KR102363080B1 - 우회-불가능한 게이트웨이를 이용한 tpm-기반의 안전한 다자간 컴퓨팅 시스템 - Google Patents

우회-불가능한 게이트웨이를 이용한 tpm-기반의 안전한 다자간 컴퓨팅 시스템 Download PDF

Info

Publication number
KR102363080B1
KR102363080B1 KR1020200054369A KR20200054369A KR102363080B1 KR 102363080 B1 KR102363080 B1 KR 102363080B1 KR 1020200054369 A KR1020200054369 A KR 1020200054369A KR 20200054369 A KR20200054369 A KR 20200054369A KR 102363080 B1 KR102363080 B1 KR 102363080B1
Authority
KR
South Korea
Prior art keywords
gateway
service
tee
client
execution
Prior art date
Application number
KR1020200054369A
Other languages
English (en)
Other versions
KR20200130164A (ko
Inventor
유에치앙 쳉
통신 리
유롱 장
타오 웨이
Original Assignee
바이두 유에스에이 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 바이두 유에스에이 엘엘씨 filed Critical 바이두 유에스에이 엘엘씨
Publication of KR20200130164A publication Critical patent/KR20200130164A/ko
Application granted granted Critical
Publication of KR102363080B1 publication Critical patent/KR102363080B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/127Trusted platform modules [TPM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem

Abstract

본 개시 내용의 실시예들은 다자간 연산 환경에서 신뢰할 수 없는 파티들로 클라이언트(client)의 데이터 유출을 방지하기 위한 시스템을 개시한다. 일 실시예에 따라서, 실행 서비스에 의해 사용자 데이터를 처리(process)하기 위해 네트워크를 통해 사용자의 사용자 디바이스(user device)로부터 서버의 게이트웨이(gateway)(예를 들어, 우회-불가능한 게이트웨이)에서 수신된 요청(request)에 대한 응답으로, 시스템은 악성 코드(malicious code)에 대해 사용자 데이터를 스캔함(scanning)으로써 사용자 데이터를 검열(sanitize)한다. 시스템은 신뢰할 수 있는 실행 환경(trusted execution environment, TEE) 작업자를 다수의 TEE 작업자들로부터 선택하고, 그리고 선택된 TEE 작업자에 의해 실행 서비스의 실행을 개시한다. 시스템은 선택된 TEE 작업자로부터 실행 결과들을 수신한다. 시스템은 사용자의 사용자 디바이스로 실행 결과들을 네트워크를 통해 전송한다.

Description

우회-불가능한 게이트웨이를 이용한 TPM-기반의 안전한 다자간 컴퓨팅 시스템 {A TPM-BASED SECURE MULTIPARTY COMPUTING SYSTEM USING A NON-BYPASSABLE GATEWAY}
본 발명의 실시예들은 일반적으로 안전한 다자간 컴퓨팅(secure multiparty computing)에 관한 것이다. 보다 구체적으로, 본 발명의 실시예들은 우회-불가능한 게이트웨이(a non-bypassable gateway)를 이용한 안전한 다자간 컴퓨팅 시스템에 기초하는 신뢰할 수 있는 플랫폼 모듈(trusted platform module, TPM)에 관한 것이다.
클라우드(cloud) 기반의 서버에 의해 요주의 거래들(sensitive transactions)이 점차적으로 수행되고 있다. 클라우드-기반은 클라우드 서버들로부터 인터넷을 통해 온-디맨드(on-demand) 사용자들이 이용할 수 있게 된 애플리케이션들, 서비스들 또는 리소스들(resources)과 관련된 용어이다. 클라우드 기반 서버들의 다자간 또는 멀티테넌트(multitenant) 특성은 신뢰할 수 없는 파티들(untrusted parties)에 의한 무단 접근으로부터 멀티테넌트 컴퓨팅 환경을 보호하기 위해 필요성이 증가하고 있다. 예를 들어, 연산(computation)중인 경우, 한 파티로부터의 데이터는 신뢰할 수 없는 파티들에 의해 접근될 수 있다. 그러므로, 연산 중에 데이터를 보안할 필요가 있다. 게다가, 암호화 기반의 다자간 연산 솔루션은 느리므로 실용적이지 않을 수 있다.
본 발명의 실시예들은 예시의 수단으로서 도시되고 유사한 참조번호가 유사한 요소들을 나타내는 첨부되는 도면들에서의 도시들로 제한되지 않는다.
도 1은 일 실시예에 따라 우회-불가능한 게이트웨이를 사용한 안전한 다자간 연산에 대한 컴퓨팅 시스템의 시스템 구성의 예시를 도시한 블록 다이어그램(block diagram)이다.
도 2는 일 실시예에 따라 우회-불가능한 게이트웨이의 예시를 도시한 블록 다이어그램이다.
도 3은 일 실시예에 따라 안전한 다자간 컴퓨팅 시스템에 대한 키 등록 프로토콜(key registration protocol)의 예시를 도시한 플로우 차트(flow chart)이다.
도 4는 일 실시예에 따라 안전한 다자간 컴퓨팅 시스템에 대한 실행 서비스 등록 프로토콜의 예시를 도시한 플로우 차트이다.
도 5는 일 실시예에 따라 클라이언트-게이트웨이(client-gateway) 데이터 업로드(upload) 프로토콜의 예시를 도시한 플로우 차트이다.
도 6은 일 실시예에 따라 클라이언트-게이트웨이 데이터 다운로드(download) 프로토콜의 예시를 도시한 플로우 차트이다.
도 7은 일 실시예에 따라 안전한 다자간 컴퓨팅 시스템에 대한 실행 서비스 호출 프로토콜의 예시를 도시한 플로우 차트이다.
도 8은 일 실시예에 따라 방법의 예시를 도시한 플로우 다이어그램이다.
도 9는 일 실시예에 따라 데이터 처리 시스템(data processing system)을 도시한 블록 다이어그램이다.
본 발명의 다양한 실시예들 및 양상들이 아래에서 설명되는 세부사항들을 참조하여 기술될 것이며, 첨부 도면들은 다양한 실시예들을 도시할 것이다. 이후의 설명 및 도면들은 본 발명의 예시일 뿐, 본 발명을 제한하는 것으로 해석되지 않아야 한다. 본 발명의 다양한 실시예들에 대한 전반적인 이해를 제공하기 위해 다수의 구체적인 세부사항들이 기술된다. 그러나, 어떤 경우들에서, 본 발명들의 실시예들의 간결한 설명을 제공하기 위해 공지되거나 종래의 세부사항들은 기술되지 않는다.
본 명세서에서 “일 실시예” 또는 “실시예”에 대한 언급은 실시예들과 함께 기술되는 특정한 특징, 구조, 또는 특성들이 본 발명의 적어도 하나의 실시예에 포함됨을 의미한다. 본 명세서의 다양한 부분들에서 “일 실시예에서”라는 문구의 등장들은 반드시 동일한 실시예를 모두 지칭하는 것은 아니다.
본 개시내용의 실시예들은 다자간 연산 환경에서 신뢰할 수 없는 파티들로 클라이언트(client)의 데이터 유출을 방지하기 위한 시스템을 개시한다. 일 실시예에 따라서, 실행 서비스에 의해 사용자 데이터를 처리(process)하기 위해 네트워크를 통해 사용자의 사용자 디바이스(user device)로부터 서버의 게이트웨이(gateway)(예를 들어, 우회-불가능한 게이트웨이)에서 수신된 요청(request)에 대한 응답으로, 시스템은 악성 코드(malicious code)에 대해 사용자 데이터를 스캔함(scanning)으로써 사용자 데이터를 검열(sanitize)한다. 시스템은 신뢰할 수 있는 실행 환경(trusted execution environment, TEE) 작업자를 다수의 TEE 작업자들로부터 선택하고, 그리고 선택된 TEE 작업자에 의해 실행 서비스의 실행을 개시한다. 시스템은 선택된 TEE 작업자로부터 실행 결과들을 수신한다. 시스템은 사용자의 사용자 디바이스로 실행 결과들을 전송한다.
도 1은 일 실시예에 따라 우회-불가능한 게이트웨이를 사용한 안전한 다자간 연산에 대한 컴퓨팅 시스템의 시스템 구성의 예시를 도시한 블록 다이어그램(block diagram)이다. 도 1을 참조하면, 시스템(100) 구성은 네트워크(103)를 통해 데이터 처리 서버(104)에 통신 가능하게(communicatively) 연결된 하나 이상의 클라이언트 디바이스들(101-102)을 포함하지만, 이들로 인해 제한되지는 않는다. 클라이언트 디바이스들(101-102)은 개인 컴퓨터(예를 들어, 데스크톱들(desktops), 랩톱들(laptops), 그리고 타블랫들(tablets)), "씬(thin)" 클라이언트, 개인 휴대 정보 단말기(PDA), 웹 가능 장치(Web enabled appliance), 스마트 워치, 또는 모바일 폰(예를 들어, 스마트 폰) 등과 같은 클라이언트 디바이스들의 임의의 유형일 수도 있다. 대안적으로, 클라이언트 디바이스들(101-102)은 다른 서버들일 수도 있다. 네트워크(103)는 로컬 영역 네트워크(LAN), 인터넷과 같은 광역 네트워크(WAN) 또는 유선 또는 무선의 조합과 같은 임의의 유형의 네트워크들일 수도 있다. 네트워크(103)를 통한 클라이언트 디바이스들(101-102), 데이터 처리 서버(104) 및 관리 서비스들 서버(160) 사이의 통신은, 예를 들어, TLS/SSL을 통해 보안될 수도 있다.
데이터 처리 서버(예를 들어, 호스트(host))(104)는 웹 또는 클라우드 서버들, 애플리케이션 서버들, 백엔드(backend) 서버들 또는 이들의 조합과 같은 임의의 종류의 서버들 또는 서버들의 클러스터일 수도 있다. 서버(104)는 클라이언트 디바이스들(101-102)과 같은 클라이언트가 서버(104), 키 관리 서버(160), 서비스들 제공자 (161) 또는 클라우드 운영자(162)에 의해 제공되는 리소스들 또는 서비스들에 접근할 수 있도록 허용하는 인터페이스를 포함할 수 있다. 예를 들어, 서버(104)는 또는 클라우드 운영자(162)에 의해 운영되는 데이터 센터(data center)의 서버 또는 클라우드 서버일 수도 있다. 서버(104)는, 예를 들어, 클라우드 저장(storage), 클라우드 컴퓨팅 서비스, 빅 데이터 서비스들, 모델링 서비스들, 머신-러닝(machine-learning) 훈련 서비스들, 데이터 마이닝 서비스들 등과 같은, 다양한 클라우드 서비스들을 클라이언트들에게 제공할 수 있다. 서버(104)는 개인 클라우드, 공용 클라우드 또는 하이브리드 클라우드일 수도 있는 클라우드를 통한 SaaS(Software-as-a-Service) 또는 PaaS(Platform-as-a-Service) 시스템의 일부로 구성될 수도 있다. 인터페이스는 웹 인터페이스, API(application programming interface) 및/또는 CLI(command line interface)를 포함할 수도 있다.
데이터 처리 서버(104)는 보안 부팅(secure boot)을 위해, RAM 디스크 파일 시스템(ramfs)(121) 및 TPM(trusted platform module)(120)과 같은 보안 모듈이 장착된 하나 이상의 CPU(들)(도시되지 않음)를 포함할 수 있다. TPM은 하드웨어 인증을 위해 호스트 시스템에 고유한 암호화 키들 (예를 들어, RSA 암호화 키들)를 저장하는 엔드포인트 디바이스(endpoint device) 상의 특수한 칩이다. TPM 칩 각각은 보증 키들(endorsement keys)(EK) 또는 보증 자격 증명서들(endorsement credentials)(EC), 즉, 루트 키들(root keys)이라고 하는 하나 이상의 RSA 키 페어들(예를 들어, 공개 및 개인 키 페어들)을 포함할 수 있다. 키 페어들은 TPM 칩 내부에 유지되며 소프트웨어로 접근할 수 없다. 승인되지 않은 펌웨어 및 소프트웨어 수정들에 대해 시스템을 보호하기 위해 EK 또는 EC에 의해 펌웨어 및 소프트웨어의 중요 섹션들은 실행되기 전에 해시될 수 있다. 따라서 호스트 기기 상의 TPM 칩은 서버(104)의 보안 부팅을 위한 신뢰의 루트로서 사용될 수 있으므로 서버 (104)의 운영 체제(operating system) 또는 실행 환경(예를 들어, TEE 작업자들(108-109))이 신뢰될 수 있다.
데이터 처리 서버(104)는 우회-불가능한 게이트웨이(106) (예를 들어, 게이트웨이) 및 하나 이상의 신뢰할 수 있는 실행 환경들(108-109)을 포함할 수 있다. 우회-불가능한 게이트웨이(106)는, 클라이언트들(101-102)와 TEE 작업자들(108-109) 사이, KMS(160) 및 TEE 작업자들(108-109)사이, 서비스 제공자(161) 및 TEE 작업자들(108-109) 사이의 데이터 트래픽 및 접근 제어 트래픽을 포함하는 모든 네트워크 트래픽들을 중재하는 신뢰할 수 있는 게이트웨이일 수 있다. 추가적으로, 게이트웨이(106)는 4A 서비스들(예를 들어, 인증(Authentication), 허가(Authorization), 검사(Audit) 또는 보고(Account))를 시행할 수 있고, 그리고 잠재적인 악용들(exploits)을 완화시키기 위해 중재된 네트워크 트래픽들에 기초하여 코드 분석, 방화벽 서비스들 및 데이터 검열을 수행할 수 있다.
일 실시예에서, 게이트웨이(106)는 클라이언트 요청들을 용이하게 하기 위해 클라이언트 디바이스들(101-102)과 통신할 수 있다. 게이트웨이(106)는 상이한 클라이언트들 및/또는 클라이언트 요청들에 대해서 다양한 실행 서비스들을 실행하기 위해, 환경들(108-109)과 같은, 신뢰할 수 있는 실행 환경들을 개시할 수 있다. 여기서, 신뢰할 수 있는 실행 환경들(TEE)은 서로로부터 그리고 서버(104)의 운영 체제로부터 분리된 샌드박스 실행 환경들(sandboxed execution environments)이다. 일 실시 예에서, TEE는 운영 체제와 병렬로 실행되어 TEE에 로드된 코드 및 데이터에 대한 기밀성 및 무결성을 보장할 수 있다. 일 실시예에서, TEE는 독립형 커널(standalone kernel), 네트워킹 및/또는 입력/출력을 갖는 운영 체제 레벨 가상화(예를 들어, Kata 컨테이너(Kata container))를 수행하는 런타임(runtime) 컨테이너일 수 있다. 다른 일 실시 예에서, TEE는 데이터 및 코드를 더 보호하기 위해 하드웨어(예를 들어, TPM) 및 소프트웨어(예를 들어, 인텔 소프트웨어 가드 확장(Intel software guard extension)(SGX))를 모두 사용할 수 있다.
일 실시예에서, 시스템(100)은 컴퓨팅 서버 노드들의 클러스터를 포함하고 서버(104)는 클러스터에서의 컴퓨팅 서버 노드들 중 하나이다. 안정성 및 확장성의 임계값을 유지하기 위해, 클러스터는 신뢰할 수 있고 복제되고, 중복되고, 내결함성(reliable, replicated, redundant, and fault-tolerant, RAFT)인 클러스터 일 수 있다. 참고로, RAFT는 노드들의 집합(예를 들면, 서버(104)를 포함하는)이 그것의 노드 멤버들 중 몇몇의 실패들(failures)에서 살아남을 수 있는 코히어런트 그룹(coherent group)으로서 동작할 수 있도록 허용하는 일치 알고리즘(consensus algorithm)을 의미한다. 예를 들어, 서버(104)의 게이트웨이(106)는 RAFT 클러스터의 일부로서 RAFT 서비스를 실행할 수도 있다. RAFT 서비스의 일부로서, 게이트웨이(106)는 클러스터 내의 노드들 사이에서 상태 기기 및/또는 복제된 로그(log)의 일관된 사본을 유지할 수 있어, 클러스터 내의 소수의 노드들이 실패하더라도 클라이언트들(101-102)은 신뢰할 수 있는 단일의 기기와 상호 작용하는 것으로 나타난다. 리더(leader) 노드를 선택함으로써 클러스터 내의 노드들 사이에 상태 기기 및/또는 복제된 로그의 일관성이 유지될 수 있으며, 여기서 리더 노드는 팔로워(follower) 노드들에 대한 상태 기기/로그 복제를 담당한다. 리더는 정기적으로 하트 비트(heartbeat) 메시지를 보냄으로써 팔로워들에게 그 존재를 알린다. 각 팔로워는 리더로부터 하트 비트가 예상되는 타임아웃(timeout)을 가진다. 타임 아웃은 하트 비트를 수신하면 리셋(reset)된다. 하트 비트가 수신되지 않으면, 팔로워는 상태를 변경하여 새로운 리더를 선정한다. 여기서, 클라이언트 디바이스(101)로부터 서비스 요청은 게이트웨이(106)에 의해 기록될 수 있지만, 요청의 상태는 상태 기기에 기록될 수 있다. 상태 기기/로그는 선택된 리더 노드에 의해 클러스터 내의 서버 노드 간에 복제될 수 있다. 로그된 상태 기기/로그는 클라이언트 요청이 서버가 이후에 작동 불가능하게 되는 이벤트 서버(104)에서 클러스터 내의 임의의 노드들에 의해 서비스될 수 있음을 보장할 수 있다.
일 실시예에서, 게이트웨이(106)는 암호화 키를 획득하도록 키 관리 서버(KMS)(160)와 통신할 수 있다. KMS(160)는 임의의 종류의 서버 일 수도 있다. 서버(160)는 데이터 처리 서버(104)가 키 생성, 인증/검증, 및 비대칭 키들에 대한 키 복수 서비스들, 대칭 키들 및 세션 키들(session keys)와 같이, 서버(160)에 의해 제공되는 키 관리 서비스들에 접근할 수 있도록 허용하는 인터페이스(예를 들어, API 또는 CLI)를 포함할 수 있다. 예를 들어, 게이트웨이(106)는 KMS(160)로부터 임의의 TEE 작업자들(108-109)에 대한 전용 키 페어를 요청할 수 있고 그리고 획득할 수 있다. 게이트웨이(106)는 게이트웨이(106)와 통신하는 다양한 엔티티들(entities)(예를 들어, 클라이언트 디바이스들(101-102) 및 TEE 작업자들(108-109))에 대한 암호화 키들에 대한 요청들과 같은 키 서비스들을 제공하고, 그리고 이러한 키들을 게이트웨이(106)에 포함된 보호된 목록으로 유지할 수 있다. 일 실시예에서, KMS(160)는 Intel SGX 엔클레이브(enclave)와 같은, 보안 엔클레이브에서 실행된다. 다른 일 실시예에서, KMS(160)는 SGX 원격 증명(attestation)을 사용하여 TEE 작업자들을 증명함으로써 TEE 작업자들이 신뢰되도록 보장할 수 있다. 단일 서버로서 도시되었지만, 일부 실시예들에서, 키 관리 서버(160)는 많은 서버들을 나타낼 수 있거나 데이터 처리 서버(104)와 통합될 수도 있다.
서비스 제공자(161)는 임의의 종류의 서버일 수도 있다. 일 실시예에서, 게이트웨이 (106)는 클라이언트 데이터를 서비스 제공자(161)에게 유출하지 않고 클라이언트 디바이스들(101-102)에 의해 요청된 다양한 서비스들을 실행하기 위해 실행기들/소프트웨어 실행 파일들/코드들을 나타내는 실행 서비스 바이너리들을 얻을 수 있도록 서비스 제공자(161)와 통신할 수 있다. 일부 실행 서비스들은 코드 스캔, 빅 데이터 분석, 모델링, 기기 러닝(인공 지능) 추론/훈련 작업들 등을 위한 컴퓨팅 서비스들을 포함할 수 있다. 서버(160)와 유사하게, 서비스 제공자(161)는 데이터 처리 서버 (104)가 서버(160)에 의해 제공되는 서비스 바이너리들에 접근할 수 있도록 허용하는 인터페이스(예를 들어, API 또는 CLI)를 포함할 수 있다. 단일 서버로서 도시되었지만, 몇몇의 실시들 예에서, 서비스 제공자(161)는 많은 서버들을 나타낼 수 있거나, KMS(160) 및/또는 데이터 처리 서버(104)와 통합될 수 있다.
클라우드 운영자(162)는 클라우드 동작 서비스들을 데이터 처리 서버(104)로 제공할 수 있다. 이러한 서비스들은 서버(104)가 포함될 수도 있는 클라우드 네트워크의 관리, 공급 및 구성을 포함한다. 단일 서버로서 도시되었지만, 몇몇의 실시예들에서, 클라우드 운영자(162)는 많은 서버들을 나타낼 수 있거나, KMS(160), 서비스 제공자(161) 및/또는 데이터 처리 서버(104)와 통합될 수 있다.
도 2는 일 실시예에 따라 우회-불가능한 게이트웨이의 예시를 도시한 블록 다이어그램이다. 게이트웨이(106)는 호스트 서버(104)에 대한 모든 네트워크 트래픽을 중재하기 위해 전용화(dedicated)될 수 있고, 그리고 이러한 네트워크 트래픽은 게이트웨이(106)를 통과해야 하며, 예를 들어, 게이트웨이(106)는 우회-불가능하다. 일 실시예에서, 게이트웨이(106)는 요청 수신기(201), 데이터 방화벽/검열기(data firewall/sanitizer)(203), TEE 작업자 선택기/실행기(205), 실행 결과들 리트리버(retriever)/송신기(207)와 같은 모듈들을 포함한다. 요청 수신기(201)는 클라이언트 디바이스들(101-102)로부터 클라이언트 요청을 수신할 수 있다. 클라이언트 요청은 클라이언트 데이터 및 클라이언트 데이터를 사용하여 수행되기 위한 실행 서비스들에 대한 식별자들/명칭들을 포함할 수 있다. 데이터 방화벽/검열기(203)는 수신된 클라이언트 데이터를 스캔하고 검열할 수 있다. 클라이언트 데이터는 서버(104)의 기능에 접근, 제어 또는 수정할 수 있는 코드, 또는 악성 코드에 대한 제거를 위해 플래그 및/또는 스캔될 수 있다. 추가적으로, 데이터 방화벽/검열기(203)는 방화벽으로 작동할 수 있고, 악의적인 침입들을 방지하기 위해 비정상적인 활동들에 대한 트래픽 데이터를 모니터링할 수 있다. TEE 작업자 선택기/실행기(205)는 클라이언트 요청을 서비스하기 위해 TEE 작업자(예를 들어, 도 1의 TEE 작업자들(108-109))를 선택하거나 개시할 수 있다. 실행 결과들 수신기/송신기(207)는 요청된 실행 서비스에 대해 선택된 TEE 작업자로부터 실행 결과들을 수신하고 실행 결과들을 요청 클라이언트 디바이스들(101-102)에 전송할 수 있다.
도 3은 일 실시예에 따라 안전한 다자간 컴퓨팅 시스템에 대한 키 등록 프로토콜의 예시를 도시한 플로우 차트이다. 키 등록 프로토콜은 도 1의 시스템(100)에 의해 수행될 수도 있다. 키 등록 프로토콜은 도 1의 게이트웨이(106)와 같은 게이트웨이와 KMS(160) 사이의 통신 프로토콜일 수 있다. 게이트웨이(106)는 클라이언트 데이터를 암호화/복호화하거나 키를 자신의 신원을 인증해야 하는 엔티티와 연관시키기 위해 키를 요청할 수 있다. 예를 들어, 게이트웨이(106)는 클라이언트 데이터를 암호화/복호화하고, RAMFS(121) 내에 암호화된 클라이언트 데이터를 저장하기 위하여 키를 요청하여, 클라이언트 데이터가 나중에 검색될 수 있도록 한다. 엔티티 인증에 대해서, 엔티티들의 예를 들면, 엔티티들은 TEE 작업자들, 클라이언트 디바이스들 및 네트워크에 연결된 다른 호스트 서버들이 포함하지만, 이에 제한되지 않는다. 도 3을 참고하면, 예(300)는 KMS(160)를 통해 게이트웨이(106)에 의해 대칭 키 또는 비대칭 키 페어를 등록한다. 일 실시예에서, 동작 301에서, 게이트웨이(106)는 KMS(160)와 통신하고, 통신에 대해서 TLS 핸드셰이크(handshake)를 수행한다. TLS 핸드 셰이크 동안, 두 통신 파티들(여기서는 게이트웨이(106) 및 KMS(160))는 서로를 확인/검증하기 위해 메시지를 교환한다. 두 파티들은 암호화 알고리즘을 설정하고 통신 세션에 사용될 세션 키에 동의할 수 있다.
게이트웨이(106)는 보안 모듈(예를 들어, TPM)을 사용하여 신뢰 루트로 부팅되기 때문에 보안 엔티티일 수 있지만, KMS(160)는 보안 부팅을 인식하지 못 할 수도 있다. 유사하게, KMS(160)는 게이트웨이(106)에 의해 신뢰되지 않을 수도 있다. 일 실시예에서, 동작 302에서, 게이트웨이(106)는 KMS(160)가 신뢰할 수 있는 엔티티임을 보장하기 위해 KMS(160)에 대한 증명을 수행한다. 증명에는 KMS(160)에 의해 지원되는 사용 가능한 증명에 따라, TPM 키 증명 또는 Intel SGX, ARM TrustZone, AMD (보안 암호화 가상화) SEV 등의 다양한 유형들의 증명이 포함될 수 있다. 예를 들어, KMS(160)가 Intel SGX 엔클레이브에서 실행되는 경우, 증명은 SGX 원격 증명일 수 있다. 동작 303에서, 게이트웨이(106)는 게이트웨이(106)가 신뢰할 수 있는 엔티티임을 보장하기 위해 게이트웨이(106)에 대한 증명을 수행한다. 일 실시예에서, 시스템의 확장성을 증가시키기 위해, 소프트웨어 기반 가상의 TPM은 다수의 호스트들 또는 서비스 제공자들을 지원하기 위해 게이트웨이(106), KMS(160) 또는 서비스 제공자(들)(161)와 같이, 도 1의 임의의 엔티티들에 의해 사용될 수 있다.
동작 304에서, 게이트웨이(106)는 KMS(160)로부터 키를 요청한다. 여기서, 키는 대칭 키 또는 비대칭 키 페어일 수도 있다. 동작 305에서, KMS(160)는 새로운 키를 생성한다. 동작 306에서, KMS(160)는 키에 서명하고, 그리고 동작 307에서, KMS(160)는 서명된 키를 게이트웨이(106)로 분배한다. 참고로, 게이트웨이(106)는 보호 리스트(예를 들어, 운영 체제의 메모리와 분리된 보호 메모리)에 키들을 기록할 수 있고, 클라이언트 데이터 또는 엔티티 각각에 발행된 특정 키를 식별할 수 있다. 따라서, 게이트웨이(106)는 서버(104)에 대해 키 생성 및 유지 보수 서비스들을 제공하는 것으로 볼 수 있다. 참고로, TLS 핸드 셰이크, 증명 및 키 페어들에 대한 서명 동작들과 같이 전술한 동작들 중 몇몇의 동작들은 선택 사항일 수도 있다.
도 4는 일 실시예에 따라 안전한 다자간 컴퓨팅 시스템에 대한 실행 서비스 등록 프로토콜의 예시를 도시한 플로우 차트이다. 실행 서비스 등록 프로토콜은 TEE 작업자로서 실행 서비스를 등록하기 위해 서비스 제공자(예를 들어, 도 1의 SP(161))와 게이트웨이(예를 들어, 도 1의 게이트웨이(106)) 사이의 통신 프로토콜일 수 있어, 실행 서비스가 게이트웨이와 통신하는 클라이언트에게 사용 가능하게 된다. 실행 서비스 등록 프로토콜 예시(400)는 도 1의 시스템 (100)에 의해 수행될 수도 있다. 도 4를 참고하면, 일 실시예에서, 동작 401에서, SP 161)는 TLS 핸드셰이크 및 게이트웨이(106)에 대한 증명을 수행한다. 상기와 유사하게, 증명은 게이트웨이(106)에 대해 이용 가능한 TPM 기반 또는 임의의 다른 유형들의 증명들일 수 있다. 동작 402에서, SP(161)는 서비스 설명을 가진 서비스 바이너리를 게이트웨이(106)로 전송한다. 일 실시예에서, 서비스 설명은 서비스 바이너리를 검증하기 위한 서명을 포함한다. 동작 403에서, 게이트웨이(106)는 서비스 바이너리의 무결성을 검증하고(예를 들어, 서비스 바이너리는 모든 예상 데이터 패킷들을 포함함), 바이너리를 악성 코드에 대해 스캔한다. 예를 들어, 게이트웨이(106)는 서비스 바이너리에 대한 체크섬(checksum)을 검증할 수도 있다. 게이트웨이(106)는 또한 데이터의 진위성을 검증할 수 있고, 예를 들어, 서비스 바이너리가 SP(161)와 관련될 수도 있다. 동작 404에서, 게이트웨이(106)는 서비스 바이너리를 TEE 작업자(TEE 작업자(108)와 같은)로 등록한다. 동작 405에서, 게이트웨이(106)는 확인을 SP(161)에 전송한다. 참고로, 클라이언트 요청들을 처리하기 위해 상이한 실행 서비스들이 하나 이상의 TEE 작업자들로 등록될 수 있다. 참고로, TLS 핸드 셰이크 및 증명에 대한 동작들과 같이 전술한 동작들 중 몇몇은 선택 사항일 수도 있다.
도 5는 일 실시예에 따라 클라이언트-게이트웨이 데이터 업로드 프로토콜의 예시를 도시한 플로우 차트이다. 클라이언트-게이트웨이 데이터 업로드 프로토콜은 클라이언트 데이터를 게이트웨이에 업로드 하기 위한 클라이언트에 대한 클라이언트(예를 들어, 클라이언트 디바이스들(101-102))와 게이트웨이(도 1의 게이트웨이(106)) 사이의 통신 프로토콜일 수 있다. 클라이언트-게이트웨이 데이터 업로드 프로토콜 예시(500)는 도 1의 시스템(100)에 의해 수행될 수도 있다. 클라이언트 데이터는 클라이언트가 실행 서비스를 호출하기 전, 또는 동시에 업로드 될 수도 있다. 도 5를 참고하면, 동작 501에서, 클라이언트(101)는 TLS 핸드셰이크 및 게이트웨이(106)에 대한 증명을 수행한다. 상기와 유사하게, 증명은 게이트웨이(106)에 대해 이용 가능한 TPM 기반 또는 임의의 다른 유형들의 증명들일 수 있다. 동작 502에서, 클라이언트는 클라이언트 데이터를 게이트웨이(106)에 업로드한다. 클라이언트 데이터는 실행 서비스를 호출하기 위한 입력 데이터일 수 있다. 동작 503에서, 게이트웨이(106)는 KMS로부터 키(들)을 검색하여 클라이언트 데이터를 암호화한다. 키(들)는 도 3에 도시되는 예와 같은 키 등록 프로토콜에 의해 검색될 수 있다. 도 5를 참고하면, 동작 504에서, 게이트웨이(106)는 클라이언트 데이터를 암호화한다. 동작 505에서, 게이트웨이(106)는 암호화된 클라이언트 데이터를 RAMFS(121) 또는 게이트웨이(106)에 의해 액세스 가능한 임의의 메모리 시스템에 저장하고 클라이언트 데이터에 대한 범용 고유 식별자(UUID)를 생성한다. 동작 505에서, 게이트웨이(106)는 UUID를 클라이언트(101)로 리턴한다. UUID는 실행 서비스를 호출하기 위해 클라이언트(101)에 의해 사용되어 후속적으로 업로드 된 클라이언트 데이터를 리콜할 수 있다.
도 6은 일 실시예에 따라 클라이언트-게이트웨이 데이터 다운로드 프로토콜의 예시를 도시한 플로우 차트이다. 클라이언트-게이트웨이 데이터 다운로드 프로토콜은 클라이언트가 게이트웨이로부터 데이터(예를 들어, 실행 결과들)를 다운로드하기 위한 클라이언트(예를 들어, 클라이언트 디바이스들(101-102)과 게이트웨이(도 1의 게이트웨이(106)) 사이의 통신 프로토콜일 수 있다. 클라이언트-게이트웨이 데이터 다운로드 프로토콜 예시(600)는 도 1의 시스템(100)에 의해 수행될 수도 있다. 클라이언트는 게이트웨이(106)로부터 클라이언트와 관련된 임의의 데이터를 다운로드 할 수도 있다. 도 6을 참고하면, 동작 601에서, 클라이언트(101)는 TLS 핸드셰이크 및 게이트웨이(106)에 대한 증명을 수행한다. 상기와 유사하게, 증명은 TPM 기반이거나 게이트웨이(106)에 이용 가능한 다른 유형들의 증명들일 수 있다. 동작 602에서, 클라이언트는 UUID에 의해 데이터 요청을 게이트웨이(106)로 전송한다. 동작 603에서, 게이트웨이(106)는 RAMFS(121)로부터 UUID에 대응하는 데이터를 검색한다. 동작 604에서, 게이트웨이(106)는 데이터와 관련된 암호화 키를 결정하고 데이터를 해독한다. 동작 605에서, 게이트웨이(106)는 데이터를 클라이언트(101)로 리턴한다.
도 7은 일 실시예에 따라 안전한 다자간 컴퓨팅 시스템에 대한 실행 서비스 호출 프로토콜의 예시를 도시한 플로우 차트이다. 실행 서비스 호출 프로토콜은 게이트웨이과 함께 실행 서비스의 호출을 위해, 클라이언트 디바이스(예를 들어, 클라이언트 디바이스들(101-102))와 게이트웨이(예를 들어, 도 1의 게이트웨이(106)) 사이의 통신 프로토콜일 수 있어, 게이트웨이의 TEE 작업자에 의해 실행 서비스가 실행될 수 있게 한다. 실행 서비스 호출 프로토콜 예시(700)는 도 1의 시스템(100)에 의해 수행될 수도 있다. 도 7을 참고하면, 일 실시예에서, 동작 701에서, 클라이언트 디바이스(101)는 서비스 요청을 전송하고 그리고 TLS 핸드셰이크 및 게이트웨이(106)에 대한 증명을 수행한다. 상기와 유사하게, 증명은 게이트웨이(106)에 TPM 기반 또는 게이트웨이(106)에 대해 이용가능한 임의의 다른 유형들의 증명들일 수 있다. 동작 702에서, 클라이언트 디바이스(101)는 서비스 ID 및 데이터 UUID를 게이트웨이(106)에 전송한다. 일 실시예에서, 서비스 ID는 서버(104)에 의해 실행될 실행 서비스(들)을 식별하는 고유 명칭 또는 식별자를 포함한다. 데이터 UUID는 실행 서비스(들)에 대한, 입력 데이터로서, RAMFS(121) 상의 클라이언트 데이터를 식별하는 UUID 일 수 있다. 동작 703에서, 게이트웨이(106)는 UUID를 사용하여 RAMFS(121)로부터 데이터를 검색하고, 데이터를 해독하며, 데이터를 악성 코드에 대해 스캔함으로써 데이터를 더 검열한다. 일 실시예에서, 입력 데이터는 클라이언트 요청의 일부로서 클라이언트 디바이스(101)에 의해 게이트웨이(106)로 직접 전송된다. 동작 704에서, 게이트웨이(106)는 클라이언트 요청을 서비스하기 위해 특정 실행 서비스에 대해 등록된 TEE 작업자(예를 들어, TEE 작업자(108))를 선택한다. 동작 705에서, 게이트웨이(106)는 검색된 데이터를 TEE 작업자(108)에게 전송하고 서비스 실행을 시작한다. 동작 706에서, TEE 작업자는 데이터를 사용하여 실행 서비스를 실행한다. 실행이 완료되면, 동작 707에서, TEE 작업자는 실행 결과들을 게이트웨이(106)로 리턴한다. 동작 708에서, 게이트웨이(106)는 실행 결과들의 사본을 로컬로 암호화하고 저장한다(예를 들어 RAMFS(121)에). 추가적으로, 게이트웨이(106)는 UUID를 생성하고 UUID를 실행 결과들과 연관시킨다. 동작 709에서, 게이트웨이(106)는 실행 결과들 또는 실행 결과들과 관련된 UUID를 클라이언트 디바이스(101)로 리턴한다. 참고로, UUID는 맵핑 테이블에 의해 실행 결과들에 맵핑될 수 있고 그리고 맵핑 테이블은 게이트웨이(106)에 의해 유지될 수 있다. 참고로, TLS 핸드 셰이크 및 증명에 대한 동작들과 같은 몇몇 동작들은 선택 사항일 수 있다.
도 8은 일 실시예에 따라 방법의 예시를 도시한 플로우 다이어그램이다. 프로세스(800)는 소프트웨어, 하드웨어 또는 이들의 조합을 포함할 수 있는 처리 로직에 의해 수행될 수 있다. 예를 들어, 프로세스(800)는 도 1의 데이터 처리 서버(예를 들어, 호스트)(104)의 게이트웨이(106)에 의해 수행될 수 있다. 도 8을 참고하면, 블록(801)에서, 실행 서비스에 의해 사용자 데이터를 처리하기 위해 네트워크를 통해 사용자의 사용자 디바이스로부터 서버의 게이트웨이에서 수신된 요청에 응답하여, 처리 로직은 악성 코드에 대한 사용자 데이터를 스캔함으로써 사용자 데이터를 검열한다. 블록 (802)에서, 처리 로직은 다수의 TEE 작업자들로부터 TEE 작업자를 선택하고 그리고 선택된 TEE 작업자에 의해 실행 서비스의 실행을 개시한다. 블록(803)에서, 처리 로직은 선택된 TEE 작업자로부터 실행 결과들을 수신한다. 블록 (804)에서, 처리 로직은 실행 결과들을 사용자의 사용자 디바이스로 전송한다.
일 실시예에서, 요청은 다수의 사용자들과 연관된 다수의 사용자 디바이스들로부터 수신된 다수의 요청들 중 하나이며, 요청들 각각은 다수의 TEE 작업자들 중 하나 내에서 각각 처리된다. 일 실시예에서, 게이트웨이는 사용자 디바이스가 요청을 전송하기 전에 신뢰되는 것으로 사용자 디바이스에 의해 입증된다.
일 실시예에서, 처리 로직은 클라이언트 요청에 대한 실행 서비스를 호출하기 전에 실행 서비스를 게이트웨이에 등록한다. 다른 일 실시예에서, 서비스를 등록하는 단계는 서비스 바이너리 및 서비스 제공자로부터 서비스의 설명을 수신하는 것에 응답하여 서비스 바이너리의 무결성 및 진위성을 검증하는 단계; 악성 코드에 대해 서비스 바이너리를 스캔하는 단계; 및 다수의 TEE 작업자들 중 하나로서 서비스 바이너리를 등록하는 단계를 포함한다. 또 다른 실시예에서, 서비스 제공자는 서비스 제공자가 서비스 바이너리를 게이트웨이로 전송하기 전에 게이트웨이가 신뢰할 수 있는 것으로 증명한다.
일 실시예에서, 처리 로직은 키 관리 서버(KMS)로부터 클라이언트 데이터를 암호화하기 위한 키를 추가로 획득한다. 다른 일 실시예에서, 공개 키를 획득하는 단계는: 키를 획득하기 위한 요청을 KMS로 게이트웨이에 의해 전송하는 단계; KMS로부터 키를 수신하는 단계를 포함하며, KMS는 대칭 키 또는 키 페어(pair)를 생성하고, 그리고 키는 키의 진위성을 검증하기 위해 게이트웨이에 대하여 KMS에 의해 서명된다. 또 다른 실시예에서, 처리 로직은 KMS를 신뢰할 수 있는 엔티티로 증명하고, KMS는 게이트웨이가 요청을 전송하고, KMS가 요청을 수신하기 전에, 게이트웨이를 신뢰할 수 있는 엔티티로 증명한다.
일 실시예에서, 게이트웨이는 상기 게이트웨이에 대한 네트워크 트래픽에 대해서 인증, 허가, 검사 및 보고를 실시한다. 일 실시예에서, 게이트웨이는 신뢰할 수 있고, 복제되고, 중복되고, 그리고 내결함성(reliable, replicated, redundant, and fault-tolerant, RAFT)인 서비스들을 제공할 수 있다. 일 실시예에서, 게이트웨이는 우회-불가능한(non-bypassable) 게이트웨이이다.
도 9는 일 실시예에 따라 데이터 처리 시스템(data processing system)을 도시한 블록 다이어그램이다. 예를 들어, 시스템(1500)은 예를 들어, 상술한 클라이언트 디바이스 또는 서버와 같은(예를 들어, 상술한 바와 같이 클라이언트들(101-102) 및 서버(104)와 같은), 상술한 임의의 프로세스들 또는 방법들을 수행하는 상술한 임의의 데이터 처리 시스템들을 표시할 수도 있다.
시스템(1500)은 다수의 상이한 구성 요소들을 포함할 수 있다. 이러한 구성 요소들은 집적 회로(IC), 이들의 일부, 개별 전자 디바이스, 컴퓨터 시스템의 애드-인(add-in)카드 또는 마더보드(motherboard)와 같이 회로 보드에 적합한 다른 모듈들, 또는 컴퓨터 시스템의 전체 구조(chassis) 내에 포함된 구성 요소들로서 구현될 수 있다.
참고로, 또한 시스템(1500)은 컴퓨터 시스템의 많은 구성 요소들의 높은 레벨의 뷰(view)를 나타내도록 의도된다. 그러나, 추가적인 구성 요소들이 특정 구현들에 존재할 수도 있으며, 나아가, 도시되는 구성 요소들의 상이한 배열이 다른 구현들에서 발생할 수도 있음을 이해하여야 한다. 시스템(1500)은 데스크탑, 랩탑, 태블릿, 서버, 모바일 폰, 미디어 플레이어(media player), 개인 휴대 정보 단말기(PDA), 스마트 워치, 개인 통신기(communicator), 게임 디바이스, 네트워크 라우터(router)또는 허브, 무선 접근 포인트(AP) 또는 리피터(repeater), 셋-탑(set-top) 박스, 또는 이들의 조합을 표시할 수 있다. 또한, 단일 기기(machine) 또는 시스템만이 도시되어 있지만, 용어 "기기" 또는 "시스템"은 마찬가지로 본 명세서에서 논의된 임의의 하나 이상의 방법론들을 수행하기 위한 명령들의 한 세트를 개별적 또는 공동적으로 실행하는 기기들 또는 시스템들의 임의의 집합을 포함하는 것으로 간주되어야 한다.
일 실시예에서, 시스템(1500)은 버스 또는 인터커넥트(interconnect)(1510)를 통해 프로세서(1501), 메모리(1503) 및 디바이스들(1505-1508)을 포함한다. 프로세서(1501)는 단일 프로세서 또는 단일 프로세서 코어 또는 다중 프로세서 코어가 포함된 다중 프로세서들을 표시할 수도 있다. 프로세서(1501)는 마이크로 프로세서, 중앙 처리 디바이스(CPU) 등과 같은 하나 이상의 범용 프로세서를 나타낼 수 있다. 보다 구체적으로, 프로세서 (1501)는 복합 명령어 집합 컴퓨팅 (CISC) 마이크로 프로세서, 축소 명령어 집합 컴퓨팅 (RISC) 마이크로 프로세서, 훨씬 긴 명령어 워드 (VLIW) 마이크로 프로세서, 또는 다른 명령어 세트들을 구현하는 프로세서, 또는 명령어 세트들의 조합을 구현하는 프로세서들 일 수 있다. 프로세서(1501)는 또한, ASIC (application specific integrated circuit), 셀룰러(cellular) 또는 기저 대역 프로세서(baseband processor), FPGA (Field Programmable Gate Array), DSP (Digital Signal Processor), 네트워크 프로세서, 그래픽 프로세서, 통신 프로세서, 암호화 프로세서, 코-프로세서(co-processeor), 임베디드 프로세서, 또는 명령어들의 처리가 가능한 임의의 다른 유형의 로직과 같은, 하나 이상의 특수-목적(special-purpose) 프로세서들일 수 있다.
초-저전압(ultra-low voltage) 프로세서와 같은 저전력 멀티-코어 프로세서 소켓(socket)일 수도 있는 프로세서(1501)는 시스템의 다양한 구성 요소들과 통신하기 위한 메인 처리 유닛 및 중앙 허브로서 작동할 수도 있다. 이러한 프로세서는 SoC(system on chip)으로서 구현될 수 있다. 프로세서(1501)는 본 명세서에서 논의된 동작들 및 단계들을 수행하기 위한 명령들을 실행하도록 구성된다. 시스템(1500)은 디스플레이 컨트롤러, 그래픽 프로세서 및/또는 디스플레이 디바이스를 포함할 수 있는, 선택적인 그래픽 서브시스템(optional graphics subsystem)(1504)과 통신하는 그래픽 인터페이스를 더 포함할 수도 있다.
프로세서(1501)는 일 실시예에서 주어진 양의 시스템 메모리를 제공하기 위해 다수의 메모리 디바이스들을 통해 구현될 수 있는 메모리(1503)와 통신할 수 있다. 메모리 (1503)는 랜덤 액세스 메모리 (RAM), 동적 RAM (DRAM), 동기식 DRAM (SDRAM), 정적 RAM (SRAM), 또는 다른 유형들의 저장 디바이스들과 같은 하나 이상의 휘발성 저장(volatile storage)(또는 메모리) 디바이스들을 포함할 수 있다. 메모리 (1503)는 프로세서 (1501) 또는 임의의 다른 디바이스에 의해 실행되는 명령들의 시퀀스들을 포함하는 정보를 저장할 수도 있다. 예를 들어, 다양한 운영 체제들, 디바이스 드라이버들, 펌웨어(예를 들어, 입력 출력 기본 시스템 또는 BIOS), 및/또는 애플리케이션의 실행가능 코드 및/또는 데이터들은 메모리(1503)에 로딩되고 프로세서(1501)에 의해 실행될 수 있다. 운영 체제는, 예를 들어, Microsoft®의 Windows® 운영 체제, Apple의 Mac OS®/iOS®, Google의 Android®, Linux®, Unix® 또는 VxWorks와 같은 리얼-타임(real-time) 또는 임베디드 운영 체제들과 같은, 임의의 종류의 운영 체제들일 수 있다.
시스템(1500)은 네트워크 인터페이스 디바이스(들)(1505), 선택적인 입력 디바이스 (들)(1506) 및 다른 선택적인 IO 디바이스(들)(1507)를 포함하는 디바이스들(1505-1508)과 같은 IO 디바이스들을 더 포함할 수 있다. 네트워크 인터페이스 디바이스(1505)는 무선 트랜시버 및/또는 네트워크 인터페이스 카드(NIC)를 포함할 수도 있다. 무선 트랜시버(transceiver)는 WiFi 트랜시버, 적외선 트랜시버, 블루투스 트랜시버, WiMax 트랜시버, 무선 셀룰러 전화 트랜시버, 위성 트랜시버 (예를 들어, GPS (Global Positioning System) 트랜시버), 또는 다른 라디오 주파수(RF) 트랜시버 또는 이들의 조합일 수도 있다. NIC는 이더넷 카드(Ethernet card)일 수도 있습니다.
입력 디바이스(들)(1506)은 마우스, 터치 패드, 터치 감지 스크린(디스플레이 디바이스(1504)와 통합될 수도 있는), 스타일러스(stylus)와 같은 포인터 디바이스, 및/또는 키보드(예를 들어, 물리적 키보드 또는 터치 감지 스크린의 일부분으로 디스플레이된 가상 키보드)일 수도 있다. 예를 들어, 입력 디바이스(1506)는 터치 스크린에 연결된 터치 스크린 컨트롤러를 포함할 수도 있다. 터치 스크린 및 터치 스크린 컨트롤러는, 예를 들어, 터치 스크린과 하나 이상의 접촉점을 결정하기 위한 다른 근접 센서 어레이들 또는 다른 요소들뿐 아니라, 용량성, 저항성, 적외선 및 표면 탄성파(surface acoustic wave) 기술들을 포함하지만 이에 제한 되지 않는, 다수의 터치 감지 기술들 중 임의의 것을 사용하여 발생되는 접촉 및 움직임 또는 이의 중단(brake)을 감지할 수 있다.
IO 디바이스들(1507)은 오디오 디바이스를 포함할 수도 있다. 오디오 디바이스는 음성 인식, 음성 복제, 디지털 기록, 및/또는 전화 기능들과 같은, 음성-가능(voice-enabled) 기능들을 용이하게 하는 스피커 및/또는 마이크로폰을 포함할 수도 있다. 다른 IO 디바이스들(1507)은 범용 직렬 버스(USB) 포트(들), 병렬 포트(들), 직렬 포트(들), 프린터, 네트워크 인터페이스, 버스 브리지 (예를 들어, PCI-PCI 브리지), 센서(들)(예를 들어, 가속도계, 자이로스코프, 자기력계(magnetometer), 광 센서, 나침반, 근접 센서 등과 같은 모션 센서) 또는 이들의 조합을 더 포함할 수도 있다. 디바이스들(1507)은, 사진들 및 비디오 클립들을 녹화하는 것과 같은 카메라 기능들을 용이하게 하기 위해 이용되는 고체촬상소자(charged coupled device, CCD) 또는 상보성 금속산화물 반도체 (complementary metal-oxide semiconductor, CMOS) 광학 센서와 같은 광학 센서를 포함할 수도 있는 이미징 처리 서브 시스템(예를 들어, 카메라)을 더 포함할 수 있다. 특성 센서들은 센서 허브(도시되지 않은)를 통해 인터커넥트(interconnect)(1510)에 연결될 수 있으며, 반면에, 키보드 또는 열 센서와 같은 다른 디바이스들은 시스템(1500)의 특정 구성 또는 설계에 따라 임베디드된 컨트롤러(미도시)에 의해 제어될 수도 있다.
데이터, 애플리케이션들, 하나 이상의 운영 체제들과 같은 정보의 영구 저장을 제공하기 위해, 대용량 저장소(mass storage)(미도시) 또한, 프로세서(1501)에 결합될 수도 있다. 다양한 실시예들에서, 시스템 응답성을 향상시킬 뿐 아니라, 더 얇고 더 가벼운 시스템 설계가 가능하도록, 이러한 대용량 저장소는 솔리드 스테이트 디바이스(solid state device, SSD)를 통해 구현될 수도 있다. 그러나, 다른 실시예들에서, 전원 차단 이벤트들 동안에 컨텍스트 상태(context state) 및 다른 기타 정보의 비-휘발성 저장이 가능하여 시스템 활동들의 재시작에 빠른 전원 공급이 가능하도록 하는 SSD 캐시로서 작동하는 적은 양의 SSD 저장소를 가지는 하드 디스크 드라이브(HDD)를 사용하여 대용량 저장소가 주로 구현될 수도 있다. 또한, 플래시 디바이스는 예를 들어, 직렬 주변 디바이스 인터페이스(SPI)를 통해 프로세서(1501)에 연결될 수도 있다. 이러한 플래시 디바이스는 시스템의 다른 펌웨어뿐만 아니라, 기본 입/출력 소프트웨어(BIOS)를 포함하여 시스템 소프트웨어의 비-휘발성 저장을 제공할 수도 있다.
저장 디바이스(1508)는 본 명세서에서 기술된 임의의 하나 이상의 방법론들 또는 기능들을 구현하는 명령들 또는 소프트웨어의 하나 이상의 세트들(예를 들어, 모듈, 유닛, 및/또는 로직(1528))이 저장된 컴퓨터-접근가능한 저장 매체(1509)(또한, 기기-판독 가능 저장 매체 또는 컴퓨터-판독 가능 매체라고도 하는)를 포함할 수도 있다. 처리 모듈/유닛/로직(1528)은 예를 들어, 도 1의 게이트웨이(106) 또는 호스트 서버(104)와 같은 전술된 임의의 구성 요소들을 나타낼 수도 있다. 처리 모듈/유닛/로직(1528)은 데이터 처리 시스템(1500), 메모리(1503) 및, 기기-접근가능한 저장 매체를 구성하기도 하는 프로세서(1501)에 의해 실행 동안 메모리(1503) 내에 그리고/또는 프로세서(1501) 내에 완전히 또는 적어도 부분적으로 존재할 수 있다. 처리 모듈/유닛/로직(1528)은 추가로 네트워크 인터페이스 디바이스(1505)를 통해 네트워크를 통해 송신되거나 또는 수신될 수도 있다.
컴퓨터-판독 가능 저장 매체(1509)는 또한, 전술한 일부 소프트웨어 기능들을 영구적으로 저장하는데 사용될 수도 있다. 컴퓨터-판독 가능 저장 매체(1509)가 예시적인 실시예에서 단일 매체인 것으로 도시되어 있지만, "컴퓨터-판독 가능 저장 매체"라는 용어는 단일 매체 또는 하나 이상의 명령어들의 세트들을 저장하는 다중 매체(예를 들어, 중앙 또는 분산 데이터베이스, 및/또는 관련된 캐시들 및 서버들)를 포함하는 것으로 간주되어야 한다. "컴퓨터-판독 가능 저장 매체"라는 용어는 또한, 기기에 의해 실행되는 명령들의 세트를 저장 또는 인코딩할 수 있고, 기기가 본 발명의 방법론들 중 임의의 하나 이상을 수행하게 하는 임의의 매체를 포함하는 것으로 간주되어야 한다. 따라서, "컴퓨터-판독 가능 저장 매체"라는 용어는 솔리드-스테이트 메모리, 및 광학 및 자기 매체, 또는 임의의 다른 비-일시적 기기-판독 가능 매체를 포함하지만 이에 제한되지는 않는다.
본 명세서에 기술된 처리 모듈/유닛/로직(1528), 구성요소들 및 다른 특징들은 이산 하드웨어 구성 요소들(discrete hardware components)로서 구현되거나 ASICS, FPGA, DSP 또는 유사한 디바이스들과 같은 하드웨어 구성 요소들의 기능에 통합될 수 있다. 추가적으로, 처리 모듈/유닛/로직(1528)은 하드웨어 디바이스 내에서 펌웨어 또는 기능 회로로서 구현될 수 있다. 또한, 처리 모듈/유닛/로직(1528)은 하드웨어 디바이스들 및 소프트웨어 구성요소들의 임의의 조합으로 구현될 수 있다.
참고로, 시스템(1500)이 데이터 처리 시스템의 다양한 구성 요소들로 도시되어 있지만, 구성 요소들을 상호 연결하는 임의의 특정 아키텍처(architecture) 또는 방식을 나타내도록 의도되지 않았으며; 이러한 세부 사항들은 본 발명의 실시예들과 밀접한 관련이 없다. 또한, 더 적은 구성 요소들 또는 아마도 더 많은 구성 요소들을 가지는 다른 데이터 처리 시스템들, 서버들, 모바일 폰들, 소형 컴퓨터들(handheld computers), 및/또는 네트워크 컴퓨터들이 또한 본 발명의 실시예들과 사용될 수도 있음이 이해될 것이다.
전술한 상세한 설명들의 몇몇 부분들은 컴퓨터 메모리 내의 데이터 비트들에 대한 동작들의 알고리즘 및 상징적 표시들의 관점에서 제시되고 있다. 이러한 알고리즘적 설명들 및 표시들은 데이터 처리 분야의 당업자들이 그들의 작업 내용을 다른 당업자들에게 가장 효과적으로 전달하기 위해 사용되는 방식들이다. 여기서, 알고리즘은 일반적으로, 원하는 결과를 도출하는 일관된 동작들의 시퀀스인 것으로 생각될 수 있다. 동작들은 이러한 물리적 수량들의 물리적 조작들이 요구된다.
그러나, 이들 및 유사한 용어들은 모두 적절한 물리적 수량들과 관련되어야 하며, 이들 수량들에 적용되는 단지 편리한 레이블들일 뿐임을 명심해야 한다. 상기 논의로부터 명백하게 달리 구체적으로 언급되지 않는 한, 설명 전반에 걸쳐, 아래의 청구 범위들에 제시된 것과 같은 용어들을 이용하는 논의들은, 컴퓨터 시스템의 레지스터들 및 메모리들 내의 물리적(전기적) 수량들로 표시된 데이터를 컴퓨터 시스템 메모리들 또는 레지스터들 또는 다른 그러한 정보 저장, 전송 또는 디스플레이 디바이스들 내의 물리적 수량들로 유사하게 표시되는 다른 데이터로 조작 및 변환하는, 컴퓨터 시스템 또는 유사한 전자 컴퓨팅 디바이스의 작동 및 프로세스들을 의미하는 것으로 이해된다.
도면들에서 도시되는 기술들은 하나 이상의 전자 디바이스들에 저장되고 실행되는 코드 및 데이터를 사용하여 구현될 수 있다. 이러한 전자 디바이스들은 비-일시적 컴퓨터-판독 가능 저장 매체(예를 들어, 자기 디스크, 광 디스크, 랜덤 액세스 메모리, 읽기 전용 메모리, 플래시 메모리 디바이스, 위상 변경 메모리) 및 일시적 컴퓨터-판독 가능 전송 매체(예를 들어, 전기, 광학, 음향 또는 기타 형태의 전파 신호(반송파, 적외선 신호, 디지털 신호와 같은))와 같은 컴퓨터-판독 가능 매체를 사용하여 코드 및 데이터를 저장하고 통신한다(네트워크를 통해 내부 및/또는 다른 전자 디바이스와).
전술한 도면들에 도시된 프로세스들 또는 방법들은 하드웨어(예를 들어, 회로, 전용 로직 등), 펌웨어, 소프트웨어 (예를 들어, 비 일시적 컴퓨터 판독 가능 매체에 구현되는) 또는 이들의 조합을 포함하는 처리 로직에 의해 수행될 수도 있다. 프로세스들 또는 방법들이 몇몇 순차적 동작들과 관련하여 위에서 설명되었음에도, 설명된 동작들 중 몇몇은 다른 순서로 수행될 수도 있음을 이해해야 한다. 또한, 몇몇 동작들은 순차적이 아닌 병렬로 수행될 수도 있다.
전술한 명세서에서, 본 발명의 실시예들은 특정 예시적인 실시예들을 참고하여 설명되었다. 다음의 청구 범위들에 기재된 본 발명의 더 넓은 사상 및 범위를 벗어나지 않고 다양한 변형들이 이루어질 수 있음이 명백할 것이다. 따라서, 명세서 및 도면들은 제한적인 의미보다는 예시적인 의미로 간주되어야 한다.

Claims (20)

  1. 신뢰할 수 있는 환경(trusted environment)에서 데이터를 처리(processing)하기 위한 컴퓨터-구현 방법으로서, 상기 방법은:
    실행 서비스에 의해 사용자 데이터를 처리하도록 네트워크를 통해 사용자의 클라이언트로부터 서버의 게이트웨이(gateway)에서 수신한 요청에 대한 응답으로, 악성 코드(malicious code)에 대해 상기 사용자 데이터를 스캔함(scanning)으로써 상기 사용자 데이터를 검열하는(sanitizing) 단계;
    신뢰할 수 있는 실행 환경(trusted execution environment, TEE) 작업자를 복수의 TEE 작업자들로부터 선택하고, 그리고 상기 선택된 TEE 작업자에 의해 상기 실행 서비스의 실행을 개시하는 단계;
    상기 선택된 TEE 작업자로부터 실행 결과들을 수신하는 단계; 및
    상기 네트워크를 통해 상기 사용자의 상기 클라이언트로 상기 실행 결과들을 전송하는 단계;
    를 포함하고,
    클라이언트(client) 요청에 대한 상기 실행 서비스를 호출하기 전에 상기 게이트웨이로 상기 실행 서비스를 등록(registering)하는 단계;
    를 더 포함하고,
    상기 서비스를 등록하는 단계는:
    상기 서비스의 설명(description) 및 서비스 바이너리(binary)를 서비스 제공자로부터 수신하는 것에 대한 응답으로, 상기 서비스 바이너리의 무결성(integrity) 및 진위성(authenticity)을 검증하는 단계;
    악성 코드에 대해 상기 서비스 바이너리를 스캔하는 단계; 및
    복수의 TEE 작업자들 중 하나로서 상기 서비스 바이너리를 등록하는 단계;
    를 포함하는
    컴퓨터-구현 방법.
  2. 제 1 항에 있어서,
    상기 요청은 복수의 사용자들과 관련된 복수의 클라이언트들로부터 수신된 복수의 요청들 중 하나이고, 그리고 상기 요청들 각각은 복수의 TEE 작업자들 각각에 의해 처리되는,
    컴퓨터-구현 방법.
  3. 제 1 항에 있어서,
    상기 게이트웨이는 상기 클라이언트가 상기 요청을 전송하기 이전에 신뢰되는 것으로 상기 클라이언트에 의해 증명되는,
    컴퓨터-구현 방법.

  4. 제 1 항에 있어서,
    상기 서비스 제공자는 상기 서비스 제공자가 상기 서비스 바이너리를 상기 게이트웨이로 전송하기 이전에 상기 게이트웨이를 신뢰할 수 있는 것으로 증명하는,
    컴퓨터-구현 방법.
  5. 제 1 항에 있어서,
    키 관리 서버(key management server, KMS)로부터 클라이언트 데이터를 암호화하기 위한 키(key)를 획득하는 단계;
    를 더 포함하는,
    컴퓨터-구현 방법.
  6. 제 5 항에 있어서,
    상기 키를 획득하는 단계는:
    상기 키를 획득하기 위한 요청을 상기 KMS로 상기 게이트웨이에 의해 전송하는 단계; 및
    상기 KMS로부터 상기 키를 수신하는 단계 - 상기 KMS는 대칭 키 또는 키 페어(pair)를 생성하고, 그리고 상기 키는 상기 키의 진위성을 검증하기 위해 상기 게이트웨이에 대해 상기 KMS에 의해 서명됨 -;
    를 포함하는
    컴퓨터-구현 방법.
  7. 제 6 항에 있어서,
    상기 게이트웨이에 의해, 상기 게이트웨이가 상기 요청을 전송하기 이전에 상기 KMS를 신뢰할 수 있는 엔티티(entity)로 증명하는 단계 - 상기 KMS는 상기 게이트웨이가 상기 요청을 전송하기 이전에 상기 게이트웨이를 신뢰할 수 있는 것으로 증명함 -;
    를 더 포함하는,
    컴퓨터-구현 방법.
  8. 제 1 항에 있어서,
    상기 게이트웨이는 상기 게이트웨이의 네트워크 트래픽(network traffic)에 대해서 인증, 허가, 검사 및 보고를 실시하는,
    컴퓨터-구현 방법.
  9. 제 1 항에 있어서,
    상기 게이트웨이는 신뢰할 수 있고, 복제되고, 중복되고, 그리고 내결함성(reliable, replicated, redundant, and fault-tolerant, RAFT)인 서비스들을 제공하는,
    컴퓨터-구현 방법.
  10. 제 1 항에 있어서,
    상기 게이트웨이는 우회-불가능한(non-bypassable) 게이트웨이인,
    컴퓨터-구현 방법.
  11. 프로세서에 의해 실행되는 경우, 상기 프로세서로 하여금 동작들을 수행하도록 하는 명령들이 저장된 비-일시적 기기-판독 가능 매체로서, 상기 동작들은:
    실행 서비스에 의해 사용자 데이터를 처리하도록 네트워크를 통해 사용자의 클라이언트부터 서버의 게이트웨이에서 수신한 요청에 대한 응답으로, 악성 코드에 대해 상기 사용자 데이터를 스캔함으로써 상기 사용자 데이터를 검열하는 동작;
    신뢰할 수 있는 실행 환경(TEE) 작업자를 복수의 TEE 작업자들로부터 선택하고, 그리고 상기 선택된 TEE 작업자에 의해 상기 실행 서비스의 실행을 개시하는 동작;
    상기 선택된 TEE 작업자로부터 실행 결과들을 수신하는 동작; 및
    상기 네트워크를 통해 상기 사용자의 상기 클라이언트 상기 실행 결과들을 전송하는 동작;
    을 포함하고,
    상기 동작들은, 클라이언트 요청에 대한 상기 실행 서비스를 호출하기 전에 상기 게이트웨이에 상기 실행 서비스를 등록하는 동작;
    을 더 포함하고,
    상기 서비스를 등록하는 동작은:
    상기 서비스의 설명 및 서비스 바이너리를 서비스 제공자로부터 수신하는 것에 대한 응답으로, 상기 서비스 바이너리의 무결성 및 진위성을 검증하는 동작;
    악성 코드에 대해 상기 서비스 바이너리를 스캔하는 동작; 및
    복수의 TEE 작업자들 중 하나로서 상기 서비스 바이너리를 등록하는 동작;
    을 포함하는,
    비-일시적 기기-판독 가능 매체.
  12. 제 11항에 있어서,
    상기 동작들은, 키 관리 서버(KMS)로부터 클라이언트 데이터를 암호화하기 위한 키를 획득하는 동작;
    을 포함하는,
    비-일시적 기기-판독 가능 매체.
  13. 데이터 처리(data processing) 시스템에 있어서,
    프로세서; 및
    상기 프로세서에 의해 실행되는 경우, 상기 프로세서로 하여금 동작들을 수행하도록 하는 명령들을 저장하기 위해 상기 프로세서와 연결된 메모리를 포함하고,
    상기 동작들은:
    실행 서비스에 의해 사용자 데이터를 처리하도록 네트워크를 통해 사용자의 클라이언트부터 서버의 게이트웨이에서 수신한 요청에 대한 응답으로, 악성 코드에 대해 상기 사용자 데이터를 스캔함으로써 상기 사용자 데이터를 검열하는 동작;
    신뢰할 수 있는 실행 환경(TEE) 작업자를 복수의 TEE 작업자들로부터 선택하고, 그리고 상기 선택된 TEE 작업자에 의해 상기 실행 서비스의 실행을 개시하는 동작;
    상기 선택된 TEE 작업자로부터 실행 결과들을 수신하는 동작; 및
    상기 네트워크를 통해 상기 사용자의 상기 클라이언트 상기 실행 결과들을 전송하는 동작;
    을 포함하고,
    상기 동작들은, 클라이언트 요청에 대한 상기 실행 서비스를 호출하기 전에 상기 게이트웨이에 상기 실행 서비스를 등록하는 동작;
    을 더 포함하고,
    상기 서비스를 등록하는 동작은:
    상기 서비스의 설명 및 서비스 바이너리를 서비스 제공자로부터 수신하는 것에 대한 응답으로, 상기 서비스 바이너리의 무결성 및 진위성을 검증하는 동작;
    악성 코드에 대해 상기 서비스 바이너리를 스캔하는 동작; 및
    복수의 TEE 작업자들 중 하나로서 상기 서비스 바이너리를 등록하는 동작;
    을 포함하는,
    데이터 처리 시스템.
  14. 제 13항에 있어서,
    상기 동작들은, 키 관리 서버(KMS)로부터 클라이언트 데이터를 암호화하기 위한 키를 획득하는 동작;
    을 포함하는,
    데이터 처리 시스템.

  15. 삭제
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
KR1020200054369A 2019-05-08 2020-05-07 우회-불가능한 게이트웨이를 이용한 tpm-기반의 안전한 다자간 컴퓨팅 시스템 KR102363080B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/406,797 US11295014B2 (en) 2019-05-08 2019-05-08 TPM-based secure multiparty computing system using a non-bypassable gateway
US16/406,797 2019-05-08

Publications (2)

Publication Number Publication Date
KR20200130164A KR20200130164A (ko) 2020-11-18
KR102363080B1 true KR102363080B1 (ko) 2022-02-14

Family

ID=69804523

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200054369A KR102363080B1 (ko) 2019-05-08 2020-05-07 우회-불가능한 게이트웨이를 이용한 tpm-기반의 안전한 다자간 컴퓨팅 시스템

Country Status (5)

Country Link
US (1) US11295014B2 (ko)
EP (1) EP3736718B1 (ko)
JP (1) JP7000491B2 (ko)
KR (1) KR102363080B1 (ko)
CN (1) CN111917696B (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112600830B (zh) * 2020-12-07 2024-03-26 腾讯科技(深圳)有限公司 业务数据处理方法、装置、电子设备及存储介质
EP4145762B1 (en) 2021-09-06 2023-10-25 Axis AB Method and system for enabling secure processing of data using a processing application
CN114021141A (zh) * 2021-10-29 2022-02-08 中国银联股份有限公司 一种电子设备、可信应用调用方法、装置、设备及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010020728A (ja) * 2008-07-14 2010-01-28 Nippon Telegr & Teleph Corp <Ntt> サービスコンポーネントの擾乱防止方法、およびサービスコンポーネントの擾乱制御装置
US20140317686A1 (en) * 2013-04-22 2014-10-23 Oracle International Corporation System with a trusted execution environment component executed on a secure element
JP2016099837A (ja) * 2014-11-21 2016-05-30 キヤノン株式会社 情報処理装置、サーバ装置、情報処理システム、制御方法及びコンピュータプログラム

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2003241771A1 (en) * 2002-05-28 2003-12-12 Dai Nippon Printing Co., Ltd. Parallel processing system
JP4128849B2 (ja) 2002-10-29 2008-07-30 株式会社東芝 セキュア通信システム、方法及びプログラム
US7463637B2 (en) * 2005-04-14 2008-12-09 Alcatel Lucent Public and private network service management systems and methods
US8341427B2 (en) * 2009-02-16 2012-12-25 Microsoft Corporation Trusted cloud computing and services framework
JP2011114799A (ja) 2009-11-30 2011-06-09 Nippon Telegr & Teleph Corp <Ntt> セキュリティシステム、中継装置、セキュリティ方法、及びプログラム
US9047476B2 (en) * 2011-11-07 2015-06-02 At&T Intellectual Property I, L.P. Browser-based secure desktop applications for open computing platforms
US9319897B2 (en) * 2012-08-15 2016-04-19 Qualcomm Incorporated Secure behavior analysis over trusted execution environment
US9037854B2 (en) 2013-01-22 2015-05-19 Amazon Technologies, Inc. Privileged cryptographic services in a virtualized environment
US9118639B2 (en) * 2013-03-14 2015-08-25 Intel Corporation Trusted data processing in the public cloud
US10007790B2 (en) 2014-06-06 2018-06-26 Empire Technology Development Llc Secure application development and execution
US10061915B1 (en) * 2014-09-03 2018-08-28 Amazon Technologies, Inc. Posture assessment in a secure execution environment
CN105930040A (zh) * 2015-02-27 2016-09-07 三星电子株式会社 包含电子支付系统的电子装置及其操作方法
US10193858B2 (en) * 2015-12-22 2019-01-29 Mcafee, Llc Attestation device custody transfer protocol
US9860195B2 (en) * 2015-12-31 2018-01-02 Hughes Network Systems, Llc Method and system of providing carrier grade NAT (CGN) to a subset of a subscriber base
CN109644153B (zh) 2016-04-12 2020-10-13 伽德诺克斯信息技术有限公司 具有被配置为实现安全锁定的相关设备的特别编程的计算系统及其使用方法
US10592670B2 (en) 2016-06-28 2020-03-17 Intel Corporation Technologies for provisioning and managing secure launch enclave with platform firmware
US10528721B2 (en) * 2016-10-20 2020-01-07 Intel Corporation Trusted packet processing for multi-domain separatization and security
US11044267B2 (en) * 2016-11-30 2021-06-22 Agari Data, Inc. Using a measure of influence of sender in determining a security risk associated with an electronic message
US10521612B2 (en) * 2017-06-21 2019-12-31 Ca, Inc. Hybrid on-premises/software-as-service applications
JP6888445B2 (ja) 2017-07-10 2021-06-16 大日本印刷株式会社 セキュアエレメント、コンピュータプログラム、デバイス、サーバ及びトラステッドアプリケーションのインストレーション方法
GB2566263A (en) * 2017-09-01 2019-03-13 Trustonic Ltd Post-manufacture certificate generation
CN109101822B (zh) 2018-07-10 2021-01-29 西安交通大学 一种解决多方计算中数据隐私泄露问题的方法
CN109241016B (zh) * 2018-08-14 2020-07-07 阿里巴巴集团控股有限公司 多方安全计算方法及装置、电子设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010020728A (ja) * 2008-07-14 2010-01-28 Nippon Telegr & Teleph Corp <Ntt> サービスコンポーネントの擾乱防止方法、およびサービスコンポーネントの擾乱制御装置
US20140317686A1 (en) * 2013-04-22 2014-10-23 Oracle International Corporation System with a trusted execution environment component executed on a secure element
JP2016099837A (ja) * 2014-11-21 2016-05-30 キヤノン株式会社 情報処理装置、サーバ装置、情報処理システム、制御方法及びコンピュータプログラム

Also Published As

Publication number Publication date
EP3736718A1 (en) 2020-11-11
US11295014B2 (en) 2022-04-05
CN111917696A (zh) 2020-11-10
US20200356670A1 (en) 2020-11-12
KR20200130164A (ko) 2020-11-18
EP3736718B1 (en) 2024-01-31
CN111917696B (zh) 2022-09-23
JP2020184326A (ja) 2020-11-12
JP7000491B2 (ja) 2022-01-19

Similar Documents

Publication Publication Date Title
KR102376626B1 (ko) 데이터 처리 가속기의 난독화를 통한 데이터 전송
US11704416B2 (en) Computational operations in enclave computing environments
US11328075B2 (en) Method and system for providing secure communications between a host system and a data processing accelerator
US11799651B2 (en) Data processing accelerator having a security unit to provide root trust services
KR102363080B1 (ko) 우회-불가능한 게이트웨이를 이용한 tpm-기반의 안전한 다자간 컴퓨팅 시스템
US20190392117A1 (en) Secure sharing of license data in computing systems
CN112948139B (zh) 使用交换机向加速器安全地广播消息的系统和方法
WO2022161182A1 (zh) 基于数据流的可信计算的方法及装置
US11574032B2 (en) Systems and methods for signing an AI model with a watermark for a data processing accelerator
US11609766B2 (en) Method and system for protecting data processed by data processing accelerators
US11579928B2 (en) Systems and methods for configuring a watermark unit with watermark algorithms for a data processing accelerator
US11582260B2 (en) Systems and methods for verifying a watermark of an AI model for a data processing accelerator
US11740940B2 (en) Method and system for making an artifical intelligence inference using a watermark-inherited kernel for a data processing accelerator
US20210150406A1 (en) Systems and methods for learning new watermark algorithms for a data processing accelerator
US11516010B2 (en) System and method to securely broadcast a message to accelerators using virtual channels
US11728996B2 (en) System and method to securely broadcast a message to accelerators using virtual channels with switch
KR102565414B1 (ko) 데이터 처리 가속기에 사용되는, 난독화 유닛에 의해 난독화 를 진행하는 데이터 전송

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant