[发明专利]互不信任的飞地

说明书

一种用于访问服务(250)的一个或多个服务进程(222)的方法(400)包括执行至少一个服务飞地(220)和执行封装至少一个服务飞地的飞地沙箱(200)。至少一个服务飞地提供到一个或多个服务进程的接口。飞地沙箱被配置为建立到与一个或多个服务进程接口的至少一个服务飞地的加密通信隧道(210)，并且通过加密通信隧道将作为加密通信的程序调用(302)传送到一个或多个服务进程/从一个或多个服务进程传送作为加密通信的程序调用(302)。

技术领域

本公开涉及互不信任的飞地(enclave)。

背景技术

在云环境中执行的服务进程处理客户端存储的数据，例如认证凭证，机密文档或客户端想要保密的其他敏感数据。除了保持客户端数据不会暴露和向不希望的外部方公开之外，客户端还需要增加的保证，即它们存储在云环境中并由服务进程操纵的数据对服务进程的操作员/管理员保密。这样，提供防止恶意行动者访问客户存储的数据的安全措施---即使当那些攻击源自特权软件时，通过减轻将客户端数据暴露给不希望的各方的安全漏洞的风险来增加客户置信度。

发明内容

本公开的一个方面提供了用于访问服务的一个或多个服务进程的方法。该方法包括：由数据处理硬件执行至少一个服务飞地，所述至少一个服务飞地提供到所述一个或多个服务进程的接口；以及由所述数据处理硬件执行封装所述至少一个服务飞地的飞地沙箱。所述飞地沙箱被配置为：建立到与所述一个或多个服务进程接口的所述至少一个服务飞地的加密通信隧道，以及通过所述加密通信隧道向/从所述一个或多个服务进程传送作为加密通信的程序调用。

本公开的实现可以包括以下可选特征中的一个或多个。在一些实施方式中，所述方法还包括在所述数据处理硬件处接收对所述一个或多个服务进程的程序调用，所述程序调用包括明文。在这些实施方式中，该方法还包括由数据处理硬件使用加密密钥将明文加密为密文，以及由数据处理硬件通过加密通信隧道将密文传送到一个或多个服务进程。所述至少一个服务飞地可被配置为在向密钥管理器成功证明之后从密钥管理器获得解密密钥，用于将密文解密回明文。在一些示例中，在飞地沙箱处将明文加密为密文之后，该方法还包括由数据处理硬件将加密密钥存储在密钥管理器中。这里，加密密钥与由至少一个服务飞地获得的解密密钥相关联，解密密钥用于将密文解密回明文。此外，对一个或多个服务进程的程序调用的接收可以包括从与飞地沙箱接口的客户端进程接收获取数据调用或放入数据调用中的一个。客户端进程可以在客户端设备上执行，该客户端设备通过网络与数据处理硬件通信。

在一些示例中，该方法还包括在数据处理硬件处通过加密通信隧道从与至少一个服务飞地接口的一个或多个服务进程接收程序调用。程序调用包括密文。此后，在这些示例中，该方法还包括：在向密钥管理器成功证明之后，由数据处理硬件从密钥管理器获得解密密钥，用于将密文解密为明文，并且由数据处理硬件将明文传送到与飞地沙箱接口的客户端进程。客户端进程可以在客户端设备上执行，该客户端设备通过网络与数据处理硬件通信。在这些示例中，所述至少一个服务飞地可以被配置为通过所述接口从所述一个或多个服务进程接收所述程序调用，其中所述程序调用包括明文。此后，服务飞地可被配置为使用加密密钥将明文加密成密文，并通过加密通信隧道将密文传送到飞地沙箱。从所述一个或多个服务进程接收所述程序调用可以包括从所述一个或多个服务进程接收返回数据调用，所述返回调用包括由所述客户端进程请求的数据对象。

加密通信隧道可以在到一个或多个服务进程的接口处的输入端和与客户端进程接口的飞地沙箱处的输出端之间延伸通过飞地沙箱。由所述飞地沙箱向/从所述一个或多个服务进程传送的所述程序调用包括远程过程调用。该至少一个服务飞地不可用于由与所述飞地沙箱接口的客户端进程进行的远程证明。