安全云數(shù)據(jù)庫平臺的制作方法
【專利說明】安全云數(shù)據(jù)庫平臺
[0001]背景
[0002]在許多計算應(yīng)用中，期望保持數(shù)據(jù)安全。例如，在醫(yī)療背景中，規(guī)定要求使用安全措施來阻止病人數(shù)據(jù)被未經(jīng)授權(quán)方訪問。如果財務(wù)數(shù)據(jù)(諸如企業(yè)顧客的信用卡號或社保安全號)被惡意方獲得，則可能發(fā)生大量財務(wù)損失。
[0003]為了保護數(shù)據(jù)，企業(yè)可以使用各種安全技術(shù)來維護他們自己的計算機系統(tǒng)以阻止對數(shù)據(jù)的未經(jīng)授權(quán)的訪問。企業(yè)可以使用物理和電子技術(shù)來控制對安全數(shù)據(jù)的訪問。保護數(shù)據(jù)的一種替換辦法(即便無法在所有情形中阻止對數(shù)據(jù)的訪問)是在將數(shù)據(jù)存儲在計算機系統(tǒng)中時對數(shù)據(jù)加密。
[0004]已經(jīng)被加密的數(shù)據(jù)或者以其他方式被如此處理從而即便未經(jīng)授權(quán)方訪問了該數(shù)據(jù)該未經(jīng)授權(quán)方也無法確定數(shù)據(jù)的意義的數(shù)據(jù)有時被稱為“密文”。在公司網(wǎng)絡(luò)中，機密數(shù)據(jù)可以被存儲為密文，除了在實際被處理時。通過控制能夠?qū)⒚芪霓D(zhuǎn)換成“明文”的安全信息(諸如加密秘鑰)，可以通過限制數(shù)據(jù)在明文中的存在(除非在安全的高度限制的背景中)來維護數(shù)據(jù)安全。
[0005]最近，數(shù)據(jù)正被存儲在“云”中或者在“云”中被處理。云服務(wù)供應(yīng)商(不是有數(shù)據(jù)要處理的企業(yè))提供計算資源，包括處理和數(shù)據(jù)庫存儲。云服務(wù)供應(yīng)商使得計算資源對顧客可用，每一個顧客與云服務(wù)供應(yīng)商簽訂服務(wù)級協(xié)定(SLA)以能夠訪問對某一級別的計算資源。企業(yè)通過在因特網(wǎng)上提交作業(yè)來訪問這些資源以在從云服務(wù)供應(yīng)商“租賃”的計算機資源上進行處理。
[0006]用于維護數(shù)據(jù)安全的傳統(tǒng)技術(shù)在云環(huán)境中并不適用。盡管數(shù)據(jù)可以作為密文在因特網(wǎng)上傳送，但一旦數(shù)據(jù)被云服務(wù)供應(yīng)商接收，對于許多操作而言數(shù)據(jù)就被轉(zhuǎn)換成明文。結(jié)果，(固有地在企業(yè)外部的)云服務(wù)供應(yīng)商的雇員能夠訪問明文數(shù)據(jù)并且可能能夠訪問用于將密文轉(zhuǎn)換成明文的安全信息。
[0007]概述
[0008]可以通過提供基于對訂戶唯一的安全信息對數(shù)據(jù)執(zhí)行安全功能的硬件組件在云計算環(huán)境中提供安全數(shù)據(jù)庫操作。結(jié)果，能夠限制可訪問明文數(shù)據(jù)的物理位置。數(shù)據(jù)可以僅對云環(huán)境的數(shù)據(jù)庫節(jié)點內(nèi)部可用，或者在一些實施例中，可以僅在安全設(shè)備內(nèi)可用。在一些實施例中，安全設(shè)備具有適配成用于插入到數(shù)據(jù)庫服務(wù)器中的標準槽的形狀因子以使得明文數(shù)據(jù)的通信被限于內(nèi)部服務(wù)器總線。
[0009]此類安全設(shè)備可以在因特網(wǎng)或其他公共網(wǎng)絡(luò)上接收加密的數(shù)據(jù)庫命令。安全設(shè)備可以解密命令并且將它們提供給數(shù)據(jù)庫服務(wù)器以供處理。當操作為查詢時，查詢結(jié)果可以被返回至安全設(shè)備，在安全設(shè)備處查詢結(jié)果被加密以在公共網(wǎng)絡(luò)上傳輸。
[0010]在其他實施例中，數(shù)據(jù)庫服務(wù)器可以接收采用與用于在公共網(wǎng)絡(luò)上通信的加密格式不同的加密格式的命令。在這一實施例中，安全設(shè)備可以將查詢從用于在公共網(wǎng)絡(luò)上通信的加密格式轉(zhuǎn)換成由數(shù)據(jù)庫服務(wù)器使用的加密格式。由數(shù)據(jù)庫服務(wù)器生成的結(jié)果可以被逆向轉(zhuǎn)換。在一些實施例中，逆向轉(zhuǎn)換可包括執(zhí)行對命令處理的各部分。處理的該部分可包括聚集操作或任何其他合適類型的操作。[0011 ] 在一些實施例中，轉(zhuǎn)換命令可包括將命令拆分成各子命令。不同的子命令可具有不同的加密格式。一個子命令可以被格式化成用于至純文本數(shù)據(jù)庫的應(yīng)用，而另一子命令可以被格式化成用于至加密數(shù)據(jù)庫的應(yīng)用。
[0012]以上是對由所附權(quán)利要求定義的本發(fā)明的非限定性的概述。
[0013]附圖簡述
[0014]附圖不旨在按比例繪制。在附圖中，各個附圖中示出的每一完全相同或近乎完全相同的組件由同樣的附圖標記來表示。出于簡明的目的，不是每一個組件在每張附圖中均被標號。在附圖中:
[0015]圖1是利用安全計算設(shè)備的云計算平臺的一示例性實施例的略圖；
[0016]圖2是納入安全設(shè)備的云數(shù)據(jù)庫節(jié)點的一示例性實施例的功能框圖；
[0017]圖3是納入安全設(shè)備的云數(shù)據(jù)庫節(jié)點的第二示例性實施例的功能框圖；
[0018]圖4是納入安全設(shè)備的云數(shù)據(jù)庫節(jié)點的第三示例性實施例的功能框圖；
[0019]圖5A_f5D是由如本文所述的安全設(shè)備處理的數(shù)據(jù)庫命令的示意性解說；以及
[0020]圖6是可用于實現(xiàn)本發(fā)明的一些實施例的示例性計算設(shè)備的功能框圖。
[0021]詳細描述
[0022]發(fā)明人已經(jīng)認識和領(lǐng)會到，云數(shù)據(jù)庫平臺的利用可以通過用安全設(shè)備來裝備云數(shù)據(jù)庫平臺來延伸。安全設(shè)備可以充當網(wǎng)絡(luò)和一個或多個計算設(shè)備之間的接口，在該網(wǎng)絡(luò)上訂戶訪問云數(shù)據(jù)庫平臺，該一個或多個計算設(shè)備在云數(shù)據(jù)庫平臺內(nèi)為該訂戶提供數(shù)據(jù)存儲和檢索資源。
[0023]安全設(shè)備可以置備有對訂戶唯一的密碼信息，諸如私有秘鑰。這一置備可以至少部分地由訂戶或某一受信第三方來執(zhí)行。結(jié)果，即使是云數(shù)據(jù)庫平臺的運營者也無法訪問密碼信息。這一密碼信息可用于解密訂戶提交的查詢和/或加密數(shù)據(jù)以響應(yīng)于查詢而返回至訂戶。
[0024]安全設(shè)備可被配置成充當在其上交換查詢和響應(yīng)的非安全網(wǎng)絡(luò)與訂戶之間的接口。安全設(shè)備可以與在其上可以執(zhí)行查詢的云數(shù)據(jù)庫平臺內(nèi)的計算設(shè)備對接。
[0025]雖然事實是安全計算設(shè)備被云數(shù)據(jù)庫平臺的操作者所有和/或在其控制之下，但仍然可以維護安全?？墒褂靡粋€或多個技術(shù)來維護安全。在一些實施例中，可以通過將安全設(shè)備置于離在云數(shù)據(jù)庫平臺內(nèi)執(zhí)行查詢的處理器緊密臨近度的安全區(qū)域內(nèi)來維護安全。雖然查詢以及響應(yīng)于該查詢生成的數(shù)據(jù)的明文版本可以在安全設(shè)備與處理器之間交換，但將那些設(shè)備保持在緊密臨近度的安全區(qū)域中可以使得難以訪問該信息。在一些實施例中，安全設(shè)備可被安裝在容納該處理器的同一物理外殼中，并且可以通過計算設(shè)備的內(nèi)部總線(諸如PCI總線)耦合至該處理器。對未經(jīng)授權(quán)個體要訪問云數(shù)據(jù)庫平臺內(nèi)的計算設(shè)備內(nèi)部的信息所提出的困難進一步增強了安全。
[0026]在一些實施例中，云數(shù)據(jù)庫平臺可以用加密格式來存儲數(shù)據(jù)。因而，即便未經(jīng)授權(quán)個體獲得對在安全設(shè)備與處理查詢的處理器之間傳遞的信息的訪問，該信息可能被加密。這一信息可以用與用于在不安全網(wǎng)絡(luò)上傳送信息的形式不同的形式來加密。盡管如此，即便未經(jīng)授權(quán)個體獲得對此形式的信息的訪問，安全也不必受損。
[0027]在此類實施例中，安全設(shè)備可在公共網(wǎng)絡(luò)上接收加密查詢。安全設(shè)備可以解密信息并且將其轉(zhuǎn)換成第二形式以應(yīng)用于云數(shù)據(jù)庫平臺內(nèi)被配置成在加密數(shù)據(jù)庫上執(zhí)行查詢的計算設(shè)備。此類查詢的結(jié)果可以被返回至安全設(shè)備以供處理以及在公共網(wǎng)絡(luò)上傳輸至訂戶。
[0028]在一些實施例中，安全設(shè)備內(nèi)的處理可能需要解密加密結(jié)果。替換地或附加地，安全設(shè)備內(nèi)的處理可包括對加密結(jié)果的操作。結(jié)果，經(jīng)處理的查詢結(jié)果可以被返回至訂戶，從而減少在公共網(wǎng)絡(luò)上傳遞的信息量和/或為了訪問查詢結(jié)果由訂戶使用的客戶端計算設(shè)備上要求的處理量。
[0029]作為可以在安全設(shè)備內(nèi)執(zhí)行的處理的具體示例，安全設(shè)備可以執(zhí)行聚集功能。聚集功能的示例包括對數(shù)據(jù)庫中匹配查詢的值和記錄求和或者對數(shù)據(jù)庫中匹配查詢的記錄數(shù)目進行計數(shù)。
[0030]在一些實施例中，云數(shù)據(jù)庫平臺可以將數(shù)據(jù)部分地作為明文而部分地作為加密數(shù)據(jù)來存儲。安全設(shè)備上的處理可能需要拆分查詢以使得各個部分一些部分可以被應(yīng)用于能夠訪問明文數(shù)據(jù)的處理器而其他部分被應(yīng)用于能夠訪問受保護數(shù)據(jù)的處理器。用安全設(shè)備來處理結(jié)果可能需要將從明文數(shù)據(jù)生成的結(jié)果與從加密頁面生成的結(jié)果相組合。此類處理可涉及解密加密頁面以使得它們可以與明文頁面相組合。
[0031]此類云數(shù)據(jù)庫平臺可用于存儲和訪問任何合適類型的數(shù)據(jù)。例如，安全的云數(shù)據(jù)庫平臺可用于實現(xiàn)對關(guān)于個體的敏感醫(yī)療信息的處理。在這一示例中，醫(yī)療信息(無論是查詢的一部分還是響應(yīng)于執(zhí)行查詢而返回的結(jié)果的一部分)可以作為密文來傳送。即便這一傳輸在公共網(wǎng)絡(luò)上進行，傳輸中的數(shù)據(jù)安全可以通過對數(shù)據(jù)的加密來維持。
[0032]在云數(shù)據(jù)庫平臺處接收到查詢之際，這一查詢可以在安全設(shè)備內(nèi)被解密。數(shù)據(jù)安全可以使用本文描述的任何一個或多個技術(shù)來維持。應(yīng)當領(lǐng)會，處理健康信息僅僅是可以在云計算平臺上執(zhí)行同時維持數(shù)據(jù)安全的處理的一個示例。本文所述的平臺可用于任何合適的數(shù)據(jù)處理。在一些實施例中，安全設(shè)備可被配置成用于執(zhí)行如由該安全設(shè)備已經(jīng)被分配給其的訂戶所指定的操作，并且那些操作可以生成數(shù)據(jù)以供云中的進一步處理或以供加密和傳輸給訂戶。
[0033]在一些實施例中，安全設(shè)備可以用阻止對作為安全計算設(shè)備的正常操作的一部分正在設(shè)備內(nèi)部被處理的明文數(shù)據(jù)的訪問的物理安全措施來實現(xiàn)。安全設(shè)備的物理構(gòu)造可以通過顯示對明文數(shù)據(jù)和/或用于設(shè)備內(nèi)的安全處理的安全信息的訪問來阻止或者至少極大地妨礙旨在獲得對明文數(shù)據(jù)的訪問的惡意活動而無需對設(shè)備的物理修改。如果未經(jīng)授權(quán)的訪問要求對設(shè)備的物理修改，該未經(jīng)授權(quán)的訪問可以被容易地檢測到并且可以采取糾正措施來維持安全。
[0034]相應(yīng)地，在一些實施例中，安全設(shè)備可具有如此的架構(gòu)以使得明文數(shù)據(jù)僅在安全設(shè)備內(nèi)部的半導(dǎo)體設(shè)備內(nèi)部可用。可以采用已知技術(shù)來構(gòu)造這些半導(dǎo)體設(shè)備以確保無法使用電磁、熱和/或其他非破壞性感測技術(shù)來檢測到明文數(shù)據(jù)。例如，可以采用半導(dǎo)體設(shè)備的封裝中的金屬屏蔽板和/或確保承載明文數(shù)據(jù)的導(dǎo)體被嵌入在設(shè)備中的架構(gòu)來確保那些導(dǎo)體上的信號無法容易地從半導(dǎo)體設(shè)備的外部檢測到?？梢蕴鎿Q地或附加地采用已知技術(shù)來妨礙對安全設(shè)備的操作的更改，這些更改可能導(dǎo)致安全設(shè)備揭露它用于對敏感數(shù)據(jù)的安全處理的密碼