【技术实现步骤摘要】
【国外来华专利技术】结合容器化应用程序使用时保护秘密的系统和方法
[0001]相关申请交叉引用
[0002]本申请要求
2021
年3月
29
日提交的第
63/167,459
号美国临时申请的优先权,所述美国临时申请的公开内容以引用的方式并入本文中
。
技术介绍
[0003]本公开大体上涉及数据安全,并且具体地,涉及在由容器化应用程序使用期间对秘密
(
例如数据加密密钥
)
的保护
。
[0004]电子交易
(
包括但不限于金融交易
)
可能需要数据安全
。
在用于电子通信的典型安全协议中,参与交易的系统具有不应与任何其它装置共享的数据加密密钥
(
例如,公钥
/
私钥对中的私钥或会话密钥
)。
数据加密密钥
(
有时称为“DEK”)
可持久地存储在仅由计算机系统上的授权进程可读的硬件安全模块或其它密钥存储系统中
。>然而,为了使用数据本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.
一种在虚拟机中实施的方法,所述虚拟机在计算机系统的处理器中执行程序代码,所述方法包括:经由在所述虚拟机中执行的应用程序接口从客户端
app
接收访问数据加密密钥的请求;经由在所述虚拟机中执行的证明客户端连接到密钥存储系统以请求所述数据加密密钥;从所述密钥存储系统接收证明质询;生成对所述证明质询的响应,其中所述响应包括由所述处理器基于所述虚拟机中执行的所述程序代码生成的数据块;将所述响应发送到所述密钥存储系统;从所述密钥存储系统接收所述数据加密密钥;将所述数据加密密钥存储在所述虚拟机的受保护存储器区域中;以及使用所述数据加密密钥来对经由所述应用程序接口从所述客户端
app
接收的后续请求作出响应
。2.
根据权利要求1所述的方法,其特征在于,所述密钥存储系统包括密钥管理服务,所述密钥管理服务生成所述证明质询,确定对所述证明质询的所述响应是否成功,并且仅在对所述证明质询的所述响应成功时才从安全密钥存储装置检取所述数据加密密钥
。3.
根据权利要求2所述的方法,其特征在于,所述密钥管理服务在生成所述证明质询之前确定所述客户端
app
是否被授权接收所述数据加密密钥,并且其中仅在所述客户端
app
被授权接收所述数据加密密钥的情况下才生成所述证明质询
。4.
根据权利要求1所述的方法,其特征在于,所述虚拟机被执行为安全虚拟机
。5.
根据权利要求4所述的方法,其特征在于,所述虚拟机是使用
AMD SEV
技术来执行的
。6.
根据权利要求4所述的方法,其特征在于,由所述处理器生成的所述数据块包括基于安装在所述计算机系统的系统存储器中的所述安全虚拟机的未加密图像的启动摘要
。7.
一种其中存储有程序代码指令的计算机可读存储介质,所述程序代码指令在由计算机系统的处理器执行时,使所述计算机系统执行方法,所述方法包括:在所述计算机系统中建立安全虚拟机;在所述安全虚拟机内执行应用程序接口;经由所述应用程序接口从客户端
app
接收访问数据加密密钥的请求;经由在所述虚拟机中执行的证明客户端连接到密钥存储系统以请求所述数据加密密钥;从所述密钥存储系统接收证明质询;生成对所述证明质询的响应,其中所述响应包括由所述处理器基于所述虚拟机中执行的所述程序代码生成的数据块;将所述响应发送到所述密钥存储系统;从所述密钥存储系统接收所述数据加密密钥;将所述数据加密密钥存储在所述虚拟机的受保护存储器区域中;以及使用所述数据加密密钥来对经由所述应用程序接口从所述客户端
app
接收的后续请求作出响应
。
8.
根据权利要求7所述的计算机可读存储介质,其特征在于,所述密钥存储系统包括硬件存储模块或数据仓中的一者或多者
。9.
根据权利要求7所述的计算机可读存储介质,其特征在于,所述处理器是实施
SEV
技术的
AMD
处理器
。10.
根据权利要求7所述的计算机可读存储介质,其特征在于,所述虚拟机被实施为
Kata
容器
。11.
...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。