技術領域

本發明涉及安全數據處理裝置和方法。

背景技術

對于其中將計算和數據傳遞到遠程計算機的云計算模式，導致需要對機密數據提供更好的保護。在許多云計算應用中，發送到云中的遠程計算機的代碼、要遠程處理的數據，以及從遠程處理操作輸出的數據必須保密。

應該理解，在來往于遠程計算機的傳輸中，數據和代碼可以很容易被加密。但是，用戶必須信任遠程計算機及其系統管理員。

系統管理員通常有權訪問發送到遠程計算機的數據和代碼。此外，不可信的潛在惡意軟件可能在這些遠程系統上運行，并且可能獲得遠程系統處理的數據的訪問權限。

即使以加密格式將數據和代碼發送到遠程系統，但在大多數情況下，也必須對數據和代碼進行解密，否則不能由云中的遠程計算機處理。

傳遞到其它人(例如云提供者)擁有和管理的遠程計算機的計算的機密性易于泄漏，并且可能丟失機密性。

用于提供可信遠程計算站點的問題的安全解決方案必須在技術上有效，然而從實用和實現的角度看也負擔得起。

需要提供一種安全數據處理裝置。

發明內容

因此，第一方面提供一種安全數據處理裝置，其可操作以便安全處理用戶提供的用戶數據，所述安全數據處理裝置包括：可信域，其包括與可信數據處理裝置耦合的可信總線，所述可信數據處理裝置可操作以便處理通過所述可信總線接收的輸入用戶數據，并且生成輸出用戶數據；可信域控制器，其將所述可信總線與不可信域的不可信總線耦合，所述可信域控制器可操作以便確保通過所述不可信總線接收的加密輸入用戶數據被解密并通過所述可信總線作為所述輸入用戶數據被提供，并且確保輸出用戶數據被加密并通過所述不可信總線作為加密輸出數據被提供；以及數據存儲器訪問控制器，其將所述可信域控制器和所述可信數據處理裝置與數據存儲器的存儲總線耦合，所述數據存儲器訪問控制器可操作以便將從所述可信域控制器和所述可信數據處理裝置接收的用于使用所述數據存儲器的成功請求限制為定址到所述數據存儲器的可信區域的那些請求。

所述第一方面意識到，隔離執行環境以便在計算系統中提供信任度通常可以通過提供存儲保護硬件機構定向，所述存儲保護硬件機構允許操作系統(OS)從安全的角度隔離不同用戶的執行環境。

這些存儲保護硬件機構通常需要CPU具有特定操作模式(所謂的Ring0)，其中對所述CPU要運行的代碼不應用限制。所述Ring?0操作模式用于設置和管理每個進程的隔離執行，并且因此必須信任在Ring?0下運行的所述軟件。遺憾的是，在傳統的操作系統中，惡意攻擊者成功利用要在Ring0下運行或執行的代碼中的錯誤，因此允許無特權進程獲得與另一個進程關聯的所述代碼或數據的訪問權限。因此，可以破壞所述系統的安全策略。還應該理解，惡意系統管理員可以控制要在Ring?0下執行的所述軟件，并且因此可以注入惡意軟件，從而繞過所述系統的所述安全策略。

在虛擬化環境(例如在云計算基礎架構中實現的那些環境)中，可以使用傳統的存儲保護隔離不同虛擬機的執行。虛擬機監視程序(也稱為系統管理程序)可操作以便嵌入代碼，所述代碼利用可用處理器(多個)的特定操作模式以便執行系統管理操作。攻擊者可以在系統管理程序和超級調用的實現中利用錯誤，并且跨不同虛擬機適當地中斷隔離屬性。虛擬化環境基礎架構的所有者通常針對該虛擬化環境的每個物理節點具有管理員訪問權限，并且因此可以能夠訪問所述托管虛擬機管理的任何數據。因此，云計算基礎架構的用戶通常被迫信任所述提供者。

諸如同態加密之類的加密機制通過允許云提供者針對加密數據執行計算而不能解密或理解所述加密數據，嘗試降低用戶在使用云計算環境時的風險。這些同態加密技術可以具有范圍限制，并且針對所述加密數據僅允許一組有限的操作。此外，這些技術仍然處于其初期階段，并且仍然需要證明其有效性和可用性。

備選安全數據處理技術可以使用可信平臺模塊(TPM)技術。使用TPM可以確保不能篡改遠程系統，即，不能修改啟動鏈中包括的所有軟件組件，但可以不提供有關軟件錯誤的保證。