[发明专利]使用请求供应的密钥保护数据安全性的方法和装置

权利要求书

1.一种计算机实现的用于保护数据安全性的方法，其包括：

在服务提供者的一个或多个计算机系统的控制下，所述一个或多个计算机系统被配置有可执行指令，

从对应于所述服务提供者的客户的请求者接收请求，所述请求的履行涉及关于所述请求中指定的数据的一个或多个密码操作的执行以及在所述请求中供应的密码密钥的使用，所述服务提供者在一定时间内缺少对所述密码密钥的访问直到接收到所述请求，其中所述请求中的所述密码密钥是用一公钥-私钥对中的公钥加密的对称密钥；

通过作为执行关于所述指定的数据的所述一个或多个密码操作的一部分的使用所述供应的密码密钥来履行所述请求，其中执行关于所述指定的数据的所述一个或多个密码操作包括：使用所述公钥-私钥对中的私钥来解密出所述对称密码密钥；以及，使用解密出的对称密码密钥来执行所述一个或多个密码操作；并且

向数据存储系统提供执行所述一个或多个密码操作的结果；并且

在执行所述一个或多个密码操作的某一时刻后，执行致使所述服务提供者失去对所述密码密钥的访问的一个或多个操作。

2.如权利要求1所述的计算机实现的方法，其中所述解密包括向另一个实体传送所述密码密钥以供解密。

3.一种用于保护数据安全性的装置，其包括：

一个或多个处理器；以及

包括指令的存储器，当由所述一个或多个处理器执行时，所述指令致使所述装置：

通过网络从请求者接收请求，所述请求的履行涉及使用包括在所述请求中供应的密码密钥的信息来执行关于所述请求中指定的数据的一个或多个密码操作，其中所述信息可用来认证所述请求，其中所述请求中的所述密码密钥是用一公钥-私钥对中的公钥加密的对称密钥；

作为接收并认证所述请求的结果，执行关于所述指定的数据的所述一个或多个密码操作，其中执行关于所述指定的数据的所述一个或多个密码操作包括：使用所述公钥-私钥对中的私钥来解密出所述对称密码密钥；以及，使用解密出的对称密码密钥来执行所述一个或多个密码操作；并且

提供执行所述一个或多个密码操作的结果。

4.如权利要求3所述的装置，其中：

所述请求是从数据存储系统读取已加密数据的请求；并且

所述信息可用来使用在所述请求中供应的所述密码密钥来认证所述请求。

5.如权利要求3所述的装置，其中所述信息可用来通过包括至少部分基于不同于在所述请求中供应的所述密码密钥的第二密码密钥生成的电子签名来认证所述请求。

6.如权利要求3所述的装置，其中：

所述一个或多个密码操作包括加密所述指定的数据；并且

提供执行所述一个或多个密码操作的所述结果包括将所述指定的数据以加密形式传送到数据存储系统以用于持久存储。

7.如权利要求3所述的装置，其中所述指令进一步致使所述装置执行一个或多个操作，以便在执行所述一个或多个密码操作之后的某一时刻失去对在所述请求中供应的所述密码密钥的访问。

8.如权利要求3所述的装置，其中所述装置在一定时间内缺少对所述密码密钥的访问，直到接收到所述请求。

9.如权利要求3所述的装置，其中：

在所述请求中供应的所述密码密钥被供应在呈加密形式的所述请求中；并且

所述装置还包括子装置，所述子装置被配置来安全地存储从所述子装置的外部难以接近的多个密码密钥，所述多个密码密钥包括可用来解密以加密形式供应的所述密码密钥的特定密码密钥；

所述指令进一步致使所述装置致使所述子装置解密以加密形式供应的将用于执行所述一个或多个密码操作的所述密码密钥。

10.如权利要求3所述的装置，其中所述信息可用来通过使用所述密码密钥认证所述请求来认证所述请求。