CN112753196A - 混合云kms解决方案中的hsm自毁 - Google Patents
混合云kms解决方案中的hsm自毁 Download PDFInfo
- Publication number
- CN112753196A CN112753196A CN201980062190.0A CN201980062190A CN112753196A CN 112753196 A CN112753196 A CN 112753196A CN 201980062190 A CN201980062190 A CN 201980062190A CN 112753196 A CN112753196 A CN 112753196A
- Authority
- CN
- China
- Prior art keywords
- security module
- hardware security
- computer device
- proxy
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
一种计算机实现的方法,包括:由计算机设备从物理硬件安全模块联合代理硬件安全模块;由计算机设备存储代理硬件安全模块;由计算机设备从物理硬件安全模块接收多个周期性识别通信中的第一个;以及作为计算机设备没有接收到所述多个周期性识别通信中的第二个的结果,由计算机设备擦除代理硬件安全模块。
Description
背景技术
本发明总体上涉及加密数据的安全,并且更具体地涉及云中的加密密钥管理服务的安全。
期望高安全等级的一些公司和其他用户需要将其密钥和秘密存储在物理硬件安全模块(hardware security module,HSM)内部。物理HSM可以保存在用户的组织内部并且在用户的控制下。这些用户中的一些用户现在正在使用云用于不同功能,并且因此需要密钥管理服务(key management service,KMS)用于云上的活动。
在一个常规系统中,安全支付系统向支付交易代理提供安全后端服务器上的虚拟EMV型芯片卡。用户授权每次交易中的代理在云中对其进行支付。代理在不将密码密钥暴露于风险的情况下执行作业。一些用户虽然满足了由保存在他们的组织内部的物理HSM提供的安全级别,但是并不像存在于云中并且在云服务提供商的控制下的代理的想法那样被满足。因此,需要一种系统,其提供一些基于云的交易所需的可访问性,而且还为用户提供期望的安全级别。
发明内容
在本发明的第一方面,存在一种计算机实现的方法,包括:由计算机设备从物理硬件安全模块联合代理硬件安全模块;由计算机设备存储代理硬件安全模块;由计算机设备从物理硬件安全模块接收多个周期性识别通信中的第一个;以及由于计算机设备没有接收到多个周期性识别通信中的第二个,由计算机设备擦除代理硬件安全模块。现有技术的缺点在于,在仍然存在代理HSM的情况下,云上的常规代理HSM可能与物理HSM断开连接。本发明的这一方面提供了增加的安全性,这是因为作为计算机设备没有接收到预期的周期性识别通信的结果,代理HSM被计算机设备擦除。
在本发明的有利方面,由计算机设备对代理硬件安全模块的擦除是由于计算机设备没有接收到多个周期性识别通信中的预定数量的连续周期性识别通信。如果没有接收到多个周期性识别通信中的少于预定数量的连续周期性识别通信,本发明的该方面提供了代理HSM仍然存在的额外的优点。
在本发明的另一方面,存在一种计算机程序产品,该计算机程序产品包括一种计算机可读存储介质,该计算机可读存储介质具有随其体现的程序指令。程序指令可由计算机设备执行以使得计算机设备:从物理硬件安全模块联合代理硬件安全模块;存储代理硬件安全模块;从物理硬件安全模块接收多个周期性识别通信中的第一个;以及由于计算机设备没有接收到多个周期性识别通信中的第二个,擦除代理硬件安全模块。现有技术的缺点在于,在仍然存在代理HSM的情况下,云上的常规代理HSM可能与物理HSM断开连接。本发明的这一方面提供了增加的安全性,这是因为作为计算机设备没有接收到预期的周期性识别通信的结果,代理HSM被计算机设备擦除。
在本发明的有利方面,由于计算机设备未接收到多个周期性识别通信中的预定数量的连续周期性识别通信,可由计算机设备执行的程序指令使得计算机设备擦除代理硬件安全模块。如果没有接收到多个周期性识别通信中的少于预定数量的连续周期性识别通信,本发明的该方面提供了代理HSM仍然存在的额外的优点。
在本发明的另一方面,存在一种包括处理器、计算机可读存储器和计算机可读存储介质的系统。该系统包括:用于从物理硬件安全模块联合代理硬件安全模块的程序指令;用于存储代理硬件安全模块的程序指令;用于从物理硬件安全模块接收多个周期性识别通信中的第一个的程序指令;以及用于由于计算机设备没有接收到周期性识别通信中的第二个而擦除代理硬件安全模块的程序指令。程序指令存储在计算机可读存储介质上,供处理器经由计算机可读存储器执行。现有技术的缺点在于,在仍然存在代理HSM的情况下,云上的常规代理HSM可能与物理HSM断开连接。本发明的这一方面提供了增加的安全性,这是因为作为系统没有接收到预期的周期性识别通信的结果,代理HSM被系统擦除。
本发明的一个有利方面包括程序指令,用于作为计算机设备没有接收到多个周期性识别通信中的预定数量的连续周期性识别通信的结果,擦除代理硬件安全模块。如果没有接收到多个周期性识别通信中的少于预定数量的连续周期性识别通信,本发明的该方面提供了代理HSM仍然存在的额外的优点。
在本发明的另一方面,存在一种计算机实现的方法,包括:由计算机设备允许从计算机设备联合代理硬件安全模块,代理硬件安全模块包括程序指令;以及由计算机设备向代理硬件安全模块传输多个周期性识别通信。由于代理硬件安全模块没有接收到多个周期性识别通信的第一预定数量的周期性识别通信,程序指令指示代理硬件安全模块以擦除代理硬件安全模块。现有技术的缺点在于,在仍然存在代理HSM的情况下,云上的常规代理HSM可能与物理HSM断开连接。本发明的这一方面提供了增加的安全性,这是因为作为计算机设备没有接收到预期的周期性识别通信的结果,代理HSM被代理HSM擦除。
在本发明的有利方面,由于代理硬件安全模块没有接收到多个周期性识别通信中的第二预定数量的连续周期性识别通信,程序指令指示代理硬件安全模块以擦除代理硬件安全模块。如果没有接收到少于预定数量的多个周期性识别通信中的连续周期性识别通信,本发明的该方面提供了代理HSM仍然存在的额外的优点。
在本发明的另一方面中,存在一种系统,包括:存储加密密钥的物理硬件安全模块;从物理硬件安全模块联合的联合代理硬件安全模块,联合代理硬件安全模块存储加密密钥的联合副本;用于发送多个周期性识别通信的物理硬件安全模块上的程序指令;用于从物理硬件安全模块接收多个周期性识别通信的联合代理硬件安全模块上的程序指令;以及用于由于联合代理硬件安全模块没有接收到多个周期性识别通信的第一预定数量的周期性识别通信而擦除联合代理硬件安全模块和加密密钥的联合副本的联合代理硬件安全模块上的程序指令。现有技术的缺点在于,在仍然存在代理HSM的情况下,云上的常规代理HSM可能与物理HSM断开连接。本发明的这一方面提供了增加的安全性,这是因为作为代理HSM没有接收到预期的周期性识别通信的结果,代理HSM上的程序指令擦除代理HSM和加密密钥的副本。
本发明的有利方面包括联合代理硬件安全模块上的程序指令,用于作为联合代理硬件安全模块没有接收到多个周期性识别通信的第二预定数量的连续周期性识别通信的结果而擦除联合代理硬件安全模块和加密密钥的联合副本。如果没有接收到少于预定数量的多个周期性识别通信中的连续周期性识别通信,本发明的该方面提供了代理HSM和加密密钥的副本仍然存在的额外的优点。
附图说明
在下文的详细描述中,参考所提到的多个附图,通过本发明的示例性实施例的非限制性实例,来描述本发明。
图1描绘了根据本发明的实施例的云计算节点。
图2描绘了根据本发明的实施例的云计算环境。
图3描绘了根据本发明的实施例的抽象模型层。
图4示出了根据本发明的方面的示例性环境的框图。
图5示出了根据本发明的方面的客户根密钥。
图6示出了根据本发明的方面的示例性方法的流程图。
图7示出了根据本发明的方面的示例性方法的流程图。
具体实施方式
如上所述,期望高安全等级的一些用户要求他们的密钥和秘密被存储在位于用户组织内部的物理HSM内部并且处于用户的控制下。现在正在将云用于不同功能的期望这种高安全等级的用户需要针对云上的活动的KMS,但是可能不满足基于云的代理HSM所提供的当前安全等级。本发明的实施例通过要求HSM在其失去其所联合的物理HSM的接触的情况下擦除其自身来提供代理HSM的增加的安全性的益处。
本发明的可选实施例通过在代理HSM擦除其自身之前建立代理HSM不能接收的预定数量的识别通信来提供所选的安全级别。
本发明总体上涉及加密数据的安全,并且更具体地涉及云中的加密密钥管理服务的安全。根据本发明的方面,物理HSM存储加密密钥;代理HSM从物理HSM联合并且存储加密密钥的联合副本;物理HSM向代理HSM发送周期性识别通信,代理HSM从物理HSM接收周期性识别通信;并且如果代理HSM没有接收到周期性识别通信,则代理HSM擦除其自身和加密密钥的联合副本。在实施例中,如果代理HSM没有接收到周期性识别通信中的预定数量的连续周期性识别通信,则代理HSM擦除其自身和加密密钥的联合副本。以此方式,本发明的实现方式有利地提高了在云上可访问的加密密钥的安全级别。
有利地,本发明的实施例提供对安全计算机设备(例如HSM)的功能的改进。更具体地,本发明的各方面利用内部物理HSM将识别通信发送到代理HSM的非常规步骤,并且如果未接收到识别通信,则代理HSM擦除其自身,以使得计算机设备能够以增加的安全性在基于云的环境中操作。由此,提供了一种提高基于云的系统安全性的技术问题的技术方案。
在一些客户或客户端应用中,必须通过云来访问数据或系统。在这样的应用中,安全性是个问题,因为驻留在云上的加密密钥可能比驻留在保存在用户的组织内部的内部物理HSM上的加密密钥更不安全。高级别的安全性和控制由保存在用户的组织内部的内部物理HSM提供,因为用户对内部物理HSM具有物理控制并且控制对内部物理HSM的访问。在一些基于云的系统中,代理HSM在云上被创建为内部物理HSM的副本,使得通过云对加密密钥的访问是可能的,而不准许对内部物理HSM的访问。一些用户对在云上具有代理HSM是不舒适的,因为代理HSM驻留在其上的服务器不在用户的物理控制下。
期望高安全等级的用户经常需要将他们的密钥和/或秘密存储在物理上驻留在用户的组织内部的内部物理HSM中。为了使云提供者创建混合解决方案,云内通常存在将用户的内部物理HSM联合到云中的代理HSM。如果当内部物理HSM和代理HSM之间的物理连接被(用户或一些其他实体)移除时代理HSM保留,则它可以是安全责任。本发明的实施例公开了保护客户并简化云服务提供商的管理的系统和方法。
本发明的实施例包括用于云提供者创建代理HSM的方法,该代理HSM在后备内部物理HSM不再存在时是防篡改和自毁的。本发明的实施例可以包括两个部件。第一组件是用户的控制下驻留在用户的场所中的内部物理HSM。第二组件是驻留在云中并且用户可以在其上具有很少或没有物理控制的代理只读HSM(代理HSM)。
在实施例中,代理HSM在云提供者不能修改的受保护环境中运行,甚至在云提供者控制代理HSM存在于其中的物理环境的情况下。在实施例中,不存在改变代理HSM的状态的直接接口,并且改变代理HSM的状态的所有操作通过用户控制下的内部物理HSM来完成。
在实施例中,仅可以在用户批准的情况下安装对代理HSM的更新。当用户创建混合HSM的实例时,代理HSM被创建并被绑定到内部物理HSM。在实施例中,到内部物理HSM的代理绑定仅发生一次并且不能被改变。在绑定过程中,内部物理HSM提供公钥,并将私钥保持在内部。在实施例中,密钥策略和/或代理HSM的每个更新必须由内部物理HSM签名,否则其将被由代理HSM驻留在其中的受保护环境保护的应用更新代码拒绝。
代理HSM期望接收由存储在由用户控制的内部物理HSM中的私钥签名的周期性识别通信(“心跳”)。在实施例中,如果丢失几个心跳,则删除代理HSM和公钥。
在代理HSM被删除的情况下,恢复代理HSM的备份将不会绕过本发明的实施例。这是因为:(1)对代理HSM的备份进行加密,使其只能恢复到存在代理HSM的受保护环境,(2)受保护环境不启动没有连接到内部物理HSM的服务,以及(3)在预定数量的丢失心跳之后代理HSM将删除公钥。
本发明可以是任何可能的集成技术细节水平的系统、方法和/或计算机程序产品。计算机程序产品可包含其上具有计算机可读程序指令的计算机可读存储介质,该计算机可读程序指令用于致使处理器执行本发明的方面。
计算机可读存储介质可以是可以保留和存储指令以供指令执行设备使用的有形设备。计算机可读存储介质可以是例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或前述各项的任何合适的组合。计算机可读存储介质的更具体例子的非穷举列表包括以下:便携式计算机盘,硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式致密盘只读存储器(CD-ROM),数字通用盘(DVD)、记忆棒、软盘、机械编码设备(诸如穿孔卡片或具有记录在其上的指令的凹槽中的凸起结构),以及上述的任意合适的组合。如本文中所使用的计算机可读存储介质不应被解释为瞬态信号本身,诸如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如,通过光纤电缆的光脉冲)、或通过导线传输的电信号。
本文所述的计算机可读程序指令可从计算机可读存储介质下载到相应的计算/处理设备,或经由网络(例如,互联网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口从网络接收计算机可读程序指令,并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路的配置数据、或以一种或多种编程语言的任何组合编写的源代码或目标代码,编程语言包括面向对象的编程语言(Smalltalk、C++等),以及过程式编程语言(例如“C”编程语言或类似的编程语言)。计算机可读程序指令可完全在用户的计算机上执行、部分在用户的计算机上执行、作为独立软件包执行、部分在用户的计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在后一种情形中,远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户的计算机,或者可以连接到外部计算机(例如,通过使用互联网服务提供商的互联网)。在一些实施例中,电子电路(包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA))可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以个性化电子电路,以便执行本发明的方面。
本文中参考根据本发明的实施例的方法、设备(系统)和计算机程序产品的流程图说明和/或框图描述本发明的方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令来实现。
这些计算机可读程序指令可以被提供给通用计算机的处理器、专用计算机或其他可编程数据处理装置,以产生机器,这样通过计算机或其他可编程数据处理装置的处理器执行,指令创建用于实现在流程图和/或方框图的一个或多个方框中指定的功能/动作的装置。这些计算机可读程序指令还可存储在可指导计算机、可编程数据处理装置、和/或以特定方式起作用的其他设备的计算机可读存储介质中,使得具有存储在其中的指令的计算机可读存储介质包括制品,该制品包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的方面的指令。
计算机可读程序指令还可以加载到计算机、其他可编程数据处理装置、或其他设备上,使得在计算机、其他可编程装置、或其他设备上执行一系列操作步骤,以产生计算机实现的过程,使得在计算机、其他可编程装置或其他设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
首先应当理解,尽管本公开包括关于云计算的详细描述,但其中记载的技术方案的实现却不限于云计算环境,而是能够结合现在已知或以后开发的任何其它类型的计算环境而实现。
云计算是一种服务交付模式,用于对共享的可配置计算资源池进行方便、按需的网络访问。可配置计算资源是能够以最小的管理成本或与服务提供者进行最少的交互就能快速部署和释放的资源,例如可以是网络、网络带宽、服务器、处理、内存、存储、应用、虚拟机和服务。这种云模式可以包括至少五个特征、至少三个服务模型和至少四个部署模型。
特征包括:
按需自助式服务:云的消费者在无需与服务提供者进行人为交互的情况下能够单方面自动地按需部署诸如服务器时间和网络存储等的计算能力。
广泛的网络接入:计算能力可以通过标准机制在网络上获取,这种标准机制促进了通过不同种类的瘦客户机平台或厚客户机平台(例如移动电话、膝上型电脑、个人数字助理PDA)对云的使用。
资源池:提供者的计算资源被归入资源池并通过多租户(multi-tenant)模式服务于多重消费者,其中按需将不同的实体资源和虚拟资源动态地分配和再分配。一般情况下,消费者不能控制或甚至并不知晓所提供的资源的确切位置,但可以在较高抽象程度上指定位置(例如国家、州或数据中心),因此具有位置无关性。
迅速弹性:能够迅速、有弹性地(有时是自动地)部署计算能力,以实现快速扩展,并且能迅速释放来快速缩小。在消费者看来,用于部署的可用计算能力往往显得是无限的,并能在任意时候都能获取任意数量的计算能力。
可测量的服务:云系统通过利用适于服务类型(例如存储、处理、带宽和活跃用户帐号)的某种抽象程度的计量能力,自动地控制和优化资源效用。可以监测、控制和报告资源使用情况,为服务提供者和消费者双方提供透明度。
服务模型如下:
软件即服务(SaaS):向消费者提供的能力是使用提供者在云基础架构上运行的应用。可以通过诸如网络浏览器的瘦客户机接口(例如基于网络的电子邮件)从各种客户机设备访问应用。除了有限的特定于用户的应用配置设置外,消费者既不管理也不控制包括网络、服务器、操作系统、存储、乃至单个应用能力等的底层云基础架构。
平台即服务(PaaS):向消费者提供的能力是在云基础架构上部署消费者创建或获得的应用,这些应用利用提供者支持的程序设计语言和工具创建。消费者既不管理也不控制包括网络、服务器、操作系统或存储的底层云基础架构,但对其部署的应用具有控制权,对应用托管环境配置可能也具有控制权。
基础架构即服务(IaaS):向消费者提供的能力是消费者能够在其中部署并运行包括操作系统和应用的任意软件的处理、存储、网络和其他基础计算资源。消费者既不管理也不控制底层的云基础架构,但是对操作系统、存储和其部署的应用具有控制权,对选择的网络组件(例如主机防火墙)可能具有有限的控制权。
部署模型如下:
私有云:云基础架构单独为某个组织运行。云基础架构可以由该组织或第三方管理并且可以存在于该组织内部或外部。
共同体云:云基础架构被若干组织共享并支持有共同利害关系(例如任务使命、安全要求、政策和合规考虑)的特定共同体。共同体云可以由共同体内的多个组织或第三方管理并且可以存在于该共同体内部或外部。
公共云:云基础架构向公众或大型产业群提供并由出售云服务的组织拥有。
混合云:云基础架构由两个或更多部署模型的云(私有云、共同体云或公共云)组成,这些云依然是独特的实体,但是通过使数据和应用能够移植的标准化技术或私有技术(例如用于云之间的负载平衡的云突发流量分担技术)绑定在一起。
云计算环境是面向服务的,特点集中在无状态性、低耦合性、模块性和语意的互操作性。云计算的核心是包含互连节点网络的基础架构。
现在参考图1,其中显示了云计算节点的一个例子。图1显示的云计算节点10仅仅是适合的云计算节点的一个示例,不应对本发明实施例的功能和使用范围带来任何限制。总之,云计算节点10能够被用来实现和/或执行以上所述的任何功能。
云计算节点10具有计算机系统/服务器12,其可与众多其它通用或专用计算系统环境或配置一起操作。众所周知,适于与计算机系统/服务器12一起操作的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任意系统的分布式云计算技术环境,等等。
计算机系统/服务器12可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括执行特定的任务或者实现特定的抽象数据类型的例程、程序、目标程序、组件、逻辑、数据结构等。计算机系统/服务器12可以在通过通信网络链接的远程处理设备执行任务的分布式云计算环境中实施。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
如图1所示,云计算节点10中的计算机系统/服务器12以通用计算设备的形式表现。计算机系统/服务器12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,系统存储器28,连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机系统/服务器12典型地包括多种计算机系统可读介质。这些介质可以是能够被计算机系统/服务器12访问的任意可获得的介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机系统/服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图1未显示,通常称为“硬盘驱动器”)。尽管图1中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
计算机系统/服务器12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该计算机系统/服务器12交互的设备通信,和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,计算机系统/服务器12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与计算机系统/服务器12的其它模块通信。应当明白,尽管图中未示出,其它硬件和/或软件模块可以与计算机系统/服务器12一起操作,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
现在参考图2,其中显示了示例性的云计算环境50。如图所示,云计算环境50包括云计算消费者使用的本地计算设备可以与其相通信的一个或者多个云计算节点10,本地计算设备例如可以是个人数字助理(PDA)或移动电话54A,台式电脑54B、笔记本电脑54C和/或汽车计算机系统54N。云计算节点10之间可以相互通信。可以在包括但不限于如上所述的私有云、共同体云、公共云或混合云或者它们的组合的一个或者多个网络中将云计算节点10进行物理或虚拟分组(图中未显示)。这样,云的消费者无需在本地计算设备上维护资源就能请求云计算环境50提供的基础架构即服务(IaaS)、平台即服务(PaaS)和/或软件即服务(SaaS)。应当理解,图2显示的各类计算设备54A-N仅仅是示意性的,云计算节点10以及云计算环境50可以与任意类型网络上和/或网络可寻址连接的任意类型的计算设备(例如使用网络浏览器)通信。
