使用远程代理提供数据驻留保护的系统和方法与流程

云计算服务和软件即服务(saas)提供商正变得越来越普遍。利用此类服务的客户端或客户经常关注它们的计算机化数据是如何以及在哪里被处理和保护的。世界上的一些管辖区具有数据驻留(dr)要求(规定)，其定义哪种类型的数据不能离开该管辖区。例如，在一些国家，有关公民的个人识别信息(pii)只能存储在该国家的边界内。

这些规定已经由互联网应用阐述，最常见的是通过定义数据驻留要求的例外的“安全港”法律阐述。但是，这种“安全港”法律正受到攻击。一些应用提供商可以将其产品部署到位于管辖区内的数据中心。业界还供应数据驻留产品，这些产品是定制的独立应用，适用于位于管辖区外部的给定应用。

技术实现要素：

在一个实施例中，公开了一种由计算设备执行的计算机实现的方法，该计算设备包括用于执行来自存储器的指令的至少一个处理器。该方法包括：经由计算机化网络通信，在计算机化服务环境处从受保护域环境的远程计算机化系统接收用户界面命令；响应于用户界面命令，经由至少一个处理器在计算机化服务环境内生成数据驻留保护组件，其中数据驻留保护组件被配置为当在受保护域环境中由远程计算机化系统执行时充当计算机化服务环境的代理，以隔离个人识别信息不被受保护域环境的外部看见；以及经由计算机化网络通信将数据驻留保护组件从计算机化服务环境下载到受保护域环境的远程计算机化系统。

在另一个实施例中，数据驻留保护组件被配置为当由远程计算机化系统在受保护域环境中执行时：针对个人识别信息监视从受保护域环境到计算机化服务环境的数据通信；用令牌数据替换个人识别信息以表示和保护个人识别信息；以及经由计算机化网络通信将令牌数据传送到计算机化服务环境。

在另一个实施例中，数据驻留保护组件被配置为当由远程计算机化系统在受保护域环境中执行时：针对表示个人识别信息的令牌数据监视从计算机化服务环境到受保护域环境的数据通信；以及用受保护域环境中的个人识别信息替换令牌数据。

在另一个实施例中，该方法还包括：响应于计算机化服务环境的服务应用配置的变化，计算机化服务环境经由至少一个处理器更新计算机化服务环境中的数据驻留保护组件；以及经由计算机化网络通信将数据驻留保护组件如更新后那样下载到受保护域环境中。

在另一个实施例中，该方法还包括计算机化服务环境经由至少一个处理器确保数据驻留保护组件当在计算机化服务环境中生成时不抵消由在计算机化服务环境中为其它受保护域环境生成的其它数据驻留保护组件提供的数据驻留保护。

在另一个实施例中，公开了一种计算机化服务环境的计算系统。该系统包括：存储在非瞬态计算机可读介质中的可视用户界面模块，包括指令，该指令在被执行时使得处理器生成可以经由计算机化网络通信由受保护域环境的远程计算机化系统访问的图形用户界面；存储在非瞬态计算机可读介质中的配置模块，包括指令，该指令在被执行时使得处理器响应于经由图形用户界面所促进的计算机化网络通信从受保护域环境的远程计算机化系统接收到的配置命令而在计算机化服务环境内生成数据驻留保护组件；以及存储在非瞬态计算机可读介质中的下载模块，包括指令，该指令在被执行时使得处理器响应于经由图形用户界面所促进的计算机化网络通信从受保护域环境的远程计算机化系统接收到的下载命令，经由计算机化网络通信将数据驻留保护组件从计算机化服务环境下载到受保护域环境的远程计算机化系统，其中数据驻留保护组件被配置为当在受保护域环境中由远程计算机化系统执行时充当计算机化服务环境的代理，以隔离个人识别信息不被受保护域环境的外部看见。

在该系统的另一个实施例中，计算机化服务环境的计算系统包括服务器计算机。

在该系统的另一个实施例中，存储在非瞬态计算机可读介质中的配置模块包括指令，该指令在被执行时使得处理器确保数据驻留保护组件当在计算机化服务环境中生成时，不抵消由在计算机化服务环境中为其它受保护域环境生成的其它数据驻留保护组件提供的数据驻留保护。

在该系统的另一个实施例中，存储在非瞬态计算机可读介质中的可视用户界面模块包括指令，该指令在被执行时使得处理器经由图形用户界面提供可选择的选项，用于在数据驻留保护组件被下载模块下载后自动安装在受保护域环境的远程计算机化系统上。

在该系统的另一个实施例中，存储在非瞬态计算机可读介质中的配置模块包括指令，该指令在被执行时使得处理器响应于计算机化服务环境的服务应用配置中的变化而更新计算机化服务环境中的数据驻留保护组件；并且其中存储在非瞬态计算机可读介质中的下载模块包括指令，该指令在被执行时使得处理器经由计算机化网络通信将数据驻留保护组件如更新后那样下载到受保护域环境。

附图说明

结合在本说明书中并构成本说明书的一部分的附图图示了本公开的各种系统、方法和其它实施例。图中所示的元件边界(例如，方框、方框组或者其它形状)表示边界的一个实施例。在一些实施例中，一个元件可以被设计为多个元件，或者多个元件可以被设计为一个元件。在一些实施例中，被示为另一个元件的内部组件的元件可以被实现为外部组件，并且反之亦然。此外，元件可能未按比例绘制。

图1图示了计算机系统的一个实施例，该计算机系统具有被配置有数据驻留保护逻辑的计算设备；

图2图示了可以由图1的数据驻留保护逻辑执行以生成数据驻留保护组件(代理)的方法的一个实施例；

图3图示了扩展图2的方法的一部分的一个实施例；以及

图4图示了可以在其上实现图1的数据驻留保护逻辑的计算设备的一个实施例。

具体实施方式

公开了允许服务提供商供应数据驻留服务的系统、方法和其它实施例，受保护域环境的本地管理员可以使用该数据驻留服务来配置并然后下载可执行的数据驻留保护组件。数据驻留保护组件在本地管理员的受保护域环境中执行时，隔离个人识别信息(pii)或其它被视为敏感的数据，并阻止其在受保护域环境的外部被看见。因此，受保护域环境中的用户可以访问由服务提供商提供的应用，同时不允许个人识别信息(pii)或管理员声明敏感的其它数据离开受保护域环境。

本文关于各种实施例使用以下术语。

如本文所使用的，术语“个人识别信息(pii)”是指可能潜在地识别具体个体的计算机化数据，或可用于将一个人与另一个人区分开并且可用于移除匿名数据的匿名的数据。它还可以指属于具体个体的可能被视为敏感或机密(即使在这没有被给定管辖区内的规定严格要求的情况下)的其它信息。

如本文所使用的，术语“数据驻留”是指如在任何种类的物理存储设备或介质中体现的组织的数据或信息的物理位置。该术语还可以指基于数据所驻留的国家或地区对数据施加的法律或规定要求。

如本文所使用的，术语“计算机化服务环境”是指供应可以通过互联网或私有网络(包括有线和无线连接)远程访问的应用服务的计算机化系统。

如本文所使用的，术语“受保护域环境”是指施加法律或规定数据驻留要求的国家或地区，和/或在该国家或地区内的计算机化系统。

如本文所使用的，术语“数据驻留保护组件”是指当在受保护域环境中执行时充当计算机化服务环境的代理或接入点的一个或多个数字文件(例如，可执行文件)，以隔离个人识别信息不被受保护域环境的外部看见。术语“代理”在本文中有时用于表示数据驻留保护组件，该数据驻留保护组件使用旨在用于受保护域环境本地的用户和位于该域环境的外部的服务环境之间的代理或中继通信的协议来提供对外部服务环境的访问。

图1图示了具有计算设备105的集中式计算机系统100的一个实施例，计算设备105被配置有数据驻留保护(drp)逻辑110。在一个实施例中，计算设备105是计算机化服务环境(例如，saas(软件即服务)环境)中的服务器计算机。在一个实施例中，数据驻留保护逻辑110是较大的计算机应用(例如，云计算drp应用)的一部分，被配置为允许远程用户保护个人识别信息(pii)。数据驻留保护逻辑110被配置为计算机化和自动化在计算机化服务环境(例如，计算机化云服务环境)中生成和更新可执行和可下载的数据驻留保护组件的处理。

参考图1，在一个实施例中，数据驻留保护逻辑110在计算设备105上实现，并且包括用于实现数据驻留保护逻辑110的各种功能方面的逻辑或模块。数据驻留保护逻辑110允许远程用户(远离服务环境)为其受保护域环境配置保护。在一个实施例中，数据驻留保护逻辑110包括可视用户界面逻辑/模块120、配置逻辑/模块130和下载逻辑/模块140，这些将在本文后面更详细地讨论。

在一个实施例中，计算机系统100包括可操作地连接到计算设备105的数据库设备150。计算机系统100用作包括用于企业组织的分布式应用的应用或集合的计算/数据处理系统。应用和计算机系统100可以被配置为与基于云的联网系统、软件即服务(saas)体系架构或其它类型的分布式计算解决方案一起操作或者被实现为基于云的联网系统、软件即服务(saas)体系架构或其它类型的分布式计算解决方案。

如图1所示，在一个实施例中，计算设备105是计算机化服务环境中的服务器计算机，该服务器计算机被配置为经由计算机化网络160(例如，互联网)与物理上远离计算机化服务环境的受保护域环境中的远程计算机化系统170进行通信。远程计算机化系统170包括数据驻留保护(drp)执行处理器180，该drp执行处理器180被配置为执行从计算设备105下载的数据驻留保护组件。远程计算机化系统170还包括显示屏/计算设备190。

在一个实施例中，受保护域环境中的远程计算机化系统170的用户可以经由计算机化网络160访问计算机化服务环境中的服务器计算机105。用户可以访问服务器计算机105以使用由计算机化服务环境提供的应用。例如，应用可以是会计应用、金融应用、工程应用或任何其它类型的应用，任何其它类型的应用对于用户来说从物理上位于受保护域之外的网络可访问环境访问而不是使应用安装和运行在受保护域环境内的系统上更实际。根据一个实施例，远程计算机化系统170的系统管理员可以访问具有数据驻留保护逻辑110的服务器计算机105，以在计算机化服务环境内对数据驻留保护组件或代理进行配置。

返回参考图1的数据驻留保护逻辑110的逻辑，在一个实施例中，可视用户界面逻辑120被配置为生成图形用户界面(gui)以促进用户与数据驻留保护逻辑110的交互。例如，可视用户界面逻辑120包括程序代码，该程序代码生成图形用户界面并允许由远程计算机化系统170(例如，在显示屏/计算设备190上)显示和访问该图形用户界面。响应于用户经由gui的动作和选择，可以操纵配置数据驻留保护组件的相关联方面。

例如，在一个实施例中，可视用户界面逻辑120被配置为提供图形用户界面，该图形用户界面允许受保护域环境的远程计算机化系统170的系统管理员(例如，在模板中)做出选择并输入与配置数据驻留保护组件相关联的数据。在一个实施例中，选择和数据以用户界面命令或配置命令的形式从远程计算机化系统170被提供给可视用户界面逻辑120。用于做出选择和输入数据的模板存储在数据库设备150中，数据库设备150在计算机化服务环境中可操作地连接到服务器计算机105。此外，得到的数据驻留保护组件可以存储在数据库设备150中，如本文后面所讨论的。

再次参考图1，在一个实施例中，配置逻辑130被配置为在计算机化服务环境内生成数据驻留保护组件。响应于经由图形用户界面所促进的计算机化网络160从受保护域环境的远程计算机化系统170接收到的配置命令(例如，由系统管理员生成的响应命令)，生成数据驻留保护组件。

数据驻留保护组件被配置为充当计算机化服务环境中的应用的代理。即，数据驻留保护组件当在受保护域环境中执行时，隔离个人识别信息(pii)不被受保护域环境的外部看见。根据一个实施例，数据驻留保护组件至少包括可执行数字文件(例如，java可执行组件或另一个种远程创建的可执行格式)，该可执行数字文件被下载到受保护域环境并在该环境内进行操作。根据各种实施例，数据驻留保护组件可以被配置为与基于web的协议、邮件传输协议(例如，用于电子邮件)、文件传输协议(例如，用于传输电子文件)或一些其它协议兼容。

通常，数据驻留保护组件保护个人识别信息和被视为敏感的其它数据。此外，在一个实施例中，数据驻留保护组件驻留在客户端或客户的网络上，并且只能经由该网络访问(即，服务应用的用户必须经过代理)，使得没有受保护的数据离开公司的网络。

作为示例，远程计算机化系统170的系统管理员(或集成专家)可以经由可视用户界面逻辑120提供的图形用户界面从数据库设备150访问模板。模板可以对应于数据受保护域环境的驻留规定。系统管理员可以继续从模板中做出选择、填写模板的数据字段、并做出与系统相关的选择。例如，选择可以基于数据驻留规定的具体解释。可以用数据填充数据字段，以例如识别要保护的数据类型。可以做出与系统相关的选择以指定数据驻留保护组件要安装的位置以及在哪个操作系统上。可以做出另一个系统相关的选择以指定数据驻留保护组件要与其兼容的协议。然后，在一个实施例中，配置逻辑130对模板中的信息进行操作以生成针对受保护域环境的数据驻留保护组件(例如，可执行文件或一组打包文件)。

可以在计算机化服务环境内为其它受保护域环境生成其它数据驻留保护组件。计算机化服务环境了解它已为受保护域生成的所有组件。在一个实施例中，配置逻辑130还被配置为确保新数据驻留保护组件在被生成时，不抵消由先前为其它受保护域环境生成的其它数据驻留保护组件所提供的数据驻留保护。通过了解其它受保护域环境的其它代理的保护配置，配置逻辑130可以确保新数据驻留保护组件(新代理)的生成不损害其它受保护域环境的数据驻留保护。

例如，可以为每个数据驻留保护组件(代理)分配一系列令牌值。令牌值用作pii值的替代以将pii信息保持在受保护域环境内。在简单的情况下，为了将令牌长度限制为4个字节(32位)，每个代理的令牌的值范围可以从0到2³⁰-1(每个系统大约10亿个令牌)。然后，每个代理可以具有0、1、2或3的前缀(例如，如果预期不超过4个代理)。实际上，可以使用更长的令牌来允许更多的代理以及限制令牌内的值以使unicode字符有效。

否则，可能存在具有对应于不同明文值的相同值的令牌。这可能损坏存储在集中应用实例中的数据。例如，法国员工的人力资源记录可能最终被链接到泰国员工的数据，以及具体取决于对令牌化的受保护数据操作的代理服务器，导致对令牌值的不正确替换。

每个代理在给定范围或给定前缀中产生令牌，并且范围/前缀不重叠。由于代理在计算机化服务环境中被配置，因此计算机化服务环境了解所有代理并分配范围或前缀(或两者)。系统还可以建议对前缀和/或范围的合理选择。得到的代理集合是数据驻留的系统的元素。相反，对于drp的第三方产品，每个代理被隔离创建从而允许系统管理员出错。

集中配置还允许控制允许哪些网络地址使用给定数据驻留代理，以确保来自给定国家之外的某人不能连接到该国家的代理服务器并检索该国家的受保护信息。集中配置还允许将代理配置为仅响应某些互联网协议(ip)范围，从而添加另一层保护。通过手动配置，依赖于本地系统管理员手动和正确地设置此类保护，并且不会意外(或恶意)违反数据驻留规则。集中化、自动分配令牌范围并结合针对管理员修改锁定这些分配的范围的能力应显著降低受保护信息将离开给定国家或地区(受保护域环境)的机会。

在一个实施例中，下载逻辑140被配置为经由计算机化网络160将数据驻留保护组件从计算机化服务环境下载到受保护域环境的远程计算机化系统170。响应于经由可视用户界面逻辑120提供的图形用户界面所促进的计算机化网络160从远程计算机化系统170接收到的下载命令，由下载逻辑140下载数据驻留保护组件。例如，在一个实施例中，一旦数据驻留保护组件(例如，可执行文件)由配置逻辑130生成，系统管理员就可以在图形用户界面上选择指示下载逻辑140下载该组件的图标。

根据一个实施例，数据驻留保护组件在被下载后自动安装在受保护域环境中的远程计算机化系统170上。在一个实施例中，可视用户界面逻辑120经由图形用户界面为数据驻留保护组件被下载后自动安装提供可选择的选项。替代地，例如，数据驻留保护组件可以由系统管理员手动安装。

根据一个实施例，即使数据驻留保护组件被下载到受保护域环境的远程计算机化系统170，数据驻留保护组件的副本也存储在计算机化服务环境中的数据库设备150中。随着时间的推移，可能发生计算机化服务环境的服务应用配置中的变化，从而导致计算机化服务环境与数据驻留保护组件之间的不兼容性。在一个实施例中，配置逻辑130被配置为响应于服务应用配置中的变化来更新计算机化服务环境中的数据驻留保护组件以维护兼容性。

此外，在一个实施例中，下载逻辑140被配置为经由计算机化网络160将数据驻留保护组件如更新后那样下载到受保护域环境的远程计算机化系统170。根据各种实施例，更新后的组件在被下载之后，可以被自动或手动地安装在远程计算机化系统170上。以这种方式，随着应用配置的改变，计算机化服务环境在多个受保护域环境中维护现有的数据驻留保护组件。例如，在一个实施例中，数据驻留保护组件在已经被下载并安装之后，可以周期性地查询计算机化服务环境的saas应用以供配置更新。

其它实施例可以提供不同的逻辑或逻辑组合，这些逻辑或逻辑组合提供与图1的数据驻留保护逻辑110相同或相似的功能。在一个实施例中，数据驻留保护逻辑110是包括被配置为执行逻辑功能的算法和/或程序模块的可执行应用。应用存储在非瞬态计算机存储介质中。即，在一个实施例中，数据驻留保护逻辑110的逻辑被实现为存储在计算机可读介质上的指令的模块。

在一个实施例中，计算机系统100是集中式服务器侧应用，该集中式服务器侧应用至少提供本文公开的功能并且由许多用户经由与计算机网络上的计算机系统100(用作服务器)进行通信的计算设备/终端(例如，显示屏/计算设备190)访问。其它实施例可以提供不同的计算机和逻辑或计算机和逻辑的组合，它们提供与图1的系统100相同或相似的功能。

以这种方式，数据驻留保护逻辑110允许受保护域环境中的远程系统管理员为其在受保护域环境之外的计算机化服务环境内的个人识别信息(pii)配置保护。但是，该保护在受保护域环境内执行。

图2图示了方法200的一个实施例，方法200可以由图1的数据驻留保护逻辑110执行以生成数据驻留保护组件。方法200描述了图1的系统100的操作并且被实现为由图1的系统100或者由被配置有方法200的算法的计算系统执行。例如，在一个实施例中，方法200由被配置为执行计算机应用的计算系统实现。计算机应用被配置为以电子形式处理数据并且包括执行方法200的功能的存储的可执行指令。

将从图1的角度描述方法200，其中计算机化服务环境的系统100经由计算机化网络160与受保护域环境的远程计算机化系统170进行交互。但是，方法200由图1的系统100的服务器计算机105的数据驻留保护逻辑110在计算机化服务环境内执行。

在启动方法200后，在方框210处，经由计算机化网络通信在计算机化服务环境处从受保护域环境的远程计算机化系统接收用户界面命令。例如，在一个实施例中，配置命令由服务器计算机105上的数据驻留保护逻辑110经由计算机化网络160(例如，wan或互联网)从受保护域环境的远程计算机化系统170接收。数据驻留保护逻辑110的可视用户界面逻辑120为远程计算机化系统170的用户(例如，系统管理员或集成专家)提供与之交互的图形用户界面来提供用户界面命令。

在方框220处，响应于用户界面命令，在计算机化服务环境内生成数据驻留保护组件。例如，在一个实施例中，服务器计算机105上的数据驻留保护逻辑110的配置逻辑130响应于配置命令而生成数据驻留保护组件。数据驻留保护组件被配置为充当计算机化服务环境的代理。当由远程计算机化系统170在受保护域环境中执行时，数据驻留保护组件(例如，经由替换令牌)隔离个人识别信息(pii)不被受保护域环境的外部看见或存储。

再次参考图2，作为在方框220处生成数据驻留保护组件的一部分，执行检查以确保任何新生成的数据驻留保护组件不抵消由先前在计算机化服务环境内生成的其它数据驻留保护组件提供的任何数据驻留保护。例如，在一个实施例中，检查由服务器计算机105上的数据驻留保护逻辑110的配置逻辑130执行。

图3图示了在图2的方法200的方框220上扩展的一个实施例。再次地，在方框220处，响应于来自例如受保护域环境中的远程计算机化系统的管理员的用户界面命令，在计算机化服务环境内生成数据驻留保护组件。参考图3，在方框220的方框222处，选择并检查未使用的令牌值范围或集合以避免与在计算机化服务环境内生成的其它数据驻留保护组件所使用的值的潜在冲突(即，以避免抵消由其它数据驻留保护组件提供的数据驻留保护)。

在方框220的方框224处，生成包括关于要保护的信息的所选择的或强制的选项的配置文件。可以对配置文件进行签名或取校验和以支持后续验证。在方框220的方框226处，选择可执行模块、程序或脚本并将其打包成可下载格式。可以对打包的可下载格式进行签名或取校验和以支持后续验证。

再次参考图1，当受保护域环境中的用户访问和使用由计算机化服务环境提供的应用时，可以在计算机化服务环境和受保护域环境之间发生数据通信。根据一个实施例，数据驻留保护组件当由远程计算机化系统170执行时，针对个人识别信息(pii)监视从受保护域环境到计算机化服务环境的数据通信。当通过监视检测到个人识别信息(pii)时，个人识别信息(pii)被令牌数据替换以表示和保护个人识别信息(pii)。以这种方式，个人识别信息(pii)不离开受保护域环境。相反，令牌数据经由计算机化网络160被传达(例如，传送)到计算机化服务环境。

类似地，根据一个实施例，数据驻留保护组件针对表示个人识别信息(pii)的令牌数据监视从计算机化服务环境到受保护域环境的数据通信。当通过监视检测到令牌数据时，令牌数据被受保护域环境内的相关联个人识别信息(pii)替换。以这种方式，个人识别信息(pii)被适当地维护为受保护域环境中的整体数据的一部分。

其它数据驻留保护组件存储在数据库设备150中。因此，计算机化服务环境了解其它数据驻留保护组件及其保护配置。因此，数据驻留保护逻辑110可以访问该知识并执行分析(检查)以确保新生成的数据驻留保护组件不抵消由其它数据驻留保护组件提供的任何数据驻留保护，并且反之亦然。

在方框230处，一旦生成数据驻留保护组件，该数据驻留保护组件就可以经由计算机化网络160从计算机化服务环境被下载到受保护域环境的远程计算机化系统170。例如，在一个实施例中，由服务器计算机105上的数据驻留保护逻辑110的下载逻辑140执行下载。一旦数据驻留保护组件被下载，它就可以被自动或手动地安装在受保护域环境中的远程计算机化系统170上。

在一个实施例中，可以提示与受保护域环境相关联并且已下载文件的系统管理员基于接收系统的具体安全设置来接受数字证书和签名。如果由管理员或基于数字签名提供的原始证据自动接受设置和可执行文件，则文件可以以特定于将用于执行数据驻留保护组件的受保护域环境中的系统的操作系统的方式被加载和安装。替代地，受保护域环境中的执行系统可以被配置为自动下载适当的文件用于对可执行代码进行更新或对由计算机化服务环境所需的配置进行改变(例如，如果要驻留在受保护域环境内的信息的规定被改变)。此外，如果使用其它语言或操作系统，则存在适用于分发数字签名的配置和要使用的任何可执行程序、代码或文件的类似安全的打包格式。

此外，随着时间的推移，可能发生计算机化服务环境的应用配置中的变化，从而导致计算机化服务环境与数据驻留保护组件之间的不兼容性。在方框240处，执行对服务(例如，云)应用配置中的变化的监视。根据一个实施例，监视由计算机化服务环境内的服务器计算机105上的数据驻留保护逻辑110的配置逻辑130执行。根据另一个实施例，监视由计算机化服务环境的不同逻辑执行，该逻辑与数据驻留保护逻辑110分离。不同的逻辑向配置逻辑130通知服务应用配置中任何检测到的变化。

当检测到服务应用配置变化时，方法200返回到方框220以在需要时更新数据驻留保护组件以与最新的服务应用配置兼容。再次地，根据一个实施例，数据驻留保护组件的副本存储在计算机化服务环境中的数据库设备150中，并且因此可以容易地由配置逻辑130访问以供更新。数据驻留保护组件可以然后如更新后那样被下载并安装在受保护域环境中的远程计算机化系统170上，因此替换先前版本的数据驻留保护组件。

根据一个实施例，计算机化服务环境向受保护域环境的管理员呈现关于应该保护哪些信息的配置选项(在方框210处)。该决定基于受保护管辖区的规定和法律。基于关于对该管辖区中受保护信息的最低要求的决定，一些选项可能是不可用的。

在基于java的实现的情况下，计算机化服务环境可以生成详细描述选项的配置文件(在方框220处)，并且使用来自众所周知的或以其它方式识别的证书颁发机构的公钥证书对配置文件进行数字签名，以证明配置在由计算机化服务环境生成时有效。类似地，也可以对各个java存档(“jar文件”)进行数字签名，以允许由管理员或由受保护域环境内操作的系统验证其来源。可以使用称为java网络启动协议(jnlp)的公共文件格式来描述可以从其下载签名的配置和java存档文件的网络位置，以及与下载文件的操作相关的其它信息。但是，根据其它实施例，存在许多可用于描述这种信息的类似或等同格式。

当来自另一个受保护管辖区的系统管理员访问计算机化服务环境时，可以重复该处理，从方法200的方框210运行到方框230。所呈现的配置选项可以基于关于该管辖区中受保护信息的具体要求或规定而不同。然后，管理员可以下载数字签名的一个或多个文件，并继续进行如本文上述的验证、安装和执行。也可以以上述方式分发更新。

计算机化服务环境中的集中式系统(例如，系统100)负责管理要在每个管辖区中使用的令牌的值或值的范围以支持方法200中描述的功能。可以添加和强制执行附加的安全措施，诸如限制哪些网络地址可以访问计算机化服务环境，以及被呈现给系统管理员的数据驻留选项。

以这种方式，当正确地管理和配置时，计算机化服务环境中的集中式系统可以确保为所有受保护管辖区正确地配置数据驻留选项，并且可以使用广泛接受的公钥加密证书技术来验证数据驻留保护组件的来源。此外，集中式系统可以确保远程系统管理员已正确应用任何附加的安全措施，诸如基于系统网络地址或地址范围的网络访问限制。这显著减少了在多个受保护管辖区遵守数据驻留或类似要求所需的工作量(effort)，从而减少了当集中式系统需要改变时更新可执行文件或配置文件所需的工作量。此外，从这些管辖区接收到的数据不会因为与令牌值或范围重叠或重复而无意中破坏集中式系统上保持的数据。

以这种方式，可以保护个人识别信息(pii)不离开受保护域环境，同时允许受保护域环境内的用户访问和使用由位于受保护域环境之外的计算机化服务环境提供的服务应用。再次地，这避免了必须在每个受保护域环境内安装和配置复杂和定制的硬件和/或软件保护解决方案。此外，计算机化服务环境通过根据需要向受保护域环境供应更新后的数据驻留保护组件来维护保护。

已经描述了被配置为保护个人识别信息的系统、方法和其它实施例。在一个实施例中，计算机化服务环境包括数据驻留保护逻辑，数据驻留保护逻辑被配置为响应于从受保护域环境接收到的配置命令，在计算机化服务环境内生成数据驻留保护组件。数据驻留保护组件可以被下载到受保护域环境，并且当在受保护域环境内执行时充当计算机化服务环境的代理，以隔离个人识别信息不被受保护域环境的外部看见。

计算设备实施例

图4图示了利用本文描述的示例系统和方法中的一个或多个和/或等同物进行配置和/或编程的示例计算设备。图4图示了可以在其上实现数据驻留保护逻辑的实施例的计算设备的一个示例实施例。示例计算设备可以是计算机400，计算机400包括处理器402、存储器404和通过总线408可操作地连接的输入/输出端口410。

在一个示例中，计算机400可以包括数据驻留保护逻辑430(例如，对应于来自图1的数据驻留保护逻辑110)。在不同的示例中，逻辑430可以用硬件、具有存储的指令的非瞬态计算机可读介质、固件和/或其组合来实现。虽然逻辑430被示为附接到总线408的硬件组件，但是应该认识到的是，在其它实施例中，逻辑430可以在处理器402、存储在存储器404中的模块或者存储在盘406中的模块中实现。

在一个实施例中，逻辑430或计算机400是用于执行所描述的动作的装置(例如，结构：硬件、非瞬态计算机可读介质、固件)。在一些实施例中，计算设备可以被配置为在云计算系统中操作的服务器、在软件即服务(saas)体系架构中配置的服务器、智能电话、膝上型电脑、平板计算设备等。

例如，装置可以被实现为asic(专用集成电路)，该asic被编程为响应于来自受保护域环境的命令在计算机化服务环境内生成数据驻留保护组件。装置还可以被实现为存储的计算机可执行指令，这些指令作为临时存储在存储器404中的数据416呈现给计算机400并且然后由处理器402执行。

逻辑430还可以提供用于经由计算机化网络通信从计算机化服务环境处的受保护域环境的远程计算机化系统接收用户界面命令的装置(例如，硬件、存储可执行指令的非瞬态计算机可读介质、固件)。逻辑430还可以提供用于响应于用户界面命令在计算机化服务环境内生成数据驻留保护组件的装置。

一般地描述计算机400的示例配置，处理器402可以是各种各样的处理器，包括双微处理器和其它多处理器体系架构。存储器404可以包括易失性存储器和/或非易失性存储器。非易失性存储器可以包括例如rom、prom等。易失性存储器可以包括例如ram、sram、dram等。

存储盘406可以经由例如输入/输出接口(例如，卡、设备)418和输入/输出端口410可操作地连接到计算机400。盘406可以是例如磁盘驱动器、固态盘驱动器、软盘驱动器、带驱动器、zip驱动器、闪存卡、记忆棒(memorystick)等。此外，盘406可以是cd-rom驱动器、cd-r驱动器、cd-rw驱动器、dvdrom等。例如，存储器404可以存储过程414和/或数据416。盘406和/或存储器404可以存储控制和分配计算机400的资源的操作系统。

计算机400可以经由i/o接口418和输入/输出端口410与输入/输出设备进行交互。输入/输出设备可以是例如键盘、麦克风、指向和选择设备、相机、视频卡、显示器、盘406、网络设备420等。输入/输出端口410可以包括例如串行端口、并行端口和usb端口。

计算机400可以在网络环境中进行操作并且因此可以经由i/o接口418和/或i/o端口410连接到网络设备420。通过网络设备420，计算机400可以与网络进行交互。通过网络，计算机400可以在逻辑上连接到远程计算机。计算机400可与之交互的网络包括但不限于lan、wan和其它网络。

定义和其它实施例

在另一个实施例中，所描述的方法和/或它们的等同物可以用计算机可执行指令来实现。因此，在一个实施例中，非瞬态计算机可读/存储介质被配置有算法/可执行应用的存储计算机可执行指令，这些指令在由(一个或多个)机器执行时使该(一个或多个)机器(和/或相关联的组件)执行所述方法。示例机器包括但不限于处理器、计算机、在云计算系统中操作的服务器、在软件即服务(saas)体系架构中配置的服务器、智能电话等。在一个实施例中，计算设备用被配置为执行任何所公开的方法的一个或多个可执行算法来实现。

在一个或多个实施例中，所公开的方法或它们的等同物由以下任一项执行：被配置为执行所述方法的计算机硬件；或体现在非瞬态计算机可读介质中包括被配置为执行所述方法的可执行算法的计算机软件。

虽然出于简化说明的目的，图中图示的方法被示出并被描述为算法的一系列方框，但是应该认识到的是，这些方法不受方框的顺序的限制。一些方框可以以与所示出和描述的不同的顺序发生和/或与其它方框同时发生。而且，可以使用比全部图示的方框少的方框来实现示例方法。方框可以被组合或分成多个动作/组件。此外，附加的和/或替代的方法可以采用未在方框中图示的附加动作。

以下包括本文所采用的所选择术语的定义。定义包括落入术语的范围内并且可以用于实现的组件的各种示例和/或形式。示例并不旨在是限制性的。术语的单数和复数形式都可以在定义之内。

对“一个实施例”、“实施例”、“一个示例”、“示例”等的引用指示如此描述的(一个或多个)实施例或(一个或多个)示例可以包括特定的特征、结构、特性、属性、元素或限制，但并非每个实施例或示例都必须包括该特定的特征、结构、特性、属性、元素或限制。此外，重复使用短语“在一个实施例中”尽管可能指定相同的实施例，但是不一定指代相同的实施例。

asic：专用集成电路。

cd：紧凑盘。

cd-r：cd可记录的。

cd-rw：cd可重写的。

dvd：数字多功能盘和/或数字视频盘。

http：超文本传输协议。

lan：局域网。

ram：随机存取存储器。

dram：动态ram。

sram：同步ram。

rom：只读存储器。

prom：可编程rom。

eprom：可擦除prom。

eeprom：电可擦除prom。

usb：通用串行总线。

wan：广域网。

“可操作的连接”或实体通过其“可操作地连接”的连接是其中可以发送和/或接收信号、物理通信和/或逻辑通信的连接。可操作的连接可以包括物理接口、电接口和/或数据接口。可操作的连接可以包括足以允许可操作的控制的接口和/或连接的不同组合。例如，可以可操作地连接两个实体来直接地或通过一个或多个中间实体(例如，处理器、操作系统、逻辑，非瞬态计算机可读介质)彼此传送信号。可操作的连接可以包括生成数据并将数据存储在存储器中的一个实体以及经由例如指令控制从存储器中检索该数据的另一个实体。逻辑和/或物理通信信道可以用于创建可操作的连接。

如本文所使用的，“计算机可读介质”或“计算机存储介质”是指存储被配置为当被执行时执行所公开的一个或多个功能的指令和/或数据的非瞬态介质。计算机可读介质可以采取包括但不限于非易失性介质和易失性介质的形式。非易失性介质可以包括例如光盘、磁盘等。易失性介质可以包括例如半导体存储器、动态存储器等。计算机可读介质的常见形式可以包括但不限于软盘、柔性盘、硬盘、磁带、其它磁性介质、专用集成电路(asic)、可编程逻辑器件、紧凑盘(cd)、其它光学介质、随机存取存储器(ram)、只读存储器(rom)、存储器芯片或卡、记忆棒、固态存储设备(ssd)、闪存驱动器、以及计算机、处理器或其它电子设备可以利用其工作的其它介质。如果每种类型的媒体在一个实施例中被选择用于实现，则该媒体可以包括被配置为执行一个或多个所公开的和/或所要求保护的功能的算法的存储指令。

如本文所使用的，“逻辑”表示利用计算机或电气硬件、具有可执行应用或程序模块的存储指令的非瞬态介质和/或这些的组合来实现的组件，用以执行如本文所公开的任何功能或动作，和/或使得来自另一个逻辑、方法和/或系统的功能或动作如本文所公开的那样被执行。等效逻辑(equivalentlogic)可以包括利用算法编程的微处理器、固件、离散逻辑(例如，asic)、至少一个电路、模拟电路、数字电路、编程的逻辑器件、包含算法的指令的存储器设备等，其中任何一个可以被配置为执行一个或多个所公开的功能。在一个实施例中，逻辑可以包括一个或多个门、门的组合、或者被配置为执行一个或多个所公开的功能的其它电路组件。在描述多个逻辑的情况下，有可能将多个逻辑合并到一个逻辑中。类似地，在描述单个逻辑的情况下，有可能在多个逻辑之间分配那单个逻辑。在一个实施例中，这些逻辑中的一个或多个是与执行所公开的和/或所要求保护的功能相关联的对应结构。选择实现哪种类型的逻辑可以基于期望的系统条件或规范。例如，如果考虑更高的速度，则将选择硬件来实现功能。如果考虑更低的成本，则将选择存储指令/可执行应用来实现功能。

如本文所使用的，“用户”包括但不限于一个或多个人、计算机或其它设备、或者这些的组合。

虽然已经相当详细地图示和描述了所公开的实施例，但并不旨在将所附权利要求的范围限制或以任何方式限定到这样的细节。当然，不可能出于描述主题的各个方面的目的而描述组件或方法的每种预期的组合。因此，本公开不限于所示出和描述的具体细节或说明性示例。因此，本公开旨在涵盖落入所附权利要求的范围内的变更、修改和变化。

就术语“包含”在具体实施方式或权利要求中被采用的程度而言，其旨在以类似于当术语“包括”作为过渡词在权利要求中被采用时所解释的方式是包含性的。

就术语“或”在具体实施方式或权利要求中被采用的程度而言(例如，a或b)，其旨在意味着“a或b或两者”。当申请人旨在指示“仅a或b但不是两者”时，则将使用短语“仅a或b但不是两者”。因此，术语“或”在本文的使用是包含性的，而不是排他性使用。

就短语“a、b和c中的一个或多个”在本文被使用的程度而言，(例如，被配置为存储a、b和c中的一个或多个的数据存储库)其旨在传达a、b、c、ab、ac、bc和/或abc的可能性集合(例如，数据存储库可以仅存储a、仅存储b、仅存储c、存储a&b、存储a&c、存储b&c和/或存储a&b&c)。并不旨在要求a中的一个、b中的一个和c中的一个。当申请人旨在指示“a中的至少一个、b中的至少一个和c中的至少一个”时，则将使用短语“a中的至少一个、b中的至少一个和c中的至少一个”。