CN110249332A - 使用加密密钥寻址可信执行环境 - Google Patents

使用加密密钥寻址可信执行环境 Download PDF

Info

Publication number
CN110249332A
CN110249332A CN201780084684.XA CN201780084684A CN110249332A CN 110249332 A CN110249332 A CN 110249332A CN 201780084684 A CN201780084684 A CN 201780084684A CN 110249332 A CN110249332 A CN 110249332A
Authority
CN
China
Prior art keywords
trusted application
key
protected data
requestor
encryption key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201780084684.XA
Other languages
English (en)
Other versions
CN110249332B (zh
Inventor
M·F·诺瓦克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN110249332A publication Critical patent/CN110249332A/zh
Application granted granted Critical
Publication of CN110249332B publication Critical patent/CN110249332B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/127Trusted platform modules [TPM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Computer And Data Communications (AREA)

Abstract

本文中描述了用于向嵌套可信执行环境(TrEE)传输受保护数据的方法、系统和设备,包括在安全内核之上运行的与潜在不可信请求者相关联的可信应用。在一个方面,目标协议头部或者请求者与密钥管理系统或受保护数据的其他存储器之间的其他中介可以接收来自潜在不可信请求者的针对受保护数据的请求和安全内核的证明声明。目标协议头部可以利用从证明声明导出的第二加密密钥来加密传输加密密钥。目标协议头可以取回受保护数据,并且利用传输加密密钥和认证标签加密受保护数据,该认证标签将请求者与可信应用ID绑定。目标协议头部可以向请求者提供经加密的传输加密密钥、经加密的受保护数据和经加密的认证标签。

Description

使用加密密钥寻址可信执行环境
技术领域
本公开总体上涉及计算设备中的可信和/或隔离执行环境,并且更具体地涉及向可信执行环境安全地递送一个或多个秘密或密钥。
背景技术
密钥管理系统(KMS)是秘密的存储器。秘密通常具有公共ID、保护值和用于控制谁可以获取该值的策略。在某些情况下,秘密也可以具有到期日期和其他元数据等。在典型的用例中,请求者向KMS认证,建立安全信道,通过提供秘密ID来请求秘密值,并且期望KMS向其返回明文秘密值。由请求者与KMS之间的安全信道来保护该值免受未经授权的窃听和篡改。
如本文中使用的可信执行环境(TrEE)可以包括以下中的任何一个:虚拟安全模式(VSM)可信应用(trustlet)、SGX应用、ARM TrustZone应用或某种其他类似载具(vehicle)。TrEE通常具有一些独特的属性。TrEE通常具有完整的加密堆栈(换言之,可以假定整个频谱中的各种加密原语,从安全随机数生成到使用密钥的散列、加密和签名库的完整菜单)。TrEE通常还具有少数或有限的I/O设施或与这些I/O设施相关联,通常限于其中请求由不可信的“外部世界”发起的请求驱动架构。例如,VSM可信应用可能使用未经认证的远程过程调用(RPC)。TrEE还可能访问TrEE外部不可用的密钥材料或数据。这允许TrEE使用不可信I/O来存储数据,然后将其读回,从而确保防篡改和状态机密性。TrEE通常还具有以下各项或与以下各项相关联:可证明的代码、配置和密钥材料。特别是,可证明的密钥材料允许TrEE从第三方接收加密到它的消息,并且向第三方签名来自TrEE的消息。
与其他应用一样,使用具有TrEE的KMS可能存在安全限制。因此,可以利用来自与TrEE一起或在TrEE中的KMS的密钥来改进安全性。
发明内容
本公开的说明性示例包括但不限于方法、系统和各种设备。在一个方面,用于向与潜在不可信请求者相关联的嵌套可信执行环境(TrEE)(包括在安全内核之上运行的可信应用)传输受保护数据的方法可以至少部分由目标协议头部或者请求者与密钥管理系统或受保护数据的其他存储器之间的其他中介来执行。目标协议头可以接收来自潜在不可信请求者的针对受保护数据的请求和安全内核的证明声明。目标协议头部可以利用从证明声明导出的第二加密密钥来加密传输加密密钥。目标协议头可以取回受保护数据,并且利用传输加密密钥和认证标签加密受保护数据,该认证标签将请求者与可信应用ID绑定。目标协议头部可以向请求者提供经加密的传输加密密钥、经加密的受保护数据和经加密的认证标签。
下面描述系统和方法的其他特征。特征、功能和优点可以在各种示例中独立地实现,或者可以在其他示例中组合,其进一步的细节可以参考以下描述和附图来看出。
附图说明
下文中将参考附图更全面地描述本公开的实施例,在附图中:
图1A、1B和1C描绘了用于在请求者与密钥管理系统之间交换密钥的系统和过程的三个示例。
图2描绘了实现隔离区域或可信执行环境(TrEE)的控制程序监视器的示例图。
图3描绘了用于利用中间目标协议头向可信TrEE传输受保护数据的示例过程。
图4A和4B描绘了利用中间目标协议头向TrEE传输受保护数据的另一示例过程。
图5A和5B描绘了利用中间目标协议头向嵌套TrEE传输受保护数据的示例过程。
图6示出了可以实现一个或多个所描述的过程的示例系统。
图7描绘了用于向TrEE安全地传输密钥和/或受保护数据的数据结构的示例。
图8描绘了用于基于外部TrEE的加密密钥利用中间目标协议头向嵌套TrEE传输受保护数据的另一示例过程。
图9描绘了用于基于内部TrEE的加密密钥利用中间目标协议头向嵌套TrEE传输受保护数据的另一示例过程。
图10描绘了其中可以实现本文中描述的技术的示例通用计算环境。
具体实施方式
本文中描述了用于向计算设备(诸如一个或多个物理或虚拟计算设备)的可信执行环境(TrEE)安全地传输至少一个密钥(例如,签名密钥或加密密钥)或受保护数据/秘密的系统和技术。在一个方面,可以在密钥请求者与密钥管理系统或拥有受保护数据的实体之间实现中介(intermediary)。中介在本文中可以称为目标协议头部。密钥请求者可以与安全执行环境或TrEE相关联,安全执行环境或TrEE可以包括VSM可信应用、SGX应用、ARMTrustZone应用或某种其他类似载具中的一个或多个。TrEE可以与请求者隔离。请求者可以请求一个或多个秘密以从目标协议头部递送到TrEE或在TrEE内执行的特定可信应用。响应于该请求,目标协议头部可以与密钥管理系统或保存秘密的其他实体通信以获取一个或多个秘密以便传输给TrEE。目标协议头部可以专门针对(target)TrEE处的受保护数据,以便请求者或攻击者无法访问受保护数据。
在一些方面,目标协议头部的实现可以否定对请求者与密钥管理系统之间的安全信道的需要。使用本文中描述的TrEE目标技术的目标协议头部还可以使得可以将一个或多个秘密或数据发送到TrEE或嵌套TrEE(例如,在安全内核之上运行的可信应用),使得请求者无法访问秘密/数据。在一些情况下,请求者可能是不可信的或有可能是潜在不可信的,使得受保护数据的所有者可能出于各种原因而希望保持受保护数据不被请求者访问。在某些情况下,证实请求者是值得信任的或者确保请求者仍然值得信任可能是困难或麻烦的。假定请求者不受信任,并且将TrEE与请求者隔离,可以否定其中很多顾虑。如下面将更详细描述的,这种隔离可以极大地提高针对不同类型的攻击的安全性,并且可以提供其他益处和优点。
图1A示出了用于在请求者与密钥管理系统之间交换密钥的示例系统和过程100a。如图所示,与客户端设备或客户端侧110相关联的请求者或请求设备120可以同与服务器或服务器侧105相关联的密钥管理系统或一些期望秘密115的持有者通信。请求者120可以从密钥管理系统115请求一个或多个秘密或受保护数据,例如,以访问某些受保护数据、执行一个或多个受保护过程等。请求者120和密钥管理系统(KMS)115可以利用公钥-私钥密钥安全系统或本领域已知的其他密钥协议来交换期望的秘密/数据。
在操作125处,请求者120可以首先经由本领域的任何已知技术向KMS 115进行认证并且建立安全通信信道。操作125可以包括利用公钥系统等。随后,在操作130处,利用经由操作125建立的安全信道,请求者120可以向KMS 115发送针对一个或多个秘密/受保护数据的请求。在验证请求之后,在操作135处,KMS 115可以通过安全通信信道向请求者120传输回秘密或所请求的数据。作为本领域的标准,可以在135处通过安全信道传输秘密/所请求的数据,而不需要安全信道之上的任何附加保护。结果,在操作135处传输的秘密/数据可以被暴露给请求设备120。
图1B示出了用于代表可信执行环境(TrEE)140、飞地(enclave)或用于指示与请求者120相关联的隔离执行环境的其他项目来在请求者120与KSM 115之间交换一个或多个秘密或受保护数据的示例系统和过程100b。TrEE 140可以与请求者120隔离,使得TrEE 140中包含的代码和/或数据可能由请求者120不可访问(例如,可读和/或可写)。图2示出了可信执行环境的示例200,其中计算设备205可以包括逻辑210(例如,代码)和状态信息220,诸如数据。状态信息220可以存储或位于隔离区域215中,诸如可以是没有未经授权的访问的危险。在一些情况下,隔离区域215内的数据220不能由除了与隔离区域215相关联的逻辑210之外的任何实体直接读取或写入。隔离逻辑210决定它将允许对什么类型或部分的数据220的什么类型的访问。在一个示例中,逻辑210可以允许递增和读取与数据220相关联的值,但是不能以其他方式修改数据220。在另一示例中,逻辑210可以允许使用密钥的加密操作而不授权访问密钥本身的值。在所示的示例中,逻辑或代码210可以在CPM 205的一般或可访问区域中;然而,应当理解,在一些情况下,逻辑210也可以位于与状态信息220相同或不同的隔离区域内。
返回系统100b,可以在服务器侧105上实现目标协议头部(TPH)150以用作请求者120/TrEE 140与KMS 115之间的中介。协议头部可以指代协议处理程序的软件实现,通常面向本身没有使用特定协议的系统。瞄准(target)可以是指执行环境的加密瞄准。总之,该术语可以指示实现以TrEE处的响应为目标的用于取回秘密的协议的软件和/或硬件。在一些方面,目标协议头部150可以被实现为虚拟或云资源,例如,其可以在不同的硬件、软件上运行和/或与KMS 115分离。在一些方面,诸如数据中心等实体可以托管和/或提供目标协议头部150作为服务。目标协议头部150可以执行两个主要功能:1)与KMS115通信/从外部实体获取秘密或受保护数据,以及2)瞄准对请求者120的TrEE 140的响应。作为目标协议头部150的使用的结果,请求者120不需要直接向KMS 115认证。KMS 115向目标协议头部150而不是向请求者120产生其秘密。目标协议头部150的功能是瞄准请求者120的TrEE 140的响应,从而确保请求者120不能获取秘密/受保护数据的明文。相反,目标协议头部150可以改为代表请求者120本身向KMS 115进行认证,但是可以在使用或不使用请求者120的身份的情况下进行。在一些情况下,目标协议头部150可能需要确信它将返回给请求者120的TrEE 140的秘密将处于“安全的手”中。在这种情况下,请求者120可以向目标协议头部150提供关于TrEE140的状态的可证明信息,该信息可以包括与TrEE 140相关联的可证明密钥材料,对可证明密钥材料的响应可以被加密。
在一些情况下,诸如由一个或多个可信应用提供的多个不同过程可以在安全内核内同时操作,其中每个可信应用和安全内核均被认为是TrEE 140(例如,这是嵌套TrEE的示例)。在这种情况下,每个不同的可信应用可以与会话ID、可信应用类型和/或其他ID相关联,其可以用于标识安全内核内的各个可信应用(例如,两者都被表示为TrEE 140)。如下面将更详细描述的,来自目标协议头部150的响应可以狭窄地瞄准请求中标识的TrEE 140内的特定可信应用。
在TrEE140瞄准的情况下,不存在对在请求者120与目标协议头部150之间的安全信道的固有需求,因为请求者120本身不受响应的信任。然而,应当理解,可以经由认证操作160添加请求者120与目标协议头部150之间的安全信道,例如,以保护对请求本身的访问(请求者想要的秘密),这可能导致不期望的信息公开。在操作160处的认证之后或代替操作160处的认证,在操作155处,请求者120可以代表TrEE 140向目标协议头部150发送针对一个或多个秘密或受保护数据的请求,例如,以传输到TrEE。在一些方面,该请求可以与TrEE140相关联或标识TrEE 140。目标协议头部150可以确定TrEE140是否值得信任。在一个方面,请求者120的认证可以依赖于一种类型的洁净室(clean room)供应。在另一方面,认证可依赖于证明。
当请求者120设备例如是全新的并且合理地假定为没有恶意软件时,可以使用洁净室供应。下面将参考图3更详细地描述用于使用洁净室供应向与请求者相关联的TrEE传输受保护数据的示例过程。下面将参考图4更详细地描述用于使用证明(例如,证明服务)向与请求者相关联的TrEE传输受保护数据的示例过程。
在任一种情况下,一旦TPH 150已经认证了请求者120,和/或建立了TrEE 140的可信度,TPH 150就可以在操作165处认证并且建立与KMS 115的安全通信信道。在一些方面,KMS 115可以包括或者与保存一个或多个秘密或受保护数据(诸如许可(licence)、允许(permission)、密码等)的任何实体相关联。在与KMS 115建立安全通信信道时,TPH 150可以在操作170处发送对受保护数据的请求。KMS 115可以在操作175处返回所请求的秘密。在操作180处,TPH150可以在TrEE 140处瞄准(多个)秘密或受保护数据并且发送一个或多个秘密。
在一些方面,在操作180处向TrEE 140传输受保护数据可以利用以下数据结构中的至少一个:加密身份密钥,其可以围绕TrEE身份或证明过程或证明日志构建;或者在嵌套TrEE示例中(例如,在安全内核之上运行的可信应用)的签名身份密钥,其也可以围绕证明过程构建,如下面将更详细描述的。
图1C示出了用于代表可信执行环境(TrEE)140在请求者120与KMS 115之间安全地交换一个或多个秘密或受保护数据的另一示例系统和过程100c。系统100c可以是如上所述的系统100b的特定示例。在系统100c中,目标协议头部150可以是主机监护服务(HGS)150a。在系统100c中,HGS 150a可以例如从云主机185或可以实例化或以其他方式控制TrEE 140的其他实体接收密钥保护器190。在系统100c中,请求者120可以与例如由云主机185提供的虚拟机相关联。KP 190可以包含在于2014年9月9日提交的题为“Secure Transport ofEncrypted Virtual Machines with Continuous Owner Access”的相关美国专利申请#14/481,399中描述的密钥保护器的一个或多个方面。KP 190可以包含TrEE 140可用的一个或多个秘密,诸如传输密钥。KP 190实质上可以封装传输密钥,使得只有一组监护人(guardian)才能访问它,这些监护人被授权访问传输密钥。KP 190可以被加密,使得为了读取KP 190的内容并且取回传输密钥,在操作165处向KMS 115认证和与KMS 115建立安全通信信道之后,在操作170a处,HGS 150a可以从KMS 115请求解密密钥。作为响应,KMS 115可以在操作175a处向HGS发送解密密钥。然后,HGS 150a可以使用解密密钥来解密KP 190,并且取回一个或多个秘密(例如,传输密钥)以发送到TrEE 140。然后,在操作180处,HGS 150a可以经由将在下面更详细描述的一种或多种寻址技术将秘密或传输密钥发送到TrEE。在一些方面,可以基于来自KP 190的数据来寻址TrEE 140。
应当理解,在一些情况下,HGS 150a和KMS 115可以是一个实体,使得不需要在它们之间建立通信信道,并且不需要认证。
在系统100c中,不需要请求者120与HGS 150a之间的认证。只要云或结构主机180是健康的,哪个结构主机与HGS 150a通信并不重要,只要它是结构中的服务器之一(这可以经由证明来验证)。
图3示出了用于向请求者的TrEE传输受保护数据的示例过程300,其中假定请求者是可信的(例如,没有恶意软件)。如本文中使用的,任何图中的框或操作的虚线指示操作是可选的,使得它可以被省略。过程300可以利用与TrEE相关联的加密密钥,诸如由TrEE或发起TrEE的请求者的安全内核生成的公钥-私钥对(例如,非对称密钥对)的公钥。在其他情况下,加密密钥可以是对称的。如本文中使用的,安全内核可以指代与更高级别的安全性相关联的计算设备的任何部分,如本领域中已知的。
在这种情况下,可以在操作302处启动(launch)或开启(initiate)TrEE 140,并且可以在操作304处在TrEE 140内部生成一个或多个私钥(例如,私有加密密钥)和相应的公钥。然后,在操作306处,可以向TPH 150注册相应公钥并且将相应公钥与请求者和/或请求设备的身份相关联。在一些情况下,TrEE 140的公钥只需要注册一次,使得在公钥注册之后,过程300可以在操作308处开始。随后,请求者120可以在操作308处经由任何已知的认证技术向TPH 150认证。然后,TPH 150可以查找用于向TrEE 140传输响应的公钥,例如,基于TrEE 140的注册公钥,该公钥可以与请求者120的身份相关联。该过程可以被称为“洁净室”供应,因为它只能在请求者120处于已知良好或可信赖状态时安全地完成。在该示例中,不需要其中请求者120向TPH 150发送TrEE健康证书(THC)的基于证书的认证,因为请求者120是值得信任的。在缺乏普遍存在的证明服务的情况下,这是验证TPH 150正在瞄准正确的TrEE 140的可行选择。
随后,在操作312处,TPH 150可以例如从KMS 115获取用于递送到TrEE 140的受保护数据,如上所述。使用经由操作310访问的TrEE公钥,然后在操作314处,TPH 150可以构造用于发送到TrEE140的消息,该消息包括获取的受保护数据。TPH 150可以在操作316处将消息发送到请求者120。
在接收到消息时,请求者120可以在操作318处将其转发到TrEE140。因为请求者120不能访问TrEE的私钥,所以请求者120不能解密该消息以访问受保护数据。在操作320处,TrEE 140可以使用其私钥来解密消息并且访问受保护数据。
图4A示出了用于向不可信请求者的TrEE传输受保护数据的示例过程400。过程400可以利用与TrEE相关联的加密密钥,诸如由TrEE或发起TrEE的请求者的安全内核生成的公钥私钥对的公钥,诸如在嵌套TrEE(本文中可以称为可信应用)的情况下。过程400可以附加地或替代地利用安全内核的签名密钥,其可以被认为是与TrEE相关联的外部TrEE,其中可信应用嵌套或在安全内核之上运行,TrEE可以用于验证由TrEE生成的密钥对的公钥,如下面更详细地描述的。
根据过程400,在操作402处初始化TrEE之后,请求者120可以在操作406处从证明服务请求证明报告或声明。图4B示出了用于从证明服务424获取证明声明或报告的示例过程。在图4B的示例中,在操作426处,请求者120可以在引导时创建包含TrEE 140(安全内核)的公钥(IDK_E)(可信应用)或TrEE的签名密钥(IDK_S)的证明日志(TCG日志)。然后,在操作428处,请求者120可以将TCG日志呈现给证明服务424。在一些情况下,TPH 150可以指示或者请求者120可以选择TPH 150信任的证明服务。在操作430处,证明服务424可以检查TCG日志并且基于TrEE 140(安全内核)的加密密钥(IDK_E)和/或签名密钥(IDK_S)发布TrEE健康证书(THC)。在操作432处,证明服务242然后可以向请求者120发送回THC(本文中也称为证明声明)。
当在操作406处获取证明声明后,请求者120可以在操作408处代表TrEE 140向TPH150发送证明声明和针对受保护数据的请求。THC或证明声明可以包含请求者120的主题名称(subject name)(用于在认证期间建立的请求者身份与证书之间创建绑定)、以及响应者(TPH 150)在制定响应时应当使用的密钥(例如,加密密钥或签名密钥)。
在一些方面,诸如可信平台模块(TPM)的加密密钥(EK)等防篡改身份与请求者120相关联。如本领域已知的,请求者120的证明可以使用TPM EK来执行。
在一些方面,无论是带外还是通过可以是THC的一部分的发布策略(IP)对象标识符(OID),TrEE可以经由请求者120向TPH 150传送密钥是加密密钥还是签名密钥。如上所述,在使用哪个密钥之间的选择可能影响用于构造响应的机制的选择。重要的是,TPH 150不要求拥有支持证书的私钥的证据,这仅仅因为如果给出了错误的证书,请求者120将无法理解响应,因为它无法访问对应的私钥。
图5A和5B示出了用于向不可信请求者的嵌套TrEE传输受保护数据的示例过程500。在一些方面,可以嵌套两个或更多个TrEE,使得一个TrEE被包含在另一TrEE中。如本文所述,可信应用是嵌套TrEE,其被包含在外部TrEE中。在一个示例中,外部TrEE可以包括操作系统的可信部分的安全内核,诸如与虚拟信任级别相关联的特定存储器分区,如下面参考图6更详细地描述的。当例如只有外部TrEE的加密密钥(在某些情况下可以是实例化可信应用的机器的安全内核)可用时,可以使用过程500。
过程500可以在操作502处开始,其中请求者120利用由请求者120决定的“会话标识符”来启动可信应用,该“会话标识符”可以包括任何类型的标识符,诸如与可信应用将操作的内容或数据相关或标识可信应用将操作的内容或数据,与可信应用的用户相关等(例如,“用于播放‘特定标题’的流内容应用可信应用'”)。在一个示例中,会话ID可以是32字节值。该值可以被保留,在可信应用的生存期内是只读的,并且在向可信应用接收目标消息时可供安全内核使用。该值可能丢失(在进程启动时未被指定),在这种情况下,会话ID可以假定为零。
随后,在操作504处,请求者120可以向TPH 150认证(如上所述是可选的,但仅在非常有限的情况下,诸如在请求者之间确实没有差异的情况下)。其中期望TrEE(例如,TrEE的密钥)与请求者的身份之间的绑定的一个示例例如是:内容项(诸如电影)的播放受到许可或订户验证的限制(例如,NetFlix用户想要获取播放电影的许可证,但NetFlix希望确保其是正在接收电影许可证的用户(在他们的TrEE内))。
在操作506,请求者120可以从TPH 150信任的证明服务获取证明声明,诸如根据上面参考图4B描述的过程406。随后,请求者120可以在操作508处向TPH 150呈现证明声明。应当理解,在可能适用于此处的上述洁净室供应示例中,无需证明。
在接收到证明声明时,TPH 150可以在操作510处验证证明声明(或者,在上面的洁净室供应示例的情况下,基于其身份查找请求者的密钥)。在过程500中的此时,请求者120知道使用哪个密钥来寻址外部TrEE。在一些方面,从证明声明或请求所获取的密钥是外部TrEE或安全内核(而不是内部信任者)的加密密钥的指示可以被包括在请求或证明声明中,或者以另一种方式或带外传送到TPH 150,设置为默认过程等。随后,在操作511处,TPH 150可以例如从KMS115或从持有受保护数据的任何其他实体获取请求中所指示的受保护数据,诸如持有许可证、密码、许可和/或其他信息的一个或多个服务。
在操作512从,TPH 150可以确定要瞄准哪个可信应用类型,例如,基于请求或基于TPH 150本身(例如,每个TPH 150可以专门为特定目的或应用而设计,诸如NetFlix)。在利用KP的示例中,诸如上面参考1C所述,可以在KP中编码可信应用类型。在一些其他示例中,可以默认设置或者硬编码可信应用类型,诸如在利用HGS 150a的实现中。在HGS示例中,HGS150a可以始终瞄准虚拟模式安全过程(VMSP)可信应用,其类型可以是硬编码的(因为KP可以不包含该信息)。
在确定要瞄准的可信应用类型时,TPH 150可以在操作514处构造包括要发送到TrEE的受保护数据的消息。图5B中描绘了操作514的更详细示例。
在一些方面,操作514还可以包括操作536,其中TPH 150生成两个随机对称密钥:传输密钥TX和封装密钥TW。随后,在操作538处,TPH 150可以使用THC中的公钥(其是证明声明的一部分)来加密TX(例如,假定THC基于加密密钥,而不是签名密钥)。在一些方面,操作538可以包括使用RSA加密和OAEP填充来利用主机的IDK加密TX。在一些方面,TPH 150可以在操作540处验证可信应用的会话ID,例如,以验证可信应用是否被授权或具有访问受保护数据的正确许可(例如,为在线服务或内容项付费)。在某些情况下,会话ID可以包括可信应用类型;但是,在其他情况下,可信应用类型可以被编码在KP中或甚至是硬编码的。然后,在操作542和544处,TPH 150可以使用TX对TW进行加密,并且可以将可信应用的可信应用类型和会话ID连接起来并且用作“认证标签”。注意,认证标签的使用是AES-GCM协议的工件;其他加密协议可以使用具有相同效果的不同方案。认证标签背后的想法是将TW与可信应用类型和会话ID绑定在一起,使得它们无法由攻击者在传输中进行解耦。有多种其他方法可以实现这种加密;本文中描述了AES-GCM,因为它本身提供了这种功能,并且因此是有利的。
然后,在操作546处,TPH 150可以将加密的TX和TW的认证加密发送到请求者120。如图5A所示,在接收到可以经由图5B的操作生成和/或可以包括以与TW类似的方式加密的受保护数据的消息516之后,请求者120可以在操作518处将消息转发到可信应用。由于可信应用不能解密该消息(它正试图到达TW),在操作520处,可信应用可以将消息传输给安全内核。或者,请求者120可以绕过可信应用以将响应发送到安全内核,并且当安全内核在解密TW时利用新信息警告可信应用。
随后,在操作522处,安全内核可以使用其私有加密密钥来对TX进行解密,然后使用TX对TW进行解密,使用认证标签来确保具有正确会话ID的正确可信应用类型请求解密消息。如果验证了验证标签,则安全内核可以在操作524处将TW返回给可信应用。然后,可信应用可以使用所接收的TW来解密TW正在加密的任何其他内容(诸如受保护数据),其可以是任何大小的。
在一些方面,安全内核可以实现一个或多个过程,诸如由一个或多个API定义的过程,这些过程用于接收、解密以及向正确的可信应用传输目标消息。API可以接收以特定可信应用为目标的加密消息,并且使用IDK的私有部分(安全内核身份加密密钥)解密TX。API可以使用可信应用类型和调用可信应用的会话ID的连接作为标记来构造自己的认证标签(出于明显的安全原因,不能使用所提供的认证标签)。然后可以获取可信应用类型和会话ID。如果认证成功,则API可以使用TX解密TW。如果解密成功,则API可以将TW返回到可信应用。
在一个示例中,所接收的消息可以包括以下信息:版本号(例如,0);传输密钥加密协议ID(例如,RSA 2048);传输密钥加密填充ID(例如,OAEP);封装密钥加密协议ID(例如,AES-GCM);传输密钥密文的长度;封装密钥认证标签的长度(忽略);封装密钥密文的长度;以及传输密钥密文、封装密钥认证标签(忽略)和封装密钥密文。应当理解,这只是可以用于构造消息的很多方式中的一种。
在一些方面,上述系统或过程100、300、400或500中的一个或多个过程/系统可以在实现虚拟安全模式(VSM)的资源或虚拟机中实现。在虚拟机的上下文中的VSM和相关概念在于2014年2月21日提交的题为“Virtual Secure Mode for Virtual Machines”的美国专利申请#14/186,415中被描述。图6示出了包括分成不同虚拟信任级别VTL0 610和VTL1 615的VSM计算环境的系统或主机操作系统600。系统600可以是系统100a、100b或100c的一个或多个方面的更具体的实现,诸如云主机180,其包括在VSM中操作的计算环境。VTL0610可以包括用户模式620和正常内核模式630,并且VTL1 615可以包括用户模式625和安全内核模式635。不同的VTL可以由管理程序提供,例如,在物理计算组件或虚拟计算资源(例如,一个或多个虚拟机)之上运行的管理程序,其经由对某些进程等的存储器访问的限制来交互和定义VTL0 610和VTL1 615。在所示示例中,VTL1 615可以比VTL0 610更安全,使得读取和/或写入与VTL1相关联的数据或代码需要更高的访问。VTL0 610可以对应于请求者120,而VTL1615可以对应于TrEE 140。下面将系统600描述为利用KP 700。然而,应当理解,这仅作为示例给出;系统600可以利用上述证明/认证方案而不使用KP来达到类似的效果。
如参考系统600所述,主机600的客户端应用650/VTL0 610可以对应于请求者120,而VTL1 615、更具体地是VTL1 615的安全内核635可以对应于TrEE 140。在一些方面,可信应用640可以对应于参考过程500描述的嵌套可信应用。在一些方面,系统600可以实现上述过程500。在其他情况下,系统600可以实现下面参考图8和9描述的过程800和/或900,其中过程500和800之间的主要区别在于使用KP来初始化可信应用以及使用HGS 150a的特定实现来代替更通用的TPH 150。
如图所示,一个或多个TrEE或可信应用640可以驻留在VTL1615的用户模式625中。在一些方面,一个或多个可信应用640可以通过虚拟机安全过程(VMSP)645被访问或与之相关联。客户端操作、应用、程序等650(客户端)可以以VTL0 610的用户模式620操作。驻留在VTL1 615的用户模式625下的服务器655可以经由RPC660与客户端650通信。如图所示。客户端650可以请求发起可信应用640以经由一个或多个RPC 660执行一个或多个安全操作,例如,利用VMSP 645。在其他方面,服务器655可以在不从客户端650接收显式请求的情况下发起可信应用640。在任一种情况下,服务器655可以发起信任条件640,其中特定可信应用类型标识可信应用的参数,并且会话ID标识可信应用640的特定实例。在一些方面,可信应用类型可以是经由包括KP 405的数据结构来初始化,诸如上面参考图1C的系统100c所述。包括诸如KP 700等KP的示例数据结构在图7中示出。
数据结构700可以包括密钥保护器(KP)705,KP 705是加密密钥(这里是传输密钥TK)的密码封装,如于2014年9月9日提交的题为“Secure Transport of EncryptedVirtual Machines with Continuous Owner Access”的美国专利申请#14/481,399中所描述的。KP 705确保仅向授权实体提供对TK 710和/或其他受保护数据的访问。作为交付给TrEE 140的密钥的TK 710可以用KP 705封装,或者在某些情况下用密钥或TW封装。TK 710可以被认为是高价值秘密。在一些情况下,TK 710可以在KMS 115处被解密。
数据结构700还可以包括虚拟机数据(VMD)730,VMD 730可以包括用于初始化可信应用的数据。VMD 730可以使用适当的加密技术来加密,诸如从Redmond Wash的微软公司可获取的BitLocker。全卷加密密钥(FVEK)725(其可以用于解密VMD 730,并且可以由虚拟可信平台模块(VTPM)保护)的状态(725)被加密并且作为元数据的一部分与KP 705一起被存储。在一些方面,FVEK 725可以由卷主密钥(VMK)720加密。VTPM状态725本身使用由KP 705封装的密钥加密。在一些方面,VTPM状态725可以由TK 710(高价值秘密)加密并且将数据“密封(seal)”到PCR值(例如,PCR7),使得如果PCR值处于预期状态,则TPM将允许访问(例如,解密)密钥材料。在这种情况下,TPM保护器是一种数据结构,如果一个或多个PCR处于预期状态,则该数据结构被馈送到TPM中以解封某些秘密。在其他情况下,也可以使用非TPM保护器。
卷主密钥(VMK)720可以由VTPM状态725解封。VTPM状态725可以由KP 705内的TK 710加密。在一些情况下,VMK 720可以是Bitlocker卷主密钥,并且可以被标记为低价值秘密。
KP 700的每个字段或块也可以根据其加密的内容来描述,诸如加密(密钥,数据)速记:
VMDDISK加密(FVEK,ClearText disk data)
FVEKDISK加密(VMK,FVEK)
VMKDISK加密(VMK)
VTPM.DISK加密(TK,VTPM)
TKDISK加密(KP,TK)
KP KP与VM相关联,而可信应用实际上永远不会看到
它。KP转到KMS,KMS对其进行解密并且将TK
返回到可信应用(经由上述瞄准机制)。TK解密
vTPM,vTPM解封VMK,以产生FVEK。
在一个示例中,KP 405,VTPM状态415、VMK 420和VMD 430可以是被存储在磁盘上的数据。VTPM状态415可以在创建VTPM时初始化,并且可以被确保是唯一的。对于运行时唯一性,例如所生成的秘密或受保护数据的运行时唯一性,VTPM依赖于安全内核向其提供的RNG的安全性。在可信应用使用解密的TK 710解密VTPM状态415之后,访问VMD 730的其余操作可以与在物理机器与物理TPM之间执行的操作相同或类似。这些操作可以包括VTPM执行VSM的测量,使用VTPM测量来解封VMK(导致向操作系统加载器提供FVEK 725),并且操作系统使用FVEK725来解密VMD 730。
为了启动可信应用,客户端650可以请求和/或接收数据结构700。客户端650可以将KP 705或整个数据结构700发送到TPH 150(或者在一些实现中,发送到HGS 150a),TPH150可以与KMS 115通信以解密TK 710。然后TPH可以利用IDK_pub 665在与可信应用640相关联的安全内核635处瞄准TK 710,例如经由下面描述的过程800。安全内核635可以在启动时获取IDK_pub和IDK_pri。安全内核635可以使用其私有密钥675(例如,IDK_pri)来解密并且将TK 710返回到服务器655。然后,服务器655可以将TK 710传输到可信应用640。在一些情况下,安全内核635可以将TK 710直接返回可信应用640。在一些方面,受保护数据可以与TK 710一起被传输到可信应用640,并且由TK 710进行加密。以这种方式,可信应用640可以使用TK 710来解密受保护数据。
图8示出了用于使用TrEE或可信应用的身份密钥将传输密钥和/或由传输密钥加密的受保护数据瞄准TrEE或特定可信应用的示例过程800。更具体地,过程800示出了经由可信应用的安全内核的加密密钥来瞄准可信应用的方式。
云结构主机或主机OS(例如,主机OS 600)执行一系列步骤以便接收传输密钥。云结构主机可以首先在操作602处获取TrEE健康证书(THC),例如围绕与TrEE或可信应用相关联的安全内核的加密身份密钥(IDK_E)所构建的,诸如根据上面参考图4B描述的过程。在一个方面,操作602可以包括由主机在引导时创建包含IDK_E的公共版本的证明日志(TCG日志),IDK_E的私有部分存在于与可信应用相关联的VSM安全内核(SK)中。可以将证明日志呈现给证明服务(AS)。AS可以检查证明日志并且向主机发布围绕IDK_E(例如,非对称密钥的公共部分)构建的THC。在一些方面,类似于IDK_E,还可以创建“签名身份密钥”(IDK_S)并且IDK_S可以具有围绕它构建的单独的THC,如将在下面参考图9更详细地描述的。如下文所描述的,可以使用IDK_E或IDK_S构建密钥传输问题的解决方案。
当需要加载新的屏蔽VM时,主机在操作804处获取VM的KP,并且启动与TPH(例如,TPH 150)的对话,其目标是向VMSP可信应用中注入由KP加密的TK。
为了交换TK的KP,在操作806处,主机可以向诸如TPH 150等TPH呈现KP和“可信应用身份”以及THC。在操作808处,云结构主机也可以启动具有从KP(KPSID)导出的“会话ID”的可信应用或TrEE。在一些方面,所接收的KP将通过在其上创建SHA-2散列或利用其他单向函数来形成会话ID值的基础。TPH可以在操作822处检查THC,并且在操作824处与KMS(诸如KMS 115)或拥有的其他实体或者可以访问受保护数据和/或KP的解密密钥的其他实体通信,来解密KP以访问TK。在操作826处,TPH可以使用特殊的加密结构以利用计算出的KPSID来瞄准可信应用,例如,如上面参考过程500所述。
请求者或客户端650可以从TPH接收响应,并且将其转发到具有给定KPSID的可信应用。在操作810处,可信应用或服务器可以要求VSM安全内核解密响应并且将其返回给TK。安全内核检查响应,在操作812处验证它是否瞄准可信应用类型和可信应用的会话ID,并且如果存在匹配,则在操作818处仅返回密钥。这样,如果TPH响应在错误的手中结束,则在密码学上不可能理解。在接收到密钥时,主机可以在操作820处解密密钥并且将其提供给TrEE,此时,过程800可以结束。
图9示出了用于使用安全内核的签名密钥将传输密钥和/或由传输密钥加密的受保护数据瞄准可信应用的另一示例过程900。更具体地,过程900示出了通过由安全内核的签名密钥认证的可信应用的加密密钥来瞄准可信应用的方式。
过程800示出了如何通过在所有可信应用之间共享的身份加密密钥来在可信应用处间接地瞄准响应。但是,如果TrEE具有可证明的身份签名密钥,则也可以使用另一种方法。这里,每个可信应用可以生成自己的加密密钥对,并且使用IDK_S使安全内核验证该对的公钥部分。注意,这样的验证还必须以密码方式将密钥绑定到可信应用类型和可信应用的会话ID:
Key_certification=σIDK_S(Trustlet_Encryption_Key_Pub,
Trustlet_Type,Session_ID)
其中σIDK_S表示其输入()的串联,后面是在这些输入上使用给定密钥的签名。
在这种情况下,请求者向TPH呈现可信应用的密钥以及THC和密钥证明,并且TPH通过将传输密钥加密到可信应用的加密密钥来进行响应,这与过程800在操作822和824处不同。
在一些方面,还可以在密钥认证中使用或指示“安全版本号”(SVN)以防止其他类型的攻击以确保TrEE不是较旧且可能易受攻击的版本。在某些情况下,当证明安全内核但内部可信应用未被证明时(例如,在已经完成证明之后,可信应用按需求加载)时,包括可信应用的SVN可以指示TPH 150拒绝瞄准较旧的易受攻击的可信应用,即使THC没问题。
过程800和900的两种方法之间的一个区别是谁强制执行可信应用或TrEE ID、会话ID和传输密钥之间的绑定:在过程800中,它是安全内核,并且在过程900中,它是TPH150。另一主要区别在于如何以加密方式构建响应。在先前的情况下,它瞄准是安全内核,而安全内核又决定允许哪个可信应用看到它,在这种情况下,响应直接瞄准可信应用,其中可信应用的密钥由安全内核的密钥认证。
在一些方面,可以实现上述技术以为容器提供完全凭证隔离。基本问题是相同的,因此容器可以从其主机请求凭证。然后,主机可以代表容器从某个KMS请求凭证。如果请求的凭证未加密地返回主机(例如,凭证按需求到达,并且不是容器映像的一部分),则会导致“延迟凭证绑定”。该绑定很有价值但不等于凭证隔离,因此如果主机被泄露,则凭证被公开。
在一个实施例中,一种计算系统包括:
处理器;以及
存储器,其通信地耦合到处理器的,该存储器存储指令,该指令在由处理器执行时使计算系统执行以下操作:
接收来自与嵌套TrEE相关联的潜在不可信请求者的针对受保护数据的请求和安全内核的证明声明,其中嵌套TrEE包括在安全内核之上运行的可信应用,其中可信应用与可信应用ID相关联;
利用从证明声明导出的第二加密密钥对传输加密密钥进行加密;
取回受保护数据;
利用传输加密密钥和认证标签加密受保护数据,其中认证标签将请求者与可信应用ID绑定;以及
向请求者提供经加密的传输加密密钥、经加密的受保护数据和经加密的认证标签。
2.根据权利要求1的计算系统,其中可信应用ID包括可信应用类型和会话ID。2.根据权利要求1的计算系统,其中
在一个实施例中,第二加密密钥包括安全内核加密密钥。
在一个实施例中,解密经加密的受保护数据需要与安全内核加密密钥相对应的私有安全内核加密密钥。
在一个实施例中,指令包括附加指令,其在由处理器执行时引起计算系统执行以下操作:
将可信应用ID与授权可信应用ID列表进行比较;以及
仅在可信应用ID与授权可信应用ID列表相关联的情况下,才使用传输加密密钥和认证标签加密受保护数据。
在一个实施例中,一种用于向嵌套可信执行环境(TrEE)递送受保护数据的方法,嵌套可信执行环境包括在安全内核之上运行的可信应用,其中可信应用和安全内核都与潜在不可信请求者相关联,方法包括:
由目标协议头部接收来自与嵌套TrEE相关联的潜在不可信请求者的针对受保护数据的请求和安全内核的证明声明,其中可信应用与可信应用ID相关联;
利用从证明声明导出的第二加密密钥加密传输加密密钥;
由目标协议头部取回受保护数据;
利用传输加密密钥和认证标签加密受保护数据,其中认证标签将请求者与可信应用ID绑定;以及
向请求者提供经加密的传输加密密钥、经加密的受保护数据和经加密的认证标签。
在一个实施例中,可信应用ID包括可信应用类型和会话ID。
在一个实施例中,第二加密密钥包括安全内核加密密钥。
在一个实施例中,解密经加密的受保护数据需要与安全内核加密密钥相对应的私有安全内核加密密钥。
在一个实施例中,方法还包括:
由潜在不可信请求者接收经加密的传输加密密钥和认证的加密的受保护数据;以及
由潜在不可信请求者向安全内核发送经加密的传输加密密钥和经认证的加密受保护数据,其中安全内核使用与第二加密密钥相对应的私有第二加密密钥来解密传输密钥并且使用解密的传输密钥来解密受保护数据。
在一个实施例中,由潜在不可信请求者向安全内核发送经加密的传输加密密钥和经认证的加密受保护数据包括:向可信应用发送经加密的传输加密密钥和经认证的加密受保护数据,其中可信应用将经加密的传输加密密钥和经认证的加密受保护数据转发到安全内核。
在一个实施例中,安全内核基于可信应用类型和会话ID来确认经认证的加密受保护数据用于可信应用,并且基于可信应用类型和会话ID向可信应用发送经解密的受保护数据。
在一个实施例中,受保护数据包括封装密钥。
在一个实施例中,方法还包括:
由目标协议头部将可信应用ID与授权可信应用ID列表进行比较;以及
仅在可信应用ID与授权可信应用ID列表相关联的情况下,才由目标协议头部使用传输加密密钥和认证标签加密受保护数据。
在一个实施例中,一种计算机可读存储介质包括用于向嵌套可信执行环境(TrEE)递送受保护数据的指令,嵌套可信执行环境包括在安全内核之上运行的可信应用,介质包括指令,其当在计算机系统上执行时使计算机系统至少进行以下操作:
接收来自与嵌套TrEE相关联的潜在不可信请求者的针对受保护数据的请求和安全内核的证明声明,其中可信应用与可信应用ID相关联;
利用从证明声明导出的第二加密密钥加密传输加密密钥;
取回受保护数据;
利用传输加密密钥和认证标签加密受保护数据,其中认证标签将请求者与可信应用ID绑定;以及
向请求者提供经加密的传输加密密钥、经加密的受保护数据和经加密的认证标签。
在一个实施例中,可信应用ID包括可信应用类型和会话ID。
在一个实施例中,第二加密密钥包括安全内核加密密钥。
在一个实施例中,解密加密的受保护数据需要与安全内核加密密钥相对应的私有安全内核加密密钥。
在一个实施例中,受保护数据包括封装密钥。
在一个实施例中,指令还包括当在计算系统上执行时使计算系统至少进行以下操作的指令:
将可信应用ID与授权可信应用ID列表进行比较;以及
仅当可信应用ID与授权可信应用ID列表相关联时,才使用传输加密密钥和认证标签加密受保护数据。
如下所述,上述技术可以在一个或多个计算设备或环境上实现。图10描绘了其中可以实现本文中描述的一些技术的示例性通用计算环境,例如,其可以包含请求者120、TrEE 140、TPH 150、主机OS600、AS 424、KMS 115中的一个或多个。计算系统环境1002仅是合适的计算环境的一个示例,并且不旨在对本公开的主题的使用范围或功能提出任何限制。计算环境1002也不应当被解释为具有与示例操作环境1002中示出的任一组件或其组合相关的任何依赖性或要求。在一些实施例中,各种所描绘的计算元件可以包括被配置为实例化本公开的特定方面的电路。例如,本公开中使用的术语电路可以包括被配置为通过固件或开关来执行功能的专用硬件组件。在其他示例实施例中,术语电路可以包括通过包含可操作以执行功能的逻辑的软件指令来配置的通用处理单元、存储器等。在电路包括硬件和软件的组合的示例实施例中,实现者可以编写包含逻辑的源代码,并且源代码可以被编译成可以由通用处理单元处理的机器可读代码。由于本领域技术人员可以理解,现有技术已经发展到硬件、软件或硬件/软件的组合之间几乎没有差异的程度,因此选择硬件与软件来实现特定功能是一种留给实施者的设计选择。更具体地,本领域技术人员可以理解,软件过程可以转换为等效的硬件结构,并且硬件结构本身可以转换为等效的软件过程。因此,硬件实现与软件实现的选择是设计选择之一,并且留给实现者。
计算机1002(其可以包括移动设备或智能电话、平板电脑、膝上型电脑、台式计算机或联网设备的集合、云计算资源等中的任何一种)通常包括各种计算机可读介质。计算机可读介质可以是可以由计算机1002访问的任何可用介质,并且包括易失性和非易失性介质、可移动和不可移动介质。系统存储器1022包括易失性和/或非易失性存储器形式的计算机存储介质,诸如只读存储器(ROM)1023和随机存取存储器(RAM)1060。包含有助于在计算机1002内的元件之间传送信息的基本例程(例如在启动期间)的基本输入/输出系统1024(BIOS)通常被存储在ROM 1023中。RAM 1060通常包含立即可访问和/或当前正在由处理单元1059操作的数据和/或程序模块。作为示例而非限制,图10示出了操作系统1025、应用程序1026、包括TrEE瞄准应用1065的其他程序模块1027、和程序数据1028。
计算机1002还可以包括其他可移动/不可移动的易失性/非易失性计算机存储介质。仅作为示例,图10示出了从不可移动的非易失性磁介质读取或向其写入的硬盘驱动器1038、从可移动的非易失性磁盘1054读取或向其写入的磁盘驱动器1039、以及从诸如CDROM或其他光学介质等可移动的非易失性光盘1053读取或向其写入的光盘驱动器1004。可以在示例操作环境中使用的其他可移动/不可移动的易失性/非易失性计算机存储介质包括但不限于磁带盒、闪存卡、数字通用盘、数字录像带、固态RAM、固态ROM等。硬盘驱动器1038通常通过诸如接口1034等不可移动存储器接口连接到系统总线1021,并且磁盘驱动器1039和光盘驱动器1004通常通过诸如接口1035或1036等可移动存储器接口连接到系统总线1021。
上面讨论并且在图10中示出的驱动器及其相关联的计算机存储介质为计算机1002提供计算机可读指令、数据结构、程序模块和其他数据的存储。例如,在图10中,硬盘驱动器1038被示出为存储操作系统1058、应用程序1057、其他程序模块1056和程序数据1055。注意,这些组件可以与操作系统1025、应用程序1026、其他程序模块1027和程序数据1028相同或不同。操作系统1058、应用程序1057、其他程序模块1056和程序数据1055在这里被给予不同的数字以说明它们至少是不同的副本。用户可以通过诸如键盘1051和通常称为鼠标、轨迹球或触摸板的指点设备1052等输入设备向计算机1002中输入命令和信息。其他输入设备(未示出)可以包括:麦克风、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪、视网膜扫描器等。这些和其他输入设备通常通过耦合到系统总线1021的用户输入接口1036连接到处理单元1059,但是可以通过诸如并行端口、游戏端口或通用串行总线(USB)等其他接口来与总线结构连接。显示器1042或其他类型的显示设备也经由接口(诸如视频接口1032)连接到系统总线1021。除了显示器之外,计算机还可以包括可以通过输出外围接口1033连接的其他外围输出设备,诸如扬声器1044和打印机1043。
计算机1002可以使用到一个或多个远程计算机(诸如远程计算机1046)的逻辑连接在联网环境中操作。远程计算机1046可以是个人计算机、服务器、路由器、网络PC、对等设备或其他公共网络节点,并且通常包括上面关于计算机1002描述的很多或所有元件,尽管图10中仅示出了存储器存储设备1047。图10中描绘的逻辑连接包括局域网(LAN)1045和广域网(WAN)1049,但是也可以包括其他网络。这种网络环境在办公室、企业范围的计算机网络、内联网、因特网和云计算资源中很常见。
当在LAN网络环境中使用时,计算机1002通过网络接口或适配器1037连接到LAN1045。当在WAN网络环境中使用时,计算机1002通常包括调制解调器1005或用于通过诸如因特网等WAN 1049建立通信的其他装置。可以是内置的或外置的调制解调器1005可以经由用户输入接口1036或其他适当的机制连接到系统总线1021。在联网环境中,相对于计算机1002或其部分描述的程序模块可以存储在远程存储器存储设备中。作为示例而非限制,图10将远程应用程序1048示出为驻留在存储器设备1047上。可以理解,所示出的网络连接是示例的,并且可以使用在计算机之间建立通信链路的其他手段。
在一些方面,其他程序1027可以包括包含如上所述的功能的TrEE瞄准组件或应用1065。在一些情况下,TrEE瞄准应用1065可以执行过程300、400、500、800和/或900的一些或所有操作。
前面部分中描述的每个过程、方法和算法可以在由一个或多个计算机或计算机处理器执行的代码模块中实施,并且完全或部分地通过这样的代码模块来自动化。这些代码模块可以被存储在任何类型的非暂态计算机可读介质或计算机存储设备上,诸如硬盘驱动器、固态存储器、光盘等。过程和算法可以部分或全部地在专用电路中实现。所公开的过程和过程步骤的结果可以持久地或以其他方式被存储在任何类型的非暂态计算机存储装置中,诸如例如易失性或非易失性存储装置。上述各种特征和过程可以彼此独立地使用,或者可以以各种方式组合。所有可能的组合和子组合都旨在落入本公开的范围内。另外,在一些实现中可以省略某些方法或过程框。本文中描述的方法和过程也不限于任何特定顺序,并且与其相关的块或状态可以以其他适当的顺序执行。例如,所描述的块或状态可以以不同于具体公开的顺序的顺序执行,或者多个块或状态可以在单个块或状态中组合。示例块或状态可以以串行、并行或以某种其他方式执行。可以向所公开的示例实施例添加块或状态或从其中移除块或状态。本文中描述的示例系统和组件可以与所描述的不同地配置。例如,与所公开的示例实施例相比,可以添加、移除或重新布置元素。
还应当理解,各种项目被示出为在使用的同时存储在存储器中或存储在存储装置上,并且这些项目或其部分可以在存储器与其他存储设备之间传送以用于存储器管理和数据完整性的目的。或者,在其他实施例中,一些或所有软件模块和/或系统可以在另一设备上的存储器中执行,并且经由计算机间通信与所示的计算系统通信。此外,在一些实施例中,系统和/或模块中的一些或全部可以以其他方式实现或提供,诸如至少部分以固件和/或硬件,包括但不限于一个或多个专用集成电路(ASIC)、标准集成电路、控制器(例如,通过执行适当的指令,并且包括微控制器和/或嵌入式控制器)、现场可编程门阵列(FPGA)、复杂可编程逻辑器件(CPLD)等。一些或所有模块、系统和数据结构也可以存储在要由适当的驱动器或经由适当的连接来读取的计算机可读介质上(例如,作为软件指令或结构化数据),诸如硬盘、存储器、网络或便携式媒体物品。出于本说明书和权利要求的目的,短语“计算机可读存储介质”及其变体不包括波、信号和/或其他暂态和/或无形通信介质。系统、模块和数据结构还可以作为所生成的数据信号(例如,作为载波或其他模拟或数字传播信号的一部分)在各种计算机可读传输介质上传输,包括基于无线和基于有线/电缆的介质,并且可以采用各种形式(例如,作为单个或多路复用模拟信号的一部分,或者作为多个离散数字分组或帧)。在其他实施例中,这种计算机程序产品也可以采用其他形式。因此,本公开可以用其他计算机系统配置来实践。
除非另有明确说明或者在所使用的上下文中以其他方式理解,否则本文中使用的诸如“可以(can)”、“可以(could)”、“可能(might)”、“可以(may)”、“例如(e.g.)”等条件语言通常旨在表达某些实施例包括而其他实施例不包括某些特征、元素和/或步骤。因此,这种条件语言通常不旨在暗示一个或多个实施例以任何方式需要特征、元素和/或步骤,也不旨在暗示一个或多个实施例必须包括用于决定(无论是否有作者输入或提示)这些特征、元素和/或步骤是否被包括在任何特定实施例中或将在任何特定实施例中执行的逻辑。术语“包括(comprising)”、“包括(including)”、“具有(having)”等是同义的并且以开放式方式包含性地使用,并且不排除其他元素、特征、动作、操作等。此外,术语“或”以其包含性意义(而不是以其排他性的意义)使用,因此当使用时,例如,为了连接元素列表,术语“或”表示列表中的一个、一些或所有元素。
虽然已经描述了某些示例实施例,但是这些实施例仅作为示例呈现,并且不旨在限制本文中公开的发明的范围。因此,前面的描述中的任何内容都不旨在暗示任何特定的特征、特性、步骤、模块或块是必需的或必不可少的。实际上,本文中描述的新颖方法和系统可以以各种其他形式来实施;此外,在不脱离本文中公开的发明的精神的情况下,可以对本文中描述的方法和系统的形式进行各种省略、替换和改变。所附权利要求及其等同物旨在涵盖落入本文中公开的某些发明的范围和精神内的这样的形式或修改。

Claims (15)

1.一种计算系统,包括:
处理器;以及
存储器,所述存储器通信地耦合到所述处理器,所述存储器存储指令,所述指令在由所述处理器执行时使所述计算系统执行以下操作:
接收来自与嵌套TrEE相关联的潜在不可信请求者的针对受保护数据的请求和安全内核的证明声明,其中所述嵌套TrEE包括在所述安全内核之上运行的可信应用,其中所述可信应用与可信应用ID相关联;
利用从所述证明声明导出的第二加密密钥对传输加密密钥进行加密;
取回所述受保护数据;
利用所述传输加密密钥和认证标签加密所述受保护数据,其中所述认证标签将所述请求者与所述可信应用ID绑定;以及
向所述请求者提供经加密的所述传输加密密钥、经加密的所述受保护数据和经加密的认证标签。
2.根据权利要求1所述的计算系统,其中所述可信应用ID包括可信应用类型和会话ID。
3.根据权利要求2所述的计算系统,其中所述第二加密密钥包括安全内核加密密钥。
4.根据权利要求3所述的计算系统,其中解密经加密的所述受保护数据需要与所述安全内核加密密钥相对应的私有安全内核加密密钥。
5.根据权利要求1所述的计算系统,其中所述指令包括附加指令,所述附加指令在由所述处理器执行时使所述计算系统执行以下操作:
将所述可信应用ID与授权可信应用ID列表进行比较;以及
仅在所述可信应用ID与所述授权可信应用ID列表相关联的情况下,才利用所述传输加密密钥和认证标签加密所述受保护数据。
6.一种用于向嵌套可信执行环境(TrEE)递送受保护数据的方法,所述嵌套可信执行环境包括在安全内核之上运行的可信应用,其中所述可信应用和所述安全内核两者都与潜在不可信请求者相关联,所述方法包括:
由目标协议头部接收来自与所述嵌套TrEE相关联的所述潜在不可信请求者的针对受保护数据的请求和所述安全内核的证明声明,其中所述可信应用与可信应用ID相关联;
利用从所述证明声明导出的第二加密密钥加密传输加密密钥;
由所述目标协议头部取回所述受保护数据;
利用所述传输加密密钥和认证标签加密所述受保护数据,其中所述认证标签将所述请求者与所述可信应用ID绑定;以及
向所述请求者提供经加密的所述传输加密密钥、经加密的所述受保护数据和经加密的认证标签。
7.根据权利要求6所述的方法,其中所述可信应用ID包括可信应用类型和会话ID。
8.根据权利要求7所述的方法,其中所述第二加密密钥包括安全内核加密密钥。
9.根据权利要求8所述的方法,其中解密经加密的所述受保护数据需要与所述安全内核加密密钥相对应的私有安全内核加密密钥。
10.根据权利要求7所述的方法,还包括:
由所述潜在不可信请求者接收经加密的所述传输加密密钥和经认证的加密受保护数据;以及
由所述潜在不可信请求者向所述安全内核发送经加密的所述传输加密密钥和所述经认证的加密受保护数据,其中所述安全内核利用与所述第二加密密钥相对应的第二私有加密密钥来解密所述传输密钥并且利用经解密的所述传输密钥来解密所述受保护数据。
11.根据权利要求10所述的方法,其中由所述潜在不可信请求者向所述安全内核发送经加密的所述传输加密密钥和所述经认证的加密受保护数据包括:向所述可信应用发送经加密的所述传输加密密钥和所述经认证的加密受保护数据,其中所述可信应用将经加密的所述传输加密密钥和所述经认证的加密受保护数据转发到所述安全内核。
12.根据权利要求10所述的方法,其中所述安全内核基于所述可信应用类型和所述会话ID来确认所述经认证的加密受保护数据是针对所述可信应用,并且基于所述可信应用类型和所述会话ID向所述可信应用发送经解密的所述受保护数据。
13.根据权利要求6所述的方法,其中所述受保护数据包括封装密钥。
14.根据权利要求6所述的方法,还包括:
由所述目标协议头部将所述可信应用ID与授权可信应用ID列表进行比较;以及
仅在所述可信应用ID与所述授权可信应用ID列表相关联的情况下,才由所述目标协议头利用所述传输加密密钥和认证标签加密所述受保护数据。
15.一种计算机可读存储介质,包括用于向嵌套可信执行环境(TrEE)递送受保护数据的指令,所述嵌套可信执行环境包括在安全内核之上运行的可信应用,所述介质包括指令,所述指令当在计算机系统上被执行时使所述计算机系统至少进行以下操作:
接收来自与所述嵌套TrEE相关联的潜在不可信请求者的针对受保护数据的请求和所述安全内核的证明声明,其中所述可信应用与可信应用ID相关联;
利用从所述证明声明导出的第二加密密钥加密传输加密密钥;
取回所述受保护数据;
利用所述传输加密密钥和认证标签加密所述受保护数据,其中所述认证标签将所述请求者与所述可信应用ID绑定;以及
向所述请求者提供经加密的所述传输加密密钥、经加密的所述受保护数据和经加密的认证标签。
CN201780084684.XA 2017-01-26 2017-12-20 使用加密密钥寻址可信执行环境 Active CN110249332B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/417,060 2017-01-26
US15/417,060 US10897459B2 (en) 2017-01-26 2017-01-26 Addressing a trusted execution environment using encryption key
PCT/US2017/067460 WO2018140169A1 (en) 2017-01-26 2017-12-20 Addressing a trusted execution environment using encryption key

Publications (2)

Publication Number Publication Date
CN110249332A true CN110249332A (zh) 2019-09-17
CN110249332B CN110249332B (zh) 2023-05-23

Family

ID=60991590

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780084684.XA Active CN110249332B (zh) 2017-01-26 2017-12-20 使用加密密钥寻址可信执行环境

Country Status (18)

Country Link
US (1) US10897459B2 (zh)
EP (1) EP3574434B1 (zh)
JP (1) JP2020506612A (zh)
KR (1) KR102443857B1 (zh)
CN (1) CN110249332B (zh)
AU (1) AU2017396530B2 (zh)
BR (1) BR112019013398A2 (zh)
CA (1) CA3048894C (zh)
CL (1) CL2019002027A1 (zh)
CO (1) CO2019007876A2 (zh)
IL (1) IL268006B (zh)
MX (1) MX2019008694A (zh)
NZ (1) NZ754543A (zh)
PH (1) PH12019550116A1 (zh)
RU (1) RU2756048C2 (zh)
SG (1) SG11201905456UA (zh)
WO (1) WO2018140169A1 (zh)
ZA (1) ZA201903701B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112597458A (zh) * 2020-12-22 2021-04-02 北京八分量信息科技有限公司 基于可信认证进行身份认证的方法、装置及相关产品

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BR112015026372B8 (pt) * 2013-04-18 2024-02-15 Facecon Co Ltd Dispositivo de comunicação que reforça a segurança para um arquivo armazenado em uma unidade virtual
US10897360B2 (en) 2017-01-26 2021-01-19 Microsoft Technology Licensing, Llc Addressing a trusted execution environment using clean room provisioning
US10972265B2 (en) * 2017-01-26 2021-04-06 Microsoft Technology Licensing, Llc Addressing a trusted execution environment
US10771439B2 (en) * 2017-06-28 2020-09-08 Microsoft Technology Licensing, Llc Shielded networks for virtual machines
US10521360B1 (en) 2017-10-18 2019-12-31 Google Llc Combined integrity protection, encryption and authentication
US10509914B1 (en) * 2017-10-27 2019-12-17 Vmware, Inc. Data policy implementation in a tag-based policy architecture
US11475147B2 (en) 2018-02-20 2022-10-18 International Business Machines Corporation Implementing policy-based container-level encryption
US11095652B2 (en) * 2018-02-20 2021-08-17 International Business Machines Corporation Implementing a separation of duties for container security
US11443072B2 (en) 2018-06-29 2022-09-13 Microsoft Technology Licensing, Llc Peripheral device with resource isolation
US11126757B2 (en) 2018-10-19 2021-09-21 Microsoft Technology Licensing, Llc Peripheral device
KR102151904B1 (ko) * 2019-03-26 2020-09-03 알리바바 그룹 홀딩 리미티드 블록체인 네트워크에서 사용을 위한 필드 프로그래밍가능 게이트 어레이 기반 신뢰 실행 환경
US11347875B2 (en) * 2020-01-28 2022-05-31 Intel Corporation Cryptographic separation of memory on device with use in DMA protection
US11469890B2 (en) * 2020-02-06 2022-10-11 Google Llc Derived keys for connectionless network protocols
US11888972B2 (en) 2020-02-26 2024-01-30 Red Hat, Inc. Split security for trusted execution environments
US11630683B2 (en) 2020-02-26 2023-04-18 Red Hat, Inc. Low latency launch for trusted execution environments
US11620411B2 (en) 2020-03-24 2023-04-04 Red Hat, Inc. Elastic launch for trusted execution environments
CN113722726B (zh) * 2021-02-09 2024-04-05 京东科技控股股份有限公司 基于软硬件协同的加解密方法及系统
KR102580570B1 (ko) * 2021-10-15 2023-09-21 네이버클라우드 주식회사 클라우드 서버 내 가상 서버의 복호화 방법 및 이를 이용하는 클라우드 서버
CN114036527B (zh) * 2021-11-04 2023-01-31 云海链控股股份有限公司 一种代码注入方法、代码运行端、代码注入端及相关设备
CN114553590B (zh) * 2022-03-17 2023-08-22 抖音视界有限公司 数据传输方法及相关设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101019369A (zh) * 2004-07-14 2007-08-15 英特尔公司 利用在线服务向装置传递直接证明私有密钥的方法
CN103051451A (zh) * 2011-12-12 2013-04-17 微软公司 安全托管执行环境的加密认证
US20150319160A1 (en) * 2014-05-05 2015-11-05 Microsoft Corporation Secure Management of Operations on Protected Virtual Machines

Family Cites Families (64)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7437771B2 (en) * 2004-04-19 2008-10-14 Woodcock Washburn Llp Rendering protected digital content within a network of computing devices or the like
US8538028B2 (en) 2006-11-20 2013-09-17 Toposis Corporation System and method for secure electronic communication services
US8059820B2 (en) * 2007-10-11 2011-11-15 Microsoft Corporation Multi-factor content protection
EP2335401A4 (en) * 2008-10-10 2016-12-07 ERICSSON TELEFON AB L M (publ) SERVICE NODES, CONTROL PROCEDURES, USER NODES AND CONTROL PROCEDURES THEREFOR
US8321956B2 (en) * 2009-06-17 2012-11-27 Microsoft Corporation Remote access control of storage devices
WO2011084117A1 (en) 2009-12-18 2011-07-14 Nokia Corporation Credential transfer
US8478996B2 (en) 2009-12-21 2013-07-02 International Business Machines Corporation Secure Kerberized access of encrypted file system
US9087200B2 (en) * 2009-12-22 2015-07-21 Intel Corporation Method and apparatus to provide secure application execution
WO2012122994A1 (en) 2011-03-11 2012-09-20 Kreft Heinz Off-line transfer of electronic tokens between peer-devices
US10496824B2 (en) * 2011-06-24 2019-12-03 Microsoft Licensing Technology, LLC Trusted language runtime on a mobile platform
US8862767B2 (en) * 2011-09-02 2014-10-14 Ebay Inc. Secure elements broker (SEB) for application communication channel selector optimization
US9319884B2 (en) * 2011-10-27 2016-04-19 T-Mobile Usa, Inc. Remote unlocking of telecommunication device functionality
US9055443B2 (en) * 2011-10-27 2015-06-09 T-Mobile Usa, Inc. Mobile device-type locking
WO2013127521A1 (de) 2012-02-28 2013-09-06 Giesecke & Devrient Gmbh Verfahren zur computer-zugangskontrolle mittels mobilem endgerät
US9172538B2 (en) * 2012-04-20 2015-10-27 T-Mobile Usa, Inc. Secure lock for mobile device
EP2680487B1 (en) 2012-06-29 2019-04-10 Orange Secured cloud data storage, distribution and restoration among multiple devices of a user
US8874916B2 (en) * 2012-09-28 2014-10-28 Intel Corporation Introduction of discrete roots of trust
US8924727B2 (en) 2012-10-12 2014-12-30 Intel Corporation Technologies labeling diverse content
US9578664B1 (en) * 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9141769B1 (en) 2013-02-08 2015-09-22 Amazon Technologies, Inc. Secure transfer and use of secret material in a shared environment
CN105027494B (zh) 2013-03-14 2018-03-23 英特尔公司 公共云中的受信任的数据处理
US10177915B2 (en) * 2013-03-15 2019-01-08 Ologn Technologies Ag Systems, methods and apparatuses for device attestation based on speed of computation
CN105408913B (zh) 2013-08-21 2019-03-15 英特尔公司 在云中隐私地处理数据
US9405912B2 (en) * 2013-11-14 2016-08-02 Microsoft Technology Licensing, Llc Hardware rooted attestation
US9514317B2 (en) * 2013-12-19 2016-12-06 Intel Corporation Policy-based trusted inspection of rights managed content
WO2015094326A1 (en) 2013-12-20 2015-06-25 Intel Corporation Secure import and export of keying material
EP2887607A1 (en) 2013-12-23 2015-06-24 Orange Migration of assets of a trusted execution environment
KR101891420B1 (ko) * 2013-12-24 2018-08-23 인텔 코포레이션 DaaS를 위한 컨텐츠 보호
US9686077B2 (en) * 2014-03-06 2017-06-20 Microsoft Technology Licensing, Llc Secure hardware for cross-device trusted applications
US9474095B2 (en) 2014-03-26 2016-10-18 Intel IP Corporation Systems, methods, and devices for distributed setup for a device-to-device session
US9411975B2 (en) 2014-03-31 2016-08-09 Intel Corporation Methods and apparatus to securely share data
GB201408539D0 (en) * 2014-05-14 2014-06-25 Mastercard International Inc Improvements in mobile payment systems
US10601978B2 (en) * 2014-06-04 2020-03-24 T-Mobile Usa, Inc. Telecommunication device utilization based on heartbeat communication
US9525668B2 (en) 2014-06-27 2016-12-20 Intel Corporation Face based secure messaging
US9519787B2 (en) * 2014-11-14 2016-12-13 Microsoft Technology Licensing, Llc Secure creation of encrypted virtual machines from encrypted templates
US9940456B2 (en) * 2014-12-16 2018-04-10 Intel Corporation Using trusted execution environments for security of code and data
US9621547B2 (en) * 2014-12-22 2017-04-11 Mcafee, Inc. Trust establishment between a trusted execution environment and peripheral devices
US9860057B2 (en) 2014-12-23 2018-01-02 Intel Corporation Diffie-Hellman key agreement using an M-of-N threshold scheme
FR3031613B1 (fr) * 2015-01-09 2018-04-06 Ingenico Group Procede de traitement d'une transaction a partir d'un terminal de communication.
US10193700B2 (en) 2015-02-27 2019-01-29 Samsung Electronics Co., Ltd. Trust-zone-based end-to-end security
US9860221B2 (en) 2015-03-10 2018-01-02 Intel Corporation Internet of things group formation using a key-based join protocol
US9578008B2 (en) 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
EP3101607A1 (en) * 2015-06-02 2016-12-07 Orange NFC-ENABLED DEVICES FOR & xA;PERFORMING SECURE CONTACTLESS TRANSACTIONS AND USING HCE
US10079677B2 (en) * 2015-06-05 2018-09-18 Apple Inc. Secure circuit for encryption key generation
WO2017004447A1 (en) * 2015-06-30 2017-01-05 Activevideo Networks, Inc. Remotely managed trusted execution environment for digital-rights management in a distributed network with thin clients
US9781016B1 (en) * 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
EP3179690A1 (en) 2015-12-11 2017-06-14 Gemalto Sa Mobile device having trusted execution environment
GB201522244D0 (en) * 2015-12-16 2016-01-27 Nagravision Sa Hardware integrity check
CN108475304B (zh) * 2015-12-29 2021-08-13 华为技术有限公司 一种关联应用程序和生物特征的方法、装置以及移动终端
GB2546740A (en) 2016-01-26 2017-08-02 Worldpay Ltd Electronic payment system and method
US10412191B1 (en) * 2016-03-30 2019-09-10 Amazon Technologies, Inc. Hardware validation
US20170289197A1 (en) 2016-03-31 2017-10-05 Qualcomm Incorporated Transport layer security token binding and trusted signing
US10277407B2 (en) * 2016-04-19 2019-04-30 Microsoft Technology Licensing, Llc Key-attestation-contingent certificate issuance
US10581815B2 (en) * 2016-05-02 2020-03-03 Intel Corporation Technologies for secure mediated reality content publishing
KR102425368B1 (ko) 2016-05-02 2022-07-27 삼성전자주식회사 가상 sim 운용 방법 및 그 장치
CN109075815A (zh) * 2016-08-09 2018-12-21 华为技术有限公司 一种片上系统和处理设备
US10733284B2 (en) 2016-10-06 2020-08-04 Samsung Electronics Co., Ltd. Trusted execution environment secure element communication
US10700865B1 (en) * 2016-10-21 2020-06-30 Sequitur Labs Inc. System and method for granting secure access to computing services hidden in trusted computing environments to an unsecure requestor
KR102604046B1 (ko) 2016-11-28 2023-11-23 삼성전자주식회사 전자 기기의 프로그램 관리 방법 및 장치
US10127409B1 (en) * 2016-12-16 2018-11-13 Square, Inc. Tamper detection system
US10530777B2 (en) 2017-01-24 2020-01-07 Microsoft Technology Licensing, Llc Data unsealing with a sealing enclave
US10419402B2 (en) 2017-01-26 2019-09-17 Microsoft Technology Licensing, Llc Addressing a trusted execution environment using signing key
US10897360B2 (en) 2017-01-26 2021-01-19 Microsoft Technology Licensing, Llc Addressing a trusted execution environment using clean room provisioning
US10972265B2 (en) 2017-01-26 2021-04-06 Microsoft Technology Licensing, Llc Addressing a trusted execution environment

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101019369A (zh) * 2004-07-14 2007-08-15 英特尔公司 利用在线服务向装置传递直接证明私有密钥的方法
CN103051451A (zh) * 2011-12-12 2013-04-17 微软公司 安全托管执行环境的加密认证
US20150319160A1 (en) * 2014-05-05 2015-11-05 Microsoft Corporation Secure Management of Operations on Protected Virtual Machines

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112597458A (zh) * 2020-12-22 2021-04-02 北京八分量信息科技有限公司 基于可信认证进行身份认证的方法、装置及相关产品
CN112597458B (zh) * 2020-12-22 2023-12-01 北京八分量信息科技有限公司 基于可信认证进行身份认证的方法、装置及相关产品

Also Published As

Publication number Publication date
RU2756048C2 (ru) 2021-09-24
SG11201905456UA (en) 2019-08-27
CA3048894A1 (en) 2018-08-02
CL2019002027A1 (es) 2019-12-13
US20180212940A1 (en) 2018-07-26
JP2020506612A (ja) 2020-02-27
AU2017396530B2 (en) 2021-10-21
EP3574434A1 (en) 2019-12-04
WO2018140169A1 (en) 2018-08-02
IL268006A (en) 2019-09-26
IL268006B (en) 2022-01-01
RU2019126625A (ru) 2021-02-26
RU2019126625A3 (zh) 2021-04-08
NZ754543A (en) 2023-03-31
US10897459B2 (en) 2021-01-19
KR20190109419A (ko) 2019-09-25
PH12019550116A1 (en) 2019-12-02
BR112019013398A2 (pt) 2020-03-03
KR102443857B1 (ko) 2022-09-15
MX2019008694A (es) 2019-09-11
CA3048894C (en) 2024-06-04
EP3574434B1 (en) 2021-01-20
ZA201903701B (en) 2020-10-28
AU2017396530A1 (en) 2019-07-04
CN110249332B (zh) 2023-05-23
CO2019007876A2 (es) 2019-07-31

Similar Documents

Publication Publication Date Title
CN110249332A (zh) 使用加密密钥寻址可信执行环境
CN110214440B (zh) 计算系统,传送受保护数据的方法和可读存储介质
CN110249336B (zh) 使用签名密钥对可信执行环境的寻址
WO2022073264A1 (en) Systems and methods for secure and fast machine learning inference in trusted execution environment
CN110235134B (zh) 使用洁净室供应来寻址可信执行环境
NZ754540B2 (en) Addressing a trusted execution environment using signing key

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40008560

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant