CN114595467A - 针对数据中心对象的多阶段保护 - Google Patents
针对数据中心对象的多阶段保护 Download PDFInfo
- Publication number
- CN114595467A CN114595467A CN202111432484.3A CN202111432484A CN114595467A CN 114595467 A CN114595467 A CN 114595467A CN 202111432484 A CN202111432484 A CN 202111432484A CN 114595467 A CN114595467 A CN 114595467A
- Authority
- CN
- China
- Prior art keywords
- encrypted data
- decryption keys
- location
- computing
- security module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0872—Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明的各方面包括基于物理位置来保护计算环境中的数据对象。各方面包括由计算系统从经认证用户接收用于访问经加密数据的请求,其中经加密数据包括关于用于加密经加密数据的加密密钥的信息。各方面还包括由计算系统将经加密数据提供给用户被认证的计算机系统,该计算机系统包括由存储在与硬件安全模块的位置相关联的硬件安全模块内的主密钥保护的解密密钥集合。各方面还包括由硬件安全模块基于确定数据加密密钥对应于解密密钥集合中的一个解密密钥解密经加密数据,其中解密密钥集合是基于硬件安全模块的位置而确定的。
Description
背景技术
本发明大体上涉及数据保护,并且更具体地,涉及基于物理位置来保护计算环境中的数据对象。
企业经常使用包括信任界限的数据保护系统来保护其数据。在这样的系统中,在信任界限内被保护的数据不能被移动到另一目的地。
发明内容
本发明的实施例涉及用于基于物理位置来保护计算环境中的数据对象的方法。一种非限制性示例计算机实现的方法包括由计算环境的计算系统从经认证用户接收用于访问经加密数据的请求,其中经加密数据包括关于用于加密经加密数据的数据加密密钥的信息。该方法还包括由计算系统将经加密数据提供给用户被认证的计算机系统,该计算机系统包括由存储在与硬件安全模块的位置相关联的硬件安全模块内的主密钥保护的解密密钥集合。该方法还包括由硬件安全模块基于确定数据加密密钥对应于解密密钥集合中的一个解密密钥来解密经加密数据,其中解密密钥集合是基于硬件安全模块的位置而确定的。
本发明的实施例涉及用于基于物理位置来保护计算环境中的数据对象的系统。非限制性示例系统包括彼此通信的第一计算系统、第二计算系统和数据存储设备。第一计算系统被布置在第一位置处,并且包括第一硬件安全模块,该第一硬件安全模块包含保护第一解密密钥集合的第一主密钥。第二计算系统被布置在第二位置处,并且包括第二硬件安全模块,该第二硬件安全模块包含保护第二解密密钥集合的第二主密钥。第一解密密钥集合是基于第一位置而确定的,并且第二解密密钥集合是基于第二位置而确定的。
本发明的实施例涉及用于基于物理位置来保护计算环境中的数据对象的计算机程序产品。一种非限制性示例计算机程序产品包括计算机可读存储介质,该计算机可读存储介质具有利用其具体实施的程序指令,该程序指令由处理器可执行以使处理器执行操作,该操作包括由计算环境的计算系统从经认证用户接收用于访问经加密数据的请求,其中加密数据包括关于用于加密经加密数据的加密密钥的信息。该操作还包括由计算系统将经加密数据提供给用户被认证的计算机系统,计算机系统包括由存储在与硬件安全模块的位置相关联的硬件安全模块内的主密钥保护的解密密钥集合。该方法还包括由硬件安全模块基于确定数据加密密钥对应于解密密钥集合中的一个解密密钥来解密经加密数据,其中解密密钥集合是基于硬件安全模块的位置而确定的。
通过本发明的技术实现了附加的技术特征和益处。本发明的实施例和各方面在本文中详细描述,并且被认为是所要求保护的主题的一部分。为了更好地理解,参考具体实施方式和附图。
附图说明
在说明书的结尾处的权利要求中特别地指出并清楚地要求了本文中所描述的专有权的细节。根据结合附图的以下具体实施方式,本发明的实施例的前述和其它特征和优点将变得清楚明白,其中:
图1描绘了根据本发明的一个或多个实施例的包括用于基于物理位置来保护数据对象的系统的计算环境的框图;
图2描绘了根据本发明的一个或多个实施例的用于基于物理位置来保护计算环境中的数据对象的方法的流程图;
图3描绘了根据本发明的一个或多个实施例的计算系统;
图4描绘了根据本发明的一个或多个实施例的云计算环境;以及
图5描绘了根据本发明的一个或多个实施例的抽象模型层。
本文中所描绘的示图是说明性的。在不脱离本发明的精神的情况下,可以对其中所描述的示图或操作进行许多变化。例如,可以以不同的顺序执行动作,或者可以添加、删除或修改动作。此外,术语“耦接”及其变型描述了在两个元件之间具有通信路径,并且不暗示元件之间的直接连接而在它们之间没有中间元件/连接。所有的这些变化都被认为是说明书的一部分。
具体实施方式
实施例包括用于基于物理位置来保护计算环境中的数据对象的方法、系统和计算机程序产品。在示例性实施例中,每个位置的计算系统与用于保护主密钥的硬件安全模块(HSM)相关联,该主密钥充当用于保护存储在计算系统中的密钥的包封密钥。结果是,存储在计算系统中的密钥随后被绑定到HSM。在示例性实施例中,对经加密数据的访问被限制于具有对HSM的访问和对计算系统的访问的用户,这是通过诸如轻量级目录访问协议(LDAP)的传统企业技术控制的。
在一个实施例中,主秘密用于解锁整个密钥分级结构。在一些实施例中,主秘密被存储在计算系统中的文件中,该文件然后由n个随机生成的值保护,该n个随机生成的值被用于导出用于加密主秘密的加密密钥。在一个实施例中,在没有对计算系统的直接物理访问的可信计算环境内执行主密钥的创建。然后,n个随机生成的值本身可以通过利用HSM加密来保护。然后,这将那些随机生成的值绑定到特定HSM。这些随机生成的值用于控制对计算系统中的其余加密/解密密钥的访问。当数据被加密时,关于在加密期间使用的密钥的信息被嵌入在数据内。
现在转向图1,示出了根据本发明的一个或多个实施例的包括用于基于物理位置来保护数据对象的系统的计算环境100的框图。在示例性实施例中,计算环境100包括多个计算系统110,每个计算系统包括硬件安全模块(HSM)112。在示例性实施例中,计算系统110中的一个或多个计算系统可以在诸如图3所示的计算系统中具体实施,在其他实施例中,计算系统110中的一个或多个计算系统可以在大型机计算系统中具体实施,例如IBM所销售的Z/ARCHITECTURE MAINFRAME计算机。在另一实施例中,计算系统110中的一个或多个计算系统可以在云计算系统中具体实施,诸如图4和图5中所示的云计算系统,HSM 112是被配置为保护和管理数字密钥并且执行加密、解密和其他密码功能的物理计算设备。在一个实施例中,HSM 112是IBM所销售的CRYPTOEXPRESS卡。
计算环境100还包括被配置为便于计算系统110、认证系统130和数据存储系统140之间的通信的网络120。网络120可以是公共(例如,因特网)、专用(例如,局域网、广域网、虚拟专用网)中的一个或多个或其组合,并且可以包括无线和有线传输系统(例如,卫星、蜂窝网络、地面网络等)。在示例性实施例中,认证系统130是集中式身份管理系统,其被配置为通过使用诸如轻量级目录访问协议(LDAP)等的传统企业技术来认证计算系统的用户。认证系统130可以在诸如图3所示的计算系统中具体实施,或者在诸如图4和图5所示的云计算系统中具体实施。
计算环境100还包括数据存储系统140,其被配置为存储由计算环境中的任何计算系统110可访问的数据对象。在示例性实施例中,以加密格式存储一个或多个数据对象。数据存储系统140可以在诸如图3中所示的计算系统中具体实施,或者在诸如图4和图5中所示的云计算系统中具体实施。
在示例性实施例中,每个HSM 112包含充当用于保护密钥114的包封密钥的唯一主密钥116a、116n。密钥114用于解锁密钥库118。使用HSM 112和唯一主密钥116a、116n将密钥库118及其内容绑定到HSM 112,从而将对经加密数据对象的访问限制于具有对HSM 112的访问和对权访问相关联的计算系统110的用户。在示例性实施例中,密钥库118包括密钥的层次结构,每个密钥用于解密由数据存储系统140加密的数据对象。在示例性实施例中,每个计算系统110上的密钥114被配置为解锁密钥库118中的密钥的层次结构的不同部分或子集。
现在参考图2,示出了根据本发明的一个或多个实施例的用于基于物理位置来保护计算环境中的数据对象的方法200的流程图。如框202所示,方法200包括从经认证用户接收用于访问经加密数据的请求。在示例性实施例中,经加密数据包括关于用于加密经加密数据的数据加密密钥的信息。接下来,如框204所示,方法200包括将经加密数据提供给用户被认证的计算机系统。在示例性实施例中,经认证用户由计算环境的认证系统认证,该认证系统被配置为验证计算机系统的用户的身份。
在示例性实施例中,计算机系统包括由存储在硬件安全模块内的主密钥保护的解密密钥集合,主密钥与硬件安全模块的位置相关联。该解密密钥集合被配置为解密计算环境的经加密数据存储设备中的经加密数据对象的子集。在示例性实施例中,主密钥对于硬件安全模块是唯一的。在示例性实施例中,主密钥由计算环境的安全管理员加载到硬件安全模块中。
方法200还包括由硬件安全模块基于确定数据加密密钥对应于解密密钥集合中的一个解密密钥来解密经加密数据,其中解密密钥集合是基于硬件安全模块的位置而确定的。在示例性实施例中,方法200包括基于确定数据加密密钥不对应于解密密钥集合中的一个解密密钥来拒绝对经加密数据的访问。在示例性实施例中,与位置相关联的硬件安全模块的标识包括确定认证用户的一个或多个属性。经认证用户的一个或多个属性包括经认证用户的物理位置、经认证用户的访问组和经认证用户的组织角色中的一个或多个。
在示例性实施例中,当用户想要访问计算环境内的被保护数据时,执行多个认证检查。首先,用户必须利用认证系统认证。接着,用户将被保护数据呈现给计算环境中的计算系统,被保护数据包括关于用于保护数据的数据加密密钥(DEK)的嵌入信息。然后,DEK将在计算系统中被找到,并且将被用于解密被保护数据。被保护数据的解密将仅在HSM可用于要解密的密钥材料以供使用的环境中工作。结果是,可以创建允许用户跨计算环境登录到不同计算系统的物理界限,但是用户将仅能够基于与计算系统相关联的HSM来访问每个计算系统中的特定类型的被保护数据。
