JP5754655B2 - 信頼できるコンピューティング・サービスとデータ・サービスのためのコンテナを利用しないデータ - Google Patents
信頼できるコンピューティング・サービスとデータ・サービスのためのコンテナを利用しないデータ Download PDFInfo
- Publication number
- JP5754655B2 JP5754655B2 JP2012539921A JP2012539921A JP5754655B2 JP 5754655 B2 JP5754655 B2 JP 5754655B2 JP 2012539921 A JP2012539921 A JP 2012539921A JP 2012539921 A JP2012539921 A JP 2012539921A JP 5754655 B2 JP5754655 B2 JP 5754655B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- encrypted
- metadata
- storage
- xml
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 143
- 238000003860 storage Methods 0.000 claims description 138
- 238000005516 engineering process Methods 0.000 claims description 43
- 238000004422 calculation algorithm Methods 0.000 claims description 32
- 230000009466 transformation Effects 0.000 claims description 29
- 238000013500 data storage Methods 0.000 claims description 25
- 238000007726 management method Methods 0.000 claims description 22
- 230000015654 memory Effects 0.000 claims description 15
- 238000004458 analytical method Methods 0.000 claims description 13
- 238000012384 transportation and delivery Methods 0.000 claims description 4
- 238000010223 real-time analysis Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 79
- 230000008569 process Effects 0.000 description 33
- 238000012795 verification Methods 0.000 description 33
- 230000006870 function Effects 0.000 description 22
- 239000012634 fragment Substances 0.000 description 20
- 230000008520 organization Effects 0.000 description 20
- 230000008901 benefit Effects 0.000 description 19
- 238000009826 distribution Methods 0.000 description 14
- 230000004044 response Effects 0.000 description 13
- 238000012550 audit Methods 0.000 description 10
- 238000001514 detection method Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 238000005034 decoration Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000000844 transformation Methods 0.000 description 6
- 238000006243 chemical reaction Methods 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 238000000926 separation method Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000000153 supplemental effect Effects 0.000 description 4
- 239000008186 active pharmaceutical agent Substances 0.000 description 3
- 238000013459 approach Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000003111 delayed effect Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000010076 replication Effects 0.000 description 3
- 230000004308 accommodation Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 238000009877 rendering Methods 0.000 description 2
- 230000003362 replicative effect Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- MWRWFPQBGSZWNV-UHFFFAOYSA-N Dinitrosopentamethylenetetramine Chemical compound C1N2CN(N=O)CN1CN(N=O)C2 MWRWFPQBGSZWNV-UHFFFAOYSA-N 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 229940112112 capex Drugs 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000013497 data interchange Methods 0.000 description 1
- 238000013502 data validation Methods 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- FEBLZLNTKCEFIT-VSXGLTOVSA-N fluocinolone acetonide Chemical compound C1([C@@H](F)C2)=CC(=O)C=C[C@]1(C)[C@]1(F)[C@@H]2[C@@H]2C[C@H]3OC(C)(C)O[C@@]3(C(=O)CO)[C@@]2(C)C[C@@H]1O FEBLZLNTKCEFIT-VSXGLTOVSA-N 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012432 intermediate storage Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003278 mimic effect Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 238000012805 post-processing Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000002416 scanning tunnelling spectroscopy Methods 0.000 description 1
- 238000005204 segregation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 208000011317 telomere syndrome Diseases 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、信頼できるコンピューティング・サービスとデータ・サービスのためのコンテナを利用しないデータ(containerless data)に関する。
本発明は、ネットワーク・サービスまたはクラウド・サービスのような、信頼できるコンピューティング・サービスとデータ・サービスを装置(複数可)に提供することに関し、特に、どのコンテナ(複数可)が実際のビット記憶に用いられるかとは無関係に安全で、選択的にアクセス可能な、プライベートなデータ記憶を可能とするデータ・サービスまたはネットワーク・サービスに関する。
幾つかの従来型のシステムに関する背景として、コンピューティング装置は従来より、当該装置にローカルなアプリケーションおよびデータ・サービスを実行していた。かかる場合、データがアクセス、処理、格納、キャッシュ、等されると、当該データはローカルなバス、インタフェース、および他のデータ経路を通って装置上を移動することができるが、当該装置自体を紛失し、当該装置が盗難に遭い、または危険に晒されなければ、当該装置のユーザはユーザ・データの妨害または開示を心配する必要はなかった。
テラバイトのデータ(将来的にはペタバイト、エクサバイト、等のデータ)を格納できるネットワーク・ストレージ・ファームの発展により、今まではローカル・データに対して実行されていたが、主となる装置と外部記憶を分離することでクラウドに格納したデータに対して動作するアプリケーションを模倣する機会が生まれている。アプリケーションまたはシステムの(または任意の)データをクラウドで記憶することにより、多くの装置が、装置ごとに別個の専用記憶を必要とせずに当該装置のデータを記憶することができる。
しかし、オンライン及びクラウド・サービスの発展とともに、アプリケーションやサービスはますます、所与のサービスの一部または全部を装置(複数可)に代替して実施するサード・パーティのネットワーク・プロバイダに移行されつつある。かかる場合、装置(複数可)のユーザは、ユーザのデータがサービスにアップロードされている間、当該データが当該サービスによって記憶または処理されている間、または当該データが当該サービスから取り出されている間に、誰が当該データにアクセスでき、または、おそらくより悪いことには、誰が当該データを妨害しうるのかを心配するようになるかもしれない。要するに、ユーザの装置のデータが物理的な所有領域を離れ、当該ユーザから物理的に離れたネットワーク環境に入ると、サード・パーティがずさんにまたは悪意をもってデータを扱うかまたは妨害する心配が生ずる。したがって、クラウド・サービスおよびクラウド・サービスに関連するデータの扱いに関して、信頼、セキュリティおよびプライバシを高めることが望ましい。例えば、データが生成された或る制御領域(例えば、第1の部署)を当該データが離れ、別の制御領域(例えば、第2の部署)に入って記憶される場合には、企業内部であってもデータの記憶に関して同様な心配が生ずる。
しかし、上で示唆したように、データがクラウドに記憶されている間に当該データのセキュリティ、プライバシ、および完全性の問題およびそれらに対する要求を効果的に軽減できるクラウド・サービスまたはネットワーク記憶プロバイダは存在しないという問題が依然として残っている。要するに、記憶媒体に対する物理的制御を明け渡した場合に自分のデータが依然として安全でプライバシが保たれているという高度な信頼をユーザは要求するのであり、このハードルのため、企業や消費者がサード・パーティのネットワーク・サービスやソリューションを介して重要なデータをバックアップすることを採用するのが著しく妨げられている。
今日の装置および当該装置に提供されるデータ・サービスに関する以上の欠点は、単に従来型のシステムの問題のうち幾つかの全体像をつかめるようにしたものであり、包括的なものではない。最新技術に関する他の問題と、対応する様々な非限定的な実施形態の幾つかの利益は、後の発明を実施するための形態を検討することでさらに明らかになろう。
1つまたは複数の例示的で非限定的な実施形態の様々な態様の基本的なまたは一般的な理解を可能とするために簡単な要約を与え、その後、より詳細な説明と図面の簡単な説明を行う。しかし、本要約は広範囲または包括的な概要を意図したものではない。寧ろ、本要約の唯一の目的は、幾つかの例示的で非限定的な実施形態に関連する幾つかの概念を、後の様々な実施形態のより詳細な説明に対する前置きとして簡潔に提示することである。
信頼を複数のエンティティに分散する方法で、データに対する検索可能暗号、逆アセンブルもしくは再アセンブルまたは配布の技法のような数学的変換技法を含むネットワークまたはクラウドのデータ・サービスを提供して、一箇所におけるデータ侵害を回避し、データを格納、処理、アクセスまたは抽出できるコンテナ(複数可)からデータ保護要求を分離する。1実施形態では、数学的変換述語生成器(例えば、鍵生成器)、数学的変換プロバイダ(例えば、暗号技術プロバイダ)およびクラウド・サービス・プロバイダがそれぞれ別々のエンティティとして提供され、データのパブリッシャの信頼できるプラットフォームがデータを機密に(不明瞭化、例えば、暗号化して)クラウド・サービス・プロバイダに発行できるようにし、サブスクライバのケイパビリティ(capability)に基づいて、許可されたサブスクライバが不明瞭化されたデータ、例えば、暗号化されたデータに選択的にアクセスできるようにする。
信頼できるプラットフォームの技法を用いて、データ(と関連するメタデータ)を当該データを保持するコンテナ(例えば、ファイル・システム、データベース、等)から切り離して、提示されたケイパビリティで開く数学的な複雑性の覆いを課すことによって、データが自身の管理者(custodian)として動作できるようにする。当該提示されたケイパビリティとしては、例えば、非限定的な例として信頼プラットフォームの暗号鍵生成器により与えられる鍵がある。特定のコンテナを強制する必要なしに信頼性を保存し拡張するように、データまたは当該データのサブセットの共有またはこれらへのアクセスを容易にする。データに適用される検索可能暗号技法のような数学的複雑性により、特定のビットが記録されるコンテナまたはハードウェアと無関係にデータを保護する。即ち、データはコンテナを利用ぜずにまたはコンテナと無関係に保護され、したがってコンテナのセキュリティ障害に基づく攻撃を受けない。特定の「安全性」が破られても、コンテンツは依然として保護されている。
1つの非限定的な実施形態では、XML(extensible markup language)データが自身の管理者として動作するデータである。XMLデータでは、基礎となるデータへのアクセスを選択的に可能としまたは禁止する記述情報をタグに補完または追加して、XMLデータまたはXMLデータ・フラグメントが、当該XMLデータまたはXMLフラグメントに適用される信頼エンベロープ(trust envelope)内のタグ情報でカプセル化され、自身の管理者として動作できるようにすることができる。XMLデータまたはタグは、例えば、権限情報、認証情報、スキーマ情報、履歴情報、追跡情報、一貫性情報、等のうち任意の1つまたは複数をエンコードする検索可能なメタデータを表現することができる。XMLに基づく実施形態のうち任意のものを、様々な代替形式に適用することもできるので、XMLはかかる諸実施形態では例示の目的で使用されているにすぎない。当該代替形式には例えば、JSON(JavaScript Object Notation)、S式、EDI(electronic data interchange)、等があるがこれらに限らない。
このように、任意の種類のペイロードに対する「信頼エンベロープ」が、当該エンベロープに配置した様々な装飾または封を介した制限付きアクセス(curtained access)を提供する。当該装飾または封は、種々の保証にわたる全範囲の信頼を可能とする。上記任意の種類のペイロードには例えば、データベース・フィールド、XMLフラグメントまたは完全なレコードがあるがこれらに限らない。上記種々の保証には例えば、機密性、プライバシ、匿名性、改竄検出、完全性、等があるがこれらに限らない。例えば、XMLタグを適用または補完して、ネットワーク環境におけるデータ交換に用いる共通形式である、構造化XMLデータに対して信頼エンベロープを作成し、信頼できるクラウド・サービス環境でコンテナを利用しないXMLデータを可能することができる。
データのセキュリティとプライバシに対する高レベルな信頼の確立を容易にするために適用できる暗号化技法または「装飾」の他の幾つかの例には、サイズ保存型暗号化、検索可能暗号、またはアプリケーション証明(Proof of Application)、ブラインド・フィンガープリント(blind fingerprint)、復元可能性証明(Proof of Retrievability)、等が挙げられるがこれらに限らない。
他の実施形態および様々な非限定的な例、シナリオ、および実装形態を後により詳細に説明する。
様々な非限定的な実施形態を、添付図面を参照してさらに説明する。
概要
背景技術で論じたように、例えば、データがユーザの装置からネットワーク・アプリケーション、サービスまたはデータ記憶に送信され、悪意ある第三者が危害を加え得ないことの十分な保証をユーザが望む場合は、ネットワーク・サービスに送信されたデータが、プライバシ、改竄可能性、等に関して不快感を生み出す可能性がある。定義によれば、ユーザがデータに対する制御を失う。したがって、パブリッシャおよび/もしくは所有者がアクセスしたとき、または、要求者のアイデンティティに基づいて検証され権限が付与された者がアクセスしたときは除いて、ネットワークにおいて、データのパブリッシャおよび/または所有者が自分のデータが依然としてプライベートであり無傷であることを信頼して自分のデータに対する物理的制御を進んで放棄しようとするように、信頼を高めることが望ましい。
これに関して、データがクラウドに記憶されている間に当該データのセキュリティ、プライバシ、および完全性の問題およびそれらに対する要求を効果的に軽減できるクラウド・サービスまたはネットワーク・ストレージ・プロバイダは存在しないという問題が依然として残っている。要するに、記憶媒体に対する物理的制御を明け渡した場合に自分のデータが依然として安全でプライバシが保たれているという高度な信頼にユーザは関心があるのであり、このハードルのため、企業や消費者が第三者のネットワーク・サービスやソリューションを介した重要なデータのバックアップを採用することが著しく妨げられている。
本明細書で使用する場合、ネットワーク記憶プロバイダという用語は、コンテンツ配信(または配布)ネットワーク(CDN)、例えば企業の記憶域、クラウド記憶域、および/もしくはCDNにまたがる混合型のシナリオ、および/または、例えば、複数の企業、複数のクラウド、もしくは複数のCDNにまたがるより広い連合型のシナリオ、または、前述の任意の組合せを含むがこれに限らない。
従来は、データを安全に保つために、データは、例えば物理媒体上にしまい込むかまたは隠されていた。これに関して、データ所有者は、機密データの管理者が完全に信頼できる者であるか、または、機密データの内容にアクセスできないことを知っている。これに関して、クラウド・サービスの前提は顧客が自分のデータがどこに物理的に存在するかを必ずしも正確に知る必要はないということであるが、この問題を完全に無視できるわけではない。その理由は、誰(どの装置)がデータにアクセスできるか、誰がデータを見るか、誰がデータを保守するか、およびどのようにデータが記憶されるかにつき完全な責任を負うのは困難であるからである。したがって、現実には、顧客は、固有の不信感と様々なその他の懸念のため、クラウドの連鎖において第三者が誰であり誰が様々なコンピューティング装置や記憶装置を制御しているかを非常に気にしている。
人間または外部のエンティティが制御するアクティブな管理にはデータの所有者またはパブリッシャと調和しない可能性があるという固有な先入観があるが、本明細書の様々な実施形態では、当該管理を排除し、データが数学的に変換されるシステム、例えば、データが選択的に暗号化または検索可能に暗号化されるシステムを提供し、第三者のマシン(複数可)、機構(複数可)、装置(複数可)または当該データを保持するコンテナ(複数可)と無関係にデータがそれ自体の管理者として動作するようにする。これに関して、フェデレーテッド信頼オーバレイの様々な実装形態により、セキュリティ、機密性、改竄防止、等の保証を伴ったコンテナを利用しないデータが可能となり、これらの保証はユーザには透過的とされる。
したがって、様々な実施形態では、信頼できるクラウド・プラットフォームを、パブリッシャがデータを数学的に不明瞭にするための変形フレームワークとして使用して、サブスクライバが権限を有する部分に対してサブスクライバが選択的にアクセスできるようにする。これに関して、一部の場所で完全性とセキュリティを保存しつつ、データを保護し、同時に、許可されたサブスクライバへのアクセスを許可することによって、プラットフォームが自身の管理者として動作するデータを実現する。
様々な実施形態および詳細を以下の節で説明するが、自身の管理者としてのデータを、着脱可能なサービスを伴うフェデレーテッド信頼オーバレイで実装することができる。数学的な難読化、例えば暗号化よりも多くのことを実現するために、様々な実施形態ではユーザおよびエスクロー・エージェントのデータに対して、データが格納される場所および方法に関わらず、データのパブリッシャまたは所有者が適切に定義したように機密性と整合性の要件が保存されることを保証する。これに関して、焦点は、データの境界、パイプおよびコンテナを保護することから、適切なケイパビリティ(例えば、鍵)が提示されたときにデータ/メタデータ、または特定のサブセットへのアクセスを可能とする暗号的に安全な信頼エンベロープを提供することでデータおよび関連するメタデータを保護することへと、シフトまたは拡大している。
1実施形態では、データをホストするための方法を提供する。当該方法は、第1の制御領域のコンピューティング装置(複数可)が、第2の制御領域のコンピューティング装置(複数可)から、第2の制御領域のコンピューティング装置(複数可)の1組の定義されたデータ・セットを数学的にデータ変換して作成した不明瞭なデータを受け取ることを含む。当該方法はさらに、第1の制御領域のコンピューティング装置(複数可)によって、データを分析し、分析結果に対して少なくとも1つの他の数学的変換を行うことにより作成した、不明瞭なメタデータを受け取ることを含む。次に、少なくとも2つの異種のコンテナ・タイプを有する1組のコンテナのうち、不明瞭なデータおよび/または不明瞭なメタデータを格納する1つまたは複数のコンテナを判定する。
システムの非限定的な実装形態では、1つまたは複数の数学的変換コンポーネントを数学的変換アルゴリズム・プロバイダによって少なくとも部分的に分散させる。当該数学的変換アルゴリズム・プロバイダは、データおよびメタデータの公開またはサブスクライブのうち少なくとも1つに対して数学的変換述語情報(例えば、鍵情報)を生成する生成器とは独立に実装される。1つまたは複数の数学的変換コンポーネントが、少なくとも1つの検索可能データ不明瞭化アルゴリズム(例えば、検索可能暗号)または検索可能データ開示(例えば、検索可能復号化)アルゴリズムを、生成器が生成した数学的変換述語情報に基づいて実施する。ネットワーク・サービス・プロバイダは、生成器および1つまたは複数の数学的変換コンポーネントとは独立に実装され、1つまたは複数の数学的変換コンポーネントによって不明瞭化したデータまたはメタデータに関してネットワーク・サービスを実装する。ネットワーク・サービス・プロバイダは、データ・コンテナ管理コンポーネントを備える。当該データ・コンテナ管理コンポーネントは、少なくとも1つの数学的変換コンポーネントにより不明瞭化されたデータまたはメタデータがどこに格納されるかを、ネットワーク・サービスの、データ待ち時間要件、データ信頼性要件、データ消費要件からの距離、またはデータ・スケール要件に基づいて管理する。
管理者としてのデータにより、1組の所与のデータの全てに対する権利を要求するのではなく、必要なときに、または、必要であると予想されるときに、細かい粒度レベルで、または、指定の粒度レベルで、データへのアクセス権を提供する。クラウド記憶プロバイダの運用スタッフも、参照、修正、改竄または削除が運用スタッフに付与されたケイパビリティに従って明示的に許可されていない限り、記憶容量の計画等を目的としたサーバ・ログのメンテナンス、またはメタデータに対する他の何らかの有限な動作など、検出されることなくデータを参照し、修正し、改竄し、または削除することはできない。さらに、コンテナを利用しないデータにより事前に複製を行うことができ、これにより改竄防止が容易になる。これは、当該コンテナを利用しないデータがなければ、要求される従来型のシステムが適切に解決できなかったものである。
1実施形態では、フェデレーテッド信頼オーバレイを、1つまたは複数の以下のコンポーネント、即ち、クラウド・データ・サービス(CDS)またはクラウド記憶プロバイダ、暗号技術プロバイダ(CTP)および鍵生成センタ(CKG)のうち1つまたは複数により実現する。CDSを任意の記憶プロバイダによって提供することができる。すなわち、コンテナを利用しないデータでは特定のコンテナは不要である。CDSの制御領域から離れてCTPが動作すれば、CTPを実装するためのオープン仕様に基づこうが、CTPの独自の実装に基づこうが、任意の当事者がCTPを提供することもできる。鍵生成機能を分離し、暗号原理のような数学的原理を公衆の縦覧に付すことで、CTPの方法に依然として先入観が入らず、CTPの方法を1企業または1人のユーザによって実装するか、またはCTPの技術を有する第三者から調達できるという確信を与えることになる。さらに、独自のバージョン、企業向けのオープンなバージョン、政府または国家向けのオープンまたはクローズドなバージョン、リファレンス・オープン・ソースのバージョン、または他のカテゴリの全てを、プレパッケージ型の利用または所与のエンティティによる実装向けに作成することができる。
CKGエンティティは、CTPによって規定される技術に従って鍵情報を生成し、フェデレーテッド信頼オーバレイの別のコンポーネントとして提供される(しかし、FTOの所与の実装に対して望まれる信頼レベルに応じて、CKGを他のコンポーネントと組み合わせることもできる)。様々な実施形態では、CKGは集約的なエンティティであることができるが、本明細書で用いる「センタ」という用語は論理的な言及であり、集約的なエンティティを示唆するものではなく、したがって、CKGを分散させ連携させることもできる。CKGは単一のエンティティまたは複数のパートナにサービス提供することができる。例えば、医薬品会社間で複数のパートナが協調することにより、同意したCKGからの鍵交換に従って情報を共有しアクセスすることである。したがって、FTOを用いると、権限を分離し、格納した情報、明示的な権限なしのログまたはアクセス・パターン、改竄検出および完全性に対する洞察を防止することによって信頼および機密性が維持され、例えば、立証も可能となる。例えば、サービス・プロバイダが、検出されることなくデータを修正または削除することはできない。否認不可を有する監査機能によって、顧客は、快適にデータを手放して誰も偶然または故意にデータを妨害していないことを確信することができる。ログに対しても、データとメタデータと同様に保証される。
結果の「立証」は、FTOの実装に含めうる別の機能であり、後で詳述する。立証により、要求されている情報をクラウドが保留できないこと、例えば、3つのドキュメントを求められたときに2つのドキュメントを配信できないことが保証される。CKGとデータの立証を実施する任意のサービスとの分離実装を考慮することによって、および、アプリケーション・サービス・プロバイダに付与されたケイパビリティに基づいてデータまたはメタデータを受け取り、変更し、取り出し、変更し、補完し、または削除するアプリケーション・サービス・プロバイダからデータを分離することによって、分離の概念をさらに取り込むことができる。これにより、その当時のアクセス特性、最新のセキュリティ・モデル、最新の役割、時刻、等に従ってアプリケーションのケイパビリティが維持されるという利益も得られる。
上述の機能の全部または一部、例えば、後でより詳細に説明するようなものを組み合わせることで、データをクラウドに格納することに対する信頼性の懸念が排除される可能性が高まる。企業レベルでは、企業は、データやアプリケーションがクラウドにホストされている場合であっても、細かい粒度でポリシを所有し強制を制御することができる。システムを、アイデンティティ・メタシステム(例えば、クレーム、アイデンティティ・ライフサイクル管理、アクティブ・ディレクトリ、等)のような企業のセキュリティ・インフラと調和させることができる。企業は、FTOの実装を要望するだけいくらでも行うことができる。
本明細書で説明したデータ・サービスの提供には、費用対効果が良く安全でプライベートなソリューションを可能とする記憶暗号化技法の様々な組合せと置き換えが必要である。例えば、後でより詳細に説明する様々な任意の実施形態において、データ保護技法を実装する。当該データ保護技法は、サイズ保存型暗号化、検索可能暗号、および/または(一般的な技法に関する)アプリケーション証明と呼ばれる暗号技法を含む。かかる実施形態により、外部委託式のクラウド・データ保護、災害復旧、または分析に関する新たなビジネス・シナリオが可能となる。背景技術で論じたように、顧客のプライバシまたはセキュリティのニーズを満たすようにクラウドまたはネットワーク型のデータ・サービスを実装した従来型のシステムはない。
これに関して、従来式のネットワーク・サービスの提供を取り囲む信頼の障壁を排除するため、上述の目的ならびに後で説明する様々な実施形態で強調する他の利点を実現する、信頼できるクラウド・コンピューティングおよびデータ・サービスのエコシステムまたはフレームワークが提供される。「クラウド」という用語は一般に、サービスがユーザの装置から局所的に実施されるのではなく、1つまたは複数のネットワークを介してアクセス可能な1つまたは複数のリモート装置から提供されるという概念を指す。ユーザの装置が、1つまたは複数の装置で何が起きているかの詳細を理解する必要がないので、ユーザの装置からはサービスが「クラウド」から提供されているようにみえる。
1実施形態では、システムは、データを発行またはサブスクライブするための鍵情報を生成する鍵生成器を備える。暗号技術プロバイダが、鍵生成器とは独立に実装され、鍵生成器が生成した鍵情報に基づいて検索可能暗号/復号アルゴリズム(複数可)を実装する。さらに、ネットワーク・サービス・プロバイダが、鍵生成器と暗号技術プロバイダとは独立に実装され、暗号技術プロバイダにより暗号化されたデータに関してネットワーク・サービスを提供する。
1実施形態では、選択的にアクセス可能な、例えば、検索可能暗号化データを公開するデータ記憶が提供され、少なくとも1つのパブリッシャが、リソース(複数可)を表すデータを当該データ記憶に発行する。信頼が悪用される可能性を分けることによって、第1の独立したエンティティが暗号鍵情報を生成する。次いで、第2の独立したエンティティが、第1の独立したエンティティが生成した暗号鍵情報に基づいて格納する前に、発行されたデータを暗号化する。1組のネットワークまたはクラウド・サービスが、リソースのパブリッシャ(複数可)または所有者(複数可)が付与した遅延的に結合され選択された権限に基づいて、ネットワーク・サービスに対する所与の要求に対して、暗号化データに選択的にアクセスする。
他の実施形態では、データ記憶が選択的にアクセス可能な暗号化データを格納し、サブスクライバ(複数可)が当該暗号化データの特定のサブセットをサブスクライブする。第1の独立したエンティティが、サブスクライバ(複数可)に関連付けられたアイデンティティ情報に基づいて暗号鍵情報を生成し、第2の独立したエンティティが、第1の独立したエンティティが生成した暗号鍵情報に基づいて上記特定のサブセットを復号化する。ネットワーク・サービス(複数可)はサブスクライバ(複数可)による要求に応答し、上記特定のサブセットのパブリッシャまたは所有者が付与した遅延的に結合され選択された権限に基づいて、暗号化データに対する選択的なアクセスを提供する。
これに関して、パブリッシャおよびサブスクライバという用語は一般に、それぞれ、信頼できるクラウド・サービスのデータを発行またはサブスクライブする任意の者をさす。しかし、実際には、信頼できるクラウド・サービスのエコシステムおよびデジタル・エスクロー・パターンの業界、分野、または応用分野に応じて、パブリッシャおよびサブスクライバはより具体的な役割を果たす。例えば、システム全体のデータのコンテキストでは、一般に、少数のサブスクライバのみが当該データにアクセスできる権限を有する。例えば、当該データのコンテキストでは、暗号化データ記憶の監査者が、コンテンツ自体へのアクセス権限を付与することなく、バックアップ頻度のような特定の要件が満たされることを確認するための、データの監査者の役割に基づく特定のケイパビリティを有してもよい。
1つの非限定的な実施形態では、データをホストするための方法であって、第1の制御領域の第1のコンピューティング装置(複数可)が、第2の制御領域の第2のコンピューティング装置(複数可)から、暗号鍵情報に基づいて検索可能暗号アルゴリズム(複数可)に従って当該第2のコンピューティング装置(複数可)の所定のデータ・セットに対するデータを暗号化することで作成した暗号化データを受け取ること、当該第1のコンピューティング装置(複数可)が、暗号鍵情報に基づいてデータを分析し当該分析結果を暗号化することで作成した暗号化メタデータを受け取ること、および、少なくとも2つの異種のコンテナ・タイプのコンテナから、当該暗号化データまたは当該暗号化メタデータを格納するコンテナ(複数可)を自動的に決定することを含む。トラップドア・データの少なくとも1つの暗号トラップドアによって定義されるように、暗号化データまたは暗号化メタデータへの視覚的なアクセスを可能とするトラップドア・データを受け取る。
暗号化データまたは暗号化メタデータを格納するコンテナ(複数可)を、複数のコンテナの所定の条件が満たされた場合に自動的に切り替えるかまたは変更することができる。例えば、特定のデータまたはメタデータの優先度が顧客に対して高くなった場合、当該データまたはメタデータを、低速な長期記憶域からアクセス待ち時間が少ない高速のコンテナに移してもよい。あるいは、他の効率上の理由から、例えば、暗号化データまたは暗号化メタデータに関連付けられた記憶サイズに基づいて、暗号化データまたは暗号化メタデータに対して規定されたアクセス速度要件に基づいて、暗号化データまたは暗号化メタデータに対して規定された復旧信頼性要件に基づいて、暗号化データまたは暗号化メタデータにアクセスできる1つまたは複数の装置の近接性に基づいて、データまたはメタデータを移動し、コピーし、または削除してもよい。
別の非限定的な実装形態では、システムは暗号コンポーネントを備える。当該暗号コンポーネントは、暗号技術プロバイダによって少なくとも部分的に分散され、データおよびメタデータを発行またはサブスクライブするための鍵情報を生成する鍵生成器と独立に実装され、当該鍵生成器によって生成された鍵情報に基づいて、データおよびメタデータを検索可能に暗号化、または、検索可能に復号化する。
システムはまた、ネットワーク・サービス・プロバイダを備えることができる。当該ネットワーク・サービス・プロバイダは、鍵生成器および暗号コンポーネントとは独立に実装され、当該暗号コンポーネントにより暗号化されたデータまたはメタデータに関してネットワーク・サービスを提供する。当該ネットワーク・サービス・プロバイダは、暗号コンポーネントにより暗号化されたデータまたはメタデータがどこに格納されるかを、ネットワーク・サービスの、データ待ち時間要件、データ信頼性要件、データ消費要件からの距離、またはデータ・スケール要件に基づいて管理するデータ・コンテナ管理コンポーネントを備える。鍵情報が、ケイパビリティ情報を含むことができる。当該ケイパビリティ情報は、暗号化コンポーネントにより暗号化されたデータまたはメタデータに関してアクセス権限を定義する。最新のアクセス権限が所与のサブスクライバに付与されるように、ケイパビリティ情報を遅延的に結合することができる。
別の非限定的な実施形態では、コンピューティング・システムが、選択的にアクセス可能な暗号化データまたは暗号化メタデータを格納するためのデータ記憶(複数可)を備え、パブリッシャがリソース(複数可)を表すデータまたはメタデータを当該データ記憶(複数可)に発行し、第1の独立したエンティティが暗号鍵情報を生成し、第2の独立したエンティティが、第1の独立したエンティティが生成した暗号鍵情報に基づいて当該データ記憶(複数可)に格納する前に、発行されたデータまたはメタデータを暗号化する。システムは、ネットワーク・サービスを提供する。当該ネットワーク・サービスは、リソース(複数可)のパブリッシャまたは所有者が付与した遅延的に結合され選択された権限に基づいて、ネットワーク・サービスに対する所与の要求に対して、暗号化データまたは暗号化メタデータに選択的にアクセスできるようにする。これに関して、システムはコンテナ・タイプに不可知的であり、したがって、データ記憶(複数可)は異なるコンテナ・タイプのコンテナを含み、データ記憶(複数可)は、選択的にアクセス可能な暗号化データまたは暗号化メタデータを、コンテナが表す最新の記憶リソースの分析結果に基づいて、様々なコンテナ(複数可)に自動的に分散させる。
1実施形態では、「データ」は、XMLペイロード・データ(例えば、「マイケル・ジャクソン」というテキスト文字列)とペイロードに適用されるXMLタグ情報(例えば、</名前>)とを含むXMLデータである。XMLタグ情報を、XMLデータの検索可能暗号と選択的復号化に関連する追加のメタデータで補完することができる。これに関して、XMLタグをこのように適用することによって、構造化XMLデータに対する「信頼エンベロープ」を作成して、暗号鍵生成エンティティ(CKG)と暗号技術提供エンティティ(CTP)の連携を利用し、機密性、プライバシ、匿名性、改竄検出および完全性のような様々な信頼保証を提供する。述べたように、XMLデータまたはメタデータに関する本明細書の実施形態のうち任意のものを他の形式に適用することもできるので、XMLは本明細書に記載の実施形態では例示の目的として使用されるにすぎない。当該他の形式には、例えばJSON、S式、EDI、等があるがこれらに限らない。
XMLはまた、大規模なドキュメントの散りばめられた断片(dispersed sliver)である場合には他の関連するフラグメントを発見するためのマニフェスト情報をエンコードすることができる。様々なコンテナにわたって分散するので、すなわち、1つまたは複数の中間層が特定のコンテナの記憶の詳細を処理するので、実装形態は技術的に独立している(任意のCKG/CTPを使用することができる)。さらに、信頼ラッパ以外にも、検索可能暗号および立証または検証に加えて任意数のラッパが適用できるという点で、および、新たなラッパ技術が適用可能となるので、実装形態は無制限である。また、一貫性、痕跡、等の調節を支援するタグを、既存のデータおよびメタデータ上に(またはメタデータを補完することによって)追加することができる。
データ/情報がXML形式である場合、これらの技法またはラッパのうち任意のものを構造化XMLデータに適用して、データを選択的に問い合わせてXMLフラグメントへのアクセスを取得することができる。今日では、XMLは、<タグ 「値」>または<タグ「値」|XML終了タグ>である標準的な形式である。有利なことに、構造化XMLドキュメントを用いて、デジタル・エスクロー・パターンに対して一意なCKG/CTP「フレーム」を指す外部ラッパが存在するように、構造を階層的に表す方法(複数可)がある。したがって、埋込みフラグメントへアクセスする必要があるときまたは埋込みフラグメントへアクセスしたいとき、<CKG>および<CTP>ラッパによる既存の信頼を利用することができ、または、1組の新たな信頼を新たなCKG/CTPフレームで確立することができる。
これを、標準的な公開鍵インフラPKIにより提供することができるが、選択した特定の枠組みは本明細書で説明した技法に関して非限定的であると考えるべきである。これに関して、どの特定の1組の暗号技術を選択したとしても、本明細書で説明した諸実施形態により、ユーザは暗号化データまたは暗号化メタデータのセグメント、サブセット、または部分を検索し、抽出し、暗号化することができる。さらに、公のデータ所有証明機構(装置に代わって実行する信頼できる第三者)(複数可)を実行して、アクセスされている特定のXMLセグメントが最初に作成されてから改竄されていないことを検証することができる。
本質的に、XMLフラグメントまたは完全なレコード(例えば、「ペイロード」)に対する「信頼エンベロープ」が様々な「装飾」により提供される。当該装飾により、全範囲の信頼を保証することができる。当該信頼保証には、例えば、機密性、プライバシ、匿名性、改竄検出および完全性があるがこれらに限らない。
信頼エンベロープの一部としてXMLタグ情報で表現できる情報の種類の例として、XMLドキュメントのフラグメントを様々なレベルの機密性に関して指定することができる。例えば、公開、秘密、極秘のパラグラフを有するドキュメントが存在してもよい。検索を実施し、秘密の権限でアクセスを要求する者は、公開および秘密のパラグラフにアクセスできるだけであるはずである。パラグラフの分類を使用して、暗号機構、鍵およびアクセス・ポリシを決定することもできる。例えば、極秘のコンテンツを無線または遠隔装置からアクセスできないというポリシを実装することができる。
同様に、かかる分類を使用して、どのようにデータを格納できるか、どこにデータを格納できるか、どのくらい長くデータを格納できるか、等に関するポリシを作成することができる。例えば、AES256暗号化を用いて(機密な)医療データを1日1回信頼できるデータ・センタ内のセキュア・サーバにバックアップしなければならないことを要求するポリシを作成することができる。
1実施形態では、XML(extensible markup language)データをホストするための方法が、第1の制御領域内の第1のコンピューティング装置が、暗号化XMLペイロード・データと暗号化されたXMLタグを含む暗号化XMLデータを第2の制御領域内の第2のコンピューティング装置から受け取ることを含む。暗号化XMLデータは、暗号鍵情報に基づく検索可能暗号アルゴリズム(複数可)に従って第2のコンピューティング装置の定義されたXMLデータ・セットを暗号化することで作成される。データ要求には、権限(複数)を定義するための、暗号鍵情報に基づくケイパビリティ(複数可)を含む。当該権限は、暗号化XMLペイロード・データまたは暗号化されたXMLタグのうち少なくとも一部にアクセスし、当該ケイパビリティ(複数可)によって定義されるように暗号化XMLデータへ選択的にアクセスできるようにするためのものである。
ケイパビリティ(複数可)はトラップドア・データを含むことができる。当該トラップドア・データは、暗号化XMLペイロード・データまたは暗号化されたXMLタグに選択的にアクセスするための暗号トラップドア(複数可)を含む。暗号化データは、暗号化XMLペイロード・データまたは暗号化されたXMLタグを分析することによって作成した、補助暗号化メタデータを含む。例えば、公開、秘密または極秘という機密性レベルのラベルを、XMLドキュメントの各ペイロード要素にフラグメント単位で適用し、補助暗号化メタデータに含めてXMLドキュメントの部分に対するアクセスに関して非常に粒度の細かいポリシを実現することができる。
別の実施形態では、検索可能に暗号化されたXMLデータをサブスクライブするための方法が、暗号鍵情報を、サブスクライバ装置に関連するアイデンティティ情報に基づいて暗号鍵情報を生成する鍵生成コンポーネントから受け取ること、検索可能に暗号化されたXMLデータと対応するタグ・データを求めて暗号鍵情報を記憶プロバイダに送信することを含めて検索可能に暗号化されたXMLデータと対応するXMLタグ・データのサブセットをサブスクライバ装置が要求すること、暗号鍵情報内で定義されたケイパビリティが許可するように暗号化XMLデータと対応するXMLタグ・データのサブセットを復号することを含む。
暗号化XMLデータのXMLフラグメントごとに、対応する暗号化XMLデータの機密性レベルを表すXMLタグ・データを復号化することができ、ケイパビリティが当該機密性レベルを有するデータへアクセスすることを許可するかどうかを判定することができる。これは、オープンなアクセス権限を有する公開レベルの機密性、またはポリシに従って定義される、あまりオープンでない秘密レベルの機密性を含む。
本方法は、暗号化XMLデータと対応するXMLタグ・データの正しいサブセットが、要求と一致するサブスクライバ装置によって受け取られることを立証することを含むことができる。立証の1例として、データ所有の証明(複数可)を行って正しいサブセットがサブスクライバ装置によって受け取られることを証明することがある。本方法はまた、暗号化XMLデータと対応するXMLタグ・データのサブセットの内容が、暗号化XMLデータと対応するXMLタグ・データのサブセットを受け取る前に削除または修正されていないことを検証することを含むことができる。検証の1例として、復元可能性証明(複数可)を行ってコンテンツの妨害がないことを証明することがある。他の任意の機能のうち、サブスクライバ装置に関連する認証情報の匿名化を、暗号化XMLデータまたは鍵情報へのアクセスを要求するときに適用することができる。
別の実施形態では、XML(extensible markup language)データを発行するための方法が、検索可能暗号アルゴリズム(複数可)に従ってXMLデータを暗号化して、暗号化XMLタグ情報を含む暗号化XMLデータを、暗号鍵情報を生成する別の鍵生成器から受け取った暗号鍵情報に基づいて作成すること、暗号化XMLデータをネットワーク・サービス・プロバイダに送信して暗号化データを記憶すること、を含むことができる。要求側の装置のアイデンティティ情報に基づいて要求側の装置に与えられた選択された権限を遅延的に結合することよって、暗号化データに選択的にアクセスすることができる。暗号化において、別の制御領域で実行される鍵生成器から暗号鍵情報を受け取ることができる。当該鍵生成器は、XMLデータを暗号化する発行側の装置のアイデンティティに基づいて暗号鍵情報を生成する。
別の実施形態では、XML(extensible markup language)データをサブスクライブするための方法が、暗号化XMLタグを含む検索可能に暗号化されたXMLデータのサブセットをサブスクライバ装置が要求したことに応答して、サブスクライバ装置に関連付けられたアイデンティティ情報に基づいて暗号鍵情報を生成する鍵生成コンポーネントから暗号鍵情報を受け取ること、および、暗号化XMLデータのサブセットを、暗号鍵情報で定義されたサブスクライバ装置に付与された権限の関数として復号することを含む。
様々な技法が、暗号化XMLデータのサブセットのデータ・アイテムに関して、正しいデータ・アイテムが受け取られたという証明をサブスクライバ装置が要求することを含み、これは、サブスクライバ装置が要求した暗号化XMLデータのサブセット内のデータ・アイテムが正しいことをサブスクライバ装置に対して証明する情報を受け取ることを含むことができる。様々な技法が、サブスクライバ装置による要求の前に暗号化XMLデータのサブセットが妨害されていないという証明を要求することを含むことができ、これは、暗号化XMLデータのサブセットがサブスクライバ装置による要求の前に妨害されていないことをサブスクライバ装置に対して証明する情報を受け取ることを含むことができる。
さらに別の実施形態では、システムが、選択的にアクセス可能な暗号化XMLペイロード・データおよび当該暗号化XMLペイロード・データに対応する暗号化XMLタグ・データを格納するデータ記憶(複数可)を備える。サブスクライバが暗号化XMLペイロード・データまたは暗号化XMLタグ・データのサブセットに対するサブスクリプションを要求し、第1の独立したエンティティがサブスクライバに関連付けられたアイデンティティ情報に基づいて暗号鍵情報を生成し、第2の独立したエンティティが第1の独立したエンティティが生成した暗号鍵情報に基づいて当該サブセットの復号化を実施する。システムはさらに、サブスクライバによる要求を扱うためのネットワーク・サービスを備える。当該ネットワーク・サービスは、暗号化XMLペイロード・データまたは暗号化XMLタグ・データのサブセットに対して選択的なアクセスを提供する。暗号化XMLペイロード・データまたは暗号化XMLタグ・データのサブセットがサブスクリプションと一致する正しいサブセットであることを立証し、かつ/または、暗号化XMLペイロード・データまたは暗号化XMLタグ・データのサブセットが、暗号化XMLペイロード・データまたは暗号化XMLタグ・データのサブセットに対する選択的なアクセスの前に、権限なく変更または削除されていないことを検証するように、システムを構成することができる。
別の実施形態では、システムは暗号コンポーネントを備える。当該暗号コンポーネントは、暗号技術プロバイダによって少なくとも部分的に分散され、XMLデータおよび対応するタグ・データを発行するかまたはサブスクライブするための鍵情報を生成する鍵生成器と独立に実装される。当該暗号コンポーネントは、暗号コンポーネントによって暗号化されたXMLデータまたは対応するタグ・データに関してネットワーク・サービスを実装するように構成されたプロセッサを含む、鍵生成器とネットワーク・サービス・プロバイダによって生成される鍵情報に基づいて検索可能暗号/復号アルゴリズム(複数可)を実行するように構成された、鍵生成器と当該暗号コンポーネントとは独立に実装されたプロセッサを備える。鍵情報は、「遅延的に結合された」ケイパビリティの情報を含む。当該情報により、XMLデータまたは対応するタグ・データに対する最新のアクセス権限が所与のサブスクライバに付与される。
これらおよび他の様々な例示的で非限定的な実施形態とシナリオを、以下でさらに詳細に説明する。
信頼できるコンピューティング・サービスおよびデータ・サービス向けのコンテナを利用しないデータ
背景技術で暗示したように、サービス企業が所有するリモート・サイトで企業の機密データの保守を行うと、プライバシ侵害からデータ紛失までのリスクに当該データが晒されるおそれがある。本明細書の様々な実施形態に関して説明するように、ネットワークまたはクラウドのデータ・サービスは、データの検索可能暗号技法を含むが、複数のエンティティにわたって信頼を分散させて一箇所におけるデータ侵害を回避するように提供され、データを格納し、処理し、アクセスし、または取り出せるコンテナ(複数可)からデータ保護要件を切り離すように提供される。1実施形態では、鍵生成器、暗号技術プロバイダ、およびクラウド・サービス・プロバイダがそれぞれ、別々のエンティティとして提供され、データのパブリッシャの信頼できるプラットフォームがデータを機密に(暗号化して)クラウド・サービス・プロバイダへ発行できるようにし、サブスクライバのケイパビリティに基づいて、許可されたサブスクライバに対して暗号化データへ選択的にアクセスできるようにする。
背景技術で暗示したように、サービス企業が所有するリモート・サイトで企業の機密データの保守を行うと、プライバシ侵害からデータ紛失までのリスクに当該データが晒されるおそれがある。本明細書の様々な実施形態に関して説明するように、ネットワークまたはクラウドのデータ・サービスは、データの検索可能暗号技法を含むが、複数のエンティティにわたって信頼を分散させて一箇所におけるデータ侵害を回避するように提供され、データを格納し、処理し、アクセスし、または取り出せるコンテナ(複数可)からデータ保護要件を切り離すように提供される。1実施形態では、鍵生成器、暗号技術プロバイダ、およびクラウド・サービス・プロバイダがそれぞれ、別々のエンティティとして提供され、データのパブリッシャの信頼できるプラットフォームがデータを機密に(暗号化して)クラウド・サービス・プロバイダへ発行できるようにし、サブスクライバのケイパビリティに基づいて、許可されたサブスクライバに対して暗号化データへ選択的にアクセスできるようにする。
信頼できるプラットフォームの技法を用いて、データ(と関連するメタデータ)を、当該データを保持するコンテナ(例えば、ファイル・システム、データベース、等)から切り離して、提示されたケイパビリティで開く数学的な複雑性の覆いを課すことによって、データが自身の管理者として動作できるようにする。当該提示されたケイパビリティとしては、例えば、様々な実施形態で説明される信頼プラットフォームの暗号鍵生成器により与えられる鍵がある。特定のコンテナを強制する必要なしに信頼性を保存し拡張するように、データまたは当該データのサブセットの共有またはこれらへのアクセスを容易にする。データに適用される検索可能暗号技法のような数学的複雑性により、特定のビットが記録されるコンテナまたはハードウェアと無関係にデータを保護する。即ち、データはコンテナを利用せずにまたはコンテナと無関係に保護され、したがってコンテナのセキュリティ障害に基づく攻撃を受けない。特定の「安全性」が破られても、コンテンツは依然として保護されている。
図1は、本明細書で説明する、安全で、プライベートで、選択的にアクセス可能なネットワーク・データ・サービスの1つまたは複数の実施形態を提供するための一般的環境のブロック図である。例示の目的のため、複数の企業100、102を示してあるが、当該技法は単一の企業または多数の共同企業にも適用可能である。様々な実施形態では、後でより詳細に説明するフェデレーテッド信頼オーバレイ130を用いると、企業100のポリシ110と企業102のポリシ112の強制120を、共同作業向けのFTOインフラ130に基づいて共有することができる。強制120を、企業100、102ごとに別々に適用することもできる。これに関して、ポリシと強制は専ら信頼オーバレイ130に基づいて企業100、102の管轄内にあるので、クラウド140内の実データの場所とどの特定のコンテナ142が使用されているかは、顧客の観点からは、顧客が実際に心配していること、即ち、待ち時間、信頼性、サービス品質保証、バックアップ、取出し時間、サイズ保証、等に関して以外は、重要でなくなる。
したがって、データを保持するコンテナから当該データを信頼オーバレイ130が解放する見返りとして、様々な実施形態では、データ記憶管理層150が、顧客が何を気にしているかをリアルタイムな記憶リソースの利用可能性とそれらの各々の特性の分析に基づいて自動的に処理して、顧客のニーズと要求に適合するコンテナ内のデータ記憶を最適化する。記憶管理層150を点線で表して、その位置も重要でないことを示す。記憶管理層150は通常、1つまたは複数のデータ記憶(複数可)142に格納したデータにアクセスし、当該データを参照または変更する暗号的権限は有さないが、メタデータの一部、例えば、ファイル・サイズまたはファイル・タイプを公開して、どのように顧客が将来当該データを使用したいかを理解するのを容易にして、記憶管理層150がインテリジェントに記憶域を選択できるようにするのが望ましいかもしれない。例えば、記憶管理層150は、データがビデオであると理解するのに十分なほど視聴された場合には、ストリーミング・メディアの要件を満たすメディア記憶域にビデオを保持することができる。
図2は、一般的な「自身の管理者としてのデータ」の概念を示すブロック図である。ポリシと強制がユーザまたは企業の制御内にあると、後でより詳細に説明するように、データと対応するログが暗号化され、当該データと対応するログには、ユーザに付与される特定のケイパビリティでのみアクセス可能である。例えば、通常、クラウド記憶プロバイダの運用スタッフのような、ケイパビリティを何ら有さない者は、データ権限を有さないので、検出されることなく参照し、修正し、改窺または削除することはできない。自身の管理者としてのデータにより、ポリシがデータの所有者またはパブリッシャにより設定され、アクセスがデータ自体によりその格納場所に関係なく強制または保証され、コンテナの選択を不要とする。信頼保証はデータにより強化されるが、サブスクライバまたは顧客が当該データに関してできることを記述することにより、所有者またはパブリッシャにより制御される。
示したように、非限定的な実施形態では、企業220は、ユーザ226とユーザ226による企業220のシステム・リソースの利用に関して、ならびに、外部ユーザ230(例えば、モバイル・ワーカ)に関して、自己のポリシ224とポリシ224の強制222を「所有」する。自身の管理者としてのデータを用いると、実データおよび/またはログ205を、データをクラウド200に格納することによってポリシ224と強制222から分離することができるが、クラウド200の運用スタッフ210は、検出されることなくデータおよび/またはログ205を参照し、修正し、改竄し、または削除することはできない。
図3は、本明細書で説明した、安全で、プライベートで、選択的にアクセス可能なネットワーク・データ・サービスの1つまたは複数の実施形態を提供するための一般的環境のブロック図である。一般に、フェデレーテッド信頼オーバレイを用いて信頼を分散する非限定的な例を示すと、コンピューティング装置(複数可)300(例えば、顧客)が第1の制御領域310内にあり、コンピューティング装置(複数可)320(例えば、クラウド・サービス・プロバイダ)が第2の制御領域330内にあり、コンピューティング装置(複数可)360が第3の制御領域390内にあり、暗号技術プロバイダ380が第4の制御領域395内にあり、鍵生成器382を第5の制御領域397内に提供することができる。コンピューティング装置(複数可)300、320、360の各々が、それぞれ、プロセッサ(複数可)P3、P2、P3、および、それぞれ、記憶域M3、M2、M3を備えてもよい。これに関して、様々な非限定的な実施形態に従って説明するように、クラウド内の暗号化データ340を可能とするための技法を提供し、アイテム350、またはアイテムの一部をアクセス権限に基づいてクラウドから選択的に取り出せるようにする。これに関して、1組の分析サービス370を、格納される暗号化データ345、347の上の層として提供することができる。当該1組の分析サービス370は、クラウド内に保持される暗号化データ340または暗号化データ342をどこに任意に格納するかを、装置(複数可)300からのローカル・データ・セット305に基づいて自動的に判定する。これに関して、サービス370は、データがCTP380またはCKG382のフェデレーテッド信頼オーバレイに基づいてコンピューティング装置300により取り出されるときに、取り出されたデータ352または取り出されたデータ350が所与の要求に対して最適なコンテナから取り出され、次善の場合には、コンテナが自動的に切り替えられることを保証する。例えば、コンピューティング装置360の現在のコンテナが顧客のニーズに対して不十分に動作している場合、または、顧客のニーズが変化した場合には、分析記憶サービス370はデータをリアルタイムに別の記憶コンテナに移動またはコピーし、シームレスにサービスをより適切なコンテナに切り替えて、例えば、サービス品質要件を満たすことができる。
図4は、本明細書で説明したようにデータが自身の管理者として動作する、コンテナを管理するためのプロセスの流れ図である。400で、第1の制御領域の第1のコンピューティング装置が第2の制御領域の第2のコンピューティング装置から暗号化データを受け取る。暗号化データは、暗号鍵情報に基づく検索可能暗号アルゴリズムに従って、第2のコンピューティング装置の定義されたデータ・セットに対してデータを暗号化することにより作成される。410で、暗号鍵情報に基づいてデータの分析結果および当該分析結果の暗号出力から作成された暗号化メタデータも受け取る。420で、どのコンテナ(複数可)が暗号化データまたは暗号化メタデータの少なくとも一部を格納するかを判定する。430で、所定の条件が満たされた場合に、暗号化データを格納するコンテナ(複数可)を自動的に変更することができる。
図5は、自身の管理者として動作するデータの1つまたは複数の態様を示す別のブロック図である。これに関して、コンテナはセキュリティのため冗長化されており、アクセスが暗号化ラッパにより強制され、ポリシが所有者またはパブリッシャにより設定され、暗号化ラッパにより保証される。暗号化ラッパは、後の様々な実施形態で説明するように、その状況の特定のセキュリティ・ニーズに応じて様々な暗号技法を含むことができる。例えば、示したように、ポリシが企業レベルで設定され、ユーザがデータにアクセスすることを求め、当該データはエントリに対して許可または拒否を行う暗号アクセス制御によりラップされている。企業の監査者、セキュリティ・スタッフ、運用スタッフ、等のような他のユーザは、企業で設定されたポリシに応じて、ラッパにより定義されるアクセス権限を有するかまたは有さないであろう。
図5の例で示すように、企業520は、企業のアクセス・ポリシ530を受けうる企業社員522を有し、当該企業社員522の一部が企業アクセス・ポリシ530を設定することができる。企業アクセス・ポリシ530が、どのようにクラウド・コンテナ500のデータ・コンテナ510に格納されたデータ512にアクセスし、当該データ512を操作し、取り出し、検索できるか、等に影響を及ぼすことができる。したがって、データ512のユーザ508がかかるデータ512にアクセスを試みると、企業アクセス・ポリシ530により誘導されるが企業アクセス・ポリシ530から独立した様々な暗号アクセス・コントロール514が、ユーザ508による不正アクセスからデータ512を保護する。様々な企業アクセス・ポリシ530を、データ・コンテナ510の暗号アクセス・コントロール514により反映して、セキュリティ・スタッフ504またはクラウドの運用スタッフ506が行う企業監査502のような様々なアクセスエンティティまたはタスクに適用して、アクセスできる者のみに可視性が制限されることを保証することができる。データ・コンテナ510を任意の場所に配置してセキュリティに関して冗長化することができ、暗号アクセス・コントロール514によりアクセスを強制する。これに関して、企業アクセス・ポリシ530を企業の社長が設定し、暗号アクセス・コントロール514により実装した暗号ラッパにより保証することができる。
図6は、データが従来型のコンテナ・セキュリティ・モデルを脱却できることを示す、自身の管理者としてのデータの態様を示す別のブロック図である。これに関して、本明細書で認識したように、データを唯一の場所に配置することはできず、所与の状況に最適なように、複数のコンテナをまたぐようにデータを接合または分割することができる。配置によりアクセスおよび回復力、等を最適化することができ、記憶管理層により一貫性、バージョン管理、ガベージ・コレクション、等を処理することができる。
図6に示すように、企業620は企業社員622に適用可能なその企業アクセス・ポリシ630を定義し、データ612は、リモートに格納され、データ612にアクセスしたいユーザ610に適用可能な暗号アクセス・コントロール614により保護される。システムおよびユーザ610は、データ612を格納するコンテナがクラウド600に格納されているか、企業602のどこかに格納されているか、オーバレイ・ネットワーク604を介して格納されているか、またはそれらの組合せであるかについては知らず、データがコンテナをまたぐことができる。
図7は、異種の複数のデータ・コンテナからデータを自動的に細切れにし、キャッシュし、複製し、再構築するような機能を実施する記憶管理層を示す。かかるプロセスを、明示的なポリシとアクセス・パターンを含む基準に基づいて実施することができる。示したように、データ702と暗号アクセス・コントロール704を含むデータ・コンテナ700は、ユーザの観点からは、全てのデータを格納するための抽象記憶層710に格納されるが、実際には、暗号アクセス・コントロール704により保護されるデータ702を諸基準に基づいて、クラウド・データ・サービス720、ファイル・システム722、企業データベース724、オーバレイ・ネットワーク726、等のうち任意の1つまたは複数にわたって細切れにし、キャッシュし、複製し、再構築することができる。当該基準は、種々のポリシとアクセス・パターンを含むことができる。
図8は、セキュリティ、プライバシ、信頼性、等に対する要所が、データが自身の管理者として動作できるようにし、データの格納場所に関わらず様々なデータ・コンテナにわたって暗号アクセス・ラッパをデータに追加するセキュア・オーバレイ・ネットワークであることをより一般に示す。具体的には、オーバレイ・ネットワーク810は、暗号アクセス・コントロール804により保護されたデータ802のコンテナ800をクラウド・データ・サービス820、ファイル・システム822、または企業データベース824のうち任意の1つまたは複数にさらに記憶するための中間記憶媒体であることができる。このように、最終的な宛先の観点から記憶を階層化することができる。
図9は、レガシー・アプリケーションと、そのコンテナ・ベースの見え方(例えば、データベース・ファイル)を変更する必要がないことを示すブロック図である。具体的には、フェデレーテッド信頼オーバレイの記憶シナリオで使用するために、暗号ネゴシエーション、暗号変換およびキャッシュ、バージョン管理、リース等をアプリケーションおよびレガシーなコンテナのニーズに基づいて行うアダプタを提供することができる。より具体的には、レガシー・アプリケーション900がクラウド・データ・サービス910、ファイル・システム912、および企業データベース914と今まで通り対話することができるが、抽象記憶層920が依然としてコンテナを利用しないデータを裏側で生成させることができる。抽象記憶層920がアダプタを公開することができ、当該アダプタが、暗号ネゴシエーション、暗号変換、およびキャッシュ、バージョン管理、リース、等をアプリケーションおよびレガシーなコンテナの特徴に基づいて実装し、コンテナ化されたデータ940をコンテナを利用しないデータに、例えば、図8に関連して説明したセキュア・オーバレイ・ネットワーク930を介して誘導する。
図10は、レガシー・アプリケーションならびにFTO認識アプリケーションと関連して使用できるサンプルのアーキテクチャ・モデルである。これに関して、FTO対応アプリケーション1005を、FTO1000に直接に差し込むことができ、FTO対応アプリケーション1005はデータの安全でプライベートな格納、処理、等を有利に行うことができる。SDS認識アプリケーション1015に対して、データを暗号的に細切れにして散りばめる層1010を提供することができる。一貫性認識アプリケーション1025に対して、層1020により示すように、既存の未修正のオーバレイ・ネットワークを使用して、システムにブリッジすることができる。例えば、Live Mesh、Fabric/CASを層1020を介してDaaSおよびXStoreにブリッジすることができる。最後に、図9で説明したように、暗号ネゴシエーション、暗号変換、およびキャッシュ、バージョン管理、リース、等をレガシー・アプリケーション1040およびレガシー・コンテナ1035の特徴に基づいて行うアダプタ1030を提供することができる。それとともに、かかる層およびアプリケーションは、フェデレーテッド信頼オーバレイに基づいてクラウド記憶が提供する利益を利用することができる。
図11は、データ、および/または、当該データもしくは当該データの特徴を記述するメタデータに対する暗号化ラッパまたはエンベロープの一般的な使用を示すブロック図である。1例として、レコード1102(例えば、データ・ペイロード)ならびに関連するメタデータおよび/またはタグ1100を、数学的に選択的にアクセス可能なように一緒にまたは別個に暗号化して、暗号化メタデータおよびタグ1100ならびに暗号化レコード1112を生成することができる。かかる暗号化データ/メタデータを用いると、様々なアプリケーション1120を、数学的に選択的なアクセス可能性、例えば、データまたはメタデータの検索、データまたはメタデータに対する論理演算、問合せ、バックアップ動作、データの監査、等に基づいて実行することができる。メタデータ1100およびレコード1102の暗号化に加えて、任意の追加データを、任意の所望の目標1114の関数として暗号化パッケージに追加することができ、または、任意の追加のタグ1116、例えば、1例として特定のクラスのユーザに対するアクセスを許可するまたは許可しない公開タグまたは秘密タグを暗号化プロセスの一部としてコンテンツに追加することができる。かかる追加のデータ1114またはタグ1116により、完全性チェック、改竄チェック、利用可能性チェック、等のような追加の動作1130を行うことができる。
図12は、ペイロード1202およびタグ1200を示す特定の例である。ペイロード1202およびタグ1200は、動作1220向けに暗号化タグ1210および暗号化データ1212を生成するように暗号化されている。さらに、述べたように、データをデータ1214で補完することができ、タグを、1組の追加の動作1230を容易にするタグ1216で補完することができる。
図13は、図12の例を基にして構成したものであり、周囲のフェデレーテッド信頼オーバレイを示す例である。これに関して、バックドアがないCTP1300を、堅牢性に関する公的な検査を受けたオープンな方法論に基づいて実装することかできる。CTP1300に基づいて、CKG1350を生成して、動作1330(例えば、検索、論理演算または問合せ、バックアップ、監査、改竄チェック、完全性チェック、利用可能性チェック、等)を実施するためのケイパビリティ、例えば鍵1340の要求を処理することができる。クラウド・データ・サービス・プロバイダ1320はこのように、例えば、暗号化メタデータ1310および暗号化データ1312の記憶といったサービスを提供する。1つの任意の実施形態では、クラウドは、データまたはアクセス・パターンが見えないようにデータをホストする。
図14は、信頼オーバレイを用いてレコードおよびインデックスが暗号化されクラウドにアップロードされる実施形態を示すブロック図である。これに関して、レコードとインデックスが検索可能に暗号化され、それにより、インデックスを関連データに対する第1の可視層として選択的にアクセスすることができる。次いで、インデックスの検索結果に基づいて、所与の1つまたは複数のインデックスにマッチする様々なコンテンツまたはレコードを特定することができ、ユーザは権限に基づいて、マッチしたコンテンツまたはレコードにアクセスできるかできないかの何れかであり、データに対して第2の保護層として動作する。即ち、最初に検索または他の動作に対するインデックスにアクセスし、次にデータにアクセスする。これに関して、任意数の階層化暗号ラッパを、データと関連メタデータの様々な部分に適用することができる。
示したように、顧客1400が様々なレコード1402を有してもよい。当該様々なレコード1402から、1430で、暗号化インデックス1404が生成される。レコード1402と暗号化インデックス1404が1440でクラウド1410にアップロードされ、クラウド1410内にレコード1412および暗号化インデックス1414として格納される。レコード1412を例えば暗号化インデックス1414に基づいて取り出すために、1450で、顧客1400は少なくとも1つの署名1422で署名されたレコード1420をクラウド1410から受け取り、1460で、少なくとも1つの署名1422をチェックすることができる。
図15は、リッチなクラウド記憶エクスペリエンスのために、クライアントがどのようにフェデレーテッド信頼オーバレイのアーキテクチャを利用して暗号化データ上で暗号化インデックスを生成し、アップロードできるかを示す図である。フェデレーテッド信頼オーバレイのアーキテクチャでは、電力を分散して信頼できる暗号エコシステムを生成することに関与し、これを後でより詳細に説明する。
FTO1585は、コンテナを利用しないデータに関してクラウドまたは他の記憶域内で生ずる数学的変換の一部を分離することで顧客1575に利益をもたらすエコシステムであり、本明細書で説明するように、クラウド・データ・サービス(CDS)1580、暗号技術プロバイダ(CTP)1570および鍵生成センタ1590を備える。1例として、顧客1575は、様々なキーワード1510が関連するドキュメント1500を有するかもしれない。暗号化のための公開パラメータ1565をCKG1590から取り出し、数学的変換を行うための技術をCTP1570から取り出す。アップロードを行うために、ドキュメント1500を暗号化し(1520)、クラウドの暗号化ドキュメント記憶1550にアップロードする(1530)。アップロードの場所1535と鍵1525は、キーワード1510とともに、ドキュメント1500の暗号化アップロードと関連する生成された暗号化インデックス1540に入力され、1540で生成された暗号化インデックスを1545で暗号化インデックス記憶1555にアップロードする。
図15は暗号化インデックス・データのアップロードを示すが、図16は、特定のコンテンツを検索するためのインデックスの復号化を示す。この復号化の権限は、フェデレーテッド信頼オーバレイにより提供されるケイパビリティに基づいて与えられ、ユーザには、検索結果の可視性とともに、検索結果と関連する実ドキュメントを復号化するケイパビリティまたは権限を付与することができる。これに関して、インデックスへのアクセスおよびドキュメントへのアクセスを、FTOによるポリシと強制に基づいて別々に制御することができる。
述べたように、FTO1685は、コンテナを利用しないデータに関してクラウドまたは他の記憶域内で生ずる数学的変換の一部を分離することで顧客1675に利益をもたらすエコシステムであり、本明細書で説明するように、クラウド・データ・サービス(CDS)1680、暗号技術プロバイダ(CTP)1670および鍵生成センタ1690を備える。
この例では、顧客1675が問合せ1600を生成し、1605でトラップドア1610をCKG1690から取得する。トラップドア1610は問合せ1600とともにクラウドに提示される。クラウド内では、1620で、CTP1670から取り出した技術1615に基づいて、暗号化インデックス記憶1625内の暗号化インデックスが検索される。次いで、1640で、結果1635を暗号化ざれたまま返し、復号化して、そこから場所1642と鍵1644を抽出する。これにより、システムには、1645で暗号化ドキュメント1650を暗号化ドキュメント記憶1630から取り出すための情報がシステムに与えられる。1655で当該暗号化ドキュメントを鍵1644に基づいて復号化して1つまたは複数のドキュメント1660、例えば図15のドキュメント1500を返すことができる。
図17および図18は、システムによる幾つかの追加の非限定的な信頼保証を示すブロック図である。これに関して、ユーザが受け取ったものが正しいことを証明する任意のアルゴリズムを追加の層として使用して、意味不明なものがクラウドによって提供されていないことをユーザに対して数学的に証明することができる。例えば、データの正確性の立証と関連して使用できるタグが暗号化データに関して適用される、データ所有証明(複数可)(PDP)が1つの技法として知られている。同様な情報を適用して(および、暗号化して)データがクラウドに格納されている間に不正に変更または削除されなかったことを証明することができる。暗号化技法を用いると、かかる証明は一般に、暗号のチャレンジおよびレスポンスの形をとる。図17では、PDPタグが、暗号化されたレコード、インデックス、メタデータ、等とともにクラウド内でエンコードおよび暗号化され、図18では、データの完全性が失われていないことをFTOに暗号的に問い合わせることによって、検証動作が行われている。
図17に関して、述べたように、FTO1785は、コンテナを利用しないデータに関してクラウドまたは他の記憶域内で生ずる数学的変換の一部を分離することで顧客1775に利益をもたらすエコシステムであり、本明細書で説明するように、クラウド・データ・サービス(CDS)1780、暗号技術プロバイダ(CTP)1770および鍵生成センタ1790を備える。この例では、パブリッシャ1700が1720でCKG1790から取り出した秘密鍵1730とCTP1770から取り出したと技術1740とに基づいてレコードとインデックスをエンコードすることによりレコードとインデックス1710を暗号化する。暗号化またはエンコードしたレコードとインデックス1750をクラウドに格納する。データ所有証明(複数可)(PDP)タグ1760を1720でのエンコードと関連して使用することができる。データ所有証明(複数可)(PDP)タグ1760は、本明細書でより詳細に説明するように、データがクラウドに格納されている間にデータの特定の態様を保証することを後で支援する。
述べたように、図18では、データの完全性が失われていないことをFTOに暗号的に問い合わせることによって、検証動作が行われている。これに関して、FTO1885は、コンテナを利用しないデータに関してクラウドまたは他の記憶域内で生ずる数学的変換の一部を分離することで顧客1875に利益をもたらすエコシステムであり、本明細書で説明するように、クラウド・データ・サービス(CDS)1880、暗号技術プロバイダ(CTP)1870および鍵生成センタ1890を備える。PDPタグ1840は、システムの監査者1800がクラウドに格納されたデータの完全性をチェックするのに有用でありうる。ランダムな数字1805に基づいて、監査者1800はクラウド内で、CKG1890から取り出した秘密鍵1825とCTP1870から取り出した技術とに基づいて証明器1820にチャレンジ1810を発行する。証明器1820はまた、証明アルゴリズムの実装と関連して技術1845を使用する。これに関して、証明器1820は暗号化したレコードとインデックス1830およびPDPタグを入力として受け取り、情報を監査者1800に返す。当該情報は1850で検証される。1860で検証動作が成功したか失敗したかに基づいて、監査者1800に、暗号化したレコードとインデックス1830の完全性が維持されているかどうかを知らせる。
後でより詳細に説明するように、プライバシと非拒絶の強い保証をサービスのユーザに提供できる様々な暗号化技法をサービスの提供に組み込むことができる。これらの暗号化技法をデータ保護技法と統合することにより、リモート・サービスと階層化アプリケーションをデータの上に実装して、当該データの所有者と企業の顧客(「顧客」)が、当該データをホストするエンティティ、または、クラウド・サービス・プロバイダもしくはオペレータ(「CSP」)により実施できるタイプの動作を正確に制御させることができる。さらに、これらの動作の多くを、動作が実施されるデータの実際の内容を学習することも知ることもなく、顧客に代ってCSPにより実施することができる。さらに、顧客は、CSPが不適切にデータを削除または修正したか、または、データを低性能のセカンダリ記憶もしくは第3の記憶域に移動させたかどうかを検出することができる。これに関して、様々な暗号化技法をデータ・サービスに統合して、顧客がデータの制御を手放す自信を与え、例えば、セキュリティおよびプライバシを高めることができる。
例えば、検索可能暗号は、もとのメタデータが暗号化される前にデータからコピーされる暗号化方法である。非限定的な例として、Exchangeの電子メールの場合、データは添付ファイルを伴うメッセージであり、もとのメタデータが、選択されたMAPI(messaging application programming interface)のプロパティとフルテキスト・インデックスを含むことができる。例えば、データが例えばAES(advanced encryption standard)を用いて暗号化されるのに対し、メタデータは、暗号化インデックスを生成するように暗号化される。その結果、暗号化データとインデックスをこの時点でCSPのような完全には信頼されない別のエンティティに引き渡すことができる。引き続いて、集約された暗号化データとインデックスへの選択的なアクセスを、そのデータの所有者、すなわち顧客が暗号化された問合せをCSP(または他の許可されたサブスクライバ)に送信することによって、実現することができる。したがって、CSPは暗号化インデックスに暗号化された問合せを適用して、マッチした暗号化データを返すことができるが、CSPはデータ、メタデータ、問合せ、または結果の内容に関して(顧客が許可しない限り)知らない。
所有証明(複数可)および復元可能性証明(複数可)は、「証明器」(この場合、記憶域を提供するCSP)および「検証器」(顧客)がプロトコルに参加できる暗号技法であり、検証器が、自分が所有するデータが無傷でデータの処理者、即ち、CSPから容易に取出し可能であるかどうかを効率的に判定することができる。これらの技法はネットワーク帯域幅、および、CSPが行う動作において効率的であり、その結果、CSPの売上原価(COGS)が依然として相対的に不変であり、プロトコルを完了するための時間は合理的に短い。
データ・サービスの提供に統合できる別の暗号技法はアプリケーション証明である。アプリケーション証明により、所有証明(複数可)と同様に、検証器はデータが証明器、即ち、CSPにより正確に維持されていることを確かめることができる。
ブラインド・フィンガープリントは、ラビン・フィンガープリントのようなネットワーク重複排除技法を拡張した別の種類の暗号技法を表し、一般にネットワーク上での冗長なデータの交換を最小限にするために用いられる。本明細書の様々な実施形態では、フィンガープリントを適用して、プロトコルの参加者、例えばデータの記憶の場合はCSPが、自分がホストしているデータの実際の内容に気づくことがないようにする。
このように、CSPによるサービス提供に基づく様々なシナリオが、上述のフレームワークと対応する暗号技法とに基づいて、記憶サービスおよび計算サービスから通信サービスおよび協調サービスまでの範囲に生ずる。大企業顧客は自己の現在の企業データ・センタ内に大量の計算資源および記憶資源を有するので、クラウド・サービスを採用しない傾向が強いかもしれない。さらに、顧客はデータ・センタの運用の経験があってそれに精通しており、運用費用(OPEX)と資本経費(CAPEX)の利点を利用したいと思っており、したがって、自己の極秘企業データを自己の施設からクラウドに移すことに懸念を抱いている。
このクラスの顧客に対して、様々な実施形態では1組のアプリケーションを提供する。当該1組のアプリケーションでは、顧客が自身の既存サーバ、例えば、Exchangeサーバを所有し運用する必要がある。すると、第2のデータ・コピーが、データ保護、アーカイブ、コンプライアンス、ガバナンス上の理由、法的理由またはその他の理由からクラウド・サービス・プロバイダに移されるはずである。このように、CSPは当該データをデータの紛失または開示に対して保存するためのスキル、技術およびスケール・メリットを有し、上記第2のコピー上でアプリケーションを実行するのを容易にすることができる。データの保守に基づいて顧客に提供できる製品およびサービスの例を幾つか挙げると、訴訟支援、監視監督、サービス・ダイヤル・トーン、データ・ナビゲーション、等がある。
訴訟支援に関して、企業が訴えられている場合、訴訟手続により電子メールの履歴を検索する必要がある様々なエンティティがある。これらのエンティティには、法律スタッフ、HR、マネージャ、外部の弁護士、外部の法律支援パートナ、および相手方の弁護士が含まれる。誰がどの検索を行えるかに関して具体的な範囲規定がある。現在の法律支援のシナリオでは、範囲の境界を定めるのは困難である。したがって、法律支援に関与する任意の者が範囲外の電子メールを見ることが可能である。電子メールの場合、検索結果が一般にパーソナル・ストレージ・ファイル(PST)ファイルの形で交換される。これは、これらのファイルが不注意にまたは悪意をもって、許可されない者に引き渡されるおそれがあるので、新たなリスクをもたらす。
対照的に、第2のコピーがリモートで、例えば、CSPによりクラウドにホストされ、データを通じて保守される場合、企業内の単一の信頼されるエンティティ、例えば、最高法務責任者が、運用に従事する者それぞれに対して、その問合せ権限をそのニーズに制限する特定のトラップドアを提供することができる。クラウドにホストされており検索可能暗号および改竄防止監査ログを介して保護されているデータにより、高レベルの保護が提供され、それにより、不適切な電子メールのアクセスが防止される。運用に従事する全ての者が問合せに関してクラウドに直接アクセスしており、訴訟支援パートナが、案件管理に関してTIFF(tagged image file format)への変換用の対象コンテンツをエクスポートする唯一のエンティティであるので、PSTファイルを交換する必要はなくなる。
リモート・データ・コピーの監視および監督に関して、任意の合理的な規模の企業ならば、様々な目的から自己の組織の電子メールを予め監視しているはずである。これは、法的な理由またはコンプライアンス上の理由から、IP漏洩、盗用、不適切な言葉、等を監視することのようなガバナンス上の理由にわたりうる。一般に、監視監督ソフトウェアが、プライマリ・サーバまたは、バックアップもしくはアーカイブされる二次的コピーの何れかを監視する。プライマリ・サーバを監視することの問題は、これがビジーな生産サーバに過度な負荷をかけるおそれがあることである。さらに、管理者が偶然または悪意をもってプライマリ・サーバのデータを修正または削除する可能性もあるので、ソリューションにおいては規則に準拠するようにデータを取得して当該データを二次的コピーに転送し、監視監督ソフトウェアが受信電子メールを継続的にスキャンし、パターンを調査または検索する。しかし、多くの企業構成では、これらの二次的コピーに対してローカルな管理上のアクセスがあり、その結果、改竄検出および防止の機構があるにも関わらず、優秀な管理者が情報を修正または削除することができる。
対象的に、CSPによりデータを保守することにより、二次的コピーが別の制御領域に有利に配置される。検索可能公開鍵暗号(PEKS)および所有証明(POP)のような適切な暗号技法により、企業の管理者とCSPの従業員の間の衝突でさえも両者がどのアイテムを修正したいかを両者が正確に確実に特定することが防止されるのを保証することができる。監視監督ソフトウェアはリモート・サイトまたはクラウド内で実行され、特定の所定のキーワードを有するアイテムを、前もって提供されているトラップドアを通じて求める。
様々な実施形態に従って本明細書で説明したように、独立したデータ保護および暗号技法を、各々を強化および修正して他方をサポートするように組み合わせて、現在は消費者、企業、エコシステムおよびソーシャル・ネットワークが利用できないソリューションを提供し、コンテナを利用しない、安全で、プライベートで、選択的にアクセス可能なデータをクラウド環境において可能とする。
信頼されたXML
XMLは、様々な理由から、ユビキタスなネットワーク交換フォーマットとして発展した。当該様々な理由には、タグおよびその階層的配置により可能となった効率的な記述能力が含まれるがこれに限らない。これに関して、XMLデータを上記のFTOインフラに従って保護することができる。当該FTOインフラにより、(ペイロードおよびタグ、ならびに、既存のタグまたはメタデータ上に追加された任意のメタデータを含む)XMLドキュメントの様々な部分に様々な許可を適用することができる。したがって、信頼されたXMLを上述のようにコンテナを利用しない方法(containerless fashion)で格納することもできる。
XMLは、様々な理由から、ユビキタスなネットワーク交換フォーマットとして発展した。当該様々な理由には、タグおよびその階層的配置により可能となった効率的な記述能力が含まれるがこれに限らない。これに関して、XMLデータを上記のFTOインフラに従って保護することができる。当該FTOインフラにより、(ペイロードおよびタグ、ならびに、既存のタグまたはメタデータ上に追加された任意のメタデータを含む)XMLドキュメントの様々な部分に様々な許可を適用することができる。したがって、信頼されたXMLを上述のようにコンテナを利用しない方法(containerless fashion)で格納することもできる。
図19に示すように、XMLペイロード1902とそのタグ1900を暗号化して暗号化タグ1910と暗号化ペイロード1912を生成することができる。これに関して、XMLドキュメントを、おそらく異なる保護レベルを有するXMLフラグメントに分解することによって、パブリッシャ側のドキュメントとして、初期の組織に依存しない非常に粒度の細かい許可システムが可能となる。さらに、追加のデータを任意の機能1914に基づいてペイロード・データに加えることができ、追加のXMLタグを適用して、追加の機能を信頼できるXMLフラグメントに適用することを支援することができる。ペイロード1912またはタグ1910に関する動作には、検索、問合せ、バックアップ、監査、等のような動作1920が含まれる。他の動作1930をこれらのデータに対して、データ1914またはタグ1916を任意に追加することにより、実装することができる。例えば、データが社会保障番号のパターンに適合する場合は常に、XMLフラグメントをプライベートと印付けしてかかる情報を無傷のままに保つタグ1916を、自動的に追加することができる。
これに関して、データまたは情報がXML形式である場合には、データまたはメタデータに関する上述の技法のうち任意のものを構造化XMLデータに適用して、選択的にXMLフラグメントを問い合わせ、XMLフラグメントへのアクセスを取得することができる。XMLは、<タグ“値”>または<タグ“値”|XML終了タグ>である標準的な形式である。これに関して、XMLの構造を用いると、デジタル・エスクロー・パターンに対して一意な、CKG/CTP「フレーム」を指し示す外部ラッパが存在するように当該構造を階層的に表す方法が存在する。したがって、埋め込んだフラグメントへアクセスする必要があるとき、<CKG>および<CTP>ラッパを用いて既存の(または具体化され、新規の)信頼を利用する。これにより、ユーザは、許可されていれば、セグメントを検索し、抽出し、復号化することができる。さらに、PDPを使用して、要求された特定のXMLセグメントが最初に作成されてから改竄されていないことを検証することができる。
したがって、様々な実施形態では、XMLフラグメントまたは完全なレコード(「ペイロード」)に対する「信頼エンベロープ」を、様々な「装飾」を通じて作成する。当該装飾により、機密性、プライバシ、匿名性および完全性のような全範囲の信頼を保証することができる。
これは、上述のコンテナを利用しないデータの実施形態と整合する。データをそのコンテナ(例えば、ファイル・システム、データベース)から切り離す機会により、コンテナを強制する必要なしに元の保証を保存し拡張するような共有を容易にする。ビジネス・ニーズに基づいて、および様々な技術が生じた際に、暗号検索、暗号ベースの改竄検出、等以外にも他の任意のラッパを追加することもできる。XMLデータを用いると、タグをデータに追加してデータの一貫性の調整を支援することができる。これを、ドメインおよびアプリケーションに応じて行うことができる。
有利なことに、XMLは、認証、許可、スキーマ、履歴、トレース、一貫性、等をエンコードする検索可能なメタデータを含むことができる。XMLはまた、大規模なドキュメントの散りばめられた断片である場合には、他の関連するフラグメントを見つけるためのマニフェスト情報をエンコードすることができる。任意の合意されたCKG/CTPを使用できるという技術的独立性と新規な技術が適用可能となった際に検索可能暗号およびPDPに加えて他のラッパを追加できるということとを組み合わせることによって、任意の種類のクラウド・シナリオを扱うための柔軟なアーキテクチャが可能となる。XMLタグを補完または追加して一貫性、痕跡、等を調整することもできる。
これをデータ分散技法と組み合わせると、一貫性、プライバシ、匿名性および完全性に関する強い保証が実現される。この「信頼エンベロープ」を使用して、任意のペイロードを追加のメタデータで装飾することができる。当該メタデータは、スキーマ情報、一貫性の示唆、バージョンおよび痕跡、機密レベル(例えば、「クラウド・コンピューティング」を使用する場合)、このペイロードを他の断片から再構築するためのロケータ、等を含むことができる。
1つの非限定的なアプリケーションでは、信頼されたXMLにより、ネットワーク効果を触媒するための「疎な形式結合」を提供してエコシステムを成長させる。(技術と鍵管理者をパラメータ化する)FTOとXMLの普遍的な交換フォーマットを組み合わせることで、多様な技術、アプリケーション、ドメイン、ロケール、国家、フォーマット、およびその他の要件に対してより柔軟に対応することが容易になる。
別のアプリケーションでは、シンジケートに対する現在の設定と調停において、エラー、省略および詐欺を受け易い拠点間交換がある。したがって、安全でプライベートなデータ・サービスを介在させることで、選択的な開示を促進する形で会計、監査、等に対して直接利益がもたらされることになり、それにより、信頼できるエンティティが依然として信頼され、適切な規制者(コンプライアンス、法務)または調停者(衝突解決、等)がXMLタグを選択的に一瞥して取引における確信を得ることができる。信頼されるXMLの利点は、格納する者が知る必要がなくまたは理解しようとする必要さえない、参加者間の独自フォーマットをペイロードがエンコードできることである。信頼されるラッパの層により、法的およびコンプライアンス上の価値ならびに国家機関の価値とともに多大な技術的価値およびビジネス的価値がもたらされる。
別のアプリケーションでは、健康管理システムの統合が厄介である。その原因は、(a)異質な非互換のレガシー・システム、および(b)より重要なことであるが、患者が既存のソリューション・プロバイダに固執しないことである。情報センタとしてのクラウド・データ・サービス、および、交換フォーマットとしての信頼されたXMLを導入することにより、これらの既存のソリューション・プロバイダはこれを、XMLにより促進される普遍的なフォーマットを利用しつつ、固執性を維持するための手段として考えることができる。
我々は、FTO対応でありかつ信頼されるXMLを利用する「ルータ」(「ゲートウェイ/ガーディアン」を用いる我々のアプローチがどのように、(a)ルータがルーティングの必要なこと以外を知る必要なく自己の作業をすることができ、(b)ルータがエラーまたは悪意行為を引き起こす可能性がより低く、(c)遅延結合のため複雑な鍵管理が排除されているものであるかを説明した。
さらに、XMLドキュメントに対して、タグを追加もしくは補完し、または、追加のメタデータを適用して、コンテンツが様々なレベルの機密性を有することを示すことができる。例えば、公開、秘密、極秘のパラグラフを有するドキュメントが存在してもよい。検索を実施し、秘密の権限でアクセスを要求する者は、例えば、公開および秘密のパラグラフにアクセスできるだけであるはずである。パラグラフの分類を使用して、暗号機構、鍵およびアクセス・ポリシを決定することもできる。例えば、極秘のコンテンツには無線または遠隔装置からアクセスできないとされる。
同様に、かかる分類を使用して、どのようにデータを格納できるか、どこにデータを格納できるか、どのくらい長くデータを格納できるか、等に関するポリシを作成することができる。例えば、AES256暗号化を用いて医療データを1日1回信頼できるデータ・センタ内のセキュア・サーバにバックアップしなければならない。
図20は、1実施形態における信頼されたXMLをホストするための例示的なプロセスを示す流れ図である。2000で、第1の制御領域のコンピューティング装置が第2の制御領域のコンピューティング装置から、暗号化XMLペイロード・データと暗号化XMLタグを含む暗号化XMLデータを受け取る。暗号鍵情報に基づいて検索可能暗号アルゴリズム(複数可)に従って第2の制御領域のコンピューティング装置の定義されたXMLデータ・セットを暗号化して、暗号化XMLデータを作成する。2010で、暗号鍵情報に基づいて暗号化した補助メタデータを受け取る。当該補助メタデータは、暗号化XMLペイロード・データまたは暗号化XMLタグを分析することで作成されたものである。2020で、ケイパビリティ(複数可)を含むデータに対する要求を、暗号鍵情報に基づいて受け取る。当該暗号鍵情報は、当該ケイパビリティ(複数可)により定義される暗号化XMLデータへの選択的アクセスを可能とする、暗号化XMLペイロード・データまたは暗号化XMLタグの一部へアクセスするための権限(複数可)を定義する。2030で、場合によっては、暗号化XMLデータおよび対応するXMLタグ・データの正しいサブセットが当該要求と一致してサブスクライバ装置により受け取られたことを立証する。
図21は、1実施形態における信頼されたXMLをホストするための例示的なプロセスを示す流れ図である。2100で、暗号鍵情報を、サブスクライバ装置に関連付けられたアイデンティティ情報に基づいて暗号鍵情報を生成する鍵生成コンポーネントから受け取る。2110で、検索可能に暗号化されたXMLデータと対応するXMLタグ・データのサブセットをサブスクライバ装置により要求する。暗号鍵情報は、検索可能に暗号化されたXMLデータと対応するタグ・データに関する記憶プロバイダに送信される。2120で、暗号化XMLデータと対応するXMLタグ・データのサブセットを、暗号鍵情報内で定義されたケイパビリティが許可するように復号化する。2130で、暗号化XMLデータと対応するXMLタグ・データの正しいサブセットを、当該要求と一致してサブスクライバ装置により受け取られたことを検証する。2140で、暗号化XMLデータと対応するXMLタグ・データのサブセットの内容が暗号化XMLデータと対応するXMLタグ・データのサブセットを受け取る前に削除または修正されていないことを検証する。
図22は、1実施形態における信頼されたXMLをホストするための例示的なプロセスを示す流れ図である。2200で、XMLデータを検索可能暗号アルゴリズム(複数可)に従って暗号化して、暗号鍵情報を生成する別個の鍵生成器から受け取った暗号鍵情報に基づいて、暗号化XMLタグ情報を含む暗号化XMLデータを作成する。2210で、暗号化XMLデータが、暗号化データを記憶するためのネットワーク・サービス・プロバイダに送信される。2220で、要求側の装置のアイデンティティ情報に基づいて当該要求側の装置に付与された選択された権限を遅延的に結合することによって、暗号化データに選択的にアクセスすることができる。
図23は、1実施形態における信頼されたXMLをホストするための例示的なプロセスを示す流れ図である。2300で、サブスクライバ装置が暗号化XMLタグを含む検索可能に暗号化されたXMLデータのサブセットを要求する。2310で、サブスクライバ装置に関連付けられたアイデンティティ情報に基づいて暗号鍵情報を生成する鍵生成コンポーネントから暗号鍵情報を受け取る。2320で、暗号鍵情報で定義したサブスクライバ装置に付与された権限の関数として暗号化XMLデータのサブセットを復号化する。
フェデレーテッド信頼オーバレイのアーキテクチャに関する様々な追加の実施形態とその詳細を、以下の補足的なコンテキストでコンテナを利用しないデータに関して説明する。
信頼できるクラウド・サービスのエコシステムに関する補足的なコンテキスト
上述のように、独立したデータ保護および暗号化の技法を様々に組み合わせて、例えばリモート・サイトのデータとして格納し、例えばCSPにより保持して、データに関するプライバシ、信頼およびセキュリティを高める。以下で、一般的なエコシステムを一般的なデータまたはネットワーク・サービスのコンテキストで説明するが、かかる一般的なデータまたはネットワーク・サービスを、データをリモート・サイトで格納するための上述のシナリオの任意の1つまたは複数に対して使用することができる。
上述のように、独立したデータ保護および暗号化の技法を様々に組み合わせて、例えばリモート・サイトのデータとして格納し、例えばCSPにより保持して、データに関するプライバシ、信頼およびセキュリティを高める。以下で、一般的なエコシステムを一般的なデータまたはネットワーク・サービスのコンテキストで説明するが、かかる一般的なデータまたはネットワーク・サービスを、データをリモート・サイトで格納するための上述のシナリオの任意の1つまたは複数に対して使用することができる。
クラウドに格納したデータに対する検索可能暗号技法を含むネットワーク・データ・サービスに対してデジタル・エスクロー・パターンを提供し、信頼を複数のエンティティに分散させて単一のエンティティによる侵害を回避する。1実施形態では、鍵生成器、暗号技術プロバイダおよびクラウド・サービス・プロバイダがそれぞれ別々のエンティティとして提供され、データのパブリッシャがデータを機密に(暗号化して)クラウド・サービス・プロバイダに発行し、暗号化データをサブスクライバに選択的に公開する。当該サブスクライバは、当該サブスクライバの要求に応答して生成された鍵情報にエンコードされたサブスクライバのアイデンティティ情報に基づいて、当該データを要求する。
検索可能暗号/復号化アルゴリズム(複数可)に関して、1つまたは複数の暗号技術プロバイダで実装された検索可能公開鍵暗号(PEKS)の枠組みが、任意の所与のメッセージWに対して、トラップドアTWを生成し、所与の暗号文がWを暗号化したものか否かをTWがチェックできるようにする。ここで、TWは平文に関する追加の情報を何ら示さない。以下で説明する様々な実施形態によると、PEKSの枠組みを使用して、暗号化メッセージのような暗号化データを、当該データ、例えばメッセージ・テキストに含まれるキーワードに基づいて優先順位付けまたはフィルタすることができるが、PEKSの使用は、暗号技術が多様であり継続的に発展しているという点で教育的なものである。したがって、検討中のシナリオおよび関与する暗号化のトレードオフ(複雑度、速度、圧縮、等)に応じて、他の暗号化技法も適用可能である。このように、データの受取者に対して、対応するキーワード(複数可)に対してケイパビリティ(場合によっては、暗号作成者により「トラップドア」と呼ばれる)を公開することにより、キーワード(複数可)に関する暗号化データの一部に対して選択的なアクセスを与えることができる。このように、暗号化データをこれらのキーワードに対してチェックすることができるが、サブスクライバのケイパビリティが許可する以上にサブスクライバから学習されることは存在しないことが保証される。
疑義を回避するため、PEKSを、本明細書の1つまたは複数の実施形態で検索可能暗号を実装するためのアルゴリズムとして開示したが、検索可能暗号を実現するための様々な代替的アルゴリズムが存在することは理解できる。PEKSに対する幾つかの例示的で非限定的な代替手段には、例えば、Oblivious RAMがある。このように、本明細書で用いた「検索可能暗号」という用語は、どの1つの技法にも限定されるべきではなく、暗号化データに対する検索または問合せ機能に基づいて暗号化データのサブセットへの選択的なアクセスを可能とする、多種多様な暗号化機構または暗号化機構の組合せを指す。
場合によっては、結果の立証および/または検証を、エコシステム内のデータのサブスクライバおよびパブリッシャに対する追加の利益として提供することができる。立証により、データのサブセットに対するサブスクライブ要求の結果として受け取ったデータ・アイテムが正しいアイテム集合であること、即ち、受け取るべきであった正しいデータ集合が実際に受け取られたことを立証する方法がもたらされる。暗号技術の分野における1技法として、データ所有証明(PDP)があるが、疑義を避けるため、PDPは実装できるアルゴリズムの1例にすぎず、同一または同様の目的を実現する他の技法を使用することができる。データ所有証明可能性またはデータ所有証明は、記憶サーバが忠実にそのクライアントの潜在的に大量の外部委託データを格納しているかを頻繁に、効率的に、および安全に検証する方法に関するトピックである。記憶サーバは、セキュリティおよび信頼性の両方の点で信頼できないことが仮定されている。
結果の検証により、アイテム自体の内容をチェック、即ち、サブスクライブ要求に関連して受け取ったアイテムが何らかの不正なエンティティによって改竄されていなかったことを保証するための追加の機構がもたらされる。暗号技術の分野における検証の1例として、データ所有証明(PDP)があるが、疑義を避けるため、PDPは、実装できるアルゴリズムの1例にすぎず、同一または同様の目的を実現する他の技法を使用することができる。暗号技術の分野で知られている別の技法は、復元可能性証明(POR)であるが、疑義を避けるため、PDPは、実装できるアルゴリズムの1例にすぎず、同一または同様の目的を実現する他の技法を使用することができる。PORは、クライアントが完全にファイルFを復元できるという意味でターゲット・ファイルFが無傷であり、かつ、改竄が行われていないということの、クライアント(検証器)に対するサービス・プロバイダまたはデータ・ホスタ(証明器)によるコンパクトな証明である。
追加のオプションとして、エコシステムが匿名の認証情報の概念を実装することができ、それにより、パブリッシャは自身に関する情報を重要な詳細情報を公開することなく匿名にアップロードすることができ、パブリッシャがアップロードした重要な詳細情報をサブスクライバに公開できず当該詳細情報にサブスクライバがアクセスできないように、サブスクライバをサブスクライバ自身のケイパビリティにより制限することができる。このように、パブリッシャまたはサブスクライバが、自身が望むだけの情報のみを第三者に公開しつつ、システムと対話することができる。
従来型のウェブ・サービスは、静的なクライアント・サーバ構成、および、ウェブ・サービスのデータにアクセスするための静的に定義されたユーザ・ポリシに限定されている。しかし、絶え間なく変化し発展する複雑なビジネス関係および他の関係に従う多くのパブリッシャおよびサブスクライバを考慮すると、かかる従来型のウェブ・サービス・モデルは十分に柔軟または安全とはいえない。したがって、様々な実施形態では、データおよびコンテンツのパブリッシャおよび/または所有者が、誰がサブスクライバ(複数可)であるかに基づいて、サブスクライバ(複数可)のケイパビリティに基づいて、サブスクライバ(複数可)が何を求めているかに基づいて、例えば、データ要求に使用されているキーワード(複数可)に基づいて、暗号化コンテンツに対するアクセス権限を変更することができる。このように、サブスクライバが選択的にアクセスできるものは、パブリッシャおよび/または所有者によるアクセス権限の変更に従って動的に変化する。なぜならば、サブスクライバのケイパビリティが、鍵生成器がオンザフライで提供する鍵情報においてエンコードされるからである。このように、サブスクライバの権限は、所与の要求に対して、当該要求に対する鍵生成の時点で定義されるので、常にサブスクライバの要求に関して最新のポリシを反映する。
同様に、信頼できるクラウド・サービスのサーバ管理者は、サーバが扱うアクティビティおよびデータ・トランザクションのログを監視することができるが、当該サーバ管理者が任意の顧客名またはクレジット・カード情報を参照することを制限することもできる。このように、サブスクライバのアイデンティティが、サブスクライバがアクセスできるデータの種類を制限するための基礎となることができる。
本明細書では、信頼できるエコシステムの様々な非限定的な実施形態をクラウド・サービスに対して信頼を構築するコンテキストで提示したが、本明細書で提供したエコシステムの信頼構築は非常に一般的であり、クラウド・サービスへの応用には限定されない。寧ろ、本明細書で説明した実施形態は企業のデータ・センタ内の様々なサーバまたは参加者に同様に適用可能である。したがって、データは所与のエンティティから決して離れないかもしれないが、本明細書で説明した信頼構築技法は、企業内の様々なプロセスが別々の制御領域内で動作する場合、等しく適用可能である。全ての企業のプロセスにわたる可視性がないと、あたかも参加者が企業外にいるかのように、同様な不信頼の問題が生じうる。例えば、サーバが管理者の制御下にあってもサーバが企業内で破られる可能性があり、または、管理者が不注意であるかまたは悪意がある可能性がある。
クラウド内の暗号化データに適用することに加えて、ラップトップが紛失しまたは盗まれる可能性があるので、本発明の様々な技法をラップトップまたは他のポータブル装置に格納したデータに適用することもできる。かかる場合、装置が最終的に過度に関心または悪意があるエンティティに所有されるおそれがあるが、クラウド内のデータ保護に適用される本明細書で説明した技法と同じ技法を適用してサーバまたはラップトップ上のデータを保護することができる。ローカル・データが暗号化された場合、適切なサブスクライバの認証情報がなければ、泥棒は、データにアクセスするための正しい役割もケイパビリティも表示できないローカルの暗号化データを理解することができないであろう。
図24は、1実施形態に従う信頼できるクラウド・サービスのフレームワークまたはエコシステムのブロック図である。当該システムは信頼できるデータ記憶2400を備える。当該データ記憶2400は、サブスクライバの要求が立証および/または検証を受けた結果とともに、検索可能暗号化データ2410を格納する。これに関して、ネットワーク・サービス2420をセキュア・データ2410上に構築して、データのパブリッシャが、データを例えばネットワーク・サービス(複数可)2420を介して要求したサブスクライバ2440に付与されたケイパビリティに対する制御を留保するようにすることができる。パブリッシャ2430がサブスクライバ2440であることもでき、逆も成り立つ。同様に、データの所有者2450がパブリッシャ2430および/またはサブスクライバ2440の何れかであることができる。定義できる幾つかの共通の役割および対応するケイパビリティ集合の1例として、特殊な種類のパブリッシャ2430とサブスクライバ2440が管理者2460と監査者2470である。
例えば、管理者2460がデータ2410に対して、信頼できるデータ記憶2400の動作の維持を支援するための1組の特殊な許可を有することができ、監査エンティティ2470が、監査範囲内にある特定のデータの完全性の維持を支援することができる。例えば、監査者2470が、攻撃的なキーワードを含むメッセージ・データ2410をサブスクライブすることができ、この場合、監査者2470は、付与されたケイパビリティに従って許可されれば、データ・メッセージ2410がかかる攻撃的なキーワードを含むときに警告を受けるが、他のメッセージを読むことはできないはずである。これに関して、無数のシナリオを、パブリッシャのデータをデジタル・エスクローに配置する能力に基づいて構築して、当該データに対する選択的なアクセスを可能とする鍵を渡すようにすることができる。
例えば、パブリッシャがエコシステムに対して認証し、当該エコシステムにアップロードする1組のドキュメントを示す。当該ドキュメントは、暗号鍵情報を生成する別個の鍵生成器から受け取った暗号鍵情報に基づいて検索可能暗号アルゴリズムに従って暗号化される。次いで、暗号化データをネットワーク・サービス・プロバイダに送信して暗号化データを格納し、暗号化データが、要求側の装置のアイデンティティ情報に基づいて当該要求側の装置に付与された選択された権限の遅延結合に従って選択的にアクセスされるようにする。暗号化技術プロバイダを暗号化データの記憶から切り離すことによって、暗号化データを別の侵害からさらに隔離する。
これに関して、図25は、信頼できるクラウド・サービスのエコシステムに従ってデータを発行するための例示的で非限定的な方法を示す流れ図である。2500で、パブリッシャがシステムに対して認証する(例えば、パブリッシャがユーザ名およびパスワード、Live ID認証情報、等でログインする)。2510で、鍵情報を、以下の1つまたは複数の実施形態で説明するような鍵生成センタといった鍵生成器により生成する。2520で、別の暗号技術プロバイダが、鍵情報に基づいて1組のパブリッシャドキュメントを暗号化する。2530で、ケイパビリティを用いて暗号化ドキュメントをネットワーク・サービス・プロバイダ、例えば、記憶サービス・プロバイダにアップロードして、暗号化ドキュメント(複数可)が、要求側の装置(サブスクライバ)のアイデンティティ情報に基づいて付与された選択された権限を遅延的に結合することにより選択的にアクセス可能となるようにする。
サブスクライバ側では、例えば、サブスクライバがエコシステムに対して認証し、データのサブセットに対する要求、例えば、所与のキーワードまたは1組のキーワードを含むドキュメントのサブセットに対する問合せを示す。検索可能暗号化データのサブセットに対する少なくとも1つのサブスクライバ装置からの要求に応答して、鍵生成コンポーネントが、当該サブスクライバ装置に関連付けられたアイデンティティ情報に基づいて暗号鍵情報を生成する。次いで、暗号化データのサブセットが、暗号鍵情報内で定義されたサブスクライバ装置に付与された権限の関数として復号化される。
図26は、信頼できるクラウド・サービスのエコシステムに従ってデータをサブスクライブするための例示的で非限定的な方法を示す流れ図である。2600で、データをサブスクライブするための方法が、サブスクライバを認証することを含む(例えば、サブスクライバがユーザ名およびパスワード、Live ID認証情報、等でログインする)。2610で、サブスクライバがデータを要求する。2620で、鍵情報が、サブスクライバの要求に基づいて独立した鍵生成エンティティにより生成され、サブスクライバのケイパビリティを当該鍵情報内で定義することができる。2630で、パブリッシャのデータのサブセットを、鍵情報内で定義されたケイパビリティに基づいて復号化する。例えば、CSPが当該データを復号化することができる。2640で、パブリッシャのデータのサブセットをサブスクライバにアクセス可能とする。例えば、サブスクライバは、所有者またはパブリッシャが付与した動的に定義可能なケイパビリティに基づいてデータをダウンロードし、参照し、処理し、変更することができる、等である。場合によっては、暗号化、復号化、および鍵生成に使用される技術を別個の暗号技術プロバイダにより供給できるが、任意の参加者によりホストすることができる。
1実施形態では、サブスクライバ装置のアイデンティティ情報がサブスクライバの役割を含む。例えば、監査者の役割、管理者の役割、または他の所定の役割を、パブリッシャまたは所有者により、検索可能暗号化データ記憶の様々な部分に対するアクセスを制限または許可するための基礎として使用することができる。
図27は、信頼できるエコシステムにおいて、鍵生成センタ(CKG)2700、暗号化技術プロバイダ(CTP)2710およびクラウド・サービス・プロバイダ(CSP)2720を分離することにより単一のエンティティによる侵害の可能性を排除することを表す、例示的なエコシステムを示す。これに関して、顧客(複数可)2730にはデータのパブリッシャおよび/またはサブスクライバが含まれる。場合によっては、CKG2700を、例えばCTP2710により提供される、リファレンス・ソフトウェア、オープン・ソースのソフトウェア、および/またはSDK(software development kit)に基づいて構築して当事者がかかるコンポーネントを自分で生成するためのビルディング・ブロックを可能とすることができ、または、CKG2700をかかるエコシステムのコンポーネントの第三者実装により満たすことができる。1実施形態では、SDKがCTP2710によって提供され、1つまたは複数の参加者により使用してCKG2700、以下でより詳細に説明する計算記憶抽象化(CSA)および/または暗号クライアント・ライブラリをホストまたは実装することができる。場合によっては、SDKを、CTP2710からCKG2700をホストするエンティティへ配布することができる。
一般に、CKG2700、CTP2710またはCSP2720は、所与の実装形態に応じてサブコンポーネントに細分できるが、信頼を維持するように全体的な分離が保存される。例えば、マスタ公開鍵(MPK)配信2702、クライアント・ライブラリ・ダウンローダ2704、秘密鍵抽出器2706、信頼検証器2708、または他のサブコンポーネントのようなCKGエンティティ2701を別々に、サブセットで、または統合コンポーネントとして纏めて、提供することができる。暗号化および復号化を行うためのクライアント・アプリケーション2712、代替的な暗号化技法2714、CKG2716と対話するためのアプリケーション、他の暗号ビルディング・ブロック2718、等のようなCTPエンティティ2711を別々に、サブセットで、または纏めて、提供することもできる。さらに、CSP2720を、それぞれ、記憶サービス2724およびサービス・ホスト2728をホストするCSP2722、2726のような多くの独立したサービス・プロバイダと考えることができ、または、かかるサービスを一緒に提供することができる。
CKG、または、信頼できるエコシステムの1つもしくは複数の参加者によりホストされるCKGインスタンス(複数可)が単一のモノリシックなエンティティである必要はない。寧ろ、CKGを、鍵を生成するために協調する幾つかの(冗長な)エンティティに分割して、少数の参加者がオフラインであっても動作が継続できるようにすることができる。1実施形態では、場合によっては、これらの参加者のうち少数が相手方によって侵害を受けているかまたは利用不能もしくは信頼されなくなった場合であっても、1組の参加者を全体として信頼することができる。
図28は、企業2800向けクラウド・サービスを実施するための信頼できるエコシステムの別の利益を示す別のアーキテクチャ図である。例えば、企業2800が様々な組織2802、2804、2806、2808を含むことができる。この図における様々な組織2802、2804、2806、2808は、組織が、システムを使用するためのポリシの実装または鍵生成に関して出来るだけ多くのまたは少ないものを所有できることを示している。例えば、組織2802か独自のポリシ2812を実装するが中央鍵生成器2822を使用し、一方で、組織2804が、独自の鍵生成器2824を実装し独自のポリシ2814を実装することを選択する。組織2806も独自のポリシを実装するが第三者のCKG2826に依存し、一方で、組織2808が第三者のポリシ・プロバイダ2818と独立のCKG2828とに依存することを選択する。
これに関して、データを発行するために、パブリッシャ2840がCKG2822からの出力に基づいてデータ2835を暗号化するための共通パラメータを取得する。当該共通パラメータに基づいて、2845で、独立の暗号技術プロバイダを用いてデータをパブリッシャ装置2840により暗号化する。暗号化データは記憶抽象化サービス2850にアップロードされる。記憶抽象化サービス2850が、CSP2872、2874、2876、または2878のような1つまたは複数のCSP2870により暗号化データを格納することと関連して、記憶の意味論を隠蔽する。サブスクライバ装置2860では、データ要求の結果、プライベートな秘密鍵2865がCKG2822から生成される。プライベートな秘密鍵2865は、2855でサブスクライバ装置2860がデータを復号化することにより検索可能暗号化データを選択的にアクセスできるようにする情報を含む。ここでも、データをCSP2870から取り出す意味論は記憶抽象化サービス2850により隠蔽される。また、サブスクライバ装置2860に付与された権限は、パブリッシャまたは所有者が付与したケイパビリティの遅延結合のため、最新の権限集合となっている。
図28から、複数のデータ所有者、即ち、企業または消費者の何れかが本明細書で説明した信頼できるエコシステムに参加して信頼関係を確立できることが分かる。このような場合、各所有者が、自身のCKG(例えば、組織2804のCKG2824)をホストするかまたは制御して、データに対する要求または問合せが対応するCKGに転送されて必要な鍵が要求されたデータの共同所有者全てから収集されるようにすることができる。
図29は、記憶抽象化層2910を介した様々な記憶プロバイダの収容を示す別のブロック図である。信頼できるエコシステムを用いると、それぞれクライアント・アプリケーション2940、2942を有するデスクトップ2930、2932が、上述のようにデータを発行またはサブスクライブして、データの暗号化または復号化に使用するための鍵情報を鍵生成センタ2920に対する要求を開始する。同様に、サービス2944、2946、2948がエコシステムにおけるパブリッシャおよび/またはサブスクライバであるかもしれない。これに関して、プライベート・クラウド記憶2900、SQLデータ・サービス記憶2902、またはシンプル記憶ウェブ・サービス2904、等の何れかにより、データの記憶または抽出を行うために、記憶抽象化サービス2910は、その名が暗示するように、1つまたは複数の特定の記憶リポジトリに関する詳細をクライアントから抽象化する。
これに関して、疑義を避けるため、図29は複数の状況に関するものである。1つの状況では、図29は、計算記憶抽象化(CSA)とも呼ばれることがある、記憶抽象化サービスを介した記憶プロバイダの仲介排除(記憶プロバイダを個人から抽象化すること)に対応する。さらに、図29は、データが(例えば、冗長化のために)複数のバックエンドの記憶プロバイダに分割および/または展開されて、バックエンドの記憶プロバイダのうち1つ(または少数)が偶然または故意に自身のデータのコピーを削除または変更しても、元のデータを再構築できるようにすることができる。当該複数のバックエンドの記憶プロバイダは、同種または異種のものであることができる。
図30は、プライベート・クラウド記憶3000、SQLデータ記憶3002、シンプル記憶ウェブ・サービス記憶3004、等の記憶の詳細を抽象化する、サーバOS(operating system)3014および記憶サービス3012を含む記憶抽象化サービス3010と関連した記憶の別の態様を示す。クライアントは、それぞれクライアント・アプリケーション3040および3042を有するデスクトップ3050または3052であることができる。鍵生成センタ3020は、サーバOS3024で実行される鍵生成アプリケーション3022を含むことができる。これに関して、アクティブ・ディレクトリ3036、サーバOS3034、およびセキュリティ・トークン・サービス(STS)3032を有する組織3030が、エコシステム内のパブリッシャまたはサブスクライバであることができる。これに関して、記憶転送フォーマット(STF)は、暗号化データおよびメタデータをリポジトリにわたって交換するために使用できる標準的な交換フォーマットである。例えば、組織3030が、電子メール・データの記憶サービス・プロバイダ3000、3002、または3004の間で転送を所望している可能性があり、このケースでは、STFを使用することができる。
図31は、信頼できるエコシステム3120の多種多様な参加者を示す別のブロック図である。述べたように、有利に、企業3100は大量のデータを記憶および保守する負荷をオンサイトから当該大量のデータの処理により適したクラウド記憶サービス・プロバイダに移し、同時に、企業が暗号化データに対して定義されたケイパビリティに対する制御を保持するのでデータが悪意のサブスクライバに対して復号化されないという快適さを維持することができる。例えば、組織3102がSharepointのような共同作業アプリケーション3112を運用しているかもしれない。これに関して、組織3102がデジタル・エスクロー、または信頼ドメインをsharepointのデータに対して構成してもよい。ポリシ3132およびCKG3134を第1のデータ・センタ3130により実装することができる。第1のデータ・センタ3130は、信頼ドメインに対して暗号鍵情報3145を定義することにより安全な空間を構成するように動作する。
次いで、別の組織3104が、例えばパブリッシャ3114として振る舞い、データをCKG3134から取得した鍵情報に基づいて暗号化することができ、この時点で、第2のデータ・センタ3140のコンピュータと記憶抽象化コンポーネント3142が、検索可能暗号化データを第3のデータ・センタ3150、例えば、CSP3152に格納することの詳細を処理する。反対側では、組織3104のサブスクライバ3116がデータを要求したとき、プライベートまたは秘密の鍵情報が抽出3165の一部としてサブスクライバ3116に配布される。次に、サブスクライバに対して定義されたケイパビリティを含むプライベートな鍵情報に基づいて、3175でサブスクライバが要求したデータを当該サブスクライバが権限を有すると仮定して復号化し、再度、抽象化層3142が根底にある記憶3152の詳細を処理する。
図32は、別のまたは同一のエンティティにより様々な部分を提供できる、信頼できるクラウド・コンピューティング・システムの例示的で非限定的な実装形態の幾つかの層の代表図である。当該階層の最下層は、暗号化/復号化アルゴリズムの実装に使用される数学および暗号ライブラリ3286である。様々な暗号方式の定義の抽象化を、詳細なライブラリ3286と検索可能暗号方式3282の実際の実装形態との間の中間層3284として提供することができる。層3282、3284、および3286は一緒になって大規模な暗号サービス層3280を形成する。当該暗号サービス層3280は、SaaS(software as a service)アプリケーションのエコシステムに対する抽象化層3260と組み合わせたとき、信頼されたデジタル・エスクロー3270とそのための記憶の実装形態の基礎を成す。抽象化層3260は、デジタル・エスクロー・パターンを実装するために使用する基本的な言語、即ち、SetUp()、Encrypt()、Extract()、Decrypt()、等のようなコマンドを含む。
抽象化層3260の上には、様々なより具体的なプラットフォーム技術(例えば、SDS、Azure、Backup/Archive、RMS、STS、等)に結び付けられた層3250がある。様々な具体的なプラットフォーム技術に結び付けられた層3250の上には、信頼されたデジタル・エスクロー3200を使用する様々なSaaSアプリケーションがある。例示的で非限定的な例では、デジタル・エスクロー・アプリケーション3200を1つの企業3210によって、または、パートナ3230によって、またはその両方によって実装することができる。例えば、企業3210が、高性能コンピューティング(HPC)、eDiscoveryおよびLegal Discovery3214、Live Service3216(例えば、DBox)、サービスとしてのバックアップ/アーカイブ3218、監査ログ、即ち、ビジネス・プロセスおよび監視3220、または他のクラウド・サービス3222を実装してもよい。同様に、パートナ3230が、eLetterOfCredit3232、垂直業界向けサービスとしてのHPC3234、eHealthサービス、セキュア・エクストラネット3238、コンプライアンス3240、訴訟支援3242、等のようなサービスを実装することができる。
信頼できるクラウド・サービスのエコシステムに基づくシナリオ
本明細書で説明した鍵生成器、暗号化プロバイダおよびクラウド・サービス・プロバイダ、ならびに他の技法(複数可)を分離に固有の信頼が高まるので、任意の種類のアプリケーションをクラウドで実現することができる。これに関して、かかる信頼できるクラウド・サービスのエコシステムを可能としたので、本明細書で説明した信頼できるエコシステムの1つまたは複数の利益を利用する1組のリッチなサービスとシナリオを実現することができる。
本明細書で説明した鍵生成器、暗号化プロバイダおよびクラウド・サービス・プロバイダ、ならびに他の技法(複数可)を分離に固有の信頼が高まるので、任意の種類のアプリケーションをクラウドで実現することができる。これに関して、かかる信頼できるクラウド・サービスのエコシステムを可能としたので、本明細書で説明した信頼できるエコシステムの1つまたは複数の利益を利用する1組のリッチなサービスとシナリオを実現することができる。
例えば、図33は、上述のように、パブリッシャ制御型の選択的アクセスを遅延結合でデータに提供するように、ドキュメントをデジタル・セーフなアプリケーションに発行するための例示的で非限定的なプロセスの流れ図である。3300で、装置を認証する(例えば、装置がユーザ名とパスワード、パスワード証明書、生体情報、LiveID証明書、等でログインする)。3310で、ドキュメント(複数可)をアップロードし、タグを入力する。3320で、タグがエスクロー・エージェントに送信され、それに応じてハッシュされたタグをエスクロー・エージェントから受け取る。これに関して、タグを上述のように提供することができ、あるいは、例えばフルテキスト・インデクシングによりペイロード(レコード、ドキュメント)から自動的に抽出することができる。3330で、クライアントがドキュメントをパブリッシャの鍵情報で暗号化し、ドキュメント(複数可)を、当該ドキュメント(複数可)に関するサブスクライバのケイパビリティとともに安全なデジタルのクラウド記憶プロバイダに送信する。3340で、安全なデジタルのクラウド記憶プロバイダが暗号化されたブロブを記憶サービスに、例えば記憶抽象化層に対して、送信する。
図34は、デジタル・セーフに配置した素材をサブスクライブするための例示的で非限定的なプロセスの流れ図である。3400で、サブスクライバを認証し、3410で、クライアント装置がタグをエスクロー・エージェントに送信し、当該エスクロー・エージェントは、それに応じてハッシュされたタグを戻す。次いで、3420でクライアントがハッシュされたタグをデジタル・セーフなサービスに送信し、ハッシュされたタグを解釈して、3430でクライアントが自身の検索要求を全体としてまたは部分的に記憶サービスに実行させる権利があるかどうかを理解する。
図35は、デジタル・エスクロー・パターンを用いて1つまたは複数のデータ・センタを介した企業向けのセキュア・エクストラネットを実装する、信頼できるクラウド・サービスの例示的で非限定的な実装形態を示す。上述のように、信頼できるコンピューティングのエコシステムは、暗号技術プロバイダ(CTP)3510とは別個に実装される鍵生成センタ3500を備えることができる。暗号技術プロバイダ(CTP)3510は、暗号技法の実装に使用するためのリファレンス実装を、1つまたは複数のクラウド・サービス・プロバイダ(CSP)3520とは別個に実装されたエコシステムと整合するように提供する。セキュア・エクストラネットの例示的で非限定的な実装形態では、3580は、企業が共有リポジトリ3570(例えば、SherePoint)と、共有リポジトリ3570内のドキュメントと関連して使用するための設計または分析アプリケーションのリポジトリ3560を保守することを示す。ビジネス・ソフトウェア3540(例えば、Sentinel)は、デスクトップ3550を有するコンピュータのアプリケーションまたはサーバの性能、等を監視することができる。
これに関して、信頼できるクラウド・サービスのエコシステムでは、デスクトップ3550を使用しているサブスクライバが、記憶域から選択的にアクセス可能な暗号化された情報を検索すると、セキュリティ・トークン・サービス3530がサブスクライバ3582を特定するための何らかの情報を配信し、3584で示す第1のデータ・センタのCKG層3502のインタフェースを介してCKG3500に問い合わせることができる。CKG3500は鍵情報を返し、3586で示すように、当該鍵情報を使用してデータ・サービス3524が保持するデータに記憶抽象化サービス3522を介して選択的にアクセスすることができる。したがって、任意の種類のデータを企業内で共有することができ、当該企業内のサブスクライバの役割に従って選択的に共有することができる。
図36は、例えば企業内部で、CSPが格納する暗号化データへの選択的なアクセスがサブスクライバに与えられる、信頼できるクラウド・サービスのエコシステムに基づく別の例示的で非限定的なシナリオを示す流れ図である。最初は、サブスクライバ装置は暗号化データに対するアクセス権限を有しない。しかし、3600で、例えばアプリケーションと対話することによって、暗号化データの一部または全部を要求することによって、3610で、アプリケーションは自動的に対応するSTSと通信して(暗号の業界用語としての)クレームを取得する。3620で、アプリケーションはCKGと通信して、サブスクライバに対するケイパビリティ(ケイパビリティは、暗号の業界用語でトラップドアと呼ばれることもあるが、ケイパビリティという用語はトラップドアが一般に出現するコンテキストに限定されない)に関する情報をエンコードする鍵情報を取得する。最後に、3630でアプリケーションは鍵情報をCSPに提供し、CSPが暗号化データに対する検索または問合せを、サブスクライバのケイパビリティが許す範囲で許可する。
図37は、サインイン情報に基づいてアプリケーション応答をサブスクライバに対してカスタマイズできることを示す別の流れ図である。例えば、3700で、ユーザID情報をアプリケーションが受け取る。3710で、アプリケーションが関連するクレームをSTSから取得する。3720で、ユーザID情報に関連付けられたユーザが担う1つまたは複数の役割に基づいて、これらの役割に対する権限/制約に相応のエクスペリエンスをカスタマイズすることができる。例えば、企業の暗号化データに対するビューとして企業の最高財務責任者に提示されるユーザ・エクスペリエンスは、郵便室の従業員に与えられる企業の暗号化データに対するビューとは異なるユーザ・エクスペリエンスであることができ、また、そうあるべきである。図37を単一当事者または複数当事者のログインのシナリオに適用することができる。
図38は、単一当事者または複数当事者に対して実装できる、安全にレコードをアップロードするシナリオを示す別の流れ図である。3800で、レコードおよびキーワードをアプリケーションが受け取る。当該レコードおよびキーワードは例えば、当該アプリケーションを有する装置のユーザによって提供されるかまたは指定される。3810で、アプリケーションがマスタ公開鍵(MPK)を取得し、キーワード検索付き公開鍵暗号(PEKS)アルゴリズム(複数可)を適用する。場合によっては、アプリケーションがMPKをキャッシュすることができる。3820で、アプリケーションは暗号化レコードを、例えば記憶抽象化層を介して、CSPリポジトリに入力する。
図39は、例えば、単一当事者による自動検索のための、信頼できるクラウド・サービスのエコシステムにより可能となる、検索可能暗号化データ記憶に対する役割ベースの問合せの例示的で非限定的な実装形態を示す別の流れ図である。3900で、結合問合せをアプリケーションによって受け取るかまたは開始する。3910で、アプリケーションは関連するクレームをSTSから取得する。例えば、STSはユーザの役割(複数可)を適切な問合せグループ(複数可)に対応付け、所与の役割(複数可)に対して正規の問合せ集合を返す。3920で、アプリケーションは、問合せに対応するクレーム(複数可)を効率的に送信できるように、フィルタされたクレームと問合せを送信し、全てのクレーム(複数可)は送信しない。場合によっては、CKGはトラップドア・クレーム(複数可)をアプリケーションに返す(かまたはクレームを拒絶する)。3930で、アプリケーションはトラップドア・クレームをリモート・インデックスに対して実行する。リモート・インデックスを介した処理に基づいて、アプリケーションが結果を受け取り、例えばユーザの役割(複数可)に基づくカスタム・レンダリングを用いて当該結果をユーザに表示することができる。
図40は、企業がその暗号化データの一部へのアクセスを外部企業に与えるようにする、複数当事者の協調シナリオを示す流れ図である。例えば、製造業者が、信頼できるクラウドに格納した自身のデータの一部に供給業者がアクセスできるようにしてもよく、その反対も可能である。これに関して、4000で、企業2のSTSがリソース・プロバイダとして指定され、次に、企業1のアプリケーションが、クラウド内のリソース・プロバイダが提供するリソースへのアクセスに関するクレームを取得する。4010で、企業1のSTSがアイデンティティ・プロバイダとして指定される。これに関して、アプリケーションは、企業1のサブスクライバが定義した役割または1組の役割に関するクレームを取得する。これは、アイデンティティ・プロバイダにより容易になる。4020で、クレームが、企業2が制御する許可可能リソースに基づいて、および、サブスクライブエンティティの役割(複数可)によって定義される許可/ケイパビリティに基づいて、アプリケーションによって取り出される。図40ではSTSを1つだけ示しているが、デジタル・エスクロー、または、フェデレーテッド信頼オーバレイにおいて複数のアイデンティティ・プロバイダSTSおよび/または複数のリソース・プロバイダSTSが存在しうることに留意されたい。
図41は、例えば、企業1と企業2のような複数の企業間の、複数当事者の自動検索シナリオを示す流れ図である。4100で、結合問合せを企業1のアプリケーションによって受け取るかまたは開始して実行する。4110で、アプリケーションがリソース・プロバイダ(企業2)のSTSから関連するクレームを取得する。場合によっては、リソース・プロバイダを組織タグで指定することができる。場合によっては、STSがユーザの役割を問合せグループにマッピングすることができ、その結果、正規の問合せ集合が当該ユーザの役割に返される。4120で、アプリケーションがフィルタされたクレームと問合せをユーザの役割に基づいて送信する。問合せに対応するクレームを効率的に送信することができ、全てのクレーム(複数可)は送信しない。場合によっては、CKGはケイパビリティ(例えば、トラップドア・クレーム)をアプリケーションに返すか、またはクレームを拒絶する。4140で、アプリケーションはトラップドア・クレームをリモート・インデックスに対して実行する。リモート・インデックスを介した処理に基づいて、アプリケーションが結果を受け取り、例えばユーザの役割(複数可)に基づくカスタム・レンダリングを用いて当該結果をユーザに表示することができる。
当該方法が、結合問合せを受け取るステップか、または、結合問合せを開始するステップを含むことができる。これに関して、場合によっては、結合問合せを暗号的に保護して、トラップドア(またはケイパビリティ)の受取人、すなわち、クライアントまたはサービス・プロバイダの何れかが、結合問合せを分解してその構成部分を決定できないようにすることもできる。
図42は、信頼できるクラウド・サービスに対して実装できる、例示的で非限定的なエッジ計算ネットワーク(ECN)を示す。これに関して、複数の動的計算ノード4270、4272、4274、4276に、互いに独立して動作する1組の信頼できるクラウド・コンポーネントと関連して計算帯域幅を動的に割り当てる。例えば、鍵生成センタ4220、記憶抽象化サービス4210、組織4230および組織4240を図示したように実装して、例えば上述したような、多組織企業のまたは他のシナリオを網羅することができる。鍵生成センタ4220は鍵生成器4222とサーバOS4224を備える。記憶抽象化サービス4210は、記憶サービス・コンポーネント4212とサーバOS4214を備える。組織4230はSTS4232、AD4236、およびサーバOS4234を備える。組織4240は、STS4242、AD4246、およびサーバOS4244を備える。サーバOS4214、4224、4234、4244は協調して、サーバ間のECNを実現する。任意の記憶プロバイダまたは抽象化4202を使用してデータを記憶することができる。例えば、SQLデータ・サービスを使用することができる。このように、1つまたは複数のデスクトップ4250、4252がそれぞれクライアント・アプリケーション4260、4262を介してデータを発行し、サブスクライブすることができる。
図43は、信頼できるクラウド・サービスのエコシステムに従う鍵生成センタ4310の1つまたは複数の任意の態様を示すブロック図である。最初に、1組のコンピューティング装置、例えば、デスクトップ4360、4362、および各クライアント・アプリケーション4370、4372、またはサービスもしくはサーバ4374、4376、4378、等がクラウド・コンテンツ配信ネットワーク4350に対する潜在的なパブリッシャおよび/またはサブスクライバである。しかし、当該1組のコンピューティング装置の何れかからの要求を満たす前に、最初に鍵生成センタが、パブリッシャの信頼のための管理者として動作し、公開鍵に基づいてデータを暗号化し、データのサブスクライバに対してサブスクライバのケイパビリティに基づいて秘密鍵を渡す。
例示的で非限定的な対話において、最初にコンピューティング装置からの要求を提供し(4300)、CKGのホスタ(hoster)4310が4380でCKG4310のインスタンスをCKGファクトリ4302に要求する。次に、4382でユーザ認証4304を行う。次に、CKGファクトリ4302の使用に対して、任意の利用ベースの課金4348を課金システム4306により適用することができる。次に、4386でテナントCKGをCKGファクトリ4302によって実現する。当該テナントCKGはMPK配信コンポーネント4312、クライアント・ライブラリ・ダウンローダ4314、秘密鍵抽出器4316および信頼性立証器/検証器4318を備えてもよい。
4388で、MPK配信コンポーネント4312がMPKをCDN4350に配信する。クライアント・ライブラリ・ダウンローダ4314が暗号化ライブラリを要求側のクライアントにダウンロードする。当該暗号化ライブラリを、発行すべきデータの暗号化、または、装置がサブスクライブするデータの復号化と関連して使用することができる。次に、クライアントが、秘密鍵抽出器4316から受け取った鍵情報に基づいて1組の所与のドキュメントの抽出を要求し、秘密鍵抽出器4316が信頼性検証器4318と協調する。信頼性検証器4318は、サブスクライバが特定のケイパビリティを有することを、4394でのサブスクライバのSTSサムプリントの検証に基づいて、例えば、当該要求に関与する組織の様々なSTS4320、4322、4324、4326との通信に基づいて、立証することができる。他の実施形態と同様、記憶抽象化サービス4340を提供して、データベース・サービス4330の記憶の詳細(例えば、SQL)を抽象化することができる。
図44は、ネットワーク・サービス4420の配信と関連して、立証および/または検証を伴う、検索可能暗号化データ4410を含む信頼できる記憶域4400の例示的で非限定的な実施形態のブロック図である。本実施形態では、サブスクライバ4440またはサブスクライバ4440が用いるアプリケーションが、暗号化記憶域4400の特定部分へのアクセス要求の一部として、当該要求から返されたアイテムに対して立証証明を実行して、実際に受け取られたアイテムが受け取るべきであったアイテムでもあることを立証するよう要求することができる。これに関して、図44は、検索可能暗号技法と立証技法の組合せを示す。場合によっては、本明細書の他の実施形態で説明するように、システムをクレーム・ベースのアイデンティティおよびアクセス管理と統合してもよい。これに関して、本明細書の様々な実施形態で説明されている、フェデレーテッド信頼オーバレイとも称されるデジタル・エスクロー・パターンを、より従来型のクレーム・ベースの認証システムとシームレスに統合することができる。
図44で、信頼できるデータ記憶4400またはサービス・プロバイダまたはデータ記憶のホスタが証明ステップを実施し、データの所有者(例えば、サブスクライバ装置)が立証を実施する。データ記憶4400が強い保証を提供するとユーザが確信できるので、データ記憶4400は信頼される。もっとも、物理的なエンティティがそのデータを実際にホストし、一部の参加者は完全には信頼されないことは理解されよう。
図45は、立証ステップを含むサブスクライブの例示的で非限定的なプロセスを示す流れ図である。4500で、検索可能暗号化データのサブセットをサブスクライバ装置から受け取る。4510で、暗号鍵情報を、鍵生成インスタンスから生成する。当該鍵生成インスタンスは、サブスクライバ装置のアイデンティティ情報に基づいて暗号鍵情報を生成する。4520で、暗号化データのサブセットを、暗号鍵情報で定義した、サブスクライバ装置に付与されたケイパビリティの関数として復号する。4530で、サブセット内で表したアイテムを立証し(例えば、データ所有証明(複数可))、4540でデータにアクセスする。
多くの場合、暗号化データを復号する必要なしに暗号化データに対してPDP/PORを実行できることが望ましい。場合によっては、PDPに必要な鍵情報を、検索可能暗号で保護したメタデータ内部でエンコードすることができる。これはPDP/PORに用いられる鍵を管理する効果的な方法であるが、平文の内容にアクセスする必要なしにPDP/PORを暗号化データに対して実施できる多数の高価値なシナリオがあることに留意されたい。
図46は、検証器4600(例えば、データ所有者)が暗号チャレンジ4620を証明器4610(例えば、データ・サービス・プロバイダ)に発行する、例示的で非限定的な立証チャレンジ/レスポンス・プロトコルを示す。チャレンジ4620を受け取ると、証明器4610が応答をデータと当該チャレンジ4612の関数として計算する。次いで、チャレンジ応答4630が検証器4600に返され、その後、検証器4600が検証を行って、データが修正されていないことを検証または証明する(4602)。
図46に一般的に示す立証はプライベートPDPとしても知られるが、「パブリックな」バージョンもあることに留意されたい。この場合、第三者に鍵(例えば、「公開」鍵)が提供され、それにより、当該第三者は、実際のデータについて何ら知ることなく、同様なプロトコルに従う検証器として動作する。PORは、検証の1例であり、データが(何らかの改変/修正にも関わらず)取り出し可能であることの証明を提供する点でPDPとは異なるが、以下の図30で示すように、ドキュメントの構造や実際のアルゴリズムは異なっていても基本的なプロトコルは同一である。本明細書の信頼できるエコシステムの様々な実装形態では、検索可能暗号とPOR/PDPを組み合わせてシステムに役立て、信頼性を向上させる。これに関して、データをサービス・プロバイダに送信する前に、データを検索可能に暗号化する。データの後処理にPORおよび/またはPDPを含めることができる。
加えて、さらに強い保証を提供する必要がある場合は、任意に「データ分散」技法を上述の実施形態のうち任意の1つまたは複数に重ねあわせることができる。データ分散を用いると、データが幾つかのサービス・プロバイダに分散され、任意の1つのサービス・プロバイダにおける「大規模な悪行」または壊滅的損失に対する回復力が得られる。本明細書で説明した信頼機構を用いると、この分散が、独立したサービス・プロバイダが共謀してデータを破壊することを困難にするように行われる。これは、上述の分散CKGの実施形態と概念的に同様である。
図47は、パブリッシャ2530からのネットワーク・サービス2520のデータ配信と関連した、立証および/または検証を伴った検索可能暗号化データ2510を含む信頼できる記憶域2500の別の例示的で非限定的な実施形態のブロック図である。具体的には、図47は、サブスクライバ2540に返されたアイテムが改竄されていないか、または、不注意に変更されていなかったことを検証するための検証コンポーネント4750を示す。上述したPDPは検証の非限定的な例である。
図48は、立証ステップを含むサブスクライブの例示的で非限定的なプロセスを示す流れ図である。4800で、検索可能暗号化データのサブセットをサブスクライバ装置から受け取る。4810で、暗号鍵情報を、鍵生成インスタンスから生成する。当該鍵生成インスタンスは、サブスクライバ装置のアイデンティティ情報に基づいて暗号鍵情報を生成する。4820で、暗号化データのサブセットを、暗号鍵情報で定義した、サブスクライバ装置に付与されたケイパビリティの関数として復号する。4830で、サブセット内で表したアイテムの内容を検証し(例えば、取出可能性証明(複数可))、4840でデータにアクセスする。
図49は、検証器4900(例えば、データ所有者)が暗号チャレンジ4920を証明器4910(例えば、データ・サービス・プロバイダ)に発行する、例示的で非限定的な検証チャレンジ/レスポンス・プロトコルを示す。チャレンジ4920を受け取ると、証明器4910が応答をデータと当該チャレンジ4912の関数として計算する。次いで、チャレンジ応答4930が検証器4900に返され、その後、検証器4900が計算を行って、データが取出可能であることを検証または証明する(4902)。
ブラインド・フィンガープリントは、ラビン・フィンガープリントのようなネットワーク重複排除技法を拡張した別の種類の暗号技法を表し、一般にネットワーク上での冗長なデータの交換を最小限にするために用いられる。本明細書の様々な実施形態では、フィンガープリントを適用して、プロトコルの参加者、例えばデータの記憶の場合はCSPが、自分がホストしているデータの実際の内容に気づくことがないようにする。
ブラインド・フィンガープリントに関する幾つかの追加のコンテキストのため、データの保守を含めて、WAN(wide area network)にわたる任意の大量のデータ交換には、配線上の「重複排除」のための、または、不要なデータが配線上で送信されないようにするための技法が望ましいであろう。これを、データのセグメントをフィンガープリントし、次いでフィンガープリントを交換して、受信者が有さないものを有していると送信者が分かるようにすることによって、実現する。また、受信者は、自分がどのデータを送信者に求める必要があるかを知っている。分散ファイル・サービス・レプリケーション(DFS−R)を使用して、支店のバックアップおよびWAN上の分散ファイル・システムのようなシナリオにおけるデータ交換を最適化することができる。
交換のケースでは、大量のデータ複製があり、高々50%、またはそれより多くの配線上のデータが任意の所与の時点で複製である可能性がある。フィンガープリントをブロック・レベルまたはオブジェクト・レベル、例えば、電子メール、カレンダ・アイテム、タスク、連絡先、等のレベルで取得することができる。フィンガープリントをプライマリ・データ・センタおよびセカンダリ・データ・センタの両方にキャッシュすることができる。したがって、プライマリ・データ・センタに障害がある場合は、セカンダリ・データをフィンガープリントとともにプライマリ・データ・センタに復元することができる。それにも関わらず、プライマリ・データ・センタにあるデータの暗号化により、不明瞭にされていても、セカンダリ・データ・センタのオペレータがフィンガープリントを見えるようにすべきである。これを例えば、フィンガープリントを検索可能に暗号化したキーワード/メタデータとして格納して、セカンダリ・データ・センタ内の許可されたエンティティ/エージェント以外はパターンを検出できないようにすることにより、実現することができる。
データ・サービスのコンテキストでは、全体または増分を送信する場合は、プライマリ・データ・センタはログまたはEDB内の各アイテム/セグメント/ブロックを調べることができ、フィンガープリントのローカル・コピーを調べることができる。マッチした場合、プライマリ・データ・センタは当該アイテム/セグメント/ブロックを当該フィンガープリントで置き換える。本明細書で「ブラインド・フィンガープリント」という用語をそのように称するのは、フィンガープリントの適用され方のためである。1実施形態では、ブラインド・フィンガープリントを実現するための暗号技術の選択肢として、サイズ保存型の暗号技法がある。
図50は、ブラインド・フィンガープリントを含むサービスの1つまたは複数の実施形態を提供するための一般的な環境のブロック図である。ブラインド・フィンガープリントでは、データ・サブスクライバ5000とデータ・サービス・プロバイダ5010は、どのデータ・セグメントが、バックアップされているデータ・セットのそれぞれのローカルのバックアップ・コピーに既に存在するかをプロキシとして理解するためにフィンガープリントを交換する。フィンガープリント交換5020の結果として、5002で重複排除修正データ5030としてデータ・サービス・プロバイダ5010へ送信するための1組の縮小した修正データを決定する。データ・サービス・プロバイダ5010は次いで、重複排除した修正データと任意のブラインド・フィンガープリント5040に選択的にアクセスすることによって、当該修正データを適用する。
図51は、複数の独立したフェデレーテッド信頼オーバレイ、またはデジタル・エスクローが階層アプローチで隣り合って、または、重なり合って存在できる、非限定的なシナリオを示すブロック図である。このシナリオでは、様々なネットワーク・サービス(複数可)5120が基礎を置くことができる検索可能暗号化データ5110を有する、信頼できるデータ記憶5100が存在する。例えば、ネットワーク・サービス(複数可)5120では、ワード・プロセッサ・ソフトウェアをクラウド・サービスとして配信することができる。地球規模の配信(Geo−distribution)の一部として、またはそうでなければ任意に、複数のオーバレイまたはエスクロー5132、5134、5136を提供することができる。当該複数のオーバレイまたはエスクロー5132、5134、5136は各々、様々なアプリケーション、垂直業界、コンプライアンスのニーズ、または国家機関の要件に対して調整されており、それにより、パブリッシャ2530またはサブスクライバ5150は、参加すべき正しいオーバレイまたはエスクローを、例えば、1組の管轄または居住の要件または区域に基づいて、暗黙的または明示的に選択する。このように、オーバレイは変化しうるが、クラウドからのバックエンド・サービスは、コア・サービス自体の提供を複雑化することなく依然として同じであることができる。
図52は、不正アクセスに対してデータを不明瞭にするためのデータ分散技法を含む、信頼できる記憶域の別の例示的で非限定的な実施形態のブロック図である。この例は、データを隠蔽または不明瞭化するための手段としての暗号化技法を提供する上述の技法またはシステムの全てを、データ(またはメタデータ)を見えなくする他の任意の数学的変換またはアルゴリズムによっても実装できることを示している。これに関して、例えば、データを1組のデータ記憶にわたって自動的に最適化または分散させることができる。当該1組のデータ記憶は同種のものであることができ、または、図52に示すように、異種のコンテナ5212、5214、...、5216であることができる。
このようにシステムはデータ記憶5200を備え、当該データ記憶5200には、抽象的には、選択的にアクセス可能なデータまたはメタデータ5210を格納するためのデータ記憶5212、5214、..、5216が含まれる。パブリッシャは、少なくとも1つのリソースを表すデータまたはメタデータ5210をデータ記憶5200に発行することができ、第1の独立したエンティティ5250が、発行されたデータまたはメタデータに適用できるアクセス情報を生成し、第2の独立したエンティティ5260が、発行されたデータまたはメタデータを格納する1組のデータ記憶の知識を維持しつつ、発行されたデータまたはメタデータをデータ記憶5200のうちの当該1組のデータ記憶に分散させる。
したがって、この情報は秘密であり、アクセス情報なしには明らかにすることができない。データまたはメタデータ5210を、ネットワーク・サービス(複数可)5220を介して発行することができる。当該ネットワーク・サービス(複数可)5220は、少なくとも1つのリソースのパブリッシャ(複数可)または所有者(複数可)により付与されアクセス情報により表される遅延的に結合し選択された権限に基づいて、ネットワーク・サービスに対する所与の要求に対して、発行されたデータまたはメタデータに対する選択的なアクセスを提供する。データ記憶5200はコンテナ・タイプが同じかまたは異なる複数のコンテナを含み、発行されたデータまたはメタデータは当該複数のコンテナのうち少なくとも1つのコンテナに自動的に分散される。当該分散を、データ分散器5260に既知である任意のアルゴリズムに基づいて、例えば、当該複数のコンテナが表す記憶リソースのリアルタイム分析、データもしくはメタデータの特徴、または所与のアプリケーションに適切な他の任意のパラメータ、に基づいて行うことができる。
従って、サブスクライバ5240がデータまたはメタデータ5210を要求する場合、ネットワーク・サービス(複数可)は独立のエンティティ5250および/または5260に問い合わせて、サブスクライバ5240がデータの再構築を可能とするアクセス情報を有する権限を有するか否かを判定する。例えば、データの再構築を許可するデータ・マップが秘密であることができる。本実施形態を暗号化のような他の数学的変換と組み合わせて、データをさらに保護することができる。かかる追加の数学的変換を、別の独立のエンティティによって監視して、信頼をさらに分散し、許可された者以外にはデータが見えないままであるという快適さをさらに得ることができる。
本明細書では、信頼できるデータ・サービスの提供を示す様々な例示的で非限定的な実施形態を説明した。これらの実施形態は単体ではなく、必要に応じて互いに組み合わせることができる。さらに、上述の実施形態のうち任意のものを幾つかの代替的な方法で拡張することができる。例えば、1実施形態では、信頼できるデータ・サービスにより、トラップドアまたはケイパビリティを有効期限切れにして失効させて、データへのアクセスに対してさらにセキュリティを確保する。別の任意の実施形態では、権利管理層を信頼できるデータ・サービスの提供に組み込んで、例えば、暗号化もしくは復号化の一部としてコンテンツに付与された権利を保存し、または、平文内でより容易に認識可能または検出可能であるデジタル・エスクロー内の著作権保護データに関する行為を防止する。したがって、本明細書で説明した諸実施形態の任意の組合せまたは並びが、本発明の範囲内にあると考えられる。
例示的で非限定的な実装
デジタル・エスクロー・パターンの1つの例示的な実装形態を、フェデレーテッド信頼オーバレイ(FTO)と称する。FTOの実装形態に関する幾つかの追加の非限定的な詳細を付録Aに添付しておく。
デジタル・エスクロー・パターンの1つの例示的な実装形態を、フェデレーテッド信頼オーバレイ(FTO)と称する。FTOの実装形態に関する幾つかの追加の非限定的な詳細を付録Aに添付しておく。
これに関して、デジタル・エスクロー・パターンは多くの可能なパターンおよび変形の1例にすぎない。さらに、(パブリッシャ、サブスクライバ、管理者および監査者、ならびに場合によっては上述した他の特殊な役割が関わる)このパターンは別の基礎となるFTOパターンに重ね合わせられ、当該FTOパターンが、CTP、CSP、CKG、等の「政教」分離を行って信頼を維持する。また、互いに妨害せず、互いの存在すら知らずに共存できる、複数の独立したFTOとDEPが存在しうる。また、DEPとFTOのパターンをクラウド記憶に重ね合わせることが、クラウド記憶サービス・プロバイダが協調することなく、または、これらのパターンもしくは重ね合わせを知ることなく、可能である。
より詳細には、FTOは、クラウド内のデータ・サービスと独立した1組のサービスである。これらのサービスは、データ・サービスの操作者とは別の者により運用され、クラウド・サービスがホストするデータの機密性、改竄検出、および非拒絶に関して強い保証を提供することができる。
任意の者が、これらのオーバレイ・サービス、例えば、調停者サービス、立証サービス、記憶抽象化サービス、等を構築し、ホストすることができる。これらの者は、リファレンス実装をホストすること、または、一般に利用可能なフォーマットおよびプロトコルに基づいて独自の実装を構築することを選択してもよい。
当該フォーマット、プロトコルおよびリファレンス実装のオープンな性質のため、FTOの運用者およびデータ所有者のような者の間で制御の分離を維持すると分かりやすいはずである。
暗号化がこのソリューションの1つの構成要素である一方で、様々な者にわたって連携するサービスを編成することもまたこのソリューションの一部である。従来型の暗号化技法は多くのシナリオで必須であるが、それらの技法では、複数の(信頼されない)サービスを編成すること、データ・リポジトリを検索すること、等による、改竄検出、非拒絶、信頼構築のようなシナリオの多くは不可能である。
補足的なコンテキスト
幾つかの追加の非限定的なコンテキストに関して、上述のように、信頼できる1組のクラウドが提供するものにより、当該信頼の上に構築されるクラウド向けのアプリケーションのエコシステムが可能となる。本明細書で使用する様々な専門用語には、CKG、即ち、鍵生成センタが含まれ、マルチ・テナントの鍵生成センタをホストするエンティティ、例えば、Microsoft、VeriSign、Fidelity、Sovereign Entity、Enterprise、Compliance Entity、等のうち任意のものがCKGをホストすることができる。これに関して、マルチ・テナント性は任意である(例えば、望ましいが必須ではない)。他の専門用語には、CTP、即ち、信頼できるエコシステムとともに使用するための暗号技術を提供するエンティティである、暗号技術プロバイダが含まれ、例えば、Symantec、Certicom、Voltage、PGP Corp、BitArmor、Enterprise、Guardian、Sovereign Entity、等はCTPでありうる企業の例である。
幾つかの追加の非限定的なコンテキストに関して、上述のように、信頼できる1組のクラウドが提供するものにより、当該信頼の上に構築されるクラウド向けのアプリケーションのエコシステムが可能となる。本明細書で使用する様々な専門用語には、CKG、即ち、鍵生成センタが含まれ、マルチ・テナントの鍵生成センタをホストするエンティティ、例えば、Microsoft、VeriSign、Fidelity、Sovereign Entity、Enterprise、Compliance Entity、等のうち任意のものがCKGをホストすることができる。これに関して、マルチ・テナント性は任意である(例えば、望ましいが必須ではない)。他の専門用語には、CTP、即ち、信頼できるエコシステムとともに使用するための暗号技術を提供するエンティティである、暗号技術プロバイダが含まれ、例えば、Symantec、Certicom、Voltage、PGP Corp、BitArmor、Enterprise、Guardian、Sovereign Entity、等はCTPでありうる企業の例である。
さらに、CSPという用語、即ち、クラウド・サービス・プロバイダは、記憶域を含むクラウド・サービスを提供するエンティティである。様々な企業が、かかるデータ・サービスを提供することができる。CIV、即ち、クラウド・インデックス・バリデータは、返されたインデックスの立証を行うための第2のリポジトリである。CSA、即ち、計算記憶抽象化は記憶域をバックエンドで抽象化する。STF、即ち、記憶転送フォーマットは、データまたはメタデータをリポジトリにわたって転送するための普遍的なフォーマットである。
これに関して、述べたように、幾つかの企業シナリオ(複数可)には工学的エクストラネットが含まれる。当該エクストラネットは、データ・サービス技術またはアプリケーション、設計工学分析を利用し、製造業者と供給業者(複数可)、等の間のデータ関係を定義する。このように、「超」信頼されるエンティティが存在せずまたは一箇所における侵害が存在しないように信頼を複数のエンティティに分散させることによって、ユニークなエコシステムが多種多様なシナリオに対して可能となる。
検索可能暗号に関する幾つかの補足的なコンテキストに関して、ユーザは一般に、キーワード(複数可)に対して「ケイパビリティ」または「トラップドア」を有するかまたは取得し、次いで、当該「ケイパビリティ」を用いて要求を送信し、当該ケイパビリティをサーバに提示する。サーバはケイパビリティとインデックスを「結合」して関連するドキュメントまたはデータを見つける。次いで、ユーザは、当該検索から得られるドキュメントに対してのみアクセスすることができる(が、ユーザがこれらのドキュメント以外にアクセスできてもよい)。
これも本明細書で説明したどの実施形態に対する限定として考えるべきではないが、以下はキーワード検索付き公開鍵暗号(PEKS)パターンに関する導入である。
公開鍵暗号化
a. PKE=(Gen,Enc,Dec)
IDベース暗号
b. IBE=(Gen,Enc,Extract,Dec)
c. マスタ鍵の生成
i. (msk,mpk)=IBE.Gen()
d. IDに対してmを暗号化
i. c=IBE.Enc(mpk,ID,m)
e. IDに対して秘密鍵を生成
i. sk=IBE.Extract(msk,ID)
f. 復号化
i. m=IBE.Dec(sk,c)
g. メッセージ:m
h. キーワード:w1,...,wn
i. エスクロー鍵の生成
i. (msk,mpk)=IBE.Gen()
ii. (pk,sk)=PKE.Gen()
j. 暗号化
k. 1≦i≦nに対して
i. ci=IBE.Enc(mpk,wi,flag)
l. (PKE.Enc(pk,m),c1,...,cn)を返す
m. wに対してケイパビリティまたはトラップドアを生成
i. d=IBE.Extract(msk,w)
n. wについてテスト
o. 1≦i≦nに対して
i. z=IBE.Dec(d,ci)
ii. z=flagならば「真」を出力
Ek(m)を復号化してmを取得
公開鍵暗号化
a. PKE=(Gen,Enc,Dec)
IDベース暗号
b. IBE=(Gen,Enc,Extract,Dec)
c. マスタ鍵の生成
i. (msk,mpk)=IBE.Gen()
d. IDに対してmを暗号化
i. c=IBE.Enc(mpk,ID,m)
e. IDに対して秘密鍵を生成
i. sk=IBE.Extract(msk,ID)
f. 復号化
i. m=IBE.Dec(sk,c)
g. メッセージ:m
h. キーワード:w1,...,wn
i. エスクロー鍵の生成
i. (msk,mpk)=IBE.Gen()
ii. (pk,sk)=PKE.Gen()
j. 暗号化
k. 1≦i≦nに対して
i. ci=IBE.Enc(mpk,wi,flag)
l. (PKE.Enc(pk,m),c1,...,cn)を返す
m. wに対してケイパビリティまたはトラップドアを生成
i. d=IBE.Extract(msk,w)
n. wについてテスト
o. 1≦i≦nに対して
i. z=IBE.Dec(d,ci)
ii. z=flagならば「真」を出力
Ek(m)を復号化してmを取得
例示的なネットワークおよび分散型の環境
本明細書で説明した信頼できるクラウド・サービスのフレームワークおよび関連する諸実施形態に関する方法および装置の様々な実施形態を、任意のコンピュータまたは他のクライアント装置もしくはサーバ装置と関連して実装でき、コンピュータ・ネットワークの一部として、または、分散コンピューティング環境内に展開でき、任意の種類のデータ記憶に接続できることは当業者には理解されよう。これに関して、本明細書で説明した様々な実施形態を、任意数のメモリまたは記憶ユニット、任意数の記憶ユニットにわたって生ずる任意数のアプリケーションおよびプロセスを有する、任意のコンピュータ・システムまたは環境で実装することができる。これには、リモートまたはローカルの記憶域を有する、ネットワーク環境または分散コンピューティング環境に展開したサーバ・コンピュータおよびクライアント・コンピュータを伴う環境が含まれるがこれに限らない。
本明細書で説明した信頼できるクラウド・サービスのフレームワークおよび関連する諸実施形態に関する方法および装置の様々な実施形態を、任意のコンピュータまたは他のクライアント装置もしくはサーバ装置と関連して実装でき、コンピュータ・ネットワークの一部として、または、分散コンピューティング環境内に展開でき、任意の種類のデータ記憶に接続できることは当業者には理解されよう。これに関して、本明細書で説明した様々な実施形態を、任意数のメモリまたは記憶ユニット、任意数の記憶ユニットにわたって生ずる任意数のアプリケーションおよびプロセスを有する、任意のコンピュータ・システムまたは環境で実装することができる。これには、リモートまたはローカルの記憶域を有する、ネットワーク環境または分散コンピューティング環境に展開したサーバ・コンピュータおよびクライアント・コンピュータを伴う環境が含まれるがこれに限らない。
図53に、例示的なネットワークまたは分散型のコンピューティング環境の非限定的な概略図を示す。当該分散コンピューティング環境は、コンピューティング・オブジェクト5310、5312、等、および、コンピューティング・オブジェクトまたは装置5320、5322、5324、5326、5328、等を含み、これらは、アプリケーション5330、5332、5334、5336、5338で表すように、プログラム、方法、データ記憶、プログラム可能論理、等を含むことができる。オブジェクト5310、5312、等、および、コンピューティング・オブジェクトまたは装置5320、5322、5324、5326、5328、等が、PDA、オーディオ/ビデオ装置、携帯電話、MP3プレイヤ、ラップトップ、等のような様々な装置を備えてもよいことは理解できる。
各オブジェクト5310、5312、等、および、コンピューティング・オブジェクトまたは装置5320、5322、5324、5326、5328、等は、通信ネットワーク5340により、直接または間接に、1つまたは複数の他のオブジェクト5310、5312、等、および、コンピューティング・オブジェクトまたは装置5320、5322、5324、5326、5328、等と通信することができる。図53では1つの要素として示したけれども、ネットワーク5340が、図53のシステムにサービスを提供する他のコンピューティング・オブジェクトおよびコンピューティング装置を備えてもよく、かつ/または、図示していないが、複数の相互接続ネットワークを表してもよい。各オブジェクト5310、5312、等、または、5320、5322、5324、5326、5328、等が、アプリケーション5330、5332、5334、5336、5338、等のようなアプリケーションを含むこともでき、これらのアプリケーションが、様々な実施形態に従って提供される信頼できるクラウド・コンピューティング・サービスまたはアプリケーションとの通信またはそれらの実装に適した、API、または他のオブジェクト、ソフトウェア、ファームウェアおよび/またはハードウェアを利用してもよい。
分散コンピューティング環境をサポートする様々なシステム、コンポーネント、およびネットワーク構成がある。例えば、コンピューティング・システムを、有線または無線のシステムによって、ローカル・ネットワークまたは広域分散ネットワークによって、互いに接続することができる。今日では、多数のネットワークがインターネットに接続されている。インターネットは、広域分散コンピューティングに対するインフラを提供し、多種多様なネットワークを包含するが、任意のネットワーク・インフラを、様々な実施形態で説明した技法に伴う例示的な通信に用いることができる。
このように、多数のネットワーク・トポロジおよびネットワーク・インフラ、例えば、クライアント/サーバ、ピアツーピア、またはハイブリッド・アーキテクチャを利用することができる。クライアント/サーバのアーキテクチャ、特にネットワーク型のシステムでは、クライアントは通常、別のコンピュータ、例えば、サーバによって提供される共有ネットワーク資源にアクセスするコンピュータである。図53の実例では、非限定的な例として、コンピュータ5320、5322、5324、5326、5328、等をクライアントとみなし、コンピュータ5310、5312、等をサーバとみなすことができる。この場合、サーバ5310、5312、等がデータ・サービス、例えば、クライアント・コンピュータ5320、5322、5324、5326、5328、等からのデータの受信、データの格納、データの処理、クライアント・コンピュータ5320、5322、5324、5326、5328、等へのデータの送信、等を提供するが、任意のコンピュータを状況に応じてクライアント、サーバ、またはその両方とみなすことができる。これらのコンピューティング装置のうち任意のものが、データを処理し、または、1つまたは複数の実施形態に関して本明細書で説明した改良されたユーザ・プロファイリングおよびその関連技法を関連させうるサービスまたはタスクを要求してもよい。
サーバは一般に、インターネットまたは無線ネットワーク・インフラのような、リモート・ネットワークまたはローカル・ネットワークを介してアクセス可能なリモート・コンピュータ・システムである。クライアント・プロセスが第1のコンピュータ・システムでアクティブであり、サーバ・プロセスが第2のコンピュータ・システムでアクティブであり、互いに通信媒体を介して通信することにより分散機能を提供し、複数のクライアントがサーバの情報収集機能を利用可能であってもよい。ユーザ・プロファイリングに従って利用される任意のソフトウェア・オブジェクトをスタンドアロンで提供するか、または、複数のコンピューティング装置もしくはオブジェクトにわたって分散させることができる。
通信ネットワーク/バス5340がインターネットであるネットワーク環境では、例えば、サーバ5310、5320、等がウェブ・サーバであることができる。当該ウェブ・サーバにより、クライアント5320、5322、5324、5326、5328、等がHTTP(hypertext transfer protocol)のような幾つかの公知なプロトコルのうち任意のものを介して通信する。サーバ5310、5312、等がクライアント5320、5322、5324、5326、5328、等の役割を果たしてもよく、これは分散コンピューティング環境の特徴でありうる。
例示的なコンピューティング装置
述べたように、本明細書で説明した様々な実施形態は任意の装置に適用され、この場合、1つまたは複数の信頼できるクラウド・サービスのフレームワークを実装することが望ましいであろう。したがって、ハンドヘルド、ポータブルおよび他のコンピューティング装置およびあらゆる種類のコンピューティング・オブジェクトが、本明細書で説明した様々な機能と関連した使用に対して、即ち、信頼できるクラウド・サービスのフレームワークと関連した何らかの機能を装置が提供できる任意の場面で、考慮されることは理解されよう。したがって、図54で後述する以下の汎用目的のリモート・コンピュータは1例にすぎず、本発明の諸実施形態を、ネットワーク/バスの相互運用性および対話を有する任意のクライアントで実装してもよい。
述べたように、本明細書で説明した様々な実施形態は任意の装置に適用され、この場合、1つまたは複数の信頼できるクラウド・サービスのフレームワークを実装することが望ましいであろう。したがって、ハンドヘルド、ポータブルおよび他のコンピューティング装置およびあらゆる種類のコンピューティング・オブジェクトが、本明細書で説明した様々な機能と関連した使用に対して、即ち、信頼できるクラウド・サービスのフレームワークと関連した何らかの機能を装置が提供できる任意の場面で、考慮されることは理解されよう。したがって、図54で後述する以下の汎用目的のリモート・コンピュータは1例にすぎず、本発明の諸実施形態を、ネットワーク/バスの相互運用性および対話を有する任意のクライアントで実装してもよい。
必要ではないが、諸実施形態のうち任意のものの一部を、装置またはオブジェクト向けのサービスの開発者が使用するためにオペレーティング・システムを介して実装することができ、かつ/または、動作可能コンポーネント(複数可)と関連して動作するアプリケーション・ソフトウェア内に含めることができる。ソフトウェアを、クライアントのワークステーション、サーバ、または他の装置のような1つまたは複数のコンピュータにより実行されている、プログラム・モジュールのようなコンピュータ実行可能命令の一般的な文脈で説明してもよい。ネットワークとの対話を様々なコンピュータ・システム構成およびプロトコルで実施してもよいことは当業者には理解されよう。
図54は、1つまたは複数の実施形態を実装できる適切なコンピューティング・システム環境5400の1例を示すが、上で明らかにしたように、コンピューティング・システム環境5400は適切なコンピューティング環境の1例にすぎず、諸実施形態の何れの使用または機能の範囲に関して何ら限定を示唆しようとするものではない。コンピューティング環境5400が、例示的な動作環境5400で示したコンポーネントの任意の1つまたは組合せに関して何らの依存性も要件も有しないと解釈すべきである。
図54を参照すると、本明細書の1つまたは複数の実施形態を実装するための例示的なリモート装置が、汎用目的コンピューティング装置をハンドヘルド・コンピュータ5410の形で備えることができる。ハンドヘルド・コンピュータ5410のコンポーネントは、処理装置5420、システム・メモリ5430、および、システム・メモリを含む様々なシステム・コンポーネントを処理装置5420に接続するシステム・バス5421を備えてもよい。
コンピュータ5410は一般に、様々なコンピュータ読取可能媒体を備え、コンピュータ5410がアクセスできる任意の利用可能な媒体であることができる。システム・メモリ5430が、コンピュータ記憶媒体を、ROM(read only memory)および/またはRAM(random access memory)のような揮発性および/または不揮発性のメモリの形で備えてもよい。限定ではなく例として、メモリ5430がオペレーティング・システム、アプリケーション・プログラム、他のプログラム・モジュール、およびプログラム・データを備えてもよい。
ユーザは入力装置5440を介してコマンドおよび情報をコンピュータ5410に入力することができる。モニタまたは他種の表示装置も、出力インタフェース5450のようなインタフェースを介してシステム・バス5421に接続される。モニタに加えて、コンピュータがスピーカおよびプリンタのような他の周辺出力装置を備えてもよく、出力インタフェース5450を介して当該他の周辺出力装置を接続してもよい。
コンピュータ5410を、リモート・コンピュータ5470のような1つまたは複数の他のリモート・コンピュータへの論理接続を用いてネットワーク環境または分散環境で動作させてもよい。リモート・コンピュータ5470が、パーソナル・コンピュータ、サーバ、ルータ、ネットワークPC、ピア・デバイスもしくは他の共通ネットワーク・ノード、または他の任意のリモート消費媒体もしくは送信装置であってもよく、コンピュータ5410に関して上述した要素の何れかまたは全てを含んでもよい。図54に示す論理接続には、LAN(local area network)またはWAN(wide area network)のようなネットワーク5471が含まれるが、他のネットワーク/バスを含めてもよい。かかるネットワーク環境は、自宅、職場、企業規模のコンピュータ・ネットワーク、イントラネットおよびインターネットで一般的である。
上で述べたように、例示的な実施形態を様々なコンピューティング装置、ネットワークおよび広告アーキテクチャと関連して説明したが、その基礎となる概念を任意のネットワーク・システムおよび任意のコンピューティング装置に適用してもよく、または、クラウド・サービスとの対話と関連して信頼性を提供するのが望ましいシステムに適用してもよい。
本明細書で説明した1つまたは複数の実施形態を実装する複数の方法がある。例えば、適切なAPI、ツール・キット、ドライバ・コード、オペレーティング・システム、コントロール、スタンドアロンまたはダウンロード可能なソフトウェア・オブジェクト、等であり、これらによりアプリケーションおよびサービスが信頼できるクラウド・サービスのフレームワークを使用することができる。諸実施形態を、API(または他のソフトウェア・オブジェクト)の観点から、ならびに、1つまたは複数の説明した実施形態に従ってポインティング・プラットフォーム・サービスを提供するソフトウェア・オブジェクトまたはハードウェア・オブジェクトの観点から検討してもよい。全体としてハードウェアであり、一部がハードウェアで一部がソフトウェアであり、ならびに全体としてソフトウェアである諸態様を、本明細書で説明した様々な実装形態と実施形態が有してもよい。
本明細書で使用する「例示的」という語は、例、事例、または実例としての役割を果たすことを意味する。疑義を避けるため、本明細書で開示した発明はかかる例によって限定されない。さらに、本明細書で「例示的」として説明した任意の態様または設計は必ずしも、他の態様または設計に対して好適または有利であるとは解釈されず、当業者に知られた均等な例示的な構造および技法を排除することを意味するものでもない。さらに、「備える」、「有する」、「含む」という用語及びほかの同様の語が詳細な説明または特許請求の範囲の何れかで使用される限り、疑義を避けるため、かかる用語は、任意の追加のまたは他の要素を排除しない開放的な移行語としての「備える」という用語と同様に包含的であることを意図している。
述べたように、本明細書で説明した様々な技法を、ハードウェアもしくはソフトウェアと関連して、または、必要に応じて、その両方の組合せと関連して実装してもよい。本明細書で使用する際、「コンポーネント」、「システム」等の用語は同様に、コンピュータ関連エンティティ、即ち、ハードウェア、ハードウェアとソフトウェアの組合せ、ソフトウェア、または実行中のソフトウェアの何れかを指すことを意図している。例えば、コンポーネントが、プロセッサで実行中のプロセス、プロセッサ、オブジェクト、実行可能ファイル、実行スレッド、プログラム、および/またはコンピュータであってもよいが、これらに限らない。実例として、コンピュータで実行中のアプリケーションやコンピュータの両方がコンポーネントであることができる。1つまたは複数のコンポーネントがプロセスおよび/または実行スレッド内部に存在してもよく、コンポーネントを或るコンピュータに局在させ、かつ/または、複数のコンピュータ間で分散させてもよい。
上述のシステムを幾つかのコンポーネント間の対話に関して説明した。かかるシステムおよびコンポーネントが、これらのコンポーネントもしくは特定のサブコンポーネント、特定のコンポーネントもしくはサブコンポーネントのいくつか、および/または追加のコンポーネントを、それらの様々な並びおよび組合せに従って含みうることは理解できる。サブコンポーネントを、親コンポーネント内に含めず(階層的)に、他のコンポーネントに通信可能に接続したコンポーネントとして実装することもできる。さらに、1つまたは複数のコンポーネントを集約機能を提供する単一のコンポーネントに結合するか、または、幾つかの別々のサブコンポーネントに分割してもよく、管理層のような任意の1つまたは複数の中間層を提供してかかるサブコンポーネントと通信可能に接続して統合的機能を提供してもよいことに留意されたい。本明細書で説明した任意のコンポーネントが、本明細書では具体的に説明していないが当業者にとっては一般に公知である1つまたは複数の他のコンポーネントと対話してもよい。
上述の例示的なシステムの観点から、様々な図の流れ図を参照すると、開示した発明に従って実装できる方法がより良く理解されよう。説明の簡単さのため、方法を一連のブロックとして図示および説明したが、特許請求の主題はブロック図の順序によっては限定されないことは理解されよう。なぜならば、幾つかのブロックを、本明細書で図示および説明したものとは異なる順序で、かつ/または、他のブロックと並行して実施してもよいからである。不連続の、または、分岐した流れを流れ図で示した場合は、同一のまたは同様な結果を実現する様々な他の分岐、経路、およびブロック順序を実装してもよいことは理解できる。さらに、示したブロックの全てが本明細書で説明した方法を実装する必要はない。
幾つかの実施形態では、クライアント側の視点を説明したが、疑義を避けるため、対応するサーバの視点も存在し、逆も成り立つことは理解されよう。同様に、方法を実施する場合は、記憶装置と、1つまたは複数のコンポーネントを介してその方法を実施するように構成した少なくとも1つのプロセッサとを有する対応する装置を提供することができる。
様々な実施形態を、様々な図の好適な実施形態と関連して説明したが、他の同様の実施形態を使用してもよく、または、説明した実施形態から逸脱しない、同一の機能を実施するための修正および追加を当該説明した実施形態に加えてもよいことは理解されよう。さらに、上述の実施形態の1つまたは複数の態様を、複数の処理チップもしくは装置内でまたはそれらにわたって実装してもよく、同様に、複数の装置にわたった記憶域を対象としてもよい。したがって、本発明はどの実施形態にも限定されず、添付の特許請求の範囲に従って広範囲に解釈されるべきである。
Claims (13)
- データをホストするための方法であって、
第1の制御領域における少なくとも1つのコンピューティング装置が、第2の制御領域における少なくとも1つのコンピューティング装置から、前記第2の制御領域における前記少なくとも1つのコンピューティング装置において定義されたデータ・セットに対して、暗号鍵情報に基づくデータ暗号化により作成された暗号化データを受け取るステップと、
前記第1の制御領域における前記少なくとも1つのコンピューティング装置が、前記データ・セットに基づく分析と前記分析の結果に対する前記暗号鍵情報に基づく暗号化出力とにより生成された暗号化メタデータを受け取るステップと、
前記第1の制御領域における前記少なくとも1つのコンピューティング装置が、少なくとも2つの異なるコンテナ・タイプを有する複数のコンテナの内、前記第1の制御領域において前記暗号化データまたは前記暗号化メタデータの内少なくとも1つを格納する少なくとも1つのコンテナを決定するステップであって、前記暗号化データまたは前記暗号化メタデータに関連付けられた記憶サイズ、前記暗号化データまたは前記暗号化メタデータに対して規定されたアクセス速度要件、前記暗号化データまたは前記暗号化メタデータに対して規定された復元信頼性要件、および、前記暗号化データもしくは前記暗号化メタデータへアクセスできる1つもしくは複数の装置に対する近接性の内、少なくとも1つに基づいて前記暗号化データまたは前記暗号化メタデータを格納する少なくとも1つのコンテナを決定するステップと、
前記第1の制御領域における前記少なくとも1つのコンピューティング装置が、トラップドア・データにおける少なくとも1つの暗号化トラップドアにより定義された前記暗号化データまたは前記暗号化メタデータに対して選択的にアクセスを可能とする、前記トラップドアを受け取るステップであって、少なくとも1つのデータ・アイテムに対して、前記少なくとも1つのトラップドアが妥当である場合に、前記少なくとも1つのデータ・アイテムが前記暗号化データまたは前記暗号化メタデータから抽出される、ステップと
を含み、
前記暗号鍵情報が、第3の制御領域における少なくとも1つのコンピューティング装置によって提供され、
前記第1の制御領域、前記第2の制御領域、および前記第3の制御領域が別個のものである、
ことを特徴とする、方法。 - 請求項1に記載の方法において、前記暗号化データが、前記暗号鍵情報に基づく少なくとも1つの検索可能暗号アルゴリズムに従って作成される、方法。
- 請求項2に記載の方法において、前記決定するステップが、前記暗号化データまたは前記暗号化メタデータの内少なくとも1つを格納する前記少なくとも1つのコンテナを決定するステップを含む、方法。
- 請求項1に記載の方法において、前記暗号化メタデータが、前記暗号鍵情報に基づく少なくとも1つの検索可能暗号アルゴリズムに従って作成される、方法。
- 請求項4記載の方法において、前記決定するステップが、前記暗号化データまたは前記暗号化メタデータの内少なくとも1つを格納する前記少なくとも1つのコンテナを決定するステップを含む、方法。
- 請求項1に記載の方法であって、更に、前記第1の制御領域における前記少なくとも1つのコンピューティング装置が、前記複数のコンテナについて所定の条件が満たされた場合に前記暗号化データまたは前記暗号化メタデータが格納される前記少なくとも1つのコンテナを自動的に変更するステップを含む、方法。
- 請求項1に記載の方法において、前記決定するステップが、前記暗号化データまたは前記暗号化メタデータに関連付けられた記憶サイズに基づいて、前記暗号化データまたは前記暗号化メタデータの少なくとも一方を格納する少なくとも1つのコンテナを決定するステップを含む、方法。
- 請求項1に記載の方法であって、更に、前記第1の制御領域における前記少なくとも1つのコンピューティング装置により、
少なくとも1つのデータ・アイテムを前記定義されたデータ・セットから復元する要求を受け取るステップと、
前記少なくとも1つのデータ・アイテムを前記暗号化データまたは前記暗号化メタデータから抽出するための少なくとも1つのトラップドアを受け取るステップと、
要求側に対し、前記少なくとも1つのトラップドアが妥当である場合には、前記少なくとも1つのデータ・アイテムを前記暗号化データまたは前記暗号化メタデータから抽出して送信するステップと、
を含む、方法。 - システムであって、
データおよびメタデータのパブリッシュとデータおよびメタデータのサブスクライブとの内の少なくとも一方のために、鍵情報を生成する生成器を含む第1のコンピューティング装置と、
数学的変換アルゴリズム・プロバイダを含む第2のコンピューティング装置であって、前記数学的変換アルゴリズム・プロバイダが数学的変換コンポーネントを少なくとも部分的に分散させ、前記数学的変換コンポーネントがプロセッサ実行可能命令を有し、プロセッサ上で実行されるときに、検索可能データ不明瞭化アルゴリズムまたは検索可能データ開示アルゴリズムの少なくとも1つを、前記生成器が生成した前記鍵情報に基づいて実施させる、第2のコンピューティング装置と、
第2のプロセッサおよび第2のメモリを含むネットワーク・サービス・プロバイダであって、前記第2のメモリがプロセッサ実行可能命令を有し、前記第2のプロセッサ上で実行されるときに、前記少なくとも1つの数学的変換コンポーネントによって不明瞭化したデータまたはメタデータに関してネットワーク・サービスを実施させ、前記第2のメモリが更に、プロセッサ実行可能命令を有するデータ・コンテナ管理コンポーネントを備え、前記第2のプロセッサで実行されるときに、前記少なくとも1つの数学的変換コンポーネントにより不明瞭化されたデータまたはメタデータがどこに格納されるかを、前記ネットワーク・サービス・プロバイダによる前記ネットワーク・サービスのデリバリに関して規定したデータ待ち時間要件、前記ネットワーク・サービスにより前記データまたは前記メタデータの記憶に関して規定されたデータ信頼性要件、前記ネットワーク・サービスにより前記データまたは前記メタデータを1つもしくは複数の要求側の装置に送信することに関して規定したデータ消費要件からの距離、または前記ネットワーク・サービスによるデータまたはメタデータの記憶に関して規定されたデータ・スケール要件に基づいて管理する、ネットワーク・サービス・プロバイダと、
を備え、
前記第1のコンピューティング装置、前記第2のコンピューティング装置、および前記ネットワーク・サービス・プロバイダが別個のものであり、
前記鍵情報が、前記少なくとも1つの数学的変換コンポーネントにより暗号化された前記データまたは前記メタデータに関してアクセス権限を規定するケイパビリティ情報を含むことを特徴とする、
システム。 - 請求項9に記載のシステムにおいて、更に、
前記数学的変換コンポーネントを暗号技術コンポーネントとして提供する暗号技術プロバイダを備え、
前記生成器が鍵生成器である、システム。 - 請求項10に記載のシステムにおいて、
前記データまたは前記メタデータが前記暗号技術コンポーネントによって暗号化され、
前記データ・コンテナ管理コンポーネントが、前記暗号技術コンポーネントにより暗号化された前記データまたは前記メタデータがどこに格納されるかを管理する、システム。 - 前記ケイパビリティ情報を結合することにより、最新のアクセス権限が所与のサブスクライバに付与されることを特徴とする請求項9に記載のシステム。
- コンピューティング・システムであって、
選択的にアクセス可能なデータまたはメタデータをパブリッシュするパブリッシャと、
前記選択的にアクセス可能なデータまたはメタデータを格納する少なくとも1つのデータ記憶と、
前記パブリッシュされたデータまたはメタデータに適用可能な暗号鍵情報を生成する第1の独立した装置と、
第2の独立した装置であって、前記パブリッシュされたデータまたはメタデータをデータ記憶のセットにわたり分散する前に前記パブリッシュされたデータまたはメタデータを前記暗号鍵情報に基づいて暗号化すると共に、前記パブリッシュされたデータまたはメタデータを格納する前記データ記憶のセットについての知識を前記暗号鍵情報なしには開示できない秘密のものとして維持する、第2の独立した装置と、
前記パブリッシャにより付与された選択された権限に基づいて、前記ネットワーク・サービスへの所与の要求に対してパブリッシュされた前記データまたはメタデータへの選択的なアクセスを提供するネットワーク・サービスと、
を備え、
前記データ記憶が複数のコンテナを備え、前記パブリッシュされたデータまたはメタデータが複数のコンテナの内少なくとも1つのコンテナにわたり自動的に分散され、
前記データ記憶が、異なるコンテナ・タイプから成る複数のコンテナを備え、
前記暗号鍵情報が、前記複数のコンテナにわたり前記データを再アセンブルするためのデータ・マップであり、
前記パブリッシュされたデータまたはメタデータが、前記複数のコンテナによって提示された記憶リソースについてのリアルタイムの分析に基づいて自動的に分散される
ことを特徴とする、システム。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US26159809P | 2009-11-16 | 2009-11-16 | |
| US61/261,598 | 2009-11-16 | ||
| US12/817,487 | 2010-06-17 | ||
| US12/817,487 US8468345B2 (en) | 2009-11-16 | 2010-06-17 | Containerless data for trustworthy computing and data services |
| PCT/US2010/054697 WO2011059810A2 (en) | 2009-11-16 | 2010-10-29 | Containerless data for trustworthy computing and data services |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2013511103A JP2013511103A (ja) | 2013-03-28 |
| JP2013511103A5 JP2013511103A5 (ja) | 2013-12-12 |
| JP5754655B2 true JP5754655B2 (ja) | 2015-07-29 |
Family
ID=43992326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012539921A Active JP5754655B2 (ja) | 2009-11-16 | 2010-10-29 | 信頼できるコンピューティング・サービスとデータ・サービスのためのコンテナを利用しないデータ |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US8468345B2 (ja) |
| EP (1) | EP2502152A4 (ja) |
| JP (1) | JP5754655B2 (ja) |
| CN (1) | CN102687133B (ja) |
| HK (1) | HK1173794A1 (ja) |
| WO (1) | WO2011059810A2 (ja) |
Families Citing this family (101)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8468345B2 (en) | 2009-11-16 | 2013-06-18 | Microsoft Corporation | Containerless data for trustworthy computing and data services |
| US9537650B2 (en) | 2009-12-15 | 2017-01-03 | Microsoft Technology Licensing, Llc | Verifiable trust for data through wrapper composition |
| US10348693B2 (en) * | 2009-12-15 | 2019-07-09 | Microsoft Technology Licensing, Llc | Trustworthy extensible markup language for trustworthy computing and data services |
| US9389895B2 (en) * | 2009-12-17 | 2016-07-12 | Microsoft Technology Licensing, Llc | Virtual storage target offload techniques |
| US8751789B2 (en) * | 2010-09-17 | 2014-06-10 | International Business Machines Corporation | General purpose distributed encrypted file system |
| US8880905B2 (en) * | 2010-10-27 | 2014-11-04 | Apple Inc. | Methods for processing private metadata |
| US8401186B2 (en) * | 2010-11-29 | 2013-03-19 | Beijing Z&W Technology Consulting Co., Ltd. | Cloud storage data access method, apparatus and system based on OTP |
| US9483398B2 (en) * | 2010-11-29 | 2016-11-01 | International Business Machines Corporation | Partitioning data for storage in a dispersed storage network |
| US8667592B2 (en) * | 2011-03-15 | 2014-03-04 | Symantec Corporation | Systems and methods for looking up anti-malware metadata |
| US20120284474A1 (en) * | 2011-05-06 | 2012-11-08 | International Business Machines Corporation | Enabling recovery during data defragmentation |
| US8769705B2 (en) * | 2011-06-10 | 2014-07-01 | Futurewei Technologies, Inc. | Method for flexible data protection with dynamically authorized data receivers in a content network or in cloud storage and content delivery services |
| KR20130040065A (ko) * | 2011-10-13 | 2013-04-23 | 삼성전자주식회사 | 전자 장치 및 그 암호화 방법 |
| WO2013096758A1 (en) * | 2011-12-21 | 2013-06-27 | Akamai Technologies, Inc. | Security policy editor |
| EP3068102B1 (en) | 2011-12-29 | 2017-11-08 | Koninklijke KPN N.V. | Network-initiated content streaming control |
| US8904171B2 (en) * | 2011-12-30 | 2014-12-02 | Ricoh Co., Ltd. | Secure search and retrieval |
| US9542536B2 (en) * | 2012-01-13 | 2017-01-10 | Microsoft Technology Licensing, Llc | Sustained data protection |
| US9148419B2 (en) | 2012-02-13 | 2015-09-29 | PivotCloud, Inc. | User administering a trustworthy workspace |
| US9092780B2 (en) | 2012-02-13 | 2015-07-28 | PivotCloud, Inc. | User-mediator monitoring and controlling access to electronic content |
| US9172711B2 (en) | 2012-02-13 | 2015-10-27 | PivotCloud, Inc. | Originator publishing an attestation of a statement |
| US8875234B2 (en) | 2012-09-13 | 2014-10-28 | PivotCloud, Inc. | Operator provisioning of a trustworthy workspace to a subscriber |
| US8731203B2 (en) | 2012-02-13 | 2014-05-20 | Alephcloud Systems, Inc. | Securing a secret of a user |
| US9219715B2 (en) | 2012-02-13 | 2015-12-22 | PivotCloud, Inc. | Mediator utilizing electronic content to enforce policies to a resource |
| US8681992B2 (en) | 2012-02-13 | 2014-03-25 | Alephcloud Systems, Inc. | Monitoring and controlling access to electronic content |
| US20130290531A1 (en) * | 2012-04-27 | 2013-10-31 | Microsoft Corporation | Providing client and service compatibility through cloud-hosted adapters |
| US9251114B1 (en) | 2012-10-12 | 2016-02-02 | Egnyte, Inc. | Systems and methods for facilitating access to private files using a cloud storage system |
| US9436834B1 (en) * | 2012-11-30 | 2016-09-06 | Emc Corporation | Techniques using an encryption tier property in a multi-tiered storage environment |
| CN103873236B (zh) * | 2012-12-12 | 2017-03-08 | 华为技术有限公司 | 一种可搜索加密方法及设备 |
| US9846784B1 (en) * | 2013-02-26 | 2017-12-19 | Rockwell Collins, Inc. | Multi-level storage system and method |
| CN104065680B (zh) * | 2013-03-21 | 2017-03-08 | 华为终端有限公司 | 信息处理方法、检索方法、装置、用户终端及服务器 |
| US9560019B2 (en) | 2013-04-10 | 2017-01-31 | International Business Machines Corporation | Method and system for managing security in a computing environment |
| CN103259787B (zh) * | 2013-04-18 | 2017-05-10 | 银江股份有限公司 | 一种基于json协议包的医疗领域云及端安全交互方法 |
| US9135454B2 (en) * | 2013-05-31 | 2015-09-15 | Alcatel Lucent | Systems and methods for enabling searchable encryption |
| JP5976932B2 (ja) * | 2013-06-18 | 2016-08-24 | 株式会社日立製作所 | 保持数検証システム |
| US9552492B2 (en) | 2013-08-01 | 2017-01-24 | Bitglass, Inc. | Secure application access system |
| US9553867B2 (en) | 2013-08-01 | 2017-01-24 | Bitglass, Inc. | Secure application access system |
| US9047480B2 (en) * | 2013-08-01 | 2015-06-02 | Bitglass, Inc. | Secure application access system |
| US10122714B2 (en) | 2013-08-01 | 2018-11-06 | Bitglass, Inc. | Secure user credential access system |
| WO2015026785A2 (en) * | 2013-08-19 | 2015-02-26 | Jacobus Erasmus Van Der Merwe | Programmable data network management and operation |
| US9384362B2 (en) | 2013-10-14 | 2016-07-05 | Intuit Inc. | Method and system for distributing secrets |
| US9396338B2 (en) | 2013-10-15 | 2016-07-19 | Intuit Inc. | Method and system for providing a secure secrets proxy |
| US9355271B2 (en) | 2013-10-18 | 2016-05-31 | Robert Bosch Gmbh | System and method for dynamic, non-interactive, and parallelizable searchable symmetric encryption |
| US20150121244A1 (en) * | 2013-10-31 | 2015-04-30 | Hewlett-Packard Development Company, L.P. | Building a Realized Topology with a Binding Document |
| US9894069B2 (en) * | 2013-11-01 | 2018-02-13 | Intuit Inc. | Method and system for automatically managing secret application and maintenance |
| US9444818B2 (en) | 2013-11-01 | 2016-09-13 | Intuit Inc. | Method and system for automatically managing secure communications in multiple communications jurisdiction zones |
| US9467477B2 (en) | 2013-11-06 | 2016-10-11 | Intuit Inc. | Method and system for automatically managing secrets in multiple data security jurisdiction zones |
| US9282122B2 (en) | 2014-04-30 | 2016-03-08 | Intuit Inc. | Method and apparatus for multi-tenancy secrets management |
| US20150127770A1 (en) * | 2013-11-06 | 2015-05-07 | Pax8, Inc. | Distributed Cloud Disk Service Provisioning and Management |
| US9519696B1 (en) | 2014-01-07 | 2016-12-13 | Amazon Technologies, Inc. | Data transformation policies |
| US10331895B1 (en) * | 2014-01-07 | 2019-06-25 | Amazon Technologies, Inc. | Forced data transformation policy |
| US10218703B2 (en) | 2014-01-20 | 2019-02-26 | Hewlett-Packard Development Company, L.P. | Determining a permission of a first tenant with respect to a second tenant |
| US20160335338A1 (en) * | 2014-01-20 | 2016-11-17 | Hewlett-Packard Development Company, L.P. | Controlling replication of identity information |
| WO2015108537A1 (en) | 2014-01-20 | 2015-07-23 | Hewlett-Packard Development Company, L.P. | Identity information including a schemaless portion |
| US10372483B2 (en) | 2014-01-20 | 2019-08-06 | Hewlett-Packard Development Company, L.P. | Mapping tenat groups to identity management classes |
| WO2015131394A1 (en) * | 2014-03-07 | 2015-09-11 | Nokia Technologies Oy | Method and apparatus for verifying processed data |
| US20150271267A1 (en) * | 2014-03-24 | 2015-09-24 | Palo Alto Research Center Incorporated | Content-oriented federated object store |
| EP3213457A4 (en) | 2014-10-27 | 2018-06-13 | Hewlett-Packard Enterprise Development LP | Key splitting |
| US10545915B2 (en) * | 2015-02-02 | 2020-01-28 | Quantum Corporation | Recursive multi-threaded file system scanner for serializing file system metadata exoskeleton |
| US10176207B1 (en) | 2015-06-09 | 2019-01-08 | Skyhigh Networks, Llc | Wildcard search in encrypted text |
| US10404669B2 (en) | 2015-06-09 | 2019-09-03 | Skyhigh Networks, Llc | Wildcard search in encrypted text |
| US10083315B2 (en) | 2015-06-29 | 2018-09-25 | Microsoft Technology Licensing, Llc | Privacy enhanced personal search index |
| US10509768B2 (en) | 2015-06-30 | 2019-12-17 | Siemens Aktiengesellschaft | Method and system for secure data storage and retrieval from cloud based service environment |
| US9894042B2 (en) * | 2015-07-24 | 2018-02-13 | Skyhigh Networks, Inc. | Searchable encryption enabling encrypted search based on document type |
| US20170039376A1 (en) | 2015-08-05 | 2017-02-09 | Dell Products L.P. | Systems and methods for providing secure data |
| CN106936579A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息股份有限公司 | 基于可信第三方代理的云存储数据存储及读取方法 |
| US9992175B2 (en) * | 2016-01-08 | 2018-06-05 | Moneygram International, Inc. | Systems and method for providing a data security service |
| US10320844B2 (en) * | 2016-01-13 | 2019-06-11 | Microsoft Technology Licensing, Llc | Restricting access to public cloud SaaS applications to a single organization |
| CN106161437B (zh) * | 2016-06-28 | 2019-08-20 | 电子科技大学 | 一种基于ElGamal的高效的可搜索公钥加密方案 |
| US11157641B2 (en) * | 2016-07-01 | 2021-10-26 | Microsoft Technology Licensing, Llc | Short-circuit data access |
| US10257197B2 (en) * | 2016-07-14 | 2019-04-09 | Sap Se | Private data access controls in mobile applications |
| WO2018052726A1 (en) | 2016-09-15 | 2018-03-22 | Nuts Holdings, Llc | Encrypted userdata transit and storage |
| CN106375332A (zh) * | 2016-09-23 | 2017-02-01 | 北京巨龟科技有限责任公司 | 网络安全浏览方法及装置 |
| JP6781373B2 (ja) * | 2016-10-05 | 2020-11-04 | 富士通株式会社 | 検索プログラム、検索方法、および検索装置 |
| CN106559421B (zh) * | 2016-11-08 | 2019-09-10 | 北京科技大学 | 一种云计算环境下数据对象的访问控制方法及系统 |
| US10346189B2 (en) * | 2016-12-05 | 2019-07-09 | Red Hat, Inc. | Co-locating containers based on source to improve compute density |
| US10396997B2 (en) | 2016-12-14 | 2019-08-27 | International Business Machines Corporation | Container-based operating system and method |
| US10592664B2 (en) | 2017-02-02 | 2020-03-17 | Cisco Technology, Inc. | Container application security and protection |
| CN108429719B (zh) * | 2017-02-14 | 2020-12-01 | 华为技术有限公司 | 密钥保护方法及装置 |
| US10936711B2 (en) * | 2017-04-18 | 2021-03-02 | Intuit Inc. | Systems and mechanism to control the lifetime of an access token dynamically based on access token use |
| US10749740B2 (en) * | 2017-10-31 | 2020-08-18 | Hewlett Packard Enterprise Development Lp | Deploying network-based cloud platforms on end equipment |
| US10635829B1 (en) | 2017-11-28 | 2020-04-28 | Intuit Inc. | Method and system for granting permissions to parties within an organization |
| US10728241B2 (en) * | 2018-01-26 | 2020-07-28 | Jumio Corporation | Triage engine for document authentication |
| CN108600201B (zh) * | 2018-04-09 | 2021-11-02 | 东华大学 | 一种云存储完整性验证的数据标签的远程安全更换方法 |
| SG11202010188PA (en) * | 2018-05-28 | 2020-11-27 | Royal Bank Of Canada | System and method for secure electronic transaction platform |
| US11570001B1 (en) | 2018-07-12 | 2023-01-31 | Protocol Labs, Inc. | Protocols for decentralized networks |
| US10615979B1 (en) * | 2018-07-12 | 2020-04-07 | Protocol Labs, Inc. | Replication-related protocols for decentralized networks |
| US11245528B1 (en) | 2018-11-19 | 2022-02-08 | Protocol Labs, Inc. | Protocols for decentralized networks |
| US11119980B2 (en) * | 2018-11-30 | 2021-09-14 | International Business Machines Corporation | Self-learning operational database management |
| CN110022309B (zh) * | 2019-03-12 | 2022-03-15 | 青岛大学 | 一种移动云计算系统中安全高效的数据共享方法 |
| KR20220140639A (ko) * | 2019-05-22 | 2022-10-18 | 묘타, 인크. | 보안, 복원, 및 제어가 강화된 분산된 데이터 스토리지를 위한 방법 및 시스템 |
| US11482005B2 (en) * | 2019-05-28 | 2022-10-25 | Apple Inc. | Techniques for secure video frame management |
| WO2021040784A1 (en) * | 2019-08-30 | 2021-03-04 | Visa International Service Association | Gateway agnostic tokenization |
| US11228423B2 (en) | 2020-01-12 | 2022-01-18 | Advanced New Technologies Co., Ltd. | Method and device for security assessment of encryption models |
| US11558192B2 (en) | 2020-04-09 | 2023-01-17 | Nuts Holdings, Llc | NUTS: flexible hierarchy object graphs |
| KR102382850B1 (ko) * | 2020-04-29 | 2022-04-05 | 주식회사 쓰리케이소프트 | Xml 웹문서 보안 방법 |
| US11693628B2 (en) * | 2020-05-07 | 2023-07-04 | Sap Se | Trustworthy application integration |
| WO2021225687A1 (en) | 2020-05-08 | 2021-11-11 | Bold Limited | Systems and methods for creating enhanced documents for perfect automated parsing |
| US11188707B1 (en) | 2020-05-08 | 2021-11-30 | Bold Limited | Systems and methods for creating enhanced documents for perfect automated parsing |
| CN111586062A (zh) * | 2020-05-11 | 2020-08-25 | 广州中科智巡科技有限公司 | 一种标注管理方法及系统 |
| US12015720B2 (en) | 2020-11-18 | 2024-06-18 | Visa International Service Association | Integrating identity tokens and privacy-preserving identity attribute attestations into interactions |
| US12074962B2 (en) | 2021-08-10 | 2024-08-27 | Samsung Electronics Co., Ltd. | Systems, methods, and apparatus for dividing and encrypting data |
| US20230179599A1 (en) * | 2021-12-07 | 2023-06-08 | Sap Se | Multiple vendor authorization |
Family Cites Families (72)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2661551B2 (ja) * | 1994-07-13 | 1997-10-08 | 日本電気株式会社 | 無線lanシステム |
| US6820807B1 (en) * | 1996-03-01 | 2004-11-23 | Cobblestone Software, Inc. | Variable formatting of digital data into a pattern |
| US6161181A (en) | 1998-03-06 | 2000-12-12 | Deloitte & Touche Usa Llp | Secure electronic transactions using a trusted intermediary |
| US7246246B2 (en) * | 1998-04-17 | 2007-07-17 | Iomega Corporation | System for keying protected electronic data to particular media to prevent unauthorized copying using a compound key |
| US6941459B1 (en) | 1999-10-21 | 2005-09-06 | International Business Machines Corporation | Selective data encryption using style sheet processing for decryption by a key recovery agent |
| US6931532B1 (en) | 1999-10-21 | 2005-08-16 | International Business Machines Corporation | Selective data encryption using style sheet processing |
| US6868160B1 (en) * | 1999-11-08 | 2005-03-15 | Bellsouth Intellectual Property Corporation | System and method for providing secure sharing of electronic data |
| US7296163B2 (en) * | 2000-02-08 | 2007-11-13 | The Trustees Of Dartmouth College | System and methods for encrypted execution of computer programs |
| US6675355B1 (en) | 2000-03-16 | 2004-01-06 | Autodesk, Inc. | Redline extensible markup language (XML) schema |
| US6792466B1 (en) | 2000-05-09 | 2004-09-14 | Sun Microsystems, Inc. | Trusted construction of message endpoints in a distributed computing environment |
| CN1300677C (zh) | 2000-06-22 | 2007-02-14 | 微软公司 | 分布式计算服务平台 |
| JP4626033B2 (ja) * | 2000-08-31 | 2011-02-02 | ソニー株式会社 | 公開鍵証明書利用システム、公開鍵証明書利用方法、および情報処理装置、並びにプログラム提供媒体 |
| TWI280488B (en) | 2000-09-29 | 2007-05-01 | Victor Hsieh | Online intelligent information comparison agent of multilingual electronic data sources over inter-connected computer networks |
| US20040078577A1 (en) * | 2000-12-04 | 2004-04-22 | Peirong Feng | Method and apparatus for providing xml document encryption |
| US7496767B2 (en) | 2001-01-19 | 2009-02-24 | Xerox Corporation | Secure content objects |
| US7020645B2 (en) | 2001-04-19 | 2006-03-28 | Eoriginal, Inc. | Systems and methods for state-less authentication |
| US7463890B2 (en) * | 2002-07-24 | 2008-12-09 | Herz Frederick S M | Method and apparatus for establishing ad hoc communications pathways between source and destination nodes in a communications network |
| US7103773B2 (en) | 2001-10-26 | 2006-09-05 | Hewlett-Packard Development Company, L.P. | Message exchange in an information technology network |
| US7162451B2 (en) | 2001-11-30 | 2007-01-09 | International Business Machines Corporation | Information content distribution based on privacy and/or personal information |
| US7921288B1 (en) * | 2001-12-12 | 2011-04-05 | Hildebrand Hal S | System and method for providing different levels of key security for controlling access to secured items |
| US7921284B1 (en) | 2001-12-12 | 2011-04-05 | Gary Mark Kinghorn | Method and system for protecting electronic data in enterprise environment |
| US7380120B1 (en) | 2001-12-12 | 2008-05-27 | Guardian Data Storage, Llc | Secured data format for access control |
| US7178033B1 (en) | 2001-12-12 | 2007-02-13 | Pss Systems, Inc. | Method and apparatus for securing digital assets |
| US8375113B2 (en) | 2002-07-11 | 2013-02-12 | Oracle International Corporation | Employing wrapper profiles |
| JP2004234344A (ja) * | 2003-01-30 | 2004-08-19 | Kddi Corp | データベースアクセスシステム |
| GB2398712B (en) * | 2003-01-31 | 2006-06-28 | Hewlett Packard Development Co | Privacy management of personal data |
| US7444620B2 (en) * | 2003-02-28 | 2008-10-28 | Bea Systems, Inc. | Systems and methods for a common runtime container framework |
| CA2519116C (en) * | 2003-03-13 | 2012-11-13 | Drm Technologies, Llc | Secure streaming container |
| US7418600B2 (en) | 2003-03-13 | 2008-08-26 | International Business Machines Corporation | Secure database access through partial encryption |
| GB2404537B (en) | 2003-07-31 | 2007-03-14 | Hewlett Packard Development Co | Controlling access to data |
| US7515717B2 (en) | 2003-07-31 | 2009-04-07 | International Business Machines Corporation | Security containers for document components |
| US8103004B2 (en) * | 2003-10-03 | 2012-01-24 | Sony Corporation | Method, apparatus and system for use in distributed and parallel decryption |
| US20070282870A1 (en) | 2004-05-28 | 2007-12-06 | Koninklijke Philips Electronics, N.V. | Method Of And Device For Querying Of Protected Structured Data |
| US8639947B2 (en) * | 2004-06-01 | 2014-01-28 | Ben Gurion University Of The Negev Research And Development Authority | Structure preserving database encryption method and system |
| JP4587162B2 (ja) | 2004-06-04 | 2010-11-24 | キヤノン株式会社 | 情報処理装置、情報処理方法及びそのプログラム |
| CN1753359B (zh) * | 2004-09-24 | 2011-01-19 | 华为技术有限公司 | 实现传输SyncML同步数据的方法 |
| US7783899B2 (en) * | 2004-12-09 | 2010-08-24 | Palo Alto Research Center Incorporated | System and method for performing a conjunctive keyword search over encrypted data |
| CA2623141C (en) | 2005-05-13 | 2014-07-22 | Kha Sin Teow | Content cryptographic firewall system |
| US20070055629A1 (en) | 2005-09-08 | 2007-03-08 | Qualcomm Incorporated | Methods and apparatus for distributing content to support multiple customer service entities and content packagers |
| US20070101145A1 (en) | 2005-10-31 | 2007-05-03 | Axalto Inc. | Framework for obtaining cryptographically signed consent |
| US20070136200A1 (en) * | 2005-12-09 | 2007-06-14 | Microsoft Corporation | Backup broker for private, integral and affordable distributed storage |
| JP4172803B2 (ja) | 2006-01-25 | 2008-10-29 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データベースに対するアクセスを制御するシステムおよびその方法 |
| FR2898747A1 (fr) | 2006-03-15 | 2007-09-21 | Gemplus Sa | Procede de chiffrement cherchable dechiffrable, systeme pour un tel chiffrement |
| US8549492B2 (en) | 2006-04-21 | 2013-10-01 | Microsoft Corporation | Machine declarative language for formatted data processing |
| US20070283150A1 (en) | 2006-06-01 | 2007-12-06 | Kabushiki Kaisha Toshiba | System and method for secure messaging and web service communication |
| US9356935B2 (en) * | 2006-09-12 | 2016-05-31 | Adobe Systems Incorporated | Selective access to portions of digital content |
| US7730088B2 (en) | 2006-09-14 | 2010-06-01 | International Business Machines Corporation | Queriable hierarchical text data |
| US20080091613A1 (en) * | 2006-09-28 | 2008-04-17 | Microsoft Corporation | Rights management in a cloud |
| US8601598B2 (en) * | 2006-09-29 | 2013-12-03 | Microsoft Corporation | Off-premise encryption of data storage |
| US8705746B2 (en) | 2006-09-29 | 2014-04-22 | Microsoft Corporation | Data security in an off-premise environment |
| DE602007004273D1 (de) | 2006-10-13 | 2010-03-04 | Quipa Holdings Ltd | Verfahren zum Aufbau eines gesicherten virtuellen privaten Netzes zur Peer-to-Peer-Kommunikation |
| US7920700B2 (en) | 2006-10-19 | 2011-04-05 | Oracle International Corporation | System and method for data encryption |
| EP1936908A1 (en) | 2006-12-19 | 2008-06-25 | Deutsche Thomson OHG | Method, apparatus and data container for transferring high resolution audio/video data in a high speed IP network |
| US20100095115A1 (en) | 2007-01-26 | 2010-04-15 | Safenet, Inc. | File encryption while maintaining file size |
| US7693877B1 (en) * | 2007-03-23 | 2010-04-06 | Network Appliance, Inc. | Automated information lifecycle management system for network data storage |
| JP2009064055A (ja) * | 2007-09-04 | 2009-03-26 | Hitachi Ltd | 計算機システム及びセキュリティ管理方法 |
| US20090204964A1 (en) | 2007-10-12 | 2009-08-13 | Foley Peter F | Distributed trusted virtualization platform |
| US20090119757A1 (en) | 2007-11-06 | 2009-05-07 | International Business Machines Corporation | Credential Verification using Credential Repository |
| JP5365830B2 (ja) | 2008-01-29 | 2013-12-11 | 日本電気株式会社 | 利用される可能性の高い情報をキャッシュする予測型キャッシュ方法、そのシステム及びそのプログラム |
| JP5322019B2 (ja) | 2008-02-07 | 2013-10-23 | 日本電気株式会社 | 関連する情報を事前にキャッシュする予測型キャッシュ方法、そのシステム及びそのプログラム |
| US9395929B2 (en) * | 2008-04-25 | 2016-07-19 | Netapp, Inc. | Network storage server with integrated encryption, compression and deduplication capability |
| US8695006B2 (en) | 2008-05-02 | 2014-04-08 | Oracle International Corporation | Resource management method |
| CN101593196B (zh) * | 2008-05-30 | 2013-09-25 | 日电(中国)有限公司 | 用于快速密文检索的方法、装置和系统 |
| GB2461771A (en) | 2008-07-11 | 2010-01-20 | Icyte Pty Ltd | Annotation of electronic documents with preservation of document as originally annotated |
| US8413256B2 (en) * | 2008-08-26 | 2013-04-02 | Cox Communications, Inc. | Content protection and digital rights management (DRM) |
| KR101190061B1 (ko) | 2008-12-01 | 2012-10-11 | 한국전자통신연구원 | 결합 키워드를 이용한 데이터 암호화 방법 및 데이터 검색방법 |
| US8458451B2 (en) * | 2009-01-20 | 2013-06-04 | New York University | Database outsourcing with access privacy |
| US20100325155A1 (en) * | 2009-06-23 | 2010-12-23 | James Skinner | Systems and Methods for Providing Access to Various Files Across a Network |
| US8874929B2 (en) | 2009-10-27 | 2014-10-28 | Lockheed Martin Corporation | Cross domain discovery |
| US8468345B2 (en) | 2009-11-16 | 2013-06-18 | Microsoft Corporation | Containerless data for trustworthy computing and data services |
| US10348693B2 (en) | 2009-12-15 | 2019-07-09 | Microsoft Technology Licensing, Llc | Trustworthy extensible markup language for trustworthy computing and data services |
| US9537650B2 (en) | 2009-12-15 | 2017-01-03 | Microsoft Technology Licensing, Llc | Verifiable trust for data through wrapper composition |
-
2010
- 2010-06-17 US US12/817,487 patent/US8468345B2/en active Active
- 2010-10-29 JP JP2012539921A patent/JP5754655B2/ja active Active
- 2010-10-29 EP EP10830498.1A patent/EP2502152A4/en not_active Ceased
- 2010-10-29 CN CN201080051694.1A patent/CN102687133B/zh active Active
- 2010-10-29 WO PCT/US2010/054697 patent/WO2011059810A2/en active Application Filing
-
2013
- 2013-01-16 HK HK13100708.8A patent/HK1173794A1/xx not_active IP Right Cessation
- 2013-05-16 US US13/895,856 patent/US20130254539A1/en not_active Abandoned
-
2014
- 2014-12-31 US US14/588,399 patent/US10275603B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20130254539A1 (en) | 2013-09-26 |
| WO2011059810A2 (en) | 2011-05-19 |
| EP2502152A4 (en) | 2018-04-25 |
| US20150113290A1 (en) | 2015-04-23 |
| JP2013511103A (ja) | 2013-03-28 |
| US10275603B2 (en) | 2019-04-30 |
| WO2011059810A3 (en) | 2011-10-13 |
| HK1173794A1 (en) | 2013-05-24 |
| CN102687133A (zh) | 2012-09-19 |
| CN102687133B (zh) | 2014-05-07 |
| US20110119481A1 (en) | 2011-05-19 |
| EP2502152A2 (en) | 2012-09-26 |
| US8468345B2 (en) | 2013-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5754655B2 (ja) | 信頼できるコンピューティング・サービスとデータ・サービスのためのコンテナを利用しないデータ | |
| JP5639660B2 (ja) | ラッパ複合を通じたデータのための確認可能な信頼 | |
| TWI532355B (zh) | 用於可信賴計算及資料服務的可信賴可延伸標示語言 | |
| RU2531569C2 (ru) | Защищенное и конфиденциальное хранение и обработка резервных копий для доверенных сервисов вычисления и данных | |
| EP2396921B1 (en) | Trusted cloud computing and services framework | |
| EP2396922B1 (en) | Trusted cloud computing and services framework | |
| Zichichi et al. | Data governance through a multi-dlt architecture in view of the gdpr | |
| Sharma et al. | Blockchain-based distributed application for multimedia system using Hyperledger Fabric | |
| LOKESH et al. | Secure Distributed Data Storage by using Proxy Servers | |
| Saravanakumar et al. | SECURITY BASED AUDITING IN CLOUD PANEL |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20130701 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130717 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131023 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131023 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140530 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140609 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140826 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20141205 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150406 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20150413 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150427 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20150508 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150514 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5754655 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |