知財求人 - 知財ポータルサイト「IP Force」
▶ アマゾン テクノロジーズ インコーポレイテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-11-11
(45)【発行日】2022-11-21
(54)【発明の名称】鍵を有するリソースロケーター
(51)【国際特許分類】
H04L 9/32 20060101AFI20221114BHJP
【FI】
H04L9/32 200B
【請求項の数】
14
(21)【出願番号】P 2020126140
(22)【出願日】2020-07-27
(62)【分割の表示】P 2018078782の分割
【原出願日】2014-09-23
(65)【公開番号】P2020184800
(43)【公開日】2020-11-12
【審査請求日】2020-08-03
(31)【優先権主張番号】14/037,282
(32)【優先日】2013-09-25
(33)【優先権主張国・地域又は機関】US
【前置審査】
(73)【特許権者】
【識別番号】506329306
【氏名又は名称】アマゾン テクノロジーズ インコーポレイテッド
(74)【代理人】
【識別番号】100106541
【弁理士】
【氏名又は名称】伊藤 信和
(72)【発明者】
【氏名】ロス グレゴリー ブランチェック
(72)【発明者】
【氏名】ブランドワイン エリック ジェイソン
【審査官】平井 誠
(56)【参考文献】
【文献】特開2003-242124(JP,A)
【文献】米国特許出願公開第2013/0247218(US,A1)
【文献】特開2006-128873(JP,A)
【文献】米国特許出願公開第2002/0083178(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/00-40
G06F 21/00-88
(57)【特許請求の範囲】
【請求項1】
コンピュータシステムの1以上のプロセッサによって実行される命令を記憶した非一時的なコンピュータ読み取り可能な記憶媒体であって、前記命令が実行されると前記コンピュータシステムに、
第1暗号鍵、該第1暗号鍵と関連する署名済部分および未署名部分を含むユニフォームリソースロケータ(URL)の要求を取得させることと、
前記要求を伝送させることと、
前記第1暗号鍵と前記未署名部分の情報とに基づいて生成される前記要求の応答を受信させることと、を備え、
前記未署名部分の情報は、前記署名済部分の有効性に影響を与えない、コンピュータ読み取り可能な記憶媒体。
【請求項2】
前記要求は、秘密鍵で生成された電子署名を含む、
請求項1に記載のコンピュータ読み取り可能な記憶媒体。
【請求項3】
前記秘密鍵は、前記コンピュータシステムには利用できない、請求項2に記載のコンピュータ読み取り可能な記憶媒体。
【請求項4】
前記秘密鍵は、公開鍵―秘密鍵対の秘密鍵であり、前記電子署名は、公開鍵を使用して検証可能である、
請求項2に記載のコンピュータ読み取り可能な記憶媒体。
【請求項5】
前記要求はウェブサービスのためURLの形態であり、前記要求は前記ウェブサービスに伝送される、
請求項1に記載のコンピュータ読み取り可能な記憶媒体。
【請求項6】
前記命令が実行されると前記コンピュータシステムに、前記要求とともに前記第1暗号鍵で暗号化されたデータを伝送させることと、
前記暗号化されたデータのプレーンテキスト形態を受信させることと、
を備える、請求項1に記載のコンピュータ読み取り可能な記憶媒体。
【請求項7】
前記命令が実行されると前記コンピュータシステムに、前記要求とともにデータを伝送させることと、
前記第1暗号鍵で暗号化されたデータの暗号形態を受信させることと、
を備える、請求項1に記載のコンピュータ読み取り可能な記憶媒体。
【請求項8】
1以上のプロセッサと、命令を含むメモリと、を有するシステムであって、
前記プロセッサによって命令が実行された結果、前記システムに、
第1暗号鍵、該第1暗号鍵と関連する署名済部分および未署名部分を含むユニフォームリソースロケータ(URL)の情報の要求をユーザから受け取らせることと、
前記第1暗号鍵とサードパーティに修正された前記未署名部分の情報に基づいて、前記ユーザに要求された情報を提供させることと、を備え、
前記サードパーティにより修正は、前記署名済部分の有効性に影響を与えない、システム。
【請求項9】
前記要求は、前記URLの暗号署名と前記第1暗号鍵とを有し、前記命令は、前記プロセッサによって実行されると、第2暗号鍵を使用して前記暗号署名が有効か否かを決定する、
請求項8に記載のシステム。
【請求項10】
前記プロセッサによって命令が実行された結果、前記システムに、前記暗号署名が有効と決定した結果として前記情報へのアクセスを提供させる、
請求項9に記載のシステム。
【請求項11】
前記要求は、認可されたエンティティによって前記ユーザに適用され、前記第2暗号鍵は、前記認可されたエンティティに関連している、
請求項9に記載のシステム。
【請求項12】
前記プロセッサによって命令が実行された結果、前記システムに、前記第1暗号鍵を使って暗号化動作を行うことによって情報を取得させる、
請求項8に記載のシステム。
【請求項13】
前記暗号化動作は、前記第1暗号鍵を使って前記情報の暗号化された形態の解読を含む、請求項12に記載のシステム。
【請求項14】
前記第2暗号鍵は、前記認可されたエンティティに関連する公開鍵―秘密鍵対の公開鍵であり、前記公開鍵―秘密鍵対の秘密鍵は、前記システムにアクセスできない、
請求項11に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、完全な開示である、2013年9月25日に出願された米国特許第14,037,282号、名称「RESOURCE LOCATORS WITH KEYS」、及び2013年9月25日に出願された米国特許出願第14/037,292号、名称「DATA SECURITY USING REQUEST-SUPPLIED KEYS」を、全ての目的に対して参照により組み込む。
本出願は、完全な開示である、2013年9月25日に出願された米国特許第14,037,282号、名称「RESOURCE LOCATORS WITH KEYS」、及び2013年9月25日に出願された米国特許出願第14/037,292号、名称「DATA SECURITY USING REQUEST-SUPPLIED KEYS」を、全ての目的に対して参照により組み込む。
【背景技術】
【0002】
コンピューティングリソース及び関連付けられるデータのセキュリティは、多くの状況において重要性が高い。一例として、組織は、しばしば、強固な1組のサービスを該組織のユーザに提供するために、コンピューティングデバイスのネットワークを利用する。ネットワークは、しばしば、複数の地理的境界にまたがり、また、しばしば、他のネットワークと接続する。ある組織は、例えば、コンピューティングリソースの内部ネットワーク及び他のものによって管理されるコンピューティングリソースの双方を使用して、その運用をサポートし得る。この組織のコンピュータは、例えば、他の組織のコンピュータと通信して、別の組織のサービスを使用しながらデータにアクセスし得、及び/またはデータを提供し得る。多くの場合において、組織は、他の組織によって管理されるハードウェアを使用して、リモートネットワークを構成及び運用し、それによって、インフラストラクチャコストを削減し、他の利点を達成する。コンピューティングリソースのそのような構成では、特にそのような構成の規模及び複雑さが増大するにつれて、リソース及びリソースが保持するデータへの安全なアクセスを確実にすることが困難になる可能性がある。
【先行技術文献】
【特許文献】
【0003】
【文献】米国特許第2013/0198519号
【発明の概要】
【課題を解決するための手段】
【0004】
要求を満たす際に使用される暗号化鍵を含むために、要求が予め生成される。要求は、ユニフォームリソースロケータの中に符号化され得、また、要求が提出されるサービスプロバイダが、要求が認可されたかどうかを判定することを可能にするために、認証情報を含み得る。要求は、種々のエンティティに渡され得、次いで、エンティティは、該要求をサービスプロバイダに提出することができる。サービスプロバイダは、要求を受け取ると、認証情報を検証し、要求の中に符号化された暗号化鍵を使用して要求を満たすことができる。
【図面の簡単な説明】
【0005】
以下、本開示に従う種々の実施形態を、図面を参照して説明する。
【0006】
【図1】種々の実施形態を実現することができる環境の実例となる実施例を示す図である。
【図2】種々の実施形態を実現することができる環境の実例となる実施例を示す図である。
【図3】少なくとも1つの実施形態に従う、ユニフォームリソースロケーテッド(URL)の実例となる実施例を示す図である。
【図4】少なくとも1つの実施形態に従う、URLの別の実施例を示す図である。
【図5】少なくとも1つの実施形態に従う、データへのアクセスを提供するためのプロセスの実例となる実施例を示す図である。
【図6】少なくとも1つの実施形態に従う、ウェブページの実例となる実施例を示す図である。
【図7】少なくとも1つの実施形態に従う、データへのアクセスを取得するためのプロセスの実例となる実施例を示す図である。
【図8】少なくとも1つの実施形態に従う、要求を処理のためのプロセスの実例となる実施例を示す図である。
【図9】少なくとも1つの実施形態に従う、データへのアクセスを要求し、提供するためのプロセスの実例となる実施例を示す図である。
【図10】種々の実施形態を実現することができる環境を例示する図である。
【発明を実施するための形態】
【0007】
以下の説明では、種々の実施形態が説明される。説明の目的で、実施形態の完全な理解を提供するために、特定の構成及び詳細が記載される。しかしながら、当業者には、実施形態が具体的な詳細を伴わずに実践され得ることも明らかになるであろう。さらに、よく知られている特徴は、説明されている実施形態を不明瞭にしないために、省略または簡略化され得る。
【0008】
本明細書で説明され、提案される技法は、サービスプロバイダのサービスにアクセスすることを可能にするための、ユニフォームリソースロケータ(URL)の使用、及びコンピューティングリソース(全般的に「リソースロケーター」)への他の参照を含む。URLは、例示の目的で本開示の全体を通して使用されるが、本明細書で説明される技法は、全般的に、他のリソースロケーター(すなわち、システム内のコンピューティングリソースの場所を特定するために、システムによって使用できる情報のインスタンス)に適用することができることを理解されたい。さらに、本明細書で説明される技法は、全般的に、電子的な要求に適用することができる。
【0009】
一実施形態において、サービスプロバイダ(例えば、コンピューティングリソースサービスプロバイダ)の顧客は、サービスプロバイダの1つまたは複数のサービスを利用する。一例として、顧客は、設備投資の削減、より簡単なデータ管理、より高い可用性、分散させたデータ処理設備によるより少ない待ち時間、及び同類のもの等の、種々の利点を達成するために、サービスプロバイダのデータ記憶サービスを利用し得る。他の人(例えば、顧客の顧客、または全般的に、顧客によって認可されたユーザ)が、プロバイダによって管理される顧客のリソースにアクセスすることを可能にするために、顧客は、予め署名したURLを利用し得る。予め署名したURLを生成するために、顧客は、URL(または全般的に、要求)及び該URLの一部分の電子(デジタル)署名を生成し得る。電子署名を生成するために使用されるURLの一部分は、要求を処理する際に使用される暗号化鍵を含み得る。暗号化鍵は、種々の形態で提供され得る。例えば、暗号化鍵は、サービスプロバイダが要求を満たすためにその鍵を使用して1つまたは複数の暗号化動作を行って解読することができる、または解読した方法で解読される、プレーンテキスト対称鍵、公開鍵-秘密鍵対のうちのプレーンテキスト公開鍵、または対称鍵であり得る。
【0010】
全般的に、URLは、要求、暗号化鍵、及び要求を検証するために使用できる認証情報(例えば、電子署名)を含み得る認可情報を符号化するように構成され得る。URLは、顧客から別のエンティティに提供され得、このエンティティは、必ずしもサードパーティではなく、本開示ではサードパーティと称されるが、サービスプロバイダに要求を満たさせるために顧客によって認可される任意のエンティティとすることができる。URLは、種々の方法でサードパーティに提供され得る。例えば、いくつかの実施形態において、URLは、サードパーティへのネットワークを通じて伝送されるコンテンツのウェブページまたは他の組織に提供される。URLを提供することは、サードパーティからの有効なログイン信用証明書の受け取り、サードパーティからの支払いの受け取りもしくは支払いの約束、及び/または他の条件等の、1つまたは複数の条件が課され得る。
【0011】
サードパーティは、サービスプロバイダに要求を満たさせるために、要求をサービスプロバイダに提出し得る。要求を提出する前に、サードパーティは、操作されるデータ、及び/または要求をどのように処理するのかをサービスプロバイダに示す1つまたは複数のパラメータの1つまたは複数の値等の、追加的な情報を要求に加え得る。例えば、パラメータは、サービスプロバイダが使用する能力とともに構成される複数の暗号化スキーム/モードから、使用する暗号化スキーム及び/または暗号化スキームのモードの選択を指定し得る。
【0012】
要求を受け取ると、サービスプロバイダは、要求を満たすかどうかを判定するために、電子署名の有効性を確認し得る。他の動作は、要求を満たすことが、任煮の適用可能なポリシーを遵守するかどうか、及び/または要求に符号化される(例えば、認可情報の一部として符号化される)1つまたは複数のパラメータ(例えば、有効期限)を遵守するかどうかを判定する等の、要求を満たすかどうかを判定する際に行われ得る。サービスプロバイダが満たすことができるとみなされる要求の場合、サービスプロバイダは、該要求から暗号化鍵を抽出し、(該当する場合は)抽出した暗号化鍵を解読し、そして、要求を満たす際に関与する1つまたは複数の動作を行い得る。要求が満たされたという肯定応答、及び/または1つまたは複数の動作を行った結果(例えば、要求の中に提供された鍵を使用して解読したデータ)等の、顧客に対する応答が提供され得る。
【0013】
図1は、種々の実施形態を実現することができる環境100の実例となる実施例を示す。図1で例示されるように、環境100は、顧客102を含み、また、サービスプロバイダ104である。サービスプロバイダ104の顧客102は、サービスプロバイダ104によって提供される種々のコンピューティングリソースを利用するために、サービスプロバイダの種々のサービスを利用し得る。例えば、顧客102は、自分でコンピューティングリソースを実現することの出費及び/または複雑な問題を回避するために、顧客自身のサービスを動作させ、サービスプロバイダ104のコンピューティングリソースを利用し得る。一例として、顧客102は、他の顧客に対するサービスとして、ビデオファイル及び/またはオーディオファイル等のメディアファイルへのアクセスを提供し得る。しかしながら、十分に強固な記憶システムを維持することの出費及びトラブルを回避するために、顧客102は、サービスプロバイダ104のデータ記憶システムを利用し得、該サービスプロバイダは、データ記憶システムへのアクセスを、顧客102等の多数の顧客に提供し得る。
【0014】
上で述べられるように、顧客102は、顧客自身の1人または複数の顧客を有し得、故に、本開示の種々の技法は、サービスプロバイダ104によって記憶されたデータのプロキシとしての役割を果たすことを必要とせずに、顧客102が、サービスプロバイダ104のサービスを利用するその顧客にサービスを提供することを可能にすることに関する。これを行うための1つの方法は、図1で例示されるように、URL106をサードパーティ108に提供する顧客102を含み、該サードパーティは、顧客102の顧客であり得るか、または全般的に、顧客102のサービスのユーザである。下でさらに詳細に述べられるように、URL106は、顧客102からサードパーティ108に種々の方法で提供され得る。
【0015】
下でさらに詳細に論じられるように、URL106をサードパーティ108に提供する1つの方法は、サードパーティ108の人間のオペレータによって選択できるようにURLを符号化するウェブページまたは他のインターフェースの使用によるものであり得る。実例となる実施例として、顧客102を伴うアカウントを有する人間のオペレータは、顧客102のウェブサイトにログインし得、そして、ログインした結果として、URL106へのアクセスを有し得る。URL106は、顧客102からサードパーティ108に他の方法でも同様に提供され得る。例えば、URL106は、顧客102からサードパーティ108への電子メールメッセージまたは他のメッセージに符合化され得る。別の実施例として、URL106は、顧客102からサードパーティ108に任意の好適な方法で提供される文書に符合化され得る。全般的に、サードパーティ108がURL106へのアクセスを有する任意の方法は、アクセスを提供することがURL106のネットワークを通じたサードパーティ108への伝送を含むかどうかにかかわらず、本開示の範囲内にあるとみなされる。
【0016】
図1は、顧客102と、組織及び/または個人等のエンティティであり得るサードパーティ108との間での情報の流れを例示していることに留意されたい。データがエンティティ間で流れているように示されているが、別途文脈から明らかでない限り、データは、それぞれのエンティティの適切なコンピューティングデバイスによって転送されることを理解するべきであり、その実施例は、図10と関連して下で説明される。一実施例として、URL106は、顧客102から、顧客102のウェブまたは他のサーバから提供され得る。同様に、サードパーティ108の人間のオペレータは、パーソナルコンピュータ、モバイルデバイス、タブレットコンピューティングデバイス、電子ブックリーダー、または全般的に、ネットワークもしくは他のデータ受信インターフェースを通して情報を受け取るように構成される任意のデバイス等の、適切なデバイスによってURL106を受け取り得る。
【0017】
また、図1は、URL106が顧客102からサードパーティ108に直接提供されているように示されているが、URL106は、種々の実施形態に従って、種々の方法で提供され得ることにも留意されたい。上で述べられるように、例えば、顧客102のサーバは、顧客108に提供されるウェブページに符号化する等で、URL106をサードパーティ108に提供し得る。しかしながら、そのようなサーバは、コンピューティングリソース、例えばサービスプロバイダ104によってホストされる仮想コンピュータシステム及び/または1つまたは複数の記憶デバイスを使用して実現され得る。換言すれば、顧客102は、URL106をサードパーティ108に提供することを制御し得るが、URL106がサードパーティ108に提供されるリソースは、顧客102によって直接ホストされない場合がある。加えて、URL106は、図1で例示されない1つまたは複数の中間物を通過し得る。他の変形例も本開示の範囲内にあるとみなされる。
【0018】
述べられるように、サードパーティ108は、URL106を受け取ると、URL106を使用して、サービスプロバイダ104のサービスにアクセスすることができる。本開示の全体を通して使用される一実施例として、サードパーティ108は、URL106を使用して、顧客102に代わってサービスプロバイダ104によって記憶されたデータにアクセスすることができる。換言すれば、サービスプロバイダ104の顧客102は、URL106を使用して、サードパーティ108が、サービスプロバイダ104によってポストされたメディアファイル等の、1つまたは複数のコンピューティングリソースへのアクセスを取得することを可能にすることができる。本開示の全体を通して、実例となる実施例として、データへのアクセス(例えば、データの取り出し)が使用されているが、本明細書で説明される技法は、サービスへのアクセスを多数の方法で提供するために使用できることに留意されたい。例えば、URL106は、サードパーティ108がサービスプロバイダ104のリソースを使用してデータを記憶することを可能にするために使用され得る。そのような使用は、例えば、顧客102が提供するサービスの一部として、データを記憶する能力をサードパーティに提供する場合に有用であり得る。全般的に、URL106は、サービスプロバイダ104によって満たすことができる要求に従う任意の方法でアクセスを提供するために使用され得る。
【0019】
例示される実施形態に戻ると、サービスプロバイダ104によってホストされるリソースへのアクセスを獲得するために、サードパーティ108は、URLをサービスプロバイダ104に提供し得る。サービスプロバイダ104が、URL106を使用してサードパーティ108によってサービスプロバイダ104に提出された要求をどのように満たすか、及び/または要求を満たすかどうかを判定することを可能にするために、種々の情報がURLに含まれ得る。例えば、図1で例示されるように、URL106は、電子署名110を含み、該電子署名は、顧客102に対応する署名検証鍵112へのアクセスを有することによって、サービスプロバイダ104によって検証することができる。署名検証鍵112は、例えば、顧客102もアクセスを有する対称暗号化鍵であり得る。そのような実施形態において、サービスプロバイダ104は、サードパーティ108がURL106を使用して要求を提出することを顧客102によって認可されたと判定するために、1つまたは複数の対称暗号化署名検証アルゴリズムを使用して、電子署名110を検証することができる。別の実施例として、署名検証鍵112は、公開鍵-秘密鍵対のうちの公開鍵とすることができ、ここで、顧客102は、公開鍵-秘密鍵対のうちの秘密鍵へのアクセスを有する。顧客102は、秘密鍵を使用して電子署名110を生成し得、該秘密鍵は、次いで、サードパーティ108から署名110を受け取った時点で、サービスプロバイダ104によって検証され得る。全般的に、URL106に含まれる任意のタイプの情報が使用され得、該情報は、サービスプロバイダ104が、URL106を使用して提出された顧客108からの要求が顧客102によって認可されたと判定することを可能にする。
【0020】
図1で例示されるように、URL106はまた、暗号化鍵114も含み得る。暗号化鍵114は、顧客102がアクセスを有する暗号化鍵であり得る。URL106に含まれる暗号化鍵のタイプは、種々の実施形態に従って変化し得る。いくつかの実施形態において、例えば、暗号化鍵114は、サービスプロバイダ104によって暗号化または暗号解読に使用される対称鍵である。別の実施例として、暗号化鍵114は、公開鍵-秘密鍵対のうちの公開鍵であり得、秘密鍵は、顧客102によって保持されるが、サービスプロバイダ104によるアクセスは存在しない。さらに別の実施例として、暗号化鍵114は、URLに含まれ得、別の鍵の下で暗号化される形態で対称鍵がURL106に含まれ得、ここで、他の鍵は、種々の実施形態に従って変化し得るが、全般的に、サードパーティ108からURL106を受け取った時点で、サービスプロバイダ104がそれ自体で、または別のサービス、例えば別のサードパーティのサービスを使用して、暗号化鍵114を使用するために解読することができるような鍵である。全般的に、サードパーティ108がURL106をサービスプロバイダ104に提供することを可能にして、サービスプロバイダ104が1つまたは複数の動作のために暗号化鍵114を使用することを可能にするために、暗号化鍵114がURL106でサードパーティ108に提供され得る、任意の方法が使用され得る。このように、サードパーティ108は、顧客102によって提供される暗号化鍵114を使用して、サービスプロバイダ104のサービスを利用することができる。
【0021】
これが有用である1つの方法の実例となる実施例として、顧客102は、サービスプロバイダ104のデータ記憶サービスを利用してデータを記憶し得、ここで、データは、サービスプロバイダ104がアクセスできない鍵を使用した暗号化された形態で記憶される。暗号化鍵114をサードパーティ108へのURL106に含めることによって、サードパーティ108は、サービスプロバイダ104が、暗号化鍵114を使用して、顧客102によってデータ記憶サービスに記憶したデータを解読することを可能にするために、URL106を使用して要求をサービスプロバイダ104に提出することができる。したがって、サービスプロバイダ104がURL106を提供するまで、サービスプロバイダ104は、プレーンテキストの形態の顧客102のデータにアクセスする能力を有しない。サードパーティ108は、種々の方法でURL106を使用して要求をサービスプロバイダ104に提出し得ることに留意されたい。例えば、サードパーティ108のアプリケーションは、グラフィカルユーザインターフェース上の選択可能なユーザインターフェース要素の一部として、URLを提供し得る。選択可能な要素を選択すると、要求を提出するべきインターネットプロトコル(IP)アドレスを決定するために、サードパーティのブラウザ等のアプリケーションが、ドメインネームサービス(DNS)に接触し得る。次いで、要求がIPアドレスに提出され得、ここで、この要求は、URL106を含み得る。次いで、URL106の中の情報が、サービスプロバイダ104がそれに応じて要求を処理することを可能にし得る。
【0022】
図2は、種々の実施形態に従う、サービスプロバイダ200の環境の実例となる実施例を示す。図2で例示されるように、サービスプロバイダ200は、顧客インターフェース202を含む。顧客インターフェースは、サービスプロバイダ200のサブシステムであり得、該サブシステムは、図1と関連して上で説明されるように、顧客からの要求の提出をサービスプロバイダ200によって処理することを可能にする。故に、顧客インターフェースは、顧客が要求をサービスプロバイダ200に提出する能力を提供するための、適切なコンピューティングデバイスを含み得る。この顧客インターフェースは、例えば、インターネットまたは別のネットワークを通じて要求を受け取るように構成される、1つまたは複数のウェブサーバを含み得る。そのように例示されていないが、顧客インターフェース202がサービスプロバイダ200の顧客に対して適切に動作することを可能にする適切なネットワーキング装置等の、他のインフラストラクチャも顧客インターフェース202に含まれ得る。
【0023】
顧客インターフェース202を通して要求を受け取るときに、該要求は、適切な認証情報とともに受け取られ得る。例えば、図2で例示されるように、要求は、URLの一部分の署名206を含むURL204とともに受け取られ得る。署名は、種々の実施形態に従って生成され得る。例えば、URL204を生成した顧客は、顧客とサービスプロバイダ200との間で共有される秘密情報を使用して署名206を生成し得る。別の実施例として、顧客は、秘密鍵-公開鍵対のうちの秘密鍵を使用してURL204に署名するために、非対称のデジタル署名スキームを使用している場合がある。全般的に、URL204を認証するために使用される任意のタイプの情報が使用され得、いくつかの実施形態では、要求は、そのような情報を伴わずに提出され得る。
【0024】
しかしながら、図2で例示されるように、顧客インターフェース202を通して要求を受け取るときには、要求のURL204が、(例えば、サービスプロバイダ200の内部ネットワークを通じて)署名206とともにサービスプロバイダ200の認証システム208に提供される。代替的に、URLの全部の代わりに、電子署名206を生成するのに十分なURLの一部分が提供され得る。認証システム208は、要求とともに含まれるURLとともに提供される電子署名を検証することなどによって要求を認証するように構成される、サービスプロバイダ200のサブシステムであり得る。URL204の署名206を検証すると、認証システム208は、署名206が有効であるかどうかを示す応答を顧客インターフェース202に提供し得る。顧客インターフェース202のデバイス(例えば、ウェブサーバ)は、URL204をどのように処理するのかを決定するために、認証システム208によって提供される情報を使用し得る。例えば、認証システム208が、署名206が無効であることを示した場合、顧客インターフェース202は、要求を拒否し得る。同様に、認証システム208からの情報が、URL204の署名206が有効であることを示した場合、顧客インターフェース202は、要求を処理させ得る。
【0025】
図で例示されていないが、サービスプロバイダ200内で、もしくはそれに代わって動作する認証システム208または別のシステムは、要求をどのように処理するのかを決定することと関連して他の動作を行うように動作し得る。例えば、要求を満たすことができるかどうかを判定し得る1つまたは複数のポリシーを確認するために、認証システム208またはそれと協働して動作する別のシステムが使用され得る。ポリシーの判定は、要求を提出した要求側の識別情報、時刻、データが記憶されるまたは記憶されるべき場所の論理的識別子、及び他のコンテキスト情報等の、種々の要因に少なくとも部分的に基づいて行われ得る。ポリシーは、顧客インターフェース202を通して、または適切に構成されたアプリケーションプログラミングインタフェース(API)コールによる別のインターフェースを通して管理され得る。
【0026】
図2で例示される実施形態に戻ると、認証システム208が、署名206が有効であると判定した場合、顧客インターフェース202は、要求を処理すると判定し得る。要求を処理することは、顧客インターフェース202と要求処理インフラストラクチャ212との間で、暗号化されたデータ210を転送することを含み得る。要求処理インフラストラクチャ212は、サービスプロバイダ200のサービスを提供するために集合的に動作する、1つまたは複数のデバイスを備え得る。例えば、図2で例示されるように、要求処理インフラストラクチャは、サービスプロバイダ200の顧客に代わってデータを記憶するために使用される、複数のデータ記憶システム214を備え得る。また、例示されていないが、ネットワークインフラストラクチャを含む他のインフラストラクチャも含まれ得る。例えば顧客インターフェース202と要求処理インフラストラクチャ212との間のネットワークを通じた、データの移動は、顧客インターフェース202を通して提出され得る種々のタイプの要求に従って、種々の実施形態に従う種々の方法で起こり得る。例えば、データを記憶する要求にURL204が含まれる場合、顧客インターフェースは、URL204に提供される鍵216を利用して、データ記憶システム214のうちの1つまたは複数に記憶するために、データを暗号化し、暗号化したデータ210を要求処理インフラストラクチャ212に伝送し得る。
【0027】
同様に、要求が、データを取り出す要求である場合、顧客インターフェース202は、データ記憶システム214のうちの1つまたは複数からのデータを顧客インターフェース202に提供することを可能にする通信を、要求処理インフラストラクチャ212に伝送し得る。次いで、顧客インターフェース202は、URL204に提供される鍵216を使用して、暗号化されたデータ210を解読し、解読したデータを、要求を提出した顧客に提供し得る。図2で例示されるサービスプロバイダ200の環境は、例示の目的で簡略化されていること、及び顧客によるサービスプロバイダ200の使用を記録するアカウンティングシステム等の、多数の他のデバイス及びサブシステムも含まれ得ることに留意されたい。さらに、サービスプロバイダ200は、重複性及び/または可用性の目的で、異なる地理的な場所に位置する設備を含み得る。
【0028】
図3は、種々の実施形態に従う、URL300の実例となる実施例を示す。一実施形態において、上で述べられるように、URL300は、URL300の一部分の電子署名302と、暗号化鍵304とを含み得る。URL300はまた、経路306等の他の情報も含み得る。経路306は、上で説明されるようなサービスプロバイダが、URL300を介して提出される要求と関連付けられる1つまたは複数のリソースの場所を特定することを可能にする情報を含み得る。URL300の他の情報としては、要求を満たすことによって行われる1つまたは複数の動作308を示す情報が挙げられ得る。指定され得る例示的な動作としては、データの記憶、データの取り出し、データのデジタル署名の生成、及び他の動作が挙げられるが、それらに限定されない。いくつかの実施形態において、URLは、複数の動作、及び動作が行われるべき順序を指定し得る。
【0029】
例示されるように、URL300は、有効期限310を含む。有効期限は、満たすことができる要求をサービスプロバイダに提出するためにURL300を使用することができなくなるまでの時間にわたって、値を符号化し得る。換言すれば、有効期限は、そうでなければURLを使用して提出された満たすことができる要求が、時間に到達したために満たすことができなくなるまでの時間を示す。一実施例として、図1を参照すると、ある特定のデータへの一時的なアクセスの提供を望む顧客102は、URL106がサードパート108に対して使用することができる時間の量を制限するために、URL106の有効期限310を利用し得る。有効期限310が顧客によって発行されてから修正されていないときにだけ署名302が有効であることを確実にするために、有効期限310は、電子署名302を生成するために使用されるURL300のデータに含まれ得る。このようにして、有効期限を過ぎた後のURLへのアクセスは、単に有効期限を修正することによってデータにアクセスする能力を提供しない。要求を満たすかどうかを判定するときにURL300を受け取るサービスプロバイダは、有効期限及び/または他の情報を利用して、要求を満たすかどうかを判定し得る。例えば、有効期限310の前にURLが要求を提供した場合、サービスプロバイダは、要求を満たし得る(要求を満たすための全ての他の要件が、該当する場合は、満たされていると仮定する)。同様に、有効期限310を過ぎた後にURL300が要求とともにサービスプロバイダに提供された場合、サービスプロバイダは、要求を満たすための任意の他の要件が満たされているとしても拒否し得る。有効期限は、プロバイダが要求を満たすかどうかを潜在的に判定するパラメータとして、本開示の全体を通して使用されるが、要求を満たす基準は、より複雑になり得ることに留意されたい。例えば、要求を満たす基準は、終了時間を過ぎたとしても要求を満たすことができるように構成され得る。他のコンテキスト情報(例えば、要求側の識別情報)は、例えば、有効期限に優先し得る。
【0030】
例示されるように、URL300はまた、他のパラメータ312も含み得る。他のパラメータは、サービスプロバイダが要求を満たすかどうか、及び/またはどのように満たすのかを判定することを可能にするパラメータであり得る。例えば、上で述べられるように、URL300は、有効期限310を含み得る。他のパラメータ312に含まれる別のパラメータは、URL300が要求をサービスプロバイダに提出するために使用できるようになる時間を示す、開始時間であり得る。開始時間と終了時間との組み合わせは、URLを使用して提出された要求を満たすことができる時間ウィンドウを提供し得る。開始時間は、例えば、ある特定の時間(例えば、メディアファイルの発行)まで、データへのアクセスを阻止する場合に有用である。したがって、サービスプロバイダの顧客は、データへのアクセスを提供する、または別様には満たすことができる要求をサービスプロバイダに後で提出するために使用できる、1つまたは複数のURLを予め生成することができる。将来にデータへのアクセスを可能にするURLを予め生成するそのような能力は、そのようなアクセスを与えることが所望されるまである特定のデータへのアクセスを提供することなく、コンテンツ配信ネットワーク(CDN)を予め用意する、及び/またはURLを伴うコンテンツを予め構成する等の、技術的利点を提供する。
【0031】
図1を参照すると、図3で例示されるURLの他のパラメータは、暗号化鍵304(または図1を参照するときには114)を使用して1つまたは複数の暗号化動作が行われるデータ、要求を満たすことをどのように行うかに関するパラメータ、が挙げられるが、それらに限定されない、サードパーティによって加えられる他の情報を含み得る。
【0032】
図4は、上で論じられるURL300または全般的に本明細書で説明される任意のURLであり得る、URL400の実例となる実施例を示す。例示されるように、URL400は、署名済部分402と未署名部分404とを含む。署名済部分は、その修正がURL400を無効にさせることができる情報を含み得る。一実施例として上で論じられるように、署名済部分402は、有効期限406を含み得る。加えて、署名済部分は、暗号化鍵408を含み得る。全般的に、署名済部分は、URL400を提供する顧客が任意の情報の偽造を阻止することを意図する、そのような情報を含み得る。情報としては、例えば、URL400の提出を認可された識別情報、URL400をいつ使用できるのかに関するタイミング情報(例えば、1つまたは複数の開始時間及び/または終了時間)、及びURL400を使用して提出された要求を処理するべきかどうか、及び/またはどのように処理するべきかを判定する他のコンテキスト情報を挙げることができる。URL400の未署名部分は、上で説明されるような電子署名410、暗号化鍵408を使用して1つまたは複数の暗号化動作が行われるサードパーティによって加えられたデータであり得る追加的な要求データ412、及び/または全般的に、サードパーティが電子署名410の無効性を生じさせることなく変更することができる情報等の、種々の情報を含み得る。
【0033】
URL400は、本開示の種々の態様を例示するために、特定の方法で例示される。多数の変形例が本開示の範囲内にあるとみなされる。例えば、図4で例示されるように、URL400は、URL400の署名済部分の中の暗号化鍵を示す。URL400の署名済部分の中の暗号化鍵に加えて、またはそれに代わるものとして、URLの未署名部分は、暗号化鍵を備え得る。例えば、いくつかの実施形態において、サービスプロバイダの顧客は、署名済部分を有するURLをサードパーティに提供し得る。サードパーティは、暗号化鍵をURLに加え得、追加的な暗号化鍵を有するURLを使用して、要求をサービスプロバイダに提出し得、ここで、要求を満たすことは、URLの署名済部分に少なくとも部分的に基づいて生成される署名を介して、顧客によって認可される。このようにして、サードパーティは、暗号化鍵へのアクセスをサービスプロバイダ(要求を満たすことの一部として1つまたは複数の暗号化動作を行うときを除く)、または顧客のいずれにも提供することなく、サービスプロバイダの1つまたは複数のサービスを利用し得る。したがって、顧客またはサービスプロバイダのいずれかでのセキュリティ違反または他のイベントは、暗号化鍵へのアクセスを提供せず、その結果、プレーンテキストの形態のデータへのアクセスを可能にしない。さらに、暗号化動作は、URLの署名済部分の中の鍵(顧客によって供給される)、及びURLの未署名部分の中の鍵(サードパーティによって供給される)の双方を使用して行われ得る。このようにして、プレーンテキストの形態のデータへのアクセスには、サードパーティ及び顧客の双方の間の協働が必要とされる。また、サービスプロバイダの鍵が代替として、または加えて使用される変形例を含む、他の変形例も本開示の範囲内にあるとみなされる。
【0034】
図5は、種々の実施形態に従う、データへのアクセスを提供するためのプロセス500の実例となる実施例を示す。プロセス500は、図1と関連して上で説明されるような、顧客によって操作されるシステム等の、任意の適切なシステムによって行われ得る。一実施形態において、プロセス500は、502で、署名されるURLの一部分を生成することを含む。URLの一部分は、プロセス500を行うエンティティが偽造の阻止を所望する情報を含み得る。種々の実施形態において、署名されるURLの一部分に含まれる情報の量は、変動し得る。例えば、署名されるURLの一部分は、顧客のリソースへの経路、暗号化鍵、サービスプロバイダによって要求を満たすことを可能にするためにURLをいつ及び/またはどのように使用することができるのかを定義する1つまたは複数のコンテキストパラメータ、及び/または他の情報を含み得る。
【0035】
502で、署名されるURLの一部分が生成されると、プロセス500は、504で、生成されたURLの一部分に署名するために、署名鍵を使用することを含み得る。署名鍵は、任意の暗号化鍵であり得、該暗号化鍵は、電子署名を生成するために使用されたときに、URLを提出することができるサービスプロバイダによって検証できる電子証明を提供する。例えば、いくつかの実施形態において、署名鍵は、プロセス500を行うエンティティとサービスプロバイダとの間で共有される秘密情報であり得る。他の実施形態において、署名鍵は、公開鍵-秘密鍵対のうちの秘密鍵であり得、ここで、サービスプロバイダは、公開鍵-秘密鍵対のうちの公開鍵(及び、場合により、認可機関)を利用して、電子署名を検証することができる。図5は、暗号化鍵を含む署名されるURLの一部分を示しているが、いくつかの実施形態は、署名されるURLの一部分以外に含まれる署名鍵を有し得ることに留意されたい。暗号化鍵のそのような包含は、例えば、鍵の偽造が問題にならない場合に使用され得る。例えば、データ記憶装置からのデータにアクセスするためにURLを使用できる場合、修正された暗号鍵は、全般的に、データを解読するために使用できず、その結果、鍵の修正に対して保護することが必要になり得ない。
【0036】
URLの生成された一部分の電子署名を生成するために署名鍵を使用すると、プロセス500は、506で、電子署名を含むようにURLの構築を完成することを含み得る。論じられるように、506ではまた、URLの構築を完成するために、URLの追加的なパラメータ等の他の情報も使用され得る。506で完成すると、プロセス500は、508で、完成したURLをサードパーティに提供することを含み得る。サードパーティは、例えば、上で説明されるようなプロセス500を行うエンティティの顧客であり得る。508で、完成したURLをサードパーティに提供することは、種々の実施形態に従う、種々の方法で行われ得る。例えば、下でさらに詳細に論じられるように、URLは、ウェブページにおいてサードパーティに提供され得、ここで、ウェブページが提供される前に、ウェブページにアクセスするための1つまたは複数の要件が必要とされ得る。実例となる実施例のように、サードパーティは、完成したURLを有するウェブページにアクセスするために、ログイン/サインインプロシージャを行うことが必要とされ得る。全般的に、URLは、電子メッセージ等の任意の方法で、または一方のシステムからもう一方にデータが渡され得る任意の方法で提供され得る。さらに、サードパーティは、例示の目的で使用されているが、URLが提供されるエンティティは、必ずしもプロバイダまたは顧客に対するサードパーティではないことに留意されたい。例えば、プロセス500が組織のシステムによって行われる一実施形態において、本明細書で説明される技法は、データへのアクセスを組織の職員に提供するために使用され得る。したがって、サードパーティの代わりに、URLは、プロセス500が行われる組織内のユーザに提供され得る。他の変形例も本開示の範囲内にあるとみなされる。
【0037】
図6は、種々の実施形態に従う、URLを提供するために使用され得るウェブページ600の実例となる実施例である。図6で例示されるように、ウェブページ600は、種々のコンテンツを含む。ウェブページ600で例示されるコンテンツは、本質的に実例であり、コンテンツのタイプ及び外観、ならびにその量は、種々の実施形態に従って変動し得る。ウェブページ600は、種々の実施形態に従って種々の方法で提供され得る。例えば、ウェブページは、図1と関連して上で説明されるサードパーティ等のクライアントのブラウザアプリケーション等のアプリケーションに、ネットワークを通じて提供され得る。しかしながら、ウェブページ600は、全般的に、ウェブページを受け取り、処理することができる任意の適切なデバイスによって提供され得る。ウェブページ600は、例示の目的で使用されているが、本明細書で説明される種々の実施形態に従って構成されるURLまたは他のリソースロケーターは、種々の実施形態に従って種々の方法でコンテンツに提供され得る。例えば、コンテンツは、必ずしもブラウザアプリケーションに分類されない、モバイルアプリケーションまたは他のアプリケーションに提供され得る。全般的に、URLまたは他のリソースロケーターが提供され得るあらゆる方法が、本開示の範囲内にあるとみなされる。
【0038】
図6で例示されるように、ウェブページ600は、ウェブページ600が一部であるウェブサイトの全体を通してのナビゲーションを可能にする、種々のグラフィックユーザインターフェース要素を含む。本実施例において、ウェブページ600は、ストリーミングビデオコンテンツを1人または複数の顧客に提供すること等によってアクセスをビデオコンテンツに提供する、電子商取引ウェブサイトの一部である。例えば、ウェブページ600の左側には、種々のビデオジャンルへの種々のリンク602が提供される。本実施例において、リンクは、テキストワードとして現れ、該テキストワードは、キーボード、マウス、タッチスクリーン、または他の入力デバイス等の適切な入力デバイスを使用してリンクを選択することを可能にする。リンクの選択は、ウェブページ600を表示させるアプリケーションに、ウェブページ600のプログラミングによってリンクと関連付けられるURLに従って、http要求を、ウェブページ600を提供したサーバまたは別のサーバに提出させ得る。本実施例において、ウェブページ600はまた、再生ボタン604として構成されるグラフィカルユーザ要素も含む。再生ボタン604は、ウェブページ600のグラフィカルユーザインターフェース要素であり得、ここで、ウェブページ600の下層のコードは、ボタン604の入力デバイスによる選択が、要求を適切なサーバに提出させるように構成される。
【0039】
本実施例において、ウェブページ600のコードは、本明細書で説明される種々の技法に従って構成され得るURL606を含む。この実例となる実施例において、URL606は、この場合ではビデオファイルであるリソースへの経路608を含む。URL606はまた、暗号化鍵610、有効期限612、及び電子署名614も含み得る。電子署名は、経路608、暗号化鍵610、及び有効期限612、及び/または他の情報に対して少なくとも部分的に生成され得る。全般的に、URL606は、図に例示されない追加的な情報を含み得る。故に、ユーザがボタン604を選択すると、適切に構成された要求、本実施例ではhttp要求が、URL606を使用してサーバに提出される。図で例示されていないが、そのような要求は、ドメインネームサービス(DNS)からサーバのIPアドレスを取得するためにURL606の経路608を使用し、そして、URL606を有する要求をインターネットまたは他のネットワークを通じてIPアドレスに提出することによって提出され得る。
【0040】
ウェブページ600を処理するデバイスは、応答を受け取り得、該応答は、要求の提出時にURL606が有効である場合に、経路608が指すリソースを含み得る。本明細書のどこかで述べられるように、例えばURL606が有効期限612を過ぎて提出されたため、またはURL606が修正されたため該URLが無効であった場合、そのような要求は拒否され得る。
【0041】
図7は、種々の実施形態に従う、データにアクセスするためのプロセス700の実例となる実施例を示す。プロセス700は、図1と関連して上で説明されるサードパーティのシステム等の、任意の適切なシステムによって行われ得るが、述べられるように、プロセス700を行うシステムは、必ずしもプロセス700によって行うことに関与する他のエンティティ対するサードパーティとは限らない。一実施形態において、プロセス700は、702で、プロバイダの顧客からURLを取得することを含む。702で、上で説明されるようにウェブページを通す、または別の方法等で、種々の実施形態に従って種々の方法でURLが取得され得る。702で取得すると、704で、取得したURLを使用して、要求をプロバイダに提出し得る。いくつかの実施形態において、URLは、HTTPに従う等の、プロバイダが許容できる様式でフォーマットされる要求として、プロバイダに提供される。しかしながら、いくつかの実施形態において、704で、取得したURLを使用して、要求をプロバイダに提出することは、要求を提出する前にURLを修正することを含み得る。例えば、いくつかの実施形態において、URLは、プロセス700を行うシステムによってURLに加えられるデータに対して、URLによって供給される暗号化鍵を使用して1つまたは複数の動作を行う要求を提出するために使用され得る。別の実施例として、プロセス700を行うシステムは、どのように要求を処理するのかを、及び/または要求を満たすために、取得したURLの有効な署名に加えて、プロバイダによって必要とされ得る情報を供給することをプロバイダに指示するため等の、種々の目的で、1つまたは複数のパラメータをURLに加え得る。プロセス700を行うシステム及び/またはプロバイダに有用な他の情報も含まれ得る。
【0042】
取得したURLに加えることは、取得したURLとともに含まれた電子署名を生成するために使用される一部分以外のURLの一部分に情報を加えることを含み得る。このようにして、電子署名を無効にすることなく、情報をURLに加えることができる。704で、取得したURLを使用して、要求をプロバイダに提出すると、プロセス700は、要求が適切に提出された、別様には、満たすことができると仮定すると、706で、プロバイダから要求を処理した結果を取得する。例えば、要求によって指定される1つまたは複数の動作に応じて、プロバイダからの応答に結果が含まれ得る。一実施例として、要求が、要求とともに提供されるデータを、または別様には要求によって指定されるデータを、暗号化または解読することであった場合、必要に応じて、706で取得した結果は、暗号化または解読したデータを含み得る。全般的に、要求において提供される暗号化鍵を使用して行われる暗号化動作に応じて、706で取得した結果は、変動し得る。
【0043】
図8は、データへのアクセスを提供するためのプロセス800の実例となる実施例を示す。プロセス800は、上で説明されるようなサービスプロバイダのウェブサーバ等の適切なシステムによって行われ得る。一実施形態において、プロセス800は、802で、URLを有する要求を受け取ることを含む。URLは、上で説明されるような暗号化鍵及び電子署名及び/または他の情報を含み得る。804で、電子署名がURLから抽出され得、そして806で、要求が有効かどうかを判定するために使用され得る。806で、要求が有効であるかどうかを判定することは、電子署名を検証するために対称署名検証アルゴリズムまたは非対称署名検証アルゴリズムを使用する等によって、種々の実施形態に従う種々の方法で行われ得、これは、公開鍵-秘密鍵対のうちの公開鍵を使用して、電子署名の有効性を判定するために、認可機関と通信することを含み得る。
【0044】
806で、署名が無効であると判定された場合、プロセス800は、808で、要求を拒否することを含み得る。要求は、要求が拒否されたことを示す通信及び/またはその拒否の1つまたは複数の理由を伝送すること等によって、808で、種々の実施形態に従う種々の方法で拒否され得る。また、必ずしも要求に応答する通信を伝送することを必要とすることなく、単に要求を満たさないこと等によって要求が拒否され得る他の方法も使用され得る。全般的に、要求が拒否され得る任意の方法が使用され得る。しかしながら、806で、署名が有効であると判定された場合、プロセス800は、810で、802で受け取ったURLから暗号化鍵を抽出することを含み得る。抽出した暗号化鍵は、812で、要求を処理する(すなわち、満たす)ために使用され得る。要求を処理することは、暗号化鍵を使用して、要求とともに含まれるデータ、または別様には要求によって指定されるデータに対して1つまたは複数の暗号化動作を行うことを含み得る。814で、要求に対する応答が提供され得る。814で、応答を提供することは、暗号化鍵を使用して1つまたは複数の暗号化動作を行った結果(例えば、暗号化したデータ、解読したデータ、及び/または電子署名)、及び/またはそのような動作を行った肯定応答を提供することを含み得る。
【0045】
プロセス800は、例示の目的で、ある特定の方法で説明されているが、変形例は、本開示の範囲内にあるとみなされる。例えば、図8は、署名が有効であるという条件で処理されている要求を示す。しかしながら、要求を処理するべきかどうかを判定するために、1つまたは複数の他の動作が行われ得る。一実施例として、要求が有効であるかどうかを判定することは、要求がポリシーを遵守するかどうかを確認することを含み得る。故に、要求を満たすことがポリシーを遵守するかどうかを判定するために、サービスプロバイダの顧客によって構成されるポリシーが確認され得る。さらに、上で述べられるように、URLは、要求を行うべきであるかどうか、及び/またはどのように行うべきであるかに関する種々のコンテキスト情報を含み得る。故に、806で、プロセス800を行っている間に要求が有効であるかどうかを判定することは、そのような条件が満たされるかどうかを確認すること、及び/またはURLに含まれるそのような情報に従って要求を処理することを含み得る。全般的に、要求を満たすことは、1つまたは複数の条件を満たすことを必要とし得、要求が満たされる様式は、要求において指定されるパラメータに少なくとも部分的に依存し得る。
【0046】
さらに、いくつかの実施形態において、暗号化鍵を使用すると、プロセスは、1つまたは複数の動作を行うことを含み得、該動作は、システムによる、及び全般的にプロセス800が行われるエンティティによる暗号化鍵へのアクセスを失わせる。暗号化鍵へのアクセスを失わせる動作は、例えば、暗号化鍵が記憶される1つまたは複数のメモリロケーションに上書きすること、及び/または以降の要求を処理する等のためにそのようなメモリロケーションに上書きすることを可能にする1つまたは複数のアクションを行うことを含み得る。全般的に、即座にまたは最終的に暗号化鍵へのアクセスを失わせる任意の動作が行われ得る。このようにして、URLにおいて鍵を供給した顧客は、サービスプロバイダが、暗号化鍵が要求を満たす必要があるときに対応する限られた継続時間にわたって、暗号化鍵へのアクセスを有することを確実にすることができる。他の変形例も本開示の範囲内にあるとみなされる。
【0047】
図9は、一実施形態に従う、アクセスをデータに提供するためのプロセスの実例となる実施例を示す。図9で例示されるように、プロセスは、適切なシステムによって、及びこの特定の実施例では、場合により、プロセス900の動作を互いに分離する破線によって示される複数のシステムによって行われ得る。一実施形態において、プロセス900は、902で、顧客が、プロバイダによってラップ解除できる(利用できる)ように暗号化秘密をラップすることを含む。暗号化秘密をラップすることは、例えば、プロバイダによって鍵をラップ解除できる(解読できる)ように適切な暗号化鍵を使用して、暗号化秘密を暗号化することによって行われ得る。例えば、暗号化秘密は、プロバイダの顧客とプロバイダとの間で共有される秘密情報を使用してラップされ得る。別の実施例として、暗号化秘密は、公開鍵-秘密鍵対のうちの公開鍵を使用してラップされ得、ここで、プロバイダは、公開鍵-秘密鍵対からの秘密鍵を使用して暗号化秘密をラップ解除することができる。図9は、ラップした暗号化秘密がプロバイダによってラップ解除できるように例示されているが、全般的に、本開示の変形例は、プロバイダが暗号化秘密自体をラップ解除するのではなく、プロバイダの代わりに暗号化秘密をラップ解除する別のシステム(例えば、サードパーティのシステム)を有することができることに留意されたい。
【0048】
図9の実例となる実施例に戻ると、904で、顧客は、ラップした秘密を有するURLを構築し得る。URLは、904で、上で説明されるように構築され得る。次いで、906で、顧客は、適切な署名鍵を使用して、構築したURLの電子署名を生成することによって、URLに署名し得る。次いで、908で、電子署名を含むようにURLが完成され得る。次いで、910で、完成したURLが上で説明されるようなサードパーティに提供され得る。910で、完成したURLを提供すると、912で、サードパーティは、完成したURLを使用して、要求をプロバイダに提出し得る。一実施例として、URLは、サードパーティのアプリケーションに、完成したURLを使用して要求をプロバイダに提出させるために、サードパーティのユーザによって選択できるように、ウェブページまたは他のコンテンツに符号化され得る。
【0049】
要求がプロバイダに提出されると、914で、プロバイダが要求を正規化し、検証し得る。正規化は、一方のエンティティからもう一方に要求を伝送する間に、要求が変更され得る種々の方法を逆転させるために行われ得ることに留意されたい。正規化は、例えば、電子署名の検証が正しく行われることを確実にするために行われ得る。例えば、要求が有効である場合に、電子署名も同様に有効であることを確実にするために、要求に挿入される、または要求から削除される追加的な特性が、必要に応じて除去され得、及び/または加えられ得る。910で、プロバイダは、要求を検証すると、暗号化鍵を解読するために適切な暗号化アルゴリズムを行うことによって(または別様には、行わせることによって)、暗号化秘密をラップ解除し得る。次いで、912で、暗号化鍵を使用して要求を処理し得、914で、プロバイダは、プロバイダが行った1つまたは複数の暗号化動作を行った結果、及び/または該暗号化動作を行ったことの肯定応答を提供する等で、サードパーティの要求に応答し得る。上で述べられるように、次いで、916で、プロバイダは、上で説明されるように、暗号化秘密へのアクセスを失い得る。
【0050】
本開示の実施形態は、以下の付記を考慮して説明することができる。
【0051】
付記1
コンピュータで実現される方法であって、
実行可能命令とともに構成される1つまたは複数のコンピュータシステムの制御下で、
要求を受け取る前に前記1つまたは複数のコンピュータシステムによるアクセスが存在しない暗号化鍵を使用して、要求側から、1つまたは複数の動作を行う該要求を受け取ることであって、該要求は、ユニフォームリソースロケータを含み、該ユニフォームリソースロケータは、
前記1つまたは複数の動作を示し、
前記ユニフォームリソースロケータの一部分及び前記要求側がアクセスできない秘密情報に少なくとも部分的に基づいて、第1のエンティティによって生成される電子署名を含み、また、前記暗号化鍵を含む、受け取ることと、
電子署名が有効であるかどうか判定を行うことと、
この判定が、前記電子署名が有効であることを示すということを条件として、前記示された1つまたは複数の動作をデータに対して行って、前記1つまたは複数の動作の結果を生成するために、前記要求からの前記暗号化鍵を使用することと、
前記要求に従って前記1つまたは複数の動作の前記結果を提供することと、
前記示された1つまたは複数の動作を前記データに対して行うために、前記要求からの前記暗号化鍵を使用した後に、前記暗号化鍵へのアクセスを失わせるための1つまたは複数の動作を行うことと、を含む、コンピュータで実現される方法。
コンピュータで実現される方法であって、
実行可能命令とともに構成される1つまたは複数のコンピュータシステムの制御下で、
要求を受け取る前に前記1つまたは複数のコンピュータシステムによるアクセスが存在しない暗号化鍵を使用して、要求側から、1つまたは複数の動作を行う該要求を受け取ることであって、該要求は、ユニフォームリソースロケータを含み、該ユニフォームリソースロケータは、
前記1つまたは複数の動作を示し、
前記ユニフォームリソースロケータの一部分及び前記要求側がアクセスできない秘密情報に少なくとも部分的に基づいて、第1のエンティティによって生成される電子署名を含み、また、前記暗号化鍵を含む、受け取ることと、
電子署名が有効であるかどうか判定を行うことと、
この判定が、前記電子署名が有効であることを示すということを条件として、前記示された1つまたは複数の動作をデータに対して行って、前記1つまたは複数の動作の結果を生成するために、前記要求からの前記暗号化鍵を使用することと、
前記要求に従って前記1つまたは複数の動作の前記結果を提供することと、
前記示された1つまたは複数の動作を前記データに対して行うために、前記要求からの前記暗号化鍵を使用した後に、前記暗号化鍵へのアクセスを失わせるための1つまたは複数の動作を行うことと、を含む、コンピュータで実現される方法。
【0052】
付記2
前記ユニフォームリソースロケータはさらに、前記データを識別する経路を符合化し、
前記示された1つまたは複数の動作を行うために前記暗号化鍵を使用することは、前記データにアクセスする前記符合化された経路を使用することを含む、付記1に記載のコンピュータで実現される方法。
前記ユニフォームリソースロケータはさらに、前記データを識別する経路を符合化し、
前記示された1つまたは複数の動作を行うために前記暗号化鍵を使用することは、前記データにアクセスする前記符合化された経路を使用することを含む、付記1に記載のコンピュータで実現される方法。
【0053】
付記3
前記データの少なくともいくつかは、前記要求において前記要求側によって供給される、付記1~2に記載のコンピュータで実現される方法。
前記データの少なくともいくつかは、前記要求において前記要求側によって供給される、付記1~2に記載のコンピュータで実現される方法。
【0054】
付記4
前記ユニフォームリソースロケータの前記一部分は、有効期限を示し、
前記示された1つまたは複数の動作を行うために前記暗号化鍵を使用することは、前記有効期限の前に前記要求を受け取ることをさらなる条件として行われる、付記1~3のいずれか1つに記載のコンピュータで実現される方法。
前記ユニフォームリソースロケータの前記一部分は、有効期限を示し、
前記示された1つまたは複数の動作を行うために前記暗号化鍵を使用することは、前記有効期限の前に前記要求を受け取ることをさらなる条件として行われる、付記1~3のいずれか1つに記載のコンピュータで実現される方法。
【0055】
付記5
前記要求を受け取ることは、サービスプロバイダによって行われ、
前記第1のエンティティは、前記サービスプロバイダの顧客であり、
前記要求側は、前記サービスプロバイダの顧客でない、付記1~4のいずれか1つに記載のコンピュータで実現される方法。
前記要求を受け取ることは、サービスプロバイダによって行われ、
前記第1のエンティティは、前記サービスプロバイダの顧客であり、
前記要求側は、前記サービスプロバイダの顧客でない、付記1~4のいずれか1つに記載のコンピュータで実現される方法。
【0056】
付記6
前記示された1つまたは複数の動作を行うために前記暗号化鍵を使用することは、前記第1のエンティティによって構成される1つまたは複数のポリシーを前記要求が遵守することをさらなる条件として行われる、付記1~5のいずれか1つに記載のコンピュータで実現される方法。
前記示された1つまたは複数の動作を行うために前記暗号化鍵を使用することは、前記第1のエンティティによって構成される1つまたは複数のポリシーを前記要求が遵守することをさらなる条件として行われる、付記1~5のいずれか1つに記載のコンピュータで実現される方法。
【0057】
付記7
前記要求は、前記要求を生成するために前記第1のエンティティによって生成される最初のユニフォームリソースロケータに加えられる情報を含み、
前記示された1つまたは複数の動作を行うために前記暗号化鍵を前記使用することは、前記最初のユニフォームリソースロケータに加えられる前記情報に少なくとも部分的に基づく、付記1~6のいずれか1つに記載のコンピュータで実現される方法。
前記要求は、前記要求を生成するために前記第1のエンティティによって生成される最初のユニフォームリソースロケータに加えられる情報を含み、
前記示された1つまたは複数の動作を行うために前記暗号化鍵を前記使用することは、前記最初のユニフォームリソースロケータに加えられる前記情報に少なくとも部分的に基づく、付記1~6のいずれか1つに記載のコンピュータで実現される方法。
【0058】
付記8
前記ユニフォームリソースロケータは、暗号化された形態の前記暗号化鍵を含み、
前記方法はさらに、前記示された1つまたは複数の動作を行うために前記暗号化鍵を使用する前に、暗号化された形態の前記暗号化鍵を解読することを含む、付記1~7のいずれか1つに記載のコンピュータで実現される方法。
前記ユニフォームリソースロケータは、暗号化された形態の前記暗号化鍵を含み、
前記方法はさらに、前記示された1つまたは複数の動作を行うために前記暗号化鍵を使用する前に、暗号化された形態の前記暗号化鍵を解読することを含む、付記1~7のいずれか1つに記載のコンピュータで実現される方法。
【0059】
付記9
システムであって、
1つまたは複数のプロセッサと、
命令を含むメモリと、を備え、該命令は、前記1つまたは複数のプロセッサによって実行されたときに、前記システムに、
要求側からの要求を受け取らせることであって、該要求は、第1のエンティティによって生成された認可情報及び暗号化鍵を含む予め生成された一部分を含む、受け取らせることと、
前記認可情報が、前記要求を満たすために前記第1のエンティティによって認可を示すと判定されることを条件として、前記暗号化鍵を使用して1つまたは複数の動作を行わせることと、
前記行った1つまたは複数の動作の結果を提供させることと、を行わせる、システム。
システムであって、
1つまたは複数のプロセッサと、
命令を含むメモリと、を備え、該命令は、前記1つまたは複数のプロセッサによって実行されたときに、前記システムに、
要求側からの要求を受け取らせることであって、該要求は、第1のエンティティによって生成された認可情報及び暗号化鍵を含む予め生成された一部分を含む、受け取らせることと、
前記認可情報が、前記要求を満たすために前記第1のエンティティによって認可を示すと判定されることを条件として、前記暗号化鍵を使用して1つまたは複数の動作を行わせることと、
前記行った1つまたは複数の動作の結果を提供させることと、を行わせる、システム。
【0060】
付記10
前記予め生成された一部分は、ユニフォームリソースロケータとしてフォーマットされる、付記9に記載のシステム。
前記予め生成された一部分は、ユニフォームリソースロケータとしてフォーマットされる、付記9に記載のシステム。
【0061】
付記11
前記1つまたは複数の動作は、暗号化された形態で前記第1のエンティティによって記憶されるデータにアクセスし、前記暗号化鍵を使用して前記データを解読することを含み、
前記結果を提供することは、前記要求側に前記解読したデータを伝送することを含む、付記9~10に記載のシステム。
前記1つまたは複数の動作は、暗号化された形態で前記第1のエンティティによって記憶されるデータにアクセスし、前記暗号化鍵を使用して前記データを解読することを含み、
前記結果を提供することは、前記要求側に前記解読したデータを伝送することを含む、付記9~10に記載のシステム。
【0062】
付記12
前記要求はさらに、前記予め生成された一部分に加えられたデータを含み、
前記暗号化鍵を使用して前記1つまたは複数の動作を行うことは、前記予め生成された一部分に加えられた前記データに対して1つまたは複数の暗号化動作を行うことを含む、付記9~11に記載のシステム。
前記要求はさらに、前記予め生成された一部分に加えられたデータを含み、
前記暗号化鍵を使用して前記1つまたは複数の動作を行うことは、前記予め生成された一部分に加えられた前記データに対して1つまたは複数の暗号化動作を行うことを含む、付記9~11に記載のシステム。
【0063】
付記13
前記認可情報は、前記要求側がアクセスできない秘密情報を使用して生成される電子署名を含む、付記9~12に記載のシステム。
前記認可情報は、前記要求側がアクセスできない秘密情報を使用して生成される電子署名を含む、付記9~12に記載のシステム。
【0064】
付記14
前記認可情報は、前記要求を提出するためのコンテキストに対して1つまたは複数の条件を指定し、
前記暗号化鍵を使用して1つまたは複数の動作を行うことはさらに、前記1つまたは複数の条件を遵守して前記要求を受け取ることを条件として行われる、付記9~13に記載のシステム。
前記認可情報は、前記要求を提出するためのコンテキストに対して1つまたは複数の条件を指定し、
前記暗号化鍵を使用して1つまたは複数の動作を行うことはさらに、前記1つまたは複数の条件を遵守して前記要求を受け取ることを条件として行われる、付記9~13に記載のシステム。
【0065】
付記15
前記1つまたは複数の条件は、前記要求を満たすことができる継続時間を定義する、付記9~14に記載のシステム。
前記1つまたは複数の条件は、前記要求を満たすことができる継続時間を定義する、付記9~14に記載のシステム。
【0066】
付記16
前記認可情報は、前記暗号化鍵に少なくとも部分的に基づいて生成される電子署名を含み、
前記第1のエンティティによる認可を示す前記認可情報は、前記電子署名が有効であることを必要とする、付記9~15に記載のシステム。
前記認可情報は、前記暗号化鍵に少なくとも部分的に基づいて生成される電子署名を含み、
前記第1のエンティティによる認可を示す前記認可情報は、前記電子署名が有効であることを必要とする、付記9~15に記載のシステム。
【0067】
付記17
前記システムはさらに、前記要求側と、前記要求側と異なる顧客システムとを備え、
前記顧客システムは、前記要求を提出する際に使用するための前記要求の表現を提供し、それによって、前記要求を前記要求側から受け取ることを可能にする、付記9~16に記載のシステム。
前記システムはさらに、前記要求側と、前記要求側と異なる顧客システムとを備え、
前記顧客システムは、前記要求を提出する際に使用するための前記要求の表現を提供し、それによって、前記要求を前記要求側から受け取ることを可能にする、付記9~16に記載のシステム。
【0068】
付記18
そこに記憶される命令を有する非一時的なコンピュータ読み出し可能な記憶媒体であって、該命令は、コンピュータシステムの1つまたは複数のプロセッサによって実行されたときに、該コンピュータシステムに、
要求及び暗号化鍵を符号化する情報を生成することと、
前記要求を満たすことができるサービスプロバイダによって検証できる情報の電子署名を生成することと、
前記情報及び電子署名を前記サービスプロバイダに提供することを可能にして、前記サービスプロバイダに前記暗号化鍵を使用させて前記要求を満たすために、前記情報及び前記電子署名を利用できるようにすることと、を行わせる、非一時的なコンピュータ読み出し可能な記憶媒体。
そこに記憶される命令を有する非一時的なコンピュータ読み出し可能な記憶媒体であって、該命令は、コンピュータシステムの1つまたは複数のプロセッサによって実行されたときに、該コンピュータシステムに、
要求及び暗号化鍵を符号化する情報を生成することと、
前記要求を満たすことができるサービスプロバイダによって検証できる情報の電子署名を生成することと、
前記情報及び電子署名を前記サービスプロバイダに提供することを可能にして、前記サービスプロバイダに前記暗号化鍵を使用させて前記要求を満たすために、前記情報及び前記電子署名を利用できるようにすることと、を行わせる、非一時的なコンピュータ読み出し可能な記憶媒体。
【0069】
付記19
前記情報及び前記電子署名を利用できるようにすることは、前記情報及び前記電子署名を含むユニフォームリソースロケータを生成することを含む、付記18に記載の非一時的なコンピュータ読み出し可能な記憶媒体。
前記情報及び前記電子署名を利用できるようにすることは、前記情報及び前記電子署名を含むユニフォームリソースロケータを生成することを含む、付記18に記載の非一時的なコンピュータ読み出し可能な記憶媒体。
【0070】
付記20
前記情報及び前記電子署名を利用できるようにすることは、選択可能な要素とともに構成されるウェブページを提供することを含み、該要素は、選択されたときに、前記情報及び電子署名を含む前記要求を前記サービスプロバイダに伝送させる、付記18~19に記載の非一時的なコンピュータ読み出し可能な記憶媒体。
前記情報及び前記電子署名を利用できるようにすることは、選択可能な要素とともに構成されるウェブページを提供することを含み、該要素は、選択されたときに、前記情報及び電子署名を含む前記要求を前記サービスプロバイダに伝送させる、付記18~19に記載の非一時的なコンピュータ読み出し可能な記憶媒体。
【0071】
付記21
前記ウェブページを提供することは、前記ウェブページを、前記サービスプロバイダと異なるサードパーティに提供することを含む、付記19~20に記載の非一時的なコンピュータ読み出し可能な記憶媒体。
前記ウェブページを提供することは、前記ウェブページを、前記サービスプロバイダと異なるサードパーティに提供することを含む、付記19~20に記載の非一時的なコンピュータ読み出し可能な記憶媒体。
【0072】
付記22
前記情報はさらに、前記サービスプロバイダによってホストされるリソースの識別子を符合化し、
前記要求は、前記リソースと関連して行われる1つまたは複数の動作を指定する、付記18~21に記載の非一時的なコンピュータ読み出し可能な記憶媒体。
前記情報はさらに、前記サービスプロバイダによってホストされるリソースの識別子を符合化し、
前記要求は、前記リソースと関連して行われる1つまたは複数の動作を指定する、付記18~21に記載の非一時的なコンピュータ読み出し可能な記憶媒体。
【0073】
付記23
前記情報は、プレーンテキストの形態で前記暗号化鍵を符合化する、付記18~22に記載の非一時的なコンピュータ読み出し可能な記憶媒体。
前記情報は、プレーンテキストの形態で前記暗号化鍵を符合化する、付記18~22に記載の非一時的なコンピュータ読み出し可能な記憶媒体。
【0074】
付記24
前記情報は、前記要求を前記サービスプロバイダによって満たすことができるようにするための、前記要求の提出に対する1つまたは複数の条件を符号化する、付記18~23に記載の非一時的なコンピュータ読み出し可能な記憶媒体。
前記情報は、前記要求を前記サービスプロバイダによって満たすことができるようにするための、前記要求の提出に対する1つまたは複数の条件を符号化する、付記18~23に記載の非一時的なコンピュータ読み出し可能な記憶媒体。
【0075】
他の変形例は、本開示の範囲内にあるとみなされる。例えば、鍵がURLに提供されるタイプ及び方法、または全般的にプロバイダに対する要求は、種々の実施形態に従って変動し得る。本開示の技法と組み合わせられ得るいくつかの技法は、2013年9月25日に出願された米国特許出願第14,037,282号、名称「RESOURCE LOCATORS WITH KEYS」、及び2013年9月25日に出願された米国特許出願第14/037,292号、名称「DATA SECURITY USING REQUEST-SUPPLIED KEYS」で説明されており、これらは全ての目的に対して参照により本明細書に組み込まれる。
【0076】
図10は、種々の実施形態に従う、態様を実現するための例示的な環境1000の態様を例示する。認識されるように、説明の目的でウェブに基づく環境が使用されるが、種々の実施形態を実現するために、必要に応じて、異なる環境が使用され得る。環境は、電子クライアントデバイス1002を含み、該デバイスとしては、適切なネットワーク1004を通じて要求、メッセージ、または情報を送信及び受信し、情報をデバイスのユーザに搬送するように動作可能な、任意の適切なデバイスが挙げられる。そのようなクライアントデバイスの例としては、パーソナルコンピュータ、携帯電話、ハンドヘルドメッセージングデバイス、ラップトップコンピュータ、タブレットコンピュータ、セットトップボックス、携帯情報端末、組み込み型コンピュータシステム、電子ブックリーダー等が挙げられる。ネットワークとしては、イントラネット、インターネット、セルラーネットワーク、ローカルエリアネットワーク、もしくは任意の他のそのようなネットワーク、またはそれらの組み合わせを含む、任意の適切なネットワークが挙げられる。そのようなシステムに使用される構成要素は、選択されたネットワーク及び/または選択環境のタイプに少なくとも部分的に依存し得る。そのようなネットワークを介して通信するためのプロトコル及び構成要素はよく知られており、本明細書では詳細に論じない。ネットワークを通じた通信は、有線接続または無線接続、及びそれらの組み合わせによって可能にすることができる。本実施例では、当業者には明らかなように、要求を受け取り、それに応じてコンテンツを提供するためのウェブサーバ1006を環境が含むので、このネットワークは、インターネットを含むが、他のネットワークの場合、類似の目的を提供する代替のデバイスを使用することができる。
【0077】
実例となる環境は、少なくとも1つのアプリケーションサーバ1008と、データストア1010とを含む。連鎖され得るまたは別様には構成され得る、適切なデータストアからデータを取得する等の作業を行うように相互作用することができる、いくつかのアプリケーションサーバ、層もしくは他の要素、過程、または構成要素があり得ることを理解されたい。サーバは、本明細書で使用されるとき、ハードウェアデバイスまたは仮想コンピュータシステム等の種々の方法で実現され得る。いくつかの文脈において、サーバは、コンピュータシステム上で実行されているプログラムモジュールを指し得る。本明細書で使用される「データストア」という用語は、データを記憶し、それにアクセスし、それを取り出すことができる任意のデバイスまたはデバイスの組み合わせを指し、任意の数のデータサーバ、データベース、データ記憶デバイス、データ記憶媒体、及びそれらの任意の組み合わせを、任意の標準型、分散型、またはクラスタ型の環境において含み得る。アプリケーションサーバは、クライアントデバイスのための1つまたは複数のアプリケーションの態様を実行するために、必要に応じて、データストアと統合するための、また、アプリケーションのためのデータアクセス及びビジネスロジックの一部(さらには大部分)を取り扱うための、任意の適切なハードウェア及びソフトウェアを含むことができる。アプリケーションサーバは、データストアと連携してアクセス制御サービスを提供し得、また、この実施例においてハイパーテキストマークアップ言語(「HTML」)、拡張マークアップ言語(「XML」)、または別の適切な構造化言語の形態でウェブサーバによってユーザに提供され得る、ユーザに転送されるテキスト、グラフィックス、オーディオ、及び/またはビデオ等のコンテンツを生成することができる。全ての要求及び応答、ならびにクライアントデバイス1002とアプリケーションサーバ1008との間のコンテンツの送達は、ウェブサーバによって取り扱うことができる。本明細書で論じられる構造化コードは、本明細書で他の場所で論じられるように、任意の適切なデバイスまたはホストマシン上で実行することができるので、ウェブサーバ及びアプリケーションサーバは必要とされず、これらは単に例示的な構成要素に過ぎないことを理解されたい。さらに、単一のデバイスによって行われるように本明細書で説明される動作は、別途文脈から明らかでない限り、分散型システムを形成し得る複数のデバイスによって集合的に行われ得る。
【0078】
データストア1010は、いくつかの別個のデータテーブル、データベース、または他のデータ記憶機構、及び本開示の特定の態様に関連するデータを記憶するための媒体を含むことができる。例えば、例示されるデータストアは、製品側のコンテンツを提供するために使用することができる、製品データ1012及びユーザ情報1016を記憶するための機構を含み得る。データストアはまた、ログデータ1014を記憶するための機構も含むように示され、該機構は、レポーティング、分析、または他のそのような目的のために使用することができる。ページ画像情報及びアクセス権利情報等の、データストアに記憶する必要があり得る、数多くの他の態様があり得、それらは、必要に応じて上で列記した機構のいずれかに、またはデータストア1010の追加的な機構に記憶することができることを理解されたい。データストア1010は、アプリケーションサーバ1008から命令を受け取って、それに応じてデータを取得する、更新する、または別様には処理するために、それと関連する論理を通して操作可能である。一実施例において、ユーザは、ユーザによって操作されるデバイスを通して、ある特定の種類の品目の検索要求を提出し得る。この事例において、データストアは、ユーザの識別情報を検証するためにユーザ情報にアクセスし得、また、そのタイプの品目に関する情報を取得するために、カタログの詳細情報にアクセスすることができる。次いで、ユーザがユーザデバイス1002上のブラウザを介して視聴することができるウェブページ上の結果リスト等で、情報をユーザに返すことができる。関心の特定の品目の情報は、ブラウザの専用ページまたはウィンドウで視聴することができる。しかしながら、本開示の実施形態は、必ずしもウェブページのコンテンツに限定されるわけではなく、より全般的には、処理要求全般に適用可能であり得、ここで、要求は、必ずしもコンテンツに対する要求ではないことに留意されたい。
【0079】
各サーバは、一般的に、そのサーバの一般的な管理及び操作のための実行可能プログラム命令を提供するオペレーティングシステムを含み、また、一般的に、サーバのプロセッサによって実行されたときに、サーバがその意図する機能を行うことを可能にする命令を記憶する、コンピュータ読み出し可能な記憶媒体(例えば、ハードディスク、ランダムアクセスメモリ、リードオンリーメモリ等)を含む。オペレーティングシステム及びサーバの一般的な機能の適切な実現形態は、既知であるか、または市販されており、また、特に本明細書の開示に照らして、当業者によって容易に実現される。
【0080】
一実施形態における環境は、1つまたは複数のコンピュータネットワークまたは直接接続を使用して、通信リンクを介して相互接続される複数のコンピュータシステム及び構成要素を利用する、分散コンピューティング環境である。しかしながら、そのようなシステムは、図10で例示されるよりも少ない数または多い数の構成要素を有するシステムで十分同等に動作できることが、当業者に認識されるであろう。したがって、図10のシステム1000の描写は、本質的に実例となるものであり、本開示の範囲を限定するものとみなすべきではない。
【0081】
種々の実施形態はさらに、多種多様な動作環境で実現することができ、いくつかの事例において、数多くのアプリケーションのうちのいずれかを動作させるために使用することができる1つまたは複数のユーザコンピュータ、コンピューティングデバイス、または処理デバイスを含むことができる。ユーザまたはクライアントデバイスとしては、標準的なオペレーティングシステムを実行するデスクトップコンピュータ、ラップトップコンピュータ、またはタブレットコンピュータ等の、数多くの汎用パーソナルコンピュータ、ならびに、モバイルソフトウェアを実行する、及び数多くのネットワーキング及びメッセージングプロトコルをサポートすることができる、セルラーデバイス、無線デバイス、及びハンドヘルドデバイスのうちのいずれかが挙げられる。そのようなシステムとしてはまた、開発及びデータベース管理等の目的で、種々の市販のオペレーティングシステム及び他の既知のアプリケーションのいずれかを動作させる、数多くのワークステーションも挙げられる。これらのデバイスとしてはまた、ネットワークを介して通信することができる、ダミー端末、シンクライアント、ゲーミングシステム、及び他のデバイス等の、他の電子デバイスも挙げられる。
【0082】
本開示の種々の実施形態は、伝送制御プロトコル/インターネットプロトコル(「TCP/IP」)、オープンシステムインターコネクション(「OSI」)モデルの種々の層で動作するプロトコル、ファイル転送プロトコル(「FTP」)、ユニバーサルプラグアンドプレイ(「UpnP」)、ネットワークファイルシステム(「NFS」)、共通インターネットファイルシステム(「CIFS」)、及びAppleTalk等の、様々な市販のプロトコルのいずれかを使用して通信をサポートするための、当業者によく知られている、少なくとも1つのネットワークを利用する。ネットワークは、例えば、ローカルエリアネットワーク、ワイドエリアネットワーク、仮想プライベートネットワーク、インターネット、イントラネット、エクストラネット、公衆交換電話ネットワーク、赤外線ネットワーク、無線ネットワーク、及びそれらの任意の組み合わせとすることができる。
【0083】
ウェブサーバを利用する実施形態において、ウェブサーバは、ハイパーテキストトランスファープロトコル(「HTTP」)サーバ、FTPサーバ、共通ゲートウェイインターフェース(「CGI」)サーバ、データサーバ、Java(登録商標)サーバ、及びビジネスアプリケーションサーバを含む、様々な任意のサーバまたは中間層アプリケーションのうちのいずれかを実行することができる。サーバ(複数可)はまた、ユーザデバイスからの要求に応答して、Java(登録商標)、C、C#、もしくはC++等の任意のプログラミング言語、またはPerl、Python、もしくはTCL等の任意のスクリプト言語、ならびにそれらの組み合わせで書かれた1つまたは複数のスクリプトまたはプログラムとして実現され得る1つまたは複数のウェブアプリケーションを実行すること等によって、プログラムまたはスクリプトを実行することも可能であり得る。サーバ(複数可)としてはまた、Oracle(登録商標)、Microsoft(登録商標)、Sybase(登録商標)、及びIBM(登録商標)から市販されているものが挙げられるがそれらに限定されない、データベースサーバも挙げられ得る。
【0084】
環境は、上で論じられるように、種々のデータストア、ならびに他のメモリ及び記憶媒体を含むことができる。これらは、コンピュータの1つまたは複数に対してローカルな(及び/またはその中に存在する)記憶媒体上、またはネットワーク全体にわたるコンピュータのいずれかまたは全てからリモートな記憶媒体上等の、種々の場所に存在することができる。特定の1組の実施形態において、情報は、当業者によく知られているストレージエリアネットワーク(「SAN」)の中に存在し得る。同様に、必要に応じて、コンピュータ、サーバ、または他のネットワークデバイスに起因する機能を行うための任意の必要なファイルが、ローカル及び/またはリモートに記憶され得る。システムがコンピュータ制御のデバイスを含む場合、そのような各デバイスは、バスを介して電気的に連結され得るハードウェア要素を含むことができ、該要素は、例えば、少なくとも1つの中央処理ユニット(「CPU」または「プロセッサ」)と、少なくとも1つの入力デバイス(例えば、マウス、キーボード、コントローラ、タッチスクリーン、またはキーパッド)と、少なくとも1つの出力デバイス(例えば、表示デバイス、プリンタ、またはスピーカー)とを含む。そのようなシステムはまた、ディスクドライブ、光記憶デバイス、及びランダムアクセスメモリ(「RAM」)またはリードオンリーメモリ(「ROM」)等の固体記憶デバイス、ならびにリムーバブル媒体デバイス、メモリカード、フラッシュカード等の、1つまたは複数の記憶デバイスも含み得る。
【0085】
そのようなデバイスはまた、上で説明されるように、コンピュータ読み出し可能な記憶媒体リーダー、通信デバイス(例えば、モデム、ネットワークカード(無線または有線)、赤外線通信デバイス等)、及びワーキングメモリも含み得る。コンピュータ読み出し可能な記憶媒体リーダーは、リモート、ローカル、固定の、及び/またはリムーバブル記憶デバイスを表すコンピュータ読み出し可能な記憶媒体、ならびにコンピュータ読み出し可能な情報を一時的に及び/または永続的に含む、記憶する、伝送する、及び取り出すための記憶媒体と接続することができるか、または該記憶媒体を受容するように構成することができる。システム及び種々のデバイスはまた、一般的に、オペレーティングシステム、及びクライアントアプリケーションまたはウェブブラウザ等のアプリケーションプログラムを含む、少なくとも1つのワーキングメモリデバイス内に位置する数多くのソフトウェアアプリケーション、モジュール、サービス、または他の要素も含む。代替の実施形態は、上で説明されるものからの多数の変形例を有し得ることを理解されたい。例えば、カスタマイズされたハードウェアも使用され得、及び/または特定の要素が、ハードウェア、ソフトウェア(アプレット等のポータブルソフトウェアを含む)、または双方で実現され得る。さらに、ネットワーク入力/出力デバイス等の他のコンピューティングデバイスへの接続が用いられ得る。
【0086】
コードまたはコードの一部分を含むための記憶媒体及びコンピュータ読み出し可能な媒体としては、RAM、ROM、電気的消去可能プログラマブルリードオンリーメモリ(「EEPROM」)、フラッシュメモリ、もしくは他のメモリ技術、コンパクトディスクリードオンリーメモリ(「CD-ROM」)、デジタル多用途ディスク(DVD)、もしくは他の光記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置、もしくは他の磁気記憶デバイス、または所望の情報を記憶するために使用することができ、かつシステムデバイスによってアクセスすることができる任意の他の媒体を含む、コンピュータ読み出し可能な命令、データ構造、プログラムモジュール、または他のデータ等の情報を記憶及び/または伝送するための任意の方法または技術で実現される揮発性及び不揮発性のリムーバブルな及び非リムーバブルな媒体等が挙げられるが、それらに限定されない、記憶媒体及び通信媒体を含む、当技術分野で知られているまたは使用されている、任意の適切な媒体が挙げられる。本明細書で提供される開示及び教示に基づいて、当業者は、種々の実施形態を実現するための他の手段及び/または方法を認識するであろう。
【0087】
故に、本明細書及び図面は、限定的な意味ではなく、実例的な意味であるとみなされるべきである。しかしながら、特許請求の範囲に記載される本発明のより広範な趣旨及び範囲から逸脱することなく、種々の修正及び変更が行われ得ることが明らかになるであろう。
【0088】
他の変形例は、本開示の趣旨の範囲内である。したがって、開示される手法は、種々の修正及び代替の構造が可能であるが、その特定の例示される実施形態を図面に示し、上で詳細に説明した。しかしながら、本発明を、開示される特定の形態に限定するいかなる意図もなく、逆に、本発明は、添付の特許請求の範囲で定義されるように、本発明の趣旨及び範囲内に入る全ての修正物、均等物、及び代替物を包含することを意図するものであることを理解されたい。
【0089】
開示される実施形態を説明する文脈での(特に、特許請求の範囲の文脈での)「a」及び「an」及び「the」という用語、ならびに類似の指示対象の使用は、本明細書で別途指示されていない限り、または明らかに文脈と矛盾していない限り、単数及び複数の双方を包含するものと解釈されたい。「備える」、「有する」、「含む」、及び「含有する」という用語は、別途注記のない限り、オープンエンドの用語(すなわち、「含むが、それに限定されない」ことを意味する)として解釈されたい。「接続される」という用語は、未修正であるとき、及び物理的接続を指すときに、途中に中断がある場合であっても、部分的または全体的にその中に含まれる、取り付けられる、または互いに接合されるものとして解釈されたい。本明細書での値の範囲の列挙は、本明細書で別途指示されない限り、単に、その範囲内に入るそれぞれの値を個々に参照する簡単な方法としての役割を果たすように意図されたものであり、それぞれの値は、本明細書で個々に列挙されているかのように、本明細書に組み込まれる。「組」(例えば、「1組の品目」)あるいは「サブセット」という用語の使用は、別途注記のない限り、または文脈と矛盾しない限り、1つまたは複数の部材を備える、空でない集合であるものとして解釈されたい。さらに、別途注記のない限り、または文脈と矛盾しない限り、対応する組の「サブセット」という用語は、必ずしも対応する組の適切なサブセットを意味するものではなく、サブセット及び対応する組は、同等であり得る。
【0090】
「A、B、及びCのうちの少なくとも1つ」または「A、B及びCのうちの少なくとも1つ」という形態の慣用句等の接続語は、別途具体的に提示されない限り、または別様には明らかに文脈と矛盾しない限り、そうでなければ、その文脈は、一般に、品目、用語等がAまたはBまたはC、またはA及びB及びCの組の任意の空でないサブセットであり得ることを提示するために使用されるものと理解されたい。例えば、上の接続語句で使用される3つの項を有する組の実例となる例において、「A、B、及びCのうちの少なくとも1つ」及び「A、B及びCのうちの少なくとも1つ」は、{A}、{B}、{C}、{A、B}、{A、C}、{B、C}、{A、B、C}という組のうちのいずれかを指す。したがって、そのような接続語は、全般的に、ある特定の実施形態が、少なくとも1つのA、少なくとも1つのB、少なくとも1つのCがそれぞれ存在することを必要とすることを意味することを意図しない。
【0091】
本明細書で説明されるプロセスの動作は、本明細書で別途指示されない限り、または文脈によって明らかに矛盾しない限り、任意の好適な順序で行うことができる。本明細書で説明されるプロセス(またはその変形及び/または組み合わせ)は、実行可能命令とともに構成される1つまたは複数のコンピュータシステムの制御下で行われ得、また、ハードウェアまたはその組み合わせによって、1つまたは複数のプロセッサ上で集合的に実行するコード(例えば、実行可能命令、1つまたは複数のコンピュータプログラム、または1つまたは複数のアプリケーション)として実現され得る。このコードは、例えば1つまたは複数のプロセッサによって実行可能な複数の命令を含むコンピュータプログラムの形態で、コンピュータ読み出し可能な記憶媒体に記憶され得る。コンピュータ読み出し可能な記憶媒体は、非一時的であり得る。
【0092】
本明細書で提供される任意の及び全ての例、または例示的な言葉(例えば「等」の使用は、単に、本発明の実施形態をより明確にすることを意図しているに過ぎず、別途特許請求されていない限り、本発明の範囲を限定するものではない。明細書の中のいかなる言葉も、特許請求されていない何らかの要素が本発明の実践に必須であることを示すものではないと解釈されたい。
【0093】
本発明を行うための、発明者等に知られている最良の方法を含む、本開示の好ましい実施形態が本明細書で説明される。当業者には、上の説明を読むことにより、こうした好ましい実施形態の変形が明らかになるであろう。本発明者らは、そのような変形を必要に応じて採用することを予期し、本発明者らは、本明細書で具体的に説明されるもの以外で本開示の実施形態が実践されることを意図する。故に、本開示の範囲は、適用法によって許容される本明細書に添付される特許請求の範囲に記載される主題の全ての修正物及び等価物を含む。さらに、上で説明される要素の全ての可能な変形におけるその要素の任意の組み合わせは、本明細書で別途指示されない限り、または明らかに文脈と矛盾しない限り、本開示の範囲によって包含される。
【0094】
本明細書で引用される刊行物、特許出願、及び特許を含む、全ての参考文献は、あたかも各文献が個々にかつ具体的に参照により組み込まれるように示され、かつ本明細書で全体として説明されているかのように、同じ範囲で参照により本明細書に組み込まれる。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
