本申请的实施例公开了一种安全数据处理装置和方法。所述安全数据处理装置包括:受信任域,包括与受信任的数据处理装置耦合的受信任的总线,所述受信任的数据处理装置可操作以处理在受信任的总线上接收到的输入用户数据并生成输出用户数据;受信任域控制器,其将受信任的总线与非受信任域中不受信任的总线耦合,所述受信任域控制器能够操作以确保在不受信任的总线上接收到的加密的输入用户数据被解密并在受信任的总线上将其作为输入数据提供,并且确保所述输出用户数据被加密并在不受信任的总线上将其作为加密的输出数据提供。
【技术实现步骤摘要】
【国外来华专利技术】安全数据处理
本专利技术涉及一种安全的数据处理装置和方法。
技术介绍
安全的数据处理是众所周知的。安全的数据处理在例如云计算中使用的那些分散式计算体系结构中尤为重要。当进行这样的云计算时,在云中被发送至远程计算机中的任意代码和被发送以进行远程处理的任意用户数据,以及从远程数据处理操作输出的数据通常需要保密。 尽管存在各种技术以试图保护这些数据的保密性,他们中的每一个都有其各自的不足之处。 因此,需要提供一种改进的技术用于执行安全数据处理。
技术实现思路
根据第一方面,提供了一种安全的数据处理装置,其可操作以安全地处理用户提供的用户数据,该安全数据处理设备包括:受信任的域,包括与受信任的数据处理装置耦合的受信任的总线,所述受信任的数据处理装置可操作以处理在该受信任的总线上接收到的输入用户数据,并生成输出的用户数据;受信任域控制器,将受信任的总线与非受信任的域中不受信任的总线耦合,所述受信任域控制器能够操作以确保对在该不受信任的总线上接收到的已加密的输入用户数据进行解密并在受信任的总线上将其作为输入数据提供,并且确保对输出用户数据进行加密并在不受信任的总线上将其作为加密的输出数据提供。 所述第一方面认识到,存储器保护硬件机制的传统目标是执行环境和信任之间的隔离,从安全角度来看,该机制允许操作系统隔离不同用户的执行环境。其试图确保无特权的用户不能访问彼此的数据,也不能压倒系统管理员所做的决策和配置。这通常由执行适当的存储器管理单元配置的操作系统内核在切换一个用户进程时实现,所述进程仅可访问系统中可用物理存储器的一个子集,并且如果需要的话以适当的只读限制的方式。然而,第一方面认识到,该机制依然允许处理器有特殊的操作模式(即所谓的“Ring O”),在该操作模式中,对运行的代码可以做什么没有限制。该Ring O被用于设置和管理各个进程执行的隔离,并且因此在Ring O中运行的软件必须是受信任的。可惜的是,在传统的操作系统中,恶意攻击者对操作系统内核和系统调用实现中的缺陷(bug)进行的利用已经获得成功,因此允许例如非特权进程在操作系统上获得管理员权限,并最后能够破坏系统中的任何安全策略。同时,作为操作系统中的特权进程,系统进程和服务中的缺陷可以用来执行可破坏操作系统安全策略配置的恶意代码。此外,恶意系统管理员可以控制在Ring O中执行的软件,并且因此可以注入绕过正常的操作系统安全的恶意软件。 类似地,在虚拟化环境中,如建立在云计算基础设施上的那些环境,可利用传统的存储器保护来为不同虚拟机的执行彼此进行隔离。虚拟机监视器或管理程序嵌入代码利用可用处理器的特殊操作模式以执行系统管理操作。然而,所述第一方面认识到,攻击者可以利用管理程序和超级调用实现中的缺陷以便打破这样的系统的隔离性能(跨不同的虚拟机)。通常管理在物理节点上的访问的基础设施拥有者事实上可以访问由托管虚拟机管理的任意数据。因此云提供商的用户被迫信任该提供商一如果他们想将任何一种计算移交到云中。 加密机制,如同态加密,通过允许云提供商在已加密并且无法理解数据内容的数据上执行计算来努力消除该约束。然而,这样的技术被限制在数据上有限的操作集范围中。此外,该技术还只是初步的并且它们的有效性和可用性尚未被证实。 另一种方法使用受信任的平台模块技术。然而受信任的平台模块仅仅通过例如确保引导链涉及的软件组件没有被修改来确保远程系统不能被篡改。然而,在所述软件中存在缺陷的情况下,其同样不能提供任何保证。 另一种方法是使用与加密存储器管理单元相关联的处理器,使得安全处理器可以在保持加密形式的数据上操作。但是,由于对每次高速缓存缺失均需利用加密和解密的功能,与执行实时加密和解密相关的开销可很高。 因此,提供了一种安全的数据处理装置。所述安全数据处理装置可可操作地安全地处理用户提供的数据。所述安全数据处理装置可包括受信任域。所述受信任域可包括可与受信任的数据处理装置耦合的受信任的总线。所述受信任的处理装置可能够处理在所述受信任的总线上接收到的输入用户数据并可生成输出用户数据。所述安全数据处理装置还可包括受信任域控制器。所述受信任域控制器可将受信任的总线与其以及非受信任的域中受信任的总线相耦合。所述受信任域控制器可确保对在不受信任的总线上接收到的加密的输入用户数据解密。所述受信任域控制器可在受信任的总线上提供所述解密的输入用户数据作为输入数据。所述受信任域控制器也可确保加密输出用户数据并在非受信任的总线上将其作为加密的输出数据提供。 通过提供将所述受信任的总线与一个不受信任的总线耦合的受信任域控制器,并且所述受信任域控制器确保输入用户数据被解密同时输出用户数据被加密,仅在不受信任的域中提供降低数据受到损害机会的加密的数据,并且确保了仅在受信任域中处理解密的数据,这提高了受信任域中的处理性能。通过提供受信任域控制器作为受信任域和非受信任域之间的导管,可以避免访问受信任域中非加密的数据。因此,可在保证数据的保密性的同时不损失任何相关的处理性能的。 在一个实施例中,受信任的域控制器提供受信任域和非受信任域之间的唯一接口。通过提供作为受信任域和非受信任域之间唯一接口的受信任域控制器,可以保证数据的加密和解密并且可避免通过任何其它途径访问受信任域内的数据,从而避免对受信任域中非加密数据的访问。应当认识到,在实施例中,所述受信任域控制器提供至受信任域的唯一物理通道(access)。 在一个实施例中,受信任域和非受信任域之间的所有数据传输均通过受信任域控制器发生。因此,所有的数据传输仅可通过受信任域控制器发生,从而保证存在适当的加密和解密以防止任何非加密的数据离开受信任域。 在一个实施例中,由受信任域控制器强制加密和解密受信任域和非受信任域之间的数据传输。因此,所有的传输都必须被加密或解密以保护用户数据的完整性。 在一个实施例中,受信任域控制器包括不可再编程密码硬件,其可操作以在受信任域和非受信任域之间的数据传输上进行加密和解密。因此,所述加密和解密过程可被硬连线(hardwired)到受信任域控制器以致没有软件可覆盖或重新编程这些功能,以避免对离开信任域的数据需被加密的要求被任何恶意代码重写。 在一个实施例中,受信任域控制器可操作以使用相应的不可再编程加密和解密逻辑对受信任域和非受信任域之间的数据传输执行加密和解密。 在一个实施例中,加密和解密逻辑利用与用户交换的会话密钥。通过与用户交换会话密钥,只有该用户和受信任域控制器会话密钥能够解密或加密安全数据处理装置与用户之间传输的数据。应当认识到,所述密钥的建立不应该依赖任何受信任的软件片段,并且除重新配置会话密钥外,受信任域控制器的行为不应该是可变的或可重新配置的。 在一个实施例中,用户将会话密钥秘密发送到受信任域控制器,利用该密钥,所述受信任域控制器通过硬件机制对自身进行重新配置。 在一个实施例中,通过对来自架构(fabric)的受信任域控制器印记(imprinting)私有加密密钥,所述秘密发送操作远程地发生,所述私有加密密钥与由用户信任的认证机构发布、认证和/或通过的公共加密密钥对应。 在一个实施例中,用户使用公共密钥加密消息,所述消息包括将在受信任域控制本文档来自技高网...
【技术保护点】
一种安全的数据处理装置,可被操作以安全地处理由用户提供的用户数据,所述安全数据处理装置包括:受信任域(20),包括与受信任的数据处理装置(50)耦合的受信任的总线,所述受信任的数据处理装置(50)可操作以处理在所述受信任的总线上接收到的输入用户数据并生成输出用户数据;受信任域控制器(40),耦合所述受信任的总线与非受信任的域(80)中不受信任的总线,所述受信任域控制器可操作以确保在所述不受信任的总线上接收到的加密的输入用户数据被解密并在所述受信任的总线上将其作为所述输入数据提供,并且确保输出用户数据被加密并在所述不受信任的总线上将其作为加密的输出数据提供,其中,响应于重新配置所述受信任域的请求,所述受信域控制器可操作用以删除所述受信任域中的用户数据。
【技术特征摘要】
【国外来华专利技术】2012.06.07 EP 12360045.41.一种安全的数据处理装置,可被操作以安全地处理由用户提供的用户数据,所述安全数据处理装置包括: 受信任域(20),包括与受信任的数据处理装置(50)耦合的受信任的总线,所述受信任的数据处理装置(50)可操作以处理在所述受信任的总线上接收到的输入用户数据并生成输出用户数据; 受信任域控制器(40),耦合所述受信任的总线与非受信任的域(80)中不受信任的总线,所述受信任域控制器可操作以确保在所述不受信任的总线上接收到的加密的输入用户数据被解密并在所述受信任的总线上将其作为所述输入数据提供,并且确保输出用户数据被加密并在所述不受信任的总线上将其作为加密的输出数据提供,其中,响应于重新配置所述受信任域的请求,所述受信域控制器可操作用以删除所述受信任域中的用户数据。2.如权利要求1所述的装置,其中所述受信任域控制器提供所述受信任域与所述非受信任域之间的唯一接口。3.如权利要求1或2所述的装置,其中所述受信任域与所述非受信任之间的所有数据传输通过所述受信任的域控制器发生。4.如前述任意权利要求之一所述的装置,其中所述受信任域与所述非受信任域之间的数据传输由所述受信任的域控制器强制加密和解密。5.如前述任意权利要求之一所述的装置,其中所述受信任的域控制器包括不可再编程的密码硬件(40a、40b),所述不可再编程的密码硬件可操作以对所述受信任域与所述非受信任域之间的所述数据传输执行加密和解密。6.如前述任意权利要求之一所述的装置,其中所述受信任的域控制器可操作以使用...
【专利技术属性】
技术研发人员:T·库奇诺塔,D·凯鲁比尼,E·B·尤尔,
申请(专利权)人:阿尔卡特朗讯公司,
类型:发明
国别省市:法国;FR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。