背景技術(shù)

計(jì)算設(shè)備可能以各種各樣的不同方式遇到各種各樣的敏感數(shù)據(jù)。例如，計(jì)算設(shè)備可以用來(lái)存儲(chǔ)數(shù)據(jù)，通過(guò)網(wǎng)絡(luò)傳送數(shù)據(jù)等等。此外，該數(shù)據(jù)可能是相當(dāng)有價(jià)值的，并且因而成為惡意方的目標(biāo)。然而，用來(lái)保護(hù)該數(shù)據(jù)的常規(guī)技術(shù)可能涉及存儲(chǔ)大量的密碼（cryptographic）密鑰。例如，該數(shù)據(jù)可能被保護(hù)以供不同各方訪(fǎng)問(wèn)，從而涉及管理大量的密碼密鑰。傳統(tǒng)上，這導(dǎo)致復(fù)雜的存儲(chǔ)和通信技術(shù)，當(dāng)面臨要單獨(dú)地加密和/或解密的大量各種各樣的數(shù)據(jù)時(shí)，尤其如此。

發(fā)明內(nèi)容

描述了密碼密鑰管理技術(shù)。在一個(gè)或多個(gè)實(shí)現(xiàn)方式中，讀取包括具有多個(gè)原子的布爾表達(dá)式的訪(fǎng)問(wèn)控制規(guī)則，每個(gè)原子具有密碼密鑰的標(biāo)識(shí)符。請(qǐng)求與訪(fǎng)問(wèn)控制規(guī)則中的所述多個(gè)原子中的每一個(gè)的標(biāo)識(shí)符相應(yīng)的密碼密鑰。然后，使用所述密碼密鑰中的一個(gè)或多個(gè)對(duì)數(shù)據(jù)執(zhí)行一種或多種密碼操作。

在一個(gè)或多個(gè)實(shí)現(xiàn)方式中，從嵌入了加密的數(shù)據(jù)的訪(fǎng)問(wèn)控制規(guī)則讀取密鑰標(biāo)識(shí)符。形成請(qǐng)求，該請(qǐng)求包括密鑰標(biāo)識(shí)符并且描述了請(qǐng)求訪(fǎng)問(wèn)數(shù)據(jù)的主體（principal）的一個(gè)或多個(gè)屬性。接收對(duì)所述請(qǐng)求的響應(yīng)，該響應(yīng)包括基于所描述的一個(gè)或多個(gè)屬性而授權(quán)主體使用的解密密鑰。依照訪(fǎng)問(wèn)控制規(guī)則應(yīng)用在響應(yīng)中接收的解密密鑰以便確定獲得了解密加密的數(shù)據(jù)的足夠的解密密鑰集合。

在一個(gè)或多個(gè)實(shí)現(xiàn)方式中，對(duì)于訪(fǎng)問(wèn)控制規(guī)則中的每個(gè)原子獲取保護(hù)器密鑰，訪(fǎng)問(wèn)控制規(guī)則在布爾表達(dá)式中描述多個(gè)原子。對(duì)于布爾表達(dá)式中的一個(gè)或多個(gè)合取子句、用于子句中的每個(gè)原子的分?jǐn)?shù)密鑰（fractional?key），使用與該原子相應(yīng)的保護(hù)器密鑰加密該分?jǐn)?shù)密鑰，并且利用具有一定保護(hù)器密鑰的復(fù)合原子代替合取子句，該保護(hù)器密鑰是分?jǐn)?shù)密鑰的組合。產(chǎn)生內(nèi)容加密密鑰，并且使用該內(nèi)容加密密鑰加密數(shù)據(jù)。對(duì)于每個(gè)復(fù)合原子，利用該復(fù)合原子的保護(hù)器密鑰加密內(nèi)容加密密鑰，并且與復(fù)合原子的保護(hù)器密鑰的標(biāo)識(shí)符一起存儲(chǔ)加密內(nèi)容加密密鑰的結(jié)果。

本發(fā)明內(nèi)容部分被提供以便以簡(jiǎn)化的形式引入構(gòu)思的選擇，這些構(gòu)思在下面的具體實(shí)施方式中進(jìn)一步加以描述。本發(fā)明內(nèi)容部分并不預(yù)期標(biāo)識(shí)要求保護(hù)的主題的關(guān)鍵特征或基本特征，也不預(yù)期用來(lái)幫助確定要求保護(hù)的主題的范圍。

附圖說(shuō)明

具體實(shí)施方式參照附圖進(jìn)行描述。在圖中，附圖標(biāo)記的最左邊的數(shù)字標(biāo)識(shí)其中該附圖標(biāo)記第一次出現(xiàn)的圖。在說(shuō)明書(shū)的不同實(shí)例和附圖中使用相同的附圖標(biāo)記可能指示相似或相同的項(xiàng)。

圖1示出了數(shù)據(jù)保護(hù)系統(tǒng)的實(shí)例實(shí)現(xiàn)方式中的環(huán)境，該數(shù)據(jù)保護(hù)系統(tǒng)可操作來(lái)采用涉及密碼密鑰管理的技術(shù)。

圖2A和圖2B為繪出其中依照訪(fǎng)問(wèn)控制規(guī)則加密數(shù)據(jù)的實(shí)例實(shí)現(xiàn)方式中的過(guò)程的流程圖。

圖3為更詳細(xì)地示出圖1的數(shù)據(jù)保護(hù)模塊的實(shí)例實(shí)現(xiàn)方式中的系統(tǒng)的圖示。

圖4示出了被示為依照訪(fǎng)問(wèn)控制規(guī)則加密數(shù)據(jù)的圖1數(shù)據(jù)保護(hù)系統(tǒng)的實(shí)例實(shí)現(xiàn)方式。

圖5示出了多級(jí)密鑰導(dǎo)出方案的實(shí)例實(shí)現(xiàn)方式。

圖6為繪出其中安全主體從采用圖5的多級(jí)密鑰導(dǎo)出方案的密鑰管理服務(wù)請(qǐng)求加密密鑰的實(shí)例實(shí)現(xiàn)方式中的過(guò)程的流程圖。

圖7示出了可操作來(lái)采用關(guān)于圖5和圖6描述的層級(jí)技術(shù)的系統(tǒng)的實(shí)例實(shí)現(xiàn)方式。

具體實(shí)施方式

實(shí)例環(huán)境

圖1示出了數(shù)據(jù)保護(hù)系統(tǒng)的實(shí)例實(shí)現(xiàn)方式中的環(huán)境100，該數(shù)據(jù)保護(hù)系統(tǒng)可操作來(lái)采用涉及密碼密鑰管理的技術(shù)。該環(huán)境100示出了包括密鑰管理服務(wù)102的分布式環(huán)境的一個(gè)實(shí)例，所述密鑰管理服務(wù)可由第一和第二計(jì)算設(shè)備106、108經(jīng)由網(wǎng)絡(luò)104訪(fǎng)問(wèn)。密鑰管理服務(wù)102進(jìn)一步被示為使用一個(gè)或多個(gè)服務(wù)器（例如服務(wù)器群的一部分）來(lái)實(shí)現(xiàn)。盡管示出了一個(gè)實(shí)例分布式環(huán)境，但是應(yīng)當(dāng)容易清楚的是，該環(huán)境100可以進(jìn)一步擴(kuò)展（例如以便包括眾多其他計(jì)算設(shè)備）、縮小（例如以便由兩個(gè)設(shè)備或者甚至單個(gè)設(shè)備采用）等等。

計(jì)算設(shè)備可以以各種各樣的方式進(jìn)行配置。例如，可以將計(jì)算設(shè)備配置成能夠通過(guò)網(wǎng)絡(luò)104通信的計(jì)算機(jī)，例如臺(tái)式計(jì)算機(jī)、移動(dòng)站、娛樂(lè)器具、通信耦合到顯示設(shè)備的機(jī)頂盒、無(wú)線(xiàn)電話(huà)、游戲控制臺(tái)等等。因此，計(jì)算設(shè)備可以范圍從具有充分的存儲(chǔ)器和處理器資源的全資源設(shè)備（例如個(gè)人計(jì)算機(jī)、游戲控制臺(tái)）到具有有限的存儲(chǔ)器和/或處理資源的低資源設(shè)備（例如傳統(tǒng)機(jī)頂盒、手持式游戲控制臺(tái)）。此外，盡管示出了單個(gè)計(jì)算設(shè)備（例如用于密鑰管理服務(wù)102的服務(wù)器），但是計(jì)算設(shè)備可以代表多個(gè)不同的設(shè)備，例如多個(gè)由企業(yè)用來(lái)執(zhí)行操作的服務(wù)器。