[发明专利]输入验证

说明书

相关申请的交叉引用

本申请要求2014年12月23日提交的命名为“INPUT VERIFICATION”的美国非临时专利申请No.14/582173的权益和优先权，其通过引用整体结合在本文中。

技术领域

本申请涉及计算机安全领域，并且更具体地，涉及用于在可信的运行环境内执行输入验证的系统和方法。

背景技术

计算机安全是一方面在恶意行为者之间以及另一方面在计算机安全公司和用户之间的不断演进的军备竞赛(arms race)。有关这竞赛的安全方面的一个有用的工具是“可信的运行环境”（TEE）。TEE是硬件、软件和固件的组合，其提供环境以用于运行签名和验证的二进制或其它可运行对象。TEE可以包含具有适合的扩展指令（例如英特尔®安全防护扩展（SGX）指令）的处理器、安全协处理器、适当的固件和驱动器和/或特殊存储器“飞地（enclave）”。飞地包含特殊存储器页或分区，其只能经由特殊的TEE指令访问和引用。具体地，程序可以向飞地内的存储器位置写或从飞地内的存储器位置读，或者运行飞地内的指令（仅作为特殊指令，像英特尔®SGX指令）。采用其它（非安全）指令进入飞地的任何尝试可能会导致诸如页面故障的错误。

在一个示例中，TEE配置成仅运行被验证和签名（例如通过证书机构）的对象。这帮助确保恶意软件和其它恶意对象不在TEE内运行。在一些示例中，TEE被给予对某些敏感或重要资源（例如重要的操作系统文件、敏感数据或其它被保护的资源）的排它性访问。可以使用飞地来将对机密数据操作的可信代码与可能运行不可信代码的剩余的计算设备隔离。

附图说明

当与附图一起阅读时，根据下面的详细描述最好地理解本公开。强调的是，根据行业中的标准实践，各种特征并没有按比例绘制，并且仅用于说明的目的。事实上，为了讨论的清楚，各种特征的尺寸可以任意增加或减少。

图1是根据本说明书的一个或多个示例的安全使能网络的框图。

图2是根据本说明书的一个或多个示例的计算装置的框图。

图3是根据本说明书的一个或多个示例的服务器的框图。

图4A和4B是根据本说明书的一个或多个示例的飞地的功能框图。

图5是根据本说明书的一个或多个示例的通过一对飞地互换签名(sign)的二进制的功能框图。

图6是根据本说明书的一个或多个示例的飞地的功能框图。

图7是根据本说明书的一个或多个示例的输入验证引擎的功能框图。

图8是根据本说明书的一个或多个示例执行二进制转换的方法的流程图。

图9是根据本说明书的一个或多个示例执行输入验证的方法的流程图。

图10是根据本说明书的一个或多个示例的IVE 460和BTE 224之间的交互方法的框图。

具体实施方式

概览

在示例中，计算装置可具有输入验证引擎，其在包含存储器飞地的可信的运行环境（TEE）内提供输入验证服务。以基于Java的Android 应用为例，IVE 安全验证和确认用于敏感计算应用的用户输入，而没有将输入暴露于外部应用。IVE可以以本机C++或类似来实现，或者可提供指令以便动态供给飞地并且将最小的Java虚拟机（JVM）导入到飞地中，使得IVE能够以Java运行。IVE 也可以包含二进制分析工具以便分析输入二进制以便识别并且标记接收用户输入的部分，使得在二进制转换中，那些部分能够在飞地内运行。

本公开的示例实施例

下面公开提供了用于实现本公开的不同特征的许多不同实施例或示例。以下描述组件和布置的特定示例以简化本公开。当然，这些仅仅是示例，而不意图是限制性的。此外，本公开可以在各种示例中重复参考数字和/或字母。此重复是为了简单和清楚的目的，并且本身并不表明所讨论的各种实施例和/或配置之间的关系。不同的实施例可具有不同的优点，并且对于任何实施例不一定要求具体的优点。

代码签名和验证是某些安全计算架构中的基本构建块。它们帮助验证由开发人员或独立软件供应商（ISV）构建的代码或二进制在其到其消费者的途中未被篡改，因此保证软件完整性并在它们之间构建可信通道。然而，此通道通常只延伸直到软件安装时间。繁杂的TEE可能进行另外一步并验证软件的完整性直到运行点。然而，它们可能不会扩展到当代码/二进制不得不被合法修改时（像二进制转换、即时编译）或当管理的运行时间开始起作用时的用例。