[发明专利]多权限数据安全和访问

权利要求书

1.一种用于多权限数据安全和访问的计算机实现的方法，其包括：

至少部分地基于计算资源服务提供方不可访问的第一信息和所述计算资源服务提供方的顾客不可访问的第二信息，获得加密的第一密钥和在所述第一密钥下加密的数据，通过至少：

向所述计算资源服务提供方提交请求以使用所述第二信息执行一个或多个操作，所述请求包括允许计算资源服务提供方从代表所述计算资源服务提供方的其他顾客管理的其他信息中选择所述第二信息的信息；并且

致使在所述第一密钥下加密的所述数据和经加密的第一密钥被存留，使得在所述第一密钥下加密的所述数据的授权解密需要使用所述第一信息和第二信息，其中：

所述第一信息包括第二密钥；并且

获取在所述第一密钥下加密的数据包括使用所述第二密钥执行一个或多个操作。

2.如权利要求1所述的方法，其中所述第二信息包括第三密钥。

3.如权利要求1所述的方法，其中：

所述方法还包括：

向具有所述第一信息的访问权限的第二计算资源服务提供方传输在所述第一密钥下加密的所述数据；并且

从所述第二计算资源服务提供方获得包含在也使用所述第一信息加密的所述第一密钥下加密的所述数据的第三信息；并且

致使在所述第一密钥下加密的所述数据和经加密的第一密钥被存留包括致使所述第三信息和经加密的第一密钥被存储在无所述第一信息和所述第二信息二者的访问权限的数据存储系统中。

4.如权利要求1所述的方法，其中所述计算资源服务提供方无所述第一密钥的访问权限。

5.如权利要求1所述的方法，其中：

所述第一密钥是可从包括第一密钥组件和第二密钥组件的多个密钥组件中确定的；并且

所述经加密的第一密钥包括：待使用所述第一信息加密的所述第一密钥组件；和待使用所述第二信息加密的所述第二密钥组件。

6.如权利要求1所述的方法，其中所述第一信息是所述顾客可访问的。

7.如权利要求1所述的方法，其中获得在所述第一密钥下加密的所述数据包括致使第二计算资源服务提供方使用所述第一信息执行一个或多个操作。

8.如权利要求1所述的方法，其中获得所述经加密的第一密钥和在所述第一密钥下加密的数据和致使在所述第一密钥下加密的所述数据和所述经加密的第一密钥被持久性地存储被作为文件系统接口的执行存储操作的指令的结果执行。

9.一种用于多权限数据安全和访问的系统，其包括：

计算资源的集合，所述计算资源集体地被配置来：

运行第一服务，所述第一服务被配置来代表多个实体管理多个密钥；

运行第二服务，所述第二服务被配置来存储数据，其不具有对所述多个密钥的访问权限；并且

向对应于所述多个实体中的一个实体的客户端计算设备提供可执行指令，所述指令致使所述客户端计算设备至少：

提交请求以执行使用由所述请求指定的来自所述多个密钥的第一密钥的一个或多个密码操作；

响应于所述请求接收所述一个或多个密码操作的执行的结果；

至少部分地基于所述结果和所述系统不可访问的第二密钥生成包括经加密的数据的信息，所述信息被配置成使得解密所述数据需要至少所述第一密钥和第二密钥的使用；并且

将所述生成的信息传输至所述存储服务。

10.如权利要求9所述的系统，其中：

用第三密钥加密所述经加密的数据；并且

所述信息包括至少部分地基于所述第一密钥和第二密钥加密的所述第三密钥。

11.如权利要求10所述的系统，其中所述客户端计算设备具有所述第三密钥的访问权限。