DE112017002260T5 - Datensicherheit in einem cloud-netzwerk - Google Patents

Datensicherheit in einem cloud-netzwerk Download PDF

Info

Publication number
DE112017002260T5
DE112017002260T5 DE112017002260.6T DE112017002260T DE112017002260T5 DE 112017002260 T5 DE112017002260 T5 DE 112017002260T5 DE 112017002260 T DE112017002260 T DE 112017002260T DE 112017002260 T5 DE112017002260 T5 DE 112017002260T5
Authority
DE
Germany
Prior art keywords
data
access
cloud network
encryption keys
engine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112017002260.6T
Other languages
English (en)
Inventor
Vincent R. Scarlata
Francis X. McKeen
Carlos V. Rozas
Simon P. Johnson
Bo Zhang
Mona Vij
Brandon Baker
Mohan J. Kumar
Asit K. Mallick
Mark A. Gentry
Somnath Chakrabarti
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE112017002260T5 publication Critical patent/DE112017002260T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Hier beschriebene besondere Ausführungsformen sehen eine elektronische Vorrichtung vor, die dazu konfiguriert werden kann, Daten in einer sicheren Domäne in einem Cloud-Netzwerk zu speichern, Verschlüsselungsschlüssel zu erstellen, wobei jeder Verschlüsselungsschlüssel eine andere Art des Zugriffs auf die Daten ermöglichen soll, und die Verschlüsselungsschlüssel in einem Schlüsselspeicher einer sicheren Domäne in dem Cloud-Netzwerk zu speichern. In einem Beispiel ermöglicht jeder Verschlüsselungsschlüssel den Zugriff auf eine andere Version der Daten. In einem anderen Beispiel speichert eine Zähler-Engine den Speicherort jeder Version der Daten in dem Cloud-Netzwerk.

Description

  • GEBIET DER TECHNIK
  • Diese Offenbarung betrifft allgemein das Gebiet der Informationssicherheit und insbesondere die Datensicherheit in einem Cloud-Netzwerk.
  • ALLGEMEINER STAND DER TECHNIK
  • Das Gebiet der Netzwerksicherheit hat in der heutigen Gesellschaft zunehmend an Bedeutung gewonnen. Insbesondere kann ein Cloud-Netzwerk ein Medium für den Datenaustausch zwischen verschiedenen, mit unterschiedlichen Computernetzwerken verbundenen Vorrichtungen bieten. Die Nutzung eines Netzwerks hat die geschäftliche und persönliche Kommunikation verändert, wurde jedoch auch als Mittel zum unberechtigten Zugriff auf Computer und Computernetzwerke durch böswillige Akteure, und zur absichtlichen oder unbeabsichtigten Offenlegung sensibler Informationen genutzt.
  • In einem Cloud-Computing System werden vertrauliche Informationen gespeichert, übertragen und von vielen verschiedenen Informationsverarbeitungssystemen verwendet. Es wurden Techniken entwickelt, um den sicheren Umgang mit und die Speicherung von vertraulichen Informationen zu gewährleisten. Diese Techniken umfassen verschiedene Ansätze zur Erstellung und Aufrechterhaltung einer gesicherten, geschützten oder isolierten Partition oder Umgebung innerhalb eines Informationsverarbeitungssystems. Einige dieser Techniken befassen sich jedoch nicht mit der Frage der Datensicherheit. Es wird ein System benötigt, das Daten in einem Cloud-Netzwerk sichern kann.
  • Figurenliste
  • Für ein umfassenderes Verständnis der vorliegenden Offenbarung und deren Merkmale und Vorteile, wird auf die nachfolgende Beschreibung in Verbindung mit den beigefügten Figuren verwiesen, in denen gleiche Bezugszeichen für gleiche Elemente stehen. Es zeigen:
    • die 1A ein vereinfachtes Blockdiagramm eines Kommunikationssystems zur Ermöglichung von Datensicherheit in einem Cloud-Netzwerk gemäß einer Ausführungsform der vorliegenden Offenbarung;
    • die 1B ein vereinfachtes Blockdiagramm eines Kommunikationssystems zur Ermöglichung von Datensicherheit in einem Cloud-Netzwerk gemäß einer Ausführungsform der vorliegenden Offenbarung;
    • die 2 ein vereinfachtes Blockdiagramm von beispielhaften Details eines Teils eines Kommunikationssystems zur Ermöglichung von Datensicherheit in einem Cloud-Netzwerk gemäß einer Ausführungsform der vorliegenden Offenbarung;
    • die 3 ein vereinfachtes Ablaufdiagramm, das mögliche Operationen veranschaulicht, die mit dem Kommunikationssystem gemäß einer Ausführungsform verbunden sein können;
    • die 4 ein vereinfachtes Ablaufdiagramm, das mögliche Operationen veranschaulicht, die mit dem Kommunikationssystem gemäß einer Ausführungsform verbunden sein können;
    • die 5 ein vereinfachtes Ablaufdiagramm, das mögliche Operationen veranschaulicht, die dem Kommunikationssystem gemäß einer Ausführungsform zugeordnet sein können;
    • die 6 ein Blockdiagramm, das ein beispielhaftes Computersystem veranschaulicht, das in einer Punkt-zu-Punkt-Konfiguration gemäß einer Ausführungsform angeordnet ist;
    • die 7 ein vereinfachtes Blockdiagramm, das einem beispielhaften System-on-Chip(SOC)-Ökosystem der vorliegenden Offenbarung zugeordnet ist; und
    • die 8 ein Blockdiagramm, das einen beispielhaften Prozessorkern gemäß einer Ausführungsform darstellt.
    • Die FIGUREN der Zeichnungen sind nicht unbedingt maßstabsgetreu gezeichnet, da ihre Abmessungen erheblich variiert werden können, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • AUSFÜHRLICHE BESCHREIBUNG BEISPIELHAFTER AUSFÜHRUNGSFORMEN
  • BEISPIELHAFTE AUSFÜHRUNGSFORMEN
  • Die folgende ausführliche Beschreibung beschreibt beispielhafte Ausführungsformen von Vorrichtungen, Verfahren und Systemen, die ein Kommunikationssystem zur Gerätepaarung in einem lokalen Netzwerk betreffen. Merkmale wie etwa Struktur(en), Funktion(en) und/oder Eigenschaft(en) werden der Einfachheit halber unter Bezugnahme auf eine Ausführungsform beschrieben; verschiedene Ausführungsformen können mit jedem geeigneten oder mehreren der beschriebenen Merkmale implementiert werden.
  • Die 1A ist ein vereinfachtes Blockdiagramm eines Kommunikationssystems 100a zur Ermöglichung von Datensicherheit in einem Cloud-Netzwerk gemäß einer Ausführungsform der vorliegenden Offenbarung. Das Kommunikationssystem 100a kann eine oder mehrere elektronische Vorrichtungen 102a bis 102d und ein Cloud Netzwerk 102 umfassen. Die elektronische Vorrichtung 102a kann einen Verschlüsselungscode 120 umfassen. Die elektronische Vorrichtung 102d kann die Datenerzeugungs-Engine 114 umfassen.
  • Das Cloud-Netzwerk 104 kann eine oder mehrere sichere Domänen 106a bis 106d und eine virtuelle Maschine 108 umfassen. Die sichere Domäne 106a kann eine Zugriffs-Engine 128 umfassen. Die Zugriffs-Engine 128 kann einen Schlüsselspeicher 110 umfassen. Der Schlüsselspeicher 110 kann einen oder mehrere Verschlüsselungsschlüssel 120a bis 120c umfassen. Die sichere Domäne 106b kann eine Zähler-Engine 112 umfassen. Die Zähler-Engine 112 kann einen oder mehrere Zähler 122a und 122b umfassen. Die sichere Domäne 106c kann eine oder mehrere Instanzen der Daten 116a bis 116d umfassen. Die sichere Domäne 106d kann eine oder mehrere Instanzen der Daten 116e und 116f umfassen. Die virtuelle Maschine 108 kann die Datenerzeugungs-Engine 114 umfassen. Die Daten 116a bis 116d können unterschiedliche Versionen von Daten sein, wie z.B. ein Dokument, das überarbeitet wurde (z.B. ist Daten _Av1 116a das Originaldokument und Daten_Av2 116b ist ein überarbeitetes Dokument auf Basis von Daten _Av1 116a, etc.). Der Zähler_A 122a kann dazu konfiguriert werden, den aktuellsten Entwurf oder die aktuellsten Daten aus den Daten 116a bis 116d zu verfolgen (z.B. kann der Zähler A 122a dazu verwendet werden, zu bestimmen, dass Daten _Av4 116d die aktuellsten Daten sind). Die Datenerzeugungs-Engine 114 kann Daten, wie beispielsweise Messungen aus einem Experiment, erzeugen. In einem Beispiel ist das Cloud-Netzwerk 104 Teil eines Cloud-Computing-Systems.
  • Nun auf die 1B Bezug nehmend, ist die 1B ein vereinfachtes Blockdiagramm eines Kommunikationssystems 100b zur Ermöglichung von Datensicherheit in einem Cloud-Netzwerk gemäß einer Ausführungsform der vorliegenden Offenbarung. Das Kommunikationssystem 100b kann die elektronische Vorrichtung 10e und ein Cloud-Netzwerk 104 umfassen. Die elektronische Vorrichtung 102a kann einen Verschlüsselungscode 120 umfassen. Die elektronische Vorrichtung 102d kann die Datenerzeugungsmaschine 114 umfassen.
  • Das Cloud-Netzwerk 104 kann eine oder mehrere sichere Domänen 106c und 106d, eine virtuelle Maschine 108 und einen Domänen-Manager 124 umfassen. Der Domänen-Manager 124 kann eine sichere Domäne 106e, einen Prozessor 126 und eine Zugriffs-Engine 128 umfassen. Die sichere Domäne 106e kann eine Zähler-Engine 112 und einen oder mehrere Verschlüsselungsschlüssel 120a und 120b umfassen. Die Zähler-Engine 112 kann einen oder mehrere Zähler 122a und 122b umfassen. Die Zugriffs-Engine 128 kann den Zugriff auf die sichere Domäne 106e, die Verschlüsselungsschlüssel 120a und 120b und die Zähler-Engine 112 ermöglichen und sicherstellen, dass nur autorisierte Vorrichtungen auf die sichere Domäne 106e, die Verschlüsselungsschlüssel 120a und 120b und die Zähler-Engine 112 zugreifen dürfen. In einem Beispiel kann die Zugriffs-Engine 128 ähnlich wie die Zugriffs-Engine 110 arbeiten. In einem Beispiel ist das Cloud-Netzwerk 104 Teil eines Cloud-Computing-Systems.
  • Die Elemente der 1A und 1B können jeweils über eine oder mehrere Schnittstellen unter Verwendung beliebiger geeigneter Verbindungen (drahtgebunden oder drahtlos), die für die Netzwerkkommunikation geeignete Wege bereitstellen, miteinander gekoppelt sein. Darüber hinaus können eines oder mehrere dieser Elemente der 1A und 1B in Abhängigkeit von besonderen Konfigurationsanforderungen kombiniert oder aus der Architektur entfernt werden. Die Kommunikationssysteme 100a und 100b können eine Ausgestaltung umfassen, die geeignet ist, mittels Transmission Control Protocol/Internetprotokoll (TCP/IP) zu kommunizieren, um Pakete in einem Netzwerk zu senden oder zu empfangen. Sofern angemessen und in Abhängigkeit von besonderen Erfordernissen können die Kommunikationssysteme 100a und 100b in Verbindung mit einem User Datagram Protocol/IP (UDP/IP) oder jedem anderen geeigneten Protokoll betrieben werden.
  • In einem Beispiel können die Kommunikationssysteme 100a und 100b jeweils so konfiguriert sein, dass sie ein System umfassen, das Datensicherheit in einem Cloud-Netzwerk ermöglicht. In einem Beispiel kann eine elektronische Vorrichtung in einem Cloud-Netzwerk dazu konfiguriert werden, Daten in einer sicheren Domäne in einem Cloud-Netzwerk zu speichern, Verschlüsselungsschlüssel zu erstellen, wobei jeder Verschlüsselungsschlüssel eine andere Art des Zugriffs auf die Daten ermöglichen soll, und die Verschlüsselungsschlüssel in einem Schlüsselspeicher einer sicheren Domäne in dem Cloud-Netzwerk zu speichern. In einem Beispiel ermöglicht jeder Verschlüsselungsschlüssel den Zugriff auf eine andere Version der Daten. In einem anderen Beispiel speichert ein Zähler-Engine den Speicherort jeder Version der Daten in dem Cloud-Netzwerk. In einem veranschaulichenden Beispiel können Daten in einer sicheren Domäne gespeichert und der Zugriff auf die Daten über Zugriffsschlüssel gewährt werden. Jeder Zugangsschlüssel kann ein unterschiedliches Niveau des Datenzugriffs aufweisen. In einem Beispiel kann jeder Zugriffsschlüssel den Zugriff auf eine andere Version oder einen anderen Entwurf der Daten ermöglichen. Die Verschlüsselungsschlüssel können in einer sicheren Domäne gespeichert werden. In einem Beispiel kann ein Generator der Daten die Verschlüsselungsschlüssel erstellen und Richtlinien für die Verschlüsselungsschlüssel bereitstellen, wobei die Richtlinien das von jedem Schlüssel bereitgestellte Zugriffsniveau sowie die Version der Daten umfassen.
  • Zur Veranschaulichung bestimmter beispielhafter Techniken der Kommunikationssysteme 100a und 100b, ist es wichtig, die Kommunikationen, welche die Netzwerkumgebung durchlaufen können, zu verstehen. Die folgenden grundlegenden Informationen können als Grundlage angesehen werden, ausgehend von der die vorliegende Offenbarung in geeigneter Weise erläutert werden kann.
  • Endanwender haben mehr Kommunikationsmöglichkeiten als jemals zuvor. Derzeit sind eine Reihe von bedeutenden technologischen Trends im Gange (z.B. mehr Computervorrichtungen, mehr verbundene Vorrichtungen etc.). Ein aktueller Trend ist die Nutzung eines Netzwerks, insbesondere die Nutzung eines Cloud-basierten Network Computing Systems. Cloud-Networking ist ein Vernetzungs-Paradigma zum Aufbau und zur Verwaltung sicherer privater Netzwerke über das öffentliche Internet unter Nutzung einer globalen Cloud-Computing-Infrastruktur. Bei Cloud Networking werden herkömmliche Netzwerkfunktionen und -dienste einschließlich Konnektivität, Sicherheit, Verwaltung und Kontrolle in die Cloud übertragen und als Dienstleistung bereitgestellt. Cloud-basierte Netzwerke benötigen lediglich eine Internetverbindung und funktionieren über jede physische Infrastruktur, kabelgebunden oder drahtlos, öffentlich oder privat. Ein zentrales Problem bei Cloud-Netzwerken ist die Datensicherheit. Es wird ein System benötigt, das zur Bereitstellung von Datensicherheit in einem Cloud-Netzwerk konfiguriert werden kann.
  • Ein Kommunikationssystem, das Datensicherheit in einem Cloud-Netzwerk gewährleisten kann - wie in den 1A und 1B skizziert - kann diese und andere Probleme lösen. In einem Beispiel kann ein Schlüsselspeicher (z.B. der Schlüsselspeicher 110) den Zugriff auf Verschlüsselungsschlüssel (z.B. auf den Verschlüsselungsschlüssel_1 120a) ermöglichen, damit eine Cloud-Komponente oder eine elektronische Vorrichtung (z.B. die elektronische Vorrichtung 102a oder 102b) auf Daten (z.B. die Daten _Av1) zugreifen kann. Der Zugriff auf den Schlüsselspeicher 110 kann von einer Zugriffs-Engine (z.B. der Zugriffs-Engine 110) so überwacht werden, dass nur autorisierte Vorrichtungen auf den Verschlüsselungsschlüssel und die Daten zugreifen dürfen. Darüber hinaus kann eine Zähler-Engine (z.B. die Zähler-Engine 112) die neueste Version der Daten sowie frühere Versionen der Daten verfolgen. Die Zähler-Engine kann so konfiguriert werden, dass sie dazu beiträgt, eine Version der Daten, auf die das Gerät zugreifen darf, bereitzustellen. So kann beispielsweise der elektronischen Vorrichtung 102b der Zugriff auf die aktuellste Version der Daten (z.B. die Daten _Bv2 116f) gewährt werden, während der elektronischen Vorrichtung 102c nur der Zugriff auf eine frühere Version der Daten (z.B. die Daten _Bv1 116e) gewährt werden kann. Durch die Verwendung einer Zähler-Engine, um unterschiedliche Versionen derselben Daten zu zeigen oder anderweitig zu identifizieren, kann Speicherplatz eingespart werden. Beispielsweise würde die Speicherung der Daten 116a bis 116d in der sicheren Domäne 106d eine relativ große Menge an Speicherplatz in der sicheren Domäne 106b beanspruchen. Der Zähler_A 112a in der Zähler-Engine 112 kann jedoch so konfiguriert werden, dass er jede Version der Daten verfolgt und der Zähler _A 112a würde eine relativ geringe Menge an Speicherplatz in der sicheren Domäne 106b beanspruchen. In einem Beispiel gibt der Zähler_A 112a nur einen Hinweis auf die aktuellste Version der Daten in der sicheren Domäne 106c (z.B. die Daten_av4 116d) und der Zähler_B 112b gibt nur einen Hinweis auf die aktuellste Version der Daten (z.B. die Daten_BV2 116f) in der sicheren Domäne 106d.
  • In einem Beispiel kann ein Plattformdienst eine sichere Domäne umfassen, die mit einer Vielzahl von virtuellen Maschinen auf dem Plattformdienst kommunizieren kann, und kann jeder virtuellen Maschine einen aktuellen Zähler zur Identifizierung der neuesten Version von Daten auf dem Plattformdienst bereitstellen. Infolgedessen müssen Daten nicht auf einem bestimmten Server oder an einem bestimmten Speicherort gespeichert werden, und die sichere Domäne kann Vorrichtungen oder Cloud-Komponenten auf dem Plattformdienst auf die aktuellste Version der Daten verweisen. In einem bestimmten Beispiel kann eine Page Size Extension (PSE) mit der Zähler-Engine 112 kommunizieren und eine neueste Version der Daten erhalten.
  • In einem weiteren Beispiel werden (z.B. durch einen Benutzer der elektronischen Vorrichtung 102a oder durch eine Datenerzeugungs-Engine 114) vertrauliche Daten erstellt und die Daten können in einer sicheren Domäne (z.B. der sicheren Domäne 106c) in einem Cloud-Netzwerk (z.B. dem Cloud Netzwerk 104) gespeichert werden. Der Zugriff auf die Daten kann in einem Schlüsselspeicher (z.B. dem Schlüsselspeicher 110), der durch eine Zugriffs-Engine (z.B. die Zugriffs-Engine 128) geschützt ist, gespeichert werden. Zum Schutz der Daten kann in einem Beispiel ein Verschlüsselungsschlüssel (z.B. der Verschlüsselungsschlüssel_1 120 A) erstellt werden. In einem weiteren Beispiel kann der Verschlüsselungsschlüssel (z.B. der Verschlüsselungsschlüssel 120) von der elektronischen Vorrichtung bereitgestellt werden. Ein Zählerdienst kann für die Daten initialisiert werden (z.B. unter Verwendung der Zähler-Engine 112) und es können Richtlinien dafür erstellt werden, welche Version der Daten an eine bestimmte Vorrichtung übermittelt werden kann. Darüber hinaus können auch Richtlinien dafür erstellt werden, was mit den Daten geschehen darf. So kann beispielsweise die elektronische Vorrichtung 102a auf den Verschlüsselungsschlüssel_1 120a zugreifen dürfen und vollen Zugriff auf die aktuellsten Daten haben und kann modifizieren, löschen, kopieren etc.. Die elektronische Vorrichtung 102b kann auf den Verschlüsselungsschlüssel_2 120b zugreifen dürfen und Zugriff auf die aktuellsten Daten haben, der Verschlüsselungsschlüssel_2 120b kann jedoch nur das Lesen der Daten und nicht das Modifizieren oder Kopieren der Daten zulassen. Die elektronische Vorrichtung 102c kann auf den Verschlüsselungsschlüssel_3 120c zugreifen dürfen und Zugriff auf eine ältere Version der Daten haben (z.B. Daten Av2 116b), und der Verschlüsselungsschlüssel_3 120c kann der elektronischen Vorrichtung 102c nur das Lesen, Kopieren oder Herunterladen der Daten, jedoch nicht das Modifizieren der Daten gestatten.
  • Wendet man sich der Infrastruktur der 1 zu, so ist dort das Kommunikationssystem 100 gemäß einer beispielhaften Ausführungsform dargestellt. Grundsätzlich kann das Kommunikationssystem 100 in jeder Art oder Topologie von Netzwerken implementiert werden. Das Cloud-Netzwerk 104 stellt eine Reihe von Punkten oder Knoten miteinander verbundener Kommunikationswege zum Empfangen und Übertragen von Informationspaketen dar, die sich durch das Kommunikationssystem 100 ausbreiten. Das Cloud-Netzwerk 104 bietet eine Kommunikationsschnittstelle zwischen Knoten, und kann konfiguriert sein als ein beliebiges lokales Netzwerk (LAN), virtuelles lokales Netzwerk (VLAN), Weitverkehrsnetzwerk (WAN), drahtloses lokales Netzwerk (WLAN), Metropolitan Area Network (MAN), Intranet, Extranet, Virtual Private Network (VPN) und jede andere geeignete Architektur oder jedes andere geeignete System, die bzw. das Kommunikationen in einer Cloud-Netzwerkumgebung ermöglicht, oder jede geeignete Kombination aus diesen, einschließlich kabelgebundener und/oder drahtloser Kommunikation.
  • In den Kommunikationssystemen 100a und 100b kann der Netzwerkverkehr, der Pakete, Frames, Signale (analog, digital oder eine beliebige Kombination der beiden), Daten etc. umfasst, gemäß allen geeigneten Kommunikations-Messaging-Protokollen gesendet und empfangen werden. Geeignete Kommunikations-Messaging-Protokolle können ein mehrlagiges Konzept wie das Open Systems Interconnection (OSI) Modell oder beliebige Ableitungen oder Varianten desselben (z.B. das Transmission Control Protocol/Internet Protocol (TCP/IP ), das User Datagram Protocol/IP (UDP/IP)) umfassen. Darüber hinaus können in dem Kommunikationssystem 100 auch Funksignalübertragungen (z.B. über ein Mobilfunknetz) vorgesehen sein. Es können geeignete Schnittstellen und Infrastruktur vorgesehen sein, um die Kommunikation mit dem Mobilfunknetz zu ermöglichen.
  • Der hierin verwendete Begriff „Paket“ betrifft eine Dateneinheit, die zwischen einem Quellknoten und einem Zielknoten in einem paketvermittelten Netzwerk geroutet werden kann. Ein Paket enthält eine Quellnetzwerkadresse und eine Zielnetzwerkadresse. Diese Netzwerkadressen können Internet Protocol (IP)-Adressen in einem TCP/IP-Messaging-Protokoll sein. Der Begriff „Daten“ wie er hierin verwendet wird, bezieht sich auf jede Art von binären Daten, numerischen Daten, Sprach-, Video-, Text- oder Skriptdaten, oder jede Art von Quell- oder Objektcode oder andere geeignete Informationen in jedem entsprechenden Format, die in elektronischen Vorrichtungen und/oder Netzwerken von einem Punkt zu einem anderen kommuniziert werden können. Darüber hinaus sind Nachrichten, Anforderungen, Antworten und Abfragen Formen des Netzwerkverkehrs und können daher Pakete, Frames, Signale, Daten etc. umfassen.
  • In einer beispielhaften Implementierung sind die sicheren Domänen 106a bis 106e und die virtuelle Maschine 108 Cloud-Netzwerkelemente, die Netzwerkgeräte, Server (sowohl virtuelle als auch physische), Router, Switches, Gateways, Brücken, Lastausgleicher, Prozessoren, Module oder jede andere zweckmäßige virtuelle oder physische Vorrichtung, Komponente, oder jedes andere zweckmäßige Element oder Objekt, die bzw. das zum Austausch von Informationen in einer Netzwerkumgebung geeignet sind, umfassen sollen. Netzwerkelemente können jede geeignete Hardware, Software, Komponenten, Module, oder Objekte, die deren Betrieb ermöglichen, umfassen, sowie geeignete Schnittstellen zum Empfangen, Senden und/oder anderweitigen Kommunizieren von Daten oder Informationen in einer Cloud-Netzwerkumgebung. Dies kann geeignete Algorithmen und Kommunikationsprotokolle, die einen effektiven Austausch von Daten oder Informationen ermöglichen, einschließen.
  • Hinsichtlich der internen Struktur, die mit den Kommunikationssystemen 100a und 100b verbunden ist, kann jede der elektronischen Vorrichtungen 102a bis 102d, der sicheren Domänen 106a bis 106e und der virtuellen Maschine 108 Speicherelemente zum Speichern von in den hierin dargelegten Operationen zu verwendenden Informationen umfassen. Sofern angemessen und in Abhängigkeit von besonderen Erfordernissen kann jede der elektronischen Vorrichtungen 102a bis 102d, der sicheren Domänen 106a bis 106e und der virtuellen Maschine 108 Informationen in einem beliebigen geeigneten Speicherelement (z.B., Direktzugriffsspeicher (RAM), Festwertspeicher (ROM), löschbarer programmierbarer ROM (EPROM), elektrisch löschbarer programmierbarer ROM (EEPROM), anwendungsspezifische integrierte Schaltung (ASIC), nichtflüchtiger Speicher (NVRAM), magnetischer Speicher, magneto-optischer Speicher, Flash-Speicher (SSD) etc.), in Software, Hardware, Firmware oder in jeder anderen geeigneten Komponente und Vorrichtung und in jedem anderen geeigneten Element oder Objekt speichern. Alle hierin erörterten Speicherelemente sind als innerhalb des weiten Begriffs „Speicherelement“ umfasst zu verstehen. Darüber hinaus könnten die Informationen, die in den Kommunikationssystemen 100a und 100b verwendet, verfolgt, gesendet oder empfangen werden, in jeder Datenbank, jedem Register, jeder Warteschlange, jeder Tabelle, jedem Cache, jeder Kontrollliste oder jeder anderen Speicherstruktur, die alle in einem beliebigen geeigneten Zeitrahmen referenziert werden können, bereitgestellt werden. Alle derartigen Speicheroptionen können ebenfalls von dem weit gefassten Begriff „Speicherelement“, wie er hierin verwendet wird, umfasst sein.
  • In bestimmten beispielhaften Implementierungen können die hierin beschriebenen Funktionen durch Logik implementiert werden, die in einem oder mehreren greifbaren Medien, die nichtflüchtige computerlesbare Medien einschließen können, codiert ist (z.B. eingebettete Logik, die in einem ASIC bereitgestellt wird, Anweisungen für digitale Signalprozessoren (DSP), von einem Prozessor oder einer anderen ähnlichen Maschine auszuführende Software (möglicherweise einschließlich Objektcode und Quellcode). In einigen dieser Fälle können Speicherelemente Daten speichern, die für die hierin beschriebenen Operationen verwendet werden. Dazu gehören auch die Speicherelemente, die in der Lage sind, Software, Logik, Code oder Prozessoranweisungen zu speichern, die ausgeführt werden, um die hierin beschriebenen Aktionen auszuführen.
  • In einer beispielhaften Implementierung können Netzwerkelemente der Kommunikationssysteme 100a und 100b, wie beispielsweise die elektronischen Vorrichtungen 102a bis 102d, die sicheren Domänen 106a bis 106e und die virtuelle Maschine 108, Softwaremodule (z.B. die Zähler-Engine 112, die Datenerzeugungs-Engine 114 und die Zugriffs-Engine 128) umfassen, um die hier beschriebenen Operationen zu erreichen oder zu fördern. Diese Module können auf jede beliebige Art und Weise kombiniert werden, was insbesondere auf Konfigurations- und/oder Bereitstellungsanforderungen beruhen kann. Derartige Operationen können in einigen Ausführungsformen durch Hardware ausgeführt werden, extern zu diesen Elementen implementiert werden, oder in eine andere Netzwerkvorrichtung integriert werden, um die gewünschte Funktionalität zu erreichen. Darüber hinaus können die Module als Software, Hardware, Firmware oder jede geeignete Kombination davon implementiert werden. Diese Elemente können auch Software (oder hin- und hergehende Software) umfassen, die sich mit anderen Netzwerkelementen koordinieren kann, um die hierin beschriebenen Operationen zu erreichen.
  • Darüber hinaus kann jede der elektronischen Vorrichtungen 102a bis 102d, der sicheren Domänen 106a bis 106e und der virtuellen Maschine 108 einen Prozessor umfassen, der Software oder einen Algorithmus ausführen kann, um Aktionen wie hierin beschrieben auszuführen. Ein Prozessor kann jede Art von Anweisungen, die mit den Daten verknüpft sind, ausführen, um die hierin ausführlich beschriebenen Operationen zu erreichen. In einem Beispiel könnten die Prozessoren ein Element oder einen Gegenstand (z.B. Daten) von einem Zustand oder einer Sache in einen anderen Zustand oder eine andere Sache transformieren. In einem weiteren Beispiel können die hierin beschriebenen Aktivitäten mit fester Logik oder programmierbarer Logik (z.B. Software/ Computeranweisungen, die von einem Prozessor ausgeführt wird/werden) implementiert werden, und die hierin identifizierten Elemente könnten eine Art programmierbarer Prozessor, programmierbare digitale Logik (z.B. ein Field Programmable Gate Array (FPGA), ein EPROM, ein EEPROM) oder ein ASIC sein, das digitale Logik, Software, Code, elektronische Anweisungen oder jede geeignete Kombination davon umfasst. Jedes der möglichen Verarbeitungselemente und Module und jede der möglichen Maschinen, die hierin beschrieben sind, ist so auszulegen, dass es bzw. sie innerhalb des weit gefassten Begriffs „Prozessor“ umfasst ist.
  • Die elektronischen Vorrichtungen 102a bis 102d, die sicheren Domänen 106a bis 106e und die virtuelle Maschine 108 können Netzwerkelemente sein und beispielsweise physische oder virtuelle Server oder andere ähnliche Vorrichtungen, die in einer Cloud-Service-Architektur verwendet werden können, umfassen. Das Cloud-Netzwerk 104 kann allgemein als die Nutzung von Rechenressourcen definiert werden, die als Dienst über ein Netzwerk, wie etwa das Internet, bereitgestellt werden. Die Dienste können verteilt und getrennt werden, um eine erforderliche Unterstützung für elektronische Vorrichtungen bereitzustellen. Üblicherweise werden Rechen-, Speicher- und Netzwerkressourcen in einer Cloud-Infrastruktur angeboten, wodurch die Arbeitslast effektiv von einem lokalen Netzwerk in das Cloud-Netzwerk verlagert wird. Ein Server kann ein Netzwerkelement wie ein Server oder ein virtueller Server sein und kann mit Clients, Kunden, Endpunkten oder Endnutzern verbunden sein, die über ein Netzwerk in den Kommunikationssystemen 100a und 100b eine Kommunikation initiieren möchten. Der Begriff „Server“ umfasst Vorrichtungen, die verwendet werden, um die Anfragen von Clients zu bedienen und/oder im Auftrag von Clients in den Kommunikationssystemen 100a und 100b eine Rechenaufgabe auszuführen.
  • Nun auf die 2 Bezug nehmend ist die 2 ein vereinfachtes Blockdiagramm von beispielhaften Details eines Teils eines Kommunikationssystems zur Ermöglichung von Datensicherheit in einem Cloud-Netzwerk gemäß einer Ausführungsform der vorliegenden Offenbarung. In einem Beispiel kann der elektronischen Vorrichtung 102a (nicht dargestellt) unter Verwendung des Verschlüsselungsschlüssels_1 120a der Zugriff auf die Daten Av4 116d gestattet werden. Der Verschlüsselungsschlüssel_1 120a ermöglicht der elektronischen Vorrichtung 102a den vollen Zugriff auf die Daten _Av4 116d, was bedeutet, dass die elektronische Vorrichtung 120a die Zeilen 130a bis 130d und die Spalten 132a bis 132c lesen, kopieren und modifizieren kann. Der elektronischen Vorrichtung 102b (nicht dargestellt) kann unter Verwendung des Verschlüsselungsschlüssels_1 120b der Zugriff auf die Daten_Av4 116d gestattet werden. Der Verschlüsselungsschlüssel_1 120b ermöglicht der elektronischen Vorrichtung 102b den begrenzten Zugriff auf die Daten _Av4 116d, was bedeutet, dass die elektronische Vorrichtung 120a nur die Zeilen 130a bis 130c in den Spalten 132a und 132b lesen, kopieren oder herunterladen kann. Der elektronischen Vorrichtung 102c (nicht dargestellt) kann unter Verwendung des Verschlüsselungsschlüssels_1 120c der Zugriff auf die Daten_Av4 116d gestattet werden. Der Verschlüsselungsschlüssel_1 120c ermöglicht der elektronischen Vorrichtung 102c einen sehr begrenzten Zugriff auf die Daten_Av4 116d, was bedeutet, dass die elektronische Vorrichtung 102c nur die Zeile 130a und die Spalte 132a lesen kann. Das Maß an Zugriff, das von jedem der oben beschriebenen Verschlüsselungsschlüssel bereitgestellt wird, dient nur zur Veranschaulichung und kann den Präferenzen eines Administrators entsprechend mit einer Vielzahl von Verschlüsselungsschlüsseln, die verschiedene Zugriffsarten ermöglichen, konfiguriert werden.
  • Nun auf die 3 Bezug nehmend, ist die 3 ein beispielhaftes Ablaufdiagramm, das mögliche Operationen eines Ablaufs 300 veranschaulicht, der gemäß einer Ausführungsform mit der Datensicherheit in einem Cloud-Netzwerk verbunden sein kann. In einer Ausführungsform können eine oder mehrere Operationen des Ablaufs 300 durch eine oder mehrere der Zähler-Engine 112, der Datenerzeugungs-Engine 114 und der Zugriffs-Engine 128 ausgeführt werden. Bei 302 werden Daten erzeugt. Bei 304 werden die Daten in einer sicheren Domäne gespeichert und mit einem Verschlüsselungsschlüssel geschützt. Bei 306 fordert eine Vorrichtung Zugriff auf die in der sicheren Domäne gespeicherten Daten. Bei 308 bestimmt das System, ob die Vorrichtung berechtigt ist, auf die Daten zuzugreifen. Wenn die Vorrichtung nicht auf die Daten zugreifen darf, wird der Vorrichtung, wie in 310, nicht gestattet, auf die Daten zuzugreifen. Wenn die Vorrichtung auf die Daten zugreifen darf, wird die Vorrichtung mit dem Verschlüsselungsschlüssel versehen und kann auf die Daten zugreifen.
  • Nun auf die 4 Bezug nehmend, ist die 4 ein beispielhaftes Ablaufdiagramm, das mögliche Operationen eines Ablaufs 400 veranschaulicht, der gemäß einer Ausführungsform mit der Datensicherheit in einem Cloud-Netzwerk verbunden sein kann. In einer Ausführungsform können eine oder mehrere Operationen des Ablaufs 400 durch eine oder mehrere der Zähler-Engine 112, der Datenerzeugungs-Engine 114 und der Zugriffs-Engine 128 ausgeführt werden. Bei 402 werden Daten erstellt und in einer sicheren Domäne gespeichert. Bei 404 werden mehrere Verschlüsselungsschlüssel erzeugt, wobei jeder Verschlüsselungsschlüssel ein unterschiedliches Zugriffsniveau auf die Daten zulassen kann. Bei 406 fordert eine elektronische Vorrichtung Zugriff auf die Daten. Bei 408 wird ein Niveau des Datenzugriffs bestimmt. Bei 410 wird ein spezifischer Verschlüsselungsschlüssel, der das bestimmte Zugriffsniveau bereitstellt, an die elektronische Vorrichtung übermittelt. Bei 412 greift die elektronische Vorrichtung auf dem bestimmten Zugriffsniveau auf die Daten zu.
  • Nun auf die 5 Bezug nehmend, ist die 5 ein beispielhaftes Ablaufdiagramm, das mögliche Operationen eines Ablaufs 500 veranschaulicht, der gemäß einer Ausführungsform mit der Datensicherheit in einem Cloud-Netzwerk verbunden sein kann. In einer Ausführungsform können eine oder mehrere Operationen des Ablaufs 500 durch eine oder mehrere der Zähler-Engine 112, der Datenerzeugungs-Engine 114 und der Zugriffs-Engine 128 ausgeführt werden. Bei 502 werden Daten in einer sicheren Domäne gespeichert. Bei 504 fordert eine Vorrichtung Zugriff auf die Daten. Bei 506 bestimmt das System, ob die Vorrichtung berechtigt ist, auf die Daten zuzugreifen. Wenn die Vorrichtung nicht berechtigt ist, auf die Daten zuzugreifen, wird der Vorrichtung, wie in 508, nicht gestattet, auf die Daten zuzugreifen. Wenn die Vorrichtung auf die Daten zugreifen darf, bestimmt das System, wie in 510, ob das Gerät berechtigt ist, auf die aktuellste Version der Daten zuzugreifen. Wenn die Vorrichtung nicht auf die aktuellste Version der Daten zugreifen darf, wird die Vorrichtung berechtigt, wie in 512, auf die Version der Daten zuzugreifen, für welche die Vorrichtung zugriffsberechtigt ist. Wenn die Vorrichtung berechtigt ist, auf die aktuellste Version der Daten zuzugreifen, wird die Vorrichtung berechtigt, auf die aktuellste Version der Daten zuzugreifen.
  • Nun auf die 6 Bezug nehmend veranschaulicht die 6 ein Computing-System 600, das gemäß einer Ausführungsform in einer Punkt-zu-Punkt-Konfiguration (PtP) angeordnet ist. Insbesondere zeigt die 6 ein System, in dem Prozessoren, Speicher und Eingabe- bzw. Ausgabevorrichtungen durch eine Reihe von Punkt-zu-Punkt-Schnittstellen miteinander verbunden sind. Grundsätzlich können eines oder mehrere der Netzwerkelemente des Kommunikationssystems 100 gleiche oder ähnlich wie das Computing-System 600 konfiguriert sein.
  • Wie in der 6 dargestellt, kann das System 600 mehrere Prozessoren umfassen, von denen der Übersichtlichkeit halber nur zwei, die Prozessoren 670 und 680, dargestellt sind. Auch wenn zwei Prozessoren - 670 und 680 - dargestellt sind, ist es selbstverständlich, dass eine Ausführungsform des Systems 600 auch nur einen solchen Prozessor umfassen kann. Die Prozessoren 670 und 680 können jeweils einen Satz von Kernen umfassen (d.h. die Prozessorkerne 674A und 674B und die Prozessorkerne 684A und 684B), um mehrere Threads eines Programms auszuführen. Die Kerne können dazu konfiguriert sein, in ähnlicher Weise, wie zuvor mit Bezug auf die 1 bis 5 erläutert, Befehlscode auszuführen. Jeder Prozessor 670, 680 kann mindestens einen gemeinsamen Cache 671, 681 umfassen. Die gemeinsamen Caches 671, 681 können Daten (z.B. Anweisungen) speichern, die von einer oder mehreren Komponenten der Prozessoren 670 , 680, wie beispielsweise den Prozessorkernen 674 und 684 verwendet werden.
  • Die Prozessoren 670 und 680 können außerdem jeweils eine integrierte Speichersteuerlogik (MC) 672 und 682 zur Kommunikation mit den Speicherelementen 632 und 634 umfassen. Die Speicherelemente 632 und/oder 634 können verschiedene Daten speichern, die von den Prozessoren 670 und 680 verwendet werden. In alternativen Ausführungsformen kann die Speichersteuerlogik 672 und 682 eine von den Prozessoren 670 und 680 getrennte diskrete Logik sein.
  • Die Prozessoren 670 und 680 können jede Art von Prozessor sein und über eine Punkt-zu-Punkt-Schnittstelle (PtP) 650 unter Verwendung der Punkt-zu-Punkt-Schnittstellenschaltungen 678 beziehungsweise 688 Daten austauschen. Die Prozessoren 670 und 680 können jeweils über einzelne Punkt-zu-Punkt-Schnittstellen 652 und 654 unter Verwendung der Punkt-zu-Punkt-Schnittstellenschaltungen 676, 686, 694 und 698 Daten mit einem Chipsatz 690 austauschen. Der Chipsatz 690 kann außerdem unter Verwendung einer Schnittstellenschaltung 692, die eine PtP-Schnittstellenschaltung sein kann, über eine Hochleistungsgrafikschnittstelle 639 Daten mit einer Hochleistungsgrafikschaltung 638 austauschen. In alternativen Ausführungsformen könnten ein oder alle der in der 6 dargestellten PtP-Verbindungen als Multi-Drop-Bus und nicht als PtP-Verbindung implementiert sein.
  • Der Chipsatz 690 kann über eine Schnittstellenschaltung 696 mit einem Bus 620 in Kommunikation stehen. Der Bus 620 kann ein oder mehrere über ihn kommunizierende Vorrichtungen, wie eine Busbrücke 618 und die E/A-Vorrichtungen 616, aufweisen. Über einen Bus 610 kann die Busbrücke 618 mit anderen Vorrichtungen, wie einer Tastatur/Maus 612 (oder anderen Eingabevorrichtungen, wie einem Touchscreen, Trackball etc.), mit Kommunikationsvorrichtungen 626 (wie Modems, Netzwerkschnittstellenvorrichtungen oder mit anderen Arten von Kommunikationsvorrichtungen, die über ein Computernetzwerk 660 kommunizieren können) und mit Audio-E/A-Vorrichtungen 614 und/oder einer Datenspeichervorrichtung 628 in Kommunikation stehen. Die Datenspeichervorrichtung 628 kann den Code 630 speichern, der von den Prozessoren 670 und/oder 680 ausgeführt werden kann. In alternativen Ausführungsformen könnten beliebige Teile der Busarchitekturen mit einem oder mehreren PtP-Verbindungen implementiert sein.
  • Das in der 6 dargestellte Computing-System ist eine schematische Darstellung einer Ausführungsform eines Computing-Systems, das zur Implementierung verschiedener hierin erörterter Ausführungsformen verwendet werden kann. Es versteht sich, dass verschiedene Komponenten des in der 6 dargestellten Systems in einer System-on-a-Chip (SoC)-Architektur oder in jeder anderen geeigneten Konfiguration kombiniert werden können. So können die hierin offenbarten Ausführungsformen beispielsweise in Systeme, die mobile Vorrichtungen wie intelligente Mobiltelefone („smart cellular telephones“), Tablet-Computer, persönliche digitale Assistenten, tragbare Spielvorrichtungen etc. umfassen, integriert werden. Es versteht sich, dass diese mobilen Vorrichtungen zumindest in einigen Ausführungsformen mit SoC-Architekturen versehen sein können.
  • Nun auf die 7 Bezug nehmend, ist die 7 ein vereinfachtes Blockdiagramm, das einem beispielhaften Ökosystem-SOC 700 der vorliegenden Offenbarung zugeordnet ist. Mindestens eine beispielhafte Implementierung der vorliegenden Offenbarung kann die hierin erörterte Paarung von Vorrichtungen in einem lokalen Netzwerk umfassen. Darüber hinaus kann die Architektur Teil jeder Art von Tablet, Smartphone (einschließlich Android™-Telefone, iPhones™), iPad™, Google Nexus™, Microsoft Surface™, Personal Computer, Server, Videoverarbeitungskomponenten, Laptop-Computer (einschließlich jeder Art von Notebook), Ultrabook™-System, sowie von jeder Art von touchfähiger Eingabevorrichtung, etc., sein.
  • In diesem Beispiel der 7 kann das Ökosystem-SOC 700 umfassen: mehrere Kerne 706 bis 707, einen L2-Cache-Controller 708, eine Busschnittstelleneinheit 709, einen L2-Cache 710, eine Grafikverarbeitungseinheit (GPU) 715, eine Leiterbahn 702, einen Videocodec 720 und eine Flüssigkristallanzeigen(LCD)-Schnittstelle 725, die einer Mobile Industry Processor Interface (MIPI)-Verbindung bzw. einer High Definition Multimedia Interface (HDMI)-Verbindung, welche mit einem LCD koppelbar sind, zugeordnet sein kann.
  • Das Ökosystem-SOC 700 kann auch eine Teilnehmeridentitätsmodul (SIM)-Schnittstelle 730, einen Boot Read-only Memory (ROM) 735, einen Synchronous Dynamic Random Access Memory (SDRAM) Controller 740, einen Flash Controller 745, einen Serial Peripheral Interface (SPI) Master 750, eine geeignete Leistungssteuerung 755, einen Dynamic RAM (DRAM) 760 und einen Flash-Speicher 765 umfassen. Darüber hinaus umfassen eine oder mehrere Ausführungsformen eine oder mehrere Kommunikationsfähigkeiten, -schnittstellen und - merkmale, wie beispielsweise Instanzen von Bluetooth™ 770, ein 3G-Modem 775, ein Global Positioning System (GPS) 780 und ein 802.11 Wi-Fi 785.
  • Im Betrieb kann das Beispiel von 7 Verarbeitungsfähigkeiten bei relativ geringem Energieverbrauch bieten, um verschiedene Arten von Computing (z.B. Mobile Computing, High-End-Digital Home, Server, drahtlose Infrastruktur, etc.) zu ermöglichen. Darüber hinaus kann eine solche Architektur beliebig viele Softwareanwendungen (z.B. Android™, Adobe® Flash® Player, Java Platform Standard Edition (Java SE), JavaFX, Linux, Microsoft Windows Embedded, Symbian und Ubuntu, etc.) ermöglichen. In mindestens einer beispielhaften Ausführungsform kann der Kernprozessor eine Out-of-order-Superskalar-Pipeline mit einem gekoppelten Low-Latency-Level-2-Cache implementieren.
  • In der 8 ist ein Prozessorkern 800 gemäß einer Ausführungsform dargestellt. Der Prozessorkern 800 kann der Kern für jede Art von Prozessor, wie beispielsweise einen Mikroprozessor, einen eingebetteten Prozessor, einen digitalen Signalprozessor (DSP), einen Netzwerkprozessor oder eine andere Vorrichtung zum Ausführen von Code sein. Obwohl in der 8 nur ein Prozessorkern 800 dargestellt ist, kann ein Prozessor alternativ auch mehr als einen der in 8 dargestellten Prozessorkerne 800 umfassen. So stellt beispielsweise der Prozessorkern 800 eine beispielhafte Ausführungsform der unter Bezugnahme auf die Prozessoren 870 und 880 der 8 dargestellten und beschriebenen Prozessorkerne 874a, 874b, 884a und 884b dar. Der Prozessorkern 800 kann ein Single-Thread-Kern sein, oder der Prozessorkern 800 kann bei mindestens einer Ausführungsform ein Multithread-Kern sein, indem er mehr als einen Hardware-Thread-Kontext (oder „logischen Prozessor“) pro Kern umfassen kann.
  • Ferner ist in der 8 ein Speicher 802 dargestellt, der mit dem Prozessorkern 800 gemäß einer Ausführungsform gekoppelt ist. Bei dem Speicher 802 kann es sich um einen beliebigen der verschiedensten Speicher (einschließlich verschiedener Schichten der Speicherhierarchie), wie sie dem Fachmann bekannt sind oder anderweitig zur Verfügung stehen, handeln. Der Speicher 802 kann den Code 804, der eine oder mehrere Anweisungen sein kann, die vom Prozessorkern 800 auszuführen sind, umfassen. Der Prozessorkern 800 kann einer Programmsequenz von Anweisungen, die durch den Code 804 angegeben ist, folgen. Jede Anweisung tritt in eine Frontend-Logik 806 ein und wird von einem oder mehreren Decodern 808 verarbeitet. Der Decoder kann als Ausgabe eine Mikrooperation, wie beispielsweise eine Mikrooperation fester Breite in einem vordefinierten Format, erzeugen, oder kann andere Anweisungen, Mikroanweisungen oder Steuersignale, welche die ursprüngliche Codeanweisung widerspiegeln, erzeugen. Die Frontend-Logik 806 umfasst ferner eine Register-Umbenennungslogik 810 und eine Scheduling-Logik 812, die im Allgemeinen Ressourcen zuweist und den Vorgang entsprechend der Anweisung zur Ausführung in eine Warteschlange stellt.
  • Der Prozessorkern 800 kann außerdem eine Ausführungslogik 814 mit einem Satz von Ausführungseinheiten 816-1 bis 816-N umfassen. Einige Ausführungsformen können eine Anzahl von Ausführungseinheiten umfassen, die bestimmten Funktionen oder Sätzen von Funktionen zugeordnet sind. Andere Ausführungsformen können nur eine Ausführungseinheit oder eine Ausführungseinheit, die eine bestimmte Funktion ausführen kann, umfassen. Die Ausführungslogik 814 führt die durch Code-Anweisungen vorgegebenen Operationen aus.
  • Nach Abschluss der Ausführung der durch die Code-Anweisungen vorgegebenen Operationen kann die Backend-Logik 818 die Anweisungen des Codes 804 zurücknehmen (retire). In einer Ausführungsform lässt der Prozessorkern 800 nicht-reihenfolgenkonformes Ausführen zu, erfordert aber eine reihenfolgenkonforme Rücknahme (retirement) von Anweisungen. Die Rücknahme-Logik 820 kann eine Vielzahl von bekannten Formen annehmen (z.B. Neuordnungspuffer oder dergleichen). Auf diese Weise wird der Prozessorkern 800 während der Ausführung des Codes 804 zumindest hinsichtlich der von dem Decoder erzeugten Ausgabe, der von der Register-Umbenennungslogik 810 verwendeten Hardware-Register und Tabellen, und aller Register (nicht dargestellt), die durch die Ausführungslogik 814 modifiziert werden, transformiert.
  • Obwohl in der 8 nicht dargestellt, kann ein Prozessor andere Elemente auf einem Chip mit dem Prozessorkern 800 umfassen, von denen zumindest einige hierin unter Bezugnahme auf die 6 dargestellt und beschrieben wurden. Wie beispielsweise in der 6 dargestellt, kann ein Prozessor neben dem Prozessorkern 800 auch eine Speichersteuerlogik umfassen. Der Prozessor kann eine E/A-Steuerlogik und/oder eine in die Speichersteuerlogik integrierte E/A-Steuerlogik umfassen.
  • Es sei angemerkt, dass bei den hier bereitgestellten Beispielen die Interaktion in Bezug auf zwei, drei oder mehr Netzwerkelemente beschrieben werden kann. Dies erfolgte jedoch lediglich aus Gründen der Übersichtlichkeit und beispielhaft. In bestimmten Fällen kann es einfacher sein, eine oder mehrere der Funktionalitäten eines bestimmten Satzes von Abläufen zu beschreiben, indem man sich nur auf eine begrenzte Anzahl von Netzwerkelementen bezieht. Es sollte erkennbar sein, dass das Kommunikationssystem 100 und seine Lehren leicht skalierbar sind und eine Vielzahl von Komponenten, sowie kompliziertere bzw. anspruchsvolle Anordnungen und Konfigurationen aufnehmen können. Dementsprechend sollen die aufgeführten Beispiele den Umfang des Kommunikationssystems 100 nicht einschränken, oder die umfassenden Lehren, wie sie möglicherweise auf eine Vielzahl anderer Architekturen angewendet werden, nicht behindern.
  • Zu beachten ist ferner, dass die Operationen in den vorhergehenden Ablaufdiagrammen (d.h. in den 3 bis 5) nur einige der möglichen korrelierenden Szenarien und Muster veranschaulichen, die durch das oder innerhalb des Kommunikationssystem(s) 100 ausgeführt werden können. Einige dieser Operationen können gegebenenfalls gelöscht oder entfernt werden, oder diese Operationen können erheblich modifiziert oder verändert werden, ohne den Rahmen der vorliegenden Erfindung zu verlassen. Zudem wurde eine Anzahl dieser Operationen als gleichzeitig oder parallel zu einer oder mehreren zusätzlichen Operationen ausgeführt beschrieben. Der Zeitablauf dieser Vorgänge kann jedoch erheblich verändert werden. Die vorhergehenden operativen Abläufe wurden beispielhaft und zum Zwecke der Erörterung geboten. Von dem Kommunikationssystem 100 wird eine erhebliche Flexibilität dadurch bereitgestellt, dass beliebige geeignete Anordnungen, Chronologien, Konfigurationen und Zeitablauf-Mechanismen bereitgestellt werden können, ohne die Lehren der vorliegenden Offenbarung zu verlassen.
  • Obwohl die vorliegende Offenbarung im Hinblick auf bestimmte Anordnungen und Konfigurationen ausführlich beschrieben wurde, können diese beispielhaften Konfigurationen und Anordnungen erheblich geändert werden, ohne vom Umfang der vorliegenden Offenbarung abzuweichen. Darüber hinaus können bestimmte Komponenten in Abhängigkeit von besonderen Erfordernissen und Implementierungen kombiniert, getrennt, eliminiert oder hinzugefügt werden. Obwohl das Kommunikationssystem 100 unter Bezugnahme auf bestimmte Elemente und Operationen, die den Kommunikationsprozess erleichtern, veranschaulicht wurde, können diese Elemente und Operationen durch beliebige geeignete Architekturen, Protokolle und/oder Prozesse ersetzt werden, welche die gewünschte Funktionalität des Kommunikationssystems 100 erreichen.
  • Zahlreiche weitere Abänderungen, Substitutionen, Variationen, Veränderungen und Abwandlungen können von einem Fachmann ermittelt werden, und es ist beabsichtigt, dass die vorliegende Offenbarung alle diese Abänderungen, Substitutionen, Variationen, Veränderungen und Abwandlungen als in den Anwendungsbereich der beigefügten Ansprüche fallend umfasst. Um das United States Patent and Trademark Office (USPTO) und darüber hinaus alle Leser eines auf diese Anmeldung erteilten Patents bei der Auslegung der beigefügten Ansprüche zu unterstützen, möchte der Anmelder darauf hinweisen, dass der Anmelder: (a) nicht beabsichtigt, dass irgendeiner der beigefügten Ansprüche Paragraph sechs (6) des U.S.C. 35, Abschnitt 112, wie er zum Zeitpunkt der Einreichung dieses Antrags existiert, geltend macht, es sei denn, die Worte „Mittel für“ [„means for“] oder „Schritt für“ [„step for“] werden in den einzelnen Ansprüchen ausdrücklich verwendet; und (b) nicht beabsichtigt, diese Offenbarung durch irgendeine Aussage in der Beschreibung in irgendeiner Weise, die nicht anderweitig in den beigefügten Ansprüchen zum Ausdruck kommt, einzuschränken.
  • WEITERE HINWEISE UND BEISPIELE
  • Das Beispiel C1 ist wenigstens ein maschinenlesbares Medium, das eine oder mehrere Anweisungen umfasst, die bei Ausführung durch wenigstens einen Prozessor, bewirken, dass der wenigstens eine Prozessor: Daten in einer sicheren Domäne in einem Cloud-Netzwerk speichert, Verschlüsselungsschlüssel erstellt, wobei jeder Verschlüsselungsschlüssel eine andere Art des Zugriffs auf die Daten bereitstellt, und die Verschlüsselungsschlüssel in einem Schlüsselspeicher einer sicheren Domäne in dem Cloud-Netzwerk speichert.
  • In dem Beispiel C2 kann der Gegenstand des Beispiels C1 optional umfassen, dass jeder Verschlüsselungsschlüssel den Zugriff auf eine andere Version der Daten ermöglicht.
  • In dem Beispiel C3 kann der Gegenstand eines beliebigen der Beispiele C1 und C2 optional umfassen, dass ein Datengenerator die Verschlüsselungsschlüssel erzeugt und die Verschlüsselungsschlüssel an den Schlüsselspeicher der sicheren Domäne kommuniziert.
  • In dem Beispiel C4 kann der Gegenstand eines beliebigen der Beispiele C1 bis C3 optional umfassen, dass eine Zugriffskontroll-Engine den Zugriff auf die Verschlüsselungsschlüssel kontrolliert.
  • In dem Beispiel C5 kann der Gegenstand eines beliebigen der Beispiele C1 bis C4 optional umfassen, dass eine Zähler-Engine den Speicherort jeder Version der Daten in dem Cloud-Netzwerk abspeichert.
  • In dem Beispiel A1 kann eine Vorrichtung eine Zugriffs-Engine umfassen, wobei die Zugriffs-Engine dazu konfiguriert ist, Daten in einer sicheren Domäne in einem Cloud-Netzwerk zu speichern, Verschlüsselungsschlüssel zu erstellen, wobei jeder Verschlüsselungsschlüssel eine andere Art des Zugriffs auf die Daten bereitstellen soll, und die Verschlüsselungsschlüssel in einem Schlüsselspeicher einer sicheren Domäne in dem Cloud-Netzwerk zu speichern.
  • In dem Beispiel A2 kann der Gegenstand des Beispiels A1 optional umfassen, dass jeder Verschlüsselungsschlüssel den Zugriff auf eine andere Version der Daten ermöglicht.
  • In dem Beispiel A3 kann der Gegenstand eines beliebigen der Beispiele A1 und A2 optional umfassen, dass ein Generator der Daten die Verschlüsselungsschlüssel erstellt und die Verschlüsselungsschlüssel an die Zugriffs-Engine kommuniziert.
  • In dem Beispiel A4 kann der Gegenstand eines beliebigen der Beispiele A1 bis A3 optional außerdem eine Zähler-Engine umfassen, wobei die Zähler-Engine dazu konfiguriert ist, den Speicherort jeder Version der Daten in dem Cloud-Netzwerk zu speichern.
  • In dem Beispiel A5 kann der Gegenstand eines beliebigen der Beispiele A1 bis A4 optional umfassen, dass die Zähler-Engine sich in einer zweiten sicheren Domäne befindet, die von der sicheren Domäne, in der die Daten gespeichert sind, getrennt ist.
  • Das Beispiel M1 ist ein Verfahren, welches das Speichern von Daten in einer sicheren Domäne in einem Cloud-Netzwerk, das Erstellen von Verschlüsselungsschlüsseln, wobei jeder Verschlüsselungsschlüssel eine andere Art des Zugriffs auf die Daten bereitstellen soll, und das Speichern der Verschlüsselungsschlüssel in einem Schlüsselspeicher einer sicheren Domäne in dem Cloud-Netzwerk umfasst.
  • In dem Beispiel M2 kann der Gegenstand des Beispiels M1 optional umfassen, dass jeder Verschlüsselungsschlüssel den Zugriff auf eine andere Version der Daten ermöglicht.
  • In dem Beispiel M3 kann der Gegenstand eines beliebigen der Beispiele M1 und M2 optional umfassen, dass ein Generator der Daten die Verschlüsselungsschlüssel erzeugt und die Verschlüsselungsschlüssel an den Schlüsselspeicher der sicheren Domäne kommuniziert.
  • In dem Beispiel M4 kann der Gegenstand eines beliebigen der Beispiele M1 bis M3 optional umfassen, dass eine Zugriffskontroll-Engine den Zugriff auf die Verschlüsselungsschlüssel kontrolliert.
  • In dem Beispiel M5 kann der Gegenstand eines beliebigen der Beispiele M1 bis M4 optional umfassen, dass eine Zähler-Engine den Speicherort jeder Version der Daten in dem Cloud-Netzwerk speichert.
  • Das Beispiel S1 ist ein System zur Bereitstellung von Datensicherheit in einem Cloud-Netzwerk, wobei das System eine Zugriffs-Engine umfassen kann, wobei die Zugriffs-Engine dazu konfiguriert ist, Daten in einer sicheren Domäne in einem Cloud-Netzwerk zu speichern, Verschlüsselungsschlüssel zu erstellen, wobei jeder Verschlüsselungsschlüssel eine andere Art des Zugriffs auf die Daten bereitstellen soll, und die Verschlüsselungsschlüssel in einem Schlüsselspeicher einer sicheren Domäne in dem Cloud-Netzwerk zu speichern.
  • In dem Beispiel S2 kann der Gegenstand des Beispiels S1 optional umfassen, dass jeder Verschlüsselungsschlüssel den Zugriff auf eine andere Version der Daten ermöglicht.
  • In dem Beispiel S3 kann der Gegenstand eines beliebigen der Beispiele S1 und S2 optional umfassen, dass ein Generator der Daten die Verschlüsselungsschlüssel erstellt und die Verschlüsselungsschlüssel an die Zugriffs-Engine kommuniziert.
  • In dem Beispiel S4 kann der Gegenstand eines beliebigen der Beispiele S1 und S2 optional eine Zähler-Engine umfassen, dass eine Zähler-Engine dazu konfiguriert ist, den Speicherort jeder Version der Daten in dem Cloud-Netzwerk zu speichern.
  • In dem Beispiel S5 kann der Gegenstand eines beliebigen der Beispiele S1 und S2 optional umfassen, dass.
  • das Beispiel X1 ein maschinenlesbares Speichermedium mit maschinenlesbaren Anweisungen zur Implementierung eines Verfahrens oder zur Realisierung einer Vorrichtung wie in einem der Beispiele A1 bis A5 oder M1 bis M5 ist. Das Beispiel Y1 ist eine Vorrichtung mit Mitteln zum Ausführen eines der beispielhaften Verfahren M1 bis M5. In dem Beispiel Y2 kann der Gegenstand des Beispiels Y1 optional die Mittel zur Durchführung des Verfahrens umfassen, die einen Prozessor und einen Speicher umfassen. In dem Beispiel Y3 kann der Gegenstand des Beispiels Y2 optional den Speicher mit maschinenlesbaren Anweisungen umfassen.

Claims (20)

  1. Mindestens ein maschinenlesbares Medium, das eine oder mehrere Anweisungen umfasst, die bei Ausführung durch mindestens einen Prozessor bewirken, dass der mindestens eine Prozessor: Daten in einer sicheren Domäne in einem Cloud-Netzwerk speichert; Verschlüsselungsschlüssel erstellt, wobei jeder Verschlüsselungsschlüssel eine andere Art des Zugriffs auf die Daten bereitstellen soll; und die Verschlüsselungsschlüssel in einem Schlüsselspeicher einer sicheren Domäne im Cloud-Netzwerk speichert.
  2. Mindestens ein maschinenlesbares Medium nach Anspruch 1, wobei jeder Verschlüsselungsschlüssel den Zugriff auf eine andere Version der Daten ermöglicht.
  3. Mindestens ein maschinenlesbares Medium nach einem von Anspruch 1 und 2, wobei ein Generator der Daten die Verschlüsselungsschlüssel erzeugt und die Verschlüsselungsschlüssel an den Schlüsselspeicher der sicheren Domäne kommuniziert.
  4. Mindestens ein maschinenlesbares Medium nach einem von Anspruch 1 und 2, wobei eine Zugriffskontroll-Engine den Zugriff auf die Verschlüsselungsschlüssel kontrolliert.
  5. Mindestens ein maschinenlesbares Medium nach einem von Anspruch 1 und 2, wobei eine Zähler-Engine den Speicherort jeder Version der Daten in dem Cloud-Netzwerk abspeichert.
  6. Vorrichtung, Folgendes umfassend: eine Zugriffs-Engine, wobei die Zugriffs-Engine dazu konfiguriert ist: Daten in einer sicheren Domäne in einem Cloud-Netzwerk zu speichern; Verschlüsselungsschlüssel zu erstellen, wobei jeder Verschlüsselungsschlüssel eine andere Art des Zugriffs auf die Daten bereitstellen soll; und die Verschlüsselungsschlüssel in einem Schlüsselspeicher einer sicheren Domäne in dem Cloud-Netzwerk abzuspeichern.
  7. Vorrichtung nach Anspruch 6, wobei jeder Verschlüsselungsschlüssel den Zugriff auf eine andere Version der Daten ermöglicht.
  8. Vorrichtung nach einem von Anspruch 6 und 7, wobei ein Generator der Daten die Verschlüsselungsschlüssel erstellt und die Verschlüsselungsschlüssel an die Zugriffs-Engine kommuniziert.
  9. Vorrichtung nach einem von Anspruch 6 und 7, ferner eine Zähler-Engine umfassend, wobei die Zähler-Engine dazu konfiguriert ist: den Speicherort jeder Version der Daten in dem Cloud-Netzwerk abzuspeichern.
  10. Vorrichtung nach einem von Anspruch 6 und 7, wobei die Zähler-Engine sich in einer zweiten sicheren Domäne befindet, die von der sicheren Domäne, in der die Daten gespeichert sind, getrennt ist.
  11. Verfahren, Folgendes umfassend: das Speichern von Daten in einer sicheren Domäne in einem Cloud-Netzwerk; das Erstellen von Verschlüsselungsschlüsseln, wobei jeder Verschlüsselungsschlüssel eine andere Art des Zugriffs auf die Daten bereitstellen soll; und das Speichern der Verschlüsselungsschlüssel in einem Schlüsselspeicher einer sicheren Domäne in dem Cloud-Netzwerk.
  12. Verfahren nach Anspruch 11, wobei jeder Verschlüsselungsschlüssel den Zugriff auf eine andere Version der Daten ermöglicht.
  13. Verfahren nach einem von Anspruch 11 und 12, wobei ein Generator der Daten die Verschlüsselungsschlüssel erzeugt und die Verschlüsselungsschlüssel an den Schlüsselspeicher der sicheren Domäne übermittelt.
  14. Verfahren nach einem von Anspruch 11 und 12, wobei eine Zugriffskontroll-Engine den Zugriff auf die Verschlüsselungsschlüssel steuert.
  15. Verfahren nach einem von Anspruch 11 und 12, wobei eine Zähler-Engine den Speicherort jeder Version der Daten in dem Cloud-Netzwerk abspeichert.
  16. System zur Bereitstellung von Datensicherheit in einem Cloud-Netzwerk, wobei das System Folgendes umfasst: eine Zugriffs-Engine, wobei die Zugriffs-Engine dazu konfiguriert ist: Daten in einer sicheren Domäne in einem Cloud-Netzwerk zu speichern; Verschlüsselungsschlüssel zu erstellen, wobei jeder Verschlüsselungsschlüssel eine andere Art des Zugriffs auf die Daten bereitstellen soll; und die Verschlüsselungsschlüssel in einem Schlüsselspeicher einer sicheren Domäne in dem Cloud-Netzwerk abzuspeichern.
  17. System nach Anspruch 16, wobei jeder Verschlüsselungsschlüssel den Zugriff auf eine andere Version der Daten ermöglicht.
  18. System nach einem von Anspruch 16 und 17, wobei ein Generator der Daten die Verschlüsselungsschlüssel erstellt und die Verschlüsselungsschlüssel an die Zugriffs-Engine übermittelt.
  19. System nach einem von Anspruch 16 und 17, ferner eine Zähler-Engine umfassend, wobei die Zähler-Engine dazu konfiguriert ist: den Speicherort jeder Version der Daten in dem Cloud-Netzwerk abzuspeichern.
  20. System nach einem von Anspruch 16 und 17, wobei die Zähler-Engine sich in einer zweiten sicheren Domäne befindet, die von der sicheren Domäne, in der die Daten gespeichert sind, getrennt ist.
DE112017002260.6T 2016-07-01 2017-06-26 Datensicherheit in einem cloud-netzwerk Pending DE112017002260T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/200,604 US20180006809A1 (en) 2016-07-01 2016-07-01 Data security in a cloud network
US15/200,604 2016-07-01
PCT/US2017/039331 WO2018005384A1 (en) 2016-07-01 2017-06-26 Data security in a cloud network

Publications (1)

Publication Number Publication Date
DE112017002260T5 true DE112017002260T5 (de) 2019-01-10

Family

ID=60786937

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112017002260.6T Pending DE112017002260T5 (de) 2016-07-01 2017-06-26 Datensicherheit in einem cloud-netzwerk

Country Status (4)

Country Link
US (1) US20180006809A1 (de)
CN (1) CN109196508A (de)
DE (1) DE112017002260T5 (de)
WO (1) WO2018005384A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021107638B4 (de) 2020-06-01 2023-05-04 Hewlett Packard Enterprise Development Lp Verschlüsselungsschlüssel für Wechselspeichermedien

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190196805A1 (en) * 2017-12-21 2019-06-27 Apple Inc. Controlled rollout of updates for applications installed on client devices
US11057766B2 (en) * 2018-11-01 2021-07-06 Nokia Technologies Oy Security management in disaggregated base station in communication system

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2329497B (en) * 1997-09-19 2001-01-31 Ibm Method for controlling access to electronically provided services and system for implementing such method
GB0314905D0 (en) * 2003-06-26 2003-07-30 Ibm A system for controlling access to stored data
US9571455B2 (en) * 2005-01-31 2017-02-14 Unisys Corporation Remote credential management for hybrid clouds with enterprise networks
US8533469B2 (en) * 2009-11-23 2013-09-10 Fujitsu Limited Method and apparatus for sharing documents
US9444628B2 (en) * 2010-09-21 2016-09-13 Hewlett-Packard Development Company, L.P. Providing differential access to a digital document
EP2672673B1 (de) * 2012-06-07 2016-05-25 Alcatel Lucent Vorrichtung und Verfahren für sichere Datenverarbeitung
US20140019753A1 (en) * 2012-07-10 2014-01-16 John Houston Lowry Cloud key management
US20140245025A1 (en) * 2013-02-22 2014-08-28 Spideroak Inc. System and method for storing data securely
US9699034B2 (en) * 2013-02-26 2017-07-04 Zentera Systems, Inc. Secure cloud fabric to connect subnets in different network domains
US9465947B2 (en) * 2013-08-05 2016-10-11 Samsung Sds America, Inc. System and method for encryption and key management in cloud storage
US9679160B1 (en) * 2014-01-13 2017-06-13 Symantec Corporation Systems and methods for maintaining encrypted search indexes on third-party storage systems

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021107638B4 (de) 2020-06-01 2023-05-04 Hewlett Packard Enterprise Development Lp Verschlüsselungsschlüssel für Wechselspeichermedien

Also Published As

Publication number Publication date
CN109196508A (zh) 2019-01-11
WO2018005384A1 (en) 2018-01-04
US20180006809A1 (en) 2018-01-04

Similar Documents

Publication Publication Date Title
DE102019131123A1 (de) Technologien zur transparenten function-as-a-service-arbitrierung für edge-systeme
DE112017001766T5 (de) Power-side-channel-angriffsresistenter advanced-encryption-standard-beschleunigungsprozessor
DE102015006863A1 (de) Befehle und Logik zum Unterbrechen und Wiederaufnehmen von Paging in Secure Enclaves
DE112015004555T5 (de) Verarbeiten eines Gast-Ereignisses in einem von einem Hypervisor gesteuerten System
DE102018004786A1 (de) Verfahren und Vorrichtung zum sicheren Binden eines ersten Prozessors an einen zweiten Prozessor
DE102018125257A1 (de) Defragmentierter und effizienter mikrooperationscache
DE112013002090T5 (de) Hochleistungsfähige physikalische Kopplungsstrukturschicht
DE112013004770T5 (de) Lese- und -Schreibmaskenaktualisierungsbefehl zur Vektorisierung rekursiver Berechnungen über unabhängige Daten
DE112020000280B4 (de) Transparente interpretation von gastbefehlen in einer sicheren virtuellen maschinenumgebung
DE202012013448U1 (de) Prozessormodussperre
DE112016004303T5 (de) Hardware-Vorhersageelement mit geringem Verwaltungsaufwand zur Verringerung der Leistungsumkehr für Kern-zu-Kern-Datenübertragungsoptimierungsbefehle
DE102015002254A1 (de) Verfahren und Gerät zum wirksamen Ausführen von Hash-Operationen
DE112020000231T5 (de) Einstellung von Anzeige Auffrischung Raten basierend auf Benutzer Aktivität
DE102018125747A1 (de) Unterstützung für eine höhere anzahl von gleichzeitigenschlüsseln in einer kryptografie-engine mit mehrerenschlüsseln
DE112021002245T5 (de) Verhindern einer unberechtigten bereitstellung von paketen in clustern
DE112013003741T5 (de) Systeme, Vorrichtungen und Verfahren zum Durchführen einer Konfliktdetektion unf einer Übertragung von Inhalten eines Registers an Datenelementpositionen eines anderen Registers
DE202019005686U1 (de) Skalierbare Gesamtspeicherverschlüsselungs-Engine mit mehrfachen Schlüsseln
DE112020001586T5 (de) System, gerät und verfahren zur leistungslizenzsteuerung eines prozessors
DE112017002260T5 (de) Datensicherheit in einem cloud-netzwerk
DE202017007430U1 (de) Erkennen von Bussperrbedingungen und Vermeiden von Bussperren
DE112017004361T5 (de) Steuern eines leistungszustands eines prozessors unter verwendung einer kombination von package- und thread-hinweis-informationen
DE102018129330A1 (de) System, Vorrichtung und Verfahren zur prozessorexternen Überschreibung der Hardwareleistungszustandssteuerung eines Prozessors
DE102020134491A1 (de) System, Vorrichtung und Verfahren zum dynamischen Justieren von Plattformenergie und -leistung basierend auf Aufgabeneigenschaften
DE112017003332T5 (de) Öffnungszugriffsprozessoren, verfahren, systeme und befehle
DE112021004945T5 (de) Techniken der kompositionellen verifikation für rollenerreichbarkeitsanalysen in identitätssystemen

Legal Events

Date Code Title Description
R083 Amendment of/additions to inventor(s)