[0130] 另一示例系統(tǒng)包括前述的組件�,所述云服務(wù)器包括第二受信任的執(zhí)行環(huán)境,所述 RKM服務(wù)器被配置成利用第二私鑰來對數(shù)據(jù)處理模塊進行簽名��,以及����,所述網(wǎng)關(guān)服務(wù)器被配 置成將所述經(jīng)簽名的數(shù)據(jù)處理模塊和多塊經(jīng)加密的數(shù)據(jù)提供到所述云服務(wù)器�,所述多塊經(jīng) 加密的數(shù)據(jù)包括所述經(jīng)加密的數(shù)據(jù)塊,所述云服務(wù)器被配置成將所述多塊經(jīng)加密的數(shù)據(jù)存 儲在所述云存儲設(shè)備中�,以及,所述第二受信任的執(zhí)行環(huán)境被配置成啟動所述數(shù)據(jù)處理模 塊�,并利用與所述第二私鑰相關(guān)的第二公鑰,來驗證所述數(shù)據(jù)處理模塊��。
[0131] 另一示例系統(tǒng)包括前述的組件��,所述密鑰服務(wù)器模塊被配置成在所述數(shù)據(jù)處理模 塊和所述密鑰服務(wù)器模塊之間建立第二安全通信信道����,如果所述數(shù)據(jù)處理模塊被驗證,則 通過所述第二安全通信信道,將所述第一密碼密鑰提供到所述數(shù)據(jù)處理模塊����。
[0132] 另一示例系統(tǒng)包括前述的組件,所述數(shù)據(jù)處理模塊被配置成:將所述經(jīng)加密的數(shù) 據(jù)塊加載到所述第二受信任的執(zhí)行環(huán)境中����,使用所述第一密碼密鑰,解密所述經(jīng)加密的數(shù) 據(jù)塊����,以產(chǎn)生對應(yīng)的經(jīng)解密的數(shù)據(jù)塊,處理所述經(jīng)解密的數(shù)據(jù)塊����,以產(chǎn)生結(jié)果,對所述結(jié)果 進行加密�,以及,將所述經(jīng)加密的結(jié)果存儲在所述云存儲設(shè)備中���,或?qū)⑺鼋?jīng)加密的結(jié)果提 供到所述網(wǎng)關(guān)服務(wù)器中的至少一項��。
[0133] 另一示例系統(tǒng)包括前述的組件����,RKM服務(wù)器被配置成生成第一密碼密鑰。
[0134] 另一示例系統(tǒng)包括前述的組件���,第一公鑰由RKM服務(wù)器認證����。
[0135] 根據(jù)另一方面����,提供了一種方法。該方法可包括將密鑰服務(wù)器模塊從根密鑰管理 ("RKM")服務(wù)器提供到被配置成對于多個客戶機執(zhí)行數(shù)據(jù)處理操作的多個云服務(wù)器中的 一個云服務(wù)器�,所述云服務(wù)器耦合到云存儲設(shè)備��,所述密鑰服務(wù)器模塊是使用第一私鑰簽 名的����;使用與所述第一私鑰相關(guān)的第一公鑰,驗證所述密鑰服務(wù)器模塊�;如果所述密鑰服 務(wù)器模塊被驗證,則在所述云服務(wù)器中的第一受信任的執(zhí)行環(huán)境中啟動所述密鑰服務(wù)器模 塊�����;在網(wǎng)關(guān)服務(wù)器和所述密鑰服務(wù)器模塊之間建立第一安全通信信道�;以及��,通過所述第 一安全通信信道����,將第一密碼密鑰從所述網(wǎng)關(guān)服務(wù)器提供到所述密鑰服務(wù)器模塊�,所述第 一密碼密鑰被配置成解密經(jīng)加密的數(shù)據(jù)塊。
[0136] 另一示例方法包括前述的操作�,還包括將多塊經(jīng)加密的數(shù)據(jù)從網(wǎng)關(guān)服務(wù)器提供到 云服務(wù)器,所述多塊經(jīng)加密的數(shù)據(jù)包括所述經(jīng)加密的數(shù)據(jù)塊����;將所述多塊經(jīng)加密的數(shù)據(jù)存 儲在所述云存儲設(shè)備中;將數(shù)據(jù)處理模塊從所述網(wǎng)關(guān)服務(wù)器提供到所述云服務(wù)器�����,所述數(shù) 據(jù)處理模塊是使用第二私鑰簽名的�;在所述云服務(wù)器中的第二受信任的執(zhí)行環(huán)境中啟動所 述數(shù)據(jù)處理模塊;以及���,使用與所述第二私鑰相關(guān)的第二公鑰�����,驗證所述數(shù)據(jù)處理模塊�;
[0137] 另一示例方法包括前述的操作,還包括�,如果數(shù)據(jù)處理模塊被驗證,則在數(shù)據(jù)處理 模塊以及密鑰服務(wù)器模塊之間建立第二安全通信信道的�����;以及�����,通過所述第二安全通信信 道����,將所述第一密碼密鑰從所述密鑰服務(wù)器模塊提供到所述數(shù)據(jù)處理模塊。
[0138] 另一示例方法包括前述的操作���,還包括將經(jīng)加密的數(shù)據(jù)塊加載到第二受信任的執(zhí) 行環(huán)境中;使用所述第一密碼密鑰�,解密所述經(jīng)加密的數(shù)據(jù)塊,以產(chǎn)生對應(yīng)的經(jīng)解密的數(shù) 據(jù)塊�;通過所述數(shù)據(jù)處理模塊,處理所述經(jīng)解密的數(shù)據(jù)塊��,以產(chǎn)生結(jié)果���;對所述結(jié)果進行加 密�����;以及��,將所述經(jīng)加密的結(jié)果存儲在所述云存儲設(shè)備中����,或?qū)⑺鼋?jīng)加密的結(jié)果提供到所 述網(wǎng)關(guān)服務(wù)器中的至少一項。
[0139] 另一示例方法包括前述的操作�����,還包括通過RKM服務(wù)器來生成第一密碼密鑰�����。
[0140] 另一示例方法包括前述的操作�����,第一公鑰由RKM服務(wù)器認證�。
[0141] 另一示例方法包括前述的操作,使用由密鑰服務(wù)器模塊提供給數(shù)據(jù)處理模塊的第 二密碼密鑰��,對結(jié)果進行加密。
[0142] 根據(jù)一個方面��,提供了一種系統(tǒng)�����。該系統(tǒng)可包括用于將密鑰服務(wù)器模塊從根密鑰 管理("RKM")服務(wù)器提供到被配置成對于多個客戶機執(zhí)行數(shù)據(jù)處理操作的多個云服務(wù)器 中的一個云服務(wù)器的裝置�����,所述云服務(wù)器耦合到云存儲設(shè)備�����,所述密鑰服務(wù)器模塊是使用 第一私鑰簽名的����;用于使用與所述第一私鑰相關(guān)的第一公鑰,驗證所述密鑰服務(wù)器模塊的 裝置����;用于如果所述密鑰服務(wù)器模塊被驗證����,則在所述云服務(wù)器中的第一受信任的執(zhí)行環(huán) 境中啟動所述密鑰服務(wù)器模塊的裝置���;用于在網(wǎng)關(guān)服務(wù)器和所述密鑰服務(wù)器模塊之間建立 第一安全通信信道的裝置;以及����,用于通過所述第一安全通信信道,將第一密碼密鑰從所述 網(wǎng)關(guān)服務(wù)器提供到所述密鑰服務(wù)器模塊的裝置����,所述第一密碼密鑰被配置成解密經(jīng)加密的 數(shù)據(jù)塊。
[0143] 另一示例系統(tǒng)包括前述的組件����,還包括用于將多塊經(jīng)加密的數(shù)據(jù)從網(wǎng)關(guān)服務(wù)器提 供到云服務(wù)器的裝置,所述多塊經(jīng)加密的數(shù)據(jù)包括所述經(jīng)加密的數(shù)據(jù)塊���;用于將所述多塊 經(jīng)加密的數(shù)據(jù)存儲在所述云存儲設(shè)備中的裝置���;用于將數(shù)據(jù)處理模塊從所述網(wǎng)關(guān)服務(wù)器提 供到所述云服務(wù)器的裝置,所述數(shù)據(jù)處理模塊是使用第二私鑰簽名的�����;用于在所述云服務(wù) 器中的第二受信任的執(zhí)行環(huán)境中啟動所述數(shù)據(jù)處理模塊的裝置;以及����,用于使用與所述第 二私鑰相關(guān)的第二公鑰,驗證所述數(shù)據(jù)處理模塊的裝置����;
[0144] 另一示例系統(tǒng)包括前述的組件,還包括用于如果數(shù)據(jù)處理模塊被驗證����,則在數(shù)據(jù) 處理模塊以及密鑰服務(wù)器模塊之間建立第二安全通信信道的裝置;以及��,用于從密鑰服務(wù) 器提供第一密碼密鑰的裝置�����。
[0145] 另一示例系統(tǒng)包括前述的組件����,還包括用于將經(jīng)加密的數(shù)據(jù)塊加載到第二受信任 的執(zhí)行環(huán)境中的裝置;用于使用所述第一密碼密鑰���,解密所述經(jīng)加密的數(shù)據(jù)塊,以產(chǎn)生對應(yīng) 的經(jīng)解密的數(shù)據(jù)塊的裝置;用于通過所述數(shù)據(jù)處理模塊���,處理所述經(jīng)解密的數(shù)據(jù)塊�,以產(chǎn)生 結(jié)果的裝置����;用于對所述結(jié)果進行加密的裝置;以及�,用于將所述經(jīng)加密的結(jié)果存儲在所 述云存儲設(shè)備中,或?qū)⑺鼋?jīng)加密的結(jié)果提供到所述網(wǎng)關(guān)服務(wù)器中的至少一項的裝置����。
[0146] 另一示例系統(tǒng)包括前述的組件,還包括用于通過RKM服務(wù)器來生成第一密碼密鑰 的裝置���。
[0147] 另一示例系統(tǒng)包括前述的組件����,第一公鑰由RKM服務(wù)器認證����。
[0148] 另一示例系統(tǒng)包括前述的組件,使用由密鑰服務(wù)器模塊提供給數(shù)據(jù)處理模塊的第 二密碼密鑰���,對結(jié)果進行加密�。
[0149] 此處所使用的術(shù)語和表達被用作描述的術(shù)語,在使用這樣的術(shù)語和表達時��,沒有 排除所示出的和所描述的特征的任何等效內(nèi)容(或其某些部分)��,應(yīng)該認識到�����,在權(quán)利要求 書的范圍內(nèi)�,各種修改都是可以的。相應(yīng)地���,權(quán)利要求書旨在涵蓋所有這樣的等效內(nèi)容�����。
【主權(quán)項】
1. 一種系統(tǒng)�����,包括: 包括第一受信任的執(zhí)行環(huán)境的云服務(wù)器���,所述云服務(wù)器是被配置成為多個客戶機執(zhí)行 數(shù)據(jù)處理操作的多個云服務(wù)器中的一個���; 耦合到所述云服務(wù)器的云存儲設(shè)備; 包括密鑰服務(wù)器模塊的根密鑰管理("RKM")服務(wù)器���,所述RKM服務(wù)器被配置成利用第 一私鑰對所述密鑰服務(wù)器模塊進行簽名;以及 網(wǎng)關(guān)服務(wù)器��,所述網(wǎng)關(guān)服務(wù)器被配置成將所述經(jīng)簽名的密鑰服務(wù)器模塊提供到所述云 服務(wù)器�, 所述第一受信任的執(zhí)行環(huán)境被配置成利用與所述第一私鑰相關(guān)的第一公鑰,來驗證所 述密鑰服務(wù)器模塊���,且如果所述密鑰服務(wù)器模塊被驗證��,則啟動所述密鑰服務(wù)器模塊��,所述 密鑰服務(wù)器模塊被配置成在所述網(wǎng)關(guān)服務(wù)器和所述密鑰服務(wù)器模塊之間建立第一安全通 信信道�����,所述網(wǎng)關(guān)服務(wù)器被配置成通過所述第一安全通信信道��,將第一密碼密鑰提供到所 述密鑰服務(wù)器模塊�����。2. 如權(quán)利要求1所述的系統(tǒng)���,其特征在于 所述云服務(wù)器包括第二受信任的執(zhí)行環(huán)境�, 所述RKM服務(wù)器被配置成利用第二私鑰來對數(shù)據(jù)處理模塊進行簽名�,以及 所述網(wǎng)關(guān)服務(wù)器被配置成將所述經(jīng)簽名的數(shù)據(jù)處理模塊和多塊經(jīng)加密的數(shù)據(jù)提供到 所述云服務(wù)器,所述多塊經(jīng)加密的數(shù)據(jù)包括所述經(jīng)加密的數(shù)據(jù)塊���, 所述云服務(wù)器被配置成將所述多塊經(jīng)加密的數(shù)據(jù)存儲在所述云存儲設(shè)備中���,以及 所述第二受信任的執(zhí)行環(huán)境被配置成啟動所述數(shù)據(jù)處理模塊,并利用與所述第二私鑰 相關(guān)的第二公鑰�����,來驗證所述數(shù)據(jù)處理模塊�����。3. 如權(quán)利要求2所述的系統(tǒng)�,其特征在于,所述密鑰服務(wù)器模塊被配置成在所述數(shù)據(jù) 處理模塊和所述密鑰服務(wù)器模塊之間建立第二安全通信信道�����,且如果所述數(shù)據(jù)處理模塊被 驗證,則通過所述第二安全通信信道�����,將所述第一密碼密鑰提供到所述數(shù)據(jù)處理模塊�����。4. 如權(quán)利要求3所述的系統(tǒng)��,其特征在于��,所述數(shù)據(jù)處理模塊被配置成: 將所述經(jīng)加密的數(shù)據(jù)塊加載到所述第二受信任的執(zhí)行環(huán)境中�����, 利用所述第一密碼密鑰�����,解密所述經(jīng)加密的數(shù)據(jù)塊�����,以產(chǎn)生對應(yīng)的經(jīng)解密的數(shù)據(jù)塊�,處 理所述經(jīng)解密的數(shù)據(jù)塊以產(chǎn)生結(jié)果,加密所述結(jié)果���,以及將所述經(jīng)加密的結(jié)果存儲在所述 云存儲設(shè)備中或?qū)⑺鼋?jīng)加密的結(jié)果提供給所述網(wǎng)關(guān)服務(wù)器中的至少一項��。5. 根據(jù)權(quán)利要求1到4中的任何一個所述的系統(tǒng)��,其特征在于�,所述RKM服務(wù)器被配置 成生成所述第一密碼密鑰��。6. 根據(jù)權(quán)利要求1到4中的任何一個所述的系統(tǒng)�,其特征在于,所述第一公鑰由所述 RKM服務(wù)器來認證����。7. 根據(jù)權(quán)利要求2到4中的任何一個所述的系統(tǒng),其特征在于���,所述第一受信任的執(zhí)行 環(huán)境和所述第二受信任的執(zhí)行環(huán)境是相同的受信任的執(zhí)行環(huán)境����。8. 如權(quán)利要求4所述的系統(tǒng)�,其特征在于,所述數(shù)據(jù)處理模塊被配置成利用由所述密 鑰服務(wù)器模塊所提供的第二密碼密鑰,來加密所述結(jié)果��。9. 一種方法���,包括: 將密鑰服務(wù)器模塊從根密鑰管理("RKM")服務(wù)器提供給被配置成為多個客戶機執(zhí)行 數(shù)據(jù)處理操作的多個云服務(wù)器中的云服務(wù)器�����,所述云服務(wù)器耦合到云存儲設(shè)備�,所述密鑰 服務(wù)器模塊是使用第一私鑰簽名的��; 使用與所述第一私鑰相關(guān)的第一公鑰��,驗證所述密鑰服務(wù)器模塊�����; 如果所述密鑰服務(wù)器模塊被驗證����,則在所述云服務(wù)器中的第一受信任的執(zhí)行環(huán)境中啟 動所述密鑰服務(wù)器模塊�����; 在網(wǎng)關(guān)服務(wù)器和所述密鑰服務(wù)器模塊之間建立第一安全通信信道�;以及 通過所述第一安全通信信道���,將第一密碼密鑰從所述網(wǎng)關(guān)服務(wù)器提供到所述密鑰服務(wù) 器模塊,所述第一密碼密鑰被配置成解密經(jīng)加密的數(shù)據(jù)塊����。10. 如權(quán)利要求9所述的方法,其特征在于��,進一步包括: 將多塊經(jīng)加密的數(shù)據(jù)從所述網(wǎng)關(guān)服務(wù)器提供到所述云服務(wù)器�����,所述多塊經(jīng)加密的數(shù)據(jù) 包括所述經(jīng)加密的數(shù)據(jù)塊��; 將所述多塊經(jīng)加密的數(shù)據(jù)存儲在所述云存儲設(shè)備中�; 將數(shù)據(jù)處理模塊從所述網(wǎng)關(guān)服務(wù)器提供到所述云服務(wù)器,所述數(shù)據(jù)處理模塊是使用第 二私鑰簽名的����; 在所述云服務(wù)器中的第二受信任的執(zhí)行環(huán)境中啟動所述數(shù)據(jù)處理模塊;以及 使用與所述第二私鑰相關(guān)的第二公鑰����,驗證所述數(shù)據(jù)處理模塊。11. 如權(quán)利要求10所述的方法,其特征在于��,進一步包括: 如果所述數(shù)據(jù)處理模塊被驗證��,則在所述數(shù)據(jù)處理模塊和所述密鑰服務(wù)器模塊之間建 立第二安全通信信道���;以及 通過所述第二安全通信信道�,將所述第一密碼密鑰從所述密鑰服務(wù)器模塊提供到所述 數(shù)據(jù)處理模塊���。12. 如權(quán)利要求11所述的方法�����,其特征在于�,進一步包括: 將所述經(jīng)加密的數(shù)據(jù)塊加載到所述第二受信任的執(zhí)行環(huán)境中�; 使用所述第一密碼密鑰��,解密所述經(jīng)加密的數(shù)據(jù)塊���,以產(chǎn)生對應(yīng)的經(jīng)解密的數(shù)據(jù)塊�����; 通過所述數(shù)據(jù)處理模塊��,處理所述經(jīng)解密的數(shù)據(jù)塊�,以產(chǎn)生結(jié)果; 加密所述結(jié)果�;以及 將所述經(jīng)加密的結(jié)果存儲在所述云存儲設(shè)備中或?qū)⑺鼋?jīng)加密的結(jié)果提供給所述網(wǎng) 關(guān)服務(wù)器中的至少一項。13. 如權(quán)利要求9所述的方法�,其特征在于,進一步包括: 由所述RKM服務(wù)器����,生成所述第一密碼密鑰。14. 根據(jù)權(quán)利要求9所述的方法����,其特征在于,所述第一公鑰由所述RKM服務(wù)器來認證��。15. 根據(jù)權(quán)利要求10所述的方法�����,其特征在于���,所述第一受信任的執(zhí)行環(huán)境和所述第 二受信任的執(zhí)行環(huán)境是相同的受信任的執(zhí)行環(huán)境���。16. 如權(quán)利要求12所述的方法���,其特征在于,利用由所述密鑰服務(wù)器模塊向所述數(shù)據(jù) 處理模塊所提供的第二密碼密鑰��,來加密所述結(jié)果�。17. -種系統(tǒng),包括單獨或組合地存儲指令的一個或多個存儲介質(zhì)���,所述指令在被一個 或多個處理器執(zhí)行時導(dǎo)致以下操作��,所述操作包括: 根據(jù)權(quán)利要求9到16中的任何一個所述的操作��。
【專利摘要】一般而言�,本發(fā)明描述了用于公共云中的受信任的數(shù)據(jù)處理的系統(tǒng)和方法���。系統(tǒng)可包括其中包括受信任的執(zhí)行環(huán)境的云服務(wù)器����,所述云服務(wù)器是多個云服務(wù)器中的一個��,耦合到所述云服務(wù)器的云存儲設(shè)備�����,以及��,包括密鑰服務(wù)器模塊的RKM服務(wù)器�����,所述RKM服務(wù)器被配置成利用私鑰對所述密鑰服務(wù)器模塊進行簽名����;以及,網(wǎng)關(guān)服務(wù)器���,所述網(wǎng)關(guān)服務(wù)器被配置成將所述經(jīng)簽名的密鑰服務(wù)器模塊提供到所述云服務(wù)器�,所述受信任的執(zhí)行環(huán)境被配置成利用與私鑰相關(guān)的公鑰���,來驗證所述密鑰服務(wù)器模塊���,并且啟動所述密鑰服務(wù)器模塊,所述密鑰服務(wù)器模塊被配置成在所述網(wǎng)關(guān)服務(wù)器和所述密鑰服務(wù)器模塊之間建立安全通信信道�����,所述網(wǎng)關(guān)服務(wù)器被配置成通過所述安全通信信道,將密碼密鑰提供到所述密鑰服務(wù)器模塊�����。
【IPC分類】H04L9/14, H04L9/30
【公開號】CN105027494
【申請?zhí)枴緾N201380073102
【發(fā)明人】V·費加德, N·K·簡恩, J·沃克
【申請人】英特爾公司
【公開日】2015年11月4日
【申請日】2013年3月14日
【公告號】US9118639, US20140281531, WO2014142858A1