带访问控制谓词的包装密钥的制作方法

1.本公开涉及带访问控制谓词的包装密钥。


背景技术：

2.当今云计算平台(ccp)可以向这些平台的客户端(或用户)提供范围广泛的功能性。在一些情况下，此功能性已从诸如针对客户端资源的存储或向客户端提供附加分布式计算资源的更简单用品演进为可以与其他计算系统集成的应用或应用编程接口(api)的更复杂用品。例如，许多ccp提供软件服务，诸如电子邮件应用、通信应用(例如，消息传递、音频/视频通信等)、存储应用、数据处理应用等。随着这些软件服务增长，在使用这些服务期间正在访问、转移、修改和/或存储越来越多的客户端数据。


技术实现要素：

3.本公开的一个方面提供一种用于带访问控制谓词的包装密钥的方法。该方法包括在数据处理硬件处获得用于与用户相关联的内容的密码密钥。该方法还包括通过数据处理硬件使用密码密钥来对内容进行加密并且通过数据处理硬件生成加密请求。加密请求请求第三方密码服务对密码密钥和管控对用户的内容的访问的访问控制条件的封装进行加密。该方法还包括通过数据处理硬件将加密请求传送到第三方密码服务，该加密请求包括密码密钥。
4.本公开的实现方式可以包括以下可选特征中的一个或多个。在一些实现方式中，加密请求包括访问控制条件，该访问控制条件由与内容相关联的用户配置。加密请求请求第三方对封装进行加密可以包括加密请求请求第三方密码服务用密钥加密密钥(kek)使用对称加密来对封装进行加密。第三方密码服务可以对应于分布式存储系统的密钥服务管理器(ksm)或分布式存储系统的硬件安全模块(hsm)设备。访问控制条件可以对应于用于动态访问控制的相应条件。
5.在一些示例中，该方法包括在数据处理硬件处接收用于对与用户相关联的加密内容进行解密的解密请求，并且该方法包括通过数据处理硬件向第三方密码服务传送解密请求以在经受解密请求时对用于内容的密码密钥和管控对用户的内容的访问的访问控制条件的封装进行解密。在此示例中，当解密请求满足访问控制条件时，该方法包括通过数据处理硬件从第三方密码服务中检索密码密钥并且通过数据处理硬件使用该密码密钥来对加密内容进行解密。解密请求可以包括认证令牌，该认证令牌指示解密请求的请求者被授权接收密码密钥。这里，认证令牌可以包括javascript对象表示法(json)web令牌，该json web令牌包括基于公钥基础设施(pki)证书的签名。
6.本公开的另一方面提供一种用于带访问控制谓词的包装密钥的方法。该方法包括在数据处理硬件处接收用于对与用户相关联的加密内容进行解密的解密请求。该方法还包括通过数据处理硬件向第三方密码服务传送。在经受解密请求时，解密请求对用于内容的密码密钥和管控对用户的内容的访问的访问控制条件的封装进行解密，该封装原始由第三
web令牌包括基于公钥基础设施(pki)证书的签名。
14.在一些示例中，访问控制条件包括针对内容的用户配置的访问控制条件。第三方加密服务可以原始用密钥加密密钥(kek)使用对称加密来对封装进行加密。第三方密码服务可以对应于分布式存储系统的密钥服务管理器(ksm)或分布式存储系统的硬件安全模块(hsm)设备。访问控制条件可以对应于用于动态访问控制的相应条件。
15.在下面的附图和描述中阐述本公开的一个或多个实现方式的细节。根据说明书和附图，并且根据权利要求书，其他方面、特征和优点将是显而易见的。
附图说明
16.图1a和图1b是使用数据密码系统的示例计算环境的示意视图。
17.图2是示例保护管理器的示意视图。
18.图3是使用访问控制谓词系统来对用户内容进行加密的方法的操作的示例布置的流程图。
19.图4是使用访问控制谓词系统来对用户内容进行解密的方法的操作的示例布置的流程图。
20.图5是可以用于实现本文描述的系统和方法的示例计算设备的示意视图。
21.在各个附图中相似的附图标记指示相似的元件。
具体实施方式
22.云提供商的客户端可能具有客户端不假定信任(在密码/安全意义上)其云服务提供商的安全实践。例如，客户端可能希望对由提供商存储或处置的数据进行加密，但是也可能希望避免信任提供商来处置对应的密码密钥。在所示示例中，云计算环境100包括混合内容保护架构。在此架构中，客户端使用ccp来用由第三方管理的密码密钥对客户端内容进行加密和/或解密。利用此配置，加密保护客户端内容免受客户端内容在ccp处暴露的风险，然而具有密钥的第三方不具备客户端内容来执行解密。换句话说，ccp和第三方均不同时地具备所有工具来暴露客户端数据。使用此架构，客户端可以利用ccp而无需完全地信任它。
23.尽管混合内容保护架构可以保护客户端秘密免受例如ccp的管理员，但是客户端也可能更喜欢架构包括这样的机制，该机制使得存储系统能够用细粒度访问控制保持以密码方式保护的秘密。换句话说，客户端可能更喜欢第三方也管理对客户端秘密的访问控制。遗憾的是，当前存在这样的权衡，即为了第三方提供细粒度访问控制，第三方可能需要实际地存储秘密的内容以及访问控制机制(例如，访问控制列表(acl))。因此，为以密码方式保护的秘密提供细粒度访问控制潜在地破坏混合内容保护架构的重要概念；单方不具备所有工具来同时地暴露客户端秘密(例如，客户端希望保密的客户端数据)。为了解决具有这种权衡的固有问题，云计算环境100包括使用访问控制谓词来为客户端保护和/或管理秘密的第三方密码服务。
24.图1a和图1b是云计算环境100的示例。云计算环境100通常包括与用户10(例如，也称为客户端)相关联的用户设备110(例如，也称为客户端设备)，其能够通过网络130将用户内容120(例如，也称为客户端内容/数据)传送到ccp 140的一部分(例如，后端)。ccp 140可以是指具有远离用户设备110的本地资源的可缩放/弹性资源142(例如，存储抽象)的分布
式系统。资源142包括硬件资源144(例如，数据处理硬件)、存储资源146(例如，存储器硬件)和/或软件资源148(例如，面向客户端的软件，诸如基于web的应用或应用编程接口(api))。在一些示例中，用户10使用用户设备110(例如，使用web浏览器应用116)来与ccp 140的资源142接合。在一些配置中，当用户10与ccp 140的软件资源148接合时，软件资源148包括密码签名以提供代码完整性保护。
25.用户设备110可以是能够与ccp 140进行通信的任何计算设备或数据处理硬件。用户设备110的一些示例包括但不限于台式计算设备、移动计算设备(诸如膝上型电脑、平板、智能电话)和可穿戴计算设备(例如，头戴式耳机和/或手表)。作为计算设备，用户设备110包括数据处理硬件112和存储器硬件114，该存储器硬件被配置成与数据处理硬件112进行通信以执行各种过程。这里，图1a和图1b描绘用户设备110使用数据处理硬件112来执行应用116(例如，已经被下载并存储在存储器硬件114中的应用)。例如，用户设备110执行web浏览器应用116来与ccp 140进行通信。这里，ccp 140可以提供用户设备110可经由web浏览器应用116访问的基于web的服务。
26.在一些示例中，当用户10与ccp 140交互时，用户10提供和/或生成用户内容120。例如，用户10在用于ccp 140的应用(即，软件资源148)的用户界面(ui)处生成用户内容120。用户内容120通常是指由用户10拥有或控制的数据，诸如文件、文档、消息或其他数据资产。在一些示例中，用户10将用户内容120提供给ccp 140以便让ccp 140执行各种客户端服务(例如，存储服务、计算服务等)。在一些实现方式中，用户内容120简单地是指与ccp 140或与ccp 140相关联的服务兼容的内容(例如，资源)。
27.当用户10将用户内容120引入到ccp 140时，保护管理器200被配置成将用户内容120标识为内容保护的潜在候选。在一些示例中，保护管理器200是ccp 140的一部分的面向客户端的功能。例如，ccp 140将保护管理器200集成在一个或多个ccp应用的前端代码(例如，嵌入到在ccp应用处管理用户数据的代码路径中的面向客户端的库)中。通过将保护管理器200集成在ccp应用的前端代码中，ccp认识到，当用户10向ccp 140提供或共享用户内容120时，用户10可能想要保护用户内容120。此外，通过成为面向客户端的，保护管理器200在用户10将用户内容的全部控制让与ccp 140之前给予用户10保护用户内容120的机会。例如，用户10想要将用户内容120存储在ccp 140的存储资源146(例如，服务器)中，但是选择在用户10将用户内容120传送到存储资源146之前在保护管理器200处保护用户内容120。
28.在一些实现方式中，用户10在保护管理器200处发起对用户内容120的保护(例如，对保护的用户请求)。在其他实现方式中，保护管理器200标识用户内容120并且要么自动地保护用户内容120，要么在来自用户10的许可下保护用户内容120。在仍然其他的实现方式中，保护管理器200被配置为使得用户10既可以发起内容保护请求，保护管理器200又可以自助服务用户内容保护。在一些示例中，用户10或采用保护管理器200的ccp 140的管理员指定对保护管理器200来说在范围内的用户内容120的类型。当保护管理器200接收和/或标识在范围内的用户内容120的类型时，保护管理器200被配置成在被传送到远程端点(例如，ccp 140的远程资源142)之前总是保护用户内容120。
29.为了保护用户内容120，保护管理器200被配置成对用户内容120进行加密和/或解密。例如，保护管理器200在将用户内容120上传到ccp 140的远程资源142之前对用户内容120进行加密(例如，如图1a所示)并且在从ccp 140的远程资源142下载用户内容120之后在
用户设备110处在本地对用户内容120进行解密(例如，如图1b所示)。在基于存储的ccp应用中，保护管理器200可以被增添到现有上传和/或下载流中以向通过这些流路径行进的用户内容120提供其保护服务。在内容编辑器应用中，保护管理器200可以是本地读取/写入功能性的一部分，使得保护管理器200读取/写入基于文档的用户内容120的blob版本作为保护管理器200对blob版本进行加密/解密的保护形式。
30.当保护管理器200对用户内容120进行加密/解密时，保护管理器200负责与诸如第三方密钥管理器150和/或身份提供商160的第三方系统通信。例如，保护管理器200使用超文本转移协议安全(https)请求或跨域资源共享(cors)请求来与第三方密钥管理器150和/或身份提供商160进行通信。这里，第三方密钥管理器(3pkm)150是指保护密钥212的第三方密码服务，保护管理器200使用所述密钥212来对用户内容120进行加密/解密。
31.在一些示例中，3pkm 150是保护秘密170的服务。秘密170可以由保护管理器200(例如，代表用户)或由用户10独立于保护管理器200提供给3pkm 150。秘密170统称为要保护的提供给3pkm 150的内容。秘密170的内容可以包括密钥212和/或周界172。周界172是定义谓词174的对象或声明，其中谓词174对应于管控秘密170的内容的访问控制条件。换句话说，为了访问秘密170的内容，需要满足由谓词174设置的条件。在一些示例中，满足由谓词174设置的条件允许实体(例如，用户10)使用3pkm 150的密码服务，诸如接收加密或解密内容。在一些实现方式中，满足由谓词174设置的条件许可3pkm 150传送与秘密170相关联的内容。例如，当请求实体满足谓词174时，3pkm 150可以将与谓词174相关联的密钥212返回给请求实体，使得可以通过密钥212来对加密内容122进行解密(例如，在保护管理器200处)。第三方密码服务150可以对应于分布式存储系统的密钥服务管理器(ksm)或分布式存储系统的硬件安全模块(hsm)设备。
32.周界172的示例可以是被许可访问与密钥212相关联的用户内容120的电子邮件地址的列表。在一些配置中，周界172包括谓词174，该谓词指定为了访问秘密170的内容需要向3pkm 150提供授权断言的要求。在一些配置中，对于要关于秘密170执行的不同操作，周界172可以具有不同谓词174。周界172可以包括静态检查(例如，检查特定断言是否等于值)或动态检查(例如，使用诸如身份提供商160的另一方来检查断言)。换句话说，静态检查可以是静态访问控制条件，然而动态检查是动态访问控制条件(例如，多个声明180或断言可以被链接或映射在一起以满足动态访问控制条件)。
33.在一些配置中，3pkm 150包括当在3pkm 150处接收到秘密170时保护秘密170的密钥管理系统(kms)或硬件管理系统(hms)。3pkm 150可以通过包装/解包装过程来保护秘密170。这里，包装是指使用对称加密来封装诸如秘密材料(例如，密钥212)的内容的加密过程(例如，密钥包装算法)。解包装通常是指使用密码过程来对封装内容(例如，秘密材料)进行解密的反向过程。为了包装/解包装秘密170，3pkm 150可以接收秘密170并且使用永久地驻留在3pkm 150中(例如，在kms或hms处)的密钥加密密钥(kek)来对秘密170进行加密/解密。这里，3pkm 150可以被配置为使得3pkm 150包括与3pkm 150的每个客户(例如，类似于用户10的每个用户)相对应的kek。当3pkm 150从保护管理器200接收到秘密170时，3pkm 150保护秘密170并且将封装152返回给保护管理器200。这里，封装152是指由3pkm 150加密以形成加密数据结构的对象。例如，返回给保护管理器200的封装152可以是秘密170的加密形式。在一些示例中，封装152是当kek对密钥212进行加密时对应于密钥212的加密形式的密
码令牌152。在密钥212已由3pkm 150包装之后，3pkm 150可以存储受保护的密钥212(即，包装密钥)或者将受保护的密钥212(即，包装密钥)发送到另一存储位置(例如，在客户端10的用户设备110处或在ccp 140处)。在一些实现方式中，将已由3pkm 150加密的密钥212与加密用户内容122一起存储可以提供诸如一致数据位置、备份和/或可靠性的好处。
34.尽管3pkm 150可以存储密钥，诸如用于保护用户内容120的kek，但是3pkm 150不以任何形式(例如，加密的或解密的)存储用户内容120。相反，保护管理器200在用户设备110处用密钥212(例如，客户端密码密钥)对用户内容120进行加密并且将加密用户内容122和封装152从3pkm 150传送到ccp 140的远程资源142。基于此配置，ccp 140已经用相关封装152对用户内容122进行加密，但是ccp 140无法访问密钥来对用户数据120进行解密。
35.在每一个包装/解包装过程期间，3pkm 150可以接收声明180。这里，声明180是指传达给3pkm 150的信息，该信息指定要对照周界172的谓词174来评价的一个或多个特性。换句话说，声明180可以是由实体(例如，用户10)断言该实体应该能够访问特定秘密170。这里，声明180的断言的特性可以取决于针对秘密170的访问条件配置的谓词174。例如，3pkm 150接收包括封装152和声明180的请求190(例如，解密请求190d)。当3pkm 150接收到请求190时，3pkm 150可以首先验证声明180的有效性，然后确定声明180是否满足谓词174的条件。当声明180满足谓词174时，3pkm 150可以返回与封装152相关的原始内容(例如，秘密170)。
36.在一些示例中，声明180包括由身份提供商160指定的授权特征(例如，授权令牌162)。身份提供商160通常是指与ccp 140分开的可以提供用于证实实体的授权特征的第三方。换句话说，身份提供商160被配置成指示具备授权特征的实体有权对环境100内的内容或特定资源提出声明180。在一些示例中，身份提供商160生成签名或证书以便实体(例如，以便用户10或与ccp 140相关联的另一用户)证实实体的身份。例如，认证令牌对应于javascript对象表示法(json)web令牌，其中json web令牌包括基于公钥基础设施(pki)证书的签名。由身份提供商160生成的授权特征然后可以由3pkm 150使用来在检查谓词174的条件之前最初证实声明180。
37.授权特征帮助确保未经授权方不会设法使用3pkm 150来获得秘密170(例如，密钥212)。例如，未经授权方可能试图向3pkm 150冒充用户10。3pkm 150和/或身份提供商160可以被配置成防止由ccp 140的尚未被证实的实体单方面访问3pkm 150处的密钥212。换句话说，由于ccp 140的实体可以能够访问加密用户内容122，所以对3pkm 150处的密钥212的进一步访问将潜在地移除保护并且暴露用户内容120。由于这种可能性，身份提供商160被配置成为应该能够访问秘密170的实体提供认证特征(例如，以为用户10对用户内容120进行解密)。为了说明，用户10的用户设备110处的保护管理器200应该能够访问以从3pkm 150中检索密钥212。这里，身份提供商160向用户设备110处的保护管理器200提供认证令牌162，使得保护管理器200可以在密钥检索请求(例如，解密请求190d)期间将认证令牌162(例如，在声明180中)提供给3pkm 150。在一些示例中，当3pkm 150接收到认证令牌162时，3pkm 150确定通过认证令牌162标识的实体是否具有访问所请求的密钥的授权(例如，基于3pkm 150处的acl)。当3pkm 150确定从授权实体接收到认证令牌162时，3pkm 150通过返回所请求的密钥212来遵守密钥请求。例如，在图1b中，3pkm 150基于来自根据声明180授权的实体(例如，用户设备110处的保护管理器200)的解密请求190d返回包括在封装152中的密钥
212。
38.继续参考图1a，保护管理器200获得密钥212(例如，密码密钥)以保护用户内容120。这里，可以从被认为是安全的多个源获得密钥212。这些源可以包括用户设备110处的应用116(例如，web浏览器应用)、用户设备110的硬件112、114，或用户10相信是安全的一些远程源(例如，生成密钥212的密钥服务器或远程服务)。使用密钥212，保护管理器200在本地对用户内容120进行加密以形成加密用户内容122。一旦保护管理器200形成加密用户内容122，密钥212就被传送到3pkm 150以便被3pkm 150包装到封装152中。当3pkm 150包装封装152时，它可以将封装152返回给保护管理器200。当保护管理器200接收到封装152时，保护管理器200将加密用户内容122连同封装152一起传送到ccp 140的远程计算资源142。
39.对于图1a中描绘的加密过程，保护管理器200(例如，由用户10指导)可以生成加密请求190、190e。在一些示例中，加密请求190e包括秘密170。在这些示例中，秘密170将保护管理器200使用来对内容120进行加密的密钥212连同标识访问控制条件(即，谓词174)的周界172一起传送。在一些实现方式中，加密请求190包括断言请求加密请求190e的方被授权使用3pkm 150的服务的声明180。3pkm 150接收加密请求190e并且对于秘密170执行包装操作。包装操作包括加密请求190e标识3pkm 150要保护的字节作为输入。例如，加密请求190e请求包装操作保护密钥212以及周界172。这里，通过用一个或多个谓词174保护周界172，3pkm 150形成封装152，所述封装152是与周界172(例如，谓词174的访问控制条件)捆绑的密钥212的加密形式。通过用周界172(例如，使用kek)对密钥212进行加密，过程确保当需要对封装152的解密时，3pkm 150能够在返回解密内容(例如，密钥212)之前检查访问控制条件。在一些配置中，3pkm 150在包装操作期间使用kek来对秘密170执行对称加密。附加地或替换地，3pkm 150还可以被配置成响应于加密请求190e而在包装操作期间执行非对称加密。
40.在一些实现方式中，3pkm 150充当环境100中的密钥访问控制列表服务(kacls)。例如，3pkm 150接收包括数据加密密钥(dek)作为密钥212并且包括acl作为周界172的一种形式的加密请求190。在一些示例中，作为kacls，加密请求190e还包括用户内容120的标识符。例如，当内容120是文档(例如，电子邮件)时，标识符是文档标识符(id)(例如，与文档关联的字符的字母数字集)。这里，acl很像其他周界172，可以指定谁能够对内容(例如，与文档id相对应)进行解密。在使用kacls加密的电子邮件的情况下，能够将周界174设置为电子邮件内容的特定接收者。因此，当实体请求对加密电子邮件内容进行解密时，kacls接收用于对电子邮件(例如，电子邮件的dek)进行解密的请求190(例如，解密请求190、190d)。这里，作为kacls的3pkm 150将首先验证解密请求190d包括用于解密的有效声明180，然后继续检查解密请求190d的请求者是否是通过周界172标识的接收者。换句话说，3pkm 150可以检查声明180的电子邮件接收者字段是否与通过周界172标识的电子邮件接收者匹配。
41.相比之下，图1b描绘保护管理器200对加密用户内容122进行解密。这里，加密用户内容122被下载到用户设备110并且保护管理器200在用户设备110处在本地对加密用户内容122进行解密。在此示例中，保护管理器200向ccp 140(例如，诸如ccp 140的服务器的远程资源142)做出检索请求190、190sr。在一些示例中，检索请求190sr包括对加密用户内容122的特定片段及其相关封装152的请求。在一些配置中，ccp 140被配置成标识指定加密用户内容122的检索请求190sr应该通过伴随与所指定的加密用户内容122相对应的封装152
来履行。这里，用户10可以在用户设备110处发起检索请求190sr。一旦保护管理器200接收到封装152，保护管理器200就将封装152传送到3pkm 150以便检索与封装152相对应的密钥212。利用来自3pkm 150用于加密用户内容122的密钥212，保护管理器200对加密用户内容122进行解密。
42.在一些示例中，保护管理器200通过发送解密请求190d来检索用于对加密用户内容122进行解密的密钥212。解密请求190d包括用密钥212和声明180(例如，用授权令牌162)体现秘密170的封装152。由于封装152对应于秘密170，所以包括在请求190d中的封装152还包括带一个或多个谓词174的周界172。当3pkm 150接收到解密请求190d时，3pkm 150可以首先执行证实过程。在证实过程期间，3pkm 150确定请求190d的声明180是否标识提交解密请求190d的有效实体。紧跟证实过程之后，3pkm 150确定请求190d(例如，使用声明180)是否满足周界172的一个或多个谓词174。例如，3pkm 140标识与请求190d相关联的声明180是否满足由包括在封装152中的谓词174阐述的条件。在一些示例中，为了确定请求190d是否满足谓词174的条件，3pkm 150解包装封装152以访问带谓词174的周界172。使用此过程，3pkm 150不一定需要存储封装152，并且事实上，通常与3pkm 150比较，诸如ccp 140的存储系统可以更容易存储封装152。这里，因为仅3pkm 150具有可以对加密封装152进行解密的工具(例如，kek)并且封装152包括周界172，所以3pkm 150能够在返回封装152的内容内的解密密钥212之前施行访问控制条件。换句话说，此过程允许3pkm 150执行无状态密钥服务。它还可以避免3pkm 150针对每一包装/解包装操作对数据库读取/写入的需要。使用利用访问控制谓词的此封装过程，3pkm 150可以专注于kek的保护，而不是不得不附加地处置数据库访问控制。
43.参考图2，保护管理器200包括密钥生成器210、保护器220和通信器230。密钥生成器210被配置为在用户设备110处在本地生成密钥212。在一些示例中，密钥212是密码密钥212，使得取决于情况，该密钥可以用于对数据进行加密或解密。在一些示例中，密钥212是256比特密钥。例如，密钥212使用按256比特密钥大小(例如，256比特的长度)而操作的高级加密标准(aes)对称分组密码。这里，分组密码可以在伽罗瓦(galois)计数器模式(gcm)下操作。使用密码算法，诸如aes-256-gcm，密钥212提供数据真实性(即，完整性)以及数据机密性两者。密钥生成器210可以被配置成为每条单独的用户内容120生成密钥212。例如，图2示出三个密钥212、212a-c，其中每个密钥212对应于单条用户内容120、120a-c。
44.保护器220是保护管理器200的被配置成对用户内容120进行加密或解密的部分。为了对用户内容120进行加密，保护管理器200不需要来自非本地实体(例如，ccp 140、3pkm 150或身份提供商160)的任何附加组件。换句话说，保护器220接收由密钥生成器210生成的密钥212并且能够对用户内容120进行加密。相比之下，当保护器220对加密用户内容122进行解密时，保护器220不能自主地操作。替代地保护器220利用通信器230来从ccp 140(例如，ccp 140的服务器)获取加密用户内容122并且从3pkm 150获取原始对用户内容120进行加密的密钥212。因此，通信器230被配置成与非本地实体(例如，ccp 140、3pkm 150或身份提供商160)进行通信以启用保护器220的功能性。
45.图3是用于对用户内容120进行加密的方法300的操作的示例布置。在操作302处，方法300获得用于与用户10相关联的内容120的密码密钥212。在操作304处，方法300使用密码密钥212来对内容122进行加密。在操作306处，方法300生成加密请求190e，其中加密请求
190e请求第三方密码服务150对密码密钥212和管控对用户10的内容120的访问的访问控制条件(例如，周界172的谓词174)的封装152进行加密。在操作308处，方法300将加密请求190e传送到第三方密码服务150，其中加密请求190e包括密码密钥212。
46.图4是用于对用户内容120进行解密的方法400的操作的示例布置。在操作402处，方法400接收用于对与用户10相关联的加密内容122进行解密的解密请求190d。在操作404处，方法400向第三方密码服务150传送解密请求190d以在经受解密请求190d时对用于内容122的密码密钥212和访问控制条件(例如，周界172的谓词174)的封装152进行解密，所述访问控制条件管控对用户10的内容120的访问。这里，封装152原始由第三方密码服务150加密。在操作406处，当解密请求满足访问控制条件时，方法400从第三方密码服务150中检索密码密钥212。在操作408处，方法400使用密码密钥212来对加密内容122进行解密。
47.图5是可以用于实现本文档中描述的系统(例如，保护管理器200和/或3pkm 150)和方法(例如，方法300、400)的示例计算设备500的示意视图。计算设备500旨在表示各种形式的数字计算机，诸如膝上型电脑、台式机、工作站、个人数字助理、服务器、刀片服务器、大型机和其他适当的计算机。这里示出的组件、它们的连接和关系以及它们的功能仅意在为示例性的，而不意在限制本文档中描述和/或要求保护的发明的实现方式。
48.计算设备500包括处理器510(例如，数据处理硬件)、存储器520(例如，存储器硬件)、存储设备530、连接到存储器520和高速扩展端口550的高速接口/控制器540、以及连接到低速总线570和存储设备530的低速接口/控制器560。组件510、520、530、540、550和560中的每一个使用各种总线来互连，并且可以被安装在公共主板上或酌情以其他方式安装。处理器510能够处理用于在计算设备500内运行的指令，包括存储在存储器520中或在存储设备530上以在诸如耦合到高速接口540的显示器580的外部输入/输出设备上显示用于图形用户界面(gui)的图形信息580的指令。在其他实现方式中，可以酌情使用多个处理器和/或多条总线以及多个存储器和多种类型的存储器。另外，可以连接多个计算设备500，其中每个设备提供必要操作的部分(例如，作为服务器组、一组刀片服务器或多处理器系统)。
49.存储器520在计算设备500内非暂时性地存储信息。存储器520可以是计算机可读介质、易失性存储器单元或非易失性存储器单元。非暂时性存储器520可以是用于在临时或永久基础上存储程序(例如，指令序列)或数据(例如，程序状态信息)以供由计算设备500使用的物理设备。非易失性存储器的示例包括但不限于闪速存储器和只读存储器(rom)/可编程只读存储器(prom)/可擦除可编程只读存储器(eprom)/电可擦除可编程只读存储器(eeprom)(例如，通常用于固件，诸如引导程序)。易失性存储器的示例包括但不限于随机存取存储器(ram)、动态随机存取存储器(dram)、静态随机存取存储器(sram)、相变存储器(pcm)以及磁盘或磁带。
50.存储设备530能够为计算设备500提供大容量存储。在一些实现方式中，存储设备530是计算机可读介质。在各种不同的实现方式中，存储设备530可以是软盘设备、硬盘设备、光盘设备或磁带设备、闪速存储器或其他类似的固态存储设备、或设备阵列，包括存储区域网络或其他配置中的设备。在附加实现方式中，计算机程序产品被有形地体现在信息载体中。计算机程序产品包含指令，这些指令当被运行时，执行一种或多种方法，诸如上述那些方法。信息载体是计算机或机器可读介质，诸如存储器520、存储设备530或处理器510上的存储器。
51.高速控制器540管理计算设备500的带宽密集型操作，然而低速控制器560管理较低带宽密集型操作。职责的这种分配仅是示例性的。在一些实现方式中，高速控制器540耦合到存储器520、显示器580(例如，通过图形处理器或加速器)，并且耦合到可以接受各种扩展卡(未示出)的高速扩展端口550。在一些实现方式中，低速控制器560耦合到存储设备530和低速扩展端口590。可以包括各种通信端口(例如，usb、蓝牙、以太网、无线以太网)的低速扩展端口590可以例如通过网络适配器耦合到一个或多个输入/输出设备，诸如键盘、指点设备、扫描仪、或诸如交换机或路由器的联网设备。
52.如图所示，可以以许多不同的形式实现计算设备500。例如，它可以作为标准服务器500a被实现或在一组此类服务器500a中多次实现，作为膝上型计算机500b或者作为机架服务器系统500c的一部分被实现。
53.能够在数字电子和/或光学电路系统、集成电路系统、专门地设计的asic(专用集成电路)、计算机硬件、固件、软件和/或其组合中实现本文描述的系统和技术的各种实现方式。这些各种实现方式能够包括在包括至少一个可编程处理器的可编程系统上可运行和/或可解释的一个或多个计算机程序中的实现方式，所述至少一个可编程处理器可以是专用或通用的，耦合以从存储系统、至少一个输入设备和至少一个输出设备接收数据和指令，并且向存储系统、至少一个输入设备和至少一个输出设备传送数据和指令。
54.这些计算机程序(也称为程序、软件、软件应用或代码)包括用于可编程处理器的机器指令，并且能够用高级过程和/或面向对象编程语言和/或用汇编/机器语言加以实现。如本文所使用的，术语“机器可读介质”和“计算机可读介质”是指用于向可编程处理器提供机器指令和/或数据的任何计算机程序产品、非暂时性计算机可读介质、装置和/或设备(例如，磁盘、光盘、存储器、可编程逻辑器件(pld))，包括接收机器指令作为机器可读信号的机器可读介质。术语“机器可读信号”是指用于向可编程处理器提供机器指令和/或数据的任何信号。
55.本说明书中描述的过程和逻辑流程可以是通过一个或多个可编程处理器运行一个或多个计算机程序以通过对输入数据操作并生成输出来执行功能来执行的。过程和逻辑流程还能够由专用逻辑电路系统执行，所述专用逻辑电路系统例如fpga(现场可编程门阵列)或asic(专用集成电路)。作为示例，适合于运行计算机程序的处理器包括通用微处理器和专用微处理器两者，以及任何种类的数字计算机的任何一个或多个处理器。通常，处理器将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的必要元件是用于执行指令的处理器以及用于存储指令和数据的一个或多个存储器设备。通常，计算机还将包括或者在操作上耦合以从用于存储数据的一个或多个大容量存储设备(例如，磁盘、磁光盘或光盘)接收数据，或者向所述大容量存储设备转移数据，或者兼而有之。然而，计算机不需要具有此类设备。适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、介质和存储器设备，作为示例包括半导体存储器设备，例如eprom、eeprom和闪速存储器设备；磁盘，例如内部硬盘或可移动盘；磁光盘；以及cd rom和dvd-rom盘。处理器和存储器能够由专用逻辑电路系统补充，或者被并入在专用逻辑电路系统中。
56.为了提供与用户的交互，能够在计算机上实现本公开的一个或多个方面，所述计算机具有用于向用户显示信息的显示设备，例如，crt(阴极射线管)、lcd(液晶显示器)监视器或触摸屏，并且可选地具有用户能够通过其向计算机提供输入的键盘和指点设备，例如，
鼠标或轨迹球。其他种类的设备也能够用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的感觉反馈，例如视觉反馈、听觉反馈或触觉反馈；并且能够以任何形式接收来自用户的输入，包括声学、语音或触觉输入。另外，计算机能够通过向由用户使用的设备发送文档并且从由用户使用的设备接收文档来与用户交互；例如，通过响应于从web浏览器接收到的请求而向用户的客户端设备上的web浏览器发送网页。
57.已经描述了许多实现方式。然而，应理解，可以在不脱离本公开的精神和范围的情况下做出各种修改。因此，其他实现方式在以下权利要求的范围内。