CN107750363A - 保护与硬件加速器的通信以增加工作流安全性 - Google Patents
保护与硬件加速器的通信以增加工作流安全性 Download PDFInfo
- Publication number
- CN107750363A CN107750363A CN201680035738.9A CN201680035738A CN107750363A CN 107750363 A CN107750363 A CN 107750363A CN 201680035738 A CN201680035738 A CN 201680035738A CN 107750363 A CN107750363 A CN 107750363A
- Authority
- CN
- China
- Prior art keywords
- hardware accelerator
- computing device
- encryption
- hardware
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 131
- 238000012545 processing Methods 0.000 claims abstract description 77
- 238000000034 method Methods 0.000 claims abstract description 59
- 230000008569 process Effects 0.000 claims abstract description 46
- 238000003860 storage Methods 0.000 claims description 50
- 230000004044 response Effects 0.000 claims description 8
- 238000012423 maintenance Methods 0.000 claims description 3
- 238000009877 rendering Methods 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 10
- 230000009471 action Effects 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 7
- 238000004422 calculation algorithm Methods 0.000 description 4
- 230000006855 networking Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000005611 electricity Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 229910052710 silicon Inorganic materials 0.000 description 2
- 239000010703 silicon Substances 0.000 description 2
- CDFKCKUONRRKJD-UHFFFAOYSA-N 1-(3-chlorophenoxy)-3-[2-[[3-(3-chlorophenoxy)-2-hydroxypropyl]amino]ethylamino]propan-2-ol;methanesulfonic acid Chemical compound CS(O)(=O)=O.CS(O)(=O)=O.C=1C=CC(Cl)=CC=1OCC(O)CNCCNCC(O)COC1=CC=CC(Cl)=C1 CDFKCKUONRRKJD-UHFFFAOYSA-N 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Advance Control (AREA)
- Storage Device Security (AREA)
Abstract
为了保护客户数据并为由客户请求的处理提供增加的工作流安全性,可以在客户与一个或多个硬件加速器之间建立安全通信信道,使得甚至从安全通信信道排除运行在托管这种硬件加速器的主计算设备上的过程。加密比特流被提供给硬件加速器并且硬件加速器从中获得支持与客户的安全通信信道的加密信息。这种加密信息排他地从硬件加速器内被存储并且使用,致使其对于运行在主计算设备上的过程不可访问。加密信息可以为共享秘密、一对加密密钥中的合适的加密密钥、或者其他类似的加密信息。类似地,加密比特流可以包括加密信息、由硬件加速器的处理电路可执行以得到这种加密信息的计算机可执行指令、或其组合。
Description
背景技术
现代计算机联网硬件使得物理上分离的计算设备能够以比先前代联网硬件可能的数量级更快的数量级来彼此通信。因此,在远离请求这种处理的用户的位置处执行数字数据处理或者代表其执行这种处理已经变得更实际。大量数据处理能力被聚集到包括专用硬件和支持系统的中央位置中,其包括通常安装在垂直取向的机架中的成百上千个计算设备。计算设备以及支持这种计算设备必要的相关联的硬件以及容纳计算设备和相关联的硬件的物理结构的这种汇集通常被称为“数据中心”。通过聚集计算设备和专用硬件,数据中心可以向其客户提供处理服务,以及与这种客户为了独立地获取这种处理和支持服务将必须支付的成本相比有利的成本。然而,数据中心的客户通常独立于提供数据中心的实体。因此,这种客户可以寻求关于这种客户的机密数据的安全性的保证,例如以与数据中心的操作者的协议的形式。
发明内容
专门处理设备可以包括处理电路,其被预先配置为比一般中央处理单元更快地执行计算操作的离散集合。硬件加速器可以包括一个或多个这种专门处理设备,并且它们的使用可以对在数据中心处执行处理的客户有利,使得这种客户可以处理要更快地且通常以更低的总功耗被执行的请求。为了保护客户数据并为由客户请求的处理提供增加的工作流安全性,可以在客户与一个或多个硬件加速器之间建立安全通信信道,使得甚至从安全通信信道排除运行在托管这种硬件加速器的主计算设备上的过程。加密比特流可以被提供给硬件加速器,硬件加速器可以通过加密比特流获得加密信息,利用加密信息来建立与客户的安全通信信道。这种加密信息被存储和维持在硬件加速器内,并且由此对于运行在主计算设备上的过程不可访问。加密信息可以为共享秘密、一对加密密钥中的合适的加密密钥、或者其他类似的加密信息。类似地,加密比特流可以包括加密信息、由硬件加速器的处理电路可执行以得到这种加密信息的计算机可执行指令、或其组合。加密比特流可以利用个体硬件加速器的唯一密钥来被加密,其可以被物理编码为硬件加速器的一部分并且可以由受信第三方验证。如果客户要求与附加硬件加速器的安全通信信道,诸如以增加处理能力或负载平衡,则可以以与原先在客户与初始硬件加速器之间建立的类似方式在数据中心中的个体硬件加速器之间交换必要的加密信息。
提供本发明内容从而以简化的形式介绍下面在具体实施方式中进一步描述的一系列概念。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。
附加特征和优点将从参考附图进行的以下详细描述变得明显。
附图说明
以下详细描述可以在结合附图进行时得到最好地理解,在附图中:
图1是包括示例性硬件加速器的示例性计算设备的框图;
图2是包括向个体硬件加速器提供安全通信信道的示例性数据中心的示例性系统的框图;
图3是对到硬件加速器的安全通信信道的示例性建立的通信流程图;
图4是通过已经与之建立了安全通信信道的硬件加速器对到另一硬件加速器的后续安全通信信道的示例性建立的通信流程图;以及
图5是对到硬件加速器的安全通信信道的示例性建立的流程图。
具体实施方式
以下描述涉及通过在数据中心的客户端与由数据中心的计算设备托管的硬件加速器之间直接建立安全通信信道来在数据中心上下文中保护工作流的处理并且增加它们的安全性。硬件加速器可以包括专门处理设备,专门处理设备可以包括被预先配置为比一般中央处理单元更快地执行计算操作的离散集合的处理电路。加密比特流可以被提供给硬件加速器,硬件加速器可以加密比特流获得加密信息,利用加密信息来建立与客户的安全通信信道。这种加密信息被存储和维持在硬件加速器内并且由此对于运行在主计算设备上的过程不可访问。加密信息可以为共享秘密、一对加密密钥中的合适的加密密钥、或者其他类似的加密信息。类似地,加密比特流可以包括加密信息、由硬件加速器的处理电路可执行以得到这种加密信息的计算机可执行指令、或其组合。加密比特流可以利用个体硬件加速器的唯一密钥来被加密,其可以被物理编码为硬件加速器的一部分并且可以由受信第三方验证。如果客户要求与附加硬件加速器的安全通信信道,诸如以增加处理能力或负载平衡,则可以以与原先在客户与初始硬件加速器之间建立的类似方式在数据中心中的个体硬件加速器之间交换必要的加密信息。
本文描述的技术参考硬件加速器,例如包括定制的、通常任务特定的、处理电路,其通常比通用中央处理单元更快且高效地执行特定处理任务。然而,所描述的机制不限于所描述的特定硬件加速器,并且可以与任何其他处理单元、或者多个处理单元的组合一起被利用,然而描绘了以加速方式来执行计算或处理任务。
如本文所使用的,术语“硬件加速器”意指处理电路的任何汇集,其被特别优化以执行计算机处理操作的离散子集或者运行计算机可执行指令的离散子集,使得计算结果由硬件加速器在比未被如此特别优化的通用中央处理单元取得相同计算结果所用的处理时间更短的处理时间持续时间中取得。因此,如本文中所使用的,形容词“特别优化的”意味着在通过硬件加速器对计算机处理操作的离散子集的执行之前,或者在通过硬件加速器对计算机可执行指令的离散子集的运行之前,实现逻辑功能的硬件加速器的物理电路被配置、制造或修改以执行计算机处理操作的离散子集或者运行计算机可执行指令的离散子集,以排除其他计算机处理操作或其他计算机可执行指令。在这种配置或修改在硬件加速器已经被制造之后出现的程度上,这种硬件加速器将在本文中被称为“可配置”。因此,如本文中所使用的,如被应用到硬件加速器的术语“可配置”意指如下硬件加速器,该硬件加速器的实现逻辑功能的物理电路可以在硬件加速器已经被制造之后被配置或修改以执行计算机处理操作的离散子集或者运行计算机可执行指令的离散子集,以排除其他计算机处理操作或其他计算机可执行指令。相对地,如本文中所使用的,术语“通用中央处理单元”意指如下中央处理单元,与提供二元数据的临时存储的物理电路相反,该中央处理单元的实现逻辑功能的物理电路保持不变并且可以运行针对这种中央处理单元编程的任何计算机可执行指令。附加地,如本文中所使用的,术语“处理单元”和“处理电路”意指能够运行计算机可执行指令或执行计算机处理操作的一个或多个硬件电路的汇集。
尽管不要求,但是下面的描述将在由计算设备执行的诸如程序模块的计算机可执行指令的总体背景下。更特别地,除非另行指示,描述将参考动作和由一个或多个计算设备或外围设备执行的操作的符号表示。因此,将理解,有时被称为被计算机执行的这种动作和操作包括由处理单元对以结构化形式表示数据的电信号的操纵。该操纵转换数据或者将其维持在存储器中的位置处,其以本领域技术人员公知的方式来重新配置或以其他方式更改计算设备或外围设备的操作。维持数据的数据结构是具有由数据的格式定义的特定属性的物理位置。
总体上,程序模块包括例程、程序、对象、部件、数据结构等,其执行特定任务或实现特定抽象数据类型。此外,本领域技术人员将认识到,计算设备不需要限于常规个人计算机,并且包括其他计算配置,包括手持设备、多处理器系统、基于微处理器的或者可编程消费电子、网络PC、服务器、微型计算机、大型计算机等。类似地,计算设备不需要限于独立计算设备,因为机制还可以被实践在分布式计算环境中,在分布式计算环境中任务由通过通信网络链接的远程处理设备执行。在分布式计算环境中,程序模块可以被定位在本地存储器存储设备和远程存储器存储设备两者中。
参考图1,图示了示例性计算设备100,其能够执行下面描述的机制和动作中的一些或全部。诸如下面将描述的,示例性计算设备100可以包括常规计算硬件,并且可以可选地包括硬件加速器,诸如示例性硬件加速器150,其在图1中经由虚线被图示以指示其是可选部件。如先前所指示的,硬件加速器包括处理电路,其被特别优化以执行计算机处理操作的离散子集、或者运行计算机可执行指令的离散子集,该执行或运行以加速方式进行或者比这种操作将由未被如此特别优化的通用或一般中央处理单元(例如一个或多个中央处理单元(CPU)120之一)的执行或者这种指令将由未被如此特别优化的通用或一般中央处理单元的执行具有更高效的功率利用。
出于说明的目的,图1中示出的示例性硬件加速器150被图示为包括多个集成电路,诸如示例性集成电路151和152。这种集成电路可以包括专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他超大规模集成电路(VLSI)。示例性硬件加速器150的集成电路151和152可以被特别优化从而以加速方式来执行计算机处理操作的离散子集或者运行计算机可执行指令的离散子集。例如,示例性硬件加速器150可以被优化以执行视频压缩。作为另一示例,示例性硬件加速器150可以被优化以运行特定排序算法。在这种实例中,示例性硬件加速器150的各种集成电路151和152可以被配置或被制造,使得执行逻辑操作的物理电路被配置或制造为特别执行计算机处理操作的离散集合,其实现例如视频压缩算法或作为另一示例的排序算法。通过特定于硬件的示例,FPGA的门阵列可以具有被应用到特定门的具体电压,以便将这些门配置为执行导致一个或多个特定计算机处理操作的执行的逻辑操作,一个或多个特定计算机处理操作诸如实现视频压缩或排序算法的那些计算机处理操作。因此,如本文中所使用的,如下面明确定义的,术语“计算机可读介质”和“计算机存储介质”包括硬件加速器(诸如示例性硬件加速器150)的电路。类似地,如本文中所使用的,术语“计算机可执行指令”包括诸如通过建立或向特定电路元件应用特定电压而对电路的配置,其使得这种电路能够根据这种计算机可执行指令来执行计算机处理操作。
转到示例性计算设备100的除了示例性CPU 120和示例性硬件加速器150的剩余部分,示例性计算设备100还可以包括系统存储器130以及系统总线121,系统总线121将包括系统存储器的各种系统部件耦合到处理单元120和硬件加速器150。系统总线121可以是若干类型的总线结构中的任一种,包括存储器总线或者存储器控制器、外围总线和使用各种总线体系结构中的任一种的本地总线。取决于特定物理实施方式,CPU 120、硬件加速器150、系统存储器130以及计算设备100的其他部件中的一项或多项可以在物理上被共同定位,诸如在单个芯片、或者硅裸片、或者单个电路板上。在这种情况下,系统总线121中的一些或全部可以仅是单个芯片结构内或者单个裸片上的硅通路,并且其在图1中的图示可以仅是出于说明的目的而方便标记的。
计算设备100通常还包括计算机可读介质,其可以包括能够由计算设备100访问的并且包括易失性介质和非易失性介质以及可移除介质和不可移除介质两者的任何可用介质。通过举例而非限制的方式,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以任何方法或技术实现的用于存储信息的介质,信息诸如计算机可读指令、数据结构、程序模块或其他数据。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多用盘(DVD)或其他光学盘存储装置、磁带盒、磁带、磁盘存储装置或其他磁性存储设备、或者能够被用于存储期望信息并且能够由计算设备100访问的任何其他介质。然而,计算机存储介质不包括通信介质。通信介质通常体现计算机可读介质、数据结构、程序模块或诸如载波或其他传输介质的经调制的数据信号中的其他数据,并且包括任何信息递送介质。通过举例而非限制的方式,通信介质包括诸如有线网络或直接有线连接的有线介质,以及诸如声学、RF、红外和其他无线介质的无线介质。以上中的任何组合还应当被包括在计算机可读介质的范围内。
系统存储器130包括以易失性存储器和/或非易失性存储器的形式的计算机存储介质,诸如只读存储器(ROM)131和随机访问存储器(RAM)132。包含有助于在计算设备100内的各元件之间传递信息(诸如在启动期间)的基本例程的基本输入/输出系统133(BIOS)通常被存储在ROM 131中。RAM 132通常包含处理单元120可直接访问的和/或当前由处理单元120对其操作的数据和/或程序模块。通过示例而非限制的方式,图1图示了操作系统134、其他程序模块135以及程序数据136。
计算设备100还可以包括其他可移除/不可移除、易失性/非易失性计算机存储介质。仅通过示例的方式,图1图示了从不可移除非易失性磁性介质读取或者向其写入的硬盘驱动器141。可以与示例性计算设备一起使用的其他可移除/不可移除、易失性/非易失性计算机存储介质包括但不限于磁带盒、闪存卡、数字多用盘、数字视频带、固态RAM、固态ROM以及其他计算机存储介质,如以上所定义和描绘的。硬盘驱动器141通常通过诸如接口140的非易失性存储器接口连接到系统总线121。
以上讨论的并且在图1中图示的驱动器及其相关联的计算机存储介质为计算设备100提供计算机可读指令、数据结构、程序模块或其他数据的存储。在图1中,例如,硬盘驱动器141被图示为存储操作系统144、其他程序模块145、以及程序数据146。要指出,这些部件可以与操作系统134、其他程序模块135和程序数据136相同或者不同。这里,操作系统144、其他程序模块145、以及程序数据146被给予不同的编号以至少说明它们是不同的副本。
计算设备100可以在使用到一个或多个远程计算机的逻辑连接的联网环境中操作。计算设备100被图示为通过网络接口或适配器170连接到一般网络连接171,网络接口或适配器170继而连接到系统总线121。在联网环境中,关于计算设备100或其部分或外围设备而描绘的程序模块可以被存储在一个或多个其他计算设备的存储器中,一个或多个其他计算设备通过一般网络连接171通信耦合到计算设备100。将认识到,所示的网络连接是示例性的,并且可以使用在计算设备之间建立通信链接的其他方式。
尽管被描绘为单个物理设备,但是示例性计算设备100可以是虚拟计算设备,在这种情况下诸如CPU 120、系统存储器130、网络接口170以及其他类似部件的上述物理部件的功能可以由计算机可执行指令提供。这种计算机可执行指令可以运行在单个物理计算设备上,或者可以跨多个物理计算设备而被分布,包括以动态方式跨多个物理计算设备被分布,使得托管这种计算机可执行指令的特定物理计算设备能够取决于需求和可用性而随时间动态变化。在其中示例性计算设备100为虚拟化设备的情况下,托管这种虚拟化计算设备的底层物理计算设备本身可以包括与以上描述的物理部件类似的并且以类似的方式操作的物理部件。另外,虚拟计算设备可以在多层中被利用,其中一个虚拟计算设备在另一虚拟计算设备的构造内被执行。因此,如本文所使用的,术语“计算设备”意指物理计算设备或包括虚拟计算设备的虚拟化计算环境,在虚拟计算设备内计算机可执行指令可以以与物理计算设备对它们的执行一致的方式来被执行。类似地,如本文所使用的,称为计算设备的物理部件的术语意指执行相同或等效功能的那些物理部件或其虚拟化。
根据一个方面,计算设备100可以为数据中心的上下文内的服务器计算设备。因此,并且转到图2,其中示出的示例性系统200图示了诸如通常将在数据中心中发现的、以在示例性数据中心201的上下文内图示的示例性机箱210的形式的多计算设备机箱。附加地,图2的示例性系统200还图示了以示例性中央控制计算设备250的形式的单独的控制计算设备,其可以通过网络(诸如以上描述的网络179)被通信耦合到示例性机箱210。示例性中央控制计算设备250可以与示例性机箱210共同定位在诸如如图2所示的示例性数据中心201内。备选地,示例性中央控制计算设备250可以被远程地定位在诸如中央控制位置中。多个中央控制计算设备可以在数据中心的计算设备上施加层级控制,并且在这种示例中,一些中央控制计算设备可以被共同定位在数据中心本身内,诸如示例性数据中心201中示出的示例性中央控制计算设备250,而中央控制计算设备中的其他中央控制计算设备可以被远程地定位。
如图2的系统200所图示的,示例性机箱210可以包括一个或多个服务器刀片,例如示例性服务器刀片220和230。如本领域技术人员将意识到的,服务器刀片可以为服务器计算设备,其具有与以上详细描述的并且在图1中图示的示例性计算设备100的部件中的至少一些类似的部件,除了这种服务器计算设备可以以“刀片”的形式或者其他物理布置被物理配置,在其他物理布置中部件沿着两个维度被展开,由此促进多个这种服务器计算设备在单个机箱(诸如示例性机箱210)内的堆叠。为了简化图示,图2仅图示了在其中示出的示例性服务器刀片220和230的CPU和硬件加速器,即CPU 221和硬件加速器222以及硬件加速器222和232,而非示出服务器刀片的每个部件。附加地,尽管示例性机箱210被图示为包括两个服务器刀片,即示例性服务器刀片220和230,但是本领域技术人员将意识到数据中心环境中的典型机箱可以包括许多更多的服务器刀片,并且下面的描述独立于特定机箱内的服务器刀片的数量。
图2中示出的示例性机箱210还可以包括能够由示例性机箱210的各服务器刀片利用的并且在它们之间共享的部件。例如,示例性机箱210可以包括存储设备,诸如示例性硬盘211和212。备选地或附加地,这种存储设备可以是个体服务器刀片的一部分,诸如示例性服务器刀片220。示例性机箱210还可以包括网络接口设备,诸如示例性网络接口设备213。如本领域技术人员将意识到的,网络接口设备可以包括网络接口卡、路由器、网络步线、交换机以及其他类似的网络接口设备。根据一个方面,机箱210可以包括单独的计算设备,诸如示例性机箱计算设备240,其可以管理机箱的其他部件,包括被分配给机箱的各服务器刀片的处理任务。
为了提供针对下面的描述的背景,受信第三方计算设备还可以被通信地耦合到网络179,受信第三方计算设备诸如认证机构计算设备260。如将由本领域技术人员意识到的,诸如认证机构的受信第三方可以是由寻求在他们之间建立安全通信信道的两个对手方独立信任的实体。在图2的示例性系统200内,寻求建立安全通信信道的两个对手方可以是示例性数据中心201的操作者和这种数据中心201的客户,诸如使用示例性客户计算设备270来与示例性数据中心201的计算设备通信的客户。
如先前所指示的,通过聚集各种计算设备、辅助硬件、以及功能支持系统,数据中心(诸如示例性数据中心201)可以提供对于个体客户自己独立获得可能昂贵或不实际的计算性能和可靠性。因此,这种客户将向数据中心提供计算任务,其之后由数据中心的计算设备代表这种客户执行,并且这种计算任务的结果诸如通过跨网络(诸如示例性网络179)的计算设备之间的通信返回到客户。作为针对这种计算任务的执行的回报,数据中心由其客户补偿。然而,还如先前所指示的,由于缺乏客户对数据中心本身以及运行在这种数据中心的计算设备上的各种其他过程的控制,客户可能不愿意对将私有的、秘密的或其他安全计算任务委托给数据中心。
通过简单示例,数据中心的一个客户可以为汽车制造商,其可能寻求利用数据中心的处理能力来执行汽车设计的处理器密集建模和仿真。然而,这种客户可能不愿意利用数据中心进行这种计算任务,因为如果其汽车设计由其他实体获得则客户可能遭受不可挽回的且昂贵的财务和名誉损害。因此,对于这种客户,可能期望接收如下保证:仅代表这种客户运行的计算过程可以具有对这种数据的访问。为了提供这种保证,根据一个方面,数据中心操作者可以提供机制,客户可以通过该机制在这种客户的计算设备与个体硬件加速器(诸如示例性硬件加速器232)之间建立安全通信信道(诸如示例性安全通信信道280)。以这种方式,客户可以在执行定义的任务中利用硬件加速器的增加的处理能力和效率,同时确保这种处理保持安全并且对其他过程不可访问,包括运行在相同主计算设备(诸如示例性服务器刀片230)或数据中心201内的其他地方上的过程。
转到图3,其中示出的通信流程图300图示了由各种计算或处理设备执行的通信和动作的示例性序列。更具体地,通信流程图300图示了在由数据中心的客户控制的计算设备(诸如示例性客户计算设备270)与由这种数据中心的计算设备托管的硬件加速器(诸如示例性硬件加速器232)之间的安全通信信道(诸如示例性安全通信信道280)的示例性建立。在图3中图示的示例中,硬件加速器(诸如示例性硬件加速器232)可以包括初始的、预先安装的加密信息,诸如示例性私钥311和对应的公钥312。例如,这种加密密钥可以在硬件加速器232被制造时被写入到集成电路或硬件加速器232的其他类似部分上。硬件加速器(诸如示例性硬件加速器232)的加密密钥可以仅对于正由硬件加速器232运行的计算机操作可访问。因此,运行在主计算设备(诸如图2中示出的托管硬件加速器232的示例性服务器刀片230)上的其他过程不能够获得对于硬件加速器的加密密钥(包括原先存储在示例性硬件加速器232上的加密密钥和随后提供或得到的加密密钥)的访问。更一般地,在主计算设备上运行的过程和主计算设备的部件之中,由硬件加速器保持和使用的加密信息可以仅对于硬件加速器本身可访问。因此,硬件加速器的加密密钥,包括可以在硬件加速器被制造时被预先安装的加密密钥,对于在硬件加速器之外运行的过程而言极难获得,并且作为结果,这种密钥可以被用作加密信任根。
根据这种方面并且如在图3的示例性通信流程图300中所示的,示例性安全通信信道280的建立可以以向客户提供硬件加速器(诸如示例性硬件加速器232)的初始的、预先安装的加密信息(诸如示例性公钥312)开始。在图3中通过来自示例性硬件加速器232本身的示例性通信330图示了示例性公钥312的供应。备选地,公钥312可以由运行在数据中心内的其他地方的过程(例如在托管硬件加速器232的计算设备的通用CPU上运行的过程)提供给诸如示例性客户计算设备270。例如,这种过程可以具有对于一个或多个表的访问,一个或多个表可以将特定硬件加速器与预先安装在这种硬件加速器上的对应初始加密信息相关联。作为又一备选,公钥312可以由在数据中心外部(例如受信第三方,诸如示例性认证机构计算设备260)运行的过程被提供给示例性客户计算设备270。
根据一个方面,硬件加速器的初始的、预先安装的加密信息(诸如示例性公钥312)的供应可以伴随有证书,诸如示例性证书322,接收这种信息的客户可以通过该证书来验证公钥312实际上是数据中心的硬件加速器的。例如,如由图3的示例性通信流程图300所图示的,在接收公钥312和对应证书322的客户计算设备(诸如示例性客户计算设备270)与受信第三方(诸如认证机构计算设备260)之间的通信340可以使得在客户计算设备270上运行的过程能够验证接收到的公钥312。
为了建立示例性安全通信信道280,客户计算设备270可以包括加密信息370,其可以与安全通信信道280的端点(诸如示例性硬件加速器232)共享。例如,加密信息370可以包括与两个端点共享的秘密,由此使得能够利用被称为“共享秘密”加密方法对在这两个端点之间的通信进行加密,其中每个端点对去往其他端点和从其他端点接收的通信进行加密和解密,其他端点利用在它们之间共享、以及以其他方式不为其他计算设备所知、或者由其他计算设备可访问的相同秘密。作为另一示例,如下面进一步详述的,加密信息370可以包括比特流,其可以配置硬件加速器232使得硬件加速器232能够执行计算操作,通过这些计算操作其得到或建立必要的信息以用于建立和维持与客户计算设备270的安全通信信道280。
为了向硬件加速器232提供加密信息370并且由此建立安全通信信道280,加密信息370可以诸如通过利用硬件加速器232的提供的初始的预先安装的加密信息(诸如硬件加速器的公钥312)来加密。加密信息可以之后被提供给硬件加速器232。因此,如图3的操作350所图示的,示例性客户计算设备270可以利用硬件加速器的公钥312来对加密信息370进行加密,由此生成经加密的加密信息360。备选地,代表客户动作的其他过程可以对加密信息370进行加密并将其提供给硬件加速器232。更特别地,硬件加速器232的这种初始的、预先安装的加密信息可以由数据中心和客户两者都信任的受信第三方维持在第三方托管中,而非信任具有硬件加速器232的加密密钥的客户。当客户期望与硬件加速器建立安全通信信道(诸如与示例性硬件加速器232建立示例性安全通信信道280)时,客户可以联系这种受信第三方并且请求该受信第三方利用这种受信第三方保持在第三方托管中的硬件加速器232的加密密钥来对加密信息370进行加密,由此生成经加密的加密信息360。这种经加密的加密信息360可以由受信第三方返回给客户计算设备270,或者可以被直接提供给硬件加速器232。
转回到图3的示例性通信流程图300,所生成的经加密的加密信息360可以被通信到硬件加速器232,如由通信380所图示的。因为根据一个方面,硬件加速器232可以由计算设备托管,所以通信380可以由这种主计算设备接收并且之后被存储在硬件加速器232也能够访问的存储器的区域中。硬件加速器232可以之后简单地被提供有指向存储器中由主计算设备存储通信380的这种位置的指针,并且可以从中检索经加密的加密信息360。
尽管经加密的加密信息360可以对于在这种主计算设备上并且实际在通信380传递通过的任何中间计算设备上运行的其他过程可访问,但是仅具有对于与被用于生成经加密的加密信息的公钥312相对应的私钥311的访问的计算设备可以对经加密的加密信息360进行解密并且从中获得加密信息370。如先前所指示的,私钥311可以被安全地维持作为硬件加速器232的一部分,诸如在硬件加速器232的仅能够由通过硬件加速器232运行的过程访问的区域或电路中。如由动作390图示的,利用这种示例性公钥311,示例性硬件加速器232可以对经加密的加密信息360进行解密,并且从中得到加密信息370。利用两个端点,即硬件加速器232和现在拥有加密信息370的客户计算设备270,它们之间的安全通信信道280可以诸如以以上详述的方式被建立。
如先前所指示的,根据一个方面,经加密的加密信息360可以以加密比特流的形式,其可以例如如以上详述的被提供给示例性硬件加速器232,还如以上详述的由硬件加速器232解密,并且之后被加载到硬件加速器232上以用于由硬件加速器232运行。例如,如果硬件加速器232包括一个或多个FPGA,则以加密的比特流的形式的经加密的加密信息360当由硬件加速器232解密时提供比特流,其可以描绘FPGA的个体门如何被配置,使得由使其门以由现在被解密的比特流描绘的方式配置的FPGA执行的处理生成加密信息370,或以其他方式执行建立和维持与客户计算设备270的安全通信信道280的计算操作。
转到图4,其中示出的示例性通信流程图400图示了不同的硬件加速器之间的通信的示例性序列,已经被供应有加密信息370的一个硬件加速器可以通过通信的示例性序列向第二不同硬件加速器供应相同的加密信息370,由此使得客户能够利用相同的加密信息370来与这种硬件加速器中的任一个建立安全通信信道并且由此促进并行处理、负载共享或其他类似的多处理器功能。例如,客户可以请求访问附加的硬件加速器,触发由图4示例性图示的操作。作为另一示例,监测数据中心的操作的过程可以检测由客户请求的处理应当被负载平衡到不同的硬件加速器,或者可以利用并行运行的多个硬件加速器来被更优化地执行。尽管在一个方面中与其他硬件加速器的后续安全通信信道的建立可以通过简单地重复图3中示出的并且以上详细描述的示例性通信流程图300的通信来被执行,但是后续安全通信信道的建立可以类似地在硬件加速器之中被执行,并且因此可以在数据中心内部被执行。
如图4中所图示的,客户已经与之建立了现有安全通信信道的硬件加速器(诸如示例性硬件加速器232)可以已经包括加密信息370,加密信息370可以被用于与客户建立这种安全通信信道。这种硬件加速器可以与其他硬件加速器(诸如图4中示出的示例性硬件加速器222)共享这种加密信息370。为了共享加密信息370,硬件加速器232可以获得与硬件加速器222相关联的初始的、预先安装的加密信息,如由通信420表示的。硬件加速器232可以以与以上详细描述的客户获得硬件加速器232的初始的、预先安装的加密信息相同的方式获得这种初始的、预先安装的加密信息。更特别地,硬件加速器232可以从诸如由认证机构维持的另一受信计算设备获得硬件加速器222的初始的、预先安装的加密信息。作为另一示例,运行在数据中心内的过程可以维持将硬件加速器与和这种硬件加速器相关联的初始的、预先安装的加密信息相关联的表。在这种示例中,硬件加速器232可以与这种过程通信以获得与硬件加速器222相关联的初始的、预先安装的加密信息。例如,如图4中所图示的,这种表可以由中央控制计算设备(诸如示例性中央控制计算设备250)、机箱控制计算设备(诸如示例性机箱控制计算设备240)、或其组合维持。
一旦硬件加速器(诸如示例性硬件加速器232)获得另一硬件加速器(诸如示例性硬件加速器222)的初始的、预先安装的加密信息,硬件加速器232就可以相应地对加密信息370进行加密并将其提供给这种其他硬件加速器。例如,图4中图示的特定示例将示例性硬件加速器222示出为包括以示例性私钥411和对应的示例性公钥412的形式的公钥/私钥对。如先前所指示的,在硬件加速器222被制造时这种密钥可以已经被安装并存储在硬件加速器222上。利用示例性硬件加速器222的公钥412,加密信息370可以如由动作430所图示的被加密,以生成经加密的加密信息440。如之前所述的,加密动作430可以由硬件加速器232、或着诸如由图4中未特别示出的受信第三方机构代表其来执行。
一旦被生成,经加密的加密信息440可以被提供给硬件加速器222,例如由图4中的通信450所图示的。硬件加速器222可以之后从其接收到的经加密的加密信息440获得加密信息370,如由动作460所图示的。例如,类似于以上描述的过程,如果经加密的加密信息440通过利用硬件加速器222的公钥412来对加密信息370进行加密而被生成,则硬件加速器222可以利用对应的私钥411来对经加密的加密信息440进行解密并且从中获得加密信息370。作为另一示例,再次地,类似于以上描述的过程,经加密的加密信息440可以包括加密比特流,其可以诸如通过将硬件加速器222的各种门或其他类似的电路元件配置为运行加密比特流的计算机可执行指令而被加载到硬件加速器222上。这种计算机可执行指令可以由硬件加速器222运行以得到或以其他方式获得加密信息370,或以其他方式执行计算操作以建立和维持与客户计算设备270的安全通信信道480。
利用加密信息370,硬件加速器222可以以与示例性客户计算设备270与硬件加速器232之间的安全通信信道280(未在图4中明确示出)的建立类似的方式建立与客户计算设备(诸如示例性客户计算设备270)的安全通信信道480。以这种方式,客户可以将数据和计算机可执行指令安全地通信到多个硬件加速器。在其中由客户请求的处理被最高效地并行执行的情况下,这种灵活性可以是有益的。在这种实例中,运行在数据中心(诸如一个或多个中央控制计算设备的一部分)内的过程可以诸如响应于客户的明确请求来分配执行客户的处理的特定硬件加速器。客户可以被提供有针对这种硬件加速器、或者针对托管这种硬件加速器的主计算设备的寻址信息。足以在客户计算设备与这种硬件加速器中的每一个之间建立安全通信信道的加密信息可以诸如以以上详述的并且图4中示出的方式在数据中心内被内部地传播。随后,示例性客户计算设备270可以与被分配给这种客户端的硬件加速器建立安全通信信道,并且期望由客户端执行的处理可以被提供给每个这种硬件加速器,包括提供这种并行处理。
通过能够向多个硬件加速器安全地供应建立与客户计算设备的安全通信信道所必需的加密信息370而提供的灵活性还可以在负载平衡情况下有用。通过简单示例,单个硬件加速器(诸如示例性硬件加速器232)可以包括与多个不同客户相关联的加密信息,并且利用这种加密信息,硬件加速器232可以维持与那些多个不同的客户的多个不同的安全通信信道。如果这些客户中的每一个寻求使处理由硬件加速器232执行,则硬件加速器232可以快速地变得调度过度,导致在执行客户的处理中的不可接受的延迟。负载平衡器(诸如在一个或多个控制计算设备上运行的过程)可以检测这种状况并且可以寻求将处理中的一些处理转移到不同的硬件加速器,例如示例性硬件加速器222。然而,转移的处理可以是客户的,该客户的加密信息当前没有由硬件加速器222维持。以上描述的过程可以使得硬件加速器222能够在数据中心内部被供应加密信息370,而非向客户施加提供又一硬件加速器的负担。客户的处理被负载平衡到示例性硬件加速器222,其能够以类似于客户如何与硬件加速器232通信的安全方式与示例性硬件加速器222通信。
尽管已经在建立与客户计算设备的安全通信信道的上下文中提供了以上描述,但是由客户提供的并且由硬件加速器保持的加密信息可以被用于保护客户的信息以及代表客户执行的处理,如除了包括硬件加速器的主计算设备的其他部件。例如,并且再次参考图2,已经被供应有由客户提供的加密信息的硬件加速器(诸如示例性硬件加速器232)可以利用这种加密信息来例如访问与这种客户的处理相关的加密数据,其可以被存储在例如还包括托管硬件加速器232的示例性服务器刀片230的机箱210的存储设备211和212之一上。例如,客户的数据可以以加密的形式被存储在例如示例性硬盘211上。当这种数据要由示例性硬件加速器232处理时,在示例性CPU 231上运行的过程例如可以从示例性硬盘211检索这种加密的数据,并将其放置到示例性服务器计算设备230的存储器的合适的存储器地址空间中。示例性硬件加速器232可以之后从这种存储器空间检索这种加密的数据,并且在硬件加速器232内部解密这种数据以执行关于这种数据的一个或多个操作,并且在需要时对这种数据重新加密。解密和后续的重新加密可以诸如以以上详细描述的方式参考向示例性硬件加速器232供应的加密信息来执行。在示例性服务器刀片230上运行的过程(诸如由CPU231运行的过程)可以之后检索重新加密的数据并将其存储回到示例性硬盘211上。以这种方式,客户的数据仅在硬件加速器232内部具有未加密的形式,并且因此对于示例性机箱210的任何其他设备或过程不可有意义地访问。
附加地,如以上所详述的,向硬件加速器供应的加密信息可以是任何形式的加密信息。例如,这种加密信息可以是由两个通信端点共享的秘密,并且对称加密和解密可以被利用,其中每个端点利用相同秘密来加密用于通信到对手方端点的数据,以及解密从这种对手方接收到的通信。作为另一示例,可以向硬件加速器供应的加密信息可以是密钥对,例如公钥/私钥对,其中公钥可以被提供给对手方端点,并且私钥可以被秘密地维持并且被用于解密利用公钥加密的数据。作为再一示例,可以得到密钥的各种不同层。例如,初始供应的加密信息可以被用于生成密钥的后续层,包括例如用于访问在数据中心内的存储介质(例如示例性硬盘211和212)上存储的加密的数据的加密和解密密钥、用于交换加密的消息的公钥/私钥、以及其他类似的密钥或密钥的层。
转到图5,其中示出的示例性流程图500图示了可以通过其直接与硬件加速器建立安全通信的步骤的示例性序列,由此在诸如数据和计算机可执行指令的信息对于其他过程(包括在包括硬件加速器的相同主计算设备上运行的过程)不可访问的情况下实现这种信息向这种硬件加速器的供应。初始地,如由步骤510表示的,数据中心的客户可以寻求与一个或多个硬件加速器建立安全通信信道,诸如出于将敏感和受保护信息以及计算机可执行指令提供给这种硬件加速器并使这种硬件加速器代表这种客户执行处理和计算任务的目的。作为响应,在步骤515处,可以向这种客户提供地址,通过该地址可以将通信引导到被选择以接收客户的处理的一个或多个硬件加速器。附加地,出于使得客户能够向这种硬件加速器供应加密信息的目的,已经驻存在这种硬件加速器上的并且可以被用于包括被提供给这种硬件加速器的信息的初始的、预先安装的加密信息可以被提供到客户。如以上详述的,这种初始的、预先安装的加密信息可以包括证书或其他类似数据,其能够诸如通过受信第三方验证所提供的初始的、预先安装的加密信息。诸如以上详细描述的,客户可以利用这种信息来生成加密的比特流,并且将这种加密的比特流提供到在步骤515处接收到的地址。
在步骤520处,来自客户的加密的比特流可以被接收并且被提供给其被寻址到的硬件加速器,诸如通过将加密的比特流存储到由这种硬件加速器可访问的存储器位置中并且之后将指向这种存储器位置的指针提供给硬件加速器。随后,在步骤525处,硬件加速器可以从存储器获得加密的比特流,并且诸如通过利用被初始地预先安装在这种硬件加速器上的加密信息在内部对其进行解密。如以上所详述的,对加密的比特流的解密可以向硬件加速器提供客户提供的加密信息,其可以被用于将信息安全地发送到这种客户以及从这种客户接收信息。这种客户提供的加密信息可以通过作为加密的比特流的一部分的计算机可执行指令的处理来生成,或者可以简单地是以加密的形式包含在加密的比特流中的数据。处理可以进行到步骤530和535,其中在步骤530处,来自客户的消息可以在加密的格式中被接收,并且可以利用客户提供的加密信息在硬件加速器内部被解密。类似地,在步骤535处,要被通信到客户的消息可以在硬件加速器内部、诸如通过利用客户提供的加密信息在其被提供到数据中心的其他过程或部件以用于向客户传输之前对被加密。
在步骤540处,可以做出关于是否要向附加硬件加速器供应客户的加密信息的确定。如先前所指示的,这种供应可以提供用于并行处理、负载平衡以及其他类似功能的灵活性。如果在步骤540处没有应当向其供应客户提供的加密信息的附加硬件加速器,则相关的处理可以在步骤560处结束。相反,如果在步骤540处应当向附加硬件加速器供应客户提供的加密信息,则处理可以进行到步骤545,其中在数据中心内部,可以获得这种附加硬件加速器的地址以及可用于生成针对这种附加硬件加速器的加密的比特流的加密密钥。如以上详述的,这种信息可以通过在数据中心中运行的过程以表格或数据库形式被维持,表格或数据库将硬件加速器与可以用于加密导向这种硬件加速器的比特流的初始的、预先安装的加密信息关联。诸如在步骤525处供应的硬件加速器可以针对随后要被供应的硬件加速器生成加密的比特流,并且可以由此将客户的加密信息安全地提供到这种附加的硬件加速器。由已经供应的硬件加速器对加密的比特流的这种生成由步骤550表示。随后,在步骤555处,在接收到这种加密的比特流时,随后要被供应的硬件加速器可以以类似于步骤525的方式诸如通过利用被初始地预先安装在这种硬件加速器上的加密信息在内部对加密的比特流进行解密。如之前所述,对加密的比特流的解密可以向硬件加速器提供客户提供的加密信息,其可以被用于将信息安全地发送到这种客户和从这种客户安全地接收信息。这种客户提供的加密信息可以通过作为加密的比特流的一部分的计算机可执行指令的处理被生成,或者可以简单地是以加密的形式被包含在加密的比特流中的数据。处理可以之后以步骤530和535继续,其中这种新供应的硬件加速器现在也能够与客户安全地通信,以及从数据中心的其他部件或过程访问信息和/或指令,其中这种信息和/或指令以加密的形式被保持,并且因此被保护免受数据中心的这种其他部件和过程访问。
以上描述包括作为第一示例的一种计算设备,其包括:通用中央处理单元;硬件加速器,用以执行所述通用中央处理单元的计算操作的子集,其中所述硬件加速器以比所述通用中央处理单元更高的处理速度来处理所述计算操作的子集中的一个或多个计算操作;网络接口,用以接收第一加密通信和发送第二加密通信;以及一个或多个计算机可读存储介质,包括计算机可执行指令,所述计算机可执行指令当由所述硬件加速器运行时使所述硬件加速器:使用第一加密密钥将所述第一加密通信解密成第一通信,所述第一加密密钥被存储在所述硬件加速器内,并且在所述计算设备上运行的过程和所述计算设备的部件之中,所述第一加密密钥仅对于所述硬件加速器可访问;根据所述第一通信来执行所述计算操作的子集中的至少一些计算操作,所述硬件加速器被配置为执行所述计算操作的子集中的所述至少一些计算操作;响应于所述第一通信而生成第二通信;以及使用第二加密密钥来加密所述第二通信以生成所述第二加密通信,所述第二加密密钥也被存储在所述硬件加速器内,并且在所述计算设备上运行的过程和所述计算设备的部件之中,所述第二加密密钥也仅对于所述硬件加速器可访问。
第二示例是第一示例的计算设备,其中所述第一通信包括比特流,所述比特流当被加载到所述硬件加速器上时,将所述硬件加速器配置为响应于所述第一通信而执行所述计算操作的子集中的所述至少一些计算操作。
第三示例是第二示例的计算设备,其中所述比特流将所述硬件加速器配置用于对所述计算操作的子集中的所述至少一些计算操作的所述执行在所述硬件加速器上生成所述第二加密密钥。
第四示例是第一示例的计算设备,其中所述第一加密密钥是当所述硬件加速器被制造时被安装到所述硬件加速器上的预先安装的加密密钥。
第五示例是第四示例的计算设备,其中所述第一加密是与加密所述第一加密通信的公钥相对应的私钥。
第六示例是第一示例的计算设备,其中所述第二加密密钥是向其发送所述第二加密密钥的客户的公钥。
第七示例是第一示例的计算设备,其中所述第二加密密钥从与向其发送所述第二加密密钥的客户共享的共享秘密加密信息被得到。
第八示例是第一示例的计算设备,其中所述硬件加速器是FPGA设备。
第九示例是第一示例的计算设备,其中所述一个或多个计算机可读存储介质还包括计算机可执行指令,所述计算机可执行指令当由所述硬件加速器运行时使所述硬件加速器:从被通信耦合到所述计算设备的存储设备请求第一加密数据集;以及在所述硬件加速器内利用从所述第一通信获得的加密密钥对所述第一加密数据集进行解密。
第十示例是第一示例的计算设备,其中所述一个或多个计算机可读存储介质还包括计算机可执行指令,所述计算机可执行指令当由所述硬件加速器运行时使所述硬件加速器:获得与第二硬件加速器相关联的第三加密密钥;在所述硬件加速器内使用所述第三加密密钥来加密包括所述第二加密密钥的第三通信;以及向所述第二硬件加速器发送所述第三加密通信。
第十一示例,一种系统包括:计算设备,包括通用中央处理单元;第一硬件加速器,用以执行所述通用中央处理单元的计算操作的子集,其中所述第一硬件加速器以比所述通用中央处理单元更高的处理速度来处理所述计算操作的子集中的一个或多个计算操作;具有与所述第一硬件加速器相同的类型的第二硬件加速器;第一计算机可读存储介质集,包括计算机可执行指令,所述计算机可执行指令当由所述第一硬件加速器运行时使所述第一硬件加速器:基于第一加密信息来维持与客户的第一安全通信信道;获得与所述第二硬件加速器相关联的第二加密信息;通过利用所述第二加密信息加密所述第一加密信息来生成第一加密通信;以及向所述第二硬件加速器发送所述第一加密通信;以及第二计算机可读存储介质集,包括计算机可执行指令,所述计算机可执行指令当由所述第二硬件加速器运行时使所述第二硬件加速器:通过对所述第一加密信息进行解密来获得所述第一加密信息;以及基于所述第一加密信息来建立与相同客户的第二安全通信信道。
第十二示例是第十一示例的系统,其中所述第二加密密钥是所述第二硬件加速器的公钥;并且其中所述第一加密通信的所述解密还由所述第二硬件加速器参考与所述公钥相关联的私钥执行,所述私钥是当所述第二硬件加速器被制造时被安装到所述第二硬件加速器上的初始的、预先安装的加密密钥。
第十三示例是第十一示例的系统,其中所述第一加密信息是在所述客户与所述第一硬件加速器之间共享的并且随后在所述第二硬件加速器对所述第一加密通信进行解密之后与所述第二硬件加速器共享的共享秘密加密信息。
第十四示例是第十一示例的系统,其中所述第一加密通信包括比特流,所述比特流当被加载到所述第二硬件加速器上时将所述第二硬件加速器配置为在所述第二硬件加速器上生成所述第一加密信息。
第十五示例是第十一示例的系统,其中所述计算设备包括一个或多个计算机可读存储介质,所述一个或多个计算机可读存储介质包括计算机可执行指令,所述计算机可执行指令当由所述通用中央处理单元运行时使所述计算设备:维持包括所述第二硬件加速器与所述第二加密信息之间的相关性的表的至少一部分。
第十六示例是第十一示例的系统,其中所述计算设备包括一个或多个计算机可读存储介质,所述一个或多个计算机可读存储介质包括计算机可执行指令,所述计算机可执行指令当由所述通用中央处理单元运行时使所述计算设备:确定要由所述第一硬件加速器代表所述客户执行的处理应当替代由所述第二硬件加速器执行;以及指令所述第一硬件加速器将所述第二硬件加速器提供为可以建立与所述相同客户的所述第二安全通信信道。
第十七示例是第十一示例的系统,还包括存储设备,所述存储设备具有存储在其上的第一加密数据集;其中所述第一计算机可读存储介质集还包括计算机可执行指令,所述计算机可执行指令当由所述第一硬件加速器运行时使所述第一硬件加速器:请求所述第一加密数据集;以及在所述第一硬件加速器内利用所述第一加密信息来对所述第一加密数据集进行解密。
第十八示例是第十一示例的系统,其中所述第二计算机可读存储介质集还包括计算机可执行指令,所述计算机可执行指令当由所述第二硬件加速器运行时使所述第二硬件加速器:还请求所述第一加密数据集;以及还在所述第二硬件加速器内利用由所述第一硬件加速器提供的所述第一加密信息对所述第一加密数据集进行解密。
第十九示例是一种增加数据中心的工作流安全性的方法,所述方法包括:在所述数据中心的计算设备处从所述数据中心的客户接收加密通信;向由所述计算设备托管的硬件加速器提供所述加密通信,所述硬件加速器包括FPGA设备;在所述硬件加速器上使用加密信息来对所述加密信息进行解密,所述加密信息被存储在所述硬件加速器内并且仅对于所述硬件加速器可访问,所述加密信息已经由所述客户提供;由所述计算设备代表所述硬件加速器检索在存储设备上存储的加密数据,所述存储设备被通信地耦合到所述计算设备,所述检索响应于所述解密;向所述硬件加速器提供所述加密数据;以及在所述硬件加速器上使用所述加密信息来对所述加密数据进行解密;其中所述工作流包括到所述客户的通信和来自所述客户的通信以及包括所述加密数据的数据。
第二十示例是第十九示例的方法,还包括:通过利用由所述数据中心的另一计算设备维持的表中的与另一不同的硬件加速器相关联的加密密钥来加密所述加密信息,来由所述硬件加速器向四平司机另一不同的硬件加速器提供所述加密信息。
如从以上描述可以看出的,已经呈现了用于通过建立从客户直接到硬件加速器的安全通信信道来增加数据中心中的工作流的安全性的机制。鉴于本文中描述的主题的许多可能变型,我们要求保护将可能落入随附权利要求及其等效方案的范围内的所有这种实施例作为我们的发明。
Claims (15)
1.一种计算设备,包括:
通用中央处理单元;
硬件加速器,用以执行所述通用中央处理单元的计算操作的子集,其中所述硬件加速器以比所述通用中央处理单元更高的处理速度来处理所述计算操作的子集中的一个或多个计算操作;
网络接口,用以接收第一加密通信和发送第二加密通信;以及
一个或多个计算机可读存储介质,包括计算机可执行指令,所述计算机可执行指令当由所述硬件加速器运行时使所述硬件加速器:
使用第一加密密钥将所述第一加密通信解密成第一通信,所述第一加密密钥被存储在所述硬件加速器内,并且在所述计算设备上运行的过程和所述计算设备的部件之中,所述第一加密密钥仅对于所述硬件加速器可访问;
根据所述第一通信来执行所述计算操作的子集中的至少一些计算操作,所述硬件加速器被配置为执行所述计算操作的子集中的所述至少一些计算操作;
响应于所述第一通信而生成第二通信;以及
使用第二加密密钥来加密所述第二通信以生成所述第二加密通信,所述第二加密密钥也被存储在所述硬件加速器内,并且在所述计算设备上运行的过程和所述计算设备的部件之中,所述第二加密密钥也仅对于所述硬件加速器可访问。
2.根据权利要求1所述的计算设备,其中所述第一通信包括比特流,所述比特流当被加载到所述硬件加速器上时,将所述硬件加速器配置为响应于所述第一通信而执行所述计算操作的子集中的所述至少一些计算操作。
3.根据权利要求2所述的计算设备,其中所述比特流将所述硬件加速器配置用于对所述计算操作的子集中的所述至少一些计算操作的所述执行在所述硬件加速器上生成所述第二加密密钥。
4.根据权利要求1所述的计算设备,其中所述一个或多个计算机可读存储介质还包括计算机可执行指令,所述计算机可执行指令当由所述硬件加速器运行时使所述硬件加速器:
从被通信耦合到所述计算设备的存储设备请求第一加密数据集;以及
在所述硬件加速器内利用从所述第一通信获得的加密密钥对所述第一加密数据集进行解密。
5.根据权利要求1所述的计算设备,其中所述一个或多个计算机可读存储介质还包括计算机可执行指令,所述计算机可执行指令当由所述硬件加速器运行时使所述硬件加速器:
获得与第二硬件加速器相关联的第三加密密钥;
在所述硬件加速器内使用所述第三加密密钥来加密包括所述第二加密密钥的第三通信;以及
向所述第二硬件加速器发送所述第三加密通信。
6.一种系统,包括:
计算设备,包括通用中央处理单元;
第一硬件加速器,用以执行所述通用中央处理单元的计算操作的子集,其中所述第一硬件加速器以比所述通用中央处理单元更高的处理速度来处理所述计算操作的子集中的一个或多个计算操作;
具有与所述第一硬件加速器相同的类型的第二硬件加速器;
第一计算机可读存储介质集,包括计算机可执行指令,所述计算机可执行指令当由所述第一硬件加速器运行时使所述第一硬件加速器:
基于第一加密信息来维持与客户的第一安全通信信道;
获得与所述第二硬件加速器相关联的第二加密信息;
通过利用所述第二加密信息加密所述第一加密信息来生成第一加密通信;以及
向所述第二硬件加速器发送所述第一加密通信;以及
第二计算机可读存储介质集,包括计算机可执行指令,所述计算机可执行指令当由所述第二硬件加速器运行时使所述第二硬件加速器:
通过对所述第一加密信息进行解密来获得所述第一加密信息;以及
基于所述第一加密信息来建立与相同客户的第二安全通信信道。
7.根据权利要求6所述的系统,其中所述计算设备包括一个或多个计算机可读存储介质,所述一个或多个计算机可读存储介质包括计算机可执行指令,所述计算机可执行指令当由所述通用中央处理单元运行时使所述计算设备:维持包括所述第二硬件加速器与所述第二加密信息之间的相关性的表的至少一部分。
8.根据权利要求6所述的系统,其中所述计算设备包括一个或多个计算机可读存储介质,所述一个或多个计算机可读存储介质包括计算机可执行指令,所述计算机可执行指令当由所述通用中央处理单元运行时使所述计算设备:
确定要由所述第一硬件加速器代表所述客户执行的处理应当取而代之由所述第二硬件加速器执行;以及
指令所述第一硬件加速器将所述第二硬件加速器提供为能够建立与所述相同客户的所述第二安全通信信道。
9.根据权利要求6所述的系统,还包括存储设备,所述存储设备具有在其上存储的第一加密数据集;其中所述第一计算机可读存储介质集还包括计算机可执行指令,所述计算机可执行指令当由所述第一硬件加速器运行时使所述第一硬件加速器:
请求所述第一加密数据集;以及
在所述第一硬件加速器内利用所述第一加密信息来对所述第一加密数据集进行解密。
10.一种增加数据中心中的工作流安全性的方法,所述方法包括:
在所述数据中心的计算设备处从所述数据中心的客户接收加密通信;
向由所述计算设备托管的硬件加速器提供所述加密通信,所述硬件加速器包括FPGA设备;
在所述硬件加速器上使用加密信息来对所述加密通信进行解密,所述加密信息被存储在所述硬件加速器内并且仅对于所述硬件加速器可访问,所述加密信息已经由所述客户提供;
由所述计算设备代表所述硬件加速器检索在存储设备上存储的加密数据,所述存储设备被通信地耦合到所述计算设备,所述检索响应于所述解密;
向所述硬件加速器提供所述加密数据;以及
在所述硬件加速器上使用所述加密信息来对所述加密数据进行解密;
其中所述工作流包括到所述客户的通信和来自所述客户的通信以及包括所述加密数据的数据。
11.根据权利要求1所述的计算设备,其中所述第一加密密钥是当所述硬件加速器被制造时被安装到所述硬件加速器上的预先安装的加密密钥。
12.根据权利要求1所述的计算设备,其中所述第二加密密钥是向其发送所述第二加密密钥的客户的公钥。
13.根据权利要求1所述的计算设备,其中所述第二加密密钥从与向其发送所述第二加密密钥的客户共享的共享秘密加密信息被得到。
14.根据权利要求1所述的计算设备,其中所述硬件加速器为FPGA设备。
15.根据权利要求6所述的系统,其中所述第二计算机可读存储介质集还包括计算机可执行指令,所述计算机可执行指令当由所述第二硬件加速器运行时使所述第二硬件加速器:
还请求所述第一加密数据集;以及
还在所述第二硬件加速器内利用由所述第一硬件加速器提供的所述第一加密信息对所述第一加密数据集进行解密。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/742,702 | 2015-06-17 | ||
| US14/742,702 US9847980B2 (en) | 2015-06-17 | 2015-06-17 | Protecting communications with hardware accelerators for increased workflow security |
| PCT/US2016/032950 WO2016204915A1 (en) | 2015-06-17 | 2016-05-18 | Protecting communications with hardware accelerators for increased workflow security |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107750363A true CN107750363A (zh) | 2018-03-02 |
| CN107750363B CN107750363B (zh) | 2020-11-03 |
Family
ID=56098375
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680035738.9A Active CN107750363B (zh) | 2015-06-17 | 2016-05-18 | 保护与硬件加速器的通信以增加工作流安全性 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9847980B2 (zh) |
| EP (1) | EP3284008B1 (zh) |
| CN (1) | CN107750363B (zh) |
| WO (1) | WO2016204915A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020140258A1 (en) * | 2019-01-04 | 2020-07-09 | Baidu.Com Times Technology (Beijing) Co., Ltd. | An attestation protocol between a host system and a data processing accelerator |
| CN112838923A (zh) * | 2019-11-22 | 2021-05-25 | 百度(美国)有限责任公司 | 具有交换机的虚拟信道中加速器之间的密钥共享方法 |
| CN112838924A (zh) * | 2019-11-22 | 2021-05-25 | 百度(美国)有限责任公司 | 虚拟信道中加速器之间的密钥共享方法 |
| CN112838926A (zh) * | 2019-11-22 | 2021-05-25 | 百度(美国)有限责任公司 | 加速器之间的密钥共享方法 |
| EP3794477A4 (en) * | 2019-01-04 | 2021-12-22 | Baidu.com Times Technology (Beijing) Co., Ltd. | METHOD AND SYSTEM FOR VALIDATION OF KERNEL OBJECTS EXECUTED BY A DATA PROCESSING ACCELERATOR OF A HOST SYSTEM |
| CN113923608A (zh) * | 2020-07-10 | 2022-01-11 | 英飞凌科技股份有限公司 | 消息处理组件、通信设备和车载通信系统 |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8312296B2 (en) * | 2010-03-10 | 2012-11-13 | Dell Products L.P. | System and method for recovering from an interrupted encryption and decryption operation performed on a volume |
| US10007561B1 (en) * | 2016-08-08 | 2018-06-26 | Bitmicro Networks, Inc. | Multi-mode device for flexible acceleration and storage provisioning |
| US10216596B1 (en) | 2016-12-31 | 2019-02-26 | Bitmicro Networks, Inc. | Fast consistent write in a distributed system |
| CN110622161A (zh) * | 2017-06-16 | 2019-12-27 | 英特尔公司 | 可重新配置装置比特流密钥认证 |
| US11474555B1 (en) * | 2017-08-23 | 2022-10-18 | Xilinx, Inc. | Data-driven platform characteristics capture and discovery for hardware accelerators |
| US10740125B2 (en) | 2018-01-30 | 2020-08-11 | Hewlett Packard Enterprise Development Lp | Memristive dot product engine virtualization |
| WO2019217925A1 (en) | 2018-05-11 | 2019-11-14 | Lattice Semiconductor Corporation | Key provisioning systems and methods for programmable logic devices |
| KR102570581B1 (ko) * | 2018-06-07 | 2023-08-24 | 삼성전자 주식회사 | 스토리지 장치와 재구성 가능 로직 칩을 포함하는 스토리지 장치 세트 및 이를 포함하는 스토리지 시스템 |
| US10762244B2 (en) * | 2018-06-29 | 2020-09-01 | Intel Corporation | Securely exposing an accelerator to privileged system components |
| US11650849B2 (en) * | 2018-09-25 | 2023-05-16 | International Business Machines Corporation | Efficient component communication through accelerator switching in disaggregated datacenters |
| US11012423B2 (en) | 2018-09-25 | 2021-05-18 | International Business Machines Corporation | Maximizing resource utilization through efficient component communication in disaggregated datacenters |
| US11182322B2 (en) | 2018-09-25 | 2021-11-23 | International Business Machines Corporation | Efficient component communication through resource rewiring in disaggregated datacenters |
| US11163713B2 (en) | 2018-09-25 | 2021-11-02 | International Business Machines Corporation | Efficient component communication through protocol switching in disaggregated datacenters |
| CN112236772B (zh) | 2019-01-04 | 2023-12-22 | 百度时代网络技术(北京)有限公司 | 用于管理数据处理加速器的内存的方法和系统 |
| CN112262546B (zh) * | 2019-01-04 | 2024-04-23 | 百度时代网络技术(北京)有限公司 | 用于数据处理加速器的密钥分配和交换的方法和系统 |
| CN112352242B (zh) | 2019-01-04 | 2024-03-22 | 百度时代网络技术(北京)有限公司 | 具有本地时间单元以生成时间戳的数据处理加速器 |
| US11233652B2 (en) | 2019-01-04 | 2022-01-25 | Baidu Usa Llc | Method and system to derive a session key to secure an information exchange channel between a host system and a data processing accelerator |
| US11616651B2 (en) * | 2019-01-04 | 2023-03-28 | Baidu Usa Llc | Method for establishing a secure information exchange channel between a host system and a data processing accelerator |
| US11799651B2 (en) | 2019-01-04 | 2023-10-24 | Baidu Usa Llc | Data processing accelerator having a security unit to provide root trust services |
| KR102323763B1 (ko) | 2019-01-04 | 2021-11-08 | 바이두닷컴 타임즈 테크놀로지(베이징) 컴퍼니 리미티드 | 호스트 시스템과 데이터 처리 가속기 사이의 보안 통신을 제공하기 위한 방법 및 시스템 |
| WO2020140261A1 (en) | 2019-01-04 | 2020-07-09 | Baidu.Com Times Technology (Beijing) Co., Ltd. | Method and system for protecting data processed by data processing accelerators |
| US11347870B2 (en) * | 2019-03-29 | 2022-05-31 | Intel Corporation | Technologies for securely providing remote accelerators hosted on the edge to client compute devices |
| CN115834050A (zh) * | 2022-11-18 | 2023-03-21 | 浪潮(北京)电子信息产业有限公司 | 一种通信方法、装置、设备以及计算机可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020161834A1 (en) * | 2001-03-29 | 2002-10-31 | Eric Rescorla | Method and apparatus for clustered SSL accelerator |
| US20040005061A1 (en) * | 2002-07-08 | 2004-01-08 | Buer Mark L. | Key management system and method |
| US20040123121A1 (en) * | 2002-12-18 | 2004-06-24 | Broadcom Corporation | Methods and apparatus for ordering data in a cryptography accelerator |
| US20070038853A1 (en) * | 2005-08-10 | 2007-02-15 | Riverbed Technology, Inc. | Split termination for secure communication protocols |
| US20080065885A1 (en) * | 2006-09-08 | 2008-03-13 | Yasushi Nagai | Data processing apparatus |
| CN102404025A (zh) * | 2011-11-16 | 2012-04-04 | 中兴通讯股份有限公司 | 一种终端和处理支付业务的方法 |
| US20130266141A1 (en) * | 2012-04-10 | 2013-10-10 | Won-Tae Kim | Mobile device, method of processing an input in a mobile device and electronic payment method using a mobile device |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6324676B1 (en) | 1999-01-14 | 2001-11-27 | Xilinx, Inc. | FPGA customizable to accept selected macros |
| US7269738B1 (en) | 1999-12-16 | 2007-09-11 | Nokia Corporation | High throughput and flexible device to secure data communication |
| US6904527B1 (en) | 2000-03-14 | 2005-06-07 | Xilinx, Inc. | Intellectual property protection in a programmable logic device |
| GB0114317D0 (en) | 2001-06-13 | 2001-08-01 | Kean Thomas A | Method of protecting intellectual property cores on field programmable gate array |
| US7853781B2 (en) * | 2001-07-06 | 2010-12-14 | Juniper Networks, Inc. | Load balancing secure sockets layer accelerator |
| US6996713B1 (en) | 2002-03-29 | 2006-02-07 | Xilinx, Inc. | Method and apparatus for protecting proprietary decryption keys for programmable logic devices |
| US7725738B1 (en) | 2005-01-25 | 2010-05-25 | Altera Corporation | FPGA configuration bitstream protection using multiple keys |
| US7788502B1 (en) | 2005-03-10 | 2010-08-31 | Xilinx, Inc. | Method and system for secure exchange of IP cores |
| GB2424557A (en) | 2005-03-24 | 2006-09-27 | Sony Uk Ltd | FPGA with hardware decryptor for configuration programme which adds second key to itself before re-encrypting and overwriting itself in memory when run |
| US7792302B2 (en) | 2006-02-01 | 2010-09-07 | Dolby Laboratories Licensing Corporation | Securely coupling an FPGA to a security IC |
| FR2902585B1 (fr) * | 2006-06-14 | 2008-09-26 | Viaccess Sa | Procedes de diffusion et de reception d'un programme multimedia embrouille, tete de reseau, terminal, recepteur et processeur de securite pour ces procedes |
| US8601598B2 (en) * | 2006-09-29 | 2013-12-03 | Microsoft Corporation | Off-premise encryption of data storage |
| US20080181399A1 (en) | 2007-01-29 | 2008-07-31 | Sun Microsystems, Inc. | Composite cryptographic accelerator and hardware security module |
| US8065517B2 (en) | 2007-11-01 | 2011-11-22 | Infineon Technologies Ag | Method and system for transferring information to a device |
| US8732468B2 (en) | 2009-03-09 | 2014-05-20 | The Regents Of The University Of Michigan | Protecting hardware circuit design by secret sharing |
| US9135471B2 (en) | 2010-03-10 | 2015-09-15 | Dell Products L.P. | System and method for encryption and decryption of data |
| US8516268B2 (en) | 2010-08-23 | 2013-08-20 | Raytheon Company | Secure field-programmable gate array (FPGA) architecture |
| US20130191629A1 (en) * | 2012-01-19 | 2013-07-25 | Laconic Security, Llc | Secure group-based data storage in the cloud |
| KR20130098007A (ko) * | 2012-02-27 | 2013-09-04 | 전용덕 | 개인 익명화 코드를 이용한 인증 통합 관리/운용 시스템 및 그 방법과 준 공공적 통합인증센터 |
| US8898480B2 (en) | 2012-06-20 | 2014-11-25 | Microsoft Corporation | Managing use of a field programmable gate array with reprogammable cryptographic operations |
| US9230091B2 (en) | 2012-06-20 | 2016-01-05 | Microsoft Technology Licensing, Llc | Managing use of a field programmable gate array with isolated components |
| US9894040B2 (en) * | 2012-09-11 | 2018-02-13 | Microsoft Technology Licensing, Llc | Trust services for securing data in the cloud |
| US8938622B2 (en) * | 2012-09-21 | 2015-01-20 | Sap Ag | Encryption in the cloud with customer controlled keys |
| GB2511779A (en) * | 2013-03-13 | 2014-09-17 | Knightsbridge Portable Comm Sp | Data Security Device |
| US9767299B2 (en) * | 2013-03-15 | 2017-09-19 | Mymail Technology, Llc | Secure cloud data sharing |
-
2015
- 2015-06-17 US US14/742,702 patent/US9847980B2/en active Active
-
2016
- 2016-05-18 WO PCT/US2016/032950 patent/WO2016204915A1/en unknown
- 2016-05-18 CN CN201680035738.9A patent/CN107750363B/zh active Active
- 2016-05-18 EP EP16727042.0A patent/EP3284008B1/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020161834A1 (en) * | 2001-03-29 | 2002-10-31 | Eric Rescorla | Method and apparatus for clustered SSL accelerator |
| US20040005061A1 (en) * | 2002-07-08 | 2004-01-08 | Buer Mark L. | Key management system and method |
| US20040123121A1 (en) * | 2002-12-18 | 2004-06-24 | Broadcom Corporation | Methods and apparatus for ordering data in a cryptography accelerator |
| US20070038853A1 (en) * | 2005-08-10 | 2007-02-15 | Riverbed Technology, Inc. | Split termination for secure communication protocols |
| US20080065885A1 (en) * | 2006-09-08 | 2008-03-13 | Yasushi Nagai | Data processing apparatus |
| CN102404025A (zh) * | 2011-11-16 | 2012-04-04 | 中兴通讯股份有限公司 | 一种终端和处理支付业务的方法 |
| US20130266141A1 (en) * | 2012-04-10 | 2013-10-10 | Won-Tae Kim | Mobile device, method of processing an input in a mobile device and electronic payment method using a mobile device |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020140258A1 (en) * | 2019-01-04 | 2020-07-09 | Baidu.Com Times Technology (Beijing) Co., Ltd. | An attestation protocol between a host system and a data processing accelerator |
| EP3794477A4 (en) * | 2019-01-04 | 2021-12-22 | Baidu.com Times Technology (Beijing) Co., Ltd. | METHOD AND SYSTEM FOR VALIDATION OF KERNEL OBJECTS EXECUTED BY A DATA PROCESSING ACCELERATOR OF A HOST SYSTEM |
| US11392687B2 (en) | 2019-01-04 | 2022-07-19 | Baidu Usa Llc | Method and system for validating kernel objects to be executed by a data processing accelerator of a host system |
| CN112838923A (zh) * | 2019-11-22 | 2021-05-25 | 百度(美国)有限责任公司 | 具有交换机的虚拟信道中加速器之间的密钥共享方法 |
| CN112838924A (zh) * | 2019-11-22 | 2021-05-25 | 百度(美国)有限责任公司 | 虚拟信道中加速器之间的密钥共享方法 |
| CN112838926A (zh) * | 2019-11-22 | 2021-05-25 | 百度(美国)有限责任公司 | 加速器之间的密钥共享方法 |
| CN113923608A (zh) * | 2020-07-10 | 2022-01-11 | 英飞凌科技股份有限公司 | 消息处理组件、通信设备和车载通信系统 |
| US11531566B2 (en) | 2020-07-10 | 2022-12-20 | Infineon Technologies Ag | Safe and secure communication network message processing |
| CN113923608B (zh) * | 2020-07-10 | 2023-04-18 | 英飞凌科技股份有限公司 | 消息处理组件、通信设备和车载通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016204915A1 (en) | 2016-12-22 |
| US20160373416A1 (en) | 2016-12-22 |
| US9847980B2 (en) | 2017-12-19 |
| EP3284008B1 (en) | 2020-06-10 |
| EP3284008A1 (en) | 2018-02-21 |
| CN107750363B (zh) | 2020-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107750363A (zh) | 保护与硬件加速器的通信以增加工作流安全性 | |
| US10754693B2 (en) | Secure transfer of control over computational entities in a distributed computing environment | |
| US11563588B2 (en) | Securing a path at a selected node | |
| US20200076585A1 (en) | Storage device key management for encrypted host data | |
| JP5916852B2 (ja) | 依頼−回答メッセージ待ち行列作成環境に関連付けられた動的データ保護ポリシー | |
| US10990687B2 (en) | System and method for user managed encryption recovery using blockchain for data at rest | |
| Alowolodu et al. | Elliptic curve cryptography for securing cloud computing applications | |
| CN112953930A (zh) | 一种云存储数据的处理方法、装置及计算机系统 | |
| Varalakshmi et al. | Integrity checking for cloud environment using encryption algorithm | |
| JP6849862B2 (ja) | パスワード認証のための準同型暗号 | |
| AU2018391625A1 (en) | Re-encrypting data on a hash chain | |
| US11575499B2 (en) | Self auditing blockchain | |
| KR20230031279A (ko) | 보안 비밀 복구 | |
| Sehgal et al. | Cloud computing with security and scalability | |
| US20170187528A1 (en) | Password-authenticated public key encryption and decryption | |
| Dalheimer et al. | Genlm: license management for grid and cloud computing environments | |
| US11677549B2 (en) | Maintaining confidentiality in decentralized policies | |
| JP2021530009A (ja) | 暗号化されたデータに対するセキュアな動作 | |
| KR20220134572A (ko) | 엔드포인트 인스턴스들 간의 안전한 개인 키 분산 | |
| Kadre et al. | AES–MR: A Novel Encryption Scheme for securing Data in HDFS Environment using Map Reduce | |
| TW202307712A (zh) | 一安全客體之認證 | |
| US11456867B2 (en) | Trust-anchoring of cryptographic objects | |
| US11153299B2 (en) | Secure data transport using trusted identities | |
| Luna et al. | Providing security to the desktop data grid | |
| US11379125B1 (en) | Trusted field programmable gate array |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |