ES2920957T3 - Método y sistema para proteger datos de usuario utilizando claves individualizadas para permitir el copiado de seguridad y la restauración de datos compartimentalizados y seguros - Google Patents

Método y sistema para proteger datos de usuario utilizando claves individualizadas para permitir el copiado de seguridad y la restauración de datos compartimentalizados y seguros Download PDF

Info

Publication number
ES2920957T3
ES2920957T3 ES17862993T ES17862993T ES2920957T3 ES 2920957 T3 ES2920957 T3 ES 2920957T3 ES 17862993 T ES17862993 T ES 17862993T ES 17862993 T ES17862993 T ES 17862993T ES 2920957 T3 ES2920957 T3 ES 2920957T3
Authority
ES
Spain
Prior art keywords
domain
data
key
protection key
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17862993T
Other languages
English (en)
Inventor
Joshua Zhu
Qun He
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales DIS CPL USA Inc
Original Assignee
Thales DIS CPL USA Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales DIS CPL USA Inc filed Critical Thales DIS CPL USA Inc
Application granted granted Critical
Publication of ES2920957T3 publication Critical patent/ES2920957T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Abstract

Se proporciona un sistema de gestión de datos. El sistema incluye al menos un procesador, configurado para unir a una pluralidad de dominios de una memoria de almacenamiento. El al menos un procesador está configurado para realizar acciones. Las acciones incluyen asegurar datos en cada uno de los dominios de la pluralidad, utilizando una pluralidad de claves de protección de dominio, cada clave de protección de dominio específica para una de la pluralidad de dominios y asegurar la pluralidad de claves de protección de dominio, utilizando una clave de protección del sistema. También se proporciona un método para proteger los datos del usuario. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Método y sistema para proteger datos de usuario utilizando claves individualizadas para permitir el copiado de seguridad y la restauración de datos compartimentalizados y seguros
Antecedentes
El cifrado y el descifrado de datos con el uso de claves ha estado disponible desde hace mucho para proteger los datos. Los sistemas de almacenamiento seguro almacenan datos en forma cifrada y las comunicaciones seguras envían y reciben datos en forma cifrada. El protocolo de interoperabilidad de gestión de claves se aplica en muchos sistemas para gestionar claves. Sin embargo, el almacenamiento de todos los datos en un sistema de almacenamiento con una sola clave hace que el sistema de almacenamiento sea vulnerable al robo de esa clave. Además, el descifrado y el recifrado de datos cuando se utilizan múltiples claves para las comunicaciones y el almacenamiento exigen muchos recursos y llevan mucho tiempo, dando lugar a cuellos de botella en el sistema. Además, el descifrado y el recifrado de datos para operaciones de migración de datos, copiado de seguridad y/o restauración son problemáticos. El documento US-6144744A describe un método para la transferencia segura de objetos entre procesadores criptográficos, y el documento US-2015/172046A1 describe un gestor de claves que proporciona una forma de separar la gestión y políticas de cifrado de claves de los dominios de aplicación. Por lo tanto, hay necesidad en la técnica de una solución que supere los inconvenientes descritos anteriormente y mejore la protección de los datos de usuario que se muevan de un sistema o lugar a otro y se almacenen.
Sumario
La invención está definida por un sistema según la reivindicación 1, por un soporte legible por ordenador según la reivindicación 5 y por un método según la reivindicación 9. Las realizaciones preferidas están definidas por las reivindicaciones dependientes.
Otros aspectos y ventajas de las realizaciones resultarán evidentes de la siguiente descripción detallada tomada junto con los dibujos adjuntos, que ilustran, a modo de ejemplo, los principios de las realizaciones descritas.
Breve descripción de los dibujos
Las realizaciones descritas y las ventajas de las mismas pueden entenderse mejor haciendo referencia a la siguiente descripción tomada junto con los dibujos adjuntos.
La Fig. 1 es un diagrama de sistema para un sistema de gestión de datos que gestiona múltiples dominios en memoria de almacenamiento, con datos almacenados en forma cifrada en los dominios, teniendo cada dominio su propia clave de protección de dominio según algunas realizaciones.
La Fig. 2 representa la exportación de datos del sistema de gestión de dominios de la Fig. 1 a un sistema de destino según algunas realizaciones.
La Fig. 3 representa la migración de datos desde un sistema heredado hasta el sistema de gestión de dominios de la Fig. 1 como un sistema mejorado según algunas realizaciones.
La Fig. 4 representa un copiado de seguridad y una restauración de datos utilizando el sistema de gestión de datos de la Fig. 1 según algunas realizaciones.
La Fig. 5 es un diagrama de flujo de un método para proteger datos llevado a cabo por el sistema de gestión de datos de las figuras 1-4 o por variaciones del mismo según algunas realizaciones.
La Fig. 6 es una ilustración que muestra un dispositivo informático ilustrativo que puede implementar las realizaciones descritas en la presente memoria.
Descripción detallada
Las realizaciones de un sistema de gestión de datos descrito en la presente memoria gestionan múltiples dominios en memoria de almacenamiento utilizando claves de protección de dominio específicas de dominios, y múltiples niveles de claves. La exportación de datos, migración de datos, copiado de seguridad de datos y restablecimiento de datos a, o de, un dominio utilizan un almacenamiento de datos y una transmisión de datos que están cifrados por la clave de protección de dominio para ese dominio, sin descifrar y volver a cifrar los datos. Las claves de protección de dominio están aseguradas por una clave de protección de sistema, que a su vez está asegurada por una clave maestra. Se utiliza una clave de envoltura de dominio, específica de cada dominio, para envolver datos cifrados y una o más claves como objeto para exportar datos. En algunas realizaciones, las claves se gestionan utilizando un protocolo de interoperabilidad de gestión de claves.
La Fig. 1 es un diagrama de sistema para un sistema 102 de gestión de datos que gestiona múltiples dominios 108 en una memoria 104 de almacenamiento, que tiene datos 110 almacenados en forma cifrada en los dominios 108 y donde cada dominio 108 tiene su propia clave 114 de protección de dominio. En algunas realizaciones, el sistema 102 de gestión de datos y/o la memoria 104 de almacenamiento interactúan con un servidor de protocolo de interoperabilidad de gestión de claves 120 para gestionar diversas claves. El sistema 102 de gestión de datos parte o divide la memoria 104 de almacenamiento en diversos dominios 108, por ejemplo, unos dominios 108 ejemplares llamados “dominio 1” a “dominio N” , como se muestra en la Fig. 1. Los datos 110 almacenados en el dominio 108 denominado “dominio 1” y cifrados por la clave 114 de protección de dominio denominada “clave 1 de protección de dominio” se denominan “datos 1” , y los datos 110 almacenados en el dominio 108 denominado “dominio N” y cifrados por la clave 114 de protección de dominio denominada “clave de protección de dominio N” se denominan “datos N” . La protección por cifrado se simboliza mediante un candado 112, con unas líneas discontinuas que van desde el candado 112 a la clave correspondiente, es decir, la clave de cifrado y descifrado para ese asegurado de datos o de una clave.
Las claves 114 de protección de dominio en la memoria 104 de almacenamiento están aseguradas o cifradas por la clave 116 de protección de sistema. A su vez, la clave de protección de sistema está cifrada o asegurada por la clave maestra 118. Cada clave 114 de protección de dominio es específica de un único dominio 108, y cada dominio 108 tiene una única clave 114 de protección de dominio. En realizaciones adicionales, se utilizan otras claves para asegurar las claves 114 de protección de dominio, o las claves pueden tener múltiples usos. Diversas funciones realizadas por el sistema 102 de gestión de datos pueden implementarse como software que se ejecuta en el procesador 106, hardware, firmware o combinaciones de los mismos. Algunas funciones pueden compartirse entre el sistema 102 de gestión de datos y la memoria 104 de almacenamiento o ser realizadas por la memoria 104 de almacenamiento. En diversas realizaciones, la gestión de claves es realizada por el sistema 102 de gestión de datos y la memoria 104 de almacenamiento en cooperación con el servidor 120 de protocolo de interoperabilidad de gestión de claves o por un subconjunto de estos en diversas subcombinaciones.
La Fig. 2 representa la exportación de datos 110 del sistema 102 de gestión de dominios de la Fig. 1 a un sistema de destino. Como en la Fig. 1, los datos 110 están almacenados en forma cifrada, asegurados por una clave 114 de protección de dominio, por ejemplo, una “clave 1 de protección de dominio” , en un dominio 108 correspondiente en la memoria 104 de almacenamiento, por ejemplo, el “dominio 1” . En una realización, el sistema 102 de gestión de datos prepara los datos cifrados 110 que van a exportarse a un sistema de destino como un objeto 204. Esto se hace envolviendo los datos 110 cifrados por la clave 114 de protección de dominio denominada “clave 1 de protección de dominio” junto con esa clave de protección de dominio, que está cifrada por una clave 202 de envoltura de dominio denominada “clave 1 de envoltura de dominio” . Para preparar la “clave 1 de protección de dominio” para la exportación, esa clave 114 de protección de dominio, que está asegurada o cifrada por la clave 116 de protección de sistema, se descifra mediante la clave 116 de protección de sistema y se vuelve a cifrar mediante la “clave 1 de envoltura de dominio” . Esto se muestra en la parte superior derecha de la Fig. 2.
En una realización adicional, que se muestra en la parte inferior derecha de la Fig. 2, la envoltura se hace envolviendo los datos 110 cifrados por la “clave 1 de protección de dominio” , estando la clave 1 de protección de dominio cifrada por la clave 116 de protección de sistema (véase la Fig. 1) y la clave 116 de protección de sistema cifrada por la clave 202 de envoltura de dominio denominada “clave 1 de envoltura de dominio” . Para preparar la clave 116 de protección de sistema para la exportación; la clave 116 de protección de sistema, que está asegurada o cifrada por la clave maestra 118, se descifra mediante la clave maestra 118 (véase la Fig. 1) y se vuelve a cifrar mediante la “clave 1 de envoltura de dominio” .
Cada dominio 108 tiene una clave 202 de envoltura de dominio, y cada clave 202 de envoltura de dominio pertenece a un dominio 108. Es decir, cada clave 114 de protección de dominio y cada clave de envoltura de dominio son específicas y exclusivas de un dominio 108. Mientras el sistema 102 de gestión de datos exporta los datos 110, los datos 110 permanecen cifrados como lo estaban mientras estaban almacenados. Cabe señalar que, en las realizaciones, los datos 110 no se descifran ni vuelven a cifrar en ningún momento durante la exportación. La exportación pueden utilizarse para la transferencia de datos, migración de datos, copiado de seguridad, restauración y otras operaciones adicionales. La importación puede realizarse recibiendo los datos exportados, recibiendo datos de migración, recibiendo datos de copiado de seguridad o recibiendo datos de copiado de seguridad restaurados, por ejemplo, como se ilustra en las Figs. 3 y 4.
La Fig. 3 representa una migración de datos desde un sistema heredado 316 hasta el sistema 102 de gestión de dominios de la Fig. 1 como un sistema mejorado 318. En este ejemplo, los datos migran desde un primer sistema 302 de gestión de datos, con unos dominios 306 asegurados por una clave 308 de protección de datos (es decir, todos los dominios 306 están asegurados por la misma y única clave 308 de protección de datos) hasta un segundo sistema 302 de gestión de datos, con unos dominios 108 asegurados por unas claves 114 de protección de dominio individuales específicas del dominio, como se muestra en la Fig. 1. Como origen, el sistema heredado 316 envía los datos 312 al sistema 302 de gestión de datos en, por ejemplo, un objeto 314, que podría ser un archivo que incluye los datos 312 y una o más claves, como se muestra en la Fig. 2, o en algún otro formato. Los datos 312 se envían en forma cifrada, es decir, cifrados por la clave 314 de protección de datos del sistema heredado 316. Al recibir los datos 312, por ejemplo, en el objeto 314 u otro formato, el sistema mejorado 318, como sistema de destino, almacena los datos 312 aún cifrados en un dominio 108, por ejemplo, en el “dominio 1” . La clave 308 de protección de datos se almacena como la clave 114 de protección de dominio, por ejemplo, la “clave 1 de protección de dominio” para el “dominio 1 ” .
Para preparar la clave 308 de protección de datos para el almacenamiento como la clave 114 de protección de dominio, el sistema 102 de gestión de datos (del sistema mejorado 318) cifra la clave 308 de protección de datos consigo misma, luego almacena la clave 308 de protección de datos autocifrada como la clave 114 de protección de dominio para el dominio 108 en el que se escriben los datos 312 cifrados y migrados, por ejemplo, la “clave 1 de protección de dominio” para el “dominio 1” . Además, el sistema 102 de gestión de datos (del sistema mejorado 318) cifra la clave 308 de protección de datos con la clave maestra 118 y almacena la clave 308 de protección de datos cifrada como la clave 116 de protección de sistema. Por lo tanto, la clave 308 de protección de datos del sistema heredado 316 se emplea a distintos niveles en el sistema mejorado 318 como la clave 114 de protección de dominio para un dominio 108 y como la clave 116 de protección de sistema que asegura las claves 114 de protección de dominio. En algunas realizaciones, si los datos migran desde múltiples dominios 306 del sistema heredado 316 hasta múltiples dominios 108 en el sistema mejorado 318, la misma clave 308 de protección de datos se utiliza como la clave 114 de protección de dominio para cada uno de estos dominios 108 en el sistema mejorado 318 y también se emplea como la clave 116 de protección de sistema para asegurar todas las claves 114 de protección de dominio. Como se indica en la parte inferior de la Fig. 3, los datos cifrados se almacenan en el sistema heredado 316, se envían en la migración de datos y se almacenan en el sistema mejorado 318. Durante la migración no es necesario descifrar datos y volver a cifrarlos.
La Fig. 4 representa un copiado de seguridad y una restauración de datos utilizando el sistema 102 de gestión de datos de la Fig. 1. Estas operaciones se combinan en el dibujo con fines ilustrativos, pero normalmente se producirían en distintos momentos. Además, aunque el sistema 402 de gestión de copiado de seguridad, como sistema de origen o emisor en el escenario de copiado de seguridad (mitad izquierda de la Fig. 4), se ha representado como independiente del sistema de destino receptor en el escenario de restauración (la mitad derecha de la Fig. 4), estos podrían combinarse en el mismo sistema, como cuando un conjunto de datos de copiado de seguridad se restaura a un sistema que originó el copiado de seguridad, pero que ha fallado posteriormente.
Para el copiado de seguridad, el sistema de origen o emisor es el sistema 402 de gestión de copiado de seguridad, y el sistema de gestión o receptor es el sistema 102 de gestión de datos, incluida la memoria 104 de almacenamiento. El sistema de gestión de copiado de seguridad envía datos 404, cifrados por la “clave 1 de protección de dominio 1 ” , que podría tener otro nombre en otros ejemplos. Al recibir los datos de copiado de seguridad, el sistema 102 de gestión de datos almacena los datos 404, todavía en forma cifrada, en un dominio 108, por ejemplo, el “dominio 1” . La clave 114 de protección de dominio denominada “clave 1 de protección de dominio” se almacena, por ejemplo, cifrada por la clave 116 de protección de sistema, como se muestra en la Fig. 1. En diversas realizaciones, el sistema de gestión de copiado de seguridad 402 y el sistema 102 de gestión de datos podrían cooperar con respecto a la “clave 1 de protección de dominio” , por ejemplo, utilizando el servidor 120 de protocolo de interoperabilidad de gestión de claves.
Para la restauración, el sistema de origen o remitente es el primer sistema 102 de gestión de datos (es decir, en mitad de la Fig. 4), y el sistema de destino o receptor es otro o un segundo sistema 102 de gestión de datos (es decir, en la parte derecha de la Fig. 4). El sistema de gestión de datos de origen 102 envía los datos 404 cifrados por la “clave 1 de protección de dominio” y también envía la clave 114 de protección de dominio, por ejemplo, la “clave 1 de protección de dominio” , cifrada por la clave 202 de envoltura de dominio, por ejemplo, la “clave 1 de envoltura de dominio” , por ejemplo, con los datos y la clave envueltos en un objeto 204, como se muestra en la Fig. 2. Al recibir los datos de copiado de seguridad para la restauración al sistema de destino, el sistema 102 de gestión de datos de destino almacena los datos 404, todavía en forma cifrada tal como se cifraron mediante la “clave 1 de protección de dominio” , en un dominio 108 en la memoria 104 de almacenamiento del sistema de destino, por ejemplo, el “dominio 1” . Además, el sistema de gestión de datos de destino o receptor 102 descifra la clave 114 de protección de dominio mediante la clave 202 de envoltura de dominio y vuelve a cifrar la clave 114 de protección de dominio con la clave 116 de protección de sistema, y almacena la clave de protección de dominio ahora recifrada 1 14, por ejemplo, la “clave 1 de protección de dominio” . De modo similar a la migración de datos mostrada en la Fig. 3, no es necesario descifrar datos y volver a cifrarlos ya sea en la operación de copiado de seguridad o en la de restauración. En algunas realizaciones, las claves se manejan por cooperación con el servidor de protocolo 120 de interoperabilidad de gestión de claves mostrado en la Fig. 1.
La Fig. 5 es un diagrama de flujo de un método para proteger datos llevado a cabo por el sistema de gestión de datos de las Figs. 1-4 o por variaciones del mismo. En una acción 502 se establecen múltiples dominios de una memoria de almacenamiento. En una acción 504 se establecen claves de protección de dominio, con una clave de protección de dominio por dominio. Cabe señalar que el establecimiento de claves de protección de dominio puede hacerse recibiendo claves o generando claves, y en algunas realizaciones puede hacerse en cooperación con un servidor de protocolo de interoperabilidad de gestión de claves. En una acción 506, los datos se almacenan en los dominios de la memoria de almacenamiento. Los datos en cada dominio están cifrados y, de este modo, se aseguran mediante una clave de protección de dominio correspondiente. En una acción 508, las claves de protección de dominio se cifran con (o mediante) una clave de protección de sistema, asegurando las claves de protección de dominio. Es decir, la clave de protección de sistema asegura las claves de protección de dominio. Haciendo referencia a la Fig. 5, en una acción 510, la clave de protección de sistema se cifra con una clave maestra. Esto asegura la clave de protección de sistema, es decir, la clave de protección de sistema está asegurada por la clave maestra. En una acción 512, el sistema importa, exporta, migra, hace una copia de seguridad o restaura los datos sin descifrar y volver a cifrar los datos.
Cabe señalar que los métodos descritos en la presente memoria pueden llevarse a cabo con un sistema de procesamiento digital, tal como un sistema informático de propósito general convencional. De forma alternativa, pueden utilizarse ordenadores de propósito especial que estén diseñados o programados para realizar solo una función. La Fig. 6 es una ilustración que muestra un dispositivo informático ilustrativo que puede implementar las realizaciones descritas en la presente memoria. El dispositivo informático de la Fig. 6 puede utilizarse para llevar a cabo realizaciones de la funcionalidad para proteger datos en múltiples dominios de una memoria de almacenamiento según algunas realizaciones. El dispositivo informático incluye una unidad central de procesamiento (CPU) 601, que está acoplada a través de un bus 605 a una memoria 603, y un dispositivo 607 de almacenamiento masivo. El dispositivo 607 de almacenamiento masivo representa un dispositivo de almacenamiento de datos persistente, tal como una unidad de disco flexible o una unidad de disco fijo, que puede ser local o remoto en algunas realizaciones. En algunas realizaciones, el dispositivo 607 de almacenamiento masivo podría implementar un almacenamiento de copiado de seguridad. La memoria 603 puede incluir memoria de solo lectura, una memoria de acceso aleatorio, etc. En algunas realizaciones, las aplicaciones residentes en el dispositivo informático pueden almacenarse en, o accederse a las mismas a través de, un soporte legible por ordenador tal como la memoria 603 o el dispositivo 607 de almacenamiento masivo. Las aplicaciones también pueden estar en forma de señales electrónicas moduladas moduladas, a las que se accede a través de un módem de red o de otra interfaz de red del dispositivo informático. Cabe señalar que, la CPU 601 puede estar realizada en un procesador de propósito general, en un procesador de propósito especial o en un dispositivo lógico especialmente programado.
La pantalla 611 está en comunicación con la CPU 601, la memoria 603 y el dispositivo 607 de almacenamiento masivo a través del bus 605. La pantalla 611 está configurada para mostrar cualquier herramienta de visualización o informe asociado al sistema descrito en la presente memoria. El dispositivo 609 de entrada/salida está acoplado al bus 605 para comunicar información en selecciones de comando a la CPU 601. Cabe señalar que los datos a, y procedentes de, dispositivos externos pueden comunicarse a través del dispositivo 609 de entrada/salida. La CPU 601 puede definirse para ejecutar la funcionalidad descrita en la presente memoria para permitir la funcionalidad descrita con referencia a las Figs. 1-5. En algunas realizaciones, el código que realiza esta funcionalidad puede almacenarse en la memoria 603 o en el dispositivo 607 de almacenamiento masivo para su ejecución por parte de un procesador tal como la CPU 601. El sistema operativo en el dispositivo informático puede ser MS DOS™, MS-WINDOWS™, OS/2™, UNLX™, LINUX™ o cualquier otro sistema operativo conocido. Cabe señalar que las realizaciones descritas en la presente memoria también pueden integrarse con un sistema informático virtualizado implementado con recursos informáticos físicos.
En la presente memoria se describen realizaciones ilustrativas detalladas. Sin embargo, los detalles funcionales específicos descritos en la presente memoria son meramente representativos con el propósito de describir realizaciones. Sin embargo, las realizaciones pueden realizarse de muchas formas alternativas y no debe interpretarse como limitadas únicamente a las realizaciones expuestas en la presente memoria.
Debe entenderse que aunque los términos primero, segundo, etc. pueden emplearse en la presente memoria para describir diversos pasos o cálculos, estos pasos o cálculos no deben estar limitados por estos términos. Estos términos solo se utilizan para distinguir una etapa o cálculo de otro. Por ejemplo, un primer cálculo podría denominarse segundo cálculo y, de forma similar, una segunda etapa podría denominarse primera etapa sin apartarse del ámbito de esta descripción. Como se utiliza en la presente memoria, la expresión “y/o” y el símbolo “/” incluyen todas y cada una de las combinaciones de uno o más de los elementos enumerados asociados.
Como se utiliza en la presente memoria, se pretende que las formas singulares “un” , “una” , “el” y “ la” incluyan también las formas plurales, a menos que el contexto indique claramente lo contrario. Se entenderá además que, cuando se utilizan en la presente memoria, los términos “comprende” , “que comprende” , “ incluye” y/o “que incluye” especifican la presencia de características, números enteros, pasos, operaciones, elementos y/o componentes indicados, pero no excluyen la presencia o la adición de una o más características, números enteros, pasos, operaciones, elementos, componentes y/o grupos de los mismos. Por lo tanto, la terminología empleada en la presente memoria tiene el propósito de describir únicamente realizaciones particulares y no pretende ser limitativa.
Cabe señalar también que, en algunas implementaciones alternativas, las funciones/actos indicados pueden producirse en un orden distinto del indicado en las figuras. Por ejemplo, dos figuras mostradas en sucesión pueden en realidad ejecutarse sustancialmente de forma simultánea, o a veces pueden ejecutarse en el orden inverso, dependiendo de la funcionalidad o de los actos implicados.
Con las realizaciones anteriores en mente, debe entenderse que las realizaciones podrían emplear diversas operaciones implementadas por ordenador que impliquen datos almacenados en sistemas informáticos. Estas operaciones son aquellas que requieren una manipulación física de cantidades físicas. Habitualmente, aunque no necesariamente, estas cantidades adoptan la forma de señales eléctricas o magnéticas capaces de almacenarse, transferirse, combinarse, compararse y manipularse de algún otro modo. Además, con frecuencia se hace referencia a las manipulaciones realizadas en términos tales como producción, identificación, determinación o comparación. Cualquiera de las operaciones descritas en la presente memoria y que forman parte de las realizaciones son operaciones de máquina útiles. Las realizaciones también se refieren a un dispositivo o aparato para realizar estas operaciones. El aparato puede construirse especialmente para el propósito requerido, o el aparato puede ser un ordenador de propósito general activado de forma selectiva o configurado por un programa informático almacenado en el ordenador. En particular, pueden utilizarse diversas máquinas de propósito general con programas informáticos escritos según los principios en la presente memoria, o puede resultar más conveniente construir un aparato más especializado para realizar las operaciones requeridas.
Un módulo, una aplicación, una capa, un agente u otra entidad operable por el método podrían implementarse como hardware, firmware o un procesador que ejecuta un software, o combinaciones de los mismos. Cabe señalar que, cuando en la presente memoria se describe una realización basada en software, el software puede estar realizado en una máquina física tal como un controlador. Por ejemplo, un controlador podría incluir un primer módulo y un segundo módulo. Un controlador podría configurarse para realizar diversas acciones de, por ejemplo, un método, una aplicación, una capa o un agente.
Las realizaciones pueden también realizarse como código legible por ordenador en un soporte legible por ordenador no transitorio y tangible. El soporte legible por ordenador es cualquier dispositivo de almacenamiento de datos que pueda almacenar datos, que posteriormente puedan ser leídos por un sistema informático. Ejemplos de soporte legible por ordenador incluyen discos duros, un almacenamiento conectado en red (NAS), una memoria de solo lectura, una memoria de acceso aleatorio, CD-ROM, CD-R, CD-RW, cintas magnéticas y otros dispositivos de almacenamiento de datos ópticos y no ópticos. El soporte legible por ordenador también puede distribuirse en un sistema informático acoplado a una red para que el código legible por ordenador se almacene y ejecute de forma distribuida. Las realizaciones descritas en la presente memoria pueden ponerse en práctica con diversas configuraciones de sistema informático, que incluyen dispositivos portátiles, tabletas, sistemas de microprocesador, dispositivos electrónicos de consumo basados en microprocesadores o programables, miniordenadores, ordenadores centrales y dispositivos similares. Las realizaciones también pueden ponerse en práctica en entornos informáticos distribuidos en los que las tareas sean realizadas por dispositivos de procesamiento remoto que estén vinculados a través de una red de cable o inalámbrica.
Aunque las operaciones de método se hayan descrito en un orden específico, debe entenderse que entre las operaciones descritas pueden realizarse otras operaciones, que las operaciones descritas pueden ajustarse para que se produzcan en momentos ligeramente distintos o que las operaciones descritas pueden estar distribuidas en un sistema que permita que se produzcan las operaciones de procesamiento en diversos intervalos asociados al procesamiento.
En diversas realizaciones, una o más partes de los métodos y los mecanismos descritos en la presente memoria pueden formar parte de un entorno informático en la nube. En tales realizaciones, los recursos pueden proporcionarse a través de Internet como servicios según uno o más diversos modelos. Tales modelos pueden incluir infraestructura como servicio (laaS), plataforma como servicio (PaaS) y software como servicio (SaaS). En la laaS, la infraestructura informática se proporciona como un servicio. En tal caso, el equipo informático es, de forma general, propiedad de y operado por el proveedor de servicios. En la PaaS, pueden proporcionarse como servicio las herramientas informáticas y los equipos subyacentes utilizados por los desarrolladores para desarrollar soluciones informáticas y ser alojadas por el proveedor de servicios. El SaaS normalmente incluye un software de licencia de proveedor de servicios como servicio a demanda. El proveedor de servicios puede alojar el software o desplegarlo para un cliente durante un determinado período de tiempo. Son posibles numerosas combinaciones de los modelos anteriores, y se han contemplado.
Pueden describirse o reivindicarse diversas unidades, circuitos u otros componentes como “configurados para” realizar una tarea o unas tareas. En tales contextos, la frase “configurado para” se utiliza para connotar una estructura indicando que las unidades/circuitos/componentes incluyen la estructura (p. ej., sistemas de circuitos) que realiza la tarea o tareas durante el funcionamiento. Como tal puede decirse que la unidad/circuito/componente están configurados para levar a cabo la tarea incluso cuando la unidad/circuito/componente especificada no esté actualmente operativa (p. ej., no esté encendida). Las unidades/circuitos/componentes utilizadas con la frase “configurada/o para” incluyen hardware, por ejemplo, circuitos, una memoria que almacena instrucciones de programa ejecutables para implementar el funcionamiento, etc. Decir que decir que una unidad/circuito/componente están “configuradas para” realizar una o más tareas pretende expresamente no invocar el 6° párrafo de la sección 112 de la especificación estadounidense 35 U.S.C. para tal unidad/circuito/componente. Además, “configurado para” puede incluir una estructura genérica (p. ej., unos sistemas de circuitos genéricos) que esté manipulada por software y/o por firmware (p. ej., una matriz FPGa o un procesador de uso general que ejecuta software) para funcionar de un modo que sea capaz de llevar a cabo las tareas en cuestión. “Configurado para” también puede incluir adaptar un proceso de fabricación (p. ej., una instalación de fabricación de semiconductores) para fabricar dispositivos (p. ej., circuitos integrados) que estén adaptados para implementar o realizar una o más tareas.
La descripción anterior se ha dado con fines explicativos, con referencia a realizaciones específicas. Se pretende que dichas realizaciones sean ejemplos útiles para comprender la invención. La presente invención es definida únicamente por las reivindicaciones adjuntas.

Claims (1)

  1. REIVINDICACIONES
    Un sistema (102) de gestión de datos, que comprende:
    al menos un procesador (106), configurado para acoplarse a una pluralidad de dominios (108) de una memoria (104) de almacenamiento; y
    el al menos un procesador configurado para realizar acciones que comprenden:
    cifrar datos (110) en cada uno de la pluralidad de dominios, utilizando una pluralidad de claves (114) de protección de dominio, cada clave de protección de dominio específica de uno de la pluralidad de dominios;
    cifrar la pluralidad de claves de protección de dominio, utilizando una clave (116) de protección de sistema;
    asegurar la clave de protección de sistema, utilizando una clave maestra (118);
    crear un objeto (204) envolviendo datos (110) cifrados de un primero de la pluralidad de dominios y una clave (114) de protección de dominio específica del primero de la pluralidad de dominios, con la clave de protección de dominio cifrada utilizando una clave (202) de envoltura de dominio, en donde la clave (202) de envoltura de dominio es específica del primero de la pluralidad de dominios;
    y
    exportar el objeto y la clave de envoltura de dominio; utilizándose dicha exportación para al menos una operación de transferencia de dichos datos (110), migración de dichos datos (110), guardado de dichos datos (110) como datos de copia de seguridad o restauración de dichos datos (110). El sistema de gestión de datos de la reivindicación 1, en donde el al menos un procesador está configurado para realizar migración de datos realizando acciones adicionales, que comprenden:
    recibir datos de migración de un sistema de gestión de datos adicional, con los datos de migración como primeros datos cifrados por una primera clave;
    almacenar los primeros datos cifrados por la primera clave en un primero de la pluralidad de dominios del sistema de gestión de datos; y
    una de a) o b):
    a) cifrar la primera clave con la primera clave, asegurando la primera clave los primeros datos como una primera clave de protección de dominio específica del primer dominio y sirviendo además la primera clave como la clave de protección de sistema para asegurar la primera clave de protección de dominio;
    b) cifrar la primera clave con la clave de protección de sistema, asegurando la primera clave los primeros datos como una primera clave de protección de dominio específica del primer dominio, y protegiendo la clave de protección de sistema la primera clave de protección de dominio.
    El sistema de gestión de datos de la reivindicación 1, en donde el al menos un procesador está configurado para restituir datos de copia de seguridad del sistema de gestión de datos a un sistema de gestión de datos adicional realizando acciones adicionales que comprenden:
    cifrar una primera de la pluralidad de claves de protección de dominio específica de un primero de la pluralidad de dominios, utilizando una clave de envoltura de dominio específica del primero de la pluralidad de dominios; y
    enviar datos de copiado de seguridad cifrados por la primera de la pluralidad de claves de protección de dominio, y la primera cifrada de la pluralidad de claves de protección de dominio, del primero de la pluralidad de dominios en el sistema de gestión de datos al sistema de gestión de datos adicional.
    El sistema de gestión de datos de la reivindicación 1, en donde el al menos un procesador está configurado para restituir datos de copiado de seguridad de un sistema de gestión de datos adicional al sistema de gestión de datos realizando acciones adicionales, que comprenden:
    recibir datos de copiado de seguridad cifrados por una primera clave de protección de dominio, y la primera clave de protección de dominio cifrada por una primera clave de envoltura de dominio, procedentes del sistema de gestión de datos adicional;
    almacenar los datos de copiado de seguridad cifrados en un primero de la pluralidad de dominios; descifrar la clave de protección de primer dominio cifrada, utilizando la clave de envoltura de primer dominio;
    volver a cifrar la clave de protección de primer dominio, utilizando la clave de protección de sistema; y
    almacenar la clave de protección de primer dominio recifrada, asegurada por la clave de protección de sistema, como una clave de protección de dominio específica del primero de la pluralidad de dominios.
    Un soporte legible por ordenador no transitorio y tangible que contiene instrucciones en el mismo que, cuando son ejecutadas por un procesador, hacen que el procesador lleve a cabo un método, que comprende:
    crear una pluralidad de dominios (108) en una memoria (104) de almacenamiento, con cada dominio asociado a una clave (114) de protección de dominio específica del dominio;
    cifrar datos (110) en la pluralidad de dominios con una pluralidad de tales claves de protección de dominio;
    cifrar la pluralidad de claves de protección de dominio con una clave (116) de protección de sistema;
    cifrar la clave de protección de sistema con una clave maestra (118);
    crear un objeto (204) que incluya datos cifrados de un primero de la pluralidad de dominios y una clave de protección de dominio específica del primero de la pluralidad de dominios, con la clave de protección de dominio cifrada por una clave (202) de envoltura de dominio, en donde la clave (202) de envoltura de dominio es específica del primero de la pluralidad de dominios; y
    exportar el objeto, junto con la clave (202) de envoltura de dominio, utilizándose dicha exportación para al menos una operación de transferencia de dichos datos (110), migración de dichos datos (110), guardado de dichos datos (110) como datos de copia de seguridad o restauración de dichos datos (110).
    El soporte legible por ordenador de la reivindicación 5, en donde el método comprende además:
    recibir datos de migración que están cifrados por una primera clave de protección de dominio; almacenar los datos de migración cifrados en un primero de la pluralidad de dominios; y cifrar la primera clave de protección de dominio consigo misma para que la primera clave de protección de dominio asegure los datos de migración cifrados en el primero de la pluralidad de dominios y que la primera clave de protección de dominio sirva como la clave de protección de sistema para asegurar la primera clave de protección de dominio.
    El soporte legible por ordenador de la reivindicación 5, en donde el método incluye restituir datos de copiado de seguridad de un primer sistema de gestión de datos a un segundo sistema de gestión de datos, que comprende:
    cifrar una primera de la pluralidad de claves de protección de dominio con una clave de envoltura de dominio específica del primero de la pluralidad de dominios; y
    enviar los datos de copiado de seguridad, cifrados por la primera de la pluralidad de claves de protección de dominio, y la primera cifrada de la pluralidad de claves de protección de dominio, del primer sistema de gestión de datos al segundo sistema de gestión de datos.
    El soporte legible por ordenador de la reivindicación 5, en donde el método incluye además restituir datos de copiado de seguridad de un segundo sistema de gestión de datos a un primer sistema de gestión de datos, que comprende:
    almacenar datos de copiado de seguridad, cifrados por una primera clave de protección de dominio, en uno primero de la pluralidad de dominios en el primer sistema de gestión de datos, recibidos los datos de copiado de seguridad cifrados del segundo sistema de gestión de datos; descifrar una clave de protección de primer dominio cifrada, utilizando una primera clave de envoltura de dominio específica del primero de la pluralidad de dominios, recibida la clave de protección de primer dominio cifrada del segundo sistema de gestión de datos;
    cifrar la clave de protección de primer dominio descifrada, utilizando la clave de protección de sistema; y
    almacenar la clave de protección de primer dominio cifrada con la clave de protección de sistema, como una de la pluralidad de claves de protección de dominio específica del primero de la pluralidad de dominios.
    Un método para proteger datos de usuario, realizado por un sistema (102) de gestión de datos, que comprende:
    establecer una pluralidad de dominios (108) de una memoria (104) de almacenamiento; cifrar datos (110) en la pluralidad de dominios con una pluralidad de claves (114) de protección de dominio, cada clave de protección de dominio específica de uno de la pluralidad de dominios; cifrar la pluralidad de claves de protección de dominio con una clave (116) de protección de sistema;
    cifrar la clave de protección de sistema con una clave maestra (118);
    crear un objeto (204) envolviendo datos cifrados de un primero de la pluralidad de dominios y una clave de protección de dominio específica del primero de la pluralidad de dominios con una clave (202) de envoltura de dominio,
    en donde la clave (202) de envoltura de dominio es específica del primero de la pluralidad de dominios; y
    exportar el objeto junto con la clave (202) de envoltura de dominio,
    utilizándose dicha exportación para al menos una operación de transferencia de dichos datos (110), migración de dichos datos (110), guardado de dichos datos (110) como datos de copiado de seguridad o restauración de dichos datos (110).
    El método de la reivindicación 9, que comprende además:
    recibir datos de migración de un sistema de gestión de datos adicional, con los datos de migración como primeros datos cifrados por una primera clave de protección de dominio;
    almacenar los primeros datos cifrados por la primera clave de protección de dominio en uno primero de la pluralidad de dominios del sistema de gestión de datos; y
    una de a) o b):
    a) cifrar la primera clave de protección de dominio con la primera clave de protección de dominio, asegurando la primera clave de protección de dominio los primeros datos y sirviendo además como la clave de protección de sistema para asegurar la primera clave de protección de dominio;
    b) cifrar la primera clave de protección de dominio con la clave de protección de sistema para asegurar la primera clave de protección de dominio.
    El método de la reivindicación 9, que comprende además:
    restituir datos de copiado de seguridad del sistema de gestión de datos a un sistema de gestión de datos adicional, en donde los datos de copiado de seguridad se cifran mediante una primera de la pluralidad de claves de protección de dominio y se almacenan en uno primero de la pluralidad de dominios, comprendiendo la restauración:
    cifrar la primera de la pluralidad de claves de protección de dominio con una clave de envoltura de dominio específica del primero de la pluralidad de dominios; y
    enviar los datos de copiado de seguridad, cifrados por la primera de la pluralidad de claves de protección de dominio, y la primera cifrada de la pluralidad de claves de protección de dominio, del sistema de gestión de datos al sistema de gestión de datos adicional.
    El método de la reivindicación 9, que comprende además:
    restituir datos de copiado de seguridad de un sistema de gestión de datos adicional al sistema de gestión de datos, en donde los datos de copiado de seguridad se almacenan cifrados en el sistema de gestión de datos adicional por una primera clave de protección de dominio y la primera clave de protección de dominio se cifra en el sistema de gestión de datos adicional mediante una clave de envoltura de dominio, comprendiendo la restauración:
    almacenar los datos de copiado de seguridad cifrados en uno primero de la pluralidad de dominios en el sistema de gestión de datos;
    descifrar la clave de protección de primer dominio cifrada, con la clave de envoltura de primer dominio;
    volver a cifrar la clave de protección de primer dominio con la clave de protección de sistema; y almacenar la clave de protección de primer dominio recifrada como una de la pluralidad de claves de protección de dominio, específica del primero de la pluralidad de dominios.
ES17862993T 2016-10-21 2017-10-20 Método y sistema para proteger datos de usuario utilizando claves individualizadas para permitir el copiado de seguridad y la restauración de datos compartimentalizados y seguros Active ES2920957T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/331,576 US10523645B2 (en) 2016-10-21 2016-10-21 Method and system for protecting user data using individualized keys to enable secure compartmentalized data backup/restore
PCT/US2017/057627 WO2018075912A1 (en) 2016-10-21 2017-10-20 Method and system for protecting user data using individualized keys to enable secure compartmentalized data backup/restore

Publications (1)

Publication Number Publication Date
ES2920957T3 true ES2920957T3 (es) 2022-08-12

Family

ID=61970026

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17862993T Active ES2920957T3 (es) 2016-10-21 2017-10-20 Método y sistema para proteger datos de usuario utilizando claves individualizadas para permitir el copiado de seguridad y la restauración de datos compartimentalizados y seguros

Country Status (5)

Country Link
US (1) US10523645B2 (es)
EP (1) EP3529739B1 (es)
CA (1) CA3041102C (es)
ES (1) ES2920957T3 (es)
WO (1) WO2018075912A1 (es)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2926651C (en) 2013-10-07 2022-09-13 Fornetix Llc System and method for encryption key management, federation and distribution
US10630686B2 (en) 2015-03-12 2020-04-21 Fornetix Llc Systems and methods for organizing devices in a policy hierarchy
US10965459B2 (en) 2015-03-13 2021-03-30 Fornetix Llc Server-client key escrow for applied key management system and process
US11063980B2 (en) 2016-02-26 2021-07-13 Fornetix Llc System and method for associating encryption key management policy with device activity
US10931653B2 (en) 2016-02-26 2021-02-23 Fornetix Llc System and method for hierarchy manipulation in an encryption key management system
US10917239B2 (en) 2016-02-26 2021-02-09 Fornetix Llc Policy-enabled encryption keys having ephemeral policies
US10880281B2 (en) 2016-02-26 2020-12-29 Fornetix Llc Structure of policies for evaluating key attributes of encryption keys
US10860086B2 (en) 2016-02-26 2020-12-08 Fornetix Llc Policy-enabled encryption keys having complex logical operations
KR102545959B1 (ko) 2017-01-26 2023-06-22 셈퍼 포티스 솔루션즈 엘엘씨 멀티 테넌트 클라우드에서의 다중 단일 레벨의 보안(msls)
US10833857B2 (en) * 2018-01-29 2020-11-10 International Business Machines Corporation Encryption key management in a data storage system communicating with asynchronous key servers
US10956600B2 (en) * 2018-10-31 2021-03-23 Salesforce.Com, Inc. Highly available encryption framework for multiple different computing environments
US11573711B2 (en) * 2020-03-23 2023-02-07 Vmware, Inc. Enhanced data encryption in distributed datastores using random tweaks stored in data blocks

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6144744A (en) 1997-06-30 2000-11-07 International Business Machines Corporation Method and apparatus for the secure transfer of objects between cryptographic processors
US8971535B2 (en) 2010-05-27 2015-03-03 Bladelogic, Inc. Multi-level key management
US10230738B2 (en) * 2013-05-13 2019-03-12 Telefonaktiebolaget Lm Ericsson (Publ) Procedure for platform enforced secure storage in infrastructure clouds
US9465947B2 (en) * 2013-08-05 2016-10-11 Samsung Sds America, Inc. System and method for encryption and key management in cloud storage
US9607177B2 (en) * 2013-09-30 2017-03-28 Qualcomm Incorporated Method for securing content in dynamically allocated memory using different domain-specific keys
US9792063B2 (en) * 2014-01-15 2017-10-17 Intel Corporation Deduplication-based data security
US9992172B2 (en) * 2015-05-01 2018-06-05 Microsoft Technology Licensing, Llc Secure key management in a data storage system

Also Published As

Publication number Publication date
CA3041102C (en) 2023-08-22
US20180115537A1 (en) 2018-04-26
US10523645B2 (en) 2019-12-31
EP3529739A1 (en) 2019-08-28
EP3529739B1 (en) 2022-04-27
WO2018075912A1 (en) 2018-04-26
EP3529739A4 (en) 2020-05-20
CA3041102A1 (en) 2018-04-26

Similar Documents

Publication Publication Date Title
ES2920957T3 (es) Método y sistema para proteger datos de usuario utilizando claves individualizadas para permitir el copiado de seguridad y la restauración de datos compartimentalizados y seguros
US11200327B1 (en) Protecting virtual machine data in cloud environments
ES2616920T3 (es) Plataforma de base de datos de nube segura
US11838412B2 (en) Secret regeneration from distributed shares
ES2936830T3 (es) Gestión del material criptográfico abstracto a través de múltiples proveedores de servicios
JP2020527791A5 (es)
US9373003B2 (en) Systems and methods for automatically handling multiple levels of encryption and decryption
US10255450B2 (en) Customer load of field programmable gate arrays
US20150078550A1 (en) Security processing unit with configurable access control
US9292708B2 (en) Protection of interpreted source code in virtual appliances
US20150117640A1 (en) Apparatus and method for performing key derivation in closed domain
CN109997144B (zh) 对于固态驱动器的分开加密
US11120140B2 (en) Secure operations on encrypted data
US10447720B1 (en) Systems and methods for performing application container introspection
US11055424B2 (en) I/O encryption device protected against malicious hypervisors