[发明专利]密钥管理系统和方法

说明书

一种用于管理密码密钥的基于网络的服务，诸如密钥管理服务(“KMS”)，提供web服务应用编程接口(“API”)。由所述服务管理的密码密钥可存储在一个或多个连接了网络的密码装置(诸如连接了网络的硬件安全模块(“HSM”))中。所述密钥管理服务维护与所述密码密钥相关联的元数据。当所述密钥管理服务接收到请求时，所述密钥管理服务使用与所述请求一起提供的标识符来标识与用来满足所述请求的密码密钥相关联的元数据。所述密钥管理服务使用所述元数据来标识包含所述密码密钥的密码装置。所述密钥管理服务生成用于满足所述请求的命令集，使得所述命令与由所标识的密码装置实现的协议兼容，并且所述命令集被发送到所标识的密码装置。

相关申请的交叉引用

本申请要求2018年5月2日提交的名称为”KEY MANAGEMENT SYSTEM AND METHOD“的美国专利申请号15/969,695的权益，所述申请的公开内容以引用的方式整体并入本文。

背景技术

数据安全是计算基础设施的重要方面。提供数据安全的一种方式是通过密码术。在各种环境中，可对数据进行加密或密码签名以对数据进行认证和保护。通常，当执行密码操作时，使用密码密钥。实体使用特定密码密钥的能力允许实体访问用密码密钥加密的明文数据并且借助数字签名证明其使用特定密码密钥的能力。因此，控制对密码密钥的访问是重要问题，服务提供商和其他人在上面花费大量精力和资源以确保数据完整性。

附图说明

将参考附图描述各种技术，在附图中：

图1示出在一个实施方案中的管理存储在硬件安全模块中的密码密钥的系统的示例；

图2示出在一个实施方案中的管理存储在HSM中的密钥的密钥管理服务器的示例；

图3示出在一个实施方案中的通过客户网络中的路由器与HSM通信的密钥管理服务器的示例；

图4示出在一个实施方案中的HSM代理服务的示例；

图5示出在一个实施方案中的由于被客户端计算机系统、密钥管理服务器和硬件安全模块执行而使用存储在HSM上的密码密钥执行密码操作的过程的示例；

图6示出在一个实施方案中的由于被密钥管理服务器执行而建立到HSM集群的逻辑附接的过程的示例；

图7示出在一个实施方案中的由于被密钥管理服务器执行而在HSM上生成密码密钥并注册密钥以供密钥管理服务使用的过程的示例；

图8示出在一个实施方案中的连接到密钥管理服务的HSM的一组允许状态转变的示例；并且

图9示出在其中可实现各种实施方案的系统。

具体实施方式

本文档描述一种提供用于管理密码密钥的基于网络的服务的系统。在一个实施方案中，密钥管理服务(“KMS”)提供用于管理密钥的web服务应用编程接口(“API”)。在一个实施方案中，密码密钥存储在一个或多个连接了网络的密码装置(诸如包含防篡改存储器的连接了网络的硬件安全模块(“HSM”))中。在一个实施方案中，存储在密码装置内的密码密钥是不可导出的，因为它们可能无法以非加密形式从密码装置中提取。在一个实施方案中，密钥管理服务维护描述由服务管理的密码密钥的元数据。在一个实施方案中，当密钥管理服务接收到请求时，密钥管理服务使用与请求一起提供的标识符来标识与用来满足请求的密码密钥相关联的元数据。在一个实施方案中，使用元数据，密钥管理服务标识包含密码密钥的密码装置。在一个实施方案中，密钥管理服务生成用于满足请求的命令集，使得命令与由所标识的密码装置实现的协议兼容。在一个实施方案中，密钥管理服务将通过web服务API提交的请求转换成公开密钥密码术标准(“PKCS”)#11兼容的命令集，然后将其发送到所标识的密码装置。