[发明专利]计算秘密的管理

说明书

一种方法可以包括从客户端程序接收读取请求。该方法还可以包括响应于接收到读取请求，从秘密存储库获取一个或多个秘密。获取可以包括将一个或多个秘密存储在存储位置。该方法还可以包括响应于读取请求，发起向客户端程序传输一个或多个秘密。该方法还可以包括从存储位置删除一个或多个秘密。

背景技术

本公开涉及计算系统组件之间的通信，更具体地，涉及计算秘密的管理。

计算系统(诸如，具有多层架构的计算系统)可以被配置使得分立的系统组件通过外部化接口相互通信。出于安全目的，这种分立系统组件可以被配置为在允许访问数据之前从其他系统组件获取秘密，例如令牌、密钥和/或密码。这种秘密可以验证试图访问第二系统组件的数据的第一系统组件的身份和/或真实性。

发明内容

根据本公开的实施例，一种方法可以包括从客户端程序接收读取请求。该方法还可以包括从秘密存储库获取一个或多个秘密。可以响应于接收到读取请求而执行获取。获取可以包括将一个或多个秘密存储在存储位置。该方法还可以包括发起向客户端程序传输一个或多个秘密。发起可以响应于读取请求而执行。该方法还可以包括从存储位置删除一个或多个秘密。

本文还包括对应于上述方法的系统和计算机程序产品。

上述概述并非旨在描述本公开的每个所示实施例或每个实现。

附图说明

本申请中包含的附图被纳入说明书并且构成说明书的部分。它们示出了本公开的实施例，并且与描述一起用于解释本公开的原理。附图仅说明某些实施例，并不限制本公开。

图1描绘了根据本公开的实施例的具有秘密引擎的示例计算环境。

图2描绘了根据本公开实施例的用于执行秘密管理的示例方法的流程图。

图3描绘了可以根据本公开的实施例使用的计算机系统的代表性主要组件。

图4描绘了根据本公开实施例的云计算环境。

图5描绘了根据本公开实施例的抽象模型层。

尽管本发明可进行各种修改和替代形式，但其细节已在附图中以示例的方式示出，并且将进行详细描述。然而，应当理解，其目的并非将本发明限制于所描述的特定实施例。相反，本发明旨在涵盖落入本发明精神和范围内的所有修改、等同物和替代物。

具体实施方式

本公开的方面涉及计算系统组件之间的通信；更具体的方面涉及计算秘密的管理。虽然本公开不必然限于这些应用，但是通过使用该上下文讨论各种示例，可以理解本公开的各个方面。

计算系统(诸如，具有多层架构的计算系统)可以被配置为使得分立的系统组件通过外部化接口相互通信。出于安全目的，这种分立系统组件可以被配置为在允许访问数据之前从其他系统组件获取秘密，诸如令牌、密钥和/或密码。这种秘密可验证试图访问第二系统组件的数据的第一系统组件的身份和/或真实性。

在某些情况下，计算系统可以被配置为将秘密存储在文件系统对象(诸如，计算机文件)中。该文件系统对象可以存储在一个或多个分立的系统组件上。在这些情况下，存储该文件系统对象的第一分立系统组件(例如，客户端系统)可以通过读取文件系统对象来获取秘密。之后，第一系统组件可以向第二系统组件(例如，提供方系统)传输秘密。响应于接收到该秘密，第二系统组件可以验证第一系统组件的身份并且允许第一系统组件访问数据。

文件系统对象中的这种秘密存储可能使计算系统易受入侵，因为文件系统对象可能在分立的系统组件上无限期地保持可访问性。因此，在分立系统组件容易受到损害的任何时候，秘密都可能受到损害。此外，修改这样的计算系统以存储和/或从分立系统组件外部的位置访问秘密可能需要对多个分立系统组件进行定制编程。这种修改可以包括在每个分立系统组件与一个或多个存储秘密的外部设备之间引入附加的接口、操作和同步参数。因此，这种修改可能难以实施和维护。