亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

云環(huán)境中機密數(shù)據(jù)的自動化管理的制作方法

文檔序號:11635095閱讀:183來源:國知局
云環(huán)境中機密數(shù)據(jù)的自動化管理的制造方法與工藝

本發(fā)明一般涉及在共享聯(lián)網(wǎng)環(huán)境中存儲數(shù)據(jù)的方法。本發(fā)明還涉及用于在共享聯(lián)網(wǎng)環(huán)境中存儲數(shù)據(jù)的存儲子系統(tǒng)、計算系統(tǒng)、數(shù)據(jù)處理程序和計算機程序產(chǎn)品。



背景技術(shù):

越來越多的企業(yè)將云計算作為其首選的信息技術(shù)消費方法-不僅用于軟件,而且用于基礎(chǔ)架構(gòu)組件以及數(shù)據(jù)的存儲。然而,“云”不能被視為同質(zhì)或多或少匿名的球體。來自不同的云存儲裝置提供商、在不同的合同條件和服務(wù)水平下可得到存儲容量。一些提供商可以保證在一個管轄區(qū)域內(nèi)的數(shù)據(jù)存儲;其他人可能不給予任何保證。

在當(dāng)今的云環(huán)境中,可以在不同實例、數(shù)據(jù)池或存儲位置甚至整個國家之間遷移數(shù)據(jù)。這種遷移可能發(fā)生作為常規(guī)操作的一部分,例如數(shù)據(jù)的同步、用戶交互甚至云基礎(chǔ)設(shè)施上的攻擊。所有這些互動構(gòu)成了一個中心風(fēng)險:

機密和/或敏感數(shù)據(jù)可能從安全環(huán)境傳送到不安全的環(huán)境中,從而使數(shù)據(jù)更易于訪問,因此可能將其暴露于(敵對的)外部來源。

存在涉及在云環(huán)境中存儲數(shù)據(jù)的方法的若干公開內(nèi)容。文獻us20140164774a1公開了一種基于加密的數(shù)據(jù)訪問管理,其可以包括各種處理。在一個示例中,設(shè)備可以向存儲加密數(shù)據(jù)的數(shù)據(jù)存儲服務(wù)器發(fā)送用于將加密數(shù)據(jù)解密的用戶認(rèn)證請求。然后,計算設(shè)備可以接收與用戶的認(rèn)證請求相關(guān)聯(lián)的驗證令牌。驗證令牌可以指示用戶被認(rèn)證到域。

文獻us8205078b2公開了一種用于管理數(shù)據(jù)處理系統(tǒng)中的文件的方法,裝置和計算機指令。文件的屬性被指定為具有特殊名稱(designation)。當(dāng)執(zhí)行諸如通過網(wǎng)絡(luò)將文件復(fù)制到遠(yuǎn)程媒體、打印文件或者發(fā)送文件等操作時,由操作系統(tǒng)以與其他文件不同的方式處理具有特殊名稱的屬性的文件。

一系列缺點與常規(guī)技術(shù)有關(guān):例如,可能沒有提供自動的安全性。如果相關(guān)聯(lián)的數(shù)據(jù)存儲區(qū)域被破壞或甚至被物理竊取,數(shù)據(jù)處于危險狀態(tài),則數(shù)據(jù)必須在將其發(fā)送到云環(huán)境之前由客戶端保護。

可能難以實現(xiàn)和管理加密,因為客戶端系統(tǒng)可能具有不同的加密能力,并且在用戶將數(shù)據(jù)上傳到云存儲裝置環(huán)境期間,也可能僅僅忘記使用加密。此外,當(dāng)在不同可信度的云區(qū)之間移動數(shù)據(jù)時,用戶需要考慮數(shù)據(jù)是否可能移動到新位置,以防該位置的保護不足或位于不受信任的地理環(huán)境或國家中。

然而,可能需要提供一種可以在云環(huán)境中安全存儲數(shù)據(jù)、同時不需要處理客戶端上的加密要求的解決方案。



技術(shù)實現(xiàn)要素:

這種需求可以通過在共享聯(lián)網(wǎng)環(huán)境中存儲數(shù)據(jù)的方法、用于在共享聯(lián)網(wǎng)環(huán)境中存儲數(shù)據(jù)的存儲子系統(tǒng)、計算系統(tǒng)、數(shù)據(jù)處理程序和計算機程序產(chǎn)品來解決。

根據(jù)一個方面,可以提供一種用于在云環(huán)境中存儲數(shù)據(jù)的方法。共享聯(lián)網(wǎng)環(huán)境可以包括共享聯(lián)網(wǎng)存儲裝置和共享聯(lián)網(wǎng)存儲訪問接口之間的安全層。該方法可以包括將包括安全層的共享聯(lián)網(wǎng)存儲裝置與密鑰保管庫系統(tǒng)物理分離,以及接收存儲請求、連同要存儲在共享聯(lián)網(wǎng)存儲裝置中的數(shù)據(jù)、連同機密等級,其中存儲請求連同數(shù)據(jù)和機密等級由安全層經(jīng)由共享聯(lián)網(wǎng)存儲訪問接口接收。

所述方法還可以包括:由密鑰保管庫系統(tǒng)根據(jù)安全層的請求將要存儲的數(shù)據(jù)和機密等級加密到數(shù)據(jù)容器中,將共享聯(lián)網(wǎng)存儲裝置分類為云區(qū),其中每個云區(qū)被分配信任級別;并將數(shù)據(jù)容器存儲在云存儲裝置的一個云區(qū)中,使得一個云區(qū)的信任級別對應(yīng)于機密等級。

根據(jù)另一方面,可以提供用于在共享聯(lián)網(wǎng)環(huán)境中存儲數(shù)據(jù)的存儲子系統(tǒng)。共享聯(lián)網(wǎng)環(huán)境可以包括共享聯(lián)網(wǎng)存儲裝置和共享聯(lián)網(wǎng)存儲訪問接口之間的安全層。存儲子系統(tǒng)可以包括:共享聯(lián)網(wǎng)存儲裝置,其包括與密鑰保管庫系統(tǒng)物理分離的安全層,其中共享聯(lián)網(wǎng)存儲裝置包括云區(qū),其中每個云區(qū)具有分配的信任級別:以及接收單元,適于接收存儲請求連同要存儲在云存儲裝置中的數(shù)據(jù)、連同機密等級,其中存儲請求連同數(shù)據(jù)和機密等級由安全層經(jīng)由共享聯(lián)網(wǎng)存儲訪問接口接收。

密鑰保管庫系統(tǒng)可以適于根據(jù)安全層的請求將要存儲的數(shù)據(jù)和機密等級加密到數(shù)據(jù)容器中。

此外,該方法可以包括適于將數(shù)據(jù)容器存儲在云存儲裝置的一個云區(qū)中的存儲組件,使得該一個云區(qū)的信任級別對應(yīng)于機密等級。

根據(jù)另一方面,可以提供包括用于在云環(huán)境中存儲數(shù)據(jù)的存儲子系統(tǒng)的共享聯(lián)網(wǎng)存儲系統(tǒng)。

可以注意到,共享聯(lián)網(wǎng)存儲裝置可以被視為云環(huán)境中的云存儲裝置或存儲系統(tǒng)。

詳細(xì)說明

在本說明書的上下文中,可以使用以下約定、術(shù)語和/或表達(dá)式:

“云環(huán)境”一詞可能在云計算的上下文中使用。在本文檔中,云存儲裝置或云存儲服務(wù)也被提到了幾次。這樣的服務(wù)通常屬于云計算,這是一種模式,用于實現(xiàn)方便的按需網(wǎng)絡(luò)訪問可配置計算資源(例如,網(wǎng)絡(luò)、服務(wù)器、應(yīng)用程序和服務(wù))的共享池——特別是存儲裝置或網(wǎng)絡(luò)存儲裝置——其可以通過最少的管理努力或服務(wù)提供商的互動來快速配置和發(fā)布。該云模型提供可用性,由五個基本特征、三個服務(wù)模型和四個部署模型組成。共享聯(lián)網(wǎng)存儲裝置可能部署在云環(huán)境中。

云計算的基本特征包括

(i)按需自助式服務(wù):消費者在無需與每個服務(wù)提供者進行人為交互的情況下能夠單方面自動地按需部署諸如服務(wù)器時間和網(wǎng)絡(luò)存儲等的計算能力。

(ii)廣泛的網(wǎng)絡(luò)接入:能力可以通過標(biāo)準(zhǔn)機制在網(wǎng)絡(luò)上獲取,這種標(biāo)準(zhǔn)機制促進了通過不同種類的瘦客戶機平臺或厚客戶機平臺(例如移動電話、膝上型電腦、個人數(shù)字助理pda)對云的使用。

(iii)資源池:提供者的計算資源被歸入資源池并通過多租戶(multi-tenant)模式服務(wù)于多重消費者,其中按客戶需求將不同的實體資源和虛擬資源動態(tài)地分配和再分配。一般情況下,因為消費者不能控制或甚至并不知曉所提供的資源的確切位置,但可以在較高抽象程度上指定位置(例如國家、州或數(shù)據(jù)中心),因此具有位置無關(guān)性。資源的示例包括存儲器、處理器、內(nèi)存、網(wǎng)絡(luò)帶寬以及虛擬機。

(iv)迅速彈性:能夠迅速、有彈性地(有時是自動地)部署計算能力,以實現(xiàn)快速擴展,并且能迅速釋放來快速縮小。在消費者看來,用于部署的可用計算能力往往顯得是無限的,并能在任意時候都能獲取任意數(shù)量的計算能力。

(v)可測量的服務(wù):云系統(tǒng)通過利用適于服務(wù)類型(例如存儲、處理、帶寬和活躍用戶帳號)的某種抽象程度的計量能力,自動地控制和優(yōu)化資源效用。可以監(jiān)測、控制和報告資源使用情況,為服務(wù)提供者和消費者雙方提供透明度。

云計算使用的服務(wù)模型包含:

(i)云軟件即服務(wù)(saas):向消費者提供的能力是使用提供者在云基礎(chǔ)架構(gòu)上運行的應(yīng)用??梢酝ㄟ^諸如網(wǎng)絡(luò)瀏覽器的瘦客戶機接口(例如基于網(wǎng)絡(luò)的電子郵件)從各種客戶機設(shè)備訪問應(yīng)用。除了有限的特定于用戶的應(yīng)用配置設(shè)置外,消費者既不管理也不控制包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲、乃至單個應(yīng)用能力等的底層云基礎(chǔ)架構(gòu)。

(ii)云平臺即服務(wù)(paas):向消費者提供的能力是在云基礎(chǔ)架構(gòu)上部署消費者創(chuàng)建或獲得的應(yīng)用,這些應(yīng)用利用提供者支持的程序設(shè)計語言和工具創(chuàng)建。消費者既不管理也不控制包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)或存儲的底層云基礎(chǔ)架構(gòu),但對其部署的應(yīng)用具有控制權(quán),對應(yīng)用托管環(huán)境配置可能也具有控制權(quán)。

(iii)云基礎(chǔ)架構(gòu)即服務(wù)(iaas):向消費者提供的能力是消費者能夠在其中部署并運行包括操作系統(tǒng)和應(yīng)用的任意軟件的處理、存儲、網(wǎng)絡(luò)和其他基礎(chǔ)計算資源。消費者既不管理也不控制底層的云基礎(chǔ)架構(gòu),但是對操作系統(tǒng)、存儲和其部署的應(yīng)用具有控制權(quán),對選擇的網(wǎng)絡(luò)組件(例如主機防火墻)可能具有有限的控制權(quán)。

云計算部署模型包含:

(i)私有云:云基礎(chǔ)架構(gòu)單獨為某個組織運行。云基礎(chǔ)架構(gòu)可以由該組織或第三方管理并且可以存在于該組織內(nèi)部或外部。

(ii)共同體云:云基礎(chǔ)架構(gòu)被若干組織共享并支持有共同利害關(guān)系(例如任務(wù)使命、安全要求、政策和合規(guī)考慮)的特定共同體。共同體云可以由共同體內(nèi)的多個組織或第三方管理并且可以存在于該共同體內(nèi)部或外部。

(iii)公共云:云基礎(chǔ)架構(gòu)向公眾或大型產(chǎn)業(yè)群提供并由出售云服務(wù)的組織擁有。

(iv)混合云:云基礎(chǔ)架構(gòu)由兩個或更多部署模型的云(私有云、共同體云或公共云)組成,這些云依然是獨特的實體,但是通過使數(shù)據(jù)和應(yīng)用能夠移植的標(biāo)準(zhǔn)化技術(shù)或私有技術(shù)(例如用于云之間的負(fù)載平衡的云突發(fā)流量分擔(dān)技術(shù))綁定在一起。

可以注意到,云軟件通過面向服務(wù)的方式充分利用云范式,重點是無狀態(tài)性、低耦合性、模塊性和語意的互操作性。

術(shù)語“云存儲裝置”可以表示存儲組件,例如在上述意義上提供云存儲服務(wù)的任何類型的存儲系統(tǒng)。

術(shù)語“安全層”可以表示允許以安全的方式訪問云存儲服務(wù)的組件。安全層可以是客戶端和云存儲訪問接口之間透明的組件,用戶/客戶端可以登錄到云存儲訪問接口,以便連接到云存儲服務(wù)。安全層滿足一系列安全和機密功能。它可以實現(xiàn)為硬件組件或軟件層。

術(shù)語“共享聯(lián)網(wǎng)存儲訪問接口”或“云存儲訪問接口”可以表示客戶端的聯(lián)系點或應(yīng)用程序編程接口,以便與云環(huán)境的云存儲服務(wù)保持聯(lián)系。

術(shù)語“密鑰保管庫系統(tǒng)”可以表示可以與執(zhí)行云存儲訪問接口的系統(tǒng)物理分離、以及與數(shù)據(jù)的存儲位置物理分離的系統(tǒng)。它可以包括加密和解密能力、訪問策略調(diào)控器和密鑰存儲裝置。密鑰保管庫系統(tǒng)可能有助于在所提出的方法的上下文中提供服務(wù)。

密鑰保管庫系統(tǒng)也可以代表在物理上和邏輯上都與其他的云區(qū)分離的環(huán)境中的一組機器和系統(tǒng)。

術(shù)語“機密等級”可以表示數(shù)據(jù)與之相關(guān)聯(lián)的機密性的級別。最高的機密等級可以表示可以應(yīng)用最高的可用安全標(biāo)準(zhǔn)來保護相關(guān)數(shù)據(jù)。最低的機密等級可能表示,并不是每一種可能的保護機制都可能被用來保護數(shù)據(jù)。與機密等級相關(guān)的安全措施和相關(guān)費用之間可能存在權(quán)衡。

術(shù)語“云區(qū)”可以表示存儲系統(tǒng)可以在物理上或邏輯上被定位的區(qū)域。云存儲裝置提供商可以在例如不同的國家運行多個存儲系統(tǒng)。每個國家可以例如被分配不同的區(qū)。但是還有其他選擇來分類存儲系統(tǒng)。一種方式可能是存儲系統(tǒng)可能位于的數(shù)據(jù)中心的物理安全。對云存儲服務(wù)的存儲系統(tǒng)進行分類的另一種方法可能是分組在某些國家法律下運行的本地的數(shù)據(jù)中心的存儲系統(tǒng)。其他選項也是可以的。唯一的限制是,屬于同一云區(qū)的存儲系統(tǒng)在未經(jīng)授權(quán)的人員訪問的方面對安全性有共同的理解。

術(shù)語“信任級別”可以表示特定云區(qū)的存儲服務(wù)的特定安全等級。不同的云區(qū)可能具有不同的信任級別。較高的信任級別可以表示存儲的數(shù)據(jù)可能具有不同的漏洞,即可以根據(jù)不同的安全級別存儲數(shù)據(jù)。

術(shù)語“訪問調(diào)控器”可以表示可以控制對密鑰保管庫系統(tǒng)組件的不需要的文件訪問請求的系統(tǒng)。訪問調(diào)控器也可以被標(biāo)記為“訪問策略調(diào)控器”,其也可以表示能夠同時創(chuàng)建和驗證證書和相關(guān)聯(lián)的密鑰的證書頒發(fā)機構(gòu)。其職責(zé)可能還包括都在新目標(biāo)的可信度和安全性的方面之下檢查數(shù)據(jù)是否可能從當(dāng)前存儲位置傳送到新的目標(biāo)存儲位置,以及檢查已經(jīng)檢測到指示客戶端的惡意的某些數(shù)據(jù)訪問模式(例如,龐大的、看似隨機的請求文件)。

術(shù)語“密鑰存儲裝置”可以表示密鑰保管庫系統(tǒng)的另一個組件。它可以表示與標(biāo)識符相關(guān)聯(lián)的加密密鑰的數(shù)據(jù)存儲裝置。只要新文件被密鑰保管庫系統(tǒng)加密,就可以使用該密鑰存儲裝置,并且可以將其存儲為文件的唯一加密密鑰和標(biāo)識符。當(dāng)可以檢索到給定文件標(biāo)識符的密鑰時,它也可以用于解密。

密鑰存儲裝置可能結(jié)合與訪問調(diào)控器和密鑰保管庫系統(tǒng)的加密/解密單元的通信而被限制為未驗證和安全的密鑰交易兩者。

術(shù)語“加密/解密單元”可以表示可以在一個或多個標(biāo)準(zhǔn)化虛擬機上容納的加密/解密系統(tǒng)。加密/解密單元的陣列的每個加密/解密單元可用于新文件的加密和相應(yīng)密鑰的生成、以及用已經(jīng)存在的密鑰的解密。加密/解密單元可以與密鑰保管庫系統(tǒng)接口進行通信,以處理進入的請求,與訪問調(diào)控器進行通信以驗證請求以及存儲和檢索密鑰。加密/解密單元可以配備必要的軟件和硬件以支持加密/解密努力,并且可以使用已經(jīng)存在的商業(yè)和開源產(chǎn)品。

低簡檔相關(guān)的加密/解密管理系統(tǒng)可以確保可配置數(shù)量的加密/解密單元可以準(zhǔn)備好以便在系統(tǒng)空閑時釋放資源的同時,根據(jù)需要擴展vm(虛擬機)的數(shù)量來處理進入的請求加密/解密管理系統(tǒng)可以在可配置的量的加密/解密請求之后丟棄或回滾加密/解密單元,以避免由于加密軟件/硬件中的信息/存儲器泄漏而導(dǎo)致的任何意外的信息遺留污染,同時也減少了受開發(fā)的加密/解密單元自上次回收以來對最新處理的最大值的影響。

術(shù)語“數(shù)據(jù)容器”可以表示適于以安全的方式存儲不同種類的數(shù)據(jù)的邏輯存儲單元,例如文件。這里,數(shù)據(jù)容器可以包括要存儲的數(shù)據(jù)以及數(shù)據(jù)的機密等級。數(shù)據(jù)和相關(guān)機密等級可以在數(shù)據(jù)容器內(nèi)進行加密。

在云環(huán)境中存儲數(shù)據(jù)的提出的方法可以提供一系列優(yōu)點:

存儲的數(shù)據(jù)在休息時是安全的,這意味著數(shù)據(jù)當(dāng)它們被存儲在云存儲系統(tǒng)中時以及當(dāng)它們在運動時被保護?!斑\動中”可以表示數(shù)據(jù)可能從云存儲訪問接口傳送到存儲系統(tǒng)或從一個存儲系統(tǒng)傳送到另一個存儲系統(tǒng)。如果數(shù)據(jù)可能從一個云區(qū)移動到另一個云區(qū),也可能是這樣。

事實上可以看到另外的優(yōu)點,即根據(jù)機密等級來存儲數(shù)據(jù)。這可能會激發(fā)用戶在將數(shù)據(jù)發(fā)送到云存儲環(huán)境之前,先考慮其數(shù)據(jù)的重要性。不同的機密等級可能對于存儲服務(wù)具有不同的價格點。因此,可以在安全和貨幣爭論之間進行權(quán)衡。數(shù)據(jù)可能在企業(yè)上下文中獲得相關(guān)聯(lián)的值。

同樣,可以防止將存儲的數(shù)據(jù)重新定位到具有比數(shù)據(jù)本身更低的機密等級的云區(qū)。并且可以確??梢愿鶕?jù)數(shù)據(jù)調(diào)控規(guī)則來對待數(shù)據(jù)。

通過使用密鑰保管庫系統(tǒng),也可以保證可能已被泄露、被盜或遷移到不安全位置的數(shù)據(jù)可以被實施為無用的。

最后但并非最不重要的是,如有必要,存儲的數(shù)據(jù)可以進行追溯重定位、重新加密和撤銷訪問權(quán)限。

所有這些優(yōu)點可能基于以下事實:客戶端不需要任何活動來在云環(huán)境中數(shù)據(jù)進行安全存儲。另外,在客戶端,可以不需要客戶端加密密鑰管理。同時,存儲的數(shù)據(jù)和密鑰管理可以完全分離。

根據(jù)該方法的一個實施例,接收存儲請求還可以包括授權(quán)安全層,特別是從訪問客戶端。這可以確??梢越?jīng)由云存儲訪問接口在客戶端和安全層之間建立可信的通信。未經(jīng)授權(quán)的安全層可以接收到要存儲的數(shù)據(jù)。

根據(jù)該方法的相關(guān)實施例,接收存儲請求可以包括由安全層授權(quán)請求的發(fā)送者,特別是客戶端。這可以確保通信的請求者和接收者在安全方面可以相互信任。

根據(jù)該方法的另一實施例,可以加密在安全層和密鑰保管庫系統(tǒng)之間發(fā)送的消息。此外,這方面增強了非對稱協(xié)議或?qū)ΨQ協(xié)議的完整系統(tǒng)公共/私有密鑰技術(shù)的安全性和可信度,這可能是有用的。來回傳遞的消息可以包括要存儲的數(shù)據(jù)。因此,它們可以被加密。

根據(jù)該方法的增強實施例,可以對由安全層可傳送的和/或可接收的消息、特別是來自/去往外部源、即客戶端的消息進行加密。此外,此特征也提高了整個系統(tǒng)的安全級別。因此,包括要存儲在云環(huán)境中的數(shù)據(jù)的這些消息也可以在從客戶端系統(tǒng)經(jīng)由云存儲訪問接口到安全層的路上被加密。

該方法的一個實施例可以包括由密鑰保管庫系統(tǒng)驗證客戶端的存儲請求可以符合可配置策略。這些策略可以由密鑰保管庫系統(tǒng)的訪問調(diào)控器驗證。這些策略可以包括關(guān)于哪個用戶被允許存儲什么、多少、在哪個日期、什么內(nèi)容等的規(guī)則。這可以通過——特別是由密鑰保管庫系統(tǒng)——驗證安全層可以被信任用于通信,并且通過基于證書的加密來保護安全層和密鑰保管庫系統(tǒng)之間的傳輸通道。在肯定驗證的情況下,可以創(chuàng)建包括——特別是來自請求的發(fā)送者的——請求商店請求者信息的授權(quán)的傳送票證。這可以是關(guān)于存儲請求的來源(請求者)的信息。此外,可以請求關(guān)于要存儲的數(shù)據(jù)的元數(shù)據(jù)、以及安全層的簽名和存儲請求的到期時間。

然后,可以在傳送票證可以被發(fā)送回安全層之前,特別是由訪問調(diào)控器簽名該傳送票證。

根據(jù)進一步增強的實施例,該方法可以包括在安全層從密鑰保管庫系統(tǒng)(特別是從訪問調(diào)控器)接收到傳送憑證時,在對要存儲的數(shù)據(jù)進行加密的請求之前——特別地作為傳送票證的一部分、并且在肯定結(jié)果的情況下——驗證密鑰保管庫的簽名以及自己的簽名。

對數(shù)據(jù)加密的請求可以包括傳送票證和要存儲的數(shù)據(jù)。加密可以由可以是密鑰保管庫系統(tǒng)的一部分的加密單元來執(zhí)行。

該方法的另外的實施例還可以包括

-在通過密鑰保管庫系統(tǒng)接收到轉(zhuǎn)賬憑證的驗證、即密鑰保管庫系統(tǒng)的加密/解密時,-驗證傳送票證的簽名和存儲請求的到期時間,并驗證是否嵌入傳送票證的安全層的簽名可以匹配要存儲的數(shù)據(jù)的文件內(nèi)容的加密。此外,該實施例可以包括驗證要存儲的數(shù)據(jù)的文件標(biāo)識是否匹配要傳送的實際文件。該特征可以實質(zhì)地增強整個系統(tǒng)的安全性。

該方法的另一實施例可以包括通過由密鑰保管庫系統(tǒng)根據(jù)數(shù)據(jù)的機密等級來確定請求者是可信目標(biāo)來從云存儲裝置提取數(shù)據(jù)。因此,存儲的數(shù)據(jù)可以不被發(fā)送回到未知的請求者。

根據(jù)該方法的有利實施例,存儲的數(shù)據(jù)可以從第一云區(qū)傳送到第二云區(qū),例如從私有到公共云環(huán)境或從一個國家、例如德國的云存儲裝置傳送到另一個國家、例如美國。這可以通過驗證第二云區(qū)的機密等級對應(yīng)于信任級別并拒絕將存儲的數(shù)據(jù)從第一云區(qū)傳送到第二云區(qū)來實現(xiàn)。該機制可以保證某些機密等級的數(shù)據(jù)可以不被存儲在不具有所需的可信度的云區(qū)中。

根據(jù)該方法的另一有利實施例,可以基于要存儲的數(shù)據(jù)的內(nèi)容來確定機密等級。該確定可以由密鑰保管庫系統(tǒng)執(zhí)行。其優(yōu)點在于可以實現(xiàn)機密等級的自動確定。不需要手動互動。

此外,實施例可以采用計算機程序產(chǎn)品的形式,可從計算機可用或計算機可讀介質(zhì)訪問,該介質(zhì)提供由計算機或任何指令執(zhí)行系統(tǒng)使用或與計算機或任何指令執(zhí)行系統(tǒng)結(jié)合使用的程序代碼。為了本說明書的目的,計算機可用或計算機可讀介質(zhì)可以是可以包含用于存儲、傳送、傳播或傳送程序以供指令執(zhí)行系統(tǒng)、裝置、或設(shè)備。

介質(zhì)可以是用于傳播介質(zhì)的電子、磁、光、電磁、紅外或半導(dǎo)體系統(tǒng)。計算機可讀介質(zhì)的示例可以包括半導(dǎo)體或固態(tài)存儲器、磁帶、可移動計算機磁盤、隨機存取存儲器(ram)、只讀存儲器(rom)、剛性磁盤和光學(xué)磁盤。目前光盤的例子包括光盤只讀存儲器(cd-rom)、光盤讀/寫(cd-r/w)、dvd和藍(lán)光盤。

還應(yīng)當(dāng)注意,已經(jīng)參考不同的主題描述了本發(fā)明的實施例。具體地,已經(jīng)參考方法類權(quán)利要求描述了一些實施例,而已經(jīng)參考裝置類權(quán)利要求描述了其他實施例。然而,本領(lǐng)域技術(shù)人員將從上述和以下描述中收集——除非另有通知——除了屬于一種類型的主題的特征的任何組合之外,還涉及與不同主題相關(guān)的特征之間的任何組合——具體地、在方法類權(quán)利要求的特征和裝置類權(quán)利要求的特征之間——被認(rèn)為在本文件中被公開。

從以下描述的實施例的示例中,本發(fā)明的上述方面和另外的方面是顯而易見的,并且參照實施例的實施例進行了說明,但本發(fā)明并不限于此。

附圖說明

現(xiàn)在將僅通過示例的方式并且參考以下附圖描述本發(fā)明的優(yōu)選實施例。

圖1示出了本發(fā)明的方法的實施例的框圖。

圖2示出了用于存儲新文件的實施例的框圖。

圖3示出了進入的加密請求的實施例的框圖。

圖4示出了對來自云環(huán)境的文件的請求的實施例的框圖。

圖5示出了用于從一個云區(qū)到另一個云區(qū)的文件的傳送請求的實施例的框圖。

圖6示出了云存儲訪問接口和密鑰保管庫系統(tǒng)之間的交互的實施例的框圖。

圖7示出了本發(fā)明的存儲子系統(tǒng)的框圖。

圖8示出了包括存儲子系統(tǒng)或其部分的計算系統(tǒng)的實施例。

圖9示出了實施的容器內(nèi)容器安全機制。

具體實施方式

在下文中,將給出對附圖的詳細(xì)描述。圖中的所有例示都是示意的。首先,給出了用于在共享聯(lián)網(wǎng)(sharednetworked)、即云環(huán)境中存儲數(shù)據(jù)的本發(fā)明方法的實施例的框圖。之后,將描述該方法和相關(guān)存儲子系統(tǒng)的其它實施例。

圖1示出了用于存儲數(shù)據(jù)的方法100的實施例的框圖。對于要存儲的數(shù)據(jù)的種類或類型可以沒有限制。數(shù)據(jù)可以存儲在云存儲系統(tǒng)上的云環(huán)境中。云環(huán)境、具體地私有、公共或混合云環(huán)境可以具有不同的機密等級,可以包括云存儲裝置和云存儲訪問接口之間的安全層。這可以是用于云存儲裝置訪問的應(yīng)用程序編程接口(api)。

方法100可以包括從在其中包括安全密鑰存儲器和加密/解密單元的密鑰保管庫系統(tǒng)中物理地分離102包括安全層的云存儲裝置。

方法100還可以包括將存儲請求連同要存儲在云存儲裝置中的數(shù)據(jù)、連同機密等級一起接收104,該機密等級即來自客戶端系統(tǒng)的用于數(shù)據(jù)的機密等級??梢酝ㄟ^安全層、經(jīng)由云存儲訪問接口接收存儲請求連同數(shù)據(jù)和機密等級。

要存儲的數(shù)據(jù)和機密等級可以由密鑰保管庫系統(tǒng)根據(jù)安全層的請求加密106為數(shù)據(jù)容器。云存儲裝置可以分類108為云區(qū)。每個云區(qū)可以被分配一個信任級別。

然后,現(xiàn)在可以加密的數(shù)據(jù)容器可以被存儲110在云存儲裝置的一個云區(qū)中,使得該一個云區(qū)的信任級別對應(yīng)于機密等級。每個云區(qū)可以具有對應(yīng)的信任級別。

圖2示出了經(jīng)由云存儲訪問接口來存儲新文件的實施例的框圖200。新的文件可以由云存儲訪問接口接收202。可以檢查204文件是否可以被預(yù)先加密。在“否”的情況下,可以在分類服務(wù)/分類數(shù)據(jù)庫208的上下文中確定206文件的機密等級。機密等級可以有三個不同的等級:高、中等、低。但是,其他額外的機密等級可以可用。在機密等級檢查210之后,可以分配212低機密等級;在“中”的情況下,可以分配214中等機密等級;并且在“高”的情況下,可以分配216高機密等級。

接下來,218,可以確定具有與機密等級兼容的相關(guān)聯(lián)的信任級別的云存儲裝置池是否可用。在檢查之后,220,無論這樣的云池是否可用以及它不可用的確定,存儲請求可以被拒絕222,并且可以生成故障報告。

如果云池可以可用,則可將文件中繼224到云存儲裝置池。該文件可以由分配的密鑰保管庫系統(tǒng)加密226。然后,可以檢查文件是否可以被加密,228。在“是”的情況下,可以存儲230該文件,并且可以報告存儲成功。在“否”的情況下,可以拒絕222存儲請求,并且可以報告故障。

圖3示出了進入的加密請求的實施例的框圖300。

可以接收302進入的加密請求??梢詸z查304是否可以授權(quán)安全層。在“否”的情況下,加密請求可以被拒絕306。

在“是”的情況下,可以檢查308請求者是否可以被授權(quán)。在“否”的情況下,文件可以被加密310,可以在密鑰保管庫系統(tǒng)中存儲312密鑰,請求者可以被忽略314,并且可以被記錄以供安全人員注意。安全人員可以接收316有關(guān)事件的信號,并將事件報告318給安全層。

在請求可以被授權(quán)308、文件可以被加密320的情況下,密鑰可以被存儲322在密鑰保管庫系統(tǒng)中,可以記錄該請求的授權(quán)324,并且成功消息可以被發(fā)送326到安全層。然后,進入的加密請求可以完成328。

圖4示出了來自云環(huán)境的對文件的請求的實施例的框圖400。可以接收402對新文件的請求。可以檢查404請求者是否可以被認(rèn)證。在“否”的情況下,請求可以被拒絕406。在“是”的情況下,可以檢查408請求者是否可以授權(quán)該文件。在“是”的情況下,可以檢查410文件是否被遞送到授權(quán)的目的地。然后,可以檢索412被加密的數(shù)據(jù)容器。解密請求可以被發(fā)送414到密鑰保管庫系統(tǒng),包括被加密的數(shù)據(jù)容器和關(guān)于請求者的信息。

可以檢查416是否已經(jīng)從密鑰保管庫系統(tǒng)接收到解密的文件。在“是”的情況下,文件可以以解密的形式遞送418給請求者。在“否”的情況下,該請求可以被拒絕406。-在“否”的情況下,在檢查408和410時,請求也可被拒絕406。

圖5示出了用于從一個云區(qū)到另一個云區(qū)的文件的傳送請求的實施例的框圖500。如果可以接收到502新的傳送請求,則可以檢查504請求是否可以被授權(quán)。在“否”的情況下,請求可以被拒絕506。

在“是”的情況下,可以檢查508請求者是否可以被授權(quán)。在“否”的情況下,請求可以被拒絕506。在“是”的情況下,可以生成510新的加密密鑰,可以使用新的加密密鑰將文件的副本進行加密512,并且可以將文件傳送514到新的目標(biāo)目的地。可以檢查516目標(biāo)目的地是否可以接管解密權(quán)限。在“是”的情況下,可以將新的加密密鑰518傳送到新的目的地目標(biāo)。在“否”的情況下,可以記錄519目的地目標(biāo)的解密權(quán)限。

然后,可以檢查520文件是否可以被“移動”到新的位置/目的地目標(biāo)或被“復(fù)制”。在“復(fù)制”的情況下,可以生成530成功報告。在“移動”的情況下,對于確定步驟520,可以確定522是否應(yīng)該保留或歸檔原始文件。在“否”的情況下,可以刪除524舊的加密密鑰和舊文件。否則(情況“是”),舊的加密密鑰和文件可以被歸檔526。那么,可以報告530成功。

圖6示出了云存儲訪問接口、共享聯(lián)網(wǎng)存儲訪問接口602、或簡單地云api602和密鑰保管庫系統(tǒng)604之間的交互的實施例的框圖600??梢越邮照埱蠛?或?qū)⒔Y(jié)果發(fā)回客戶端606,客戶端606也是存儲請求的發(fā)送者606。數(shù)據(jù)或具體地日期容器608可以被存儲在聯(lián)網(wǎng)的云環(huán)境610中,或者換句話說,存儲在共享聯(lián)網(wǎng)環(huán)境610中。安全層612可以是防火墻系統(tǒng)的一部分。

密鑰保管庫系統(tǒng)604可以包括訪問調(diào)控器訪問策略調(diào)控器614、密鑰存儲裝置616以及連接到加密/解密單元620的加密/解密簇的加密/解密接口618。密鑰存儲裝置616可以請求624來自加密/解密簇620的密鑰,該加密/解密簇620還可以根據(jù)訪問調(diào)控器614的請求622驗證數(shù)據(jù)密鑰。

云api604可以負(fù)責(zé)客戶端或請求者606的認(rèn)證和授權(quán)。

密鑰保管庫系統(tǒng)604及其功能現(xiàn)在可以在密鑰保管庫系統(tǒng)604的上下文中以及用安全層612的以下交互和活動的情況下進行描述:

初始安全檢查

由云區(qū)的外部接口可以接收到新的文件上傳,云api602在成功驗證客戶端606之后,現(xiàn)在將嘗試將文件存儲在數(shù)據(jù)存儲區(qū)域中。為此,它可以發(fā)送包含文件本身的請求,認(rèn)證信息(例如,用戶id)和客戶端信息(請求的日期/時間、源ip[因特網(wǎng)協(xié)議]地址、客戶端類型/產(chǎn)品/版本號)到數(shù)據(jù)存儲區(qū)域。

該進入請求將由安全層612透明地捕獲,安全層612正在監(jiān)視數(shù)據(jù)流以找到與“文件上傳”事務(wù)匹配的請求流。安全層可以使用具有可信證書的加密傳輸通道來驗證數(shù)據(jù)流正在被保護。

如果不是這樣,該傳送將被拒絕。

如果傳送被適當(dāng)?shù)乇Wo,則安全層612將類似于接受外部接口的數(shù)據(jù)流的代理而不將其中繼到數(shù)據(jù)存儲系統(tǒng)。一旦包含認(rèn)證、客戶端和一般文件信息的數(shù)據(jù)流的報頭已經(jīng)被接收到,則它將在并行進行用密鑰保管庫系統(tǒng)604來驗證請求的同時繼續(xù)緩沖進入的文件數(shù)據(jù)。

由鑰匙保管庫進行的運行前(pre-flight)驗證

為此,安全層612將建立與密鑰保管庫系統(tǒng)604接口的安全連接,并且如果客戶端606可以根據(jù)訪問調(diào)控器614的配置的策略上傳這種文件,則發(fā)送請求以使其被驗證。安全層612將提供所有至今所接收到的所有請求信息,而不需要實際的文件內(nèi)容,并等待密鑰保管庫系統(tǒng)的響應(yīng)。如果密鑰保管庫系統(tǒng)604在預(yù)定義的時間段(例如5秒)內(nèi)沒有響應(yīng),則超時信號將中止請求并拒絕外部接口的上傳嘗試。

在接收到安全層的612的驗證請求期間,密鑰保管庫系統(tǒng)604接口將驗證安全層612是否被信任用于通信,以及傳輸通道是否已用基于證書的加密保護。如果兩個標(biāo)準(zhǔn)中的任何一個失敗,則傳輸將被拒絕。如果傳輸被接受,則密鑰保管庫系統(tǒng)604接口將建立與訪問調(diào)控器614的安全連接,并且中繼所接收的請求以用于驗證。

訪問調(diào)控器614現(xiàn)在將檢查客戶端606是否通常被允許使用云區(qū)用于文件上傳,無論是在訪問調(diào)控器604中用于黑名單的認(rèn)證用戶id以及用于信譽的源ip地址方面。這可以使用傳統(tǒng)的黑/白名單以及商業(yè)ip信譽產(chǎn)品(如ibm的scasdk)進行,允許拒絕來自被分類為惡意、但不受控制或使用匿名代理的ip的訪問。

訪問調(diào)控器614還將檢查在最近的時間段內(nèi),例如最近24小時內(nèi),該用戶是否已經(jīng)發(fā)出顯示異常行為的其他請求,異常行為例如大量上傳/下載、重復(fù)拒絕的請求、不斷變化的ip地址或有問題的客戶詳細(xì)信息。這可以由訪問調(diào)控器614直接實現(xiàn),或者通過與諸如ibmqradar異常檢測的商業(yè)產(chǎn)品接口來實現(xiàn)。異常請求可以被訪問調(diào)控器614拒絕,并且將為負(fù)責(zé)的安全人員生成安全事件報告。

如果請求被認(rèn)為是可接受的,則訪問調(diào)控器614將創(chuàng)建傳送票證。該傳送票證可以包含所提供的認(rèn)證、客戶端和文件信息、進行請求的安全層612的簽名以及取決于報告的文件大小的請求的到期時間(例如,5分鐘/250mb文件大小,因此,1gb文件將有20分鐘到期時間)。然后可以由訪問調(diào)控器614簽署傳送票證,并將其轉(zhuǎn)交給安全層612。

進行加密

在接收到傳送票證時,安全層612將驗證訪問調(diào)控器614的簽名以及其自己的嵌入簽名。如果兩個檢查都肯定,則它將開始向密鑰保管庫系統(tǒng)604接口的加密請求,該加密請求由傳送票證和至今已被緩沖的正在傳送的文件的任何數(shù)據(jù)組成。為了確保傳送安全性,安全層612將使用密鑰保管庫系統(tǒng)604的加密/解密單元620使用的公開密鑰來加密文件數(shù)據(jù)。這可以確保只有加密/解密單元620能夠讀取以密鑰保管庫系統(tǒng)604內(nèi)的其原始版本的文件,從而使攻擊者對其他密鑰保管庫系統(tǒng)中的破壞沒有價值。

如前所述,密鑰保管庫系統(tǒng)604接口將檢查進入的連接的安全性,然后將請求中繼到加密/解密單元620。其中一個加密/解密單元620將通過輪叫(going-round-robin)來接收進入的請求。相關(guān)的加密/解密管理將確保始終有一個空閑加密/解密單元620可用。

接收進入的請求的加密/解密單元620將驗證傳送票證的簽名和到期時間。它還可以驗證對文件內(nèi)容的加密是否與嵌入在票證中的安全層612的簽名相匹配。此外,還將驗證文件標(biāo)識可以與正在傳送的實際文件相匹配。如果這些檢查中的任何失敗,請求可以被拒絕,并且可以生成安全事件報告。

最終加密和內(nèi)容檢查

如果所有檢查都通過,則加密/解密單元620將生成一個新密鑰,以便一旦存儲就最終用于該文件。然后,它將開始使用共享加密/解密私鑰來解密文件。當(dāng)處理正在運行時,加密/解密單元620將對解密的數(shù)據(jù)運行內(nèi)容分類。在數(shù)據(jù)被解密期間,這個處理運行多次,直到所有的數(shù)據(jù)已經(jīng)被掃描或文件已經(jīng)被分類為最高機密。為此,加密/解密單元620可以使用諸如簡單模式匹配、貝葉斯分類或啟發(fā)式(heuristics)的多種技術(shù)。加密/解密單元620可以共享簽名、模式和/或啟發(fā)式的中心數(shù)據(jù)庫,以確保所有單元具有可用的分類標(biāo)準(zhǔn)的相同的同步集合。

根據(jù)分類,將以0到1的尺度對該文件進行機密的排序,其中0為非機密信息,1為高度機密信息。一旦確定了機密等級,加密/解密單元620將檢查云區(qū)是否是該機密等級的有效目標(biāo)。這可以在加密/解密單元620上本地完成,或者通過查詢訪問調(diào)控器614以獲取當(dāng)前的分類策略來完成。

如果當(dāng)前云區(qū)的可信度太低以至于無法存儲該文件,加密/解密單元620將請求訪問調(diào)控器614檢查是否已經(jīng)向其登記了具有較高可信度的其他云區(qū)。如果是這種情況,則訪問調(diào)控器614將以更安全的云區(qū)的安全層612作為目標(biāo)來更新傳送票證,并將其報告回加密/解密單元620。如果不能確定合適的云區(qū),請求被立即中止。

此外,當(dāng)文件被解密時,立即用生成的唯一密鑰重新加密文件。加密的數(shù)據(jù)流將被嵌入到用加密/解密單元620簽名所簽名的容器中,該容器包含文件的標(biāo)識符、以及所述數(shù)據(jù)流旁邊的內(nèi)容分類。如果已經(jīng)達(dá)到關(guān)于機密的最終決定并且最終目的地也被確定,則加密/解密單元620將建立與負(fù)責(zé)的安全層612的連接,并且發(fā)送具有文件的標(biāo)識符和再加密的數(shù)據(jù)流的存儲請求用于存儲在對應(yīng)的數(shù)據(jù)存儲區(qū)域上。此外,加密/解密單元620將文件標(biāo)識符和相關(guān)聯(lián)的加密密鑰提交到密鑰存儲裝置616以便保管。

存儲區(qū)域?qū)Ⅱ炞C進入的數(shù)據(jù)流的傳送票證是否具有嵌入的當(dāng)前云區(qū)的安全層612的簽名,然后存儲數(shù)據(jù)流。

一旦傳送完成,加密/解密單元620將通知安全層612傳送成功了,它最初從該安全層612接收了文件。如果用于存儲文件的安全層612與請求加密的安全層612相同,則僅報告成功。如果文件已經(jīng)被中繼到另一個云區(qū),則加密/解密單元620還將報告負(fù)責(zé)的安全層612的細(xì)節(jié)。然后,該信息可以例如用于通知用戶該文件的中繼。

安全層612現(xiàn)在將報告回云區(qū)的外部接口。文件已成功存儲。

下載現(xiàn)有文件

該處理非常類似于加密,唯一的區(qū)別是密鑰保管庫系統(tǒng)604將檢查請求客戶端是否被信任以檢索特定文件-或者換句話說,如果客戶端是機密文件的(可以永久性的)的存儲裝置的可信目標(biāo)。文件的機密性將從文件的存儲容器中讀取,該存儲容器由文件標(biāo)識符、機密等級和加密的文件本身構(gòu)成。訪問調(diào)控器614將驗證容器的簽名,以確保機密等級或文件自從存儲它以來未被篡改。它將使用與上傳期間使用的相同的驗證方法,但可以使用更嚴(yán)格的策略(例如,只允許已知的、列入白名單的客戶端版本,阻止任何和所有負(fù)ip信譽標(biāo)準(zhǔn)),因為文件的檢索可能比上傳新的文件更危險。

而且,傳送方向被反轉(zhuǎn),其中將數(shù)據(jù)流從數(shù)據(jù)存儲區(qū)域提取到加密/解密單元620到安全層612并且離開云區(qū)的外部接口。

云區(qū)之間的傳送

這個處理與新文件的下載非常相似之處在于新的云區(qū)將被視為外部客戶端,請求訪問一個或多個文件。主要區(qū)別在于,密鑰保管庫系統(tǒng)604可以決定不將文件的加密密鑰移交給新目標(biāo)。該決定可以基于新的云區(qū)的可信度,即被配置的,或者基于從/到所述云區(qū)或ip信譽數(shù)據(jù)的傳送的異常檢測的結(jié)果。

如果密鑰保管庫系統(tǒng)614不想移交加密密鑰,則其可以完全拒絕該傳送,或允許傳送但保留密鑰。在后一種情況下,新的云區(qū)會將該文件的所有解密中繼到原始云區(qū)的訪問調(diào)控器614。

如果具有不同信任度(例如,不同的服務(wù)提供者、服務(wù)水平/層)的多個云區(qū)存在于很近的附近中或者可以經(jīng)由高帶寬訪問來連接,則此設(shè)置可以是有用的。

對攻擊的增加的彈性

本發(fā)明的方法可以通過采用現(xiàn)有的現(xiàn)成解決方案(例如確保密鑰數(shù)據(jù)的防篡改存儲的可信平臺模塊(tpm)、和uefi(統(tǒng)一可擴展固件接口)安全引導(dǎo)(secureboot))來加入額外的安全機制以在未修改的操作系統(tǒng)上運行。

本發(fā)明的方法可以通過拒絕啟動來強制使用這些技術(shù),除非tpm設(shè)備可用,并且操作系統(tǒng)已經(jīng)使用uefi安全引導(dǎo)來引導(dǎo)了。

此外,運行在任何組件上的軟件可以配備檢查所有二進制文件是否有效、可信的簽名,如果任何組件的簽名不匹配、受到損害或過期則拒絕運行。

另外,本發(fā)明的方法可以在簽署例如、對于訪問調(diào)控器614、密鑰保管庫系統(tǒng)604的加密/解密單元620的事務(wù)時使用uefi引導(dǎo)的唯一簽名,確保沒有、或有不受信任或不匹配的uefi簽名的系統(tǒng)與其他系統(tǒng)通信。最終,這可以創(chuàng)建從系統(tǒng)uefibios上升到操作系統(tǒng)的驗證鏈,這又可以驗證系統(tǒng)上的所有組件是未被損害的。如果攻擊者嘗試更改系統(tǒng)組件,則可以通過嚴(yán)格的簽名檢查來檢測到這種篡改。

根據(jù)部署,連續(xù)的、認(rèn)證的更新也可以用作安全措施。通過將證書的有效性保持在低(例如,僅僅幾個小時),并且要求不斷重新部署來自可信來源(例如,供應(yīng)商)的較小但中心的驗證組件,即使間歇性的篡改也只能在幾個小時內(nèi)實現(xiàn)-否則將由刷新的組件檢測到,或組件將因為他們的證書已過期而停止工作。

為了實現(xiàn)物理安全,可以設(shè)計一種防篡改的硬件解決方案,除了空氣,電力和通信連接之外,還可以從外部密封,并且可以例如通過監(jiān)視任何服務(wù)艙口的打開,用于外殼檢測鉆孔的中斷傳感器,并通過測量線圈哨聲和風(fēng)扇周期產(chǎn)生有源噪聲來抑制對密鑰的讀取,來防止入侵企圖。

如果可以檢測到可能的安全漏洞,本發(fā)明將立即以軟件方式銷毀所有存儲的密鑰,并且甚至可以部署本地化的emp發(fā)生器或其他物理手段,例如受控的爆炸,以確保攻擊者幾乎沒有能力從入侵嘗試中獲取有用的信息。

在可以部署破壞性入侵對策的情況下,本發(fā)明可以被擴展為能夠?qū)γ總€可以被存儲在單獨位置中的客戶使用有限數(shù)量的通用解密密鑰。此外,與災(zāi)難恢復(fù)的情況下本發(fā)明的其他受信任實例的同步可以用于確??蛻舯A粼L問其文件的能力。然而,這是可選的,并且如果數(shù)據(jù)的完全不可訪問性優(yōu)于具有可能潛在規(guī)避數(shù)據(jù)分割的“備份密鑰”,則可以不使用。

使用不對稱相比于對稱加密

本發(fā)明的方法主要使用用于所有通信的基于證書的不對稱加密來確保所有事務(wù)都被保護。然而,根據(jù)可用的性能,這可能稍微減慢文件的處理速度。隨著cpu周期變得越來越少,但由于技術(shù)進步,這種情況可以減少,但是在不久的將來可以無法相符,則成為限制。

如果是這種情況,一旦文件的事務(wù)被建立,本發(fā)明可以放松對不對稱加密的要求并且使用對稱加密。

另外,一旦已由人類操作者建立可靠的關(guān)系,本發(fā)明可以一般地使用對稱加密來保護組件之間的通信。如果是這種情況,本發(fā)明將處理與交換的密鑰的所有通信,而不是進行完全不對稱的握手加速通信。為了將安全性保持在可接受的水平,本發(fā)明的方法可以以短的間隔(例如,每10分鐘)和預(yù)定數(shù)量的事務(wù)(例如500個)(以先到者為準(zhǔn))來旋轉(zhuǎn)密鑰,以阻止進行中間人的襲擊的潛在第三方的密鑰破解攻擊。

在這種情況下,看看用于數(shù)據(jù)保護的容器中容器的概念可以是有幫助的。圖9示出了嵌入原理900。外層由加密的事務(wù)容器表示,該加密的事務(wù)容器只能由安全層612讀取(比較圖6)。加密的事務(wù)容器902的一部分是識別轉(zhuǎn)換中的加密的事務(wù)容器902的事務(wù)id(標(biāo)識符)。加密的事務(wù)容器902內(nèi)的數(shù)據(jù)容器904包括至少兩個元素:關(guān)于該文件的元信息906。該元信息也僅可由安全層612讀取。數(shù)據(jù)容器904內(nèi)也是以加密形式存儲的文件908。

因此,即使容器904可以從一個云區(qū)轉(zhuǎn)換到另一個云區(qū),要存儲的文件908也不會受到影響。容器中容器的概念使得這不可能。

作為概述和總結(jié),圖7示出了本發(fā)明的存儲子系統(tǒng)700的框圖,用于在已知為云環(huán)境的共享聯(lián)網(wǎng)環(huán)境中存儲數(shù)據(jù)。云環(huán)境包括云存儲裝置和云存儲訪問接口602之間的安全層612。存儲子系統(tǒng)700包括云存儲裝置,其包括與密鑰保管庫系統(tǒng)604物理分離的安全層612。云存儲裝置包括云區(qū),其中每個云區(qū)具有分配的信任級別。存儲子系統(tǒng)700包括適于接收存儲請求連同要存儲在云存儲裝置中的數(shù)據(jù)連同機密等級的接收單元702。通過安全層612經(jīng)由云存儲訪問接口602接收存儲請求連同數(shù)據(jù)和機密等級。采用密鑰保管庫系統(tǒng)604根據(jù)安全層612的請求將要存儲的數(shù)據(jù)和機密等級加密到數(shù)據(jù)容器中。

存儲子系統(tǒng)700還包括適于將數(shù)據(jù)容器存儲在云存儲裝置的一個云區(qū)中的存儲組件704,使得一個云區(qū)的信任級別對應(yīng)于機密等級。

本發(fā)明的實施例可以與實際上任何類型的計算機一起實現(xiàn),而不管適合于存儲和/或執(zhí)行程序代碼的平臺。例如,如圖8所示,計算系統(tǒng)800可以包括具有每個處理器的一個或多個核心的一個或多個處理器802、相關(guān)聯(lián)的存儲器元件804、內(nèi)部存儲設(shè)備806(例如,硬盤、光盤驅(qū)動器、例如光盤驅(qū)動器或數(shù)字視頻盤(dvd)驅(qū)動器、閃存棒、固態(tài)盤等)以及許多其他元件和功能,這些是當(dāng)今計算機(未示出)的典型例子。存儲器元件804可以包括在實際執(zhí)行程序代碼期間采用的主存儲器、例如隨機存取存儲器(ram)、以及高速緩存存儲器,其可以提供至少一些程序代碼和/或數(shù)據(jù)的臨時存儲用于減少次數(shù),必須從長期存儲介質(zhì)或外部大容量存儲器816檢索代碼和/或數(shù)據(jù)用于執(zhí)行。計算機800內(nèi)的元件可以通過總線系統(tǒng)818與對應(yīng)的適配器相連。另外,用于在云環(huán)境中存儲數(shù)據(jù)的存儲子系統(tǒng)700可以附接到總線系統(tǒng)818。

計算系統(tǒng)800還可以包括諸如鍵盤808、諸如鼠標(biāo)810的指示設(shè)備或麥克風(fēng)(未示出)之類的輸入裝置?;蛘?,計算系統(tǒng)可以配備有觸敏屏作為主輸入設(shè)備。此外,計算機800可以包括諸如監(jiān)視器或屏幕812(例如,液晶顯示器(lcd)、等離子體顯示器、發(fā)光二極管顯示器(led)或陰極射線管(crt)監(jiān)視器)的輸出裝置。計算機系統(tǒng)800可以經(jīng)由網(wǎng)絡(luò)接口連接814連接到網(wǎng)絡(luò)(例如,局域網(wǎng)(lan)、廣域網(wǎng)(wan)),諸如因特網(wǎng)或任何其它類似類型的網(wǎng)絡(luò),包括無線網(wǎng)絡(luò)。這可以允許耦合到其他計算機系統(tǒng)\存儲網(wǎng)絡(luò)或磁帶驅(qū)動器。本領(lǐng)域技術(shù)人員將理解,存在許多不同類型的計算機系統(tǒng),并且上述輸入和輸出裝置可以采取其他形式。一般來說,計算機系統(tǒng)800可以至少包括實施本發(fā)明實施例所必需的最小處理\輸入和/或輸出裝置。

雖然已經(jīng)針對有限數(shù)量的實施例描述了本發(fā)明,但是受益于本公開的本領(lǐng)域技術(shù)人員將會理解,可以設(shè)計出不脫離如本文所公開的本發(fā)明的范圍的其他實施例。因此,本發(fā)明的范圍應(yīng)僅由所附權(quán)利要求限制。而且,可以組合與不同實施例相關(guān)聯(lián)地描述的元件。還應(yīng)當(dāng)注意,權(quán)利要求中的附圖標(biāo)記不應(yīng)被解釋為限制因素。

所屬技術(shù)領(lǐng)域的技術(shù)人員知道,本公開的各個方面可以實現(xiàn)為系統(tǒng)、方法或計算機程序產(chǎn)品。因此,本公開的各個方面可以具體實現(xiàn)為以下形式,即:完全的硬件實施方式、完全的軟件實施方式(包括固件、駐留軟件、微代碼等),或硬件和軟件方面結(jié)合的實施方式,這里可以統(tǒng)稱為“電路”、“模塊”或“系統(tǒng)”。此外,在一些實施例中,本公開的各個方面還可以實現(xiàn)為在一個或多個計算機可讀介質(zhì)中的計算機程序產(chǎn)品的形式,該計算機可讀介質(zhì)中包含計算機可讀的程序代碼。

可以采用一個或多個計算機可讀介質(zhì)的任意組合。計算機可讀介質(zhì)可以是計算機可讀信號介質(zhì)或者計算機可讀存儲介質(zhì)。計算機可讀存儲介質(zhì)例如可以是——但不限于——電、磁、光、電磁、紅外線、或半導(dǎo)體的系統(tǒng)、裝置或器件,或者任意以上的組合。計算機可讀存儲介質(zhì)的更具體的例子(非窮舉的列表)包括:具有一個或多個導(dǎo)線的電連接、便攜式計算機盤、硬盤、隨機存取存儲器(ram)、只讀存儲器(rom)、可擦式可編程只讀存儲器(eprom或閃存)、光纖、便攜式緊湊盤只讀存儲器(cd-rom)、光存儲器件、磁存儲器件、或者上述的任意合適的組合。在本文件中,計算機可讀存儲介質(zhì)可以是任何可以包含或存儲程序的有形介質(zhì),該程序可以被指令執(zhí)行系統(tǒng)、裝置或者器件使用或者與其結(jié)合使用。

計算機可讀的信號介質(zhì)可以包括在基帶中或者作為載波一部分傳播的數(shù)據(jù)信號,其中承載了計算機可讀的程序代碼。這種傳播的數(shù)據(jù)信號可以采用多種形式,包括——但不限于——電磁信號、光信號或上述的任意合適的組合。計算機可讀的信號介質(zhì)還可以是計算機可讀存儲介質(zhì)以外的任何計算機可讀介質(zhì),該計算機可讀介質(zhì)可以通信、傳播或者傳輸用于由指令執(zhí)行系統(tǒng)、裝置或者器件使用或者與其結(jié)合使用的程序。

計算機可讀介質(zhì)上包含的程序代碼可以用任何適當(dāng)?shù)慕橘|(zhì)傳輸,包括——但不限于——無線、有線、光纜、rf等等,或者上述的任意合適的組合。

可以以一種或多種程序設(shè)計語言的任意組合來編寫用于執(zhí)行本發(fā)明操作的計算機程序代碼,所述程序設(shè)計語言包括面向?qū)ο蟮某绦蛟O(shè)計語言—諸如java、smalltalk、c++等,還包括常規(guī)的過程式程序設(shè)計語言—諸如“c”語言或類似的程序設(shè)計語言。程序代碼可以完全地在用戶計算機上執(zhí)行、部分地在用戶計算機上執(zhí)行、作為一個獨立的軟件包執(zhí)行、部分在用戶計算機上部分在遠(yuǎn)程計算機上執(zhí)行、或者完全在遠(yuǎn)程計算機或服務(wù)器上執(zhí)行。在涉及遠(yuǎn)程計算機的情形中,遠(yuǎn)程計算機可以通過任意種類的網(wǎng)絡(luò)——包括局域網(wǎng)(lan)或廣域網(wǎng)(wan)—連接到用戶計算機,或者,可以連接到外部計算機(例如利用因特網(wǎng)服務(wù)提供商來通過因特網(wǎng)連接)。

下面將參照根據(jù)本公開的實施例的方法、裝置(系統(tǒng))和計算機程序產(chǎn)品的流程圖和/或框圖描述本公開的各個方面。應(yīng)當(dāng)理解,流程圖和/或框圖的每個方框以及流程圖和/或框圖中各方框的組合,都可以由計算機程序指令實現(xiàn)。這些計算機程序指令可以提供給通用計算機、專用計算機或其它可編程數(shù)據(jù)處理裝置的處理器,從而生產(chǎn)出一種機器,使得這些計算機程序指令在通過計算機或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行時,產(chǎn)生了實現(xiàn)流程圖和/或框圖中的一個或多個方框中規(guī)定的功能/動作的裝置。

計算機程序指令也可以被加載到計算機上、其他可編程數(shù)據(jù)處理設(shè)備或其他設(shè)備,以使得在計算機、其他可編程設(shè)備或其他設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,使得在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)流程圖和/或框圖、塊或塊中指定的功能/動作的處理。

附圖中的流程圖和框圖顯示了根據(jù)本公開的多個實施例的系統(tǒng)、方法和計算機程序產(chǎn)品的可能實現(xiàn)的體系架構(gòu)、功能和操作。在這點上,流程圖中的每個方框可以代表一個模塊、程序段或代碼的一部分,所述模塊、程序段或代碼的一部分包含一個或多個用于實現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令。也應(yīng)當(dāng)注意,在有些替換的實現(xiàn)中,前述描述的功能也可以以不同于公開的順序發(fā)生。例如,兩個連續(xù)的功能實際上可以基本并行地執(zhí)行,兩個功能有時也可以按相反的順序執(zhí)行,這依所涉及的功能而定。也要注意的是,框圖中的每個方框、以及框圖中的方框的組合,可以用執(zhí)行規(guī)定的功能或動作的專用的基于硬件的系統(tǒng)來實現(xiàn),或者可以用專用硬件與計算機指令的組合來實現(xiàn)。

本文使用的術(shù)語僅用于描述特定實施例的目的,并不意圖限制本發(fā)明。如本文所使用的,單數(shù)形式“一”,“一個”和“該”也旨在包括復(fù)數(shù)形式,除非上下文另有明確指示。還應(yīng)當(dāng)理解,當(dāng)在本說明書中使用時,術(shù)語“包括”和/或“包括”指定所述特征、整數(shù)、步驟、操作、元件和/或部件的存在,但不排除存在或添加一個或多個其它特征、整數(shù)、步驟、操作、元件、組件和/或其組合。

所附權(quán)利要求書中的所有手段或步驟以及功能元件的相應(yīng)結(jié)構(gòu)、材料、作用和等同物旨在包括與特別要求保護的其它要求保護的元件結(jié)合執(zhí)行功能的任何結(jié)構(gòu)、材料或動作。已經(jīng)為了說明和描述的目的而呈現(xiàn)了本發(fā)明的描述,但并不旨在以所公開的形式窮舉或限于本發(fā)明。在不脫離本發(fā)明的范圍和精神的情況下,許多修改和變化對于本領(lǐng)域普通技術(shù)人員將是顯而易見的。選擇和描述實施例以便最好地解釋本發(fā)明的原理和實際應(yīng)用,并且使得本領(lǐng)域普通技術(shù)人員能夠通過各種修改來理解各種實施例的本發(fā)明,適用于預(yù)期的特定用途。

當(dāng)前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1