【技术实现步骤摘要】
【国外来华专利技术】交叉平台包围区数据密封
本公开涉及安全计算系统。
技术介绍
安全隔离区域或可信执行环境提供安全容器(本文中称为包围区(enclave))以用于在计算机上执行可信代码,该计算机也可以在隔离区域之外的区域中具有较少可信代码。包围区的隔离区域包括在驻留在包围区之外的代码的执行期间受到保护的存储器的一部分。隔离存储器可以包含用于包围区的代码和数据两者,并且除了对从包围区存储器读取或向包围区存储器写入的限制之外,对该存储器的保护可以包括执行包含在包围区存储器中的代码的限制。诸如存储器隔离和执行限制等包围区安全性的各方面可以例如由计算机处理器中的硬件强制执行。软件证明可以提供对特定包围区的隔离安全性以及在该特定包围区的隔离存储器区域内加载的包围区代码的信任。证明可以另外提供所证明的包围区在其上运行的硬件和软件平台的完整性的证据。诸如微软的虚拟安全模式(VSM)和英特尔的软件保护扩展(SGX)等包围区系统部分地通过将包围区与以用户模式或内核模式运行的其他代码隔离来提供安全性。完整性和机密性保证可以提供对在包围区中运行的代码的真实性以及包围区代码的安全执行具有更高信任级别的包围区。可以通过特定包围区的软件证明来提供完整性保证。软件证明可以包括在包围区内的内容(指令和数据)的加密签名的散列,并且可以与关于包围区环境的数据组合。当包围区与硬件安全模块(HSM)(诸如符合可信计算组(TCG)可信平台模块(TPM)标准的硬件)结合使用时,包围区可以提供附加级别的安全性和机密性保证。除了通过将可信本地包围区与包围区的隔离之外的不可信本地代码隔离而提供的安全性之外,包围区的软件证明可 ...
【技术保护点】
1.一种用于包围区数据的分布式密封的方法,包括:向源包围区证明密封包围区;经由第一安全通信信道,从所述源包围区接收包围区数据;将所述包围区数据密封到所述密封包围区;验证目的地包围区被许可访问所述包围区数据。解封所密封的数据;以及经由第二安全通信信道,向目的地包围区发送所解封的数据。
【技术特征摘要】
【国外来华专利技术】2017.01.24 US 15/414,3711.一种用于包围区数据的分布式密封的方法,包括:向源包围区证明密封包围区;经由第一安全通信信道,从所述源包围区接收包围区数据;将所述包围区数据密封到所述密封包围区;验证目的地包围区被许可访问所述包围区数据。解封所密封的数据;以及经由第二安全通信信道,向目的地包围区发送所解封的数据。2.根据权利要求1所述的方法,还包括:从所述源包围区接收许可列表;接收所述目的地包围区的证明报告;从所述目的地包围区的所述证明报告得到目的地身份;并且其中验证所述目的地包围区被许可访问包括验证所述目的地身份被包括在所述许可列表中。3.根据权利要求2所述的方法,其中所述许可列表是抽象身份类型的列表;并且所述方法还包括:接收所述源包围区的源证明报告;从所述源证明报告和所述许可列表中的抽象身份类型得到许可身份值;从所述目的地包围区的所述证明报告得到目的地身份值;并且其中验证所述目的地包围区被许可访问包括将所许可的身份与所述目的地身份进行比较。4.根据权利要求1所述的方法:其中所述源包围区由第一本机包围区平台托管,所述密封包围区由第二本机包围区平台托管,并且所述目的地包围区由第三本机包围区平台托管,其中所述第一本机平台、所述第二本机平台和所述第三本机平台中的至少两个是不相同的,并且还包括:用与所述第二本机包围区平台相关联的密钥,对密封包围区证明报告进行签名;以及用与所述第三本机包围区平台相关联的公钥,验证目的地包围区身份的完整性。5.根据权利要求1所述的方法,其中:所述源包围区由第一计算机上的本机包围区平台托管,所述密封包围区由第二计算机上的本机包围区平台托管,并且所述目的地包围区由第三计算机上的本机包围区托管;所述第一计算机、所述第二计算机和所述第三计算机中的至少两个是不相同的;从所述源包围区接收包围区数据包括在所述第二计算机处从所述第一计算机接收包围区数据;并且向所述目的地包围区发送所述所解封的数据包括从所述第二计算机向所述第三计算机发送所述所解封的数据。6.根据权利要求1所述的方法,还包括:在所述源包围区中部分地完成安全处理操作;在所述目的地包围区中继续所述安全处理操作;并且其中所述包围区数据包括在部分地完成所述源操作之后所述源包围区的状态数据。7.根据权利要求1所述的方法,其中所述第一安全通信信道是通过用密钥来加密消息而被保卫的,所述密钥在向所述源包围区证明所述密封包围区的同时被生成,并且还包括:用所述密钥来解密所述包围区数据。8.一种系统,所述系统至少包括处理器和其上存储指令的存储器,所述指令在由所述系统执行时至少引起:向源包围区证明密封包围区;经由第一安全通信信道,从所述源包围区接收包...
【专利技术属性】
技术研发人员:M·科斯塔,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。