专利名称:锚定到cpu和主板中的隔离计算环境的制作方法
本申请是2004年12月8日提交的代理案卷号为30835/40476号的申请“Method for pay-as-you-go Computer and Dynamic Differential Pricing”(用于即用即付计算机和动态差别定价的方法)的部分延续,后者是2004年11月15日提交的代理案卷号为30835/40399号的申请“Method and Apparatus for ProvisioningSoftware”(供应软件的方法和装置)的部分延续。
背景即用即付(pay-as-you-go)或按使用付费(pay-per-use)商业模型已在从蜂窝电话到商业自助洗衣店的许多商业领域中使用。在开发即用即付商业时,例如蜂窝电话供应商等供应商以低于市场的价格提供对硬件(蜂窝电话)的使用,以交换保留对其网络的订户的承诺。在这一具体示例中,顾客以极少的钱或免费接收蜂窝电话,以交换签署在给定时间段内成为订户的合同。在合同期间,服务供应商通过为使用蜂窝电话对消费者收费来恢复硬件的成本。
即用即付商业模型是以所提供的硬件如果与服务供应商断开连接则只有极少或几乎没有价值或用途的概念为基础进行预测的。为进行说明,如果上述订户停止支付他或她的账单,则服务供应商停用其账户,且当蜂窝电话开机时,不能作出或接收呼叫,因为服务供应商不允许与蜂窝电话的通信。停用的电话没有任何“废物利用”价值,因为电话不会在其它任何地方工作且组成部件没有很高的成交价格。当使账户流通时,服务供应商将重新允许使用该设备来作出呼叫。
该模型在服务供应商或具有资金风险的其它实体对硬件的使用有严格控制时能够工作良好。该模型在硬件在服务供应商的控制范围之外还有实质用途时不能工作良好,诸如计算机的硬件,其中计算机不论是否连接到服务供应商的网络都可以是有用的。另外,例如个人计算机和个人数字助理等大多数计算机硬件的开放式和可扩展特性允许并鼓励对硬件和软件的修改,从而使得更难以保持对即用即付或类似的商业模型所需的控制级别。因此,需要监视并纠正以及阻断和消除可使计算机到达服务供应商的控制范围之外的计算机的非授权配置,包括被黑客攻击的或非授权的操作系统和软件。
概述根据本发明公开的一方面,一种隔离计算环境能够安全地储存用于监视和实施与计算机的配置和操作有关的策略的程序和信息。该隔离计算环境可具有安全存储器,用于储存或确认验证和实施程序、密码密钥以及其它需要有限访问的数据。该隔离计算环境还可具有时钟或定时器,以及响应于该时钟或定时器来激活验证程序的逻辑电路。当计算机的状态被确定为不依从按使用付费或其它商业协定下所需的条款时,实施程序可启动制裁,以纠正或鼓励用户纠正计算机的非依从状态。
一种用于使用隔离计算环境来组装计算机的方法可包括将隔离计算环境直接或间接设置在计算机的主板上,并且可包括将隔离计算环境以如果被移除则将会不可恢复地损坏计算机的方式附加到主板。该隔离计算环境也可作为组装过程的一部分来测试。
附图简述
图1是计算机的简化和代表性框图;图2是简化的隔离计算环境的框图;以及图3是描绘将相关联的设备绑定到计算机的流程图。
各实施例的详细描述尽管以下正文陈述了众多不同实施例的详细描述,但是应当理解,该描述的法律范围由本申请公开末尾陈述的权利要求书的言辞来限定。该详细描述应被解释为仅是示例性的,且不描述每一可能的实施例,因为描述每一可能的实施例即使不是不可能的也是不切实际的。可使用现有技术或在本专利提交日之后开发的技术来实现众多替换实施例,而这仍落入权利要求书的范围之内。
还应当理解,除非一术语在本专利中使用语句“如此处所使用的,术语‘__’此处被定义为指……”或类似的语句来义明确地定义,否则毫无意图将该术语的含义明确地或隐含地限制在其简单或普通意义之外,且这类术语不应当被解释为基于本专利的任何一节中所作出的任何陈述(权利要求书的语言除外)而在范围上有限制。就本专利末尾的权利要求书中引用的任何术语在本专利中以与单数意义相一致的方式来引用而言,这是为清楚起见而如此做的,仅仅是为了不使读者感到混淆,且这类权利要求术语并不旨在隐含地或以其它方式限于该单数意义。最后,除非一权利要求要素是通过叙述单词“装置”和功能而没有叙述任何结构来定义的,否则任何权利要求要素的范围并不旨在基于35U.S.C.§112第6段的应用来解释。
许多发明性功能和许多发明性原理最佳地使用或利用软件程序或指令以及诸如专用IC等集成电路(IC)来实现。期望本领域的普通技术人员虽然可能要进行大量的工作和由例如可用时间、现有技术以及经济问题促动的许多设计选择,但是当受到此处所公开的概念和原理的指引时仍能够容易地以最小的实验来生成这些软件指令和程序以及IC。因此,为了简明以及最小化使根据本发明的原理和概念晦涩的任何风险,对这些软件和IC(如果有的话)的进一步讨论将限于对于较佳实施例的原理和概念所必需的那些讨论。
许多现有技术的高价值计算机、个人数字助理、组织器等可能不适用于没有附加安全性的预付或即用即付商业模型。如上所述,这些设备可具有除需要服务供应商的功能之外的重大功能。例如,个人计算机可以与所提供的因特网服务断开连接而仍可用于文字处理、电子表格等。在其中例如因特网服务供应商或其它商业实体等服务供应商以对未来费用的期望来承担个人计算机的成本的财政风险的情况下,这一“不受束缚的价值”会对欺诈性应用和盗窃形成机会。其中用户事先为使用有补助的高价值计算系统环境而付费的预付商业模型是对欺诈和盗窃的这一风险的一个示例。
图1示出了计算机110形式的计算设备。计算机110的组件可包括但不限于,处理单元120、系统存储器130以及将包括系统存储器的各类系统组件耦合至处理单元120的系统总线121。系统总线121可以是若干种总线结构类型中的任一种,包括存储器总线或存储器控制器、外围总线以及使用各类总线体系结构中的任一种的局部总线。作为示例而非局限,这类体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强ISA(EISA)总线、视频电子技术标准协会(VESA)局部总线以及外围部件互连(PCI)总线,也称为Mezzanine总线。
计算机110通常包括各种计算机可读介质。计算机可读介质可以是可由计算机110访问的任一可用介质,并包括易失性和非易失性介质、可移动和不可移动介质。作为示例而非局限,计算机可读介质可包括计算机存储介质和通信介质。计算机存储介质包括以用于储存诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任一方法或技术实现的易失性和非易失性,可移动和不可移动介质。计算机存储介质包括但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储设备、或可以用来储存所期望的信息并可由计算机110访问的任一其它介质。通信介质通常具体化为诸如载波或其它传输机制等已调制数据信号中的计算机可读指令、数据结构、程序模块或其它数据,并包括任何信息传送介质。术语“已调制数据信号”指以对信号中的信息进行编码的方式设置或改变其一个或多个特征的信号。作为示例而非局限,通信介质包括有线介质,如有线网络或直接连线连接,以及无线介质,如声学、RF、红外和其它无线介质。上述任一的组合也应当包括在计算机可读介质的范围之内。
系统存储器130包括以易失性和/或非易失性存储器形式的计算机存储介质,如只读存储器(ROM)131和随机存取存储器(RAM)132。基本输入/输出系统133(BIOS)包括如在启动时帮助在计算机110内的元件之间传输信息的基本例程,通常储存在ROM 131中。RAM 132通常包含处理单元120立即可访问和/或当前正在操作的数据和/或程序模块。作为示例而非局限,图1示出了操作系统134、应用程序135、其它程序模块136和程序数据137。
计算机110也可包括其它可移动/不可移动、易失性/非易失性计算机存储介质。仅作示例,图1示出了对不可移动、非易失性磁介质进行读写的硬盘驱动器141、对可移动、非易失性磁盘152进行读写的磁盘驱动器151以及对可移动、非易失性光盘156,如CD ROM或其它光介质进行读写的光盘驱动器155。可以在示例性操作环境中使用的其它可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于,磁带盒、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等等。硬盘驱动器141通常通过不可移动存储器接口,如接口140连接到系统总线121,磁盘驱动器151和光盘驱动器155通常通过可移动存储器接口,如接口150连接到系统总线121。
上文讨论并在图1示出的驱动器及其关联的计算机存储介质为计算机110提供了计算机可读指令、数据结构、程序模块和其它数据的存储。例如,在图1中,示出硬盘驱动器141储存操作系统144、应用程序145、其它程序模块146和程序数据147。注意,这些组件可以与操作系统134、应用程序135、其它程序模块136和程序数据137相同,也可以与它们不同。这里对操作系统144、应用程序145、其它程序模块146和程序数据147给予不同的标号来说明至少它们是不同的副本。用户可以通过输入设备,如键盘162和定位设备161(通常指鼠标、跟踪球或触摸垫)向计算机20输入命令和信息。其它输入设备(未示出)可包括麦克风、操纵杆、游戏垫、圆盘式卫星天线、扫描仪等等。这些和其它输入设备通常通过耦合至系统总线的用户输入接口160连接至处理单元120,但是也可以通过其它接口和总线结构连接,如并行端口、游戏端口或通用串行总线(USB)。监视器191或其它类型的显示设备也通过接口,如视频接口190连接至系统总线121。除监视器之外,计算机也可包括其它外围输出设备,如扬声器197和打印机196,它们通过输出外围接口195连接。
计算机110可以使用到一台或多台远程计算机,如远程计算机180的逻辑连接在网络化环境中操作。远程计算机180可以是个人计算机、服务器、路由器、网络PC、对等设备或其它常见的网络节点,并通常包括许多或所有以上相对于计算机110所描述的元件,尽管在图1中仅示出了存储器存储设备181。图1描述的逻辑连接包括局域网(LAN)171和广域网(WAN)173,但也可包括其它网络。这类网络环境常见于办公室、企业范围计算机网络、内联网以及因特网。
当在LAN网络环境中使用时,计算机110通过网络接口或适配器170连接至LAN 171。当在WAN网络环境中使用时,计算机110通常包括调制解调器172或用于通过WAN 173,如因特网建立通信的其它装置。调制解调器172可以是内置或外置的,它通过用户输入接口160或其它适当的机制连接至系统总线121。在网络化环境中,相对于计算机110所描述的程序模块或其部分可储存在远程存储器存储设备中。作为示例而非局限,图1示出远程应用程序185驻留在存储器设备181上。
通信连接170、172允许设备与其它设备通信。通信连接170、172是通信介质的示例。通信介质通常具体化为诸如载波或其它传输机制等已调制数据信号中的计算机可读指令、数据结构、程序模块或其它数据,并包括任何信息传送介质。“已调制数据信号”可以是以对信号中的信息进行编码的方式设置或改变其一个或多个特征的信号。作为示例而非局限,通信介质包括有线介质,如有线网络或直接连线连接,以及无线介质,如声学、RF、红外和其它无线介质。计算机可读介质可包括存储介质和通信介质两者。
参考图2更详细讨论的隔离计算环境125可储存程序和数据并引发其执行。隔离计算环境125可被部署和配置成实施计算机110的用户和对计算机110有利益的服务供应商之间的协定的条款。
隔离计算环境125可以用一种以上方式来实例化。当由一个或多个离散组件实现时,隔离计算环境125可被设置在计算机的主板(未描述)上。主板可以是任何电路互连和适用于给定应用的组件安装基础技术,并且范围可从光纤玻璃材料到模塑环氧树脂、聚酯薄膜、陶瓷等。当隔离计算环境125被设置在主板上或主板中时,隔离计算环境125可被包围在环氧树脂中或被埋于互连层或组件之下。包围或埋置隔离计算环境125可用于增加移除或篡改隔离计算环境125本身、到隔离计算环境125的相关联的电源和接地连接、或到隔离计算环境125的数据和地址连接的难度。理想地,隔离计算环境125的移除或去盖(de-lid)导致对主板和/或周围组件的永久损坏并使计算机110无法操作。
隔离计算环境125的另一种实例化可以如图1所示,其中隔离计算环境125被结合在处理单元120中。通过如此设置在处理单元中可提供对处理单元寄存器的更好访问和对数据序列的监视以及对物理攻击的改进的抵抗性的优点。
参考图2,讨论并描述了简化和代表性的隔离计算环境。该隔离计算环境可以是或可能类似于以上介绍的隔离计算环境125。隔离计算环境125可包括存储器202、逻辑电路204以及时钟或定时器206,例如定时器206可以用于通过对真实时间的间隔计数来实现时钟。存储器202可包括易失性和非易失性存储器两者。
隔离计算环境125还可包括数字签名验证电路208。当需要外部实体的单向验证,例如服务器(未描绘)的验证时,随机数生成器210可以是数字签名验证电路208的一部分。数字签名技术是公知的,并且此处未详细讨论散列、签名验证、对称和非对称算法及其各自的密钥。
隔离计算环境125的各块可通过总线212来耦合。总线212可以与用于外部访问的系统或处理单元总线214分开。分开的总线可通过限制对总线212所传递的数据的访问来提高安全性。总线212可结合诸如余额数据线等安全预防措施,以使对储存在存储器202中的密码密钥216的强大攻击变得更困难。
存储器202可包括非易失性存储器,该非易失性存储器除储存密码密钥216之外还可储存至少一个验证程序218和至少一个实施程序220。这些程序在下文中更详细讨论。其它数据222可被储存在存储器202中,例如与已知的BIOS码或应用程序相关联的散列码和/或其它数字签名信息。可被储存在存储器202中的数据222的其它示例可以是与计算机110的当前状态有关的依从性数据、或用于验证所下载的对验证程序218或实施程序220的更新的证书信息。存储器202中的非易失性存储器也可允许可信的、安全的引导过程与操作系统144分开。
确认和实施程序218、220被示为储存在隔离计算环境125中,但是它们也可被储存在外部,而这些程序的数字签名或散列储存在隔离计算环境125中,例如在存储器202的数据部分216中。当监视或度量应用程序时,隔离计算环境125可在程序执行之前或期间确认应用程序的散列或数字签名。由于程序218、220和储存在存储器202中的数据是与即用即付、按使用付费商业模型的成功相关联的安全性的一部分,因此重要的是保护数据免受非授权访问和篡改。对存储器202的非授权访问可以使用逻辑电路204或数字签名验证电路208或两者的组合来限制。对存储器的访问可被限于运行已知程序代码,即隔离计算环境125信任的程序代码的进程。程序代码可以是确认程序218或实施程序220。然而,其它程序可被授予对存储器202的访问。例如,支持对使用信用或余额的管理的应用程序可使用隔离计算环境125的存储器。当需要修复或维护时,对存储器202的访问可被授予具有正确凭证的联网设备上支持的服务进程以实现修复。
隔离计算环境125可具有若干种功能。隔离计算环境125的一种功能是保护其自身免受非授权更新和篡改。储存在隔离计算环境125中的程序和数据可在制造时注入或可在用隔离计算环境125本身认证的签名正确签署的情况下下载。另一种功能可以是监视和/或度量计算机110的状态以确定计算机110的状态中是否有黑客攻击或其它非授权改变正在进行或已发生。监视和度量的另一方面可以是支持计算机110的涉及与供应资源相关联的功能和诸如事件分派器或余额管理器等主存安全功能的状态的合法改变。第三种功能可以是确认当前BIOS码和确认对BIOS码的更新和扩展。隔离计算环境125的另一种功能可以是提供可靠时钟或定时器,两者都作为用于计量程序和到期日的时间源。时钟或定时器也可确保隔离计算环境125被日常地授予对计算机110的访问而不会“极度缺乏”CPU周期。另一种功能可以是当在计算机110中确定非依从状态时实施制裁。
为保护免受非授权更新和篡改,可保护存储器202。为达到这一目的,可使存储器202仅对特定的程序,例如在计算机110的安全操作模式的控制下通过数字签名认证的更新例程可访问。可以使存储器202对由诸如操作系统或内核等另一执行环境执行的任何程序不可访问。内核通常在计算机110引导时运行。作为示例,来自IntelTM的x86处理器可在若干种模式或执行环下操作。环0-2由内核占据,环3由“用户模式”进程占据。第三种模式SMM(系统管理模式)由BIOS占据。能够访问安全存储器202的程序可以在SMM下运行,因为它在内核所达范围之外,但是需要保护BIOS。
为了隔离计算环境125的安全起见,除隔离计算环境125之外的设备可能完全无法寻址专用于隔离计算环境存储器202的物理存储器。这仅是确保仅隔离计算环境能够访问和更改与隔离计算环境存储器202的操作相关联的任何数据,包括程序218、220、密钥216和状态/操作数据222的一种方式。数字签名验证电路208可用于验证来自外部,即通过操作系统144的对存储器202的所有请求的改变。通过使用内部储存的密钥确认数字签名,可对由非可信源,即操作系统144接收的数据建立信任。
保护存储器202的另一种方法可以是创建另一执行模式,例如模式Z或环-1。存储器202可以根据功能来分区,使得存储器202的某些区域仅可由模式Z访问,而存储器202的其它区域对环0是只读的。可以有对存储器202的指定部分的情况专用访问,诸如来自环0的对存储器202的特定指定范围的读访问。例如,密钥216中的某一些可以对环0是只读的。很明显,与隔离计算环境125相关联的代码能够访问所有其存储器202,包括对密钥216的完全读和写访问。
隔离计算环境125能够访问由操作系统使用的存储器来监视和制裁操作系统144。由于隔离计算环境125用于监视和度量操作系统144,因此隔离计算环境对存储器的访问不应使用操作系统功能调用,或者在隔离计算环境125上安装中间人(man-in-middle)攻击。为监视、度量和制裁操作系统144,隔离计算环境125可以结合存储器监督器或指令指针监督器两者,它们监视对某些存储器位置的访问以及指令指针通过指定位置的移动。对指定存储器位置的访问和使用可以是非依从程序正在操作或者暗中破坏计算机安全性的尝试正在进行中的指示。
隔离计算环境125可用于主存与供应和激活许可或按使用付费资源有关的功能。这些资源可包括以上的部分或全部,例如网络连接170、172、硬盘驱动器141或视频接口190。隔离计算环境125也可主存维护所使用的且可用的按使用付费资源的记账的余额管理器。由于隔离计算环境125可用于供应、激活和监视以上列出的资源,因此可能需要在制造过程的早期编程或注入隔离计算环境程序,例如验证218和实施220或其它初始操作数据222。当发生对隔离计算环境125的后期阶段编程时,它可在安全环境中执行或者可使用运输密钥来验证所有初始编程,如在数据安全领域中已知的。这在对隔离计算环境125的编程在销售点执行或甚至在用户拥有之后执行时可能是特别重要的。
验证程序218可监视或度量计算机110的状态。计算机110的状态可用于确定计算机110对一组策略或预定条件的依从级别。预定条件可以是肯定和否定的,即,策略或条件可以要求某些元件,如硬件、软件、外围设备等的存在,或者策略可以禁止某些其它元件的存在。例如,一种策略可以要求给定版本的系统驱动程序的存在,而另一种策略可以禁止替换引导设备的存在。为确定依从性,验证程序218可监视由操作系统使用的资源的状态、应用程序的状态、BIOS结构或BIOS扩展的状态。另外,验证程序218可监视对各种策略,例如包括与按使用付费合同的合同性条款有关的使用策略在内的使用策略的依从性。在非依从的情况下,验证程序218可例如使用弹出消息来警告用户,或者可激活实施程序220来开始制裁。
定时器206可为涉及时间段的按使用付费条款,例如无限制使用一个月提供可靠度量。定时器206也可用作触发器以确保隔离计算环境125的验证程序218和/或实施程序220接收到足够的处理器执行周期来执行其各自的任务。触发功能可使得逻辑电路204强制验证程序218的执行。逻辑电路可强制导致处理单元从适当位置执行确认程序218的中断。
当验证程序确定非依从性时,可开始纠正性动作。例如,实施程序可使得非依从性驱动程序用来自己知位置的驱动程序盖写。相反,当非依从状态不能被自动纠正时,可施加制裁以鼓励用户使系统变得依从。制裁可由激活实施程序220的逻辑电路204调用。为执行实施任务,隔离计算环境125在实施程序的指导下可禁用或另外制裁受到计算机110的直接影响或控制的资源。策略可根据计算机的状态而改变,并且可包括降低计算机的处理速度或减少计算机的功能性操作,诸如以“安全模式”引导。其它制裁可包括限制可用于处理的随机存取存储器的量、限制指令集架构,即可用于执行的处理器命令、减缓对硬盘141的访问或限制硬盘驱动器141上可访问的空间。其它制裁可包括限制显示分辨率或甚至是引发对计算机110的频繁的、周期性的复位。制裁的目的是它们可被恢复,更具体地,可由用户恢复。然而,可能存在要求将计算机110禁用到需要具有特殊设备的有资格的服务人员来还原服务的程度的某些策略。这可能是确定尽管有警告,但仍在一段时间内尝试了重复的敌意攻击的情况。
图3示出了组装具有隔离计算环境125的计算机110的方法。连同其它结构元件一起,可提供主板(未描绘)(302)。如上所述,主板可以是具有用于附连和连接电路元件的配线迹线以及焊盘的标准基板。裸板以及已填充和半填充主板可在商业和零售市场中容易地获得。隔离计算环境125可被设置在主板上(304)。隔离计算环境125可以是诸如自定义集成电路等离散组件、例如多芯片模块(MCM)等组件的组合、或完全集成在处理单元120芯片上。
当被设置在主板上时,可以保护隔离计算环境125免遭篡改。防篡改机制是已知的,但是可包括包裹在在不损坏或破坏板以及周围的元件的情况下难以去除的环氧树脂或其它涂层中。另一防篡改机制可以是将隔离计算环境125夹在其它组件之下。为了阻碍密钥盗窃,可涂上金属涂层以防止激光探测。如上所述,隔离计算环境125本身可具有单独的措施来保护其自己的电路和内容的完整性。
在设置到主板(304)上之前或之后,隔离计算环境125可以用诸如验证和实施程序码218、220等可执行码来初始化。验证和实施程序的功能已在上文讨论。另外,密钥以及诸如证书和已知的散列码等其它数据可被下载或注入。注入通常在制造过程的早期,诸如在芯片测试期间发生。后期下载可要求密码认证和/或安全通道。
当组装时,可测试计算机110。为执行对隔离计算环境125功能的测试,可更改计算机的一个或多个状态(310)。更改可包括附加非授权外围设备、加载/执行非授权代码、或将计算机110配置成在到期日之后操作。测试(312)隔离计算环境125可通过确定验证程序218的正确功能来标识非依从状态以及已由实施程序220施加了适当的制裁来完成。
权利要求
1.一种适用于在隔离计算环境中执行程序代码的计算机,所述计算机包括用于执行程序代码的隔离计算环境;安全存储器,所述安全存储器仅可由所述程序代码访问,且不可被由其它执行环境执行的第二程序代码访问;用于使得处理器从所述安全存储器执行的逻辑电路;以及用于对事件定时的定时器,所述定时器耦合到所述逻辑电路,其中所述程序代码响应于来自所述定时器的信号而被调用。
2.如权利要求1所述的计算机,其特征在于,所述其它执行环境包括操作系统、基本输入/输出结构BIOS和内核中的一个。
3.如权利要求1所述的计算机,其特征在于,所述程序代码监视所述计算机的状态。
4.如权利要求3所述的计算机,其特征在于,所述计算机还包括处理器,且所述计算机的状态是由操作系统使用的资源的状态、应用程序的状态、BIOS扩展的状态以及所述处理器的状态中的一个。
5.如权利要求3所述的计算机,其特征在于,所述处理器包括所述隔离计算环境。
6.如权利要求3所述的计算机,其特征在于,所述程序代码实施与所述计算机的状态有关的策略。
7.如权利要求6所述的计算机,其特征在于,与所述计算机的状态有关的策略包括降低所述计算机的处理速度、减少所述计算机的功能性操作、限制对随机存取存储器的访问、限制指令集架构、以及复位所述计算机中的一种。
8.如权利要求1所述的计算机,其特征在于,还包括主板,所述隔离计算环境被设置在所述主板上,所述隔离计算环境包括所述安全存储器和所述定时器。
9.一种在计算机中使用的隔离计算环境,所述隔离计算环境包括没有被非授权执行环境访问的危险的存储器;储存在所述存储器中并被编码以度量所述计算机的条件的程序,所述条件对应于所述计算机的预定的期望操作状态;用于引发所述程序的执行的逻辑电路;以及用于对间隔定时的定时器,其中所述定时器触发所述逻辑电路以对应于所述间隔来执行所述程序。
10.如权利要求9所述的隔离计算环境,其特征在于,对所述存储器的访问要求授权执行环境的密码标识。
11.如权利要求9所述的隔离计算环境,其特征在于,所述隔离计算环境被永久设置在所述计算机中。
12.如权利要求9所述的隔离计算环境,其特征在于,还包括用于确定存储器范围的散列的数字签名验证电路。
13.如权利要求9所述的隔离计算环境,其特征在于,还包括用于确认改变所述程序的消息的数字签名的数字签名验证电路。
14.如权利要求9所述的隔离计算环境,其特征在于,还包括用于确认由所述计算机执行的应用程序的数字签名的数字签名验证电路。
15.如权利要求9所述的隔离计算环境,其特征在于,还包括用于确认由所述隔离计算环境接收的数据的数字签名的数字签名验证电路。
16.如权利要求9所述的隔离计算环境,其特征在于,所述隔离计算环境能够访问由操作系统和应用程序之一使用的计算资源。
17.一种制造适用于按使用付费操作的计算机的方法,包括提供计算机主板;将一隔离计算环境设置在所述主板上,所述隔离计算环境包括安全存储器;用于对间隔定时的定时器;以及用于引发储存在所述安全存储器中的代码的执行的逻辑电路;保护所述隔离计算环境免遭篡改;以及将程序代码设置在所述安全存储器中,所述程序代码在被执行时用于确定所述计算机的状态并用于在所述计算机的状态满足一条件时实施一策略。
18.如权利要求17所述的方法,其特征在于,将所述隔离计算环境设置在所述主板上还包括将所述隔离计算环境设置在处理器中;以及将所述处理器设置在所述主板上。
19.如权利要求17所述的方法,其特征在于,将所述隔离计算环境设置在所述主板上还包括将所述隔离计算环境设置在所述主板上;以及使用破坏性涂层将所述隔离计算环境固定到所述主板。
20.如权利要求17所述的方法,其特征在于,还包括更改所述计算机的状态,所述计算机的状态包括附加非授权外围设备、执行非授权代码、以及在到期日之后操作所述计算机中的一种;以及测试所述隔离计算环境对应于所述计算机的状态来实施所述策略。
全文摘要
一种计算机通过向标准计算机添加隔离计算环境来适用于按使用付费操作。该隔离计算环境可包括可信非易失性存储器、数字签名验证能力、时钟或定时器以及用于响应于时钟或定时器触发确认程序的执行的逻辑电路。该隔离计算环境可通过物理或密码机制或两者来保护免遭篡改。确认程序度量或监视计算机的非依从状态,并可在检测到计算机的非依从状态时实施制裁。
文档编号G06F12/14GK101057435SQ200580038774
公开日2007年10月17日 申请日期2005年11月12日 优先权日2004年11月15日
发明者A·法兰克, T·G·菲力普斯, M·H·豪尔 申请人:微软公司