[發明專利]到可信執行環境的安全軟件工作負載供應在審
| 申請號: | 202011601598.1 | 申請日: | 2020-12-30 |
| 公開(公告)號: | CN114282208A | 公開(公告)日: | 2022-04-05 |
| 發明(設計)人: | M.伯塞爾 | 申請(專利權)人: | 紅帽公司 |
| 主分類號: | G06F21/53 | 分類號: | G06F21/53 |
| 代理公司: | 北京市柳沈律師事務所 11105 | 代理人: | 胡琪 |
| 地址: | 美國北卡*** | 國省代碼: | 暫無信息 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 可信 執行 環境 安全 軟件 工作 負載 供應 | ||
1.一種方法,包括:
通過駐留在計算環境的主機計算機系統中的軟件可信客戶端代理(TCA),從所述計算環境的編制系統接收軟件供應命令,其中所述軟件供應命令標識將被供應給所述計算環境的可信執行環境(TEE)的工作負載;
通過所述TCA確定與所述工作負載相關聯的驗證措施;以及
響應于確定所述驗證措施滿足預定條件,執行所述軟件供應操作以將所述工作負載部署在所述TEE。
2.根據權利要求1所述的方法,其中,所述驗證措施是與所述工作負載相關聯的簽名證書。
3.根據權利要求1所述的方法,其中,確定所述驗證措施滿足所述預定條件包括確定所述工作負載的簽名證書與和所述TCA相關聯的一組批準的證書中的第二簽名證書相匹配。
4.根據權利要求3所述的方法,其中,所述工作負載的所述簽名證書與所述計算環境的租戶、所述工作負載的批準的存儲庫、獨立軟件供應商或所述編制系統中的至少一個相關聯。
5.根據權利要求1所述的方法,其中,所述TCA由管理系統供應,并且其中所述TCA在由所述管理系統進行的所述供應期間與一組批準的證書相關聯。
6.根據權利要求5所述的方法,還包括以下項中的至少一個:
將證書添加到所述TCA的所述一組批準的證書;或者
從所述TCA的所述一組批準的證書中移除證書。
7.根據權利要求1所述的方法,還包括:
通過所述TCA確定是否使用預定加密密鑰對所述工作負載加密;以及
響應于確定使用所述預定加密密鑰對所述工作負載加密,執行所述軟件供應操作以將所述工作負載部署到所述TEE。
8.根據權利要求7所述的方法,其中,在將所述工作負載部署到所述TEE之前,所述TCA使用所述預定私有秘鑰對所述工作負載解密。
9.根據權利要求1所述的方法,其中,所述TCA與所述計算環境的一個或多個租戶相關聯。
10.一種系統,包括:
存儲器;以及
處理設備,可操作地耦合到所述存儲器,其中所述處理設備進一步執行以下項:
在計算環境的主機計算機系統處,執行軟件可信客戶端代理(TCA)到所述主機計算機系統的供應進程;
確定與用于驗證被部署到所述計算環境的可信執行環境(TEE)的工作負載的簽名證書的一個或多個可信簽名方相關聯的一組簽名證書;以及
將所述一組證書與所述TCA相關聯。
11.根據權利要求10所述的系統,其中,所述處理設備進一步執行以下項:
將一個或多個供應策略與所述TCA相關聯,其中每個供應策略與所述計算環境的租戶相關聯并且確定如何驗證與所述租戶的工作負載相關聯的簽名證書。
12.根據權利要求10所述的系統,其中,所述TCA將從編制系統接收軟件供應命令,其中所述軟件供應命令標識將被供應給所述TEE的工作負載,并且其中響應于確定所述工作負載的簽名證書與和所述TCA相關聯的所述一組證書中的第二證書相匹配,所述TCA將所述工作負載部署到所述TEE。
13.根據權利要求10所述的系統,其中,所述處理設備進一步執行以下項:
將證書添加到與所述TCA相關聯的所述一組證書;以及
從與所述TCA相關聯的所述一組證書中移除證書。
14.根據權利要求10所述的系統,其中,所述處理設備進一步執行以下項:
將一個或多個預定私有秘鑰關聯到所述TCA,其中所述一個或多個預定私有秘鑰中的每個私有秘鑰與所述計算環境的租戶相關聯,并被用于對與所述租戶相關聯的工作負載進行加密和解密。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于紅帽公司,未經紅帽公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011601598.1/1.html,轉載請聲明來源鉆瓜專利網。
