描述了用于遠程SGX飛地認證的技術。證明服務可以用于證明在啟用軟件防護擴展(SGX)的平臺上成功建立了飛地。進一步地，在實施例中，證明服務可以用作公證制度來證明公鑰證書是由特定SGX飛地生成的，并且因此可被其他遠程飛地信任以供認證。在實施例中，客戶端側SGX飛地可以生成公共?私有密鑰對(SK，PK)；計算PK的密碼散列H；創建包含H的報告R；從引用飛地組件獲得關于所述報告R的引用Q；從證明服務獲得遠程證明響應RA；以及將RA和PK廣播至一個或多個服務側SGX飛地。描述并要求保護了其他實施例。

相關申請

本申請根據35 U.S.C.§119(e)要求于2017年2月22日提交的名稱為“TECHNIQUESFOR REMOTE SGX ENCLAVE AUTHENTICATION(用于遠程SGX飛地認證的技術)”的美國臨時申請號62/462,298的優先權的權益，所述美國臨時申請通過引用以其全文結合在此。

技術領域

本公開總體上涉及用于在分布式計算環境內的認證的技術。

背景技術

在利用可信執行環境的一些設備中，可以在安全環境(被稱為飛地)中執行和/或存儲應用的敏感部分以便保護代碼和數據兩者免受損害。在分布式應用(比如物聯網(IoT)系統)中，在一個示例中，駐留在不同處理器上的飛地可能需要互相認證以建立安全的通信信道。許多當前解決方案依賴于集中式可信機構來認證在分布式系統內的兩個遠程飛地。在一些情況下，使用集中式可信機構可能暴露一方或多方的身份，這可能不是那些支持匿名所期望的。因此，期望可以不需要集中式可信機構來在分布式系統內的飛地之間執行認證的改進技術。

發明內容

下文中呈現了簡要概述以便提供對本文中所描述的一些新穎性實施例的基礎理解。本發明內容并非擴展性概覽，并且其并不旨在識別密鑰/關鍵元素或描繪其范圍。本發明唯一目的是以簡化的形式呈現一些概念，作為稍后呈現的更詳細描述的序。

描述了用于遠程飛地認證的技術。證明服務(比如，英特爾證明服務(IAS))可以用于證明在啟用軟件防護擴展(SGX)的平臺上成功建立了飛地。進一步地，在實施例中，IAS可以用作公證制度來證明公鑰證書是由特定SGX飛地生成的，并且因此可以被其他遠程飛地信任以供認證。在實施例中，客戶端側SGX飛地可以生成公共-私有密鑰對(SK，PK)；計算PK的密碼散列H；創建包含H的報告R；從引用飛地組件處獲得關于所述報告R的引用Q；從證明服務處獲得遠程證明響應RA；以及將RA和PK廣播至一個或多個服務側SGX飛地。描述并要求保護了其他實施例。

為了實現上述及相關目的，在此結合以下描述和附圖描述了某些說明性方面。這些方面指示可以實踐本文中所公開的原理的各種方式，并且所有方面及其等效物都旨在落入所要求保護的主題的范圍內。在結合附圖考慮時從以下具體實施方式中，其他優點和新穎特征將變得明顯。

附圖說明

圖1展示了操作環境的實施例。

圖2展示了可信飛地系統的實施例。

圖3展示了可信飛地系統的架構。

圖4展示了系統的實施例。

圖5展示了根據實施例的邏輯流程。

圖6A展示了根據實施例的邏輯流程。

圖6B展示了根據實施例的邏輯流程。

圖7展示了根據實施例的制品。

圖8展示了集中式系統的實施例。

圖9展示了分布式系統的實施例。

圖10展示了計算架構的實施例。

圖11展示了通信架構的實施例。

具體實施方式