CN104335549A - 安全数据处理 - Google Patents
安全数据处理 Download PDFInfo
- Publication number
- CN104335549A CN104335549A CN201380029827.9A CN201380029827A CN104335549A CN 104335549 A CN104335549 A CN 104335549A CN 201380029827 A CN201380029827 A CN 201380029827A CN 104335549 A CN104335549 A CN 104335549A
- Authority
- CN
- China
- Prior art keywords
- data
- inter
- trust domain
- data processing
- trust
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4204—Bus transfer protocol, e.g. handshake; Synchronisation on a parallel bus
- G06F13/4221—Bus transfer protocol, e.g. handshake; Synchronisation on a parallel bus being an input/output bus, e.g. ISA bus, EISA bus, PCI bus, SCSI bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/008—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
Abstract
本发明公开一种安全数据处理装置和方法。所述安全数据处理装置能操作以便安全处理用户提供的用户数据。所述安全数据处理装置包括:可信域(200),其包括与可信数据处理装置(220)耦合的可信总线,所述可信数据处理装置能操作以便处理通过所述可信总线接收的输入用户数据,并且生成输出用户数据;可信域控制器(210),其将所述可信总线与不可信域的不可信总线耦合,所述可信域控制器(210)能操作以便确保通过所述不可信总线接收的加密输入用户数据被解密并通过所述可信总线作为所述输入用户数据被提供,并且确保输出用户数据被加密并通过所述不可信总线作为加密输出数据被提供;以及数据存储器访问控制器(250),其将所述可信域控制器(210)和所述可信数据处理装置(220)与数据存储器(240)的存储总线(60)耦合,所述数据存储器访问控制器(250)能操作以便将从所述可信域控制器(210)和所述可信数据处理装置(220)接收的用于使用所述数据存储器(240)的成功请求限制为定址到所述数据存储器(240)的可信区域的那些请求。通过提供数据存储器访问控制器(250),可以限制每个设备能够访问的存储器,所述设备能操作以便生成对数据存储器(240)的访问周期,并且可以在通用计算系统中实现可信域(200)。可以通过在能够访问所述主RAM存储器(240)的每个硬件元件和存储总线(60)之间插入称为“地址防火墙”(250)的专用组件或数据存储器访问控制器(250),实现所述限制。
Description
技术领域
本发明涉及安全数据处理装置和方法。
背景技术
对于其中将计算和数据传递到远程计算机的云计算模式,导致需要对机密数据提供更好的保护。在许多云计算应用中,发送到云中的远程计算机的代码、要远程处理的数据,以及从远程处理操作输出的数据必须保密。
应该理解,在来往于远程计算机的传输中,数据和代码可以很容易被加密。但是,用户必须信任远程计算机及其系统管理员。
系统管理员通常有权访问发送到远程计算机的数据和代码。此外,不可信的潜在恶意软件可能在这些远程系统上运行,并且可能获得远程系统处理的数据的访问权限。
即使以加密格式将数据和代码发送到远程系统,但在大多数情况下,也必须对数据和代码进行解密,否则不能由云中的远程计算机处理。
传递到其它人(例如云提供者)拥有和管理的远程计算机的计算的机密性易于泄漏,并且可能丢失机密性。
用于提供可信远程计算站点的问题的安全解决方案必须在技术上有效,然而从实用和实现的角度看也负担得起。
需要提供一种安全数据处理装置。
发明内容
因此,第一方面提供一种安全数据处理装置,其可操作以便安全处理用户提供的用户数据,所述安全数据处理装置包括:可信域,其包括与可信数据处理装置耦合的可信总线,所述可信数据处理装置可操作以便处理通过所述可信总线接收的输入用户数据,并且生成输出用户数据;可信域控制器,其将所述可信总线与不可信域的不可信总线耦合,所述可信域控制器可操作以便确保通过所述不可信总线接收的加密输入用户数据被解密并通过所述可信总线作为所述输入用户数据被提供,并且确保输出用户数据被加密并通过所述不可信总线作为加密输出数据被提供;以及数据存储器访问控制器,其将所述可信域控制器和所述可信数据处理装置与数据存储器的存储总线耦合,所述数据存储器访问控制器可操作以便将从所述可信域控制器和所述可信数据处理装置接收的用于使用所述数据存储器的成功请求限制为定址到所述数据存储器的可信区域的那些请求。
所述第一方面意识到,隔离执行环境以便在计算系统中提供信任度通常可以通过提供存储保护硬件机构定向,所述存储保护硬件机构允许操作系统(OS)从安全的角度隔离不同用户的执行环境。
这些存储保护硬件机构通常需要CPU具有特定操作模式(所谓的Ring0),其中对所述CPU要运行的代码不应用限制。所述Ring 0操作模式用于设置和管理每个进程的隔离执行,并且因此必须信任在Ring 0下运行的所述软件。遗憾的是,在传统的操作系统中,恶意攻击者成功利用要在Ring0下运行或执行的代码中的错误,因此允许无特权进程获得与另一个进程关联的所述代码或数据的访问权限。因此,可以破坏所述系统的安全策略。还应该理解,恶意系统管理员可以控制要在Ring 0下执行的所述软件,并且因此可以注入恶意软件,从而绕过所述系统的所述安全策略。
在虚拟化环境(例如在云计算基础架构中实现的那些环境)中,可以使用传统的存储保护隔离不同虚拟机的执行。虚拟机监视程序(也称为系统管理程序)可操作以便嵌入代码,所述代码利用可用处理器(多个)的特定操作模式以便执行系统管理操作。攻击者可以在系统管理程序和超级调用的实现中利用错误,并且跨不同虚拟机适当地中断隔离属性。虚拟化环境基础架构的所有者通常针对该虚拟化环境的每个物理节点具有管理员访问权限,并且因此可以能够访问所述托管虚拟机管理的任何数据。因此,云计算基础架构的用户通常被迫信任所述提供者。
诸如同态加密之类的加密机制通过允许云提供者针对加密数据执行计算而不能解密或理解所述加密数据,尝试降低用户在使用云计算环境时的风险。这些同态加密技术可以具有范围限制,并且针对所述加密数据仅允许一组有限的操作。此外,这些技术仍然处于其初期阶段,并且仍然需要证明其有效性和可用性。
备选安全数据处理技术可以使用可信平台模块(TPM)技术。使用TPM可以确保不能篡改远程系统,即,不能修改启动链中包括的所有软件组件,但可以不提供有关软件错误的保证。
允许在不可信环境中实现机密计算的进一步备选技术将处理器与加密存储管理单元(MMU)关联。通过关联处理器、高速缓存和加密存储单元,产生安全处理器,所述安全处理器可操作以便在它自己的高速缓存中处理在主存储器中保持加密形式的数据。根据这种布置,所述加密存储单元对来往于所述安全处理器的所述高速缓存而传递的数据进行加密和解密。这种加密MMU的所述实时加密/解密能力很重要,因为每次发现所需数据未在所述高速缓存中以及从主存储器中检索加密数据时,激活这种MMU执行的加密和解密技术的所述实现。
在此描述的各个方面意识到,可以在系统中实现机制以便创建可信执行域,称为防火墙执行域(FDE)。这种FDE包括计算和存储资源,并且在“不可信”物理机中提供可信域。每个FDE通常具有强迫加密从所述FDE中输出的任何数据的能力,因此确保离开所述FDE的任何数据流的机密性。这种FDE可以实现为包含在扩展板中的片上系统(SoC)解决方案,所述扩展板要插入现有计算机架构的扩展槽中,例如PCI板。
因此,提供一种安全数据处理装置。所述安全数据处理装置可以操作以便安全处理用户提供的数据。所述安全数据处理装置可以包括可信域。所述可信域可以包括可信总线,其可以与可信数据处理装置耦合。所述可信数据处理装置可以能够处理通过所述可信总线接收的输入用户数据,并且可以生成输出用户数据。所述安全数据处理装置还可以包括可信域控制器。所述可信域控制器可以将所述可信总线与所述可信域控制器和不可信域的可信总线耦合。所述可信域控制器可以确保通过所述不可信总线接收的所述加密输入用户数据被解密。所述可信域控制器可以通过所述可信总线将所述解密输入用户数据作为所述输入数据提供。所述可信域控制器还可以确保输出用户数据被加密,并且通过所述不可信总线作为加密输出数据被提供。
通过提供将所述可信总线与不可信总线耦合,并且确保对输入用户数据进行解密同时对输出用户数据进行加密的可信域控制器,加密数据仅在所述不可信域中提供,这降低了损坏所述数据的可能性并且确保仅在所述可信域中处理解密数据,从而提高所述可信域中的所述处理性能。通过提供所述可信域控制器作为所述可信和不可信域之间的通道,可以避免访问所述可信域中的所述未加密数据。因此,可以确保所述数据的所述机密性而没有任何关联的处理性能下降。
所述第一方面进一步意识到,通过提供数据存储器访问控制器,可以限制每个设备能够访问的存储器,所述设备可操作以便生成对所述主RAM存储器的访问周期,可以在通用计算系统中实现防火墙执行域。根据所述第一方面,通过在能够访问所述主RAM存储器的每个硬件元件和存储总线之间插入称为“地址防火墙”的专用组件或数据存储器访问控制器,实现所述限制。
因此,可以通过在专用母板上插入商用现成芯片,实现防火墙执行域,所述芯片具有下面更详细描述的功能。跨防火墙执行域环境,对所述商用现成元件以及在物理机上提供的所述主RAM存储器的各个部分进行逻辑分区。地址防火墙硬件机构可操作以便保证在防火墙执行域中发生的数据和计算步骤的正确隔离和机密性。
在一个实施例中,所述数据存储器访问控制器可操作以便将从所述可信域控制器和所述可信数据处理装置接收的用于使用所述数据存储器的成功请求限制为定址到所述数据存储器的可信区域或公共区域的那些请求。因此,数据存储器访问控制器可操作以便拦截计算系统中的主机访问数据存储器(例如,系统RAM存储器)的任何尝试。如果被确定为在可信域中的主机进行所述存储访问尝试,则仅当所述目标存储地址被确定为“属于”所述相同可信域时,或者所述目标存储地址表示公共存储地址时,所述数据存储器访问控制器允许访问。当然,可以经由与所述可信域关联的可信域控制器路由该访问尝试。应该理解,如果该尝试是访问所述数据存储器访问控制器确定为属于在所述系统中实现的任何其它可信域的存储地址,则所述数据存储器访问控制器不允许系统中的主机的数据存储器访问尝试。
在一个实施例中,所述数据存储器访问控制器在所述数据存储器与所述可信域控制器和所述可信数据处理装置之间提供唯一接口。因此,所述数据存储器访问控制器控制所有数据存储器访问尝试。
在一个实施例中,所述数据存储器访问控制器包括可操作以便根据编程规则允许或拒绝访问所述数据存储器中的地址的硬件。通过提供要在硬件中实现的典型系统管理程序功能的子集,应该理解将减少所述数据存储器访问控制器的漏洞。即,通过提供被硬编码以便执行逻辑操作的硬件,减少了所述数据存储器受到未授权访问尝试的攻击,这是因为降低了所述硬件易受基于软件的攻击或出现缺陷的可能性。
在一个实施例中,所述安全数据处理装置包括多个可信域和可信域控制器,所述数据存储器访问控制器可操作以便将每个可信域控制器和每个可信数据处理装置与所述数据存储器的所述存储总线耦合,所述数据存储器访问控制器可操作以便将从每个可信域控制器和每个可信数据处理装置接收的用于使用所述数据存储器的成功请求限制为定址到与每个可信域和可信域控制器关联的所述数据存储器的可信区域的那些请求。应该理解,可以在所述相同物理系统中实现多个可信域。例如,如果云提供者希望为客户提供大量独立可信域,则可以出现这种情形。因此,所述数据存储器访问控制器可以操作以便实现规则,所述规则识别存在数据存储器的多个逻辑分区,这些逻辑分区操作以便在所述数据存储器中提供多个可信或安全区域,每个区域与对应可信域和数据存储器的通用公共区域关联,该通用公共区域与任何可信域没有关联。
在一个实施例中,所述数据存储器访问控制器可重新编程以便允许将所述数据存储器中的地址分配给与可信域关联的可信区域、公共区域,或者与至少一个其它可信域关联的受限区域。因此,每当启用或禁用系统中的可信域以及动态重新配置数据存储器中的关联存储空间时,应该理解也必须重新配置系统中的任何数据存储器访问控制器的行为。数据存储器访问控制器的这种重新配置可以与每个可信域重新配置同时发生。即,所述数据存储器访问控制器保持知道是否启用可信域,并且知道与可信域关联的配置的存储空间。实际上,可信域的所述动态重新配置可能不会非常频繁地发生。
应该理解,随着数据存储器访问控制器的存储区域的这种重新编程,当改变系统中的可信域的配置时,强制清除所述数据存储器(存储器)内容。进行这种重新编程以便确保数据不会从可信环境泄漏到不可信公共环境或不同可信环境。
这是一种有助于实现机密执行的机制。目标是防止仍然配置的新可信执行域在其指定的数据存储器(例如,“共享”RAM)中发现与先前可信域或者现有配置下的所述相同可信域关联的残留数据。因此,应该理解,每次重新配置可信域时,要么重新配置可信域控制器中的所述加密密钥,要么通过更改与该可信域关联的数据存储器区域的所述区域,则强制清除所述数据存储器(例如,RAM存储器)的所述受影响部分。
在一个实施例中,所述数据存储器访问控制器可操作以便支持对所述数据存储器的突发访问周期。某些系统架构支持对所述主数据存储器(例如,RAM存储器)的突发访问周期,其中访问多个连续存储地址而不会在每次访问时重复所述存储总线上的所述目标地址。这种访问周期例如对高速缓冲存储器和DMA控制器很有用。在这些情形中,数据存储器访问控制器可以操作以便鉴于启用的可信域,根据与系统数据存储器关联的规则,针对包括此类多个连续存储地址限制访问,而不会在每次访问时重复所述总线上的所述目标地址。
在一个实施例中,所述可信域控制器在所述可信域和所述不可信域之间提供唯一接口。通过提供所述可信域控制器作为所述可信和不可信域之间的所述唯一接口,可以确保数据的加密和解密。在某些实施例中,所述可信域控制器可以提供对所述可信域的所述唯一物理访问。
在一个实施例中,通过所述可信域控制器进行来往于用户的所述可信域和所述不可信域之间的所有数据传输。因此,必须进行适当的加密和解密。
在一个实施例中,所述可信域控制器对所述可信域和所述不可信域之间的所述数据传输进行强制加密和解密。
在一个实施例中,所述可信域控制器包括不可重新编程的加密硬件,其可操作以便针对所述可信域和所述不可信域之间的所述数据传输执行加密和解密。因此,可以将所述加密和解密过程硬连接到所述可信域控制器,以便不能对这些功能进行软件重写或重新编程,从而针对离开所述可信域的要加密的数据的要求避免任何恶意代码重写。
在一个实施例中,所述可信域控制器可操作以便使用相应的不可重新编程的加密和解密逻辑,针对所述可信域和所述不可信域之间的数据传输执行加密和解密。
在一个实施例中,所述加密和解密逻辑使用与所述用户交换的会话密钥。通过与所述用户交换会话密钥,仅所述用户和所述可信域控制器能够对在所述安全数据处理装置和所述用户之间传输的数据进行加密和解密。应该理解,这种密钥的所述建立不应依赖任何可信软件,并且所述可信域控制器的所述行为不应可改变或可重新配置,但所述会话密钥的所述重新配置除外。
在一个实施例中,所述用户将所述会话密钥以机密方式发送到所述可信域控制器,所述可信域控制器借助所述会话密钥,通过硬件机构重新配置它本身。
在一个实施例中,通过使用私有加密密钥从所述结构中标记所述可信域控制器,远程进行这种机密发送操作,所述私有加密密钥对应于所述用户信任的认证机构发布、认证和/或撤销的公共加密密钥。
在一个实施例中,所述用户使用所述公共密钥对消息进行加密,所述消息包含要在所述可信域控制器中重新配置的所述会话密钥。
在一个实施例中,所述可信域控制器在接收所述加密消息时,使用所述标记的私有加密密钥对其进行解密,并且使用所述用户提供的所述解密会话密钥重新配置所述可信域控制器。
在一个实施例中,所述可信数据处理装置包括至少一个核心和高速缓冲存储器。因此,所述可信域可以提供完整数据处理装置的一部分,并且例如可以是特定处理器的子集部分。
在一个实施例中,所述输入用户数据包括数据和可执行代码。因此,可以在所述用户和所述安全数据处理装置之间传输可执行代码和数据。这使所述用户能够使用所述安全数据处理装置的所述资源,以便代表所述用户执行数据处理任务。
在一个实施例中,所述可信数据处理器可操作以便通过执行未加密可执行代码,处理未加密数据。因此,所述可信处理器可以通过针对未加密代码和数据执行数据处理而正常操作。应该理解,这使所述可信数据处理器能够以其正常的最大性能水平运行。
在一个实施例中,所述可信域控制器可操作以便响应于用于重新配置所述可信域的请求,删除所述可信域中的用户数据。因此,每当重新配置所述可信域时,清除或刷新所述可信域的所述内容。当然,该可信域刷新可以包括刷新或清除与该可信域关联的所述数据存储器中的数据。
在一个实施例中,所述可信域控制器可操作以便在重新配置所述可信域之前,删除所述可信域中的用户数据。因此,在重新配置所述域以便由另一个用户或另一个用户会话使用之前,删除所述可信域中的信息。
在一个实施例中,所述可信域控制器包括不可重新编程的重置硬件,其可操作以便响应于用于重新配置所述可信域的所述请求,提供所述可信域的硬件控制的重置。因此,可以将所述重置功能硬连接到硬件,以便防止任何恶意软件操纵,否则所述恶意软件操纵可以阻止这种清除或刷新所述可信域中的所述内容。
在一个实施例中,用于重新配置所述可信域的所述请求包括所述会话密钥的更改。
在一个实施例中,用于重新配置所述可信域的所述请求包括所述会话密钥的更改,所述更改禁用加密和解密。
第二方面提供一种安全处理用户数据的方法,所述方法包括:处理通过可信总线接收的输入用户数据,并且生成输出用户数据;使用可信域控制器将所述可信总线与不可信域的不可信总线耦合,以便确保通过所述不可信总线接收的加密输入用户数据被解密并通过所述可信总线作为所述输入用户数据被提供,并且确保输出用户数据被加密并通过所述不可信总线作为加密输出数据被提供;使用数据存储器访问控制器将所述可信域控制器和所述可信数据处理装置与数据存储器的存储总线耦合,以便将从所述可信域控制器和所述可信数据处理装置接收的用于使用所述数据存储器的成功请求限制为定址到所述数据存储器的可信区域的那些请求。
在一个实施例中,所述数据存储器访问控制器将从所述可信域控制器和所述可信数据处理装置接收的用于使用所述数据存储器的成功请求限制为定址到所述数据存储器的可信区域或公共区域的那些请求。
在一个实施例中,所述数据存储器访问控制器被布置为在所述数据存储器与所述可信域控制器和所述可信数据处理装置之间提供唯一接口。
在一个实施例中,所述数据存储器访问控制器包括硬件,其可操作以便根据编程规则允许或拒绝访问所述数据存储器中的地址。
在一个实施例中,所述安全数据处理装置被配置为提供多个可信域和可信域控制器,并且所述数据存储器访问控制器将每个可信域控制器和每个可信数据处理装置与所述数据存储器的所述存储总线耦合,以便将从每个可信域控制器和每个可信数据处理装置接收的用于使用所述数据存储器的成功请求限制为定址到与每个可信域和可信域控制器关联的所述数据存储器的可信区域的那些请求。
在一个实施例中,所述方法包括对所述数据存储器访问控制器进行重新编程以便允许将所述数据存储器中的地址分配给与可信域关联的可信区域、公共区域,或者与至少一个其它可信域关联的受限区域。
在一个实施例中,所述方法包括配置所述数据存储器访问控制器以便支持对所述数据存储器的突发访问周期。
在一个实施例中,所述方法包括布置所述可信域控制器以便在所述可信域和所述不可信域之间提供唯一接口。
在一个实施例中,提供所述可信域控制器以便通过所述可信域控制器进行来往于用户的所述可信域和所述不可信域之间的所有数据传输。
在一个实施例中,所述可信域控制器对所述可信域和所述不可信域之间的所述数据传输进行强制加密和解密。
在一个实施例中,所述可信域控制器包括不可重新编程的加密硬件,其可操作以便针对所述可信域和所述不可信域之间的所述数据传输执行加密和解密。
在一个实施例中,所述可信域控制器可操作以便使用相应的不可重新编程的加密和解密逻辑,针对所述可信域和所述不可信域之间的数据传输执行加密和解密。
在一个实施例中,所述加密和解密逻辑使用与所述用户交换的会话密钥。
在一个实施例中,所述用户将所述会话密钥以机密方式发送到所述可信域控制器,所述可信域控制器借助所述会话密钥,通过硬件机构重新配置它本身。
在一个实施例中,通过使用私有加密密钥从所述结构中标记所述可信域控制器,远程进行这种机密发送操作,所述私有加密密钥对应于所述用户信任的认证机构发布、认证和/或撤销的公共加密密钥。
在一个实施例中,所述用户使用所述公共密钥对消息进行加密,所述消息包含要在所述可信域控制器中重新配置的所述会话密钥。
在一个实施例中,所述可信域控制器在接收所述加密消息时,使用所述标记的私有加密密钥对其进行解密,并且使用所述用户提供的所述解密会话密钥重新配置所述可信域控制器。
在一个实施例中,所述可信数据处理装置包括至少一个核心和高速缓冲存储器。
在一个实施例中,所述输入用户数据包括数据和可执行代码。
在一个实施例中,所述可信数据处理器可操作以便通过执行未加密可执行代码,处理未加密数据。
在一个实施例中,所述可信域控制器可操作以便响应于用于重新配置所述可信域的请求,删除所述可信域中的用户数据。
在一个实施例中,所述可信域控制器可操作以便在重新配置所述可信域之前,删除所述可信域中的用户数据。
在一个实施例中,所述可信域控制器包括不可重新编程的重置硬件,其可操作以便响应于用于重新配置所述可信域的所述请求,提供所述可信域的硬件控制的重置。
在一个实施例中,用于重新配置所述可信域的所述请求包括所述会话密钥的更改。
在一个实施例中,用于重新配置所述可信域的所述请求包括所述会话密钥的更改,所述更改禁用加密和解密。
在所附独立和从属权利要求中列出进一步的特定和优选方面。从属权利要求的特性可以与独立权利要求的特性适当地组合,并且不仅限于权利要求中明确列出的那些组合。
尽管将装置特性描述为可操作以便提供功能,但应该理解,这包括以下装置特性:其提供该功能或者适合于或被配置为提供该功能。
附图说明
现在将参考附图进一步描述本发明的实施例,这些附图是:
图1示意性地示出防火墙执行域的实例;
图2示意性地示出根据一个实施例的域地址防火墙组件的概览图;以及
图3示意性地示出根据一个实施例的域地址防火墙的内部细节。
具体实施方式
概述
图1通常示出在系统10中实现防火墙执行域100。图1中示出的系统包括防火墙执行域100、公共处理单元20、公共外围设备30以及公共RAM40。防火墙执行域(FDE)100包括可信加密单元(TCU)110,其可操作以便对离开和进入FDE 100的数据进行加密和解密。FDE进一步包括域处理单元120、域设备和外围设备130以及域RAM 140。
在以下任何CPU中,可操作以便在存储访问总线上发出RAM访问请求的外围设备、DMA控制器或通用启动器称为“主机”。在FDE 100内部的主机称为“域主机”,而位于FDE域外部的主机称为“公共主机”。
FDE 100具有多个设备130(包括主机,例如处理器120(和DMA通道))和存储空间140(根据物理存储地址指定)。通过硬件保证针对系统10中的不同FDE配置的存储空间分散。与不同FDE关联的存储空间140的分离可以是物理的(即,位于不同物理存储芯片中),或者是逻辑的。
允许系统10中的FDE 100仅正常访问它自己的存储空间140。仅允许FDE 100中的可信加密单元(TCU)110访问公共存储空间40,换言之,与FDE 100不关联的存储器。
允许可信加密单元110向公共存储空间40写入,但TCU可操作以便对从FDE 100中输出的任何数据进行强制加密。因此,保证对从防火墙执行域流向公共存储空间40的任何数据进行强制加密。从公共存储空间40,可以将数据路由到远程用户、永久性存储器件,或者系统10中的其它防火墙执行域。
防火墙执行域100的可信加密单元110可操作以便从公共存储器40读取数据,并且将其“复制”到与FDE 100关联的私有域存储空间140中。如果对复制的数据进行加密以便用于FDE 100中,则作为复制过程的一部分,TCU 110能够对数据进行解密。
在此描述的各个方面提供一种机制以便使用商用现成(COTS)硬件实现防火墙执行域,因此允许通过重用现有硬件芯片(例如处理器以及DMA控制器等),经济高效地实现FDE机制。
各个方面意识到,可以通过重用未修改的硬件组件(例如,处理器和存储器),在多处理器计算机上实现图1示意性地示出的FDE抽象机制。具体地说,各个方面和实施例意识到,通过限制每个设备(其可操作以便生成对主RAM存储器的访问周期)能够访问的存储器,可以在系统中实现防火墙执行域。根据某些实施例,通过在能够访问主RAM存储器的每个硬件元件和存储总线之间插入称为“地址防火墙”的专用组件,实现该限制。
因此,可以通过在专用母板上插入商用现成芯片,实现防火墙执行域,这些芯片具有下面更详细描述的功能。跨防火墙执行域环境,对商用现成元件以及在物理机上提供的主RAM存储器的各个部分进行逻辑分区。地址防火墙硬件机构可操作以便保证在防火墙执行域中发生的数据和计算步骤的正确隔离和机密性。
详细的地址防火墙描述
图2示意性地示出根据一个实施例的域地址防火墙组件的概览图。在图2中示出的系统10中,可以实现多个防火墙执行域200。每个防火墙执行域200包括可信加密单元210、域CPU(多个)和专用高速缓存220以及其它域主机230。所述系统进一步包括公共CPU(多个),其具有关联的专用高速缓存20和公共主机30。
应该理解,如图2中所示,可以在相同物理系统10中实现多个防火墙执行域200。例如,如果云提供者希望为客户提供大量独立防火墙执行域,则可以出现这种情形。
在这种系统的一个实现中,可以单独启用或禁用在相同物理系统上提供的多个防火墙执行域200,从而提高系统灵活性。在这种实现中,防火墙执行域仅在启用时与私有存储空间关联。应该理解,当禁用防火墙执行域时,将关联的资源(主机和RAM)重置为已知状态,并且释放它们以便形成系统的公共不可信资源的一部分。根据某些实施例,如果可以以编程方式更改与防火墙执行域关联的存储空间,则可以仅当禁用防火墙执行域时进行这种更改。
图2示意性地示出在此描述的各个方面和实施例。根据各个方面和实施例,禁止系统10中的所有主机执行地址防火墙50、250未授权的存储访问。每个地址防火墙50、250可操作以便在定址可用物理系统RAM 240时限制主机能力。在系统10中的任何主机(位于防火墙执行域内部的那些主机和位于任何防火墙执行域外部的那些公共设备)和存储访问总线60之间插入地址防火墙50、250。存储访问总线60可操作以便提供对系统10的主RAM存储器240的访问。
每个地址防火墙可操作以便拦截系统10中的主机访问系统RAM存储器240的任何尝试。如果被确定为在防火墙执行域中的主机进行存储访问尝试,则仅当目标存储地址被确定为“属于”相同防火墙执行域时,或者目标存储地址表示公共存储地址时,地址防火墙允许访问。当然,可以经由与防火墙执行域关联的可信加密单元210路由该访问尝试。应该理解,地址防火墙250、50不允许系统中的主机的访问尝试,如果该尝试是访问属于系统10中的任何其它防火墙执行域的存储地址。
每当启用或禁用系统中的防火墙执行域以及动态重新配置关联的存储空间时,应该理解也需要重新配置系统10中的所有地址防火墙的行为。地址防火墙的这种重新配置必须与每个防火墙执行域重新配置同时发生。即,地址防火墙必须保持知道是否启用防火墙执行域,并且知道与防火墙执行域关联的配置的存储空间。实际上,防火墙执行域的动态重新配置可能不会非常频繁地发生。
某些系统架构支持对主RAM存储器的突发访问周期,其中访问多个连续存储地址而不会在每次访问时重复总线上的目标地址。这种访问周期例如对高速缓冲存储器和DMA控制器很有用。在这些情形中,地址防火墙可操作以便鉴于启用的防火墙执行域,根据与系统RAM存储器240关联的规则,针对包括此类多个连续存储地址限制访问,而不会在每次访问时重复总线上的目标地址。
地址防火墙功能
图3示意性地示出根据一个实施例的域地址防火墙的内部细节。图3示出域地址防火墙块的内部逻辑功能的一部分。示出的实现反映通用系统,其中可以在相同系统中实现多个防火墙执行域,并且可以单独启用或禁用这些防火墙执行域。可以通过适当的寄存器,动态配置与每个防火墙执行域关联的存储空间。在示出的实现中,属于禁用的防火墙执行域的主机可以用于系统的公共“不可信”部分进行的计算。
与系统一起提供的每个防火墙执行域包括防火墙域控制寄存器(FDCR)310a、310b、310c和防火墙域状态寄存器(FDSR)。在图2中,它们标记为FDnCR和FDnSR,因为它们指通用防火墙执行域n。
FDCR 310a、310b、310c可操作以便控制防火墙执行域的配置。即,控制寄存器可操作以便控制是否启用域,并且控制与域关联的地址空间。在图3中示出的实现中,根据属于域的物理地址的最高K个位的特定值,指定域的“私有”地址空间。因此,在示出的实施例中,每个FDnCR寄存器包含地址掩码320a、320b、320c以及这K个位值,地址防火墙300将该值与在存储访问周期内访问的地址的最高K个位比较。如果两个值相等,则存储周期尝试访问属于域的存储地址。
每个FDSR报告有关给定域的状态信息,例如是否启用域以及地址防火墙300是否检测到错误,FDSR还可以包括与各种类型的可能检测到的错误关联的计数器。
地址防火墙300可操作以便拦截系统中的主机访问系统的主存储器的任何尝试。仅当目标地址满足以下条件时,允许访问尝试,“已启用访问?”线400上的逻辑“1”:
-未落在系统上任何其它启用的防火墙执行域的地址范围内,如其相应的FDCR配置寄存器310a、310b报告的那样;
-要么:未启用地址防火墙所属的域,通过对应的“启用的位”寄存器410中的逻辑“0”表示;要么目标地址落在域中配置的地址范围内,如域FDCR配置寄存器310c报告的那样;
-或者如果访问经由与域FDCR 310c关联的可信加密单元,“TCU访问?”线420上的逻辑“1”。
如果存储访问的目标地址的K个最高位等于其它启用的域的任何“允许的地址掩码”寄存器,则“任何启用的位相等?”框作为输出逻辑“1”提供,即,将其“启用的位”设置为“1”。
当FDE的TCU将访问主存储器时,“TCU访问”线将是“1”,允许TCU既访问域的私有RAM之外的地址,并且也访问任意其他启用的域的任意私有RAM(也称为公共RAM)之外的地址。
通过比较存储物理地址的最高有效K个位与在域的FDCR寄存器中配置的常量,有效地检查属于防火墙域的地址范围的地址。如果机器支持N个位的物理地址空间,则这允许配置2K个不同域,每个域最多具有2(N-K)字节的域存储器。
根据图3中示意性地示出的方案,需要比较在每次存储操作中访问的地址与在系统中的所有启用的域中配置的地址掩码。根据一个可能的实施例,为了避免系统中的瓶颈,每次更改这种寄存器值时,可以通过允许硬件可操作以便将与每个启用的域关联的允许地址掩码复制到每个其它域,实现比较。
应该理解,未位于任何防火墙执行域中的地址防火墙的内部逻辑不同于图3中示出的逻辑。这种地址防火墙是图3中示出的方案的简化版本,并且这种地址防火墙的逻辑可操作以便假设始终禁用地址防火墙的域。
如果更改域的FDCR的内容,则根据一个实施例,地址防火墙(未示出)的硬件逻辑可操作以便保证:每个防火墙域在禁用(通过在对应FDCR中的“启用的位”中写入逻辑“0”)时具有完全重置的关联存储内容,并且与防火墙域关联的任何CPU(多个)具有暂停并且重置的进程执行。硬件逻辑还可以操作以便确保在禁用域时,不能更改防火墙执行域的FDCR。
地址防火墙安全性
地址防火墙可能不可操作以便防止对硬件的复杂物理攻击,例如通过构建定制硬件篡改,在形成系统的商用现成芯片和富有如上所述的地址防火墙组件的母板之间插入该硬件。篡改硬件可以允许物理机的所有者监视在防火墙执行域中进行的活动。与片上系统防火墙执行域(其中可以以防篡改方式制造整个芯片)相比,如上所述的商用现成防火墙执行域实现提供更便宜和更可行的防火墙执行域经济实现,因为它允许使用商用现成硬件元件。
在云计算环境中,根据某些实施例,可以将地址防火墙与第三方认证过程耦合,该认证过程可操作以便定期验证云提供者的计算设备未改变或未与可疑/恶意硬件元件结合使用。根据某些实施例,在可以启动系统之前,可以利用TPM技术以便确保仅将授权的商用现成硬件元件连接到物理系统。这些实施例可以允许用户获得有关远程硬件未被篡改的改进的置信度级别。
与加密MMU机制(其针对每次访问主存储器需要昂贵的加密操作)相比,地址防火墙仅需要简单比较访问的物理地址的K个最高有效位。因此,可以使用更简单、更便宜的逻辑实现地址防火墙。
各个方面和实施例允许例如云计算服务的用户建立某种置信度,其关于云计算提供者具有精简装置以便监视传递到云提供者以进行远程处理的数据和/或代码。可以通过完善的加密算法和芯片制造商保证的硬件芯片,理解有关数据和执行的计算的改善的机密性。因此,可以跨一组域启用云计算的使用,否则在这些域中安全问题可能阻碍应用云计算方法。
在此描述的地址防火墙在硬件级别提供强有力的机密性保证。如果系统外部的攻击者或者来自在系统中运行的虚拟机的攻击者(在防火墙执行域内部或防火墙执行域外部)“侵入”,则该攻击者能够执行的全部操作是查看加密数据,攻击者由于缺少必需的解密密钥(多个)而不能对该加密数据进行解密。
应该理解,所属技术领域的技术人员很容易地意识到,上述各种方法的步骤可以由程控计算机执行。在此,某些实施例也旨在包括程序存储器件(例如,机器或计算机可读的数字数据存储介质),并且对机器可执行或计算机可执行指令程序编码,其中所述指令执行所述上述方法的部分或全部步骤。程序存储器件例如可以是数字存储器、磁存储介质(例如磁盘和磁带)、硬盘驱动器,或者光可读数字数据存储介质。实施例也旨在包括被编程为执行上述方法的所述步骤的计算机。
附图中示出的各种元件(包括标记为“处理器”或“逻辑”的任何功能框)的功能,可以通过使用专用硬件以及能够执行软件的硬件与适当软件结合来提供。当由处理器提供时,功能可以由单个专用处理器、单个共享处理器,或者多个单独处理器(其中某些处理器可以共享)提供。此外,显式使用术语“处理器”或“控制器”或“逻辑”不应被解释为专门指能够执行软件的硬件,并且可以隐式包括但不限于数字信号处理器(DSP)硬件、网络处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、用于存储软件的只读存储器(ROM)、随机存取存储器(RAM),以及非易失性存储装置。也可以包括其它常规和/或定制硬件。同样,附图中示出的任何交换机仅是概念性的。可以通过程序逻辑操作、通过专用逻辑、通过程序控制和专用逻辑的交互,或者甚至手动执行它们的功能,特定技术可由实施者选择,如从上下文更具体理解的那样。
所属技术领域的技术人员应该理解,此处的任何框图表示采用本发明原理的示例性电路的概念图。同样,应该理解,任何流程图、状态转换图、伪代码等表示各种过程,这些过程可以基本上以计算机可读介质表示,并且因此由计算机或处理器执行,而无论这种计算机或处理器是否明确示出。描述和附图仅示出本发明的原理。因此,应该理解,所属技术领域的技术人员能够设计各种布置,这些布置尽管未在此明确描述或示出,但包含本发明的原理并且包括在权利要求限定的本发明的范围内。此外,在此描述的所有实例主要旨在专门仅用于教学目的以便帮助读者进一步理解本发明的原理和发明者(多个)提供的概念,并且被解释为不限于这些具体描述的实例和条件。此外,在此描述本发明的原理、方面和实施例的所有说明以及其特定实例,都旨在包含其等效内容。
Claims (14)
1.一种能操作以便安全处理用户提供的用户数据安全数据处理装置(10),所述安全数据处理装置包括:
可信域(100),包括与可信数据处理装置(120)耦合的可信总线,所述可信数据处理装置(120)能操作以便处理通过所述可信总线接收的输入用户数据,并且生成输出用户数据;
可信域控制器(110),将所述可信总线与不可信域的不可信总线耦合,所述可信域控制器能操作以便确保通过所述不可信总线接收的加密输入用户数据被解密并通过所述可信总线作为所述输入用户数据被提供,并且确保输出用户数据被加密并通过所述不可信总线作为加密输出数据被提供;以及
数据存储器访问控制器,将所述可信域控制器(110)和所述可信数据处理装置(120)与数据存储器(140)的存储总线耦合,所述数据存储器访问控制器能操作以便将从所述可信域控制器(110)和所述可信数据处理装置(120)接收的用于使用所述数据存储器的成功请求限制为定址到所述数据存储器(140)的可信区域的那些请求。
2.根据权利要求1所述的安全数据处理装置,
其中所述数据存储器访问控制器在所述数据存储器(140)和所述可信域控制器(110)之间以及在所述数据存储器(140)和所述可信数据处理装置(120)之间提供唯一接口。
3.根据上述任一权利要求所述的安全数据处理装置,
其中所述数据存储器访问控制器包括能操作以便根据编程规则允许或拒绝访问所述数据存储器(140)中的地址的硬件。
4.根据上述任一权利要求所述的安全数据处理装置,
该安全数据处理装置包括多个可信域(100)和可信域控制器(110),所述数据存储器访问控制器能操作以便将每个所述可信域控制器(110)和每个所述可信数据处理装置(120)与所述数据存储器的所述存储总线耦合,所述数据存储器访问控制器能操作以便将从每个可信域控制器(110)和每个可信数据处理装置接收的用于使用所述数据存储器(140)的成功请求限制为定址到与每个可信域和可信域控制器关联的所述数据存储器(140)的可信区域的那些请求。
5.根据上述任一权利要求所述的安全数据处理装置,
其中所述数据存储器访问控制器能重新编程以便允许将所述数据存储器(140)中的地址分配给与所述可信域(100)关联的可信区域、公共区域、或者与至少一个其它可信域(100)关联的受限区域。
6.根据上述任一权利要求所述的安全数据处理装置,
其中所述数据存储器访问控制器能操作以便支持对所述数据存储器(140)的突发访问周期。
7.根据上述任一权利要求所述的安全数据处理装置,
其中所述可信域控制器在所述可信域(100)和所述不可信域之间提供唯一接口。
8.根据上述任一权利要求所述的安全数据处理装置,
其中通过所述可信域控制器(110)进行所述可信域(110)和所述不可信域之间的所有数据传输。
9.根据上述任一权利要求所述的安全数据处理装置,
其中由所述可信域控制器对所述可信域和所述不可信域之间的数据传输进行强制加密和解密。
10.根据上述任一权利要求所述的安全数据处理装置,
其中所述可信域控制器(110)包括能操作以便对所述可信域(100)和所述不可信域之间的所述数据传输执行加密和解密的不可重新编程的加密硬件。
11.根据上述任一权利要求所述的安全数据处理装置,
其中所述可信域控制器能操作以便使用相应的不可重新编程的加密和解密逻辑来对所述可信域和所述不可信域之间的数据传输执行加密和解密。
12.根据上述任一权利要求所述的安全数据处理装置,
其中所述加密和解密逻辑使用与所述用户交换的会话密钥。
13.根据上述任一权利要求所述的安全数据处理装置,
其中所述可信数据处理装置包括至少一个核心和高速缓冲存储器。
14.一种安全处理用户数据的方法,所述方法包括:
处理通过可信总线接收的输入用户数据,并且生成输出用户数据;
使用可信域控制器(110)将所述可信总线与不可信域的不可信总线耦合,以便确保通过所述不可信总线接收的加密输入用户数据被解密并通过所述可信总线作为所述输入用户数据被提供,并且确保输出用户数据被加密并通过所述不可信总线作为加密输出数据被提供;
使用数据存储器访问控制器将所述可信域控制器(110)和可信数据处理装置(120)与数据存储器(140)的存储总线耦合,以便将从所述可信域控制器(110)和所述可信数据处理装置接收的用于使用所述数据存储器(140)的成功请求限制为定址到所述数据存储器(140)的可信区域的那些请求。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP12360044.7 | 2012-06-07 | ||
| EP12360044.7A EP2672672A1 (en) | 2012-06-07 | 2012-06-07 | Secure data processing |
| PCT/EP2013/001602 WO2013182285A1 (en) | 2012-06-07 | 2013-05-31 | Secure data processing |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104335549A true CN104335549A (zh) | 2015-02-04 |
Family
ID=48918351
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380029827.9A Pending CN104335549A (zh) | 2012-06-07 | 2013-05-31 | 安全数据处理 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20150294117A1 (zh) |
| EP (1) | EP2672672A1 (zh) |
| CN (1) | CN104335549A (zh) |
| WO (1) | WO2013182285A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104899506A (zh) * | 2015-05-08 | 2015-09-09 | 深圳市雪球科技有限公司 | 基于可信执行环境中虚拟安全元件的安全系统实现方法 |
| CN109417573A (zh) * | 2016-07-07 | 2019-03-01 | 微软技术许可有限责任公司 | 用于计算系统的应用驱动的存储系统 |
| CN109508555A (zh) * | 2017-09-15 | 2019-03-22 | 英特尔公司 | 使用可信域在虚拟化系统中提供隔离 |
| CN110321736A (zh) * | 2018-03-30 | 2019-10-11 | 厦门雅迅网络股份有限公司 | 双系统硬件设备共享方法及计算机可读存储介质 |
| CN110997442A (zh) * | 2017-08-24 | 2020-04-10 | 高通股份有限公司 | 用于提供对硬件资源的访问控制的计算装置 |
| CN111382107A (zh) * | 2018-12-29 | 2020-07-07 | 阿里巴巴集团控股有限公司 | 一种应用处理器、协处理器及数据处理设备 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3036680B1 (en) * | 2013-08-21 | 2018-07-18 | Intel Corporation | Processing data privately in the cloud |
| US9413765B2 (en) * | 2014-03-25 | 2016-08-09 | Intel Corporation | Multinode hubs for trusted computing |
| GB2539199B (en) * | 2015-06-08 | 2018-05-23 | Arm Ip Ltd | Apparatus and methods for transitioning between a secure area and a less-secure area |
| US9954681B2 (en) * | 2015-06-10 | 2018-04-24 | Nxp Usa, Inc. | Systems and methods for data encryption |
| US10110566B2 (en) * | 2015-07-21 | 2018-10-23 | Baffle, Inc. | Systems and processes for executing private programs on untrusted computers |
| US9819653B2 (en) * | 2015-09-25 | 2017-11-14 | International Business Machines Corporation | Protecting access to resources through use of a secure processor |
| US10152350B2 (en) * | 2016-07-01 | 2018-12-11 | Intel Corporation | Secure domain manager |
| US10887291B2 (en) | 2016-12-16 | 2021-01-05 | Amazon Technologies, Inc. | Secure data distribution of sensitive data across content delivery networks |
| CN109392096B (zh) * | 2017-08-04 | 2020-11-03 | 华为技术有限公司 | 一种资源配置方法和装置 |
| US11159498B1 (en) * | 2018-03-21 | 2021-10-26 | Amazon Technologies, Inc. | Information security proxy service |
| US10979403B1 (en) | 2018-06-08 | 2021-04-13 | Amazon Technologies, Inc. | Cryptographic configuration enforcement |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1370084A1 (en) * | 2002-05-29 | 2003-12-10 | ATI Technologies Inc. | System for protecting security registers and method thereof |
| US6836847B1 (en) * | 1999-03-05 | 2004-12-28 | The Johns Hokins University | Software protection for single and multiple microprocessor systems |
| US20070199046A1 (en) * | 2006-02-22 | 2007-08-23 | Harris Corporation | Computer architecture for a handheld electronic device |
| US20080282093A1 (en) * | 2007-05-09 | 2008-11-13 | Sony Computer Entertainment Inc. | Methods and apparatus for secure programming and storage of data using a multiprocessor in a trusted mode |
| CN101520753A (zh) * | 2008-02-29 | 2009-09-02 | Arm有限公司 | 数据处理设备和控制虚拟机对安全存储器的访问的方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6525971B2 (en) * | 1995-06-30 | 2003-02-25 | Micron Technology, Inc. | Distributed write data drivers for burst access memories |
| JP3627384B2 (ja) * | 1996-01-17 | 2005-03-09 | 富士ゼロックス株式会社 | ソフトウェアの保護機能付き情報処理装置及びソフトウェアの保護機能付き情報処理方法 |
| WO2002095553A2 (en) * | 2001-05-18 | 2002-11-28 | Imprivata Inc. | Biometric authentication for remote initiation of actions and services |
-
2012
- 2012-06-07 EP EP12360044.7A patent/EP2672672A1/en not_active Withdrawn
-
2013
- 2013-05-31 WO PCT/EP2013/001602 patent/WO2013182285A1/en active Application Filing
- 2013-05-31 US US14/405,894 patent/US20150294117A1/en not_active Abandoned
- 2013-05-31 CN CN201380029827.9A patent/CN104335549A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6836847B1 (en) * | 1999-03-05 | 2004-12-28 | The Johns Hokins University | Software protection for single and multiple microprocessor systems |
| EP1370084A1 (en) * | 2002-05-29 | 2003-12-10 | ATI Technologies Inc. | System for protecting security registers and method thereof |
| US20070199046A1 (en) * | 2006-02-22 | 2007-08-23 | Harris Corporation | Computer architecture for a handheld electronic device |
| US20080282093A1 (en) * | 2007-05-09 | 2008-11-13 | Sony Computer Entertainment Inc. | Methods and apparatus for secure programming and storage of data using a multiprocessor in a trusted mode |
| CN101520753A (zh) * | 2008-02-29 | 2009-09-02 | Arm有限公司 | 数据处理设备和控制虚拟机对安全存储器的访问的方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104899506A (zh) * | 2015-05-08 | 2015-09-09 | 深圳市雪球科技有限公司 | 基于可信执行环境中虚拟安全元件的安全系统实现方法 |
| CN104899506B (zh) * | 2015-05-08 | 2018-01-12 | 深圳市雪球科技有限公司 | 基于可信执行环境中虚拟安全元件的安全系统实现方法 |
| CN109417573A (zh) * | 2016-07-07 | 2019-03-01 | 微软技术许可有限责任公司 | 用于计算系统的应用驱动的存储系统 |
| CN110997442A (zh) * | 2017-08-24 | 2020-04-10 | 高通股份有限公司 | 用于提供对硬件资源的访问控制的计算装置 |
| CN110997442B (zh) * | 2017-08-24 | 2023-02-28 | 高通股份有限公司 | 用于提供对硬件资源的访问控制的计算装置 |
| CN109508555A (zh) * | 2017-09-15 | 2019-03-22 | 英特尔公司 | 使用可信域在虚拟化系统中提供隔离 |
| CN110321736A (zh) * | 2018-03-30 | 2019-10-11 | 厦门雅迅网络股份有限公司 | 双系统硬件设备共享方法及计算机可读存储介质 |
| CN111382107A (zh) * | 2018-12-29 | 2020-07-07 | 阿里巴巴集团控股有限公司 | 一种应用处理器、协处理器及数据处理设备 |
| CN111382107B (zh) * | 2018-12-29 | 2023-04-25 | 阿里巴巴集团控股有限公司 | 一种应用处理器、协处理器及数据处理设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2672672A1 (en) | 2013-12-11 |
| WO2013182285A1 (en) | 2013-12-12 |
| US20150294117A1 (en) | 2015-10-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104335549A (zh) | 安全数据处理 | |
| US11416415B2 (en) | Technologies for secure device configuration and management | |
| CN109844751B (zh) | 用于提供信息隔离的方法和处理器 | |
| US10614216B2 (en) | Paravirtualized security threat protection of a computer-driven system with networked devices | |
| EP3326105B1 (en) | Technologies for secure programming of a cryptographic engine for secure i/o | |
| US8484486B2 (en) | Integrated cryptographic security module for a network node | |
| US9674153B2 (en) | Secure data processing | |
| WO2018149110A1 (zh) | 密钥保护方法及装置 | |
| US20130081103A1 (en) | Enhanced Security SCADA Systems and Methods | |
| US11575672B2 (en) | Secure accelerator device pairing for trusted accelerator-to-accelerator communication | |
| Ayoade et al. | Secure data processing for IoT middleware systems | |
| JP7256862B2 (ja) | 保護されたコンテナ間のセキュア通信方法およびそのシステム | |
| Kornaros et al. | Hardware-assisted security in electronic control units: Secure automotive communications by utilizing one-time-programmable network on chip and firewalls | |
| US10310990B2 (en) | Direct memory access encryption with application provided keys | |
| US10346608B2 (en) | Virus immune computer system and method | |
| US10452565B2 (en) | Secure electronic device | |
| CN112016090A (zh) | 安全计算卡,基于安全计算卡的度量方法及系统 | |
| Coppola et al. | Automation for industry 4.0 by using secure lorawan edge gateways | |
| Kornaros et al. | Securing Dynamic Firmware Updates of Mixed-Critical Applications | |
| KR101236991B1 (ko) | 하드디스크 암호화를 위한 장치 및 방법 | |
| Suciu | Practical Hardware-Enforced Protections for Mobile Devices | |
| CN110059489A (zh) | 安全电子设备 | |
| CN116186727A (zh) | 一种数据加密方法、解密方法及其相关设备 | |
| WO2008074472A2 (en) | Driver apparatus and application for securing communication | |
| Malipatlolla | SUSTAINABLE TRUSTED COMPUTING |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150204 |