專利名稱:基于i/o的多級計算機操作模式的實施的制作方法
基于I/0的多級計算機操作模式的實施
背景
現(xiàn)用先付(pay-as-you-go)或按使用計費商業(yè)模型已被用于從蜂窩電話到 商業(yè)性自助洗衣店的許多商業(yè)領域中����。為了開發(fā)現(xiàn)用先付業(yè)務����,供應商一一例 如蜂窩電話供應商一一以低于市場的價格提供對硬件(蜂窩電話)的使用�,以 換取訂戶留在其網(wǎng)絡中的承諾。在這個具體例子中��,消費者用很少錢或不用錢 即可收到蜂窩電話�����,作為交換�����,簽署在給定一段時間內(nèi)作為訂戶的合同�����。在合 同期間�,服務供應商通過向消費者收取使用蜂窩電話的費用來收回硬件成本
現(xiàn)用先付商業(yè)模型是在這樣一個概念上預測的,即所提供的硬件如果脫離 服務供應商則幾乎沒有或根本沒有價值或用處����。說明如下,假如上述訂戶停止 支付他或她的帳單��,服務供應商就停用其帳戶�,盡管蜂窩電話可以開機,卻不 能接打電話�����,因為服務供應商不允許�。被停用的電話沒有"廢物回收"價值, 因為該電話在其它地方不能工作�����,并且其元器件既不易回收也沒有很大的場外 交易價值�。當帳戶被激活時,服務供應商會將設備重新連接至網(wǎng)絡��,并允許打 電話�����。
當冒提供資助硬件的財務風險的服務供應商或其它實體對硬件的使用有 嚴格的控制��,且當設備幾乎沒有廢物回收價值時�,這一模型運轉(zhuǎn)良好。當硬件 在服務供應商的控制范圍之外有重要用途時�,這一商業(yè)模型不能正常地運轉(zhuǎn)���。 如此,典型的個人計算機并不滿足這些標準�,因為個人計算機在最初意圖之外 可能有諸多重要用途,而且個人計算機的元件一一例如顯示器或硬盤驅(qū)動器一 一可能有顯著的回收價值��,��。
實施一種要求支付訂閱費或按使用計費的費用的操作策略會鼓勵用戶滿 足其對資助計算機購買價格的承銷商的財務承諾�����。然而���,實施電路會引起想通 過盜竊計算機服務或通過盜竊計算機本身來使自己獲益的黑客或小偷的注意���。
概述
一種被配置為自我監(jiān)控并實施對諸如按使用計費操作策略或訂閱操作策
略等操作策略的遵守的計算機可以使用被配置為在確定計算機不遵守該操作 策略時阻止對外設和支持電路的訪問的接口電路。
當該接口電路支持系統(tǒng)存儲器或顯示器時��,該實施可以是通過限制可用于 程序執(zhí)行的存儲器的數(shù)量或可以用減少的色彩或數(shù)目減少的顯示像素來限制
顯不器o
當該接口電路管理大多數(shù)或全部其它系統(tǒng)輸入/輸出(I/O) —一例如����,與 網(wǎng)絡端口、串行接口、卡槽�����、非易失性存儲器�����、BIOS存儲器����、鍵盤和鼠標等等 的數(shù)據(jù)傳輸一一時���,該接口電路可以通過限制這些功能塊中的任一個與處理器 之間的訪問來實施操作策略�。舉幾個例子����,這種情況下的限制訪問可以包括降 低了的數(shù)據(jù)傳輸速率、對數(shù)據(jù)傳輸?shù)南拗?�、只讀或只寫存儲訪問以及受限的外 設訪問�����。取決于所察覺到的違犯的性質(zhì)、先前的違犯歷史或合同規(guī)則����,結(jié)果可 以是允許從最輕到最重的一系列制裁。
附圖簡述
圖l是計算機的框圖2是類似于
圖1的計算機的計算機的體系結(jié)構(gòu)的框圖; 圖2A是圖2的計算機的另選體系結(jié)構(gòu)的框圖�����;以及 圖3是適用于圖2或2A的計算機的接口電路�����。
詳細描述
雖然下文闡明了許多不同實施方式的詳細描述�����,應當理解的是����,說明書的 法律范圍由本發(fā)明所附的權(quán)利要求書中的文字所限定。本詳細描述被解釋為僅 是示例性��,而未描述每一可能的實施方式��,因為描述每一可能的實施方式即使 不是不可能的也是不切實際的����。使用現(xiàn)有技術(shù)或在本專利提交日之后所研發(fā)的 技術(shù)�,可實現(xiàn)許多可選實施方式��,這些實施方式依然落在權(quán)利要求的范圍之內(nèi)����。
還需理解的是,除非一術(shù)語在本專利中被明確地使用句子"如此處所定義 的���,術(shù)語'—,此處被定義為指..."或類似的句子來定義�����,否則���,并無意(或 明確地或含蓄地)限制該術(shù)語的含義超出其平?�;蚱胀ǖ暮x���,并且這一術(shù)語 也不應被解釋為被限制在基于本專利任何部分(除權(quán)利要求的語言之外)所做 的任何陳述的范圍內(nèi)。就在本專利中以與單數(shù)含義相一致的方式稱呼本專利的 權(quán)利要求書中所述的任何術(shù)語而言�����,這樣做僅僅是為了清楚起見,以便不使讀
者感到混淆�,而并非旨在通過暗示或以別的方式將這一權(quán)利要求術(shù)語限制為該 單數(shù)含義。
許多發(fā)明功能和許多發(fā)明原理最好用或在軟件程序或指令和諸如專用集 成電路等集成電路(IC)中實現(xiàn)��。本領域的普通技術(shù)人員可以預期到���,盡管可
能作大量努力和由諸如可用時間�����、現(xiàn)有技術(shù)和經(jīng)濟因素等引發(fā)的諸多設計選 擇�����,但在由此所公開的概念和原理的指導下�,很容易以最少的試驗就能生成這 些軟件指令���、程序和ic���。因此,為了簡短和最小化令與本發(fā)明相一致的原理和 概念晦澀的任何風險����,對這些軟件和IC的進一步討論(若有的話)將被限制
在關(guān)于較佳實施方式的原理和概念的要素上����。
許多現(xiàn)有技術(shù)的高價值計算機�����、個人數(shù)字助理���、組織器等等��,按現(xiàn)在的樣 子并不適于在預付費或按使用計費的商業(yè)模型中使用。如上面討論的那樣���,這 些設備除需要服務供應商的那些之外���,可能有顯著的價值。例如���,個人計算機 可以被拆開而作為組件出售����,從而對提供資助設備的承銷商造成潛在的重大損 失。在因特網(wǎng)服務供應商懷著對將來收費的期望而承銷個人計算機的費用的情 況下���,這種"殘留價值"為欺詐性訂閱和盜竊造成機會����。預付費商業(yè)模型,即 用戶提前付款以使用被資助的���、高價值計算系統(tǒng)環(huán)境,也有類似的欺詐和盜竊 風險���。
圖1示出了計算機110形式的計算設備����,計算機110可以連接到諸如局域 網(wǎng)171或廣域網(wǎng)173等的網(wǎng)絡�,并且可以用來主宿安全執(zhí)行環(huán)境的一個或多個 實例。計算機110的組件可以包括但不局限于����,處理單元120、系統(tǒng)存儲器130 以及把包括系統(tǒng)存儲器在內(nèi)的各系統(tǒng)組件耦合至處理單元120的系統(tǒng)總線121�����。 系統(tǒng)總線121可以是若干類型的總線結(jié)構(gòu)中的任一種,包括存儲器總線或存儲 器控制器����、外設總線以及使用各種總線體系結(jié)構(gòu)中的任一種的局部總線。作為 示例而非限制��,這樣的體系結(jié)構(gòu)包括工業(yè)標準體系結(jié)構(gòu)(ISA)總線�、微通道 結(jié)構(gòu)(MCA)總線、擴展ISA (EISA)總線���、視頻電子技術(shù)標準協(xié)會(VESA) 局部總線和外圍部件互連(PCI)總線(也稱為夾層(Mezzanine)總線)��。
計算機IIO可以包括安全執(zhí)行環(huán)境125 (SEE) ����。 SEE125可被啟用來執(zhí)行 安全監(jiān)控����、按使用計費和訂閱使用管理以及對與付費使用相關(guān)的條款和條件的 策略實施�����,特別是在資助購買商業(yè)模型中�。安全執(zhí)行環(huán)境125可以在處理單元 120中具體化��,或被具體化為如圖1中所示的獨立組件�。SEE 125可以支持的 詳細功能和SEE 125的其它實施方式在下面參照圖3加以討論����。
計算機uo通常包括各種計算機可讀介質(zhì)。計算機可讀介質(zhì)可以是可由計
算機110訪問的任何可用介質(zhì)����,而且包括易失性和非易失性介質(zhì)、可移動和不
可移動介質(zhì)�����。作為示例而非局限�����,計算機可讀介質(zhì)可以包括計算機存儲介質(zhì)和 通信介質(zhì)�。計算機存儲介質(zhì)包括以用于存儲諸如計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)�、 程序歐模塊或其它數(shù)據(jù)等信息的任何方法或技術(shù)實現(xiàn)的易失性和非易失性的、
可移動和不可移動介質(zhì)�����。計算機存儲介質(zhì)包括但不局限于,RAM�、 ROM、 EEPROM�����、閃存或其它存儲器技術(shù)���、CD-ROM���、數(shù)字多功能盤(DVD)或其它 光盤存儲、磁帶盒����、磁帶、磁盤存儲或其它磁存儲設備���、或者任何其它可用以 存儲所需信息并可由計算機110訪問的介質(zhì)����。通信介質(zhì)通常以諸如載波或其它 傳輸機制等已調(diào)制數(shù)據(jù)信號來體現(xiàn)計算機可讀指令�����、數(shù)據(jù)結(jié)構(gòu)����、程序模塊或其 它數(shù)據(jù),并且包括任意信息傳遞介質(zhì)����。術(shù)語"己調(diào)制數(shù)據(jù)信號"是指以在該信 號中編碼信息的方式來設置或改變其一個或多個特性的信號。作為示例而非限 制����,通信介質(zhì)包括諸如有線網(wǎng)絡或直線連接這樣的有線介質(zhì),以及諸如聲學����、 射頻、紅外線和其它無線介質(zhì)這樣的無線介質(zhì)����。任何以上組合也應包括在計算 機可讀介質(zhì)的范疇之內(nèi)。
系統(tǒng)存儲器130包括諸如只讀存儲器(ROM)131和隨機存取存儲器(RAM) 132等易失性和/或非易失性存儲器形式的計算機存儲介質(zhì)���?�;据斎胼敵鱿到y(tǒng) 133 (BIOS)含有諸如啟動時在計算機110內(nèi)各元件之間傳遞信息的基本例程���, 它通常存儲于ROM131中��。RAM 132通常包含處理單元120可立即訪問和/或 目前正在被操作的數(shù)據(jù)和/或程序模塊����。作為示例而非局限����,圖1示出了操作系 統(tǒng)134、應用程序135����、其它程序模塊136和程序數(shù)據(jù)137。
計算機110還可以包括其它可移動/不可移動���、易失性/非易失性計算機存 儲介質(zhì)���。僅作為示例,圖l示出了從不可移動��、非易失性磁性介質(zhì)中讀取或向 其寫入的硬盤驅(qū)動器140;從可移動�、非易失性磁盤152中讀取或向其寫入的 磁盤驅(qū)動器151;以及從諸如CDROM或其他光學介質(zhì)那樣的可移動�、非易失 性光盤156中讀取或向其寫入的光盤驅(qū)動器155�?�?捎糜谑纠圆僮鳝h(huán)境中的 其它可移動/不可移動��、易失性/非易失性計算機存儲介質(zhì)包括但不局限于��,盒 式磁帶�����、閃存卡�����、數(shù)字多功能盤�、數(shù)字錄像帶、固態(tài)RAM�、固態(tài)ROM等等。 硬盤驅(qū)動器141通產(chǎn)通過諸如接口 140那樣的不可移動存儲器接口連接到系統(tǒng) 總線121�����,而磁盤驅(qū)動器151和光盤驅(qū)動器155通常通過諸如接口 150那樣的 可移動存儲器接口連接到系統(tǒng)總線121��。
上述及在圖1中示出的驅(qū)動器及其相關(guān)聯(lián)的計算機存儲介質(zhì)為計算機110 提供對計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊和其它數(shù)據(jù)的存儲�����。例如��,在圖
1中�,硬盤驅(qū)動器141被示為存儲操作系統(tǒng)144、應用程序145�����、其它程序模塊 146和程序數(shù)據(jù)147�����。注意����,這些組件既可相同于也可不同于操作系統(tǒng)134、應 用程序135����、其它程序模塊136和程序數(shù)據(jù)137����。操作系統(tǒng)144����、應用程序145����、 其它程序模塊146和程序數(shù)據(jù)147在此用不同的標號表示以說明它們至少是不 同的副本。用戶可通過諸如鍵盤162和定點設備161 (通常指鼠標�、操縱桿、 跟蹤球或觸摸墊)這樣的輸入設備將命令和信息輸入到計算機20中��。其它輸 入設備(未示出)可以包括話筒�、操縱桿、游戲墊�����、圓盤式衛(wèi)星天線或掃描儀 等���。這些和其它輸入設備通常通過耦合到系統(tǒng)總線的用戶輸入接口 160連接到 處理單元120����,但也可以通過其它接口和總線結(jié)構(gòu)(如并行端口、游戲端口或 通用串行總線(USB))進行連接�。監(jiān)視器191或其它類型的顯示設備也經(jīng)由 如視頻接口 190這樣的接口連接到系統(tǒng)總線121。除監(jiān)視器外����,計算機還可以 包括諸如揚聲器197和打印機196等其它外圍輸出設備,它們可以通過輸出外 設接口 190進行連接�����。
計算機IIO可使用到一臺或多臺諸如遠程計算機180這樣的遠程計算機的 邏輯連接在網(wǎng)絡化環(huán)境中操作����。遠程計算機180可能是個人計算機、服務器�����、 路由器��、網(wǎng)絡PC�、對等設備或其它常見的網(wǎng)絡節(jié)點,并且通常包括以上相對于 計算機IIO所描述的許多或全部元件�����,盡管在圖1中僅示出了存儲器存儲設備 181。圖1所示的邏輯連接包括局域網(wǎng)(LAN) 171和廣域網(wǎng)(WAN) 173�����,但 也可能包括其它網(wǎng)絡�����。這種網(wǎng)絡化環(huán)境常見于辦公室����、企業(yè)計算機網(wǎng)絡�、內(nèi)聯(lián) 網(wǎng)和因特網(wǎng)中。
當在LAN網(wǎng)絡化環(huán)境中使用時�,計算機110通過網(wǎng)絡接口或適配器170 連接到LAN171。當在WAN網(wǎng)絡化環(huán)境中使用時����,計算機110通常包括調(diào)制 解調(diào)器172或用以通過WAN173,如因特網(wǎng)建立通信的其它裝置���。調(diào)制解調(diào)器 H2或為內(nèi)置或為外置的�,它可以經(jīng)由用戶輸入接口 160或其它適當?shù)臋C制連 接到系統(tǒng)總線121。在聯(lián)網(wǎng)環(huán)境中�,相對于計算機110或其部分描繪的程序模 塊可存于遠程存儲器存儲設備上。作為示例而非局限�,圖l示出遠程應用程序 185駐留于存儲器設備181上。應當認識到����,所示的網(wǎng)絡連接是示例性的,也
可使用在計算機之間建立通信鏈路的其它手段��。
圖2是相同或類似于圖1的計算機的計算機200的體系結(jié)構(gòu)框圖�����。圖2的
計算機200的體系結(jié)構(gòu)可以是廣泛出售及當前使用的通用計算機的典型����。處理 器202可以耦合到圖形和存儲器接口 204。圖形和存儲器接口 204可以是"北 橋"控制器或其在較新的體系結(jié)構(gòu)下的功能性替代品�����,比如"圖形和AGP存 儲器控制器集線器"(GMCH)��。圖形和存儲器接口 204可經(jīng)由諸如"前端總 線"(FSB)等計算機體系結(jié)構(gòu)中公知的高速數(shù)據(jù)總線耦合到處理器202。處 理器202也可直接或通過圖形和存儲器接口 204連接到輸入/輸出接口 210(1/0 接口) ��。 1/0接口 210可以耦合到由下面討論的組件表示的各種設備�,但不限 于這些設備。1/0接口 210可以是"南橋"芯片或功能上類似的電路����,例如"I/0 控制器集線器"(ICH)。包括英特爾公司在內(nèi)的若干廠商生產(chǎn)現(xiàn)有技術(shù)的北 橋和南橋電路及其功能等價品����。
各種功能電路可耦合到圖形存儲器接口 204或1/0接口 210。圖形存儲器 接口 204可耦合到系統(tǒng)存儲器206和圖形處理器208�,而圖形處理器208本身 可以連接到顯示器(未示出)。鼠標/鍵盤212可耦合到I/0接口 210��。通用串 行總線(USB) 214可用于連接包括閃存����、照相機����、網(wǎng)絡適配器等(未示出) 在內(nèi)的外設。板槽216可容納業(yè)界公知且常見的任意數(shù)量的插入式設備���。諸如 以太網(wǎng)板等局域網(wǎng)(LAN)接口 218可以連接到I/O接口 210����。諸如基本輸入 輸出系統(tǒng)(BIOS) 220等固件可經(jīng)由1/0接口 210進行訪問。諸如硬盤驅(qū)動器 或上面列出的其它非易失性存儲器中的任一種等非易失性存儲器222也可耦合 到I/O接口 210�����。
安全執(zhí)行環(huán)境224被示為設置在I/O接口 210中�����。還示出了一個可選實施 方式�����,其示出了被設置在圖形和存儲器接口 204中的另一安全執(zhí)行環(huán)境226�。 盡管支持具有不止一個安全執(zhí)行環(huán)境的系統(tǒng)配置,但一個實施方式針對安全執(zhí) 行環(huán)境的一個單獨實例�����。擁有諸如安全執(zhí)行環(huán)境224或安全執(zhí)行環(huán)境226這樣 的整合安全執(zhí)行環(huán)境的接口電路將參照圖3進行更詳細的討論����。
圖2A是圖2的計算機的一個可選實施方式。在這一實施方式中,安全執(zhí) 行環(huán)境228沒有被設置在接口電路234和236之一中����,而是一個獨立的單元。 安全執(zhí)行環(huán)境228可通過總線230耦合到I/O接口 236�。類似地,當用圖形和 存儲器接口 234來配置時��,安全執(zhí)行環(huán)境228可經(jīng)由總線232耦合到圖形和存 儲器接口 234����。可使用獨立的總線230和232����,以便不干涉處理器202、圖形和 存儲器接口 234和1/0接口 236之間非常高的數(shù)據(jù)速率�。例如本領域中公知的 互集成電路總線(1IC或I20等較低速率的總線可滿足這種實現(xiàn)的要求。當以
這種方式配置時��,總線230和232可使數(shù)據(jù)傳輸不受阻礙�,并且依靠諸如埋于 電路板內(nèi)的總線這樣的物理手段來保護數(shù)據(jù)��。在另一實施方式中�����,總線230和 232上的數(shù)據(jù)可被加密,從而需要對分別在兩個接口電路234��、 236中的安全通 信的支持����。盡管這一支持可能是安全執(zhí)行環(huán)境228中固有的,但它也可以是對 圖形和存儲器接口 234或1/0接口 236的額外要求����。
圖3是如圖形和存儲器控制器204或I/O接口 210等示例性接口電路300 的框圖。接口電路300可以包括諸如未示出的開關(guān)���、多路復用器和緩沖器等實 際接口電路302��。接口電路300可以直接連接到如圖形和存儲器控制器204等 處理器��,或可通過諸如圖2所示的I/O接口 210或圖2A的接口電路234和236 等另一電路間接地連接����??偩€接口 306可以直接或間接地與處理器進行連接, 而總線接口 308和310可耦合到各種功能電路����,包括但不局限于��,圖形處理器�、 系統(tǒng)存儲器�����、非易失性存儲器�、如鍵盤和鼠標等的人類1/0、 USB端口和網(wǎng)絡 化連接等��。
接口電路300還可以包括耦合到接口電路的安全執(zhí)行環(huán)境304�。安全執(zhí)行 環(huán)境304可以包括可用以存儲如硬件標識符314、策略設置316�、存儲值318 和狀態(tài)寄存器319等數(shù)據(jù)的安全存儲器312。硬件標識符314可唯一地標識特 定的安全執(zhí)行環(huán)境��,并且通過關(guān)聯(lián)來標識計算機���。策略316可以包括使用條款 和一旦違反使用條款時實施的循序步驟��。存儲值318可以代表可用的使用分鐘 數(shù)����、按月訂閱的終止日期�,或者可以代表如可用于使用或不相關(guān)購買(如各附 件)的購買信用量等實際值。
狀態(tài)寄存器319可以存儲指示計算機的操作模式的值�。每個狀態(tài)值可以代 表一個不同的操作狀態(tài)。 一個狀態(tài)值可以代表不受限使用���,另一狀態(tài)值可以代 表允許付款輸入的簡化功能模式�,而第三個狀態(tài)值可以代表允許配置網(wǎng)絡連接 的模式(可能需要網(wǎng)絡配置以允許付款輸入���,且網(wǎng)絡配置可能與該付款輸入模 式相關(guān)聯(lián))�。又一狀態(tài)值可以代表允許檢索數(shù)據(jù)的簡化功能模式�����,該模式允許 備份置于受限操作模式中的系統(tǒng)����。又一狀態(tài)值可以代表限制性更大的操作模 式,該模式只允許輸入恢復代碼���,即可由安全執(zhí)行環(huán)境304直接解釋的簽名消 息����,且當該消息正確時,將系統(tǒng)恢復到不受限操作����。再一狀態(tài)值可以代表不允 許用戶交互,而要求有權(quán)訪問特殊硬件或軟件工具的授權(quán)服務技術(shù)人員重新激 活計算機的禁用模式����。后面的這些模式可以將操作限于具有已知位置的小內(nèi) 核,如限制在安全執(zhí)行環(huán)境304的安全存儲器312中����。參照圖2,因為所有的
存儲器訪問都經(jīng)由接口電路204���、 210中的一個��,所以處理器202對這一特殊 內(nèi)核的訪問可以由接口電路204��、 210的相關(guān)聯(lián)的安全執(zhí)行環(huán)境226��、 224來實 施�。上面所列出的受限操作模式可以包括根據(jù)觸發(fā)制裁的事件的性質(zhì)和關(guān)于該 事件的現(xiàn)有策略的要求而從中進行選擇的一組受限操作模式���。
安全執(zhí)行環(huán)境304還可以包括一組支持按使用計費或訂閱操作的功能320����。 這些功能能以許多方式實現(xiàn)�,例如, 一個實施方式可以使用如可編程邏輯陣列 等的固件����,而另一實施方式可以在安全執(zhí)行環(huán)境中包括處理器或控制器(未示 出)以便用軟件來實現(xiàn)這些功能。
功能312可以包括但不局限于����,時鐘322或?qū)崿F(xiàn)時鐘功能的定時器、實施 功能324����、計量326、策略管理328�����、密碼330���、隱私管理332����、生物測定驗證 334、存儲值336和遵守監(jiān)控338�。
時鐘322可為時間測量提供可靠的基礎,并且可用作對操作系統(tǒng)(如計算 機110的操作系統(tǒng)134)所維護的系統(tǒng)時鐘的檢驗��,以幫助防止通過改變系統(tǒng) 時鐘進行欺詐��。時鐘322也可結(jié)合策略管理328 —起使用��,例如���,要求與主機 服務器通信以驗證升級可用性��。當確定計算機110不遵守策略316的一個或多 個元素時���,可執(zhí)行實施功能324。這些動作可以包括通過將一般可用的系統(tǒng)存 儲器重新分配如安全執(zhí)行環(huán)境224����、 226等不可訪問資源來限制系統(tǒng)存儲器訪 問。通過這一重新分配過程����,系統(tǒng)存儲器206對用戶目的基本上不可用。
另一功能320可以是計量326。計量326可以包括各種技術(shù)和測量���,例如��, 在共同待審的美國專利申請11/006,837號中所討論的那些��。何時激活計量和要 測量哪些特定項目可以由策略316來決定。對適當?shù)牟呗?16的選擇和對策略 316的更新的管理可由策略管理功能328來實現(xiàn)�。策略管理功能328可以請求 和接收已更新的策略,以及負責新策略的驗證和安裝��。
密碼功能330可用于數(shù)字簽名驗證����、數(shù)字簽名、隨機數(shù)生成和加密/解密���。 這些密碼能力中的任一種或者全部都可被用于驗證對安全存儲器312或與安全 執(zhí)行環(huán)境304之外的(無論在計算機IIO之內(nèi)還是之外)的實體建立的信任的 更新���。
安全執(zhí)行環(huán)境304可以允許開發(fā)和使用若干專用功能。隱私管理器332可 用于為用戶或有關(guān)方面管理個人信息���。例如�,隱私管理器332可用于實現(xiàn)用于 保存在線購物時使用的地址和信用卡數(shù)據(jù)的"錢包"功能。生物測定驗證功能 334可與外部生物測定傳感器(未示出) 一起使用��,以驗證個人身份�。例如,
這一身份驗證可用于更新隱私管理器332內(nèi)個人信息或在應用數(shù)字簽名時使 用�����。密碼功能330可用于建立到外部生物測定傳感器的信任和安全通道���。
存儲值功能336結(jié)合存儲值318也可被實現(xiàn)來用于在付費使用計算機上支 付時間或訂閱或者在進行外部購買��,如在線股票交易事務時使用��。
遵守監(jiān)控338可以是單個測試或一組測試���。該單個測試或該組測試可用以 保證計算機關(guān)于計量的完整性、計算機硬件和軟件的整體完整性�,特別是安全 執(zhí)行環(huán)境304的完整性。遵守監(jiān)控338可以包含驗證特定軟件版本一一例如操 作系統(tǒng)134的版本一一的功能����。另一遵守檢査可對于按使用計費計算機驗證所 消耗(所計量的)的時間與所購買的時間相一致,以作為計量未被篡改的檢驗����。
在一個實施方式中��,計算機200可以使用正常BIOS啟動過程來引導�。在 激活操作系統(tǒng)134的時間點上��,可以激活策略管理功能328�。策略管理功能可 以確定當前策略316是有效的,隨后加載策略數(shù)據(jù)216�。策略316可在配置過 程中使用來設置計算機200以便操作。配置過程可以包括存儲器����、處理能力�����、 外設可用性和使用以及計量需求的分配�。當要實施計量時,可激活關(guān)于計量的 策略�����,如采取哪些測量��。例如,按CPU使用(按使用計費)的測量相對于一段 時間內(nèi)的使用(訂閱)的測量可能需要不同的測量����。此外,當按時段或按活動 對使用進行收費時�����,可使用存儲值功能336維護存儲值余額318�。在根據(jù)策略 316配置好計算機200后,該正常引導過程可以通過激活并實例化操作系統(tǒng)134 和其它應用程序135來繼續(xù)��。在其它實施方式中����,策略316可以在引導過程或 正常操作周期中不同點上應用。
萬一發(fā)現(xiàn)不遵守策略�,可以激活實施功能324。因為策略管理和實施功能 328���、 324是在安全執(zhí)行環(huán)境304內(nèi)維護的���,因此對系統(tǒng)的一些典型攻擊很困難 或者是不可能的。例如�,策略316不能通過替換外部存儲器的策略存儲器部分 而被"欺騙"�。類似地��,策略管理和實施功能328��、 324不能通過阻塞執(zhí)行周 期或阻塞其各自的地址范圍而被"餓死"��。
當在正常使用期間耗盡了可用時間或在計算機由于意外或故意而陷入非 遵守狀態(tài)時���,可能需要特定實施功能��。計量功能326或遵守功能338可把狀態(tài) 寄存器319的設置從代表正常的��、不受限使用改為與實施相關(guān)聯(lián)的設置����。這可 以使得實施功能324被激活�����。當安全執(zhí)行環(huán)境304被設置在或耦合到如圖形和 存儲器接口 204或1/0接口 210等接口電路時�����,有豐富范圍的實施選項可用���。 因為接口電路被適當?shù)卦O置以便與計算機的大多數(shù)(若不是全部的話)功能交互��,并且因為接口電路204���、 210位于那些功能和處理器之間,所以接口電路 204���、 210能夠按需精細地調(diào)整制裁的范圍��。
圖形和存儲器接口 204可以允許涉及系統(tǒng)存儲器和顯示器輸出的制裁�����。當 系統(tǒng)存儲器206被制裁時�,可供處理器202使用的可用系統(tǒng)存儲器會被顯著地 削減到小于正?��?捎孟到y(tǒng)存儲器的25%�。影響可以是減緩處理或限制如圖像編 輯等高級功能���。另一涉及系統(tǒng)存儲器206的制裁可以是將存儲器限于一固定數(shù) 量���,例如����,從512M字節(jié)到IOM字節(jié)����。若也限制頁交換,則可以通過提高或降 低固定存儲器數(shù)量來調(diào)整可支持的程序����,其中越低數(shù)量的存儲器對應于計算機 200的功能的越嚴格的限制。
當顯示器被制裁時�,圖形和存儲器接口 204可以限制發(fā)送到圖像處理器208 的數(shù)據(jù),或者可以發(fā)送覆蓋現(xiàn)有用戶設置的配置設置�����。例如����,取決于涉及操作 狀態(tài)的策略的要求�,可以限制像素的數(shù)量或者可以降低色深度。另一制裁可以 涉及在引導后的一段時間后一一例如10分鐘一一使顯示器超時�,從而允許執(zhí) 行恢復功能但限制可使用的工作時段。
I/O接口 224通過限制計算機200的功能提供更多施加制裁的機會�����。非易 失性存儲器222可以被限制為只讀訪問,從而允許加載程序或備份數(shù)據(jù)而不允 許到盤的頁交換或存儲用戶數(shù)據(jù)����。為使這一制裁完全有效,LAN 218連接和 USB端口 214也可以被限制��。當只讀制裁可能過于嚴格時�,非易失性存儲器訪 問可以被設置為允許全速讀取訪問和低得多的速率的寫訪問,例如�����,小于讀速 率的10�����。%��。設置數(shù)據(jù)方向或限制數(shù)據(jù)速率可通過停用寫總線數(shù)據(jù)緩沖區(qū)(例如 設為三態(tài)(tri-state))來完成���。設置數(shù)據(jù)速率可以通過改變接口中的數(shù)據(jù)緩沖 區(qū)的時鐘速率來完成�����。
另一種限制功能的能行性的方法可以是估計正被訪問的數(shù)據(jù)的類型���,從而 允許對數(shù)據(jù)文件的訪問但阻塞對可執(zhí)行文件的訪問�。如備份例程等豁免實用程 序(exempt utility)隨后可以出于備份目的而提供對數(shù)據(jù)文件的有限訪問����。在 另一實施方式中,非易失性存儲器的能行性可以通過把讀訪問減至很低的速率 來進行限制�,以便阻止除了增加價值或另外采取步驟以恢復正常操作之外的任 何使用。這一緩慢數(shù)據(jù)速率可以小于正常支持速度的1%��,或在一個實施方式 中是10K字節(jié)/秒的固定速率���。
I/O接口 210通過禁用與局域網(wǎng)218的通信�����,也可以限制其連接的功能之 一的能行性����。這可以阻塞對因特網(wǎng)或局域網(wǎng)的訪問��?�?蛇x擇地���,可以限制數(shù)據(jù)
傳輸速度�����,或者可以施加一段時間內(nèi)傳輸?shù)臄?shù)據(jù)的最大總量限制�����,而不是禁用 局域網(wǎng)連接�。
類似于其它數(shù)據(jù)傳輸限制�,USB端口 214上的數(shù)據(jù)傳輸可被阻塞或限制。 因為USB端口 214可被用于各種外設���,因此影響可擴展到鍵盤或鼠標��、記憶棒�、 數(shù)碼相機�、無線網(wǎng)絡或其它設備。如上所述�����,阻塞或限制數(shù)據(jù)傳輸速率可通過 阻塞或減慢I/0接口 210內(nèi)的數(shù)據(jù)緩沖區(qū)上的時鐘速率來完成。
為使計算機200回復到正常操作�,可能需要從許可授權(quán)機構(gòu)或服務供應商 (未示出)處獲得恢復代碼,然后輸入到計算機300中���?�;謴痛a可以包括硬 件ID 320���、存儲值充值和用以驗證時鐘322的"不早于"日期?����;謴痛a通常 可以被加密并簽署以供處理單元302確認���。
安全執(zhí)行環(huán)境可以區(qū)別于可信計算基礎(TCB)或下一代安全計算基礎 (NGSCB)����,因為安全執(zhí)行環(huán)境既不試圖限制向計算機添加特征或功能�,也不 試圖保護計算機不受病毒、惡意軟件或其它使用中可能發(fā)生的不合需要的副作 用的侵害��。該安全執(zhí)行環(huán)境確實試圖保護承銷商或資源擁有者的利益,以保證 滿足如按使用計費或訂閱等商業(yè)條款���,并阻止對計算機的整機或部分的偷竊或 盜竊�。
權(quán)利要求
1. 一種適用于在不受限使用模式和有限功能模式中操作的計算機�,包括處理器�����;多個功能電路����;以及耦合到所述處理器和所述多個功能電路中的至少一個的支持電路,所述支持電路包括用于管理在所述處理器和所述多個功能電路中的至少一個之間的數(shù)據(jù)通信的接口����;反映遵守狀態(tài)并用于發(fā)送激活有限功能操作模式的信號的狀態(tài)功能;以及用于響應于所述激活有限功能操作模式的信號來調(diào)整所述接口以阻止所述多個功能電路中的至少一個的有效執(zhí)行的實施功能�。
2. 如權(quán)利要求1所述的計算機,其特征在于�����,所述有限功能模式選自一組有 限功能模式�,該組模式包括以下之一a) 輸入付款��;b) 配置網(wǎng)絡連接���; C)檢索數(shù)據(jù);d) 禁用所述計算機但允許用戶輸入恢復代碼���;以及e) 禁用所述計算機且要求授權(quán)服務技術(shù)人員干預�����。
3. 如權(quán)利要求2所述的計算機���,其特征在于,所述實施功能通過控制輸入/ 輸出訪問和存儲器可用性中的至少一個����,來啟用所選擇的有限功能模式。
4. 如權(quán)利要求2所述的計算機���,其特征在于�����,所述狀態(tài)功能包括計量功能���, 并且其中����,所述實施功能響應于來自所述計量功能的指示實施等級的信號�,從所述 一組有限功能模式中選擇所述有限功能模式。
5. —種限制計算機性能的方法�,包括 監(jiān)控對應于激活一受限操作模式的觸發(fā)事件�����;響應于所述觸發(fā)事件從一組受限操作模式中選擇所述計算機的受限操作模式�;通過限制將一功能耦合到處理器的接口電路的所述功能的能行性來激活所選 受限操作模式。
6. 如權(quán)利要求5所述的方法����,其特征在于,所述功能包括系統(tǒng)存儲器功能�����、顯示器功能��、非易失性存儲器訪問功能����、通用串行總線和網(wǎng)絡接口功能中的至少一 個�����。
7. 如權(quán)利要求5所述的方法�,其特征在于��,所述功能是系統(tǒng)存儲器功能�,且 限制該功能的能行性包括將系統(tǒng)存儲器限制到小于正常可用系統(tǒng)存儲器的25%�。
8. 如權(quán)利要求5所述的方法,其特征在于�����,所述功能是系統(tǒng)存儲器功能����,且 限制該功能的能行性包括將系統(tǒng)存儲器限制到可用以處理的固定存儲器量,其中通 過降低可用以處理的所述固定存儲器量來實現(xiàn)更嚴格的功能限制�。
9. 如權(quán)利要求5所述的方法,其特征在于���,所述功能是顯示器功能��,且限制 該功能的能行性包括減少可用以顯示信息的像素數(shù)目����、減少可用色深度/頻譜、以 及在一時間間隔結(jié)束時自動停止顯示信號中的至少一個���。
10. 如權(quán)利要求5所述的方法����,其特征在于����,所述功能是非易失性存儲器訪 問功能�,且限制該功能的能行性包括限制可用的非易失性存儲器大小、將數(shù)據(jù)訪問 限制為只讀����、將數(shù)據(jù)訪問限制為只寫、限制數(shù)據(jù)訪問速度以及限制每次開機/重啟 的數(shù)據(jù)訪問的累計大小中的至少一個�。
11. 如權(quán)利要求5所述的方法,其特征在于���,所述功能是非易失性存儲器訪 問功能��,且限制該功能的能行性包括將數(shù)據(jù)訪問限制為全速讀取和以小于該讀取速 率的10%的速率寫入����。
12. 如權(quán)利要求5所述的方法,其特征在于�����,所述功能是非易失性存儲器訪 問功能���,且限制該功能的能行性包括提供對數(shù)據(jù)文件的有限訪問以及不提供對可執(zhí) 行文件的訪問�����。
13. 如權(quán)利要求5所述的方法����,其特征在于���,所述功能是非易失性存儲器訪 問功能�,且限制該功能的能行性包括將數(shù)據(jù)訪問限制為以相比于在正常操作期間可 用的數(shù)據(jù)速率而言受限的數(shù)據(jù)速率只讀��。
14. 如權(quán)利要求5所述的方法,其特征在于����,所述功能是網(wǎng)絡接口功能,且 限制該功能的能行性包括阻塞對網(wǎng)絡的訪問���、限制數(shù)據(jù)傳輸速度以及限制在一段時 間內(nèi)傳輸?shù)目倲?shù)據(jù)中的一個��。
15. 如權(quán)利要求5所述的方法���,其特征在于,所述功能是通用串行總線�����,且 限制該功能的能行性包括將所述USB上的數(shù)據(jù)傳輸限制為只寫��。
16. —種計算機中的用以處理在處理器和該計算機的至少一個功能塊之間傳 送數(shù)據(jù)的信號的支持電路��,包括-用以發(fā)送和接收數(shù)據(jù)的多個雙向總線����; 用以處理并在所述多個總線之間路由信號的接口電路�;用以監(jiān)控對操作策略的遵守并在所述計算機不遵守所述操作策略時實施所述 操作策略的執(zhí)行環(huán)境。
17. 如權(quán)利要求16所述的支持電路,其特征在于��,所述執(zhí)行環(huán)境包括耦合到所述接口電路的實施電路���,其中所述實施電路使得所述接口電路限制對所述信號的 處理和在多個總線之間的路由�。
18. 如權(quán)利要求16所述的支持電路���,其特征在于�,所述執(zhí)行環(huán)境包括在處理在所述執(zhí)行環(huán)境處接收到的消息時使用的密碼功能�。
19. 如權(quán)利要求16所述的支持電路,其特征在于���,所述執(zhí)行環(huán)境激活選自一 組有限功能模式的����、所述計算機的一個有限功能模式���,所述選擇對應于與所述操作 策略的不遵守程度��。
20. 如權(quán)利要求16所述的支持電路�,其特征在于�����,所述執(zhí)行環(huán)境包括用以在 所述計算機不遵守所述操作策略時向外部實施功能發(fā)信號的端口。
全文摘要
構(gòu)建計算機以在接口電路上實現(xiàn)操作策略的監(jiān)控和實施���,該接口電路在處理器和一個或多個功能塊之間傳遞數(shù)據(jù)�����。功能塊可以包括系統(tǒng)存儲器��、顯示器�、網(wǎng)絡�����、USB端口或非易失性存儲器����。由于接口電路處理處理器和其所支持的功能塊之間的每一事務,所以當計算機的使用不遵守操作策略時�,該接口電路是實施有限性能模式的有效點。
文檔編號G06F21/02GK101385007SQ200780005180
公開日2009年3月11日 申請日期2007年1月19日 優(yōu)先權(quán)日2006年2月14日
發(fā)明者A·富蘭克, I·P·阿道特, W·J·威斯特瑞能 申請人:微軟公司