CN107113313A - 将数据从源上传到目的地的代理服务 - Google Patents
将数据从源上传到目的地的代理服务 Download PDFInfo
- Publication number
- CN107113313A CN107113313A CN201580072763.XA CN201580072763A CN107113313A CN 107113313 A CN107113313 A CN 107113313A CN 201580072763 A CN201580072763 A CN 201580072763A CN 107113313 A CN107113313 A CN 107113313A
- Authority
- CN
- China
- Prior art keywords
- data
- computing system
- source
- source computing
- uploaded
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
提供了自动确保到安全目的地存储库的数据上传以及数据读取/下载请求从可信源/请求方处理。当尝试进行从先前未被标识成可信的源到安全目的地存储库的数据上传时,或者当接收到数据请求以进行下载或从这类源接收到读取来自这些安全存储库的数据时,上传或数据请求通过代理服务传递以供认证。认证步骤由代理服务执行,以确保来自被导向安全存储库的数据上传器的数据与可被指定为可信的源相关联。类似地,对从安全存储库读取或下载数据的请求被认证以确保请求方是与可被指定为可信的设备或系统相关联的。
Description
背景
在现代计算系统中,在一个或多个计算机上生成并储存与数据库、电子邮件系统、web服务系统、在线软件供应系统、文档管理系统等相关联的大量数据。在一些情况下,大型数据中心容纳数百或者甚至数千台计算机,在这些计算机上运行各种应用软件并为一个或多个计算系统用户储存众多类型的数据。例如,大型数据中心可被用于为成百、成千或更多的个人用户、公司、教育机构或(其数据可被处理和储存的)任何其他实体处理和储存各种类型的数据。
通常需要将各种类型的数据从一个或许多个这样的计算机上传到各种目的地存储库,数据在这些目的地存储库中可由接收者储存、分析或以其他方式加以利用。在一些情况下,这样的数据被上传到大型数据中心,在该大型数据中心中根据数据类型对数据进行划分和储存。为了保护这样的数据存储位置/库,即使对一个或多个经授权的用户而言可能需要这样的上传或下载,也可拒绝从未经授权的源/请求方的数据的上传和/或数据下载。存在针对用于认证来自先前未被指定成可信源/请求方的源/请求方的数据上传和数据下载/读取请求的方法和系统的需要。本发明正是关于这些以及其他考虑因素而被作出的。
概述
提供本概述以便以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
上述和其他问题通过自动确保到安全目的地存储库的数据上传以及数据读取/下载请求是从可信源/请求方处理的来得到解决。当尝试进行从先前未被标识成可信的源到安全目的地存储库的数据上传时,或者当接收到数据请求以进行下载或从这类源接收到读取来自这些安全存储库的数据时,上传或数据请求通过代理服务传递以供认证。根据本发明的各方面,各种认证步骤由代理服务执行,以确保来自数据上传器的被导向安全存储库的数据与可被指定为可信的源相关联。类似地,对从安全存储库读取或下载数据的请求被认证以确保请求方是与可被指定为可信的设备或系统相关联的。
一个或多个实施例的细节在附图和以下描述中阐述。根据对以下详细描述的阅读和对相关联附图的审阅,其他特征和优点将是显而易见的。应当理解,以下详细描述只是解释性的并且不限制所要求保护的本发明。
附图简述
合并在本公开中且构成本公开的一部分的附图解说了本发明的各个方面。
图1是用于确保到安全目的地存储库的数据上传以及数据读取/下载请求从可信源/请求方处理的系统架构的一个示例的简化框图。
图2A是用于将数据从源位置上传到目的地位置的数据上传器模块的一个示例的简化框图。
图2B是用于确保到安全目的地存储库的数据上传以及数据读取/下载请求从可信源/请求方处理的代理服务的一个示例的简化框图。
图3是用于确保到安全目的地存储库的数据上传以及数据读取/下载请求从可信源/请求方处理的示例方法的一示例的流程图。
图4是解说可用来实施本发明的各方面的计算设备的示例物理组件的框图。
图5A和5B是可用来实施本发明的各方面的移动计算设备的简化框图。
图6是可用来实施本发明的各方面的分布式计算系统的简化框图。
详细描述
以下详细描述引用附图。只要可能,就在附图和以下描述中使用相同的附图标记来指示相同或类似的要素。尽管描述了本发明的实施例,但是修改、调适以及其他实现是可能的。例如,可对附图中所解说的元素进行替换、添加或修改,并且可通过对所公开的方法替换、重排或添加阶段来修改本文中所描述的方法。因此,以下详细描述不限制本发明,而是相反,本发明的准确范围由所附权利要求定义。
如以上所简要描述的,本发明的各方面涉及自动确保到安全目的地存储库的数据上传以及数据读取/下载请求是从可信源/请求方处理的来得到解决。根据本发明的各方面,当尝试进行从先前未被标识成可信的源到安全目的地存储库的数据上传时,或者当接收到数据请求以进行下载或从这类源接收到读取来自这些安全存储库的数据时,上传或数据请求通过代理服务传递以供认证。根据本发明的各方面,代理服务将与数据源/请求方相关联的IP地址和已知与可信源/请求方相关联的IP地址的列表作比较。如果与数据源/请求方相关联的IP地址和已知与可信源/请求方相关联的IP地址不匹配,则经尝试的数据上传或数据请求可被拒绝,并且可向数据源/请求方请求附加的认证信息。作为附加的认证步骤,代理服务可比较与数据上传器模块相关联的认证证书,通过该数据上传器模块尝试进行数据上传,或者通过该数据上传器模块尝试使用已知与可信源相关联的证书的列表来进行数据请求。如果数据上传器模块的证书与可信证书匹配,则数据上传或数据读取/下载请求将按请求进行处理。如果安全数据存储库响应于数据上传尝试或数据下载/读取请求尝试将返回信号传回数据上传器模块,则来自安全存储库的返回流量在其可被转发到数据上传/数据下载/读取请求方之前被类似地通过代理服务传递以供认证。
图1是用于监视和报告从源位置到目的地位置的数据的上传和上传完整性的系统架构的一个示例的简化框图。系统架构100包括用于将数据从各种各样的源计算系统(或个体计算机)上传到各种各样的目的地存储库的各种示例计算组件。在图1的左侧,数据中心105解说了其中可以容纳数百、数千或更多的个体计算机或计算系统110a、110b、110n的数据中心,在这些计算机或计算系统上可以储存各种数据类型的数据,这些数据可以使用各种不同的计算过程(例如,各种各样的软件应用)来处理。例如,计算设备110a、110b、110n中的每一者可包括各种类型的计算机,例如,用于在数据库中储存用户数据的服务器计算机、电子邮件系统、文档管理系统等,并且计算系统110a、110b和110n可被用于运行各种计算系统软件应用,例如,数据库应用、电子邮件系统应用、web服务应用、在线软件供应应用、生产力应用、数据管理系统应用、电信应用等。
应当理解,数据中心105还解说了许多数据中心中的一个,这些数据中心可以共处一处,或者可以位于不同位置并且可以经由用于在离散数据中心之间传递数据的各种传输系统与彼此相关联。另外,尽管数据中心105如上所述被解说为多个计算机系统110a-n可位于其中以用于提供数据和服务的数据中心,但数据中心105等效地解说了单个计算设备,例如台式、膝上型、平板、手持式或者由个体用户操作的其他计算设备,来自这些计算设备的用户数据和/或计算机系统数据可被提取、转换(如果需要的话)并导出到目的地存储库以根据需要进行分析和进一步使用。
仍然参照数据中心105,每一个计算设备110a-n分别与一个上传器模块115a、115b、115n相关联,上传器模块用于从每个相关联的计算机/计算系统110a-n上传用户和/或系统数据并进行转换(如果需要的话),并且将被提取出的数据导出到指定的目的地存储库。下面参考图2更详细地描述上传器模块115a-n。根据本发明的一个方面,上传器模块115a-n可被安装在每个相关联的计算机/计算系统110a-n上。
替代地,单个上传器模块115a可作为独立的模块来被操作,该模块可与多个计算系统110a-n相关联。在这种情况下,上传器模块可作为远程上传器模块130操作,其可通过分布式计算网络(例如互联网或内联网)来访问一个或多个相关联的计算系统110a-n。换言之,根据本发明的各方面,上传器模块115a-n可被安装在相关联的计算设备110a-n上,或者上传器模块可在如此处描述的要从其提取数据供数据的转换(如果需要的话)以及将数据导出到目的地存储库的计算设备的远程工作。
依然参考图1,边缘路由器120解说了一种用于将被提取出的数据从给定上传器模块传递到数据中心105外部的系统的典型路由器设备。应当理解,边缘路由器120可以负责确保传递自给定的数据中心105的数据被正确地传递到期望的目的地系统组件,例如,传递自上传器模块的封包化数据被正确地路由到系统100的正确目的地组件。
分布式计算网络125解说了通过其数据可从数据中心被传递到数据中心外部的各组件(诸如以下描述的目的地存储库145a-n)的任意网络(诸如互联网或内联网)。
边缘路由器135解说了接收方边缘路由器,数据通过该接收方边缘路由器可被传递到负责确保在允许接收到的数据被传递到一个或多个目的地存储库145a-n之前接收到的数据被正确地认证的代理服务140。以下参考图2B和图3进一步详细地描述了代理服务140。
存储库145a-n解说了可被授权接收经由上传器模块115a-n上传的数据的任何数据存储库。例如,目的地存储库145a-n可与服务提供商相关联以储存并分析与为服务提供商的顾客提供的计算系统和软件服务相关联的数据。例如,存储库145a可被指定成用于接收与由给定的服务提供商提供的电子邮件服务相关联的用户数据和计算系统数据。存储库145b可被指定成用于接收和分析与给定的服务提供商的web服务相关联的用户数据和系统数据。类似地,目的地存储库145n可与在线软件供应相关联,例如对经由一个或多个在线软件应用服务系统提供给各个用户的文字处理服务、幻灯片演示应用服务、数据库应用服务、电子表格应用服务、电信应用服务等的供应。
应当理解,每一个目的地存储库145a-n可与不同的服务提供商或者与用户和/或计算系统数据的不同请求方相关联。例如,存储库145a可与第一电信或软件应用服务提供商相关联,存储库145b可与第二服务提供商相关联,依此类推。
如本领域技术人员将理解的,计算系统服务、数据管理服务、在线软件应用服务、web服务等的提供商常常需要检查、分析以及以其他方式管理计算系统数据和用户数据以确保数据和计算系统服务正根据需要运行和被维护着。例如,在线软件服务的提供商可能需要周期性地审核被维护在大型数据中心105处的数百或数千个服务器计算机110a-n的运行中的功能和能力。类似地,在线软件服务提供商可能需要监视被储存在这类数据中心系统上的用户数据以确保用户数据正根据服务提供商和各个顾客之间的服务协定按照要求地被正确地处理。在这种情况下,来自给定的计算机的工作数据和/或用户数据可由相关联的上传器模块115a根据与被提取出的数据相关联的任意数据类型来提取并且可被传递给并储存在期望的存储库145a-n上供作出请求的服务提供商或用户进行分析。
在数据被传递给目的地存储库之前,数据可能出于各种原因需要转换。例如,如果数据包含与给定的用户相关联的敏感的机密和/或个人信息(例如用户的姓名、社保号、驾照号、财务数据等),则这类个人可标识信息(PII)可在数据被传递给目的地存储库之前由上传器模块从数据中擦除,以避免这类个人可标识信息被传递给未经授权的个人或实体。类似地,如果从数据中心105处的计算系统中的给定计算机中被提取出的数据按照第一格式被储存,但是该数据在期望的目的地存储库中将按照第二格式来被储存,则上传器模块115可将该数据从第一格式转换成第二格式,使得该数据可在目的地存储库处被正确地储存和使用。
仍然参照图1,根据本发明的各方面,每一个目的地存储库145a-n可配备有或关联于上传器模块150a、150b、150n,该上传器模块可被用于在数据中心105的远程提取、转换、以及储存来自数据中心105处的计算系统110a、110b、110n的用户数据和/或计算系统数据。换言之,可从各个作出请求的目的地存储库145a、145b、145n操作上传器模块150a到150n以请求、读取、转换、以及储存所需的用户或计算系统数据。因此,如上所述的,上传器模块115a、115b、115n可被安装在各个计算系统110a到110n上或与其相关联,远程上传器130可被用于经由分布式计算网络来读取、转换以及导出数据,该分布式计算网络可被用于访问期望的计算系统110a到110n,或者上传器模块115a、115b、115n可在各个目的地存储库的远程访问所需数据。替代地,上传器模块115a-n可被用于提取数据、转换数据以及以与所描述的用于从计算系统110a-n导出数据相同的方式来从存储库145a-n导出数据。
分析模块155a、155b、155n解说了存储库145a-n处的可被用于按照需要分析、报告以及导出接收到的数据的软件应用或其他可执行模块。例如,分析模块155a可用于分析由所提供的在线软件服务生成的文档以确保这类文档如所要求的在相应的计算设备110a-n处被正确地保存。分析模块155b可解说用于分析电子邮件流量的软件应用或其他可执行模块,以确保电子邮件消息根据所要求的电子邮件服务处理在相关联的数据中心计算设备110a-n处被生成和处理。换言之,任何分析模块155a-n可在给定的目的地存储库处被用于按照来自上传器模块115a-n、130、150a-150n的数据的接收方所要求的对接收到的数据进行分析。
根据本发明的各方面,在任何一个目的地存储库145a-145n处被储存和分析以及以其他方式被使用的数据可在之后根据需要被导出到其他目的地。例如,这类数据可被分析并报告给一个或多个服务提供商的顾客以针对服务提供商所执行的处理向作出请求的顾客进行周期性地报告。另外,被储存在任何一个目的地存储库145a-n处的数据可通过图1中解说的系统100被传回,以供存储回从中最初提取出该数据的计算设备110a-n。
现在参考图2A,解说并描述了数据上传器115a-n。如以上简要描述的,数据上传器115a-n是包含足够用于读取、转换(如果需要的话)以及将来自一个或多个数据源110a-n的各种数据类型的数据导出到一个或多个数据存储145a-n的计算机可执行指令的软件应用或软件模块。数据上传器115a-n包括用于接收数据上传指令以及用于指导数据上传器模块115a-n的各组件的处理的操作模块205。配置文件读取器210是一个模块,数据上传器115a-n用该模块来读取数据上传指令的配置文件215,如以下描述的。数据读取器模块225可用于经由数据读取器插件模块227a-n来读取各种数据类型的数据。数据转换模块230是可用于响应于从配置文件215中读取的数据转换信息经由数据转换插件232a-n来对数据进行转换的模块。数据导出模块235可用于经由数据导出插件237a-n将数据从存储器导出到由从配置文件215中接收到的指令所指定的指定目的地存储库145a-n。
换言之,数据读取器模块225、数据转换模块230、数据导出模块235是数据上传器模块115a-n的用来读取、转换和导出如配置文件215中包含的信息所指定的各种类型的数据的模块。并且,模块225、230、235中的每一个可被允许基于由数据上传器操作模块205访问的或者被安装在数据上传器115a-n上的各种插件227、232、237来按照指示读取、转换和导出数据,以按照被指定成用于上传至给定的目的地存储库145a-n的各种数据类型220来读取、转换和导出数据。
如针对不同类型的数据读取、转换和导出所要求的,各种数据读取器、数据转换和数据导出插件模块227、232、237可被提供给数据上传器115a-n或者可由数据加载器模块115a-n访问。例如,需要从在数据中心105处操作的各个计算设备接收经转换的数据的服务提供商可提供数据读取器插件、数据转换插件以及数据导出插件以供数据上传器模块115a-n用于根据它们各自的需求来读取、转换和导出数据。
可如本文所描述的被读取、转换、以及导出的数据可以具有几乎无限数量的不同的数据类型。这类数据可以是操作系统事件、文本文件、XML文件、HTML文件、数据库(例如SQL数据库)的内容、电子邮件文件、日程信息、文字处理文档、电子表格文档、幻灯片演示文档、任务文档以及文件等的形式。
应当理解,给定的数据上传器115a-n可被安装在给定的计算设备110a-n上或者可以以其他方式与给定的计算设备110a-n相关联或提供有对给定的计算设备110a-n的访问,并且数据上传器115a-n可被允许通过关联数据读取器插件227a-n来读取许多不同类型的数据以允许数据上传器115a-n读取指定类型的数据。类似地,上传器115a-n可被允许根据需要通过将上传器与期望的转换所要求的数据转换插件相关联来对数据进行转换。类似地,上传器模块115a-n可被允许根据需要通过将上传器与合适的数据导出插件237a-n相关联来导出数据。
配置文件215a解说了可由上传器模块115a-n访问的用于接收给定数据集或给定数据类型的数据上传指令的文件。被包含在配置文件中的数据上传指令可提供包括与要被上传的数据相关联的数据类型、数据读取指令以及用于允许上传器模块访问期望的数据的安全性信息在内的信息。此外,配置文件可提供关于期望的数据要被如何转换(如果需要的话)的指令以及关于经上传的数据要被储存在何处以及经导出的数据要以什么文件类型被储存的指令。
仍然参考图2A,连接性和完整性模块240解说了在上传器模块115a-n中工作或与之相关联的软件模块,该软件模块包含足够的计算机可执行指令以用于监视并报告从源计算系统110a-n被上传到目的地存储库145a-n的数据的上传成功及完整性,如上所述。根据本发明的各方面,连接性和完整性模块240在操作模块205的指示下由上传器模块115a-n操作,以执行用于测试给定的源系统110a-n与指定的目的地存储库145a-n之间的数据传输的可靠性的连接性诊断。
现在参考图2B,代理服务140是用于认证将数据上传到安全目的地存储库145a-n的请求和/或用于认证来自安全目的地存储库145a-n的数据下载/读取请求的系统或软件模块。例如,考虑数据(不论用户数据或者系统数据)将经由上传器模块115a-n从计算设备/系统110a-n被上传到安全存储库145a-n,或者对被储存在安全目的地存储库的数据进行下载或对该数据进行读取的请求从计算设备/系统110a-n被接收到的情况。进一步考虑例如通过其请求数据上传或通过其接收数据下载/读取请求的计算设备/系统110a-n为在该请求被传递到的存储储存库外部操作的计算设备/系统。例如,存储库可以是内部公司实体数据存储系统的一部分,并且通过其接收上传/下载/读取请求的计算设备可由在其中存储库被维护的安全网络或数据中心外部操作的第三方实体操作。在这样的情况下,有害或其他不期望的数据被上传到安全存储库是有可能的,或者敏感数据和其他信息被未经授权的人或实体从安全存储库处下载或读取是有可能的。
根据本发明的各方面,代理服务140是用于认证向安全目的地存储位置/库作出的数据上传或数据下载/读取请求以防止未经授权的上传或对安全数据的访问的系统组件和/或软件模块。仍参考图2B,代理服务140包括数据传输模块250,数据传输模块250是用于从上传器模块115a-n、130接收数据传输以将经上传的数据从其上安装了上传器模块115a-n、130或与该上传器相关联的计算设备110a-n传递到目的地存储储存库145a-n的软件模块和/或系统组件。数据传输模块250还用于经由上传器115a-n、130将经下载的数据或响应于来自目的地存储库的读取请求的数据传递到作出请求的计算设备110a-n。认证模块255是用于认证数据上传/下载/读取请求的源以确保该源对于将数据上传到安全存储库或对于从安全存储库下载或读取数据而言是可信的设备或软件模块。
存储器260解说被容纳在代理服务140中或可通过代理服务140访问的存储器位置,其中可储存认证上传/下载/读取请求所要求的信息。根据本发明的各方面,互联网协议(IP)地址列表265解说可被用于针对与数据上传/下载/读取请求方相关联的IP地址来进行比较的IP地址的列表。证书列表270解说可被用于和与数据上传/下载/读取请求方相关联的认证证书进行比较的认证证书的列表。传输批准列表275解说从中上传/下载/读取请求先前已经被认证和批准的批准源列表。
已描述了用于本发明的各方面的示例架构,图3是用于确保到安全目的地存储库的数据上传以及数据读取/下载请求从可信源/请求方处理的示例方法的流程图。方法300起始于开始操作305并行进到操作310,其中数据上传请求在代理服务140处被接收到。如以上参考图1和图2所例示和描述的,考虑例如对上传来自计算设备/系统110a-n的数据的请求通过已安装或相关联的数据上传器115a-n来被传递,以供存储在指定的目的地存储库145a-n。在操作310,数据上传从发送方数据上传器115a-n被传递到代理服务140,以供对数据上传源的认证。
根据本发明的各方面,从任何数据上传器115a-n被传递到指定的存储位置存储库145a-n的每个数据上传均可通过代理服务140来被传递,以供认证。另一方面,如果数据上传来自作为指定的存储库所位于其中的系统的网络的组件的计算设备/系统110a-n,或者如果发送设备是指定的目的地存储库在其中被操作的相同公司或其他操作实体的一部分,则对数据上传的源的认证可被绕过。
根据本发明的一个方面,对数据上传请求是否通过代理服务140来被传递的确定可以基于由数据上传115a-n使用的用于将经上传的数据导出到指定的目的地存储库的数据导出插件237a-n。换言之,当数据上传器115a-n读取配置文件215时(如以上参考图2A所述),如果数据上传器被安装在来自其的数据上传/下载/读取请求不要求认证的计算设备/系统110a-n上或者与其相关联,则配置文件215可被用来引导数据上传器115a-n利用可以将数据上传/下载/读取请求直接发送到指定的目的地存储位置存储库而无需通过代理服务140传递该请求的数据导出插件。类似地,被安装在可能不绕过代理服务140(即,要求认证)的计算设备/系统110a-n上的数据上传器可被提供有自动促使被传送自数据上传器的数据上传/下载/读取请求首先行进到代理服务140的导出插件237a-n。应当理解,数据上传器115将不知晓该请求要被传递到代理服务而不是数据存储库。换言之,上传器模块将仅仅通过由配置文件215指向的数据导出插件237a-n传递请求,并且传出的请求将按照要求到达代理服务140或者到达指定的数据存储库。
在操作315,当数据上传/下载/读取请求在代理服务140处被接收到时,从其接收到请求的计算设备/系统110a-n的IP地址与由代理服务140维护或访问的IP地址265的列表进行比较,以确定与请求方设备相关联的IP地址是否与先前已由可以从其接收到有效上传/下载/读取请求的代理服务140成功地认证过的IP地址相匹配。在操作320,如果确定与请求方设备相关联的IP地址不匹配与先前经认证的设备相关联的IP地址,则方法300可行进到操作330,其中传输可被拒绝,这意味着传输和数据上传/下载/读取请求将不会被传递到指定的存储位置存储库。根据一个方面,如果传输在操作330处被拒绝,则信令可被传回至发送方数据上传器,以请求来自发送方设备的附加的认证信息。应当理解,附加的认证信息可包括各种信息类型,包括但不限于用户名、密码、认证证书、加密密钥、请求方设备的标识码/号等。
回头参考操作320,如果确定与发送方设备相关联的IP地址的确与先前由代理服务140认证的IP地址匹配,则方法300可行进到操作325。在操作325,与请求方设备110a-n相关联的认证证书可与代理服务140的授权证书270的列表进行比较,以确定请求方设备110a-n先前是否已通过证书被认证为有效的数据上传/下载/读取请求源。在操作335,如果确定从请求方设备接收到的证书不匹配先前经认证的请求方设备证书,则该方法可行进到其中传输可被拒绝的操作330,并且该方法可行进回到操作310,其中可如上所述的从代理服务140请求对附加的认证信息的请求。在操作335,如果证书比较结果是有效的证书,则该方法可行进到操作340,其中数据上传的传输可被批准。
应当理解,操作320处的IP地址比较以及操作335处的证书比较可以作为两步认证过程来操作,如参考图3所例示和描述的。替代地,IP地址验证或证书验证可以作为独立的认证步骤操作,其中如果任一步骤被通过(即,有效的IP地址或有效的证书),则请求方设备可作为经认证的设备被通过,以用于将数据上传到/下载自或读取自指定的目的地存储库。换言之,应当理解,在某些情况下,可以确定两个认证步骤中仅一个认证步骤可能被要求来提供可接受的安全可靠性,以允许从给定的存储库上传、下载或读取数据。在某些情况下,与存储库和其中被维护的数据相关联的安全级别可能只要求一步认证过程,而其他安全级别可能要求数据的所有者/维护者所要求的两个步骤。
应当理解,其他类型的认证处理可类似地由代理服务140使用。例如,从请求方设备经由其已安装或相关联的数据上传器接收到的加密密钥可以与由代理服务140维护的许可加密密钥的列表进行比较。因此,多个不同的标识/认证码/密钥/字母数字指示符等可被用于将请求源与先前经认证的请求源的列表进行比较,以提供对指定的存储库的访问。
应当理解,在数据上传的传输被允许之后,接收方存储位置存储库可将返回信号传回源设备/系统110a-n,以验证经上传的数据的存储。在这种情况下,来自接收方存储库的返回信令可通过代理服务140传回源设备,或者源设备可由于先前针对源设备执行的认证而被指定成用于允许返回信号自动绕过代理服务140。另外,如果来自源设备的原始请求具有来自源设备的下载/读取请求的形式,则来自存储库的响应下载或读取访问可通过代理服务140被传回以供源设备的认证,如上所述。
仍然参考图3,在某些情况下,可以从安全数据存储库145a-n尝试具有对被储存在被导向可能不安全的设备/系统110a-n的给定的数据存储库中的数据的数据下载或读取访问的形式的数据下载。换言之,对被储存的数据的数据下载或读取访问可起始于被导向潜在不安全的设备/系统110a-n的安全数据存储库,作为以上参考操作310至340所述的循环的反向循环。在操作345,以上参考操作310至340所述的循环可被处理,其中被传递自存储位置存储库145a-n的数据下载/读取请求通过代理服务140被传递通过相应的上传器150a-n,以确定来自安全存储库145a-n的数据的预期接收方是否可被认证以接收来自存储库145a-n的数据。在操作350,如果目的地设备/系统未被代理服务140批准,则方法300可行进到操作330并且传输可被拒绝,如上所述。在操作350,如果经请求的传输被批准,则在操作355,来自安全存储库的数据传输可被允许经由代理服务140至目的地计算设备/系统。方法300在操作395处结束。
尽管已经在结合在计算机上的操作系统上运行的应用程序执行的程序模块的一般上下文中描述了本发明,但是本领域技术人员将认识到本发明还可结合其他程序模块实现。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、组件、数据结构及其他类型的结构。
本文中所描述的实施例和功能可经由多个计算系统操作,这些计算系统包括而不限于台式计算机系统、有线和无线计算系统、移动计算系统(例如,移动电话、上网本、平板或板式计算机、笔记本计算机、以及膝上型计算机)、手持设备、多处理器系统、基于微处理器或可编程消费性电子设备、小型计算机、以及大型计算机。
另外,本文中所描述的实施例和功能可在分布式系统(例如,基于云的计算系统)上操作,其中应用功能、存储器、数据存储和检索以及各种处理功能可在分布式计算网络(诸如互联网或内联网)上彼此远程地操作。各种类型的用户界面和信息可经由板上计算设备显示器或者经由与一个或多个计算设备相关联的远程显示单元显示。例如,各种类型的用户界面和信息可被显示并且在各种类型的用户界面和信息被投影于其上的墙壁表面上交互。与通过其可实践本发明的实施例的多个计算系统的交互包括按键输入、触摸屏输入、语音或其他音频输入、其中相关联的计算设备配备有用于捕捉和解释用户姿势以控制计算设备的功能的检测(例如,相机)功能的姿势输入等等。
图4-6及相关联的描述提供了其中可实施本发明的各实施例的各种操作环境的讨论。然而,关于图4-6所例示和讨论的设备和系统是出于示例和说明的目的,而非对可被用于实施本文所述的本发明的各实施例的大量计算设备配置的限制。
图4是例示可用来实施本发明的各实施例的计算设备400的物理组件(即硬件)的框图。下面描述的计算设备组件可适用于上述的计算设备110、115、145。在基本配置中,计算设备400可包括至少一个处理单元402以及系统存储器404。取决于计算设备的配置和类型,系统存储器404可包括但不限于易失性存储(例如,随机存取存储器)、非易失性存储(例如,只读存储器)、闪存,或者此类存储器的任何组合。系统存储器404可包括操作系统405和适合于运行软件应用450的一个或多个程序模块406。例如,操作系统405可适用于控制计算设备400的操作。此外,可结合图形库、其他操作系统或者任何其他应用程序来实践本发明的实施例,并且这些实施例不限于任何特定的应用或系统。该基本配置在图4中由虚线408内的那些组件例示出。计算设备400可具有附加的特征或功能。例如,计算设备400也可以包括附加的数据存储设备(可移动和/或不可移动),诸如举例而言,磁盘、光盘或带。这些附加的存储在图4中由可移动存储设备409和不可移动存储设备410例示出。
如以上所阐述的,大量的程序模块和数据文件可被储存在系统存储器404中。尽管在处理单元402上执行,但是程序模块406可以执行包括但不限于图3中所例示的方法300的各阶段中的一个或多个。根据本发明的实施例可被使用的其他程序模块可包括应用,诸如电子邮件和联系人应用、文字处理应用、电子表格应用、数据库应用、幻灯片演示应用、绘图或计算机辅助应用等。
此外,可在电气电路中实践本发明的实施例,该电气电路包括离散电子元件、包含逻辑门的经封装或集成的电子芯片、利用微处理器或者在包含电子元件或微处理器的单个芯片上的电路。例如,可以通过片上系统(SOC)来实施本发明的各实施例,其中,可以将图4中例示的每个或许多组件集成到单个集成电路上。此类SOC设备可包括一个或多个处理单元、图形单元、通信单元、系统虚拟化单元以及各种应用功能,所有这些单元被集成(或“烧制”)到芯片基板上,作为单个集成电路。当通过SOC操作时,本文描述的关于跨多个工作负载提供活动流的功能可以通过在单个集成电路(芯片)上与计算设备400的其他组件集成的专用逻辑来操作。还可使用能够执行逻辑操作(诸如举例而言,与、或、以及非)的其他技术来实践本发明的实施例,这些技术包括但不限于机械、光学、流体和量子技术。另外,可在通用计算机内或者在任何其他电路或系统中实践本发明的实施例。
计算设备400也可具有一个或多个输入设备412,如键盘、鼠标、笔、语音输入设备、触摸输入设备等等。也可包括(诸)输出设备414,诸如显示器、扬声器、打印机等等。前述设备是示例,并且可使用其他设备。计算设备400可包括允许与其他计算设备418通信的一个或多个通信连接416。合适的通信连接416的示例包括但不限于RF发射机、接收机、和/或收发机电路系统、通用串行总线(USB)、并行和/或串行端口。
如本文中所使用的术语计算机可读介质可包括计算机存储介质。计算机存储介质可包括以用于存储信息(诸如计算机可读指令、数据结构或者程序模块)的任何方法和技术实现的易失性和非易失性、可移除和不可移除介质。系统存储器404、可移除存储设备409、以及不可移除存储设备410都是计算机存储介质示例(即,存储器存储)。计算机存储介质可包括RAM、ROM、电可擦除只读存储器(EEPROM)、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁存储设备,或者可被用来储存信息且可由计算设备400访问的任何其他制品。任何此类计算机存储介质可以是计算设备400的一部分。计算机存储介质不包括载波或者其他经传播或经调制的数据信号。
通信介质可通过计算机可读指令、数据结构、程序模块或者经调制的数据信号(诸如载波或者其他传送机制)中的其他数据体现,并且包括任何信息递送介质。术语“经调制的数据信号”可描述具有以对该信号中的信息进行编码的方式设置或改变的一个或多个特性的信号。作为示例而非限制,通信介质可包括诸如有线网络或直接有线连接之类的有线介质,以及诸如声、射频(RF)、红外和其他无线介质之类的无线介质。
图5A和5B例示可用来实施本发明的各实施例的移动计算环境500,例如移动电话、智能电话、平板个人计算机、膝上型计算机等。参考图5A,例示了用于实现各实施例的移动计算设备500的一个实施例。在基本配置中,移动计算设备500是具有输入元件和输出元件两者的手持计算机。移动计算设备500通常包括显示器505以及允许用户将信息输入到移动计算设备500中的一个或多个输入按钮510。移动计算设备505的显示器500还可用作输入设备(例如,触摸屏显示器)。如果被包括在内,则任选的侧输入元件515允许进一步的用户输入。侧输入元件515可以是旋转开关、按钮或者任何其他类型的手动输入元件。在替代实施例中,移动计算设备500可合并或多或少的输入元件。例如,在一些实施例中,显示器505可以不是触摸屏。在又一替代实施例中,移动计算设备500是便携式电话系统,诸如蜂窝电话。移动计算设备500还可包括任选的小键盘535。任选的小键盘535可以是物理小键盘或者在触摸屏显示器上生成的“软”小键盘。在各个实施例中,输出元件包括用于示出图形用户界面(GUI)的显示器505、视觉指示器520(例如,发光二极管)和/或音频换能器525(例如,扬声器)。在一些实施例中,移动计算设备500合并用于向用户提供触觉反馈的振动换能器。在又一实施例中,移动计算设备500结合诸如音频输入(如麦克风插孔)、音频输出(如耳机插孔)以及视频输出(如HDMI端口)之类的外围设备端口540,以用于将信号发送到外部设备或从外部设备接收信号。
图5B是例示移动计算设备的一个实施例的架构的框图。换言之,移动计算设备500可结合一系统(即架构)502以实现某些实施例。在一个实施例中,系统502被实现为能够运行一个或多个应用(例如,浏览器、电子邮件、日历、联系人管理器、消息收发客户端、游戏以及媒体客户端/播放器)的“智能电话”。在一些实施例中,系统502被集成为计算设备,诸如集成个人数字助理(PDA)和无线电话。
一个或多个应用程序550可被加载到存储器562中,并且在操作系统564上或者与其相关联地运行。应用程序的示例包括电话拨号程序、电子通信应用、个人信息管理(PIM)程序、文字处理程序、电子表格程序、互联网浏览器程序、消息通信程序等等。系统502还包括存储器562内的非易失性存储区域568。非易失性存储区域568可被用来储存持久性信息,如果系统502断电,则该持久性信息不会丢失。应用程序550可使用和储存非易失性存储区域568中的信息,诸如电子邮件应用所使用的电子邮件或其他消息等。同步应用(未示出)还驻留在系统502上,并且被编程为与驻留在主机计算机上的对应的同步应用交互以使被储存在非易失性存储区域568中的信息保持与被储存在主机计算机的对应的信息同步。应当理解,其他应用也可被加载到存储器562中并在移动计算设备500上运行。
系统502具有可被实现为一个或多个电池的电源570。电源570可能进一步包括外部电源,诸如补充电池或对电池再充电的AC适配器或供电底座(powered dockingcradle)。
系统502还可包括执行发射和接收射频通信的功能的无线电572。经由通信载体或服务供应商,无线电572促进系统502和“外部世界”之间的无线连接。在操作系统564的控制下进行与无线电572之间的传输。换句话说,可经由操作系统564将无线电572接收到的通信散布到应用程序550,反之亦然。
可以使用视觉指示器520来提供视觉通知并且/或者可以使用音频接口574来通过音频换能器525产生可听通知。在所解说的实施例中,视觉指示器520是发光二极管(LED)而音频换能器525是扬声器。这些设备可被直接耦合到电源570使得它们在激活时保持开启达通知机制所陈述的持续时间,即使处理器560以及其他组件可能关闭以节约电池电量。LED可被编程为无限地保持开启,直至用户采取措施来指示该设备的开启状态。音频接口574被用来向用户提供可听信号且接收来自用户的可听信号。例如,除了被耦合到音频换能器525以外,音频接口574还可被耦合到麦克风来接收可听输入,诸如以促进电话交谈。根据本发明的实施例,麦克风还可用作音频传感器以促进对通知的控制,如将在下文中所描述的。系统502可进一步包括允许板载相机530的操作来记录静止图像、视频流等的视频接口576。
实现系统500的移动计算设备502可具有附加特征或功能。例如,移动计算设备500还可包括附加的数据存储设备(可移除和/或不可移除),诸如磁盘、光盘或带。这种附加的存储设备在图5B中用非易失性存储区568例示出。
如上所述,通过移动计算设备500生成或捕捉且经由系统502储存的数据/信息可被本地地储存在移动计算设备500上,或者该数据可被储存在可由该设备经由无线电572或者经由移动计算设备500与关联于移动计算设备500的单独计算设备(例如,分布式计算网络中的服务器计算机(诸如互联网))之间的有线连接访问的任意数量的存储介质上。应当理解,可经由移动计算设备500、经由无线电572或者经由分布式计算网络访问此类数据/信息。类似地,这样的数据/信息可以根据公知的数据/信息转移和存储装置(包括电子邮件和协同数据/信息共享系统)容易地在计算设备之间被转移以供存储和使用。
图6示出用于跨分布式计算环境的各组件来提供本文中描述的功能的系统的架构的一个实施例。与上文描述的应用相关联地进行开发、交互或编辑的内容可被储存在不同通信信道或其他存储类型中。例如,可使用目录服务622、web门户624、邮箱服务626、即时消息存储628或者社交网站630来储存各种文档。如本文中描述的,应用450(例如,电子通信应用)可使用用于跨多个工作负载来提供本文中描述的功能的这些类型的系统中的任意一种。服务器615可为客户端605A-C和110a-n提供功能。作为一个示例,服务器615可以是通过web提供此处所描述的应用功能的web服务器。服务器615可在web上通过网络125、610向客户端605A-C和110a-n提供应用功能。作为示例,计算设备110a-n可被实现并被具体化在个人计算机605A、平板计算设备605B和/或移动计算设备605C(例如智能电话)或者其他计算设备中。客户端计算设备的这些实施例中的任一个可从存储616获得内容。
例如,以上参考根据本发明的实施例的方法、系统和计算机程序产品的框图和/或操作解说来描述本发明的实施例。框图中所注释的功能/动作可以不按照如任一流程图中所示的次序发生。例如,连续示出的两个框实际上可基本并发地执行,或者取决于所涉及的功能/动作,这些框有时可以相反的次序执行。
本申请中所提供的一个或多个实施例的描述和解说并非旨在限制或限定如以任何方式要求保护的本发明的范围。本申请中所提供的实施例、示例和细节被认为足以传达占有且使其他人能够得到和使用要求保护的发明的最佳模式。要求保护的发明不应当被解释为限于本申请中所提供的任一实施例、示例或细节。不管是组合还是单独地示出和描述,各个(结构和方法)特征旨在选择性地包括或省略以产生具有一组特定特征的实施例。已经提供有本申请的描述和解说,本领域技术人员可设想落入在不背离要求保护的发明的更宽范围的本申请中体现的一般发明性概念的更宽泛方面的精神的变体、修改以及替换实施例。
Claims (20)
1.一种用于将数据从源计算系统上传到安全目的地计算系统的计算机实现的方法,包括:
接收将数据从源计算系统上传到目的地计算系统的请求;
将所请求的数据上传到代理服务,以对所述源计算系统作为可信源进行认证;
在所述代理服务处,通过将提供有经上传的请求的数据的认证信息和与先前经指定的安全源计算系统相关联的认证信息进行比较来确定从其上传所述数据的所述源计算系统是否为可信源;以及
如果所述源计算系统被确定为可信源,则将所述请求的数据上传到所述目的地计算系统。
2.根据权利要求1所述的计算机实现的方法,其特征在于,在接收到将数据从所述源计算系统上传到所述目的地计算系统的请求之后,确定来自所述源计算系统的所述数据上传是否必须在其可被上传到所述目的地计算系统之前被认证。
3.根据权利要求2所述的计算机实现的方法,其特征在于,确定来自所述源计算系统的所述数据上传是否必须被认证包括读取用于确定将数据从所述源计算系统上传到所述目的地计算系统所要求的导出插件模块的配置文件。
4.根据权利要求3所述的计算机实现的方法,其特征在于,确定来自所述源计算系统的所述数据上传是否必须被认证包括确定将数据从所述源计算系统上传所要求的所述导出插件模块是否促使将数据从所述源计算系统上传到所述代理服务以供对所述源计算系统作为可信源的认证。
5.根据权利要求1所述的计算机实现的方法,其特征在于,将所述请求的数据上传到代理服务包括将所述请求的数据上传到所述代理服务,因为所述经上传的数据是经由与所述代理服务相关联的导出插件模块从所述源计算系统被上传的。
6.根据权利要求1所述的计算机实现的方法,其特征在于,确定从其上传所述数据的所述源计算系统是否为可信源包括将与所述源计算系统相关联的互联网协议(IP)地址和先前被指定成与可信源相关联的一个或多个IP地址进行比较。
7.根据权利要求6所述的计算机实现的方法,其特征在于,如果与所述源计算系统相关联的IP地址和先前被指定成与可信源相关联的IP地址匹配,则允许所述请求的数据从所述源计算系统到所述目的地计算系统的上传。
8.根据权利要求6所述的计算机实现的方法,其特征在于,如果与所述源计算系统相关联的IP地址和先前被指定成与可信源相关联的IP地址匹配,则还包括将与所述源计算系统相关联的认证证书和先前被指定成与可信源相关联的一个或多个认证证书进行比较。
9.根据权利要求8所述的计算机实现的方法,其特征在于,如果与所述源计算系统相关联的认证证书和与先前被指定成可信源的源计算系统相关联的一个或多个认证证书匹配,则允许所述请求的数据从所述源计算系统到所述目的地计算系统的上传。
10.根据权利要求9所述的计算机实现的方法,其特征在于,如果与所述源计算系统相关联的所述认证证书和与先前被指定成可信源的源计算系统相关联的一个或多个认证证书不匹配,则拒绝所述请求的数据从所述源计算系统到所述目的地计算系统的上传。
11.根据权利要求10所述的计算机实现的方法,其特征在于,还包括在允许所述请求的数据从所述源计算系统到所述目的地计算系统的上传之前要求来自所述源计算系统的附加的认证信息。
12.一种用于将数据从源计算系统上传到安全目的地计算系统的系统,所述系统包括:
一个或多个处理器;
储存能够由所述一个或多个处理器执行的一个或多个模块的存储器,所述一个或多个模块包括:
数据上传器模块,用于
接收将数据从源计算系统上传到目的地计算系统的请求;
将所述请求的数据上传到代理服务,以对所述源计算系统作为可信源进行认证;
所述代理服务还用于
通过将提供有所述经上传的请求的数据的认证信息和与先前经指定的安全源计算系统相关联的认证信息进行比较来确定从其上传所述数据的所述源计算系统是否为可信源;以及
如果所述源计算系统被确定为可信源,则将所述请求的数据上传到所述目的地计算系统。
13.根据权利要求12所述的系统,其特征在于,所述数据上传器模块进一步用于确定来自所述源计算系统的所述数据上传是否必须在其可被上传到所述目的地计算系统之前被认证。
14.根据权利要求13所述的系统,其特征在于,所述数据上传器模块还用于:
读取用于确定将数据从所述源计算系统上传到所述目的地计算系统所要求的导出插件模块的配置文件;以及
经由所述导出插件模块将所述数据上传到所述代理服务,其中针对所述数据上传被配置的所述导出插件模块与所述代理服务相关联,因为所述数据上传要求在被上传到所述目的地计算系统之前进行认证。
15.根据权利要求12所述的系统,其特征在于,所述代理服务还用于通过将与所述源计算系统相关联的互联网协议(IP)地址和先前被指定成与可信源相关联的一个或多个IP地址进行比较来确定从其上传所述数据的所述源计算系统是否为可信源。
16.根据权利要求15所述的系统,其特征在于,所述代理服务还用于如果与所述源计算系统相关联的IP地址和先前被指定成与可信源相关联的IP地址匹配,则允许所述请求的数据从所述源计算系统到所述目的地计算系统的上传。
17.根据权利要求15所述的系统,其特征在于,所述代理服务还用于如果与所述源计算系统相关联的IP地址和先前被指定成与可信源相关联的IP地址匹配,则将与所述源计算系统相关联的认证证书和先前被指定成与可信源相关联的一个或多个认证证书进行比较来作为附加的认证步骤。
18.根据权利要求17所述的系统,其特征在于,所述代理服务还用于如果与所述源计算系统相关联的认证证书和与先前被指定成可信源的源计算系统相关联的一个或多个认证证书匹配,则允许将所述请求的数据从所述源计算系统到所述目的地计算系统的上传。
19.根据权利要求18所述的系统,其特征在于,所述代理服务还用于如果与所述源计算系统相关联的所述认证证书和与先前被指定成可信源的源计算系统相关联的一个或多个认证证书不匹配,则拒绝所述请求的数据从所述源计算系统到所述目的地计算系统的上传。
20.一种具有计算机可执行指令的计算机可读介质,所述计算机可执行指令在由计算机执行时执行一种用于将数据从源计算系统上传到安全存储库的方法,包括:
接收将数据从源计算系统上传到目的地存储库的请求;
通过读取配置文件并获得将经上传的数据传递到代理服务的针对所述请求的数据的导出插件模块来确定来自所述源计算系统的所述数据上传是否必须在其可被上传到所述目的地存储库之前被认证;
将所述请求的数据上传到所述代理服务,以对所述源计算系统作为可信源进行认证;
在所述代理服务处,通过将提供有所述经上传的请求的数据的认证信息和与先前经指定的安全源计算系统相关联的认证信息进行比较来确定从其上传所述数据的所述源计算系统是否为可信源;以及
如果所述源计算系统被确定为可信源,则将所述请求的数据上传到所述目的地存储库。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2015/073485 WO2016138612A1 (en) | 2015-03-02 | 2015-03-02 | Proxy service for uploading data from a source to a destination |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107113313A true CN107113313A (zh) | 2017-08-29 |
Family
ID=56849177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580072763.XA Pending CN107113313A (zh) | 2015-03-02 | 2015-03-02 | 将数据从源上传到目的地的代理服务 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20180054438A1 (zh) |
| CN (1) | CN107113313A (zh) |
| WO (1) | WO2016138612A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109241026A (zh) * | 2018-07-18 | 2019-01-18 | 阿里巴巴集团控股有限公司 | 数据管理的方法、装置及系统 |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10552701B2 (en) * | 2008-02-01 | 2020-02-04 | Oath Inc. | System and method for detecting the source of media content with application to business rules |
| US20090307140A1 (en) * | 2008-06-06 | 2009-12-10 | Upendra Mardikar | Mobile device over-the-air (ota) registration and point-of-sale (pos) payment |
| US8862767B2 (en) | 2011-09-02 | 2014-10-14 | Ebay Inc. | Secure elements broker (SEB) for application communication channel selector optimization |
| US9882713B1 (en) | 2013-01-30 | 2018-01-30 | vIPtela Inc. | Method and system for key generation, distribution and management |
| US9467478B1 (en) | 2013-12-18 | 2016-10-11 | vIPtela Inc. | Overlay management protocol for secure routing based on an overlay network |
| US9980303B2 (en) | 2015-12-18 | 2018-05-22 | Cisco Technology, Inc. | Establishing a private network using multi-uplink capable network devices |
| CN105959335B (zh) * | 2016-07-19 | 2019-11-19 | 腾讯科技(深圳)有限公司 | 一种网络攻击行为检测方法及相关装置 |
| US10701108B2 (en) * | 2016-11-10 | 2020-06-30 | Amzetta Technologies, Llc | System and method for determining a policy in virtual desktop infrastructure (VDI) |
| US20180167327A1 (en) * | 2016-12-14 | 2018-06-14 | Level 3 Communications, Llc | Progressive content upload in a content delivery network (cdn) |
| FR3081573A1 (fr) * | 2018-06-29 | 2019-11-29 | Orange | Procedes de verification de la validite d'une ressource ip, serveur de controle d'acces, serveur de validation, nœud client, nœud relais et programme d'ordinateur correspondants. |
| CN110034979A (zh) * | 2019-04-23 | 2019-07-19 | 恒安嘉新(北京)科技股份公司 | 一种代理资源监测方法、装置、电子设备及存储介质 |
| US11509642B2 (en) * | 2019-08-21 | 2022-11-22 | Truist Bank | Location-based mobile device authentication |
| US11373000B1 (en) * | 2021-10-22 | 2022-06-28 | Akoya LLC | Systems and methods for managing tokens and filtering data to control data access |
| US11496483B1 (en) | 2021-10-22 | 2022-11-08 | Akoya LLC | Systems and methods for managing tokens and filtering data to control data access |
| US11379614B1 (en) | 2021-10-22 | 2022-07-05 | Akoya LLC | Systems and methods for managing tokens and filtering data to control data access |
| US11379617B1 (en) | 2021-10-22 | 2022-07-05 | Akoya LLC | Systems and methods for managing tokens and filtering data to control data access |
| US11641357B1 (en) | 2021-10-22 | 2023-05-02 | Akoya LLC | Systems and methods for managing tokens and filtering data to control data access |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101079703A (zh) * | 2006-05-23 | 2007-11-28 | 北京握奇数据系统有限公司 | 在互联网上使用用户识别卡认证的系统及方法 |
| CN101714980A (zh) * | 2008-09-30 | 2010-05-26 | 索尼株式会社 | 信息处理装置、程序和信息处理系统 |
| CN102055730A (zh) * | 2009-11-02 | 2011-05-11 | 华为终端有限公司 | 云处理系统、云处理方法和云计算代理装置 |
| CN102487378A (zh) * | 2010-12-01 | 2012-06-06 | 中铁信息工程集团有限公司 | 一种用于保障信息安全的前置安全系统 |
| WO2013093209A1 (en) * | 2011-12-21 | 2013-06-27 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
| WO2014000281A1 (zh) * | 2012-06-29 | 2014-01-03 | 华为技术有限公司 | 身份认证方法及装置 |
| US8745755B2 (en) * | 2012-10-12 | 2014-06-03 | Citrix Systems, Inc. | Controlling device access to enterprise resources in an orchestration framework for connected devices |
| US20150026780A1 (en) * | 2012-03-07 | 2015-01-22 | Ntt Docomo, Inc. | Host providing system and communication control method |
| CN104378657A (zh) * | 2014-09-01 | 2015-02-25 | 国家电网公司 | 一种基于代理与隔离的视频安全接入系统及其方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6154844A (en) * | 1996-11-08 | 2000-11-28 | Finjan Software, Ltd. | System and method for attaching a downloadable security profile to a downloadable |
| US7181623B2 (en) * | 2000-03-28 | 2007-02-20 | University Of Maryland | Scalable wide-area upload system and method |
| US20070174471A1 (en) * | 2003-04-30 | 2007-07-26 | Cedric Van Rossum | Secure, continous, proxy-optimized, device-to-device data download reception system and method of use |
| US8356335B2 (en) * | 2007-10-30 | 2013-01-15 | Apple Inc. | Techniques for authentication via network connections |
-
2015
- 2015-03-02 CN CN201580072763.XA patent/CN107113313A/zh active Pending
- 2015-03-02 US US15/553,557 patent/US20180054438A1/en not_active Abandoned
- 2015-03-02 WO PCT/CN2015/073485 patent/WO2016138612A1/en active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101079703A (zh) * | 2006-05-23 | 2007-11-28 | 北京握奇数据系统有限公司 | 在互联网上使用用户识别卡认证的系统及方法 |
| CN101714980A (zh) * | 2008-09-30 | 2010-05-26 | 索尼株式会社 | 信息处理装置、程序和信息处理系统 |
| CN102055730A (zh) * | 2009-11-02 | 2011-05-11 | 华为终端有限公司 | 云处理系统、云处理方法和云计算代理装置 |
| CN102487378A (zh) * | 2010-12-01 | 2012-06-06 | 中铁信息工程集团有限公司 | 一种用于保障信息安全的前置安全系统 |
| WO2013093209A1 (en) * | 2011-12-21 | 2013-06-27 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
| US20150026780A1 (en) * | 2012-03-07 | 2015-01-22 | Ntt Docomo, Inc. | Host providing system and communication control method |
| WO2014000281A1 (zh) * | 2012-06-29 | 2014-01-03 | 华为技术有限公司 | 身份认证方法及装置 |
| US8745755B2 (en) * | 2012-10-12 | 2014-06-03 | Citrix Systems, Inc. | Controlling device access to enterprise resources in an orchestration framework for connected devices |
| CN104378657A (zh) * | 2014-09-01 | 2015-02-25 | 国家电网公司 | 一种基于代理与隔离的视频安全接入系统及其方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109241026A (zh) * | 2018-07-18 | 2019-01-18 | 阿里巴巴集团控股有限公司 | 数据管理的方法、装置及系统 |
| CN109241026B (zh) * | 2018-07-18 | 2021-10-15 | 创新先进技术有限公司 | 数据管理的方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016138612A1 (en) | 2016-09-09 |
| US20180054438A1 (en) | 2018-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107113313A (zh) | 将数据从源上传到目的地的代理服务 | |
| Chang et al. | Cloud computing adoption framework: A security framework for business clouds | |
| EP3726412B1 (en) | Selectively verifying personal data | |
| EP3228061B1 (en) | Security context management in multi-tenant environments | |
| Noor et al. | Trust management of services in cloud environments: Obstacles and solutions | |
| Fan et al. | DACAR platform for eHealth services cloud | |
| US9015845B2 (en) | Transit control for data | |
| US10691822B1 (en) | Policy validation management | |
| CN108293045A (zh) | 本地和远程系统之间的单点登录身份管理 | |
| GB2570599A (en) | Systems and methods of secure data exchange | |
| CN108351927A (zh) | 用于访问管理的无密码认证 | |
| CN111859463A (zh) | 用于基于安全和可靠标识的计算的方法和系统 | |
| CN107005568A (zh) | 数据安全操作与预期 | |
| CN109691057A (zh) | 经由私人内容分发网络可交换地取回敏感内容 | |
| US20150074785A1 (en) | Using service request ticket for multi-factor authentication | |
| CN111291394B (zh) | 一种虚假信息管理方法、装置和存储介质 | |
| Nishi et al. | [Retracted] Electronic Healthcare Data Record Security Using Blockchain and Smart Contract | |
| CN106688220A (zh) | 基于设备声明的对服务的有条件访问 | |
| US10536277B1 (en) | Contribution signatures for tagging | |
| TW201909072A (zh) | 電子帳戶的掛失、解掛、業務管理方法、裝置及設備 | |
| US20180218364A1 (en) | Managing distributed content using layered permissions | |
| CN107111649A (zh) | 将用户和系统数据从源位置上传到目的地位置 | |
| Barati et al. | Privacy‐aware cloud ecosystems: Architecture and performance | |
| Demichev et al. | Business process engineering for data storing and processing in a collaborative distributed environment based on provenance metadata, smart contracts and blockchain technology | |
| US20200228345A1 (en) | Self-governed secure attestation policy for server data privacy logs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170829 |
|
| WD01 | Invention patent application deemed withdrawn after publication |