JP5639660B2 - ラッパ複合を通じたデータのための確認可能な信頼 - Google Patents

ラッパ複合を通じたデータのための確認可能な信頼 Download PDF

Info

Publication number
JP5639660B2
JP5639660B2 JP2012544539A JP2012544539A JP5639660B2 JP 5639660 B2 JP5639660 B2 JP 5639660B2 JP 2012544539 A JP2012544539 A JP 2012544539A JP 2012544539 A JP2012544539 A JP 2012544539A JP 5639660 B2 JP5639660 B2 JP 5639660B2
Authority
JP
Japan
Prior art keywords
data
wrapper
metadata
encrypted
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012544539A
Other languages
English (en)
Other versions
JP2013513889A5 (ja
JP2013513889A (ja
Inventor
ブイ.オーラドカー ラウル
ブイ.オーラドカー ラウル
ピーター デスーザ ロイ
ピーター デスーザ ロイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2013513889A publication Critical patent/JP2013513889A/ja
Publication of JP2013513889A5 publication Critical patent/JP2013513889A5/ja
Application granted granted Critical
Publication of JP5639660B2 publication Critical patent/JP5639660B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/80Information retrieval; Database structures therefor; File system structures therefor of semi-structured data, e.g. markup language structured data such as SGML, XML or HTML
    • G06F16/81Indexing, e.g. XML tags; Data structures therefor; Storage structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/80Information retrieval; Database structures therefor; File system structures therefor of semi-structured data, e.g. markup language structured data such as SGML, XML or HTML
    • G06F16/83Querying
    • G06F16/835Query processing
    • G06F16/8373Query execution
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/11Complex mathematical operations for solving equations, e.g. nonlinear equations, general mathematical optimization problems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/16Obfuscation or hiding, e.g. involving white box

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Computational Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Algebra (AREA)
  • Operations Research (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本開示は、ネットワークまたはクラウドサービスなど、デバイス(複数可)のための信頼できるコンピューティングおよびデータサービスを提供することに関し、より詳細には、データ、メタデータまたは両方を変換するための複合ラッパ(composite wrapper)(複数可)を適用するデータまたはネットワークサービスに関する。
いくつかの従来のシステムに関する背景として、コンピューティングデバイスはこれまで、アプリケーションおよびデータサービスをデバイスでローカルに実行してきた。そのような場合、データがアクセス、処理、格納、キャッシュなどされるとき、データはデバイス上で、ローカルバス、インターフェイスおよび他のデータ経路を介して移動することがあるが、デバイスのユーザは、デバイス自体が失われ、盗まれ、または他の方法で危殆化されない限り、ユーザデータの干渉または公開を心配する必要はなかった。
テラバイトのデータ(将来は、ペタバイト、エクサバイトなどのデータの可能性がある)を格納可能なネットワークストレージファームの発展は、歴史的にはローカルデータに対して動作してきたが、その代わりに、プライマリデバイスおよび外部ストレージの分離により、クラウド内に格納されたデータに対して動作している、アプリケーションを模倣する機会を作り出している。アプリケーションまたはシステム(または任意の)データのクラウドストレージは、デバイス毎に分離した専用ストレージを必要とせずに、多数のデバイスがそれらのデータを格納できるようにする。
それにもかかわらず、オンラインおよびクラウドサービスの発展により、アプリケーションおよびサービスは、デバイス(複数可)に代わって所与のサービスの一部または全部を行うサードパーティネットワークプロバイダへと、だんだん移動されつつある。そのような場合、デバイス(複数可)のユーザは、ユーザのデータがサービスへアップロードされる間、サービスによって格納または処理される間、または、サービスから取得される間、誰がユーザのデータにアクセスする可能性があるか、または潜在的にさらに悪いことには、誰がユーザのデータに干渉する可能性があるかに関心を持つようになることがある。要するに、ユーザのデバイスのデータが物理的保有のドメインを離れ、ユーザから物理的に離れたネットワーク環境に入るとき、サードパーティによるデータのぞんざいなまたは悪意のある取り扱いまたは干渉に対する懸念が生じる。したがって、クラウドサービスおよびクラウドサービスに関連したデータの取り扱いに対する信頼、セキュリティおよびプライバシーを増すことが望ましい。同様の懸念は、企業内でさえ、データのストレージに対して生じることがあり、例として、データが生成されるある制御の領域(例えば、第1の部門)をデータが離れて、ストレージのために別の制御の領域(例えば、第2の部門)に入る場合である。
しかし、上記で示唆したように、クラウド内で格納される間のデータのセキュリティ、プライバシーおよび整合性の問題およびそれに対する要求を有効に軽減することができているクラウドサービスまたはネットワークストレージプロバイダはないという問題が残っている。要するに、ユーザは、ストレージの手段に対する物理的な制御が放棄されるとき、自分のデータが安全でプライベートのままであるという、高められた信頼を必要としており、このハードルは、企業および消費者がサードパーティのネットワークサービスおよびソリューションを介した重要なデータのバックアップを採用することを、著しく妨げている。
今日のデバイスおよびデバイスに提供されるデータサービスの上述の欠陥は単に、従来のシステムの問題のいくつかの概観をもたらすように意図され、網羅的となるようには意図されない。現況技術に関する他の問題、および、様々な非限定的な実施形態のいくつかの対応する利点は、以下の詳細な説明の検討によりさらに明らかになるであろう。
簡単な概要が本明細書で提供されて、より詳細な説明および添付の図面において続く例示的、非限定的な実施形態のうち1つまたは複数の様々な態様の基本的または全体的な理解を可能にする助けとなる。しかし、この概要は、広範または網羅的な概観として意図されない。その代わりに、この概要の唯一の目的は、いくつかの例示的、非限定的な実施形態に関連するいくつかの概念を、以下に続く様々な実施形態のより詳細な説明の前置きとして、簡単な形式で提示することである。
検索可能暗号化(searchable encryption)、デアセンブル/リアセンブルまたは分散技術など、データのための数学的変換技術を含む、ネットワークまたはクラウドデータサービスは、信頼を複数のエンティティに渡って分散させて単一データ危殆化点を回避し、かつ、その中でデータが格納、処理、アクセスまたは取得されうるコンテナ(複数可)からデータ保護要件を切り離す方法で、提供される。一実施形態では、数学的変換述語ジェネレータ(例えば、キージェネレータ)、数学的変換プロバイダ(例えば、暗号技術プロバイダ)、および、クラウドサービスプロバイダは、それぞれ分離したエンティティとして提供され、データの発行者がデータを機密として(曖昧化された、例えば、暗号化された状態で)クラウドサービスプロバイダに発行するための信頼できるプラットフォームが可能となり、サブスクライバの能力に基づいて、承認されたサブスクライバに対して、曖昧化された、例えば、暗号化されたデータへの選択的アクセスが可能となる。
信頼できるプラットフォームを使用して、データをホストするための方法は、データまたはデータに関連付けられたメタデータを受信するステップを含むことができ、データ、メタデータまたは両方は、第1の基準のセットに基づいてデータ、メタデータまたは両方のための第1のラッパを定義する、データの少なくとも1つの数学的変換、および、第2の基準のセットに基づいてデータ、メタデータまたは両方のための第2のラッパを定義する第2の数学的変換から形成された、複合ラッパによって保護される。この方法は、複合ラッパによって保護されたようなデータ、メタデータまたは両方へのアクセスを、その要求に含まれた能力のセットに基づいて要求するステップをさらに含む。能力は、任意の種類のアクセス情報、例えば、再構築マップ、暗号キー、デコードツールなどであってもよい。能力のセットに基づいて、データ、メタデータまたは両方に対して、アクセス特権が、第1のラッパを通じた可視性を評価すること、および、第2のラッパを通じた可視性を独立して評価することに基づいて、決定される。
非限定的な実施形態では、システムは、データ、メタデータもしくは両方を発行するため、または、発行されたデータ、発行されたメタデータもしくは両方にサブスクライブするための、能力情報を生成するアクセス情報ジェネレータから独立して実装された、数学的変換技術プロバイダによって少なくとも部分的に配布された数学的変換コンポーネント(複数可)であって、アクセス情報に基づいてアクセスを許可するように構成された少なくとも1つのプロセッサを含む、数学的変換コンポーネント(複数可)を含むことができる。ネットワークサービスプロバイダは、アクセス情報ジェネレータおよび数学的変換技術プロバイダから独立して実装され、数学的変換コンポーネント(複数可)によって変換されたコンピュータデータ、コンピュータメタデータまたは両方に対するネットワークサービスを実装するように構成された少なくとも1つのプロセッサを含み、ネットワークサービスプロバイダは、数学的変換コンポーネント(複数可)と通信して、コンピュータデータ、コンピュータメタデータまたは両方に適用された暗号ラッパ(cryptographic wrapper)(複数可)の生成、再生成または削除を行うように構成される。
信頼できるプラットフォームの技術を使用して、データ(および、関連付けられたメタデータ)は、データを保持するコンテナ(例えば、ファイルシステム、データベースなど)から切り離され、非限定的な例におけるように、信頼プラットフォームの暗号キージェネレータによって付与されたキーなど、提示された能力により洞察される数学的複雑性の覆いを課すことを通じて、データがそれ自体の管理人としての機能を果たすことができるようになる。データまたはそのデータのサブセットの共有またはそれへのアクセスは、実施のために特定のコンテナを必要とせずに、信頼を保有かつ拡張する方法で、容易にされる。データに適用される検索可能暗号化技術など、数学的複雑性は、その中に特定のビットが記録されるコンテナまたはハードウェアにかまわずに、データを保護し、すなわち、データは、コンテナレスで、またはコンテナにかまわずに保護され、よって、コンテナセキュリティの危殆化に基づいて攻撃にさらされることはない。特定の「金庫」が破られる場合、コンテンツはなお保護される。
1つの非限定的な実施形態では、拡張マークアップ言語(XML)データは、それ自体の管理人としての機能を果たすデータである。XMLデータでは、基になるデータへのアクセスを選択的に可能にするかまたは防止する記述情報により、タグを拡大または追加することができ、XMLデータまたはXMLデータ断片が、XMLデータまたは断片に適用された信頼エンベロープ(trust envelope)内のタグ情報によってカプセル化されるとき、それ自体の管理人としての機能を果たすことができるようになる。XMLデータまたはタグは、例として、認証情報、承認情報、スキーマ情報、履歴情報、トレース情報、一貫性情報などのうち、いずれか1つまたは複数をエンコードする検索可能メタデータを表すことができる。XMLに基づく実施形態のいずれも、限定されないが、JavaScript Object Notation(JSON)、S−Expressions、電子データ交換(EDI)、その他など、様々な範囲の代わりのフォーマットにも適用可能であり、よって、XMLは、そのような実施形態において例示のために使用されるに過ぎないことに留意されたい。
限定されないが、データベースフィールド、XML断片またはフルレコードなど、あらゆる種類のペイロードのための「信頼されたエンベロープ(trusted envelope)」は、したがって、限定されないが、機密性、プライバシー、匿名性、改ざん検出、整合性、その他など、保証と共に広がる全範囲の信頼を可能にする、エンベロープ上に配置された様々なデコレーションまたはシールを通じて、幕で覆われたアクセスを提供する。例として、XMLタグを適用または拡大して、構造化XMLデータという、ネットワーク化された環境内のデータ交換のために使用される共通フォーマットのための、信頼エンベロープを作成し、信頼できるクラウドサービス環境内でコンテナレスXMLデータを可能にすることができる。
データのセキュリティおよびプライバシーに対する高レベルの信頼の確立を容易にするために適用されうる、暗号技術または「デコレーション」のいくつかの他の例には、限定されないが、サイズ保存暗号化、検索可能暗号化、または、適用の証明(複数可)(Proof(s) of Application)、ブラインドフィンガープリント(blind fingerprints)、取得可能性の証明(複数可)(Proof(s) of Retrievability)などが含まれる。
他の実施形態および様々な非限定的な例、シナリオおよび実装は、以下でより詳細に説明される。
様々な非限定的な実施形態は、添付の図面を参照してさらに説明される。
一実施形態における、複合ラッパを採用するストレージ内でデータ、メタデータまたは両方を発行またはサブスクライブするためのシステムを例示するブロック図である。 一実施形態における、複合暗号化ラッパを採用するストレージ内でデータ、メタデータまたは両方を発行またはサブスクライブするためのシステムを例示するブロック図である。 同心複合ラッパの例示的な例の図である。 側方ラッパを有する複合ラッパの例示的な例の図である。 一実施形態における、同心および側方ラッパを共に有するハイブリッド複合ラッパの例示的な例の図である。 一実施形態における、データに関連付けられたアクセスログメタデータに関連した、側方ラッパの使用のブロック図である。 どのようにデータが削除されたかがメタデータ内でエンコードされる、一実施形態における、アクセス情報を破棄または細断することによるデータの有効な削除のブロック図である。 データがスクランブルをかけられ、そのスクランブリングについての情報が複合ラッパの、ラッパの内側または外側のメタデータ内に記録される一例を、追加として例示するブロック図である。 ラッパの除去の代替として、ラッパによって曖昧化されたデータ、メタデータまたは両方を表示する能力を分配する結果となる、ポリシの変更のブロック図である。 命令または状態の変化に基づいた、ラッパの自動的なアンラップ、生成、改変、再生成または拡大のブロック図である。 1つまたは複数の側方ラッパ変形を使用して、データの編集のタスクを行う、例示的な例の図である。 一実施形態における、複合ラッパによってラップされたような、データ、メタデータまたは両方をホストするための例示的、非限定的な処理の流れ図である。 安全、プライベートおよび選択的にアクセス可能なネットワークデータサービスの1つまたは複数の実施形態を提供するための全体的な環境のブロック図である。 「それ自体の管理人としてのデータ」の1つまたは複数の態様を例示するブロック図である。 安全、プライベートおよび選択的にアクセス可能なネットワークデータサービスの1つまたは複数の実施形態を提供するための全体的な環境のブロック図である。 データがそれ自体の管理人としての機能を果たす、コンテナを管理するための処理の流れ図である。 それ自体の管理人としての機能を果たすデータの1つまたは複数の態様を例示する、もう1つのブロック図である。 データが従来のコンテナセキュリティモデルを越えることができることを例示する、それ自体の管理人としてのデータの態様を例示する、もう1つのブロック図である。 異種のタイプの複数のデータコンテナからのデータの自動細断、キャッシング、レプリケーション、再構成のような機能を行うストレージ管理レイヤを例示する図である。 データが様々なデータコンテナに渡ってどこに格納されるとしても、暗号アクセスラッパをデータに追加する、安全なオーバーレイネットワークを例示するブロック図である。 レガシアプリケーションに関する一態様を例示するブロック図である。 レガシアプリケーションならびにFTO対応アプリケーションに関連して使用可能なサンプルアーキテクチャモデルの図である。 データ、および/または、そのデータもしくはそのデータの特性を記述するメタデータにおける、暗号ラッパまたはエンベロープの一般的使用を例示するブロック図である。 図23に一般に提示された概念をさらに強調する特定の例の図である。 保護されたデータを囲むフェデレーション信頼オーバーレイ(federated trust overlay)を例示する、もう1つの例の図である。 レコードならびにインデックスが、信頼オーバーレイ(trust overlay)を使用して暗号化され、クラウドへアップロードされる、一実施形態を例示するブロック図である。 どのようにクライアントがフェデレーション信頼オーバーレイアーキテクチャを使用して、より豊かなクラウドストレージ経験のために、暗号化されたデータの上で暗号化されたインデックスを生成、アップロードかつ/または検索することができるかを例示する図である。 システムによるいくつかの追加の非限定的な信頼アシュアランスを例示するブロック図である。 システムによるいくつかの追加の非限定的な信頼アシュアランスを例示するブロック図である。 システムによるいくつかの追加の非限定的な信頼アシュアランスを例示するブロック図である。 XMLに関連して、信頼されたオーバーレイの一実施形態を例示する図である。 様々な実施形態における、信頼できるXMLのための例示的処理を例示する流れ図である。 様々な実施形態における、信頼できるXMLのための例示的処理を例示する流れ図である。 様々な実施形態における、信頼できるXMLのための例示的処理を例示する流れ図である。 様々な実施形態における、信頼できるXMLのための例示的処理を例示する流れ図である。 一実施形態における、データを処理して、信頼できるXMLを形成するための例示的、非限定的な方法を例示する流れ図である。 一実施形態による、信頼できるクラウドサービスフレームワークまたはエコシステムのブロック図である。 信頼できるクラウドサービスエコシステムによってデータを発行するための例示的、非限定的な方法を例示する流れ図である。 信頼できるクラウドサービスエコシステムによってデータにサブスクライブするための例示的、非限定的な方法を例示する流れ図である。 信頼できるエコシステムにおける、キー生成用センタ(CKG)、暗号技術プロバイダ(CTP)およびクラウドサービスプロバイダ(CSP)の分離を示す、例示的エコシステムを例示する図である。 企業のためのクラウドサービスを行うための信頼できるエコシステムのさらなる利点を例示する、もう1つのアーキテクチャ図である。 ストレージ抽象化レイヤを介した異なるストレージプロバイダの適応を例示する、もう1つのブロック図である。 ストレージ抽象化サービスに関連したストレージのさらなる態様を例示する図である。 信頼できるエコシステムにおける様々な異なる関係者を例示する、もう1つのブロック図である。 異なるかまたは同じエンティティによって異なる部分が提供されうる、信頼できるクラウドコンピューティングシステムの例示的、非限定的な実装のいくつかのレイヤの代表的な図である。 遅延バインディングにより、データに対する、発行者により制御された選択的アクセスを提供する方法で、ドキュメントをデジタル金庫アプリケーションに発行するための例示的、非限定的な処理の流れ図である。 デジタル金庫に配置された素材にサブスクライブするための例示的、非限定的な処理の流れ図である。 デジタルエスクローパターン(digital escrow pattern)を使用して、1つまたは複数のデータセンタを介して、企業のための安全なエクストラネットを実装する、信頼できるクラウドサービスの例示的、非限定的な実装を例示する図である。 サブスクライバが、CSPによって格納された暗号化されたデータへの選択的アクセスを与えられる、信頼できるクラウドサービスエコシステムに基づいた、もう1つの例示的、非限定的なシナリオを例示する流れ図である。 アプリケーションの応答を、サインイン情報に基づいて、サブスクライバに合わせて調整できることを例示する、もう1つの流れ図である。 単一のパーティまたは複数のパーティのために実装されうる、安全なレコードアップロードシナリオを例示する、もう1つの流れ図である。 信頼できるクラウドサービスエコシステムによって可能にされた、検索可能暗号化されたデータストアに対する役割ベースのクエリを行う、例示的、非限定的な実装を例示する、さらにもう1つの流れ図である。 ある企業が、その暗号化されたデータの一部へのアクセスを外部企業に提供する、マルチパーティ協調シナリオを例示する流れ図である。 複数の企業の間のマルチパーティ自動検索シナリオを例示する流れ図である。 信頼できるクラウドサービスのために実装されうる、例示的、非限定的なエッジ計算ネットワーク(edge compute network)(ECN)技術を例示する図である。 信頼できるクラウドサービスエコシステムによる、キー生成用センタの1つまたは複数のオプションの態様を例示するブロック図である。 検索可能暗号化されたデータを含む、信頼できるストアの例示的、非限定的な実施形態のブロック図である。 検証ステップを含む、サブスクライブするための例示的、非限定的な処理を例示する流れ図である。 確認者が暗号チャレンジを証明者へ発行する、例示的、非限定的な検証チャレンジ/レスポンスプロトコルを例示する図である。 検索可能暗号化されたデータを含む、信頼できるストアのもう1つの例示的、非限定的な実施形態のブロック図である。 検証ステップを含む、サブスクライブするための例示的、非限定的な処理を例示する流れ図である。 確認者が暗号チャレンジを証明者へ発行する、もう1つの例示的、非限定的な確認チャレンジ/レスポンスプロトコルを例示する図である。 ブラインドフィンガープリンティング(blind fingerprinting)を含むサービスの1つまたは複数の実施形態を提供するための全体的な環境のブロック図である。 複数の独立したフェデレーション信頼オーバーレイ、またはデジタルエスクローが、レイヤ化された手法のために並んで、または互いの上に存在することができる、非限定的なシナリオを例示するブロック図である。 承認されていないアクセスに対してデータを曖昧化するためのデータ分散技術を含む、信頼できるストアのもう1つの例示的、非限定的な実施形態のブロック図である。 本明細書で説明された様々な実施形態が実装されうる、例示的、非限定的なネットワーク化された環境を表すブロック図である。 本明細書で説明された様々な実施形態の1つまたは複数の態様が実装されうる、例示的、非限定的なコンピューティングシステムまたは動作環境を表すブロック図である。
概観
背景で論じたように、ネットワークサービスへ送信されたデータは、プライバシー、改ざんの可能性などについて不快感を生じる可能性があり、例えば、データがユーザのデバイスからネットワークアプリケーション、サービスまたはデータストアへ送信されるとき、ユーザは、有害なサードパーティが危害を引き起こす可能性がないという十分なアシュアランスを望む。当然ながら、ユーザはデータに対する制御を失っている。したがって、信頼を増して、データの発行者および/または所有者が、その発行者および/もしくは所有者によって、または、要求者識別に基づいて確認されたように特権が付与された任意の者に対してアクセスされるときを除いて、それらのデータがネットワーク内にある間にプライベートかつ損なわれていないままになると信頼して、それらのデータに対する物理的な制御の放棄をいとわないようにすることが望ましい。
この点について、クラウド内で格納される間のデータのセキュリティ、プライバシーおよび整合性の問題およびそれに対する要求を有効に軽減することができているクラウドサービスまたはネットワークストレージプロバイダはないという問題が残っている。要するに、ユーザは、ストレージの手段に対する物理的な制御が放棄されるとき、自分のデータが安全でプライベートのままであるという、高められた信頼に関心を有しており、このハードルは、企業および消費者がサードパーティのネットワークサービスおよびソリューションを介した重要なデータのバックアップを採用することを、著しく妨げている。
本明細書で使用されるとき、ネットワークストレージプロバイダという用語には、限定されないが、コンテンツ配信(または配布)ネットワーク(CDN)、例えば、企業ストレージ、クラウドストレージおよび/もしくはCDNに及ぶハイブリッドのシナリオ、ならびに/または、例えば、複数の企業、複数のクラウド、もしくは複数のCDN、もしくは前述の任意の組み合わせに及ぶ、より幅広いフェデレーションシナリオが含まれる。
従来、データを安全に保つために、データは、例えば、物理的な媒体上で閉じ込められるか、または隠れて保たれていた。この点について、データ所有者は、金庫の管理人が完全に信頼できるパーティであるか、または、金庫のコンテンツにアクセスできないことが必要であることを知っている。この点について、クラウドサービスの前提は、どこに自分のデータが物理的に位置するかを顧客が厳密に知ることが必ずしも必要とは限らないということであったが、質問がまったく無視されてよいということは真実ではない。この理由は、誰(何のデバイス)がデータにアクセスすることができるか、誰がデータを見るか、誰がデータを維持するか、および、データがどのように格納されるかについて全責任を負うことが、難題であったからである。したがって、実際には、顧客は、固有の不信および様々な他の懸念により、クラウドチェーン内の様々なコンピューティングおよびストレージデバイスを制御しているサードパーティが誰であるかを大変気にかけている。
データ所有者または発行者と合致しないことがある固有の偏向を有する、人または外部エンティティにより制御されたアクティブな管理人の資格を除いて、本明細書の様々な実施形態は、データが数学的に変換され、例えば、選択的に暗号化されるか、または検索可能暗号化されて、そのデータを保持するサードパーティマシン(複数可)、機構(複数可)、デバイス(複数可)またはコンテナ(複数可)にかかわらず、そのデータがそれ自体のための管理人としての機能を果たすようになる、システムを提供する。この点において、フェデレーション信頼オーバーレイの様々な実装は、ユーザにとって透過的にされる、セキュリティ、機密性、改ざん防止などの保証と共に、コンテナレスデータを可能にする。
したがって、様々な実施形態では、データをホストするために信頼できるクラウドプラットフォームが使用され、データまたはそのデータに関連付けられたメタデータを受信することが含まれ、データ、メタデータまたは両方は、少なくとも、第1の基準のセットに基づいてデータ、メタデータまたは両方のための第1のラッパを定義する第1の数学的変換、および、第2の基準のセットに基づいてデータ、メタデータまたは両方のための第2のラッパを定義する第2の数学的変換を含む、データ、メタデータまたは両方の数学的変換から形成された複合ラッパによって保護される。エンティティは、複合ラッパによって保護されたようなデータ、メタデータまたは両方へのアクセスを求める要求を、その要求に含まれた能力のセットに基づいて行うことができる。能力のセットに基づいて、アクセス特権(複数可)が、第1のラッパを通じた可視性を評価すること、および、第2のラッパを通じた可視性を独立して評価することに基づいて、データ、メタデータまたは両方に対して決定されうる。
受信することは、第1の基準のセットに基づいてデータ、メタデータまたは両方の全部未満をラップする第1のラッパを定義する第1の数学的変換を含む、数学的変換(複数可)から形成された複合ラッパによって保護されたデータまたはメタデータを受信することを含みうる。
受信することは、第1の基準のセットに基づいてデータ、メタデータまたは両方をラップする第1のラッパを定義する第1の数学的変換、および、第1のラッパによってラップされたようなデータ、メタデータまたは両方をラップする第2のラッパを定義する第2の数学的変換を含む、数学的変換(複数可)から形成された複合ラッパによって保護されたデータまたはメタデータを受信することを含みうる。
受信することは、第1のラッパまたは第2のラッパが、暗黙的または明示的に定義された条件を満たした後、少なくとも部分的に分解できるようにする、数学的アルゴリズム(複数可)から少なくとも部分的に形成された複合ラッパによって保護されたデータ、メタデータまたは両方を受信することを含みうる。受信することは、第1のラッパおよび第2のラッパのうち少なくとも1つが、暗黙的または明示的に定義された条件を満たした後、データ、メタデータまたは両方へのフルアクセスを可能にすることができるようにする、数学的アルゴリズム(複数可)から少なくとも部分的に形成された複合ラッパによって保護されたデータ、メタデータまたは両方を受信することを含みうる。
受信することは、データ、メタデータまたは両方に対する選択的不透明性を可能にする、数学的アルゴリズム(複数可)から少なくとも部分的に形成された複合ラッパによって保護されたデータ、メタデータまたは両方を受信することを含みうる。
受信することは、第1のラッパおよび第2のラッパを、第1の基準のセットおよび第2の基準のセットにそれぞれ基づいて形成する、第1の数学的変換および第2の数学的変換を含む、数学的アルゴリズム(複数可)から少なくとも部分的に形成された複合ラッパによって保護されたデータ、メタデータまたは両方を受信することを含んでもよく、第1の基準のセットまたは第2の基準のセットは、暗号キー情報の表現、役割の証拠を主張する情報、データ、メタデータもしくは両方のタイプ、データ、メタデータもしくは両方の関連付けのタイプ、または、少なくとも1つのクレームの保有の証拠を主張する情報のうち、少なくとも1つを含む。
受信することは、検索可能暗号化アルゴリズムから形成された複合ラッパによって保護されたデータまたはメタデータを受信することを含みうる。受信することは、データ、メタデータまたは両方を、第1の制御の領域内のデバイス(複数可)によって、第2の制御の領域内のデバイス(複数可)から受信することを含みうる。
受信することは、データ、メタデータまたは両方を解析すること、および、その解析の出力を暗号キー情報に基づいて暗号化することから形成された、データ、メタデータまたは両方を受信することを含みうる。データ、メタデータまたは両方へのアクセスを求める要求を受信することは、トラップドアデータの暗号トラップドア(複数可)によって定義されたような、データ、メタデータまたは両方への可視アクセスを可能にする、トラップドアデータを受信することを含みうる。
受信することは、データのための第1のラッパを形成する第1の数学的変換、および、メタデータのための第2のラッパを形成する第2の数学的変換を含む、データ、メタデータまたは両方の数学的変換(複数可)から形成された複合ラッパによって保護されたデータ、メタデータまたは両方を受信することを含みうる。
他の実施形態では、受信することは、第1の基準のセットに基づいてデータ、メタデータまたは両方の全部未満をラップする第1のラッパを定義する第1の数学的変換、および、データ、メタデータまたは両方の全部をラップする第2のラッパを定義する第2の数学的変換を含む、数学的変換(複数可)から形成された複合ラッパによって保護されたデータまたはメタデータを受信することを含みうる。
第2のラッパは、第1のラッパによって部分的にラップされたようなデータ、メタデータまたは両方の全部をラップすることができる。受信することは、相補的信頼またはセキュリティ基準を満たすための少なくとも第1のラッパおよび第2のラッパを含む、相補的ラッパによって構成された複合ラッパによって保護されたデータ、メタデータまたは両方を受信することを含みうる。
一実施形態では、データ、メタデータまたは両方の状況が新しい状況に変化する場合、追加のラッパ(複数可)が、新しい状況に関連付けられた新しい基準のセットに適切に、自動的に追加される。あるいは、追加のラッパ(複数可)は、新しい状況に関連付けられた新しい基準のセットに適切に、自動的に除去されうる。または、データ、メタデータもしくは両方の状況が新しい状況に変化する場合、アクセス特権(複数可)を決定することは、能力を生成するエンティティによって付与された限定されない能力に基づいて、アクセス特権を決定することを含みうる。
他の実施形態では、データ、メタデータまたは両方の機密性クラスがより機微なクラスに変化する場合、データ、メタデータまたは両方に対する、より機微なクラスに適した追加のラッパ(複数可)が、自動的に追加されうる。データ、メタデータまたは両方の状況が新しい状況に変化する場合、第1のラッパまたは第2のラッパもまた、新しい状況に関連付けられた新しい基準のセットに適切に変更されうる。データ、メタデータまたは両方の状況が新しい状況に変化する場合、この変化もまた、新しい状況に関連付けられた新しい基準のセットに適切に、第1のラッパまたは第2のラッパを修正することを含みうる。
もう1つの実施形態では、データ、メタデータまたは両方の状況が新しい状況に変化する場合、データ、メタデータまたは両方のうち少なくとも一部は、新しい状況に関連付けられた新しい基準のセットに適切に、第1のラッパまたは第2のラッパのうち少なくとも1つに基づいて、数学的変換によって編集されうる。また、データ、メタデータまたは両方の状況が新しい状況に変化する場合、第1のラッパまたは第2のラッパが削除されうる。または、データ、メタデータもしくは両方が変化する場合、メタデータは、データ、メタデータまたは両方に対する少なくとも1つの変化を記述する変化メタデータにより拡大されうる。もう1つの代替として、データ、メタデータまたは両方が変化する場合、第1のラッパ内のデータ、メタデータまたは両方に対する少なくとも1つの変化を記述する変化メタデータは、ラッパ内でエンコードされうる。異なる代替として、データ、メタデータまたは両方が変化する場合、メタデータは、データ、メタデータまたは両方に対する少なくとも1つの変化を記述する変化メタデータにより拡大されうる。
アクセス特権(複数可)の決定は、少なくとも第2のラッパに対する、少なくとも第1のラッパの定義された階層に基づいて、可視性を評価する順序を決定することを含みうる。例として、アクセス特権(複数可)の決定は、ツリーデータ構造によって定義された階層に基づいて、可視性を評価する順序を決定することを含みうる。
様々な代替として、アクセス特権(複数可)の決定は、可視性を評価する同心の順序(concentric order)を決定することを含みうる。アクセス特権(複数可)の決定は、可視性を評価する側方の順序(lateral order)を決定することを含みうる。アクセス特権(複数可)の決定は、可視性を評価する同心の順序および側方の順序に基づいて、順序を決定することを含みうる。
アクセス特権(複数可)の決定は、第1のラッパを通じた可視性を最初に評価すること、および、能力のセットが、データ、メタデータまたは両方に対するアクセス特権(複数可)を可能にする場合、第2のラッパを通じた可視性を評価することを含みうる。アクセス特権(複数可)の決定は、第2のラッパを通じた可視性を最初に評価すること、および、能力のセットが、データ、メタデータまたは両方に対するアクセス特権(複数可)を可能にする場合、第1のラッパを通じた可視性を評価することを含みうる。
アクセス特権(複数可)の決定は、メタデータの来歴メタデータに適用可能な第2のラッパを通じた可視性を最初に評価すること、および、アクセス特権を要求するエンティティに基づいて、来歴メタデータを拡大することを含みうる。決定することは、メタデータを含む外側のデータのセットに適用された第1のラッパを通じた可視性を評価すること、および、データを含む内側のデータのセットに適用された第2のラッパを通じた可視性を独立して評価することに基づいて、アクセス特権(複数可)を決定することを含みうる。決定することは、データに対応する暗号化されたインデックスに適用された第1のラッパを通じた可視性を評価することに基づいて、アクセス特権(複数可)を決定することを含みうる。
この処理はまた、第1のラッパを通じた、暗号化されたインデックスの選択的アクセスを介して、暗号化されたインデックスをブラインド検索することをも含みうる。
第1のラッパの定義または第2のラッパの定義は、データ、メタデータまたは両方のためのアクセスの速度要件を定義することを含みうる。第1のラッパの定義または第2のラッパの定義は、データ、メタデータまたは両方のための改ざん防止要件を定義することを含みうる。第1のラッパの定義または第2のラッパの定義は、データ、メタデータまたは両方に対して指定された回復の信頼性要件を定義することを含みうる。
システムは、データ、メタデータもしくは両方を発行すること、または、発行されたデータ、発行されたメタデータもしくは両方にサブスクライブすることのうち、少なくとも1つのための能力情報を生成するアクセス情報ジェネレータから独立して実装された、数学的変換技術プロバイダによって少なくとも部分的に配布された数学的変換(複数可)コンポーネントを含んでもよく、数学的変換(複数可)コンポーネントは、アクセス情報ジェネレータによって生成された能力情報に基づいて、少なくとも1つのエンコードアルゴリズムまたはデコードアルゴリズムを行うように構成された少なくとも1つのプロセッサを含む。このシステムは、数学的変換(複数可)コンポーネントによって暗号化されたコンピュータデータ、コンピュータメタデータまたは両方に対するネットワークサービスを実装するように構成された少なくとも1つのプロセッサを含む、アクセス情報ジェネレータおよび数学的変換(複数可)コンポーネントから独立して実装された、ネットワークサービスプロバイダをさらに含んでもよく、ネットワークサービスプロバイダは、数学的変換(複数可)コンポーネントと通信して、コンピュータデータ、コンピュータメタデータまたは両方に適用された少なくとも2つの数学的変換ラッパの生成、再生成、改変、拡大または削除を行うように構成される。
ネットワークサービスプロバイダは、ラッパの生成、再生成、改変、拡大または削除を、そのラッパのための信頼要件のセットのための信頼要件を修正する時間的イベントに基づいて行うように構成されうる。ネットワークサービスプロバイダは、ラッパを生成するために採用された数学的変換技術が信頼要件のセットの信頼要件をもはや満たさないという決定に基づいて、ラッパを再生成、改変、拡大または削除するように構成されうる。
ネットワークサービスプロバイダは、ラッパの生成、再生成、改変、拡大または削除を、そのラッパのための信頼要件のセットのための信頼要件を修正する少なくとも1つの空間的イベントに基づいて行うように構成されうる。ネットワークサービスプロバイダは、ラッパを生成するために採用された数学的変換技術が、ラッパを生成したパーティにもはや適用されないという決定に基づいて、ラッパを再生成、改変、拡大または削除するように構成されうる。
他の実施形態では、信頼できるプラットフォームは、サブスクライバがそれに対して承認される部分に、サブスクライバが選択的にアクセスすることができるように、発行者によって、データを数学的に曖昧化するための変形のフレームワークとして使用される。この点について、プラットフォームは、整合性およびセキュリティを保存しながら、同時にデータを保護するが、また、承認されたサブスクライバへのアクセスを可能にすることにもよって、それ自体の管理人としての機能を果たすデータを達成する。
それ自体の管理人としてのデータは、様々な実施形態および以下の詳細なセクションで説明されるように、プラグ可能サービスを有するフェデレーション信頼オーバーレイにより実装されうる。数学的な難読化、例えば、暗号化を超えるものを達成して、様々な実施形態は、データがどこにどのように格納されるとしても、データの発行者または所有者によって適切に定義されたような機密性および整合性要件をデータが保存するという、ユーザおよびエスクローエージェントデータへのアシュアランスを提供する。この点について、焦点は、データのための境界、パイプおよびコンテナを確保することから、適切な能力(例えば、キー)と共に提示されるとき、データ/メタデータ、または特定のサブセットへのアクセスを可能にする、暗号的に安全な信頼エンベロープのプロビジョニングを通じて、データおよび関連付けられたメタデータを確保することへと移され、または拡大される。
一実施形態では、データをホストするための方法は、第1の制御の領域内のコンピューティングデバイス(複数可)によって、第2の制御の領域内のコンピューティングデバイス(複数可)から、第2の制御の領域内のコンピューティングデバイス(複数可)の定義されたデータセットのためのデータの数学的変換から形成された、曖昧化されたデータを受信することを備えて、提供される。この方法は、第1の制御の領域内のコンピューティングデバイス(複数可)によって、データの解析、および、その解析の出力の少なくとも1つの他の数学的変換から形成された、曖昧化されたメタデータを受信することをさらに備える。次に、曖昧化されたデータおよび/または曖昧化されたメタデータを格納するための少なくとも2つの異種のコンテナタイプを有するコンテナのセットのうち、1つまたは複数のコンテナのいずれかが決定される。
システムの非限定的な実装では、1つまたは複数の数学的変換コンポーネントは、データおよびメタデータを発行すること、または、データおよびメタデータにサブスクライブすることのうち、少なくとも1つのための数学的変換述語情報(例えば、キー情報)を生成するジェネレータから独立して実装される、数学的変換アルゴリズムプロバイダによって少なくとも部分的に配布される。1つまたは複数の数学的変換コンポーネントは、ジェネレータによって生成された数学的変換述語情報に基づいて、少なくとも1つの検索可能データ難読化アルゴリズム(例えば、検索可能暗号化)または検索可能データを明らかにする(例えば、検索可能暗号化解除)アルゴリズムを行う。ネットワークサービスプロバイダは、ジェネレータおよび1つまたは複数の数学的変換コンポーネントから独立して実装され、1つまたは複数の数学的変換コンポーネントによって曖昧化されたデータまたはメタデータに対するネットワークサービスを実装し、ネットワークサービスプロバイダは、少なくとも1つの数学的変換コンポーネントによって曖昧化されたデータまたはメタデータがどこに格納されるかを、ネットワークサービスのデータ待ち時間要件、データ信頼性要件、データ消費からの距離要件、またはデータスケール要件のうち少なくとも1つに基づいて管理する、データコンテナ管理コンポーネントを含む。
管理人としてのデータは、所与のデータのセットのすべてに対する資格を必要とするのではなく、必要とされるとき、または、必要とされると予期されるとき、細かいまたは指定された粒度で、データへのアクセス資格を提供する。クラウドストレージプロバイダの操作スタッフもまた、検出なしにデータの表示、修正、改ざんまたは削除を行うことは、サーバログの維持、または、ストレージ容量などを計画するためのメタデータに対するいくつかの他の限定された操作など、操作スタッフに付与された能力に従って、そのような表示、修正、改ざんまたは削除が明白に承認されない限り、できない。加えて、コンテナレスデータは、改ざん防止を容易にする先を見越したレプリケーションを可能にし、改ざん防止は、そうでなければ従来のシステムが十分に対処することができなかった要件である。
一実施形態では、フェデレーション信頼オーバーレイは、以下のコンポーネントのうち1つまたは複数により達成され、これらのコンポーネントはすなわち、クラウドデータサービス(CDS)またはクラウドストレージプロバイダ、クリプト技術プロバイダ(CTP)およびキー生成用センタ(CKG)である。CDSは、任意のストレージプロバイダによって提供可能であり、すなわち、コンテナレスデータは特定のコンテナを必要としない。CTPもまた、任意のパーティがCDSから分離した制御の領域内で動作するならば、CTPを実装するためのオープンな仕様に基づくか、CTPの独自の実装に基づくかにかかわらず、任意のパーティによって提供可能である。キー生成機能を分離し、暗号化原理など、数学的原理を公の検査にさらすことは、CTPの方法に偏向がないままであり、かつ、企業もしくは単一のユーザによって実装可能であり、または、CTPの専門知識を有するサードパーティに供給可能であるという、信頼を抱かせる。また、独自のバージョン、会社のためのオープンなバージョン、政府もしくは主権者のためのオープンまたは閉ざされたバージョン、基準オープンソースバージョン、または他のカテゴリはすべて、所与のエンティティによる事前にパッケージされた使用または実装のために作成可能である。
CKGエンティティは、CTPによって指定された技術に従ってキー情報を生成し、フェデレーション信頼オーバーレイの分離したコンポーネントとしても提供される(ただし、CKGをまた、FTOの所与の実装のために望まれた信頼のレベルに応じて、他のコンポーネントと組み合わせることもできる)。様々な実施形態では、CKGは集中エンティティであってもよいが、本明細書で使用されるとき、「センタ」という語は論理的参照であり、集中エンティティの指示ではなく、よって、CKGは分散およびフェデレーションされてもよい。CKGは、単一のエンティティまたは複数のパートナー、例えば、合意されたCKGからのキー交換によって情報を共有し、情報にアクセスするための、複数の製薬会社間のマルチパートナーコラボレーションにサービスすることができる。FTOにより、したがって、力を分離し、明示権限のない格納された情報、ログまたはアクセスパターンへの洞察を防止することによって、信頼および機密性が維持され、改ざん検出および整合性、例えば、確認もまた可能にされる。例として、サービスプロバイダは、検出なしにデータを修正または削除することができない。非否認を有する監査可能性は、顧客が安心してデータを手放し、誰も偶然または故意にデータに干渉していないことを保証できるようにする。ログもまた、データおよびメタデータと同じ保証を有する。
結果「検証」は、FTO実装に含まれうるもう1つの特徴であり、以下でより詳細に説明される。検証は、クラウドが、それが要求されている情報を保留できないこと、例えば、3つのドキュメントを求められたとき、2つのドキュメントを配信するということができないことを保証する。分離の観念はさらに、CKG、および、データの検証を行う任意のサービスの分離された実装を考慮することによって、ならびに、アプリケーションサービスプロバイダに付与された能力に基づいて、データまたはメタデータを受信、改変、取得、改変、拡大または削除するアプリケーションサービスプロバイダからデータを分離することによってさえ、取ることができる。このことはまた、アクセス、更新されたセキュリティモデル、更新された役割、時刻などのそのときの最新の特性に従ってアプリケーション能力を維持することの追加された利点をも有する。
様々な実施形態でより詳細に後述されるものなど、上記の特徴の全部または一部でさえをも組み合わせることは、データのクラウドストレージに対する信頼の懸念を和らげる可能性を高める。企業レベルでは、データおよびアプリケーションがクラウド内でホストされる場合であっても、企業はポリシおよび制御実施を粒度の細かい方法で所有することができる。このシステムは、識別メタシステム(例えば、クレーム、識別ライフサイクル管理、アクティブディレクトリなど)など、企業のセキュリティインフラストラクチャとかみ合うことが可能である。企業は、FTOの実装のうち望ましいだけ多くまたは少ないものに公開されうる。
本明細書で説明されるようなデータサービスのプロビジョニングは、コスト効率の良い、ならびに、安全でプライベートなソリューションを可能にする、ストレージおよび暗号法技術の様々な組み合わせおよび並べ替えを含む。例として、以下でより詳細に説明される様々なオプションの実施形態は、サイズ保存暗号化、検索可能暗号化、および/または、適用の証明(複数可)と呼ばれる暗号技術(一般的な技術を指す)を含む、データ保護技術を実装する。そのような実施形態は、外部委託されたクラウドデータ保護、障害回復または分析論のための新しいビジネスシナリオを可能にする。背景で論じたように、顧客のプライバシーまたはセキュリティの必要性の期待を裏切らなかった方法で、クラウドまたはネットワークデータサービスを実装した従来のシステムはない。
この点について、従来のネットワークサービスのプロビジョニングを囲む信頼の障壁を除くため、上記で識別された目標ならびに後述の様々な実施形態で強調される他の利点を達成する、信頼できるクラウドコンピューティングおよびデータサービスエコシステムまたはフレームワークが提供される。「クラウド」サービスという用語は一般に、サービスがユーザのデバイスからローカルに行われるのではなく、むしろ、1つまたは複数のネットワークを介してアクセス可能な1つまたは複数のリモートデバイスから配信されるという観念を指す。ユーザのデバイスは、1つまたは複数のリモートデバイスで何が起こるかの詳細を理解する必要がないので、サービスは、ユーザのデバイスの観点から、「クラウド」から配信されるように見える。
一実施形態では、システムは、データを発行またはサブスクライブするためのキー情報を生成するキージェネレータを備える。暗号技術プロバイダは、キージェネレータから独立して実装され、キージェネレータによって生成されたキー情報に基づいて検索可能暗号化/暗号化解除アルゴリズム(複数可)を実装する。加えて、ネットワークサービスプロバイダは、キージェネレータおよび暗号技術プロバイダから独立して実装され、暗号技術プロバイダによって暗号化されたデータに対するネットワークサービスを提供する。
一実施形態では、選択的にアクセス可能な、例えば、検索可能な暗号化されたデータを公開するデータストアが提供され、少なくとも1つの発行者が、リソース(複数可)を表すデータをデータストアに発行する。信頼の不正使用の可能性の分割を提供し、第1の独立エンティティは、暗号キー情報の生成を行う。第2の独立エンティティは、第1の独立エンティティによって生成された暗号キー情報に基づいて、格納に先立って、発行されたデータの暗号化をさらに行う。ネットワークまたはクラウドサービスのセットは次いで、リソース(複数可)の発行者(複数可)または所有者(複数可)によって付与された、遅延バインドされた、選択された特権に基づいて、ネットワークサービスに対する所与の要求のために、暗号化されたデータに選択的アクセスを行う。
他の実施形態では、データストアは、選択的にアクセス可能な暗号化されたデータを格納し、サブスクライバ(複数可)は、暗号化されたデータの指定されたサブセットにサブスクライブする。第1の独立エンティティは、そのサブスクライバ(複数可)に関連付けられた識別情報に基づいて、暗号キー情報を生成し、第2の独立エンティティは、第1の独立エンティティによって生成された暗号キー情報に基づいて、指定されたサブセットの暗号化解除を行う。ネットワークサービス(複数可)は、サブスクライバ(複数可)による要求に応答し、指定されたサブセットの発行者または所有者によって付与された、遅延バインドされた、選択された特権に基づいて、暗号化されたデータへの選択的アクセスを提供する。
この点において、発行者およびサブスクライバという用語は一般に、信頼できるクラウドサービスのデータを発行またはサブスクライブする任意の者をそれぞれ指す。しかし、実際には、信頼できるクラウドサービスエコシステムおよびデジタルエスクローパターンの産業、分野または適用に応じて、発行者およびサブスクライバは、より特定の役割を引き受けるようになる。例として、システム全体のデータに関連して、典型的には、少数のグループのサブスクライバのみがデータにアクセスする特権を有するようになる。データに関連した一例では、暗号化されたデータストアの監査者は、コンテンツ自体へのアクセスを許可されることなく、データの監査者の役割に基づいた一定の能力を有して、バックアップの頻度など、一定の要件が満たされることを確かめることができる。
1つの非限定的な実施形態では、データをホストするための方法は、第1の制御の領域内の第1のコンピューティングデバイス(複数可)によって、第2の制御の領域内の第2のコンピューティングデバイス(複数可)から、暗号キー情報に基づいた、検索可能暗号化アルゴリズム(複数可)による、第2のコンピューティングデバイス(複数可)の定義されたデータセットのためのデータの暗号化から形成された、暗号化されたデータを受信すること、第1のコンピューティングデバイス(複数可)によって、データの解析、および、暗号キー情報に基づいたその解析の出力の暗号化から形成された、暗号化されたメタデータを受信すること、および、暗号化されたデータまたは暗号化されたメタデータを格納するための少なくとも2つの異種のコンテナタイプのコンテナから、コンテナ(複数可)を自動的に決定することを備える。トラップドアデータのうち少なくとも1つの暗号トラップドアによって定義されたような暗号化されたデータまたはメタデータへの可視アクセスを可能にする、トラップドアデータが受信される。
暗号化されたデータまたはメタデータが格納されるコンテナ(複数可)は、複数のコンテナの事前定義された条件が満たされる場合、自動的に切り替えまたは変更されうる。例として、あるデータまたはメタデータが顧客にとって高い優先度になる場合、このデータまたはメタデータは、より遅く、より長期のストレージから、アクセス待ち時間が短い、素早いコンテナへと移動されてもよい。または、データもしくはメタデータは、例えば、暗号化されたデータまたはメタデータに関連付けられたストレージサイズに基づく、暗号化されたデータまたはメタデータに対して指定されたアクセスの速度要件に基づく、暗号化されたデータまたはメタデータに対して指定された回復の信頼性要件に基づく、暗号化されたデータまたはメタデータへのアクセスを有する1つまたは複数のデバイスへの近接に基づくなど、他の効率の理由のために、移動、コピーまたは削除されることがある。
もう1つの非限定的な実施形態では、システムは、データおよびメタデータを発行するため、またはデータおよびメタデータにサブスクライブするためのキー情報を生成するキージェネレータから独立して実装された、暗号技術プロバイダによって少なくとも部分的に配布された暗号コンポーネントを備え、暗号コンポーネントは、キージェネレータによって生成されたキー情報に基づいて、データおよびメタデータを検索可能暗号化し、または、データおよびメタデータを検索可能暗号化解除する。
このシステムはまた、キージェネレータおよび暗号コンポーネントから独立して実装され、暗号コンポーネントによって暗号化されたデータまたはメタデータに対するネットワークサービスを提供する、ネットワークサービスプロバイダを含んでもよく、ネットワークサービスプロバイダは、暗号コンポーネントによって暗号化されたデータまたはメタデータがどこに格納されるかを、ネットワークサービスのデータ待ち時間要件、データ信頼性要件、データ消費からの距離要件、またはデータスケール要件に基づいて管理する、データコンテナ管理コンポーネントを含む。キー情報は、暗号コンポーネントによって暗号化されたデータまたはメタデータに対するアクセス特権を定義する能力情報を含みうる。能力情報は、最新のアクセス特権が所与のサブスクライバに付与されるように、遅延バインドされうる。
もう1つの非限定的な実施形態では、コンピューティングシステムは、選択的にアクセス可能な暗号化されたデータまたはメタデータを格納するデータストア(複数可)を備え、発行者は、リソース(複数可)を表すデータまたはメタデータをデータストア(複数可)に発行し、第1の独立エンティティは暗号キー情報を生成し、第2の独立エンティティは、第1の独立エンティティによって生成された暗号キー情報に基づいて、データストア(複数可)への格納に先立って、発行されたデータまたはメタデータを暗号化する。このシステムは、リソース(複数可)の発行者または所有者によって付与された、遅延バインドされた、選択された特権に基づいて、ネットワークサービスに対する所与の要求のために、暗号化されたデータまたはメタデータへの選択的アクセスを可能にする、ネットワークサービスを提供する。この点について、このシステムは、コンテナタイプに対して不可知論的であり、よって、データストア(複数可)は、異種のコンテナタイプのコンテナを含み、データストア(複数可)は、コンテナによって表された現在のストレージリソースの解析に基づいて、選択的にアクセス可能な暗号化されたデータまたはメタデータのストレージを様々なコンテナ(複数可)に渡って自動的に分散させる。
一実施形態では、「データ」は、XMLペイロードデータ(例えば、テキスト文字列「Michael Jackson」)、および、そのペイロードに適用されるXMLタグ情報(例えば、</Name>)を含む、XMLデータである。XMLタグ情報は、XMLデータの検索可能暗号化および選択的暗号化解除に関連する追加のメタデータにより拡大されうる。この点について、XMLタグをこのように適用することは、構造化XMLデータのための「信頼エンベロープ」を作成して、暗号キー生成エンティティ(CKG)および暗号技術提供エンティティ(CTP)のフェデレーションを活用して、機密性、プライバシー、匿名性、改ざん検出および整合性のような、様々な範囲の信頼保証を提供する。上述のように、XMLデータまたはメタデータに関する本明細書の実施形態のいずれもまた、限定されないが、JSON、S−Expressions、EDI、その他など、他のフォーマットにも適用可能であり、よって、XMLは単に、ここで説明される実施形態において例示のために使用されるに過ぎない。
XMLデータはまた、より大きいドキュメントの分散されたほんの一部である場合、他の関連する断片を探し出すためのマニフェスト情報をエンコードすることもできる。異なるコンテナに渡る分散が起こる方法のため、すなわち、1つまたは複数の中間レイヤが特定のコンテナのストレージ詳細を扱うので、実装は技術に依存しない(任意のCKG/CTPが使用可能である)。また、信頼ラッパ以外に、実装は、検索可能暗号化および検証または確認に加えて、任意の数のラッパが適用可能である点で、また、新しいラッパ技術が適用可能になるとき、オープンエンドである。タグはまた、一貫性、証跡などを調節する助けとなる、前から存在するデータおよびメタデータの上に(または、メタデータを拡大することによって)追加可能でもある。
データ/情報がXMLフォーマットである場合、データが選択的にクエリされて、XML断片へのアクセスを得ることができるように、これらの技術またはラッパのいずれかを構造化XMLデータに適用することができる。今日、XMLは、<タグ「値」>または<タグ「値」|XML終了タグ>である標準フォーマットを有する。有利には、構造化XMLドキュメントでは、デジタルエスクローパターンに固有であるCKG/CTP「フレーム」をポイントするようになる外側ラッパがあるように、構造を階層的に表現するための方法(複数可)がある。そのため、埋め込まれた断片へのアクセスの必要性または要望があるとき、その<CKG>および<CTP>ラッパによる既存の信頼を活用することができ、または、新しい信頼のセットを新しいCKG/CTPフレームにより確立することができる。
これは、標準の公開キーインフラストラクチャPKIを通じて提供されうるが、選択される特定の方式は、本明細書で説明される技術において非限定的であると見なされるべきである。この点について、どのような特定の暗号化技術のセットが選択されるとしても、本明細書で説明される実施形態は、ユーザが、暗号化されたデータまたはメタデータのセグメント、サブセットまたは一部を検索、抽出および暗号化解除できるようにする。加えて、データ保有の公開証明(複数可)機構(デバイスに代わって実行する、信頼されたサードパーティ)が実行されて、アクセスされている特定のXMLセグメントが、最初に作成されて以来、改ざんされていないことを確認することができる。
本質的に、XML断片またはフルレコード(例えば、「ペイロード」)のための「信頼できるエンベロープ(trustworthy envelope)」は、限定されないが、機密性、プライバシー、匿名性および整合性のような全範囲の信頼保証を信頼が実行できるようにする、様々な「デコレーション」を通じて提供される。
信頼できるエンベロープの一部としてXMLタグ情報内で表されうる情報のタイプの一例として、XMLドキュメントの断片を、様々なレベルの機微性について指定することができる。例えば、公開、秘密および最高秘密段落を有するドキュメントが存在することがある。検索を行い、秘密クリアランスによるアクセスを要求する人は、公開および秘密段落へのアクセスのみを得るようになる。段落の分類はまた、暗号化機構、キーおよびアクセスポリシを決定するためにも使用可能である。例えば、最高秘密コンテンツには無線またはリモートデバイスからアクセス不可能であるという、ポリシを実装することができる。
同様に、このような分類は、データがどのように格納可能であるか、どこに格納可能であるか、どのくらい長く格納可能であるかなどについてのポリシを作成するために使用可能である。例えば、(機微な)医療データが1日1回、AES256暗号化を使用して、信頼できるデータセンタ内の安全なサーバへバックアップされなければならないことを必要とする、ポリシを作成することができる。
一実施形態では、拡張マークアップ言語(XML)データをホストするための方法は、第1の制御の領域内の第1のコンピューティングデバイスが、第2の制御の領域内の第2のコンピューティングデバイスから、暗号化されたXMLペイロードデータおよび暗号化されたXMLタグを含む暗号化されたXMLデータを受信することを含む。暗号化されたXMLデータは、暗号キー情報に基づいた、検索可能暗号化アルゴリズム(複数可)による、第2のコンピューティングデバイスの定義されたXMLデータセットの暗号化から形成される。データを求める要求は、暗号化されたXMLペイロードデータまたは暗号化されたXMLタグのうち少なくとも一部にアクセスするため、および、能力(複数可)によって定義されたような暗号化されたXMLデータへの選択的アクセスを可能にするための、特権(複数可)を定義する暗号キー情報に基づいた能力(複数可)を含む。
いくつかの実施形態が、XMLデータの暗号化に関連して説明されるが、任意の数学的変換、または、XMLデータの曖昧化が使用されうる。例として、一実施形態では、XMLデータは、複数の異なるストレージ場所に渡ってXMLデータを分散させる、実質的に推測できないデータ分散アルゴリズムによって分散される。マップが維持され、アクセスがそのマップに対して許可される場合、そのマップは、それに対して要求側エンティティが特権を有するデータの関連部分の再構築を可能にする。この点について、暗号化に関連して本明細書で説明される実施形態は、よって、アクセス特権なしにデータを隠す方法で、データを曖昧化するか、または他の方法でエンコードする、任意のアルゴリズムまたは数学的変換に一般化されうる。
能力(複数可)は、暗号化されたXMLペイロードデータまたは暗号化されたXMLタグに選択的にアクセスするための暗号トラップドア(複数可)を含む、トラップドアデータを含みうる。暗号化されたデータは、暗号化されたXMLペイロードデータまたは暗号化されたXMLタグの解析から形成された、補助の暗号化されたメタデータを含む。例として、公開、秘密または最高秘密の機密性レベルラベルは、断片毎のベースでXMLドキュメントの各ペイロード要素に適用可能であり、XMLドキュメントの部分へのアクセスを中心とした高度に粒度の細かいポリシを達成するために、補助の暗号化されたメタデータ内に含まれうる。
もう1つの実施形態では、検索可能暗号化されたXMLデータにサブスクライブするための方法は、暗号キー情報を、サブスクライバデバイスに関連付けられた識別情報に基づいてその暗号キー情報を生成するキー生成コンポーネントから受信すること、サブスクライバデバイスによって、検索可能暗号化されたXMLデータおよび対応するタグデータのためのストレージプロバイダに暗号キー情報を送信することを含む、検索可能暗号化されたXMLデータおよび対応するXMLタグデータのサブセットを要求すること、および、暗号化されたXMLデータおよび対応するXMLタグデータのサブセットを、暗号キー情報内で定義された能力によって可能にされたように暗号化解除することを含む。
暗号化されたXMLデータのXML断片毎に、対応する暗号化されたXMLデータの機密性のレベルを表すXMLタグデータを暗号化解除することができ、能力が、その機密性のレベルを有するデータへのアクセスを可能にするかどうかを、判定することができる。これには、オープンなアクセス特権を有する公開レベルの機密性、または、ポリシに一致して定義されたように、それほどオープンではない秘密レベルの機密性が含まれる。
この方法は、暗号化されたXMLデータおよび対応するXMLタグデータの正確なサブセットが、要求側と一致するサブスクライバデバイスによって受信されることを、検証することを含みうる。検証することの一例は、データ保有の証明(複数可)(Proof(s) of possession)を行って、正確なサブセットがサブスクライバデバイスによって受信されることを証明することを含む。この方法はまた、暗号化されたXMLデータおよび対応するXMLタグデータのサブセットのコンテンツが、暗号化されたXMLデータおよび対応するXMLタグデータのサブセットを受信することに先立って削除または修正されなかったことを、確認することをも含みうる。確認することの一例は、取得可能性の証明(複数可)を行って、コンテンツへの干渉がないことを証明することを含む。他のオプションの特徴の中でも、暗号化されたXMLデータまたはキー情報へのアクセスを要求するとき、サブスクライバデバイスに関連付けられた資格情報を匿名にすることを適用することができる。
もう1つの実施形態では、拡張マークアップ言語(XML)データを発行するための方法は、暗号キー情報を生成する分離したキージェネレータから受信された暗号キー情報に基づいて、検索可能暗号化アルゴリズム(複数可)に従ってXMLデータを暗号化して、暗号化されたXMLタグ情報を含む暗号化されたXMLデータを形成すること、および、暗号化されたXMLデータを、暗号化されたデータのストレージのために、ネットワークサービスプロバイダへ送信することを含んでもよく、暗号化されたデータは、要求側デバイスの識別情報に基づいて要求側デバイスに付与された、選択された特権の遅延バインディングによって、選択的にアクセス可能である。暗号化することは、XMLデータの暗号化を行う発行側デバイスの識別に基づいて暗号キー情報を生成する、分離した制御の領域内で実行するキージェネレータから、暗号キー情報を受信することを含みうる。
もう1つの実施形態では、拡張マークアップ言語(XML)データにサブスクライブするための方法は、サブスクライバデバイスによる、暗号化されたXMLタグを含む、検索可能暗号化されたXMLデータのサブセットを求める要求に応答して、暗号キー情報を、そのサブスクライバデバイスに関連付けられた識別情報に基づいてその暗号キー情報を生成するキー生成コンポーネントから受信すること、および、暗号キー情報内で定義された、そのサブスクライバデバイスに付与された特権に応じて、暗号化されたXMLデータのサブセットを暗号化解除することを含む。
様々な技術は、サブスクライバデバイスによって、暗号化されたXMLデータのサブセットのデータ項目に関して、正確なデータ項目が受信されるという証明を要求することを含んでもよく、要求することは、サブスクライバデバイスによって要求された、暗号化されたXMLデータのサブセット内のデータ項目が正確であることを、サブスクライバデバイスに証明する情報を受信することを含みうる。様々な技術は、暗号化されたXMLデータのサブセットが、サブスクライバデバイスによる要求に先立って干渉されていないという証明を要求することを含んでもよく、要求することは、暗号化されたXMLデータのサブセットが、サブスクライバデバイスによる要求に先立って干渉されていないことを、サブスクライバデバイスに証明する情報を受信することを含みうる。
さらにもう1つの実施形態では、システムは、選択的にアクセス可能な暗号化されたXMLペイロードデータ、および、暗号化されたXMLペイロードデータに対応する、対応する暗号化されたXMLタグデータを格納する、データストア(複数可)を含み、サブスクライバは、暗号化されたXMLペイロードデータまたは暗号化されたXMLタグデータのサブセットへのサブスクリプションを要求し、第1の独立エンティティは、そのサブスクライバに関連付けられた識別情報に基づいて暗号キー情報を生成し、第2の独立エンティティは、第1の独立エンティティによって生成された暗号キー情報に基づいてサブセットの暗号化解除を行う。このシステムは、サブスクライバによる要求を取り扱うために、暗号化されたXMLペイロードデータまたは暗号化されたXMLタグデータのサブセットへの選択的アクセスを提供する、ネットワークサービスをさらに含む。このシステムは、暗号化されたXMLペイロードデータもしくは暗号化されたXMLタグデータのサブセットが、サブスクリプションと一致する正確なサブセットであることを検証するように、かつ/または、暗号化されたXMLペイロードデータもしくは暗号化されたXMLタグデータのサブセットが、暗号化されたXMLペイロードデータもしくは暗号化されたXMLタグデータのサブセットへの選択的アクセスに先立って、承認なしに改変もしくは削除されていないことを確認するように構成されうる。
もう1つの実施形態では、システムは、XMLデータおよび対応するタグデータを発行するため、または、XMLデータおよび対応するタグデータにサブスクライブするためのキー情報を生成するキージェネレータから独立して実装された、暗号技術プロバイダによって少なくとも部分的に配布された暗号コンポーネントであって、キージェネレータによって生成されたキー情報に基づいて検索可能暗号化/暗号化解除アルゴリズム(複数可)を行うように構成されたプロセッサを含む、暗号コンポーネントと、暗号コンポーネントによって暗号化されたXMLデータまたは対応するタグデータに対するネットワークサービスを実装するように構成されたプロセッサを含む、キージェネレータおよび暗号コンポーネントから独立して実装された、ネットワークサービスプロバイダとを含む。キー情報は、「遅延バインド」された能力情報を含み、それにより、最新のアクセス特権が、XMLデータまたは対応するタグデータへの所与のサブスクライバに付与される。
これらおよび他の様々な例示的、非限定的な実施形態およびシナリオのさらなる詳細は、以下で提供される。
ラッパ複合を通じた確認可能な信頼
背景において示唆したように、サービス組織によって所有されたリモートサイトでの機微な企業データの維持は、そのデータを、プライバシー侵害からデータ損失に及ぶリスクにさらす可能性がある。本明細書で様々な実施形態について説明されるように、データのための数学的変換技術を含む、ネットワークまたはクラウドデータサービスは、その中でデータが格納、処理、アクセスまたは取得されうるコンテナ(複数可)からデータ保護要件を切り離す方法で、信頼を複数のエンティティに渡って分散させて単一データ危殆化点を回避する方法で提供される。一実施形態では、アクセス情報ジェネレータ、数学的変形技術プロバイダ、および、クラウドサービスプロバイダは、それぞれ分離したエンティティとして提供され、データの発行者がデータを機密として(例えば、暗号化された状態で)クラウドサービスプロバイダに発行するための信頼できるプラットフォームが可能となり、サブスクライバの能力に基づいて、承認されたサブスクライバに対して、変換されたデータへの選択的アクセスが可能となる。複数の変形ラッパまたはレイヤは、データ、メタデータまたは両方を全体的または部分的に変換して、データ、メタデータまたは両方の一部または全部の数学的変形(例えば、暗号化する、ストレージに渡って分散させる、曖昧化する)を行い、または、他の方法でそれらに対する可視性の欠如を導入することができる。
本開示の様々な実施形態は、十分に信頼されないサーバ、サービスまたはクラウド上のデータのストレージを含み、または、十分に信頼されないことがある制御の領域を通じてデータを交換する、アプリケーションを有する、ラッパ複合と呼ばれる技術のファミリを通じて、確認可能な信頼を提供する。データ上のラッパまたはエンベロープに適用されて、データのセキュリティおよびプライバシーに対する高レベルの信頼の確立を容易にすることが可能である、暗号技術または「デコレーション」のいくつかの他の例には、限定されないが、サイズ保存暗号化、検索可能暗号化、適用の証明(複数可)、ブラインドフィンガープリント、取得可能性の証明(複数可)などが含まれる。本明細書の実施形態のいくつかでは、候補データは、「コンテンツ」と呼ばれる。
確認可能な信頼は、限定されないが、暗号化、署名、暗号ハッシングおよびインタラクティブ証明のための暗号技術が含まれうる技術を通じて、匿名性、プライバシーまたは整合性など、保証を提供するための能力である。関連付けられたクラスの適用可能な暗号および他の技術による、他のクラスの保証がある。解説を容易にするため、我々は、以下のテキストにおいてすべてのこれらの技術を「暗号」と称する。
コンテンツまたはデータを保護するため、かつ、確認可能な信頼を提供するための、多数の従来の暗号および他の方式は、受信者または閲覧者が適切なキー、または、アクセスを得るための他の機構を有することを必要とする、「全か無か」の手法に依拠していた。
新生の方法およびシステムは、「選択的不透明性」を提供することができ、このコンテンツへのアクセスを有するパーティは、そのコンテンツにおいて制限されたアクションを行うための委任された能力を備えることができる。これらのアクションは、キー、または、役割もしくはクレームの保有の証明を含む基準に基づいて、選択的アクセスを有することを含みうる。
これらのアクションはまた、そのコンテンツの制限された表示を持ち続けながら、検索、ルーティングおよびワークフローを含む可能性がある、そのコンテンツにおける様々な範囲のアクションを行うための能力をも含んでもよい。このような技術の一例は、研究文献において「検索可能暗号化」と呼ばれる。
以下の解説において概略が述べられる、シナリオ多様性、暗号法もしくはシステムにおける限定を含み、または、異種のポリシおよび関係者の確認可能な信頼要件によって複雑にされた、複数の理由の組み合わせがある。既存の技術および実装は、システムおよび操作上の柔軟性および動的構成を提供する方法で、これらの多様な必要性を満たすことができない。我々は、短命でありうる疎結合のラッパを説明し、あらゆるシナリオの必要性に基づいて、サポートの、ラッパの動的な追加および除去を提供する。
図1は、一実施形態における、複合ラッパを採用するストレージ内でデータ、メタデータまたは両方を発行またはサブスクライブするためのシステムを例示するブロック図である。分散された信頼プラットフォームによれば、数学的変形コンポーネント(複数可)100は、アクセス情報ジェネレータ(複数可)102を含む。アクセス情報は、隠されたかまたは他の方法で分散されたデータ、暗号キー情報、または他の能力の部分を再構築するためのストレージマップでありうる。また、含まれるものは、数学的変形技術プロバイダ(複数可)104である。コンポーネント(複数可)100は、発行者またはサブスクライバによってデータを発行110またはサブスクライブ112するために使用される。ネットワークサービスプロバイダ(複数可)120は、ストレージ130に格納されたデータ150および/またはメタデータ152とのインタラクションを容易にする。この点について、ラッパ(複数可)140は、データ150、メタデータ152または両方に適用可能であり、これらのラッパ140は、システム内の変更または命令に対応するように、生成、再生成、削除、拡大、改変、または他の方法で変更されうる。
図2は、一実施形態における、複合暗号化ラッパを採用するストレージ内でデータ、メタデータまたは両方を発行またはサブスクライブするためのシステムを例示するブロック図である。分散された信頼プラットフォームによれば、数学的変形コンポーネント(複数可)200は、暗号キージェネレータ(複数可)202を含む。また、含まれるものは、暗号技術プロバイダ(複数可)204である。コンポーネント(複数可)200は、発行者またはサブスクライバによってデータを発行220またはサブスクライブ222するために使用される。ネットワークサービスプロバイダ(複数可)220は、ストレージ230に格納されたデータ250および/またはメタデータ252とのインタラクションを容易にする。この点について、クリプトラッパ(複数可)240は、データ250、メタデータ252または両方に適用可能であり、これらのラッパ240は、システム内の変更または命令に対応するように、生成、再生成、削除、拡大、改変、または他の方法で変更されうる。
図3は、同心複合ラッパの例示的な例であり、外側ラッパ2 330は、内側ラッパ1 320をオーバーレイし、その両方は、データ300、メタデータ310または両方を数学的変形(例えば、それらの可視性を低減)する。ラッパ320および330は、データ300、メタデータ310または両方の全部を保護し、ラッパ1 320は、内側ラッパとして、ラッパ2 330、外側ラッパを通じた可視性のために適した能力が提示されるまで、可視ではない。
図4は、側方ラッパを有する複合ラッパの例示的な例である。側方ラッパ420および430では、データ400、メタデータ410または両方の全部が、関連付けられた変形によって不可視にされるとは限らない。むしろ、データ400、メタデータ410または両方内の所望の部分または項目が曖昧化されるのに対して、他の部分は可視のままでありうる。
図5は、一実施形態における、同心および側方ラッパを共に有するハイブリッド複合ラッパの例示的な例である。この点について、図5は、一実施形態において組み合わせられた図3および4のラッパの一例であり、いくつかのラッパ320および330は、データ500、メタデータ510または両方の全部をラップし、いくつかのラッパ420および430は、データ500、メタデータ510または両方の部分(隣接する必要はなく、任意のサブセット定義に適合可能)をラップする。この点において、どのラッパが最初にまたは互いに独立してアンラップされるかの階層は、階層を維持する任意のデータ構造によって表現されうる。
図6は、一実施形態における、データに関連付けられたアクセスログメタデータに関連した、側方ラッパの使用のブロック図である。データ600がアクセスログ602(例えば、来歴データ)を含みうる、側方ラッパの使用の一例として、側方ラッパ620は、あるデータ600を保護し、側方ラッパ622は、アクセスログ602を保護する。したがって、データの全部が所与のラッパによって保護されるわけではなく、異なる標準がデータ項目の異なる部分に適用可能であり、またはまったく適用されない可能性がある。図6は、加えて、追加の完全ラッパ630が、追加の保護のレイヤとして、部分ラッパ620、622上に適用可能であることを例示する。
図7は、どのようにデータが削除されたかがメタデータ内でエンコードされる、一実施形態における、アクセス情報を破棄または細断することによるデータの有効な削除のブロック図である。この点について、データ700またはメタデータ710または両方の上のラッパ720をアンラップするのではなく、このようなシステムにおいてデータを削除するための1つの方法は、アクセス情報ジェネレータ(複数可)702によって生成されたアクセス情報を単に破棄または細断することであり、それ以後、データ700またはメタデータ710には、そのような情報なしにアクセスすることができない。しかし、システムが、削除について、いつまたはどのように削除が起こったかについてのある情報を記録することを選択する場合、情報はなお、データ700、メタデータ710または両方について保存されうる。
図8は、データがスクランブルをかけられ、そのスクランブリングについての情報が複合ラッパの、ラッパの内側または外側のメタデータ内に記録される一例を、追加として例示するブロック図である。この例では、ラッパ(複数可)820によって保護されたようなデータ800、メタデータ810または両方には、スクランブルをかけることができ、使用されたアルゴリズムについての情報を、メタデータ810もしくは外部メタデータ812に追加し、または、データに何が起こったかの機関の知識のために、ラッパ(複数可)820のうち1つにおいてエンコードすることさえできる。したがって、アクセス情報ジェネレータ(複数可)802によって生成されたアクセス情報を破棄すること、または、スクランブリングは共に、システム内のデータを有効に削除するために使用されうる。
図9は、ラッパの除去の代替として、ラッパによって曖昧化されたデータ、メタデータまたは両方を表示する能力を分配する結果となる、ポリシの変更のブロック図である。この例では、ラッパ保護にもかかわらず、保護されたデータ900、メタデータ910、または両方を「保護解除」するための方法が与えられる。例として、ポリシ変更904に基づいて、アクセス情報ジェネレータ(複数可)902は、要求側エンティティへのコストなしに、ラッパ920を通じて、データ900、メタデータ910または両方の全部または一部を表示するための能力を単に生じる。これは、コストの高いアンラップオペレーションが行われる必要がないように、既存のアーキテクチャを活用する。
図10は、命令または状態の変化に基づいた、ラッパの自動的なアンラップ、生成、改変、再生成または拡大のブロック図である。この例は、状態1040の変化、または、ネットワークサービスプロバイダ1030からの明示的な命令が、データ1000、メタデータ1010または両方を保護するラッパ1020への変更を自動的にトリガする可能性があることを例示する。例として、データがある年齢に達するとき、ラッパは自動的にアンラップされうる(例えば、その関連性が満了した後、再度、平文でのデータ)。もう1つの例として、例えば、データに関連(例えば、機密)があるようになるとき、ラッパ1020が生成されうる。ラッパ1020はまた、危殆化が発生したと信じる理由がある場合、異なるエンコードにより再生成されてもよい。もう1つの例として、ラッパは改変可能であり、例えば、異なる変換を、ラッパ、または、使用された数学的変換の異なるパラメータにおいて使用することができる。
図11は、1つまたは複数の側方ラッパ変形を使用して、データの編集のタスクを行う、例示的な例である。例として、編集側方ラッパ1120は、データ1100から会社の名称または日付を編集するために使用可能であり、または、一定のキーワードが、メタデータ1110から編集されうる。もう1つの例として、データは編集ラッパ1120により編集されるが、コンプライアンスメタデータラッパ1130によって曖昧化されたようなメタデータ1110内で何が編集されたかまたはいつかについての一定の情報を、データ1100内で何が編集されたかについて何かを知る必要がある者のために記録することが可能である。
図12は、一実施形態における、複合ラッパによってラップされたような、データ、メタデータまたは両方をホストするための例示的、非限定的な処理の流れ図である。
1200で、データもしくはメタデータ、または両方が受信され、第1の基準のセットに基づいてデータ、メタデータまたは両方のための第1のラッパを定義する第1の数学的変換、および、第2の基準のセットに基づいてデータ、メタデータまたは両方のための第2のラッパを定義する第2の数学的変換から形成された、複合ラッパによって保護される。
1210で、複合ラッパによって保護されたようなデータ、メタデータまたは両方へのアクセスを求める要求が、その要求に含まれた能力のセットに基づいて受信される。1220で、能力のセットに基づいて、データ、メタデータまたは両方のためのアクセス特権(複数可)が、第1のラッパを通じた可視性を評価すること、および、第2のラッパを通じた可視性を独立して評価することに基づいて、決定される。1230で、潜在的にシステムの状況が変化し、または、変更を明示的に要求する命令が受信される。1240で、状況変化または命令に基づいて、新しい基準のセット(QoS要件、コンテンツまたはメタデータのタイプ、コンプライアンス要件など)に基づいて、第1のラッパもしくは第2のラッパが変更、削除もしくは拡大され、別のラッパが生成され、ラッパが削除されるかもしくは元に戻され、同じかもしくは他の数学的変形によるラッパが再生成され、または、第1のラッパもしくは第2のラッパを管理するポリシが変更される、などとなる。
本明細書で説明される技術の多数は、保護されるべき実際のコンテンツを含む「内側」ペイロード、および、研究文献において「キーワード検索による公開キー暗号化」と呼ばれるものなど、ブラインド検索技術が容易にできる内側データを記述する、暗号化されたインデックスを含む「外側」ペイロードを含む可能性がある、保護の階層に依拠する。
実際には、この「内側」および「外側」の言及は、文字通りの含有を暗示することがあり、「内側」ペイロードへのアクセスには、暗号化解除などの技術を通じて、「外側」ペイロードまたはラッパをロック解除することが必要となる。しかし、これはまた、実際の含有はないが、外側ラッパをデコードしなければ、内側ペイロードを探し出す、または再構成することが困難である、仮想概念でもありうる。
前文で示唆されたこの困難さは、暗号技術によって導入された計算の複雑性か、もしくは他の数学的変形によるものであり、または、所有権および制御の領域を通じた内側および外側コンテンツの分離を提供するシステム技術による可能性があり、または、分散および再構成を最適化するシステム技術に結合された暗号分散技術を活用する組み合わせでありうる。
確認可能な信頼を提供するためにラッパの階層を作成するためのいくつかの理由があり、それらの理由のいくつかが上述された。これらには、組織階層など、現実世界において見られる自然な階層に基づいて、選択的不透明性を提供することが含まれる。他の理由には、現実世界の実装がより容易にできる複合物を提供する方法で、異種の暗号技術を相補的プロパティ暗号またはシステムプロパティと組み合わせる能力が含まれる。
確認可能な信頼のための要件を修正する時間的または空間的イベントに対処するラッパを追加または除去するが、内側ラッパまたはペイロードが変わらないままであることを必要としない方法で行うための多数の他の理由がある。
時間的イベントは、これらのラッパを生成するために採用された暗号技術が、ハードウェア、ソフトウェアまたは科学における進歩により、保証を提供するそれらの能力を弱めていたかもしれないという推定または仮定を含みうる。システムは、スケジュールによって、オンデマンドで、または他のトリガによって、新しいラッパを生成することによって、この障害を受け入れて、確認可能な信頼のより長期のプロビジョニングを促進するように構築されうる。
空間的イベントには、おそらくガバナンス、法的、規制のコンプライアンスを含む理由のために、異種の暗号技術を選択するための理由がありうるコンテンツを取り扱っている複数のパーティに渡る、保有または所有権の移転が含まれることがあり、主権エンティティおよび管轄区域の境界を超えるとき、特に注目すべきである。システムは、能力をゲートウェイに、または、ラッパに直接、または、あるハイブリッドな方法で埋め込み、ラッパが新しい保有者または所有者のルールを反映するポリシに基づいて具現化または希薄にされるようにするように構築されうる。
文字通り、階層的識別に基づいた暗号化、属性に基づいた暗号化、および述語(または関数の)暗号化を含む、自然な階層をモデリングすることができる、確認可能な信頼を提供することを試みる技術がある。全準同形写像(full homomorphism)など、暗号技術プロパティを通じた仮想的な方法で、ラッパを具現化する本質的な能力を提供する技術もある。これらの技術の存在下で、確認可能な信頼からシステムまでに及ぶ可能性のある他の理由のため、上記のようなラッパを通じて構成する必要があり続ける可能性がある。
ラッパを構成するための暗号の理由には、より強力な保証またはアクセスに対するより細かい粒度の制御を提供する内側ラッパ、および、敵対者に対する情報漏れはより少ないが、より粗い粒度の制御およびより弱い保証を提供する外側ラッパを通じて、構成可能である技術に一致する必要性が含まれる。したがって、この複合物は、保証および制御のより最適な混合を提供する。
システムの理由には、性能およびスケールが含まれうる、変化するプロパティを有する技術に一致する必要性が含まれうる。そのようなシナリオでは、外側ラッパは、機能性におけるある限定があるにもかかわらず、より高いレベルの性能およびスケール、ならびに、おそらくはより低い性能およびスケールを有する、拡大されたかまたは相補的な機能性を有する内側ラッパを提供する技術から、構築可能である。
実際には、新生の暗号技術は、ますます高まるレベルの能力を提供するが、性能およびスケールを犠牲にする場合が多い。また、これらの新生の技術においては、典型的には、これらの新生の技術が解析、精緻化および規格化されるにつれて経時的に消失する、信頼の欠如もある。また、経時的に、我々は、これらの技術を、着実により効率的なソフトウェアもしくはハードウェアの方法、またはそれらの組み合わせで実装することを学習する。
ラッパは、内側または外側ラッパのいずれかが、任意の単一のラッパを実装する技術における既知もしくは未知の弱点もしくは欠陥、または、本質的な特徴の欠如を補償することができる、「セイフティネット」を提供する方法で、これらの新しい技術の楽観的な活用を容易にする。例えば、外側のラッパは、キーワードプライバシーおよび高性能を提供することができるが、より粗い粒度のアクセス制御を有するか、またはそれがないことがある。このことは、キーワードプライバシーを提供しないが、より細かい粒度のアクセス制御を、場合によってはより高い性能およびスケールという不都合を有して達成する、内側ラッパにより補足されうる。
外側ラッパは、検索、ルーティングまたはワークフローについて選択を行う可能性がより高い点で、「誤検知」について最適化されるようになる場合が多い。このことは、現実世界の組織において、より高い、または、許可の階層を含むことを反映する可能性がある。しかし、対応する内側ラッパは、この結果を階層内の内側レイヤのために特化するようになる。例えば、外側ラッパは、ある大学の数学部にとって適したものとなるすべての結果の成果を得る可能性があるが、内側ラッパは、整数論の数学者にとって関心のあるものとなる結果のみにおいてフィルタリングする可能性がある。
他の理由は、ラッパのために存在する。これらには、シナリオ特有の確認可能な信頼保証を提供する必要性が含まれる。例えば、特定のキーワードの存在の知識から保護することが重要ではないシナリオのファミリが存在することがあり、場合によっては、その理由は、これらのキーワードのドメインが、辞書またはキーワード推測攻撃を計算上、非現実的にするために十分大きいため、または、これらのキーワードの漏れが、そのシナリオによって低く見なされるリスクであるためである。
その一方、これらのキーワードが高度に機微である他のシナリオのファミリが存在することがあり、データ所有者(または、所有者のビジネス、ソーシャル、サポートまたはコンシューマネットワーク)は、そのデータの現在の保有者(サーバ、サービス、クラウドまたは他のパーティなど)が操作を加えているこれらのキーワードについてさらに何かを学習することなく、あるアクションを行って、他のオペレーションを検索すること、次いで取得もしくはルーティング、または行うことを含む、アクションを行うことを望む。
さらに、多数の現実世界のシナリオのファミリでは、コンテンツは、「高度に機微な」から「破棄可能」までに及ぶ連続体に参加する、複数のコンポーネントを含む複合物である。典型的には、任意の現実世界の組織がこれらの異種の要件を反映し、これらの異種の要件は、格納、交換、または共同して操作を加えられる複合コンテンツにおいて反映される。
さらに、複数のビジネスが組織的な、規制のコンプライアンス、主権エンティティまたは他の境界に渡って共同する多数のエクストラネットシナリオを含む、これらの共同シナリオの多数では、パーティによってアクセスされているコンテンツの分類は、所有者によって、所有側パーティとアクセス側パーティの間の現在のビジネスもしくは契約上の関係、または、履歴および信頼に基づいて、連続体内のあるポイントにマップするように見なされるようになる。さらに、この関係およびマッピングは、短命になる可能性があり、おそらく、特定のビジネスのトランザクションまたは社会的なインタラクションの粒度まで下がりうる。
暗号およびシステムの技術のあらゆる予測可能な状態では、確認可能な信頼要件、また、性能およびスケールを含むようになるシステム要件、および、以前に示唆されたものを含みうる他の要件をすべて満たす、複数のシナリオに渡る要件の範囲を満たすようになる、単一のソリューションを設計することは、非現実的であると思われるであろう。これにより、これらのソリューションをスケールで配信する複雑性および結果として生じるコストにより、高い開発、保守および操作上の負荷をサーバ、サービス、クラウドおよび他の配信に課す可能性があり、通常は、典型的にはエンドユーザへ転送される商品のコストが高くなることにつながる。
本開示で概略が述べられるものを含む技術は、暗号および/またはシステムの観点から最適であると見なされる、ソリューションの複合の候補である。このような複合は、適切な候補ビルディングブロックサービスからの、ハイブリッドサービスの自動化された複合を含みうるが、これは、操作またはエンジニアリングの介入を含みうる、半自動化された複合を排除するものではない。これらの場合、ソリューションは、最適なソリューションをシナリオまたはシナリオファミリに配信する、相補的システム、暗号および他の特徴を提供するラッパから構築される複合物を具現化する能力を活用してもよいが、そのシナリオまたはシナリオファミリによって必要とされない特徴または能力のために、望ましくは実装または操作の重い負担を課さない方法で行うことがある。
ラッパを実装するための追加の理由には、コンテンツへのアクセスを制御するための正当な必要性を有する異種の個人または組織の要件、必要性およびポリシの間を仲介する必要性が含まれる。これは、共通のビジネスシナリオであり、指定されたセットのパーティは、あるコンテンツへのアクセスをロック解除することに共に同意するようにならなければならない。一例には、臨床試験ファミリのシナリオが含まれることがあり、コンテンツは、おそらくFDAおよびHIPAAによって規制される可能性があり、所有権は、製薬スポンサ(Merckなど)およびデータ所有者(Microsoft HealthVaultなど)など、複数のパーティの間で共有されうる。製薬スポンサは、研究の結果として生じた知的財産を保護する必要性により権限を行使することがあるのに対して、HealthVaultは、その臨床試験に関与中であるそれらの顧客の匿名性およびプライバシーを保護する必要性により、権限を行使することがある。
争いのための仲介、調停および仲裁のための暗号、システムおよび人により支援された技術があり、その理由は、そのような争いが一貫していない、矛盾する、または漠然と定義されたポリシにより生じることが多いからである。これらの暗号技術には、秘密共有を活用するものが含まれ、実装には、多機関キーまたは能力ジェネレータを展開するものが含まれる。しかし、これらの技術は必ずしも、確認可能な信頼、柔軟性および表現性、または、システム性能およびスケールの正確な混合を満たすとは限らない。たとえそれらのパーティの潜在的に異種の矛盾する要件のすべてを満たす、単一の技術および結果として生じる実装があったとしても、単一の実装または展開は、おそらく、他の関係者による、技術、実装者またはホスト側パーティへの信頼の欠如により、信頼されないものとなる場合がありうる。
そのような状況では、ラッパは、候補ソリューションであり、このソリューションを、他の自動化された技術により補足し、または、手動の介入を通じて、おそらく、電子的または手動のワークフローを通じて補うことができる。このような複合ソリューションは、ビジネスネットワーク内で特定のパーティまたはパーティのセットに制御のレイヤを提供するようになる、ラッパを活用することができる。そのラッパは、オプションとして、問題のパーティまたはパーティのセットによって信頼される技術、実装または展開であってもよい。このラッパは、おそらく遅延バインディングを実装するため、または、満了もしくは失効をサポートするため、または、監査ログに確認可能な信頼を提供するために、リモートクラウドとのインタラクティブなプロトコルに携わってもよい。または、このラッパは、アクセス資格情報およびあるアクセス可能ポリシに基づいた適切な方法で、アクセスを許可、ブロックかつ/または記録するようになる、オフラインプロトコルを実装してもよい。
ラッパを通じて確認可能な信頼を実装するための他の理由には、キー、パスワード、パスフレーズ、証明書、または、他の知識もしくは所有権の証明など、資産またはアーティファクトを管理する必要性が含まれうる。典型的には、暗号システムは、可用性、スケーラビリティ、待ち時間、ならびに、障害の存在下でのデータ損失および回復時間上限のサービスレベル契約の必要とされたレベルを提供する方法で、これらのアーティファクトへのアクセスのために、サーバ、サービスおよびクラウドに対して生成、管理、バックアップ、アーカイブ、保存、配列、安全な細断、そのためのフォレンジックの提供、およびサポートを行う必要性により、追加のシステム負荷をかけることがある。
これは、これらのサーバ、サービスまたはクラウドに対する信頼のレベルを提供する必要性により、さらに悪化される。これは典型的には、PKIなど、信頼の階層を通じて行われる。これらのシステムをさらに安全にして、サーバ、サービスまたはクラウドが、いかなる方法で危殆化される場合でも、おそらく偽装および中間者攻撃を通じて攻撃を開始することが許可されないようにする必要がある。
そのような状況では、ラッパは、アーティファクトのアクセス、認証および取得を含む理由のために、インタラクティブなプロトコルのシステムオーバーヘッド、複雑性、待ち時間、および、WANのもろさを緩和することができる方法で、相補的能力を提供するリモートサーバ、サービスまたはクラウドと適切に組み合わせ可能な候補ソリューションを提供する。このようなラッパの一実施形態では、外側ラッパは、内側ラッパへのアクセスのために必須のアーティファクトを保持することができる。結果の1つには、これらのアーティファクトを格納およびアーカイブする必要性がなくなることが含まれることがあり、その理由は、これらのアーティファクトが事実上、含有により、または、有効なシステムエンジニアリングを通じて、ペイロードの一部であるためである。
このようなラッパがリモートサーバ、サービスまたはクラウドとのインタラクティブなプロトコルを開始して、満了もしくは失効を実装し、または、監査またはフォレンジックなどの目的のために、監査ログに確認可能な信頼を提供することがある、ハイブリッドなソリューションを提供する機会がある。このハイブリッドなソリューションが実装される方法は、サーバ、サービスまたはクラウドにかけられた負荷を最適化することができ、または、ネットワークの問題の存在下で動作するために最適化されうる。
これらおよび他の場合、ラッパは、ビジネスネットワーク内で確認可能な信頼を容易にする方法で、オプションのインタラクティブなプロトコルのために、技術、実装およびリモートサーバ、サービスまたはクラウドを選択している可能性がある。ラッパは、線形階層、または、ツリーもしくはグラフなど、より複雑な構造を実装するように設計されうる。これらの構造は、実際の含有であってもよく、または、上述のように仮想であってもよい。そのような複雑な構造は、しきい値関係、オーバーライドおよびエスクロー、ならびに、おそらく例外および手動のオーバーライドの組み合わせを実装することがある、柔軟かつ表現豊かなデシジョンツリーを容易にすることができる。
多機関キーまたは能力ジェネレータなどのシステムを通じて、同等の能力を提供することができる、複数の暗号技術が存在する。これらの技術およびシステムは、いかなる複雑な現実世界のネットワークでも対処されなければならない商業的、社会的、政治的、主権的および他の複雑な必要性のすべてによる、ビジネスネットワーク内の複数の関係者の異種の必要性を満たす、複合システム内で、別個のラッパの候補として見なされうる。
そのような複雑な現実世界のネットワーク、エコシステムおよび市場は、最初の関係者のセットから組織的に成長することが多く、この最初の関係者のセットは、増え続ける関係者のネットワーク効果を通じて、引き続き成長する。他のネットワークは、トップダウンで、おそらく標準または認可を通じて設けられる。しばしば、既存のネットワークは、おそらく組織的に成長させられ、おそらく争いによるか、または、外因的な影響により、複数のサイロに分裂するようになる。よって、そのネットワーク内で本質的な要件である信頼の短命の性質により、おそらく故意に、合体または分離する能力を有する、複数のネットワークの「森」をサポートできることがしばしば望ましい。
本開示および様々な実施形態は、ラッパを活用するための多数の理由のうちいくつかの概略を述べる。現実世界における適用は、様々な範囲の確認可能な信頼およびシステムの必要性に対処し、上記で概略が述べられたものを含む、モジュールの概念およびビルディングブロックに基づいて、適切な複合および拡張を通じて、多数のシナリオをサポートする。
解説を容易にするため、および教育的理由のため、以前のテキストは、時としてある省略形を使用し、または、以下に記載されるものを含む暗黙的または明示的仮定を行う。
任意の形式の確認可能な保証を提供する技術、おそらく、境界、制御の領域および空隙を実装するシステムソリューション、または、計算的に困難な問題に依拠する暗号および類似の技術は、「クリプト」、「暗号法」、「暗号ソリューション」、または他の類似もしくは同等の語句で総称される。しかし、不確かさを避けるため、検索可能暗号化などの暗号技術は、決して必要とはされない。任意の数学的変換、エンコード、難読化などを使用することができ、データを隠す、または、再構築マップがなければつなぎ合わせることができない方法でデータを分断するなど、データを保護するための他の技術も同様である。署名もしくは暗号化などの演算、または、ハッシングなどの技術は、匿名性、機密性、整合性、プライバシーおよび非否認など、他の用語よりも、一般的な使用では曖昧でない傾向がある。
そのような相互交換における他のパーティには、商業的シナリオのためのエクストラネットまたはビジネスネットワークなど、関係者が含まれうる。または、これらは、個人、友人および家族のためのコンシューマ、ソーシャル、サポートネットワークであってもよい。または、これらは、別個の主権エンティティまたは管轄区域にまたがっている個人または組織のネットワークであってもよい。これらの主権エンティティまたはそれらの代理人は、容易にすることもしくは関与すること、または両方における関係者であってもよく、NATOなど、それら自体のネットワークを形成してもよい。
構成可能な方法で、確認可能な信頼を最適化するためのラッパを通じて複合を実装するための方法および装置は、単に「ラッパ」と呼ばれる。実装は、ソフトウェア、ハードウェアまたは他の手段を活用して、オフラインプロトコルを実装してもよく、オフラインプロトコルは、空間的または仮想コンテナを作成する。他の実装には、リモートサービスとのインタラクティブなプロトコル、または、オフライン操作およびインタラクティブなプロトコルのある組み合わせが含まれうる。
人の、または自動の、または他のパーティであってもよいサーバ、サービス、クラウド、ワークフローエンドポイントが含まれうる、トランザクションまたはインタラクティブなプロトコルを容易にすることに関与するパーティは、「クラウド」と呼ばれる。クラウドの実装には、公開、プライベート、外部委託、専用またはマルチテナントのバージョンが含まれうる。
信頼できるコンピューティングおよびデータサービスのためのコンテナレスデータ
信頼できるプラットフォームの技術を使用して、データ(および、関連付けられたメタデータ)は、データを保持するコンテナ(例えば、ファイルシステム、データベースなど)から切り離され、様々な実施形態において説明されるように、信頼プラットフォームの暗号キージェネレータによって付与されたキーなど、提示された能力により洞察される数学的複雑性の覆いを課すことを通じて、データがそれ自体の管理人としての機能を果たすことができるようになる。データまたはそのデータのサブセットの共有またはそれへのアクセスは、実施のために特定のコンテナを必要とせずに、信頼を保存かつ拡張する方法で、容易にされる。データに適用される検索可能暗号化技術など、数学的複雑性は、その中に特定のビットが記録されるコンテナまたはハードウェアにかまわずに、データを保護し、すなわち、データは、コンテナレスで、またはコンテナにかまわずに保護され、よって、コンテナセキュリティの危殆化に基づいて攻撃にさらされることはない。特定の「金庫」が破られる場合、コンテンツはなお保護される。
図13は、本明細書で説明されるような、安全、プライベートおよび選択的にアクセス可能なネットワークデータサービスの1つまたは複数の実施形態を提供するための全体的な環境のブロック図である。例示のため、複数の企業1300、1302が例示されるが、これらの技術は、単一の企業または多数の共同企業にも適用可能である。様々な実施形態では、以下でより詳細に説明されるようなフェデレーション信頼オーバーレイ1330を使用して、企業1300のポリシ1310、および、企業1302のポリシ1312の実施1320は、共同努力のためのFTOインフラストラクチャ1330に基づいて共有されうる。実施1320はまた、各企業1300、1302によって別々に適用可能である。この点について、ポリシおよび実施は、信頼オーバーレイ1330に基づくように、完全に企業1300、1302の領域内であるため、クラウド1340内の実際のデータの場所、および、何の特定のコンテナ1342が使用されるかは、顧客が実際に気にかけるもの、すなわち、待ち時間、信頼性、サービス品質保証、バックアップ、取得までの時間、サイズ保証などに関して以外は、顧客の見地からは無関係になる。
したがって、信頼オーバーレイ1330によって、データを保持するコンテナからのデータの解放を認識すると、様々な実施形態では、データストレージ管理レイヤ1350は、顧客の必要性および要望に適するコンテナ内のデータストレージを最適化するために、ストレージリソースのリアルタイムの可用性およびそれらのそれぞれの特性の解析に基づいて、顧客が気にかけるものを自動的に引き受ける。ストレージ管理レイヤ1350は、破線で描かれ、その場所も重大でないことが示される。ストレージ管理レイヤ1350は通常、1つまたは複数のデータストア(複数可)1342内に格納されたデータに対して、アクセス、表示または変更を行うための暗号特権を有していないが、ストレージ管理レイヤ1350がインテリジェントなストレージ選択を行うことができるように、顧客が将来どのようにデータを使用することを望むかの理解を容易にするために、ファイルサイズまたはファイルタイプなど、メタデータの一部を公開することが望ましいことがある。例として、ストレージ管理レイヤ1350は、データがビデオであると理解するために、データについての十分な表示が与えられる場合、ストリーミングメディアのための要件を満たすメディアストア内でビデオを維持することができる。
図14は、一般的な「それ自体の管理人としてのデータ」の概念を例示するブロック図である。ユーザまたは企業の制御内のポリシおよび実施では、データおよび対応するログは暗号化され、以下でより詳細に説明されるように、ユーザに付与された特定の能力によってのみ、アクセス可能である。例として、通常、クラウドストレージプロバイダの操作スタッフなど、能力を持たないある人は、データ特権を有していないので、検出なしに表示、修正、改ざんまたは削除を行うことはできない。それ自体の管理人としてのデータでは、ポリシはデータの所有者/発行者によって設定され、アクセスは、データがどこに格納されるとしても、データ自体によって実施/保証され、コンテナ選択が不必要になる。信頼保証は、データによって実施されるが、所有者/発行者によって、サブスクライバ/顧客がデータに対して何を行うことができるかを記述することによって、制御される。
図示のように、非限定的な実施形態では、企業1420は、ユーザ1426およびそれらによる企業1420のシステムリソースの使用について、ならびに、外部ユーザ1430(例えば、モバイルワーカー)について、そのポリシ1424、および、ポリシ1424の実施1422を「所有」する。それ自体の管理人としてのデータでは、実際のデータおよび/またはログ1405は、データをクラウド1400に格納することによって、ポリシ1424および実施1422から分離可能であるが、クラウド1400の操作スタッフ1410は、検出なしに、データおよび/またはログ1405を表示、修正、改ざんまたは削除することはできない。
図15は、本明細書で説明されるような、安全、プライベートおよび選択的にアクセス可能なネットワークデータサービスの1つまたは複数の実施形態を提供するための全体的な環境のブロック図である。概して、フェデレーション信頼オーバーレイを使用して信頼を分散させる非限定的な例を例示すると、コンピューティングデバイス(複数可)1500(例えば、顧客)は、第1の制御の領域1510内であり、コンピューティングデバイス(複数可)1520(例えば、クラウドサービスプロバイダ)は、第2の制御の領域1530内であり、コンピューティングデバイス(複数可)1560は、第3の制御の領域1590内であり、暗号技術プロバイダ1580は、第4の制御の領域1595内で提供され、キージェネレータ1582は、第5の制御の領域1597内で提供されうる。コンピューティングデバイス(複数可)1500、1520、1560の各々は、プロセッサ(複数可)P1、P2、P3をそれぞれ、および、ストレージM1、M2、M3をそれぞれ含んでもよい。この点について、様々な非限定的な実施形態によって説明されるように、クラウド内で暗号化されたデータ1540を可能にするための技術は、項目1550または項目の部分がアクセス特権に基づいてクラウドから選択的に取得可能であるように提供される。この点について、解析的サービス1570のセットは、格納されるべき暗号化されたデータ1545、1547の上にレイヤとして提供可能であり、デバイス(複数可)1500からのローカルデータセット1505に基づいて、クラウド内で維持される、暗号化されたデータ1540または暗号化されたデータ1542をどこに最適に格納するべきかを、自動的に決定する。この点について、サービス1570は、CTP1580/CKG1582フェデレーション信頼オーバーレイに基づいて、データがコンピューティングデバイス1500によって取得されるとき、取得されたデータ1552または取得されたデータ1550が所与の要求のために最適なコンテナから取得されること、または、準最適の場合、これらのコンテナが自動的に切り替えられることを保証する。例として、コンピューティングデバイス1560からの現在のコンテナが顧客の必要性にとって不十分に動作中である場合、または、顧客の必要性が変化する場合、解析的ストレージサービス1570は、例えば、サービス品質要件を満たすために、データをリアルタイムで別のストレージコンテナへ移動またはコピーし、サービスをより適切なコンテナへシームレスに切り替えることができる。
図16は、本明細書で説明されるような、データがそれ自体の管理人としての機能を果たす、コンテナを管理するための処理の流れ図である。1600で、暗号化されたデータが、第1の制御の領域内の第1のコンピューティングデバイスによって、第2の制御の領域内の第2のコンピューティングデバイスから受信される。暗号化されたデータは、暗号キー情報に基づいた、検索可能暗号化アルゴリズムによる、第2のコンピューティングデバイスの定義されたデータセットのためのデータの暗号化から形成される。1610で、暗号化されたメタデータもまた受信され、暗号化されたメタデータは、データの解析、および、暗号キー情報に基づいて暗号化されたその解析の出力から形成される。1620で、暗号化されたデータまたは暗号化されたメタデータのうち少なくとも一部をどのコンテナ(複数可)に格納するべきかが決定される。1630で、事前定義された条件が満たされる場合、暗号化されたデータが格納されるコンテナ(複数可)が自動的に変更されうる。
図17は、それ自体の管理人としての機能を果たすデータの1つまたは複数の態様を例示する、もう1つのブロック図である。この点について、コンテナはセキュリティのために冗長であり、アクセスは暗号ラッパによって実施され、ポリシは、所有者/発行者によって設定され、暗号ラッパによって保証される。ラッパは、以下の様々な実施形態において説明されるように、その状況の特定のセキュリティの必要性に応じて、様々な暗号技術を含みうる。例として、例示されるように、ポリシは企業レベルで設定され、次いで、ユーザは、エントリを許可または拒否するクリプトアクセス制御によってラップされる、データへのアクセスを求める。企業監査者、セキュリティスタッフ、操作スタッフ、その他など、他のユーザは、企業で設定されたポリシに応じて、ラッパによって定義されたアクセス特権を有しても有していなくてもよい。
図17の例に示すように、企業1720は、企業アクセスポリシ1730を受けることが可能である企業スタッフ1722を有し、その企業スタッフ1722の一部は、企業アクセスポリシ1730を設定することができる。企業アクセスポリシ1730は、クラウドコンテナ1700のデータコンテナ1710内に格納されたデータ1712に行うことができるアクセス、操作、取得、検索などの方法に影響を及ぼすことができる。したがって、データ1712のユーザ1708がそのようなデータ1712にアクセスしようと試みるとき、企業アクセスポリシ1730によってガイドされるが、それから分離された様々なクリプトアクセス制御1714は、ユーザ1708による保証されていないアクセスから、データ1712を保護する。異なる企業アクセスポリシ1730は、データコンテナ1710のクリプトアクセス制御1714によって、セキュリティスタッフ1704によって行われた企業監査1702、または、クラウド操作スタッフ1706など、異なるアクセス側エンティティまたはタスクに適用されるように反映されて、アクセスが可能にされるべきであるものに可視性が制限されるようにすることが可能である。データコンテナ1710は、どこに位置してもよく、セキュリティのために冗長にすることが可能であり、アクセスは、クリプトアクセス制御1714によって実施される。この点について、企業アクセスポリシ1730は、企業所有者によって設定可能であり、クリプトアクセス制御1714によって実装されたようなクリプトラッパによって保証可能である。
図18は、データが従来のコンテナセキュリティモデルを越えることができることを例示する、それ自体の管理人としてのデータの態様を例示する、もう1つのブロック図である。この点について、本明細書で理解されるように、データはどこに位置してもよいだけでなく、所与の状況に最適である方法で、複数のコンテナにまたがるようにスライスまたは分割されてもよい。配置は、アクセス、復元性などを最適化することができ、ストレージ管理レイヤは、一貫性、バージョニング、ガベージコレクションなどを扱うことができる。
図18に示すように、企業1820は、企業スタッフ1822に適用可能なその企業アクセスポリシ1830を定義するが、データ1812はリモートで格納され、データ1812にアクセスすることを望むユーザ1810に適用可能な暗号アクセス制御1814によって保護される。システムおよびユーザ1810は、データ1812を格納するコンテナがクラウド1800内に格納されるか、企業1802のどこかに格納されるか、もしくは、オーバーレイネットワーク1804を介して格納されるか、またはその組み合わせであるかについて不可知論的であり、データは、複数のコンテナにまたがることができる。
図19は、異種のタイプの複数のデータコンテナからのデータの自動細断、キャッシング、レプリケーション、再構成のような機能を行うストレージ管理レイヤを例示する。そのような処理は、明示的ポリシおよびアクセスパターンを含む基準に基づいて行うことができる。図示のように、データ1902およびクリプトアクセス制御1904を含むデータコンテナ1900は、ユーザの見地からは、全部のデータを格納するために抽象化ストレージレイヤ1910で格納されるが、実際には、クリプトアクセス制御1904によって保護されたようなデータ1902は、ポリシおよびアクセスパターンを含みうる基準に基づいて、クラウドデータサービス1920、ファイルシステム1922、企業データベース1924、オーバーレイネットワーク1926などのうち、任意の1つまたは複数に渡って、細断、キャッシュ、レプリケートかつ再構成可能である。
図20は、データがそれ自体の管理人としての機能を果たすことができるようにする、セキュリティ、プライバシー、信頼性などのための中心点が、データが様々なデータコンテナに渡ってどこに格納されるとしても暗号アクセスラッパをデータに追加する安全なオーバーレイネットワークであることを、より一般的に例示する。具体的には、オーバーレイネットワーク2010は、クラウドデータサービス2020、ファイルシステム2022または企業データベース2024のうち、任意の1つまたは複数における、クリプトアクセス制御2004によって保護されたようなデータ2002のコンテナ2000のさらなるストレージのための、中間ストレージ媒体になりうる。ストレージは、したがって、その最終の宛先に関して階層的になりうる。
図21は、世界のレガシアプリケーションおよびそれらのコンテナベースの表示(例えば、データベースファイル)が変化する必要がないことを例示するブロック図である。むしろ、フェデレーション信頼オーバーレイストレージシナリオで使用するために、アプリケーションおよびレガシコンテナの必要性に基づいて、暗号ネゴシエーション、暗号変換およびキャッシング、バージョニング、リースなどを行う、アダプタが提供されうる。より詳細には、レガシアプリケーション2100は、クラウドデータサービス2110、ファイルシステム2112および企業データベース2114と、いつもとまったく同じようにインタラクトすることができるが、次いで、抽象化ストレージレイヤ2120はなお、コンテナレスデータを陰で発生させることができる。抽象化ストレージレイヤ2120は、アプリケーションおよびレガシコンテナの特性に基づいて、クリプトネゴシエーション、クリプト変換、およびキャッシング、バージョニング、リースなどを実装するアダプタを公開し、次いで、例として、図20に関連して説明したように、例えば、安全なオーバーレイネットワーク2130を介して、コンテナ化されたデータ2140をコンテナレスデータへ導くことができる。
図22は、レガシアプリケーションならびにFTO対応アプリケーションに関連して使用可能なサンプルアーキテクチャモデルである。この点について、FTO可能なアプリケーション2205は、FTO2200に直接プラグインし、データの安全でプライベートなストレージ、処理などを有利に使用することができる。SDS対応アプリケーション2215では、データの暗号細断および分散を追加するレイヤ2210を提供することができる。一貫性対応アプリケーション2225では、レイヤ2220によって図示されたように、既存の修正されていないオーバーレイネットワークが使用され、システムにブリッジされうる。例えば、Live Mesh、Fabric/CASは、レイヤ2220を介して、DaaSおよびXStoreにブリッジされうる。最後に、図21と共に説明されたように、レガシアプリケーション2240およびレガシコンテナ2235の特性に基づいて、暗号ネゴシエーション、暗号変換およびキャッシング、バージョニング、リースなどを行う、アダプタ2230を提供することができる。全体として、そのようなレイヤおよびアプリケーションは、フェデレーション信頼オーバーレイに基づいて、クラウドストレージによって提供される利点を活用することができる。
図23は、データ、および/または、そのデータもしくはそのデータの特性を記述するメタデータにおける、暗号ラッパまたはエンベロープの一般的使用を例示するブロック図である。一例として、レコード2302(例えば、データペイロード)、ならびに、関連付けられたメタデータおよび/またはタグ2300は、数学的に選択的にアクセス可能な方法で共にまたは別々に暗号化されて、暗号化されたメタデータおよびタグ2310、ならびに、暗号化されたレコード2312を生じることが可能である。そのような暗号化されたデータ/メタデータでは、様々な操作2320を、数学的な選択的アクセス可能性に基づいて行うことができ、例えば、データまたはメタデータの検索、データまたはメタデータに対する論理演算、クエリ、バックアップ操作、データの監査などである。メタデータ2300およびレコード2302の暗号化に加えて、オプションの追加のデータが、任意の望ましい目的の関数として暗号化パッケージに追加可能2314であり、または、オプションの追加のタグ2316が、暗号化処理の一部としてコンテンツに追加可能であり、例えば、一例として、あるユーザのクラスに対してアクセスを可能または不可能にする公開または秘密タグである。このような追加のデータ2314またはタグ2316により、整合性チェック、改ざんチェック、可用性チェック、その他など、追加の操作2330を行うことができる。
図24は、ペイロード2402およびタグ2400を示す特定の例であり、ペイロード2402およびタグ2400は暗号化されて、操作2420のために、暗号化されたタグ2410および暗号化されたデータ2412が形成される。加えて、上述のように、データはデータ2414により拡大可能であり、タグはタグ2416により拡大可能であり、追加の操作のセット2430が容易になる。
図24の例を基にして、図25は、周囲のフェデレーション信頼オーバーレイを例示する例である。この点について、バックドアのないCTP2500は、ロバスト性の公の検査にさらされるオープンな方法に基づいて実装されうる。CTP2500に基づいて、CKG2550は、操作2530(例えば、検索、論理演算またはクエリ、バックアップ、監査、改ざんチェック、整合性チェック、可用性チェックなど)を行うための、例えば、キー2540など、能力を求める要求に対処するために生じさせることができる。クラウドデータサービスプロバイダ2520は、したがって、サービス、例えば、暗号化されたメタデータ2510および暗号化されたデータ2512のストレージを提供する。1つのオプションの実施形態では、クラウドは、データまたはアクセスパターンが見えない方法で、データをホストする。
図26は、レコードならびにインデックスが、信頼オーバーレイを使用して暗号化され、クラウドへアップロードされる、一実施形態を例示するブロック図である。この点について、レコードおよびインデックスが検索可能暗号化されて、インデックスが、関連付けられたデータへの可視性の第1のレイヤとして選択的にアクセス可能になる。次いで、インデックスの検索に基づいて、様々なコンテンツまたはレコードが所与のインデックスまたは複数のインデックスに一致して識別可能であり、次いで、ユーザは、特権に基づいて、一致するコンテンツまたはレコードにアクセス可能であるか、またはそうではなく、特権は、データに対する保護の第2のレイヤとして動作し−第1に、検索または他の操作のためのインデックスへのアクセスに対するものであり、第2に、データへのアクセスに対するものである。この点について、任意の数のレイヤ化された暗号ラッパが、データおよび関連付けられたメタデータの異なる部分上に適用されうる。図示のように、顧客2600は、様々なレコード2602を有してもよく、様々なレコード2602から、2630で、暗号化されたインデックス2604が生成される。レコード2602および暗号化されたインデックス2604は、2640で、クラウド2610へアップロードされ、クラウド2610内で、レコード2612および暗号化されたインデックス2614として格納される。2650で、例えば、暗号化されたインデックス2614に基づいて、レコード2612を取得するため、顧客2600は、少なくとも1つの署名2622により署名されたレコード2620をクラウド2610から受信し、2660で、少なくとも1つの署名2622がチェックされうる。
図27は、どのようにクライアントがフェデレーション信頼オーバーレイアーキテクチャを使用して、より豊かなクラウドストレージ経験のために、暗号化されたデータの上で暗号化されたインデックスを生成かつアップロードすることができるかを例示する。フェデレーション信頼オーバーレイアーキテクチャは、信頼できる暗号エコシステムを生成するための力の分離を含み、以下でより詳細に説明される。
FTO2785は、クラウドまたは他のストレージ内のコンテナレスデータに対して行われる数学的変換の部分を分離することによって、顧客2775に利益を与えるエコシステムであり、本明細書の他のところで説明されるように、クラウドデータサービス(CDS)2780、クリプト技術プロバイダ(CTP)2770、および、キー生成用センタ2790を含む。一例として、顧客2775は、様々なキーワード2710が関連付けられるドキュメント2700を有することがある。暗号化のための公開パラメータ2765は、CKG2790から取得されるのに対して、数学的変換を行うための技術は、CTP2770から取得される。アップロードを行うために、ドキュメント2700は暗号化2720され、クラウドへ、暗号化されたドキュメントストア2750内へとアップロード2730される。アップロードのための場所2735およびキー2725は、キーワード2710と共に、ドキュメント2700の暗号化されたアップロードに関連付けられて生成された暗号化されたインデックス2740に入力され、2740で生成された暗号化されたインデックスは、2745で、暗号化されたインデックスストア2755へアップロードされる。
図27は、暗号化されたインデックスデータのアップロードを例示するのに対して、図28は、特定のコンテンツを検索するためのインデックスの暗号化解除を例示し、この暗号化解除は、フェデレーション信頼オーバーレイによって提供された能力に基づいて許可され、次いで、検索結果への可視性により、ユーザに、検索に関連する実際のドキュメントを暗号化解除するための能力または特権を付与することができる。この点について、インデックスへのアクセス、および、ドキュメントへのアクセスは、FTOによるポリシおよび実施に基づいて、別々に制御可能である。
上述のように、FTO2885は、クラウドまたは他のストレージ内のコンテナレスデータに対して行われる数学的変換の部分を分離することによって、顧客2875に利益を与えるエコシステムであり、本明細書の他のところで説明されるように、クラウドデータサービス(CDS)2880、クリプト技術プロバイダ(CTP)2870、および、キー生成用センタ2890を含む。
この例では、顧客2875は、クエリ2800を形成し、次いで2805で、CKG2890からトラップドア2810を獲得し、トラップドア2810は、クエリ2800と共にクラウドに提示される。クラウドでは、暗号化されたインデックスストア2825内の暗号化されたインデックスが、2820で、CTP2870から取得された技術2815に基づいて検索される。結果2835が次いで、まだ暗号化されたままで返され、2840で暗号化解除され、そこから場所2842およびキー2844が抽出される。これにより、システムに、2845で、暗号化されたドキュメント2850を暗号化されたドキュメントストア2830から取得するための情報を与え、暗号化されたドキュメント2850を、2855で、キー2844に基づいて暗号化解除して、1つまたは複数のドキュメント2860、例えば、図27からのドキュメント2700を返すことができる。
図29〜30は、システムによるいくつかの追加の非限定的な信頼アシュアランスを例示するブロック図である。この点について、ユーザが受信するものが正確であることを証明する任意のアルゴリズムを、追加のレイヤとして使用して、わけのわからない言葉がクラウドによって提供されていないことを、ユーザに対して数学的に証明することができる。例えば、ある技術が、データ保有の証明(複数可)(PDP)として知られており、この技術では、タグが、データの正確性を検証することに関連して使用可能な暗号化されたデータに対して適用される。類似の情報が適用(かつ暗号化)されて、データがクラウド内で格納される間に不適切に改変または削除されなかったことが証明されうる。暗号技術では、そのような証明は典型的には、暗号チャレンジおよびレスポンスの形式を取る。図17では、PDPタグは、クラウド内で、暗号化されたレコード、インデックス、メタデータなどと共にエンコードかつ暗号化されるが、図18では、確認操作は、データの整合性が変わっていないという、FTOとの暗号コンサルテーションに基づいて行われている。
図29については、上述のように、FTO2985は、クラウドまたは他のストレージ内のコンテナレスデータに対して行われる数学的変換の部分を分離することによって、顧客2975に利益を与えるエコシステムであり、本明細書の他のところで説明されるように、クラウドデータサービス(CDS)2980、クリプト技術プロバイダ(CTP)2970、および、キー生成用センタ2990を含む。この例では、発行者2900は、CKG2990から取得された秘密2930、および、CTP2970から取得された技術2940に基づいて、2920で、レコードおよびインデックスをエンコードすることによって、レコードおよびインデックス2910を暗号化する。暗号化またはエンコードされたレコードおよびインデックス2950は、クラウド内に格納される。データ保有の証明(複数可)(PDP)タグ2960は、2920でのエンコードに関連して使用可能であり、本明細書の他のところでより詳細に説明されるように、後に、クラウド内に格納される間に、データのある態様を保証する助けとなる。
上述のように、図30では、確認操作は、データの整合性が変わっていないという、FTOとの暗号コンサルテーションに基づいて行われている。この点について、FTO3085は、クラウドまたは他のストレージ内のコンテナレスデータに対して行われる数学的変換の部分を分離することによって、顧客3075に利益を与えるエコシステムであり、本明細書の他のところで説明されるように、クラウドデータサービス(CDS)3080、クリプト技術プロバイダ(CTP)3070、および、キー生成用センタ3090を含む。PDPタグ3040は、システムの監査者3000にとって、クラウド内に格納されたデータの整合性をチェックするために有用でありうる。乱数3005に基づいて、監査者3000は、チャレンジ3010をクラウド内の証明者3020へ、CKG3090から取得された秘密3025、および、CTP3070から取得された技術に基づいて、発行する。証明者3020はまた、証明アルゴリズムを実装することに関連して、技術3045をも使用する。この点について、証明者3020は、暗号化されたレコードおよびインデックス3030、ならびにPDPタグを入力として受信し、情報を監査者3000へ返し、この情報が3050で確認される。3060で、確認操作が成功であるか失敗するかに基づいて、監査者3000に、暗号化されたレコードおよびインデックス3030の整合性が維持されているかどうかが通知される。
以下でより詳細に説明されるように、様々な暗号技術は、サービスユーザのためのプライバシーおよび非否認の強力な保証を提供することができる、サービスのプロビジョニングに組み込み可能である。これらの暗号技術をデータ保護技術と統合することによって、そのデータの所有者および企業の顧客(「顧客」)に、データをホストするエンティティまたはクラウドサービスプロバイダもしくはオペレータ(「CSP」)によって行われうる操作のタイプに対する精密な制御を有するようにさせる方法で、リモートサービスおよびレイヤ化されたアプリケーションをデータの上に実装することができる。加えて、これらの操作の多数は、顧客の代わりにCSPによって、操作が行われるデータの実際のコンテンツを学習するかまたは他の方法で見ることなく、行うことができる。加えて、顧客は、CSPがデータを不適切に削除もしくは修正しているか、または、データをより低い性能の2次または3次のストレージへ移動させている場合、検出することができる。この点について、様々な暗号法技術をデータサービスと統合して、例えば、セキュリティおよびプライバシーを増すために、データに対する制御を放棄するための信頼を顧客に提供することができる。
例として、検索可能暗号化は、データが暗号化される前に、必須のメタデータがデータからコピーされる暗号化方法である。非限定的な例では、Exchange電子メールの場合、データは、その添付物を有するメッセージであり、必須のメタデータには、選択されたメッセージングアプリケーションプログラミングインターフェイス(MAPI)プロパティおよびフルテキストインデックスが含まれうる。例として、データは、例えば、高度暗号化標準(AES)を使用して暗号化されるのに対して、メタデータは、暗号化されたインデックスを生成する方法で暗号化される。結果として、暗号化されたデータおよびインデックスはこのとき、CSPなど、十分に信頼されていない別のエンティティへ引き渡される可能性がある。集約された、暗号化されたデータおよびインデックスへの後続の選択的アクセスは、そのデータの所有者、顧客が、暗号化されたクエリをCSP(または他の承認されたサブスクライバ)に出すことによって、遂行可能である。よって、CSPは、暗号化されたクエリを暗号化されたインデックスにおいて適用し、一致する暗号化されたデータを返すことができるが、CSPは、(顧客によって承認されない限り)データ、メタデータ、クエリまたは結果のコンテンツについて何も学習しない。
保有の証明(複数可)および取得可能性の証明(複数可)は、「証明者」(この場合、ストレージを提供するCSP)および「確認者」(顧客)が、それらが所有するデータが変わっておらず、かつ、データの保有者であるCSPから容易に取得するために使用可能であるかどうかを、確認者が効率的に決定することができるプロトコルに携わることができる、暗号技術である。これらの技術は、ネットワーク帯域幅において、かつ、CSPが行う操作において効率的であるので、CSPの売上原価(COGS)は比較的不変のままであり、プロトコルを完了するための時間は適度に短くなる。
データサービスのプロビジョニングに統合可能であるもう1つの暗号技術は、適用の証明(複数可)である。適用の証明(複数可)は、保有の証明(複数可)と同様に、データが証明者であるCSPによって正確に維持されていることを、確認者が確認できるようにする。
ブラインドフィンガープリントは、典型的には、ネットワークを介した冗長データの交換を最小限にするために使用される、ラビンフィンガープリント(Rabin Fingerprints)など、ネットワーク重複排除(de−duping)技術を拡張する別の種類の暗号技術を表す。本明細書の様々な実施形態では、フィンガープリンティングは、プロトコル内の関係者、例えば、データのストレージの場合はCSPが、それらがホスト中であるデータの実際のコンテンツに気付かないように、適用される。
CSPによるサービスのプロビジョニングに基づく様々なシナリオは、したがって、ストレージおよび計算サービスから通信およびコラボレーションサービスまでに及ぶ、上記のフレームワークおよび対応する暗号技術に基づいて出現する。より大企業の顧客は、それらの現在の企業データセンタにおいてかなりの計算およびストレージ資産を有し、クラウドサービスの採用に対して活発でない可能性が高い。加えて、顧客は、データセンタ操作の経験があり、精通しており、操業費用(OPEX)および資本支出(CAPEX)の利点を活用することを望んでおり、よって、それらの機微なビジネスデータが構内からクラウドへ移動することについて懸念する。
このクラスの顧客について、様々な実施形態では、Exchangeサーバなど、それらの既存のサーバを所有かつ操作する顧客を含む、アプリケーションのセットが提供される。データの2次コピーが次いで、データ保護、アーカイバル、コンプライアンス、ガバナンス、法的または他の理由の、理由のために、クラウドサービスプロバイダへ委任されるようになる。CSPは、したがって、データ損失または開示に対してこのデータを保存するためのスキル、技術および規模の経済性を有し、この2次コピーの上でアプリケーションを実行することを容易にすることができる。顧客に対してデータを維持することに基づいて提供可能である製品およびサービスの例の小さいサンプリングには、訴訟サポート、監視および監督、サービス発信音、データナビゲーションなどが含まれる。
訴訟サポートについては、会社が訴えられているとき、訴訟処理によって、履歴の電子メールレコードの検索を行うことが必要とされる様々なエンティティがある。これらのエンティティには、社内法務スタッフ、HR、管理者、外部弁護士、それらの外部訴訟サポートパートナー、および、対立する弁護士が含まれる。誰が何の検索を行うことができるかについて、特定の範囲のルールがある。現在の訴訟サポートシナリオでは、範囲の境界を付けることは困難である。よって、訴訟サポートに関与するいかなる個人も、範囲外である電子メールを見ることは可能である。電子メールの場合、検索の結果は典型的には、パーソナルストレージテーブル(PST)ファイルの形式で交換され、PSTファイルが追加のリスクを引き起こし、その理由は、これらのファイルがうっかりして、または悪意を有して、承認されていない個人に引き渡される可能性があるからである。
その一方、2次コピーがリモートで、例えば、クラウド内で、CSPによってホストされ、データを通じて維持されるとき、企業内の単一の信頼されたエンティティ、例えば、最高法務責任者が、操作における各個人に、それらのクエリ能力をそれらの必要性に限定するようになる特定のトラップドアを提供することが可能である。クラウド内でホストされており、検索可能暗号化および改ざんが防止される監査ログを通じて保護されているデータは、不適切な電子メールアクセスが防止されるように、より高いレベルの保護を提供する。PSTファイルを交換する必要性はなくなり、その理由は、操作におけるすべての個人がクエリのためにクラウドに直接アクセスしており、また、訴訟サポートパートナーは、ケース管理のためのTIFF(tagged image file format)への変換のために、対象にされたコンテンツをエクスポートするエンティティのみであるからである。
リモートデータコピーの監視および監督については、いかなる適度な規模の法人も、様々な目的のために、先を見越してそれらの組織の電子メールを監視するべきである。これらは、法的/コンプライアンスから、IP漏れ、盗用、不適切な言葉などを監視するなど、ガバナンスの理由までに及ぶことがある。典型的には、監視および監督ソフトウェアは、プライマリサーバ、または、バックアップもしくはアーカイブされる2次コピーを監視する。プライマリサーバの監視に関する問題は、これによりビジーなプロダクションサーバに過度の負荷をかける可能性があることである。加えて、アドミニストレータが偶然にまたは悪意を有してプライマリサーバ上のデータを修正または削除することが可能であるため、ソリューションは、準拠する方法でデータを取り込み、2次コピーへ転送することであり、監視および監督ソフトウェアは、絶えず着信電子メールをスキャンし、パターンを探し、または検索する。しかし、多数の企業のセットアップでは、これらの2次コピーへのローカル管理用アクセスがあり、結果として、計略に富むアドミニストレータは、改ざん検出および防止機構にもかかわらず、情報を修正または削除することができる。
その一方、CSPによってデータを維持することは、2次コピーを異なる制御の領域に配置するので有利である。検索可能公開キー暗号化(searchable public key encryption)(PEKS)および保有の証明(複数可)(POP)など、適切な暗号技術は、企業アドミニストレータとCSPの従業員の間の共謀であっても、厳密に何の項目をそれらが修正することを望むかを明確に識別することをなお防止するようにすることができる。監視および監督ソフトウェアは、リモートサイトで、または、クラウド内で実行し、予め提供されているトラップドアを通じて、特定の予め決定されたキーワードを有する項目を探す。
様々な実施形態によって本明細書で説明されるように、独立したデータ保護および暗号技術が、他方をサポートするように各々を強化かつ修正する方法で組み合わせられて、消費者、企業、エコシステムおよびソーシャルネットワークにとって現在使用可能ではないソリューションが提供され、クラウド環境内でコンテナレス、安全、プライベートおよび選択的にアクセス可能なデータが可能になる。
信頼できるXML
XMLは、限定されないが、タグおよびその階層的配置を介して可能されたその効率的な記述容量を含む、様々な理由のために、ユビキタスなネットワーク交換フォーマットとして発展してきた。この点について、XMLデータは、異なる許可をXMLドキュメントの異なる部分(ペイロードおよびタグ、ならびに、既存のタグまたはメタデータの上に追加された任意のメタデータを含む)に適用できるようにする、上記のFTOインフラストラクチャによって保護可能である。信頼できるXMLは、したがって、同じく上述されたように、コンテナレスの方法で格納可能である。
図31に例示されるように、XMLペイロード3102およびそのタグ3100を暗号化して、暗号化されたタグ3110およびペイロード3112を形成することができる。この点について、XMLドキュメントを、潜在的に異なる保護レベルを有するXML断片に分けることによって、はるかにより粒度の細かい許可システムが可能にされ、このシステムは、発行者側のドキュメントとしての最初の編成に依存しない。加えて追加のデータが、任意の関数に基づいてペイロードデータに追加可能3114であり、追加のXMLタグが、信頼できるXML断片上に適用される追加の関数を支援するために適用可能である。ペイロード3112/タグ3110における操作には、検索、クエリ、バックアップ、監査、その他など、操作3120が含まれる。他の操作3130は、オプションのデータ3114またはタグ3116の追加に基づいて、データ上で実装可能である。例として、データが社会保障番号のパターンに適合するときはいつでも、タグ3116が自動的に追加可能であり、タグ3116は、XML断片にプライベートとしてマークを付けて、そのような情報を損なわれないように保存する。
この点について、データ/情報がXMLフォーマットである場合、データ/メタデータ上の上記の技術のいずれかを構造化XMLデータに適用して、選択的にクエリし、XML断片へのアクセスを得ることができる。XMLは、<タグ「値」>または<タグ「値」|XML終了タグ>である標準フォーマットを有する。この点において、構造化XMLでは、デジタルエスクローパターンに固有であるCKG/CTP「フレーム」をポイントするようになる外側ラッパがあるように、構造を階層的に表現するための方法がある。そのため、埋め込まれた断片へのアクセスの必要性があるとき、既存の(または、具現化、新しい)信頼が、<CKG>および<CTP>ラッパにより活用される。これにより、ユーザが、許可される場合、セグメントを検索、抽出および暗号化解除できるようにする。加えて、PDPが使用されて、要求された特定のXMLセグメントが、最初に作成されて以来、改ざんされていないことを確認することができる。
したがって、様々な実施形態では、XML断片またはフルレコード(「ペイロード」)のための「信頼されたエンベロープ」は、機密性、プライバシー、匿名性および整合性のような全範囲の信頼保証を信頼が実行できるようにする、様々な「デコレーション」を通じて作成される。
これは、上述のコンテナレスデータの実施形態と一致している。データをそのコンテナ(例えば、ファイルシステム、データベース)から切り離すための機会は、コンテナを実施することを必要とせずに、元の保証を保存かつ拡張する方法で、共有を容易にする。ビジネスの必要性に基づくように、かつ、異なる技術が出現するとき、任意の他のラッパを、クリプト検索、クリプトベースの改ざん検出などを超えて追加することもできる。XMLデータでは、タグをデータに追加して、ドメインおよびアプリケーションに依存している可能性のある、データの一貫性の調節の助けとすることができる。
XMLは、認証、承認、スキーマ、履歴、トレース、一貫性などをエンコードする、検索可能メタデータを含みうるので、有利である。XMLはまた、より大きいドキュメントの分散されたほんの一部である場合、他の関連する断片を探し出すためのマニフェスト情報をエンコードすることもできる。新しい技術が適用可能になったとき、検索可能暗号化およびPDPに加えて他のラッパを追加できることと組み合わせて、あらゆる合意されたCKG/CTPを使用できることの技術独立性は、柔軟なアーキテクチャがあらゆる種類のクラウドシナリオを扱うことができるようにする。XMLタグを、一貫性、証跡などを調節するために、拡大または追加することもできる。
これがデータ分散技術と組み合わせられるとき、機密性、プライバシー、匿名性および整合性に関する強力な保証が達成される。この「信頼されたエンベロープ」を使用して、スキーマ情報、一貫性ヒント、バージョンおよび証跡、信頼度レベル(例えば、「クラウドコンピューティング」を使用するとき)、ほんの一部の他のピアからこのペイロードを再構成するためのロケータなどを含みうる、追加のメタデータにより、任意のペイロードをデコレートすることができる。
1つの非限定的な応用例では、信頼できるXMLは、ネットワーク効果を引き起こすために、「緩いフォーマットバインディング」を提供して、エコシステムを成長させる。FTO(技術およびキーマネージャをパラメータ化する)およびXMLの汎用交換フォーマットの組み合わせは、多様な技術的、適用、ドメイン、ロケール、主権的、フォーマットおよび他の要件への対処において、より大きい柔軟性を容易にする。
もう1つの応用例では、シンジケーションのための現在の決済および調停は、エラー、省略および不正行為の傾向があるポイントトゥポイント交換を含む。安全でプライベートなデータサービスを介在させることは、したがって、信頼されたエンティティが信頼できるままであるように、選択的な開示を容易にする方法で、会計、監査などに直接利益を与えることになり、適切な規制者(コンプライアンス、法的)または仲介者(争いの解決など)が、トランザクションにおける信頼を築くために、XMLタグを選択的にそっと見ることを可能にすることができる。信頼できるXMLの利点は、ペイロードが、格納側パーティがそれについて知る必要がなく、または、理解しようとすることすら必要でない、関係者間の独自のフォーマットをエンコードできることである。信頼できるラッパのレイヤは、したがって、著しい技術およびビジネスの価値を、法的およびコンプライアンスの価値および主権エンティティの価値と共に追加する。
もう1つの応用例では、健康管理システム統合は、(a)異種の互換性のないレガシシステム、および(b)より重要には、既存のソリューションプロバイダへの患者の定着性が失われることにより、厄介である。クラウドデータサービスをクリアリングハウスとして、および、信頼できるXMLを相互交換フォーマットとして導入することによって、これらの既存のソリューションプロバイダはこれを、XMLによって容易にされた汎用フォーマットを活用しながらも、その定着性を保持するための手段と見なすことができる。
FTO可能であり、信頼できるXMLを活用している「ルータ」(「ゲートウェイ/ガーディアン」)を使用することについては、(a)ルータは、ルーティングのために必要であるものを超えて学習する必要なしに、それらのことを行うことができ、(b)ルータは、エラーまたは悪い動作に対する自由度がより少なく、(c)遅延バインディングにより、複雑なキー管理がなくなることである。
加えて、タグが追加もしくは拡大されるか、または、追加のメタデータがXMLドキュメントに適用されて、コンテンツが様々なレベルの機微性であることを示すことが可能である。例えば、公開、秘密および最高秘密段落を有するドキュメントが存在することがある。検索を行い、秘密クリアランスによるアクセスを要求する人は、例として、公開および秘密段落へのアクセスのみを得るようになる。段落の分類はまた、暗号化機構、キーおよびアクセスポリシを決定するためにも使用可能である。例えば、最高秘密コンテンツには、無線またはリモートデバイスからアクセス不可能である。
同様に、この分類は、データがどのように格納可能であるか、どこに格納可能であるか、どのくらい長く格納可能であるかなどについてのポリシを作成するために使用可能である。例えば、医療データは、1日1回、AES256暗号化を使用して、信頼できるデータセンタ内の安全なサーバへバックアップされなければならない。
図32は、一実施形態における、信頼できるXMLをホストするための例示的処理を例示する流れ図である。3200で、第1の制御の領域内のコンピューティングデバイスは、第2の制御の領域内のコンピューティングデバイスから、暗号化されたXMLペイロードデータおよび暗号化されたXMLタグを含む、暗号化されたXMLデータを受信する。暗号化されたXMLデータは、暗号キー情報に基づいた、検索可能暗号化アルゴリズム(複数可)による、第2の制御の領域内のコンピューティングデバイスの定義されたXMLデータセットの暗号化から形成される。3210で、暗号キー情報に基づいて暗号化された補助メタデータが受信され、補助メタデータは、暗号化されたXMLペイロードデータまたは暗号化されたXMLタグの解析から形成される。3220で、能力(複数可)を含むデータを求める要求が、その能力(複数可)によって定義されたような暗号化されたXMLデータへの選択的アクセスを可能にする、暗号化されたXMLペイロードデータまたは暗号化されたXMLタグのうち一部にアクセスするための特権(複数可)を定義する暗号キー情報に基づいて、受信される。3230で、オプションとして、暗号化されたXMLデータおよび対応するXMLタグデータの正確なサブセットが、要求側と一致するサブスクライバデバイスによって受信されることが検証される。
図33は、一実施形態における、信頼できるXMLをホストするための例示的処理を例示する流れ図である。3300で、暗号キー情報が、サブスクライバデバイスに関連付けられた識別情報に基づいてその暗号キー情報を生成するキー生成コンポーネントから受信される。3310で、検索可能暗号化されたXMLデータおよび対応するXMLタグデータのサブセットが、サブスクライバデバイスによって要求される。暗号キー情報は、検索可能暗号化されたXMLデータおよび対応するタグデータのためのストレージプロバイダへ送信される。3320で、暗号化されたXMLデータおよび対応するXMLタグデータのサブセットが、暗号キー情報内で定義された能力によって可能にされたように、暗号化解除される。3330で、暗号化されたXMLデータおよび対応するXMLタグデータの正確なサブセットが、要求側と一致するサブスクライバデバイスによって受信されることが検証される。3340で、暗号化されたXMLデータおよび対応するXMLタグデータのサブセットのコンテンツが、暗号化されたXMLデータおよび対応するXMLタグデータのサブセットを受信することに先立って、削除または修正されなかったことが確認される。
図34は、一実施形態における、信頼できるXMLをホストするための例示的処理を例示する流れ図である。3400で、暗号キー情報を生成する分離したキージェネレータから受信された暗号キー情報に基づいて、XMLデータが検索可能暗号化アルゴリズム(複数可)に従って暗号化されて、暗号化されたXMLタグ情報を含む暗号化されたXMLデータが形成される。3410で、暗号化されたXMLデータが、暗号化されたデータのストレージのためにネットワークサービスプロバイダへ送信される。3420で、要求側デバイスの識別情報に基づいて、要求側デバイスに付与された、選択された特権の遅延バインディングによって、暗号化されたデータが選択的にアクセス可能である。
図35は、一実施形態における、信頼できるXMLをホストするための例示的処理を例示する流れ図である。3500で、暗号化されたXMLタグを含む検索可能暗号化されたXMLデータのサブセットを求める要求が、サブスクライバデバイスによって行われる。3510で、暗号キー情報が、そのサブスクライバデバイスに関連付けられた識別情報に基づいてその暗号キー情報を生成するキー生成コンポーネントから受信される。3520で、暗号化されたXMLデータのサブセットが、暗号キー情報内で定義された、そのサブスクライバデバイスに付与された特権に応じて、暗号化解除される。
様々な実施形態について提供されたように、信頼できるXMLは、データ全部をより低いノードレベルまで保護し、アクセス特権をノードレベルで、一般的かつ効率的な方法で保護することができる。
1つまたは複数の概念を例示する様々なサンプルが以下で示され、匿名IBEが採用され、かつ/または、AESが、曖昧化のための暗号技術として使用される。しかし、あらゆる適切な数学的変換がそのような例において使用可能であり、よって、XMLデータを曖昧化するかまたは隠すための所与の技術は、より一般的な概念のいずれをも限定するように解釈されるべきではないことを理解されたい。
一実施形態では、XMLのエンコードは、信頼できるXMLを出力する、エンコード変換器を通じてXMLを渡すことによって行うことができ、デコードは、対応するデコード変換器を通じて信頼できるXMLを渡すことによって行うことができる。この点について、同じノードを複合的に保護して(複数のレベルでラップして)、ノードの境界を越えてより高い保護を有することができる。
以下の例示的であるが非限定的な例では、選択的エンコードの観念を使用して、異なるデータ部分を異なって扱う、信頼できるXMLの実装を説明するために、患者レコードが使用される。
Figure 0005639660
1つの非限定的な態様では、信頼できるXMLは、XMLドキュメントの選択された部分の保護を可能にするが、ドキュメント全体ではない。例として、ある実装は、すべてが「action="encode"」とマークされる、内側ブロックの要素を保護することができる。
例えば、患者の名前を保護するには、Name要素を以下のようにマークすることができる。
Figure 0005639660
結果として、データペイロード、ここでは名前「John McKenzie」は、誰にも見えなくなる。
この選択的エンコードは、任意の要素レベルで行うことができ、例えば、フラットな要素(上記のように)に対して行うことができ、または、以下のような「BloodTest」のような、ある階層的要素に対して設定することができる。
Figure 0005639660
上記の例では、「BloodTest」要素の内側の「TestData」全体が誰にも見えなくなる。
限定されないが、暗号化など、様々な数学的変換を行うためのセットアップのために、プリプロセッサ情報が生成されうる。例として、匿名IBE(AIBE)およびAESがクリプト技術として使用可能であるが、やはりこれらは非限定的であることに留意されたい。
一実施形態では、このシステムは、本明細書の他のところで説明されるように、一般にフェデレーションアーキテクチャについて説明されるように、AIBEのための秘密を管理かつ生成するための独立した能力生成センタ(CGC)を有することができる。
AIBEセットアップを行うには、一実施形態では、CGCは、公開パラメータ(複数可)(PUB)およびマスター秘密キー(MSK)を生成することができる。MSKは、CGC内で秘密に保たれうる。PUBは、AIBEを使用するときのために、アプリケーションのエンドユーザに供給されうる。
図36は、信頼できるXMLドキュメントを選択的にエンコードするために、AIBEに関連して使用するための例示的、非限定的なアルゴリズムの流れ図である。3600で、「encode」のためにマークされた要素の内側ブロック(R)が受信される。3610で、新しい暗号化キー(K)が生成され、3620で、内側ブロック(R)がキー(K)により暗号化され、例えば、(R)→R’である。3630で、後に能力を要求するために使用されるキーワードである、「Identity Keyword」(w)が生成される。3640で、任意の非対称アルゴリズムにより(w)を使用して、(K)が保護され、結果が(K’)として取られる。3650で、(R)および(K)を破棄することができる。3660で、(R’)および(K’)を、対応する能力を後に得るために、アルゴリズム情報およびサービス情報に追加することができる。
以下は、AESおよびAIBEを使用したサンプル実装である。
以下の要素で開始する。
Figure 0005639660
このサンプル実装では、(R)は以下の通りである。
Figure 0005639660
エンコードの一部として行われるデータ処理については、最初に、256ビットAES暗号化キー(K)が生成される。次に、AESがレコード(R)を暗号化し、例えば、
AESK(R)→R’である。
一例として、ベース64エンコードされたR’の値は、以下のように表されることがある。
Figure 0005639660
ドキュメントの「Id」を次いで取ることができ、「element」名により追加することができる。これは、「Identity Keyword」(w)として使用されるようになる。例えば、ここで、(w)は「JK392E8DBloodTest」であってもよい。次に、AIBEを使用して、(K)が保護され、例えば、以下の通りである。
AIBE(PUB,w,K)→K’
AIBEを介した保護の結果として、K’は、以下のように見えることがある。
Figure 0005639660
上述のように、この時点で、RおよびKを破棄することができ、出力XMLを生成することができる。
出力XMLをコンパイルすることについては、(R’)は「Value」要素の内側に保たれ、例えば、以下の通りである。
Figure 0005639660
次に、使用された変換アルゴリズム(複数可)が追加される。ここでは、例えば、暗号化およびAESとなる。
Figure 0005639660
さらに、名前空間が定義され、「Data」要素の内側でカプセル化され、例えば、以下の通りである。
Figure 0005639660
キーに関しては、(K’)はKey要素の内側で維持され、例えば、以下の通りである。
Figure 0005639660
さらにまた、使用された変換情報が追加される。ここでは、例えば、再び暗号化およびAIBEであり、例えば、以下の通りである。
Figure 0005639660
そのためにデコーダがキーを取得するサービス情報もまた追加され、例えば、以下の通りである。
Figure 0005639660
例えば、名前空間を定義し、「KeyInfo」にカプセル化することができ、以下の通りである。
Figure 0005639660
BloodTestについての出力要素の一例は、以下の通りである。
Figure 0005639660
変換の一例が、以下の入力レコードおよび変換された出力によって例示される。
入力レコードの例:
Figure 0005639660
変換された出力レコードの例:
Figure 0005639660
Figure 0005639660
Figure 0005639660
Figure 0005639660
上記の例は、このように、任意のデータ曖昧化または他の数学的変換をXMLデータの異なる部分に適用し、異なる部分を異なってエンコードし、データへの選択的アクセスを可能にすることができることを強調する。
デコードについては、最初に、能力が要求側エンティティによって取得または受信される。能力を得るため、デコーダは、「Identity Keyword」(w)をCGCに供給し、「Capability」(C)を求める。この要求に応じて、CGCは、所与の「Identity Keyword」のための能力(C)を供給する。
この点について、供給された能力は、一致された「Identity Keyword」(w)のための(K’)をオープンにするが、他のK’はオープンにしない。所与のサンプルでは、ユーザがドキュメント内の「Name」を得ることを望む場合、ユーザは、要素「Name」のための「Identity Keyword」(w)を供給する。
ここで、(w)は、「JK392E8DName」となる。
ユーザが能力を得た後、この能力がK’に適用されて、以下に従ってKが得られる。
AIBE(K’,PUB,C)→K
このとき、Kにより、ユーザはKを使用してR’を暗号化解除することができるようになり、例えば、以下の通りである。
AESK(R’)→R
コンテナレスデータについて説明されたような、フェデレーション信頼オーバーレイアーキテクチャに関する様々な追加の実施形態および詳細が、以下で補足的状況について提供される。
信頼できるクラウドサービスエコシステムについての補足的状況
上記のように、独立したデータ保護および暗号技術が様々に組み合わせられて、例えば、CSPによって維持されるなど、リモートサイトで、データとして格納された、データに関するプライバシー、信頼およびセキュリティが強化される。一般的なエコシステムが一般的なデータまたはネットワークサービスに関連して後述されるが、そのような一般的なデータまたはネットワークサービスは、データをリモートサイトで格納するための上述のシナリオのうち、任意の1つまたは複数に対して使用可能である。
デジタルエスクローパターンは、クラウド内に格納されたデータのための検索可能暗号化技術を含むネットワークデータサービスのために提供され、信頼を複数のエンティティに渡って分散させて、単一のエンティティによる危殆化を回避する。一実施形態では、キージェネレータ、暗号技術プロバイダ、および、クラウドサービスプロバイダは、それぞれ分離したエンティティとして提供され、データの発行者がデータを機密として(暗号化された状態で)クラウドサービスプロバイダに発行し、次いで、暗号化されたデータを、そのデータを要求するサブスクライバに対して、サブスクライバ要求に応答して生成されたキー情報内でエンコードされたサブスクライバ識別情報に基づいて、選択的に公開することができるようになる。
検索可能暗号化/暗号化解除アルゴリズム(複数可)については、1つまたは複数の暗号技術プロバイダによって実装された検索可能公開キー暗号化(PEKS)方式は、任意の所与のメッセージWに対して、トラップドアTWを生成し、所与のサイファテキストがWの暗号化であるかどうかのチェックをTWが可能にするようにし、ただし、TWは、プレーンテキストについてのいかなる追加の情報をも明らかにしない。後述の様々な実施形態によれば、PEKS方式を使用して、データ、例えば、メッセージテキストに含まれたキーワードに基づいて、暗号化されたメッセージなど、暗号化されたデータの優先度設定またはフィルタリングを行うことができる。したがって、対応するキーワード(複数可)に対する能力(時として、暗号使用者によって「トラップドア」と呼ばれる)をリリースすることによって、データ受信者に、キーワード(複数可)に関する暗号化されたデータの部分への選択されたアクセスを与えることができる。このように、暗号化されたデータを、これらのキーワードについてチェックすることができるが、サブスクライバの能力が可能にするものを超えて、サブスクライバから学習されるようになるものはないという、アシュアランスがある。
不確かさを避けるため、PEKSは、本明細書の1つまたは複数の実施形態における検索可能暗号化を実装するためのアルゴリズムとして開示されるが、様々な代替アルゴリズムが検索可能暗号化を達成するために存在することは理解されよう。PEKSについてのいくつかの例示的、非限定的な代替には、例として、Oblivious RAMが含まれる。したがって、本明細書で使用されるような「検索可能暗号化」という専門用語は、いずれか1つの技術に限定されるべきではなく、よって、暗号化されたデータのサブセットの選択的アクセスを、その暗号化されたデータに対する検索またはクエリ機能性に基づいて可能にする、広範囲の暗号化機構または暗号化機構の組み合わせを指す。
オプションとして、結果の検証および/または確認が、エコシステム内のデータのサブスクライバおよび発行者にとっての追加の利益として提供されうる。検証は、データのサブセットを求めるサブスクリプション要求の結果として受信されたデータの項目が、正確な項目のセットであること、すなわち、受信されるべきであった正確なデータのサブセットが実際に受信されたことを検証する方法を提供する。暗号技術における1つの技術は、データ保有の証明(複数可)(PDP)であるが、不確かさを避けるため、PDPは、実装可能なアルゴリズムの一例でしかなく、同じまたは類似の目標を達成する他のアルゴリズムを使用することができる。データ保有の証明可能または証明(複数可)は、ストレージサーバがそのクライアントの潜在的に大きい外部委託されたデータを忠実に格納中であることを頻繁に、効率的かつ安全に確認する方法についてのトピックである。ストレージサーバは、セキュリティおよび信頼性の両方に関して信頼されていないと仮定される。
結果の確認は、項目自体のそのコンテンツをチェックするための、すなわち、サブスクリプション要求に関連して受信された項目がいかなる承認されていないエンティティによっても改ざんされなかったことを保証するために、追加の機構を提供する。暗号技術における確認の一例は、データ保有の証明(複数可)(PDP)であるが、不確かさを避けるため、PDPは、実装可能なアルゴリズムの一例でしかなく、同じまたは類似の目標を達成する他のアルゴリズムを使用することができる。暗号技術において知られているもう1つの技術は、取得可能性の証明(複数可)(POR)であるが、不確かさを避けるため、PORは、実装可能なアルゴリズムの一例でしかなく、同じまたは類似の目標を達成する他のアルゴリズムを使用することができる。PORは、サービスプロバイダまたはデータホスト側(証明者)による、クライアント(確認者)に対する、クライアントがファイルFを十分に回復することができ、かつ、改ざんが発生していないという意味で、対象ファイルFが変わっていないという小型の証明である。
追加のオプションとして、エコシステムは、匿名の資格情報の観念を実装することができ、それにより、発行者は、重大な詳細を公開せずに、匿名の方法で発行者自身についての情報をアップロードすることができ、サブスクライバは、発行者によってアップロードされた重大な詳細にさらされること、またはそれへのアクセスが提供されることが不可能であるように、それらの能力によって限定されうる。このように、発行者またはサブスクライバは、自分が望む量の情報のみをサードパーティに公開しながら、システムとインタラクトすることができる。
従来のウェブサービスは、静的なクライアントサーバ配置、および、ウェブサービスのデータにアクセスするための静的に定義されたユーザポリシに限定されていた。しかし、絶えず変化かつ発展している複雑なビジネスおよび他の関係によって、多数の発行者およびサブスクライバが企図されるとき、そのような従来のウェブサービスモデルは、十分に柔軟または安全であることができない。したがって、様々な実施形態では、遅延バインディングが可能にされ、データおよびコンテンツの発行者および/または所有者が、誰がサブスクライバ(複数可)であるかに基づいて、彼らの能力(複数可)に基づいて、かつ、彼らが何を探しているかに基づいて、例えば、データを求める要求において採用されたキーワード(複数可)に基づいて、暗号化されたコンテンツへのアクセス特権を変更することができるようになる。したがって、サブスクライバが選択的にアクセスすることができるものは、発行者および/または所有者によるアクセス特権への変更と一致して動的に変化し、その理由は、サブスクライバの能力が、キージェネレータによって急いで提供されたキー情報内でエンコードされるからである。したがって、サブスクライバの特権は、所与の要求に対して、その要求のためのキー生成時に定義され、よって、サブスクライバからの要求に対して、常に現在のポリシを反映する。
同様に、信頼できるクラウドサービスのサーバのアドミニストレータは、サーバによって扱われたアクティビティおよびデータトランザクションのログを観察することが許可されうるが、いかなる顧客の名前またはクレジットカード情報を見ることも制限されうる。サブスクライバの識別は、したがって、サブスクライバがアクセスできるデータの種類を限定することに基づくようにすることができる。
信頼できるエコシステムの様々な非限定的な実施形態が、本明細書でクラウドサービスに対する信頼を構築することに関連して提示されるが、本明細書で提供されるエコシステムの信頼構築は、はるかにより一般的であり、クラウドサービスへの適用に限定されない。むしろ、本明細書で説明される実施形態は、企業データセンタ内の異なるサーバまたは関係者に同様に適用可能である。したがって、データは決して所与のエンティティから離れなくてもよいが、本明細書で説明されるような信頼を構築するための技術は、企業内の異なる処理が分離した制御の領域内で動作する場合に、等しく適用可能である。すべての企業処理に渡る可視性がなければ、関係者が企業にとって外部であるかのように、同様の不信の問題が生じることがある。例として、アドミニストレータの制御下であるとしても、サーバが企業内で破られる可能性があり、または、アドミニストレータが不注意になり、または悪意を有する可能性がある。
クラウド内の暗号化されたデータへの適用に加えて、本開示の様々な技術はまた、ラップトップまたは他のポータブルデバイス上に格納されたデータにも適用可能であり、その理由は、ラップトップは失われたり、または盗まれたりする恐れがあるからである。そのような場合、そのデバイスは、非常に好奇心の強い、または悪意のあるエンティティに保有されることになりうるが、クラウド内のデータの保護に適用される、本明細書で説明される同じ技術が、サーバまたはラップトップ上のデータを保護するためにも適用可能である。ローカルデータが暗号化される場合、適切なサブスクライバ資格情報がなければ、泥棒は、そのデータにアクセスするための適切な役割または能力を示すことができず、ローカルの暗号化されたデータを理解することができなくなる。
図37は、一実施形態による、信頼できるクラウドサービスフレームワークまたはエコシステムのブロック図である。このシステムは、検索可能暗号化されたデータ3710を格納するための信頼できるデータストア3700を含み、サブスクライバ要求の結果は、検証および/または確認を受ける。この点について、ネットワークサービス3720は、安全なデータ3710に基づいて構築可能であり、例えば、ネットワークサービス(複数可)3720を介して、データの発行者が、データを要求するサブスクライバ3740に付与された能力に対する制御を保持するようにする。発行者3730はまた、サブスクライバ3740であってもよく、逆もまた同様であり、データの所有者3750もまた、発行者3730および/またはサブスクライバ3740のいずれかであってもよい。定義することができるいくつかの共通の役割および対応する能力のセットの一例として、専門の種類の発行者3730およびサブスクライバ3740が、アドミニストレータ3760および監査者3770である。
例として、アドミニストレータ3760は、信頼できるデータストア3700の操作を維持する助けとなるために、データ3710に対する専門の許可のセットであってもよく、監査者エンティティ3770は、監査の範囲内で一定のデータの整合性を維持する助けとなりうる。例として、監査者3770は、不快なキーワードを含むデータ3710のメッセージにサブスクライブする可能性があり、その場合、監査者3770は、付与された能力に従って許可される場合、データ3710のメッセージがそのような不快なキーワードを含んだときに警告を受けるようになるが、他のメッセージを読むことはできなくなる。この点について、キーを分配することができ、そのデータへの選択的アクセスを可能にするように、発行者データをデジタルエスクローに配置するための能力に基づいて、無数のシナリオを構築することができる。
例として、発行者は、エコシステムに対して認証を行い、エコシステムにアップロードするためのドキュメントのセットを示す。これらのドキュメントは、暗号キー情報を生成する分離したキージェネレータから受信された暗号キー情報に基づいて、検索可能暗号化アルゴリズムに従って暗号化される。次いで、暗号化されたデータは、暗号化されたデータのストレージのためにネットワークサービスプロバイダへ送信され、要求側デバイスの識別情報に基づいて、要求側デバイスに付与された、選択された特権の遅延バインディングによって、暗号化されたデータが選択的にアクセス可能であるようにする。暗号技術プロバイダを、暗号化されたデータのストレージから分離することで、加えて、暗号化されたデータをさらなる危殆化から隔離する。
この点について、図38は、信頼できるクラウドサービスエコシステムによってデータを発行するための例示的、非限定的な方法を例示する流れ図である。3800で、発行者が、システムに対して認証を行う(例えば、発行者が、ユーザ名およびパスワード、Live ID資格情報などによりログインする)。3810で、キー情報が、以下の1つまたは複数の実施形態で説明されるようなキー生成用センタなど、キージェネレータによって生成される。3820で、分離した暗号技術プロバイダは、キー情報に基づいて、発行者のドキュメントのセットを暗号化する。3830で、暗号化されたドキュメントが能力と共に、ネットワークサービスプロバイダ、例えば、ストレージサービスプロバイダへアップロードされ、要求側デバイス(サブスクライバ)の識別情報に基づいて付与された、選択された特権の遅延バインディングにより、暗号化されたドキュメント(複数可)が選択的にアクセス可能であるようにする。
サブスクライバ側では、例えば、サブスクライバは、エコシステムに対して認証を行い、データのサブセットを求める要求、例えば、所与のキーワードまたはキーワードのセットを含むドキュメントのサブセットについてのクエリを示す。少なくとも1つのサブスクライバデバイスからの、検索可能暗号化されたデータのサブセットを求める要求に応答して、キー生成コンポーネントは、そのサブスクライバデバイスに関連付けられた識別情報に基づいて、暗号キー情報を生成する。次いで、暗号化されたデータのサブセットが、暗号キー情報内で定義されたような、そのサブスクライバデバイスに付与された特権に応じて、暗号化解除される。
図39は、信頼できるクラウドサービスエコシステムによってデータにサブスクライブするための例示的、非限定的な方法を例示する流れ図である。3900で、データにサブスクライブするための方法は、サブスクライバを認証すること(例えば、サブスクライバが、ユーザ名およびパスワード、Live ID資格情報などによりログインする)を含む。3910で、サブスクライバは、データを求める要求を行う。3920で、キー情報が、サブスクライバ要求に基づいて、独立したキー生成エンティティによって生成され、サブスクライバの能力は、キー情報内で定義されうる。3930で、発行者データのサブセットが、キー情報内で定義された能力に基づいて暗号化解除される。例として、CSPは、データを暗号化解除することができる。3940で、発行者データのサブセットがサブスクライバにとってアクセス可能にされ、例えば、サブスクライバは、所有者/発行者によって付与された、動的に定義可能な能力に基づいて、データのダウンロード、表示、処理、変更などを行うことができる。オプションとして、暗号化、暗号化解除およびキー生成のために使用される技術は、分離した暗号技術プロバイダによって供給可能であるが、任意の関係者によってホストすることができる。
一実施形態では、サブスクライバデバイスの識別情報は、サブスクライバの役割を含む。例として、監査者役割、またはアドミニストレータ役割、または他の予め指定された役割は、検索可能暗号化されたデータストアの様々な部分へのアクセスを制限または許可するための基礎として、発行者/所有者によって使用されうる。
図40は、信頼できるエコシステムにおいて、キー生成用センタ(CKG)4000、暗号技術プロバイダ(CTP)4010およびクラウドサービスプロバイダ(CSP)4020を分離し、それにより、単一のエンティティによる危殆化の可能性がなくなることを示す、例示的エコシステムを例示する。この点について、顧客(複数可)4030には、データの発行者および/またはサブスクライバが含まれる。オプションとして、CKG4000は、例えば、CTP4010によって提供された、参照ソフトウェア、オープンソースソフトウェア、および/または、ソフトウェア開発キット(SDK)に基づいて構築可能であり、パーティのためのビルディングブロックがそのようなコンポーネントをそれ自体で作成すること、または、そのようなエコシステムコンポーネントのサードパーティ実装によって満たされることが可能となる。一実施形態では、SDKは、CTP4010によって提供され、1つまたは複数の関係者によって、CKG4000、以下でより詳細に説明される計算およびストレージ抽象化(compute and storage abstraction)(CSA)、および/または、暗号クライアントライブラリをホストまたは実装するために使用可能である。オプションとして、SDKを、CTP4010から、CKG4000をホストするエンティティへ配布することができる。
概して、CKG4000、CTP4010またはCSP4020の各々は、所与の実装に応じて、サブコンポーネントに再分割されうるが、全体の分離は、信頼を維持するために保存される。例として、マスター公開キー(MPK)配信4002、クライアントライブラリダウンローダ4004、秘密キーエクストラクタ4006、信頼確認者4008、または他のサブコンポーネントなど、CKGエンティティ4001は、別々に、サブセットで、または、統合されたコンポーネントとして共に提供されてもよい。エンコードおよびデコードのためのクライアントアプリ4012、代替暗号化技術4014、CKGとインターフェイスするためのアプリケーション4016、他のクリプトビルディングブロック4018、その他など、CTPエンティティ4011もまた、別々に、サブセットで、または共に提供されてもよい。また、CSP4020は、ストレージサービス4024およびサービスホスティング4028をそれぞれホストするCSP4022、4026など、同数の分離したサービスプロバイダであると考えることができ、または、そのようなサービスは共に提供されてもよい。
信頼できるエコシステム内の1つまたは複数の関係者によってホストされたCKGまたはCKGインスタンス(複数可)は、単一のモノリシックなエンティティである必要はないことは理解されよう。むしろ、CKGは、協力してキーを生成するいくつかの(冗長)エンティティに分離可能であり、関係者の小さいサブセットがオフラインである場合でさえ、操作が継続できるようになる。一実施形態では、オプションとして、関係者のセットは、これらの関係者の小さいサブセットが敵対者によって危殆化されており、または他の方法で使用不可能または信頼されなくなった場合でさえ、全体として信頼されうる。
図41は、企業4100のためのクラウドサービスを行うための信頼できるエコシステムのさらなる利点を例示する、もう1つのアーキテクチャ図である。例として、企業4100は、異なる組織4102、4104、4106、4108を含みうる。この図における異なる組織4102、4104、4106、4108は、組織が、システムの使用またはキー生成のためのポリシを実装することに関して、それだけ多くまたはそれだけ少ない所有権を引き受けることができることを例示する。例として、組織4102は、それ自体のポリシ4112を実装するが、集中キージェネレータ4122を使用するのに対して、組織4104は、それ自体のキージェネレータ4124を実装し、それ自体のポリシ4114を実装することを選択する。組織4106もまた、それ自体のポリシを実装するが、サードパーティCKG4126に依拠するのに対して、組織4108は、サードパーティポリシプロバイダ4118および独立したCKG4128に依拠することを選択する。
この点について、データを発行するために、発行者4140は、CKG4122からの出力に基づいて、データを暗号化するための公開パラメータ4135を得る。公開パラメータに基づいて、4145で、データが、発行者デバイス4140によって、独立した暗号技術プロバイダを使用して暗号化される。暗号化されたデータは、ストレージ抽象化サービス4150へアップロードされ、ストレージ抽象化サービス4150は、CSP4172、4174、4176または4178など、1つまたは複数のCSP4170によって、暗号化されたデータを格納することに関連したストレージセマンティクスを隠す。サブスクライバデバイス4160上で、データを求める要求は、CKG4122からプライベート秘密キー4165を生成する結果となる。プライベート秘密キー4165は、サブスクライバデバイス4160が、4155でデータを暗号化解除することによって、検索可能暗号化されたデータに選択的にアクセスできるようにする、情報を含む。ここでもまた、CSP4170からデータを取得するセマンティクスは、ストレージ抽象化サービス4150によって隠される。また、サブスクライバデバイス4160に付与された特権は、発行者/所有者によって付与された能力の遅延バインディングにより、現在の特権のセットである。
複数のデータ所有者、企業または消費者が、本明細書で説明されるような信頼できるエコシステムに関与して、信頼された関係を確立できることは、図41から理解されよう。そのような場合、各所有者は、自身のCKG(例えば、組織4104のCKG4124)をホストまたは制御して、要求されたデータのすべての共同所有者から必要なキーを収集するために、データを求める要求またはクエリが対応するCKGへ転送されるようにすることができる。
図42は、ストレージ抽象化レイヤ4210を介した異なるストレージプロバイダの適応を例示する、もう1つのブロック図である。信頼できるエコシステムでは、クライアントアプリケーション4240、4242をそれぞれ有するデスクトップ4230、4232は、上記のようにデータを発行またはサブスクライブして、キー生成用センタ4220に対して、データの暗号化または暗号化解除で使用するためのキー情報を求める要求を開始してもよい。同様に、サービス4244、4246、4248もまた、エコシステム内の発行者および/またはサブスクライバであってもよい。この点について、プライベートクラウドストア4200、SQLデータサービスストア4202、または、シンプルストレージウェブサービス4204などのうちいずれかによって、データのストレージまたは抽出を行うために、ストレージ抽象化サービス4210は、その名前が暗示するように、特定の1つまたは複数のストレージリポジトリについての詳細を、クライアントから離すように抽象化する。
この点について、不確かさを避けるため、図42は、複数の状況を対象としている。ある状況では、図42は、時として、計算およびストレージ抽象化(CSA)とも呼ばれる、ストレージ抽象化サービスを通じて、ストレージプロバイダの仲介の切断(それらを個体として抽象化する)を包含する。加えて、図42は、データが、同じタイプであっても異なるタイプであってもよい複数のバックエンドストレージプロバイダにセグメント化かつ/または展開され(例えば、冗長性のため)、バックエンドストレージプロバイダの1つ(または少数)がそのデータのそれらのコピーを偶然または意図的に削除または改変する場合であっても、元のデータが再構成可能にされる、シナリオを包含する。
図43は、プライベートクラウドストア4300、SQLデータストア4302、シンプルストレージウェブサービスストア4304などのストレージの詳細を抽象化する、サーバオペレーティングシステム(OS)4314およびストレージサービス4312を含むストレージ抽象化サービス4310に関連した、ストレージのさらなる態様を例示する。クライアントは、クライアントアプリケーション4340および4342をそれぞれ有する、デスクトップ4350または4352であってもよい。キー生成用センタ4320は、サーバOS4324上で実行するキージェネレータアプリケーション4322を含みうる。この点について、アクティブディレクトリ4336、サーバOS4334およびセキュリティトークンサービス(STS)4332を有する組織4330は、エコシステム内の発行者またはサブスクライバであってもよい。この点について、ストレージ転送フォーマット(STF)は、暗号化されたデータおよびメタデータを複数のリポジトリに渡って交換するために使用可能である、標準相互交換フォーマットである。例として、組織4330は、ストレージサービスプロバイダ4300、4302または4304の間で電子メールデータを転送することを望むことがあり、その場合、STFが使用可能である。
図44は、信頼できるエコシステム4420における様々な異なる関係者を例示する、もう1つのブロック図である。上述のように、有利には、企業4400は、データのボリュームのストレージおよび維持を、オンサイトから、そのようなボリュームを取り扱うことにより適したクラウドストレージサービスプロバイダへオフロードすると同時に、データが間違ったサブスクライバへ暗号化解除されないという安心感を維持することができ、その理由は、企業が、暗号化されたデータに対して定義された能力に対する制御を維持するからである。例として、組織4402は、Sharepointなど、共同アプリケーション4412を操作することがある。この点について、組織4402は、sharepointデータのために、デジタルエスクロー、または、信頼されたドメインをセットアップしてもよい。ポリシ4432およびCKG4434は、第1のデータセンタ4430によって実装可能であり、第1のデータセンタ4430は、信頼されたドメインのための暗号キー情報4445を定義することによって、安全な空間をセットアップするように動作する。
次いで、例えば、発行者4414として振る舞う、別の組織4404は、CKG4434から得られたキー情報に基づいてデータを暗号化することができ、その時点で、第2のデータセンタ4440のコンピュータおよびストレージ抽象化コンポーネント4442は、第3のデータセンタ4450で、例えば、CSP4452内で、検索可能暗号化されたデータを格納する詳細を扱う。その反対に、組織4404のサブスクライバ4416がデータを要求するとき、プライベートまたは秘密キー情報がサブスクライバ4416へ、抽出4465の一部として配信される。次に、サブスクライバのために定義された能力を含むプライベートキー情報に基づいて、4475で、サブスクライバが特権を有し、かつ、ここでもまた抽象化レイヤ4442が基になるストレージ4452の詳細を扱うと仮定して、サブスクライバによって要求されたデータが暗号化解除される。
図45は、異なるかまたは同じエンティティによって異なる部分が提供されうる、信頼できるクラウドコンピューティングシステムの例示的、非限定的な実装のいくつかのレイヤの代表的な図である。レイヤスタックの底部には、暗号化/暗号化解除アルゴリズムを実装するために使用される数学および暗号ライブラリ4586がある。様々な暗号方式の定義の抽象化は、詳細なライブラリ4586と検索可能暗号方式の実際の実装4582の間の中間レイヤ4584として提供されうる。全体として、レイヤ4582、4584および4586は、より大きい暗号サービスレイヤ4580を形成し、暗号サービスレイヤ4580は、サービス(SaaS)アプリケーションエコシステムとしてのソフトウェアのための抽象化レイヤ4560と組み合わせられるとき、信頼されたデジタルエスクロー4570、および、したがってストレージの実装のための基礎を形成する。抽象化レイヤ4560は、デジタルエスクローパターン、すなわち、SetUp()、Encrypt()、Extract()、Decrypt()、その他など、コマンドを実装するために使用される基本言語を含む。
抽象化レイヤ4560の上には、様々なより特定のプラットフォーム技術(例えば、SDS、Azure、バックアップ/アーカイブ、RMS、STSなど)に結び付くレイヤ4550がある。様々な特定のプラットフォーム技術に結び付くレイヤ4550の上には、信頼されたデジタルエスクローを使用する様々なSaaSアプリケーション4500がある。例示的、非限定的な例示は、デジタルエスクローアプリケーション4500が単一の会社4510によって、またはパートナー4530によって、または両方によって実装可能であることを示す。例として、会社4510は、高性能コンピューティング(HPC)、電子情報開示および法的証拠開示(eDiscovery and Legal Discovery)4514、Liveサービス4516(例えば、DBox)、サービスとしてのバックアップ/アーカイブ4518、監査ログ−ビジネス処理および監視4520、または、他のクラウドサービス4522など、サービスを実装してもよい。同様に、パートナー4530は、eLetterOfCredit4532、バーティカルのためのサービスとしてのHPC4534、eHealthサービス、安全なエクストラネット4538、コンプライアンス4540、訴訟サポート4542、その他など、サービスを実装することができる。
信頼できるクラウドサービスエコシステムに基づいたシナリオ
本明細書で説明されるキージェネレータ、クリプトプロバイダおよびクラウドサービスプロバイダ、ならびに他の技術(複数可)の分割に固有の増大された信頼により、あらゆるタイプのアプリケーションをクラウド内で実現することができる。この点について、このような信頼できるクラウドサービスエコシステムを可能にしているので、本明細書で説明される信頼できるエコシステムの利点のうち1つまたは複数を活用する、豊富なサービスおよびシナリオのセットを実現することができる。
例として、図46は、上記のように、遅延バインディングにより、データに対する、発行者により制御された選択的アクセスを提供する方法で、ドキュメントをデジタル金庫アプリケーションに発行するための例示的、非限定的な処理の流れ図である。4600で、デバイスが認証される(例えば、デバイスが、ユーザ名およびパスワード、パスワード資格情報、生体認証資格情報、Live ID資格情報などによりログインする)。4610で、ドキュメント(複数可)がアップロードされ、タグが入力される。4620で、これらのタグがエスクローエージェントへ送信され、応答において、ハッシュされたタグがエスクローエージェントから受信される。この点について、これらのタグは、上述のように供給可能であり、あるいは、例えば、フルテキストインデクシングを通じて、ペイロード(レコード、ドキュメント)から自動的に抽出可能である。4630で、クライアントが、発行者のキー情報により、ドキュメントを暗号化し、このドキュメント(複数可)が、このドキュメント(複数可)に関するサブスクライバのための能力と共に、安全なデジタルクラウドストレージプロバイダへ送信される。4640で、安全なデジタルクラウドストレージプロバイダが、暗号化されたブロブをストレージサービスへ、例えば、ストレージ抽象化レイヤに対して、送信する。
図47は、デジタル金庫に配置された素材にサブスクライブするための例示的、非限定的な処理の流れ図である。4700で、サブスクライバが認証され、4710で、クライアントデバイスがタグをエスクローエージェントへ送信し、エスクローエージェントは、応答において、ハッシュされたタグを返送する。クライアントが次いで、4720で、ハッシュされたタグをデジタル金庫サービスへ送信し、ハッシュされたタグが解釈されて、4730で、クライアントがその検索要求をストレージサービスによって全体的に行わせる資格があるか、部分的に行わせる資格があるかが理解される。
図48は、デジタルエスクローパターンを使用して、1つまたは複数のデータセンタを介して、企業のための安全なエクストラネットを実装する、信頼できるクラウドサービスの例示的、非限定的な実装を例示する。上述のように、信頼できるコンピューティングエコシステムは、暗号技術プロバイダ(CTP)4810から分離して実装されたキー生成用センタ4800を含んでもよく、暗号技術プロバイダ(CTP)4810は、1つまたは複数のクラウドサービスプロバイダ(CSP)4820から分離して実装される、エコシステムと一致する暗号技術を実装する際に使用するための、参照実装を提供する。安全なエクストラネットの例示的、非限定的な実装では、4880は、企業が、共有リポジトリ4870(例えば、SharePoint)、および、共有リポジトリ4870内のドキュメントに関連して使用するための設計または解析アプリケーションのリポジトリ4860を維持することを示す。ビジネスソフトウェア4840(例えば、Sentinel)は、デスクトップ4850を有するコンピュータのためのアプリケーションまたはサーバ性能などを監視することができる。
この点について、信頼できるクラウドサービスエコシステムでは、デスクトップ4850を使用するサブスクライバがストレージから選択的にアクセス可能かつ暗号化された情報を求めるとき、セキュリティトークンサービス4830は、4882で、サブスクライバを識別するためのある情報を配信することができ、CKG4800は、4884によって示されるように、第1のデータセンタのCKGレイヤ4802のインターフェイスを介して情報の求めを受けることができる。CKG4800はキー情報を返し、キー情報が次いで、4886によって示されるように、ストレージ抽象化サービス4822を介してデータサービス4824によって保持されたデータに選択的にアクセスするために使用可能である。あらゆるタイプのデータが、したがって、企業の全域で、かつ、企業内のサブスクライバの役割に従って選択的に共有可能である。
図49は、例えば、企業内で、サブスクライバが、CSPによって格納された暗号化されたデータへの選択的アクセスを与えられる、信頼できるクラウドサービスエコシステムに基づいた、もう1つの例示的、非限定的なシナリオを例示する流れ図である。最初は、サブスクライバデバイスは、暗号化されたデータにアクセスするための特権を獲得していない。どのようにでも、例えば、4900で、アプリケーションとインタラクトすることによって、暗号化されたデータの一部または全部を求める要求を行うことによって、4910で、アプリケーションが、クレーム(暗号法の専門語による)を得るために、対応するSTSと自動的に通信する。4920で、アプリケーションがCKGと通信して、サブスクライバのための能力についての情報をエンコードするキー情報を得る(能力は、時として、暗号法の専門語でトラップドアと呼ばれるが、能力という用語は、トラップドアという用語が典型的に現れる状況に制限されない)。最後に、4930で、アプリケーションがキー情報をCSPへ提供し、CSPは、サブスクライバの能力によって可能にされる範囲で、暗号化されたデータに対する検索またはクエリを許可する。
図50は、アプリケーションの応答を、サインイン情報に基づいて、サブスクライバに合わせて調整できることを例示する、もう1つの流れ図である。例として、5000で、ユーザID情報がアプリケーションによって受信される。5010で、アプリケーションが、STSから関連クレームを得る。5020で、ユーザID情報に関連付けられたユーザによって果たされた1つまたは複数の役割に基づいて、経験を、それらの役割のための特権/制限に相応に合わせて調整することができる。例として、会社の暗号化されたデータ上の表示として会社の最高財務責任者に提示されるユーザ経験は、郵便室の従業員に与えられた会社の暗号化されたデータ上の表示とは異なるユーザ経験であることが可能であり、そうであるべきである。図50は、単一またはマルチパーティのログインシナリオに適用可能である。
図51は、単一のパーティまたは複数のパーティのために実装されうる、安全なレコードアップロードシナリオを例示する、もう1つの流れ図である。5100で、レコードおよびキーワードが、アプリケーションによって受信され、例えば、そのアプリケーションを有するデバイスのユーザによって提供または指定される。5110で、アプリケーションが、マスター公開キー(MPK)を得て、キーワード検索可能な公開キー暗号化(public key encryption keyword searchable)(PEKS)アルゴリズム(複数可)を適用する。MPKは、オプションとして、アプリケーションによってキャッシュ可能である。5120で、アプリケーションが、暗号化されたレコードをCSPリポジトリへ、例えば、ストレージ抽象化レイヤを介して入力する。
図52は、例えば、単一のパーティによる自動検索のために、信頼できるクラウドサービスエコシステムによって可能にされた、検索可能暗号化されたデータストアに対する役割ベースのクエリを行う、例示的、非限定的な実装を例示する、さらにもう1つの流れ図である。5200で、連言的クエリ(conjunctive query)がアプリケーションによって受信または開始される。5210で、アプリケーションが、STSから関連クレームを得る。例として、STSは、ユーザの役割(複数可)を適切なクエリグループ(複数可)にマップし、所与の役割(複数可)のための法的なクエリセットを返す。5220で、アプリケーションが、フィルタリングされたクレームおよびクエリを提出し、すべてのクレーム(複数可)ではなく、クエリに対応するクレーム(複数可)を効率的に提出できるようにする。オプションとして、CKGは、トラップドアクレーム(複数可)をアプリケーションへ返す(または、クレームを拒否する)。5230で、アプリケーションが、トラップドアクレームをリモートインデックスにおいて実行する。リモートインデックスに対する処理に基づいて、結果が受信され、例えば、ユーザの役割(複数可)に基づいたカスタムレンダリングを使用して、アプリケーションによってユーザにレンダリングすることができる。
図53は、ある企業が、その暗号化されたデータの一部へのアクセスを外部企業に提供する、マルチパーティ協調シナリオを例示する流れ図である。例えば、製造元は、信頼できるクラウド内に格納されたそのデータの一部へのアクセスを供給元に許可してもよく、逆もまた同様である。この点について、5300で、企業2のSTSがリソースプロバイダとして指定され、企業1のアプリケーションは続けて、クラウド内のリソースプロバイダによって提供されたリソースへのアクセスのためのクレームを得る。5310で、企業1のSTSが識別プロバイダとして指定される。この点において、アプリケーションは、識別プロバイダによって容易にされるように、企業1でサブスクライバによって定義された役割または役割のセットのためのクレームを得る。5320で、クレームが、企業2によって制御された許可可能なリソースに基づいて、かつ、サブスクライブ側エンティティの役割(複数可)によって定義された許可/能力に基づいて、アプリケーションによって取得される。図53では、ただ1つのSTSが図示されるが、デジタルエスクローまたはフェデレーション信頼オーバーレイ内に、複数の識別プロバイダSTSおよび/または複数のリソースプロバイダSTSがありうることに留意されたい。
図54は、例えば、企業1および企業2など、複数の企業の間のマルチパーティ自動検索シナリオを例示する流れ図である。5400で、連言的クエリが、企業1のアプリケーションによって、実行のために受信または開始される。5410で、アプリケーションが、リソースプロバイダ(企業2)のSTSから関連クレームを得る。リソースプロバイダは、オプションとして、組織タグ内で指定されうる。STSは、オプションとして、クエリグループへのユーザの役割のマッピングを行い、法的なクエリセットがユーザの役割のために返されるようにすることができる。5420で、アプリケーションが、ユーザの役割に基づいて、フィルタリングされたクレームおよびクエリを提出する。すべてのクレーム(複数可)ではなく、クエリに対応するクレームを効率的に提出することができる。オプションとして、CKGは、能力をアプリケーションへ返し(例えば、トラップドアクレーム)、または、CKGは、クレームを拒否する。5440で、アプリケーションが、トラップドアクレームをリモートインデックスにおいて実行する。リモートインデックスに対する処理に基づいて、結果が受信され、例えば、ユーザの役割(複数可)に基づいたカスタムレンダリングを使用して、アプリケーションによってユーザにレンダリングすることができる。
この方法は、連言的クエリを受信するか、またはそうでなければ連言クエリ(conjunction query)を開始するステップを含みうる。この点について、オプションとして、連言的クエリをまた暗号で保護して、どのトラップドア(または能力)の受信者、クライアントまたはサービスプロバイダも、連言的クエリを分解してその構成部分を決定することができないようにすることもできる。
図55は、信頼できるクラウドサービスのために実装されうる、例示的、非限定的なエッジ計算ネットワーク(ECN)技術を例示する。この点について、複数の動的計算ノード5570、5572、5574、5576は、互いから独立して動作する信頼できるクラウドコンポーネントのセットに関連して、計算帯域幅のために動的に割り振られる。例として、キー生成用センタ5520、ストレージ抽象化サービス5510、組織5530および組織5540は、図示のように、上述されたものなど、複数の組織のビジネスまたは他のシナリオを包含するように実装可能である。キー生成用センタ5520は、キージェネレータ5522およびサーバOS5524を含む。ストレージ抽象化サービス5510は、ストレージサービスコンポーネント5512およびサーバOS5514を含む。組織5530は、STS5532、AD5536およびサーバOS5534を含む。組織5540は、STS5542、AD5546およびサーバOS5544を含む。サーバOS5514、5524、5534、5544は、協力して、複数のサーバに渡ってECNを実装する。任意のストレージプロバイダまたは抽象化5502を、データの格納のために使用することができ、例えば、SQLデータサービスを採用することができる。このように、1つまたは複数のデスクトップ5550、5552は、クライアントアプリケーション5560、5562をそれぞれ介して、データを発行またはサブスクライブすることができる。
図56は、信頼できるクラウドサービスエコシステムによる、キー生成用センタ5610の1つまたは複数のオプションの態様を例示するブロック図である。最初に、デスクトップ5660、5662およびそれぞれのクライアントアプリケーション5670、5672、または、サービスもしくはサーバ5674、5676、5678、その他など、コンピューティングデバイスのセットは、クラウドコンテンツ配信ネットワーク5650に対する潜在的な発行者および/またはサブスクライバである。しかし、このコンピューティングデバイスのセットのいずれかからの要求を満たすことに先立って、最初に、キー生成用センタは、公開キーに基づいてデータを暗号化する発行者のための信頼のための管理人としての機能を果たし、それらの能力に基づいて、プライベートキーをデータサブスクライバへ分配する。
例示的、非限定的なインタラクションでは、最初に、コンピューティングデバイスからの要求が5600でプロビジョニングされ、5680で、CKG5610のホスト側がCKGファクトリ5602からCKG5610のインスタンスを要求する。次に、5682で、ユーザ認証5604が行われる。次に、任意の使用ベースの請求5684が、請求システム5606によって、CKGファクトリ5602の使用に対して適用されうる。次に、5686で、テナントCKGが、CKGファクトリ5602によって具現化され、テナントCKGは、MPK配信コンポーネント5612、クライアントライブラリダウンローダ5614、秘密キーエクストラクタ5616および信頼検証者/確認者5618を含みうる。
5688で、MPK配信コンポーネント5612は、MPKをCDN5650へ配信する。クライアントライブラリダウンローダ5614は、発行されるデータを暗号化すること、または、それに対してデバイスがサブスクライブされるデータを暗号化解除することに関連して使用可能である、クリプトライブラリを要求側クライアントへダウンロードする。次に、クライアントは、秘密キーエクストラクタ5616から受信されたキー情報に基づいて、所与のドキュメントのセットを抽出するための要求を行い、秘密キーエクストラクタ5616は、信頼確認者5618と協力し、信頼確認者5618は、5694で、例えば、要求に関与する組織の異なるSTS5620、5622、5624、5626との通信に基づいて、サブスクライバのSTSサムプリントを確認することに基づいて、サブスクライバが一定の能力を有することを検証することができる。他の実施形態におけるように、ストレージ抽象化サービス5640は、データベースサービス5630(例えば、SQL)のストレージ詳細を抽象化するために提供されうる。
図57は、ネットワークサービス5720の配信に関連して、検証および/または確認を有する、検索可能暗号化されたデータ5710を含む、信頼できるストア5700の例示的、非限定的な実施形態のブロック図である。この実施形態では、サブスクライバ5740またはサブスクライバ5740によって使用されたアプリケーションは、暗号化されたストア5700の一定の部分にアクセスするための要求の一部として、実際に受信された項目が受信されるべきであった項目でもあることを検証するために、要求から返された項目に対して検証証明が実行されることを要求することができる。この点について、図57は、検索可能暗号化技術と検証のための技術との組み合わせを例示する。オプションとして、このシステムはまた、本明細書で他の実施形態において説明されたように、クレームベースの識別およびアクセス管理と統合されてもよい。この点について、デジタルエスクローパターンはまた、本明細書で様々な実施形態において説明されたように、フェデレーション信頼オーバーレイとも呼ばれ、より従来のクレームベースの認証システムとシームレスに統合可能である。
図57では、信頼できるデータストア5700、または、そのデータストアのサービスプロバイダもしくはホスト側は、証明ステップを行うのに対して、データの所有者(例えば、サブスクライバデバイス)は、検証を行う。データストア5700は信頼されており、その理由は、データストア5700が強力な保証を提供するという信頼をユーザが有することができるからであるが、そのデータを実際にホストする物理的エンティティ、および、いくつかの関係者が十分に信頼されていないことは理解されよう。
図58は、検証ステップを含む、サブスクライブするための例示的、非限定的な処理を例示する流れ図である。5800で、検索可能暗号化されたデータのサブセットが、サブスクライバデバイスから受信される。5810で、暗号キー情報が、そのサブスクライバデバイスの識別情報に基づいてその暗号キー情報を生成するキー生成インスタンスから、生成される。5820で、暗号化されたデータのサブセットが、暗号キー情報内で定義された、そのサブスクライバデバイスに付与された能力に応じて、暗号化解除される。5830で、サブセット内で表された項目を検証することができ(例えば、データ保有の証明(複数可))、5840で、データがアクセスされる。
多くの場合、PDP/PORを暗号化されたデータに対して、それを暗号化解除する必要なしに実行できることが望ましい。オプションとして、PDPのために必要とされるキー情報を、検索可能暗号化により保護されたメタデータ内でエンコードすることができる。これは、PDP/PORのために使用されるキーを管理する有効な方法であるが、クリアテキストコンテンツへのアクセスを必要とせずに、PDP/PORを暗号化されたデータ上で行うことができる、多数の高価値のシナリオがあることに留意されたい。
図59は、確認者5900(例えば、データ所有者)が暗号チャレンジ5920を証明者5910(例えば、データサービスプロバイダ)へ発行する、例示的、非限定的な検証チャレンジ/レスポンスプロトコルを例示する。チャレンジ5920を受信すると、証明者5910は、5912で、データおよびチャレンジの関数として、レスポンスを計算する。チャレンジレスポンス5930は次いで、確認者5900へ返され、確認者5900は次いで、5902で、データが修正されていないことを確認または証明するために計算を行う。
図59に概して例示された検証は、プライベートPDPとして知られるが、サードパーティにキー(「公開」キー)が提供され、サードパーティが、実際のデータについて何も知るようになることなく、類似のプロトコルに従って確認者としての機能を果たすようになる、「公開」バージョンもあることに留意されたい。PORは、確認の一例であり、データが(いかなる破損/修正にもかかわらず)取得可能であるという証明を提供する点で、PDPとは異なるが、以下の図30に例示されるように、基本的なプロトコルは同じであり、しかし、ドキュメントの構造および実際のアルゴリズムは異なる。本明細書の信頼できるエコシステムの様々な実装は、検索可能暗号化およびPOR/PDPと結合して、システムに利益を与え、信頼を支える。この点について、データをサービスプロバイダに提出する前に、データは検索可能暗号化され、データの後処理は、PORおよび/またはPDPを含みうる。
加えて、「データ分散」技術を、オプションとして、さらにより強力な保証を提供する必要がある場合、上記の実施形態のうちいずれか1つまたは複数においてオーバーレイすることができる。データ分散では、いずれかの単一のサービスプロバイダにおける「大変悪い動作」または壊滅的損失に対する復元性のために、いくつかのサービスプロバイダにデータが分散される。本明細書で説明される信頼機構を使用して、この分散は、複数の独立したサービスプロバイダが共謀してデータを破損することが困難になる方法で行われる。これは、上記の分散CKGの実施形態と概念が類似している。
図60は、発行者2530からのデータのためのネットワークサービス2520の配信に関連して、検証および/または確認を有する、検索可能暗号化されたデータ2510を含む、信頼できるストア2500のもう1つの例示的、非限定的な実施形態のブロック図である。具体的には、図60は、サブスクライバ2540へ返された項目が改ざんされなかったか、または、そうでなければうっかりして改変されなかったことを確認するための、確認コンポーネント6050を例示する。上述のPDPは、確認の非限定的な例である。
図61は、検証ステップを含む、サブスクライブするための例示的、非限定的な処理を例示する流れ図である。6100で、検索可能暗号化されたデータのサブセットが、サブスクライバデバイスから受信される。6110で、暗号キー情報が、そのサブスクライバデバイスの識別情報に基づいてその暗号キー情報を生成するキー生成インスタンスから、生成される。6120で、暗号化されたデータのサブセットが、暗号キー情報内で定義された、そのサブスクライバデバイスに付与された能力に応じて、暗号化解除される。6130で、サブセット内で表された項目のコンテンツを確認することができ(例えば、取得可能性の証明(複数可))、6140で、データがアクセスされる。
図62は、確認者6200(例えば、データ所有者)が暗号チャレンジ6220を証明者6210(例えば、データサービスプロバイダ)へ発行する、もう1つの例示的、非限定的な確認チャレンジ/レスポンスプロトコルを例示する。チャレンジ6220を受信すると、証明者6210は、6212で、データおよびチャレンジの関数として、レスポンスを計算する。チャレンジレスポンス6230は次いで、確認者6200へ返され、確認者6200は次いで、6202で、データが取得可能であることを確認または証明するために計算を行う。
ブラインドフィンガープリントは、典型的には、ネットワークを介した冗長データの交換を最小限にするために使用される、ラビンフィンガープリントなど、ネットワーク重複排除技術を拡張する別の種類の暗号技術を表す。本明細書の様々な実施形態では、フィンガープリンティングは、プロトコル内の関係者、例えば、データのストレージの場合はCSPが、それらがホスト中であるデータの実際のコンテンツに気付かないように、適用される。
ブラインドフィンガープリントに関するある追加の状況では、データの維持を含む、複数のワイドエリアネットワーク(WAN)に渡る任意の大規模なデータの交換は、送信中に「重複排除」するため、または、送信中に不要なデータが送られないことを確実にするための技術を望むようになる。これは、データのセグメントにフィンガープリンティングを行い、次いで、フィンガープリントを交換して、受信者が有していない何を送信者が有するかを送信者が知るようにすることによって、遂行される。また、受信者は、何のデータを送信者に求める必要があるかを知る。分散ファイルサービスレプリケーション(DFS−R)を、WANを介したブランチオフィスバックアップおよび分散ファイルシステムなど、シナリオにおけるデータ交換を最適にするために使用することができる。
Exchangeの場合、かなりのデータの重複があり、送信中のデータの最大50%以上がいかなるときでも複製となりうる可能性がある。フィンガープリントは、例えば、電子メール、カレンダ項目、タスク、連絡先など、ブロックレベルで、またはオブジェクトレベルで得ることができる。フィンガープリントは、プライマリデータセンタおよびセカンダリデータセンタの両方でキャッシュ可能である。したがって、プライマリデータセンタで障害がある場合、セカンダリデータをプライマリデータセンタへ、フィンガープリントと共に復元することができる。プライマリデータセンタでのデータの暗号化は、それにもかかわらず、フィンガープリントが、曖昧化されるにもかかわらず、セカンダリデータセンタのオペレータにとって可視となることを可能にするべきである。これは、例えば、フィンガープリントを検索可能暗号化によりキーワード/メタデータとして格納することによって達成可能であるので、セカンダリデータセンタ内の承認されたエンティティ/エージェント以外、他のどのエンティティもパターンを検出できなくなる。
データサービスに関連して、全部または増分を出すとき、プライマリデータセンタは、ログ内の各項目/セグメント/ブロック、またはEDBを検査し、フィンガープリントのローカルコピーを調べることができる。一致がある場合、プライマリデータセンタは、その項目/セグメント/ブロックをフィンガープリントで置き換える。フィンガープリンティングが適用される方法のために、「ブラインドフィンガープリント」という用語が、したがって、本明細書で言及される。一実施形態では、ブラインドフィンガープリンティングを達成するための暗号技術の選択には、サイズ保存暗号技術が含まれる。
図63は、ブラインドフィンガープリンティングを含むサービスの1つまたは複数の実施形態を提供するための全体的な環境のブロック図である。ブラインドフィンガープリントでは、データサブスクライバ6300およびデータサービスプロバイダ6310は、フィンガープリント交換を経て、代理として、バックアップされているデータセットの各ローカルおよびバックアップコピー上で何のデータセグメントが既に保有されているかについて理解する。フィンガープリント交換6320の結果として、修正データの縮小されたセットが、6302で、重複排除された修正データ6330としてデータサービスプロバイダ6310へ送信するために決定され、データサービスプロバイダ6310は次いで、6340で、重複排除された修正データおよび任意のブラインドフィンガープリントに選択的にアクセスすることに基づいて、修正データを適用する。
図64は、複数の独立したフェデレーション信頼オーバーレイ、またはデジタルエスクローが、レイヤ化された手法のために並んで、または互いの上に存在することができる、非限定的なシナリオを例示するブロック図である。このシナリオでは、様々なネットワークサービス(複数可)6420が基づくことができる、検索可能暗号化されたデータ6410を有する、信頼できるデータストア6400がある。例として、ネットワークサービス(複数可)6420は、文書処理ソフトウェアをクラウドサービスとして配信することを含みうる。地理的分布の一部として、または他の方法で、オプションとして、複数のオーバーレイ/エスクロー6432、6434、6436が提供されてもよく、各々が異なるアプリケーション/バーティカル/コンプライアンスの必要性/主権エンティティ要件に合わせられて、発行者2530またはサブスクライバ6450が、例えば、管轄区域/居住地の要件またはエリアのセットに基づいて、暗黙的または明示的に、関与するべき正確なオーバーレイ/エスクローを選択するようにする。オーバーレイは、したがって変化することがあるが、クラウドからのバックエンドサービスは、コアサービス自体の配信を複雑にすることなく、同じ状態であることが可能である。
図65は、承認されていないアクセスに対してデータを曖昧化するためのデータ分散技術を含む、信頼できるストアのもう1つの例示的、非限定的な実施形態のブロック図である。この例は、データを隠すかまたは曖昧化するための手段として暗号化技術を提供する上記の技術またはシステムのすべてが、データ(またはメタデータ)への可視性を防止する任意の他の数学的変換またはアルゴリズムによっても実装可能であることを実証する。この点について、例として、データは、データストアのセットに渡って自動的にデフラグまたは分散可能であり、これらのデータストアは同じタイプであってもよく、または、図65に示すように、異なるタイプのコンテナ6512、6514、...、6516であってもよい。
このシステムは、したがって、データストア6500を含み、データストア6500は、抽象化として、選択的にアクセス可能なデータまたはメタデータ6510を格納するためのデータストア6512、6514、...、6516を含む。発行者は、少なくとも1つのリソースを表すデータまたはメタデータ6510をデータストア6500へ発行することができ、第1の独立エンティティ6550は、発行されたようなデータまたはメタデータに適用可能なアクセス情報の生成を行い、第2の独立エンティティ6560は、発行されたようなデータまたはメタデータを格納するデータストアのセットの知識を維持しながら、データストア6500のデータストアのセットに渡って、発行されたようなデータまたはメタデータを分散させる。
この知識は、したがって、アクセス情報なしでは明らかにすることができない秘密である。データまたはメタデータ6510は、ネットワークサービス(複数可)6520を介して発行可能であり、ネットワークサービス(複数可)6520は、少なくとも1つのリソースの発行者(複数可)または所有者(複数可)によって付与され、かつ、アクセス情報によって表された、遅延バインドされた、選択された特権に基づいて、ネットワークサービスに対する所与の要求のために発行されたような、データまたはメタデータへの選択的アクセスを提供する。データストア6500は、同じかまたは異種のコンテナタイプの複数のコンテナを含み、発行されたようなデータまたはメタデータは、この複数のコンテナのうち少なくとも1つのコンテナに渡って自動的に分散される。この分散は、データディストリビュータ6560に知られている任意のアルゴリズムに基づくことができ、例えば、所与のアプリケーションのために適切であるデータもしくはメタデータの特性、または任意の他のパラメータに基づく、複数のコンテナによって表されたストレージリソースのリアルタイム解析に基づくことができる。
したがって、サブスクライバ6540がデータまたはメタデータ6510を求める要求を行うとき、ネットワークサービス(複数可)は、独立したエンティティ6550および/または6560に情報を求めて、サブスクライバ6540がデータのリアセンブリを可能にするアクセス情報を有することを許可されるかどうかを判定する。例として、データマップは、データのリアセンブリを許可する秘密であってもよい。データに対する追加の保護を提供するために、この実施形態を、暗号化など、他の数学的変換と組み合わせることができる。このような追加の数学的変換は、承認されたパーティに対する場合を除いてデータが不可視のままであるというさらなる安心感のための、追加の信頼の分散のために、さらなる独立エンティティによって監督されうる。
本明細書で説明されたものは、信頼できるデータサービスの配信を例示する様々な例示的、非限定的な実施形態である。これらの実施形態はスタンドアロンではなく、むしろ、適切な場合には互いに組み合わせることができる。加えて、上記の実施形態のいずれも、いくつかの代替方法において拡張可能である。例として、一実施形態では、信頼できるデータサービスは、データへのアクセスに対するより大きい度合いのセキュリティのために、トラップドアまたは能力の満了および失効を提供する。もう1つのオプションの実施形態では、例えば、暗号化/暗号化解除の一部としてコンテンツに添付された権利を保存するために、または、平文でより容易に認識可能もしくは検出可能である、デジタルエスクロー内の著作権のあるデータに対する行為を防止するために、権利管理レイヤが、信頼できるデータサービスのプロビジョニングに組み込まれる。したがって、本明細書で説明される実施形態のいかなる組み合わせまたは並べ替えも、本開示の範囲内として企図される。
例示的、非限定的な実装
デジタルエスクローパターンの例示的実装は、フェデレーション信頼オーバーレイ(FTO)と呼ばれる。付録Aにおいて添付されるものは、FTO実装についてのいくつかの追加の非限定的な詳細である。
この点について、デジタルエスクローパターンは、多数の可能なパターンおよび変形形態の単なる一例である。さらに、このパターン(発行者、サブスクライバ、アドミニストレータおよび監査者−および、場合によっては、上記のような他の専門の役割を含む)は、もう1つの基になるFTOパターン上にレイヤ化され、このFTOパターンは、CTP、CSP、CKGなどの「政教」分離を行い、信頼を維持する。互いに干渉することなく、また、互いの存在について知ることすらなく、存在することができる、複数の独立したFTOおよびDEPもありうる。また、DEPおよびFTOパターンをクラウドストレージ上にオーバーレイすることは、クラウドストレージサービスプロバイダが協力することなく、または、これらのパターン/オーバーレイの存在について知るようになることすらなく、可能である。
より詳細には、FTOは、クラウド内のデータサービスから独立しているサービスのセットである。これらのサービスは、データサービスのオペレータ以外のパーティによって操作され、クラウドサービスによってホストされたデータに対する機密性、改ざん検出および非否認に関する強力な保証を提供することができる。
あらゆるパートナーは、これらのオーバーレイサービスを構築かつホストすることができ、例えば、メディエータサービス、検証サービス、ストレージ抽象化サービスなどである。これらのパートナーは、参照実装をホストすること、または、オープンに入手可能なフォーマットおよびプロトコルに基づいて、それら自体の実装を構築することを選択してもよい。
フォーマット、プロトコルおよび参照実装のオープン性のため、FTOのオペレータおよびデータ所有者など、パーティ間の制御の分離を維持することが簡単になる。
暗号化はこのソリューションの要素であるが、異なるパーティに渡ってフェデレーションされるサービスのオーケストレーションもまた、このソリューションの一部である。従来の暗号化技術は多数のシナリオにとってやむを得ないものであるが、従来の暗号化技術は、複数の(信頼されていない)サービスをオーケストレートし、データリポジトリを検索するなどによる、改ざん検出、非否認、信頼構築のようなシナリオの多数を可能にすることを妨げる。
補足的状況
ある追加の非限定的な状況では、上記のように、クラウド提供物の信頼できるセットは、信頼の上に築くクラウドのためのアプリケーションエコシステムを可能にする。本明細書で使用される様々な専門用語には、CKG−キー生成用センタという、マルチテナントキー生成センタをホストするエンティティが含まれ、例えば、Microsoft、VeriSign、Fidelity、主権エンティティ、企業、コンプライアンスエンティティなどのいずれも、CKGをホストすることができる。この点について、マルチテナント性はオプションである(例えば、望ましいが、必須ではない)。他の専門用語には、CTP−クリプト技術プロバイダという、信頼できるエコシステムと共に使用するための暗号化技術を提供するエンティティが含まれ、例えば、Symantec、Certicom、Voltage、PGP Corp、BitArmor、企業、ガーディアン、主権エンティティなどのいずれも、CTPでありうる会社の例である。
加えて、CSP−クラウドサービスプロバイダという用語は、ストレージを含む、クラウドサービスを提供するエンティティである。様々な会社が、そのようなデータサービスを提供することができる。CIV−クラウドインデックス検証者は、返されたインデックスを検証するための第2のリポジトリである。CSA−計算およびストレージ抽象化は、ストレージバックエンドを抽象化する。STF−ストレージ転送フォーマットは、複数のリポジトリに渡ってデータ/メタデータを転送するための汎用フォーマットである。
この点について、上述のように、ある企業シナリオ(複数可)には、データサービス技術またはアプリケーションを使用したエクストラネットのエンジニアリング、設計およびエンジニアリング解析、製造元および供給元(複数可)の間のデータ関係を定義することなどが含まれる。ただ1つのエコシステムは、したがって、「超」信頼されたエンティティまたは単一危殆化点が存在しないように、複数のエンティティに渡って信頼を分散させることによって、すべての様々なシナリオのために可能にされる。
検索可能暗号化に関するある補足的状況については、ユーザは典型的には、キーワード(複数可)についての「能力」または「トラップドア」を有し、または得て、次いで、それらをサーバへ提示する「能力」を使用して、要求を送信する。サーバは、能力およびインデックスを「組み合わせ」て、関連ドキュメントまたはデータを発見する。ユーザには次いで、検索の結果生じるドキュメントのみへのアクセスが与えられる(しかし、ユーザは、単なるそれらのドキュメントを越えるものへのアクセスを有してもよい)。
上述のように、どの単一のアルゴリズムも、本明細書で説明されるような検索可能暗号化されたデータストアのプロビジョニングの限定として見なされるべきではないが、以下で一般に、例示的、非限定的なアルゴリズムの背後にある理論の一部の概略を述べ、検索可能対称暗号化(Searchable Symmetric Encryption)(SSE)パターンの手引きを提供する。
Figure 0005639660
ここでもまた、本明細書で説明されるいかなる実施形態の限定としても見なされるべきでないが、以下は、キーワード検索を有する公開キー暗号化(PEKS)パターンに関する手引きである。
公開キー暗号化
a.PKE=(Gen,Enc,Dec)
識別ベースの暗号化
b.IBE=(Gen,Enc,Extract,Dec)
c.マスターキーの生成
i.(msk,mpk)=IBE.Gen()
d.IDのためのmの暗号化
i.c=IBE.Enc(mpk,ID,m)
e.IDのための秘密キーの生成
i.sk=IBE.Extract(msk,ID)
f.暗号化解除
i.m=IBE.Dec(sk,c)
g.メッセージ:m
h.キーワード:w1,...,wn
i.エスクローキーの生成
i.(msk,mpk)=IBE.Gen()
ii.(pk,sk)=PKE.Gen()
j.暗号化
k.1≦i≦nについて
i.ci=IBE.Enc(mpk,wi,フラグ)
l.(PKE.Enc(pk,m),ci,...,cn)を返す
m.wのための能力またはトラップドアの生成
i.d=IBE.Extract(msk,w)
n.wのためのテスト
o.1≦i≦nについて
i.z=IBE.Dec(d,ci
ii.z=フラグの場合、「true」を出力する
K(m)を暗号化解除して、mを得る
例示的ネットワーク化および分散環境
本明細書で説明される、信頼できるクラウドサービスフレームワークおよび関連実施形態のための方法およびデバイスの様々な実施形態を、あらゆるコンピュータまたは他のクライアントもしくはサーバデバイスに関連して実装することができ、あらゆるコンピュータまたは他のクライアントもしくはサーバデバイスは、コンピュータネットワークの一部として、または、分散コンピューティング環境内で展開可能であり、かつ、あらゆる種類のデータストアに接続可能であることは、当業者には理解されよう。この点について、本明細書で説明される様々な実施形態を、任意の数のメモリまたはストレージユニット、ならびに、任意の数のストレージユニットに渡って生じる任意の数のアプリケーションおよび処理を有する、あらゆるコンピュータシステムまたは環境内で実装することができる。これには、限定されないが、リモートまたはローカルストレージを有する、ネットワーク環境または分散コンピューティング環境内で展開された、サーバコンピュータおよびクライアントコンピュータを有する環境が含まれる。
図66は、例示的ネットワーク化または分散コンピューティング環境の非限定的な概略図を提供する。分散コンピューティング環境は、コンピューティングオブジェクトまたはデバイス6610、6612など、および、コンピューティングオブジェクトまたはデバイス6620、6622、6624、6626、6628などを備え、これらのコンピューティングオブジェクトまたはデバイスは、アプリケーション6630、6632、6634、6636、6638によって表されるような、プログラム、方法、データストア、プログラマブルロジックなどを含んでもよい。コンピューティングオブジェクトまたはデバイス6610、6612など、および、コンピューティングオブジェクトまたはデバイス6620、6622、6624、6626、6628などは、PDA、オーディオ/ビデオデバイス、携帯電話、MP3プレイヤ、ラップトップ、その他など、異なるデバイスを備えてもよいことは理解されよう。
コンピューティングオブジェクトまたはデバイス6610、6612など、および、コンピューティングオブジェクトまたはデバイス6620、6622、6624、6626、6628などは、1つまたは複数の他のコンピューティングオブジェクトまたはデバイス6610、6612など、および、コンピューティングオブジェクトまたはデバイス6620、6622、6624、6626、6628などと、通信ネットワーク6640経由で、直接または間接的に通信することができる。図66では単一の要素として例示されるにもかかわらず、ネットワーク6640は、サービスを図66のシステムに提供する他のコンピューティングオブジェクトおよびコンピューティングデバイスを備えてもよく、かつ/または、図示されない複数の相互接続されたネットワークを表してもよい。コンピューティングオブジェクトまたはデバイス6610、6612など、または、6620、6622、6624、6626、6628などはまた、様々な実施形態によって提供されるような信頼できるクラウドコンピューティングサービスまたはアプリケーションとの通信またはその実装に適した、API、または、他のオブジェクト、ソフトウェア、ファームウェアおよび/もしくはハードウェアを使用することがある、アプリケーション6630、6632、6634、6636、6638など、アプリケーションを含んでもよい。
分散コンピューティング環境をサポートする、様々なシステム、コンポーネントおよびネットワーク構成がある。例えば、複数のコンピューティングシステムを共に、有線または無線システムによって、ローカルネットワークまたは幅広く分散されたネットワークによって、接続することができる。現在、多数のネットワークがインターネットに結合されており、インターネットは、幅広く分散されたコンピューティングのためのインフラストラクチャを提供し、多数の異なるネットワークを包含するが、任意のネットワークインフラストラクチャを、様々な実施形態において説明されたような技術に付随するようにされた例示的通信のために使用することができる。
したがって、クライアント/サーバ、ピアツーピア、またはハイブリッドのアーキテクチャなど、ネットワークトポロジおよびネットワークインフラストラクチャのホストを利用することができる。クライアント/サーバアーキテクチャ、特にネットワーク化されたシステムでは、クライアントは通常、別のコンピュータ、例えば、サーバによって提供された共有ネットワークリソースにアクセスする、コンピュータである。図66の例示では、非限定的な例として、コンピューティングオブジェクトまたはデバイス6620、6622、6624、6626、6628などを、クライアントとして考えることができ、コンピューティングオブジェクトまたはデバイス6610、6612などを、サーバとして考えることができ、ただし、コンピューティングオブジェクトまたはデバイス6610、6612などは、コンピューティングオブジェクトまたはデバイス6620、6622、6624、6626、6628などからデータを受信すること、データの格納、データの処理、コンピューティングオブジェクトまたはデバイス6620、6622、6624、6626、6628、その他など、クライアントへデータを送信することなど、データサービスを提供するが、状況に応じて、あらゆるコンピュータをクライアント、サーバまたは両方と見なすことができる。これらのコンピューティングデバイスのいずれも、データの処理、または、1つまたは複数の実施形態について本明細書で説明されるような、改良されたユーザプロファイリングおよび関連技術を関与させることがあるサービスもしくはタスクの要求を行っていることがある。
サーバは典型的には、インターネットまたは無線ネットワークインフラストラクチャなど、リモートまたはローカルネットワークを介してアクセス可能なリモートコンピュータシステムである。クライアント処理は、第1のコンピュータシステム内でアクティブであってもよく、サーバ処理は、第2のコンピュータシステム内でアクティブであってもよく、通信媒体を介して互いと通信し、よって、分散機能性を提供し、複数のクライアントがサーバの情報収集能力を活用できるようにする。ユーザプロファイリングに従って利用されるあらゆるソフトウェアオブジェクトは、スタンドアロンで提供されてもよく、または、複数のコンピューティングデバイスもしくはオブジェクトに渡って分散されてもよい。
通信ネットワーク/バス6640がインターネットであるネットワーク環境では、例えば、コンピューティングオブジェクトまたはデバイス6610、6612などは、ウェブサーバであってもよく、このウェブサーバと、コンピューティングオブジェクトまたはデバイス6620、6622、6624、6626、6628、その他など、クライアントは、ハイパーテキスト転送プロトコル(HTTP)など、いくつかの知られているプロトコルのうちいずれかを介して通信する。コンピューティングオブジェクトまたはデバイス6610、6612、その他など、サーバはまた、分散コンピューティング環境の特性を示すことがあるように、コンピューティングオブジェクトまたはデバイス6620、6622、6624、6626、6628、その他など、クライアントとしての機能も果たすことができる。
例示的コンピューティングデバイス
上述のように、本明細書で説明される様々な実施形態は、任意のデバイスに適用され、信頼できるクラウドサービスフレームワークの1つまたは部分を実装するために望ましいことがある。したがって、ハンドヘルド、ポータブルおよび他のコンピューティングデバイス、ならびに、あらゆる種類のコンピューティングオブジェクトが、本明細書で説明される様々な実施形態に関連して、すなわち、あるデバイスが信頼できるクラウドサービスフレームワークに関連してある機能性を提供することができるどこででも、使用するために企図されることを理解されたい。したがって、図67で後述される以下の汎用リモートコンピュータは、ほんの一例でしかなく、本開示の実施形態は、ネットワーク/バス相互運用性およびインタラクションを有するいかなるクライアントによっても実装されうる。
必要とはされないが、これらの実施形態のいずれも、デバイスまたはオブジェクトのためのサービスの開発者によって使用するために、オペレーティングシステムを介して部分的に実装可能であり、かつ/または、動作可能なコンポーネント(複数可)に関連して動作するアプリケーションソフトウェア内に含まれてもよい。ソフトウェアは、クライアントワークステーション、サーバまたは他のデバイスなど、1つまたは複数のコンピュータによって実行されている、プログラムモジュールなど、コンピュータ実行可能命令の一般的な状況において記述可能である。ネットワークインタラクションは、様々なコンピュータシステム構成およびプロトコルにより実施可能であることは、当業者には理解されよう。
図67は、したがって、これらの実施形態のうち1つまたは複数が実装されうる、適切なコンピューティングシステム環境6700の一例を例示するが、上記で明らかにされたように、コンピューティングシステム環境6700は、適切なコンピューティング環境の一例でしかなく、これらの実施形態のいずれの使用または機能性の範囲についてのいかなる限定も示唆するように意図されない。コンピューティング環境6700はまた、例示的動作環境6700内に例示されたコンポーネントのいずれか1つまたは組み合わせに関するいかなる依存関係または要件を有するようにも解釈されるべきでない。
図67を参照すると、本明細書の1つまたは複数の実施形態を実装するための例示的リモートデバイスは、ハンドヘルドコンピュータ6710の形態における汎用コンピューティングデバイスを含みうる。ハンドヘルドコンピュータ6710のコンポーネントには、限定されないが、処理装置6720、システムメモリ6730、および、システムメモリを含む様々なシステムコンポーネントを処理装置6720に結合するシステムバス6721が含まれてもよい。
コンピュータ6710は典型的には、限定されないが、デジタル多用途ディスク(DVD)、フラッシュストレージ、内蔵または外付けハードドライブ、コンパクトディスク(CD)、その他など、様々なコンピュータ可読媒体を含み、また、リモートドライブ、クラウドストレージディスクなどを含む、コンピュータ6710によってアクセス可能であるいかなる使用可能な媒体であってもよい。システムメモリ6730は、読み取り専用メモリ(ROM)および/またはランダムアクセスメモリ(RAM)など、揮発性および/または不揮発性メモリの形態におけるコンピュータストレージ媒体を含んでもよい。例として、限定ではなく、メモリ6730はまた、オペレーティングシステム、アプリケーションプログラム、他のプログラムモジュール、および、プログラムデータをも含んでもよい。
ユーザはコマンドおよび情報をコンピュータ6710へ、入力デバイス6740を通じて入力することができる。モニタまたは他のタイプの表示デバイスもまた、出力インターフェイス6750など、インターフェイスを介してシステムバス6721に接続される。モニタに加えて、コンピュータはまた、出力インターフェイス6750を通じて接続されうる、スピーカおよびプリンタなど、他の周辺出力デバイスを含んでもよい。
コンピュータ6710は、リモートコンピュータ6770など、1つまたは複数の他のリモートコンピュータへの論理接続を使用して、ネットワーク化または分散された環境内で動作することができる。リモートコンピュータ6770は、パーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピアデバイスもしくは他の共通ネットワークノード、または、任意の他のリモート媒体消費または伝送デバイスであってもよく、コンピュータ6710に関連して上述された要素のいずれかまたは全部を含んでもよい。図67に示された論理接続には、ローカルエリアネットワーク(LAN)またはワイドエリアネットワーク(WAN)のようなネットワーク6771が含まれるが、他のネットワーク/バスが含まれることもある。そのようなネットワークキング環境は、家庭、オフィス、企業規模のコンピュータネットワーク、イントラネットおよびインターネットにおいて通常である。
上述のように、例示的実施形態が様々なコンピューティングデバイス、ネットワークおよび広告アーキテクチャに関連して説明されたが、基になる概念は、クラウドサービスとのインタラクションに関連して信頼を提供することが望ましい、あらゆるネットワークシステムおよびあらゆるコンピューティングデバイスまたはシステムにも適用可能である。
本明細書で説明された実施形態のうち1つまたは複数を実装する複数の方法があり、例えば、適切なAPI、ツールキット、ドライバコード、オペレーティングシステム、制御、スタンドアロンまたはダウンロード可能なソフトウェアオブジェクトなどであり、アプリケーションおよびサービスが信頼できるクラウドサービスフレームワークを使用できるようにする。実施形態は、API(または他のソフトウェアオブジェクト)の見地から、ならびに、説明された実施形態のうち1つまたは複数によるポインティングプラットフォームサービスを提供する、ソフトウェアまたはハードウェアオブジェクトから、企図されてもよい。本明細書で説明された様々な実装および実施形態は、全体的にハードウェア内、部分的にハードウェア内かつ部分的にソフトウェア内、ならびに、ソフトウェア内である態様を有してもよい。
「例示的」という語は、本明細書で、例、場合または例示としての機能を果たすことを意味するために使用される。不確かさを避けるため、本明細書で開示された主題は、そのような例によって限定されない。加えて、本明細書で「例示的」として説明されたいかなる態様または設計も、必ずしも他の態様または設計よりも好ましいまたは有利と解釈されるべきであるとは限らず、また、当業者に知られている均等の例示的構造および技術を排除することも意味されない。さらに、「含む(includes)」、「有する(has)」、「含む(contains)」という用語、および他の類似の語が詳細な説明または特許請求の範囲で使用される限りにおいて、不確かさを避けるため、そのような用語は、いかなる追加または他の要素を排除することもなく、オープンな移行語としての「備える(comprising)」という用語と同様に、包含的であるように意図される。
上述のように、本明細書で説明された様々な技術は、ハードウェアもしくはソフトウェア、または、適切な場合には、両方の組み合わせに関連して実装されてもよい。本明細書で使用されるとき、「コンポーネント」、「システム」などの用語は同様に、ハードウェア、ハードウェアおよびソフトウェアの組み合わせ、ソフトウェア、または実行中のソフトウェアのいずれかである、コンピュータ関連エンティティを指すように意図される。例えば、コンポーネントは、限定されないが、プロセッサ上で実行するプロセス、プロセッサ、オブジェクト、実行可能ファイル、実行のスレッド、プログラム、および/またはコンピュータであってもよい。例示として、コンピュータ上で実行するアプリケーションおよびコンピュータは共に、コンポーネントでありうる。1つまたは複数のコンポーネントは、処理および/または実行のスレッド内に存在してもよく、コンポーネントは、1つのコンピュータ上でローカライズされるか、かつ/または、2つ以上のコンピュータの間で分散されてもよい。
前述のシステムは、いくつかのコンポーネントの間のインタラクションに関して説明された。そのようなシステムおよびコンポーネントは、それらのコンポーネントまたは指定されたサブコンポーネント、指定されたコンポーネントまたはサブコンポーネントのうちいくつか、および/または追加のコンポーネントを、前述のものの様々な並べ替えおよび組み合わせによって含みうることは理解されよう。サブコンポーネントをまた、親コンポーネント内に含まれる(階層的)のではなく、他のコンポーネントに通信的に結合されたコンポーネントとして実装することもできる。加えて、1つまたは複数のコンポーネントを、集約機能性を提供する単一のコンポーネントに結合してもよく、または、いくつかの分離したサブコンポーネントに分割してもよく、また、統合された機能性を提供するために、管理レイヤなど、いずれか1つまたは複数の中間レイヤを、そのようなサブコンポーネントに通信的に結合するように提供してもよい。本明細書で説明されたいかなるコンポーネントもまた、本明細書で特に説明されないが当業者によって一般に知られている、1つまたは複数の他のコンポーネントとインタラクトしてもよい。
上述の例示的システムに鑑みて、開示された主題によって実施されうる方法は、様々な図の流れ図を参照してよりよく理解されるであろう。説明を簡単にするため、これらの方法は一連のブロックとして図示かつ説明されるが、主張された主題はこれらのブロックの順序によって限定されず、その理由は、いくつかのブロックが、本明細書で図示かつ説明されるものとは異なる順序で、かつ/または、別のブロックと同時に発生する場合があるためであることを理解されたい。順次的ではない、または分岐された流れが、流れ図を介して例示されるが、同じまたは類似の結果を達成する様々な他の分岐、流れの経路、および、ブロックの順序を実装してもよいことは理解されよう。また、すべての例示されたブロックが、以下で説明される方法を実装するために必要とされるとは限らないことがある。
いくつかの実施形態では、クライアント側の観点が例示されるが、不確かさを避けるため、対応するサーバの観点が存在し、逆もまた同様であることを理解されたい。同様に、ある方法が実施される場合、ストレージ、および、1つまたは複数のコンポーネントを介してその方法を実施するように構成された少なくとも1つのプロセッサを有する、対応するデバイスを提供することができる。
様々な実施形態が様々な図の好ましい実施形態に関連して説明されたが、他の類似の実施形態が使用されてもよく、または、説明された実施形態に対して、そこから逸脱することなく、同じ機能を行うために修正および追加が行われてもよいことを理解されたい。またさらに、上記の実施形態の1つまたは複数の態様が、複数の処理チップまたはデバイス内で、またはそれらに渡って実装されてもよく、ストレージが複数のデバイスに渡って同様に実施されてもよい。したがって、本発明は、いかなる単一の実施形態にも限定されるべきではなく、むしろ、添付の特許請求の範囲による広さおよび範囲において解釈されるべきである。

Claims (15)

  1. データをホストするための方法であって、
    ホストされたデータプラットフォーム上で、データまたは前記データに関連付けられたメタデータのうち、少なくとも1つを受信するステップであって、前記データ、前記メタデータまたは両方は、少なくとも、第1の基準のセットに基づいて前記データ、前記メタデータまたは両方のための第1のラッパを定義する第1の数学的変換、および、第2の基準のセットに基づいて前記データ、前記メタデータまたは両方のための第2のラッパを定義する第2の数学的変換を含む、前記ホストされたデータプラットフォームとは別個の数学的変換コンポーネントによる前記データ、前記メタデータまたは両方の少なくとも1つの数学的変換から形成された複合ラッパによって保護されるステップと、
    前記複合ラッパによって保護されたような前記データ、メタデータまたは両方へのアクセスを求める要求を、前記要求に含まれた能力のセットに基づいて受信するステップであって、前記能力のセットは、前記ホストされたデータプラットフォームおよび前記数学的変換コンポーネントとは別個のアクセス情報ジェネレータによって生成される、ステップと、
    前記能力のセットに基づいて、前記データ、メタデータまたは両方に対する少なくとも1つのアクセス特権を、前記第1のラッパを通じた可視性を評価すること、および、前記第2のラッパを通じた可視性を独立して評価することに基づいて、決定するステップと
    を備えることを特徴とする方法。
  2. 前記受信するステップは、少なくとも、前記第1の基準のセットに基づいて前記データ、前記メタデータまたは両方の全部未満をラップする前記第1のラッパを定義する前記第1の数学的変換を含む、前記少なくとも1つの数学的変換から形成された前記複合ラッパによって保護された前記データまたはメタデータのうち、前記少なくとも1つを受信するステップを含み、
    前記決定された少なくとも1つのアクセス特権は、前記第1のラッパではなく前記第2のラッパによって保護された前記データ、メタデータまたは両方に対するアクセスを許可する、
    ことを特徴とする請求項1に記載の方法。
  3. 前記受信するステップは、少なくとも、前記第1の基準のセットに基づいて前記データ、前記メタデータまたは両方をラップする前記第1のラッパを定義する前記第1の数学的変換、および、少なくとも、前記第1のラッパによってラップされたような前記データ、メタデータまたは両方をラップする前記第2のラッパを定義する前記第2の数学的変換を含む、前記少なくとも1つの数学的変換から形成された前記複合ラッパによって保護された前記データまたはメタデータのうち、前記少なくとも1つを受信するステップを含むことを特徴とする請求項1に記載の方法。
  4. 前記受信するステップは、少なくとも、前記第1の基準のセットに基づいて前記データ、前記メタデータまたは両方の全部未満をラップする前記第1のラッパを定義する前記第1の数学的変換、および、少なくとも、前記データ、メタデータまたは両方の全部をラップする前記第2のラッパを定義する前記第2の数学的変換を含む、前記少なくとも1つの数学的変換から形成された前記複合ラッパによって保護された前記データまたはメタデータのうち、前記少なくとも1つを受信するステップを含むことを特徴とする請求項1に記載の方法。
  5. 前記受信するステップは、少なくとも、相補的信頼またはセキュリティ基準を満たすための前記第1のラッパおよび前記第2のラッパを含む、相補的ラッパによって構成された前記複合ラッパによって保護された前記データ、前記メタデータまたは両方を受信するステップを含むことを特徴とする請求項1に記載の方法。
  6. 前記データ、前記メタデータまたは両方の状況が新しい状況に変化する場合、前記新しい状況に関連付けられた新しい基準のセットに適した少なくとも1つの追加のラッパを、自動的に追加または除去するステップをさらに備えることを特徴とする請求項1に記載の方法。
  7. 前記データ、前記メタデータまたは両方の機密性クラスがより機微なクラスに変化する場合、前記より機微なクラスに適した少なくとも1つの追加のラッパを、前記データ、前記メタデータまたは両方に自動的に追加するステップを特徴とする請求項1に記載の方法。
  8. 前記決定するステップは、可視性を評価する同心の順序を決定するステップを含むことを特徴とする請求項1に記載の方法。
  9. 前記決定するステップは、可視性を評価する側方の順序を決定するステップを含むことを特徴とする請求項1に記載の方法。
  10. 前記第1のラッパの前記定義または前記第2のラッパの定義は、前記データ、前記メタデータまたは両方のためのアクセスの速度要件を定義するステップを含むことを特徴とする請求項1に記載の方法。
  11. 前記第1のラッパの前記定義または前記第2のラッパの定義は、前記データ、前記メタデータまたは両方のための改ざん防止要件を定義するステップを含むことを特徴とする請求項1に記載の方法。
  12. 前記第1のラッパの前記定義または前記第2のラッパの定義は、前記データ、前記メタデータまたは両方に対して指定された回復の信頼性要件を定義するステップを含むことを特徴とする請求項1に記載の方法。
  13. データ、メタデータもしくは両方を発行すること、または、発行されたデータ、発行されたメタデータもしくは両方にサブスクライブすることのうち、少なくとも1つのための能力情報を生成するように構成された、少なくとも1つのプロセッサ上で動作するアクセス情報ジェネレータと、
    前記アクセス情報ジェネレータから独立して実装された、数学的変換技術プロバイダによって少なくとも部分的に配布された少なくとも1つの数学的変換コンポーネントであって、前記アクセス情報ジェネレータによって生成された前記能力情報に基づいて、少なくとも1つのエンコードアルゴリズムまたはデコードアルゴリズムを行うように構成された少なくとも1つのプロセッサを含む、前記少なくとも1つの数学的変換コンポーネントと、
    前記少なくとも1つの数学的変換コンポーネントによって暗号化されたコンピュータデータ、コンピュータメタデータまたは両方に対するネットワークサービスを実装するように構成された少なくとも1つのプロセッサを含む、前記アクセス情報ジェネレータおよび前記少なくとも1つの数学的変換コンポーネントから独立して実装された、ネットワークサービスプロバイダと
    を備え、
    前記ネットワークサービスプロバイダは、前記少なくとも1つの数学的変換コンポーネントと通信して、前記コンピュータデータ、コンピュータメタデータまたは両方に適用された少なくとも2つの数学的変換ラッパの生成、再生成、改変、拡大または削除を行うように構成されることを特徴とするシステム。
  14. 前記ネットワークサービスプロバイダは、ラッパの生成、再生成、改変、拡大または削除を、前記ラッパのための信頼要件のセットのための信頼要件を修正する少なくとも1つの時間的イベントに基づいて行うように構成されることを特徴とする請求項13に記載のシステム。
  15. 前記ネットワークサービスプロバイダは、ラッパの生成、再生成、改変、拡大または削除を、前記ラッパのための信頼要件のセットのための信頼要件を修正する少なくとも1つの空間的イベントに基づいて行うように構成されることを特徴とする請求項13に記載のシステム。
JP2012544539A 2009-12-15 2010-11-18 ラッパ複合を通じたデータのための確認可能な信頼 Active JP5639660B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US28665409P 2009-12-15 2009-12-15
US61/286,654 2009-12-15
US12/832,400 2010-07-08
US12/832,400 US9537650B2 (en) 2009-12-15 2010-07-08 Verifiable trust for data through wrapper composition
PCT/US2010/057258 WO2011081738A2 (en) 2009-12-15 2010-11-18 Verifiable trust for data through wrapper composition

Publications (3)

Publication Number Publication Date
JP2013513889A JP2013513889A (ja) 2013-04-22
JP2013513889A5 JP2013513889A5 (ja) 2014-02-27
JP5639660B2 true JP5639660B2 (ja) 2014-12-10

Family

ID=44144239

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012544539A Active JP5639660B2 (ja) 2009-12-15 2010-11-18 ラッパ複合を通じたデータのための確認可能な信頼

Country Status (7)

Country Link
US (2) US9537650B2 (ja)
EP (1) EP2513833B1 (ja)
JP (1) JP5639660B2 (ja)
CN (1) CN102656589B (ja)
HK (1) HK1175861A1 (ja)
TW (1) TWI523475B (ja)
WO (1) WO2011081738A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11233707B2 (en) * 2020-03-27 2022-01-25 Raytheon Bbn Technologies Corp. Metadata-based information provenance
US11831657B2 (en) 2020-03-27 2023-11-28 Raytheon Bbn Technologies Corp. Trust policies for a data provisioning layer

Families Citing this family (172)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8468345B2 (en) 2009-11-16 2013-06-18 Microsoft Corporation Containerless data for trustworthy computing and data services
US10348693B2 (en) * 2009-12-15 2019-07-09 Microsoft Technology Licensing, Llc Trustworthy extensible markup language for trustworthy computing and data services
US8819067B2 (en) * 2010-11-19 2014-08-26 Oracle International Corporation Non-deterministic audit log protection
US9336139B2 (en) * 2010-11-29 2016-05-10 Cleversafe, Inc. Selecting a memory for storage of an encoded data slice in a dispersed storage network
US8843580B2 (en) 2011-02-20 2014-09-23 International Business Machines Corporation Criteria-based message publication control and feedback in a publish/subscribe messaging environment
US8793322B2 (en) * 2011-02-20 2014-07-29 International Business Machines Corporation Failure-controlled message publication and feedback in a publish/subscribe messaging environment
US8615580B2 (en) 2011-02-20 2013-12-24 International Business Machines Corporation Message publication feedback in a publish/subscribe messaging environment
US8949269B1 (en) * 2011-03-31 2015-02-03 Gregory J. Wolff Sponsored registry for improved coordination and communication
WO2012151224A2 (en) 2011-05-01 2012-11-08 Ruckus Wireless, Inc. Remote cable access point reset
US20120284474A1 (en) * 2011-05-06 2012-11-08 International Business Machines Corporation Enabling recovery during data defragmentation
US8948381B2 (en) * 2011-09-09 2015-02-03 Fujitsu Limited Conditional key generation based on expiration date of data
CN102355467B (zh) * 2011-10-18 2015-07-08 国网电力科学研究院 基于信任链传递的输变电设备状态监测系统安全防护方法
WO2013059871A1 (en) * 2011-10-28 2013-05-02 The Digital Filing Company Pty Ltd Registry
US9166953B2 (en) * 2011-10-31 2015-10-20 Nokia Technologies Oy Method and apparatus for providing identity based encryption in distributed computations
US8751800B1 (en) 2011-12-12 2014-06-10 Google Inc. DRM provider interoperability
US8904171B2 (en) * 2011-12-30 2014-12-02 Ricoh Co., Ltd. Secure search and retrieval
GB2498204A (en) * 2012-01-06 2013-07-10 Cloudtomo Ltd Encrypted data processing
US8756668B2 (en) 2012-02-09 2014-06-17 Ruckus Wireless, Inc. Dynamic PSK for hotspots
US8731203B2 (en) 2012-02-13 2014-05-20 Alephcloud Systems, Inc. Securing a secret of a user
US9172711B2 (en) 2012-02-13 2015-10-27 PivotCloud, Inc. Originator publishing an attestation of a statement
US8875234B2 (en) 2012-09-13 2014-10-28 PivotCloud, Inc. Operator provisioning of a trustworthy workspace to a subscriber
US9219715B2 (en) 2012-02-13 2015-12-22 PivotCloud, Inc. Mediator utilizing electronic content to enforce policies to a resource
US8681992B2 (en) 2012-02-13 2014-03-25 Alephcloud Systems, Inc. Monitoring and controlling access to electronic content
US9148419B2 (en) 2012-02-13 2015-09-29 PivotCloud, Inc. User administering a trustworthy workspace
US9092780B2 (en) 2012-02-13 2015-07-28 PivotCloud, Inc. User-mediator monitoring and controlling access to electronic content
US9092610B2 (en) * 2012-04-04 2015-07-28 Ruckus Wireless, Inc. Key assignment for a brand
US20130275282A1 (en) 2012-04-17 2013-10-17 Microsoft Corporation Anonymous billing
KR101401794B1 (ko) * 2012-06-29 2014-06-27 인텔렉추얼디스커버리 주식회사 데이터 공유 제공 방법 및 장치
CN110086830B (zh) 2012-08-15 2022-03-04 维萨国际服务协会 可搜索的经加密的数据
US9894040B2 (en) * 2012-09-11 2018-02-13 Microsoft Technology Licensing, Llc Trust services for securing data in the cloud
US10521250B2 (en) 2012-09-12 2019-12-31 The Directv Group, Inc. Method and system for communicating between a host device and user device through an intermediate device using a composite video signal
US9137501B2 (en) * 2012-09-12 2015-09-15 The Directv Group, Inc. Method and system for communicating between a host device and user device through an intermediate device using syntax translation
US9535722B2 (en) 2012-09-12 2017-01-03 The Directv Group, Inc. Method and system for communicating between a host device and a user device through an intermediate device using a composite graphics signal
US9769124B2 (en) * 2012-09-21 2017-09-19 Nokia Technologies Oy Method and apparatus for providing access control to shared data based on trust level
US9444817B2 (en) 2012-09-27 2016-09-13 Microsoft Technology Licensing, Llc Facilitating claim use by service providers
US9223952B2 (en) 2012-09-28 2015-12-29 Intel Corporation Allowing varied device access based on different levels of unlocking mechanisms
TWI459210B (zh) * 2012-10-09 2014-11-01 Univ Nat Cheng Kung 多重雲溝通系統
GB2507100A (en) * 2012-10-19 2014-04-23 Ibm Secure sharing and collaborative editing of documents in cloud based applications
EP2731040B1 (en) 2012-11-08 2017-04-19 CompuGroup Medical SE Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method
EP2920733B1 (en) * 2012-11-14 2018-01-03 CompuGroup Medical SE Computer system for storing and retrieval of encrypted data items using a tablet computer and computer-implemented method
WO2014076176A1 (en) * 2012-11-14 2014-05-22 CompuGroup Medical AG Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method
US9043874B2 (en) 2012-11-28 2015-05-26 Wal-Mart Stores, Inc. System and method for protecting data in an enterprise environment
US9213867B2 (en) * 2012-12-07 2015-12-15 Microsoft Technology Licensing, Llc Secure cloud database platform with encrypted database queries
US20140192709A1 (en) * 2013-01-04 2014-07-10 Srd Innovations Inc. Methods of wireless data collection
WO2014114987A1 (en) * 2013-01-25 2014-07-31 Nokia Corporation Personal device encryption
US8954546B2 (en) * 2013-01-25 2015-02-10 Concurix Corporation Tracing with a workload distributor
US9846784B1 (en) * 2013-02-26 2017-12-19 Rockwell Collins, Inc. Multi-level storage system and method
US9286488B2 (en) * 2013-03-13 2016-03-15 Northrop Grumman Systems Corporation System and method for secure database queries
CN105229659B (zh) * 2013-03-28 2019-04-16 爱迪德技术有限公司 混淆由软件应用对数据存储装置的访问
US20140304513A1 (en) * 2013-04-01 2014-10-09 Nexenta Systems, Inc. Storage drive processing multiple commands from multiple servers
US9071429B1 (en) * 2013-04-29 2015-06-30 Amazon Technologies, Inc. Revocable shredding of security credentials
CN103457725B (zh) * 2013-07-02 2017-02-08 河海大学 一种多授权中心的加密方法
CN103401839B (zh) * 2013-07-02 2016-06-01 河海大学 一种基于属性保护的多授权中心加密方法
TWI505130B (zh) * 2013-09-13 2015-10-21 Univ Nat Cheng Kung Cloud service authorization management method and system for cross-database system
US10320878B2 (en) * 2013-10-14 2019-06-11 Medidata Solutions, Inc. System and method for preserving causality of audits
US9542391B1 (en) 2013-11-11 2017-01-10 Amazon Technologies, Inc. Processing service requests for non-transactional databases
US10599753B1 (en) 2013-11-11 2020-03-24 Amazon Technologies, Inc. Document version control in collaborative environment
US10540404B1 (en) 2014-02-07 2020-01-21 Amazon Technologies, Inc. Forming a document collection in a document management and collaboration system
US11336648B2 (en) 2013-11-11 2022-05-17 Amazon Technologies, Inc. Document management and collaboration system
CN103699855B (zh) * 2013-12-05 2018-04-27 华为技术有限公司 一种数据处理方法和装置
IN2013CH05992A (ja) 2013-12-20 2015-06-26 Infosys Ltd
US9298942B1 (en) 2013-12-31 2016-03-29 Google Inc. Encrypted augmentation storage
CN103778387B (zh) * 2014-01-06 2017-04-05 中国科学技术大学苏州研究院 基于格的大数据动态存储完整性验证方法
US9230133B2 (en) * 2014-01-14 2016-01-05 International Business Machines Corporation Secure access for sensitive digital information
WO2015109172A1 (en) * 2014-01-17 2015-07-23 Pitroda Satyan G System and method for electronic vault to manage digital contents
US10380352B2 (en) * 2014-02-04 2019-08-13 International Business Machines Corporation Document security in enterprise content management systems
US10691877B1 (en) 2014-02-07 2020-06-23 Amazon Technologies, Inc. Homogenous insertion of interactions into documents
CN104866513B (zh) 2014-02-26 2018-09-11 国际商业机器公司 用于跨租户数据访问的系统和方法
US10075288B1 (en) * 2014-02-28 2018-09-11 The Governing Council Of The University Of Toronto Systems, devices, and processes for homomorphic encryption
US9680872B1 (en) 2014-03-25 2017-06-13 Amazon Technologies, Inc. Trusted-code generated requests
US9854001B1 (en) * 2014-03-25 2017-12-26 Amazon Technologies, Inc. Transparent policies
US9558366B2 (en) * 2014-05-12 2017-01-31 Compugroup Medical Se Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method
US9544150B2 (en) 2014-06-04 2017-01-10 International Business Machines Corporation Using multiple digital identification documents to control information disclosure
US20150373114A1 (en) * 2014-06-23 2015-12-24 Synchronoss Technologies, Inc. Storage abstraction layer and a system and a method thereof
US9900287B1 (en) * 2014-09-12 2018-02-20 Verily Life Sciences, LLC Transmitting sensitive information securely over unsecured networks without authentication
US9807073B1 (en) 2014-09-29 2017-10-31 Amazon Technologies, Inc. Access to documents in a document management and collaboration system
US9495545B2 (en) * 2014-11-13 2016-11-15 Sap Se Automatically generate attributes and access policies for securely processing outsourced audit data using attribute-based encryption
US20160179803A1 (en) * 2014-12-22 2016-06-23 Rovi Guides, Inc. Augmenting metadata using commonly available visual elements associated with media content
US9754120B2 (en) * 2015-02-13 2017-09-05 Konica Minolta Laboratory U.S.A., Inc. Document redaction with data retention
US9807077B2 (en) * 2015-03-10 2017-10-31 Polyverse Corporation Systems and methods for containerized data security
US10560440B2 (en) 2015-03-12 2020-02-11 Fornetix Llc Server-client PKI for applied key management system and process
US10630686B2 (en) 2015-03-12 2020-04-21 Fornetix Llc Systems and methods for organizing devices in a policy hierarchy
US10965459B2 (en) 2015-03-13 2021-03-30 Fornetix Llc Server-client key escrow for applied key management system and process
US9922069B2 (en) * 2015-03-16 2018-03-20 International Business Machines Corporation Establishing a chain of trust in a system log
SG11201708295XA (en) * 2015-04-06 2017-11-29 Bitmark Inc System and method for decentralized title recordation and authentication
WO2016164210A1 (en) * 2015-04-08 2016-10-13 Wooldridge Joseph Bryan Electronic preemptive evidentiary escrow platform
WO2016178655A1 (en) 2015-05-01 2016-11-10 Hewlett Packard Enterprise Development Lp Secure multi-party information retrieval
US10177907B2 (en) 2015-07-20 2019-01-08 Sony Corporation Distributed object routing
US9965618B1 (en) * 2015-08-27 2018-05-08 Amazon Technologies, Inc. Reducing privileges for imported software packages
US10073981B2 (en) 2015-10-09 2018-09-11 Microsoft Technology Licensing, Llc Controlling secure processing of confidential data in untrusted devices
US10120870B2 (en) * 2015-10-11 2018-11-06 Noggle Ag System and method for searching distributed files across a plurality of clients
US10783268B2 (en) 2015-11-10 2020-09-22 Hewlett Packard Enterprise Development Lp Data allocation based on secure information retrieval
US9992175B2 (en) * 2016-01-08 2018-06-05 Moneygram International, Inc. Systems and method for providing a data security service
US10348485B2 (en) * 2016-02-26 2019-07-09 Fornetix Llc Linking encryption key management with granular policy
CN107172003B (zh) * 2016-03-08 2020-08-04 创新先进技术有限公司 一种发布信息的处理方法、装置及信息发布系统
US10554384B2 (en) 2016-03-17 2020-02-04 Microsoft Technology Licensing, Llc Aggregation of encrypted data
US10769285B2 (en) * 2016-05-18 2020-09-08 International Business Machines Corporation Privacy enabled runtime
US10255459B2 (en) 2016-05-18 2019-04-09 International Business Machines Corporation Privacy enabled runtime
US11157641B2 (en) * 2016-07-01 2021-10-26 Microsoft Technology Licensing, Llc Short-circuit data access
US10163112B2 (en) * 2016-07-14 2018-12-25 International Business Machines Corporation Assessing penalties for SDKs that violate policies in mobile apps
CN107645532B (zh) * 2016-07-22 2020-07-24 腾讯科技(深圳)有限公司 混合云的用户管理方法和装置
US10187199B2 (en) 2016-09-09 2019-01-22 Microsoft Technology Licensing, Llc Aggregation based on splayed data
US11080301B2 (en) 2016-09-28 2021-08-03 Hewlett Packard Enterprise Development Lp Storage allocation based on secure data comparisons via multiple intermediaries
JP6781373B2 (ja) * 2016-10-05 2020-11-04 富士通株式会社 検索プログラム、検索方法、および検索装置
US10191818B2 (en) * 2016-11-14 2019-01-29 Sap Se Filtered replication of data in distributed system of data centers
US10701079B1 (en) 2016-12-15 2020-06-30 Open Invention Network Llc Collaborative data sharing and co-browsing with natural language masking
EP3340071B1 (en) 2016-12-23 2021-06-09 CompuGroup Medical SE Offline preparation for bulk inserts
EP3586260B1 (en) * 2017-02-22 2023-09-27 RingCentral, Inc. Encrypting data records and processing encrypted records without exposing plaintext
JP7064576B2 (ja) * 2017-04-28 2022-05-10 アノノス インコーポレイテッド 非集中型システムで集中型プライバシー制御を実施するためのシステムや方法
JP7150732B2 (ja) * 2017-05-19 2022-10-11 シータ インフォメーション ネットワーキング コンピューティング ユーケー リミテッド 乗客またはユーザ情報を提供するためのシステム、デバイス、および方法
US10594670B2 (en) * 2017-05-30 2020-03-17 Servicenow, Inc. Edge encryption with metadata
CN107528827B (zh) * 2017-07-27 2020-08-18 曲立东 一种基于数字标签的可追溯数据连接方法及平台
US11153381B2 (en) 2017-08-22 2021-10-19 Red Hat, Inc. Data auditing for object storage public clouds
US10909255B2 (en) * 2017-08-24 2021-02-02 Data Republic Pty Ltd Systems and methods to control data access and usage
US11687654B2 (en) * 2017-09-15 2023-06-27 Intel Corporation Providing isolation in virtualized systems using trust domains
CN109726563B (zh) * 2017-10-31 2020-11-03 创新先进技术有限公司 一种数据统计的方法、装置以及设备
CN111480326B (zh) * 2017-11-20 2022-08-09 上海诺基亚贝尔股份有限公司 分布式多层云环境中基于事件关联的安全管理的装置、系统和方法
US11151465B2 (en) 2017-12-22 2021-10-19 International Business Machines Corporation Analytics framework for selection and execution of analytics in a distributed environment
US11334806B2 (en) 2017-12-22 2022-05-17 International Business Machines Corporation Registration, composition, and execution of analytics in a distributed environment
US11070375B2 (en) 2018-02-08 2021-07-20 Micron Technology, Inc. Key encryption handling
EP3537328B1 (en) 2018-03-05 2020-10-21 British Telecommunications public limited company Data access authentication
US20190318118A1 (en) * 2018-04-16 2019-10-17 International Business Machines Corporation Secure encrypted document retrieval
CN108875327A (zh) 2018-05-28 2018-11-23 阿里巴巴集团控股有限公司 一种核身方法和装置
US11042661B2 (en) * 2018-06-08 2021-06-22 Weka.IO Ltd. Encryption for a distributed filesystem
US11036876B2 (en) * 2018-08-20 2021-06-15 Cisco Technology, Inc. Attribute-based encryption for microservices
US11409892B2 (en) * 2018-08-30 2022-08-09 International Business Machines Corporation Enhancing security during access and retrieval of data with multi-cloud storage
CN109257167B (zh) * 2018-09-03 2021-05-07 华东师范大学 一种在雾计算中保护隐私的资源分配方法
US20210004482A1 (en) * 2018-09-26 2021-01-07 Patientory, Inc. System and method of enhancing security of data in a health care network
US11163750B2 (en) * 2018-09-27 2021-11-02 International Business Machines Corporation Dynamic, transparent manipulation of content and/or namespaces within data storage systems
US11003794B2 (en) * 2018-10-12 2021-05-11 CA Software Österreich GmbH Reversible anonymous telemetry data collection
US11157645B2 (en) * 2018-11-01 2021-10-26 International Business Machines Corporation Data masking with isomorphic functions
CN109728904B (zh) * 2018-12-28 2021-10-26 沈阳航空航天大学 一种保护隐私的空间网络查询方法
EP3681094B1 (en) 2019-01-09 2021-11-10 British Telecommunications public limited company Impeding data access
US11924327B2 (en) 2019-01-09 2024-03-05 British Telecommunications Public Limited Company Variable data protection
CN109871713A (zh) * 2019-02-12 2019-06-11 重庆邮电大学 一种基于网页机器人的隐私保护方法
US11281804B1 (en) 2019-03-28 2022-03-22 Amazon Technologies, Inc. Protecting data integrity in a content distribution network
US10769220B1 (en) * 2019-04-09 2020-09-08 Coupang Corp. Systems, apparatuses, and methods of processing and managing web traffic data
CN110098924B (zh) * 2019-04-19 2021-07-27 深圳华中科技大学研究院 一种支持可搜索透明加密的层级密钥生成方法及系统
US11949677B2 (en) * 2019-04-23 2024-04-02 Microsoft Technology Licensing, Llc Resource access based on audio signal
US11163457B2 (en) 2019-06-24 2021-11-02 International Business Machines Corporation Authorizing modification of resources
CN110266484B (zh) * 2019-06-28 2021-07-06 深圳前海微众银行股份有限公司 一种数据加密方法、装置、设备及介质
CN110365679B (zh) * 2019-07-15 2021-10-19 华瑞新智科技(北京)有限公司 基于众包评估的情境感知云端数据隐私保护方法
US11411938B2 (en) 2019-08-19 2022-08-09 Red Hat, Inc. Proof-of-work key wrapping with integrated key fragments
US11424920B2 (en) 2019-08-19 2022-08-23 Red Hat, Inc. Proof-of-work key wrapping for cryptographically controlling data access
US11316839B2 (en) 2019-08-19 2022-04-26 Red Hat, Inc. Proof-of-work key wrapping for temporally restricting data access
US11303437B2 (en) * 2019-08-19 2022-04-12 Red Hat, Inc. Proof-of-work key wrapping with key thresholding
US11436352B2 (en) 2019-08-19 2022-09-06 Red Hat, Inc. Proof-of-work key wrapping for restricting data execution based on device capabilities
US11411728B2 (en) 2019-08-19 2022-08-09 Red Hat, Inc. Proof-of-work key wrapping with individual key fragments
US11271734B2 (en) 2019-08-19 2022-03-08 Red Hat, Inc. Proof-of-work key wrapping for verifying device capabilities
CN114270780B (zh) * 2019-08-30 2024-07-30 维萨国际服务协会 网关不可知令牌化
US11295031B2 (en) * 2019-10-08 2022-04-05 International Business Machines Corporation Event log tamper resistance
US11647019B2 (en) 2019-10-16 2023-05-09 Cisco Technology, Inc. Systems and methods for providing security orchestration for trusted traffic segmentation on untrusted devices
US11520878B2 (en) * 2019-11-26 2022-12-06 Red Hat, Inc. Using a trusted execution environment for a proof-of-work key wrapping scheme that restricts execution based on device capabilities
US11263310B2 (en) 2019-11-26 2022-03-01 Red Hat, Inc. Using a trusted execution environment for a proof-of-work key wrapping scheme that verifies remote device capabilities
US11228423B2 (en) 2020-01-12 2022-01-18 Advanced New Technologies Co., Ltd. Method and device for security assessment of encryption models
US11392348B2 (en) 2020-02-13 2022-07-19 International Business Machines Corporation Ordering records for timed meta-data generation in a blocked record environment
US20210349927A1 (en) 2020-05-08 2021-11-11 Bold Limited Systems and methods for creating enhanced documents for perfect automated parsing
BR122022003477A2 (pt) 2020-05-08 2022-03-29 Bold Limited Sistemas e métodos para criar documentos aprimorados para análise automatizada perfeita
US20210377240A1 (en) * 2020-06-02 2021-12-02 FLEX Integration LLC System and methods for tokenized hierarchical secured asset distribution
CN111967514B (zh) * 2020-08-14 2023-11-17 安徽大学 一种基于数据打包的隐私保护决策树的样本分类方法
US12088583B2 (en) * 2020-11-11 2024-09-10 Hewlett Packard Enterprise Development Lp Permissions for backup-related operations
CN112118323B (zh) * 2020-11-18 2021-02-19 北京滕华软件有限公司 一种基于人工智能的数据加密模块化云存储系统
US12095919B2 (en) * 2020-11-24 2024-09-17 Rymedi, Inc. Dynamic data compliance controls at the highest directives and standards applicable with a net-sum formula as a zero-knowledge proof compliance validation key
US11687665B2 (en) 2020-12-14 2023-06-27 International Business Machines Corporation Verifiable service provider performance regarding query response provision
EP4360282A1 (en) * 2021-06-21 2024-05-01 Niantic, Inc. Routing using partial message parsing
US12074962B2 (en) 2021-08-10 2024-08-27 Samsung Electronics Co., Ltd. Systems, methods, and apparatus for dividing and encrypting data
US20230239163A1 (en) * 2022-01-26 2023-07-27 Microsoft Technology Licensing, Llc Establishing pki chain of trust in air gapped cloud
WO2023177850A2 (en) * 2022-03-18 2023-09-21 GCOM Software LLC Selective redaction and access control for document segments
CN114978594B (zh) * 2022-04-18 2024-02-09 南京工程学院 一种面向云计算隐私保护的自适应访问控制方法
US12118111B2 (en) * 2022-06-27 2024-10-15 Dell Products L.P. Edge data processing utilizing per-endpoint subscriber configurable data processing workloads
US20240143821A1 (en) * 2022-10-27 2024-05-02 Genetec Inc. Systems for mandatory access control of secured hierarchical documents and related methods
WO2024184740A1 (en) * 2023-03-03 2024-09-12 Basf Se Confidential disclosures of life sciences industries data

Family Cites Families (74)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0834587B2 (ja) 1989-07-07 1996-03-29 株式会社日立製作所 画像データの秘匿方法
US6128735A (en) 1997-11-25 2000-10-03 Motorola, Inc. Method and system for securely transferring a data set in a data communications system
US6161181A (en) * 1998-03-06 2000-12-12 Deloitte & Touche Usa Llp Secure electronic transactions using a trusted intermediary
US7246246B2 (en) 1998-04-17 2007-07-17 Iomega Corporation System for keying protected electronic data to particular media to prevent unauthorized copying using a compound key
US6941459B1 (en) * 1999-10-21 2005-09-06 International Business Machines Corporation Selective data encryption using style sheet processing for decryption by a key recovery agent
US6931532B1 (en) 1999-10-21 2005-08-16 International Business Machines Corporation Selective data encryption using style sheet processing
US6868160B1 (en) 1999-11-08 2005-03-15 Bellsouth Intellectual Property Corporation System and method for providing secure sharing of electronic data
WO2001046808A1 (fr) 1999-12-20 2001-06-28 Dai Nippon Printing Co., Ltd. Dispositif et systeme d'archivage reparti
US7296163B2 (en) 2000-02-08 2007-11-13 The Trustees Of Dartmouth College System and methods for encrypted execution of computer programs
US6675355B1 (en) 2000-03-16 2004-01-06 Autodesk, Inc. Redline extensible markup language (XML) schema
US6792466B1 (en) 2000-05-09 2004-09-14 Sun Microsystems, Inc. Trusted construction of message endpoints in a distributed computing environment
WO2001098936A2 (en) 2000-06-22 2001-12-27 Microsoft Corporation Distributed computing services platform
JP4626033B2 (ja) 2000-08-31 2011-02-02 ソニー株式会社 公開鍵証明書利用システム、公開鍵証明書利用方法、および情報処理装置、並びにプログラム提供媒体
TWI280488B (en) 2000-09-29 2007-05-01 Victor Hsieh Online intelligent information comparison agent of multilingual electronic data sources over inter-connected computer networks
WO2002046893A1 (en) 2000-12-04 2002-06-13 Kent Ridge Digital Labs A method and apparatus for providing xml document encryption
US7496767B2 (en) * 2001-01-19 2009-02-24 Xerox Corporation Secure content objects
US7020645B2 (en) * 2001-04-19 2006-03-28 Eoriginal, Inc. Systems and methods for state-less authentication
US7463890B2 (en) 2002-07-24 2008-12-09 Herz Frederick S M Method and apparatus for establishing ad hoc communications pathways between source and destination nodes in a communications network
US7103773B2 (en) 2001-10-26 2006-09-05 Hewlett-Packard Development Company, L.P. Message exchange in an information technology network
US7162451B2 (en) * 2001-11-30 2007-01-09 International Business Machines Corporation Information content distribution based on privacy and/or personal information
US7380120B1 (en) * 2001-12-12 2008-05-27 Guardian Data Storage, Llc Secured data format for access control
US7178033B1 (en) * 2001-12-12 2007-02-13 Pss Systems, Inc. Method and apparatus for securing digital assets
US7921284B1 (en) * 2001-12-12 2011-04-05 Gary Mark Kinghorn Method and system for protecting electronic data in enterprise environment
US7921288B1 (en) 2001-12-12 2011-04-05 Hildebrand Hal S System and method for providing different levels of key security for controlling access to secured items
US8375113B2 (en) * 2002-07-11 2013-02-12 Oracle International Corporation Employing wrapper profiles
JP2006502715A (ja) * 2002-10-11 2006-01-26 ザイモジェネティクス,インコーポレイティド ホモ3量体融合タンパク質の製造
TW595182B (en) 2003-01-27 2004-06-21 Geneticware Co Ltd Information verification device ensuring confidentiality and non-modifiability of remotely loaded data and method thereof
JP2004234344A (ja) 2003-01-30 2004-08-19 Kddi Corp データベースアクセスシステム
GB2398712B (en) 2003-01-31 2006-06-28 Hewlett Packard Development Co Privacy management of personal data
US7444620B2 (en) 2003-02-28 2008-10-28 Bea Systems, Inc. Systems and methods for a common runtime container framework
US7418600B2 (en) 2003-03-13 2008-08-26 International Business Machines Corporation Secure database access through partial encryption
US7251832B2 (en) 2003-03-13 2007-07-31 Drm Technologies, Llc Secure streaming container
GB2404537B (en) * 2003-07-31 2007-03-14 Hewlett Packard Development Co Controlling access to data
US7515717B2 (en) 2003-07-31 2009-04-07 International Business Machines Corporation Security containers for document components
US7346769B2 (en) * 2003-10-23 2008-03-18 International Business Machines Corporation Method for selective encryption within documents
JP2008501175A (ja) 2004-05-28 2008-01-17 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ プロテクトされた構造化されたデータのクエリ方法及び装置
JP4587162B2 (ja) 2004-06-04 2010-11-24 キヤノン株式会社 情報処理装置、情報処理方法及びそのプログラム
US20060048222A1 (en) 2004-08-27 2006-03-02 O'connor Clint H Secure electronic delivery seal for information handling system
CA2584525C (en) 2004-10-25 2012-09-25 Rick L. Orsini Secure data parser method and system
US7783899B2 (en) * 2004-12-09 2010-08-24 Palo Alto Research Center Incorporated System and method for performing a conjunctive keyword search over encrypted data
JP2008541248A (ja) * 2005-05-13 2008-11-20 クリプトミル テクノロジーズ リミティド コンテンツ暗号化ファイアウォールシステム
US20070055629A1 (en) * 2005-09-08 2007-03-08 Qualcomm Incorporated Methods and apparatus for distributing content to support multiple customer service entities and content packagers
US20070101145A1 (en) 2005-10-31 2007-05-03 Axalto Inc. Framework for obtaining cryptographically signed consent
ES2658097T3 (es) 2005-11-18 2018-03-08 Security First Corporation Método y sistema de análisis de datos seguro
US20070136200A1 (en) 2005-12-09 2007-06-14 Microsoft Corporation Backup broker for private, integral and affordable distributed storage
JP4172803B2 (ja) 2006-01-25 2008-10-29 インターナショナル・ビジネス・マシーンズ・コーポレーション データベースに対するアクセスを制御するシステムおよびその方法
FR2898747A1 (fr) 2006-03-15 2007-09-21 Gemplus Sa Procede de chiffrement cherchable dechiffrable, systeme pour un tel chiffrement
US8549492B2 (en) 2006-04-21 2013-10-01 Microsoft Corporation Machine declarative language for formatted data processing
US20070283150A1 (en) 2006-06-01 2007-12-06 Kabushiki Kaisha Toshiba System and method for secure messaging and web service communication
US7730088B2 (en) 2006-09-14 2010-06-01 International Business Machines Corporation Queriable hierarchical text data
US20080091613A1 (en) 2006-09-28 2008-04-17 Microsoft Corporation Rights management in a cloud
US8601598B2 (en) 2006-09-29 2013-12-03 Microsoft Corporation Off-premise encryption of data storage
US8705746B2 (en) 2006-09-29 2014-04-22 Microsoft Corporation Data security in an off-premise environment
AU2007224392B2 (en) 2006-10-13 2010-09-16 Quipa Holdings Limited A Private Network System And Method
US7920700B2 (en) * 2006-10-19 2011-04-05 Oracle International Corporation System and method for data encryption
EP1936908A1 (en) 2006-12-19 2008-06-25 Deutsche Thomson OHG Method, apparatus and data container for transferring high resolution audio/video data in a high speed IP network
JP2010517447A (ja) 2007-01-26 2010-05-20 セーフネット インコーポレイテッド ファイルサイズを保ちつつのファイル暗号化
US7693877B1 (en) 2007-03-23 2010-04-06 Network Appliance, Inc. Automated information lifecycle management system for network data storage
JP4569593B2 (ja) 2007-03-28 2010-10-27 日本電気株式会社 暗号通信システム、暗号通信方法、暗号化装置、及び、復号装置
JP2009064055A (ja) 2007-09-04 2009-03-26 Hitachi Ltd 計算機システム及びセキュリティ管理方法
US20090204964A1 (en) * 2007-10-12 2009-08-13 Foley Peter F Distributed trusted virtualization platform
US20090119757A1 (en) * 2007-11-06 2009-05-07 International Business Machines Corporation Credential Verification using Credential Repository
US8532303B2 (en) 2007-12-14 2013-09-10 Intel Corporation Symmetric key distribution framework for the internet
JP5365830B2 (ja) 2008-01-29 2013-12-11 日本電気株式会社 利用される可能性の高い情報をキャッシュする予測型キャッシュ方法、そのシステム及びそのプログラム
JP5322019B2 (ja) 2008-02-07 2013-10-23 日本電気株式会社 関連する情報を事前にキャッシュする予測型キャッシュ方法、そのシステム及びそのプログラム
JP2009265854A (ja) 2008-04-23 2009-11-12 Soriton Syst:Kk 機密ファイル管理システム
US8695006B2 (en) * 2008-05-02 2014-04-08 Oracle International Corporation Resource management method
CN101593196B (zh) 2008-05-30 2013-09-25 日电(中国)有限公司 用于快速密文检索的方法、装置和系统
GB2461771A (en) 2008-07-11 2010-01-20 Icyte Pty Ltd Annotation of electronic documents with preservation of document as originally annotated
KR101190061B1 (ko) 2008-12-01 2012-10-11 한국전자통신연구원 결합 키워드를 이용한 데이터 암호화 방법 및 데이터 검색방법
US9246889B2 (en) * 2009-08-12 2016-01-26 Google Technology Holdings LLC Layered protection and validation of identity data delivered online via multiple intermediate clients
US8874929B2 (en) 2009-10-27 2014-10-28 Lockheed Martin Corporation Cross domain discovery
US8468345B2 (en) 2009-11-16 2013-06-18 Microsoft Corporation Containerless data for trustworthy computing and data services
US10348693B2 (en) 2009-12-15 2019-07-09 Microsoft Technology Licensing, Llc Trustworthy extensible markup language for trustworthy computing and data services

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11233707B2 (en) * 2020-03-27 2022-01-25 Raytheon Bbn Technologies Corp. Metadata-based information provenance
US11831657B2 (en) 2020-03-27 2023-11-28 Raytheon Bbn Technologies Corp. Trust policies for a data provisioning layer

Also Published As

Publication number Publication date
US20110145593A1 (en) 2011-06-16
WO2011081738A3 (en) 2011-09-09
EP2513833A4 (en) 2014-11-19
US9537650B2 (en) 2017-01-03
US10348700B2 (en) 2019-07-09
TWI523475B (zh) 2016-02-21
TW201123807A (en) 2011-07-01
EP2513833A2 (en) 2012-10-24
EP2513833B1 (en) 2019-08-07
CN102656589A (zh) 2012-09-05
WO2011081738A2 (en) 2011-07-07
JP2013513889A (ja) 2013-04-22
US20170111331A1 (en) 2017-04-20
HK1175861A1 (zh) 2013-07-12
CN102656589B (zh) 2016-03-16

Similar Documents

Publication Publication Date Title
JP5639660B2 (ja) ラッパ複合を通じたデータのための確認可能な信頼
JP5754655B2 (ja) 信頼できるコンピューティング・サービスとデータ・サービスのためのコンテナを利用しないデータ
US10348693B2 (en) Trustworthy extensible markup language for trustworthy computing and data services
Dagher et al. Ancile: Privacy-preserving framework for access control and interoperability of electronic health records using blockchain technology
Thwin et al. Blockchain‐based access control model to preserve privacy for personal health record systems
EP2396921B1 (en) Trusted cloud computing and services framework
EP2396922B1 (en) Trusted cloud computing and services framework
JP2012530391A (ja) 信頼されるコンピューティングサービスおよびデーターサービスのための安全なプライベートバックアップストレージおよび処理
Zichichi et al. Data governance through a multi-dlt architecture in view of the gdpr
Adlam et al. Applying Blockchain Technology to Security-Related Aspects of Electronic Healthcare Record Infrastructure
Abouali et al. Patient full control over secured medical records transfer framework based on blockchain
Simpson et al. Digital Key Management for Access Control of Electronic Records.

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20130701

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130717

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20131115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140925

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141024

R150 Certificate of patent or registration of utility model

Ref document number: 5639660

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250