公开(公告)号：US20050246552A1

公开(公告)日：2005-11-03

申请号：US10835330

申请日：2004-04-29

申请人： Steven Bade ,  Linda Betz ,  Andrew Kegel ,  Michael Kelly ,  William Terrell

发明人： Steven Bade ,  Linda Betz ,  Andrew Kegel ,  Michael Kelly ,  William Terrell

IPC分类号： G06F11/30 ,  G06F12/14 ,  G06F21/00 ,  H04L9/32

CPC分类号： G06F21/57 ,  G06F21/53 ,  H04L9/0897

摘要： A method, an apparatus, a system, and a computer program product is presented for virtualizing trusted platform modules within a data processing system. A virtual trusted platform module along with a virtual endorsement key is created within a physical trusted platform module within the data processing system using a platform signing key of the physical trusted platform module, thereby providing a transitive trust relationship between the virtual trusted platform module and the core root of trust for the trusted platform. The virtual trusted platform module can be uniquely associated with a partition in a partitionable runtime environment within the data processing system.

摘要翻译： 提出了一种方法，装置，系统和计算机程序产品，用于虚拟化数据处理系统内的可信平台模块。 使用物理可信平台模块的平台签名密钥在数据处理系统内的物理可信平台模块内创建虚拟可信平台模块以及虚拟认证密钥，从而在虚拟可信平台模块和虚拟可信平台模块之间提供传递信任关系 信任平台的核心信任根源。 虚拟可信平台模块可以与数据处理系统内的可分区运行时环境中的分区唯一关联。

公开(公告)号：US20050257073A1

公开(公告)日：2005-11-17

申请号：US10835498

申请日：2004-04-29

申请人： Steven Bade ,  Linda Betz ,  Andrew Kegel ,  David Safford ,  Leendert Doorn

发明人： Steven Bade ,  Linda Betz ,  Andrew Kegel ,  David Safford ,  Leendert Doorn

IPC分类号： G06F21/24 ,  G06F1/00 ,  G06F3/06 ,  G06F12/14 ,  G06F12/16 ,  G06F21/00 ,  H04L9/32

CPC分类号： G06F21/575

摘要： Multiple trusted platform modules within a data processing system are used in a redundant manner that provides a reliable mechanism for securely storing secret data at rest that is used to bootstrap a system trusted platform module. A hypervisor requests each trusted platform module to encrypt a copy of the secret data, thereby generating multiple versions of encrypted secret data values, which are then stored within a non-volatile memory within the trusted platform. At some later point in time, the encrypted secret data values are retrieved, decrypted by the trusted platform module that performed the previous encryption, and then compared to each other. If any of the decrypted values do not match a quorum of values from the comparison operation, then a corresponding trusted platform module for a non-matching decrypted value is designated as defective because it has not been able to correctly decrypt a value that it previously encrypted.

摘要翻译： 以冗余的方式使用数据处理系统内的多个可信任的平台模块，其提供用于安全地存储用于引导系统可信平台模块的休息处的秘密数据的可靠机制。 管理程序请求每个可信平台模块加密秘密数据的副本，从而生成加密的秘密数据值的多个版本，然后存储在可信平台内的非易失性存储器中。 在稍后的时间点，加密的秘密数据值由执行先前加密的可信任平台模块进行解密，然后进行比较。 如果解密值中的任何一个与比较操作中的值的数量不匹配，则用于非匹配解密值的相应的可信平台模块被指定为有缺陷的，因为它不能正确解密其先前加密的值 。

公开(公告)号：US20070198214A1

公开(公告)日：2007-08-23

申请号：US11355719

申请日：2006-02-16

申请人： Steven Bade ,  Andrew Kegel ,  Leendert Van Doorn

发明人： Steven Bade ,  Andrew Kegel ,  Leendert Van Doorn

IPC分类号： G21C17/00

CPC分类号： G06F21/577 ,  G06F11/3409 ,  G06F2201/81

摘要： A solution for evaluating trust in a computer infrastructure is provided. In particular, a plurality of computing devices in the computer infrastructure evaluate one or more other computing devices in the computer infrastructure based on a set of device measurements for the other computing device(s) and a set of reference measurements. To this extent, each of the plurality of computing devices also provides a set of device measurements for processing by the other computing device(s) in the computer infrastructure.

摘要翻译： 提供了一种评估计算机基础设施信任的解决方案。 特别地，计算机基础设施中的多个计算设备基于用于其他计算设备的一组设备测量值和一组参考测量结果来评估计算机基础结构中的一个或多个其他计算设备。 在这种程度上，多个计算设备中的每一个还提供一组设备测量值以供计算机基础设施中的其他计算设备处理。

公开(公告)号：US20070260545A1

公开(公告)日：2007-11-08

申请号：US11381237

申请日：2006-05-02

申请人： Steven Bade ,  Richard Dayan ,  James Hanna ,  Andrew Kegel

发明人： Steven Bade ,  Richard Dayan ,  James Hanna ,  Andrew Kegel

IPC分类号： H04L9/00 ,  G06F12/14 ,  H04L9/32 ,  G06F11/30 ,  H04K1/00

CPC分类号： G06F21/57 ,  G06F21/575 ,  H04L2463/101

摘要： Embodiments of the present invention address deficiencies of the art in respect to trusted platform module (TPM) unification in a trusted computing environment and provide a novel and non-obvious method, system and computer program product for trusted platform module data harmonization. In one embodiment of the invention, a TPM log harmonization method can include designating both a single master TPM for a master node among multiple nodes, and also a multiplicity of subsidiary TPMs for remaining ones of the nodes. The method further can include extending the single master TPM with a measurement representing a rendezvous operation for the nodes.

摘要翻译： 本发明的实施例解决了可信计算环境中可信任平台模块（TPM）统一方面的技术缺陷，并提供了一种用于可信平台模块数据协调的新颖且非显而易见的方法，系统和计算机程序产品。 在本发明的一个实施例中，TPM对数协调方法可以包括指定多个节点之间的主节点的单个主TPM，以及用于剩余节点的多个辅助TPM。 该方法还可以包括使用表示节点的会合操作的测量来扩展单个主TPM。

公开(公告)号：US20070136577A1

公开(公告)日：2007-06-14

申请号：US11301803

申请日：2005-12-13

申请人： Steven Bade ,  Andrew Kegel ,  Leendert Van Doorn

发明人： Steven Bade ,  Andrew Kegel ,  Leendert Van Doorn

IPC分类号： H04L9/00

CPC分类号： G06F21/57

摘要： A method, system and computer program product for implementing general purpose PCRs with extended semantics (referred to herein as “ePCRs”) in a trusted, measured software module. The module is designed to run in one of a hypervisor context, an isolated partition, or under other isolated configurations. Because the software module is provided using trusted (measured) code, the software implementing the PCRs is able to run as a simple software process in the operating system (OS), as long as the software is first measured and logged. The software-implemented ePCRs are generated as needed to record specific measurements of the software and hardware elements on which an application depends, and the ePCRs are able to ignore other non-dependencies.

摘要翻译： 一种用于在可信测量的软件模块中实现具有扩展语义（在本文中称为“ePCR”）的通用PCR的方法，系统和计算机程序产品。 该模块设计为在虚拟机管理程序上下文，隔离分区或其他隔离配置之一下运行。 由于使用可信（测量）代码提供软件模块，所以实施PCR的软件只要首先测量和记录软件，就可以在操作系统（OS）中作为简单的软件过程运行。 根据需要生成软件实现的ePCR，以记录应用程序所依赖的软件和硬件元素的特定测量，ePCR可以忽略其他不依赖性。

公开(公告)号：US20130145051A1

公开(公告)日：2013-06-06

申请号：US13309738

申请日：2011-12-02

申请人： Andrew Kegel ,  Mark Hummel

发明人： Andrew Kegel ,  Mark Hummel

IPC分类号： G06F3/00

CPC分类号： G06F13/28 ,  G06F12/1081 ,  G06F2212/151 ,  G06F2213/0058

摘要： A system is enabled for configuring an IOMMU to provide direct access to system memory data by at least one I/O device/peripheral. Further, the IOMMU is configured to pass a pointer to at least one I/O device without having to translate the pointer. Further, commands are sent from a process within a guest operating system (OS) directly to a peripheral without intervention from a hypervisor. Further, the IOMMU is configured to grant peripherals access permissions to memory blocks to maintain isolation among peripherals.

摘要翻译： 启用一个系统来配置IOMMU以通过至少一个I / O设备/外围设备直接访问系统内存数据。 此外，IOMMU被配置为将指针传递到至少一个I / O设备，而不必转换指针。 此外，命令从客户操作系统（OS）中的进程直接发送到外设，而无需管理程序的干预。 此外，IOMMU被配置为允许外设对存储器块的访问权限，以保持外设之间的隔离。

公开(公告)号：US20060090085A1

公开(公告)日：2006-04-27

申请号：US10971258

申请日：2004-10-23

申请人： Paul McKenney ,  Paul Landsberg ,  James Ward ,  Andrew Kegel

发明人： Paul McKenney ,  Paul Landsberg ,  James Ward ,  Andrew Kegel

IPC分类号： G06F12/14

CPC分类号： G06F21/86 ,  G06F2221/2143

摘要： Indicating when the cover for a computer chassis has been opened is disclosed. A computer of an embodiment of the invention includes a chassis and a basic input/output system (BIOS), or another type of firmware. The chassis has an openable cover, and circuitry indicating when the openable cover has been opened. The BIOS has a non-volatile memory in which a flag is set when the circuitry indicates that the openable cover has been opened. The computer may further include always-on circuitry, such as time-of-day and real-time clock circuitry, to which the circuitry indicating when the openable cover has been opened is electrically connected. The computer may also include one or more encryption and/or signing modules that encrypt and/or sign data according to one or more keys. The keys are rendered invalid when the cover of the chassis has been opened.

摘要翻译： 指出计算机机壳盖何时已打开。 本发明实施例的计算机包括底盘和基本输入/输出系统（BIOS）或其他类型的固件。 机箱具有可打开的盖子，电路指示何时打开盖子。 BIOS具有非易失性存储器，当电路指示可打开的盖已经打开时，其中标志被置位。 计算机可以进一步包括始终在线的电路，例如时间和实时时钟电路，电路指示何时可打开的盖已经被打开。 计算机还可以包括根据一个或多个密钥加密和/或签署数据的一个或多个加密和/或签名模块。 当机箱的盖子打开时，钥匙将无效。

公开(公告)号：US08719464B2

公开(公告)日：2014-05-06

申请号：US13308211

申请日：2011-11-30

申请人： Andrew Kegel ,  Mark Hummel ,  Anthony Asaro ,  Phillip Ng

发明人： Andrew Kegel ,  Mark Hummel ,  Anthony Asaro ,  Phillip Ng

IPC分类号： G06F13/28 ,  G06F21/00

CPC分类号： G06F13/28

摘要： The present system enables passing a pointer, associated with accessing data in a memory, to an input/output (I/O) device via an input/output memory management unit (IOMMU). The I/O device accesses the data in the memory via the IOMMU without copying the data into a local I/O device memory. The I/O device can perform an operation on the data in the memory based on the pointer, such that I/O device accesses the memory without expensive copies.

摘要翻译： 本系统使得能够通过输入/输出存储器管理单元（IOMMU）将与访问存储器中的数据相关联的指针传递到输入/输出（I / O）设备。 I / O设备通过IOMMU访问存储器中的数据，而不将数据复制到本地I / O设备存储器中。 I / O设备可以基于指针对存储器中的数据执行操作，使得I / O设备访问存储器而不需要昂贵的副本。

公开(公告)号：US20130138840A1

公开(公告)日：2013-05-30

申请号：US13308211

申请日：2011-11-30

申请人： Andrew Kegel ,  Mark Hummel ,  Anthony Asaro ,  Phillip Ng

发明人： Andrew Kegel ,  Mark Hummel ,  Anthony Asaro ,  Phillip Ng

IPC分类号： G06F13/28

CPC分类号： G06F13/28

摘要： The present system enables passing a pointer, associated with accessing data in a memory, to an input/output (I/O) device via an input/output memory management unit (IOMMU). The I/O device accesses the data in the memory via the IOMMU without copying the data into a local I/O device memory. The I/O device can perform an operation on the data in the memory based on the pointer, such that I/O device accesses the memory without expensive copies.

摘要翻译： 本系统使得能够通过输入/输出存储器管理单元（IOMMU）将与访问存储器中的数据相关联的指针传递到输入/输出（I / O）设备。 I / O设备通过IOMMU访问存储器中的数据，而不将数据复制到本地I / O设备存储器中。 I / O设备可以基于指针对存储器中的数据执行操作，使得I / O设备访问存储器而不需要昂贵的副本。

公开(公告)号：US20130145055A1

公开(公告)日：2013-06-06

申请号：US13309753

申请日：2011-12-02

申请人： Andrew Kegel ,  Mark Hummel ,  Anthony Asaro ,  Phillip NG

发明人： Andrew Kegel ,  Mark Hummel ,  Anthony Asaro ,  Phillip NG

IPC分类号： G06F13/28

CPC分类号： G06F13/28 ,  G06F12/0223 ,  G06F12/1081 ,  G06F2213/0058

摘要： The present system enables an input/output (I/O) device to request memory for performing a direct memory access (DMA) of system memory. Further, the system uses an input/output memory management unit (IOMMU) to determine whether or not the system memory is available. The IOMMU notifies an operating system associated with the system memory if the system memory is not available, such that the operating system allocates non-system memory for use by the I/O device to perform the DMA.

摘要翻译： 本系统使得输入/输出（I / O）设备能够请求存储器来执行系统存储器的直接存储器访问（DMA）。 此外，系统使用输入/输出存储器管理单元（IOMMU）来确定系统存储器是否可用。 如果系统内存不可用，IOMMU将通知与系统内存相关联的操作系统，以便操作系统分配非系统内存供I / O设备使用以执行DMA。