一種用于管理密碼密鑰的基于網絡的服務，諸如密鑰管理服務(“KMS”)，提供web服務應用編程接口(“API”)。由所述服務管理的密碼密鑰可存儲在一個或多個連接了網絡的密碼裝置(諸如連接了網絡的硬件安全模塊(“HSM”))中。所述密鑰管理服務維護與所述密碼密鑰相關聯的元數據。當所述密鑰管理服務接收到請求時，所述密鑰管理服務使用與所述請求一起提供的標識符來標識與用來滿足所述請求的密碼密鑰相關聯的元數據。所述密鑰管理服務使用所述元數據來標識包含所述密碼密鑰的密碼裝置。所述密鑰管理服務生成用于滿足所述請求的命令集，使得所述命令與由所標識的密碼裝置實現的協議兼容，并且所述命令集被發送到所標識的密碼裝置。

相關申請的交叉引用

本申請要求2018年5月2日提交的名稱為”KEY MANAGEMENT SYSTEM AND METHOD“的美國專利申請號15/969,695的權益，所述申請的公開內容以引用的方式整體并入本文。

背景技術

數據安全是計算基礎設施的重要方面。提供數據安全的一種方式是通過密碼術。在各種環境中，可對數據進行加密或密碼簽名以對數據進行認證和保護。通常，當執行密碼操作時，使用密碼密鑰。實體使用特定密碼密鑰的能力允許實體訪問用密碼密鑰加密的明文數據并且借助數字簽名證明其使用特定密碼密鑰的能力。因此，控制對密碼密鑰的訪問是重要問題，服務提供商和其他人在上面花費大量精力和資源以確保數據完整性。

附圖說明

將參考附圖描述各種技術，在附圖中：

圖1示出在一個實施方案中的管理存儲在硬件安全模塊中的密碼密鑰的系統的示例；

圖2示出在一個實施方案中的管理存儲在HSM中的密鑰的密鑰管理服務器的示例；

圖3示出在一個實施方案中的通過客戶網絡中的路由器與HSM通信的密鑰管理服務器的示例；

圖4示出在一個實施方案中的HSM代理服務的示例；

圖5示出在一個實施方案中的由于被客戶端計算機系統、密鑰管理服務器和硬件安全模塊執行而使用存儲在HSM上的密碼密鑰執行密碼操作的過程的示例；

圖6示出在一個實施方案中的由于被密鑰管理服務器執行而建立到HSM集群的邏輯附接的過程的示例；

圖7示出在一個實施方案中的由于被密鑰管理服務器執行而在HSM上生成密碼密鑰并注冊密鑰以供密鑰管理服務使用的過程的示例；

圖8示出在一個實施方案中的連接到密鑰管理服務的HSM的一組允許狀態轉變的示例；并且

圖9示出在其中可實現各種實施方案的系統。

具體實施方式

本文檔描述一種提供用于管理密碼密鑰的基于網絡的服務的系統。在一個實施方案中，密鑰管理服務(“KMS”)提供用于管理密鑰的web服務應用編程接口(“API”)。在一個實施方案中，密碼密鑰存儲在一個或多個連接了網絡的密碼裝置(諸如包含防篡改存儲器的連接了網絡的硬件安全模塊(“HSM”))中。在一個實施方案中，存儲在密碼裝置內的密碼密鑰是不可導出的，因為它們可能無法以非加密形式從密碼裝置中提取。在一個實施方案中，密鑰管理服務維護描述由服務管理的密碼密鑰的元數據。在一個實施方案中，當密鑰管理服務接收到請求時，密鑰管理服務使用與請求一起提供的標識符來標識與用來滿足請求的密碼密鑰相關聯的元數據。在一個實施方案中，使用元數據，密鑰管理服務標識包含密碼密鑰的密碼裝置。在一個實施方案中，密鑰管理服務生成用于滿足請求的命令集，使得命令與由所標識的密碼裝置實現的協議兼容。在一個實施方案中，密鑰管理服務將通過web服務API提交的請求轉換成公開密鑰密碼術標準(“PKCS”)#11兼容的命令集，然后將其發送到所標識的密碼裝置。