本发明专利技术公开了作为服务的应用程序编程接口代理服务的服务代理,其可涉及数据存储。当存储数据的请求由所述服务代理接收时,所述服务代理加密所述数据并且将加密形式的所述数据存储在所述服务处。类似地,当检索数据的请求由所述服务代理接收时,所述服务代理从所述服务获取加密数据并且对所述数据进行解密。所述数据可使用保持不可由所述服务访问的密钥来加密。
【技术实现步骤摘要】
【国外来华专利技术】【专利说明】虚拟服务提供商存储区 相关申请的交叉引用 本申请要求均于2013年7月1日提交的共同未决的美国专利申请号13/932,824和 13/932,872的优先权,运些申请的内容W引用的方式全部并入本文。本申请出于所有目的 W引用的方式并入于2013年4月9日公布的标题为"NETWORK DATA TRANSMISSION ANALYSIS MANAGEMENT"的美国专利号8,416,709,于2012年7月7日提交的标题为叩LEXIBLY CONFIGURABLE DATA MODIFICATION 沈RVICES"的美国专利申请号 13/491,403,于2013年2 月12日提交的标题为"DATA SECimTY SERVICE"的美国专利申请号13/764,963,W及于 2013年7月1日提交的标题为"DATA LOSS PREVENTION TECHNIQ肥S"(代理人案号0097749-051US0)的美国专利申请号13/932,872的全部公开。
技术介绍
在许多语境中,计算资源和相关数据的安全性非常重要。例如,组织通常利用计算 设备的网络来向它们的用户提供一组稳健的服务。网络通常跨多个地理边界并通常与其他 网络连接。例如,组织可W支持其使用计算资源的内部网络和由其他人管理的计算资源两 者进行的操作。例如,组织的计算机可W在使用另一个组织的服务的同时与其他组织的计 算机通信W访问和/或提供数据。组织可W利用复合数据存储系统W有效并成本效益地存 储数据。在许多情况下,组织配置并利用由其他组织托管和管理的数据存储系统,从而降低 基础设施成本并实现其他优点。运些数据存储系统和其他服务可W在各自具有它们自己的 规章制度的多个不同的司法管辖权下操作。通过要管理的计算资源的运种复合使用,确保 对数据的访问被授权并且总体上数据是安全的可能具有挑战性,尤其是随着此类配置的大 小和复杂性的增长。 附图简述 将参照附图描述根据本公开的各个实施方案,在附图中: 图1示出其中可W实践各个实施方案的环境的说明性实例; 图2示出其中可W实践各个实施方案的环境的说明性实例;[000引图3示出其中可W实践各个实施方案的环境的说明性实例; 图4示出其中可W实践各个实施方案的另一个环境的说明性实例; 图5示出根据至少一个实施方案的密码服务的说明性实例; 图6示出用于根据至少一个实施方案处理数据请求的过程的说明性实例; 图7示出用于根据至少一个实施方案处理对数据密钥进行解密的请求的过程的说 明性实例; 图8示出用于根据至少一个实施方案处理存储数据的请求的过程的说明性实例; 图9示出用于根据至少一个实施方案处理检索数据的请求的说明性实例; 图10示出根据至少一个实施方案的数据库表转换的说明性实例; 图11示出根据至少一个实施方案的处理数据库查询的过程的说明性实例; 图12示出其中可W实践各个实施方案的环境的说明性实例; 图13示出用于根据至少一个实施方案存储客户数据的过程的说明性实例; 图14示出用于根据至少一个实施方案运用一个或多个数据遗失预防技术的过程 的说明性实例;并且 图15示出其中可W实现各个实施方案的环境。 详细说明 在W下描述中,将描述各个实施方案。出于解释的目的,将阐述具体的配置和细 节,W便提供实施方案的透彻理解。然而,对本领域的技术人员将是显而易见的是,没有具 体细节的情况下也可W实践实施方案。此外,为了不使所描述的实施方案晦涩,可能会省略 或简化众所周知的特征。 本文描述和建议的技术提供了运样的能力:在各个存储区中提供各种计算资源服 务如数据存储服务,而无需在运些存储区中建立完整的基础设施。在一些实例中,存储区相 当于不同地缘政治边界中的设施。各个地理区域可W具有它们自己的关于其他人的数据的 处置的规则、法律和/或法规。例如,一条法规可W要求某些类型的数据保留在国家中。类似 的法规可W在多个地理区域中生效。同时,许多组织发现了利用各种计算资源服务是有利 的。此类服务并不是在所有司法管辖区中都可获得或更好地和/或更多的经济服务可被提 供在其他区域中。 在许多情况下,遵守此类法规可W通过在数据离开规定的司法管辖区之前加密数 据来实现。因此,本公开的技术允许在维持遵守不同的规则、法律和/或法规的同时向多个 地理区域提供各种数据相关的服务。总体上,本文描述和建议的技术允许在多个存储区中 提供服务,其中所述存储区可W但未必相当于不同的主权实体。例如,不同的存储区可W是 由不同实体管制的不同计算机网络,不管运些实体是主权实体的政府机构、公司、组织、组 织内部的部口、个体和/或其他。在下文中更详细地讨论了其他实例存储区。 在各个实施方案中,在一个存储区中提供了服务接口,如网页服务接口。在一些实 例中,服务在因特网接入点(PoP)中操作。服务接口可W作为用于一种服务的虚拟应用程序 编程接口(API)终端操作,所述服务的支撑的基础设施在另一个存储区中(例如,在另一个 政治(法律)管辖区下)。因此,服务接口可W操作来接收并响应提交给服务接口的请求,同 时完成一些或甚至所有请求可W要求使用另一个存储区中的基础设施。W运种方式,客户 可W利用服务接口来利用服务,等同于客户在利用在存储区中具有完全支撑的基础设施的 服务。换句话说,从客户的角度来看,计算资源在多个存储区中提供服务的实例,但是在后 台,使用另一个存储区的服务的实例,特定存储区的请求的处理可W至少部分地发生。例 如,存储数据的网页服务请求可由服务接口通过将用于持久存储的数据传输给另一个存储 区中的服务来完成。类似地,数据检索请求可W通过检索持久存储在另一个存储区中的服 务的基础设施中的数据来完成。W运种方式,不需要构造并维持用于每个存储区的完整基 础设施,其中在某些类型的信息输出上可能存在法律限制。 为了遵守各种规则、法律、法规和/或优先权,可W使用维持在服务接口的存储区 内和/或总体上在支撑的服务基础设施的存储区外的存储区中的密码密钥来加密通过服务 接口传递至另一个存储区中的服务的一些或甚至所有数据。W运种方式,尽管在支撑的服 务基础设施的存储区中,但是数据是安全的,并且在未访问另一个存储区中的适当密码密 钥的情况下是不可访问的。所加密数据可W被总体或选择性加密。所加密数据还可W由数 据代表其存储的客户配置。另外,所加密数据w及数据是否被加密可w根据一个或多个数 据遗失预防(DLP)规则来确定。另外,尽管本公开的各个说明性实施方案出于说明的目的利 用加密术,但是还可W使用各种其他技术。例如,本文描述的各种技术包括数据的各种操纵 (识别编码),其中有待运用的识别编码的类型可W是客户可配置的。 回到数据加密的说明性实例,在一些实施方案中,作为API代理操作的服务接口利 用相同存储区内的密码服务。密码服务可W安全地管理用于加密和解密并可能地用于执行 其他密码操作如信息签名的密码密钥。当数据有待被加密时,服务接口可W利用密码服务 来在数据被传输至另一个存储区中的另一个服务之前加密数据。类似地,当数据有待被加 密时,服务接口可W利用密码服务来对数据进行解密。W下呈现其中可W利用密码服务的 说明性方式。可在于2013年2月12日提交的标题为"DATA 本文档来自技高网...
【技术保护点】
一种系统,其包括:一个或多个处理器;以及包括计算机可执行指令的存储器,当由所述一个或多个处理器执行时,所述指令促使所述系统:操作请求通过网络向其可提交的应用程序编程接口;针对提交给所述应用程序编程接口的至少多个请求的每个第一请求,至少通过下列各项处理所述第一请求:使用密钥来对处理所述第一请求中涉及的数据执行一个或多个密码操作;以及跨网络将第二请求传输至服务,其促使所述服务来对加密形式的所述数据执行一个或多个操作,所述服务缺乏对所述密钥的访问权并且被配置来能够独立地处理所述第一请求。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:G·B·罗斯,E·J·布兰德怀恩,M·J·雷恩,
申请(专利权)人:亚马逊技术股份有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。