TW201546649A - 用於基於硬體安全模組的基於雲端的web服務安全管理的系統和方法 - Google Patents
用於基於硬體安全模組的基於雲端的web服務安全管理的系統和方法 Download PDFInfo
- Publication number
- TW201546649A TW201546649A TW104108426A TW104108426A TW201546649A TW 201546649 A TW201546649 A TW 201546649A TW 104108426 A TW104108426 A TW 104108426A TW 104108426 A TW104108426 A TW 104108426A TW 201546649 A TW201546649 A TW 201546649A
- Authority
- TW
- Taiwan
- Prior art keywords
- hsm
- partition
- web service
- host
- management
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
提出了一種涉及支援安全性管理的系統和方法的新方案,該安全性管理支援託管在資料中心處的雲端中的多個web服務以將它們的加密操作卸載到部署在雲端中的一個或多個硬體安全模組(HSM)。每個HSM都是用於web服務的加密加速的高性能、符合聯邦資訊處理標準(FIPS)140的安全解決方案。每個HSM包括多個分區,其中每個HSM分區被專用於支援web服務主機/伺服器之一來通過網路經由多個HSM虛擬機器(VM)之一卸載它們的加密操作。HSM管理VM還可以被部署以監視並管理HSM-VM的操作以支援多個web服務。
Description
本發明涉及以雲端為根基的網路服務安全管理系統和方法,尤其是涉及一種基於硬體安全模組之雲端網路服務安全管理系統和方法。
隨著服務提供者越來越多地將它們的web服務(例如,網站)託管在諸如亞馬遜web服務(AWS)和Google站之類的雲端中的第三方資料中心處,針對在第三方資料中心處託管的這些web服務的安全以及金鑰管理已經變成重要的問題。與這些web服務進行可靠通信所需的加密和解密操作,諸如RSA之類的加密操作,消耗了託管web服務的伺服器處的大量CPU週期和計算資源,並且優選是被卸載到專用於該目的的獨立模組。
硬體安全模組(HSM)是物理計算設備,其保護並管理用於強力認證的金鑰並且提供加密處理能力。每個HSM傳統上以插入卡或外部設備的形式出現,該插入卡或外部設備直接附接到電腦或網路服務器以便從伺服器卸載金鑰管理和加密操作。然而,硬體卸載不總是可用的,尤其是針對在第三方資料中心託管的web服務而言,這是因為資料中心處的大多數服務不具有硬體RSA加速器。此外,諸如VMWare的vSphere以及微軟的Hyper-V之類的用於在伺服器上運行虛擬機器的一些超管理器(hypervisor)產品不支援非聯網單根I/O虛擬化(SR-IOV),其使得設備分別存取其在各個周邊元件連接(PCI)快速(PCIe)硬體功能之中的資源,並因此
使得它們非常難以提供用於加密操作的硬體卸載。因此,需要一種改良的系統和方法以提供對於經由HSM在第三方資料中心處託管的基於雲端的web服務的可靠金鑰管理。
相關技術的前述示例以及與此相關的限制旨在說明性的而非排他性的。在閱讀說明書以及研究附圖之後,相關技術的其它限制將變得顯而易見。
為改良金鑰管理的可靠性,本發明提供一種用於卸載用於基於雲端的web服務的金鑰存儲、管理和加密操作的系統,該系統包括硬體安全模組(HSM)、運行於主機上的HSM管理虛擬機器(VM)及運行於主機上的所述一個或多個虛擬機器(HSM-VM)。其中,HSM包括一個或多個HSM分區,所述HSM分區中的每一個HSM分區被配置來執行用於web服務主機的金鑰管理和加密操作。所述HSM管理虛擬機器在操作中被配置來創建一個或多個HSM-VM,所述HSM-VM中的每一個HSM-VM,以一對一對應地方式,被所述HSM的HSM分區中的一個HSM分區所認證並專用於所述一個HSM分區。
再者,操作中每一個HSM-VM被配置來執行下列步驟:在所述web服務主機與將由專用於所述HSM-VM的HSM分區所服務的所述HSM-VM之間,通過網路建立安全通信通道;經由所述安全通信通道從所述web服務主機接收請求和/或資料,並將所述請求和/或資料向所述HSM分區提供;以及由所述HSM分區,經由所述安全通信通道,將所述金鑰管理和加密操作的結果提供回所述web服務主機。
同樣地,為改良金鑰管理的可靠性,本發明提供一種用於卸載用於基於雲端的web服務的金鑰存儲、管理和加密操作的方法。該方法包括,在主機上創建一個或多個VM,其中每一個VM被認證並且一對一對應地專用於HSM的多個分區中的一個;在web服務主機與將由專用於所述VM的HSM分區服務的VM之間通過網路建立安全通信通道;經由所述安全通信通道,從所述web服務主機接收請求及/或資料並將其向所述HSM分區提供;經由用於所述web服務主機的專
用HSM分區,執行金鑰管理和加密操作;以及經由所述安全通信通道,將所述金鑰管理和加密操作的結果,提供回所述web服務主機。
100‧‧‧系統
102‧‧‧硬體安全模組(HSM)
103‧‧‧計算單元/裝置/主機
104‧‧‧HSM虛擬機器(HSM-VM)
106‧‧‧HSM管理VM
108‧‧‧HSM分區
109‧‧‧金鑰存儲
110‧‧‧超管理器
112‧‧‧安全OS
200‧‧‧HSM設備
202‧‧‧HSM轉接器
204‧‧‧計算單元
206‧‧‧SR-IOV PCIe橋
208‧‧‧多核處理器
210‧‧‧安全性處理器
212‧‧‧PCIe插槽
300‧‧‧流程圖
302‧‧‧方塊
118‧‧‧VF HSM驅動器118
114‧‧‧虛擬功能(VF)網路驅動器
116‧‧‧網路適配器
120‧‧‧安全通信伺服器
122‧‧‧安全OS
124‧‧‧物理功能(PF)網路驅動器
126‧‧‧PF HSM驅動器
304‧‧‧方塊
306‧‧‧方塊
308‧‧‧方塊
310‧‧‧方塊
與附圖一起閱讀時,從隨後詳細說明中將最佳地理解本發明的諸多方面。應當指出:按照工業上的標準實踐,各個特徵未按比例繪製。實際上,為了討論清楚起見,各個特徵的維度可以任意增加或減少。
第一圖繪出了根據一些實施例的、支持經由HSM的基於雲端的web服務的加密操作卸載和加速的系統100的圖示示例。
第二圖繪出了根據一些實施例的、在第一圖中繪出的用於經由HSM的基於雲端的web服務安全管理的系統100的硬體實現的示例。
第三圖繪出了根據一些實施例的、支持經由HSM的基於雲端的web服務的加密操作卸載和加速的處理示例的流程圖。
第四圖繪出了根據一些實施例的、用於HSM從初始重置狀態移向操作狀態的處理流程示例的圖示。
第五圖繪出了根據一些實施例的、在PF HSM驅動器和HSM之間的四向交握(four-way handshake)的示例圖。
第六圖繪出了根據一些實施例的、在VF HSM驅動器和HSM分區之間的四向交握的示例圖。
以下公開內容提供許多不同實施例或示例,用於實施主題的不同特徵。在下面描述組件和佈置的特定示例以簡化本公開內容。當然,這些僅僅是示例而並不旨在限制。此外,本公開內容可以在各個示例中重複參考標號和/或字母。此類重複是為了簡潔和清楚的目的,其本身不指示所討論的各個實施例和/或配置之間的關係。
提出了一種新的方法,其考量了支持託管在資料中心
處的雲端中的多個web服務,將它們的金鑰存儲、管理和加密操作卸載到在雲端中部署的一個或多個硬體安全模組(HSM)的安全管理的系統和方法。每個HSM都是用於web服務的加密加速的高性能、符合聯邦資訊處理標準(FIPS)140的安全解決方案。具體地,每個HSM可以是硬體/韌體多晶片嵌入式密碼模組,其提供密碼功能,包括但不限於金鑰管理、模組式取冪(modular exponentiation)、亂數產生和雜湊處理,以及支援各種安全協定的協定特定的指令。在一些實施例中,每個HSM包括多個分區(partition),其中每個HSM分區被專用於支援web服務主機/伺服器中之一來通過網路經由多個HSM虛擬機器(VM)之一卸載它們的加密操作。單個HSM-VM與該web服務主機和該HSM分區二者建立安全通信通道,並且使web服務主機能夠利用HSM的金鑰管理和密碼功能。HSM管理VM還可以被部署來監視並管理HSM-VM的操作以支援多個web服務。
所提議的方法使得將它們的網站託管在第三方資料中心的web服務提供者,能夠將它的金鑰管理和加密操作卸載到一個或多個基於雲端的HSM上,以節省網站主機上的計算資源。重要的是,每個網站的金鑰和憑證保存在HSM上符合FIPS 140-2的安全環境中,其只可被網站和專用於服務該web服務主機的相應HSM所存取。甚至託管該網站的第三方資料中心也不能存取它的金鑰和憑證。這樣的方法使得web服務提供者的金鑰管理和加密操作能夠以高度安全的方式來完成。
第一圖繪出了支援經由硬體安全模組(HSM)的基於雲端的web服務的加密操作卸載和加速的系統100的圖示示例。雖然圖示將元件繪出為功能上分離的,但是這樣的繪出只是為了說明的目的。很顯然,在此圖中描繪的元件可以任意地組合或分成分開的軟體、韌體和/或硬體元件。而且,還將顯而易見的是:此類元件,無論它們如何組合或分開,都能夠在同一主機或多個主機上執行,並且其中,該多個主機能夠通過一個或多個網路相連接。
在第一圖的示例中,系統100包括至少一個硬體安全
模組(HSM)102、多個HSM虛擬機器(HSM-VM)104、以及HSM管理VM 106。在一些實施例中,HSM 102是多晶片嵌入式硬體/韌體密碼模組,具有軟體、韌體、硬體或被用於實現一目的的另一元件。HSM-VM 104和HSM管理VM 106典型地運行於根據聯邦資訊處理標準(FIPS)認證的計算單元/裝置/主機103上用於執行安全密碼操作。計算單元/裝置/主機103包括以下中的一個或多個:CPU或微處理器、諸如RAM之類的記憶體(也稱為主記憶體)以及諸如非揮發性記憶體(也稱為次要存放裝置)之類具有存儲在其中用於實施一個或多個過程的軟體指令的存儲單元。當軟體指令被執行時,該軟體指令的至少一個子集被載入到記憶體中,並且計算單元就變成用於實施本處理的專用計算單元。當在通用計算單元上實施時,電腦程式代碼分段配置計算單元以產生特定邏輯電路。該處理可以可選地至少部分地體現在由用於執行該處理的專用積體電路(ASIC)所形成的數位訊號處理器中。對於非限制性示例,主機103可以是計算設備、通信設備、存放裝置、或任何電子設備,其中該計算設備可以是但並不限於膝上型PC、桌上型PC,移動設備或諸如x86伺服器之類的伺服器機器,並且該通信設備可以是但不限於行動電話。
在圖1的示例中,HSM 102、HSM-VM 104和HSM管理VM 106中的每一個都具有通信介面(如下所述),這是一個使得元件通過遵循某些通信協定(比如TCP/IP協定)的網路(未示出)彼此通信以及與其它設備/主機/伺服器通信的元件。此類網路可以是但不限於:互聯網、內聯網、廣域網路(WAN)、局域網(LAN)、無線網路、藍牙、WiFi、移動通信網路、或任何其它網路類型。網路的物理連接和通信協定是本領域那些技術人員所熟知的。
第二圖描繪了在第一圖中繪出的用於經由HSM的基於雲端的web服務安全管理的系統100的硬體實現200的示例。如第二圖的示例中所示出的,FIPS認證的HSM設備200包括FIPS 140-2 2級和3級認證的計算單元204,具有一個或多個CPU、RAM和存儲單元,並且被配置來運行多個(例如,上至32個)諸如
HSM-VM 104和HSM管理VM 106之類的虛擬機器。HSM設備200還包括FIPS認證的SR-IOV啟用的HSM轉接器202,這是針對HSM 102的硬體設備。如第二圖的示例中所示出的,HSM適配器202還包括SR-IOV PCIe橋206,其經由第一PCIe連接(例如,PCIe Gen2 x8)將HSM轉接器202連接到計算單元204中的CPU,其中PCIe是高速串列電腦擴展匯流排標準,其被設計以支援硬體I/O虛擬化,從而針對匯流排設備實現最大的系統匯流排輸送量、低I/O引腳數和小物理尺寸。橋206被進一步配置為跨過高速通信介面(例如,10G的XAUI介面)連接到HSM轉接器202的多核處理器208(例如,多核MIPS64處理器,如OCTEON CN6130)。HSM轉接器202還包括經由第二PCIe連接(例如,PCIe Gen2 x4)的安全處理器210(例如,NITROX CNN3550),其中,安全性處理器210被配置,通過利用硬體加速器和實現安全演算法的嵌入軟體執行加密操作,來啟用密碼加速。在一些實施例中,HSM設備200被提供並被預先配置有預設網路和認證憑證,使得HSM設備200針對加密卸載以及金鑰和憑證存放區可以是符合FIPS的。
在第一圖的示例中,HSM 102被配置來,通過卸載web服務主機的金鑰存儲和密碼操作,來向多個web服務提供者/主機提供FIPS 140-2總體3級認證的安全解決方案。對於非限制性示例,加密/解密金鑰管理是針對對稱和/或非對稱(例如,RSA)金鑰,並且要被加速的加密操作是針對諸如被設計以提供互聯網上通信的安全性的傳輸層安全性(TLS)和/或安全通訊端層(SSL)之類的密碼協定。如第二圖中所示,HSM 102的HSM轉接器202經由PCIe插槽212被物理地連接到運行HSM-VM 104和HSM管理VM 106的計算單元204,以便以安全的方式與web服務主機進行互動並向其提供高速加密加速。由HSM 102提供的密碼功能包括但不限於模組式取冪、亂數產生、和雜湊處理,以及經由嵌入在HSM轉接器202中的安全處理器210的支持諸如TLS/SSL之類的各種安全協定的協定特定的指令。由HSM 102提供的這些密碼功能可以被系統100的其它元件經由由HSM 102定義並提供的應用程式設計介
面(API)來存取。
在一些實施例中,HSM 102可被進一步劃分為多個HSM分區108,其中每一個HSM分區108被專用於利用一個或多個加密加速單元、一個或多個使用者基於身份的檔案、金鑰存儲109來支援一個web服務提供者/主機,所述金鑰存儲109接受並保持安全認證證書、用戶生成/導入的金鑰和配置中的一個或多個。在此,所有密碼和/或憑證在HSM分區108中被存儲並認證,而在系統100中的其他地方(例如,HSM-VMS 104的主機103)沒有存儲任何東西。因此,除了HSM分區108和web服務提供者/主機之外沒有實體可以存取認證憑證。
在一些實施例中,HSM分區108是通過利用HSM 102的韌體來創建的軟分區。HSM 102確保了HSM分區108具有以下安全特徵:
●HSM分區108與HSM-虛擬機器104具有一對一之對應,其中每個HSM分區108僅與HSM-虛擬機器104中的一個互動,並允許僅從一個HSM-虛擬機器104進行存取。在一些實施例中,一個唯一靜態秘密(例如12位元組長)在系統100和它的驅動器的初始化期間被配置並指派給每個HSM-VM 104。然後對照分配給特定HSM-VM 104的靜態秘密以及在HSM分區108和HSM-VM 104之間的互動過程期間即時提供的動態秘密(例如,8位元組長),來檢查從該特定HSM-VM 104向HSM分區108的每個後續請求。
●web服務提供者/主機被要求打開一個通信會話並通過安全通信通道向HSM-VM 104認證它本身,以便能夠與HSM 102的對應HSM分區108進行互動並存取之。在這裡,通信會話的持續時間隨著web服務提供者/主機的每次登錄嘗試而不同,並且安全通信通道只能在web服務提供者/主機和HSM-VM 104之間的成功安全交握之後建立。在一些實施例中,用於向HSM分區108驗證HSM-VM 104的動態秘密也在安全通信通道建立後產生。
在一些實施例中,每個HSM分區108支持並且要求FIPS 140-2 3級所要求的針對其操作的基於身份的認證。每個身份允許不同的API調用集合用於不同類型的命令,這些命令用於初始化分區、管理分區、和/或對web服務的主機提供加密加速。HSM分區108可用的命令的類型基於登錄到HSM分區108的用戶的類型而有所不同,並且一些API調用不需要任何使用者登錄。對於非限制性示例,HSM管理VM 106可以利用不同類型的命令來初始化HSM 102和管理該HSM 102的HSM分區108。
在第一圖的示例中,每個HSM-VM 104經由安全通信通道與web服務提供者/主機進行互動,以將web服務提供者/主機的金鑰管理和加密操作卸載到專用於該HSM-VM 104的HSM 102的特定HSM分區108。該HSM-VM 104僅與如上所述已被HSM-VM 104認證的一個或多個web服務提供者/主機建立安全連接並與之進行通信。HSM-VM 104在超管理器(即管理程式)(hypervisor)110之上部運行,該超管理器110在主機103上運行HSM-VM 104和HSM管理VM 106。超管理器110向每個VM呈現虛擬操作平臺,並且管理主機103上的每個VM的執行。每個HSM-VM 104是執行程式來類比諸如作業系統(OS)之類計算環境的軟體實現。
在一些實施例中,每個HSM-VM 104包含一個或多個以下軟體元件:安全作業系統(例如,安全性增強的Linux或SE-Linux)112;虛擬功能(VF)網路驅動器114,被配置來與主機103的物理網路介面轉接器/卡(總稱網路適配器)116進行互動,以接收和發送專用於特定HSM-VM 104的通信(例如,封包);以及VF HSM驅動器118,被配置來與專用於特定HSM-VM 104的HSM 102的HSM分區108進行互動,並且在HSM-VM 104和HSM分區108之間建立一請求/回應通信路徑。HSM-VM 104的VF HSM驅動器118和HSM 102的HSM分區108如上所述通過SR-IOV PCIe橋而彼此進行通信,並且每個通信以符合FIPS的方式發生。如本文所指的那樣,VF驅動器是與網路介面卡(例如,網路介面卡116)
上的PCIe物理功能(PF)相關聯的羽量級PCIe功能,該網路介面卡支持單根I/O虛擬化(SR-IOV)並且代表網路介面卡的虛擬化實例。每個VF與PF和其它VF共用網路介面卡上的一個或多個物理資源,諸如外部網路埠。
在一些實施例中,在主機103上的相同超管理器110上運行的HSM-VM 104彼此隔離,並且一個HSM-VM 104不能存取任何其它HSM-VM 104的資料/通信。在通信期間,通過HSM-VM 104的VF網路驅動器114從物理網路介面卡116接收的封包經由靜態目的地MAC位址進行過濾,這對於每個VF驅動器而言是唯一的並且不能被VF驅動器改變/配置。基於SR-IOV映射,將MAC位址向HSM-VM 104的VF網路驅動器114直接遞送。當從HSM-VM 104發送封包時,VF網路驅動器114直接把該封包放到硬體佇列中,其在封包不接觸主機側或者運行在同一主機103上的任何其它HSM-VM 104的情況下,從物理網路介面卡116被發送出。
在一些實施例中,每個HSM-VM 104進一步包括安全通信伺服器120(例如,TurboSSL加速瘦伺服器),被配置來通過網路建立web服務提供者的伺服器/主機與HSM-VM 104之間的安全通信通道。為了確保安全通信,安全通信伺服器120在HSM-VM 104和web服務主機之間採用基於認可的相互認證,並使用利用最高安全性設置的受限密碼。在其操作期間,安全通信伺服器120從web服務提供者接收每個請求並將其轉換成命令,繼而向專用於該HSM-VM 104的HSM分區108傳遞命令以用於進一步處理。
在第一圖的示例中,HSM管理VM 106被配置來服務於管理員角色,以管理多個HSM-VM 104以及由HSM-VM 104所利用的各種設備。具體而言,HSM管理VM 106決定HSM 102內的有效HSM分區108的數目,裝載用於與HSM分區108通信的各種設備(例如,物理網路介面卡116和HSM 102)的驅動器,啟動並監視專用於HSM分區108的HSM-VM 104,以及處理用於各種設備的關鍵/管理更新。在一些實施例中,HSM管理VM 106運行安全OS(例如,安全性增強的Linux或SE-Linux)122。在一些實施
