公开(公告)号：US20130283369A1

公开(公告)日：2013-10-24

申请号：US13925991

申请日：2013-06-25

申请人： Ned M. Smith ,  Vedvyas Shanbhogue ,  Geoffrey S. Strongin ,  Willard M. Wiseman ,  David W. Grawrock

发明人： Ned M. Smith ,  Vedvyas Shanbhogue ,  Geoffrey S. Strongin ,  Willard M. Wiseman ,  David W. Grawrock

IPC分类号： G06F21/44

CPC分类号： G06F21/44 ,  G06F21/50 ,  G06F21/57 ,  G06F21/575 ,  G06F21/85 ,  H04L63/126 ,  H04L67/125

摘要： In one embodiment, a processor can enforce a blacklist and validate, according to a multi-phase lockstep integrity protocol, a device coupled to the processor. Such enforcement may prevent the device from accessing one or more resources of a system prior to the validation. The blacklist may include a list of devices that have not been validated according to the multi-phase lockstep integrity protocol. Other embodiments are described and claimed.

摘要翻译： 在一个实施例中，处理器可以强制黑名单并且根据多阶段锁步完整性协议验证耦合到处理器的设备。 这种执行可以防止设备在验证之前访问系统的一个或多个资源。 黑名单可以包括根据多阶段锁定完整性协议未被验证的设备的列表。 描述和要求保护其他实施例。

公开(公告)号：US08516551B2

公开(公告)日：2013-08-20

申请号：US12845528

申请日：2010-07-28

申请人： Ned M. Smith ,  Vedvyas Shanbhogue ,  Geoffrey S. Strongin ,  Willard M. Wiseman ,  David W. Grawrock

发明人： Ned M. Smith ,  Vedvyas Shanbhogue ,  Geoffrey S. Strongin ,  Willard M. Wiseman ,  David W. Grawrock

IPC分类号： G06F7/04

CPC分类号： G06F21/44 ,  G06F21/50 ,  G06F21/57 ,  G06F21/575 ,  G06F21/85 ,  H04L63/126 ,  H04L67/125

摘要： In one embodiment, a processor can enforce a blacklist and validate, according to a multi-phase lockstep integrity protocol, a device coupled to the processor. Such enforcement may prevent the device from accessing one or more resources of a system prior to the validation. The blacklist may include a list of devices that have not been validated according to the multi-phase lockstep integrity protocol. Other embodiments are described and claimed.

摘要翻译： 在一个实施例中，处理器可以强制黑名单并且根据多阶段锁步完整性协议验证耦合到处理器的设备。 这种执行可以防止设备在验证之前访问系统的一个或多个资源。 黑名单可以包括根据多阶段锁定完整性协议未被验证的设备的列表。 描述和要求保护其他实施例。

公开(公告)号：US20120047580A1

公开(公告)日：2012-02-23

申请号：US12858882

申请日：2010-08-18

申请人： Ned M. Smith ,  Gunner D. Danneels ,  Vedvyas Shanbhogue ,  Suresh Sugumar

发明人： Ned M. Smith ,  Gunner D. Danneels ,  Vedvyas Shanbhogue ,  Suresh Sugumar

IPC分类号： G06F21/00

CPC分类号： G06F21/53 ,  G06F21/564 ,  G06F21/575

摘要： An antivirus (AV) application specifies a fault handler code image, a fault handler manifest, a memory location of the AV application, and an AV application manifest. A loader verifies the fault handler code image and the fault handler manifest, creates a first security domain having a first security level, copies the fault handler code image to memory associated with the first security domain, and initiates execution of the fault handler. The loader requests the locking of memory pages in the guest OS that are reserved for the AV application. The fault handler locks the executable code image of the AV application loaded into guest OS memory by setting traps on selected code segments in guest OS memory.

摘要翻译： 防病毒（AV）应用程序指定故障处理程序代码映像，故障处理程序清单，AV应用程序的存储位置和AV应用程序清单。 加载程序验证故障处理程序代码映像和故障处理程序清单，创建具有第一安全级别的第一安全域，将故障处理程序代码映像复制到与第一安全域相关联的存储器，并启动故障处理程序的执行。 加载程序请求锁定为AV应用程序保留的访客操作系统中的内存页面。 故障处理器通过在客户机操作系统内存中的选定代码段上设置陷阱来锁定加载到客户机操作系统内存中的AV应用程序的可执行代码映像。

公开(公告)号：US20130179693A1

公开(公告)日：2013-07-11

申请号：US13782484

申请日：2013-03-01

申请人： Ned M. Smith ,  Vedvyas Shanbhogue ,  Arvind Kumar ,  Purushottam Goel

发明人： Ned M. Smith ,  Vedvyas Shanbhogue ,  Arvind Kumar ,  Purushottam Goel

IPC分类号： G06F21/44

CPC分类号： G06F21/554 ,  G06F21/44 ,  G06F21/57 ,  G06F21/64

摘要： In one embodiment, a processor includes a microcode storage including processor instructions to create and execute a hidden resource manager (HRM) to execute in a hidden environment that is not visible to system software. The processor may further include an extend register to store security information including a measurement of at least one kernel code module of the hidden environment and a status of a verification of the at least one kernel code module. Other embodiments are described and claimed.

公开(公告)号：US20110145598A1

公开(公告)日：2011-06-16

申请号：US12639616

申请日：2009-12-16

申请人： Ned M. Smith ,  Vedvyas Shanbhogue ,  Arvind Kumar ,  Purushottam Goel

发明人： Ned M. Smith ,  Vedvyas Shanbhogue ,  Arvind Kumar ,  Purushottam Goel

IPC分类号： G06F9/30 ,  G06F21/22 ,  G06F9/02 ,  G06F15/76 ,  G06F1/32

CPC分类号： G06F21/554 ,  G06F21/44 ,  G06F21/57 ,  G06F21/64

摘要： In one embodiment, a processor includes a microcode storage including processor instructions to create and execute a hidden resource manager (HRM) to execute in a hidden environment that is not visible to system software. The processor may further include an extend register to store security information including a measurement of at least one kernel code module of the hidden environment and a status of a verification of the at least one kernel code module. Other embodiments are described and claimed.

摘要翻译： 在一个实施例中，处理器包括微代码存储器，其包括处理器指令，用于创建和执行在系统软件不可见的隐藏环境中执行的隐藏资源管理器（HRM）。 处理器还可以包括扩展寄存器，用于存储包括隐藏环境的至少一个内核代码模块的测量值和至少一个内核代码模块的验证状态的安全信息。 描述和要求保护其他实施例。

公开(公告)号：US08064605B2

公开(公告)日：2011-11-22

申请号：US11863233

申请日：2007-09-27

申请人： Tasneem Brutch ,  Alok Kumar ,  Vincent R. Scarlata ,  Faraz A. Siddiqi ,  Ned M. Smith ,  Willard M. Wiseman

发明人： Tasneem Brutch ,  Alok Kumar ,  Vincent R. Scarlata ,  Faraz A. Siddiqi ,  Ned M. Smith ,  Willard M. Wiseman

IPC分类号： H04L9/00 ,  H04L29/06

CPC分类号： G06F21/602 ,  G06F21/57 ,  H04L9/0825 ,  H04L9/0836 ,  H04L9/0897

摘要： A processing system with a trusted platform module (TPM) supports migration of digital keys. For instance, an application in the processing system may create a first configuration key as a child of a TPM storage root key (SRK) when the processing system has a first configuration. The application may also create an upgradable root user key associated with an upgrade authority as a child of the first configuration key. The application may also create a user key as a child of the upgradable root user key. When the processing system has a second configuration, the application may create a second configuration key as a child of the SRK. The application may request migration approval from the upgrade authority. In response to receiving the approval from the upgrade authority, the application may migrate the root user key to be a child of the second configuration key. Other embodiments are described and claimed.

摘要翻译： 具有可信平台模块（TPM）的处理系统支持数字密钥的迁移。 例如，当处理系统具有第一配置时，处理系统中的应用可以创建作为TPM存储根密钥（SRK）的子节点的第一配置密钥。 应用还可以创建与作为第一配置密钥的子级的升级授权机相关联的可升级根用户密钥。 应用程序还可以创建用户密钥作为可升级的根用户密钥的子级。 当处理系统具有第二配置时，应用可以创建作为SRK的子节点的第二配置密钥。 该应用程序可能请求迁移批准从升级授权。 响应于接收到升级授权的批准，应用程序可以将root用户密钥迁移为第二个配置密钥的子节点。 描述和要求保护其他实施例。

公开(公告)号：US09367688B2

公开(公告)日：2016-06-14

申请号：US13530773

申请日：2012-06-22

申请人： Ned M. Smith ,  Simon P. Johnson ,  Steve Orrin ,  Willard M. Wiseman

发明人： Ned M. Smith ,  Simon P. Johnson ,  Steve Orrin ,  Willard M. Wiseman

IPC分类号： G06F17/00 ,  G06F21/57

CPC分类号： H04L63/107 ,  G06F21/57 ,  G06F21/575 ,  G06F2221/2111 ,  H04W4/021 ,  H04W12/06 ,  H04W12/08

摘要： In one embodiment, a method includes determining a location of a system responsive to location information received from at least one of a location sensor and a wireless device of the system, associating the location with a key present in the system to generate an authenticated location of the system, and determining whether the authenticated location is within a geofence boundary indicated in a location portion of a launch control policy (LCP) that provides a geographic-specific policy. Other embodiments are described and claimed.

摘要翻译： 在一个实施例中，一种方法包括响应于从系统的位置传感器和无线设备中的至少一个接收的位置信息来确定系统的位置，将位置与系统中存在的密钥相关联，以产生认证位置 并且确定所认证的位置是否在提供地理特定策略的发射控制策略（LCP）的位置部分中指示的地理围栏边界内。 描述和要求保护其他实施例。

公开(公告)号：US20090089582A1

公开(公告)日：2009-04-02

申请号：US11863233

申请日：2007-09-27

申请人： TASNEEM BRUTCH ,  Alok Kumar ,  Vincent R. Scarlata ,  Faraz A. Siddiqi ,  Ned M. Smith ,  Willard M. Wiseman

发明人： TASNEEM BRUTCH ,  Alok Kumar ,  Vincent R. Scarlata ,  Faraz A. Siddiqi ,  Ned M. Smith ,  Willard M. Wiseman

IPC分类号： H04L9/30

CPC分类号： G06F21/602 ,  G06F21/57 ,  H04L9/0825 ,  H04L9/0836 ,  H04L9/0897

摘要： A processing system with a trusted platform module (TPM) supports migration of digital keys. For instance, an application in the processing system may create a first configuration key as a child of a TPM storage root key (SRK) when the processing system has a first configuration. The application may also create an upgradable root user key associated with an upgrade authority as a child of the first configuration key. The application may also create a user key as a child of the upgradable root user key. When the processing system has a second configuration, the application may create a second configuration key as a child of the SRK. The application may request migration approval from the upgrade authority. In response to receiving the approval from the upgrade authority, the application may migrate the root user key to be a child of the second configuration key. Other embodiments are described and claimed.

摘要翻译： 具有可信平台模块（TPM）的处理系统支持数字密钥的迁移。 例如，当处理系统具有第一配置时，处理系统中的应用可以创建作为TPM存储根密钥（SRK）的子节点的第一配置密钥。 应用还可以创建与作为第一配置密钥的子级的升级授权机相关联的可升级根用户密钥。 应用程序还可以创建用户密钥作为可升级的根用户密钥的子级。 当处理系统具有第二配置时，应用可以创建作为SRK的子节点的第二配置密钥。 该应用程序可能请求迁移批准从升级授权。 响应于接收到升级授权的批准，应用程序可以将root用户密钥迁移为第二个配置密钥的子节点。 描述和要求保护其他实施例。

公开(公告)号：US20090086979A1

公开(公告)日：2009-04-02

申请号：US11864512

申请日：2007-09-28

申请人： Tasneem Brutch ,  Alok Kumar ,  Vincent Scarlata ,  Faraz A. Siddiqi ,  Ned M. Smith ,  Willard M. Wiseman

发明人： Tasneem Brutch ,  Alok Kumar ,  Vincent Scarlata ,  Faraz A. Siddiqi ,  Ned M. Smith ,  Willard M. Wiseman

IPC分类号： H04L9/08

CPC分类号： H04L9/0836 ,  H04L2209/127

摘要： The present subject matter related to trusted computing, and more particularly, to virtual trusted platform module keys rooted in a hardware trusted platform module. Some embodiments include a trusted platform virtualization module operable to capture virtual machine trusted platform module calls and operates to generate, maintain, and utilize hardware trusted platform module keys on behalf of the one or more virtual machines. Some embodiments include virtual trusted platform module keys having a public portion on top of an private portion including an encrypted hardware trusted platform module key.

摘要翻译： 与可信计算相关的本主题，更具体地，涉及植根于硬件可信平台模块中的虚拟可信平台模块键。 一些实施例包括可操作以捕获虚拟机可信平台模块调用并且代表一个或多个虚拟机生成，维护和利用硬件可信平台模块密钥的可信平台虚拟化模块。 一些实施例包括虚拟可信平台模块密钥，其具有位于私有部分之上的公共部分，包括加密的硬件可信平台模块密钥。

公开(公告)号：US08584229B2

公开(公告)日：2013-11-12

申请号：US11963336

申请日：2007-12-21

申请人： Tasneem Brutch ,  Alok Kumar ,  Murari Kumar ,  Kalpana M. Roge ,  Vincent R. Scarlata ,  Ned M. Smith ,  Faraz A. Siddiqi ,  Willard M. Wiseman

发明人： Tasneem Brutch ,  Alok Kumar ,  Murari Kumar ,  Kalpana M. Roge ,  Vincent R. Scarlata ,  Ned M. Smith ,  Faraz A. Siddiqi ,  Willard M. Wiseman

IPC分类号： G11C7/00

CPC分类号： G06F21/629 ,  G06F9/45558 ,  G06F21/57 ,  G06F2009/45587 ,  G06F2221/2153

摘要： A data processing system features a hardware trusted platform module (TPM), and a virtual TPM (vTPM) manager. When executed, the vTPM manager detects a first request from a service virtual machine (VM) in the processing system, the first request to involve access to the hardware TPM (hTPM). In response, the vTPM manager automatically determines whether the first request should be allowed, based on filter rules identifying allowed or disallowed operations for the hTPM. The vTPM manager may also detect a second request to involve access to a software TPM (sTPM) in the processing system. In response, the vTPM manager may automatically determine whether the second request should be allowed, based on a second filter list identifying allowed or disallowed operations for the sTPM. Other embodiments are described and claimed.

摘要翻译： 数据处理系统具有硬件可信平台模块（TPM）和虚拟TPM（vTPM）管理器。 当执行时，vTPM管理器检测来自处理系统中的服务虚拟机（VM）的第一请求，第一请求涉及访问硬件TPM（hTPM）。 作为响应，基于识别hTPM的允许或不允许操作的过滤器规则，vTPM管理器自动确定是否应允许第一个请求。 vTPM管理器还可以检测第二请求以涉及访问处理系统中的软件TPM（sTPM）。 作为响应，基于识别sTPM的允许或不允许的操作的第二过滤器列表，vTPM管理器可以自动确定是否应允许第二请求。 描述和要求保护其他实施例。