DE102023131413A1 - Method for encrypting sensitive data using a middleware device and related device and system - Google Patents
Method for encrypting sensitive data using a middleware device and related device and system Download PDFInfo
- Publication number
- DE102023131413A1 DE102023131413A1 DE102023131413.0A DE102023131413A DE102023131413A1 DE 102023131413 A1 DE102023131413 A1 DE 102023131413A1 DE 102023131413 A DE102023131413 A DE 102023131413A DE 102023131413 A1 DE102023131413 A1 DE 102023131413A1
- Authority
- DE
- Germany
- Prior art keywords
- data
- client
- middleware device
- middleware
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
Die Erfindung betrifft ein Verfahren zur Verschlüsselung sensitiver Daten (110) mittels einer Middleware-Vorrichtung (200). Dabei weist das Verfahren ein Übermitteln (10) von zu verschlüsselnden Daten (110) eines Clients (100) an die Middleware-Vorrichtung (200) auf. Ferner weist das Verfahren ein Verschlüsseln (20) der empfangenen Daten (110) in der Middleware-Vorrichtung (200) auf. Das Verfahren weist darüber hinaus ein Übermitteln (10) der verschlüsselten Daten (110) an eine Datenstrukturvorhalte-Vorrichtung (300) auf, und ein Vorhalten (30) der verschlüsselten Daten (110) in der Datenstrukturvorhalte-Vorrichtung (300).Ferner betrifft die Erfindung eine entsprechende Middleware-Vorrichtung (200) und ein entsprechendes System (500).The invention relates to a method for encrypting sensitive data (110) using a middleware device (200). The method comprises transmitting (10) data (110) to be encrypted from a client (100) to the middleware device (200). Furthermore, the method comprises encrypting (20) the received data (110) in the middleware device (200). The method further comprises transmitting (10) the encrypted data (110) to a data structure storage device (300) and storing (30) the encrypted data (110) in the data structure storage device (300). Furthermore, the invention relates to a corresponding middleware device (200) and a corresponding system (500).
Description
Die Vorliegende Erfindung betrifft ein Verfahren zum Verschlüsseln sensitiver Daten mittels einer Middleware-Vorrichtung, eine diesbezügliche Vorrichtung und ein diesbezügliches System.The present invention relates to a method for encrypting sensitive data by means of a middleware device, a related device and a related system.
Gehostete Gitlab-Instanzen für Projekte mit einem hohen Sicherheitsfokus. können eine Container-Registry aufweisen, in die Projekte ihre Container-Images pushen und von der sie sie abrufen können. Diese Images können in einem zugrunde liegenden Blob-Storage gespeichert werden. Aufgrund der Beschaffenheit der Images müssen diese verschlüsselt gespeichert werden, um sie vor unbefugter Nutzung zu schützen.Hosted Gitlab instances for projects with a high security focus can have a container registry to which projects can push and retrieve their container images. These images can be stored in an underlying blob storage. Due to the nature of the images, they must be stored encrypted to protect them from unauthorized use.
Es gibt Möglichkeiten, Container-Images zu verschlüsseln, bevor sie in eine Container-Registry gestellt werden. Dies erfordert zusätzlichen Aufwand auf der Seite des Registry-Nutzers. Ferner bieten auch einige Blob-Storage-Anbieter solche Verschlüsselungen an.There are ways to encrypt container images before they are placed in a container registry. This requires additional effort on the part of the registry user. Some blob storage providers also offer such encryption.
Dabei bietet der verwendete Objektspeicher bietet keine systemeigene Verschlüsselung und auch der gängige Client unterstützt keine Verschlüsselung.The object storage used does not offer native encryption and the common client does not support encryption either.
Daher wäre es wünschenswert leichtere und kostengünstigere Behälter verwenden zu können, ohne jedoch dabei die Vorteile eines im Wesentlichen automatisierten Abfüllverfahrens zu verlieren.It would therefore be desirable to be able to use lighter and more cost-effective containers without losing the advantages of an essentially automated filling process.
Es ist Ziel der Erfindung eine Möglichkeit vorzuschlagen, welche zumindest einen Teil der im Stand der Technik bekannten Nachteile vermeidet oder zumindest vermindert.The aim of the invention is to propose a possibility which avoids or at least reduces at least some of the disadvantages known in the prior art.
Die Aufgabe wird erfindungsgemäß gelöst, mittels eines Verfahrens gemäß dem Hauptanspruch, sowie mittels einer Vorrichtung und eines Systems gemäß nebengeordneten Ansprüchen.The object is achieved according to the invention by means of a method according to the main claim, as well as by means of a device and a system according to the independent claims.
Der Gegenstand des Hauptanspruches betrifft dabei ein Verfahren zur Verschlüsselung sensitiver Daten mittels einer Middleware-Vorrichtung. Dabei weist das Verfahren ein Übermitteln von zu verschlüsselten Daten eines Clients an die Middleware-Vorrichtung auf. Ferner weist das Verfahren ein Verschlüsseln der empfangenen Daten in der Middleware-Vorrichtung auf. Das Verfahren weist darüber hinaus ein Übermitteln der verschlüsselten Daten an eine Datenstrukturvorhalte-Vorrichtung auf, und ein Vorhalten der verschlüsselten Daten in der Datenstrukturvorhalte-Vorrichtung.The subject matter of the main claim relates to a method for encrypting sensitive data using a middleware device. The method comprises transmitting data to be encrypted from a client to the middleware device. Furthermore, the method comprises encrypting the received data in the middleware device. Furthermore, the method comprises transmitting the encrypted data to a data structure storage device and storing the encrypted data in the data structure storage device.
Die Verfahrensschritte können dabei automatisiert ausgeführt werden.The process steps can be carried out automatically.
Verschlüsselung im Sinne der Erfindung meint dabei ein kryptographisches Absichern, zur Geheimhaltung von Nachrichten, beispielsweise um Daten gegen unbefugten Zugriff abzusichern oder um Nachrichten vertraulich zu übermitteln.Encryption in the sense of the invention means cryptographic protection to keep messages secret, for example to protect data against unauthorized access or to transmit messages confidentially.
Sensitive Daten im Sinne der Erfindung meint dabei vertrauliche Daten, die nicht für die breite Öffentlichkeit zugänglich sein sollen. Dies können geheimniswürdige Daten als auch persönliche Daten sein, die vertrauliche behandelt werden sollen beziehungsweise vertraulich behandelt werden müssen, beispielsweise aufgrund einer übergeordneten gesetzlichen Regelung. Solch sensitive Daten können auch Images sein.Sensitive data, as defined by the invention, refers to confidential data that should not be accessible to the general public. This can include classified data as well as personal data that should or must be treated confidentially, for example, due to a higher-level legal regulation. Such sensitive data can also include images.
Eine Middleware-Vorrichtung im Sinne der Erfindung meint dabei eine Zwischenanwendungsvorrichtung oder auch eine Zwischenschicht-Vorrichtung. Die Middleware-Vorrichtung kann dabei beispielsweise anwendungsneutral so zwischen Anwendungen beziehungsweise Vorrichtungen vermitteln, dass die Komplexität dieser Applikationen und ihre Infrastruktur verborgen werden können. Eine Middleware-Vorrichtung kann dabei auch als eine Verteilungsplattform angesehen werden, auf einer höheren Schicht als jener der gewöhnlichen Rechnerkommunikation. Sie kann somit beispielsweise ein Protokoll (oder Protokollbündel) bereitstellen. Die Middleware-Vorrichtung kann somit die Kommunikation zwischen Prozessen unterstützen. Die Middleware-Vorrichtung kann dabei als Proxy fungieren. Ferner kann die Middlware-Vorrichtung beispielsweise einen asbc-blob-ed aufweisen.A middleware device within the meaning of the invention means an intermediate application device or an intermediate layer device. The middleware device can, for example, mediate between applications or devices in an application-neutral manner so that the complexity of these applications and their infrastructure can be hidden. A middleware device can also be viewed as a distribution platform, on a higher layer than that of conventional computer communication. It can thus, for example, provide a protocol (or protocol bundle). The middleware device can thus support communication between processes. The middleware device can act as a proxy. Furthermore, the middleware device can, for example, have an asbc-blob-ed.
Ein Übermitteln im Sinne der Erfindung meint dabei ein übertragen von Daten. Ein Übermitteln kann dabei auch Senden, Empfangen und/oder Einlesen umfassen.In the context of the invention, transmission means the transfer of data. Transmission can also include sending, receiving, and/or reading.
Ein Client im Sinne der Erfindung meint dabei ein Endgerät eines Netzwerks, auf dem ein Computerprogramm ausgeführt wird und mit einem Server, also einem Zentralrechner kommuniziert. Dabei weist ein Client keine eigene Möglichkeit zur Verschlüsselung/Entschlüsselung der Daten auf.A client, as defined by the invention, refers to a network terminal on which a computer program is executed and communicates with a server, i.e., a central computer. A client does not have its own means of encrypting/decrypting data.
Eine Datenstrukturvorhalte-Vorrichtung im Sinne der Erfindung meint dabei eine Vorrichtung, die beispielsweise eine Datenbank vorhalten kann, wobei in der Datenbank eine Datenstruktur angelegt sein oder werden kann. Die Datenstrukturvorhalte-Vorrichtung kann dabei beispielsweise einen Openstack Swift Storage aufweisen. Die Datenstrukturvorhalte-Vorrichtung kann dabei auch als Cloud-Service implementiert sein.A data structure storage device within the meaning of the invention refers to a device that can, for example, store a database, wherein a data structure can be created or be created in the database. The data structure storage device can, for example, comprise OpenStack Swift Storage. The data structure storage device can also be implemented as a cloud service.
Vorhalten der verschlüsselten Daten im Sinne der Erfindung meint dabei ein aufbewahrt halten dieser Daten, derart, dass sie bei Bedarf nutzbar sind. Somit kann ein Vorhalten ein gespeichertes Aufbewahren meinen, beispielsweise auf einem nichtflüchtigen Speicher, jedoch unter Umständen auch in einem flüchtigen Speicher. Letzteres kann beispielsweise dann gemeint sein, wenn zu erwarten ist, dass diese Daten kurzfristig übertragen und/oder verarbeitet werden müssen. Das Vorhalten der verschlüsselten Daten kann dabei beispielsweise in einem Blob Storage erfolgen.Keeping the encrypted data within the meaning of the invention means keeping this data stored in such a way that it can be used when needed. are. Thus, retention can mean stored storage, for example, on non-volatile memory, but under certain circumstances also in volatile memory. The latter can be meant, for example, if it is expected that this data will need to be transferred and/or processed at short notice. The encrypted data can be stored, for example, in blob storage.
Vor dem Verschlüsseln kann zudem überprüft werden, ob die zu verschlüsselnden Daten bereits verschlüsselt sind, wodurch ein erneutes Verschlüsseln hinfällig werden kann. Es kann jedoch auch sinnvoll sein, diese Daten dennoch erneut zu verschlüsseln, trotz bereits zuvor erfolgter Verschlüsselung.Before encryption, it can also be checked whether the data to be encrypted is already encrypted, which may eliminate the need for re-encryption. However, it may also be advisable to re-encrypt this data despite it having already been encrypted.
Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass ein Verfahren für eine Proxy-Verschlüsselung bereitgestellt werden kann, um. Damit vereinfacht sich für den Benutzer das Handling, da er sich um keine Ent- und Verschlüsselung kümmern muss und dennoch sicher sein kann, dass seine Daten gegen unbefugten Zugriff geschützt sind. Einer weiterer Vorteil ist der, dass somit eine Kapselung der Verschlüsselung stattfindet, wodurch es schwerer wird, diese zu umgehen oder zu hacken. Der Gegenstand eines nebengeordneten Anspruches betrifft dabei eine Vorrichtung zur Verschlüsselung sensitiver Daten mittels einer Middleware-Vorrichtung. Die Vorrichtung weist dabei ein Empfangsmittel, zum Empfangen von zu verschlüsselten Daten eines Clients in die Middleware-Vorrichtung auf. Ferner weist die Vorrichtung ein Verschlüsselungsmittel, zum Verschlüsseln der eingelesenen Daten mittels der Middleware-Vorrichtung auf.The teaching according to the invention achieves the advantage that a method for proxy encryption can be provided. This simplifies handling for the user, as they do not have to worry about decryption and encryption and can still be sure that their data is protected against unauthorized access. A further advantage is that the encryption is encapsulated, making it more difficult to circumvent or hack it. The subject matter of a subordinate claim relates to a device for encrypting sensitive data by means of a middleware device. The device has a receiving means for receiving data to be encrypted from a client into the middleware device. Furthermore, the device has an encryption means for encrypting the read-in data by means of the middleware device.
Darüber hinaus weist die Vorrichtung ein Übermittlungsmittel, zum Übermitteln der verschlüsselten Daten an eine Datenstrukturvorhalte-Vorrichtung auf. Und ferner ist die Vorrichtung dazu eingerichtet, das erfindungsgemäße Verfahren auszuführen.Furthermore, the device comprises a transmission means for transmitting the encrypted data to a data structure storage device. Furthermore, the device is configured to carry out the method according to the invention.
Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass eine Proxy-Verschlüsselung bereitgestellt werden kann, durch die Daten des Benutzers bei hochladen auf dem Server oder runterladen vom Server gegen unbefugten Zugriff geschützt sind.The teaching of the invention achieves the advantage that proxy encryption can be provided, by which the user's data is protected against unauthorized access when uploading it to the server or downloading it from the server.
Der Gegenstand eines weiteren nebengeordneten Anspruches betrifft dabei ein System zur Verschlüsselung sensitiver Daten mittels einer Middleware-Vorrichtung. Dabei umfasst das System einen Client, welcher die zu verschlüsselnden sensitiven Daten aufweist. Ferner weist das System eine erfindungsgemäße Middleware-Vorrichtung zur Verschlüsselung der sensitiven Daten auf. Und darüber hinaus weist das System eine Datenstrukturvorhalte-Vorrichtung auf, zum Vorhalten der verschlüsselten sensitiven Daten in einer Datenstruktur.The subject matter of another independent claim relates to a system for encrypting sensitive data using a middleware device. The system comprises a client that contains the sensitive data to be encrypted. Furthermore, the system comprises a middleware device according to the invention for encrypting the sensitive data. Furthermore, the system comprises a data structure storage device for storing the encrypted sensitive data in a data structure.
Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass ein System mit einer Proxy-Verschlüsselung bereitgestellt werden kann, durch die Daten des Benutzers bei hochladen auf dem Server oder runterladen vom Server gegen unbefugten Zugriff geschützt sind.The teaching of the invention achieves the advantage that a system can be provided with proxy encryption, by which the user's data is protected against unauthorized access when uploaded to the server or downloaded from the server.
Der Gegenstand eines weiteren nebengeordneten Anspruches betrifft dabei ein Computerprogramm mit einem Programmcode der, wenn er auf einem programmierbaren Prozessor ausgeführt wird, das Durchführen eines erfindungsgemäßen Verfahrens bewirkt.The subject matter of a further independent claim relates to a computer program with a program code which, when executed on a programmable processor, causes a method according to the invention to be carried out.
Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass das Verfahren auf effiziente Weise automatisierbar wird. Dadurch können weiter Kosten eingespart werden.The teaching of the invention offers the advantage that the process can be efficiently automated, thus enabling further cost savings.
Bevor nachfolgend Ausgestaltungen der Erfindung eingehender beschrieben werden, ist zunächst festzuhalten, dass die Erfindung nicht auf die beschriebenen Komponenten oder die beschriebenen Verfahrensschritte beschränkt ist. Weiterhin stellt auch die verwendete Terminologie keine Einschränkung dar, sondern hat lediglich beispielhaften Charakter. Soweit in der Beschreibung und den Ansprüchen der Singular verwendet wird ist dabei jeweils der Plural mit umfasst, soweit der Kontext dies nicht explizit ausschließt. Etwaige Verfahrensschritte können, soweit der Kontext dies nicht explizit ausschließt, automatisiert ausgeführt werden.Before further describing embodiments of the invention, it should first be noted that the invention is not limited to the described components or method steps. Furthermore, the terminology used is not limiting but merely exemplary. Where the singular is used in the description and claims, the plural is included unless the context explicitly excludes this. Any method steps can be performed automatically unless the context explicitly excludes this.
Nachfolgend werden weitere exemplarische Ausgestaltungen des erfindungsgemäßen Verfahrens erläutert.Further exemplary embodiments of the method according to the invention are explained below.
Entsprechend einer ersten exemplarischen Ausgestaltung weist das Verfahren ferner ein natives Verschlüsselungsverfahren auf. Dabei erfolgt die Verschlüsselung vorzugsweise in einem Bucket.According to a first exemplary embodiment, the method further comprises a native encryption method. Encryption preferably occurs in a bucket.
Diese Ausgestaltung weist den Vorteil auf, dass die Verschlüsselung noch sicherer gegen unbefugtes Entschlüsseln ausgestaltet sein kann.This design has the advantage that the encryption can be made even more secure against unauthorized decryption.
Entsprechend einer weiteren exemplarischen Ausgestaltung weist das Verfahren ferner auf, dass die Datenstrukturvorhalte-Vorrichtung einen Application-Container aufweist.According to a further exemplary embodiment, the method further comprises that the data structure storage device has an application container.
Diese Ausgestaltung weist den Vorteil auf, dass die sensitiven Daten noch besser gekapselt vorgehalten werden können.This design has the advantage that sensitive data can be kept even better encapsulated.
Entsprechend einer weiteren exemplarischen Ausgestaltung weist das Verfahren ferner ein clientseitiges Anfordern von Daten von der Middleware Vorrichtung auf. Darüber hinaus weist das Verfahren Middleware-Vorrichtungsseitiges Anfordern der verschlüsselten Daten in der Datenstrukturvorhalte-Vorrichtung auf. Diese entsprechen den durch den Client angeforderten Daten. Ferner weist das Verfahren Middleware-Vorrichtungsseitiges Empfangen der entsprechenden verschlüsselten Daten von der Datenstrukturvorhalte-Vorrichtung auf. Das Verfahren weist darüber hinaus das Entschlüsseln der empfangenen Daten in der Middleware-Vorrichtung auf, und Übermitteln der entschlüsselten Daten an den Client.According to another exemplary embodiment, the method further comprises a client-side request for data from the middleware device. Furthermore, the method further comprises the middleware device requesting the encrypted data in the data structure storage device. This data corresponds to the data requested by the client. Furthermore, the method further comprises the middleware device receiving the corresponding encrypted data from the data structure storage device. The method further comprises decrypting the received data in the middleware device and transmitting the decrypted data to the client.
Diese Ausgestaltung weist den Vorteil auf, dass die Ent- und Verschlüsselungsebene sicher gekapselt bereitgestellt werden kann.This design has the advantage that the decryption and encryption levels can be provided securely encapsulated.
Entsprechend einer weiteren exemplarischen Ausgestaltung weist das Verfahren ferner auf, dass das Übermitteln von Daten vom Client an die Middleware-Vorrichtung und das Übermitteln von Daten von der Middleware-Vorrichtung an den Client mittels einer abgesicherten Verbindung erfolgt.According to a further exemplary embodiment, the method further comprises that the transmission of data from the client to the middleware device and the transmission of data from the middleware device to the client takes place by means of a secure connection.
Diese Ausgestaltung weist den Vorteil auf, dass die Daten sicher übertragen werden können und somit ein unerwünschtes Abzweigen der Daten erschwert wird.This design has the advantage that the data can be transmitted securely, thus making it more difficult for the data to be diverted in an unwanted manner.
Entsprechend einer weiteren exemplarischen Ausgestaltung weist das Verfahren ferner auf, dass falls der Client an der Middleware-Vorrichtung noch nicht registriert ist, zur Durchführung eines Registrierungsprozesses für den Client, ein Autorisieren der Middleware-Vorrichtung erfolgt. Darüber hinaus weist das Verfahren das Durchführen des Registrierungsprozesses des Clients an der Middleware-Vorrichtung auf. Und nach erfolgreich durchgeführtem Registrierungsprozess weist das Verfahren eine Vergabe mindestens eines Identifizierungstokens an den Client und/oder die Middleware-Vorrichtung auf, so dass die Middleware-Vorrichtung den Client bei einem Kommunikationswunsch des Clients mit der Middleware-Vorrichtung eindeutig identifizieren kann, und bei positiver Identifizierung, die Middleware-Vorrichtung Daten und/oder Anfragen des Clients akzeptiert und/oder beantwortet.According to a further exemplary embodiment, the method further comprises authorizing the middleware device to carry out a registration process for the client if the client is not yet registered with the middleware device. Furthermore, the method comprises carrying out the registration process of the client on the middleware device. After the registration process has been successfully completed, the method comprises issuing at least one identification token to the client and/or the middleware device so that the middleware device can uniquely identify the client when the client requests communication with the middleware device. Upon positive identification, the middleware device accepts and/or responds to data and/or requests from the client.
Eine Vergabe mindestens eines Identifizierungstokens an den Client und/oder die Middleware-Vorrichtung kann auch einen Austausch von Identifizierungstokens meinen.Assigning at least one identification token to the client and/or the middleware device may also mean an exchange of identification tokens.
Diese Ausgestaltung weist den Vorteil auf, dass eine höhere Sicherheit vor unbefugtem Eindringen in das Client-Server-Netzwerk gewährleistet werden kann.This design has the advantage that greater security can be ensured against unauthorized intrusion into the client-server network.
Entsprechend einer weiteren exemplarischen Ausgestaltung weist das Verfahren ferner Identifizieren des Clients an der Middleware-Vorrichtung auf, vor dem Übermitteln von zu verschlüsselnden Daten an die Middleware-Vorrichtung und vor dem Anfordern von Daten von der Middleware-Vorrichtung. Dabei erfolgt die Identifizierung des Clients an der Middleware-Vorrichtung mittels einer Zwei-Faktor-Authentifizierung.According to another exemplary embodiment, the method further comprises identifying the client at the middleware device before transmitting data to be encrypted to the middleware device and before requesting data from the middleware device. The client is identified at the middleware device using two-factor authentication.
Diese Ausgestaltung weist den Vorteil auf, dass eine noch höhere Sicherheit vor unbefugtem Eindringen in das Client-Server-Netzwerk gewährleistet werden kann.This design has the advantage that even greater security can be ensured against unauthorized intrusion into the client-server network.
Die Erfindung wird nachfolgend eingehender an Hand der Figuren erläutert werden. In diesen zeigen:
-
1 eine schematische Darstellung eines vorgeschlagenen Verfahrens gemäß einer beispielhaften Ausgestaltung der Erfindung; -
2 eine schematische Darstellung eines vorgeschlagenen Verfahrens gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung; -
3 eine schematische Darstellung eines vorgeschlagenen Verfahrens gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung; -
4 eine schematische Darstellung eines vorgeschlagenen Verfahrens gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung; -
5 eine schematische Darstellung einer vorgeschlagenen Vorrichtung gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung; -
6 eine schematische Darstellung eines vorgeschlagenen Systems gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung; und. -
7 eine schematische Darstellung eines Ablaufs gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung.
-
1 a schematic representation of a proposed method according to an exemplary embodiment of the invention; -
2 a schematic representation of a proposed method according to a further exemplary embodiment of the invention; -
3 a schematic representation of a proposed method according to a further exemplary embodiment of the invention; -
4 a schematic representation of a proposed method according to a further exemplary embodiment of the invention; -
5 a schematic representation of a proposed device according to a further exemplary embodiment of the invention; -
6 a schematic representation of a proposed system according to a further exemplary embodiment of the invention; and. -
7 a schematic representation of a process according to a further exemplary embodiment of the invention.
Dabei zeigt
Dabei zeigt
Das zuvor zu
Wie
Dabei zeigt
Wie
Dabei zeigt
Wie
Wie
Wie
Die Erfindungsidee kann wie folgt zusammengefasst werden. Es werden ein Verfahren und eine diesbezügliche Vorrichtung bereitgestellt, wodurch es möglich werden kann, eine Proxy-Verschlüsselung bereitzustellen, für Gehostete Gitlab-Instanzen für Projekte mit einem hohen Sicherheitsfokus.The inventive idea can be summarized as follows: A method and a related device are provided, which make it possible to provide proxy encryption for hosted Gitlab instances for projects with a high security focus.
Mit der Proxy-Verschlüsselung muss sich der Benutzer nicht um die Ent- und Verschlüsselung seiner Images kümmern, wenn er sie aus der Container-Registry schiebt oder zieht. Auch die Container-Registry selbst kennt keine Implementierungsspezifika des Proxys, da sie nur die Adresse des Objektspeichers kennt, aus dem sie ihre Daten speichern und laden soll.With proxy encryption, users don't have to worry about decrypting and encrypting their images when pushing or pulling them from the container registry. The container registry itself is also unaware of the proxy's implementation specifics, as it only knows the address of the object store from which it should store and load its data.
Der Verschlüsselungsproxy sitzt zwischen der Containerregistrierung (z. B. Gitlab) und dem Objektspeicher (z. B. S3). Anstatt die tatsächliche Adresse des Blob-Speichers zu erhalten, erhält er die Adresse des Proxys, so dass alle Dateninteraktionen über ihn laufen. Wenn ein unverschlüsseltes Container-Image empfangen wird, verschlüsselt der Proxy es und speichert es dann im Speicher. Wenn ein Bild angefordert wird, holt der Proxy das verschlüsselte Bild aus dem Speicher, entschlüsselt es und gibt es an den Aufrufer zurück. Eine Implementierung dieses Ansatzes kann beispielsweise als Python-Dienst für beispielsweise eine interne Nutzung mit einem selbst gehosteten Gitlab- und OpenStack Swift-Speicher vorgenommen werden.The encryption proxy sits between the container registry (e.g., Gitlab) and the object storage (e.g., S3). Instead of receiving the actual address of the blob storage, it receives the address of the proxy, so all data interactions go through it. When an unencrypted container image is received, the proxy encrypts it and then stores it in memory. When an image is requested, the proxy fetches the encrypted image from memory, decrypts it, and returns it to the caller. An implementation of this approach can be done as a Python service for internal use, for example, with a self-hosted Gitlab and OpenStack Swift storage.
BezugszeichenlisteList of reference symbols
- 1010
- Übermitteln von zu verschlüsselnden DatenTransmitting data to be encrypted
- 2020
- Verschlüsseln der empfangenen DatenEncrypting the received data
- 3030
- Übermitteln der verschlüsselten DatenTransmitting the encrypted data
- 3535
- Vorhalten der verschlüsselten DatenRetaining encrypted data
- 4040
- Clientseitiges Anfordern von DatenClient-side data request
- 4545
- Middelware-vorrichtungseitiges Anfordern der verschlüsselten DatenMiddleware device-side request for encrypted data
- 5050
- Middelware-vorrichtungseitiges empfangen der verschlüsselten DatenMiddleware device receiving the encrypted data
- 5555
- Entschlüsseln der empfangenen DatenDecrypting the received data
- 6060
- Übermitteln der entschlüsselten DatenTransmitting the decrypted data
- 6565
- Autorisieren der Middelware-VorrichtungAuthorizing the middleware device
- 7070
- Durchführen des RegistrierungsprozessesComplete the registration process
- 8080
- Identifizieren des ClientsIdentifying the client
- 8585
- Vergeben eines IdentifizierungstokensAssigning an identification token
- 100100
- ClientClient
- 110110
- Zu verschlüsselnde DatenData to be encrypted
- 120120
- Empfangene DatenReceived data
- 130130
- Angeforderte DatenRequested data
- 140140
- Entschlüsselte DatenDecrypted data
- 200200
- Middelware-VorrichtungMiddleware device
- 220220
- Abgesicherte VerbindungSecure connection
- 240240
- IdentifizierungstokenIdentification token
- 270270
- EmpfangsmittelReception means
- 280280
- VerschlüsselungsmittelEncryption tools
- 290290
- Übermittlungsmittelmeans of transmission
- 300300
- Datenstrukturvorhalte-VorrichtungData structure retention device
- 500500
- System zur VerschlüsselungEncryption system
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102023131413.0A DE102023131413A1 (en) | 2023-11-13 | 2023-11-13 | Method for encrypting sensitive data using a middleware device and related device and system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102023131413.0A DE102023131413A1 (en) | 2023-11-13 | 2023-11-13 | Method for encrypting sensitive data using a middleware device and related device and system |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102023131413A1 true DE102023131413A1 (en) | 2025-05-15 |
Family
ID=95481071
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102023131413.0A Pending DE102023131413A1 (en) | 2023-11-13 | 2023-11-13 | Method for encrypting sensitive data using a middleware device and related device and system |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102023131413A1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140229732A1 (en) * | 2013-02-12 | 2014-08-14 | Amazon Technologies, Inc. | Data security service |
US20150088754A1 (en) * | 2011-06-16 | 2015-03-26 | OneID Inc. | Method and system for fully encrypted repository |
US9794064B2 (en) * | 2015-09-17 | 2017-10-17 | Secturion Systems, Inc. | Client(s) to cloud or remote server secure data or file object encryption gateway |
US20230011742A1 (en) * | 2015-10-12 | 2023-01-12 | Servicenow, Inc. | Selective encryption delineation |
-
2023
- 2023-11-13 DE DE102023131413.0A patent/DE102023131413A1/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150088754A1 (en) * | 2011-06-16 | 2015-03-26 | OneID Inc. | Method and system for fully encrypted repository |
US20140229732A1 (en) * | 2013-02-12 | 2014-08-14 | Amazon Technologies, Inc. | Data security service |
US9794064B2 (en) * | 2015-09-17 | 2017-10-17 | Secturion Systems, Inc. | Client(s) to cloud or remote server secure data or file object encryption gateway |
US20230011742A1 (en) * | 2015-10-12 | 2023-01-12 | Servicenow, Inc. | Selective encryption delineation |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60029722T2 (en) | METHOD AND DEVICES FOR SAFE DISTRIBUTION OF PUBLIC AND PRIVATE KEY BADGES | |
EP3732605B1 (en) | Secure storage of and access to files through a web application | |
DE602004005219T2 (en) | METHOD AND DEVICE FOR SECURING CONTENT DELIVERY VIA A COMMUNICATION NETWORK CONTAINING CONTENT KEY | |
DE60221113T2 (en) | PROCESS AND SYSTEM FOR THE REMOTE AND MANAGEMENT OF PERSONNEL SECURITY DEVICES | |
EP2013811B1 (en) | Method and device for the pseudonymization of digital data | |
DE69528557T2 (en) | Process for realizing protected access to common information | |
EP3031226B1 (en) | Supporting the use of a secret key | |
EP2975570A1 (en) | Method and a device for securing access to wallets containing crypto-currencies | |
EP3125492A1 (en) | Method and system for generating a secure communication channel for terminals | |
EP3854022B1 (en) | Method and device for the transmission of data in a publish-subscribe system | |
DE60309216T2 (en) | METHOD AND DEVICES FOR PROVIDING DATA ACCESS | |
DE10124427A1 (en) | Communication device authentication method compares hash values of transmission and reception devices provided using hash value algorithm | |
EP2932677B1 (en) | Method for secure transmission of a digital message | |
DE102023131413A1 (en) | Method for encrypting sensitive data using a middleware device and related device and system | |
DE60026472T2 (en) | System and method for authenticating electronic messages sent to a network server | |
DE102012106177A1 (en) | Safe transmission method | |
EP0765550A1 (en) | Device for decoding decoding algorithms and method of encrypting and decoding such algorithms using the device | |
EP3958527A1 (en) | Authentication of a communication partner on a device | |
WO2020144123A1 (en) | Method and system for information transmission | |
DE102019202381A1 (en) | Procedure for transferring data | |
DE102017208503B4 (en) | Method, computer-readable medium, system and vehicle comprising the system for providing a data set of a vehicle to a third party | |
DE102023123178A1 (en) | Transport container for packages and related processes as well as system with transport container | |
DE102021118591A1 (en) | METHOD, SYSTEM AND COMPUTER PROGRAM FOR ENCRYPTION, PROCESSING, TRANSMISSION, STORAGE AND TRACEABILITY OF THE ENCRYPTION OF PERSONAL DATA | |
DE102024105224A1 (en) | Method and device for providing an attribute of an ID token and computer program product | |
DE102007006407B4 (en) | Data processing system, method for receiving personalization data and computer program product |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R163 | Identified publications notified | ||
R016 | Response to examination communication |