NL2029790B1 - Key management for crypto processors attached to other processing units - Google Patents
Key management for crypto processors attached to other processing units Download PDFInfo
- Publication number
- NL2029790B1 NL2029790B1 NL2029790A NL2029790A NL2029790B1 NL 2029790 B1 NL2029790 B1 NL 2029790B1 NL 2029790 A NL2029790 A NL 2029790A NL 2029790 A NL2029790 A NL 2029790A NL 2029790 B1 NL2029790 B1 NL 2029790B1
- Authority
- NL
- Netherlands
- Prior art keywords
- key
- tenant
- workload
- cryptographic
- handle
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Claims (25)
1. Een computersysteem, omvattende: een werkbelastingsprocessor die toekenbaar is in een veelheid van tenantslices, waarbij elke respectievelijke tenantslice ten minste een gedeelte van een afzonderlijke respectievelijke werkbelasting dient uit te voeren; een cryptografische engine die gekoppeld is met de werkbelastingsprocessor; een geheugen dat gekoppeld is met de cryptografische engine, waarbij het geheugen een sleuteltabel dient op te slaan; een sleutelverstrekker die gekoppeld is met het geheugen, waarbij de sleutelverstrekker één of meer substraten en logica die gekoppeld is met de één of meer substraten omvat, waarbij de logica ten minste gedeeltelijk geïmplementeerd is in één of meer configureerbare logica of vastefunctionaliteithardwarelogica, waarbij de logica dient om: een afzonderlijke tenantsleutel te verstrekken voor elke werkbelasting, waarbij elke tenantsleutel opgeslagen is ìn de sleuteltabel met een geassocieerd uniek sleutelhandvat en een hulpbronidentificator voor een afzonderlijk exemplaar van de veelheid van tenantslices die toegekend zijn aan de respectievelijke werkbelasting; elke respectievelijke tenantsleutel te verschaffen aan een respectievelijke verzoeker van elke werkbelasting; en voor elke werkbelasting het respectievelijke sleutelhandvat te verschaffen aan de toegekende tenantslice, waarbij de tenantslice het sleutelhandvat dient te gebruiken om een cryptografische handeling te verrichten, via de cryptografische engine, op een ingepakte datasleutel die geassocieerd is met de werkbelasting.
2. Het systeem volgens conclusie 1, waarbij om het sleutelhandvat te gebruiken om een cryptografische handeling te verrichten, via de cryptografische engine, de tenantslice het sleutelhandvat dient te verschaffen aan de cryptografische engine, waarbij de cryptografische engine toegang dient te verkrijgen, op basis van het sleutelhandvat, tot de geassocieerde tenantsleutel in de sleuteltabel voor gebruik bij het verrichten van de cryptografische handeling.
3. Het systeem volgens conclusie 1 of 2, waarbij de cryptografische handeling de ingepakte datasleutel die geassocieerd is met de werkbelasting, dient te ontsleutelen met behulp van de tenantsleutel om een uitgepakte datasleutel te genereren.
4. Het systeem volgens conclusie 1, 2, of 3, waarbij de cryptografische engine de uitgepakte datasleutel dient te gebruiken in een tweede cryptografische handeling, waarbij de tweede cryptografische handeling codetekst die geassocieerd is met de respectievelijke werkbelasting dient te ontsleutelen naar ongecodeerde tekst, en waarbij de cryptografische engine de ongecodeerde tekst dient te verschaffen aan de toegekende tenantslice.
5. Het systeem volgens conclusie 1, 2, 3 of 4, waarbij de tenantsleutel een openbaar- privésleutelpaar omvat, waarbij het verschaffen van elke respectievelijke tenantsleutel aan een respectievelijke verzoeker van elke werkbelasting het verzenden van enkel de openbare sleutel van het sleutelpaar naar de werkbelastingsverzoeker omvat, en waarbij het toegang verkrijgen tot de geassocieerde tenantsleutel op basis van het sleutelhandvat het toegang verkrijgen tot de privésleutel van het sleutelpaar omvat.
6. Het systeem volgens één van conclusies 1 — 5, waarbij de logica verder een tweede datasleutel dient te verstrekken, voor elke werkbelasting, voor gebruik bij het versleutelen van de respectievelijke werkbelastingsresultaten.
7. Een halfgeleiderapparaat, omvattende: één of meer substraten; en logica die gekoppeld is met de één of meer substraten, waarbij de logica ten minste gedeeltelijk geïmplementeerd is in één of meer configureerbare logica of vastefunctionaliteithardwarelogica, waarbij de logica die gekoppeld is met de één of meer substraten dient om: een afzonderlijke tenantsleutel te verstrekken voor elk van een veelheid van werkbelastingen, waarbij elke tenantsleutel opgeslagen is in een sleuteltabel met een geassocieerd uniek sleutelhandvat en een hulpbronidentificator voor een afzonderlijk exemplaar van een veelheid van tenantslices, waarbij elke respectievelijke tenantslice ten minste een gedeelte van een afzonderlijke respectievelijke werkbelasting dient uit te voeren; elke respectievelijke tenantsleutel te verschaffen aan een respectievelijke verzoeker van elke werkbelasting; en het respectievelijke sleutelhandvat te verschaffen, voor elke werkbelasting, aan de toegekende tenantslice, waarbij de tenantslice het sleutelhandvat dient te gebruiken om een cryptografische handeling te verrichten, via een cryptografische engine, op een ingepakte datasleutel die geassocieerd is met de werkbelasting.
8. Het halfgeleiderapparaat volgens conclusie 7, waarbij om het sleutelhandvat te gebruiken om de cryptografische handeling te verrichten, via de cryptografische engine, de tenantslice het sleutelhandvat dient te verschaffen aan de cryptografische engine, waarbij de cryptografische engine toegang dient te verkrijgen, op basis van het sleutelhandvat, tot de geassocieerde tenantsleutel in de sleuteltabel voor gebruik bij het verrichten van de cryptografische handeling.
9. Het halfgeleiderapparaat volgens conclusie 7 of 8, waarbij de cryptografische handeling de ingepakte datasleutel die geassocieerd is met de werkbelasting dient te ontsleutelen, met behulp van de tenantsleutel, om een uitgepakte datasleutel te genereren.
10. Het halfgeleiderapparaat volgens conclusie 7, 8 of 9, waarbij de cryptografische engine de uitgepakte datasleutel dient te gebruiken in een tweede cryptografische handeling, waarbij de tweede cryptografische handeling codetekst die geassocieerd is met de respectievelijke werkbelasting, dient te ontsleutelen naar ongecodeerde tekst, en waarbij de cryptografische engine de ongecodeerde tekst dient te verschaffen aan de toegekende tenantslice.
11. Het halfgeleiderapparaat volgens conclusie 7, 8, 9 of 10, waarbij de tenantsleutel een openbaar-privésleutelpaar omvat, waarbij het verschaffen van elke respectievelijke tenantsleutel aan een respectievelijke verzoeker van elke werkbelasting het verzenden van enkel de publieke sleutel van het sleutelpaar naar de werkbelastingsverzoeker omvat, en waarbij het toegang verkrijgen, op basis van het sleutelhandvat, tot de geassocieerde tenantsleutel in de sleuteltabel het toegang verkrijgen tot de privésleutel van het sleutelpaar omvat, en waarbij de logica verder een tweede datasleutel dient te verstrekken, voor elke werkbelasting, voor gebruik bij het versleutelen van de respectievelijke werkbelastingsresultaten.
12. Het halfgeleiderapparaat volgens één van conclusies 7 — 11, waarbij de logica die gekoppeld is met de één of meer substraten transistorkanaalgebieden omvat die gepositioneerd zijn binnen de één of meer substraten.
13. Ten minste één niet-vergankelijk computerleesbaar opslagmedium dat een reeks instructies omvat, die indien die uitgevoerd worden door een computersysteem, bewerkstelligen dat het computersysteem: een afzonderlijke tenantsleutel verstrekt voor elk van een veelheid van werkbelastingen, waarbij elke tenantsleutel opgeslagen is in een sleuteltabel met een geassocieerd uniek sleutelhandvat en een hulpbronidentificator voor een afzonderlijk exemplaar van een veelheid van tenantslices, waarbij elke respectievelijke tenantslice ten minste een gedeelte van een afzonderlijke respectievelijke werkbelasting dient uit te voeren; elke respectievelijke tenantsleutel verschaft aan een respectievelijke verzoeker van elke werkbelasting; en het respectievelijke sleutelhandvat verschaft, voor elke werkbelasting, aan de toegekende tenantslice, waarbij de tenantslice het sleutelhandvat dient te gebruiken om een cryptografische handeling te verrichten, via een cryptografische engine, op een ingepakte datasleutel die geassocieerd is met de werkbelasting.
14. Het ten minste ene niet-vergankelijke computerleesbare opslagmedium volgens conclusie 13, waarbij om het sleutelhandvat te gebruiken om de cryptografische handeling te verrichten, via de cryptografische engine, de tenantslice het sleutelhandvat dient te verschaffen aan de cryptografische engine, waarbij de cryptografische engine toegang dient te verkrijgen, op basis van het sleutelhandvat, tot de geassocieerde tenantsleutel in de sleuteltabel voor gebruik bij het verrichten van de cryptografische handeling.
15. Het ten minste ene niet-vergankelijke computerleesbare opslagmedium volgens conclusie 13 of 14, waarbij de cryptografische handeling de verpakte datasleutel die geassocieerd is met de werkbelasting dient te ontcijferen, met behulp van de tenantsleutel, om een uitgepakte datasleutel te genereren.
16. Het ten minste ene niet-vergankelijke computerieesbare opslagmedium volgens conclusie 13, 14 of 15, waarbij de cryptografische engine de uitgepakte datasleutel dient te gebruiken in een tweede cryptografische handeling, waarbij de tweede cryptografische handeling codetekst die geassocieerd is met de respectievelijke werkbelasting dient te ontsleutelen naar ongecodeerde tekst, en waarbij de cryptografische engine de ongecodeerde tekst dient te verschaffen aan de toegekende tenantslice.
17. Het ten minste ene niet-vergankelijke computerleesbare opslagmedium volgens conclusie 13, 14, 15 of 18, waarbij de tenantsleutel een openbaar-privésleutelpaar omvat, waarbij het verschaffen van elke respectievelijke tenantsleutel aan een respectievelijke verzoeker van elke werkbelasting het verzenden van enkel de publieke sleutel van het sleutelpaar naar de werkbelastingsverzoeker omvat, en waarbij het toegang verkrijgen, op basis van het sleutelhandvat, tot de geassocieerde tenantsleutel in de sleuteltabel het toegang verkrijgen tot de privésleutel van het sleutelpaar omvat.
18. Het ten minste ene niet-vergankelijke computerleesbare opslagmedium volgens één van conclusies 13 — 17, waarbij de instructies, indien die uitgevoerd worden, verder bewerkstelligen dat het computersysteem een tweede datasleutel verschaft, voor elke werkbelasting, voor gebruik bij het versleutelen van de respectievelijke werkbelastingsresultaten.
19. Een werkwijze, omvattende: het verstrekken van een afzonderlijke tenantsleutel voor elk van een veelheid van werkbelastingen, waarbij elke tenantsleutel opgeslagen is in een sleuteltabel met een geassocieerd uniek sleutelhandvat en een hulpbronidentificator voor een afzonderlijk exemplaar van een veelheid van tenantslices, waarbij elke respectievelijke tenantslice ten minste een gedeelte van een afzonderlijke respectievelijke werkbelasting dient uit te voeren; het verschaffen van elke respectievelijke tenantsleutel aan een respectievelijke verzoeker van elke werkbelasting; en het verschaffen, voor elke werkbelasting, van het respectievelijke sleutelhandvat aan de toegekende tenantslice, waarbij de tenantslice het sleutelhandvat gebruikt om een cryptografische handeling te verrichten, via een cryptografische engine, op een ingepakte datasleutel die geassocieerd is met de werkbelasting.
20. De werkwijze volgens conclusie 19, waarbij het gebruiken van het sleutelhandvat om de cryptografische handeling te verrichten, via de cryptografische engine, het verschaffen van het sleutelhandvat aan de cryptografische engine omvat, waarbij de cryptografische engine toegang verkrijgt, op basis van het sleutelhandvat, tot de geassocieerde tenantsleutel in de sleuteltabel voor gebruik bij het verrichten van de cryptografische handeling.
21. De werkwijze volgens conclusie 19 of 20, waarbij de cryptografische handeling het versleutelen, met behulp van de tenantsleutel, van de ingepakte datasleutel die geassocieerd is met de werkbelasting om een uitgepakte datasleutel te genereren, omvat.
22. De werkwijze volgens conclusie 19, 20 of 21, die verder het gebruiken, door de cryptografische engine, van de uitgepakte datasleutel in een tweede cryptografische handeling omvat, waarbij de tweede cryptografische handeling het ontsleutelen van codetekst die geassocieerd is met de respectievelijke werkbelasting naar ongecodeerde tekst, omvat, en waarbij de cryptografische engine verder de ongecodeerde tekst verschaft aan de toegekende tenantslice.
23. De werkwijze volgens conclusie 19, 20, 21 of 22, waarbij de tenantsleutel een openbaar-privésleutelpaar omvat, waarbij het verschaffen van elke respectievelijke tenantsleutel aan een respectievelijke verzoeker van elke werkbelasting het verzenden van enkel de publieke sleutel van het sleutelpaar naar de werkbelastingsverzoeker omvat, en waarbij het toegang verkrijgen, op basis van het sleutelhandvat, tot de geassocieerde tenantsleutel in de sleuteltabel het toegang verkrijgen tot de privésleutel van het sleutelpaar omvat.
24. De werkwijze volgens één van conclusies 19 — 23, die verder het verstrekken, voor elke werkbelasting, van een tweede datasleutel omvat voor gebruik bij het versleutelen van de respectievelijke werkbelastingsresultaten.
25. Een apparaat dat een middel omvat voor het verrichten van de werkwijze volgens één van conclusies 19 — 24.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2020/138853 WO2022133860A1 (en) | 2020-12-24 | 2020-12-24 | Key management for crypto processors attached to other processing units |
Publications (2)
Publication Number | Publication Date |
---|---|
NL2029790A NL2029790A (en) | 2022-07-20 |
NL2029790B1 true NL2029790B1 (en) | 2023-06-16 |
Family
ID=82158586
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
NL2029790A NL2029790B1 (en) | 2020-12-24 | 2021-11-17 | Key management for crypto processors attached to other processing units |
Country Status (3)
Country | Link |
---|---|
NL (1) | NL2029790B1 (nl) |
TW (1) | TW202232354A (nl) |
WO (1) | WO2022133860A1 (nl) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116055048B (zh) * | 2023-03-31 | 2023-05-30 | 成都四方伟业软件股份有限公司 | 一种分散密钥存储、还原方法及装置 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9584314B2 (en) * | 2013-08-21 | 2017-02-28 | International Business Machines Corporation | Event-driven, asset-centric key management in a smart grid |
CN104104513A (zh) * | 2014-07-22 | 2014-10-15 | 浪潮电子信息产业股份有限公司 | 一种云端多租户数据存储安全隔离方法 |
US10177908B2 (en) * | 2016-08-30 | 2019-01-08 | Workday, Inc. | Secure storage decryption system |
US10255202B2 (en) * | 2016-09-30 | 2019-04-09 | Intel Corporation | Multi-tenant encryption for storage class memory |
US11397692B2 (en) * | 2018-06-29 | 2022-07-26 | Intel Corporation | Low overhead integrity protection with high availability for trust domains |
US11829517B2 (en) * | 2018-12-20 | 2023-11-28 | Intel Corporation | Method and apparatus for trust domain creation and destruction |
US11580234B2 (en) * | 2019-06-29 | 2023-02-14 | Intel Corporation | Implicit integrity for cryptographic computing |
US11403234B2 (en) * | 2019-06-29 | 2022-08-02 | Intel Corporation | Cryptographic computing using encrypted base addresses and used in multi-tenant environments |
-
2020
- 2020-12-24 WO PCT/CN2020/138853 patent/WO2022133860A1/en active Application Filing
-
2021
- 2021-09-23 TW TW110135370A patent/TW202232354A/zh unknown
- 2021-11-17 NL NL2029790A patent/NL2029790B1/en active
Also Published As
Publication number | Publication date |
---|---|
NL2029790A (en) | 2022-07-20 |
TW202232354A (zh) | 2022-08-16 |
WO2022133860A1 (en) | 2022-06-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11088846B2 (en) | Key rotating trees with split counters for efficient hardware replay protection | |
CN107750363B (zh) | 保护与硬件加速器的通信以增加工作流安全性 | |
US11341281B2 (en) | Providing differential privacy in an untrusted environment | |
US10102152B2 (en) | Protecting a memory from unauthorized access | |
US20200021577A1 (en) | Container independent secure file system for security application containers | |
US8954753B2 (en) | Encrypting data in volatile memory | |
US9626166B1 (en) | Common secure cloud appliance image and deployment | |
US10983913B2 (en) | Securing exclusive access to a copy of a metadata track via a process while the metadata track is held in a shared mode by another process | |
GB2532415A (en) | Processing a guest event in a hypervisor-controlled system | |
US10372628B2 (en) | Cross-domain security in cryptographically partitioned cloud | |
US11604889B2 (en) | Efficient and secure sharing of large data repositories | |
US20210042294A1 (en) | Blockchain-based consent management system and method | |
US10635605B2 (en) | Shared memory inter-enclave communication | |
Arasu et al. | A secure coprocessor for database applications | |
EP3876095A1 (en) | Framework-agnostic agile container launches through lateral reuse of capabilities in standard runtimes | |
US11144213B2 (en) | Providing preferential access to a metadata track in two track writes | |
NL2029790B1 (en) | Key management for crypto processors attached to other processing units | |
CN106030602B (zh) | 基于虚拟化的块内工作负荷隔离 | |
US11277262B2 (en) | System generated data set encryption key | |
US11907405B2 (en) | Secure data storage device access control and sharing | |
US11874777B2 (en) | Secure communication of virtual machine encrypted memory | |
WO2023092320A1 (en) | In-memory protection for neural networks |