JPWO2019245676A5 - - Google Patents

Claims (13)

1. マルチテナントクラウドベースのシステムにおける暗号鍵を管理するための方法であって、
   ラップされたデータ暗号鍵（Hardware Security Module：ＤＥＫ）の要求をクライアントから受け取ることと、
   ランダムキーを生成することと、
   前記クライアントに対応する暗号化コンテキストをフェッチすることと、
   前記ランダムキーと前記ラップされたＤＥＫでエンコードされる前記暗号化コンテキストとを含む前記ラップされたＤＥＫを生成することと、
   前記ラップされたＤＥＫを前記クライアントに返すことと、を含む方法。
2. 前記暗号化コンテキストは、前記クライアントのロケーション、前記クライアントのリージョン、および前記クライアントのテナントのうちの少なくとも一つを含む、請求項１に記載の方法。
3. 前記暗号化コンテキストは、追加の認証済みデータを含む、請求項１または２に記載の方法。
4. 前記ラップされたＤＥＫは、ヘッダーを含み、
   前記暗号化コンテキストは、前記ヘッダーでエンコードされる、請求項１から３のいずれか１項に記載の方法。
5. 前記ラップされたＤＥＫは、JavaScript Object Notation（ＪＳＯＮ）Web Encryption（ＪＷＥ）構造を含む、請求項１から４のいずれか１項に記載の方法。
6. 前記ラップされたＤＥＫをアンラップする要求を受け取ることと、
   前記ラップされたＤＥＫをパースすることと、
   前記クライアントに基づく前記暗号化コンテキストを検証することと、
   ハードウェアセキュリティモジュール(Hardware Security Module：ＨＳＭ)にあるマスター暗号鍵（Master Encryption Key：ＭＥＫ）を検証することと、
   アンラップされたＤＥＫを返すこととをさらに含む、請求項１から５のいずれか１項に記載の方法。
7. 前記生成する前記ラップされたＤＥＫは、初期化ベクトル（Initialization Vector：ＩＶ）および認証タグ鍵をさらに含む、請求項１から６のいずれか１項に記載の方法。
8. 前記要求は、リプリゼンテーショナルステートトランスファー（Representational State Transfer：ＲＥＳＴ）アプリケーションプログラムインターフェース(Application Program Interface：ＡＰＩ)を含む、請求項１から７のいずれか１項に記載の方法。
9. プロセッサによって実行されると、前記プロセッサに、請求項１から８のいずれか１項に記載の方法を実施させるプログラム。
10. １つ以上のマイクロサービスを含む中間層と、
    前記中間層に結合され、１つ以上のデータベースおよび１つ以上のハードウェアセキュリティモジュールを含むデータ層とを備え、
    前記１つ以上のマイクロサービスは、
    ラップされたデータ暗号鍵（ＤＥＫ）の要求をクライアントから受け取り、
    ランダムキーを生成し、
    前記クライアントに対応する暗号化コンテキストをフェッチし、
    前記ランダムキーと前記ラップされたＤＥＫでエンコードされる前記暗号化コンテキストとを含む前記ラップされたＤＥＫを生成し、
    前記ラップされたＤＥＫを前記クライアントに返す、マルチテナントクラウドベースの鍵管理システム。
11. 前記暗号化コンテキストは、前記クライアントのロケーション、前記クライアントのリージョン、および前記クライアントのテナントのうちの少なくとも一つを含む、請求項１０に記載のマルチテナントクラウドベースの鍵管理システム。
12. 前記ラップされたＤＥＫは、JavaScript Object Notation（ＪＳＯＮ）Web Encryption（ＪＷＥ）構造を含む、請求項１０または１１に記載のマルチテナントクラウドベースの鍵管理システム。
13. 前記１つ以上のマイクロサービスは、さらに、
    前記ラップされたＤＥＫをアンラップする要求を受け取り、
    前記ラップされたＤＥＫをパースし、
    前記クライアントに基づく前記暗号化コンテキストを検証し、
    ハードウェアセキュリティモジュール(ＨＳＭ)にあるマスター暗号鍵（ＭＥＫ）を検証し、
    アンラップされたＤＥＫを返す、請求項１０から１２のいずれか１項に記載のマルチテナントクラウドベースの鍵管理システム。