(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113890726A(43)申请公布日2022.01.04(21)申请号202110688850.5(51)Int.Cl.(22)申请日2021.06.21H04L9/08(2006.01)H04L9/40(2022.01)(30)优先权数据16/918,2842020.07.01US(71)申请人斯莱克技术有限责任公司地址美国加利福尼亚州(72)发明人A·德拉蒙德D·巴塔查尔吉J·斯金布鲁姆E·吉尔迈S·哈姆里克R·克劳利L·戈勒姆P·梅赫塔R·拉格曼K·阮(74)专利代理机构北京汇知杰知识产权代理有限公司11587代理人李洁董江虹权利要求书2页说明书13页附图7页(54)发明名称用于国际数据驻留的加密密钥管理(57)摘要用于为国际数据驻留提供加密密钥管理的介质、方法和系统。使用基于组的通信系统的组织可以指定可以存储该组织的数据的特定地缘政治区域和应存储用来加密和解密该数据的加密密钥的另一个地缘政治区域(其可以是相同的或不同的)。该组织的用户可以发布消息或访问来自任何地缘政治区域的先前发布在该基于组的通信系统上的消息，导致该系统自动存储和检索来自适当的区域的消息和加密密钥，以允许用户透明地访问该基于组的通信系统，同时维持安全性和数据驻留要求。CN113890726ACN113890726A权利要求书1/2页1.一个或多个非暂时性计算机可读介质，所述介质存储计算机可执行指令，所述计算机可执行指令在由处理器执行时执行一种用于为国际数据驻留提供加密密钥管理的方法，所述方法包括以下步骤：从用户接收与组织相关联的待在基于组的通信系统中发布的消息，所述用户位于第一地缘政治区域中；响应于基于所述组织确定用于与所述组织相关联的数据的驻留的第二地缘政治区域，向位于所述第二地缘政治区域中的密钥服务器发送对加密密钥的请求，其中所述第二地缘政治区域不同于所述第一地缘政治区域；从位于所述第二地缘政治区域中的所述密钥服务器接收组织特定的加密密钥；使用所述组织特定的加密密钥来加密所述消息；在所述第二地缘政治区域中的第二数据存储器中存储加密的消息；以及在所述第一地缘政治区域中的第一数据存储器中存储标识所述加密的消息的存储位置的信息，而不在所述第一地缘政治区域中存储所述加密的消息。2.根据权利要求1所述的介质，其中从所述密钥服务器接收所述组织特定的密钥的步骤响应于确定所述组织特定的密钥不存在于所述第一地缘政治区域中的密钥高速缓存中。3.根据权利要求1所述的介质，其中所述组织特定的密钥是与所述组织相关联的密钥层级中的子密钥。4.根据权利要求3所述的介质，其中用于所述组织的所述密钥层级包括主组织密钥、工作空间密钥、信道密钥和会话密钥，并且其中用来加密所述消息的所述组织特定的密钥是所述会话密钥。5.根据权利要求1所述的介质，其中所述第二地缘政治区域中的所述第二数据存储器存储与所述组织相关联的搜索索引。6.根据权利要求1所述的介质，其中所述第二地缘政治区域中的所述第二数据存储器存储用于所述组织的记录数据。7.根据权利要求1所述的介质，其中所述方法还包括以下步骤：将所述加密的消息高速缓存在所述第一地缘政治区域中的所述第一数据存储器中一预定的缓存时段。8.一种用于为国际数据驻留提供加密密钥管理的方法，所述方法包括以下步骤：从客户端设备接收用户试图访问与组织相关联的在基于组的通信系统中发布的加密的消息的指示；从第一地缘政治区域中的第一数据存储器检索标识所述加密的消息的存储位置的信息，其中标识所述加密的消息的存储位置的信息指示所述加密的消息被存储在第二地缘政治区域中的第二数据存储器中，其中所述第二地缘政治区域不同于所述第一地缘政治区域；从所述第二地缘政治区域中的所述第二数据存储器检索所述加密的消息；响应于确定与所述加密的消息相关联的解密密钥未被存储在所述第一地缘政治区域中的密钥高速缓存中，从位于第三地缘政治区域中的密钥服务器检索所述解密密钥，其中所述第三地缘政治区域不同于所述第一地缘政治区域；使用所述解密密钥解密所述加密的消息以获得明文消息；2CN113890726A权利要求书2/2页向所述客户端设备传输所述明文消息以用于显示给用户。9.根据权利要求8所述的方法，其中用户试图访问加密的消息的指示包括所述用户对一组的选择以在所述基于组的通信系统中查看所述组。10.根据权利要求8所述的方法，其中所述第三地缘政治区域不同于所述第二地缘政治区域。11.根据权利要求8所述的方法，其中向所述客户端设备传输所述明文消息的步骤包括使用传输层加密向所述客户端设备传输所述明文消息。12.根据权利要求8所述的方法，其中所述客户端设备在所述第一地缘政治区域中。13.根据权利要求8所述的方法，其中组织特定的密钥是与所述组织