NL2029790B1 - Key management for crypto processors attached to other processing units - Google Patents

Key management for crypto processors attached to other processing units Download PDF

Info

Publication number
NL2029790B1
NL2029790B1 NL2029790A NL2029790A NL2029790B1 NL 2029790 B1 NL2029790 B1 NL 2029790B1 NL 2029790 A NL2029790 A NL 2029790A NL 2029790 A NL2029790 A NL 2029790A NL 2029790 B1 NL2029790 B1 NL 2029790B1
Authority
NL
Netherlands
Prior art keywords
key
tenant
workload
cryptographic
handle
Prior art date
Application number
NL2029790A
Other languages
English (en)
Other versions
NL2029790A (en
Inventor
Kounavis Michael
M Smith Ned
Wang Junyuan
Guo Kaijie
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of NL2029790A publication Critical patent/NL2029790A/en
Application granted granted Critical
Publication of NL2029790B1 publication Critical patent/NL2029790B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Claims (25)

1. Een computersysteem, omvattende: een werkbelastingsprocessor die toekenbaar is in een veelheid van tenantslices, waarbij elke respectievelijke tenantslice ten minste een gedeelte van een afzonderlijke respectievelijke werkbelasting dient uit te voeren; een cryptografische engine die gekoppeld is met de werkbelastingsprocessor; een geheugen dat gekoppeld is met de cryptografische engine, waarbij het geheugen een sleuteltabel dient op te slaan; een sleutelverstrekker die gekoppeld is met het geheugen, waarbij de sleutelverstrekker één of meer substraten en logica die gekoppeld is met de één of meer substraten omvat, waarbij de logica ten minste gedeeltelijk geïmplementeerd is in één of meer configureerbare logica of vastefunctionaliteithardwarelogica, waarbij de logica dient om: een afzonderlijke tenantsleutel te verstrekken voor elke werkbelasting, waarbij elke tenantsleutel opgeslagen is ìn de sleuteltabel met een geassocieerd uniek sleutelhandvat en een hulpbronidentificator voor een afzonderlijk exemplaar van de veelheid van tenantslices die toegekend zijn aan de respectievelijke werkbelasting; elke respectievelijke tenantsleutel te verschaffen aan een respectievelijke verzoeker van elke werkbelasting; en voor elke werkbelasting het respectievelijke sleutelhandvat te verschaffen aan de toegekende tenantslice, waarbij de tenantslice het sleutelhandvat dient te gebruiken om een cryptografische handeling te verrichten, via de cryptografische engine, op een ingepakte datasleutel die geassocieerd is met de werkbelasting.
2. Het systeem volgens conclusie 1, waarbij om het sleutelhandvat te gebruiken om een cryptografische handeling te verrichten, via de cryptografische engine, de tenantslice het sleutelhandvat dient te verschaffen aan de cryptografische engine, waarbij de cryptografische engine toegang dient te verkrijgen, op basis van het sleutelhandvat, tot de geassocieerde tenantsleutel in de sleuteltabel voor gebruik bij het verrichten van de cryptografische handeling.
3. Het systeem volgens conclusie 1 of 2, waarbij de cryptografische handeling de ingepakte datasleutel die geassocieerd is met de werkbelasting, dient te ontsleutelen met behulp van de tenantsleutel om een uitgepakte datasleutel te genereren.
4. Het systeem volgens conclusie 1, 2, of 3, waarbij de cryptografische engine de uitgepakte datasleutel dient te gebruiken in een tweede cryptografische handeling, waarbij de tweede cryptografische handeling codetekst die geassocieerd is met de respectievelijke werkbelasting dient te ontsleutelen naar ongecodeerde tekst, en waarbij de cryptografische engine de ongecodeerde tekst dient te verschaffen aan de toegekende tenantslice.
5. Het systeem volgens conclusie 1, 2, 3 of 4, waarbij de tenantsleutel een openbaar- privésleutelpaar omvat, waarbij het verschaffen van elke respectievelijke tenantsleutel aan een respectievelijke verzoeker van elke werkbelasting het verzenden van enkel de openbare sleutel van het sleutelpaar naar de werkbelastingsverzoeker omvat, en waarbij het toegang verkrijgen tot de geassocieerde tenantsleutel op basis van het sleutelhandvat het toegang verkrijgen tot de privésleutel van het sleutelpaar omvat.
6. Het systeem volgens één van conclusies 1 — 5, waarbij de logica verder een tweede datasleutel dient te verstrekken, voor elke werkbelasting, voor gebruik bij het versleutelen van de respectievelijke werkbelastingsresultaten.
7. Een halfgeleiderapparaat, omvattende: één of meer substraten; en logica die gekoppeld is met de één of meer substraten, waarbij de logica ten minste gedeeltelijk geïmplementeerd is in één of meer configureerbare logica of vastefunctionaliteithardwarelogica, waarbij de logica die gekoppeld is met de één of meer substraten dient om: een afzonderlijke tenantsleutel te verstrekken voor elk van een veelheid van werkbelastingen, waarbij elke tenantsleutel opgeslagen is in een sleuteltabel met een geassocieerd uniek sleutelhandvat en een hulpbronidentificator voor een afzonderlijk exemplaar van een veelheid van tenantslices, waarbij elke respectievelijke tenantslice ten minste een gedeelte van een afzonderlijke respectievelijke werkbelasting dient uit te voeren; elke respectievelijke tenantsleutel te verschaffen aan een respectievelijke verzoeker van elke werkbelasting; en het respectievelijke sleutelhandvat te verschaffen, voor elke werkbelasting, aan de toegekende tenantslice, waarbij de tenantslice het sleutelhandvat dient te gebruiken om een cryptografische handeling te verrichten, via een cryptografische engine, op een ingepakte datasleutel die geassocieerd is met de werkbelasting.
8. Het halfgeleiderapparaat volgens conclusie 7, waarbij om het sleutelhandvat te gebruiken om de cryptografische handeling te verrichten, via de cryptografische engine, de tenantslice het sleutelhandvat dient te verschaffen aan de cryptografische engine, waarbij de cryptografische engine toegang dient te verkrijgen, op basis van het sleutelhandvat, tot de geassocieerde tenantsleutel in de sleuteltabel voor gebruik bij het verrichten van de cryptografische handeling.
9. Het halfgeleiderapparaat volgens conclusie 7 of 8, waarbij de cryptografische handeling de ingepakte datasleutel die geassocieerd is met de werkbelasting dient te ontsleutelen, met behulp van de tenantsleutel, om een uitgepakte datasleutel te genereren.
10. Het halfgeleiderapparaat volgens conclusie 7, 8 of 9, waarbij de cryptografische engine de uitgepakte datasleutel dient te gebruiken in een tweede cryptografische handeling, waarbij de tweede cryptografische handeling codetekst die geassocieerd is met de respectievelijke werkbelasting, dient te ontsleutelen naar ongecodeerde tekst, en waarbij de cryptografische engine de ongecodeerde tekst dient te verschaffen aan de toegekende tenantslice.
11. Het halfgeleiderapparaat volgens conclusie 7, 8, 9 of 10, waarbij de tenantsleutel een openbaar-privésleutelpaar omvat, waarbij het verschaffen van elke respectievelijke tenantsleutel aan een respectievelijke verzoeker van elke werkbelasting het verzenden van enkel de publieke sleutel van het sleutelpaar naar de werkbelastingsverzoeker omvat, en waarbij het toegang verkrijgen, op basis van het sleutelhandvat, tot de geassocieerde tenantsleutel in de sleuteltabel het toegang verkrijgen tot de privésleutel van het sleutelpaar omvat, en waarbij de logica verder een tweede datasleutel dient te verstrekken, voor elke werkbelasting, voor gebruik bij het versleutelen van de respectievelijke werkbelastingsresultaten.
12. Het halfgeleiderapparaat volgens één van conclusies 7 — 11, waarbij de logica die gekoppeld is met de één of meer substraten transistorkanaalgebieden omvat die gepositioneerd zijn binnen de één of meer substraten.
13. Ten minste één niet-vergankelijk computerleesbaar opslagmedium dat een reeks instructies omvat, die indien die uitgevoerd worden door een computersysteem, bewerkstelligen dat het computersysteem: een afzonderlijke tenantsleutel verstrekt voor elk van een veelheid van werkbelastingen, waarbij elke tenantsleutel opgeslagen is in een sleuteltabel met een geassocieerd uniek sleutelhandvat en een hulpbronidentificator voor een afzonderlijk exemplaar van een veelheid van tenantslices, waarbij elke respectievelijke tenantslice ten minste een gedeelte van een afzonderlijke respectievelijke werkbelasting dient uit te voeren; elke respectievelijke tenantsleutel verschaft aan een respectievelijke verzoeker van elke werkbelasting; en het respectievelijke sleutelhandvat verschaft, voor elke werkbelasting, aan de toegekende tenantslice, waarbij de tenantslice het sleutelhandvat dient te gebruiken om een cryptografische handeling te verrichten, via een cryptografische engine, op een ingepakte datasleutel die geassocieerd is met de werkbelasting.
14. Het ten minste ene niet-vergankelijke computerleesbare opslagmedium volgens conclusie 13, waarbij om het sleutelhandvat te gebruiken om de cryptografische handeling te verrichten, via de cryptografische engine, de tenantslice het sleutelhandvat dient te verschaffen aan de cryptografische engine, waarbij de cryptografische engine toegang dient te verkrijgen, op basis van het sleutelhandvat, tot de geassocieerde tenantsleutel in de sleuteltabel voor gebruik bij het verrichten van de cryptografische handeling.
15. Het ten minste ene niet-vergankelijke computerleesbare opslagmedium volgens conclusie 13 of 14, waarbij de cryptografische handeling de verpakte datasleutel die geassocieerd is met de werkbelasting dient te ontcijferen, met behulp van de tenantsleutel, om een uitgepakte datasleutel te genereren.
16. Het ten minste ene niet-vergankelijke computerieesbare opslagmedium volgens conclusie 13, 14 of 15, waarbij de cryptografische engine de uitgepakte datasleutel dient te gebruiken in een tweede cryptografische handeling, waarbij de tweede cryptografische handeling codetekst die geassocieerd is met de respectievelijke werkbelasting dient te ontsleutelen naar ongecodeerde tekst, en waarbij de cryptografische engine de ongecodeerde tekst dient te verschaffen aan de toegekende tenantslice.
17. Het ten minste ene niet-vergankelijke computerleesbare opslagmedium volgens conclusie 13, 14, 15 of 18, waarbij de tenantsleutel een openbaar-privésleutelpaar omvat, waarbij het verschaffen van elke respectievelijke tenantsleutel aan een respectievelijke verzoeker van elke werkbelasting het verzenden van enkel de publieke sleutel van het sleutelpaar naar de werkbelastingsverzoeker omvat, en waarbij het toegang verkrijgen, op basis van het sleutelhandvat, tot de geassocieerde tenantsleutel in de sleuteltabel het toegang verkrijgen tot de privésleutel van het sleutelpaar omvat.
18. Het ten minste ene niet-vergankelijke computerleesbare opslagmedium volgens één van conclusies 13 — 17, waarbij de instructies, indien die uitgevoerd worden, verder bewerkstelligen dat het computersysteem een tweede datasleutel verschaft, voor elke werkbelasting, voor gebruik bij het versleutelen van de respectievelijke werkbelastingsresultaten.
19. Een werkwijze, omvattende: het verstrekken van een afzonderlijke tenantsleutel voor elk van een veelheid van werkbelastingen, waarbij elke tenantsleutel opgeslagen is in een sleuteltabel met een geassocieerd uniek sleutelhandvat en een hulpbronidentificator voor een afzonderlijk exemplaar van een veelheid van tenantslices, waarbij elke respectievelijke tenantslice ten minste een gedeelte van een afzonderlijke respectievelijke werkbelasting dient uit te voeren; het verschaffen van elke respectievelijke tenantsleutel aan een respectievelijke verzoeker van elke werkbelasting; en het verschaffen, voor elke werkbelasting, van het respectievelijke sleutelhandvat aan de toegekende tenantslice, waarbij de tenantslice het sleutelhandvat gebruikt om een cryptografische handeling te verrichten, via een cryptografische engine, op een ingepakte datasleutel die geassocieerd is met de werkbelasting.
20. De werkwijze volgens conclusie 19, waarbij het gebruiken van het sleutelhandvat om de cryptografische handeling te verrichten, via de cryptografische engine, het verschaffen van het sleutelhandvat aan de cryptografische engine omvat, waarbij de cryptografische engine toegang verkrijgt, op basis van het sleutelhandvat, tot de geassocieerde tenantsleutel in de sleuteltabel voor gebruik bij het verrichten van de cryptografische handeling.
21. De werkwijze volgens conclusie 19 of 20, waarbij de cryptografische handeling het versleutelen, met behulp van de tenantsleutel, van de ingepakte datasleutel die geassocieerd is met de werkbelasting om een uitgepakte datasleutel te genereren, omvat.
22. De werkwijze volgens conclusie 19, 20 of 21, die verder het gebruiken, door de cryptografische engine, van de uitgepakte datasleutel in een tweede cryptografische handeling omvat, waarbij de tweede cryptografische handeling het ontsleutelen van codetekst die geassocieerd is met de respectievelijke werkbelasting naar ongecodeerde tekst, omvat, en waarbij de cryptografische engine verder de ongecodeerde tekst verschaft aan de toegekende tenantslice.
23. De werkwijze volgens conclusie 19, 20, 21 of 22, waarbij de tenantsleutel een openbaar-privésleutelpaar omvat, waarbij het verschaffen van elke respectievelijke tenantsleutel aan een respectievelijke verzoeker van elke werkbelasting het verzenden van enkel de publieke sleutel van het sleutelpaar naar de werkbelastingsverzoeker omvat, en waarbij het toegang verkrijgen, op basis van het sleutelhandvat, tot de geassocieerde tenantsleutel in de sleuteltabel het toegang verkrijgen tot de privésleutel van het sleutelpaar omvat.
24. De werkwijze volgens één van conclusies 19 — 23, die verder het verstrekken, voor elke werkbelasting, van een tweede datasleutel omvat voor gebruik bij het versleutelen van de respectievelijke werkbelastingsresultaten.
25. Een apparaat dat een middel omvat voor het verrichten van de werkwijze volgens één van conclusies 19 — 24.
NL2029790A 2020-12-24 2021-11-17 Key management for crypto processors attached to other processing units NL2029790B1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2020/138853 WO2022133860A1 (en) 2020-12-24 2020-12-24 Key management for crypto processors attached to other processing units

Publications (2)

Publication Number Publication Date
NL2029790A NL2029790A (en) 2022-07-20
NL2029790B1 true NL2029790B1 (en) 2023-06-16

Family

ID=82158586

Family Applications (1)

Application Number Title Priority Date Filing Date
NL2029790A NL2029790B1 (en) 2020-12-24 2021-11-17 Key management for crypto processors attached to other processing units

Country Status (3)

Country Link
NL (1) NL2029790B1 (nl)
TW (1) TW202232354A (nl)
WO (1) WO2022133860A1 (nl)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116055048B (zh) * 2023-03-31 2023-05-30 成都四方伟业软件股份有限公司 一种分散密钥存储、还原方法及装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9584314B2 (en) * 2013-08-21 2017-02-28 International Business Machines Corporation Event-driven, asset-centric key management in a smart grid
CN104104513A (zh) * 2014-07-22 2014-10-15 浪潮电子信息产业股份有限公司 一种云端多租户数据存储安全隔离方法
US10177908B2 (en) * 2016-08-30 2019-01-08 Workday, Inc. Secure storage decryption system
US10255202B2 (en) * 2016-09-30 2019-04-09 Intel Corporation Multi-tenant encryption for storage class memory
US11397692B2 (en) * 2018-06-29 2022-07-26 Intel Corporation Low overhead integrity protection with high availability for trust domains
US11829517B2 (en) * 2018-12-20 2023-11-28 Intel Corporation Method and apparatus for trust domain creation and destruction
US11580234B2 (en) * 2019-06-29 2023-02-14 Intel Corporation Implicit integrity for cryptographic computing
US11403234B2 (en) * 2019-06-29 2022-08-02 Intel Corporation Cryptographic computing using encrypted base addresses and used in multi-tenant environments

Also Published As

Publication number Publication date
NL2029790A (en) 2022-07-20
TW202232354A (zh) 2022-08-16
WO2022133860A1 (en) 2022-06-30

Similar Documents

Publication Publication Date Title
US11088846B2 (en) Key rotating trees with split counters for efficient hardware replay protection
CN107750363B (zh) 保护与硬件加速器的通信以增加工作流安全性
US11341281B2 (en) Providing differential privacy in an untrusted environment
US10102152B2 (en) Protecting a memory from unauthorized access
US20200021577A1 (en) Container independent secure file system for security application containers
US8954753B2 (en) Encrypting data in volatile memory
US9626166B1 (en) Common secure cloud appliance image and deployment
US10983913B2 (en) Securing exclusive access to a copy of a metadata track via a process while the metadata track is held in a shared mode by another process
GB2532415A (en) Processing a guest event in a hypervisor-controlled system
US10372628B2 (en) Cross-domain security in cryptographically partitioned cloud
US11604889B2 (en) Efficient and secure sharing of large data repositories
US20210042294A1 (en) Blockchain-based consent management system and method
US10635605B2 (en) Shared memory inter-enclave communication
Arasu et al. A secure coprocessor for database applications
EP3876095A1 (en) Framework-agnostic agile container launches through lateral reuse of capabilities in standard runtimes
US11144213B2 (en) Providing preferential access to a metadata track in two track writes
NL2029790B1 (en) Key management for crypto processors attached to other processing units
CN106030602B (zh) 基于虚拟化的块内工作负荷隔离
US11277262B2 (en) System generated data set encryption key
US11907405B2 (en) Secure data storage device access control and sharing
US11874777B2 (en) Secure communication of virtual machine encrypted memory
WO2023092320A1 (en) In-memory protection for neural networks