在此说明性实例中,密码服务系统1600的后端系统还包括多个安全模块(密码 模块)和策略强制实施模块。尽管安全模块中的一个或多个可为硬件安全模块,但在各个 实施方案中,安全模块可为被配置为具有本文所述能力的任何合适的计算机装置。在实施 方案中,每个安全模块存储与KeyID关联的多个密钥。每个安全模块可被配置来安全地存 储密钥,以便不被密码服务系统1600的其他组件和/或其他系统的其他组件访问。在实施 方案中,安全模块中的一些或全部遵从至少一种安全标准。例如,在一些实施方案中,安全 模块各自被验证为遵从联邦信息处理标准(FIPS)出版物140-1和/或140-2中所概括的 FIPS,如FIPS出版物140-2中所概括的一个或多个安全等级。此外,在一些实施方案中, 每个安全模块都在密码模块验证程序(CMVP)下被证实。安全模块可实现为硬件安全模块 (HSM)或具有HSM的一些或所有能力的另一种安全模块。在一些实施方案中,已验证模块用 于引导操作。在一些实施方案中,客户可配置存储在已验证模块中并仅由已验证模块对其 进行操作的一些密钥以及由软件对其进行操作的其他密钥。在一些实施方案中,与这些不 同选项关联的性能或成本可能不同。
[0106] 安全模块可被配置来根据请求处理单元所提供的指令来执行密码操作。例如,请 求处理单元可向适当的安全模块提供密文和KeylD,并向安全模块提供使用与KeyID关联 的密钥对密文进行解密并且作为响应提供明文的指令。在实施方案中,密码服务系统1600 的后端系统安全地存储形成密钥空间的多个密钥。安全模块中的每一个可将所有密钥存储 在密钥空间中;然而,变体被认为是在本公开的范围内。例如,安全模块中的每一个可存储 密钥空间的子空间。由安全模块存储的密钥空间的子空间可重叠,使得密钥可冗余地存储 在整个安全模块中。在一些实施方案中,特定密钥可仅存储在指定地理区域中。在一些实施 方案中,某些密钥可仅由具有特定证书或许可等级的操作者访问。在一些实施方案中,某些 密钥可存储在由特定第三方提供者操作的模块中并且仅由所述模块使用,特定第三方提供 者与数据存储服务系统的提供者有合约。在一些实施方案中,安全模块的构造控制可能要 求试图迫使使用密钥而非由客户授权的合法命令涉及正被强迫的另外实体或强迫动作的 另外管辖范围。在一些实施方案中,可向客户提供对他们的密文和他们的密钥都存储在其 中的管辖范围的独立选择权。在一些实施方案中,存储密钥的安全模块可被配置来向密钥 的所有者提供审计信息,并且安全模块可被配置成使得审计信息的生成和提供不受客户抑 制。在一些实施方案中,安全模块可被配置来独立验证由客户生成的签名,使得提供者(例 如,托管安全模块)不能在由安全模块存储的密钥下执行操作。此外,一些安全模型可存储 密钥空间的全部并且一些安全模块可存储密钥空间的子空间。其他变体也被视为是在本公 开的范围内。在不同安全模块存储密钥空间的不同子空间的情况下,请求处理单元可被配 置为如具有关系表或其他机构,关系表或其他机构用以根据各种请求确定哪个安全模块来 命令执行密码操作。
[0107] 在实施方案中,策略强制实施模块被配置来获取来自请求处理单元的信息,并且 至少部分地基于所述信息来确定是否可执行通过API接收的请求。例如,当通过请求API 接收执行密码操作的请求时,请求处理单元可与策略强制实施模块交互,以根据任何适用 策略、如适用于请求中指定的KeyID的策略和/或其他策略、如与请求者关联的策略来确定 请求的完成是否被授权。如果策略强制实施模块允许完成请求,请求处理单元可相应地根 据完成请求来命令适当的安全模块执行密码操作。
[0108] 与本文描述的所有附图一样,众多变体被认为是在本公开的范围内。例如,图16 示出与安全模块分开的策略强制实施模块。然而,除了或替代被示出为分开的策略强制实 施模块,每个安全模块可包括策略强制实施模块。因此,每个安全模块可独立地被配置来强 制实施策略。此外,作为另一个实例,每个安全模块可包括所强制实施的策略不同于分开的 策略强制实施模块所强制实施的策略的策略强制实施模块。众多其他变体被视为是在本公 开的范围内。
[0109] 如以上所论述,各种策略可由与KeyID关联的用户来配置,使得当请求指定结合 对应于KeyID的密钥执行密码操作时,可强制实施策略。图17提供根据各个实施方案的用 于更新策略的过程1700的说明性实例。过程1700可由任何合适的系统来执行,如由如上 文结合图16所描述的密码服务系统。在实施方案中,过程1300包括接收1302更新针对 KeyID的策略的请求。请求可以任何合适的方式来接收1302。例如,作为实例参照图16,请 求可通过上述密码服务系统1600的前端系统的策略配置API来接收。请求可以任何合适 的方式来接收。
[0110] 在实施方案中,过程1700包括提交1704认证请求和接收1706认证响应。提交 1704认证请求和接收1706认证响应可如上所述以任何合适的方式来执行。同样如上所述, 所接收认证响应可用于确定1708更新针对KeyID的策略的请求是否可信。如果确定1708 所接收的更新针对KeyID的策略的请求不可信,则可拒绝1710请求。拒绝1710请求可以 任何合适的方式来执行,如上所述。然而,如果确定1708所接收的更新针对KeyID的策略 的请求可信,则过程1700可包括访问1712适用于请求者的策略信息。策略信息可以是可 根据其强制实施适用于请求者的任何策略的信息。例如,在利用由过程1700执行的密码服 务的组织中,只有组织的某些用户可被允许更新针对KeyID的策略。策略信息可指示哪些 用户能够引起密码服务系统更新针对KeyID的策略和/或甚至策略根据现有策略是否可更 新。例如,在一些实施方案中,密码服务系统可接收强制实施新策略的请求。密码服务系统 可检查任何现有策略是否允许将新策略付诸实施。如果密码服务系统确定现有策略不允许 强制实施新策略,则可拒绝请求。一般地,策略信息可为可用于强制实施适用于请求者的策 略的任何信息。
[0111] 如图17所示,过程1700包括使用访问策略信息来确定1704策略是否允许执行所 请求的更新。如果确定1714策略不允许执行所请求的更新,则过程1700可如上所述包括 拒绝1710请求。然而,如果确定1714策略允许执行所请求的更新,则过程1700可包括更 新1716针对KeyID的策略。更新针对KeyID的策略可包括:更新策略信息,和根据KeyID 或与其关联地存储已更新策略。已更新策略信息可例如通过如上文结合图16所描述的密 码服务系统的策略强制实施模块来存储。
[0112] 策略还可由电子环境中结合密码服务系统操作的其他组件来强制实施。例如上文 参照图2所论述,密码服务系统可向数据服务前端提供策略的电子表示,以便数据服务器 端强制实施。这在数据服务系统更适合于强制实施策略的情况下可能有用。例如,动作是 否为策略所允许可至少部分地基于数据服务前台可访问且密码服务系统不可访问的信息。 作为一个实例,策略可取决于由数据服务后端存储系统代表与策略关联的客户所存储的数 据。
[0113] 如上文所论述,密码服务系统可包括允许根据关于具有KeyID的密钥的策略来强 制实施策略的各种系统。图18相应地示出可用于强制实施策略的过程1800的说明性实例。 过程1800可由任何合适的系统执行,如由如上文结合图16描述的密码服务系统。在实施 方案中,过程1800包括接收1802使用具有KeyID的密钥执行一个或多个密码操作的请求。 虽然图18将过程1800示出为结合执行一个或多个密码操作的请求来执行,但应注意,过程 1800可适合于与执行不一定是密码操作的操作的任何请求一起使用。以上描述了示例性操 作。
[0114] 可做出1804所接收请求是否可信的确定。确定所接收请求是否可信可如上所述 以任何合适的方式来执行。例如,确定1804请求是否可信可如上所述包括提交认证请求和 接收认证响应。如果确定1804请求不可信,则过程1800可包括拒绝1806请求。拒绝1806 请求可如上所述以任何合适的方式来执行。然而,如果确定1804请求可信,则过程1800可 包括访问1808针对KeyID和/或请求者的策略信息。访问针对KeyID和/或请求的策略 信息可以任何合适的方式来执行。例如,访问针对KeyID和/或请求者的策略信息可通过 访问存储策略信息来执行,所述存储策略信息来自存储此类策略信息的一个或多个存储系 统。所访问策略信息可用于确定1810策略是否允许执行一个或多个操作。
[0115] 如果确定1810策略不允许执行一个或多个策略,则过程1800可包括拒绝1806请 求。然而,如果确定策略允许执行一个或多个策略,则过程1800可包括执行1812所请求的 一个或多个密码操作。可提供1814执行一个或多个密码操作的一个或多个结果,如向提交 所接收1802的执行一个或多个密码操作的请求的请求者提供。在一些实施方案中,至少部 分地衍生自所允许的请求和或所拒绝的请求的信息可通过审计子系统来提供。
[0116] 如所论述的,本公开的实施方案允许灵活的策略配置和强制实施。在一些实施方 案中,策略可说明哪些服务系统可在哪些语境中执行哪些操作。例如,关于密钥的策略可允 许数据存储服务系统引起密码服务系统执行加密操作但不执行解密操作。关于密钥的策略 还可包括关于密文和/或已解密明文的一个或多个条件。例如,策略可要求密文和/或明 文在响应于请求而提供操作结果之前产生特定散列值(其可为加密钥散列值)。策略可指 定至少部分地基于时间、请求所源自的互联网协议(IP)、将被加密/解密内容的类型、AAD 和/或其他信息的一个或多个限制条件和/或权限。
[0117] 众多变体被视为是在本公开的范围内。例如,上文论述的各个实施方案论述与分 开的认证服务系统的交互。然而,上文论述的环境的组件可具有它们自己的授权组件,并且 确定请求是否可信可以或可以不包括与另一个实体通信。另外,上文所论述的实施方案中 的每一个结合由环境实现的特定操作和能力来说明。上文结合不同环境所论述的技术可相 结合,并且一般地,根据本公开的环境可允许灵活使用各种技术。仅作为一个实例,密码服 务系统可用于根据请求对密钥、和其他内容如无密钥数据对象两者进行加密。作为另一个 实例,密码服务系统可被配置来接收并响应来自用户(例如,计算资源提供者的客户)和其 他服务系统(例如,数据存储服务系统)两者的请求。在一些实施方案中,密码服务系统和 /或关联认证服务系统可被配置用于与移动装置一起用于执行所存储数据的加密。在一些 实施方案中,至少一个解锁pin可由密码服务系统验证。在再其他实施方案中,作为操作的 一部分,密码服务系统可接收通过硬件鉴证生成的信息。在一些实施方案中,密码服务系统 可以可操作来关于内容提供数字版权管理服务。
[0118] 可鉴于以下条款对本公开的各个实施方案进行描述:
[0119] 1. -种用于提供服务的计算机实现的方法,其包括:
[0120] 在被配置有可执行指令的一个或多个计算机系统的控制下,
[0121] 从请求者接收从数据存储系统检索数据对象的请求;
[0122] 响应于所述检索所述数据对象的请求,提供已加密数据对象和已加密第一密钥, 当解密时,所述已加密第一密钥可用于对所述已加密数据对象进行解密;
[0123] 从所述请求者接收所述已加密第一密钥;
[0124] 由密码服务系统使用所述密码服务系统可访问但所述数据存储系统不可访问的 第二密钥来对所述已加密第一密钥进行解密;以及
[0125] 向所述请求者提供所述第一密钥以使得所述请求者能够使用所述第一密钥来对 所述已加密数据对象进行解密。
[0126] 2.如条款1所述的计算机实现的方法,其中所述方法还包括:
[0127] 接收将所述数据对象存储在所述数据存储系统中的请求;
[0128] 获取所述第一密钥;
[0129] 使用所述第一密钥对所述数据对象进行加密;
[0130] 引起所述密码服务系统使用所述第二密钥对所述第一密钥进行加密;以及
[0131] 由所述数据存储系统存储所述已加密数据对象和所述已加密第一密钥。
[0132] 3.如条款1或2所述的计算机实现的方法,其中获取所述第一密钥包括生成所述 第一密钥。
[0133] 4.如前述条款中任一项所述的计算机实现的方法,其中:
[0134] 所述方法还包括:检查关于所述第二密钥的政策是否允许对所述已加密第一密钥 进行解密;以及
[0135] 对所述已加密第一密钥进行解密是依赖于所述政策允许对所述已加密第一密钥 进行解密。
[0136] 5.如前述条款中任一项所述的计算机实现的方法,其中:
[0137] 在所述数据存储系统的指引下使用所述第二密钥用于至少一个操作是关于所述 第二密钥的策略所不允许的。
[0138] 6.如前述条款中任一项所述的计算机实现的方法,其中所述密码服务系统由计算 资源提供者托管并且代表所述计算资源提供者的多个客户维持密钥。
[0139] 7. -种用于提供服务的计算机实现的方法,其包括:
[0140] 在被配置有可执行指令的一个或多个计算机系统的控制下,
[0141] 响应于将数据对象存储在数据存储系统中的请求:
[0142] 引起所述数据对象被加密;以及
[0143] 将呈已加密形式的所述数据对象存储在所述数据储存系统中,使得从已加密形式 对所述数据对象进行解密需要所述数据存储系统不可访问的密钥;
[0144] 在所述密码系统处使用所述密钥以向授权实体提供信息,所述信息使得所述授权 实体能够访问呈从已加密形式解密的形式的所述数据对象。
[0145] 8.如条款7所述的计算机实现的方法,其中所述数据存储系统不能向未经授权实 体提供呈已解密形式的所述数据对象。
[0146] 9.如条款8所述的计算机实现的方法,其还包括:由所述数据储存系统使用所述 密钥来对所述数据对象进行加密。
[0147] 10.如条款7至9中任一项所述的计算机实现的方法,其中:
[0148] 所述方法还包括:接收从第三方到所述数据存储系统的从所述数据存储系统检索 所述数据对象的请求;并且
[0149] 提供所述信息响应于所接收的对所述密码系统的响应而执行。
[0150] 11.如条款7至10中任一项所述的计算机实现的方法,其中:
[0151] 所述数据存储系统被配置来强制实施第一策略集;
[0152] 所述密码系统被配置来强制实施不同于所述第一策略集的第二策略集;并且
[0153] 存储所述数据对象是根据所述第一策略集来执行;并且
[0154] 提供所述信息是根据所述第二策略集来执行。
[0155] 12.如条款7至11中任一项所述的计算机实现的方法,其中所述第一策略集包括 关于所述密钥的一个或多个策略。
[0156] 13.如条款7至12中任一项所述的计算机实现的方法,其还包括:
[0157] 获取对所述信息的临时访问权;
[0158] 使用所获取的信息对所述数据对象进行解密;
[0159] 根据所述已解密数据对象执行一个或多个操作;以及
[0160] 引起对所述已解密数据对象的访问权丢失。
[0161] 14. -种系统,其包括:
[0162] 服务系统,其被配置来:
[0163] 接收数据对象;并且
[0164] 对所述数据对象进行解密;并且
[0165] 存储所述已加密数据对象,其方式为使所述服务系统不能对所述已加密数据对象 进行解密;以及
[0166] 密码子系统,其被配置来:
[0167] 使用所述服务系统不可访问的密钥来对所述已加密数据对象进行解密;并且
[0168] 应实体的请求对所述已加密信息进行解密,所述实体不同于所述服务系统并且被 授权做出请求。
[0169] 15.如条款14所述的系统,其中:
[0170] 所述信息时所述服务系统用来对所述数据对象进行加密的另一个密钥;并且
[0171] 所述服务系统进一步被配置来:在对所述数据对象进行加密之后的一定时间丢失 对所述另一个密钥的访问权。
[0172] 16.如条款14或15所述的系统,其中所述密码子系统被配置来强制实施关于所 述密钥的策略,并且对所述已加密信息进行解密依赖于所述授权实体的请求与所述策略一 致。
[0173] 17.如条款14至16中任一项所述的系统,其中所述密码子系统被配置来代表多个 第三方实体安全管理包括所述密钥的密钥集。
[0174] 18.如条款17所述的系统,其中:
[0175] 所述密码子系统包括为所述多个第三方实体的至少一个子集中的每一个存储至 少一个密钥的至少一个安全模块。
[0176] 19.如条款14至18中任一项所述的系统,其中所述数据存储系统进一步被配置来 存储所述已加密数据对象与所述已加密信息。
[0177] 20. -种具有指令的计算机可读存储介质,当由计算机系统的一个或多个处理器 执行时,所述指令引起所述计算机系统至少:
[0178] 从远程托管的数据存储服务系统获取已加密数据对象和已加密信息,当解密时, 所述已加密信息可用于对所述已加密数据对象进行解密;
[0179] 引起远程托管的密码服务系统解密对所述已加密数据对象进行解密所必须的所 述已加密信息;并且
[0180] 使用所述已解密信息对所述已加密数据对象进行解密