技術(shù)領(lǐng)域

本發(fā)明涉及一種安全的數(shù)據(jù)處理裝置和方法。

背景技術(shù)

安全的數(shù)據(jù)處理是眾所周知的。安全的數(shù)據(jù)處理在例如云計(jì)算中使用的那些分散式計(jì)算體系結(jié)構(gòu)中尤為重要。當(dāng)進(jìn)行這樣的云計(jì)算時(shí)，在云中被發(fā)送至遠(yuǎn)程計(jì)算機(jī)中的任意代碼和被發(fā)送以進(jìn)行遠(yuǎn)程處理的任意用戶數(shù)據(jù)，以及從遠(yuǎn)程數(shù)據(jù)處理操作輸出的數(shù)據(jù)通常需要保密。

盡管存在各種技術(shù)以試圖保護(hù)這些數(shù)據(jù)的保密性，他們中的每一個(gè)都有其各自的不足之處。

因此，需要提供一種改進(jìn)的技術(shù)用于執(zhí)行安全數(shù)據(jù)處理。

發(fā)明內(nèi)容

根據(jù)第一方面，提供了一種安全的數(shù)據(jù)處理裝置，其可操作以安全地處理用戶提供的用戶數(shù)據(jù)，該安全數(shù)據(jù)處理設(shè)備包括：受信任的域，包括與受信任的數(shù)據(jù)處理裝置耦合的受信任的總線，所述受信任的數(shù)據(jù)處理裝置可操作以處理在該受信任的總線上接收到的輸入用戶數(shù)據(jù)，并生成輸出的用戶數(shù)據(jù)；受信任域控制器，將受信任的總線與非受信任的域中不受信任的總線耦合，所述受信任域控制器能夠操作以確保對(duì)在該不受信任的總線上接收到的已加密的輸入用戶數(shù)據(jù)進(jìn)行解密并在受信任的總線上將其作為輸入數(shù)據(jù)提供，并且確保對(duì)輸出用戶數(shù)據(jù)進(jìn)行加密并在不受信任的總線上將其作為加密的輸出數(shù)據(jù)提供。

所述第一方面認(rèn)識(shí)到，存儲(chǔ)器保護(hù)硬件機(jī)制的傳統(tǒng)目標(biāo)是執(zhí)行環(huán)境和信任之間的隔離，從安全角度來看，該機(jī)制允許操作系統(tǒng)隔離不同用戶的執(zhí)行環(huán)境。其試圖確保無特權(quán)的用戶不能訪問彼此的數(shù)據(jù)，也不能壓倒系統(tǒng)管理員所做的決策和配置。這通常由執(zhí)行適當(dāng)?shù)拇鎯?chǔ)器管理單元配置的操作系統(tǒng)內(nèi)核在切換一個(gè)用戶進(jìn)程時(shí)實(shí)現(xiàn)，所述進(jìn)程僅可訪問系統(tǒng)中可用物理存儲(chǔ)器的一個(gè)子集，并且如果需要的話以適當(dāng)?shù)闹蛔x限制的方式。然而，第一方面認(rèn)識(shí)到，該機(jī)制依然允許處理器有特殊的操作模式(即所謂的“Ring 0”)，在該操作模式中，對(duì)運(yùn)行的代碼可以做什么沒有限制。該Ring 0被用于設(shè)置和管理各個(gè)進(jìn)程執(zhí)行的隔離，并且因此在Ring 0中運(yùn)行的軟件必須是受信任的。可惜的是，在傳統(tǒng)的操作系統(tǒng)中，惡意攻擊者對(duì)操作系統(tǒng)內(nèi)核和系統(tǒng)調(diào)用實(shí)現(xiàn)中的缺陷(bug)進(jìn)行的利用已經(jīng)獲得成功，因此允許例如非特權(quán)進(jìn)程在操作系統(tǒng)上獲得管理員權(quán)限，并最后能夠破壞系統(tǒng)中的任何安全策略。同時(shí)，作為操作系統(tǒng)中的特權(quán)進(jìn)程，系統(tǒng)進(jìn)程和服務(wù)中的缺陷可以用來執(zhí)行可破壞操作系統(tǒng)安全策略配置的惡意代碼。此外，惡意系統(tǒng)管理員可以控制在Ring 0中執(zhí)行的軟件，并且因此可以注入繞過正常的操作系統(tǒng)安全的惡意軟件。

類似地，在虛擬化環(huán)境中，如建立在云計(jì)算基礎(chǔ)設(shè)施上的那些環(huán)境，可利用傳統(tǒng)的存儲(chǔ)器保護(hù)來為不同虛擬機(jī)的執(zhí)行彼此進(jìn)行隔離。虛擬機(jī)監(jiān)視器或管理程序嵌入代碼利用可用處理器的特殊操作模式以執(zhí)行系統(tǒng)管理操作。然而，所述第一方面認(rèn)識(shí)到，攻擊者可以利用管理程序和超級(jí)調(diào)用實(shí)現(xiàn)中的缺陷以便打破這樣的系統(tǒng)的隔離性能(跨不同的虛擬機(jī))。通常管理在物理節(jié)點(diǎn)上的訪問的基礎(chǔ)設(shè)施擁有者事實(shí)上可以訪問由托管虛擬機(jī)管理的任意數(shù)據(jù)。因此云提供商的用戶被迫信任該提供商——如果他們想將任何一種計(jì)算移交到云中。

加密機(jī)制，如同態(tài)加密，通過允許云提供商在已加密并且無法理解數(shù)據(jù)內(nèi)容的數(shù)據(jù)上執(zhí)行計(jì)算來努力消除該約束。然而，這樣的技術(shù)被限制在數(shù)據(jù)上有限的操作集范圍中。此外，該技術(shù)還只是初步的并且它們的有效性和可用性尚未被證實(shí)。

另一種方法使用受信任的平臺(tái)模塊技術(shù)。然而受信任的平臺(tái)模塊僅僅通過例如確保引導(dǎo)鏈涉及的軟件組件沒有被修改來確保遠(yuǎn)程系統(tǒng)不能被篡改。然而，在所述軟件中存在缺陷的情況下，其同樣不能提供任何保證。

另一種方法是使用與加密存儲(chǔ)器管理單元相關(guān)聯(lián)的處理器，使得安全處理器可以在保持加密形式的數(shù)據(jù)上操作。但是，由于對(duì)每次高速緩存缺失均需利用加密和解密的功能，與執(zhí)行實(shí)時(shí)加密和解密相關(guān)的開銷可很高。

因此，提供了一種安全的數(shù)據(jù)處理裝置。所述安全數(shù)據(jù)處理裝置可可操作地安全地處理用戶提供的數(shù)據(jù)。所述安全數(shù)據(jù)處理裝置可包括受信任域。所述受信任域可包括可與受信任的數(shù)據(jù)處理裝置耦合的受信任的總線。所述受信任的處理裝置可能夠處理在所述受信任的總線上接收到的輸入用戶數(shù)據(jù)并可生成輸出用戶數(shù)據(jù)。所述安全數(shù)據(jù)處理裝置還可包括受信任域控制器。所述受信任域控制器可將受信任的總線與其以及非受信任的域中受信任的總線相耦合。所述受信任域控制器可確保對(duì)在不受信任的總線上接收到的加密的輸入用戶數(shù)據(jù)解密。所述受信任域控制器可在受信任的總線上提供所述解密的輸入用戶數(shù)據(jù)作為輸入數(shù)據(jù)。所述受信任域控制器也可確保加密輸出用戶數(shù)據(jù)并在非受信任的總線上將其作為加密的輸出數(shù)據(jù)提供。