【技术实现步骤摘要】
【国外来华专利技术】从属包围区二进制文件
本公开涉及安全计算系统。
技术介绍
安全隔离区域或可信执行环境提供安全容器(本文中称为包围区(enclave))以用于在计算机上执行可信代码,该计算机也可以在隔离区域之外的区域中具有较少可信代码。包围区的隔离区域包括在驻留在包围区之外的代码的执行期间受到保护的存储器的一部分。隔离存储器可以包含用于包围区的代码和数据两者,并且除了对从包围区存储器读取或向包围区存储器写入的限制之外,对该存储器的保护可以包括执行包含在包围区存储器中的代码的限制。诸如存储器隔离和执行限制等包围区安全性的各方面可以例如由计算机处理器中的硬件强制执行。软件证明可以提供对特定包围区的隔离安全性以及在该特定包围区的隔离存储器区域内加载的包围区代码的信任。证明可以另外提供所证明的包围区在其上运行的硬件和软件平台的完整性的证据。诸如微软的虚拟安全模式(VSM)和英特尔的软件保护扩展(SGX)等包围区系统部分地通过将包围区与以用户模式或内核模式运行的其他代码隔离来提供安全性。完整性和机密性保证可以提供对在包围区中运行的代码的真实性以及包围区代码的安全执行具有更高信任级别的包围区。...
【技术保护点】
1.一种用于实例化包围区的方法,包括:从主包围区映像标识第一组从属包围区指示符;标识与所述第一组从属包围区指示符中的一个从属包围区指示符相对应的第一从属包围区映像;创建安全包围区容器;以及将所述主包围区映像的至少一部分和所述第一从属包围区映像的至少一部分复制到所述安全包围区容器中。
【技术特征摘要】
【国外来华专利技术】2017.01.24 US 15/414,4121.一种用于实例化包围区的方法,包括:从主包围区映像标识第一组从属包围区指示符;标识与所述第一组从属包围区指示符中的一个从属包围区指示符相对应的第一从属包围区映像;创建安全包围区容器;以及将所述主包围区映像的至少一部分和所述第一从属包围区映像的至少一部分复制到所述安全包围区容器中。2.根据权利要求1所述的方法,还包括:从所述第一从属包围区映像标识第二组从属包围区指示符;标识与所述第二组从属包围区指示符中的一个从属包围区指示符相对应的第二从属包围区映像;以及将所述第二从属包围区映像的至少一部分复制到所述安全包围区容器中。3.根据权利要求1所述的方法,还包括:用与所述第一从属包围区映像的作者相关联的密钥来验证所述第一从属包围区映像的完整性。4.根据权利要求1所述的方法,其中所述主包围区映像与第一包围区作者相关联,并且所述第一从属包围区映像与包围区平台相关联,并且其中所述安全包围区容器符合所述包围区平台,并且还包括:用与所述第一包围区作者相关联的密钥来验证所述主包围区映像的完整性;以及用与所述包围区平台相关联的密钥来验证所述第一从属包围区映像的完整性。5.根据权利要求1所述的方法,其中所述第一组从属包围区指示符是抽象包围区指示符,并且其中所述第一从属包围区映像是通过在包围区二进制文件的注册表中查找所述第一组从属包围区指示符中的所述一个从属包围区指示符而被标识的。6.一种系统,所述系统至少包括处理器和其上存储有指令的存储器,所述指令在由所述系统执行时至少引起:从主包围区映像标识第一组从属包围区指示符;标识与所述第一组从属包围区指示符中的一个从属包围区指示符相对应的第一从属包围区映像;创建安全包围区容器;以及将所述主包围区映像的至少一部分和所述第一从属包围区映像的至少一部分复制到所述安全包围区容器中。7.根据权利要求6所述的系统,其中所述指令还至少引起:从所述第一从属包围区映像标识第二组从属包围区指示符;标识与所述第二组从属包围区指示符中的一个从属包围区指示符相对应的第二从属包围区映像...
【专利技术属性】
技术研发人员:M·科斯塔,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。