公开(公告)号：WO2017052946A1

公开(公告)日：2017-03-30

申请号：PCT/US2016/048512

申请日：2016-08-25

Applicant: MCAFEE, INC.

Inventor： WOODWARD, Carl D. ,  SAMBANDAM, Venkata Ramanan ,  RUBAKHA, Dmitri

IPC: G06F9/54 ,  G06F12/14 ,  G06F12/08

CPC classification number: G06F3/0659 ,  G06F3/0623 ,  G06F3/0631 ,  G06F3/064 ,  G06F3/0647 ,  G06F3/0656 ,  G06F3/0673 ,  G06F12/023 ,  G06F12/08 ,  G06F12/1408 ,  G06F12/1491 ,  G06F21/53 ,  G06F21/57 ,  G06F21/74 ,  G06F2212/1016 ,  G06F2212/1052 ,  G06F2212/152 ,  H04L9/3234

Abstract: In an example, there is disclosed a computing apparatus, including a processor, including a trusted execution instruction set; a memory having an enclave portion, wherein the enclave is accessible only via the trusted execution instruction set; a swap file; and a memory management engine operable to: allocate a buffer within the enclave; receive a scope directive to indicate that the buffer is in scope; and protect the buffer from swapping to the swap file while the buffer is in scope. There is further disclosed an method of providing a memory management engine, and one or more computer-readable storage mediums having stored thereon executable instructions for providing the memory management engine.

Abstract translation: 在一个示例中，公开了一种包括处理器的计算装置，包括可信执行指令集; 具有飞地部分的存储器，其中所述飞地仅能通过所述可信执行指令集来访问; 一个交换文件 以及可操作用于：在所述飞地内分配缓冲器的存储器管理引擎; 接收范围指令以指示缓冲区在范围内; 并在缓冲区范围内保护缓冲区免受交换到交换文件。 还公开了一种提供存储器管理引擎和一个或多个计算机可读存储介质的方法，其中存储有用于提供存储器管理引擎的可执行指令。

公开(公告)号：WO2016106933A1

公开(公告)日：2016-07-07

申请号：PCT/CN2015/071983

申请日：2015-01-30

Applicant: 北京兆易创新科技股份有限公司

Inventor： 李宝魁 ,  王景华 ,  王南飞

IPC: G06F21/12

CPC classification number: G06F21/123 ,  G06F3/0622 ,  G06F3/0644 ,  G06F3/0679 ,  G06F12/14 ,  G06F12/1433 ,  G06F12/1441 ,  G06F12/1491 ,  G06F13/4022 ,  G06F13/4282 ,  G06F21/53 ,  G06F21/78 ,  G06F21/85 ,  G06F2213/0026

Abstract: 一种基于若干分区的MCU芯片信息保护方法和装置，所述MCU芯片包括指令总线、数据总线、闪存控制器和闪存用户区；所述的方法包括：确定所述指令总线在访问所述闪存用户区时，所访问的在先分区（101）；进入所述在先分区对应的在先分区工作状态（102）；再次确定所述指令总线在访问所述闪存用户区时，所访问的当前分区（103）；若所述在先分区与所述当前分区不一致，则进入过渡状态（104）；判断处于所述过渡状态下的时间是否达到预设的等待时间（105）；若是，则进入所述当前分区对应的分区工作状态（106）。用以保护程序不被客户窃取，同时保护合作开发程序的公司不能相互窃取对方的程序。

公开(公告)号：WO2016064531A1

公开(公告)日：2016-04-28

申请号：PCT/US2015/052331

申请日：2015-09-25

Applicant: MCAFEE, INC.

Inventor： SAXENA, Paritosh ,  DUNBAR, Adrian M.M.T. ,  HUGHES, Michael S. ,  TEDDY, John ,  DURHAM, David Michael ,  VEMBU, Balaji ,  DEWAN, Prashant ,  CABLAO, Debra ,  TRIANTAFILLOU, Nicholas D. ,  SURPRISE, Jason M.

IPC: G06F21/50 ,  G06F21/78

CPC classification number: G06F21/552 ,  G06F1/28 ,  G06F9/45558 ,  G06F9/5027 ,  G06F12/14 ,  G06F12/145 ,  G06F12/1491 ,  G06F21/445 ,  G06F21/554 ,  G06F21/558 ,  G06F21/56 ,  G06F21/566 ,  G06F21/57 ,  G06F21/71 ,  G06F21/74 ,  G06F2009/45587 ,  G06F2209/509 ,  G06F2212/1052 ,  G06F2221/034 ,  G06F2221/2149 ,  G06T1/20 ,  G09G5/363

Abstract: Computing platform security methods and apparatus are disclosed. An example apparatus includes a security application to configure a security task, the security task to detect a malicious element on a computing platform, the computing platform including a central processing unit and a graphics processing unit; and an offloader to determine whether the central processing unit or the graphics processing unit is to execute the security task; and when the graphics processing unit is to execute the security task, offload the security task to the graphics processing unit for execution.

Abstract translation: 公开了计算平台安全方法和装置。 一种示例装置包括：安全应用，用于配置安全任务，所述安全任务用于检测计算平台上的恶意元素，所述计算平台包括中央处理单元和图形处理单元; 以及卸载器，用于确定中央处理单元或图形处理单元是否要执行安全任务; 并且当图形处理单元要执行安全任务时，将安全任务卸载到图形处理单元以供执行。

公开(公告)号：WO2016053923A1

公开(公告)日：2016-04-07

申请号：PCT/US2015/052762

申请日：2015-09-29

Applicant: MICROSOFT TECHNOLOGY LICENSING, LLC

Inventor： PROBERT, David B. ,  ENGEL, Jeff ,  AHMAD, Arsalan ,  KISHAN, Arun U. ,  LANGE, Jonathan E.

IPC: G06F21/53 ,  G06F12/14 ,  G06F9/455 ,  G06F21/62

CPC classification number: H04L9/3236 ,  G06F9/45533 ,  G06F9/45558 ,  G06F12/08 ,  G06F12/14 ,  G06F12/1408 ,  G06F12/1416 ,  G06F12/1458 ,  G06F12/1491 ,  G06F21/53 ,  G06F21/6218 ,  G06F2009/45587

Abstract: Various embodiments provide techniques and devices for protecting application secrets from operating system attacks. In some examples, applications execute with an isolated user mode of a secure execution environment, while relying on an operating system executing within a separate execution environment for resource management and system services. A proxy kernel can control access by the operating system to data associated with the secure execution environment. Further, the proxy kernel can act as a transparent interface between isolated user mode applications and the operating system during the provision of resource management and system services.

Abstract translation: 各种实施例提供用于保护应用程序秘密免受操作系统攻击的技术和设备。 在一些示例中，应用程序以安全执行环境的隔离用户模式执行，同时依赖于在单独执行环境中执行的用于资源管理和系统服务的操作系统。 代理内核可以控制操作系统对与安全执行环境相关联的数据的访问。 此外，在提供资源管理和系统服务期间，代理内核可以作为隔离用户模式应用程序和操作系统之间的透明接口。

公开(公告)号：WO2014174580A1

公开(公告)日：2014-10-30

申请号：PCT/JP2013/061805

申请日：2013-04-22

Applicant: 富士通株式会社

Inventor： 福島　広隆

IPC: G06F13/10 ,  G06F9/46 ,  G06F12/02

CPC classification number: G06F9/45558 ,  G06F9/45533 ,  G06F12/1081 ,  G06F12/1491 ,  G06F2009/45579 ,  G06F2009/45583 ,  G06F2009/45591 ,  G06F2212/151

Abstract: 　入れ子の仮想化環境におけるゲストプログラムに、ＤＭＡＲ－ＨＷを提供する際の仮想化を高速化する。第１層ＶＭＭ、第１層ＶＭ、第２層ＶＭＭ、第２層ＶＭを含む入れ子の仮想化環境で、ＶＭ－Ｅｘｉｔハンドラが、第１層ＶＭ上で動作するゲストＯＳからのＶＭ－Ｅｘｉｔを捕捉する。ＶＭ－Ｅｘｉｔハンドラは、ＶＭ－Ｅｘｉｔ要因を特定する。ＶＭ－Ｅｘｉｔ要因が、ゲストＯＳによるｖＤＭＡＲ－ＨＷへのＤＭＡＲテーブルの設定または更新の場合には、第２層ＶＭＭへ処理を移すことなく、第１層ＶＭＭでＶＭ－Ｅｘｉｔ要因に応じた処理を実行する。ＤＭＡＲ仮想化部は、ゲストＯＳが作成したＤＭＡＲテーブルを取得し、ゲストＯＳのゲストメモリ空間をホストメモリ空間に変換したＤＭＡＲテーブルを作成し、ＤＭＡＲ－ＨＷに設定する。

Abstract translation: 目标是在嵌套虚拟化环境中的guest虚拟机程序中提供DMA重新映射硬件（DMAR-HW）时提高虚拟化速度。 在包含第一层虚拟机监视器（VMM），第一层虚拟机（VM），第二层VMM和第二层虚拟机的嵌套虚拟化环境中，VM-Exit处理程序获取VM- 退出在第一层虚拟机中操作的客户机操作系统。 VM-Exit处理程序标识VM-Exit的原因。 当VM-Exit的原因是由客户操作系统设置或更新vDMAR-HW的DMAR表时，第一层VMM根据VM-Exit的原因执行进程，而不将进程转移到 第二层VMM。 DMAR虚拟化单元获取由客户操作系统创建的DMAR表，创建一个DMAR表，该客户机操作系统的客户机存储空间已被转换为主机存储空间，然后将该表设置在DMAR-HW中。

公开(公告)号：WO2014053804A1

公开(公告)日：2014-04-10

申请号：PCT/GB2013/052108

申请日：2013-08-07

Applicant: ARM LIMITED

Inventor： GROCUTT, Thomas Christopher

IPC: G06F21/52 ,  G06F9/38 ,  G06F9/46 ,  G06F9/48

CPC classification number: G06F9/3861 ,  G06F9/3009 ,  G06F9/30101 ,  G06F9/30123 ,  G06F9/3013 ,  G06F9/461 ,  G06F9/4812 ,  G06F12/1491 ,  G06F21/52 ,  G06F21/74 ,  G06F2209/481 ,  G06F2221/034

Abstract: Processing circuitry can operate in a secure domain and a less secure domain. In response to an initial exception from background processing performed by the processing circuitry, state saving of data from a first subset of registers is performed by exception control circuitry before triggering an exception handling routine, while the exception handling routine has responsibility for performing state saving of data from a second subset of registers. In response to a first exception causing a transition from the secure domain from a less secure domain, where the background processing was in the less secure domain, the exception control circuitry performs additional state saving of data from the second set of registers before triggering the exception handling routine. In response to a tail-chained exception causing a transition from the secure domain to the less secure domain, the exception handling routine is triggered without performing an additional state saving.

Abstract translation: 处理电路可以在安全域和较不安全的域中操作。 响应于由处理电路执行的后台处理的初始异常，在触发异常处理例程之前由异常控制电路执行来自寄存器的第一子集的数据的状态保存，而异常处理例程有责任执行状态保存 数据来自第二个寄存器子集。 响应于第一个异常导致来自不安全域的安全域的转移，其中后台处理在较不安全的域中，异常控制电路在触发异常之前执行来自第二组寄存器的附加状态保存数据 处理程序。 为了响应引起从安全域到不太安全域的过渡的尾部链接异常，在不执行附加状态保存的情况下触发异常处理例程。

公开(公告)号：WO2013101155A1

公开(公告)日：2013-07-04

申请号：PCT/US2011/068032

申请日：2011-12-30

Applicant: INTEL CORPORATION ,  KOKER, Altug ,  NAVALE, Aditya ,  VEMBU, Balaji ,  RAMADOSS, Murali

Inventor： KOKER, Altug ,  NAVALE, Aditya ,  VEMBU, Balaji ,  RAMADOSS, Murali

IPC: G06F9/06 ,  G06F9/30 ,  G06F15/76

CPC classification number: G06F9/50 ,  G06F9/4812 ,  G06F9/545 ,  G06F12/1491 ,  G06F15/167

Abstract: Transitions to ring 0, each time an application wants to use an adjunct processor, are avoided, saving central processor operating cycles and improving efficiency. Instead, initially each application is registered and setup to use adjunct processor resources in ring 3.

Abstract translation: 每次应用程序想要使用辅助处理器时，转换到0，避免中断处理器运行周期并提高效率。 相反，最初每个应用程序都被注册并设置为在环3中使用辅助处理器资源。

公开(公告)号：WO2013074071A1

公开(公告)日：2013-05-23

申请号：PCT/US2011/060621

申请日：2011-11-14

Applicant: INTEL CORPORATION ,  VIPAT, Harshawardhan ,  SAHITA, Ravi ,  CHATTERJEE, Roshni ,  TALLAM, Madhukar

Inventor： VIPAT, Harshawardhan ,  SAHITA, Ravi ,  CHATTERJEE, Roshni ,  TALLAM, Madhukar

IPC: G06F9/44 ,  G06F9/06 ,  G06F12/00

CPC classification number: G06F12/1491 ,  G06F9/45558 ,  G06F12/145 ,  G06F2009/45583 ,  G06F2212/151

Abstract: Embodiments of apparatus, computer-implemented methods, systems, and computer-readable media are described herein for a virtual machine manager, wherein the virtual machine manager is configured to selectively employ different views with different permissions to map guest physical memory of a virtual machine of the apparatus to host physical memory of the apparatus, to regulate access to and protect different portions of an application of the virtual machine that resides in different portions of the physical memory. Other embodiments may be described and/or claimed.

Abstract translation: 这里描述了用于虚拟机管理器的装置，计算机实现的方法，系统和计算机可读介质的实施例，其中虚拟机管理器被配置为选择性地采用具有不同权限的不同视图来映射虚拟机的虚拟机的客体物理存储器 用于承载设备的物理存储器的装置，以调节对位于物理存储器的不同部分中的虚拟机的应用的不同部分的访问和保护。 可以描述和/或要求保护其他实施例。

公开(公告)号：WO2010004243A2

公开(公告)日：2010-01-14

申请号：PCT/GB2009/001314

申请日：2009-05-27

Applicant: CAMBRIDGE CONSULTANTS LIMITED ,  MORFEY, Alistair, Guy

Inventor： MORFEY, Alistair, Guy

IPC: G06F9/48

CPC classification number: G06F12/1491 ,  G06F9/30189 ,  G06F9/3861 ,  G06F9/48 ,  G06F9/4843 ,  Y02D10/13

Abstract: This invention relates to a data processing apparatus comprising: a processor (10); a first memory location, the processor (10) being adapted to control whether the operation of the processor may be interrupted in dependence on a value stored in the first memory location; and a second memory location, the processor (10) being adapted a) to store a value in the second memory location following an event that is related to the value stored in the first memory location, and b) otherwise to store a value in the second memory location that is not related to the value stored in the first memory location. This invention also relates to a method of data processing.

Abstract translation: 数据处理设备技术领域本发明涉及一种数据处理设备，包括：处理器（10）;处理器 第一存储器位置，所述处理器（10）适于根据存储在所述第一存储器位置中的值来控制是否可以中断所述处理器的所述操作; 以及第二存储器位置，所述处理器（10）适于：a）在与存储在所述第一存储器位置中的所述值相关的事件之后，将值存储在所述第二存储器位置中;以及b）否则将所述值存储在 第二存储器位置与存储在第一存储器位置中的值无关。 本发明还涉及一种数据处理方法。

公开(公告)号：WO2008001707A1

公开(公告)日：2008-01-03

申请号：PCT/JP2007/062667

申请日：2007-06-25

Applicant: 株式会社宣研 ,  加藤 久男

Inventor： 加藤 久男

IPC: G06F21/24 ,  G06F12/00 ,  G09C1/00

CPC classification number: G06F12/1491 ,  G06F21/62 ,  G06F21/6227 ,  G06F2221/2113

Abstract: 【課題】　個人情報・秘密情報を保管するにあたり、機密保持の必要性に応じた保護レベルを適宜変更し、この可変な保護レベルに従い、適切な形式で個人情報・秘密情報を管理する個人情報・秘密情報管理システムおよび個人情報・秘密情報管理方法を提供する。 【解決手段】　個人情報・秘密情報管理装置１は、個人情報・秘密情報の機密度に応じて設定した保護レベルに従い、保護レベル毎に異なる形態で個人情報・秘密情報を保管する。この保護レベルは、データ属性定義ファイル１１に記述され、コンピュータプログラムに読み込まれるものであるが、適宜変更が可能である。データ属性定義ファイル１１に、変更後の保護レベルと変更時期とを指定して記述することにより、個人情報・秘密情報管理装置１に搭載したコンピュータプログラムは、変更時期が到来すると、変更後の保護レベルにあわせて個人情報・秘密情報の保管形態を変更する。

Abstract translation: [待解决的问题]提供个人信息/机密信息管理系统和个人信息/机密信息管理方法，用于根据保护级别变化的可变保护级别以适当的形式管理个人信息/机密信息 遵守秘密管理的必要性，将个人信息/机密信息保管。 [解决问题的手段]个人信息/机密信息管理装置（1）将个人信息/机密信息保存在与保护等级相一致的保护等级的情况下，对于每个保护等级以不同的状态保管 个人信息/机密信息。 尽管在数据属性定义文件（11）中描述了该保护级别，并且在计算机程序中读取，但可以适当地改变。 在数据属性定义文件（11）中描述改变后的保护级别及其变更时间，使得安装在个人信息/机密信息管理装置（1）中的计算机程序改变个人的保持形式 信息/机密信息符合变更时间后的保护等级。