範圍第2 2項之平台，進一步包含一使用

O:\70\70265-911126.ptc 第33頁 535070 修正案號 90107591 六、申請專利範圍者opt - i η裝置，與該可移除符記進行通訊，該使用者〇p t - i η裝置致能一使用者停止該遠端認證單位之作業。 2 4. —種遠端認證之方法，包含：將一稽核日誌儲存於一平台的一已保護記憶體内，該稽核日誌為一資料清單，其中的資料代表載入該平台之複數個I s ο X軟體模組的每一模組；接收來自該已保護記憶體的稽核日誌，以響應接收來自一遠端位置之平台的一遠端認證需求；以及於傳輸至該遠端置之平台前，對該稽核日誌進行數位蓋章，以產生一數位簽章。 2 5 .如申請專利範圍第2 4項之方法，其中用以代表該複數個軟體模組的每一模組之資料為一密碼散列值。

O:\70\70265-911126.ptc 第34頁