访问主权制造技术

一种用于访问客户数据(50)的方法(400)包括接收请求访问存储在存储抽象(150)上的客户数据的访问请求(302)。访问请求包括规定请求访问客户数据的目的/原因的理由(204)。该方法还包括验证该理由，并且在验证该理由之后，将该理由发送到与客户数据的客户相关联的外部密钥管理服务(180)。外部密钥管理服务被配置为基于该理由授权或拒绝对客户数据的访问。该方法还包括：当外部密钥管理服务授权访问客户数据时，从外部密钥管理服务接收被认可的访问令牌(310)；以及使用从外部密钥管理服务接收的被认可的访问令牌来访问存储抽象上存储的客户数据。客户数据。客户数据。

【技术实现步骤摘要】
【国外来华专利技术】访问主权


[0001]本公开涉及访问主权。

技术介绍

[0002]云服务提供商(CSP)在云端提供网络服务、基础设施或业务应用程序。使用CSP的好处在于效率和规模经济。个人和公司无需构建自己的基础架构来支持内部服务和应用程序，而是可以从提供共享基础架构服务的CSP购买这些服务。
[0003]云服务通常托管在数据中心，客户可以使用网络连接访问该数据中心。CSP可以“在云端”使用多种不同形式的服务，包括软件，通常称为软件即服务(SaaS)，用于开发或托管应用程序的计算平台，称为平台即服务(PaaS)或整个网络或计算基础设施，称为基础设施即服务(IaaS)。然而，这些划分并不总是明确的。

技术实现思路

[0004]本公开的方面涉及访问所存储的数据。本专利技术的一个方面提供了一种授权访问客户数据的方法。该方法包括在数据处理硬件处接收请求访问存储在与数据处理硬件通信的存储抽象上的客户数据的访问请求，该访问请求包括规定请求访问客户数据的目的/原因的理由。该方法还包括由数据处理硬件验证该理由。在验证该理由之后，该方法包括由数据处理硬件本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种方法(400)，其特征在于，包括：在数据处理硬件(144)处接收访问请求(302)，所述访问请求(302)请求访问存储在与所述数据处理硬件(144)通信的存储抽象(150)上的客户数据(50)，所述访问请求(302)包括规定请求访问所述客户数据(50)的目的/原因的理由(204)；由所述数据处理硬件(144)验证所述理由(204)；所述数据处理硬件(144)在验证了所述理由(204)之后，将所述理由(204)发送到与所述客户数据(50)的客户相关联并且与所述数据处理硬件(144)通信的外部密钥管理服务(180)，所述外部密钥管理服务(180)被配置为基于所述理由(204)来授权对所述客户数据(50)的访问或拒绝对所述客户数据(50)的访问中的一个；当所述外部密钥管理服务(180)授权访问所述客户数据(50)时，在所述数据处理硬件(144)处从所述外部密钥管理服务(180)接收被认可的访问令牌(310)；和由所述数据处理硬件(144)使用从所述外部密钥管理服务(180)接收到的所述被认可的访问令牌(310)来访问存储在所述存储抽象(150)上的所述客户数据(50)。2.根据权利要求1所述的方法(400)，其特征在于，所述被认可的访问令牌(310)包括用于访问存储在所述存储抽象(150)上的所述客户数据(50)的客户侧密码密钥(121)或所述客户侧密码密钥(121)的标识符。3.根据权利要求2所述的方法(400)，其特征在于，访问存储在所述存储抽象(150)上的所述客户数据(50)包括：使用所述客户侧密码密钥(121)来解密存储在所述存储抽象(150)上的所述客户数据(50)。4.根据权利要求1
‑
3中任一项所述的方法(400)，其特征在于，所述被认可的访问令牌(310)在预定时间段(311)内有效。5.根据权利要求4所述的方法(400)，其特征在于，所述方法(400)还包括：响应于(350)接收到的所述被认可的访问令牌(310)，如果当前时间在所述预定时间段(311)之外，则由所述数据处理硬件(144)拒绝对所述客户数据(50)的访问。6.根据权利要求1
‑
5中任一项所述的方法(400)，其特征在于，接收到的所述访问请求(302)还包括与所述访问请求(302)的请求者(20)相关联的证书(202)，所述证书(202)包括用户标识符、组标识符、服务标识符、访问角色或域地址。7.根据权利要求6所述的方法(400)，其特征在于，验证所述理由(204)还包括：验证所述访问请求(302)的所述证书(202)。8.根据权利要求6或7所述的方法(400)，其特征在于：所述外部密钥管理服务(180)包括用于访问存储在所述存储抽象(150)上的所述客户数据(50)的被认可的证书(202)的列表；以及所述外部密钥管理服务(180)被配置为当所述访问请求(302)的所述证书(202)与所述被认可的证书(202)的列表中的所述被认可的证书(202)中的一个相匹配时，授权对所述客户数据(50)的访问。9.根据权利要求1
‑
8中任一项所述的方法(400)，其特征在于，验证所述理由(204)包括：验证所述理由(204)的数据结构。10.根据权利要求1
‑
9中任一项所述的方法(400)，其特征在于，所述外部密钥管理服务(180)被配置为，当所述理由(204)满足与所述客户数据(50)相关联的安全策略(200)时，授
权对所述客户数据(50)的访问。11.根据权利要求10所述的方法(400)，其特征在于，所述安全策略(200)定义以下至少一个：用于访问存储在所述存储抽象(150)上的所述客户数据(50)的所述被认可的证书(202)的列表；或用于访问存储在所述存储抽象(150)上的所述客户数据(50)的被认可的目的/原因的列表。12.根据权利要求1
‑
11中任一项所述的方法(400)，其特征在于，还包括：在访问存储在所述存储抽象(150)上存储的所述客户数据(50)之后，由所述数据处理硬件(144)将所述结果(320)发送到与所述客户数据(50)的所述客户相关联的客户设备(110)，所述结果(320)通知所述客户所述客户数据(50)被访问了。13.根据权利要求1
‑
12中任一项所述的方法(400)，其特征在于，防止所述数据处理硬件(144)在没有所述被认可的访问令牌(310)的情况下访问所述客户数据(50)。14.根据权利要求1
‑
13中任一项所述的方法(400)，其特征在于，所述外部密钥管理服务(180)在与所述客户数据(50)的所述客户相关联并且与所述数据处理硬件(144)通信的远程的客户设备(110)上执行。15.一种系统(100)，其特征...

【专利技术属性】
技术研发人员：约瑟夫，
申请(专利权)人：谷歌有限责任公司，
类型：发明
国别省市：