프로세스 컨테이너의 컨텍스트에서 보안 메모리 엔클레이브 사용

프로세스 컨테이너의 컨텍스트에서 보안 메모리 엔클레이브 사용

메모리는 컨테이너 기반 메모리 엔클레이브로 분할 및 격리된다. 컨테이너 기반 메모리 엔클레이브는 증명 가능한 보안 보장을 갖는다. 컨테이너 이미지로부터 컨테이너 기반 메모리 엔클레이브를 프로비저닝하는 동안, 컨테이너에서 엔클레이브의 메모리 주소로의 의도된 링크는 분할된 메모리 엔클레이브와 같은 호스트의 실제 메모리 주소로 확인 가능하게 링크하도록 수정된다. 일부 경우에, 엔클레이브 증명 보고서는 각각의 새로운 증명 요청에 대해 컨테이너와 원격 증명 서비스 간의 종단 간 증명을 요구하지 않고 유사한 컨테이너로부터의 하나 이상의 이전...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: GUO AMBER TIANQI, SCHULTZ BENJAMIN M, VISWANATHAN GIRIDHAR, RENKE MAXWELL CHRISTOPHER, STARK TAYLOR JAMES, SMITH FREDERICK JUSTUS, PULAPAKA HARI R, THOMAS DEEPU CHANDY
Format: Patent
Sprache:kor
Schlagworte:
CALCULATING
COMPUTING
COUNTING
ELECTRIC DIGITAL DATA PROCESSING
PHYSICS
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:메모리는 컨테이너 기반 메모리 엔클레이브로 분할 및 격리된다. 컨테이너 기반 메모리 엔클레이브는 증명 가능한 보안 보장을 갖는다. 컨테이너 이미지로부터 컨테이너 기반 메모리 엔클레이브를 프로비저닝하는 동안, 컨테이너에서 엔클레이브의 메모리 주소로의 의도된 링크는 분할된 메모리 엔클레이브와 같은 호스트의 실제 메모리 주소로 확인 가능하게 링크하도록 수정된다. 일부 경우에, 엔클레이브 증명 보고서는 각각의 새로운 증명 요청에 대해 컨테이너와 원격 증명 서비스 간의 종단 간 증명을 요구하지 않고 유사한 컨테이너로부터의 하나 이상의 이전 컨테이너 증명 보고서에 대한 이전 증명을 기반으로, 해당 증명 요청을 원격 증명 서비스로 전송하지 않고 검증될 수 있다. Memory is partitioned and isolated in container-based memory enclaves. The container-based memory enclaves have attestable security guarantees. During provisioning of the container-based memory enclaves from a container image, a purported link in the container to a memory address of the enclave is modified to verifiably link to an actual memory address of the host, such as partitioned memory enclave. In some instances, enclave attestation reports can be validated without transmitting corresponding attestation requests to remote attestation services, based on previous attestation of one or more previous container attestation reports from a similar container and without requiring end-to-end attestation between the container and remote attestation service for each new attestation request.