JP2020141424A - 仮想サービスプロバイダゾーン - Google Patents

仮想サービスプロバイダゾーン Download PDF

Info

Publication number
JP2020141424A
JP2020141424A JP2020097937A JP2020097937A JP2020141424A JP 2020141424 A JP2020141424 A JP 2020141424A JP 2020097937 A JP2020097937 A JP 2020097937A JP 2020097937 A JP2020097937 A JP 2020097937A JP 2020141424 A JP2020141424 A JP 2020141424A
Authority
JP
Japan
Prior art keywords
data
service
key
encrypted
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020097937A
Other languages
English (en)
Other versions
JP6835999B2 (ja
Inventor
ブランチェク ロス グレゴリー
Branchek Roth Gregory
ブランチェク ロス グレゴリー
ジェイソン ブランドワイン エリック
Jason Brandwine Eric
ジェイソン ブランドワイン エリック
ジェイムズ レン マシュー
James Wren Matthew
ジェイムズ レン マシュー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Amazon Technologies Inc
Original Assignee
Amazon Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US13/932,824 external-priority patent/US9286491B2/en
Application filed by Amazon Technologies Inc filed Critical Amazon Technologies Inc
Publication of JP2020141424A publication Critical patent/JP2020141424A/ja
Application granted granted Critical
Publication of JP6835999B2 publication Critical patent/JP6835999B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】サービスにはアクセスできないように保持された鍵を使用してデータを暗号化すること。
【解決手段】サービスプロキシは、データストレージを伴うことができるサービスのアプリケーションプログラミングインターフェースプロキシとして処理を行なう。データを記憶するためのリクエストがサービスプロキシによって受信されると、サービスプロキシは、データを暗号化し、サービスにおいて暗号化形式におけるデータを記憶する。同様に、データを取得するためのリクエストがサービスプロキシによって受信されると、サービスプロキシは、サービスから暗号化されたデータを入手し、データを解読する。データは、サービスにはアクセスできないように保持された鍵を使用して暗号化することができる。
【選択図】図1

Description

(関連出願の相互参照)
本願は、共に2013年7月1日に出願された同時係属米国特許出願第13/932,824号及び同第13/932,872号の優先権を主張するものであり、それらの内容はその全体が参照により本明細書に組み入れられる。本願は、2013年4月9日に公開された「NETWORK DATA TRANSMISSION ANALYSIS MANAGEMENT」と題された米国特許第8,416,709号、2012年6月7日に出願された「FLEXIBLY CONFIGURABLE DATA MODIFICATION SERVICES」と題された米国特許出願第13/491,403号、2013年2月12日に出願された「DATA SECURITY SERVICE」と題された米国特許出願第13/764,963号、及び2013年7月1日に出願された「DATA LOSS PREVENTION TECHNIQUES」と題された米国特許出願第13/932,872号の完全な開示をすべての目的のために参照により組み入れる(代理人整理番号0097749−051US0)。
計算資源及び関連データのセキュリティは、多くの状況において重要度が高い。一実施例として、組織は、多くの場合、計算デバイスのネットワークを利用して、強固な一連のサービスをユーザに提供する。ネットワークは、多くの場合、複数の地理的境界に及び、そして多くの場合、他のネットワークに接続する。例えば、組織は、計算資源の内部ネットワーク、及び他者によって管理される計算資源の両方を使用してそのオペレーションをサポートすることができる。例えば、組織のコンピュータは、他の組織のコンピュータと通信してデータにアクセスし、及び/またはデータを提供し、その上、別の組織のサービスを使用することができる。組織は、複雑なデータストレージシステムを使用して、効率的にかつコスト効率よくデータを記憶することができる。組織は、多くの場合、他の組織によってホスト及び管理されているデータストレージシステムを構成及び利用することによって、インフラストラクチャのコストを減少し、他の利点を達成する。これらのデータストレージシステム及び他のサービスは、各々が独自の規則及び規制を持つ複数の異なる管轄区域下で動作する場合がある。計算資源を管理するためのそのような複雑な使用では、データへのアクセスに権限を付与し、通常、特にそのような構成のサイズが大きくなるにつれてかつ複雑性が増すにつれて困難となり得るデータの安全性が保証される。
本開示に従うさまざまな実施形態を、以下の図面を参照して記述する。
さまざまな実施形態を実践することができる環境の例示的な実施例を示す。 さまざまな実施形態を実践することができる環境の例示的な実施例を示す。 さまざまな実施形態を実践することができる環境の例示的な実施例を示す。 さまざまな実施形態を実践することができる別の環境の例示的な実施例を示す。 少なくとも一つの実施形態に従う暗号化サービスの例示的な実施例を示す。 少なくとも一つの実施形態に従う、データ鍵を求めるリクエストを処理するプロセスの例示的な実施例を示す。 少なくとも一つの実施形態に従う、データ鍵を解読するためのリクエストを処理するプロセスの例示的な実施例を示す。 少なくとも一つの実施形態に従う、データを記憶するためのリクエストを処理するプロセスの例示的な実施例を示す。 少なくとも一つの実施形態に従う、データを取得するためのリクエストを処理するプロセスの例示的な実施例を示す。 少なくとも一つの実施形態に従う、データベーステーブル変換の例示的な実施例を示す。 少なくとも一つの実施形態に従う、データベースクエリを処理するプロセスの例示的な実施例を示す。 さまざまな実施形態を実践することができる環境の例示的な実施例を示す。 少なくとも一つの実施形態に従う、顧客データを記憶するプロセスの例示的な実施例を示す。 少なくとも一つの実施形態に従う、一つ以上のデータ損失防止技術を利用するプロセスの例示的な実施例を示す。 さまざまな実施形態を実施することができる環境を図示する。
以下の説明において、さまざまな実施形態を記述する。説明のために、そして実施形態の完全な理解を与えるために特定の構成及び詳細を説明する。しかしながら、特定の詳細がなくても実施形態を実践できることも当業者に明らかである。さらに、周知の特徴は、記述する実施形態を曖昧にしないために、省略または簡略化される場合がある。
本明細書に記述及び提案される技術は、さまざまなゾーン内に完全なインフラストラクチャを作ることを必要とせずに、それらのゾーン内にデータストレージサービスなどのさまざまな計算資源サービスを提供する能力を与える。いくつかの実施例において、ゾーンは、異なる地政学的境界内の施設に対応する。さまざまな地理的地域は、他者のデータの扱いに関してのその独自の規則、法律及び/または規制を有する場合がある。例えば、ある規制では、特定のタイプのデータを国内に留めることが要求される場合がある。同様の規制は、複数の地理的地域において実施される場合がある。同時に、多くの組織は、さまざまな計算資源サービスを利用することが有利であると考えている。そのようなサービスはすべての管轄区域において利用可能なわけではなく、あるいは他の地域においてより優れた及び/またはより経済的なサービスが提供される場合がある。
多くの場合、そのような規制の順守は、規制された管轄区域からデータを出す前にデータを暗号化することによって達成することができる。それ故に、本開示の技術は、異なる規則、法律及び/または規制の順守を維持しつつ、さまざまなデータ関連サービスを複数の地理的地域に提供することができる。通常、本明細書に記述及び提案される技術は、必ずしもこれに限らないが、種々の独立した事業体に相当し得る複数のゾーンへのサービスの提供を可能にする。例えば、種々のゾーンは、独立して存在する政府機関、企業、組織、組織内の課、個人及び/または他の団体であってもよい種々の事業体によって運営される種々のコンピュータネットワークであってもよい。他の実施例のゾーンの詳細については後述する。
さまざまな実施形態において、ウェブサービスインターフェースなどのサービスインターフェースは、一つのゾーンに提供される。いくつかの実施例において、サービスは、インターネットプレゼンスポイント(PoP)内で動作する。サービスインターフェースは、そのサポーティングインフラストラクチャが別のゾーン内(例えば、別の行政上の(法律上の)管轄区域下)にあるサービスのための仮想アプリケーションプログラミングインターフェース(API)エンドポイントとして動作することができる。それ故に、サービスインターフェースは、サービスインターフェースに提示されるリクエストを受信してそれに応答し、その上、一部さらにはすべてのリクエストの実現において、他のゾーン内のインフラストラクチャの使用を要求するように動作することができる。このように、顧客は、サービスインターフェースを使用して、そのゾーン内においてインフラストラクチャが完全にサポートされているサービスを利用しているかのようにそのサービスを利用することができる。つまり、顧客の観点からすれば計算資源は複数のゾーン内のサービスのインスタンスを提供するが、裏では、少なくともある程度、別のゾーンのサービスのインスタンスを使用した、特定のゾーンにおけるリクエストの処理が発生し得る。例えば、データを記憶するためのウェブサービスリクエストは、サービスインターフェースが永続記憶のためにデータを他のゾーン内のサービスに伝送することによって実現することができる。同様に、データ取得リクエストは、他のゾーン内のサービスのインフラストラクチャ内に永続的に記憶されているデータを取得することによって実現することができる。このように、特定のタイプの情報のエクスポートについての法律上の制限が存在し得るゾーンごとに完全なインフラストラクチャを構築及び維持する必要はない。
さまざまな規則、法律、規制及び/または優先事項に従うために、サービスインターフェースを通じて別のゾーン内のサービスに送られる一部さらにはすべてのデータは、サービスインターフェースのゾーン内、及び/または通常ではサポーティングサービスインフラストラクチャのゾーンの外部にあるゾーン内に維持された暗号鍵を使用して暗号化することができる。このように、サポーティングサービスインフラストラクチャのゾーン内にある間、データは、安全であり、別のゾーン内の適切な暗号鍵にアクセスしない限りはアクセスできない。暗号化されるデータは、大まかにまたは選択的に暗号化することができる。暗号化されるデータは、データを記憶する者に代わる顧客によっても構成することができる。さらに、暗号化されるデータ及びデータを暗号化するか否かは、一つ以上のデータ損失防止(DLP)ポリシに従い決定することができる。さらに、本開示のさまざまな例示的な実施形態は、例証目的のために暗号化を利用するが、さまざまな他の技術も用いることができる。例えば、本明細書に記述するさまざまな技術は、データのさまざまな操作(マングリング)を含む。利用されるマングリングのタイプは、顧客が構成可能なものであってもよい。
データの暗号化の例示的な実施例に戻ると、いくつかの実施形態において、APIプロキシとして動作するサービスインターフェースは、同じゾーン内の暗号化サービスを利用する。暗号化サービスは、暗号化及び解読、場合によってはメッセージ署名などの他の暗号化オペレーションを実行するために使用される暗号鍵を安全に管理することができる。データを暗号化する場合には、サービスインターフェースは、データが他のゾーン内の他のサービスに伝送される前に、暗号化サービスを利用してデータを暗号化することができる。同様に、データを解読する場合には、サービスインターフェースは、暗号化サービスを利用してデータを解読することができる。暗号化サービスを利用することができる例示的な方法については後述する。実施例の暗号化サービスは、参照により本明細書に組み入れられる、2013年2月12日に出願された「DATA SECURITY SERVICE」と題された米国特許出願第13/764,963号に見ることができる。
サービスプロバイダのサービスタイプのインスタンスは、顧客によって利用され、例えば、一つ以上の規制に従うために、特定のデータへの特定の個人によるアクセスを制限することができる。実施例として、オペレータの組(例えば、顧客に代わって計算資源サービスプロバイダのサービスをリクエストする権限を持つ個人)は、別のサービスに関する別のオペレータの組とは異なる審査特性または資格を有し得る。例えば、前述のかつ詳細については後述するように、サービスプロバイダは、第一の地域内の第一のサービス、及び第一のサービスについての少なくともいくつかのリクエストのための(例えば、第一の地域とは異なる法律上の管轄区域内の)第二の地域内の第二のサービスを動作させることができる。この第一のサービスは、第二のサービスのプロキシとして作用する。第一のサービスのオペレータは、(もし存在すれば)第二のサービスを利用するために要求される資格とは異なる特定の資格を有することを要求される場合がある。実施例の資格は、これらに限定されないが、身元確認の提示、特定の国籍または所在地を有すること、特定の守秘義務に従うこと、特定のセキュリティクリアランスレベルを有すること、特定の職位(例えば、弁護士)を有することなどを含む。そのような制限の実施を可能にするために、サービスプロバイダは、サービスごとに異なる認証信任状を要求する場合がある。一実施例として、第一のサービスに対するリクエストを署名するのに使用される署名鍵は、第二のサービスには使用できない場合がある。このように、適切な資格を持つ個人への署名鍵の分配を使用して、データがある地域から別の地域に送られても、さまざまな規制に従うデータアクセスを保証することができる。
図1は、さまざまな実施形態を実践することができる環境100の例示的な実施例を示す。図1に図示する環境において、仮想サービス102が提供される。仮想サービス102は、さまざまな計算資源サービスを利用する目的のために顧客104が使用可能なウェブサービスインターフェースなどのサービスインターフェースを提供するように構成できる。いくつかの実施形態において、仮想サービス102は、バッキングサービス106のプロキシとして動作する。詳細については後述するように、仮想サービス102とバッキングサービス106とは、同じサービスタイプ全体のうちの別個のインスタンス(例えば、種々の地理的地域内にネットワークエンドポイントを持つデータストレージサービス)であってもよい。例えば、バッキングサービス106は、サーバ、データストレージデバイス、及びネットワーク内の計算資源の動作を可能にするように構成されたネットワーク機器などの計算資源の集合であってもよい。バッキングサービス106は、仮想サービス102に提示されたリクエストの処理に必要なインフラストラクチャを提供することができる。例えば、仮想サービス102は、データストレージサービスを提供するために十分な記憶容量が不足している場合がある。つまり、仮想サービス102は、データストレージデバイスを含むことはできるが、バッキングサービス106を使用しないと仮想サービス102内に保持される記憶量が受信するリクエストを処理するのに不十分である場合がある。それでもなお、顧客104は、データストレージサービスを利用する目的のために仮想サービス102を利用することができる。
図1に図示するように、例えば、顧客104は、例えば仮想サービス102へのウェブサービスAPIコールを通じて、仮想サービス102にデータを伝送することができる。データは、例えば、データを記憶するためのリクエストに関連させて転送することができる。仮想サービス102は、リクエストがバッキングサービス106に提示されたかのように、データを記憶するためのリクエストを処理することができる。例えば、顧客104にデータストレージサービスを提供するために十分な記憶容量が仮想サービス102に不足していても、仮想サービス102に提供されたデータを、バッキングサービス106のインフラストラクチャを利用して記憶することができる。前述のように、データストレージサービスを利用する場合に、さまざまな管轄区域上の考慮すべき事柄が生じることがある。それ故に、図1に図示するように、いくつかの実施形態における仮想サービス102及びバッキングサービス106は、一つ以上のデータセンタ施設及び/またはサーバ、ネットワーク機器、データストレージなどの集合といった物理インフラストラクチャを使用して実施される。図1に図示する実施例において、仮想サービス102とバッキングサービス106とは、異なる国に存在してもよい。ただし、異なる管轄区域上の事業体も、本開示の範囲内にあるとみなされる。
仮想サービス102に伝送されるデータが、一つ以上の規則、法律、規制及び/または優先事項に違反し得るプレーンテキストの形態においてバッキングサービス106に記憶されることを防止するために、仮想サービス102からバッキングサービス106に伝送される顧客からのデータは、暗号化することができる。さまざまな実施形態において、データは、バッキングサービス106が位置する管轄区域内の計算デバイスに(顧客104の承諾及び/または命令が無い限り)決して提供されない暗号鍵を使用して暗号化される。例えば、いくつかの実施形態において、データの暗号化に使用される鍵は、仮想サービス102が位置する管轄区域内に安全に保持される。詳細については後述するように、一部のデータをプレーンテキスト(クリアテキスト)の形態において仮想サービス102からバッキングサービス106に提供し、一方で、他のデータを暗号化してもよい。さらに、仮想サービス102に提供される一部のデータは、例えば、そのような情報の転送が一つ以上のDLPポリシに違反する場合には、バッキングサービス106に伝送しなくてもよい。
図1には顧客104によって仮想サービス102に伝送されるデータを図示するが、バッキングサービス106に伝送されるデータを仮想サービス102が入手できる他の方式が提供され得ることが留意すべきである。例えば、いくつかの実施形態において、顧客104である複数の顧客は、計算資源サービスプロバイダの計算資源を使用して実施される顧客104のサービスを利用する。データは、顧客104であるこれらの複数の顧客から直接に仮想サービス102に伝送することができる。別の実施例として、仮想サービス102に伝送される顧客データは、仮想サービス102を動作させる計算資源サービスプロバイダによって物理的にホストされた計算デバイスから伝送することができる。例えば、顧客104は、後述するような仮想コンピュータシステムサービスを利用する計算資源サービスプロバイダによって実施される仮想マシンインスタンスから仮想サービス102データを提供することができる。
さらに、図1は、仮想サービス102が位置する管轄区域の外部から仮想サービス102に移動する、顧客104からのデータを図示するが、データは、その管轄区域内から、またはバッキングサービス106が位置する管轄区域などの異なる管轄区域からも提供することができる。本開示は、顧客104または他の事業体から得るものとしてさまざまな通信及び伝送を論じるが、別途記載がない限り、そのような通信が、顧客104の一つ以上の計算デバイスによって起動され、同期ユーザ入力に準じて及び/または自動処理に従い動作できることが理解されるべきであることもさらに留意すべきである。つまり、データを顧客104から移動するものとして記述する場合には顧客104は組織などの事業体を指し得るが、別途記載がない限り、データは、顧客104の計算デバイスから、または顧客104に代わって動作する計算デバイスからも提供される。他の変形例及び追加の特徴の詳細については後述する。
図2は、本開示のさまざまな実施形態を実践することができる環境200の例証的な実施例を示す。環境200において、計算資源サービスプロバイダ202が、様々なサービスを顧客204に提供することができる。顧客204は、計算資源サービスプロバイダ202によって提供される、情報を保持してさまざまな地理的位置に位置し得るその従業員に送達するためのさまざまなサービスを利用できる組織であってもよい。さらに、顧客204は、リモートに位置するワーキンググループにコンテンツを送達するためのさまざまなサービスを利用できる個人であってもよい。図2に図示するように、顧客204は、インターネットなどの一つ以上の通信ネットワーク206を通じて、計算資源サービスプロバイダ202と通信することができる。顧客204から計算資源サービスプロバイダ202への一部の通信によって、計算資源サービスプロバイダ202を、本明細書に記述するさまざまな技術またはその変形例に従い動作させることができる。
前述のように、計算資源サービスプロバイダ202は、さまざまな計算資源サービスをその顧客に提供することができる。計算資源サービスプロバイダによって提供されるサービスは、この実施例では、仮想コンピュータシステムサービス208、ブロックレベルデータストレージサービス210、暗号化サービス212(鍵管理サービスとも呼ばれる)、データストレージサービス214、及び一つ以上の他のサービス216を含む。ただし、本開示のすべての実施形態がすべてのそのようなサービスを含むわけではなく、また、追加のサービスを、本明細書に明白に記述するサービスに追加してまたはその代わりに提供することができる。サービスの各々は、適切に構成されたAPIコールを、ウェブサービスリクエストを通じてさまざまなサービスに顧客204が提示できる一つ以上のウェブサービスインターフェースを含むことができる。さらに、サービスの各々は、サービスを互いにアクセスさせることができる(例えば、仮想コンピュータシステムサービス208の仮想コンピュータシステムが、データストレージサービスにデータを記憶するもしくはそれからデータを取得する、及び/またはブロックデータストレージサービスによって提供される一つ以上のブロックレベルデータストレージデバイスにアクセスすることができる)一つ以上のサービスインターフェースを含むことができる。
仮想コンピュータシステムサービス208は、計算資源サービスプロバイダ202の顧客204に代わって、仮想計算システムにおいて仮想マシンインスタンスをインスタンス化するように構成された計算資源の集合であってもよい。計算資源サービスプロバイダ202の顧客204は、(適切に構成され、かつ認証されたAPIコールを通じて)仮想コンピュータシステムのサービスと相互作用し、計算資源サービスプロバイダ202によってホスト及び動作する物理計算デバイスにおいてインスタンス化された仮想コンピュータシステムをプロビジョン及び動作させることができる。仮想コンピュータシステムは、さまざまな目的に使用することができる。例えば、ウェブサイトをサポートするサーバとして動作する、ビジネスアプリケーションを動作する、または通常、顧客のための計算能力としての機能を果たす。仮想コンピュータシステムの他のアプリケーションは、データベースアプリケーション、電子商取引アプリケーション、ビジネスアプリケーション及び/または他のアプリケーションをサポートすることができる。
ブロックレベルデータストレージサービス210は、ブロックレベルストレージデバイス(及び/またはその仮想化)を使用して、顧客204用のデータを記憶するように集合的に動作する計算資源の集合を備えることができる。ブロックレベルデータストレージサービス210のブロックレベルストレージデバイスは、例えば、仮想コンピュータシステムサービス208によって提供された仮想コンピュータシステムに動作可能に取り付けられ、コンピュータシステムのための論理ユニット(例えば、仮想ドライブ)としての機能を果たすことができる。ブロックレベルストレージデバイスは、仮想コンピュータシステムサービス208が短期のデータ記憶のみしか提供できない場合に、対応する仮想コンピュータシステムによって使用または生成されるデータを永続記憶することができる。
図2に図示するように、計算資源サービスプロバイダ202は、図3に関連してより詳細については後述する暗号化サービスを動作させることができる。通常、暗号化サービスは、計算資源サービスプロバイダの顧客用の暗号鍵を管理及び使用するように集合的に構成された計算資源の集合であってもよい。暗号化サービス212によって使用される鍵は、暗号化オペレーション(暗号化、解読及びメッセージ署名など)及び/または鍵ローテーションなどの他のオペレーションを実行するためのリクエストを提示したときを顧客が参照することができる関連した識別子を有することができる。暗号化サービスは、権限のない団体によるアクセスを回避するために、暗号鍵を安全に保持することができる。
前述のように、計算資源サービスプロバイダ202は、オンデマンドデータストレージサービス及び/またはアーカイバルデータストレージサービスを含み得る一つ以上のデータストレージサービス214も含むことができる。オンデマンドデータストレージサービスは、データを記憶及び/またはそれにアクセスするためのリクエストを同期的に処理するように構成された計算資源の集合であってもよい。オンデマンドデータストレージサービスは、データを求めるリクエストに応答してデータを提供できるようにデータを迅速にオンデマンドデータストレージサービス208が検出及び取得できる計算資源(例えば、データベース)を使用して動作することができる。例えば、オンデマンドデータストレージサービスは、データオブジェクトを求めるリクエストを取得したときに、そのリクエストに対する応答においてデータオブジェクトを提供できる(または、データオブジェクトのストリーミングを起動できる)ように、記憶したデータを保持することができる。前述のように、オンデマンドデータストレージサービスに記憶されたデータは、データオブジェクトに組織化することができる。データオブジェクトは、ことによるとサイズについての特定の制約以外の任意のサイズを有することができる。故に、オンデマンドデータストレージサービスは、いろいろなサイズの多数のデータオブジェクトを記憶することができる。オンデマンドデータストレージサービスは、オンデマンドデータストレージサービス210に記憶されたデータオブジェクトに関連する他のオペレーションを取得または実行するために、データオブジェクトを、顧客204が使用できるデータオブジェクトの識別子に関連付ける鍵値ストアとして動作することができる。オンデマンドデータストレージサービスは、暗号化サービス212にもアクセスできるものであってもよい。例えば、いくつかの実施形態において、暗号化サービスは、オンデマンドデータストレージサービスを利用して暗号化形式において顧客鍵を記憶する。顧客鍵を解読するのに使用可能な鍵は、暗号化サービス212の特定のデバイスのみにおいてアクセスできる。顧客、別のサービスまたは他の事業体によるデータストレージサービスへのアクセスは、適切に構成されたAPIコールを通じたものであってもよい。
アーカイバルストレージシステムは、オンデマンドデータストレージサービスとは異なって動作することができる。例えば、アーカイバルストレージシステムは、データアクセスに関連する性能を低下させてストレージコストを減少するような方式でデータを記憶するように構成できる。例示的な一実施例として、アーカイバルストレージシステムは、バッチ処理及び並列処理によってコストを節約するように、非同期的にデータオペレーションを実行する(すなわち、データを記憶及び取得する)ように構成できる。例えば、アーカイバルストレージシステムのクライアントは、アーカイバルストレージシステムに記憶されているデータオブジェクトにアクセスするためのリクエストを受信し、リクエストを収集し、リクエストをバッチ処理し、リクエストされたデータを、追加のリクエストを使用した取得に利用可能にすることができる。非同期処理の故に、アーカイバルストレージシステムは、データオブジェクトが取得される状態になると、データオブジェクトを取得するための別のリクエストを要求する場合がある。これは例えば、一つ以上のアーカイバルデータストレージデバイスからデータオブジェクトを読み出し、データオブジェクトを利用可能な一つ以上のステージングデータストレージデバイスにデータを書き込むことによって行われる。
他方では、オンデマンドストレージシステムは、データアクセスに関するより優れた性能を提供するように構成できる。例えば、オンデマンドストレージシステムは、データを記憶及び/またはそれにアクセスするためのリクエストを同期的に処理するように構成できる。アーカイバルストレージシステムに対してより優れた性能を可能にするために、オンデマンドストレージシステムは、アーカイバルストレージシステムに対して迅速にオンデマンドストレージシステムがデータを検出及び取得できる追加の計算資源(例えば、データベース)を使用して動作することができる。オンデマンドストレージシステムは、同期データアクセスを提供することができる。例えば、オンデマンドストレージシステムは、データオブジェクトを求めるリクエストが取得されたときに、そのリクエストに対する応答においてデータオブジェクトを提供できる(または、データオブジェクトのストリーミングを起動できる)ように、記憶したデータを保持することができる。
図2に図示する環境には、通知サービス216が含まれる。通知サービス216は、関連するアプリケーション(または、人達)に顧客が通知することを望むトピックスを作り出し、これらのトピックスをクライアントに購読させ、メッセージを公表し、これらのメッセージをクライアントが選択したプロトコル(すなわち、HTTP、電子メール、SMSなど)を通じて送達するのに使用できるウェブサービスまたは他のインターフェース及びブラウザベースのマネージメントコンソールを提供するように集合的に構成された計算資源の集合を備えることができる。通知サービスは、定期的に確認する必要のない「プッシュ」機構、または新規の情報及び更新のための「ポール」を使用して、クライアントに通知を提供することができる。通知サービスは、仮想コンピュータシステムサービスにおいて実行されるモニタリングアプリケーション、ワークフローシステム、時間依存情報の更新、モバイルアプリケーション、及び多くの他のアプリケーションなどのさまざまな目的に使用することができる。
計算資源サービスプロバイダ202は、その顧客204のニーズに基づく一つ以上の他のサービス218をさらに保持することができる。例えば、計算資源サービスプロバイダ202は、その顧客204に関するデータベースサービスを保持することができる。データベースサービスは、一人以上の顧客204に関する一つ以上のデータベースを稼動するための集合的に動作する計算資源の集合であってもよい。計算資源サービスプロバイダ202の顧客204は、適切に構成されたAPIコールを利用することによって、データベースサービスからのデータベースを動作及び管理することができる。これにより、次に、顧客204は、オペレーションをデータベースに保持及び潜在的にスケールすることができる。他のサービスは、これらに限定されないが、オブジェクトレベルアーカイバルデータストレージサービス、他のサービスを管理及び/もしくは監視するサービス、並びに/または他のサービスを含む。
図2に図示するように、計算資源サービスプロバイダ202は、さまざまな実施形態において、認証システム220及びポリシマネジメントサービス222を含む。認証システムは、一実施形態において、顧客のユーザの認証に伴うオペレーションを実行するように構成されたコンピュータシステム(すなわち、計算資源の集合)である。例えば、サービスのうちの一つは、ユーザからの情報を認証サービスに提供し、その応答として、ユーザリクエストが認証されたか否かを示す情報を受信することができる。ユーザリクエストが認証されたか否かの決定は、任意の適切な方法において実行してもよいし、認証の実行方法は、さまざまな実施形態において変えることもできる。例えば、いくつかの実施形態において、ユーザは、サービスに伝送されるメッセージに電子的に署名する(すなわち、コンピュータシステムは、ユーザがメッセージに電子的に署名することによって動作する)。電子署名は、認証される実在者(例えば、ユーザ)及び認証システムの両方に利用可能な機密情報(例えば、ユーザに関連する鍵の対のうちのプライベート鍵)を使用して生成することができる。リクエスト及びリクエストに関する署名は、認証システムに提供され、認証システムは、機密情報を使用して、参照署名を受信した署名と比較して計算し、リクエストが認証されたか否かを決定することができる。
リクエストが認証された場合には、認証サービスは、サービスが使用できる情報をサービスに提供し、ペンディングリクエストを遂行するか、及び/または暗号化サービスなどの他のサービスに証明するなどの他のアクションを実行するか否かを決定することができる。リクエストが認証されると、それに応じて他のサービスを動作させることができる。例えば、認証サービスは、トークンを解析してリクエストの信頼性を確認できる別のサービスにトークンを提供することができる。電子署名及び/またはトークンは、さまざまな方式において制限された有効性を有することができる。例えば、電子署名及び/またはトークンは、特定の時間だけ有効にすることができる。一実施例において、電子署名及び/またはトークンは、確認のための電子署名及び/またはトークンに含まれるタイムスタンプを入力としてとる関数(例えば、ハッシュベースメッセージ認証コード)に少なくともある程度基づいて生成される。提示された電子署名及び/またはトークンを確認する事業体は、受信したタイムスタンプが十分に最新(例えば、現在から所定の時間内)であるかを確認し、受信したタイムスタンプに代用される参照署名またはトークンを生成することができる。提示された電子署名もしくはトークンを生成するのに使用されるタイムスタンプが十分に最新でない、及び/または提示された署名もしくはトークンと参照署名もしくはトークンとが一致しない場合には、認証に失敗し得る。このように、電子署名が危険にさらされた場合には、それは短時間だけ有効となり、それによって、このセキュリティ侵害によって引き起こされる潜在的な危害を限定する。信頼性を確認する他の方式も、本開示の範囲内にあるとみなされることに留意すべきである。
ポリシマネジメントサービス222は、一実施形態において、計算資源サービスプロバイダの顧客に代わってポリシを管理するように構成されたコンピュータシステムである。ポリシマネジメントサービス222は、ポリシの管理に関連するリクエストを顧客が提示できるインターフェースを含むことができる。そのようなリクエストは、例えば、顧客についてのポリシを追加、削除、変更、さもなければ修正するための、または既存のポリシの一覧表などを提供することなどの他の管理上のアクションリクエストのためのリクエストであってもよい。ポリシマネジメントサービス222は、ペンディングリクエストの実現がリクエストを要請した顧客に対応するポリシに従い許容可能であるか否かの決定をサービスができるようになる他のサービスともインターフェースすることができる。例えば、サービスは、リクエストを受信したときに、(そのような情報をローカルにキャッシュしていない場合に)リクエストについての情報(及び/またはリクエストそれ自体)をポリシ管理システムに伝送することができる。このポリシ管理システムは、顧客についてのポリシを解析して、顧客の既存のポリシによってリクエストの実現が可能であるか否かを決定し、その決定に従い情報をサービスに提供することができる。
図3は、さまざまな実施形態を実践することができる環境300の例示的な実施例を示す。図3に図示するように、環境300は、三つのゾーン、すなわち、顧客構内302、仮想ゾーン304及びバッキングゾーン306を含む。顧客構内302は、図1に参照するような前述の顧客104によって及び/またはそれに代わって動作する施設を含むことができる。同様に、仮想ゾーン304は、バッキングゾーン306に対応する管轄区域(例えば、行政上の(法律上の)管轄区域)とは異なる管轄区域内の計算資源サービスプロバイダによって動作する施設に対応することができる。つまり、顧客構内302は顧客104に対応し、仮想ゾーン304は仮想サービス102に対応し、バッキングゾーン306はバッキングサービス106に対応し得る。しかしながら、前述のように、ゾーンは、必ずしも異なる地政学的境界に対応せず、他のタイプの管理上の統制に対応し得る。例えば、顧客構内302は、図1に関連して前述した顧客104であってもよい顧客308の管理上の統制下の計算資源のネットワークに対応し得る。同様に、仮想ゾーン304は、計算資源サービスプロバイダ304の管理上の統制下の計算資源のネットワークに対応し得る。
バッキングゾーン306は、計算資源サービスプロバイダまたは別の計算資源サービスプロバイダの管理上の統制下の計算資源のネットワークに対応し得る。仮想ゾーン304は、様々な方式において実施でき、通常、後述するように、顧客の観点から見て、仮想ゾーン304がバッキングゾーン306を使用しなくても単独でリクエストを処理できる完全に進行するバッキングゾーンであるかのように動作するよう実施される。つまり、バッキングゾーン306の使用にかかわらず、仮想ゾーン304は、リクエストがバッキングゾーンに直接提示されたかのように、(リクエストがバッキングゾーン306に直接提示された場合にはさもなければ生じない暗号化などのデータの特定の操作以外の)リクエストを受信し、それを処理することができる。例えば、前述のように、場合によっては、仮想ゾーン304は、特定の行政上の管轄区域内のインターネットPoPとして実施することができる。バッキングゾーン306は、図2に関連して前述した一つ以上の計算資源サービスなどを提供できるインフラストラクチャを有する一つ以上のデータセンタ施設に対応し得る。
仮想ゾーン304に戻ると、前述のように、仮想ゾーン304は、ストレージサービスプロキシ310及び暗号化サービス312を含むことができる。より詳細については後述するように、ストレージサービスプロキシ310は、顧客308がリクエストを提示することができるサービスインターフェースを提供できる。サービスインターフェースは、一つ以上のパブリックIPアドレスなどの一つ以上のパブリックネットワークアドレスにおいてアクセス可能であってもよい。ストレージサービスプロキシ310は、暗号化サービス312を利用して、バッキングゾーン306のストレージサービス314に送信されるデータの暗号化を確かに保証することができる。ストレージサービス314は、顧客308及び/または他の顧客が直接アクセスできるそれぞれのストレージインターフェースも提供することができる。バッキングゾーン306は、認証サービス316も含むことができる。認証サービス316は、ストレージサービスプロキシ310、暗号化サービス312及びストレージサービス314が、顧客308または環境300内の別の構成要素によって提示されたリクエストを実現するか否かを決定できるように機能する前述のような計算資源の集合であってもよい。
ストレージサービスプロキシ310及びストレージサービス314が、一つ以上の計算資源サービスプロバイダのデータストレージサービスに対応し得ることが留意すべきである。例えば、ストレージサービス314は、オンデマンドストレージサービス、アーカイバルデータストレージサービス、ブロックレベルデータストレージサービス、リレーショナルデータベースサービスなどのデータベースサービス、noSQLデータベースストレージサービス、またはデータウェアハウスデータストレージサービスであってもよい。通常、一人以上の顧客に代わってデータを記憶するように動作する任意のサービスを、環境300において利用することができる。例証目的のためにストレージサービスが使用されるが、仮想ゾーン304及びバッキングゾーン306が、仮想コンピュータシステムサービス、計算資源管理サービス、及び/または通常、計算資源プロバイダによって提供され得、顧客もしくは他の極秘データへのアクセスを含むことができる任意の計算資源サービスなどの他のタイプのサービスのための計算資源を含むことができることも留意すべきである。それ故に、バッキングゾーン306は、そのようなサービスを実施するための施設を含み、仮想ゾーン304は、そのサービスのためのAPIプロキシとして動作する対応するサービスインターフェースを含むことができる。さらに、仮想ゾーン304は、仮想ゾーン304内の対応するサービスプロキシを各々が有する複数の異なるサービスも含むことができる。前述のように、仮想ゾーンは、さまざまな方式において提供され得、仮想ゾーンが提供され得る方式は、図1に図示するかつ前述の方式に限定されない。
図4は、それ故に、さまざまな実施形態を実践することができる環境400の例示的な実施例を示す。例えば、図4に図示するように、環境400は、図3に関連して前述したなどの顧客構内402、仮想ゾーン404及びバッキングゾーン406を含む。例えば、顧客構内402は、顧客408の計算資源を有する、または顧客408に代わって利用される一つ以上の施設を含むことができる。図4に図示するように、仮想ゾーン404は、顧客構内402に位置するゾーンであってもよい。例えば、顧客構内402のネットワークの計算デバイスは、リクエストを提示できるウェブサービスインターフェースを提供することができる。いくつかの実施形態において、ウェブサービスインターフェースは、一つ以上のプライベートIPアドレスなどの一つ以上のプライベートネットワークアドレスにおいてアクセス可能である。顧客計算デバイス、またはいくつかの実施形態においては任意の計算デバイスは、バッキングゾーン406の施設の使用を含み得る、リクエストの処理を行うために、仮想ゾーン404に関するインターフェースにリクエストを提示することができる。
図4に図示するように、仮想ゾーン404は、図3に関連して前述したような、ストレージサービスプロキシ410及び暗号化サービスを含む。前述のように、ストレージサービスプロキシ410は、バッキングゾーン406内に位置するストレージサービス414のAPIプロキシとして機能するストレージサービスインターフェースを含むことができる。ストレージサービスプロキシ410と同様に、リクエストは、顧客408によってストレージサービスプロキシ410に提示され得、それらのリクエストの実現には、ストレージサービス414を利用することができる。暗号化サービス412は、ストレージサービスプロキシ410によって利用することができ、さまざまな実施形態に従い適切な場合に、ストレージサービスプロキシ410によってストレージサービス414に伝送されるデータの暗号化を保証することができる。同様に、バッキングゾーン406内の認証サービス416は、ストレージサービスプロキシ暗号化サービス412及びストレージサービス414によって利用することができ、リクエストが確かに提示され、それ故に実現可能であるか否か、(例えば、任意の適用可能なポリシに従い実現する場合に、)他の方法で実現可能かどうかを決定することができる。
ここに記述したすべての環境と同様の変形例が、本開示の範囲内にあるものとしてみなされることに留意すべきである。例えば、図4は、仮想ゾーン404内部の暗号化サービス412を示す。暗号化サービスは、例えば、ハードウェアセキュリティモジュール(HSM)、または顧客408に代わって暗号鍵を管理する他の計算デバイスとして動作することができる。しかしながら、暗号化サービスが、バッキングゾーン406などの他のゾーン、または図面に図示しない別の仮想ゾーンに位置してもよいことに留意すべきである。例えば、暗号化サービスは、図3に関連して前述したような仮想ゾーン内に存在してもよい。通常、暗号化サービスは、顧客408に専用のサービスであってもよいし、必要に応じて、計算資源サービスプロバイダの複数の顧客に代わって暗号鍵を管理するマルチテナントサービスであってもよい。図4には唯一の仮想ゾーン404を有する顧客構内を示すが、顧客構内が、さまざまな目的に利用できる複数の仮想ゾーンを含むことができることにも留意すべきである。例えば、顧客408は組織であってもよく、異なる仮想ゾーンが、組織内の異なる管理上の事業体によって使用され得る。このように、データの混入、及び顧客408に関係し得る他の問題点は、複数の仮想ゾーンの使用を通じて管理することができる。同様に、ストレージサービス414及びストレージサービスプロキシ410が例証目的のために利用されるが、顧客構内402の一つ以上の仮想ゾーンは、複数のサービスに対応する複数のサービスプロキシを含むことができる。通常、本明細書に記述及び提案される技術を使用して、対応するプロキシを各々が持つ複数のサービスを使用することができる。
さらに、前述のように、さまざまなサービスプロキシは、IPアドレスなどのパブリックネットワークアドレスを通じてアクセス可能であってもよい。いくつかの実施形態において、サービスプロキシは、対応するバッキングサービスに使用されるURLとは異なる対応するユーアールエル(URL)を有する。例えば、プロキシとサービスとが異なる地理的管轄区域に存在する実施例において、プロキシは、storageservice<dot>country1<dot>serviceprovider<dot>comの形態のURLを有し、一方で、バッキングサービスは、storageservice<dot>country2<dot>serviceprovider<dot>comの形態のURLを有することができる。ここで、<dot>は、ドメイン及びサブドメインの範囲を定めるのに使用される、ブラケット内の文字を表す。他の実施例において、プロキシとストレージサービスとは、同じURLであるが、異なるパブリックIPアドレスを有することができる。分散DNSサーバは、URLを、地理的に最も近いプロキシまたはバッキングサービスに関するIPアドレスに決定するように構成することができる。本開示の範囲内にあるものとみなされる変形例のなおも別の実施例として、バッキングサービスは、適切な場合に、バッキングサービスが暗号化形式におけるデータを受信するように、プロキシを通すようにリクエストを経路変更するように構成できる。他の変形例も、本開示の範囲内にあるとみなされる。
図5は、本開示のさまざまな実施形態を実施するのに使用できる暗号化サービスの例示的な実施例を示す。図5に図示する暗号化サービス500は、例えば、図2、図3及び図4に関連して前述した暗号化サービスとして使用することができる。一実施形態において、暗号化サービス500は、暗号化サービス500によって安全に管理された暗号鍵を使用した暗号化オペレーションを暗号化サービス500が実行できるさまざまなサブシステムを含む。例えば、図5に図示するように、暗号化サービス500は、リクエスト処理サブシステム502を含む。リクエスト処理サブシステム502は、リクエスト処理サブシステム502に提示されるリクエストを受信して処理するように集合的に動作する一つ以上のウェブサーバ及び一つ以上のアプリケーションサーバを含むことができる。
一実施形態において、リクエスト処理サブシステム502は、ウェブサービスインターフェースを暗号化サービス500に提供する一つ以上のウェブサーバを含み、これにより(顧客または他のサービスからの)ウェブサービスコールを、ウェブサービスインターフェースを通じてリクエスト処理サブシステム502に送ることができ、さまざまな暗号化オペレーションを実行することができる。前述のように、暗号化サービス500は、暗号鍵を安全に管理することができる。それ故に、暗号化サービス500のさまざまな構成要素は、そのように安全に管理することができる。一実施形態において、暗号化サービス500は、複数の暗号化モジュール504及び顧客鍵ストレージ506を含む。各暗号化モジュール504は、ドメインキーとも呼ばれる暗号鍵を安全に管理する暗号化サービス500のサブシステムであってもよい。一実施形態において、暗号化モジュール504は、その各々が、暗号化モジュール504のすべてに共通する一つ以上のドメインキーのセットを記憶する。つまり、暗号化モジュール504の各々は、同じドメインキーの一つ以上を記憶することができる。ドメインキーの記憶は、ドメインキーが決して暗号化モジュール504から出ず、通常、暗号化サービス500の任意のサブシステムまたは他のシステムにはアクセスできないように実行することができる。
一実施形態において、例えば、暗号化モジュールは、ハードウェアセキュリティモジュール(HSM)であってもよいセキュリティモジュールである。ハードウェアセキュリティモジュールは、プロセッサなどの計算資源、及び暗号化モジュールが暗号化オペレーションを実行できる実行可能命令を記憶するメモリを備えて構成することができる。暗号化モジュールは、暗号化モジュール504内部への侵入が検出された場合に、暗号化モジュール内に記憶されたドメインキーを消去し、それによって、暗号化モジュール504内への物理的侵入の方式によるドメインキーへのアクセスを防止するような不正開封防止となるように構成することができる。前述のように、一実施形態において、暗号化サービス500は、顧客鍵ストレージ506として図5に図示する顧客鍵のリポジトリを含む。しかしながら、代替の実施形態においては、外部の顧客鍵ストレージ506を使用せずに、一つ以上のセキュリティモジュールが顧客鍵を記憶する。そのような実施形態では、顧客鍵は、メモリからアクセスすることができ、解読するためにドメインキーを使用しなくてもよい。
図示した実施形態に戻ると、各顧客鍵は、暗号化サービス500の対応する顧客に対応し、一人の顧客が複数の対応する顧客鍵を有し得るが、鍵は顧客の間で共有されない。そのようなものとして、暗号化サービス500は、顧客鍵ストレージ506内に、複数の顧客の顧客鍵を記憶することができる。同様に、暗号化サービス500は、暗号化モジュール504を通じて、複数の顧客のためのさまざまな暗号化オペレーションを実行することができる。図5に図示するように、顧客鍵ストレージ506内に記憶されている顧客鍵は、暗号化モジュール504に記憶されているドメインキーに基づいて暗号化される。右側ブラケットに注記するドメインキーを持つ顧客鍵の周囲のブラケットが、ドメインキーに基づく顧客鍵の暗号化を示す表記として提供されることに留意すべきである。このように、顧客鍵ストレージ506内に記憶されている顧客鍵は、顧客鍵にアクセスするためにドメインキーへのアクセスが必要となるような方式で記憶される。故に、顧客鍵ストレージ506内のデータへのアクセスは、それ自体では、顧客鍵に基づいて暗号化されたデータへのアクセスは提供しない。それ故に、複数の顧客の顧客鍵を暗号化モジュール504の外部に記憶し、それ故に、暗号化オペレーションを実行するのに使用され得るすべての鍵を記憶するためのセキュリティモジュール504を必要とせずに、スケーラビリティを提供することができる。
暗号化モジュールは、詳細については後述するように、リクエストに応じて、指定の顧客鍵を使用して暗号化オペレーションを実行し、顧客鍵ストレージ506からの暗号化された指定の顧客鍵にアクセスし、ドメインキーを使用して顧客鍵を解読し、解読された顧客鍵を使用して暗号化オペレーションを実行するように構成できる。顧客鍵ストレージ506は、暗号化サービス500内に存在するものとして図示したが、暗号化サービス500と同じゾーン内に存在してもよいし、異なるゾーン内に存在してもよいデータストレージサービスなどの別のシステム内に位置してもよいことに留意すべきである。
図6は、データを暗号化するのに使用されるデータ鍵を暗号化するように実行できるプロセス600の例示的な実施例である。プロセス600は、図5に関連して前述した暗号化サービス500などの任意の適切なシステムによって実行することができる。一実施形態において、プロセス600は、データ鍵を求めるリクエストを受信すること602を含む。リクエスト602は、より詳細については後述するように、データ鍵を提供するのに使用される顧客鍵を、プロセス600を実行するシステムが選択できるさまざまなパラメータを持つ、ウェブサービスコールなどの適切に構成されたAPIコールの形態であってもよい。例えば、APIコールは、顧客鍵についての識別子を特定する値を有するパラメータを含むことができる。顧客鍵は、暗示的に決定されてもよいことに留意すべきである。例えば、特定の顧客からのリクエストによって、暗号化サービスは、顧客鍵を顧客に関連付け、どの顧客鍵を使用するかを決定することができる。一実施形態において、プロセス600は、リクエストが認証されたか否かを決定すること604を含む。
リクエストが認証されたか否かの決定604は、任意の適切な方法で実行することができる。例えば、いくつかの実施形態において、リクエストは、プロセス600を実行するシステム、またはプロセス600を実行するシステムが通信する別のシステムによって確認可能な方式で電子的に(デジタル的に)署名することができる。図3を参照するように、リクエストは、顧客308と認証サービス316との間で共有される秘密鍵を使用して署名することができる。暗号化サービスは、プロセス600を実行する場合に、リクエスト及びリクエストに関する署名を認証サービス316に提供することができる。認証サービス316は、リクエスト、及び秘密鍵自身のコピーに基づいて参照署名を生成し、リクエストとともに受信されたデジタル署名がそれに一致するか否かを決定することができる。認証サービスによって生成された署名がそれと一致する場合には、認証サービス316は、リクエストが認証されたことの通信を暗号化サービス312に提供し、それによって、暗号化サービス312は、リクエストを実現すべきことを決定することができる。図4に関連しても同様のプロセスを実行することができる。
図面には図示しないが、リクエストを処理すべきか否かについての追加の決定を為すことができることに留意すべきである。例えば、プロセス600は、そのポリシによってリクエストを実現できるか否かを決定することを含むことができる。リクエストは、リクエストを提示したユーザなどの一人以上の本人にまたは別な様に使用される鍵に関するポリシであってもよい。そのような追加のオペレーションも、後述するものを含む他のプロセスの一部として実行することができる。リクエストが認証されたことが決定された606の場合には、プロセス600は、データ鍵を生成すること606を含むことができる。データ鍵は、ストレージサービス内にデータを記憶するためのリクエストのデータなどのデータを暗号化するのに使用される暗号鍵であってもよい。データ鍵は、ランダムに、疑似ランダムに、または別な様に生成することができる。さらに、プロセス600は、データ鍵の生成606を図示するが、データ鍵は、事前に生成され、メモリからアクセスしてもよい。
一実施形態において、プロセス600は、暗号化された顧客鍵にアクセスすること608を含む。図5を参照するように、例えば、暗号化サービス500の暗号化モジュール504は、ドメインキーに基づいて暗号化することができる暗号化された顧客鍵を求めるリクエストを顧客鍵ストレージ506に提示することができる。顧客鍵ストレージ506へのリクエストは、入手される顧客鍵の識別子を含むことができる。暗号化された顧客鍵がアクセスされる608時点で、プロセス600は、ドメインキーを使用して顧客鍵を解読すること610を含むことができる。次に、解読された顧客鍵を使用して、データ鍵を暗号化すること612ができる。次に、リクエストに応答してデータ鍵及び暗号化されたデータ鍵を提供する614、それによって、リクエスタは、詳細については後述するように、データの暗号化のためにデータ鍵を利用することができる。
リクエストが認証されたか否かの決定604に戻ると、リクエストが認証されなかったことが決定された604場合、例えば、リクエストが認証されなかったことを認証サービスが示す場合には、プロセス600は、リクエストを拒否すること616を含むことができる。リクエストの拒否616は、さまざまな実施形態に従うさまざまな方式において実行することができる。リクエストの拒否は、例えば、リクエストを拒否したことの表示及び/または拒否の一つ以上の理由を有するリクエストに応答することによって実行することができる。リクエストの拒否は、リクエストに応答しないなどの単なる不活動も含むことができる。通常、リクエストを拒否できる任意の適切な方式を使用することができる。図6及び本明細書に記述するほぼすべてのプロセスが、特定の順序またはオペレーションを示すが、本開示の範囲は、そこで実行される順序またはオペレーションに必ずしも限定されないことに留意すべきである。例えば、図6では、暗号化された顧客鍵にアクセス608する前にデータ鍵を生成する606を示す。さらに、オペレーションは、異なる順序で実行されてもよいし、並行して実行されてもよい。同様に、顧客鍵を解読するためのドメインキーの使用601は、データ鍵の生成606、さもなければデータ鍵の入手前に実行することができる。他の変形例も、本開示の範囲内にあるとみなされる。
図7は、データを解読するのに使用され、そして後のデータ取得のために暗号化形式において存続するデータ鍵などのデータ鍵を解読するのに使用できるプロセス700の例示的な実施例を示す。データ鍵は、図6に関連して前述したプロセス600の実行などの任意の適切な方法で暗号化することができる。さらに、プロセス700は、図6に関連して前述したプロセス600を実行したのと同じシステムまたは別のシステムなどの任意の適切なシステムによって実行することができる。一実施形態において、プロセス700は、データ鍵を解読するためのリクエストを受信すること702を含む。リクエストは、前述のような適切に構成されたAPIコールであってもよい。リクエストは、例えば、前述のようなサービスプロキシから発生することができる。例えば、電子署名を解析し、その署名が認証されたか否かの表示を提供する認証サービスと通信することによって、リクエストが認証されたか否かを決定することができる704。さらに、図6に関連して前述したように、リクエストを実現するか否かの決定において、ポリシの実施に関連するオペレーションなどの他のオペレーションを実行することができる。
図面に図示した実施形態に戻ると、リクエストが認証されたことが決定された704の場合には、プロセス700は、前述のような暗号化された顧客鍵にアクセスすること706を含むことができる。次に、アクセスした顧客鍵を使用してデータ鍵を解読することができる710。次に、リクエストに応答してデータ鍵を提供することができる712。このように、リクエストを提示したコンピュータシステムは、解読したデータ鍵を使用して、データ鍵に基づいて暗号化されたデータの解読などの一つ以上の暗号化オペレーションを実行することができる。リクエストが認証されたか否かの決定704に戻ると、プロセス700は、リクエストが認証されなかったことが決定された704の場合、さもなければ、リクエストを実現すべきでないことの決定に基づき、リクエストを拒否すること714を含むことができる。
図8は、データストレージサービス内にデータを記憶するのに使用できるプロセス800の例示的な実施例を示す。プロセス800は、前述のサービスプロキシなどの任意の適切なシステムによって実行することができる。一実施形態において、プロセス800は、データを記憶するためのリクエストを受信すること802を含む。リクエストは、リクエストを実現でき、かつリクエストを実現すべきか否かを決定できるパラメータに関する値を含む、ウェブサービスコールなどの適切に構成されたAPIコールの形態であってもよい。リクエストは、前述のような顧客コンピュータシステムなどの任意の適切なコンピュータシステムから発生させることができる。リクエストを受信する802と、リクエストが認証されたか否かの決定を為すことができる804。リクエストが認証されたか否かの決定804は、それぞれ、図6及び図7に関連して記述したプロセス600及び700に関連して前述したような任意の適切な方式において為すことができる。例えば、サービスプロキシは、認証サービスと通信して、リクエストが認証されたか否かの決定を認証サービスから受信することができる。前述のプロセスと同様に、リクエストの実現がポリシに従うか否かの確認などの追加のオペレーションも実行することができる。
リクエストが認証されたこと及び/または概してリクエストを実現すべきことを決定した804の場合には、プロセス800は、ローカル暗号化サービスが提供するデータ鍵をリクエストすること806を含むことができる。ローカル暗号化サービスは、プロセス800を実行するシステムと同じゾーン内に存在する、前述のような暗号化サービスであってもよい。例えば、暗号化サービスは、図3に参照される暗号化サービス312であってもよい。暗号化サービスは、図4に参照される暗号化サービス412であってもよい。本明細書に記述するすべてのプロセスと同様に、変形例が、本開示の範囲内にあるものとしてみなされ、暗号化サービスが、必ずしもローカル暗号化サービスではなく、データが最終的に記憶されるデータストレージサービスが位置するゾーンとは異なるゾーン内に存在する暗号化サービスであってもよいことに留意すべきである。このように、暗号化サービスは、必ずしもローカルではなく、データが記憶されるゾーンとは異なるゾーン内に存在してもよい。さらに、データにアクセスするのに必要な鍵は、暗号化されたデータそれ自体とは異なるゾーン内に記憶される。
図8に図示するように、ローカル暗号化サービスからデータ鍵を求めるリクエストに対する応答が提供され、暗号化されたデータ鍵を暗号化サービスから受信することができる808。データ鍵は、暗号化サービスによって暗示的に決定することができる、またはローカル暗号化サービスへのリクエストにおいて指定することができる顧客鍵によって暗号化することができる。次に、受信したデータ鍵を使用してデータを暗号化することができる810。データが暗号化される810の時点で、プロセス800は、暗号化されたデータ及び暗号化されたデータ鍵を包含するデータオブジェクトを生成すること812を含むことができる。812において生成されたデータオブジェクトを、別のゾーン内のバッキングストレージサービスに伝送することができる814。図3を参照するように、例えば、ストレージサービスプロキシ310は、データオブジェクトを、ストレージサービス314へのウェブサービスコールなどの適切に構成されたAPIコールを通じてストレージサービス314に伝送することができる。図4を参照するように、ストレージサービスプロキシ410は、適切に構成されたAPIコールを通じてストレージサービス414にデータオブジェクを伝送することができる。
プロセス800を実行するシステムにデータ鍵がもはや必要でなくなると、プロセス800は、暗号化されていないデータ鍵を破壊することを含むことができる。暗号化されていないデータ鍵の破壊816は、任意の適切な方法で、かつ通常、データ鍵へのアクセスがプロセス800を実行するシステムによって喪失される方法で実行することができる。一実施例として、暗号化されていない形式のデータ鍵は、ランダムアクセスメモリ(RAM)などの揮発性メモリ、または中央処理装置(CPU)レジスタにおいてのみデータ鍵が記憶されるように、プロセス800を実行するシステムによって管理することができる。このように、揮発性メモリへの電力が遮断されると、記憶されている暗号化されていないデータ鍵へのアクセスが喪失される、または電力が全く遮断されない場合には、プロセス800を実行するシステムが、例えば、将来のリクエストが受信される追加の時間だけプロセス800を実行することによって動作し続けるときに、データ鍵が記憶されているメモリロケーションが最終的には上書きされる。別の実施例として、データ鍵は、0ビットのシーケンス、1ビットのシーケンス、ランダムビットのシーケンス、または極秘情報を含有しないビットのシーケンスであってもよい他のデータを含む揮発性メモリまたは不揮発性メモリにかかわらず、データ鍵が記憶されている任意のメモリロケーションをオーバーライドすることによって破壊することができる。通常、データ鍵へのアクセスを喪失する任意の方法を使用することができる。さらに、前述のように、暗号化されていないデータ鍵の破壊818は、プロセス800の実行と同期的に実行してもよく、かつ必ずしも図8に図示する順序のオペレーションでなくてもよく、または例えば、データ鍵を最終的に破壊するように動作する、もしくはデータ鍵を他のデータに上書きできるプロセスの一部において非同期的に実行してもよい。
リクエストが認証されたか否かの決定804に戻ると、リクエストが認証されなかったこと、さもなければ、リクエストを実現すべきでないことが決定された804の場合には、プロセス800は、前述のようなリクエストを拒否すること818含むことができる。本明細書に論じるすべてのプロセスと同様に、変形例が、本開示の範囲内にあるものとしてみなされる。例えば、図8に図示するように、データ鍵を求めるリクエストが暗号化サービスに提示され、この暗号化サービスは、データ鍵を生成、さもなければ入手し、それに応じて、プレーンテキスト及び暗号文の形態におけるデータ鍵を提供する。代案として、プロセス800を実行するシステムは、データ鍵をそれ自体で生成または入手し、暗号化のためにデータ鍵を暗号化サービスに提供することができる。その結果、プロセス800を実行するシステムがデータ鍵へのアクセスを既に有し得るので、暗号化サービスは、暗号化されたデータ鍵を戻し、そしてデータ鍵は必ずしも戻さなくてもよい。ここでも前述のように、802において受信されたデータを記憶するためのリクエストは、前述のような顧客計算システムから受信したものとして記述される。さまざまな実施形態において、リクエストは、必ずしも顧客コンピュータシステムから発生しなくてもよく、顧客のためのサービスとして最終的に記憶されるデータにかかわらず、別のコンピュータシステムから発生してもよい。
さらに、変形例の別の実施例として、データを記憶するためのリクエストは、外部の別のシステムから受信しなくてもよい。例えば、プロセス800の実行がデータの生成を含み、データの生成において、前述のように、暗号化され、データストレージサービスに伝送されるデータを得るオペレーションを実行できる。さらに、プロセス800は、図8に図示するように、暗号化されたデータ及び暗号化されたデータ鍵を包含するデータオブジェクトの生成812を含む。一実施例として、暗号化されたデータと暗号化されたデータ鍵とは、共に連結して、データオブジェクトを形成することができる。このように、暗号化されたデータ鍵と暗号化されたデータオブジェクトとは、後述するような後のアクセスのために共に存続する。しかしながら、さまざまな実施形態において、暗号化されたデータ鍵と暗号化されたデータとは、必ずしも共に存続しなくてもよいが、種々のストレージサービスにおけるデータストレージサービスの種々の論理データコンテナにおいて、または他の方式において存続することができる。例えば、暗号化されたデータ鍵は、ローカルに記憶することができ、一方で、暗号化されたデータは、前述の技術に従いストレージサービスに伝送される。保持されたメタデータは、暗号化されたデータ鍵と、鍵に基づいて暗号化されたデータとの間の関連付けを存続させることができる。他の変形例も、本開示の範囲内にあるとみなされる。
図9は、データストレージサービスからデータを取得するのに実行できるプロセス900の例示的な実施例を図示する。このデータは、図8に関連して前述したプロセス800に従いデータストレージサービスによって記憶することができる。プロセス900は、図8に関連して前述したプロセス800を実行したシステム、またはデータストレージサービスが位置するゾーンとは異なるゾーン内の別のシステムなどの任意の適切なシステムによって実行することができる。図9に図示するように、プロセス900は、前述のような適切に構成されたAPIコールの形態であってもよい、データを取得するためのリクエストを受信すること902を含む。前述のように、リクエストが認証されたか否かの決定を為すことができる904、リクエストが認証されたことを決定した904の場合には、プロセス900は、バックエンドストレージサービスから暗号化されたデータ及び暗号化されたデータ鍵を入手すること906を含むことができる。例えば、図3を参照するように、ストレージサービスプロキシ310は、暗号化されたデータ内に暗号化されたデータ鍵を含むデータオブジェクトを取得するためのリクエストをストレージサービス314に提示することができる。ストレージサービス314は、そのリクエストに応答して、暗号化されたデータ及び暗号化されたデータ鍵を包含するデータオブジェクトを提供することができる。図4を参照するように、例えば、ストレージサービスプロキシ410は、暗号化されたデータ及び暗号化されたデータ鍵を包含するデータオブジェクトを求めるリクエストをストレージサービス414に提示し、ストレージサービス414は、そのリクエストに応答して、暗号化されたデータ及び暗号化されたデータ鍵を包含するデータオブジェクトを提供することができる。しかしながら、前述のように、暗号化されたデータ及び暗号化されたデータ鍵は、必ずしも共に存続しなくてもよく、プロセス900の実行は、さまざまな方式においてかつさまざまな実施形態に従い、暗号化されたデータを入手することを含み、そして暗号化されたデータ鍵を含むことができる。これは例えば、暗号化されたデータを記憶するシステムから暗号化されたデータを取得し、暗号化されたデータ鍵を記憶する別のシステムから暗号化されたデータ鍵を取得することを含む。
暗号化されたデータ及び暗号化されたデータ鍵が入手される906の時点で、プロセス900は、前述のようなローカル暗号化サービス、またはデータストレージサービスが位置するゾーンとは異なるゾーン内に存在する暗号化サービスなどの任意の適切な暗号化サービスであってもよい暗号化サービスが提供するデータ鍵の解読をリクエストすること908を含むことができる。暗号化サービスが提供するデータ鍵の解読を求めるリクエスト908に応答し、解読したデータ鍵を、リクエストが提示された暗号化サービスから受信することができる910。次に、解読したデータ鍵を使用して暗号化されたデータを解読し、次に、データを取得するためのリクエストに応答して解読したデータを提供することができる914。リクエストが認証されたか否かの決定904に戻ると、リクエストが認証されなかったこと、さもなければ、リクエストを実現すべきでないことが決定された904場合、プロセス900は、リクエストを拒否すること916を含むことができる。さらに、図面には図示しないが、プロセス900は、前述のような暗号化されていないデータ鍵を破壊することを含むことができる。例えば、データを暗号化形式においてストレージサービスに記憶したままにし、それ故に、データ鍵への権限のないアクセスが問題となり得る場合には、暗号化されていないデータ鍵は、破壊することができる。
前述のように、本明細書に記述するさまざまな技術を利用できるサービスのタイプは、さまざまな実施形態に従い異なってもよい。例えば、いくつかの実施例において、データベースサービスのサービスプロキシは、サービスプロキシが別のゾーン内のデータベースサービスのAPIプロキシとしてサービスする場合には、一つのゾーン内に位置することができる。図3を参照するように、例えば、ストレージサービスプロキシ310は、ストレージサービス314であってもよいデータベースサービスのサービスプロキシであってもよい。同様に、図4を参照するように、ストレージサービス414は、ストレージサービスプロキシ410がAPIプロキシとして作用するデータベースサービスであってもよい。前述のように、サービスプロキシからバッキングサービスに送信されるすべてではないが一部のデータは、暗号化することができる。それ故に、図10は、データベースサービスによって記憶できるデータの例示的な実施例を示す。特に、図10は、例えば、前述のようなサービスプロキシであってもよい仮想データベースサービスに記憶された、リレーショナルテーブル1002内において組織化されたデータの例示的な図を示す。図10に図示するように、データベーステーブル1002は、例えば、販売取引についてのデータであってもよいさまざまなデータからなる。ただし、本開示の範囲は、本明細書に言及する特定のタイプのデータに限定されない。この特定の実施例において、テーブル1002の各列は、異なるタイプの情報に対応する。例えば、示す第一の列は、ファーストネームに対応し、第二の列は、ラストネームに対応し、図示した第三の列は、取引金額に対応し、最後の列は、対応する取引が発生した日付に対応し得る。テーブル1002内の行は、例えば、取引をした人物、取引及び取引が発生した日付を特定することができる。省略符号に示すように、その上、購買したアイテムの識別子、購買したアイテム、支払方法(クレジットカードなど)、及び他のタイプのデータなどの他の情報も含むことができる。テーブル1002内のデータの一部は、極秘として考慮することができる。例えば、顧客の氏名であり得るファースト及びラストネームは、極秘データとして考慮し、さまざまなプライバシー法、規則、規制または一般的な優先事項に従わせることができる。取引金額及びそれが発生した日付などのデータの一部は、極秘として考慮しなくてもよい。
それ故に、前述のさまざまな技術の実行は、テーブル1002内のデータをバッキングデータベースサービスに送信する前に、そのデータのすべてではないが一部を暗号化することを含むことができる。図10は、バッキングデータベースサービスにおいて同じデータがどのように組織化され得るかを図示するテーブル1004の例示的な実施例を示す。特に、仮想データベースサービスとバッキングデータベースサービスとの間を移行する矢印に示すように、テーブル1002内のデータは変換され、ファースト及びラストネームに対応する第一の二つの列がそれぞれ、場合によっては他の列が暗号化されたテーブル1004が得られる。しかしながら、金額に対応するテーブル内の値は、暗号化されていないままである。このように、詳細については後述するように、バッキングデータベースサービスは、例えば、暗号化されていないデータを使用してクエリを処理することによって、暗号化されていないデータに関する少なくともいくつかの機能性を提供することができる。リレーショナルデータベーステーブルのうちの暗号化された列は連続しているが、暗号化される列は、必ずしも連続していなくてもよい。さらに、図10は、リレーショナルデータベーステーブルの例示的な実施例を示すが、本開示の範囲は、リレーショナルデータベース、及びデータセットの関連組織に限定されず、他のタイプのデータベース及び概して、構造化された方法においてデータを記憶する任意のタイプのデータストレージサービスにも及ぶ。通常、クエリを処理できる任意のタイプのデータベースを、さまざまな実施形態に従い使用することができる。
計算資源プロバイダのデータベースが、例えば、前述の技術に従い、暗号化されたデータのすべてではないが一部を記憶する場合には、データベースクエリの処理が種々のゾーンにわたって発生する場合がある。つまり、一部の処理が一つのゾーン内で発生し、他の処理が他のゾーン内で発生する場合がある。それ故に、図11は、データベースクエリを処理するのに使用できるプロセス1100の例示的な実施例を示す。プロセス1100は、前述のサービスプロキシなどの任意の適切なシステムによって実行することができる。例えば、サービスプロキシは、プロセス1100を実行して、別のゾーン内のバッキングサービスに記憶されている実際のデータにかかわらず、受信するクエリを処理することができる。一実施形態において、プロセス1100は、データベースに関するクエリを受信すること1102を含む。クエリは、適切に構成されたAPIコールにおいてエンコードされ、プロセス1100を実行するシステムにおいて受信することができる。次に、クエリを構文解析、さもなければ別の様に解析して極秘クエリ及び非極秘クエリを生成することができる1104。この極秘クエリ及び非極秘クエリの構成においては、非極秘クエリの結果としていくらかの中間データの修正を伴う、非極秘クエリその後の極秘クエリの順次実行が、より詳細については後述するように、クエリを実行するのと同じ結果をもたらす。
クエリの構文解析は、任意の適切な方法で実行することができる。例えば、いくつかの実施形態において、データベーステーブルの列は、極秘データを含有する列であるか否かを示すようにタグが付けられる。図10を参照するように、例えば、図示する第一の二つの列に、極秘としてのタグを付け、他の列には、非極秘としてのタグを付けることができる。この極秘または非極秘としてのタグ付けは、タグの欠如によって暗示的にすることもできる。タグによって、ストレージプロキシは、データをバッキングサービスに伝送する前に、どのデータを暗号化するかを決定することができる。サービスプロキシは、例えば、そのAPIインターフェースを通じてデータを受信し、データが影響を及ぼすデータベース内の列を特定し、極秘としてのタグが付けられた列が存在する場合には、その列を決定し、特定した列内のデータをバッキングサービスに伝送する前に、そのデータを暗号化するように構成できる。クエリの構文解析は、極秘としてのタグが付けられた列の検索、または通常、極秘としてのタグが付けられたデータの検索を要求するクエリの一部を特定することによって実行することができる。同様に、クエリの構文解析は、非極秘としてのタグが付けられたデータの検索を要求するクエリを特定することによって実行することができる。図10の例示的な実施例に戻ると、例えば、クエリは、ラストネームに関する一つ以上の条件、並びに取引金額に関する一つ以上の条件を満たす、リレーショナルデータベース内のデータを特定するように構成することができる。前述のように、ラストネームの列には、極秘としてのタグを付け、一方で、取引金額の列に、非極秘としてのタグを付けることができる。このように、そのようなクエリの構文解析は、取引金額に関する一つ以上の条件を満たすデータを特定するためのサブクエリをクエリから抽出することによって実行することができる。特定されたデータの一部は、ラストネームに関する一つ以上の条件を満たさなくてもよい。このように、ラストネームに関する一つ以上の条件を満たすデータを特定するように構成されたサブクエリを、極秘クエリとして特定することができる。
図11に戻ると、非極秘クエリは、例えば、バッキングデータベースサービスへの適切に構成されたAPIコールの形態において、バッキングデータベースサービスに転送することができる1106。バッキングデータベースサービスは、非極秘クエリを受信し、1102においてクエリを受信した顧客に代わって、バッキングデータベースサービスが保持するデータベースにおける非極秘クエリを処理することができる。次に、バッキングデータベースサービスは、予備応答を生成し、1104において生成された極秘クエリに一致しないデータを含み得る場合に、前述のように、過剰包摂であり得る生成した予備応答を提供することができる。それ故に、プロセス1100は、バッキングデータベースサービスから予備応答を受信すること1108を含む。予備応答は、例えば、バッキングデータベースサービスへのAPIコールに対する応答として受信することができる。
予備応答をバッキングデータベースサービスから受信する1108時点で、プロセス1100は、暗号化されたデータ鍵を入手すること1110を含むことができる。暗号化されたデータ鍵の入手1110は、任意の適切な方法で実行することができる。例えば、暗号化されたデータ鍵は、予備応答に含まれてもよい。また、別の実施例として、暗号化されたデータ鍵は、プロセス1100を実行するシステムが位置するゾーンと同じゾーン内に存在してもよいし、異なるゾーン内に存在してもよい別のストレージサービスにおいてローカルに記憶されてもよい。暗号化されたデータ鍵が入手される1110の時点で、プロセス1100は、前述のような暗号化サービスが提供するデータ鍵の解読をリクエストすること1112を含むことができる。それ故に、解読したデータ鍵は、暗号化サービスから1114を受信することができ、データ鍵は、バッキングデータベースサービスから受信した予備的結果の暗号化された部分1116を解読するために1116を使用することができる。
暗号化、それ故に解読を、さまざまな実施形態に従うさまざまな方式において実行できることに留意すべきである。例えば、暗号化された、データベーステーブル内の各入力は、別々に暗号化することができる。このように、予備的結果において戻されたデータは、予備的結果が暗号化されたすべてのデータを含むか否かにかかわらず、解読することができる。さらに、前述のように、単一のデータ鍵を使用して、予備的結果における暗号化されたすべてのデータを解読することができる。それ故に、使用される暗号文に応じて、暗号化された、データベース内の各入力を、異なる初期化ベクトル(ノンス)を使用して暗号化することができる。異なるデータ鍵を用いた各入力の暗号化、異なるデータ鍵を用いた各列の暗号化、及び概して、さまざまな方式における暗号化の実行などの多数の変形例が、本開示の範囲内にあるものとしてみなされる。
図11に戻ると、データ鍵を使用して予備的結果の暗号化された部分を解読する1116の時点で、プロセス1100は、解読した予備的結果についての極秘クエリを実行してクエリ結果を入手することができる1118。次に、クエリ結果を、1102において受信したクエリに応答して提供することができる1120。このように、さまざまな技術的利点が達成される。例えば、前述のように、仮想データベースサービスとも呼ばれ得るサービスプロキシは、限られたインフラストラクチャを含むことができる。他方において、データベースサービスは、大量のデータを処理するために、遥かに大きなインフラストラクチャを含むことができる。仮想データベースサービスは、例えば、バッキングデータベースサービスが処理するデータ量を処理できるだけの仮想データサービスを可能にするインフラストラクチャに不足している場合がある。このように、バッキングデータベースサービスの膨大なインフラストラクチャを使用して、前述したさまざまな理由のためにデータの一部が暗号化された場合に、ゾーン内の非極秘クエリの初期の処理を実行することができる。仮想データベースサービスの大いに限られたインフラストラクチャを使用して、クエリの処理を完了することができる。このように、極秘とみなされたデータの存在にかかわらず、データベースサービスのインフラストラクチャを利用することができる。
さらに、図11は、クエリがサービスプロキシにおいて受信され、一つがバッキングサービスにおいて実行され、もう一つがサービスプロキシにおいて実行される二つのクエリをサービスプロキシが生成する場合のプロセスを示すが、プロセス1100は、異なる方式において動作するように適応することもできる。例えば、いくつかの実施形態において、完全なクエリを、それ自体が二つのクエリを生成できるバッキングサービスに転送し、その少なくとも一つを予備的結果とともにサービスプロキシに送ることもできる。別の実施例として、バッキングサービスは、極秘としてのタグが付けられたデータのサブセットに伴う任意の条件を無視(または、満たすことが要求される条件などの特定の条件を無視)しつつ、完全なクエリを処理することができる。プロキシは、予備的結果についての全クエリも処理することもできる。他のタイプのデータベースに対する適応を含む他の変形例も使用することができる。
前述のように、本開示のさまざまな実施形態は、多数のゾーン、多数のサービスプロキシ及び多数のバッキングゾーンを利用することができる。場合によっては、サービスプロキシは、種々のバッキングゾーンにデータを選択的に提供することができる。例えば、ストレージサービスは、種々のゾーンにおける異なる利点を有することができる。例えば、一つのゾーン内のデータストレージサービスは、別のゾーン内の同一または同様のデータストレージサービスよりも安価である場合がある。別の実施例として、一つのゾーン内のデータストレージサービスは、別のゾーン内の同一または同様のデータストレージサービスよりも待ち時間の点で優れている場合がある。別のゾーンに勝るあるゾーンの利点にかかわらず、前述のように、さまざまな懸案事項が、あるゾーンまたは別のゾーンに記憶されているデータの要件または優先事項について生じることがある。例えば、異なる管轄区域は、さまざまなタイプのデータについて異なる規制を有する場合がある。故に、いくつかの利点を達成し、及び/または通常、さまざまな規制に従うために、一部のデータをあるゾーンに記憶し、他のデータを、さまざまな要件及び/または優先事項に従うために別のゾーンに記憶することができる。
それ故に、ストレージサービスプロキシ(または、別のサービス用のプロキシ)は、さまざまな要因に少なくともある程度基づいて、データを記憶する場所を能動的に決定することができる。例えば、一部の顧客は、アカウント構成を通じて、またはAPIコールにおけるパラメータとして、それらのデータを特定のゾーン内に記憶するようリクエストすることができる。別の実施例として、同じ顧客用の一部のタイプのデータを、あるゾーン内に記憶し、一方で、他のタイプのデータを、いろいろな規制要件の理由から、別のゾーン内に記憶することができる。なおも別の実施例として、顧客は、サービスプロキシが一つ以上のDLPポリシを利用し、一部のデータがあるゾーンに送信され、かつ他のデータが別のゾーンに送信されるように、計算資源サービスプロバイダの計算資源を構成することができる。それ故に、図12は、複数のゾーンからの選択を利用するさまざまな実施形態を実践することができる環境1200の例示的な実施例を示す。
図12に図示するように、環境1200は、顧客構内1202、仮想ゾーン1204及び一つ以上のバッキングゾーン1206を含む。この特定の実施例において、図12は、nが正の整数であるn個のバッキングゾーンを図示する。顧客構内1202に関する仮想ゾーン1204は、図3と同様に図示するが、図4に示すような変形例も本開示の範囲内にあるものとみなされることに留意すべきである。図12に図示するように、顧客1208は、リクエストを提示し、ストレージサービスプロキシ1210または他のサービスプロキシ及び暗号化サービス1212からの応答を受信する。バッキングゾーン1206の各々は、前述のようなバッキングサービス及び認証サービスを含むことができるが、簡略化の目的のために、図12にはそのようなサービスは図示しない。一実施形態において、顧客1208は、ストレージサービスプロキシ1210にリクエストを提示し、次に、このストレージサービスプロキシ1210は、対応するリクエストを選択し、必要に応じて、それをバッキングゾーン1206の一つに提示することができる。DLPポリシ、顧客の優先事項、アカウント構成、APIコールパラメータなどに従い妥当性を決定することができる。
図13は、さまざまな実施形態に従う、図12に図示するなどのさまざまなバッキングサービスを利用するのに使用できるプロセス1300の例示的な実施例を示す。図13に図示するように、プロセス1300は、顧客データを入手すること1302を含む。顧客データは、例えば、顧客が、計算資源サービスプロバイダを利用して、さまざまな一般人または通常、その顧客の他の顧客にサービスを提供する場合に、例えば、顧客のコンピュータシステムそれ自体または顧客に代わる他のコンピュータシステムから入手することができる。顧客データが入手される1302のときに、プロセス1300は、顧客データ用のバッキングゾーンを決定すること1304を含むことができる。バッキングゾーンの決定1304は、相違する実施形態に従うさまざまな方式において実行することができる。例えば、前述のように、顧客のアカウント構成は、どのバッキングゾーンが使用できるかを示すことができる。別の実施例として、データそれ自体の性質を使用して、どのバッキングゾーンを使用するかを決定することができる。例えば、データがスキーマに従い組織化された場合には、スキーマに従うデータの位置を使用して、どのバッキングゾーンを使用するかを決定することができる。なおも別の実施例として、顧客データのソース(ネットワークアドレス、ユーザID、行政上の管轄区域など)を使用してバッキングゾーンを決定することができる。通常、バッキングゾーンを決定できる任意の方式を使用することができる。
顧客データ用のバッキングゾーンを決定する1304と、プロセス1300は、前述のようなローカル暗号化サービス、または通常、前述のような別の適切な暗号化サービスが提供するデータ鍵をリクエストすること1306を含むことができる。それ故に、データ鍵及び暗号化されたデータ鍵を、データ鍵を求めるリクエストが提示された暗号化サービスから受信することができる1308。次に、データ鍵を使用して顧客データを暗号化する1310、暗号化された顧客データ及び暗号化されたデータ鍵を含むデータオブジェクトを生成することができる1312。次に、データオブジェクトを、決定したバッキングゾーン内のバッキングストレージサービスに伝送することができる1314。次に、暗号化されていないデータ鍵を、前述のように破壊することができる1316。
データをバッキングサービスに伝送するためのさまざまな前述のプロセスの変形例を含むプロセス1300の変形例も、本開示の範囲内にあるものとしてみなされることに留意すべきである。図14は、一実施形態に従う、データを選択的に暗号化し、データをバッキングサービスに提供するためのプロセス1400の例示的な実施例を示す。特に、プロセス1400は、参照により本明細書に組み入れられる米国特許第8,416,709号に記述されているようなさまざまなデータ損失防止技術を利用する。図14のプロセス1400は、前述のサービスプロキシなどの任意の適切なシステムによって実行することができる。トラフィックは、例えば、IPもしくは伝送制御プロトコル(TCP)パケットなどの一つ以上のデータパケット、3部構成のTCPハンドシェイクもしくはSSLハンドシェイクの一部などのハンドシェイクリクエスト、または他の適切なデータパケットを含むことができる。ネットワークトラフィックは、前述のような顧客または前述のような顧客に関連する別の事業体から受信することができる。いくつかの実施形態において、トラフィックは、プロセス1400を実行するシステムのアプリケーションプログラミングインターフェース(例えば、ウェブサービスインターフェース)を通じて受信される。ネットワークトラフィックは、一つ以上のDLPポリシ基準に関して解析することができる1404。DLPポリシ基準は、前述の米国特許第8,416,709号に論じられているものを含むことができる。例えば、IPまたはTCPパケット内のデータは、クレジットカード番号、社会保障番号、及び/または極秘とみなされ得る、さもなければ修正が所望され得る任意の他のタイプのデータなどの特定のデータタイプのデータを検査することができる。
DLPの基準が満たされているか否かの決定を為すことができる1406。DLP基準が満たされていることを決定した1406の場合には、プロセス1400は、受信したネットワークトラフィックを暗号化する1408、ネットワークトラフィックをバッキングサービスに伝送すること1410を含むことができる。しかしながら、DLP基準が満たされていないことを決定した1406の場合には、次に、ネットワークトラフィックを、1410を暗号化せずにバッキングサービスに伝送してもよい。
前述したように、DLP基準が満たされた場合にデータのすべてではないが一部を解読することを含むさまざまな変形例が、本開示の範囲内にあるものとしてみなされる。さらに、データの暗号化に追加してまたはその代わりに追加のアクションを取り込むことができる。実例のアクションは、これらに限定されないが、受信したネットワークトラフィックのスナップショット、すなわち、コピー、バッキングサービスなどのデータストレージサービスまたはパケットトレーシングを実行する別のデータストレージサービス内でのスナップショットの存続、受信したネットワークトラフィックの隔離の実行、ネットワークトラフィックの改善されたロギングの起動、及び/またはアクションの拒否を含む。通常、DLPの懸案事項に対処するように構成された任意のタイプのアクションを使用することができる。さらに、DLPまたは他のポリシ基準が満たされたときにとられるアクションは、顧客が構成することができる。通常、データは、参照により本明細書に組み入れられる、2012年6月7日に出願された「FLEXIBLY CONFIGURABLE DATA MODIFICATION SERVICES」と題された米国特許出願第13/491,403号に記述されているような技術を利用する顧客仕様書に従い操作することができる。
特に、顧客は、例えば、パケットマングリング技術を使用する、規則を実施するために利用される分散型計算システムのさまざまな構成要素に応じて、顧客デバイスまたは他のデバイスからのさまざまなタイプのデータ、インバウンド及び/またはアウトバウンドを修正できる特定の規則を指定することができる。例えば、顧客は、サービスプロキシを通じた特定の外部デバイスタイプへのデータ、またはロケールが、それらを利用するのに必要な変更及びデータパターン(または、他のマーカ)の分散型計算システムによる決定に応じて、(例えば、法規制の順守及び/またはパフォーマンスの最適化のために)顧客提供の仕様書に適合することを指定することができる。その後、与えられた実施例では、実施は、顧客とバッキングサービスなどの分散型計算システムの構成要素に問い合わせる外部デバイスとの間のネットワークトラフィックのいくつかまたはすべての出力先変更を含むことができる。決定した方法における処理において、出力先変更されたデータを、元々の宛先に中継することができる。考慮されるように、同様のプロセスを、インバウンドネットワークトラフィックに利用することができる。
別の実施例において、データ変更サービスは、サービスをリクエストする顧客によって制御されるインスタンスと、異なる顧客によって制御される別のインスタンスである、分散型計算システムの二つの仮想化されたインスタンスの間の、サービスプロキシを通じたデータ輸送を修正するのに有効となり得る。サービスプロキシにおいて実施される分散型計算システムの別個の仮想化されたインスタンスを、顧客がリクエストした規則を実施するために呼び出すことができ、またはいくつかの実施形態において、修正を所望されるデータからの(または、そのデータへの)同じインスタンスが、例えば、隔離位置における実際の修正または「サンドボックス」を実行することができる。サービスをリクエストする顧客によって制御される任意のデバイスもしくは構成要素に、またはそこから(その性質にかかわらず)顧客によって制御されないデバイスに輸送されるデータは物理的、仮想、集合、別な方式であるにかかわらず、サービスによってパケットマングリングに従うことができることが考えられる。サービスは、いくつかの実施形態において、顧客または外部デバイスタイプ、地理的な位置などを含む多くの基準に基づいて細かい粒度で制御可能なものであってもよい。
そのようなデータ変更サービスの実施例の実施は、所与のデータ取引タイプに伴う、いくつかまたはすべての構成要素に適合する一つ以上のポリシの生成を含むことができる。ポリシは、いくつかの実施形態において、顧客が規定した規則の受信時に分散型計算システムによって生成され、データタイプ、接続されたデバイスタイプ、顧客特性、ネットワークトポロジ、または有効なポリシの生成に関する任意の他の特性を考慮に入れることができる。そのようなポリシは、関連するデバイスに分配されると、すべての制御されたデバイス(または、その所望のサブセット)が、関連する顧客が規定した規則を統合された予測可能な方法において実施するように作用することを保証することができる。いろいろなレベルの抽出及び/またはアクセスにおいて非常に多い数のデバイスを顧客が制御する実施形態では、そのようなポリシは、例えば、極めて重要なまたは厳しい規則が、すべての影響を受けたデバイスにわたって効力を及ぼすことも保証することができる。
さらに、プロセス1400に関連する追加のオペレーションを実行することができる。例えば、ネットワークトラフィックの解析1404は、一つ以上の他のオペレーションの実行に情報を与えることができる。いくつかの実施形態において、例えば、暗号鍵は、解析に少なくともある程度基づいて決定することができる。一部のタイプのデータは、例えば、(例えば、一つ以上の規制及び/または優先事項に従い)他のタイプのデータよりも強固な暗号化を要求することができる。解析によってデータのタイプがわかった場合には、そのデータを、解析によって決定することができる別のタイプのデータよりも小さい鍵を使用して暗号化することができる。第一のタイプのデータは、例えば、128ビットの鍵を使用する暗号化を要求し、一方で、別のタイプのデータは、256ビットの鍵を使用する暗号化を要求することができる。鍵は、それ故に、解析に基づいて決定(例えば、データストレージから生成または入手)することができる。
本開示の実施形態は、以下の条項に照らして記述することができる。
〔1〕
複数のデータストレージデバイス、及び第一のウェブサービスインターフェースに伝送されるウェブサービスリクエストを受信するように構成された第一のウェブサービスインターフェースを備えており、複数のデータストレージデバイスを使用して、第一のウェブサービスインターフェースに伝送されるウェブサービスリクエストを処理するように構成された第一のデータストレージサービスと、
第二のウェブサービスインターフェースを備えている第二のデータストレージサービスと、を備えており、第二のデータストレージサービスが、第一のデータストレージサービスのプロキシとして、少なくとも、
第二のウェブサービスインターフェースにおいて、データを記憶するための、リクエスタからのリクエストを受信し、
第一のデータストレージサービスにはアクセスできない暗号鍵を使用してデータを暗号化し、
暗号化されたデータを、永続記憶のために、リクエスタに代わって第一のデータストレージサービスに伝送し、
第一のデータストレージサービスによる暗号鍵へのアクセスを防止しつつ、暗号鍵へのアクセスを維持するよう動作するように構成された、システム。
〔2〕
第一のデータストレージサービスが、一つ以上の施設のうちの第一のセットにおける計算資源を含んで実施され、
第二のデータストレージサービスが、一つ以上の施設のうちの第一のセットとは互いに素の一つ以上の施設のうちの第二のセットにおける計算資源を含んで実施される、条項1に記載のシステム。
〔3〕
第一のウェブサービスインターフェース及び第二のウェブサービスインターフェースの両方が、各々、パブリック通信ネットワークにおける公的にアドレス可能なインターフェースである、条項1または2に記載のシステム。
〔4〕
第二のデータストレージサービスが、データを暗号化すべきことをリクエスタが指定することを必要とせずに、データを暗号化するように構成された、先行する条項のいずれか1項に記載のシステム。
〔5〕
第二のデータストレージサービスが、さらに、第二のウェブサービスインターフェースにおいて、データを取得するためのリクエストを受信し、
第一のデータストレージサービスから暗号化されたデータを入手し、
鍵を使用して暗号化されたデータを解読し、
解読したデータを提供するように構成された、先行する条項のいずれか1項に記載のシステム。
〔6〕
第一のデータストレージサービス及び第二のデータストレージサービスが、異なる法律上の管轄区域内において実施される、先行する条項のいずれか1項に記載のシステム。
〔7〕
第一のデータストレージサービスが、規制の第一のセットに従い動作するように構成されており、第二のデータストレージサービスが、規制の第一のセットとは異なる規制の第二のセットに従い動作するように構成された、先行する条項のいずれか1項に記載のシステム。
〔8〕
一つ以上のプロセッサと、
コンピュータ実行可能命令を含むメモリと、を備えており、コンピュータ実行可能命令が、一つ以上のプロセッサによって実行されたときに、システムに、
ネットワークを通じてリクエストを提示可能なアプリケーションプログラミングインターフェースを動作させ、
アプリケーションプログラミングインターフェースに提示される少なくとも複数のリクエストのうちの各々の第一のリクエストについて、第一のリクエストを処理し、少なくとも、
鍵を使用して、第一のリクエストの処理に伴う、データについての一つ以上の暗号化オペレーションを実行させ、
鍵へのアクセスを喪失し、第一のリクエストを単独で処理できるように構成されているサービスに、暗号化形式におけるデータについての一つ以上のオペレーションを実行させる第二のリクエストを、ネットワークを通じて伝送させる、システム。
〔9〕
システムが、サービスプロバイダによって提供されたサービスタイプの第一のインスタンスの一部として動作し、
サービスが、サービスプロバイダによって提供されたサービスタイプの第二のインスタンスの一部として動作する、条項8に記載のシステム。
〔10〕
アプリケーションプログラミングインターフェースがウェブサービスインターフェースである、条項8または9に記載のシステム。
〔11〕
複数のリクエストのうちの少なくともいくつかが異なる事業体によって伝送され、各々の異なる事業体がサービスのアカウントに対応する、条項8〜10のいずれか1項に記載のシステム。
〔12〕
実行可能命令が、さらに、システムに、リクエストを処理するときに一つ以上の暗号化オペレーションを実行するか否かを選択的に決定させ、
複数のリクエストが、システムによって処理されたリクエストのセットのうちのサブセットであり、サブセットが、システムが一つ以上の暗号化オペレーションを実行することを選択的に決定したリクエストからなる、条項8〜11のいずれか1項に記載のシステム。
〔13〕
実行可能命令が、さらに、システムに、複数のサービスから、第一のリクエストを処理するのに使用できるサービスを選択させる、条項8〜12のいずれか1項に記載のシステム。
〔14〕
サービスへの第二のリクエストが、サービスに、暗号化されていないデータについての一つ以上のオペレーションを実行させ、システムに、一つ以上のオペレーションの実行結果、及び暗号化形式におけるデータを提供させ、
鍵を使用して、暗号化形式におけるデータの解読を含む一つ以上の暗号化オペレーションを実行させ、
実行可能命令が、さらに、システムに、暗号化されていないデータ及び解読したデータを含むデータの集合についての一つ以上のオペレーションを実行させる、条項8〜13のいずれか1項に記載のシステム。
〔15〕
サービスが、システムを動作する第二の組織的な事業体とは異なる第一の組織的な事業体によって動作する、条項8〜14のいずれか1項に記載のシステム。
〔16〕
実行可能命令を含んで構成された一つ以上のコンピュータシステムの制御下で、
一つ以上のコンピュータシステムのネットワークアドレスにおけるリクエスタから、一つ以上のオペレーションを実行するための、アプリケーションプログラミングインターフェースリクエストを受信することと、少なくとも、
ネットワークを通じて、一つ以上のオペレーションを単独で実行できるように構成されたサービスにリクエストを伝送することと、ここで、リクエストが、サービスに、暗号化されたデータについての一つ以上のサービスオペレーションを実行させるように構成され、サービスにはアクセスできない鍵に基づいて暗号化されたデータが暗号化され、
鍵を使用して、暗号化されたデータに関連する一つ以上の暗号化オペレーションを実行することと、によって、アプリケーションプログラミングインターフェースリクエストを処理することと、を含む、コンピュータ実施方法。
〔17〕
一つ以上の暗号化オペレーションが、暗号化されたデータを入手するためのデータの暗号化を含み、
一つ以上のサービスオペレーションが、暗号化されたデータの永続記憶を含む、条項16に記載のコンピュータ実施方法。
〔18〕
ネットワークアドレスがパブリックインターネットプロトコルアドレスである、条項16または17に記載のコンピュータ実施方法。
〔19〕
複数のサービスから、一つ以上のオペレーションを各々が単独で実行できるサービスを選択することをさらに含む、条項16〜18のいずれか1項に記載のコンピュータ実施方法。
〔20〕
一つ以上の暗号化オペレーションの実行が、一つ以上のコンピュータシステム及びサービスの両方にはアクセスできない暗号化情報を使用して一つ以上の他の暗号化オペレーションを暗号化サービスに実行させるためのリクエストを、ネットワークを通じて暗号化サービスに伝送することを含む、条項16〜19のいずれか1項に記載のコンピュータ実施方法。
〔21〕
ネットワークアドレスが、ドメインネームサービスからネットワークアドレスを入手するために使用可能なストリングに関連付けられ、このストリングが、任意のドメインネームサービスによるサービスのためのネットワークアドレスに関連付けられていない、条項16〜20のいずれか1項に記載のコンピュータ実施方法。
〔22〕
コンピュータシステムの一つ以上のプロセッサによって実行されたときに、コンピュータシステムに、
ネットワークアドレスにおいてアクセス可能なアプリケーションプログラミングインターフェースを提供させ、
アプリケーションプログラミングインターフェースにおいて、データのセットについての一つ以上のオペレーションを実行するための、アプリケーションプログラミングインターフェースリクエストを受信させ、少なくとも部分的に、
このデータのセットのうちの少なくともサブセットを、リモートサービスにはアクセスできないように保持された鍵に基づいて暗号化し、
このデータのセットのうちのサブセットにおいて、暗号化形式のみのデータのセットのうちのサブセットへのアクセスを有するリモートサービスを利用して、このデータのセットうちの少なくともサブセットについての一つ以上のオペレーションを実行することによって、受信したリクエストを実現させる、そこに集合的に記憶されたコンピュータ実行可能命令を有する一つ以上のコンピュータ可読記憶媒体。
〔23〕
ネットワークアドレスがパブリックインターネットプロトコルアドレスであり、
リモートサービスの利用が、リモートサービスのパブリックインターネットプロトコルアドレスにアドレスされたリモートサービスにリクエストを伝送することを含む、条項22に記載の一つ以上のコンピュータ可読記憶媒体。
〔24〕
アプリケーションプログラミングインターフェースリクエストが、リクエストされたオペレーションを実行するための、リクエスタからのリクエストであり、
リモートサービスが、リクエスタに関するリクエストされたオペレーションを単独で実行できる、条項22または23に記載の一つ以上のコンピュータ可読記憶媒体。
〔25〕
コンピュータ実行可能命令が、さらに、コンピュータシステムに、暗号化形式におけるデータのサブセットへのリモートサービスによるアクセスを制限するか否かを決定するために、アプリケーションプログラミングインターフェースリクエストを解析させ、
リモートサービスが、暗号化形式におけるデータのサブセットへのリモートサービスによるアクセスを制限するかどうかの決定の結果として、暗号化形式におけるデータのサブセットのみへのアクセスを有する、条項22〜24のいずれか1項に記載のコンピュータ可読記憶媒体。
〔26〕
サブセットへのリモートサービスによるアクセスを制限するかどうかの決定の結果として、命令が、さらに、コンピュータシステムに、解析に少なくともある程度基づいて、暗号化鍵を決定させ、
リモートサービスによるアクセスの制限が、決定された暗号化鍵を使用してサブセットの少なくとも一部を暗号化することを含む、条項25に記載の一つ以上のコンピュータ可読記憶媒体。
〔27〕
アプリケーションプログラミングインターフェースリクエストが、リクエスタから提供され、
リモートサービスを含む複数のサービスが、アプリケーションプログラミングインターフェースリクエストを実現するために、コンピュータシステムによって利用することができ、
コンピュータ実行可能命令が、さらに、コンピュータシステムに、複数のサービスから、リクエスタに特有の構成設定に少なくともある程度基づいて、リモートサービスを選択させる、条項22〜26に記載の一つ以上のコンピュータ可読記憶媒体。
〔28〕
コンピュータ実行可能命令が、さらに、コンピュータシステムに、鍵を使用してデータのセットのうちのサブセットを暗号化させ、
リモートサービスを利用した一つ以上のオペレーションの実行が、データのセットを記憶するためのストレージリクエストをリモートサービスに提示することを含む、条項22〜27に記載の一つ以上のコンピュータ可読記憶媒体。
〔29〕
複数のデータストレージデバイス、及び第一のウェブサービスインターフェースに伝送されるウェブサービスリクエストを受信するように構成された第一のウェブサービスインターフェースを備えており、複数のデータストレージデバイスを使用して、第一のウェブサービスインターフェースに伝送されるウェブサービスリクエストを処理するように構成された第一のデータストレージサービスと、
第二のウェブサービスインターフェースを備えている第二のデータストレージサービスと、を備えており、第二のデータストレージサービスが、第一のデータストレージサービスのプロキシとして、少なくとも、
データを記憶するための、リクエスタからの、第二のウェブサービスインターフェースに提示されたリクエストに関連するデータを受信し、
受信したデータを解析して、受信したデータが一つ以上のデータ損失防止ポリシの一つ以上の基準を満たしているか否かの決定を生成し、
生成した決定に従い受信したリクエストを処理するよう動作するように構成されており、
受信したデータが一つ以上のデータ損失防止ポリシの一つ以上の基準を満たしていることを決定が示した場合の、受信したリクエストの処理が、
第一のデータストレージサービスにはアクセスできないように保持されている鍵を使用して、受信したデータを暗号化することと、
第二のリクエストを第一のウェブサービスインターフェースに提示することによって、暗号化された受信したデータを第二のデータストレージサービスに伝送することと、を含む、システム。
〔30〕
一つ以上のデータ損失防止ポリシの一つ以上の基準を受信したデータが満たしていないことを決定が示した場合の、受信したリクエストの処理が、受信したデータを暗号化されていない形式において第一のデータストレージサービスから取得できるように、データを第一のデータストレージサービスに永続的に記憶させる第三のリクエストを、ウェブサービスインターフェースに提示することを含む、条項29に記載のシステム。
〔31〕
一つ以上のデータ損失防止ポリシが、第二のウェブサービスインターフェースを通じて構成可能である、条項29または30に記載のシステム。
〔32〕
第一のウェブサービスインターフェースが、少なくとも一つのパブリックインターネットプロトコルアドレスを有する、条項29〜31のいずれか1項に記載のシステム。
〔33〕
第一のデータストレージサービスが位置している別の法律上の管轄区域の外部の行政上の管轄区域内に鍵を保持するように構成された暗号化サービスをさらに備えた、条項29〜32のいずれか1項に記載のシステム。
〔34〕
第二のストレージサービスが、さらに、第二のウェブサービスインターフェースにおいて、データを取得するための第三のリクエストを受信し、少なくとも、
第四のリクエストを第一のウェブサービスインターフェースに提示することによって、第一のデータストレージサービスから暗号化されたデータを入手し、
鍵を使用して入手した暗号化されたデータを解読し、
解読された入手した暗号化されたデータを提供することによって、第三のリクエストを処理するように構成された、条項29〜33のいずれか1項に記載のシステム。
〔35〕
一つ以上のプロセッサと、
コンピュータ実行可能命令を含むメモリと、を備えており、コンピュータ実行可能命令が、一つ以上のプロセッサによって実行されたときに、システムに、
ネットワークアドレスにおいてアクセス可能なアプリケーションプログラミングインターフェースを提供させ、
アプリケーションプログラミングインターフェースに提示された一つ以上のオペレーションを実行するためのリクエストに関連するデータを受信させ、
データを解析して、一つ以上のデータポリシの一つ以上の基準を満たすデータのサブセットを特定させ、
一つ以上のデータポリシに従いデータのサブセットを修正させ、
一つ以上のオペレーションを実行するためのリクエストを単独で処理できるリモートサービスに、修正したデータのサブセットを伝送させる、システム。
〔36〕
命令が、さらに、システムに、
一つ以上の基準を満たしていることに対応する一つ以上の通知を提供すること、または
特定したサブセットについての改善されたロギングを実行することの少なくとも一つを実行させる、条項35に記載のシステム。
〔37〕
データのサブセットの修正が、データのサブセットを暗号化することを含む、条項35または36に記載のシステム。
〔38〕
コンピュータ実行可能命令が、さらに、システムに、
アプリケーションプログラミングインターフェースを通じて、データを修正するためのユーザ定義の規則を受信させ、
データの修正がユーザ定義の規則に従い実行される、条項35〜37のいずれか1項に記載のシステム。
〔39〕
データの解析が、データにおける、極秘として指定されたデータタイプの一つ以上のインスタンスを検出することを含み、
データのサブセットが、極秘として指定されたデータタイプの検出された一つ以上のインスタンスを含む、条項35〜38のいずれか1項に記載のシステム。
〔40〕
コンピュータ実行可能命令が、さらに、コンピュータシステムに、受信したデータの第二のサブセットを、この第二のサブセットを修正せずにリモートサービスに伝送させる、条項35〜39のいずれか1項に記載のシステム。
〔41〕
コンピュータ実行可能命令が、さらに、コンピュータシステムに、
その実現がデータのサブセットの入手を含む第二のリクエストを受信させ、
リモートサービスから修正したサブセットを取得させ、
修正したサブセットを逆に修正してサブセットを再び生成させ、
再び生成されたサブセットを使用して第二のリクエストを実現させる、条項35〜40のいずれか1項に記載のシステム。
〔42〕
実行可能命令を含んで構成された一つ以上のコンピュータシステムの制御下で、
リモートサービスへのアプリケーションプログラミングインターフェースプロキシにおいて、その実現がリモートサービスの利用を伴う、データを処理するためのリクエストを受信することと、
データを解析して、データが一つ以上のデータポリシに関与しているか否かの決定を生成することと、
生成した決定に従いデータを処理することと、を含み、データの処理が、リモートサービスを利用する前に、一つ以上のデータポリシのうちの一つ以上の関与するデータポリシに従いデータを修正することを含む、コンピュータ実施方法。
〔43〕
データの修正がデータを暗号化することを含む、条項42に記載のコンピュータ実施方法。
〔44〕
リクエストが、アプリケーションプログラミングインターフェースプロキシのプライベートインターネットプロトコルアドレスにおいて受信される、条項42または43に記載のコンピュータ実施方法。
〔45〕
データを処理するためのリクエストが、データを記憶するためのリクエストである、条項42〜44のいずれか1項に記載のコンピュータ実施方法。
〔46〕
アプリケーションプログラミングインターフェースプロキシにおいて、一つ以上のデータポリシに関する一つ以上のユーザ定義の基準を受信することをさらに含み、
決定の生成がユーザ定義の基準に少なくともある程度基づく、条項42〜45のいずれか1項に記載のコンピュータ実施方法。
〔47〕
アプリケーションプログラミングインターフェースにおいて、その実現がリモートサービスの利用を伴う、第二のデータを処理するための第二のリクエストを受信することと、
一つ以上のデータポリシの一つ以上の基準を第二のデータが満たしていることの結果として、第二のデータがリモートサービスに伝送されることを防止することと、をさらに含む、条項42〜46のいずれか1項に記載のコンピュータ実施方法。
〔48〕
システムの一つ以上のプロセッサによって実行されたときに、システムに、
リモートサービスへのアプリケーションプログラミングインターフェースプロキシを提供させ、
このリモートサービスへの提供されたアプリケーションプログラミングインターフェースプロキシを通じて受信されたデータに一つ以上のデータ損失防止ポリシを実施させ、この実施が、少なくとも、
一つ以上のデータ損失防止ポリシの一つ以上のデータ損失防止基準を満たす受信したデータのサブセットを特定させることと、
一つ以上のデータ損失防止基準に従い、特定したサブセットについての一つ以上のアクションを実行させることと、を含み、一つ以上のアクションが、特定したサブセットにおけるデータを修正すること、及び修正したデータをリモートサービスに伝送することを含む、そこに集合的に記憶された実行可能命令を有する一つ以上のコンピュータ可読記憶媒体。
〔49〕
システムが計算資源サービスプロバイダによって動作し、
アプリケーションプログラミングインターフェースプロキシが、一つ以上のパブリックネットワークアドレスにおいて計算資源サービスプロバイダの複数の顧客に利用可能である、条項48に記載の一つ以上のコンピュータ可読記憶媒体。
〔50〕
アプリケーションプログラミングインターフェースプロキシとリモートサービスとが、別個の施設内で実施される、条項48または49に記載の一つ以上のコンピュータ可読記憶媒体。
〔51〕
一つ以上のデータ損失防止ポリシが、アプリケーションプログラミングインターフェースプロキシを通じて、プログラム的に構成可能である、条項48〜50のいずれか1項に記載の一つ以上のコンピュータ可読記憶媒体。
〔52〕
アプリケーションプログラミングインターフェースプロキシとリモートサービスとが、種々のユーアールエルによってアクセス可能である、条項48〜51のいずれか1項に記載の一つ以上のコンピュータ可読記憶媒体。
〔53〕
データの修正が、リモートサービスに伝送する前にデータを暗号化することを含む、条項48〜52のいずれか1項に記載の一つ以上のコンピュータ可読記憶媒体。
図15は、さまざまな実施形態に従う、態様を実施するための実施例の環境1500の態様を図示する。認識されるように、説明のためにウェブベースの環境を使用するが、必要に応じて、さまざまな実施形態を実施するための種々の環境を使用することができる。環境は電子クライアントデバイス1502を含み、これは、適切なネットワーク1504を通じてリクエスト、メッセージまたは情報を送信及び受信し、かつ情報をデバイスのユーザに戻すように動作可能な任意の適切なデバイスを含むことができる。そのようなクライアントデバイスの実施例は、パーソナルコンピュータ、携帯電話、ハンドヘルドメッセージングデバイス、ラップトップコンピュータ、タブレットコンピュータ、セットトップボックス、パーソナルデータアシスタント、組込型コンピュータシステム、電子ブックリーダなどを含む。ネットワークは、イントラネット、インターネット、セルラーネットワーク、ローカルエリアネットワークを含む任意の適切なネットワーク、または任意の他のそのようなネットワークもしくはそれらの組み合わせを含むことができる。そのようなシステムに使用される構成要素は、ネットワークのタイプ及び/または選択された環境に少なくともある程度依存し得る。そのようなネットワークを通じて通信するためのプロトコル及び構成要素は、よく知られており、本明細書に詳細には論じない。ネットワークを通じた通信は、有線または無線接続及びそれらの組み合わせによって有効にすることができる。この実施例では、リクエストを受信し、それに応答してコンテンツを供給するためのウェブサーバ1506を環境が含む場合には、ネットワークはインターネットを含む。ただし、当業者に明らかであるように、他のネットワークにおいて、同様の目的を果たす代替的なデバイスを使用することができる。
例示的な環境は、少なくとも一つのアプリケーションサーバ1508及びデータストア1510を含む。いくつかのアプリケーションサーバ、層または他の要素が存在してもよく、プロセスまたは構成要素は、つなげられるかまたは別な様に構成されてもよく、適切なデータストアからデータを入手するなどのタスクを実行するために相互作用できることが理解すべきである。本明細書に使用されるようなサーバは、ハードウェアデバイスまたは仮想コンピュータシステムなどのさまざまな方式において実施することができる。一部の文脈において、サーバは、コンピュータシステムにおいて実行されるプログラミングモジュールを意味することがある。本明細書に使用される「データストア」という用語は、データを記憶、それにアクセス及びそれを取得することができる任意のデバイスまたはデバイスの組み合わせを意味し、任意の標準の分散されたまたはクラスタ化された環境において、任意の組み合わせ及び数のデータサーバ、データベース、データストレージデバイス及びデータストレージ媒体、を含むことができる。アプリケーションサーバは、クライアントデバイスの一つ以上のアプリケーションの態様を実行するために、必要に応じて、アプリケーションのデータアクセス及びビジネスロジックの一部(大部分ですら)を処理する、データストアを一体化させるための任意の適切なハードウェア及びソフトウェアを含んでもよい。アプリケーションサーバは、データストアと協働してアクセス制御サービスを提供し、ユーザに転送されるテキスト、グラフィックス、音声及び/またはビデオなどのコンテンツを生成することができ、そのコンテンツを、本実施例では、ハイパーテキストマークアップ言語(「HTML」)、拡張マークアップ言語(「XML」)、または別の適切な構造化言語の形態で、ウェブサーバによってユーザに供給してもよい。すべてのリクエスト及び応答の処理、並びにクライアントデバイス1502とアプリケーションサーバ1508との間のコンテンツの送達を、ウェブサーバによって処理することができる。本明細書の他の箇所に論じられるように、本明細書に論じられる構造化されたコードを、任意の適切なデバイスまたはホストマシンにおいて実行することができるので、ウェブ及びアプリケーションサーバは必須ではなく、単に実施例の構成要素にすぎないことを理解すべきである。さらに、単一のデバイスによって実行されるような本明細書に記述するオペレーションは、別途記載がない限り、分散システムを形成し得る複数のデバイスによって集合的に実行することができる。
データストア1510は、本開示の特定の態様に関するデータを記憶するための、いくつかの別々のデータテーブル、データベースまたは他のデータストレージ機構及び媒体を含むことができる。例えば、図示するデータストアは、製作データ1512及びユーザ情報1516を記憶するための機構を含み、これらは、製作側でコンテンツを供給するために使用することができる。データストアは、報告及び解析または他のそのような目的のために使用することができる、ログデータ1514を記憶するための機構も含むようにも示される。ページイメージ情報及びアクセス権情報などのためにデータストアに記憶される必要があり得る多くの他の態様が存在し、必要に応じて、それを上記の機構のうちのいずれかに、またはデータストア1510内の追加の機構に記憶できることを理解すべきである。データストア1510は、それに関連するロジックを介して、アプリケーションサーバ1508から命令を受信し、かつそれに応答してデータを入手、更新、または別な様に処理するように動作可能である。一実施例において、ユーザは、ユーザによって動作するデバイスを通じて、ある特定のタイプのアイテムについての検索リクエストを提示する場合がある。この場合、データストアは、ユーザの身元を確認するためにユーザ情報にアクセスしてもよく、そのタイプのアイテムについての情報を入手するためにカタログ詳細情報にアクセスすることができる。その後、ユーザがユーザデバイス1502のブラウザを介して見ることができるウェブページ上の結果リストにおいてなどの情報をユーザに戻すことができる。対象とする特定のアイテムについての情報を、ブラウザの専用ページまたはウィンドウで見ることができる。しかしながら、本開示の実施形態が、必ずしもウェブページのコンテキストに限定されず、一般にリクエストを処理するのに適用可能なより一般的なものであってもよいことに留意すべきである。このリクエストは、必ずしもコンテンツについてのリクエストでなくてもよい。
各サーバは、典型的には、そのサーバの一般管理及び動作についての実行可能なプログラム命令を提供するオペレーティングシステムを含み、かつ典型的には、サーバのプロセッサによって実行されるときに、サーバがその意図された機能を実行することを可能にする命令を記憶するコンピュータ可読記憶媒体(例えば、ハードディスク、ランダムアクセスメモリ、読み取り専用メモリなど)を含む。サーバのオペレーティングシステム及び一般的な機能性についての適切な実施が公知であるかまたは市販されており、特に本明細書における本開示を考慮した当業者によって容易に実施される。
一実施形態における環境は、一つ以上のコンピュータネットワークまたは直接接続を使用した通信リンクを介して相互接続されるいくつかのコンピュータシステム及び構成要素を利用する分散型コンピューティング環境である。しかしながら、そのようなシステムが、図15に図示される構成要素よりも少ないまたは多い数の構成要素を有するシステムにおいても同じ様に良好に動作できることが当業者に認識される。故に、図15のシステム1500の描写は、本質的に例示的であり、かつ本開示の範囲を限定しないとみなされるべきである。
さまざまな実施形態は、さらに、場合によっては、任意のいくつかのアプリケーションを動作させるために使用することができる一つ以上のユーザコンピュータ、計算デバイスまたは処理デバイスを含むことができる多種多様な動作環境において実施することができる。ユーザまたはクライアントデバイスは、標準のオペレーティングシステムを稼動しているデスクトップ、ラップトップまたはタブレットコンピュータなどのいくつかの汎用パーソナルコンピュータ、並びにモバイルソフトウェアを稼動し、多くのネットワーク及びメッセージングプロトコルをサポートできるセルラー、ワイヤレス及びハンドヘルドデバイスのうちのいずれかを含むことができる。そのようなシステムはまた、様々な市販されているオペレーティングシステム並びに開発及びデータベース管理などの目的の他の公知のアプリケーションのうちのいずれかを稼動する多くのワークステーションを含むことができる。これらのデバイスはまた、ネットワークを経由して通信できるダミー端末、シンクライアント、ゲームシステム及び他のデバイスなどの他の電子デバイスを含むことができる。
本開示のさまざまな実施形態は、伝送制御プロトコル/インターネットプロトコル(「TCP/IP」)、オープンシステムインターコネクション(「OSI」)モデルのさまざまな層において動作するプロトコル、ファイル転送プロトコル(「FTP」)、ユニバーサルプラグアンドプレイ(「UpnP」)、ネットワークファイルシステム(「NFS」)、共通インターネットファイルシステム(「CIFS」)、及びアップルトークなどの様々な市販されているプロトコルのうちのいずれかを使用する通信をサポートするために、当業者が熟知しているであろう少なくとも一つのネットワークを利用する。例えば、ネットワークは、ローカルエリアネットワーク、ワイドエリアネットワーク、仮想プライベートネットワーク、インターネット、イントラネット、エクストラネット、公共回線電話網、赤外線ネットワーク、無線ネットワーク、及びそれらの任意の組み合わせであってもよい。
ウェブサーバを利用する実施形態において、ウェブサーバは、ハイパーテキスト転送プロトコル(「HTTP」)サーバ、FTPサーバ、共通ゲートウェイインターフェース(「CGI」)サーバ、データサーバ、Javaサーバ、及びビジネスアプリケーションサーバを含む、様々なサーバまたは中間層アプリケーションのうちのいずれかを稼動することができる。サーバ(複数可)はまた、例えば、Java(登録商標)、C、C#またはC++、あるいはPerl、PythonまたはTCLなどの任意のスクリプト言語、並びにそれらの組み合わせなどの任意のプログラム言語で書き込まれた一つ以上のスクリプトまたはプログラムとして実施されてもよい一つ以上のウェブアプリケーションを実行することによって、ユーザデバイスからのリクエストに応答して、プログラムまたはスクリプトを実行できるものであってもよい。サーバ(複数可)はまた、これらに限定されないが、Oracle(登録商標)、Microsoft(登録商標)、Sybase(登録商標)及びIBM(登録商標)から市販されているデータベースサーバも含むことができる。
環境は、前述したように、様々なデータストア並びに他のメモリ及び記憶媒体を含むことができる。これらは、コンピュータのうちの一つ以上にローカルの(及び/または内部に常駐)、あるいはネットワーク全体のコンピュータのうちのいずれかまたはすべてからリモートの記憶媒体などの様々な場所に常駐することができる。特定の組の実施形態において、情報は、当業者が熟知するストレージエリアネットワーク(「SAN」)の中に存在してもよい。同様に、コンピュータ、サーバまたは他のネットワークデバイスに帰属する機能を実行するために必要な任意のファイルは、必要に応じて、ローカルに及び/またはリモートに記憶されてもよい。システムがコンピュータ化されたデバイスを含む場合、そのようなデバイス各々は、バスを介して電気的に結合されてもよいハードウェア要素を含むことができる。この要素は、例えば、少なくとも一つの中央処理装置(「CPU」または「プロセッサ」)、少なくとも一つの入力デバイス(例えば、マウス、キーボード、コントローラ、タッチ画面またはキーパッド)、及び少なくとも一つの出力デバイス(例えば、表示デバイス、プリンタまたはスピーカ)を含む。そのようなシステムはまた、例えば、ランダムアクセスメモリ(「RAM」)または読み取り専用メモリ(以下「ROM」)、並びに取り外し可能媒体デバイス、メモリカード、フラッシュカードなどのディスクドライブ、光学式記憶装置及びソリッドステート記憶装置などの一つ以上の記憶装置も含むことができる。
そのようなデバイスはまた、コンピュータ可読記憶媒体リーダ、通信デバイス(例えば、モデム、ネットワークカード(無線または有線)、赤外線通信デバイスなど)、及び前述のようなワーキングメモリも含むことができる。コンピュータ可読記憶媒体リーダは、コンピュータ可読情報を一時的及び/またはより永久的に含有、記憶、伝送及び取得するための、リモート、ローカル、固定及び/または取り外し可能記憶装置並びに記憶媒体を代表するコンピュータ可読記憶媒体と接続、またはこれを受信するように構成することができる。システム及びさまざまなデバイスはまた、典型的に、クライアントアプリケーションまたはウェブブラウザなどのオペレーティングシステム及びアプリケーションプログラムを含む、多くのソフトウェアアプリケーション、モジュール、サービスまたは少なくとも一つのワーキングメモリ装置内部に位置する他の要素も含む。代替の実施形態は、前述からの多数の変形を有してもよいことを認識するべきである。例えば、カスタマイズされたハードウェアが使用される場合もあり、及び/または特定の要素が、ハードウェア、ソフトウェア(アプレットなどの高移植性ソフトウェアを含む)、または両方に実装される場合がある。さらに、ネットワーク入力/出力デバイスなどの他の計算デバイスへの接続が採用されてもよい。
コード、またはコードの一部を含むための記憶媒体及びコンピュータ可読媒体は、RAM、ROM、電気的消去可能プログラマブルROM(「EEPROM」)、フラッシュメモリまたは他のメモリ技術、シーディーロム(「CD−ROM」)、デジタル多用途ディスク(DVD)または他の光学式ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージまたは他の磁気ストレージデバイス、あるいは所望の情報を記憶するために使用することができ、システムデバイスによってアクセスすることができる任意の他の媒体を含む、コンピュータ可読命令、データ構造、プログラムモジュールまたは他のデータなどの情報の記憶及び/または伝送のための任意の方法または技術において実装された揮発性及び不揮発性の取り外し可能な及び固定の媒体などであるがこれらに限定されない記憶媒体及び通信媒体を含む、当技術分野において公知または使用される任意の適当な媒体を含むことができる。本明細書に提供された開示及び教示に基づいて、当業者は、さまざまな実施形態を実施するための他の方式及び/または方法を認識するであろう。
明細書及び図面は、それ故に、制限的な意味ではなく、例示的なものとみなされる。しかしながら、特許請求の範囲に記載の本発明の広義の精神及び範囲から逸脱することなく、さまざまな修正及び変更を為せることは自明である。
他の変形例も本開示の精神内にある。故に、開示した技術は、さまざまな修正及び代替構成を受けやすいが、その特定の図示した実施形態を、図面に示し、詳細に前述した。しかしながら、開示した特定の一つ以上の形態に本発明を限定することは意図せず、むしろ、その意図は、添付の特許請求の範囲に規定されるものとして、本発明の精神及び範囲内に収まるすべての修正、代替構成及び均等物などを含み得ることを理解すべきである。
開示した実施形態を記述する文脈(特に、以下の特許請求の範囲の文脈)における「a」及び「an」並びに「the」という用語、並びに類似の指示対象の使用は、本明細書に別途記載の無い限りまたは文脈に明らかに矛盾しない限り、単数及び複数の両方を包含するものとして解釈されるべきである。「を備える」、「を有する」、「を含む」及び「を含有する」という用語は、別途記載の無い限り、オープンエンド用語(すなわち、「を含むが、これらに限定されない」の意味)として解釈されるべきである。「接続されている」という用語は、修正されていなくかつ物理的接続を言及している場合には、何らかの介在物があったとしても、その内部に部分的にもしくは全体的に収容されている、付着しているまたは接合しているものとして解釈されるべきである。本明細書における値の範囲の記載は、本明細書に別途記載の無い限り、その範囲に含まれる個別の値に個々に言及する簡略的な方法としての機能を果たすことを目的にしているに過ぎず、個別の値は、それが本明細書において個々に記載されたものとして本明細書に組み込まれる。「セット」(例えば、「アイテムのセット」)または「サブセット」という用語の使用は、別途記載の無い限りまたは文脈に矛盾しない限り、一つ以上の要素を含む非空の集合として解釈されるべきである。さらに、別途記載の無い限りまたは文脈に矛盾しない限り、対応するセットの「サブセット」という用語は、対応するセットの真部分集合を必ずしも意味するものではなく、サブセットと対応するセットとが等しい場合もある。
「A、B及びCの少なくとも一つ」または「A、B及びCの少なくとも一つ」という形態の表現などの接続的な言葉は、別途記載の無い限り、さもなければ文脈に明らかに矛盾しない限り、アイテム、用語などが、AまたはBもしくはC、またはA及びB並びにCのセットの任意の非空サブセットのいずれかであり得ることを示すのに通常使用されるものとして文脈においてさもなければ理解される。例えば、前述の接続的な表現において使用される三つの要素を有するセットの例示的な実施例において、「A、B及びCの少なくとも一つ」及び「A、B及びCの少なくとも一つ」は、以下の組、すなわち、「A単独」、「B単独」、「C単独」、「A及びB」、「A及びC」、「B及びC」、「A、B及びC」のいずれかを意味する。故に、そのような接続的な言葉は、通常、特定の実施形態が、各々に存在するものとして、Aの少なくとも一つ、Bの少なくとも一つ及びCの少なくとも一つを必要とすることを暗示することは意図しない。
本明細書に記述するプロセスのオペレーションは、本明細書に別途記載の無い限り、さもなければ文脈に明らかに矛盾しない限り、任意の適切な順序において実行することができる。本明細書に記述するプロセス(または、それらの変形例及び/もしくは組み合わせ)は、実行可能命令を含んで構成された一つ以上のコンピュータシステムの制御下で実行してもよく、そしてハードウェアまたはその組み合わせによって、一つ以上のプロセッサにおいて集合的に実行するコード(例えば、実行可能命令、一つ以上のコンピュータプログラムまたは一つ以上のアプリケーション)として実施することができる。コードは、例えば、一つ以上のプロセッサによって実行可能な複数の命令を含むコンピュータプログラムの形態において、コンピュータ可読記憶媒体に記憶してもよい。コンピュータ可読記憶媒体は非一時的であってもよい。
本明細書に提供される任意の及びすべての実施例または例示の言語(例えば、「など」)の使用は、本発明の実施形態をより明らかにすることのみが意図され、別途主張されない限り、本発明の範囲を制限しない。明細書内のいかなる言語も、本発明の実践に不可欠な任意の請求されていない要素を示すものとして解釈されるべきではない。
本開示の好ましい実施形態は、本発明を実行するための、本発明者が知る最良の形態を含むものとして本明細書に記述される。それらの好ましい実施形態の変形例が、前の説明を読んだ当業者に明らかになり得る。本発明者は、当業者が必要に応じてそのような変形例を採用することを期待し、本開示の実施形態が本明細書に特に記述したものとは別な様に実践されることを意図している。それ故に、本開示の範囲は、適用法によって許可されるものとしてこれに添付された特許請求の範囲に記載された主題のすべての修正及び均等物を含む。さらに、前述のそのすべての可能な変形例における前述の要素の任意の組み合わせが、本明細書に別途記載の無い限り、さもなければ文脈に明らかに矛盾しない限り、本開示の範囲に包含される。
本明細書に引用される刊行物、特許出願及び特許品を含むすべての参照は、各々の参照が、参照により組み入れられるものとして個々にかつ具体的に示され、その全体が本明細書に記載されているように、同じ程度、参照により本明細書に組み入れられる。

Claims (20)

  1. システムであって、
    前記システムの1以上のプロセッサによって実行された結果として、
    前記システムに、
    第1の位置にある第1のデータストレージデバイス及び異なる第2の位置にある第2のデータストレージデバイスに格納されるデータを識別し、
    前記異なる第2の位置に関連する行政上の管轄区域の組を示すストレージ要件に少なくとも部分的に基づいて、前記データの暗号化された一部が前記第2の位置で解読不能になるように、暗号化サービスによって管理されるデータ鍵を用いて前記データの一部を暗号化し、
    前記第1の位置で、前記データ鍵を暗号化して暗号化されたデータ鍵を生成し、
    前記第1の位置で、前記暗号化された一部及び前記暗号化されたデータ鍵を含むデータオブジェクトを生成し、
    前記第2のデータストレージデバイスに前記データオブジェクトを格納させる
    ことを行わせる命令を格納するための非一時的なメモリを備える、システム。
  2. 前記ストレージ要件は、前記第1の位置に関連する他のストレージ要件とは異なる、
    請求項1に記載のシステム。
  3. 前記ストレージ要件は、第2の法律上の管轄区域に関連する第2の規制の組を含む前記他のストレージ要件とは違う法律上の管轄区域に関連する規制の組を含む、
    請求項2に記載のシステム。
  4. 前記ストレージ要件は、第2の行政上の管轄区域の組を含む前記他のストレージ要件とは違う前記行政上の管轄区域の組を含む、
    請求項2に記載のシステム。
  5. 前記第1の位置にある前記第1のデータストレージデバイスは、前記異なる第2の位置にある前記第2のデータストレージデバイスに対するプロキシとして動作する、
    請求項1に記載のシステム。
  6. 暗号化された前記データの前記一部は、暗号化データを生成するための前記データ鍵を用いて暗号化され、前記データ鍵は、前記第1のデータストレージデバイスにはアクセス可能である一方、前記第2のデータストレージデバイスにはアクセス不可能である、
    請求項1に記載のシステム。
  7. 前記データ鍵は、前記第1のデータストレージデバイスに関連する前記暗号化サービスによって管理される、
    請求項6に記載のシステム。
  8. コンピュータ実行方法であって、
    第1の位置にある第1のデータストレージデバイス及び異なる第2の位置にある第2のデータストレージデバイスに格納されるデータを識別するステップと、
    前記異なる第2の位置に関連する行政上の管轄区域の組を示すストレージ要件に少なくとも部分的に基づいて、前記データの暗号化された一部が前記第2の位置で解読不能になるように、暗号化サービスの鍵を用いて前記データの一部を暗号化させるステップと、
    前記暗号化された一部及び暗号化された鍵を含むデータオブジェクトを前記第2のデータストレージデバイスに格納させるステップと、
    を含む、コンピュータ実行方法。
  9. 前記ストレージ要件は、前記第1の位置に関連する他のストレージ要件とは異なる、
    請求項8に記載のコンピュータ実行方法。
  10. 前記ストレージ要件は、第2の法律上の管轄区域に関連する第2の規制の組を含む前記他のストレージ要件とは違う法律上の管轄区域に関連する規制の組を含む、
    請求項9に記載のコンピュータ実行方法。
  11. 前記ストレージ要件は、第2の行政上の管轄区域の組を含む前記他のストレージ要件とは違う前記行政上の管轄区域の組を含む、
    請求項9に記載のコンピュータ実行方法。
  12. 前記第1の位置にある前記第1のデータストレージデバイスは、前記異なる第2の位置にある前記第2のデータストレージデバイスに対するプロキシとして動作する、
    請求項8に記載のコンピュータ実行方法。
  13. 暗号化された前記データの前記一部は、暗号化データを生成するための前記鍵を用いて暗号化され、前記鍵は、前記第1のデータストレージデバイスでアクセス可能であるが、前記第2のデータストレージデバイスではアクセス不可能である、
    請求項8に記載のコンピュータ実行方法。
  14. 前記鍵は、前記第1のデータストレージデバイスに関連する暗号化サービスによって管理される、
    請求項13に記載のコンピュータ実行方法。
  15. 非一時的なコンピュータ可読記録媒体であって、コンピュータシステムの1以上のプロセッサによって実行された結果として、前記コンピュータシステムに、少なくとも
    第1の位置にある第1のデータストレージデバイス及び異なる第2の位置にある第2のデータストレージデバイスに格納されるデータを識別することと、
    前記異なる第2の位置に関連する行政上の管轄区域の組を示すストレージ要件に少なくとも部分的に基づいて、前記データの暗号化された一部が前記第2の位置で解読不能になるように、暗号化サービスの鍵を用いて前記データの一部を暗号化させることと、
    前記暗号化された一部及び暗号化された鍵を含むデータオブジェクトを前記第2のデータストレージデバイスに格納させることと、
    を行わせる実行可能命令を含む、非一時的なコンピュータ可読記録媒体。
  16. 前記ストレージ要件は、前記第1の位置に関連する他のストレージ要件とは異なる、
    請求項15に記載の非一時的なコンピュータ可読記録媒体。
  17. 前記ストレージ要件は、第2の法律上の管轄区域に関連する第2の規制の組を含む他のストレージ要件とは違う法律上の管轄区域に関連する規制の組、又は、第2の行政上の管轄区域の組を含む前記他のストレージ要件とは違う前記行政上の管轄区域の組のうちの少なくとも1つを含む、
    請求項15に記載の非一時的なコンピュータ可読記録媒体。
  18. 前記第1の位置にある前記第1のデータストレージデバイスは、前記異なる第2の位置にある前記第2のデータストレージデバイスに対するプロキシとして動作する、
    請求項15に記載の非一時的なコンピュータ可読記録媒体。
  19. 暗号化された前記データの前記一部は、暗号化データを生成するための前記鍵を用いて暗号化され、前記鍵は、前記第1のデータストレージデバイスでアクセス可能であるが、前記第2のデータストレージデバイスではアクセス不可能である、
    請求項15に記載の非一時的なコンピュータ可読記録媒体。
  20. 前記鍵は、前記第1のデータストレージデバイスに関連する暗号化サービスによって管理される、
    請求項19に記載の非一時的なコンピュータ可読記録媒体。
JP2020097937A 2013-07-01 2020-06-04 仮想サービスプロバイダゾーン Active JP6835999B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US13/932,824 2013-07-01
US13/932,872 2013-07-01
US13/932,824 US9286491B2 (en) 2012-06-07 2013-07-01 Virtual service provider zones
US13/932,872 US10075471B2 (en) 2012-06-07 2013-07-01 Data loss prevention techniques

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2018000819A Division JP6765390B2 (ja) 2013-07-01 2018-01-05 仮想サービスプロバイダゾーン

Publications (2)

Publication Number Publication Date
JP2020141424A true JP2020141424A (ja) 2020-09-03
JP6835999B2 JP6835999B2 (ja) 2021-02-24

Family

ID=52144137

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2016524288A Active JP6622196B2 (ja) 2013-07-01 2014-06-30 仮想サービスプロバイダゾーン
JP2018000819A Active JP6765390B2 (ja) 2013-07-01 2018-01-05 仮想サービスプロバイダゾーン
JP2020097937A Active JP6835999B2 (ja) 2013-07-01 2020-06-04 仮想サービスプロバイダゾーン

Family Applications Before (2)

Application Number Title Priority Date Filing Date
JP2016524288A Active JP6622196B2 (ja) 2013-07-01 2014-06-30 仮想サービスプロバイダゾーン
JP2018000819A Active JP6765390B2 (ja) 2013-07-01 2018-01-05 仮想サービスプロバイダゾーン

Country Status (7)

Country Link
US (2) US10075471B2 (ja)
EP (2) EP3893430A1 (ja)
JP (3) JP6622196B2 (ja)
CN (2) CN109951480B (ja)
CA (2) CA3052182C (ja)
SG (2) SG11201510650UA (ja)
WO (1) WO2015002875A1 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10003584B1 (en) * 2014-09-02 2018-06-19 Amazon Technologies, Inc. Durable key management
US10110382B1 (en) 2014-09-02 2018-10-23 Amazon Technologies, Inc. Durable cryptographic keys
US9985953B2 (en) * 2014-11-10 2018-05-29 Amazon Technologies, Inc. Desktop application fulfillment platform with multiple authentication mechanisms
US9928377B2 (en) 2015-03-19 2018-03-27 Netskope, Inc. Systems and methods of monitoring and controlling enterprise information stored on a cloud computing service (CCS)
US9736169B2 (en) 2015-07-02 2017-08-15 International Business Machines Corporation Managing user authentication in association with application access
US11403418B2 (en) 2018-08-30 2022-08-02 Netskope, Inc. Enriching document metadata using contextual information
SG11201810477PA (en) 2016-06-06 2018-12-28 Illumina Inc Tenant-aware distributed application authentication
US10003585B2 (en) * 2016-08-02 2018-06-19 Samsung Electronics Co., Ltd. Systems, devices, and methods for preventing unauthorized access to storage devices
US10887291B2 (en) * 2016-12-16 2021-01-05 Amazon Technologies, Inc. Secure data distribution of sensitive data across content delivery networks
US11393046B1 (en) 2017-01-17 2022-07-19 Intuit Inc. System and method for perpetual rekeying of various data columns with a frequency and encryption strength based on the sensitivity of the data columns
US10303895B1 (en) * 2017-01-19 2019-05-28 Intuit Inc. System and method for perpetual rekeying of various data columns with respective encryption keys and on alternating bases
US10834113B2 (en) 2017-07-25 2020-11-10 Netskope, Inc. Compact logging of network traffic events
US11153381B2 (en) * 2017-08-22 2021-10-19 Red Hat, Inc. Data auditing for object storage public clouds
US11159498B1 (en) * 2018-03-21 2021-10-26 Amazon Technologies, Inc. Information security proxy service
US10979403B1 (en) 2018-06-08 2021-04-13 Amazon Technologies, Inc. Cryptographic configuration enforcement
US20200005242A1 (en) * 2018-06-28 2020-01-02 Microsoft Technology Licensing, Llc Personalized message insight generation
US10783270B2 (en) 2018-08-30 2020-09-22 Netskope, Inc. Methods and systems for securing and retrieving sensitive data using indexable databases
US11416641B2 (en) 2019-01-24 2022-08-16 Netskope, Inc. Incident-driven introspection for data loss prevention
US10521605B1 (en) 2019-03-15 2019-12-31 ZenPayroll, Inc. Tagging and auditing sensitive information in a database environment
US11895034B1 (en) 2021-01-29 2024-02-06 Joinesty, Inc. Training and implementing a machine learning model to selectively restrict access to traffic
US20230005391A1 (en) * 2021-06-30 2023-01-05 Skyflow, Inc. Polymorphic encryption for security of a data vault
JP7185953B1 (ja) 2021-07-02 2022-12-08 Eaglys株式会社 データ管理システム、データ管理方法、及びデータ管理プログラム
US11475158B1 (en) 2021-07-26 2022-10-18 Netskope, Inc. Customized deep learning classifier for detecting organization sensitive data in images on premises
US11606432B1 (en) * 2022-02-15 2023-03-14 Accenture Global Solutions Limited Cloud distributed hybrid data storage and normalization

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61177479A (ja) * 1985-02-01 1986-08-09 沖電気工業株式会社 暗号化鍵管理方式
JPH09233067A (ja) * 1990-07-31 1997-09-05 Hiroichi Okano 知的情報処理方法および装置
JP2002540748A (ja) * 1999-03-31 2002-11-26 インターナショナル・ビジネス・マシーンズ・コーポレーション モバイル装置の法制要件遵守
JP2003208355A (ja) * 2002-01-11 2003-07-25 Hitachi Ltd データ記憶装置ならびにデータバックアップ方法およびデータリストア方法
JP2004126716A (ja) * 2002-09-30 2004-04-22 Fujitsu Ltd 広域分散ストレージシステムを利用したデータ格納方法、その方法をコンピュータに実現させるプログラム、記録媒体、及び広域分散ストレージシステムにおける制御装置
JP2009064178A (ja) * 2007-09-05 2009-03-26 Hitachi Ltd ストレージ装置及びデータの管理方法
JP2011175578A (ja) * 2010-02-25 2011-09-08 Hitachi Solutions Ltd データバックアップシステム及びデータバックアップ方法
JP2013513834A (ja) * 2009-12-15 2013-04-22 マイクロソフト コーポレーション 信頼できるコンピューティングおよびデータサービスのための信頼できる拡張マークアップ言語

Family Cites Families (413)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6175625B1 (en) 1944-12-15 2001-01-16 The United States Of America As Represented By The National Security Agency Control circuits for electric coding machines
US4908759A (en) 1985-08-29 1990-03-13 Bell Communications Research, Inc. Hierarchical database conversion with conditional write
US4782517A (en) 1986-09-08 1988-11-01 Bell Communications Research, Inc. System and method for defining and providing telephone network services
US4868877A (en) 1988-02-12 1989-09-19 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US4918728A (en) 1989-08-30 1990-04-17 International Business Machines Corporation Data cryptography operations using control vectors
US6044205A (en) 1996-02-29 2000-03-28 Intermind Corporation Communications system for transferring information between memories according to processes transferred with the information
US5054067A (en) 1990-02-21 1991-10-01 General Instrument Corporation Block-cipher cryptographic device based upon a pseudorandom nonlinear sequence generator
US5146498A (en) 1991-01-10 1992-09-08 Motorola, Inc. Remote key manipulations for over-the-air re-keying
US5201000A (en) 1991-09-27 1993-04-06 International Business Machines Corporation Method for generating public and private key pairs without using a passphrase
AU7707894A (en) 1993-09-29 1995-04-18 Pumpkin House Incorporated Enciphering/deciphering device and method and enciphering/deciphering communication system
US5495533A (en) 1994-04-29 1996-02-27 International Business Machines Corporation Personal key archive
US7904722B2 (en) 1994-07-19 2011-03-08 Certco, Llc Method for securely using digital signatures in a commercial cryptographic system
US5826245A (en) 1995-03-20 1998-10-20 Sandberg-Diment; Erik Providing verification information for a transaction
US5633931A (en) 1995-06-30 1997-05-27 Novell, Inc. Method and apparatus for calculating message signatures in advance
US5675653A (en) 1995-11-06 1997-10-07 Nelson, Jr.; Douglas Valmore Method and apparatus for digital encryption
US5761306A (en) 1996-02-22 1998-06-02 Visa International Service Association Key replacement in a public key cryptosystem
US5933503A (en) 1996-03-15 1999-08-03 Novell, Inc Controlled modular cryptography apparatus and method
US5862220A (en) 1996-06-03 1999-01-19 Webtv Networks, Inc. Method and apparatus for using network address information to improve the performance of network transactions
US6012144A (en) 1996-10-08 2000-01-04 Pickett; Thomas E. Transaction security method and apparatus
US6934249B1 (en) 1997-04-01 2005-08-23 Cisco Technology, Inc. Method and system for minimizing the connection set up time in high speed packet switching networks
US7194424B2 (en) 1997-06-25 2007-03-20 Intel Corporation User demographic profile driven advertising targeting
US20010011226A1 (en) 1997-06-25 2001-08-02 Paul Greer User demographic profile driven advertising targeting
JP3542895B2 (ja) 1997-08-22 2004-07-14 インターナショナル・ビジネス・マシーンズ・コーポレーション 時間制約暗号システム
US6182216B1 (en) 1997-09-17 2001-01-30 Frank C. Luyster Block cipher method
US6978017B2 (en) 1997-10-14 2005-12-20 Entrust Limited Method and system for providing updated encryption key pairs and digital signature key pairs in a public key system
US6259789B1 (en) 1997-12-12 2001-07-10 Safecourier Software, Inc. Computer implemented secret object key block cipher encryption and digital signature device and method
US6195622B1 (en) 1998-01-15 2001-02-27 Microsoft Corporation Methods and apparatus for building attribute transition probability models for use in pre-fetching resources
US6185679B1 (en) 1998-02-23 2001-02-06 International Business Machines Corporation Method and apparatus for a symmetric block cipher using multiple stages with type-1 and type-3 feistel networks
JP3659791B2 (ja) 1998-03-23 2005-06-15 インターナショナル・ビジネス・マシーンズ・コーポレーション 小時間鍵生成の方法及びシステム
US6336186B1 (en) 1998-07-02 2002-01-01 Networks Associates Technology, Inc. Cryptographic system and methodology for creating and managing crypto policy on certificate servers
JP3939453B2 (ja) 1999-01-22 2007-07-04 三菱電機株式会社 情報仲介システム
US6356941B1 (en) 1999-02-22 2002-03-12 Cyber-Ark Software Ltd. Network vaults
US6505299B1 (en) 1999-03-01 2003-01-07 Sharp Laboratories Of America, Inc. Digital image scrambling for image coding systems
US20020135611A1 (en) 1999-03-04 2002-09-26 Trevor Deosaran Remote performance management to accelerate distributed processes
US6546492B1 (en) 1999-03-26 2003-04-08 Ericsson Inc. System for secure controlled electronic memory updates via networks
JP2000295209A (ja) 1999-04-09 2000-10-20 Ntt Data Corp 鍵管理方法、鍵管理システム及び記録媒体
JP4132530B2 (ja) 2000-01-24 2008-08-13 株式会社リコー 電子保存装置
US6721713B1 (en) 1999-05-27 2004-04-13 Andersen Consulting Llp Business alliance identification in a web architecture framework
GB9913165D0 (en) * 1999-06-08 1999-08-04 Secr Defence Access control in a web environment
US7882247B2 (en) 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
US8868914B2 (en) 1999-07-02 2014-10-21 Steven W. Teppler System and methods for distributing trusted time
SE9904094D0 (sv) 1999-11-12 1999-11-12 Protegrity Research & Dev Method for reencryption of a database
US7373506B2 (en) 2000-01-21 2008-05-13 Sony Corporation Data authentication system
US6826609B1 (en) 2000-03-31 2004-11-30 Tumbleweed Communications Corp. Policy enforcement in a secure data file delivery system
US20050195743A1 (en) 2000-04-03 2005-09-08 P-Cube Ltd. Real time charging of pre-paid accounts
DE10025626A1 (de) 2000-05-24 2001-11-29 Deutsche Telekom Ag Verschlüsseln von abzuspeichernden Daten in einem IV-System
US6611863B1 (en) 2000-06-05 2003-08-26 Intel Corporation Automatic device assignment through programmable device discovery for policy based network management
US8538843B2 (en) 2000-07-17 2013-09-17 Galactic Computing Corporation Bvi/Bc Method and system for operating an E-commerce service provider
US7362868B2 (en) 2000-10-20 2008-04-22 Eruces, Inc. Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US20030021417A1 (en) 2000-10-20 2003-01-30 Ognjen Vasic Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
JP2002140534A (ja) 2000-11-01 2002-05-17 Sony Corp ログ管理構成を持つコンテンツ配信システムおよびコンテンツ配信方法
US6986040B1 (en) 2000-11-03 2006-01-10 Citrix Systems, Inc. System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel
US20050120232A1 (en) 2000-11-28 2005-06-02 Yoshihiro Hori Data terminal managing ciphered content data and license acquired by software
US6978376B2 (en) * 2000-12-15 2005-12-20 Authentica, Inc. Information security architecture for encrypting documents for remote access while maintaining access control
US7085834B2 (en) 2000-12-22 2006-08-01 Oracle International Corporation Determining a user's groups
US7493391B2 (en) 2001-02-12 2009-02-17 International Business Machines Corporation System for automated session resource clean-up by determining whether server resources have been held by client longer than preset thresholds
US7181017B1 (en) 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
US7050583B2 (en) 2001-03-29 2006-05-23 Etreppid Technologies, Llc Method and apparatus for streaming data using rotating cryptographic keys
US20030037237A1 (en) 2001-04-09 2003-02-20 Jean-Paul Abgrall Systems and methods for computer device authentication
US6934702B2 (en) 2001-05-04 2005-08-23 Sun Microsystems, Inc. Method and system of routing messages in a distributed search network
JP2007037197A (ja) 2001-08-01 2007-02-08 Matsushita Electric Ind Co Ltd 暗号化データ配信システム
CA2358048A1 (en) 2001-09-25 2003-03-25 Luis Rueda A cryptosystem for data security
CA2358980A1 (en) 2001-10-12 2003-04-12 Karthika Technologies Inc. Distributed security architecture for storage area networks (san)
US7200747B2 (en) 2001-10-31 2007-04-03 Hewlett-Packard Development Company, L.P. System for ensuring data privacy and user differentiation in a distributed file system
US7243366B2 (en) 2001-11-15 2007-07-10 General Instrument Corporation Key management protocol and authentication system for secure internet protocol rights management architecture
US20020076044A1 (en) 2001-11-16 2002-06-20 Paul Pires Method of and system for encrypting messages, generating encryption keys and producing secure session keys
US7865446B2 (en) 2001-12-11 2011-01-04 International Businesss Machines Corporation Method for secure electronic commercial transaction on-line processing
US7580972B2 (en) 2001-12-12 2009-08-25 Valve Corporation Method and system for controlling bandwidth on client and server
JP4291970B2 (ja) 2001-12-20 2009-07-08 富士通株式会社 暗号処理装置
US7117366B2 (en) 2002-01-08 2006-10-03 International Business Machines Corporation Public key based authentication method for transaction delegation in service-based computing environments
US7376967B1 (en) 2002-01-14 2008-05-20 F5 Networks, Inc. Method and system for performing asynchronous cryptographic operations
JP3897613B2 (ja) 2002-02-27 2007-03-28 株式会社日立製作所 公開鍵暗号方式における登録局サーバの運用方法、登録局サーバ、及びプログラム
US7400733B1 (en) 2002-02-27 2008-07-15 Atheros Communications, Inc. Key refresh at the MAC layer
US20030188188A1 (en) 2002-03-15 2003-10-02 Microsoft Corporation Time-window-constrained multicast for future delivery multicast
US7890771B2 (en) 2002-04-17 2011-02-15 Microsoft Corporation Saving and retrieving data based on public key encryption
US20030217126A1 (en) 2002-05-14 2003-11-20 Polcha Andrew J. System and method for automatically configuring remote computer
US6965674B2 (en) 2002-05-21 2005-11-15 Wavelink Corporation System and method for providing WLAN security through synchronized update and rotation of WEP keys
JP2005527853A (ja) 2002-05-23 2005-09-15 アトメル・コーポレイション 高度暗号化規格(aes)のハードウェア暗号法エンジン
US20040009815A1 (en) 2002-06-26 2004-01-15 Zotto Banjamin O. Managing access to content
AU2003251853A1 (en) 2002-07-12 2004-02-02 Ingrian Networks, Inc. Network attached encryption
US7844717B2 (en) 2003-07-18 2010-11-30 Herz Frederick S M Use of proxy servers and pseudonymous transactions to maintain individual's privacy in the competitive business of maintaining personal history databases
US7620680B1 (en) 2002-08-15 2009-11-17 Microsoft Corporation Fast byzantine paxos
US7877607B2 (en) 2002-08-30 2011-01-25 Hewlett-Packard Development Company, L.P. Tamper-evident data management
FR2844656B1 (fr) 2002-09-18 2005-01-28 France Telecom Procede de signature electronique, programme et serveur pour la mise en oeuvre du procede
US8064508B1 (en) 2002-09-19 2011-11-22 Silicon Image, Inc. Equalizer with controllably weighted parallel high pass and low pass filters and receiver including such an equalizer
US20040107345A1 (en) 2002-10-21 2004-06-03 Brandt David D. System and methodology providing automation security protocols and intrusion detection in an industrial controller environment
US7565419B1 (en) 2002-11-22 2009-07-21 Symantec Operating Corporation Conflict resolution in a peer to peer network
FR2848052B1 (fr) 2002-11-29 2005-03-18 Orange France Systeme et procede de selection dans un terminal pour une architecture dediee a un reseau de communication
US20040143733A1 (en) 2003-01-16 2004-07-22 Cloverleaf Communication Co. Secure network data storage mediator
US20050021712A1 (en) 2003-01-24 2005-01-27 Constantin Chassapis Multi-user, multi-device remote access system
DE10306268A1 (de) 2003-02-14 2004-08-26 Michael Sack Verfahren zum Übermitteln eines Nutzerdatensatzes an eine Anwenderstation
ES2357414T3 (es) * 2003-02-28 2011-04-26 Research In Motion Limited Sistema y método de protección de datos en un dispositivo de comunicación.
GB2400699B (en) 2003-04-17 2006-07-05 Hewlett Packard Development Co Security data provision method and apparatus and data recovery method and system
US7093147B2 (en) 2003-04-25 2006-08-15 Hewlett-Packard Development Company, L.P. Dynamically selecting processor cores for overall power efficiency
US20050015471A1 (en) 2003-07-18 2005-01-20 Zhang Pu Paul Secure cluster configuration data set transfer protocol
US7697690B2 (en) 2003-07-21 2010-04-13 Hewlett-Packard Development Company, L.P. Windowed backward key rotation
JP4062206B2 (ja) 2003-08-01 2008-03-19 日本電気株式会社 署名復号サービスシステム及びプログラム
JP4437650B2 (ja) 2003-08-25 2010-03-24 株式会社日立製作所 ストレージシステム
JP2005151529A (ja) 2003-10-20 2005-06-09 Sony Corp データ伝送方法、データ伝送装置及びデータ受信装置
US7694151B1 (en) * 2003-11-20 2010-04-06 Johnson Richard C Architecture, system, and method for operating on encrypted and/or hidden information
US7421079B2 (en) 2003-12-09 2008-09-02 Northrop Grumman Corporation Method and apparatus for secure key replacement
JP2005197912A (ja) 2004-01-06 2005-07-21 Nippon Telegr & Teleph Corp <Ntt> 情報開示制御方法、情報開示制御プログラム、ならびに、耐タンパ装置
US8065720B1 (en) 2004-01-06 2011-11-22 Novell, Inc. Techniques for managing secure communications
US7296023B2 (en) 2004-01-15 2007-11-13 International Business Machines Corporation Method and apparatus for persistent real-time collaboration
JP2005258801A (ja) 2004-03-11 2005-09-22 Matsushita Electric Ind Co Ltd 個人認証システム
US8086702B2 (en) 2005-03-16 2011-12-27 Icontrol Networks, Inc. Takeover processes in security network integrated with premise security system
EP2267625A3 (en) 2004-04-19 2015-08-05 Lumension Security S.A. On-line centralized and local authorization of executable files
CA2563354C (en) 2004-04-26 2010-08-17 Jp Morgan Chase Bank System and method for routing messages
JP4532484B2 (ja) 2004-05-17 2010-08-25 三菱電機株式会社 量子暗号通信装置
US20050273629A1 (en) 2004-06-04 2005-12-08 Vitalsource Technologies System, method and computer program product for providing digital rights management of protected content
US20060010323A1 (en) 2004-07-07 2006-01-12 Xerox Corporation Method for a repository to provide access to a document, and a repository arranged in accordance with the same method
CN101019371A (zh) 2004-07-15 2007-08-15 松下电器产业株式会社 时刻认证装置、时刻认证方法、计算机程序、记录介质、集成电路及时刻认证系统
US20060021018A1 (en) 2004-07-21 2006-01-26 International Business Machines Corporation Method and system for enabling trust infrastructure support for federated user lifecycle management
US20060048222A1 (en) 2004-08-27 2006-03-02 O'connor Clint H Secure electronic delivery seal for information handling system
US7814314B2 (en) 2004-08-31 2010-10-12 Ntt Docomo, Inc. Revocation of cryptographic digital certificates
US20060123010A1 (en) 2004-09-15 2006-06-08 John Landry System and method for managing data in a distributed computer system
JP2006099548A (ja) 2004-09-30 2006-04-13 Hitachi Ltd データ共有システム、データ共有方法、データ保有者デバイスおよびデータサーバ
US7756808B2 (en) 2004-10-14 2010-07-13 Sap Ag Apparatus and product of manufacture for using condition data structures separately from rule data structures in business transactions
US20060089163A1 (en) 2004-10-22 2006-04-27 Jean Khawand Method and system for delivering messages
US7970625B2 (en) 2004-11-04 2011-06-28 Dr Systems, Inc. Systems and methods for retrieval of medical data
US8315387B2 (en) 2004-11-05 2012-11-20 Nucrypt Llc System and method for data transmission over arbitrary media using physical encryption
US7873782B2 (en) 2004-11-05 2011-01-18 Data Robotics, Inc. Filesystem-aware block storage system, apparatus, and method
US7899189B2 (en) * 2004-12-09 2011-03-01 International Business Machines Corporation Apparatus, system, and method for transparent end-to-end security of storage data in a client-server environment
US7607164B2 (en) 2004-12-23 2009-10-20 Microsoft Corporation Systems and processes for managing policy change in a distributed enterprise
US7707288B2 (en) 2005-01-06 2010-04-27 International Business Machines Corporation Automatically building a locally managed virtual node grouping to handle a grid job requiring a degree of resource parallelism within a grid environment
JP4714482B2 (ja) 2005-02-28 2011-06-29 株式会社日立製作所 暗号通信システムおよび方法
US7900247B2 (en) 2005-03-14 2011-03-01 Microsoft Corporation Trusted third party authentication for web services
US20110209053A1 (en) * 2005-11-23 2011-08-25 Beyondcore, Inc. Shuffling Documents Containing Restricted Information
US7774826B1 (en) 2005-03-18 2010-08-10 Novell, Inc. System and method for determining effective policy profiles in a client-server architecture
JP4622627B2 (ja) 2005-03-30 2011-02-02 ブラザー工業株式会社 通信装置、通信システム及びプログラム
US8554916B2 (en) 2005-04-11 2013-10-08 Accenture Global Services Gmbh Service delivery platform and development of new client business models
US8051487B2 (en) 2005-05-09 2011-11-01 Trend Micro Incorporated Cascading security architecture
US8973008B2 (en) 2005-05-10 2015-03-03 Oracle America, Inc. Combining different resource types
JP2006319543A (ja) 2005-05-11 2006-11-24 Nec Corp コンテンツ再生システム、携帯端末、コンテンツ再生方法、およびコンテンツ再生管理プログラム
US8312064B1 (en) 2005-05-11 2012-11-13 Symantec Corporation Method and apparatus for securing documents using a position dependent file system
US8028329B2 (en) 2005-06-13 2011-09-27 Iamsecureonline, Inc. Proxy authentication network
US7639819B2 (en) 2005-06-16 2009-12-29 Oracle International Corporation Method and apparatus for using an external security device to secure data in a database
US8295492B2 (en) 2005-06-27 2012-10-23 Wells Fargo Bank, N.A. Automated key management system
US7784087B2 (en) 2005-08-04 2010-08-24 Toshiba Corporation System and method for securely sharing electronic documents
US8917159B2 (en) 2005-08-19 2014-12-23 CLARKE William McALLISTER Fully secure item-level tagging
US8566607B2 (en) 2005-08-26 2013-10-22 International Business Machines Corporation Cryptography methods and apparatus used with a processor
US20070055921A1 (en) 2005-08-30 2007-03-08 Challenor Timothy W Document editing system
US20070055862A1 (en) * 2005-09-08 2007-03-08 Interdigital Technology Corporation Method and system for distributing data
JP2007081482A (ja) 2005-09-09 2007-03-29 Canon Inc 端末認証方法及びその装置、プログラム
US7873166B2 (en) * 2005-09-13 2011-01-18 Avaya Inc. Method for undetectably impeding key strength of encryption usage for products exported outside the U.S
US8218770B2 (en) * 2005-09-13 2012-07-10 Agere Systems Inc. Method and apparatus for secure key management and protection
US7680905B1 (en) 2005-09-30 2010-03-16 Emc Corporation Methods and system for viewing SAN resources
US9055093B2 (en) 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files
JP4569464B2 (ja) 2005-12-20 2010-10-27 沖電気工業株式会社 マルチホップネットワークにおける鍵更新システム,鍵管理装置,通信端末および鍵情報構築方法
US20070143851A1 (en) 2005-12-21 2007-06-21 Fiberlink Method and systems for controlling access to computing resources based on known security vulnerabilities
US7716240B2 (en) 2005-12-29 2010-05-11 Nextlabs, Inc. Techniques and system to deploy policies intelligently
US8862551B2 (en) 2005-12-29 2014-10-14 Nextlabs, Inc. Detecting behavioral patterns and anomalies using activity data
US8832048B2 (en) 2005-12-29 2014-09-09 Nextlabs, Inc. Techniques and system to monitor and log access of information based on system and user context using policies
US20070174429A1 (en) 2006-01-24 2007-07-26 Citrix Systems, Inc. Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment
US7912994B2 (en) 2006-01-27 2011-03-22 Apple Inc. Reducing connection time for mass storage class peripheral by internally prefetching file data into local cache in response to connection to host
US8332906B2 (en) 2006-02-27 2012-12-11 Research In Motion Limited Method of customizing a standardized IT policy
US7925023B2 (en) 2006-03-03 2011-04-12 Oracle International Corporation Method and apparatus for managing cryptographic keys
US7801128B2 (en) 2006-03-31 2010-09-21 Amazon Technologies, Inc. Managing communications between computing nodes
US7751570B2 (en) 2006-04-04 2010-07-06 Oracle International Corporation Method and apparatus for managing cryptographic keys
US8064604B2 (en) 2006-04-04 2011-11-22 Oracle International Corporation Method and apparatus for facilitating role-based cryptographic key management for a database
JP2007293468A (ja) 2006-04-24 2007-11-08 Fujifilm Corp プリントサービスシステムおよびプリント処理方法
US9002018B2 (en) 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US20080005024A1 (en) 2006-05-17 2008-01-03 Carter Kirkwood Document authentication system
US20070283446A1 (en) 2006-06-05 2007-12-06 Kabushiki Kaisha Toshiba System and method for secure handling of scanned documents
US9053460B2 (en) 2006-06-12 2015-06-09 International Business Machines Corporation Rule management using a configuration database
EP2036239B1 (en) 2006-06-22 2017-09-20 LG Electronics, Inc. Method of retransmitting data in a mobile communication system
US20080019516A1 (en) 2006-06-22 2008-01-24 Entriq Inc. Enforced delay of access to digital content
US20080022376A1 (en) 2006-06-23 2008-01-24 Lenovo (Beijing) Limited System and method for hardware access control
JP4943751B2 (ja) 2006-07-04 2012-05-30 株式会社内田洋行 電子データアクセス制御システム、プログラム及び情報記憶媒体
US8108670B2 (en) 2006-07-13 2012-01-31 Intel Corporation Client apparatus and method with key manager
WO2008014326A2 (en) 2006-07-25 2008-01-31 Pivx Solutions, Inc. Systems and methods for root certificate update
US8689287B2 (en) 2006-08-17 2014-04-01 Northrop Grumman Systems Corporation Federated credentialing system and method
US20080072066A1 (en) * 2006-08-21 2008-03-20 Motorola, Inc. Method and apparatus for authenticating applications to secure services
US20100316219A1 (en) 2007-08-06 2010-12-16 David Boubion Systems and methods for simultaneous integrated multiencrypted rotating key communication
US7953978B2 (en) 2006-09-07 2011-05-31 International Business Machines Corporation Key generation and retrieval using key servers
US8407806B2 (en) 2006-09-29 2013-03-26 Purusharth Agrawal Digital data distribution detection, deterrence and disablement system and method
US8122432B2 (en) 2006-10-04 2012-02-21 International Business Machines Corporation Rule management using a configuration database
GB2443244A (en) 2006-10-05 2008-04-30 Hewlett Packard Development Co Authenticated Encryption Method and Apparatus
US20100095118A1 (en) 2006-10-12 2010-04-15 Rsa Security Inc. Cryptographic key management system facilitating secure access of data portions to corresponding groups of users
WO2008054329A1 (en) 2006-10-31 2008-05-08 Agency For Science, Technology And Research Device and method of generating and distributing access permission to digital object
US8090098B2 (en) 2006-11-13 2012-01-03 Electronics And Telecommunications Research Institute Method of generating message authentication code using stream cipher and authentication/encryption and authentication/decryption methods using stream cipher
US8213602B2 (en) 2006-11-27 2012-07-03 Broadcom Corporation Method and system for encrypting and decrypting a transport stream using multiple algorithms
JP4847301B2 (ja) 2006-11-28 2011-12-28 富士通株式会社 コンテンツ保護システム,コンテンツ保護用デバイスおよびコンテンツ保護方法
US8526621B2 (en) 2006-12-01 2013-09-03 President And Fellows Of Harvard College Method and apparatus for time-lapse cryptography
PL2052548T3 (pl) 2006-12-12 2012-08-31 Fraunhofer Ges Forschung Koder, dekoder oraz sposoby kodowania i dekodowania segmentów danych reprezentujących strumień danych w dziedzinie czasu
US20080172562A1 (en) 2007-01-12 2008-07-17 Christian Cachin Encryption and authentication of data and for decryption and verification of authenticity of data
US7870398B2 (en) 2007-01-25 2011-01-11 International Business Machines Corporation Integrity assurance of query result from database service provider
US7937432B2 (en) 2007-02-16 2011-05-03 Red Hat, Inc. State transition management according to a workflow management policy
KR101391152B1 (ko) 2007-04-05 2014-05-02 삼성전자주식회사 Ums 기기의 컨텐츠를 보호하기 위한 방법 및 장치
US8218761B2 (en) 2007-04-06 2012-07-10 Oracle International Corporation Method and apparatus for generating random data-encryption keys
JP2010524410A (ja) 2007-04-12 2010-07-15 エヌサイファー・コーポレーション・リミテッド 暗号鍵を識別および管理するための方法およびシステム
US8145762B2 (en) * 2007-05-22 2012-03-27 Kount Inc. Collecting information regarding consumer click-through traffic
US8112358B2 (en) 2007-06-04 2012-02-07 Qualcomm Atheros, Inc. Authorizing customer premise equipment on a sub-network
US9003488B2 (en) 2007-06-06 2015-04-07 Datavalet Technologies System and method for remote device recognition at public hotspots
JP2008306418A (ja) 2007-06-07 2008-12-18 Kddi Corp ネットワーク負荷軽減システム、ネットワーク負荷軽減方法およびプログラム
US20080319909A1 (en) 2007-06-25 2008-12-25 Perkins George S System and method for managing the lifecycle of encryption keys
CA2693743C (en) 2007-07-17 2016-10-04 Chris Alexander Peirson Systems and processes for obtaining and managing electronic signatures for real estate transaction documents
JP4287485B2 (ja) 2007-07-30 2009-07-01 日立ソフトウエアエンジニアリング株式会社 情報処理装置及び方法、コンピュータ読み取り可能な記録媒体、並びに、外部記憶媒体
US8111828B2 (en) 2007-07-31 2012-02-07 Hewlett-Packard Development Company, L.P. Management of cryptographic keys for securing stored data
EP2186250B1 (en) 2007-08-31 2019-03-27 IP Reservoir, LLC Method and apparatus for hardware-accelerated encryption/decryption
US7894626B2 (en) 2007-08-31 2011-02-22 Xerox Corporation System and method for the generation of multiple angle correlation-based digital watermarks
US8645715B2 (en) * 2007-09-11 2014-02-04 International Business Machines Corporation Configuring host settings to specify an encryption setting and a key label referencing a key encryption key to use to encrypt an encryption key provided to a storage drive to use to encrypt data from the host
US8140847B1 (en) 2007-09-18 2012-03-20 Jianqing Wu Digital safe
CN101399661A (zh) 2007-09-27 2009-04-01 华为技术有限公司 一种组密钥管理中的合法邻居认证方法和装置
CN101400059B (zh) 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
US8131663B1 (en) 2007-10-12 2012-03-06 Bonamy Taylor Apparatus for generating software logic rules by flowchart design
US8549278B2 (en) 2007-10-20 2013-10-01 Blackout, Inc. Rights management services-based file encryption system and method
WO2009060283A1 (en) 2007-11-05 2009-05-14 Synaptic Laboratories Limited Method and apparatus for secure communication
US20090244600A1 (en) 2007-11-27 2009-10-01 Todd Haycock Billing and remittance payment system
US8387127B1 (en) 2007-11-28 2013-02-26 Network Appliance, Inc. Storage security appliance with out-of-band management capabilities
KR100980831B1 (ko) 2007-12-12 2010-09-10 한국전자통신연구원 일회용 패스워드를 이용한 신뢰성 있는 통신 시스템 및방법
US8495357B2 (en) 2007-12-19 2013-07-23 International Business Machines Corporation Data security policy enforcement
US8060596B1 (en) 2007-12-26 2011-11-15 Symantec Corporation Methods and systems for normalizing data loss prevention categorization information
US8175276B2 (en) 2008-02-04 2012-05-08 Freescale Semiconductor, Inc. Encryption apparatus with diverse key retention schemes
JP4896054B2 (ja) 2008-03-06 2012-03-14 イートライアル株式会社 個人情報管理装置,個人情報管理プログラムおよび個人情報管理システム
US8893285B2 (en) 2008-03-14 2014-11-18 Mcafee, Inc. Securing data using integrated host-based data loss agent with encryption detection
US8681990B2 (en) 2008-03-28 2014-03-25 International Business Machines Corporation Renewal management for data items
JP4526574B2 (ja) 2008-03-31 2010-08-18 富士通株式会社 暗号データ管理システム、および暗号データ管理方法
US8225106B2 (en) 2008-04-02 2012-07-17 Protegrity Corporation Differential encryption utilizing trust modes
US8494168B1 (en) 2008-04-28 2013-07-23 Netapp, Inc. Locating cryptographic keys stored in a cache
US8589697B2 (en) 2008-04-30 2013-11-19 Netapp, Inc. Discarding sensitive data from persistent point-in-time image
US20100088126A1 (en) 2008-05-05 2010-04-08 Vito Iaia Real time data distribution system
US8601258B2 (en) * 2008-05-05 2013-12-03 Kip Cr P1 Lp Method for configuring centralized encryption policies for devices
US8423483B2 (en) 2008-05-16 2013-04-16 Carnegie Mellon University User-controllable learning of policies
US20090300356A1 (en) 2008-05-27 2009-12-03 Crandell Jeffrey L Remote storage encryption system
US9069599B2 (en) 2008-06-19 2015-06-30 Servicemesh, Inc. System and method for a cloud computing abstraction layer with security zone facilities
US20100014662A1 (en) 2008-06-19 2010-01-21 Sami Antti Jutila Method, apparatus and computer program product for providing trusted storage of temporary subscriber data
CN102057618A (zh) 2008-06-23 2011-05-11 松下电器产业株式会社 信息处理装置、加密密钥的管理方法、计算机程序及集成电路
GB0811897D0 (en) 2008-06-30 2008-07-30 Steed Darren Intelligent file encapsulation
US8261320B1 (en) 2008-06-30 2012-09-04 Symantec Corporation Systems and methods for securely managing access to data
US8005859B2 (en) 2008-07-09 2011-08-23 The Go Daddy Group, Inc. Maintaining contact with a document storage file owner
US8245039B2 (en) 2008-07-18 2012-08-14 Bridgewater Systems Corp. Extensible authentication protocol authentication and key agreement (EAP-AKA) optimization
JP4620146B2 (ja) 2008-07-18 2011-01-26 株式会社東芝 情報処理装置及び認証方法
JP4922262B2 (ja) 2008-07-30 2012-04-25 株式会社オートネットワーク技術研究所 制御装置
US8069053B2 (en) 2008-08-13 2011-11-29 Hartford Fire Insurance Company Systems and methods for de-identification of personal data
US8826443B1 (en) 2008-09-18 2014-09-02 Symantec Corporation Selective removal of protected content from web requests sent to an interactive website
US8302170B2 (en) 2008-09-22 2012-10-30 Bespoke Innovations S.A.R.L. Method for enhancing network application security
US9742555B2 (en) 2008-09-25 2017-08-22 Nokia Technologies Oy Encryption/identification using array of resonators at transmitter and receiver
US8804950B1 (en) 2008-09-30 2014-08-12 Juniper Networks, Inc. Methods and apparatus for producing a hash value based on a hash function
EP2342114B1 (fr) 2008-10-27 2012-12-26 Siemens SAS Methode de routage de donnees entre au moins un vehicule guide et un reseau au sol
US8695090B2 (en) 2008-10-31 2014-04-08 Symantec Corporation Data loss protection through application data access classification
US7992055B1 (en) 2008-11-07 2011-08-02 Netapp, Inc. System and method for providing autosupport for a security system
US8909925B2 (en) * 2008-11-17 2014-12-09 Prakash Baskaran System to secure electronic content, enforce usage policies and provide configurable functionalities
JP2010124071A (ja) 2008-11-17 2010-06-03 Toshiba Corp 通信装置、通信方法及びプログラム
US8392682B2 (en) 2008-12-17 2013-03-05 Unisys Corporation Storage security using cryptographic splitting
JP2010128824A (ja) 2008-11-27 2010-06-10 Hitachi Software Eng Co Ltd ポリシーグループ識別子を利用したクライアント制御システム
CN101753302B (zh) 2008-12-09 2012-07-04 北大方正集团有限公司 一种保证sip通信安全的方法和系统
US8230050B1 (en) 2008-12-10 2012-07-24 Amazon Technologies, Inc. Providing access to configurable private computer networks
US8185931B1 (en) 2008-12-19 2012-05-22 Quantcast Corporation Method and system for preserving privacy related to networked media consumption activities
US8051187B2 (en) 2008-12-22 2011-11-01 Check Point Software Technologies Ltd. Methods for automatic categorization of internal and external communication for preventing data loss
US8613040B2 (en) 2008-12-22 2013-12-17 Symantec Corporation Adaptive data loss prevention policies
US8565118B2 (en) 2008-12-30 2013-10-22 Juniper Networks, Inc. Methods and apparatus for distributed dynamic network provisioning
US8555089B2 (en) 2009-01-08 2013-10-08 Panasonic Corporation Program execution apparatus, control method, control program, and integrated circuit
US8699704B2 (en) 2010-01-13 2014-04-15 Entropic Communications, Inc. Secure node admission in a communication network
US8738932B2 (en) 2009-01-16 2014-05-27 Teleputers, Llc System and method for processor-based security
US9165154B2 (en) 2009-02-16 2015-10-20 Microsoft Technology Licensing, Llc Trusted cloud computing and services framework
US8341427B2 (en) 2009-02-16 2012-12-25 Microsoft Corporation Trusted cloud computing and services framework
US8245037B1 (en) 2009-02-17 2012-08-14 Amazon Technologies, Inc. Encryption key management
WO2010096923A1 (en) 2009-02-27 2010-09-02 Certicom Corp. System and method for securely communicating with electronic meters
US9106617B2 (en) * 2009-03-10 2015-08-11 At&T Intellectual Property I, L.P. Methods, systems and computer program products for authenticating computer processing devices and transferring both encrypted and unencrypted data therebetween
US9015789B2 (en) 2009-03-17 2015-04-21 Sophos Limited Computer security lock down methods
US8572758B1 (en) * 2009-03-30 2013-10-29 Symantec Corporation DLP-enforced loss scanning, sequestering, and content indexing
US20100250965A1 (en) 2009-03-31 2010-09-30 Olson Christopher H Apparatus and method for implementing instruction support for the advanced encryption standard (aes) algorithm
US8654970B2 (en) 2009-03-31 2014-02-18 Oracle America, Inc. Apparatus and method for implementing instruction support for the data encryption standard (DES) algorithm
US8411867B2 (en) * 2009-04-06 2013-04-02 Broadcom Corporation Scalable and secure key management for cryptographic data processing
US20100266132A1 (en) * 2009-04-15 2010-10-21 Microsoft Corporation Service-based key escrow and security for device data
US7996564B2 (en) 2009-04-16 2011-08-09 International Business Machines Corporation Remote asynchronous data mover
US9672189B2 (en) 2009-04-20 2017-06-06 Check Point Software Technologies, Ltd. Methods for effective network-security inspection in virtualized environments
US8286004B2 (en) 2009-10-09 2012-10-09 Lsi Corporation Saving encryption keys in one-time programmable memory
US8251283B1 (en) 2009-05-08 2012-08-28 Oberon Labs, LLC Token authentication using spatial characteristics
WO2010135412A2 (en) 2009-05-19 2010-11-25 Security First Corp. Systems and methods for securing data in the cloud
US8752180B2 (en) * 2009-05-26 2014-06-10 Symantec Corporation Behavioral engine for identifying patterns of confidential data use
US8296434B1 (en) 2009-05-28 2012-10-23 Amazon Technologies, Inc. Providing dynamically scaling computing load balancing
US8284945B2 (en) 2009-06-02 2012-10-09 Hewlett-Packard Development Company, L.P. Automatic change of symmetrical encryption key
US20100318782A1 (en) 2009-06-12 2010-12-16 Microsoft Corporation Secure and private backup storage and processing for trusted computing and data services
US8321956B2 (en) * 2009-06-17 2012-11-27 Microsoft Corporation Remote access control of storage devices
US9031876B2 (en) 2009-06-19 2015-05-12 Hewlett-Packard Development Company, L.P. Managing keys for encrypted shared documents
GB2471282B (en) 2009-06-22 2015-02-18 Barclays Bank Plc Method and system for provision of cryptographic services
US20100332401A1 (en) 2009-06-30 2010-12-30 Anand Prahlad Performing data storage operations with a cloud storage environment, including automatically selecting among multiple cloud storage sites
JP2011019129A (ja) 2009-07-09 2011-01-27 Nec Corp データ管理システム及びデータ管理方法
US8799322B2 (en) * 2009-07-24 2014-08-05 Cisco Technology, Inc. Policy driven cloud storage management and cloud storage policy router
US8321560B1 (en) 2009-08-13 2012-11-27 Symantec Corporation Systems and methods for preventing data loss from files sent from endpoints
WO2011024298A1 (ja) * 2009-08-28 2011-03-03 リプレックス株式会社 サービスシステム
US8560848B2 (en) 2009-09-02 2013-10-15 Marvell World Trade Ltd. Galois/counter mode encryption in a wireless network
US8224796B1 (en) 2009-09-11 2012-07-17 Symantec Corporation Systems and methods for preventing data loss on external devices
US9311465B2 (en) 2009-09-21 2016-04-12 James McNulty Secure information storage and retrieval apparatus and method
IL201351A0 (en) 2009-10-01 2010-05-31 Michael Feldbau Device and method for electronic signature via proxy
US9043877B2 (en) 2009-10-06 2015-05-26 International Business Machines Corporation Temporarily providing higher privileges for computing system to user identifier
US8578504B2 (en) 2009-10-07 2013-11-05 Ca, Inc. System and method for data leakage prevention
US8458186B2 (en) 2009-11-06 2013-06-04 Symantec Corporation Systems and methods for processing and managing object-related data for use by a plurality of applications
US9552497B2 (en) 2009-11-10 2017-01-24 Mcafee, Inc. System and method for preventing data loss using virtual machine wrapped applications
US8572369B2 (en) 2009-12-11 2013-10-29 Sap Ag Security for collaboration services
CN101741547B (zh) 2009-12-18 2012-05-23 西安西电捷通无线网络通信股份有限公司 节点间保密通信方法及系统
RU2012130355A (ru) 2009-12-18 2014-01-27 Конинклейке Филипс Электроникс Н.В. Управление цифровыми правами с использованием шифрования на основе атрибутов
US8478996B2 (en) 2009-12-21 2013-07-02 International Business Machines Corporation Secure Kerberized access of encrypted file system
GB201000288D0 (en) 2010-01-11 2010-02-24 Scentrics Information Security System and method of enforcing a computer policy
US8650129B2 (en) 2010-01-20 2014-02-11 American Express Travel Related Services Company, Inc. Dynamically reacting policies and protections for securing mobile financial transaction data in transit
JP5375976B2 (ja) 2010-01-22 2013-12-25 富士通株式会社 認証方法、認証システムおよび認証プログラム
JP5070305B2 (ja) 2010-01-29 2012-11-14 株式会社日本総合研究所 取引中継方法および取引中継システム
US8527549B2 (en) * 2010-02-22 2013-09-03 Sookasa Inc. Cloud based operating and virtual file system
US8468455B2 (en) 2010-02-24 2013-06-18 Novell, Inc. System and method for providing virtual desktop extensions on a client desktop
CA2692677C (en) 2010-02-26 2017-10-03 Xtreme Mobility Inc. Secure billing system and method for a mobile device
US20110213971A1 (en) 2010-03-01 2011-09-01 Nokia Corporation Method and apparatus for providing rights management at file system level
US8930713B2 (en) * 2010-03-10 2015-01-06 Dell Products L.P. System and method for general purpose encryption of data
US8621220B2 (en) 2010-03-11 2013-12-31 Ebay Inc. Systems and methods for identity encapsulated cryptography
US10672286B2 (en) 2010-03-14 2020-06-02 Kryterion, Inc. Cloud based test environment
US8370648B1 (en) 2010-03-15 2013-02-05 Emc International Company Writing and reading encrypted data using time-based encryption keys
US8667269B2 (en) 2010-04-02 2014-03-04 Suridx, Inc. Efficient, secure, cloud-based identity services
US8555059B2 (en) 2010-04-16 2013-10-08 Microsoft Corporation Secure local update of content management software
EP2378451B1 (en) 2010-04-19 2018-07-04 Vodafone Holding GmbH User authentication in a tag-based service
US8473324B2 (en) 2010-04-30 2013-06-25 Bank Of America Corporation Assessment of risk associated with international cross border data movement
US8607358B1 (en) 2010-05-18 2013-12-10 Google Inc. Storing encrypted objects
US8856300B2 (en) 2010-05-18 2014-10-07 At&T Intellectual Property I, L.P. End-to-end secure cloud computing
US9160738B2 (en) 2010-05-27 2015-10-13 Microsoft Corporation Delegation-based authorization
US8447986B2 (en) * 2010-06-23 2013-05-21 Microsoft Corporation Accessing restricted content based on proximity
US8443367B1 (en) 2010-07-16 2013-05-14 Vmware, Inc. Federated management in a distributed environment
US9064131B2 (en) * 2010-07-28 2015-06-23 Nextlabs, Inc. Protecting documents using policies and encryption
US8769269B2 (en) * 2010-08-12 2014-07-01 International Business Machines Corporation Cloud data management
US20120079289A1 (en) 2010-09-27 2012-03-29 Skymedi Corporation Secure erase system for a solid state non-volatile memory device
US8565108B1 (en) 2010-09-28 2013-10-22 Amazon Technologies, Inc. Network data transmission analysis
US8555383B1 (en) 2010-09-28 2013-10-08 Amazon Technologies, Inc. Network data transmission auditing
US8416709B1 (en) 2010-09-28 2013-04-09 Amazon Technologies, Inc. Network data transmission analysis management
JP2012073374A (ja) 2010-09-28 2012-04-12 Fujikura Ltd 光ファイバ切断装置
US8504837B2 (en) 2010-10-15 2013-08-06 Rockwell Automation Technologies, Inc. Security model for industrial devices
US9961550B2 (en) 2010-11-04 2018-05-01 Itron Networked Solutions, Inc. Physically secured authorization for utility applications
US20120114118A1 (en) 2010-11-05 2012-05-10 Samsung Electronics Co., Ltd. Key rotation in live adaptive streaming
US8832726B2 (en) 2010-11-17 2014-09-09 Verizon Patent And Licensing Inc. Video streaming entitlement determined based on the location of the viewer
US8401186B2 (en) 2010-11-29 2013-03-19 Beijing Z&W Technology Consulting Co., Ltd. Cloud storage data access method, apparatus and system based on OTP
US8713362B2 (en) 2010-12-01 2014-04-29 International Business Machines Corporation Obviation of recovery of data store consistency for application I/O errors
JP5437222B2 (ja) 2010-12-01 2014-03-12 本田技研工業株式会社 燃料電池スタック
US8565422B2 (en) 2010-12-03 2013-10-22 Salesforce.Com, Inc. Method and system for enryption key versioning and key rotation in a multi-tenant environment
US9311495B2 (en) * 2010-12-09 2016-04-12 International Business Machines Corporation Method and apparatus for associating data loss protection (DLP) policies with endpoints
KR101145766B1 (ko) 2010-12-10 2012-05-16 고려대학교 산학협력단 보안 서비스 제공 시스템 및 방법
US9094291B1 (en) * 2010-12-14 2015-07-28 Symantec Corporation Partial risk score calculation for a data object
US8352749B2 (en) 2010-12-17 2013-01-08 Google Inc. Local trusted services manager for a contactless smart card
CN102130768B (zh) 2010-12-20 2012-11-07 西安西电捷通无线网络通信股份有限公司 一种具有链路层加解密能力的终端设备及其数据处理方法
US9183045B2 (en) * 2010-12-21 2015-11-10 Mo-Dv, Inc. System and method for data collection and exchange with protected memory devices
US9306741B1 (en) 2010-12-22 2016-04-05 Emc Corporation Updating keys for use in authentication
US8538020B1 (en) * 2010-12-29 2013-09-17 Amazon Technologies, Inc. Hybrid client-server cryptography for network applications
US8971539B2 (en) * 2010-12-30 2015-03-03 Verisign, Inc. Management of SSL certificate escrow
EP2472819B1 (en) * 2010-12-31 2016-03-23 Regify S.A. Systems and methods for providing and operating a secure communication network
US20120173881A1 (en) * 2011-01-03 2012-07-05 Patient Always First Method & Apparatus for Remote Information Capture, Storage, and Retrieval
US8478858B2 (en) 2011-02-01 2013-07-02 Limelight Networks, Inc. Policy management for content storage in content delivery networks
ES2902644T3 (es) 2011-02-11 2022-03-29 Siemens Healthcare Diagnostics Inc Sistema y método para actualización segura de software
US8588426B2 (en) 2011-02-21 2013-11-19 Blackberry Limited Methods and apparatus to secure communications in a mobile network
JP5564453B2 (ja) 2011-02-25 2014-07-30 株式会社エヌ・ティ・ティ・データ 情報処理システム、及び情報処理方法
CA2829197A1 (en) 2011-03-07 2012-09-13 Security First Corp. Secure file sharing method and system
US9130937B1 (en) 2011-03-07 2015-09-08 Raytheon Company Validating network communications
US9119017B2 (en) 2011-03-18 2015-08-25 Zscaler, Inc. Cloud based mobile device security and policy enforcement
EP2503480A1 (en) * 2011-03-22 2012-09-26 Smals Vzw Method and devices for secure data access and exchange
JP5676331B2 (ja) 2011-03-24 2015-02-25 株式会社東芝 ルートノード及びプログラム
US8965827B2 (en) 2011-03-30 2015-02-24 Computer Sciences Corporation Rules execution platform system and method
US8379857B1 (en) 2011-03-30 2013-02-19 Google Inc. Secure key distribution for private communication in an unsecured communication channel
US8843734B2 (en) 2011-04-04 2014-09-23 Nextlabs, Inc. Protecting information using policies and encryption
US8789210B2 (en) * 2011-05-04 2014-07-22 International Business Machines Corporation Key usage policies for cryptographic keys
US8850593B2 (en) 2011-05-12 2014-09-30 Hewlett-Packard Development Company, L.P. Data management using a virtual machine-data image
US9076020B2 (en) 2011-05-13 2015-07-07 Microsoft Technology Licensing, Llc Protected mode for mobile communication and other devices
US8544070B2 (en) 2011-05-16 2013-09-24 Novell, Inc. Techniques for non repudiation of storage in cloud or shared storage environments
US9690941B2 (en) * 2011-05-17 2017-06-27 Microsoft Technology Licensing, Llc Policy bound key creation and re-wrap service
WO2012159059A1 (en) * 2011-05-18 2012-11-22 Citrix Systems, Inc. Systems and methods for secure handling of data
US9049023B2 (en) 2011-05-24 2015-06-02 Zeutro Llc Outsourcing the decryption of functional encryption ciphertexts
US20120303310A1 (en) 2011-05-26 2012-11-29 First Data Corporation Systems and Methods for Providing Test Keys to Mobile Devices
KR20120134509A (ko) 2011-06-02 2012-12-12 삼성전자주식회사 어플리케이션 개발 시스템에서 디바이스용 어플리케이션을 생성 및 설치하기 위한 장치 및 방법
US20130031155A1 (en) * 2011-06-06 2013-01-31 Topia Technology, Inc. Electronic file sharing
US8516244B2 (en) 2011-06-10 2013-08-20 Zeutro Llc System, apparatus and method for decentralizing attribute-based encryption information
US20120323990A1 (en) 2011-06-15 2012-12-20 Microsoft Corporation Efficient state reconciliation
WO2012174427A2 (en) 2011-06-16 2012-12-20 OneID Inc. Method and system for determining authentication levels in transactions
US8891772B2 (en) 2011-06-17 2014-11-18 Microsoft Corporation Cloud key escrow system
US8806204B2 (en) 2011-06-20 2014-08-12 Liaison Technologies, Inc. Systems and methods for maintaining data security across multiple active domains
US8850516B1 (en) * 2011-06-22 2014-09-30 Emc Corporation Virtual private cloud that provides enterprise grade functionality and compliance
US8751807B2 (en) 2011-06-23 2014-06-10 Azuki Systems Inc. Method and system for secure over-the-top live video delivery
US8862889B2 (en) * 2011-07-02 2014-10-14 Eastcliff LLC Protocol for controlling access to encryption keys
US9015469B2 (en) 2011-07-28 2015-04-21 Cloudflare, Inc. Supporting secure sessions in a cloud-based proxy service
US9009315B2 (en) 2011-07-28 2015-04-14 Telefonaktiebolaget L M Ericsson (Publ) Hierarchical delegation and reservation of lookup keys
US8788881B2 (en) 2011-08-17 2014-07-22 Lookout, Inc. System and method for mobile device push communications
US8798273B2 (en) 2011-08-19 2014-08-05 International Business Machines Corporation Extending credential type to group Key Management Interoperability Protocol (KMIP) clients
US9203613B2 (en) * 2011-09-29 2015-12-01 Amazon Technologies, Inc. Techniques for client constructed sessions
US9467424B2 (en) * 2011-10-07 2016-10-11 Salesforce.Com, Inc. Methods and systems for proxying data
US8655989B2 (en) 2011-10-14 2014-02-18 Sap Ag Business network access protocol for the business network
US20130103834A1 (en) 2011-10-21 2013-04-25 Blue Coat Systems, Inc. Multi-Tenant NATting for Segregating Traffic Through a Cloud Service
US8788843B2 (en) 2011-10-28 2014-07-22 LogMeln, Inc. Storing user data in a service provider cloud without exposing user-specific secrets to the service provider
US8950005B1 (en) 2011-11-04 2015-02-03 Symantec Corporation Method and system for protecting content of sensitive web applications
WO2013084054A1 (en) 2011-12-08 2013-06-13 Dark Matter Labs Inc. Key creation and rotation for data encryption
KR101888382B1 (ko) * 2011-12-16 2018-09-21 삼성전자 주식회사 복수 키 활용 지원 저장 장치
US8639951B2 (en) 2011-12-19 2014-01-28 International Business Machines Corporation States for breakout appliance in a mobile data network
US8954758B2 (en) 2011-12-20 2015-02-10 Nicolas LEOUTSARAKOS Password-less security and protection of online digital assets
US8873754B2 (en) 2011-12-20 2014-10-28 Huawei Technologies Co., Ltd. Proxy-based encryption method, proxy-based decryption method, network equipment, network device and system
WO2013093209A1 (en) 2011-12-21 2013-06-27 Ssh Communications Security Oyj Automated access, key, certificate, and credential management
CN104247333B (zh) 2011-12-27 2017-08-11 思科技术公司 用于基于网络的服务的管理的系统和方法
US9449183B2 (en) * 2012-01-28 2016-09-20 Jianqing Wu Secure file drawer and safe
US9038083B2 (en) 2012-02-09 2015-05-19 Citrix Systems, Inc. Virtual machine provisioning based on tagged physical resources in a cloud computing environment
US9268947B1 (en) 2012-03-15 2016-02-23 Dataguise Inc. Method and system for managing information associated with sensitive information in an enterprise
CN104169935B (zh) 2012-03-28 2017-10-31 索尼公司 信息处理装置、信息处理系统、信息处理方法
US9262496B2 (en) 2012-03-30 2016-02-16 Commvault Systems, Inc. Unified access to personal data
US8695101B2 (en) 2012-04-09 2014-04-08 International Business Machines Corporation Data privacy engine
US9160722B2 (en) 2012-04-30 2015-10-13 Anchorfree, Inc. System and method for securing user information on social networks
US9548962B2 (en) 2012-05-11 2017-01-17 Alcatel Lucent Apparatus and method for providing a fluid security layer
US9117084B2 (en) * 2012-05-15 2015-08-25 Ixia Methods, systems, and computer readable media for measuring detection accuracy of a security device using benign traffic
US8964990B1 (en) 2012-05-17 2015-02-24 Amazon Technologies, Inc. Automating key rotation in a distributed system
US9237446B2 (en) 2012-05-24 2016-01-12 Blackberry Limited System and method for controlling access to media content
CA2877451C (en) 2012-06-22 2020-11-10 Ologn Technologies Ag Systems, methods and apparatuses for securing root certificates
WO2014011453A2 (en) 2012-07-09 2014-01-16 Jvl Ventures, Llc Systems, methods, and computer program products for integrating third party services with a mobile wallet
US8713633B2 (en) 2012-07-13 2014-04-29 Sophos Limited Security access protection for user data stored in a cloud computing facility
US9400890B2 (en) 2012-08-10 2016-07-26 Qualcomm Incorporated Method and devices for selective RAM scrambling
US20140115327A1 (en) 2012-10-22 2014-04-24 Microsoft Corporation Trust services data encryption for multiple parties
US9143491B2 (en) 2012-10-29 2015-09-22 Empire Technology Development Llc Quorum-based virtual machine security
US9137222B2 (en) * 2012-10-31 2015-09-15 Vmware, Inc. Crypto proxy for cloud storage services
US8713311B1 (en) 2012-11-07 2014-04-29 Google Inc. Encryption using alternate authentication key
WO2014084846A1 (en) 2012-11-30 2014-06-05 Hewlett-Packard Development Company, L.P. Running agents to execute automation tasks in cloud systems
US8997197B2 (en) 2012-12-12 2015-03-31 Citrix Systems, Inc. Encryption-based data access management
US9367697B1 (en) 2013-02-12 2016-06-14 Amazon Technologies, Inc. Data security with a security module
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US9288184B1 (en) 2013-05-16 2016-03-15 Wizards Of The Coast Llc Distributed customer data management network handling personally identifiable information

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61177479A (ja) * 1985-02-01 1986-08-09 沖電気工業株式会社 暗号化鍵管理方式
JPH09233067A (ja) * 1990-07-31 1997-09-05 Hiroichi Okano 知的情報処理方法および装置
JP2002540748A (ja) * 1999-03-31 2002-11-26 インターナショナル・ビジネス・マシーンズ・コーポレーション モバイル装置の法制要件遵守
JP2003208355A (ja) * 2002-01-11 2003-07-25 Hitachi Ltd データ記憶装置ならびにデータバックアップ方法およびデータリストア方法
JP2004126716A (ja) * 2002-09-30 2004-04-22 Fujitsu Ltd 広域分散ストレージシステムを利用したデータ格納方法、その方法をコンピュータに実現させるプログラム、記録媒体、及び広域分散ストレージシステムにおける制御装置
JP2009064178A (ja) * 2007-09-05 2009-03-26 Hitachi Ltd ストレージ装置及びデータの管理方法
JP2013513834A (ja) * 2009-12-15 2013-04-22 マイクロソフト コーポレーション 信頼できるコンピューティングおよびデータサービスのための信頼できる拡張マークアップ言語
JP2011175578A (ja) * 2010-02-25 2011-09-08 Hitachi Solutions Ltd データバックアップシステム及びデータバックアップ方法

Also Published As

Publication number Publication date
CA2916954C (en) 2022-01-18
EP3017561A1 (en) 2016-05-11
SG10201803844TA (en) 2018-06-28
CN105493435B (zh) 2019-04-09
JP2016524429A (ja) 2016-08-12
WO2015002875A1 (en) 2015-01-08
CA3052182C (en) 2022-10-04
CA2916954A1 (en) 2015-01-08
US11323479B2 (en) 2022-05-03
JP6622196B2 (ja) 2019-12-18
CA3052182A1 (en) 2015-01-08
US10075471B2 (en) 2018-09-11
JP6835999B2 (ja) 2021-02-24
EP3893430A1 (en) 2021-10-13
CN105493435A (zh) 2016-04-13
CN109951480B (zh) 2022-03-29
US20180359282A1 (en) 2018-12-13
SG11201510650UA (en) 2016-01-28
EP3017561A4 (en) 2017-01-25
EP3017561B1 (en) 2021-06-30
CN109951480A (zh) 2019-06-28
US20150019858A1 (en) 2015-01-15
JP2018057045A (ja) 2018-04-05
JP6765390B2 (ja) 2020-10-07

Similar Documents

Publication Publication Date Title
JP6835999B2 (ja) 仮想サービスプロバイダゾーン
US11429729B2 (en) Buckets with policy driven forced encryption
US10474829B2 (en) Virtual service provider zones
US10090998B2 (en) Multiple authority data security and access
US9519696B1 (en) Data transformation policies
US11431757B2 (en) Access control using impersonization
US9619659B1 (en) Systems and methods for providing information security using context-based keys
JP2018137802A (ja) 鍵を有するリソースロケーター

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200609

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20200609

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20200811

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200818

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201208

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20210107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210204

R150 Certificate of patent or registration of utility model

Ref document number: 6835999

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250