[发明专利]计算系统和用于管理计算系统中的安全对象存储库的方法

权利要求书

1.一种用于对计算系统(100)中的安全对象存储库(115)进行管理的方法(600)，所述方法(600)包括：

保障(605)所述安全对象存储库(115)，包括创建、维护和使用分级密钥系统(200)，所述保障(605)包括：

生成(610)节点密钥加密密钥(205)；

生成(615)使用所述节点密钥加密密钥(205)加密的多个数据加密密钥(210)；

使用所述数据加密密钥(210)对多个数据对象(215)进行加密(617)，每个数据对象(215)由相应的数据加密密钥(210)加密；

生成多个解锁密钥加密密钥(405)，所述多个解锁密钥加密密钥(405)中的每一个解锁密钥加密密钥是使用一个不同的解锁协议生成的；

根据不同的解锁协议中的每一个解锁协议的所述多个解锁密钥加密密钥(405)来加密所述节点密钥加密密钥(205)，以使得当所述不同的解锁协议中的至少一个解锁协议可用时所述节点密钥加密密钥(205)被恢复并且所述安全对象存储库(115)中的所述数据对象(215)被访问；以及

存储所述节点密钥加密密钥，所述节点密钥加密密钥根据所述不同的解锁协议中的每一个解锁协议的所述多个解锁密钥加密密钥被加密在多个经加密节点密钥加密密钥记录中。

2.如权利要求1所述的方法，其中，所述安全对象存储库是身份存储库。

3.如权利要求1所述的方法，其中，保障所述安全对象存储库进一步包括：

生成存储类密钥加密密钥；

用所述节点密钥加密密钥对所述存储类密钥加密密钥进行加密；以及

用所述存储类密钥加密密钥对所述多个数据加密密钥进行加密。

4.如权利要求3所述的方法，其中，所述存储类密钥加密密钥和所述数据加密密钥用于跨集群内的多个节点共享数据。

5.如权利要求1至4中任一项所述的方法，其中，所述解锁协议包括密钥拆分解锁协议、稳定系统值解锁协议和可信平台模块解锁协议。

6.一种计算系统(100)，包括：

安全对象存储库(115)，所述安全对象存储库由驻留在多个节点(120)上的多个数据对象(215)构成；以及

分级密钥结构，所述分级密钥结构包括：

节点密钥加密密钥(205)，所述节点密钥加密密钥被存储在所述安全对象存储库(115)中并被加密在多个经加密节点密钥加密密钥记录中；

多个数据加密密钥(210)，每个数据加密密钥对应于所述数据对象(215)中的相应一个数据对象，所述数据加密密钥(210)是使用所述节点密钥加密密钥(205)来加密的；以及

多个解锁密钥加密密钥(405)，所述多个解锁密钥加密密钥(405)中的每一个解锁密钥加密密钥是使用一个不同的解锁协议生成的，

其中，所述节点密钥加密密钥(205)是根据不同的解锁协议中的每一个解锁协议的所述多个解锁密钥加密密钥(405)加密的，以使得当所述不同的解锁协议中的至少一个解锁协议可用时所述节点密钥加密密钥(205)被恢复并且所述安全对象存储库(115)中的所述数据对象(215)被访问。

7.如权利要求6所述的计算系统，其中，所述安全对象存储库是身份存储库。

8.如权利要求6所述的计算系统，其中：

所述节点的子集被分组以形成集群；并且

所述分级密钥结构包括存储类密钥加密密钥，所述存储类密钥加密密钥是使用所述节点密钥加密密钥来加密的，并且根据所述存储类密钥加密密钥对驻留在所述节点的子集上的所述数据对象的所述数据加密密钥进行加密。

9.如权利要求8所述的计算系统，其中，所述存储类密钥加密密钥和所述数据加密密钥用于跨所述集群内的多个节点共享数据。

10.如权利要求6至9中任一项所述的计算系统，其中，所述解锁协议包括密钥拆分解锁协议、稳定系统值解锁协议和可信平台模块解锁协议。