安全区分叉支持制造技术

提供了一种用于复制在安全区实体内部运行的应用的分叉支持。对此，可以通过第一安全区的主机计算设备的一个或多个处理器接收对复制在第一安全区内部运行的应用的请求。可以生成所述第一指定内部空间的、包括所述应用的快照。可以利用快照密钥对所述快照进行加密，并且将所述快照拷贝到主机的非受信任的存储器。可以生成第二安全区。可以通过安全通信信道将所述快照密钥从所述第一安全区发送到所述第二安全区。可以将加密的快照从所述主机的所述非受信任的存储器拷贝到所述第二安全区。可以利用所述快照密钥在所述第二安全区内部对加密的快照进行解密。

【技术实现步骤摘要】
【国外来华专利技术】安全区分叉支持相关申请的交叉引用本申请是2018年10月5日提交的美国专利申请No.16/153,039的继续申请，该申请的公开内容以引用的方式并入本文。
技术介绍
软件应用可以存储敏感数据，诸如密码、账号、财务和健康记录。各种保护措施可以用于保护此类敏感数据，例如，主机操作系统可以防止未经核准的用户访问操作系统资源，并且应用可以对敏感数据进行加密，但该应用不具有针对具有较高特权的进程(包括主机操作系统自身)的保护措施。安全执行技术提供了用于在不需要对系统管理员或系统软件自身(诸如主机操作系统或管理程序(“主机”))的受信任的的情况下运行应用的能力。为此，可以使用安全区(enclave)。安全区可以是非受信任的主机内的“受保护的环境”，在此环境中，安全区内的数据与系统的其余部分(包括非受信任的主机)隔离。安全区内部的代码和数据是不可见的并且无法被安全区外部的非受信任的进程(包括非受信任的主机)操纵。在一些实例中，为了使应用在安全区内部正常运行，应用可能需要通常由主机提供以便执行某些函数调用的功能性。例如，fork()是在许多常见应用中使用的POSIX本文档来自技高网...

【技术保护点】
1.一种方法，包括：/n由第一安全区的主机计算设备的一个或多个处理器接收对复制在所述第一安全区内部运行的应用的请求；/n由所述一个或多个处理器生成所述第一安全区的、包括所述应用的快照；/n由所述一个或多个处理器利用快照密钥来在所述第一安全区内部对所述快照进行加密；/n由所述一个或多个处理器将所加密的快照从所述第一安全区拷贝到主机的非受信任的存储器；/n由所述一个或多个处理器生成第二安全区；/n由所述一个或多个处理器通过安全通信信道将所述快照密钥从所述第一安全区发送到所述第二安全区；/n由所述一个或多个处理器将所加密的快照从所述主机的所述非受信任的存储器拷贝到所述第二安全区中；以及/n由所述一个...

【技术特征摘要】
【国外来华专利技术】20181005 US 16/153,0391.一种方法，包括：
由第一安全区的主机计算设备的一个或多个处理器接收对复制在所述第一安全区内部运行的应用的请求；
由所述一个或多个处理器生成所述第一安全区的、包括所述应用的快照；
由所述一个或多个处理器利用快照密钥来在所述第一安全区内部对所述快照进行加密；
由所述一个或多个处理器将所加密的快照从所述第一安全区拷贝到主机的非受信任的存储器；
由所述一个或多个处理器生成第二安全区；
由所述一个或多个处理器通过安全通信信道将所述快照密钥从所述第一安全区发送到所述第二安全区；
由所述一个或多个处理器将所加密的快照从所述主机的所述非受信任的存储器拷贝到所述第二安全区中；以及
由所述一个或多个处理器利用所述快照密钥在所述第二安全区内部对所加密的快照进行解密。


2.根据权利要求1所述的方法，进一步包括：由所述一个或多个处理器创建针对所述第一安全区的入口，所述入口允许快照线程从所述主机进入所述第一安全区，其中，所述快照是由所述快照线程在所述第一地址指定空间内部获取的。


3.根据权利要求2所述的方法，进一步包括：由所述一个或多个处理器为针对所述第一安全区而创建的所述入口生成入口屏障，并且其中，所述入口屏障防止除所述快照线程以外的主机侧线程进入所述第一安全区。


4.根据前述权利要求中的任一项所述的方法，进一步包括：由所述一个或多个处理器在所述第一安全区内部生成分叉指示，所述分叉指示指明能够获取所述第一安全区的一个快照，并且其中，所述分叉指示仅准许一个快照线程来获取快照。


5.根据权利要求4所述的方法，进一步包括：由所述一个或多个处理器响应于所述一个快照线程进入所述第一安全区而去除所述第一安全区内部的所述分叉指示，其中，响应于所述分叉指示被去除而获取所述一个快照。


6.根据前述权利要求中的任一项所述的方法，其中，将所加密的快照从所述主机的所述非受信任的存储器拷贝到所述第二安全区中进一步包括：由所述一个或多个处理器将所加密的快照从所述第一安全区拷贝到所述主机的第一进程，并且其中，所述第一安全区是使用所述第一进程来生成的。


7.根据权利要求6所述的方法，其中，将所加密的快照从所述主机的所述非受信任的存储器拷贝到所述第二安全区中进一步包括：
由所述一个或多个处理器将所加密的快照从所述第一进程拷贝到所述主机的第二进程，其中，所述第二安全区是使用所述第二进程生成的；以及
由所述一个或多个处理器将所加密的快照从所述第二进程拷贝到所述第二安全区中。


8.根据权利要求7所述的方法，其中，所述第二进程是通过在所述第一进程上调用主机侧分叉函数来生成的。


9.根据前述权利要求中的任一项所述的方法，进一步包括：
由所述一个或多个处理器在所述第一安全区内部生成第一密钥对，所述第一密钥对包括第一公钥和第一私钥；
由所述一个或多个处理器在所述第二安全区内部生成第二密钥对，所述第二密钥对包括第二公钥和第二私钥；
由所述一个或多个处理器使用所述第一私钥和所述第二公钥在所述第一安全区内部生成秘密密钥；以及
由所述一个或多个处理器使用所述第二私钥和所述第一公钥在所述第二安全区内部生成所述秘密密钥，其中，所述安全通信信道是使用所述秘密密钥来在所述第一安全区与所述第二安全区之间建立的。


10.根据权利要求9所述的方法，进一步包括：
由所述一个或多个处理器在所述第一安全区内部生成第一断言，所述第一断言与所述第一公钥绑定；
由所述一个或多个处理器将所述第一断言发送到所述第二安全区；
由所述一个或多个处理器验证所述第一断言是与所述第一公钥绑定的；
由所述一个或多个处理器在所述第二安全区内部生成第二断言，所述第二断言与所述第二公钥绑定；
由所述...

【专利技术属性】
技术研发人员：基斯·莫耶，乌代·萨瓦岗卡尔，蔡翀，马修·金盖尔，安娜·萨派克，
申请(专利权)人：谷歌有限责任公司，
类型：发明
国别省市：美国;US