[发明专利]用于远程SGX飞地认证的技术

说明书

描述了用于远程SGX飞地认证的技术。证明服务可以用于证明在启用软件防护扩展(SGX)的平台上成功建立了飞地。进一步地，在实施例中，证明服务可以用作公证制度来证明公钥证书是由特定SGX飞地生成的，并且因此可被其他远程飞地信任以供认证。在实施例中，客户端侧SGX飞地可以生成公共‑私有密钥对(SK，PK)；计算PK的密码散列H；创建包含H的报告R；从引用飞地组件获得关于所述报告R的引用Q；从证明服务获得远程证明响应RA；以及将RA和PK广播至一个或多个服务侧SGX飞地。描述并要求保护了其他实施例。

相关申请

本申请根据35 U.S.C.§119(e)要求于2017年2月22日提交的名称为“TECHNIQUESFOR REMOTE SGX ENCLAVE AUTHENTICATION(用于远程SGX飞地认证的技术)”的美国临时申请号62/462,298的优先权的权益，所述美国临时申请通过引用以其全文结合在此。

技术领域

本公开总体上涉及用于在分布式计算环境内的认证的技术。

背景技术

在利用可信执行环境的一些设备中，可以在安全环境(被称为飞地)中执行和/或存储应用的敏感部分以便保护代码和数据两者免受损害。在分布式应用(比如物联网(IoT)系统)中，在一个示例中，驻留在不同处理器上的飞地可能需要互相认证以建立安全的通信信道。许多当前解决方案依赖于集中式可信机构来认证在分布式系统内的两个远程飞地。在一些情况下，使用集中式可信机构可能暴露一方或多方的身份，这可能不是那些支持匿名所期望的。因此，期望可以不需要集中式可信机构来在分布式系统内的飞地之间执行认证的改进技术。

发明内容

下文中呈现了简要概述以便提供对本文中所描述的一些新颖性实施例的基础理解。本发明内容并非扩展性概览，并且其并不旨在识别密钥/关键元素或描绘其范围。本发明唯一目的是以简化的形式呈现一些概念，作为稍后呈现的更详细描述的序。

描述了用于远程飞地认证的技术。证明服务(比如，英特尔证明服务(IAS))可以用于证明在启用软件防护扩展(SGX)的平台上成功建立了飞地。进一步地，在实施例中，IAS可以用作公证制度来证明公钥证书是由特定SGX飞地生成的，并且因此可以被其他远程飞地信任以供认证。在实施例中，客户端侧SGX飞地可以生成公共-私有密钥对(SK，PK)；计算PK的密码散列H；创建包含H的报告R；从引用飞地组件处获得关于所述报告R的引用Q；从证明服务处获得远程证明响应RA；以及将RA和PK广播至一个或多个服务侧SGX飞地。描述并要求保护了其他实施例。

为了实现上述及相关目的，在此结合以下描述和附图描述了某些说明性方面。这些方面指示可以实践本文中所公开的原理的各种方式，并且所有方面及其等效物都旨在落入所要求保护的主题的范围内。在结合附图考虑时从以下具体实施方式中，其他优点和新颖特征将变得明显。

附图说明

图1展示了操作环境的实施例。

图2展示了可信飞地系统的实施例。

图3展示了可信飞地系统的架构。

图4展示了系统的实施例。

图5展示了根据实施例的逻辑流程。

图6A展示了根据实施例的逻辑流程。

图6B展示了根据实施例的逻辑流程。

图7展示了根据实施例的制品。

图8展示了集中式系统的实施例。

图9展示了分布式系统的实施例。

图10展示了计算架构的实施例。

图11展示了通信架构的实施例。

具体实施方式