实施例涉及重新连线密钥管理系统(“KMS”)服务实例(“SI”)与相关联的密钥。实施例响应于请求,删除映射到一个或多个密钥的第一SI。为了恢复密钥,实施例创建第二SI并将第二SI映射到该一个或多个密钥。
Reconnection password key management system service instance
【技术实现步骤摘要】
【国外来华专利技术】重新连线密码密钥管理系统服务实例
一个实施例一般而言涉及计算机系统,并且特别地涉及计算机系统中的密码密钥(cryptographickey)的管理。
技术介绍
密钥管理服务(“KMS”)提供对密码系统中的密码密钥的管理。管理包括生成、交换、存储、使用、密码粉碎(即,销毁)和密钥替换的功能。它包括密码协议设计、密钥服务器、用户过程和其它相关协议。KMS中的密钥是表示一个或多个密钥版本的逻辑实体,该一个或多个密钥版本包含用于对数据进行加密和解密的密码材料,从而在存储数据的地方保护数据。当作为加密算法的一部分进行处理时,密钥指定在加密期间如何将明文转换成密文,以及在解密期间如何将密文转换成明文。一般而言,KMS识别两种类型的加密密钥:主加密密钥(“MEK”)和数据加密密钥(“DEK”)。在用户已经使用KMS创建主加密密钥之后,用户然后可以使用应用编程接口(“API”)来生成KMS返回给用户的数据加密密钥。KMS返回原始(raw)密钥和包装的(wrapped)密钥。通常,用户将只存储包装的密钥。
技术实现思路
实施例涉及重新连线(rewiring)密钥管理系统(“KMS”)服务实例(“SI”)与相关联的密钥。响应于请求,实施例删除被映射到一个或多个密钥的第一SI。为了恢复密钥,实施例创建第二SI并且将第二SI映射到所述一个或多个密钥。附图说明图1图示了根据本专利技术的实施例的密钥管理服务的高级概览。图2是根据本专利技术的实施例的计算机服务器/系统的框图。r>图3是根据实施例的用于用户/客户删除服务实例的功能的流程图。图4是根据实施例的用于用户/客户恢复删除的服务实例的功能的流程图。图5是根据实施例的用于将新创建的服务实例重新连线到删除的主加密密钥的功能的流程图。图6A-图6C图示了根据实施例的在重新连线DBSCHEMAMAP(数据库模式映射)表之前和之后的服务实例的示例。图7是根据实施例的用于管理SI的PaaS服务管理器(“PSM”)UI的屏幕截图。图8是根据实施例的当强制删除SI时的PSMUI的屏幕截图。图9是根据实施例的允许用户管理密钥的SI管理控制台的屏幕截图。图10是根据实施例的用于创建或删除新服务实例的PSMUI的屏幕截图。具体实施方式一个实施例是密钥管理服务(“KMS”),其中服务实例的删除以及对MEK的相应访问可以由KMS的用户/客户来恢复。创建新服务实例,并且将新服务实例映射到“删除的”MEK。图1图示了根据本专利技术的实施例的KMS70的高级概览。多个KMS客户端72使用代表性状态转移(“REST”)应用程序接口(“API”)从一个或多个web服务器76请求密钥。可以请求和利用密钥的客户端72包括数据库81。在一个实施例中,数据库81是来自Oracle公司的数据库,该数据库包括使得能够对存储在表和表空间中的敏感数据进行加密的透明数据加密(“TDE”)。在对数据进行加密之后,当授权用户或应用访问该数据时,为他们透明地解密该数据。在这个实施例中,数据库81包括KMS-DB代理85。其它发出请求的客户端72可以包括云环境中的各种云服务82、各种客户应用83或者由账户管理员操作的管理控制台84,其中账户管理员也称为包含如图1所示的KMS的整个云系统的用户或客户。在一个实施例中,一个或多个web服务器76是基于云的服务器。在实施例中,web服务器76由中间层(mid-tier)部件76实现,该中间层部件76公开(expose)了用于跨域身份管理(“SCIM”)的基于RESTAPI75的系统。在一个实施例中,中间层76包括与数据层92进行通信的无状态微服务的集合。在一个实施例中,可以实现中间层76的微服务是独立可部署的服务。在一个实施例中,术语“微服务”设想了一种软件架构设计模式,其中复杂应用由小型独立进程(process)组成,这些小型独立进程使用语言无关的API彼此通信。在一个实施例中,微服务是小型的、高度解耦的服务,并且每个微服务可以专注于做一个小型任务。在一个实施例中,微服务架构样式是将单个应用开发为一组小型服务的方法,每个小型服务在其自己的进程中运行并使用轻量级机制(例如,超文本传输协议(“HTTP”)资源API)进行通信。在一个实施例中,相对于执行相同功能中的全部或许多功能的单件式服务,微服务更易于更换。而且,每个微服务可以被更新而不会对其它微服务产生不利影响。相比之下,对单件式服务的一部分的更新可能非期望地或无意地对单件式服务的其它部分产生负面影响。在一个实施例中,微服务可以围绕其能力被有益地组织。在一个实施例中,微服务的集合中的每一个微服务的启动时间远小于集中执行这些微服务中的所有服务的单个应用的启动时间。在一些实施例中,这种微服务中的每一个微服务的启动时间大约为一秒或更少,而这种单个应用的启动时间可以大约为一分钟、几分钟或更长。在一个实施例中,诸如中间层76的微服务架构是指用于面向服务的架构(“SOA”)的专业化(即,系统内任务的分离)和实现方法,以构建灵活的、独立可部署的软件系统。微服务架构中的服务是经网络彼此通信以便履行目标的进程。在一个实施例中,这些服务使用技术无关的协议。在一个实施例中,服务具有小粒度并使用轻量级协议。在一个实施例中,服务是独立可部署的。通过将系统的功能分配到不同的小型服务中,增强了系统的内聚性并降低了系统的耦合度。这使得更易于在任何时间改变系统以及向系统添加功能和质量。它还允许个体服务的架构通过不断的重构而显现,从而减少了对大型前期设计的需求,并且允许及早和持续地发布软件。在一个实施例中,在微服务架构中,应用被开发作为服务的集合,并且每个服务运行相应的进程并使用轻量级协议(例如,用于每个微服务的唯一API)进行通信。在微服务架构中,取决于要提供的服务,将软件分解为个体服务/能力可以以不同的粒度级别来执行。服务是运行时部件/进程。每个微服务是可以与其它模块/微服务交谈的自包含模块。每个微服务具有可以被其它微服务联系的未命名的通用端口。在一个实施例中,微服务的未命名的通用端口是标准通信信道,该标准通信信道由微服务按照惯例公开(例如,作为常规的HTTP端口)并且允许同一服务中的任何其它模块/微服务与其交谈。微服务或任何其它自包含功能模块可以被统称为“服务”。数据层92包括硬件安全模块(“HSM”)94和数据库95。HSM是物理计算设备,该物理计算设备保护和管理用于进行强认证的数字密钥并提供密码处理。这些模块通常以插入卡或直接附接到计算机或网络服务器的外部设备的形式出现。MEK驻留在HSM94和HSM94内,以提供涉及MEK的密码服务。应用密钥和所有元数据都存储在数据库95内。在一些实施例中,以高可用性(“HA”)和灾难恢复(“DR”)实现中间层76和数据层92的所有部件。在一个实施例中,数据库95用来自Oracle公司的关系数据库管理系统(“RDMS”)数据库来实现。在Oracle数据库的上下文中,模式对象是逻辑数据存储本文档来自技高网...
【技术保护点】
1.一种重新连线密钥管理系统KMS服务实例SI与相关联的密钥的方法,所述方法包括:/n响应于请求,删除被映射到一个或多个密钥的第一SI;/n创建第二SI;以及/n将第二SI映射到所述一个或多个密钥。/n
【技术特征摘要】
【国外来华专利技术】20181019 IN 201841039629;20190903 US 16/558,6251.一种重新连线密钥管理系统KMS服务实例SI与相关联的密钥的方法,所述方法包括:
响应于请求,删除被映射到一个或多个密钥的第一SI;
创建第二SI;以及
将第二SI映射到所述一个或多个密钥。
2.如权利要求1所述的方法,其中第一SI被映射到数据库模式,并且第一SI与允许用户管理所述密钥的统一资源定位符URL相关联。
3.如权利要求2所述的方法,其中删除第一SI使得用户对所述密钥的访问被删除。
4.如权利要求1所述的方法,其中所述密钥包括主加密密钥MEK,并且被存储在硬件安全模块HSM中。
5.如权利要求2所述的方法,其中第二SI到所述一个或多个密钥的映射包括将第二SI映射到所述数据库模式的映射。
6.如权利要求1所述的方法,其中响应于删除第一SI,所述密钥在预定义的时间段期满之后被删除。
7.如权利要求1所述的方法,其中映射由KMS的中间层实现,其中所述中间层由一个或多个微服务实现。
8.一种密钥管理系统KMS,包括:
包括一个或多个微服务的中间层;以及
耦合到中间层并且包括一个或多个硬件安全模块HSM和一个或多个数据库的数据层;
所述中间层适于响应于第一请求而删除被映射到一个或多个密钥的第一服务实例SI,并且响应于第二请求而创建第二SI并且将第二SI映射到所述一个或多个密钥。
9.如权利要求8所述的密钥管理系统,其中第一SI被映射到数据库的数据库模式,并且第一SI与允许用户管理所述密钥的统一资源定位符URL相关联。...
【专利技术属性】
技术研发人员:K·瓦特茨,E·瑟博拉玛尼安,M·曼尤纳斯,
申请(专利权)人:甲骨文国际公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。