CN110214440B - 计算系统,传送受保护数据的方法和可读存储介质 - Google Patents

计算系统,传送受保护数据的方法和可读存储介质 Download PDF

Info

Publication number
CN110214440B
CN110214440B CN201780084500.XA CN201780084500A CN110214440B CN 110214440 B CN110214440 B CN 110214440B CN 201780084500 A CN201780084500 A CN 201780084500A CN 110214440 B CN110214440 B CN 110214440B
Authority
CN
China
Prior art keywords
tree
protected data
key
requestor
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201780084500.XA
Other languages
English (en)
Other versions
CN110214440A (zh
Inventor
M·F·诺瓦克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN110214440A publication Critical patent/CN110214440A/zh
Application granted granted Critical
Publication of CN110214440B publication Critical patent/CN110214440B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本文中描述了用于向与潜在的不可信请求方相关联的可信执行环境(TrEE)传送受保护数据的方法、系统和设备。在一个方面,目标协议头可以接收来自与TrEE相关联的潜在的不可信请求方的对受保护数据的请求,并且接收TrEE的鉴证声明。目标协议头可以获取受保护数据,并且例如在洁净空间供应的情况下从请求或从认证声明获得TrEE的目标密钥。目标协议头可以通过使用目标密钥加密受保护数据来生成定标受保护数据,并且向潜在的不可信请求方提供定标受保护数据,其中解密定标受保护数据需要TrEE的私有目标密钥。

Description

计算系统,传送受保护数据的方法和可读存储介质
技术领域
本公开总体上涉及计算设备中的可信和/或被隔离的执行环境,并且更具体地涉及向可信执行环境安全地传送一个或多个秘密或密钥。
背景技术
密钥管理系统(KMS)是秘密的存储设备。秘密通常具有公共 ID、保护值和用于控制谁可以获得该值的策略。在某些情况下,秘密也可以具有到期日期和其他元数据,等等。在典型的用例中,请求方向KMS认证,建立安全信道,通过提供秘密ID来请求秘密值,并且期望KMS向其返回明文秘密值。通过请求方与KMS之间的安全信道保护该值免受未经授权的窃听和篡改。
如本文中使用的可信执行环境(TrEE)可以包括以下中的任何一个:虚拟安全模式(VSM)信任应用(trustlet)、SGX应用、ARM TrustZone应用或某种其他类似载体。TrEE通常具有一些独特的属性。TrEE通常具有完整的加密堆栈(换言之,可以假定整个频谱中的各种加密原语,从安全随机数生成到使用密钥的散列、加密和签名库的完整菜单)。TrEE通常还具有少数或有限的I/O设施或与之相关联的少数或有限的I/O设施,通常限于由请求驱动的结构,在该结构中请求由不可信的“外部世界”发起。例如,VSM信任应用可能使用未经认证的远程过程调用(RPC)。TrEE也可以访问TrEE 外部不可用的密钥材料或数据。这允许TrEE使用不可信I/O来存储数据,然后将其读回,从而确保防篡改和状态机密性。TrEE通常还具有可鉴证的代码、配置和密钥材料,或与可鉴证的代码、配置和密钥材料相关联。具体地,可鉴证的密钥材料允许TrEE从第三方接收加密到它的消息,并且向第三方签名来自TrEE的消息。
与其他应用一样,使用具有TrEE的KMS可能存在安全限制。因此,可以利用来自具有或在TrEE中的KMS的密钥来改进安全性。
发明内容
本公开的说明性示例包括但不限于方法、系统以及各种设备。在一个方面,目标协议头或请求方与密钥管理系统或存储受保护数据的位置之间的其他中介可以接收来自与TrEE相关联的潜在的不可信请求方的对受保护数据的请求,并且接收TrEE的鉴证声明。目标协议头可以获取受保护数据,并且例如在洁净空间供应(例如,来自与请求相关联的请求方身份)的情况下从例如请求或从鉴证声明获得TrEE的目标密钥。目标协议头可以通过使用目标密钥加密受保护数据来生成定标受保护数据,并且向潜的在不可信请求方提供定标受保护数据,其中解密定标受保护数据需要TrEE的私有目标密钥。
下面描述系统和方法的其他特征。特征、功能和优点可以在各种示例中独立地实现,或者可以在其他示例中组合,其进一步的细节可以参考以下描述和附图来看出。
附图说明
下文中将参考附图更全面地描述本公开的实施例,在附图中:
图1A、1B和1C描绘了用于在请求方与密钥管理系统之间交换密钥的系统和过程的三个示例。
图2描绘了实现被隔离的区域或可信执行环境(TrEE)的控制程序监视器的示例图。
图3描绘了用于利用中间目标协议头向可信TrEE传送受保护数据的示例过程。
图4A和4B描绘了利用中间目标协议头向TrEE传送受保护数据的另一示例过程。
图5A和5B描绘了利用中间目标协议头向嵌套的TrEE传送受保护数据的示例过程。
图6示出了可以实现一个或多个所描述的过程的示例系统。
图7描绘了用于向TrEE安全地传送密钥和/或受保护数据的数据结构的示例。
图8描绘了用于基于外部TrEE的加密密钥利用中间目标协议头向嵌套的TrEE传送受保护数据的另一示例过程。
图9描绘了用于基于内部TrEE的加密密钥利用中间目标协议头向嵌套的TrEE传送受保护数据的另一示例过程。
图10描绘了本文中描述的技术可以在其中实现的示例通用计算环境。
具体实施方式
本文中描述了用于向计算设备(诸如一个或多个物理或虚拟计算设备)的可信执行环境(TrEE)安全地传送至少一个密钥(例如,签名密钥或加密密钥)或受保护数据/秘密的系统和技术。在一个方面,可以在密钥请求方与密钥管理系统或拥有受保护数据的实体之间实现中介。中介在本文中可以称为目标协议头。密钥请求方可以与安全执行环境或TrEE相关联,安全执行环境或TrEE可以包括 VSM信任应用、SGX应用、ARM TrustZone应用或某种其他类似载体中的一个或多个。TrEE可以与请求方隔离。请求方可以请求一个或多个秘密从目标协议头传送给TrEE或在TrEE内执行的特定信任应用。响应于该请求,目标协议头可以与密钥管理系统或保存秘密的其他实体通信以获得一个或多个秘密以便传送给TrEE。目标协议头可以专门目标TrEE处的受保护数据,以便请求方或攻击者无法访问受保护数据。
在一些方面,目标协议头的实现可以取消对请求方与密钥管理系统之间的安全信道的需要。使用本文中描述的TrEE目标技术的目标协议头还可以使得可以以使得请求方无法访问秘密/数据的方式,将一个或多个秘密或数据发送到TrEE或嵌套的TrEE(例如,在安全内核之上运行的信任应用)。在一些情况下,请求方可能是不可信的或潜在的不可信的,使得受保护数据的所有者可能出于各种原因而希望保持受保护数据不被请求方访问。在某些情况下,确定请求方是值得信任的或者确保请求方仍然值得信任可能是困难或麻烦的。假定请求方不受信任,并且将TrEE与请求方隔离,可以消除其中很多问题。这种隔离可以极大地提高针对不同类型的攻击的安全性,并且可以提供其他益处和优点,如下面将更详细描述的。
图1A示出了用于在请求方与密钥管理系统之间交换密钥的示例系统和过程100a。如图所示,与客户端设备或客户端侧110相关联的请求方或请求设备120可以与密钥管理系统或与服务器或服务器侧105相关联的一些(多个)期望秘密115的持有者通信。请求方120可以从密钥管理系统115请求一个或多个秘密或一个或多个秘密受保护数据,例如,以访问某些受保护数据,执行一个或多个受保护过程,等等。请求方120和密钥管理系统(KMS)115可以利用公钥秘钥-私钥密钥安全系统或本领域已知的其他密钥协议来交换期望的秘密/数据。
在操作125处,请求方120可以首先经由本领域的任何已知技术与KMS 115进行认证并且建立安全通信信道。操作125可以包括利用公钥系统或类似的系统。接下来,在操作130处,利用经由操作125建立的安全信道,请求方120可以向KMS 115发送对一个或多个秘密/受保护数据的请求。在验证请求之后,在操作135处,KMS 115可以通过安全通信信道向请求方120传输回秘密或请求数据。作为本领域的标准,可以在135处通过安全信道传输秘密/所请求的数据,而没有安全信道之上的任何附加保护。结果,在操作135处传输的秘密/数据可以被暴露给请求设备120。
图1B示出了用于代表可信执行环境(TrEE)140、飞地或用于指示与请求方120相关联的隔离执行环境的其他项目来在请求方 120与KSM 115之间交换一个或多个秘密或受保护数据的示例系统和过程100b。TrEE 140可以与请求方120隔离,使得TrEE 140中包含的代码和/或数据对于请求方120可能不是可访问(例如,可读和/ 或可写)的。图2示出了可信执行环境的示例200,在可信执行环境中计算设备205可以包括逻辑210(例如,代码)和状态信息220,诸如数据。状态信息220可以存储或位于被隔离的区域215中,诸如,可以放置未经授权的访问。在一些情况下,被隔离的区域215 内的数据220不能由除了与被隔离的区域215相关联的逻辑210之外的任何实体直接地读取或写入。被隔离的逻辑210决定它将允许对什么类型或部分的数据220的什么类型的访问。在一个示例中,逻辑210可以允许递增和读取与数据220相关联的值,但是不能以其他方式修改数据220。在另一示例中,逻辑210可以允许使用密钥的加密操作而不允许访问密钥本身的值。在所示的示例中,逻辑或代码210可以在CPM 205的一般或可访问区域中;然而,应当理解,在一些情况下,逻辑210也可以位于与状态信息220相同或不同的被隔离的区域内。
返回系统100b,可以在服务器侧105实现目标协议头(TPH) 150以用作请求方120/TrEE 140与KMS 115之间的中介。协议头可以指代协议处理程序的软件实现,通常面向本身没有指定特定协议的系统。目标可以是指代执行环境的加密目标。总之,该术语可以指示实现用于获取以TrEE处的响应为目标的秘密的协议的软件和/ 或硬件。在一些方面,目标协议头150可以被实现为虚拟或云资源,例如,其可以在不同的硬件、软件上运行和/或与KMS115分离。在一些方面,诸如数据中心等实体可以托管和/或提供目标协议头150 作为服务。目标协议头150可以执行两个主要功能:1)与KMS 115 通信/从外部实体获得秘密或受保护数据,以及2)目标对请求方120 的TrEE 140的响应。作为目标协议头150的使用的结果,请求方120 不需要直接向KMS 115认证。KMS 115向目标协议头150而不是向请求方120产生其秘密。目标协议头150的功能是目标请求方120 的TrEE 140的响应,从而确保请求方120不能获得秘密/受保护数据的明文。相反,目标协议头150可以改为代表请求方120本身向KMS115进行认证,但是可以在使用或不使用请求方120的身份的情况下进行。在一些情况下,目标协议头150可能需要确信它将返回给请求方120的TrEE 140的秘密将处于“安全交给”中。在这种情况下,请求方120可以向目标协议头150提供关于TrEE 140的状态的可鉴证信息,该可鉴证的信息可以包括与TrEE 140相关联的可鉴证的密钥材料,可以对其响应进行加密。
在一些情况下,诸如由一个或多个信任应用提供的多个不同过程可以在安全内核内同时操作,其中每个信任应用和安全内核均被认为是TrEE 140(例如,这是嵌套的TrEE的示例)。在这种情况下,每个不同的信任应用可以与会话ID、信任应用类型和/或其他ID相关联,其可以用于标识安全内核内的各个信任应用(例如,两者都表示为TrEE 140)。来自目标协议头150的响应可以狭窄地目标请求中标识的TrEE 140内的特定信任应用,如下面将更详细描述的。
在TrEE140目标的情况下,在请求方120与目标协议头150之间不存在对安全信道的固有需求,因为请求方120本身不受响应的信任。然而,应当理解,可以经由认证操作160添加请求方120与目标协议头150之间的安全信道,例如,以保护对请求本身的访问 (请求方想要的秘密),这可能导致不期望的信息公开。在操作160 处的认证之后或代替操作160处的认证,在操作155处,请求方120 可以代表TrEE 140,向目标协议头150发送对一个或多个秘密或秘密或受保护数据的请求,例如,以传送到TrEE。在一些方面,该请求可以与TrEE140相关联或标识TrEE 140。目标协议头150可以确定TrEE 140是否值得信任。在一个方面,请求方120的认证可以依赖于一种类型的洁净空间供应。在另一方面,认证可依赖于证明。
当请求方120设备例如是全新的并且合理地假定为没有恶意软件时,可以使用洁净空间供应。下面将参考图3更详细地描述用于使用洁净空间供应向与请求方相关联的TrEE传送受保护数据的示例过程。下面将参考图4更详细地描述用于使用鉴证(例如,鉴证服务)向与请求方相关联的TrEE传送受保护数据的示例过程。
在任一种情况下,一旦TPH 150已经认证了请求方120,和/或建立了TrEE 140的可信度,TPH 150就可以在操作165处向KMS 115 认证并且与KMS 115建立安全通信信道。在一些方面,KMS 115可以包括或者与保存一个或多个秘密或受保护数据(诸如许可、许可、密码等)的任何实体相关联。在与KMS 115建立安全通信信道时, TPH 150可以在操作170处发送对受保护数据的请求。KMS 115可以在操作175处返回所请求的秘密。在操作180处,TPH 150可以在TrEE 140处目标(多个)秘密或受保护数据并且发送一个或多个秘密。
在一些方面,在操作180处向TrEE 140传送受保护数据可以利用以下数据结构中的至少一个:加密身份密钥,其可以围绕TrEE身份或鉴证过程或鉴证日志构建;或者在嵌套的TrEE示例中(例如,在安全内核之上运行的信任应用),签名身份密钥,其也可以围绕证鉴证过程构建,如下面将更详细描述的。
图1C示出了用于代表可信执行环境(TrEE)140在请求方120 与KMS 115之间安全地交换一个或多个秘密或受保护数据的另一示例系统和过程100c。系统100c可以是如上所述的系统100b的具体的示例。在系统100c中,目标协议头150可以是主机监护服务(HGS)150a。在系统100c中,HGS 150a可以例如从云主机185或可以实例化或以其他方式控制TrEE140的其他实体接收密钥保护器190。在系统100c中,请求方120可以与例如由云主机185提供的虚拟机相关联。KP 190可以包含在于2014年9月9日提交的题为“Secure Transport ofEncrypted Virtual Machines with Continuous Owner Access”的相关美国专利申请#14/481,399中描述的密钥保护器的一个或多个方面。KP 190可以包含TrEE 140可用的一个或多个秘密,诸如传输密钥。KP 190实质上可以包装传输密钥,使得只有一组监护者才能访问它,这些监护者被授权访问传输密钥。KP 190可以被加密,使得HGS 150a为了读取KP 190的内容并且获取传输密钥,HGS 150a在操作165处向KMS 115认证和与KMS 115建立安全通信信道之后,HGS 150a在操作170a处可以从KMS 115请求解密密钥。作为响应,KMS 115可以在操作175a处向HGS发送解密密钥。然后,HGS 150a可以使用解密密钥来解密KP 190,并且获取一个或多个秘密(例如,传输密钥),以发送到TrEE 140。然后,在操作 180处,HGS 150a可以经由将在下面更详细描述的一种或多种寻址技术将秘密或传输密钥发送到TrEE。在一些方面,可以基于来自KP 190的数据来寻址TrEE 140。
应当理解,在一些情况下,HGS 150a和KMS 115可以是一个实体,使得不需要在它们之间建立通信信道,并且不需要认证。
在系统100c中,不需要请求方120与HGS 150a之间的认证。只要云或结构主机180是健康的,哪个结构主机与HGS 150a通信并不重要,只要它是结构中的服务器之一(这可以经由鉴证来验证)。
图3示出了用于向请求方的TrEE传送受保护数据的示例过程 300,其中假定请求方是可信的(例如,没有恶意软件)。如本文中使用的,框中的虚线或任何图中的操作指示操作是可选的,使得可以被排除。过程300可以利用与TrEE相关联的加密密钥,诸如由 TrEE或发起TrEE的请求方的安全内核生成的公钥私钥对(例如,非对称密钥对)的公钥。在其他情况下,加密密钥可以是对称的。如本文中使用的,安全内核可以指代与更高级别的安全性相关联的计算设备的任何部分,如本领域中已知的。
在这种情况下,可以在操作302处启动或初始化TrEE 140,并且可以在操作304处在TrEE 140内部生成一个或多个私钥(例如,私有加密密钥)和对应的公钥。然后,在操作306处,可以向TPH 150 注册对应的公钥并且将对应的公钥与请求方和/或请求设备的身份相关联。在一些情况下,TrEE 140的公钥只需要注册一次,使得在公钥注册之后,过程300可以在操作308处开始。随后,请求方120 可以在操作308处经由任何已知的认证技术向TPH150认证。然后, TPH 150可以查找用于向TrEE 140传送响应的公钥,例如,基于TrEE 140的注册公钥,该公钥可以与请求方120的身份相关联。该过程可以被称为“洁净空间”供应,因为它只能在请求方120处于已知良好或可信赖状态时安全地完成。在该示例中,不需要其中请求方120 向TPH 150发送TrEE健康证书(THC)的基于证书的认证,因为请求方120是值得信任的。在缺乏普遍存在的鉴证服务的情况下,这是验证TPH 150正在目标正确的TrEE 140的可行选择。
接下来,在操作312处,TPH 150可以例如从KMS 115获得用于传送到TrEE 140的受保护数据,如上所述。使用经由操作310访问的TrEE公钥,然后在操作314处,TPH 150可以构造用于发送到 TrEE 140的消息,包括获得的受保护数据。TPH 150可以在操作316 处将消息发送到请求方120。
在接收到消息时,在操作318处,请求方120可以将其转发到 TrEE 140。因为请求方120不能访问TrEE的私钥,所以请求方120 不能解密该消息以访问受保护数据。在操作320处,TrEE 140可以使用其私钥来解密消息并且访问受保护数据。
图4A示出了用于向不可信请求方的TrEE传送受保护数据的示例过程400。过程400可以利用与TrEE相关联的加密密钥,诸如由 TrEE或初始化TrEE的请求方的安全内核生成的公钥私钥对的公钥,诸如在嵌套的TrEE(本文中可以称为信任应用)的情况下。过程400可以附加地或备选地利用安全内核的签名密钥,其可以被认为是与 TrEE相关联的外部TrEE,其中信任应用嵌套或在安全内核之上运行,TrEE可以用于证明由TrEE生成的密钥对的公钥,如下面更详细地描述的。
根据过程400,在操作402处初始化TrEE之后,请求方120可以在操作406处从鉴证服务请求鉴证报告或声明。图4B示出了用于从鉴证服务424获得鉴证声明或报告的示例过程。在图4B的示例中,在操作426处,请求方120可以在引导时创建包含TrEE 140(安全内核)的公钥(IDK_E)(信任应用)或TrEE的签名密钥(IDK_S) 的鉴证日志(TCG日志)。然后,在操作428处,请求方120可以将TCG日志呈现给鉴证服务424。在一些情况下,TPH 150可以指示或者请求方120可以选择TPH 150信任的鉴证服务。在操作430 处,鉴证服务424可以检查TCG日志并且基于TrEE 140(安全内核) 的加密密钥(IDK_E)和/或签名密钥(IDK_S)发布TrEE健康证书 (THC)。在操作432处,鉴证服务242然后可以向请求方120发送(多个)THC(本文中也称为鉴证声明)。
在操作406获得鉴证声明之后,请求方120可以在操作408处代表TrEE 140向TPH150发送鉴证声明和对受保护数据的请求。 THC或鉴证声明可以包含请求方120的主题名称(用于在认证期间建立的请求方身份与证书之间创建绑定)、以及响应者(TPH 150) 在制定响应时应当使用的密钥(例如,加密密钥或签名密钥)。
在一些方面,诸如可信平台模块(TPM)的加密密钥(EK)等防篡改身份与请求方120相关联。请求方120的证明可以使用TPM EK来执行,如本领域已知的。
在一些方面,无论是带外还是通过可以是THC的一部分的发布策略(IP)对象标识符(OID),经由请求方120,TrEE可以向TPH 150通信密钥是加密密钥还是签名密钥。如上所述,在使用哪个密钥之间的选择可能影响用于构造响应的机制的选择。重要的是,TPH 150不要求拥有支持证书的私钥的证据,这仅仅因为如果给出了错误的证书,请求方120将无法理解响应,因为它无法访问对应的私钥。
图5A和5B示出了用于向不可信请求方的嵌套的TrEE传送受保护数据的示例过程500。在一些方面,两个或更多个TrEE可以被嵌套,使得一个TrEE包含在另一TrEE中。如本文所述,信任应用是嵌套的TrEE,其包含在外部TrEE中。在一个示例中,外部TrEE 可以包括操作系统的可信部分的安全内核,诸如与虚拟信任级别相关联的特定存储器分区,如下面参考图6更详细地描述的。例如,当只有外部TrEE的加密密钥(在某些情况下可以是实例化信任应用的机器的安全内核)可用时,可以使用过程500。
过程500可以在操作502处开始,其中请求方120利用由请求方120决定的“会话标识符”来启动信任应用,该“会话标识符”可以包括任何类型的标识符,诸如与信任应用将操作的内容或数据相关或标识信任应用将操作的内容或数据,与信任应用的用户相关等(例如,“用于播放'特定的标题'的流内容应用信任应用'”)。在一个示例中,会话ID可以是32字节值。该值可以被保留、在信任应用的生存期内是只读的、并且在向信任应用接收目标消息时可供安全内核使用。该值可能丢失(在进程启动时未被指定),在这种情况下,会话ID可以被假定为零。
接下来,在操作504处,请求方120可以向TPH 150认证(如上是可选的,但仅在非常有限的情况下,诸如在请求方之间确实没有差异的情况下)。例如,期望TrEE(例如,TrEE的密钥)与请求方的身份之间的绑定的一个示例是诸如电影等内容项的播放受到许可或订户验证的限制(例如,NetFlix用户想要获得播放电影的许可,但NetFlix希望确保其是正在接收电影许可的用户(在他们的TrEE 内))。
在操作506,请求方120可以从TPH 150信任的鉴证服务获得鉴证声明,诸如根据上面参考图4B描述的过程406。接下来,请求方 120可以在操作508处向TPH 150呈现鉴证声明。应当理解,在可能适用于此处的上述洁净空间供应示例中,无需鉴证。
在接收到鉴证声明时,TPH 150可以在操作510处验证鉴证声明 (或者,在上面的洁净空间供应示例的情况下,基于其身份查找请求方的密钥)。在过程500中的此时,请求方120知道使用哪个密钥来寻址外部TrEE。在一些方面,从鉴证声明或请求获得的密钥是外部TrEE或安全内核(而不是内部信任者)的加密密钥的指示可以被包括在请求或鉴证声明中,或者以另一种方式或带外传送到TPH 150,设置为缺省过程等。接下来,在操作511处,TPH150可以获得请求中指示的受保护数据,例如从KMS 115或从持有受保护数据的任何其他实体,诸如持有许可证、密码、许可和/或其他信息的一个或多个服务。
在操作512从,TPH 150可以确定要目标哪个信任应用类型,例如,基于请求或基于TPH 150本身(例如,每个TPH 150可以专门为特定目的或应用而设计,诸如NetFlix)。在利用KP的示例中,诸如上述的参考1C,可以在KP中编码信任应用类型。在一些其他示例中,可以缺省设置或者硬编码信任应用类型,诸如在利用HGS 150a的实现中。在HGS示例中,HGS150a可以始终目标虚拟模式安全过程(VMSP)信任应用,其类型可以是硬编码的(因为KP可以不包含该信息)。
在确定要目标的信任应用类型时,TPH 150可以在操作514处构造包括要发送到TrEE的受保护数据的消息。图5B中描绘了操作514 的更详细示例。
在一些方面,操作514还可以包括操作536,其中TPH 150生成两个随机对称密钥:传输密钥TX和包装密钥TW。接下来,在操作 538处,TPH 150可以使用THC中的公钥(其是鉴证声明的一部分) 来加密TX(例如,假定THC基于加密密钥,而不是签名密钥)。在一些方面,操作538可以包括使用RSA加密和OAEP填充来利用主机的IDK加密TX。在一些方面,TPH 150可以在操作540处验证信任应用的会话ID,例如,以验证信任应用是否被授权或具有访问受保护数据的正确许可(例如,为在线服务或内容项付费)。在某些情况下,会话ID可以包括信任应用类型;但是,在其他情况下,信任应用类型可以在KP中编码或甚至是硬编码的。然后,在操作 542和544处,TPH 150可以使用TX对TW进行加密,并且可以将信任应用的信任应用类型和会话ID连接起来并且用作“认证标签”。注意,认证标签的使用是AES-GCM协议的工件;其他加密协议可以使用具有相同效果的不同方案。认证标签背后的想法是将TW与信任应用类型和会话ID绑定在一起,使得它们无法由攻击者在传输中进行解耦。有多种其他方法可以实现这种加密;本文中描述了 AES-GCM,因为它本身提供了这种功能,并且因此是有利的。
然后,在操作546处,TPH 150可以将加密的TX和TW的认证加密发送到请求方120。如图5A所示,在接收到可以经由图5B的操作生成和/或可以包括以与TW类似的方式加密的受保护数据的消息516之后,请求方120可以在操作518处将消息转发到信任应用。由于信任应用不能解密该消息(它正试图到达TW),在操作520 处,信任应用可以将消息传输给安全内核。或者,请求方120可以绕过信任应用将响应发送到安全内核,并且安全内核在解密TW时用新信息警告信任应用。
接下来,在操作522处,安全内核可以使用其私有加密密钥对 TX进行解密,然后使用TX对TW进行解密,使用认证标签来确保具有正确会话ID的正确信任应用类型请求解密消息。如果验证了认证标签,则安全内核可以在操作524处将TW返回给信任应用。然后,信任应用可以使用所接收的TW来解密TW正在加密的任何其他内容,诸如受保护数据,其可以是任何大小的。
在一些方面,安全内核可以实现一个或多个过程,诸如由一个或多个API定义的过程,这些过程用于接收、解密和向正确的信任应用传输目标消息。API可以接收以特定的信任应用为目标的加密消息,并且使用IDK的私有部分(安全内核标识加密密钥)解密TX。 API可以使用信任应用类型和调用信任应用的会话ID的连接作为标记来构造自己的认证标签(出于明显的安全原因,不能使用所提供的认证标签)。然后可以获得信任应用类型和会话ID。如果认证成功,则API可以使用TX解密TW。如果解密成功,则API可以将 TW返回到信任应用。
在一个示例中,所接收的消息可以包括以下信息:版本号(例如,0);传递密钥加密协议ID(例如,RSA 2048);传递密钥加密填充ID(例如,OAEP);包装密钥加密协议ID(例如,AES-GCM);传递密钥密文的长度;包装密钥认证标签的长度(忽略);包装密钥密文的长度;以及传递密钥密文、包装密钥认证标签(忽略)和包装密钥密文。应当理解,这只是可以用于构造消息的很多方式中的一种。
在一些方面,上述系统或过程100、300、400或500中的一个或多个过程/系统可以在实现虚拟安全模式(VSM)的资源或虚拟机中实现。在虚拟机的上下文中的VSM和相关概念在于2014年2月 21日提交的题为“Virtual Secure Mode for Virtual Machines”的美国专利申请#14/186,415中描述。图6示出了包括分成不同虚拟信任级别VTL0 610和VTL1 615的VSM计算环境的系统或主机操作系统 600。系统600可以是系统100a、100b或100c的一个或多个方面的更具体的实现,诸如云主机180,其包括在VSM中操作的计算环境。 VTL0 610可以包括用户模式620和正常内核模式630,并且VTL1 615可以包括用户模式625和安全内核模式635。不同的VTL可以由管理程序提供,例如,在物理计算组件或虚拟计算资源(例如,一个或多个虚拟机)之上运行的管理程序,其经由对某些进程等的存储器访问的限制来交互和定义VTL0 610和VTL1 615。在所示示例中,VTL1 615可以比VTL0 610更安全,使得读取和/或写入与 VTL1相关联的数据或代码需要更高的访问。VTL0 610可以对应于请求方120,而VTL1 615可以对应于TrEE 140。下面将系统600描述为利用KP 700。然而,应当理解,这仅作为示例给出;系统600 可以利用上述鉴证/认证方案而不使用KP来达到类似的效果。
如参考系统600所描述的,主机600的客户端应用650/VTL0 610可以对应于请求方120,而VTL1 615、更具体地是VTL1 615的安全内核635可以对应于TrEE 140。在一些方面,信任应用640可以对应于参考过程500描述的嵌套的信任应用。在一些方面,系统 600可以实现上述过程500。在其他实例中,系统600可以实现下面参考图8和9描述的过程800和/或900,其中过程500和800之间的主要区别在于使用KP来初始化信任应用以及使用HGS 150a的特定的实现来代替更通用的TPH 150。
如图所示,一个或多个TrEE或信任应用640可以驻留在VTL1 615的用户模式625中。在一些方面,一个或多个信任应用640可以通过虚拟机安全过程(VMSP)645被访问或与之相关联。客户端操作、应用、程序等650(客户端)可以以VTL0 610的用户模式620 操作。驻留在VTL1 615的用户模式625下的服务器655可以经由 RPC 660与客户端650通信。如图所示。客户端650可以请求发起信任应用640以经由一个或多个RPC 660执行一个或多个安全操作,例如,利用VMSP 645。在其他方面,服务器655可以在不从客户端650接收显式请求的情况下初始化(多个)信任应用640。在任一种情况下,服务器655可以发起信任条件640,其中特定信任应用类型标识信任应用的参数,并且会话ID标识信任应用640的特定实例。在一些方面,信任应用类型可以是经由包括KP 405的数据结构来初始化,诸如上面参考图1C的系统100c所描述的。包括诸如 KP 700等KP的示例数据结构在图7中示出。
数据结构700可以包括密钥保护器(KP)705,KP 705是加密密钥(这里是传输密钥TK)的密码包装,如于2014年9月9日提交的题为“Secure Transport of EncryptedVirtual Machines with Continuous Owner Access”的美国专利申请#14/481,399中所描述的。 KP 705确保仅向授权实体提供对TK 710和/或其他受保护数据的访问。作为传送给TrEE 140的密钥的TK 710可以用KP 705包装,或者在某些情况下用密钥或TW包装。TK 710可以被认为是高价值秘密。在一些情况下,TK 710可以在KMS 115处被解密。
数据结构700还可以包括虚拟机数据(VMD)730,VMD 730 可以包括用于初始化信任应用的数据。VMD 730可以使用适当的加密技术来加密,诸如从Redmond Wash的微软公司可获得的 BitLocker。全卷加密密钥(FVEK)725可以用于解密VMD 730,并且全卷加密密钥(FVEK)725可以由虚拟可信平台模块(VTPM)保护,全卷加密密钥(FVEK)725的状态(725)可以与KP 705一起被加密并且作为元数据的一部分被存储。在一些方面,FVEK 725可以由卷主密钥(VMK)720加密。VTPM状态725本身使用由KP 705 包装的密钥加密。在一些方面,VTPM状态725可以由TK 710(高价值秘密)加密并且将数据“密封”到PCR值(例如,PCR7),使得如果PCR值处于预期状态,则TPM将允许访问(例如,解密)密钥材料。在这种情况下,TPM保护器是一种数据结构,如果一个或多个PCR处于预期状态,则该数据结构被馈送到TPM中以解密封某些秘密。在其他情况下,也可以使用非TPM保护器。
卷主密钥(VMK)720可以由VTPM状态725解密封。VTPM 状态725可以由KP 705内的TK 710加密。在一些情况下,VMK 720 可以是Bitlocker卷主密钥,并且可以被标记为低价值秘密。
KP 700的每个字段或块也可以根据其加密的内容来描述,诸如加密(密钥,数据)速记:
VMD磁盘 Encrypt(FVEK,ClearText disk data)
FVEK磁盘 Encrypt(VMK,FVEK)
VMK磁盘 Encrypt(VMK)
VTPM.磁盘 Encrypt(TK,VTPM)
TK磁盘 Encrypt(KP,TK)
KP KP与VM相关联,而信任应用实际上永远不会看到它。 KP转到KMS,KMS对其进行解密并且将TK返回到信任应用(经由上述目标机制)。TK解密vTPM,vTPM 解密封VMK,以产生FVEK。
在一个示例中,KP 405,VTPM状态415、VMK 420和VMD 430 可以是存储在磁盘上的数据。VTPM状态415可以在创建VTPM时被初始化,并且可以被确保是唯一的。对于例如所生成的秘密或受保护数据的运行时唯一性,VTPM依赖于安全内核向其提供的RNG的安全性。在信任应用使用解密的TK 710解密VTPM状态415之后,访问 VMD 730的其余操作可以与在物理机器与物理TPM之间执行的操作相同或类似。这些操作可以包括VTPM执行VSM的测量,使用VTPM测量来解密封VMK(导致向操作系统加载器提供FVEK 725),并且操作系统使用FVEK 725来解密VMD 730。
为了启动信任应用,客户端650可以请求和/或接收数据结构 700。客户端650可以将KP 705或整个数据结构700发送到TPH 150 (或者在一些实现中,发送到HGS 150a),TPH150可以与KMS 115 通信以解密TK 710。然后TPH可以利用IDK_pub 665在与信任应用 640相关联的安全内核635处目标TK 710,例如经由下面描述的过程800。安全内核635可以在发布时间获得IDK_pub和IDK_pri。安全内核635可以使用其私有密钥675(例如,IDK_pri)来解密并且将TK 710返回到服务器655。然后,服务器655可以将TK 710传送到信任应用640。在一些情况下,安全内核635可以将TK 710直接返回信任应用640。在一些方面,受保护数据可以与TK 710一起传送到信任应用640,并且由TK 710加密。以这种方式,信任应用 640可以使用TK 710来解密受保护数据。
图8示出了用于使用TrEE或信任应用的身份密钥将传输密钥和 /或由传输密钥加密的受保护数据目标TrEE或特定的信任应用的示例过程800。更具体地,过程800示出了经由信任应用的安全内核的加密密钥来目标信任应用的方式。
云结构主机或主机OS(例如,主机OS 600)执行一系列步骤以便接收传输密钥。云结构主机可以首先在操作602处获得TrEE健康证书(THC),例如围绕与TrEE或信任应用相关联的安全内核的加密身份密钥(IDK_E)构建的,诸如根据上面参考图4B描述的过程。在一个方面,操作602可以包括由主机在引导时创建包含IDK_E的公共版本的签证日志(TCG日志),IDK_E的私有部分存在于与信任应用相关联的VSM安全内核(SK)中。可以将鉴证日志呈现给鉴证服务(AS)。AS可以检查鉴证日志并且向主机发布围绕IDK_E (例如,非对称密钥的公共部分)构建的THC。在一些方面,类似于IDK_E,还可以创建“签名身份密钥”(IDK_S)并且IDK_S可以具有围绕它构建的单独的THC,如将在下面参考图9更详细地描述的。可以使用IDK_E或IDK_S构建密钥传送问题的解决方案,如下所述。
当需要加载新的屏蔽VM时,主机在操作804处获得VM的KP,并且启动与TPH(例如,TPH 150)的对话,其目标是向VMSP信任应用中注入由KP加密的TK。
为了交换用于TK的KP,在操作806处,主机可以向诸如TPH 150 等TPH呈现KP和“信任应用身份”以及THC。在操作808处,云结构主机也可以启动具有从KP(KPSID)导出的“会话ID”的信任应用或TrEE。在一些方面,所接收的KP将通过在其上创建SHA-2 散列或利用其他单向函数来形成会话ID值的基础。TPH可以在操作 822处检查THC,并且在操作824处与诸如KMS 115等KMS或拥有的其他实体或者可以访问受保护数据和/或KP的解密密钥的其他实体通信,以解密KP以访问TK。在操作826处,TPH可以使用特殊的加密结构来用计算出的KPSID来目标信任应用,例如,如上面参考过程500所描述的。
请求方或客户端650可以从TPH接收响应,并且将其转发到具有给定KPSID的信任应用。在操作810处,信任应用或服务器可以要求VSM安全内核解密响应并且将其返回给TK。安全内核检查响应,在操作812处验证它是否目标信任应用类型和信任应用的会话 ID,并且如果存在匹配,则在操作818处仅返回密钥。这样,如果 TPH响应在错误的交给中结束,则在密码学上不可能有意义。在接收到密钥时,主机可以在操作820处解密密钥并且将其提供给TrEE,此时,过程800可以结束。
图9示出了用于使用安全内核的签名密钥将传输密钥和/或由传输密钥加密的受保护数据目标信任应用的另一示例过程900。更具体地,过程900示出了通过由安全内核的签名密钥认证的信任应用的加密密钥来目标信任应用的方式。
过程800示出了如何通过在所有信任应用之间共享的标识加密密钥来在信任应用处间接地目标响应。但是,如果TrEE具有可鉴证的身份签名密钥,则也可以使用另一种方法。这里,每个信任应用可以生成自己的加密密钥对,并且使用IDK_S使安全内核证明该对的公钥部分。注意,这样的证明还必须以密码方式将密钥绑定到信任应用类型和信任应用的会话ID:
Key_certification=σIDK_S(Trustlet_Encryption_Key_Pub,
Trustlet_Type,Session_ID)
其中σIDK_S表示其输入()的串联,后面是在这些输入上使用给定秘钥的签名。
在这种情况下,请求方向TPH呈现信任应用的密钥以及THC和密钥证明,并且TPH通过将传输密钥加密到信任应用的加密密钥来进行响应,这与操作822和824处的过程800不同。
在一些方面,还可以在密钥证明中使用或指示“安全版本号” (SVN)以防止其他类型的攻击以确保TrEE不是较旧且潜在的易受攻击的版本。在某些情况下,当安全内核被鉴证但内部信任应用不被鉴证时(例如,在已经完成鉴证之后,信任应用按需求加载)时,包括信任应用的SVN可以指示TPH 150拒绝目标较旧的易受攻击的信任应用,即使THC没问题。
过程800和900的两种方法之间的一个区别是谁强制执行信任应用或TrEE ID、会话ID和传输密钥之间的绑定:在过程800中,它是安全内核,并且在过程900中,它是TPH150。另一主要区别在于如何以加密方式构建响应。在先前的情况下,它目标是安全内核,而安全内核又决定允许哪个信任应用看到它,在这种情况下,响应直接目标信任应用,其中信任应用的密钥由安全内核的密钥证明。
在一些方面,可以实现上述技术以为容器提供完全凭证隔离。基本问题是相同的,因此容器可以从其主机请求凭证。然后,主机可以代表容器从某个KMS请求凭证。如果所请求的凭证未加密地返回主机(例如,凭证按需求到达,并且不是容器图像的一部分),则会导致“延迟凭证绑定”。该绑定很有价值但不等于凭证隔离,因此如果主机被泄露,则凭证被公开。
如下所述,上述技术可以在一个或多个计算设备上或一个或多个环境中实现。图10描绘了在其中可以实现本文中描述的一些技术的示例性通用计算环境,例如,其可以包含请求方120、TrEE 140、 TPH 150、主机OS 600、AS 424、KMS 115中的一个或多个。计算系统环境1002仅仅是合适的计算环境的一个示例,并且不旨在对本公开的主题的使用范围或功能教导任何限制。计算环境1002也不应当被解释为具有与示例操作环境1002中示出的任一组件或其组合相关的任何依赖性或要求。在一些实施例中,各种所描绘的计算元件可以包括被配置为实例化本公开的特定的方面的电路。例如,本公开中使用的术语电路可以包括被配置为通过固件或开关来执行的 (多个)功能的专用硬件组件。在其他示例实施例中,术语电路可以包括通过包含可操作以执行(多个)功能的逻辑的软件指令来配置的通用处理单元、存储器等。在电路包括硬件和软件的组合的示例实施例中,实施者可以编写包含逻辑的源代码,并且源代码可以编译成可以由通用处理单元处理的机器可读代码。由于本领域技术人员可以理解,现有技术已经发展到硬件、软件或硬件/软件的组合之间几乎没有差异的程度,因此选择硬件与软件来实现特定的功能是一种留给实施者的设计选择。更具体地,本领域技术人员可以理解,软件过程可以转换为等效的硬件结构,并且硬件结构本身可以转换为等效的软件过程。因此,硬件实现与软件实现的选择是设计选择之一,并且留给实现者。
计算机1002(其可以包括移动设备或智能电话、平板电脑、膝上型电脑、台式计算机或联网设备的集合、云计算资源等中的任何一种)通常包括各种计算机可读介质。计算机可读介质可以是能够由计算机1002访问的任何可用介质,并且包括易失性和非易失性介质、可移动和不可移动介质。系统存储器1022包括易失性和/或非易失性存储器形式的计算机存储介质,诸如只读存储器(ROM)1023 和随机存取存储器(RAM)1060。包含有助于在计算机1002内的元件之间传递信息的基本例程(例如在启动期间)的基本输入/输出系统1024(BIOS)通常存储在ROM 1023中。RAM 1060通常包含立即可访问和/或当前正在由处理单元1059操作的数据和/或程序模块。作为示例而非限制,图10示出了操作系统1025、应用程序1026、包括TrEE目标应用1065的其他程序模块1027、和程序数据1028。
计算机1002还可以包括其他可移动/不可移动的易失性/非易失性计算机存储介质。仅作为示例,图10示出了从不可移动的非易失性磁介质读取或向其写入的硬盘驱动器1038、从可移动的非易失性磁盘1054读取或向其写入的磁盘驱动器1039、以及从诸如CDROM 或其他光学介质等可移动的非易失性光盘1053读取或向其写入的光盘驱动器1004。可以在示例操作环境中使用的其他可移动/不可移动的易失性/非易失性计算机存储介质包括但不限于磁带盒、闪存卡、数字通用盘、数字录像带、固态RAM、固态ROM等。硬盘驱动器1038通常通过诸如接口1034等不可移动存储器接口连接到系统总线1021,并且磁盘驱动器1039和光盘驱动器1004通常通过诸如接口1035或1036等可移动存储器接口连接到系统总线1021。
上面讨论并且在图10中示出的驱动器及其相关联的计算机存储介质为计算机1002提供计算机可读指令、数据结构、程序模块和其他数据的存储。例如,在图10中,硬盘驱动器1038被示出为存储操作系统1058、应用程序1057、其他程序模块1056和程序数据1055。注意,这些组件可以与操作系统1025、应用程序1026、其他程序模块1027和程序数据1028相同或不同。操作系统1058、应用程序1057、其他程序模块1056和程序数据1055在这里被给予不同的数字以说明它们至少是不同的副本。用户可以通过诸如键盘1051以及通常被称为鼠标、轨迹球或触摸板的指示设备1052等输入设备向计算机 1002中输入命令和信息。其他输入设备(未示出)可以包括麦克风、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪、视网膜扫描器,等等。这些输入设备以及其他输入设备通常通过耦合到系统总线1021 的用户输入接口1036连接到处理单元1059,但是可以通过诸如并行端口、游戏端口或通用串行总线(USB)等其他接口和总线结构连接到处理单元1059。监视器1042或其他类型的显示设备也经由诸如视频接口1032等接口连接到系统总线1021。除了显示器之外,计算机还可以包括可以通过输出外围接口1033连接的其他外围输出设备 (诸如扬声器1044和打印机1043)。
计算机1002可以使用到诸如远程计算机1046等一个或多个远程计算机的逻辑连接在联网的环境中操作。远程计算机1046可以是个人计算机、服务器、路由器、网络PC、对等设备或其他公共网络节点,并且尽管图10中仅示出了存储器存储设备1047,远程计算机1046通常包括上面相对于计算机1002所描述的很多或所有元件。图 10中所描绘的逻辑连接包括局域网(LAN)1045和广域网(WAN) 1049,但是也可以包括其他网络。这种联网环境在办公室、企业范围的计算机网络、内联网、因特网和云计算资源中很常见。
当在LAN联网环境中使用时,计算机1002通过网络接口或适配器1037连接到LAN1045。当在WAN联网环境中使用时,计算机 1002通常包括调制解调器1005或用于通过诸如因特网等WAN 1049 建立通信的其他装置。可以是内置的或外置的调制解调器1005可以经由用户输入接口1036或其他适当的机制连接到系统总线1021。在联网的环境中,相对于计算机1002或其部分描述的程序模块可以存储在远程存储器存储设备中。作为示例而非限制,图10将远程应用程序1048示出为驻留在存储器设备1047上。可以理解,所示出的网络连接是示例的,并且可以使用在计算机之间建立通信链路的其他手段。
在一些方面,其他程序1027可以包括如上的功能的TrEE目标组件或应用1065。在一些情况下,TrEE目标应用1065可以执行过程300、400、500、800和/或900的一些或所有操作。
在一个实施例中,一种计算系统包括:
处理器;以及
通信地耦合到处理器的存储器,存储在由处理器执行时使得计算系统执行以下操作的指令:
接收来自与TrEE相关联的潜在的不可信请求方的对受保护数据的请求,并且接收TrEE的鉴证声明;
获取受保护数据;
从请求或鉴证声明中的至少一个获得TrEE的公共目标密钥;
通过使用公共目标密钥加密受保护数据来生成定标受保护数据;以及
向潜在的不可信请求方提供定标受保护数据,其中解密定标受保护数据需要与TrEE的公共目标密钥相对应的TrEE的私有目标密钥。
在一个实施例中,鉴证声明将请求方的身份绑定到鉴证声明,并且其中鉴证声明包含TrEE的公共目标密钥。
在一个实施例中,TrEE的鉴证声明包括TrEE健康证书,并且其中指令还包括使得系统执行以下操作的指令:
从鉴证服务获得TrEE健康证书。
在一个实施例中,用于从请求或鉴证声明中的至少一个获得 TrEE的目标密钥的指令还包括用于进行以下操作的指令:
标识与请求方的安全内核相关联的加密密钥,其中加密密钥还与TrEE会话ID和TrEE类型相关联。
在一个实施例中,用于从请求或鉴证声明中的至少一个获得 TrEE的目标密钥的指令还包括用于进行以下操作的指令:
标识与请求方的安全内核相关联的签名密钥,其中签名密钥证明TrEE目标密钥,其中TrEE目标密钥包括由TrEE生成的公共目标密钥私有目标密钥对的公共部分。
在一个实施例中,一种用于向与潜在的不可信请求方相关联的可信执行环境(TrEE)传送受保护数据的方法包括:
由目标协议头接收来自与TrEE相关联的潜在的不可信请求方的对受保护数据的请求,并且接收TrEE的鉴证声明;
由目标协议头获取受保护数据;
从请求或鉴证声明中的至少一个获得TrEE的目标密钥;
通过使用目标密钥加密受保护数据来生成定标受保护数据;以及
向潜在的不可信请求方提供定标受保护数据,其中解密定标受保护数据需要TrEE的私有目标密钥。
在一个实施例中,鉴证声明将请求方的身份绑定到鉴证声明。
在一个实施例中,鉴证声明包含TrEE的目标密钥,其中TrEE 的目标密钥包括TrEE的公共目标密钥。
在一个实施例中,TrEE的鉴证声明包括TrEE健康证书。
在一个实施例中,方法还包括:
从鉴证服务获得TrEE健康证书。
在一个实施例中,TrEE健康证书与请求方的身份或TrEE的身份中的至少一个相关联。
在一个实施例中,通过目标协议头获取受保护数据包括从密钥管理系统获得受保护数据。
在一个实施例中,从请求或鉴证声明中的至少一个获得TrEE的目标密钥还包括:
标识与请求方的安全内核相关联的加密密钥。
在一个实施例中,加密密钥还与TrEE会话ID或TrEE类型中的至少一个相关联。
在一个实施例中,从请求或鉴证声明中的至少一个获得TrEE的目标密钥还包括:
标识与请求方的安全内核相关联的签名密钥。
在一个实施例中,签名密钥证明TrEE目标密钥,其中TrEE目标密钥包括由TrEE生成的公共目标密钥私有目标密钥对的公共部分。
在一个实施例中,一种计算机可读存储介质包括用于向与潜在的不可信请求方相关联的可信执行环境(TrEE)传送受保护数据的指令,介质包括当在联网的计算机系统上执行时使得联网的计算机系统至少进行以下操作的指令:
接收来自与TrEE相关联的潜在上位不可信请求方的对受保护数据的请求,并且接收TrEE的鉴证声明;
获取受保护数据;
从请求或鉴证声明中的至少一个获得TrEE的目标密钥;
通过使用目标密钥加密受保护数据来生成定标受保护数据;以及
向潜在的不可信请求方提供定标受保护数据,其中解密定标受保护数据需要TrEE的私有目标密钥。
在一个实施例中,鉴证声明将请求方的身份绑定到鉴证声明,并且其中鉴证声明包含TrEE的公共目标密钥。
在一个实施例中,用于从请求或鉴证声明中的至少一个获得 TrEE的目标密钥的指令还包括用于进行以下操作的指令:
标识与请求方的安全内核相关联的加密密钥,其中加密密钥还与TrEE会话ID和TrEE类型相关联。
在一个实施例中,用于从请求或鉴证声明中的至少一个获得 TrEE的目标密钥的指令还包括用于进行以下操作的指令:
标识与请求方的安全内核相关联的签名密钥,其中签名密钥证明TrEE目标密钥,其中TrEE目标密钥包括由TrEE生成的公共目标密钥私有目标密钥对的公共部分。
前面部分中描述的每个过程、方法和算法可以在由一个或多个计算机或计算机处理器执行的代码模块中实施,并且完全或部分地通过这样的代码模块来自动化。这些代码模块可以存储在任何类型的非暂态计算机可读介质或计算机存储设备上,诸如硬盘驱动器、固态存储器、光盘等。过程和算法可以部分或全部地在专用电路中实现。所公开的过程和过程步骤的结果可以永久地或以其他方式存储在任何类型的非瞬态计算机存储装置中,诸如例如易失性或非易失性存储装置。上述各种特征和过程可以彼此独立地使用,或者可以以各种方式组合。所有可能的组合和子组合都旨在落入本公开的范围内。另外,在一些实现中可以省略某些方法或过程框。本文中描述的方法和过程也不限于任何特定的顺序,并且与其相关的块或状态可以以其他适当的顺序执行。例如,所描述的块或状态可以以不同于所公开的具体的顺序的顺序执行,或者多个块或状态可以在单个块或状态中组合。示例块或状态可以以串行、并行或以某种其他方式执行。可以向所公开的示例实施例添加块或状态或从其中移除块或状态。本文中描述的示例系统和组件可以被与所描述的不同地配置被配置。例如,与所公开的示例实施例相比,元件可以被添加、被移除或被重新布置。
还应当理解,各种项目被示出为在使用的同时存储在存储器中或存储在存储设备上,并且这些项目或其部分可以在存储器与其他存储设备之间传送以用于存储器管理和数据完整性的目的。备选地,在其他实施例中,一些或所有软件模块和/或系统可以在另一设备上的存储器中执行,并且经由计算机间通信与所示的计算系统通信。此外,在一些实施例中,系统和/或模块中的一些或全部可以以其他方式实现或提供,诸如至少部分地以固件和/或硬件,包括但不限于一个或多个专用集成电路(ASIC)、标准集成电路、控制器(例如,通过执行适当的指令,并且包括微控制器和/或嵌入式控制器)、现场可编程门阵列(FPGA)、复杂可编程逻辑器件(CPLD)等。一些或所有模块、系统和数据结构也可以存储在要由适当的驱动器或经由适当的连接来读取的计算机可读介质上(例如,作为软件指令或结构化数据),诸如硬盘、存储器、网络或便携式媒体物品。出于本说明书和权利要求的目的,短语“计算机可读存储介质”及其变型不包括波、信号和/或其他瞬态和/或无形通信介质。系统、模块和数据结构还可以作为所生成的数据信号(例如,作为载波或其他模拟或数字传播信号的一部分)在各种计算机可读传输介质上传输,包括基于无线和基于有线/电缆的介质,并且可以采用各种形式(例如,作为单个或多路复用模拟信号的一部分,或者作为多个离散数字分组或帧)。在其他实施例中,这种计算机程序产品也可以采用其他形式。因此,本公开可以用其他计算机系统配置来实践。
除非另有明确说明或者在所使用的上下文中以其他方式理解,否则本文中使用的诸如“可以”、“可”、“可能”、“能”、“例如”等条件语言通常旨在表达某些实施例包括而其他实施例不包括某些特征、元素和/或步骤。因此,这种条件语言通常不旨在暗示一个或多个实施例以任何方式需要特征、元素和/或步骤,也不旨在暗示一个或多个实施例必须包括用于决定(无论是否有作者输入或提示)这些特征、元素和/或步骤是否被包括在任何特定实施例中或将在任何特定实施例中执行的逻辑。术语“包括”、“包含”、“具有”等是同义的并且以开放式方式包含性地使用,并且不排除其他元件、特征、动作、操作等。此外,术语“或”以其包含性意义(而不是以其排他性的意义)使用,因此当使用时,例如,为了连接元件的列表,术语“或”表示列表中的一个、一些或所有元件。
虽然已经描述了某些示例实施例,但是这些实施例仅作为示例呈现,并且不旨在限制本文中公开的发明的范围。因此,前面的描述中的任何内容都不旨在暗示任何特定的特征、特性、步骤、模块或块是必需的或必不可少的。实际上,本文中描述的新颖方法和系统可以以各种其他形式来实施;此外,在不脱离本文中公开的发明的精神的情况下,可以对本文中描述的方法和系统的形式进行各种省略、替换和改变。所附权利要求及其等同物旨在涵盖落入本文中公开的某些发明的范围和精神内的这样的形式或修改。

Claims (13)

1.一种计算系统,包括:
处理器;以及
耦合到所述处理器的存储器,所述存储器存储指令,所述指令在由所述处理器执行时,使所述计算系统实现目标协议头,所述目标协议头充当潜在的不可信请求方与存储秘密的系统之间的中介,所述目标协议头被配置为执行以下操作:
接收来自与可信执行环境TrEE相关联的所述潜在不可信请求方的、针对受保护数据的请求,并且接收所述TrEE的鉴证声明;
响应于所述请求从存储所述秘密的所述系统获取所述受保护数据;
从所述请求或所述鉴证声明中的至少一个获得所述TrEE的公共目标密钥,其中所述获得包括:标识加密密钥,所述加密密钥与所述潜在不可信请求方的安全内核相关联,并且所述加密密钥还与TrEE会话ID或者TrEE类型中的至少一项相关联,其中所述TrEE会话ID与所述TrEE将要在其上进行操作的信息或所述TrEE的用户中的至少一项相关,并且其中所述TrEE类型基于针对所述受保护数据的所述请求或所述计算系统的配置中的至少一项;
通过用所述公共目标密钥加密所述受保护数据,来生成定标受保护数据;以及
向所述潜在不可信请求方提供所述定标受保护数据,其中解密所述定标受保护数据需要与所述TrEE的所述公共目标密钥相对应的所述TrEE的私有目标密钥。
2.根据权利要求1所述的计算系统,其中所述鉴证声明将所述潜在不可信请求方的身份绑定到所述鉴证声明,并且其中所述鉴证声明包含所述TrEE的所述公共目标密钥。
3.一种用于向与潜在不可信请求方相关联的可信执行环境TrEE传送受保护数据的方法,所述方法包括:
由被耦合在潜在的不可信请求方与存储秘密的系统之间的目标协议头接收来自与TrEE相关联的所述潜在不可信请求方的、针对受保护数据的请求,并且接收所述TrEE的鉴证声明;
响应于接收到所述请求,由所述目标协议头从所述系统获取所述受保护数据;
从所述请求或所述鉴证声明中的至少一个获得所述TrEE的目标密钥,其中所述获得包括:标识加密密钥,所述加密密钥与所述潜在不可信请求方的安全内核相关联,并且所述加密密钥还与TrEE会话ID或者TrEE类型中的至少一项相关联,其中所述TrEE会话ID与所述TrEE将要在其上进行操作的信息或所述TrEE的用户中的至少一个相关联,并且其中所述TrEE类型基于针对所述受保护数据的所述请求或所述目标协议头的配置中的至少一项;
通过用所述目标密钥加密所述受保护数据,来生成定标受保护数据;以及
向所述潜在不可信请求方提供所述定标受保护数据,其中解密所述定标受保护数据需要所述TrEE的私有目标密钥。
4.根据权利要求3所述的方法,其中所述鉴证声明将所述潜在不可信请求方的身份绑定到所述鉴证声明。
5.根据权利要求3所述的方法,其中所述鉴证声明包含所述TrEE的所述公共目标密钥。
6.根据权利要求3所述的方法,其中所述TrEE的所述鉴证声明包括TrEE健康证书;并且
其中所述方法还包括:
从鉴证服务获得所述TrEE健康证书。
7.根据权利要求6所述的方法,其中所述TrEE健康证书与所述潜在不可信请求方的身份相关联。
8.根据权利要求3所述的方法其中所述加密密钥与所述TrEE会话ID相关联,并且进一步与所述TrEE类型相关联,所述TrEE会话ID与所述TrEE的所述用户相关,所述TrEE类型基于针对所述受保护数据的所述请求。
9.根据权利要求3所述的方法,其中从所述请求或所述鉴证声明中的至少一个获得所述TrEE的所述公共目标密钥包括:
标识与所述请求方的所述安全内核相关联的签名密钥。
10.一种计算机可读存储介质,包括计算机程序,所述计算机程序用于支持基于处理器的系统来执行操作以向与潜在不可信请求方相关联的可信执行环境TrEE传送受保护数据,所述操作包括:
实现目标协议头,所述目标协议头充当潜在的不可信请求方与存储秘密的系统之间的中介,所述目标协议头被配置为执行以下操作:
接收来自与TrEE相关联的所述潜在不可信请求方的、针对受保护数据的请求,并且接收所述TrEE的鉴证声明;
响应于所述请求从存储所述秘密的系统获取所述受保护数据;
从所述请求或所述鉴证声明中的至少一个获得所述TrEE的目标密钥,其中所述获得包括:标识加密密钥,所述加密密钥与所述潜在不可信请求方的安全内核相关联,并且所述加密密钥还与TrEE会话ID或者TrEE类型中的至少一项相关联,其中所述TrEE会话ID与所述TrEE将要在其上进行操作的信息或所述TrEE的用户中的至少一个相关,并且其中所述TrEE类型基于针对所述受保护数据的所述请求或所述基于处理器的系统的配置中的至少一项;
通过用所述目标密钥加密所述受保护数据,来生成定标受保护数据;以及
向所述潜在不可信请求方提供所述定标受保护数据,其中解密所述定标受保护数据需要所述TrEE的私有目标密钥。
11.根据权利要求10所述的计算机可读存储介质,其中所述鉴证声明将所述潜在不可信请求方的身份绑定到所述鉴证声明,并且其中所述鉴证声明包含所述TrEE的公共目标密钥。
12.根据权利要求10所述的计算机可读存储介质,其中所述加密密钥与所述TrEE会话ID相关联,并且进一步与所述TrEE类型相关联,所述TrEE会话ID与所述TrEE将要在其上进行操作的信息相关,所述TrEE类型基于针对所述受保护数据的所述请求。
13.根据权利要求10所述的计算机可读存储介质,其中所述目标协议头被配置为:标识与所述潜在不可信请求方的所述安全内核相关联的签名密钥,其中所述签名密钥证明所述TrEE的所述目标密钥,并且其中所述TrEE的所述目标密钥包括由所述TrEE生成的公共目标密钥私有目标密钥对的公共部分。
CN201780084500.XA 2017-01-26 2017-12-20 计算系统,传送受保护数据的方法和可读存储介质 Active CN110214440B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/416,981 2017-01-26
US15/416,981 US10972265B2 (en) 2017-01-26 2017-01-26 Addressing a trusted execution environment
PCT/US2017/067459 WO2018140168A1 (en) 2017-01-26 2017-12-20 Addressing a trusted execution environment

Publications (2)

Publication Number Publication Date
CN110214440A CN110214440A (zh) 2019-09-06
CN110214440B true CN110214440B (zh) 2022-12-27

Family

ID=60991589

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780084500.XA Active CN110214440B (zh) 2017-01-26 2017-12-20 计算系统,传送受保护数据的方法和可读存储介质

Country Status (4)

Country Link
US (1) US10972265B2 (zh)
EP (1) EP3574622B1 (zh)
CN (1) CN110214440B (zh)
WO (1) WO2018140168A1 (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10897459B2 (en) 2017-01-26 2021-01-19 Microsoft Technology Licensing, Llc Addressing a trusted execution environment using encryption key
US10897360B2 (en) 2017-01-26 2021-01-19 Microsoft Technology Licensing, Llc Addressing a trusted execution environment using clean room provisioning
CN110489971A (zh) * 2018-05-15 2019-11-22 微软技术许可有限责任公司 安全的数据集管理
EP3657751A1 (en) * 2018-11-23 2020-05-27 Nagravision S.A. Private key cloud storage
US11610012B1 (en) * 2019-11-26 2023-03-21 Gobeep, Inc. Systems and processes for providing secure client controlled and managed exchange of data between parties
US11652616B2 (en) 2020-02-26 2023-05-16 International Business Machines Corporation Initializing a local key manager for providing secure data transfer in a computing environment
US11405215B2 (en) * 2020-02-26 2022-08-02 International Business Machines Corporation Generation of a secure key exchange authentication response in a computing environment
US11502834B2 (en) 2020-02-26 2022-11-15 International Business Machines Corporation Refreshing keys in a computing environment that provides secure data transfer
US11489821B2 (en) 2020-02-26 2022-11-01 International Business Machines Corporation Processing a request to initiate a secure data transfer in a computing environment
US11546137B2 (en) 2020-02-26 2023-01-03 International Business Machines Corporation Generation of a request to initiate a secure data transfer in a computing environment
US11184160B2 (en) 2020-02-26 2021-11-23 International Business Machines Corporation Channel key loading in a computing environment
CN111327643B (zh) * 2020-05-15 2020-09-01 支付宝(杭州)信息技术有限公司 一种多方数据共享方法和装置
US11971980B2 (en) * 2020-05-28 2024-04-30 Red Hat, Inc. Using trusted execution environments to perform a communal operation for mutually-untrusted devices
US11947659B2 (en) 2020-05-28 2024-04-02 Red Hat, Inc. Data distribution across multiple devices using a trusted execution environment in a mobile device
US11848924B2 (en) 2020-10-12 2023-12-19 Red Hat, Inc. Multi-factor system-to-system authentication using secure execution environments
CN112035867A (zh) * 2020-11-06 2020-12-04 成都掌控者网络科技有限公司 一种Web应用权限管理方法、系统、设备及存储介质
US11475140B1 (en) * 2020-11-24 2022-10-18 Amazon Technologies, Inc. Enclave-based cryptography services in edge computing environments

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102668503A (zh) * 2009-12-21 2012-09-12 国际商业机器公司 对加密文件系统的安全Kerberos化访问
EP2887607A1 (en) * 2013-12-23 2015-06-24 Orange Migration of assets of a trusted execution environment
WO2015094326A1 (en) * 2013-12-20 2015-06-25 Intel Corporation Secure import and export of keying material
US9860057B2 (en) * 2014-12-23 2018-01-02 Intel Corporation Diffie-Hellman key agreement using an M-of-N threshold scheme
CN107567700A (zh) * 2015-03-10 2018-01-09 英特尔公司 使用基于密钥的加入协议的物联网组形成

Family Cites Families (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8538028B2 (en) 2006-11-20 2013-09-17 Toposis Corporation System and method for secure electronic communication services
WO2010041348A1 (en) 2008-10-10 2010-04-15 Telefonaktiebolaget L M Ericsson (Publ) Service node, control method thereof, user node, and control method thereof
WO2011084117A1 (en) * 2009-12-18 2011-07-14 Nokia Corporation Credential transfer
US9087200B2 (en) 2009-12-22 2015-07-21 Intel Corporation Method and apparatus to provide secure application execution
WO2012122994A1 (en) 2011-03-11 2012-09-20 Kreft Heinz Off-line transfer of electronic tokens between peer-devices
US10496824B2 (en) * 2011-06-24 2019-12-03 Microsoft Licensing Technology, LLC Trusted language runtime on a mobile platform
US8862767B2 (en) 2011-09-02 2014-10-14 Ebay Inc. Secure elements broker (SEB) for application communication channel selector optimization
US9319884B2 (en) 2011-10-27 2016-04-19 T-Mobile Usa, Inc. Remote unlocking of telecommunication device functionality
US9055443B2 (en) 2011-10-27 2015-06-09 T-Mobile Usa, Inc. Mobile device-type locking
WO2013127521A1 (de) 2012-02-28 2013-09-06 Giesecke & Devrient Gmbh Verfahren zur computer-zugangskontrolle mittels mobilem endgerät
US9591484B2 (en) 2012-04-20 2017-03-07 T-Mobile Usa, Inc. Secure environment for subscriber device
EP2680487B1 (en) 2012-06-29 2019-04-10 Orange Secured cloud data storage, distribution and restoration among multiple devices of a user
US8874916B2 (en) 2012-09-28 2014-10-28 Intel Corporation Introduction of discrete roots of trust
US8924727B2 (en) * 2012-10-12 2014-12-30 Intel Corporation Technologies labeling diverse content
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9141769B1 (en) * 2013-02-08 2015-09-22 Amazon Technologies, Inc. Secure transfer and use of secret material in a shared environment
WO2014142858A1 (en) 2013-03-14 2014-09-18 Intel Corporation Trusted data processing in the public cloud
US10177915B2 (en) 2013-03-15 2019-01-08 Ologn Technologies Ag Systems, methods and apparatuses for device attestation based on speed of computation
US9521126B2 (en) 2013-08-21 2016-12-13 Intel Corporation Processing data privately in the cloud
US9405912B2 (en) 2013-11-14 2016-08-02 Microsoft Technology Licensing, Llc Hardware rooted attestation
CN106104542B (zh) 2013-12-24 2020-01-07 英特尔公司 对于数据即服务(DaaS)的内容保护
US9686077B2 (en) 2014-03-06 2017-06-20 Microsoft Technology Licensing, Llc Secure hardware for cross-device trusted applications
US9474095B2 (en) * 2014-03-26 2016-10-18 Intel IP Corporation Systems, methods, and devices for distributed setup for a device-to-device session
US9411975B2 (en) * 2014-03-31 2016-08-09 Intel Corporation Methods and apparatus to securely share data
US9652631B2 (en) 2014-05-05 2017-05-16 Microsoft Technology Licensing, Llc Secure transport of encrypted virtual machines with continuous owner access
GB201408539D0 (en) 2014-05-14 2014-06-25 Mastercard International Inc Improvements in mobile payment systems
US10601978B2 (en) 2014-06-04 2020-03-24 T-Mobile Usa, Inc. Telecommunication device utilization based on heartbeat communication
US9525668B2 (en) * 2014-06-27 2016-12-20 Intel Corporation Face based secure messaging
US9519787B2 (en) 2014-11-14 2016-12-13 Microsoft Technology Licensing, Llc Secure creation of encrypted virtual machines from encrypted templates
US9940456B2 (en) 2014-12-16 2018-04-10 Intel Corporation Using trusted execution environments for security of code and data
FR3031614B1 (fr) 2015-01-09 2018-03-23 Ingenico Group Procede de traitement d'une transaction a partir d'un terminal de communication.
US10193700B2 (en) * 2015-02-27 2019-01-29 Samsung Electronics Co., Ltd. Trust-zone-based end-to-end security
US9578008B2 (en) * 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
EP3101607A1 (en) 2015-06-02 2016-12-07 Orange NFC-ENABLED DEVICES FOR & xA;PERFORMING SECURE CONTACTLESS TRANSACTIONS AND USING HCE
US10079677B2 (en) 2015-06-05 2018-09-18 Apple Inc. Secure circuit for encryption key generation
WO2017004447A1 (en) 2015-06-30 2017-01-05 Activevideo Networks, Inc. Remotely managed trusted execution environment for digital-rights management in a distributed network with thin clients
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
EP3179690A1 (en) * 2015-12-11 2017-06-14 Gemalto Sa Mobile device having trusted execution environment
GB201522244D0 (en) 2015-12-16 2016-01-27 Nagravision Sa Hardware integrity check
WO2017113119A1 (zh) 2015-12-29 2017-07-06 华为技术有限公司 一种关联应用程序和生物特征的方法、装置以及移动终端
GB2546740A (en) * 2016-01-26 2017-08-02 Worldpay Ltd Electronic payment system and method
US10412191B1 (en) 2016-03-30 2019-09-10 Amazon Technologies, Inc. Hardware validation
US20170289197A1 (en) * 2016-03-31 2017-10-05 Qualcomm Incorporated Transport layer security token binding and trusted signing
US10277407B2 (en) 2016-04-19 2019-04-30 Microsoft Technology Licensing, Llc Key-attestation-contingent certificate issuance
US10581815B2 (en) 2016-05-02 2020-03-03 Intel Corporation Technologies for secure mediated reality content publishing
KR102425368B1 (ko) * 2016-05-02 2022-07-27 삼성전자주식회사 가상 sim 운용 방법 및 그 장치
EP3461016A4 (en) 2016-08-09 2019-06-12 Huawei Technologies Co., Ltd. SYSTEM ON CHIP AND PROCESSING DEVICE
US10733284B2 (en) * 2016-10-06 2020-08-04 Samsung Electronics Co., Ltd. Trusted execution environment secure element communication
US10700865B1 (en) 2016-10-21 2020-06-30 Sequitur Labs Inc. System and method for granting secure access to computing services hidden in trusted computing environments to an unsecure requestor
KR102604046B1 (ko) * 2016-11-28 2023-11-23 삼성전자주식회사 전자 기기의 프로그램 관리 방법 및 장치
US10127409B1 (en) 2016-12-16 2018-11-13 Square, Inc. Tamper detection system
US10530777B2 (en) 2017-01-24 2020-01-07 Microsoft Technology Licensing, Llc Data unsealing with a sealing enclave
US10897360B2 (en) * 2017-01-26 2021-01-19 Microsoft Technology Licensing, Llc Addressing a trusted execution environment using clean room provisioning
US10897459B2 (en) 2017-01-26 2021-01-19 Microsoft Technology Licensing, Llc Addressing a trusted execution environment using encryption key
US10419402B2 (en) * 2017-01-26 2019-09-17 Microsoft Technology Licensing, Llc Addressing a trusted execution environment using signing key

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102668503A (zh) * 2009-12-21 2012-09-12 国际商业机器公司 对加密文件系统的安全Kerberos化访问
WO2015094326A1 (en) * 2013-12-20 2015-06-25 Intel Corporation Secure import and export of keying material
EP2887607A1 (en) * 2013-12-23 2015-06-24 Orange Migration of assets of a trusted execution environment
US9860057B2 (en) * 2014-12-23 2018-01-02 Intel Corporation Diffie-Hellman key agreement using an M-of-N threshold scheme
CN107567700A (zh) * 2015-03-10 2018-01-09 英特尔公司 使用基于密钥的加入协议的物联网组形成

Also Published As

Publication number Publication date
WO2018140168A1 (en) 2018-08-02
EP3574622A1 (en) 2019-12-04
CN110214440A (zh) 2019-09-06
US20180212769A1 (en) 2018-07-26
EP3574622B1 (en) 2022-04-13
US10972265B2 (en) 2021-04-06

Similar Documents

Publication Publication Date Title
CN110214440B (zh) 计算系统,传送受保护数据的方法和可读存储介质
AU2017396530B2 (en) Addressing a trusted execution environment using encryption key
CN110249336B (zh) 使用签名密钥对可信执行环境的寻址
TWI744371B (zh) 資料儲存方法、資料獲取方法、裝置及系統
CN110235134B (zh) 使用洁净室供应来寻址可信执行环境
CA3048895C (en) Addressing a trusted execution environment using signing key
US11831407B1 (en) Non-custodial techniques for data encryption and decryption
NZ754540B2 (en) Addressing a trusted execution environment using signing key

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant