可执行对象在本地设备上的受信任的执行的制作方法
【专利说明】可执行对象在本地设备上的受信任的执行
[0001]相关申请的交叉引用
[0002]本申请根据35 U.S.C.§119(e)要求2013年9月27日提交的题为“在本地设备上的受信任的执行"(“TRUSTED EXECUT1N ON A LOCAL DEVICE”)的美国临时申请案S/N.61/883,970的优先权权益,此美国临时申请通过引用被整体并入本文。
技术领域
[0003]本申请涉及计算机网络安全领域,更具体而言,本申请涉及用于可执行对象在本地设备上的受信任的执行的系统、装置和方法。
【背景技术】
[0004]如贯穿本说明书所使用,恶意的软件(“恶意软件”)可包括任何病毒、特洛伊木马、bot、僵尸、隐藏程序(rootkit)、后门、蠕虫、间谍软件、广告软件、勒索软件、拨号器、有效载荷、恶意浏览器助手对象、缓存(cookie)、记录器,或者设计成采取潜在地不希望的动作的类似物,作为非限制性示例,包括,系统劫持、对经授权的用户的假冒、对系统的未经授权的访问、数据销毁、隐蔽数据收集、浏览器劫持、网络代理或重定向、隐蔽跟踪、数据记录、键盘记录、对于删除的过度的或故意的阻碍、联系人采集以及未经授权的自传播。
[0005]除了被开发成作为独立程序来操作以外,恶意软件也可以呈现被添加或被注入到其他软件中的恶意代码的形式。这种形式的一个示例可以是“受感染的文件”,由寄生性复制的计算机病毒在此“受感染的文件”中引入恶意代码。恶意代码也可以被手动地注入,或者它可以被添加到软件的源代码中,使得在编译之后,它将变成可执行的对象的部分或可以被添加到脚本中并被解释,所述可执行对象可以经编译或可以不经编译。
【附图说明】
[0006]通过在结合所附附图来阅读以下【具体实施方式】,最好地理解本公开。值得强调的是,根据行业内的标准惯例,各种特点不是按比例绘制的,并且仅用于说明。事实上,为了使讨论清楚,可以任意地扩大或缩小各种特征的尺寸。
[0007]图1是根据本说明书的一个或多个示例的、用于可执行对象在电子设备上的受信任的执行的环境的框图。
[0008]图2是根据本说明书的一个或多个示例的、用于可执行对象在电子设备上的受信任的执行的环境的框图。
[0009]图3是根据本说明书的一个或多个示例的存储器空间的框图。
[0010]图4是根据本说明书的一个或多个示例的电子设备110的框图。
[0011]图5是根据本说明书的一个或多个示例而执行的访问飞地的示例过程的流程图。
[0012]图6是根据本说明书的一个或多个示例而执行的、在电子设备上的受信任的执行的示例过程的流程图。
[0013]图7是根据本说明书的一个或多个示例而执行的、电子设备的证实的示例过程的流程图。
[0014]图8是根据本说明书的一个或多个示例而执行的、访问电子设备或访问电子设备上的应用的示例过程的流程图。
[0015]图9是根据本说明书的一个或多个示例而执行的、处理断言的示例过程的流程图。
[0016]图10是根据本说明书的一个或多个示例而执行的、处理断言的示例过程的流程图。
[0017]图11是根据本说明书的一个或多个示例而执行的、创建经授权的用户的示例过程的流程图。
【具体实施方式】
[0018]概述
[0019]在示例中,公开了用于经由安全的受信任的环境、在本地设备上、在本地执行来自任何合适的服务(例如,云服务)的敏感的代码的系统、装置和方法。在一个示例实施例中,提供了一种电子设备,并且所述电子设备包括:至少一个处理器;至少一个存储器;以及,至少一个驱动器,其中,所述电子设备配置成:获取经授权的用户的认证数据;将所述认证数据存储在飞地中;获取潜在用户的标识数据;以及在所述飞地中,将所述标识数据与所述认证数据进行比较,以便识别所述潜在用户是否是所述经授权的用户。从广义来说,术语“获取”包括与访问、接收、保护、获悉,检索,或以其他方式获取数据相关联的任何活动。另外,术语“识别”旨在包括与评估、验证、关联、区分、理解,或以其他方式标识给定用户的一个或多个属性、特性,或特征相关联的任何活动。
[0020]在另一实施例中,提供了服务器,并且所述包括:至少一个处理器;至少一个存储器;至少一个驱动器,其中,所述服务器配置成:从电子设备接收断言数据,其中,所述断言包括认证签名密钥和来自获取的数据与参考数据的比较的结果;以及通过以下操作来判断所述断言数据是否是有效的:将所述结果与阈值进行比较;以及将所述认证签名密钥与分配给所述电子设备的认证签名密钥进行比较。
[0021]本公开的示例实施例
[0022]云计算是用于描述涉及通过实时的通信网络(诸如,因特网)而连接的大量的计算机的各种计算概念的概念。云计算依赖于资源的共享以实现规模的一致性和经济性,类似于网络上的共用事业(像电网)。云计算的基础是收敛的基础结构和共享的服务的更广泛的概念。云还专注于使共享资源的有效性最大化。当今的云计算系统处置增加数量的重要、敏感且有价值的信息。此信息应当受保护而免受恶意软件失窃。
[0023]当前,典型地使用两种不同的方法来解决保护设备和应用免受恶意软件和失窃的问题。在一种方法中,在本地执行敏感的处理。例如,这可以利用操作系统访问控制的最佳实践(包括以特许执行模式来运行敏感的代码)。本地沙箱和应用/硬件虚拟化技术可以控制对进程、线程和操作系统对象的访问。然而,本地安全技术一般对抵御高级的持续性威胁、应用中的人攻击、以及虚拟化或基于硬件的攻击是无效的。
[0024]在第二方法中,在云中执行敏感的处理。例如,可以使用超文本传输协议安全(HTTPS)/安全套接字层(SSL)和类似的协议来防止在空中的(in-flight)秘密失窃。另外,可以使用签数字签名来防止假冒和窜改。也可以使用一次性密码。另外,有时使用双因子认证技术来减轻回复攻击。然而,这些方法是次最佳的,因为基于云的处理过于复杂(特别是当可以在本地执行处理云时),可能要求连接到网络,并且会经受网络变量(诸如,等待时间(latency))。另外,连接对于服务提供商而言可能是昂贵的,因为他们支付计算机处理单元(CPU)、存储器和带宽使用,并且会经受中间人以及拒绝服务网络攻击。所需要的是允许在本地安全地执行基于云的服务而不牺牲性能、成本或安全的系统和方法。如果系统和方法利用受信任的环境来替换基于云的服务,而不是专注于使基于云的通信安全或依赖于不充分的操作系统(OS)访问控制、定制的沙箱或虚拟化技术,那么将是有益的。
[0025]通过非限制性示例提供上文内容,在所述非限制性示例中,可有用地部署本说明书的系统和方法。下列公开提供用于实现本公开的不同特征的许多不同的实施例或示例。下文中将描述组件和布置的特定示例以简化本公开。当然,这些仅是示例,并不旨在是限制性的。此外,本公开可以在各种示例中重复参考编号和/或字母。此重复只是为了简明和清晰,并且本身不规定所讨论的各实施例和/或配置之间的关系。不同的实施例可以具有不同的优点,并且没有特定优点是任何实施例一定需要的。
[0026]在本说明书的示例中,提供了用于应用或进程在本地设备上的受信任的执行的系统和方法,所述受信任的执行允许敏感的操作(诸如,生物计量认证)在用户的电子设备上、在受信任的安全环境中、在本地执行,而不牺牲性能、成本和安全。
[0027]在一个示例中,可以使用飞地(enclave)来降低总的复杂性、等待时间和云成本(例如,CPU、存储器、带宽,等等)。术语“飞地”包括受信任的执行环境(TEE),并且是存储器中仅可有此飞地本身访问或通过受信任的服务应用程序接口来访问的受保护的区域。其他进程不能读取、写入或以其他方式访问存储在此飞地中的数据。系统可以减少来自本地保护机制的间隙和未知性(包括基于硬件的攻击),因为系统可配置成允许对数据的收集和处理而无需去往电子或本地设备上的其他进程,、或基于云的服务的外部通信。此类过程可以显著地减小系统的攻击表面,并且允许更安全的环境。
[0028]系统和方法可以利用飞地,并且保护来自硬件传感器的数据获取,数据分析(例如,经由生物计量算法来标识用户)并保护通过经加密的且经完整性校验的通信信道(例如,基于声明(claim)的认证或0AUTH)来将结果传输到第三方服务器。另外,算法可以在已知的安全环境中执行,在此已知的安全环境中,系统可以断言,即使恶意软件已经在设备上运行,由系统使用中的算法和运行时数据也不能被检查、篡改、或以别的方式恶意地修改。永久性数据可以由飞地加密,随后被安全地存储在任何文件系统(包括不受信任的文件系统)中。即便电子设备已遭破坏也允许用户执行敏感的操作(例如,向web服务认证)可以提供显著的优点。在这样做时,系统可以降低总的复杂性,消除不必要的云组件,减少系统的总攻击表面,并且甚至在系统的部分早破坏的情况下也允许用户利用此系统。
[0029]根据本说明书的一个或多个非限制性示例实施例,所公开的系统和方法通过将用于敏感操作的算法和数据从云中移动到飞地中来操作。这允许(运行时和永久性两种)算法和数据受保护而免受攻击者的攻击。另外,操作能以完全本地速度来执行而不需要网络连接,并且不经受等待时间、中间人攻击以及面向网络的拒绝服务攻击的影响。此外,服务提供商不承担云CPU、存储器和带宽使用成本。
[0030]在示例中,提供了两个宽泛的阶段:自举(bootstrapping)和正常操作。在自举阶段,“供应” (“provis1n”)飞地。在供应期间,证实服务器判断电子设备是否具有受信任的执行能力,如果是,则此证实服务器与电子设备上的飞地共享数据和认证签名密钥。在正常阶段期间,认证和签名密钥用于飞地与认证服务器之间的安全通信。在正常阶段,算法在安全的环境中、在飞地内部运行。电子设备可