[发明专利]基于参数的密钥推导

说明书

相关申请的交叉参考

本申请主张以下各专利申请的优先权：2011年9月29日提交，名为“PARAMETER BASED KEY DERIVATION”的第13/248,962号（代理人档案号90204-813889(029400PC))美国专利申请；2011年9月29日提交，名为“TECHNIQUES FOR CLIENT CONSTRUCTED SESSIONS”的第13/248,953号（代理人档案号90204-818478(032300US)）美国专利申请；以及2011年9月29日提交，名为“KEY DERIVATION TECHNIQUES”的第13/248,973号（代理人档案号90204-813890(029500US)）美国专利申请，所述申请的全部公开以引用的方式并入本文。

背景

计算环境采用许多形式。作为实例，组织常常利用计算装置网络为其用户提供一组稳定服务。网络常常跨越多个地理边界且常常与其它网络连接。例如，组织可以使用计算资源的内部网络和由其它组织管理的计算资源两者支持其操作。例如，组织的计算机可以与其它组织的计算机通信以在使用另一组织的服务时访问和/或提供数据。在许多情况中，组织使用由其它组织管理的硬件来配置和操作远程网络，从而减少基础设施成本并且获得其它优点。

虽然已经证明多样的计算环境有用于各种应用，但是这些环境存在许多挑战。例如，配置计算机资源以促成一个组织目标可能不利影响另一组织目标的促成。例如，计算资源安全的有效管理可能常常以有效访问数据和服务为代价。平衡安全和效率的目标可能极具挑战性，这常常需要重大努力和资源。

附图简述

图1示出了根据至少一个实施方案的可用于实施本公开的各个方面的计算环境的说明性实例。

图2示出了根据至少一个实施方案的包括管理多个故障区的计算资源供应商的环境的说明性实例。

图3示出了根据至少一个实施方案的图2的故障区内部的环境的说明性实例。

图4示出了根据至少一个实施方案的可用于支持环境（如图3中示出的环境）的计算资源配置的说明性实例。

图5是根据至少一个实施方案的示出其中参与计算环境的各个元件可被分配不同范围的授权的示例性方式的图。

图6是根据至少一个实施方案的示出可以在消息签名验证过程中在参与者之间传递信息的示例性方式的图。

图7是根据实施方案的示出了用于签名消息的过程的说明性实例的流程图；

图8是根据至少一个实施方案的示出了用于签名验证的过程的说明性实例的流程图；

图9是根据至少一个实施方案的示出了分配密钥的示例性方式的图；

图10是根据至少一个实施方案的示出了以提供各种授权范围的方式分配密钥的示例性方式的图；

图11是根据至少一个实施方案的示出了密钥导出的过程的说明性实例的流程图；

图12是根据至少一个实施方案的示出了多重限制密钥导出的图；

图13是根据至少一个实施方案的用于导出签名的函数的说明性实例；

图14是根据至少一个实施方案的可以如何执行并使用多密钥导出的说明性实例；

图15是根据至少一个实施方案的示出了其中可以导出密钥的示例性方式的图；

图16是根据至少一个实施方案的示出了其中可以导出密钥的另一示例性方式的图；

图17是根据至少一个实施方案的示出了其中可以导出密钥的又一示例性方式的图；

图18是根据至少一个实施方案的示出了用于启动会话的过程的说明性实例的流程图；

图19是根据至少一个实施方案的示出了用于产生会话密钥的过程的说明性实例的流程图。

图20是根据至少一个实施方案的示出了用于在会话期间获得对一个或多个计算资源的访问的过程的说明性实例的流程图；

图21是根据至少一个实施方案的示出了用于确定是否授予请求访问一个或多个计算资源的过程的说明性实例的流程图；

图22是根据至少一个实施方案示出了用于委托授权的过程的说明性实例的流程图；

图23是根据至少一个实施方案的表示多次授权委托的说明性实例的图；

图24是表示其中可以使用来自多次授权的密钥导出密钥的方式的说明性实例的图。

详述