【技术实现步骤摘要】
【国外来华专利技术】将可信执行环境用于代码和数据的安全性
技术介绍
计算机系统对需要保护免于篡改和窃取的越来越多重要、敏感且有价值的信息进行处理。存在必须将秘密保存在平台上的许多软件应用。一些示例应用是财务/银行应用和医疗记录应用。每个秘密文件夹可能对其他秘密文件夹相互不信任,并且每个秘密可以独立于其他秘密而被保护。为了应对这种篡改和窃取,可以使用可信软件执行环境(TXE)。TXE阻止不可信软件访问可信软件和数据。软件防护扩展(SGX)是TXE的示例并且包括添加到架构中的一组指令和存储器访问变化。这些扩展允许应用将保护容器(有时被称为飞地)实例化。飞地是应用的地址空间中提供保密性和完整性的保护区域(甚至在存在特权软件的情况下)。阻止来自不驻留在飞地中的软件对飞地存储器区域的试图访问,甚至是来自如虚拟机监视器、BIOS或操作系统等特权软件的访问。附图说明根据所附权利要求书、以下对一个或多个示例实施例的详细描述和相应附图,本专利技术的实施例的特征和优点将变得显而易见。在认为适当的情况下,在附图当中重复参考标记以表示相应或相似的元件。图1包括本专利技术的实施例中的多个TXE。图2包括本专利技术的实施例中的多个TXE。图3包括本专利技术的实施例中的进程。图4包括本专利技术的实施例中的进程。图5包括本专利技术的实施例中的进程。图6包括与本专利技术的实施例一起使用的系统。具体实施方式在以下描述中,虽然阐述了许多特定细节,但是可以在没有这些特定细节的情况下实践本专利技术的实施例。未详细示出公知的电路、结构和技术,以避免模糊对本说明书的理解。“实施例”、“各种实施例”等指示如此描述的(多个)实施例 ...
【技术保护点】
一种由至少一个处理器执行的方法,所述方法包括:在至少一个存储器的受保护非特权用户地址空间中创建第一可信执行环境(TXE),所述第一TXE对第一数据和第一可执行代码中的至少一者进行第一测量并且当所述第一测量处于所述第一TXE内时使用持久性第一基于硬件的密钥来对所述第一测量进行加密;在所述非特权用户地址空间中创建第二TXE,所述第二TXE对第二数据和第二可执行代码中的至少一者进行第二测量;在所述非特权用户地址空间中创建第三TXE;在所述第一TXE与所述第三TXE之间创建第一安全通信通道并且在所述第二TXE与所述第三TXE之间创建第二安全通信通道;以及在所述第一TXE与所述第三TXE之间经由所述第一安全通信通道传达所述第一测量。
【技术特征摘要】
【国外来华专利技术】2014.12.16 US 14/572,0601.一种由至少一个处理器执行的方法,所述方法包括:在至少一个存储器的受保护非特权用户地址空间中创建第一可信执行环境(TXE),所述第一TXE对第一数据和第一可执行代码中的至少一者进行第一测量并且当所述第一测量处于所述第一TXE内时使用持久性第一基于硬件的密钥来对所述第一测量进行加密;在所述非特权用户地址空间中创建第二TXE,所述第二TXE对第二数据和第二可执行代码中的至少一者进行第二测量;在所述非特权用户地址空间中创建第三TXE;在所述第一TXE与所述第三TXE之间创建第一安全通信通道并且在所述第二TXE与所述第三TXE之间创建第二安全通信通道;以及在所述第一TXE与所述第三TXE之间经由所述第一安全通信通道传达所述第一测量。2.如权利要求1所述的方法,包括:经由包括指令的库将所述第一TXE链接至所述第一可执行代码和所述第一数据中的所述至少一者,所述指令响应于被执行而使所述至少一个处理器创建所述第一TXE。3.如权利要求1所述的方法,包括:在所述第一TXE与所述第三TXE之间建立保活服务。4.如权利要求1所述的方法,包括:所述第一TXE在所述非特权用户地址空间中对附加数据和附加可执行代码中的至少一者进行附加测量。5.如权利要求4所述的方法,其中,所述第一可执行代码和所述附加可执行代码两者至少对应于第一软件应用的一部分。6.如权利要求5所述的方法,包括:所述第一软件应用对所述第一TXE进行初始化。7.如权利要求6所述的方法,包括:所述第一软件应用在对所述第一TXE进行初始化之后周期性地启动所述第一TXE。8.如权利要求7所述的方法,包括:对所述第一数据和所述第一可执行代码中的至少一者进行测量,并且在所述第一TXE与所述第三TXE之间经由所述第一安全通信通道传达所述测量,当所述测量仍处于所述第一TXE内时,基于所述第一基于硬件的密钥对所述测量进行加密。9.如权利要求1所述的方法,包括:将所述第一测量存储在所述至少一个存储器中;其中,所述第一TXE包括虚拟存储器区域,所述虚拟存储器区域限定所述第一TXE并且阻止在所述第一TXE之外执行的软件对所述第一TXE之内的软件和数据进行访问。10.如权利要求9所述的方法,包括:当所述第一测量被存储在所述至少一个存储器中时,所述第三TXE访问所述第一测量。11.如权利要求10所述的方法,其中,所述至少一个存储器在所述第一TXE与所述第三TXE之间共享。12.如权利要求11所述的方法,包括:将所述第二测量存储在所述至少一个存储器中。13.如权利要求1所述的方法...
【专利技术属性】
技术研发人员:N·奈什尔,A·贝伦宗,B·柴金,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。