JP7102621B2 - Apiおよび暗号化鍵のシークレット管理システムおよび方法 - Google Patents
Apiおよび暗号化鍵のシークレット管理システムおよび方法 Download PDFInfo
- Publication number
- JP7102621B2 JP7102621B2 JP2021543323A JP2021543323A JP7102621B2 JP 7102621 B2 JP7102621 B2 JP 7102621B2 JP 2021543323 A JP2021543323 A JP 2021543323A JP 2021543323 A JP2021543323 A JP 2021543323A JP 7102621 B2 JP7102621 B2 JP 7102621B2
- Authority
- JP
- Japan
- Prior art keywords
- security module
- hardware security
- hosted
- secret
- transport system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2206/00—Indexing scheme related to dedicated interfaces for computers
- G06F2206/10—Indexing scheme related to storage interfaces for computers, indexing schema related to group G06F3/06
- G06F2206/1012—Load balancing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2131—Lost password, e.g. recovery of lost or forgotten passwords
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Description
インターネットセキュリティは、サイバースペース、eコマース、およびインターネット全般における大きな懸念事項および潜在的な責任の1つである。ハッカーまたは他の悪意ある者によって悪用される可能性のある潜在的な脆弱性には、多くの種類がある。
110 管轄
120 領域
130 マスターレコードハードウェアセキュリティモジュール
140 バックアップレコードハードウェアセキュリティモジュール
150 プライマリキャッシュハードウェアセキュリティモジュール
160 ハードウェアセキュリティモジュールキャッシュプール
170 ソフトウェアコンテナ
180 ソフトウェアコンテナ管理システム
190 プライマリデータベースクラスタ
194 分散レプリカデータベース
198 プライベートサブネット
606 プロセッサ
608 システムメモリ
610 バス
612 ROM
614 RAM
614a インターネット
614b セルラーネットワーク
616 BIOS
630 オペレーティングシステム
632 アプリケーションプログラム
634 他のプログラム/モジュール
636 ドライバ
638 プログラムデータ
640 通信
644a 指
644b スタイラス
644c コンピュータマウスまたはトラックボール
646 インターフェース
648 タッチスクリーン
650 ビデオインターフェース
652a ネットワークインターフェース
656 通信インターフェース
Claims (35)
- 1つ以上のオフサイトの場所でシークレットを管理するためのホスト型シークレット管理トランスポートシステムであって、前記ホスト型シークレット管理トランスポートシステムが、
1つ以上のプロセッサと、一組の命令を格納しているメモリデバイスとを含むサーバを備え、前記一組の命令が、前記1つ以上のプロセッサによって実行されたときに、前記1つ以上のプロセッサに、
構成要素のより大きな機能的グループである2つ以上の管轄の境界を定義することであって、各管轄が独立したマスターレコードを有し、各管轄が2つ以上の領域を含む、定義することと、
前記2つ以上の領域内でプライマリ領域を定義することと、
前記プライマリ領域内の、その管轄のシークレットのプライマリストレージであるマスターレコードハードウェアセキュリティモジュールにアクセスすることであって、前記マスターレコードハードウェアセキュリティモジュールが、その対応する管轄内のシークレットに対するすべての動作に関する真実レコードであり、前記シークレットに対する前記動作が、作成動作、更新動作、および削除動作のうちの1つ以上を含む、アクセスすることと、
前記プライマリ領域ではない、1つ以上のセカンダリ領域を定義することと、
前記1つ以上のセカンダリ領域内の、前記マスターレコードハードウェアセキュリティモジュールからの前記シークレットのデータバックアップが作成される場所であるバックアップレコードハードウェアセキュリティモジュールにアクセスすることと、
前記マスターレコードハードウェアセキュリティモジュールから、複数の異なる会社のマルチテナントシークレット管理を同時にサポートする前記バックアップレコードハードウェアセキュリティモジュールへのライブレプリケーションを実行することと、
前記2つ以上の領域の各々の、前記バックアップレコードハードウェアセキュリティモジュールからライブレプリケーションを受信するプライマリキャッシュハードウェアセキュリティモジュールにアクセスすることと、
前記2つ以上の領域の各々の、ハードウェアセキュリティモジュールキャッシュプールにアクセスすることであって、前記ハードウェアセキュリティモジュールキャッシュプールが、領域内のトラフィックの必要性に応じて前記プライマリキャッシュハードウェアセキュリティモジュールから複製するように拡張可能である、アクセスすることと、
管轄内の前記2つ以上の領域の各々の、ソフトウェアコンテナのクラスタ、および前記ソフトウェアコンテナが利用可能であり適切に動作していることを保証するソフトウェアコンテナ管理システムにアクセスすることと、
ソフトウェアコンテナにおける値の要求を受信することであって、領域のクラスタ内の前記ソフトウェアコンテナからの前記値の要求が、すべての読み出し動作について、前記プライマリキャッシュハードウェアセキュリティモジュールと前記ハードウェアセキュリティモジュールキャッシュプールとの間で負荷分散される、受信することと、を行わせ、
存在しない値が要求された場合に、前記ホスト型シークレット管理トランスポートシステムが前記値の発信元の管轄を調べ、前記要求の発信元の管轄と異なりかつ許容される場合は、前記発信元の管轄に前記値を要求し、次に前記値が、前記要求が発信された前記領域の前記プライマリキャッシュハードウェアセキュリティモジュールにキャッシュされ、次に前記値がライブレプリケーションを介して前記ハードウェアセキュリティモジュールキャッシュプールに配布される、ホスト型シークレット管理トランスポートシステム。 - 前記管轄が、地政学的境界に基づいて定義され、前記地政学的境界が、国、国の連合、または国のグループを含み、前記管轄が、領域を編成するように任意に定義され基づき、単一のグループ、会社、または企業に結合されているシークレットを保持し、前記領域が、前記管轄のうちの1つの中にある地域的方角または国を含む、現実世界の境界によって定義され、前記領域が、同一のクラウドプロバイダ、異なるクラウドプロバイダ、オンプレミスシステム、およびプライベートクラウドのうちの1つ以上に包含された完全に固有のデータセンターに基づき、セカンダリ領域が、プライマリ領域全体が利用可能ではなくなった場合に高い可用性を提供する、請求項1に記載のホスト型シークレット管理トランスポートシステム。
- 前記マスターレコードが、すべての書き込み動作が発生する場所である、請求項1に記載のホスト型シークレット管理トランスポートシステム。
- 緊急事態の間を除いて、前記マスターレコードに対する読み出し動作は発生しない、請求項1に記載のホスト型シークレット管理トランスポートシステム。
- 前記バックアップレコードハードウェアセキュリティモジュールが、データベースロックが発生する可能性を低減または排除するために、前記マスターレコードハードウェアセキュリティモジュールへの負荷を可能な限り低く保持する、請求項1に記載のホスト型シークレット管理トランスポートシステム。
- 前記プライマリキャッシュハードウェアセキュリティモジュールが、その対応する領域内のすべてのキャッシュされた値のプライマリレプリケーションソースとして機能する、請求項1に記載のホスト型シークレット管理トランスポートシステム。
- 前記ホスト型シークレット管理トランスポートシステムが、前記複製された値を前記管轄間で安全に配布して要求の遅延を低減し、前記複製された値を前記プライマリキャッシュハードウェアセキュリティモジュールおよびハードウェアセキュリティモジュールキャッシュプールを介して配布し、一方で前記対応する管轄の前記マスターレコードハードウェアセキュリティモジュールが常に元の値を包含する、請求項1に記載のホスト型シークレット管理トランスポートシステム。
- 前記2つ以上の領域の各々がデータベースクラスタを含み、前記データベースクラスタのうちの1つがプライマリデータベースクラスタとして指定され、データが前記プライマリデータベースクラスタに格納され、前記プライマリデータベースクラスタから、前記データが分散レプリカデータベースにグローバルに複製される、請求項1に記載のホスト型シークレット管理トランスポートシステム。
- 前記プライマリデータベースクラスタに格納される前記データが、前記ホスト型シークレット管理トランスポートシステムで管理される前記シークレットのメタデータであり、前記メタデータが、名前、内部名、バージョン番号、発信元の管轄、および前記値が配布され得る場所を保護するセキュリティポリシーのうちの1つ以上を含む、請求項8に記載のホスト型シークレット管理トランスポートシステム。
- 前記メタデータを単一のエンティティとして格納するのではなく、前記データが、メタデータエンティティを構築するためにレンダリングされるイベントのストリームとして格納される、請求項9に記載のホスト型シークレット管理トランスポートシステム。
- 前記イベントのストリームが、ミューテーション動作の実行を引き起こすすべてのイベントの永続的な監査ログを提供する、請求項10に記載のホスト型シークレット管理トランスポートシステム。
- 前記永続的な監査ログ内のイベントが、異常およびセキュリティの問題について機械学習を使用して分析される、請求項11に記載のホスト型シークレット管理トランスポートシステム。
- クライアントがユーザによって作成され、鍵束に結合されるが、特定の環境の値への前記クライアントのアクセスを制限し、これにより本番値および開発値が交差しないことを保障する、請求項1に記載のホスト型シークレット管理トランスポートシステム。
- 前記クライアントが、前記特定の環境に結合されている、請求項13に記載のホスト型シークレット管理トランスポートシステム。
- 異なる種類の特定の環境が、本番、ステージング、テスト、および開発を含む、請求項13に記載のホスト型シークレット管理トランスポートシステム。
- すべての領域が、前記領域内の前記構成要素のすべてを包含するプライベートサブネットを含み、前記領域のうちの1つ内の他のすべてのシステムが、様々なアベイラビリティーゾーン内のプライベートサブネットに配置されており、これにより、インターネットへの外部接続を介した直接接触のいずれの可能性も排除する、請求項1に記載のホスト型シークレット管理トランスポートシステム。
- 領域間のすべての通信および管轄間の通信は、暗号化された接続によって処理される、請求項1に記載のホスト型シークレット管理トランスポートシステム。
- 1つ以上のオフサイトの場所でシークレットを管理するためのホスト型シークレット管理トランスポート方法であって、前記方法が、
ホスト型シークレット管理トランスポートシステムに含まれる1つ以上のプロセッサにより、構成要素のより大きな機能的グループである2つ以上の管轄の境界を定義することであって、各管轄が独立したマスターレコードを有し、各管轄が2つ以上の領域を含む、定義することと、
前記1つ以上のプロセッサにより、前記2つ以上の領域内でプライマリ領域を定義することと、
前記1つ以上のプロセッサにより、前記プライマリ領域内の、その管轄のシークレットのプライマリストレージであるマスターレコードハードウェアセキュリティモジュールにアクセスすることであって、前記マスターレコードハードウェアセキュリティモジュールが、その対応する管轄内のシークレットに対するすべての動作に関する真実レコードであり、前記シークレットに対する前記動作が、作成動作、更新動作、および削除動作のうちの1つ以上を含む、アクセスすることと、
前記1つ以上のプロセッサにより、前記プライマリ領域ではない、1つ以上のセカンダリ領域を定義することと、
前記1つ以上のプロセッサにより、前記1つ以上のセカンダリ領域内の、前記マスターレコードハードウェアセキュリティモジュールからの前記シークレットのデータバックアップが作成される場所である、バックアップレコードハードウェアセキュリティモジュールにアクセスすることと、
前記1つ以上のプロセッサにより、前記マスターレコードハードウェアセキュリティモジュールから、複数の異なる会社のマルチテナントシークレット管理を同時にサポートする前記バックアップレコードハードウェアセキュリティモジュールへのライブレプリケーションを実行することと、
前記1つ以上のプロセッサにより、前記2つ以上の領域の各々の、前記バックアップレコードハードウェアセキュリティモジュールからライブレプリケーションを受信するプライマリキャッシュハードウェアセキュリティモジュールにアクセスすることと、
前記1つ以上のプロセッサにより、前記2つ以上の領域の各々の、ハードウェアセキュリティモジュールキャッシュプールにアクセスすることであって、前記ハードウェアセキュリティモジュールキャッシュプールが、領域内のトラフィックの必要性に応じて前記プライマリキャッシュハードウェアセキュリティモジュールから複製するように拡張可能である、アクセスすることと、
前記1つ以上のプロセッサにより、管轄内の前記2つ以上の領域の各々の、ソフトウェアコンテナのクラスタ、および前記ソフトウェアコンテナが利用可能であり適切に動作していることを保証するソフトウェアコンテナ管理システムにアクセスすることと、
前記1つ以上のプロセッサにより、ソフトウェアコンテナにおける値の要求を受信することであって、領域のクラスタ内の前記ソフトウェアコンテナからの前記値の要求が、すべての読み出し動作について、前記プライマリキャッシュハードウェアセキュリティモジュールと前記ハードウェアセキュリティモジュールキャッシュプールとの間で負荷分散される、受信することと、を含み、
存在しない値が要求された場合に、前記ホスト型シークレット管理トランスポートシステムが前記値の発信元の管轄を調べ、前記要求の発信元の管轄と異なりかつ許容される場合は、前記発信元の管轄に前記値を要求し、次に前記値が、前記要求が発信された前記領域の前記プライマリキャッシュハードウェアセキュリティモジュールにキャッシュされ、次に前記値がライブレプリケーションを介して前記ハードウェアセキュリティモジュールキャッシュプールに配布される、方法。 - 前記管轄が、地政学的境界に基づいて定義され、前記地政学的境界が、国、国の連合、または国のグループを含み、前記管轄が、領域を編成するように任意に定義され基づき、単一のグループ、会社、または企業に結合されているシークレットを保持し、前記領域が、前記管轄のうちの1つの中にある地域的方角または国を含む、現実世界の境界によって定義され、前記領域が、同一のクラウドプロバイダ、異なるクラウドプロバイダ、オンプレミスシステム、およびプライベートクラウドのうちの1つ以上に包含された完全に固有のデータセンターに基づき、セカンダリ領域が、プライマリ領域全体が利用可能ではなくなった場合に高い可用性を提供する、請求項18に記載の方法。
- 前記マスターレコードが、すべての書き込み動作が発生する場所である、請求項18に記載の方法。
- 緊急事態の間を除いて、前記マスターレコードに対する読み出し動作は発生しない、請求項18に記載の方法。
- 前記バックアップレコードハードウェアセキュリティモジュールが、データベースロックが発生する可能性を低減または排除するために、前記マスターレコードハードウェアセキュリティモジュールへの負荷を可能な限り低く保持する、請求項18に記載の方法。
- 前記プライマリキャッシュハードウェアセキュリティモジュールが、その対応する領域内のすべてのキャッシュされた値のプライマリレプリケーションソースとして機能する、請求項18に記載の方法。
- 前記ホスト型シークレット管理トランスポートシステムが、前記複製された値を前記管轄間で安全に配布して要求の遅延を低減し、前記複製された値を前記プライマリキャッシュハードウェアセキュリティモジュールおよびハードウェアセキュリティモジュールキャッシュプールを介して配布し、一方で前記対応する管轄の前記マスターレコードハードウェアセキュリティモジュールが常に元の値を包含する、請求項18に記載の方法。
- 1つの領域がプライマリデータベースクラスタで指定され、データが前記プライマリデータベースクラスタに格納され、前記プライマリデータベースクラスタから、前記データが各領域に配置された分散レプリカデータベースにグローバルに複製される、請求項18に記載の方法。
- 前記プライマリデータベースクラスタに格納される前記データが、前記ホスト型シークレット管理トランスポートシステムで管理される前記シークレットのメタデータであり、前記メタデータが、名前、内部名、バージョン番号、発信元の管轄、および前記値が配布され得る場所を保護するセキュリティポリシーのうちの1つ以上を含む、請求項25に記載の方法。
- 前記メタデータを単一のエンティティとして格納するのではなく、前記データが、メタデータエンティティを構築するためにレンダリングされるイベントのストリームとして格納される、請求項26に記載の方法。
- 前記イベントのストリームが、ミューテーション動作の実行を引き起こすすべてのイベントの永続的な監査ログを提供する、請求項27に記載の方法。
- 前記永続的な監査ログ内のイベントが、異常およびセキュリティの問題について機械学習を使用して分析される、請求項28に記載の方法。
- クライアントがユーザによって作成され、鍵束に結合されるが、特定の環境の値への前記クライアントのアクセスを制限し、これにより本番値および開発値が交差しないことを保障する、請求項18に記載の方法。
- 前記クライアントが、前記特定の環境に結合されている、請求項30に記載の方法。
- 異なる種類の特定の環境が、本番、ステージング、テスト、および開発を含む、請求項30に記載の方法。
- すべての領域が、前記領域内の前記構成要素のすべてを包含するプライベートサブネットを含み、前記領域のうちの1つ内の他のすべてのシステムが、様々なアベイラビリティーゾーン内のプライベートサブネットに配置されており、これにより、インターネットへの外部接続を介した直接接触のいずれの可能性も排除する、請求項18に記載の方法。
- 領域間のすべての通信および管轄間の通信が、暗号化された接続によって処理される、請求項23に記載の方法。
- 1つ以上のオフサイトの場所でシークレットを管理するためのホスト型シークレット管理トランスポートシステムであって、前記ホスト型シークレット管理トランスポートシステムが、
構成要素のより大きな機能グループである2つ以上の管轄であって、各管轄が独立したマスターレコードを有し、各管轄が少なくともプライマリ領域およびセカンダリ領域をさらに含む2つ以上の領域を含む、2つ以上の管轄と、
その管轄のシークレットのプライマリストレージである、前記プライマリ領域に含まれるマスターレコードハードウェアセキュリティモジュールであって、前記マスターレコードハードウェアセキュリティモジュールが、その対応する管轄内のシークレットに対するすべての動作に関する真実レコードであり、シークレットに対する前記動作は、作成動作、更新動作、および削除動作のうちの1つ以上を含む、マスターレコードハードウェアセキュリティモジュールと、
前記プライマリ領域ではない1つ以上のセカンダリ領域に含まれるバックアップレコードハードウェアセキュリティモジュールであって、複数の異なる会社のマルチテナントシークレット管理を同時にサポートする前記マスターレコードハードウェアセキュリティモジュールからライブレプリケーションを受信し、前記バックアップレコードハードウェアセキュリティモジュールが、前記マスターレコードハードウェアセキュリティモジュールからデータのバックアップが作成される場所である、バックアップレコードハードウェアセキュリティモジュールと、
前記バックアップレコードハードウェアセキュリティモジュールからライブレプリケーションを受信する、前記2つ以上の領域の各々に包含される、プライマリキャッシュハードウェアセキュリティモジュールと、
前記2つ以上の領域の各々に包含されるハードウェアセキュリティモジュールキャッシュプールであって、各ハードウェアセキュリティモジュールキャッシュプールが、領域内のトラフィックの必要性に応じて、その対応するプライマリキャッシュハードウェアセキュリティモジュールから複製するように拡張可能である、ハードウェアセキュリティモジュールキャッシュプールと、
前記2つ以上の領域の各々に含まれるソフトウェアコンテナのクラスタおよびソフトウェアコンテナ管理システムであって、前記ソフトウェアコンテナ管理システムが、前記ソフトウェアコンテナが利用可能であり適切に動作していることを保証し、領域のクラスタ内のソフトウェアコンテナからの要求が、すべての読み出し動作について、前記プライマリキャッシュハードウェアセキュリティモジュールと前記ハードウェアセキュリティモジュールキャッシュプールとの間で負荷分散される、ソフトウェアコンテナのクラスタおよびソフトウェアコンテナ管理システムと、を含み、
存在しない値が要求された場合に、前記ホスト型シークレット管理トランスポートシステムが前記値の発信元の管轄を識別し、前記要求の発信元の管轄と異なりかつ許容される場合は、前記発信元の管轄に前記値を要求し、次に前記値が、前記要求が発信された前記領域の前記プライマリキャッシュハードウェアセキュリティモジュールにキャッシュされ、次に前記値がライブレプリケーションを介して前記ハードウェアセキュリティモジュールキャッシュプールに配布される、ホスト型シークレット管理トランスポートシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/261,443 US11212096B2 (en) | 2019-01-29 | 2019-01-29 | API and encryption key secrets management system and method |
US16/261,443 | 2019-01-29 | ||
PCT/US2020/014641 WO2020159774A1 (en) | 2019-01-29 | 2020-01-22 | Api and encryption key secrets management system and method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022517133A JP2022517133A (ja) | 2022-03-04 |
JP7102621B2 true JP7102621B2 (ja) | 2022-07-19 |
Family
ID=71732869
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021543323A Active JP7102621B2 (ja) | 2019-01-29 | 2020-01-22 | Apiおよび暗号化鍵のシークレット管理システムおよび方法 |
Country Status (8)
Country | Link |
---|---|
US (2) | US11212096B2 (ja) |
EP (2) | EP3903442B1 (ja) |
JP (1) | JP7102621B2 (ja) |
KR (1) | KR102396643B1 (ja) |
CN (1) | CN113498589B (ja) |
AU (1) | AU2020216787B2 (ja) |
CA (1) | CA3126952C (ja) |
WO (1) | WO2020159774A1 (ja) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11212096B2 (en) * | 2019-01-29 | 2021-12-28 | Cellar Door Media, Llc | API and encryption key secrets management system and method |
US11849037B1 (en) * | 2021-02-22 | 2023-12-19 | Amazon Technologies, Inc. | Cross-region replication of secrets |
US11991188B2 (en) | 2021-06-11 | 2024-05-21 | Bank Of America Corporation | Cognitive auditing of client bound data |
US11470182B1 (en) * | 2021-10-04 | 2022-10-11 | Monday.com Ltd. | Multi-region cloud architecture |
US20230155817A1 (en) * | 2021-11-15 | 2023-05-18 | Sap Se | Managing secret values using a secrets manager |
US11997215B2 (en) * | 2022-01-31 | 2024-05-28 | Salesforce, Inc. | Secret protection during software development life cycle |
CN118056379A (zh) * | 2022-06-14 | 2024-05-17 | 微软技术许可有限责任公司 | 开发环境中的生产秘密的缓解 |
US12010003B1 (en) * | 2023-01-26 | 2024-06-11 | Bank Of America Corporation | Systems and methods for deploying automated diagnostic engines for identification of network controls status |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090292914A1 (en) | 2007-02-01 | 2009-11-26 | Huawei Technologies Co., Ltd. | Nodes and systems and methods for distributing group key control message |
JP2011165125A (ja) | 2010-02-15 | 2011-08-25 | Toppan Printing Co Ltd | Icカード発行検査システム及び方法 |
US20150019870A1 (en) | 2008-04-02 | 2015-01-15 | Cisco Technology, Inc. | Master key generation and distribution for storage area network devices |
US20180254901A1 (en) | 2016-05-06 | 2018-09-06 | ZeroDB, Inc. | Method and system for secure delegated access to encrypted data in big data computing clusters |
WO2020159774A1 (en) | 2019-01-29 | 2020-08-06 | CELLAR DOOR MEDIA, LLC dba LOCKR | Api and encryption key secrets management system and method |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7509687B2 (en) | 2002-03-16 | 2009-03-24 | Trustedflow Systems, Inc. | Remotely authenticated operation method |
US8494168B1 (en) * | 2008-04-28 | 2013-07-23 | Netapp, Inc. | Locating cryptographic keys stored in a cache |
EP2651072A3 (en) | 2010-09-20 | 2013-10-23 | Security First Corp. | Systems and methods for secure data sharing |
US9052939B2 (en) * | 2011-05-27 | 2015-06-09 | Red Hat, Inc. | Data compliance management associated with cloud migration events |
US10789373B2 (en) * | 2011-10-31 | 2020-09-29 | Reid Consulting Group, Inc. | System and method for securely storing and sharing information |
US9277026B2 (en) * | 2013-07-03 | 2016-03-01 | Facebook, Inc. | Cache stickiness index for content delivery networking systems |
US9286948B2 (en) * | 2013-07-15 | 2016-03-15 | Advanced Micro Devices, Inc. | Query operations for stacked-die memory device |
US10795985B2 (en) * | 2013-07-18 | 2020-10-06 | Sequitur Labs Inc. | Applications of secured memory areas and secure environments in policy-based access control systems for mobile computing devices |
US9467477B2 (en) * | 2013-11-06 | 2016-10-11 | Intuit Inc. | Method and system for automatically managing secrets in multiple data security jurisdiction zones |
US11210212B2 (en) * | 2017-08-21 | 2021-12-28 | Western Digital Technologies, Inc. | Conflict resolution and garbage collection in distributed databases |
US11442960B2 (en) * | 2019-12-17 | 2022-09-13 | Verizon Patent And Licensing Inc. | Edge key value store for a distributed platform |
US11321324B2 (en) * | 2019-12-31 | 2022-05-03 | Huawei Technologies Co., Ltd. | Systems and methods for cross-region data management in an active-active architecture |
US11469880B2 (en) * | 2020-08-20 | 2022-10-11 | EMC IP Holding Company LLC | Data at rest encryption (DARE) using credential vault |
US11799839B2 (en) * | 2021-03-29 | 2023-10-24 | Oracle International Corporation | Cross-regional replication of keys |
-
2019
- 2019-01-29 US US16/261,443 patent/US11212096B2/en active Active
-
2020
- 2020-01-22 KR KR1020217026973A patent/KR102396643B1/ko active IP Right Grant
- 2020-01-22 CN CN202080011007.7A patent/CN113498589B/zh active Active
- 2020-01-22 EP EP20748376.9A patent/EP3903442B1/en active Active
- 2020-01-22 WO PCT/US2020/014641 patent/WO2020159774A1/en unknown
- 2020-01-22 CA CA3126952A patent/CA3126952C/en active Active
- 2020-01-22 AU AU2020216787A patent/AU2020216787B2/en active Active
- 2020-01-22 EP EP23163549.1A patent/EP4221073A1/en active Pending
- 2020-01-22 JP JP2021543323A patent/JP7102621B2/ja active Active
-
2021
- 2021-12-03 US US17/542,233 patent/US11616647B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090292914A1 (en) | 2007-02-01 | 2009-11-26 | Huawei Technologies Co., Ltd. | Nodes and systems and methods for distributing group key control message |
US20150019870A1 (en) | 2008-04-02 | 2015-01-15 | Cisco Technology, Inc. | Master key generation and distribution for storage area network devices |
JP2011165125A (ja) | 2010-02-15 | 2011-08-25 | Toppan Printing Co Ltd | Icカード発行検査システム及び方法 |
US20180254901A1 (en) | 2016-05-06 | 2018-09-06 | ZeroDB, Inc. | Method and system for secure delegated access to encrypted data in big data computing clusters |
WO2020159774A1 (en) | 2019-01-29 | 2020-08-06 | CELLAR DOOR MEDIA, LLC dba LOCKR | Api and encryption key secrets management system and method |
Also Published As
Publication number | Publication date |
---|---|
CN113498589B (zh) | 2023-03-24 |
US11212096B2 (en) | 2021-12-28 |
CA3126952C (en) | 2022-02-22 |
CA3126952A1 (en) | 2020-08-06 |
EP4221073A1 (en) | 2023-08-02 |
WO2020159774A1 (en) | 2020-08-06 |
US11616647B2 (en) | 2023-03-28 |
KR20210119491A (ko) | 2021-10-05 |
EP3903442A4 (en) | 2022-02-23 |
AU2020216787B2 (en) | 2022-02-03 |
AU2020216787A1 (en) | 2021-08-19 |
EP3903442C0 (en) | 2023-07-19 |
US20200244455A1 (en) | 2020-07-30 |
JP2022517133A (ja) | 2022-03-04 |
CN113498589A (zh) | 2021-10-12 |
KR102396643B1 (ko) | 2022-05-12 |
US20220094539A1 (en) | 2022-03-24 |
EP3903442A1 (en) | 2021-11-03 |
EP3903442B1 (en) | 2023-07-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7102621B2 (ja) | Apiおよび暗号化鍵のシークレット管理システムおよび方法 | |
US11075955B2 (en) | Methods and systems for use in authorizing access to a networked resource | |
US11475137B2 (en) | Distributed data storage by means of authorisation token | |
US11062037B2 (en) | Automated management of confidential data in cloud environments | |
US10614216B2 (en) | Paravirtualized security threat protection of a computer-driven system with networked devices | |
US10726137B2 (en) | Copy protection for secured files | |
US10015173B1 (en) | Systems and methods for location-aware access to cloud data stores | |
US20140007215A1 (en) | Mobile applications platform | |
US10043017B2 (en) | Systems and methods for jurisdiction independent data storage in a multi-vendor cloud environment | |
CA3083722C (en) | Re-encrypting data on a hash chain | |
CN109076054B (zh) | 用于管理单点登录应用程序的加密密钥的系统和方法 | |
US11450069B2 (en) | Systems and methods for a SaaS lens to view obfuscated content | |
KR102005534B1 (ko) | 스마트 기기 기반의 원격 접근 제어 및 멀티 팩터 인증 시스템 | |
US20240121081A1 (en) | Access control using mediated location, attribute, policy, and purpose verification | |
TR2023006911T2 (tr) | Şi̇freli̇ dosya kontrolü |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210816 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210917 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210917 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20210917 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211119 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220207 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220509 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220606 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220706 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7102621 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |