[发明专利]用于建立安全工作空间的所有权的系统

说明书

本申请涉及建立安全工作空间(SW)的所有权。客户端设备可以向SW配置器提供SW数据结构(SWDS)。一种SWDS可以包括原始SW的散列以及公钥，并且可以通过与所述公钥相对应的私钥来进行签名。所述SW配置器可以使得生成包括使用所述SWDS所发起的SW的执行容器(EC)。所述客户端设备可以使用连同所述公钥的副本一起传输的请求(由所述私钥来进行签名的)来要求SW所有权。SW所有权可由所有权确定模块确定，所述所有权确定模块使用与所述请求一起接收的所述公钥来验证所述请求的签名，确定所述所接收的公钥的散列，并且将所述所接收的公钥的所述散列与所述SWDS中的所述公钥的散列进行比较。

技术领域

本公开涉及系统安全，并且更具体地涉及一种允许设备建立位于远程资源中的安全工作空间的所有权的系统。

背景技术

基于现在可以电子地进行的越来越多种类的事务，保护电子信息已经成为了重要问题。包括例如黑客、如病毒、rootkit等恶意软件(例如，恶意软件(malware))等的各种威胁共享至少一个目的：规避现有保护措施以便获得对另一个用户设备的访问或控制。采用设备来执行日常事务的用户可能并未意识到他们的设备已经被损坏，并且可能正不知不觉地向第三方提供敏感的个人数据、财务数据和/或专有数据。正持续开发用于防止这些类型的攻击的技术。然而，随着新病毒保护策略出现，黑客正发现在设备内的更低层处进行攻击的方式，获得在设备中具有比保护软件更高优先级的层处的访问和/或控制。因此，设备制造商正将安全措施建立到设备的实际硬件中。例如，这些安全特征可以在设备初始化的早期阶段启动，并且可以通过在将程序加载到设备中时执行安全检查来确保稍后加载的程序是安全的。

例如，在初始化期间，设备可以预留仅对已知良好程序可访问的存储器部分。以此方式，可以保护存储在所述存储器部分中的敏感数据和/或保密数据免受攻击。然而，可能存在这样的场景，在所述场景中，已知良好软件并不驻留于与受保护存储器相同的设备中。例如，用户设备中的已知良好程序(例如，“客户端”程序)可能需要访问位于至少一个远程计算设备(例如，在云架构中进行操作)中的受保护存储器部分。虽然可能期望客户端程序能够访问驻留于至少一个其他设备中的受保护存储器，但是可以保护受保护存储器免于由除了可能例如在第一次创建受保护存储器部分时分配的受保护存储器的“所有者”以外的任何软件访问。这种要求可能严重地限制可以将这种类型的安全技术应用于其中的应用。

附图说明

所要求保护的主题的各种实施例的特征和优点将随着以下具体实施方式进行并且通过参照附图变得明显，其中，相同的数字指代相同的部件，并且在附图中：

图1展示了根据本公开的至少一个实施例的用于建立安全工作空间的所有权的示例系统；

图2展示了根据本公开的至少一个实施例可用的客户端设备和组成远程资源的至少一个设备的示例配置；

图3展示了根据本公开的至少一个实施例的可能在客户端模块、安全工作空间配置器与安全工作空间之间发生的示例交互；

图4展示了根据本公开的至少一个实施例的用于从客户端设备的视角建立安全工作空间的所有权的示例操作；并且

图5展示了根据本公开的至少一个实施例的用于从远程资源的视角建立安全工作空间的所有权的示例操作。

虽然以下具体实施方式将参考说明性实施例进行，但是其许多替代方案、修改及变化将对本领域的技术人员而言是明显的。

具体实施方式