【技术实现步骤摘要】
数据安全服务系统本申请是申请日为2014年2月7日、申请号为“201480020482.5”、专利技术名称为“数据安全服务系统”的专利技术专利申请的分案申请。相关申请的交叉引用本申请要求2013年2月12日提交的美国专利申请号13/764,963的优先权,所述专利的内容以引用的方式整体并入本文。本申请出于所有目的以引用的方式结合以下专利申请的全部公开内容:与本申请同时提交的标题为“AUTOMATICKEYROTATION”的共同待决的美国专利申请号13/764,944;与本申请同时提交的标题为“POLICYENFORCEMENTWITHASSOCIATEDDATA”的共同待决的美国专利申请号13/764,995;与本申请同时提交的标题为“DATASECURITYWITHASECURITYMODULE”的共同待决的美国专利申请号13/765,020;与本申请同时提交的标题为“FEDERATEDKEYMANAGEMENT”的共同待决的美国专利申请号13/765,209;与本申请同时提交的标题为“DELAYEDDATAACCESS”的共同待决的美国专利申请号13/765,239;与本申请同时提交的标题为“DATASECURITYSERVICE”的共同待决的美国专利申请号13/765,265;以及与本申请同时提交的标题为“SECUREMANAGEMENTOFINFORMATIONUSINGASECURITYMODULE”的共同待决的美国专利申请号13/765,283。
技术介绍
在许多语境中,计算资源和相关数据的安全性非常重要。作 ...
【技术保护点】
1.一种用于提供数据储存服务的计算机实现的方法,其包括:/n存储限定一组权限的策略,所述权限限制密钥的使用,所述密钥是由密码服务通过使用硬件安全模块保护的多个密钥中的一个;/n响应于获取经由第一应用程序编程接口提供的第一请求,引起所述密码服务服从所述策略使用所述密钥来利用高级加密标准(“AES”)加密对数据加密密钥进行加密以产生已加密的数据加密密钥,其中所述第一应用程序编程接口包括标识所述密钥的密钥标识符(“ID”)的第一参数;/n响应于获取经由第二应用程序编程接口提供的第二请求,引起所述密码服务服从所述策略使用所述密钥来利用AES加密对所述已加密的数据加密密钥进行解密使得所述密钥能够仅由所述密码服务使用,其中所述第二应用程序编程接口包括所述密钥ID的第二参数以及标识对应于所述已加密的数据加密密钥的密文的第三参数;以及/n提供将要用于对由所述数据储存服务储存的已加密的数据进行解密的所述数据加密密钥。/n
【技术特征摘要】
20130212 US 13/764,9631.一种用于提供数据储存服务的计算机实现的方法,其包括:
存储限定一组权限的策略,所述权限限制密钥的使用,所述密钥是由密码服务通过使用硬件安全模块保护的多个密钥中的一个;
响应于获取经由第一应用程序编程接口提供的第一请求,引起所述密码服务服从所述策略使用所述密钥来利用高级加密标准(“AES”)加密对数据加密密钥进行加密以产生已加密的数据加密密钥,其中所述第一应用程序编程接口包括标识所述密钥的密钥标识符(“ID”)的第一参数;
响应于获取经由第二应用程序编程接口提供的第二请求,引起所述密码服务服从所述策略使用所述密钥来利用AES加密对所述已加密的数据加密密钥进行解密使得所述密钥能够仅由所述密码服务使用,其中所述第二应用程序编程接口包括所述密钥ID的第二参数以及标识对应于所述已加密的数据加密密钥的密文的第三参数;以及
提供将要用于对由所述数据储存服务储存的已加密的数据进行解密的所述数据加密密钥。
2.如权利要求1所述的计算机实现的方法,其中对所述已加密的数据进行解密进一步服从有效证明信息,所述有效证明信息使得所述密码服务能够验证获取的加密或对所述已加密的数据进行解密的请求的可信性。
3.如权利要求1所述的计算机实现的方法,其中所述策略包括对能够使所述密码服务使用所述密钥执行密码操作的授权请求者的限制。
4.如权利要求1所述的计算机实现的方法,其中在所述密码服务的信任边界内生成所述密钥。
5.如权利要求1所述的计算机实现的方法,其中所述策略指定至少部分地基于时间、请求所源自的互联网协议(IP)、将被加密或解密内容的类型的一个或多个权限。
6.一种计算机系统,其包括:
一个或多个处理器;以及
存储指令的存储器,所述指令由所述一个或多个处理器执行而引起所述计算机系统实现密码服务,以至少:
存储限定一组权限的策略,所述权限限制密钥的使用,所述密钥是由所述密码服务通过使用硬件安全模块保护的多个密钥中的一个,所述多个密钥不可由与所述密码服务不同的数据储存服务访问;
响应于获取经由第一应用程序编程接口提供的第一请求,使用AES加密利用所述密钥对数据加密密钥进行加密以产生已加密的数据加密密钥,其中所述第一应用程序编程接口包括标识所述密钥的密钥ID的第一参数;
响应于获取经由第二应用程序编程接口提供的第二请求,使用AES加密利用所述密钥对所述已加密的数据加密密钥进行解密以允许所述数据储存服务使用所述数据加密密钥,其中所述第二应用程序编程接口包括所述密钥ID的第二参数以及标识对应于所述已加密的数据加密密钥的密文的第三参数。
7.如权利要求6所述的计算机系统,其中所述指令进一步引起所述密码服务从所述数据储存服务获取请求的通知和证明。
8.如权利要求6所述的计算机系统,其中
所述计算机系统由计算资源服务提供者操作;并且
所述多个密钥中的每个密钥与所述计算资源提供者的不同客户相关联。
9.如权利要求6所述的计算机系统,其中所述密码服务进一步被配置来参照所述策略验证由所述数据储存服务提供的待决请求是经授权的。
10.如权利要求6所述的计算机系统,其中所述密码服务进一步:
获取作为请求的一部分的另外数据以对所述数据加密密钥进行加密;以及
要求所述另外数...
【专利技术属性】
技术研发人员:G·B·罗斯,M·J·雷恩,E·J·布兰德怀恩,B·I·普拉特,
申请(专利权)人:亚马逊技术股份有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。