现在参考图3,其中显示了云计算环境50(图2)提供的一组功能抽象层。首先应当理解,图3所示的组件、层以及功能都仅仅是示意性的,本发明的实施例不限于此。如图3所示,提供下列层和对应功能:
硬件和软件层60包括硬件和软件组件。硬件组件的例子包括:主机61;基于RISC(精简指令集计算机)体系结构的服务器62;服务器63;刀片服务器64;存储设备65;网络和网络组件66。在一些实施例中,软件组件包括:网络应用服务器软件67;数据库软件68。
虚拟层70提供一个抽象层,该层可以提供下列虚拟实体的例子:虚拟服务器71、虚拟存储72、虚拟网络(包括虚拟私有网络)73、虚拟应用和操作系统74,以及虚拟客户端75。
在一个示例中,管理层80可以提供下述功能:资源供应功能81:提供用于在云计算环境中执行任务的计算资源和其它资源的动态获取;计量和定价功能82:在云计算环境内对资源的使用进行成本跟踪,并为此提供帐单和发票。在一个例子中,该资源可以包括应用软件许可。安全功能:为云的消费者和任务提供身份认证,为数据和其它资源提供保护。用户门户功能83:为消费者和系统管理员提供对云计算环境的访问。服务水平管理功能84:提供云计算资源的分配和管理,以满足必需的服务水平。服务水平协议(SLA)计划和履行功能85:为根据SLA预测的对云计算资源未来需求提供预先安排和供应。
工作负载层90提供云计算环境可能实现的功能的示例。在该层中,可提供的工作负载或功能的示例包括:地图绘制与导航91;软件开发及生命周期管理92;虚拟教室的教学提供93;数据分析处理94;交易处理95;以及秘密材料安全96。
本发明的实现方式可以包括图1的计算机系统/服务器12,其中,一个或多个程序模块42被配置为执行(或者使计算机系统/服务器12执行)图3的秘密材料安全96的一个或多个功能。例如,程序模块42中的一个或多个可以被配置成:从物理硬件安全模块联合代理硬件安全模块;存储代理硬件安全模块;从物理硬件安全模块接收周期性识别通信;以及由于程序模块没有接收到周期性识别通信而擦除代理硬件安全模块。
图4示出了根据本发明的方面的示例性环境的框图。在实施例中,环境包括系统100,例如用于向存在于云上的代理HSM提供高安全等级的密钥管理服务(KMS)。在该实施例中,系统100包括驻留在用户的物理组织内部的内部物理HSM 200。在各实施例中,内部物理HSM是直接附连到计算机或网络服务器的诸如插件卡或外部设备之类的硬件。例如,图1的存储系统34可以是内部物理HSM。在实施例中,图2的云计算环境50的节点10之一可以是内部物理HSM 200。内部物理HSM 200在其中存储主密钥加密密钥210和多个客户根密钥(customer root key,CRK),在该示例中,客户根密钥CRK-X220、CRK-Y230和CRK-Z240。尽管在该示例中示出了三个客户根密钥,但更少或更多的客户根密钥可驻留在内部HSM 200上。如本文所使用的,CRK是指用于其他密钥的加密或解密以提供保密保护的密码密钥。尽管在本文所述的一些实施例中CRK包装密钥,但应注意,在其他实施例中,CRK可包装其他类型的秘密。
专用云(或代理)HSM 300从内部物理HSM 200联合并且包括主密钥加密密钥210(私钥)的副本310(公钥)以及在该示例中CRK-X 220(私钥)的副本320(公钥)。在本申请中,术语“联合”被理解为意味着从其复制,使得内部物理HSM 200的虚拟副本以代理HSM 300的形式被复制到云。在实施例中,代理HSM 300位于远离内部物理HSM 200的位置。在其他实施例中,代理HSM 300位于物理上位于与内部物理HSM 200相同的设施中的云服务器上,并且在一些实施例中,云服务器和内部物理HSM200两者由同一实体拥有和/或操作。在实施例中,代理HSM 300是驻留在云服务器(如图4中的云服务器500或图1中的计算机系统/服务器12)上的虚拟HSM。例如,图2的云计算环境50的节点10之一可以是云服务器500。尽管在该示例中,代理HSM 300包括仅一个CRK的副本,但其他示例包括存储在内部物理HSM 200上的CRK中的一个以上CRK的副本。如下所述,将识别通信400从内部物理HSM 200发送到代理HSM300。在实施例中,还可以存在从代理HSM 300到内部物理HSM 200的通信。这样的通信可以包括例如对所采取的动作或所访问的密钥的确认。在实施例中,通过网络连接(例如,通过互联网、广域网(WAN)、局域网(LAN)或一些其他网络的有线或无线连接)来传输通信400。
如图5所示,CRK-X 320包括元数据以及包装(加密)密钥的若干版本。包装密钥的若干版本包括当前版本或活跃的密钥。虽然该示例示出客户根密钥保护被包装的密钥,但应注意,在其他实施例中,受保护信息是某种其他类型的秘密信息。
图6示出了根据本发明的方面的示例性方法的流程图。该方法的步骤可以在图4的环境中执行,并且参见图4中描绘的元件来描述。
在步骤610,系统100由计算机设备从内部物理HSM 200联合代理HSM 300。在该示例中,计算机设备是云服务器,诸如图4中的云服务器500。在步骤620,系统100由计算机设备存储代理HSM 300。在该示例中,代理HSM 300被存储在云服务器上。在步骤630,系统100由计算机设备接收来自内部物理HSM 200的周期性识别通信。在步骤640,作为计算机设备没有接收到预定数量的连续周期性识别通信的结果,系统100由计算机设备擦除代理HSM300。在实施例中,并且如关于图4所描述的,内部物理HSM 200向存在于云上的代理HSM 300发送周期性识别通信(心跳)。如果代理HSM300没有接收到它被编程为接收的识别通信,则代理HSM 300擦除其自身。当创建代理HSM 300时,由用户设置被认为足以引起擦除的通信故障的阈值。在实施例中,当未接收到预定数量的连续识别通信时,触发擦除。在其他实施例中,当在设定时间段内没有接收到预定数量的识别通信时,触发擦除。例如,如果代理HSM300在五分钟的时间跨度内没有接收到识别通信,则代理HSM 300将自己擦除。关于错过的通信的数量、持续时间和模式的其他标准可以用于触发代理HSM 300的擦除。在实施例中,当代理HSM 300擦除其自身时,代理HSM 300擦除代理HSM 300中的所有事物,包括公钥。虽然该示例使用加密密钥作为在代理HSM 300上受保护的信息,但是应注意,根据本发明,任何其他秘密信息同样可以在代理HSM 300上受保护。
代理HSM 300的擦除可以包括例如通过任何可接受的方法(包括但不限于用数字0和1重写)重写代理HSM 300和云上的所有相关联的信息。
其中代理HSM的擦除由内部物理HSM没有接收预定数量的连续周期性识别通信引起的实施例具有在不期望的情况下防止代理HSM的擦除的优点。例如,功率或处理中的微小中断可能导致代理HSM错过一个或多个识别通信。如果识别通信之间的时间段非常短,则尤其如此。在这种情况下,在一些实施例中,期望防止由于识别通信被错过而引起的擦除。
允许代理HSM结合到内部物理HSM并且防止代理HSM随后绑定到内部物理HSM的实施例具有防止使用经修改版本的代理HSM的优点。防止代理HSM到内部物理HSM的后续绑定防止安全漏洞篡改代理HSM,因为代理HSM中的变化将不会传递到内部物理HSM。这是因为用篡改的HSM将不会绑定到内部物理HSM。
其中代理HSM的擦除由在预定时间段期间内部物理HSM没有接收预定数量的周期性识别通信引起的实施例具有在不期望的情况下防止代理HSM的擦除的优点。例如,功率或处理中的微小中断可能导致代理HSM错过一个或多个识别通信。如果识别通信之间的时间段非常短,则尤其如此。在这种情况下,在一些实施例中,期望防止由于识别通信被错过而引起的擦除。
其中仅由于代理HSM从内部物理HSM接收改变的批准而允许对代理HSM的改变的实施例具有通过确保所有这样的改变都由用户来批准来防止对代理HSM的未经授权的改变的优点。
实施例,其中(1)代理HSM的擦除由内部物理HSM在预定时间段内没有接收预定数量的周期性识别通信而引起,以及(2)仅由于代理HSM从内部物理HSM接收对改变的批准而允许对代理HSM的改变,也是有用的,因为它创建了用于使用代理HSM的未经授权的副本的更困难的环境。
图7示出了根据本发明的方面的示例性方法的流程图。该方法的步骤可以在图4的环境中执行,并且参见图4中描绘的元件来描述。
在步骤710,系统100由计算机设备(例如,图4中的内部物理HSM 200)允许从计算机设备联合代理HSM(例如,图4中的代理HSM 300)。代理HSM包括程序指令,作为代理HSM没有接收到周期性识别通信的结果,该程序指令指示代理HSM擦除代理HSM。当计算机设备允许从计算机设备联合代理HSM时,计算机设备允许例如云服务器从计算机设备拷贝数据以创建代理HSM。在步骤720,系统100由计算机设备将周期性识别通信传输到代理HSM 300。
在实施例中,服务提供商可以提供执行本文所描述的过程。在这种情况下,服务提供者可以为一个或多个客户创建、维护、部署、支持等执行本发明的处理步骤的计算机基础设施。这些客户可以是例如使用技术的任何业务。作为回报,服务提供商可以根据订阅和/或费用协议从消费者接收支付,和/或服务提供商可以从对一个或多个第三方的广告内容的销售接收支付。
在另外的实施例中,本发明提供了一种经由网络的计算机实现的方法。在这种情况下,可以提供诸如计算机系统/服务器12(图1)的计算机基础设施,并且可以获得(例如,创建、购买、使用、修改等)用于执行本发明的过程的一个或多个系统并且将其部署到计算机基础设施。就此而言,系统的部署可包括以下中的一个或多个:(1)将程序代码从计算机可读介质安装在诸如计算机系统/服务器12(如图1所示)的计算设备上;(2)将一个或多个计算设备添加到计算机基础设施;以及(3)结合和/或修改计算机基础设施的一个或多个现有系统以使得计算机基础设施能够执行本发明的过程。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (25)
1.一种方法,包括:
由计算机设备从物理硬件安全模块联合代理硬件安全模块;
由所述计算机设备存储所述代理硬件安全模块;
由所述计算机设备从所述物理硬件安全模块接收多个周期性识别通信中的第一个;以及
作为所述计算机设备没有接收到所述多个周期性识别通信中的第二个的结果,由所述计算机设备擦除所述代理硬件安全模块。
2.根据权利要求1所述的方法,其中,由所述计算机设备对所述代理硬件安全模块的擦除是由于所述计算机设备没有接收到所述多个周期性识别通信中的预定数量的连续周期性识别通信而引起的。
3.根据权利要求2所述的方法,其中,所述联合包括由所述计算机设备联合来自所述物理硬件安全模块的秘密材料。
4.根据权利要求3所述的方法,其中,所述秘密材料是加密密钥。
5.根据权利要求1所述的方法,其中,由所述计算机设备对所述代理硬件安全模块的擦除是由于所述计算机设备在预定时间段内没有接收到预定数量的所述多个周期性识别通信而引起的。
6.根据权利要求5所述的方法,进一步包括:由所述计算机设备允许将所述代理硬件安全模块绑定到所述物理硬件安全模块,以及
由所述计算机设备允许所述物理硬件安全模块以防止所述计算机设备到所述物理硬件安全模块的任何后续绑定。
7.根据权利要求6所述的方法,进一步包括:由所述计算机设备在所述绑定期间联合来自所述物理硬件安全模块的加密密钥。
8.根据权利要求5所述的方法,仅作为所述计算机设备从所述物理硬件安全模块接收对所述改变的批准的结果,所述计算机设备允许所述代理硬件安全模块的改变。
9.根据权利要求5所述的方法,进一步包括由所述计算机设备联合来自所述物理硬件安全模块的秘密材料。
10.根据权利要求1所述的方法,其中,服务提供者创建、维护、部署和支持中的至少一项所述计算机设备。
11.根据权利要求1所述的方法,其中,所述代理硬件安全模块的所述存储由服务提供者基于订阅、广告和/或费用来提供。
12.根据权利要求1所述的方法,其中,所述计算机设备包括作为云环境中的服务提供的软件。
13.一种计算机程序产品,所述计算机程序产品包括计算机可读存储介质,所述计算机可读存储介质具有程序指令,所述程序指令能够由计算机设备执行以使所述计算机设备:
从物理硬件安全模块联合代理硬件安全模块;
存储所述代理硬件安全模块;
从所述物理硬件安全模块接收多个周期性识别通信中的第一个;并且
作为所述计算机设备没有接收到所述多个周期性识别通信中的第二个的结果,擦除所述代理硬件安全模块。
14.根据权利要求13所述的计算机程序产品,其中,作为所述计算机设备没有接收到所述多个周期性识别通信中的预定数量的连续周期性识别通信的结果,能够由所述计算机设备执行的所述程序指令使得所述计算机设备擦除所述代理硬件安全模块。
15.根据权利要求13所述的计算机产品,其中能够由所述计算机设备执行的所述程序指令仅由于所述计算机设备从所述物理硬件安全模块接收到对所述改变的批准而允许对所述计算机设备的改变。
16.根据权利要求13所述的计算机产品,其中,能够由计算机设备执行的所述程序指令使所述计算机设备联合来自所述物理硬件安全模块的秘密材料。
17.根据权利要求16所述的计算机产品,其中,所述秘密材料是加密密钥。
18.一种系统,包括:
处理器、计算机可读存储器和计算机可读存储介质;
用于从物理硬件安全模块联合代理硬件安全模块的程序指令;
用于存储所述代理硬件安全模块的程序指令;
用于从所述物理硬件安全模块接收多个周期性识别通信中的第一个的程序指令;以及
用于作为所述计算机设备没有接收到所述多个周期性识别通信中的第二个的结果而擦除所述代理硬件安全模块的程序指令,
其中,所述程序指令被存储在所述计算机可读存储介质上,以供所述处理器经由所述计算机可读存储器来执行。
19.根据权利要求18所述的系统,进一步包括用于作为所述计算机设备没有接收到所述多个周期性识别通信中的预定数量的连续周期性识别通信的结果而擦除所述代理硬件安全模块的程序指令。
20.一种方法,包括:
由计算机设备允许从所述计算机设备联合代理硬件安全模块,所述代理硬件安全模块包括程序指令;以及
由所述计算机设备向所述代理硬件安全模块传输多个周期性识别通信,
其中,作为所述代理硬件安全模块没有接收到第一预定数量的所述多个周期性识别通信的结果,所述程序指令指示所述代理硬件安全模块擦除所述代理硬件安全模块。
21.根据权利要求20所述的方法,其中,作为所述代理硬件安全模块没有接收到所述多个周期性识别通信中的第二预定数量的连续周期性识别通信的结果,所述程序指令指示所述代理硬件安全模块擦除所述代理硬件安全模块。
22.根据权利要求20所述的方法,进一步包括:由所述计算机设备将所述代理硬件安全模块绑定到所述计算机设备,
其中,所述计算机设备防止所述代理硬件安全模块到所述计算机设备的任何后续绑定。
23.根据权利要求22所述的方法,进一步包括:由所述计算机设备在绑定期间将加密密钥提供给所述代理硬件安全模块。
24.一种系统,包括:
存储加密密钥的物理硬件安全模块;
从所述物理硬件安全模块联合的联合代理硬件安全模块,所述联合代理硬件安全模块存储所述加密密钥的联合副本;
用于发送多个周期性识别通信的所述物理硬件安全模块上的程序指令;
用于从所述物理硬件安全模块接收所述多个周期性识别通信的所述联合代理硬件安全模块上的程序指令;以及
用于作为所述联合代理硬件安全模块没有接收到所述第一预定数量的所述多个周期性识别通信的结果而擦除所述联合代理硬件安全模块和所述加密密钥的所述联合副本的所述联合代理硬件安全模块上的程序指令。
25.根据权利要求24所述的系统,还包括用于作为所述联合代理硬件安全模块没有接收到所述多个周期性识别通信中的第二预定数量的连续周期性识别通信的结果而擦除所述联合代理硬件安全模块和所述加密密钥的所述联合副本的所述联合代理硬件安全模块上的程序指令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/144,251 US11222117B2 (en) | 2018-09-27 | 2018-09-27 | HSM self-destruction in a hybrid cloud KMS solution |
| US16/144,251 | 2018-09-27 | ||
| PCT/IB2019/057926 WO2020065461A1 (en) | 2018-09-27 | 2019-09-19 | Hsm self-destruction in a hybrid cloud kms solution |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112753196A true CN112753196A (zh) | 2021-05-04 |
| CN112753196B CN112753196B (zh) | 2023-03-24 |
Family
ID=69946268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980062190.0A Active CN112753196B (zh) | 2018-09-27 | 2019-09-19 | 混合云kms解决方案中的hsm自毁方法、系统和存储介质 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US11222117B2 (zh) |
| JP (1) | JP7308002B2 (zh) |
| CN (1) | CN112753196B (zh) |
| DE (1) | DE112019003130T5 (zh) |
| GB (1) | GB2590588B (zh) |
| WO (1) | WO2020065461A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022254274A1 (en) * | 2021-06-02 | 2022-12-08 | International Business Machines Corporation | Unified hsm and key management service |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI808229B (zh) * | 2019-07-29 | 2023-07-11 | 宜鼎國際股份有限公司 | 可遠端控制電子設備執行程序的系統及方法 |
| TWI735208B (zh) * | 2020-04-20 | 2021-08-01 | 宜鼎國際股份有限公司 | 資料防護系統及方法 |
| US11689522B2 (en) * | 2020-07-03 | 2023-06-27 | Vmware, Inc. | Method and apparatus for secure hybrid cloud connectivity |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110252232A1 (en) * | 2010-04-07 | 2011-10-13 | Apple Inc. | System and method for wiping encrypted data on a device having file-level content protection |
| US20120300940A1 (en) * | 2011-05-27 | 2012-11-29 | Jason Allen Sabin | Dynamic key management |
| CN103023877A (zh) * | 2012-11-23 | 2013-04-03 | 江苏乐买到网络科技有限公司 | 公共云中的数据保护和强制自我销毁 |
| US20150358161A1 (en) * | 2014-06-05 | 2015-12-10 | Cavium, Inc. | Systems and methods for secured backup of hardware security modules for cloud-based web services |
| US20170351879A1 (en) * | 2014-12-19 | 2017-12-07 | Private Machines Inc. | Systems and methods for using extended hardware security modules |
| CN107528848A (zh) * | 2017-09-04 | 2017-12-29 | 上海海事大学 | 一种云存储系统的敏感数据安全共享和自毁方法 |
| US10037330B1 (en) * | 2015-05-19 | 2018-07-31 | Cryptomove, Inc. | Security via dynamic data movement in a cloud-based environment |
| CN108418796A (zh) * | 2018-01-30 | 2018-08-17 | 西安电子科技大学 | 云数据多副本完整性验证及关联删除的方法、云存储系统 |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2001253818A1 (en) * | 2000-02-14 | 2001-08-20 | Christina Alvarez | Security module system, apparatus and process |
| US7370351B1 (en) * | 2001-03-22 | 2008-05-06 | Novell, Inc. | Cross domain authentication and security services using proxies for HTTP access |
| US7357309B2 (en) * | 2004-01-16 | 2008-04-15 | Telefonaktiebolaget Lm Ericsson (Publ) | EMV transactions in mobile terminals |
| US8074262B2 (en) * | 2005-05-13 | 2011-12-06 | Intel Corporation | Method and apparatus for migrating virtual trusted platform modules |
| US9122533B2 (en) | 2009-03-13 | 2015-09-01 | Novell, Inc. | System and method for reducing cloud IP address utilization using a distributor registry |
| US8631247B2 (en) | 2008-11-24 | 2014-01-14 | Certicom Corp. | System and method for hardware based security |
| JP2010231404A (ja) * | 2009-03-26 | 2010-10-14 | Ntt Communications Kk | 秘密情報管理システム、秘密情報管理方法、および秘密情報管理プログラム |
| US8370312B1 (en) | 2009-09-15 | 2013-02-05 | Symantec Corporation | Systems and methods for using cloud-based storage to optimize data-storage operations |
| JP5039931B2 (ja) * | 2009-10-06 | 2012-10-03 | セイコーインスツル株式会社 | 情報処理装置 |
| US9009475B2 (en) * | 2011-04-05 | 2015-04-14 | Apple Inc. | Apparatus and methods for storing electronic access clients |
| US20130219164A1 (en) * | 2011-12-29 | 2013-08-22 | Imation Corp. | Cloud-based hardware security modules |
| US20130179676A1 (en) * | 2011-12-29 | 2013-07-11 | Imation Corp. | Cloud-based hardware security modules |
| US9213804B2 (en) * | 2012-02-01 | 2015-12-15 | International Business Machines Corporation | Securing displayed information |
| US20130226812A1 (en) | 2012-02-24 | 2013-08-29 | Mads Landrok | Cloud proxy secured mobile payments |
| US9137222B2 (en) | 2012-10-31 | 2015-09-15 | Vmware, Inc. | Crypto proxy for cloud storage services |
| JP6538570B2 (ja) | 2013-03-04 | 2019-07-03 | ドキュサイン,インコーポレイティド | クラウドデータセキュリティのためのシステム及び方法 |
| US9426154B2 (en) * | 2013-03-14 | 2016-08-23 | Amazon Technologies, Inc. | Providing devices as a service |
| US9231923B1 (en) * | 2013-11-12 | 2016-01-05 | Amazon Technologies, Inc. | Secure data destruction in a distributed environment using key protection mechanisms |
| US9292711B1 (en) | 2014-01-07 | 2016-03-22 | Amazon Technologies, Inc. | Hardware secret usage limits |
| US9413730B1 (en) * | 2014-06-04 | 2016-08-09 | Skyhigh Networks, Inc. | Encryption in the cloud using enterprise managed keys |
| US20160028693A1 (en) * | 2014-07-28 | 2016-01-28 | Ge Intelligent Platforms, Inc. | Apparatus and method for security of industrial control networks |
| GB2531248B (en) * | 2014-10-08 | 2017-02-22 | Ibm | Controlled use of a hardware security module |
| US10791110B2 (en) | 2015-07-09 | 2020-09-29 | Cloudflare, Inc. | Certificate authority framework |
| US10162978B2 (en) * | 2015-09-22 | 2018-12-25 | Mastercard International Incorporated | Secure computer cluster with encryption |
| US10095549B1 (en) * | 2015-09-29 | 2018-10-09 | Amazon Technologies, Inc. | Ownership transfer account service in a virtual computing environment |
| US10812452B2 (en) * | 2016-04-01 | 2020-10-20 | Egnyte, Inc. | Methods for improving performance and security in a cloud computing system |
| US10305906B1 (en) * | 2016-09-13 | 2019-05-28 | Amazon Technologies, Inc. | Access heartbeat for a hardware security module |
| US10069860B1 (en) | 2017-02-14 | 2018-09-04 | International Business Machines Corporation | Protection for computing systems from revoked system updates |
-
2018
- 2018-09-27 US US16/144,251 patent/US11222117B2/en active Active
-
2019
- 2019-07-12 US US16/509,965 patent/US11176253B2/en active Active
- 2019-09-19 WO PCT/IB2019/057926 patent/WO2020065461A1/en active Application Filing
- 2019-09-19 DE DE112019003130.9T patent/DE112019003130T5/de active Pending
- 2019-09-19 JP JP2021506553A patent/JP7308002B2/ja active Active
- 2019-09-19 GB GB2105442.4A patent/GB2590588B/en active Active
- 2019-09-19 CN CN201980062190.0A patent/CN112753196B/zh active Active
-
2021
- 2021-12-16 US US17/552,726 patent/US20220108015A1/en active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110252232A1 (en) * | 2010-04-07 | 2011-10-13 | Apple Inc. | System and method for wiping encrypted data on a device having file-level content protection |
| US20120300940A1 (en) * | 2011-05-27 | 2012-11-29 | Jason Allen Sabin | Dynamic key management |
| CN103023877A (zh) * | 2012-11-23 | 2013-04-03 | 江苏乐买到网络科技有限公司 | 公共云中的数据保护和强制自我销毁 |
| US20150358161A1 (en) * | 2014-06-05 | 2015-12-10 | Cavium, Inc. | Systems and methods for secured backup of hardware security modules for cloud-based web services |
| US20170351879A1 (en) * | 2014-12-19 | 2017-12-07 | Private Machines Inc. | Systems and methods for using extended hardware security modules |
| US10037330B1 (en) * | 2015-05-19 | 2018-07-31 | Cryptomove, Inc. | Security via dynamic data movement in a cloud-based environment |
| CN107528848A (zh) * | 2017-09-04 | 2017-12-29 | 上海海事大学 | 一种云存储系统的敏感数据安全共享和自毁方法 |
| CN108418796A (zh) * | 2018-01-30 | 2018-08-17 | 西安电子科技大学 | 云数据多副本完整性验证及关联删除的方法、云存储系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022254274A1 (en) * | 2021-06-02 | 2022-12-08 | International Business Machines Corporation | Unified hsm and key management service |
| US11575508B2 (en) | 2021-06-02 | 2023-02-07 | International Business Machines Corporation | Unified HSM and key management service |
Also Published As
| Publication number | Publication date |
|---|---|
| US11222117B2 (en) | 2022-01-11 |
| JP7308002B2 (ja) | 2023-07-13 |
| GB2590588A (en) | 2021-06-30 |
| DE112019003130T5 (de) | 2021-03-11 |
| JP2022502882A (ja) | 2022-01-11 |
| US20220108015A1 (en) | 2022-04-07 |
| GB202105442D0 (en) | 2021-06-02 |
| US20200106608A1 (en) | 2020-04-02 |
| CN112753196B (zh) | 2023-03-24 |
| US11176253B2 (en) | 2021-11-16 |
| WO2020065461A1 (en) | 2020-04-02 |
| GB2590588B (en) | 2021-12-08 |
| US20200106607A1 (en) | 2020-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112753196B (zh) | 混合云kms解决方案中的hsm自毁方法、系统和存储介质 | |
| AU2020234675B2 (en) | Binding secure keys of secure guests to a hardware security module | |
| US20170286650A1 (en) | Tiered code obfuscation in a development environment | |
| CN113544675A (zh) | 安全执行客户机所有者环境控制符 | |
| US9887842B2 (en) | Binding software application bundles to a physical execution medium | |
| CN114930328A (zh) | 将安全模块的安全对象绑定到安全访客 | |
| AU2020426828B2 (en) | Reserving one or more security modules for secure guest | |
| CN113544674A (zh) | 用于安全接口控件的安全执行客户机所有者控制 | |
| CN113454594A (zh) | 用于云服务的本机代码生成 | |
| CN112348302A (zh) | 具有无状态协调器的可扩展工作流引擎 | |
| US11120140B2 (en) | Secure operations on encrypted data | |
| US12010229B2 (en) | Durability enforcement of cryptographic keys in a key management system | |
| US10277607B2 (en) | Login performance | |
| US11201730B2 (en) | Generating a protected key for selective use | |
| US11372983B2 (en) | Employing a protected key in performing operations | |
| US11995197B2 (en) | Sensitive data encryption | |
| CN117957540A (zh) | 安全地分发用于硬件安全模块的根密钥 | |
| CN115836291A (zh) | 系统生成的数据集加密密钥 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |