CN104255011B - 云计算安全数据存储 - Google Patents
云计算安全数据存储 Download PDFInfo
- Publication number
- CN104255011B CN104255011B CN201280067977.4A CN201280067977A CN104255011B CN 104255011 B CN104255011 B CN 104255011B CN 201280067977 A CN201280067977 A CN 201280067977A CN 104255011 B CN104255011 B CN 104255011B
- Authority
- CN
- China
- Prior art keywords
- data
- resource
- data element
- cloud computing
- computing environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000003860 storage Methods 0.000 claims abstract description 92
- 238000000034 method Methods 0.000 claims abstract description 66
- 238000013500 data storage Methods 0.000 claims abstract description 22
- 238000004891 communication Methods 0.000 claims description 68
- 238000000926 separation method Methods 0.000 claims description 36
- 230000008859 change Effects 0.000 claims description 16
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 5
- 230000006798 recombination Effects 0.000 claims 1
- 238000005215 recombination Methods 0.000 claims 1
- 238000005516 engineering process Methods 0.000 description 43
- 230000006870 function Effects 0.000 description 15
- 230000009471 action Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 239000000470 constituent Substances 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000002708 enhancing effect Effects 0.000 description 4
- 238000011022 operating instruction Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000033001 locomotion Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000011084 recovery Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003442 weekly effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000005389 magnetism Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- QIQXTHQIDYTFRH-UHFFFAOYSA-N octadecanoic acid Chemical compound CCCCCCCCCCCCCCCCCC(O)=O QIQXTHQIDYTFRH-UHFFFAOYSA-N 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000010399 physical interaction Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0629—Configuration or reconfiguration of storage systems
- G06F3/0637—Permissions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/067—Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/166—IP fragmentation; TCP segmentation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Human Computer Interaction (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种用于安全数据存储服务的方法和实施方式。该方法包括:将数据资源划分为多个数据元,将逻辑群组分配给所述数据元,将物理存储群组分配给所述数据元,和/或在相应的存储资源处存储每个物理存储群组,接收对于所述数据资源的请求,确定所述对于数据资源的请求是否有效,以及如果该请求有效,将所述数据资源的数据元传输给所述客户端。该方法提高了数据访问的安全性,并且改善了在云计算环境中的用户体验。
Description
技术背景
除非在此明确给出相反指示,本部分中所述方案并非本申请中权利要求的现有技术并且其被包含在本部分中也不代表承认其为现有技术。
当前的数据安全措施可以在中央服务器上存储数据,由例如用户验证措施和加密技术保护数据。然而,随着计算环境已经演变至诸如例如云计算环境,当前数据安全解决方案也可以进展以促进对普适计算环境的利用,该普适计算环境可以与云计算环境相关联。因此,随着对意在安全的数据进行访问的技术的改进,增强的安全措施可以改进云计算环境中的用户体验。
概述
在多个实施例中,本公开描述了一种用于在云计算环境中提供安全数据存储服务的示例性方法。示例性方法可以包括将数据资源划分为数据元,并且随着时间改变数据元的逻辑和物理分隔,通过重复的进行以下操作,将逻辑群组分配给数据元,其中每个逻辑群组包括至少一个是通信数据元的数据元,以使得数据元被配置为与逻辑群组中任何其他数据元通信,并且每个通信数据元被配置为与云计算环境的资源通信,将物理存储群组分配给数据元,以及在云计算环境中相应的物理上分隔的存储资源处存储每个物理存储群组。示例性方法也可以包括从客户端接收对于数据资源的请求,确定对数据资源的请求是否有效,并且如果对于数据资源的请求有效,则将数据资源的数据元传输至客户端。
在多个实施例中,本公开也描述了一种示例性机器可读非临时媒介,其上存储具有指令,当运行指令时,使得云计算环境中的云计算资源提供安全数据存储服务。示例性的机器可读非临时媒介可以在其中存储指令,当运行指令时,使得云计算环境中的云计算资源通过以下步骤提供安全数据存储服务:将数据资源划分为数据元,并且随着时间改变数据元的逻辑和物理分隔,通过重复的进行以下操作,将逻辑群组分配给数据元,其中每个逻辑群组包括至少一个是通信数据元的数据元,以使得数据元被配置为与逻辑群组中任何其他数据元通信,并且每个通信数据元被配置为与云计算环境的资源通信,将物理存储群组分配给数据元,以及在云计算环境中相应的物理上分隔的存储资源处存储每个物理存储群组,并且一旦从客户端接收到对于数据资源的请求,则确定对数据资源的请求是否有效,并且如果对于数据资源的请求有效,则将数据资源的数据元传输至客户端。
在多个实施例中,本公开也描述了示例性系统。示例性系统可以包括处理器和其中存储有指令的机器可读媒介,当运行指令时,使得云计算环境中的云计算资源通过以下步骤提供安全数据存储服务:将数据资源划分为数据元,并且随着时间改变数据元的逻辑和物理分隔,通过重复的进行以下操作,将逻辑群组分配给数据元,其中每个逻辑群组包括至少一个是通信数据元的数据元以使得数据元被配置为与逻辑群组中任何其他数据元通信,并且每个通信数据元被配置为与云计算环境的资源通信,将物理存储群组分配给数据元,以及在云计算环境中的相应的物理上分隔的存储资源处存储每个物理存储群组,并且一旦从客户端接收到对于数据资源的请求,则确定对数据资源的请求是否有效,并且如果对于数据资源的请求有效,则将数据资源的数据元传输至客户端。
前述内容可以仅仅是示意性的并且可以并非意在以任何方式限定。除了示例性特征方面之外,通过参考附图和以下详细说明书,如上所述的实施例和特征、以及其他特征方面、实施例和特征将变得明显。
附图简述
在说明书的结论部分特别指出并且清楚要求限定了主题。结合附图,在以下说明书和所附权利要求中本公开的前述和其他特征将变得更明显。应该理解的是这些附图仅示出了根据本公开的数个实施例,并且因此不应视作对其范围的限定,将通过使用附图而更具体和详细地描述本公开。
在附图中:
图1所示是用于在云计算环境中提供安全数据存储服务的示例性方法的框图;
图2所示是用于在云计算环境中提供安全数据存储服务的示例性方法的流程图;
图3所示是用于在云计算环境中提供安全数据存储服务的示例性数据格式的框图;
图4所示是示例性计算机程序产品的示意图;以及
图5是示例性计算装置的框图,以上所有均根据本公开的至少一些实施例而设置。
具体实施方式
在说明书的结论部分特别指出并且清楚要求限定了主题。结合附图,在以下说明书和所附权利要求中本公开的前述和其他特征将变得更明显。应该理解的是这些附图仅示出了根据本公开的数个实施例,并且因此不应视作对其范围的限定,将通过使用附图而更具体和详细地描述本公开。
以下说明书列举了各种示例以及具体细节以提供对所要求保护的主题的完全理解。然而本领域技术人员将理解的是,要求保护的主题可以不采用在此所述的一些或更多具体细节而实施。此外,在一些情形下,并未详细描述已知的方法、工序、系统、部件和/或电路以避免不必要地模糊要求保护的主题。
在以下详细说明书中对附图进行了参考,从而使附图构成了说明书的一部分。在附图中,相似的附图标记通常表示相似的部件,除非上下文在此明确给出相反指示。在具体实施方式、附图和权利要求中所记载的示例性实施例并非意在限定。可以不脱离在此所述的主题的精神或范围而采用其他实施例并且做出其他改变。将易于理解的是,如在此通常所述以及附图中所示的本公开的方面可以以大量不同配置方式而设置、替换、组合和设计,所有这些被明确预期并且构成了本公开的一部分。
本公开特别涉及与在云计算环境中提供安全数据存储服务相关联的方法、装置、系统和计算机可读媒介。
通常,可以使用在此所述的一种或多种技术将诸如数据文档、图像文档、音频文档、视频文档、应用程序等等的数据资源安全地存储在云计算环境中。在一些示例中,数据资源可以划分为数据元。数据元可以是逻辑地和/或物理地分隔的。逻辑分隔可以包括给数据元分配逻辑群组以使得所有数据元都可以分配有一个逻辑群组。在一些示例中,每个逻辑群组中的数据元被配置以与逻辑群组中其他数据元通信。在一些示例中,每个逻辑群组中一个或多个数据元可以被配置作为通信数据元以使得每个群组中的通信数据元可以与云计算环境的中央资源通信。
数据元的物理分隔可以包括给数据元分配存储群组以使得所有数据元都可以分配有一个存储群组。通常,可以使用任意数目的逻辑群组和存储群组。逻辑群组和存储群组通常可以包括不同的数据元群组。在一些示例中,逻辑群组和存储群组可以被随机分配。每个被分配的数据元存储群组可以物理地存储在云计算环境的分隔的存储资源处。数据元的逻辑和/或物理分隔可以提供相较于在单个存储资源处维持了整个数据资源来说增强的安全性。
在一些示例中,所述逻辑和物理分隔可以随时间重复地或周期地改变,以使得可以提供对逻辑群组和/或存储群组的相继分配以及对新被分配的存储群组的相继物理存储。这些实施方式可以物理地移动数据元并且可以逻辑地移动或移位数据元。这些移动方法或动态的数据元可以提供增强的安全性。一旦收到了对于数据资源的有效请求,数据资源可以被传输至请求者(例如客户端)。数据资源可以被重构并且被传输至客户端,或者数据元可以被分立地传输,以使得接收客户端可以重构该数据资源。
图1是根据本公开至少一些实施例设置的、用于在云计算环境中提供安全数据存储服务的示例性方法100的框图。通常,方法100可以在如在此所述的任何合适的单个装置、多个装置、系统、资源或资源群组处而执行。如所示,方法100可以包括可以向其提供安全数据存储服务的数据资源110。通常,数据资源110可以包括任何合适的数据资源,诸如例如数据文档、图像文档、音频文档、视频文档、应用程序等等。在一些示例中,可以从客户端装置接收数据资源110以用于在云计算环境中的安全存储。
如所示,数据资源110可以划分为多重数目的数据元120。通常,数据资源110可以通过使用任何合适的技术由任何合适的计算资源而划分。在一些示例中,可以在云计算环境的资源处划分数据资源110。通常,数据资源110可以划分为任何数目的数据元。在一些示例中,数据元120的数目可以取决于数据资源110的大小。在一些示例中,数据元120可以基本上大小相同。在一些示例中,数据元120可以上大小不同。通常,数据元120可以包括包含数据资源110一部分的任何合适的信息,以及用于实施所述技术,并且特别是以下参照图3所示的那些技术的信息。
如所示,数据元120可以分配给多重数目的逻辑群组和/或物理存储群组。在图1中,由字母表示数据元120的被分配的逻辑群组,以使得在所示示例中,数据元120可以被分配给逻辑群组A、B、C、和D。也如图1所示,每个逻辑群组的一个或多个数据元可以分配作为通信数据元。在一些示例中,通信数据元可以称作关键数据元。数据元可以被配置为使用任何合适的技术而通信。在一些示例中,数据元可以被配置为经由点对点通信方式而通信。在所示示例中,通信数据元被标注为A’、B’、C’、和D’。
通常,每个逻辑群组中的数据元可以被配置以与该逻辑群组中任何其他数据元通信,并且每个逻辑群组中的通信数据元可以被配置以与云计算环境的资源通信。此外,数据元可以并未被配置为与其他逻辑群组的数据元通信,由此提供了群组的逻辑和/或通信的分隔。如在此进一步所述,这些技术可以允许基于对数据资源110的有效请求而重构数据资源110。通常,可以以任何合适的方式将逻辑群组分配给数据元120。在一些示例中,逻辑群组的数目可以取决于数据元120的数目。在一些示例中,每个逻辑群组可以包括数目基本相同的数据元120。在一些示例中,每个逻辑群组中数据元120的数目可以不同。在一些示例中,逻辑群组的数目可以随机选择。在一些示例中,数据元120可以被随机分配给逻辑群组。
如图1所示,数据元120可以被分配给物理存储群组131、132、133、134。通常,数据元120可以被分配给物理存储群组131、132、133、134以使得物理存储群组131、132、133、134的每一个可以被存储在云计算环境的物理上分隔的存储资源处。通常,可以以任何合适的方式将物理存储群组131、132、133、134分配至数据元120。在一些示例中,物理存储群组131、132、133、134的数目可以取决于数据元120的数目。在一些示例中,物理存储群组131、132、133、134的数目可以取决于在云计算环境中可获得的存储资源的数目和/或存储容量。在一些示例中,物理存储群组131、132、133、134可以包括基本相同数目的数据元120。在一些示例中,每个物理存储群组131、132、133、134中的数据元120的数目可以不同。在一些示例中,物理存储群组131、132、133、134的数目可以随机选择。在一些示例中,数据元120可以随机被分配给物理存储群组131、132、133、134。
如图1所示,数据元120的物理存储群组131、132、133、134可以存储在云计算环境150的存储资源141、142、143、144处。通常,存储资源141、142、143、144可以包括任何合适的存储资源,诸如计算装置、存储服务器、云存储装置等等。通常,可以使用任何合适的技术将数据元120存储在存储资源141、142、143、144处。在一些示例中,存储资源141、142、143、144可以包括云计算环境的一个或多个节点,并且数据元120可以在云计算环境的控制资源的控制之下在节点之间传输。在这些示例中,数据元120可以使用任何合适的通信技术而在节点之间传输,诸如基于数据包的通信技术、点对点通信技术等等。
如图1所示,在一些示例中,方法100可以随着时间改变数据元120的逻辑分隔和物理分隔以使得可以重复地执行对逻辑群组的分配、对物理存储群组的分配以及对已分配的物理存储群组的存储。这些技术可以物理地移动数据元并且可以逻辑地移动或者移位数据元以用于增强安全性。通常,逻辑分隔或物理分隔或者两者可以随着每一个迭代而改变。通常,可以使用任何频率的迭代。在一些示例中,分隔可以以每小时、每天或每周等等的量级而改变。在一些示例中,频率可以取决于数据资源110的安全等级、云计算环境150的可获得资源等等。在一些示例中,频率可以是随机的,这可以提供增强安全性的优点。在一些示例中,频率可以是恒定的,这可以提供实施简化的优点。
如图1所示,在一些示例中,可以做出对于数据资源110的有效请求可以以使得数据资源110可以被重构。在一些示例中,可以从诸如客户端的请求器收到对于数据资源110的请求。可以确定该请求是否有效,并且如果有效,则可以将数据资源110提供给客户端。在一些示例中,数据资源110可以在云计算环境处被重构并且传输至客户端。在一些示例中,数据元可以被分立地传输以使得接收客户端可以重构该数据资源。
如所述,可以通过随着时间改变数据元120的逻辑分隔和物理分隔而为数据资源110提供数据安全措施。在一些示例中,可以提供额外的数据安全措施。在一些示例中,数据资源110可以在划分为数据元120之前加密。在一些示例中,数据元120可以在从数据资源110划分之后而加密。这些加密方法可以使用任何合适的加密技术而实施,包括例如密钥技术、密码保护的磁盘加密技术等等。如所述,在一些示例中,可以确定客户端资源请求是否有效。在一些示例中,该确定可以包括身份验证技术。在一些示例中,该确定可以包括评估请求客户端的用户名和密码。
图2是根据本公开至少一些实施例设置的、用于在云计算环境中提供安全数据存储服务的示例性方法200的流程图。通常,方法200可以由如在此所述的任何合适的单个装置、多个装置或系统而执行。在一些示例中,方法200可以由计算机、大量计算机、服务器、计算资源、虚拟机、计算集群、数据中心、数据中心集群、云计算资源等等而执行。方法200列出了可以描述作为处理步骤、功能操作、事件和/或动作等等的各种功能模块或动作,可以由硬件、软件和/或固件来执行。可以在各个实施方式中实施对于如图2所示功能模块的大量备选例。例如,可以采用图2中未示出的插入动作和/或图2中未示出的额外动作,和/或可以消除图2中所示的一些动作,而不脱离请求保护的主题的范围。方法200可以包括由一个或多个步骤210、220、230、240、250和/或260指示的一个或多个功能操作。方法200的工序步骤可以开始于步骤210。
在步骤210处,“将数据资源划分为数据元”,数据资源可以划分为数个数据元。如所述,数据资源可以包括任何合适的数据资源,诸如数据文档、图像文档、音频文档、视频文档、应用程序等等。可以使用包括那些在此所述的任何合适的技术而划分数据资源。通常,可以由任何合适的计算装置来划分数据资源。在一些示例中,可以由计算机、多个计算机、服务器、计算资源、云计算环境的资源、虚拟机、计算集群等等而划分数据资源。在一些示例中,可以由云计算环境的数据安全资源来划分数据资源。
通常,可以使用任何合适的技术划分数据资源,并且数据元可以包括任何合适的信息。在一些示例中,将数据资源划分为数据元可以包括为了稍后的重新组装而对每个数据元编号。在一些示例中,数据元可以包括元标识符,创造时间戳,对于数据元是否是一个通信数据元的指示,指示了该数据元的存储资源的第一地址,指示了该数据元的逻辑群组中至少一个数据元的至少一个存储资源的第二地址,集合地址,数据包,循环冗余校验码等等,如此处进一步所述以及特别参照图3所示。在一些示例中,数据元可以载入代理中。方法200可以在步骤220处继续。
在步骤220处,“将逻辑群组分配给数据元,将物理存储群组分配给数据元,和/或在对应的存储资源处存储每个物理存储群组”,一个或多个逻辑群组可以分配给数据元,一个或多个物理存储群组可以分配给数据元,和/或数据元的每个物理存储群组可以存储在对应的存储资源处。如在此所述,参照步骤220描述的技术可以基本上重复地和/或相继地执行以使得数据元的逻辑和/或物理分隔可以随着时间改变。
如所述,在步骤220处,一个或多个逻辑群组可以被分配给数据元。可以使用包括那些在此所述的任何合适的技术来分配逻辑群组。通常,每个逻辑群组可以包括一个或多个数据元。在一些示例中,每个逻辑群组的数据元可以被配置以与该逻辑群组中任何其他数据元通信。在一些示例中,每个逻辑群组可以包括一个或多个数据元,该数据元可以被配置作为通信数据元(可以称作关键数据元)以使得通信数据元可以与云计算环境的资源通信,诸如云计算环境的数据安全资源。通常,可以使用任何合适的技术分配逻辑群组。在一些示例中,可以随机地分配逻辑群组。
如所述,在步骤220处,一个或多个物理存储群组可以被分配给数据元。可以使用包括那些在此所述的任何合适的技术分配物理存储群组。通常,可以使用任何合适的技术分配物理存储群组。在一些示例中,可以随机地分配物理存储群组。在一些示例中,可以彼此独立地执行物理存储群组的分配和逻辑群组的分配。通常,每个物理存储群组可以包括一个或多个数据元以使得那些数据元可以分立地存储在云计算环境的物理上分隔的存储资源处。
如所述,在步骤220处,数据元的每个物理存储群组可以存储在对应的存储资源处。可以使用包括那些在此所述的任何合适的技术存储物理存储群组。在一些示例中,每个存储资源可以在物理上与其他存储资源分隔。通常,存储资源可以是任何合适的存储资源,诸如计算装置、存储服务器、云存储装置等等。在一些示例中,存储资源可以包括云计算环境的一个或多个节点,并且数据元可以在诸如云计算环境的数据安全资源的控制资源的控制之下在节点之间传输。在这些示例中,数据元可以使用任何合适的通信技术而在节点之间传输,诸如基于数据包的通信技术、点对点通信技术等等。
如所述,可以执行参照步骤220所述的方法200的工序步骤以使得数据元的所述逻辑和物理分隔可以重复地随着时间改变。这些技术可以提供逻辑群组和/或存储群组的相继分配以及对新分配的存储群组的相继物理存储。通常,逻辑分隔或物理分隔或者两者可以随着每次迭代而改变。在一些示例中,仅逻辑分隔可以随着迭代改变(并且可以不实施与分配和存储物理存储群组相关的技术)。在一些示例中,仅物理分隔可以随着迭代改变(并且可以不执行与分配逻辑群组相关的技术)。通常,每次迭代可以使用在此所述的任何技术。在一些示例中,可以使用所述逻辑群组的编号的随机选择、逻辑群组的随机分配、物理存储群组的编号的随机选择、以及物理存储群组的随机分配。在一些示例中,迭代可以包括集合逻辑群组和/或物理存储群组,或者分裂逻辑群组和/或物理存储群组,如此处进一步所述。
在一些示例中,可以以在约每小时、每日、每周等等范围中的频率执行所述迭代。在一些示例中,该频率可以取决于数据资源的安全等级、云计算环境的可获得资源等等。在一些示例中,频率可以是随机的以使得数据元的逻辑分隔和物理分隔可以在随机时间段之后执行。在一些示例中,频率可以是恒定的。方法200的工序可以在步骤230处继续。
在步骤230处,“接收对于数据资源的请求”,可以接收对于数据资源的请求。通常,可以从任何合适的来源处以任何合适的方式接收请求。在一些示例中,可以从云计算环境的客户端接收请求。通常,可以使用任何合适的通信技术接收请求。在一些示例中,所接收的请求可以传输至云计算环境的数据安全资源。方法200可以在判定步骤240处继续。
在判定步骤240处,“请求有效?”,可以确定对于数据资源的请求是否有效。通常,可以使用任何合适的技术确定请求的有效性。在一些示例中,可以使用验证技术确定请求的有效性。在一些示例中,可以通过评估由客户端提供的用户名和/或密码来确定请求的有效性。如果请求被认定为无效,则方法200可以在步骤250处继续。如果请求被认定为有效,则方法200可以在判定步骤260处继续。
在步骤250处,“拒绝请求”,可以拒绝对数据资源的请求。通常,可以使用任何合适的技术拒绝请求。在一些示例中,拒绝可以包括传输至请求客户端而指示了请求失败的消息。在一些示例中,该消息可以包括客户端可以尝试再次请求的指示。在一些示例中并且特别地,在数据资源请求多次失败或者由于用户名而被拒绝的情况下,可以采取进一步动作。在一些示例中,拒绝请求可以包括标记相关数据资源作为潜在目标资源。在一些示例中,拒绝请求可以包括对用户名进行标记以作为可能尝试无效数据请求的用户名。
在步骤260处,“传输数据资源”,请求有效的情况下,数据元可以传输至请求客户端。通常,可以使用任何合适的技术传输数据元。在一些示例中,可以在云计算环境的资源的控制之下从存储资源传输数据资源的数据元。在这些示例中,客户端可以重构或者重写数据元以产生数据资源。在一些示例中,数据元可以包括用于重构数据资源的信息。在一些示例中,可以提供关于用于重构的方向或应用程序等等的额外信息。在一些示例中,数据元可以包括标识符字段,可以包括指示了数据资源中数据元的布置的编号或整数,如在此进一步所述以及特别地参照图3所示。
在一些示例中,可以从数据元重构或者形成数据资源,并且数据资源可以传输至客户端。可以在云计算环境的资源处采取这些动作。在一些示例中,可以通过将恢复请求通信至每个逻辑群组中的通信数据元,并且每个逻辑群组中的通信数据元此后促使该恢复请求与该通信数据元所在的逻辑群组中其他数据元之间通信,从而由云计算环境的资源来恢复数据元。这些技术可以提供数据元的有效恢复。
如所述,可以通过随时间改变数据元的逻辑分隔和物理分隔而对数据资源提供数据安全措施。在一些示例中,可以提供额外的数据安全措施。在一些示例中,数据资源可以在划分为数据元之间(也即在步骤210之前)加密。在一些示例中,数据元可以在从数据资源划分之后(也即在步骤210之后但是在步骤220之前)加密。在一些示例中,数据元可以在存储时(也即在步骤220处)加密。可以使用任何合适的加密技术来实施这些加密方法,包括例如密钥技术、密码保护磁盘加密技术等等。
如将知晓的,方法200可以对于任何数目的数据资源而重复或者平行操作。在一些示例中,可以由诸如数据安全模块等等的云计算环境的模块来执行方法200。该模块可以以任何合适的方式实施。在一些示例中,数据安全模块可以实施作为计算机、多个计算机、服务器、计算资源、虚拟机、计算集群等等。在一些示例中,可以使用在此所述的安全技术维持在云计算环境处维持的所有数据。在一些示例中,可以使用在此所述的安全技术来维持在云计算环境处维持的一部分数据。在这些示例中,可以使用在此所述的安全技术维持更高优先级的或风险数据。
图3是根据本公开至少一些实施例设置的、用于在云计算环境中提供安全数据存储服务的示例性数据格式300的框图。如所示,数据格式300可以包括标识符(ID)字段310,日期字段320,通信标记字段330,地址字段340,群组组元地址字段350,群组集合地址字段360,数据字段370,以及循环冗余校验(CRC)字段380。在一些示例中,数据格式300可以用作在此所述的数据元的格式。
在一些示例中,ID字段310可以包括在数据资源的上下文中的数据元的标识符,其中该数据元是从数据资源划分出来的。在一些示例中,ID字段310可以用于重构数据元以形成数据资源。通常,ID字段310可以包括任何合适的信息。在一些示例中,ID字段310可以包括整数,指示了由数据资源中数据格式300代表的数据元的布置。在一些示例中,可以划分如在此所述的数据资源以使得所得到的数据元可以是有序集合,并且ID字段310可以指示在该有序集合中的数据元的位置。
在一些示例中,日期字段320可以包括与由数据格式300代表的数据元的形成相关的时间戳。通常,日期字段320可以包括代表时间戳的任何合适的信息。日期字段320可以用于重构数据元,指示数据元是否可以有效,等等。
在一些示例中,通信标记字段330可以包括关于有关由数据格式300所代表的数据元是否是逻辑群组的通信数据元的标识符。如在此所述,可以该通信数据元可以被配置为在数据资源重构的情况下与云计算环境的资源进行通信。通常,通信标记字段330可以包括代表了数据元是否是通信数据元的任何合适的信息,诸如布尔值、逻辑真或逻辑假的数值等等。
在一些示例中,地址字段340可以包括代表了云计算环境中位置的信息,由数据格式300代表的数据元位于该位置。通常,地址字段340可以包括代表了云计算环境中位置的任何合适的信息。在一些示例中,地址字段340可以包括云计算环境中节点的互联网协议(IP)地址。在一些示例中,地址字段340可以是由数据格式300代表的数据元的物理存储位置。
在一些示例中,群组组元地址字段350可以包括代表了在与由数据格式300代表的数据元相同逻辑群组中的所有数据元的位置的信息。通常,群组组元地址字段350可以包括代表了云计算环境中相同逻辑群组中其他数据元的位置的任何合适的信息。在一些示例中,群组组元地址字段350可以包括在云计算环境中节点的一个或多个互联网协议(IP)地址。
在一些示例中,群组集合地址字段360可以包括代表了在云计算环境中位置信息,在收到集合通知的情况下由数据格式300代表的数据元在该位置集合。在一些示例中,如在此所述,在资源请求有效的情况下,由云计算环境的资源发送集合通知。通常,群组集合地址字段360可以包括代表由数据格式300代表的数据元的集合位置的任何合适的信息。在一些示例中,群组集合地址字段360可以包括在云计算环境中节点的互联网协议(IP)地址。如所述,在一些示例中,数据元可以传输至客户端以用于重构。在这些示例中,可以不使用群组集合地址字段360。
在一些示例中,数据字段370可以包括代表被划分为由数据格式300代表的数据元的部分数据资源的信息。通常,数据字段370可以包括任何合适的数据,包括数据、图像、音频或视频文档的一部分,或者应用程序的一部分,或者一连串字节等等。
在一些示例中,CRC字段380可以包括代表可以用于检测数据字段370中数据是否发生损坏的错误检测码的信息。通常,CRC字段380可以包括用于错误检测的任何合适的信息。在一些示例中,可以基于数据字段370中的数据使用CRC32算法来计算CRC字段380中的信息。
如所述,数据元的逻辑分隔和物理分隔可以随时间改变。这些分隔可以至少部分地以数据格式300实施。在一些示例中,数据格式300的字段通常可以分类为稳定的或可变的。在一些示例中,稳定字段可以包括ID字段310、日期字段320和数据字段370。在一些示例中,可变字段可以包括通信标记字段330、地址字段340、群组组元地址字段350以及CRC字段380。通常,可以使用数据格式300或类似数据格式来将如在此所述的数据元载入代理中。这些代理能够诸如例如通过在云计算环境中从节点移动至节点而更有效地在云计算环境中通信和移动。
如所述,可以通过划分数据资源并且随时间改变数据元的逻辑和物理分隔而对数据资源提供安全服务。为了进一步描述在此提供的安全技术,在此讨论简化示例。在一些示例中,数据资源D可以包括任何数据文档、图像文档、音频文档、视频文档、应用程序等等。数据资源D可以被划分为数据元p1,…,pi,…pn,其中n可以包括任何整数并且在一些示例中可以远大于1。在一些示例中,n可以随机产生。
为了示例,假设有五个数据元,可以标识为:p1,p2,p3,p4,p5。如所述,数据元可以被分配给逻辑群组。为了示例,假设有两个逻辑群组A和B,数据元可以被如下分配(例如随机地):A={p1,p3,p5}以及B={p2,p4}。在这些示例中,数据元可以由此重新标注为:A={p1,p3,p5}={pA 1,pA 2,pA 3}以及B={p2,p4}={pB 1,pB 2}。此外,如在此所述,每个逻辑群组可以包括通信数据元(也可以称作关键数据元)。继续如以上示例,采用pk指示通信(或关键)数据元,可以如下分配:pkA=pA 2,pkB=pB 1。
如所述,分配给逻辑群组的示例性数据元和所分配的通信数据元可以被分配给物理存储群组并且被分立的存储在云计算环境的存储资源处。可以通过在云计算环境中节点之间传输数据元而提供这些物理存储。在一些示例中,在传输期间,可以维持数据元的备份以使得可以恢复任何遗失或者损坏的数据元。当接收完成,就可以删除备份。
如所述,数据元可以分配至不同的或者随时间移位的逻辑群组以增强安全性。此外,如在此所述,在一些示例中,数据元可以在逻辑群组改变迭代中经历群组集合或群组分裂。为了进一步描述群组集合技术,在此讨论简化示例。例如,可以限定逻辑群组A={pA 1,pA 2,…pA N}和B={pB 1,pB 2,…pB M}具有关键数据元pkA=pA 1和pkB=pB M,在群组集合迭代从多逻辑群组至单逻辑群组,AB={pA 1,pA 2,…pA N,pB 1,pB 2,…pB M}={pAB 1,pAB 2,…pAB N+M}具有关键数据元pAB t的情况下,其中t是随机选择的在包括端点在内的1和M+N之间的整数。在一些示例中,可以使用除了随机选择之外的技术选择关键数据元,诸如轮询技术、票决技术、对冲技术等等。新指定的关键数据元可以将其通信数据字段设置为逻辑真(或类似)并且可以告知其群组中其他数据元其地址字段。在一些示例中,新集合群组中的该关键数据元和其他数据元可以更新它们的群组集合地址字段。
如所述,在一些示例中,数据元可以在逻辑群组改变迭代中经历群组分裂。为了进一步描述群组分裂技术,在此讨论简化示例。在一些示例中,群组分裂可以将逻辑群组随机地分裂为一个或多个逻辑群组。例如,可以限定逻辑群组A={pA 1,pA 2,pA 3,pA 4,pA 5}具有关键元pkA=pA 1,在群组分裂迭代将逻辑群组集分裂为多个逻辑群组,A1={pA 1,pA 3,pA 5}(具有关键元pA 3)以及A2={pA 2,pA 4}(具有关键元pA 2)的情况下。
通常,参照图1和图2以及其他处所述的方法可以实施在任何合适的服务器和/或计算系统中。参照图5以及在此其他处描述了示例性系统。在一些示例中,数据安全系统、数据中心、数据集群、云计算环境或如在此所述其他系统可以实施在多个物理地点或位置之上。通常,数据安全系统可以配置用以对任何数目客户端提供安全数据存储服务。
图4示出了根据本公开至少一些实施例设置的示例性计算程序产品400。计算程序产品400可以包括机器可读非临时媒介,其中存储具有多个指令,当运行指令时使得机器根据在此所述工序和方法提供安全数据存储服务。计算程序产品400可以包括信号承载媒介402。信号承载媒介402可以包括一个或多个机器可读指令404,当由一个或多个处理器运行时,可以可操作地使得计算装置提供在此所述的功能。在各个示例中,可以由在此所述的装置使用机器可读指令的一些或者全部。
在一些实施方式中,信号承载媒介402可以包括计算机可读媒介406,诸如但不限于硬盘驱动、小型盘(CD)、数字通用盘(DVD)、数字磁带、存储器等等。在一些实施方式中,信号承载媒介402可以包括可记录媒介408,诸如但不限于存储器、读/写(R/W)CD、R/WDVD等等。在一些实施方式中,信号承载媒介402可以包括通信媒介410,诸如但不限于数字和/或模拟通信媒介(例如光纤光缆、波导、有线通信链路、无线通信链路等等)。在一些示例中,信号承载媒介402可以包括机器可读非临时媒介。
图5是根据本公开至少一些实施例设置的、示出了示例性计算装置500的结构图。在各个示例中,计算装置500可以配置用以提供如在此所述的安全数据存储服务。在各个示例中,计算装置500可以配置用以提供如在此所述的作为服务器系统的安全数据存储服务。在一个示例性基本配置结构501中,计算装置500可以包括一个或多个处理器510和系统存储器520。存储器总线530可以用于在处理器510和系统存储器520之间通信。
取决于所需配置结构,处理器510可以是任何类型但是不限于微处理器(μP)、微控制器(μC)、数字信号处理器(DSP)或其任意组合。处理器510可以包括诸如一级缓存511和二级缓存512的一个或多个层级缓存、处理器核心513和寄存器514。处理器核心513可以包括运算逻辑单元(ALU)、浮点单元(FPU)、数字信号处理核心(DSP核心)或其任意组合。存储器控制器515也可以用于处理器510,或者在一些实施方式中存储器控制器515可以是处理器510的内部部分。
取决于所述配置结构,系统存储器520可以是任何类型包括但不限于易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等等)或者其任意组合。系统存储器520可以包括操作系统521、一个或多个应用程序522和程序数据524。应用程序522可以包括安全数据存储应用程序523,可以设置一执行如在此所述的功能、动作和/或操作,包括如在此所述的步骤、动作和/或操作。程序数据524可以包括与安全数据存储应用程序523一起使用的安全数据存储数据525。在一些示例性实施例中,可以设置应用程序522以在操作系统521上与程序数据524一起操作。该所述基本配置结构由虚线501内那些部件而示出在图5中。
计算装置500可以具有额外的特征或功能,以及额外的接口以促进在基本配置结构501与任何所需装置和接口之间的通信。例如,总线/接口控制器540可以用于促进经由存储接口总线541而在基本配置结构501和一个或多个数据存储装置550之间的通信。数据存储装置550可以是可移除存储装置551、不可移除存储装置552或其组合。仅列举少数,可移除存储和不可移除存储装置的示例包括诸如软盘驱动和硬盘驱动(HDD)的磁盘装置,诸如小型盘(CD)驱动或数字通用盘(DVD)驱动的光盘驱动,固态驱动(SSD),以及磁带驱动。示例性计算机存储媒介可以包括以任何方法或技术实施以用于存储信息的易失性和非易失性、可移除和不可移除的媒介,信息诸如计算机可读指令、数据结构、程序模块或其他数据。
系统存储器520、可移除存储器551和不可移除存储器552均是计算机存储媒介的示例。计算机存储媒介包括但不限于RAM、ROM、EEPROM、闪存或其他存储技术,CD-ROM、数字通用盘(DVD)或其他光学存储,磁带盒、磁带、磁盘存储或其他磁性存储装置,或者可以用于存储所需信心并且可以由计算装置500访问的任何其他媒介。任何这种计算机存储媒介可以是装置500的一部分。
计算装置500也可以包括接口总线542以用于促进从各个接口装置(例如输出接口、外围接口和通信接口)经由总线/接口控制器540至基本配置结构501的通信。示例性输出接口560可以包括图像处理单元561和音频处理单元562,可以配置用以经由一个或多个A/V端口563而通信至诸如显示器或扬声器的各个外部装置。示例性外围接口570可以包括串行接口控制器571或并行接口控制器572,可以配置用以经由一个或多个I/O端口573而与诸如输入装置(例如键盘、鼠标、手写笔、语音输入装置、触摸输入装置等等)或其他外围装置(例如打印机、扫描仪等等)的外部装置通信。示例性通信接口580包括网络控制器581,可以设置以促进经由一个或多个通信端口582而与在网络通信之上的一个或多个其他计算装置583通信。通信连接是通信媒介的一个示例。通信媒介通常可以实体化为计算机可读指令、数据结构、程序代码或已调制数据信号中其他数据,诸如载波或其他传输机制,并且可以包括任何信息输送媒介。“已调制数据信号”可以是具有以如此方式设置或改变以在信号中编码信息的一个或多个特性的信号。借由示例但是并非限制的方式,通信媒介可以包括诸如有线网络或直接有线连接的有线媒介,以及诸如声学、射频(RF)、红外(IR)和其他无线媒介的无线媒介。在此使用的术语计算机可读媒介可以包括存储媒介以及通信媒介。
计算装置500可以实施作为小型便携式(或移动)电子装置的一部分,小型便携式(或移动)电子装置诸如蜂窝电话、移动电话、输入板装置、膝上型计算机、个人数字助理(PDA)、个人媒体播放器装置、无线网络监视装置、个人耳机装置、专用装置、或包括任意以上功能的混合装置。计算装置500也可以实施作为个人计算机,包括膝上型计算机和非膝上型计算机配置结构。此外,计算装置500可以实施作为无线基站或其他无线系统或装置的一部分。
根据对存储在诸如计算机存储器内的计算系统存储器内的数据位或二进制数据信号的操作的算法或符号表示而展示了之前详述说明书的一些部分。这些算法描述或表达是由数据处理领域中的领域技术人员所使用的技术的示例,以用于向本领域技术人员传达它们工作的实质。算法在此通常视作导致所需结果的操作或类似处理的自相容序列。在该上下文中,操作或处理涉及物理量的物理操纵。通常,尽管并非必需,这些量可以采取能够存储、传输、组合、比较或者另外操作的电信号或磁信号的形式。有时已经证明的是,原则上为了通常使用的原因,涉及这些信号作为位、数据、数值、元素、符号、字母、术语、编号、数字等等是便利的。然而应该理解的是,所有这些和类似术语与合适的物理量相关联并且仅仅是便利性标记。除非明确给出相反指示,如由以下讨论所明显的,应该知晓的是本说明书全文中采用诸如“处理”、“计算”、“运算”、“确定”等等术语的讨论涉及计算装置的动作或处理,操纵或者变换了代表作为存储器、寄存器或计算装置的其他信息存储装置、传输装置或显示装置内的物理电性量或磁性量的数据。
之前详述说明书经由使用结构图、流程图和/或示例列举了装置和/或工序的各个实施例。在包含一个或多个功能和/或操作的这些结构图、流程图和/或示例的范围内,本领域技术人员应该理解的是这些结构图、流程图或示例内的每个功能和/或操作可以由大量硬件、软件、固件或其任何虚拟组合而单独地和/或共同地实施。在一些实施例中,在此所述的主题的多个部分可以经由专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)或其他集成形式来实施。然而,本领域技术人员将认识的是,在此所述实施例的一些特征方面全部或者部分地可以等价地实施在集成电路中,作为在一个或多个计算机上运行的一个或多个计算机程序(例如作为在一个或多个计算机系统上运行的一个或多个程序),作为在一个或多个处理器上运行的一个或多个程序(例如作为在一个或多个微处理器上运行的一个或多个程序),作为固件,或者作为其虚拟的任意组合,并且设计电路和/或对于软件和或固件编写代码将恰好在受到本公开教导的本领域技术人员的能力范围内。此外,本领域技术人员将知晓的是在此所述的主题的机制能够以大量各种形式发布作为程序产品,并且应用在此所述的主题的示例性实施例而不论用于实际执行发布的信号承载媒介的特定类型。信号承载媒介的示例包括但不限于以下:诸如软盘、硬盘驱动(HDD)、小型盘(CD)、数字通用盘(DVD)、数字磁带、计算机存储器等等的可记录类型媒介;以及诸如数字和/或模拟通信媒介的传输类型媒介(例如光纤电缆、波导、有线通信链路、无线通信链路等等)。
在此所述主题有时示出了包含在不同其他部件内或者与其连接的不同部件。应该理解的是,这些所示体系架构仅仅是示例并且实际上可以实施实现了相同功能的许多其他体系架构。在概念意义上,用以实现相同功能任何部件设置是有效地“关联的”,以使得实现所需功能。因此,在此组合以实现特定功能的任何两个部件可以视作相互“关联”以使得实现所需功能,而不论体系架构或中间部件。同样地,如此关联的任何两个部件也可以视作相互“可操作地连接”或者“可操作地耦合”以实现所需功能,并且能够如此关联的任何两个部件也可以视作相互“可操作地可耦合”以实现所需功能。可操作地可耦合的具体示例包括但不限于物理配对和/或物理交互作用的部件,和/或无线可交互的和/或无线交互作用的部件,和/或逻辑交互和/或逻辑可交互的部件。
关于在此基本上任何复数和/或单数术语的使用,当对于语境和/或申请合适时,本领域技术人员可以从复数转换至单数和/或从单数转换至复数。为了简明起见在此仅仅列出了各个单数/复数的排列。
本领域技术人员应该理解的是通常在此、特别是在所附权利要求(例如所附权利要求的实体)中使用的术语通常意在作为“开放式”术语(例如术语“包括”应该解释为“包括但是不限于”,术语“具有”应该解释为“至少具有”,术语“包含”应该解释为“包含但是不限于”等等)。本领域技术人员应该进一步理解的是如果引入的权利要求陈述的具体数目是有意的,这种意图将明确地陈述在权利要求中,并且在没有这种陈述的情形下不存在这种意图。例如,作为对理解的帮助,以下所附权利要求可以包含引入性短语“至少一个”和“一个或多个”的使用以引入权利要求陈述。然而,这些短语的使用不应构造为暗示通过不定冠词“一”而对权利要求陈述的引入将包含这些引入的权利要求陈述的任何特定权利要求限定为仅包含一个这种陈述的实施例,即便当相同权利要求包括引入性短语“一个或多个”或“至少一个”以及诸如“一”的不定冠词时(例如“一”应该解释为意味着“至少一个”或“一个或多个”);同理适用于对用于引入权利要求陈述项的定冠词的使用。此外,即便明确地陈述了引入的权利要求陈述项的具体数目,本领域技术人员将认识到的是这些陈述应该解释为意味着至少具有所述数目(例如仅陈述了“两个陈述项”而没有其他修饰,意味着至少两个陈述项,或者两个或更多陈述项)。此外,在那些其中使用了惯用类比“A、B和C等等的至少一个”的情形中,通常这种构造意在使得本领域技术人员将理解这种习惯使用(例如“具有A、B和C的至少一个的系统”将包括但不限于具有单独A、单独B、单独C、A和B一起、A和C一起、B和C一起、和/或A、B和C一起等等的系统)。本领域技术人员将进一步理解的是不论在说明书、权利要求书或附图中,事实上表示两个或多个备选性项目的任何分离性词语和/或短语应该理解为预期了包括一个项目、任何项目、或者所有项目的可能性。例如,短语“A或B”应该理解为包括“A”或“B”或“A和B”的可能性。
尽管在此使用各个方法和系统已经描述并且示出了某些示例性技术,本领域技术人员应该理解的是可以不脱离请求保护的主题而可以做出多个其他修改例并且可以替换等价形式。此外,可以不脱离在此所述的中心概念而做出许多修改例以适用在请求保护主题教导下的特定情形。因此,请求保护的主题意在并非限定于所述特定示例,而是这些请求保护的主题也可以包括落入所附权利要求范围内的所有实施方式及其等价形式。
Claims (28)
1.一种用于在云计算环境中提供安全数据存储服务的方法,包括:
在所述云计算环境的资源处将数据资源划分为多个数据元;
通过随着时间改变重复地对所述数据资源执行以下操作,同时所述数据资源被存储在所述云计算环境中,来随着时间改变所述数据元的逻辑分隔和物理分隔;
在所述云计算环境的所述数据资源处将多个逻辑群组分配给所述数据元,其中每个逻辑群组包括包含至少一个通信数据元的一个或多个数据元,其中每个所述逻辑群组中的所述一个或多个数据元被配置为与该逻辑群组中任何其他数据元通信,并且其中每个通信数据元被配置为与所述云计算环境的资源通信;
在所述云计算环境的所述数据资源处将多个物理存储群组分配给所述数据元,其中每个所述物理存储群组包括一个或多个数据元;以及
在所述云计算环境的多个存储资源中相应的存储资源处存储每个物理存储群组,其中每个存储资源与所述其他存储资源在物理上是分隔的;
从客户端接收对于所述数据资源的请求;
在所述云计算环境的资源处确定所述对于数据资源的请求是否有效;以及
如果所述对于数据资源的请求有效,则将所述数据资源的所述数据元传输至所述客户端。
2.根据权利要求1所述的方法,进一步包括:
在所述云计算环境的资源处,在将所述数据资源划分为多个数据元之前,加密所述数据资源。
3.根据权利要求1所述的方法,进一步包括:
在所述云计算环境的资源处加密所述多个数据元。
4.根据权利要求1所述的方法,其中,将所述多个逻辑群组分配给所述数据元包括,将所述多个逻辑群组随机地分配给所述数据元。
5.根据权利要求1所述的方法,其中,将所述多个物理存储群组分配给所述数据元包括,将所述多个物理存储群组随机地分配给所述数据元。
6.根据权利要求1所述的方法,其中,所述云计算环境的资源包括单个计算机、多个计算机、服务器、计算资源、虚拟机、或计算集群的至少一个。
7.根据权利要求1所述的方法,其中,所述数据资源包括数据文档、图像文档、音频文档、视频文档或应用程序的至少一个。
8.根据权利要求1所述的方法,其中,随时间改变所述数据元的所述逻辑分隔和所述物理分隔包括,在随机时间段之后改变所述数据元的所述逻辑分隔和所述物理分隔。
9.根据权利要求1所述的方法,其中,从客户端接收对于数据资源的请求包括接收用户名和密码。
10.根据权利要求1所述的方法,其中,将所述数据资源的所述数据元传输至客户端包括,在所述云计算环境的资源的控制之下从所述多个存储资源传输所述数据资源的数据元。
11.根据权利要求1所述的方法,其中,将所述数据资源的数据元传输至所述客户端包括,在所述云计算环境的资源处从所述数据资源接收所述数据元,从所述数据元形成所述数据资源,以及从所述云计算环境的资源传输所述数据资源。
12.根据权利要求1所述的方法,其中,将所述数据资源划分为所述多个数据元包括,对每个数据元编号以用于后续重组。
13.根据权利要求1所述的方法,其中,每个数据元包括,元标识符、形成时间戳、所述数据元是否是所述通信数据元之一的指示、指示所述数据元的存储资源的第一地址、指示在所述数据元的所述逻辑群组中至少一个数据元的至少一个存储资源的第二地址、集合地址、数据包、或循环冗余校验码中的至少一个。
14.根据权利要求1所述的方法,其中,每个所述多个数据元都被载入代理。
15.根据权利要求1所述的方法,其中,逻辑群组的至少一个通信数据元从所述逻辑群组的一个数据元重新分配给所述逻辑群组的另一数据元。
16.根据权利要求1所述的方法,其中,每个所述逻辑群组中的所述一个或多个数据元被配置为经由点对点通信而与所述逻辑群组中任何其他数据元通信。
17.一种用于在云计算环境中提供安全数据存储服务的设备,所述设备包括:
用于将数据资源划分为多个数据元的装置;
用于随着时间改变重复地对所述数据资源执行以下操作、同时所述数据资源被存储在所述云计算环境中来随着时间改变所述数据元的逻辑分隔和物理分隔的装置;
将多个逻辑群组分配给所述数据元,其中每个逻辑群组包括包含至少一个通信数据元的一个或多个数据元,其中每个所述逻辑群组中的所述一个或多个数据元被配置为与该逻辑群组中任何其他数据元通信,并且其中每个通信数据元被配置为与所述云计算资源通信;
将多个物理存储群组分配给所述数据元,其中所述物理存储群组的每一个包括一个或多个数据元;以及
在所述云计算环境的多个存储资源中相应的存储资源处存储每个物理存储群组,其中每个存储资源与所述其他存储资源在物理上是分隔的;
用于从客户端接收对于所述数据资源的请求的装置;
用于确定所述对于数据资源的请求是否有效的装置;以及
用于在所述对于所述数据资源的请求有效的情况下将所述数据资源的所述数据元传输至所述客户端的装置。
18.根据权利要求17所述的设备,还包括:
用于在将所述数据资源划分为多个数据元之前加密所述数据资源的装置。
19.根据权利要求17所述的设备,还包括:
用于加密所述多个数据元的装置。
20.根据权利要求17所述的设备,其中,所述用于将所述数据资源的所述数据元传输至所述客户端的装置包括:用于从所述多个存储资源传输所述数据资源的所述数据元的装置。
21.根据权利要求17所述的设备,其中,所述用于将所述数据资源的数据元传输至所述客户端的装置包括:用于在所述云计算资源处从所述数据资源接收所述数据元的装置,用于从所述数据元形成所述数据资源的装置,以及用于从所述云计算资源传输所述数据资源的装置。
22.根据权利要求17所述的设备,其中,每个数据元包括元标识符、形成时间戳、所述数据元是否是通信数据元之一的指示、指示所述数据元的存储资源的第一地址、指示在所述数据元的逻辑群组中至少一个数据元的至少一个存储资源的第二地址、集合地址、数据包、或循环冗余校验码中的至少一个。
23.一种用于在云计算环境中提供安全数据存储服务的设备,包括:
机器可读媒介,具有存储在其中的指令,当运行所述指令时使得所述云计算环境通过以下操作提供安全数据存储服务:
将数据资源划分为多个数据元;
通过随着时间改变重复地对所述数据资源执行以下操作,同时所述数据资源被存储在所述云计算环境中,来随时间改变所述数据元的逻辑分隔和物理分隔;
将多个逻辑群组分配给所述数据元,其中每个逻辑群组包括包含至少一个通信数据元的一个或多个数据元,其中每个所述逻辑群组中的所述一个或多个数据元被配置为与该逻辑群组中任何其他数据元通信,并且其中每个通信数据元被配置为与所述云计算资源通信;
将多个物理存储群组分配至所述数据元,其中每个所述物理存储群组包括一个或多个数据元;以及
在所述云计算环境的多个存储资源中相应存储资源处存储每个物理存储群组,其中每个存储资源与其他存储资源在物理上是分隔的;
从客户端接收对于所述数据资源的请求;
确定所述对数据资源的请求是否有效;以及
如果所述对于数据资源的请求有效,则将所述数据资源的所述数据元传输至所述客户端;以及
处理器,耦合至所述机器可读媒介以运行所述指令。
24.根据权利要求23所述的设备,其中,所述机器可读媒介具有存储在其中的其他指令,当执行所述其他指令时使得所述云计算环境通过以下操作提供安全数据存储服务:在将所述数据资源划分为多个数据元之前加密所述数据资源。
25.根据权利要求23所述的设备,其中,所述机器可读媒介具有存储在其中的其他指令,当运行所述其他指令时使得所述云计算环境通过以下操作提供所述安全存储服务:加密所述多个数据元。
26.根据权利要求23所述的设备,其中,将所述数据资源的所述数据元传输给客户端包括,从所述多个存储资源传输所述数据资源的所述数据元。
27.根据权利要求23所述的设备,其中,将所述数据资源的所述数据元传输给所述客户端包括,在所述云计算资源处从所述数据资源接收所述数据元,从所述数据元形成所述数据资源,以及从所述云计算资源传输所述数据资源。
28.根据权利要求23所述的设备,其中,每个所述数据元包括元标识符、形成时间戳、所述数据元是否是通信数据元之一的指示、指示所述数据元的存储资源的第一地址、指示在所述数据元的逻辑群组中至少一个数据元的至少一个存储资源的第二地址、集合地址、数据包、或循环冗余校验码中的至少一个。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2012/072122 WO2013131273A1 (en) | 2012-03-09 | 2012-03-09 | Cloud computing secure data storage |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104255011A CN104255011A (zh) | 2014-12-31 |
| CN104255011B true CN104255011B (zh) | 2017-12-08 |
Family
ID=49115887
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280067977.4A Expired - Fee Related CN104255011B (zh) | 2012-03-09 | 2012-03-09 | 云计算安全数据存储 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US9225770B2 (zh) |
| KR (1) | KR101632817B1 (zh) |
| CN (1) | CN104255011B (zh) |
| WO (1) | WO2013131273A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012015573A1 (de) * | 2012-08-07 | 2014-02-13 | Giesecke & Devrient Gmbh | Verfahren zum Aktivieren eines Betriebssystems in einem Sicherheitsmodul |
| CN103685567A (zh) * | 2013-12-31 | 2014-03-26 | 曙光云计算技术有限公司 | 云环境下配置虚拟应用服务器的方法 |
| EP3153961A1 (fr) * | 2015-10-08 | 2017-04-12 | The Roberto Giori Company Ltd. | Procédé et système de sauvegarde répartie dynamique |
| US9680809B2 (en) | 2015-10-12 | 2017-06-13 | International Business Machines Corporation | Secure data storage on a cloud environment |
| KR101692339B1 (ko) | 2016-06-08 | 2017-01-03 | (주)세이퍼존 | 클라우드 기반의 엔드 포인트 보안용 보안키 및 이를 이용한 보안 시스템 |
| KR101709276B1 (ko) | 2016-11-17 | 2017-02-22 | (주)세이퍼존 | 엔드 포인트 보안서버 관리 시스템 |
| CN107995299A (zh) * | 2017-12-08 | 2018-05-04 | 东北大学 | 一种云环境下抗访问模式泄露的盲存储方法 |
| US10817506B2 (en) | 2018-05-07 | 2020-10-27 | Microsoft Technology Licensing, Llc | Data service provisioning, metering, and load-balancing via service units |
| CN110555138B (zh) * | 2019-08-05 | 2022-09-13 | 慧镕电子系统工程股份有限公司 | 一种云计算架构下的混合云存储方法 |
| CN112034802A (zh) * | 2020-09-02 | 2020-12-04 | 江苏工程职业技术学院 | 一种运用于云数据计算的数据采集系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102148798A (zh) * | 2010-02-04 | 2011-08-10 | 上海果壳电子有限公司 | 大容量数据包的高效并行安全加解密方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030188153A1 (en) * | 2002-04-02 | 2003-10-02 | Demoff Jeff S. | System and method for mirroring data using a server |
| CA2922172A1 (en) | 2004-10-25 | 2006-05-04 | Security First Corp. | Secure data parser method and system |
| US7778417B2 (en) * | 2005-05-17 | 2010-08-17 | International Business Machines Corporation | System and method for managing encrypted content using logical partitions |
| US8555109B2 (en) * | 2009-07-30 | 2013-10-08 | Cleversafe, Inc. | Method and apparatus for distributed storage integrity processing |
| US8009830B2 (en) | 2005-11-18 | 2011-08-30 | Security First Corporation | Secure data parser method and system |
| CN103281190B (zh) * | 2008-02-22 | 2018-03-09 | 安全第一公司 | 安全工作组管理和通信的系统和方法 |
| EP2433409A2 (en) * | 2009-05-19 | 2012-03-28 | Security First Corporation | Systems and methods for securing data in the cloud |
| EP2304919B1 (en) * | 2009-05-25 | 2013-07-24 | Hitachi, Ltd. | Storage device and its control method |
| US8351600B2 (en) * | 2009-10-30 | 2013-01-08 | Cleversafe, Inc. | Distributed storage network and method for encrypting and decrypting data using hash functions |
| US8528950B2 (en) | 2010-02-01 | 2013-09-10 | Strattec Security Corporation | Latch mechanism and latching method |
| WO2011157708A1 (en) | 2010-06-14 | 2011-12-22 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | Methods and systems for securely handling datasets in computer systems |
-
2012
- 2012-03-09 US US13/817,694 patent/US9225770B2/en not_active Expired - Fee Related
- 2012-03-09 KR KR1020147021717A patent/KR101632817B1/ko active IP Right Grant
- 2012-03-09 CN CN201280067977.4A patent/CN104255011B/zh not_active Expired - Fee Related
- 2012-03-09 WO PCT/CN2012/072122 patent/WO2013131273A1/en active Application Filing
-
2015
- 2015-12-03 US US14/957,775 patent/US9882917B2/en not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102148798A (zh) * | 2010-02-04 | 2011-08-10 | 上海果壳电子有限公司 | 大容量数据包的高效并行安全加解密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101632817B1 (ko) | 2016-06-22 |
| KR20140110042A (ko) | 2014-09-16 |
| US20140196124A1 (en) | 2014-07-10 |
| US9882917B2 (en) | 2018-01-30 |
| US9225770B2 (en) | 2015-12-29 |
| WO2013131273A1 (en) | 2013-09-12 |
| CN104255011A (zh) | 2014-12-31 |
| US20160087996A1 (en) | 2016-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104255011B (zh) | 云计算安全数据存储 | |
| Zou et al. | SPChain: Blockchain-based medical data sharing and privacy-preserving eHealth system | |
| US11157366B1 (en) | Securing data in a dispersed storage network | |
| US11487969B2 (en) | Apparatuses, computer program products, and computer-implemented methods for privacy-preserving federated learning | |
| CN109478279A (zh) | 区块链实现的方法和系统 | |
| US12063296B2 (en) | Securely encrypting data using a remote key management service | |
| JPWO2017170997A1 (ja) | 階層型ネットワークシステム、これに用いられるノード及びプログラム | |
| CN112153085A (zh) | 一种数据处理方法、节点及区块链系统 | |
| CN103795525A (zh) | 数据加密的方法 | |
| DE112019001441T5 (de) | Vergessliche pseudozufallsfunktion in einem schlüsselverwaltungssystem | |
| EP3759864A1 (en) | Computer implemented voting process and system | |
| CN116249999A (zh) | 用于区块链网络的共识服务 | |
| CN106203164B (zh) | 基于可信计算和云计算的信息安全大数据资源管理系统 | |
| CN114127724A (zh) | 针对多副本存储的完整性审计 | |
| US20230401328A1 (en) | Protecting sensitive data dump information | |
| JP2023551124A (ja) | 自己監査ブロックチェーン | |
| JP2023535915A (ja) | 複数の鍵によって暗号化されたデータの重複排除 | |
| US11363004B2 (en) | Secure device relay | |
| CN111756684A (zh) | 传输机密数据的系统和方法 | |
| JP6683386B2 (ja) | データ転送システム、及びデータ転送方法 | |
| CN108683729A (zh) | 一种面向可信云的环境监测数据安全存储系统及方法 | |
| Alkhabet et al. | Security algorithms for distributed storage system for E-health application over wireless body area network | |
| JP6939313B2 (ja) | 分散認証システム | |
| Jung et al. | PCS: a parity-based personal data recovery service in cloud | |
| CN114237517A (zh) | 一种文件分散存储方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171208 Termination date: 20200309 |