JP2020184326A - バイパス不可能なゲートウェイを使用するtpmベースの安全なマルチパーティ・コンピュータシステム - Google Patents
バイパス不可能なゲートウェイを使用するtpmベースの安全なマルチパーティ・コンピュータシステム Download PDFInfo
- Publication number
- JP2020184326A JP2020184326A JP2020070291A JP2020070291A JP2020184326A JP 2020184326 A JP2020184326 A JP 2020184326A JP 2020070291 A JP2020070291 A JP 2020070291A JP 2020070291 A JP2020070291 A JP 2020070291A JP 2020184326 A JP2020184326 A JP 2020184326A
- Authority
- JP
- Japan
- Prior art keywords
- gateway
- service
- execution
- tee
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 34
- 230000004044 response Effects 0.000 claims abstract description 10
- 230000008569 process Effects 0.000 claims abstract description 9
- 238000012545 processing Methods 0.000 claims description 44
- 230000015654 memory Effects 0.000 claims description 17
- 238000013475 authorization Methods 0.000 claims description 3
- 230000001052 transient effect Effects 0.000 claims 1
- 238000004364 calculation method Methods 0.000 abstract description 4
- 238000003860 storage Methods 0.000 description 25
- 238000004891 communication Methods 0.000 description 10
- 230000009471 action Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000033001 locomotion Effects 0.000 description 3
- 230000005291 magnetic effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241001026509 Kata Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000001427 coherent effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 229910044991 metal oxide Inorganic materials 0.000 description 1
- 150000004706 metal oxides Chemical class 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004043 responsiveness Effects 0.000 description 1
- 238000011012 sanitization Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000010897 surface acoustic wave method Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/46—Secure multiparty computation, e.g. millionaire problem
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
【課題】マルチパーティ計算環境においてクライアントのデータが信頼できないパーティに漏洩するのを防止するためのシステム及び方法を提供する。【解決手段】システムは、ユーザのユーザデバイスからネットワークを通じてサーバのゲートウェイ(たとえばバイパス不可能なゲートウェイ)において受け取られた、実行サービスによってユーザデータを処理するようにとの要求に応答して、悪性コードに関してユーザデータを走査することにより、ユーザデータをサニタイズする。システムは、複数の実行環境(TEE)ワーカから信頼できるTEEワーカを選択し、選択されたTEEワーカによって実行サービスの実行を開始し、選択されたTEEワーカから実行結果を受け取り、ネットワークを通じてユーザのユーザデバイスに実行結果を伝送する。【選択図】図7
Description
本発明の実施形態は、一般に、安全なマルチパーティ・コンピューティングに関する。より具体的には、本発明の実施形態は、バイパス不可能なゲートウェイを使用する信頼できるプラットフォーム・モジュール(TPM)ベースの安全なマルチパーティ・コンピュータシステムに関する。
機密のトランザクションは、クラウドベースのサーバによって漸増的に遂行されている。「クラウドベースの」という用語は、ユーザにとって、アプリケーション、サービスまたはリソースが、クラウド・サーバからインターネットを介してオンデマンドで利用可能になることを指す。クラウドベースのサーバのマルチパーティまたはマルチテナントの性質は、信頼できないパーティによる無許可のアクセスからマルチテナント・コンピュータ環境を保護する必要性が高まっている。たとえば、計算中に、あるパーティからのデータが、信頼できないパーティによってアクセス可能になる恐れがある。したがって、計算中にデータを保護する必要がある。その上、暗号ベースのマルチパーティ計算の解決策は遅く、したがって実用的ではない可能性がある。
本発明の実施形態が、限定ではなく例として示され、添付図面では類似の参照は類似の要素を指示する。
本発明の様々な実施形態および態様が、以下で論じられる詳細を参照しながら説明され、添付図面は様々な実施形態を示す。以下の説明および図面は本発明の実例であり、本発明を限定するものと解釈されるべきではない。本発明の様々な実施形態の完全な理解を提供するために、多くの具体的な詳細が説明される。しかしながら、特定の事例では、本発明の実施形態の簡潔な議論を提供するために、周知の詳細または旧来の詳細は説明されない。
本明細書における「一実施形態」または「実施形態」に対する参照は、実施形態に関連して説明された特定の特徴、構造、または特性が、本発明の少なくとも1つの実施形態に含まれ得ることを意味する。様々な位置において「一実施形態では」という慣用句が出現することは、必ずしもすべてが本明細書における同一の実施形態を指すわけではない。
本開示の実施形態は、クライアントのデータがマルチパーティ計算環境において信頼できないパーティに漏洩するのを防止するためのシステムを開示するものである。一実施形態によれば、このシステムは、ユーザのユーザデバイスからネットワークを通じてサーバのゲートウェイ(たとえばバイパス不可能なゲートウェイ)において受け取った、実行サービスによってユーザデータを処理するようにとの要求に応答して、悪性コードに関してユーザデータを走査することにより、ユーザデータをサニタイズする。このシステムは、複数の実行環境(TEE)ワーカから信頼できるTEEワーカを選択し、選択されたTEEワーカによって実行サービスの実行を開始する。このシステムは選択されたTEEワーカから実行結果を受け取る。このシステムはユーザのユーザデバイスに実行結果を伝送する。
図1は、一実施形態に係るバイパス不可能なゲートウェイを使用する安全なマルチパーティ計算のためのコンピュータシステム向けのシステム構成の一例を示すブロック図である。図1を参照して、システム構成100は、それだけではないが、ネットワーク103上のデータ処理サーバ104に対して通信可能に結合された1または複数のクライアントデバイス101〜102を含む。クライアントデバイス101〜102は、パソコン(たとえばデスクトップ・コンピュータ、ノートパソコン、およびタブレット型コンピュータ)、「シン」クライアント、携帯情報端末(PDA)、ウェブで使用可能な設備、スマートウォッチ、または携帯電話(たとえばスマートフォン)などの任意のタイプのクライアントデバイスでよい。あるいは、クライアントデバイス101〜102は他のサーバでよい。ネットワーク103は、ローカルエリアネットワーク(LAN)、インターネットなどの広域ネットワーク(WAN)、または有線もしくは無線によってこれらを結合したものなど、任意のタイプのネットワークでよい。ネットワーク103を通じた、クライアントデバイス101〜102とデータ処理サーバ104および管理サービス・サーバ160との間の通信は、たとえばTLS/SSLによって保護され得る。
データ処理サーバ(たとえばホスト)104は、ウェブ・サーバまたはクラウド・サーバ、アプリケーション・サーバ、バックエンド・サーバ、またはこれらの組合せなど、任意の種類のサーバまたはサーバのクラスタでよい。サーバ104は、クライアントデバイス101〜102などのクライアントがサーバ104、キー管理サーバ160、サービスプロバイダ161、またはクラウド・オペレータ162によって提供されるリソースまたはサービスにアクセスすることを可能にする、インターフェースを含むことができる。たとえば、サーバ104は、クラウド・サーバまたはクラウド・オペレータ162によって操作されるデータセンタのサーバでよい。サーバ104は、クライアントに、たとえばクラウド・ストレージ、クラウドコンピューティング・サービス、ビッグデータ・サービス、モデル化サービス、マシン学習を訓練するサービス、データマイニング・サービスなど、種々のクラウド・サービスを提供することができる。サーバ104は、プライベート・クラウド、パブリック・クラウド、またはハイブリッド・クラウドであり得るクラウドに対するsoftware−as−a−service(SaaS)システムもしくはplatform−as−a−service(PaaS)システムの一部分として構成され得る。インターフェースは、ウェブ・インターフェース、アプリケーション・プログラミング・インターフェース(API)、および/またはコマンドライン・インターフェース(CLI)を含み得る。
データ処理サーバ104は、RAMディスク・ファイルシステム(ramfs)121と、安全なブートのための信頼できるプラットフォーム・モジュール(TPM)120などのセキュリティ・モジュールを装備した1または複数のCPU(図示せず)とを備えることができる。TPMは、ホストシステムに特有のハードウェア認証のための暗号キー(たとえばRSA暗号キー)を記憶するエンドポイント・デバイス上の特化されたチップである。各TPMチップは、保証キー(EK)または保証認証情報(すなわちルート・キー)(EC)と呼ばれる1または複数のRSAキー・ペア(たとえばパブリックキー・ペアおよびプライベートキー・ペア)を含有することができる。キー・ペアはTPMチップの内部に維持され、ソフトウェアによるアクセスは不可能である。そこで、ファームウェアおよびソフトウェアの無許可の変更に対してシステムを保護するために、ファームウェアおよびソフトウェアの危険域は、実行される前にEKまたはECによってハッシュされ得る。したがって、ホストマシン上のTPMチップがサーバ104の安全なブートのための信頼のルートとして使用され得るので、サーバ104のオペレーティングシステムまたは実行環境(たとえばTEEワーカ108〜109)が信頼され得る。
データ処理サーバ104は、バイパス不可能なゲートウェイ106(たとえばゲートウェイ)および1または複数の信頼できる実行環境108〜109を含むことができる。バイパス不可能なゲートウェイ106は、クライアント101〜102とTEEワーカ108〜109の間、KMS160とTEEワーカ108〜109の間、およびサービスプロバイダ161とTEEワーカ108〜109の間のデータ・トラフィックおよびアクセス制御トラフィックを含むすべてのネットワーク・トラフィックを仲介する信頼できるゲートウェイであり得る。加えて、ゲートウェイ106は、4Aサービス(たとえば認証、許可、監査、またはアカウント)を強化することができ、潜在的なセキュリティ上の弱点を軽減するために、仲介するネットワーク・トラフィックに基づくコード分析、ファイアウォール・サービス、およびデータ・サニタイゼイションを遂行することができる。
一実施形態では、ゲートウェイ106は、クライアント要求を容易にするためにクライアントデバイス101〜102と通信することができる。ゲートウェイ106は、種々のクライアントおよび/またはクライアント要求に対して様々な実行サービスを実行するために、環境108〜109などの信頼できる実行環境を開始することができる。ここで、信頼できる実行環境(TEE)は、サンドボックス化された実行環境であり、互いに絶縁され、サーバ104のオペレーティングシステムからも絶縁されている。一実施形態では、TEEは、TEE内にロードされたコードおよびデータの機密性および完全性を保証するために、オペレーティングシステムと並行して動作することができる。一実施形態では、TEEは、スタンド・アロンのカーネル、ネットワーキング、および/または入力/出力を有するオペレーティングシステム・レベルの仮想化を遂行するランタイム・コンテナ(たとえばKataコンテナ)であり得る。別の実施形態では、TEEは、データおよびコードをさらに保護するために、ハードウェア(たとえばTPM)とソフトウェア(たとえばIntel(登録商標)ソフトウェア・ガード・エクステンション(SGX))の両方を使用することができる。
一実施形態では、システム100はコンピュータ・サーバ・ノードのクラスタを含み、サーバ104はクラスタのコンピュータ・サーバ・ノードのうちの1つである。信頼性およびスケーラビリティの閾値を維持するために、クラスタは、信頼できる、複製された、冗長かつフォールトトレラントな(RAFT)クラスタであり得る。RAFTは、ノード(たとえばサーバ104を含む)の集合が、ノード・メンバのうちいくつかの障害に耐えることができるコヒーレントなグループとして作動することを可能にするコンセンサス・アルゴリズムを指すことに留意されたい。たとえば、サーバ104のゲートウェイ106は、RAFTクラスタの一部分としてRAFTサービスを実行し得る。ゲートウェイ106は、RAFTサービスの一部分として、状態マシンおよび/またはクラスタのノードの中で複製されたログの一貫したコピーを維持することができるので、クライアント101〜102は、クラスタ内のノードのうち少数に障害があっても、単一の信頼できるマシンと相互作用するように見える。リーダー・ノードを選出することにより、クラスタのノードの中の状態マシンおよび/または複製されたログの一貫性を維持することができ、リーダー・ノードは、状態マシン/ログをフォロア・ノードに複製する役割を果たす。リーダーは、ハートビート・メッセージを定期的に送ることによって、それ自体の存在をフォロアに通知する。各フォロアがタイムアウトを有し、タイムアウトするとリーダーからのハートビートを待つ。ハートビートが受け取られるとタイムアウトがリセットされる。フォロアは、ハートビートが受け取られなければ、新規のリーダーを選ぶためにそれ自体の状態を変更する。ここで、クライアントデバイス101からのサービス要求はゲートウェイ106によって記録され得、要求の状態は状態マシンに記録され得る。状態マシン/ログは、選択されたリーダー・ノードによってクラスタのサーバ・ノードの中に複製され得る。状態マシン/ログが記録されていることにより、後にサーバ104が作動不能になった場合には、クラスタ内のノードのいずれかによって、クライアント要求がサービスされ得ることを保証することができる。
一実施形態では、ゲートウェイ106は、キー管理サーバ(KMS)160と通信して暗号キーを得ることができる。KMS160は任意の種類のサーバでよい。サーバ160が含み得るインターフェース(たとえばAPIまたはCLI)により、データ処理サーバ104は、サーバ160によって提供される非対称のキー、対称のキー、およびセッション・キーに関するキー生成サービス、認証/検証サービス、およびキー回復サービスなどのキー管理サービスにアクセスすることができる。たとえば、ゲートウェイ106は、TEEワーカ108〜109のうち任意のもののために専用のキー・ペアを要求して、KMS160から得ることができる。次いで、ゲートウェイ106は、ゲートウェイ106と通信する様々なエンティティ(たとえばクライアントデバイス101〜102およびTEEワーカ108〜109)に暗号キーの要求などのキー・サービスを提供するとともに、これらのキーをゲートウェイ106の内部の保護されたリストに維持することができる。一実施形態では、KMS160はIntel SGXエンクレーブなどの安全なエンクレーブにおいて実行される。別の実施形態では、KMS160は、SGXのリモート証明を使用してTEEワーカを証明することにより、TEEワーカが信頼できると保証することができる。キー管理サーバ160は、単一のサーバとして示されているが、いくつかの実施形態では多くのサーバを表し得、またはデータ処理サーバ104と一体化され得る。
サービスプロバイダ161は任意の種類のサーバでよい。一実施形態では、ゲートウェイ106は、クライアント・データをサービスプロバイダ161に漏洩することなく、クライアントデバイス101〜102によって要求された各種サービスを実行するために、サービスプロバイダ161と通信してエグゼキュータ/ソフトウェア実行ファイル/コードを表す実行サービス・バイナリを得ることができる。いくつかの実行サービスは、コード走査、ビッグデータ分析、モデル化、マシン学習(人工知能)の推測/訓練タスクなどのためのコンピューティング・サービスを含むことができる。サービスプロバイダ161は、サーバ160と同様に、データ処理サーバ104がサーバ161によって提供されたサービス・バイナリにアクセスすることを可能にするインターフェース(たとえばAPIまたはCLI)を含み得る。サービスプロバイダ161は、単一のサーバとして示されているが、いくつかの実施形態では多くのサーバを表し得、あるいはKMS160および/またはデータ処理サーバ104と一体化され得る。
クラウド・オペレータ162は、データ処理サーバ104にクラウド運用サービスを提供することができる。そのようなサービスは、クラウドネットワークの管理、セットアップおよび構成を含み、サーバ104はクラウドネットワークの一部分であり得る。クラウド・オペレータ162は、単一のサーバとして示されているが、いくつかの実施形態では多くのサーバを表し得、あるいはKMS160、サービスプロバイダ161および/またはデータ処理サーバ104と一体化され得る。
図2は、一実施形態に係るバイパス不可能なゲートウェイの一例を示すブロック図である。ゲートウェイ106は、ホストサーバ104のためにすべてのネットワーク・トラフィックを仲介する専用のゲートウェイであり得、これらのネットワーク・トラフィックはゲートウェイ106を通過しなければならず、たとえばゲートウェイ106はバイパス不可能である。一実施形態では、ゲートウェイ106は、要求レシーバ201、データのファイアウォール/サニタイザ203、TEEワーカのセレクタ/ランチャ205、実行結果のレトリーバ/センダ207などのモジュールを含む。要求レシーバ201はクライアントデバイス101〜102からクライアント要求を受け取ることができる。クライアント要求は、クライアント・データを使用して遂行されるサービスを実行するためのクライアント・データおよび識別子/名称を含むことができる。データのファイアウォール/サニタイザ203は、受け取られたクライアント・データを走査してサニタイズすることができる。クライアント・データは、悪性コードまたはサーバ104の機能に対するアクセス、制御、もしくは変更が可能なコードを除去するために、走査され得、かつ/またはフラグを立てられ得る。加えて、データのファイアウォール/サニタイザ203はファイアウォールとして働き、異常なアクティビティについてトラフィックデータを監視して、悪意のある侵入を防ぐことができる。TEEワーカのセレクタ/ランチャ205は、クライアント要求にサービスするためにTEEワーカ(図1のTEEワーカ108〜109など)を選択するかまたは開始することができる。実行結果のレシーバ/センダ207は、要求された実行サービスのために選択されたTEEワーカから実行結果を受け取って、要求しているクライアントデバイス101〜102に実行結果を送ることができる。
図3は、一実施形態に係る安全なマルチパーティ・コンピュータシステムのためのキー登録プロトコルの一例を示す流れ図である。キー登録プロトコルは図1のシステム100によって遂行され得る。キー登録プロトコルは、KMS160と図1のゲートウェイ106などのゲートウェイの間の通信プロトコルであり得る。ゲートウェイ106は、クライアント・データを暗号化する/解読するためのキーを要求してよく、またはこのキーを、アイデンティティが認証される必要のあるエンティティに関連づけることを要求してよい。たとえば、ゲートウェイ106は、クライアント・データを暗号化するため/解読するため、および暗号化されたクライアント・データをRAMFS121の内部に保存するためのキーを要求してよく、そのためクライアント・データが後に回復され得る。エンティティの例は、エンティティ認証のために、それだけではないが、TEEワーカ、クライアントデバイス、およびネットワークに接続された他のホストサーバを含む。図3を参照して、例300は、ゲートウェイ106によってKMS160を介して対称のキーまたは非対称のキー・ペアを登録する。一実施形態では、動作301において、ゲートウェイ106はKMS160と通信し、通信のためにTLSハンドシェイクを遂行する。TLSハンドシェイク中に、2つの通信するパーティ(ここではゲートウェイ106とKMS160)は、互いに確認/検証のためのメッセージを交換する。2つのパーティは暗号アルゴリズムを確立し、通信セッションに使用されるセッション・キーについて合意することができる。
ゲートウェイ106は、セキュア・モジュール(たとえばTPM)を使用する信頼のルートを用いてブートされるため安全なエンティティであり得るが、KMS160は安全なブートを認識していない可能性がある。同様に、KMS160はゲートウェイ106によって信頼されない可能性がある。一実施形態では、動作302において、KMS160に対する証明を遂行して、ゲートウェイ106は、KMS160が信頼できるエンティティであることを保証する。証明は、KMS160がサポートする利用可能な証明に依拠して、TPMキー証明、またはIntel SGX、ARM(登録商標)TrustZone、AMD(登録商標)(安全な暗号化された仮想化)SEVなどからの証明など様々な他のタイプの証明を含み得る。たとえば、KMS160がIntel SGXエンクレーブで実行される場合には、証明はSGXリモート証明であり得る。動作303において、KMS160は、ゲートウェイ106に対する証明を遂行して、ゲートウェイ106が信頼できるエンティティであることを保証する。一実施形態では、システムのスケーラビリティを向上するために複数のホストまたはサービスプロバイダをサポートするように、ゲートウェイ106、KMS160、またはサービスプロバイダ161など図1のエンティティのうち任意のものによって、ソフトウェア・ベースの仮想のTPMが使用され得る。
動作304において、ゲートウェイ106はKMS160からのキーを要求する。ここで、キーは対称なキーまたは非対称なキー・ペアでよい。動作305において、KMS160は新規のキーを生成する。KMS160は、動作306においてキーに署名し、動作307においてゲートウェイ106に署名入りキーを配信する。ゲートウェイ106は、(たとえばオペレーティングシステムの記憶装置から分離して保護された記憶装置の中の)保護されたリストにキーを記録することができ、それぞれのクライアント・データまたはエンティティに対して発行された特定のキーを識別し得ることに留意されたい。したがって、ゲートウェイ106は、サーバ104に対してキーの生成および保守のサービスを提供していると見なされ得る。TLSハンドシェイク、証明、およびキー・ペアに対する署名のための動作など、上記の動作のうちのいくつかは任意選択でよいことに留意されたい。
図4は、一実施形態に係る安全なマルチパーティ・コンピュータシステムのための実行サービス登録プロトコルの一例を示す流れ図である。実行サービス登録プロトコルは、TEEワーカとしての実行サービスの登録のための、サービスプロバイダ(たとえば図1のSP161)とゲートウェイ(たとえば図1のゲートウェイ106)の間の通信プロトコルであり得、そのため、実行サービスは、ゲートウェイとの通信において、クライアントに利用可能である。実行サービス登録プロトコルの例400は図1のシステム100によって遂行され得る。図4を参照して、一実施形態では、動作401において、SP161はゲートウェイ106に対するTLSハンドシェイクおよび証明を遂行する。証明は、上記のものと同様に、ゲートウェイ106にとって利用可能な、TPMベースまたは何らかの他のタイプの証明であり得る。動作402において、SP161は、サービス記述を伴うサービス・バイナリをゲートウェイ106に伝送する。一実施形態では、サービス記述は、サービス・バイナリを検証するための署名を含む。動作403において、ゲートウェイ106は、サービス・バイナリの完全性(たとえば、サービス・バイナリは予期されたデータパケットのすべてを含む)を検証し、悪性コードに関してバイナリを走査する。たとえば、ゲートウェイ106は、サービス・バイナリのチェックサムを検証してよい。ゲートウェイ106はデータの確実性をさらに検証してよく、たとえば、サービス・バイナリはSP161に関連づけられる。動作404において、ゲートウェイ106は、サービス・バイナリをTEEワーカ(TEEワーカ108など)として登録する。動作405において、ゲートウェイ106はSP161に承認を返す。サービスクライアント要求に対する1または複数のTEEワーカとして、種々の実行サービスが登録され得ることに留意されたい。TLSハンドシェイクおよび証明のための動作など、上記の動作のうちいくつかは任意選択でよいことに留意されたい。
図5は、一実施形態に係るクライアント〜ゲートウェイのデータ・アップロード・プロトコルの一例を示す流れ図である。クライアント〜ゲートウェイのデータ・アップロード・プロトコルは、クライアントがゲートウェイにクライアント・データをアップロードするための、クライアント(たとえば、クライアントデバイス101〜102)とゲートウェイ(図1のゲートウェイ106)の間の通信プロトコルであり得る。クライアント〜ゲートウェイのデータ・アップロード・プロトコルの例500は図1のシステム100によって遂行され得る。クライアント・データがアップロードされるのは、クライアントが実行サービスを呼び出す前でよく、または呼び出すのと同時でもよい。図5を参照して、動作501において、クライアント101はゲートウェイ106に対するTLSハンドシェイクおよび証明を遂行する。証明は、上記のものと同様に、ゲートウェイ106にとって利用可能な、TPMベースまたは何らかの他のタイプの証明であり得る。動作502において、クライアントはゲートウェイ106にクライアント・データをアップロードする。クライアント・データは実行サービスを呼び出す入力データであり得る。動作503において、ゲートウェイ106は、クライアント・データを暗号化するためにKMSからキーを回復する。キーは、図3に示された例などのキー登録プロトコルによって回復され得る。図5を参照して、動作504において、ゲートウェイ106はクライアント・データを暗号化する。動作505において、ゲートウェイ106は、暗号化されたクライアント・データを、RAMFS121、またはゲートウェイ106によってアクセス可能な任意の記憶装置に保存し、クライアント・データの汎用一意識別子(UUID)を生成する。動作506において、ゲートウェイ106はクライアント101にUUIDを返す。次いで、UUIDは、クライアント101によって、後に、実行サービスを呼び出すために、アップロードされたクライアント・データを復活するのに使用され得る。
図6は、一実施形態に係るクライアント〜ゲートウェイのデータ・ダウンロード・プロトコルの一例を示す流れ図である。クライアント〜ゲートウェイのデータ・ダウンロード・プロトコルは、クライアントがゲートウェイからデータ(たとえば実行結果)をダウンロードするための、クライアント(たとえばクライアントデバイス101〜102)とゲートウェイ(図1のゲートウェイ106)の間の通信プロトコルであり得る。クライアント〜ゲートウェイのデータ・ダウンロード・プロトコルの例600は図1のシステム100によって遂行され得る。クライアントは、ゲートウェイ106から、クライアントに関連したあらゆるデータをダウンロードし得る。図6を参照して、動作601において、クライアント101はゲートウェイ106に対するTLSハンドシェイクおよび証明を遂行する。証明は、上記のものと同様に、ゲートウェイ106にとって利用可能な、TPMベースまたは何らかの他のタイプの証明であり得る。動作602において、クライアントは、UUIDによってゲートウェイ106にデータ要求を送る。動作603において、ゲートウェイ106は、RAMFS121からUUIDに対応するデータを回復する。動作604において、ゲートウェイ106は、データに関連した暗号キーを判定してデータを解読する。動作605において、ゲートウェイ106はクライアント101にデータを返す。
図7は、一実施形態に係る安全なマルチパーティ・コンピュータシステムのための実行サービス呼び出しプロトコルの一例を示す流れ図である。実行サービス呼び出しプロトコルは、ゲートウェイに対する実行サービスの呼び出しのための、クライアントデバイス(たとえばクライアントデバイス101〜102)とゲートウェイ(たとえば図1のゲートウェイ106)の間の通信プロトコルであり得、そのため、ゲートウェイのTEEワーカは実行サービスを実行することができる。実行サービス呼び出しプロトコルの例700は図1のシステム100によって遂行され得る。図7を参照して、一実施形態では、動作701において、クライアントデバイス101は、サービス要求を送り、ゲートウェイ106に対するTLSハンドシェイクおよび証明を遂行する。証明は、上記のものと同様に、ゲートウェイ106にとって利用可能な、TPMベースまたは何らかの他のタイプの証明であり得る。動作702において、クライアントデバイス101は、ゲートウェイ106にサービスIDおよびデータUUIDを伝送する。一実施形態では、サービスIDは、サーバ104によって実行される実行サービスを識別する固有の名称または識別子を含む。データUUIDは、実行サービスのために、RAMFS121上のクライアント・データを入力データとして識別するUUIDであり得る。動作703において、ゲートウェイ106は、UUIDを使用してRAMFS121からデータを回復し、データを解読して、悪性コードに関してデータを走査することによりデータをさらにサニタイズする。一実施形態では、入力データは、クライアントデバイス101により、クライアント要求の一部分としてゲートウェイ106に直接伝送される。動作704において、ゲートウェイ106は、クライアント要求に対してサービスする特定の実行サービスのために登録されたTEEワーカ(たとえばTEEワーカ108)を選択する。動作705において、ゲートウェイ106は、回復されたデータをTEEワーカ108に送り、サービス実行を開始する。動作706において、TEEワーカは、データを使用して実行サービスを実行する。実行が完了すると、動作707において、TEEワーカはゲートウェイ106に実行結果を返す。動作708において、ゲートウェイ106は、実行結果のコピーを暗号化して、局所的に、たとえばRAMFS121に記憶する。加えて、ゲートウェイ106はUUIDを生成し、UUIDを実行結果に関連づける。動作709において、ゲートウェイ106は、実行結果または実行結果に関連したUUIDをクライアントデバイス101に返す。UUIDはマッピング表によって実行結果にマッピングされ得、マッピング表はゲートウェイ106によって維持され得ることに留意されたい。TLSハンドシェイクおよび証明のための動作など、いくつかの動作は任意選択でよいことに留意されたい。
図8は、一実施形態に係る方法の一例を示す流れ図である。処理800を遂行し得る処理ロジックは、ソフトウェア、ハードウェア、またはこれらの組合せを含み得る。たとえば、処理800は、図1のデータ処理サーバ(たとえばホスト)104のゲートウェイ106によって遂行され得る。図8を参照して、ブロック801において、処理ロジックは、ユーザのユーザデバイスからネットワークを通じてサーバのゲートウェイにおいて受け取られた、実行サービスによってユーザデータを処理するようにとの要求に応答して、悪性コードに関してユーザデータを走査することにより、ユーザデータをサニタイズする。ブロック802において、処理ロジックは、複数のTEEワーカからTEEワーカを選択し、選択されたTEEワーカによって実行サービスの実行を開始する。ブロック803において、処理ロジックは選択されたTEEワーカから実行結果を受け取る。ブロック804において、処理ロジックはユーザのユーザデバイスに実行結果を伝送する。
一実施形態では、要求は、複数のユーザに関連した複数のユーザデバイスから受け取られた複数の要求のうち1つであり、要求の各々が、複数のTEEワーカのうちそれぞれの1つの内部で処理される。一実施形態では、ユーザデバイスが要求を伝送するのに先立って、ゲートウェイが、ユーザデバイスによって信頼できるものと証明される。
一実施形態では、処理ロジックは、クライアント要求に対する実行サービスを呼び出す前に、ゲートウェイを用いて実行サービスをさらに登録する。別の実施形態では、サービスを登録するステップは、サービスプロバイダからサービス・バイナリおよびサービスの記述を受け取るのに応答して、サービス・バイナリの完全性および確実性を検証するステップと、悪性コードに関してサービス・バイナリを走査するステップと、サービス・バイナリを複数のTEEワーカのうちの1つとして登録するステップとを含む。別の実施形態では、サービスプロバイダは、サービスプロバイダがゲートウェイにサービス・バイナリを伝送するのに先立って、ゲートウェイを信頼できるものと証明する。
一実施形態では、処理ロジックは、キー管理サーバ(KMS)から、クライアント・データを暗号化するためのキーをさらに得る。別の実施形態では、パブリックキーを得るステップは、ゲートウェイによって、キーを得るための要求をKMSに伝送するステップと、KMSからキーを受け取るステップであって、KMSは対称なキーまたはキー・ペアを生成しており、ゲートウェイがキーの確実性を検証するように、キーがKMSによって署名されている、キーを受け取るステップとを含む。別の実施形態では、処理ロジックは、KMSが信頼できるエンティティであることをさらに証明し、KMSは、ゲートウェイが要求を伝送してKMSが受け取る前に、ゲートウェイが信頼できるエンティティであることを証明する。
一実施形態では、ゲートウェイは、ゲートウェイに関するネットワーク・トラフィックの、認証、許可、監査およびアカウントを強化する。一実施形態では、ゲートウェイは、信頼できる、複製された、冗長で、かつ、フォールトトレラントな(RAFT)サービスを提供する。一実施形態では、ゲートウェイはバイパス不可能なゲートウェイである。
図9は、本発明の一実施形態とともに使用され得るデータ処理システムの一例を示すブロック図である。たとえば、システム1500は、上記で説明された処理または方法のうち任意のものを遂行する、上記で説明されたデータ処理システムのうち任意のものを表し得、たとえば上記で説明されたようなクライアント101〜102およびサーバ104など、たとえば上記で説明されたクライアントデバイスまたはサーバなどでよい。
システム1500は多くの様々な構成要素を含むことができる。これらの構成要素は、集積回路(IC)、ICの一部分、個別の電子デバイス、またはコンピュータシステムのマザーボードもしくはアドイン・カードなどの回路基板に適合された他のモジュール、またはコンピュータシステムのシャーシの内部に別様に組み込まれた構成要素として実施され得る。
システム1500は、コンピュータシステムの多くの構成要素の高レベルの概観を示すように意図されていることにも留意されたい。しかしながら、特定の実装形態には追加の構成要素が存在し得、その上、他の実装形態では、示された構成要素の種々の配置が生じ得ることを理解されたい。システム1500は、デスクトップ・コンピュータ、ノートパソコン、タブレット型コンピュータ、サーバ、携帯電話、メディアプレーヤ、携帯情報端末(PDA)、スマートウォッチ、パーソナル・コミュニケータ、ゲーム機、ネットワークのルータまたはハブ、無線アクセスポイント(AP)またはリピータ、セットトップ・ボックス、またはこれらの組合せを表し得る。さらに、単一のマシンまたはシステムしか示されていないが、「マシン」または「システム」という用語は、本明細書で論じられた技法のうち任意の1または複数を遂行する1組(または複数の組)の命令を個々にまたは連帯的に実行するマシンまたはシステムの任意の収集を含むと解釈されるものとする。
一実施形態では、システム1500は、バスまたは相互接続1510を介して、プロセッサ1501、メモリ1503、およびデバイス1505〜1508を備える。プロセッサ1501は、単一のプロセッサコアまたは複数のプロセッサコアを含む、単一のプロセッサまたは複数のプロセッサを表し得る。プロセッサ1501は、マイクロプロセッサ、中央処理装置(CPU)等の1または複数の汎用プロセッサを表し得る。より具体的には、プロセッサ1501は、複数命令セット・コンピューティング(CISC)マイクロプロセッサ、縮小命令セット・コンピューティング(RISC)マイクロプロセッサ、超長命令語(VLIM)マイクロプロセッサ、他の命令セットを実施するプロセッサ、または命令セットの組合せを実施するプロセッサでよい。プロセッサ1501は、特定用途向け集積回路(ASIC)、セルラー式プロセッサまたはベースバンド・プロセッサ、フィールド・プログラマブル・ゲートアレイ(FPGA)、デジタル信号プロセッサ(DSP)、ネットワーク・プロセッサ、グラフィックス・プロセッサ、通信用プロセッサ、暗号プロセッサ、コプロセッサ、組み込み型プロセッサ、または命令を処理することができる何らかの他のタイプの論理などの1または複数の専用プロセッサでもよい。
超低電圧プロセッサなど低電力のマルチコア・プロセッサ・ソケットであり得るプロセッサ1501は、システムの様々な構成要素と通信するための主処理ユニットおよび中央ハブとして働き得る。そのようなプロセッサはシステム・オン・チップ(SoC)として実施され得る。プロセッサ1501は、本明細書で論じた動作およびステップを遂行するための命令を実行するように構成されている。システム1500がさらに含み得るグラフィックス・インターフェースは、表示コントローラ、グラフィックス・プロセッサ、および/または表示デバイスを含み得る任意選択のグラフィックス・サブシステム1504と通信する。
プロセッサ1501はメモリ1503と通信してよく、メモリ1503は、一実施形態では、所与の量のシステムメモリを与えるために複数のメモリ・デバイスによって実施され得る。メモリ1503は、ランダムアクセスメモリ(RAM)、動的RAM(DRAM)、シンクロナスDRAM(SDRAM)、静的RAM(SRAM)または他のタイプの記憶デバイスなど、1または複数の揮発性記憶(すなわちメモリ)デバイスを含み得る。メモリ1503は、プロセッサ1501または何らかの他のデバイスによって実行される命令のシーケンスを含む情報を記憶し得る。たとえば、種々のオペレーティングシステム、デバイス・ドライバ、ファームウェア(たとえば入出力基本システムすなわちBIOS)の実行可能コードおよび/またはデータ、および/またはアプリケーションがメモリ1503にロードされ、プロセッサ1501によって実行され得る。オペレーティングシステムは、たとえばマイクロソフト(登録商標)のウィンドウズ(登録商標)オペレーティングシステム、アップルのマックOS(登録商標)/iOS(登録商標)、グーグル(登録商標)のアンドロイド(登録商標)、Linux(登録商標)、Unix(登録商標)など任意の種類のオペレーティングシステム、またはVxWorksなど他のリアルタイム・オペレーティングシステムもしくは組み込み型オペレーティングシステムであり得る。
システム1500がさらに含み得るデバイス1505〜1508などのIOデバイスは、ネットワーク・インターフェース・デバイス1505、任意選択の入力デバイス1506、および他の任意選択のIOデバイス1507を含む。ネットワーク・インターフェース・デバイス1505は、無線トランシーバおよび/またはネットワーク・インターフェース・カード(NIC)を含み得る。無線トランシーバは、Wi−Fiトランシーバ、赤外線トランシーバ、ブルートゥース・トランシーバ、WiMaxトランシーバ、無線セルラー電話トランシーバ、衛星トランシーバ(たとえば全地球測位システム(GPS)トランシーバ)、もしくは他の無線周波数(RF)トランシーバ、またはこれらの組合せでよい。NICはイーサネットカードでよい。
入力デバイス1506は、マウス、タッチパッド、タッチセンシティブ・スクリーン(表示デバイス1504に組み込まれ得る)、スタイラスなどのポインタデバイス、および/またはキーボード(たとえば物理的キーボードまたはタッチセンシティブ・スクリーンの一部分として表示されたバーチャル・キーボード)を含み得る。たとえば、入力デバイス1506はタッチスクリーンに結合されたタッチスクリーン・コントローラを含み得る。タッチスクリーンおよびタッチスクリーン・コントローラは、たとえば、それだけではないが、容量技術、抵抗技術、赤外線技術、表面弾性波技術、ならびに他の近接センサ配列またはタッチスクリーンに対する1または複数の接触点を判定するための他の要素を含む複数のタッチ感知技術のうち任意のものを使用して、接触と、動きまたは動きの中断とを検知する。
IOデバイス1507はオーディオ・デバイスを含み得る。オーディオ・デバイスは、音声認識、音声応答、デジタル記録、および/または電話の機能など、音声対応の機能を促進するためのスピーカおよび/またはマイクロフォンを含み得る。他のIOデバイス1507は、ユニバーサル・シリアル・バス(USB)ポート、パラレルポート、シリアルポート、プリンタ、ネットワーク・インターフェース、バスブリッジ(たとえばPCI−PCIブリッジ)、センサ(たとえば加速度計、ジャイロスコープ、磁力計、光センサ、コンパス、近接センサなどの運動センサ)またはこれらの組合せをさらに含み得る。デバイス1507がさらに含み得る画像処理サブシステム(たとえばカメラ)は、写真およびビデオクリップの記録などのカメラ機能を促進するために利用される電荷結合デバイス(CCD)または相補型金属酸化膜半導体(CMOS)光センサなどの光センサを含み得る。特定のセンサがセンサ・ハブ(図示せず)を介して相互接続1510に結合されてよく、一方、キーボードまたは熱センサなど他のデバイスは、システム1500の特定の構成または設計に依拠して、組み込みコントローラ(図示せず)によって制御され得る。
データ、アプリケーション、1または複数のオペレーティングシステムなどの情報の持続的記憶を提供するために、プロセッサ1501には大容量記憶装置(図示せず)も結合され得る。様々な実施形態において、より薄くより軽いシステム設計を可能にするばかりでなくシステム応答性も改善するために、この大容量記憶装置はソリッドステート・デバイス(SSD)によって実施されてよい。しかしながら、他の実施形態では、大容量記憶装置は、停電中にコンテキスト状態および他のそのような情報の不揮発性記憶装置を有効にするために、主として、SSDキャッシュとして働く少量のSSD記憶装置を伴うハードディスク・ドライブ(HDD)を使用して実施されてよく、その結果、システム・アクティビティの再起動において高速のパワーアップが可能になる。また、フラッシュメモリが、たとえばシリアル周辺インターフェース(SPI)を介してプロセッサ1501に結合されてよい。このフラッシュメモリは、基本入出力ソフトウェア(BIOS)ならびにシステムの他のファームウェアを含むシステム・ソフトウェアの不揮発性記憶装置をもたらし得る。
記憶デバイス1508が含み得るコンピュータ・アクセス可能な記憶媒体1509(マシン可読記憶媒体またはコンピュータ可読媒体としても知られている)には、本明細書で説明された技法または機能のうち任意の1または複数を具現する1または複数の命令のセットまたはソフトウェア(たとえばモジュール、ユニット、および/またはロジック1528)が記憶されている。処理モジュール/ユニット/ロジック1528は、たとえばゲートウェイ106または図1のホストサーバ104など、上記で説明された構成要素のうち任意のものを表し得る。処理モジュール/ユニット/ロジック1528は、データ処理システム1500による実行中には、メモリ1503の内部および/またはプロセッサ1501の内部に、余すところなく、または少なくとも部分的に存在してもよく、メモリ1503およびプロセッサ1501はマシンアクセス可能な記憶媒体も構成する。処理モジュール/ユニット/ロジック1528は、ネットワーク・インターフェース・デバイス1505によってネットワークを通じてさらに送信/受信されてよい。
コンピュータ可読記憶媒体1509は、上記で説明されたいくつかのソフトウェア機能を持続的に記憶するためにも使用され得る。例示的実施形態では、コンピュータ可読記憶媒体1509は単一の媒体であるように示されているが、「コンピュータ可読記憶媒体」という用語は、命令の1または複数のセットを記憶する単一の媒体または複数の媒体(たとえば集中型もしくは分散型のデータベース、および/または関連するキャッシュおよびサーバ)を含むように解釈されるべきである。「コンピュータ可読記憶媒体」という用語は、マシンによる実行のための命令のセットを記憶することまたは符号化することが可能であって本発明の技法のうち任意の1または複数をマシンに遂行させる任意の媒体を含むようにも解釈されるべきである。したがって、「コンピュータ可読記憶媒体」という用語は、それだけではないが、ソリッドステート・メモリならびに光媒体および磁気媒体、または何らかの他の非一時的マシン可読媒体を含むように解釈されるべきである。
処理モジュール/ユニット/ロジック1528、構成要素および本明細書で説明された他の機能は、個別のハードウェア構成要素として実施され得、またはASIC、FPGA、DSPまたは類似のデバイスなどハードウェア構成要素の機能の中に組み込まれ得る。加えて、処理モジュール/ユニット/ロジック1528は、ハードウェアデバイスの内部のファームウェアまたは機能回路として実施され得る。さらに、処理モジュール/ユニット/ロジック1528は、ハードウェアデバイスとソフトウェア・コンポーネントの任意の組合せで実施され得る。
システム1500は、データ処理システムの様々な構成要素を用いて示されているが、何らかの特定のアーキテクチャまたは構成要素を相互に連結するやり方を表すことは意図されておらず、そのため、詳細は、本発明の実施形態に密接な関係はないことに留意されたい。ネットワークコンピュータ、ハンドヘルドコンピュータ、携帯電話、サーバ、および/または構成要素がより少ないかもしくは恐らくより多い他のデータ処理システムも、本発明の実施形態とともに使用され得ることも理解されたい。
先の詳細な説明のいくつかの部分は、コンピュータ記憶装置の内部のデータ・ビットにおける動作のアルゴリズムおよび記号表現の観点から提示されている。これらのアルゴリズム的な説明および表現は、データ処理技術の当業者が、著作物の要旨を他の当業者に最も効果的に伝えるために使用するやり方である。ここで、アルゴリズムは、一般に、所望の結果に達する動作の自己矛盾がないシーケンスと考えられる。動作は、物理量の物理的操作を必要とするものである。
しかしながら、これらおよび類似の用語のすべてが、適切な物理量に関連づけられるべきであり、これらの量に与えられた好都合なラベルでしかないことを念頭に置かれたい。特に別記しない限り、上記の議論から明らかなように、説明の全体にわたって、以下の特許請求の範囲において説明されるものなどの用語を利用する議論は、コンピュータシステムのレジスタおよびメモリの内部の物理的(電子的)量として表されたデータを操作して、コンピュータシステムのメモリもしくはレジスタ、または他のそのような情報の記憶デバイス、伝送デバイスもしくは表示デバイスの内部の物理量として同様に表される他のデータへと変換するコンピュータシステム(または類似の電子計算デバイス)の作用および処理を指すことが理解される。
図に示された技術は、1または複数の電子デバイス上に記憶されて実行されるコードおよびデータを使用して実施され得る。そのような電子デバイスは、非一時的コンピュータ可読記憶媒体(たとえば磁気ディスク、光ディスク、ランダムアクセスメモリ、読み取り専用メモリ、フラッシュメモリ・デバイス、相変化メモリ)および一時的なコンピュータ可読伝送媒体(たとえば搬送波、赤外線信号、デジタル信号など、電気、光、音響、または他の形態の伝搬される信号)などのコンピュータ可読媒体を使用して、コードおよびデータを記憶したり、(内部で、および/またはネットワーク上の他の電子デバイスと)通信したりする。
先の図に表された処理または方法は、ハードウェア(たとえば回路、専用ロジックなど)、ファームウェア、(たとえば非一時的コンピュータ可読媒体上に具現された)ソフトウェア、またはこれらの組合せを含む処理ロジックによって遂行され得る。上記では、処理または方法がいくつかの順次動作の観点から説明されているが、説明された動作のうちいくつかは異なる順序で遂行され得ることを理解されたい。その上に、いくつかの動作は、順次ではなく並行して遂行され得る。
前述の明細書では、本発明の実施形態が特定の例示的実施形態を参照しながら説明されている。以下の特許請求の範囲で説明されるような本発明のより広範な精神および範囲から逸脱することなく、様々な修正形態が作製され得ることが明白であろう。したがって、本明細書および図面は、限定的意味ではなく例示的意味に見なされるべきである。
Claims (20)
- 信頼できる環境でデータを処理するためのコンピュータで実装される方法であって、
ユーザのユーザデバイスからネットワークを通じてサーバのゲートウェイにおいて受け取られた、実行サービスによってユーザデータを処理するようにとの要求に応答して、悪性コードに関して前記ユーザデータを走査することにより、該ユーザデータをサニタイズするステップと、
複数の実行環境(TEE)ワーカから信頼できるTEEワーカを選択し、該選択されたTEEワーカによって前記実行サービスの実行を開始するステップと、
前記選択されたTEEワーカから実行結果を受け取るステップと、
前記ネットワークを通じて前記ユーザの前記ユーザデバイスに前記実行結果を伝送するステップと、
を含む方法。 - 前記要求が、複数のユーザに関連した複数のユーザデバイスから受け取られた複数の要求のうちの1つであり、前記要求の各々が、複数のTEEワーカのうちそれぞれの1つによって処理される請求項1に記載の方法。
- 前記ユーザデバイスが前記要求を伝送するのに先立って、前記ゲートウェイが、前記ユーザデバイスによって信頼できるものと証明される請求項1に記載の方法。
- 前記クライアント要求に対する前記実行サービスを呼び出す前に、前記ゲートウェイを用いて前記実行サービスを登録するステップを含む請求項1に記載の方法。
- 前記サービスを登録するステップが、
サービスプロバイダからサービス・バイナリおよび前記サービスの記述を受け取るのに応答して、前記サービス・バイナリの完全性および確実性を検証するステップと、
悪性コードに関して前記サービス・バイナリを走査するステップと、
前記サービス・バイナリを複数のTEEワーカのうち1つとして登録するステップと、
を含む請求項4に記載の方法。 - 前記サービスプロバイダが前記ゲートウェイに前記サービス・バイナリを伝送するのに先立って、前記サービスプロバイダが、前記ゲートウェイを信頼できるものと証明する請求項5に記載の方法。
- キー管理サーバ(KMS)から、クライアント・データを暗号化するためのキーを得るステップを含む請求項1に記載の方法。
- 前記パブリックキーを得るステップが、
前記ゲートウェイによって、前記キーを得るための要求を前記KMSに伝送するステップと、
前記KMSから前記キーを受け取るステップであって、前記KMSが対称なキーまたはキー・ペアを生成しており、前記ゲートウェイが前記キーの確実性を検証するように、前記キーが前記KMSによって署名されるステップと、
を含む請求項7に記載の方法。 - 前記ゲートウェイが前記要求を伝送するのに先立って、前記ゲートウェイによって、前記KMSが信頼できるエンティティであることを証明するステップであって、前記ゲートウェイが前記要求を伝送するのに先立って、前記ゲートウェイが信頼できるものであると前記KMSが証明するステップを含む請求項8に記載の方法。
- 前記ゲートウェイが、該ゲートウェイに関するネットワーク・トラフィックの、認証、許可、監査およびアカウントを強化する請求項1に記載の方法。
- 前記ゲートウェイが、信頼できる、複製された、冗長で、かつ、フォールトトレラントな(RAFT)サービスを提供する請求項1に記載の方法。
- 前記ゲートウェイがバイパス不可能なゲートウェイである、請求項1に記載の方法。
- 命令を記憶した非一時的マシン可読媒体であって、前記命令がプロセッサによって実行されたとき、該プロセッサが、
ユーザのユーザデバイスからネットワークを通じてサーバのゲートウェイにおいて受け取られた、実行サービスによってユーザデータを処理するようにとの要求に応答して、悪性コードに関して前記ユーザデータを走査することにより、該ユーザデータをサニタイズするステップと、
複数の実行環境(TEE)ワーカから信頼できるTEEワーカを選択し、該選択されたTEEワーカによって前記実行サービスの実行を開始するステップと、
前記選択されたTEEワーカから実行結果を受け取るステップと、
前記ネットワークを通じて前記ユーザの前記ユーザデバイスに前記実行結果を伝送するステップと、
を含む動作を遂行する非一時的マシン可読媒体。 - 前記動作が、前記クライアント要求に対する前記実行サービスを呼び出す前に、前記ゲートウェイを用いて前記実行サービスを登録するステップを含む請求項13に記載の非一時的マシン可読媒体。
- 前記サービスを登録するステップが、
サービスプロバイダからサービス・バイナリおよび前記サービスの記述を受け取るのに応答して、前記サービス・バイナリの完全性および確実性を検証するステップと、
悪性コードに関して前記サービス・バイナリを走査するステップと、
前記サービス・バイナリを複数のTEEワーカのうちの1つとして登録するステップと、
を含む請求項14に記載の非一時的マシン可読媒体。 - 前記動作が、キー管理サーバ(KMS)から、クライアント・データを暗号化するためのキーを得るステップを含む請求項13に記載の非一時的マシン可読媒体。
- プロセッサと、
命令を記憶するように前記プロセッサに結合されたメモリと、
を備えるデータ処理システムであって、前記命令が前記プロセッサによって実行されたとき、該プロセッサが、
ユーザのユーザデバイスからネットワークを通じてサーバのゲートウェイにおいて受け取られた、実行サービスによってユーザデータを処理するようにとの要求に応答して、悪性コードに関して前記ユーザデータを走査することにより、前記ユーザデータをサニタイズするステップと、
複数の実行環境(TEE)ワーカから信頼できるTEEワーカを選択し、該選択されたTEEワーカによって前記実行サービスの実行を開始するステップと、
前記選択されたTEEワーカから実行結果を受け取るステップと、
前記ネットワークを通じて前記ユーザの前記ユーザデバイスに前記実行結果を伝送するステップとを含む動作を遂行するデータ処理システム。 - 前記動作が、前記クライアント要求に対する前記実行サービスを呼び出す前に、前記ゲートウェイを用いて前記実行サービスを登録するステップを含む請求項17に記載のシステム。
- 前記サービスを登録するステップが、
サービスプロバイダからサービス・バイナリおよび前記サービスの記述を受け取るのに応答して、前記サービス・バイナリの完全性および確実性を検証するステップと、
悪性コードに関して前記サービス・バイナリを走査するステップと、
前記サービス・バイナリを複数のTEEワーカのうち1つとして登録するステップと、
を含む請求項18に記載のシステム。 - 前記動作が、キー管理サーバ(KMS)から、クライアント・データを暗号化するためのキーを得るステップを含む請求項17に記載のシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/406,797 US11295014B2 (en) | 2019-05-08 | 2019-05-08 | TPM-based secure multiparty computing system using a non-bypassable gateway |
| US16/406,797 | 2019-05-08 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020184326A true JP2020184326A (ja) | 2020-11-12 |
| JP7000491B2 JP7000491B2 (ja) | 2022-01-19 |
Family
ID=69804523
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020070291A Active JP7000491B2 (ja) | 2019-05-08 | 2020-04-09 | バイパス不可能なゲートウェイを使用するtpmベースの安全なマルチパーティ・コンピュータシステム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11295014B2 (ja) |
| EP (1) | EP3736718B1 (ja) |
| JP (1) | JP7000491B2 (ja) |
| KR (1) | KR102363080B1 (ja) |
| CN (1) | CN111917696B (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7454020B2 (ja) | 2021-09-06 | 2024-03-21 | アクシス アーベー | 処理アプリケーションを使用して、データのセキュアな処理を可能にするための方法及びシステム |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112600830B (zh) * | 2020-12-07 | 2024-03-26 | 腾讯科技(深圳)有限公司 | 业务数据处理方法、装置、电子设备及存储介质 |
| CN114021141A (zh) * | 2021-10-29 | 2022-02-08 | 中国银联股份有限公司 | 一种电子设备、可信应用调用方法、装置、设备及介质 |
| EP4413696A1 (en) * | 2022-12-30 | 2024-08-14 | Google LLC | Secure workflows that enhance data security using sandboxes hosted by trusted execution environments |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004151886A (ja) * | 2002-10-29 | 2004-05-27 | Toshiba Corp | セキュア通信システム、方法及びプログラム |
| JP2010020728A (ja) * | 2008-07-14 | 2010-01-28 | Nippon Telegr & Teleph Corp <Ntt> | サービスコンポーネントの擾乱防止方法、およびサービスコンポーネントの擾乱制御装置 |
| JP2011114799A (ja) * | 2009-11-30 | 2011-06-09 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティシステム、中継装置、セキュリティ方法、及びプログラム |
| US20150356293A1 (en) * | 2014-06-06 | 2015-12-10 | Empire Technology Development, Llc | Secure application development and execution |
| JP2016099837A (ja) * | 2014-11-21 | 2016-05-30 | キヤノン株式会社 | 情報処理装置、サーバ装置、情報処理システム、制御方法及びコンピュータプログラム |
| US20170372076A1 (en) * | 2016-06-28 | 2017-12-28 | Intel Corporation | Technologies for provisioning and managing secure launch enclave with platform firmware |
| JP2019016281A (ja) * | 2017-07-10 | 2019-01-31 | 大日本印刷株式会社 | セキュアエレメント、コンピュータプログラム、デバイス、サーバ及びトラステッドアプリケーションのインストレーション方法 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050188087A1 (en) * | 2002-05-28 | 2005-08-25 | Dai Nippon Printing Co., Ltd. | Parallel processing system |
| US7463637B2 (en) * | 2005-04-14 | 2008-12-09 | Alcatel Lucent | Public and private network service management systems and methods |
| US8341427B2 (en) * | 2009-02-16 | 2012-12-25 | Microsoft Corporation | Trusted cloud computing and services framework |
| US9047476B2 (en) * | 2011-11-07 | 2015-06-02 | At&T Intellectual Property I, L.P. | Browser-based secure desktop applications for open computing platforms |
| US9319897B2 (en) * | 2012-08-15 | 2016-04-19 | Qualcomm Incorporated | Secure behavior analysis over trusted execution environment |
| US9037854B2 (en) | 2013-01-22 | 2015-05-19 | Amazon Technologies, Inc. | Privileged cryptographic services in a virtualized environment |
| US9118639B2 (en) * | 2013-03-14 | 2015-08-25 | Intel Corporation | Trusted data processing in the public cloud |
| US8935746B2 (en) | 2013-04-22 | 2015-01-13 | Oracle International Corporation | System with a trusted execution environment component executed on a secure element |
| US10061915B1 (en) * | 2014-09-03 | 2018-08-28 | Amazon Technologies, Inc. | Posture assessment in a secure execution environment |
| US20160253651A1 (en) * | 2015-02-27 | 2016-09-01 | Samsung Electronics Co., Ltd. | Electronic device including electronic payment system and operating method thereof |
| US10193858B2 (en) * | 2015-12-22 | 2019-01-29 | Mcafee, Llc | Attestation device custody transfer protocol |
| US9860195B2 (en) * | 2015-12-31 | 2018-01-02 | Hughes Network Systems, Llc | Method and system of providing carrier grade NAT (CGN) to a subset of a subscriber base |
| JP6629999B2 (ja) | 2016-04-12 | 2020-01-15 | ガードノックス・サイバー・テクノロジーズ・リミテッドGuardKnox Cyber Technologies Ltd. | セキュアロックダウンを実装するように構成された関連装置を有する特別にプログラムされたコンピューティングシステムおよびその使用方法 |
| US10528721B2 (en) * | 2016-10-20 | 2020-01-07 | Intel Corporation | Trusted packet processing for multi-domain separatization and security |
| US11044267B2 (en) * | 2016-11-30 | 2021-06-22 | Agari Data, Inc. | Using a measure of influence of sender in determining a security risk associated with an electronic message |
| US10521612B2 (en) * | 2017-06-21 | 2019-12-31 | Ca, Inc. | Hybrid on-premises/software-as-service applications |
| GB2566263A (en) * | 2017-09-01 | 2019-03-13 | Trustonic Ltd | Post-manufacture certificate generation |
| CN109101822B (zh) | 2018-07-10 | 2021-01-29 | 西安交通大学 | 一种解决多方计算中数据隐私泄露问题的方法 |
| CN109241016B (zh) * | 2018-08-14 | 2020-07-07 | 阿里巴巴集团控股有限公司 | 多方安全计算方法及装置、电子设备 |
-
2019
- 2019-05-08 US US16/406,797 patent/US11295014B2/en active Active
-
2020
- 2020-03-06 CN CN202010151251.5A patent/CN111917696B/zh active Active
- 2020-03-10 EP EP20162186.9A patent/EP3736718B1/en active Active
- 2020-04-09 JP JP2020070291A patent/JP7000491B2/ja active Active
- 2020-05-07 KR KR1020200054369A patent/KR102363080B1/ko active IP Right Grant
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004151886A (ja) * | 2002-10-29 | 2004-05-27 | Toshiba Corp | セキュア通信システム、方法及びプログラム |
| JP2010020728A (ja) * | 2008-07-14 | 2010-01-28 | Nippon Telegr & Teleph Corp <Ntt> | サービスコンポーネントの擾乱防止方法、およびサービスコンポーネントの擾乱制御装置 |
| JP2011114799A (ja) * | 2009-11-30 | 2011-06-09 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティシステム、中継装置、セキュリティ方法、及びプログラム |
| US20150356293A1 (en) * | 2014-06-06 | 2015-12-10 | Empire Technology Development, Llc | Secure application development and execution |
| JP2016099837A (ja) * | 2014-11-21 | 2016-05-30 | キヤノン株式会社 | 情報処理装置、サーバ装置、情報処理システム、制御方法及びコンピュータプログラム |
| US20170372076A1 (en) * | 2016-06-28 | 2017-12-28 | Intel Corporation | Technologies for provisioning and managing secure launch enclave with platform firmware |
| JP2019016281A (ja) * | 2017-07-10 | 2019-01-31 | 大日本印刷株式会社 | セキュアエレメント、コンピュータプログラム、デバイス、サーバ及びトラステッドアプリケーションのインストレーション方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7454020B2 (ja) | 2021-09-06 | 2024-03-21 | アクシス アーベー | 処理アプリケーションを使用して、データのセキュアな処理を可能にするための方法及びシステム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111917696B (zh) | 2022-09-23 |
| KR20200130164A (ko) | 2020-11-18 |
| US20200356670A1 (en) | 2020-11-12 |
| CN111917696A (zh) | 2020-11-10 |
| JP7000491B2 (ja) | 2022-01-19 |
| EP3736718B1 (en) | 2024-01-31 |
| KR102363080B1 (ko) | 2022-02-14 |
| US11295014B2 (en) | 2022-04-05 |
| EP3736718A1 (en) | 2020-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102376626B1 (ko) | 데이터 처리 가속기의 난독화를 통한 데이터 전송 | |
| US10567360B2 (en) | SSH key validation in a hyper-converged computing environment | |
| JP7000491B2 (ja) | バイパス不可能なゲートウェイを使用するtpmベースの安全なマルチパーティ・コンピュータシステム | |
| CN112262546A (zh) | 用于数据处理加速器的密钥分配和交换的方法和系统 | |
| CN112262547A (zh) | 具有安全单元以提供根信任服务的数据处理加速器 | |
| CN112236972A (zh) | 用于导出会话密钥以确保主机系统和数据处理加速器之间的信息交换信道的方法和系统 | |
| US11695650B2 (en) | Secure count in cloud computing networks | |
| US10045212B2 (en) | Method and apparatus for providing provably secure user input/output | |
| US11574032B2 (en) | Systems and methods for signing an AI model with a watermark for a data processing accelerator | |
| CN112948139B (zh) | 使用交换机向加速器安全地广播消息的系统和方法 | |
| KR102565414B1 (ko) | 데이터 처리 가속기에 사용되는, 난독화 유닛에 의해 난독화 를 진행하는 데이터 전송 | |
| CN112334902A (zh) | 建立主机系统与数据处理加速器之间的安全信息交换信道的方法 | |
| AU2021235526B2 (en) | Secure private key distribution between endpoint instances | |
| US10462113B1 (en) | Systems and methods for securing push authentications | |
| CN112352220A (zh) | 保护由数据处理加速器处理的数据的方法和系统 | |
| US11757648B2 (en) | System and method for remote startup management | |
| US12067119B1 (en) | Providing cryptographic attestations of enclaves used to process user data in a cloud provider network | |
| CN112262545A (zh) | 主机系统与数据处理加速器之间的证明协议 | |
| US12107961B2 (en) | Connection resilient multi-factor authentication | |
| CN107787494B (zh) | 跨重启的登录的恢复 | |
| US20240348426A1 (en) | System and method for managing the security of sensitive data using multiple encryption | |
| WO2024050869A1 (zh) | 基于去中心化信任的公有云下tee状态连续性保护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200409 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210420 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210518 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210816 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211221 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211223 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7000491 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |