【技术实现步骤摘要】
【国外来华专利技术】嵌套包围区身份
本公开涉及安全计算系统。
技术介绍
安全隔离区域或可信执行环境提供安全容器(本文中称为包围区(enclave))以用于在计算机上执行可信代码,该计算机也可以在隔离区域之外的区域中具有较少可信代码。包围区的隔离区域包括在驻留在包围区之外的代码的执行期间受到保护的存储器的一部分。隔离存储器可以包含用于包围区的代码和数据两者,并且除了对从包围区存储器读取或向包围区存储器写入的限制之外,对该存储器的保护可以包括执行包含在包围区存储器中的代码的限制。诸如存储器隔离和执行限制等包围区安全性的各方面可以例如由计算机处理器中的硬件强制执行。软件证明可以提供对特定包围区的隔离安全性以及在该特定包围区的隔离存储器区域内加载的包围区代码的信任。证明可以另外提供所证明的包围区在其上运行的硬件和软件平台的完整性的证据。诸如微软的虚拟安全模式(VSM)和英特尔的软件保护扩展(SGX)等包围区系统部分地通过将包围区与以用户模式或内核模式运行的其他代码隔离来提供安全性。完整性和机密性保证可以提供对在包围区中运行的代码的真实性以及包围区代码的安全执行具有更高信任级别的包围区。可以通...
【技术保护点】
1.一种包围区平台方法,包括:在到包围区平台的软件接口处用嵌套身份实例化包围区,其中所述嵌套身份根据一个或多个身份类型指示一个或多个可能包围区实例化;以及使用所述嵌套身份来执行与实例化的所述包围区相关的操作。
【技术特征摘要】
【国外来华专利技术】2017.01.24 US 15/414,4701.一种包围区平台方法,包括:在到包围区平台的软件接口处用嵌套身份实例化包围区,其中所述嵌套身份根据一个或多个身份类型指示一个或多个可能包围区实例化;以及使用所述嵌套身份来执行与实例化的所述包围区相关的操作。2.根据权利要求1所述的方法,其中所述身份类型是嵌套的,使得较低级别的身份类型对应于较高级别的身份类型所对应于的所述可能包围区实例化的子集。3.根据权利要求1所述的方法,其中所述包围区是通过接收所述嵌套身份作为到所述软件接口的输入参数而被标识的。4.根据权利要求1所述的方法,其中所述包围区是通过返回所述嵌套身份作为来自所述软件接口的输出参数而被标识的。5.根据权利要求1所述的方法,其中身份类型是以下之一:包围区作者标识符;包围区族标识符;包围区映像标识符;包围区实例散列标识符;以及包围区精确散列标识符。6.根据权利要求1所述的方法,其中所述嵌套身份包括具有对应的多个身份类型的多个标识符。7.根据权利要求1所述的方法,其中所述嵌套身份包括标识符和所述标识符的嵌套级别的指示。8.根据权利要求1所述的方法,其中与实例化的所述包围区相关的所述操作包括以下中的至少一项:证明操作、数据密封操作、单调计数器或可信时间测量。9.一种系统,至...
【专利技术属性】
技术研发人员:M·科斯塔,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。