[发明专利]包围区抽象模型

说明书

描述了包围区安全平台的抽象编程模型，包括：根据包围区抽象协议从包围区接收请求，将请求转换成本机包围区协议，以及向本机平台发送经转换的请求。该请求可以例如是：创建证明报告，将数据密封到包围区，用以调用包围区的客户端中的函数、读取单调计数器、进行可信时间测量、或者分配与包围区和包围区客户两者共享的存储器的请求。

技术领域

本公开涉及安全计算系统。

背景技术

安全隔离区域或可信执行环境提供安全容器(本文中称为包围区(enclave))以用于在计算机上执行可信代码，该计算机也可以在隔离区域之外的区域中具有较少可信代码。包围区的隔离区域包括在驻留在包围区之外的代码的执行期间受到保护的存储器的一部分。隔离存储器可以包含用于包围区的代码和数据两者，并且除了对从包围区存储器读取或向包围区存储器写入的限制之外，对该存储器的保护可以包括执行包含在包围区存储器中的代码的限制。诸如存储器隔离和执行限制等包围区安全性的各方面可以例如由计算机处理器中的硬件强制执行。软件证明可以提供对特定包围区的隔离安全性以及在该特定包围区的隔离存储器区域内加载的包围区代码的信任。证明可以另外提供所证明的包围区在其上运行的硬件和软件平台的完整性的证据。

诸如微软的虚拟安全模式(VSM)和英特尔的软件保护扩展(SGX)等包围区系统部分地通过将包围区与以用户模式或内核模式运行的其他代码隔离来提供安全性。完整性和机密性保证可以提供对在包围区中运行的代码的真实性以及包围区代码的安全执行具有更高信任级别的包围区。可以通过特定包围区的软件证明来提供完整性保证。软件证明可以包括在包围区内的内容(指令和数据)的加密签名的散列，并且可以与关于包围区环境的数据组合。当包围区与硬件安全模块(HSM)(诸如符合可信计算组(TCG)可信平台模块(TPM)标准的硬件)结合使用时，包围区可以提供附加级别的安全性和机密性保证。

除了通过将可信本地包围区与包围区的隔离之外的不可信本地代码隔离而提供的安全性之外，包围区的软件证明可以支持远程的可信计算。远程包围区的证明可以提供对包围区中的指令执行的完整性以及由包围区处理的数据的机密性的信任。当由来自可信制造方的硬件提供远程包围区的证明时，即使当包围区驻留在由不可信方拥有和维护的未知计算机上时，也可以信任包围区。例如，当在基于因特网云的计算资源上租用计算资源时，通常就是这种情况。

发明内容

提出了用于抽象包围区平台的方法和系统。该方法可以包括由包围区抽象平台从包围区客户端接收用于使用包围区的第一请求。第一请求可以符合客户端抽象协议。可以将第一请求转换为符合与包围区本机平台相关联的包围区本机协议的第二请求。然后可以将第二请求发送给包围区本机平台。例如，第一请求可以是用于实例化包围区的请求、用于验证包围区的证明报告的请求、用于调入包围区的请求、或者用于分配与包围区和包围区客户两者共享的存储器的请求。本机平台可以符合英特尔软件保护扩展(SGX)包围区架构，并且本机平台可以符合微软虚拟安全模式(VSM)包围区架构。

附图说明

图1描绘了包围区系统的示例高级框图。

图2描绘了针对具有机密性保证的消息传递的示例过程。

图3描绘了针对具有完整性保证的消息传递的示例过程。

图4描绘了针对具有新鲜度保证的消息传递的示例过程。

图5描绘了针对包围区的软件证明的示例过程。

图6描绘了示例Diffe-Hellman(棣弗-赫尔曼)密钥交换(DKE)协议。

图7描绘了用于软件证明的示例信任链。

图8是用于示例本地包围区系统的软件组件接口的框图。

图9是用于具有抽象层的示例本地包围区系统的软件组件接口的框图。