具有密鑰的資源定位符的制作方法
【專利說明】具有密鑰的資源定位符
[0001] 相關(guān)申請(qǐng)的交叉引用
[0002] 本申請(qǐng)出于各種目的��,以引用方式將2013年9月25日提交的�、標(biāo)題為"RESOURCE LOCATORS WITH KEYS"的美國專利申請(qǐng)?zhí)?4,037,282和2013年9月25日提交的�、標(biāo)題為 "DATA SECURITY USING REQUEST-SUPPLIED KEYS" 的美國專利申請(qǐng)?zhí)?14/037,292的全部公 開內(nèi)容包含在此。
[0003] 背景
[0004] 在許多語境中�����,計(jì)算資源和相關(guān)數(shù)據(jù)的安全性非常重要����。作為一個(gè)示例,組織通常 利用計(jì)算裝置的網(wǎng)絡(luò)來向它們的用戶提供一組穩(wěn)健的服務(wù)�����。網(wǎng)絡(luò)通?����?缍鄠€(gè)地理邊界并通 常與其他網(wǎng)絡(luò)連接�����。例如��,組織可使用內(nèi)部網(wǎng)絡(luò)的計(jì)算資源和由其他方管理的計(jì)算資源兩 者來支持它的操作�。例如,組織的計(jì)算機(jī)可在使用另一個(gè)組織的服務(wù)的同時(shí)與其他組織的 計(jì)算機(jī)通信以訪問和/或提供數(shù)據(jù)��。在許多情況下���,組織使用由其他組織管理的硬件來配置 并操作遠(yuǎn)程網(wǎng)絡(luò)����,從而降低基礎(chǔ)設(shè)施成本并實(shí)現(xiàn)其他優(yōu)點(diǎn)��。在具有此類計(jì)算資源配置的情 況下����,確保對(duì)它們所持有的資源和數(shù)據(jù)的訪問安全可能具有挑戰(zhàn)性,尤其是隨著此類配置 的大小和復(fù)雜性的增長�����。
[0005] 附圖簡(jiǎn)述
[0006] 將參照附圖描述根據(jù)本公開的各個(gè)實(shí)施方案�����,在附圖中:
[0007] 圖1示出可實(shí)現(xiàn)各個(gè)實(shí)施方案的環(huán)境的說明性示例;
[0008] 圖2示出可實(shí)現(xiàn)各個(gè)實(shí)施方案的環(huán)境的說明性示例��;
[0009] 圖3示出根據(jù)至少一個(gè)實(shí)施方案的統(tǒng)一資源定位符(URL)的說明性示例�;
[0010]圖4示出根據(jù)至少一個(gè)實(shí)施方案的URL的另一個(gè)示例;
[0011] 圖5示出根據(jù)至少一個(gè)實(shí)施方案的用于提供對(duì)數(shù)據(jù)的訪問的過程的說明性示例����;
[0012] 圖6示出根據(jù)至少一個(gè)實(shí)施方案的網(wǎng)頁的說明性示例;
[0013] 圖7示出根據(jù)至少一個(gè)實(shí)施方案的用于獲得對(duì)數(shù)據(jù)的訪問的過程的說明性示例���;
[0014] 圖8示出根據(jù)至少一個(gè)實(shí)施方案的用于處理請(qǐng)求的過程的說明性示例�;
[0015] 圖9示出根據(jù)至少一個(gè)實(shí)施方案的用于請(qǐng)求和提供對(duì)數(shù)據(jù)的訪問的過程的說明性 示例;并且
[0016] 圖10示出可實(shí)現(xiàn)各個(gè)實(shí)施方案的環(huán)境�。
[0017] 詳述
[0018] 在以下描述中,將描述各個(gè)實(shí)施方案���。出于解釋的目的�,將闡述具體的配置和細(xì) 節(jié)�����,以便提供實(shí)施方案的透徹理解���。但是���,對(duì)本領(lǐng)域的技術(shù)人員將是明顯的是,沒有具體細(xì) 節(jié)的情況下也可以實(shí)行實(shí)施方案���。此外��,為了不使所描述的實(shí)施方案變得模糊��,可能會(huì)省略 或簡(jiǎn)化眾所周知的特征����。
[0019] 本文所描述和建議的技術(shù)包括使用統(tǒng)一資源定位符(URL)和對(duì)計(jì)算資源(通常為 "資源定位符")的其他引用以能夠訪問服務(wù)提供商的服務(wù)��。盡管出于說明目的在整個(gè)本公 開中使用URL�,但是應(yīng)理解,本文所描述的技術(shù)通??蛇m用于其他資源定位符(即,可由系統(tǒng) 使用以將計(jì)算資源定位在所述系統(tǒng)內(nèi)的信息的情況)�。此外,本文所描述的技術(shù)通?�?蛇m用 于電子請(qǐng)求�����。
[0020] 在一個(gè)實(shí)施方案中,服務(wù)提供商(例如�,計(jì)算資源服務(wù)提供商)的客戶利用服務(wù)提 供商的一個(gè)或多個(gè)服務(wù)。作為一個(gè)示例��,客戶可利用服務(wù)提供商的數(shù)據(jù)存儲(chǔ)服務(wù)來實(shí)現(xiàn)各 種優(yōu)點(diǎn)�����,諸如歸因于分布式數(shù)據(jù)處理設(shè)施而降低的資本費(fèi)用�����、更簡(jiǎn)單的數(shù)據(jù)管理�、更高的可 用性、更低的延遲等��。為了使其他人(例如���,客戶的客戶或通常為由客戶授權(quán)的用戶)能夠訪 問由提供商管理的客戶的資源���,客戶可利用預(yù)簽的URL。為了生成預(yù)簽的URL���,客戶可生成 URL(或通常為請(qǐng)求)和URL的一部分的電子(數(shù)字)簽名�����。用來生成電子簽名的URL的一部分 可包括密鑰以在處理所述請(qǐng)求中加以使用���。所述密鑰可以多種形式提供。例如�����,所述密鑰可 以是明文對(duì)稱密鑰��、公共_私用密鑰對(duì)的明文公共密鑰�、或以服務(wù)提供商能夠解密或已經(jīng)解 密以使用所述密鑰來執(zhí)行一個(gè)或多個(gè)密碼操作以實(shí)現(xiàn)所述請(qǐng)求的方式加密的對(duì)稱密鑰。
[0021] 通常����,URL可被配置來編碼請(qǐng)求、密鑰和授權(quán)信息�����,所述授權(quán)信息可包括可用來驗(yàn) 證所述請(qǐng)求的認(rèn)證信息(例如��,電子簽名)?�?蓪RL從客戶提供給另一個(gè)實(shí)體���,其不一定是 第三方���,盡管在本公開中稱為第三方,可以是由客戶授權(quán)以致使服務(wù)提供商實(shí)現(xiàn)請(qǐng)求的任 意實(shí)體����。可以各種方式將URL提供給第三方�。例如,在一些實(shí)施方案中�,可將URL提供在網(wǎng)頁 或內(nèi)容通過網(wǎng)絡(luò)傳輸給第三方的其他組織中。URL的提供可經(jīng)受一個(gè)或多個(gè)條件���,諸如從第 三方接收到有效登錄憑證����、從第三方接收到支付或承諾支付和/或其他條件��。
[0022] 第三方可將請(qǐng)求提交給服務(wù)提供商以致使服務(wù)提供商實(shí)現(xiàn)所述請(qǐng)求�。在提交所述 請(qǐng)求之前���,第三方可向所述請(qǐng)求添加另外的信息,諸如待被操作的數(shù)據(jù)和/或向服務(wù)提供商 指示所述請(qǐng)求如何被處理的一個(gè)或多個(gè)參數(shù)的一個(gè)或多個(gè)值��。例如�����,所述參數(shù)可從所述服 務(wù)提供商被配置有使用能力的多個(gè)加密方案/模式中指定加密方案和/或加密方案的模式 的選擇以供使用�����。
[0023] 在接收到所述請(qǐng)求之后�����,所述服務(wù)提供商可檢驗(yàn)電子簽名的有效性以確定是否實(shí) 現(xiàn)所述請(qǐng)求��?��?申P(guān)于確定是否實(shí)現(xiàn)所述請(qǐng)求來執(zhí)行其他操作,諸如確定所述請(qǐng)求的實(shí)現(xiàn)是 否符合任意可適用的策略和/或在所述請(qǐng)求中編碼(例如��,作為授權(quán)信息的一部分編碼)的 一個(gè)或多個(gè)參數(shù)(例如��,期滿)。對(duì)于服務(wù)提供商認(rèn)為可實(shí)現(xiàn)的請(qǐng)求來說��,服務(wù)提供商可從所 述請(qǐng)求提取密鑰�,解密所提取的密鑰(如果可適用的話),和執(zhí)行包括于實(shí)現(xiàn)所述請(qǐng)求中的 一個(gè)或多個(gè)操作���?����?商峁?duì)客戶的響應(yīng)���,諸如所述請(qǐng)求可被實(shí)現(xiàn)的確認(rèn)和/或一個(gè)或多個(gè)操 作的性能的結(jié)果(例如,使用在所述請(qǐng)求中提供的密鑰解密的數(shù)據(jù))����。
[0024] 圖1示出可實(shí)現(xiàn)各個(gè)實(shí)施方案的環(huán)境100的說明性示例。如圖1所示��,環(huán)境100包括 客戶102并且是服務(wù)提供商104��。服務(wù)提供商104的客戶102可利用服務(wù)提供商的各種服務(wù)以 便利用由服務(wù)提供商104提供的各種計(jì)算資源���。例如��,客戶102可操作其自己的服務(wù)并且利 用服務(wù)提供商104的計(jì)算資源��,以便避免依靠其自身實(shí)現(xiàn)計(jì)算資源的費(fèi)用和/或復(fù)雜性����。作 為一個(gè)示例,客戶102可將對(duì)媒體文件諸如視頻文件和/或音頻文件的訪問作為服務(wù)提供給 其他客戶�。但是,為了避免維持足夠穩(wěn)健的數(shù)據(jù)存儲(chǔ)系統(tǒng)所帶來的費(fèi)用和麻煩���,客戶102可 利用可向許多客戶諸如客戶102提供對(duì)數(shù)據(jù)存儲(chǔ)系統(tǒng)的訪問的服務(wù)提供商104的數(shù)據(jù)存儲(chǔ) 系統(tǒng)����。
[0025] 如以上所指出���,客戶102可具有其自身客戶中的一個(gè)或多個(gè),并且因此本公開的各 種技術(shù)涉及在不必用作由服務(wù)提供商104存儲(chǔ)的數(shù)據(jù)的代理的情況下���,允許客戶102向其利 用服務(wù)提供商104的服務(wù)的客戶提供服務(wù)���。圖1中示出了這樣做的一種方式包括客戶102將 URL 106提供給可以是客戶102的客戶或通常為客戶102的服務(wù)的用戶的第三方108。如下文 更加詳細(xì)地所指出�,可以各種方式將URL 106從客戶102提供給第三方108����。
[0026]如在下文更加詳細(xì)地所述����,將URL 106提供給第三方108的一種方式可以是通過使 用網(wǎng)頁或編碼URL的其他接口以便可由第三方108的人類操作員選擇。作為說明性示例����,具 有客戶102的賬戶的人類操作員可登陸到客戶102的網(wǎng)站中,并且由于已經(jīng)登陸進(jìn)去而可訪 問URL 106��。也可以其他方式將URL 106從客戶102提供給第三方108�。例如,可將URL 106編 碼到電子郵件消息或從客戶102到第三方108的其他消息中�。作為另一個(gè)示例,可將URL 106 編碼到以任意合適方式從客戶102提供到第三方108的文檔中�����。通常��,無論提供訪問是否包 括通過網(wǎng)絡(luò)將URL 106傳輸給第三方108���,第三方108訪問URL 106所采用的任意方法被認(rèn)為 在本公開的范圍內(nèi)����。
[0027]應(yīng)注意,圖1示出在客戶102與可以是實(shí)體(諸如組織和/或個(gè)人)的第三方108之間 的信息流��。盡管數(shù)據(jù)被示出為在實(shí)體之間的流���,但是應(yīng)理解�,除非上下文中另外清楚地指 出��,數(shù)據(jù)借助于相應(yīng)實(shí)體的合適的計(jì)算裝置加以傳送���,下文結(jié)合圖10描述其示例���。作為一個(gè) 示例,可從客戶102從客戶102的web或其他服務(wù)器提供URL 106�����。類似地�����,第三方108的人類 操作員可借助于合適的裝置(諸如個(gè)人計(jì)算機(jī)���、移動(dòng)裝置���、平板計(jì)算裝置、電子書閱讀器或 通常被配置來通過網(wǎng)絡(luò)或其他數(shù)據(jù)接收接口接收信息的任意裝置)接收URL 106����。
[0028] 應(yīng)注意,盡管圖1示出URL 106直接從客戶102提供給第三方108,但是URL 106可根 據(jù)各種實(shí)施方案以各種方式加以提供��。如以上所指出��,例如���,客戶102的服務(wù)器可將URL 106 諸如編碼到提供給客戶108的網(wǎng)頁中提供給第三方108���。但是,此類服務(wù)器可使用計(jì)算資源��, 例如�,虛擬計(jì)算機(jī)系統(tǒng)和/或由服務(wù)提供商104托管的一個(gè)或多個(gè)存儲(chǔ)裝置來實(shí)現(xiàn)。換句話 說���,盡管客戶102可能控制向第三方108提供URL 106,但是由URL 106提供給第三方108的資 源可能不直接由客戶102托管��。此外��,URL 106可經(jīng)過圖1中未示出的一個(gè)或多個(gè)中介機(jī)構(gòu)����。 其他變化形式也被視為是在本公開的范圍內(nèi)。
[0029]如所指出的��,在接收到URL 106之后�����,第三方108可使用URL 106來訪問服務(wù)提供商 104的服務(wù)���。作為將在整個(gè)本公開中所使用的一個(gè)示例�����,第三方108可使用URL 106來訪問由 服務(wù)提供商104以客戶102的名義存儲(chǔ)的數(shù)據(jù)����。換句話說���,服務(wù)提供商104的客戶102可使用 URL 106來允許第三方108獲得對(duì)一個(gè)或多個(gè)計(jì)算資源(諸如由服務(wù)提供商104公布的媒體 文件)的訪問��。應(yīng)注意����,盡管對(duì)數(shù)據(jù)的訪問(例如�����,數(shù)據(jù)檢索)在整個(gè)本公開中用作說明性示 例���,但是本文所描述的技術(shù)可用來以許多方式提供對(duì)服務(wù)的訪問���。例如,URL 106可用來允 許第三方108使用服務(wù)提供商104的資源來存儲(chǔ)數(shù)據(jù)�。例如,在當(dāng)客戶102提供給第三方存儲(chǔ) 數(shù)據(jù)的能力作為其提供的服務(wù)的一部分時(shí)的情況下��,此類使用可能是有用的����。通常,URL 106可被用來根據(jù)可由服務(wù)提供商104實(shí)現(xiàn)的請(qǐng)求以任意方式提供訪問���。
[0030]返回示出的實(shí)施方案����,為了得到對(duì)由服務(wù)提供商104托管的資源的訪問,第三方 108可將URL提供給服務(wù)提供商104�。各種信息可被包括在URL中以使服務(wù)提供商104能夠確 定如何和/或是否實(shí)現(xiàn)由第三方108使用URL 106提交給服務(wù)提供商104的請(qǐng)求。例如�����,如圖1 所示���,URL