CN105493435B - 虚拟服务提供商存储区 - Google Patents
虚拟服务提供商存储区 Download PDFInfo
- Publication number
- CN105493435B CN105493435B CN201480046236.7A CN201480046236A CN105493435B CN 105493435 B CN105493435 B CN 105493435B CN 201480046236 A CN201480046236 A CN 201480046236A CN 105493435 B CN105493435 B CN 105493435B
- Authority
- CN
- China
- Prior art keywords
- service
- data
- request
- key
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了作为服务的应用程序编程接口代理服务的服务代理,其可涉及数据存储。当存储数据的请求由所述服务代理接收时,所述服务代理加密所述数据并且将加密形式的所述数据存储在所述服务处。类似地,当检索数据的请求由所述服务代理接收时,所述服务代理从所述服务获取加密数据并且对所述数据进行解密。所述数据可使用保持不可由所述服务访问的密钥来加密。
Description
相关申请的交叉引用
本申请要求均于2013年7月1日提交的共同未决的美国专利申请号13/932,824和13/932,872的优先权,这些申请的内容以引用的方式全部并入本文。本申请出于所有目的以引用的方式并入于2013年4月9日公布的标题为“NETWORK DATA TRANSMISSION ANALYSISMANAGEMENT”的美国专利号8,416,709,于2012年7月7日提交的标题为“FLEXIBLYCONFIGURABLE DATA MODIFICATION SERVICES”的美国专利申请号13/491,403,于2013年2月12日提交的标题为“DATA SECURITY SERVICE”的美国专利申请号13/764,963,以及于2013年7月1日提交的标题为“DATA LOSS PREVENTION TECHNIQUES”(代理人案号0097749-051US0)的美国专利申请号13/932,872的全部公开。
背景技术
在许多语境中,计算资源和相关数据的安全性非常重要。例如,组织通常利用计算设备的网络来向它们的用户提供一组稳健的服务。网络通常跨多个地理边界并通常与其他网络连接。例如,组织可以支持其使用计算资源的内部网络和由其他人管理的计算资源两者进行的操作。例如,组织的计算机可以在使用另一个组织的服务的同时与其他组织的计算机通信以访问和/或提供数据。组织可以利用复合数据存储系统以有效并成本效益地存储数据。在许多情况下,组织配置并利用由其他组织托管和管理的数据存储系统,从而降低基础设施成本并实现其他优点。这些数据存储系统和其他服务可以在各自具有它们自己的规章制度的多个不同的司法管辖权下操作。通过要管理的计算资源的这种复合使用,确保对数据的访问被授权并且总体上数据是安全的可能具有挑战性,尤其是随着此类配置的大小和复杂性的增长。
附图简述
将参照附图描述根据本公开的各个实施方案,在附图中:
图1示出其中可以实践各个实施方案的环境的说明性实例;
图2示出其中可以实践各个实施方案的环境的说明性实例;
图3示出其中可以实践各个实施方案的环境的说明性实例;
图4示出其中可以实践各个实施方案的另一个环境的说明性实例;
图5示出根据至少一个实施方案的密码服务的说明性实例;
图6示出用于根据至少一个实施方案处理数据请求的过程的说明性实例;
图7示出用于根据至少一个实施方案处理对数据密钥进行解密的请求的过程的说明性实例;
图8示出用于根据至少一个实施方案处理存储数据的请求的过程的说明性实例;
图9示出用于根据至少一个实施方案处理检索数据的请求的说明性实例;
图10示出根据至少一个实施方案的数据库表转换的说明性实例;
图11示出根据至少一个实施方案的处理数据库查询的过程的说明性实例;
图12示出其中可以实践各个实施方案的环境的说明性实例;
图13示出用于根据至少一个实施方案存储客户数据的过程的说明性实例;
图14示出用于根据至少一个实施方案运用一个或多个数据遗失预防技术的过程的说明性实例;并且
图15示出其中可以实现各个实施方案的环境。
详细说明
在以下描述中,将描述各个实施方案。出于解释的目的,将阐述具体的配置和细节,以便提供实施方案的透彻理解。然而,对本领域的技术人员将是显而易见的是,没有具体细节的情况下也可以实践实施方案。此外,为了不使所描述的实施方案晦涩,可能会省略或简化众所周知的特征。
本文描述和建议的技术提供了这样的能力:在各个存储区中提供各种计算资源服务如数据存储服务,而无需在这些存储区中建立完整的基础设施。在一些实例中,存储区相当于不同地缘政治边界中的设施。各个地理区域可以具有它们自己的关于其他人的数据的处置的规则、法律和/或法规。例如,一条法规可以要求某些类型的数据保留在国家中。类似的法规可以在多个地理区域中生效。同时,许多组织发现了利用各种计算资源服务是有利的。此类服务并不是在所有司法管辖区中都可获得或更好地和/或更多的经济服务可被提供在其他区域中。
在许多情况下,遵守此类法规可以通过在数据离开规定的司法管辖区之前加密数据来实现。因此,本公开的技术允许在维持遵守不同的规则、法律和/或法规的同时向多个地理区域提供各种数据相关的服务。总体上,本文描述和建议的技术允许在多个存储区中提供服务,其中所述存储区可以但未必相当于不同的主权实体。例如,不同的存储区可以是由不同实体管制的不同计算机网络,不管这些实体是主权实体的政府机构、公司、组织、组织内部的部门、个体和/或其他。在下文中更详细地讨论了其他实例存储区。
在各个实施方案中,在一个存储区中提供了服务接口,如网页服务接口。在一些实例中,服务在因特网接入点(PoP)中操作。服务接口可以作为用于一种服务的虚拟应用程序编程接口(API)终端操作,所述服务的支撑的基础设施在另一个存储区中(例如,在另一个政治(法律)管辖区下)。因此,服务接口可以操作来接收并响应提交给服务接口的请求,同时完成一些或甚至所有请求可以要求使用另一个存储区中的基础设施。以这种方式,客户可以利用服务接口来利用服务,等同于客户在利用在存储区中具有完全支撑的基础设施的服务。换句话说,从客户的角度来看,计算资源在多个存储区中提供服务的实例,但是在后台,使用另一个存储区的服务的实例,特定存储区的请求的处理可以至少部分地发生。例如,存储数据的网页服务请求可由服务接口通过将用于持久存储的数据传输给另一个存储区中的服务来完成。类似地,数据检索请求可以通过检索持久存储在另一个存储区中的服务的基础设施中的数据来完成。以这种方式,不需要构造并维持用于每个存储区的完整基础设施,其中在某些类型的信息输出上可能存在法律限制。
为了遵守各种规则、法律、法规和/或优先权,可以使用维持在服务接口的存储区内和/或总体上在支撑的服务基础设施的存储区外的存储区中的密码密钥来加密通过服务接口传递至另一个存储区中的服务的一些或甚至所有数据。以这种方式,尽管在支撑的服务基础设施的存储区中,但是数据是安全的,并且在未访问另一个存储区中的适当密码密钥的情况下是不可访问的。所加密数据可以被总体或选择性加密。所加密数据还可以由数据代表其存储的客户配置。另外,所加密数据以及数据是否被加密可以根据一个或多个数据遗失预防(DLP)规则来确定。另外,尽管本公开的各个说明性实施方案出于说明的目的利用加密术,但是还可以使用各种其他技术。例如,本文描述的各种技术包括数据的各种操纵(识别编码),其中有待运用的识别编码的类型可以是客户可配置的。
回到数据加密的说明性实例,在一些实施方案中,作为API代理操作的服务接口利用相同存储区内的密码服务。密码服务可以安全地管理用于加密和解密并可能地用于执行其他密码操作如信息签名的密码密钥。当数据有待被加密时,服务接口可以利用密码服务来在数据被传输至另一个存储区中的另一个服务之前加密数据。类似地,当数据有待被加密时,服务接口可以利用密码服务来对数据进行解密。以下呈现其中可以利用密码服务的说明性方式。可在于2013年2月12日提交的标题为“DATA SECURITY SERVICE”的美国专利申请号13/764,963中找到实例密码服务,所述申请以引用的方式并入本文。
客户可以利用服务类型的服务提供商的实例来限制某些个体对特定数据进行访问,如为了遵守一条或多条法规。例如,这组操作者(例如,有权对代表客户的计算资源服务提供商的服务做出请求的个体)可以具有与用于另一个服务的另一组操作者不同的审查属性或资格。例如,如上所指并且下文中更详细讨论,服务提供商可以在第一区域中操作第一服务并且在第二区域中(例如,在与第一区域不同的法律管辖区中)操作第二服务,其中对于第一服务的至少一些请求,第一服务充当第二服务的代理。第一服务的操作者可以被要求具有与要求用于利用第二服务的资格(如果有的话)不同的某些资格。实例性资格包括但不限于:已通过背景调查;具有特定国籍或区位;受制于某些非公开义务;具有一定安全许可级别;具有一定工作头衔(例如,律师);等。为了使此类限制能够实施,服务提供商可针对一个服务与另一个服务要求不同的认证证书。例如,用来给第一服务请求签名的签名密钥对于第二服务可能是不可用的。以这种方式,对具有适当资格的个体分配签名密钥可用来确保数据访问符合各种法规而不管从一个区域传递到另一个区域的数据。
图1示出其中可以实践各个实施方案的环境100的说明性实例。在图1所示的环境中,提供了虚拟服务102。虚拟服务102可以被配置来提供服务接口如网页服务接口,所述服务接口可由客户104出于利用各种计算资源服务的目的来使用。在一些实施方案中,虚拟服务102作为备份服务106的代理操作。如以下更详细讨论,虚拟服务102和备份服务106可以是相同总服务类型的单独的实例(例如,在不同地理区域中的具有网络终端的数据存储服务)。例如,备份服务106可以是计算资源(如服务器、数据存储设备和网络设备)的集合,所述计算资源被配置来启动网络中的的计算资源的操作。备份服务106可以提供处理提交给虚拟服务102的请求所需要的基础设施。例如,虚拟服务102可能缺乏提供数据存储服务的足够的存储能力。换句话说,尽管虚拟服务102可以包括数据存储设备,维持在虚拟服务102中的存储量在不使用备份服务106的情况下可能不足以处理其接收的请求。尽管如此,客户104可出于利用数据存储服务的目的而利用虚拟服务102。
例如如图1中所示,客户104可将数据传输至虚拟服务102,如通过对虚拟服务102的网页服务API调用。例如,可以结合存储数据的请求传送数据。虚拟服务102可以处理存储数据的请求,等同于请求已经被传输至备份服务106。例如,尽管虚拟服务102缺乏向客户104提供数据存储服务的足够的能力,尽管如此,提供给虚拟服务102的数据可以利用备份服务106的基础设施来存储。如上所指,当利用数据存储服务时,各种司法管辖考虑因素可以开始起作用。因此,如图1中所示,在一些实施方案中使用物理基础实施如一个或多个数据中心设施和/或服务器的集合、网络设备、数据存储装置等来实现虚拟服务102和备份服务106。在图1中所示的实例中,虚拟服务102和备份服务106在不同国家中,尽管不同司法管辖实体同样被视为是在本公开的范围内。
为了防止被传输至虚拟服务102的数据被以纯文本形式存储在备份服务106中(这可能违反一条或多条规则、法律、法规和/或优先权),可以加密来自客户的从虚拟服务102传输至备份服务106的数据。在各个实施方案中,使用从未被提供给(在没有客户104的同意和/或指令的情况下)备份服务106所位于的司法管辖区中的计算设备的密码密钥来加密数据。例如,在一些实施方案中,用来加密数据的密钥被安全地维持在虚拟服务102所位于的司法管辖区内。如下更详细讨论,一些数据可以纯文本(明文)形式从虚拟服务102向备份服务106提供,而其他数据可以加密。此外,提供给虚拟服务102的一些数据可能未被传输至备份服务106,如当这一信息传送可能违反一条或多条DLP政策时。
应注意,尽管图1示出数据由客户104传输至虚拟服务102,但是可以提供其中虚拟服务102可以获取传输至备份服务106的数据的其他方式。例如,在一些实施方案中,客户104的客户利用客户104的使用计算资源服务提供商的计算资源来实现的服务。数据可以直接从客户104的这些客户传输至虚拟服务102。作为另一个实例,传输至虚拟服务102的客户数据可以从由操作虚拟服务102的计算资源服务提供商物理托管的计算设备传输。例如,客户104可以向虚拟服务102提供数据,所述数据来自由计算资源服务提供商利用如下所述的虚拟计算机系统服务所实现的虚拟机实例。
另外,尽管图1示出来自客户104的数据从虚拟服务102坐落的司法管辖区外行进到虚拟服务102的,但是数据可以从所述司法管辖区内或从不同司法管辖区如备份服务106所位于的司法管辖区提供。还应注意,尽管本公开将各种通信和传输讨论为来自客户104或其他实体,除非上下文中另外清楚地指出,应理解此类通信由客户104的一个或多个计算设备发起,所述一个或多个计算设备可以依照同步用户输入和/或根据自动化过程来操作。换句话说,尽管当数据被描述为从客户104行进时客户104可以指代实体如组织,除非上下文中另外清楚地指出,否则数据从客户104的计算设备或代表客户104操作的计算设备提供。以下更详细讨论了其他变体和另外的特征。
图2示出其中可以实践本公开的各个实施方案的环境200的说明性实例。在环境200中,计算资源服务提供商202可以向客户204提供多种服务。客户204可以是组织,所述组织可以利用由计算资源服务提供商202提供的各种服务来维持信息并将信息传递给其雇员,所述雇员可以位于各个地理位置中。另外,客户204可以是能够利用各种服务来将内容传递给位于远端的工作组的个体。如图2中所示,客户204可以通过一个或多个通信网络206如互联网与计算资源服务提供商202通信。从客户204至计算资源服务提供商202的一些通信可促使计算资源服务提供商202根据本文描述的各种技术或其变体来操作。
如上所指,计算资源服务提供商202可以向其客户提供各种计算资源服务。在此实例中,由计算资源服务提供商提供的服务包括虚拟计算机系统服务208、块级数据存储服务210、密码服务212(也称为密钥管理服务)、数据存储服务214和一个或多个其他服务216,(尽管并非本公开的所有实施方案都将包括所有此类服务),并且除了本文所明确描述的服务之外或作为所述服务的替代可以提供另外的服务。所述服务中的每个可包括使客户204能够通过网页服务请求提交对各种服务的适当配置的API调用的一个或多个网页服务接口。另外,所述服务各自可以包括使服务能够互相访问(例如,使虚拟计算机系统服务208的虚拟计算机系统能够将数据存储在数据存储服务中或从所述数据存储服务检索数据和/或访问由数据块存储服务提供的块级数据存储设备)的一个或多个服务接口。
虚拟计算机系统服务208可以是计算资源的集合,所述计算资源被配置来代表计算资源服务提供商202的客户204将虚拟机实例实例化到虚拟计算系统上。计算资源服务提供商202的客户204可以与虚拟计算机系统的服务交互(经由适当配置和认证的API调用)以规定和操作实例化到由计算资源服务提供商202托管和操作的物理计算设备上的虚拟计算机系统。虚拟计算机系统可以用于各种目的,如用来作为支持网站的服务器操作、用来操作业务应用或总体上充当客户的计算能力。用于虚拟计算机系统的其他应用可以用来支持数据库应用、电子商务应用、业务应用和/或其他应用。
块级数据存储服务210可以包括计算资源的集合,所述计算资源共同操作以使用块级存储设备(和/或其虚拟化)存储客户204的数据。块级数据存储服务210的块级存储设备例如可以被操作性地附接至由虚拟计算机系统服务208提供的虚拟计算机系统以充当用于计算机系统的逻辑单元(例如,虚拟驱动器)。块级存储设备可以能够持久存储由相应虚拟计算机系统使用/生成的数据,其中虚拟计算机系统服务208可以仅提供短暂的数据存储。
如图2中所示,计算资源服务提供商202可以操作下文结合图3更详细描述的密码服务。总体上,密码服务可以是计算资源的集合,所述计算资源被共同配置来管理和使用计算资源服务提供商的客户的密码密钥。密码服务212所使用的密钥可以具有相关的标识符,当客户提交执行密码操作(如加密、解密和信息签名)和/或其他操作如密钥循环的请求时能够参照所述标识符。密码服务可以安全地维持密码密钥以避免由未被授权的当事人访问。
如所指,计算资源服务提供商202还可以包括一个或多个数据存储服务214,所述一个或多个数据存储服务可以包括即时数据存储服务和/或存档数据存储服务。同样地,即时数据存储服务可以是计算资源的集合,所述计算资源被配置来同步处理存储和/或访问数据的请求。即时数据存储服务可以使用计算资源(例如,数据库)操作,所述计算资源使即时数据存储服务208能够迅速定位并检索数据,以便允许数据响应于数据请求来提供。例如,即时数据存储服务可以在某种意义上维持存储的数据,使得当数据对象的请求被检索时,可响应于请求来提供数据对象(或可发起所述数据对象的串流)。如所指,存储在即时数据存储服务中的数据可以被组织成数据对象。数据对象可以具有任意大小,除了可能在尺寸上的某些约束。因此,即时数据存储服务可以存储变化尺寸的众多数据对象。即时数据存储服务可以作为将数据对象与数据对象的标识符相关联的密钥值存储装置操作,客户204可以结合由即时数据存储服务210存储的数据对象使用所述密钥值存储装置来检索或执行其他操作。即时数据存储服务还可以由密码服务212访问。例如,在一些实施方案中,密码服务利用即时数据存储服务来以加密形式存储客户的密钥,其中可用来对客户密钥进行解密的密钥仅可由密码服务212的特定设备访问。客户、另一个服务、或其他实体可以通过适当配置的API调用对数据存储服务进行访问。
存档存储系统可以不同于即时数据存储服务操作。例如,存档存储系统可以被配置来以关于数据访问的完成为代价以降低存储成本的方式存储数据。作为一个说明性实例,存档存储系统可以被配置来同步执行数据操作(即,存储并检索数据)以利用由批处理和并行性给予的成本节约。例如,存档存储系统的客户端可以接收访问存储在存档存储系统中的数据对象的请求、聚合请求、批处理请求并且使所请求的数据可使用另外的请求检索获得。由于同步处理,一旦已使数据对象做好检索的准备,如通过读取来自一个或多个检索数据存储设备的数据对象并将所述数据写入一个或多个分级数据存储设备(数据对象可从其获得),存档存储系统就可以请求另一个检索数据对象的请求。
另一方面,即时存储系统可以被配置来提供关于数据访问的更好的完成情况。例如,即时存储系统可以被配置来同步处理存储和/或访问数据的请求。为了使能够相对于存档存储系统更好地完成,即时存储系统可以使用另外的计算资源(例如,数据库)操作,所述另外的数据资源使即时存储系统能够相对于存档存储系统迅速定位并检索数据。即时存储系统可以提供同步数据访问。例如,即时存储系统可以在某种意义上维持存储的数据,使得当数据对象的请求被检索时,可响应于请求提供数据对象(或可发起数据对象的串流)。
在图2所示的环境中,包括了通知服务216。通知服务216可以包括计算资源的集合,所述计算资源被共同配置来提供网页服务或其他接口以及基于浏览器的管理控制台,所述管理控制台可用来创造客户想要通知应用(或人)的话题、向客户端订购这些话题、公布消息、并且使这些消息在所选择的客户端协议(即,HTTP、电子邮件、SMS等)上传递。通知服务可以使用“推动”机构向客户端提供通知而无需周期检查或“轮询”新信息和更新。通知服务可以用于各种目的,如监控在虚拟计算机系统服务中执行的应用、工作流系统、时效性信息更新、手机应用等等。
计算资源服务提供商202可以另外基于其客户204的需要维持一个或多个其他服务218。例如,计算资源服务提供商202可以维持用于其客户204的数据库服务。数据库服务可以是计算资源的集合,所述数据库服务共同操作来运行用于一个或多个客户204的一个或多个数据库。计算资源服务提供商202的客户204可以通过利用适当配置的API调用来操作并管理来自数据库服务的数据库。这进而可以允许客户204维持并潜在地按比例调节数据库中的操作。其他服务包括但不限于对象级存档数据存储服务、管理和/或监控其他服务的服务和/或其他服务。
如图2中所示,在各个实施方案中,计算资源服务提供商202包括认证系统220和规则管理服务222。在实施方案中,认证系统是被配置来执行对客户的用户进行认证中涉及的操作的计算机系统(即,计算资源的集合)。例如,所述服务中的一个可以向认证服务提供来自用户的信息,以接收指示用户请求是否可信的信息作为回报。确定用户请求是否可信可以以任何合适的方式来执行,并且执行认证的方式在各个实施方案之间可能有所不同。例如,在一些实施方案中,用户电子签名传输至服务的消息(即,由用户电子签名的消息操作的计算机系统)。电子签名可以使用进行认证的实体(例如,用户)和认证系统都可获得的秘密信息(例如,与用户关联的密钥对的私人密钥)生成。可以向认证系统提供请求和请求的签名,所述认证系统可以使用秘密信息计算用于与所接收签名进行比较的参考签名,以便确定请求是否可信。
如果请求可信,那么认证服务可以向服务提供服务可用来确定是否完成未决请求和/或执行其他行为(如向其他服务(如密码服务)证明请求是可信的),从而使得其他服务能够相应地操作的信息。例如,认证服务可以提供另一个服务可分析以验证请求可信性的令牌。电子签名和/或令牌可以具有被以各种方式限制的有效性。例如,电子签名和/或令牌可以在一定时间量内是有效的。在一个实例中,电子签名和/或令牌至少部分地基于将时间戳看作输入的函数(例如,基于散列的消息认证码)生成,所述时间戳包括在用于验证的电子签名和/或令牌内。检验所提交电子签名/或令牌的实体可以检查所接收时间戳是足够当前的(例如,在从当前时间开始的预定时间量内)并使用所接收时间戳生成参考签名/令牌。如果用于生成所提交电子签名/令牌的时间戳不是足够当前的和/或所提交签名/令牌和参考签名/令牌不匹配,那么认证可能失败。以这种方式,如果电子签名被破解,那么它将仅在短时间量内有效,从而限制由破解造成的潜在危害。应注意,验证可信性的其他方式也被视为是在本公开的范围内。
在实施方案中,规则管理服务222是被配置来代表计算资源服务提供商的客户管理规则的计算机系统。规则管理服务222可以包括使客户能够提交有关规则管理的请求的接口。此类请求例如可以是添加、删除、改变或以其他方式修改客户或其他行政行为的规则的请求,如提供现有规则的清单以等等。规则管理服务222还可以与其他服务联系以使服务能够根据对应于请求对其所做的客户的规则来确定未决请求的完成是否是允许的。例如,当服务接收请求时,服务(如果其并未本地缓存此类信息)可以向规则管理系统传输关于请求的信息(和/或请求本身),所述规则管理系统可以分析客户的规则以确定客户的现存规则是否允许请求的完成并且根据确定向服务提供信息。
图3示出其中可以实践各种实施方案的环境300的说明性实例。如图3中所示,环境300包括三个存储区,客户端302、虚拟存储区304和备份存储区306。参照图1,客户端302可以包括由上述客户104操作和/或代表所述客户操作的设施。类似地,虚拟存储区304可以相当于由不同于备份存储区306对应的司法管辖区(例如,政治(法律)管辖区)中的计算资源服务提供商操作的设施。换句话说,客户端302可以相当于客户104,虚拟存储区304可以相当于虚拟服务102,并且备份存储区306可以相当于备份服务106。然而如上所指,存储区未必相当于不同的地缘政治边界,但是可以相当于其他类型的行政控制。例如,客户端302可以相当于在客户308的行政控制下的一套计算资源,所述客户可以是上文结合图1描述的客户104。类似地,虚拟存储区304可以相当于在计算资源服务提供商304的行政控制下的一套计算资源。
备份存储区306可以相当于在计算资源服务提供商或另一个计算资源服务提供商的行政控制下的一套计算资源。虚拟存储区304可以以各种方式实现,并且总体上如下所讨论,从客户的角度来说,虚拟存储区304被实现来操作,使得虚拟存储区304等同于其是能够在不使用备份存储区306的情况下独立地处理请求的充分便利的备份存储区操作。换句话说,尽管使用了备份存储区306,虚拟存储区304能够接收请求并导致等同于请求被直接提交给备份存储区来处理请求(除了某些数据操纵如加密,如果请求被直接提交给备份存储区306,那么所述加密在其他情况下将不会发生)。例如如上所指,在一些实例中,虚拟存储区304可以在具体的政治管辖区中被实现为互联网PoP。备份存储区306可以相当于具有能够提供如上文结合图2描述的一个或多个计算资源服务的基础设施的一个或多个数据中心设施。
如上所指,转到虚拟存储区304,虚拟存储区304可以包括存储服务代理310和密码服务312。如下更详细描述,存储服务代理310可以提供客户308可向其提交请求的服务接口。服务接口可以在一个或多个公共网络地址处访问,如一个或多个公共IP地址。存储服务代理310可以利用密码服务312来确保发送给备份存储区306的存储服务314的数据被加密。存储服务314还可提供其自己的存储接口,所述存储接口可以由客户308和/或其他客户直接访问。备份存储区306还可以包括认证服务316。认证服务316可以是如上述计算资源的集合,所述计算资源充当使存储服务代理310、密码服务312和存储服务314能够来确定是否完成由客户308或环境300中的另一个部件提交的请求。
应注意,存储服务代理310和存储服务314可以相当于一个或多个计算资源服务提供商的数据存储服务。例如,存储服务314可以是即时存储服务、存档数据存储服务、块级数据存储服务、数据库服务如关系式数据库服务、非SQL数据库存储服务、或数据仓库数据存储服务。总体上,操作来代表一个或多个客户存储数据的任何服务可以在环境300中利用。还应注意,尽管存储服务用于说明的目的,但是虚拟存储区304和备份存储区306可以包括用于其他类型的服务的计算资源,所述其他类型的服务如虚拟计算机系统服务、计算资源管理服务、和/或总体上可以由计算资源提供商提供并可以涉及对客户或其他敏感数据访问的任何计算资源服务。因此,备份存储区306可以包括用来实现这一服务的设施,并且虚拟存储区304可以包括作为所述服务的API代理操作的对应的服务接口。另外,虚拟存储区304还可以包括各自在虚拟存储区304中具有对应的服务代理的多种不同的服务。如上所指,虚拟存储区可以以各种方式提供,并且可以提供虚拟存储区的方式并不限于图1中所示和上述那些方式。
因此图4示出其中可以实践各种实施方案的环境400的说明性实例。例如,如图4中所示,环境400包括如上文结合图3描述的客户端402、虚拟存储区404和备份存储区406。例如,客户端402可以包括具有客户408的计算资源或代表客户408被利用的计算资源的一个或多个设施。如图4中所示,虚拟存储区404可以是位于客户端402上的存储区。例如,一套客户端402的计算设备可以提供可以向其提交请求的网页服务接口。在一些实施方案中,网页服务接口可在一个或多个专用网络地址处访问,如一个或多个专用IP地址。客户计算设备,或在一些实施方案中任何计算设备,可以针对虚拟存储区404向接口提交请求以便使请求得到处理,所述处理可以包括备份存储区406的设施的使用。
如图4中所示,如上文结合图3描述的虚拟存储区404包括存储服务代理410和密码服务。如上所指,存储服务代理410可以包括充当位于备份存储区406中的存储服务414的API代理的存储服务接口。如同存储服务代理410一样,客户408可以向存储服务代理410提交请求并且可以利用存储服务414完成他们的请求。存储服务代理410可以利用密码服务412以确保通过存储服务代理410传输至存储服务414的数据在适当时候根据各种实施方案被加密。类似地,存储服务414代理密码服务412可以利用备份存储区406中的认证服务416以使能够确定请求是否被认证地提交并因此可完成,如果可以其他方式完成的话(例如,在这种情况下将根据任何适用的规则来完成)。
应注意,与本文描述的所有环境一样,变体被视为是在本公开的范围内。例如,图4示出虚拟存储区404内的密码服务412。密码服务例如可以作为硬件安全模块(HSM)或代表客户408管理密码密钥的其他计算设备操作。然而应理解,密码服务可以位于其他存储区中,如备份存储区406或图中未示出的另一个虚拟存储区。例如,密码服务可以在如上文结合图3描述的虚拟存储区中。总体上,密码服务可以是排他地专用于客户408的服务或视情况可以是代表计算资源服务提供商的多个客户管理密码密钥的多租户服务。还应理解,图4示出具有单个虚拟存储区404的客户端,然而,客户端可以包括可以用于各种目的的多个虚拟存储区。例如,客户408可以是组织,并且不同的虚拟存储区可以由组织内的不同行政实体使用。以这种方式,可以通过多个虚拟存储区的使用来管理客户408所关心的数据融合和其他问题。类似地,尽管存储服务414和存储服务代理410用于说明的目的,但是客户端402的一个或多个虚拟存储区可以包括多个相应服务的多个服务代理。总体上,本文描述和建议的技术可以用来使得能够使用各自具有相应代理的多个服务。
此外,如上所指,各个服务代理可经由公共网络地址如IP地址访问。在一些实施方案中,服务代理具有不用于用于相应备份服务的URL的相应统一资源定位器(URL)。例如,在代理和服务在不同地理管辖区中的实例中,代理可以具有呈storageservice<dot>country1<dot>serviceprovider<dot>com形式的URL,而备份服务可以具有呈storageservice<dot>country2<dot>serviceprovider<dot>com,形式的URL,其中<dot>表示括号中用于界定域和子域的字符。在其他实例中,代理和存储服务可以具有相同的URL但具有不同的公共IP地址。分布式DNS服务器可以被配置来将URL转变成用于地理上最接近的代理或备份服务的IP地址。如被视为是在本公开的范围内的变体的又另一个实例,备份服务可以被配置来通过代理重新路由请求以便备份服务视情况接收加密形式的数据。其他变体也被视为是在本公开的范围内。
图5示出可以用来实现本公开的各种实施方案的密码服务的说明性实例。图5中所示的密码服务500例如可以作为上文结合图2、图3和图4描述的密码服务使用。在实施方案中,密码服务500包括各种子系统,所述子系统使密码服务500能够使用由密码服务500安全地管理的密码密钥执行密码操作。例如,如图5中所示,密码服务500包括请求处理子系统502。请求处理子系统502可包括共同操作来接收并处理提交给请求处理子系统502的请求的一个或多个网页服务器和一个或多个应用服务器。
在实施方案中,请求处理子系统502包括一个或多个网页服务器,所述网页服务器向密码服务500提供网页服务接口,使得可以经由网页服务接口向请求处理子系统502做出网页服务调用(来自客户或其他服务),以便促使各种密码操作的执行。如上所指,密码服务500可以安全地管理密码密钥。因此,密码服务500的各种部件可以使能够进行这种安全管理。在实施方案中,密码服务500包括多个密码模块504和客户密钥存储装置506。每个密码模块504可以是密码服务500的安全地管理可以称为域密钥的密码密钥的子系统。在实施方案中,密码模块504各自存储所有密码模块504公用的一组一个或多个域密钥。换句话说,密码模块504中的每一个可以存储多个相同域密钥中的一个。可以执行域密钥的存储,从而域密钥决不离开密码模块504并且总体上不可由密码服务500的任何子系统或其他系统访问。
例如在实施方案中,密码模块是安全模块,所述安全模块可以是硬件安全模块(HSM)。硬件安全模块可以配置有计算资源如处理器和存储可执行指令的存储器,所述可执行指令可使密码模块能够执行密码操作。密码模块可以被配置成防干扰的,使得如果检测到对密码模块504的内部的侵入,可以擦除存储在密码模块内的域密钥,从而防止通过物理侵入密码模块504来对域密钥进行访问。如上所指,在实施方案中,密码服务500包括用于客户密钥的仓库,所述仓库在图5中被示出为客户密钥存储装置506。然而在替代实施方案中,一个或多个安全模块在不使用外部客户密钥存储装置506的情况下存储客户密钥。在此类实施方案中,客户密钥可以从存储器访问,并且可以无需使用域密钥来解密。
回到所示实施方案,各个客户密钥相当于密码服务500的相应客户,其中一个客户可以具有多个相应客户密钥但是其中密钥并不在客户之间共享。由此,密码服务500可以针对各个客户将客户密钥存储在客户密钥存储装置506中。类似地,密码服务500可以针对各个客户通过密码模块504执行各种密码操作。如图5中所示,客户密钥存储装置506中的客户密钥在由密码模块504存储的域密钥下加密。应注意,围绕客户密钥的具有注释右边括号的域密钥括号的括号被提供为指示在域密钥下加密客户密钥的符号。以这种方式,存储在客户密钥存储装置506中的客户密钥以请求对域密钥进行访问以便访问客户密钥的方式存储。因此,对客户密钥存储装置506中的数据进行访问本身并不提供对在客户密钥下加密数据进行访问。因此,各个客户的客户密钥可以存储在密码模块504的外部,从而在不要求安全模块504存储它们可以用来执行密码操作的所有密钥的情况下提供可扩缩性。
一旦请求执行密码操作,密码模块就可以被配置来使用指定的客户密钥访问来自客户密钥存储装置506的已加密的指定的客户密钥、使用域密钥来对客户密钥进行解密并使用已解密的客户密钥来执行如下更详细讨论的密码操作。应注意,尽管客户密钥存储装置506被示出为是在密码服务500内,但是客户密钥存储装置可以位于另一个系统中如可以在与密码服务500相同或不同的存储区中的数据存储服务。
图6是可以执行来加密用来加密数据的数据密钥的过程600的说明性实例。过程600可以由任何合适的系统来执行,如由上文结合图5讨论的密码服务500。在实施方案中,过程600包括接收602数据密钥的请求。请求602可以呈适当配置的API调用如具有各种参数的网页服务调用的形式,所述参数使执行过程600的系统能够选择如下更详细描述的有待用来提供数据密钥的客户密钥。例如,API调用可以包括具有指定用于客户密钥的标识符的值的参数。应注意,客户密钥可以被隐含地确定。例如,来自特定客户的请求可以使密码服务能够将客户密钥与客户关联并且确定使用哪一个客户密钥。在实施方案中,过程600包括确定604请求是否可信。
确定604请求是否可信可以以任何合适的方式来执行。例如,在一些实施方案中,请求可以以可由执行过程600的系统或执行过程600的系统在其中通信的另一个系统检验的方式电子(数字)签名。参照图3,请求可以使用客户308与认证服务316之间共享的秘密密钥来签名。如果执行过程600,那么密码服务可以向认证服务316提供请求和请求的签名,所述认证服务可以基于请求和其自己的秘密密钥的拷贝来生成参考签名以确定接收的数字签名与请求是否匹配。如果由认证服务生成的签名匹配,那么认证服务316可以向密码服务312提供请求可信的讯息,从而使密码服务312能够确定应该完成请求。类似的过程可以结合图4来执行。
应注意,尽管未在图中示出,但是应该做出有关请求是否应该被处理的另外的确定。例如,过程600可以包括确定规则是否允许完成请求。请求可以是有待用在更多主体如提交(或以其他方式)请求的用户中的一个上的密钥上的规则。此类另外的操作还可以作为包括以下所述的那些过程的其他过程的部分来执行。如果确定606请求可信,那么过程600可以包括生成606数据密钥。数据密钥可以是有待用来加密数据的密码密钥,如将数据存储在存储服务中的请求的数据。数据密钥可以随机、伪随机或以其他方式生成。另外,尽管过程600示出生成606数据密钥,但是数据密钥可以预生成并可以从存储器访问。
在实施方案中,过程600包括访问608加密的客户密钥。例如参照图5,密码服务500的密码模块504可以向客户密钥存储装置506提交加密的客户密钥(所述密钥可以在域密钥下加密)的请求。向客户密钥存储装置506的请求可以包括有待获取的客户的标识符。一旦已访问608加密的客户密钥,过程600就可以包括使用610域密钥对客户密钥进行解密。解密的客户密钥接着可以用来612加密数据密钥。接着可以响应于请求提供614数据密钥和加密数据密钥,从而使请求者能够利用数据密钥如下更详细讨论地加密数据。
回到确定604请求是否可信,如果确定604请求不可信,如,如果认证服务指示请求不可信,那么过程600可以包括拒绝616请求。拒绝616请求可以根据各个实施方案以各种方式来执行。拒绝请求例如可以通过请求已被拒绝的指示和/或更多拒绝原因中的一个响应请求来执行。拒绝请求还可以包括仅仅不作为如不响应请求。总体上,可以使用可以拒绝请求的任何合适的方式。应注意,图6和总体上本文所描述的所有过程示出特定的顺序或操作,尽管本公开的范围未必局限于其中所执行的顺序或操作。例如,图6示出在访问608加密的客户密钥之前生成606数据密钥。此外,操作可以以不同顺序或并行地来执行。类似地,使用601域密钥来对客户密钥进行解密可以在生成606数据密钥或以其他方式获取数据密钥之前来执行。其他变体也被视为是在本公开的范围内。
图7示出可以用来对数据密钥(如用来对数据进行解密并且以加密形式存留用于以后数据检索的数据密钥)进行解密的过程700的说明性实例。数据密钥可以以任何合适的方式来加密,如通过上文结合图6讨论的完成过程600来执行。此外,过程700可以由任何合适的系统执行,如由上文结合图6讨论的执行过程600的相同的系统或另一个系统。在实施方案中,过程700包括接收702对数据密钥进行解密的请求。请求可以是如上所述的适当配置的API调用。请求例如可以来自如上所述的服务代理。可以做出704请求是否可信的确定,如通过与分析电子签名并提供签名是否可信的指示的认证服务通信。此外,如上文结合图6讨论,在确定是否要完成请求(如结合规则实施的操作)中可以执行其他操作。
回到图中所示的实施方案,如果确定704请求可信,那么过程700可以包括访问706如上所述的加密的客户密钥。访问客户密钥接着可以用来710对数据密钥进行解密。数据密钥接着可以响应于请求来提供712。以这种方式,提交请求的计算机系统可以使用解密数据密钥来执行更多密码操作中的一个,如对在数据密钥下加密数据进行解密。回到确定704请求是否可信,过程700可以包括如果确定704请求不可信或以其他方式一旦确定不应该完成请求就拒绝714请求。
图8示出可以用来将数据存储在数据存储服务中的过程800的说明性实例。过程800可以由任何合适的系统如上述服务代理来执行。在实施方案中,过程800包括接收802存储数据的请求。请求可以呈适当配置的API调用的形式,如包括使请求能够完成并能够确定是否应该完成请求的参数值的网页服务调用。请求可以来自任何合适的计算机系统如如上所述的客户计算机系统。一旦接收802请求,就可做出804请求是否可信的确定。可以以如上文结合分别结合图6和图7描述的过程600和700所描述的任何合适的方式来确定804请求是否可信。例如,服务代理可以与认证服务通信以便从认证服务接收请求是否可信的决定。与上述过程一样,还可以执行另外的操作如检查请求的完成是否符合规则。
如果确定804请求可信和/或总体上应该完成请求,那么过程800可以包括请求806来自本地密码服务的数据密钥。本地密码服务可以是如上所述的在与执行过程800的系统相同的存储区中的密码服务。例如,参照图3,密码服务可以是密码服务312。参照图4,密码服务可以是密码服务412。应注意,与本文描述的所有过程一样,变体被视为是在本公开的范围内,并且密码服务未必是本地密码服务,但是它可以是在与数据将最终存储的数据存储服务所位于的存储区不同的存储区中。以这种方式,密码服务未必是本地的,但在与数据将被存储的存储区不同的存储区中。此外,要求用于访问数据的密钥存储在不同于加密数据本身的存储区中。
如图8中所示,可以提供对来自本地密码服务的数据密钥的请求的响应,并且加密数据密钥可以从密码服务接收808。数据密钥可以由客户密钥加密,所述客户密钥可能已由密码服务隐含地确定或可能已被指定在本地密码服务的请求中。接收的数据密钥接着可以用来810加密数据。一旦数据已被加密810,过程800就可以包括生成812包括加密数据和加密数据密钥的数据对象。所生成812的数据对象可以被传输814至另一个存储区中的备份存储服务。例如参照图3,存储服务代理310可经由适当配置的API调用如存储服务314的网页服务调用将数据对象传输至存储服务314。参照图4,存储服务代理410可经由适当配置的API调用将数据对象传输至存储服务414。
一旦执行过程800的系统再也不需要数据密钥,过程800就可以包括销毁未加密数据密钥。销毁816未加密数据密钥可以以任何合适的方式并且总体上以其中执行过程800的系统失去了对数据密钥的访问权的任何方式来执行。作为一个实例,呈未加密形式的数据密钥可以由执行过程800的系统管理,使得数据密钥仅存储在易失性存储器中,如随机存取存储装置(RAM)或中央处理单元(CPU)寄存器。以这种方式,当切断对易失性存储器的供电时,就失去了对存储的未加密数据密钥的访问权,或者如果供电从未被切断,数据密钥存储在其中的存储器位置将随着执行过程800的系统继续操作如随着以后的请求被接收而执行过程800另外的次数而最终被盖写。作为另一个实例,数据密钥可以通过覆写数据密钥存储在其中的任何存储器位置来销毁(而不管具有其他数据的易失性或非易失性存储器),所述数据密钥可以是0位序列、1位序列、随机位序列、或不含有敏感信息的位的序列。总体上,可以使用导致失去对数据密钥的访问权的任何方式。另外,如上所指,销毁818未加密数据密钥可以在执行过程800中同步执行并且未必作为以图8中所示的顺序操作,或者可以异步地执行,如操作来最终销毁数据密钥或允许数据密钥由其他数据盖写的过程的部分。
回到确定804请求是否可信,如果确定804请求不可信或以其他方式确定不应该完成请求,那么过程800可以包括如上所述的拒绝818请求。与本文讨论的所有过程一样,变体被认为是在本公开的范围内。例如,如图8中所示,数据密钥的请求被提交给密码服务,所述密码服务生成或以其他方式获取数据密钥并且作为响应以纯文本和数字文本的形式提供数据密钥。作为替代,执行过程800的系统自身可以生成或获取数据密钥并且向密码服务提供用于加密数据密钥。密码服务接着可以提供回加密数据密钥,并且由于执行过程800的系统可能已经具有对数据密钥的访问权而未必提供回数据密钥。同样如上所指,存储所接收802的数据的请求被描述为从如上所述的客户计算系统接收。在各个实施方案中,请求未必来自客户计算机系统但是可以来自另一个计算机系统,而不管最终被存储为用于客户的服务的数据。
另外,作为变体的另一个实例,存储数据的请求可以不从另一个系统外部接收。过程800的完成例如可以包括数据的生成,并且一旦数据生成,并且就执行导致被加密并被传输至如上所述的数据存储服务的操作。此外,如图8中所示,过程800包括生成812包括加密数据和加密数据密钥的数据对象。例如,加密数据和加密数据密钥可以被连结在一起以形成数据对象。以这种方式,加密数据密钥和加密数据对象一起存留用于如下所述的接下来的访问。然而,在各个实施方案中,加密数据密钥和加密数据未必存留在一起,但是可以存留在不同存储服务中的数据存储服务的不同逻辑数据容器中或以其他方式存留。例如,加密数据密钥可以被本地化存储,而加密数据根据上述技术被传输至存储服务。所维持的元数据可以在加密数据密钥与在密钥下加密数据之间存留关联。其他变体也被视为是在本公开的范围内。
图9示出可以执行来从数据存储服务检索数据的过程900的说明性实例,其中数据可以由数据存储服务根据上文结合图8描述的过程800来存储。过程900可以由任何合适的系统来执行,如由执行上文结合图8讨论的过程800的系统或由另一个系统,如与数据存储服务所位于的存储区不同的存储区中的另一个系统。如图9中所示,过程900包括接收902检索数据的请求,其中检索数据的请求可以呈如上所述的适当配置的API调用的形式。如上所述,可以做出904请求是否可信的确定,并且如果确定904请求可信,那么过程900可以包括从后端存储服务获取906加密数据和加密数据密钥。例如,参照图3,存储服务代理310可以向存储服务314提交请求以检索包括加密数据中的加密数据密钥的数据对象。存储服务314作为响应可以提供包括加密数据和加密数据密钥的数据对象。例如参照图4,存储服务代理410可以向存储服务414提交包括加密数据和加密数据密钥的数据对象的请求,并且存储服务414作为响应可以提供包括加密数据和加密数据密钥的数据对象。然而,如上所指,加密数据和加密数据密钥未必存留在一起,并且完成过程900可以包括获取加密数据并且以各种方式并根据各个实施方案包括加密数据密钥,如通过从存储加密数据的系统检索加密数据并且从存储加密数据密钥的另一个系统检索加密数据密钥。
一旦加密数据和加密数据密钥已获取906,过程900就可以包括请求908对来自密码服务的数据进行解密,所述密码服务可以是如上所述的本地密码服务或任何合适的密码服务,如在不同于数据存储服务所位于的存储区的存储区中的密码服务。响应于请求908对来自密码服务的数据密钥进行解密,解密数据密钥可以从请求向其提交的密码服务接收910。解密数据密钥接着可以用来对加密数据进行解密,并且解密数据接着可以响应于检索数据的请求来提供914。回到确定904请求是否可信,如果确定904请求不可信或以其他方式确定不应该完成请求,那么过程900可以包括拒绝916请求。另外,尽管未在图中示出,但是过程900可以包括销毁如上所述的未加密数据密钥。未加密数据密钥例如可以在其中数据将以加密形式保持由存储服务存储的情况下销毁,并且因此在某种意义上使得对数据密钥的未授权访问可能是有问题的。
如上所指,可以利用本文所描述的各种技术的服务类型可以根据各个实施方案而变化。例如在一些实例中,数据库服务的服务代理可以位于一个存储区中,其中服务代理作为另一个存储区中的数据库的API代理服务。例如参照图3,存储服务代理310可以是数据库服务的服务代理,所述数据库服务可以是存储服务314。类似地参照图4,存储服务414可以是数据库服务,存储服务代理410充当所述数据库服务的API代理。如上所指,可以加密一些但并非所有从服务代理发送至备份服务的数据。因此图10示出可以由数据库服务存储的数据的说明性实例。具体地,图10示出组织成关系表1002的由例如可以是如上所述的服务代理的虚拟数据库服务存储的数据的示意图。如图10中所示,数据库表1002包括各种数据,所述数据例如可以是关于销售事务的数据,尽管本公开的范围并不限于本文所提及的具体类型的数据。在这个特定实例中,表1002的每列相当于不同类型的数据。所示第一列例如可以相当于名,第二列可以相当于姓,所示第三列可以相当于事务量,并且最后列可以相当于相应事务发生的日期。表1002中的行例如可以识别做事务的人、事务以及事务发生的日期。如由椭圆所指示,也可以包括其他信息,如购买的项目的标识符、付款方式(例如信用卡)和其他类型的数据。表1002中的一些数据可以被视为是敏感的。例如,可以是客户的名字的名和姓可以被视为是敏感数据并且可以受制于各种隐私法、规则、法规、或一般优先权。一些数据可以不被视为敏感的,如事务量和它们发生的日期。
因此,上述各种技术的执行可包括在表1002中的数据被发送至备份数据库服务之前加密一些但并非所有数据。图10示出说明如何可以在备份数据库服务处组织相同数据的表1004的说明性实例。具体地,如在虚拟数据库服务与备份数据库服务之间过渡的箭头所指示,表1002中的数据被转换,从而导致其中分别对应于名和姓的前两列,并且可能地其他列被加密的表1004.然而表中对应于量的值未被加密。以这种方式,如下更详细讨论,备份数据库服务可以能够提供关于未加密数据的至少一些功能,如通过使用未加密数据处理查询。尽管关系数据库表的加密列是连序的,但是加密的列未必是连序的。此外,尽管图10示出关系数据库表的说明性实例,但是本公开的范围并不限于关系数据库和数据集的相关组织,而且延伸到其他类型的数据库以及总体上以结构化方式存储数据的任何类型的数据存储服务。总体上,可以根据各个实施方案使用能够处理查询的任何类型的数据库。
当计算资源提供商的数据库存储一些但并非所有如根据上述技术加密数据时,数据库查询的处理可能发生在不同存储区上。换句话说,一些处理可能发生在一个存储区中并且其他处理可能发生在其他存储区中。因此图11示出可以用来处理数据库查询的过程1100的说明性实例。过程1100可以由任何合适的系统来执行,如由上述服务代理。例如,服务代理可以执行过程1100以便处理其接收的查询,而不管由另一个存储区中的备份服务所存储的实际数据。在实施方案中,过程1100包括接收1102数据库查询。查询可以以编码方式被接收在执行过程1100的系统的适当配置的API调用中。接着可以解析1104或以其他方式分析查询以便生成敏感查询和不敏感查询,其中敏感查询和不敏感查询被配置成,使得顺序执行不敏感查询然后执行敏感查询(同时由于如下更详细描述的不敏感查询的一些中间的数据修改)提供与执行查询相同的结果。
解析查询可以以任何合适的方式来执行。例如,在一些实施方案中,数据库表的列以指示列是否包含敏感数据的方式来标记。例如参照图10,所示前两列可以被标记为敏感的而其他列可以被标记为不敏感的,其中标记为敏感或不敏感在缺乏标记的情况下可能是隐含的。标记可以使存储代理能够确定在将数据传输至备份服务之前加密何种数据。服务代理例如可以被配置来通过其API接口接收数据,识别数据影响数据库中的哪些列,确定哪些列(如果有的话)被标记为敏感的,并且在传输至备份服务之前加密识别的列的数据。解析查询可以通过识别查询的要求查找被标记为敏感的列,或总体上查找被标记为敏感的数据的部分来执行。类似地,解析查询可以通过识别要求查找被标记为不敏感的数据的查询来执行。例如转到图10的说明性实例,查询可以被配置来识别关系数据库中的满足关于姓的一个或多个条件以及关于事务量的一个或多个条件的数据。如上所指,姓列可以被标记为敏感的,而事务量列可以被标记为不敏感的。以这种方式,解析这一查询可以通过从查询中提取用于识别满足关于事务量的一个或多个条件的数据的子查询来执行。所识别的一些数据可能不满足关于姓的一个或多个条件。以这种方式,被配置来识别满足关于姓的一个或多个条件的数据的子查询可以被识别为敏感查询。
回到图11,不敏感查询可以被转发1106至备份数据库服务,如呈适当配置的备份数据库服务的API调用的形式。备份数据库服务可以接收不敏感查询并且处理关于数据库的不敏感查询,备份数据库服务代表查询被接收1102用于其的客户维持所述数据库。备份数据库服务接着可以生成初步响应并且提供所述生成的初步响应,如上所指,所述初步响应由于它可以包括不满足生成1104的敏感查询的数据而可以是涵盖过广的。因此,过程1100包括接收1108来自备份数据库服务的初步响应。初步响应例如可以被接收为对备份数据库服务做出的API调用的响应。
一旦来自备份数据库服务的初步响应被接收1108,过程1100就可以包括获取1110加密数据密钥。获取1110加密数据密钥可以以任何合适的方式来执行。例如,加密数据密钥可以包括有初步响应。并且作为另一个实例,加密数据密钥可以被本地化存储在另一个存储服务中,所述另一个存储服务可以在与执行过程1100的系统所位于的存储区相同或不同的存储区中。一旦加密数据密钥已被获取1100,过程1100就可以包括请求1112对来自如上所述的密码服务的数据密钥进行解密。来自密码服务的解密数据密钥因此可以被接收1114,并且数据密钥可以用来1116对已接收的来自备份数据库服务的初步结果的加密的部分进行解密1116。
应注意,加密并且因此解密可以根据各个实施方案以各种方式来执行。例如,数据库表中加密的各个条目可以被单独地加密。以这种方式,初步结果中返回的数据是可解密的,而不管初步结果是否包括加密的所有数据。此外,如所指,单个数据密钥可以用来对初步结果中加密的所有数据进行解密。因此,取决于所使用的密码数码,可以使用不同的初始向量(新鲜值)来加密数据库中加密的各个条目。众多变体被视为是在本公开的范围内,如通过不同数据密钥加密各个条目,通过不同数据密钥加密各个列,并且总体上以各种方式来执行加密。
回到图11,一旦数据密钥已用来1116对初步结果的加密的部分进行解密,过程1100就可以包括执行1118关于解密的初步结果的敏感查询以获取查询结果。查询结果接着可以响应于接收1102的查询来提供1120。以这种方式,实现了各种技术优点。例如,如上所指,服务代理、也可以称为虚拟数据库服务,可以包括有限的基础设施。另一方面,数据库服务可以包括多得多的基础设施以便处置大量数据。虚拟数据库服务例如可以缺乏将使虚拟数据库服务能够处置备份数据库服务处置的数据量的基础设施。以这种方式,备份数据库服务的大量的基础设施可以用来执行其中一些数据出于以上讨论的各种原因被加密的存储区中的不敏感查询的初始处理。虚拟数据库服务的多得多的有限的基础设施可以用来完成查询的处理。以这种方式,不管被视为敏感的数据的存在,数据库服务的基础设施能够被利用.
另外,尽管图11示出其中查询被接收到服务代理并且服务代理生成两个查询、一个用于备份服务来执行并且另一个用于服务代理来执行的过程,但是过程1100可以被适配来以不同的方式操作。例如,在一些实施方案中,整个查询可以被转发至备份服务,所述备份服务自身可以生成两个查询并且将至少一个传递至具有初步结果的服务代理。作为另一个实例,备份服务可以处理整个查询而忽略涉及被标记为敏感的数据的子集的任何条件(或者忽略特定的条件,例如要求满足的条件)。代理还可以处理关于初步结果的完整查询。可以使用其他变体,包括针对其他类型的数据库的改编。
如上所指,本公开的各个实施方案可以利用众多存储区、众多服务代理、以及众多备份存储区。在一些实例中,服务代理可以选择性地向不同备份存储区提供数据。例如,存储服务在不同存储区中可以具有不同优点。一个存储区中的数据存储服务例如可以比另一个存储区中的相同或类似的数据存储服务更便宜。作为另一个实例,一个存储区中的数据存储服务出于潜在原因可以比另一个存储区中的相同或类似的数据存储服务更好。如上所指,不管一个存储区相比另一个存储区的优点,各种关心可以导致数据被存储在一个存储区或另一个存储区中的要求或优先权。不同的司法管辖区例如可以具有关于各种类型的数据的不同法规。因而,为了实现一些优点和/或总体上符合各种法规,一些数据可以被存储在一个存储区中,而其他数据可以被存储在另一个存储区中,以便符合各种要求和/或优先权。因此,存储服务代理(或另一个服务的代理)可以至少部分基于各种因素灵活地做出何处存储数据的决定。例如,一些客户可以请求他们的数据通过账户配置或作为API调用中的参数被存储在特定的存储区中。作为另一个实例,一些类型的数据可以被存储用于一个存储区中的相同客户,而其他类型的数据由于变化的法规要求可以被存储在另一个存储区中。作为又另一个实例,客户可以配置计算资源服务提供商的计算资源,以便服务代理运用一条或多条DLP规则使得一些数据被发送至一个存储区并且其他数据被发送至另一个存储区。因此图12示出其中可以实践利用来自多个存储区的选择的各个实施方案的环境1200的说明性实例。
如图12中所示,环境1200包括客户端1202、虚拟存储区1204和一个或多个备份存储区1206。在这个特定的实例中,图12示出n个备份存储区,其中n是正整数。应注意,尽管相对于客户端1202的虚拟存储区1204被示出与图3一样,但是变体如图4中示出的这些被视为是在本公开的范围内。如图12中所示,客户1208提交请求并且接收来自存储服务代理1210或其他服务代理以及摄影服务1212的响应。备份存储区1206中的每一个可以包括如上所述的备份服务和认证服务,尽管出于简化的目的这类服务并未在图12中示出。在实施方案中,客户1208向存储服务代理1210提交请求,所述存储服务代理接着可以选择并视情况向备份存储区1206中的一个提交相应的请求。适当性可以根据DLP规则、客户优先权、账户配置、API调用参数等来确定。
图13示出可以用来根据各个实施方案利用如图12中所示的各种备份服务的过程1300的说明性实例。如图13中所示,过程1300包括获取1302客户数据。客户数据例如可以从客户的计算机系统本身或从其他代表客户的计算机系统获取,如当客户利用计算机资源服务提供商以向公众的各个成员或总体上向客户的其他客户提供服务时。当获取1302客户数据时,过程1300可以包括确定1304用于客户数据的备份存储区。确定1304备份存储区可根据各个实施方案以各种方式来执行。例如,如上所指,客户的账户配置可以指示将使用哪一个备份存储区。如另一个实例,数据本身的本质可以用来确定使用哪一个备份存储区。例如,如果数据根据架构来组织,那么根据架构的数据的位置可以用来确定使用哪一个备份存储区。如又另一个实例,客户数据的资源(网络地址、用户标识、政治管辖权等)可以用来确定备份存储区。总体上,可以使用可以确定备份存储区的任何方式。
一旦确定1304用于客户数据的备份存储区,过程1300就可以包括请求1306来自如上所述的本地密码服务或总体上来自如上所述的另一个合适的密码服务的数据密钥。因此,数据密钥和加密数据密钥可以从数据密钥的请求向其提交的密码服务接收1308。数据密钥接着可以用来1310加密客户数据,并且包括加密的客户数据和加密数据密钥的数据对象可以被生成1312。数据对象接着可以被传输1314至确定的备份存储区中的备份存储服务。未加密数据密钥接着可以如上所述被销毁1316。
应注意,过程1300的变体被视为是在本公开的范围内,包括上述用于将数据传输至备份服务的各种过程的变体。图14示出用于选择性地加密数据并且根据实施方案向备份服务提供数据的过程1400的说明性实例。具体地,过程1400利用各种数据遗失预防技术如在美国专利号8,416,709中描述的那些,所述专利以引用的方式并入本文。图14的过程1400可以由任何合适的系统来执行,如由如上所述的服务代理。流量例如可以包括一个或多个数据包如IP或传输控制协议(TCP)包、握手请求如三部分TCP握手或SSL握手的一部分、或其他适当的数据包。网络流量可以从如上所述的客户或与如上所述的客户相关联的另一个实体接收。在一些实施方案中,流量通过执行过程1400的系统的应用程序编程接口(例如,网页服务接口)接收。网络流量可以就一个或多个DLP规则标准来分析1404。DLP规则标准可以包括上文所指的美国专利号8,416,709中所讨论的那些。例如,可以检查IP或TCP包中的数据的某些数据类型的数据,如信用卡号、社保号和/或可以被视为是敏感的或以其他方式由于需要修改的任何其他类型的数据。
可以做出1406确定是否满足DLP的标准。如果确定1406满足DLP标准,那么过程1400可以包括加密1408已接收的网络流量,并且将网络流量传输1410至备份服务。然而,如果确定1406不满足DLP标准,那么网络流量可以被传输1410至备份服务而无需加密。
如上所讨论,各种变体被视为是在本公开的范围内,包括当满足DLP标准时对一些但并非所有数据进行解密。另外,除了数据加密或作为数据加密的替代,可以采取另外的行为。样本行为包括但不限于快照,即复制已接收的网路流量并且将快照存留在数据存储服务如备份服务或执行包追踪的另一个数据存储服务中;执行已接收的网络流量的隔离;启动网络流量的增强记录;和/或拒绝行为。总体上,可以使用被配置来寻址DLP关心的任何类型的行为。另外,当满足DLP或其他规则标准时所采取的行为可以由客户配置。总体上,数据可以根据客户规范利用如在于2013年6月7日提交的标题为“FLEXIBLY CONFIGURABLE DATAMODIFICATION SERVICES”的美国专利申请号13/491,403中描述的那些技术来操纵,所述申请以引用的方式并入本文。
具体地,客户可以指定某些规则,各种类型的数据、从客户设备或其他设备入站和/或出站可以通过所述规则修订,由此分布式计算系统的各种部件被用来实现规则,例如使用包识别编码技术。例如,客户可以指定通过具体外部设备类型或场所的服务代理的数据必须符合客户提供的说明书(例如,调节顺从和/或性能优化),由此分布式计算系统确定它们对其运用的必要更改和数据模式(或其他标识)。在这之后,在给定的实例中,实现方式可以包括重新定向客户与所讨论的外部设备之间至分布式计算系统如备份服务的部件的一些或所有网络流量。一旦以确定的方式处理,重新定向的数据就可以被中继到原始目的地。如将考虑的,类似的过程可以用于入站网络流量。
在另一个实例中,数据更改服务可以有效用来修改通过服务代理在分布式计算系统的两个虚拟化实例之间中转的数据,其中一个受请求服务的客户控制,而另一个受不同客户控制。在服务代理中实现的分布式计算系统的单独的虚拟化实例可以被调用来实现客户请求的规则,或者在一些实施方案中,来自(或向其)希望要修改的数据的相同实例可以执行实际修改,例如,在隔离区或“沙箱”中。考虑到中继到或来自受请求服务的客户控制的任何设备或部件的数据,不管物理、虚拟、聚合或以其他方式至不在客户控制下的设备(不考虑其本质),可受制于通过服务的包识别编码.服务在一些实施方案中基于大量标准可以是粒度可控的,包括客户或外部设备类型、地理位置等。
这一数据更改服务的实例实现方式可以包括生成运用到在给定的数据事务类型中涉及的一些或所有部件的一条或多条规则。一旦收到客户限定的规则,规则在一些实施方案中就由分布式计算系统生成,并且可以将数据类型、已连接的设备类型、客户特性、网络拓扑、或有关有效规则的生成的任何其他特性考虑在内。当广播至有关设备时,此类规则可确保所有受控设备(或其希望的子集)用来以统一、可预测的方式实现相关联的客户限定的规则。在其中客户在变化等级的抽象和/或访问下控制极大量的设备的实施方案中,此类规则还可以确保例如关键任务或严格规则在所有受影响的设备中起作用。
此外,另外的操作可以结合过程1400来执行。例如,分析1404网络流量可以通知一个或多个其他操作的完成情况。例如在一些实施方案中,密码密钥可以至少部分基于分析来确定。一些类型的数据例如可以要求(例如,根据一条或多条法规和/或优先权)比其他类型的数据更强的加密。如果分析发现一个类型的数据,那么数据可以使用能够由分析确定的比另一个类型的数据更小的密钥来加密。第一类型的数据例如可以请求使用128位密钥加密,而另一个类型的数据可以请求使用256位密钥加密。因此,密钥可以基于分析来确定(例如,从数据存储装置生成或获取)。
本公开的实施方案可鉴于以下条款来描述:
1.一种系统,其包括:
第一数据存储服务,所述第一数据存储服务包括多个数据存储设备和第一网页服务接口,所述第一网页服务接口被配置来接收传输至所述第一网页服务接口的网页服务请求,所述第一数据存储服务被配置来使用所述多个数据存储设备处理传输至所述第一网页服务接口的所述网页服务请求;
第二数据存储服务,所述第二数据存储服务包括第二网页服务接口,所述第二数据存储服务被配置来至少通过下列各项作为所述第一数据存储服务的代理操作:
针对所述第二网页服务接口接收来自请求者的存储数据的请求;
使用不可由所述第一数据存储服务访问的密码密钥加密所述数据;
将所述加密数据传输至所述第一数据存储服务用于代表所述请求者持久存储;并且
维持对所述密码密钥的访问,同时防止所述第一数据存储服务对所述密码密钥的访问。
2.如条款1所述的系统,其中:
所述第一数据存储服务以第一组一个或多个设施中的计算资源来实现;并且
所述第二数据存储服务以与所述第一组一个或多个设施不相交的第二组一个或多个设施中的计算资源来实现。
3.如条款1或2所述的系统,其中所述第一网页服务接口和所述第二网页服务接口两者每一个都是公共通信网络中公开可寻址接口。
4.如条款1所述的系统,其中所述第二数据存储服务被配置来加密所述数据,无需要求所述请求者指定数据应该被加密。
5.如条款1所述的系统,其中所述第二数据存储服务还被配置来:
针对所述第二网页服务接口接收检索所述数据的请求;
从所述第一数据储存服务获取所述加密数据;
使用所述密钥对所述加密数据进行解密;并且
提供所述解密数据。
6.如条款1所述的系统,其中所述第一数据存储服务和所述第二数据存储服务在不同法律管辖区中实现。
7.如条款1所述的系统,其中所述第一数据存储服务被配置来根据第一组法规操作,而所述第二数据存储服务被配置来根据不同于所述第一组法规的第二组法规操作。
8.一种系统,其包括:
一个或多个处理器;以及
包括计算机可执行指令的存储器,当由所述一个或多个处理器执行时,所述指令促使所述系统:
操作请求通过网络向其可提交的应用程序编程接口;
针对提交给所述应用程序编程接口的至少多个请求的每个第一请求,至少通过下列各项处理所述第一请求:
使用密钥来对处理所述第一请求中涉及的数据执行一个或多个密码操作;以及
跨网络将第二请求传输至服务,其促使所述服务来对加密形式的所述数据执行一个或多个操作,所述服务缺乏对所述密钥的访问权并且被配置来能够独立地处理所述第一请求。
9.如条款8所述的系统,其中:
所述系统作为由服务提供商提供的服务类型的第一实例的部分来操作;并且
所述服务作为由所述服务提供商提供的所述服务类型的第二实例的部分来操作。
10.如条款8所述的系统,其中所述应用程序编程接口是网页服务接口。
11.如条款8所述的系统,其中:
所述多个请求中的至少一些通过不同实体传输;并且
每个不同实体对应于所述服务的账户。
12.如条款8所述的系统,其中:
所述可执行指令还促使所述系统选择性地确定当处理请求时是否执行所述一个或多个密码操作;并且
所述多个请求是由所述系统处理的一组请求的子集,所述子集由针对其所述系统已选择性地确定执行所述一个或多个密码操作的请求组成。
13.如条款8所述的系统,其中所述可执行指令还使所述系统来从能够在处理所述第一请求中使用的多个服务中选择所述服务。
14.如条款8所述的系统,其中:
至所述服务的所述第二请求促使所述服务对未加密数据执行一个或多个操作,并且向所述系统提供所述一个或多个操作的执行结果和加密形式的所述数据;
使用所述密钥来执行所述一个或多个密码操作包括对加密形式的所述数据进行解密;并且
所述可执行指令还促使所述系统对包括所述未加密数据和所述加密数据的数据集合执行一个或多个操作。
15.如条款8所述的系统,其中所述服务由不同于操作所述系统的第二组织实体不同的第一组织实体操作。
16.一种计算机实现的方法,其包括:
在被配置有可执行指令的一个或多个计算机系统的控制下,
从在所述一个或多个计算机系统的网络地址处的请求者接收执行一个或多个操作的应用程序编程接口请求;以及
至少通过下列各项处理所述应用程序编程接口请求:
通过网络将请求传输至被配置来能够独立地执行所述一个或多个操作的服务,所述请求被配置来促使所述服务对加密数据执行一个或多个服务操作,所述加密数据被在不可由所述服务访问的密钥下加密;以及
使用所述密钥结合所述加密数据执行一个或多个密码操作。
17.如条款16所述的计算机实现的方法,其中:
所述一个或多个密码操作包括数据加密以获取所述加密数据;并且
所述一个或多个服务操作包括持久存储所述加密数据。
18.如条款16或17所述的计算机实现的方法,其中所述网络地址是公共互联网协议地址。
19.如条款16至18所述的计算机实现的方法,其中所述方法还包括从每个能够独立地执行所述一个或多个操作的多个服务中选择所述服务。
20.如条款16所述的计算机实现的方法,其中执行所述一个或多个密码操作包括通过所述网络将请求传输至密码服务,所述请求促使所述密码服务使用不可由所述一个或多个计算机系统和所述服务两者访问的密码信息来执行一个或多个其他密码操作。
21.如条款16所述的计算机实现的方法,其中所述网络地址与可用于从域名服务中获取所述网络地址的字符串相关联,所述字符串与通过任何域名服务用于所述服务的网络地址无关。
22.具有共同地存储在其中的计算机可执行指令一种或多种计算机可读存储介质,当由计算机系统的一个或多个处理器执行时,所述指令促使所述计算机系统:
提供可在网络地址处访问的应用程序编程接口;
在所述应用程序编程接口处接收对一组数据执行一个或多个操作的应用程序编程接口请求;
至少部分通过下列各项来完成已接收的请求:
至少促使该组数据的子集在保持不可由远程服务访问的密钥下加密;
利用所述远程服务来至少对该组数据执行所述一个或多个操作的子集,对于该组数据的子集来说,所述远程服务具有对仅在加密形式下的该组数据的子集的访问权。
23.如条款22所述的一种或多种计算机可读存储介质,其中:
所述网络地址是公共互联网协议地址;并且
利用所述远程服务包括将至所述寻址的远程服务的请求传输至所述远程服务的公共互联网协议地址。
24.如条款22所述的一种或多种计算机可读存储介质,其中:
所述应用程序编程接口请求是来自请求者的执行所请求的操作的请求;并且
所述远程服务能够为所述请求者独立地执行所请求的操作。
25.如条款22所述的一种或多种计算机可读存储介质,其中:
所述计算机可执行指令还促使所述计算机系统分析所述应用程序编程接口请求以确定是否限制所述远程服务对加密形式下的所述数据的子集的访问;并且
由于确定限制所述远程服务对加密形式下的所述数据的所述子集的访问,所述远程服务仅具有对加密形式下的所述数据的所述子集的访问权。
26.如条款25所述的一种或多种计算机可读存储介质,其中:
由于确定限制所述远程服务对所述子集的访问,所述指令还促使所述计算机系统至少部分基于所述分析来确定加密密钥;
限制所述远程服务的访问权包括使用所述确定的加密密钥加密所述子集的至少一部分。
27.如条款22所述的一种或多种计算机可读存储介质,其中:
所述应用程序编程接口请求是来自请求者;
包括所述远程服务的多个服务能够由所述计算机系统利用来完成所述应用程序编程接口请求;并且
所述计算机可执行指令还促使所述计算机系统至少部分基于特定于所述请求者的配置设定来从所述多个服务中选择所述远程服务。
28.如条款22所述的一种或多种计算机可读存储介质,其中:
所述计算机可执行指令还促使所述计算机系统使用所述密钥加密该组数据的子集;并且
利用所述远程服务执行一个或多个操作包括向所述远程服务提交存储该组数据的存储请求。
29.一种系统,其包括:
第一数据存储服务,所述第一数据存储服务包括多个数据存储设备和第一网页服务接口,所述第一网页服务接口被配置来接收传输至所述第一网页服务接口的网页服务请求,所述第一数据存储服务被配置来使用所述多个数据存储设备处理传输至所述第一网页服务接口的所述网页服务请求;
第二数据存储服务,所述第二数据存储服务包括第二网页服务接口,所述第二数据存储服务被配置来至少通过下列各项作为所述第一数据存储服务的代理操作:
接收关于从请求者提交给所述第二网页服务接口的存储数据的请求的数据;
分析所接收的数据以生成确定所接收的数据是否满足一个或多个数据遗失预防规则的一个或多个标准;
根据所生成的确定处理所接收的请求,其中:
当所述确定指示所接收的数据满足所述一个或多个数据遗失预防规则的所述一个或多个标准时,处理所接收的请求包括:
使用维持不可由所述第一数据存储服务访问的密钥来加密所接收的数据;以及
通过向所述第一网页服务接口提交第二请求将所述加密的所接收的数据传输至所述第二数据存储服务。
30.如条款29所述的系统,其中当所述确定指示所接收的数据不满足所述一个或多个数据遗失预防规则的所述一个或多个标准时,处理所接收的请求包括向网页服务接口提交第三请求,其促使所接收的数据由所述第一数据存储服务持久存储使得所述数据在未加密形式下可从所述第一数据存储服务检索。
31.如条款29所述的系统,其中所述一个或多个数据遗失预防规则可经由所述第二网页服务接口配置。
32.如条款29所述的系统,其中所述第一网页服务接口具有至少一个公共互联网协议地址。
33.如条款29所述的系统,其还包括密码服务,所述密码服务被配置来将所述密钥维持在所述第一数据存储服务所位于的另一个法律管辖区外的政治管辖区中。
34.如条款29所述的系统,其中所述第二存储服务还被配置来:
针对所述第二网页服务接口接收检索所述数据的第三请求;
并且
至少通过下列各项处理所述第三请求:
通过向所述第一网页服务接口提交第四请求从所述第一数据存储服务获取所述加密数据;
使用所述密钥对所述获取的加密数据进行解密;以及
提供解密的所述获取的加密数据。
35.一种系统,其包括:
一个或多个处理器;以及
包括计算机可执行指令的存储器,当由所述一个或多个处理器执行时,所述指令促使所述系统:
提供可在网络地址处访问的应用程序编程接口;
接收关于提交给所述应用程序编程接口的执行一个或多个操作的请求的数据;
分析所述数据以识别所述数据的满足一条或多条数据规则的一个或多个标准的子集;
根据所述一条或多条数据规则修改所述数据的子集;并且
将所修改的数据的子集传输至能够独立地处理执行所述一个或多个操作的请求的远程服务。
36.如条款35所述的系统,其中所述指令还促使所述系统执行下列各项中的至少一个:提供对应于满足所述一个或多个标准的一个或多个通知;或执行所识别子集的增强日志记录.
37.如条款35所述的系统,其中修改所述数据的子集包括加密所述数据的子集。
38.如条款35所述的系统,其中所述计算机可执行指令还促使所述系统:
通过所述应用程序编程接口接收用于修改数据的用户限定的规则;以及
修改数据根据所述用户限定的规则来执行。
39.如条款35所述的系统,其中:
分析所述数据包括在所述数据中检测被指定为敏感的数据类型的一个或多个实例;并且
所述数据的所述子集包括被指定为敏感的所述数据类型的所检测的一个或多个实例。
40.如条款35所述的系统,其中所述计算机可执行指令还促使所述计算机系统在不修改所述第二子集的情况下将所接收的数据的第二子集传输至所述远程服务。
41.如条款35所述的系统,其中所述计算机可执行指令还促使所述计算机系统:
接收第二请求,所述第二请求的完成包括所述数据的所述子集的检索;
从所述远程服务获取所修改的子集;并且
逆向修改所修改的子集以重新生成所述子集;并且
使用所述重新生成的子集完成所述第二请求。
42.一种计算机实现的方法,其包括:
在被配置有可执行指令的一个或多个计算机系统的控制下,
在远程服务的应用程序编程接口代理处接收处理数据的请求,所述请求的完成涉及所述远程服务的利用;
分析所述数据以生成确定所述数据是否暗示一条或多条数据规则;以及
根据所生成的确定处理所述数据,其中处理所述数据包括在利用所述远程服务之前根据所述一条或多条数据规则的一条或多条暗示的数据规则来修改所述数据。
43.如条款42所述的计算机实现的方法,其中修改所述数据包括加密所述数据。
44.如条款42所述的计算机实现的方法,其中所述请求在所述应用程序编程接口代理的专用互联网协议地址处接收。
45.如条款42所述的计算机实现的方法,其中处理所述数据的请求是存储所述数据的请求。
46.如条款42所述的计算机实现的方法,其还包括:
在所述应用程序编程接口代理处接收所述一条或多条数据规则的一个或多个用户限定的标准;以及
生成所述确定是至少部分基于所述用户限定的标准。
47.如条款42所述的计算机实现的方法,其还包括:
在所述应用程序编程接口处接收处理第二数据的第二请求,所述请求的完成涉及所述远程服务的利用;以及
防止所述第二数据由于所述第二数据满足所述一条或多条数据规则的一个或多个标准而被传输至所述远程服务。
48.一种或多种计算机可读存储介质,其具有共同地存储在其上的可执行指令,当由系统的一个或多个处理器执行时,所述指令促使所述系统:
提供远程服务的应用程序编程接口代理;
促使一条或多条数据遗失预防规则在通过所提供的所述远程服务的应用程序编程接口代理所接收的数据上实施,所述实施至少包括:
识别所接收的数据满足所述一条或多条数据遗失预防规则的一个或多个数据遗失预防标准的子集;以及
根据所述一个或多个数据遗失预防标准对所识别的子集执行一个或多个动作,所述一个或多个动作包括修改所识别的子集中的数据并将所识别的数据传输至所述远程服务。
49.如条款48所述的一种或多种计算机可读存储介质,其中:
所述系统由计算资源服务提供商操作;并且
所述应用程序编程接口代理可由所述计算资源服务提供商的多个客户在一个或多个公共网络地址处获得。
50.如条款48所述的一个或多个计算机可读存储介质,其中所述应用程序编程接口代理和所述远程服务在单独的设施中实现。
51.如条款48所述的一个或多个计算机可读存储介质,其中所述一条或多条数据遗失预防规则可通过所述应用程序编程接口代理以编程方式配置。
52.如条款48所述的一个或多个计算机可读存储介质,其中所述应用程序编程接口代理和所述远程服务可由不同统一资源定位器来访问。
53.如条款48所述的一个或多个计算机可读存储介质,其中修改所述数据包括在传输至所述远程服务之前加密所述数据。
图15示出用于实现根据各个实施方案的各方面的实例环境1500的各方面。如将理解,尽管出于解释的目的使用基于网络的环境,但是可以视情况使用不同环境来实现各个实施方案。环境包括电子客户端设备1502,所述电子客户端设备可包括可操作来在适当网络1504上发送和接收请求、消息或信息并且将信息传送回设备的用户的任何适当设备。此类客户端设备的实例包括个人计算机、手机、手持通信设备,笔记本计算机、平板计算机、机顶盒,个人数据助理、嵌入式计算机系统、电子书阅读器等。网络可包括任何适当网络,包括内部网、互联网、蜂窝网、局域网或任何其他此类网络或上述网络的组合。这一系统所用的部件可至少部分地取决于所选网络和/或环境的类型。用于通过这一网络通信的协议和部件是众所周知的,因而本文不再详细讨论。网络上的通信可通过有线或无线连接及其组合来实现。在这个实例中,网络包括互联网,因为环境包括用于接收请求并且响应于所述请求而提供内容的网络服务器1506,然而对于其他网络来说,可使用服务类似目的的替代设备,如本领域普通技术人员所显而易见的。
所说明的环境包括至少一个应用服务器1508和数据存储装置1510。应理解,可存在可以链接起来或以其他方式来配置的多个应用服务器、层或其他元件、过程或部件,这些应用服务器、层或其他元件、过程或部件可交互来执行如从适当数据存储装置获取数据的任务。本文所使用的服务器可以以各种方式来实现,如硬件设备或虚拟计算机系统。在一些上下文中,服务器可以指代在计算机系统上执行的程序设计模块。如本文所使用的,术语“数据存储装置”指代能够存储、访问和检索数据的任何设备或设备组合,所述设备或设备组合可以包括任何标准、分布式或集群式环境中的任何组合和任何数目的数据服务器、数据库、数据存储设备和数据存储介质。应用服务器可包括任何适当硬件和软件,所述硬件和软件视执行客户端设备的一个或多个应用的各方面的需要而与数据存储装置集成、处置应用的一些(甚至大多数)数据访问和业务逻辑。应用服务器可以提供与数据存储装置协作的存取控制服务并且能够生成将要传送到用户的内容如文本、图片、音频和/或视频,在这个实例中,所述内容可以以超文本标记语言(“HTML”)、可扩展标记语言(“XML”)或另一种适当结构化语言的形式由网络服务器向用户提供。所有请求和响应的处置以及客户端设备1502与应用服务器1508之间的内容递送可由网络服务器来处置。应理解,网络服务器和应用服务器不是必要的,且仅仅是实例部件,因为本文所讨论的结构化代码可在如本文其他地方所讨论的任何适当设备或主机上执行。此外,本文所描述为由单个设备执行的的操作可以(除非上下文另有规定)由可以形成分布式系统的多个设备共同执行。
数据存储装置1510可包括多个单独的数据表、数据库或其他数据存储机构和介质,用来存储与本公开的特定方面相关的数据。例如,所示数据存储装置可以包括用于存储生成数据1512和用户信息1516的机构,所述生成数据和用户信息可用来提供用于生成端的内容。数据存储装置还被示出为包括用于存储日志数据1514的机构,所述日志数据可用于报告、分析或其他此类目的。应理解,可能存在可能需要存储在数据存储装置中的许多其他方面,如页面图像信息和访问权信息,所述方面可视情况存储在上文所列机构中的任何机构中或存储在数据存储装置1510中的另外机构中。数据存储装置1510可通过与它关联的逻辑来操作,以便从应用服务器1508接收指令,并且响应于所述指令而获取、更新或以其他方式处理数据。在一个实例中,用户通过由用户操作的设备可以提交某种类型的项目的搜索请求。在此状况下,数据存储装置可能访问用户信息来验证用户的身份,并且可访问目录详细信息以获取有关所述类型的项目的信息。接着可将信息如以网页上的结果列表的形式返回给用户,用户能够通过用户设备1502上的浏览器来查看所述网页。可在浏览器的专用页面或窗口中查看感兴趣的特定项目的信息。然而,应理解,本公开的各实施方案未必局限于网页的上下文,而可以更一般地可应用于处理一般请求,其中请求未必是上下文的请求。
每个服务器通常将包括提供用于所述服务器的一般管理和操作的可执行程序指令的操作系统,并且通常将包括存储指令的计算机可读存储介质(例如,硬盘、随机存取存储装置、只读存储装置等),当由服务器的处理器执行时,所述指令允许服务器实行其期望的功能。操作系统的合适的实现方式和服务器的一般功能是众所周知的或可商购的,并且易于由本领域普通技术人员实现,尤其是鉴于本文中公开内容来实现。
在一个实施方案中,环境是利用通过通信链路、使用一个或多个计算机网络或直接连接来互连的多个计算机系统和部件的分布式计算环境。然而,本领域普通技术人员应理解,这种系统同样可在具有比图15中所示的部件更少或更多部件的系统中顺利地操作。因此,图15中的系统1500的描绘本质上应视为是说明性的,并且不限制本公开的范围。
各个实施方案可进一步在广泛范围的操作环境中实现,在一些情况下,所述环境可包括一个或多个用户计算机、计算设备或可用来操作多个应用中的任一个的处理设备。用户或客户端设备可包括多个通用个人计算机中的任何一个,如运行标准操作系统的台式计算机、膝上计算机或平板电脑,以及运行移动软件并且能够支持多个网络连接协议和消息传递协议的蜂窝设备、无线设备和手持设备。这种系统还可包括多个工作站,所述工作站运行各种可商购得的操作系统和用于如开发和数据库管理目的的其他已知应用中的任一个。这些设备还可包括其他电子设备,如虚拟终端、薄型客户端、游戏系统和能够通过网络通信的其他设备。
本公开的各个实施方案利用本领域技术人员可能熟悉的至少一种网络来使用各种可商购得的协议中的任一种支持通信,所述协议如传输控制协议/互联网协议(“TCP/IP”)、在开放系统互连(“OSI”)模型的各个层中操作的协议、文件传输协议(“FTP”)、通用即插即用(“UpnP”)、网络文件系统(“NFS”)、公共互联网文件系统(“CIFS”)以及AppleTalk。网络例如可以是局域网、广域网、虚拟专用网、互联网、内部网、外联网、公共交换电话网、红外网络、无线网络以及上述网络的任何组合。
在利用网络服务器的实施方案中,网络服务器可运行各种服务器或中间层应用中的任一种,包括超文本传输协议(“HTTP”)服务器、FTP服务器、公共网关接口(“CGI”)服务器、数据服务器、Java服务器和业务应用服务器。服务器还能够响应来自用户设备的请求而执行程序或脚本,如通过执行可以实施为以任何编程语言(如C、C#或C++)或任何脚本语言(如Perl、Python或TCL)以及其组合写成的一个或多个脚本或程序的一个或多个网络应用。所述服务器还可以包括数据库服务器,包括但不限于这些可从和商购得的这些数据库服务器。
环境可包括如上文所讨论的各种数据存储装置和其他存储器和存储介质。这些存储装置、存储器和存储介质可驻留在各种位置,如在一个或多个网络上的计算机本地(和/或驻留在一个或多个计算机中)的存储介质上,或远离计算机中的任何或所有计算机。在实施方案的特定集中,信息可以驻留在本领域技术人员熟悉的存储区域网(“SAN”)中。类似地,用于执行属于计算机、服务器或其他网络设备的功能的任何必要的文件可视情况本地和/或远程存储.在系统包括计算机化设备的情况下,每个这种装置可包括可以通过总线电耦合的硬件元件,所述元件例如包括至少一个中央处理单元(“CPU”或“处理器”)、至少一个输入设备(例如,鼠标、键盘、控制器、触摸屏或小键盘)和至少一个输出设备(例如,显示设备、打印机或扬声器)。这种系统还可以包括一个或多个存储设备,如硬盘驱动器、光存储设备和如随机存取存储装置(“RAM”)或只读存储装置(“ROM”)的固态存储设备、以及可移动媒体设备、存储器卡、闪存卡等。
此类设备还可包括计算机可读存储介质读取器、通信设备(例如,调制解调器、网卡(无线或有线)、红外线通信设备等)和如上所述的工作存储器。计算机可读存储介质读取器可与计算机可读存储介质连接或被配置来接收计算机可读存储介质,计算机可读存储介质表示远程、本地、固定和/或可移动存储设备以及用于暂时和/或更永久地含有、存储、传输和检索计算机可读信息的存储介质。系统和各种设备通常还将包括位于至少一个工作存储器设备内的多个软件应用、模块、服务或其他元件,包括操作系统和应用程序,如客户端应用或网络浏览器。应理解,替代实施方案可以具有来自上述实施方案的众多变体。例如,也可使用定制硬件,和/或特定元件可以在硬件、软件(包括可移植软件,如小程序)或两者中实现。此外,可以采用与如网络输入/输出设备的其他计算设备的连接。
用于含有代码或部分代码的存储介质和计算机可读介质可包括本领域已知或已使用的任何适当介质,包括存储介质和通信介质,如但不限于以用于存储和/或传输信息(如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术所实现的易失性和非易失性、可移动和不可移动的介质,包括RAM、ROM、电可擦可编程只读存储装置(“EEPROM”)、闪存或其他存储装置技术、只读光盘驱动器(“CD-ROM”)、数字通用光盘(DVD)或其他光学存储装置、磁盒、磁带、磁盘存储装置或其他磁性存储设备,或可用于存储所需信息且可由系统设备访问的任何其他介质。基于本文所提供的公开内容和教义,本领域普通技术人员将理解实现各个实施方案的其他方式和/或方法。
因此,应在说明性意义而不是限制性意义上理解本说明书和附图。然而,将显而易见的是:在不脱离如在权利要求书中阐述的本发明的更宽广精神和范围的情况下,可以对其做出各种修改和改变。
其他变体是在本公开的精神内。因此,尽管所公开的技术可容许各种修改和替代构造,但在附图中已示出并且在上文中详细描述了其所示的某些说明性实施方案。然而,应理解,并不旨在将本发明限制于所公开的一种或多种具体形式,相反地,本发明旨在涵盖落在如所附权利要求书限定的本发明的精神和范围内的所有修改、替代构造和等效物。
在描述所公开实施方案的上下文中(尤其是在以下权利要求书的上下文中),术语“一个(a,an)”和“所述”以及类似指称对象的使用应解释为涵盖单数和复数两者,除非在本文另外地指示或明显地与上下文矛盾。术语“包含”、“具有”、“包括”和“含有”应解释为开放式术语(即,意味着“包括但不限于”),除非另外地注解。当未修改并且指代实体连接时,术语“连接的”应解释为部分地或全部地纳入在以下解释内:附接至或连接在一起,即使存在介入物。除非在此另有说明,否则本文各值的范围的叙述仅意欲用作单独指代属于该范围内的各独立值的速记方法,并且各独立值如同其在本文单独叙述一般结合到本说明书中。除非以其他方式指出或与上下文矛盾,术语“集”或“子集”的使用(例如,“项目集”)应解释为包括一个或多个构件的非空集合。此外,除非以其他方式指出或与上下文矛盾,术语相应集的“子集”未必表示相应集的真子集,但子集和相应集可以相等。
除非以其他方式确切地陈述或以其他方式与上下文明显地矛盾,连接语言如“A、B、和C中的至少一个”或“A、B和C中的至少一个”形式的短语以如通常使用的上下文来另外理解,以呈现项目、术语等可以是A或B或C,或A和B和C的集合的任何非空子集。例如,在用在以上连接短语中的具有三个成员的集的说明性实例中,“A、B、和C中的至少一个”和“A、B和C中的至少一个”指代以下集中的任一集:{A}、{B}、{C}、{A,B}、{A,C}、{B,C}、{A,B,C}。.因此,此类连接性语言一般并非意在暗示某些实施方案需要对于每个来说存在A中的至少一个、B中的至少一个以及C中的至少一个。
可按任何合适的顺序来执行本文所述的过程的操作,除非本文另外指明或另外明显地与上下文矛盾。本文描述的过程(或变体和/或其组合)可以在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可以作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。代码例如可以以包括可由一个或多个处理器执行的多个指令的计算机程序的形式存储在计算机可读储存介质上。计算机可读储存介质可以是非暂时性的。
本文所提供的任何以及所有实例或实例性语言(例如,“如”)的使用仅意图更好地说明本发明的实施方案,并且除非另外要求,否则不会对本发明的范围施加限制。本说明书中的语言不应解释为将任何非要求的要素指示为实践本发明所必需。
本文描述了本公开的优选实施方案,包括发明人已知用于执行本发明的最佳模式。阅读上述说明后那些优选实施方案的变体对于本领域的普通技术人员可以变得显而易见。发明人希望技术人员视情况采用此类变体,并且发明人意图以不同于如本文所具体描述的方式来实践本公开的实施方案。因此,经适用的法律许可,本公开的范围包括在此附加的权利要求中叙述的主题的所有改良形式和等价物。此外,除非本文另外指示或另外明显地与上下文矛盾,否则本公开的范围涵盖其所有可能变体中的上述元素的任何组合。
本文所引用的所有参考文献、包括出版物、专利申请和专利据此以引用方式并入,其程度等同于每个参考文献单独地且具体地被表示为以引用方式并入本文并且以其全文在本文得以陈述。
Claims (15)
1.一种系统,其包括:
一个或多个处理器;以及
包括计算机可执行指令的存储器,当由所述一个或多个处理器执行时,所述指令促使所述系统:
操作请求通过网络向其可提交的应用程序编程接口;
针对提交给所述应用程序编程接口的至少多个请求的每个第一请求,至少通过下列各项处理所述第一请求:
使用密钥来对处理所述第一请求中涉及的数据执行一个或多个密码操作;以及
跨网络将第二请求传输至服务,其促使所述服务来对加密形式的所述数据执行一个或多个操作,所述服务具有的支撑的基础设施在另一个存储区中,所述服务缺乏对所述密钥的访问权并且被配置来能够独立地处理所述第一请求。
2.如权利要求1所述的系统,其中:
所述系统作为由服务提供商提供的服务类型的第一实例的部分来操作;并且
所述服务作为由所述服务提供商提供的所述服务类型的第二实例的部分来操作。
3.如权利要求1所述的系统,其中所述应用程序编程接口是网页服务接口。
4.如权利要求1所述的系统,其中:
所述多个请求中的至少一些通过不同实体传输;并且
每个不同实体对应于所述服务的账户。
5.如权利要求1所述的系统,其中:
所述可执行指令还促使所述系统选择性地确定当处理请求时是否执行所述一个或多个密码操作;并且
所述多个请求是由所述系统处理的一组请求的子集,所述子集由针对其所述系统已选择性地确定执行所述一个或多个密码操作的请求组成。
6.如权利要求1所述的系统,其中所述可执行指令还促使所述系统从能够在处理所述第一请求中使用的多个服务选择所述服务。
7.如权利要求1所述的系统,其中:
至所述服务的所述第二请求促使所述服务对未加密数据执行一个或多个操作,并且向所述系统提供所述一个或多个操作的执行结果和加密形式的所述数据;
使用所述密钥来执行所述一个或多个密码操作包括对加密形式的所述数据进行解密;并且
所述可执行指令还促使所述系统对包括所述未加密数据和所述加密数据的数据集合执行一个或多个操作。
8.如权利要求1所述的系统,其中所述服务由不同于操作所述系统的第二组织实体的第一组织实体操作。
9.如权利要求1所述的系统,其中所述可执行指令还促使所述系统至少部分基于所述应用程序编程接口请求的分析来限制所述服务对加密形式的所述数据的访问。
10.一种计算机实现的方法,其包括:
在被配置有可执行指令的一个或多个计算机系统的控制下,
从在所述一个或多个计算机系统的网络地址处的请求者接收执行一个或多个操作的应用程序编程接口请求;以及
至少通过下列各项处理所述应用程序编程接口请求:
通过网络将请求传输至被配置来能够独立地执行所述一个或多个操作的服务,所述服务具有的支撑的基础设施在另一个存储区中,所述请求被配置来促使所述服务对加密数据执行一个或多个服务操作,所述加密数据在不可由所述服务访问的密钥下加密;以及
使用所述密钥结合所述加密数据执行一个或多个密码操作。
11.如权利要求10所述的计算机实现的方法,其中:
所述一个或多个密码操作包括数据加密以获取所述加密数据;并且
所述一个或多个服务操作包括持久存储所述加密数据。
12.如权利要求10所述的计算机实现的方法,其中所述网络地址是公共互联网协议地址。
13.如权利要求10所述的计算机实现的方法,其中所述方法还包括从每个能够独立地执行所述一个或多个操作的多个服务选择所述服务。
14.如权利要求10所述的计算机实现的方法,其中执行所述一个或多个密码操作包括通过所述网络将请求传输至密码服务,所述请求促使所述密码服务使用不可由所述一个或多个计算机系统和所述服务两者访问的密码信息执行一个或多个其他密码操作。
15.如权利要求10所述的计算机实现的方法,其中所述网络地址与可用于从域名服务获取所述网络地址的字符串相关联,所述字符串与通过任何域名服务用于所述服务的网络地址无关。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910208697.4A CN109951480B (zh) | 2013-07-01 | 2014-06-30 | 用于数据存储的系统、方法和非暂态计算机可读存储介质 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/932,872 US10075471B2 (en) | 2012-06-07 | 2013-07-01 | Data loss prevention techniques |
| US13/932,824 | 2013-07-01 | ||
| US13/932,824 US9286491B2 (en) | 2012-06-07 | 2013-07-01 | Virtual service provider zones |
| US13/932,872 | 2013-07-01 | ||
| PCT/US2014/044861 WO2015002875A1 (en) | 2013-07-01 | 2014-06-30 | Virtual service provider zones |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910208697.4A Division CN109951480B (zh) | 2013-07-01 | 2014-06-30 | 用于数据存储的系统、方法和非暂态计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105493435A CN105493435A (zh) | 2016-04-13 |
| CN105493435B true CN105493435B (zh) | 2019-04-09 |
Family
ID=52144137
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480046236.7A Active CN105493435B (zh) | 2013-07-01 | 2014-06-30 | 虚拟服务提供商存储区 |
| CN201910208697.4A Active CN109951480B (zh) | 2013-07-01 | 2014-06-30 | 用于数据存储的系统、方法和非暂态计算机可读存储介质 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910208697.4A Active CN109951480B (zh) | 2013-07-01 | 2014-06-30 | 用于数据存储的系统、方法和非暂态计算机可读存储介质 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US10075471B2 (zh) |
| EP (2) | EP3017561B1 (zh) |
| JP (3) | JP6622196B2 (zh) |
| CN (2) | CN105493435B (zh) |
| CA (2) | CA2916954C (zh) |
| SG (2) | SG10201803844TA (zh) |
| WO (1) | WO2015002875A1 (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10003584B1 (en) * | 2014-09-02 | 2018-06-19 | Amazon Technologies, Inc. | Durable key management |
| US10110382B1 (en) | 2014-09-02 | 2018-10-23 | Amazon Technologies, Inc. | Durable cryptographic keys |
| US9985953B2 (en) * | 2014-11-10 | 2018-05-29 | Amazon Technologies, Inc. | Desktop application fulfillment platform with multiple authentication mechanisms |
| US9928377B2 (en) | 2015-03-19 | 2018-03-27 | Netskope, Inc. | Systems and methods of monitoring and controlling enterprise information stored on a cloud computing service (CCS) |
| US9736169B2 (en) | 2015-07-02 | 2017-08-15 | International Business Machines Corporation | Managing user authentication in association with application access |
| US11403418B2 (en) | 2018-08-30 | 2022-08-02 | Netskope, Inc. | Enriching document metadata using contextual information |
| US10771447B2 (en) | 2016-06-06 | 2020-09-08 | Illumina, Inc. | Tenant-aware distributed application authentication |
| US10003585B2 (en) | 2016-08-02 | 2018-06-19 | Samsung Electronics Co., Ltd. | Systems, devices, and methods for preventing unauthorized access to storage devices |
| US10887291B2 (en) * | 2016-12-16 | 2021-01-05 | Amazon Technologies, Inc. | Secure data distribution of sensitive data across content delivery networks |
| US11393046B1 (en) | 2017-01-17 | 2022-07-19 | Intuit Inc. | System and method for perpetual rekeying of various data columns with a frequency and encryption strength based on the sensitivity of the data columns |
| US10303895B1 (en) * | 2017-01-19 | 2019-05-28 | Intuit Inc. | System and method for perpetual rekeying of various data columns with respective encryption keys and on alternating bases |
| US10834113B2 (en) | 2017-07-25 | 2020-11-10 | Netskope, Inc. | Compact logging of network traffic events |
| US11153381B2 (en) * | 2017-08-22 | 2021-10-19 | Red Hat, Inc. | Data auditing for object storage public clouds |
| US11159498B1 (en) * | 2018-03-21 | 2021-10-26 | Amazon Technologies, Inc. | Information security proxy service |
| US10979403B1 (en) | 2018-06-08 | 2021-04-13 | Amazon Technologies, Inc. | Cryptographic configuration enforcement |
| US20200005242A1 (en) * | 2018-06-28 | 2020-01-02 | Microsoft Technology Licensing, Llc | Personalized message insight generation |
| US10783270B2 (en) | 2018-08-30 | 2020-09-22 | Netskope, Inc. | Methods and systems for securing and retrieving sensitive data using indexable databases |
| US11416641B2 (en) | 2019-01-24 | 2022-08-16 | Netskope, Inc. | Incident-driven introspection for data loss prevention |
| US10521605B1 (en) | 2019-03-15 | 2019-12-31 | ZenPayroll, Inc. | Tagging and auditing sensitive information in a database environment |
| US11895034B1 (en) | 2021-01-29 | 2024-02-06 | Joinesty, Inc. | Training and implementing a machine learning model to selectively restrict access to traffic |
| US20230005391A1 (en) * | 2021-06-30 | 2023-01-05 | Skyflow, Inc. | Polymorphic encryption for security of a data vault |
| JP7185953B1 (ja) | 2021-07-02 | 2022-12-08 | Eaglys株式会社 | データ管理システム、データ管理方法、及びデータ管理プログラム |
| US11475158B1 (en) | 2021-07-26 | 2022-10-18 | Netskope, Inc. | Customized deep learning classifier for detecting organization sensitive data in images on premises |
| US11606432B1 (en) * | 2022-02-15 | 2023-03-14 | Accenture Global Solutions Limited | Cloud distributed hybrid data storage and normalization |
Family Cites Families (421)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6175625B1 (en) | 1944-12-15 | 2001-01-16 | The United States Of America As Represented By The National Security Agency | Control circuits for electric coding machines |
| JPS61177479A (ja) | 1985-02-01 | 1986-08-09 | 沖電気工業株式会社 | 暗号化鍵管理方式 |
| US4908759A (en) | 1985-08-29 | 1990-03-13 | Bell Communications Research, Inc. | Hierarchical database conversion with conditional write |
| US4782517A (en) | 1986-09-08 | 1988-11-01 | Bell Communications Research, Inc. | System and method for defining and providing telephone network services |
| US4868877A (en) | 1988-02-12 | 1989-09-19 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
| US4918728A (en) | 1989-08-30 | 1990-04-17 | International Business Machines Corporation | Data cryptography operations using control vectors |
| US6044205A (en) | 1996-02-29 | 2000-03-28 | Intermind Corporation | Communications system for transferring information between memories according to processes transferred with the information |
| US5054067A (en) | 1990-02-21 | 1991-10-01 | General Instrument Corporation | Block-cipher cryptographic device based upon a pseudorandom nonlinear sequence generator |
| JPH09233067A (ja) * | 1990-07-31 | 1997-09-05 | Hiroichi Okano | 知的情報処理方法および装置 |
| US5146498A (en) | 1991-01-10 | 1992-09-08 | Motorola, Inc. | Remote key manipulations for over-the-air re-keying |
| US5201000A (en) | 1991-09-27 | 1993-04-06 | International Business Machines Corporation | Method for generating public and private key pairs without using a passphrase |
| US5870477A (en) | 1993-09-29 | 1999-02-09 | Pumpkin House Incorporated | Enciphering/deciphering device and method, and encryption/decryption communication system |
| US5495533A (en) | 1994-04-29 | 1996-02-27 | International Business Machines Corporation | Personal key archive |
| US7904722B2 (en) | 1994-07-19 | 2011-03-08 | Certco, Llc | Method for securely using digital signatures in a commercial cryptographic system |
| US5826245A (en) | 1995-03-20 | 1998-10-20 | Sandberg-Diment; Erik | Providing verification information for a transaction |
| US5633931A (en) | 1995-06-30 | 1997-05-27 | Novell, Inc. | Method and apparatus for calculating message signatures in advance |
| US5675653A (en) | 1995-11-06 | 1997-10-07 | Nelson, Jr.; Douglas Valmore | Method and apparatus for digital encryption |
| US5761306A (en) | 1996-02-22 | 1998-06-02 | Visa International Service Association | Key replacement in a public key cryptosystem |
| US5933503A (en) | 1996-03-15 | 1999-08-03 | Novell, Inc | Controlled modular cryptography apparatus and method |
| US5862220A (en) | 1996-06-03 | 1999-01-19 | Webtv Networks, Inc. | Method and apparatus for using network address information to improve the performance of network transactions |
| US6012144A (en) | 1996-10-08 | 2000-01-04 | Pickett; Thomas E. | Transaction security method and apparatus |
| US6934249B1 (en) | 1997-04-01 | 2005-08-23 | Cisco Technology, Inc. | Method and system for minimizing the connection set up time in high speed packet switching networks |
| US7194424B2 (en) | 1997-06-25 | 2007-03-20 | Intel Corporation | User demographic profile driven advertising targeting |
| US20010011226A1 (en) | 1997-06-25 | 2001-08-02 | Paul Greer | User demographic profile driven advertising targeting |
| JP3542895B2 (ja) | 1997-08-22 | 2004-07-14 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 時間制約暗号システム |
| US6182216B1 (en) | 1997-09-17 | 2001-01-30 | Frank C. Luyster | Block cipher method |
| US6978017B2 (en) | 1997-10-14 | 2005-12-20 | Entrust Limited | Method and system for providing updated encryption key pairs and digital signature key pairs in a public key system |
| US6259789B1 (en) | 1997-12-12 | 2001-07-10 | Safecourier Software, Inc. | Computer implemented secret object key block cipher encryption and digital signature device and method |
| US6195622B1 (en) | 1998-01-15 | 2001-02-27 | Microsoft Corporation | Methods and apparatus for building attribute transition probability models for use in pre-fetching resources |
| US6185679B1 (en) | 1998-02-23 | 2001-02-06 | International Business Machines Corporation | Method and apparatus for a symmetric block cipher using multiple stages with type-1 and type-3 feistel networks |
| JP3659791B2 (ja) | 1998-03-23 | 2005-06-15 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 小時間鍵生成の方法及びシステム |
| US6336186B1 (en) | 1998-07-02 | 2002-01-01 | Networks Associates Technology, Inc. | Cryptographic system and methodology for creating and managing crypto policy on certificate servers |
| JP3939453B2 (ja) | 1999-01-22 | 2007-07-04 | 三菱電機株式会社 | 情報仲介システム |
| US6356941B1 (en) | 1999-02-22 | 2002-03-12 | Cyber-Ark Software Ltd. | Network vaults |
| US6505299B1 (en) | 1999-03-01 | 2003-01-07 | Sharp Laboratories Of America, Inc. | Digital image scrambling for image coding systems |
| US20020135611A1 (en) | 1999-03-04 | 2002-09-26 | Trevor Deosaran | Remote performance management to accelerate distributed processes |
| US6546492B1 (en) | 1999-03-26 | 2003-04-08 | Ericsson Inc. | System for secure controlled electronic memory updates via networks |
| GB2348568A (en) * | 1999-03-31 | 2000-10-04 | Ibm | Enabling conformance to legislative requirements for mobile devices |
| JP2000295209A (ja) | 1999-04-09 | 2000-10-20 | Ntt Data Corp | 鍵管理方法、鍵管理システム及び記録媒体 |
| JP4132530B2 (ja) | 2000-01-24 | 2008-08-13 | 株式会社リコー | 電子保存装置 |
| US6721713B1 (en) | 1999-05-27 | 2004-04-13 | Andersen Consulting Llp | Business alliance identification in a web architecture framework |
| GB9913165D0 (en) * | 1999-06-08 | 1999-08-04 | Secr Defence | Access control in a web environment |
| US7882247B2 (en) | 1999-06-11 | 2011-02-01 | Netmotion Wireless, Inc. | Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments |
| US8868914B2 (en) | 1999-07-02 | 2014-10-21 | Steven W. Teppler | System and methods for distributing trusted time |
| SE9904094D0 (sv) | 1999-11-12 | 1999-11-12 | Protegrity Research & Dev | Method for reencryption of a database |
| EP1267515A3 (en) | 2000-01-21 | 2004-04-07 | Sony Computer Entertainment Inc. | Method and apparatus for symmetric encryption/decryption of recorded data |
| US6826609B1 (en) | 2000-03-31 | 2004-11-30 | Tumbleweed Communications Corp. | Policy enforcement in a secure data file delivery system |
| US20050195743A1 (en) | 2000-04-03 | 2005-09-08 | P-Cube Ltd. | Real time charging of pre-paid accounts |
| DE10025626A1 (de) | 2000-05-24 | 2001-11-29 | Deutsche Telekom Ag | Verschlüsseln von abzuspeichernden Daten in einem IV-System |
| US6611863B1 (en) | 2000-06-05 | 2003-08-26 | Intel Corporation | Automatic device assignment through programmable device discovery for policy based network management |
| US8538843B2 (en) | 2000-07-17 | 2013-09-17 | Galactic Computing Corporation Bvi/Bc | Method and system for operating an E-commerce service provider |
| US20030021417A1 (en) | 2000-10-20 | 2003-01-30 | Ognjen Vasic | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| US7362868B2 (en) | 2000-10-20 | 2008-04-22 | Eruces, Inc. | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| JP2002140534A (ja) | 2000-11-01 | 2002-05-17 | Sony Corp | ログ管理構成を持つコンテンツ配信システムおよびコンテンツ配信方法 |
| US6986040B1 (en) | 2000-11-03 | 2006-01-10 | Citrix Systems, Inc. | System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel |
| GB2385177B (en) | 2000-11-28 | 2005-06-22 | Sanyo Electric Co | Data terminal device for administering licence used for decrypting and utilizing encrypted content data |
| US6978376B2 (en) * | 2000-12-15 | 2005-12-20 | Authentica, Inc. | Information security architecture for encrypting documents for remote access while maintaining access control |
| US7085834B2 (en) | 2000-12-22 | 2006-08-01 | Oracle International Corporation | Determining a user's groups |
| US7493391B2 (en) | 2001-02-12 | 2009-02-17 | International Business Machines Corporation | System for automated session resource clean-up by determining whether server resources have been held by client longer than preset thresholds |
| US7181017B1 (en) | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
| US7050583B2 (en) | 2001-03-29 | 2006-05-23 | Etreppid Technologies, Llc | Method and apparatus for streaming data using rotating cryptographic keys |
| US20030037237A1 (en) | 2001-04-09 | 2003-02-20 | Jean-Paul Abgrall | Systems and methods for computer device authentication |
| US6934702B2 (en) | 2001-05-04 | 2005-08-23 | Sun Microsystems, Inc. | Method and system of routing messages in a distributed search network |
| JP2007037197A (ja) | 2001-08-01 | 2007-02-08 | Matsushita Electric Ind Co Ltd | 暗号化データ配信システム |
| CA2358048A1 (en) | 2001-09-25 | 2003-03-25 | Luis Rueda | A cryptosystem for data security |
| CA2358980A1 (en) | 2001-10-12 | 2003-04-12 | Karthika Technologies Inc. | Distributed security architecture for storage area networks (san) |
| US7200747B2 (en) | 2001-10-31 | 2007-04-03 | Hewlett-Packard Development Company, L.P. | System for ensuring data privacy and user differentiation in a distributed file system |
| US7243366B2 (en) | 2001-11-15 | 2007-07-10 | General Instrument Corporation | Key management protocol and authentication system for secure internet protocol rights management architecture |
| US20020076044A1 (en) | 2001-11-16 | 2002-06-20 | Paul Pires | Method of and system for encrypting messages, generating encryption keys and producing secure session keys |
| US7865446B2 (en) | 2001-12-11 | 2011-01-04 | International Businesss Machines Corporation | Method for secure electronic commercial transaction on-line processing |
| US7580972B2 (en) | 2001-12-12 | 2009-08-25 | Valve Corporation | Method and system for controlling bandwidth on client and server |
| JP4291970B2 (ja) | 2001-12-20 | 2009-07-08 | 富士通株式会社 | 暗号処理装置 |
| US7117366B2 (en) | 2002-01-08 | 2006-10-03 | International Business Machines Corporation | Public key based authentication method for transaction delegation in service-based computing environments |
| JP2003208355A (ja) * | 2002-01-11 | 2003-07-25 | Hitachi Ltd | データ記憶装置ならびにデータバックアップ方法およびデータリストア方法 |
| US7376967B1 (en) | 2002-01-14 | 2008-05-20 | F5 Networks, Inc. | Method and system for performing asynchronous cryptographic operations |
| JP3897613B2 (ja) | 2002-02-27 | 2007-03-28 | 株式会社日立製作所 | 公開鍵暗号方式における登録局サーバの運用方法、登録局サーバ、及びプログラム |
| US7400733B1 (en) | 2002-02-27 | 2008-07-15 | Atheros Communications, Inc. | Key refresh at the MAC layer |
| US20030188188A1 (en) | 2002-03-15 | 2003-10-02 | Microsoft Corporation | Time-window-constrained multicast for future delivery multicast |
| US7890771B2 (en) | 2002-04-17 | 2011-02-15 | Microsoft Corporation | Saving and retrieving data based on public key encryption |
| US20030217126A1 (en) | 2002-05-14 | 2003-11-20 | Polcha Andrew J. | System and method for automatically configuring remote computer |
| US6965674B2 (en) | 2002-05-21 | 2005-11-15 | Wavelink Corporation | System and method for providing WLAN security through synchronized update and rotation of WEP keys |
| CA2486713A1 (en) | 2002-05-23 | 2003-12-04 | Atmel Corporation | Advanced encryption standard (aes) hardware cryptographic engine |
| US20040009815A1 (en) | 2002-06-26 | 2004-01-15 | Zotto Banjamin O. | Managing access to content |
| WO2004008676A2 (en) | 2002-07-12 | 2004-01-22 | Ingrian Networks, Inc. | Network attached encryption |
| US7844717B2 (en) | 2003-07-18 | 2010-11-30 | Herz Frederick S M | Use of proxy servers and pseudonymous transactions to maintain individual's privacy in the competitive business of maintaining personal history databases |
| US7620680B1 (en) | 2002-08-15 | 2009-11-17 | Microsoft Corporation | Fast byzantine paxos |
| US7877607B2 (en) | 2002-08-30 | 2011-01-25 | Hewlett-Packard Development Company, L.P. | Tamper-evident data management |
| FR2844656B1 (fr) | 2002-09-18 | 2005-01-28 | France Telecom | Procede de signature electronique, programme et serveur pour la mise en oeuvre du procede |
| US8064508B1 (en) | 2002-09-19 | 2011-11-22 | Silicon Image, Inc. | Equalizer with controllably weighted parallel high pass and low pass filters and receiver including such an equalizer |
| JP2004126716A (ja) * | 2002-09-30 | 2004-04-22 | Fujitsu Ltd | 広域分散ストレージシステムを利用したデータ格納方法、その方法をコンピュータに実現させるプログラム、記録媒体、及び広域分散ストレージシステムにおける制御装置 |
| US20040107345A1 (en) | 2002-10-21 | 2004-06-03 | Brandt David D. | System and methodology providing automation security protocols and intrusion detection in an industrial controller environment |
| US7565419B1 (en) | 2002-11-22 | 2009-07-21 | Symantec Operating Corporation | Conflict resolution in a peer to peer network |
| FR2848052B1 (fr) | 2002-11-29 | 2005-03-18 | Orange France | Systeme et procede de selection dans un terminal pour une architecture dediee a un reseau de communication |
| US20040143733A1 (en) | 2003-01-16 | 2004-07-22 | Cloverleaf Communication Co. | Secure network data storage mediator |
| US20050021712A1 (en) | 2003-01-24 | 2005-01-27 | Constantin Chassapis | Multi-user, multi-device remote access system |
| DE10306268A1 (de) | 2003-02-14 | 2004-08-26 | Michael Sack | Verfahren zum Übermitteln eines Nutzerdatensatzes an eine Anwenderstation |
| WO2004077782A1 (en) * | 2003-02-28 | 2004-09-10 | Research In Motion Limited | System and method of protecting data on a communication device |
| GB2400699B (en) | 2003-04-17 | 2006-07-05 | Hewlett Packard Development Co | Security data provision method and apparatus and data recovery method and system |
| US7093147B2 (en) | 2003-04-25 | 2006-08-15 | Hewlett-Packard Development Company, L.P. | Dynamically selecting processor cores for overall power efficiency |
| US20050015471A1 (en) | 2003-07-18 | 2005-01-20 | Zhang Pu Paul | Secure cluster configuration data set transfer protocol |
| US7697690B2 (en) | 2003-07-21 | 2010-04-13 | Hewlett-Packard Development Company, L.P. | Windowed backward key rotation |
| JP4062206B2 (ja) | 2003-08-01 | 2008-03-19 | 日本電気株式会社 | 署名復号サービスシステム及びプログラム |
| JP4437650B2 (ja) | 2003-08-25 | 2010-03-24 | 株式会社日立製作所 | ストレージシステム |
| JP2005151529A (ja) | 2003-10-20 | 2005-06-09 | Sony Corp | データ伝送方法、データ伝送装置及びデータ受信装置 |
| US7694151B1 (en) * | 2003-11-20 | 2010-04-06 | Johnson Richard C | Architecture, system, and method for operating on encrypted and/or hidden information |
| US7421079B2 (en) | 2003-12-09 | 2008-09-02 | Northrop Grumman Corporation | Method and apparatus for secure key replacement |
| JP2005197912A (ja) | 2004-01-06 | 2005-07-21 | Nippon Telegr & Teleph Corp <Ntt> | 情報開示制御方法、情報開示制御プログラム、ならびに、耐タンパ装置 |
| US8065720B1 (en) | 2004-01-06 | 2011-11-22 | Novell, Inc. | Techniques for managing secure communications |
| US7296023B2 (en) | 2004-01-15 | 2007-11-13 | International Business Machines Corporation | Method and apparatus for persistent real-time collaboration |
| JP2005258801A (ja) | 2004-03-11 | 2005-09-22 | Matsushita Electric Ind Co Ltd | 個人認証システム |
| US8086702B2 (en) | 2005-03-16 | 2011-12-27 | Icontrol Networks, Inc. | Takeover processes in security network integrated with premise security system |
| EP2267625A3 (en) | 2004-04-19 | 2015-08-05 | Lumension Security S.A. | On-line centralized and local authorization of executable files |
| AU2005234798B2 (en) | 2004-04-26 | 2009-01-08 | Jp Morgan Chase Bank | System and method for routing messages |
| US7894604B2 (en) | 2004-05-17 | 2011-02-22 | Mitsubishi Electric Corporation | Quantum cryptographic communication apparatus |
| US20050273629A1 (en) | 2004-06-04 | 2005-12-08 | Vitalsource Technologies | System, method and computer program product for providing digital rights management of protected content |
| US20060010323A1 (en) | 2004-07-07 | 2006-01-12 | Xerox Corporation | Method for a repository to provide access to a document, and a repository arranged in accordance with the same method |
| JP4847328B2 (ja) | 2004-07-15 | 2011-12-28 | パナソニック株式会社 | 時刻認証装置、時刻認証方法、コンピュータプログラム、記録媒体、集積回路及び時刻認証システム |
| US20060021018A1 (en) | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for enabling trust infrastructure support for federated user lifecycle management |
| US20060048222A1 (en) | 2004-08-27 | 2006-03-02 | O'connor Clint H | Secure electronic delivery seal for information handling system |
| JP4794560B2 (ja) | 2004-08-31 | 2011-10-19 | 株式会社エヌ・ティ・ティ・ドコモ | 暗号デジタル証明書の失効 |
| CA2622404A1 (en) | 2004-09-15 | 2006-03-23 | Adesso Systems, Inc. | System and method for managing data in a distributed computer system |
| JP2006099548A (ja) | 2004-09-30 | 2006-04-13 | Hitachi Ltd | データ共有システム、データ共有方法、データ保有者デバイスおよびデータサーバ |
| US7756808B2 (en) | 2004-10-14 | 2010-07-13 | Sap Ag | Apparatus and product of manufacture for using condition data structures separately from rule data structures in business transactions |
| US20060089163A1 (en) | 2004-10-22 | 2006-04-27 | Jean Khawand | Method and system for delivering messages |
| US7970625B2 (en) | 2004-11-04 | 2011-06-28 | Dr Systems, Inc. | Systems and methods for retrieval of medical data |
| US8315387B2 (en) | 2004-11-05 | 2012-11-20 | Nucrypt Llc | System and method for data transmission over arbitrary media using physical encryption |
| US7873782B2 (en) | 2004-11-05 | 2011-01-18 | Data Robotics, Inc. | Filesystem-aware block storage system, apparatus, and method |
| US7899189B2 (en) * | 2004-12-09 | 2011-03-01 | International Business Machines Corporation | Apparatus, system, and method for transparent end-to-end security of storage data in a client-server environment |
| US7607164B2 (en) | 2004-12-23 | 2009-10-20 | Microsoft Corporation | Systems and processes for managing policy change in a distributed enterprise |
| US7707288B2 (en) | 2005-01-06 | 2010-04-27 | International Business Machines Corporation | Automatically building a locally managed virtual node grouping to handle a grid job requiring a degree of resource parallelism within a grid environment |
| JP4714482B2 (ja) | 2005-02-28 | 2011-06-29 | 株式会社日立製作所 | 暗号通信システムおよび方法 |
| US7900247B2 (en) | 2005-03-14 | 2011-03-01 | Microsoft Corporation | Trusted third party authentication for web services |
| US20110209053A1 (en) * | 2005-11-23 | 2011-08-25 | Beyondcore, Inc. | Shuffling Documents Containing Restricted Information |
| US7774826B1 (en) | 2005-03-18 | 2010-08-10 | Novell, Inc. | System and method for determining effective policy profiles in a client-server architecture |
| JP4622627B2 (ja) | 2005-03-30 | 2011-02-02 | ブラザー工業株式会社 | 通信装置、通信システム及びプログラム |
| US8554916B2 (en) | 2005-04-11 | 2013-10-08 | Accenture Global Services Gmbh | Service delivery platform and development of new client business models |
| US8051487B2 (en) | 2005-05-09 | 2011-11-01 | Trend Micro Incorporated | Cascading security architecture |
| US8973008B2 (en) | 2005-05-10 | 2015-03-03 | Oracle America, Inc. | Combining different resource types |
| US8312064B1 (en) | 2005-05-11 | 2012-11-13 | Symantec Corporation | Method and apparatus for securing documents using a position dependent file system |
| JP2006319543A (ja) | 2005-05-11 | 2006-11-24 | Nec Corp | コンテンツ再生システム、携帯端末、コンテンツ再生方法、およびコンテンツ再生管理プログラム |
| US8028329B2 (en) | 2005-06-13 | 2011-09-27 | Iamsecureonline, Inc. | Proxy authentication network |
| US7639819B2 (en) | 2005-06-16 | 2009-12-29 | Oracle International Corporation | Method and apparatus for using an external security device to secure data in a database |
| US8295492B2 (en) | 2005-06-27 | 2012-10-23 | Wells Fargo Bank, N.A. | Automated key management system |
| US7784087B2 (en) | 2005-08-04 | 2010-08-24 | Toshiba Corporation | System and method for securely sharing electronic documents |
| US8917159B2 (en) | 2005-08-19 | 2014-12-23 | CLARKE William McALLISTER | Fully secure item-level tagging |
| US8566607B2 (en) | 2005-08-26 | 2013-10-22 | International Business Machines Corporation | Cryptography methods and apparatus used with a processor |
| US20070055921A1 (en) | 2005-08-30 | 2007-03-08 | Challenor Timothy W | Document editing system |
| US20070055862A1 (en) * | 2005-09-08 | 2007-03-08 | Interdigital Technology Corporation | Method and system for distributing data |
| JP2007081482A (ja) | 2005-09-09 | 2007-03-29 | Canon Inc | 端末認証方法及びその装置、プログラム |
| US7873166B2 (en) * | 2005-09-13 | 2011-01-18 | Avaya Inc. | Method for undetectably impeding key strength of encryption usage for products exported outside the U.S |
| US8218770B2 (en) * | 2005-09-13 | 2012-07-10 | Agere Systems Inc. | Method and apparatus for secure key management and protection |
| US7680905B1 (en) | 2005-09-30 | 2010-03-16 | Emc Corporation | Methods and system for viewing SAN resources |
| US9055093B2 (en) | 2005-10-21 | 2015-06-09 | Kevin R. Borders | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
| JP4569464B2 (ja) | 2005-12-20 | 2010-10-27 | 沖電気工業株式会社 | マルチホップネットワークにおける鍵更新システム,鍵管理装置,通信端末および鍵情報構築方法 |
| US20070143851A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
| US8849858B2 (en) | 2005-12-29 | 2014-09-30 | Nextlabs, Inc. | Analyzing activity data of an information management system |
| US8244745B2 (en) | 2005-12-29 | 2012-08-14 | Nextlabs, Inc. | Analyzing usage information of an information management system |
| US7716240B2 (en) | 2005-12-29 | 2010-05-11 | Nextlabs, Inc. | Techniques and system to deploy policies intelligently |
| US20070174429A1 (en) | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
| US7912994B2 (en) | 2006-01-27 | 2011-03-22 | Apple Inc. | Reducing connection time for mass storage class peripheral by internally prefetching file data into local cache in response to connection to host |
| US8332906B2 (en) | 2006-02-27 | 2012-12-11 | Research In Motion Limited | Method of customizing a standardized IT policy |
| US7925023B2 (en) | 2006-03-03 | 2011-04-12 | Oracle International Corporation | Method and apparatus for managing cryptographic keys |
| US7801128B2 (en) | 2006-03-31 | 2010-09-21 | Amazon Technologies, Inc. | Managing communications between computing nodes |
| US8064604B2 (en) | 2006-04-04 | 2011-11-22 | Oracle International Corporation | Method and apparatus for facilitating role-based cryptographic key management for a database |
| US7751570B2 (en) | 2006-04-04 | 2010-07-06 | Oracle International Corporation | Method and apparatus for managing cryptographic keys |
| JP2007293468A (ja) | 2006-04-24 | 2007-11-08 | Fujifilm Corp | プリントサービスシステムおよびプリント処理方法 |
| US9002018B2 (en) | 2006-05-09 | 2015-04-07 | Sync Up Technologies Corporation | Encryption key exchange system and method |
| US20080005024A1 (en) | 2006-05-17 | 2008-01-03 | Carter Kirkwood | Document authentication system |
| US20070283446A1 (en) | 2006-06-05 | 2007-12-06 | Kabushiki Kaisha Toshiba | System and method for secure handling of scanned documents |
| US9053460B2 (en) | 2006-06-12 | 2015-06-09 | International Business Machines Corporation | Rule management using a configuration database |
| EP2036239B1 (en) | 2006-06-22 | 2017-09-20 | LG Electronics, Inc. | Method of retransmitting data in a mobile communication system |
| US20080019516A1 (en) | 2006-06-22 | 2008-01-24 | Entriq Inc. | Enforced delay of access to digital content |
| US20080022376A1 (en) | 2006-06-23 | 2008-01-24 | Lenovo (Beijing) Limited | System and method for hardware access control |
| JP4943751B2 (ja) | 2006-07-04 | 2012-05-30 | 株式会社内田洋行 | 電子データアクセス制御システム、プログラム及び情報記憶媒体 |
| US8108670B2 (en) | 2006-07-13 | 2012-01-31 | Intel Corporation | Client apparatus and method with key manager |
| US20080025514A1 (en) | 2006-07-25 | 2008-01-31 | Coombs Jason S | Systems And Methods For Root Certificate Update |
| US8689287B2 (en) | 2006-08-17 | 2014-04-01 | Northrop Grumman Systems Corporation | Federated credentialing system and method |
| US20080072066A1 (en) * | 2006-08-21 | 2008-03-20 | Motorola, Inc. | Method and apparatus for authenticating applications to secure services |
| US20100316219A1 (en) | 2007-08-06 | 2010-12-16 | David Boubion | Systems and methods for simultaneous integrated multiencrypted rotating key communication |
| US7953978B2 (en) | 2006-09-07 | 2011-05-31 | International Business Machines Corporation | Key generation and retrieval using key servers |
| US8407806B2 (en) | 2006-09-29 | 2013-03-26 | Purusharth Agrawal | Digital data distribution detection, deterrence and disablement system and method |
| US8122432B2 (en) | 2006-10-04 | 2012-02-21 | International Business Machines Corporation | Rule management using a configuration database |
| GB2443244A (en) | 2006-10-05 | 2008-04-30 | Hewlett Packard Development Co | Authenticated Encryption Method and Apparatus |
| US20100095118A1 (en) | 2006-10-12 | 2010-04-15 | Rsa Security Inc. | Cryptographic key management system facilitating secure access of data portions to corresponding groups of users |
| US20100098248A1 (en) | 2006-10-31 | 2010-04-22 | Agency For Science Technology And Research | Device and method of generating and distributing access permission to digital object |
| JP4712017B2 (ja) | 2006-11-13 | 2011-06-29 | 韓國電子通信研究院 | ストリーム暗号を利用したメッセージ認証コード生成方法とストリーム暗号を利用した認証暗号化方法及びストリーム暗号を利用した認証復号化方法 |
| US8213602B2 (en) | 2006-11-27 | 2012-07-03 | Broadcom Corporation | Method and system for encrypting and decrypting a transport stream using multiple algorithms |
| JP4847301B2 (ja) | 2006-11-28 | 2011-12-28 | 富士通株式会社 | コンテンツ保護システム,コンテンツ保護用デバイスおよびコンテンツ保護方法 |
| WO2008127446A2 (en) | 2006-12-01 | 2008-10-23 | President And Fellows Of Harvard College | A method and apparatus for time-lapse cryptography |
| BRPI0718738B1 (pt) | 2006-12-12 | 2023-05-16 | Fraunhofer-Gesellschaft Zur Forderung Der Angewandten Forschung E.V. | Codificador, decodificador e métodos para codificação e decodificação de segmentos de dados representando uma corrente de dados de domínio de tempo |
| US20080172562A1 (en) | 2007-01-12 | 2008-07-17 | Christian Cachin | Encryption and authentication of data and for decryption and verification of authenticity of data |
| US7870398B2 (en) | 2007-01-25 | 2011-01-11 | International Business Machines Corporation | Integrity assurance of query result from database service provider |
| US7937432B2 (en) | 2007-02-16 | 2011-05-03 | Red Hat, Inc. | State transition management according to a workflow management policy |
| KR101391152B1 (ko) | 2007-04-05 | 2014-05-02 | 삼성전자주식회사 | Ums 기기의 컨텐츠를 보호하기 위한 방법 및 장치 |
| US8218761B2 (en) | 2007-04-06 | 2012-07-10 | Oracle International Corporation | Method and apparatus for generating random data-encryption keys |
| WO2008128212A1 (en) | 2007-04-12 | 2008-10-23 | Ncipher Corporation Ltd. | Method and system for identifying and managing encryption keys |
| JP4964714B2 (ja) * | 2007-09-05 | 2012-07-04 | 株式会社日立製作所 | ストレージ装置及びデータの管理方法 |
| US8145762B2 (en) * | 2007-05-22 | 2012-03-27 | Kount Inc. | Collecting information regarding consumer click-through traffic |
| US8429406B2 (en) | 2007-06-04 | 2013-04-23 | Qualcomm Atheros, Inc. | Authorizing customer premise equipment into a network |
| US9003488B2 (en) | 2007-06-06 | 2015-04-07 | Datavalet Technologies | System and method for remote device recognition at public hotspots |
| JP2008306418A (ja) | 2007-06-07 | 2008-12-18 | Kddi Corp | ネットワーク負荷軽減システム、ネットワーク負荷軽減方法およびプログラム |
| US20080319909A1 (en) | 2007-06-25 | 2008-12-25 | Perkins George S | System and method for managing the lifecycle of encryption keys |
| CA2693743C (en) | 2007-07-17 | 2016-10-04 | Chris Alexander Peirson | Systems and processes for obtaining and managing electronic signatures for real estate transaction documents |
| JP4287485B2 (ja) | 2007-07-30 | 2009-07-01 | 日立ソフトウエアエンジニアリング株式会社 | 情報処理装置及び方法、コンピュータ読み取り可能な記録媒体、並びに、外部記憶媒体 |
| US8111828B2 (en) | 2007-07-31 | 2012-02-07 | Hewlett-Packard Development Company, L.P. | Management of cryptographic keys for securing stored data |
| US7894626B2 (en) | 2007-08-31 | 2011-02-22 | Xerox Corporation | System and method for the generation of multiple angle correlation-based digital watermarks |
| WO2009029842A1 (en) | 2007-08-31 | 2009-03-05 | Exegy Incorporated | Method and apparatus for hardware-accelerated encryption/decryption |
| US8645715B2 (en) * | 2007-09-11 | 2014-02-04 | International Business Machines Corporation | Configuring host settings to specify an encryption setting and a key label referencing a key encryption key to use to encrypt an encryption key provided to a storage drive to use to encrypt data from the host |
| US8140847B1 (en) | 2007-09-18 | 2012-03-20 | Jianqing Wu | Digital safe |
| CN101399661A (zh) | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种组密钥管理中的合法邻居认证方法和装置 |
| CN101400059B (zh) | 2007-09-28 | 2010-12-08 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
| US8131663B1 (en) | 2007-10-12 | 2012-03-06 | Bonamy Taylor | Apparatus for generating software logic rules by flowchart design |
| US8549278B2 (en) | 2007-10-20 | 2013-10-01 | Blackout, Inc. | Rights management services-based file encryption system and method |
| WO2009060283A1 (en) | 2007-11-05 | 2009-05-14 | Synaptic Laboratories Limited | Method and apparatus for secure communication |
| WO2009070727A2 (en) | 2007-11-27 | 2009-06-04 | Regulus Group, Llc. | Billing and remittance payment system |
| US8387127B1 (en) | 2007-11-28 | 2013-02-26 | Network Appliance, Inc. | Storage security appliance with out-of-band management capabilities |
| KR100980831B1 (ko) | 2007-12-12 | 2010-09-10 | 한국전자통신연구원 | 일회용 패스워드를 이용한 신뢰성 있는 통신 시스템 및방법 |
| US8495357B2 (en) | 2007-12-19 | 2013-07-23 | International Business Machines Corporation | Data security policy enforcement |
| US8060596B1 (en) | 2007-12-26 | 2011-11-15 | Symantec Corporation | Methods and systems for normalizing data loss prevention categorization information |
| US8175276B2 (en) | 2008-02-04 | 2012-05-08 | Freescale Semiconductor, Inc. | Encryption apparatus with diverse key retention schemes |
| JP4896054B2 (ja) | 2008-03-06 | 2012-03-14 | イートライアル株式会社 | 個人情報管理装置,個人情報管理プログラムおよび個人情報管理システム |
| US8893285B2 (en) | 2008-03-14 | 2014-11-18 | Mcafee, Inc. | Securing data using integrated host-based data loss agent with encryption detection |
| US8681990B2 (en) | 2008-03-28 | 2014-03-25 | International Business Machines Corporation | Renewal management for data items |
| JP4526574B2 (ja) | 2008-03-31 | 2010-08-18 | 富士通株式会社 | 暗号データ管理システム、および暗号データ管理方法 |
| US8225106B2 (en) | 2008-04-02 | 2012-07-17 | Protegrity Corporation | Differential encryption utilizing trust modes |
| US8494168B1 (en) | 2008-04-28 | 2013-07-23 | Netapp, Inc. | Locating cryptographic keys stored in a cache |
| US8589697B2 (en) | 2008-04-30 | 2013-11-19 | Netapp, Inc. | Discarding sensitive data from persistent point-in-time image |
| WO2009137511A2 (en) | 2008-05-05 | 2009-11-12 | Ticketmaster, Llc | Process control system |
| US8601258B2 (en) * | 2008-05-05 | 2013-12-03 | Kip Cr P1 Lp | Method for configuring centralized encryption policies for devices |
| US8423483B2 (en) | 2008-05-16 | 2013-04-16 | Carnegie Mellon University | User-controllable learning of policies |
| US20090300356A1 (en) | 2008-05-27 | 2009-12-03 | Crandell Jeffrey L | Remote storage encryption system |
| US9069599B2 (en) | 2008-06-19 | 2015-06-30 | Servicemesh, Inc. | System and method for a cloud computing abstraction layer with security zone facilities |
| US20100014662A1 (en) | 2008-06-19 | 2010-01-21 | Sami Antti Jutila | Method, apparatus and computer program product for providing trusted storage of temporary subscriber data |
| CN102057618A (zh) | 2008-06-23 | 2011-05-11 | 松下电器产业株式会社 | 信息处理装置、加密密钥的管理方法、计算机程序及集成电路 |
| GB0811897D0 (en) | 2008-06-30 | 2008-07-30 | Steed Darren | Intelligent file encapsulation |
| US8261320B1 (en) | 2008-06-30 | 2012-09-04 | Symantec Corporation | Systems and methods for securely managing access to data |
| US8005859B2 (en) | 2008-07-09 | 2011-08-23 | The Go Daddy Group, Inc. | Maintaining contact with a document storage file owner |
| US8245039B2 (en) | 2008-07-18 | 2012-08-14 | Bridgewater Systems Corp. | Extensible authentication protocol authentication and key agreement (EAP-AKA) optimization |
| JP4620146B2 (ja) | 2008-07-18 | 2011-01-26 | 株式会社東芝 | 情報処理装置及び認証方法 |
| JP4922262B2 (ja) | 2008-07-30 | 2012-04-25 | 株式会社オートネットワーク技術研究所 | 制御装置 |
| US8069053B2 (en) | 2008-08-13 | 2011-11-29 | Hartford Fire Insurance Company | Systems and methods for de-identification of personal data |
| US8826443B1 (en) | 2008-09-18 | 2014-09-02 | Symantec Corporation | Selective removal of protected content from web requests sent to an interactive website |
| US8302170B2 (en) | 2008-09-22 | 2012-10-30 | Bespoke Innovations S.A.R.L. | Method for enhancing network application security |
| US9742555B2 (en) | 2008-09-25 | 2017-08-22 | Nokia Technologies Oy | Encryption/identification using array of resonators at transmitter and receiver |
| US8804950B1 (en) | 2008-09-30 | 2014-08-12 | Juniper Networks, Inc. | Methods and apparatus for producing a hash value based on a hash function |
| WO2010049595A1 (fr) | 2008-10-27 | 2010-05-06 | Siemens Transportation Systems Sas | Methode de routage de donnees entre au moins un vehicule guide et un reseau au sol |
| US8695090B2 (en) | 2008-10-31 | 2014-04-08 | Symantec Corporation | Data loss protection through application data access classification |
| US7992055B1 (en) | 2008-11-07 | 2011-08-02 | Netapp, Inc. | System and method for providing autosupport for a security system |
| US8392682B2 (en) | 2008-12-17 | 2013-03-05 | Unisys Corporation | Storage security using cryptographic splitting |
| US8909925B2 (en) * | 2008-11-17 | 2014-12-09 | Prakash Baskaran | System to secure electronic content, enforce usage policies and provide configurable functionalities |
| JP2010124071A (ja) | 2008-11-17 | 2010-06-03 | Toshiba Corp | 通信装置、通信方法及びプログラム |
| JP2010128824A (ja) | 2008-11-27 | 2010-06-10 | Hitachi Software Eng Co Ltd | ポリシーグループ識別子を利用したクライアント制御システム |
| CN101753302B (zh) | 2008-12-09 | 2012-07-04 | 北大方正集团有限公司 | 一种保证sip通信安全的方法和系统 |
| US8230050B1 (en) | 2008-12-10 | 2012-07-24 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
| US8185931B1 (en) | 2008-12-19 | 2012-05-22 | Quantcast Corporation | Method and system for preserving privacy related to networked media consumption activities |
| US8051187B2 (en) | 2008-12-22 | 2011-11-01 | Check Point Software Technologies Ltd. | Methods for automatic categorization of internal and external communication for preventing data loss |
| US8613040B2 (en) | 2008-12-22 | 2013-12-17 | Symantec Corporation | Adaptive data loss prevention policies |
| US8565118B2 (en) | 2008-12-30 | 2013-10-22 | Juniper Networks, Inc. | Methods and apparatus for distributed dynamic network provisioning |
| US8555089B2 (en) | 2009-01-08 | 2013-10-08 | Panasonic Corporation | Program execution apparatus, control method, control program, and integrated circuit |
| US8699704B2 (en) | 2010-01-13 | 2014-04-15 | Entropic Communications, Inc. | Secure node admission in a communication network |
| US8738932B2 (en) | 2009-01-16 | 2014-05-27 | Teleputers, Llc | System and method for processor-based security |
| US9165154B2 (en) | 2009-02-16 | 2015-10-20 | Microsoft Technology Licensing, Llc | Trusted cloud computing and services framework |
| US8341427B2 (en) * | 2009-02-16 | 2012-12-25 | Microsoft Corporation | Trusted cloud computing and services framework |
| US8245037B1 (en) | 2009-02-17 | 2012-08-14 | Amazon Technologies, Inc. | Encryption key management |
| US9037844B2 (en) | 2009-02-27 | 2015-05-19 | Itron, Inc. | System and method for securely communicating with electronic meters |
| US9106617B2 (en) * | 2009-03-10 | 2015-08-11 | At&T Intellectual Property I, L.P. | Methods, systems and computer program products for authenticating computer processing devices and transferring both encrypted and unencrypted data therebetween |
| US9015789B2 (en) | 2009-03-17 | 2015-04-21 | Sophos Limited | Computer security lock down methods |
| US8572758B1 (en) * | 2009-03-30 | 2013-10-29 | Symantec Corporation | DLP-enforced loss scanning, sequestering, and content indexing |
| US8654970B2 (en) | 2009-03-31 | 2014-02-18 | Oracle America, Inc. | Apparatus and method for implementing instruction support for the data encryption standard (DES) algorithm |
| US20100250965A1 (en) | 2009-03-31 | 2010-09-30 | Olson Christopher H | Apparatus and method for implementing instruction support for the advanced encryption standard (aes) algorithm |
| US8411867B2 (en) * | 2009-04-06 | 2013-04-02 | Broadcom Corporation | Scalable and secure key management for cryptographic data processing |
| US20100266132A1 (en) * | 2009-04-15 | 2010-10-21 | Microsoft Corporation | Service-based key escrow and security for device data |
| US7996564B2 (en) | 2009-04-16 | 2011-08-09 | International Business Machines Corporation | Remote asynchronous data mover |
| US9672189B2 (en) | 2009-04-20 | 2017-06-06 | Check Point Software Technologies, Ltd. | Methods for effective network-security inspection in virtualized environments |
| US8286004B2 (en) | 2009-10-09 | 2012-10-09 | Lsi Corporation | Saving encryption keys in one-time programmable memory |
| US8251283B1 (en) | 2009-05-08 | 2012-08-28 | Oberon Labs, LLC | Token authentication using spatial characteristics |
| EP2433409A2 (en) | 2009-05-19 | 2012-03-28 | Security First Corporation | Systems and methods for securing data in the cloud |
| US8752180B2 (en) * | 2009-05-26 | 2014-06-10 | Symantec Corporation | Behavioral engine for identifying patterns of confidential data use |
| US8296434B1 (en) | 2009-05-28 | 2012-10-23 | Amazon Technologies, Inc. | Providing dynamically scaling computing load balancing |
| US8284945B2 (en) | 2009-06-02 | 2012-10-09 | Hewlett-Packard Development Company, L.P. | Automatic change of symmetrical encryption key |
| US20100318782A1 (en) | 2009-06-12 | 2010-12-16 | Microsoft Corporation | Secure and private backup storage and processing for trusted computing and data services |
| US8321956B2 (en) * | 2009-06-17 | 2012-11-27 | Microsoft Corporation | Remote access control of storage devices |
| US9031876B2 (en) | 2009-06-19 | 2015-05-12 | Hewlett-Packard Development Company, L.P. | Managing keys for encrypted shared documents |
| GB2471282B (en) | 2009-06-22 | 2015-02-18 | Barclays Bank Plc | Method and system for provision of cryptographic services |
| US8612439B2 (en) | 2009-06-30 | 2013-12-17 | Commvault Systems, Inc. | Performing data storage operations in a cloud storage environment, including searching, encryption and indexing |
| JP2011019129A (ja) | 2009-07-09 | 2011-01-27 | Nec Corp | データ管理システム及びデータ管理方法 |
| US8799322B2 (en) * | 2009-07-24 | 2014-08-05 | Cisco Technology, Inc. | Policy driven cloud storage management and cloud storage policy router |
| US8321560B1 (en) | 2009-08-13 | 2012-11-27 | Symantec Corporation | Systems and methods for preventing data loss from files sent from endpoints |
| JPWO2011024298A1 (ja) * | 2009-08-28 | 2013-01-24 | リプレックス株式会社 | サービスシステム |
| US8560848B2 (en) | 2009-09-02 | 2013-10-15 | Marvell World Trade Ltd. | Galois/counter mode encryption in a wireless network |
| US8224796B1 (en) | 2009-09-11 | 2012-07-17 | Symantec Corporation | Systems and methods for preventing data loss on external devices |
| US9311465B2 (en) | 2009-09-21 | 2016-04-12 | James McNulty | Secure information storage and retrieval apparatus and method |
| IL201351A0 (en) | 2009-10-01 | 2010-05-31 | Michael Feldbau | Device and method for electronic signature via proxy |
| US9043877B2 (en) | 2009-10-06 | 2015-05-26 | International Business Machines Corporation | Temporarily providing higher privileges for computing system to user identifier |
| US8578504B2 (en) | 2009-10-07 | 2013-11-05 | Ca, Inc. | System and method for data leakage prevention |
| US8458186B2 (en) | 2009-11-06 | 2013-06-04 | Symantec Corporation | Systems and methods for processing and managing object-related data for use by a plurality of applications |
| US9552497B2 (en) | 2009-11-10 | 2017-01-24 | Mcafee, Inc. | System and method for preventing data loss using virtual machine wrapped applications |
| US8572369B2 (en) | 2009-12-11 | 2013-10-29 | Sap Ag | Security for collaboration services |
| US10348693B2 (en) | 2009-12-15 | 2019-07-09 | Microsoft Technology Licensing, Llc | Trustworthy extensible markup language for trustworthy computing and data services |
| EP2513832A1 (en) | 2009-12-18 | 2012-10-24 | Koninklijke Philips Electronics N.V. | Digital rights management using attribute-based encryption |
| CN101741547B (zh) | 2009-12-18 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 节点间保密通信方法及系统 |
| US8478996B2 (en) | 2009-12-21 | 2013-07-02 | International Business Machines Corporation | Secure Kerberized access of encrypted file system |
| GB201000288D0 (en) | 2010-01-11 | 2010-02-24 | Scentrics Information Security | System and method of enforcing a computer policy |
| US8650129B2 (en) | 2010-01-20 | 2014-02-11 | American Express Travel Related Services Company, Inc. | Dynamically reacting policies and protections for securing mobile financial transaction data in transit |
| WO2011089712A1 (ja) | 2010-01-22 | 2011-07-28 | 富士通株式会社 | 認証方法、認証システムおよび認証プログラム |
| JP5070305B2 (ja) | 2010-01-29 | 2012-11-14 | 株式会社日本総合研究所 | 取引中継方法および取引中継システム |
| US8527549B2 (en) * | 2010-02-22 | 2013-09-03 | Sookasa Inc. | Cloud based operating and virtual file system |
| US8468455B2 (en) | 2010-02-24 | 2013-06-18 | Novell, Inc. | System and method for providing virtual desktop extensions on a client desktop |
| JP2011175578A (ja) * | 2010-02-25 | 2011-09-08 | Hitachi Solutions Ltd | データバックアップシステム及びデータバックアップ方法 |
| CA2692677C (en) | 2010-02-26 | 2017-10-03 | Xtreme Mobility Inc. | Secure billing system and method for a mobile device |
| US20110213971A1 (en) | 2010-03-01 | 2011-09-01 | Nokia Corporation | Method and apparatus for providing rights management at file system level |
| US8930713B2 (en) * | 2010-03-10 | 2015-01-06 | Dell Products L.P. | System and method for general purpose encryption of data |
| US8621220B2 (en) | 2010-03-11 | 2013-12-31 | Ebay Inc. | Systems and methods for identity encapsulated cryptography |
| US10672286B2 (en) | 2010-03-14 | 2020-06-02 | Kryterion, Inc. | Cloud based test environment |
| US8370648B1 (en) | 2010-03-15 | 2013-02-05 | Emc International Company | Writing and reading encrypted data using time-based encryption keys |
| US8667269B2 (en) | 2010-04-02 | 2014-03-04 | Suridx, Inc. | Efficient, secure, cloud-based identity services |
| US8555059B2 (en) | 2010-04-16 | 2013-10-08 | Microsoft Corporation | Secure local update of content management software |
| EP2378451B1 (en) | 2010-04-19 | 2018-07-04 | Vodafone Holding GmbH | User authentication in a tag-based service |
| US8473324B2 (en) | 2010-04-30 | 2013-06-25 | Bank Of America Corporation | Assessment of risk associated with international cross border data movement |
| US8601263B1 (en) * | 2010-05-18 | 2013-12-03 | Google Inc. | Storing encrypted objects |
| US8856300B2 (en) | 2010-05-18 | 2014-10-07 | At&T Intellectual Property I, L.P. | End-to-end secure cloud computing |
| US9160738B2 (en) | 2010-05-27 | 2015-10-13 | Microsoft Corporation | Delegation-based authorization |
| US8447986B2 (en) * | 2010-06-23 | 2013-05-21 | Microsoft Corporation | Accessing restricted content based on proximity |
| US8443367B1 (en) | 2010-07-16 | 2013-05-14 | Vmware, Inc. | Federated management in a distributed environment |
| WO2012016091A2 (en) * | 2010-07-28 | 2012-02-02 | Nextlabs, Inc. | Protecting documents using policies and encryption |
| US8769269B2 (en) * | 2010-08-12 | 2014-07-01 | International Business Machines Corporation | Cloud data management |
| US20120079289A1 (en) | 2010-09-27 | 2012-03-29 | Skymedi Corporation | Secure erase system for a solid state non-volatile memory device |
| US8555383B1 (en) | 2010-09-28 | 2013-10-08 | Amazon Technologies, Inc. | Network data transmission auditing |
| JP2012073374A (ja) | 2010-09-28 | 2012-04-12 | Fujikura Ltd | 光ファイバ切断装置 |
| US8565108B1 (en) | 2010-09-28 | 2013-10-22 | Amazon Technologies, Inc. | Network data transmission analysis |
| US8416709B1 (en) | 2010-09-28 | 2013-04-09 | Amazon Technologies, Inc. | Network data transmission analysis management |
| US8504837B2 (en) | 2010-10-15 | 2013-08-06 | Rockwell Automation Technologies, Inc. | Security model for industrial devices |
| US9961550B2 (en) | 2010-11-04 | 2018-05-01 | Itron Networked Solutions, Inc. | Physically secured authorization for utility applications |
| US20120114118A1 (en) | 2010-11-05 | 2012-05-10 | Samsung Electronics Co., Ltd. | Key rotation in live adaptive streaming |
| US8832726B2 (en) | 2010-11-17 | 2014-09-09 | Verizon Patent And Licensing Inc. | Video streaming entitlement determined based on the location of the viewer |
| US8401186B2 (en) | 2010-11-29 | 2013-03-19 | Beijing Z&W Technology Consulting Co., Ltd. | Cloud storage data access method, apparatus and system based on OTP |
| US8713362B2 (en) | 2010-12-01 | 2014-04-29 | International Business Machines Corporation | Obviation of recovery of data store consistency for application I/O errors |
| JP5437222B2 (ja) | 2010-12-01 | 2014-03-12 | 本田技研工業株式会社 | 燃料電池スタック |
| US8565422B2 (en) | 2010-12-03 | 2013-10-22 | Salesforce.Com, Inc. | Method and system for enryption key versioning and key rotation in a multi-tenant environment |
| US9311495B2 (en) * | 2010-12-09 | 2016-04-12 | International Business Machines Corporation | Method and apparatus for associating data loss protection (DLP) policies with endpoints |
| KR101145766B1 (ko) | 2010-12-10 | 2012-05-16 | 고려대학교 산학협력단 | 보안 서비스 제공 시스템 및 방법 |
| US9094291B1 (en) * | 2010-12-14 | 2015-07-28 | Symantec Corporation | Partial risk score calculation for a data object |
| US8352749B2 (en) | 2010-12-17 | 2013-01-08 | Google Inc. | Local trusted services manager for a contactless smart card |
| CN102130768B (zh) | 2010-12-20 | 2012-11-07 | 西安西电捷通无线网络通信股份有限公司 | 一种具有链路层加解密能力的终端设备及其数据处理方法 |
| US9183045B2 (en) * | 2010-12-21 | 2015-11-10 | Mo-Dv, Inc. | System and method for data collection and exchange with protected memory devices |
| US9306741B1 (en) | 2010-12-22 | 2016-04-05 | Emc Corporation | Updating keys for use in authentication |
| US8538020B1 (en) * | 2010-12-29 | 2013-09-17 | Amazon Technologies, Inc. | Hybrid client-server cryptography for network applications |
| US8971539B2 (en) * | 2010-12-30 | 2015-03-03 | Verisign, Inc. | Management of SSL certificate escrow |
| EP2472819B1 (en) * | 2010-12-31 | 2016-03-23 | Regify S.A. | Systems and methods for providing and operating a secure communication network |
| US20120173881A1 (en) * | 2011-01-03 | 2012-07-05 | Patient Always First | Method & Apparatus for Remote Information Capture, Storage, and Retrieval |
| US8478858B2 (en) | 2011-02-01 | 2013-07-02 | Limelight Networks, Inc. | Policy management for content storage in content delivery networks |
| ES2902644T3 (es) | 2011-02-11 | 2022-03-29 | Siemens Healthcare Diagnostics Inc | Sistema y método para actualización segura de software |
| US8588426B2 (en) | 2011-02-21 | 2013-11-19 | Blackberry Limited | Methods and apparatus to secure communications in a mobile network |
| JP5564453B2 (ja) | 2011-02-25 | 2014-07-30 | 株式会社エヌ・ティ・ティ・データ | 情報処理システム、及び情報処理方法 |
| WO2012122175A1 (en) | 2011-03-07 | 2012-09-13 | Security First Corp. | Secure file sharing method and system |
| US9130937B1 (en) | 2011-03-07 | 2015-09-08 | Raytheon Company | Validating network communications |
| US9119017B2 (en) | 2011-03-18 | 2015-08-25 | Zscaler, Inc. | Cloud based mobile device security and policy enforcement |
| EP2503480A1 (en) * | 2011-03-22 | 2012-09-26 | Smals Vzw | Method and devices for secure data access and exchange |
| JP5676331B2 (ja) | 2011-03-24 | 2015-02-25 | 株式会社東芝 | ルートノード及びプログラム |
| US8965827B2 (en) | 2011-03-30 | 2015-02-24 | Computer Sciences Corporation | Rules execution platform system and method |
| US8379857B1 (en) | 2011-03-30 | 2013-02-19 | Google Inc. | Secure key distribution for private communication in an unsecured communication channel |
| EP2695101B1 (en) | 2011-04-04 | 2022-11-09 | Nextlabs, Inc. | Protecting information using policies and encryption |
| US8789210B2 (en) * | 2011-05-04 | 2014-07-22 | International Business Machines Corporation | Key usage policies for cryptographic keys |
| US8850593B2 (en) | 2011-05-12 | 2014-09-30 | Hewlett-Packard Development Company, L.P. | Data management using a virtual machine-data image |
| US9076020B2 (en) | 2011-05-13 | 2015-07-07 | Microsoft Technology Licensing, Llc | Protected mode for mobile communication and other devices |
| US8544070B2 (en) | 2011-05-16 | 2013-09-24 | Novell, Inc. | Techniques for non repudiation of storage in cloud or shared storage environments |
| US9690941B2 (en) * | 2011-05-17 | 2017-06-27 | Microsoft Technology Licensing, Llc | Policy bound key creation and re-wrap service |
| WO2012159059A1 (en) * | 2011-05-18 | 2012-11-22 | Citrix Systems, Inc. | Systems and methods for secure handling of data |
| US9049023B2 (en) | 2011-05-24 | 2015-06-02 | Zeutro Llc | Outsourcing the decryption of functional encryption ciphertexts |
| US20120303310A1 (en) | 2011-05-26 | 2012-11-29 | First Data Corporation | Systems and Methods for Providing Test Keys to Mobile Devices |
| KR20120134509A (ko) | 2011-06-02 | 2012-12-12 | 삼성전자주식회사 | 어플리케이션 개발 시스템에서 디바이스용 어플리케이션을 생성 및 설치하기 위한 장치 및 방법 |
| US20130031155A1 (en) * | 2011-06-06 | 2013-01-31 | Topia Technology, Inc. | Electronic file sharing |
| US8516244B2 (en) | 2011-06-10 | 2013-08-20 | Zeutro Llc | System, apparatus and method for decentralizing attribute-based encryption information |
| US20120323990A1 (en) | 2011-06-15 | 2012-12-20 | Microsoft Corporation | Efficient state reconciliation |
| WO2012174427A2 (en) | 2011-06-16 | 2012-12-20 | OneID Inc. | Method and system for determining authentication levels in transactions |
| US8891772B2 (en) | 2011-06-17 | 2014-11-18 | Microsoft Corporation | Cloud key escrow system |
| US20120324225A1 (en) | 2011-06-20 | 2012-12-20 | Jason Chambers | Certificate-based mutual authentication for data security |
| US8850516B1 (en) * | 2011-06-22 | 2014-09-30 | Emc Corporation | Virtual private cloud that provides enterprise grade functionality and compliance |
| US8751807B2 (en) | 2011-06-23 | 2014-06-10 | Azuki Systems Inc. | Method and system for secure over-the-top live video delivery |
| US8862889B2 (en) * | 2011-07-02 | 2014-10-14 | Eastcliff LLC | Protocol for controlling access to encryption keys |
| US9015469B2 (en) | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
| US9009315B2 (en) | 2011-07-28 | 2015-04-14 | Telefonaktiebolaget L M Ericsson (Publ) | Hierarchical delegation and reservation of lookup keys |
| US8788881B2 (en) | 2011-08-17 | 2014-07-22 | Lookout, Inc. | System and method for mobile device push communications |
| US8798273B2 (en) | 2011-08-19 | 2014-08-05 | International Business Machines Corporation | Extending credential type to group Key Management Interoperability Protocol (KMIP) clients |
| US9203613B2 (en) * | 2011-09-29 | 2015-12-01 | Amazon Technologies, Inc. | Techniques for client constructed sessions |
| US9467424B2 (en) * | 2011-10-07 | 2016-10-11 | Salesforce.Com, Inc. | Methods and systems for proxying data |
| US8655989B2 (en) | 2011-10-14 | 2014-02-18 | Sap Ag | Business network access protocol for the business network |
| US20130103834A1 (en) | 2011-10-21 | 2013-04-25 | Blue Coat Systems, Inc. | Multi-Tenant NATting for Segregating Traffic Through a Cloud Service |
| US8788843B2 (en) | 2011-10-28 | 2014-07-22 | LogMeln, Inc. | Storing user data in a service provider cloud without exposing user-specific secrets to the service provider |
| US8950005B1 (en) | 2011-11-04 | 2015-02-03 | Symantec Corporation | Method and system for protecting content of sensitive web applications |
| WO2013084054A1 (en) | 2011-12-08 | 2013-06-13 | Dark Matter Labs Inc. | Key creation and rotation for data encryption |
| KR101888382B1 (ko) * | 2011-12-16 | 2018-09-21 | 삼성전자 주식회사 | 복수 키 활용 지원 저장 장치 |
| US8639951B2 (en) | 2011-12-19 | 2014-01-28 | International Business Machines Corporation | States for breakout appliance in a mobile data network |
| US8873754B2 (en) | 2011-12-20 | 2014-10-28 | Huawei Technologies Co., Ltd. | Proxy-based encryption method, proxy-based decryption method, network equipment, network device and system |
| US8954758B2 (en) | 2011-12-20 | 2015-02-10 | Nicolas LEOUTSARAKOS | Password-less security and protection of online digital assets |
| SG11201403482TA (en) | 2011-12-21 | 2014-07-30 | Ssh Comm Security Oyj | Automated access, key, certificate, and credential management |
| CN104247333B (zh) | 2011-12-27 | 2017-08-11 | 思科技术公司 | 用于基于网络的服务的管理的系统和方法 |
| US9449183B2 (en) * | 2012-01-28 | 2016-09-20 | Jianqing Wu | Secure file drawer and safe |
| US9038083B2 (en) | 2012-02-09 | 2015-05-19 | Citrix Systems, Inc. | Virtual machine provisioning based on tagged physical resources in a cloud computing environment |
| US9268947B1 (en) | 2012-03-15 | 2016-02-23 | Dataguise Inc. | Method and system for managing information associated with sensitive information in an enterprise |
| CN104169935B (zh) | 2012-03-28 | 2017-10-31 | 索尼公司 | 信息处理装置、信息处理系统、信息处理方法 |
| US9262496B2 (en) | 2012-03-30 | 2016-02-16 | Commvault Systems, Inc. | Unified access to personal data |
| US8695101B2 (en) | 2012-04-09 | 2014-04-08 | International Business Machines Corporation | Data privacy engine |
| US9160722B2 (en) | 2012-04-30 | 2015-10-13 | Anchorfree, Inc. | System and method for securing user information on social networks |
| US9548962B2 (en) | 2012-05-11 | 2017-01-17 | Alcatel Lucent | Apparatus and method for providing a fluid security layer |
| US9117084B2 (en) * | 2012-05-15 | 2015-08-25 | Ixia | Methods, systems, and computer readable media for measuring detection accuracy of a security device using benign traffic |
| US8964990B1 (en) | 2012-05-17 | 2015-02-24 | Amazon Technologies, Inc. | Automating key rotation in a distributed system |
| US9237446B2 (en) | 2012-05-24 | 2016-01-12 | Blackberry Limited | System and method for controlling access to media content |
| CA2877451C (en) | 2012-06-22 | 2020-11-10 | Ologn Technologies Ag | Systems, methods and apparatuses for securing root certificates |
| US20140012750A1 (en) | 2012-07-09 | 2014-01-09 | Jvl Ventures, Llc | Systems, methods, and computer program products for integrating third party services with a mobile wallet |
| US8713633B2 (en) | 2012-07-13 | 2014-04-29 | Sophos Limited | Security access protection for user data stored in a cloud computing facility |
| US9400890B2 (en) | 2012-08-10 | 2016-07-26 | Qualcomm Incorporated | Method and devices for selective RAM scrambling |
| US20140115327A1 (en) | 2012-10-22 | 2014-04-24 | Microsoft Corporation | Trust services data encryption for multiple parties |
| WO2014070134A2 (en) | 2012-10-29 | 2014-05-08 | Empire Technology Development Llc | Quorum-based virtual machine security |
| US9137222B2 (en) * | 2012-10-31 | 2015-09-15 | Vmware, Inc. | Crypto proxy for cloud storage services |
| US8713311B1 (en) | 2012-11-07 | 2014-04-29 | Google Inc. | Encryption using alternate authentication key |
| WO2014084846A1 (en) | 2012-11-30 | 2014-06-05 | Hewlett-Packard Development Company, L.P. | Running agents to execute automation tasks in cloud systems |
| US8997197B2 (en) | 2012-12-12 | 2015-03-31 | Citrix Systems, Inc. | Encryption-based data access management |
| US9367697B1 (en) | 2013-02-12 | 2016-06-14 | Amazon Technologies, Inc. | Data security with a security module |
| US9705674B2 (en) | 2013-02-12 | 2017-07-11 | Amazon Technologies, Inc. | Federated key management |
| US9288184B1 (en) | 2013-05-16 | 2016-03-15 | Wizards Of The Coast Llc | Distributed customer data management network handling personally identifiable information |
-
2013
- 2013-07-01 US US13/932,872 patent/US10075471B2/en active Active
-
2014
- 2014-06-30 CA CA2916954A patent/CA2916954C/en active Active
- 2014-06-30 CN CN201480046236.7A patent/CN105493435B/zh active Active
- 2014-06-30 EP EP14819866.6A patent/EP3017561B1/en active Active
- 2014-06-30 EP EP21174827.2A patent/EP3893430A1/en active Pending
- 2014-06-30 WO PCT/US2014/044861 patent/WO2015002875A1/en active Application Filing
- 2014-06-30 CA CA3052182A patent/CA3052182C/en active Active
- 2014-06-30 JP JP2016524288A patent/JP6622196B2/ja active Active
- 2014-06-30 CN CN201910208697.4A patent/CN109951480B/zh active Active
- 2014-06-30 SG SG10201803844TA patent/SG10201803844TA/en unknown
- 2014-06-30 SG SG11201510650UA patent/SG11201510650UA/en unknown
-
2018
- 2018-01-05 JP JP2018000819A patent/JP6765390B2/ja active Active
- 2018-07-26 US US16/046,582 patent/US11323479B2/en active Active
-
2020
- 2020-06-04 JP JP2020097937A patent/JP6835999B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN109951480B (zh) | 2022-03-29 |
| JP2018057045A (ja) | 2018-04-05 |
| US11323479B2 (en) | 2022-05-03 |
| CA3052182A1 (en) | 2015-01-08 |
| US20150019858A1 (en) | 2015-01-15 |
| CA2916954C (en) | 2022-01-18 |
| JP2020141424A (ja) | 2020-09-03 |
| JP6835999B2 (ja) | 2021-02-24 |
| CA3052182C (en) | 2022-10-04 |
| SG11201510650UA (en) | 2016-01-28 |
| CN109951480A (zh) | 2019-06-28 |
| SG10201803844TA (en) | 2018-06-28 |
| EP3017561A4 (en) | 2017-01-25 |
| EP3017561B1 (en) | 2021-06-30 |
| EP3017561A1 (en) | 2016-05-11 |
| JP2016524429A (ja) | 2016-08-12 |
| CN105493435A (zh) | 2016-04-13 |
| US10075471B2 (en) | 2018-09-11 |
| US20180359282A1 (en) | 2018-12-13 |
| WO2015002875A1 (en) | 2015-01-08 |
| EP3893430A1 (en) | 2021-10-13 |
| JP6622196B2 (ja) | 2019-12-18 |
| CA2916954A1 (en) | 2015-01-08 |
| JP6765390B2 (ja) | 2020-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105493435B (zh) | 虚拟服务提供商存储区 | |
| US10090998B2 (en) | Multiple authority data security and access | |
| US10474829B2 (en) | Virtual service provider zones | |
| US10037428B2 (en) | Data security using request-supplied keys | |
| CN105103488B (zh) | 借助相关联的数据的策略施行 | |
| CN103270516B (zh) | 用于安全保护虚拟机计算环境的系统和方法 | |
| JP2020184800A (ja) | 鍵を有するリソースロケーター | |
| CN105122265B (zh) | 数据安全服务系统 | |
| CN107534667A (zh) | 密钥导出技术 | |
| Pavithra et al. | Enhanced Secure Big Data in Distributed Mobile Cloud Computing Using Fuzzy Encryption Model | |
| Eshtaiwi et al. | Enhancing The Bellovin and Cheswick's Algorithm by Adding Dummy Values and Reorder Process |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |