CN109196508A - 云网络中的数据安全 - Google Patents
云网络中的数据安全 Download PDFInfo
- Publication number
- CN109196508A CN109196508A CN201780032787.1A CN201780032787A CN109196508A CN 109196508 A CN109196508 A CN 109196508A CN 201780032787 A CN201780032787 A CN 201780032787A CN 109196508 A CN109196508 A CN 109196508A
- Authority
- CN
- China
- Prior art keywords
- data
- encryption key
- access
- security domain
- cloud network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims description 16
- 230000006854 communication Effects 0.000 description 56
- 238000004891 communication Methods 0.000 description 55
- 230000015654 memory Effects 0.000 description 22
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本文描述的特定实施例提供一种电子设备,其可以被配置为:将数据存储在云网络中的安全域中;创建加密密钥,其中每个加密密钥用于提供对数据的不同类型的访问;以及将所述加密密钥存储在所述云网络中的安全域密钥存储库中。在示例中,每个加密密钥提供对不同版本的数据的访问。在另一示例中,计数器引擎将每个版本的数据的位置存储在所述云网络中。
Description
技术领域
本公开通过涉及信息安全领域,并且更具体地涉及云网络中的数据安全。
背景技术
网络安全领域在当今社会中变得越来越重要。特别地,云网络可以提供用于在连接到不同计算机网络的不同设备之间交换数据的介质。虽然网络的使用改变了商业和个人通信,但它也被用作恶意运营商的工具,以获得对计算机和计算机网络的未授权访问并且有意或无意地公开敏感信息。
在云计算系统中,由许多不同的信息处理系统来存储、传输和使用机密信息。已经开发了一些技术来提供对机密信息的安全处理和存储。这些技术包括各种方法用于在信息处理系统内创建和维护安全、受保护或隔离的分区或环境。然而,这些技术中的一些没有解决保护数据的问题。所需要的是一种可以保护云网络中的数据的系统。
附图说明
为了提供对本公开及其特征和优点的更完整的理解,结合附图参考以下描述,其中相同的附图标记表示相同的部分,其中:
图1A是根据本公开的实施例用于在云网络中实现数据安全的通信系统的简化框图;
图1B是根据本公开的实施例用于在云网络中实现数据安全的通信系统的简化框图;
图2是根据本公开的实施例用于在云网络中实现数据安全的通信系统的一部分的示例性细节的简化框图;
图3是示出根据实施例可与通信系统相关联的潜在操作的简化流程图;
图4是示出根据实施例可与通信系统相关联的潜在操作的简化流程图;
图5是示出根据实施例可与通信系统相关联的潜在操作的简化流程图;
图6是示出根据实施例以点对点配置布置的示例性计算系统的框图;
图7是与本公开的示例性生态系统片上系统(SOC)相关联的简化框图;以及
图8是示出根据实施例的示例性处理器核心的框图。
附图不一定按比例绘制,因为在不背离本公开的范围的情况下,它们的尺寸可以显著变化。
具体实施方式
以下详细描述阐述了与用于本地网络中的设备配对的通信系统有关的装置、方法和系统的示例性实施例。例如,为了方便起见,参考一个实施例描述诸如结构、功能和/或特性的特征;各种实施例可以用任何合适的一个或多个所描述的特征来实现。
图1A是根据本公开的实施例用于在云网络中实现数据安全的通信系统100a的简化框图。通信系统100a可以包括一个或多个电子设备102a-102d以及云网络104。电子设备102a可以包括加密密钥120。电子设备102d可以包括数据生成引擎114。
云网络104可以包括一个或多个安全域106a-106d以及虚拟机108。安全域106a可以包括访问引擎128。访问引擎128可以包括密钥存储库110。密钥存储库110可以包括一个或多个加密密钥120a-120c。安全域106b可以包括计数器引擎112。计数器引擎112可以包括一个或多个计数器122a和122b。安全域106c可以包括数据116a-116d的一个或多个实例。安全域106d可以包括数据116e和116f的一个或多个实例。虚拟机108可以包括数据生成引擎114。数据116a-116d可以是数据的不同版本,例如已经过修订的文档(例如,data_Avl 116a是原始文档,data_Av2 116b是基于data_Avl 116a的修订文档,等等)。Counter_A 122a可以被配置为跟踪来自数据116a-116d的最新草稿或最新数据(例如,counter_A 122a能够用于确定data_Av4 116d是最新数据)。数据生成引擎114能够生成诸如来自实验的测量的数据。在示例中,云网络104是云计算系统的一部分。
转到图1B,图1B是根据本公开的实施例用于在云网络中实现数据安全的通信系统100b的简化框图。通信系统100b可以包括电子设备102e和云网络104。电子设备102a可以包括加密密钥120。电子设备102d可以包括数据生成引擎114。
云网络104可以包括一个或多个安全域106c和106d、虚拟机108和域管理器124。域管理器124可以包括安全域106e、处理器126和访问引擎128。安全域106e可以包括计数器引擎112以及一个或多个加密密钥120a和120b。计数器引擎112可以包括一个或多个计数器122a和122b。访问引擎128可以促进对安全域106e、加密密钥120a和120b以及计数器引擎112的访问,并且帮助确保仅允许授权设备访问安全域106e、加密密钥120a和120b以及计数器引擎112。在示例中,访问引擎128可以类似于访问引擎110来操作。在示例中,云网络104是云计算系统的一部分。
图1A和1B的元件可以各自通过采用任何合适的连接(有线或无线)的一个或多个接口而彼此耦合,这提供了用于网络通信的可行路径。另外,图1A和1B的这些元件中的任何一个或多个可以基于特定配置需求而与架构组合或从架构移除。通信系统100a和100b可以包括能够进行传输控制协议/互联网协议(TCP/IP)通信以在网络中发送或接收分组的配置。通信系统100a和100b还可以在适当时并且基于特定需要而与用户数据报协议/IP(UDP/IP)或任何其他合适的协议一起操作。
在示例中,通信系统100a和100b都可以被配置为包括允许云网络中的数据安全的系统。在示例中,在云网络中,电子设备可以被配置为将数据存储在云网络中的安全域中,创建加密密钥,其中每个加密密钥用于提供对数据的不同类型的访问,并将加密密钥存储在云网络中的安全域密钥存储库中。在示例中,每个加密密钥提供对不同版本的数据的访问。在另一示例中,计数器引擎将每个版本的数据的位置存储在云网络中。在说明性示例中,数据可以被存储在安全域中,并且可以使用访问密钥来授权对数据的访问。每个访问密钥可以具有对数据的不同级别的访问。在示例中,每个访问密钥可以提供对数据的不同版本或草稿的访问。加密密钥可以被存储在安全域中。在示例中,数据的生成器可以创建加密密钥并提供关于加密密钥的策略,其中该策略包括由每个密钥提供的访问级别以及数据的版本。
出于说明通信系统100a和100b的特定示例性技术的目的,理解可能穿过网络环境的通信是重要的。可以将以下基础信息视为可以适当解释本公开的基础。
终端用户具有比以前更多的通信选择。目前正在进行许多突出的技术趋势(例如,更多计算设备、更多连接设备等)。一个目前趋势是使用网络,尤其是使用基于云的网络计算系统。云网络是一种通过利用全局云计算基础设施在公共互联网上构建并管理安全专用网络的网络范例。在云网络中,传统的网络功能和服务(包括连接、安全、管理和控制)被推送到云并作为服务进行传送。基于云的网络只需要互联网连接,并且可以通过任何物理基础设施(有线或无线、公共或专用)工作。云网络的一个关键问题是数据安全。所需要的是一种可以被配置为在云网络中提供数据安全的系统。
如图1A和1B所示,能够在云网络中提供数据安全的通信系统可以解决这些问题(和其他问题)。在示例中,密钥存储库(例如,密钥存储库110)可以提供对加密密钥(例如,encryption key_1 120a)的访问,以允许云部件或电子设备(例如,电子设备102a或102b)访问数据(例如,data_Avl)。访问密钥存储库110可以由访问引擎(例如,访问引擎110)监视,使得仅允许授权设备访问加密密钥和数据。另外,计数器引擎(例如,计数器引擎112)可以跟踪数据的最新版本以及数据的先前版本。计数器引擎可以被配置为帮助提供允许设备访问的版本的数据。例如,可以允许电子设备102b访问最新版本的数据(例如,data_Bv2116f),而仅可以允许电子设备102c访问早期版本的数据(例如,data_Bv1116e)。通过使用计数器引擎指向或以其他方式识别相同数据的不同版本,可以节省存储器。例如,将数据116a-116d存储在安全域106d中将在安全域106b中占用相对大量的存储。然而,计数器引擎112中的counter_A 112a可以被配置为跟踪数据的每个版本,并且counter_A 112a将占用安全域106b中的相对少量的存储。在示例中,counter_A 112a仅给出安全域106c中的最新版本数据(例如,data_Av4 116d)的指示,而counter_B 112b仅给出安全域106d中的最新版本数据(例如,data_Bv2 116f)的指示。
在示例中,平台服务可以包括安全域,该安全域可以与平台服务上的多个虚拟机通信,并且可以为每个虚拟机提供当前计数器以识别平台服务上的最新版本的数据。结果,数据不需要被存储在特定服务器上或特定位置中,并且安全域可以将平台服务上的设备或云部件引导到最新版本的数据。在特定示例中,页面大小扩展(PSE)可以与计数器引擎112通信并获得最新版本的数据。
在另一示例中,机密数据被创建(例如,由电子设备102a的用户或由数据生成引擎114),并且数据可以被存储在云网络(例如,云网络104)上的安全域(例如,安全域106c)中。对数据的访问可以被存储在由访问引擎(例如,访问引擎128)保护的密钥存储库(例如,密钥存储库110)中。在示例中,可以创建加密密钥(例如,encryption key_1 120a)以保护数据。在另一示例中,加密密钥可以由电子设备(例如,加密密钥120)提供。可以针对数据来初始化计数器服务(例如,使用计数器引擎112),并且可以创建关于可以将什么版本的数据传送到特定设备的策略。此外,还可以创建关于允许对数据执行什么的策略。例如,可以允许电子设备102a访问encryption key_1 120a,并且电子设备102a可以完全访问最新数据,并且可以修改、删除、复制等。可以允许电子设备102b访问encryption key_2 120b,并且电子设备102b可以访问最近的数据,但encryption key_2 120b可能只允许读取数据而不修改或复制数据。可以允许电子设备102c访问encryption key_3 120c,并且电子设备102c访问较旧版本的数据(例如,data_Av2 116b),并且encryption key_3 120c可以仅允许电子设备102c读取和复制或下载数据而不修改数据。
转到图1的基础结构,示出了根据示例性实施例的通信系统100。通常,通信系统100可以以网络的任何类型或拓扑实现。云网络104表示用于接收和发送通过通信系统100传播的信息的分组的互连通信路径的一系列点或节点。云网络104在节点之间提供通信接口,并且可以被配置为任何局域网(LAN)、虚拟局域网(VLAN)、广域网(WAN)、无线局域网(WLAN)、城域网(MAN)、内联网、外联网、虚拟专用网(VPN),以及促进云网络环境中的通信的任何其他适当的架构或系统,或者其任何适当的组合,包括有线和/或无线通信。
在通信系统100a和100b中,可以根据任何合适的通信消息传送协议来发送和接收网络业务,其包括分组、帧、信号(模拟、数字或两者的任何组合)、数据等。合适的通信消息传送协议可以包括多层方案,例如开放系统互连(OSI)模型,或其任何推导或变型(例如,传输控制协议/互联网协议(TCP/IP)、用户数据报协议/IP(UDP/IP))。另外,还可以在通信系统100中提供无线电信号通信(例如,通过蜂窝网络)。可以提供合适的接口和基础设施以实现与蜂窝网络的通信。
本文使用的术语“分组”指的是可以在分组交换网络上的源节点和目的地节点之间路由的数据单元。分组包括源网络地址和目的地网络地址。这些网络地址可以是TCP/IP消息传送协议中的互联网协议(IP)地址。本文使用的术语“数据”指的是在电子设备和/或网络中从一点传送到另一点的任何类型的二进制、数字、语音、视频、文本或脚本数据,或任何类型的源或目标代码,或任何合适格式的任何其他适当信息。另外,消息、请求、响应和查询是网络业务的形式,并且因此可以包括分组、帧、信号、数据等。
在示例性实现中,安全域106a-106e和虚拟机108是云网络元件,其旨在包含可操作以在网络环境中交换信息的网络设备、(虚拟和物理的)服务器、路由器、交换机、网关、网桥、负载均衡器、处理器、模块、或任何其他适当的虚拟或物理设备、部件、元件或对象。网络元件可以包括便于其操作的任何合适的硬件、软件、部件、模块或对象,以及用于在云网络环境中接收、发送和/或以其他方式通信数据或信息的合适接口。这可以包括允许有效交换数据或信息的适当算法和通信协议。
关于与通信系统100a和100b相关联的内部结构,电子设备102a-102d、安全域106a-106e和虚拟机108中的每一个可以包括用于存储将在本文概述的操作中使用的信息的存储器元件。电子设备102a-102d、安全域106a-106e和虚拟机108中的每一个可以将信息保存在任何合适的存储器元件(例如,随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)、专用集成电路(ASIC)、非易失性存储器(NVRAM)、磁存储设备、磁光存储设备、闪存(SSD)等)、软件、硬件、固件中,或在适当的情况下并基于特定需要而保存在任何其他合适的部件、设备、元件或对象中。本文讨论的任何存储器项应该被解释为包含在广义术语“存储器元件”内。此外,可以在任何数据库、寄存器、队列、表、高速缓存、控制列表或其他存储结构中提供在通信系统100a和100b中使用、跟踪、发送或接收的信息,所有这些都可以在任何适当的时间帧处引用。任何这样的存储选项也可以包含于本文使用的广义术语“存储元件”中。
在特定示例性实现中,这里概述的功能可以通过在一个或多个有形介质中编码的逻辑来实现(例如,在ASIC中提供的嵌入式逻辑、数字信号处理器(DSP)指令、待由处理器执行的软件(可能包括目标代码和源代码)、或其它类似机器等),其可以包括非瞬态计算机可读介质。在这些实例中的一些中,存储器元件可以存储用于本文描述的操作的数据。这包括存储器元件,其能够存储被执行以执行本文描述的活动的软件、逻辑、代码或处理器指令。
在示例性实现中,通信系统100a和100b的网络元件(例如电子设备102a-102d、安全域106a-106e和虚拟机108)可以包括软件模块(例如,计数器引擎112、数据生成引擎114以及访问引擎128)以实现或促成如本文所概述的操作。这些模块可以以任何适当的方式进行适当地组合,这可以基于特定的配置和/或供应需求。在一些实施例中,这样的操作可以由硬件执行,在这些元件外部实现,或者包含于一些其他网络设备中以实现预期的功能。此外,模块可以实现为软件、硬件、固件或其任何合适的组合。这些元件还可以包括可以与其他网络元件协调以便实现如本文概述的操作的软件(或往复式软件)。
另外,电子设备102a-102d、安全域106a-106e和虚拟机108中的每一个可以包括能够执行软件或算法以执行如本文所讨论的活动的处理器。处理器可以执行与数据相关联的任何类型的指令以实现本文详述的操作。在一个示例中,处理器可以将元素或物品(例如,数据)从一种状态或事物变换为另一种状态或事物。在另一示例中,本文概述的活动可以用固定逻辑或可编程逻辑(例如,由处理器执行的软件/计算机指令)来实现,并且本文中标识的元件可以是特定类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、EPROM、EEPROM)或包括数字逻辑、软件、代码、电子指令或其任何合适组合的ASIC。本文描述的任何潜在处理元件、模块和机器应被解释为包含在广义术语“处理器”内。
电子设备102a-102d、安全域106a-106e和虚拟机108可以是网络元件,并且包括例如物理或虚拟服务器或可以在云服务架构中使用的其他类似设备。云网络104通常可以被定义为使用通过网络(例如互联网)作为服务传送的计算资源。可以分发和分离服务以为电子设备提供所需的支持。通常,计算、存储和网络资源在云基础架构中提供,有效地将工作负载从本地网络转移到云网络。服务器可以是诸如服务器或虚拟服务器的网络元件,并且可以与希望经由特定网络在通信系统100a和100b中发起通信的客户端、顾客、端点或最终用户相关联。术语“服务器”包括用于服务客户端的请求和/或代表通信系统100a和100b内的客户端执行特定计算任务的设备。
转到图2,图2是根据本公开的实施例用于在云网络中实现数据安全的通信系统的一部分的示例性细节的简化框图。在示例中,可以允许电子设备102a(未示出)使用encryption key_1 120a来访问data_Av4 116d。encryption key_1 120a允许电子设备102a具有对data_Av4 116d的完全访问,这意味着电子设备120a可以对行130a-130d和列132a-132c进行读取、复制修改等。可以允许电子设备102b(未示出)使用encryption key_1120b访问data_Av4 116d。encryption key_1 120b允许电子设备102b具有对data_Av4116d的有限访问,这意味着电子设备120a可以仅对列132a和132b中的行130a-130c进行读取、复制或下载。可以允许电子设备102c(未示出)使用encryption key_1 120c访问data_Av4 116d。encryption key_1 120c允许电子设备102c对data_Av4 116d具有非常有限的访问,这意味着电子设备120c只能读取行130a和列132a。上述每个加密密钥所提供的访问量仅用于说明目的,并且可以被配置为管理员的偏好,其中多个加密密钥允许各种类型的访问。
转到图3,图3是示出根据实施例可以与云网络中的数据安全相关联的流300的可能操作的示例性流程图。在实施例中,流300的一个或多个操作可以由计数器引擎112、数据生成引擎114和访问引擎128中的一个或多个执行。在302处,数据被创建。在304处,数据被存储在安全域中并使用加密密钥进行保护。在306处,设备请求访问存储在安全域中的数据。在308处,系统确定设备是否被授权访问数据。如果设备未被允许访问数据,则该设备不被允许访问该数据,如310中所示。如果设备被允许访问数据,则向该设备提供加密密钥并允许其访问该数据。
转到图4,图4是示出根据实施例可以与云网络中的数据安全相关联的流400的可能操作的示例性流程图。在实施例中,流400的一个或多个操作可以由计数器引擎112、数据生成引擎114和访问引擎128中的一个或多个来执行。在402处,数据被创建并被存储在安全域中。在404处,多个加密密钥被创建,其中每个加密密钥能够允许对数据的不同级别的访问。在406处,电子设备请求访问数据。在408处,对数据的访问级别被确定。在410处,将提供确定的访问级别的特定加密密钥传送到电子设备。在412处,电子设备以确定的访问级别来访问数据。
转到图5,图5是示出根据实施例可以与云网络中的数据安全相关联的流500的可能操作的示例性流程图。在实施例中,流500的一个或多个操作可以由计数器引擎112、数据生成引擎114和访问引擎128中的一个或多个执行。在502处,数据被存储在安全域中。在504处,设备请求访问数据。在506处,系统确定设备是否被授权访问数据。如果设备未被授权访问数据,则不允许该设备访问该数据,如508中所示。如果设备被允许访问数据,则系统确定设备是否被授权访问最新版本的数据,如510中所示。如果不允许设备访问最新版本的数据,则该设备被授权访问该设备被授权访问的版本的数据,如512中所示。如果设备被授权访问最新版本的数据,则允许该设备访问该最新版本的数据。
转到图6,图6示出了根据实施例以点对点(PtP)配置布置的计算系统600。特别地,图6示出了一种系统,其中处理器、存储器和输入/输出设备通过多个点对点接口互连。通常,通信系统100的一个或多个网络元件可以以与计算系统600相同或相似的方式配置。
如图6所示,系统600可以包括几个处理器,为清楚起见,仅示出了其中两个处理器670和680。虽然示出了两个处理器670和680,但是应该理解,系统600的实施例也可以仅包括一个这样的处理器。处理器670和680可以分别包括核心的集合(即,处理器核心674A和674B以及处理器核心684A和684B)以执行程序的多个线程。核心可以被配置为以与上面参考图1-5讨论的方式类似的方式来执行指令代码。每个处理器670、680可以包括至少一个共享高速缓存671、681。共享高速缓存671、681可以存储由处理器670、680的一个或多个部件(例如处理器核心674和684)使用的数据(例如,指令)。
处理器670和680还可以各自包括集成存储器控制器逻辑(MC)672和682以与存储器元件632和634进行通信。存储器元件632和/或634可以存储由处理器670和680使用的各种数据。在替代实施例中,存储器控制器逻辑672和682可以是与处理器670和680分开的分立逻辑。
处理器670和680可以是任何类型的处理器,并且可以分别使用点对点接口电路678和688经由点对点(PtP)接口650交换数据。处理器670和680中的每个可以使用点对点接口电路676、686、694和698经由各个点对点接口652和654与芯片集690交换数据。芯片集690还可以经由高性能图形接口639使用接口电路692来与高性能图形电路638交换数据,所述接口电路692可以是PtP接口电路。在替代实施例中,图6中所示的任何或所有PtP链路可以实现为多点总线而不是PtP链路。
芯片集690可以经由接口电路696与总线620进行通信。总线620可以具有通过其进行通信的一个或多个设备,例如总线桥618和I/O设备616。经由总线610,总线桥618可以与其它设备进行通信,例如键盘/鼠标612(或诸如触摸屏、轨迹球等的其他输入设备)、通信设备626(诸如可以通过计算机网络660进行通信的调制解调器、网络接口设备或其他类型的通信设备)、音频I/O设备614和/或数据存储设备628。数据存储设备628可以存储代码630,其可以由处理器670和/或680执行。在替代实施例中,总线架构的任何部分都可以用一个或多个PtP链路实现。
图6中描绘的计算机系统是可以用于实现本文所讨论的各种实施例的计算系统的实施例的示意图。应当理解,图6中描绘的系统的各种部件可以组合在片上系统(SoC)架构或任何其他合适的配置中。例如,这里公开的实施例可以并入包括移动设备的系统中,所述移动设备例如是智能蜂窝电话、平板计算机、个人数字助理、便携式游戏设备等。可以理解,在至少一些实施例中,这些移动设备可以设置有SoC架构。
转到图7,图7是与本公开的示例性生态系统SOC 700相关联的简化框图。本公开的至少一个示例性实现可以包括在此讨论的本地网络特征中的设备配对。此外,该架构可以是任何类型的平板计算机、智能电话(包括AndroidTM手机、iPhoneTM)、iPadTM、谷歌NexusTM、Microsoft SurfaceTM、个人计算机、服务器、视频处理部件、膝上型计算机(包括任何类型的笔记本计算机)、UltrabookTM系统、任何类型的触控输入设备等。
在图7的该示例中,生态系统SOC 700可以包括多个核心706-707、L2高速缓存控制708、总线接口单元709、L2高速缓存710、图形处理单元(GPU)715、互连702、视频编解码器720以及液晶显示器(LCD)I/F 725,其可以与耦合到LCD的移动工业处理器接口(MIPI)/高清晰度多媒体接口(HDMI)链路相关联。
生态系统SOC 700还可以包括订户身份模块(SIM)I/F 730、引导只读存储器(ROM)735、同步动态随机存取存储器(SDRAM)控制器740、闪存控制器745、串行外围接口(SPI)主机750、合适的功率控制755、动态RAM(DRAM)760和闪存765。此外,一个或多个实施例包括一个或多个通信能力、接口和特征,诸如蓝牙TM 770、3G MODEM 775、全球定位系统(GPS)780和802.11Wi-Fi 785的实例。
在操作中,图7的示例可以提供处理能力以及相对低的功耗,以实现各种类型的计算(例如,移动计算、高端数字家庭、服务器、无线基础设施等)。此外,这种架构可以实现任何数量的软件应用(例如,AndroidTM、播放器、Java平台标准版(Java SE)、JavaFX、Linux、嵌入式Microsoft Windows、Symbian和Ubuntu等)。在至少一个示例性实施例中,核心处理器可以实现具有耦合的低延迟级别2高速缓存的无序超标量管线。
图8示出了根据实施例的处理器核心800。处理器核心800可以是任何类型的处理器的核心,例如微处理器、嵌入式处理器、数字信号处理器(DSP)、网络处理器或执行代码的其他设备。虽然图8中仅示出了一个处理器核心800,但是处理器可以替代地包括一个以上图8中所示的处理器核心800。例如,处理器核心800代表结合图8的处理器870和880示出和描述的处理器核心874a、874b、884a和884b的一个示例性实施例。处理器核心800可以是单线程核心,或者对于至少一个实施例,处理器核心800可以是多线程的,因为它可以包括每个核心多于一个的硬件线程上下文(或“逻辑处理器”)。
图8还示出了根据实施例耦合到处理器核心800的存储器802。存储器802可以是本领域技术人员已知或以其他方式可获得的各种存储器(包括存储器层级的各种层)中的任何一种。存储器802可以包括代码804,该代码804可以是由处理器核心800执行的一个或多个指令。处理器核心800可以遵循由代码804指示的程序指令序列。每个指令进入前端逻辑806并被一个或多个解码器808处理。解码器可以生成微操作(例如,预定义格式的固定宽度微操作)作为其输出,或者可以生成反映原始代码指令的其他指令、微指令或控制信号。前端逻辑806还包括寄存器重命名逻辑810和调度逻辑812,其通常分配资源并对与指令相对应的操作进行排队以用于执行。
处理器核心800还可以包括具有执行单元816-1至816-N的集合的执行逻辑814。一些实施例可以包括专用于特定功能或功能集的多个执行单元。其他实施例可以包括仅一个执行单元或者可以执行特定功能的一个执行单元。执行逻辑814执行由代码指令指定的操作。
在完成由代码指令指定的操作的执行之后,后端逻辑818可以引退代码804的指令。在一个实施例中,处理器核心800允许无序执行但需要按顺序引退指令。引退逻辑820可以采用各种已知形式(例如,重新排序缓冲器等)。以这种方式,至少按照由解码器生成的输出、硬件寄存器及由寄存器重命名逻辑810使用的表,以及由执行逻辑814修改的任何寄存器(未示出),在代码804的执行期间变换处理器核心800。
虽然未在图8中示出,但是处理器可以包括具有处理器核心800的芯片上的其他元件,其中至少一些元件在本文中参考图6进行了示出和描述。例如,如图6所示,处理器可以包括存储器控制逻辑以及处理器核心800。处理器可以包括I/O控制逻辑和/或可以包括与存储器控制逻辑集成的I/O控制逻辑。
注意,利用本文提供的示例,可以按照两个、三个或更多个网络元件来描述交互。然而,这仅出于清楚和示例的目的而进行。在特定情况下,仅通过引用有限数量的网络元件来描述给定流集合的一个或多个功能可能更容易。应当理解,通信系统100及其教导是容易扩展的,并且可以容纳大量部件,以及更复杂/繁复的布置和配置。因此,所提供的示例不应限制范围或抑制通信系统100的广泛教导,并且可能应用于许多其他架构。
同样重要的是要注意,前面的流程图(即,图3-5)中的操作仅示出了可以由通信系统100执行或在通信系统100内执行的一些可能的相关场景和模式。在不背离本公开的范围的情况下,在适当的情况下可以删除或移除这些操作中的一些,或者可以显著地修改或改变这些操作。另外,已经将许多这些操作描述为与一个或多个附加操作同时执行或并行执行。然而,这些操作的定时可能会有很大的改变。出于示例和讨论的目的提供了前述操作流程。通信系统100提供了相当大的灵活性,因为可以在不背离本公开的教导的情况下提供任何合适的布置、时间顺序、配置和定时机制。
虽然已经参考特定布置和配置详细描述了本公开,但是在不背离本公开的范围的情况下,可以显著地改变这些示例配置和布置。此外,可以基于特定需求和实现来组合、分离、消除或添加特定部件。另外,虽然已经参考促进通信过程的特定元件和操作示出了通信系统100,但是这些元件和操作可以由实现通信系统100的预期功能的任何合适的架构、协议和/或过程代替。
对于本领域技术人员而言,可以确定许多其他改变、替换、变化、替代和修改,并且本公开旨在涵盖落入所附权利要求范围内的所有这些改变、替换、变化、替代和修改。为了协助美国专利商标局(USPTO)以及另外本申请中发布的任何专利的任何读者解释所附权利要求,申请人希望注意到,本申请人:(a)不意图因存在于其提交日期之前而使得任何随附权利要求启动美国专利法第112条第六(6)款,除非在特定权利要求中明确使用了“用于…的单元”或“用于…的步骤”的词语;以及(b)并不意图通过说明书中的任何陈述以未在所附权利要求中反映的任何其他方式来限制本公开。
其他事项和示例
示例C1是具有一个或多个指令的至少一种机器可读介质,所述指令在由至少一个处理器执行时,使所述至少一个处理器用于:将数据存储在云网络中的安全域中;创建加密密钥,其中每个加密密钥提供对数据的不同类型的访问;以及将所述加密密钥存储在云网络中的安全域密钥存储库中。
在示例C2中,示例C1的主题可以可选地包括:其中,每个加密密钥提供对不同版本的数据的访问。
在示例C3中,示例C1-C2中任一项的主题可以可选地包括:其中,所述数据的生成器创建所述加密密钥并将所述加密密钥传送到所述安全域密钥存储库。
在示例C4中,示例C1-C3中任一项的主题可以可选地包括:其中,访问控制引擎控制对所述加密密钥的访问。
在示例C5中,示例C1-C4中任一项的主题可以可选地包括:其中,计数器引擎将所述数据的每个版本的位置存储在所述云网络中。
在示例A1中,一种装置可以包括:访问引擎,其中所述访问引擎被配置为:将数据存储在云网络中的安全域中;创建加密密钥,其中每个加密密钥用于提供对数据的不同类型的访问;以及将所述加密密钥存储在云网络中的安全域密钥存储库中。
在示例A2中,示例A1的主题可以可选地包括:其中,每个加密密钥提供对不同版本的数据的访问。
在示例A3中,示例A1-A2中任一项的主题可以可选地包括:其中,所述数据的生成器创建所述加密密钥并将所述加密密钥传送到所述访问引擎。
在示例A4中,示例A1-A3中任一项的主题可以可选地还包括计数器引擎,其中所述计数器引擎被配置为:将所述数据的每个版本的位置存储在所述云网络中。
在示例A5中,示例A1-A4中任一项的主题可以可选地包括:其中,所述计数器引擎位于第二安全域中,所述第二安全域与存储所述数据的安全域分开。
示例M1是一种方法,包括:将数据存储在云网络中的安全域中;创建加密密钥,其中每个加密密钥用于提供对数据的不同类型的访问;以及将所述加密密钥存储在云网络中的安全域密钥存储库中。
在示例M2中,示例M1的主题可以可选地包括:其中,每个加密密钥提供对不同版本的数据的访问。
在示例M3中,示例M1-M2中任一项的主题可以可选地包括:其中,所述数据的生成器创建所述加密密钥并将所述加密密钥传送到所述安全域密钥存储库。
在示例M4中,示例M1-M3中任一项的主题可以可选地包括:其中,访问控制引擎控制对所述加密密钥的访问。
在示例M5中,示例M1-M4中任一项的主题可以可选地包括:其中,计数器引擎将所述数据的每个版本的位置存储在所述云网络中。
示例S1是一种用于在云网络中提供数据安全的系统,所述系统可以包括:访问引擎,其中所述访问引擎被配置为:将数据存储在云网络中的安全域中;创建加密密钥,其中每个加密密钥用于提供对数据的不同类型的访问;以及将所述加密密钥存储在云网络中的安全域密钥存储库中。
在示例S2中,示例S1的主题可以可选地包括:其中,每个加密密钥提供对不同版本的数据的访问。
在示例S3中,示例S1-S2中任一项的主题可以可选地包括:其中,所述数据的生成器创建所述加密密钥并将所述加密密钥传送到所述访问引擎。
在示例S4中,示例S1-S2中任一项的主题可以可选地包括计数器引擎,其中所述计数器引擎被配置为:将所述数据的每个版本的位置存储在所述云网络中。
在示例S5中,示例S1-S2中任一项的主题可以可选地包括其中。
示例X1是一种机器可读存储介质,包括机器可读指令用于实现如示例A1-A5或M1-M5中任一项所述的方法或装置。实施例Y1是一种装置,包括用于执行示例性方法M1-M5中任一项的单元。在示例Y2中,示例Y1的主题可以可选地包括:包括处理器和存储器的用于执行所述方法的单元。在示例Y3中,示例Y2的主题可以可选地包括:包括机器可读指令的存储器。
Claims (20)
1.至少一种机器可读介质,其包括一个或多个指令,所述指令在由至少一个处理器执行时,使所述至少一个处理器用于:
将数据存储在云网络中的安全域中;
创建加密密钥,其中,每个加密密钥用于提供对所述数据的不同类型的访问;以及
将所述加密密钥存储在所述云网络中的安全域密钥存储库中。
2.根据权利要求1所述的至少一种机器可读介质,其中,每个加密密钥提供对所述数据的不同版本的访问。
3.根据权利要求1和2中任一项所述的至少一种机器可读介质,其中,所述数据的生成器创建所述加密密钥并将所述加密密钥传送到所述安全域密钥存储库。
4.根据权利要求1和2中任一项所述的至少一种机器可读介质,其中,访问控制引擎控制对所述加密密钥的访问。
5.根据权利要求1和2中任一项所述的至少一种机器可读介质,其中,计数器引擎将所述数据的每个版本的位置存储在所述云网络中。
6.一种装置,包括:
访问引擎,其中,所述访问引擎被配置为:
将数据存储在云网络中的安全域中;
创建加密密钥,其中,每个加密密钥用于提供对所述数据的不同类型的访问;以及
将所述加密密钥存储在所述云网络中的安全域密钥存储库中。
7.根据权利要求6所述的装置,其中,每个加密密钥提供对所述数据的不同版本的访问。
8.根据权利要求6和7中任一项所述的装置,其中,所述数据的生成器创建所述加密密钥并将所述加密密钥传送到所述访问引擎。
9.根据权利要求6和7中任一项所述的装置,还包括计数器引擎,其中,所述计数器引擎被配置为:
将所述数据的每个版本的位置存储在所述云网络中。
10.根据权利要求6和7中任一项所述的装置,其中,所述计数器引擎位于第二安全域中,所述第二安全域与存储所述数据的所述安全域分开。
11.一种方法,包括:
将数据存储在云网络中的安全域中;
创建加密密钥,其中,每个加密密钥用于提供对所述数据的不同类型的访问;以及
将所述加密密钥存储在所述云网络中的安全域密钥存储库中。
12.根据权利要求11所述的方法,其中,每个加密密钥提供对所述数据的不同版本的访问。
13.根据权利要求11和12中任一项所述的方法,其中,所述数据的生成器创建所述加密密钥并将所述加密密钥传送到所述安全域密钥存储库。
14.根据权利要求11和12中任一项所述的方法,其中,访问控制引擎控制对所述加密密钥的访问。
15.根据权利要求11和12中任一项所述的方法,其中,计数器引擎将所述数据的每个版本的位置存储在所述云网络中。
16.一种用于在云网络中提供数据安全的系统,所述系统包括:
访问引擎,其中,所述访问引擎被配置为:
将数据存储在云网络中的安全域中;
创建加密密钥,其中,每个加密密钥用于提供对所述数据的不同类型的访问;以及
将所述加密密钥存储在所述云网络中的安全域密钥存储库中。
17.根据权利要求16所述的系统,其中,每个加密密钥提供对所述数据的不同版本的访问。
18.根据权利要求16和17中任一项所述的系统,其中,所述数据的生成器创建所述加密密钥并将所述加密密钥传送到所述访问引擎。
19.根据权利要求16和17中任一项所述的系统,还包括计数器引擎,其中,所述计数器引擎被配置为:
将所述数据的每个版本的位置存储在所述云网络中。
20.根据权利要求16和17中任一项所述的系统,其中,所述计数器引擎位于第二安全域中,所述第二安全域与存储所述数据的所述安全域分开。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/200,604 US20180006809A1 (en) | 2016-07-01 | 2016-07-01 | Data security in a cloud network |
US15/200,604 | 2016-07-01 | ||
PCT/US2017/039331 WO2018005384A1 (en) | 2016-07-01 | 2017-06-26 | Data security in a cloud network |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109196508A true CN109196508A (zh) | 2019-01-11 |
Family
ID=60786937
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780032787.1A Pending CN109196508A (zh) | 2016-07-01 | 2017-06-26 | 云网络中的数据安全 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20180006809A1 (zh) |
CN (1) | CN109196508A (zh) |
DE (1) | DE112017002260T5 (zh) |
WO (1) | WO2018005384A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190196805A1 (en) * | 2017-12-21 | 2019-06-27 | Apple Inc. | Controlled rollout of updates for applications installed on client devices |
US11057766B2 (en) * | 2018-11-01 | 2021-07-06 | Nokia Technologies Oy | Security management in disaggregated base station in communication system |
US11329816B2 (en) | 2020-06-01 | 2022-05-10 | Hewlett Packard Enterprise Development Lp | Encryption keys for removable storage media |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB9719874D0 (en) * | 1997-09-19 | 1997-11-19 | Ibm | Method for controlling access to electronically provided services and system for implementing such method |
CN102483792A (zh) * | 2009-11-23 | 2012-05-30 | 富士通株式会社 | 用于共享文档的方法和装置 |
CN103098071A (zh) * | 2010-09-21 | 2013-05-08 | 惠普发展公司,有限责任合伙企业 | 提供对数字文件的差异化访问 |
US9258122B1 (en) * | 2014-01-13 | 2016-02-09 | Symantec Corporation | Systems and methods for securing data at third-party storage services |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB0314905D0 (en) * | 2003-06-26 | 2003-07-30 | Ibm | A system for controlling access to stored data |
US9294443B2 (en) * | 2005-01-31 | 2016-03-22 | Unisys Corporation | Secure integration of hybrid clouds with enterprise networks |
EP2672673B1 (en) * | 2012-06-07 | 2016-05-25 | Alcatel Lucent | Apparatus and method for secure data processing |
US20140019753A1 (en) * | 2012-07-10 | 2014-01-16 | John Houston Lowry | Cloud key management |
US20140245025A1 (en) * | 2013-02-22 | 2014-08-28 | Spideroak Inc. | System and method for storing data securely |
US9699034B2 (en) * | 2013-02-26 | 2017-07-04 | Zentera Systems, Inc. | Secure cloud fabric to connect subnets in different network domains |
US9465947B2 (en) * | 2013-08-05 | 2016-10-11 | Samsung Sds America, Inc. | System and method for encryption and key management in cloud storage |
-
2016
- 2016-07-01 US US15/200,604 patent/US20180006809A1/en not_active Abandoned
-
2017
- 2017-06-26 WO PCT/US2017/039331 patent/WO2018005384A1/en active Application Filing
- 2017-06-26 DE DE112017002260.6T patent/DE112017002260T5/de active Pending
- 2017-06-26 CN CN201780032787.1A patent/CN109196508A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB9719874D0 (en) * | 1997-09-19 | 1997-11-19 | Ibm | Method for controlling access to electronically provided services and system for implementing such method |
CN102483792A (zh) * | 2009-11-23 | 2012-05-30 | 富士通株式会社 | 用于共享文档的方法和装置 |
CN103098071A (zh) * | 2010-09-21 | 2013-05-08 | 惠普发展公司,有限责任合伙企业 | 提供对数字文件的差异化访问 |
US9258122B1 (en) * | 2014-01-13 | 2016-02-09 | Symantec Corporation | Systems and methods for securing data at third-party storage services |
Also Published As
Publication number | Publication date |
---|---|
WO2018005384A1 (en) | 2018-01-04 |
US20180006809A1 (en) | 2018-01-04 |
DE112017002260T5 (de) | 2019-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI715892B (zh) | 基於區塊鏈的智慧合約調用方法及裝置、電子設備 | |
TWI737944B (zh) | 基於區塊鏈的交易執行方法及裝置、電子設備 | |
CN107949834A (zh) | 虚拟化可信存储装置 | |
CN104954356B (zh) | 保护共享的互连以用于虚拟机 | |
CN110020855B (zh) | 区块链中实现隐私保护的方法、节点、存储介质 | |
US20160294826A1 (en) | Data communication method using secure element and electronic system adopting the same | |
CN109863521A (zh) | 在区块链网络中的数据隔离 | |
CN103329139B (zh) | 在具有随机分配的存储范围的安全系统中支持jit的系统和方法 | |
CN113168622A (zh) | 区块链网络中的基于字段的对等许可 | |
CN104620254A (zh) | 用于低开销的存储器重播保护的并行化的计数器攀树 | |
CN110020856B (zh) | 区块链中实现混合交易的方法、节点和存储介质 | |
CN106796638A (zh) | 使用飞地认证进行数据验证 | |
CN108093652A (zh) | 应用的模拟 | |
CN107466406A (zh) | 用于组合多个信誉的系统和方法 | |
CN107408192A (zh) | 保护存储器 | |
US20150244717A1 (en) | Trusted virtual computing system | |
CN107980123A (zh) | 敏感数据的保护 | |
US11354448B2 (en) | Demand trusted device-based data acquisition methods, apparatuses, and devices | |
WO2022008996A1 (en) | Privacy preserving architecture for permissioned blockchains | |
US11961056B2 (en) | Mixed deployment architecture for distributed services | |
CN107873095A (zh) | 使用数字证书的恶意软件检测 | |
CN110750488B (zh) | 在fpga中实现外部调用的方法及装置 | |
CN109196508A (zh) | 云网络中的数据安全 | |
CN110321729A (zh) | 使用信任域支持虚拟化系统中的存储器分页 | |
CN106575336A (zh) | 对敏感代码恶意调用的检测与抑制 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |