一种装置,包括:一个或多个处理器,其用于:接收来自应用程序的第一请求以访问来自云密钥库的一个或多个加密密钥,向云密钥库发送该第一请求,从云密钥库接收加密密钥,提供对应用程序的一个或多个加密密钥的访问,并将一个或多个加密密钥存储在受信任的执行环境中。个或多个加密密钥存储在受信任的执行环境中。个或多个加密密钥存储在受信任的执行环境中。
【技术实现步骤摘要】
云密钥访问机制
[0001]本专利技术涉及云密钥访问机制。
技术介绍
[0002]应用程序越来越多地使用云托管密钥管理(或密钥库服务)在云中存储加密密钥。密钥库服务从本地输出应用程序中卸载密钥管理,在本地输出应用程序中应用程序通常需要使用密钥库服务来启动新的会话。这有两个主要缺点。首先,密钥的实时传输(尽管以加密格式)构成了攻击面。其次,如果每次应用程序需要密钥时都必须从远程服务检索,这也存在延迟的影响。
技术实现思路
[0003]本专利技术提供了一种装置,包括:一个或多个处理器,用于:接收来自应用程序的第一请求以访问来自云密钥库的一个或多个加密密钥,向云密钥库发送所述第一请求,从云密钥库接收加密密钥,提供对应用程序的所述一个或多个加密密钥的访问,以及将一个或多个加密密钥存储在受信任的执行环境中。
附图说明
[0004]为了详细理解上述特征的方式,可以参考实施例进行更详细的描述,如上文简要概述,其中一些实施例在附图中进行了说明。然而,应注意的是,附图仅示出了典型实施例,因此不应视为对其范围的限制,因为本公开可能允许其他同等有效的实施例。
[0005]图1示出计算设备的一个实施例。
[0006]图2示出平台的实施例。
[0007]图3示出平台的另一个实施例。
[0008]图4示出传统的密钥访问模型。
[0009]图5示出平台的另一个实施例。
[0010]图6是示出密钥供应过程的一个实施例的流程图。
[0011]图7是示出密钥访问过程的一个实施例的流程图。
[0012]图8是一种示例性的电子计算设备的示意图。
具体实施方式
[0013]在以下描述中,阐述了许多具体细节,以提供更透彻的理解。然而,对于本领域技术人员来说,显而易见的是,可以在没有这些特定细节中的一个或多个的情况下实施实施例。在其他情况下,为了避免混淆实施例,未描述公知特征。
[0014]在实施例中,提供了一种机制,通过将密钥访问请求重定向到本地平台受信任的执行环境(TEE),从远程密钥库服务访问加密密钥。
[0015]提及“一个实施例”、“一个实例”、“示例性实施例”和“各种实施例”等,表明如此描
述的实施例可以包括特定特征、结构或特征,但并非每个实施例都必须包括特定特征(features)、结构(structures)或特性(characteristics)。此外,一些实施例可以具有针对其他实施例描述的某些、全部或没有特征。在以下描述和权利要求中,可以使用术语“耦合”及其派生词。“耦合”用于表示两个或多个元件相互合作或相互作用,但它们之间可能有或可能没有中间的物理或电子组件。如权利要求书中所使用的,除非另有说明,使用顺序形容词“第一”、“第二”、“第三”等来描述共同的元素,只是指示所提及的类似元素的不同实例,并不旨在暗示所述的元素必须按照给定的顺序,无论是在时间上、空间上、排名上,还是以任何其它方式。
[0016]图1示出计算设备100的一个实施例。根据一个实施例,计算设备100包括托管集成电路(“IC”)的计算机平台,诸如芯片上的系统(“SoC”或“SOC”),在单个芯片上集成计算设备100的各种硬件和/或软件组件。如图所示,在一个实施例中,计算设备100可以包括任何数量和类型的硬件和/或软件组件,诸如(但不限于)图形处理单元114(“GPU”或简称为“图形处理器”)、图形驱动器116(也称为“GPU驱动器”、“图形驱动器逻辑”、“驱动器逻辑”、用户模式驱动器(UMD)、UMD、用户模式驱动器框架(UMDF)、UMDF,或简称为“驱动器”)、中央处理单元112(“CPU”或简称为“应用程序处理器”)、存储器108、网络设备、驱动器等,以及输入/输出(I/O)源104,诸如触摸屏、触摸面板、触摸板、虚拟或常规键盘、虚拟或常规鼠标、端口、连接器等。计算设备100可以包括作为计算设备100的硬件和/或物理资源与用户之间接口的操作系统(OS)106。
[0017]应当理解,对于某些实施方式,可能优选配备比上述示例更少或更多的系统。因此,计算设备100的配置可能因实现方式而异,这取决于许多因素,诸如价格约束、性能要求、技术改进或其它情况。
