USING SECURE MEMORY ENCLAVES FROM THE CONTEXT OF PROCESS CONTAINERS

• Main Authors: PULAPAKA, Hari R, RENKE, Maxwell Christopher, GUO, Amber Tianqi, THOMAS, Deepu Chandy, VISWANATHAN, Giridhar, STARK, Taylor James, SMITH, Frederick Justus, SCHULTZ, Benjamin M
• Format: Patent
• Language: English; French
• Published: 14.01.2021
• Subjects: CALCULATING; COMPUTING; COUNTING; ELECTRIC DIGITAL DATA PROCESSING; PHYSICS

Memory is partitioned and isolated in container-based memory enclaves. The container-based memory enclaves have attestable security guarantees. During provisioning of the container-based memory enclaves from a container image, a purported link in the container to a memory address of the enclave is modified to verifiably link to an actual memory address of the host, such as partitioned memory enclave. In some instances, enclave attestation reports can be validated without transmitting corresponding attestation requests to remote attestation services, based on previous attestation of one or more previous container attestation reports from a similar container and without requiring end-to-end attestation between the container and remote attestation service for each new attestation request. Selon l'invention, une mémoire est partitionnée et isolée dans des enclaves de mémoire basées sur les conteneurs. Les enclaves de mémoire basées sur les conteneurs présentent des garanties de sécurité attestables. Pendant le provisionnement des enclaves de mémoire basées sur les conteneurs à partir d'une image de conteneur, un lien supposé dans le conteneur, menant à une adresse mémoire de l'enclave, est modifié pour mener de manière vérifiable à une adresse mémoire réelle de l'hôte, telle qu'une enclave de mémoire partitionnée. Dans certains cas, des rapports d'attestation d'enclave peuvent être validés sans transmettre des demandes d'attestation correspondantes à des services d'attestation à distance, sur la base d'une attestation précédente d'un ou de plusieurs rapports d'attestation de conteneur précédents à partir d'un conteneur similaire et sans nécessiter une attestation de bout en bout entre le conteneur et le service d'attestation à distance pour chaque nouvelle demande d'attestation.