CN104885093B - 基于加密的数据访问管理 - Google Patents
基于加密的数据访问管理 Download PDFInfo
- Publication number
- CN104885093B CN104885093B CN201380064196.4A CN201380064196A CN104885093B CN 104885093 B CN104885093 B CN 104885093B CN 201380064196 A CN201380064196 A CN 201380064196A CN 104885093 B CN104885093 B CN 104885093B
- Authority
- CN
- China
- Prior art keywords
- key
- server
- data
- client terminal
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
- H04L63/064—Hierarchical key distribution, e.g. by multi-tier trusted parties
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
基于加密的数据访问管理可以包括各种过程。在一个示例中,装置可以向存储加密数据的数据存储服务器传送用于解密加密数据的用户认证请求。该计算装置可以随后接收与用户认证请求相关联的验证令牌,所述验证令牌指示该用户被认证到域。随后,计算装置可以向不同于数据存储服务器的第一密钥服务器传送验证令牌。随后,响应于传送验证令牌,该计算装置可以从第一密钥服务器接收解密加密数据所需的密钥。随后该装置可以使用密钥来解密该加密数据的至少一部分。
Description
相关申请的交叉引用
本申请要求2012年12月12日提交的题为“Encryption-Based Data AccessManagement(基于加密的数据访问管理)”的13/712,333号美国专利申请的优先权。前述申请的全部内容通过引用并入本文用于各种目的。
技术领域
本公开的各方面整体上涉及数据存储和访问管理。
背景技术
许多企业、公司、组织和其他实体保持大量的数据。这种数据的大部分或全部可以包括敏感信息,诸如商业机密、业务方法、客户信息或其他此类数据。各公司往往希望通过限制对“按需知密”数据的访问来保护此类数据。大规模保持数据可能有时候是困难和昂贵的。而且,随着经济全球化,各组织可能有从世界各地访问数据的承包商、员工或其他人。使此类数据在广域网诸如互联网上可得到,向员工和其他人提供访问数据的改进便利,但是增加了安全风险。黑客、心怀不满的员工或者其他流氓个人可能试图攻击、危及甚至仅仅访问敏感数据。
发明内容
所描述的是使用加密提供数据访问管理的示例实施例、特征和其他方面。在一个示例实施例中,加密数据被存储在数据存储服务器上。计算装置由希望访问加密数据的用户使用。计算装置向数据存储服务器传送用户的认证凭证。数据存储服务器向域服务器认证用户,并确定用户的域组成员身份。数据存储服务器向计算装置传送验证令牌。随后,计算装置向一个或多个密钥仓库服务器(例如,两个,三个,五个,十个等)传送该验证令牌。每个密钥仓库服务器与数据存储服务器确认计算装置被认证到数据存储服务器以及用户或装置具有适当访问权限,随后传送解密密钥或秘密。计算装置使用从第一密钥仓库服务器收到的第一解密密钥或秘密和从第二密钥仓库服务器收到的第二解密密钥或秘密来生成解密密钥。所生成的解密密钥随后用于解密所加密的数据。因此,解密密钥管理可以与数据存储分别处理。因此,在某些示例中,为了访问未加密形式的数据,可能需要访问密钥仓库服务器。
(1)一种方法,包括:
通过计算装置向存储加密数据的数据存储服务器传送用于访问加密数据的用户认证请求;
通过所述计算装置接收与所述用户认证请求相关联的验证令牌,其中,所述验证令牌指示所述用户已被成功认证;
通过所述计算装置向第一密钥服务器传送所述验证令牌;
响应于传送所述验证令牌,通过所述计算装置从所述第一密钥服务器接收解密所述加密数据所需的密钥;以及
通过所述计算装置使用密钥来解密所述加密数据的至少一部分。
(2)根据(1)所述的方法,其中,所述验证令牌指示所述数据存储服务器从域服务器收到关于所述用户已被成功认证到所述域服务器的确认。
(3)根据(1)所述的方法,其中,所述密钥响应于证实所述用户是被授权访问所述加密数据的组的成员被传送,其中,所述组包括多个用户。
(4)根据(1)所述的方法,还包括:
通过所述计算装置向第二密钥服务器传送所述验证令牌;
通过所述计算装置接收第二密钥,
其中,所述第一密钥与第一秘密相关联,并且所述第二密钥与第二秘密相关联;
其中,所述第一密钥或第二密钥中的单独一个只允许所述计算装置解密所述数据的第一部分;并且
其中,为允许计算装置解密包括所述数据的第一部分的所述数据的第二部分,需要所述第一密钥和第二密钥两者。
(5)根据(4)所述的方法,其中,所述第一密钥和第二密钥被用于生成解密密钥,并且其中,在允许所述解密密钥的任何传输之前通过所述计算装置删除所述解密密钥,并且不允许所述解密密钥的任何传输。
(6)根据(1)所述的方法,还包括通过所述计算装置接收失效命令,所述失效命令包括至所述计算装置以删除所述密钥和所述加密数据中的一个或多个的指令。
(7)根据(6)所述的方法,其中所述失效命令由密钥服务器管理员授权。
(8)根据(1)所述的方法,还包括:
使用不同于从所述第一密钥服务器收到的所述密钥的第二加密密钥再次加密所述解密数据;
在所述计算装置上存储所再次加密的数据;
接收与所述数据存储服务器同步所再次加密的数据的请求;
解密所再次加密的数据;以及
使用从所述第一密钥服务器收到的所述密钥再次加密所述数据。
(9)一种方法,包括:
通过存储加密数据的数据存储服务器从客户端装置接收用于解密所述加密数据的用户认证请求;
通过所述数据存储服务器向所述客户端装置传送与所述用户认证请求相关联的验证令牌,其中,所述验证令牌指示所述用户已被成功认证;
通过所述数据存储服务器从不同于所述客户端装置的另一装置接收与所述用户验证令牌相关联的确认请求;并且
通过所述数据存储服务器向另一装置传送指示所述用户被认证到所述数据存储服务器的确认。
(10)根据(9)所述的方法,在传送所述验证令牌之前还包括:
将与所述用户认证请求相关联的用户认证到域;以及
基于所述用户的域组成员身份确定所述用户可访问的数据,
其中,所述域组包括多个用户。
(11)根据(9)所述的方法,其中,所述确认请求由第一密钥服务器响应于从计算装置收到所述验证令牌发送,所述第一密钥服务器被配置成存储用于解密所述加密数据的解密密钥的至少一部分。
(12)根据(11)所述的方法,还包括:
通过所述数据存储服务器从第二密钥服务器接收与所述用户验证令牌相关联的第二确认请求;以及
通过所述数据存储服务器向第二密钥服务器传送指示所述用户被认证到所述数据存储服务器的第二确认。
(13)根据(11)所述的方法,其中,所述第一密钥服务器和所述第二密钥服务器中的一个或多个向所述计算装置传送失效命令,所述失效命令包括至所述计算装置以删除所述密钥和所述加密数据中的一个或多个的指令。
(14)根据(9)所述的方法,其中,所述确认与密钥相关联,所述密钥是解密所述加密数据所需要的。
(15)一种存储计算机可读指令的非暂时性计算机可读介质,当所述指令被执行时,所述指令促使设备执行下述操作:
接收解密数据的至少一部分的请求,所述数据存储在由第一实体控制的第一物理位置的第一网络位置;
使用用户标识符和密码从第二网络位置检索验证令牌,所述第二网络位置在由第二实体控制的第二物理位置;
从第三网络位置检索第一加密秘密和从第四网络位置检索第二加密秘密,所述第三网络位置在第三物理位置,所述第四网络位置在第四物理位置;
使用所述第一和第二加密秘密生成解密密钥;以及
使用所述解密密钥解密所述数据的至少一部分。
(16)根据(15)所述的非暂时性计算机可读介质,其中,所述验证令牌指示在所述第二网络位置执行下列过程:
将用户认证到域;以及
确定所述用户的一个或多个域组成员身份。
(17)根据(16)所述的非暂时性计算机可读介质,其中,被解密的所述数据的至少一部分与所述用户的文件访问权限相关联,所述文件访问权限与所述用户的一个或多个域组成员身份相关联。
(18)根据(15)所述的非暂时性计算机可读介质,其中,所述第一加密秘密和第二加密秘密两者均是解密所述数据的一部分所需要的。
(19)根据(15)所述的非暂时性计算机可读介质,还包括使所述设备执行下述操作的计算机可读指令:
接收否决对所述数据的至少一部分的访问的通知。
(20)根据(15)所述的非暂时性计算机可读介质,其中,通过删除所述解密密钥、所述第一加密秘密和所述第二加密秘密中的一个或多个来否决对所述数据的至少一部分的访问。
本公开的各个示例实施例、方面和特征的细节在下面的附图和描述中阐述。
附图说明
通过结合附图参考下列描述,前述和其他目标、方面、特征和优点将变得更加明显和易于理解,其中:
图1是根据本文所述的各方面的具有与服务器通信的客户机的远程访问的联网环境的实施例的示意框图;
图2是根据本文所述的各方面的说明用于数据访问管理的认证过程的框图;
图3示出根据本文所述的各方面的加密文件和未加密文件的示例结构;
图4是根据本文所述的各方面说明在数据存储服务器与计算装置之间的示例数据同步过程的流程图;
图5是根据本文所述的各方面说明计算装置通过其访问加密数据的示例过程的流程图;
图6是根据本文所述的各方面说明计算装置利用多个密钥仓库服务器访问加密数据的示例过程的流程图;
图7是根据本文所述的各方面说明数据存储服务器认证用于数据访问的计算装置的示例过程的流程图;
图8是根据本文所述的各方面说明密钥仓库服务器与计算装置交互用于数据访问管理的示例过程的流程图;以及
图9是根据本文所述的各方面说明用于删除存储在客户端装置上的安全数据的示例过程的流程图。
当结合附图时,本公开的各方面的特征和优点将从下面阐述的详细描述变得显而易见,其中,相同的参考字符识别所有附图中的对应元件。在附图中,相同的编号通常指示唯一的、功能相似或结构相似的元件。
具体实施方式
在具有移动计算装置的远程或移动用户的企业或公司中,允许用户远程访问安全数据是被期望的。对于具有大量员工或客户的企业来说,要被管理的数据量可能非常大,从而导致存储装置的高成本以及极端复杂或错综复杂的数据管理程序。
因此,本文讨论的各方面提供与加密数据存储分离的加密密钥的存储和管理。例如,公司(或其他实体)可以从基于云的存储供应商诸如加利福尼亚州旧金山的DROPBOX公司租用或购买大量的存储空间。而且,在一些环境中,基于云的存储服务器可以位于公司或实体域之外。存储在DROPBOX服务器上的数据被加密,但是DROPBOX管理员或员工没有对解密密钥的权限。由希望保护加密数据的安全的公司控制的一个或多个密钥仓库服务器存储或管理解密密钥。该公司可以保持两个或多于两个密钥仓库服务器,每个密钥仓库服务器提供解密密钥的一部分。因此,如果有两个密钥仓库服务器,为了访问加密文件,用户必须访问第一密钥和第二密钥,第一密钥和第二密钥组合形成用于解密数据的加密密钥。因此,黑客或其他未授权的用户将被要求获得加密数据以及来自多个密钥仓库服务器的加密密钥。因此,在某些示例中,与数据存储分离保持解密密钥可以增加加密的公司数据的安全和保护程度,并且各公司可以通过使用基于云的存储解决方案来降低他们的数据存储成本。
另外或另选地,某些现有的解决方案假设用户的机器是公司资产和是公司或其他组织域的成员,并利用域管理特性和策略。因此,这些解决方案需要用户的机器是该域中的成员。例如,华盛顿雷德蒙的微软公司的BITLOCKER在与用户相关联的活动目录空间中存储用于加密数据的密钥信息。由于域管理员“受信任”,任何域管理员可以访问管理员想要访问的任何加密数据的密钥。但是某些实体可能不想每个域管理员具有访问系统中的所有加密数据的权限。因此,在该域内,不同级别管理员可以有不同数据访问权等级。本文所述的各方面提供实施域管理员的不同级别的能力。
在讨论基于文件的加密密钥管理的细节之前,下列描述提供可以结合各个方面来使用的示例性计算环境的概述。图1示出计算环境的示例实施例,该计算环境包括与一个或多个服务器106A-106N(本文通称为“服务器106”)通信的一个或多个客户端机器102A-102N(本文通称为“客户端机器102”)。安装在客户端机器102与服务器106之间的是网络104。
在一个实施例中,计算环境100可以包括安装在服务器106与客户端机器102之间的设备。这个设备可以管理客户端/服务器连接,并且在某些情况下可以负载均衡多个后端服务器之间的客户端连接。
在某些示例中,客户端机器102可以被称为单个客户端机器102或单组客户端机器102,而服务器106可以被称为单个服务器106或单组服务器106。在一个实施例中,单个客户端机器102与一个以上服务器106通信,而在另一实施例中,单个服务器106与一个以上客户端机器102通信。在又一实施例中,单个客户端机器102与单个服务器106通信。
在某些示例中,客户端机器102可以被称为下列术语中的任意一个:客户端机器102;客户端;客户端计算机;客户端装置;客户端计算装置;本地机器;远程机器;客户端节点;端点;端部节点;或第二机器。在某些实施例中,服务器106可以被称为下列术语中的任意一个:服务器,本机机器;远程机器;服务器群,主机计算装置,或第一机器。
在一个实施例中,客户端机器102可以是虚拟机。该虚拟机可以是任何虚拟机,而在某些实施例中,该虚拟机可以是通过XENSOLUTIONS、Citrix系统、IBM、VMware开发的系统管理程序或任何其他系统管理程序管理的任何虚拟机。在其他实施例中,虚拟机可以由任何系统管理程序来管理,而在其他实施例中,虚拟机可以通过在服务器106上执行的系统管理程序或在客户端102上执行的系统管理程序来管理。
在某些实施例中,客户端机器102可以执行、运行或以其他方式提供可以是下列中的任意一个的应用:软件;程序;可执行指令;虚拟机;系统管理程序;网页浏览器;基于网页的客户端;客户端-服务器应用;廋客户端计算客户端;ActiveX控件;Java小应用程序;类似于软IP电话的与互联网协议(VoIP)上的语音通信相关的软件;用于流传输视频和/或音频的应用;为便于实时数据通信的应用;HTTP客户端;FTP客户端;Oscar(奥斯卡)客户端;Telnet客户端;或任何其他可执行指令集。某些实施例还可以包括显示由在服务器106或其他定位在远端的机器上远程执行的应用所生成的应用输出的客户端装置102。在这些实施例中,客户端装置102可以在应用窗口、浏览器或其他输出窗口中显示应用输出。在一个实施例中,应用是桌面,而在其他实施例中,应用是生成桌面的应用。桌面可以包括提供用于操作系统的实例的用户界面的图形壳,本地和/或远程应用可以被集成到该图形壳中。如本文所使用的应用是在操作系统的实例(以及,可选地,也包括桌面)已被加载后执行的程序。每个操作系统的实例可以是物理的(例如,每个装置一个操作系统)或虚拟的(例如,在单个装置上运行的许多OS实例)。每个应用可以在本地装置上执行,或在位于远端的装置(例如,远程的)上执行。应用可以以多种方式定位在远端。在一个示例中,应用可以以无缝方式被定位在远端,在该无缝方式中,窗口在客户端装置上形成,以便使得应用显示似乎是在客户端装置及其桌面上本地运行。在另一示例中,可以以桌面模式提供远程应用,其中桌面远程到客户端装置,该应用显示为在远程桌面上执行的应用。各种其他远程方法和技术也可以被实施或使用。
在某些实施例中,服务器106可以执行使用瘦客户端或远程显示协议采集由在服务器106上执行的应用生成的显示输出并向远程客户端102传送应用显示输出的远程呈现客户端或其他客户端或程序。瘦客户端或远程显示协议可以是下列协议中的任意一个:通过佛罗里达州劳德代尔堡的Citrix Systems公司开发的独立计算架构(ICA)协议;或通过华盛顿雷德蒙德的微软公司开发的远程桌面协议(RDP)。
计算环境100可以包括一个以上服务器106A-106N,使得服务器106A-106N一起被逻辑分组到服务器群106中。服务器群106可以包括地理分散但一起被逻辑分组在服务器群106中的服务器106,或彼此位置接近但一起被逻辑分组在服务器群106中的服务器106。在某些示例中,服务器群106内的地理分散服务器106A-106N可以使用WAN、MAN或LAN通信,其中不同的地理区可以被表征为:不同大洲;洲的不同区域;不同国家;不同州;不同城市;不同校区;不同房间;或前述地理位置的任何组合。在某些实施例中,服务器群106可以作为单一实体来管理,而在其他实施例中,服务器群106可以包括多个服务器群106。
在某些示例中,服务器群106可以包括执行大致相似类型操作系统平台(例如,由华盛顿州雷德蒙德的微软公司开发的WINDOWS,UNIX,LINUX,或SNOW LEOPARD)的服务器106。在其他实施例中,服务器群106可以包括执行第一类型操作系统平台的第一服务器群106和执行第二类型操作系统平台的第二服务器群106。在其他实施例中,服务器群106可以包括执行不同类型操作系统平台的服务器106。
在某些示例中,服务器106可以是任何服务器类型。例如,服务器106可以是下列服务器类型中的任何一个:文件服务器;应用服务器;网页服务器;代理服务器;设备;网络设备;网关;应用网关;网关服务器;虚拟服务器;部署服务器;SSL VPN服务器;防火墙;网页服务器;应用服务器或被配置为主应用服务器;执行动态目录的服务器106;或提供防火墙功能、应用功能或负载平衡功能的执行应用加速程序的服务器106。在某些实施例中,服务器106可以是包括远程认证拨号用户服务的RADIUS服务器。在服务器106包括设备的实施例中,服务器106可以是由下列制造商中的任意一个制造的设备:Citrix应用联网组;SilverPeak Systems公司;Riverbed Technology公司;F5Networks公司;或Juniper Networks公司。某些实施例包括第一服务器106A,该第一服务器从客户端机器102接收请求、向第二服务器106B(未示出)转发请求并对由客户端机器102生成的请求做出来自第二服务器106B的响应的响应。第一服务器106A可以获得可用于客户端机器102的应用的列举以及与托管在应用列举内被识别的应用的应用服务器106相关联的地址信息。第一服务器106A可随后使用网页界面对客户端的请求显示响应,并且与客户端102直接通信以向客户端102提供对被识别应用的访问。
在某些实施例中,服务器106可以执行下列应用中的任意一个:使用瘦客户端协议向客户端传送应用显示数据的瘦客户端应用;远程显示演示应用;Citrix Systems公司的CITRIX ACCESS SUITE的一部分,像METAFRAME或CITRIX PRESENTATION SERVER或XENAPP;由微软公司开发的MICROSOFT WINDOWS Terminal Services(微软视窗终端服务);或由Citrix Systems公司开发飞ICA客户端。其他示例或实施例可以包括是应用服务器的服务器106,诸如:电子邮件服务器,其提供诸如由微软公司开发的MICROSOFT EXCHANGE的电子邮件服务;网页或互联网服务器;桌面共享服务器;协同服务器;或任何其他类型的应用服务器。其他实施例或示例还可以包括执行下列类型被托管服务器应用中的任意一个的服务器106:由Citrix Online Division公司提供的GOTOMEETING;由加利福尼亚州圣克拉拉的WebEx公司提供的WEB EX;或由微软公司提供的Microsoft Office LIVE MEETING。
在某些实施例中,客户端机器102可以是搜寻对由服务器106提供的资源的访问的客户端节点。在其他实施例中,服务器106可以向客户端102或客户端节点提供对被托管资源的访问。在某些实施例中,服务器106可以起主节点的作用,使得该服务器与一个或多个客户端102或服务器106通信。在某些实施例中,主节点可以识别与托管被请求应用的服务器106相关联的地址信息并向一个或多个客户端102或服务器106提供该地址信息。仍然在其他实施例中,主节点可以是服务器群106、客户端102、客户端节点集群102或设备。
一个或多个客户端102和/或一个或多个服务器106可以在被安装在计算环境100内的机器与设备之间的网络104上传送数据。网络104可以包括一个或多个子网络,可以被安装在客户端102、服务器106、被包括在计算环境100内的计算机器和设备的任何组合之间。在某些实施例中,网络104可以是:局域网(LAN);城域网(MAN);广域网(WAN);由被定位在客户端机器102与服务器106之间的多个子网络104组成的主网络104;具有专用子网络104的主公共网络104;具有公共子网络104的主专用网络104;或具有专用子网络104的主专用网络104。进一步的实施例还包括可以是下列网络类型中的任意一个的网络104:点对点网络;广播网;电信网络;数据通信网络;计算机网络;ATM(异步传送模态)网络;SONET(同步光纤网)网络;SDH(同步数字分级体系)网络;无线网络;有线网络;或包括无线链接的网络104,其中,该无线链接可以是红外信道或卫星频带。网络104的网络拓扑在不同实施例内可以不同,可能的网络拓扑包括:总线网络拓扑;星形网络拓扑;环形网络拓扑;基于中继器的网络拓扑;或分层的星形网络拓扑。另外的实施例可以包括使用在移动装置之间通信的协议的移动电话网络的网络104,其中,所述协议可以是下列中的任意一个:AMPS;TDMA;CDMA;GSM;GPRS UMTS;或能够在移动装置之间传送数据的任何其他协议。
图1包括计算装置102A的实施例的说明。可以在本文说明和描述的计算装置102A的任何实施例上部署和/或执行客户端机器102和服务器106。包括在计算装置102A内的是与下列组件通信的系统总线:中央处理单元121;主存储器113;存储内存121;只读存储器(ROM)115;输入/输出(I/O)控制器119;显示装置;安装装置;和网络接口117。在一个实施例中,存储内存121包括:操作系统123,控制逻辑125,其他应用127,第一数据库131,第二数据库129,软件例程,以及客户端代理。在某些实施例中,I/O控制器119进一步连接到键盘和指点装置。其他实施例可以包括连接到一个以上输入/输出装置的I/O控制器119。
计算机器102A的实施例可以包括通过下列组件配置中的任意一个表征的中央处理单元121:对从主存储器单元113提取的指令做出响应并对其处理的逻辑电路;微处理器单元,诸如:由Intel(英特尔)公司制造的微处理器单元;由摩托罗拉公司制造的微处理器单元;由加利福尼亚州圣克拉拉的Transmeta公司制造的微处理器单元;诸如由国际商业机器公司制造的那些RS/6000;诸如由Advanced Micro Devices(高级微设备)公司制造的处理器;或逻辑电路的任何其他组合。中央处理单元121的其他实施例还可以包括下列的任意组合:微处理器,微控制器,具有单处理核的中央处理单元,具有两个处理核的中央处理单元,或具有一个以上处理核的中央处理单元。
虽然图1示出包括单个中央处理单元121的计算装置102A,但是在某些实施例中,计算装置102A可以包括一个或多个处理单元121。在这些实施例中,计算装置102A可以存储和执行固件或其他可执行指令,当所述固件或其他可执行指令被执行时,命令一个或多个处理单元121同时执行各指令或同时执行在单块数据上的各指令。在其他实施例中,计算装置102A可以存储和执行固件或其他可执行指令,当所述固件或其他可执行指令被执行时,命令一个或多个处理单元121中的每一个执行一组指令的区段。例如,每个处理单元121可以被命令执行程序的一部分或程序内的特定模块。
在某些实施例中,处理单元121可以包括一个或多个处理核。例如,处理单元121可以具有两个核、四个核、八个核等。在一个实施例中,处理单元121可以包括一个或多个并行的处理核。在某些实施例中,处理单元121的各处理核可以访问作为总体地址空间的可用存储器,或在其他实施例中,计算装置102A内的存储器可以被分段并分配给处理单元121内的特定核。在一个实施例中,计算装置102A中的一个或多个处理核或处理器中的每个可以访问本地存储器。在另一实施例中,在计算装置102A内的存储器可以在一个或多个处理器或处理核之间共享,而其他存储器可以被特定处理器或处理器的各子集访问。在计算装置102A包括一个以上处理单元的实施例中,多个处理单元可以被包括在单个集成电路(IC)中。在某些实施例中,这些多个处理器可以通过内部高速总线被链接在一起,该内部高速总线可以被称为单元互连总线。
在计算装置102A包括一个或多个处理单元121或处理单元121包括一个或多个处理核的实施例中,各处理器可以在多块数据上同时执行单指令(SIMD),或在其他实施例中,可以在多块数据上同时执行多个指令(MIMD)。在某些实施例中,计算装置102A可以包括任何数量的SIMD和MIMD处理器。
在某些实施例中,计算装置102A可以包括图形处理器或图形处理单元(未示出)。图形处理单元可以包括软件和硬件的任何组合,并且可以进一步输入图形数据和图形指令,渲染来自输入数据和指令的图形,并输出渲染后的图形。在某些实施例中,图形处理单元可以被包括在处理单元121内。在其他实施例中,计算装置102A可以包括一个或多个处理单元121,其中,至少一个处理单元121专用于处理和渲染图形。
计算装置102A的一个实施例包括经由第二总线(也被称为系统后端总线)与高速缓冲存储器通信的中央处理单元121,而计算装置102A的另一实施例包括经由系统总线与高速缓冲存储器通信的中央处理单元121。在某些实施例中,本地系统总线也被中央处理单元用于与不止一种类型的I/O装置通信。在某些实施例中,本地系统总线可以是下列类型总线中的任意一个:VESA VL总线;ISA总线;EISA总线;微通道体系结构(MCA)总线;PCI总线;PCI-X总线;PCI-Express总线;或NuBus。计算装置102A的其他实施例是与中央处理单元121通信的视频显示器的包括I/O装置。计算装置102A的其他版本还包括经由下列连接中的任意一种连接到I/O装置的处理器121:HyperTransport、Rapid I/O或InfiniBand。计算装置102A的进一步实施例包括使用本地互连总线与I/O装置通信和使用直接连接与第二I/O装置通信的处理器121。
在某些实施例中,计算装置102A包括主存储器单元113和高速缓冲存储器。高速缓冲存储器可以是任何存储器类型,并且在某些实施例中,可以是下列存储器类型中的任意一种:SRAM;BSRAM;或EDRAM。其他实施例包括可以是下列存储器类型中的任意一种的高速缓冲存储器和主存储器单元113:静态随机存取存储器(SRAM),突发SRAM或SynchBurstSRAM(BSRAM);动态随机存取存储器(DRAM);快速页模式DRAM(FPM DRAM);增强DRAM(EDRAM),扩展数据输出(EDO RAM);扩展数据输出DRAM(EDO DRAM);突发DRAM(BEDO DRAM);增强DRAM(EDRAM);同步DRAM(SDRAM);JEDEC SRAM;PC 100SDRAM;双数据速率SDRAM(DDRSDRAM);增强SDRAM(ESDRAM);SyncLink DRAM(SLDRAM);Direct Rambus DRAM(DRDRAM);Ferroelectric(铁电)RAM(FRAM);或任何其他类型存储器。进一步的实施例包括经由:系统总线;存储器端口;或允许处理器121访问存储器113的任何其他连接、总线或端口可以访问主存储器113的中央处理单元121。
计算装置102A的一个实施例提供对下列安装装置中的任意一个的支持:CD-ROM驱动器,CD-R/RW驱动器,DVD-ROM驱动器,各种格式的磁带装置,USB装置,可引导介质,可引导CD,用于GNU/Linux分布诸如的可引导CD,硬盘驱动器或适用于安装各应用或软件的任何其他装置。在某些实施例中,各应用可以包括客户端代理,或客户端代理的任何部分。计算装置102A还可以包括可以是一个或多个硬盘驱动器或一个或多个冗余独立盘阵列中的任一个的存储装置121;其中该存储装置经配置存储操作系统、各程序应用或客户端代理的至少一部分。计算装置102A的进一步实施例包括被用作存储装置121的安装装置。
计算装置102A还可以包括网络接口117,该网络接口通过各种连接包括但不限于标准电话线、LAN或WAN链路(例如,802.11,T1,T3,56kb,X.25,SNA,DECNET)、宽带连接(例如,ISDN,帧中继,ATM,吉比特以太网,SONET上以太网)、无线连接或上述的任何或全部的某些组合与局域网(LAN)、广域网(WAN)或互联网连接。各连接也可以使用各种通信协议(例如,TCP/IP、IPX、SPX、NetBIOS、Ethernet、ARCNET、SONET、SDH、光纤分布式数据接口(FDDI)、RS232、RS485、IEEE 802.11、IEEE 802.11a、IEEE 802.11b、IEEE 802.11g、CDMA、GSM、WiMax和直接异步连接)来建立。计算装置102A的一个版本包括网络接口117,该网络接口能够经由任何类型和/或形式的网关或隧道协议诸如安全套接层(SSL)或传输层安全(TLS)或Citrix Systems公司开发的Citrix网关协议与另外的计算装置102'通信。网络接口117的各版本可以包括下列中的任意一种:内置的网络适配器;网络接口卡;PCMCIA网卡;卡总线网络适配器;无线网络适配器;USB网络适配器;调制解调器;或适合将计算装置102A面接到网络的能够传送和执行本文所述的方法和系统的任何其他装置。网络接口117的另一版本允许计算装置102A与包括3G、4G等的一个或多个蜂窝网络通信。
计算装置102A的各实施例包括下列I/O装置中的任意一个:键盘;指点装置;鼠标器;光学笔;轨迹球;麦克风;绘图板;视频显示器;扬声器;喷墨打印机;激光打印机;以及染料升华打印机;或能够执行本文所述的方法和系统的任何其他输入/输出装置。在某些实施例中,I/O控制器119可以连接到多个I/O装置以控制一个或多个I/O装置。I/O装置的某些实施例可以经配置提供存储或安装介质,而其其他实施例可以提供用于接收USB存储装置诸如由Twintech工业公司制造的装置的USB闪存驱动线的通用串行总线(USB)接口。其他实施例还包括可以是系统总线与外部通信总线之间的桥路的I/O装置,所述外部通信总线包括诸如:USB总线;苹果桌面总线;RS-232串行连接;SCSI总线;FireWire总线;FireWire800总线;以太网总线;AppleTalk总线;吉比特以太网总线;异步传输模式总线;HIPPI总线;超级HIPPI总线;SerialPlus总线;SCI/LAMP总线;光纤通道总线;或小型计算机系统接口总线。
在某些实施例中,计算装置102A可以连接到多个显示装置,在其他实施例中,计算装置102A可以连接到单显示装置,而在其他实施例中,计算装置102A还连接到是相同显示器类型或形式的显示装置或连接到是不同类型或形式的显示装置。各显示装置的实施例可以通过下列来支持或通过下列来启用:一个或多个I/O装置;I/O控制器119;I/O装置和I/O控制器119的组合;能够支持显示装置的硬件和软件的任何组合;面接、通信、连接或以其他方式使用各显示装置的任何类型和/或形式的视频适配器、视频卡、驱动器和/或库。在某些实施例中,计算装置102A可以经配置使用一个或多个显示装置,这些配置包括:具有面接到多个显示装置的多个连接器;具有多个视频适配器,每个视频适配器被连接到一个或多个显示装置;具有经配置支持多个显示器的操作系统;使用包括在计算装置102A内的电路和软件连接多个显示装置102A并使用该多个显示装置;并且在主计算装置102A和多个第二计算装置上执行软件以允许主计算装置102A将第二计算装置的显示器用作用于主计算装置102A的显示装置。计算装置102A的其他实施例还可以包括由多个第二计算装置提供并经由网络连接到主计算装置102A的多个显示装置。
在某些实施例中,计算装置102A可以执行任何操作系统,而在其他实施例中,计算装置102A可以执行下列操作系统中的任一个:MICROSOFT WINDOWS操作系统的各版本,诸如WINDOWS 3.x;WINDOWS 95;WINDOWS 98;WINDOWS 2000;WINDOWS NT 3.51;WINDOWS NT4.0;WINDOWS CE;WINDOWS XP;以及WINDOWS VISTA;UNIX和Linux操作系统的不同版本;苹果电脑公司开发的MAC OS的任何版本;由国际商用机器公司开发的OS/2;任何嵌入式操作系统;任何实时操作系统;任何开发源操作系统;任何专有操作系统;用于移动计算装置的任何操作系统;或任何其他操作系统。在另一实施例中,计算装置102A还可以执行多个操作系统。例如,计算装置102A可以执行PARALLELS或可以执行或管理执行第一操作系统的虚拟机的另一虚拟平台,而计算装置102A执行不同于第一操作系统的第二操作系统。
计算装置102A可以在下列计算装置中的任意一个中实施:计算工作站;台式计算机;膝上型或笔记本计算机;服务器;手持式计算机;移动电话;便携式电信装置;媒体播放装置;游戏系统;移动计算装置;上网本;由苹果电脑公司制造的iPod系列装置;由索尼公司制造的PLAY STATION系列装置中的任意一个;由Nintendo公司制造的Nintendo系列装置中的任意一个;由微软公司制造XBOX系列装置中的任意一个;或能够通信并具有执行本文所述的方法和系统的足够处理能力和内存容量的计算、电信或媒体装置的任何其他类型和/或形式。在其他实施例中,计算装置102A可以是移动装置,诸如下列移动装置中的任意一个:允许JAVA的蜂窝电话或个人数字助理终端(PDA),诸如i55sr、i58sr、i85s、i88s、i90c、i95cl或im1100,上述均由摩托罗拉公司制造;由Kyocera制造的6035或7135;由三星电子有限公司制造的i300或i330;由Palm公司制造的TREO 180、270、600、650、680、700p、700w、750、Pre、Pre Plus、Pixi、Pixi Plus、Pre 2或Pre 3智能电话;具有符合该装置的不同处理器、操作系统和输入装置的任何计算装置;或能够执行本文所述的方法和系统的任何其他计算装置。在其他实施例中,计算装置102A可以是下列移动计算装置中的任意一个:黑莓系列中的任意一个,或由Research In Motion公司制造的其他手持式装置;由苹果电脑公司制造的iPhone;Palm Pre;Pocket PC(掌上电脑);Pocket PC手机;或任何其他手持式移动装置。仍在其他实施例中,计算装置102A可以是智能电话或平板电脑,其包括诸如由加利福尼亚州库比提诺的苹果公司制造的iPhone或iPad;由加拿大安大略省滑铁卢的Researchin Motion公司制造的黑莓装置;由华盛顿州雷德蒙德的微软公司制造的Windows移动装置;由伊利诺斯州利伯蒂维尔的摩托罗拉公司制造的Xoom;能够运行由加利福尼亚州山景的谷歌公司提供的Android(安卓)平台;或任何其他类型和形式的便携式计算装置。
本文所述的某些方面、特征或实施例可以使用加密。加密可以包括用于将数据从解译形式变换并通过将无法解译的数据给予能够解密加密数据的各种手段、方法、系统、函数等中的一种或多种。加密还可以包括范围广泛的包括专用密钥和公用密钥加密的加密标准和技术。加密和解密可以经由实施密码、密钥或二者组合的系统来实现。加密方案可以包括对称的密钥加密方案,其中,秘密密钥在搜索加密数据的团体和搜索解密数据的团体之间交换。此类方案还可以包括“共享秘密”或“预共享”加密方案。此类加密方案的示例可以包括高级加密标准、Blowfish、Twofish、Serpent、CAST5、RC4、3DES和IDEA。
本文所述的各方面、特征和实施例可以使用各种加密方案和标准。例如,本文所述的各方面、特征或实施例可以使用“混乱信息函数”、“杂乱信号”或“散列法”。这些包括接收作为输入的数据并响应于所述输入提供给定的输出的任何程序或数学函数。所述输出可以是散列值或可以是报文摘要。杂乱信号的输出可以是单一数据或整数。杂乱信号的输出可以是固定大小的位串。混乱信息函数可以依赖实现所述散列法的一个或多个密钥。现有技术中公知的混乱信息函数的示例包括MD2(报文摘要算法)、MD4、MD5、SHA-0(安全杂乱信号算法)、SHA-1、SHA-2、GOST、HAVAL、PANAMA、RadioGatun、RIPEMD、Tiger和WHIRLPOOL。其他混乱信息函数可以包括基于杂乱信号的报文认证代码(HMAC)函数,诸如HMAC-MD5、HMAC-SHA1、HMAC-SHA256、HMAC-SHA-512和可以从混乱信息函数导出的其他HMAC。
本文所述的某些方面、特征或实施例可以使用公共/专用密钥加密。公用密钥加密可以包括用于将数据变换为仅能够被预定的接收者或其他目标受众解译的形式的任何方法或各方法。公用密钥加密方法可以包括使用非对称密钥算法,其中,加密数据必要的密钥不同于解密数据所需的密钥。这允许加密所述数据所使用的密钥“公用密钥”被广泛共享。因为解密加密信息所使用的单独密钥被保持为秘密的,安全的完整性被保持。秘密密钥还可以是专用密钥,并且公用密钥与对应专用密钥的组合可以是公用-专用密钥对。因此,公用密钥加密不需要一个或多个秘密密钥的安全初始交换。非对称密钥实施的示例包括DSS、RSA加密算法、PGP、互联网密钥交换、ZRTP、SSH、SSL、TLS和SILC。
本文所述的各方面、特征或实施例可以使用公用密钥或公用密钥加密,或另选或另外地,可以使用任何其他形式的加密,包括专用密钥加密或任何其他形式的加密。
本文所述的某些方面、特征或实施例可以使用对称密钥或共享秘密加密。另选地,某些方面、特征或实施例可以使用任何其他形式的加密以成功实施本文所讨论的系统和方法,所述加密包括公用密钥加密或任何其他形式的加密。
本文所述的某些方面、特征或实施例可以使用“共享密钥”或“多个共享密钥”用于加密或解密的目的。共享密钥可以包括在特定用户组之间可以共享的密钥。共享密钥可以是用于任何类型或形式的加密方案或标准中的任何类型或形式的密钥。在某些示例中,共享密钥可以对特定文件是唯一的,或仅可以由单用户、应用或过程共享。另外或另选地,共享密钥可以是非对称的专用/公用密钥对。
现参考图2,该图示出利用基于加密的数据访问管理的系统的示例实施例。客户端计算机102可以包括接收器202,该接收器经配置协同和管理从一个或多个存储服务器和网站的数据访问。在某些示例中,接收器202可以是安装在客户端计算机102上的软件插件。接收器202提示用户认证,或以其他方式验证用户。接收器202还接收访问包括加密数据的一个或多个文件或文件夹的用户请求。在一个实施例中,接收器202可以在用户登录到计算机上时认证该用户。在另一实施例中,接收器202可以接收用户访问加密数据的请求,并随后提示该用户访问所请求加密数据所需的凭证。
接收器202向数据存储服务器106传送用户认证请求以确认用户的身份和域组身份。用户认证请求包括访问数据的请求,所述访问数据包括检索和解密一个或多个加密文件或文件夹。用户认证请求还可以包括用户认证信息,诸如用户标识符和密码212。在另一示例实施例中,用户名或密码可能不是认证所需的,系统改为使用另一认证方法,诸如智能卡、硬件令牌、软件令牌、生物特征验证、证书或挑战-应答。
在一个方面或实施例中,用户可以与域相关联。在一个示例中,域可以是共享中央目录数据库的安全负责人的集合。在另一实施例中,域可以是服务供应商,该服务供应商保持允许带有凭证的客户端认证和被授权的安全容器。中央数据库保持产品的一个示例是活动目录,其是由华盛顿州雷德蒙德的微软公司开发的产品。在一个示例中,在域内的每个用户可以接收唯一的账户或用户名。在另一实施例中,用户账户可以被分配该域内的访问资源。在另一示例账户,用户可以是组的一部分,其中,组包括一个或多个用户,该组被分配对该域内的资源的访问权限。
响应于接收用户认证请求,数据存储服务器106可以经配置连接到与在用户认证请求中识别的用户相关联的域服务器208。在一个实施例中,用户可以通过具有该域内的账户而与该域相关联。在另一示例中,用户可以被分配为该域中的组的成员。域服务器208确定用户是否存在于该域上。如果用户存在于该域上,并且认证信息诸如用户标识符和密码212是正确的,那么域服务器208确定用户的域组成员身份。组可以在该域上具有一个或多个用户。用户可以是一个或多个组的成员,或可以不是任何组的成员。在域内的各组可以被分配用于检索和解密各种类型信息的访问权限/权利。因此,访问权可以基于组来控制,而不必为每个用户分别制定访问权。不过可替换地或另外地,在某些实施例中,域可以向每个用户分别分配访问权限。例如,各用户可以具有通过他们的组成员身份指定的访问权之上的附加权利或权限。
如果该域确定用户不存在或未被正确认证,那么该域向数据存储服务器106响应用户不存在或未被正确认证,并且数据存储服务器106拒绝接收器202的请求。
如果该域指示用户已被认证,那么,数据存储服务器106向接收器202传送验证令牌214。在一个实施例中,验证令牌可以包括从域服务器208向数据存储服务器106传送的用户域组成员身份信息。在另一实施例中,验证令牌简单地证实该用户已被该域认证。接收器202响应于收到验证令牌214向数据插件204传送验证令牌216。
在收到验证令牌时,数据插件204用一个或多个仓库服务器210初始化认证程序。在一个示例实施例中,有两个仓库服务器210,但是根据控制数据访问的实体所希望或需要的安全访问的安全等级和/或等级数量,可以有任何数量的仓库服务器。仓库服务器210可以被定位在与客户端计算机102分开的物理位置,并且还可以与数据存储服务器106(物理或逻辑)分开。在一个实施例中,仓库服务器210是单独的虚拟机,而在另一实施例中,仓库服务器210是单独的物理机器。用于每个仓库服务器的过程可以是相同的,因此,将描述与第一仓库服务器相关的过程。
数据插件204向仓库服务器210传送唯一识别客户端计算机106的装置标识符。在一个实施例中,仓库服务器210保留用于存储关于每个装置的信息的数据库、表格或某些其他方法。与仓库服务器相关联的每个装置具有与其相关联的装置标识符。装置标识符可以是装置媒体访问控制(MAC)地址、互联网协议(IP)地址或与装置相关联的某些其他唯一装置标识符。
仓库服务器210保留关于每个装置的信息。例如,仓库服务器210可以保留每个装置的解密密钥-也被称为秘密或解密密钥的部分。对应于不同访问权限或凭证的文件可以通过不同的秘密或密钥来保护。因此,可以具有一个装置或多个装置的单用户可以访问不同装置上的相同文件,只要该用户被正确认证并且他或她的访问权限被证实。在某些示例中,仓库服务器210可以保留关于每个唯一装置的信息。在另一实施例中,仓库服务器不保留关于装置的任何信息,但是基于包括在验证令牌中的信息确定用户或装置对加密文件或文件夹的访问权限。
如上所述,仓库服务器210控制对与特定文件或数据相关联的单密钥的访问。在另一实施例中,仓库服务器210控制特定文件或数据的所有用户共享访问的单密钥。在另一示例中,仓库服务器210控制一个或多个唯一密钥,每个密钥对装置或用户以及特定文件或数据是唯一的。例如,文件或数据可以与对文件或数据的唯一装置访问相关联,或与对文件或数据的唯一用户访问相关联。
在另一示例实施例中,仓库服务器210可以保留装置是否被授权接收加密密钥的状态指示符。在某些示例中,状态指示符可以与失效命令(kill-pill)状态相对应。如果该装置丢失、被盗或该装置用户丢失访问权限,删除或以其他方式禁用从客户端装置对加密信息的访问是被期望的。在一个实施例中,仓库服务器管理员可以设定使该装置失效的失效命令状态。这个状态可以使用标识来设定。如果设定失效命令标识,则仓库服务器210通过向客户端计算机106传送失效命令来响应装置标识符的接收。在一个实施例中,在收到失效命令后,客户端计算机106阻止存储在装置上的任何加密密钥传送到其他装置,并且也促使(例如,命令)客户端计算机106删除存储在该装置上的一个或多个加密密钥。在一个实施例中,客户端计算机106也被促使和/或命令删除存储在该装置上的任何加密文件。在一个示例中,如果该装置丢失,单个失效命令可以促使在该装置上的所有密钥和数据被擦除而无需认证。
如果失效命令标识未设定,那么,仓库服务器210向客户端计算机106传送装置状态。装置状态可以指示该装置的标识符被发现并且该装置是干净的以在认证过程中继续。在另一实施例中,只有“失效”状态将触发失效命令,因此,装置状态标识可以是空的或未设定,指示“非失效”。在收到未包括失效命令的装置状态后,客户端计算机106向仓库服务器210传送令牌218。
仓库服务器210从数据插件204接收令牌218。在收到令牌218后,仓库服务器210向数据存储服务器106发送令牌222。仓库服务器210向数据存储服务器106传送令牌222以确认令牌的有效性和用户被数据存储服务器106认证。在一个实施例中,这包括确认用户已认证到数据存储接口206。在一个实施例中,仓库服务器210可以请求数据存储服务器106用域服务器确认用户是特定域组的成员。用户的域组成员身份信息可以被包括在由仓库服务器210收到的验证令牌中。在另一实施例中,数据存储服务器106保留最近一段时间内已认证的用户的记录。例如,数据存储服务器可以保留在最近60分钟内已认证和收到验证令牌214的所有用户的列表。如果用户已被数据存储服务器106认证,数据存储服务器106向仓库服务器210发送确认用户已被数据存储服务器106认证的验证224。
在仓库服务器210从数据存储服务器106收到证实用户认证的验证/确认224后,仓库服务器210确定是否向用户传送允许用户解密加密文件的解密密钥-也被称为秘密-或解密密钥的部分。仓库服务器210可以基于用户的域组成员身份确定是否向用户传送密钥。在特定示例中,仓库服务器210可以将用户的域组成员身份和与所存储的被请求密钥/秘密相关联的组成员身份信息进行比较。在另一示例中,仓库服务器210可以从数据存储服务器或域服务器确定组成员要求。在另一示例中,仓库服务器210可以从所请求的加密文件/数据确定组成员要求。
在某些示例中,访问权限可以基于与组成员身份无关的特定用户凭证。例如,认证用户可以被授权访问与用户的公司角色相关的加密文档,同时也准许其他用户访问。例如,公司执行官可以对关于公司收购的文档具有排他性的访问,以及有权访问也被许多其他人访问的共享会计文件。在另一示例中,从域内的成员到组对加密数据的共享访问可以是脱节的。因此,在一个示例实施例中,仓库服务器210可以确定用户单独被授权对与一组文件对应的密钥的单一访问以及对与不同组文件对应的密钥的共享访问。。如果仓库服务器210确认用户具有接收秘密的适当凭证,仓库服务器210向数据插件204传送密钥220。在一个实施例中,密钥220被称为秘密。
存在多少仓库服务器,仓库服务器210证实令牌的过程就重复多少次。例如,在一个实施例中,有两个仓库服务器。因此,在从第一仓库服务器收到密钥220后,数据插件204通过传送装置标识符、接收非失效命令状态、传送令牌218和接收第二密钥220认证到第二仓库服务器210。另选地,多个仓库服务器的检索/认证可以被同时或几乎并行执行。
密钥/秘密220被用于使用现有技术中已知的数据解密方法解密加密数据。在使用两个仓库服务器的实施例中,有两个秘密。第一密钥/秘密或第二密钥/秘密只单独允许计算装置解密数据的一部分,诸如文件名、文件大小或关于文件的其他信息。为了完全解密包括文件数据(例如,其一部分)的数据,要求第一秘密和第二秘密两者。例如,可以要求第一秘密和第二秘密两者以生成被配置成解密数据的一部分的解密密钥。在某些示例中,另一解密密钥可以只基于第一秘密或第二秘密中的一个来生成。另一解密密钥可以只允许解密文件或数据的标题或某些部分,该标题或某些部分不同于使用利用两个秘密生成的解密密钥能够解密的数据部分。
在替代实施例中,认证失效命令需要第一秘密和第二秘密。例如,客户端装置只可以认证被标记(例如,加密)的失效命令。因此,失效命令的加密可能需要使用第一和第二秘密/密钥来生成解密密钥。在另一示例实施例中,向装置传送失效命令既不需要认证也不需要授权。在另一示例中,该装置利用失效命令,而未认证或授权失效命令或其起源。
具有多个秘密允许更好控制数据。例如,如果实体担心数据安全,那么,该实体可能实施两个仓库服务器,每个仓库服务器存储不同的秘密。不同的管理员可以访问不同的仓库服务器。如果公司具有100个管理员,其中的95个可能只能访问所述仓库服务器中的一个或另一个,而只有5个管理员能访问两个仓库服务器。通过这种方式,大多数管理员能够帮助多数用户的常见问题,诸如识别特定文件的位置或激活特定装置的失效命令。但是因为只有少量的个人能访问两个加密秘密-换句话说,认证用户或管理员的小子集(在示例实施例中,是5个管理员)—甚至多数管理员不能查看或访问加密文件中的数据。这有助于通过将访问限制到真正“按需知密”的那些人来帮助保持数据安全性。
在某些实例中,在本地客户端装置上而不是在数据存储服务器106上存储加密数据可能是可取的。例如,如果客户端装置将要在无网络接入的情况下被使用,诸如在没有互联网接入的飞机或轮船上,访问否则被存储在数据存储服务器上的文件可能是有用的。在一个实施例中,在解密数据后,计算装置102可以使用与数据存储服务器加密数据所用加密不同的另一加密密钥来再次加密解密的数据。
图3是示出加密文件302和未加密文件312的框图。加密文件302可以包括多个单元,所述单元包括目录数据304、文件标题306、文件用户数据308和文件填充310。将依次来描述这些单元中的每一个。
目录数据304包括关于该文件的目录信息。例如,目录数据304包括加密形式的文件名。文件大小也被包括。文件大小是文件标题306、文件用户数据308和文件填充310的文件大小的组合。目录数据304是操作系统123可见的数据。
文件标题306包括明码通信的加密盐。在一个实施例中,加密盐可以被用作生成加密密钥的单元。文件标题306还包括加密格式的文件大小。
文件用户数据308或数据的一部分包括文件的数据。例如,文件用户数据308可以包括以文本文件的文本或以图像文件的图像数据。文件用户数据308被加密。
文件填充310是填充文件的数据块,以便提高安全性和/或使数据结构与特定存储协议所希望的大小一致。在一个实施例中,填充310被存储为随机字节,以便与加密文件用户数据区不可区别。
组合的文件标题306、文件用户数据308和文件填充310被操作系统123视为文件数据。因为文件用户数据308的实际大小在当文件被加密时是不可识别的,文件的安全性得以提高。
未加密文件312包括目录数据314和文件用户数据316。这些数据中的每个将依次来描述。
通过操作系统123可以看见目录数据314。目录数据314包括未加密的明文文件名。而且包括的是指示文件真实大小的文件大小。
文件用户数据316是解密的文件数据。这可以是从文字处理文档到表格到图片或视频文件的任何文件类型的数据。如在现有技术中是已知的,任何类型的文件可以被加密。
文件信息可以使用各种加密方法318来加密。当被加密时,目录数据314可以被划分为目录数据304和文件标题306。当操作系统123在处理加密文件302时,只有目录数据304可以被视为目录数据。如前所述,在某些示例中,文件标题306、文件用户数据308和文件填充310全部可以被操作系统123看作文件数据。
图4示出数据从客户端装置传送和传送到客户端装置的示例同步过程。数据存储服务器106存储一个或多个加密数据文件。文件可以如上所述根据第一加密密钥来加密。在加密目录数据402和加密文件内容404被存储在服务器上时被加密。当文件被传送到客户端计算机102时,作为同步过程的一部分文件被解密。例如,客户端计算机102在收到解密密钥时,如上面结合图2所述来认证。
当加密数据被传送到客户端计算机102时,数据插件204使用解密密钥来解密文件。由未加密目录数据406和未加密文件数据408组成的解密文件被加载到存储器113中。在文件被加载到存储器113中时,用户随后可以查看、编辑或以其他方式加工该文件。
如果用户给出将文件保存到本地存储121的命令,那么,数据插件104使用第二加密密钥(例如,本地加密密钥)来加密文件,第二加密密钥不同于当数据被存储在存储服务器上被加密时的第一加密密钥。例如,使用从一个或多个仓库服务器210收到的秘密所生成的解密密钥可以被配置成解密使用第一加密密钥而不是第二、本地加密密钥加密的数据。由加密目录数据410和加密文件内容412组成的本地加密文件随后被存储在本地存储121中。
如果用户给出将文件保存到数据存储服务器106的命令,那么,数据插件204加密被加载到存储器113中的未加密文件,并随后将加密的文件上传到数据存储服务器106。在另一示例中,如果用户想要本地存储的数据与存储服务器106同步,那么,数据插件204或客户端装置102可以解密本地存储的数据并使用第一加密密钥再次加密该数据。在另一示例中,在解密本地存储的数据(使用第二加密密钥加密)后,该数据可以被传送到存储服务器106使用第一加密密钥来加密。
如上所述,加密和解密过程作为客户端计算机102与数据存储服务器106之间的文件和其他数据的同步的一部分被执行。
图5是说明计算装置诸如客户端计算机102访问存储在存储服务器中的加密数据的过程的流程图。
在步骤502中,客户端计算机102向存储加密数据的数据存储服务器106传送用于解密加密数据的用户认证请求。该用户认证请求可以包括用户凭证,诸如用户名和密码。该用户认证请求还可以包括用户希望访问的一个或多个文件或文件夹名称的列表或描述。
在步骤504中,如果用户认证请求存在问题,例如不存在的用户名或不正确的密码,那么,客户端计算机102可以接收错误消息。类似地,如果用户没有访问用户请求访问的数据的权利,那么,客户端计算机也可以接收错误消息。
如果用户认证请求包括有效的用户凭证并且用户具有所请求数据的访问权限,那么在步骤506中,客户端计算机102从数据存储服务器接收所请求的加密数据和验证令牌。在另一实施例中,客户端计算机102可以只从数据存储服务器接收验证令牌。在一个实施例中,该验证令牌可以与用户的认证请求相关联,并且可以指示用户是一个或多个域组的成员。例如,如上所述,数据存储服务器可以连接到域服务器,并且确定用户是否存在于该域上,以及用户是否是一个或多个域组的成员。
在步骤508中,客户端计算机102随后向不同于数据存储服务器的第一密钥服务器传送验证令牌。密钥服务器可以被称为仓库服务器,诸如仓库服务器210。如本文所述,第一密钥服务器或仓库服务器可以被定位在物理远离客户端计算机102或域服务器208或两者的并且不同的域中。
响应于传送验证令牌,在步骤510中,计算装置102可以从第一密钥服务器接收解密加密数据所需的密钥/秘密(例如,如果用户的访问权限被确定匹配用于接收所请求的访问密钥/秘密所需的凭证)。
在步骤512中,计算装置102使用密钥解密加密数据的至少一部分。在另一实施例中,计算装置102可以不在步骤506中用验证令牌接收加密数据,而是改为直到步骤510当计算装置102已从密钥服务器接收必要的密钥/秘密后接收加密数据。在示例实施例中,计算装置102可以向数据存储服务器传送计算装置102从密钥服务器接收密钥/秘密的确认,并作为响应接收加密数据。
图6是说明当有一个以上仓库服务器时,客户端装置诸如客户端计算机102用于访问加密数据的过程的流程图。仓库服务器也被称为密钥服务器。在说明的实施例中,有两个仓库服务器。在另一实施例中,可以有两个以上仓库服务器。例如,可以有三个仓库服务器、四个仓库服务器或N个仓库服务器。在一个实施例中,通过每个仓库服务器,有附加的安全和保护层,因为为了解密文件,用户必须从每个仓库服务器接收解密密钥,这些密钥的组合解密加密数据。
在步骤602中,客户端计算机102向数据存储服务器传送用户认证请求,并且在步骤604中以与图5关联所述的大致类似的方式从数据存储服务器接收验证令牌。
在步骤606中,客户端计算机102向第一仓库服务器210传送验证令牌。第一仓库服务器210确认令牌是有效的并且客户端计算机102已被数据存储服务器106认证。随后,在步骤608中,客户端计算机从第一仓库服务器接收第一密钥(或第一加密秘密)。
在步骤610中,客户端计算机随后向第二仓库服务器传送验证令牌。第二仓库服务器210确认令牌是有效的并且客户端计算机102已被数据存储服务器106认证。随后,在步骤612中,客户端计算机从第二仓库服务器接收第二密钥(或第二加密秘密)。如上所述,第一密钥(秘密)和第二密钥(秘密)可以要求不同的凭证。例如,第一密钥或秘密可以只提供对加密数据的标题或其他部分的访问,而第一和第二密钥的组合提供对该数据的另一部分或整体的访问。在特定示例中,第一密钥/秘密可以要求第一组或第二组中的组成员身份,而第二密钥/秘密可以要求第二组中的组成员身份。
在另一实施例中,客户端计算机向第一仓库服务器和第二仓库服务器两者同时传送验证令牌,而不是在向第二仓库服务器传送验证令牌之前等待从第一仓库服务器接收第一密钥。
在两个仓库服务器的情况下,在步骤614中,在客户端计算机102已收到两个解密密钥之后,数据插件204使用各种密钥生成方法和协议使用各密钥/秘密生成解密密钥。解密密钥可以随后用于解密从存储服务器收到的加密数据。
图7是说明用于数据存储服务器诸如数据存储服务器106存储加密数据以管理访问权的过程的流程图。
在步骤702中,数据存储服务器106接收用于解密加密数据的用户认证请求。在一个实施例中,用户认证请求来自客户端装置,诸如客户端计算机102。该用户认证请求包括用户凭证,诸如用户名和密码。在步骤704中,数据存储服务器随后使用用户凭证将用户认证到域。在一个示例实施例中,实体/组织可以使用域来管理员工对计算资源的访问。如上所述,可以被使用的域软件的示例包括华盛顿州雷德蒙德的Active Directory。如果在步骤704中用户凭证不是有效的,那么,数据存储服务器106向计算装置返回错误消息。
在域内的每个用户可以被分配到该域内的组。例如,如果用户是组织内的会计,用户可以与该域上称为“会计”的组相关联。在将用户认证到域之后,该域可以在步骤706确定用户的域组成员身份,并向数据存储服务器106传送用户的域组成员身份信息。在一个示例实施例中,通过将用户认证到域,组织能够在与域服务器分开的服务器上存储加密数据,同时仍然基于组成员身份控制访问权。在不同于域服务器的服务器上存储加密数据的某些优点可以包括:该组织的员工或承包商能够从世界各地更容易访问公司,或该组织能够更好管理域服务器的安全和访问域服务器的安全。另外或另选地,该公司或组织因此可以减轻必须保持大数据存储的费用。
在步骤708中,数据存储服务器106随后传送与用户的认证请求相关联的验证令牌。该验证令牌可以包括用户的域组成员身份信息。例如,数据存储服务器106可以向客户端计算机装置102传送指示用户是“会计”组的成员的验证令牌。在另一示例中,验证令牌可以指定分配给用户的访问权等级。在此类示例中,验证令牌因此可以用于检索在用户的或组的访问权内的多个文件。
数据存储服务器106随后接收与用户的验证令牌相关联的确认请求。该确认请求可以从控制加密密钥的仓库服务器接收。该确认请求搜索以确认客户端装置被认证到数据存储服务器,并响应于所述认证接收该验证令牌。在一个示例中,该确认请求可以包括从用户装置收到的验证令牌。在其他示例中,验证令牌可以不包括在确认请求中。相反,用户或令牌标识符可以在确认请求中引用。
可替换地或另外地,如果组成员身份信息未包括在验证令牌中,数据存储服务器106可以从仓库服务器210接收证实组成员身份信息的请求。作为响应,数据存储服务器106可以向仓库服务器210发送请求用户的组成员身份信息。在特定示例中,数据存储服务器106可以从域服务器请求这个信息并向仓库服务器传送该数据。
如果验证令牌被认证和/或用户的域组成员身份被确认,那么,在步骤712中,数据存储服务器106随后向仓库服务器传送指示用户被认证到数据存储服务器的确认。否则,数据存储服务器106可以指示该确认未被证实并导致仓库服务器否决密钥检索请求。在某些示例中,数据存储服务器106可以在收到确认请求时再次确认域服务器的用户域组成员身份。在其他示例中,数据存储服务器可以独立确认验证令牌和/或用户的域组成员身份,而无需响应于该请求与域服务器互动。
图8是说明仓库服务器诸如仓库服务器210的处理的流程图。如上所述,仓库服务器保持加密和解密密钥/秘密。可以有一个或多个仓库服务器。在一个实施例中,仓库服务器可以被定位在与数据存储服务器不同的物理位置,以及在另一实施例中,多个仓库服务器可以被定位在彼此不同的物理位置。在替代实施例中,多个仓库服务器全部可以被定位在相同的物理位置。在另一实施例中,多个仓库服务器作为虚拟机存在于一个物理机器上。
在步骤802中,仓库服务器从计算装置诸如客户端计算机102接收验证令牌。在一个实施例中,验证令牌指示从其收到验证令牌的数据存储服务器。验证令牌还可以提供与用户相关联的组成员身份信息。
在步骤804中,仓库服务器向数据存储服务器传送作为确认请求的一部分的验证令牌。该确认请求搜索以证实该计算装置被认证到数据存储服务器。
如果用户未被认证到数据存储服务器,那么,仓库服务器接收错误消息。如果计算装置被认证到数据存储服务器,那么在步骤806中,仓库服务器接收指示计算装置被认证到数据存储服务器的确认。
在从数据存储服务器收到确认时,仓库服务器随后在步骤808中向计算装置传送用于解密加密文件的解密密钥。但是,如果收到错误消息,仓库服务器可以改为传送指示证实未被数据存储站点确认的否决或拒绝消息。可替换地或另选地,在向客户端装置传送解密密钥/秘密之前,仓库服务器可以确定用户是否被授权接收解密密钥/秘密和/或访问加密文件。例如,仓库服务器可以比较用户的域组成员身份和与所存储的解密密钥/秘密相关联的组信息。所存储的与解密密钥/秘密相关联的组消息可以识别允许接收密钥/秘密的各组。在另一示例中,加密文件可以包括元数据或被授权访问加密文件的一个或多个组的其他指示。这个信息随后可以被仓库服务器比较用户的组成员身份以确定请求用户是否被授权访问数据和接收解密秘密/密钥。
在某些布置中,除了或可替换地与数据存储服务器确认验证以外,仓库服务器可以被配置成接触域服务器以确认域组成员身份。因此,在从客户端装置收到验证令牌时,仓库服务器可以接触域服务器(无需与数据存储服务器通信)以确认用户的认证状态或域组成员身份。仓库服务器还可以确认数据存储服务器的验证令牌(例如,除了接触域服务器用于确认以外)。仓库服务器可以在向客户端装置提供解密密钥或秘密之前,要求来自数据存储服务器以及域服务器两者的确认。
在其他实施例中,域服务器和/或数据存储服务器还可以被配置成验证用户被授权来访问所请求的加密文件和接收对应的解密密钥/秘密。
图9是说明用于终端装置接收和处理“失效命令”命令的过程的流程图。在一个实施例中,终端装置是客户端计算机102。
在一个实施例中,在计算装置上的安全代理可以被配置成:或者无论何时计算装置发现新的网络连接时以预定间隔、或者在其他时间和/或在其他情况下,周期接触服务器、认证服务器、安全服务器或其他实体。安全代理可以包括用于与服务器通信并删除任何本地存储的解密密钥和加密数据的服务、守护程序、应用、例程或其他可执行代码。该接触在某些示例中也可以被手动初始化。在某些实施例中,服务器可以被配置成发出“失效命令”、令牌或其他消息指示安全代理应当删除加密数据。例如,如果顾问的合同过期或用户与公司期满,或用户通知组织他们的计算装置已被盗或以其他方式泄露,管理员可以配置服务器向计算装置发出失效命令以删除用户标题(例如,不删除管理员标题)并阻止用户访问加密数据。
在另一示例中,在计算装置离线超出一定期限的情况下,安全代理还可以充当“死人开关”。安全代理可以执行计时器的功能。如果表示“租赁期”或用户能够使用加密数据多久而无需与安全服务器通信的计时器超时,那么,安全代理可以自动删除解密密钥和/或加密数据(例如,没有接触数据存储服务器、仓库服务器等)。这可以被执行以防止攻击者使用蛮力攻击解密密钥,同时保持计算装置离线,或以其他方式迫使用户定期检查服务器(附带检索任何等待发出的失效命令)。
在步骤902中,客户端计算机102向仓库服务器传送装置标识符。例如,这可以是MAC地址、IP地址、主机名称、机器名称或识别装置102的某些其他唯一标识符。
在步骤904中,客户端计算机102随后从仓库服务器接收装置状态。如果装置状态是空的或“好的”或不同于失效命令状态的其他状态,那么客户端计算机102继续认证过程。
这可以是装置丢失或被盗。在另一情况下,可以是用户不再具有访问加密数据的权限,诸如如果用户不再在组织内工作和控制加密数据。管理员可以访问一个或多个仓库服务器并激活或以其他方式授权装置失效命令。管理员可以激活用于每个用户装置的失效命令,诸如如果用户不再在组织内工作。可替换地,可以是管理员只希望触发用于单个装置的失效命令,但是继续允许用户访问第二用户装置上的加密数据。例如,如果用户的蜂窝电话具有安装的应用,该应用允许用户访问或查看加密数据,并且用户的蜂窝电话丢失或被盗,那么否决解密访问并擦除用户蜂窝电话的加密数据可以是被期望的。
在步骤906中,响应于在步骤904从仓库服务器收到失效命令状态,客户端计算机102从客户端计算机102删除解密密钥。可以是用户最近已被仓库服务器认证,因此解密密钥被存储在存储器113中。可替换地,如果客户端已将加密数据保存到本地存储121,那么,可以有不同于存储在客户端计算机102上的服务器解密密钥的本地解密密钥。在从仓库服务器收到904失效命令状态时,客户端计算机立即阻止解密密钥通过客户端计算机102传送。客户端计算机102关闭或以其他方式禁用对解密文件或数据的访问,并从存储器113擦除解密密钥。客户端计算机102也擦除存储在本地存储121中的任何和全部本地解密密钥。当删除本地存储的解密密钥时,客户端计算机102可以使用安全数据擦除技术诸如多个随机读/写、或另一安全数据擦除技术以确保解密密钥不能在以后的时间恢复。
在步骤908中,客户端计算机102可以可选地从客户端计算机102删除加密文件。如上所述,可以有被上传到存储器113的解密文件。在收到失效命令状态后,客户端计算机102立即关闭或禁用对解密文件的访问。在步骤908中,客户端计算机也从存储器113删除解密或仍然加密的文件。如果任何加密文件被存储在本地存储121中,那么,客户端计算机102删除本地存储121的加密文件。在某些实施例中,客户端计算机102使用安全数据擦除技术以确保加密数据不能在以后的时间恢复。
在另一示例实施例中,失效命令通过只去除加密数据来去除终端用户对数据的访问。在进一步示例实施例中,失效命令通过去除密钥信息和加密数据两者来去除对数据的访问。
如上所述,在一个实施例中,如果经由失效命令或计时器到期而删除解密密钥,那么,加密数据可以不被丢弃。如果用户仍然有权限或是组织的一部分,那么,用户可以登录或以其他方式认证到服务器并检索加密秘密或解密密钥以解密加密的数据。如果加密数据被删除,在再次认证后,客户端计算机102可以再次上传或下载加密数据。因此,本文讨论的方法和系统提供没有破坏公司信息的附加安全。
应当理解,上述的系统可以提供上述组件中的任何一个或每一个中的多个,并且这些组件可以被或者设置在独立的机器上,或者在某些实施例中设置在分布式系统中的多个机器上。上述的系统和方法可以被实施为使用编程和/或工程技术以产生软件、固件、硬件或它们的任何组合的制造商的方法、设备或制品。此外,上述的系统和方法可以被设置为在制造商的一个或多个制品上或制品中实施的一个或多个计算机可读程序。本文所使用的术语“制造商的制品”旨在包含可从一个或多个计算机可读装置、固件、可编程逻辑、存储器件(例如,EEPROM、ROM、PROM、RAM、SRAM等)、硬件(例如,集成电路芯片、现场可编程门阵列(FPGA)、专用集成电路(ASIC)等)、电子装置、计算机可读非易失性存储单元(例如,CD-ROM、软盘、硬盘驱动器等)访问并在其中实施的代码或逻辑。制造商的制品可以从文件服务器访问,该文件服务器经由网络传输线、无线传输介质、通过空间传播的信号、无线电波、红外信号等提供对计算机可读程序的访问。制造商的制品可以是闪存卡或磁带。制造商的制品包括在计算机可读介质中实施的硬件逻辑以及软件或可编程代码,计算机可读介质通过处理器执行。一般来说,可以以任何编程语言诸如LISP、PERL、C、C++、C#、PROLOG或任何字节代码语言诸如JAVA实施计算机可读程序。软件程序可以作为目标代码被存储在制造商的一个或多个制品上或制品中。
虽然已对各方法和系统的不同实施例进行了描述,但是,这些实施例是示例性的,并且不以任何方式限制所述方法或系统的范围。在没有脱离所述方法和系统的最广义范围的情况下,相关领域的技术人员可以改变所述方法和系统的形式和细节。因此,本文所述的方法和系统的范围不应仅限于上述任意一个示例性实施例,而是应当根据附属权利要求和其等效物来定义。
Claims (24)
1.一种提供数据访问管理的方法,包括:
从客户端装置且通过存储加密数据的数据存储服务器接收用于解密所述加密数据的用户认证请求;
通过所述数据存储服务器向所述客户端装置传送与所述用户认证请求相关联的验证令牌,其中,所述验证令牌指示所述客户端装置已被成功认证;
通过所述数据存储服务器从不同于所述客户端装置的第二装置接收与所述验证令牌相关联的确认请求;并且
通过所述数据存储服务器向所述第二装置传送指示所述客户端装置被认证到所述数据存储服务器的确认。
2.根据权利要求1所述的方法,还包括在传送所述验证令牌之前:
将所述客户端装置认证到域;以及
基于所述客户端装置的域组成员身份确定所述客户端装置可访问的数据,
其中,域组包括分别与多个客户端装置相关联的多个域组成员身份。
3.根据权利要求1所述的方法,其中,所述第二装置包括第一密钥服务器,其中所述第一密钥服务器被配置成响应于从计算装置收到所述验证令牌而发送所述确认请求,且其中所述第一密钥服务器被配置成存储用于解密所述加密数据的解密密钥的至少一部分。
4.根据权利要求3所述的方法,还包括:
通过所述数据存储服务器从第二密钥服务器接收与所述验证令牌相关联的第二确认请求;以及
通过所述数据存储服务器向第二密钥服务器传送指示所述客户端装置被认证到所述数据存储服务器的第二确认。
5.根据权利要求3所述的方法,其中,所述第一密钥服务器或第二密钥服务器中的一个或多个被配置成向所述计算装置传送失效命令,所述失效命令包括删除所述解密密钥或所述加密数据中的一个或多个的指令。
6.根据权利要求1所述的方法,其中,所述确认与密钥相关联,所述密钥是解密所述加密数据所需要的。
7.根据权利要求5所述的方法,其中,所述失效命令由密钥服务器管理员授权。
8.根据权利要求3所述的方法,包括:
通过所述客户端装置,从所述第一密钥服务器接收用于解密所述加密数据所需的第一密钥;
通过所述客户端装置,从第二密钥服务器接收用于解密所述加密数据所需的第二密钥;以及
使用所述第一密钥和所述第二密钥生成被用于解密所述加密数据的解密密钥。
9.一种数据存储服务器,其被配置成:
从客户端装置接收用于解密加密数据的用户认证请求;
向所述客户端装置传送与所述用户认证请求相关联的验证令牌,所述验证令牌指示所述客户端装置被成功认证;
从不同于所述客户端装置的第二装置接收与所述验证令牌相关联的确认请求;以及
向所述第二装置传送指示所述客户端装置被认证的确认。
10.根据权利要求9所述的数据存储服务器,还被配置成:
将所述客户端装置认证到域;以及
基于所述客户端装置在所述域的域组中的成员身份,确定所述客户端装置可访问的数据,
其中,所述域组包括分别与多个客户端装置相关联的多个成员身份。
11.根据权利要求9所述的数据存储服务器,其中,所述第二装置包括第一密钥服务器,其中所述第一密钥服务器被配置成响应于从计算装置接收到所述验证令牌而发送所述确认请求,且其中所述第一密钥服务器被配置成存储用于解密所述加密数据的解密密钥的至少一部分。
12.根据权利要求11所述的数据存储服务器,还被配置成:
从第二密钥服务器接收与所述验证令牌相关联的第二确认请求;以及
向第二密钥服务器传送指示所述客户端装置被认证的第二确认。
13.根据权利要求11所述的数据存储服务器,其中,所述第一密钥服务器或第二密钥服务器中的一个或多个被配置成向所述计算装置传送失效命令,所述失效命令包括至所述计算装置的删除所述解密密钥或所述加密数据中的一个或多个的指令。
14.根据权利要求13所述的数据存储服务器,其中,所述失效命令由密钥服务器管理员授权。
15.根据权利要求11所述的数据存储服务器,还被配置成:
通过所述客户端装置,从所述第一密钥服务器接收用于解密所述加密数据所需要的第一密钥;
通过所述客户端装置,从第二密钥服务器接收用于解密所述加密数据所需要的第二密钥;以及
使用所述第一密钥和所述第二密钥生成被用于解密所述加密数据的解密密钥。
16.根据权利要求9所述的数据存储服务器,其中,所述确认与用于解密所述加密数据所需要的密钥相关联。
17.一种提供数据访问管理的系统,其包括:
用于从客户端装置接收用于解密加密数据的用户认证请求的模块;
用于向所述客户端装置传送与所述用户认证请求相关联的验证令牌的模块,所述验证令牌指示所述客户端装置被成功认证;
用于从不同于所述客户端装置的第二装置接收与所述验证令牌相关 联的确认请求的模块;以及
用于向所述第二装置传送指示所述客户端装置被认证的确认的模块。
18.根据权利要求17所述的系统,还包括:
用于将所述客户端装置认证到域的模块;以及
用于基于所述客户端装置在所述域的域组中的成员身份,确定所述客户端装置可访问的数据的模块,
其中,所述域组包括分别与多个客户端装置相关联的多个成员身份。
19.根据权利要求17所述的系统,其中,所述第二装置包括第一密钥服务器,其中所述第一密钥服务器被配置成响应于从计算装置接收到所述验证令牌发送所述确认请求,且其中所述第一密钥服务器被配置成存储用于解密所述加密数据的解密密钥的至少一部分。
20.根据权利要求19所述的系统,还包括:
用于从第二密钥服务器接收与所述验证令牌相关联的第二确认请求的模块;以及
用于向第二密钥服务器传送指示所述客户端装置被认证的第二确认的模块。
21.根据权利要求19所述的系统,其中,所述第一密钥服务器或第二密钥服务器中的一个或多个被配置成向所述计算装置传送失效命令,所述失效命令包括至所述计算装置的删除所述解密密钥或所述加密数据中的一个或多个的指令。
22.根据权利要求17所述的系统,其中,所述确认与用于解密所述加密数据所需要的密钥相关联。
23.根据权利要求21所述的系统,其中,所述失效命令由密钥服务器管理员授权。
24.根据权利要求19所述的系统,还包括:
用于通过所述客户端装置,从所述第一密钥服务器接收用于解密所述加密数据所需要的第一密钥的模块;
用于通过所述客户端装置,从第二密钥服务器接收用于解密所述加密数据所需要的第二密钥的模块;以及
用于使用所述第一密钥和所述第二密钥生成被用于解密所述加密数据的解密密钥的模块。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/712,333 US8997197B2 (en) | 2012-12-12 | 2012-12-12 | Encryption-based data access management |
| US13/712,333 | 2012-12-12 | ||
| PCT/US2013/068851 WO2014092890A1 (en) | 2012-12-12 | 2013-11-07 | Encryption-based data access management |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104885093A CN104885093A (zh) | 2015-09-02 |
| CN104885093B true CN104885093B (zh) | 2017-08-25 |
Family
ID=49640189
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380064196.4A Active CN104885093B (zh) | 2012-12-12 | 2013-11-07 | 基于加密的数据访问管理 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US8997197B2 (zh) |
| EP (2) | EP2932430B1 (zh) |
| CN (1) | CN104885093B (zh) |
| WO (1) | WO2014092890A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108011879A (zh) * | 2017-11-30 | 2018-05-08 | 广州酷狗计算机科技有限公司 | 文件加密、解密的方法、装置、设备和存储介质 |
| CN109510822A (zh) * | 2018-11-08 | 2019-03-22 | 蓝信移动(北京)科技有限公司 | 获取公私钥的方法和系统 |
Families Citing this family (325)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8874935B2 (en) | 2011-08-30 | 2014-10-28 | Microsoft Corporation | Sector map-based rapid data encryption policy compliance |
| SG11201403482TA (en) | 2011-12-21 | 2014-07-30 | Ssh Comm Security Oyj | Automated access, key, certificate, and credential management |
| US10003458B2 (en) | 2011-12-21 | 2018-06-19 | Ssh Communications Security Corp. | User key management for the secure shell (SSH) |
| US8898764B2 (en) * | 2012-04-19 | 2014-11-25 | Microsoft Corporation | Authenticating user through web extension using token based authentication scheme |
| US9286491B2 (en) | 2012-06-07 | 2016-03-15 | Amazon Technologies, Inc. | Virtual service provider zones |
| US10084818B1 (en) | 2012-06-07 | 2018-09-25 | Amazon Technologies, Inc. | Flexibly configurable data modification services |
| US9590959B2 (en) | 2013-02-12 | 2017-03-07 | Amazon Technologies, Inc. | Data security service |
| US10075471B2 (en) | 2012-06-07 | 2018-09-11 | Amazon Technologies, Inc. | Data loss prevention techniques |
| US9417922B2 (en) | 2012-12-03 | 2016-08-16 | Cutting Edge Consulting Associates, Inc. | Systems and methods for protecting an identity in network communications |
| US9608813B1 (en) | 2013-06-13 | 2017-03-28 | Amazon Technologies, Inc. | Key rotation techniques |
| US9300464B1 (en) | 2013-02-12 | 2016-03-29 | Amazon Technologies, Inc. | Probabilistic key rotation |
| US9547771B2 (en) | 2013-02-12 | 2017-01-17 | Amazon Technologies, Inc. | Policy enforcement with associated data |
| US10467422B1 (en) | 2013-02-12 | 2019-11-05 | Amazon Technologies, Inc. | Automatic key rotation |
| US10210341B2 (en) * | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Delayed data access |
| US10211977B1 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Secure management of information using a security module |
| US9705674B2 (en) | 2013-02-12 | 2017-07-11 | Amazon Technologies, Inc. | Federated key management |
| US9367697B1 (en) | 2013-02-12 | 2016-06-14 | Amazon Technologies, Inc. | Data security with a security module |
| US9848000B2 (en) * | 2013-04-28 | 2017-12-19 | Hewlett-Packard Development Company, L.P. | Resource access |
| US20140344570A1 (en) | 2013-05-20 | 2014-11-20 | Microsoft Corporation | Data Protection For Organizations On Computing Devices |
| TW201445995A (zh) * | 2013-05-31 | 2014-12-01 | Hon Hai Prec Ind Co Ltd | 數位內容處理系統及方法 |
| IL228523A0 (en) * | 2013-09-17 | 2014-03-31 | Nds Ltd | Processing private data in a cloud-based environment |
| US10116697B2 (en) * | 2013-09-20 | 2018-10-30 | Open Text Sa Ulc | System and method for geofencing |
| US10824756B2 (en) | 2013-09-20 | 2020-11-03 | Open Text Sa Ulc | Hosted application gateway architecture with multi-level security policy and rule promulgations |
| EP2851833B1 (en) | 2013-09-20 | 2017-07-12 | Open Text S.A. | Application Gateway Architecture with Multi-Level Security Policy and Rule Promulgations |
| DK3063919T3 (da) * | 2013-10-28 | 2017-11-06 | Sepior Aps | System og fremgangsmåde til håndtering af fortrolige data |
| US11630585B1 (en) | 2016-08-25 | 2023-04-18 | Pure Storage, Inc. | Processing evacuation events in a storage array that includes a plurality of storage devices |
| US10223538B1 (en) | 2013-11-12 | 2019-03-05 | Amazon Technologies, Inc. | Preventing persistent storage of cryptographic information |
| US9235714B1 (en) | 2013-11-12 | 2016-01-12 | Amazon Technologies, Inc. | Preventing persistent storage of cryptographic information using signaling |
| US9231923B1 (en) * | 2013-11-12 | 2016-01-05 | Amazon Technologies, Inc. | Secure data destruction in a distributed environment using key protection mechanisms |
| US20150188910A1 (en) * | 2013-12-26 | 2015-07-02 | Iswind Digital Engineering Inc. | Policy group based file protection system, file protection method thereof, and computer readable medium |
| CN104765999B (zh) * | 2014-01-07 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 一种对用户资源信息进行处理的方法、终端及服务器 |
| US10380352B2 (en) * | 2014-02-04 | 2019-08-13 | International Business Machines Corporation | Document security in enterprise content management systems |
| KR102188062B1 (ko) * | 2014-02-28 | 2020-12-07 | 삼성전자 주식회사 | 데이터 저장 장치의 동작 방법과 상기 데이터 저장 장치를 포함하는 시스템의 동작 방법 |
| CN104885055B (zh) * | 2014-03-19 | 2020-12-15 | 华为终端有限公司 | 一种应用数据同步的方法及装置 |
| US10615967B2 (en) | 2014-03-20 | 2020-04-07 | Microsoft Technology Licensing, Llc | Rapid data protection for storage devices |
| US9397835B1 (en) | 2014-05-21 | 2016-07-19 | Amazon Technologies, Inc. | Web of trust management in a distributed system |
| US9419952B2 (en) * | 2014-06-05 | 2016-08-16 | Stmicroelectronics (Grenoble 2) Sas | Memory encryption method compatible with a memory interleaved system and corresponding system |
| US9619667B2 (en) * | 2014-06-13 | 2017-04-11 | BicDroid Inc. | Methods, systems and computer program product for providing encryption on a plurality of devices |
| US9438421B1 (en) | 2014-06-27 | 2016-09-06 | Amazon Technologies, Inc. | Supporting a fixed transaction rate with a variably-backed logical cryptographic key |
| US10212136B1 (en) * | 2014-07-07 | 2019-02-19 | Microstrategy Incorporated | Workstation log-in |
| TW201608408A (zh) * | 2014-08-18 | 2016-03-01 | Innostor Technology Corp | Usb儲存裝置之無線認證系統及方法 |
| US9825945B2 (en) | 2014-09-09 | 2017-11-21 | Microsoft Technology Licensing, Llc | Preserving data protection with policy |
| US9866392B1 (en) | 2014-09-15 | 2018-01-09 | Amazon Technologies, Inc. | Distributed system web of trust provisioning |
| US9853812B2 (en) | 2014-09-17 | 2017-12-26 | Microsoft Technology Licensing, Llc | Secure key management for roaming protected content |
| US9900295B2 (en) | 2014-11-05 | 2018-02-20 | Microsoft Technology Licensing, Llc | Roaming content wipe actions across devices |
| US10043015B2 (en) * | 2014-11-20 | 2018-08-07 | At&T Intellectual Property I, L.P. | Method and apparatus for applying a customer owned encryption |
| GB2533098B (en) | 2014-12-09 | 2016-12-14 | Ibm | Automated management of confidential data in cloud environments |
| US9483381B2 (en) * | 2014-12-15 | 2016-11-01 | Dell Products L.P. | Obfuscating debugging filenames |
| EP3702946B1 (en) * | 2014-12-31 | 2021-10-20 | Citrix Systems Inc. | Shared secret vault for applications with single sign on |
| US9544301B2 (en) * | 2015-01-28 | 2017-01-10 | International Business Machines Corporation | Providing data security with a token device |
| CN104636656B (zh) * | 2015-02-11 | 2017-09-22 | 深圳市美贝壳科技有限公司 | 存储设备加载控制方法 |
| US9531536B2 (en) * | 2015-03-04 | 2016-12-27 | Ssh Communications Oyj | Shared keys in a computerized system |
| US9706394B2 (en) | 2015-03-06 | 2017-07-11 | Apple Inc. | Communicating messages with intermittently available encryption credentials |
| US10469477B2 (en) | 2015-03-31 | 2019-11-05 | Amazon Technologies, Inc. | Key export techniques |
