公开(公告)号：US07634629B2

公开(公告)日：2009-12-15

申请号：US11316068

申请日：2005-12-19

申请人： Daniel Nemiroff ,  Howard C. Herbert ,  Nimrod Diamant ,  Moshe Maor ,  Carey W. Smith ,  Amber Huffman ,  Fran Corrado ,  Michael A. Rothman ,  Vincent J. Zimmer

发明人： Daniel Nemiroff ,  Howard C. Herbert ,  Nimrod Diamant ,  Moshe Maor ,  Carey W. Smith ,  Amber Huffman ,  Fran Corrado ,  Michael A. Rothman ,  Vincent J. Zimmer

IPC分类号： G06F13/00 ,  G06F13/28

CPC分类号： G06F21/805

摘要： A computer system is disclosed. The computer system includes a storage device, a device controller and a chipset. The device controller includes lock registers having values that correspond to the ranges of locked sectors of the storage device. The lock registers verify if a storage device access request is targeted for ranges of sectors of the storage device that are locked. The chipset includes an embedded controller to authenticate the storage device access request and to manage configuration of the storage device.

摘要翻译： 公开了一种计算机系统。 计算机系统包括存储设备，设备控制器和芯片组。 设备控制器包括具有对应于存储设备的锁定扇区的范围的值的锁定寄存器。 锁定寄存器验证存储设备访问请求是否针对被锁定的存储设备的扇区范围。 该芯片组包括用于认证存储设备访问请求并管理存储设备的配置的嵌入式控制器。

公开(公告)号：US07770003B2

公开(公告)日：2010-08-03

申请号：US11024583

申请日：2004-12-29

申请人： Howard C. Herbert ,  Moshe Maor

发明人： Howard C. Herbert ,  Moshe Maor

IPC分类号： G06F9/00

CPC分类号： H04L63/0428 ,  H04L63/0478

摘要： A method according to one embodiment may include: receiving a first encrypted signal at a server of a computing network, the first encrypted signal comprising firmware encrypted by a first encryption algorithm having a first complexity level; sending a second encrypted signal over the computing network to at least one managed client in response to the first encrypted signal, the second encrypted signal comprising the firmware encrypted by a second encryption algorithm having a second complexity level, wherein said first complexity level is greater than said second complexity level; and updating existing firmware of the at least one managed client in response to receipt of the second signal at the at least one managed client. Of course, many alternatives, variations, and modifications are possible without departing from this embodiment.

摘要翻译： 根据一个实施例的方法可以包括：在计算网络的服务器处接收第一加密信号，所述第一加密信号包括由具有第一复杂度级别的第一加密算法加密的固件; 响应于所述第一加密信号，通过所述计算网络向所述至少一个被管理客户端发送第二加密信号，所述第二加密信号包括由具有第二复杂度级别的第二加密算法加密的固件，其中所述第一复杂度级别大于 说第二复杂度水平; 以及响应于所述至少一个被管理的客户端上的所述第二信号的接收，更新所述至少一个受管客户端的现有固件。 当然，在不偏离本实施例的情况下，可以进行许多替代，变化和修改。

公开(公告)号：US20100223625A1

公开(公告)日：2010-09-02

申请号：US12660338

申请日：2010-02-24

申请人： Carey W. Smith ,  Howard C. Herbert

发明人： Carey W. Smith ,  Howard C. Herbert

IPC分类号： G06F15/16 ,  G06F15/163

CPC分类号： G06F21/57 ,  G06F1/3209 ,  G06F9/5011 ,  G06F9/5016 ,  G06F11/1441

摘要： Described is a computing platform comprising a host processing system to host an operating system, a communication adapter to transmit data to or and receive data from a data transmission medium, and a non-volatile storage. The computing platform may also comprise an agent executable independently of the operating system to enable read-only or read/write access to at least a portion of the non-volatile storage.

摘要翻译： 描述了一种计算平台，包括主机操作系统的主机处理系统，用于向数据传输介质发送数据或从数据传输介质接收数据的通信适配器以及非易失性存储器。 计算平台还可以包括可独立于操作系统执行的代理，以实现对非易失性存储器的至少一部分的只读或读/写访问。

公开(公告)号：US08752132B2

公开(公告)日：2014-06-10

申请号：US12901349

申请日：2010-10-08

申请人： Ned M. Smith ,  Howard C. Herbert ,  Karanvir Grewal

发明人： Ned M. Smith ,  Howard C. Herbert ,  Karanvir Grewal

IPC分类号： H04L29/06

CPC分类号： H04L63/20 ,  H04L63/105 ,  H04L63/1408

摘要： Embodiments of the inventions are generally directed to methods, apparatuses, and systems for the dynamic evaluation and delegation of network access control. In an embodiment, a platform includes a switch to control a network connection and an endpoint enforcement engine coupled with the switch. The endpoint enforcement engine may be capable of dynamically switching among a number of network access control modes responsive to an instruction received from the network connection.

摘要翻译： 本发明的实施例一般涉及用于动态评估和授权网络访问控制的方法，装置和系统。 在一个实施例中，平台包括用于控制网络连接的开关和与开关耦合的端点执行引擎。 端点执行引擎可以响应于从网络连接接收的指令而能够在多个网络访问控制模式之间动态切换。

公开(公告)号：US20130276052A1

公开(公告)日：2013-10-17

申请号：US12901349

申请日：2010-10-08

申请人： Howard C. Herbert ,  Karanvir Grewal ,  Ned M. Smith

发明人： Howard C. Herbert ,  Karanvir Grewal ,  Ned M. Smith

IPC分类号： H04L29/06

CPC分类号： H04L63/20 ,  H04L63/105 ,  H04L63/1408

摘要： Embodiments of the inventions are generally directed to methods, apparatuses, and systems for the dynamic evaluation and delegation of network access control. In an embodiment, a platform includes a switch to control a network connection and an endpoint enforcement engine coupled with the switch. The endpoint enforcement engine may be capable of dynamically switching among a number of network access control modes responsive to an instruction received from the network connection.

摘要翻译： 本发明的实施例一般涉及用于动态评估和授权网络访问控制的方法，装置和系统。 在一个实施例中，平台包括用于控制网络连接的开关和与开关耦合的端点执行引擎。 端点执行引擎可以响应于从网络连接接收的指令而能够在多个网络访问控制模式之间动态切换。

公开(公告)号：US07096497B2

公开(公告)日：2006-08-22

申请号：US09823131

申请日：2001-03-30

申请人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar

发明人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar

IPC分类号： G06F11/30 ,  H04L9/00

CPC分类号： G06F21/645

摘要： A file is sent to a remote signing authority via a network. The signing authority checks the file and provides a signature indicating file integrity of the file. The signature returned from the signing authority via the network is verified.

公开(公告)号：US07082615B1

公开(公告)日：2006-07-25

申请号：US09668610

申请日：2000-09-22

申请人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

发明人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

IPC分类号： G06F7/04

CPC分类号： G06F21/53 ,  G06F9/468 ,  G06F21/562 ,  G06F21/57 ,  G06F21/74 ,  G06F2221/2105

摘要： The present invention is a method and apparatus to protect a subset of a software environment. A key generator generates an operating system nub key (OSNK). The OSNK is unique to an operating system (OS) nub. The OS nub is part of an operating system in a secure platform. A usage protector uses the OSNK to protect usage of a subset of the software environment.

摘要翻译： 本发明是一种保护软件环境子集的方法和装置。 密钥生成器生成操作系统nub（OSNK）。 OSNK是操作系统（OS）nub所独有的。 OS nub是安全平台中操作系统的一部分。 使用保护程序使用OSNK来保护软件环境的子集的使用。

公开(公告)号：US06678825B1

公开(公告)日：2004-01-13

申请号：US09618738

申请日：2000-07-18

申请人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

发明人： Carl M. Ellison ,  Roger A. Golliver ,  Howard C. Herbert ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

IPC分类号： G06F1760

CPC分类号： G06F12/145 ,  G06F12/0831 ,  G06F12/1009 ,  G06F12/1491 ,  G06F21/74 ,  G06F2212/1016 ,  G06F2212/1041 ,  G06F2212/1052

摘要： The present invention provides a method, apparatus, and system for controlling memory accesses to multiple isolated memory areas in an isolated execution environment. A page manager is used to distribute a plurality of pages to a plurality of different areas of a memory, respectively. The memory is divided into non-isolated areas and isolated areas. The page manager is located in an isolated area of memory. Further, a memory ownership page table describes each page of memory and is also located in an isolated area of memory. The page manager assigns an isolated attribute to a page if the page is distributed to an isolated area of memory. On the other hand, the page manager assigns a non-isolated attribute to a page if the page is distributed to a non-isolated area of memory. The memory ownership page table records the attribute for each page. In one embodiment, a processor having a normal execution mode and an isolated execution mode generates an access transaction. The access transaction is configured using a configuration storage that contains configuration settings related to a page and access information. An access checking circuit coupled to the configuration storage checks the access transaction using at least one of the configuration settings and the access information and generates an access grant signal if the access transaction is valid.

摘要翻译： 本发明提供一种用于控制对隔离执行环境中的多个隔离存储器区域的存储器访问的方法，装置和系统。 页面管理器用于分别将多个页面分发到存储器的多个不同区域。 记忆分为非隔离区和隔离区。 页面管理器位于隔离区内。 此外，存储器所有权页表描述了存储器的每一页，并且还位于存储器的隔离区域中。 页面管理器将一个隔离的属性分配给页面，如果该页面被分发到一个隔离的内存区域。 另一方面，如果页面被分发到存储器的非隔离区域，则页面管理器将非隔离属性分配给页面。 内存所有权页表记录每个页面的属性。 在一个实施例中，具有正常执行模式和隔离执行模式的处理器生成访问事务。 访问事务使用包含与页面和访问信息相关的配置设置的配置存储进行配置。 耦合到配置存储器的访问检查电路使用配置设置和访问信息中的至少一个来检查访问事务，并且如果访问事务有效则生成访问许可信号。

公开(公告)号：US6023509A

公开(公告)日：2000-02-08

申请号：US720444

申请日：1996-09-30

申请人： Howard C. Herbert ,  Derek L. Davis

发明人： Howard C. Herbert ,  Derek L. Davis

IPC分类号： G06Q20/04 ,  G06Q20/38 ,  G07F7/10 ,  H04L9/32 ,  H04L9/00

CPC分类号： G06Q20/04 ,  G06Q20/3821 ,  G06Q20/3825 ,  G07F7/1016 ,  H04L9/3236 ,  H04L9/3247 ,  H04L2209/38 ,  H04L2209/56 ,  H04L2209/60

摘要： A method and apparatus for encoding a purpose into a digital signature, where purpose and digital signature bound into an extended digital signature. The extended digital signature capability binds a purpose description identifying the purpose for the digital signature so that when affixed to a digital signature, the digital signature cannot be employed for improper purposes. A hash function is used to generate a hash value from the purpose description. The hash value is used in a digital signature function to bind the purpose to a digital signature. The extended digital signature can be verified for validity by comparing it to a hash value. In an electronic transaction, the extended digital signature can allow a purpose to be bound with the digital signature so that improper or unauthorized transactions are detected and disallowed.

摘要翻译： 一种用于将目的编码为数字签名的方法和装置，其中目的和数字签名绑定到扩展数字签名中。 扩展的数字签名能力绑定了识别数字签名的目的的目的描述，使得当附加到数字签名时，数字签名不能用于不正当的目的。 哈希函数用于从目的描述生成哈希值。 哈希值用于数字签名功能以将目的绑定到数字签名。 通过将扩展的数字签名与散列值进行比较，可以验证扩展的数字签名的有效性。 在电子交易中，扩展的数字签名可以允许将目的与数字签名绑定，从而检测和不允许不正当或未经授权的交易。

公开(公告)号：US07254707B2

公开(公告)日：2007-08-07

申请号：US11203538

申请日：2005-08-12

申请人： Howard C. Herbert ,  David W. Grawrock ,  Carl M. Ellison ,  Roger A. Golliver ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

发明人： Howard C. Herbert ,  David W. Grawrock ,  Carl M. Ellison ,  Roger A. Golliver ,  Derrick C. Lin ,  Francis X. McKeen ,  Gilbert Neiger ,  Ken Reneris ,  James A. Sutton ,  Shreekant S. Thakkar ,  Millind Mittal

IPC分类号： H04L9/00

CPC分类号： G06F21/305 ,  G06F9/30189 ,  G06F12/1491 ,  G06F21/35 ,  G06F21/53 ,  G06F21/57 ,  G06F21/575 ,  G06F21/64 ,  G06F21/74 ,  G06F2221/2101 ,  G06F2221/2103 ,  G06F2221/2105 ,  G06F2221/2149

摘要： In one embodiment, a method of attestation involves a special mode of operation. The method comprises storing an audit log within protected memory of a platform. The audit log is a listing of data representing one or more software modules loaded into the platform. The audit log is retrieved from the protected memory in response to receiving an attestation request. Then, the retrieved audit log is digitally signed to produce a digital signature in response to the attestation request.

摘要翻译： 在一个实施例中，认证方法涉及特殊的操作模式。 该方法包括将审核日志存储在平台的受保护的存储器内。 审计日志是表示加载到平台中的一个或多个软件模块的数据列表。 响应于接收到认证请求，从受保护的存储器检索审核日志。 然后，检索的审核日志被数字签名以响应于认证请求产生数字签名。