[发明专利]密钥导出方法和系统以及非暂时性计算机可读存储介质

权利要求书

1.一种计算机实施方法，其包括：

在密码服务的web服务器处接收对密码密钥的请求，所述请求指定使用期，所述请求来自与所述密码服务的客户相关联的装置；

在提供密码材料的硬件保护的装置中生成所述密码密钥；

从存储在所述装置内并且从所述装置以编程方式不可导出的一组域密钥中选择具有与所述指定使用期匹配的期满的域密钥，所述期满由自动化过程的至少一个实例强制执行，所述自动化过程致使所述域密钥在根据所述期满确定的时间变得对于所述装置永久地不可访问；

在所述装置中加密所述生成的密码密钥；

生成包括所述加密密码密钥和所述密码密钥的识别符的令牌；

响应于所述接收的请求而向与所述客户相关联的所述装置提供所述令牌；以及

执行致使所述装置无法访问所述密码密钥的一个或多个操作。

2.如权利要求1所述的计算机实施方法，其还包括将策略与所述密码密钥的所述识别符相关联，使得所述密码服务使用所述策略来控制对使用所述密码密钥执行密码操作的请求的履行。

3.如权利要求1所述的计算机实施方法，其还包括：

在所述web服务器处接收对托管密码密钥的第二请求；

在所述装置中生成所述托管密码密钥；

使用存储在所述装置中的第二域密钥来加密所述托管密码密钥；以及

将所述加密的托管密码密钥存储在对于所述密码服务可访问的位置中。

4.如权利要求3所述的计算机实施方法，其中：

所述域密钥是来自提供用于导出密码密钥的所述一组域密钥的第一子集的第一域密钥；以及

所述第二域密钥来自提供用于托管密码密钥的所述一组域密钥的第二子集。

5.一种系统，其包括：

至少一个计算装置，所述至少一个计算装置被配置来实施一个或多个服务，所述一个或多个服务被配置来：

接收对密码密钥的请求；以及

通过以下方式履行对所述密码密钥的所述请求：

获得所述密码密钥；

使用密码材料来加密所述获得的密码密钥，所述密码材料在各自提供所述密码材料的硬件保护的一组硬件装置之外不可访问，所述密码材料具有对应于时间的期满，在所述时间后所述密码材料变得对于所述一组硬件装置不可访问，其中所述期满由通过所述系统执行的自动化过程强制执行；

提供所述加密的密码密钥；以及

致使所述一组硬件装置无法访问所述获得的密码密钥。

6.如权利要求5所述的系统，其中：

所述一个或多个服务被进一步配置来生成包括所述密码密钥的识别符的令牌；以及

提供所述加密的密码密钥包括提供所述生成的令牌。

7.如权利要求5所述的系统，其中所述一个或多个服务被进一步配置来：

接收对使用所述密码密钥来执行密码操作的第二请求，所述第二请求包括所述加密的密码密钥；以及

通过解密所述加密的密码密钥并且使用所述密码密钥执行所述密码操作来履行所述第二请求，这取决于仍然可用的所述密码材料。

8.如权利要求7所述的系统，其中所述一个或多个服务被进一步配置来：

接收对执行所述密码操作的第三请求，所述请求指定由所述一个或多个服务管理的第二密码密钥的识别符；以及

至少通过以下各项来履行所述请求：

从数据存储位置获得所述第二密码密钥的加密副本；

解密所述第二密码密钥的所述加密副本；以及

使用所述第二密码密钥来执行所述密码操作。

9.如权利要求5所述的系统，其中所述一个或多个服务被进一步配置来：

将策略与所述密码密钥相关联，所述策略指定用于所述密码密钥的一组许可；

根据所述策略来控制对使用所述密码密钥的请求的履行。