【技术实现步骤摘要】
【国外来华专利技术】利用密封包围区的数据解封
本公开涉及安全计算系统。
技术介绍
安全隔离区域或可信执行环境提供安全容器(本文中称为包围区(enclave))以用于在计算机上执行可信代码,该计算机也可以在隔离区域之外的区域中具有较少可信代码。包围区的隔离区域包括在驻留在包围区之外的代码的执行期间受到保护的存储器的一部分。隔离存储器可以包含用于包围区的代码和数据两者,并且除了对从包围区存储器读取或向包围区存储器写入的限制之外,对该存储器的保护可以包括执行包含在包围区存储器中的代码的限制。诸如存储器隔离和执行限制等包围区安全性的各方面可以例如由计算机处理器中的硬件强制执行。软件证明可以提供对特定包围区的隔离安全性以及在该特定包围区的隔离存储器区域内加载的包围区代码的信任。证明可以另外提供所证明的包围区在其上运行的硬件和软件平台的完整性的证据。诸如微软的虚拟安全模式(VSM)和英特尔的软件保护扩展(SGX)等包围区系统部分地通过将包围区与以用户模式或内核模式运行的其他代码隔离来提供安全性。完整性和机密性保证可以提供对在包围区中运行的代码的真实性以及包围区代码的安全执行具有更高信任级别的包围...
【技术保护点】
1.一种用于解封包围区数据的方法,包括:由托管在第一本机包围区平台上的密封包围区,安全地存储来自源包围区的许可列表和相关联的包围区数据,其中所述许可列表包括被许可解封所述包围区数据的一个或多个包围区身份的列表;接收托管在第二本机包围区平台上的目的地包围区的目的地证明报告;从所述目的地证明报告得出所述目的地包围区的目的地身份;通过验证所述目的地身份被包括在所述许可列表中来确定访问许可;以及从所述密封包围区向所述目的地包围区发送所述包围区数据。
【技术特征摘要】
【国外来华专利技术】2017.01.24 US 15/414,5051.一种用于解封包围区数据的方法,包括:由托管在第一本机包围区平台上的密封包围区,安全地存储来自源包围区的许可列表和相关联的包围区数据,其中所述许可列表包括被许可解封所述包围区数据的一个或多个包围区身份的列表;接收托管在第二本机包围区平台上的目的地包围区的目的地证明报告;从所述目的地证明报告得出所述目的地包围区的目的地身份;通过验证所述目的地身份被包括在所述许可列表中来确定访问许可;以及从所述密封包围区向所述目的地包围区发送所述包围区数据。2.根据权利要求1所述的方法,其中:所述第一本机包围区平台位于第一计算机上,并且所述第二包围区本机平台被托管在第二计算机上。3.根据权利要求1所述的方法,其中所述许可列表是抽象身份类型的列表;并且还包括:接收所述源包围区的源证明报告;以及从所述源包围区的源证明报告和所述许可列表中的抽象身份类型得出许可身份值;并且其中验证所述目的地身份被包括在所述许可列表中包括:验证目的地身份值与所述许可身份值相同。4.根据权利要求1所述的方法,其中所发送的包围区数据被加密,并且还包括:所述密封包围区与所述目的地包围区之间的证明过程;用在所述证明过程期间生成的密钥来加密所述包围区数据,以创建加密的包围区数据;并且其中向所述目的地包围区发送的所述包围区数据是所述加密的包围区数据。5.根据权利要求1所述的方法,其中多组包围区数据由所述密封包围区安全地存储以用于所述许可列表中的包围区身份,并且还包括:从所述目的地包围区接收指示所述多组包围区数据中的一组包围区数据的选择密钥。6.一种系统,所述系统至少包括处理器和其上存储指令的存储器,所述指令在由所述系统执行时至少引起:由托管在第一本机包围区平台上的密封包围区,安全地存储来自源包围区的许可列表和相关联的包围区数据,其中所述许可列表包括被许可解封所述包围区数据的一个或多个包围区身份的列表;接收托管在第二本机包围区平台上的目的地包围区的目的地证明报告;从所述目的地证明报告得出所述目的地包围区的目的地身份;通过验证所述目的地身份被包括在所述许可列表中来确定访问许可;以及从所述密封包围区向所述目的地包围区发送所述包围区数据。7.根据权利...
【专利技术属性】
技术研发人员:M·科斯塔,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。