[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2018518090A - クラウドベースの暗号化マシン鍵インジェクションの方法、装置、及びシステム - Google Patents

クラウドベースの暗号化マシン鍵インジェクションの方法、装置、及びシステム Download PDF

Info

Publication number
JP2018518090A
JP2018518090A JP2017554889A JP2017554889A JP2018518090A JP 2018518090 A JP2018518090 A JP 2018518090A JP 2017554889 A JP2017554889 A JP 2017554889A JP 2017554889 A JP2017554889 A JP 2017554889A JP 2018518090 A JP2018518090 A JP 2018518090A
Authority
JP
Japan
Prior art keywords
key
encryption
subsystem
encryption machine
root
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017554889A
Other languages
English (en)
Other versions
JP2018518090A5 (ja
JP6797828B2 (ja
Inventor
フー,インファン
リウ,シュアンリン
Original Assignee
アリババ グループ ホウルディング リミテッド
アリババ グループ ホウルディング リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アリババ グループ ホウルディング リミテッド, アリババ グループ ホウルディング リミテッド filed Critical アリババ グループ ホウルディング リミテッド
Publication of JP2018518090A publication Critical patent/JP2018518090A/ja
Publication of JP2018518090A5 publication Critical patent/JP2018518090A5/ja
Application granted granted Critical
Publication of JP6797828B2 publication Critical patent/JP6797828B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Electromagnetism (AREA)
  • Databases & Information Systems (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Stored Programmes (AREA)

Abstract

クラウドベースの暗号化マシン鍵インジェクションシステムは、鍵生成デバイスと、鍵生成デバイスと接続された量子鍵配送デバイスとを含む少なくとも1つの鍵インジェクションサブシステムと、仮想暗号化デバイスを保持する暗号化マシンと、暗号化マシンと接続された量子鍵配送デバイスとを含むクラウドベースの暗号化マシンホスティングサブシステムとを含む。鍵インジェクションサブシステム及び暗号化マシンホスティングサブシステムは、それらのそれぞれの量子鍵配送デバイスを通して互いに接続される。鍵生成デバイスは、仮想暗号化デバイスのルート鍵コンポーネントを生成し、暗号化マシンにルート鍵コンポーネントを送ることができる。暗号化マシンは、1つ又は複数の鍵生成デバイスからルート鍵コンポーネントを受信し、受信されたルート鍵コンポーネントに従って仮想暗号化デバイスのルート鍵を合成することができる。

Description

関連出願の相互参照
本出願は、2015年4月22日に出願された中国特許出願公開第201510195062.7号に対する優先権の利益を主張するものであり、その全内容が参照により本明細書に援用される。
技術分野
本出願は、クラウドベースの暗号化マシン鍵インジェクションの方法、装置、及びシステムに関する。
背景
暗号化マシンは、多くの場合、特に銀行業界においてデータ機密性を保護するために使用される。その主な機能の1つは、鍵の保存である。銀行業界の標準的な鍵システムは、異なるレベルでの鍵の使用を厳格に制限する3層鍵システムのansi x9.17である。第1の層は、暗号化マシンマスター鍵(ルート鍵とも呼ばれる)であり、第2の層は、銀行マスター鍵(ユーザマスター鍵とも呼ばれる)であり、第3の層は、ユーザワーク鍵又はユーザデータ鍵とも呼ばれるワーク鍵である。
3つのコンポーネントを含むルート鍵は、ハードウェア暗号化マシンに保存され、暗号化マシン外に保存された様々な鍵及び重要データの暗号化鍵を保護するために使用することができる。ユーザマスター鍵の役割は、通信回線上で送られるワーク鍵を暗号化することである。ユーザマスター鍵は、一般的に、ルート鍵の暗号化の保護下にあり、又はハードウェア暗号化マシンに直接保存される。ユーザワーク鍵の役割は、データ機密性、情報認証及びデジタル署名などの機能を実施するための様々な異なるデータを暗号化することであり、ユーザワーク鍵は、ユーザマスター鍵の暗号化の保護下にあり、又はハードウェア暗号化マシンに直接保存される。
使用に先立ち、暗号化マシンにルート鍵をインジェクトする必要がある。暗号化マシンは、通常、ICカードの組(Aカード、Bカード及びCカードを含む)を保持し、起動前に管理スタッフがAカードを暗号化マシンの対応スロットに挿入し、暗号化マシンパネルメニュー又はメーカによって提供された管理プログラムを用いて、ルート鍵の3つのコンポーネント(各コンポーネントは16進数の32である)をインジェクトする。その後、ルート鍵は、Aカード及びBカードに保存され、次にユーザマスター鍵がインジェクトされ、関連する動作の完了後にユーザマスター鍵がCカードに保存される。上記の鍵インジェクションプロセスは、異なる暗号化マシン毎に異なってもよいが、手動でカードを挿入する動作を実行することによってのみ完了することができる。
加えて、クラウドコンピューティングの急速な発展に伴い、データストレージ、データ計算及びデータアプリケーションがますますクラウド対応となり、クラウドユーザの極秘データ及び重要アプリケーションのセキュリティを保証する方法がパブリッククラウドにとって重大な課題である。以前に導入された暗号化マシンは、データ機密性を保護する方法の1つである。クラウド対応の暗号化マシンが多くの場合に望まれる。例えば、ユーザは、対応するクラウド上のユーザのプライベートなビジネスデータを保護するために、クラウドプロバイダの暗号化マシンをホスティングすることができる。
カードを手動で挿入することによって鍵をインジェクトする従来の方法は、暗号化マシンデバイスが比較的少なく、暗号化マシンがクライアントと共にある状況において実現可能である。しかしながら、パブリッククラウドでは、暗号化マシンは、通常、ホスティングを行う顧客のビルから離れた場所に位置し、暗号化マシンデバイスの数が大きく増加するため、従来の方法は、多くの不都合を有する:一方では、クラウドユーザは、鍵をインジェクトするためのカードを挿入するためにクラウドプロバイダへと長距離を移動する必要があり、動作ステップは面倒であり且つ時間及びエネルギーを無駄にし、他方では、様々なクラウドユーザがクラウドプロバイダに出入りするため、クラウドプロバイダの管理効率が低く、潜在的な安全上の問題があり、従って、クラウドプロバイダの暗号化マシンのホスティングに関するクラウドユーザの信用を低下させる。
概要
本開示のある態様は、クラウドベースの暗号化マシン鍵インジェクションシステムに向けられる。鍵インジェクションシステムは、鍵生成デバイスと、鍵生成デバイスと接続された量子鍵配送デバイスとを含む少なくとも1つの鍵インジェクションサブシステムと、仮想暗号化デバイスを保持する暗号化マシンと、暗号化マシンと接続された量子鍵配送デバイスとを含むクラウドベースの暗号化マシンホスティングサブシステムとを含む。鍵インジェクションサブシステム及び暗号化マシンホスティングサブシステムは、それらのそれぞれの量子鍵配送デバイスを通して互いに接続される。鍵生成デバイスは、ルート鍵コンポーネントを生成し、量子鍵配送デバイスを介して暗号化マシンにルート鍵コンポーネントを送信してもよい。暗号化マシンは、1つ又は複数の鍵生成デバイスからルート鍵コンポーネントを受信し、受信されたルート鍵コンポーネントに従って仮想暗号化デバイスのルート鍵を合成してもよい。
一部の実施形態によれば、量子鍵配送デバイスは、鍵生成デバイスと暗号化マシンとの間の共有鍵ペアを取り決めてもよく、少なくとも1つの鍵インジェクションサブシステムの量子鍵配送デバイスは、取り決められた共有鍵を用いて、暗号化マシンに対するルート鍵コンポーネントの暗号化送信を行ってもよい。
一部の実施形態によれば、少なくとも1つの鍵インジェクションサブシステムは、1つの鍵インジェクションサブシステムを含み、鍵インジェクションサブシステムの鍵生成デバイスは、仮想暗号化デバイスの幾つかのルート鍵コンポーネントを生成し、量子鍵配送デバイスを介して暗号化マシンにルート鍵コンポーネントを送信してもよい。一部の他の実施形態では、暗号化マシンは、仮想暗号化デバイスの1つのルート鍵コンポーネントを生成し、少なくとも1つの鍵インジェクションサブシステムからの受信されたルート鍵コンポーネントと、暗号化マシンからのルート鍵コンポーネントとに従って仮想暗号化デバイスのルート鍵を合成してもよい。
一部の他の実施形態では、少なくとも1つの鍵インジェクションサブシステムは、クラウドベースの管理サブシステムと、クライアント端末に位置するユーザサブシステムとを含み、管理サブシステムは、量子鍵配送デバイスと、鍵生成デバイスを含む管理デバイスとを含み、ユーザサブシステムは、量子鍵配送デバイスと、鍵生成デバイスを含む端末デバイスとを含む。
一部の他の実施形態では、暗号化マシンは、閾値秘密共有メカニズムに基づく秘密復元アルゴリズムを用いることにより、受信されたルート鍵コンポーネントに従って仮想暗号化デバイスのルート鍵を合成してもよい。
本開示の別の態様は、クラウドベースの暗号化マシン鍵インジェクションシステムによって実施される、暗号化マシンのための鍵インジェクション方法に向けられる。本方法は、暗号化マシンにより、少なくとも1つの鍵インジェクションサブシステムからルート鍵コンポーネントを受信することと、暗号化マシンにより、少なくとも1つの鍵インジェクションサブシステムからの受信されたルート鍵コンポーネントに従ってルート鍵を合成することとを含む。暗号化マシンは、仮想暗号化デバイスを含んでもよく、ルート鍵は、仮想暗号化デバイスのためのものである。各ルート鍵コンポーネントは、少なくとも1つの鍵インジェクションサブシステムの鍵生成デバイスによって生成されてもよい。暗号化マシンは、量子鍵配送デバイスに接続されてもよく、少なくとも1つの鍵インジェクションサブシステムの各々は、量子鍵配送デバイスを含む。ルート鍵コンポーネントは、量子鍵配送デバイスを介して少なくとも1つの鍵インジェクションサブシステムから暗号化マシンに送られてもよい。暗号化マシンは、閾値秘密共有メカニズムに基づく秘密復元アルゴリズムを用いることにより、受信されたルート鍵コンポーネントに従ってルート鍵を合成してもよい。
一部の実施形態によれば、鍵インジェクション方法は、暗号化マシンにより、ルート鍵コンポーネントを生成することをさらに含んでもよい。暗号化マシンは、少なくとも1つの鍵インジェクションサブシステムからの受信されたルート鍵コンポーネントと、暗号化マシンによって生成されたルート鍵コンポーネントとに従ってルート鍵を合成する。
一部の他の実施形態によれば、鍵インジェクション方法は、暗号化マシンにより、少なくとも1つの鍵インジェクションサブシステムの各々と共有鍵ペアを取り決めることをさらに含んでもよい。少なくとも1つの鍵インジェクションサブシステムからのルート鍵コンポーネントは、共有鍵ペアの鍵を用いて暗号化される。
少なくとも1つの鍵インジェクションサブシステムは、クラウドベースの管理サブシステムと、クライアント端末に位置するユーザサブシステムとを含んでもよく、クラウドベースの管理サブシステムは、鍵生成デバイスを含み、ユーザサブシステムは、鍵生成デバイスを含む。
本開示の別の態様は、暗号化マシンのための鍵インジェクション装置に向けられ、本装置は、クラウドベースの暗号化マシン鍵インジェクションシステムにおいて配置される。本装置は、少なくとも1つの鍵インジェクションサブシステムと共有鍵ペアを取り決める共有鍵ペア取り決めユニットと、暗号化マシン上の仮想暗号化デバイスのルート鍵コンポーネントを生成するルート鍵コンポーネント生成ユニットと、ルート鍵コンポーネント生成ユニットによって生成されたルート鍵コンポーネントと、少なくとも1つの鍵インジェクションサブシステムから受信されたルート鍵コンポーネントとに従ってルート鍵を合成するルート鍵合成ユニットとを含む。一部の実施形態によれば、少なくとも1つの鍵インジェクションサブシステム及び暗号化マシンは、量子鍵配送デバイスを含むか、又は量子鍵配送デバイスに接続されてもよく、ルート鍵コンポーネントは、それぞれ量子鍵配送デバイスを介して暗号化マシンに送られてもよい。
本開示の別の態様は、クラウドベースの暗号化マシンをホスティングする方法に向けられる。本方法は、クラウドユーザにより、端末デバイスを通して、クラウドに位置する管理デバイスに対して暗号化マシンホスティング要求を送信することと、管理デバイスにより、受信された要求に従って、クラウドでホスティングされる仮想暗号化デバイスをクラウドユーザに割り当てることであって、仮想暗号化デバイスは、暗号化マシンによって保持される、割り当てることと、仮想暗号化デバイスのルート鍵を暗号化マシンにインジェクトすることとを含む。仮想暗号化デバイスのルート鍵を暗号化マシンにインジェクトすることは、管理デバイス及びクラウドユーザにより、仮想暗号化デバイスのルート鍵コンポーネントを生成することと、ルート鍵コンポーネントを暗号化マシンに送信することと、暗号化マシンにより、受信されたルート鍵コンポーネントに従って仮想暗号化デバイスのルート鍵を合成することとを含んでもよい。
本開示の追加の特徴及び利点は、一部には以下の詳細な説明に記載され、一部にはその説明から自明となり、又は本開示の実践から学ぶことができる。本開示の特徴及び利点は、添付の特許請求の範囲に具体的に挙げられた要素及び組み合わせによって実現及び達成されるであろう。
上記の概要及び以下の詳細な説明は、例示的及び説明のためのものに過ぎず、特許請求される本発明を限定するものではないことが理解される。
図面の簡単な説明
本明細書の一部を構成する添付の図面は、幾つかの実施形態を図示し、本明細書と共に開示される原理の説明に役立つ。
例示的実施形態によるクラウドベースの暗号化マシン鍵インジェクションシステムを示すグラフィック描写である。 例示的実施形態によるクラウドベースの暗号化マシン鍵インジェクションシステムを示すブロック図である。 例示的実施形態による鍵インジェクション方法を示すフロー図である。 別の例示的実施形態による鍵インジェクション装置を示すブロック図である。 例示的実施形態による、クラウドベースの暗号化マシンをホスティングする方法を示すフロー図である。 別の例示的実施形態による、クラウドベースの暗号化マシンをホスティングする装置を示すブロック図である。
詳細な説明
これより、添付の図面に例が示される例示的実施形態に詳細に言及する。以下の説明は、異なる図面の同一の番号が、別段の表示がなければ同一又は類似の要素を示す添付の図面を参照する。本発明に従った例示的実施形態の以下の説明に記載される実装形態は、本発明に従った全ての実装形態を示すわけではない。代わりに、それらは、添付の特許請求の範囲に記載される本発明に関連する態様に従ったシステム及び方法の例に過ぎない。
本出願では、以下に説明されるクラウドベースの暗号化マシン鍵インジェクションシステム、暗号化マシンのための鍵インジェクション方法及び対応する装置、並びにクラウドで暗号化マシンをホスティングする方法及び対応する装置が提供される。
本例において提供されるクラウドベースの暗号化マシン鍵インジェクションシステムは、少なくとも1つの鍵インジェクションサブシステムと、クラウドに位置する暗号化マシンホスティングサブシステムとを含む。鍵インジェクションサブシステムは、鍵生成デバイスと、鍵生成デバイスと接続された量子鍵配送デバイスとを含み、暗号化マシンホスティングサブシステムは、クラウドユーザによってホスティングされる仮想暗号化デバイスとしての暗号化マシンと、暗号化マシンと接続された量子鍵配送デバイスとを含む。鍵インジェクションサブシステム及び暗号化マシンホスティングサブシステムは、それらのそれぞれの量子鍵配送デバイスを通して互いに接続される。
一部の実施形態では、クラウドユーザによってクラウドでホスティングされる暗号化マシンは、物理的な暗号化マシンでもよく、また、暗号化マシンが保持する仮想暗号化デバイスでもよい。複数のクラウドユーザが1つの暗号化マシンを共有してもよく、同じ暗号化マシンを共有する各クラウドユーザは、別個の仮想暗号化デバイスを所有する。以下のように理解することもできる:1つの暗号化マシンが一人のクラウドユーザのみに割り当てられる場合、クラウドユーザによってクラウドでホスティングされる仮想暗号化デバイスは、暗号化マシンである。上記2つのホスティングの方法の差は、本出願の技術的解決法の実施に影響を与えないことから、説明を容易にするために、本明細書の例において上記2つの状況は区別されず、クラウドユーザによってクラウドで仮想暗号化デバイスを使用する説明が以下の例で使用される。
一部の実施形態では、上述のシステム構造に基づいて、システムが1つの鍵インジェクションサブシステムのみを含む場合、鍵インジェクションサブシステム及び暗号化マシンホスティングサブシステムにおける量子鍵配送デバイスは、量子鍵配送プロトコル(例えば、BB84プロトコル)を用いて、接続された鍵生成デバイスと、仮想暗号化デバイスとしての暗号化マシンとの間の共有鍵ペアを取り決めてもよい。鍵生成デバイスは、予め設定されたルート鍵コンポーネント(ルート鍵構成要素とも呼ばれる)の数に従って仮想暗号化デバイスのルート鍵コンポーネントを生成し、取り決められた共有鍵を用いて、仮想暗号化デバイスとしての暗号化マシンへのルート鍵コンポーネントの暗号化送信を行ってもよく、暗号化マシンは、取り決められた共有鍵を用いて、受信されたルート鍵コンポーネントを復号し、仮想暗号化デバイスのルート鍵を、復号されたルート鍵コンポーネントと合成し、ルート鍵を保存してもよい。一部の実施形態では、鍵インジェクションサブシステムは、クラウドベースの管理サブシステムでもよく、また、クライアント端末に位置するユーザサブシステムでもよい。
クラウドユーザは、もはや、手動でカードを挿入する動作を実行するために暗号化マシンホスティング領域に向かう必要がなくなり、仮想暗号化デバイスのルート鍵のリモートインジェクションが実施される。量子鍵は、量子力学と暗号学との異種間生成物として機能するため、そのセキュリティは、量子力学の基本原理に基づいて保証され、攻撃者の演算能力及び記憶容量とは無関係であり、従って、リモート鍵インジェクションプロセスのセキュリティは十分に保証される。
一部の実施形態では、仮想暗号化デバイスのルート鍵のセキュリティをさらに保証し、クラウドプロバイダに対するクラウドユーザの信用も考慮に入れるために、鍵インジェクションサブシステムの数は、予め設定されたルート鍵コンポーネントの数の最大整数よりも少なくてよい。各鍵インジェクションサブシステムにおける鍵生成デバイスは、仮想暗号化デバイスの1つのルート鍵コンポーネントを生成してもよい。暗号化マシンは、仮想暗号化デバイスの1つのルート鍵コンポーネントの生成と、各鍵インジェクションサブシステムから受信されたルート鍵コンポーネント及び暗号化マシンによって生成されたルート鍵コンポーネントに従った仮想暗号化デバイスのルート鍵の合成とに関与する。
上述のシステム実施方法は、比較的よく知られたアプリケーションを用いた従来の暗号化マシン鍵システム、例えば、金融暗号化マシン鍵システムと組み合わせて以下に詳細に説明される。従来の暗号化マシン鍵システムは、3層:ルート鍵、ユーザマスター鍵及びユーザワーク鍵からなり、ルート鍵は、3つのコンポーネントから構成される。システムは、2つの鍵インジェクションサブシステム:クラウドベースの管理サブシステム及びクライアント端末に位置するユーザサブシステム(クラウドユーザとも呼ばれる)を含む。管理サブシステムは、量子鍵配送デバイス及び鍵生成デバイスの機能を行う管理デバイスを含む。ユーザサブシステムは、量子鍵配送デバイス及び鍵生成デバイスの機能を行う端末デバイスを含む。
図1A及び1Bは、クラウドベースの暗号化マシン鍵インジェクションシステム100のブロック図を異なる見方で示す。このシステムは、そのうちの幾つかは任意選択的である多数のコンポーネント及びサブコンポーネントを含む。
システム100は、ネットワーク105によって全て接続される、管理サブシステム101、暗号化マシンホスティングサブシステム102、第1のクラウドユーザ103、及び第2のクラウドユーザ104を含んでもよい。一部の実施形態では、管理サブシステム101は、クラウドプロバイダの暗号化マシンホスティングプラットフォーム管理センターとも呼ばれる場合がある。管理サブシステム101は、第1の管理デバイス111及び第2の管理デバイス121を含んでもよい。管理デバイス111及び121は、暗号化マシンのセキュリティモニタリング、識別、承認ホスティング、監査などに関与することができる。管理デバイス111及び121は、ルート鍵コンポーネントを生成する鍵生成デバイスを含み、ルート鍵コンポーネントを暗号化マシンにリモートでインジェクトすることにより、仮想暗号化デバイス用のルート鍵を作ることができる。管理サブシステム101は、上述の管理デバイス111及び121にそれぞれ接続された第1の量子鍵配送デバイス131及び第2の量子鍵配送デバイス141をさらに含む。暗号化マシンホスティングサブシステム102は、各々が仮想暗号化デバイスを保持する第1の暗号化マシン112及び第2の暗号化マシン122を含み、暗号化マシンホスティング領域とも呼ばれる場合がある。暗号化マシンホスティングサブシステム102は、第1及び第2の暗号化マシン112及び122にそれぞれ接続された第3の量子鍵配送デバイス132及び第4の量子鍵配送デバイス142を含んでもよい。図1Aに示されるように、第3の量子鍵配送デバイス132及び第4の量子鍵配送デバイス142も第1及び第2の量子鍵配送デバイス131及び141に接続される。暗号化マシンホスティングサブシステム102は、ネットワーク105を介してクラウドユーザの量子鍵配送デバイスに接続される第5の量子鍵配送デバイス152及び第6の量子鍵配送デバイス162をさらに含んでもよい。
第1のクラウドユーザ103は、第1の端末デバイス113及び第7の量子鍵配送デバイス123を含む。第2のクラウドユーザ104は、第2の端末デバイス114及び第8の量子鍵配送デバイス124を含む。第1及び第2の端末デバイス113及び114は、ルート鍵コンポーネントを生成する鍵生成デバイスを含んでもよい。図1Aに示されるように、第7の量子鍵配送デバイス123及び第8の量子鍵配送デバイス124は、ネットワーク105を介して第5の量子鍵配送デバイス152及び第6の量子鍵配送デバイス162にそれぞれ接続されてもよい。第1及び第2のクラウドユーザは各々、クラウドサービスに基づいて個人によって使用されるデバイスグループでもよく、また、クラウドサービスに基づいて企業によって使用されてもよい。
ある例では、第1の暗号化マシン112は、ルート鍵がインジェクトされ、クラウドで第1のクラウドユーザによってホスティングされる仮想暗号化デバイスを保持する。管理サブシステム101の第1の管理デバイス111は、1つのルート鍵コンポーネントを仮想暗号化デバイスにインジェクトすることに関与する。第1及び第3の量子鍵配送デバイス131及び132は、管理サブシステム101の第1の管理デバイス111と、暗号化マシンホスティングサブシステム102の第1の暗号化マシン112との間で共有鍵ペアを取り決めてもよい。第1の管理デバイス111は、クラウドプロバイダの管理者の操作により、又はインストールされた鍵生成及び管理プログラムにより、仮想暗号化デバイスの第1のルート鍵コンポーネントを生成し、取り決められた共有鍵を用いて、第1の暗号化マシン112に対する第1のルート鍵コンポーネントの暗号化送信を行ってもよい。第1の暗号化マシン112は、管理サブシステム101によってインジェクトされた第1のルート鍵コンポーネントを取得するため、同じ取り決められた共有鍵を使用して復号を行う。
第5及び第7の量子鍵配送デバイス152及び123は、第1のクラウドユーザ103の第1の端末デバイス113と、第1の暗号化マシン112との間の共有鍵ペアを取り決めてもよい。第1のクラウドユーザ103の端末デバイス113は、第1のクラウドユーザ103の操作により、又はインストールされた鍵生成及び管理プログラムにより、仮想暗号化デバイスの第2のルート鍵コンポーネントを生成し、取り決められた共有鍵を用いて、第1の暗号化マシン112に対する第2のルート鍵コンポーネントの暗号化送信を行ってもよい。第1の暗号化マシン112は、ユーザサブシステム101によってインジェクトされた第2のルート鍵コンポーネントを取得するため、同じ取り決められた共有鍵を使用して復号を行う。
第1の暗号化マシン112は、鍵生成モジュール又は第1の暗号化マシン112が保持するツールにより、仮想暗号化デバイスの第3のルート鍵コンポーネントをランダムに生成してもよい。第1の暗号化マシン112は、1つ又は複数の鍵生成デバイスからルート鍵コンポーネントを受信し、管理サブシステム101及び第1のクラウドユーザ103によってインジェクトされた第1のルート鍵コンポーネント及び第2のルート鍵コンポーネントと、第1の暗号化マシン112によって生成された第3のルート鍵コンポーネントとに従って仮想暗号化デバイスのルート鍵を合成してもよい。第1の暗号化マシン112は、異なるアルゴリズムを用いてルート鍵を合成してもよい。例えば、ルート鍵は、2を法とする加算の方法又はビット排他的論理和の方法で、又は例えばルート鍵が閾値秘密共有メカニズムに基づく秘密復元アルゴリズムを用いることによって合成されるというより複雑な方法で、3つのルート鍵コンポーネントを使用することによって合成されてもよい。
上記の通り、クラウドプロバイダ管理サブシステム、クラウドユーザ、及び暗号化マシンは、それぞれルート鍵を生成するためのコンポーネントを提供する。このメカニズムは、ルート鍵コンポーネントを生成する権利を分散化する。3つのサイドの何れかがルート鍵コンポーネントを漏洩したとしても、ルート鍵のセキュリティ、従ってクラウドにおけるクラウドユーザのサービス及びデータが危険にさらされることがなく、従って、クラウドプロバイダに対するクラウドユーザの信用が高められる。
従来の暗号化マシン鍵システムは、通常、ユーザマスター鍵を含み得る。ユーザマスター鍵を暗号化マシンに保存することは実現可能である。ユーザサブシステムの端末デバイス(例えば、端末デバイス113)は、クラウドユーザの操作により、又はインストールされた鍵生成及び管理プログラムにより、ユーザマスター鍵を生成し、取り決められた共有鍵を用いて、暗号化マシンに対するユーザマスター鍵の暗号化送信を行ってもよい。それに応じて、暗号化マシンは、仮想暗号化デバイスのユーザマスター鍵として、受信されたユーザマスター鍵を保存してもよい。
従来の暗号化マシン鍵システムは、ユーザワーク鍵をさらに含んでもよい。ユーザワーク鍵を暗号化マシンに保存することも実現可能である。ユーザサブシステムの端末デバイス(例えば、端末デバイス113)は、クラウドユーザの操作により、又はインストールされた鍵生成及び管理プログラムにより、ユーザワーク鍵を生成し、取り決められた共有鍵を用いて、仮想暗号化デバイスとしての暗号化マシンに対するユーザワーク鍵の暗号化送信を行ってもよい。それに応じて、暗号化マシンは、仮想暗号化デバイスのユーザワーク鍵として、受信されたユーザワーク鍵を保存してもよい。
一部の実施形態では、上記のような鍵生成又は鍵コンポーネント生成は、管理デバイス(例えば、第1の管理デバイス111)及びユーザの端末デバイス(例えば、端末デバイス113)に含まれる鍵生成デバイスによって実施することができる。鍵生成デバイスは、暗号化マシンに対する鍵コンポーネント又は鍵の暗号化送信も行ってよい。例えば、一部の実施形態では、量子鍵配送デバイスがデータ暗号化及び復号機能を有さない場合、鍵生成デバイスは、量子鍵配送デバイスによって提供された取り決められた量子鍵に従ってルート鍵コンポーネント又は他の鍵を暗号化し、その後、鍵生成デバイスと暗号化マシンとの間の従来のチャネルを介してルート鍵コンポーネント又は他の鍵を暗号化マシンに送る。暗号化マシンは、復号動作を実行することにより、ルート鍵コンポーネント又は他の鍵を取得する。量子鍵配送デバイスがデータ暗号化及び復号機能を有する、すなわち、量子鍵配送デバイスが量子暗号化マシンである場合、鍵生成デバイスは、接続された量子鍵配送デバイスに対してルート鍵コンポーネント又は他の鍵を送信することができ、量子鍵配送デバイスは、取り決められた量子鍵を暗号化に使用し、従来のチャネルを介して暗号化マシン側の量子鍵配送デバイスに、暗号化されたルート鍵コンポーネント又は他の鍵を送る。量子鍵配送デバイスは、復号動作を実行し、復号されたルート鍵コンポーネント又は他の鍵を暗号化マシンに送信する。
ユーザサブシステムは、それ自体の量子鍵配送デバイスを所有するか、又はクラウドの量子鍵配送デバイスを借りてもよい。ユーザサブシステムの量子鍵配送デバイスの物理的位置は、クライアント端末側ではなく、クラウドに位置してもよい。この場合、端末デバイスは、例えばVPNを介して量子鍵配送デバイスにログインすることにより、例えば、取り決められた共有鍵を取得すること、又はインジェクトされるルート鍵コンポーネント若しくはユーザマスター鍵などを暗号化マシンに関連付けられた量子鍵配送デバイスに送信することを含む上記の動作を実施してもよい。
図1A及び1Bは、単に、本出願の実施形態に基づく暗号化マシン鍵インジェクションシステムの概略的なシステム構造図を示す。当業者であれば、ユーザの要望に基づいて多くの変更形態がなされ得ることを理解するはずである。例えば、管理サブシステムにおける管理デバイスの数、及び暗号化マシンホスティングサブシステムにおける暗号化マシンの数は、特定の要求に応じて構成することができ、管理サブシステム及び暗号化マシンホスティングサブシステムがクラウドの同じネットワークドメインに位置してもよく、また、異なるネットワークドメインに位置してもよく、及びそれらの量子鍵配送デバイスが、量子鍵中継機能を有するルーティングデバイスによって互いに接続することができる。別の例として、量子鍵配送デバイスは省かれてもよく、この例では、管理デバイス及び端末デバイスが暗号化マシンと共に共有鍵ペアを取り決めてもよい。さらなる例に関して、完全なシステムとしてメンテナンスサブシステムも含まれ得、メンテナンスサブシステムは、暗号化マシンデバイスメーカによって保持される暗号化マシン上の仮想暗号化デバイスへの初期承認を行うことができる。メンテナンスサブシステムは、暗号化マシンに対して故障監視及びメンテナンスを行うこともできる。
この例で提供されるクラウドベースの暗号化マシン鍵インジェクションシステムは、量子鍵技術をクラウド対応の暗号化マシン技術と有機的に組み合わせる。このようなインジェクションシステムは、カードを手動で挿入することによってルート鍵をインジェクトする従来の方法を変更し、暗号化マシンルート鍵のリモートインジェクションを実現し、及び量子暗号学によるリモートインジェクションプロセスのセキュリティを保証する。従って、インジェクションシステムは、クラウドユーザがホスティング領域に行って手動でカードを挿入する必要性を免除し、鍵インジェクションの動作プロセスを単純化し、クラウドプロバイダがホスティング領域を管理することを容易にし、且つクラウドで暗号化マシンによって生成された鍵のセキュリティを高める。具体的には、例えば、2つ以上の鍵インジェクションサブシステム及び暗号化マシンがルート鍵コンポーネントの生成プロセスに一緒に参加する場合、ルート鍵のセキュリティを実質的に向上させることができ、クラウドプロバイダに対するクラウドユーザの信用をさらに高めることができる。
本出願は、暗号化マシンのための鍵インジェクション方法をさらに提供し、この方法は、上述のクラウドベースの暗号化マシン鍵インジェクションシステムにおいて実施される。
一部の実施形態では、ルート鍵がインジェクトされる、暗号化マシンによって保持される仮想暗号化デバイスに関して、そのルート鍵の安全なリモートインジェクションを実現するために、本方法は、以下のステップを含む:
1)鍵インジェクションサブシステムの鍵生成デバイス及び暗号化マシンホスティングサブシステムの暗号化マシンにより、それらのそれぞれの量子鍵配送デバイスを通して共有鍵ペアを取り決めるステップであって、暗号化マシンは、クラウドでクラウドユーザによってホスティングされる、ルート鍵がインジェクトされる仮想暗号化デバイスを保持する、ステップ;
2)鍵生成デバイスにより、仮想暗号化デバイスのルート鍵コンポーネントを生成し、取り決められた共有鍵を用いて、暗号化マシンに対するルート鍵コンポーネントの暗号化送信を行うステップ;及び
3)暗号化マシンにより、受信されたルート鍵コンポーネントに従って仮想暗号化デバイスのルート鍵を合成し、ルート鍵を保存するステップ。
一部の実施形態では、鍵インジェクションサブシステム(例えば、クラウドベースの管理サブシステム又はクライアント端末に位置するユーザサブシステム)が、必要とされ得る予め設定されたルート鍵コンポーネントの数に従って仮想暗号化デバイスの全てのルート鍵コンポーネントを生成し、取り決められた共有鍵を用いて、暗号化マシン上の仮想暗号化デバイスに対して全てのルート鍵コンポーネントの暗号化送信を行い、暗号化マシンが全てのルート鍵コンポーネントを復号し、受信された全てのコンポーネントに従って仮想暗号化デバイスのルート鍵を合成及び保存することが実現可能である。
一部の実施形態では、2つ以上の鍵インジェクションサブシステム及び暗号化マシンがルート鍵コンポーネントの生成に一緒に参加することも実現可能であり、この場合、暗号化マシンは、異なる鍵インジェクションサブシステムから受信されたルート鍵コンポーネント及び暗号化マシンによって生成されたルート鍵コンポーネントに従ってルート鍵を合成する。
ルート鍵のセキュリティ及びクラウドプロバイダに対するクラウドユーザの信用を高めるために、この例は、後者の実装形態の記載に重点を置く。この実装形態では、鍵インジェクションサブシステムの数は、必要とされる予め設定されたルート鍵コンポーネントの数の最大整数よりも少ない。一部の実施形態では、ルート鍵コンポーネントの生成に関与する鍵生成デバイスは、鍵インジェクションサブシステムに組み入れられてもよい。鍵生成デバイスは、暗号化マシンとの量子鍵合意を完了することができる。各鍵インジェクションサブシステムの鍵生成デバイスは、ルート鍵コンポーネントを生成することができ、暗号化マシンに対するルート鍵コンポーネントの暗号化送信を行う。暗号化マシンは、ルート鍵コンポーネントを生成することもできる。その後、暗号化マシンは、上述のルート鍵コンポーネントに従って仮想暗号化デバイスのルート鍵を合成する。
図2は、本出願による暗号化マシンのための鍵インジェクション方法200の一例のフロー図である。既に提供されたクラウドベースの暗号化マシン鍵インジェクションシステムの例の内容と同じ本例の内容は、繰り返されず、以下ではそれらの差異に重点を置く。本出願による、暗号化マシンのための鍵インジェクション方法は、以下を含む。
ステップ201:管理デバイス(例えば、図1Bの第1の管理デバイス111)及び暗号化マシン(例えば、図1Bの第1の暗号化マシン112)は、それらのそれぞれの量子鍵配送デバイスを通して共有鍵ペアを取り決める。暗号化マシンは、クラウドでクラウドユーザによってホスティングされる、ルート鍵がインジェクトされる仮想暗号化デバイスを含む。
一部の実施形態では、鍵合意プロセス及び後続のルート鍵コンポーネントインジェクションプロセスのセキュリティを保証するために、量子鍵合意の実行前に、管理デバイス及び暗号化マシンは、まず相互アイデンティティ認証を行ってもよい。管理デバイスは、暗号化マシンにアイデンティティ認証要求を送信することができ、この要求は、管理デバイスの秘密鍵署名アイデンティティ証明書を保持する。暗号化マシンは、アイデンティティ認証要求の受信後、管理デバイスに対応する公開鍵を用いて秘密鍵署名アイデンティティ証明書を復号し、復号が成功すれば管理デバイスのアイデンティティが有効であることを示す。同じ理由から、暗号化マシンは、暗号化マシンが保持する仮想暗号化デバイスの秘密鍵署名アイデンティティ証明書を管理デバイスに送ってもよく、管理デバイスは、同じ方法を用いて仮想暗号化デバイスのアイデンティティを検証する。上記の相互アイデンティティ認証プロセスでは、何れかのサイドのアイデンティティ認証が失敗すれば本方法の実行が終了される。
上記は、公開/秘密鍵ペアに基づくアイデンティティ認証方法を提供する。一方、他の実装形態では、アイデンティティ認証を他の方法で行うことも実現可能である。例えば、暗号化マシンは、仮想暗号化デバイスのデバイス識別子(例えば、デバイスメーカによって予め設定されたシーケンス番号)を管理デバイスに送信することができ、管理デバイスは、デバイス識別子を用いて仮想暗号化デバイスに対してアイデンティティ認証を行う。管理デバイス及び仮想暗号化デバイスの公開/秘密鍵ペア及びアイデンティティ証明書、デバイス識別子、並びに他の情報が管理デバイス及び仮想暗号化デバイスに予め設定されてもよい。
一部の実施形態では、管理デバイス及び仮想暗号化デバイスが共に他方のアイデンティティ認証にパスすると、管理デバイス及び暗号化マシンは、それらのそれぞれの量子鍵配送デバイスを通して量子鍵配送プロトコル(例えば、BB84プロトコル)に従って共有鍵ペアを取り決めることができる。
ステップ202:管理デバイスは、仮想暗号化デバイスの第1のルート鍵コンポーネントを生成し、取り決められた共有鍵を用いて、暗号化マシンに対する第1のルート鍵コンポーネントの暗号化送信を行う。
一部の実施形態では、管理デバイスは、クラウドプロバイダの管理者の操作により、又はインストールされた鍵生成及び管理プログラムにより、仮想暗号化デバイスの第1のルート鍵コンポーネントを生成し、ステップ201で取り決められた共有鍵を用いて、暗号化マシンに対する第1のルート鍵コンポーネントの暗号化送信を行ってもよい。データ暗号化及び復号機能は、対応する管理デバイス又は暗号化マシンによって完了されてもよく、また、量子鍵配送デバイスによって完了されてもよい。上記で提供されたクラウドベースの暗号化マシン鍵インジェクションシステムの例における関連する記載を参照することができる。
ステップ203:端末デバイス及び暗号化マシンは、それらのそれぞれの量子鍵配送デバイスを通して共有鍵ペアを取り決める。
一部の実施形態では、このステップの量子鍵合意の実行前に、端末デバイス及び暗号化マシンは、まず端末デバイスと仮想暗号化デバイスとの間の相互アイデンティティ認証を行ってもよく、管理デバイス及び暗号化マシンに関するその具体的な処理フローに関しては、ステップ201における記載を参照することができる。端末デバイス及び仮想暗号化デバイスが共に他方のアイデンティティ認証にパスすると、端末デバイス及び暗号化マシンは、それらのそれぞれの量子鍵配送デバイスを通して量子鍵配送プロトコル(例えば、BB84プロトコル)に従って共有鍵ペアを取り決めることができる。
ステップ204:端末デバイスは、仮想暗号化デバイスの第2のルート鍵コンポーネントを生成し、取り決められた共有鍵を用いて、暗号化マシンに対する第2のルート鍵コンポーネントの暗号化送信を行う。
一部の実施形態では、端末デバイスは、クラウドユーザの操作により、又はインストールされた鍵生成及び管理プログラムにより、仮想暗号化デバイスの第2のルート鍵コンポーネントを生成し、ステップ203で取り決められた共有鍵を用いて、暗号化マシンに対する第2のルート鍵コンポーネントの暗号化送信を行ってもよく、データ暗号化及び復号機能は、対応する端末デバイス又は暗号化マシンによって完了されてもよく、また、量子鍵配送デバイスによって完了されてもよい。上記で提供されたクラウドベースの暗号化マシン鍵インジェクションシステムの例における関連する記載を参照することができる。
ステップ205:暗号化マシンは、仮想暗号化デバイスの第3のルート鍵コンポーネントを生成する。
一部の実施形態では、暗号化マシンは、鍵生成モジュール又は暗号化マシンが保持するツールにより、仮想暗号化デバイスの第3のルート鍵コンポーネントをランダムに生成することができる。
ステップ206:暗号化マシンは、管理デバイスからの第1のルート鍵コンポーネントと、ユーザ端末デバイスからの第2のルート鍵コンポーネントと、暗号化マシンによって生成された第3のルート鍵コンポーネントとに従って仮想暗号化デバイスのルート鍵を合成し、そのルート鍵を保存する。
一部の実施形態では、暗号化マシンは、予め設定されたアルゴリズムを用いて、このステップのルート鍵を合成する動作を完了し、暗号化マシンが保持する仮想暗号化デバイスのルート鍵として、合成されたルート鍵を保存することができる。合成アルゴリズムに関する記載については、上記で提供されたクラウドベースの暗号化マシン鍵インジェクションシステムの例における関連する記載を参照することができる。
一部の実施形態では、ルート鍵のリモートインジェクションが上述のステップ201〜206によって達成される。さらに、本方法は、ユーザマスター鍵及びユーザワーク鍵のリモートインジェクションも達成することができる。このステップ後、以下の動作をさらに実行することができる:
1)端末デバイスは、ユーザマスター鍵を生成し、取り決められた共有鍵を用いて、暗号化マシンに対するユーザマスター鍵の暗号化送信を行い、暗号化マシンは、仮想暗号化デバイスのユーザマスター鍵として、受信されたユーザマスター鍵を保存する。
2)端末デバイスは、ユーザワーク鍵を生成し、取り決められた共有鍵を用いて、暗号化マシンに対するユーザワーク鍵の暗号化送信を行い、暗号化マシンは、仮想暗号化デバイスのユーザワーク鍵として受信されたユーザワーク鍵を保存する。
鍵インジェクションサブシステムの鍵生成デバイスは、仮想暗号化デバイスのルート鍵コンポーネントを生成し、量子鍵配送デバイスによって取り決められた共有鍵を用いて、暗号化マシンに対するルート鍵コンポーネントの暗号化送信を行い、暗号化マシンは、ルート鍵の安全なリモートインジェクションを実現し、クラウドユーザがホスティング領域に行って手動でカードを挿入する必要性を免除し、鍵インジェクションの動作プロセスを単純化するために、仮想暗号化デバイスのルート鍵を合成する。具体的には、例えば、2つ以上の鍵インジェクションサブシステム及び暗号化マシンがルート鍵コンポーネントの生成プロセスに一緒に参加する場合、ルート鍵のセキュリティを向上することができるだけでなく、クラウドプロバイダに対するクラウドユーザの信用をさらに高めることができる。
上記の例では、暗号化マシンのための鍵インジェクション方法が提供され、それに対応して、本出願は、暗号化マシンのための鍵インジェクション装置をさらに提供する。
図3は、本出願による暗号化マシンのための鍵インジェクション装置300の一例のブロック図である。この装置例は、基本的に方法例と類似するため、その説明は比較的簡易であり、関連する内容については、方法例の対応する記載を参照することができる。以下に記載される装置例は単なる概略である。
この例の暗号化マシンのための鍵インジェクション装置は、管理デバイス及び暗号化マシンにより、それらのそれぞれの量子鍵配送デバイスを通して共有鍵ペアを取り決める第1の共有鍵ペア取り決めユニット301と、管理デバイスにより、仮想暗号化デバイスの第1のルート鍵コンポーネントを生成し、取り決められた共有鍵を用いて、暗号化マシンに対する第1のルート鍵コンポーネントの暗号化送信を行う第1のコンポーネント生成及び送信ユニット302と、端末デバイス及び暗号化マシンにより、それらのそれぞれの量子鍵配送デバイスを通して共有鍵ペアを取り決める第2の共有鍵ペア取り決めユニット303と、端末デバイスにより、仮想暗号化デバイスの第2のルート鍵コンポーネントを生成し、取り決められた共有鍵を用いて、暗号化マシンに対する第2のルート鍵コンポーネントの暗号化送信を行う第2のコンポーネント生成及び送信ユニット304と、暗号化マシンにより、仮想暗号化デバイスの第3のルート鍵コンポーネントを生成する暗号化マシンコンポーネント生成ユニット305と、暗号化マシンにより、各コンポーネント生成及び送信ユニットから受信されたルート鍵コンポーネントと、暗号化マシンコンポーネント生成ユニットによって生成されたルート鍵コンポーネントとに従って仮想暗号化デバイスのルート鍵を合成し、そのルート鍵を保存するルート鍵合成ユニット306とを含む。
一部の実施形態では、本装置は、以下をさらに含んでもよい:
端末デバイスによってユーザマスター鍵を生成し、取り決められた共有鍵を用いて、暗号化マシンに対するユーザマスター鍵の暗号化送信を行うユーザマスター鍵生成及び送信ユニット;及び
暗号化マシンにより、仮想暗号化デバイスのユーザマスター鍵として受信されたユーザマスター鍵を保存するユーザマスター鍵保存ユニット。
一部の実施形態では、本装置は、以下をさらに含んでもよい:
端末デバイスによってユーザワーク鍵を生成し、取り決められた共有鍵を用いて、暗号化マシンに対するユーザワーク鍵の暗号化送信を行うユーザワーク鍵生成及び送信ユニット;及び
暗号化マシンにより、仮想暗号化デバイスのユーザワーク鍵として受信されたユーザワーク鍵を保存するユーザワーク鍵保存ユニット。
一部の実施形態では、本装置は、以下をさらに含んでもよい:
第1の共有鍵ペア取り決めユニットが機能するようにトリガされる前に、管理デバイスと、暗号化マシンが保持する仮想暗号化デバイスとの間の相互アイデンティティ認証を行い、何れかのサイドのアイデンティティ認証が失敗すれば本装置の動作を終了させる第1のアイデンティティ認証ユニット。
一部の実施形態では、本装置は、以下をさらに含んでもよい:
第2の共有鍵ペア取り決めユニットが機能するようにトリガされる前に、端末デバイスと、暗号化マシンが保持する仮想暗号化デバイスとの間の相互アイデンティティ認証を行い、何れかのサイドのアイデンティティ認証が失敗すれば本装置の動作を終了させる第2のアイデンティティ認証ユニット。
第1のアイデンティティ認証ユニット及び第2のアイデンティティ認証ユニットは、以下の方法でアイデンティティ認証を行ってもよい:
要求オーセンティケータデバイス(例えば、第1のアイデンティティ認証ユニット及び第2のアイデンティティ認証ユニットの一方)がアイデンティティ認証要求をピアデバイス(例えば、第1のアイデンティティ認証ユニット及び第2のアイデンティティ認証ユニットの他方)に送信し、この要求は、要求オーセンティケータデバイスの秘密鍵署名アイデンティティ証明書を保持し、ピアデバイスは、アイデンティティ認証要求の受信後、要求オーセンティケータデバイスに対応する公開鍵を用いて秘密鍵署名アイデンティティ証明書を復号し、復号が成功すれば要求オーセンティケータデバイスがアイデンティティ認証にパスする。
一部の実施形態では、任意選択的に、ルート鍵合成ユニットは、閾値秘密共有メカニズムに基づく秘密復元アルゴリズムを用いることにより、暗号化マシンによって仮想暗号化デバイスのルート鍵を合成し、そのルート鍵を保存してもよい。
クラウドベースの暗号化マシン鍵インジェクションシステム及び暗号化マシンのための鍵インジェクション方法は、上記の例において提供され、これを基に、本出願は、クラウドで暗号化マシンをホスティングする方法をさらに提供する。
図4は、本出願による、クラウドで暗号化マシンをホスティングする方法400の一例のフロー図であり、上記の例の内容と同じ本例の内容は、繰り返されず、以下ではそれらの差異に重点を置く。本出願によるクラウドで暗号化マシンをホスティングする方法は、以下を含む。
ステップ401:クラウドユーザは、端末デバイスを用いて、クラウドに位置する管理デバイスに対して暗号化マシンホスティング要求を送信する。
クラウドへのクラウドユーザのデータ及びビジネスの移行に伴い、クラウドユーザは、通常、クラウドにユーザ自身の暗号化デバイスを所有し、暗号化マシンに保存された鍵を用いて、暗号化/復号鍵又はクラウドに保存されたビジネスデータに対する確実な保護を提供することを望む。上記の要求の背景として、クラウドプロバイダがクラウドで暗号化マシンホスティングサービスを提供でき、クラウドユーザが、要件に従って、端末デバイスを用いてクラウドに位置する管理デバイスに暗号化マシンホスティング要求を送信できる。
後続の動作プロセスにおいてアイデンティティ認証に関連するセキュリティ動作を実行することを便利にするために、クラウドユーザが、端末デバイスを用いて、クラウドに位置する管理デバイスに暗号化マシンホスティング要求を送信する前に、以下のシステム初期化動作を実行することができる:
クラウドプロバイダ管理者により、アイデンティティ認証のための公開/秘密鍵ペア、及び管理デバイス用のアイデンティティ証明書を予め設定することと、クラウドユーザ(クラウドサービスを使用する企業の管理者を含む)により、アイデンティティ認証のための公開/秘密鍵ペア、及びその端末デバイス用のアイデンティティ証明書を予め設定することと、暗号化マシンデバイスメーカにより、アイデンティティ認証のための公開/秘密鍵ペア、アイデンティティ証明書及び暗号化マシンに保持される仮想暗号化デバイスのためのデバイス識別子を予め設定すること。上記の公開鍵は公開され、秘密鍵はアイデンティティ証明書に署名してもよい。アイデンティティ認証に関連する上記の予め設定された情報は、対応するデバイスの排他的暗号化マシンに保存することができ、また別の方法で保存することもでき、後続のステップが実行されると、上記のアイデンティティ認証情報を用いて、動作に参加するデバイスのアイデンティティを検証することができる(ステップ403を参照されたい)。
ステップ402:管理デバイスは、受信された要求に従って、クラウドでホスティングされる仮想暗号化デバイスをクラウドユーザに割り当て、仮想暗号化デバイスは、暗号化マシンによって保持される。
一部の実施形態では、管理デバイスは、受信された暗号化マシンホスティング要求に従って、クラウドユーザに対応する暗号化マシンを割り当てる。管理デバイスがクラウドユーザに割り当てる暗号化マシンは、別個の物理的空間を所有する暗号化マシンでもよく、また、暗号化マシンによって保持される仮想暗号化デバイスでもよく、すなわち、複数のクラウドユーザが1つの暗号化マシンを共有してもよく、同じ暗号化マシンを共有する各クラウドユーザは、別個の仮想暗号化デバイスを所有する。一部の実施形態では、上記の2つの割り当て方法は、技術的解決法の実施に影響を与えないことから、説明を容易にするために、仮想暗号化デバイスがこの例で使用される。
上記の割り当て動作の完了後、管理デバイスは、割り当てが完了したことを示す通知を端末デバイスに送信し、同時に、クラウドユーザが自らに割り当てられた仮想暗号化デバイスの使用及びセキュリティ状況を随時モニタリングすることを容易にするために、仮想暗号化デバイスのデバイス識別子を端末デバイスに送信することができる。仮想暗号化デバイスのデバイス識別子は、システム初期化段階において割り当てに利用可能な仮想暗号化デバイス毎に暗号化マシンデバイスメーカによって予め設定された、仮想暗号化デバイスを一意的に識別する識別情報(例えば、シーケンス番号)を指す。
デバイス識別子情報の受信後、端末デバイスは、暗号化マシンデバイスメーカと共に仮想暗号化デバイスの有効性を検証することができる。2つの検証方法例が使用され得る:端末デバイスは、対応する暗号化マシンデバイスメーカに検証要求を送信し、検証されるデバイス識別子を保持し、暗号化マシンデバイスメーカは、検証動作を実行した後、検証結果を端末デバイスにフィードバックする;暗号化マシンデバイスメーカによって提供されるデバイス認証用のウェブサイトに端末デバイスによってアクセスし、デバイス識別子に従ってクエリーが実行される。暗号化マシンデバイスメーカによってフィードバックされた検証結果又はクエリー結果が、仮想暗号化デバイスが有効性検証にパスしたことを示す場合、仮想暗号化デバイスのルート鍵を暗号化マシンにインジェクトする後続のステップ403を実行することができ、そうでなければ、端末は、仮想暗号化デバイスが有効性検証にパスしなかったことを管理デバイスに通知することができ、ルート鍵をインジェクトする後続のステップの実行が継続されない。
一部の実施形態では、デバイス識別子情報のセキュリティを保証するために、管理デバイスは、デバイス識別子を端末デバイスに送信する前に、それらのそれぞれの量子鍵配送デバイスを通して端末デバイスと共有鍵ペアを取り決めることができ、その後、管理デバイスは、取り決められた共有鍵を用いてデバイス識別子を暗号化し、暗号化されたデバイス識別子を端末デバイスに送信する。それに応じて、端末デバイスは、取り決められた共有鍵を用いて、受信されたデバイス識別子を復号し、復号されたデバイス識別子を用いて検証動作を実行する。
ステップ403:仮想暗号化デバイスのルート鍵は、暗号化マシンにリモートでインジェクトされる。
このステップでは、本出願において提供される暗号化マシンのための鍵インジェクション方法を用いて、ルート鍵をインジェクトする動作を完了し、本明細書において繰り返されないその具体的な説明に関しては、対応する例の記載を参照することができる。
一部の実施形態では、ステップ402において、クラウドユーザの要求に従って、2つ以上の仮想暗号化デバイスがクラウドユーザに割り当てられる場合、このステップでは、リモートインジェクションの方法で各仮想暗号化デバイスに順次ルート鍵をインジェクトすることが実現可能である。
クラウドユーザは、端末デバイスを用いてクラウドの管理デバイスに暗号化マシンホスティング要求を送信し、そして、クラウドで仮想暗号化デバイスをホスティングし、リモートインジェクションの方法でルート鍵をインジェクトする動作を実施することが実現可能である。本方法は、クラウドユーザがクラウドで仮想暗号化デバイスをホスティングすることを容易にするだけでなく、クラウドユーザがホスティング領域に行って手動でカードを挿入する必要性を免除し、鍵インジェクションの動作プロセスを単純化し、クラウドプロバイダがホスティング領域を管理することを容易にし、クラウドで暗号化マシンをホスティングすることに対するクラウドユーザの信用を高める、クラウド対応暗号化マシンの新しい考えを提供することが分かる。
上記の例では、クラウドで暗号化マシンをホスティングする方法が提供される。本出願は、クラウドで暗号化マシンをホスティングする装置をさらに提供する。
図5は、本出願による、クラウドで暗号化マシンをホスティングする装置500の一例のブロック図である。この装置例は、基本的に方法例と類似するため、その説明は比較的簡易であり、関連する内容については、方法例の対応する記載を参照することができる。以下に記載される装置例は単なる概略である。
この例のクラウドで暗号化マシンをホスティングする装置は、クラウドユーザにより、端末デバイスを用いて、クラウドに位置する管理デバイスに対して暗号化マシンホスティング要求を送信するホスティング要求送信ユニット501と、管理デバイスにより、受信された要求に従って、クラウドでホスティングされる仮想暗号化デバイスをクラウドユーザに割り当てるホスティングデバイス割り当てユニット502と(仮想暗号化デバイスは、暗号化マシンによって保持される)、上述の暗号化マシンのための鍵インジェクション装置を用いて、仮想暗号化デバイスのルート鍵を暗号化マシンにリモートでインジェクトするルート鍵インジェクションユニット503とを含む。
一部の実施形態では、本装置は、ホスティング要求送信ユニットが機能するようにトリガされる前に、初期化動作を実行する初期化ユニットを含んでもよく、このユニットは、以下を含む:
対応する管理者により、アイデンティティ認証のための公開/秘密鍵ペアと、管理デバイス及び端末デバイス用のアイデンティティ証明書とを予め設定する管理及び端末デバイス初期化サブユニット;及び
暗号化マシンデバイスメーカにより、アイデンティティ認証のための公開/秘密鍵ペア、アイデンティティ証明書及び暗号化マシンに保持される仮想暗号化デバイスのデバイス識別子を予め設定する仮想暗号化デバイス初期化サブユニット。
一部の実施形態では、本装置は、以下をさらに含んでもよい:
ホスティングデバイス割り当てユニットが仮想暗号化デバイスを割り当てる動作を完了した後、管理デバイスにより、端末デバイスに対して仮想暗号化デバイスのデバイス識別子を送信するデバイス識別子送信ユニット;及び
端末デバイスにより、受信されたデバイス識別子を用いて、暗号化マシンデバイスメーカに対する仮想暗号化デバイスの有効性を検証し、仮想暗号化デバイスが有効性検証にパスした場合、ルート鍵インジェクションユニットを機能させるデバイス有効性検証ユニット。
一部の実施形態では、本装置は、以下をさらに含んでもよい:
ホスティングデバイス割り当てユニットが仮想暗号化デバイスを割り当てる動作を完了した後、管理デバイス及び端末デバイスにより、それらのそれぞれの量子鍵配送デバイスを通して共有鍵ペアを取り決める共有鍵合意ユニット;
それに応じて、管理デバイスにより、取り決められた共有鍵を用いてデバイス識別子を暗号化し、暗号化されたデバイス識別子を端末デバイスに送信するデバイス識別子送信ユニット;及び
端末デバイスにより、取り決められた共有鍵を用いて、受信されたデバイス識別子を復号し、復号されたデバイス識別子を用いて検証動作を実行するデバイス有効性検証ユニット。
本明細書では、暗号化マシン鍵インジェクションのための方法、装置、及びシステムを記載している。例示されたステップは、示された例示的実施形態を説明するために提示されたものであり、現在進行中の技術的発展は、特定の機能が行われる方法を変えるであろうことが当然予想される。従って、これらの例は、本明細書において説明目的のために示されるものであり、限定ではない。例えば、本明細書に開示されたステップ又はプロセスは、記載の順序で行われることに限定されず、どのような順序で行われてもよく、開示の実施形態に従った一部のステップは省かれてもよい。さらに、機能構成ブロックの境界線は、説明の便宜上、本明細書において任意に定義されている。特定の機能及びそれらの関係性が適切に行われる限り、別の境界線を定義することができる。代替形態(本明細書に記載されたものの均等物、拡張形態、変形形態、逸脱形態等を含む)は、本明細書に含有される教示に基づき、関連する技術分野の当業者に明白となるであろう。このような代替形態は、開示の実施形態の範囲及び趣旨の範囲内に入る。
開示の原理の例及び特徴が本明細書に記載されるが、開示の実施形態の趣旨及び範囲から逸脱することなく、変更形態、適応形態、及び他の実装形態が可能である。また、「含む」、「有する」、「含有する」、及び「包含する」という語及び他の類似の形態は、意味的に均等であること、及びこれらの語の何れか1つに続く1つ又は複数のアイテムがそのような1つ又は複数のアイテムの完全なリストであること、又はリストされた1つ又は複数のアイテムにのみ限定されることを目的としたものではない点でオープンエンド形式であることが意図される。本明細書において及び添付の特許請求の範囲において使用される場合、単数形の「1つの(a)」、「1つの(an)」、及び「その(the)」は、文脈が明らかにそうでないことを決定付けない限り、複数参照を含むことも留意される必要がある。
さらに、本開示に従った実施形態を実施する際に1つ又は複数のコンピュータ可読記憶媒体が利用されてもよい。コンピュータ可読記憶媒体は、プロセッサによる読み出しが可能な情報又はデータを保存することができる各種の物理メモリを指す。従って、コンピュータ可読記憶媒体は、1つ又は複数のプロセッサによって実行される命令(1つ又は複数のプロセッサに、本明細書に記載される実施形態に従ったステップ又は段階を行わせる命令を含む)を保存してもよい。「コンピュータ可読記憶媒体」という用語は、有形アイテムを含み、並びに搬送波及び過渡信号を除外する、すなわち、非一時的であると理解されるものである。例には、RAM、ROM、揮発性メモリ、不揮発性メモリ、ハードドライブ、CD−ROM、DVD、フラッシュドライブ、ディスク、及びその他の既知の物理記憶媒体が含まれる。上記のユニット、システム、及びデバイスは、ソフトウェア、ハードウェア、ファームウェア、又はソフトウェア、ハードウェア、及びファームウェアの任意の組み合わせの形態で実施されてもよい。例えば、ユニット、システム、サブシステム、及びデバイスは、コンピュータ可読メモリに保存されたソフトウェア命令を実行するプロセッサを含むか、又はそのプロセッサによって実施されてもよい。
本発明は、上記で説明され且つ添付の図面に図示された正確な構造に限定されず、及びその範囲から逸脱することなく様々な変更形態及び改変形態がなされ得ることが認識されるであろう。本発明の範囲は、添付の特許請求の範囲によってのみ限定されるべきであることが意図される。

Claims (25)

  1. 鍵生成デバイスと、前記鍵生成デバイスと接続された量子鍵配送デバイスとを含む少なくとも1つの鍵インジェクションサブシステムと、
    仮想暗号化デバイスを保持する暗号化マシンと、前記暗号化マシンと接続された量子鍵配送デバイスとを含むクラウドベースの暗号化マシンホスティングサブシステムと
    を含む、クラウドベースの暗号化マシン鍵インジェクションシステムであって、
    前記鍵インジェクションサブシステム及び前記暗号化マシンホスティングサブシステムは、それらのそれぞれの量子鍵配送デバイスを通して互いに接続され、
    前記鍵生成デバイスは、ルート鍵コンポーネントを生成し、前記量子鍵配送デバイスを介して前記暗号化マシンに前記ルート鍵コンポーネントを送信し、及び
    前記暗号化マシンは、1つ又は複数の鍵生成デバイスからルート鍵コンポーネントを受信し、前記受信されたルート鍵コンポーネントに従って前記仮想暗号化デバイスのルート鍵を合成する、クラウドベースの暗号化マシン鍵インジェクションシステム。
  2. 前記量子鍵配送デバイスは、前記鍵生成デバイスと前記暗号化マシンとの間の共有鍵ペアを取り決め、及び
    前記少なくとも1つの鍵インジェクションサブシステムの前記量子鍵配送デバイスは、取り決められた共有鍵を用いて、前記暗号化マシンに対する前記ルート鍵コンポーネントの暗号化送信を行う、請求項1に記載のクラウドベースの暗号化マシン鍵インジェクションシステム。
  3. 前記少なくとも1つの鍵インジェクションサブシステムは、1つの鍵インジェクションサブシステムを含み、及び
    前記鍵インジェクションサブシステムの前記鍵生成デバイスは、前記仮想暗号化デバイスの幾つかのルート鍵コンポーネントを生成し、前記量子鍵配送デバイスを介して前記暗号化マシンに前記ルート鍵コンポーネントを送信する、請求項1に記載のクラウドベースの暗号化マシン鍵インジェクションシステム。
  4. 前記暗号化マシンは、前記仮想暗号化デバイスの1つのルート鍵コンポーネントをさらに生成し、前記少なくとも1つの鍵インジェクションサブシステムと、前記暗号化マシンからの前記受信されたルート鍵コンポーネントとに従って前記仮想暗号化デバイスの前記ルート鍵を合成する、請求項1に記載のクラウドベースの暗号化マシン鍵インジェクションシステム。
  5. 前記少なくとも1つの鍵インジェクションサブシステムは、クラウドベースの管理サブシステムと、クライアント端末に位置するユーザサブシステムとを含み、
    前記管理サブシステムは、量子鍵配送デバイスと、前記鍵生成デバイスを含む管理デバイスとを含み、及び
    前記ユーザサブシステムは、量子鍵配送デバイスと、前記鍵生成デバイスを含む端末デバイスとを含む、請求項4に記載のクラウドベースの暗号化マシン鍵インジェクションシステム。
  6. 前記ユーザサブシステムの前記端末デバイスは、ユーザマスター鍵をさらに生成し、前記ユーザマスター鍵を前記暗号化マシンに送る、請求項5に記載のクラウドベースの暗号化マシン鍵インジェクションシステム。
  7. 前記ユーザサブシステムの前記端末デバイスは、ユーザワーク鍵をさらに生成し、前記ユーザワーク鍵を前記暗号化マシンに送る、請求項6に記載のクラウドベースの暗号化マシン鍵インジェクションシステム。
  8. 前記量子鍵配送デバイスは、データ暗号化及び復号機能を有する量子暗号化マシンを含む、請求項1に記載のクラウドベースの暗号化マシン鍵インジェクションシステム。
  9. 前記暗号化マシンは、閾値秘密共有メカニズムに基づく秘密復元アルゴリズムを用いることにより、前記受信されたルート鍵コンポーネントに従って前記仮想暗号化デバイスのルート鍵を合成する、請求項1に記載のクラウドベースの暗号化マシン鍵インジェクションシステム。
  10. 暗号化マシンのための鍵インジェクション方法であって、
    前記暗号化マシンにより、少なくとも1つの鍵インジェクションサブシステムからルート鍵コンポーネントを受信することと、
    前記暗号化マシンにより、前記少なくとも1つの鍵インジェクションサブシステムからの前記受信されたルート鍵コンポーネントに従ってルート鍵を合成することと
    を含む、鍵インジェクション方法。
  11. 前記暗号化マシンは、仮想暗号化デバイスを含み、
    前記ルート鍵は、前記仮想暗号化デバイスのためのものである、請求項10に記載の鍵インジェクション方法。
  12. 各ルート鍵コンポーネントは、前記少なくとも1つの鍵インジェクションサブシステムの鍵生成デバイスによって生成される、請求項10に記載の鍵インジェクション方法。
  13. 前記暗号化マシンにより、ルート鍵コンポーネントを生成することをさらに含み、
    前記暗号化マシンにより、前記少なくとも1つの鍵インジェクションサブシステムからの前記受信されたルート鍵コンポーネントに従って前記ルート鍵を合成することは、前記暗号化マシンにより、前記少なくとも1つの鍵インジェクションサブシステムからの前記受信されたルート鍵コンポーネントと、前記暗号化マシンによって生成された前記ルート鍵コンポーネントとに従ってルート鍵を合成することを含む、請求項10に記載の鍵インジェクション方法。
  14. 前記暗号化マシンにより、前記少なくとも1つの鍵インジェクションサブシステムの各々と共有鍵ペアを取り決めることをさらに含み、前記少なくとも1つの鍵インジェクションサブシステムからの前記ルート鍵コンポーネントは、前記共有鍵ペアの鍵を用いて暗号化される、請求項10に記載の鍵インジェクション方法。
  15. 前記暗号化マシンは、量子鍵配送デバイスに接続され、
    前記少なくとも1つの鍵インジェクションサブシステムの各々は、量子鍵配送デバイスを含み、
    暗号化マシンにより、前記少なくとも1つの鍵インジェクションサブシステムからルート鍵コンポーネントを受信することは、暗号化マシンにより、前記量子鍵配送デバイスを介して前記少なくとも1つの鍵インジェクションサブシステムからルート鍵コンポーネントを受信することを含む、請求項10に記載の鍵インジェクション方法。
  16. 前記少なくとも1つの鍵インジェクションサブシステムは、クラウドベースの管理サブシステムと、クライアント端末に位置するユーザサブシステムとを含み、前記クラウドベースの管理サブシステムは、鍵生成デバイスを含み、前記ユーザサブシステムは、鍵生成デバイスを含む、請求項10に記載の鍵インジェクション方法。
  17. 前記ユーザサブシステムによって生成されたユーザマスター鍵を前記ユーザサブシステムから受信することをさらに含む、請求項16に記載の鍵インジェクション方法。
  18. 前記ユーザサブシステムによって生成されたユーザワーク鍵を前記ユーザサブシステムから受信することをさらに含む、請求項16に記載の鍵インジェクション方法。
  19. 前記少なくとも1つの鍵インジェクションサブシステムのアイデンティティを検証することをさらに含む、請求項10に記載の鍵インジェクション方法。
  20. 前記暗号化マシンにより、前記少なくとも1つの鍵インジェクションサブシステムからの前記受信されたルート鍵コンポーネントに従って前記ルート鍵を合成することは、前記暗号化マシンにより、閾値秘密共有メカニズムに基づく秘密復元アルゴリズムを用いることにより、前記少なくとも1つの鍵インジェクションサブシステムからの前記受信されたルート鍵コンポーネントに従ってルート鍵を合成することを含む、請求項10に記載の鍵インジェクション方法。
  21. 暗号化マシンのための鍵インジェクション装置であって、
    少なくとも1つの鍵インジェクションサブシステムと共有鍵ペアを取り決める共有鍵ペア取り決めユニットと、
    前記暗号化マシン上の仮想暗号化デバイスのルート鍵コンポーネントを生成するルート鍵コンポーネント生成ユニットと、
    前記ルート鍵コンポーネント生成ユニットによって生成された前記ルート鍵コンポーネントと、前記少なくとも1つの鍵インジェクションサブシステムから受信されたルート鍵コンポーネントとに従ってルート鍵を合成するルート鍵合成ユニットと
    を含む、鍵インジェクション装置。
  22. 前記少なくとも1つの鍵インジェクションサブシステムから受信された前記ルート鍵コンポーネントは、前記少なくとも1つの鍵インジェクションサブシステムと、前記暗号化マシンとにそれぞれ接続された量子鍵配送デバイスを通して受信される、請求項21に記載の鍵インジェクション装置。
  23. 前記少なくとも1つの鍵インジェクションサブシステムから受信された前記ルート鍵コンポーネントは、前記共有鍵ペアの鍵を用いて暗号化される、請求項21に記載の鍵インジェクション装置。
  24. 前記少なくとも1つの鍵インジェクションサブシステムは、鍵生成デバイスを含むクラウドベースの管理サブシステムと、クライアント端末に位置する鍵生成デバイスを含むユーザサブシステムとを含む、請求項21に記載の鍵インジェクション装置。
  25. 前記ルート鍵合成ユニットは、閾値秘密共有メカニズムに基づく秘密復元アルゴリズムを用いることにより、前記ルート鍵を合成する、請求項21に記載の鍵インジェクション装置。
JP2017554889A 2015-04-22 2016-04-19 クラウドベースの暗号化マシン鍵インジェクションの方法、装置、及びシステム Active JP6797828B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510195062.7 2015-04-22
CN201510195062.7A CN106161402B (zh) 2015-04-22 2015-04-22 基于云环境的加密机密钥注入系统、方法及装置
PCT/US2016/028280 WO2016190990A2 (en) 2015-04-22 2016-04-19 Method, apparatus, and system for cloud-based encryption machine key injection

Publications (3)

Publication Number Publication Date
JP2018518090A true JP2018518090A (ja) 2018-07-05
JP2018518090A5 JP2018518090A5 (ja) 2019-05-23
JP6797828B2 JP6797828B2 (ja) 2020-12-09

Family

ID=57148139

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017554889A Active JP6797828B2 (ja) 2015-04-22 2016-04-19 クラウドベースの暗号化マシン鍵インジェクションの方法、装置、及びシステム

Country Status (7)

Country Link
US (1) US10305688B2 (ja)
EP (1) EP3286867B1 (ja)
JP (1) JP6797828B2 (ja)
KR (1) KR20170139570A (ja)
CN (1) CN106161402B (ja)
TW (1) TWI715537B (ja)
WO (1) WO2016190990A2 (ja)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106953732B (zh) * 2017-03-10 2020-02-07 南方城墙信息安全科技有限公司 芯片卡的密钥管理系统及方法
CN108809906B (zh) * 2017-05-03 2020-07-07 腾讯科技(深圳)有限公司 数据处理方法、系统及装置
CN109561047B (zh) 2017-09-26 2021-04-13 安徽问天量子科技股份有限公司 基于密钥异地存储的加密数据存储系统及方法
CN107844707B (zh) * 2017-10-30 2020-12-29 深圳市雪球科技有限公司 一种卡数据管理方法以及卡数据管理系统
CN108572861A (zh) * 2018-04-26 2018-09-25 浪潮(北京)电子信息产业有限公司 一种虚拟可信根的保护方法、系统、设备及存储介质
CN109067527B (zh) * 2018-08-31 2020-12-22 苏州科达科技股份有限公司 一种量子加密通信方法、通信终端和计算机可读存储介质
CN109299618B (zh) * 2018-09-20 2020-06-16 如般量子科技有限公司 基于量子密钥卡的抗量子计算云存储方法和系统
CN109688141A (zh) * 2018-12-27 2019-04-26 杭州翼兔网络科技有限公司 一种生理参数数据加密传输方法
CN109728908B (zh) * 2019-03-18 2021-10-15 南方电网调峰调频发电有限公司信息通信分公司 一种基于量子安全移动存储介质的密钥管理方法
CN110011794B (zh) * 2019-04-11 2021-08-13 北京智芯微电子科技有限公司 密码机密钥属性的测试方法
CN110519238B (zh) * 2019-08-08 2021-11-12 北京安御道合科技有限公司 一种基于密码技术的物联网安全系统和通信方法
CN110690960B (zh) * 2019-09-01 2022-02-22 成都量安区块链科技有限公司 一种中继节点的路由服务方法与装置
CN112367160B (zh) * 2019-09-01 2023-09-26 成都量安区块链科技有限公司 一种虚拟量子链路服务方法与装置
CN110837634B (zh) * 2019-10-24 2023-10-27 杭州安存网络科技有限公司 基于硬件加密机的电子签章方法
KR102222080B1 (ko) * 2020-02-24 2021-03-04 한국전자통신연구원 양자 개체 인증 장치 및 방법
WO2022005914A1 (en) * 2020-06-29 2022-01-06 Illumina, Inc. Temporary cloud provider credentials via secure discovery framework
WO2022005912A1 (en) 2020-06-29 2022-01-06 Illumina, Inc. Policy-based genomic data sharing for software-as-a-service tenants
KR102592873B1 (ko) * 2020-07-03 2023-10-25 한국전자통신연구원 양자 키 분배 노드 장치 및 그 장치에서의 양자키 분배 방법
CN111865589B (zh) * 2020-08-14 2023-09-08 国科量子通信网络有限公司 实现移动通信量子加密传输的量子通信加密系统及其方法
CN114117458A (zh) * 2020-08-29 2022-03-01 华为技术有限公司 密钥使用方法及相关产品
CN112769805A (zh) * 2020-12-31 2021-05-07 普华诚信信息技术有限公司 云密码管理方法、系统和存储介质
US12095917B2 (en) 2021-09-10 2024-09-17 International Business Machines Corporation Securely transporting a root key using a privately/public key pair for user-controlled authentication of nodes in a hardware security module cluster
US11895234B2 (en) * 2021-09-30 2024-02-06 Juniper Networks, Inc. Delayed quantum key-distribution
CN114070640B (zh) * 2021-11-25 2024-02-06 航天新通科技有限公司 一种安全通信方法及系统
CN114244506B (zh) * 2021-12-10 2024-04-02 问天鼎讯量子科技(无锡)有限公司 一种量子密钥的快速同步的方法及系统
CN114499851B (zh) * 2022-01-30 2023-05-26 重庆长安汽车股份有限公司 一种基于端云一体化实现安全灌装根密钥的方法
US11791994B1 (en) * 2022-03-31 2023-10-17 Juniper Networks, Inc. Quantum cryptography in an internet key exchange procedure
CN114531238B (zh) * 2022-04-24 2022-07-19 中电信量子科技有限公司 基于量子密钥分发的密钥安全充注方法及系统
CN115865350B (zh) * 2023-02-27 2023-05-05 合肥工业大学 一种基于量子安全的车云服务系统
CN116527259B (zh) * 2023-07-03 2023-09-19 中电信量子科技有限公司 基于量子密钥分发网络的跨域身份认证方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001285285A (ja) * 2000-03-30 2001-10-12 Murata Mach Ltd 認証方法及び認証システム
JP2004272770A (ja) * 2003-03-11 2004-09-30 Sony Corp ネットワーク機器の中継装置の管理システム,ネットワーク機器の中継装置,認証サーバ,更新サーバ,およびネットワーク機器の中継装置の管理方法
JP2005260614A (ja) * 2004-03-12 2005-09-22 Dainippon Printing Co Ltd 暗号装置
US20110116635A1 (en) * 2009-11-16 2011-05-19 Hagai Bar-El Methods circuits devices and systems for provisioning of cryptographic data to one or more electronic devices
CN103580872A (zh) * 2013-11-11 2014-02-12 北京华大智宝电子系统有限公司 一种用于密钥生成与管理的系统及方法
US20150106626A1 (en) * 2013-10-11 2015-04-16 Sap Ag Shared encrypted storage

Family Cites Families (140)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5515438A (en) * 1993-11-24 1996-05-07 International Business Machines Corporation Quantum key distribution using non-orthogonal macroscopic signals
JP4849710B2 (ja) * 2000-10-06 2012-01-11 パナソニック株式会社 暗号鍵配布方法及びその装置
US6931128B2 (en) * 2001-01-16 2005-08-16 Microsoft Corporation Methods and systems for generating encryption keys using random bit generators
US7068790B1 (en) * 2001-08-31 2006-06-27 Bbn Technologies Corp. Systems and methods for path set-up in a quantum key distribution network
US7627126B1 (en) * 2002-10-15 2009-12-01 Bbn Technologies Corp. Systems and methods for implementing path length control for quantum cryptographic systems
US20050190921A1 (en) * 2002-10-15 2005-09-01 Bbnt Solutions Llc Systems and methods for framing quantum cryptographic links
US20060222180A1 (en) * 2002-10-15 2006-10-05 Elliott Brig B Chip-scale transmitter for quantum cryptography
US7430295B1 (en) * 2003-03-21 2008-09-30 Bbn Technologies Corp. Simple untrusted network for quantum cryptography
US7706535B1 (en) * 2003-03-21 2010-04-27 Bbn Technologies Corp. Systems and methods for implementing routing protocols and algorithms for quantum cryptographic key transport
US7983422B2 (en) * 2003-07-25 2011-07-19 Hewlett-Packard Development Company, L.P. Quantum cryptography
US7519814B2 (en) * 2003-09-15 2009-04-14 Trigence Corp. System for containerization of application sets
JP4604045B2 (ja) * 2003-11-13 2010-12-22 マジック テクノロジーズ,インコーポレーテッド 古典的なビット暗号化を有するqkd
US7697693B1 (en) * 2004-03-09 2010-04-13 Bbn Technologies Corp. Quantum cryptography with multi-party randomness
US7646873B2 (en) * 2004-07-08 2010-01-12 Magiq Technologies, Inc. Key manager for QKD networks
JP2006121524A (ja) * 2004-10-22 2006-05-11 Toshiba Solutions Corp 公開鍵暗号装置
JP4862159B2 (ja) * 2005-01-24 2012-01-25 大学共同利用機関法人情報・システム研究機構 量子鍵配送方法、通信システムおよび通信装置
GB2427336B (en) * 2005-06-16 2010-01-20 Hewlett Packard Development Co Secure transaction method and transaction terminal for use in implementing such method
GB0512229D0 (en) * 2005-06-16 2005-07-27 Hewlett Packard Development Co Quantum key distribution apparatus & method
US7889868B2 (en) * 2005-09-30 2011-02-15 Verizon Business Global Llc Quantum key distribution system
US20070076887A1 (en) * 2005-09-30 2007-04-05 Nortel Networks Limited Double phase encoding quantum key distribution
WO2007055683A2 (en) * 2005-11-04 2007-05-18 The Board Of Trustees Of The Leland Stanford Junior University Differential phase shift keying quantum key distribution
US20070130455A1 (en) * 2005-12-06 2007-06-07 Elliott Brig B Series encryption in a quantum cryptographic system
US20070133798A1 (en) * 2005-12-14 2007-06-14 Elliott Brig B Quantum cryptography on a multi-drop optical network
US8082443B2 (en) * 2006-01-09 2011-12-20 Bbnt Solutions Llc. Pedigrees for quantum cryptography
JP5078035B2 (ja) * 2006-03-06 2012-11-21 国立大学法人 奈良先端科学技術大学院大学 量子暗号通信方法
JP2007274300A (ja) * 2006-03-31 2007-10-18 Hitachi Information & Communication Engineering Ltd 共通鍵暗号通信における同期処理方法
JP2007288694A (ja) * 2006-04-19 2007-11-01 Nec Corp 秘匿通信システムおよびチャネル制御方法
JP5196093B2 (ja) * 2006-04-20 2013-05-15 日本電気株式会社 光通信装置およびそれを用いた量子暗号鍵配布システム
WO2008013008A1 (fr) * 2006-07-26 2008-01-31 Japan Science And Technology Agency Procédé de communication secrète et dispositif de communication secrète de celui-ci
US7539314B2 (en) * 2006-08-14 2009-05-26 Magiq Technologies, Inc. Frame synchronization method for QKD systems
US8213616B2 (en) * 2006-09-18 2012-07-03 Georgia Tech Research Corporation Systems and methods for providing opportunistic security for physical communication channels
US8213607B2 (en) * 2006-10-18 2012-07-03 Qualcomm Incorporated Method for securely extending key stream to encrypt high-entropy data
US20080144836A1 (en) * 2006-12-13 2008-06-19 Barry Sanders Distributed encryption authentication methods and systems
US7577257B2 (en) * 2006-12-21 2009-08-18 Verizon Services Operations, Inc. Large scale quantum cryptographic key distribution network
WO2008147577A2 (en) * 2007-01-22 2008-12-04 Spyrus, Inc. Portable data encryption device with configurable security functionality and method for file encryption
JP2008203548A (ja) * 2007-02-20 2008-09-04 Oki Electric Ind Co Ltd 二次双曲線群を使用する鍵生成方法、復号方法、署名検証方法、鍵ストリーム生成方法および装置。
WO2009003189A1 (en) * 2007-06-27 2008-12-31 Acresso Software, Inc. A method and system for software virtualization directly from an installation package
JP5338665B2 (ja) * 2007-07-13 2013-11-13 日本電気株式会社 量子暗号鍵配付システム
US8667482B2 (en) * 2007-08-10 2014-03-04 Microsoft Corporation Automated application modeling for application virtualization
US9323519B2 (en) * 2007-08-31 2016-04-26 Red Hat, Inc. Packaging an application
JP5013521B2 (ja) * 2007-09-05 2012-08-29 独立行政法人情報通信研究機構 量子暗号通信装置及び方法
US7853020B2 (en) * 2007-09-19 2010-12-14 Mogiq Technologies, Inc. Systems and methods for enhanced quantum key formation using an actively compensated QKD system
WO2009054894A1 (en) * 2007-10-23 2009-04-30 Bvp Holding, Inc. Multi-directional body swing, turn and twist trainer with interchangeable and adjustable attachments
JP5631743B2 (ja) * 2008-01-25 2014-11-26 キネテイツク・リミテツド 量子暗号装置
GB0801395D0 (en) * 2008-01-25 2008-03-05 Qinetiq Ltd Network having quantum key distribution
WO2009110616A1 (ja) * 2008-03-07 2009-09-11 日本電気株式会社 仮想マシンパッケージ生成システム、仮想マシンパッケージ生成方法および仮想マシンパッケージ生成プログラム
EP2274674A1 (en) * 2008-04-25 2011-01-19 VMWare, Inc. Linking virtualized application namespaces at runtime
GB0809045D0 (en) * 2008-05-19 2008-06-25 Qinetiq Ltd Quantum key distribution involving moveable key device
KR100983008B1 (ko) * 2008-05-30 2010-09-20 한국전자통신연구원 양자 암호 시스템 및 양자 암호 키의 분배 방법
US8862633B2 (en) * 2008-05-30 2014-10-14 Novell, Inc. System and method for efficiently building virtual appliances in a hosted environment
US8694989B1 (en) * 2008-07-17 2014-04-08 Apple Inc. Virtual installation environment
US20110055585A1 (en) * 2008-07-25 2011-03-03 Kok-Wah Lee Methods and Systems to Create Big Memorizable Secrets and Their Applications in Information Engineering
US8572580B2 (en) * 2008-07-28 2013-10-29 Microsoft Corporation Computer application packages with customizations
GB0819665D0 (en) * 2008-10-27 2008-12-03 Qinetiq Ltd Quantum key dsitribution
GB0822254D0 (en) * 2008-12-05 2009-01-14 Qinetiq Ltd Method of performing authentication between network nodes
GB0822253D0 (en) * 2008-12-05 2009-01-14 Qinetiq Ltd Method of establishing a quantum key for use between network nodes
JP5366024B2 (ja) * 2008-12-10 2013-12-11 日本電気株式会社 秘匿通信ネットワークにおける共有乱数管理方法および管理システム
KR101252757B1 (ko) * 2008-12-22 2013-04-11 한국전자통신연구원 편광부호화 양자 암호 시스템
US10698923B2 (en) * 2009-06-11 2020-06-30 Talari Networks, Inc. Methods and apparatus for providing adaptive private network database schema migration and management processes
SE534384C2 (sv) * 2009-07-03 2011-08-02 Kelisec Ab Förfarande för att alstra en krypterings-/dekrypteringsnyckel
GB0917060D0 (en) * 2009-09-29 2009-11-11 Qinetiq Ltd Methods and apparatus for use in quantum key distribution
US20110126197A1 (en) * 2009-11-25 2011-05-26 Novell, Inc. System and method for controlling cloud and virtualized data centers in an intelligent workload management system
US8627426B2 (en) * 2010-04-26 2014-01-07 Vmware, Inc. Cloud platform architecture
US8555377B2 (en) * 2010-04-29 2013-10-08 High Cloud Security Secure virtual machine
US8433070B2 (en) * 2010-05-17 2013-04-30 Raytheon Bbn Technologies Corp. Systems and methods for stabilization of interferometers for quantum key distribution
US8483394B2 (en) * 2010-06-15 2013-07-09 Los Alamos National Security, Llc Secure multi-party communication with quantum key distribution managed by trusted authority
US9002009B2 (en) * 2010-06-15 2015-04-07 Los Alamos National Security, Llc Quantum key distribution using card, base station and trusted authority
CN201830272U (zh) * 2010-09-17 2011-05-11 安徽问天量子科技股份有限公司 基于量子密钥的网络加密机
GB201020424D0 (en) * 2010-12-02 2011-01-19 Qinetiq Ltd Quantum key distribution
US20120246634A1 (en) * 2011-03-23 2012-09-27 Dell Products L.P. Portable virtual applications
EP2697931B1 (en) * 2011-04-15 2017-12-13 Quintessencelabs Pty Ltd Qkd key management system
GB2491896A (en) * 2011-06-17 2012-12-19 Univ Bruxelles Secret key generation
US8862741B1 (en) * 2011-06-23 2014-10-14 Amazon Technologies, Inc. Layered machine images
FR2977116A1 (fr) * 2011-06-27 2012-12-28 France Telecom Procede de fourniture de service d'execution de logiciel a la demande
WO2013026086A1 (en) * 2011-08-19 2013-02-28 Quintessencelabs Pty Ltd Virtual zeroisation system and method
JP5624526B2 (ja) * 2011-08-26 2014-11-12 株式会社東芝 鍵共有装置、鍵共有方法および鍵共有プログラム
US8897449B1 (en) * 2011-09-12 2014-11-25 Quantum Valley Investment Fund LP Quantum computing on encrypted data
US10019235B2 (en) * 2011-09-30 2018-07-10 Los Alamos National Security, Llc Quantum random number generators
US9509506B2 (en) * 2011-09-30 2016-11-29 Los Alamos National Security, Llc Quantum key management
US8953790B2 (en) * 2011-11-21 2015-02-10 Broadcom Corporation Secure generation of a device root key in the field
US9519472B2 (en) * 2011-11-23 2016-12-13 Red Hat, Inc. Automation of virtual machine installation by splitting an installation into a minimal installation and customization
US9052961B2 (en) * 2012-03-02 2015-06-09 Vmware, Inc. System to generate a deployment plan for a cloud infrastructure according to logical, multi-tier application blueprint
US9047133B2 (en) * 2012-03-02 2015-06-02 Vmware, Inc. Single, logical, multi-tier application blueprint used for deployment and management of multiple physical applications in a cloud environment
US9184912B2 (en) * 2012-04-17 2015-11-10 The Boeing Company Secure quantum authentication system
US8693691B2 (en) * 2012-05-25 2014-04-08 The Johns Hopkins University Embedded authentication protocol for quantum key distribution systems
US9348652B2 (en) * 2012-07-02 2016-05-24 Vmware, Inc. Multi-tenant-cloud-aggregation and application-support system
JP5694247B2 (ja) * 2012-07-17 2015-04-01 株式会社東芝 鍵生成装置、通信方法および通信システム
US9887976B2 (en) * 2012-08-30 2018-02-06 Los Alamos National Security, Llc Multi-factor authentication using quantum communication
JP2014103514A (ja) * 2012-11-19 2014-06-05 Toshiba Corp 通信装置、通信システムおよびプログラム
US9189285B2 (en) * 2012-12-14 2015-11-17 Microsoft Technology Licensing, Llc Scalable services deployment
JP6076752B2 (ja) * 2013-01-22 2017-02-08 株式会社東芝 通信装置、通信システムおよびプログラム
ES2632784T3 (es) * 2013-01-25 2017-09-15 LEONARDO S.p.A Sistema de distribución de clave criptográfica cuántica que incluye dos dispositivos periféricos y una fuente óptica
US9036817B1 (en) * 2013-03-22 2015-05-19 The Boeing Company Network communications using quantum key distribution
JP6054224B2 (ja) * 2013-03-25 2016-12-27 株式会社東芝 通信装置、通信システム、通信方法およびプログラム
CA2913007C (en) * 2013-05-23 2021-06-08 Qubitekk, Inc. Incorruptible public key using quantum cryptography for secure wired and wireless communications
TWI487308B (zh) * 2013-05-29 2015-06-01 國立成功大學 量子通訊方法
JP6115387B2 (ja) * 2013-07-31 2017-04-19 沖電気工業株式会社 量子鍵配送用受信器及び単一光子検出器の使用方法
JP6157974B2 (ja) * 2013-07-31 2017-07-05 株式会社東芝 送信機、受信機、量子鍵配送(QKD;QuantumKeyDistribution)システム及び量子鍵配送方法
JP6230322B2 (ja) * 2013-08-01 2017-11-15 株式会社東芝 通信装置、鍵共有方法、プログラムおよび通信システム
US9350550B2 (en) * 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
WO2015048783A1 (en) * 2013-09-30 2015-04-02 Nordholt, Jane, E. Quantum-secured communications overlay for optical fiber communications networks
CN104518866B (zh) * 2013-09-30 2016-06-29 科大国盾量子技术股份有限公司 一种量子密钥分发终端和系统
CN103825741B (zh) * 2014-01-24 2017-03-15 安徽云盾信息技术有限公司 一种加密设备生产过程中注入带签名的证书的解决方法
JP6165646B2 (ja) * 2014-01-30 2017-07-19 株式会社東芝 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法
JP6359285B2 (ja) * 2014-02-17 2018-07-18 株式会社東芝 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法
JP6169028B2 (ja) * 2014-03-18 2017-07-26 株式会社東芝 通信装置、通信システムおよび通信方法
JP6211963B2 (ja) * 2014-03-18 2017-10-11 株式会社東芝 受信機、送信機、通信システムおよび通信方法
JP6203093B2 (ja) * 2014-03-19 2017-09-27 株式会社東芝 通信システム、通信装置、通信方法およびプログラム
US9767317B1 (en) * 2014-03-25 2017-09-19 Amazon Technologies, Inc. System to provide cryptographic functions to a markup language application
US9747091B1 (en) * 2014-03-31 2017-08-29 Amazon Technologies, Inc. Isolated software installation
US8990809B1 (en) * 2014-06-23 2015-03-24 Flexera Software Llc Creating a virtual appliance using existing installation manifest
EP3198779B1 (en) * 2014-09-26 2020-04-15 British Telecommunications public limited company Secure virtualised data volumes
US9965307B2 (en) * 2014-10-06 2018-05-08 Vmware, Inc. Building virtual appliances
KR101776137B1 (ko) * 2014-10-30 2017-09-19 에스케이 텔레콤주식회사 양자 키 분배 시스템에서 복수의 장치에 키를 공급하는 장치 및 방법
JP6400441B2 (ja) * 2014-11-19 2018-10-03 株式会社東芝 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法
US9747136B2 (en) * 2014-12-09 2017-08-29 Vmware, Inc. Methods and systems that allocate cost of cluster resources in virtual data centers
CN105871538B (zh) * 2015-01-22 2019-04-12 阿里巴巴集团控股有限公司 量子密钥分发系统、量子密钥分发方法及装置
US20160234009A1 (en) * 2015-02-08 2016-08-11 Wenhua Li Chaotic Baseband Modulation Hopping Based Post-Quantum Physical-Layer Encryption
JP2016171530A (ja) * 2015-03-13 2016-09-23 株式会社東芝 通信装置、通信方法、プログラムおよび通信システム
JP6400513B2 (ja) * 2015-03-18 2018-10-03 株式会社東芝 量子鍵配送装置、量子鍵配送方法およびプログラム
US9619270B2 (en) * 2015-06-27 2017-04-11 Vmware, Inc. Remote-direct-memory-access-based virtual machine live migration
US10147110B2 (en) * 2015-06-29 2018-12-04 Vmware, Inc. Methods and systems to evaluate cost driver and virtual data center costs
US9619261B2 (en) * 2015-06-29 2017-04-11 Vmware, Inc. Method and system for anticipating demand for a computational resource by containers running above guest operating systems within a distributed, virtualized computer system
US10243815B2 (en) * 2015-06-29 2019-03-26 Vmware, Inc. Methods and systems to evaluate data center resource allocation costs
US10031768B2 (en) * 2015-06-30 2018-07-24 Vmware, Inc. Host-gateway-facilitated aggregation of host-computer clusters
US9910657B2 (en) * 2015-09-16 2018-03-06 International Business Machines Corporation Installing software where operating system prerequisites are unmet
US9672074B2 (en) * 2015-10-19 2017-06-06 Vmware, Inc. Methods and systems to determine and improve cost efficiency of virtual machines
US10313479B2 (en) * 2015-11-24 2019-06-04 Vmware, Inc. Methods and apparatus to manage workload domains in virtual server racks
US11263006B2 (en) * 2015-11-24 2022-03-01 Vmware, Inc. Methods and apparatus to deploy workload domains in virtual server racks
US10157044B2 (en) * 2015-12-04 2018-12-18 Vmware, Inc. Automated application-release-management subsystem
US20170161101A1 (en) * 2015-12-04 2017-06-08 Vmware, Inc. Modularized automated-application-release-management subsystem
US20170161057A1 (en) * 2015-12-04 2017-06-08 Vmware, Inc. Plug-in-based artifact-management subsystem
US11265202B2 (en) * 2015-12-04 2022-03-01 Vmware, Inc. Integrated automated application deployment
US10116675B2 (en) * 2015-12-08 2018-10-30 Vmware, Inc. Methods and systems to detect anomalies in computer system behavior based on log-file sampling
US9916092B2 (en) * 2015-12-09 2018-03-13 Vmware, Inc. Methods and systems to allocate physical data-storage costs to logical disks
US10320891B2 (en) * 2016-01-25 2019-06-11 Vmware, Inc. Node selection for message redistribution in an integrated application-aware load balancer incorporated within a distributed-service-application-controlled distributed computer system
US10992739B2 (en) * 2016-01-25 2021-04-27 Vmware, Inc. Integrated application-aware load balancer incorporated within a distributed-service-application-controlled distributed computer system
US10255092B2 (en) * 2016-02-09 2019-04-09 Airwatch Llc Managed virtual machine deployment
US10291400B2 (en) * 2016-03-14 2019-05-14 Kabushiki Kaisha Toshiba Quantum key distribution device, quantum key distribution system, and quantum key distribution method
US10671951B2 (en) * 2016-03-21 2020-06-02 Vmware, Inc. Methods and systems to determine container costs and attribute container costs to applications

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001285285A (ja) * 2000-03-30 2001-10-12 Murata Mach Ltd 認証方法及び認証システム
JP2004272770A (ja) * 2003-03-11 2004-09-30 Sony Corp ネットワーク機器の中継装置の管理システム,ネットワーク機器の中継装置,認証サーバ,更新サーバ,およびネットワーク機器の中継装置の管理方法
JP2005260614A (ja) * 2004-03-12 2005-09-22 Dainippon Printing Co Ltd 暗号装置
US20110116635A1 (en) * 2009-11-16 2011-05-19 Hagai Bar-El Methods circuits devices and systems for provisioning of cryptographic data to one or more electronic devices
US20150106626A1 (en) * 2013-10-11 2015-04-16 Sap Ag Shared encrypted storage
CN103580872A (zh) * 2013-11-11 2014-02-12 北京华大智宝电子系统有限公司 一种用于密钥生成与管理的系统及方法

Also Published As

Publication number Publication date
US20160315768A1 (en) 2016-10-27
US10305688B2 (en) 2019-05-28
WO2016190990A3 (en) 2017-02-09
EP3286867A4 (en) 2018-04-18
EP3286867A2 (en) 2018-02-28
CN106161402A (zh) 2016-11-23
JP6797828B2 (ja) 2020-12-09
TW201638824A (zh) 2016-11-01
TWI715537B (zh) 2021-01-11
KR20170139570A (ko) 2017-12-19
EP3286867B1 (en) 2020-12-09
CN106161402B (zh) 2019-07-16
WO2016190990A2 (en) 2016-12-01

Similar Documents

Publication Publication Date Title
JP6797828B2 (ja) クラウドベースの暗号化マシン鍵インジェクションの方法、装置、及びシステム
CN110535628B (zh) 通过证书签发进行多方安全计算的方法及装置
CN107465689B (zh) 云环境下的虚拟可信平台模块的密钥管理系统及方法
US10601801B2 (en) Identity authentication method and apparatus
US9792427B2 (en) Trusted execution within a distributed computing system
WO2017020452A1 (zh) 认证方法和认证系统
US9219607B2 (en) Provisioning sensitive data into third party
KR20200127264A (ko) 데이터 송신 방법, 장치 및 시스템
US20140112470A1 (en) Method and system for key generation, backup, and migration based on trusted computing
CA2990656A1 (en) Mutual authentication of confidential communication
JP5954609B1 (ja) 電子署名トークンの私有鍵のバックアップ方法およびシステム
EP3251284A1 (en) Methods for secure credential provisioning
WO2014194494A1 (zh) 数据安全的保护方法、服务器、主机及系统
CN103916363B (zh) 加密机的通讯安全管理方法和系统
TW201926943A (zh) 資料傳輸方法及系統
CN103036880A (zh) 网络信息传输方法、设备及系统
CN108809907B (zh) 一种证书请求消息发送方法、接收方法和装置
CN103546289A (zh) 一种基于USBKey的安全传输数据的方法及系统
CN112351037B (zh) 用于安全通信的信息处理方法及装置
CN112766962A (zh) 证书的接收、发送方法及交易系统、存储介质、电子装置
CN114070672A (zh) 用于实现vpn网关与客户端之间的通信的方法、设备及系统
CN103312671B (zh) 校验服务器的方法和系统
CN112448810A (zh) 一种认证方法以及装置
WO2017107642A1 (zh) 一种安全输入法的文本处理方法、装置和系统
WO2022207436A1 (en) Quantum safe key exchange scheme

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190412

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190412

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191210

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20200310

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200507

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201023

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201118

R150 Certificate of patent or registration of utility model

Ref document number: 6797828

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250