The technology used to strengthen encryption operations is disclosed. In some embodiments, the technology utilizes the secure enclaves that can run in user mode and / or in the pre boot context to enhance the encryption operation usually performed by kernel mode programs. In some embodiments, the technology uses shared buffers and agents to enable encryption operations to be performed using the secure ground of the master control in the user mode. In additional embodiments, the technology utilizes one or more pre boot applications to enable safe enclaves in the pre boot stage, such as enabling the use of secure enclaves to decrypt the data that may be needed for the boot computing device.
【技术实现步骤摘要】
【国外来华专利技术】用于利用安全飞地来强化数据加密的技术
本公开总体上涉及用于利用一个或多个安全飞地(enclave)来强化数据加密的技术。更具体地,本公开涉及用于利用可以在用户模式下和/或在预引导情境下运行的安全飞地来强化通常由内核模式程序执行的数据加密操作的技术。还公开了采用这种技术的设备、系统和方法。
技术介绍
磁盘加密软件通常用于在信息被存储到数据存储设备(例如,硬盘驱动器、固态磁盘等)中或从所述数据存储设备中读取时对所述信息进行加密和解密。在这种实例中,通常由在内核模式下运行的应用使用加密密钥来执行。假若加密密钥(或者相应的解密密钥)仍受到保护,则利用加密密钥加密的数据通常是安全的。在此方面,各种各样的技术可用于防止加密和/或解密密钥免遭未授权方的访问。例如,可以通过在用户提供的密码短语中包封密钥、利用可信平台模块和/或智能卡来密封所述密钥等来保护所述密钥。虽然现有的密钥保护技术是有用的,但它们并不完全安全。这是由于以下事实:许多加密技术在正在对明文或密文进行加密操作时暴露了存储器中的密钥的明文。这为有野心的黑客和/或恶意软件获得密钥的明文提供了机会。例如,未授权的第三方可以执行所谓的“冷引导”攻击以使加密系统转储其物理存储器的内容(包括其中的密钥的明文),在此之后,所述第三方可以从所产生的转储文件中恢复密钥。可替代地,所述第三方可以执行所谓的“evilmaid(邪恶女仆)”攻击以安装键盘记录器来拦截在输入其时的用户密码短语,所述用户密码短语然后可由所述第三方使用以便恢复加密密钥的明文。类似地,可实施“blue-pill(蓝色药丸)”攻击以便在客户端系统的软件栈后方 ...
【技术保护点】
一种计算设备,所述计算设备被配置成用于利用在用户模式下执行的安全飞地来强化数据加密;所述计算设备包括:处理器;存储器;以及用户模式接口模块,至少部分地在所述处理器的内核模式下实现,其中,所述用户模式接口模块用于:在共享缓冲器中对未处理数据进行排队,所述共享缓冲器是所述用户模式接口模块和飞地主控模块可访问的,所述飞地主控模块至少部分地在所述处理器的用户模式下是可执行的,所述飞地主控模块主控安全飞地;以及向所述飞地主控模块提供经缓冲数据指示符,所述经缓冲数据指示符被配置成用于使所述安全飞地对所述未处理数据执行加密操作以便产生经处理数据。
【技术特征摘要】
【国外来华专利技术】2015.03.25 US 14/667,9161.一种计算设备,所述计算设备被配置成用于利用在用户模式下执行的安全飞地来强化数据加密;所述计算设备包括:处理器;存储器;以及用户模式接口模块,至少部分地在所述处理器的内核模式下实现,其中,所述用户模式接口模块用于:在共享缓冲器中对未处理数据进行排队,所述共享缓冲器是所述用户模式接口模块和飞地主控模块可访问的,所述飞地主控模块至少部分地在所述处理器的用户模式下是可执行的,所述飞地主控模块主控安全飞地;以及向所述飞地主控模块提供经缓冲数据指示符,所述经缓冲数据指示符被配置成用于使所述安全飞地对所述未处理数据执行加密操作以便产生经处理数据。2.如权利要求1所述的计算设备,进一步包括:存储映射器模块,所述存储映射器模块至少部分地在所述内核模式下是可执行的,其中,所述用户模式接口模块进一步用于从所述存储映射器模块接收所述未处理数据。3.如权利要求2所述的计算设备,其中,所述存储映射器模块用于拦截来自至少部分地在所述用户模式下执行的应用的一个或多个读请求,并且用于将所述一个或多个读请求所针对的未处理数据重新引导至所述用户模式接口模块。4.如权利要求2所述的计算设备,其中:所述用户模式接口模块进一步用于接收所述经处理数据;并且所述存储映射器模块进一步用于从所述用户模式接口模块接收所述经处理数据。5.如权利要求4所述的计算设备,其中,所述存储映射器模块进一步用于判定所述经处理数据是明文还是密文。6.如权利要求3所述的计算设备,其中,所述一个或多个读请求所针对的所述未处理数据包括密文,所述用户模式接口模块用于在所述共享缓冲器中对所述密文的至少一部分进行排队,并且所述加密操作包括对在所述共享缓冲器中排队的所述密文进行解密。7.如权利要求1所述的计算设备,其中,所述存储映射器模块用于拦截来自至少部分地在所述用户模式下执行的应用的一个或多个写请求,并且用于将与所述一个或多个写请求相关联的未处理数据重新引导至所述用户模式接口模块。8.如权利要求7所述的计算设备,其中,与所述一个或多个写请求相关联的所述未处理数据是明文,所述用户模式接口模块用于在所述共享缓冲器中对所述明文进行排队,并且所述加密操作包括对在所述缓冲器中排队的所述明文进行加密。9.如权利要求1至8中任一项所述的计算设备,其中:所述飞地主控模块用于向暴露于所述飞地主控模块和所述用户模式接口模块两者的代理发布系统调用;所述用户模式接口模块用于拦截所述系统调用;并且所述用户模式接口模块用于至少部分地通过释放所述系统调用来提供所述经缓冲数据指示符。10.如权利要求9所述的计算设备,其中,所述代理包括内核模式设备或数据结构。11.如权利要求1至8中任一项所述的计算设备,其中,所述安全飞地用于原位地执行所述加密操作,从而使得所述经处理数据被写入所述共享缓冲器中的与所述未处理数据的相应部分相同的位置中。12.如权利要求1至8中任一项所述的计算设备,其中,所述飞地主控模块进一步可操作用于提供完成指示符,所述完成指示符用于向所述用户模式接口模块指示由所述安全飞地执行的所述加密操作的至少一部分完成。13.一种利用在用户模式下执行的飞地来强化加密操作的方法,所述方法包括利用用于在处理器的内核模式下执行的用户模式接口模块进行的以下步骤:接收未处理数据;在共享缓冲器中对未处理数据进行排队,所述共享缓冲器是所述用户模式接口模块和飞地主控模块可访问的,所述飞地主控模块至少部分地在所述处理器的用户模式下执行,所述飞地主控模块主控安全飞地;以及向所述飞地主控模块提供经缓冲数据指示符,所述经缓冲数据指示符被配...
【专利技术属性】
技术研发人员:幸滨,R·拉尔,D·R·萨巴瑞迪,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。