公开(公告)号：US20090119510A1

公开(公告)日：2009-05-07

申请号：US11935783

申请日：2007-11-06

申请人： Men Long ,  Jesse Walker ,  David Durham ,  Marc Millier ,  Karanvir Grewal ,  Prashant Dewan ,  Uday Savagaonkar ,  Steven D. Williams

发明人： Men Long ,  Jesse Walker ,  David Durham ,  Marc Millier ,  Karanvir Grewal ,  Prashant Dewan ,  Uday Savagaonkar ,  Steven D. Williams

IPC分类号： H04L9/32

CPC分类号： H04L63/0428 ,  H04L9/0631 ,  H04L9/3242 ,  H04L63/08 ,  H04L63/1466 ,  H04L63/168 ,  H04L2209/12 ,  H04L2209/38

摘要： End-to-end security between clients and a server, and traffic visibility to intermediate network devices, achieved through combined mode, single pass encryption and authentication using two keys is disclosed. In various embodiments, a combined encryption-authentication unit includes a cipher unit and an authentication unit coupled in parallel to the cipher unit, and generates an authentication tag using an authentication key in parallel with the generation of the cipher text using an encryption key, where the authentication and encryption key have different key values. In various embodiments, the cipher unit operates in AES counter mode, and the authentication unit operates in parallel, in AES-GMAC mode Using a two key, single pass combined mode algorithm preserves network performance using a limited number of HW gates, while allowing an intermediate device access to the encryption key for deciphering the data, without providing that device the ability to compromise data integrity, which is preserved between the end to end devices.

摘要翻译： 公开了客户机与服务器之间的端到端安全性，以及通过组合模式，单程加密和使用两个密钥的认证实现的对中间网络设备的流量可见性。 在各种实施例中，组合加密认证单元包括与密码单元并行耦合的密码单元和认证单元，并且使用加密密钥与密文生成并行地使用认证密钥生成认证标签，其中 认证和加密密钥具有不同的密钥值。 在各种实施例中，密码单元以AES计数器模式运行，并且认证单元以AES-GMAC模式并行操作。使用双键单通组合模式算法使用有限数量的HW门保留网络性能，同时允许 中间设备访问用于解密数据的加密密钥，而不提供该设备损害数据完整性的能力，这在端到端设备之间保留。

公开(公告)号：US20120096270A1

公开(公告)日：2012-04-19

申请号：US13337919

申请日：2011-12-27

申请人： Men Long ,  Jesse Walker ,  David Durham ,  Marc Millier ,  Karavir Grewal ,  Prashant Dewan ,  Uday Savagaonkar ,  Steven D. Williams

发明人： Men Long ,  Jesse Walker ,  David Durham ,  Marc Millier ,  Karavir Grewal ,  Prashant Dewan ,  Uday Savagaonkar ,  Steven D. Williams

IPC分类号： H04L9/32

CPC分类号： H04L63/0428 ,  H04L9/0631 ,  H04L9/3242 ,  H04L63/08 ,  H04L63/1466 ,  H04L63/168 ,  H04L2209/12 ,  H04L2209/38

摘要： End-to-end security between clients and a server, and traffic visibility to intermediate network devices, achieved through combined mode, single pass encryption and authentication using two keys is disclosed. In various embodiments, a combined encryption-authentication unit includes a cipher unit and an authentication unit coupled in parallel to the cipher unit, and generates an authentication tag using an authentication key in parallel with the generation of the cipher text using an encryption key, where the authentication and encryption key have different key values. In various embodiments, the cipher unit operates in AES counter mode, and the authentication unit operates in parallel, in AES-GMAC mode Using a two key, single pass combined mode algorithm preserves network performance using a limited number of HW gates, while allowing an intermediate device access to the encryption key for deciphering the data, without providing that device the ability to compromise data integrity, which is preserved between the end to end devices.

摘要翻译： 公开了客户机与服务器之间的端到端安全性，以及通过组合模式，单程加密和使用两个密钥的认证实现的对中间网络设备的流量可见性。 在各种实施例中，组合加密认证单元包括与密码单元并行耦合的密码单元和认证单元，并且使用加密密钥与密文生成并行地使用认证密钥生成认证标签，其中 认证和加密密钥具有不同的密钥值。 在各种实施例中，密码单元以AES计数器模式运行，并且认证单元以AES-GMAC模式并行操作。使用双键单通组合模式算法使用有限数量的HW门保留网络性能，同时允许 中间设备访问用于解密数据的加密密钥，而不提供该设备损害数据完整性的能力，这在端到端设备之间保留。

公开(公告)号：US08266707B2

公开(公告)日：2012-09-11

申请号：US12039456

申请日：2008-02-28

申请人： Uday Savagaonkar ,  Prashant Dewan ,  Men Long

发明人： Uday Savagaonkar ,  Prashant Dewan ,  Men Long

IPC分类号： G06F21/00

CPC分类号： G06F21/10

摘要： An apparatus and system provide a tamper-resistant scheme for portability of DRM-protected digital content. According to embodiments of the invention, a portable crypto unit may be utilized in conjunction with a VT integrity services (VIS) scheme as well as a Virtual Machine Manager (VMM) and a TPM to provide a secure scheme to protect digital content. Additionally, in one embodiment, the digital content may be partitioned into blocks comprising multiple segments to further enhance the security of the scheme.

摘要翻译： 一种装置和系统为DRM保护的数字内容的便携性提供防篡改方案。 根据本发明的实施例，便携式加密单元可以与VT完整性服务（VIS）方案以及虚拟机管理器（VMM）和TPM结合使用，以提供保护数字内容的安全方案。 此外，在一个实施例中，数字内容可以被划分为包括多个段的块，以进一步增强该方案的安全性。

公开(公告)号：US20090220090A1

公开(公告)日：2009-09-03

申请号：US12039456

申请日：2008-02-28

申请人： Uday Savagaonkar ,  Prashant Dewan ,  Men Long

发明人： Uday Savagaonkar ,  Prashant Dewan ,  Men Long

IPC分类号： H04L9/06 ,  H04L9/32

CPC分类号： G06F21/10

摘要： An apparatus and system provide a tamper-resistant scheme for portability of DRM-protected digital content. According to embodiments of the invention, a portable crypto unit may be utilized in conjunction with a VT integrity services (VIS) scheme as well as a Virtual Machine Manager (VMM) and a TPM to provide a secure scheme to protect digital content. Additionally, in one embodiment, the digital content may be partitioned into blocks comprising multiple segments to further enhance the security of the scheme.

摘要翻译： 一种装置和系统为DRM保护的数字内容的便携性提供防篡改方案。 根据本发明的实施例，便携式加密单元可以与VT完整性服务（VIS）方案以及虚拟机管理器（VMM）和TPM结合使用，以提供保护数字内容的安全方案。 此外，在一个实施例中，数字内容可以被划分为包括多个段的块，以进一步增强该方案的安全性。

公开(公告)号：US08826035B2

公开(公告)日：2014-09-02

申请号：US12646028

申请日：2009-12-23

申请人： David Durham ,  Men Long ,  Uday Savagaonkar

发明人： David Durham ,  Men Long ,  Uday Savagaonkar

IPC分类号： G06F21/00

CPC分类号： G06F21/79 ,  G06F21/72

摘要： In general, in one aspect, the disclosure describes a process that includes a cryptographic engine and first and second registers. The cryptographic engine is to encrypt data to be written to memory, to decrypt data read from memory, to generate read integrity check values (ICVs) and write ICVs for memory accesses. The cryptographic engine is also to create a cumulative read ICV and a cumulative write ICV by XORing the generated read ICV and the generated write ICV with a current read MAC and a current write ICV respectively and to validate data integrity by comparing the cumulative read ICV and the cumulative write ICV. The first and second registers are to store the cumulative read and write ICVs respectively at the processor. Other embodiments are described and claimed.

摘要翻译： 通常，在一个方面，本公开描述了包括密码引擎和第一和第二寄存器的过程。 加密引擎是对要写入存储器的数据进行加密，解密从存储器读取的数据，生成读取完整性检查值（ICV），并为存储器访问写入ICV。 密码引擎还通过分别用当前读取的MAC和当前的写入ICV异或生成的读取ICV和产生的写ICV来创建累积读取ICV和累积写入ICV，并通过比较累积读取ICV和 累积写ICV。 第一和第二寄存器分别在处理器处存储累积读和写ICV。 描述和要求保护其他实施例。

公开(公告)号：US08181025B2

公开(公告)日：2012-05-15

申请号：US11591258

申请日：2006-10-31

申请人： Uday Savagaonkar ,  Ravi Sahita ,  Prashant Dewan

发明人： Uday Savagaonkar ,  Ravi Sahita ,  Prashant Dewan

IPC分类号： H04L9/32 ,  G06F12/14 ,  G06F11/30 ,  G06F1/00 ,  G06F7/04 ,  G06G7/48 ,  G06F9/46 ,  G06F9/455 ,  G06F1/32 ,  G06F12/08

CPC分类号： G06F21/64 ,  G06F9/45558 ,  G06F21/57 ,  G06F2009/45587

摘要： A method for managing an agent includes verifying an integrity of the agent in response to a registration request. Memory protection is provided for the agent during integrity verification. An indication is generated when registration of the agent has been completed. According to one aspect of the present invention, providing memory protection includes having a virtual machine monitor limit access to the agent. Other embodiments are described and claimed.

摘要翻译： 用于管理代理的方法包括响应于注册请求验证代理的完整性。 在完整性验证期间为代理提供内存保护。 当代理商的注册已经完成时生成指示。 根据本发明的一个方面，提供存储器保护包括具有虚拟机监视器对代理的限制访问。 描述和要求保护其他实施例。

公开(公告)号：US20080244725A1

公开(公告)日：2008-10-02

申请号：US11695016

申请日：2007-03-31

申请人： Prashant Dewan ,  Uday Savagaonkar ,  Hormuzd M. Khosravi

发明人： Prashant Dewan ,  Uday Savagaonkar ,  Hormuzd M. Khosravi

IPC分类号： G06F21/00

CPC分类号： G06F9/545 ,  G06F9/544 ,  G06F21/606 ,  G06F2209/542

摘要： According to one example embodiment of the inventive subject matter, there is described herein a method and apparatus for securely and efficiently managing packet buffers between protection domains on an Intra-partitioned system using packet queues and triggers. According to one embodiment described in more detail below, there is provided a method and apparatus for optimally transferring packet data across contexts (protected and unprotected) in a commodity operating system.

摘要翻译： 根据本发明主题的一个示例实施例，这里描述了一种使用分组队列和触发器在内部分区系统上安全有效地管理分组缓冲区之间的分组缓冲器的方法和装置。 根据下面更详细描述的一个实施例，提供了一种用于在商品操作系统中跨越上下文（受保护和未受保护）最佳地传送分组数据的方法和装置。

公开(公告)号：US20120090016A1

公开(公告)日：2012-04-12

申请号：US13373957

申请日：2011-12-06

申请人： Uday Savagaonkar ,  Ravi Sahita ,  Prashant Dewan

发明人： Uday Savagaonkar ,  Ravi Sahita ,  Prashant Dewan

IPC分类号： G06F21/00

CPC分类号： G06F21/64 ,  G06F9/45558 ,  G06F21/57 ,  G06F2009/45587

摘要： A method for managing an agent includes verifying an integrity of the agent in response to a registration request. Memory protection is provided for the agent dining integrity verification. An indication is generated when registration of the agent has been completed. According to one aspect of the present invention, providing memory protection includes having a virtual machine monitor limit access to the agent. Other embodiments are described and claimed.

公开(公告)号：US20090172330A1

公开(公告)日：2009-07-02

申请号：US12005681

申请日：2007-12-28

申请人： Prashant Dewan ,  Uday Savagaonkar

发明人： Prashant Dewan ,  Uday Savagaonkar

IPC分类号： G06F12/00

CPC分类号： G06F12/1491 ,  G06F12/145

摘要： In one embodiment, the present invention includes a virtual machine monitor (VMM) to access a protection indicator of a page table entry (PTE) of a page of a set of memory buffers and determine a state of the protection indicator, and if the protection indicator indicates that the page is a user-level page and if certain information of an agent that seeks to use the page matches that in a protected memory address array, a page table base register (PTBR) is updated to a protected page table (PPT) base address. Other embodiments are described and claimed.

摘要翻译： 在一个实施例中，本发明包括一个虚拟机监视器（VMM），用于访问一组存储器缓冲器的页面的页表条目（PTE）的保护指示符，并确定保护指示符的状态，并且如果保护 指示符表示页面是用户级页面，并且如果寻求使用页面的代理的特定信息与受保护的存储器地址阵列中的那些信息匹配，则页表基址寄存器（PTBR）被更新到受保护页表（PPT） ）基地址。 描述和要求保护其他实施例。

公开(公告)号：US09286235B2

公开(公告)日：2016-03-15

申请号：US13538900

申请日：2012-06-29

申请人： Gur Hildesheim ,  Shlomo Raikin ,  Ittai Anati ,  Gideon Gerzon ,  Uday Savagaonkar ,  Francis Mckeen ,  Carlos Rozas ,  Michael Goldsmith ,  Prashant Dewan

发明人： Gur Hildesheim ,  Shlomo Raikin ,  Ittai Anati ,  Gideon Gerzon ,  Uday Savagaonkar ,  Francis Mckeen ,  Carlos Rozas ,  Michael Goldsmith ,  Prashant Dewan

IPC分类号： G06F9/26 ,  G06F9/34 ,  G06F12/10

CPC分类号： G06F12/109 ,  G06F12/0284 ,  G06F12/1036 ,  G06F2212/656 ,  G06F2212/657

摘要： Embodiments of apparatuses and methods including virtual address memory range registers are disclosed. In one embodiment, a processor includes a memory interface, address translation hardware, and virtual memory address comparison hardware. The memory interface is to access a system memory using a physical memory address. The address translation hardware is to support translation of a virtual memory address to the physical memory address. The virtual memory address is used by software to access a virtual memory location in the virtual memory address space of the processor. The virtual memory address comparison hardware is to determine whether the virtual memory address is within a virtual memory address range.

摘要翻译： 公开了包括虚拟地址存储器范围寄存器的装置和方法的实施例。 在一个实施例中，处理器包括存储器接口，地址转换硬件和虚拟存储器地址比较硬件。 存储器接口是使用物理内存地址访问系统内存。 地址转换硬件是支持将虚拟内存地址转换为物理内存地址。 虚拟存储器地址由软件用于访问处理器的虚拟存储器地址空间中的虚拟存储器位置。 虚拟内存地址比较硬件是确定虚拟内存地址是否在虚拟内存地址范围内。