背景技術

涉及管理安全系統的任務可以向各種規模的公司提出了挑戰。例如，具有不同訪問級別的安全數據管理是昂貴的，并且如果管理不恰當，人為錯誤或其它因素將引起安全性問題。另外，一些現有的系統受限于剛性配置不允許管理員足夠粒度地控制訪問權限。例如，一些安全系統提供對安全數據的完全訪問或無訪問。在這種配置中，一旦授權訪問秘密數據的特定記錄，就不存在限制可以在秘密數據上執行的操作類型的有效方法。除了在記錄上的操作約束外，許多系統不提供在記錄之間的有效分離。

當公司依賴于托管安全相關服務的第三方實體時，將出現額外的挑戰。例如，特定的公司可以使用第三方服務來存儲秘密數據或管理安全密鑰。雖然這種服務可能提供比自管理轉鑰式系統更多的功能，但是對于想要相對惡意用戶或甚至第三方管理員維持高級別的安全性的公司可能存在許多缺陷。

關于這些和其它考慮提出了本文中進行的公開。

發明內容

本文描述的技術提供了加密的數據的增強的安全性。在一個或多個配置中，在客戶端計算設備處或另一類計算設備處通過利用加密密鑰對數據進行加密來生成加密的數據。可以將所述加密的數據從所述客戶端計算設備傳送到第一實體的秘密存儲庫，以將所述加密的數據存儲于所述秘密存儲庫中。可以將所述加密密鑰從所述客戶端計算設備傳送到第二實體的密鑰存儲庫，以將所述加密密鑰存儲于所述密鑰存儲庫中。所述秘密存儲庫可以通過對所述秘密存儲庫獨有的第一組管理訪問控制權限而被管理。所述密鑰存儲庫可以通過對所述密鑰存儲庫獨有的第二組管理訪問控制權限而被管理。所述加密密鑰和所述加密的數據可以由所述客戶端計算設備通過使用被授權訪問所述秘密存儲庫和所述密鑰存儲庫的一個或多個身份進行訪問。本文描述的其它技術可以提供用于針對個體身份或身份的群組管理對特定類型的存儲數據的訪問的機構。

應該理解的是，以上描述的主題可以實現為計算機控制裝置、計算機過程、計算系統、或者實現為諸如計算機可讀存儲介質的制品。根據閱讀后續具體實施方式和查看相關聯的附圖，這些和各種其它特征將是顯而易見的。

提供該發明內容以便以簡化的形式來選擇性地介紹下面的具體實施方式中進一步描述的理念。該發明內容不旨在識別要求保護的主題的關鍵特征或必要特征，該發明內容也不旨在用于限定要求保護的主題的范圍。此外，要求保護的主題不限于解決本公開內容的任何部分中指出的任何或所有缺點的實現方式。

附圖說明

圖1是示出用于提供加密的數據的增強的安全性的系統的若干示例性部件的框圖。

圖2是示出用于提供加密的數據的增強的安全性的方法的各方面的流程圖。

圖3是示出用于在具有秘密存儲庫和密鑰存儲庫的系統中更新秘密數據的方法的各方面的流程圖。

圖4是示出用于存儲加密的數據的容器的若干示例性部件和用于存儲加密的數據的容器的對應訪問控制列表的框圖。

圖5是示出用于存儲一個或多個加密密鑰的容器的若干示例性部件和用于存儲一個或多個加密密鑰的容器的對應訪問控制列表的框圖。

圖6是圖示針對能夠實現本文中提出的技術和技藝的各方面的計算系統的圖示計算機硬件和軟件結構的計算機架構圖。

圖7是圖示能夠實現本文中提出的技術和技藝的各方面的分布式計算環境的示圖。

圖8是圖示針對能夠實現本文中提出的技術和技藝的各方面的計算設備的計算設備架構的計算機架構圖。

具體實施方式

以下詳細描述針對用于提供加密的數據的增強的安全性的概念和技術。在一些配置中，可以在客戶端計算設備處通過用加密密鑰對秘密數據進行加密而生成加密的數據。可以將所述加密的數據從所述客戶端計算設備傳送到秘密存儲庫，可以將所述加密的數據存儲在所述秘密存儲庫的秘密容器中。可以將所述加密密鑰從所述客戶端計算設備傳送到密鑰存儲庫，以將所述加密密鑰存儲在所述密鑰存儲庫的秘密容器中。所述秘密存儲庫可以由控制所述秘密存儲庫獨有的第一組管理訪問控制權限的第一實體管理。秘密存儲庫可以由控制由所述密鑰存儲庫獨有的第二組管理訪問控制權限的第二實體管理。

可以通過客戶端計算設備使用授權訪問秘密存儲庫和密鑰存儲庫的一個或多個身份來訪問所述加密密鑰和所述加密的數據。本文描述的其它技術可以提供用于針對個體身份或身份的群組來管理對特定類型的存儲數據進行訪問的機制。利用每個都由單獨一方管理的個秘密存儲庫和密鑰存儲庫的技術和技藝幫助減輕了任一數據庫的管理員對秘密數據的未授權訪問的風險，同時提供對客戶端計算設備的用戶或一組用戶的訪問。