公开(公告)号：US20140164779A1

公开(公告)日：2014-06-12

申请号：US13971886

申请日：2013-08-21

申请人： DAVID H. HARTLEY ,  Thomas E. Tkacik ,  Carlin R. Covey ,  Lawrence L. Case ,  Rodney D. Ziolkowski

发明人： DAVID H. HARTLEY ,  Thomas E. Tkacik ,  Carlin R. Covey ,  Lawrence L. Case ,  Rodney D. Ziolkowski

IPC分类号： H04L9/32

CPC分类号： H04L9/3247 ,  G06F21/57 ,  H04L9/0861 ,  H04L9/0866 ,  H04L9/3271 ,  H04L63/12 ,  H04L2209/12

摘要： Embodiments include methods for securely provisioning copies of an electronic circuit. A first entity (e.g., a chip manufacturer) embeds one or more secret values into copies of the electronic circuit. A second entity (e.g., an OEM): 1) embeds a trust anchor in a first copy of the electronic circuit; 2) causes the electronic circuit to generate a message signing key pair using the trust anchor and the embedded secret value(s); 3) signs provisioning code using a code signing private key; and 4) sends a corresponding code signing public key, the trust anchor, and the signed provisioning code to a third entity (e.g., a product manufacturer). The third entity embeds the trust anchor in a second copy of the electronic circuit and causes the electronic circuit to: 1) generate the message signing private key; 2) verify the signature of the signed provisioning code using the code signing public key; and 3) launch the provisioning code on the electronic circuit. The electronic circuit can authenticate itself to the OEM using the message signing key pair.

摘要翻译： 实施例包括用于安全地提供电子电路的副本的方法。 第一实体（例如，芯片制造商）将一个或多个秘密值嵌入到电子电路的副本中。 第二实体（例如，OEM）：1）将信任锚放在电子电路的第一副本中; 2）使电子电路使用信任锚和嵌入的秘密值来生成消息签名密钥对; 3）使用代码签名私钥签署提供代码; 和4）将对应的代码签名公钥，信任锚和签名的供应代码发送到第三实体（例如，产品制造商）。 第三实体将信任锚嵌入电子电路的第二副本，并使电子电路：1）生成消息签名私钥; 2）使用代码签名公钥验证签署的供应代码的签名; 和3）在电子电路上启动供应代码。 电子电路可以使用消息签名密钥对对OEM进行认证。

公开(公告)号：US09129536B2

公开(公告)日：2015-09-08

申请号：US13601993

申请日：2012-08-31

申请人： Thomas E. Tkacik ,  Lawrence L. Case ,  Carlin R. Covey ,  David H. Hartley ,  Rodney D. Ziolkowski

发明人： Thomas E. Tkacik ,  Lawrence L. Case ,  Carlin R. Covey ,  David H. Hartley ,  Rodney D. Ziolkowski

IPC分类号： H04L29/06 ,  G09C1/00 ,  H04L9/08 ,  G06F21/57 ,  H04L9/32

CPC分类号： G09C1/00 ,  G06F21/57 ,  H04L9/0866 ,  H04L9/3247 ,  H04L2209/12

摘要： Embodiments of electronic circuits enable security of sensitive data in a design and manufacturing process that includes multiple parties. An embodiment of an electronic circuit can include a private key embedded within the electronic circuit that is derived from a plurality of components including at least one component known only to the electronic circuit and at least one immutable value cryptographically bound into messages and residing on the electronic circuit, public key generation logic that generates a public key to match the private key, and message signing logic that signs messages with the private key.

摘要翻译： 电子电路的实施例使得敏感数据在包括多方的设计和制造过程中的安全性。 电子电路的实施例可以包括嵌入在电子电路内的私钥，其从多个部件导出，所述多个部件包括仅电子电路已知的至少一个部件，以及加密地绑定到消息中且驻留在电子电路上的至少一个不可变值 生成公钥以匹配私钥的电路，公钥生成逻辑，以及用私钥对消息进行签名的消息签名逻辑。

公开(公告)号：US09100189B2

公开(公告)日：2015-08-04

申请号：US13971886

申请日：2013-08-21

申请人： David H. Hartley ,  Thomas E. Tkacik ,  Carlin R. Covey ,  Lawrence L. Case ,  Rodney D. Ziolkowski

发明人： David H. Hartley ,  Thomas E. Tkacik ,  Carlin R. Covey ,  Lawrence L. Case ,  Rodney D. Ziolkowski

IPC分类号： H04L29/06 ,  H04L9/32 ,  G09C1/00 ,  H04L9/08 ,  G06F21/57

CPC分类号： H04L9/3247 ,  G06F21/57 ,  H04L9/0861 ,  H04L9/0866 ,  H04L9/3271 ,  H04L63/12 ,  H04L2209/12

摘要： Embodiments include methods for securely provisioning copies of an electronic circuit. A first entity embeds one or more secret values into copies of the circuit. A second entity: 1) embeds a trust anchor in a first copy of the circuit; 2) causes the circuit to generate a message signing key pair using the trust anchor and the embedded secret value(s); 3) signs provisioning code using a code signing private key; and 4) sends a corresponding code signing public key, the trust anchor, and the signed provisioning code to a third entity. The third entity embeds the trust anchor in a second copy of the circuit and causes the circuit to: 1) generate the message signing private key; 2) verify the signature of the signed provisioning code using the code signing public key; and 3) launch the provisioning code on the circuit.

摘要翻译： 实施例包括用于安全地提供电子电路的副本的方法。 第一实体将一个或多个秘密值嵌入到电路的副本中。 第二实体：1）将信任锚放在电路的第一副本中; 2）使得电路使用信任锚和嵌入的秘密值来生成消息签名密钥对; 3）使用代码签名私钥签署提供代码; 和4）将对应的代码签名公钥，信任锚和签名的提供代码发送到第三实体。 第三实体将信任锚放在电路的第二副本中，并使电路：1）生成消息签名私钥; 2）使用代码签名公钥验证签署的供应代码的签名; 和3）在电路上启动供应代码。

公开(公告)号：US09094205B2

公开(公告)日：2015-07-28

申请号：US13601987

申请日：2012-08-31

申请人： David H. Hartley ,  Thomas E. Tkacik ,  Carlin R. Covey ,  Lawrence L. Case ,  Rodney D. Ziolkowski

发明人： David H. Hartley ,  Thomas E. Tkacik ,  Carlin R. Covey ,  Lawrence L. Case ,  Rodney D. Ziolkowski

IPC分类号： H04L17/00 ,  H04L9/30 ,  H04L9/08 ,  H04L9/32

CPC分类号： H04L9/30 ,  H04L9/0866 ,  H04L9/0877 ,  H04L9/0897 ,  H04L9/3247

摘要： Embodiments of methods of provisioning an electronic circuit enable security of sensitive data in a design and manufacturing process that includes multiple parties. In an illustrative embodiment, a method of provisioning an electronic circuit includes generating at least one secret value, embedding the at least one secret value into the electronic circuit, programming into the electronic circuit a private key derivation function that derives the private key from the at least one secret value and a trust anchor, and programming into the electronic circuit a public key generation function that generates a public key matching the private key. The method can further include receiving for execution trust anchor-authenticated logic that contacts a predetermined actor of the plurality of distinct actors and communicates to the predetermined actor a message signed with the private key.

摘要翻译： 提供电子电路的方法的实施例在包括多方的设计和制造过程中实现敏感数据的安全性。 在说明性实施例中，提供电子电路的方法包括生成至少一个秘密值，将至少一个秘密值嵌入到电子电路中，向电子电路编程私钥导出函数，该私钥导出函数从该 至少一个秘密值和信任锚，并且将电子电路编程为产生与私钥匹配的公钥的公开密钥生成功能。 该方法还可以包括接收执行信任锚定认证的逻辑，该逻辑与多个不同参与者的预定演员接触，并与预定的演员通信，该消息用私钥签名。

公开(公告)号：US08332641B2

公开(公告)日：2012-12-11

申请号：US12363259

申请日：2009-01-30

申请人： Lawrence L. Case ,  Asaf Ashkenazi ,  Ruchir Chhabra ,  Carlin R. Covey ,  David H. Hartley ,  Troy E. Mackie ,  Alistair N. Muir ,  Mark D. Redman ,  Thomas E. Tkacik ,  John J. Vaglica ,  Rodney D. Ziolkowski

发明人： Lawrence L. Case ,  Asaf Ashkenazi ,  Ruchir Chhabra ,  Carlin R. Covey ,  David H. Hartley ,  Troy E. Mackie ,  Alistair N. Muir ,  Mark D. Redman ,  Thomas E. Tkacik ,  John J. Vaglica ,  Rodney D. Ziolkowski

IPC分类号： G06F9/00

CPC分类号： G06F11/3656 ,  H04L9/3247 ,  H04L9/3271

摘要： Under the direction of a first party, an integrated circuit (IC) device is configured to temporarily enable access to a debug interface of the IC device via authentication of the first party by a challenge/response process using a key of the IC device and a challenge value generated at the IC device. The first party then may conduct a software evaluation of the IC device via the debug interface. In response to failing to identify an issue with the IC device from the software evaluation, the first party can permanently enable open access to the debug interface while authenticated and provide the IC device to a second party. Under the direction of the second party, a hardware evaluation of the IC device is conducted via the debug interface that was permanently opened by the first party.

摘要翻译： 在第一方的指导下，集成电路（IC）装置被配置为通过使用IC装置的密钥的询问/响应处理来暂时使能通过第一方的认证访问IC设备的调试接口，以及 在IC器件产生的挑战值。 第一方然后可以通过调试接口对IC设备进行软件评估。 响应于从软件评估中未能识别IC设备的问题，第一方可以在认证时永久地启用对调试接口的开放访问，并将IC设备提供给第二方。 在第二方的指导下，通过由第一方永久打开的调试接口进行IC设备的硬件评估。

公开(公告)号：US20100199077A1

公开(公告)日：2010-08-05

申请号：US12363259

申请日：2009-01-30

申请人： Lawrence L. Case ,  Asaf Ashkenazi ,  Ruchir Chhabra ,  Carlin R. Covey ,  David H. Hartley ,  Troy E. Mackie ,  Alistair N. Muir ,  Mark D. Redman ,  Thomas E. Tkacik ,  John J. Vaglica ,  Rodney D. Ziolkowski

发明人： Lawrence L. Case ,  Asaf Ashkenazi ,  Ruchir Chhabra ,  Carlin R. Covey ,  David H. Hartley ,  Troy E. Mackie ,  Alistair N. Muir ,  Mark D. Redman ,  Thomas E. Tkacik ,  John J. Vaglica ,  Rodney D. Ziolkowski

IPC分类号： G06F9/00 ,  G06F21/00

CPC分类号： G06F11/3656 ,  H04L9/3247 ,  H04L9/3271

摘要： Under the direction of a first party, an integrated circuit (IC) device is configured to temporarily enable access to a debug interface of the IC device via authentication of the first party by a challenge/response process using a key of the IC device and a challenge value generated at the IC device. The first party then may conduct a software evaluation of the IC device via the debug interface. In response to failing to identify an issue with the IC device from the software evaluation, the first party can permanently enable open access to the debug interface while authenticated and provide the IC device to a second party. Under the direction of the second party, a hardware evaluation of the IC device is conducted via the debug interface that was permanently opened by the first party.

摘要翻译： 在第一方的指导下，集成电路（IC）装置被配置为通过使用IC装置的密钥的询问/响应处理来暂时使能通过第一方的认证访问IC设备的调试接口，以及 在IC器件产生的挑战值。 第一方然后可以通过调试接口对IC设备进行软件评估。 响应于从软件评估中未能识别IC设备的问题，第一方可以在认证时永久地启用对调试接口的打开访问，并将IC设备提供给第二方。 在第二方的指导下，通过由第一方永久打开的调试接口进行IC设备的硬件评估。

公开(公告)号：US08826391B2

公开(公告)日：2014-09-02

申请号：US13540606

申请日：2012-07-02

申请人： Thomas E. Tkacik ,  Carlin R. Covey ,  David H. Hartley ,  Steven D. Millman

发明人： Thomas E. Tkacik ,  Carlin R. Covey ,  David H. Hartley ,  Steven D. Millman

IPC分类号： G06F21/00

CPC分类号： G06F21/53 ,  G06F9/45558 ,  G06F21/57

摘要： Embodiments of information processing systems and associated components can include logic operable to perform operations in a virtualized system including a plurality of guest operating systems using descriptors. The descriptors specify a set of commands defining the operations in a plurality of security domains and specify permission to a plurality of resources selectively for the plurality of guest operating systems.

摘要翻译： 信息处理系统和相关组件的实施例可以包括可操作以在包括使用描述符的多个客户操作系统的虚拟化系统中执行操作的逻辑。 描述符指定定义多个安全域中的操作的一组命令，并且为多个客户操作系统选择性地指定对多个资源的许可。

公开(公告)号：US09384153B2

公开(公告)日：2016-07-05

申请号：US13601973

申请日：2012-08-31

申请人： Thomas E. Tkacik ,  Charles E. Cannon ,  Carlin R. Covey ,  David H. Hartley ,  Rodney D. Ziolowski

发明人： Thomas E. Tkacik ,  Charles E. Cannon ,  Carlin R. Covey ,  David H. Hartley ,  Rodney D. Ziolowski

IPC分类号： G06F13/36 ,  G06F12/00 ,  G06F12/02 ,  G06F12/06 ,  G06F9/26 ,  G06F9/34 ,  G06F13/16

CPC分类号： G06F13/1694

摘要： Embodiments of electronic circuits, computer systems, and associated methods include a module that accesses memory using virtual addressing, the memory including local memory that is local to the module and nonlocal memory that is accessible via a system bus coupled to the module, the module including logic coupled to the local memory via a local bus. The logic is configured to receive a memory access specified to a virtual address, determine whether the virtual address is within the local memory, and direct the memory access either to the local memory via the local bus or to the nonlocal memory via the system bus based on the determination.

摘要翻译： 电子电路，计算机系统和相关方法的实施例包括使用虚拟寻址访问存储器的模块，所述存储器包括对模块本地的本地存储器以及可经由耦合到模块的系统总线访问的非本地存储器，模块包括 通过本地总线耦合到本地存储器的逻辑。 逻辑被配置为接收对虚拟地址指定的存储器访问，确定虚拟地址是否在本地存储器内，并且经由本地总线或通过基于系统总线的本地存储器将存储器访问定向到本地存储器 决心。

公开(公告)号：US20140006804A1

公开(公告)日：2014-01-02

申请号：US13540606

申请日：2012-07-02

申请人： Thomas E. Tkacik ,  Carlin R. Covey ,  David H. Hartley ,  Steven D. Millman

发明人： Thomas E. Tkacik ,  Carlin R. Covey ,  David H. Hartley ,  Steven D. Millman

IPC分类号： G06F21/00

CPC分类号： G06F21/53 ,  G06F9/45558 ,  G06F21/57

摘要： Embodiments of information processing systems and associated components can include logic operable to perform operations in a virtualized system including a plurality of guest operating systems using descriptors. The descriptors specify a set of commands defining the operations in a plurality of security domains and specify permission to a plurality of resources selectively for the plurality of guest operating systems.

摘要翻译： 信息处理系统和相关组件的实施例可以包括可操作以在包括使用描述符的多个客户操作系统的虚拟化系统中执行操作的逻辑。 描述符指定定义多个安全域中的操作的一组命令，并且为多个客户操作系统选择性地指定对多个资源的许可。

公开(公告)号：US09424200B2

公开(公告)日：2016-08-23

申请号：US13842516

申请日：2013-03-15

申请人： Thomas E. Tkacik ,  Matthew W. Brocker ,  Carlin R. Covey

发明人： Thomas E. Tkacik ,  Matthew W. Brocker ,  Carlin R. Covey

IPC分类号： G06F12/00 ,  G06F12/10 ,  G06F21/57 ,  G06F21/64

CPC分类号： G06F12/1009 ,  G06F21/57 ,  G06F21/64

摘要： A run-time integrity checking (RTIC) method compatible with memory having at least portions that store data that is changed over time or at least portions configured as virtual memory is provided. For example, the method may comprise storing a table of page entries and accessing the table of page entries by, as an example, an operating system or, as another example, a hypervisor to perform RTIC on memory in which, as an example, an operating system, as another example, a hypervisor, or, as yet another example, application software is stored. The table may, for example, be stored in secure memory or in external memory. The page entry comprises a hash value for the page and a hash valid indicator indicating the validity status of the hash value. The page entry may further comprise a residency indicator indicating a residency status of the memory page.

摘要翻译： 提供与具有存储器的运行时完整性检查（RTIC）方法兼容，该存储器具有至少部分存储随时间改变的数据或至少部分被配置为虚拟存储器的数据。 例如，该方法可以包括通过作为示例的操作系统存储页面条目表和访问页面条目，或者作为另一示例，管理程序来在存储器上执行RTIC，其中作为示例，例如， 操作系统，作为另一示例，管理程序，或者作为另一示例存储应用软件。 该表可以例如存储在安全存储器或外部存储器中。 页面条目包括页面的哈希值和指示哈希值的有效性状态的散列有效指示符。 页面条目还可以包括指示存储器页面的驻留状态的驻留指示符。