公开(公告)号：DE112015004500T5

公开(公告)日：2017-08-10

申请号：DE112015004500

申请日：2015-10-23

Applicant: IBM

Inventor： BREUER MARCUS ,  GOLDBERG ITZHACK ,  SEUL MATTHIAS ,  MUEHGE THORSTEN ,  RUEGER ERIK

IPC: G06F12/14 ,  G06F3/06

Abstract: Ein Verfahren zum Speichern von Daten in einer Cloud-Umgebung kann bereitgestellt werden. Die Cloud-Umgebung weist eine Sicherheitsschicht auf. Das Verfahren weist ein physisches Trennen des Cloud-Speichers von einem Schlüsseltresorsystem und ein Empfangen einer Speicheranforderung zusammen mit einer Vertraulichkeitseinstufung auf, wobei die Speicheranforderung zusammen mit Daten und der Vertraulichkeitseinstufung über die Zugriffsschnittstelle des Cloud-Speichers von der Sicherheitsschicht empfangen wird. Das Verfahren weist ferner ein Verschlüsseln der zu speichernden Daten und der Vertraulichkeitseinstufung auf Anforderung der Sicherheitsschicht durch das Schlüsseltresorsystem in einem Datencontainer auf, ein Kategorisieren des Cloud-Speichers in Cloud-Zonen, wobei jeder Cloud-Zone eine Vertrauensebene zugewiesen wird; und ein Speichern des Datencontainers in einer der Cloud-Zonen des Cloud-Speichers, sodass die Vertrauensebene von der einen der Cloud-Zonen der Vertraulichkeitseinstufung entspricht.

公开(公告)号：DE112015004500B4

公开(公告)日：2021-06-02

申请号：DE112015004500

申请日：2015-10-23

Applicant: IBM

Inventor： BREUER MARCUS ,  GOLDBERG ITZHACK ,  MUEHGE THORSTEN ,  RUEGER ERIK ,  SEUL MATTHIAS

IPC: G06F12/14 ,  G06F3/06

Abstract: Verfahren (100) zum Speichern von Daten in einer gemeinsam genutzten vernetzten Umgebung, wobei die gemeinsam genutzte vernetzte Umgebung (610) eine Sicherheitsschicht (612) zwischen einem gemeinsam genutzten vernetzten Speicher und einer Zugriffsschnittstelle eines gemeinsam genutzten vernetzten Speichers (602) aufweist, wobei das Verfahren (100) aufweist- physisches Trennen (102) des gemeinsam genutzten vernetzten Speichers mit der Sicherheitsschicht (612) von einem Schlüsseltresorsystem (604),- Empfangen (104) einer Speicheranforderung zusammen mit Daten, die in dem gemeinsam genutzten vernetzten Speicher gespeichert werden sollen, und zusammen mit einer Vertraulichkeitseinstufung, wobei die Speicheranforderung zusammen mit Daten und der Vertraulichkeitseinstufung über die Zugriffsschnittstelle des gemeinsam genutzten vernetzte Speichers (602) von der Sicherheitsschicht (612) empfangen wird,- Verschlüsseln (106) der zu speichernden Daten und der Vertraulichkeitseinstufung auf Anforderung der Sicherheitsschicht (612) durch das Schlüsseltresorsystem (604) in einem Datencontainer (608, 904),- Kategorisieren (108) des gemeinsam genutzten vernetzten Speichers in Cloud-Zonen, wobei jeder Cloud-Zone eine Vertrauensebene zugewiesen ist;- Speichern (110) des Datencontainers (608, 904) in einer der Cloud-Zonen des gemeinsam genutzten vernetzten Speichers, sodass die Vertrauensebene von der einen der Cloud-Zonen der Vertraulichkeitseinstufung entspricht; und- Validieren durch das Schlüsseltresorsystem (604), dass die Speicheranforderung mit konfigurierbaren Richtlinien konform ist durch- Validieren, dass die Sicherheitsschicht (612) für eine Datenübertragung vertrauenswürdig ist, und dass ein Übertragungskanal zwischen der Sicherheitsschicht (612) und dem Schlüsseltresorsystem (604) durch eine Verschlüsselung auf Zertifikatsgrundlage geschützt ist, und- im Fall einer positiven Validierung, Erstellen eines Übertragungstickets, das die Autorisierung aufweist, Anfordern von Informationen über den Speicher-Anforderer und von Metadaten über die zu speichernden Daten, einer Signatur der Sicherheitsschicht (612) und einer Ablaufzeit für die Speicheranforderung, und Signieren des Übertragungstickets, bevor das Übertragungsticket an die Sicherheitsschicht (612) zurückgesendet wird.