| US10397192B2 (en) * | 2015-04-18 | 2019-08-27 | DvSum, LLC | Remotely accessing data on a secured server |
| US11102298B1 (en) | 2015-05-26 | 2021-08-24 | Pure Storage, Inc. | Locally providing cloud storage services for fleet management |
| US9716755B2 (en) | 2015-05-26 | 2017-07-25 | Pure Storage, Inc. | Providing cloud storage array services by a local storage array in a data center |
| US9594678B1 (en) | 2015-05-27 | 2017-03-14 | Pure Storage, Inc. | Preventing duplicate entries of identical data in a storage device |
| US11503031B1 (en) | 2015-05-29 | 2022-11-15 | Pure Storage, Inc. | Storage array access control from cloud-based user authorization and authentication |
| US9300660B1 (en) | 2015-05-29 | 2016-03-29 | Pure Storage, Inc. | Providing authorization and authentication in a cloud for a user of a storage array |
| US9444822B1 (en) | 2015-05-29 | 2016-09-13 | Pure Storage, Inc. | Storage array access control from cloud-based user authorization and authentication |
| US10021170B2 (en) * | 2015-05-29 | 2018-07-10 | Pure Storage, Inc. | Managing a storage array using client-side services |
| US9588691B2 (en) | 2015-06-10 | 2017-03-07 | Pure Storage, Inc. | Dynamically managing control information in a storage device |
| US9594512B1 (en) | 2015-06-19 | 2017-03-14 | Pure Storage, Inc. | Attributing consumed storage capacity among entities storing data in a storage array |
| US10310740B2 (en) | 2015-06-23 | 2019-06-04 | Pure Storage, Inc. | Aligning memory access operations to a geometry of a storage device |
| US9853820B2 (en) | 2015-06-30 | 2017-12-26 | Microsoft Technology Licensing, Llc | Intelligent deletion of revoked data |
| US10296236B2 (en) | 2015-07-01 | 2019-05-21 | Pure Storage, Inc. | Offloading device management responsibilities from a storage device in an array of storage devices |
| US9892071B2 (en) | 2015-08-03 | 2018-02-13 | Pure Storage, Inc. | Emulating a remote direct memory access (‘RDMA’) link between controllers in a storage array |
| US9851762B1 (en) | 2015-08-06 | 2017-12-26 | Pure Storage, Inc. | Compliant printed circuit board (‘PCB’) within an enclosure |
| US11625181B1 (en) | 2015-08-24 | 2023-04-11 | Pure Storage, Inc. | Data tiering using snapshots |
| US10198194B2 (en) | 2015-08-24 | 2019-02-05 | Pure Storage, Inc. | Placing data within a storage device of a flash array |
| US11294588B1 (en) | 2015-08-24 | 2022-04-05 | Pure Storage, Inc. | Placing data within a storage device |
| US9900325B2 (en) | 2015-10-09 | 2018-02-20 | Microsoft Technology Licensing, Llc | Passive encryption of organization data |
| US10514978B1 (en) | 2015-10-23 | 2019-12-24 | Pure Storage, Inc. | Automatic deployment of corrective measures for storage arrays |
| US9384082B1 (en) | 2015-10-23 | 2016-07-05 | Pure Storage, Inc. | Proactively providing corrective measures for storage arrays |
| US11360844B1 (en) | 2015-10-23 | 2022-06-14 | Pure Storage, Inc. | Recovery of a container storage provider |
| US10284232B2 (en) | 2015-10-28 | 2019-05-07 | Pure Storage, Inc. | Dynamic error processing in a storage device |
| US9740414B2 (en) | 2015-10-29 | 2017-08-22 | Pure Storage, Inc. | Optimizing copy operations |
| US10374868B2 (en) | 2015-10-29 | 2019-08-06 | Pure Storage, Inc. | Distributed command processing in a flash storage system |
| US10353777B2 (en) | 2015-10-30 | 2019-07-16 | Pure Storage, Inc. | Ensuring crash-safe forward progress of a system configuration update |
| US11593075B2 (en) | 2015-11-03 | 2023-02-28 | Open Text Sa Ulc | Streamlined fast and efficient application building and customization systems and methods |
| US9923930B2 (en) | 2015-11-19 | 2018-03-20 | Bank Of America Corporation | Selectively enabling and disabling biometric authentication based on mobile device state information |
| US11762764B1 (en) | 2015-12-02 | 2023-09-19 | Pure Storage, Inc. | Writing data in a storage system that includes a first type of storage device and a second type of storage device |
| US9760479B2 (en) | 2015-12-02 | 2017-09-12 | Pure Storage, Inc. | Writing data in a storage system that includes a first type of storage device and a second type of storage device |
| US10326836B2 (en) | 2015-12-08 | 2019-06-18 | Pure Storage, Inc. | Partially replicating a snapshot between storage systems |
| US11616834B2 (en) | 2015-12-08 | 2023-03-28 | Pure Storage, Inc. | Efficient replication of a dataset to the cloud |
| US11347697B1 (en) | 2015-12-15 | 2022-05-31 | Pure Storage, Inc. | Proactively optimizing a storage system |
| US10162835B2 (en) | 2015-12-15 | 2018-12-25 | Pure Storage, Inc. | Proactive management of a plurality of storage arrays in a multi-array system |
| US10581617B2 (en) | 2015-12-23 | 2020-03-03 | Mcafee, Llc | Method and apparatus for hardware based file/document expiry timer enforcement |
| JP6854529B2 (ja) * | 2015-12-24 | 2021-04-07 | ヘヴンテック プロプライエタリー リミテッドHaventec Pty Ltd | 改良型ストレージシステム |
| US10346043B2 (en) | 2015-12-28 | 2019-07-09 | Pure Storage, Inc. | Adaptive computing for data compression |
| US9886314B2 (en) | 2016-01-28 | 2018-02-06 | Pure Storage, Inc. | Placing workloads in a multi-array system |
| CN105577691B (zh) * | 2016-02-03 | 2019-06-18 | 飞天诚信科技股份有限公司 | 一种安全访问方法和服务器 |
| US10231128B1 (en) | 2016-02-08 | 2019-03-12 | Microstrategy Incorporated | Proximity-based device access |
| US10855664B1 (en) | 2016-02-08 | 2020-12-01 | Microstrategy Incorporated | Proximity-based logical access |
| US10572460B2 (en) | 2016-02-11 | 2020-02-25 | Pure Storage, Inc. | Compressing data in dependence upon characteristics of a storage system |
| US9760297B2 (en) | 2016-02-12 | 2017-09-12 | Pure Storage, Inc. | Managing input/output (‘I/O’) queues in a data storage system |
| US11388037B2 (en) | 2016-02-25 | 2022-07-12 | Open Text Sa Ulc | Systems and methods for providing managed services |
| US11995315B2 (en) | 2016-03-16 | 2024-05-28 | Pure Storage, Inc. | Converting data formats in a storage system |
| US9959043B2 (en) | 2016-03-16 | 2018-05-01 | Pure Storage, Inc. | Performing a non-disruptive upgrade of data in a storage system |
| WO2017171810A1 (en) * | 2016-03-31 | 2017-10-05 | Hewlett Packard Enterprise Development Lp | Multi-credential authentication |
| US9602477B1 (en) * | 2016-04-14 | 2017-03-21 | Wickr Inc. | Secure file transfer |
| US11809727B1 (en) | 2016-04-27 | 2023-11-07 | Pure Storage, Inc. | Predicting failures in a storage system that includes a plurality of storage devices |
| US11112990B1 (en) | 2016-04-27 | 2021-09-07 | Pure Storage, Inc. | Managing storage device evacuation |
| US9841921B2 (en) | 2016-04-27 | 2017-12-12 | Pure Storage, Inc. | Migrating data in a storage array that includes a plurality of storage devices |
| US9811264B1 (en) | 2016-04-28 | 2017-11-07 | Pure Storage, Inc. | Deploying client-specific applications in a storage system utilizing redundant system resources |
| US10303390B1 (en) | 2016-05-02 | 2019-05-28 | Pure Storage, Inc. | Resolving fingerprint collisions in flash storage system |
| US11231858B2 (en) | 2016-05-19 | 2022-01-25 | Pure Storage, Inc. | Dynamically configuring a storage system to facilitate independent scaling of resources |
| US9507532B1 (en) | 2016-05-20 | 2016-11-29 | Pure Storage, Inc. | Migrating data in a storage array that includes a plurality of storage devices and a plurality of write buffer devices |
| US10691567B2 (en) | 2016-06-03 | 2020-06-23 | Pure Storage, Inc. | Dynamically forming a failure domain in a storage system that includes a plurality of blades |
| US10529150B2 (en) | 2016-06-30 | 2020-01-07 | Aviation Systems LLC | Remote data loading for configuring wireless communication unit for communicating engine data |
| US10681132B2 (en) | 2016-06-30 | 2020-06-09 | Ge Aviation Systems Llc | Protocol for communicating engine data to wireless communication unit |
| US10470114B2 (en) | 2016-06-30 | 2019-11-05 | General Electric Company | Wireless network selection |
| US10712377B2 (en) | 2016-06-30 | 2020-07-14 | Ge Aviation Systems Llc | Antenna diagnostics for wireless communication unit for communicating engine data |
| US10200110B2 (en) | 2016-06-30 | 2019-02-05 | Ge Aviation Systems Llc | Aviation protocol conversion |
| US10318451B2 (en) | 2016-06-30 | 2019-06-11 | Ge Aviation Systems Llc | Management of data transfers |
| US10444748B2 (en) | 2016-06-30 | 2019-10-15 | Ge Aviation Systems Llc | In-situ measurement logging by wireless communication unit for communicating engine data |
| US10764747B2 (en) | 2016-06-30 | 2020-09-01 | Ge Aviation Systems Llc | Key management for wireless communication system for communicating engine data |
| US10467016B2 (en) | 2016-06-30 | 2019-11-05 | General Electric Company | Managing an image boot |
| US10819601B2 (en) | 2016-06-30 | 2020-10-27 | Ge Aviation Systems Llc | Wireless control unit server for conducting connectivity test |
| US10452310B1 (en) | 2016-07-13 | 2019-10-22 | Pure Storage, Inc. | Validating cabling for storage component admission to a storage array |
| US11706895B2 (en) | 2016-07-19 | 2023-07-18 | Pure Storage, Inc. | Independent scaling of compute resources and storage resources in a storage system |
| US10459652B2 (en) | 2016-07-27 | 2019-10-29 | Pure Storage, Inc. | Evacuating blades in a storage array that includes a plurality of blades |
| US10474363B1 (en) | 2016-07-29 | 2019-11-12 | Pure Storage, Inc. | Space reporting in a storage system |
| US10581807B2 (en) * | 2016-08-29 | 2020-03-03 | International Business Machines Corporation | Using dispersal techniques to securely store cryptographic resources and respond to attacks |
| US10235229B1 (en) | 2016-09-07 | 2019-03-19 | Pure Storage, Inc. | Rehabilitating storage devices in a storage array that includes a plurality of storage devices |
| US10671439B1 (en) | 2016-09-07 | 2020-06-02 | Pure Storage, Inc. | Workload planning with quality-of-service (‘QOS’) integration |
| US11531577B1 (en) | 2016-09-07 | 2022-12-20 | Pure Storage, Inc. | Temporarily limiting access to a storage device |
| US11481261B1 (en) | 2016-09-07 | 2022-10-25 | Pure Storage, Inc. | Preventing extended latency in a storage system |
| US10908966B1 (en) | 2016-09-07 | 2021-02-02 | Pure Storage, Inc. | Adapting target service times in a storage system |
| US10146585B2 (en) | 2016-09-07 | 2018-12-04 | Pure Storage, Inc. | Ensuring the fair utilization of system resources using workload based, time-independent scheduling |
| US11960348B2 (en) | 2016-09-07 | 2024-04-16 | Pure Storage, Inc. | Cloud-based monitoring of hardware components in a fleet of storage systems |
| US11886922B2 (en) | 2016-09-07 | 2024-01-30 | Pure Storage, Inc. | Scheduling input/output operations for a storage system |
| US10331588B2 (en) | 2016-09-07 | 2019-06-25 | Pure Storage, Inc. | Ensuring the appropriate utilization of system resources using weighted workload based, time-independent scheduling |
| US10007459B2 (en) | 2016-10-20 | 2018-06-26 | Pure Storage, Inc. | Performance tuning in a storage system that includes one or more storage devices |
| US11379132B1 (en) | 2016-10-20 | 2022-07-05 | Pure Storage, Inc. | Correlating medical sensor data |
| US10162566B2 (en) | 2016-11-22 | 2018-12-25 | Pure Storage, Inc. | Accumulating application-level statistics in a storage system |
| US11620075B2 (en) | 2016-11-22 | 2023-04-04 | Pure Storage, Inc. | Providing application aware storage |
| US10348503B2 (en) * | 2016-12-12 | 2019-07-09 | Sap Portals Israel Ltd. | Client side actions validation |
| US10911238B2 (en) | 2016-12-14 | 2021-02-02 | Microsoft Technology Licensing, Llc | Offline protection of secrets |
| CN106411962B (zh) * | 2016-12-15 | 2019-08-27 | 中国科学技术大学 | 一种结合用户侧访问控制和云端访问控制的数据存储方法 |
| US10198205B1 (en) | 2016-12-19 | 2019-02-05 | Pure Storage, Inc. | Dynamically adjusting a number of storage devices utilized to simultaneously service write operations |
| CN106778345B (zh) * | 2016-12-19 | 2019-10-15 | 网易(杭州)网络有限公司 | 基于操作权限的数据的处理方法和装置 |
| US11461273B1 (en) | 2016-12-20 | 2022-10-04 | Pure Storage, Inc. | Modifying storage distribution in a storage system that includes one or more storage devices |
| US10489307B2 (en) | 2017-01-05 | 2019-11-26 | Pure Storage, Inc. | Periodically re-encrypting user data stored on a storage device |
| US11307998B2 (en) | 2017-01-09 | 2022-04-19 | Pure Storage, Inc. | Storage efficiency of encrypted host system data |
| CN106656476B (zh) * | 2017-01-18 | 2020-12-01 | 腾讯科技(深圳)有限公司 | 一种密码保护方法、装置及计算机可读存储介质 |
| US11340800B1 (en) | 2017-01-19 | 2022-05-24 | Pure Storage, Inc. | Content masking in a storage system |
| US10503700B1 (en) | 2017-01-19 | 2019-12-10 | Pure Storage, Inc. | On-demand content filtering of snapshots within a storage system |
| US11163624B2 (en) | 2017-01-27 | 2021-11-02 | Pure Storage, Inc. | Dynamically adjusting an amount of log data generated for a storage system |
| DE102017103519A1 (de) * | 2017-02-21 | 2018-08-23 | Uniscon Universal Identity Control Gmbh | Verfahren zum gesicherten Zugriff auf Daten |
| US11169727B1 (en) | 2017-03-10 | 2021-11-09 | Pure Storage, Inc. | Synchronous replication between storage systems with virtualized storage |
| US11442825B2 (en) | 2017-03-10 | 2022-09-13 | Pure Storage, Inc. | Establishing a synchronous replication relationship between two or more storage systems |
| US11803453B1 (en) | 2017-03-10 | 2023-10-31 | Pure Storage, Inc. | Using host connectivity states to avoid queuing I/O requests |
| US10521344B1 (en) | 2017-03-10 | 2019-12-31 | Pure Storage, Inc. | Servicing input/output (‘I/O’) operations directed to a dataset that is synchronized across a plurality of storage systems |
| US11941279B2 (en) | 2017-03-10 | 2024-03-26 | Pure Storage, Inc. | Data path virtualization |
| US11089105B1 (en) | 2017-12-14 | 2021-08-10 | Pure Storage, Inc. | Synchronously replicating datasets in cloud-based storage systems |
| US10503427B2 (en) | 2017-03-10 | 2019-12-10 | Pure Storage, Inc. | Synchronously replicating datasets and other managed objects to cloud-based storage systems |
| US10454810B1 (en) | 2017-03-10 | 2019-10-22 | Pure Storage, Inc. | Managing host definitions across a plurality of storage systems |
| US11675520B2 (en) | 2017-03-10 | 2023-06-13 | Pure Storage, Inc. | Application replication among storage systems synchronously replicating a dataset |
| US10013560B1 (en) | 2017-04-05 | 2018-07-03 | International Business Machines Corporation | Securely exchanging information during application startup |
| SG10201702881VA (en) * | 2017-04-07 | 2018-11-29 | Mastercard International Inc | Systems and methods for processing an access request |
| US9910618B1 (en) | 2017-04-10 | 2018-03-06 | Pure Storage, Inc. | Migrating applications executing on a storage system |
| US10459664B1 (en) | 2017-04-10 | 2019-10-29 | Pure Storage, Inc. | Virtualized copy-by-reference |
| US10657242B1 (en) | 2017-04-17 | 2020-05-19 | Microstrategy Incorporated | Proximity-based access |
| US10771458B1 (en) | 2017-04-17 | 2020-09-08 | MicoStrategy Incorporated | Proximity-based user authentication |
| US11140157B1 (en) | 2017-04-17 | 2021-10-05 | Microstrategy Incorporated | Proximity-based access |
| US11868629B1 (en) | 2017-05-05 | 2024-01-09 | Pure Storage, Inc. | Storage system sizing service |
| US10541999B1 (en) | 2017-05-19 | 2020-01-21 | Knowledge Initiatives LLC | Multi-person authentication and validation controls for image sharing |
| US10146925B1 (en) | 2017-05-19 | 2018-12-04 | Knowledge Initiatives LLC | Multi-person authentication and validation controls for image sharing |
| US11609718B1 (en) | 2017-06-12 | 2023-03-21 | Pure Storage, Inc. | Identifying valid data after a storage system recovery |
| US10552090B2 (en) | 2017-09-07 | 2020-02-04 | Pure Storage, Inc. | Solid state drives with multiple types of addressable memory |
| US10884636B1 (en) | 2017-06-12 | 2021-01-05 | Pure Storage, Inc. | Presenting workload performance in a storage system |
| US11989429B1 (en) | 2017-06-12 | 2024-05-21 | Pure Storage, Inc. | Recommending changes to a storage system |
| US20180357017A1 (en) | 2017-06-12 | 2018-12-13 | Pure Storage, Inc. | Accessible fast durable storage integrated into a bulk storage device |
| US10976962B2 (en) | 2018-03-15 | 2021-04-13 | Pure Storage, Inc. | Servicing I/O operations in a cloud-based storage system |
| US11592991B2 (en) | 2017-09-07 | 2023-02-28 | Pure Storage, Inc. | Converting raid data between persistent storage types |
| US11340939B1 (en) | 2017-06-12 | 2022-05-24 | Pure Storage, Inc. | Application-aware analytics for storage systems |
| US10613791B2 (en) | 2017-06-12 | 2020-04-07 | Pure Storage, Inc. | Portable snapshot replication between storage systems |
| CN116431072A (zh) | 2017-06-12 | 2023-07-14 | 净睿存储股份有限公司 | 集成到大容量存储设备的可访问快速耐久存储 |
| US11016824B1 (en) | 2017-06-12 | 2021-05-25 | Pure Storage, Inc. | Event identification with out-of-order reporting in a cloud-based environment |
| US10853148B1 (en) | 2017-06-12 | 2020-12-01 | Pure Storage, Inc. | Migrating workloads between a plurality of execution environments |
| US10417092B2 (en) | 2017-09-07 | 2019-09-17 | Pure Storage, Inc. | Incremental RAID stripe update parity calculation |
| US11210133B1 (en) | 2017-06-12 | 2021-12-28 | Pure Storage, Inc. | Workload mobility between disparate execution environments |
| US11422731B1 (en) | 2017-06-12 | 2022-08-23 | Pure Storage, Inc. | Metadata-based replication of a dataset |
| US11442669B1 (en) | 2018-03-15 | 2022-09-13 | Pure Storage, Inc. | Orchestrating a virtual storage system |
| US11561714B1 (en) | 2017-07-05 | 2023-01-24 | Pure Storage, Inc. | Storage efficiency driven migration |
| US10374801B2 (en) * | 2017-07-14 | 2019-08-06 | Bank Of America Corporation | File security tool |
| US11477280B1 (en) | 2017-07-26 | 2022-10-18 | Pure Storage, Inc. | Integrating cloud storage services |
| US10438006B2 (en) | 2017-07-27 | 2019-10-08 | Citrix Systems, Inc. | Secure information storage |
| US10831935B2 (en) | 2017-08-31 | 2020-11-10 | Pure Storage, Inc. | Encryption management with host-side data reduction |
| US10516650B2 (en) * | 2017-09-13 | 2019-12-24 | Netabstraction, Inc. | Dynamic, user-configurable virtual private network |
| FR3071692A1 (fr) * | 2017-09-28 | 2019-03-29 | Orange | Gestion de groupes d' objets connectes utilisant des protocoles de communication sans fil |
| US10360214B2 (en) | 2017-10-19 | 2019-07-23 | Pure Storage, Inc. | Ensuring reproducibility in an artificial intelligence infrastructure |
| US10671435B1 (en) | 2017-10-19 | 2020-06-02 | Pure Storage, Inc. | Data transformation caching in an artificial intelligence infrastructure |
| US10452444B1 (en) | 2017-10-19 | 2019-10-22 | Pure Storage, Inc. | Storage system with compute resources and shared storage resources |
| US11861423B1 (en) | 2017-10-19 | 2024-01-02 | Pure Storage, Inc. | Accelerating artificial intelligence (‘AI’) workflows |
| US11494692B1 (en) | 2018-03-26 | 2022-11-08 | Pure Storage, Inc. | Hyperscale artificial intelligence and machine learning infrastructure |
| US11455168B1 (en) | 2017-10-19 | 2022-09-27 | Pure Storage, Inc. | Batch building for deep learning training workloads |
| US10467107B1 (en) | 2017-11-01 | 2019-11-05 | Pure Storage, Inc. | Maintaining metadata resiliency among storage device failures |
| US10509581B1 (en) | 2017-11-01 | 2019-12-17 | Pure Storage, Inc. | Maintaining write consistency in a multi-threaded storage system |
| US10484174B1 (en) | 2017-11-01 | 2019-11-19 | Pure Storage, Inc. | Protecting an encryption key for data stored in a storage system that includes a plurality of storage devices |
| US10817392B1 (en) | 2017-11-01 | 2020-10-27 | Pure Storage, Inc. | Ensuring resiliency to storage device failures in a storage system that includes a plurality of storage devices |
| US10671494B1 (en) | 2017-11-01 | 2020-06-02 | Pure Storage, Inc. | Consistent selection of replicated datasets during storage system recovery |
| CN107979593B (zh) * | 2017-11-20 | 2021-04-06 | 合肥亚慕信息科技有限公司 | 一种基于共享通道环加密视频保密方法 |
| US10929226B1 (en) | 2017-11-21 | 2021-02-23 | Pure Storage, Inc. | Providing for increased flexibility for large scale parity |
| CN109861945A (zh) * | 2017-11-22 | 2019-06-07 | 浙江智贝信息科技有限公司 | 一种分布式代码运行及交互安全方法及其系统 |
| CN109858241B (zh) * | 2017-11-22 | 2021-12-17 | 浙江智贝信息科技有限公司 | 一种单设备代码安全执行和交互方法及其交互系统 |
| CN107749862A (zh) * | 2017-11-23 | 2018-03-02 | 爱国者安全科技(北京)有限公司 | 一种数据加密集中存储方法、服务器、用户终端及系统 |
| US10936238B2 (en) | 2017-11-28 | 2021-03-02 | Pure Storage, Inc. | Hybrid data tiering |
| US10990282B1 (en) | 2017-11-28 | 2021-04-27 | Pure Storage, Inc. | Hybrid data tiering with cloud storage |
| US10795598B1 (en) | 2017-12-07 | 2020-10-06 | Pure Storage, Inc. | Volume migration for storage systems synchronously replicating a dataset |
| US11036677B1 (en) | 2017-12-14 | 2021-06-15 | Pure Storage, Inc. | Replicated data integrity |
| US10929031B2 (en) | 2017-12-21 | 2021-02-23 | Pure Storage, Inc. | Maximizing data reduction in a partially encrypted volume |
| US10992533B1 (en) | 2018-01-30 | 2021-04-27 | Pure Storage, Inc. | Policy based path management |
| US11150834B1 (en) | 2018-03-05 | 2021-10-19 | Pure Storage, Inc. | Determining storage consumption in a storage system |
| US11972134B2 (en) | 2018-03-05 | 2024-04-30 | Pure Storage, Inc. | Resource utilization using normalized input/output (‘I/O’) operations |
| US10942650B1 (en) | 2018-03-05 | 2021-03-09 | Pure Storage, Inc. | Reporting capacity utilization in a storage system |
| US10521151B1 (en) | 2018-03-05 | 2019-12-31 | Pure Storage, Inc. | Determining effective space utilization in a storage system |
| US11861170B2 (en) | 2018-03-05 | 2024-01-02 | Pure Storage, Inc. | Sizing resources for a replication target |
| US10733306B2 (en) * | 2018-03-07 | 2020-08-04 | International Business Machines Corporation | Write-only limited-read filesystem |
| US10296258B1 (en) | 2018-03-09 | 2019-05-21 | Pure Storage, Inc. | Offloading data storage to a decentralized storage network |
| US11048590B1 (en) | 2018-03-15 | 2021-06-29 | Pure Storage, Inc. | Data consistency during recovery in a cloud-based storage system |
| US11210009B1 (en) | 2018-03-15 | 2021-12-28 | Pure Storage, Inc. | Staging data in a cloud-based storage system |
| US11288138B1 (en) | 2018-03-15 | 2022-03-29 | Pure Storage, Inc. | Recovery from a system fault in a cloud-based storage system |
| US10924548B1 (en) | 2018-03-15 | 2021-02-16 | Pure Storage, Inc. | Symmetric storage using a cloud-based storage system |
| US10917471B1 (en) | 2018-03-15 | 2021-02-09 | Pure Storage, Inc. | Active membership in a cloud-based storage system |
| US11095706B1 (en) | 2018-03-21 | 2021-08-17 | Pure Storage, Inc. | Secure cloud-based storage system management |
| US11171950B1 (en) | 2018-03-21 | 2021-11-09 | Pure Storage, Inc. | Secure cloud-based storage system management |
| US10838833B1 (en) | 2018-03-26 | 2020-11-17 | Pure Storage, Inc. | Providing for high availability in a data analytics pipeline without replicas |
| US11436344B1 (en) | 2018-04-24 | 2022-09-06 | Pure Storage, Inc. | Secure encryption in deduplication cluster |
| US11392553B1 (en) | 2018-04-24 | 2022-07-19 | Pure Storage, Inc. | Remote data management |
| US10742397B2 (en) | 2018-04-26 | 2020-08-11 | Jonathan Sean Callan | Method and system for managing decentralized data access permissions through a blockchain |
| US10992598B2 (en) | 2018-05-21 | 2021-04-27 | Pure Storage, Inc. | Synchronously replicating when a mediation service becomes unavailable |
| US11954220B2 (en) | 2018-05-21 | 2024-04-09 | Pure Storage, Inc. | Data protection for container storage |
| US11675503B1 (en) | 2018-05-21 | 2023-06-13 | Pure Storage, Inc. | Role-based data access |
| US11455409B2 (en) | 2018-05-21 | 2022-09-27 | Pure Storage, Inc. | Storage layer data obfuscation |
| US10871922B2 (en) | 2018-05-22 | 2020-12-22 | Pure Storage, Inc. | Integrated storage management between storage systems and container orchestrators |
| US11403000B1 (en) | 2018-07-20 | 2022-08-02 | Pure Storage, Inc. | Resiliency in a cloud-based storage system |
| US11416298B1 (en) | 2018-07-20 | 2022-08-16 | Pure Storage, Inc. | Providing application-specific storage by a storage system |
| US11954238B1 (en) | 2018-07-24 | 2024-04-09 | Pure Storage, Inc. | Role-based access control for a storage system |
| US11632360B1 (en) | 2018-07-24 | 2023-04-18 | Pure Storage, Inc. | Remote access to a storage device |
| US11146564B1 (en) | 2018-07-24 | 2021-10-12 | Pure Storage, Inc. | Login authentication in a cloud storage platform |
| US11133934B2 (en) * | 2018-08-24 | 2021-09-28 | Powch, LLC | Systems and methods for single-step out-of-band authentication |
| US11516211B2 (en) * | 2018-09-11 | 2022-11-29 | Citrix Systems, Inc. | System for providing a service based upon authorization token and virtual assistant and related methods |
| US11860820B1 (en) | 2018-09-11 | 2024-01-02 | Pure Storage, Inc. | Processing data through a storage system in a data pipeline |
| US10671302B1 (en) | 2018-10-26 | 2020-06-02 | Pure Storage, Inc. | Applying a rate limit across a plurality of storage systems |
| US10963189B1 (en) | 2018-11-18 | 2021-03-30 | Pure Storage, Inc. | Coalescing write operations in a cloud-based storage system |
| US11526405B1 (en) | 2018-11-18 | 2022-12-13 | Pure Storage, Inc. | Cloud-based disaster recovery |
| US11340837B1 (en) | 2018-11-18 | 2022-05-24 | Pure Storage, Inc. | Storage system management via a remote console |
| US11379254B1 (en) | 2018-11-18 | 2022-07-05 | Pure Storage, Inc. | Dynamic configuration of a cloud-based storage system |
| US11650749B1 (en) | 2018-12-17 | 2023-05-16 | Pure Storage, Inc. | Controlling access to sensitive data in a shared dataset |
| US11003369B1 (en) | 2019-01-14 | 2021-05-11 | Pure Storage, Inc. | Performing a tune-up procedure on a storage device during a boot process |
| US11102187B2 (en) * | 2019-02-20 | 2021-08-24 | Aetna Inc. | Systems and methods for managing workflow transactions including protected personal data in regulated computing environments |
| US11695777B2 (en) * | 2019-02-26 | 2023-07-04 | Vmware, Inc. | Hybrid access control model in computer systems |
| CN113366461A (zh) * | 2019-02-28 | 2021-09-07 | 惠普发展公司,有限责任合伙企业 | 使用非对称密码访问固件设置 |
| US11042452B1 (en) | 2019-03-20 | 2021-06-22 | Pure Storage, Inc. | Storage system data recovery using data recovery as a service |
| US11221778B1 (en) | 2019-04-02 | 2022-01-11 | Pure Storage, Inc. | Preparing data for deduplication |
| US11068162B1 (en) | 2019-04-09 | 2021-07-20 | Pure Storage, Inc. | Storage management in a cloud data store |
| CN111865869B (zh) * | 2019-04-24 | 2023-08-08 | 北京沃东天骏信息技术有限公司 | 基于随机映射的注册、认证方法及装置、介质及电子设备 |
| TWI720473B (zh) * | 2019-05-03 | 2021-03-01 | 優碩資訊科技股份有限公司 | 用以管控與網頁服務系統認證之系統及方法 |
| US11126364B2 (en) | 2019-07-18 | 2021-09-21 | Pure Storage, Inc. | Virtual storage system architecture |
| US11327676B1 (en) | 2019-07-18 | 2022-05-10 | Pure Storage, Inc. | Predictive data streaming in a virtual storage system |
| US11392555B2 (en) | 2019-05-15 | 2022-07-19 | Pure Storage, Inc. | Cloud-based file services |
| US11853266B2 (en) | 2019-05-15 | 2023-12-26 | Pure Storage, Inc. | Providing a file system in a cloud environment |
| US11354735B2 (en) * | 2019-05-23 | 2022-06-07 | Capital One Services, Llc | System and method for interfacing with a decisioning service from a third party domain |
| US12001355B1 (en) | 2019-05-24 | 2024-06-04 | Pure Storage, Inc. | Chunked memory efficient storage data transfers |
| US11463449B2 (en) * | 2019-06-24 | 2022-10-04 | Motorola Mobility Llc | Authentication for key access |
| US11416618B2 (en) * | 2019-07-15 | 2022-08-16 | Dell Products, L.P. | Bidirectional trust chaining for trusted boot |
| US11861221B1 (en) | 2019-07-18 | 2024-01-02 | Pure Storage, Inc. | Providing scalable and reliable container-based storage services |
| US11093139B1 (en) | 2019-07-18 | 2021-08-17 | Pure Storage, Inc. | Durably storing data within a virtual storage system |
| US11487715B1 (en) | 2019-07-18 | 2022-11-01 | Pure Storage, Inc. | Resiliency in a cloud-based storage system |
| US11526408B2 (en) | 2019-07-18 | 2022-12-13 | Pure Storage, Inc. | Data recovery in a virtual storage system |
| US11550514B2 (en) | 2019-07-18 | 2023-01-10 | Pure Storage, Inc. | Efficient transfers between tiers of a virtual storage system |
| US11086553B1 (en) | 2019-08-28 | 2021-08-10 | Pure Storage, Inc. | Tiering duplicated objects in a cloud-based object store |
| US11693713B1 (en) | 2019-09-04 | 2023-07-04 | Pure Storage, Inc. | Self-tuning clusters for resilient microservices |
| US11797569B2 (en) | 2019-09-13 | 2023-10-24 | Pure Storage, Inc. | Configurable data replication |
| US11625416B1 (en) | 2019-09-13 | 2023-04-11 | Pure Storage, Inc. | Uniform model for distinct types of data replication |
| US11573864B1 (en) | 2019-09-16 | 2023-02-07 | Pure Storage, Inc. | Automating database management in a storage system |
| US11669386B1 (en) | 2019-10-08 | 2023-06-06 | Pure Storage, Inc. | Managing an application's resource stack |
| CN110795745B (zh) * | 2019-10-14 | 2022-06-21 | 山东药品食品职业学院 | 一种基于服务器的信息存储和传送系统及其方法 |
| US11356438B2 (en) * | 2019-11-05 | 2022-06-07 | Microsoft Technology Licensing, Llc | Access management system with a secret isolation manager |
| US11424914B2 (en) | 2019-12-03 | 2022-08-23 | Microsoft Technology Licensing, Llc | Enhanced security of secret data for dynamic user groups |
| US11455412B2 (en) | 2019-12-03 | 2022-09-27 | Microsoft Technology Licensing, Llc | Enhanced management of access rights for dynamic user groups sharing secret data |
| US20210173945A1 (en) | 2019-12-06 | 2021-06-10 | Pure Storage, Inc. | Replicating data to a storage system that has an inferred trust relationship with a client |
| US11516192B2 (en) * | 2019-12-19 | 2022-11-29 | Augustine Fou | System and method for combinatorial security |
| WO2021138426A1 (en) * | 2019-12-30 | 2021-07-08 | Dogwood Logic, Inc. | Secure decentralized control of network access to ai models and data |
| CN111191266A (zh) * | 2019-12-31 | 2020-05-22 | 中国广核电力股份有限公司 | 一种文件加密方法和系统以及解密方法和系统 |
| US11720497B1 (en) | 2020-01-13 | 2023-08-08 | Pure Storage, Inc. | Inferred nonsequential prefetch based on data access patterns |
| US11709636B1 (en) | 2020-01-13 | 2023-07-25 | Pure Storage, Inc. | Non-sequential readahead for deep learning training |
| US11733901B1 (en) | 2020-01-13 | 2023-08-22 | Pure Storage, Inc. | Providing persistent storage to transient cloud computing services |
| US12014065B2 (en) | 2020-02-11 | 2024-06-18 | Pure Storage, Inc. | Multi-cloud orchestration as-a-service |
| US11868622B2 (en) | 2020-02-25 | 2024-01-09 | Pure Storage, Inc. | Application recovery across storage systems |
| US11637896B1 (en) | 2020-02-25 | 2023-04-25 | Pure Storage, Inc. | Migrating applications to a cloud-computing environment |
| US11363009B2 (en) * | 2020-02-26 | 2022-06-14 | Keeper Security, Inc. | System and method for providing secure cloud-based single sign-on connections using a security service provider having zero-knowledge architecture |
| US11321006B1 (en) | 2020-03-25 | 2022-05-03 | Pure Storage, Inc. | Data loss prevention during transitions from a replication source |
| US11205003B2 (en) * | 2020-03-27 | 2021-12-21 | Intel Corporation | Platform security mechanism |
| US11301152B1 (en) | 2020-04-06 | 2022-04-12 | Pure Storage, Inc. | Intelligently moving data between storage systems |
| US11630598B1 (en) | 2020-04-06 | 2023-04-18 | Pure Storage, Inc. | Scheduling data replication operations |
| US11494267B2 (en) | 2020-04-14 | 2022-11-08 | Pure Storage, Inc. | Continuous value data redundancy |
| US11921670B1 (en) | 2020-04-20 | 2024-03-05 | Pure Storage, Inc. | Multivariate data backup retention policies |
| US11431488B1 (en) | 2020-06-08 | 2022-08-30 | Pure Storage, Inc. | Protecting local key generation using a remote key management service |
| US11349917B2 (en) | 2020-07-23 | 2022-05-31 | Pure Storage, Inc. | Replication handling among distinct networks |
| US11442652B1 (en) | 2020-07-23 | 2022-09-13 | Pure Storage, Inc. | Replication handling during storage system transportation |
| US20220173890A1 (en) | 2020-11-30 | 2022-06-02 | Citrix Systems, Inc. | Smart card and associated methods for initiating virtual sessions at kiosk device |
| US11586738B2 (en) * | 2020-12-03 | 2023-02-21 | Dell Products, L.P. | Systems and methods for evaluating security risks using a manufacturer-signed software identification manifest |
| CN113271289B (zh) * | 2020-12-15 | 2023-10-13 | 全芯智造技术有限公司 | 用于资源授权和访问的方法、系统和计算机存储介质 |
| CN112507365B (zh) * | 2020-12-16 | 2023-08-22 | 平安银行股份有限公司 | 数据匹配方法、终端及存储介质 |
| US11397545B1 (en) | 2021-01-20 | 2022-07-26 | Pure Storage, Inc. | Emulating persistent reservations in a cloud-based storage system |
| US11853285B1 (en) | 2021-01-22 | 2023-12-26 | Pure Storage, Inc. | Blockchain logging of volume-level events in a storage system |
| CN115037492A (zh) * | 2021-03-03 | 2022-09-09 | 美光科技公司 | 基于在存储器装置中实施的安全特征的在线安全服务 |
| US20220365827A1 (en) | 2021-05-12 | 2022-11-17 | Pure Storage, Inc. | Rebalancing In A Fleet Of Storage Systems Using Data Science |
| US11474840B1 (en) | 2021-05-17 | 2022-10-18 | Citrix Systems, Inc. | Computing device and related methods providing virtual session launching from previously cached assets |
| US11816129B2 (en) | 2021-06-22 | 2023-11-14 | Pure Storage, Inc. | Generating datasets using approximate baselines |
| CN113810407A (zh) * | 2021-09-16 | 2021-12-17 | 杭州安恒信息技术股份有限公司 | 一种数据处理方法、装置、系统及存储介质 |
| US11714723B2 (en) | 2021-10-29 | 2023-08-01 | Pure Storage, Inc. | Coordinated snapshots for data stored across distinct storage environments |
| US11893263B2 (en) | 2021-10-29 | 2024-02-06 | Pure Storage, Inc. | Coordinated checkpoints among storage systems implementing checkpoint-based replication |
| US11914867B2 (en) | 2021-10-29 | 2024-02-27 | Pure Storage, Inc. | Coordinated snapshots among storage systems implementing a promotion/demotion model |
| CN114124383B (zh) * | 2021-11-30 | 2024-01-16 | 中国人民解放军国防科技大学 | 复用同步光的地址跳变图案生成方法、装置及计算机设备 |
| US11922052B2 (en) | 2021-12-15 | 2024-03-05 | Pure Storage, Inc. | Managing links between storage objects |
| US11847071B2 (en) | 2021-12-30 | 2023-12-19 | Pure Storage, Inc. | Enabling communication between a single-port device and multiple storage system controllers |
| US12001300B2 (en) | 2022-01-04 | 2024-06-04 | Pure Storage, Inc. | Assessing protection for storage resources |
| US11860780B2 (en) | 2022-01-28 | 2024-01-02 | Pure Storage, Inc. | Storage cache management |
| US11886295B2 (en) | 2022-01-31 | 2024-01-30 | Pure Storage, Inc. | Intra-block error correction |
| WO2023156005A1 (en) * | 2022-02-18 | 2023-08-24 | Cariad Se | Central computer system, storage computer, access management computer and method to operate a central computer system |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101777983A (zh) * | 2010-01-13 | 2010-07-14 | 北京飞天诚信科技有限公司 | 交易签名方法、认证服务器及系统 |
| US20120297189A1 (en) * | 2011-05-18 | 2012-11-22 | Citrix Systems, Inc. | Systems and Methods for Secure Handling of Data |
| US20120297188A1 (en) * | 2011-05-20 | 2012-11-22 | Van Der Linden Robert | Providing multiple layers of security to file storage by an external storage provider |
| US20120297206A1 (en) * | 2011-05-20 | 2012-11-22 | Citrix Systems, Inc. | Securing Encrypted Virtual Hard Disks |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7594116B2 (en) * | 2005-04-28 | 2009-09-22 | Proofpoint, Inc. | Mediated key exchange between source and target of communication |
| US20070283446A1 (en) * | 2006-06-05 | 2007-12-06 | Kabushiki Kaisha Toshiba | System and method for secure handling of scanned documents |
| US8468244B2 (en) * | 2007-01-05 | 2013-06-18 | Digital Doors, Inc. | Digital information infrastructure and method for security designated data and with granular data stores |
| JP4342584B2 (ja) * | 2007-10-29 | 2009-10-14 | 株式会社東芝 | ファイルアクセス制御装置及びプログラム |
| US9922063B2 (en) * | 2009-12-29 | 2018-03-20 | International Business Machines Corporation | Secure storage of secret data in a dispersed storage network |
| US8468368B2 (en) * | 2009-12-29 | 2013-06-18 | Cleversafe, Inc. | Data encryption parameter dispersal |
| US8726127B2 (en) * | 2011-02-01 | 2014-05-13 | Cleversafe, Inc. | Utilizing a dispersed storage network access token module to access a dispersed storage network memory |
| US10102063B2 (en) * | 2011-03-02 | 2018-10-16 | International Business Machines Corporation | Transferring data utilizing a transfer token module |
| US9785491B2 (en) * | 2011-10-04 | 2017-10-10 | International Business Machines Corporation | Processing a certificate signing request in a dispersed storage network |
| US8863298B2 (en) * | 2012-01-06 | 2014-10-14 | Mobile Iron, Inc. | Secure virtual file management system |
| US9203902B2 (en) * | 2012-01-31 | 2015-12-01 | Cleversafe, Inc. | Securely and reliably storing data in a dispersed storage network |
-
2012
- 2012-12-12 US US13/712,333 patent/US8997197B2/en active Active
-
2013
- 2013-11-07 WO PCT/US2013/068851 patent/WO2014092890A1/en active Application Filing
- 2013-11-07 EP EP13795368.3A patent/EP2932430B1/en active Active
- 2013-11-07 EP EP19212886.6A patent/EP3637298B1/en active Active
- 2013-11-07 CN CN201380064196.4A patent/CN104885093B/zh active Active
-
2015
- 2015-02-26 US US14/632,601 patent/US9805210B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101777983A (zh) * | 2010-01-13 | 2010-07-14 | 北京飞天诚信科技有限公司 | 交易签名方法、认证服务器及系统 |
| US20120297189A1 (en) * | 2011-05-18 | 2012-11-22 | Citrix Systems, Inc. | Systems and Methods for Secure Handling of Data |
| US20120297188A1 (en) * | 2011-05-20 | 2012-11-22 | Van Der Linden Robert | Providing multiple layers of security to file storage by an external storage provider |
| US20120297206A1 (en) * | 2011-05-20 | 2012-11-22 | Citrix Systems, Inc. | Securing Encrypted Virtual Hard Disks |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108011879A (zh) * | 2017-11-30 | 2018-05-08 | 广州酷狗计算机科技有限公司 | 文件加密、解密的方法、装置、设备和存储介质 |
| CN109510822A (zh) * | 2018-11-08 | 2019-03-22 | 蓝信移动(北京)科技有限公司 | 获取公私钥的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104885093A (zh) | 2015-09-02 |
| US20140164774A1 (en) | 2014-06-12 |
| US20150169892A1 (en) | 2015-06-18 |
| EP2932430B1 (en) | 2020-01-01 |
| WO2014092890A1 (en) | 2014-06-19 |
| EP3637298B1 (en) | 2022-07-20 |
| EP3637298A1 (en) | 2020-04-15 |
| EP2932430A1 (en) | 2015-10-21 |
| US8997197B2 (en) | 2015-03-31 |
| US9805210B2 (en) | 2017-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104885093B (zh) | 基于加密的数据访问管理 | |
| CN103563278B (zh) | 保护加密的虚拟硬盘 | |
| CN102971722B (zh) | 用于创建和传送加密的虚拟盘的系统和方法 | |
| CN102546764B (zh) | 一种云存储系统的安全访问方法 | |
| EP3427178B1 (en) | Secure file sharing over multiple security domains and dispersed communication networks | |
| CN1889426B (zh) | 一种实现网络安全存储与访问的方法及系统 | |
| CN103095847B (zh) | 一种云存储系统安全保障方法及其系统 | |
| CN103688485A (zh) | 用于对数据进行安全处理的系统和方法 | |
| CN106980794A (zh) | 基于TrustZone的文件加解密方法、装置及终端设备 | |
| EP3809629B1 (en) | Authorization method and device for joint account, and authentication method and device for joint account | |
| JPH06175905A (ja) | 暗号化ファイル共有方法 | |
| CN103649950A (zh) | 为由外部存储提供者进行的文件存储提供多个安全性层 | |
| CN110445840B (zh) | 一种基于区块链技术的文件存储和读取的方法 | |
| US7412603B2 (en) | Methods and systems for enabling secure storage of sensitive data | |
| CN106529216B (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 | |
| US10764260B2 (en) | Distributed processing of a product on the basis of centrally encrypted stored data | |
| CN102404363A (zh) | 一种访问方法及装置 | |
| US20070234033A1 (en) | Method for establishing secure distributed cryptographic objects | |
| Britto et al. | Enhanced multicomponent data secure mechanism for cloud storage system using elliptical curve cryptography | |
| Ananthu | Optimizing Key Management within a Crypto-System using Aggregate Keys | |
| Ayatti et al. | Ensuring Data Security for Cloud Storage through Encryption and Obfuscation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |