列表,采用以下的属性形成存储策略向量中的每一个:
[数据类型,
数据状态或数据操作,
数据托管位置]。
[0024]文档状态或操作可以包括关于特定的数据项呈现或执行的任何(可能域特定或应用特定的)条件或功能。示例状态可以是总称的,因为其可以应用于广泛的各种应用,诸如新文档、导入的文档、已删除的文档、已打开的文档、已关闭的文档等等。应用特定的状态在电子签名上下文中可以是例如新文档、已发送的文档、已观看的文档、已签名的文档、已完成的文档。一些实施例可以除了数据状态以外或代替数据状态使用数据操作/功能。示例的通用的操作可以对应于诸如新建、打开、关闭、观看、删除等的传统的文件系统操作。在一些实施例中,SSP可以使是否触发特定的策略的决定具体化。例如,SSP可以依赖于策略管理器或以其他方式与其交互(例如,由客户操作),所述策略管理器被配置为具有足够的域特定知识或应用特定知识以决定何时触发特定的策略。
[0025]在优选的实施例中,数据托管位置涉及具有下面的属性的全局定义的托管位置向量:
[数据托管位置ID,
数据托管位置类型,
数据托管位置端点URL,
其它数据托管位置属性]。
[0026]一些实施例以下面的方式对云服务的给定客户应用上面的数据结构。给予云服务的每一个客户限定他们的数据保存位置的机会。初始保存位置是云服务。客户可以将一个或许多CSA与他们的账户关联,其中的每一个创建另一个托管位置向量。每一个托管位置向量作为客户账户的属性存留。
[0027]同样,给予云服务的每个客户限定他们的存储策略的机会。在优选的实施例中,策略包括长度大于或等于O的保存策略向量的列表(见上面)。每一个策略都被限定并被添加到前述的列表中,并被保存为客户自身的属性。属性必须通过某独特的标识符引用先前限定的数据保存位置向量。
[0028]每当数据元素(例如,文档)被保存在这个客户的上下文中,咨询该客户的策略。遍历策略列表并找出匹配,其中匹配是具有匹配正在被保存的数据的状态的状态的策略向量。然后处理并调用所确定的策略。如果没有找到策略,使用云服务的默认保存位置。如果找到了匹配策略,那么从策略规则中提取(或基于策略规则定位或以其他方式确定)专用的托管位置向量参考,并且然后从客户获取托管位置向量自身。现在将那个位置回传到先前的算法并且针对该位置调用保存方法。
[0029]注意虽然先前的情况全部依赖位于客户数据中心中的设备,但是其它部署可以同意具有存放在第三方数据中心内的同样的数据流的同样的设备。例如,第三方组织可以向客户提供存储服务以便云服务供应商不可以使用数据但是客户不必自己管理CSA。这样做,客户可以安全地假定数据不是在云服务运营商的控制中而是在专用于这样的存储的仔细选择的合作者手中。这一部署方法利用所有的来自上面的那些的相同的方法,简单地以不同配置对其进行部署。
[0030]将下面的特征或方面理解为由CSA完成。首先,所描述的技术包括被称作云存储设备(CSA)的新的设备,其代表客户环境中的云服务存储数据,以便客户(而不是云服务运营商)维持对存储在CSA中的所有数据的控制。
[0031]所描述的技术还包括这样的过程,通过该过程可以向云服务中的客户账户告知由客户拥有并且继而可以被利用以在客户的上下文中保存数据的CSA系列。
[0032]所描述的技术还包括用于限定策略以决定云服务应该何时将数据托管到外部存储系统以及云服务应该何时将文档存储到内部存储系统的方法。
[0033]所描述的技术还包括用于限定策略的过程,该策略决定何时基于标准托管数据,该标准返回与数据的正在转换的状态(诸如文档的完成)相关,其来源于云服务上的用户活动。
[0034]所描述的技术还包括用于经由CSA向云服务提供数据托管服务以便执行某操作以及数据状态改变的过程,该数据状态改变导致数据被传递到适当的存储媒体(其可以是云服务或者前述的CSA)并被从其它先前的存储位置移除。
[0035]所描述的技术还包括用于从云服务移除数据以便在来自云服务的数据托管成功时,将数据的所有副本从云服务(包括从云服务中的旋转媒体)移除、从备份设备/磁带移除等等的过程。
[0036]云数据保护
图2图解了安全服务供应商的第二示例实施例的示例框图。图2图解了“云数据保护”方法,其中SSP为文档和其它数据提供加密/解密服务。图2还描绘了关于ESSl 10操作的SSP165。该示例与图1的示例区别在于此处ESSllO负责管理签名文档的存储并且依赖于SSP165以提供关于所存储的文档的加密相关的服务。
[0037]在图2中,发送人10使用客户端设备160以向ESSllO提供签名文档22ASSllO咨询策略23以确定使用SSP165用于加密文档22。由ESSllO向SSP165以未加密的形式提供文档22 JSP165使用来自密钥库171的密钥加密文档22并将其传输回ESS110。然后ESSllO删除文档22的未加密的版本,诸如最初由发送人10提供的副本。
[0038]当签名人11访问文档22时,ESSl10向SSP165提供已加密的文档22用于解密。SSP165解密已加密的文档22并返回未加密的版本用于由签名人11访问。当签名人11对文档22签名时,还可以与SSP165合作加密任何签名数据。
[0039]在该示例中,文档22被示出为驻存在ESSllO内。在其它实施例中,可以将文档22存储在远程的基于云的存储服务中。可以由发送人(或他的组织)或某第三方操作这样的存储服务。
[0040]在图2的实施例中,SSP负责向云服务提供加密/解密服务。这样的实施例还可以参考或基于云优先硬件安全设备(“HSA” XHSA是预设(on-premise)设备,其存储密钥并且在合适时对由云服务存放的数据执行加密操作。可以在使用新的方法以保护存储在云系统上的关键数据的传统的硬件安全模块(“HSM”)技术“之上”设计HSA。
[0041]传统的HSM提供当应用能够继续利用密钥用于应用的操作时安全地存储密钥的能力。现今在组织中的传统的HSM使用的规范示例是用于签名交易的关键密钥的存储。在该传统的HSM使用中,密钥将被存储在设备上并且仅在设备上。对传统的HSM的访问将被限制到非常窄的个体组并且甚至他们的访问被约束到仅仅那些对于成功的管理和操作所需的操作。当需要由设备存放的密钥时,将需要密钥的操作与任何需要的数据一起安全地给予设备。传统的HSM执行操作并将结果返回至调用方。
[0042]所描述的技术发展HSM以与云服务一起使用。通过以本文中描述的方式扩展HSM的操作来实现至少一些HSA。所描述的技术采用这样的设备以保护云服务中的数据。这样做,由于数据被存储在HSA中的密钥保护,所以云服务应用不可以使用(例如,读取作为明文的数据)其存放的数据。预设HSA继而由客户保护并且利用各种方法以预设防止用户以及云供应商不适当地访问密钥。结果是这样的系统,其中虽然云服务存放对服务自身来说不透明的数据但是客户可以正常地使用云服务。
[0043]为了简明,将关于简单的云服务情况描述HSA的操作:正试图首先存储并且然后访问存放在云服务中的文档的用户。能够领会的是,文档存储及检索系统仅仅是HSA的一个示例部署。其也可以或替代地用在其它上下文中,诸如本文中别处描述的电子签名上下文。
[0044]HSA可以提供或被配置成或被用于两个不同的操作模式中的至少一个。在第一模式中,云服务接触HSA并且请求其对敏感信息执行密码操作。在第二模式中,用户直接与HSA交互并且使HSA执行密码操作,与云服务协力工作以向用户提供所期望的功能。对这些模式中的每一个来说,以下的部分首先呈现了用于将新文档注入(例如导入、上载、初始存储)到系统中的过程,然后呈现用于观看或以其他方式访问已加密的文档的过程,以及最后呈现可以基于这些流程进行的安全要求。
[0045]HSA第一模式:已解密的文档的云检索
第一操作模式提供了安全机制,云服务通过该安全机制可以存储并检索文档,虽然其对存储器中的云是不透明的。
[0046]图3A图解了用于将新的文档导入、保存或以其他方式引入到系统中的数据流。在操作I,用户去由云服务主控的网站。在操作2,用户上载文档到网站。在操作3,网站背后的云服务检查策略并确定用户正使用由HSA存储的密钥以加密文档。策略可以与上面描述的关于云数据托管方法的那些策略相似。在操作4,服务与HSA通信,请求HSA加密文档。在操作5,HSA以文档的已加密形式连同关于所执行的加密操作的元数据进行响应,所述元数据包括一个或多个项,诸如当加密时用户加密所使用的密钥ID以及关于HSA自身的端点信息。在操作6,云服务连同从HSA返回的元数据一起存储已加密的文档。
[0047]图3B图解了用于观看如上面的图3A中描述的那样存储的文档的数据流。在操作I,用户访问由云服务主控的网站并选择他们希望观看的文档。在操作2,云服务从云存储后端检索已加密的文档。在操作3,云服务检查附到文档的元数据并看见其被位于后面的端点处的指定的HSA使用指定的密钥ID加密。
[0048]在操作5,云服务通过网络对HSA进行同步调用,包括从云服务后端获取的已加密的文档(与相关的元数据一起),并请求HSA为用户解密数据。包括在该请求中的是用于识别用户的信息。
[0049]在操作6,HSA检查请求并决定请求是否有效。如果有效,那么HSA解密文档并将其返回至云服务。如果无效,那么HSA将向云服务拒绝请求并且用户操作继而将被拒绝。
[0050]在操作7,使用文档的该未加密的版本,云服务现在向用户提供所请求的文档以及相关联的功能。
[0051]注意,文档从未以未加密的形式持久存在于云服务。它仅以未加密的形式通过云服务,而从未被写至任何持久存储器。因此,在该情况中可以进行的安全要求是