RU2739135C1 - Способ и система безопасного управления резервными копиями состояний удаленных вычислительных устройств, с функцией шифрования оперативной памяти на центральном процессоре, с помощью квантового распределения ключей - Google Patents

Способ и система безопасного управления резервными копиями состояний удаленных вычислительных устройств, с функцией шифрования оперативной памяти на центральном процессоре, с помощью квантового распределения ключей Download PDF

Info

Publication number
RU2739135C1
RU2739135C1 RU2020131335A RU2020131335A RU2739135C1 RU 2739135 C1 RU2739135 C1 RU 2739135C1 RU 2020131335 A RU2020131335 A RU 2020131335A RU 2020131335 A RU2020131335 A RU 2020131335A RU 2739135 C1 RU2739135 C1 RU 2739135C1
Authority
RU
Russia
Prior art keywords
iod
key
state
user
encrypted
Prior art date
Application number
RU2020131335A
Other languages
English (en)
Inventor
Олег Дмитриевич Гурин
Original Assignee
Олег Дмитриевич Гурин
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Олег Дмитриевич Гурин filed Critical Олег Дмитриевич Гурин
Priority to RU2020131335A priority Critical patent/RU2739135C1/ru
Application granted granted Critical
Publication of RU2739135C1 publication Critical patent/RU2739135C1/ru
Priority to PCT/RU2021/050280 priority patent/WO2022066051A1/ru
Priority to US18/027,187 priority patent/US20240045811A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Изобретение относится к области обработки цифровых данных. Техническим результатом является повышение защищенности резервных копий. Заявленный технический результат достигается за счет формирования связи между УВУ устройства пользователя и устройством для КРК (УКРК), при этом УКРК создает квантовый канал, которым соединяет УВУ с устройствами пользователей, а УВУ и устройства пользователей соединены с помощью сети передачи данных; осуществления с помощью УКРК формирования симметричных криптографических ключей, один из которых передается на устройство пользователя для хранения в реестре ключей, а второй передается на УВУ, при получении ключа на УВУ, с помощью центрального процессора создается резервная копия (РК) его состояния, при которой выполняется шифрование состояния его оперативной памяти в заданный момент времени и передача зашифрованного состояния для хранения в постоянное хранилище данных. 2 н. и 20 з.п. ф-лы, 5 ил.

Description

ОБЛАСТЬ ТЕХНИКИ
[1] Настоящее технические решение относится к области обработки цифровых данных, в частности к методам управления резервными копиями компьютерных устройств.
УРОВЕНЬ ТЕХНИКИ
[2] Для вычислительных мощностей, в частности серверных кластеров, центров управления данными (ЦОД), системами облачного вычисления и т.п., которые предоставляют конечному пользователю возможность обмена и обработки больших объемов данных, критически важным является поддержание стабильной работоспособности и защищенности вычислительной инфраструктуры и конфиденциальности данных пользователя.
[3] Одним из важных аспектов для реализации защищенной среды для удаленных вычислительных устройств (УВУ), например, серверов, является контроль их состояния с защитой оперативной памяти для формирования резервных копий и их последующего восстановления доверенным пользователем. Данный процесс может быть осуществлен с помощью шифрования состояния оперативной памяти с помощью криптографических ключей.
[4] Примером такой технологии является решение компании AMD Secure Encrypted Virtualization (SEV) (https://www.amd.com/system/files/TechDocs/SEV-SNP-strengthening- vm-isolation-with-integrity-protection-and-more.pdf) которая обеспечивает аппаратное шифрование оперативной памяти на центральном процессоре (контроллере памяти), что обеспечивает повышенную защищенность при управлении вычислительными кластерами. Данный подход также раскрывается в заявке на изобретение US 20180165224 A1 (ATI Technologies ULC, 14.06.2018), в которой описывается подход в изоляции доступа между виртуальными машинами (ВМ) с проверкой целостности параметров при шифровании их состояния в оперативной памяти.
[5] Однако, данный подход имеет ограничение, которое приводит к уязвимости системы, в той части, что технология AMD SEV предназначен для изоляции ВМ (друг от друга и от внешних сущностей) с помощью шифрования области оперативной памяти (ООП), т.е. ключ для шифрования ООП вырабатывает центральным процессором УВУ в момент старта ВМ и использует после, сохраняя ее в контуре ООП. В настоящее время для создания резервной копии состояния ВМ часто применяют технологию «мгновенного снимка», упрощенно - копирование ООП в файл. Так как данные ООП были зашифрованы центральным процессором при записи туда, то и резервная копия окажется зашифрованной. Чтобы расшифровать ее в будущем для восстановления, придется хранить на УВУ ключ шифрования, что приводит к снижению защищенности информации на УВУ.
[6] Заявленное решение направлено на устранение недостатков, присущих аналогам, поскольку ключ всегда сохраняется у пользователя, а не на УВУ, на который он передается в момент восстановления РК, при этом ключ не покидает контур процессора, что не позволяет обеспечить возможность расшифровки снимка ООП для восстановления состояния устройства и повышает безопасность данных.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
[7] Для решения технической проблемы в части повышения защиты резервных копий состояний удаленных устройств, предлагается новый метод шифрования и восстановления резервных копий с помощью квантового распределения ключей (КРК).
[8] Техническим результатом является повышение защищенности резервных копий за счет процесса их защиты с помощью симметричных криптографических ключей, передаваемых по квантовому каналу, каждый из которых соответствует определенной резервной копии.
[9] Заявленный технический результат достигается за счет осуществления компьютерно-реализуемого способа безопасного управления резервными копиями состояний удаленных вычислительных устройств (УВУ), с функцией шифрования оперативной памяти на центральном процессоре, с помощью квантового распределения ключей (КРК), при выполнении которого:
формируют связь между УВУ, по меньшей мере одним устройством пользователя и устройством для КРК (УКРК), при этом УКРК создает квантовый канал, которым соединяет УВУ с устройствами пользователей, а УВУ и устройства пользователей соединены с помощью сети передачи данных;
осуществляют с помощью УКРК формирование симметричных криптографических ключей, один из которых передается на устройство пользователя для хранения в реестре ключей, а второй передается на УВУ,
при получении ключа на УВУ, с помощью центрального процессора создается резервная копия (РК) его состояния, при которой выполняется шифрование состояния его оперативной памяти в заданный момент времени и передача зашифрованного состояния для хранения в постоянное хранилище данных; причем
восстановление РК состояния УВУ осуществляется с помощью этапов, на которых: формируют команду от устройства пользователя на восстановление РК, при этом упомянутая команда содержит криптографический ключ, с помощью которого была сформирована требуемая РК, зашифрованный с помощью нового симметричного ключа, полученного от УКРК;
в ответ на полученную команду осуществляют передачу в оперативную память УВУ требуемой РК;
с помощью УКРК передают на центральный процессор УВУ упомянутый новый симметричный ключ и расшифровывают первичный ключ; восстанавливают состояние УВУ с помощью обращения центрального процессора с соответствующим криптографическим ключом к РК, размещенной в оперативной памяти и содержащей соответствующее состояние зашифрованной оперативной памяти УВУ.
[10] В одном из частных примеров осуществления способа формирование РК происходит периодически в заданные временные промежутки, или при формировании команды с помощью устройств пользователей.
[11] В другом частном примере осуществления способа УВУ представляет собой сервер.
[12] В другом частном примере осуществления способа ключи динамически обновляются с помощью устройства КРК для каждой новой РК.
[13] В другом частном примере осуществления способа устройство КРК является отдельным устройством или частью УВУ, или устройства пользователя.
[14] В другом частном примере осуществления способа устройство КРК выбирается из группы: плата расширения, чип, оптический сопроцессор.
[15] В другом частном примере осуществления способа формируемые симметричные включи дополнительно записываются в защищенном модуле хранения (HSM).
[16] В другом частном примере осуществления способа вычислительное устройство представляет собой виртуальную машину.
[17] В другом частном примере осуществления способа при формировании РК, процессор выполняет шифрование состояния УВУ через гипервизор.
[18] В другом частном примере осуществления способа дополнительно при получении ключа на УВУ от УКРК, центральный процессор УВУ генерирует симметричный ключ, с помощью которого выполняется предварительное шифрование РК.
[19] В другом частном примере осуществления способа симметричный ключ, сгенерированный центральным процессором, шифруется с помощью ключа, полученного от УКРК, и сохраняется на устройстве пользователя.
[20] Заявленное техническое решение также осуществляется с помощью системы для безопасного управления резервными копиями УВУ, с функцией шифрования оперативной памяти на центральном процессоре, с помощью КРК, в которой:
формируют связь между УВУ, по меньшей мере одни устройством пользователя и УКРК, при этом УКРК создает квантовый канал, которым соединяет УВУ с устройствами пользователей, а УВУ и устройство пользователя соединены с помощью сети передачи данных ;
осуществляют с помощью УКРК формирование симметричных криптографических ключей, один из которых передается на устройство пользователя для хранения в реестре ключей, а второй передается на УВУ,
при получении ключа на УВУ, с помощью центрального процессора создается резервная копия (РК) его состояния, при которой выполняется шифрование состояния его оперативной памяти в заданный момент времени и передача зашифрованного состояния для хранения в постоянное хранилище данных; причем
восстановление РК состояния УВУ осуществляется с помощью
формирования команды от устройства пользователя на восстановление РК, при этом упомянутая команда содержит криптографический ключ, с помощью которого была сформирована требуемая РК, зашифрованный с помощью нового симметричного ключа, полученного от УКРК; в ответ на полученную команду осуществляют передачу в оперативную память УВУ требуемой
с помощью УКРК передают на центральный процессор УВУ упомянутый новый симметричный ключ и расшифровывают первичный ключ; восстанавливают состояние УВУ с помощью обращения центрального процессора с соответствующим криптографическим ключом к РК, размещенной в оперативной памяти и содержащей соответствующее состояние зашифрованной оперативной памяти УВУ.
[21] В одном из частных примеров осуществления системы формирование РК происходит периодически в заданные временные промежутки, или при формировании команды с помощью устройств пользователей.
[22] В другом частном примере осуществления системы УВУ представляет собой сервер.
[23] В другом частном примере осуществления системы ключи динамически обновляются с помощью устройства КРК для каждой новой РК.
[24] В другом частном примере осуществления системы устройство КРК является отдельным устройством или частью УВУ, или устройства пользователя.
[25] В другом частном примере осуществления системы устройство КРК выбирается из группы: плата расширения, чип, оптический сопроцессор.
[26] В другом частном примере осуществления системы дополнительно содержится аппаратный модуль безопасности (HSM), обеспечивающий хранение формируемых симметричных ключей.
[27] В другом частном примере осуществления системы вычислительное устройство представляет собой виртуальную машину.
[28] В другом частном примере осуществления системы дополнительно при получении ключа на УВУ от УКРК, центральный процессор УВУ генерирует симметричный ключ, с помощью которого выполняется предварительное шифрование РК.
[29] В другом частном примере осуществления системы симметричный ключ, сгенерированный центральным процессором, шифруется с помощью ключа, полученного от УКРК, и сохраняется на устройстве пользователя.
[30] В другом частном примере осуществления системы при формировании РК, процессор выполняет шифрование состояния УВУ через гипервизор.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[31] Фиг. 1А иллюстрирует общую схему заявленного решения.
[32] Фиг. 1Б иллюстрирует схему обмена ключами при формировании РК УВУ.
[33] Фиг. 1В иллюстрирует схему доступа к РК.
[34] Фиг. 2 иллюстрирует блок-схему заявленного способа управления РК.
[35] Фиг. 3 иллюстрирует общий вид вычислительной системы.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
[36] На Фиг. 1 представлена общая схема заявленного решения, на которой представлены объединенные посредством квантового канала и сети передачи данных (130) УВУ (100), устройство пользователя (110) и УКРК (120). В общем случае УВУ (100) представляет собой сервер, обеспечивающий взаимодействие с несколькими пользовательскими устройствами (110), например, компьютерами, смартфонами и т.п. УКРК (120) может выполняться как в виде самостоятельного устройства, обеспечивающего генерирование криптографических симметричных ключей, так и являться частью одного из пользовательских устройств (110), либо же частью УВУ.
[37] Взаимодействие элементов в рамках настоящего технического решения организовано с помощью использования двух типов связи, в частности, стандартизованной вычислительной сети (130), например, Интернет или Интранет, а также квантового канала связи, обеспечивающего КРК. Квантовое распределение ключей (КРК) — метод передачи ключа, который использует квантовые явления для гарантии безопасной связи. Этот метод позволяет двум сторонам, соединенным по открытому каналу связи, создать общий случайный ключ, который известен только им, и использовать его для шифрования и расшифрования сообщений (https://ru.wikipedia.org/wiki/Квантовое_распределение_ключе й).
[38] Связь с УВУ (100) обеспечивается посредством двух типов каналов передачи данных: квантового канал, формируемого УКРК (120), в частности, оптического канала (например, оптоволокно), и сетевого интерфейса (105), например, WLAN, Ethernet и др.
[39] УКРК (120) может выполняться в виде отдельного системного блока, платы расширения внутри компьютера (например, PCI-E), чипа на материнской плате, оптического сопроцессор в едином конструктиве с центральным процессором (с использованием интегрированной оптики). УКРК (120) обеспечивает квантовое формирование симметричных ключей, которые формируются на УВУ (100) и устройстве пользователя (110). В частном примере, представлено на Фиг. 1А, УКРК (120) является частью устройств УВУ (100) и устройства пользователя (110).
[40] Основным критерием для осуществления заявленного технического решения
является исполнения УВУ (100) с функцией шифрования оперативной памяти (102) на лету
с помощью центрального процессора (101), обеспечивая передачу информации как в ОЗУ
(1) , так и в ПЗУ (103) в зашифрованном виде. В части ПЗУ (103) может применяться любое пригодное устройство энергонезависимого типа, известное из уровня техники для обеспечения постоянного хранения данных, например, HDD, SSD, флэш-память и т.п.
[41] Как представлено на Фиг. 1Б, при каждом формировании УКРК (120) нового симметричного ключа, соответствующий ключ сохраняется в соответствующем реестре ключей (112), при его обработке с помощью процессора (111) устройства (110). Реестр (112) может храниться как на устройстве пользователя (110), так и на внешнем, связанным с ним любым пригодным способом связи устройстве, например, в аппаратном модуле безопасности (HSM, от англ. Hardware Security Module). Второй ключ, сформированный в контуре УВУ (100), хранится в ЦПУ (101), например, в энергозависимой памяти ЦПУ (101) и обновляется при формировании нового ключа УКРК (120).
[42] Генерирование ключей УКРК (120) осуществляется динамически в заданный временной промежуток или по запросу устройства пользователя (110), что, как было указано выше, порождает новый симметричный ключ, который по квантовому каналу передается на УВУ (100) для создания РК его состояния, а второй - на устройство (110) для его сохранения в реестре (112). Каждый ключ (Ключ 1, Ключ 2, Ключ 3 .... Ключ n) соответствует одному состоянию УВУ (100) - S1, S2, S3...Sn, в определенный момент времени.
[43] Под «состоянием», сохраняемым как РК, понимается набор данных, содержащийся, например, в оперативной памяти, в вычислительных реестрах процессора, на жестких дисках и файловых хранилищах. Упомянутый набор данных за счет его сохранения в заданный момент времени позволяет в последующем вернуться к этому состоянию, например, в случае потери данных в аварийных ситуациях, утраты и замены УВУ (100), а также при проведении исследований в области компьютерных наук для доказательства воспроизводимости.
[44] Как схематично представлено на Фиг. 1В, при формировании РК, текущее состояние УВУ (100) шифруется с помощью ЦПУ (101), который получает симметричный ключ, сгенерированный УКРК (120) в соответствующий момент времени - Кн. Зашифрованное состояние УВУ (100) в виде РК может передаваться на хранение в ПЗУ
(2) , устройство пользователя (110), другое УВУ, связанное с УВУ (100), облачное хранилище данных и т.п.
[45] В качестве алгоритмов шифрования могут применяться известные из уровня техники решения, например, XOR, AES, PRINCE, Кузнечик, Магма и др.
[46] Расшифровка требуемого состояния, например, S2, с помощью ЦПУ (101), осуществляется при получении РК2, содержащей ключ K2, которая зашифрована текущим ключом Кн, и получении ЦПУ (101) соответствующей команды от процессора (111) устройства (110), для доступа к ключу К2 и обращении к ОЗУ (102) с сохраненной РК2 в зашифрованном виде. Более детально процесс выполнения способа будет описан далее.
[47] На Фиг. 2 представлено описание процесса управления РК с помощью заявленного способа (200). На первом шаге (201) УКРК (120) осуществляет формирование симметричного ключа. Данное формирование может происходить в момент загрузки УВУ (100) и инициации подключения к устройству пользователя (110), или при сбое УВУ (100), или принудительной команде от устройства пользователя (110). В соответствии с КРК, симметричный ключ формируется на УВУ (100) и устройстве пользователя (110), и сохраняется в хранилище ключей (111) на устройстве пользователя (110), и в ЦПУ (101)..
[48] Сохранение состояния УВУ (100) на этапе (202) осуществляется с помощью шифрования полученным от УКРК (120) ключом состояния оперативной памяти УВУ (100), формируя тем самым РК, которая после ее формирования сохраняется для дальнейшего использования, например, в ПЗУ (103) или внешнее хранилище данных.
[49] Для управления созданными РК (РК1, РК2, РК3 и т.д.), восстановление доступа к ним на этапе (203) осуществляется с помощью формирования команды от устройства пользователя (110). При создании такой команды УКРК (120) производит формирование нового симметричного ключа Кн и его передачу (этап 204) по квантовому каналу на устройство пользователя (110) и в ЦПУ (101). На устройстве пользователя (110) выполняется шифрование предыдущего ключа (этап 205), с помощью которого была зашифрована требуемая РК, например, ключа К2, связанного с РК2.
[50] На этапе (206) УВУ (100) получает упомянутую команду на доступ к РК2, которая содержит ключ К2, зашифрованный новым ключом Кн, сгенерированным в текущий момент времени УКРК (120). ЦПУ (101), получив симметричный ключ Кн от УКРК (120) и команду от устройства (110) осуществляет доступ к ключу К2 для восстановления РК2.
[51] При этом зашифрованная команда, равно как и криптографические ключи не покидают контур ЦПУ (101), что исключает возможность их перехвата при обмене данными. Все операции по расшифрованию команды от устройства (110) выполняются строго в контуре ЦПУ (101).
[52] На этапе (207) ЦПУ (101) с помощью извлеченного требуемого симметричного ключа К2 осуществляют доступ к требуемой РК2. Состояние УВУ (100), сохраненное в РК2, передается также в зашифрованном виде из ПЗУ (103) (или иного хранилища РК) в ОЗУ (102), к которой осуществляет обращение ЦПУ (101) для восстановления состояния УВУ (100), хранимого в РК2.
[53] Также, в частном варианте, ЦПУ (101) может вырабатывать криптографический ключ, в частности, симметричный ключ, с помощью которого выполняется предварительное шифрование РК, а только после этого шифрование с помощью симметричного ключа, полученной от УКРК (120). Ключ, выработанный ЦПУ (101) и зашифрованный ключом от УКРК (120), также передается в реестр ключей (111) на устройстве пользователя (110).
[54] При случае, когда устройство пользователя (110) выполняется в виде виртуальной машины, шифрование может также осуществляться через гипервизор, управляемый ЦПУ (101) и обеспечивающий среду взаимодействия с виртуальными машинами, управляемыми через УВУ (100).
[55] В реестре ключей (111) каждый ключ может содержать дополнительную информацию о состоянии УВУ (100), связанным с соответствующей РК. Также, в реестре (111) может содержаться конфигурация УВУ для его замены на аналогичный в случае выхода из строя одного из УВУ.
[56] На Фиг. 3 представлен общий пример вычислительной системы на базе вычислительного компьютерного устройства (300), например, компьютер, сервер, ноутбук, смартфон и т.п., которое может применяться для полной или частичной реализации заявленного способа (100). В общем случае устройство (300) содержит такие компоненты, как: один или более процессоров (301), по меньшей мере одну оперативную память (302), средство постоянного хранения данных (303), интерфейсы ввода/вывода (304), средство В/В (305), средства сетевого взаимодействия (306).
[57] Процессор (301) устройства выполняет основные вычислительные операции, необходимые для функционирования устройства (300) или функционала одного или более его компонентов. Процессор (301) исполняет необходимые машиночитаемые команды, содержащиеся в оперативной памяти (302).
[58] Память (302), как правило, выполнена в виде ОЗУ и содержит необходимую программную логику, обеспечивающую требуемый функционал. Средство хранения данных (303) может выполняться в виде HDD, SSD дисков, рейд массива, сетевого хранилища, флэш-памяти, оптических накопителей информации (CD, DVD, MD, Blue-Ray дисков) и т.п. Средство (303) позволяет выполнять долгосрочное хранение различного вида информации, например, истории обработки запросов (логов), идентификаторов пользователей, данные камер, изображения и т.п.
[59] Интерфейсы (304) представляют собой стандартные средства для подключения и работы с камерами (20) или иными вычислительными устройствами. Интерфейсы (304) могут представлять, например, USB, RS232, RJ45, LPT, COM, HDMI, PS/2, Lightning,
FireWire и т.п. Выбор интерфейсов (304) зависит от конкретного исполнения устройства (300), которое может представлять собой персональный компьютер, мейнфрейм, серверный кластер, тонкий клиент, смартфон, ноутбук и т.п., а также подключаемых сторонних устройств.
[60] В качестве средств В/В данных (305) может использоваться: клавиатура, джойстик, дисплей (сенсорный дисплей), проектор, тачпад, манипулятор мышь, трекбол, световое перо, динамики, микрофон и т.п.
[61] Средства сетевого взаимодействия (306) выбираются из устройства, обеспечивающий сетевой прием и передачу данных, например, Ethernet карту, WLAN/Wi- Fi модуль, Bluetooth модуль, BLE модуль, NFC модуль, IrDa, RFID модуль, GSM модем и т.п. С помощью средства (406) обеспечивается организация обмена данными по проводному или беспроводному каналу передачи данных, например, WAN, PAN, ЛВС (LAN), Интранет, Интернет, WLAN, WMAN или GSM, квантовый канал передачи данных, спутниковая связь и т.п.
[62] Компоненты устройства (300), как правило, сопряжены посредством общей шины передачи данных.
[63] В настоящих материалах заявки было представлено предпочтительное раскрытие осуществление заявленного технического решения, которое не должно использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки испрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники.

Claims (40)

1. Компьютерно-реализуемый способ безопасного управления резервными копиями состояний удаленных вычислительных устройств (УВУ), с функцией шифрования оперативной памяти на центральном процессоре с помощью квантового распределения ключей (КРК), при выполнении которого:
формируют связь между УВУ, по меньшей мере одним устройством пользователя и устройством для КРК (УКРК), при этом УКРК создает квантовый канал, которым соединяет УВУ с устройствами пользователей, а УВУ и устройства пользователей соединены с помощью сети передачи данных;
осуществляют с помощью УКРК формирование симметричных криптографических ключей, один из которых передается на устройство пользователя для хранения в реестре ключей, а второй передается на УВУ,
при получении ключа на УВУ с помощью центрального процессора создается резервная копия (РК) его состояния, при которой выполняется шифрование состояния его оперативной памяти в заданный момент времени и передача зашифрованного состояния для хранения в постоянное хранилище данных;
причем
восстановление РК состояния УВУ осуществляется с помощью этапов, на которых:
формируют команду от устройства пользователя на восстановление РК, при этом упомянутая команда содержит криптографический ключ, с помощью которого была сформирована требуемая РК, зашифрованный с помощью нового симметричного ключа, полученного от УКРК;
в ответ на полученную команду осуществляют передачу в оперативную память УВУ требуемой РК;
с помощью УКРК передают на центральный процессор УВУ упомянутый новый симметричный ключ и расшифровывают первичный ключ;
восстанавливают состояние УВУ с помощью обращения центрального процессора с соответствующим криптографическим ключом к РК, размещенной в оперативной памяти и содержащей соответствующее состояние зашифрованной оперативной памяти УВУ.
2. Способ по п.1, в котором формирование РК происходит периодически в заданные временные промежутки или при формировании команды с помощью устройств пользователей.
3. Способ по п.1, в котором УВУ представляет собой сервер.
4. Способ по п.2, в котором ключи динамически обновляются с помощью устройства КРК для каждой новой РК.
5. Способ по п.1, в котором устройство КРК является отдельным устройством или частью УВУ или устройства пользователя.
6. Способ по п.5, в котором устройство КРК выбирается из группы: плата расширения, чип, оптический сопроцессор.
7. Способ по п.1, в котором формируемые симметричные ключи дополнительно записываются в аппаратном модуле безопасности (HSM).
8. Способ по п.1, в котором вычислительное устройство представляет собой виртуальную машину.
9. Способ по п.1, в котором дополнительно при получении ключа на УВУ от УКРК центральный процессор УВУ генерирует симметричный ключ, с помощью которого выполняется предварительное шифрование РК.
10. Способ по п.9, в котором симметричный ключ, генерируемый центральным процессором, шифруется с помощью ключа, полученного от УКРК, и сохраняется на устройстве пользователя.
11. Способ по п.8, в котором при формировании РК процессор выполняет шифрование состояния УВУ через гипервизор.
12. Система для безопасного управления резервными копиями УВУ, с функцией шифрования оперативной памяти на центральном процессоре с помощью КРК, в которой:
формируют связь между УВУ, по меньшей мере одним устройством пользователя и устройством для КРК (УКРК), при этом УКРК создает квантовый канал, которым соединяет УфВУ с устройствами пользователей, а УВУ и устройства пользователей соединены с помощью сети передачи данных;
осуществляют с помощью УКРК формирование симметричных криптографических ключей, один из которых передается на устройство пользователя для хранения в реестре ключей, а второй передается на УВУ,
при получении ключа на УВУ с помощью центрального процессора создается резервная копия (РК) его состояния, при которой выполняется шифрование состояния его оперативной памяти в заданный момент времени и передача зашифрованного состояния для хранения в постоянное хранилище данных;
причем
восстановление РК состояния УВУ осуществляется с помощью
формирования команды от устройства пользователя на восстановление РК, при этом упомянутая команда содержит криптографический ключ, с помощью которого была сформирована требуемая РК, зашифрованный с помощью нового симметричного ключа, полученного от УКРК;
в ответ на полученную команду осуществляют передачу в оперативную память УВУ требуемой РК;
с помощью УКРК передают на центральный процессор УВУ упомянутый новый симметричный ключ и расшифровывают первичный ключ;
восстанавливают состояние УВУ с помощью обращения центрального процессора с соответствующим криптографическим ключом к РК, размещенной в оперативной памяти и содержащей соответствующее состояние зашифрованной оперативной памяти УВУ.
13. Система по п.12, в которой формирование РК происходит периодически в заданные временные промежутки или при формировании команды с помощью устройств пользователей.
14. Система по п.12, в которой УВУ представляет собой сервер.
15. Система по п.13, в которой ключи динамически обновляются с помощью устройства КРК для каждой новой РК.
16. Система по п.12, в которой устройство КРК является отдельным устройством или частью УВУ или устройства пользователя.
17. Система по п.16, в которой устройство КРК выбирается из группы: плата расширения, чип, оптический сопроцессор.
18. Система по п.12, в которой дополнительно содержится аппаратный модуль безопасности (HSM), обеспечивающий хранение формируемых симметричных ключей.
19. Система по п.12, в которой вычислительное устройство представляет собой виртуальную машину.
20. Система по п.12, в которой дополнительно при получении ключа на УВУ от УКРК центральный процессор УВУ генерирует симметричный ключ, с помощью которого выполняется предварительное шифрование РК.
21. Система по п.20, в которой симметричный ключ, генерируемый центральным процессором, шифруется с помощью ключа, полученного от УКРК, и сохраняется на устройстве пользователя.
22. Система по п.19, в которой при формировании РК процессор выполняет шифрование состояния УВУ через гипервизор.
RU2020131335A 2020-09-23 2020-09-23 Способ и система безопасного управления резервными копиями состояний удаленных вычислительных устройств, с функцией шифрования оперативной памяти на центральном процессоре, с помощью квантового распределения ключей RU2739135C1 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
RU2020131335A RU2739135C1 (ru) 2020-09-23 2020-09-23 Способ и система безопасного управления резервными копиями состояний удаленных вычислительных устройств, с функцией шифрования оперативной памяти на центральном процессоре, с помощью квантового распределения ключей
PCT/RU2021/050280 WO2022066051A1 (ru) 2020-09-23 2021-08-27 Управление резервными копиями состояний удаленных вычислительных устройств
US18/027,187 US20240045811A1 (en) 2020-09-23 2021-08-27 Method and system for secure backup management of remote computing machines using quantum key distribution and encrypted ram

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020131335A RU2739135C1 (ru) 2020-09-23 2020-09-23 Способ и система безопасного управления резервными копиями состояний удаленных вычислительных устройств, с функцией шифрования оперативной памяти на центральном процессоре, с помощью квантового распределения ключей

Publications (1)

Publication Number Publication Date
RU2739135C1 true RU2739135C1 (ru) 2020-12-21

Family

ID=74062862

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020131335A RU2739135C1 (ru) 2020-09-23 2020-09-23 Способ и система безопасного управления резервными копиями состояний удаленных вычислительных устройств, с функцией шифрования оперативной памяти на центральном процессоре, с помощью квантового распределения ключей

Country Status (3)

Country Link
US (1) US20240045811A1 (ru)
RU (1) RU2739135C1 (ru)
WO (1) WO2022066051A1 (ru)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2755672C1 (ru) * 2021-03-26 2021-09-20 Общество с ограниченной ответственностью «Международный центр квантовой оптики и квантовых вычислений» (ООО «МЦКТ») Способ безопасного хранения и обновления данных в распределенном реестре с помощью сетей квантовых коммуникаций
WO2022200474A1 (en) * 2021-03-25 2022-09-29 International Business Machines Corporation Detecting data corruption between storage systems and quantum key distribution in a multi-cloud environment

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060005048A1 (en) * 2004-07-02 2006-01-05 Hitachi Ltd. Method and apparatus for encrypted remote copy for secure data backup and restoration
US20100070476A1 (en) * 2008-09-16 2010-03-18 O'keefe Matthew T Remote backup and restore system and method
US20120284236A1 (en) * 2010-07-19 2012-11-08 Veeam Software Ag Systems, Methods, and Computer Program Products for Instant Recovery of Image Level Backups
US20140068258A1 (en) * 2012-09-05 2014-03-06 International Business Machines Corporation Backup and restore in a secure appliance with integrity and confidentiality
RU2531569C2 (ru) * 2009-06-12 2014-10-20 Майкрософт Корпорейшн Защищенное и конфиденциальное хранение и обработка резервных копий для доверенных сервисов вычисления и данных

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060005048A1 (en) * 2004-07-02 2006-01-05 Hitachi Ltd. Method and apparatus for encrypted remote copy for secure data backup and restoration
US20100070476A1 (en) * 2008-09-16 2010-03-18 O'keefe Matthew T Remote backup and restore system and method
RU2531569C2 (ru) * 2009-06-12 2014-10-20 Майкрософт Корпорейшн Защищенное и конфиденциальное хранение и обработка резервных копий для доверенных сервисов вычисления и данных
US20120284236A1 (en) * 2010-07-19 2012-11-08 Veeam Software Ag Systems, Methods, and Computer Program Products for Instant Recovery of Image Level Backups
US20140068258A1 (en) * 2012-09-05 2014-03-06 International Business Machines Corporation Backup and restore in a secure appliance with integrity and confidentiality

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022200474A1 (en) * 2021-03-25 2022-09-29 International Business Machines Corporation Detecting data corruption between storage systems and quantum key distribution in a multi-cloud environment
US11695552B2 (en) 2021-03-25 2023-07-04 International Business Machines Corporation Quantum key distribution in a multi-cloud environment
RU2755672C1 (ru) * 2021-03-26 2021-09-20 Общество с ограниченной ответственностью «Международный центр квантовой оптики и квантовых вычислений» (ООО «МЦКТ») Способ безопасного хранения и обновления данных в распределенном реестре с помощью сетей квантовых коммуникаций

Also Published As

Publication number Publication date
WO2022066051A1 (ru) 2022-03-31
US20240045811A1 (en) 2024-02-08

Similar Documents

Publication Publication Date Title
US11290435B2 (en) Authenticated device-based storage operations
US10615984B1 (en) Enhanced authentication method for Hadoop job containers
US20190238323A1 (en) Key managers for distributed computing systems using key sharing techniques
EP3777014B1 (en) Encryption by default in an elastic computing system
US10069625B2 (en) System and method for automatic key generation for self-encrypting drives
US10841089B2 (en) Key managers for distributed computing systems
JP5922931B2 (ja) 高遅延、低帯域幅環境におけるnetbackupデータ復号のためのシステムおよび方法
US9258122B1 (en) Systems and methods for securing data at third-party storage services
US11728974B2 (en) Tenant-based database encryption
US11431488B1 (en) Protecting local key generation using a remote key management service
WO2017128720A1 (zh) 基于vtpm对虚拟机进行安全保护的方法及系统
US10089245B2 (en) Management of encryption keys for multi-mode network storage device
US20190138402A1 (en) Optimizing database migration in high availability and disaster recovery computing environments
RU2739135C1 (ru) Способ и система безопасного управления резервными копиями состояний удаленных вычислительных устройств, с функцией шифрования оперативной памяти на центральном процессоре, с помощью квантового распределения ключей
US20200057566A1 (en) Authenticated stateless mount string for a distributed file system
US20220263657A1 (en) Data protection service using isolated, encrypted backup data
US9977912B1 (en) Processing backup data based on file system authentication
WO2023005804A1 (zh) 数据轮转方法、装置、设备及系统
US9152505B1 (en) Verified hardware-based erasure of data on distributed systems
US10469457B1 (en) Systems and methods for securely sharing cloud-service credentials within a network of computing devices
US20220200804A1 (en) Snapshot transfer for cloud-based storage across accounts
Shah et al. Data-at-rest security for spark
KR20220134762A (ko) 가상 머신 완전 순방향 비밀성
US11533168B2 (en) System and method for unlocking an encryption key chain without compromising security
US10516528B2 (en) System and method for managing secret information using virtualization