【技术实现步骤摘要】
【国外来华专利技术】包围区抽象模型
本公开涉及安全计算系统。
技术介绍
安全隔离区域或可信执行环境提供安全容器(本文中称为包围区(enclave))以用于在计算机上执行可信代码,该计算机也可以在隔离区域之外的区域中具有较少可信代码。包围区的隔离区域包括在驻留在包围区之外的代码的执行期间受到保护的存储器的一部分。隔离存储器可以包含用于包围区的代码和数据两者,并且除了对从包围区存储器读取或向包围区存储器写入的限制之外,对该存储器的保护可以包括执行包含在包围区存储器中的代码的限制。诸如存储器隔离和执行限制等包围区安全性的各方面可以例如由计算机处理器中的硬件强制执行。软件证明可以提供对特定包围区的隔离安全性以及在该特定包围区的隔离存储器区域内加载的包围区代码的信任。证明可以另外提供所证明的包围区在其上运行的硬件和软件平台的完整性的证据。诸如微软的虚拟安全模式(VSM)和英特尔的软件保护扩展(SGX)等包围区系统部分地通过将包围区与以用户模式或内核模式运行的其他代码隔离来提供安全性。完整性和机密性保证可以提供对在包围区中运行的代码的真实性以及包围区代码的安全执行具有更高信任级别的包围区。可以通...
【技术保护点】
1.一种用于由包括处理器和存储器的计算系统抽象包围区平台的方法,所述方法包括:由所述计算系统上实现的包围区抽象平台从包围区接收第一请求,其中所述第一请求符合包围区抽象协议;将所述第一请求转换为第二请求,其中所述第二请求符合与包围区本机平台相关联的包围区本机协议;以及向所述包围区本机平台发送所述第二请求。
【技术特征摘要】
【国外来华专利技术】2017.01.24 US 15/414,4481.一种用于由包括处理器和存储器的计算系统抽象包围区平台的方法,所述方法包括:由所述计算系统上实现的包围区抽象平台从包围区接收第一请求,其中所述第一请求符合包围区抽象协议;将所述第一请求转换为第二请求,其中所述第二请求符合与包围区本机平台相关联的包围区本机协议;以及向所述包围区本机平台发送所述第二请求。2.根据权利要求1所述的方法,其中:所述第一请求包括用于创建以下至少一项的请求:所述包围区的证明报告,或所述包围区的证明引用;并且发送所述第二请求创建以下至少一项:所述包围区的证明报告,或所述包围区的证明引用。3.根据权利要求1所述的方法,其中:所述第一请求包括用于将数据密封到所述包围区的请求;并且发送所述第二请求将所述数据密封到所述包围区。4.根据权利要求1所述的方法,其中:所述第一请求包括分配与所述包围区的客户端共享的存储器的请求;并且发送所述第二请求分配与所述包围区的客户端共享的存储器。5.根据权利要求1所述的方法,其中:所述包围区抽象协议使用第一调用协定;所述包围区本机协议使用不同于所述第一调用协定的第二调用协定;并且将所述第一请求转换为所述第二请求包括将所述第一调用协定转换成所述第二调用协定。6.根据权利要求1所述的方法,其中:所述包围区抽象协议包括从以第一证明报告格式的第一证明报告得出的第一参数;所述包围区本机协议包括从以第二证明报告格式的第二证明报告得出的第二参数,所述第二证明报告格式不同于所述第一证明报告格式;并且将所述第一请求转换为所述第二请求包括将所述第一参数转换成所述第二参数。7.根据权利要求1所述的方法,其中所述包围区抽象协议包括指示第一包围区身份的第一参数;所述包围区本机协议包括指示第二包围区身份的第二参数;并且将所述第一请求转换为所述第二请求包括将所述第一包围区身份转换成所述第二包围区身份。8.根据权利要求1所述的方法,还包括:确定所述包围区本机平台包括用于包围区的处理器指令;并且其中发送所述第二请求包括执...
【专利技术属性】
技术研发人员:M·科斯塔,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。