[0018]实施例可以实现为如下中的任何一个或组合:使用主板互连的一个或多个微芯片或集成电路、硬连线逻辑、由存储器设备存储并由微处理器执行的软件、固件、专用集成电路(ASIC)和/或现场可编程门阵列(FPGA)。术语“逻辑”、“模块”、“组件”、“引擎”和“机制”可以包括软件或硬件和/或它们的组合,诸如固件。
[0019]实施例可以使用一个或多个存储器芯片、控制器、CPU(中央处理器)、使用主板互连的微芯片或集成电路、专用集成电路(ASIC)和/或现场可编程门阵列(FPGA)来实现。例如,术语“逻辑”可包括软件或硬件和/或软件和硬件的组合。
[0020]图2示出平台200的一个实施例,包括类似于上面讨论的计算设备100的SOC 210。如图2中所示,平台200包括经由CPU 112与一个或多个软件组件260通信耦合的SOC 210。在进一步的实施例中,平台200还可以经由云网络210耦合到计算设备270。在本实施例中,计算设备270包括经由软件260提供对SOC 210的访问的云代理。
[0021]此外,SOC 210包括经由系统结构205耦合的其它计算设备组件(例如存储器108)。在一个实施例中,系统结构205包括集成片上系统结构(IOSF),以向耦合SOC 210内的互连协议(IP)代理230(例如,IP块230A和230B)提供标准化片上互连协议。在这样的实施例中,互连协议提供了标准化接口,以使第三方能够设计逻辑,例如要并入SOC 210中的IP代理。
[0022]根据实施例,IP代理230可包括通用处理器(例如,有序或无序核)、固定功能单元、图形处理器、I/O控制器、显示控制器等。在这样的实施例中,每个IP代理230包括硬件接口235(例如,235A和235B),以提供标准化以使IP代理230能够与SOC 210组件通信。例如,在IP
代理230是第三方视觉处理单元(VPU)的实施例中,接口235提供了一种标准化,以使VPU能够经由结构205访问存储器108。
[0023]SOC 210还包括安全控制器240,其作为安全引擎为SOC 210执行各种安全操作(例如,安全处理、加密功能等)。在一个实施例中,安全控制器240包括实现为执行安全操作的密码处理器IP代理230。此外,SOC 210包括非易失性存储器250。非易失性存储器250可以被实现为外围组件互连快速(PCIe)存储驱动器,例如固态驱动器(SSD)或非易失存储器快速(NVMe)驱动器。
[0024]根据一个实施例,平台200可以实现为可信执行环境(TEE)。TEE是平台200的安全区域,其保证加载在平台200内的代码和数据在保密性和完整性方面受到保护。此外,TEE是一个隔离的执行环境,它提本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种装置,包括:一个或多个处理器,用于:接收来自应用程序的第一请求以访问来自云密钥库的一个或多个加密密钥,向所述云密钥库发送所述第一请求,从所述云密钥库接收所述加密密钥,向所述应用程序提供对所述一个或多个加密密钥的访问,以及将所述一个或多个加密密钥存储在受信任的执行环境中。2.根据权利要求1所述的装置,其中,所述一个或多个处理器用于:向所述云密钥库发送确认,该确认指示所述一个或多个加密密钥已存储在所述受信任的执行环境中。3.根据权利要求2所述的装置,其中,所述一个或多个处理器还用于:接收来自所述应用程序的第二请求,以访问来自所述云密钥库的所述一个或多个密钥,并向所述云密钥库发送所述第二请求。4.根据权利要求3所述的装置,其中,所述一个或多个处理器还用于:从所述密钥库接收重定向密钥访问请求。5.根据权利要求4所述的装置,其中,所述一个或多个处理器还用于:从所述受信任执行环境检索所述一个或多个加密密钥,并向所述应用程序提供对所述一个或多个加密密钥的访问。6.根据权利要求5所述的装置,其中,所述一个或多个处理器还用于:向域控制器发送认证请求并从所述域控制器接收密钥访问令牌。7.根据权利要求6所述的装置,其中,使用所述密钥访问令牌将所述第一请求发送到所述云密钥库。8.一种装置,包括:一个或多个处理器,用于:从客户端处的应用程序接收第一请求以访问一个或多个加密密钥,将所述一个或多个加密密钥发送到所述客户端处的密钥库客户端,以及设定标志,该标志指示所述一个或多个密钥已存储在所述客户端处的受信任的执行环境中。9.根据权利要求8所述的装置,其中,所述一个或多个处理器还用于:接收来自所述密钥库客户端的确认,该确认指示所述一个或多个加密密钥已存储在所述受信任的执行环境中。10.根据权利要求9所述的装置,其中,所述一个或多个处理器还用于:接收来...
【专利技术属性】
技术研发人员:A,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。