ratusto ProvideSecureApplicationExecution)" 的共同待决的美国专利申请第 13/527, 547 号 作为安全飞地的至少一种实施例的示例通过引用合并于此。然而,所合并的参考文献不旨 在以任何方式限制本发明的各实施例的范围,且在保持落在本发明的精神和范围之内的同 时可以使用其他实施例。
[0028] 安全飞地单元120的全部或部分可以被包括在处理器110的任何一个或多个其他 单元中,例如指令单元111、执行单元112、处理器存储113和处理器控制单元115。安全飞 地单元120可以包括加密单元122,加密单元112可以包括执行一种或多种加密算法和相应 的解密算法的任何逻辑、电路或其他硬件,且可以包括与处理器110中的另一加密单元共 享的逻辑、电路或其他硬件。
[0029] 可以在系统存储器130支持的系统存储器空间内给在系统100内创建的每一安全 飞地分配安全的或受保护的空间。安全存储器132表示一个或多个这样的安全的或受保护 的存储器空间。可以使用已知的虚拟存储器、安全飞地或其他系统存储器编址技术来创建、 分配和维护每一个这样的存储器空间,以使得可以在各个时刻把在每一个这样的存储器空 间内的信息存储在信息存储设备140、系统存储器130、高速缓冲存储器116、处理存储113 和/或在信息处理系统100内的任何其他存储器或存储区域的任何组合内。
[0030] 安全存储器132可以包括被称为处理器保留存储器(PRM)的一个或多个物理上邻 近的存储器范围。在一种实施例中,PRM自然对齐,且具有2的整数幂的大小。诸如基本输 入/输出系统之类的系统固件可以保留PRM,例如通过设置一对型号专用寄存器(MSR),两 者一起被称为PRM范围寄存器(PRMRR)。在图1的实施例中,安全飞地逻辑120可以包括 PRMRR124,PRMRR124可以被用来把用于处理器110的PRM134保留在安全存储器132中。
[0031] 安全飞地单元120也可以包括访问控制单元126,访问控制单元126可以包括使用 PRMRR124来强加加载和访问限制的任何逻辑、电路、硬件或其他结构,以使得在安全飞地 的存储器空间内信息仅可由在该安全飞地中运行的应用访问。例如,在存储到系统存储器 130、信息存储设备140或外置于处理器110的任何其他存储器或存储中之前,可以由加密 单元122加密分配给安全飞地的存储器页面上的信息。尽管被存储在处理器110之外,但 该信息受到加密和完整性检查技术的保护。在存储器页面由应用或进程(该应用或进程在 处理器110上、在该页面被分配到其中的安全飞地内运行)加载到高速缓冲存储器116时, 由加密单元122解密它,然后,未加密信息仅可由在安全飞地内运行的应用或进程访问。
[0032] 图2阐释根据本发明的一种实施例用于DRM密钥供应的架构200。架构200包括 客户机平台210、密钥发布器220、验证器230、供应服务器240和内容服务器250。
[0033] 客户机平台210表示用于运行应用以便使用内容服务器250提供的内容的系统或 平台。该内容可以是例如任何类型的音频、视频或其他媒体内容。客户机平台210可以被 实现为信息处理系统100的实施例。因此,可以在客户机平台210上创建和维护安全飞地 212和应用,客户机214可以是例如可以在安全飞地212内运行的DTCP媒体播放器。
[0034] 密钥发布器220表示用于发布公钥/私钥对的应用、系统、平台或其他实体,该公 钥/私钥对可以供第三方验证器远程地验证诸如客户机平台210之类的硬件平台的真实 性。在一种实施例中,例如根据英特尔?增强隐私鉴定(EPID)方案,无需透露正在认证的 硬件平台的身份就可以执行这种验证。
[0035] 验证器230表示根据密钥发布器220支持的方法验证硬件平台的真实性的应用、 系统、平台或其他实体。
[0036] 供应服务器240表示把一个或多个密钥和/或其他信息提供给作为内容的安全传 输的消费者的客户机的应用、系统、平台或其他实体。例如,服务器240可以是根据数字传 输授权管理的DTCP供应服务器。
[0037]内容服务器250表示通过安全传输提供内容和/或其他信息的应用、系统、平台或 其他实体。例如,内容服务器250可以是DTCP内容服务器。
[0038] 图3阐释根据本发明的一种实施例用于预先供应的方法300,且图4阐释根据本发 明的一种实施例用于供应的方法400。可以执行方法300以便启用根据本发明的一种实施 例在方法400或另一方法中用于供应的平台安全特征。尽管本发明的各方法实施例不限于 这一方面,但可以对图1和图2的元素进行引用以便帮助描述图3和图4的各方法实施例。
[0039] 在框310,把供应信息提供给供应服务器240。在一种实施例中,供应信息可以是 DTLA指定要由DTCP客户机用来从DTCP内容提供商获得内容的供应信息。这种DTCP供应信 息是唯一设备标识符、公钥/私钥对OTCP密钥对)、设备证书和撤销机制。这些信息中的 前三种将一起被称为DTCP供应信息242。DTCP供应信息242可以由DTLA在诸如DVD-ROM 之类的介质上以明文(plaintext)提供。
[0040] 在框312,把验证器230的公钥证书提供给供应服务器240。这些可以由第三方认 证机构提供。
[0041] 在框320,在客户机平台210上创建安全飞地212。在框322,在安全飞地212内启 动客户机214。
[0042] 在框330,密钥发布器220产生EPID公钥222,EPID公钥222要与EPID私钥联用 来作为用于认证硬件的密钥对的一部分。这种密钥对可以被称为EPID密钥对,但在本发明 的范围内可以使用其他认证方案。在框332,密钥发布器220产生用于EPID密钥对的唯一 EPID私钥224。注意,也可以产生其他唯一私钥并将其与EPID公钥222 -起用于认证其他 硬件。
[0043] 在框340,密钥发布器220把EPID私钥224提供给客户机214。
[0044] 在框350,密钥发布器220把EPID公钥222提供给验证器230。
[0045] 在框360,独立软件销售商(ISV)产生客户机214的未修改的软件的报告或测量。 在框362,ISV把未修改的软件的测量发送给验证器230,供验证器230在供应期间用于验 证客户机214的真实性。
[0046] 在图4的框410,在安全飞地212中运行的客户机214向供应服务器240发送供应 请求。
[0047] 在框420,供应服务器240从客户机214接收供应请求。在框422,供应服务器240 产生第一密钥分量('B'),第一密钥分量可以用来例如通过Diffie-Hellman(迪菲-赫尔 曼:DH)密钥交换产生共享密钥。因此,可以通过操作'B=gbmodp'('B=gb模p')来 执行框422,其中'b'是供应服务器240私有的且'g'和'p'是公共的。Diffie-Hellman 密钥交换可以使用SIGMA协议来避免中间人攻击(man-in-the-middleattack)。然而,在 本发明的范围内可以使用任何密钥交换协议。
[0048] 在框424,供应服务器24向客户机214发送客户机214证明其真实性的质询。发 送质询可以包括发送验证器的身份以便用于提供真实性的证明(例如,验证器230)。在框 426,供应服务器240向客户机214发送第一密钥分量。
[0049] 在框430,客户机214从供应服务器240接收验证器230的身份。在框432,客户 机214从供应服务器240接收第一密钥分量。
[0050] 在框440,客户机214产生其身份的报告或测量,这可以例如在安全飞地212内通 过使用EREP0RT指令来执行该报告或测量,EREP0RT指令是ENCLU指令的叶子(leaf)。