例中,HSM管理VM 106包括物理功能(PF)網路驅動器124,其被配置來將HSM-VM 104的VF網路驅動器114所使用的物理網路介面卡/卡116初始化,以與它們各自的web服務供應者通信。如本文所指的那樣,PF驅動器是支援SR-IOV介面的網路介面卡(例如,網路介面卡116)上的PCIe功能。PF驅動器被用來配置和管理網路介面卡的SR-IOV功能,如啟用虛擬化和暴露PCIe VF。
在一些實施例中,HSM管理VM 106還包括PF HSM驅動器126,其被配置來安裝和初始化HSM 102以用於利用HSM-VM 104的VF HSM驅動器118操作其HSM分區108。PF HSM驅動器126執行初始交握並與HSM 102建立請求/回應通信通道。PF HSM驅動器126識別HSM 102中的有效HSM分區108的數量,並將其向HSM管理VM 106傳遞。如果在HSM 102上存在有效HSM分區108,則HSM管理VM 106檢查相應VM影像的完整性,創建多個HSM-VM 104,其中的每一個專用於一個HSM分區108,並使用可用來對HSM 102進行初始化並管理HSM 102的HSM分區108的命令。如果在HSM 102中沒有有效HSM分區是可用的,則HSM管理VM 106不啟動HSM-VM 104。HSM管理VM 106隨後可以基於HSM 102中有效的HSM分區的數目和/或請求卸載金鑰管理和加密操作的web服務提供者的數目,來創建和/或移除HSM-VM 104。
第三圖繪出了支援經由HSM的基於雲端的web服務的加密操作卸載和加速的處理示例的流程圖。雖然此圖為了說明的目的描繪了特定順序的功能步驟,但是該過程不限於任何特定順序或設置的步驟。相關技術領域的技術人員將理解,在此圖中描繪的各種步驟可以以各種方式被省略、重新佈置、合併和/或適用。
在第三圖的示例中,流程圖300開始於方塊302,在那裡,一個或多個虛擬機器(VM)在主機上被創建,其中,每個虛擬機器被認證並以一對一的對應關係專用於硬體安全模組(HSM)的多個分區中的一個。流程圖300繼續到方塊304,在那裡,在每個VM和由專用於該VM的HSM分區所服務的web服務主機之間建立安全通信通道。流程圖300繼續到方塊306,在那裡,來自web
服務主機的請求和/或資料經由安全通信通道而被VM接收並向HSM分區提供。流程圖300繼續到方塊308,在那裡,金鑰管理和加密操作被卸載到web服務主機的專用HSM分區並被它執行。流程圖300在方塊310結束,在那裡,金鑰管理和加密操作的結果經由安全通信通道被專用VM提供回web服務主機。
雖然在第一圖中描繪的系統100處於操作中,但是HSM管理VM 106與HSM 102通信,以識別HSM 102中可用的有效HSM分區108的數量。HSM管理VM 106然後在主機103上創建多個HSM-VM 104,其中,每個HSM-VM 104專用於遵循適當認證的HSM分區108中的一個並與之具有一對一的對應關係。HSM管理VM 106還對HSM-VM 104所使用的多個網路介面卡/卡116進行初始化,以與web服務提供者進行通信。在它的操作期間,每個HSM-VM 104建立與web服務主機的安全通信通道,用於從web服務主機接收和向web服務主機發送資料和請求的封包。當HSM-VM 104從web服務主機經由其網路介面卡116接收請求時,HSM-VM 104將請求轉換成用於HSM 102的指令,並將該命令向專用於服務HSM-VM 104和web服務主機的HSM分區108傳遞。專用HSM分區108為處於FIPS 140-2 3級認證環境中的web服務主機維護加密/解密金鑰以及其它憑證。HSM分區108還執行加密操作,包括但不限於從web服務主機卸載的金鑰生成和大量資料加密/解密操作。HSM分區108然後經由網路介面卡116通過由HSM-VM 104建立的安全通信通道將金鑰和/或加密操作的結果提供回web服務主機。
第四圖繪出了HSM 102從初始重置狀態移向操作狀態的處理流程示例的圖示。當接通電源時,HSM 102在它變成可由HSM-VM 104存取以執行任何密碼操作之前歷經各種狀態。HSM 102在它第一次通電時處於安全的出廠預設值狀態。當HSM 102在此狀態下或PF管理員操作(PFAdmin Operational)狀態時,其中HSM管理VM 106創建HSM分區108,HSM 102定義信息傳遞協定,HSM管理VM 106的PF HSM驅動器126遵循該協定來將HSM
102移到安全操作狀態,並且PF HSM驅動器126和HSM 102之間的所有通信通過主機配置的緩衝器發生。第五圖繪出了在PF HSM驅動器126和HSM 102之間的四向(four-way)交握的示例圖。作為通信的一部分,向HSM管理VM 106提供HSM分區108的數目。PF HSM驅動器126接收HSM分區108的數目並啟動與HSM分區108一對一對應的多個HSM-VM 104。另外,作為通信的一部分,PF HSM驅動器126向每個HSM-VM 104傳送每HSM分區108一個靜態秘密,以被使用用於向HSM分區108認證。此靜態秘密在HSM 102上針對特定HSM分區108而被配置,並且它不能被另一個HSM分區108讀取。一旦此交換完成,則HSM 102移動到安全操作狀態,在此狀態下,它準備執行金鑰管理和加密操作。
類似地,每個HSM-VM 104及其相應的HSM分區108還從初始重置狀態移到操作狀態,其中,分區108可以被它的HSM-VM 104為各種密碼操作而存取。當HSM 102正在被HSM管理VM 106首次初始化時,HSM-VM 104處於單個HSM預設狀態(SingleHSM Default)。當處於單個HSM預設或單個HSM操作(SingleHSM Operational)狀態時,其中,HSM-VM 104的VF HSM驅動器118尚有待於將HSM分區108初始化,HSM 102定義信息傳遞協定,VF HSM驅動器118遵照該協定將HSM分區108移到安全操作狀態,並且VF HSM驅動器118和HSM分區108之間的所有通信交握通過VF配置的暫存器而發生。第六圖繪出了在VF HSM驅動器118和HSM分區108之間的四向交握的示例圖。作為此握手機制的一部分,靜態秘密的一部分被交換,其和上面所討論的與PF HSM驅動器126交換的秘密一起聯合,形成不能被任何其它HSM分區108讀取的靜態秘密。一旦此交換完成時,HSM-VM 104移到單個HSM安全操作狀態,其中,HSM-VM 104與其相應的HSM分區108一起工作,以執行從web服務主機卸載到HSM-VM 104的金鑰管理和加密操作。
本文所描述的方法和系統可以至少部分地以用於實施那些過程的電腦所實現的方法和設備的形式來體現。所公開的方
法也可以至少部分地以用電腦程式代碼編碼的有形、非臨時性電腦可讀存儲介質的形式來體現。該介質可以例如包括RAM、ROM、CD-ROM、DVD-ROM、BD-ROM、硬碟驅動器、閃速記憶體或任何其它非臨時性電腦可讀存儲介質,其中,當電腦程式代碼被載入電腦中並且由其執行時,電腦成為用於實施該方法的裝置。該方法還可以至少部分地以電腦的形式來體現,在其中載入和/或執行電腦程式代碼,如此使得電腦成為用於實施該方法的專用電腦。當在通用處理器上實現時,電腦程式程式碼片段對處理器進行配置以創建特定邏輯電路。該方法也可以至少部分地體現在用於執行所述方法的專用積體電路形式的數位訊號處理器中。
為了說明和描述的目的,已經提供了所要求保護標的的各個實施例的前述描述。它並非意在耗盡或將所要求的標的限制為所公開的精確形式。許多修改和變化對於本領域技術人員而言將是顯而易見。實施例被選擇並描述以便最好地描述本發明及其實際應用,由此使得相關技術領域其它技術人員能夠理解所要求保護的標的,各種實施例的原理、各個實施例、以及適合於預期的特定用途的各種修改。
300‧‧‧流程圖
302‧‧‧方塊
304‧‧‧方塊
306‧‧‧方塊
308‧‧‧方塊
310‧‧‧方塊
Claims (26)
- 一種用於卸載用於基於雲端的web服務的金鑰存儲、管理和加密操作的系統,包括:硬體安全模組(HSM),包括一個或多個HSM分區,其中,所述HSM分區中的每一個HSM分區被配置來執行用於web服務主機的金鑰管理和加密操作;運行於主機上的HSM管理虛擬機器(VM),所述HSM管理虛擬機器在操作中被配置來創建一個或多個HSM虛擬機器(HSM-VM),其中所述HSM-VM中的每一個HSM-VM,以一對一對應地方式,被所述HSM的HSM分區中的一個HSM分區所認證並專用於所述一個HSM分區;運行於主機上的所述一個或多個HSM-VM,在操作中每一個HSM-VM被配置來:在所述web服務主機與將由專用於所述HSM-VM的HSM分區所服務的所述HSM-VM之間,通過網路建立安全通信通道;經由所述安全通信通道從所述web服務主機接收請求和/或資料,並將所述請求和/或資料向所述HSM分區提供;以及由所述HSM分區,經由所述安全通信通道,將所述金鑰管理和加密操作的結果提供回所述web服務主機。
- 如申請專利範圍第1項所述的系統,其中:所述HSM是多晶片嵌入式符合聯邦資訊處理標準(FIPS)140的硬體/韌體密碼模組。
- 如申請專利範圍第2項所述的系統,其中:所述HSM包括安全處理器,所述安全處理器被配置來,通過用硬體加速器和實現安全演算法的嵌入軟體,執行加密操作來啟用密碼加速。
- 如申請專利範圍第1項所述的系統,其中:所述金鑰管理是用於對稱金鑰和/或非對稱金鑰。
- 如申請專利範圍第1項所述的系統,其中:所述加密操作是針對被設計來提供通過互聯網的通信安全的密碼協定。
- 如申請專利範圍第1項所述的系統,其中:所述HSM分區包括一個或多個加密加速單元和金鑰存儲,所述金鑰存儲用以保持安全認證憑證、用戶生成/導入的金鑰和配置中的一個或多個。