本发明的一个或多个实施例提供了优于当前数据保护方法的技术改进。在示例性实施例中,计算环境提供了系统管理员与安全管理员之间的职责分离,其允许在地理上分散的计算环境中对敏感数据的更高等级的保护和控制。在示例性实施例中,安全管理员可以通过移除针对计算系统的HSM访问而不与计算系统的系统管理员进行任何交互来移除该计算系统对被保护数据的访问。另外,虽然系统管理员可以将计算环境中的计算系统在一个位置处复制到第二位置,但是安全管理员将需要在第二位置处提供HSM,以便第二位置处的用户能够访问被保护数据。
现在转到图3,根据实施例一般地示出了计算机系统300。计算机系统300可以是包括和/或采用任何数量的计算设备和网络及其组合的电子计算机架构,计算设备和网络利用各种通信技术,如本文。计算机系统300可以是容易地可缩放、可扩展和模块化的,具有改变到不同服务或独立于其它特征重新配置一些特征的能力。计算机系统300可以是例如服务器、台式计算机、膝上型计算机、平板计算机或智能电话。在一些示例中,计算机系统300可以是云计算节点。计算机系统300可在计算机系统可执行指令的一般上下文中描述,诸如由计算机系统执行的程序模块。通常,程序模块可以包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、逻辑、数据结构等。计算机系统300可以在分布式云计算环境中实践,其中任务由通过通信网络链接的远程处理设备执行。在分布式云计算环境中,程序模块可以位于包括存储器存储设备的本地和远程计算机系统存储介质中。
如图3所示,计算机系统300具有一个或多个中央处理单元(CPU)301a、301b、301c等(被统称为或统称为处理器301)。处理器301可以是单核处理器、多核处理器、计算集群或任何数量的其他配置。处理器301也被称为处理电路,其经由系统总线302耦接到系统存储器303和各种其它组件。系统存储器303可以包括只读存储器(ROM)304和随机访问存储器(RAM)305。ROM 304耦接到系统总线302,并且可以包括基本输入/输出系统(BIOS),其控制计算机系统300的某些基本功能。RAM是耦接到系统总线302以供处理器301使用的读写存储器。系统存储器303在操作期间为指令的操作提供临时存储器空间。系统存储器303可以包括随机访问存储器(RAM)、只读存储器、闪存或任何其他合适的存储器系统。
计算机系统300包括耦接到系统总线302的输入/输出(I/O)适配器306和通信适配器307。I/O适配器306可以是与硬盘308和/或任何其它类似组件通信的小型计算机系统接口(SCSI)适配器。I/O适配器306和硬盘308在本文中被统称为大容量存储器310。
用于在计算机系统300上执行的软件311可以存储在大容量存储装置310中。大容量存储310是处理器301可读的有形存储介质的示例,其中软件311被存储为由处理器301执行以使计算机系统300操作的指令,诸如在下面参考各附图所描述的。计算机程序产品和这种指令的执行的示例在本文中更详细地讨论。通信适配器307将系统总线302与网络312互连,该网络可以是外部网络,使得计算机系统300能够与其它这样的系统通信。在一个实施例中,系统存储器303的一部分和大容量存储310共同存储操作系统,该操作系统可以是任何适当的操作系统,诸如来自IBM公司的z/OS或AIX操作系统,以协调图3中所示的各种组件的功能。
附加的输入/输出设备被示出为经由显示适配器315和接口适配器316连接到系统总线302。在一个实施例中,适配器306、307、315和316可以连接到一个或多个I/O总线,该I/O总线经由中间总线桥(未示出)连接到系统总线302。显示器319(例如,屏幕或显示监视器)通过显示适配器315连接到系统总线302,该显示适配器可以包括图形控制器和视频控制器,以改善图形密集应用的性能。键盘321、鼠标322、扬声器323等可以经由接口适配器316互连到系统总线302,该接口适配器可以包括例如将多个设备适配器集成到单个集成电路中的超级I/O芯片。用于连接诸如硬盘控制器、网络适配器和图形适配器的外围设备的合适的I/O总线通常包括公共协议,诸如外围组件互连(PCI)。因此,如图3中所配置的,计算机系统300包括处理器301形式的处理能力,以及包括系统存储器303和大容量存储器310的存储能力、诸如键盘321和鼠标322的输入装置,以及包括扬声器323和显示器319的输出能力。
在一些实施例中,通信适配器307可以使用任何合适的接口或协议来传输数据,诸如因特网小型计算机系统接口等。网络312可以是蜂窝网络、无线电网络、广域网(WAN)、局域网(LAN)或因特网等。外部计算设备可以通过网络312连接到计算机系统300。在一些示例中,外部计算设备可以是外部网络服务器或云计算节点。
应当理解的是,图3的框图不旨在指示计算机系统300将包括图3中所示的所有组件,相反,计算机系统300可以包括图3中未示出的任何适当的更少或附加的组件(例如,附加的存储器组件、嵌入式控制器、模块、附加的网络接口等)。此外,本文关于计算机系统300描述的实施例可以用任何适当的逻辑来实现,其中如本文所提到的逻辑在各种实施例中可以包括任何适当的硬件(例如,处理器、嵌入式控制器或专用集成电路等)、软件(例如,应用等)、固件或硬件、软件和固件的任何适当的组合。
