Безопасный транспорт зашифрованных виртуальных машин с непрерывным доступом владельца - заявка 2016143088 на патент на изобретение в РФ

1. Способ управления зашифрованными наборами данных в компьютерном окружении, содержащий этапы, на которых:
получают первый ключ дешифрирования, причем первый ключ дешифрирования сконфигурирован для использования для дешифрирования зашифрованного набора данных, который был зашифрован с использованием первого механизма шифрования, при этом первый механизм шифрования ассоциирован с первым ключом дешифрирования, который может быть использован для дешифрирования этого набора данных;
шифруют первый ключ дешифрирования посредством второго механизма шифрования, причем второй механизм шифрования ассоциирован со вторым ключом дешифрирования, используемым первым субъектом, так что второй ключ дешифрирования может быть использован первым субъектом для дешифрирования упомянутого набора данных путем дешифрирования сначала первого ключа с использованием второго ключа дешифрирования и затем с использованием дешифрированного первого ключа для дешифрирования этого набора данных;
шифруют первый ключ дешифрирования посредством третьего механизма шифрования, причем третий механизм шифрования ассоциирован с третьим ключом дешифрирования, используемым вторым субъектом, так что третий ключ дешифрирования может быть использован вторым субъектом для дешифрирования упомянутого набора данных путем дешифрирования сначала первого ключа с использованием третьего ключа дешифрирования и затем с использованием первого дешифрированного ключа для дешифрирования этого набора данных;
создают пакет, содержащий, по меньшей мере, первый ключ дешифрирования, зашифрованный посредством второго механизма шифрования, и первый ключ дешифрирования, зашифрованный посредством третьего механизма шифрования;
подписывают пакет защитной подписью; и
подписывают пакет подписью, созданной из первого ключа дешифрирования;
при этом упомянутый набор данных содержит части виртуальной машины;
при этом первый субъект является провайдером услуг размещения данной виртуальной машины и второй субъект является арендатором этого провайдера;
при этом выстраивается иерархия ключей, где корнем этой иерархии является первый ключ дешифрирования, и части виртуальной машины шифруются с использованием ключей из этой иерархии.
2. Способ по п.1, в котором первый ключ является мастер-ключом для vTPM для виртуальной машины.
3. Способ по п. 1, в котором набор данных содержит информацию подготовки для VM.
4. Способ по п. 1, в котором упомянутый набор данных содержит состояние vTPM.
5. Способ по п. 1, в котором упомянутый пакет содержит множество копий первого ключа дешифрирования, зашифрованных разными механизмами шифрования для множества разных хранителей.
6. Система для управления зашифрованными наборами данных в компьютерном окружении, содержащая
один или более процессоров; и
один или более машиночитаемых носителей информации, каковые один или более машиночитаемых носителей содержат машиноисполняемые инструкции, которые при их исполнении по меньшей мере одним из упомянутых одного или более процессоров предписывают системе выполнять этапы по п. 1.
7. Один или более физических машиночитаемых носителей информации, содержащих машиноисполняемые инструкции, которые при их исполнении по меньшей мере одним из одного или более процессоров предписывают системе выполнять этапы по п. 1.
Наверх