信息。作為另一示例��,明文數(shù)據(jù)可能出現(xiàn)在其外部的半導(dǎo)體設(shè)備封裝外部的任何線纜可以被包裹在環(huán)氧樹脂或不得不被物理更改以獲得對明文數(shù)據(jù)的訪問的其他材料中��。
[0035]用于實現(xiàn)安全設(shè)備的合適的半導(dǎo)體設(shè)備可以是可編程邏輯設(shè)備����,諸如場可編程門陣列(FPGA)�����。一些已知的FPGA設(shè)備包括促進(jìn)僅由授權(quán)方進(jìn)行安全編程的加載的特征���。在此可以使用此類特征來允許云數(shù)據(jù)庫平臺的訂戶控制安全設(shè)備執(zhí)行的程序,即便安全設(shè)備位于云數(shù)據(jù)庫平臺的操作者的場所處�����。相應(yīng)地����,F(xiàn)PGA可以無需修改地使用或者在一些實施例中可以納入除了常規(guī)FPGA設(shè)備中的那些特征之外的特征來支持安全計算設(shè)備的附加功會K。
[0036]安全設(shè)備可以采用一個或多個技術(shù)來保護安全��。此類技術(shù)可能需要僅在安全設(shè)備的內(nèi)部組件內(nèi)對敏感明文數(shù)據(jù)執(zhí)行處理�����,以使得即使云數(shù)據(jù)庫平臺的管理員也無法訪問敏感明文數(shù)據(jù)��。
[0037]在其中安全設(shè)備是可編程的實施例中����,可以通過在用要對設(shè)備編程的指令配置設(shè)備之前驗證那些指令來維持安全�?��?梢允褂萌魏魏线m的技術(shù)來驗證指令集。在一些實施例中�,指令集可以用加密、密碼簽署���、或者以其他方式用安全信息處理的格式被加載到安全設(shè)備中��。安全設(shè)備可以對指令集執(zhí)行密碼處理以確保它們用對應(yīng)于受信源的安全信息來處理�。
[0038]在一些實施例中�����,不同類型的信息可以被不同地處理以維持安全����。在一些實施例中,安全設(shè)備可以使用引導(dǎo)進(jìn)程來加載已知是安全的信息���。引導(dǎo)進(jìn)程例如可依賴于在設(shè)備的操作之前加載到安全計算設(shè)備中的與受信源相關(guān)聯(lián)的密鑰安全信息(諸如密鑰)�����。
[0039]與受信源相關(guān)聯(lián)的這一預(yù)先加載的安全信息可由安全設(shè)備用來驗證設(shè)備的操作期間所提供的信息�。在一些實施例中,安全信息可由安全設(shè)備用來驗證將設(shè)備配置成為具體訂戶執(zhí)行安全操作的配置信息�。該配置信息可包括與具體顧客相關(guān)聯(lián)的進(jìn)一步的安全信息,該安全信息可以解密和/或加密查詢和/或與為該具體顧客執(zhí)行的操作相關(guān)聯(lián)的數(shù)據(jù)���。替換地或附加地���,配置信息可包括加載器程序,加載器程序可以加載由顧客提供的指令集以執(zhí)行安全操作���。加載器程序可以被適配成用與具體訂戶相關(guān)聯(lián)的安全信息來操作以使得對安全設(shè)備的編程被限于該具體顧客����。
[0040]此種辦法提供了配置安全設(shè)備方面的極大靈活性�����,而云數(shù)據(jù)庫平臺的操作者無法訪問任何安全信息��。為了允許云平臺用于針對具體訂戶的安全處理�����,云數(shù)據(jù)庫平臺的操作者可以分配供具體訂戶使用的安全設(shè)備。之后���,該安全設(shè)備可自動地與受信授權(quán)方和/或它被分配給的具體訂戶交互����。
[0041]轉(zhuǎn)向圖1���,解說了一示例性計算環(huán)境100。環(huán)境100包括云數(shù)據(jù)庫平臺130����。如在常規(guī)云數(shù)據(jù)庫環(huán)境中的那樣,云數(shù)據(jù)庫平臺130包括處理和數(shù)據(jù)存儲資源�����。在這一示例中���,那些處理資源由計算設(shè)備140和150解說��。存儲資源由數(shù)據(jù)庫142和152解說��。
[0042]在這一示例中���,數(shù)據(jù)庫142可以是明文數(shù)據(jù)庫��。計算設(shè)備140可以被配置有查詢引擎以對照數(shù)據(jù)庫142執(zhí)行明文查詢��。數(shù)據(jù)庫152可以是加密數(shù)據(jù)庫����,存儲在數(shù)據(jù)庫中的一些或全部數(shù)據(jù)以加密形式被存儲���。計算設(shè)備150可以被配置有查詢引擎以對照數(shù)據(jù)庫152執(zhí)行加密查詢���。
[0043]作為一具體示例,數(shù)據(jù)庫152可以存儲健康信息����。與健康信息相關(guān)聯(lián)的任何個人可標(biāo)識信息可以用加密形式被存儲在數(shù)據(jù)庫152中。因而��,如果數(shù)據(jù)庫152包含關(guān)于名為John Smith的病人的信息�,則姓名“John Smith”將不會出現(xiàn)在數(shù)據(jù)庫152中。相反,姓名“John Smith”的加密形式將會出現(xiàn)��。作為示例���,姓名“John Smith”的加密形式可能作為“AGF$#*%”出現(xiàn)�。相應(yīng)地���,尋找關(guān)于John Smith的信息的查詢引擎將在數(shù)據(jù)庫152中搜索包含加密姓名“AGF$#*% ”的記錄�。
[0044]盡管圖1僅示出云數(shù)據(jù)庫平臺130內(nèi)的兩個計算設(shè)備和兩個數(shù)據(jù)庫��,但應(yīng)當(dāng)領(lǐng)會����,云數(shù)據(jù)庫平臺可以具有許多計算設(shè)備和許多數(shù)據(jù)庫�,這些計算設(shè)備和數(shù)據(jù)庫在操作中被分配給從云數(shù)據(jù)庫平臺130的操作者獲得數(shù)據(jù)庫服務(wù)的訂戶。相應(yīng)地�����,應(yīng)當(dāng)領(lǐng)會����,為了簡明起見,云數(shù)據(jù)庫平臺130的許多細(xì)節(jié)從圖1中被略去����。
[0045]圖1示出可以通過相應(yīng)的客戶端計算設(shè)備112A���、112B和112C訪問云數(shù)據(jù)庫平臺130的多個訂戶110A、110B和110C���。如在常規(guī)云數(shù)據(jù)庫平臺中的那樣�����,客戶端計算設(shè)備通過網(wǎng)絡(luò)120 (可以是因特網(wǎng))連接到云數(shù)據(jù)庫平臺130���。
[0046]因為網(wǎng)絡(luò)120可以是公共網(wǎng)絡(luò)或其他非安全網(wǎng)絡(luò),訂戶可以為與云數(shù)據(jù)庫平臺130交換的信息使用加密����。以此方式,明文信息可以僅存在于訂戶場所109內(nèi)以及擁有云數(shù)據(jù)庫平臺130的組件的設(shè)施內(nèi)����。那些設(shè)施之間的通信行經(jīng)可以被加密成使得即便通信由未經(jīng)授權(quán)的第三方截取,該第三方也可能無法使用該通信中包含的信息。
[0047]為了支持這一加密功能,訂戶(諸如訂戶110B)可以具有密鑰114�����。當(dāng)訂戶IlOB向客戶端計算設(shè)備112B輸入查詢時�����,在客戶端計算設(shè)備112B上執(zhí)行的加密程序可以在密碼計算中使用密鑰114來生成加密查詢116�。加密查詢116代替由訂戶IlOB生成的查詢的明文版本可以在網(wǎng)絡(luò)120上傳遞�����。
[0048]在云計算平臺130處����,對應(yīng)的密鑰可以被應(yīng)用以解密加密查詢116。在這一示例中����,密鑰146A可以與密鑰114互補�����,以使得云計算平臺130內(nèi)的計算設(shè)備可以使用密鑰146A來解密查詢�����。這一查詢一旦被解密就可被查詢引擎應(yīng)用來搜索數(shù)據(jù)庫142和/或152。在其中查詢要被應(yīng)用以搜索加密數(shù)據(jù)庫152的實施例中�����,可能要求對查詢的某種轉(zhuǎn)換��,以使得該查詢盡管最初使用明文將指定如它們出現(xiàn)在加密數(shù)據(jù)庫152中那樣的值�����。
[0049]在一些實施例中��,這一解密和轉(zhuǎn)換的部分或全部可以在計算設(shè)備140和/或150內(nèi)進(jìn)行��。然而��,在圖1解說的實施例中���,云計算平臺裝備有安全設(shè)備144�。出于安全理由在云計算平臺130處執(zhí)行的與加密/解密以及對查詢的轉(zhuǎn)換有關(guān)的處理的部分或全部可以在安全設(shè)備144內(nèi)執(zhí)行���。安全設(shè)備144可以是如本文所述的由云計算平臺的操作者所有的且被分配給訂戶的計算設(shè)備�����。盡管圖1僅示出了在這一示例中單個安全設(shè)備144被分配給訂戶110B����,但支持多個訂戶的云計算平臺可以包含多個安全設(shè)備(為簡明起見并未明確解說)。
[0050]可在安全設(shè)備144內(nèi)執(zhí)行任何合適的處理���。在一些實施例中�����,所執(zhí)行的具體處理可以由在訂戶IlOB的控制之下加載的程序來指定����。該處理可以使用同樣在訂戶IlOB的控制之下被加載的密鑰�。此外,安全設(shè)備144可以按照如此方式被配置和封裝以使得安全設(shè)備144內(nèi)的數(shù)據(jù)無法使用容易獲得的工具來訪問���。以此方式,即便是云計算平臺130的操作者的人員也無法容易地訪問安全設(shè)備144內(nèi)的編程和密鑰或其他安全信息���。
[0051]在圖1的示例中�,密鑰146A和146B被解說。這些密鑰解說了可以為不同的安全功能使用不同的密鑰����。例如,可以使用密鑰146A來解密訂戶IlOB發(fā)送的加密查詢和/或加密返回至訂戶IlOB的執(zhí)行那些查詢的結(jié)果���。密鑰146B可用于與訪問加密數(shù)據(jù)庫152中的數(shù)據(jù)的安全功能相關(guān)聯(lián)���。例如,密鑰146B可以在轉(zhuǎn)換解密查詢以應(yīng)用于加密數(shù)據(jù)庫152中被使用���。替換地或附加地���,密鑰146B可以在解密通過查詢加密數(shù)據(jù)庫152返回的加密結(jié)果中被使用。具有用于解密來自加密數(shù)據(jù)庫152的結(jié)果的密鑰可允許安全設(shè)備144內(nèi)的安全處理以包括對從加密數(shù)據(jù)庫152中的加密信息中導(dǎo)出的明文數(shù)據(jù)的操作�。
[0052]安全設(shè)備144提供的安全處理可以用多種方式中的任一種來使用。所執(zhí)行的具體處理可取決于期望的安全級別�����。圖2是提供第一安全級別的實施例的示例���。圖2示出被配置有在操作系統(tǒng)環(huán)境260內(nèi)執(zhí)行的查詢引擎264的計算設(shè)備240(諸如數(shù)據(jù)庫服務(wù)器)�����。同樣在操作系統(tǒng)環(huán)境260中執(zhí)行的是信任模塊262�����。信任模塊262可確保計算設(shè)備260引導(dǎo)進(jìn)入已知狀態(tài)�����,該已知狀態(tài)例如可以是未被病毒破壞的狀態(tài)�。另外,信任模塊262可允許計算設(shè)備240以加密形式將信息維持在塊存儲中����。
[0053]相應(yīng)地,圖2的示例包括加密頁面242B��。為了處理查詢�����,加密頁面242B的某一部分可以被信任模塊262轉(zhuǎn)換成明文頁面242A���。操作系統(tǒng)環(huán)境260可以控制哪些加密頁面被轉(zhuǎn)換成明文頁面242B以及何時刪除明文頁面242A�����。操作系統(tǒng)進(jìn)行的這一處理可以訪問RAM 266ο
[0054]在這一示例中�����,查詢引擎264被配置成執(zhí)行純文本查詢����。當(dāng)查詢被應(yīng)用于查詢引擎264時���,對照明文頁面242Α來應(yīng)用該查詢是可能的�����。此類查詢的結(jié)果以明文形式被返回�。這樣的處理可以使用本領(lǐng)域已知的技術(shù)來執(zhí)行����。盡管計算設(shè)備240內(nèi)的此類處理可以用任何合適的方式來執(zhí)行。
[0055]為了提供安全�,即便在與客戶端212交換查詢和結(jié)果時可以在公共網(wǎng)絡(luò)上傳送查詢和結(jié)果,但安全設(shè)備也可被納入云計算平臺的場所�。在這一示例中�����,該安全設(shè)備可以被實現(xiàn)為網(wǎng)絡(luò)接口組件244的一部分���。
[0056]安全設(shè)備可包括物理網(wǎng)絡(luò)接口 270,以允許安全設(shè)備直接連接到通過其可以與客戶端212交換通信的網(wǎng)絡(luò)�。在這一示例中,收到的通信可以采用由客戶端212上的密碼處理加密和/或簽署的查詢214的形式�����。同樣地����,結(jié)果可以在通過物理網(wǎng)絡(luò)接口 270被傳送到客戶端212之前被加密和/或簽署。
[0057]為了支持加密和/或簽署以及解密和/或驗證簽署通信所必要的密碼處理��,安全設(shè)