CN110249336B - 使用签名密钥对可信执行环境的寻址 - Google Patents
使用签名密钥对可信执行环境的寻址 Download PDFInfo
- Publication number
- CN110249336B CN110249336B CN201780084731.0A CN201780084731A CN110249336B CN 110249336 B CN110249336 B CN 110249336B CN 201780084731 A CN201780084731 A CN 201780084731A CN 110249336 B CN110249336 B CN 110249336B
- Authority
- CN
- China
- Prior art keywords
- trusted application
- key
- protected data
- tree
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本文中描述了用于向与不可信请求者相关联的嵌套可信执行环境(TrEE)递送受保护数据的方法、系统和设备。嵌套TrEE可以包括在安全内核之上运行的可信应用。在一个方面中,定目标协议头或请求者与密钥管理系统或受保护数据的其他存储库之间的其他中介可以接收来自潜在不可信请求者的针对受保护数据的请求、安全内核的证明声明和密钥认证声明。密钥认证声明可以绑定可信应用公共加密密钥和可信应用ID。定目标协议头可以取回受保护数据,并且利用可信应用公共加密密钥对受保护数据加密。定目标协议头然后可以向请求者发送加密的受保护数据。
Description
技术领域
本公开总体上涉及计算设备中的可信和/或隔离执行环境,并且更具体地涉及一个或多个秘密或密钥向可信执行环境中的安全递送。
背景技术
密钥管理系统(KMS)是秘密的存储库。秘密通常具有公共ID、保护值和用于控制谁可以获取该值的策略。在某些情况下,秘密也可以具有到期日期和其他元数据等。在典型的用例中,请求者向KMS认证,建立安全信道,通过提供秘密ID来请求秘密值,并且期望KMS向其返回明文秘密值。通过请求者与KMS之间的安全信道保护该值免受未经授权的窃听和篡改。
如本文中使用的可信执行环境(TrEE)可以包括以下中的任何一个:虚拟安全模式(VSM)可信应用(trustlet)、SGX应用、ARM TrustZone应用或某种其他类似载具(vehicle)。TrEE通常具有一些独特的属性。TrEE通常具有完整的加密堆栈(换言之,可以假定整个频谱中的各种加密原语,从安全随机数生成到使用密钥的散列、加密和签名库的完整菜单)。TrEE通常还具有少数或有限的I/O设施或与之相关联,通常限于其中请求由不可信的“外部世界”发起的请求驱动架构。例如,VSM可信应用可能使用未经认证的远程过程调用(RPC)。TrEE还可能访问TrEE外部不可用的密钥材料或数据。这允许TrEE使用不可信I/O来存储数据,然后将其读回,从而确保防篡改和状态机密性。TrEE通常还具有可证明的代码、配置和密钥材料或与之相关联。特别是,可证明的密钥材料允许TrEE从第三方接收加密到它的消息,并且向第三方签名来自TrEE的消息。
与其他应用一样,使用具有TrEE的KMS可能存在安全限制。因此,可以利用来自具有或在TrEE中的KMS的密钥来改进安全性。
发明内容
本公开的说明性示例包括但不限于方法、系统和各种设备。在一个方面中,用于向与不可信请求者相关联的嵌套可信执行环境(TrEE)递送受保护数据的方法可以至少部分由定目标(targeting)协议头或请求者与密钥管理系统或受保护数据的其他存储库之间的其他中介执行。嵌套TrEE可以包括在安全内核之上运行的可信应用。定目标协议头可以接收来自潜在不可信请求者的针对受保护数据的请求、安全内核的证明声明和密钥认证声明。密钥认证声明可以绑定可信应用公共加密密钥和可信应用ID。定目标协议头可以取回受保护数据,并且利用可信应用公共加密密钥对受保护数据加密。定目标协议头然后可以向请求者发送加密的受保护数据。
下面描述系统和方法的其他特征。特征、功能和优点可以在各种示例中独立地实现,或者可以在其他示例中组合,其进一步的细节可以参考以下描述和附图来看出。
附图说明
下文中将参考附图更全面地描述本公开的实施例,在附图中:
图1A、图1B和图1C描绘了用于在请求者与密钥管理系统之间交换密钥的系统和过程的三个示例。
图2描绘了实现隔离区域或可信执行环境(TrEE)的控制程序监视器的示例图。
图3描绘了用于利用中间定目标协议头向可信TrEE递送受保护数据的示例过程。
图4A和图4B描绘了利用中间定目标协议头向TrEE递送受保护数据的另一示例过程。
图5A和图5B描绘了利用中间定目标协议头向嵌套TrEE递送受保护数据的示例过程。
图6示出了可以实现一个或多个所描述的过程的示例系统。
图7描绘了用于向TrEE安全地递送传送密钥和/或受保护数据的数据结构的示例。
图8描绘了用于基于外部TrEE的加密密钥利用中间定目标协议头向嵌套TrEE递送受保护数据的另一示例过程。
图9描绘了用于基于内部TrEE的加密密钥利用中间定目标协议头向嵌套TrEE递送受保护数据的另一示例过程。
图10描绘了其中可以实现本文中描述的技术的示例通用计算环境。
具体实施方式
本文中描述了用于向计算设备(诸如一个或多个物理或虚拟计算设备)的可信执行环境(TrEE)安全地递送至少一个密钥(例如,签名密钥或加密密钥)或受保护数据/秘密的系统和技术。在一个方面中,可以在密钥请求者与密钥管理系统或拥有受保护数据的实体之间实现中介。中介在本文中可以称为定目标协议头。密钥请求者可以与安全执行环境或TrEE相关联,安全执行环境或TrEE可以包括VSM可信应用、SGX应用、ARM TrustZone应用或某种其他类似载具中的一个或多个。TrEE可以被与请求者隔离。请求者可以请求一个或多个秘密从定目标协议头递送给TrEE或在TrEE内执行的特定可信应用。响应于该请求,定目标协议头可以与密钥管理系统或保存秘密的其他实体通信以获取一个或多个秘密以便向TrEE递送。定目标协议头可以专门以TrEE处的受保护数据为目标,从而使得请求者或攻击者无法访问受保护数据。
在一些方面中,定目标协议头的实现可以否定对请求者与密钥管理系统之间的安全信道的需要。使用本文中描述的TrEE定目标技术的定目标协议头还可以使得可以将一个或多个秘密或数据发送到TrEE或嵌套TrEE(例如,在安全内核之上运行的可信应用),从而使得请求者无法访问秘密/数据。在一些情况下,请求者可能是不可信的或有可能是不可信的,从而使得受保护数据的所有者可能出于各种原因而希望保持受保护数据不被请求者访问。在某些情况下,确定请求者是值得信任的或者确保请求者仍然值得信任可能是困难或麻烦的。假定请求者不受信任,并且将TrEE与请求者隔离,可以否定其中很多问题。这种隔离可以极大地提高针对不同类型的攻击的安全性,并且可以提供其他益处和优点,如下面将更详细描述的。
图1A示出了用于在请求者与密钥管理系统之间交换密钥的示例系统和过程100a。如图所示,与客户端设备或客户端侧110相关联的请求者或请求设备120可以与密钥管理系统或与服务器或服务器侧105相关联的(多个)期望秘密115的持有者通信。请求者120可以从密钥管理系统115请求一个或多个秘密或受保护数据,例如,以访问某些受保护数据,执行一个或多个受保护过程等。请求者120和密钥管理系统(KMS)115可以利用公钥私钥密钥安全系统或本领域已知的其他密钥协议来交换期望的秘密/数据。
在操作125处,请求者120可以首先经由本领域的任何已知技术向KMS 115进行认证并且建立安全通信信道。操作125可以包括利用公钥系统等。接下来,在操作130处,利用经由操作125建立的安全信道,请求者120可以向KMS 115发送对一个或多个秘密/受保护数据的请求。在验证请求之后,在操作135处,KMS 115可以通过安全通信信道向请求者120传输回秘密或请求数据。作为本领域的标准,可以在135处通过安全信道传输秘密/请求数据,而没有安全信道之上的任何附加保护。结果,在操作135处传输的秘密/数据可以被暴露给请求设备120。
图1B示出了用于代表可信执行环境(TrEE)140、飞地或用于指示与请求者120相关联的隔离执行环境的其他项目来在请求者120与KSM 115之间交换一个或多个秘密或受保护数据的示例系统和过程100b。TrEE 140可以与请求者120隔离,从而使得TrEE 140中包含的代码和/或数据可能不被请求者120访问(例如,可读和/或可写)。
图2示出了可信执行环境的示例200,其中计算设备205可以包括逻辑210(例如,代码)和状态信息220,诸如数据。状态信息220可以存储或位于隔离区域215中,诸如可以是未经授权的访问安全的。在一些情况下,隔离区域215内的数据220不能由除了与隔离区域215相关联的逻辑210之外的任何实体直接读取或写入。隔离逻辑210决定它将允许对什么类型或部分的数据220的什么类型的访问。在一个示例中,逻辑210可以允许递增和读取与数据220相关联的值,但是不能以其他方式修改数据220。在另一示例中,逻辑210可以允许使用密钥的加密操作而不允许访问密钥本身的值。在所示的示例中,逻辑或代码210可以在CPM205的一般或可访问区域中;然而,应当理解,在一些情况下,逻辑210也可以位于与状态信息220相同或不同的隔离区域内。
返回系统100b,可以在服务器侧105实现定目标协议头(TPH)150以用作请求者120/TrEE 140与KMS 115之间的中介。协议头可以指代协议处理程序的软件实现,通常面向本身没有指定特定协议的系统。定目标可以是指执行环境的加密定目标。总之,该术语可以指示实现用于取回以TrEE处的响应为目标的秘密的协议的软件和/或硬件。在一些方面中,定目标协议头150可以被实现为虚拟或云资源,例如,其可以在不同的硬件、软件上运行和/或与KMS 115分离。在一些方面中,诸如数据中心等实体可以托管和/或提供定目标协议头150作为服务。定目标协议头150可以执行两个主要功能:1)与KMS115通信/从外部实体获取秘密或受保护数据,以及2)以对请求者120的TrEE 140的响应为目标。作为定目标协议头150的使用的结果,请求者120不需要直接向KMS 115认证。KMS 115向定目标协议头150而不是向请求者120产生其秘密。定目标协议头150的功能是以对请求者120的TrEE 140的响应为目标,从而确保请求者120不能获取秘密/受保护数据的明文。相反,定目标协议头150可以改为代表请求者120本身向KMS 115进行认证,但是可以在使用或不使用请求者120的身份的情况下进行。在一些情况下,定目标协议头150可能需要确信它将返回给请求者120的TrEE 140的秘密将处于“安全手”中。在这种情况下,请求者120可以向定目标协议头150提供关于TrEE 140的状态的可证明信息,该信息可以包括与TrEE 140相关联的可证明密钥材料,可以对其响应进行加密。
在一些情况下,诸如由一个或多个可信应用提供的多个不同过程可以在安全内核内同时操作,其中每个可信应用和安全内核均被认为是TrEE 140(例如,这是嵌套TrEE的示例)。在这种情况下,每个不同的可信应用可以与会话ID、可信应用类型和/或其他ID相关联,其可以用于标识安全内核内的各个可信应用(例如,两者都表示为TrEE 140)。来自定目标协议头150的响应可以被狭窄地以在请求中被标识的TrEE 140内的特定可信应用为目标,如下面将更详细描述的。
在TrEE140定目标的情况下,在请求者120与定目标协议头150之间不存在对安全信道的固有需求,因为请求者120本身不受响应的信任。然而,应当理解,可以经由认证操作160添加请求者120与定目标协议头150之间的安全信道,例如,以保护对请求本身的访问(请求者想要的秘密),这可能导致不良信息公开。在操作160处的认证之后或代替操作160处的认证,在操作155处,代表TrEE 140,请求者120可以向定目标协议头150发送对一个或多个秘密或秘密或受保护数据的请求,例如,以向TrEE递送。在一些方面中,该请求可以与TrEE 140相关联或标识TrEE 140。定目标协议头150可以确定TrEE140是否值得信任。在一个方面中,请求者120的认证可以依赖于一种类型的洁净室供应(clean roomprovisioning)。在另一方面中,认证可依赖于证明。
当请求者120设备例如是全新的并且合理地假定为没有恶意软件时,可以使用洁净室供应。下面将参考图3更详细地描述用于使用洁净室供应向与请求者相关联的TrEE递送受保护数据的示例过程。下面将参考图4更详细地描述用于使用证明(例如,证明服务)向与请求者相关联的TrEE递送受保护数据的示例过程。
在任一种情况下,一旦TPH 150已经认证了请求者120,和/或建立了TrEE 140的可信度,TPH 150就可以在操作165处向KMS 115认证并且与KMS 115建立安全通信信道。在一些方面中,KMS 115可以包括或者与保存一个或多个秘密或受保护数据(诸如许可、许可、密码等)的任何实体相关联。在与KMS 115建立安全通信信道时,TPH 150可以在操作170处发送针对受保护数据的请求。KMS 115可以在操作175处返回所请求的秘密。在操作180处,TPH150可以在TrEE 140处将(多个)秘密或受保护数据作为目标并且发送一个或多个秘密。
在一些方面中,在操作180处向TrEE 140递送受保护数据可以利用以下数据结构中的至少一个:加密身份密钥,其可以围绕TrEE身份或证明过程或证明日志构建;或者在嵌套TrEE示例中(例如,在安全内核之上运行的可信应用),签名身份密钥,其也可以围绕证明过程构建,如下面将更详细描述的。
图1C示出了用于代表可信执行环境(TrEE)140在请求者120与KMS 115之间安全地交换一个或多个秘密或受保护数据的另一示例系统和过程100c。系统100c可以是如上所述的系统100b的特定示例。在系统100c中,定目标协议头150可以是主机监护服务(HGS)150a。在系统100c中,HGS 150a可以例如从云主机185或可以实例化或以其他方式控制TrEE 140的其他实体接收密钥保护器190。在系统100c中,请求者120可以与例如由云主机185提供的虚拟机相关联。KP 190可以包含在于2014年9月9日提交的题为“Secure Transport ofEncrypted Virtual Machines with Continuous Owner Access”的相关美国专利申请#14/481,399中描述的密钥保护器的一个或多个方面。KP 190可以包含TrEE 140可用的一个或多个秘密,诸如传送密钥。KP 190实质上可以包装传送密钥,从而使得只有一组监护人(guardian)才能访问它,这些监护人被授权访问传送密钥。KP 190可以被加密,从而使得为了读取KP 190的内容并且取回传送密钥,在操作165处向KMS 115认证和与KMS 115建立安全通信信道之后,在操作170a处,HGS 150a可以从KMS 115请求解密密钥。作为响应,KMS115可以在操作175a处向HGS发送解密密钥。HGS 150a然后可以使用解密密钥来对KP 190解密,并且取回一个或多个秘密(例如,传送密钥),以发送到TrEE 140。然后,在操作180处,HGS 150a可以经由将在下面更详细描述的一种或多种寻址技术将秘密或传送密钥发送到TrEE。在一些方面中,可以基于来自KP 190的数据来对TrEE 140寻址。
应当理解,在一些情况下,HGS 150a和KMS 115可以是一个实体,从而使得不需要在它们之间建立通信信道,并且不需要认证。
在系统100c中,不需要请求者120与HGS 150a之间的认证。只要云或结构主机180是健康的,哪个结构主机与HGS 150a通信并不重要,只要它是结构中的服务器之一(这可以经由证明来验证)。
图3示出了用于向请求者的TrEE递送受保护数据的示例过程300,其中假定请求者是可信的(例如,没有恶意软件)。如本文中使用的,框中的虚线或任何图中的操作指示操作是可选的,从而使得可以排除它。过程300可以利用与TrEE相关联的加密密钥,诸如由TrEE或发起TrEE的请求者的安全内核生成的公钥私钥对(例如,非对称密钥对)的公钥。在其他情况下,加密密钥可以是对称的。如本文中使用的,安全内核可以指代与更高级别的安全性相关联的计算设备的任何部分,如本领域中已知的。
在这种情况下,可以在操作302处启动或发起TrEE 140,并且可以在操作304处在TrEE 140内部生成一个或多个私钥(例如,私有加密密钥)和相应的公钥。然后,在操作306处,可以向TPH 150注册相应公钥并且将相应公钥与请求者和/或请求设备的身份相关联。在一些情况下,TrEE 140的公钥只需要注册一次,从而使得在公钥注册之后,过程300可以在操作308处开始。随后,请求者120可以在操作308处经由任何已知的认证技术向TPH 150认证。TPH 150然后可以查找用于向TrEE 140递送响应的公钥,例如,基于TrEE 140的注册公钥,该公钥可以与请求者120的身份相关联。该过程可以被称为“洁净室”供应,因为它只能在请求者120处于已知良好或可信赖状态时安全地完成。在该示例中,不需要其中请求者120向TPH 150发送TrEE健康证书(THC)的基于证书的认证,因为请求者120是值得信任的。在缺乏普遍存在的证明服务的情况下,这是验证TPH 150正在以正确的TrEE 140为目标的可行选择。
接下来,在操作312处,TPH 150可以例如从KMS 115获取用于向TrEE 140递送的受保护数据,如上所述。使用经由操作310访问的TrEE公钥,然后在操作314处,TPH 150可以构造用于发送到TrEE140的消息,包括获取的受保护数据。TPH 150可以在操作316处将消息发送到请求者120。
在接收到消息时,请求者120可以在操作318处将其转发到TrEE140。因为请求者120不能访问TrEE的私钥,所以请求者120不能对该消息解密以访问受保护数据。在操作320处,TrEE 140可以使用其私钥来对消息解密并且访问受保护数据。
图4A示出了用于向不可信请求者的TrEE递送受保护数据的示例过程400。过程400可以利用与TrEE相关联的加密密钥,诸如由TrEE或发起TrEE的请求者的安全内核生成的公钥私钥对的公钥,诸如在嵌套TrEE(本文中可以称为可信应用)的情况下。过程400可以附加地或替代地利用安全内核的签名密钥,其可以被认为是与TrEE相关联的外部TrEE,其中可信应用嵌套或在安全内核之上运行,TrEE可以用于验证由TrEE生成的密钥对的公钥,如下面更详细地描述的。
根据过程400,在操作402处初始化TrEE之后,请求者120可以在操作406处从证明服务请求证明报告或声明。图4B示出了用于从证明服务424获取证明声明或报告的示例过程。在图4B的示例中,在操作426处,请求者120可以在引导时创建包含TrEE 140(安全内核)的公钥(IDK_E)(可信应用)或TrEE的签名密钥(IDK_S)的证明日志(TCG日志)。然后,在操作428处,请求者120可以将TCG日志呈现给证明服务424。在一些情况下,TPH 150可以指示或者请求者120可以选择TPH 150信任的证明服务。在操作430处,证明服务424可以检查TCG日志并且基于TrEE 140(安全内核)的加密密钥(IDK_E)和/或签名密钥(IDK_S)发布TrEE健康证书(THC)。在操作432处,证明服务242然后可以向请求者120发送回THC(本文中也称为证明声明)。
在操作406获取证明声明之后,请求者120可以在操作408处代表TrEE 140向TPH150发送证明声明和针对受保护数据的请求。THC或证明声明可以包含请求者120的主题名称(用于在认证期间建立的请求者身份与证书之间创建绑定)、以及响应者(TPH 150)在制定响应时应当使用的密钥(例如,加密密钥或签名密钥)。
在一些方面中,诸如可信平台模块(TPM)的加密密钥(EK)等防篡改身份与请求者120相关联。请求者120的证明可以使用TPM EK来执行,如本领域已知的。
在一些方面中,无论是带外还是通过可以是THC的一部分的发布策略(IP)对象标识符(OID),经由请求者120,TrEE可以向TPH150传送密钥是加密密钥还是签名密钥。如上所述,在使用哪个密钥之间的选择可能影响用于构造响应的机制的选择。重要的是,TPH 150不要求拥有支持证书的私钥的证据,这仅仅因为如果给出了错误的证书,请求者120将无法理解响应,因为它无法访问相应私钥。
图5A和图5B示出了用于向不可信请求者的嵌套TrEE递送受保护数据的示例过程500。在一些方面中,可以嵌套两个或更多个TrEE,从而使得一个TrEE包含在另一TrEE中。如本文所述,可信应用是嵌套TrEE,其包含在外部TrEE中。在一个示例中,外部TrEE可以包括操作系统的可信部分的安全内核,诸如与虚拟信任级别相关联的特定存储器分区,如下面参考图6更详细地描述的。当例如只有外部TrEE的加密密钥(在某些情况下可以是实例化可信应用的机器的安全内核)可用时,可以使用过程500。
过程500可以在操作502处开始,其中请求者120利用由请求者120决定的“会话标识符”来启动可信应用,该“会话标识符”可以包括任何类型的标识符,诸如与可信应用将操作的内容或数据相关或标识其,与可信应用的用户相关等(例如,“用于播放'特定标题'的流内容应用可信应用'”)。在一个示例中,会话ID可以是32字节值。该值可以保留,在可信应用的生存期内是只读的,并且在向可信应用接收目标消息时可供安全内核使用。该值可能丢失(在进程启动时未指定),在这种情况下,会话ID可以假定为零。
接下来,在操作504处,请求者120可以向TPH 150认证(如上所述是可选的,但仅在非常有限的情况下,诸如在请求者之间确实没有差异的情况下)。例如,期望TrEE(例如,TrEE的密钥)与请求者的身份之间的绑定的一个示例是诸如电影等内容项的播放受到许可或订户验证的限制(例如,NetFlix用户想要获取播放电影的许可证,但NetFlix希望确保其是正在接收电影许可证的用户(在他们的TrEE内))。
在操作506,请求者120可以从TPH 150信任的证明服务获取证明声明,诸如根据上面参考图4B描述的过程406。接下来,请求者120可以在操作508处向TPH 150呈现证明声明。应当理解,在可能适用于此处的上述洁净室供应示例中,无需证明。
在接收到证明声明时,TPH 150可以在操作510处验证证明声明(或者,在上面的洁净室供应示例的情况下,基于其身份查找请求者的密钥)。在过程500中的此时,请求者120知道使用哪个密钥来对外部TrEE寻址。在一些方面中,从证明声明或请求获取的密钥是外部TrEE或安全内核(而不是内部信任者)的加密密钥的指示可以被包括在请求或证明声明中,或者以另一种方式或带外传送到TPH 150,设置为默认过程等。接下来,在操作511处,TPH 150可以获取请求中指示的受保护数据,例如从KMS 115或从持有受保护数据的任何其他实体,诸如持有许可证、密码、许可和/或其他信息的一个或多个服务。
在操作512从,TPH 150可以确定要以哪个可信应用类型为目标,例如,基于请求或基于TPH 150本身(例如,每个TPH 150可以专门为特定目的或应用而设计,诸如NetFlix)。在利用KP的示例中,诸如上面参考1C所述,可以在KP中编码可信应用类型。在一些其他示例中,可以默认设置或者硬编码可信应用类型,诸如在利用HGS150a的实现中。在HGS示例中,HGS 150a可以始终以虚拟模式安全过程(VMSP)可信应用为目标,其类型可以是硬编码的(因为KP可以不包含该信息)。
在确定要被作为目标的可信应用类型时,TPH 150可以在操作514处构造包括要发送到TrEE的受保护数据的消息。图5B中描绘了操作514的更详细示例。
在一些方面中,操作514还可以包括操作536,其中TPH 150生成两个随机对称密钥:传送密钥TX和包装(wrapping)密钥TW。接下来,在操作538处,TPH 150可以使用THC中的公钥(其是证明声明的一部分)来加密TX(例如,假定THC基于加密密钥,而不是签名密钥)。在一些方面中,操作538可以包括使用RSA加密和OAEP填充来利用主机的IDK加密TX。在一些方面中,TPH 150可以在操作540处验证可信应用的会话ID,例如,以验证可信应用是否被授权或具有访问受保护数据的正确许可(例如,为在线服务或内容项付费)。在某些情况下,会话ID可以包括可信应用类型;但是,在其他情况下,可信应用类型可以在KP中编码或甚至是硬编码的。然后,在操作542和544处,TPH 150可以使用TX对TW进行加密,并且可以将可信应用的可信应用类型和会话ID连接起来并且用作“认证标签”。注意,认证标签的使用是AES-GCM协议的工件;其他加密协议可以使用具有相同效果的不同方案。认证标签背后的想法是将TW与可信应用类型和会话ID绑定在一起,从而使得它们无法由攻击者在传输中进行解耦。有多种其他方法可以实现这种加密;本文中描述了AES-GCM,因为它本身提供了这种功能,并且因此是有利的。
然后,在操作546处,TPH 150可以将加密的TX和TW的认证加密发送到请求者120。如图5A所示,在接收到可以经由图5B的操作生成和/或可以包括以与TW类似的方式加密的受保护数据的消息516之后,请求者120可以在操作518处将消息转发到可信应用。由于可信应用不能对该消息解密(它正试图到达TW),在操作520处,可信应用可以将消息传输给安全内核。或者,请求者120可以绕过可信应用将响应发送到安全内核,并且安全内核在对TW解密时用新信息警告可信应用。
接下来,在操作522处,安全内核可以使用其私有加密密钥对TX解密,然后使用TX对TW解密,使用认证标签来确保具有正确会话ID的正确可信应用类型请求对消息解密。如果验证了验证标签,则安全内核可以在操作524处将TW返回给可信应用。可信应用然后可以使用所接收的TW来对TW正在加密的任何其他内容(诸如受保护数据,其可以是任何大小的)解密。
在一些方面中,安全内核可以实现一个或多个过程,诸如由一个或多个API定义的过程,这些过程用于接收、解密和向正确的可信应用传输目标消息。API可以接收以特定可信应用为目标的加密消息,并且使用IDK的私有部分(安全内核身份加密密钥)对TX解密。API可以使用可信应用类型和调用可信应用的会话ID的连接作为标记来构造自己的认证标签(出于明显的安全原因,不能使用所提供的认证标签)。然后可以获取可信应用类型和会话ID。如果认证成功,则API可以使用TX对TW解密。如果解密成功,则API可以将TW返回到可信应用。
在一个示例中,所接收的消息可以包括以下信息:版本号(例如,0);传送密钥加密协议ID(例如,RSA 2048);传送密钥加密填充ID(例如,OAEP);包装密钥加密协议ID(例如,AES-GCM);传送密钥密文的长度;包装密钥认证标签的长度(忽略);包装密钥密文的长度;以及传送密钥密文、包装密钥认证标签(忽略)和包装密钥密文。应当理解,这只是可以用于构造消息的很多方式中的一种。
在一些方面中,上述系统或过程100、300、400或500中的一个或多个过程/系统可以在实现虚拟安全模式(VSM)的资源或虚拟机中实现。在虚拟机的上下文中的VSM和相关概念在于2014年2月21日提交的题为“Virtual Secure Mode for Virtual Machines”的美国专利申请#14/186,415中描述。图6示出了包括分成不同虚拟信任级别VTL0 610和VTL1 615的VSM计算环境的系统或主机操作系统600。系统600可以是系统100a、100b或100c的一个或多个方面的更具体的实现,诸如云主机180,其包括在VSM中操作的计算环境。VTL0610可以包括用户模式620和正常内核模式630,并且VTL1 615可以包括用户模式625和安全内核模式635。不同的VTL可以由管理程序提供,例如,在物理计算组件或虚拟计算资源(例如,一个或多个虚拟机)之上运行的管理程序,其经由对某些进程等的存储器访问的限制来交互和定义VTL0 610和VTL1 615。在所示示例中,VTL1 615可以比VTL0 610更安全,从而使得读取和/或写入与VTL1相关联的数据或代码需要更高的访问。VTL0 610可以对应于请求者120,而VTL1 615可以对应于TrEE 140。下面将系统600描述为利用KP 700。然而,应当理解,这仅作为示例给出;系统600可以利用上述证明/认证方案而不使用KP来达到类似的效果。
如参考系统600所述,主机600的客户端应用(app)650/VTL0 610可以对应于请求者120,而VTL1 615、更具体地是VTL1 615的安全内核635可以对应于TrEE 140。在一些方面中,可信应用640可以对应于参考过程500描述的嵌套可信应用。在一些方面中,系统600可以实现上述过程500。在其他情况下,系统600可以实现下面参考图8和图9描述的过程800和/或900,其中过程500和800之间的主要区别在于使用KP来初始化可信应用以及使用HGS150a的特定实现来代替更通用的TPH 150。
如图所示,一个或多个TrEE或可信应用640可以驻留在VTL1615的用户模式625中。在一些方面中,一个或多个可信应用640可以通过虚拟机安全过程(VMSP)645被访问或与之相关联。客户端操作、应用、程序等650(客户端)可以以VTL0 610的用户模式620操作。驻留在VTL1 615的用户模式625下的服务器655可以经由RPC660与客户端650通信。如图所示。客户端650可以请求发起可信应用640以经由一个或多个RPC 660执行一个或多个安全操作,例如,利用VMSP 645。在其他方面中,服务器655可以在不从客户端650接收显式请求的情况下发起可信应用640。在任一种情况下,服务器655可以发起(多个)可信应用640,其中特定可信应用类型标识可信应用的参数,并且会话ID标识可信应用640的特定实例。在一些方面中,可信应用类型可以是经由包括KP 405的数据结构来初始化,诸如上面参考图1C的系统100c所述。包括诸如KP 700等KP的示例数据结构在图7中示出。
数据结构700可以包括密钥保护器(KP)705,KP 705是加密密钥(这里是传送密钥TK)的密码包装,如于2014年9月9日提交的题为“Secure Transport of EncryptedVirtual Machines with Continuous Owner Access”的美国专利申请#14/481,399中所描述的。KP 705确保仅向授权实体提供对TK 710和/或其他受保护数据的访问。作为将被递送给TrEE 140的密钥的TK 710可以用KP 705包装,或者在某些情况下用密钥或TW包装。TK710可以被认为是高价值秘密。在一些情况下,TK 710可以在KMS 115处解密。
数据结构700还可以包括虚拟机数据(VMD)730,VMD 730可以包括用于初始化可信应用的数据。VMD 730可以使用适当的加密技术来加密,诸如从Redmond Wash的微软公司可获取的BitLocker。全卷加密密钥(FVEK)725(其可以用于对VMD 730解密,并且可以由虚拟可信平台模块(VTPM)保护)的状态(725)被加密并且作为元数据的一部分与KP 705一起存储。在一些方面中,FVEK 725可以由卷主密钥(VMK)720加密。VTPM状态725本身使用由KP 705包装的密钥加密。在一些方面中,VTPM状态725可以由TK 710(高价值秘密)加密并且将数据“密封”到PCR值(例如,PCR7),从而使得如果PCR值处于预期状态,则TPM将允许访问(例如,解密)密钥材料。在这种情况下,TPM保护器是一种数据结构,如果一个或多个PCR处于预期状态,则该数据结构被馈送到TPM中以解封某些秘密。在其他情况下,也可以使用非TPM保护器。
卷主密钥(VMK)720可以由VTPM状态725解封。VTPM状态725可以由KP 705内的TK 710加密。在一些情况下,VMK 720可以是Bitlocker Volume Master Key,并且可以被标记为低价值秘密。
KP 700的每个字段或块也可以根据其加密的内容来描述,诸如加密(密钥,数据)速记:
KP KP与VM相关联,而可信应用实际上永远不会看到它。
KP转到KMS,KMS对其解密并且将TK返回到可信应用(经
由上述定目标机制)。TK对vTPM解密,vTPM解封VMK,以
产生FVEK。
在一个示例中,KP 405,VTPM状态415、VMK 420和VMD 430可以是存储在磁盘上的数据。VTPM状态415可以在创建VTPM时初始化,并且可以被确保是唯一的。对于运行时唯一性,例如所生成的秘密或受保护数据的运行时唯一性,VTPM依赖于安全内核向其提供的RNG的安全性。在可信应用使用解密的TK 710对VTPM状态415解密之后,访问VMD 730的其余操作可以与在物理机器与物理TPM之间执行的操作相同或类似。这些操作可以包括VTPM执行VSM的测量,使用VTPM测量来解封VMK(导致向操作系统加载器提供FVEK 725),并且操作系统使用FVEK725来对VMD 730解密。
为了启动可信应用,客户端650可以请求和/或接收数据结构700。客户端650可以将KP 705或整个数据结构700发送到TPH 150(或者在一些实现中,发送到HGS 150a),TPH150可以与KMS 115通信以对TK 710解密。然后TPH可以利用IDK_pub 665在与可信应用640相关联的安全内核635处以TK 710为目标,例如经由下面描述的过程800。安全内核635可以在发布时间获取IDK_pub和IDK_pri。安全内核635可以使用其私有密钥675(例如,IDK_pri)来解密并且将TK 710返回到服务器655。服务器655然后可以将TK 710递送给可信应用640。在一些情况下,安全内核635可以将TK 710直接返回可信应用640。在一些方面中,受保护数据可以与TK 710一起传输到可信应用640,并且由TK 710加密。以这种方式,可信应用640可以使用TK 710来对受保护数据解密。
图8示出了用于使用TrEE或可信应用的身份密钥将传送密钥和/或由传送密钥加密的受保护数据定目标至TrEE或特定可信应用的示例过程800。更具体地,过程800示出了经由可信应用的安全内核的加密密钥来对可信应用定目标的方式。
云结构主机或主机OS(例如,主机OS 600)执行一系列步骤以便接收传送密钥。云结构主机可以首先在操作602处获取TrEE健康证书(THC),例如围绕与TrEE或可信应用相关联的安全内核的加密身份密钥(IDK_E)构建的,诸如根据上面参考图4B描述的过程。在一个方面中,操作602可以包括由主机在引导时创建包含IDK_E的公共版本的证明日志(TCG日志),IDK_E的私有部分存在于与可信应用相关联的VSM安全内核(SK)中。可以将证明日志呈现给证明服务(AS)。AS可以检查证明日志并且向主机发布围绕IDK_E(例如,非对称密钥的公共部分)构建的THC。在一些方面中,类似于IDK_E,还可以创建“签名身份密钥”(IDK_S)并且IDK_S可以具有围绕它构建的单独的THC,如将在下面参考图9更详细地描述的。可以使用IDK_E或IDK_S构建密钥递送问题的解决方案,如下所述。
当需要加载新的屏蔽VM时,主机在操作804处获取VM的KP,并且启动与TPH(例如,TPH 150)的对话,其目标是向VMSP可信应用中注入由KP加密的TK。
为了交换TK的KP,在操作806处,主机可以向诸如TPH 150等TPH呈现KP和“可信应用身份”以及THC。在操作808处,云结构主机也可以启动具有从KP(KPSID)得出的“会话ID”的可信应用或TrEE。在一些方面中,所接收的KP将通过在其上创建SHA-2散列或利用其他单向函数来形成会话ID值的基础。TPH可以在操作822处检查THC,并且在操作824处与诸如KMS115等KMS或拥有的其他实体或者可以访问受保护数据和/或KP的解密密钥的其他实体通信,以对KP解密以访问TK。在操作826处,TPH可以使用特殊的加密结构来用计算出的KPSID来以可信应用为目标,例如,如上面参考过程500所述。
请求者或客户端650可以从TPH接收响应,并且将其转发到具有给定KPSID的可信应用。在操作810处,可信应用或服务器可以要求VSM安全内核对响应解密并且将其返回给TK。安全内核检查响应,在操作812处验证它是否以可信应用类型和可信应用的会话ID为目标,并且如果存在匹配,则在操作818处仅返回密钥。这样,如果TPH响应在错误的手中结束,则在密码学上不可能理解。在接收到密钥时,主机可以在操作820处对密钥解密并且将其提供给TrEE,此时,过程800可以结束。
图9示出了用于使用安全内核的签名密钥将传送密钥和/或由传送密钥加密的受保护数据定目标至可信应用的另一示例过程900。更具体地,过程900示出了通过由安全内核的签名密钥认证的可信应用的加密密钥来对可信应用定目标的方式。
过程800示出了如何通过在所有可信应用之间共享的身份加密密钥来在可信应用处间接地以响应为目标。但是,如果TrEE具有可证明的身份签名密钥,则也可以使用另一种方法。这里,每个可信应用可以生成自己的加密密钥对,并且使用IDK_S使安全内核验证该对的公钥部分。注意,这样的验证还必须以密码方式将密钥绑定到可信应用类型和可信应用的会话ID:
Key_certification=σIDK_S(可信应用_Encryption_Key_Pub,可信应用_Type,Session_ID)
其中σIDK_S表示其输入()的串联,后面是使用给定没有在这些输入上的签名。
在这种情况下,请求者向TPH呈现可信应用的密钥以及THC和密钥证明,并且TPH通过将传送密钥加密到可信应用的加密密钥来进行响应,这与操作822和824处的过程800不同。
在一些方面中,还可以在密钥认证中使用或指示“安全版本号”(SVN)以防止其他类型的攻击以确保TrEE不是较旧且可能易受攻击的版本。在某些情况下,当证明安全内核但内部可信应用不被证明时(例如,在已经完成证明之后,可信应用按需求加载)时,包括可信应用的SVN可以指示TPH 150拒绝对较旧的易受攻击的可信应用定目标,即使THC没问题。
过程800和900的两种方法之间的一个区别是谁强制执行可信应用或TrEE ID、会话ID和传送密钥之间的绑定:在过程800中,它是安全内核,并且在过程900中,它是TPH150。另一主要区别在于如何以加密方式构建响应。在先前的情况下,它作为目标的是安全内核,而安全内核又决定允许哪个可信应用看到它,在这种情况下,响应直接以可信应用为目标,其中可信应用的密钥由安全内核的密钥认证。
在一些方面中,可以实现上述技术以为容器提供完全凭证隔离。基本问题是相同的,因此容器可以从其主机请求凭证。主机然后可以代表容器从某个KMS请求凭证。如果请求的凭证未加密地返回主机(例如,凭证按需求到达,并且不是容器映像的一部分),则会导致“延迟凭证绑定”。该绑定很有价值但不等于凭证隔离,因此如果主机被泄露,则凭证被公开。
在一个实施例中,所公开的实施例可以实现为包括以下内容的一种计算系统:
处理器;以及
被通信地耦合到所述处理器的存储器,所述存储器存储指令,所述指令在由所述处理器执行时,使得所述计算系统执行以下操作:
接收来自与嵌套TrEE相关联的请求者的针对受保护数据的请求、安全内核的证明声明和密钥认证声明,其中所述嵌套TrEE包括在所述安全内核之上运行的可信应用,其中所述密钥认证声明绑定可信应用公共加密密钥和可信应用ID;
取回所述受保护数据;
利用所述可信应用公共加密密钥对所述受保护数据加密;以及
向所述请求者发送加密的所述受保护数据。
在一个实施例中,所述密钥认证声明由所述安全内核使用签名密钥生成。
在一个实施例中,所述签名密钥证明由所述可信应用生成的公钥私钥对的所述可信应用公共加密密钥。
在一个实施例中,所述可信应用ID包括可信应用类型或所述可信应用类型和会话ID。
在一个实施例中,所述密钥认证声明由所述安全内核使用签名密钥生成,并且绑定所述可信应用公钥、所述可信应用类型和所述会话ID。
在一个实施例中,所述指令在由所述处理器执行时使得所述计算系统执行操作,所述操作包括:
将所述可信应用ID与授权可信应用ID的列表比较;以及
仅当所述可信应用ID与授权可信应用ID的所述列表相关联时,利用所述可信应用公共加密密钥对所述受保护数据加密。
在一个实施例中,可以实现一种用于向嵌套可信执行环境(TrEE)递送受保护数据的方法,所述嵌套可信执行环境包括在外部TrEE之上运行的可信应用,其中所述可信应用和所述外部TrEE二者与不可信请求者相关联,所述方法包括:
由定目标协议头接收来自与所述嵌套TrEE相关联的请求者的针对受保护数据的请求、所述外部TrEE的证明声明和密钥认证声明,其中所述密钥认证声明绑定可信应用公共加密密钥和可信应用ID;
由所述定目标协议头取回所述受保护数据;
利用所述可信应用公共加密密钥对所述受保护数据加密;以及
向所述请求者发送加密的所述受保护数据。
在一个实施例中,所述密钥认证声明由所述外部TrEE使用签名密钥生成。
在一个实施例中,所述签名密钥证明由所述可信应用生成的公钥私钥对的所述可信应用公共加密密钥。
在一个实施例中,所述可信应用ID包括可信应用类型或所述可信应用类型和会话ID。
在一个实施例中,所述密钥认证声明由所述外部TrEE使用签名密钥生成,并且绑定所述可信应用公钥、所述可信应用类型和所述会话ID。
在一个实施例中,所述方法还包括:
由所述定目标协议头将所述可信应用ID与授权可信应用ID的列表比较;以及
仅当所述可信应用ID与授权可信应用ID的所述列表相关联时,由所述定目标协议头利用所述可信应用公共加密密钥对所述受保护数据加密。
在一个实施例中,所述方法还包括:
由所述请求者向所述可信应用发送加密的所述受保护数据;以及
由所述可信应用使用与所述可信应用公共加密密钥对应的可信应用私有加密密钥对加密的所述受保护数据解密。
在一个实施例中,所述受保护数据包括包装密钥。
在一个实施例中,一种计算机可读存储介质可以被实现为包括用于向嵌套可信执行环境(TrEE)递送受保护数据的指令,所述嵌套可信执行环境包括在安全内核之上运行的可信应用,所述介质包括指令,所述指令当在计算机系统上被执行时,使得所述计算机系统至少:
接收来自与所述嵌套TrEE相关联的请求者的针对受保护数据的请求、所述安全内核的证明声明和密钥认证声明,其中所述密钥认证声明绑定可信应用公共加密密钥和可信应用ID;
取回所述受保护数据;
使用所述可信应用公共加密密钥对所述受保护数据加密;以及
向所述请求者发送加密的所述受保护数据。
在一个实施例中,所述密钥认证声明是由所述安全内核使用签名密钥生成的。
在一个实施例中,所述签名密钥证明由所述可信应用生成的公钥私钥对的可信应用公共加密密钥。
18.根据权利要求15所述的计算机可读存储介质,其中所述可信应用ID包括可信应用类型或所述可信应用类型和会话ID。
在一个实施例中,所述密钥认证声明由所述安全内核使用签名密钥生成,并且绑定所述可信应用公钥、所述可信应用类型和所述会话ID。
在一个实施例中,所述指令还包括指令,所述指令当在所述计算系统上被执行时,使得所述计算系统至少:
将所述可信应用ID与授权可信应用ID的列表比较;以及
仅当所述可信应用ID与授权可信应用ID的所述列表相关联时,利用所述可信应用公共加密密钥对所述受保护数据加密。
如下所述,上述技术可以在一个或多个计算设备或环境上被实现。图10描绘了其中可以实现本文中描述的一些技术的示例性通用计算环境,例如,其可以包含请求者120、TrEE 140、TPH 150、主机OS 600、AS 424、KMS 115中的一个或多个。计算系统环境1002仅是合适的计算环境的一个示例,并且不旨在对本公开的主题的使用范围或功能提出任何限制。计算环境1002也不应当被解释为具有与示例操作环境1002中示出的任一组件或其组合相关的任何依赖性或要求。在一些实施例中,各种所描绘的计算元件可以包括被配置为实例化本公开的特定方面的电路。例如,本公开中使用的术语电路可以包括被配置为通过固件或开关来执行(多个)功能的专用硬件组件。在其他示例实施例中,术语电路可以包括通过体现可操作以执行(多个)功能的逻辑的软件指令来配置的通用处理单元、存储器等。在电路包括硬件和软件的组合的示例实施例中,实现者可以编写包含逻辑的源代码,并且源代码可以编译成可以由通用处理单元处理的机器可读代码。由于本领域技术人员可以理解,现有技术已经发展到硬件、软件或硬件/软件的组合之间几乎没有差异的程度,因此选择硬件与软件来实现特定功能是一种留给实施者的设计选择。更具体地,本领域技术人员可以理解,软件过程可以转换为等效的硬件结构,并且硬件结构本身可以转换为等效的软件过程。因此,硬件实现与软件实现的选择是设计选择之一,并且留给实现者。
计算机1002(其可以包括移动设备或智能电话、平板电脑、膝上型电脑、台式计算机或联网设备的集合、云计算资源等中的任何一种)通常包括各种计算机可读介质。计算机可读介质可以是可以由计算机1002访问的任何可用介质,并且包括易失性和非易失性介质、可移除和不可移除介质。系统存储器1022包括易失性和/或非易失性存储器形式的计算机存储介质,诸如只读存储器(ROM)1023和随机存取存储器(RAM)1060。包含有助于在计算机1002内的元件之间传送信息的基本例程(例如在启动期间)的基本输入/输出系统1024(BIOS)通常存储在ROM 1023中。RAM 1060通常包含立即可访问和/或当前正在由处理单元1059操作的数据和/或程序模块。作为示例而非限制,图10示出了操作系统1025、应用程序1026、包括TrEE定目标应用1065的其他程序模块1027、和程序数据1028。
计算机1002还可以包括其他可移除/不可移除的易失性/非易失性计算机存储介质。仅作为示例,图10示出了从不可移除的非易失性磁介质读取或向其写入的硬盘驱动器1038、从可移除的非易失性磁盘1054读取或向其写入的磁盘驱动器1039、以及从诸如CDROM或其他光学介质等可移除的非易失性光盘1053读取或向其写入的光盘驱动器1004。可以在示例操作环境中使用的其他可移除/不可移除的易失性/非易失性计算机存储介质包括但不限于磁带盒、闪存卡、数字通用盘、数字录像带、固态RAM、固态ROM等。硬盘驱动器1038通常通过诸如接口1034等不可移除存储器接口连接到系统总线1021,并且磁盘驱动器1039和光盘驱动器1004通常通过诸如接口1035或1036等可移除存储器接口连接到系统总线1021。
上面讨论并且在图10中示出的驱动器及其相关联的计算机存储介质为计算机1002提供计算机可读指令、数据结构、程序模块和其他数据的存储。例如,在图10中,硬盘驱动器1038被示出为存储操作系统1058、应用程序1057、其他程序模块1056和程序数据1055。注意,这些组件可以与操作系统1025、应用程序1026、其他程序模块1027和程序数据1028相同或不同。操作系统1058、应用程序1057、其他程序模块1056和程序数据1055在这里被给予不同的数字以说明它们至少是不同的副本。用户可以通过诸如键盘1051和通常称为鼠标、轨迹球或触摸板的指示设备1052等输入设备向计算机1002中输入命令和信息。其他输入设备(未示出)可以包括麦克风、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪、视网膜扫描器等。这些和其他输入设备通常通过耦合到系统总线1021的用户输入接口1036连接到处理单元1059,但是可以通过诸如并行端口、游戏端口或通用串行总线(USB)等其他接口和总线结构连接。监示器1042或其他类型的显示设备也经由诸如视频接口1032等接口连接到系统总线1021。除了显示器之外,计算机还可以包括可以通过输出外围接口1033连接的其他外围输出设备,诸如扬声器1044和打印机1043。
计算机1002可以使用到诸如远程计算机1046等一个或多个远程计算机的逻辑连接在联网环境中操作。远程计算机1046可以是个人计算机、服务器、路由器、网络PC、对等设备或其他公共网络节点,并且通常包括上面关于计算机1002描述的很多或所有元件,尽管图10中仅示出了存储器存储设备1047。图10中描绘的逻辑连接包括局域网(LAN)1045和广域网(WAN)1049,但是也可以包括其他网络。这种网络环境在办公室、企业范围的计算机网络、内联网、因特网和云计算资源中很常见。
当在LAN网络环境中使用时,计算机1002通过网络接口或适配器1037连接到LAN1045。当在WAN网络环境中使用时,计算机1002通常包括调制解调器1005或用于通过诸如因特网等WAN 1049建立通信的其他装置。可以是内置的或外置的调制解调器1005可以经由用户输入接口1036或其他适当的机制连接到系统总线1021。在联网环境中,相对于计算机1002或其部分描述的程序模块可以存储在远程存储器存储设备中。作为示例而非限制,图10将远程应用程序1048示出为驻留在存储器设备1047上。可以理解,所示出的网络连接是示例的,并且可以使用在计算机之间建立通信链路的其他手段。
在一些方面中,其他程序1027可以包括TrEE定目标组件或应用1065,TrEE定目标组件或应用1065包括如上所述的功能。在一些情况下,TrEE定目标应用1065可以执行过程300、400、500、800和/或900的一些或所有操作。
前面部分中描述的每个过程、方法和算法可以在由一个或多个计算机或计算机处理器执行的代码模块中实施,并且完全或部分地通过这样的代码模块来自动化。这些代码模块可以存储在任何类型的非暂态计算机可读介质或计算机存储设备上,诸如硬盘驱动器、固态存储器、光盘等。过程和算法可以部分或全部地在专用电路中实现。所公开的过程和过程步骤的结果可以持久地或以其他方式存储在任何类型的非暂态计算机存储装置中,诸如例如易失性或非易失性存储装置。上述各种特征和过程可以彼此独立地使用,或者可以以各种方式组合。所有可能的组合和子组合都旨在落入本公开的范围内。另外,在一些实现中可以省略某些方法或过程框。本文中描述的方法和过程也不限于任何特定顺序,并且与其相关的块或状态可以以其他适当的顺序执行。例如,所描述的块或状态可以以不同于具体公开的顺序的顺序执行,或者多个块或状态可以在单个块或状态中组合。示例块或状态可以以串行、并行或以某种其他方式执行。可以向所公开的示例实施例添加块或状态或从其中移除块或状态。本文中描述的示例系统和组件可以与所描述的不同地配置。例如,与所公开的示例实施例相比,可以添加、移除或重新布置元素。
还应当理解,各种项目被示出为在使用的同时存储在存储器中或存储在存储装置上,并且这些项目或其部分可以在存储器与其他存储设备之间传送以用于存储器管理和数据完整性的目的。或者,在其他实施例中,一些或所有软件模块和/或系统可以在另一设备上的存储器中执行,并且经由计算机间通信与所示的计算系统通信。此外,在一些实施例中,系统和/或模块中的一些或全部可以以其他方式实现或提供,诸如至少部分以固件和/或硬件,包括但不限于一个或多个专用集成电路(ASIC)、标准集成电路、控制器(例如,通过执行适当的指令,并且包括微控制器和/或嵌入式控制器)、现场可编程门阵列(FPGA)、复杂可编程逻辑器件(CPLD)等。一些或所有模块、系统和数据结构也可以存储在要由适当的驱动器或经由适当的连接来读取的计算机可读介质上(例如,作为软件指令或结构化数据),诸如硬盘、存储器、网络或便携式媒体物品。出于本说明书和权利要求的目的,短语“计算机可读存储介质”及其变体不包括波、信号和/或其他暂态和/或无形通信介质。系统、模块和数据结构还可以作为所生成的数据信号(例如,作为载波或其他模拟或数字传播信号的一部分)在各种计算机可读传输介质上传输,包括基于无线和基于有线/电缆的介质,并且可以采用各种形式(例如,作为单个或多路复用模拟信号的一部分,或者作为多个离散数字分组或帧)。在其他实施例中,这种计算机程序产品也可以采用其他形式。因此,本公开可以用其他计算机系统配置来实践。
除非另有明确说明或者在所使用的上下文中以其他方式理解,否则本文中使用的诸如“可以(can)”、“可以(could)”、“可以(might)”、“可以(may)”、“例如(e.g.)”等条件语言通常旨在表达某些实施例包括而其他实施例不包括某些特征、元素和/或步骤。因此,这种条件语言通常不旨在暗示一个或多个实施例以任何方式需要特征、元素和/或步骤,也不旨在暗示一个或多个实施例必须包括用于决定(无论是否有作者输入或提示)这些特征、元素和/或步骤是否被包括在任何特定实施例中或将在任何特定实施例中执行的逻辑。术语“包括(comprising)”、“包括(including)”、“具有(having)”等是同义的并且以开放式方式包含性地使用,并且不排除其他元素、特征、动作、操作等。此外,术语“或”以其包含性意义(而不是以其排他性的意义)使用,因此当使用时,例如,为了连接元素列表,术语“或”表示列表中的一个、一些或所有元素。
虽然已经描述了某些示例实施例,但是这些实施例仅作为示例呈现,并且不旨在限制本文中公开的发明的范围。因此,前面的描述中的任何内容都不旨在暗示任何特定的特征、特性、步骤、模块或块是必需的或必不可少的。实际上,本文中描述的新颖方法和系统可以以各种其他形式来实施;此外,在不脱离本文中公开的发明的精神的情况下,可以对本文中描述的方法和系统的形式进行各种省略、替换和改变。所附权利要求及其等同物旨在涵盖落入本文中公开的某些发明的范围和精神内的这样的形式或修改。
Claims (20)
1.一种计算系统,包括:
处理器;以及
被通信地耦合到所述处理器的存储器,所述存储器存储指令,所述指令在由所述处理器执行时,使得所述计算系统实现定目标协议头,所述定目标协议头用作请求者和存储秘密的系统之间的中介,所述定目标协议头被配置为执行以下操作:
接收来自与嵌套可信执行环境TrEE相关联的所述请求者的针对受保护数据的请求、安全内核的证明声明和密钥认证声明,其中所述嵌套TrEE包括在所述安全内核之上运行的可信应用,其中所述密钥认证声明绑定可信应用公共加密密钥和可信应用ID;
响应于所述请求而从存储所述秘密的所述系统取回所述受保护数据;
利用所述可信应用公共加密密钥对所述受保护数据加密;以及
向所述请求者发送加密的所述受保护数据。
2.根据权利要求1所述的计算系统,其中所述密钥认证声明由所述安全内核使用签名密钥生成。
3.根据权利要求2所述的计算系统,其中所述签名密钥证明由所述可信应用生成的公钥私钥对的所述可信应用公共加密密钥。
4.根据权利要求1所述的计算系统,其中所述可信应用ID包括可信应用类型或所述可信应用类型和会话ID。
5.根据权利要求4所述的计算系统,其中所述密钥认证声明由所述安全内核使用签名密钥生成,并且绑定所述可信应用公钥、所述可信应用类型和所述会话ID。
6.根据权利要求1所述的计算系统,其中所述指令在由所述处理器执行时使得所述计算系统执行操作,所述操作包括:
将所述可信应用ID与授权可信应用ID的列表比较;以及
仅当所述可信应用ID与授权可信应用ID的所述列表相关联时,利用所述可信应用公共加密密钥对所述受保护数据加密。
7.一种用于向嵌套可信执行环境TrEE递送受保护数据的方法,所述嵌套可信执行环境包括在外部TrEE之上运行的可信应用,其中所述可信应用和所述外部TrEE二者与不可信请求者相关联,所述方法包括:
由用作请求者和存储秘密的系统之间的中介的定目标协议头接收来自与所述嵌套TrEE相关联的所述请求者的针对受保护数据的请求、所述外部TrEE的证明声明和密钥认证声明,其中所述密钥认证声明绑定可信应用公共加密密钥和可信应用ID;
由所述定目标协议头响应于接收到所述请求而从存储所述秘密的所述系统取回所述受保护数据;
利用所述可信应用公共加密密钥对所述受保护数据加密;以及
向所述请求者发送加密的所述受保护数据。
8.根据权利要求7所述的方法,其中所述密钥认证声明由所述外部TrEE使用签名密钥生成。
9.根据权利要求8所述的方法,其中所述签名密钥证明由所述可信应用生成的公钥私钥对的所述可信应用公共加密密钥。
10.根据权利要求7所述的方法,其中所述可信应用ID包括可信应用类型或所述可信应用类型和会话ID。
11.根据权利要求10所述的方法,其中所述密钥认证声明由所述外部TrEE使用签名密钥生成,并且绑定所述可信应用公钥、所述可信应用类型和所述会话ID。
12.根据权利要求7所述的方法,还包括:
由所述定目标协议头将所述可信应用ID与授权可信应用ID的列表比较;以及
仅当所述可信应用ID与授权可信应用ID的所述列表相关联时,由所述定目标协议头利用所述可信应用公共加密密钥对所述受保护数据加密。
13.根据权利要求7所述的方法,还包括:
由所述请求者向所述可信应用发送加密的所述受保护数据;以及
由所述可信应用使用与所述可信应用公共加密密钥对应的可信应用私有加密密钥对加密的所述受保护数据解密。
14.根据权利要求7所述的方法,其中所述受保护数据包括包装密钥。
15.一种计算机可读存储设备,包括用于支持基于处理器的系统执行操作以向嵌套可信执行环境TrEE递送受保护数据的指令,所述嵌套可信执行环境包括在安全内核之上运行的可信应用,所述操作包括:
由用作请求者和存储秘密的系统之间的中介的定目标协议头接收来自与所述嵌套TrEE相关联的所述请求者的针对受保护数据的请求、所述安全内核的证明声明和密钥认证声明,其中所述密钥认证声明绑定可信应用公共加密密钥和可信应用ID;
由所述定目标协议头响应于所述请求的接收而从存储所述秘密的所述系统取回所述受保护数据;
利用所述可信应用公共加密密钥对所述受保护数据加密;以及
向所述请求者发送加密的所述受保护数据。
16.根据权利要求15所述的计算机可读存储设备,其中所述密钥认证声明由所述安全内核使用签名密钥生成。
17.根据权利要求16所述的计算机可读存储设备,其中所述签名密钥证明由所述可信应用生成的公钥私钥对的所述可信应用公共加密密钥。
18.根据权利要求15所述的计算机可读存储设备,其中所述可信应用ID包括可信应用类型或所述可信应用类型和会话ID。
19.根据权利要求18所述的计算机可读存储设备,其中所述密钥认证声明由所述安全内核使用签名密钥生成,并且绑定所述可信应用公钥、所述可信应用类型和所述会话ID。
20.根据权利要求15所述的计算机可读存储设备,其中所述操作还包括:
将所述可信应用ID与授权可信应用ID的列表比较;以及
仅当所述可信应用ID与授权可信应用ID的所述列表相关联时,利用所述可信应用公共加密密钥对所述受保护数。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/417,042 | 2017-01-26 | ||
| US15/417,042 US10419402B2 (en) | 2017-01-26 | 2017-01-26 | Addressing a trusted execution environment using signing key |
| PCT/US2017/067461 WO2018140170A1 (en) | 2017-01-26 | 2017-12-20 | Addressing a trusted execution environment using signing key |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110249336A CN110249336A (zh) | 2019-09-17 |
| CN110249336B true CN110249336B (zh) | 2023-05-30 |
Family
ID=60991591
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780084731.0A Active CN110249336B (zh) | 2017-01-26 | 2017-12-20 | 使用签名密钥对可信执行环境的寻址 |
Country Status (18)
| Country | Link |
|---|---|
| US (1) | US10419402B2 (zh) |
| EP (1) | EP3574443A1 (zh) |
| JP (1) | JP2020506611A (zh) |
| KR (1) | KR102489790B1 (zh) |
| CN (1) | CN110249336B (zh) |
| AU (1) | AU2017396531B2 (zh) |
| BR (1) | BR112019013584A2 (zh) |
| CA (1) | CA3048895C (zh) |
| CL (1) | CL2019002026A1 (zh) |
| CO (1) | CO2019007875A2 (zh) |
| IL (1) | IL268005B (zh) |
| MX (1) | MX2019008693A (zh) |
| MY (1) | MY201812A (zh) |
| PH (1) | PH12019550119A1 (zh) |
| RU (1) | RU2756040C2 (zh) |
| SG (1) | SG11201905458WA (zh) |
| WO (1) | WO2018140170A1 (zh) |
| ZA (1) | ZA201903702B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BR112015026372B8 (pt) * | 2013-04-18 | 2024-02-15 | Facecon Co Ltd | Dispositivo de comunicação que reforça a segurança para um arquivo armazenado em uma unidade virtual |
| US10897360B2 (en) | 2017-01-26 | 2021-01-19 | Microsoft Technology Licensing, Llc | Addressing a trusted execution environment using clean room provisioning |
| US10972265B2 (en) * | 2017-01-26 | 2021-04-06 | Microsoft Technology Licensing, Llc | Addressing a trusted execution environment |
| US10897459B2 (en) | 2017-01-26 | 2021-01-19 | Microsoft Technology Licensing, Llc | Addressing a trusted execution environment using encryption key |
| US10515077B2 (en) * | 2017-06-14 | 2019-12-24 | Microsoft Technology Licensing, Llc | Execution optimization of database statements involving encrypted data |
| US10771439B2 (en) * | 2017-06-28 | 2020-09-08 | Microsoft Technology Licensing, Llc | Shielded networks for virtual machines |
| US11392687B2 (en) * | 2019-01-04 | 2022-07-19 | Baidu Usa Llc | Method and system for validating kernel objects to be executed by a data processing accelerator of a host system |
| CA3058499C (en) * | 2019-03-26 | 2021-10-26 | Alibaba Group Holding Limited | Program execution and data proof scheme using multiple key pair signatures |
| US11610012B1 (en) * | 2019-11-26 | 2023-03-21 | Gobeep, Inc. | Systems and processes for providing secure client controlled and managed exchange of data between parties |
| CN113254940B (zh) * | 2021-05-20 | 2023-01-17 | 浙江网商银行股份有限公司 | 基于遥感数据的数据处理方法及装置 |
| CN114036527B (zh) * | 2021-11-04 | 2023-01-31 | 云海链控股股份有限公司 | 一种代码注入方法、代码运行端、代码注入端及相关设备 |
| CN115065487B (zh) * | 2022-08-17 | 2022-12-09 | 北京锘崴信息科技有限公司 | 隐私保护云计算方法、保护金融隐私数据的云计算方法 |
| CN117992993B (zh) * | 2024-04-07 | 2024-06-14 | 蓝象智联(杭州)科技有限公司 | 基于可信执行环境的数据管控方法和系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105493097A (zh) * | 2013-09-27 | 2016-04-13 | 英特尔公司 | 用于远程存储的数据的保护方案 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7437771B2 (en) * | 2004-04-19 | 2008-10-14 | Woodcock Washburn Llp | Rendering protected digital content within a network of computing devices or the like |
| US8059820B2 (en) * | 2007-10-11 | 2011-11-15 | Microsoft Corporation | Multi-factor content protection |
| CN101159556B (zh) * | 2007-11-09 | 2011-01-26 | 清华大学 | 基于组密钥服务器的共享加密文件系统中的密钥管理方法 |
| WO2012122994A1 (en) * | 2011-03-11 | 2012-09-20 | Kreft Heinz | Off-line transfer of electronic tokens between peer-devices |
| JP5879527B2 (ja) * | 2011-05-25 | 2016-03-08 | パナソニックIpマネジメント株式会社 | 情報処理装置および情報処理方法 |
| US9413538B2 (en) * | 2011-12-12 | 2016-08-09 | Microsoft Technology Licensing, Llc | Cryptographic certification of secure hosted execution environments |
| EP2820587B1 (de) * | 2012-02-28 | 2020-04-08 | Giesecke+Devrient Mobile Security GmbH | Verfahren zur computer-zugangskontrolle mittels mobilem endgerät |
| EP2680487B1 (en) * | 2012-06-29 | 2019-04-10 | Orange | Secured cloud data storage, distribution and restoration among multiple devices of a user |
| US9064109B2 (en) * | 2012-12-20 | 2015-06-23 | Intel Corporation | Privacy enhanced key management for a web service provider using a converged security engine |
| EP2759955A1 (en) * | 2013-01-28 | 2014-07-30 | ST-Ericsson SA | Secure backup and restore of protected storage |
| CN105027494B (zh) * | 2013-03-14 | 2018-03-23 | 英特尔公司 | 公共云中的受信任的数据处理 |
| EP3036680B1 (en) * | 2013-08-21 | 2018-07-18 | Intel Corporation | Processing data privately in the cloud |
| US9633210B2 (en) * | 2013-09-13 | 2017-04-25 | Microsoft Technology Licensing, Llc | Keying infrastructure |
| EP2887607A1 (en) * | 2013-12-23 | 2015-06-24 | Orange | Migration of assets of a trusted execution environment |
| US9652631B2 (en) * | 2014-05-05 | 2017-05-16 | Microsoft Technology Licensing, Llc | Secure transport of encrypted virtual machines with continuous owner access |
| GB201408539D0 (en) * | 2014-05-14 | 2014-06-25 | Mastercard International Inc | Improvements in mobile payment systems |
| US9775029B2 (en) * | 2014-08-22 | 2017-09-26 | Visa International Service Association | Embedding cloud-based functionalities in a communication device |
| US9621547B2 (en) * | 2014-12-22 | 2017-04-11 | Mcafee, Inc. | Trust establishment between a trusted execution environment and peripheral devices |
| CN105812332A (zh) * | 2014-12-31 | 2016-07-27 | 北京握奇智能科技有限公司 | 数据保护方法 |
| US10073985B2 (en) * | 2015-02-27 | 2018-09-11 | Samsung Electronics Co., Ltd. | Apparatus and method for trusted execution environment file protection |
| US9722775B2 (en) * | 2015-02-27 | 2017-08-01 | Verizon Patent And Licensing Inc. | Network services via trusted execution environment |
| CN104899506B (zh) * | 2015-05-08 | 2018-01-12 | 深圳市雪球科技有限公司 | 基于可信执行环境中虚拟安全元件的安全系统实现方法 |
| US10270591B2 (en) * | 2015-06-30 | 2019-04-23 | Activevideo Networks, Inc. | Remotely managed trusted execution environment for digital-rights management in a distributed network with thin clients |
| CN105260663B (zh) * | 2015-09-15 | 2017-12-01 | 中国科学院信息工程研究所 | 一种基于TrustZone技术的安全存储服务系统及方法 |
| CN109150548B (zh) * | 2015-12-01 | 2021-10-08 | 神州融安科技(北京)有限公司 | 一种数字证书签名、验签方法及系统、数字证书系统 |
| CN105978917B (zh) * | 2016-07-19 | 2019-05-10 | 恒宝股份有限公司 | 一种用于可信应用安全认证的系统和方法 |
| CN106230584B (zh) * | 2016-07-21 | 2019-09-03 | 北京可信华泰信息技术有限公司 | 一种可信平台控制模块的密钥迁移方法 |
-
2017
- 2017-01-26 US US15/417,042 patent/US10419402B2/en active Active
- 2017-12-20 JP JP2019540540A patent/JP2020506611A/ja active Pending
- 2017-12-20 CA CA3048895A patent/CA3048895C/en active Active
- 2017-12-20 AU AU2017396531A patent/AU2017396531B2/en active Active
- 2017-12-20 EP EP17829839.4A patent/EP3574443A1/en active Pending
- 2017-12-20 MX MX2019008693A patent/MX2019008693A/es unknown
- 2017-12-20 RU RU2019126631A patent/RU2756040C2/ru active
- 2017-12-20 CN CN201780084731.0A patent/CN110249336B/zh active Active
- 2017-12-20 BR BR112019013584-7A patent/BR112019013584A2/pt unknown
- 2017-12-20 MY MYPI2019003998A patent/MY201812A/en unknown
- 2017-12-20 SG SG11201905458WA patent/SG11201905458WA/en unknown
- 2017-12-20 WO PCT/US2017/067461 patent/WO2018140170A1/en unknown
- 2017-12-20 KR KR1020197022013A patent/KR102489790B1/ko active IP Right Grant
-
2019
- 2019-06-10 ZA ZA2019/03702A patent/ZA201903702B/en unknown
- 2019-06-28 PH PH12019550119A patent/PH12019550119A1/en unknown
- 2019-07-11 IL IL268005A patent/IL268005B/en unknown
- 2019-07-19 CL CL2019002026A patent/CL2019002026A1/es unknown
- 2019-07-22 CO CONC2019/0007875A patent/CO2019007875A2/es unknown
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105493097A (zh) * | 2013-09-27 | 2016-04-13 | 英特尔公司 | 用于远程存储的数据的保护方案 |
Also Published As
| Publication number | Publication date |
|---|---|
| ZA201903702B (en) | 2020-10-28 |
| CN110249336A (zh) | 2019-09-17 |
| IL268005A (en) | 2019-09-26 |
| KR102489790B1 (ko) | 2023-01-17 |
| PH12019550119A1 (en) | 2020-03-09 |
| US10419402B2 (en) | 2019-09-17 |
| MY201812A (en) | 2024-03-19 |
| JP2020506611A (ja) | 2020-02-27 |
| CA3048895A1 (en) | 2018-08-02 |
| BR112019013584A2 (pt) | 2020-01-07 |
| CO2019007875A2 (es) | 2019-07-31 |
| RU2019126631A3 (zh) | 2021-04-08 |
| NZ754540A (en) | 2023-08-25 |
| WO2018140170A1 (en) | 2018-08-02 |
| RU2756040C2 (ru) | 2021-09-24 |
| CL2019002026A1 (es) | 2019-12-13 |
| AU2017396531A1 (en) | 2019-07-04 |
| EP3574443A1 (en) | 2019-12-04 |
| MX2019008693A (es) | 2019-09-11 |
| CA3048895C (en) | 2024-05-28 |
| KR20190108580A (ko) | 2019-09-24 |
| US20180212932A1 (en) | 2018-07-26 |
| RU2019126631A (ru) | 2021-02-26 |
| AU2017396531B2 (en) | 2021-11-25 |
| SG11201905458WA (en) | 2019-08-27 |
| IL268005B (en) | 2022-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110249332B (zh) | 使用加密密钥寻址可信执行环境 | |
| CN110214440B (zh) | 计算系统,传送受保护数据的方法和可读存储介质 | |
| CN110249336B (zh) | 使用签名密钥对可信执行环境的寻址 | |
| US8462955B2 (en) | Key protectors based on online keys | |
| CN110235134B (zh) | 使用洁净室供应来寻址可信执行环境 | |
| NZ754540B2 (en) | Addressing a trusted execution environment using signing key |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40011857 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |