[发明专利]在管理器控制的系统中处理客户事件

说明书

本发明涉及在管理器控制的系统(10)中用于处理客户事件的方法，包括步骤：(i)客户事件触发固件(70)中专用于客户事件的第一固件服务，所述客户事件与客户(20)、使用客户密钥(24)加密的客户状态(52)和客户存储器(22)相关联；(ii)所述固件(70)处理与所述客户事件相关联的信息，包括所述客户状态(52)和所述客户存储器(22)的信息，并且向管理器(30)只展示以解密形式的所述客户状态(52)和所述客户存储器(22)的信息的子集，其中所述信息的子集被选择以满足所述管理器(30)处理所述客户事件的需要；(iii)所述固件(70)保留所述客户状态(52)和所述客户存储器(22)的没有发送给所述管理器(30)的部分信息；(iv)所述管理器(30)基于所述接收到的所述客户状态(52)和所述客户存储器(22)的信息的子集处理所述客户事件，并且向所述固件发送处理结果(70)，所述固件(70)触发专用于所述客户事件的第二固件服务；(v)所述固件(70)处理所述接收到的处理结果以及没有被发送给所述管理器(30)的所述客户状态(52)和所述客户存储器(22)的部分信息，生成状态和/或存储器的修改；(vi)所述固件(70)在以加密形式的所述客户存储器(22)上执行与所述客户事件相关的所述状态和/或存储器的修改。

技术领域

本发明通常涉及数据处理系统，尤其是涉及用于在管理器控制的系统中 处理客户事件的方法和系统。

背景技术

公共云的客户接受度被限制于非任务关键数据。核心业务数据经常是客 户的重要资产，数据的保密性对企业的成功至关重要。只要客户不信任云环 境，这些业务敏感环境的云接受度就会停留在最小。其中客户的主要关注点 是对云供应商和云的安全缺乏信任。

对云供应商的信任是至关重要的，因为供应商的管理员能够完全监视客 户的负载和数据。这种可能的用于刺探的违约是许多客户不愿意的原因。

对云安全的信任涉及管理器违约的威胁，即如果黑客获得对虚拟机管理 器的访问，客户的负载和数据就再次处于风险中了。

保证机密性和隐私的方法这时受限于输入/输出(I/O)：网络加密技术 如安全套接字层(SSL)可以用来加密套接字连接并且磁盘加密工具如Linux 上的dm-crypt可用于加密磁盘设备上的数据。

已经开发了可信平台模块(TPM)，以保证在客户运行其负载时，引导 链是有效的，但它不是部署在云环境。而且，TPMS不保证隐私而是充其量 保证安装的完整性。

所有这些技术，即使使用，也不能解决管理器可以总是能全面监视客 户，并用使用运行在客户机上的映像的潜在的敏感数据读取存储器内容的问 题，其中客户通常可以是在管理器控制的系统上的虚拟机。上述提到的问题 不能由这些技术消除。

US0302400/2011A1描述了一种方法，其通常包括由在具有多个处理核 的中央处理单元(CPU)上的信任锚接收虚拟机(VM)映像。一旦接收到， 虚拟机的映像被使用虚拟机映像加密密钥加密。该方法还包括获得虚拟机映 像加密密钥，并使用虚拟机映像加密密钥配置第一加密/解密块。该方法还包 括生成一个存储器会话密钥，并使用存储器会话密钥配置一个第二加密/解密 块。该方法还包括将该虚拟机映像中的一个或多个页面抓取到多个处理内核 可访问的存储器中。每个抓取的页面由第一加密/解密块使用虚拟机映像加密密钥解密，并且随后由第二加密/解密块使用存储器会话密钥加密。

发明内容

本发明的一个目的是提供一种在不可信的云环境中安全地处理客户数据 的方法。

另一个目的是提供一种在不可信的云环境中安全地处理客户数据的系 统。

这些目的是由独立权利要求的特征来实现的。其它权利要求，附图和说 明书公开了本发明的优选的实施例。