CN106063185A - 用于安全地共享数据的方法和装置 - Google Patents
用于安全地共享数据的方法和装置 Download PDFInfo
- Publication number
- CN106063185A CN106063185A CN201580011375.0A CN201580011375A CN106063185A CN 106063185 A CN106063185 A CN 106063185A CN 201580011375 A CN201580011375 A CN 201580011375A CN 106063185 A CN106063185 A CN 106063185A
- Authority
- CN
- China
- Prior art keywords
- files
- equipment
- user
- data
- cloud service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
公开了用于安全地共享数据的方法和装置。示例包括:在云服务的第一用户的第一设备处生成代表所述第一设备的驱动器的档案文件;经由处理器加密所述档案文件以形成经加密的档案文件;以及将所述经加密的档案文件传达至云服务提供方,所述加密档案文件将由所述云服务的第二用户的第二设备解密,所述经解密的档案文件将安装至所述第二设备的操作系统。
Description
技术领域
本公开总体上涉及计算系统并且更具体地涉及用于安全地共享数据的方法和装置。
背景技术
基于云的存储服务(例如,如DropBox、Apple等)已经成为许多类型的系统和/或组织的优选服务。
附图说明
图1展示了示例系统,所述示例系统包括实现在此公开的示例的示例云服务提供方(CSP)。
图2是图1的示例第一计算设备的示例实现方式的框图。
图3是图2的示例安全模块的示例实现方式的框图。
图4是图2的示例存储器保护器的示例实现方式的框图。
图5是由图2的示例档案文件生成器生成的示例档案文件。
图6是代表图1至图4的示例第一计算设备、图1至图2的示例云服务提供方(CSP)与图1的示例第二计算设备之间的示例通信的序列图流程图。
图7是代表可以被执行以实现图1和图2的示例CSP的第一示例机器可读指令的流程图。
图8是代表可以被执行以实现图1和图2的示例CSP的第二示例机器可读指令的流程图。
图9是代表可以被执行以实现图1至图4的示例第一计算设备和/或图1的示例第二计算设备的第一示例机器可读指令的流程图。
图10是代表可以被执行以实现图1至图4的示例第一计算设备和/或图1的示例第二计算设备的第二示例机器可读指令的流程图。
图11是示例处理器平台的框图,所述示例处理器平台能够执行图7的示例机器可读指令以实现图1至图2的示例CSP、能够执行图8的示例机器可读指令以实现图1和图2的示例CSP、能够执行图9的示例机器可读指令以实现图1至图4的示例第一计算设备和/或图1的示例第二计算设备、和/或能够执行图10的示例机器可读指令以实现图1至图4的示例第一计算设备和/或图1的示例第二计算设备。
具体实施方式
国家标准技术局(NIST)将云计算定义为“一种模型,用于使能够对可配置计算资源(例如,网络、服务器、存储设备、应用以及服务)的共享池进行普遍存在的、方便的、按需的网络访问,可配置计算资源可以用最小的管理成本或服务提供方交互被快速地配置和释放。”(梅尔(Mell)、皮特(Peter)等人,云计算的NIST定义,NIST,2011年9月)。云服务提供方(CSP)经由不同的交付模型提供云服务,这些交付模型包括例如软件即服务(SaaS)模型、平台即服务(PaaS)模型、和/或基础设施即服务(IaaS)模型等、和/或其(多个)组合。当经由SaaS模型进行交付时,CSP为用户提供对在硬件(例如,用户经由CSP管理的互联网可访问的服务器)上运行的(例如,被执行的)应用的访问。在PaaS模型中,CSP为用户提供软件开发环境,在所述软件开发环境中,用户可以设计、建立和/或定制有待在CSP的硬件上执行的(多个)应用。IaaS模型涉及CSP为用户提供基本计算服务,如基于当前需要实时配置的按需数据存储。因此,当云计算服务可以用多种方式交付时,基于云的系统通常涉及在多个用户当中共享的资源(例如,硬件、软件和/或存储设备)的管理池。
在一些实例(如云服务的IaaS模型)中,相应的CSP提供数据存储能力。这种基于云的存储系统和/或服务通常以明文形式存储数据,以便例如帮助索引和/或搜索数据。当以明文形式存储时,数据通常未加密并且被暴露于任何人利用互联网访问进行的攻击。为了保护明文形式数据,先前基于云的系统依赖于用于加密数据的客户端应用。在这种实例中,经由云可获得的数据通过保存(例如,帮助存储)数据的客户端应用和/或通过关于客户端应用实现的某个中间解决方案(如专用于(例如,专门设计用于)数据加密的特殊文件系统)被加密。这种加密技术要求与(多个)相应的操作系统(OS)环境有关的改变和/或附加处理。也就是说,针对基于云的数据存储服务的先前加密技术涉及OS环境的变更和/或定制化。所述(多个)OS环境的变更和/或定制化是繁重的。例如,这种系统的加密技术包括截取流向和来自OS的数据(例如,经由驱动层技术)以及对截取的数据流应用加密/解密方法。这种系统引入了与OS环境有关的附加处理部件和/或算法。此外,危险的恶意软件以类似的方式进行操作(例如,通过截取流向和来自OS的数据),使得恶意软件难以被例如防病毒代理检测到。因此,已知的系统依赖于终端用户(例如,CSP的客户)积极地配置和/或维护安全性功能从而保护基于云的资源和/或数据。
在此公开的示例方法、装置和制品在保持OS不可知的同时为基于云的存储系统提供安全性(例如,数据的加密和解密)。也就是说,在此公开的示例在不影响例如客户端机(在所述客户端机处生成、存储和/或存取数据)的OS环境的情况下(例如,在不对所述OS环境强加兼容性要求的情况下)提供加密的基于云的数据存储。例如,在不同OS平台上具有账户的用户能够经由在此公开的示例共享数据。如以下更详细描述的,在此公开的示例生成并解密代表存储在(例如,计算设备的)驱动器上的有待经由云共享的数据的档案文件(例如,ISO(国际标准组织)映像)。在本文公开的一些示例中,加密的档案文件(例如,E-ISO映像)代表相应的驱动器(例如,光驱)的全部内容,由此为基于云的存储系统提供全盘加密(FDE)。在本文公开的一些示例中,加密的档案文件配置有一个或多个经包封的加密密钥(例如,磁盘加密密钥(DEK))以使档案文件的授权接收方能够访问由档案文件代表的数据。在本文公开的一些示例中,对档案文件进行加密和/或解密和/或为加密文件配置例如(多个)经包封的DEK是经由提供安全通信和安全操作的可信执行环境(TEE)执行的。在本文公开的一些示例中,由TEE提供的一个或多个操作是在已经注册到由CSP提供的服务中的(多个)计算设备上执行的。另外或附加地,由TEE提供的一个或多个操作是在由CSP管理和/或操作的计算设备上执行的。也就是说,在此公开的示例使CSP能够在TEE的能力中起作用,例如,在安全的信道上包封和/或解包封加密数据和/或将经包封的和/或经解包封的加密数据提供至例如注册的云用户计算设备。
因此,由在此公开的示例生成的全配的、经加密的档案文件可由被具有真实密码(例如,与对密钥的包封相对应的词组或字符串)的云用户使用的计算设备共享(例如,被传达至计算设备或由计算设备解密)。在一些示例中,经加密的档案文件被解密(例如,被接收计算设备解密)并且被安装至接收计算设备的OS。通过将档案文件安装至计算设备的OS环境(例如,而不是经由物理驱动器或端口访问数据的OS),在此公开的示例为计算设备提供包括有待经由云共享的数据的虚拟驱动器。驱动器的虚拟化准许在不必变更或定制OS环境的情况由任何OS环境共享档案文件的数据。由此,在此公开的示例利用宽范围的平台和应用提供互操作性。
虽然在此公开的示例是在基于云的计算和基于云的存储系统的背景下讨论的,但在此公开的示例可以在任何合适的联网环境、平台和/或社群中实现。例如,对等共享环境可以利用公开的示例来通过网络安全地共享数据。
图1展示了可实现本文公开的示例的示例计算环境100。图1的示例计算环境100包括示例云服务提供方(CSP)102,所述CSP将(多个)基于云的服务提供给一个或多个用户(例如,注册到CSP 102的个人和/或组织)。图1的示例计算环境100包括与(由CSP 102提供的一项或多项服务的)第一用户相对应的示例第一计算设备104以及与(由CSP 102提供的一项或多项服务的)第二用户相对应的示例第二计算设备106。图1的示例第一计算设备104和第二计算设备106是任何合适的计算设备,如,例如台式计算机、移动计算设备(例如,智能电话、平板计算机、膝上计算机)、服务器等。图1的示例第一计算设备104和第二计算设备106经由示例网络108与CSP 102的一个或多个计算设备(例如,(多个)服务器)进行通信。如在此使用的,短语“进行通信(in communication)”及其变体包含直接通信和/或通过一个或多个中间部件的间接通信并且不要求直接的物理的(例如,有线的)通信和/或持续的通信,而是附加地包括具有周期性和非周期性间隔的选择性通信以及一次性事件。图1的示例网络108可以使用任何合适的(多个)有线和/或无线网络来实现,包括例如一条或多条数据总线、一个或多个局域网(LAN)、一个或多个无线LAN、一个或多个蜂窝网、互联网等。在一些示例中,图1的计算环境100包括附加的计算设备和/或CSP。图1的示例CSP 102提供基于例如SaaS模型、PaaS模型、IaaS模型等中的一者或多者的基于云的服务。在一些示例中,图1的CSP 102接收来自群众的任何合适成员的针对服务的注册请求。在一些示例中,图1的CSP102局限于为有限的用户群(如特定公司的雇员)提供基于云的服务。在一些示例中,图1的SCP 102是可用于针对公众的(注册)成员的特定服务和/或针对一组或多组特定的人或用户的附加的或替代的服务的混合环境。
在图1展示的示例中,CSP 102实现示例密钥管理器110、示例访问策略管理器112和示例档案文件数据库114。图1的示例CSP 102的示例密钥管理器110、示例访问策略管理器112和示例档案文件数据库114与示例第一计算设备104和/或第二计算设备106合作(例如,通信和/或交换信息)以安全地共享第一计算设备104和/或第二计算设备104的数据(例如,提供对所述数据的访问)。为了说明的目的,以下示例讨论第一计算设备104,所述第一计算设备与第二计算设备106共享存储在第一计算设备上的和/或由第一计算设备104生成的数据。然而,示例第二计算设备106可以附加地或替代地与第一计算设备104共享存储在第二计算设备上的和/或由第二计算设备106生成的数据。在所展示的示例中,第一计算设备104和第二计算设备106是具有不同OS环境的不同机器。然而,在一些示例中,第一计算设备104和第二计算设备106是具有类似OS环境的机器。如以下详细描述的,在此公开的示例使得具有不同OS环境的第一计算设备104和第二计算设备106经由云共享数据而不管OS环境的差异和/或不要求变更和/或定制化计算设备104、106的对应的OS环境。换言之,示例CSP 102和示例第一计算设备104以及第二计算设备016帮助经由示例CSP 102提供的一个云服务安全地共享数据(例如,本地存储在计算设备104、106上的数据)。
在图1的示例中,第一计算设备104对应于(例如,属于和/或注册于)已经注册到示例CSP 102上的第一用户。第二计算设备104对应于(例如,属于和/或注册于)已经注册到示例CSP 102上的第二用户。作为经由图1的示例CSP 102促进的注册过程的一部分,第一和第二用户为CSP 102提供标识信息,如名称、标识符、密码、人口统计数据、与计算设备104和106的能力有关的信息和/或任何附加的或替代的信息。图1的示例CSP 102使用所提供的信息(如对存储在基于云的资源(例如,其他客户端机和/或中央化数据存储设备)上的信息的数据存储和/或访问特权)以例如使相应的用户注册到一个或多个基于云的服务。在一些示例中,用户注册涉及为每个用户分配用户名和密码从而使得用户可以登录由CSP 102所提供的系统。因此,在一些示例中,在允许使用云服务之前要求云用户输入用户名和密码。在图1展示的示例中,出于安全性目的,CSP 102的密钥管理器110接收由注册用户提供的至少部分信息并且利用例如分配给用户的密码来生成一个或多个密钥。例如,图1的示例密钥管理器110可以使用由第一用户提供的与第一计算设备104相关联的第一密码来生成第一私用(例如,私密的、对称的)加密密钥。另外,图1的示例密钥管理器110可以使用由第二用户提供的与第二计算设备104相关联的第二密码来生成第二私用加密密钥。图1的示例密钥管理器110将私用加密密钥传达至对应的计算设备104、106以存储在对应的计算设备104、106处。此外,图1的示例密钥管理器110生成针对每个注册用户的公共加密密钥并且帮助由CSP102存储公共加密密钥。如以下关于图2和图3详细描述的,示例第一和第二计算设备104、106利用由示例密钥管理器110管理的加密密钥来帮助加密并解密经由云共享的数据。由于加密密钥由CSP 102(例如,经由图1的示例密钥管理器110和以下详细描述的计算设备的部件)获得并管理,所以由本文公开的示例提供的安全性使得基于云的加密和/或用户标识技术成为可能,而不是依赖于单独计算设备104、106的不同的、局部的安全性机制。如以下详细描述的,图1的示例CSP 102可以附加地或替代地提供安全包封和/或安全解包封服务(例如,经由TEE能力),其中,加密数据配置有密钥信息和/或被处理以获得密钥信息。在一些示例中,经由CSP 102与第一和/或第二计算设备104、106之间的一个或多个安全信道传达由示例CSP 102配置和/或获得的密钥信息。
当第一计算设备104的第一用户期望共享与第一用户(和/或第一计算设备104)相关联的数据时,图1的示例访问策略管理器112接收来自第一计算设备104的访问指令,这些访问指令指示基于云的服务的哪个(哪些)用户应具有对被指定用于由第一用户(例如,被指定用于共享的数据的所有者)共享的数据的访问和/或特权。例如,如果第一用户指定存储在第一计算设备104处的数据用于与同第二计算设备106相关联的第二用户共享,则图1的示例访问策略管理器112从第一计算设备104接收第二用户应被授予针对相应数据的特权(例如,访问特权)的指示。在图1展示的示例中,由示例访问策略管理器112接收的共享和访问指令包括与第二用户和/或第二计算设备106相关联的一个或多个标识符。另外或替代地,出于共享目的,第一用户可以指定云服务的一组用户和/或所有注册用户。在这种实例中,图1的示例访问策略管理器112接收与所述(多个)指定组相关联的一个或多个标识符。出于简洁明了的目的,以下描述一个场景,在该场景中,第二计算设备106被指定为具有对由第一用户共享的数据的访问权的这些设备中的至少一个设备。图1的示例访问策略管理器112使用由第一计算设备104提供的共享和访问指令来确定哪个密钥信息可被配置到代表有待分享的数据的经加密的档案文件中。也就是说,图1的示例访问策略管理器112选择与不同的云用户(例如,第二用户)相对应的哪些公钥和/或私钥包括在经加密的档案文件中。在一些示例中,图1的访问策略管理器112利用云知识(例如,云用户之间的社交图连接)来选择利用其配置经加密的档案文件的公共和/或私钥。
在一些示例中,图1的示例访问策略管理器112将所选的(并且从密钥管理器110获得的)密钥信息转发至第一计算设备104,从而使得第一计算设备104可以(例如,经由以下详细公开多种方法和装置)帮助保护(例如,加密)并传达有待与第二用户共享的数据。图1的示例访问策略管理器112可以转发伴随所获得的密钥信息的附加信息,如例如,关于使用安全性信息(例如,与第二用户相对应的公共加密密钥)的指令。如以下描述的,在一些示例中,保护并传达数据涉及生成并加密代表第一计算设备104的驱动器的档案文件。另外或替代地,示例CSP 102(例如,经由密钥管理器110和/或经由CSP102实现的可信执行环境部件)执行为经加密的档案文件配置所选的密钥信息。也就是说,示例第一计算设备104可以为经加密的档案文件配置密钥信息和/或将经加密的档案文件传达至示例CSP 102以供配置。
