CN103366135B - 在存储云中由租户驱动的安全系统与方法 - Google Patents
在存储云中由租户驱动的安全系统与方法 Download PDFInfo
- Publication number
- CN103366135B CN103366135B CN201310106573.8A CN201310106573A CN103366135B CN 103366135 B CN103366135 B CN 103366135B CN 201310106573 A CN201310106573 A CN 201310106573A CN 103366135 B CN103366135 B CN 103366135B
- Authority
- CN
- China
- Prior art keywords
- hard disk
- tenant
- key
- groove
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000003860 storage Methods 0.000 title abstract description 21
- 238000002372 labelling Methods 0.000 claims description 23
- 239000000758 substrate Substances 0.000 claims description 11
- 238000013519 translation Methods 0.000 claims description 5
- 230000008878 coupling Effects 0.000 claims description 3
- 238000010168 coupling process Methods 0.000 claims description 3
- 238000005859 coupling reaction Methods 0.000 claims description 3
- 230000013011 mating Effects 0.000 claims 1
- 230000006870 function Effects 0.000 description 23
- 230000008569 process Effects 0.000 description 20
- 238000004590 computer program Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 230000005291 magnetic effect Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000004224 protection Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000005094 computer simulation Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1408—Protection against unauthorised use of memory or access to memory by using cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
本发明公开提供了存储云中的由租户驱动的安全。一种方法包括确定租户是否把物理密钥放到与由服务提供者提供的硬盘相关的槽中。所述方法还包括在确定租户已经把物理密钥放到槽中之后允许租户访问硬盘。
Description
技术领域
本发明公开一般涉及云计算,并且更具体地,涉及存储云中由租户驱动的安全。
背景技术
信息技术快速变化而且现在形成了一个看不见的层,这个看不见的层越来越触及商业与社会生活的几乎每个方面。称为云计算的一种新兴计算机模型解决了互联网连接器件的爆炸性增长,而且补充了当今世界技术越来越多的出现。云计算是一种服务交付模式,用于对共享的可配置计算资源(例如,网络、网络带宽、服务器、处理、内存、储存器、应用、虚拟机和服务)池进行方便、按需的网络访问,所述可配置计算资源能够以最小的管理成本或者与服务提供者进行最少的交互就能快速提供和释放。
云计算是大规模可缩放的、提供卓越的用户体验而且其特征在于新的、互联网驱动的经济。从一个角度来看,云计算涉及在云内部对商业数据的存储与执行,其中云是分布于各地的互连的数据中心、计算单元与存储系统的网。例如,为了提供软件即服务(SaaS)和/或基础架构(例如,数据储存器)即服务(IaaS),新兴的云范例具有自动化、虚拟化、整合等关键概念。当提供软件即服务时,该服务可以被多个消费者消费。类似地,当提供基础架构即服务时,该基础架构可以被多个客户共享。
尽管客户可能为了节约成本和方便而倾向于购买这种云服务,但主要的障碍可能是他们对服务提供者能否保护并确保数据安全免受共享云服务的其它客户影响缺乏信任。服务提供者可以提供多种安全机制,诸如,例如像基于用户标识符(ID)和口令的认证和/或基于令牌交换的机制,但这些对租户提供有限的控制或者不提供控制。但是,即使有这种安全体系结构,客户仍然可能不完全信任他们的数据是安全的。
发明内容
根据本发明的第一方面,提供了一种方法,包括:确定租户是否把物理密钥放到与由服务提供者提供的硬盘相关的槽中。所述方法还包括:在确定租户已经把物理密钥放到槽中之后允许租户访问硬盘。
根据本发明的另一方面,提供了一种用硬件实现的系统,包括:计算机基础架构,能够操作来:在感测到租户已经把物理密钥放到与硬盘相关的槽中之前拒绝租户访问由服务提供者提供的硬盘;感测租户已经把物理密钥放到槽中;及在已经感测到物理密钥在槽中之后允许租户访问硬盘。
根据本发明的一个附加方面,提供了一种计算机程序产品,该计算机程序产品包括有形的计算机可用存储介质,在该有形的计算机可用存储介质中包含可读的程序代码。该计算机程序产品包括至少一个部件,所述部件可操作来:确定租户是否把物理密钥放到与由服务提供者提供的硬盘相关的槽中;并且在确定租户已经把物理密钥放到槽中之后允许租户访问硬盘。
根据本发明的另一方面,提供了一种由租户驱动的安全方法,包括:为使用服务的租户提供对硬盘的访问、个性化的物理密钥和与硬盘相关的密钥钩子衬底;一旦物理密钥被放到密钥钩子衬底的槽中就生成唯一密钥;默认地拒绝对硬盘的访问,直到物理密钥被放到槽中;把所述唯一密钥发送到硬盘控制器;及将硬盘的相关扇区中的标记设置为符合(complied)以允许对硬盘的访问。
