[发明专利]密钥导出方法和系统以及非暂时性计算机可读存储介质

说明书

一种计算机系统执行密码操作作为服务。所述计算机系统被配置来允许所述服务的用户维持对其相应密码材料的控制。所述计算机系统使用不可访问的密码材料来加密随后提供给所述用户的令牌中的用户的密码材料。所述用户不能够访问所述令牌中的所述密码材料的明文副本，但是可以将所述令牌提供回给所述服务，以致使所述服务解密并使用所述密码材料。

分案说明

本申请是申请日为2016年3月25日、申请号为201680023756.5、发明名称为“密钥导出方法和系统以及非暂时性计算机可读存储介质”的发明专利申请的分案申请。

相关申请的交叉参考

本申请出于所有目的以引用的方式并入有2015年3月31日提交的标题为“密钥导出技术”的美国专利申请号14/675,614的全部公开内容。

背景技术

对于许多数据用户而言，数据的安全性在许多情况下是非常重要的。诸如加密的许多技术已很好地发展以诸如通过防止未经授权的实体获得明文形式的数据来确保数据的安全性。同时，随着组织发展的需要，计算机系统也变得越来越复杂。例如，组织经常利用计算装置的网络为其用户提供一组强大的服务。网络经常跨越多个地理边界，并且经常与其他网络连接。例如，组织可以使用计算资源的内部网络和由他人管理的计算资源来支持其操作。例如，组织的计算机可以与其他组织的计算机进行通信，以便在使用另一个组织的服务时访问和/或提供数据。在许多情况下，组织使用由其他组织管理的硬件来配置和操作远程网络，从而降低基础设施成本并实现其他优势。利用计算资源的这种配置来确保对资源和其所持有的数据的访问是安全的可能是具有挑战性的，特别是随着这种配置的规模和复杂性的增长。

为了协助组织开发复杂的计算机系统以支持其操作，许多组织已开始托管计算资源作为服务。例如，计算资源服务可以被托管来代表客户执行各种操作，诸如计算、数据存储、高级数据存储(例如使用数据库)、网络服务(例如，托管计算机网络)等。虽然这类服务为服务提供商的客户提供了许多优势(例如，在没有大量资本投资的情况下建立计算资源的能力)，但是无论服务提供商对保护其客户的数据采取怎样的实质性努力，客户都经常担心数据会被其他实体访问。

附图说明

将参考附图描述根据本公开的各种实施方案，在附图中：

图1示出说明本公开的各个方面的图；

图2示出可以实践各种实施方案的环境的说明性示例；

图3示出根据实施方案的数据结构的说明性示例；

图4示出根据实施方案的导出密钥令牌的说明性示例；

图5示出根据实施方案的用于履行对导出密钥令牌的请求的过程的说明性示例；

图6示出根据实施方案的用于履行对使用导出密钥令牌来执行一个或多个密码操作的请求的过程的说明性示例；

图7示出根据实施方案的用于轮换导出域密钥的过程的说明性示例；

图8示出根据实施方案的用于履行对执行一个或多个密码操作的请求的过程的说明性示例；

图9示出根据实施方案的用于履行对延长导出客户密钥的使用期的请求的过程的说明性示例；

图10示出根据实施方案的用于履行对将导出客户密钥转换成托管客户密钥的请求的过程的说明性示例；

图11示出根据实施方案的用于履行对将托管客户密钥转换成导出客户密钥的请求的过程的说明性示例；并且

图12示出可以实施各种实施方案的环境。

具体实施方式