情况下,本文中提供的该术语的定义居支配地位并且参考文献中的该术语的定义不适用。
[0105]虽然如上面记录的那样已经图解并描述了本发明的优选实施例,但是可以进行许多改变而不脱离本发明的精神和范围。因此,本发明的范围不受优选实施例的公开内容限制。
【主权项】
1.一种用于提供关于远程的基于云的服务的安全服务的方法,其包含在由与控制所述基于云的服务的第二实体不同的第一实体控制的安全服务供应商模块中, 从所述基于云的服务接收用于执行包括存储或加密操作中的至少一个的安全相关功能的请求,所述请求基于这样的策略:其由所述基于云的服务的用户指定,并且使得所述基于云的服务利用所述安全服务供应商模块以执行所述安全相关功能;以及 代表所述基于云的服务执行所述安全相关功能。2.如权利要求1的方法,其中所述请求包括将要由所述安全服务供应商模块代表所述基于云的服务存储的数据,并且其中执行所述安全相关功能进一步包含在所述安全服务供应商模块中安全地存储所述数据。3.如权利要求2的方法,进一步包含使得所述基于云的服务删除所述数据,以便永不由所述基于云的服务存储静止的所述数据。4.如权利要求1的方法,其中所述请求指定由所述安全服务供应商模块代表所述基于云的服务存储的数据,并且其中执行所述安全相关功能进一步包含: 检索所述数据;以及 将所检索的数据传输到所述基于云的服务。5.如权利要求1的方法,进一步包含限定所述策略,所述策略控制以下中的至少一个: 所述基于云的服务是否应该使用所述安全服务供应商模块来储存数据; 所述基于云的服务应该何时基于发生在所述基于云的服务内的状态转换和/或用户活动提供数据用于由所述安全服务供应商模块存储;以及 基于用户活动、状态转换和/或通过所述安全服务供应商模块的所述数据的成功存储,移除驻存在所述基于云的服务上的数据。6.如权利要求1的方法,进一步包含管理可操作用于加密和解密由所述基于云的服务处理的数据的加密密钥,以便所述基于云的服务不可以使用所述加密密钥。7.如权利要求1的方法,其中所述请求包括将要由所述安全服务供应商模块代表所述基于云的服务加密或解密的数据,并且其中执行所述安全相关功能进一步包含: 加密或解密所述数据;以及 将已加密的或已解密的数据传输到所述基于云的服务。8.如权利要求1的方法,其中所述请求包括将要由所述安全服务供应商模块代表所述基于云的服务解密的数据,并且其中执行所述安全相关功能进一步包含: 解密所述数据;以及 将已解密的数据传输到所述基于云的服务的用户,以便所述基于云的服务不获取对静止的或飞行中的已解密的数据的访问。9.如权利要求1的方法,其中所述策略使得所述基于云的服务供应商将对由所述基于云的服务存储的数据的用户访问重新定向至所述安全服务供应商模块,以便所述用户从所述服务供应商模块访问以未加密形式的所述数据,所述基于云的服务永不访问以未加密形式的所述数据。10.如权利要求1的方法,其中所述安全服务供应商模块对由所述基于云的服务存储的已加密的数据执行加密相关的功能,并且进一步包含: 接收用于约束由所述基于云的服务对由所述基于云的服务存储的已加密的数据的访问的请求;以及 拒绝随后的来自所述基于云的服务的用于解密已加密的数据的请求,以便即使所述基于云的服务仍持有已加密的数据的一个或多个副本,也不能再经由所述基于云的服务访问所述数据。11.如权利要求1的方法,其中所述基于云的服务是电子签名服务。12.如权利要求11的方法,其中所述请求是用于代表所述电子签名服务存储电子签名文档的请求。13.如权利要求11的方法,其中所述请求是用于代表所述电子签名服务加密或解密电子签名文档的请求。14.一种非瞬时性计算机可读媒体,其包括当由计算系统执行时提供关于远程的基于云的服务的安全服务的指令,其包含在由与控制所述基于云的服务的第二实体不同的第一实体控制的安全服务供应商模块中,所述方法包含: 接收由所述基于云的服务发起的用于执行包括存储或加密操作中的至少一个的安全相关功能的请求,所述请求基于这样的策略:其由所述基于云的服务的用户指定,并且使得所述基于云的服务利用所述安全服务供应商模块以执行所述安全相关功能;以及代表所述基于云的服务执行所述安全相关功能。15.如权利要求14的计算机可读媒体,其中从所述基于云的服务的用户的设备接收所述请求,所述请求由从所述基于云的服务传输到所述用户的所述设备的第一重新定向指令引起,并且其中所述方法进一步包含通过下述方式促进数据到所述基于云的服务的上载: 从所述用户的所述设备接收数据; 根据所述策略加密所述数据; 将已加密的数据传输到所述云服务,从而使得所述云服务存储已加密的数据;以及将第二重新定向指令传输到所述用户的所述设备,所述指令使得所述设备访问所述基于云的服务以接收所述数据被成功地上载到所述基于云的服务的确认。16.如权利要求15的计算机可读媒体,其中所述方法进一步包含促进通过下述方式在所述基于云的服务上观看所上载的数据: 接收来自所述用户的所述设备的请求,所述请求由从所述基于云的服务传输到所述用户的所述设备的重新定向指令引起,所述重新定向指令包括所上载的数据和关联的密钥的标识符; 从所述基于云的服务检索所上载的数据; 基于所述策略解密所检索的数据;以及 将已解密的数据传输到所述用户的所述设备。17.—种计算系统,其被配置成提供关于远程的基于云的服务的安全服务,所述计算系统由不控制所述远程的基于云的服务的实体控制,所述计算系统包含: 存储器;以及 安全服务供应商模块,其被存储在所述存储器上并且其被配置成当被执行时以: 限定由所述基于云的服务的用户指定的策略,所述策略使得所述基于云的服务利用所述安全服务供应商模块以执行安全相关功能; 接收由所述基于云的服务发起的用于执行包括存储或加密操作中的至少一个的所述安全相关功能的请求,所述请求基于所述策略;以及代表所述基于云的服务执行所述安全相关功能。18.如权利要求17的计算系统,进一步包含所述基于云的服务,其中所述基于云的服务被配置成: 从所述用户的所述设备接收用于上载数据到所述基于云的服务的请求; 将第一重新定向指令传输到所述用户的设备,从而使得所述用户的所述设备将所述请求传输到所述安全服务供应商模块; 其中所述安全服务供应商模块进一步被配置成: 从所述用户的所述设备接收所述数据; 根据所述策略加密所述数据; 将已加密的数据传输到所述云服务,从而使得所述云服务存储已加密的数据;以及将第二重新定向指令传输到所述用户的所述设备,所述指令使得所述设备访问所述基于云的服务以接收所述数据已成功地上载到所述基于云的服务的确认。19.如权利要求18的计算系统,其中所述基于云的服务进一步被配置成: 从所述用户的所述设备接收用于访问所上载的数据的请求; 响应于所述请求,将重新定向指令传输到所述用户的所述设备,从而使得所述用户的所述设备将用于访问所上载的数据的请求传输到所述安全服务供应商模块,所述重新定向指令包括所上载的数据和关联的密钥的标识符; 其中所述安全服务供应商模块进一步被配置成: 从所述用户的所述设备接收用于访问所上载的数据的请求,所述请求包括所上载的数据和关联的密钥的标识符; 从所述基于云的服务检索所上载的数据; 基于所述策略解密所检索的数据;以及 将已解密的数据传输到所述用户的所述设备,而不通过所述基于云的服务。20.如权利要求18的计算系统,其中所述基于云的服务永不访问以未加密的形式的所上载的数据。21.如权利要求18的计算系统,其中所述用于上载数据的请求是HTTP请求,并且其中所述第一和第二重新定向指令是HTTP重新定向指令。22.如权利要求17的计算系统,进一步包含这样的策略,该策略指定在所指定的文档状态发生时将使得由所述基于云的服务存储的文档对所述基于云的服务不透明,并且其中所述安全服务供应商模块进一步被配置成: 通过咨询所述策略以确定所指定的文档状态是否已经发生来监控所述文档的状态改变; 在所指定的文档状态发生之前,代表所述基于云的服务解密所述文档;以及在所指定的文档状态发生之后,拒绝代表所述基于云的服务解密所述文档,从而致使所述文档对所述基于云的服务不透明。23.如权利要求17的计算系统,其中所述基于云的服务是电子签名服务,并且其中所述安全服务供应商模块被配置成: 处理用于代表所述电子签名服务存储电子签名文档的请求;以及 处理用于代表所述电子签名服务加密或解密电子签名文档的请求。24.如权利要求23的计算系统,其中由所述电子签名服务的客户操作所述安全服务供应商模块,以便在所述客户而不是所述电子签名服务的控制下执行所述安全相关功能。25.如权利要求17的计算系统,其中所述策略包含指定数据类型、数据状态或操作以及数据托管位置的保存策略向量,其中所述数据托管位置在在所述基于云的服务处存储以及通过所述安全服务供应商存储之间选择。26.如权利要求17的计算系统,其中所述基于云的服务是数字交易服务。
【专利摘要】描述了用于提供关于基于云的服务的数据安全服务的技术。示例包括被配置成执行或提供关于或代表某其它系统或服务的一个或多个安全相关的服务或功能的安全服务供应商(“SSP”)。该其它系统或服务可以是例如提供网络可访问的服务的基于云的系统。SSP允许基于云的服务的用户提供并管理诸如数据存储、加密、解密、密钥管理等的一个或多个安全相关的服务。通过使用并控制SSP,尽管正在通过不在用户的控制下的基于云的服务操作他的或她的数据,用户还是可以有信心他的或她的数据正被安全地表现和存储。
【IPC分类】G06F21/78, G06F9/54
【公开号】CN105453105
【申请号】CN201480025250
【发明人】E.弗莱施曼, D.沃尔德, D.G.彼得森
【申请人】多塞股份公司
【公开日】2016年3月30日
【申请日】2014年3月4日
【公告号】CA2903807A1, EP2965258A1, US9219753, US20140250491, US20160080426, US20160127337, WO2014138120A1