应当理解的是,尽管本公开包括关于云计算的详细描述,但是本文所陈述的教导的实现不限于云计算环境。相反,本发明的实施例能够结合现在已知或以后开发的任何其它类型的计算环境来实现。
云计算是一种服务递送模型,用于实现对可配置计算资源(例如,网络、网络带宽、服务器、处理、存储器、存储、应用、虚拟机和服务)的共享池的方便的按需网络访问,可配置计算资源可以以最小的管理努力或与服务的提供者的交互来快速供应和释放。该云模型可以包括至少五个特性、至少三个服务模型和至少四个部署模型。
特性如下:
按需自助:云消费者可以单方面地自动地根据需要提供计算能力,诸如服务器时间和网络存储,而不需要与服务的提供者进行人工交互。
广域网接入:能力在网络上可用,并且通过促进由异构的薄或厚客户端平台(例如,移动电话、膝上型计算机和PDA)使用的标准机制来访问。
资源池化:供应方的计算资源被集中以使用多租户模型来服务多个消费者,其中不同的物理和虚拟资源根据需求被动态地分配和重新分配。存在位置无关的意义,因为消费者通常不控制或不知道所提供的资源的确切位置,但是能够在较高抽象级别(例如国家、州或数据中心)指定位置。
快速弹性:在一些情况下,可以快速且弹性地提供快速向外扩展的能力和快速向内扩展的能力。对于消费者,可用于提供的能力通常看起来不受限制,并且可以在任何时间以任何数量购买。
测量服务:云系统通过利用在适合于服务类型(例如,存储、处理、带宽和活动用户账户)的某一抽象级别的计量能力来自动地控制和优化资源使用。可以监视、控制和报告资源使用,从而为所利用服务的提供者和消费者两者提供透明性。
服务模型如下:
软件即服务(SaaS):提供给消费者的能力是使用在云基础设施上运行的提供者的应用。应用程序可通过诸如web浏览器(例如,基于web的电子邮件)等瘦客户机界面从各种客户机设备访问。消费者不管理或控制包括网络、服务器、操作系统、存储、或甚至个别应用能力的底层云基础结构,可能的例外是有限的用户专用应用配置设置。
平台即服务(PaaS):提供给消费者的能力是将消费者创建或获取的应用部署到云基础设施上,该消费者创建或获取的应用是使用由提供方支持的编程语言和工具创建的。消费者不管理或控制包括网络、服务器、操作系统或存储的底层云基础设施,但是具有对部署的应用和可能的应用托管环境配置的控制。
基础设施即服务(IaaS):提供给消费者的能力是提供处理、存储、网络和消费者能够部署和运行任意软件的其它基本计算资源,软件可以包括操作系统和应用。消费者不管理或控制底层云基础设施,但具有对操作系统、存储、部署的应用的控制,以及可能对选择的联网组件(例如,主机防火墙)的有限控制。
部署模型如下:
私有云:云基础设施仅为组织操作。它可以由组织或第三方管理,并且可以存在于建筑物内或建筑物外。
社区云:云基础设施由若干组织共享,并且支持具有共享关注(例如,任务、安全要求、策略和合规性考虑)的特定社区。它可以由组织或第三方管理,并且可以存在于场所内或场所外。
公有云:云基础设施可用于一般公众或大型工业群体,并且由销售云服务的组织拥有。
混合云:云基础设施是两个或更多云(私有、共同体或公共)的组合,云保持唯一实体,但是通过使数据和应用能够移植的标准化或私有技术(例如,用于云之间的负载平衡的云突发)绑定在一起。
云计算环境是面向服务的,其焦点在于无状态、低耦接、模块性和语义互操作性。在云计算的核心是包括互连节点的网络的基础设施。
现在参考图4,描绘了说明性云计算环境50。如图所示,云计算环境50包括云消费者使用的本地计算设备可以与其通信的一个或多个云计算节点10,本地计算设备例如个人数字助理(PDA)或蜂窝电话54A、台式计算机54B、膝上型计算机54C和/或汽车计算机系统54N。节点10可以彼此通信。它们可以被物理地或虚拟地分组(未示出)在一个或多个网络中,诸如如上文描述的私有云、社区云、公共云或混合云或其组合。这允许云计算环境50提供基础设施、平台和/或软件作为服务,云消费者不需要为其维护本地计算设备上的资源。应当理解的是,图4中所示的计算设备54A-N的类型仅旨在说明,并且计算节点10和云计算环境50可以在任何类型的网络和/或网络可寻址连接上(例如,使用web浏览器)与任何类型的计算机化设备通信。
现在参考图5,示出了由云计算环境50(图4)提供的一组功能抽象层。应当预先理解,图5中所示的组件、层和功能仅旨在说明,并且本发明的实施例不限于此。如所描绘的,提供了以下层和相应的功能:
硬件和软件层60包括硬件和软件组件。硬件组件的示例包括:主机61;基于RISC(精简指令集计算机)架构的服务器62;服务器63;刀片服务器64;存储装置65;以及网络和网络组件66。在一些实施例中,软件组件包括网络应用服务器软件67和数据库软件68。
虚拟化层70提供抽象层,从该抽象层可以提供虚拟实体的以下示例:虚拟服务器71;虚拟存储器72;虚拟网络73,包括虚拟专用网络;虚拟应用和操作系统74;以及虚拟客户机75。
在一个示例中,管理层80可以提供下面所描述的功能。资源供应81提供用于在云计算环境内执行任务的计算资源和其它资源的动态采购。计量和定价82提供了在云计算环境中利用资源时的成本跟踪,以及用于消耗这些资源的开帐单或发票。在一个示例中,这些资源可以包括应用软件许可证。安全性为云消费者和任务提供身份验证,以及为数据和其他资源提供保护。用户门户83为消费者和系统管理员提供对云计算环境的访问。服务级别管理84提供云计算资源分配和管理,使得满足所需的服务级别。服务水平协议(SLA)规划和履行85提供对云计算资源的预安排和采购,其中根据SLA预期未来需求。
工作负载层90提供了可以利用云计算环境的功能的示例。可以从该层提供的工作负载和功能的示例包括:绘图和导航91;软件开发和生命周期管理92;虚拟教室教育传送93;数据分析处理94;交易处理95;以及数据保护96。
在本文中参考相关附图描述了本发明的各种实施例。在不偏离本发明的范围的情况下,可以设计本发明的备选实施例。在以下描述和附图中,在元件之间阐述了各种连接和位置关系(例如,上方、下方、相邻等)。除非另有说明,这些连接和/或位置关系可以是直接的或间接的,并且本发明并不旨在在这方面进行限制。因此,实体的偶联可以指直接或间接偶联,并且实体之间的位置关系可以是直接或间接位置关系。此外,本文的各种任务和过程步骤可并入具有本文未详细描述的额外步骤或功能性的更综合程序或过程中。
本文的一种或多种方法可以用本领域公知的以下技术中的任一种或其组合来实现:具有用于根据数据信号实现逻辑功能的逻辑门的离散逻辑电路、具有适当组合逻辑门的专用集成电路(ASIC)、可编程门阵列(PGA)、现场可编程门阵列(FPGA)等
为了简洁起见,与制造和使用本发明的方面相关的常规技术可以或可以不在本文中详细描述。特别地,用于实现本文中所描述的各种技术特征的计算系统和特定计算机程序的各个方面是公知的。因此,为了简洁起见,许多常规实现细节在本文中仅简要提及或完全省略,而不提供众所周知的系统和/或过程细节。
在一些实施例中,各种功能或动作可以在给定位置处和/或结合一个或多个装置或系统的操作而发生。在一些实施例中,给定功能或动作的一部分可以在第一设备或位置处执行,并且该功能或动作的其余部分可以在一个或多个附加设备或位置处执行。
本文所使用的术语仅是为了描述特定实施例的目的,而不是旨在进行限制。如本文所使用的那样,单数形式“一”、“一个”和“该”旨在也包括复数形式,除非上下文另有明确指示。还将理解,术语“包括”和/或“包含”在本说明书中使用时,指定所陈述的特征、整数、步骤、操作、元件和/或组件的存在,但不排除一个或多个其它特征、整数、步骤、操作、元件组件和/或其群组的存在或添加。
以下权利要求中的所有装置或步骤加功能元件的对应结构、材料、动作和等同物旨在包括用于与如具体要求保护的其它要求保护的元件组合执行功能的任何结构、材料或动作。本公开内容是出于说明和描述的目的而呈现的,但是不旨在是穷举的或限于所公开的形式。在不背离本公开的范围和精神的情况下,许多修改和变化对于本领域普通技术人员将是显而易见的。选择和描述实施例是为了最好地解释本公开的原理和实际应用,并且使本领域的其他普通技术人员能够理解具有各种修改的各种实施例的本公开,这些修改适合于所设想的特定用途。
这里描述的图是说明性的。在不脱离本公开的精神的情况下,可以存在对其中描述的图或步骤(或操作)的许多变化。例如,可以以不同的顺序执行动作,或者可以添加、删除或修改动作。此外,术语“耦接”描述在两个元件之间具有信号路径,并且不暗示元件之间的直接连接,而其间没有中间元件/连接。所有这些变化被认为是本公开的一部分。
以下定义和缩写用于解释权利要求和说明书。如本文中所使用的那样,术语“包含”、“包括”、“具有”、“含有”或其任何其它变型旨在涵盖非排他性的包括。例如,包括一系列要素的组合物、混合物、工艺、方法、制品或装置不一定仅限于那些要素,而是可以包括未明确列出的或此类组合物、混合物、工艺、方法、制品或装置固有的其他要素。
另外,术语“示例性”在本文中用于表示“用作示例、实例或说明”。在本文中描述为“示例性”的任何实施例或设计不一定被解释为比其它实施例或设计更优选或有利。术语“至少一个”和“一个或多个”被理解为包括大于或等于一的任何整数,即一、二、三、四等。术语“多个”应理解为包括大于或等于二的任何整数,即二、三、四、五等。术语“连接”可以包括间接“连接”和直接“连接”两者。“
术语”约“、”基本上“、”大约“及其变体旨在包括与基于提交本申请时可用的设备的特定量的测量相关联的误差度。例如,”约“可以包括给定值的±8%或5%或2%的范围。
本发明可以是任何可能的技术细节集成水平的系统、方法和/或计算机程序产品。计算机程序产品可以包括其上具有计算机可读程序指令的计算机可读存储介质(或多个介质),计算机可读程序指令用于使处理器执行本发明的各方面。
计算机可读存储介质可以是能够保留和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质可以是例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或前述的任何合适的组合。计算机可读存储介质的更具体示例的非穷举列表包括以下:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、静态随机访问存储器(SRAM)、便携式光盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、诸如上面记录有指令的打孔卡或凹槽中的凸起结构的机械编码装置,以及上述的任何适当组合。如本文所使用的计算机可读存储介质不应被解释为暂时性信号本身,诸如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如,通过光纤线缆的光脉冲)、或通过导线传输的电信号。
本文中所描述的计算机可读程序指令可以从计算机可读存储介质下载到相应的计算/处理设备,或者经由网络,例如因特网、局域网、广域网和/或无线网络,下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或网络接口从网络接收计算机可读程序指令,并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路的配置数据,或者以一种或多种编程语言(包括面向对象的编程语言,例如Smalltalk、C++等)和过程编程语言(例如“C”编程语言或类似的编程语言)的任意组合编写的源代码或目标代码。计算机可读程序指令可以完全在用户的计算机上执行,部分在用户的计算机上执行,作为独立的软件包执行,部分在用户的计算机上并且部分在远程计算机上执行,或者完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可以通过任何类型的网络连接到用户的计算机,包括局域网(LAN)或广域网(WAN),或者可以连接到外部计算机(例如,使用因特网服务提供方通过因特网)。在一些实施例中,为了执行本发明的各方面,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以使电子电路个性化。
在本文中参考根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各方面。将理解,流程图和/或框图的每个框以及流程图和/或框图中的框的组合可以由计算机可读程序指令来实现。
这些计算机可读程序指令可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现流程图和/或框图的一个或多个框中指定的功能/动作的装置。这些计算机可读程序指令还可以存储在计算机可读存储介质中,其可以引导计算机、可编程数据处理装置和/或其他设备以特定方式工作,使得其中存储有指令的计算机可读存储介质包括制品,该制品包括实现流程图和/或框图的一个或多个框中指定的功能/动作的各方面的指令。
计算机可读程序指令还可以被加载到计算机、其他可编程数据处理装置或其他设备上,以使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤,以产生计算机实现的过程,使得在计算机、其他可编程装置或其他设备上执行的指令实现流程图和/或框图的一个或多个框中指定的功能/动作。
附图中的流程图和框图示出了根据本发明的各种实施例的系统、方法和计算机程序产品的可能实现的架构、功能和操作。在这点上,流程图或框图中的每个框可以表示指令的模块、段或部分,其包括用于实现指定的逻辑功能的一个或多个可执行指令。在一些备选实施方式中,框中所注明的功能可不按图中所注明的次序发生。例如,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的顺序执行,这取决于所涉及的功能。还将注意,框图和/或流程图图示的每个框以及框图和/或流程图图示中的框的组合可以由执行指定功能或动作或执行专用硬件和计算机指令的组合的专用的基于硬件的系统来实现。
已经出于说明的目的给出了本发明的各种实施例的描述,但是其不旨在是穷尽的或限于所公开的实施例。在不背离所描述的实施例的范围和精神的情况下,许多修改和变化对于本领域的普通技术人员将是显而易见的。选择本文所使用的术语以最好地解释实施例的原理、实际应用或对市场上存在的技术改进,或使本领域的其他普通技术人员能够理解本文所描述的实施例。
Claims (14)
1.一种用于基于物理位置来保护数据对象的系统,所述系统包括:
计算环境,包括彼此通信的第一计算系统、第二计算系统和数据存储设备,其中:
第一计算系统被布置在第一位置处并且包括第一硬件安全模块,所述第一硬件安全模块包含保护第一解密密钥集合的第一主密钥;
第二计算系统被布置在第二位置处并且包括第二硬件安全模块,所述第二硬件安全模块包含保护第二解密密钥集合的第二主密钥;
所述第一解密密钥集合是基于所述第一位置而确定的;以及
所述第二解密密钥集合是基于第二位置而确定的。
2.根据权利要求1所述的系统,其中所述第一解密密钥集合被配置为解密所述数据存储设备中的经加密数据对象的第一子集。
3.根据权利要求2所述的系统,其中所述第二解密密钥集合被配置为解密所述数据存储设备中的经加密数据对象的第二子集,并且其中所述第一子集不同于所述第二子集。
4.根据权利要求1所述的系统,其中所述第一计算系统被配置为:从所述第一位置处的经认证用户接收经加密数据,其中所述经加密数据包括关于被用于加密所述经加密数据的加密密钥的信息。
5.根据权利要求1所述的系统,其中所述第一计算系统还被配置为:基于确定所述数据加密密钥对应于所述第一解密密钥集合中的一个解密密钥,解密所述加密数据。
6.根据权利要求1所述的系统,其中所述计算环境还包括认证系统,所述认证系统控制对所述第一计算系统和所述第二计算系统的用户访问。
7.一种用于基于物理位置来保护计算环境中的数据对象的方法,所述方法包括:
由所述计算环境的计算系统从经认证用户接收用于访问经加密数据的请求,其中所述经加密数据包括关于用于加密所述经加密数据的加密密钥的信息;
由所述计算系统将所述经加密数据提供给所述用户在其中被认证的所述计算机系统,所述计算机系统包括由主密钥保护的解密密钥集合,所述主密钥存储在与所述硬件安全模块的位置相关联的硬件安全模块内;
由所述硬件安全模块基于确定所述数据加密密钥对应于所述解密密钥集合中的一个解密密钥来解密所述经加密数据,其中所述解密密钥集合是基于所述硬件安全模块的位置而确定的。
8.根据权利要求7所述的方法,其中所述经认证用户由所述计算环境的认证系统认证,所述认证系统被配置为验证所述计算机系统的用户的身份。
9.根据权利要求7所述的方法,其中所述主密钥对于所述硬件安全模块是唯一的。
10.根据权利要求7所述的方法,其中所述解密密钥集合被配置为解密所述计算环境的数据存储设备中的经加密数据对象的子集。
11.根据权利要求7所述的方法,还包括:基于确定所述数据加密密钥不对应于所述解密密钥集合中的一个解密密钥,拒绝对所述经加密数据的访问。
12.根据权利要求7所述的方法,其中与所述位置相关联的所述硬件安全模块的标识包括确定所述经认证用户的一个或多个属性。
13.根据权利要求7所述的方法,其中所述经认证用户的所述一个或多个属性包括所述经认证用户的物理位置、所述经认证用户的访问组、以及所述经认证用户的组织角色中的一个或多个。
14.一种计算机程序产品,包括计算机可读存储介质,所述计算机可读存储介质具有随其实施的程序指令,所述程序指令由处理器可执行以使所述处理器执行根据权利要求7至13中的任一项所述的方法的操作。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/111,560 | 2020-12-04 | ||
US17/111,560 US11522683B2 (en) | 2020-12-04 | 2020-12-04 | Multi-phase protection for data-centric objects |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114595467A true CN114595467A (zh) | 2022-06-07 |
Family
ID=79163994
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111432484.3A Pending CN114595467A (zh) | 2020-12-04 | 2021-11-29 | 针对数据中心对象的多阶段保护 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11522683B2 (zh) |
JP (1) | JP2022089781A (zh) |
CN (1) | CN114595467A (zh) |
DE (1) | DE102021130942A1 (zh) |
GB (1) | GB2605233A (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220353073A1 (en) * | 2021-04-28 | 2022-11-03 | Thales Dis Cpl Usa, Inc. | Method for authenticating an end-user account, method for single authenticating within a cluster of hsm, and method for implementing access control |
US11579783B1 (en) * | 2022-03-09 | 2023-02-14 | Vim Inc. | Multi-tenant storage |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030037237A1 (en) | 2001-04-09 | 2003-02-20 | Jean-Paul Abgrall | Systems and methods for computer device authentication |
US9819987B2 (en) * | 2010-11-17 | 2017-11-14 | Verizon Patent And Licensing Inc. | Content entitlement determinations for playback of video streams on portable devices |
US8560846B2 (en) * | 2011-01-13 | 2013-10-15 | Hewlett-Packard Development Company, L.P. | Document security system and method |
US9330275B1 (en) * | 2013-03-28 | 2016-05-03 | Amazon Technologies, Inc. | Location based decryption |
US10873454B2 (en) | 2014-04-04 | 2020-12-22 | Zettaset, Inc. | Cloud storage encryption with variable block sizes |
US9860256B2 (en) * | 2015-11-02 | 2018-01-02 | Box, Inc. | Geofencing of data in a cloud-based environment |
US10615970B1 (en) | 2017-02-10 | 2020-04-07 | Wells Fargo Bank, N.A. | Secure key exchange electronic transactions |
US11398900B2 (en) | 2018-06-21 | 2022-07-26 | Oracle International Corporation | Cloud based key management |
US10826693B2 (en) * | 2018-12-04 | 2020-11-03 | Bank Of America Corporation | Scalable hardware encryption |
-
2020
- 2020-12-04 US US17/111,560 patent/US11522683B2/en active Active
-
2021
- 2021-11-19 GB GB2116712.7A patent/GB2605233A/en active Pending
- 2021-11-25 DE DE102021130942.5A patent/DE102021130942A1/de active Pending
- 2021-11-29 CN CN202111432484.3A patent/CN114595467A/zh active Pending
- 2021-11-30 JP JP2021194758A patent/JP2022089781A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
JP2022089781A (ja) | 2022-06-16 |
US20220182233A1 (en) | 2022-06-09 |
GB2605233A (en) | 2022-09-28 |
US11522683B2 (en) | 2022-12-06 |
GB202116712D0 (en) | 2022-01-05 |
DE102021130942A1 (de) | 2022-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114341850B (zh) | 保护Kubernetes中的工作负载 | |
US20230031297A1 (en) | Binding secure keys of secure guests to a hardware security module | |
US10686765B2 (en) | Data access levels | |
US11153316B2 (en) | Locked-down cluster | |
US11455429B2 (en) | Container-based cryptography hardware security module management | |
US10542048B2 (en) | Security compliance framework usage | |
CN116530050A (zh) | 使用同态加密进行安全计算资源部署 | |
CN114595467A (zh) | 针对数据中心对象的多阶段保护 | |
CN115668860B (zh) | 用于识别加密对象的创建者的方法和系统 | |
WO2023061220A1 (en) | Managing proprietary structured objects | |
US9843605B1 (en) | Security compliance framework deployment | |
US11989282B2 (en) | Open-source container data management | |
CN114586032B (zh) | 安全的工作负载配置 | |
CN115150117A (zh) | 在分散策略中维持机密性 | |
US11558387B2 (en) | Validation of approver identifiers in a cloud computing environment | |
US20210281561A1 (en) | Certification for connection of virtual communication endpoints | |
US11943221B2 (en) | Preventing masquerading service attacks | |
US11288396B2 (en) | Data security through physical separation of data | |
CN116670670A (zh) | 用于基于容器的环境的集成认证 | |
CN115774661A (zh) | 具有用户数据隔离的多用户调试 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |