公开(公告)号：US20130198853A1

公开(公告)日：2013-08-01

申请号：US13802272

申请日：2013-03-13

申请人： Francis X. McKEEN ,  Carlos V. ROZAS ,  Uday R. SAVAGAONKAR ,  Simon P. JOHNSON ,  Vincent SCARLATA ,  Michael A. GOLDSMITH ,  Ernie BRICKELL ,  Jiang Tao LI ,  Howard C. HERBERT ,  Prashant DEWAN ,  Stephen J. TOLOPKA ,  Gilbert NEIGER ,  David DURHAM ,  Gary GRAUNKE ,  Bernard LINT ,  Don A. VAN DYKE ,  Joseph CIHULA ,  Stalinselvaraj JEYASINGH ,  Stephen R. VAN DOREN ,  Dion RODGERS ,  John GARNEY ,  Asher ALTMAN

发明人： Francis X. McKEEN ,  Carlos V. ROZAS ,  Uday R. SAVAGAONKAR ,  Simon P. JOHNSON ,  Vincent SCARLATA ,  Michael A. GOLDSMITH ,  Ernie BRICKELL ,  Jiang Tao LI ,  Howard C. HERBERT ,  Prashant DEWAN ,  Stephen J. TOLOPKA ,  Gilbert NEIGER ,  David DURHAM ,  Gary GRAUNKE ,  Bernard LINT ,  Don A. VAN DYKE ,  Joseph CIHULA ,  Stalinselvaraj JEYASINGH ,  Stephen R. VAN DOREN ,  Dion RODGERS ,  John GARNEY ,  Asher ALTMAN

IPC分类号： G06F21/60

CPC分类号： G06F21/60 ,  G06F21/53 ,  G06F21/72

摘要： A technique to enable secure application and data integrity within a computer system. In one embodiment, one or more secure enclaves are established in which an application and data may be stored and executed.

公开(公告)号：US20100332574A1

公开(公告)日：2010-12-30

申请号：US12459142

申请日：2009-06-26

申请人： Howard C. Herbert ,  George W. Cox ,  Shay Gueron ,  Jesse Walker ,  Charles E. Dike ,  Stephen A. Fischer ,  Ernie Brickell ,  Martin G. Dixon ,  David Johnston ,  Gunendran Thuraisingham ,  Edward V. Gamsaragan ,  James S. Coke ,  Greg W. Piper

发明人： Howard C. Herbert ,  George W. Cox ,  Shay Gueron ,  Jesse Walker ,  Charles E. Dike ,  Stephen A. Fischer ,  Ernie Brickell ,  Martin G. Dixon ,  David Johnston ,  Gunendran Thuraisingham ,  Edward V. Gamsaragan ,  James S. Coke ,  Greg W. Piper

IPC分类号： G06F7/58

CPC分类号： G06F7/588 ,  G06F9/30007 ,  H04L9/0861

摘要： A hardware-based digital random number generator is provided. The digital random number generator is a randomly behaving random number generator based on a set of nondeterministic behaviors. The nondeterministic behaviors include temporal asynchrony between subunits, entropy source “extra” bits, entropy measurement, autonomous deterministic random bit generator reseeding and consumption from a shared resource.

摘要翻译： 提供了一种基于硬件的数字随机数发生器。 数字随机数发生器是基于一组非确定性行为的随机行为随机数发生器。 非确定性行为包括子单元之间的时间不同步，熵源“额外”比特，熵测量，自主确定性随机比特生成器重新获取和来自共享资源的消费。

公开(公告)号：US07634629B2

公开(公告)日：2009-12-15

申请号：US11316068

申请日：2005-12-19

申请人： Daniel Nemiroff ,  Howard C. Herbert ,  Nimrod Diamant ,  Moshe Maor ,  Carey W. Smith ,  Amber Huffman ,  Fran Corrado ,  Michael A. Rothman ,  Vincent J. Zimmer

发明人： Daniel Nemiroff ,  Howard C. Herbert ,  Nimrod Diamant ,  Moshe Maor ,  Carey W. Smith ,  Amber Huffman ,  Fran Corrado ,  Michael A. Rothman ,  Vincent J. Zimmer

IPC分类号： G06F13/00 ,  G06F13/28

CPC分类号： G06F21/805

摘要： A computer system is disclosed. The computer system includes a storage device, a device controller and a chipset. The device controller includes lock registers having values that correspond to the ranges of locked sectors of the storage device. The lock registers verify if a storage device access request is targeted for ranges of sectors of the storage device that are locked. The chipset includes an embedded controller to authenticate the storage device access request and to manage configuration of the storage device.

摘要翻译： 公开了一种计算机系统。 计算机系统包括存储设备，设备控制器和芯片组。 设备控制器包括具有对应于存储设备的锁定扇区的范围的值的锁定寄存器。 锁定寄存器验证存储设备访问请求是否针对被锁定的存储设备的扇区范围。 该芯片组包括用于认证存储设备访问请求并管理存储设备的配置的嵌入式控制器。

公开(公告)号：US20090165099A1

公开(公告)日：2009-06-25

申请号：US11963062

申请日：2007-12-21

申请人： Avigdor Eldar ,  Howard C. Herbert ,  Purushottam Goel ,  Uri Blumenthal ,  David Hines ,  Carey Smith

发明人： Avigdor Eldar ,  Howard C. Herbert ,  Purushottam Goel ,  Uri Blumenthal ,  David Hines ,  Carey Smith

IPC分类号： G06F21/00

CPC分类号： H04L41/0869 ,  H04L41/046 ,  H04L41/0806

摘要： Active management technology (AMT) may be provisioned in a client device automatically, which may provide a secure connection between the provisioning server and the client device. The client device comprising the active management technology may support zero-touch provisioning and one-touch provisioning.

摘要翻译： 主动管理技术（AMT）可以自动地在客户端设备中提供，这可以在配置服务器和客户端设备之间提供安全的连接。 包括主动管理技术的客户端设备可以支持零接触供应和一键供应。

公开(公告)号：US07149901B2

公开(公告)日：2006-12-12

申请号：US10768902

申请日：2004-01-29

申请人： Howard C. Herbert ,  Derek L. Davis

发明人： Howard C. Herbert ,  Derek L. Davis

IPC分类号： H04L9/00

CPC分类号： G06F21/79 ,  G06F12/08 ,  G06F12/1408 ,  G06F21/64 ,  G06F21/86 ,  G06F2212/251 ,  G06F2212/253 ,  G06F2221/2107 ,  H04L9/3236 ,  H04L9/3247

摘要： A method and system for maintaining integrity and confidentiality of pages paged to an external storage unit from a physically secure environment. An outgoing page is selected to be exported from a physically secure environment to an insecure environment. An integrity check value is generated and stored for the outgoing page. In one embodiment, this takes the form of taking a one-way hash of the page using a well-known one-way hash function. The outgoing page is then encrypted using a cryptographically strong encryption algorithm. Among the algorithms that might be used in one embodiment of the invention are IDEA and DES. The encrypted outgoing page is then exported to the external storage. By virtue of the encryption and integrity check, the security of the data on the outgoing page is maintained in the insecure environment.

摘要翻译： 一种用于维护从物理安全环境分页到外部存储单元的页面的完整性和机密性的方法和系统。 选择一个传出页面将从物理安全环境导出到不安全的环境。 为出站页面生成并存储完整性检查值。 在一个实施例中，这采取使用公知的单向散列函数来获取页面的单向散列的形式。 然后使用密码较强的加密算法对输出页进行加密。 在本发明的一个实施例中可以使用的算法中有IDEA和DES。 然后将加密的传出页面导出到外部存储。 凭借加密和完整性检查，出站页面上的数据的安全性保持在不安全的环境中。

公开(公告)号：US07073071B1

公开(公告)日：2006-07-04

申请号：US09540612

申请日：2000-03-31

申请人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

发明人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

IPC分类号： G06F11/30 ,  G06F12/14 ,  H04L9/32

CPC分类号： H04L9/3236 ,  H04L2209/60 ,  H04L2209/80

摘要： Briefly, one embodiment of a platform for generating and utilizing a protected audit log is described. The platform comprises a system memory and a memory to contain an audit log. The audit log includes a plurality of single-write, multiple read entries. At least one of the entries of the audit log includes stored data integrity information loaded into the system memory during its power cycle.

摘要翻译： 简而言之，描述了用于生成和利用受保护的审计日志的平台的一个实施例。 该平台包括一个系统内存和一个包含审核日志的内存。 审计日志包括多个单写，多个读入条目。 审计日志的至少一个条目包括在其电源循环期间加载到系统存储器中的存储的数据完整性信息。

公开(公告)号：US07013484B1

公开(公告)日：2006-03-14

申请号：US09540613

申请日：2000-03-31

申请人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

发明人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

IPC分类号： G06F12/15

CPC分类号： G06F12/1491

摘要： A chipset is initialized in a secure environment for an isolated execution mode by an initialization storage. The secure environment has a plurality of executive entities and is associated with an isolated memory area accessible by at least one processor. The at least one processor has a plurality of threads and operates in one of a normal execution mode and the isolated execution mode. The executive entities include a processor executive (PE) handler. PE handler data corresponding to the PE handler are stored in a PE handler storage. The PE handler data include a PE handler image to be loaded into the isolated memory area after the chipset is initialized. The loaded PE handler image corresponds to the PE handler.

摘要翻译： 芯片组通过初始化存储器在安全环境中被初始化为孤立的执行模式。 安全环境具有多个执行实体，并且与由至少一个处理器可访问的隔离存储器区域相关联。 所述至少一个处理器具有多个线程并且在正常执行模式和所述隔离执行模式之一中操作。 执行实体包括处理器执行（PE）处理程序。 对应于PE处理程序的PE处理程序数据存储在PE处理程序存储器中。 PE处理程序数据包括在芯片组初始化之后要加载到隔离存储器区域中的PE处理程序图像。 加载的PE处理程序图像对应于PE处理程序。

公开(公告)号：US07013481B1

公开(公告)日：2006-03-14

申请号：US09541667

申请日：2000-03-31

申请人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

发明人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

IPC分类号： G06F11/30

CPC分类号： G06F12/1491 ,  G06F21/57 ,  G06F2221/2105

摘要： In an embodiment of the present invention, a technique is provided for remote attestation. An interface maps a device via a bus to an address space of a chipset in a secure environment for an isolated execution mode. The secure environment is associated with an isolated memory area accessible by at least one processor. The at least one processor operates in one of a normal execution mode and the isolated execution mode. A communication storage corresponding to the address space allows the device to exchange security information with the at least one processor in the isolated execution mode in a remote attestation.

摘要翻译： 在本发明的实施例中，提供了用于远程证明的技术。 接口将设备通过总线映射到安全环境中的芯片组的地址空间，用于隔离执行模式。 安全环境与由至少一个处理器可访问的隔离存储器区域相关联。 所述至少一个处理器以正常执行模式和隔离执行模式之一进行操作。 对应于地址空间的通信存储器允许设备在远程证明中以隔离执行模式与至少一个处理器交换安全信息。

公开(公告)号：US06996710B1

公开(公告)日：2006-02-07

申请号：US09538951

申请日：2000-03-31

申请人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

发明人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

IPC分类号： H04L9/00

CPC分类号： H04L9/3263 ,  H04L9/0861 ,  H04L9/3271 ,  H04L2209/12

摘要： In one embodiment, a method for certifying an attestation key comprises generating a remote attestation key pair within a platform and producing a certificate. The certificate includes a public attestation key to attest that a private attestation key, corresponding to the public attestation key, is stored in hardware-protected memory.

摘要翻译： 在一个实施例中，用于证明认证密钥的方法包括在平台内生成远程认证密钥对并产生证书。 证书包括公开证明密钥，证明对应于公共认证密钥的私有认证密钥存储在硬件保护的存储器中。

公开(公告)号：US06934817B2

公开(公告)日：2005-08-23

申请号：US10683542

申请日：2003-10-10

申请人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

发明人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

IPC分类号： G06F12/14

CPC分类号： G06F12/1491 ,  G06F12/1441

摘要： The present invention provides a method, apparatus, and system for controlling memory accesses to multiple memory zones in an isolated execution environment. A processor having a normal execution mode and an isolated execution mode generates an access transaction. The access transaction is configured using a configuration storage that stores configuration settings. The configuration settings include a plurality of subsystem memory range settings defining memory zones. The access transaction also includes access information. A multi-memory zone access checking circuit, coupled to the configuration storage, checks the access transaction using at least one of the configuration settings and the access information. The multi-memory zone access checking circuit generates an access grant signal if the access transaction is valid.

摘要翻译： 本发明提供一种用于控制在隔离执行环境中对多个存储区的存储器访问的方法，装置和系统。 具有正常执行模式和隔离执行模式的处理器生成访问事务。 访问事务使用存储配置设置的配置存储进行配置。 配置设置包括定义存储器区域的多个子系统存储器范围设置。 访问事务还包括访问信息。 耦合到配置存储器的多存储器区域访问检查电路使用配置设置和访问信息中的至少一个来检查访问事务。 如果访问事务有效，则多存储区访问检查电路产生访问授权信号。