在图1展示的示例中,示例CSP 102接收经加密的档案文件并将经加密的档案文件的副本存储在档案文件数据库114中。为了向第二用户提供针对由第一计算设备104共享的数据的访问权,将经加密的档案文件传达至第二计算设备106。在一些示例中,响应于来自第二计算设备106的请求传达档案文件。另外或替代地,档案文件被自动地传达至第二计算设备106(例如,在没有来自第二计算设备106的特定请求的情况中)。如以下详细描述的,图1的示例第二计算设备106解包封加密信息(例如,DEK)并且使用加密信息来解密档案文件(例如,使用分配给作为注册过程的一部分的第二用户的公共和私用加密密钥)。另外或替代地,图1的示例CSP 102可以执行解包封和/或解密并且可以经由一个或多个安全信道将档案文件传达至第二计算设备106。在图1展示的示例中,经解密的档案文件安装至第二计算设备106的OS文件系统,由此将档案文件的数据暴露于第二计算设备106的作为虚拟驱动器的OS文件系统。如将作为现有系统中的情况,驱动器的虚拟化(通过将档案文件安装至OS环境)准许示例第二计算设备106具有针对由第一用户共享的数据的访问权而没有针对第二计算设备106的OS环境的兼容性要求。
因此,图1的示例使得即使当第一计算设备104与第二计算设备106各自的OS环境在安全性方面(例如,加密平台、技术、配置等)不相符,所述第一计算设备104与所述第二计算设备106仍能够经由示例CSP 102提供的云服务安全地共享数据。此外,出于加密和解密的目的,关于图1公开的示例使得第一和第二用户能够具有基于云的身份。换言之,在不要求第一和第二用户在同一OS平台上具有账号的情况下,安全性数据(例如,公共和私用加密密钥)经由示例CSP 102提供的云服务被共享。因此,不管第一计算设备104与第二计算设备106的平台的OS环境和/或安全性配置之间的差异,在图1中公开的示例提供第一计算设备104与第二计算设备106(以及注册到由示例CSP102提供的服务中的和/或以其他方式利用所述服务的任何其他设备)之间的可互操作性。
图2展示了图1的示例第一计算设备104与图1的示例CSP 102的示例档案文件数据库114进行通信的示例实现方式。图2的示例可以附加地或替代地对应于图1的示例第二计算设备106和/或注册到图1的示例CSP 102的任何其他计算设备的示例实现方式。图2的示例第一计算设备104包括示例认证应用200、示例用户接口202、示例数据存储设备204、示例档案文件生成器206、示例安全模块208、示例缓存210、示例重定向器212以及示例OS文件系统安装点214。在图2展示的示例中,认证应用使用计算设备104验证个人身份。图2的示例认证应用200使用任何合适的技术和/或信息,如,例如,(多项)生物信息、(多个)机器密码、和/或(多个)认证令牌(例如,经由Mirror Pass代理和/或保护技术)、开机引导认证(PBA)技术。也就是说,图2的示例认证应用200验证计算设备104的用户被授权使用所述机器。示例认证应用200可以例如是开机引导认证模块(PBA)、基于OS的应用或嵌入在安全性引擎(例如,英特尔镜像通过)中。
在图2的示例中,用户接口202是网页浏览器。然而,在示例计算设备104上可以使用任何合适的用户接口。图2的示例用户接口202使计算设备104的用户能够与CSP 102进行通信以便例如注册到CSP 102上并且与CSP102交换基于云的共享信息。例如,用户接口202使计算设备104的用户能够将访问指令(例如,第一计算设备104的用户想要利用其共享数据的与云用户相关联的(多个)标识符)提供给CSP 102并且能够从CSP 102接收相应的访问数据(例如,(多个)公共加密密钥)。
图2的示例计算设备104包括数据存储设备204,所述数据存储设备用于存储可以经由例如由示例CSP 102实现的云分享的数据。图2的示例数据存储设备204是任何合适的存储设备,如例如,信息可被存储在其中持续任何时长(例如,持续延长时间段、永久地、短暂片刻、暂时地缓冲、和/或高速缓存信息)的硬盘驱动器、闪存存储器、只读存储器(ROM)、致密盘(CD)、数字多功能盘(DVD)、缓存、随机存取存储器(RAM)和/或任何其他存储设备或存储盘。尽管在图2中被示出为单个部件,图2的示例数据存储设备204可以包括一个或多个存储设备,如磁盘、驱动器等。
第一计算设备104的用户可以将数据存储设备204的数据指定为经由示例CSP 102提供的云服务与例如图1的第二计算设备106共享。在这种示例中,用户提供(例如,经由用户接口202)针对CSP 102的访问权或特权指令,所述CSP包括有待共享的数据的标识以及有待与其共享数据的(多个)用户和/或(多个)群组的一个或多个标识(例如,标识哪个(哪些)设备和/或用户应被授予针对共享数据的访问权)。在一些示例中,CSP 102响应于具有安全性信息(例如,与指定的(多个)用户相对应的用于共享的特定密钥信息)的访问权或特权指令以及用于生成代表数据存储设备204的有待共享的数据的档案文件的指令。响应于由CSP102提供的指令和/或信息,图2的示例档案文件生成器206生成这种档案文件。在图2展示的示例中,档案文件生成器206生成代表数据存储设备204的包括有待共享的数据的磁盘或驱动器的ISO映像。在所展示的示例中,档案文件生成器206获得来自数据存储设备204的明文数据块并且使用明文数据块生成ISO映像。此外,图2的示例安全模块208使用由CSP 102提供的安全性信息来加密由示例档案文件生成器206生成的ISO映像。在图2展示的示例中,安全模块208使用磁盘加密密钥(DEK)来加密ISO映像,由此形成加密的ISO(E-ISO)映像。因此,示例安全模块208使用DEK来将ISO映像的明文块变换成密码块。此外,在图2展示的示例中,安全模块208使用密钥数据(例如,与有待授予访问共享数据的(多个)用户相对应的公共和/或私用加密密钥)来包封DEK。图2的示例安全模块为E-ISO映像配置经包封的DEK。以下关于图3讨论了安全模块208的示例实现方式和档案文件的加密。在一些示例中,E-ISO映像进一步配置有CSP 102的密钥(例如,通过用CSP 102的公共包封密钥来包封E-ISO的公共部分)以当例如CSP 102经由例如TEE执行一个或多个安全性操作时促进E-ISO的安全通信。
在图2展示的示例中,经配置的E-ISO映像的副本被本地存储在例如缓存210中。此外,图2的示例计算设备104将经配置的E-ISO映像转发至CSP 102,所述CSP将E-ISO映像存储在档案文件数据库114中。在一些示例中,计算设备104实现重定向器212。例如,计算设备104可以通过集成开发环境重定向(IDER)实现示例重定向器212。示例重定向器212使计算设备104能够远程地利用存储在CSP 102的档案文件数据库114处的E-ISO映像。例如,重定向器212使计算设备104能够从存储在档案文件数据库114中的E-ISO映像中启动以便例如从毁坏的本地OS映像中恢复。由图2的示例重定向器212提供的功能在示例计算设备104是无盘工作站时也可以是有用的,因为重定向器212使磁盘I/O操作能够与远程存储的E-ISO映像交换。在一些示例中,如以下描述的,重定向器212被实现为安全模块208的一部分。另外或替代地,示例重定向器212可以被实现为档案文件生成器206的一部分(例如,作为与档案文件生成器206相关联的驱动器)。
存储在档案文件数据库114处的经配置的E-ISO映像(其代表数据存储设备204的有待经由云共享的数据)可以例如由注册到CSP 102中的计算设备共享。例如,图2的计算设备104可以请求(例如,经由示例用户接口202)和/或可以自动地配备有代表由另一个云用户(例如,与图1的第二计算设备106相关联的第二用户)共享的数据的E-ISO映像。在一些示例中,示例安全模块208接收E-ISO和配置在E-ISO中的(多个)包封DEK。也就是说,示例安全模块208接收配置有(多个)包封DEK的密码块。图2的示例安全模块208解包封所述(多个)DEK(例如,使用分配给所述(多个)相应用户的(多个)私钥)。如以上公开的,示例CSP 102可以替代地执行解包封(多个)DEK并且经由一个或多个安全信道将(多个)经解包封的DEK提供给(多个)相应的计算设备(例如,第二计算设备106)。在展示的示例中,安全模块208使用(多个)经解包封的DEK来解密E-ISO,由此为计算设备104提供解密的ISO映像。在图2展示的示例中,解密的ISO映像经由示例OS文件系统安装点214安装至计算设备104的操作系统的文件系统。作为安装的档案文件,由CSP 102提供的示例ISO映像暴露于计算设备104的作为具有经由云共享的数据的虚拟驱动器的OS中。也就是说,示例OS文件系统安装点214为示例计算设备104提供共享数据的虚拟化版本。在一些示例中,安装ISO映像涉及远程计算平台(例如,英特尔主动管理技术(AMT))将虚拟驱动器和访问(例如,写操作)暴露于虚拟驱动器,其由远程计算平台的嵌入式密码引擎处理,如,例如,自加密驱动(SED)、硬件安全模块(HSM)、密码加速功能(例如,经由如AES-NI的指令集)。在这种实例中,密码块经由远程计算平台被重定向去往和/或来自第一计算设备104和CSP 102。在一些示例中,密码块的重定向包括修改远程计算平台以识别一个或多个相应的远程文件存储协议(例如,(多个)互联网小型计算机系统接口(iSCSI)协议)。
图2的示例第一计算设备104包括示例存储器保护器216。示例存储器保护器216为敏感数据(如存储在例如第一计算设备104的持久性存储器(例如,闪存、RAM、PRAM(持久性RAM)等)上的(多个)DEK和/或(多个)ISO映像)提供安全性。以下关于图4详细描述示例存储器保护器216。
图3展示图2的示例安全模块208的示例实现方式。图3的示例包括安全性和可管理性引擎(CSME)300,其实现示例可信执行环境(TEE)302。另外,图3的示例CSME 300实现示例IDER 304,所述示例IDER304提供与图2的重定向器212类似的功能性。也就是说,图2的重定向器212可以附加地或替代地关于图3的CSME 300被实现。图3的示例CSME 300与示例加密引擎(EE)306进行通信。图3的示例EE 306执行以上关于图1和图2公开的加密和解密功能中的一个或多个功能。例如,当计算设备104处于共享数据的过程中时,EE 306接收ISO映像的明文数据块并且将明文块加密成密码块(例如,使用一个或多个DEK)。另外,当计算设备104处于访问(例如,来自云的另一个计算设备的)共享数据的过程中时,图3的EE306接收E-ISO映像的密码块并且将密码块解密成可由计算设备104的OS环境访问和理解的明文块。图3的示例CSME 300支持存储对称的和/或非对称的密钥,如用于加密/解密数据块的(多个)DEK。在图3展示的示例中,CSME 300与示例密钥库308进行通信以帮助存储密钥。在图3的示例中,TEE 302使用密钥库308的公钥来例如包封DEK以供另一个用户通过云安全地使用。此外,图3的示例TEE 302使用密钥库308的私钥来例如解包封DEK。在展示的示例中,经解包封的DEK被传达至EE 306以用于解密相应的E-ISO映像。图3的示例CSME 300还执行密钥管理和访问操作,例如,包括处理(例如,解释)从CSP 102接收到的访问策略、将用户认证信息与(例如,与用户认证有关的)参考数据进行比较等。
图3的示例安全模块208可以用(多种)附加的或替代的方式和/或经由(多个)附加的或替代的平台实现。例如,示例EE 306可以使用被设计成用于加速加密的CPU指令集(例如,AES-NI)和/或被设计成用于代码隔离的指令(例如,软件保护扩展(SGX))在CPU封装体中被实现。另外或替代地,示例EE 306可以在芯片组中被实现,其中,密码卸载引擎加密并解密对OS文件系统透明的数据流(例如,数据存储I/O流)。在这种示例中,CSME 300可以在芯片组中被实现以便执行密钥交换操作并且以便协调对DEK的访问(例如,通过包封和解包封DEK)。另外或替代地,示例EE 306可以在自加密驱动器(SED)中被实现,其中,嵌入式块加密器被分派任务(或从新分派任务)去执行加密和/或解密,并且其中,数据块的存储和检索被映射到E-ISO驱动器以对ISO映像进行读/写处理。另外或替代地,图3的示例EE 306可以在外围硬件安全模块(HSM)中被实现,其中,数据块加密和/或解密被执行并且被映射返回至E-ISO驱动器。在以上公开的一个或多个示例中,图1和/或图2的示例计算设备104可以实现示例EE 306。也就是说,示例安全模块208可以利用以上描述的示例EE 306的单个实现方式或者以上描述的示例EE 306的实现方式的任何合适的组合。
图4展示了图2的存储器保护器216的示例实现方式。当这种信息存储在例如相应设备的持久性存储器406(例如,RAM)上时,图4的示例存储器保护器216为敏感数据(如在此公开的(多个)DEK 402和/或(多个)ISO映像404(例如,ISO映像))提供安全性。将(多个)DEK402和/或(多个)档案文件404存储在持久性存储器406上呈现了挑战,因为数据在使用时可以不受阻碍。如果包括持久性存储器406的机器以非授权的方式被访问(例如,被窃取),则非授权用户理论上可以经由例如持久性存储器406的物理探测和/或通过为主机CPU重新施加电力以及利用内核或应用模式中的软件错误而获得对(多个)ISO映像的明文的访问。图4的示例存储器保护器216使免受这种攻击。在图4展示的示例中,存储器保护器216实现在例如与本文公开的E-ISO映像的生成相关联的驱动器410中实现存储器擦除策略408。例如,图4的驱动器410是由图2的示例档案文件生成器206实现的。响应于攻击或不正当行为的一个或多个指示,示例存储器擦除策略408生成针对管理持久性存储器406的存储器控制器412的指令。也就是说,示例存储器擦除策略408定义一个或多个场景,其中,命令被提供至存储器控制器412。在展示的示例中,每存储器擦除策略408由示例存储器保护器216提供的命令指导存储器控制器412取消、擦除和/或删除持久性存储器406的包括敏感信息(如,例如,(多个)DEK 402和/或(多个)ISO映像404)的(多个)部分。在一些示例中,存储器控制器412利用页表项的一位作为包括存储器中机密(secrets-in-memory,SIM)的相应页的指示。在图4展示的示例中,E-ISO驱动器410在适合于指示持久性存储器406中的相应页包括SIM时对SIM位进行设置。
图4的示例存储器保护器216接收来自检测指示例如在持久性存储器406上的攻击的高风险场景和/或事件的一个或多个模块的数据。在展示的示例中,提供攻击检测数据的模块包括示例用户标识模块414、示例传感器环境模块416、示例电源状态中断模块418以及示例日历模块420。图4的示例用户标识模块414确定是否(例如,在阈值可能性内)计算设备正由授权用户使用和/或是否非授权用户正尝试访问主机。在图4展示的示例中,图4的用户标识模块414利用图2的示例认证模块200来确定用户是否是真的(例如,通过确定登录过程是否被成功地导航和/或绕开)。如果当前用户不被识别和/或真实,则示例认证模块414将指示传达给示例E-ISO驱动器410。在一些示例中,参考图4的存储器擦除策略408以确定取消命令是否响应于来自认证模块414的指示被传达至存储器控制器412。
图4的示例传感器环境模块416检测主机环境,如,例如,盖子状态(例如,已打开、已关闭、正打开或正关闭)、主机附近的用户存在、主机附近无用户存在、停用环境(例如,通过将来自加速度计和/或陀螺仪的运动信息与参考运动信息进行比较来检测与生产力或用途不相关联的活动,如步行或对用户生产力而言非典型的其他运动)。如果主机被确定为处于停用状态,则示例传感器环境模块416将相应的指示传达给示例E-ISO驱动器410。在一些示例中,参考图4的存储器擦除策略408以确定取消命令是否响应于来自传感器环境模块416的指示被传达至存储器控制器412。
图4的示例电源状态中断模块416确定指示攻击的电源异常中断是否已经发生。若是,则示例电源状态中断模块418将相应的指示传达至示例E-ISO驱动器410。在一些示例中,参考图4的存储器擦除策略408以确定取消命令是否响应于来自电源状态中断模块418的指示被传达至存储器控制器412。