- 如申請專利範圍第6項所述的系統,其中:所述安全認證憑證、用戶生成/導入的金鑰和配置僅存儲在所述HSM分區內的所述金鑰存儲中,以使得除了所述HSM分區和所述web服務主機之外沒有實體存取所述認證憑證。
- 如申請專利範圍第1項所述的系統,其中:所述HSM分區針對它的操作支持並要求基於身份的認證,其中,每個身份,針對被使用來對所述HSM分區進行初始化、管理所述HSM分區及/或向所述web服務主機提供加密加速的不同類型的命令,允許不同的API調用集合。
- 如申請專利範圍第1項所述的系統,其中: 所述HSM管理VM和所述HSM-VM運行於根據用於執行安全密碼操作的FIPS進行驗證的主機上。
- 如申請專利範圍第1項所述的系統,其中:所述HSM管理VM決定所述HSM內的有效HSM分區的數目,裝載用於被使用來與所述HSM分區通信的各種設備的驅動器,啟動並監視專用於所述HSM分區的所述HSM-VM,以及處理用於所述各種設備的關鍵/管理更新。
- 如申請專利範圍第1項所述的系統,其中:所述HSM管理VM包括物理功能(PF)網路驅動器,所述物理功能(PF)網路驅動器被配置來將由所述HSM-VM使用的物理網路介面卡初始化以與它們各自的web服務主機通信。
- 如申請專利範圍第1項所述的系統,其中:所述HSM管理VM包括物理功能(PF)HSM驅動器,所述物理功能(PF)HSM驅動器被配置來安裝和初始化所述HSM以用於利用所述HSM-VM操作所述HSM分區。
- 如申請專利範圍第1項所述的系統,其中:所述HSM-VM中的每一個HSM-VM被指派唯一靜態秘密,用以向其對應的HSM分區進行認證。
- 如申請專利範圍第1項所述的系統,其中:所述web服務主機被要求通過所述安全通信通道以所述HSM-VM認證它本身,以便能夠與對應的所述HSM分區進行互動並存取對應的所述HSM分區。
- 如申請專利範圍第1項所述的系統,其中:所述HSM-VM中的每一個HSM-VM運行安全性增強的Linux作業系統。
- 如申請專利範圍第1項所述的系統,其中:所述HSM-VM中的每一個HSM-VM包括虛擬功能(VF)網路驅動器,所述虛擬功能(VF)網路磁碟被配置來與所述主機的物理網路介面卡進行互動,以接收和發送專用於所述HSM-VM的通信。
- 如申請專利範圍第1項所述的系統,其中:所述HSM-VM中的每一個HSM-VM包括虛擬功能(VF)HSM驅動器,所述虛擬功能(VF)HSM驅動器被配置來與專用於所述HSM-VM的所述HSM的HSM分區進行互動。
- 如申請專利範圍第1項所述的系統,其中:所述HSM-VM中的每一個HSM-VM包括安全通信伺服器,所述安全通信伺服器被配置來通過所述網路在所述HSM-VM與所述web服務主機之間建立所述安全通信通道。
- 如申請專利範圍第1項所述的系統,其中:在相同的超管理器/主機上運行的所述HSM-VM彼此隔離,並且一個HSM-VM不能存取任何其它HSM-VM的資料/通信。
- 一種用於卸載用於基於雲端的web服務的金鑰存儲、管理和加密操作的方法,包括:在主機上創建一個或多個虛擬機器(VM),其中所述VM中的每一個VM被認證並且一對一對應地專用於硬體安全模組(HSM)的多個分 區中的一個;在web服務主機與將由專用於所述VM的HSM分區服務的VM之間通過網路建立安全通信通道;經由所述安全通信通道,從所述web服務主機接收請求及/或資料並將其向所述HSM分區提供;經由用於所述web服務主機的專用HSM分區,執行金鑰管理和加密操作;以及經由所述安全通信通道,將所述金鑰管理和加密操作的結果,提供回所述web服務主機。
- 如申請專利範圍第20項所述的方法,進一步包括:僅在所述HSM分區內的金鑰存儲中存儲安全認證憑證、使用者生成/導入的金鑰和配置,以使得除了所述HSM分區和所述web服務主機之外沒有實體存取所述認證憑證。
- 如申請專利範圍第20項所述的方法,進一步包括:支持並要求針對所述HSM分區的操作的基於身份的認證,其中,每個身份,針對被使用來對所述HSM分區進行初始化、管理所述HSM分區及/或向所述web服務主機提供加密加速的不同類型的命令,而允許不同的API調用集合。
- 如申請專利範圍第20項所述的方法,進一步包括:確定所述HSM內的有效HSM分區的數目,裝載用於被使用來與所述HSM分區通信的各種設備的驅動器,啟動並監視專用於所述HSM分區的所述VM,以及處理用於所述各種設備的關鍵/管理更新。
- 如申請專利範圍第20項所述的方法,進一步包括:向所述VM中的每一個VM指派唯一靜態秘密,所述唯一靜態秘密用以向其對應的HSM分區認證它本身。
- 如申請專利範圍第20項所述的方法,進一步包括:要求所述web服務主機通過所述安全通信通道向所述VM認證它本身,以便能夠與對應的所述HSM分區進行互動並存取對應的所述HSM分區。
- 如申請專利範圍第20項所述的方法,進一步包括:將在相同的超管理器/主機上運行的VM彼此隔離,以使得一個VM不能存取任何其它VM的資料/通信。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462008112P | 2014-06-05 | 2014-06-05 | |
US14/299,739 US20160149877A1 (en) | 2014-06-05 | 2014-06-09 | Systems and methods for cloud-based web service security management basedon hardware security module |
Publications (1)
Publication Number | Publication Date |
---|---|
TW201546649A true TW201546649A (zh) | 2015-12-16 |
Family
ID=54770479
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW104108426A TW201546649A (zh) | 2014-06-05 | 2015-03-17 | 用於基於硬體安全模組的基於雲端的web服務安全管理的系統和方法 |
TW104119375A TW201642169A (en) | 2014-06-05 | 2015-06-16 | Systems and methods for high availability of hardware security modules for cloud-based web services |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW104119375A TW201642169A (en) | 2014-06-05 | 2015-06-16 | Systems and methods for high availability of hardware security modules for cloud-based web services |
Country Status (2)
Country | Link |
---|---|
US (5) | US20150358294A1 (zh) |
TW (2) | TW201546649A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110663218A (zh) * | 2017-05-31 | 2020-01-07 | 恩图鲁斯特咨询卡有限公司 | 跨多个远程站点的加密对象管理 |
Families Citing this family (74)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9225638B2 (en) | 2013-05-09 | 2015-12-29 | Vmware, Inc. | Method and system for service switching using service tags |
US11496606B2 (en) | 2014-09-30 | 2022-11-08 | Nicira, Inc. | Sticky service sessions in a datacenter |
US9928080B2 (en) | 2014-09-30 | 2018-03-27 | International Business Machines Corporation | Hardware security module access management in a cloud computing environment |
US9531590B2 (en) | 2014-09-30 | 2016-12-27 | Nicira, Inc. | Load balancing across a group of load balancers |
EP3032453B1 (en) * | 2014-12-08 | 2019-11-13 | eperi GmbH | Storing data in a server computer with deployable encryption/decryption infrastructure |
FR3030827B1 (fr) * | 2014-12-19 | 2017-01-27 | Stmicroelectronics (Grenoble 2) Sas | Procede et dispositif de traitement securise de donnees cryptees |
US10594743B2 (en) * | 2015-04-03 | 2020-03-17 | Nicira, Inc. | Method, apparatus, and system for implementing a content switch |
US9606854B2 (en) | 2015-08-13 | 2017-03-28 | At&T Intellectual Property I, L.P. | Insider attack resistant system and method for cloud services integrity checking |
US9760730B2 (en) * | 2015-08-28 | 2017-09-12 | Dell Products L.P. | System and method to redirect and unlock software secure disk devices in a high latency environment |
US10097534B2 (en) * | 2015-08-28 | 2018-10-09 | Dell Products L.P. | System and method to redirect hardware secure USB storage devices in high latency VDI environments |
US9923717B2 (en) * | 2015-10-07 | 2018-03-20 | International Business Machines Corporation | Refresh of shared cryptographic keys |
EP3160176B1 (en) * | 2015-10-19 | 2019-12-11 | Vodafone GmbH | Using a service of a mobile packet core network without having a sim card |
US9900319B2 (en) * | 2015-11-24 | 2018-02-20 | Intel Corporation | Resilient network construction using enhanced privacy identification |
US9660970B1 (en) * | 2015-12-03 | 2017-05-23 | Amazon Technologies, Inc. | Cryptographic key distribution |
US10778429B1 (en) | 2015-12-03 | 2020-09-15 | Amazon Technologies, Inc. | Storage of cryptographic information |
US10348500B2 (en) * | 2016-05-05 | 2019-07-09 | Adventium Enterprises, Llc | Key material management |
US10447478B2 (en) * | 2016-06-06 | 2019-10-15 | Microsoft Technology Licensing, Llc | Cryptographic applications for a blockchain system |
WO2018054473A1 (en) * | 2016-09-22 | 2018-03-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Version control for trusted computing |
US10447668B1 (en) | 2016-11-14 | 2019-10-15 | Amazon Technologies, Inc. | Virtual cryptographic module with load balancer and cryptographic module fleet |
US10461943B1 (en) * | 2016-11-14 | 2019-10-29 | Amazon Technologies, Inc. | Transparently scalable virtual hardware security module |
US10439803B2 (en) | 2016-11-14 | 2019-10-08 | Microsoft Technology Licensing, Llc | Secure key management |
US10318723B1 (en) * | 2016-11-29 | 2019-06-11 | Sprint Communications Company L.P. | Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications |
US10594668B1 (en) | 2016-12-01 | 2020-03-17 | Thales Esecurity, Inc. | Crypto Cloudlets |
US10425225B1 (en) | 2016-12-14 | 2019-09-24 | Amazon Technologies, Inc. | Synchronizable hardware security module |
US10263778B1 (en) * | 2016-12-14 | 2019-04-16 | Amazon Technologies, Inc. | Synchronizable hardware security module |
US10313123B1 (en) | 2016-12-14 | 2019-06-04 | Amazon Technologies, Inc. | Synchronizable hardware security module |
EP3336737A1 (en) * | 2016-12-19 | 2018-06-20 | Safenet Canada Inc. | Extension of secure properties and functionalities of a real hardware security module |
US10243731B2 (en) * | 2017-01-27 | 2019-03-26 | Accenture Global Solutions Limited | Hardware blockchain acceleration |
US10742408B2 (en) * | 2017-02-27 | 2020-08-11 | Cord3 Innovation Inc. | Many-to-many symmetric cryptographic system and method |
US10360393B2 (en) | 2017-04-28 | 2019-07-23 | International Business Machines Corporation | Synchronizing write operations |
US10915463B2 (en) | 2017-04-28 | 2021-02-09 | International Business Machines Corporation | Synchronizing requests to access computing resources |
US11151253B1 (en) | 2017-05-18 | 2021-10-19 | Wells Fargo Bank, N.A. | Credentialing cloud-based applications |
PL3635912T3 (pl) * | 2017-05-31 | 2023-12-04 | Crypto4A Technologies Inc. | Zintegrowany wielopoziomowy przyrząd sieciowy, platforma i system oraz sposób i system zdalnego zarządzania nimi |
US11310198B2 (en) | 2017-05-31 | 2022-04-19 | Crypto4A Technologies Inc. | Integrated multi-level or cross-domain network security management appliance, platform and system, and remote management method and system therefor |
US11321493B2 (en) | 2017-05-31 | 2022-05-03 | Crypto4A Technologies Inc. | Hardware security module, and trusted hardware network interconnection device and resources |
US10412682B2 (en) * | 2017-08-30 | 2019-09-10 | Qualcomm Incorporated | Mechanism to update/download profile using low power or no power |
US20200293697A1 (en) * | 2017-10-06 | 2020-09-17 | Private Machines Inc. | Computer server device and methods for initiating and running a computer process |
US10805181B2 (en) | 2017-10-29 | 2020-10-13 | Nicira, Inc. | Service operation chaining |
US10725885B1 (en) | 2017-11-17 | 2020-07-28 | Amazon Technologies, Inc. | Methods and apparatus for virtual machine load monitoring |
US10757082B2 (en) | 2018-02-22 | 2020-08-25 | International Business Machines Corporation | Transforming a wrapped key into a protected key |
US10805192B2 (en) | 2018-03-27 | 2020-10-13 | Nicira, Inc. | Detecting failure of layer 2 service using broadcast messages |
US11018871B2 (en) * | 2018-03-30 | 2021-05-25 | Intel Corporation | Key protection for computing platform |
US11764948B1 (en) * | 2018-04-30 | 2023-09-19 | Amazon Technologies, Inc. | Cryptographic service interface |
US10909250B2 (en) * | 2018-05-02 | 2021-02-02 | Amazon Technologies, Inc. | Key management and hardware security integration |
CN110580420B (zh) * | 2018-06-11 | 2023-03-28 | 阿里巴巴集团控股有限公司 | 基于集成芯片的数据处理方法、计算机设备、存储介质 |
US11030280B2 (en) * | 2018-08-01 | 2021-06-08 | Microsoft Technology Licensing, Llc | Hardware based identities for software modules |
US11595250B2 (en) | 2018-09-02 | 2023-02-28 | Vmware, Inc. | Service insertion at logical network gateway |
US11023619B2 (en) | 2018-09-14 | 2021-06-01 | International Business Machines Corporation | Binding a hardware security module (HSM) to protected software |
US11556364B2 (en) * | 2018-09-20 | 2023-01-17 | Cable Television Laboratories, Inc. | Method and apparatus for enabling public key infrastructure in the generic cloud environment and the network function |
US11429733B2 (en) * | 2018-11-15 | 2022-08-30 | International Business Machines Corporation | Sharing secret data between multiple containers |
WO2020107098A1 (en) * | 2018-11-29 | 2020-06-04 | Crypto4A Technologies Inc. | Trusted hardware network interconnection device and resources, and integrated multi-level or cross-domain network security management appliance, platform and system |
US11799651B2 (en) * | 2019-01-04 | 2023-10-24 | Baidu Usa Llc | Data processing accelerator having a security unit to provide root trust services |
US11288088B2 (en) | 2019-02-22 | 2022-03-29 | Vmware, Inc. | Service control plane messaging in service data plane |
US11363021B1 (en) * | 2019-09-30 | 2022-06-14 | Amazon Technologies, Inc. | Proxy service for two-factor authentication |
US11140218B2 (en) | 2019-10-30 | 2021-10-05 | Vmware, Inc. | Distributed service chain across multiple clouds |
US20210141940A1 (en) * | 2019-11-13 | 2021-05-13 | Sensoriant, Inc. | Method and system for enhancing the integrity of computing with shared data and algorithms |
US11405336B2 (en) | 2019-11-22 | 2022-08-02 | Baidu Usa Llc | Method for key sharing between accelerators in virtual channel with switch |
US11343083B2 (en) | 2019-11-22 | 2022-05-24 | Baidu Usa Llc | Method for key sharing between accelerators in virtual channel |
US11552790B2 (en) * | 2019-11-22 | 2023-01-10 | Baidu Usa Llc | Method for key sharing between accelerators |
US11558357B2 (en) * | 2019-11-22 | 2023-01-17 | Baidu Usa Llc | Method for key sharing between accelerators with switch |
US11728996B2 (en) | 2019-12-10 | 2023-08-15 | Baidu Usa Llc | System and method to securely broadcast a message to accelerators using virtual channels with switch |
US11659061B2 (en) | 2020-01-20 | 2023-05-23 | Vmware, Inc. | Method of adjusting service function chains to improve network performance |
US11750566B1 (en) * | 2020-03-31 | 2023-09-05 | Amazon Technologies, Inc. | Configuring virtual computer systems with a web service interface to perform operations in cryptographic devices |
US11368387B2 (en) | 2020-04-06 | 2022-06-21 | Vmware, Inc. | Using router as service node through logical service plane |
US11943367B1 (en) | 2020-05-19 | 2024-03-26 | Marvell Asia Pte, Ltd. | Generic cryptography wrapper |
KR20220005933A (ko) * | 2020-07-07 | 2022-01-14 | 삼성전자주식회사 | 클라우드 서버 및 이의 제어 방법 |
US20220166762A1 (en) * | 2020-11-25 | 2022-05-26 | Microsoft Technology Licensing, Llc | Integrated circuit for obtaining enhanced privileges for a network-based resource and performing actions in accordance therewith |
US11734043B2 (en) | 2020-12-15 | 2023-08-22 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
US11611625B2 (en) | 2020-12-15 | 2023-03-21 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
US20220353073A1 (en) * | 2021-04-28 | 2022-11-03 | Thales Dis Cpl Usa, Inc. | Method for authenticating an end-user account, method for single authenticating within a cluster of hsm, and method for implementing access control |
US11689375B2 (en) * | 2021-05-21 | 2023-06-27 | International Business Machines Corporation | Data in transit protection with exclusive control of keys and certificates across heterogeneous distributed computing environments |
KR102573894B1 (ko) * | 2021-08-03 | 2023-09-01 | 시큐리티플랫폼 주식회사 | 플래시 메모리를 이용한 펌웨어 업데이트 공유키 관리 방법 및 이를 실행하기 위한 기록매체에 저장된 컴퓨터 프로그램 |
CN114884661B (zh) * | 2022-07-13 | 2022-10-14 | 麒麟软件有限公司 | 混合安全服务密码系统 |
US20240154799A1 (en) * | 2022-11-07 | 2024-05-09 | Thales Dis Cpl Usa, Inc. | Link encryption and key diversification on a hardware security module |
Family Cites Families (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7657933B2 (en) * | 2003-04-12 | 2010-02-02 | Cavium Networks, Inc. | Apparatus and method for allocating resources within a security processing architecture using multiple groups |
US9264384B1 (en) * | 2004-07-22 | 2016-02-16 | Oracle International Corporation | Resource virtualization mechanism including virtual host bus adapters |
US7802111B1 (en) * | 2005-04-27 | 2010-09-21 | Oracle America, Inc. | System and method for limiting exposure of cryptographic keys protected by a trusted platform module |
US7565535B2 (en) * | 2005-05-06 | 2009-07-21 | Microsoft Corporation | Systems and methods for demonstrating authenticity of a virtual machine using a security image |
US9135444B2 (en) * | 2006-10-19 | 2015-09-15 | Novell, Inc. | Trusted platform module (TPM) assisted data center management |
US7870395B2 (en) * | 2006-10-20 | 2011-01-11 | International Business Machines Corporation | Load balancing for a system of cryptographic processors |
US8489701B2 (en) * | 2007-01-30 | 2013-07-16 | Microsoft Corporation | Private virtual LAN spanning a public network for connection of arbitrary hosts |
DE102007012749A1 (de) * | 2007-03-16 | 2008-09-18 | Siemens Ag | Verfahren und System zur Bereitstellung von Diensten für Endgeräte |
EP1976220A1 (en) * | 2007-03-30 | 2008-10-01 | British Telecommunications Public Limited Company | Computer network |
US8620818B2 (en) * | 2007-06-25 | 2013-12-31 | Microsoft Corporation | Activation system architecture |
WO2009044226A1 (en) * | 2007-10-03 | 2009-04-09 | Gmx Sas | System and method for secure management of transactions |
WO2009107351A1 (ja) * | 2008-02-25 | 2009-09-03 | パナソニック株式会社 | 情報セキュリティ装置および情報セキュリティシステム |
US20100162240A1 (en) * | 2008-12-23 | 2010-06-24 | Samsung Electronics Co., Ltd. | Consistent security enforcement for safer computing systems |
CN101937357B (zh) * | 2009-07-01 | 2013-11-06 | 华为技术有限公司 | 一种虚拟机迁移决策方法、装置及系统 |
US9032535B2 (en) * | 2009-12-31 | 2015-05-12 | Sandisk Technologies Inc. | Storage device and method for providing a scalable content protection system |
US9703586B2 (en) * | 2010-02-17 | 2017-07-11 | Microsoft Technology Licensing, Llc | Distribution control and tracking mechanism of virtual machine appliances |
US20110202765A1 (en) * | 2010-02-17 | 2011-08-18 | Microsoft Corporation | Securely move virtual machines between host servers |
WO2011116459A1 (en) * | 2010-03-25 | 2011-09-29 | Enomaly Inc. | System and method for secure cloud computing |
US8589702B2 (en) * | 2010-05-28 | 2013-11-19 | Dell Products, Lp | System and method for pre-boot authentication of a secure client hosted virtualization in an information handling system |
JP2013528872A (ja) * | 2010-06-02 | 2013-07-11 | ヴイエムウェア インク | マルチ・テナント・クラウドにおける顧客仮想計算機の保護 |
US9264235B2 (en) * | 2010-11-16 | 2016-02-16 | Blackberry Limited | Apparatus, system and method for verifying server certificates |
US8601265B2 (en) * | 2010-11-22 | 2013-12-03 | Netapp, Inc. | Method and system for improving storage security in a cloud computing environment |
US8595797B2 (en) * | 2011-03-28 | 2013-11-26 | Lars Reinertsen | Enforcing web services security through user specific XML schemas |
US9100188B2 (en) * | 2011-04-18 | 2015-08-04 | Bank Of America Corporation | Hardware-based root of trust for cloud environments |
JP6402034B2 (ja) * | 2011-09-13 | 2018-10-10 | フェイスブック,インク. | コンピュータ内の情報を安全に保つシステム及び方法 |
KR20130030132A (ko) * | 2011-09-16 | 2013-03-26 | 한국전자통신연구원 | 컴퓨팅 시스템의 보안기능 제공장치 및 제공방법 |
US8799641B1 (en) * | 2011-12-16 | 2014-08-05 | Amazon Technologies, Inc. | Secure proxying using network intermediaries |
US20130219164A1 (en) * | 2011-12-29 | 2013-08-22 | Imation Corp. | Cloud-based hardware security modules |
US8694781B1 (en) * | 2012-03-30 | 2014-04-08 | Emc Corporation | Techniques for providing hardware security module operability |
US20140006776A1 (en) * | 2012-06-29 | 2014-01-02 | Mark Scott-Nash | Certification of a virtual trusted platform module |
US8713633B2 (en) * | 2012-07-13 | 2014-04-29 | Sophos Limited | Security access protection for user data stored in a cloud computing facility |
US8924720B2 (en) * | 2012-09-27 | 2014-12-30 | Intel Corporation | Method and system to securely migrate and provision virtual machine images and content |
US9152793B2 (en) * | 2012-09-28 | 2015-10-06 | Intel Corporation | Methods, systems and apparatus to self authorize platform code |
US9363241B2 (en) * | 2012-10-31 | 2016-06-07 | Intel Corporation | Cryptographic enforcement based on mutual attestation for cloud services |
US9276963B2 (en) * | 2012-12-28 | 2016-03-01 | Intel Corporation | Policy-based secure containers for multiple enterprise applications |
US9118639B2 (en) * | 2013-03-14 | 2015-08-25 | Intel Corporation | Trusted data processing in the public cloud |
US9426154B2 (en) * | 2013-03-14 | 2016-08-23 | Amazon Technologies, Inc. | Providing devices as a service |
US9231923B1 (en) * | 2013-11-12 | 2016-01-05 | Amazon Technologies, Inc. | Secure data destruction in a distributed environment using key protection mechanisms |
US9141814B1 (en) * | 2014-06-03 | 2015-09-22 | Zettaset, Inc. | Methods and computer systems with provisions for high availability of cryptographic keys |
-
2015
- 2015-03-17 TW TW104108426A patent/TW201546649A/zh unknown
- 2015-03-18 US US14/662,012 patent/US20150358294A1/en not_active Abandoned
- 2015-03-24 US US14/667,238 patent/US20150358311A1/en not_active Abandoned
- 2015-05-28 US US14/723,999 patent/US20150358312A1/en not_active Abandoned
- 2015-06-16 TW TW104119375A patent/TW201642169A/zh unknown
- 2015-08-18 US US14/829,233 patent/US20150358313A1/en not_active Abandoned
- 2015-09-09 US US14/849,027 patent/US20160028551A1/en not_active Abandoned
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110663218A (zh) * | 2017-05-31 | 2020-01-07 | 恩图鲁斯特咨询卡有限公司 | 跨多个远程站点的加密对象管理 |
US11610005B2 (en) | 2017-05-31 | 2023-03-21 | Entrust Corporation | Cryptographic object management across multiple remote sites |
Also Published As
Publication number | Publication date |
---|---|
US20150358311A1 (en) | 2015-12-10 |
TW201642169A (en) | 2016-12-01 |
US20150358313A1 (en) | 2015-12-10 |
US20160028551A1 (en) | 2016-01-28 |
US20150358312A1 (en) | 2015-12-10 |
US20150358294A1 (en) | 2015-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TW201546649A (zh) | 用於基於硬體安全模組的基於雲端的web服務安全管理的系統和方法 | |
US20160149877A1 (en) | Systems and methods for cloud-based web service security management basedon hardware security module | |
US9571279B2 (en) | Systems and methods for secured backup of hardware security modules for cloud-based web services | |
US10013274B2 (en) | Migrating virtual machines to perform boot processes | |
US10567360B2 (en) | SSH key validation in a hyper-converged computing environment | |
US10409985B2 (en) | Trusted computing host | |
US9906493B1 (en) | Method and system for verifying the integrity of computing devices | |
US20170374179A1 (en) | Span out load balancing model | |
US8505083B2 (en) | Remote resources single sign on | |
US9619417B2 (en) | Method and apparatus for remote delivery of managed USB services via a mobile computing device | |
US10972449B1 (en) | Communication with components of secure environment | |
US20190173920A1 (en) | Deterministic load balancing of ipsec processing | |
US9948616B2 (en) | Apparatus and method for providing security service based on virtualization | |
AU2019229870B2 (en) | Instant virtual application launch | |
US20130061293A1 (en) | Method and apparatus for securing the full lifecycle of a virtual machine | |
US10462182B2 (en) | Thin agent-based SSL offloading | |
WO2013097117A1 (zh) | 虚拟机全盘加密下预启动时的密钥传输方法和设备 | |
WO2019237576A1 (zh) | 校验虚拟机通信性能的方法及装置 | |
CN112424777B (zh) | 工业个人计算机装置及其操作方法 | |
US11805109B1 (en) | Data transfer encryption offloading using session pairs | |
CN116614241A (zh) | 一种认证方法,计算装置和实例管理装置 |