还可以被配置为支持诸如客户端110、服务提供商120、可信授权方130和/或存储器之类的实体之间的附加或替代传输机制。例如,在没有存储库的场景中,不是通过网络140向服务提供商120发送加密数据和粘性策略,而是客户端110(或通信模块116)可以将加密数据和粘性策略存储在非暂时性计算机可读存储介质(如硬盘)上,并且物理地将该存储介质运送(或传递)给服务提供商120。服务提供商120随后可以通过读取该存储介质来检索粘性策略,并且通过网络140向可接受的可信授权方130发送粘性策略和保证消息。作为另一示例,在具有存储器的场景中,客户端110可以向存储库运送掌管加密数据的硬盘,并且在存储库处可获得加密数据之后,通过网络140向服务提供商120发送对加密数据的加密引用以及粘性策略。此外,可以由在像服务提供商120这样的实体上掌管的信任应用程序或由与粘性策略一起发送的应用程序(例如,在掌管粘性策略并且向服务提供商120运送的存储介质中存储的应用程序)提供可信授权方130的一些或所有功能。
[0035]所描述的实现方式可以允许经由可信授权方130的网络环境内的跟踪和审核,并且可以确保由服务提供商120执行用户策略偏好。此外,由于所描述的实现方式使交互可以以多种方式发生(这对于可能发生多个交互模型的云计算环境是重要的),所以所描述的实现方式可以提供灵活性。示例变形包括:(I)用户决定是否直接向服务提供商120公开加密数据,或相反以加密的形式向存储库公开加密数据,(2)用户决定使用哪个可信授权方以及多少可信授权方,以及(3)在加密的私密数据被存储在存储库中的情况下,可信授权方130从存储库获取加密数据并向服务提供商120发送加密数据以及密码术密钥。
[0036]图2图示梯形图,该梯形图示出在网络环境中100中实现存储协议的方法200的示例。其它示例以不同的顺序实施步骤和/或实施与示出的那些步骤不同的或额外的步骤。应容易看出,图2中示出的方法200表示示例性图示,且可以加入其它步骤或者可以去除、修改或重设现有步骤,而不脱离本公开的范围。
[0037]客户端110为私密数据限定205私密策略,使用对称密钥来加密210其上的私密数据,并且生成210粘性策略来将私密数据和私密策略绑定在一起。此后,客户端110向服务提供商120发送215该策略的明文、私密数据的加密副本和粘性策略(例如,该策略的密码术哈希的签名和密钥)。如本文描述的,客户端110可以限定多个私密策略,这些私密策略陈述用于处理该私密数据的不同属性的不同条件。使用不同对称密钥来加密受不同私密策略约束的属性,并且为私密数据创建多个粘性策略。在接收到加密数据和粘性策略时,月艮务提供商120可选地验证和解释粘性策略中包含的私密策略。此外,客户端110向可信授权方130发送220密钥的加密副本。此过程可能涉及使用与可信授权方130关联的公钥来加密该密钥。
[0038]在接收到该密钥时,可信授权方130为合并器130生成该密钥的份额,并且将该份额向合并器135发送230。此外,可信授权方130为服务提供商120生成份额235,并且经由安全通道向服务提供商120发送240该份额。在一个实现方式中,此过程可能涉及可信授权方使用与服务提供商120关联的公钥来加密该份额。此外,可信授权方130为其自己生成份额并安全地存储该份额。
[0039]图3图示梯形图,该梯形图示出在网络环境100中实现检索协议的方法300的示例。其它示例以不同的顺序实施各步骤和/或实施与示出的那些步骤不同的或额外的步骤。应容易看出,图3中图示的方法300表示示例性图示,并且可以添加其它步骤,或者可以去除、修改或重设现有步骤,而不脱离本公开的范围。
[0040]如上面参照图2详细描述的,客户端110为私密数据限定305私密策略,使用对称密钥来加密310其上的私密数据,并且生成粘性策略来将私密数据与私密策略绑定在一起。此后,客户端110向服务提供商120发送315该策略的明文、私密数据的加密副本以及粘性策略(例如,该策略的密码术哈希的签名和密钥)。
[0041]服务提供商120从可信授权方130请求320秘密密钥来访问资产。服务提供商120经由安全通道提供与服务提供商120关联的份额。在一个实现方式中,服务提供商120用与可信授权方130关联的公钥来加密该份额,并且向可信授权方130发送经加密的份额。
[0042]在一个实现方式中,可信授权方130验证并解释325私密策略。特别地,此步骤可能涉及质问服务提供商120,并且向服务提供商120发送对保证的请求。作为响应,服务提供商120可能需要提供关于其策略的签名声明。在一些实现方式中,如果从服务提供商120到可信授权方130的保证消息是不可接受的,那么可以重复此步骤一次或多次。如果保证消息是可接受的,那么可信授权方130向合并器135发送330可信授权方130的份额和服务提供商120的份额。在一个实现方式中,可信授权方130可以具有用于存储与可信授权方130关联的份额的模块。此模块还可以处理可信授权方130的逻辑验证(例如,解释与如何重合并份额相关的关联约束和策略,以及可以进行此重合并过程的条件)。该模块可以被设置为仅在验证成功时向合并器135发送与可信授权方关联的份额。
[0043]作为响应,合并器135重建335密钥。对于密钥的重建,合并器135利用与合并器135关联的份额、来自可信授权方130的份额以及来自服务提供商120的份额。一旦密钥被重建,合并器135就经由安全通道向可信授权方130返回340密钥。在一个实现方式中,此过程可以进一步涉及合并器135删除其与合并器135关联的份额的副本。
[0044]一旦可信授权方130接收到经重建的密钥,可信授权方130就向服务提供商120返回345经重建的密钥。此外,可信授权方130实施对服务提供商120的审核,以确认服务提供商120:1)是否遵照用于特定资产的策略、2)在完成资产的处理之后是否销毁(例如,删除)该资产的任何纯文本副本和/或3)在完成资产处理之后是否销毁秘密密钥的任何副本。
[0045]结果,服务提供商120获得密钥的访问权,并且随后解密350私密数据。此外,月艮务提供商120检查该策略是否属于该资产。特别地,此过程可能涉及对策略/密钥映射验证数字签名。服务提供商120依照该策略来处理资产。此外或可选地,除了所生成的合并器的份额以外,可信授权方130可以经由销毁引擎销毁(例如,删除)密钥的本地副本,并且服务提供商120可以销毁其份额。
[0046]在网络环境100的另一实现方式中,可能存在多个可信授权方,并且用户可以计算份额。在这样的实现方式中,客户端110生成密钥并且用该密钥加密用户的私密数据,并且客户端110可能不需要发送包括由客户端110利用私钥对这些策略和可信授权方130生成的数字签名的粘性策略以及用经授权的可信授权方中每个可信授权方的公钥加密的密钥。作为替代,用户发送粘性策略的经签名的副本,并且在经授权的可信授权方是经授权的子集的成员时共享密钥。
[0047]当服务提供商120需要访问私密数据时,其向从客户端110接收的策略中列出的经授权的可信授权方之一发送相关粘性策略,且包括服务提供商120的份额。可信授权方随后检查该策略上的签名,以验证该策略是真实的。在策略是真实的情况下,可信授权方进一步验证服务提供商120满足该策略中规定的条件。如果它们得到验证,则作为可信授权方的一部分的合并器135重建对称密钥,并且向服务提供商120提供用服务提供商的公钥加密的密钥。在一个实现方式中,可以由可信授权方选择合并器135。服务提供商随后可以使用其私钥来解密对称密钥并且解密私密数据。
[0048]在一个实现方式中,虽然存在多个可信授权方,但是两个可信授权方中的一些可能不是充分可信的。在这样的实施例中,客户端110可能需要修改访问结构,使得至少两个可信授权方不得不参与重建过程,这允许服务提供商恢复密钥并且解密私密数据,同时仍然提供可信授权方中的一些冗余并且同时允许可信授权方审核每个其它的重建尝试。但是,应注意到,可信授权方仍被信任在成功重建之后销毁份额(例如,服务提供商的份额)以及密钥。
[0049]在一个示例中,使用一个或多个计算机系统来实现图1-图2中示出的实体。图4图示根据实现方式图示计算机系统400的方面的框图。应容易看出,图4中图示的计算机系统400