的通信需要在安全和认证信道上,即对KMS的访问将被限制于在AWS 公共云中经由信任验证的来自AWS的认证和应用服务提供商拥有的应用。
[0046] 依照本发明的示例实施例,对在公共云中和/或在应用服务提供商私有云中可W 获得的加密内容和数据/密钥加密密钥的访问将被限制于仅由在AWS公共云环境中运行的 由应用服务提供商所拥有的授权和信任的应用。该要求由被指配给在AWS中部署的应用服 务提供商应用的至少一个或多个属性连同来自AWS云/实例环境的一个或多个属性组成的 多因素认证。在可W访问KM客户端的SSL私有密钥(该SSL私有密钥将用于与应用服务 提供商KM进行安全地认证)之前,需要在AWS环境内部验证该些属性。
[0047] 依照示例实施例,用例特定的要求分类包括: -在S3中加密数据 -在邸S中加密数据 -在AMI中加密数据 -在SimpleDB和DynamoDB中加密数据 -在分布式缓存(MemCached)或亚马逊Elasti化che中加密数据 -在定制数据存储设备(MySQL/化stgresql/MongoDB/CouchDB/化ssan化a)中加密数 据 -在CloudFront中加密数据 -在RDSMySQL中的数据加密 -在所有的化doop数据节点上的数据加密 -卷级别加密; -通过加密在数据节点上的数据卷,来确保数据是安全的;和/或 -EMR节点
[0048] 本发明的示例实施例提供至少方法,该方法使用集中式密钥管理系统,该集中式 密钥管理系统经由服M支持安全地存储、管理、访问数据加密密钥和主密钥的能力。
[0049] 图5A说明了依照示例实施例的方法的操作。在步骤502中,肥10引导客户端应 用服务器520的应用。应用服务器520可W是如图2中的服务器22。在步骤504中,云应 用服务器520向与应用服务相关联的密钥管理系统560发送密钥请求。如在应用服务提供 器540和密钥管理系统560之间使用虚线说明的,该可W不是直接发送,而是向着密钥管理 应用560进行路由。如W上在6)中描述的,密钥管理系统560于是使用密钥存储设备570 来验证密钥请求。如在步骤508和512中示出的,将密钥分别返回给云应用服务器和肥 10。可W加密在密钥管理系统560和肥10之间的通信。接着,在步骤516,肥10和客户 端应用服务器认证并保护与在云应用服务器520上运行的应用所传递的数据的安全。客户 端侧的密钥管理器组件将与部署在公共云(AW巧中的调用客户端应用集成,使得在AWS运 行时间,基于云的应用将解密密钥保留在仅存储器中,W及绝不将它存储在纯文本中。将经 由SDKAPI接口(例如,Java,C#,C++,C,PHP,Python,其它OS特定外壳脚本)和/或由密 钥管理服务(KM巧直接暴露的RESTAPI,来暴露KM客户端。
[0化日]图5B说明了依照示例实施例的使用密钥管理(KM)客户端的具有密钥管理服务的 公共云集成架构。密钥管理器不是单独服务(该单独服务是针对不同服务是公共的)。相 反,它是能够由个体服务部署和维护的组件。如在图5B中说明的,密钥管理器实现方式包 含与KeyServerDB558 (其存储主密钥,针对授权密钥访问的访问控制列表,密钥ID和活动 记录)相关联的加密的DynamoDB数据库。密钥密码用于保护该个DynamoDB的内容。该类 似于在密钥存储&管理处提供的指导。在不同区域中运行的多个密钥服务器实例提供故障 转移(failover)。必须手工地启动密钥服务器552实例,W及在启动期间必须手工地提供 密钥密码。系统工程或操作组能够做该个。必须不能将密钥密码存储在AWS内。在不同的 区域中启动多个密钥服务器实例,W便当任何区域故障时,不需要手工干预。密钥服务器将 密钥密码保持在存储器中,W及使用该密钥密码W解密DynamoDB内容,W及支持仅HTTPS 连接。KeyServerDB558还能够禪合到云提供商的其它数据库系统,诸如SimpleDB556和 / 或DynamoDB562。
[0化1] 如在图5B中说明的,提供商ELB552用于负载均衡和故障转移。如在图5B的554 处说明的,密钥服务器被放置在用于负载均衡和故障转移的ELB后。应用服务器将连接到 密钥服务器W获得主密钥。服务器使用主密钥来加密它们自己的数据。服务应用550发送 密钥请求,该密钥请求包含认证信息,诸如实例ID、AMIID、IP等。密钥服务器552使用在 它的DB中的密钥A化来验证访问。在新启动的亚马逊实例上的应用能够请求数据加密密 钥。密钥管理器将使用A化来认证该请求W及返回密钥。经由S化发生所有通信。应用应 当在启动期间接收该密钥W及出于性能可W将所接收的密钥缓存在存储器中。如PHP的应 用应当利用本地存储器缓存器(Memcach)来缓存该密钥。确保在分布式缓存上的严格的 A化。分布式缓存应当仅被绑定到本地主机,W及/或Affl实例安全组应当允许至分布式缓 存端口的进入包。[#T0D0#ISP0SSIBLE?经由阿帕奇(Apache)将作为变量的密钥传送给 mocLphp]。应用应当仍然处理主密钥改变。密钥管理器支持存储多个主密钥、生成新的主 密钥w及删除旧的密钥。密钥管理器不实施任何密钥改变。
[0052] 图5C说明了依照本发明的示例实施例的用于启动新的密钥服务器的序列图。参 照图5C,如上所述,针对诸如Nokia⑧和Amazon⑥的实体的参照是非限制性的,W及 可W实践本发明W有利于包括类似技术的任何实体。依照本发明的实施例,企业域控制器 (在该个实例中为诺基亚DC580),针对DynamicDB的加密密钥被存储在诺基亚内W及没有 在云提供商(在该个实例中为Amazon⑥)处。Sys化gA)ps在密钥服务器启动期间输入 密钥,W及接着该密钥仅被保持在AWS实例中的存储器中。依照本发明的示例实施例,在 DC580和密钥服务器之间的通信可W包含通行码条目和/或关于现有的密钥服务器的信 息。如在密钥服务器582中示出的,在现有的和新的密钥服务器之间有负载均衡。依照示 例实施例,可W基于客户端设备的区域和/或签约来使用该些密钥服务器中的某些密钥服 务器。如在图5C中示出的,Encrypte曲B:KeyServerDB使用在区域1处的现有的密钥服务 器和在区域3处的新的密钥服务器。此外,如在图5C中示出的,服务应用584执行跟踪功 能。
[0化3] 图6说明了本发明的示例实施例的实施能够减轻的一些威胁。该些威胁包含:外 部攻击者威胁、恶意的在云提供商内部的威胁、恶意的在应用服务提供商内部威胁W及云 提供商偶然的披露威胁。
[0054] 图7A、7B、7C和7D说明了AWS产品误用/内部安全示意图。图7A说明了完整图 片,该完整图片描述了在云应用提供商(在该个实例中为Amazon⑩)和合法当局之间的 交互。图7B、7C和7D在该示意图的各种区域W及关于本发明的示例实施例能够解决的与 该个交互相关联的问题的评论上进行放大。
[0055] 图8和图9每个图说明了依照本发明的示例实施例的逻辑流图,该逻辑流图说明 了方法的非限制性操作,W及计算机程序指令的执行结果。
[0056] 依照如在图8中说明的该些示例实施例,一种方法在框8A处执行W下步骤:使用 云网络的应用服务器向针对应用的与应用服务提供商相关联的密钥管理设备发送针对在 该云网络中引导的应用的密钥请求。在框8B处,有W下步骤:响应于该密钥请求,接收针对 该应用的应用特定密钥,其中该密钥基于与应用服务器相关联的多个因素。
[0057] 如在图8中的方法,其中发送密钥请求包括;访问与密钥管理设备相关联的应用 编程接口统一资源定位符。
[005引如在W上段落中的方法,其中在应用的启动脚本中发起统一资源定位符。
[0059] 如在W上段落中的方法,其中不使用另外的数据来发起统一资源定位符。
[0060] 如在W上段落中的方法,其中密钥请求包括被硬编码在启动或引导码中的16化 秘密密钥。
[0061] 如在图8中的方法,还包括:使用多因素属性和密钥来调用在云中部署的 GetKMSClientCredentialRESTAPI。
[0062] 如在W上段落中的方法,其中多因素属性包括;应用的标识和应用服务器的互联 网协议地址。
[0063] 本发明的示例实施例还提供了一种装置,该装置包含处理器和包含计算机程序代 码的存储器,其中该存储器和该计算机程序代码被配置为使用该处理器使得该装置至少: 使用云网络的应用服务器向针对应用的与应用服务提供商相关联的密钥管理设备发送针 对在云网络中被引导的应用的密钥请求。此外,使得装置响应于所述密钥请求,执行接收针 对该应用的应用特定密钥,其中密钥基于与应用服务器相关联的多个因素。
[0064] 本发明示例实施例还提供了一种装置,该装置包括;用于接收来自移动设备的实 体的针对在该移动设备的可信软件处的访问的请求的构件。用于使用云网络的应用服务器 向针对应用的与应用服务提供商相关联的密钥管理设备发送针对在该云网络中被引导的 应用的密钥请求的构件。此外,用于响应于密钥请求,接收针对该应用的应用特定密钥的构 件,其中该密钥基于与应用服务器相关联的多个因素。
[0065] 依照如在图9中说明的该些示例实施例,一种方法在框9A处执行W下步骤:使用 针对应用的与应用服务提供商相关联的密钥管理设备来接收来自云网络的应用服务器的 针对在云网络中被引导的应用的密钥请求。在框9B处,有W下步骤:响应于密钥请求,使用 与应用服务器相关联的多个属性来认证该请求。接着在框9C中,有W下步骤:向应用服务 器发送针对该应用的应用特定密钥。
[0066] 如在图9中的方法,其中请求包括:与密钥管理设备发起应用编程接口统一资源 定位符。
[0067] 如在W上段落中的方法,其中在应用的启动脚本中发起统一资源定位符。
[0068] 如在W上段落中的方法,其中不使用另外的数据来发起统一资源定位符。
[0069] 如在图9中的方法,其中密钥请求包括被硬编码在启动或引导码中的16化秘密密 钥。
[0070] 如在图9中的方法,其中多因素属性包括:应用的标识和应用服务器的互