图4的示例日历模块420通过例如参考用户的电子日历(如由计算机程序实现的日历)确定主机用户是否在特定的时间或日期被安排行程或被期望去旅行和/或不上班。在这段时间期间,图4的示例日历模块420向存储器可保护器216通知用户的预期缺席。在一些示例中,示例存储器擦除策略408的定义使用这种指示结合例如来自认证模块414、传感器环境模块416和/或电源状态中断模块418的一个或多个附加指示以确定取消命令是否被传达至存储器控制器412。
图5展示了以上关于图1至图3讨论的E-ISO映像的示例结构。图5的示例E-ISO映像500包括满足OS安装点要求的用于将ISO映像暴露于OS和/或相应的应用的头部块502。图5的示例E-ISO映像500包括定义进入ISO映像中的偏移的用于支持针对E-ISO特定内容的访问(例如,驱动器访问)的FDE(全盘加密)头部504。在展示的示例中,FDE头部信息符合ISO封包协定以便维持与非EISO意识驱动器的兼容性。图5的示例E-ISO映像500包括使用私钥加密的一个或多个经包封的DEK 506,所述私钥是使用从例如认证程序收集而来的信息导出或生成的。图5的示例E-ISO映像500包括使用公钥加密的一个或多个经包封的DEK 508,从而使得与公钥相对应的私钥的所有者可以解密DEK。图5的示例E-ISO映像500包括与用户相对应的一个或多个经包封的公钥510。在一些示例中,针对基于云的密码卸载功能性可以采用暂时的密码服务提供方。在2005年11月16日提交的美国专利8,422,678中公开了示例暂时密码服务提供方。图5的示例E-ISO映像500包括数据安全性级别512,数据安全性级别定义包括例如以可以用于认证用户的因数项表示的最小强度认证的数据敏感性级别。在一些示例中,数据安全性级别512提供用于在由CSP 102提供的云服务与计算设备的OS环境(例如,OS安装点)之间映射数据灵敏性的信息。图5的示例E-ISO映像500包括用于维持E-ISO映像的引用完整性的签名514。在这种实例中,签名514包括针对头部502、504施加于其的数据块的参考(例如,数据块的散列、完整性寄存器初始化向量或如由RAID阵列提供的块的校验和)。在一些示例中,完整性检查值可以结合与用于基于在计算设备104与CSP 102之间交换的数据块读/写操作检测MITM(中间人)攻击的E-ISO块相关联的I/O会话一起使用。图5的示例E-ISO映像500包括包括密文块516。然而,在一些实例中,密文块存储在CSP 102处并且当访问ISO映像时被检索。
图6是与图1至图3的示例CSP 102、示例第一计算设备104和示例第二计算设备106相关联的示例序列图。在图6的示例中,示出第一计算设备104和第二计算设备106的某些部件。然而,第一计算设备104和第二计算设备106可以包括附加的或替代的部件。例如,图6的示例序列对应于第一计算设备104经由CSP 102提供的云服务将第一计算设备104的数据存储设备204的数据与第二计算设备106进行共享。因此,图6示出涉及加密和共享过程的第一计算设备104的部件。相反地,图6示出涉及解密和访问过程的第二计算设备106的部件。然而,图1至图3的示例第一计算设备104以及图1至图3的示例第二计算设备106各自分别能够经由示例CSP 102提供的云服务共享和访问数据。
图6的示例从第一计算设备104的第一用户将共享指示600提供至CSP 102开始。图6的示例共享指示600例如是经由示例用户接口202(例如,网页浏览器)生成的HTTP(超文本传输协议)请求传达的数据。图6的示例共享指示600指示第一用户想要使与第一计算设备104相关联的(例如,存储在其本地数据存储设备204中的)数据可用于一个或多个其他云用户。在图6展示的示例中,共享指示600包括与第二计算设备106的第二用户相对应的标识符以将第二用户标识为示例第一计算设备104的预期共享目标。
响应于图6的示例共享指示600,示例CSP 102将包括访问策略信息和密钥信息的共享数据包602传达至第一计算设备104的示例TEE 302。在图6的示例中,由CSP 102提供的共享数据包602的密钥信息由CSP 102的示例密钥管理器110维持并且包括例如与第二用户相对应的公共加密密钥。图6的示例共享数据包602可以包括附加的或替代的信息,如,例如,与(多个)附加云用户相对应的(多个)附加公钥。
在图6展示的示例中,第一计算设备104的TEE 302用例如示例共享数据包602的(多个)公共加密密钥(例如,与第二用户相对应的公共加密密钥)包封磁盘加密密钥(DEK)。也就是说,示例TEE 302生成一个或多个经包封的DEK 604,这些DEK被传达至示例第一计算设备104的示例档案文件生成器206。此外,有待经由云共享数据606被示例档案文件生成器206获得和/或访问。在一些示例中,数据606包括第一计算设备104的例如驱动器(例如,光驱)的全部内容。在图6的示例中,示例档案文件生成器206生成代表驱动数据606的ISO映像并解密ISO映像以形成E-ISO映像608。可以利用档案文件的替代类型来表示驱动数据606。另外,图1的示例档案文件生成器206为E-ISO 608配置(多个)经包封的DEK 604,由此生成经配置的E-ISO映像608。因此,例档案文件生成器206帮助生成包括示例数据存储设备204的驱动器的部分或全部数据以及经包封的DEK(以及与被指定具有对经由云共享的数据的访问权的其他用户相对应的任何其他(多个)经包封的DEK)的E-ISO映像。图1的示例第一计算设备104将经配置的E-ISO映像608转发至示例CSP 102。
在图6的示例中,CSP 102接收经配置的E-ISO映像608并且E-ISO映像608的副本存储(例如,存档)在档案文件数据库114中。在图6的示例中,在未接收来自第二计算设备106的请求的情况下,CSP 102将E-ISO映像转发至第二计算设备106(和/或被指定用于共享的(多个)其他用户)。替代地,示例CSP 102可以响应于接收第二计算设备106的请求而传达E-ISO映像608。在图6的示例中,第二计算设备106的TEE 302解包封配置在E-ISO映像608中的(多个)经包封的DEK。为了解包封(多个)经包封的DEK,示例TEE 302使用分配给第二用户的与第二计算设备106相关联的私用加密密钥。例如,当第二计算设备106(或其用户)注册到CSP 102时,私用加密密钥可以由CSP 102分配给第二计算设备106。替代地,示例CSP库可以解包封(多个)DEK(例如,经由TEE功能)并且经由(多个)安全信道将经解包封的DEK提供给第二计算设备106。通过访问(多个)经解包封的DEK 610,示例第二计算设备106的EE 304解密E-ISO映像608以获得代表第一计算设备104的数据存储设备204的共享驱动器的ISO映像612。ISO映像612经由示例安装点214安装至示例第二计算设备106的OS,由此为第二计算设备106的OS提供共享驱动数据的虚拟化版本。因此,示例第二计算设备106获得对由示例第一计算设备104经由示例CSP 102提供的共享服务共享的驱动数据204的访问。
虽然在图1中展示了实现CSP 102的示例方式,在图1中展示的一个或多个元件、进程和/或设备可以以任何其他方式被组合、划分、重新安排、省略、消除和/或实现。虽然在图2中展示了实现图1的第一计算设备104和/或第二极端设备106的示例方式,在图2中展示的一个或多个元件、进程和/或设备可以以任何其他方式被组合、划分、重新安排、省略、消除和/或实现。虽然在图3中展示了实现图2的安全模块208的示例方式,在图3中展示的一个或多个元件、进程和/或设备可以以任何其他方式被组合、划分、重新安排、省略、消除和/或实现。虽然在图4中展示了实现图4的存储器保护器216的示例方式,在图4中展示的一个或多个元件、进程和/或设备可以以任何其他方式被组合、划分、重新安排、省略、消除和/或实现。此外,图1的示例密钥管理器110、图1的示例访问策略管理器112、图2的示例认证应用200、图2的示例用户接口202、图2的示例档案文件生成器206、图2的示例安全模块208、图2的示例重定向器212、图2的示例OS文件系统安装点214、图3的示例CSME 300、图3的示例TEE、图3的示例IDER 304、图3的示例EE 306、图4的示例存储器保护器216、图4的示例E-ISO驱动器410、图4的示例存储器控制器412、图4的示例认证模块414、图4的示例传感器环境模块416、图4的示例电源状态中断模块418、图4的示例日历模块420和/或更一般地,图1和/或图2的CSP 102、图1和/或图2的示例计算设备104和106、和/或图2和/或图3的示例安全模块208可以通过硬件、软件、固件和/或硬件、软件和/或固件的任意组合来实现。因此,例如,图1的示例密钥管理器110、图1的示例访问策略管理器112、图2的示例认证应用200、图2的示例用户接口202、图2的示例档案文件生成器206、图2的示例安全模块208、图2的示例重定向器212、图2的示例OS文件系统安装点214、图3的示例CSME 300、图3的示例TEE、图3的示例IDER 304、图3的示例EE 306、图4的示例存储器保护器216、图4的示例E-ISO驱动器410、图4的示例存储器控制器412、图4的示例认证模块414、图4的示例传感器环境模块416、图4的示例电源状态中断模块418、图4的示例日历模块420和/或更一般地,图1和/或图2的CSP 102、图1和/或图2的示例计算设备104和106、和/或图2和/或图3的示例安全模块208中的任一项可以通过一个或多个模拟或数字电路、逻辑电路、(多个)可编程处理器、(多个)专用集成电路(ASIC)、(多个)可编程逻辑器件(PLD)和/或(多个)现场可编程逻辑器件(FPLD)来实现。当读取本专利要求保护的装置或系统中的任一项以仅覆盖软件和/或固件实现方式时,图1的示例密钥管理器110、图1的示例访问策略管理器112、图2的示例认证应用200、图2的示例用户接口202、图2的示例档案文件生成器206、图2的示例安全模块208、图2的示例重定向器212、图2的示例OS文件系统安装点214、图3的示例CSME 300、图3的示例TEE、图3的示例IDER304、图3的示例EE 306、图4的示例存储器保护器216、图4的示例E-ISO驱动器410、图4的示例存储器控制器412、图4的示例认证模块414、图4的示例传感器环境模块416、图4的示例电源状态中断模块418、图4的示例日历模块420和/或更一般地,图1和/或图2的CSP 102、图1和/或图2的示例计算设备104和106、和/或图2和/或图3的示例安全模块208中的至少一项由此被清楚地定义为包括存储软件和/或固件的有形计算机可读取存储设备或存储磁盘,如存储器、数字通用光盘(DVD)、光碟(CD)、蓝光磁盘等。仍进一步地,图1的示例CSP 102、图1的示例第一计算设备104、图1的示例第二计算设备106和/或图2的示例安全模块208可以包括除了在图2和/或图3中展示的那些之外的或替代的一个或多个元件、进程和/或设备,和/或可以包括所展示的元件、进程和设备的任何或全部中的多于一个的元件、进程和设备。
图7是代表用于实现在图1和/或图2中表示的CPS 102的示例机器可读指令的流程图。图8是代表用于实现在图1和/或图2中表示的CPS 102的示例机器可读指令的流程图。图9是代表用于实现在图1、图2和/或图3中表示的示例第一计算设备104和/或用于实现在图1、图2和/或图3中表示的示例第二计算设备106的示例机器可读指令的流程图。图10是代表用于实现在图1、图2和/或图3中表示的示例第一计算设备104和/或用于实现在图1、图2和/或图3中表示的示例第二计算设备106的示例机器可读指令的流程图。在这些示例中,机器可读指令包括用于由处理器(如以下结合图11所讨论的在示例处理器平台1100中示出的处理器1112)来执行的程序。程序可以体现在被存储在有形计算机可读存储介质(如CD-ROM、软盘、硬盘驱动器、数字通用光盘(DVD)、蓝光碟或与处理器1112相关联的存储器)上的软件,但是整个程序和/或其部分可以可替代地由设备而不是处理器1112来执行和/或体现在固件或专用硬件中。此外,尽管参照图7至图10中展示的流程图描述了示例程序,可以替代地使用实现图1和/或图2的示例CSP 102和/或图1、图2和/或图3的示例第一计量器104和/或第二计量器106的许多其他方法。例如,可以改变块的执行顺序和/或可以改变、消除或组合所描述的一些块。
如以上所提及的,可以使用存储在有形计算机可读存储介质(如信息可被存储在其中持续任何时长(例如,持续延长时间段、永久地、短暂片刻、暂时地缓冲、和/或高速缓存信息)的硬盘驱动器、闪存存储器、只读存储器(ROM)、致密盘(CD)、数字多功能盘(DVD)、缓存、随机存取存储器(RAM)和/或任何其他存储设备或存储盘)上的经编码的指令(例如计算机和/或机器可读指令)来实现图7和图-10的示例过程。如在此所使用的,术语有形计算机可读存储介质被明确定义为包括任何类型的计算机可读存储介质设备和/或存储盘并且排除传播的信号和传输媒体。如在此所使用的,术语“有形计算机可读存储介质”和“有形机器可读存储介质”可互换使用。另外或可替代地,可以使用存储在非瞬态计算机和/或机器可读介质(如信息可被存储在其中持续任何时长(例如,持续延长时间段、永久地、短暂片刻、暂时地缓冲、和/或高速缓存信息)的硬盘驱动器、闪存存储器、只读存储器、光盘、数字通用光盘、缓存、随机存取存储器和/或任何其他存储设备或存储盘)上的经编码的指令(例如计算机和/或机器可读指令)来实现图7至图10的示例过程。如在此所使用的,术语非瞬态计算机可读介质被明确定义为包括任何类型的计算机可读存储设备和/或存储光盘并且排除传播的信号和传输媒体。如在此所使用的,当短语“至少”在权利要求的前序部分中用作过渡术语时,其以与术语“包括(comprising)”是开放式一样的方式是开放式的。
图7从用户注册到由图1的示例CSP 102提供的数据共享服务开始(块700)。在图7的示例中,注册到CSP 102的用户是与图1至图4的第一计算设备104相关联的第一用户。在图7展示的示例中,CSP 102获得来自第一用户的标识信息,如,例如,用户名、用户所选标识符等(块702)。在图7展示的示例中,CSP 102获得来自第一用户的密码(块704)。在一些示例中,要求密码满足一个或多个安全性阈值(例如,长度、与之前密码之间的差异、不同的字符类型等)。示例密钥管理器110使用用户标识信息和/或所获得密码来为第一用户生成私用加密密钥(块706)。示例密钥管理器110使用任何适当的加密技术和/或算法来生成对注册用户唯一的私用加密密钥。示例密钥管理器110帮助将私用加密密钥存储在例如与CSP 102相关联的数据库处。另外或替代地,示例密钥管理器110将私用加密密钥传达至与注册用户(例如,第一计算设备104)相关联的一个或多个设备。图7的示例然后结束(块708)。
图8对应于图1至图3的第一计算设备104将数据(例如,存储在第一计算设备104上的数据)指定用于经由图1的示例CSP 102提供的服务来共享(块800)。例如,第一计算设备104的第一用户可以利用用户接口202来选择用于与例如一个或多个用户、群组、云等共享的数据(例如,计算设备104的驱动器)。在图8的示例中,第一用户经由第一计算设备的用户接口202传达期望的共享方面,如,(多个)其他云用户通过其将具有对共享数据的访问权的方面(块802)。在一些示例中,由第一计算设备104提供的访问指令包括与对指定数据的访问有关的附加的或替代的信息,如,例如,数据经由云可被获得的时间周期。在图8的示例中,访问策略管理器112解释由第一计算设备104提供的访问指令并且根据例如由CSP 102促进的云共享系统的实现方式和/或配置生成访问策略(块804)。此外,示例密钥管理器110提供合适的密钥信息(例如,与将同其共享数据的所述(多个)用户相对应的(多个)公共加密密钥),所述密钥信息与访问策略一起被传达至第一计算设备104(块804)。在图8展示的示例中,被提供给第一计算设备104的访问策略体现和/或包括针对第一计算设备104的用于生成代表有待共享的数据的档案文件的指令(块806)。用于生成档案文件的指令可以是使用任何适当通信技术的任何适当的格式。
当第一计算设备104生成档案文件(如以下关于图9所公开的)时,CSP 102接收例如来自第一计算设备104的经加密的档案文件(块808)。在图8展示的示例中,接收的经加密的档案文件是已经配置有经包封的DEK以安全地传达ISO图形的数据的加密ISO(E-ISO)映像。在图8的示例中,经配置的E-ISO映像的副本被存储在档案文件数据库114中(块808)。示例CSP102(例如,经由访问策略管理器112)通知一个或多个云用户和/或设备(例如,第二计算设备106)由第一计算设备104共享的数据是可用的(块810)。响应于接收针对共享数据的请求(块812),示例CSP 102将请求器(例如,第二计算设备106)的相应的E-ISO映像传达至设备(例如,第二计算设备106)。
图9从图1至图4的示例第一计算设备104接收访问策略和指令以从CSP 102中生成E-ISO映像开始(块900)。例如,由第一计算设备104接收的指令可以对应于图8的块806。如上所述,被传达至第一计算设备104的示例访问策略包括和/或附有与例如有待同其共享数据的用户相对应的加密密钥信息。在图9展示的示例中,加密密钥信息包括与有待同其共享数据的所述(多个)用户相对应的公钥。第一计算设备104的示例TEE 302使用加密密钥信息来包封(多个)DEK(块902)。此外,图2的示例档案文件生成器206生成代表有待共享的数据(例如,包括所述数据的驱动器的全部内容)的ISO映像(或任何其他合适类型的档案文件)(块904)。在图7的示例中,第一计算设备104的EE 306加密ISO映像以形成代表有待共享的数据的E-ISO(块906)。示例EE 306为E-ISO映像配置所述(多个)经包封的DEK(块908)。示例第一计算设备104将经配置的E-ISO映像传达至CSP 102(块910)。图9的示例然后结束(块912)。
图10从图1的示例第二计算设备106接收配置有以上描述的来自例如CSP 102的档案文件数据库114中的所述(多个)包封DEK的E-ISO映像开始(块1000)。第二计算设备106的示例TEE 302使用例如与第二计算设备的第二用户相对应的私用加密密钥来解包封所述(多个)DEK(块1002)。解包封所述(多个)DEK为第二计算设备106的EE 306提供所述(多个)真实的(例如,可用的)DEK。在图10的示例中,EE 306使用所述(多个)经解包封的DEK解密E-ISO映像以获得对ISO映像的访问(块1004)。在图10展示的示例中,ISO映像被安装至OS文件系统安装点214,以将共享数据暴露于第二计算设备106的作为虚拟驱动器的OS(块1006)。图10的示例然后结束(块1008)。
图11是能够执行图7和/图8的指令以实现图1和/图2的示例CSP102的示例密钥管理器110和/或示例访问策略管理器112的、能够执行图9和/图10的指令以实现图1至图4的示例第一计算设备104和/或示例第一计算设备106的示例处理器平台1100的框图。处理器平台1100可以例如是服务器、个人计算机、移动设备(例如,蜂窝电话、智能电话、如iPadTM的平板机)、可穿戴媒体设备(例如,)、互联网应用或任何其他类型的计算设备。
所展示的示例的处理器平台1100包括处理器1112。所展示的示例的处理器1112是硬件。例如,处理器1112可由来自任何所期望的家族或制造商的一个或多个集成电路、逻辑电路、微处理器或控制器来实现。
所展示的示例的处理器1112包括本地存储器1113(例如缓存)。所展示的示例的处理器1112经由总线1118与包括易失性存储器1114和非易失性存储器1116在内的主存储器进行通信。易失性存储器1114可以由同步动态随机存取存储器(SDRAM)、动态随机存取存储器(DRAM)、RAMBUS动态随机存取存储器(RDRAM)和/或任何其他类型的随机存取存储器设备来实现。非易失性存储器1116可以通过闪存存储器和/或任何其他所期望的类型的存储器设备来实现。由存储器控制器来控制主存储器1114、1116的接入。
所展示的示例的处理器平台1100还包括接口电路1120。接口电路1120可以由任何类型的接口标准(如以太网接口、通用串行总线(USB)和/或PCI总线接口来实现。
在所展示的示例中,一个或多个输入设备1122连接至接口电路1120。所述(多个)输入设备1122准许用户将数据和命令输入到处理器1112中。所述(多个)输入设备可由例如音频传感器、麦克风、照相机(静物或视频)、键盘、按键、鼠标、触摸屏、轨迹板、轨迹球、等距点和/或语音识别系统来实现。
一个或多个输出设备1124也连接至所展示的示例的接口电路1120。输出设备1124可由例如显示设备(例如发光二极管(LED)、有机发光二极管(OLED)、液晶显示器、阴极射线管显示器(CRT)、触摸屏、触觉输出设备、发光二极管(LED)、打印机和/或扬声器)来实现。因而,所展示的示例的接口电路1120典型地包括图形驱动卡、图形驱动器芯片或图形驱动器处理器。
所展示的示例的接口电路1120还包括通信设备(如发射器、接收器、收发器、调制解调器和/或网络接口卡)以便经由网络1126(例如以太网连接、数字用户线(DSL)、电话线、同轴电缆、蜂窝电话系统等)促进与外部机器(例如任何种类的计算设备)的数据交换。
所展示的示例的处理器平台1100还包括用于存储软件和/或数据的一个或多个大容量存储设备1128。这种大容量存储设备1128的示例包括软盘驱动器、硬盘驱动器、致密盘驱动器、蓝光碟驱动器、RAID系统和数字多功能盘(DVD)驱动器。
图7、图8、图9和/或图10的编码指令1132可以存储在大容量存储设备1128中、在易失性存储器1114中、在非易失性存储器1116中和/或在如CD或DVD的可移除的有形计算机可读存储介质上。
在此公开的一种安全地共享数据的示例方法包括:在云服务的第一用户的第一设备处生成代表所述第一设备的驱动器的档案文件;经由处理器加密所述档案文件以形成经加密的档案文件;以及将所述经加密的档案文件传达至云服务提供方,所述经加密的档案文件将由所述云服务的第二用户的第二设备解密,所述经解密的档案文件将安装至所述第二设备的操作系统。
在一些示例中,所述方法包括:使用与所述第二用户相对应的密钥数据来包封用于加密所述档案文件的加密密钥。
在一些示例中,所述方法包括:在将所述经加密的档案文件传达至所述云服务提供方之前为所述经加密的档案文件配置所述经包封的加密密钥。
在一些示例中,所述方法包括:从所述云服务提供方接收所述密钥数据。
在一些示例中,所述方法包括:将访问指令传达至所述云服务提供方以定义对所述驱动器的内容的访问特权。
在一些示例中,所述方法包括:响应于接收与所述第二用户的所述第二设备的第二驱动器的第二数据相对应的第二经加密的档案文件,解密所述第二经加密的档案文件以生成第二经解密的档案文件;以及将所述第二经解密的档案文件安装至所述第一设备的第二操作系统。
在一些示例中,生成所述档案文件包括:生成能够安装至操作系统的ISO映像。
在此公开的一种示例有形计算机可读存储介质包括多条指令,所述指令当被执行时使得机器至少在云服务的第一用户的第一设备处生成代表所述第一设备的驱动器的档案文件;加密所述档案文件以形成经加密的档案文件;以及将所述经加密的档案文件传达至云服务提供方,所述经加密的档案文件将由所述云服务的第二用户的第二设备解密,所述经解密的档案文件将安装至所述第二设备的操作系统。
在所述存储介质的一些示例中,所述指令当被执行时使得所述机器使用与所述第二设备相对应的密钥数据来包封用于加密所述档案文件的加密密钥。
在所述存储介质的一些示例中,所述指令当被执行时使得所述机器在将所述经加密的档案文件传达至所述云服务提供方之前为所述经加密的档案文件配置所述包封加密密钥。
在所述存储介质的一些示例中,从所述云服务提供方接收所述密钥数据。
在所述存储介质的一些示例中,所述指令当被执行时使得所述机器将访问指令传达至所述云服务提供方以定义对所述驱动器的内容的访问特权。
在所述存储介质的一些示例中,所述指令当被执行时使得所述机器:响应于接收与所述第二用户的所述第二设备的第二驱动器的第二数据相对应的第二经加密的档案文件,解密所述第二经加密的档案文件以生成第二经解密的档案文件;以及将所述第二经解密的档案文件安装至所述第一设备的第二操作系统。
在所述存储介质的一些示例中,生成所述档案文件包括:生成能够安装至操作系统的ISO映像。
在此公开的一种示例装置包括:存储器,所述存储器用于存储与云服务的第一用户相关联的数据;档案生成器,所述档案生成器用于生成代表所述存储器的第一数据的档案文件;加密引擎,所述加密引擎用于加密所述档案文件以形成经加密的档案文件;以及通信器,所述通信器用于将所述经加密的档案文件传达至云服务提供方的计算设备,所述经加密的档案文件将由与所述云服务的第二用户相关联的第二计算设备解密,所述经解密的档案文件将安装所述第二计算设备的操作系统。
在一些示例中,所述装置包括可信执行环境,所述可信执行环境用于利用与所述云服务的所述第二用户相对应的密钥数据来包封由所述加密引擎用来加密所述档案文件的加密密钥。
在所述装置的一些示例中,所述可信执行环境用于在将所述经加密的档案文件传达至所述云服务提供方的所述第一计算设备之前为所述经加密的档案文件配置所述包封加密密钥。
在一些示例中,所述装置包括用户接口,所述用户接口将访问指令传达至所述云服务提供方以定义对所述存储器的所述第一数据的内容的访问特权。
在所述装置的一些示例中,所述加密引擎用于:响应于接收与所述第二计算设备的第二存储器的第二数据相对应的第二经加密的档案文件,解密所述第二经加密的档案文件以生成第二经解密的档案文件。
在一些示例中,所述装置包括安装点,所述安装点用于将所述第二经解密的档案文件安装至所述第二计算设备的操作系统。
虽然在此已经公开了某些示例方法、装置和制品,但是本专利的覆盖范围不限于此。相反,本专利覆盖完全落入本专利的权利要求书的范围内的所有方法、装置和制品。
Claims (31)
1.一种安全地共享数据的方法,所述方法包括:
在云服务的第一用户的第一设备处生成代表所述第一设备的驱动器的档案文件;
经由处理器加密所述档案文件以形成经加密的档案文件;以及
将所述经加密的档案文件传达至云服务提供方,所述经加密的档案文件将由所述云服务的第二用户的第二设备解密,所述经解密的档案文件将安装至所述第二设备的操作系统。
2.如权利要求1所述的方法,进一步包括:使用与所述第二用户相对应的密钥数据来包封用于加密所述档案文件的加密密钥。
3.如权利要求2所述的方法,进一步包括:在将所述经加密的档案文件传达至所述云服务提供方之前为所述经加密的档案文件配置所述经包封的加密密钥。
4.如权利要求2所述的方法,进一步包括:从所述云服务提供方接收所述密钥数据。
5.如权利要求1所述的方法,进一步包括:将访问指令传达至所述云服务提供方以定义对所述驱动器的内容的访问特权。
6.如权利要求1所述的方法,进一步包括:
响应于接收与所述第二用户的所述第二设备的第二驱动器的第二数据相对应的第二经加密的档案文件,解密所述第二经加密的档案文件以生成第二经解密的档案文件;以及
将所述第二经解密的档案文件安装至所述第一设备的第二操作系统。
7.如权利要求1所述的方法,其中,生成所述档案文件包括:生成能够安装至操作系统的ISO映像。
8.一种有形计算机可读存储介质,包括多条指令,所述指令当被执行时使得机器至少:
在云服务的第一用户的第一设备处生成代表所述第一设备的驱动器的档案文件;
加密所述档案文件以形成经加密的档案文件;以及
将所述经加密的档案文件传达至云服务提供方,所述经加密的档案文件将由所述云服务的第二用户的第二设备解密,所述经解密的档案文件将安装至所述第二设备的操作系统。
9.如权利要求8所述的存储介质,其中,所述指令当被执行时使得所述机器使用与所述第二设备相对应的密钥数据来包封用于加密所述档案文件的加密密钥。
10.如权利要求9所述的存储介质,其中,所述指令当被执行时使得所述机器在将所述经加密的档案文件传达至所述云服务提供方之前为所述经加密的档案文件配置所述经包封的加密密钥。
11.如权利要求9所述的存储介质,其中,所述密钥数据是从所述云服务提供方接收的。
12.如权利要求8所述的存储介质,其中,所述指令当被执行时使得所述机器将访问指令传达至所述云服务提供方以定义对所述驱动器的内容的访问特权。
13.如权利要求8所述的存储介质,其中,所述指令当被执行时使得所述机器:
响应于接收与所述第二用户的所述第二设备的第二驱动器的第二数据相对应的第二经加密的档案文件,解密所述第二经加密的档案文件以生成第二经解密的档案文件;以及
将所述第二经解密的档案文件安装至所述第一设备的第二操作系统。
14.如权利要求8所述的存储介质,其中,生成所述档案文件包括:生成能够安装至操作系统的ISO映像。
15.一种装置,包括:
存储器,所述存储器用于存储与云服务的第一用户相关联的数据;
档案生成器,所述档案生成器用于生成代表所述存储器的第一数据的档案文件;
加密引擎,所述加密引擎用于加密所述档案文件以形成经加密的档案文件;以及
通信器,所述通信器用于将所述经加密的档案文件传达至云服务提供方的计算设备,所述经加密的档案文件将由与所述云服务的第二用户相关联的第二计算设备解密,所述经解密的档案文件将安装至所述第二计算设备的操作系统。
16.如权利要求15所述的装置,进一步包括可信执行环境,所述可信执行环境用于利用与所述云服务的所述第二用户相对应的密钥数据来包封由所述加密引擎用来加密所述档案文件的加密密钥。
17.如权利要求16所述的装置,其中,所述可信执行环境用于在将所述经加密的档案文件传达至所述云服务提供方的所述第一计算设备之前为所述经加密的档案文件配置所述经包封的加密密钥。
18.如权利要求15所述的装置,进一步包括用户接口,所述用户接口将访问指令传达至所述云服务提供方以定义对所述存储器的所述第一数据的内容的访问特权。
19.如权利要求15所述的装置,其中,所述加密引擎用于:响应于接收与所述第二计算设备的第二存储器的第二数据相对应的第二经加密的档案文件,解密所述第二经加密的档案文件以生成第二经解密的档案文件。
20.如权利要求19所述的装置,进一步包括安装点,所述安装点用于将所述第二经解密的档案文件安装至所述第二计算设备的操作系统。
21.—种系统,包括:
用于存储与云服务的第一用户相关联的数据的装置;
用于生成代表所述存储器的第一数据的档案文件的装置;
用于加密所述档案文件以形成经加密的档案文件的装置;以及
用于将所述经加密的档案文件传达至云服务提供方的计算设备的装置,所述经加密的档案文件将由与所述云服务的第二用户相关联的第二计算设备解密,所述经解密的档案文件将安装至所述第二计算设备的操作系统。
22.如权利要求21所述的系统,进一步包括可信执行环境,所述可信执行环境用于利用与所述云服务的所述第二用户相对应的密钥数据来包封由所述用于加密所述档案文件的装置用来加密所述档案文件的加密密钥。
23.如权利要求22所述的系统,其中,所述可信执行环境用于在将所述经加密的档案文件传达至所述云服务提供方的所述第一计算设备之前为所述经加密的档案文件配置所述经包封的加密密钥。
24.如权利要求21所述的系统,进一步包括用于将访问指令传达至所述云服务提供方以定义对所述用于存储数据的装置的所述第一数据的内容的访问特权。
25.如权利要求21所述的系统,其中,所述用于加密所述档案文件的装置用于:响应于接收与所述第二计算设备的第二存储器的第二数据相对应的第二经加密的档案文件,解密所述第二经加密的档案文件以生成第二经解密的档案文件。
26.如权利要求21所述的系统,进一步包括用于将所述第二经解密的档案文件安装至所述第二计算设备的操作系统的装置。
27.一种装置,包括:
存储器,所述存储器包括机器可读指令;以及
处理器,所述处理器用于执行所述指令以使得机器执行包括以下各项的操作:
在云服务的第一用户的第一设备处生成代表所述第一设备的驱动器的档案文件;
加密所述档案文件以形成经加密的档案文件;以及
将所述经加密的档案文件传达至云服务提供方,所述经加密的档案文件将由所述云服务的第二用户的第二设备解密,所述经解密的档案文件将安装至所述第二设备的操作系统。
28.如权利要求27所述的装置,其中,所述操作进一步包括使用与所述第二用户相对应的密钥数据来包封用于加密所述档案文件的加密密钥。
29.如权利要求28所述的装置,其中,所述操作进一步包括在将所述经加密的档案文件传达至所述云服务提供方之前为所述经加密的档案文件配置所述经包封的加密密钥。
30.如权利要求28或29所述的装置,其中,所述操作进一步包括从所述云服务提供方接收所述密钥数据。
31.如权利要求27至30中任一项所述的装置,其中,所述操作进一步包括将访问指令传达至所述云服务提供方以定义对所述驱动器的内容的访问特权。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/230,618 | 2014-03-31 | ||
