安全用户域的按需形成的制作方法

安全用户域的按需形成
1.相关申请的交叉引用
2.本技术要求于2022年2月23日提交的希腊专利申请第20220100162号的权益，该申请的公开内容通过引用全部并入本文中。
技术领域
3.本公开内容一般涉及用于加密数据传输的系统、设备和方法。


背景技术：

4.现代数据中心采用各种设备和方法用于易受到恶意攻击的高速数据交换，特别是当正在交换的数据未加密时。


技术实现要素：

5.在说明性实施例中，一种系统包括：加密协调器，所述加密协调器分析分组，从所述分组中获取租户标识符(id)，确定与所述租户id相关联的租户当前是否有足够的加密信用可用，并响应于确定与所述租户id相关联的所述租户当前有足够的加密信用可用来使加密资源能够使用与所述租户id相关联的加密密钥处理所述分组。
6.在说明性实施例中，一种数据处理系统包括：加密协调器，所述加密协调器通过以下方式使多个租户中的租户能够在所述多个租户之间共享的计算资源上部署特定于所述租户的保密性飞地：接收为所述租户创建所述保密性飞地的请求；识别多个服务器中的一组服务器，所述一组服务器包括所述租户可用的计算资源；在所述一组服务器中的第一服务器上采用信任根(rot)，以与所述一组服务器中的每个其他服务器交换加密密钥；更新将指派给所述租户的租户标识符(id)与所述加密密钥相关联的数据；以及在由所述租户发起的数据的加密传输过程中，使更新后的数据可供参考。
7.在说明性的实施例中，提供了一种使多个租户中的租户能够在所述多个租户之间共享的计算资源上部署特定于所述租户的保密性飞地的方法，其中所述方法包括：接收为所述租户创建所述保密性飞地的请求；识别多个服务器中的一组服务器，所述一组服务器包括所述租户可用的计算资源；访问所述一组服务器中的第一服务器上的信任根(rot)，以与所述一组服务器中的至少第二服务器交换加密密钥；更新将指派给所述租户的租户标识符(id)与所述加密密钥相关联的数据；以及在由所述租户发起的数据的加密传输期间，使所述数据可供参考。
8.其他特征和优点在此描述，并将从以下描述和附图中明显看出。
附图说明
9.本公开结合所附的示图进行描述，这些示图不一定按比例绘制：
10.图1示出了根据至少一个示例性实施例的系统；
11.图2示出了根据至少一个示例性实施例的系统的额外细节；
12.图3示出了根据至少一个示例性实施例的系统的进一步细节；
13.图4是根据至少一个示例性实施例的说明具有密钥供应(keyprovisioning)的数据链路层加密方案的框图；
14.图5是根据至少一个示例性实施例的说明租户供应能力的框图；以及
15.图6是根据至少一个示例性实施例的说明联网设备的细节的框图。
具体实施方式
16.接下来的描述仅提供实施例，并且不是为了限制权利要求的范围、适用性或配置。相反，接下来的描述将为本领域的技术人员提供实现所述实施例的有利描述。可以理解的是，在不背离所附权利要求的精神和范围的情况下，可以对元件的功能和排列进行各种改变。
17.从下文的描述中可以理解，并且由于计算效率的原因，在不影响系统的运行的情况下，系统的组件可以被安排在组件的分布式网络中的任何适当位置。
18.此外，应当理解的是，连接元件的各种链接可以是有线、迹线(trace)或无线链接，或其任何适当的组合，或任何其他适当的已知或后来开发的元件，该元件能够向连接的元件提供和/或与之进行数据通信。例如，用作链接的传输介质可以是电信号的任何适当载体，包括同轴电缆、铜线和光纤、pcb上的电迹线或类似物。
19.如本文所用，短语“至少一个”、“一个或更多个”、“或”和“和/或”是开放式的表达，在操作上既是连接性的，也是不连接性的。例如，“a、b和c中的至少一个”、“a、b或c中的至少一个”、“a、b和c中的一个或更多个”、“a、b或c中的一个或更多个”、“a、b和/或c”以及“a、b或c”中的每一个表达都意味着a单独、b单独、c单独、a和b一起、a和c一起、b和c一起、或a、b和c一起。
20.本文使用的术语“确定”、“运算(calculate)”和“计算(compute)”以及其变体可互换使用，并且包括任何适当类型的方法、过程、操作或技术。
21.本文将参照可能是理想化配置的示意图的附图来描述本公开的各个方面。
22.除非另有定义，本文使用的所有术语(包括技术和科学术语)具有与本公开所属领域技术人员通常理解的相同含义。将进一步理解，术语(诸如那些在常用字典中定义的术语)应当被解释为具有与它们在相关技术领域和本公开中的含义一致的含义。
23.如本文所使用的，除非上下文明确指出，单数形式的“一(a)”、“一个(an)”和“该(the)”旨在也包括复数形式。将进一步理解，术语“包括(include)”、“包括有(including)”、“包括了(includes)”、“包含(comprise)”、“包含了(comprises)”和/或“包含有(comprising)”，当在本说明书中使用时，指定存在所述特征、整数、步骤、操作、元素和/或组件，但不排除存在或添加一个或更多个其他特征、整数、步骤、操作、元素、组件和/或其组。术语“和/或”包括一个或更多个相关列出的项目的任何和所有组合。
24.今天的加密在其普遍存在时是最好的。创新的对抗性攻击发生在计算机堆栈的所有层面，最近甚至发生在最底层，即硬件资源。这种攻击的后果是，数据不应该在任何硬件组件中驻留或穿行而不被加密，因为攻击者甚至可以利用性能监测方法来实现边际信道并窃听数据。鉴于现代系统的复杂性，数据很可能被对手窃听。可能的攻击的复杂性使得数据在被非法获取时处于加密的、不可用的状态变得更加重要。
25.在静止状态和运动状态下对数据进行加密，并且只允许紧接在使用状态之前进行解密，这是确保复杂硬件系统安全的明显途径。然而，在单个资源层面上的加密和在每个租户基础上的密钥管理引入了许多挑战，这需要创新的技术解决方案。
26.提供有用和安全的硬件级加密的一个挑战是效率。例如，在数据移动阶段(例如，系统存储器到网络接口控制器(nic)、nic到网络、以及nic到系统存储器)之间传输数据时，持续地加密和解密数据不能被视为高效。当数据不再使用时立即得到加密，并在再次使用前立即得到解密，这可能是有用的。加密的主系统存储器是这种方法的好示例。数据在存储操作中被加密，在加载操作中被解密，因此主系统存储器的内容在任何时候都是加密的。不过，当通过pci总线移动存储器数据时，存储器数据应该被解密，因为目前接收数据进行处理的目标资源并没有与存储器控制器共享秘密密钥。
27.密钥共享的复杂性随着在同一应用背景下被利用且属于同一租户的资源跨越服务器边界而扩大。传统上，服务器之间的数据移动由网络级安全方法保障，该方法在网络堆栈的早期处理阶段终止了加密隧道。对于网络级的安全隧道，使用diffie-hellman等加密算法方法，与远程对应方交换密钥。由于软件参与了密钥的交换，因此引入了与常规数据类似的漏洞：密钥未经加密就存储在主系统存储器中，因此可以被劫持，使所有的加密支持无用。关于网络安全，还有附加的担心—分组报头的一部分应该保持不加密，因为它被网络设备用于转发操作(如osi l2交换和l3路由)。因此，窃听者可以了解隧道端点的网络标识符，并尝试各种网络级攻击。
28.本公开的实施例提供了一种方法，该方法允许数据中心编排软件实现按需、按租户的资源飞地(enclave)，该飞地实现了跨越服务器边界的保密方案。所提出的方法基于安全的秘密密钥分配方案，该方案利用带外密钥交换安全信道，并使用串行器/解串器(serdes)数据链路层来协调密钥管理，并在租户将在其所属的所有服务器上使用的所有组件之间传递密钥。随后，加密和解密操作被指派给实现从使用中的数据到搁置数据或只在移动中的数据的过渡的组件。对于面向传输的网络，可以将数据链路层加密方案扩展为与实现帧传输的任何介质访问控制(mac)协议一起工作。
29.本公开的方面是对在电线上传输的一些或所有网络报头进行加密，这将禁止或挫败对手弄清加密的流量来自哪里以及它的去向。
30.本公开的另一个方面是提供一种保密方案，允许租户创建跨越服务器边界的资源飞地。描述了一种加密协调器，其被配置为用相同的租户拥有的密钥保护服务器内外的所有数据移动传输。数据在任何阶段都不能因未加密而被窃听，因为数据只会在使用前立即被解密，而不会在存储或传输过程中被解密。
31.此外，密钥分配被实现为信任根(root of trust，rot)功能，并与软件隔离。租户不知道用于保护其部署的密钥。然后可以使用在低层数据链路层上协调密钥安装的安全密钥共享方案。此外，还提出了数据链路层加密，可用于加密点对点传输(例如，在nic和交换机端口之间)的网络报头文件。所提出的加密方法可被认为是对macsec和ipsec等更高层的加密方案的补充。
32.本公开的实施例还提供在共享资源上按需提起安全飞地，其协调上述功能，使得租户工作负载可以在完全加密的设置上运行。
33.还可以提供会计功能，其使加密服务的供应成为随用随付的特征。
34.当在服务器内的资源上执行时保护数据的低层加密支持正在出现。在各处引入加密的关注点是每个组件所需的额外加密逻辑、针对运动中的数据的带内加密的延迟惩罚、整体功耗惩罚，以及最后但并非最不重要的是，秘密密钥共享。
35.本公开的实施例为租户提供了在其工作负载将使用的资源上部署保密飞地的能力，而不管该资源是否与其他租户共享和/或跨越服务器的边界。
36.提出了一种加密协调器，其接收创建安全飞地的请求和资源列表。随后，选定的rot利用带外密钥交换支持，以与包含所涉及的资源的所有远程服务器rot交换密钥。
37.在一些实施例中，随后由指定的rot生成租户工作负载标识符，并使用密钥交换机制在所有实体中分发租户工作负载标识符。然后，该工作负载标识符可以被推送到所有资源，并且可以在密钥标识符和数据处理标识符之间建立关联。这种方法可以使每个资源组件识别哪些数据属于哪个租户，也可以检索到正确的密钥来执行加密/解密操作。例如，在系统存储器加密中，工作负载标识符可以在存储器控制器内部表中与密钥标识符和属于主机端的租户的操作系统(o/s)进程标识符唯一地关联。每次对进程存储器地址空间的访问发生时，相关联的工作负载标识符可用于检索密钥标识符，随后可实施加密/解密。在一些实施例中，工作负载标识符不能与密钥标识符重合，因为还支持运行时密钥更新，而且在工作负载的整个生命周期中，秘密密钥可以被更新几次。作为另一个示例，外围元件互连快速(pcie)总线根复合体(rc)或主机桥收到与目标针对特定的外围设备的特定应用上下文(例如actag)相关联的访问。有效载荷已经被加密，但包括有效载荷大小、物理地址和应用上下文标识符等信息的pci报头应该是未加密的。pcie支持可以使用rot提供的密钥，以为链路之间的传输加密pcie报头，并在接收(仅是报头)时在另一侧解密，这样转发就可以工作了。本着同样的精神，每个资源阶段只对需要的数据部分进行本地加密和解密。
38.本公开的实施例还可以涉及量子密钥分配(qkd)设备和实现其的系统。qkd设备在市场上可以买到，并且在需要确保特定点对点链接的用例中得到应用，例如在数据中心间的连接中。qkd的硬件本质要求改变整个网络设计和基础设施。通常，qkd设备与现有的网络设备一起添加，以便在被认为是不信任的特定连接中促进密钥交换。
39.现在将参照图1至图6说明上述的系统、方法和设备。
40.图1说明了一种可能的系统100配置，其中qkd设备116与联网设备104一起部署。qkd安全链路或加密的通信信道112连接两个联网设备104。联网设备104的示例包括但不限于，边缘路由器、交换机、nic、架顶(tor)交换机、服务器、服务器刀片，等等。每个联网设备104可以通过加密器/解密器108为特定的端口(通常是硬件加速以实现高线路速度)提供加密能力，或者可替代地，可以连接到作为每个端口加密器的专用设备。加密的数据通过直接连接两个联网设备104的通信信道112进行交换。
41.每个联网设备104的加密器/解密器108利用已经通过qkd设备116交换的qkd密钥。加密器/解密器108可以包括适当的硬件和/或软件，用于加密数据并将加密的数据存储在加密存储器(encrypted memory)上。加密器/解密器108可以进一步包括用于从加密存储器中解密数据的合适的硬件和/或软件。加密器/解密器108可以使用通过与qkd设备116建立的隔离(安全)信道从本地rot收到的密钥对来自一个或更多个中央处理单元(cpu)的数据进行加密。加密器/解密器108可以包括易失性和/或非易失性存储设备形式的加密存储器。适用于加密存储器的存储设备的非限制性示例包括闪存、随机存取存储器(ram)、其变体、
其组合或类似物。加密存储器可以是联网设备104的主系统存储器、外围设备专用存储器(例如，图形处理单元(gpu)存储器)、加密存储(例如，结构上nvme(nvmeover fabric))和/或存储类存储器。
42.qkd密钥通过量子信道120直接从qkd设备116交换。qkd设备116之间的额外服务信道124可用于促进qkd协议的实现。服务信道124可由qkd设备116用来交换关于密钥标识符的信息，而不携带实际的密钥。因此，通过服务信道124交换的任何信息不一定会损害系统的100安全性。
43.每个联网设备104可以通过物理链路连接到qkd设备116。可用于将qkd设备116与联网设备104耦合的物理链路的说明性但非限制性的示例是1gbe lan端口。qkd设备116和联网设备104之间的通信旨在向联网设备104提供qkd密钥和密钥id，通常根据现有的标准(如etsi014)实现。在这个标准中，qkd设备116暴露了https服务器，联网设备104从该服务器查询密钥id。qkd设备116和联网设备104位于同一地点，这被认为是安全域；因此，它们之间的链路不会引入安全漏洞。
44.虽然作为网络元件进行了说明和描述，但是应当理解，联网设备104可以对应于成为通信网络的一部分或与通信网络连接的任何类型的设备。可像如本文所述的联网设备104那样行动或操作的合适设备的其他示例包括但不限于个人计算机(pc)、笔记本电脑、平板电脑、智能手机、服务器、服务器的集合或类似物中的一个或更多个。
45.通信信道112被描述为穿越数据中心，但是应当理解的是，通信信道112可以穿越任何类型的通信网络(无论是受信的还是不可信的)。可用于连接联网设备104并支持通信信道112的通信网络的示例包括但不限于互联网协议(ip)网络、以太网网络、infiniband(ib)网络、光纤信道网络、互联网、蜂窝通信网络、无线通信网络、其组合(例如，以太网上的光纤信道)、其变体和/或类似物。在一个具体但非限制性的示例中，通信网络使用光信号使能联网设备104之间的数据传输。在这种情况下，联网设备104和通信网络可以包括承载光信号的波导(例如，光纤)。在一个具体但非限制性的示例中，通信网络使用电信号使能联网设备104之间的数据传输。在这种情况下，联网设备104和通信网络可以包括承载电信号的导电线(例如，铜线)。在一个实施例中，通信网络能够用电信号和光信号二者进行数据传输。
46.现在参考图2和图3，将描述有利于安全数据维护和传输的系统200的其他细节。示出了系统200的各种配置，并且不应理解为限制本公开的实施例。
47.图2示出了系统200，其中加密协调器204正在管理服务器和交换机之间的安全通信。具体而言，但不限于此，系统200被示出包括加密协调器204，其被连接到网络220，该网络220还通过交换机224将第一服务器216a与第二服务器216b相连接。两个服务器216a、216b都显示包括处理器228、加速器232、存储器236、pci 240和nic 244。每个服务器216a、216b的nic 244可以提供服务器216a、216b和网络220之间的连接。网络220可以提供服务器216a、216b和交换机224之间的连接。
48.交换机224被示出为包括与多个通信端口252通信的交换结构248。通过交换机224从一个服务器(例如，第一服务器216a)流向另一个服务器(例如，第二服务器216b)的数据可以在租户安全飞地208中被保护。租户安全飞地208可以由加密协调器204通过按需安全信道212管理。
49.如本文将进一步详细描述的，加密协调器204可以驻留在系统200的一个或更多个组件上以管理租户安全飞地208。作为示例，加密协调器204可以在服务器216a、216b和/或交换机224的软件、固件和/或硬件中提供。也可以在中央式控制器处提供加密协调器204。在一些实施例中，加密协调器204被提供在由租户作为其工作流程的一部分而使用的一个或许多联网设备104上。
50.加密协调器204可以被配置为保持有关于哪些数据将被加密以及为哪个租户加密的资源标识符和相关配置细节。为此，加密协调器204可以生成工作负载标识符，并与包含将用于工作负载执行的资源(例如，处理器228、加速器232、存储器236、pci 240、nic 244)的每个服务器216a、216b的rot设备通信。每个资源都有实现密码的加密和解密组件。每个资源加密器可被提供对查找表的隔离访问，该查找表将工作负载标识符与秘密密钥标签和另一资源特定标识符(例如，存储器地址、标签、ip端口等)相关联，这将允许区分租户流量。随后，加密器可以执行每个租户的加密，这只有在加密协调器204在资源中启用了加密时才会发生。此外，加密协调器204可以规定对租户数据进行部分加密，例如，涵盖需要由特定资源使用的注释数据(例如，存储器地址、中断标识符等)进行处理/转发，而不是处理整个数据。这样，每个资源可以灵活地加密它需要接收加密的数据的一部分(或需要附加给内部使用的数据)，并且对本地处理很重要，而不是先前已经加密的其余数据。
51.作为上述功能的一个非限制性示例，假设加密的存储器控制器通过pci 240总线接收直接存储器访问(dma)引擎的存储器读取请求。存储器控制器需要能够读取请求的存储器地址和请求的数据大小，因此pci 根复合体(root complex)可以在将读取请求报头传递给存储器控制器之前解密读取请求报头。存储器控制器将读取存储器中的加密数据，并将响应传递给pci root complex(rc)，使得数据可以返回给远程dma引擎。响应报头将以未加密的状态被传递给pci-rc，因为pci-rc需要弄清楚这个响应是针对哪个组件的，虽然响应数据将以加密的状态被传递给pci-rc。随后，pci-rc将对朝向目的地端点的响应报头进行加密，因此，如果对手窃听了pci通道，对手就无法弄清关于事务的任何情况，因为电线上的每一个比特都将被加密。
52.一旦上述配置被推送到每个涉及的资源，就会带出安全的租户资源飞地，如图2所描述的。每个资源将有助于租户数据的保密处理，这些数据将无处可去解密，从而形成虚拟的共享资源飞地208。值得注意的是，相同的物理资源可以在不同租户之间共享，但每个租户将使用不同的密钥。除了保护服务器216a、216b的资源外，还可以保护交换机224的资源(例如，交换机结构248和/或端口252)。因此，租户安全飞地208的整体被维持在安全状态。
53.如图3所示，每个租户的秘密密钥308供应可以在隔离的情况下进行，并且可以是rot 304组件功能。当加密协调器204请求最终触发适当的固件回调时，秘密密钥308可以被交付316。指定的rot 304被认为是生成密钥308的主rot 304，并随后将密钥308分配给同一和邻居服务器216a、216b上的邻居rot 304。在示出的示例中，在不同的联网设备104(例如，交换机224和服务器216a、216b)的rot 304之间建立密钥交换信道312。如上所述，密钥交换信道312可以包括量子信道120和/或服务信道124。
54.在一些实施例中，rot 304通过不暴露于软件的隔离信道312向组件传递密钥308。面向密钥交换的网络可以利用带外机制(例如，量子信道120)。qkd方法提供了一个适当的方法，但也可以考虑其他非量子方法。例如，传统的密钥交换协议也可用于在不同联网设备
104的rot 304之间分配密钥308。本公开的实施例设想rot设备304以如上所述的保密方式提供密钥308。
55.现在参考图4，将根据本公开的至少一些实施例描述与加密协调器204的操作有关的额外细节。本公开的实施例提供了一种方法，据此在数据链路层(例如，在serdes信道上)提供加密支持。
56.图4示出了彼此相互通信的发射器404和接收器408。发射器404可以对应于第一联网设备104，而接收器408可以对应于第二联网设备108。
57.发射器404被示为包括加密协调器204，尽管应该理解，加密协调器204可以被提供在接收器408上或在系统200中的一些其他设备上。发射器404还被显示为包括数据链路416、物理译码子层(pcs)420、加密器108和rot 304。pcs 420被示出为包括齿轮箱(gearbox)424。接收器408包括相应的rot 304、解密器108、pcs 420和数据链路416。
58.由于serdes支撑了用于芯片到芯片数据传输的大多数互连，所提出的加密方案适用于所有运动中数据安全。值得注意的是，基于serdes的通信在同一服务器上的组件之间实现，但也在nic和交换机端口之间实现，因此该方法也适用于网络数据传输。
59.在物理层数字信号处理之后，serdes堆栈的特征是具有一些用rtl实现的硬件逻辑层，在接收器408处恢复数据之前，可以在事务层进一步处理。这些低级层被捆绑在数据链路416层下，通常被命名为pcs 420和物理介质附件(pma)。pcs 420层是有意义的，因为它是最低层，它将数据位分组在定义明确的实体中，并可以单独处理。这些实体被称为比特块(flit)，其比特大小由serdes逻辑设计定义，通常是可以在时钟周期内由硬件管线阶段单独处理的比特组。因此，通过serdes从一个资源推送到下一个资源的一大块数据在serdes硬件管线内被切成比特块进行转发。pcs 420层的特征是齿轮箱428，可以指定在数据链路416层接收到的租户帧412中包含的不同部分或比特。具体来说，齿轮箱424可以被配置为在数据和控制比特块428之间进行指定。数据比特块承载租户帧412的有效载荷，而控制比特块428用于在serdes端点之间传递控制信息，并在serdes端点之间被消耗。例如，控制比特块428的一个功能是时钟补偿消息，另一个是循环冗余校验(crc)校验序列消息。
60.本公开的实施例在serdes级别通过加密协调器204引入加密支持。具体而言，控制消息可以被指定为承载密钥标签，并且还确定用对应于特定标签的秘密密钥308加密的后续比特块的数量。当租户帧412到达serdes信道的数据链路416层时，包含工作负载标识符的特殊注释在进入serdes管线时跟随该比特块。在齿轮箱424之后，加密器108模块正在接收控制比特块428。在控制比特块428作为加密租户帧432的一部分被转发之前，加密器108基于标签检索适当的加密密钥308，并根据控制比特块428上的指令对随后的比特块436进行加密。随后，控制比特块428被未加密地发送到接收器，因此解密器108可以执行相反的程序，只解密指定数量的比特块436。本设计假定使用的是不扩展432数据的块状密码，并对比特块大小的块进行操作(例如，比特块大小是固定的)。例如aes密码满足这些要求，但为了便于讨论，将不描述密码的细节。在接收器处，适当设计的serdes信道将能够解密加密的租户帧432，并产生解密的租户帧436，它应该与租户帧412基本匹配。同时，攻击者或对手将对由租户安全飞地208内的租户建立的架构几乎没有洞察力。
61.鉴于这种支持，如果窃听者窃听serdes信道，除了控制比特块428之外，所有数据比特块436将在加密的租户帧432中被加密。如果serdes加密支持被配置为只加密数据的一
部分，则假定数据的其余部分已经事先加密，例如，如果用户帧是ipsec分组，就会发生这种情况。要加密的比特块436的数量是可配置的，由于性能原因，加密可能只针对未加密的数据的一部分发生。
62.回到ipsec的示例，如果没有公开的加密方案支持，窃听nic和交换机端口之间的serdes信道将允许对手看到每个流的mac报头和ip报头。这些信息使对手能够了解该流属于哪个域和/或服务，并决定它是否有兴趣。然后，被窃听的流量分组可以被对手存储在永久存储装置中，并尝试用蛮力攻击来离线解密有效载荷的信息。在后量子时代，破解被非法获取的搁置数据是非常现实的威胁。通过提议的serdes加密方案，窃听者对数据属于谁的洞察力为零。虽然对每个租户的流分类是可行的，但由于ip报头和以太网报头被加密，人们必须破译所有流才能找到感兴趣的租户。这大大扩展了攻击者的问题空间。
63.如图5所示，区分哪个流量属于哪个租户的能力进一步使引入会计支持成为可能，这使数据中心提供商能够提供serdes级加密作为随用随付服务。随用随付功能可以作为加密协调器204逻辑的一部分来提供，加密协调器204逻辑管理着信用桶(credit bucket)512。在一些实施例中，信用桶512可以实现为与每个租户流相关联的计数器。每次在加密协调器204的控制下转发和加密比特块时，为租户递减各自的计数器。如果计数器变为零，则相关联的租户流就会停止加密，直到购买额外的信用。加密协调器负责根据数据流、加密和对信用桶512的添加，保持计数器被更新并被适当地管理。
64.在一些实施例中，加密协调器204可以从分组的比特块(例如，来自租户帧412)获得租户id。加密协调器204可以参考租户查询表536以识别适当的租户id注释532。租户id注释532可以在比特块被发送到数据链路层504之前被附加到接收到的分组或帧412(例如，作为控制比特块428的一部分)，该数据链路层504可以包括上述的serdes管线524。数据链路层504还可以包括rot 520(其可以与rot 304相似或相同)和比特块加密/解密引擎528。该比特块加密/解密引擎528可以包括加密器/解密器108。
65.在一些实施例中，可向租户提供对支付门户508的访问，其允许租户重新填充或定义用于重新填充租户的信用桶512的规则。比特块加密/解密引擎528的加密/解密能力可以仅在有效的租户id注释被附加到比特块532并且加密协调器204已经确定相关联的租户在其信用桶512中具有足够的加密信用的情况下被启用。
66.在一些实施例中，rot 520可以参考存储在rot-内部存储器(也称为暂存存储器)存储区(store)516中的标签/密钥，以确定是否应该为租户保持有效的租户id注释或者是否应该移除该租户id。这种方法使rot能够实现租户过期方案，也可以垃圾收集任何不再使用的条目。
67.小型化的qkd系统正在变得可用。现在参考图6，将根据本公开的至少一些实施例描述可包括用于实现加密协调器204的qkd设备116的联网设备104的额外细节。还考虑了以可插拔形式集成量子随机数发生器(qrng)616的可行性。在一些实施例中，联网设备104可被配置为包括可插拔的qkd设备116或与可插拔的qkd设备116互动，这些可插拔的qkd设备可被连接到联网设备104的前面板604。以这种方式，qkd设备连同qrng 616可以代表集成(部分或完全地)在联网设备104上的qkd系统。在联网设备104的前面板204处暴露qkd系统的一部分(例如，qkd设备116)以便进行空间管理以及其他事项可能是可取的。这样的概念很适合联网设备104(例如边缘路由器)，因为这样的设备在其前面板604上提供可用的空间
以添加额外的可插拔收发器端口608。
68.正如可以理解的，各种设计考虑可与不同的联网设备104结合使用。在一些实施例中，加密协调器204可以被提供在联网设备104的控制器620内和/或作为qkd设备116本身的一部分。在一些实施例中，联网设备108包括在共同封装的数据中心交换机或类似物中的一定集成水平的qkd功能。
69.共同封装可以指不同的电气和/或光电芯片在同一封装中的紧密集成。构成共同封装系统的不同芯片被组装在通常称为多芯片模块(mcm)装配件612的单一基板上。mcm装配件612可以包括被外围芯片包围的开关电路624。在一些实施例中，开关电路624和周围的芯片都被安装在共同的基板上，尽管这样的配置不是必须的。mcm装配件6247可以被提供在联网设备104的较大的壳体中，定位在前面板604的后面。开关电路624可以包括一个或更多个核心数字专用集成电路(asic)、cpu、gpu、微处理器、fpga、其组合等。
70.在非限制性的示例中，共同封装的联网设备104可以被提供为例如是机架安装单元(rackmount unit)的交换机外壳。联网设备104可以包括mcm装配件612、光收发器端口608、qkd设备116、qrng 616和控制器620。
71.如上所述，光收发器端口608被放置在前面板604处。端口608可以通过光纤传输到前面板604。控制器620被示出以促进qkd设备116和mcm装配件624的组件之间的通信。控制器620可以包括处理器、微控制器或专用的、定制的asic(例如，特定类型的微控制器或μc)中的一个或更多个。
72.在一些实施例中，qrng 616可以作为芯片提供，其可以与qkd设备116以及通过串行接口与mcm装配件624通信，提供真正的随机数以促进通过通信信道112的安全加密通信。应该理解的是，qrng 616可以以类似于qkd设备116的可插拔形式提供。或者，如图6所示，一个或两个设备可以被集成在联网设备104中。
73.在说明书中给出了具体细节，以提供对实施例的彻底理解。然而，本领域普通技术人员将理解，本发明的实施例可以在没有这些具体细节的情况下实施。在其他情况下，公知的电路、过程、算法、结构和技术可以在没有不必要的细节的情况下被显示出来，以避免模糊实施例。
74.虽然本文已经详细描述了本公开的示出性实施例，但是应当理解的是，本发明的概念可以以其他方式不同地体现和采用，并且所附的权利要求旨在被解释为包括此类变化，除非受到现有技术的限制。
75.应当理解的是，发明概念涵盖与任何一个或更多个其他实施例相结合的任何实施例、本文公开的任何一个或更多个特征、本文基本公开的任何一个或更多个特征、本文基本公开的任何一个或更多个特征与本文基本公开的任何一个或更多个其他特征相结合、本文公开的任何一个方面/特征/实施例与任何一个或更多个其他方面/特征/实施例相结合、本文公开的任何一个或更多个实施例或特征的使用。应当理解的是，本文描述的任何特征都可以与本文描述的任何其他特征结合起来提出权利要求，无论这些特征是否来自描述的同一实施例。
76.示例性实施例可被配置如下：
77.(1)一种系统，包括：
78.加密协调器，所述加密协调器分析分组，从所述分组中获取租户标识符(id)，确定
与所述租户id相关联的租户当前是否有足够的加密信用可用，并响应于确定与所述租户id相关联的所述租户当前有足够的加密信用可用来使加密资源能够使用与所述租户id相关联的加密密钥处理所述分组。
79.(2)根据(1)所述的系统，其中所述加密密钥包括量子密钥，并且其中，所述量子密钥与所述租户单一地关联。
80.(3)根据(1)或(2)所述的系统，其中所述加密协调器从所述分组的比特块中获得所述租户id。
81.(4)根据(3)所述的系统，其中所述比特块包括分组的第一比特块。
82.(5)根据(1)-(4)所述的系统，其中所述加密资源包括物理译码子层(pcs)硬件资源。
83.(6)根据(5)所述的系统，其中所述pcs硬件资源包括发射电路、加扰电路、齿轮箱和编码电路中的至少一个。
84.(7)根据(5)所述的系统，其中所述pcs硬件资源向串行器/解串器(serdes)提供所述分组的加密版本。
85.(8)根据(1)-(7)所述的系统，其中所述分组是从操作于数据链路层的电路中接收的。
86.(9)根据(1)-(8)所述的系统，其中所述加密协调器在使所述加密资源用所述加密密钥加密所述分组后，更新所述租户可用的加密信用数。
87.(10)根据(1)-(9)所述的系统，其中所述加密协调器通过参考资源清单来确定与所述租户id相关联的所述租户当前是否有足够的加密信用可用。
88.(11)一种数据处理系统，包括：
89.加密协调器，所述加密协调器通过以下方式使多个租户中的租户能够在所述多个租户之间共享的计算资源上部署特定于所述租户的保密性飞地：
90.接收为所述租户创建所述保密性飞地的请求；
91.识别多个服务器中的一组服务器，所述一组服务器包括所述租户可用的计算资源；
92.在所述一组服务器中的第一服务器上采用信任根(rot)，以与所述一组服务器中的每个其他服务器交换加密密钥；
93.更新将指派给所述租户的租户标识符(id)与所述加密密钥相关联的数据；以及
94.在由所述租户发起的数据的加密传输过程中，使更新后的数据可供参考。
95.(12)根据(11)所述的数据处理系统，其中所述一组服务器中的每个服务器包括rot，并且其中，所述第一服务器上的rot与所述一组服务器中的每个其他服务器上的rot交换所述加密密钥。
96.(13)根据(12)所述的数据处理系统，其中所述加密密钥使用带外密钥交换过程进行交换。
97.(14)根据(13)所述的数据处理系统，其中所述加密密钥包括量子密钥，并且其中，所述带外密钥交换过程采用量子密钥分发(qkd)设备。
98.(15)根据(11)-(14)所述的数据处理系统，其中所述加密协调器进一步使所述多个租户中的第二租户能够在其上部署有所述租户的保密性飞地的所述计算资源中的一个
或更多个计算资源上部署特定于所述第二租户的第二保密性飞地。
99.(16)根据(11)-(15)所述的数据处理系统，其中所述计算资源包括云计算资源，并且其中，所述加密密钥用于加密或解密在所述计算资源内的存储器访问期间交换的一个或更多个数据分组。
100.(17)一种使多个租户中的租户能够在所述多个租户之间共享的计算资源上部署特定于所述租户的保密性飞地的方法，所述方法包括：
101.接收为所述租户创建所述保密性飞地的请求；
102.识别多个服务器中的一组服务器，所述一组服务器包括所述租户可用的计算资源；
103.访问所述一组服务器中的第一服务器上的信任根(rot)，以与所述一组服务器中的至少第二服务器交换加密密钥；
104.更新将指派给所述租户的租户标识符(id)与所述加密密钥相关联的数据；以及
105.在由所述租户发起的数据的加密传输期间，使所述数据可供参考。
106.(18)根据(17)所述的方法，其中所述数据包括资源清单，所述方法进一步包括：
107.分析在所述一组服务器中的服务器的物理译码子层(pcs)硬件资源处接收到的分组；
108.参考所述资源清单以确定与所述租户id相关联的所述租户当前是否有足够的加密信用可用；以及
109.响应于确定与所述租户id相关联的所述租户当前有足够的加密信用可用，使所述pcs硬件资源能够使用所述加密密钥处理所述分组。
110.(19)根据(17)或(18)所述的方法，其中所述一组服务器中的每个服务器包括rot，其中所述第一服务器上的rot与所述一组服务器中的每个其他服务器上的rot交换所述加密密钥，其中所述加密密钥包括量子密钥，并且其中，使用量子密钥分发(qkd)设备来交换所述量子密钥。
111.(20)根据(17)-(19)所述的方法，其中所述计算资源包括云计算资源，并且其中，所述加密密钥用于加密或解密在所述计算资源内的存储器访问期间交换的一个或更多个数据分组。
112.(21)根据(17)-(20)所述的方法，进一步包括：
113.在用所述加密密钥对分组进行加密之后，更新所述租户可用的加密信用数。

技术特征：
1.一种系统，包括：加密协调器，所述加密协调器分析分组，从所述分组中获取租户标识符id，确定与所述租户id相关联的租户当前是否有足够的加密信用可用，并响应于确定与所述租户id相关联的所述租户当前有足够的加密信用可用来使加密资源能够使用与所述租户id相关联的加密密钥处理所述分组。2.根据权利要求1所述的系统，其中所述加密密钥包括量子密钥，并且其中，所述量子密钥与所述租户单一地关联。3.根据权利要求1所述的系统，其中所述加密协调器从所述分组的比特块中获得所述租户id。4.根据权利要求3所述的系统，其中所述比特块包括分组的第一比特块。5.根据权利要求1所述的系统，其中所述加密资源包括物理译码子层pcs硬件资源。6.根据权利要求5所述的系统，其中所述pcs硬件资源包括发射电路、加扰电路、齿轮箱和编码电路中的至少一个。7.根据权利要求5所述的系统，其中所述pcs硬件资源向串行器/解串器serdes提供所述分组的加密版本。8.根据权利要求1所述的系统，其中所述分组是从操作于数据链路层的电路中接收的。9.根据权利要求1所述的系统，其中所述加密协调器在使所述加密资源用所述加密密钥加密所述分组后，更新所述租户可用的加密信用数。10.根据权利要求1所述的系统，其中所述加密协调器通过参考资源清单来确定与所述租户id相关联的所述租户当前是否有足够的加密信用可用。11.一种数据处理系统，包括：加密协调器，所述加密协调器通过以下方式使多个租户中的租户能够在所述多个租户之间共享的计算资源上部署特定于所述租户的保密性飞地：接收为所述租户创建所述保密性飞地的请求；识别多个服务器中的一组服务器，所述一组服务器包括所述租户可用的计算资源；在所述一组服务器中的第一服务器上采用信任根rot，以与所述一组服务器中的每个其他服务器交换加密密钥；更新将指派给所述租户的租户标识符id与所述加密密钥相关联的数据；以及在由所述租户发起的数据的加密传输过程中，使更新后的数据可供参考。12.根据权利要求11所述的数据处理系统，其中所述一组服务器中的每个服务器包括rot，并且其中，所述第一服务器上的rot与所述一组服务器中的每个其他服务器上的rot交换所述加密密钥。13.根据权利要求12所述的数据处理系统，其中所述加密密钥使用带外密钥交换过程进行交换。14.根据权利要求13所述的数据处理系统，其中所述加密密钥包括量子密钥，并且其中，所述带外密钥交换过程采用量子密钥分发qkd设备。15.根据权利要求11所述的数据处理系统，其中所述加密协调器进一步使所述多个租户中的第二租户能够在其上部署有所述租户的保密性飞地的所述计算资源中的一个或更多个计算资源上部署特定于所述第二租户的第二保密性飞地。
16.根据权利要求11所述的数据处理系统，其中所述计算资源包括云计算资源，并且其中，所述加密密钥用于加密或解密在所述计算资源内的存储器访问期间交换的一个或更多个数据分组。17.一种使多个租户中的租户能够在所述多个租户之间共享的计算资源上部署特定于所述租户的保密性飞地的方法，所述方法包括：接收为所述租户创建所述保密性飞地的请求；识别多个服务器中的一组服务器，所述一组服务器包括所述租户可用的计算资源；访问所述一组服务器中的第一服务器上的信任根rot，以与所述一组服务器中的至少第二服务器交换加密密钥；更新将指派给所述租户的租户标识符id与所述加密密钥相关联的数据；以及在由所述租户发起的数据的加密传输期间，使所述数据可供参考。18.根据权利要求17所述的方法，其中所述数据包括资源清单，所述方法进一步包括：分析在所述一组服务器中的服务器的物理译码子层pcs硬件资源处接收到的分组；参考所述资源清单以确定与所述租户id相关联的所述租户当前是否有足够的加密信用可用；以及响应于确定与所述租户id相关联的所述租户当前有足够的加密信用可用，使所述pcs硬件资源能够使用所述加密密钥处理所述分组。19.根据权利要求17所述的方法，其中所述一组服务器中的每个服务器包括rot，其中所述第一服务器上的rot与所述一组服务器中的每个其他服务器上的rot交换所述加密密钥，其中所述加密密钥包括量子密钥，并且其中，使用量子密钥分发qkd设备来交换所述量子密钥。20.根据权利要求17所述的方法，其中所述计算资源包括云计算资源，并且其中，所述加密密钥用于加密或解密在所述计算资源内的存储器访问期间交换的一个或更多个数据分组。21.根据权利要求17所述的方法，进一步包括：在用所述加密密钥对分组进行加密之后，更新所述租户可用的加密信用数。

技术总结
本公开涉及安全用户域的按需形成。公开了系统、数据处理系统和方法等。一种说明性的系统包括加密协调器，其分析分组，从分组中获得租户标识符(ID)，确定与租户ID相关联的租户当前是否有足够的加密信用可用，并且响应于确定与租户ID相关联的租户当前有足够的加密信用可用，使加密资源使用与租户ID相关联的加密密钥处理分组。钥处理分组。钥处理分组。


技术研发人员：D
受保护的技术使用者：迈络思科技有限公司
技术研发日：2023.02.14
技术公布日：2023/8/28