【技术实现步骤摘要】
【国外来华专利技术】安全公共云
实施例涉及公共云的安全性,并且具体地使得公共云服务的消费者能够确保消费者在云中的过程执行以及消费者的私有数据被保护免受其他人、包括公共云服务提供商的访问和修改。
技术介绍
术语“云计算”用于描述基于网络的计算(典型地在因特网上)。根据维基百科,“云计算按需向计算机和其它设备提供共享的处理资源和数据。云计算是一种用于使能实现对可配置的计算资源(例如网络、服务器、存储、应用和服务)的共享池的普适、按需访问的模型,所述可配置的计算资源可以在最小管理努力的情况下被迅速地供应和释放。云计算和存储解决方案向用户和企业提供用于在第三方数据中心中存储并且处理其数据的各种能力。云计算依赖于资源共享来实现连贯性和规模经济,类似于网络上的公用设施(比如电网)。”(来源:Wikipedia,https://en.wikipedia.org/wiki/Cloud_computing,于2016年8月11日被访问,引用被省略)。高容量网络、低成本计算机和存储设备目前的可用性以及广泛采用硬件虚拟化、面向服务的架构、以及自主和效用计算已经导致云计算中的增长。公司可以通过在计算需要增加时从云服务提供商请求附加的资源来按比例放大,然后在需求减小时再次按比例缩小。云计算提供资源即服务。“云计算提供商根据不同的模型来供应其‘服务’,所述不同的模型中按国家标准和技术局(NIST)的三个标准模型是基础设施即服务(IaaS)、平台即服务(PaaS)、以及软件即服务(SaaS)。这些模型供应增加的抽象;它们因而通常被描绘为堆栈中的层,其中基础设施即堆栈充当底层;平台即服务充当中间层;并且软件 ...
【技术保护点】
1.一种装置,包括:处理器;耦合到所述处理器的存储器;以及耦合到所述处理器和所述存储器的存储器加密逻辑,其中所述处理器被配置成执行指令以在所述存储器中创建密钥域,其中所述指令包括经加密的密钥域密钥,所述密钥域包括所述存储器的多个存储器位置,执行所述指令对所述经加密的密钥域密钥进行解密以产生针对所述密钥域的密钥域密钥,并且将所述密钥域密钥提供给所述存储器加密逻辑,并且所述存储器加密逻辑被配置成当从所述密钥域的第一存储器位置读取第一数据的时候通过使用所述密钥域密钥来解密所述第一存储器位置的所述第一数据,并且所述存储器加密逻辑被配置成当向第二存储器位置写入第二数据的时候通过使用所述密钥域密钥来加密所述第二存储器位置的所述第二数据。
【技术特征摘要】
【国外来华专利技术】2016.08.11 US 62/373627;2016.10.14 US 15/2939671.一种装置,包括:处理器;耦合到所述处理器的存储器;以及耦合到所述处理器和所述存储器的存储器加密逻辑,其中所述处理器被配置成执行指令以在所述存储器中创建密钥域,其中所述指令包括经加密的密钥域密钥,所述密钥域包括所述存储器的多个存储器位置,执行所述指令对所述经加密的密钥域密钥进行解密以产生针对所述密钥域的密钥域密钥,并且将所述密钥域密钥提供给所述存储器加密逻辑,并且所述存储器加密逻辑被配置成当从所述密钥域的第一存储器位置读取第一数据的时候通过使用所述密钥域密钥来解密所述第一存储器位置的所述第一数据,并且所述存储器加密逻辑被配置成当向第二存储器位置写入第二数据的时候通过使用所述密钥域密钥来加密所述第二存储器位置的所述第二数据。2.根据权利要求1所述的装置,其中所述指令此外包括针对所述密钥域的密钥域标识符,所述处理器被配置成将物理地址的未被使用的位设置成所述密钥域标识符,所述物理地址标识所述密钥域的所述多个存储器位置中的存储器位置,所述处理器被配置成将所述物理地址的一位设置成对将通过使用所述密钥域密钥被读取的物理地址处的存储器位置的经加密的内容进行指示的值,所述存储器加密逻辑被配置成通过使用所述密钥域密钥来从所述物理地址处的存储器位置读取经加密的内容以产生经解密的密钥域内容,并且所述处理器被配置成执行所述经解密的密钥域内容。3.根据权利要求2所述的装置,其中所述经解密的密钥域内容包括域映像,所述域映像包括将在所述密钥域是当前密钥域的时候被执行的代码,并且由所述域映像外部的代码发布用于执行指令以创建密钥域的命令。4.根据权利要求3所述的装置,其中所述处理器此外被配置成:执行第二指令以验证经加密的密钥域内容,而同时维持所述密钥域密钥以及所述经解密的密钥域内容的机密性,其中由所述密钥域映像外部的代码发布用于执行第二指令的命令。5.根据权利要求4所述的装置,其中所述第二指令包括针对所述密钥域的所述密钥域标识符,所述处理器被配置成散列化所述经解密的密钥域内容以产生散列结果。6.根据权利要求5所述的装置,其中所述处理器此外被配置成:执行第三指令以从第一密钥域切换到第二密钥域,其中执行所述第三指令使得所述处理器在属于所述第二密钥域的存储器中的经授权的存储器位置处执行代码,其中所述经授权的存储器位置的内容随后利用针对所述第二密钥域的第二密钥域密钥来被加密或解密。7.根据权利要求4所述的装置,其中维持所述密钥域密钥的机密性包括将所述密钥域密钥提供给所述存储器加密逻辑,作为经加密的密钥域密钥,使得在所述处理器上执行的软件不能访问所述密钥域密钥,以及维持所述经解密的密钥域内容的机密性包括将所述经加密的密钥域内容提供给所述存储器加密逻辑,作为经加密的密钥域内容,使得在所述处理器上执行的软件不能访问所述经解密的密钥域内容。8.一种方法,包括:响应于消费者针对服务的请求而向所述消费者提供域管理器映像;分配存储器的一部分以用于所述域管理器映像,并且向所述消费者提供针对存储器的该部分的存储器定位相关的地址信息;将所述消费者所提供的经加密的域发动映像加载到存储器的该部分中;向处理器发送命令以创建密钥域,其中所述命令包括经加密的密钥域密钥,所述密钥域包括所述存储器的多个位置,并且所述密钥域的每个存储器位置通过针对所述密钥域的密钥域密钥来被加密;将第二命令发送到所述处理器以密码地验证所述经加密的域发动映像包括所述域管理器映像;以及如果所述处理器验证了所述经加密的域发动映像包括所述域管理器映像则执行通过对所述经加密的域发动映像进行解密所产生的域发动映像。9.根据权利要求8所述的方法,其中对所述经加密的域发动映像进行解密以产生域发动映像包括比较所述域发动映像的内容与所述消费者为所述经加密的域发动映像所提供的完整性检查值,并且如果所述域发动映像的内容不匹配所述完整性检查值,则中止所述域发动映像的执行。10.根据权利要求8所述的方法,其中所述处理器此外响应于所述第二命令而验证所述经加密的域发动映像被加载到其中的存储器部分的入口点地址匹配所述存储器定位相关的地址信息中的所指定的入口点地址。11.根据权利要求8所述的方法,此外包括:将第三命令发送到所述处理器以从第一密钥域切换到第二密钥域,其中切换到所述第二密钥域使得所述处理器在属于所述第二密钥...
【专利技术属性】
技术研发人员:DM德拉姆,RL萨希塔,BE亨特利,NM德什潘德,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。