JP6537455B2 - マルチテナント・コンピューティング・インフラストラクチャにおける鍵管理の方法、装置、コンピュータ・プログラム製品、およびクラウド・コンピュート・インフラストラクチャ(マルチテナント環境における鍵管理) - Google Patents
マルチテナント・コンピューティング・インフラストラクチャにおける鍵管理の方法、装置、コンピュータ・プログラム製品、およびクラウド・コンピュート・インフラストラクチャ(マルチテナント環境における鍵管理) Download PDFInfo
- Publication number
- JP6537455B2 JP6537455B2 JP2015562473A JP2015562473A JP6537455B2 JP 6537455 B2 JP6537455 B2 JP 6537455B2 JP 2015562473 A JP2015562473 A JP 2015562473A JP 2015562473 A JP2015562473 A JP 2015562473A JP 6537455 B2 JP6537455 B2 JP 6537455B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- tenant
- management
- virtual
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/601—Broadcast encryption
Description
次に図面を参照すると、図1は、例示的実施形態の諸態様が実行されることが可能である例示の分散データ処理システムの図形表現を示す。分散データ処理システム100は、例示的実施形態の諸態様が実行されることが可能であるコンピュータのネットワークを含むことができる。分散データ処理システム100は、少なくとも1つのネットワーク102を含み、ネットワーク102は、分散データ処理システム100内で合わせて接続された様々なデバイスおよびコンピュータ間に通信リンクを提供するために使用される媒体である。ネットワーク102は、有線、無線通信リンク、または光ファイバケーブルなど、接続を含むことができる。
以下に説明するように、この開示の技法は、「ブロードキャスト暗号化」として知られている既知の鍵管理技法を利用する。以下の段落は、この技法に関するさらなる背景の詳細を提供する。
Km−(i−1)=AES_G(Km−(i),kcd)、ここでkcdは鍵空間固有の定数である。
クラウド・コンピューティングは、最小限の経営努力またはサービスの提供者との対話で迅速にプロビジョニングし、リリースすることができる設定可能なコンピューティング・リソース(例えば、ネットワーク、ネットワーク帯域幅、サーバ、処理、メモリ、ストレージ、アプリケーション、仮想マシン、およびサービス)の共有プールへの便利で、オンデマンドのネットワーク・アクセスを可能にするためのサービス配信のモデルである。このクラウド・モデルは、2009年10月7日付けの、Peter MellおよびTim Granceによる「Draft NIST Working Definition of Cloud Computing」に、より詳細に記載され、定義されるように、少なくとも5つの特徴、少なくとも3つのサービス・モデル、および少なくとも4つの展開モデルを含むことができる。
オンデマンドのセルフサービス:クラウドの顧客が、サービスの提供者との人的対話を必要とせず、必要に応じて自動的に、サーバ時刻およびネットワーク・ストレージのようなコンピューティング機能を一方的にプロビジョニングすることができる。
広範なネットワーク・アクセス:機能は、ネットワークを通じて利用でき、異種のシン・クライアントまたはシック・クライアントのプラットフォーム(例えば、携帯電話、ラップトップ、およびPDA)による利用を促進する標準的機構によりアクセスされる。
リソースのプール:プロバイダのコンピューティング・リソースは、マルチテナント・モデルを使用する複数の消費者に、需要に従って動的に割当ておよび再割当てされる異なる物理リソースおよび仮想リソースを供給するためにプールされる。消費者は一般的に、提供されるリソースの正確な位置について制御できないまたは知識がないという点において、位置独立(location independence)の感覚があるが、より高い抽象レベルの位置(例えば、国、州、またはデータセンタ)を指定することができることがある。
高速伸縮性:機能は、場合によっては自動的に、迅速かつ弾力的にプロビジョニングされて、速やかにスケール・アウトし、迅速に解放されて速やかにスケール・インすることができる。顧客には、プロビジョニングに利用できる機能は無制限であるように見えることが多く、いつ、いかなる量でも購入可能である。
サービスの計測:クラウド・システムは、サービスのタイプ(例えばストレージ、処理、帯域幅、およびアクティブ・ユーザ・アカウント)に適切なある抽象レベルで計測機能を活用することにより、リソースの利用を自動的に制御し、最適化する。利用されるサービスの提供者と消費者の両方に透明性(transparency)を提供して、リソースの利用を、監視、制御、および報告することができる。
サービスとしてのソフトウェア(Software as a Service:SaaS):消費者に提供される機能は、クラウド・インフラストラクチャ上で実行中のプロバイダのアプリケーションを使用することである。アプリケーションは、ウェブ・ブラウザのようなシン・クライアント・インタフェースを通じて様々なクライアント・デバイスからアクセス可能である(例えば、ウェブベースの電子メール)。消費者は、限られたユーザ指定アプリケーションの構成設定の可能性を除いて、ネットワーク、サーバ、オペレーティング・システム、ストレージ、または個々のアプリケーション機能など、根底にあるクラウド・インフラストラクチャを管理または制御しない。
サービスとしてのプラットフォーム(Platform as a Service:PaaS):消費者に提供される機能は、プロバイダによってサポートされるプログラミング言語およびツールを使用して作成された消費者が作成したまたは取得したアプリケーションを、クラウド・インフラストラクチャに配備することである。消費者は、ネットワーク、サーバ、オペレーティング・システム、またはストレージなど、根底にあるクラウド・インフラストラクチャを管理または制御しないが、配備されるアプリケーションおよび場合によってはアプリケーション・ホスト環境の設定を制御する。
サービスとしてのインフラストラクチャ(Infrastructure as aService:IaaS):消費者に提供される機能は、処理、ストレージ、ネットワーク、ならびに消費者がオペレーティング・システムおよびアプリケーションを含むことができる任意のソフトウェアを配備し、実行することができる他の基本的コンピューティング・リソースをプロビジョニングすることである。消費者は、根底にあるクラウド・インフラストラクチャを管理または制御しないが、オペレーティング・システム、ストレージ、配備されるアプリケーションの制御、および場合によっては選択ネットワーキング構成要素(例えばホスト・ファイヤウォール)の限られた制御を行う。
プライベートクラウド:クラウド・インフラストラクチャは、単に組織のために運営される。クラウド・インフラストラクチャは、この組織または第三者によって管理されることが可能であり、自社運用型(on-premises)または他社運用型(off-premises)とすることができる。
コミュニティ・クラウド:クラウド・インフラストラクチャはいくつかの組織によって共有され、共有されるもの(例えば、任務、セキュリティ要件、ポリシー、およびコンプライアンス考慮事項)を有する特定のコミュニティをサポートする。クラウド・インフラストラクチャは、この組織または第三者によって管理されることが可能であり、自社運用型または他社運用型とすることができる。
パブリック・クラウド:クラウド・インフラストラクチャは、一般の人々または大規模な企業団体に利用可能にされ、クラウド・サービスを販売する組織によって所有される。
ハイブリッド・クラウド:クラウド・インフラストラクチャは、固有のエンティティのままでありながら、データおよびアプリケーションの移植を可能にする標準化技術または独自技術(例えば、クラウド間の負荷バランシングのためのクラウド拡張(cloud bursting))によって結合された、2つ以上のクラウド(プライベート、コミュニティ、またはパブリック)の組合せである。
ハードウェアおよびソフトウェア・レイヤ300は、ハードウェア構成要素およびソフトウェア構成要素を含む。ハードウェア構成要素の例には、メインフレーム、一例ではIBM(R)のzSeries(R)システム、RISC(Reduced Instruction Set Computer、縮小命令セット・コンピュータ)アーキテクチャに基づくサーバ、一例ではIBMのpSeries(R)システム、IBMのxSeries(R)システム、IBMのBladeCenter(R)システム、ストレージ・デバイス、ネットワークおよびネットワーキング構成要素が含まれる。ソフトウェア構成要素の例には、ネットワーク・アプリケーション・サーバ・ソフトウェア、一例ではIBMのWebSphere(R)アプリケーション・サーバ・ソフトウェア、およびデータベース・ソフトウェア、一例ではIBMのDB2(R)データベース・ソフトウェアが含まれる。(IBM、zSeries、pSeries、xSeries、BladeCenter、WebSphere、およびDB2は、世界中の多くの管轄で登録されているインターナショナル・ビジネス・マシーンズ(International Business Machines Corporation)の商標である。
仮想化レイヤ302は、仮想エンティティの以下の例を提供することができる抽象化レイヤを提供する。すなわち、仮想サーバ、仮想ストレージ、仮想プライベート・ネットワークなどの仮想ネットワーク、仮想アプリケーションおよびオペレーティング・システム、ならびに仮想クライアントを提供することができる抽象化レイヤを提供する。
上記を背景として、次にこの開示の主題について説明する。以下でわかるように、本明細書の技法は、MKBおよび複数の管理キー・バリアントを用いたブロードキャスト暗号化に基づく仮想鍵管理システムおよびプロトコルを使用して、第三者またはパブリック(クラウド)データセンタ内で実行されているアプリケーションおよびデータの顧客のエンドツーエンドのセキュリティを支援し、このような重要な扱いを要する、個人的なデータが、共同テナント化および仮想化されることが可能となる。以下に説明するように、ブロードキャスト暗号化の管理キー・バリアントが、第三者データセンタ内で使用されて、テナントごとに(顧客ごとに)仮想鍵管理領域を作成し、特定の顧客のデータが、プロバイダのデータセンタのITインフラストラクチャにおいて共同テナント化される、格納される、送信される、または仮想化されるときはいつでも、セキュリティ保護されるようにする。この手法は、顧客のデータ(汎用データと汎用アプリケーションの両方を含む)を他の顧客のデータから分離し、したがって、他のテナント(またはその他)が、データ/アプリケーション/メッセージにアクセスしようとし、これを用いて他のテナントのデータが格納される、実行される、もしくは仮想化される(例えば、同じデータベースもしくはデータ・ストアで格納される、同じウェブ・サーバ、ハイパーバイザ、ルータ内で実行されるなど)ことによる攻撃を阻止する。以下でわかるように、本明細書で使用されるブロードキャスト暗号化は、好ましくは管理キー・バリアントに割り当てられる様々な信頼レベルで、事前にブロードキャストされた(デバイスまたはアプリケーション)キーを使用して対称暗号化の単純化を提案するという点で、共同テナント化および仮想化されたデータを保護するという問題への堅牢なソリューションを提供する。この手法は、他の鍵管理システム、例えばPKIなど、プロトコルおよびインタフェースを導入するという複雑さならびにデータセンタ内のアプリケーションごとの鍵ペアの生成を必要とし、必要もしくは所望され得る様々な信頼レベルを構成しない鍵管理システムを不要にする。さらに、以下でわかるように、この手法はまた、顧客が共同テナント化/共有リソース上の顧客のデータを分離するのに必要な粒度で、システムITリソースを取り消すおよび分類するための統合制御を可能にする。
Claims (16)
- マルチテナント・コンピューティング・インフラストラクチャにおける鍵管理の方法であって、
テナントごとに仮想鍵管理領域を作成することであって、
前記仮想鍵管理領域が、ハードウェア要素上で実行中のサーバを使用して作成され、セキュリティおよび検証のための階層的な信頼レベルにより、前記テナントに固有のキー材料が関連付けられた、前記仮想鍵管理領域をテナントごとに作成することと、
前記キー材料を前記テナントに提供することと、
第1のテナントに固有のキー材料によってセキュアにされた第1のデータを、第2のテナントに固有のキー材料によってセキュアにされた第2のデータから分離することと
を含む、方法。 - それぞれのテナントの仮想鍵管理領域が、前記マルチテナント・コンピューティング・インフラストラクチャの所与の部分と関連付けられる、請求項1に記載の方法。
- 前記テナントに固有の前記キー材料が、1つまたは複数の管理キー・バリアントのセットがそこから導出される仮想管理キー・ブロックを含む、請求項1に記載の方法。
- 前記テナントに固有の前記キー材料が、1つもしくは複数のデバイス・キーのセット、および1つもしくは複数のデバイス識別子のセットをさらに含み、デバイス・キーが、前記仮想管理キー・ブロックから管理キー・バリアントを導出するために使用される暗号キーであり、デバイス識別子が、前記マルチテナント・コンピューティング・インフラストラクチャ内の構成要素と関連付けられ、前記デバイス・キーの所与の1つを適用する前記仮想管理キー・ブロック内の暗号パスを決定するために使用される、請求項3に記載の方法。
- 前記1つまたは複数の管理キー・バリアントを使用して、前記マルチテナント・コンピューティング・インフラストラクチャ内のリソースに1つまたは複数の信頼レベルを関連付けることをさらに含む、請求項4に記載の方法。
- 所与の信頼レベル内の構成要素が、前記所与の信頼レベルよりもセキュアでない信頼レベル内の少なくとも1つのデバイスに対するセキュリティを検証する、請求項5に記載の方法。
- 前記仮想鍵管理領域が、ブロードキャスト暗号方式を使用して作成される、請求項1に記載の方法。
- 装置であって、
プロセッサと、
前記プロセッサによって実行されるとき、マルチテナント・コンピューティング・インフラストラクチャにおける鍵管理の方法を行うコンピュータ・プログラム命令を保持するコンピュータ・メモリとを含み、前記方法が、
テナントごとに仮想鍵管理領域を作成することであって、
前記仮想鍵管理領域が、ハードウェア要素上で実行中のサーバを使用して作成され、セキュリティおよび検証のための階層的な信頼レベルにより、前記テナントに固有のキー材料が関連付けられた、前記仮想鍵管理領域をテナントごとに作成することと、
前記キー材料を前記テナントに提供することと、
第1のテナントに固有のキー材料によってセキュアにされた第1のデータを、第2のテナントに固有のキー材料によってセキュアにされた第2のデータから分離することと
を含む、装置。 - それぞれのテナントの仮想鍵管理領域が、前記マルチテナント・コンピューティング・インフラストラクチャの所与の部分と関連付けられる、請求項8に記載の装置。
- 前記テナントに固有の前記キー材料が、1つまたは複数の管理キー・バリアントのセットがそこから導出される仮想管理キー・ブロックを含む、請求項8に記載の装置。
- 前記テナントに固有の前記キー材料が、1つもしくは複数のデバイス・キーのセット、および1つもしくは複数のデバイス識別子のセットをさらに含み、デバイス・キーが、前記仮想管理キー・ブロックから管理キー・バリアントを導出するために使用される暗号キーであり、デバイス識別子が、前記マルチテナント・コンピューティング・インフラストラクチャ内の構成要素と関連付けられ、前記デバイス・キーの所与の1つを適用する前記仮想管理キー・ブロック内の暗号パスを決定するために使用される、請求項10に記載の装置。
- 前記方法が、前記1つまたは複数の管理キー・バリアントを使用して、前記マルチテナント・コンピューティング・インフラストラクチャ内のリソースに1つまたは複数の信頼レベルを関連付けることをさらに含む、請求項11に記載の装置。
- 所与の信頼レベル内の構成要素が、前記所与の信頼レベルよりもセキュアでない信頼レベル内の少なくとも1つのデバイスに対するセキュリティを検証する、請求項12に記載の装置。
- 前記仮想鍵管理領域が、ブロードキャスト暗号方式を使用して作成される、請求項8に記載の装置。
- 請求項1〜7の何れか1項に記載の方法の各ステップを、コンピュータに実行させる、コンピュータ・プログラム。
- 請求項15に記載の前記コンピュータ・プログラムを、コンピュータ可読媒体に格納した、コンピュータ可読記録媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/838,524 | 2013-03-15 | ||
US13/838,524 US9292673B2 (en) | 2013-03-15 | 2013-03-15 | Virtual key management and isolation of data deployments in multi-tenant environments |
PCT/IB2014/059592 WO2014141045A1 (en) | 2013-03-15 | 2014-03-10 | Key management in multi-tenant environments |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016511610A JP2016511610A (ja) | 2016-04-14 |
JP6537455B2 true JP6537455B2 (ja) | 2019-07-03 |
Family
ID=51535070
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015562473A Active JP6537455B2 (ja) | 2013-03-15 | 2014-03-10 | マルチテナント・コンピューティング・インフラストラクチャにおける鍵管理の方法、装置、コンピュータ・プログラム製品、およびクラウド・コンピュート・インフラストラクチャ(マルチテナント環境における鍵管理) |
Country Status (5)
Country | Link |
---|---|
US (1) | US9292673B2 (ja) |
JP (1) | JP6537455B2 (ja) |
DE (1) | DE112014000357T5 (ja) |
GB (1) | GB2526240B (ja) |
WO (1) | WO2014141045A1 (ja) |
Families Citing this family (78)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4760101B2 (ja) * | 2005-04-07 | 2011-08-31 | ソニー株式会社 | コンテンツ提供システム,コンテンツ再生装置,プログラム,およびコンテンツ再生方法 |
US20100332401A1 (en) | 2009-06-30 | 2010-12-30 | Anand Prahlad | Performing data storage operations with a cloud storage environment, including automatically selecting among multiple cloud storage sites |
US9311664B2 (en) * | 2010-05-25 | 2016-04-12 | Salesforce.Com, Inc. | Systems and methods for automatically collection of performance data in a multi-tenant database system environment |
US8950009B2 (en) | 2012-03-30 | 2015-02-03 | Commvault Systems, Inc. | Information management of data associated with multiple cloud services |
US9262496B2 (en) | 2012-03-30 | 2016-02-16 | Commvault Systems, Inc. | Unified access to personal data |
CN103595551B (zh) * | 2012-08-17 | 2016-12-21 | 杭州华三通信技术有限公司 | 基于mqc实现网络虚拟化的网络管理方法和装置 |
US10346259B2 (en) * | 2012-12-28 | 2019-07-09 | Commvault Systems, Inc. | Data recovery using a cloud-based remote data recovery center |
JP6379513B2 (ja) * | 2013-03-15 | 2018-08-29 | 株式会社リコー | 情報処理システム、情報処理システムの制御方法、情報処理装置、情報処理装置の制御方法及びプログラム |
KR20140129712A (ko) * | 2013-04-30 | 2014-11-07 | 킹스정보통신(주) | 클라우드 컴퓨팅 환경에서 인쇄 문서상의 기밀정보 보안 시스템 및 그 방법 |
US9396338B2 (en) | 2013-10-15 | 2016-07-19 | Intuit Inc. | Method and system for providing a secure secrets proxy |
US9384362B2 (en) | 2013-10-14 | 2016-07-05 | Intuit Inc. | Method and system for distributing secrets |
US9894069B2 (en) | 2013-11-01 | 2018-02-13 | Intuit Inc. | Method and system for automatically managing secret application and maintenance |
US9444818B2 (en) | 2013-11-01 | 2016-09-13 | Intuit Inc. | Method and system for automatically managing secure communications in multiple communications jurisdiction zones |
US9467477B2 (en) | 2013-11-06 | 2016-10-11 | Intuit Inc. | Method and system for automatically managing secrets in multiple data security jurisdiction zones |
US9282122B2 (en) * | 2014-04-30 | 2016-03-08 | Intuit Inc. | Method and apparatus for multi-tenancy secrets management |
US10021084B2 (en) * | 2014-10-28 | 2018-07-10 | Open Text Sa Ulc | Systems and methods for credentialing of non-local requestors in decoupled systems utilizing a domain local authenticator |
US9608810B1 (en) * | 2015-02-05 | 2017-03-28 | Ionic Security Inc. | Systems and methods for encryption and provision of information security using platform services |
US9928377B2 (en) * | 2015-03-19 | 2018-03-27 | Netskope, Inc. | Systems and methods of monitoring and controlling enterprise information stored on a cloud computing service (CCS) |
US9516000B2 (en) * | 2015-03-27 | 2016-12-06 | International Business Machines Corporation | Runtime instantiation of broadcast encryption schemes |
JP2016208073A (ja) * | 2015-04-15 | 2016-12-08 | キヤノン株式会社 | 情報処理システム、該システムの制御方法、プログラム及び情報処理装置 |
US9906361B1 (en) | 2015-06-26 | 2018-02-27 | EMC IP Holding Company LLC | Storage system with master key hierarchy configured for efficient shredding of stored encrypted data items |
US9779269B1 (en) | 2015-08-06 | 2017-10-03 | EMC IP Holding Company LLC | Storage system comprising per-tenant encryption keys supporting deduplication across multiple tenants |
US10778435B1 (en) * | 2015-12-30 | 2020-09-15 | Jpmorgan Chase Bank, N.A. | Systems and methods for enhanced mobile device authentication |
US11403418B2 (en) | 2018-08-30 | 2022-08-02 | Netskope, Inc. | Enriching document metadata using contextual information |
US10326744B1 (en) | 2016-03-21 | 2019-06-18 | EMC IP Holding Company LLC | Security layer for containers in multi-tenant environments |
US10057273B1 (en) * | 2016-03-30 | 2018-08-21 | EMC IP Holding Company LLC | System and method for ensuring per tenant mutual exclusion of data and administrative entities with low latency and high scale |
US10447670B2 (en) | 2016-07-28 | 2019-10-15 | Red Hat Israel, Ltd. | Secret keys management in a virtualized data-center |
US10255202B2 (en) | 2016-09-30 | 2019-04-09 | Intel Corporation | Multi-tenant encryption for storage class memory |
US10031735B2 (en) | 2016-09-30 | 2018-07-24 | International Business Machines Corporation | Secure deployment of applications in a cloud computing platform |
US10439803B2 (en) * | 2016-11-14 | 2019-10-08 | Microsoft Technology Licensing, Llc | Secure key management |
US10284557B1 (en) * | 2016-11-17 | 2019-05-07 | EMC IP Holding Company LLC | Secure data proxy for cloud computing environments |
CA3051851A1 (en) * | 2017-01-26 | 2018-08-02 | Semper Fortis Solutions, LLC | Multiple single levels of security (msls) in a multi-tenant cloud |
US10693640B2 (en) * | 2017-03-17 | 2020-06-23 | International Business Machines Corporation | Use of key metadata during write and read operations in a dispersed storage network memory |
US11108858B2 (en) | 2017-03-28 | 2021-08-31 | Commvault Systems, Inc. | Archiving mail servers via a simple mail transfer protocol (SMTP) server |
US11074138B2 (en) | 2017-03-29 | 2021-07-27 | Commvault Systems, Inc. | Multi-streaming backup operations for mailboxes |
US11128437B1 (en) | 2017-03-30 | 2021-09-21 | EMC IP Holding Company LLC | Distributed ledger for peer-to-peer cloud resource sharing |
US11221939B2 (en) | 2017-03-31 | 2022-01-11 | Commvault Systems, Inc. | Managing data from internet of things devices in a vehicle |
US11294786B2 (en) | 2017-03-31 | 2022-04-05 | Commvault Systems, Inc. | Management of internet of things devices |
US10552294B2 (en) | 2017-03-31 | 2020-02-04 | Commvault Systems, Inc. | Management of internet of things devices |
US10936711B2 (en) * | 2017-04-18 | 2021-03-02 | Intuit Inc. | Systems and mechanism to control the lifetime of an access token dynamically based on access token use |
US10673628B1 (en) * | 2017-04-27 | 2020-06-02 | EMC IP Holding Company LLC | Authentication and authorization token management using life key service |
US20190004973A1 (en) * | 2017-06-28 | 2019-01-03 | Intel Corporation | Multi-key cryptographic memory protection |
US10419446B2 (en) * | 2017-07-10 | 2019-09-17 | Cisco Technology, Inc. | End-to-end policy management for a chain of administrative domains |
US10834113B2 (en) | 2017-07-25 | 2020-11-10 | Netskope, Inc. | Compact logging of network traffic events |
US10848494B2 (en) * | 2017-08-14 | 2020-11-24 | Microsoft Technology Licensing, Llc | Compliance boundaries for multi-tenant cloud environment |
CN109842589A (zh) * | 2017-11-27 | 2019-06-04 | 中兴通讯股份有限公司 | 一种云存储加密方法、装置、设备及存储介质 |
US10635829B1 (en) | 2017-11-28 | 2020-04-28 | Intuit Inc. | Method and system for granting permissions to parties within an organization |
CN107959689B (zh) * | 2018-01-10 | 2020-09-25 | 北京工业大学 | 一种云平台租户网络隔离测试方法 |
US11063745B1 (en) | 2018-02-13 | 2021-07-13 | EMC IP Holding Company LLC | Distributed ledger for multi-cloud service automation |
US10891198B2 (en) | 2018-07-30 | 2021-01-12 | Commvault Systems, Inc. | Storing data to cloud libraries in cloud native formats |
US10708247B2 (en) * | 2018-09-27 | 2020-07-07 | Intel Corporation | Technologies for providing secure utilization of tenant keys |
US11128460B2 (en) | 2018-12-04 | 2021-09-21 | EMC IP Holding Company LLC | Client-side encryption supporting deduplication across single or multiple tenants in a storage system |
US11416641B2 (en) | 2019-01-24 | 2022-08-16 | Netskope, Inc. | Incident-driven introspection for data loss prevention |
US10768971B2 (en) | 2019-01-30 | 2020-09-08 | Commvault Systems, Inc. | Cross-hypervisor live mount of backed up virtual machine data |
US11159499B2 (en) * | 2019-01-31 | 2021-10-26 | Salesforce.Com, Inc. | Conveying encrypted electronic data |
US11238174B2 (en) * | 2019-01-31 | 2022-02-01 | Salesforce.Com, Inc. | Systems and methods of database encryption in a multitenant database management system |
US11032352B2 (en) | 2019-01-31 | 2021-06-08 | Salesforce.Com, Inc. | Conveying encrypted electronic data from a device outside a multitenant system via the multitenant system to a recipient device that is a tenant device associated with the multitenant system |
US10873586B2 (en) | 2019-03-19 | 2020-12-22 | Capital One Services, Llc | Systems and methods for secure data access control |
US11102196B2 (en) | 2019-04-06 | 2021-08-24 | International Business Machines Corporation | Authenticating API service invocations |
US11366723B2 (en) | 2019-04-30 | 2022-06-21 | Commvault Systems, Inc. | Data storage management system for holistic protection and migration of serverless applications across multi-cloud computing environments |
US11461184B2 (en) | 2019-06-17 | 2022-10-04 | Commvault Systems, Inc. | Data storage management system for protecting cloud-based data including on-demand protection, recovery, and migration of databases-as-a-service and/or serverless database management systems |
US20210011816A1 (en) | 2019-07-10 | 2021-01-14 | Commvault Systems, Inc. | Preparing containerized applications for backup using a backup services container in a container-orchestration pod |
US11539678B2 (en) * | 2019-08-16 | 2022-12-27 | Red Hat, Inc. | Asymmetric key management for cloud computing services |
WO2021055935A1 (en) * | 2019-09-21 | 2021-03-25 | Proofpoint, Inc. | Method to enable shared saas multi-tenancy using customer data storage, customer controlled data encryption keys |
CN111177776A (zh) * | 2019-12-20 | 2020-05-19 | 平安资产管理有限责任公司 | 多租户数据隔离方法与系统 |
US11019033B1 (en) | 2019-12-27 | 2021-05-25 | EMC IP Holding Company LLC | Trust domain secure enclaves in cloud infrastructure |
US11467753B2 (en) | 2020-02-14 | 2022-10-11 | Commvault Systems, Inc. | On-demand restore of virtual machine data |
US11321188B2 (en) | 2020-03-02 | 2022-05-03 | Commvault Systems, Inc. | Platform-agnostic containerized application data protection |
US11422900B2 (en) | 2020-03-02 | 2022-08-23 | Commvault Systems, Inc. | Platform-agnostic containerized application data protection |
US11442768B2 (en) | 2020-03-12 | 2022-09-13 | Commvault Systems, Inc. | Cross-hypervisor live recovery of virtual machines |
US11455416B2 (en) | 2020-05-01 | 2022-09-27 | Kyndryl, Inc. | Record-level sensitivity-based data storage in a hybrid multi cloud environment |
US11748143B2 (en) | 2020-05-15 | 2023-09-05 | Commvault Systems, Inc. | Live mount of virtual machines in a public cloud computing environment |
US11611540B2 (en) * | 2020-07-01 | 2023-03-21 | Vmware, Inc. | Protection of authentication data of a server cluster |
US11314687B2 (en) | 2020-09-24 | 2022-04-26 | Commvault Systems, Inc. | Container data mover for migrating data between distributed data storage systems integrated with application orchestrators |
CA3205303A1 (en) * | 2021-01-18 | 2022-07-21 | Fredrik Haard | Methods and systems for secure and reliable integration of healthcare practice operations, management, administrative and financial software systems |
US11604706B2 (en) | 2021-02-02 | 2023-03-14 | Commvault Systems, Inc. | Back up and restore related data on different cloud storage tiers |
US11575508B2 (en) | 2021-06-02 | 2023-02-07 | International Business Machines Corporation | Unified HSM and key management service |
US11475158B1 (en) | 2021-07-26 | 2022-10-18 | Netskope, Inc. | Customized deep learning classifier for detecting organization sensitive data in images on premises |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6118873A (en) | 1998-04-24 | 2000-09-12 | International Business Machines Corporation | System for encrypting broadcast programs in the presence of compromised receiver devices |
CN100499799C (zh) * | 2000-12-22 | 2009-06-10 | 爱迪德艾恩德霍芬公司 | 提供对被传送数据的有条件访问的传输系统 |
US7516331B2 (en) * | 2003-11-26 | 2009-04-07 | International Business Machines Corporation | Tamper-resistant trusted java virtual machine and method of using the same |
US7590867B2 (en) * | 2004-06-24 | 2009-09-15 | Intel Corporation | Method and apparatus for providing secure virtualization of a trusted platform module |
US20060265338A1 (en) | 2005-05-17 | 2006-11-23 | Rutkowski Matt F | System and method for usage based key management rebinding using logical partitions |
US8325926B2 (en) | 2006-02-07 | 2012-12-04 | International Business Machines Corporation | Method for providing a broadcast encryption based home security system |
JP4735331B2 (ja) * | 2006-03-01 | 2011-07-27 | 日本電気株式会社 | 仮想マシンを利用した情報処理装置および情報処理システム、並びに、アクセス制御方法 |
US8094819B1 (en) | 2006-07-28 | 2012-01-10 | Rockwell Collins, Inc. | Method and apparatus for high agility cryptographic key manager |
US7778421B2 (en) | 2007-02-12 | 2010-08-17 | International Business Machines Corporation | Method for controlling access to encrypted content using multiple broadcast encryption based control blocks |
WO2008146639A1 (ja) * | 2007-05-23 | 2008-12-04 | Nec Corporation | 情報共有システム、コンピュータ、プロジェクト管理サーバ及びそれらに用いる情報共有方法 |
EP2278514B1 (en) * | 2009-07-16 | 2018-05-30 | Alcatel Lucent | System and method for providing secure virtual machines |
US20110276490A1 (en) * | 2010-05-07 | 2011-11-10 | Microsoft Corporation | Security service level agreements with publicly verifiable proofs of compliance |
AU2011261831B2 (en) * | 2010-06-02 | 2014-03-20 | VMware LLC | Securing customer virtual machines in a multi-tenant cloud |
US8412673B2 (en) * | 2010-07-30 | 2013-04-02 | Sap Ag | Persistence of master data in a multi-tenant software delivery architecture |
US9015493B2 (en) * | 2010-09-16 | 2015-04-21 | Microsoft Technology Licensing, Llc | Multitenant-aware protection service |
US8700906B2 (en) * | 2011-01-14 | 2014-04-15 | Microsoft Corporation | Secure computing in multi-tenant data centers |
US10248442B2 (en) * | 2012-07-12 | 2019-04-02 | Unisys Corporation | Automated provisioning of virtual machines |
CN102916954B (zh) * | 2012-10-15 | 2015-04-01 | 南京邮电大学 | 一种基于属性加密的云计算安全访问控制方法 |
-
2013
- 2013-03-15 US US13/838,524 patent/US9292673B2/en active Active
-
2014
- 2014-03-10 DE DE112014000357.3T patent/DE112014000357T5/de active Pending
- 2014-03-10 GB GB1517231.5A patent/GB2526240B/en active Active
- 2014-03-10 JP JP2015562473A patent/JP6537455B2/ja active Active
- 2014-03-10 WO PCT/IB2014/059592 patent/WO2014141045A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
US20140283010A1 (en) | 2014-09-18 |
US9292673B2 (en) | 2016-03-22 |
JP2016511610A (ja) | 2016-04-14 |
WO2014141045A1 (en) | 2014-09-18 |
DE112014000357T5 (de) | 2015-10-08 |
GB201517231D0 (en) | 2015-11-11 |
GB2526240B (en) | 2019-06-05 |
GB2526240A (en) | 2015-11-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6537455B2 (ja) | マルチテナント・コンピューティング・インフラストラクチャにおける鍵管理の方法、装置、コンピュータ・プログラム製品、およびクラウド・コンピュート・インフラストラクチャ(マルチテナント環境における鍵管理) | |
US11044236B2 (en) | Protecting sensitive information in single sign-on (SSO) to the cloud | |
Chandramouli et al. | Cryptographic key management issues and challenges in cloud services | |
US9846778B1 (en) | Encrypted boot volume access in resource-on-demand environments | |
US9426155B2 (en) | Extending infrastructure security to services in a cloud computing environment | |
JP7110339B2 (ja) | セキュア・プロセッサ・ベースのクラウド・コンピューティング環境において情報を保護するための方法、装置、およびコンピュータ・プログラム | |
US10509914B1 (en) | Data policy implementation in a tag-based policy architecture | |
WO2014194494A1 (zh) | 数据安全的保护方法、服务器、主机及系统 | |
Meghanathan | Review of access control models for cloud computing | |
Abbadi et al. | A framework for establishing trust in the cloud | |
EP2702744B1 (en) | Method for securely creating a new user identity within an existing cloud account in a cloud system | |
CA3117713C (en) | Authorization with a preloaded certificate | |
US10931453B2 (en) | Distributed encryption keys for tokens in a cloud environment | |
KR20210122288A (ko) | 하드웨어 보안 모듈에 대한 보안 게스트들의 보안 키들의 바인딩 | |
JP2021500782A (ja) | セキュアな環境内のツール用のセキュアなアクセス管理方法、コンピュータ・プログラム、およびシステム | |
CN115373796A (zh) | 具有分区和动态混洗模型更新的联合学习 | |
US9864853B2 (en) | Enhanced security mechanism for authentication of users of a system | |
Chavan et al. | IaaS cloud security | |
Cyril et al. | Cloud computing data security issues, challenges, architecture and methods-A survey | |
US9509503B1 (en) | Encrypted boot volume access in resource-on-demand environments | |
Anilkumar et al. | Security strategies for cloud identity management—A study | |
Abbadi et al. | Secure virtual layer management in clouds | |
Vijaya Bharati et al. | Data storage security in cloud using a functional encryption algorithm | |
US11032708B2 (en) | Securing public WLAN hotspot network access | |
Mudgal et al. | ‘International journal of engineering sciences & research technology enhancing data security using encryption and splitting technique over multi-cloud environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180508 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180730 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190108 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190214 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190514 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190604 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6537455 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |