【技术实现步骤摘要】
【国外来华专利技术】将安全模块的安全对象绑定到安全访客
技术介绍
[0001]一个或多个方面一般涉及计算环境内的处理,尤其涉及保护此类环境内的数据。
[0002]在计算环境中,密码元件是保护数据中的有用技术组件。可以以加密安全形式存储或传输信息,以便避免对所存储或传输的信息的未授权访问。在一些情况下,可以使用基于软件的技术来执行这样的数据保护;在其他情况下,可以使用硬件支持和安全性特定元素。这些特定元件可以被称为硬件安全模块(HSM),其可以用作计算环境的计算机或信息传输系统的一部分。
[0003]硬件安全模块可包括特定电路以提供用于数据加密和数据解密的功能。功能还可以包括生成和存储用于访客(guest)系统(也称为访客)的加密密钥。不同访客(例如,虚拟机、虚拟服务器等)由管理程序或虚拟机管理器控制。由公共管理程序管理的不同访客可以由不同的所有者生成。传统管理程序对其托管的访客具有完全控制。具体地,管理程序具有检查甚至修改托管的访客的存储器的能力。在云环境中,管理程序及其管理员将是完全可信的。
[0004]由管理程序管理的一些访客是安全访客。安全...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于促进计算环境内的处理的计算机程序产品,所述计算机程序产品包括:至少一个计算机可读存储介质,所述至少一个计算机可读存储介质可由至少一个处理电路读取并存储用于执行一种方法的指令,所述方法包括:将所述计算环境的安全模块的至少一个安全对象绑定到所述计算环境的安全访客,所述安全访客被配置为使用所述安全模块,并且其中所述绑定包括:由所述计算环境的可信组件确定所述安全访客的元数据是否包括所述安全模块的机密绑定属性;由所述可信组件基于确定所述元数据包括所述机密绑定属性,在选择模式中配置用于所述安全访客的所述安全模块,所述选择模式防止某些操作由与所述安全访客相关联的管理程序拦截;由所述可信组件拦截安全模块通信;使用所述机密绑定属性对所述安全模块通信的一个或多个安全对象执行密码操作以提供密码结果;以及向接收器提供所述安全模块通信的结果,所述结果包括所述密码结果。2.根据权利要求1所述的计算机程序产品,其中,所述安全模块通信是从所述安全访客至所述安全模块的请求,所述密码操作包括解密操作以对所述请求的所述一个或多个安全对象中的安全对象的至少一部分进行解密,并且其中,所述接收器是所述安全模块。3.根据权利要求2所述的计算机程序产品,其中,所述解密操作包括解密包括加密的完整性保护的所述安全对象内的数据,所述解密使用从所述机密绑定属性中获得的密钥。4.根据权利要求1所述的计算机程序产品,其中,所述安全模块通信包括由所述安全模块基于处理所述请求返回的请求的结果,所述密码操作包括加密所述结果的所述一个或多个安全对象中的安全对象的至少一部分的加密操作,并且其中,所述接收器是所述安全访客。5.根据权利要求4所述的计算机程序产品,其中,所述加密操作包括对所述安全对象内的数据进行加密,所述安全对象包括使用所述安全模块的选择密钥计算的完整性保护以使所述安全对象无效,所述加密使用从所述机密绑定属性中获得的密钥。6.根据权利要求5所述的计算机程序产品,其中,所述方法进一步包括从所述安全访客获得包括一个或多个无效对象的请求,并且其中,所述密码操作包括解密所述一个或多个无效对象内的数据以验证所述一个或多个无效对象,所述解密使用从所述机密绑定属性中获得的所述密钥。7.根据权利要求1所述的计算机程序产品,其中,所述安全模块包括硬件安全模块。8.根据权利要求1所述的计算机程序产品,其中,所述选择模式是管理程序传递模式。9.根据权利要求1所述的计算机程序产品,其中,所述可信组件防止所述管理程序改变被配置为所述安全访客的一组安全模块。10.根据权利要求1所述的计算机程序产品,其中,所述机密绑定属性包括密钥或导出所述密钥的资料。11.根据权利要求1所述的计算机程序产品,其中,所述一个或多个安全对象包括至少一个或多个安全密钥。12.根据权利要求1所述的计算机程序产品,其中,所述方法进一步包括基于确定所述
安全访客的所述元数据不包括所述机密绑定属性,由所述可信组件防止将所述安全模块配置到所述安全访客。13.一种用于促进计算环境内的处理的计算机系统,所述计算机系统包括:存储器;以及与所述存储器通信的处理器...
【专利技术属性】
技术研发人员:R宾德根,R基斯利,V厄本,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。