[发明专利]以增强的安全性存储加密的数据

说明书

背景技术

涉及管理安全系统的任务可以向各种规模的公司提出了挑战。例如，具有不同访问级别的安全数据管理是昂贵的，并且如果管理不恰当，人为错误或其它因素将引起安全性问题。另外，一些现有的系统受限于刚性配置不允许管理员足够粒度地控制访问权限。例如，一些安全系统提供对安全数据的完全访问或无访问。在这种配置中，一旦授权访问秘密数据的特定记录，就不存在限制可以在秘密数据上执行的操作类型的有效方法。除了在记录上的操作约束外，许多系统不提供在记录之间的有效分离。

当公司依赖于托管安全相关服务的第三方实体时，将出现额外的挑战。例如，特定的公司可以使用第三方服务来存储秘密数据或管理安全密钥。虽然这种服务可能提供比自管理转钥式系统更多的功能，但是对于想要相对恶意用户或甚至第三方管理员维持高级别的安全性的公司可能存在许多缺陷。

关于这些和其它考虑提出了本文中进行的公开。

发明内容

本文描述的技术提供了加密的数据的增强的安全性。在一个或多个配置中，在客户端计算设备处或另一类计算设备处通过利用加密密钥对数据进行加密来生成加密的数据。可以将所述加密的数据从所述客户端计算设备传送到第一实体的秘密存储库，以将所述加密的数据存储于所述秘密存储库中。可以将所述加密密钥从所述客户端计算设备传送到第二实体的密钥存储库，以将所述加密密钥存储于所述密钥存储库中。所述秘密存储库可以通过对所述秘密存储库独有的第一组管理访问控制权限而被管理。所述密钥存储库可以通过对所述密钥存储库独有的第二组管理访问控制权限而被管理。所述加密密钥和所述加密的数据可以由所述客户端计算设备通过使用被授权访问所述秘密存储库和所述密钥存储库的一个或多个身份进行访问。本文描述的其它技术可以提供用于针对个体身份或身份的群组管理对特定类型的存储数据的访问的机构。

应该理解的是，以上描述的主题可以实现为计算机控制装置、计算机过程、计算系统、或者实现为诸如计算机可读存储介质的制品。根据阅读后续具体实施方式和查看相关联的附图，这些和各种其它特征将是显而易见的。

提供该发明内容以便以简化的形式来选择性地介绍下面的具体实施方式中进一步描述的理念。该发明内容不旨在识别要求保护的主题的关键特征或必要特征，该发明内容也不旨在用于限定要求保护的主题的范围。此外，要求保护的主题不限于解决本公开内容的任何部分中指出的任何或所有缺点的实现方式。

附图说明

图1是示出用于提供加密的数据的增强的安全性的系统的若干示例性部件的框图。

图2是示出用于提供加密的数据的增强的安全性的方法的各方面的流程图。

图3是示出用于在具有秘密存储库和密钥存储库的系统中更新秘密数据的方法的各方面的流程图。

图4是示出用于存储加密的数据的容器的若干示例性部件和用于存储加密的数据的容器的对应访问控制列表的框图。

图5是示出用于存储一个或多个加密密钥的容器的若干示例性部件和用于存储一个或多个加密密钥的容器的对应访问控制列表的框图。

图6是图示针对能够实现本文中提出的技术和技艺的各方面的计算系统的图示计算机硬件和软件结构的计算机架构图。

图7是图示能够实现本文中提出的技术和技艺的各方面的分布式计算环境的示图。

图8是图示针对能够实现本文中提出的技术和技艺的各方面的计算设备的计算设备架构的计算机架构图。

具体实施方式

以下详细描述针对用于提供加密的数据的增强的安全性的概念和技术。在一些配置中，可以在客户端计算设备处通过用加密密钥对秘密数据进行加密而生成加密的数据。可以将所述加密的数据从所述客户端计算设备传送到秘密存储库，可以将所述加密的数据存储在所述秘密存储库的秘密容器中。可以将所述加密密钥从所述客户端计算设备传送到密钥存储库，以将所述加密密钥存储在所述密钥存储库的秘密容器中。所述秘密存储库可以由控制所述秘密存储库独有的第一组管理访问控制权限的第一实体管理。秘密存储库可以由控制由所述密钥存储库独有的第二组管理访问控制权限的第二实体管理。

可以通过客户端计算设备使用授权访问秘密存储库和密钥存储库的一个或多个身份来访问所述加密密钥和所述加密的数据。本文描述的其它技术可以提供用于针对个体身份或身份的群组来管理对特定类型的存储数据进行访问的机制。利用每个都由单独一方管理的个秘密存储库和密钥存储库的技术和技艺帮助减轻了任一数据库的管理员对秘密数据的未授权访问的风险，同时提供对客户端计算设备的用户或一组用户的访问。