JP2022503297A - 暗号鍵管理システムのサービスインスタンスのリワイヤリング - Google Patents

暗号鍵管理システムのサービスインスタンスのリワイヤリング Download PDF

Info

Publication number
JP2022503297A
JP2022503297A JP2020528421A JP2020528421A JP2022503297A JP 2022503297 A JP2022503297 A JP 2022503297A JP 2020528421 A JP2020528421 A JP 2020528421A JP 2020528421 A JP2020528421 A JP 2020528421A JP 2022503297 A JP2022503297 A JP 2022503297A
Authority
JP
Japan
Prior art keywords
key
kms
user
keys
deleted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020528421A
Other languages
English (en)
Other versions
JP7344204B2 (ja
JPWO2020081271A5 (ja
Inventor
バッツ,カニカ
スブラマニアン,エランゴバン
マンジュナス,マドゥ
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2022503297A publication Critical patent/JP2022503297A/ja
Publication of JPWO2020081271A5 publication Critical patent/JPWO2020081271A5/ja
Application granted granted Critical
Publication of JP7344204B2 publication Critical patent/JP7344204B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

Figure 2022503297000001
実施形態は、鍵に関連した鍵管理システム(KMS)サービスインスタンス(SI)を、リワイヤリングすることに向けられる。実施形態では、要求に応答して、1つ以上の鍵にマッピングされた第1のSIを削除する。鍵を復元するために、実施形態は、第2のSIを生成し、第2のSIを1つ以上の鍵にマッピングする。

Description

分野
一実施形態は、一般にコンピュータシステムに関し、特にコンピュータシステムにおける暗号鍵の管理に関する。
背景の情報
鍵管理サービス(KMS)は、暗号システムにおける暗号鍵の管理を提供する。管理は、鍵の生成、交換、保存、使用、暗号シュレッディング(すなわち、破壊)、および置換の機能を含む。それは、暗号プロトコル設計、鍵サーバ、ユーザ手順、および他の関連するプロトコルを含む。
KMS内の鍵は、データを暗号化および復号化し、データをそれが記憶された場所で保護するために使用される暗号素材を含む1つ以上の鍵バージョンを表す論理エンティティである。暗号化アルゴリズムの一部として処理されるとき、鍵は、暗号化中に平文をどのように暗号文に変換し、復号化中に暗号文をどのように平文に変換するかを指定する。KMSは、一般に、2種類の暗号鍵を認識する。それらは、マスター暗号鍵(MEK)およびデータ暗号鍵(DEK)である。KMSを使用してマスター暗号鍵を生成した後、ユーザは、KMSがユーザに返すデータ暗号鍵を生成するために、アプリケーションプログラミングインターフェース(API)を使用することができる。KMSは生鍵およびラップ鍵を返す。典型的には、ユーザは、ラップ鍵のみを保存する。
概要
実施形態は、鍵に関連した鍵管理システム(KMS)サービスインスタンス(SI)をリワイヤリングすることに向けられる。実施形態は、要求に応答して、1つ以上の鍵にマッピングされた第1のSIを削除する。鍵を復元するために、実施形態は、第2のSIを生成し、その第2のSIを1つ以上の鍵にマッピングする。
図1は、本発明の実施形態による鍵管理サービスの高レベルの概要を示す図である。 図2は、本発明の一実施形態によるコンピュータサーバ/システムのブロック図である。 図3は、一実施形態による、ユーザ/カスタマーがサービスインスタンスを削除するための機能のフロー図である。 図4は、一実施形態による、ユーザ/カスタマーが削除されたサービスインスタンスを復元するための機能のフロー図である。 図5は、一実施形態による、新規に作成されたサービスインスタンスを削除されたマスター暗号鍵にリワイヤするための機能のフロー図である。 図6Aは、実施形態によるDB SCHEMA MAPテーブルのリワイヤ前後のサービスインスタンスの例を示す図である。 図6Bは、実施形態によるDB SCHEMA MAPテーブルのリワイヤ前後のサービスインスタンスの例を示す図である。 図6Cは、実施形態によるDB SCHEMA MAPテーブルのリワイヤ前後のサービスインスタンスの例を示す図である。 図7は、実施形態による、SIを管理するためのPaaSサービスマネージャ(PSM)UIのスクリーンショットである。 図8は、実施形態による、SIを強制的に削除するときのPSM UIのスクリーンショットである。 図9は、実施形態による、ユーザが鍵を管理することを可能にするSI管理コンソールのスクリーンショットである。 図10は、実施形態による、新しいサービスインスタンスを作成または削除するためのPSM UIのスクリーンショットである。
詳細な説明
一実施形態は、サービスインスタンスの削除およびMEKへの対応するアクセスがKMSのユーザ/カスタマーによって復元され得る鍵管理サービス(KMS)である。新しいサービスインスタンスが生成され、その新しいサービスインスタンスは“削除された”MEKにマッピングされる。
図1は、本発明の実施形態によるKMS70の高レベルの概要を示す。複数のKMSクライアント72は、1つ以上のウェブサーバ76からのリプリゼンテーショナルステートトランスファー(representational state transfer:REST)アプリケーションプログラムインターフェース(API)を使用して、鍵を要求する。鍵を要求してその鍵を利用できるクライアント72は、データベース81を含む。一実施形態では、データベース81は、テーブルおよびテーブルスペースに格納される機密データの暗号化を可能にする透過的データ暗号化(Transparent Data Encryption:TDE)を含むオラクル社製のデータベースである。データが暗号化された後、このデータは、許可されたユーザまたはアプリケーションがこのデータにアクセスする際に、それらによって透過的に復号される。本実施形態では、データベース81は、KMS-DBエージェント85を含む。他の要求クライアント72は、クラウド環境内の様々なクラウドサービス82、様々なカスタマーアプリケーション83、または図1に示すKMSを含むクラウドシステム全体のユーザまたはカスタマーとも称されるアカウント管理者によって操作される管理コンソール84を含むことができる。
一実施形態では、1つ以上のウェブサーバ76はクラウドベースのサーバである。実施形態では、ウェブサーバ76は、クロスドメインアイデンティティ管理(SCIM)のためのREST API75ベースのシステムを公開する中間層コンポーネント76によって実装される。一実施形態では、中間層76は、データ層92と通信するステートレスマイクロサービスのセットを含む。
一実施形態では、中間層76を実装することができるマイクロサービスは、独立して配備可能なサービスである。一実施形態では、「マイクロサービス」という用語は、複雑なアプリケーションが言語に依存しないAPIを使用して互いに通信する小さな独立したプロセスから構成される、ソフトウェアアーキテクチャ設計パターンを考慮している。一実施形態では、マイクロサービスは、小型で高度に切り離されたサービスであり、各々は、小型タスクを行うことに焦点を当てるであろう。一実施形態では、マイクロサービスアーキテクチャスタイルは、単一のアプリケーションを1組の小さなサービスとして開発するためのアプローチであり、それぞれがそれ自体のプロセスで実行され、軽量メカニズム(例えば、ハイパーテキスト転送プロトコル(HTTP)リソースAPI)と通信する。一実施形態では、マイクロサービスは、同じ機能の全部または多くを実行するモノリシックサービスと比較して、置換しやすい。さらに、各マイクロサービスは、他のマイクロサービスに悪影響を及ぼすことなく更新されるであろう。対照的に、モノリシックサービスの一部分への更新は、モノリシックサービスの他の部分に望ましくないまたは意図しない否定的な影響を与えるかもしれない。一実施形態では、マイクロサービスは、それらの能力の周辺において有益に編成されるであろう。一実施形態では、マイクロサービスのコレクションのそれぞれに対する起動時間は、それらのマイクロサービスのすべてのサービスを集合的に実行する単一のアプリケーションに対する起動時間よりもはるかに短い。いくつかの実施形態では、そのようなマイクロサービスの各々に対する起動時間は、約1秒以下であるが、そのような単一アプリケーションの起動時間は、約1分、数分、またはそれより長いかもしれない。
一実施形態では、中間層76などのマイクロサービスアーキテクチャは、サービス指向アーキテクチャ(SOA)が柔軟で独立して配備可能なソフトウェアシステムを構築するための専門化(すなわち、システム内のタスクの分離)手法および実装手法を指す。マイクロサービスアーキテクチャにおけるサービスは、目的を果たすためにネットワークを介して互いに通信するプロセスである。一実施形態では、これらのサービスは、技術に捕らわれないプロトコルを使用する。一実施形態では、それらのサービスは、小さい粒度を有し、かつ、軽量プロトコルを使用する。一実施形態では、それらのサービスは独立して配備可能である。システムの機能を異なる小さなサービスに分散させることによって、システムのコヒージョンが増強され、システムの結合が低減される。これにより、システムの変更、システムへの機能および品質の追加をいつでも容易に行うことができる。また、これは、連続的なリファクタリングを通じて、個々のサービスのアーキテクチャが出現することを可能にし、それゆえ、大きなアップフロント設計の必要性を低減するとともにソフトウェアを早期かつ連続的にリリースすることを可能にする。
一実施形態では、マイクロサービスアーキテクチャにおいて、アプリケーションは、サービスのコレクションとして開発され、各サービスは、それぞれのプロセスを実行し、軽量プロトコルを使用して通信する(例えば、各マイクロサービスに固有のAPI)。マイクロサービスアーキテクチャにおいて、ソフトウェアは、提供されるサービスに応じて異なるレベルの粒度で、個々のサービス/能力に分解することができる。サービスは、ランタイムコンポーネント/プロセスである。各マイクロサービスは、他のモジュール/マイクロサービスと対話することができる自己内蔵モジュールである。各マイクロサービスは、他のマイクロサービスによってコンタクトされ得る、アンネームドユニバーサルポートを有する。一実施形態では、マイクロサービスのアンネームドユニバーサルポートは、マイクロサービスが慣習によって(たとえば、従来のHTTPポートとして)公開し、同じサービス内の任意の他のモジュール/マイクロサービスがそれと対話することを可能にする標準通信チャネルである。マイクロサービスまたは任意の他の自己内蔵型機能モジュールは、一般的に「サービス」と称され得る。
データ層92は、ハードウェアセキュリティモジュール(HSM)94およびデータベース95を含む。HSMは、強力な認証のためにデジタル鍵を安全にし、かつ、管理するとともに暗号処理を提供する物理的なコンピューティングデバイスである。これらのモジュールは、従来より、コンピュータまたはネットワークサーバに直接取り付けられるプラグインカードまたは外部装置の形態をとる。MEKはHSM94およびHSM94内に常駐して、MEKに関わる暗号サービスを提供する。アプリケーション鍵およびすべてのメタデータは、データベース95内に格納される。中間層76およびデータ層92のすべての構成要素は、いくつかの実施形態では、高可用性(high availability:HA)および災害時リカバリー(disaster recovery:DR)を伴って実装される。
一実施形態では、データベース95は、オラクル社製のリレーショナルデータベース管理システム(RDMS)データベースで実装される。オラクルデータベースのコンテキストでは、スキーマオブジェクトは論理データ記憶構造である。オラクルデータベースは、別個のスキーマを各データベースユーザと関連付ける。スキーマは、スキーマオブジェクトの集合を備える。スキーマオブジェクトの例は、表、ビュー、シーケンス、同義語、インデックス、クラスタ、データベースリンク、スナップショット、手順、関数またはパッケージを含む。一方、非スキーマオブジェクトは、ユーザ、役割、コンテキストまたはディレクトリオブジェクトを含み得る。
スキーマオブジェクトは、それらの情報を記憶するディスク上の物理ファイルと1対1の対応関係を有していない。しかしながら、オラクルデータベースは、データベースのテーブルスペース内にスキーマオブジェクトを論理的に格納する。各オブジェクトのデータは、テーブルスペースのデータファイルのうちの1つまたは複数に物理的に含まれる。いくつかのオブジェクト(テーブル、インデックス、およびクラスタなど)について、データベース管理者は、オラクルRDBMSがオブジェクトのためにテーブルスペースのデータファイル内にどのくらいのディスク空間を割り当てるかを指定することができる。スキーマとテーブルスペースとの間には必要な関係はない。すなわち、テーブルスペースは、異なるスキーマからのオブジェクトを含むことができ、単一のスキーマのためのオブジェクトは、異なるテーブルスペース内に存在することができる。
一実施形態では、中間層76およびデータ層92は、オラクル社製のマルチテナント、クラウドスケール、アイデンティティアクセスマネジメント(IAM)プラットフォームであるアイデンティティクラウドサービス(IDCS)によって提供される認証サービスによって実装される。IDCSは、認証、承認、監査、およびフェデレーションを提供する。IDCSは、パブリッククラウド上で動作するカスタムアプリケーションおよびサービスへのアクセス、ならびにオンプレミスシステムを管理する。代替または追加の実施形態では、IDCSはまた、公衆クラウドサービスへのアクセスを管理することもできる。例えば、IDCSは、様々なサービス/アプリケーション/システムにわたってシングルサインオン(SSO)機能を提供するために利用され得る。ユーザおよびクライアントは、最初にIDCSに対して認証し、KMSアクセスに適したトークンを獲得しなければならない。境界認証は、IDCSクラウドゲートによって実施される。KMS APIへの細やかなアクセスは、クライアントと管理者とを区別するために使用される適切な範囲および役割を有する認可モジュールによって実施される。IDCSのさらなる詳細は、例えば米国特許9,838,376に開示されており、その開示は参照により本明細書に組み込まれる。
実施形態では、KMSは、SIのための水平分割をサポートする。したがって、各SIは、1つ以上のDBインスタンスにわたって作成された専用のスキーマに関連付けられる。プリモディアル(primordial)DBは、ログインディテイルに加えて、どのSIスキーマがどのDBインスタンスに存在するかということに関する情報を含む中央DBである。それもまた、SIからテナントへのマッピングも持続する。
図2は、本発明の一実施形態によるコンピュータサーバ/システム10のブロック図である。単一のシステムとして示されているが、システム10の機能は、分散システムとして実装することができる。さらに、本明細書で開示される機能は、ネットワーク上で互いに接続され得る個別のサーバまたはデバイス上で実装され得る。さらに、システム10の1つ以上の構成要素は含まれなくてもよい。たとえば、サーバの機能のために、システム10は、プロセッサおよびメモリを含む必要があり得るが、キーボードまたはディスプレイなど、図2に示される他の構成要素のうちの1つ以上を含まなくてもよい。システム10の全部または一部は、いくつかの実施形態において、図1に示されるコンポーネントのいずれかまたは全てを実装するために使用されてもよい。
システム10は、情報を通信するためのバス12または他の通信メカニズムと、情報を処理するためにバス12に接続されたプロセッサ22とを含む。プロセッサ22は、汎用または専用プロセッサのいずれのタイプとしてもよい。システム10は、情報およびプロセッサ22によって実行されるべき命令を記憶するためのメモリ14をさらに含む。メモリ14は、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、磁気もしくは光ディスクなどの静的な記憶装置、または任意の他のタイプのコンピュータ可読媒体のうちの任意の組み合わせから構成され得る。システム10は、ネットワークへのアクセスを提供するための、ネットワークインターフェースカードなどの通信デバイス20をさらに含む。したがって、ユーザは、直接、またはネットワークまたは任意の他の方法を介してリモートで、システム10とインターフェース接続することができる。
コンピュータ可読媒体は、プロセッサ22によってアクセスされ得る任意の利用可能な媒体であってよく、揮発性媒体および不揮発性媒体の両方、取り外し可能媒体および取り外し不能媒体、通信媒体を含む。通信媒体は、コンピュータ可読命令、データ構造、プログラムモジュール、または搬送波若しくは他のトランスポートメカニズムなどのような、変調されたデータ信号中の他のデータを含んでもよく、任意の情報配信媒体を含む。
プロセッサ22は、バス12を介して液晶ディスプレイ(LCD)などのディスプレイ24にさらに接続される。キーボード26およびコンピュータマウスなどのカーソル制御装置28は、ユーザがシステム10とインターフェース接続できるようにバス12にさらに接続される。
一実施形態では、メモリ14は、プロセッサ22によって実行されると機能を提供するソフトウェアモジュールを記憶する。モジュールは、システム10のオペレーティングシステム機能を提供するオペレーティングシステム15を含む。モジュールは、KMS機能、および本明細書で開示される他のすべての機能を提供するKMSモジュール16をさらに含む。システム10は、より大きなシステムの一部とすることができる。したがって、システム10は、上述したIDCS機能などの追加機能を含むための1つ以上の追加機能モジュール18を含むことができる。データベース17は、モジュール16および18のためのセントラライズドストレージを提供するとともに、キー、パスワードなどを格納するためにバス12に接続される。一実施形態では、データベース17は、格納されたデータを管理するために構造化クエリ言語(SQL)を使用することができるリレーショナルデータベース管理システム(RDBMS)である。
前述したように、KMSにおいてユーザによって作成された鍵(すなわち、「MEK」)は、ユーザの機密データのすべてを暗号化するために使用されるので、必須の役割を果たす。鍵は、図1のHSM94のようなデータストアまたはデータベーススキーマの形態でハードウェアベースのパーシスタントストアに格納される。ユーザのデータが暗号化されている限り、暗号化データへのアクセスはもはや利用可能ではないので、ユーザは鍵を失わないようにする必要がある。オラクルパブリッククラウド(OPC)では、ユーザは、彼らのクラウドアカウントのための複数のKMSインスタンスを作成することができる。サービスインスタンスは、カスタマーが鍵にアクセスすることを可能にするAPIである。SIが生成されると、新しいSI ユニフォームリソースロケーター(Uniform Resource Locator:URL)が生成され、このURLは、ユーザがそこから鍵を管理することができるSI管理コンソールUIとして機能する。
しかしながら、一部のKMSは、ユーザがMEKを削除することを可能にする。例えば、オラクル社製のKMSでは、鍵は削除され得る。しかしながら、鍵が削除される前に、KMSは以下の警告を提供する。「鍵をペンディングデリーション状態にすると、その鍵で暗号化されているものが直ちにアクセス不能となります。また、いずれのリソースに対しても鍵を割り当てることができず、またはいずれのリソースに対する鍵の割り当て解除もできず、あるいは、鍵を更新することができません。鍵が削除されると、すべての鍵素材およびメタデータが不可逆的に破壊されます。鍵を削除する前に、その鍵によって現在暗号化されているリソースに対して新しい鍵を割り当てるか、または別の方法でデータを保存してください。鍵が永続的に削除される前にあなたがその鍵の使用を復元することを望む場合、あなたは、その削除をキャンセルすることができます。」
しかしながら、ユーザのサービスインスタンス(SI)の偶発的な削除が生じた場合、ユーザは、暗号化データが解読不能になるという重大な結果に直面するであろう。したがって、一般に、ユーザが以前に作成したすべてのMEKを削除しない限り、通常のKMS SI削除は許可されない。いくつかの公知のシステムでは、MEKが存在するサービスインスタンスを削除する唯一の方法は、「Force Delete」を選択することによるものである。これは、カスタマー管理者ジェスチャーによって、または管理者コンソール84を使用したPSM UIへのログインを介して行うクラウドアカウント削除の一部として、開始することができる。
図3は、一実施形態による、ユーザ/カスタマーがサービスインスタンスを削除するための機能のフロー図である。実施形態では、図3の機能は、図2のKMSモジュール16によって、または図1の中間層76およびデータ層92によって実装される。一実施形態では、図3(ならびに以下の図4および5)のフロー図の機能は、メモリまたは他のコンピュータ可読媒体もしくは有形媒体に記憶されたソフトウェアによって実装され、プロセッサによって実行される。他の実施形態では、機能は、ハードウェア(例えば、特定用途向け集積回路(ASIC)、プログラマブルゲートアレイ(PGA)、フィールドプログラマブルゲートアレイ(FPGA)などの使用を通じて)、またはハードウェアとソフトウェアの任意の組み合わせによって実行され得る。図3の機能は、公知のオラクル KMSに対応するものである。開示される機能のために、実施形態では、KMSプリモディアルDBおよびサービスインスタンスDBの両方が動作中であると仮定する。
301において、ユーザ/カスタマーは、PaaSサービスマネージャツール(PSM)ユーザインターフェース(UI)にログインするか、またはPSMレストAPIを使用する。PSMは、ユーザがオラクルクラウド内の様々なプラットフォームサービスのライフサイクルを管理することを可能にするコマンドラインインターフェース(CLI)を提供する。CLIは、オラクルジャバクラウドサービス、オラクルデータベースクラウドサービスインスタンス、およびオラクルMySQLクラウドサービスのインスタンスの作成および管理、またはオラクルアプリケーションコンテナークラウドサービスのアプリケーションの作成および管理を含む、共通のPaaSフィーチャーをサポートするためにこれらのAPIを呼び出すPaaS REST API上のシンラッパーである。CLIはまた、クラウド環境のプロビジョニングおよび削除を自動化するPaaSツールであるオラクル クラウドスタックマネージャをサポートする。管理コンソール84は、PSM UIにアクセスするために実施形態において使用され得る。
実施形態において、「KMS コンソール」と称される別のサービスインスタンス固有のコンソールは、サービス管理者が鍵を管理および操作することを可能にする。PSM管理者コンソール84は、ユーザをPSM管理者コンソールからKMSコンソールに導くSI URLリンクを提供する。PSM管理者コンソールは、テナント/カスタマーのための複数のKMSサービスインスタンスの管理に向けられたものであり、一方、KMS コンソールは、1つのサービスインスタンスに対する鍵のみの管理を可能にする。
302において、ユーザは、1つ以上の対応するMEKによるSIの削除を示す。MEKは、実施形態において最初に削除される必要はない。303において、ユーザがSIの強制的な削除を望むことをユーザーが確かめるためのプロンプトが生成される。ユーザが「No」で応答する場合、306において、SI削除は失敗する。そうでなければ、304において、SIが削除され、対応するSIユニフォームリソースロケータ(URL)はアクセス不能である。上述したように、SIの削除はまた、ユーザがもはや、いずれの対応する、格納されたMEKにもアクセスできないことを意味する。しかしながら、状況によっては、ユーザは、上述の警告にもかかわらず、彼らのSIを「偶発的に」削除するであろう。
図3の機能性の結果として、ユーザが、例えばPSM UIまたはPSM Rest APIを通じて彼らのKMS SIを削除した後、ユーザは、削除されたサービスインスタンスにマッピングされたDB スキーマに逆らって問い合わせるために、SIのHSM鍵にアクセスすることも、KMSコンソールにアクセスすることもできないであろう。いくつかの実施形態におけるSIの削除動作の一部として、次のことがいえる。
・SIステータスは、KMSデータベース95(図1)のSERVICE_INSTANCEデータベーステーブルにおいてSOFT_TERMINATEDとしてマークされるであろう。
・削除されたサービスインスタンスに対応するDB SCHEMA MAPテーブルの行は、STALEとしてマークされるであろう。
・削除されたKMSサービスインスタンスのDBスキーマならびにHSM鍵は、完全なパージングが起こる前に30日間保持されるであろう。
したがって、実施形態において、実際のMEKは予め定めた期間が経過するまで削除されないため、機能はユーザに対して、削除されたKMSサービスインスタンスのため、30日以内に(実施形態における図3の機能性から)彼らのKMSサービスインスタンスKMS鍵アーティファクトへのアクセスを取り戻すことを提供する。以下に開示されるように、ユーザは新しいKMS SIを作成し、削除されたKMSサービスインスタンスDBスキーマは、新たに作成されたKMS SIにリワイヤされる。
実施形態は、ユーザが、鍵へのアクセスを復元することを可能にし、ゆえに、強制的なサービスインスタンスの削除後に鍵管理オペレーションを再度、インスタンス化することを可能にする、リワイヤリング自動化フレームワークに向けられる。このフレームワークは、削除されたサービスインスタンスの古い鍵を新しいサービスインスタンスに関連付ける。それは、キーがHSMから永久に削除されてから、定まった日数以内に実行されるべきであり、これらの鍵を取り戻す方法は存在しない(例えば、30日)。
図4は、一実施形態による、削除されたSIをユーザ/カスタマーが復元するための機能のフロー図である。実施形態では、図4の機能は、図2のKMSモジュール16によって、または図1の中間層76およびデータ層92によって実装される。図4の機能は、実施形態において図3の機能の後に起こる。
401において、ユーザは、削除されたMEKを復元するためのサービス要求(SR)を作成する。402において、運用チームエンジニアであり得る開発およびオペレーション(デブオプス(devops))エンジニアは、SRに取り組み、ユーザに新しいSIを作成するよう要求する。実施形態では、追加のオプションは、PSM管理者コンソールに公開され、ユーザが新しいSIを作成するときはいつでも、バックエンドで新しいスキーマを作成することを選択することができるか、または削除された古いサービスインスタンスのスキーマでこの新しいサービスインスタンスをワイヤアップすることを選択することができるようになる。この機能性は自動化することもできる。403において、ユーザは新しいSIを作成する。
図5は、一実施形態による、新規に作成されたSIを削除されたMEKにリワイヤリングするための機能のフロー図である。実施形態では、図5の機能は、図2のKMSモジュール16によって、または図1の中間層76およびデータ層92によって実装される。実施形態において、図5の機能は図4の機能の後に起こる。
501において、自動化スクリプトが実行される。一実施形態では、デブオプスは、「オラクル」ユーザの役割を用いて中間層で管理者ノードにログインすることによって、自動化スクリプトを実行する。他の実施形態では、自動化スクリプトは、自動的に実行され得る。502において、自動化スクリプトは、デブオプスによって与えられるすべての入力パラメータとともにadmin-cliを呼び出す。Admin-cliは、KMS中間層内のAdminノードにおいてデブオプスエンジニアによって実行されるコマンドラインインターフェースである。admin-cliの目的は、コマンドラインからの、削除されたSI名および新たに作成されたSI名を受け入れて、それらを自動化処理に渡すことである。
擬似コードの一実施形態による擬似コードは、以下のとおりである。
# 削除されたSIを新たなSIでリワイヤするスクリプト
setupenv_config() {
// 自動化のためのブートトラップ構成を設定
}
get_input() {
// コマンドラインからSI名及び新たに作成したSI名を削除
}
perform_rewire() {
// リワイヤの準備
// リワイヤ要求の構築
}
execute_rewire_cli() {
//削除されたSI名および新しく作成されたSI名を渡し、オートリワイヤジャバサービスcliを呼び出す。[図5の項目504を参照]
}
flush_global_cache() {
// リワイヤが成功すれば、その後、削除されたSI参照オブジェクトをglobal_cacheから除去する。
}
504において、admin-cliは、新たに生成されたSIにデータベース95内の削除されたSIスキーマを指定させることによってリワイヤリングエグゼキューションを実行する。503において、自動化スクリプトはリワイヤリングの成功後にdbSchemaMapオブジェクト上に選択的なキャッシュフラッシュを行う。SIが削除されるとき、そのリファレンスドSIデータオブジェクトはグローバルキャッシュから除去される(すなわち、フラッシュされる)。
511において、ユーザはPSM UIにアクセスする。512において、ユーザは、図3からの新しいSI URLを使用してKMSコンソールUIを起動する。513において、ユーザは、削除されたSI MEKを見ることができ、それは、MEKが現在利用可能であることを示している。
図6A~Cは、実施形態による、DB SCHEMA MAPテーブルのリワイヤリング前後のサービスインスタンスの例を示す。
図6Aは、ワイヤリング前のテーブルを示す--スキーマネーム602(すなわち、スキーマネームの最後が「693」で終わる)を指し示す、GLOBAL_KMS.DB_SCHEMA_MAPテーブル(すなわち、601の「stale」)において削除されたKMS SIの状態である。図6Bは、スキーマ名604を指し示し(すなわち、スキーマネームの最後が「694」で終わる)、新しいKMS SIが作成された(すなわち、603の「inuse」)後のテーブルを示す。図6Cは、自動化スクリプトが実行された後の予期される状態を示し、605で削除の準備が整っている、以前のSIスキーマ名602を指し示す(すなわち、再マッピングされる)新しいSI603を示す。
図7は、実施形態による、SIを管理するためのPSMUIのスクリーンショットである。アクティブサービスインスタンスが701に示されており、ユーザは、追加的なサービスインスタンスを作成するためにボタン702を選択することができる。
図8は、実施形態による、SIを強制的に削除するときのPSM UIのスクリーンショットである。801において、図3の303に対する削除後チェックボックスを含む警告がユーザに提示される。
図9は、実施形態による、ユーザが鍵を管理することを可能にするSI管理コンソールのスクリーンショットである。さらに、図9は、新しいSIがリワイヤされた後にユーザが以前に「削除された」MEKのすべてを見ることができるように、図5の513に関連してユーザに提供される。
図10は、実施形態による、新しいサービスインスタンスを作成または削除するためのPSM UIのスクリーンショットである。1001において、ユーザは、他のオプションと同様に、選択されたサービスインスタンスを削除することができる。
いくつかの実施形態が、本明細書で具体的に例示および/または説明される。しかしながら、開示された実施形態の修正および変形は、本発明の思想および意図された範囲から逸脱することなく、上記教示によって、および添付のクレームの範囲内に含まれることが理解されるであろう。

Claims (20)

  1. 鍵に関連した鍵管理システム(KMS)サービスインスタンス(SI)をリワイヤリングする方法であって、
    要求に応答して、1つ以上の鍵にマッピングされる第1のSIを削除し、
    第2のSIを生成し、
    前記第2のSIを前記1つ以上の鍵にマッピングする、方法。
  2. 前記第1のSIは、データベーススキーマにマッピングされ、ユーザが前記鍵を管理することを可能にするユニフォームリソースロケータ(URL)に関連付けられる、請求項1に記載の方法。
  3. 前記第1のSIを削除することにより、前記ユーザによる前記鍵へのアクセスが削除される、請求項2に記載の方法。
  4. 前記鍵はマスター暗号化鍵(MEK)を含み、ハードウェアセキュリティモジュール(HSM)に格納される、請求項1に記載の方法。
  5. 前記第2のSIを前記1つ以上の鍵にマッピングすることは、前記第2のSIを前記データベーススキーマにマッピングすることを含む、請求項2に記載の方法。
  6. 前記第1のSIを削除することに応答して、前記鍵は、所定時間の経過後に削除される、請求項1に記載の方法。
  7. 前記マッピングは、前記KMSの中間層によって実装され、前記中間層は、1つ以上のマイクロサービスによって実装される、請求項1に記載の方法。
  8. 鍵管理システム(KMS)であって、
    1つ以上のマイクロサービスを含む中間層と、
    中間層に結合され、1つ以上のハードウェアセキュリティモジュール(HSM)および1つ以上のデータベースを含むデータ層とを備え、
    前記中間層は、第1の要求に応答して、1つ以上の鍵にマッピングされる第1のサービスインスタンス(SI)を削除し、第2の要求に応答して、第2のSIを生成し、前記第2のSIを前記1つ以上の鍵にマッピングするように適合される、鍵管理システム。
  9. 前記第1のSIは、前記データベースのデータベーススキーマにマッピングされ、ユーザが前記鍵を管理することを可能にするユニフォームリソースロケーター(URL)に関連付けられる、請求項8に記載の鍵管理システム。
  10. 前記第1のSIを削除することにより、前記ユーザによる前記鍵へのアクセスが削除される、請求項9に記載の鍵管理システム。
  11. 前記鍵は、マスター暗号鍵(MEK)を含み、前記HSMに格納される、請求項8に記載の鍵管理システム。
  12. 前記1つ以上の鍵に前記第2のSIをマッピングすることは、前記第2のSIを前記データベーススキーマにマッピングすることを含む、請求項9に記載の鍵管理システム。
  13. 前記第1のSIの削除に応答して、前記鍵は、所定時間の経過後に削除される、請求項8に記載の鍵管理システム。
  14. 1つ以上のプロセッサによって実行されると、前記プロセッサに、鍵に関連する鍵管理システム(KMS)サービスインスタンス(SI)をリワイヤさせる命令を記憶した非一時的なコンピュータ可読媒体であって、
    前記リワイヤすることは、
    要求に応答して、1つ以上の鍵にマッピングされる第1のSIを削除し、
    第2のSIを生成し、
    前記第2のSIを前記1つ以上の鍵にマッピングすることを含む、コンピュータ可読媒体。
  15. 前記第1のSIがデータベーススキーマにマッピングされ、ユーザが前記鍵を管理することを可能にするユニフォームリソースロケータ(URL)に関連付けられる、請求項14に記載のコンピュータ可読媒体。
  16. 前記第1のSIを削除することにより、前記ユーザによる前記鍵へのアクセスが削除される、請求項15に記載のコンピュータ可読媒体。
  17. 前記鍵は、マスター暗号化鍵(MEK)を含み、ハードウェアセキュリティモジュール(HSM)に格納される、請求項14に記載のコンピュータ可読媒体。
  18. 前記1つ以上の鍵に前記第2のSIをマッピングすることは、前記第2のSIを前記データベーススキーマにマッピングすることを含む、請求項15に記載のコンピュータ可読媒体。
  19. 前記第1のSIを削除することに応答して、前記鍵は、所定時間の経過後に削除される、請求項14に記載のコンピュータ可読媒体。
  20. 前記マッピングが前記KMSの中間層によって実装され、前記中間層は1つ以上のマイクロサービスによって実装される、請求項14に記載のコンピュータ可読媒体。
JP2020528421A 2018-10-19 2019-10-07 暗号鍵管理システムのサービスインスタンスのリワイヤリング Active JP7344204B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
IN201841039629 2018-10-19
IN201841039629 2018-10-19
US16/558,625 2019-09-03
US16/558,625 US11258604B2 (en) 2018-10-19 2019-09-03 Rewiring cryptographic key management system service instances
PCT/US2019/054929 WO2020081271A1 (en) 2018-10-19 2019-10-07 Rewiring cryptographic key management system service instances

Publications (3)

Publication Number Publication Date
JP2022503297A true JP2022503297A (ja) 2022-01-12
JPWO2020081271A5 JPWO2020081271A5 (ja) 2022-07-04
JP7344204B2 JP7344204B2 (ja) 2023-09-13

Family

ID=70281335

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020528421A Active JP7344204B2 (ja) 2018-10-19 2019-10-07 暗号鍵管理システムのサービスインスタンスのリワイヤリング

Country Status (5)

Country Link
US (1) US11258604B2 (ja)
EP (1) EP3868053A1 (ja)
JP (1) JP7344204B2 (ja)
CN (1) CN111344997B (ja)
WO (1) WO2020081271A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11568063B1 (en) 2019-11-22 2023-01-31 Amazon Technologies, Inc. Database with client-controlled encryption key
US11595205B1 (en) * 2019-11-22 2023-02-28 Amazon Technologies, Inc. Database with client-controlled encryption key
US11860673B1 (en) 2019-11-22 2024-01-02 Amazon Technologies, Inc. Database with client-controlled encryption key

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63138442A (ja) * 1986-11-29 1988-06-10 Fujitsu Ltd 削除フアイル復元処理方式
JP2000155706A (ja) * 1998-11-19 2000-06-06 Kawasaki Steel Systems R & D Corp オブジェクト指向とリレーショナル・データベースのマッピング方法、装置及びその記録媒体
JP2010524410A (ja) * 2007-04-12 2010-07-15 エヌサイファー・コーポレーション・リミテッド 暗号鍵を識別および管理するための方法およびシステム
US8170213B1 (en) * 2007-12-27 2012-05-01 Emc Corporation Methodology for coordinating centralized key management and encryption keys cached through proxied elements
US8245037B1 (en) * 2009-02-17 2012-08-14 Amazon Technologies, Inc. Encryption key management
US20150074408A1 (en) * 2013-09-10 2015-03-12 Duo Security, Inc. System and method for centralized key distribution
US20160112387A1 (en) * 2013-11-12 2016-04-21 Amazon Technologies, Inc Secure data destruction in a distributed environment using key protection mechanisms
US9379890B1 (en) * 2015-12-07 2016-06-28 Workiva Inc. System and method for managing cryptographic keys
US20180270211A1 (en) * 2017-03-17 2018-09-20 Accenture Global Solutions Limited Extensible key management system for application program interfaces

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8078705B2 (en) * 2004-04-05 2011-12-13 Hewlett-Packard Development Company, L.P. Key-configured topology with connection management
US8601600B1 (en) 2010-05-18 2013-12-03 Google Inc. Storing encrypted objects
TW201215070A (en) 2010-06-14 2012-04-01 Revere Security Corp Key Management Systems and methods for shared secret ciphers
US8914632B1 (en) 2011-12-21 2014-12-16 Google Inc. Use of access control lists in the automated management of encryption keys
US8782441B1 (en) 2012-03-16 2014-07-15 Google Inc. Methods and systems for storage of large data objects
US20140019753A1 (en) 2012-07-10 2014-01-16 John Houston Lowry Cloud key management
US10623386B1 (en) * 2012-09-26 2020-04-14 Pure Storage, Inc. Secret sharing data protection in a storage system
US10211977B1 (en) * 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US9407440B2 (en) * 2013-06-20 2016-08-02 Amazon Technologies, Inc. Multiple authority data security and access
JP6224254B2 (ja) * 2014-04-14 2017-11-01 マスターカード インターナショナル インコーポレーテッド モバイルデバイスにおいてセキュアエレメントなしでアドバンスド記憶鍵を生成するための方法およびシステム
US9413730B1 (en) * 2014-06-04 2016-08-09 Skyhigh Networks, Inc. Encryption in the cloud using enterprise managed keys
US9887836B1 (en) * 2014-09-26 2018-02-06 Amazon Technologies, Inc. Unified management of cryptographic keys using virtual keys and referrals
US9667416B1 (en) * 2014-12-18 2017-05-30 EMC IP Holding Company LLC Protecting master encryption keys in a distributed computing environment
WO2016131056A1 (en) 2015-02-13 2016-08-18 Visa International Service Association Confidential communication management
US10243739B1 (en) * 2015-03-30 2019-03-26 Amazon Technologies, Inc. Validating using an offload device security component
US10810583B2 (en) * 2016-04-29 2020-10-20 Digital Asset Holdings Digital asset modeling
US9838376B1 (en) 2016-05-11 2017-12-05 Oracle International Corporation Microservices based multi-tenant identity and data security management cloud service
US10581820B2 (en) * 2016-05-11 2020-03-03 Oracle International Corporation Key generation and rollover
US10693638B1 (en) * 2016-12-01 2020-06-23 Amazon Technologies, Inc. Protected cryptographic environment
US10747529B2 (en) * 2016-12-13 2020-08-18 Hitachi, Ltd. Version management system and version management method
EP3376687A1 (en) 2017-03-17 2018-09-19 Xieon Networks S.à r.l. Determination of channel osnr and channel osnr margin at real network conditions
US11750609B2 (en) * 2017-04-28 2023-09-05 Cyberark Software Ltd. Dynamic computing resource access authorization
US10454915B2 (en) * 2017-05-18 2019-10-22 Oracle International Corporation User authentication using kerberos with identity cloud service
US10623186B1 (en) * 2017-11-10 2020-04-14 Amazon Technologies, Inc. Authenticated encryption with multiple contexts
US10922132B1 (en) * 2017-12-11 2021-02-16 Amazon Technologies, Inc. Secure migration of servers from customer networks to service provider systems
US11347868B2 (en) * 2018-04-17 2022-05-31 Domo, Inc Systems and methods for securely managing data in distributed systems
US10909250B2 (en) * 2018-05-02 2021-02-02 Amazon Technologies, Inc. Key management and hardware security integration
US10979403B1 (en) 2018-06-08 2021-04-13 Amazon Technologies, Inc. Cryptographic configuration enforcement
US11075753B2 (en) * 2018-07-11 2021-07-27 Akeyless Security LTD. System and method for cryptographic key fragments management

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63138442A (ja) * 1986-11-29 1988-06-10 Fujitsu Ltd 削除フアイル復元処理方式
JP2000155706A (ja) * 1998-11-19 2000-06-06 Kawasaki Steel Systems R & D Corp オブジェクト指向とリレーショナル・データベースのマッピング方法、装置及びその記録媒体
JP2010524410A (ja) * 2007-04-12 2010-07-15 エヌサイファー・コーポレーション・リミテッド 暗号鍵を識別および管理するための方法およびシステム
US8170213B1 (en) * 2007-12-27 2012-05-01 Emc Corporation Methodology for coordinating centralized key management and encryption keys cached through proxied elements
US8245037B1 (en) * 2009-02-17 2012-08-14 Amazon Technologies, Inc. Encryption key management
US20150074408A1 (en) * 2013-09-10 2015-03-12 Duo Security, Inc. System and method for centralized key distribution
US20160112387A1 (en) * 2013-11-12 2016-04-21 Amazon Technologies, Inc Secure data destruction in a distributed environment using key protection mechanisms
US9379890B1 (en) * 2015-12-07 2016-06-28 Workiva Inc. System and method for managing cryptographic keys
US20180270211A1 (en) * 2017-03-17 2018-09-20 Accenture Global Solutions Limited Extensible key management system for application program interfaces

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
布目拓也: "AWS Key Management Service", AWS BLACK BELT ONLINE SEMINAR, JPN6023031523, 28 September 2016 (2016-09-28), pages 1 - 70, ISSN: 0005124088 *

Also Published As

Publication number Publication date
CN111344997B (zh) 2024-09-13
JP7344204B2 (ja) 2023-09-13
CN111344997A (zh) 2020-06-26
WO2020081271A1 (en) 2020-04-23
US20200127823A1 (en) 2020-04-23
US11258604B2 (en) 2022-02-22
EP3868053A1 (en) 2021-08-25

Similar Documents

Publication Publication Date Title
US11770381B2 (en) Managing security groups for data instances
CN111801923B (zh) 用于多租户身份云服务的资源类型和模式元数据的复制
US11782904B2 (en) Advanced smart contract with decentralized ledger in a multi-tenant environment
US10044723B1 (en) Principal/user operation in the context of a tenant infrastructure
CA3000176C (en) Policy enforcement system
US10009337B1 (en) Child tenant revocation in a multiple tenant environment
CN106462833B (zh) 用于在多租户应用服务器环境中支持多个分区编辑会话的系统和方法
US11916886B2 (en) In-flight data encryption/decryption for a distributed storage platform
US10091212B2 (en) Policy management, enforcement, and audit for data security
JP7344204B2 (ja) 暗号鍵管理システムのサービスインスタンスのリワイヤリング
US11888980B2 (en) Stateless service-mediated security module
CN112889054A (zh) 多租户数据库管理系统中数据库加密的系统和方法
US10341298B1 (en) Security rules for application firewalls
Samuel et al. Enhanced security and authentication mechanism in cloud transactions using HMAC
US20240281344A1 (en) Tenant-level database recovery
US20230409731A1 (en) Native multi-tenant encryption for database system
EP4418123A1 (en) Tenant-level database recovery
US20240146526A1 (en) Management of tenant-specific encryption keys
EP3891641B1 (en) Selective and total query redaction
Alteen et al. Appendix Answers to Review Questions
JP2023184393A (ja) データベースシステムのためのネイティブマルチテナンシ
JP2024153841A (ja) プライバシを用いて不変のデータアクセスログを維持するためのシステムおよび方法
CN117251872A (zh) 用于数据库系统的本地多租户
Kuhn et al. Data Pump

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220624

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220624

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230621

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230808

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230901

R150 Certificate of patent or registration of utility model

Ref document number: 7344204

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150