用于云数据安全的系统及方法
【专利说明】用于云数据安全的系统及方法
[0001 ]优先权要求本申请要求于2013年3月4日提交的美国临时申请序列号61/772,397的权益。
技术领域
[0002]本公开涉及用于计算机安全的系统及方法,并且更具体地,涉及用于提供关于基于云的服务的数据安全的系统及方法。
【背景技术】
[0003]当评价新的重要的软件即服务(SaaS)平台时在客户中听到的常见的说法是缺乏对服务的信任。例如,如果使用云存储系统,则客户必须信任服务供应商以提供用于保护由供应商存储的客户数据的足够的安全装置和安全措施。这种信任缺失造成针对新服务的显著的采用障碍。服务供应商必须通过明确表达他们的服务是多么安全并且尝试以无数方法(尤其是认证)向客户证明这一点来抗击该信任缺失。
【附图说明】
[0004]下面参考以下的附图来详细地描述本发明的优选的和替代的示例:
图1图解了安全服务供应商的第一示例实施例的示例框图;
图2图解了安全服务供应商的第二示例实施例的示例框图;
图3A和3B是用于根据安全服务供应商的第二示例实施例的操作的第一模式存储和观看数据的数据流;
图4A和4B是用于根据安全服务供应商的第二示例实施例的操作的第二模式存储和观看数据的数据流;
图5是图解由示例的安全服务供应商执行的操作的流程图;以及图6是用于实现安全服务供应商的示例实施例的示例计算系统的框图。
【具体实施方式】
[0005]本文中描述的实施例提供用于提供关于远程计算服务(诸如基于云的服务)的数据安全的增强的基于计算机和基于网络的系统和方法。示例实施例提供被配置成执行或提供一个或多个关于或代表一些其它系统或服务的安全相关的服务或功能的安全服务供应商(“SSP”)。所述其它系统或服务可以是例如提供网络可访问服务的基于云的系统。SSP允许基于云的服务的用户(有时被称为“客户”)提供并管理诸如数据存储、加密、解密、密钥管理等的一个或多个安全相关的服务。通过使用并控制SSP,尽管正在通过不在用户的控制下的基于云的服务对用户的数据进行操作,用户也可以自信他的数据正被安全地表现和存储。
[0006]基于云的系统和服务包括经由网络(诸如因特网或专用网)访问的软件、平台和/或基础设施的布置。典型地,由不同的外部实体提供基于云的服务,以便给定的商业单位或其它组织可以获得该服务的益处(例如,可扩缩性、可访问性、容错性)而不需要它本身管理所需的计算基础设施。所描述的技术使用“混合”方法,其中客户保留对诸如加密/解密、数据存储等的一些安全相关功能的控制。如下面更加详细地描述的,由基于策略的机制控制客户参与执行这类功能遵循的程度和条件。
[0007]所描述的技术可以被用于保护在云服务中使用的数据。在一个示例中,用户正如他们如今做的这样继续利用云服务,但是与本文中描述的技术中的至少一些相结合。这些技术对系统的用户来说是透明的,但是保护云服务中使用的数据,以便即使他们不信任该云服务和/或该服务今后有安全事故,一组织可以主张他们是被保护的。这种信任在内部和外部二者都是可证实的。
[0008]所描述的技术可适用在广泛种类的上下文中。可以将它们用于提供关于各种类型或形式的远程系统或服务的安全服务。下面,该技术被描述为被关于电子签名服务(“ESS”)而部署。连同ESS—起使用SSP仅仅是一种可能的部署情况,并且不应被解释为限制性的。特别地,可以与其它类型的远程服务一起使用SSP,所述其它类型的远程服务包括任何类型的软件即服务、云存储服务、消息传递服务、金融服务、客户关系管理服务等等。一般可以连同任何数字交易服务一起使用SSP,所述数字交易服务包括电子签名服务、不动产交易服务、线上购买系统、薪资系统、采购系统、人力资源系统(例如,时间跟踪,计费系统)等等。
[0009]示例ESS被配置成促进文档和对应的电子签名的创建、存储以及管理。使用ESS,第一用户(“发送人”)可以提供或上载将要被签名的文档(“签名文档”),而第二用户(“签名人”)可以访问、检查并对所上载的文档签名。可以通过ESS使用SSP以安全地存储文档(图1)或对文档提供加密/解密服务(图2)。图3和4提供关于使用示例SSP以提供代表广义的云服务的加密/解密服务的附加的细节。
[0010]云数据托管(escrow)
图1图解了安全服务供应商的第一示例实施例的示例框图。图1图解了“云数据托管”方法,其中发送人使用SSP以安全地存储文档或其它数据。在图1中示出的示例中,SSP165关于ESSllO操作。由发送人10和签名人11利用ESSllO以发起签名文档20的电子签名。SSP165包括被用于安全地存储电子签名文档20的文档存储器170 JSP165在发送人10(或者发送人的组织)的控制之下,以便由代表发送人10的ESSllO处理的签名文档总是在发送人10或他的对应的组织的控制之下。
[0011]在所图解的情况中,发送人10操作发送人客户端设备160以向ESSllO提供(例如,上载、传输)电子文档20(例如,发票、合同或协议)。然后ESSl 10将电子文档20传输到SSP165,在那里电子文档20被安全地存储在文档存储器170中。在由SSP165存储之后,ESSl 1删除文档20的任何复本。
[0012]由ESSllO作出的使用安全服务供应商165的决定是基于策略21。典型地,由发送人10建立策略21,并且策略21控制或以其他方式使得ESSl 10针对文档存储功能而依赖于SSP165。策略21限定用于签名文档的存储位置和操作。策略对于特定的文档、用户、组织或它们的某结合可以是特定的。
[0013]然后签名人11访问文档20。典型地,发送人10诸如通过使得ESSllO向签名人11发送包括对文档20的引用(例如,URL)的消息(例如,电子邮件)以通知签名人11。签名人11操作网络浏览器或其它在签名人客户端设备161上执行的客户端模块以访问并检查文档20。ESSllO从SSP165检索文档并将其(或者其表示)提供给签名人客户端设备161用于呈现。当文档20已经被检查至签名人11满意时,签名人给文档20附上(或提供用于附上的指示或指令)他的电子签名。一旦已经完成签名,ESSllO与签名数据以及需要被保留的签名的任何其它证据(诸如用户信息、时间戳等等)相关联地存储文档20。在签名过程完成之后,ESSllO删除文档20的任何复本。
[0014]在图1的实施例中,SSP代表云服务负责存储数据。这样的实施例还可以被称为云存储设备(“CSA” XCSA响应于针对数据的合法请求以向正消费该应用的用户提供服务。核心意见是数据在CSA本身的所有者的监管中,而不是在云服务运营商的监管中。
[0015]为了简明,将针对一个简单的云服务情况描述关于CSA的进一步的细节:一个正在试图首先存储并且然后访问被存放在云服务中的文档的用户。应领会的是,文档存储和检索系统仅仅是CSA的一个示例部署。还可以或替代地将CSA用于诸如本文中别处描述的电子签名上下文的其它上下文中。
[0016]CSA可以代表云服务存储文档。该设备的目标是用来将文档本身的存储外包以便静止的数据永不在云服务中;其在存储设备中,在客户的控制之下。“静止”的数据典型地包括被持久地或静态地存储的数据(例如,在磁盘、磁带、或其它持久性媒体上)。与此相反,“飞行中”(in flight)的数据或者“使用中”的数据典型地包括诸如在计算系统的易失的或工作中的存储器中的数据、正由处理器处理的数据、正被从一个地点向另一个地点传送的数据等等的易失的、动态的、和/或活动的数据。飞行中的数据在一些情况中可以特殊地指正活跃地穿过网络或其它非持久性通信媒体(例如,1总线、系统总线)的数据。
[0017]在典型的实施例中,客户可以限定策略,该策略控制数据片何时被静止地存储在云服务中,并且当被适当地限定时,该策略将在客户的控制下在外部存储设备上存储数据。该云存储设备位于客户数据中心中并且始终在他们的控制中。
[0018]在一个示例处理流程中,客户首先在云服务中为他们的组织创建账户(S卩,他们针对该云服务“签约”)。然后,客户限定对某用户组(一些或者所有)应用的组织策略。该策略限定了数据什么时候将被静止地存储在云服务中,和它什么时候将被静止地存储在CSA中形成对比。
[0019]组织中的用户然后如他们正常将要的那样继续使用云服务。例如,他们上载文档到服务。正常地处理示例文档。当处理完成并且云服务转向存储该文档时,咨询组织策略。如果策略规定文档的当前状态同意保存在云中,那么文档被存储在云中。如果策略规定文档的当前状态同意将文档保存在客户CSA上,那么通过数字媒体将文档发送到CSA用于存储。
[0020]在成功的保存到某一位置时,如果文档驻存在另一位置,那么通知那个位置该文档不再由他们所有并且它们将把它从存储器中移除。例如,如果文档曾被存储在云服务中但是由于状态改变现在将要被保存到CSA中,一旦被成功地保存到CSA,那么通知云服务其将要删除这个文档以便与组织策略一致。
[0021]随着对文档进行进一步的改变以及状态前进,在对存储器的每个保存事件时都再次咨询策略并且将文档存储在正确的位置中。根据策略指示,这可以同意随着时间的推进将文档保存在不同的位置中。
[0022]上面的处理进展继续直到如文档已完成这样的时间,当最后一次保存文档时。此夕卜,该最后的保存发生在基于组织策略的适当的位置中。该最后事件仅仅是上面援引的逻辑(S卩,基于组织策略执行适当的操作)的另一个例示,其在这里出于完整性而作为分开的步骤加以引用。在一些情况中,策略可以指定响应于文档完成而将要被执行的清除或终结操作。
[0023]策略的定义和处理限定了给定的数据元素的保存位置。在该方法中,作为一个示例,可以将策略表现为存储策略向量的