| US14/230,618 US9411975B2 (en) | 2014-03-31 | 2014-03-31 | Methods and apparatus to securely share data |
| PCT/US2015/018941 WO2015153050A1 (en) | 2014-03-31 | 2015-03-05 | Methods and apparatus to securely share data |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106063185A true CN106063185A (zh) | 2016-10-26 |
| CN106063185B CN106063185B (zh) | 2019-12-03 |
Family
ID=54190802
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580011375.0A Expired - Fee Related CN106063185B (zh) | 2014-03-31 | 2015-03-05 | 用于安全地共享数据的方法和装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US9411975B2 (zh) |
| EP (1) | EP3127274B1 (zh) |
| KR (1) | KR101811758B1 (zh) |
| CN (1) | CN106063185B (zh) |
| WO (1) | WO2015153050A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112688999A (zh) * | 2020-12-18 | 2021-04-20 | 武汉科技大学 | 云存储模式下基于TrustZone的密钥使用次数管理方法及系统 |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012048347A1 (en) * | 2010-10-08 | 2012-04-12 | Brian Lee Moffat | Private data sharing system |
| US8874935B2 (en) | 2011-08-30 | 2014-10-28 | Microsoft Corporation | Sector map-based rapid data encryption policy compliance |
| US20140344570A1 (en) | 2013-05-20 | 2014-11-20 | Microsoft Corporation | Data Protection For Organizations On Computing Devices |
| US9864972B2 (en) * | 2013-11-14 | 2018-01-09 | Wells Fargo Bank, N.A. | Vehicle interface |
| US10615967B2 (en) | 2014-03-20 | 2020-04-07 | Microsoft Technology Licensing, Llc | Rapid data protection for storage devices |
| US9411975B2 (en) | 2014-03-31 | 2016-08-09 | Intel Corporation | Methods and apparatus to securely share data |
| EP3180733A4 (en) * | 2014-08-12 | 2018-03-21 | Hewlett-Packard Development Company, L.P. | Composite document access |
| US9825945B2 (en) | 2014-09-09 | 2017-11-21 | Microsoft Technology Licensing, Llc | Preserving data protection with policy |
| US9853812B2 (en) * | 2014-09-17 | 2017-12-26 | Microsoft Technology Licensing, Llc | Secure key management for roaming protected content |
| US10318732B2 (en) * | 2014-09-18 | 2019-06-11 | Trend Micro Incorporated | Prevention of cross site scripting attacks using automatic generation of content security policy headers and splitting of content to enable content security policy |
| US9900295B2 (en) | 2014-11-05 | 2018-02-20 | Microsoft Technology Licensing, Llc | Roaming content wipe actions across devices |
| US10205710B2 (en) * | 2015-01-08 | 2019-02-12 | Intertrust Technologies Corporation | Cryptographic systems and methods |
| US10205712B2 (en) * | 2015-06-10 | 2019-02-12 | Mcafee, Llc | Sentinel appliance in an internet of things realm |
| US9853820B2 (en) | 2015-06-30 | 2017-12-26 | Microsoft Technology Licensing, Llc | Intelligent deletion of revoked data |
| US9606854B2 (en) * | 2015-08-13 | 2017-03-28 | At&T Intellectual Property I, L.P. | Insider attack resistant system and method for cloud services integrity checking |
| US20170046531A1 (en) * | 2015-08-14 | 2017-02-16 | Strong Bear Llc | Data encryption method and system for use with cloud storage |
| US9900325B2 (en) | 2015-10-09 | 2018-02-20 | Microsoft Technology Licensing, Llc | Passive encryption of organization data |
| US10334024B2 (en) | 2016-01-20 | 2019-06-25 | Samsung Electronics Co., Ltd. | Electronic communication device |
| US10681078B2 (en) | 2016-06-10 | 2020-06-09 | Sophos Limited | Key throttling to mitigate unauthorized file access |
| US10650154B2 (en) | 2016-02-12 | 2020-05-12 | Sophos Limited | Process-level control of encrypted content |
| US10791097B2 (en) * | 2016-04-14 | 2020-09-29 | Sophos Limited | Portable encryption format |
| US10686827B2 (en) | 2016-04-14 | 2020-06-16 | Sophos Limited | Intermediate encryption for exposed content |
| GB2551983B (en) | 2016-06-30 | 2020-03-04 | Sophos Ltd | Perimeter encryption |
| US11481505B2 (en) * | 2016-08-24 | 2022-10-25 | Halliburton Energy Services, Inc. | Platform services with customer data access |
| CN106506542B (zh) * | 2016-12-16 | 2019-11-22 | 清华大学 | 基于云目录的统一云存储资源共享方法及装置 |
| US10394591B2 (en) * | 2017-01-17 | 2019-08-27 | International Business Machines Corporation | Sanitizing virtualized composite services |
| US10897360B2 (en) | 2017-01-26 | 2021-01-19 | Microsoft Technology Licensing, Llc | Addressing a trusted execution environment using clean room provisioning |
| US10972265B2 (en) * | 2017-01-26 | 2021-04-06 | Microsoft Technology Licensing, Llc | Addressing a trusted execution environment |
| US10897459B2 (en) | 2017-01-26 | 2021-01-19 | Microsoft Technology Licensing, Llc | Addressing a trusted execution environment using encryption key |
| US11030289B2 (en) * | 2017-07-31 | 2021-06-08 | Stmicroelectronics, Inc. | Human presence detection |
| US10536267B2 (en) * | 2017-09-15 | 2020-01-14 | Visa International Service Association | Cryptographic services utilizing commodity hardware |
| US11157258B2 (en) * | 2017-11-16 | 2021-10-26 | Atlassian Pty Ltd. | Systems and processes for updating computer applications |
| US11018871B2 (en) | 2018-03-30 | 2021-05-25 | Intel Corporation | Key protection for computing platform |
| CN108768978B (zh) * | 2018-05-16 | 2020-12-11 | 浙江大学 | 一种基于sgx的远端存储服务方法及系统 |
| US10848498B2 (en) | 2018-08-13 | 2020-11-24 | Capital One Services, Llc | Systems and methods for dynamic granular access permissions |
| CN110120951A (zh) * | 2019-05-16 | 2019-08-13 | 西安电子科技大学 | 一种云密钥管理系统 |
| US11263310B2 (en) | 2019-11-26 | 2022-03-01 | Red Hat, Inc. | Using a trusted execution environment for a proof-of-work key wrapping scheme that verifies remote device capabilities |
| US11520878B2 (en) * | 2019-11-26 | 2022-12-06 | Red Hat, Inc. | Using a trusted execution environment for a proof-of-work key wrapping scheme that restricts execution based on device capabilities |
| WO2021141293A1 (ko) * | 2020-01-06 | 2021-07-15 | 주식회사 아미크 | 데이터의 전송 및 조회 시의 비용을 최소화하기 위한 데이터 아카이빙 방법 및 시스템 |
| KR102559290B1 (ko) * | 2020-01-06 | 2023-07-26 | 주식회사 아미크 | 하이브리드 클라우드 기반의 실시간 데이터 아카이빙 방법 및 시스템 |
| CN112613072B (zh) * | 2020-12-28 | 2024-05-28 | 江苏恒米数字科技有限公司 | 基于档案大数据的信息管理方法、管理系统及管理云平台 |
| US11784798B2 (en) * | 2021-03-30 | 2023-10-10 | Visa International Service Association | System, method, and computer program product for data security |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102014133A (zh) * | 2010-11-26 | 2011-04-13 | 清华大学 | 在云存储环境下一种安全存储系统的实现方法 |
| US20130111196A1 (en) * | 2011-10-28 | 2013-05-02 | Verizon Patent And Licensing Inc. | Booting from an encrypted iso image |
| US8572757B1 (en) * | 2012-11-30 | 2013-10-29 | nCrypted Cloud LLC | Seamless secure private collaboration across trust boundaries |
| CN103636160A (zh) * | 2011-03-07 | 2014-03-12 | 安全第一公司 | 安全文件共享方法与系统 |
Family Cites Families (132)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US682346A (en) | 1901-03-02 | 1901-09-10 | David P Sims | Leakage-guard for water-motors. |
| JPS62241040A (ja) | 1986-04-11 | 1987-10-21 | Nec Corp | ハ−ドウエア動作トレ−ス装置 |
| US6009527A (en) | 1995-11-13 | 1999-12-28 | Intel Corporation | Computer system security |
| US5919257A (en) | 1997-08-08 | 1999-07-06 | Novell, Inc. | Networked workstation intrusion detection system |
| US6263441B1 (en) | 1998-10-06 | 2001-07-17 | International Business Machines Corporation | Real-time alert mechanism for signaling change of system configuration |
| US20010011947A1 (en) | 1999-05-24 | 2001-08-09 | Muhammed Jaber | System and method for securing a computer system |
| US7231513B1 (en) | 1999-12-17 | 2007-06-12 | Intel Corporation | Dynamically linked basic input/output system |
| US6823463B1 (en) | 2000-05-16 | 2004-11-23 | International Business Machines Corporation | Method for providing security to a computer on a computer network |
| JP2002055891A (ja) | 2000-08-15 | 2002-02-20 | Hitachi Ltd | コンピュータ管理装置 |
| GB2366691B (en) | 2000-08-31 | 2002-11-06 | F Secure Oyj | Wireless device management |
| US7222233B1 (en) | 2000-09-14 | 2007-05-22 | At&T Corp. | Method for secure remote backup |
| US6983372B1 (en) | 2000-09-14 | 2006-01-03 | Micron Technology, Inc. | BIOS lock CD-ROM encode/decode driver |
| US6823464B2 (en) | 2001-02-26 | 2004-11-23 | International Business Machines Corporation | Method of providing enhanced security in a remotely managed computer system |
| US6701464B2 (en) | 2001-03-01 | 2004-03-02 | International Business Machines Corporation | Method and system for reporting error logs within a logical partition environment |
| US6848046B2 (en) | 2001-05-11 | 2005-01-25 | Intel Corporation | SMM loader and execution mechanism for component software for multiple architectures |
| US6704840B2 (en) | 2001-06-19 | 2004-03-09 | Intel Corporation | Computer system and method of computer initialization with caching of option BIOS |
| US7043587B2 (en) | 2001-09-20 | 2006-05-09 | Lenovo (Singapore) Pte. Ltd. | System and method for connecting a universal serial bus device to a host computer system |
| US7103529B2 (en) | 2001-09-27 | 2006-09-05 | Intel Corporation | Method for providing system integrity and legacy environment emulation |
| US20030070099A1 (en) | 2001-10-05 | 2003-04-10 | Schwartz Jeffrey D. | System and methods for protection of data stored on a storage medium device |
| US20030120918A1 (en) | 2001-12-21 | 2003-06-26 | Intel Corporation | Hard drive security for fast boot |
| US6633835B1 (en) | 2002-01-10 | 2003-10-14 | Networks Associates Technology, Inc. | Prioritized data capture, classification and filtering in a network monitoring environment |
| US7127579B2 (en) | 2002-03-26 | 2006-10-24 | Intel Corporation | Hardened extended firmware interface framework |
| US7343493B2 (en) | 2002-03-28 | 2008-03-11 | Lenovo (Singapore) Pte. Ltd. | Encrypted file system using TCPA |
| US20030188193A1 (en) | 2002-03-28 | 2003-10-02 | International Business Machines Corporation | Single sign on for kerberos authentication |
| JP4039660B2 (ja) | 2002-05-31 | 2008-01-30 | 株式会社東芝 | 情報処理装置 |
| TWI253567B (en) | 2002-08-06 | 2006-04-21 | Quanta Comp Inc | Method of remote controlling computers via network and architecture thereof |
| US8386797B1 (en) | 2002-08-07 | 2013-02-26 | Nvidia Corporation | System and method for transparent disk encryption |
| US7367063B1 (en) | 2002-09-17 | 2008-04-29 | Cisco Technology, Inc. | Methods and apparatus for providing security to a computerized device |
| US7337323B2 (en) | 2002-09-20 | 2008-02-26 | Safenet, Inc. | Boot-up and hard drive protection using a USB-compliant token |
| US20040064457A1 (en) | 2002-09-27 | 2004-04-01 | Zimmer Vincent J. | Mechanism for providing both a secure and attested boot |
| US8065717B2 (en) | 2002-11-27 | 2011-11-22 | Activcard | Automated security token administrative services |
| US7320052B2 (en) | 2003-02-10 | 2008-01-15 | Intel Corporation | Methods and apparatus for providing seamless file system encryption and redundant array of independent disks from a pre-boot environment into a firmware interface aware operating system |
| US7437763B2 (en) | 2003-06-05 | 2008-10-14 | Microsoft Corporation | In-context security advisor in a computing environment |
| US20050021968A1 (en) | 2003-06-25 | 2005-01-27 | Zimmer Vincent J. | Method for performing a trusted firmware/bios update |
| US7587750B2 (en) | 2003-06-26 | 2009-09-08 | Intel Corporation | Method and system to support network port authentication from out-of-band firmware |
| US7146512B2 (en) | 2003-06-30 | 2006-12-05 | Intel Corporation | Method of activating management mode through a network for monitoring a hardware entity and transmitting the monitored information through the network |
| US7324648B1 (en) | 2003-07-08 | 2008-01-29 | Copyright Clearance Center, Inc. | Method and apparatus for secure key delivery for decrypting bulk digital content files at an unsecure site |
| US7275263B2 (en) | 2003-08-11 | 2007-09-25 | Intel Corporation | Method and system and authenticating a user of a computer system that has a trusted platform module (TPM) |
| US7299354B2 (en) | 2003-09-30 | 2007-11-20 | Intel Corporation | Method to authenticate clients and hosts to provide secure network boot |
| US20050114686A1 (en) | 2003-11-21 | 2005-05-26 | International Business Machines Corporation | System and method for multiple users to securely access encrypted data on computer system |
| US20050125648A1 (en) | 2003-12-05 | 2005-06-09 | Luciani Luis E.Jr. | System for establishing hardware-based remote console sessions and software-based remote console sessions |
| US20050144609A1 (en) | 2003-12-12 | 2005-06-30 | Intel Corporation | Methods and apparatus to provide a robust code update |
| US8281114B2 (en) | 2003-12-23 | 2012-10-02 | Check Point Software Technologies, Inc. | Security system with methodology for defending against security breaches of peripheral devices |
| US7840763B2 (en) | 2004-03-12 | 2010-11-23 | Sca Technica, Inc. | Methods and systems for achieving high assurance computing using low assurance operating systems and processes |
| US20050228993A1 (en) | 2004-04-12 | 2005-10-13 | Silvester Kelan C | Method and apparatus for authenticating a user of an electronic system |
| US20050262361A1 (en) | 2004-05-24 | 2005-11-24 | Seagate Technology Llc | System and method for magnetic storage disposal |
| US20060021018A1 (en) | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for enabling trust infrastructure support for federated user lifecycle management |
| US20060037074A1 (en) | 2004-08-16 | 2006-02-16 | Inventec Corporation | Computer platform external communication port access authorization method and interface |
| JP4562464B2 (ja) | 2004-09-07 | 2010-10-13 | 富士通株式会社 | 情報処理装置 |
| US20060075230A1 (en) | 2004-10-05 | 2006-04-06 | Baird Leemon C Iii | Apparatus and method for authenticating access to a network resource using multiple shared devices |
| US8332653B2 (en) | 2004-10-22 | 2012-12-11 | Broadcom Corporation | Secure processing environment |
| WO2006071380A2 (en) | 2004-11-12 | 2006-07-06 | Pufco, Inc. | Securely field configurable device |
| US8619971B2 (en) | 2005-04-01 | 2013-12-31 | Microsoft Corporation | Local secure service partitions for operating system security |
| US20060230030A1 (en) | 2005-04-12 | 2006-10-12 | Volpa Peter J | Method and system for accessing and viewing files on mobile devices |
| US7660913B2 (en) | 2005-04-20 | 2010-02-09 | Intel Corporation | Out-of-band platform recovery |
| US8972743B2 (en) | 2005-05-16 | 2015-03-03 | Hewlett-Packard Development Company, L.P. | Computer security system and method |
| US7624279B2 (en) | 2005-06-29 | 2009-11-24 | Lenovo Singapore Pte. Ltd. | System and method for secure O.S. boot from password-protected HDD |
| US20070006307A1 (en) | 2005-06-30 | 2007-01-04 | Hahn Scott D | Systems, apparatuses and methods for a host software presence check from an isolated partition |
| US7711953B2 (en) | 2005-08-10 | 2010-05-04 | Hewlett-Packard Development Company, L.P. | Methods and systems that selectively permit changes to a cryptographic hardware unit's state |
| US20070061879A1 (en) | 2005-09-15 | 2007-03-15 | Dailey James E | System and method for managing information handling system hard disk drive password protection |
| KR100705380B1 (ko) | 2005-10-19 | 2007-04-10 | (주)이월리서치 | 보안 컴퓨터 시스템을 이용하여 정보 유출을 방지하는 방법 |
| US7693838B2 (en) | 2005-11-12 | 2010-04-06 | Intel Corporation | Method and apparatus for securely accessing data |
| US7844829B2 (en) * | 2006-01-18 | 2010-11-30 | Sybase, Inc. | Secured database system with built-in antivirus protection |
| US20070174429A1 (en) | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
| US20070180167A1 (en) | 2006-02-02 | 2007-08-02 | Seagate Technology Llc | Dynamic partition mapping in a hot-pluggable data storage apparatus |
| US8205238B2 (en) | 2006-03-30 | 2012-06-19 | Intel Corporation | Platform posture and policy information exchange method and apparatus |
| US7703126B2 (en) | 2006-03-31 | 2010-04-20 | Intel Corporation | Hierarchical trust based posture reporting and policy enforcement |
| US8122258B2 (en) | 2006-05-22 | 2012-02-21 | Hewlett-Packard Development Company, L.P. | System and method for secure operating system boot |
| US8667273B1 (en) | 2006-05-30 | 2014-03-04 | Leif Olov Billstrom | Intelligent file encryption and secure backup system |
| US7818255B2 (en) | 2006-06-02 | 2010-10-19 | Microsoft Corporation | Logon and machine unlock integration |
| WO2008009112A1 (en) | 2006-07-18 | 2008-01-24 | Certicom Corp. | System and method for authenticating a gaming device |
| TWI470989B (zh) | 2006-08-22 | 2015-01-21 | Interdigital Tech Corp | 在應用及網際網路為基礎服務上提供信任單一登入存取方法及裝置 |
| US7900252B2 (en) | 2006-08-28 | 2011-03-01 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for managing shared passwords on a multi-user computer |
| US7900058B2 (en) | 2006-08-31 | 2011-03-01 | Intel Corporation | Methods and arrangements for remote communications with a trusted platform module |
| JP2008108227A (ja) | 2006-09-25 | 2008-05-08 | Hitachi Ltd | ストレージシステム及び監査ログ管理方法 |
| US7941847B2 (en) | 2006-09-26 | 2011-05-10 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for providing a secure single sign-on to a computer system |
| US9262602B2 (en) | 2006-09-29 | 2016-02-16 | Hewlett-Packard Development Company, L.P. | Extensible bios interface to a preboot authentication module |
| US7689817B2 (en) | 2006-11-16 | 2010-03-30 | Intel Corporation | Methods and apparatus for defeating malware |
| JP5291628B2 (ja) | 2006-11-28 | 2013-09-18 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | シードが与えられる任意数を生成する方法 |
| WO2008070857A1 (en) | 2006-12-07 | 2008-06-12 | Mobile Armor, Llc | Real-time checking of online digital certificates |
| US20080162809A1 (en) | 2006-12-28 | 2008-07-03 | Rothman Michael A | Operating system-independent remote accessibility to disk storage |
| US20080288782A1 (en) | 2007-05-18 | 2008-11-20 | Technology Properties Limited | Method and Apparatus of Providing Security to an External Attachment Device |
| US8307217B2 (en) | 2007-02-02 | 2012-11-06 | Lee Lane W | Trusted storage |
| WO2008109150A1 (en) | 2007-03-06 | 2008-09-12 | Secude International | System and method for providing secure authentication of devices awakened from powered sleep state |
| US7779220B1 (en) | 2007-03-15 | 2010-08-17 | Quantum Corporation | Password-based media cartridge authentication |
| US7917741B2 (en) | 2007-04-10 | 2011-03-29 | Standard Microsystems Corporation | Enhancing security of a system via access by an embedded controller to a secure storage device |
| US8290150B2 (en) | 2007-05-11 | 2012-10-16 | Validity Sensors, Inc. | Method and system for electronically securing an electronic device using physically unclonable functions |
| US20110002461A1 (en) | 2007-05-11 | 2011-01-06 | Validity Sensors, Inc. | Method and System for Electronically Securing an Electronic Biometric Device Using Physically Unclonable Functions |
| US9158920B2 (en) | 2007-06-28 | 2015-10-13 | Intel Corporation | System and method for out-of-band assisted biometric secure boot |
| EP2183695B1 (en) | 2007-07-20 | 2014-11-12 | Nxp B.V. | Device with a secure virtual machine |
| US7934096B2 (en) | 2007-07-27 | 2011-04-26 | Microsoft Corporation | Integrity protected smart card transaction |
| US7827371B2 (en) | 2007-08-30 | 2010-11-02 | Intel Corporation | Method for isolating third party pre-boot firmware from trusted pre-boot firmware |
| US20090067685A1 (en) | 2007-09-07 | 2009-03-12 | Authentec, Inc. | Finger sensing apparatus using template watermarking and associated methods |
| US20090067688A1 (en) | 2007-09-07 | 2009-03-12 | Authentec, Inc. | Finger sensing apparatus with credential release and associated methods |
| US20090070593A1 (en) | 2007-09-07 | 2009-03-12 | Authentec, Inc. | Finger sensing apparatus using unique session key and associated methods |
| US9178884B2 (en) | 2007-09-07 | 2015-11-03 | Intel Corporation | Enabling access to remote entities in access controlled networks |
| US8782396B2 (en) | 2007-09-19 | 2014-07-15 | Verayo, Inc. | Authentication with physical unclonable functions |
| US8516566B2 (en) | 2007-10-25 | 2013-08-20 | Apple Inc. | Systems and methods for using external authentication service for Kerberos pre-authentication |
| US8056127B2 (en) | 2007-10-31 | 2011-11-08 | International Business Machines Corporation | Accessing password protected devices |
| US20100023782A1 (en) | 2007-12-21 | 2010-01-28 | Intel Corporation | Cryptographic key-to-policy association and enforcement for secure key-management and policy execution |
| US8583908B2 (en) | 2007-12-31 | 2013-11-12 | Intel Corporation | Enhanced network and local boot of Unified Extensible Firmware Interface images |
| US8566600B2 (en) | 2008-02-29 | 2013-10-22 | Lenovo (Singapore) Pte. Ltd. | Password management outside of a BIOS |
| US8327415B2 (en) | 2008-05-30 | 2012-12-04 | Intel Corporation | Enabling byte-code based image isolation |
| US8909940B2 (en) | 2008-06-23 | 2014-12-09 | Intel Corporation | Extensible pre-boot authentication |
| US8201239B2 (en) | 2008-06-23 | 2012-06-12 | Intel Corporation | Extensible pre-boot authentication |
| US20100011350A1 (en) | 2008-07-14 | 2010-01-14 | Zayas Fernando A | Method And System For Managing An Initial Boot Image In An Information Storage Device |
| TW201007469A (en) | 2008-08-15 | 2010-02-16 | Asustek Comp Inc | Computer with remote mangement system |
| US8332604B2 (en) | 2008-09-30 | 2012-12-11 | Intel Corporation | Methods to securely bind an encryption key to a storage device |
| US8341430B2 (en) | 2008-10-03 | 2012-12-25 | Microsoft Corporation | External encryption and recovery management with hardware encrypted storage devices |
| US8856512B2 (en) | 2008-12-30 | 2014-10-07 | Intel Corporation | Method and system for enterprise network single-sign-on by a manageability engine |
| US8103883B2 (en) | 2008-12-31 | 2012-01-24 | Intel Corporation | Method and apparatus for enforcing use of danbury key management services for software applied full volume encryption |
| US8161260B2 (en) | 2009-02-09 | 2012-04-17 | Oracle International Corporation | Optimal memory allocation for guested virtual machine(s) |
| US8935382B2 (en) | 2009-03-16 | 2015-01-13 | Microsoft Corporation | Flexible logging, such as for a web server |
| US8504693B2 (en) | 2009-05-26 | 2013-08-06 | Intel Corporation | Method and apparatus for operating system streaming |
| US8588422B2 (en) | 2009-05-28 | 2013-11-19 | Novell, Inc. | Key management to protect encrypted data of an endpoint computing device |
| US8955108B2 (en) | 2009-06-17 | 2015-02-10 | Microsoft Corporation | Security virtual machine for advanced auditing |
| US20110040980A1 (en) | 2009-08-12 | 2011-02-17 | Apple Inc. | File Management Safe Deposit Box |
| US20110154023A1 (en) | 2009-12-21 | 2011-06-23 | Smith Ned M | Protected device management |
| WO2011089143A1 (en) | 2010-01-20 | 2011-07-28 | Intrinsic Id B.V. | Device and method for obtaining a cryptographic key |
| US8589680B2 (en) * | 2010-04-07 | 2013-11-19 | Apple Inc. | System and method for synchronizing encrypted data on a device having file-level content protection |
| US20120011565A1 (en) | 2010-07-06 | 2012-01-12 | Garlie James M | System and method for storing and providing access to secured information |
| US10482254B2 (en) | 2010-07-14 | 2019-11-19 | Intel Corporation | Domain-authenticated control of platform resources |
| US8966600B2 (en) | 2010-12-22 | 2015-02-24 | Intel Corporation | Method, apparatus and system for controlling access to computer platform resources |
| US20120179904A1 (en) | 2011-01-11 | 2012-07-12 | Safenet, Inc. | Remote Pre-Boot Authentication |
| US8849762B2 (en) * | 2011-03-31 | 2014-09-30 | Commvault Systems, Inc. | Restoring computing environments, such as autorecovery of file systems at certain points in time |
| US8892866B2 (en) | 2011-09-26 | 2014-11-18 | Tor Anumana, Inc. | Secure cloud storage and synchronization systems and methods |
| US8700916B2 (en) | 2011-12-02 | 2014-04-15 | Cisco Technology, Inc. | Utilizing physically unclonable functions to derive device specific keying material for protection of information |
| EP2831792B1 (en) | 2012-03-30 | 2020-12-30 | Intel Corporation | Providing an immutable antivirus payload for internet ready compute nodes |
| US8732456B2 (en) | 2012-04-13 | 2014-05-20 | General Electric Company | Enterprise environment disk encryption |
| US10079678B2 (en) | 2012-07-24 | 2018-09-18 | Intel Corporation | Providing access to encrypted data |
| US8938481B2 (en) * | 2012-08-13 | 2015-01-20 | Commvault Systems, Inc. | Generic file level restore from a block-level secondary copy |
| US9411975B2 (en) | 2014-03-31 | 2016-08-09 | Intel Corporation | Methods and apparatus to securely share data |
-
2014
- 2014-03-31 US US14/230,618 patent/US9411975B2/en active Active
-
2015
- 2015-03-05 WO PCT/US2015/018941 patent/WO2015153050A1/en active Application Filing
- 2015-03-05 KR KR1020167023881A patent/KR101811758B1/ko active IP Right Grant
- 2015-03-05 CN CN201580011375.0A patent/CN106063185B/zh not_active Expired - Fee Related
- 2015-03-05 EP EP15773683.6A patent/EP3127274B1/en active Active
-
2016
- 2016-06-30 US US15/198,508 patent/US9912645B2/en not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102014133A (zh) * | 2010-11-26 | 2011-04-13 | 清华大学 | 在云存储环境下一种安全存储系统的实现方法 |
| CN103636160A (zh) * | 2011-03-07 | 2014-03-12 | 安全第一公司 | 安全文件共享方法与系统 |
| US20130111196A1 (en) * | 2011-10-28 | 2013-05-02 | Verizon Patent And Licensing Inc. | Booting from an encrypted iso image |
| US8572757B1 (en) * | 2012-11-30 | 2013-10-29 | nCrypted Cloud LLC | Seamless secure private collaboration across trust boundaries |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112688999A (zh) * | 2020-12-18 | 2021-04-20 | 武汉科技大学 | 云存储模式下基于TrustZone的密钥使用次数管理方法及系统 |
| CN112688999B (zh) * | 2020-12-18 | 2022-10-11 | 武汉科技大学 | 云存储模式下基于TrustZone的密钥使用次数管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101811758B1 (ko) | 2018-01-25 |
| CN106063185B (zh) | 2019-12-03 |
| EP3127274A1 (en) | 2017-02-08 |
| US9912645B2 (en) | 2018-03-06 |
| EP3127274B1 (en) | 2019-08-07 |
| US20160315917A1 (en) | 2016-10-27 |
| EP3127274A4 (en) | 2017-09-06 |
| WO2015153050A1 (en) | 2015-10-08 |
| US20150278531A1 (en) | 2015-10-01 |
| KR20160117528A (ko) | 2016-10-10 |
| US9411975B2 (en) | 2016-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106063185B (zh) | 用于安全地共享数据的方法和装置 | |
| JP6941146B2 (ja) | データセキュリティサービス | |
| US11271910B2 (en) | Techniques for shared private data objects in a trusted execution environment | |
| US11468151B2 (en) | System and method for memetic authentication and identification | |
| US9946895B1 (en) | Data obfuscation | |
| US10521595B2 (en) | Intelligent storage devices with cryptographic functionality | |
| US10284372B2 (en) | Method and system for secure management of computer applications | |
| US8954758B2 (en) | Password-less security and protection of online digital assets | |
| US8997198B1 (en) | Techniques for securing a centralized metadata distributed filesystem | |
| US9054865B2 (en) | Cryptographic system and methodology for securing software cryptography | |
| US11042652B2 (en) | Techniques for multi-domain memory encryption | |
| US11025420B2 (en) | Stateless service-mediated security module | |
| CN109076054B (zh) | 用于管理单点登录应用程序的加密密钥的系统和方法 | |
| WO2020123926A1 (en) | Decentralized computing systems and methods for performing actions using stored private data | |
| US9864853B2 (en) | Enhanced security mechanism for authentication of users of a system | |
| CN118260264A (zh) | 一种用于分布式文件系统的用户友好型加密存储系统及方法 | |
| US10462113B1 (en) | Systems and methods for securing push authentications | |
| WO2015154469A1 (zh) | 数据库的操作方法及装置 | |
| Zhao et al. | Feasibility of deploying biometric encryption in mobile cloud computing | |
| Vanitha et al. | Data sharing: Efficient distributed accountability in cloud using third party auditor | |
| CN117997654B (zh) | 边缘计算架构中的数据处理方法、装置和计算机设备 | |
| WO2013038418A1 (en) | System and method to authorize the access of the service to an end user | |
| Lamba et al. | An approach for ensuring security in cloud environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20191203 Termination date: 20210305 |