CN115150117A - 在分散策略中维持机密性 - Google Patents
在分散策略中维持机密性 Download PDFInfo
- Publication number
- CN115150117A CN115150117A CN202210319188.0A CN202210319188A CN115150117A CN 115150117 A CN115150117 A CN 115150117A CN 202210319188 A CN202210319188 A CN 202210319188A CN 115150117 A CN115150117 A CN 115150117A
- Authority
- CN
- China
- Prior art keywords
- policy
- metadata
- token
- encryption
- policies
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 56
- 238000011156 evaluation Methods 0.000 claims abstract description 26
- 230000004044 response Effects 0.000 claims abstract description 21
- 238000004590 computer program Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 claims description 5
- 239000006185 dispersion Substances 0.000 claims 2
- 230000006870 function Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 16
- 238000012545 processing Methods 0.000 description 12
- 238000013475 authorization Methods 0.000 description 9
- 238000007726 management method Methods 0.000 description 8
- 238000012986 modification Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 6
- 230000008520 organization Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004088 simulation Methods 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000009172 bursting Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本公开涉及用于在分散策略中保持元数据的机密性的方法。在该方法中,处理器可以生成与策略创建器相关联的一个或多个加密策略。处理器可以利用一个或多个加密策略生成与用户相关联的令牌元数据。处理器可以对令牌元数据进行加密以形成加密令牌元数据。处理器可以将一个或多个加密策略和加密令牌元数据发送到策略评估器。策略评估器可以评估一个或多个加密策略和加密令牌元数据。处理器可以返回响应。响应可以基于策略评估器的评估。
Description
技术领域
本公开一般涉及分散策略的领域,更具体地,涉及用于维护隐私和确保与分散策略相关联的用户的信息的机密性的方法和技术。
背景技术
在过去十年,数据隐私已经成为日益增长的关注,因为数据挖掘的技术进步已经允许收集大部分的个人数据。通常,在分散策略中,与执行特定策略功能无关的数据(例如,策略持有者的身份)可以与不具有与策略发布者相同信任级别的行动者共享。因此,需要确保个人、私人信息保持机密的方法和技术。
发明内容
本公开的实施例包括用于在分散策略中保持元数据的机密性的方法、计算机程序产品和系统。处理器可以生成与策略创建器相关联的一个或多个加密策略。处理器可以利用一个或多个加密策略来生成与用户相关联的令牌元数据。处理器可以对令牌元数据进行加密以形成加密令牌元数据。处理器可以将一个或多个加密策略和加密令牌元数据发送到策略评估器。策略评估器可以评估一个或多个加密策略和加密令牌元数据。处理器可以返回响应。响应可以基于策略评估器的评估。
上述的发明内容并非旨在描述本公开的每个所示的实施例或每一个实现。
附图说明
本公开所包括的附图被并入并形成说明书的一部分。它们示出了本公开的实施例,并且与说明书一起用于解释本公开的原理。附图仅说明某些实施例,而并不限制本公开。
图1示出根据本公开的实施例的用于在分散策略中保持元数据的机密性的系统的框图。
图2示出根据本公开的实施例的在分散策略中保持元数据的机密性的方法的流程图。
图3A示出根据本公开的实施例的云计算环境。
图3B示出根据本公开的实施例的抽象模型层。
图4示出根据本公开的实施例的可用于实现本文所描述的方法、工具和模块中的一个或多个以及任何相关功能的示例计算机系统的高级框图。
虽然本文所描述的实施例可修改成各种修改和替代形式,但其细节已在附图中以实例的方式示出并将被详细描述。然而,应当理解,所描述的特定实施例不应被理解为限制性的。相反,本发明将涵盖落入本公开的精神和范围内的所有修改、等同和替代方案。
具体实施方式
本公开一般涉及分散策略的领域,更具体地,涉及用于维护隐私和确保与分散策略相关联的用户的信息的机密性的方法和技术。虽然本公开不一定限于这样的应用,但是,通过使用该上下文的各种示例的讨论,可以理解本公开的各个方面。
通常,控制平面或第三方云提供商可以在分散策略管理配置中管理各种策略持有者的策略服务。在这种配置中,管理服务的控制平面不能完全可信。通常,控制平面由第三方公司及其雇员管理。那些第三方或者访问策略服务的任何人可能能够看见策略的编排组件及其元数据。通常,这些第三方未被认证以访问该数据/信息,并且可能缺乏特定的合规要求。结果,仅有特定信任级别可以被分配给控制平面。例如,软件即服务授权通常基于描述个人或服务的令牌。当策略持有者(例如,用户或管理员)向控制平面发出关于特定策略的调用或查询时,策略持有者必须提供描述和验证策略持有者的身份的一些私有细节/数据或属性(例如,元数据)以确保他们被授权访问该策略。这些私人细节/数据可以包括但不限于策略持有者的地址、客户识别号、以及公司或产品名称。
这些私有细节由于不是广泛已知的,因此可以与在策略中列出的信息进行匹配,以防止未经授权方访问在策略中配置的数据或秘密。取决于策略如何被结构化,验证授权用户/策略持有者以访问策略中的特定信息或对象所需的私有细节/数据可能与特定身份私有细节或属性紧密相关。在基于策略的决策制定中,控制平面可能在处理各种私有细节或属性,这些私有细节或属性可能是敏感的性质(例如,策略持有者可能期望保持机密)。如果这些私有细节/属性在控制平面访问它们的持续时间内(例如,在决策制定过程期间)被加密,则这些私有细节/属性可以保持机密和安全。这在私有细节/属性与在策略中提供的信息进行匹配的授权过程期间可特别有益。例如,授权过程可以由可能缺乏合规要求(例如,可由政府机构(诸如国家标准和技术协会)强加的那些要求)或者可能未被认证以看到与策略持有者的策略查询相关联的私有细节/属性的提供商(例如,外部认证)管理。因此,需要向策略发布者提供对私有细节/属性具有更精细控制的能力的方法和技术,以确保该数据保持机密或私有。
在本文所讨论的实施例中,采用用于在分散策略中保持元数据的机密性的方法、系统和计算机程序产品的形式提供了解决方案。本文所构想的实施例在分散策略中保持策略持有者对元数据(例如,私有细节/属性)的机密性。保持策略持有者的机密性可以确保策略持有者的客户的匿名性,保护与策略持有者或其客户相关联的订阅细节或者可能与特定策略相关联的任何其他信息。
在实施例中,处理器可以被配置为生成与策略创建器相关联的一个或多个加密策略(例如,用同态加密进行加密的)。策略创建器可以包括配置或定义策略的任何人或实体(例如,策略发布者)。在实施例中,策略创建器可以访问一个或多个策略以及与策略持有者(例如,用户、管理员、应用/应用软件等)相关联的元数据(例如,私有细节/属性)。在实施例中,策略创建器被认为是在分散策略管理配置内的完全可信方。
在实施例中,处理器可以利用一个或多个加密策略来生成与用户/应用相关联的元数据的令牌元数据。通过对元数据进行令牌化,在元数据内发现的私有细节/属性可被转换成随机字符串(例如,令牌)。该随机字符串可以参考原始数据,但是,随机字符串通常不能被反向工程。
在实施例中,处理器可以对令牌元数据进行加密以形成加密令牌元数据。通过对令牌元数据加密,可以防止任何第三方或未经授权的人/过程读取元数据。尽管可以使用任何类型的加密过程,但是在一些实施例中,可以使用同态加密来加密令牌元数据。在一些实施例中,处理器可以将加密令牌元数据配置到JSON网络令牌(JWT令牌)中。JWT令牌是一种封装信息的方法,其通常容易被读取但不能被篡改。JWT令牌通常包括公钥信息和有效载荷。例如,如果令牌的有效载荷被修改,则它将会不匹配签名。
尽管在一些实施例中,处理器可以将一个或多个加密策略和加密令牌元数据直接发送到策略评估器,但是在其他实施例中,资源服务器(例如,服务特定目的服务器)可以将一个或多个加密策略和加密令牌元数据传递到策略评估器。资源服务器可以被配置为管理一个或多个不同的资源,包括但不限于存储装置、CPU、存储器、容器、网络或其任意组合。在一些实施例中,为了以最佳方式供应资源,服务器可能需要请求关于该资源的应用的一些附加信息。该信息可包含必须加密的特定元数据。
在实施例中,策略评估器(例如,引擎)可以确定与一个或多个加密策略相关联的策略动作。策略评估器可以是分散策略管理配置内的缺乏完全信任(例如,缺少机密性证书)的任何一方。在一些实施例中,策略评估器和缺乏信任的其他方可能无法访问与用户/应用相关联的元数据。在一些实施例中,策略评估器可以获取JWT令牌。在一些实施例中,策略评估器可以被配置为存储由策略创建器生成的一个或多个加密策略。
在实施例中,策略评估器可以评估一个或多个加密策略和加密令牌元数据。在一些实施例中,策略评估器可以确定评估结果。在这些实施例中,评估结果可以基于由策略评估器对一个或多个加密策略和加密令牌元数据的评估。在这些实施例中,策略评估器可以基于评估结果来执行决策。
在实施例中,响应于评估一个或多个加密策略和加密令牌元数据,可以基于确定评估结果来生成/返回响应(例如,其可以像真/假响应那样简单)。例如,处理器可以确定具有属性A、B、C和D的资源Y是否可访问资源X(例如,评估结果),并生成是或否的响应。在这些实施例中,评估结果可以至少部分地基于由策略评估器对一个或多个加密策略和加密令牌元数据的评估。在实施例中,策略评估器可以至少部分地基于评估结果来执行决策。在这些实施例中,处理器可以将评估结果转发到资源服务器。在这些实施例中,资源服务器可以生成响应,并可以将响应返回到用户/应用。
在一个示例性实施例中,医学应用软件(例如,应用)可能需要由资源服务器提供的资源以渲染医学模拟。资源服务器的配置或者资源(例如,CPU、存储器、存储装置、和/或容器数量)的大小以及渲染模拟(例如,处理数据)所需的持续时间可以取决于针对特定县中的特定患者组的测试案例的数量。在该示例中,特定县的规定要求所有患者数据在特定县的数据中心内处理。在该示例性实施例中,向策略评估器的请求可包括:给定下列患者数据的情况下,下列模拟可否被渲染,并且如果可以,假定下列的策略集合,将需要多少资源。在该示例中,对上述请求的响应可以是资源A、B和C对于接下来两个小时可用。
现在参考图1,描绘了根据本公开的实施例的用于在分散策略中保持元数据的机密性的系统的框图100。图1提供了仅一个实现的图示,并不暗示对可以实现不同实施例的环境的任何限制。本领域的技术人员可以在不偏离权利要求所记载的本发明的范围的情况下对所描述的环境进行许多修改。
在实施例中,用于在分散策略中保持元数据的机密性的系统(例如,系统100)可以包括行动者策略创建器102、应用/用户104、资源服务器106和策略评估器108。虽然在一些实施例中,系统100可以被分成引导程序110部分和授权112部分,但是在其他实施例中,可以在引导程序110部分内配置本文所考虑的一些或所有组件,或者可替代地,在授权112部分内配置一些或所有组件。
在实施例中,引导程序110可包括生成一个或多个加密策略的策略创建器102。可以使用任何可用的加密(例如,同态加密)来加密一个或多个策略。在这些实施例中,策略创建器102可以生成加密器密钥118。加密器密钥118可以被配置成可在系统100中使用的密钥或功能的任何形式。在一些实施例中,策略创建器102可以定义将被加密的一个或多个策略。在这些实施例中,策略创建器102可被配置为访问与一个或多个加密策略相关联的元数据(例如,用户/应用的私有细节/属性)。
在实施例中,引导程序110可以将加密器密钥118传递到密钥加密器存储装置120。在一些实施例中,用户/应用104可以被配置为存储与用户/应用104的策略中的一个或多个策略(例如,提供私人细节/属性(诸如身份)的各方)相关联的加密器密钥118。在实施例中,由策略创建器102生成的一个或多个加密策略可以被存储在加密策略存储装置116中。在这些实施例中,加密策略存储装置116可由策略评估器108管理。
在实施例中,系统100可以包括授权112部分。在授权112部分,用户/应用可以生成与用户/应用104的一个或多个加密策略相关联的元数据的令牌元数据。在这些实施例中,元数据可以包括身份信息或用户/应用104可能期望是机密的任何其他信息(例如,私有细节/属性)。在实施例中,用户/应用104可以用加密器对令牌元数据进行加密,以形成加密令牌元数据124。在一些实施例中,用户/应用可以将该责任委托给另一个组件(例如,
),并展示用户/应用104对该组件的信任。例如,用户/应用可能由于一个或多个限制而不能执行特定操作。例如,为了符合特定安全要求,可能需要只能在特殊硬件上执行的硬件加密。例如,可以使用可信平台模块(TPM)或者可被配置为存储用于加密的加密密钥的其他硬件。在一些实施例中,可以添加安全设备(诸如硬件安全模块)以管理、生成和安全地存储加密密钥。
在实施例中,用户/应用104可以将加密令牌元数据124传递到资源服务器106。资源服务器106可以是与特定目的相关联的任何服务器。在实施例中,资源服务器106可以将加密令牌元数据124传递到策略评估器108(例如,将令牌转发到策略评估器126)。在一些实施例中,策略评估器108可以获取具有JWT令牌的加密令牌元数据124(例如,获取具有加密元数据的JWT令牌128)。在实施例中,策略评估器108可以针对被存储在加密策略存储装置116中的加密策略来评估加密令牌元数据(例如,用加密策略评估加密元数据130),并且可以生成评估结果。在实施例中,策略评估器108可以至少部分地基于评估结果执行/确定策略决策(例如,基于评估结果执行决策132)。在实施例中,策略评估器108可以将决定转发到资源服务器106。在这些实施例中,资源服务器106可以确定响应。在这些实施例中,在资源服务器106确定了响应之后,资源服务器可以基于策略将响应返回到用户/应用105(例如,基于策略而返回响应)。
现在参考图2,示出了根据本公开的实施例的用于在分散策略中保持元数据的机密性的示例方法200的流程图。在一些实施例中,方法200在操作202处开始,在该操作中,处理器生成与策略创建器相关联的一个或多个加密策略。在一些实施例中,操作202可以是被包括在引导过程(诸如图1中的引导过程110)中的过程。
在一些实施例中,方法200进行到操作204。在操作204,处理器可以用一个或多个加密策略来生成与用户相关联的令牌元数据。在一些实施例中,方法200进行到操作206。在操作206,处理器对令牌元数据进行加密以形成加密令牌元数据。
在一些实施例中,方法200进行到操作208。在操作208处,处理器可以将一个或多个加密策略和加密令牌元数据发送到策略评估器。虽然在一些实施例中,一个或多个加密策略和加密令牌元数据被同时发送到策略评估器,但是在其他实施例中,一个或多个加密策略和加密令牌元数据在不同的时间被发送到策略评估器。在实施例中,策略评估器可以评估一个或多个加密策略和加密令牌元数据。
在一些实施例中,方法200进行到操作210。在操作210,处理器可以返回响应。在实施例中,响应是基于策略评估器的评估。在一些实施例中,如图2所描绘的,在操作210之后,方法200可以结束。在实施例中,操作204至210可以是被包括在授权过程(诸如如图1中的授权过程112)中的过程。
如本文更详细地讨论的,可以设想,方法200的一些或所有操作可以以替代顺序执行或者可以根本不执行;此外,多个操作可以同时发生或者作为更大过程的内部部分而发生。
应当理解,尽管本公开包括关于云计算的详细描述,但是本文所记载的教导的实现不限于云计算环境。相反,本发明的实施例能够结合现在已知或以后开发的任何其它类型的计算环境来实现。
云计算是一种服务交付模式,用于实现对共享的可配置计算资源(例如,网络、网络带宽、服务器、处理、存储器、存储、应用、VM和服务)池池的方便、按需的网络访问,可配置计算资源可以以最小的管理成本或与服务提供商进行最少的交互来快速供应和释放。这种云模式可以包括至少五个特性、至少三个服务模型和至少四个部署模型。
特征如下:
按需自助式服务:云的消费者可以单方面自动地按需提供计算能力(诸如服务器时间和网络存储),而无需与服务提供者进行人工交互。
广泛的网络接入:能力在网络上可用并通过促进异构的瘦或厚客户端平台(例如,移动电话、膝上型计算机和PDA)的使用的标准机制来接入。
资源池:提供商的计算资源被归入资源池以使用多租户模型来服务多个消费者,其中不同的物理和虚拟资源根据需求被动态地分配和再分配。一般情况下,消费者不能控制或不知道所提供的资源的确切位置,但是可以在较高抽象程度上指定位置(例如国家、州或数据中心),因此具有位置无关性。
迅速弹性:可以迅速且有弹性地(在一些情况下自动地)提供能力以快速向外扩展并被迅速释放以快速缩小。对于消费者,可用于提供的能力通常看起来是无限的,并可以在任何时间以任何数量购买。
可测量的服务:云系统通过利用在适于服务类型(例如,存储、处理、带宽和活动用户账户)的某一抽象程度的计量能力,自动地控制和优化资源使用。可以监视、控制和报告资源使用情况,为所利用的服务的提供者和消费者双方提供透明度。
服务模型如下:
软件即服务(SaaS):向消费者提供的能力是使用提供者在云基础架构上运行的应用。可通过诸如网络浏览器的瘦客户机接口(例如,基于网络的电子邮件)来从各种客户机设备访问应用。除了有限的特定于用户的应用配置设置以外,消费者既不管理也不控制包括网络、服务器、操作系统、存储、或甚至单个应用能力等的底层云基础架构。
平台即服务(PaaS):向消费者提供的能力是在云基础架构上部署消费者创建或获得的应用,这些应用是使用由提供商支持的编程语言和工具创建的。消费者既不管理也不控制包括网络、服务器、操作系统或存储的底层云基础架构,但对其部署的应用具有控制权,对应用托管环境配置可能也具有控制权。
基础架构即服务(IaaS):向消费者提供的能力是提供消费者能够在其中部署并运行包括操作系统和应用的任意软件的处理、存储、网络和其它基础计算资源。消费者既不管理也不控制底层云基础架构,但对操作系统、存储、所部署的应用具有控制权,对所选择的网络组件(例如,主机防火墙)可能具有有限的控制权。
部署模型如下:
私有云:云基础架构单独为某个组织运行。它可以由该组织或第三方管理,并且可以存在于该组织内部或外部。
共同体云:云基础架构被若干组织共享,并支持具有共同利害关系(例如,任务、安全要求、政策和合规考虑)的特定共同体。它可以由该组织或第三方管理,并且可以存在于该组织内部或外部。
公共云:云基础架构可用于一般公众或大型产业群,并由销售云服务的组织拥有。
混合云:云基础架构由两个或更多云(私有云、共同体云或公共云)组成,这些云依然是独特实体,但是通过使数据和应用能够移植的标准化技术或私有技术(例如,用于云之间的负载平衡的云突发)绑定在一起。
云计算环境是面向服务的,特点集中在无状态性、低耦合性、模块性和语义的互操作性。计算的核心是包括互连节点网络的基础架构。
现在参考图3A,描述了说明性的云计算环境310。如图所示,云计算环境310包括云消费者使用的本地计算设备可以与其通信的一个或多个云计算节点300,本地计算设备例如是个人数字助理(PDA)或蜂窝电话300A、台式计算机300B、膝上型计算机300C和/或汽车计算机系统300N。节点300可以彼此通信。它们可以被物理地或虚拟地分组(未示出)在一个或多个网络(诸如如上文所描述的私有云、共同体云、公共云或混合云或其组合)中。这允许云计算环境310提供基础架构即服务、平台即服务和/或软件即服务,而云消费者不需要为其在本地计算设备上维护资源。应当理解,图3A中所示的各类计算设备300A-N仅仅是示意性的,计算节点300和云计算环境310可以在任何类型的网络和/或网络可寻址连接上(例如,使用网络浏览器)与任何类型的计算设备通信。
现在参考图3B,示出了由云计算环境310(图3A)提供的一组功能抽象层。首先应当理解,图3B所示的组件、层和功能仅仅是示意性的,本发明的实施例不限于此。如图所示,提供了以下层和相应的功能:
硬件和软件层315包括硬件和软件组件。硬件组件的示例包括:大型机302;基于RISC(精简指令集计算机)架构的服务器304;服务器306;刀片服务器308;存储设备311;以及网络和联网组件312。在一些实施例中,软件组件包括网络应用服务器软件314和数据库软件316。
虚拟化层320提供抽象层,从该抽象层可以提供虚拟实体的以下示例:虚拟服务器322;虚拟存储器324;虚拟网络326,包括虚拟专用网络;虚拟应用程序和操作系统328;以及虚拟客户端330。
在一个示例中,管理层340可以提供以下描述的功能。资源供应功能342提供用于在云计算环境中执行任务的计算资源和其它资源的动态获取。计量和定价功能344提供对在云计算环境内使用资源的成本跟踪,并为这些资源的消耗提供账单或发票。在一个示例中,这些资源可以包括应用软件许可。安全功能为云消费者和任务提供身份认证,并为数据和其他资源提供保护。用户门户功能346为消费者和系统管理员提供对云计算环境的访问。服务水平管理功能348提供云计算资源的分配和管理,以满足所需的服务水平。服务水平协议(SLA)计划和履行功能350提供对根据SLA针对其预测未来需求的云计算资源的预安排和采购。
工作负载层360提供可以利用云计算环境的功能的示例。在该层中,可提供的工作负载和功能的示例包括:地图绘制和导航362;软件开发及生命周期管理364;虚拟教室的教学提供366;数据分析处理368;交易处理370;以及在分散策略中保持元数据的机密性372。
图4示出了根据本发明实施例的示例计算机系统401的高级框图,该计算机系统可用于(例如,使用计算机的一个或多个处理器电路或计算机处理器)实现本文所述的方法、工具和模块中的一个或多个以及任何相关功能。在一些实施例中,计算机系统401的主要组件可以包括一个或多个处理器402、存储器子系统404、终端接口412、存储接口416、I/O(输入/输出)设备接口414和网络接口418,所有这些组件可以直接或间接地通信耦合,以便经由存储器总线403、I/O总线408和I/O总线接口单元410进行组件间通信。
计算机系统401可以包含一个或多个通用可编程中央处理单元(CPU)402A、402B、402C和402D,在此统称为CPU 402。在一些实施例中,计算机系统401可以包含相对大型系统的多个处理器;然而,在其它实施例中,计算机系统401可以替代地是单CPU系统。每个CPU402可以执行被存储在存储器子系统404中的指令,并且可以包括一级或多级板载高速缓存。
系统存储器404可以包括采用易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)422或高速缓存器424。计算机系统401还可以包括其它可移除/不可移除的易失性/非易失性计算机系统存储介质。仅作为示例,存储系统426可被提供用于从和向不可移除的非易失性磁介质(诸如硬盘驱动器)读取和写入。尽管未示出,但可提供用于从和向可移除的非易失性磁盘(例如,软盘)读取和写入的磁盘驱动器、或者用于从或向可移除的非易失性光盘(诸如CD-ROM、DVD-ROM或其它光学介质)读取或写入的光盘驱动器。另外,存储器404可以包括闪存,例如,闪存棒驱动器或闪存驱动器。存储器设备可以通过一个或多个数据介质接口被连接到存储器总线403。存储器404可以包括至少一个程序产品,该程序产品具有一组(例如,至少一个)程序模块,这些程序模块被配置为执行不同实施例的功能。
每个具有至少一组程序模块430的一个或多个程序/实用程序428可以被存储在存储器404中。程序/实用程序428可以包括管理程序(也称为虚拟机监视器)、一个或多个操作系统、一个或多个应用程序、其他程序模块和程序数据。操作系统、一个或多个应用程序、其它程序模块、以及程序数据中的每一个或其某种组合可包括联网环境的实现。程序428和/或程序模块430通常执行各种实施例的功能或方法。
尽管存储器总线403在图4中被示为在CPU 402、存储器子系统404和I/O总线接口410之间提供直接通信路径的单个总线结构,但是在一些实施例中,存储器总线403可以包括多个不同的总线或通信路径,这些左线或通信路径可被布置成各种形式中的任何一个,诸如分层的点对点链路、星形或网状配置、多层总线、并行和冗余路径、或任何其他适当类型的配置。此外,虽然I/O总线接口410和I/O总线408被示为单个相应的单元,但是在一些实施例中,计算机系统401可以包含多个I/O总线接口单元410、多个I/O总线408、或两者。此外,虽然示出了将I/O总线408与通向各种I/O设备的各种通信路径分开的多个I/O接口单元,但是在其他实施例中,一些或所有的I/O设备可以被直接连接到一个或多个系统I/O总线。
在一些实施例中,计算机系统401可以是多用户大型计算机系统、单用户系统、或者服务器计算机、或者具有很少或没有直接用户接口但从其它计算机系统(客户端)接收请求的类似设备。进一步地,在一些实施例中,计算机系统401可以被实现为台式计算机、便携式计算机、膝上型或笔记本计算机、平板计算机、袖珍计算机、电话、智能电话、网络交换机或路由器、或任何其他适当类型的电子设备。
注意,图4旨在描绘示例性计算机系统401的代表性主要组件。然而,在一些实施例中,各个组件可以具有比图4中所表示的更大或更小的复杂度,可以存在不同于图4所示的那些组件的组件或者附加的组件,并且这些组件的数量、类型和配置可以变化。
如本文更详细地讨论的,可以设想本文描述的方法的一些实施例的一些或所有操作可以以替代顺序执行或者可以根本不执行;此外,多个操作可以同时发生或者作为更大过程的内部部分而发生。
本发明可以是任何可能的技术细节集成水平的系统、方法和/或计算机程序产品。计算机程序产品可以包括在其上具有计算机可读程序指令的(一个或多个)计算机可读存储介质,计算机可读程序指令用于使处理器执行本发明的各方面。
计算机可读存储介质可以是可保持并存储由指令执行设备使用的指令的有形设备。计算机可读存储介质可以是例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备、或前述存储设备的任何合适的组合。计算机可读存储介质的更具体示例的非穷举列表包括以下:便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式光盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、诸如在上面记录有指令的打孔卡或凹槽中的凸起结构的机械编码设备、以及上述设备的任何适当的组合。如本文所使用的计算机可读存储介质不应被解释为是暂时性信号本身,诸如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如,通过光纤线缆的光脉冲)、或通过导线传输的电信号。
本文描述的计算机可读程序指令可以从计算机可读存储介质下载到相应的计算/处理设备,或者经由网络(例如互联网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或网络接口从网络接收计算机可读程序指令,并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路的配置数据、或者以一种或多种编程语言(包括面向对象的编程语言,例如Smalltalk、C++等)和过程编程语言(例如“C”编程语言或类似的编程语言)的任意组合编写的源代码或目标代码。计算机可读程序指令可以完全在用户的计算机上执行、部分在用户的计算机上执行、作为独立的软件包执行、部分在用户的计算机上并且部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在后一种场景下,远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户的计算机,或者可以连接到外部计算机(例如,使用互联网服务提供商通过互联网)。在一些实施例中,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以使电子电路个性化,以便执行本发明的各方面。
在此参考根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明的各方面。将理解,流程图和/或框图的每个框以及流程图和/或框图中的框的组合可以由计算机可读程序指令来实现。
这些计算机可读程序指令可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,以使得经由计算机或其他可编程数据处理装置的处理器而执行的指令创建用于实现流程图和/或框图的一个或多个框中指定的功能/动作的装置。这些计算机可读程序指令还可以存储在计算机可读存储介质中,其可以引导计算机、可编程数据处理装置和/或其他设备以特定方式工作,以使得在其中存储有指令的计算机可读存储介质包括制品,该制品包括实现流程图和/或框图的一个或多个框中指定的功能/动作的各方面的指令。
计算机可读程序指令还可以被加载到计算机、其他可编程数据处理装置或其他设备上,以使一系列操作步骤将在计算机、其他可编程装置或其他设备上执行,以产生计算机实现的过程,以使得在计算机、其他可编程装置或其他设备上执行的指令实现流程图和/或框图的一个或多个框中指定的功能/动作。
附图中的流程图和框图示出了根据本发明的各种实施例的系统、方法和计算机程序产品的可能实现的架构、功能和操作。在这点上,流程图或框图中的每个框可以表示指令的模块、段或部分,其包括用于实现指定的逻辑功能的一个或多个可执行指令。在一些替代实施方案中,框中所注明的功能可不按图中所注明的次序发生。例如,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的顺序执行,这取决于所涉及的功能。还将注意,框图和/或流程图图示的每个框以及框图和/或流程图图示中的框的组合可以由执行指定功能或动作或执行专用硬件和计算机指令的组合的专用的基于硬件的系统来实现。
已经出于说明的目的给出了本发明的各种实施例的描述,但是其不旨在是穷尽的或限于所公开的实施例。在不背离所描述的实施例的范围和精神的情况下,许多修改和变化对于本领域的普通技术人员将是显而易见的。选择本文所使用的术语以最好地解释实施例的原理、实际应用或对市场上存在的技术改进,或使本领域的其他普通技术人员能够理解本文所公开的实施例。
尽管已经根据具体实施例描述了本发明,但可以预期,本发明的改变和修改对于本领域技术人员将变得显而易见。因此,所附的权利要求旨在被解释为覆盖落入本公开的真实精神和范围内的所有这种改变和修改。
Claims (10)
1.一种用于在分散策略中保持元数据的机密性的方法,所述方法包括:
经由处理器生成与策略创建器相关联的一个或多个加密策略;
利用所述一个或多个加密策略来生成与用户相关联的令牌元数据;
对所述令牌元数据进行加密以形成加密令牌元数据;
将所述一个或多个加密策略和所述加密令牌元数据发送到策略评估器,其中,所述策略评估器评估所述一个或多个加密策略和所述加密令牌元数据;以及
返回响应,其中,所述响应是基于所述策略评估器的所述评估。
2.根据权利要求1所述的方法,其中,对所述令牌元数据进行加密以形成加密令牌元数据进一步包括:
将所述加密令牌元数据配置到JSON网络令牌(JWT令牌)中。
3.根据权利要求2所述的方法,还包括:
由所述策略评估器获取所述JWT令牌。
4.根据权利要求1所述的方法,其中,所述策略评估器评估所述一个或多个加密策略和所述加密令牌元数据包括:
确定评估结果,其中,所述评估结果是基于由所述策略评估器对所述一个或多个加密策略和所述加密令牌元数据的评估;以及
基于所述评估结果,执行决策。
5.根据权利要求1所述的方法,其中,所述策略评估器存储由所述策略创建器生成的所述一个或多个加密策略。
6.根据权利要求1所述的方法,其中,将所述一个或多个加密策略和所述加密令牌元数据发送到所述策略评估器包括:
由资源服务器将所述一个或多个加密策略和所述加密令牌元数据传递到所述策略评估器。
7.根据权利要求6所述的方法,还包括:
确定评估结果,其中,所述评估结果是基于由所述策略评估器对所述一个或多个加密策略和所述加密令牌元数据的评估;
基于所述评估结果,执行决策,其中,所述策略评估器执行所述决策;
将所述评估结果转发到所述资源服务器;以及
经由所述资源服务器生成所述响应,其中,所述响应由所述资源服务器返回给所述用户。
8.一种用于在分散策略中保持元数据的机密性的系统,所述系统包括:
存储器;以及
与所述存储器通信的处理器,所述处理器被配置为执行根据权利要求1至7中任一项所述的方法的操作。
9.一种用于在分散策略中保持元数据的机密性的计算机程序产品,所述计算机程序产品包括计算机可读存储介质,所述计算机可读存储介质存储有程序指令,所述程序指令可由处理器执行以使所述处理器执行根据权利要求1至7中任一项所述的方法的操作。
10.一种用于在分散策略中保持元数据的机密性的计算机系统,所述计算机系统包括用于执行根据权利要求1至7中任一项所述的方法的操作的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/218090 | 2021-03-30 | ||
| US17/218,090 US11677549B2 (en) | 2021-03-30 | 2021-03-30 | Maintaining confidentiality in decentralized policies |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115150117A true CN115150117A (zh) | 2022-10-04 |
Family
ID=83406628
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210319188.0A Pending CN115150117A (zh) | 2021-03-30 | 2022-03-29 | 在分散策略中维持机密性 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11677549B2 (zh) |
| JP (1) | JP2022155558A (zh) |
| CN (1) | CN115150117A (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11620363B1 (en) | 2021-03-15 | 2023-04-04 | SHAYRE, Inc. | Systems and methods for authentication and authorization for software license management |
| US11632362B1 (en) * | 2021-04-14 | 2023-04-18 | SHAYRE, Inc. | Systems and methods for using JWTs for information security |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102201043A (zh) * | 2010-03-24 | 2011-09-28 | 微软公司 | 基于资源属性审核对数据的访问 |
| US20130254850A1 (en) * | 2012-03-20 | 2013-09-26 | Thomas Alison | Proxy Bypass Login for Applications on Mobile Devices |
| CN104935608A (zh) * | 2015-07-07 | 2015-09-23 | 成都睿峰科技有限公司 | 一种云计算网络中的身份认证方法 |
| CN106605232A (zh) * | 2014-09-09 | 2017-04-26 | 微软技术许可有限责任公司 | 利用策略保持数据保护 |
| CN112187931A (zh) * | 2020-09-29 | 2021-01-05 | 中国平安财产保险股份有限公司 | 会话管理方法、装置、计算机设备和存储介质 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7577838B1 (en) | 2002-12-20 | 2009-08-18 | Alain Rossmann | Hybrid systems for securing digital assets |
| GB0410180D0 (en) | 2004-05-07 | 2004-06-09 | Hewlett Packard Development Co | An adaptive privacy management system for data repositories |
| US8539220B2 (en) | 2010-02-26 | 2013-09-17 | Microsoft Corporation | Secure computation using a server module |
| US9043886B2 (en) * | 2011-09-29 | 2015-05-26 | Oracle International Corporation | Relying party platform/framework for access management infrastructures |
| US20130097417A1 (en) | 2011-10-13 | 2013-04-18 | Microsoft Corporation | Secure private computation services |
| US8925075B2 (en) | 2011-11-07 | 2014-12-30 | Parallels IP Holdings GmbH | Method for protecting data used in cloud computing with homomorphic encryption |
| US10027486B2 (en) | 2012-06-22 | 2018-07-17 | Commonwealth Scientific And Industrial Research Organisation | Homomorphic encryption for database querying |
| CN102833346B (zh) | 2012-09-06 | 2015-12-02 | 上海海事大学 | 基于存储元数据的云敏感数据安全保护系统及方法 |
| US9710664B2 (en) * | 2012-09-07 | 2017-07-18 | Amrita Vishwa Vidyapeetham | Security layer and methods for protecting tenant data in a cloud-mediated computing network |
| US20140233727A1 (en) | 2012-11-16 | 2014-08-21 | Raytheon Bbn Technologies Corp. | Method for secure substring search |
| US20170132621A1 (en) * | 2015-11-06 | 2017-05-11 | SWFL, Inc., d/b/a "Filament" | Systems and methods for autonomous device transacting |
| US10609042B2 (en) * | 2016-02-15 | 2020-03-31 | Cisco Technology, Inc. | Digital data asset protection policy using dynamic network attributes |
| US11019101B2 (en) * | 2016-03-11 | 2021-05-25 | Netskope, Inc. | Middle ware security layer for cloud computing services |
| US10296709B2 (en) | 2016-06-10 | 2019-05-21 | Microsoft Technology Licensing, Llc | Privacy-preserving genomic prediction |
| CN106650205B (zh) | 2016-09-28 | 2019-03-19 | 西安电子科技大学 | 一种高效隐私保护的云医疗数据监护方法 |
| US20180183586A1 (en) * | 2016-12-28 | 2018-06-28 | Intel Corporation | Assigning user identity awareness to a cryptographic key |
| US10972251B2 (en) | 2017-01-20 | 2021-04-06 | Enveil, Inc. | Secure web browsing via homomorphic encryption |
| US10790960B2 (en) | 2017-01-20 | 2020-09-29 | Enveil, Inc. | Secure probabilistic analytics using an encrypted analytics matrix |
| CN108880863B (zh) | 2018-05-26 | 2021-02-19 | 江西理工大学 | 一种基于区块链技术的智能电网设备安全诊断服务系统 |
| US10263787B1 (en) * | 2018-11-12 | 2019-04-16 | Cyberark Software Ltd. | Scalable authentication for decentralized applications |
| WO2020132012A1 (en) * | 2018-12-18 | 2020-06-25 | Dover Microsystems, Inc. | Systems and methods for data lifecycle protection |
-
2021
- 2021-03-30 US US17/218,090 patent/US11677549B2/en active Active
-
2022
- 2022-03-29 CN CN202210319188.0A patent/CN115150117A/zh active Pending
- 2022-03-29 JP JP2022053661A patent/JP2022155558A/ja active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102201043A (zh) * | 2010-03-24 | 2011-09-28 | 微软公司 | 基于资源属性审核对数据的访问 |
| US20130254850A1 (en) * | 2012-03-20 | 2013-09-26 | Thomas Alison | Proxy Bypass Login for Applications on Mobile Devices |
| CN106605232A (zh) * | 2014-09-09 | 2017-04-26 | 微软技术许可有限责任公司 | 利用策略保持数据保护 |
| CN104935608A (zh) * | 2015-07-07 | 2015-09-23 | 成都睿峰科技有限公司 | 一种云计算网络中的身份认证方法 |
| CN112187931A (zh) * | 2020-09-29 | 2021-01-05 | 中国平安财产保险股份有限公司 | 会话管理方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022155558A (ja) | 2022-10-13 |
| US20220321335A1 (en) | 2022-10-06 |
| US11677549B2 (en) | 2023-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10761887B2 (en) | Allocating tasks in a computing environment | |
| US11050573B2 (en) | Determining trustworthiness of a cryptographic certificate | |
| US10542048B2 (en) | Security compliance framework usage | |
| CN114586030A (zh) | 私密转移学习 | |
| US11366894B1 (en) | Secure computing resource deployment using homomorphic encryption | |
| US11856090B2 (en) | Data protection optimization | |
| US12010229B2 (en) | Durability enforcement of cryptographic keys in a key management system | |
| CN115150117A (zh) | 在分散策略中维持机密性 | |
| JP2022523770A (ja) | セキュア・インタフェース・コントロールのためのセキュア実行ゲスト所有者コントロール | |
| US11522683B2 (en) | Multi-phase protection for data-centric objects | |
| WO2023098433A1 (en) | Secure policy distribution in a cloud environment | |
| US11989282B2 (en) | Open-source container data management | |
| US20210281561A1 (en) | Certification for connection of virtual communication endpoints | |
| US11153299B2 (en) | Secure data transport using trusted identities | |
| US10680801B2 (en) | Data distribution against credential information leak | |
| US11177945B1 (en) | Controlling access to encrypted data | |
| US20230362170A1 (en) | Access configuration in hybrid network environments | |
| US11409874B2 (en) | Coprocessor-accelerated verifiable computing | |
| US20230283484A1 (en) | Privacy-preserving user certificates | |
| US20230088524A1 (en) | Secrets swapping in code | |
| US20230269298A1 (en) | Protecting api keys for accessing services | |
| JP2024512933A (ja) | 信頼できるフィールド・プログラマブル・ゲート・アレイ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |