一种系统使用结合请求提交的信息来确定是否和如何处理所述请求。所述信息可由请求者使用密钥来电子地签名,使得处理所述请求的所述系统可验证所述请求者具有所述密钥并且所述信息可信。所述信息可包括标识处理所述请求所需的密钥的持有者的信息,其中所述密钥的所述持有者可以是所述系统或另一个可能的第三方系统。可处理对数据进行解密的请求以确保在提供对所解密数据的访问之前流逝一定时间量,从而使得有机会取消此类请求和/或以其他方式减少潜在的安全漏洞。
【技术实现步骤摘要】
【国外来华专利技术】延迟数据访问相关申请的交叉引用本申请要求2013年2月12日提交的美国专利申请号13/765,239的优先权,所述专利的内容以引用的方式整体并入本文。本申请出于所有目的以引用的方式结合以下专利申请的全部公开内容:与本申请同时提交的标题为“AUTOMATICKEYROTATION”的共同待决的美国专利申请号13/764,944;与本申请同时提交的标题为“DATASECURITYSERVICE”的共同待决的美国专利申请号13/764,963;与本申请同时提交的标题为“DATASECURITYWITHASECURITYMODULE”的共同待决的美国专利申请号13/765,020;与本申请同时提交的标题为“POLICYENFORCEMENTWITHASSOCIATEDDATA”的共同待决的美国专利申请号13/764,995;与本申请同时提交的标题为“FEDERATEDKEYMANAGEMENT”的共同待决的美国专利申请号13/765,209;与本申请同时提交的标题为“DATASECURITYSERVICE”的共同待决的美国专利申请号13/764,963;以及与本申请同时提交的标题为“SECUREMANAGEMENTOFINFORMATIONUSINGASECURITYMODULE”的共同待决的美国专利申请号13/765,283。附图简述将参照附图描述根据本公开的各个实施方案,在附图中:图1示出表示根据各个实施方案的本公开的各个方面的说明性图;图2示出可实现本公开的各个方面的环境的说明性实例;图3示出根据至少一个实施方案的可实现本公开的各个方面的环境的说明性实例以及环境的各个组件之间的示例性信息流动;图4示出根据至少一个实施方案的用于储存密文的说明性过程的示例性步骤;图5示出根据至少一个实施方案的可实现本公开的各个方面的环境的说明性实例以及环境的各个组件之间的示例性信息流动;图6示出根据至少一个实施方案的用于响应检索数据的请求的说明性过程的示例性步骤;图7示出根据至少一个实施方案的可实现本公开的各个方面的环境的说明性实例以及环境的各个组件之间的示例性信息流动;图8示出根据至少一个实施方案的用于响应储存数据的请求的说明性过程的示例性步骤;图9示出根据至少一个实施方案的可实现本公开的各个方面的环境的说明性实例以及环境的各个组件之间的示例性信息流动;图10示出根据至少一个实施方案的用于响应检索数据的请求的说明性过程的示例性步骤;图11示出可实现本公开的各个方面的环境的说明性实例;图12示出根据至少一个实施方案的可实现本公开的各个方面的环境的说明性实例以及环境的各个组件之间的示例性信息流动;图13示出根据至少一个实施方案的用于响应检索数据的请求的说明性过程的示例性步骤;图14示出根据至少一个实施方案的用于响应对数据进行解密的请求的说明性过程的示例性步骤;图15示出根据至少一个实施方案的用于获取已解密数据的说明性过程的示例性步骤;图16示出根据至少一个实施方案的示例性密码服务系统的图解表示;图17示出根据至少一个实施方案的用于配置策略的说明性过程的示例性步骤;图18示出根据至少一个实施方案的用于在强制实施策略的同时执行密码操作的说明性过程的示例性步骤;图19示出根据至少一个实施方案的用于对数据进行加密的过程的说明性实例;图20示出根据至少一个实施方案的使用安全模块对数据进行加密的说明性实例;图21示出根据至少一个实施方案的使用安全模块加密用于对数据进行加密的密钥的说明性实例;图22示出根据至少一个实施方案的用于使用关联数据强制实施策略的过程的说明性实例;图23示出根据至少一个实施方案的用于使用关联数据和安全模块强制实施策略的过程的说明性实例;图24示出根据至少一个实施方案的策略的状态图的说明性实例;图25示出根据至少一个实施方案的策略的另一个状态图的说明性实例;图26示出根据至少一个实施方案的用于自动地轮换密钥的过程的说明性实例;图27示出根据至少一个实施方案的用于自动地轮换密钥的过程的说明性实例;图28示出根据至少一个实施方案的可用于跟踪密钥使用的数据库的表示的说明性实例;图29示出可实现各个实施方案的环境的说明性实例;图30示出根据至少一个实施方案的可与密钥关联的信息的图解表示;图31示出根据至少一个实施方案的可关于请求被包括的密钥访问注释的图解表示;图32示出根据至少一个实施方案的用于处理请求的过程的说明性实例;图33示出根据至少一个实施方案的用于处理请求的过程的说明性实例;并且图34示出可实现各个实施方案的环境。详述在以下描述中,将描述各个实施方案。出于解释的目的,将阐述具体的配置和细节,以便提供实施方案的透彻理解。然而,对本领域的技术人员将是显而易见的是,没有具体细节的情况下也可以实行实施方案。此外,为了不使所描述的实施方案变得模糊,可能会省略或简化众所周知的特征。本文描述并提议的技术允许增强包括分布式计算资源的环境中的数据安全性。在一个实例中,分布式计算环境包括可由适当的计算资源实现的一个或多个数据服务系统。数据服务系统可允许执行与数据有关的各种操作。作为一个说明性实例,分布式计算环境包括一个或多个数据储存服务系统。可向数据储存服务系统传输执行数据储存操作的电子请求。示例性操作是使用数据储存服务系统储存数据的操作和使用数据储存服务系统检索由数据储存服务系统储存的数据的操作。数据服务系统、包括数据储存服务系统还可执行操纵数据的操作。例如,在一些实施方案中,数据储存服务系统能够对数据进行加密。本公开的各个实施方案包括分布式计算环境,所述分布式计算环境包括使用适当的计算资源实现的密码服务系统。密码服务系统可由分布式系统实现,所述分布式系统接收并响应于执行密码操作、如明文的加密和密文的解密的电子请求。在一些实施方案中,密码服务系统管理密钥。响应于执行密码操作的请求,密码服务系统可执行使用所管理密钥进行的密码操作。例如,响应于所接收请求,密码服务系统可选择适当的密钥来执行密码操作,执行密码操作,并提供密码操作的一个或多个结果。在替代配置中,密码服务系统可产生包络密钥(例如,用于加密特定数据项的会话密钥)并将包络密钥返回至调用服务系统的密码操作的系统。系统随后可使用包络密钥执行密码操作。在一些实施方案中,密码服务系统为计算资源服务提供者的多个租户管理密钥。计算资源的租户可以是作为计算资源提供者的客户操作的实体(例如,组织或个人)。客户可以远程地并编程地配置并操作物理上由计算资源提供者托管的资源。当客户向密码服务系统提供执行密码操作的请求时(或当实体向密码服务系统提交请求时),密码服务系统可选择由密码服务系统为客户管理的密钥来执行密码操作。由密码服务系统管理的密钥可得到安全管理,使得其他用户和/或数据服务系统不能访问他人密钥。实体(例如,用户、客户、服务系统)缺少对另一本文档来自技高网...
【技术保护点】
一种计算机实现的方法,其包括:在被配置有可执行指令的一个或多个计算机系统的控制下,接收访问明文的已认证请求,所述已认证请求的完成需要一个或多个密码操作;处理所述请求,使得要求在提供对应于完成所述请求的对所述请求的响应之前有预编程延迟;以及在所述延迟之后提供对所述请求的响应。
【技术特征摘要】
【国外来华专利技术】2013.02.12 US 13/765,2391.一种计算机实现的方法,其包括:
接收访问明文的已认证请求,所述已认证请求的完成需要一个或多个密码操作;
处理所述请求,使得要求在提供对应于完成所述请求的对所述请求的响应之前有预编程延迟,由于对应于用于对在所述一个或多个密码操作中的密文进行解密的密钥的策略而要求所述预编程延迟;以及
在所述延迟之后提供对所述请求的响应,
其中,当所述密钥用于阈值次数的操作时,停用该密钥并用新密钥来替换,所述新密钥和所述密钥使用相同的密钥标识符进行标识。
2.如权利要求1所述的计算机实现的方法,其中所述一个或多个密码操作包括对密文进行解密。
3.如权利要求1或2所述的计算机实现的方法,其中所述一个或多个密码操作包括生成电子签名。
4.如权利要求1或2所述的计算机实现的方法,其还包括向有权中断所述请求的一个或多个实体发送关于所述请求的一个或多个通知。
5.如权利要求4所述的计算机实现的方法,其还包括使得能够在所述延迟期间中断所述请求。
6.如权利要求1、2和5中任一项所述的计算机实现的方法,其中除非所述请求被中断,否则所述请求被认证对于引起提供所述响应是足够的。
7.如权利要求1、2和5中任一项所述的计算机实现的方法,其还包括由于所述请求而引起增强的审计。
8.一种计算机系统,其包括:
一个...
【专利技术属性】
技术研发人员:G·B·罗斯,M·J·雷恩,E·J·布兰德怀恩,B·I·普拉特,
申请(专利权)人:亚马逊技术股份有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。