根据本发明的另一方面,提供了一种存储云中由租户驱动的安全计算机系统,包括CPU、计算机可读内存和有形的计算机可读存储介质。第一程序指令为使用服务的租户提供对硬盘的访问、个性化的物理密钥及与硬盘关联的密钥钩子衬底。一旦物理密钥被放到密钥钩子衬底的槽中,第二程序指令就产生唯一的密钥。第三程序指令默认地拒绝对硬盘的访问,直到物理密钥被放到槽中。第四程序指令把所述唯一的密钥发送到硬盘控制器。该计算机系统还包括将硬盘的相关扇区中的标记设置为符合以允许访问的第五程序指令。这个标记最初被设置成不符合以指示不允许对硬盘的访问。第一、第二、第三、第四和第五程序指令被存储在有形的计算机可读存储介质上以供由CPU经计算机可读内存执行。
附图说明
作为本发明示例性实施例的非限制性例子,参考足够多个附图在以下具体描述中描述本发明。
图1绘出了根据本发明各方面的云计算节点;
图2绘出了根据本发明各方面的云计算环境;
图3绘出了根据本发明各方面的抽象模型层;
图4绘出了根据本发明各方面的说明性环境;及
图5绘出了根据本发明各方面的示例性流程图。
具体实施例
本发明总体上涉及云计算,更具体地,涉及存储云中由租户驱动的安全。在实施例中,本发明包括智能租户驱动安全管家(IntelligentTenantDriveSecuritySteward,ITDSS)系统,该系统提供对一个或多个云服务的一个或多个租户或客户(例如,公司)的控制以分享数据安全。ITDSS系统可以包括分配给每个租户的硬(例如,物理)密钥和具有适于对应的硬密钥的槽的密钥钩子衬底(KeyHookSubstrate,KHS)。ITDSS系统还可以包括位于KHS中的硬密钥控制器或者“核心ITDSS”,它与由云服务提供的至少一个硬盘的硬盘控制器一起工作。
在一种实现中,为了确保云服务中的数据安全,无论什么时候当该租户和/或其它租户(例如,经软件,诸如类加载器)试图访问硬盘中的数据时,硬盘控制器都默认拒绝访问,直到租户把相应的硬密钥放到槽中。一旦发生这种情况,KHS和/或硬密钥控制器就将生成唯一的软(例如,软件)密钥。在实施例中,基于所生成的软密钥,硬盘控制器只允许具有识别出的硬密钥的租户访问数据,和/或把数据设置成兼容模式,使得云服务可以知道租户被允许访问数据。有利地,通过以这种方式允许租户分享数据安全,对于所传输和存储的数据,本发明确保了在租户与云服务提供者之间维护兼容和信任关系。
云计算
首先应当理解,尽管本公开包括关于云计算的详细描述,但其中记载的技术方案的实现却不限于云计算环境,而是能够结合现在已知或以后开发的任何其它类型的计算环境而实现。
为了方便,具体描述包括从2009年10月7日由PeterMell和TimGrance发表的“DraftNISTWorkingDefinitionofCloudComputing”导出的以下定义,在与本文一起提交的IDS中引用了该文献,而且还附上了其复印件。
云计算是一种服务交付模式,用于对共享的可配置计算资源(例如,网络、网络带宽、服务器、处理、内存、储存器、应用、虚拟机和服务)池进行方便的、按需的网络访问,所述可配置计算资源能够以最小的管理成本或者与服务提供者进行最少的交互就能快速提供和释放。这种云模式可以包括至少五个特征、至少三个服务模型和至少四个部署模型。
特征包括:
按需自助式服务:云的消费者在无需与服务提供者进行人为交互的情况下能够单方面自动地按需部署诸如服务器时间和网络存储等的计算能力。
广泛的网络接入:计算能力可以通过标准机制在网络上获取,这种标准机制促进了通过不同种类的瘦客户机平台或厚客户机平台(例如移动电话、膝上型电脑、个人数字助理PDA)对云的使用。
资源池:提供者的计算资源被归入资源池并通过多租户(multi-tenant)模式服务于多重消费者,其中按需将不同的实体资源和虚拟资源动态地分配和再分配。一般情况下,消费者不能控制或甚至并不知晓所提供的资源的确切位置,但可以在较高抽象程度上指定位置(例如国家、州或数据中心),因此具有位置无关性。
迅速弹性:能够迅速、有弹性地(有时是自动地)部署计算能力,以实现快速扩展,并且能迅速释放来快速缩小。在消费者看来,用于部署的可用计算能力往往显得是无限的,并能在任意时候都能获取任意数量的计算能力。
可测量的服务:云系统通过利用适于服务类型(例如存储、处理、带宽和活跃用户帐号)的某种抽象程度的计量能力,自动地控制和优化资源效用。可以监测、控制和报告资源使用情况,为服务提供者和消费者双方提供透明度。
服务模型如下:
软件即服务(SaaS):向消费者提供的能力是使用提供者在云基础架构上运行的应用。可以通过诸如网络浏览器的瘦客户机接口(例如基于网络的电子邮件)从各种客户机器件访问应用。除了有限的特定于用户的应用配置设置外,消费者既不管理也不控制包括网络、服务器、操作系统、存储、乃至单个应用能力等的底层云基础架构。
平台即服务(PaaS):向消费者提供的能力是在云基础架构上部署消费者创建或获得的应用,这些应用利用提供者支持的程序设计语言和工具创建。消费者既不管理也不控制包括网络、服务器、操作系统或存储的底层云基础架构,但对其部署的应用具有控制权,对应用托管环境配置可能也具有控制权。
基础架构即服务(IaaS):向消费者提供的能力是消费者能够在其中部署并运行包括操作系统和应用的任意软件的处理、存储、网络和其他基础计算资源。消费者既不管理也不控制底层的云基础架构,但是对操作系统、存储和其部署的应用具有控制权,对选择的网络组件(例如主机防火墙)可能具有有限的控制权。
部署模型如下:
私有云:云基础架构单独为某个组织运行。云基础架构可以由该组织或第三方管理并且可以存在于该组织内部或外部。
共同体云:云基础架构被若干组织共享并支持有共同利害关系(例如任务使命、安全要求、政策和合规考虑)的特定共同体。共同体云可以由共同体内的多个组织或第三方管理并且可以存在于该共同体内部或外部。
公共云:云基础架构向公众或大型产业群提供并由出售云服务的组织拥有。
混合云:云基础架构由两个或更多部署模型的云(私有云、共同体云或公共云)组成,这些云依然是独特的实体,但是通过使数据和应用能够移植的标准化技术或私有技术(例如用于云之间的负载平衡的云突发流量分担技术)绑定在一起。
云计算环境是面向服务的,特点集中在无状态性、低耦合性、模块性和语意的互操作性。云计算的核心是包含互连节点网络的基础架构。
现在参考图1,其中显示了云计算节点的一个例子的示意图。云计算节点10仅仅是适合的云计算节点的一个示例,不应对本发明实施例的功能和使用范围带来任何限制。总之,云计算节点10能够被用来实现和/或执行以上所述的任何功能。
云计算节点10具有计算机系统/服务器12,其可与众多其它通用或专用计算系统环境或配置一起操作。众所周知,适于与计算机系统/服务器12一起操作的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上器件、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任意系统的分布式云计算技术环境,等等。
计算机系统/服务器12可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括执行特定的任务或者实现特定的抽象数据类型的例程、程序、目标程序、组件、逻辑、数据结构等。计算机系统/服务器12可以在通过通信网络链接的远程处理器件执行任务的分布式云计算环境中实施。在分布式云计算环境中,程序模块可以位于包括存储器件的本地或远程计算系统存储介质上。
如图1所示,云计算节点10中的计算机系统/服务器12以通用计算设备的形式表现。计算机系统/服务器12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,系统内存28,连接不同系统组件(包括系统内存28和处理单元16)的总线18。在实施例中,计算机系统/服务器12包括智能租户驱动安全管家(ITDSS)系统100或者与ITDSS系统100通信,其中,为了分享数据安全,ITDSS系统100提供对一个或多个云服务的一个或多个租户或客户(例如,公司)的控制,由此获得租户对云服务提供者的信任。在实施例中,ITDSS系统100可以包括分配给每个租户的硬(例如,物理)密钥和具有适合相应的硬密钥的槽的密钥钩子衬底(KHS)。ITDSS系统100还可以包括位于KHS中的硬密钥控制器,它与云服务提供的至少一个硬盘的硬盘控制器一起工作。
在实现当中,为了确保云服务中的数据安全,无论什么时候当该租户和/或其它租户(例如,经软件,例如类加载器)试图访问硬盘中的数据时,硬盘控制器都默认地拒绝访问,直到租户把相应的硬密钥放到槽中。一旦发生这种情况,ITDSS系统100(例如,KHS和/或硬密钥控制器)就将生成唯一的软(例如,软件)密钥。在实施例中,基于所生成的软密钥,硬盘控制器只允许该租户访问数据,和/或把数据设置成兼容模式,使得云服务可以知道租户被允许访问数据。有利地,通过以这种方式允许租户分享数据安全,对于所传输和存储的数据,ITDSS系统100确保了在租户与云服务提供者之间维护兼容和信任关系。
总线18表示几类总线结构中的一种或多种,包括内存总线或者内存控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线、微通道体系结构(MAC)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机系统/服务器12典型地包括多种计算机系统可读介质。这些介质可以是能够被计算机系统/服务器12访问的任意可获得的介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统内存28可以包括易失性内存形式的计算机系统可读介质,诸如随机存取存储器(RAM)30和/或高速缓存内存32。计算机系统/服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图1未显示,通常称为“硬盘驱动器”)。尽管图1中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(诸如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。如以下进一步描述和说明的那样,内存28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在内存28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据。操作系统、一个或者多个应用程序、其它程序模块以及程序数据中的每一个或其某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法,例如,提供ITDSS系统100的控制、功能与操作性。例如,ITDSS系统100可以基于物理条件,例如,租户的硬密钥是否被插入存储数据的对应硬盘的槽中,锁定来自一个或多个云服务的一个或多个租户或客户的数据访问。有利地,通过在扇区级别(例如,硬盘级别)包括这种客户驱动的安全,ITDSS系统100可以在云计算节点10中使用来确保租户与云服务之间对于数据安全的信任。
计算机系统/服务器12也可以与一个或多个外部器件14(诸如,键盘、指向器件、显示器24等)通信,还可与一个或者多个使得用户能与该计算机系统/服务器12交互的器件通信,和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信的任何器件(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,计算机系统/服务器12还可以通过网络适配器20与一个或者多个网络(诸如,局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与计算机系统/服务器12的其它模块通信。应当明白,尽管图中未示出,其它硬件和/或软件模块可以与计算机系统/服务器12一起使用。例子包括但不限于:微代码、器件驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
现在参考图2,其中显示了示例性的云计算环境50。如图所示,云计算环境50包括云计算消费者使用的本地计算设备可以与其相通信的一个或者多个云计算节点10,本地计算设备诸如可以是例如个人数字助理(PDA)或移动电话54A,台式电脑54B、笔记本电脑54C和/或汽车计算机系统54N。云计算节点10之间可以相互通信。可以在包括但不限于如上所述的私有云、共同体云、公共云或混合云或者它们的组合的一个或者多个网络中将云计算节点10进行物理或虚拟分组(图中未显示)。这样,云的消费者无需在本地计算设备上维护资源就能请求云计算环境50提供的基础架构即服务(IaaS)、平台即服务(PaaS)和/或软件即服务(SaaS)。应当理解,图2显示的各类计算设备54A-N仅仅是示意性的,云计算节点10以及云计算环境50可以与任意类型网络上和/或网络可寻址连接的任意类型的计算设备(例如使用网络浏览器)通信。
现在参考图3,其中显示了云计算环境50(图2)提供的一组功能抽象层。首先应当理解,图3所示的组件、层以及功能都仅仅是示意性的,本发明的实施例不限于此。如图3所示,提供下列层和对应功能:
硬件和软件层60包括硬件和软件组件。硬件组件的例子包括:主机,例如系统;基于RISC(精简指令集计算机)体系结构的服务器,例如IBM系统;IBM系统;IBM系统;存储器件;网络和网络组件。软件组件的例子包括:网络应用服务器软件,例如IBM应用服务器软件;数据库软件,例如IBM数据库软件。(IBM,zSeries,pSeries,xSeries,BladeCenter,WebSphere以及DB2是国际商业机器公司在全世界各地的注册商标)。
虚拟层62提供一个抽象层,该层可以提供下列虚拟实体的例子:虚拟服务器、虚拟存储、虚拟网络(包括虚拟私有网络)、虚拟应用和操作系统,以及虚拟客户端。
在一个示例中,管理层64可以提供下述功能:资源供应功能:提供用于在云计算环境中执行任务的计算资源和其它资源的动态获取。计量和定价功能:在云计算环境内对资源的使用进行成本跟踪,并为此提供帐单和发票。在一个例子中,该资源可以包括应用软件许可。安全功能:为云的消费者和任务提供身份认证,为数据和其它资源提供保护。用户门户功能:为消费者和系统管理员提供对云计算环境的访问。服务水平管理功能:提供云计算资源的分配和管理,以满足必需的服务水平。服务水平协议(SLA)计划和履行功能:为根据SLA预测的对云计算资源未来需求提供预先安排和供应。
工作负载层66提供云计算环境可能实现的功能的示例。在该层中,可提供的工作负载或功能的示例包括:地图绘制与导航;软件开发及生命周期管理;虚拟教室的教学提供;数据分析处理;交易处理;及智能租户驱动安全管家(ITDSS)系统100,该系统确保云计算环境物理层中的数据安全。
更具体而言,在实施例中,ITDSS系统100包括分配给使用一个或多个云服务的每个租户或客户(例如,公司)或者为其个性化的硬(例如,物理)密钥。ITDSS系统100还包括适合各个硬密钥的硬密钥槽。ITDSS系统100还包括可以与硬盘控制器一起工作的硬密钥控制器或者“核心ITDSS”,以便基于物理条件,诸如例如租户是否物理地把相应的硬密钥放到硬密钥槽中,确保硬盘中的数据安全。
在实施例中,当租户和/或云服务试图访问硬盘时,硬盘控制器默认地拒绝访问,直到租户物理地把相应的硬密钥放到硬密钥槽中。一旦做到了这一点,硬密钥控制器就检测物理条件,可以生成唯一的软(例如,软件)密钥,而且可以把生成的软密钥发送到硬盘控制器。基于所生成的软密钥,硬盘控制器可以只允许该租户访问数据。即,硬盘控制器可以同步硬盘(例如,至少一个扇区),以便只让该租户访问。
在运行中,硬密钥有效地向硬密钥控制器和硬盘控制器识别其租户作为硬盘至少一部分的用户或者所有者。通过把硬密钥放到对应的硬密钥槽中,租户有效地预留该硬盘(例如,至少一个扇区)让该租户使用。在硬密钥被放到对应的硬密钥槽中时,没有该硬密钥的其他租户不能访问该硬盘,例如,其中的预留扇区或者云计算环境中的预留扇区。有利地,ITDSS系统100确保云计算环境中更深一级的安全性,由此使得云服务提供者能够获得客户信任。
图4绘出了根据本发明各方面的说明性环境400。在实施例中,环境400可以包括由至少一个消费者操作的计算设备54A、54B、54C或者54N、安全层410、工具层415及物理层420。安全层410、工具层415和物理层420一起可以被认为是由云服务提供者提供的云层。安全层410可以包括一个或多个认证服务425。工具层415可以包括服务430A、430B和430N、一个或多个类加载器435、一个或多个库440及一个或多个字节内存445。物理层420可以包括硬盘控制器450、一个或多个硬盘455及图1的ITDSS系统100。ITDSS系统100可以包括硬密钥支持器460(例如,密钥钩子衬底(KHS)),硬密钥支持器460又包括硬密钥控制器465和硬密钥槽470。例如,安全层410、工具层415和物理层420中的每个部件都可以在图1的计算机系统/服务器12中实现或者由其实现。计算机系统/服务器12可以位于云计算节点10中而且可以在分布式云计算环境中实践。
在实施例中,计算设备54A、54B、54C或者54N与认证服务425通信,而且可以调用服务430A、430B和430N。服务430A、430B和430N可以包括任何类型的服务,例如网络服务。服务430A、430B和430N可以由使用由云服务提供者提供的一个或多个云服务的一个或多个对应租户或客户(例如,公司)托管(host),其中的云服务诸如是例如软件即服务(SaaS)和/或基础架构即服务(例如,数据储存器)(IaaS)。即,用于运行服务430A、430B和430N的软件和/或基础架构可以由云服务提供者作为服务提供。例如,云服务提供者可以向租户提供类加载器435、库440、字节储存器445、硬盘控制器450、硬盘455等的使用,来托管服务430A、430B和430N。
根据本发明的其他方面,为了调用服务430A、430B和430N,计算设备54A、54B、54C或者54N可以例如向认证服务425或者在服务交易的入口边界处提供用户名和/或口令。基于用户名、口令和/或本发明预期的用于在较高层确保数据安全的其它安全机制,认证服务425可以授权并且连接计算设备54A、54B、54C或者54N,作为服务430A、430B和430N的注册用户。当服务430A、430B或者430N(例如,由第一个租户托管的服务430A)被提供给用户时,服务430A、430B或430N可以访问硬盘455中的数据。为此,在实施例中,服务430A、430B或430N可以调用类加载器435,以便从硬盘455检索数据。
在实施例中,为了从硬盘455检索数据,类加载器435调用库440,其中库440可以包括数据存储在硬盘455中的一个或多个虚拟地址。库440检索这种虚拟地址并且把该虚拟地址发送到硬盘控制器450。(硬盘455的)硬盘控制器450把虚拟地址翻译成存储数据的硬盘455中的表面(surface)、轨道和/或扇区的一个或多个物理地址。基于这种物理地址,硬盘控制器450从硬盘455检索数据,这种数据被返回到类加载器435。类加载器435在字节内存445(例如,随机存取存储器(RAM))中创建包括所返回数据的实例,该实例可以被服务430A、430B或者430N使用。
根据本发明的其他方面,为了确保低层(例如,物理层420)中的数据安全,ITDSS系统100包括分配给服务430A、430B和430N的每个租户或者为其个性化的硬(例如,物理)密钥。硬密钥槽470可以适合相应的硬密钥。硬密钥控制器465或者“核心ITDSS”可以驻留在硬密钥支持器460中并且可以与硬盘控制器450一起工作,以基于物理条件——诸如,例如租户是否把相应的硬密钥物理地放到硬密钥槽470中——确保硬盘455中的数据安全。在实施例中,硬密钥支持器460可以专门用于为硬盘455或者硬盘455的扇区提供数据安全。在附加的或者备选的实施例中,ITDSS系统100可以包括多个硬密钥支持器,而且每个硬密钥支持器可以专门用于为相应的硬盘提供数据安全。
更具体而言,在实施例中,当类加载器435(例如,经库440)试图访问硬盘455时,硬盘控制器450默认地拒绝访问,直到租户物理地把相应的硬密钥放到硬密钥槽470中。与该租户相关的(例如,包括数据的)硬盘455的一个扇区可以受前导标记(preambleflag)保护,该前导标记可以被默认设置成不符合(Non-Complied,“NC”),用于向硬盘控制器450指示不允许对该扇区的访问。一旦相应的硬密钥被放到了硬密钥槽470中,硬密钥控制器465就检测物理条件、生成唯一的软(例如,软件)密钥并且把所生成的软密钥发送到硬盘控制器450。基于所生成的软密钥,硬盘控制器450只允许该租户访问数据,例如,通过把相关扇区的前导标记设置成符合模式(Complied,“C”),其指示允许租户访问硬盘455的一个或多个扇区中的数据。即,硬盘控制器450可以同步硬盘455(例如,至少一个扇区)以便让租户访问。
在运行中,硬密钥有效地向硬密钥控制器465和硬盘控制器450识别其租户作为硬盘455的至少一部分或者读取其中的数据的用户或所有者。通过把硬密钥放到相应的硬密钥槽470中,租户有效地预留硬盘450(例如,至少一个扇区)以供该租户使用。在硬密钥被放到相应的硬密钥槽470中时,没有该硬密钥的其他租户不能访问硬盘450或者他们的预留扇区。
在实施例中,ITDSS系统100可以在更细粒度的级别确保硬盘455的数据安全。例如,ITDSS系统100可以用于保护存储在硬盘455轨道中的租户数据。在另一个例子中,ITDSS系统100可以向租户提供对具有例如只读数据的扇区的访问。
根据本发明的其他方面,代替前导标记或者除前导标记之外,硬盘455的扇区或轨道还可以由密钥保护。在实施例中,密钥可以包括头部,该头部携带可以与硬密钥控制器465生成的软密钥匹配的匹配密钥。当租户试图访问相关扇区时,在允许对扇区的访问之前,硬盘控制器450确保从硬密钥控制器465接收到的软密钥匹配扇区中的匹配密钥。有利地,ITDSS系统100确保基于云的环境中更深层次的安全性,由此确保云服务提供者获得客户信任。
如本领域技术人员将认识到的,本发明的各方面,包括ITDSS系统100及其中所提供的功能性,可以体现为系统、方法或者计算机程序产品。因此,本方面的各方面可以采取完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)或者结合硬件和软件方面的实施例,本文一般称为“电路”、“模块”或“系统”,的形式。此外,本发明的各方面还可以采取体现在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光内存件、磁内存件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明各方面的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如,利用因特网服务提供者来通过因特网连接)。
下面将参照本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明各方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,这些计算机程序指令通过计算机的处理器或其它可编程数据处理装置执行,产生了实现流程图和/或框图中的方框中规定的功能/操作的装置。
也可以把这些计算机程序指令存储在能使得计算机或其它可编程数据处理装置或其他装置以特定方式工作的计算机可读介质中,这样,存储在计算机可读介质中的指令就产生出一个包括实现流程图和/或框图中的方框中规定的功能/操作的指令装置(instructionmeans)的制造品(manufacture)。
也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它器件上,使得在计算机、其它可编程数据处理装置或其它器件上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机或其它可编程装置上执行的指令能够提供实现流程图和/或框图中的方框中规定的功能/操作的过程。
图5示出了用于执行本发明各方面的示例性流程。例如,图5的步骤可以在图1-4的环境中实现。
图中的流程图和框图说明了根据本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系结构、功能性与操作。就此而言,流程图或框图中的每一块都可以代表代码的一个模块、片段或者部分,所述模块、片段或者部分包括用于实现指定逻辑功能的一条或多条可执行指令。还应当指出,在有些备选实现中,块中所指出的功能可以不按图中指示的次序发生。例如,依赖于所涉及的功能性,顺次示出的两个块事实上可以基本上同时执行,或者有时候这些块可以颠倒的次序执行。还应当指出,框图和/或流程图说明中的每一个块及框图和/或流程图说明中块的组合可以由执行指定功能或行为的基于硬件的专用系统或者专用硬件与计算机指令的组合来实现。
此外,本发明可以采取可以从提供程序代码的计算机可用或者计算机可读介质访问的计算机程序产品的形式,其中的程序代码由计算机或者任何指令执行系统使用或者与其结合使用。软件和/或计算机程序产品可以在图1-4的环境中实现。为了这种描述,计算机可用或计算机可读的介质可以是可以包含、存储、传送、传播或者传输由指令执行系统、装置或器件使用或者与其结合使用的任何装置。介质可以是电、磁、光、电磁、红外线或者半导体系统(或者装置或器件)或者传播介质。计算机可读存储介质的例子包括半导体或固态存储器、磁带、可移动计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、刚性磁盘和光盘。目前光盘的例子包括光盘-只读存储器(CD-ROM)、光盘-读/写(CD-R/W)和DVD。
图5绘出了根据本发明各方面的过程500的示例性流程。在实施例中,过程500可以由例如图4中的物理层420的部件(例如,硬盘控制器450和/或硬密钥控制器465)执行,以确保物理层420中的数据安全。在步骤505,过程开始。在步骤510,当租户(例如,公司)和/或云服务试图访问由云服务提供者提供的硬盘(例如,图4中的硬盘455)时,硬盘控制器默认地拒绝访问,直到租户物理地把相应的硬密钥放到硬密钥槽中。
在步骤515,硬密钥控制器确定硬密钥是否放到了硬密钥槽中。如果是的话,过程就在步骤520继续。否则,过程就返回步骤510。在步骤520,硬密钥控制器生成唯一的软(例如,软件)密钥,而且可以把所生成的软密钥发送到硬盘控制器。
在可选的步骤525,基于所生成的软密钥,硬盘控制器可以把硬盘相关扇区的前导标记设置成符合模式(“C”),这指示允许租户访问该扇区中的数据。在步骤530,硬盘控制器只允许该租户访问数据。即,硬盘控制器同步硬盘(例如,至少一个扇区)以便让租户访问。在步骤535,过程结束。
在实施例中,服务提供者,诸如解决方案集成商,可以提供执行在此所述的过程。在这种情况下,服务提供者可以为一个或多个消费者创建、维护、部署、支持等执行本发明过程步骤的计算机基础架构。例如,这些消费者可以是使用本技术的任何企业。反过来,服务提供者可以按订阅和/或收费协议从消费者收费和/或服务提供者可以通过向一个或多个第三方销售广告内容来收费。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (22)
1.一种由云服务的租户驱动的安全方法,包括:
确定租户是否把物理密钥放到与由云服务的服务提供者提供的硬盘相关的槽中;及
在确定租户已经把物理密钥放到槽中之后允许租户访问硬盘,其中所述访问硬盘发生在云计算环境物理层并且包括把从云计算环境工具层接收的虚拟地址翻译成物理地址。
2.根据权利要求1所述的方法,还包括:
在确定租户已经把物理密钥放到槽中之前拒绝租户访问硬盘。
3.根据权利要求1所述的方法,还包括:
在确定租户已经把物理密钥放到槽中之后生成软密钥。
4.根据权利要求3所述的方法,还包括:
基于所生成的软密钥允许租户访问硬盘。
5.根据权利要求3所述的方法,其中:
通过前导标记来保护硬盘,所述前导标记最初被设置成不符合以指示不允许对硬盘进行访问;及
还包括:基于所生成的软密钥把所述前导标记设置成符合以指示允许对硬盘进行访问。
6.根据权利要求3所述的方法,其中:
通过匹配密钥来保护硬盘;及
还包括:在确定所生成的软密钥与所述匹配密钥匹配之后允许租户访问硬盘。
7.根据权利要求1所述的方法,其中:
通过前导标记来保护硬盘,所述前导标记最初被设置成不符合以指示不允许对硬盘进行访问;及
还包括:在确定租户已经把物理密钥放到槽中之后把所述前导标记设置成符合以指示允许对硬盘进行访问。
8.根据权利要求1所述的方法,其中物理密钥和槽是由服务提供者提供的。
9.根据权利要求1所述的方法,其中物理密钥被分配给租户。
10.根据权利要求1所述的方法,还包括:在确定租户已经把物理密钥放到槽中之后,允许租户访问以下中的至少一个:
硬盘的至少一个扇区;
硬盘的至少一个轨道;及
硬盘中的至少一类数据。
11.根据权利要求1所述的方法,其中权利要求1的步骤是由服务提供者基于订阅、广告和/或收费提供的。
12.一种由云服务的租户驱动的安全系统,包括:
计算机基础架构,能够操作来:
在感测到租户已经把物理密钥放到与硬盘相关的槽中之前拒绝租户访问由云服务的服务提供者提供的硬盘;
感测租户已经把物理密钥放到槽中;及
在已经感测到物理密钥在槽中之后允许租户访问硬盘,其中所述访问硬盘发生在云计算环境物理层并且包括把从云计算环境工具层接收的虚拟地址翻译成物理地址。
13.根据权利要求12所述的系统,其中计算机基础架构还能够操作来在租户已经把物理密钥放到槽中之后生成软密钥。
14.根据权利要求13所述的系统,其中计算机基础架构还能够操作来基于所生成的软密钥允许租户访问硬盘。
15.根据权利要求12所述的系统,其中:
通过前导标记来保护硬盘,所述前导标记最初被设置成不符合以指示不允许对硬盘进行访问;及
计算机基础架构还能够操作来:在租户已经把物理密钥放到槽中之后把所述前导标记设置成符合以指示允许对硬盘进行访问。
16.根据权利要求12所述的系统,其中物理密钥和槽是由服务提供者提供的。
17.根据权利要求12所述的系统,其中物理密钥被分配给租户并且与硬盘相关。
18.根据权利要求12所述的系统,其中计算机基础架构还能够操作来:在感测到租户已经把物理密钥放到槽中之后,允许租户访问以下中的至少一个:
硬盘的至少一个扇区;
硬盘的至少一个轨道;及
硬盘中的至少一类数据。
19.一种由云服务的租户驱动的安全方法,包括:
为使用服务的租户提供对硬盘的访问、个性化的物理密钥和与硬盘相关的密钥钩子衬底;
一旦物理密钥被放到密钥钩子衬底的槽中就生成唯一的软密钥;
默认地拒绝对硬盘的访问,直到物理密钥被放到槽中;
把所述唯一的软密钥发送到硬盘控制器;及
将硬盘的相关扇区中的标记设置为符合以允许对硬盘的访问,其中所述对硬盘的访问发生在云计算环境物理层并且包括把从云计算环境工具层接收的虚拟地址翻译成物理地址。
20.根据权利要求19所述的方法,其中所述标记最初被设置成不符合以指示不允许对硬盘进行访问。
21.一种由云服务的租户驱动的安全计算机系统,所述计算机系统包括:
用于为使用服务的租户提供对硬盘的访问、个性化的物理密钥和与硬盘相关的密钥钩子衬底的装置;
用于一旦物理密钥被放到密钥钩子衬底的槽中就生成唯一的软密钥的装置;
用于默认地拒绝对硬盘的访问,直到物理密钥被放到槽中的装置;
用于把所述唯一的软密钥发送到硬盘控制器的装置;及
用于将硬盘的相关扇区中的标记设置为符合以允许访问的装置,其中所述对硬盘的访问发生在云计算环境物理层并且包括把从云计算环境工具层接收的虚拟地址翻译成物理地址,
其中所述标记最初被设置成不符合以指示不允许对硬盘进行访问。
22.根据权利要求21所述的计算机系统,还包括:用于基于所生成的唯一的软密钥把标记设置成符合以指示允许对硬盘进行访问的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/435,874 US8839399B2 (en) | 2012-03-30 | 2012-03-30 | Tenant driven security in a storage cloud |
| US13/435,874 | 2012-03-30 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103366135A CN103366135A (zh) | 2013-10-23 |
| CN103366135B true CN103366135B (zh) | 2016-06-22 |
Family
ID=49236918
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310106573.8A Expired - Fee Related CN103366135B (zh) | 2012-03-30 | 2013-03-29 | 在存储云中由租户驱动的安全系统与方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8839399B2 (zh) |
| CN (1) | CN103366135B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014158128A1 (en) * | 2013-03-25 | 2014-10-02 | Hewlett-Packard Development Company, L.P. | Extensible firmware abstraction |
| GB2517732A (en) * | 2013-08-29 | 2015-03-04 | Sim & Pin Ltd | System for accessing data from multiple devices |
| US20150134618A1 (en) * | 2013-11-12 | 2015-05-14 | Boris Teterin | Techniques for Policy-Based Data Protection Services |
| US9049214B1 (en) * | 2013-11-21 | 2015-06-02 | International Business Machines Corporation | Sharing memory among mobile devices |
| US9762616B2 (en) * | 2015-08-08 | 2017-09-12 | International Business Machines Corporation | Application-based security rights in cloud environments |
| US10200387B2 (en) * | 2015-11-30 | 2019-02-05 | International Business Machines Corporation | User state tracking and anomaly detection in software-as-a-service environments |
| US20180367528A1 (en) * | 2017-06-12 | 2018-12-20 | Cyberark Software Ltd. | Seamless Provision of Authentication Credential Data to Cloud-Based Assets on Demand |
| US10027658B1 (en) | 2017-06-12 | 2018-07-17 | Cyberark Software Ltd | Seamless provision of secret token to cloud-based assets on demand |
| US10824367B2 (en) * | 2017-10-19 | 2020-11-03 | Seagate Technology Llc | Adaptive intrusion detection based on monitored data transfer commands |
| CN108537537A (zh) * | 2018-04-16 | 2018-09-14 | 杭州网看科技有限公司 | 一种安全可信的数字货币钱包系统 |
| RU2728282C1 (ru) * | 2019-04-03 | 2020-07-29 | Александр Николаевич Смирнов | Система управления удаленными данными |
| US20220217136A1 (en) * | 2021-01-04 | 2022-07-07 | Bank Of America Corporation | Identity verification through multisystem cooperation |
| US11487639B2 (en) | 2021-01-21 | 2022-11-01 | Vmware, Inc. | User experience scoring and user interface |
| US20220237097A1 (en) * | 2021-01-22 | 2022-07-28 | Vmware, Inc. | Providing user experience data to tenants |
| US11586526B2 (en) | 2021-01-22 | 2023-02-21 | Vmware, Inc. | Incident workflow interface for application analytics |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101038568A (zh) * | 2007-04-16 | 2007-09-19 | 丁万年 | 外置式计算机硬盘数据加密方法及其装置 |
| CN102292732A (zh) * | 2009-01-20 | 2011-12-21 | 微软公司 | 具有物理可分离的密钥存储设备的硬件加密存储设备 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100281869B1 (ko) | 1995-07-28 | 2001-02-15 | 윤종용 | 보안 기능을 갖는 개인용 컴퓨터, 그의 보안 방법 및 그 보안 장치의 설치 및 제거방법 |
| US6614750B2 (en) | 2001-02-28 | 2003-09-02 | Warren Weber | Optical recordable disk security system |
| CN1421854A (zh) | 2001-11-28 | 2003-06-04 | 劲永国际股份有限公司 | 用于硬盘及固态盘上对资料加密保护资料安全性的方法 |
| US7613921B2 (en) | 2005-05-13 | 2009-11-03 | Intel Corporation | Method and apparatus for remotely provisioning software-based security coprocessors |
| US20070101152A1 (en) * | 2005-10-17 | 2007-05-03 | Saflink Corporation | Token authentication system |
| US8705746B2 (en) | 2006-09-29 | 2014-04-22 | Microsoft Corporation | Data security in an off-premise environment |
| US8601598B2 (en) | 2006-09-29 | 2013-12-03 | Microsoft Corporation | Off-premise encryption of data storage |
| US8429716B2 (en) | 2009-11-05 | 2013-04-23 | Novell, Inc. | System and method for transparent access and management of user accessible cloud assets |
| US9658891B2 (en) | 2009-03-13 | 2017-05-23 | Micro Focus Software Inc. | System and method for providing key-encrypted storage in a cloud computing environment |
| US8799322B2 (en) | 2009-07-24 | 2014-08-05 | Cisco Technology, Inc. | Policy driven cloud storage management and cloud storage policy router |
| US20110047381A1 (en) | 2009-08-21 | 2011-02-24 | Board Of Regents, The University Of Texas System | Safemashups cloud trust broker |
| US9037711B2 (en) | 2009-12-02 | 2015-05-19 | Metasecure Corporation | Policy directed security-centric model driven architecture to secure client and cloud hosted web service enabled processes |
| US8453258B2 (en) * | 2010-09-15 | 2013-05-28 | Bank Of America Corporation | Protecting an electronic document by embedding an executable script |
-
2012
- 2012-03-30 US US13/435,874 patent/US8839399B2/en not_active Expired - Fee Related
-
2013
- 2013-03-29 CN CN201310106573.8A patent/CN103366135B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101038568A (zh) * | 2007-04-16 | 2007-09-19 | 丁万年 | 外置式计算机硬盘数据加密方法及其装置 |
| CN102292732A (zh) * | 2009-01-20 | 2011-12-21 | 微软公司 | 具有物理可分离的密钥存储设备的硬件加密存储设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103366135A (zh) | 2013-10-23 |
| US20130263242A1 (en) | 2013-10-03 |
| US8839399B2 (en) | 2014-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103366135B (zh) | 在存储云中由租户驱动的安全系统与方法 | |
| CN103299274B (zh) | 确定运行图像的最佳计算环境的系统和方法 | |
| US8826001B2 (en) | Securing information within a cloud computing environment | |
| CN101657804B (zh) | 可扩展和可编程多承租人服务体系结构 | |
| US10944560B2 (en) | Privacy-preserving identity asset exchange | |
| US9491183B1 (en) | Geographic location-based policy | |
| US20190166125A1 (en) | Private Consolidated Cloud Service Architecture | |
| CN104067265A (zh) | 用于支持在云中的安全应用部署的系统和方法 | |
| CN103369022B (zh) | 与存储设备通信的方法和系统 | |
| US20140289829A1 (en) | Computer account management system and realizing method thereof | |
| CN104660669A (zh) | 针对应用模式组件从多个主机选择一个主机的方法和系统 | |
| CN105989275B (zh) | 用于认证的方法和系统 | |
| CN103988199A (zh) | 已去重存储云中的数据残留的去除 | |
| CN105684357A (zh) | 虚拟机中地址的管理 | |
| CN103297496A (zh) | 用于云计算系统的增强存储配额管理的方法和系统 | |
| JP2016517076A (ja) | 自動化されたデスクトップ配置 | |
| CN103853596A (zh) | 公共相邻存储区域优化长距离虚拟机迁移方法和系统 | |
| CN103718164A (zh) | 虚拟计算机和服务 | |
| US11122052B2 (en) | Sensitive information accessibility in blockchain | |
| CN104603762A (zh) | 利用并行文件访问协议的自动校准以及元数据管理支持对文件系统的共享存储的协调访问 | |
| CN105359088A (zh) | 使用动态生成的虚拟磁盘内容优化供应时间的方法 | |
| US9886685B2 (en) | Distributed digital rights-managed file transfer and access control | |
| CN103793457A (zh) | 用于使用利用率分析管理存储器利用率的系统和方法 | |
| CN104951238A (zh) | 用于在分布式虚拟环境中管理数据存储的方法和装置 | |
| US11270292B2 (en) | Key pair authentication in a label tracking system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160622 Termination date: 20210329 |