[发明专利]敏感数据跨内容分发网络的安全数据分配

权利要求书

1.一种用于防止对数据的未授权访问的系统，其包括：

实现一个或多个服务的至少一个计算设备，其中所述一个或多个服务：

在边缘设备处获得与由后端服务生成的数据流相关联的请求；

至少部分地基于所述后端服务提供的配置信息来确定所述请求包括敏感数据；

至少部分地基于所述配置信息混淆所述敏感数据以生成混淆的敏感数据；

生成第二请求，以用所述混淆的敏感数据替换包括在所述请求中的所述敏感数据；以及

将所述第二请求传输到所述后端服务。

2.如权利要求1所述的系统，其中混淆所述敏感数据还包括使用与所述后端服务相关联的公钥对所述敏感数据进行加密。

3.如权利要求1所述的系统，其中确定所述请求包括敏感数据还包括至少部分地基于包括在所述请求中的数据对象的数据类型或与包括在所述请求中的数据的一部分相关联的标志中的一者或多者来确定所述请求包括敏感数据，所述标志在所述配置信息中指示。

4.如权利要求1所述的系统，其中混淆所述敏感数据还包括使用涉及将应用程序接口(API)请求传输到由计算资源服务提供方实现的密码密钥管理服务的进程来对所述敏感数据进行加密，其中所述敏感数据是用第一密钥加密的，并且所述密钥管理服务用第二密钥对所述第一密钥进行加密以生成加密的第一密钥，并且其中生成所述第二请求还包括将所述加密的第一密钥包括在所述第二请求中。

5.如权利要求1所述的系统，其中生成所述第二请求还包括将与所述后端服务相关联的认证信息包括在所述第二请求中。

6.如权利要求1所述的系统，其中所述边缘设备是内容分发网络的计算设备。

7.一种用于防止对数据的未授权访问的计算机实现的方法，其包括：

在网络边缘设备处接收包括在数据流中的请求；

在所述网络边缘设备处至少部分地基于包括在所述请求中的、由后端服务提供的且指示所述请求包括敏感数据的信息来确定要混淆所述请求的一部分；

在所述网络边缘设备处至少部分地基于后端服务提供的所述信息混淆所述敏感数据以生成混淆的敏感数据对象；

所述网络边缘设备处理所述请求，以用所述混淆的敏感数据对象替换所述敏感数据，从而生成修改的请求；以及

将所述修改的请求传输到目的地。

8.如权利要求7所述的计算机实现的方法，其还包括：

与客户端设备和所述网络边缘设备建立受密码保护的通信会话；以及

通过所述受密码保护的通信会话接收所述请求。

9.如权利要求7所述的计算机实现的方法，其中所述网络边缘设备包含多个后端服务的不同配置信息，并且其中所述多个后端服务的所述不同配置信息致使所述网络边缘设备至少部分地基于所述不同配置信息来执行多个隔离进程。

10.如权利要求7所述的计算机实现的方法，其中敏感数据是使用加密模块混淆的，所述加密模块由与所述网络边缘设备不同并连接到所述网络边缘设备的计算设备执行，并且其中所述计算设备使用受密码保护的通信信道连接到所述网络边缘设备。

11.如权利要求7所述的计算机实现的方法，其中混淆所述敏感数据还包括加密模块将服务调用传输到密码密钥管理系统。

12.如权利要求11所述的计算机实现的方法，其中所述加密模块还包括由所述网络边缘设备执行的模块。

13.如权利要求7所述的计算机实现的方法，其中所述敏感数据呈明文形式，并且其中所述混淆的敏感数据对象被生成为使得所述混淆的敏感数据对象包括所述混淆的敏感数据但缺少所述明文形式的所述敏感数据。