公开(公告)号：WO2017147343A1

公开(公告)日：2017-08-31

申请号：PCT/US2017/019209

申请日：2017-02-23

Applicant: FORNETIX LLC

Inventor： WHITE, Charles ,  GARDNER, Gary C.

IPC: H04L9/08 ,  H04L29/08

CPC classification number: H04L63/061 ,  G06F12/128 ,  G06F12/1408 ,  G06F21/602 ,  G06F21/604 ,  G06F2212/1052 ,  G06F2212/621 ,  H04L63/062 ,  H04L63/0853

Abstract: Examples described herein relate to manipulation of a structure of a policy hierarchy, while reformulating policies associated with the manipulated nodes, or other nodes effected by the manipulation, of the hierarchy. In some examples, a node may be created, moved, and/or deleted, and the manipulated node (and other nodes effected by the manipulation of the node) may reformulate their respective policies based on their new positions within the policy hierarchy. In some examples, nodes indirectly effected by the hierarchy manipulation may be moved within the hierarchy as a result.

Abstract translation: 这里描述的示例涉及对策略层次结构的操纵，同时重新形成与操纵的节点或由操纵影响层次结构的其他节点相关联的策略。 在一些示例中，可以创建，移动和/或删除节点，并且操纵的节点（以及通过操纵节点而受影响的其他节点）可以基于其在策略层次内的新位置来重新制定其各自的策略。 在一些示例中，由层级操纵间接影响的节点可以作为结果在层级内移动。

公开(公告)号：WO2017138996A2

公开(公告)日：2017-08-17

申请号：PCT/US2016/063193

申请日：2016-11-21

Applicant: INTEL CORPORATION

Inventor： NARENDRA TRIVEDI, Alpa ,  CHHABRA, Siddhartha ,  DURHAM, David

IPC: G06F12/14

CPC classification number: G06F21/554 ,  G06F3/0604 ,  G06F3/0632 ,  G06F3/0673 ,  G06F12/0891 ,  G06F12/0893 ,  G06F12/1009 ,  G06F12/1408 ,  G06F21/602 ,  G06F21/78 ,  G06F2212/402 ,  G06F2212/60

Abstract: Techniques to enable scalable cryptographically protected memory using on-chip memory are described. In one embodiment, an apparatus may comprise a processor component implemented on a first integrated circuit, an on-chip memory component implemented on the first integrated circuit, the on-chip memory component to include a memory page handler to manage memory pages stored on the on-chip memory component, and a cryptographic engine to encrypt and decrypt memory pages for the memory page handler, and an off-chip memory component implemented on a second integrated circuit coupled to the first integrated circuit, the off-chip memory component to store encrypted memory pages evicted from the on-chip memory component. Other embodiments are described and claimed.

Abstract translation: 描述了使用片上存储器实现可扩展的加密保护存储器的技术。 在一个实施例中，装置可以包括在第一集成电路上实现的处理器组件，在第一集成电路上实现的片上存储器组件，片上存储器组件包括存储器页面处理器以管理存储在第一集成电路上的存储器页面 片上存储器组件以及用于加密和解密用于存储器页面处理器的存储器页的加密引擎以及在耦合到第一集成电路的第二集成电路上实现的片外存储器组件，片外存储器组件用于存储 加密的存储器页面从片上存储器组件中逐出。 描述并要求保护其他实施例。

公开(公告)号：WO2017133939A1

公开(公告)日：2017-08-10

申请号：PCT/EP2017/051501

申请日：2017-01-25

Applicant: SIEMENS AKTIENGESELLSCHAFT

Inventor： HINTERSTOISSER, Thomas ,  MATSCHNIG, Martin

IPC: G06F21/71 ,  G06F12/14 ,  H04L9/08

CPC classification number: G06F21/71 ,  G06F12/1408 ,  G09C1/00 ,  H04L9/0866 ,  H04L2209/12

Abstract: Verfahren zum Verschlüsseln des Speicherinhalts eines Speichers (MEM) in einem eingebetteten System, mit folgenden Schritten : - dass als Eingabe, in Form eines ersten Hilfsdatensatzes, für eine physikalische unklonbare Funktion (PUF) eine erste Zufallszahl (HD) durch einen physikalischen Zufallsgenerator (TRNG) erzeugt wird, - dass die Antwort (R) der physikalischen unklonbaren Funktion (PUF) als Eingabe für einen Fuzzy Key Extractor (FKE) verwendet wird, der aus der Antwort einen ersten Schlüssel (K) erzeugt, - dass mit dem ersten Schlüssel (K) ein erster Datensatz (D), bestehend aus einer oder mehreren aufeinander folgenden Dateneinheiten (DU), verschlüsselt und im Speicher (MEM) abgespeichert wird, und - dass für einen zweiten Datensatz (D), bestehend aus einer oder mehreren aufeinander folgenden Dateneinheiten (DU) und auf den ersten Datensatz folgend, auf die gleiche Weise ein zweiter Schlüssel (K) aus einer zweiten Zufallszahl (HD) erzeugt wird, und der zweite Datensatz mit dem so erzeugten zweiten Schlüssel verschlüsselt und im Speicher (MEM) abgespeichert wird.

Abstract translation:

一种在嵌入式系统的存储器（MEM）的存储内容的Verschl导航使用碗的方法，包括以下步骤： - 作为在第一辅助数据组的形式的输入，F导航用途R A物理unklonbare函数（PUF） 一个第一随机数（HD）由物理随机数发生器（TRNG）被产生， - 该响应的物理unklonbaren功能的（R）（PUF）作为输入来导航使用R A模糊密钥提取器（FKE）时，所述响应中的所述一个 产生第一密钥（K） - 利用第一密钥（K）将由一个或多个连续数据单元（DU）组成的第一数据记录（D）加密并存储在存储器（MEM）中， ，以及 - 对于由一个或多个连续数据单元（DU）组成并且在第一数据记录之后的第二数据集（D），以相同的方式从第二随机数字 l（HD），第二个记录用这样产生的第二个密钥加密并存储在存储器（MEM）中。

公开(公告)号：WO2017106101A3

公开(公告)日：2017-08-10

申请号：PCT/US2016066188

申请日：2016-12-12

Applicant: CHARLES STARK DRAPER LABORATORY INC

Inventor： DEHON ANDRE' ,  BOLING ELI

IPC: G06F21/52 ,  G06F9/30 ,  G06F9/38 ,  G06F12/0875 ,  G06F21/62

CPC classification number: G06F12/0875 ,  G06F9/30072 ,  G06F9/30098 ,  G06F9/30101 ,  G06F9/3867 ,  G06F12/1408 ,  G06F12/1458 ,  G06F15/78 ,  G06F21/52 ,  G06F21/6218 ,  G06F2212/1052 ,  G06F2212/402 ,  G06F2212/452

Abstract: Techniques are described for metadata processing that can be used to encode an arbitrary number of security policies for code running on a processor. Metadata may be added to every word in the system and a metadata processing unit may be used that works in parallel with data flow to enforce an arbitrary set of policies. In one aspect, the metadata may be characterized as unbounded and software programmable to be applicable to a wide range of metadata processing policies. Techniques and policies have a wide range of uses including, for example, safety, security, and synchronization. Additionally, described are aspects and techniques in connection with metadata processing in an embodiment based on the RISC-V architecture.

Abstract translation: 描述了用于元数据处理的技术，其可以用于对处理器上运行的代码编码任意数量的安全策略。 元数据可以被添加到系统中的每个单词中，并且可以使用元数据处理单元，其与数据流并行地执行任意一组策略。 在一个方面，元数据可以被表征为无界的并且软件可编程以适用于广泛范围的元数据处理策略。 技术和策略具有广泛的用途，例如包括安全性，安全性和同步性。 另外，在基于RISC-V架构的实施例中描述了与元数据处理相关的方面和技术。

公开(公告)号：WO2017125703A1

公开(公告)日：2017-07-27

申请号：PCT/GB2016/053683

申请日：2016-11-23

Applicant: ARM LIMITED

Inventor： GRANT, Alasdair

IPC: G06F12/1045 ,  G06F12/0895 ,  G06F12/14 ,  G06F21/78

CPC classification number: G06F12/1054 ,  G06F12/0895 ,  G06F12/1408 ,  G06F12/1475 ,  G06F21/78 ,  G06F2212/1052

Abstract: An apparatus comprises 2 processing circuitry 4 for accessing data in a physically- indexed cache 20, 22. Set indicator recording circuitry 100 is provided to record a set indicator corresponding to a target physical address, where the set indicator depends on which set of one or more storage locations 50 of the cache 20 corresponds to the target physical address. The set indicator is insufficient to identify the target physical address itself. This enables performance issues caused by contention of data items for individual sets in a physically- indexed set-associative or direct-mapped cache to be identified without needing to expose the physical address itself to potentially insecure processes or devices.

Abstract translation: 设备包括用于访问物理索引的高速缓存20,22中的数据的2个处理电路4.设置指示符记录电路100用于记录对应于目标物理地址的设置指示符，其中该集合 指示器取决于高速缓存20的一个或多个存储位置50中的哪一组对应于目标物理地址。 设置的指示符不足以识别目标物理地址本身。 这样就可以识别由物理索引集合关联或直接映射缓存中各个集合的数据项争用引起的性能问题，而无需将物理地址本身暴露给可能不安全的进程或设备。

公开(公告)号：WO2017103497A1

公开(公告)日：2017-06-22

申请号：PCT/FR2016/053456

申请日：2016-12-15

Applicant: OBERTHUR TECHNOLOGIES

Inventor： BARBU, Guillaume ,  ANDOUARD, Philippe

IPC: G06F12/14 ,  G06F21/55

CPC classification number: G06F12/1408 ,  G06F21/755 ,  G06F21/79

Abstract: Un procédé d'écriture dans une mémoire non-volatile (6) d'une entité électronique (1) comprend les étapes suivantes : - détermination d'un état de fonctionnement de l'entité électronique (1); - en cas de fonctionnement anormal, écriture d'une première donnée dans une première zone de la mémoire non-volatile (6); - en cas de fonctionnement normal, écriture d'une seconde donnée dans une seconde zone de la mémoire non-volatile (6). Le procédé comprend une étape de détermination aléatoire d'un emplacement de la seconde zone parmi une pluralité d'emplacements de la seconde zone, ladite écriture de la donnée dans la seconde zone étant réalisée à l'emplacement déterminé. Une entité électronique associée est également proposée.

Abstract translation:

程序d＆oacute; 写入实体的非易失性存储器（6）; 电子（1）包括以下步骤： - 确定实体的操作条件; 电子（1）; - 在非正常操作的情况下，在非易失性存储器（6）的第一区中写入第一给定; 在正常操作的情况下，在非易失性存储器（6）的第二区中写入第二数据。 d＆oacute的过程; 包括é轻拍d＆eac​​ute;人判定é随机从多个＆eacute第二区的位置; 所述第二区域的位置的所述写入在所述第二区域中的所述写入被执行; 该地点终止。 实体＆oacute; 相关的电子产品也是可用的。

公开(公告)号：WO2017066318A1

公开(公告)日：2017-04-20

申请号：PCT/US2016/056636

申请日：2016-10-12

Applicant: RENESAS ELECTRONICS AMERICA INC.

Inventor： BRABENDER, Jon, Matthew ,  MORI, Noriyuki ,  GOODCHILD, Mark ,  DALLAWAY, John, L. ,  DEADMAN, James, Mark ,  HUSSEY, Brandon, C. ,  VEDULA, Murthy, L.

IPC: G06F21/00

CPC classification number: G06F21/125 ,  G06F8/30 ,  G06F8/70 ,  G06F8/71 ,  G06F12/1408 ,  G06F21/57 ,  G06F21/6209 ,  G06F2212/1052 ,  G06F2221/0724 ,  G06F2221/0768 ,  G06F2221/2107 ,  G06F2221/2141

Abstract: A method and apparatus for secure code delivery. In one embodiment the method is implemented on a computer system, and includes reading an access privilege from a first set of access privileges, wherein the first set of access privileges corresponds to a first file that comprises first encrypted source code. The first encrypted source code is decrypted to produce first decrypted source code. A determination is made as to whether the first access privilege is set to a first state or a second state. If the first access privilege is set to the first state, a first software development tool is permitted to access and process the first decrypted source code. If the first access privilege is set to a second state, the first software development tool is denied access to decrypted source code.

Abstract translation: 一种用于安全代码传递的方法和设备。 在一个实施例中，该方法在计算机系统上实现，并且包括从第一组访问特权中读取访问特权，其中第一组访问特权对应于包括第一加密源代码的第一文件。 第一个加密的源代码被解密以产生第一个解密的源代码。 做出关于第一访问权限是被设置为第一状态还是第二状态的确定。 如果第一访问权限设置为第一状态，则允许第一软件开发工具访问并处理第一解密的源代码。 如果第一个访问权限设置为第二个状态，则第一个软件开发工具被拒绝访问解密的源代码。

公开(公告)号：WO2017052946A1

公开(公告)日：2017-03-30

申请号：PCT/US2016/048512

申请日：2016-08-25

Applicant: MCAFEE, INC.

Inventor： WOODWARD, Carl D. ,  SAMBANDAM, Venkata Ramanan ,  RUBAKHA, Dmitri

IPC: G06F9/54 ,  G06F12/14 ,  G06F12/08

CPC classification number: G06F3/0659 ,  G06F3/0623 ,  G06F3/0631 ,  G06F3/064 ,  G06F3/0647 ,  G06F3/0656 ,  G06F3/0673 ,  G06F12/023 ,  G06F12/08 ,  G06F12/1408 ,  G06F12/1491 ,  G06F21/53 ,  G06F21/57 ,  G06F21/74 ,  G06F2212/1016 ,  G06F2212/1052 ,  G06F2212/152 ,  H04L9/3234

Abstract: In an example, there is disclosed a computing apparatus, including a processor, including a trusted execution instruction set; a memory having an enclave portion, wherein the enclave is accessible only via the trusted execution instruction set; a swap file; and a memory management engine operable to: allocate a buffer within the enclave; receive a scope directive to indicate that the buffer is in scope; and protect the buffer from swapping to the swap file while the buffer is in scope. There is further disclosed an method of providing a memory management engine, and one or more computer-readable storage mediums having stored thereon executable instructions for providing the memory management engine.

Abstract translation: 在一个示例中，公开了一种包括处理器的计算装置，包括可信执行指令集; 具有飞地部分的存储器，其中所述飞地仅能通过所述可信执行指令集来访问; 一个交换文件 以及可操作用于：在所述飞地内分配缓冲器的存储器管理引擎; 接收范围指令以指示缓冲区在范围内; 并在缓冲区范围内保护缓冲区免受交换到交换文件。 还公开了一种提供存储器管理引擎和一个或多个计算机可读存储介质的方法，其中存储有用于提供存储器管理引擎的可执行指令。

公开(公告)号：WO2017044595A1

公开(公告)日：2017-03-16

申请号：PCT/US2016/050731

申请日：2016-09-08

Applicant: OVERNEST, INC.

Inventor： YU, Edward Liang

IPC: G06F11/30

CPC classification number: G06F3/0623 ,  G06F3/064 ,  G06F3/0643 ,  G06F3/0659 ,  G06F3/067 ,  G06F12/1408 ,  G06F17/3056 ,  G06F21/602 ,  G06F21/6209 ,  G06F21/6218 ,  G06F2212/1052 ,  G06F2212/154 ,  G06F2212/163 ,  G06F2212/263

Abstract: In some embodiments, an apparatus includes a processor configured to receive an instruction to read a data file within a database and an identifier associated with the data file. The processor is also configured to identify, based on the identifier, a set of logical block identifiers associated with a set of storage locations of the database, and retrieve data stored at each storage location from the set of storage locations using the set of logical block identifiers. The processor is then configured to identify, based on the data stored at each storage location from the set of storage locations, a subset of storage locations from the set of storage locations. The data stored at each storage location from the subset of storage locations pertain to the data file. The processor is configured to compile the data file based on the data within the subset of storage locations.

Abstract translation: 在一些实施例中，一种装置包括处理器，其被配置为接收读取数据库内的数据文件的指令和与该数据文件相关联的标识符。 处理器还被配置为基于标识符来识别与数据库的一组存储位置相关联的一组逻辑块标识符，并且使用该组逻辑块从存储位置集合检索存储在每个存储位置的数据 身份标识。 然后，处理器被配置为基于存储在来自该组存储位置的每个存储位置处的数据，从该组存储位置识别存储位置的子集。 从存储位置子集存储在每个存储位置的数据与数据文件有关。 处理器被配置为基于存储位置子集内的数据来编译数据文件。

公开(公告)号：WO2017036906A1

公开(公告)日：2017-03-09

申请号：PCT/EP2016/070053

申请日：2016-08-25

Applicant: UNISCON UNIVERSAL IDENTITY CONTROL GMBH

Inventor： RIEKEN, Ralf ,  KELLERMANN, Michael ,  JÄGER, Hubert ,  ERNST, Edmund

IPC: H04L29/06

CPC classification number: G06F12/1408 ,  G06F12/1458 ,  H04L9/0618 ,  H04L9/0819 ,  H04L9/0861 ,  H04L63/0428 ,  H04L63/061

Abstract: Bereit gestellt wird ein Verfahren zum sicheren und effizienten Zugriff auf Verbindungsdaten zumindest eines Telekommunikationsanbieters (TK), wobei -die Verbindungsdaten (VD) von dem Telekommunikationsanbieter erhoben werden und von dem Telekommunikationsanbieter verschlüsselt werden, -die verschlüsselten Verbindungsdaten (VDv) von dem Telekommunikationsanbieter (TK) in eine gesicherte Umgebung (U) übertragen werden, -in der gesicherten Umgebung (U) die übertragenen verschlüsselten Verbindungsdaten (VDv) entschlüsselt werden und für einen ersten vorbestimmten Zeitraum (t1) als entschlüsselte Verbindungsdaten (VDe) ausschließlich in einem flüchtigen Speicher (S) der gesicherten Umgebung (U) gespeichert werden, und -der Zugriff auf die Verbindungsdaten ausschließlich als Zugriff auf die in dem flüchtigen Speicher (S) der gesicherten Umgebung (U) gespeicherten entschlüsselten Verbindungsdaten (VDe) über eine vorbestimmte Schnittstelle (IF) der gesicherten Umgebung (U) gewährt wird.

Abstract translation: 提供了一种用于安全和高效地访问至少一个电信运营商（TK）的链路数据，其中，由所述电信运营商收集和由电信运营商被加密-the连接数据（VD），该电信运营商的-the加密连接数据（VDV）（TK的方法 ）（在安全的环境U）被发送，-in被解密的安全环境，和（对于时间t1的第一预定时间段）作为解密连接数据（VDE）仅在易失性存储器（S（U），所传输的加密的连接数据（VDV） ）通过预定的接口（IF安全区域（U）存储解密的连接数据（VDE）的安全区域（存储U），和-the接入链路数据仅仅作为访问（易失性存储器S）的）的固定的 环境（U）GEWA 为线索。