一個實施例包括由至少一個處理器執行的方法，包括：初始化第一和第二安全飛地，每一安全飛地都包括防止在所述第一和第二安全飛地外面執行的軟件訪問所述第一和第二安全飛地內部的軟件和數據的受信任的軟件執行環境；所述第一安全飛地(a)(i)檢測策略，(a)(ii)響應于檢測所述策略，認證所述第二安全飛地；以及(a)(iii)響應于認證所述第二安全飛地，將經加密的內容傳遞到所述第二安全飛地；以及，所述第二安全飛地(b)(i)解密所述經加密的內容，以產生經解密的內容，以及(b)(ii)檢測所述經解密的內容。此處描述了其他實施例。

技術領域

實施例解決受信任的計算。

背景技術

數字信息的安全變得越來越重要，特別是當信息具有商業價值，機密，或涉及敏感的主題時。在某些情況下，可能會在被感染了惡意軟件的客戶端設備上提供數字信息。如果未檢查，則這樣的惡意軟件可能會損害客戶端設備上的數字信息的安全和/或完整性。例如，惡意軟件可能會嘗試訪問和/或從客戶端本身(例如，從客戶端的存儲器)、從向客戶端的信息分發通道、和/或從使客戶端的用戶能查看或以別的方式與數字信息進行交互的通道獲取數字信息。對這些區域中的任何一個的成功的惡意軟件攻擊都可能會損害數字信息的安全，并可能會導致由未經授權的一方對信息的訪問和/或修改。

為提高數字信息的安全，開發了企業權限管理(ERM)及其他產品。在許多情況下，ERM產品被設計成通過提供用于維護信息的完整性和保密性，實施控制對信息的訪問的一個或多個策略的機制，和/或通過實施跟蹤客戶端上的數字信息的使用的日志策略，保護敏感的數字信息(例如，文檔、電子郵件，等等)的分發。

盡管現有的ERM產品有用，但是，它們仍面臨來自惡意軟件的安全挑戰，惡意軟件可能會利用現有的ERM產品中的一個或多個弱點，以便在在客戶端上提供，存儲，和/或使用數字信息時獲取數字信息。數字信息的被授權的用戶也可能試圖推翻他們可能視為不方便的由ERM產品強制的保護。相應地，本領域需要在在客戶端平臺上提供，存儲，和/或使用數字信息時改善數字信息的安全的技術。

附圖簡述

本發明的各實施例的特征和優點將從所附權利要求書、下面的對一個或多個示例實施例的詳細描述，以及對應的圖形，變得顯而易見，其中：

圖1描繪了本發明的一個實施例中的安全系統。

圖2示出了本發明的一個實施例中的用于基于策略的檢測的過程。

圖3示出了根據本發明的客戶端配置(provisioning)系統的示例性系統架構的框圖。

圖4示出了根據本發明的示例性配置方法的消息流。

圖5是可以根據符合本發明的客戶端配置方法執行的示例性客戶端操作的流程圖。

圖6是可以根據符合本發明的客戶端配置方法執行的示例性服務器操作的流程圖。

圖7是可以根據本發明與在客戶端和服務器之間建立安全通信信道(會話)一起執行的示例性客戶端操作的流程圖。

圖8包括與本發明的一實施例一起使用的系統。

具體實施方式

在下面的描述中，闡述了很多具體細節，但是，本發明的各實施例可以在沒有這些具體細節的情況下實施。沒有詳細示出已知的電路、結構，以及技術，以便避免使對此描述的理解變得模糊。“實施例”、“各實施例”等等表示所描述的各實施例可包括特定特征、結構或特性，但是，每一個實施例都可以不一定包括該特定特征、結構或特征。一些實施例可以具有為其他實施例描述的某個，全部特征或沒有一個特征。“第一”、“第二”、“第三”等等描述共同的對象，并表示正在引用相同對象的不同的實例。這樣的形容詞不暗示如此描述的對象必須處于給定序列，無論是在時間上、在空間上，在排序上，或以任何其他方式。