TWI523475B

TWI523475B - 通過封套資料組合之資料可驗證信賴

Info

Publication number: TWI523475B
Application number: TW099136555A
Authority: TW
Inventors: 奧拉德卡拉胡爾Ｖ; 杜澤羅伊彼得
Original assignee: 微軟技術授權有限責任公司
Priority date: 2009-12-15
Filing date: 2010-10-26
Publication date: 2016-02-21
Also published as: EP2513833B1; US20170111331A1; HK1175861A1; JP5639660B2; EP2513833A4; CN102656589A; US9537650B2; EP2513833A2; CN102656589B; WO2011081738A2; US20110145593A1; TW201123807A; JP2013513889A; WO2011081738A3; US10348700B2

Description

通過封套資料組合之資料可驗證信賴

本揭示是關於提供可靠之計算及資料服務給諸如網路和雲端服務，且特別是關於將複合封套應用於轉換資料、元資料或兩者的資料或網路服務。

在一些習知系統，計算裝置傳統上是執行區域之應用程式和資料服務。在這種情況下，當資料被存取、處理、儲存、快取時，資料可能在裝置中經由區域匯流排、介面和其他資料路徑傳送，但是，除非該裝置本身遺失、被偷或以其他方式受損，裝置使用者不需要擔心使用者資料的干擾或暴露。

網路儲存進步到能夠儲存terabyte的資料(在未來有到petabytes、exabytes的潛力)，這創造了機會以模擬傳統上是區域資料操作的應用程式，但並非針對儲存在雲端(主要裝置與外部儲存分離)之資料而操作。應用程式或系統(或任何)資料之雲端儲存使得許多裝置在每個裝置不需要有單獨的專用儲存裝置的情況下可儲存資料。

然而，隨著網路和雲端服務的演進，越來越多應用程式和服務被移到第三方網路提供者，其代表裝置執行部分或全部的服務。在這種情況下，在上傳到服務、在服務儲存或處理、或自服務擷取的同時，裝置使用者可能會關心誰可以存取或干擾使用者資料。總之，當訂閱者裝置的資料離開實體擁有的領域而進入遠離使用者的網路環境時，會擔心第三方對資料的惡意或草率處理或干擾。因此，最好是增加雲端服務和與雲端服務相關之資料處理的信賴、安全和隱私。甚至在企業內部也可出現資料儲存的類似問題，例如在資料離開一控制區域時(例如第一區)，在資料產生並進入另一區(例如第二區)用於儲存時。

然而，正如上文提到的，問題是沒有雲端服務或網路儲存提供者能夠有效緩解當這些資料儲存在雲端時的安全性、隱私性和完整性的問題和需求。總之，當失去對儲存載具的實體控制時，使用者要求更高的信賴，要求他們的資料維持安全性和隱私性，這個障礙阻礙了企業和消費者透過第三方網路服務和解決方案來備份重要資料。

以上描述之現今裝置和裝置提供的資料服務所有的缺陷只是為了提供習知系統中存在的一些問題的概述，而非詳盡無遺。本技術的其他問題及各種非限制實施例的對應優點在參考以下詳細說明後將更為明確。

在此提供簡化的發明內容以助於理解實施方式及隨附圖式中一或多個範例非限制實施例的各種態樣。本發明內容並非意欲作為廣泛或者全面的概述。本發明內容的唯一目的是以簡單形式提供與一些範例非限制實施例相關的一些概念，作為下述各種實施例之更詳細說明的序言。

網路或雲端資料服務包括數學轉換技術(如資料的可搜尋加密、去組合/重組合或分散技術)。提供網路或雲端資料服務是用於將信賴分散到多個實體以避免單點的資料妥協，以及將資料保護要求自容器分離，資料可儲存在容器中、於容器中處理、存取或擷取。在一實施例中，數學轉換謂詞產生器(例如密鑰產生器)、數學轉換提供者(例如加密技術提供者)和雲端服務提供者各自作為獨立的實體，提供可靠的資料平台以使資料發布者可保密地發布資料(以遮蔽的方式，如加密)到雲端服務提供者，並根據訂閱者功能提供授權訂閱者對加密資料的選擇性存取。

透過使用可靠的平台，一種用於主管(hosting)資料的方法可包括以下步驟：接收與資料相關之資料或元資料中至少一者，其中該資料、該元資料或兩者係由一複合封套保護，該複合封套係由該資料、該元資料或兩者之至少一數學轉換形成，包括至少一第一數學轉換及一第二數學轉換，該至少一第一數學轉換基於一第一組準則來定義一第一封套用於該資料、該元資料或兩者，該至少一第二數學轉換基於一第二組準則來定義一第二封套用於該資料、該元資料或兩者。該方法更包括接收一存取該資料、該元資料或兩者之請求，其係根據包含在該請求中之一組功能而由該複合封套所保護。功能可為任何類型的存取資訊，如重建構圖、加密密鑰、解碼工具等。根據該組功能，基於透過該第一封套來評估可見度與透過該第二封套來獨立評估可見度，決定至少一存取權限用於用於該資料、該元資料或兩者。

在非限制實施例，一種系統可包括：至少一數學轉換組件，至少部分由一數學轉換技術提供者所分佈，獨立於一存取資訊產生器而實施，該存取資訊產生器產生功能資訊用於發布資料、元資料或兩者或是訂閱發布資料、元資料或兩者中至少一者，該至少一數學轉換組件包括至少一處理器，該至少一處理器配置以根據該存取資訊產生器所產生之功能資訊，執行至少一編碼或解碼演算法；及一網路服務提供者，獨立於該存取資訊產生器及該至少一數學轉換組件而實施，包括至少一處理器配置以相對於由至少一數學轉換組件所加密之電腦資料、電腦元資料或兩者而實施一網路服務，該網路服務提供者係配置以與該至少一數學轉換組件通訊以執行產生、重新產生、更改、擴充或刪除應用於該電腦資料、電腦元資料或兩者之至少二數學轉換封套。

透過使用可靠的平台，資料(以及相關的元資料)自儲存資料的容器(例如文件系統、資料庫等)分離，使得資料透過施以數學複雜性而作為自己的管理人，數學複雜性具有諸如可靠的平台之加密密鑰產生器所授予之密鑰。對於資料或資料之次集合的共享或存取，在不需要特定容器強制執行的情況下，可保持並延伸信賴。諸如可搜尋加密技術之數學是應用於資料以保護資料，而不需考慮到特定位元所記錄之容器或硬體，即資料是在無容器下被保護或不需考慮到容器，因此在容器狀態受損的狀態下不會受攻擊。如果特定的「安全」被破解，內容仍然受到保護。

在一非限制實施例，可擴展標記語言(XML)資料是資料是指資料作為它本身的管理人。在XML資料中，可將描述資訊擴充或加入標籤，描述資訊選擇性地賦能或防止基礎資料的存取、賦能XML資料或XML資料片段(由標籤資訊封裝在應用於XML資料或片段之信賴信封中)作為自己的管理人。XML資料或標籤可以代表可搜尋的元資料，可搜尋的元資料編碼一或多個驗證資訊、授權資訊、模式資訊、歷史資訊、跟踪資訊、一致性資訊。任何基於XML的實施例也可以適用於各種替代格式，包括但不限於JavsScript物件表示(JavsScript Object Notation,JSON)、S-表達式(S-Expression)、電子資料交換(electronic data interchange,EDI)等，因此在這些實施例中XML僅是用於說明目的。

任何類型之有效負載(包括但不限於資料庫欄位、XML片段或完整記錄)的「可靠信封」透過信封上之各種裝飾品或密封而賦能遮幕存取(curtained access)，其允許一信賴範圍，包括諸如但不限於機密、隱私、匿名、篡改偵測、誠信等之保證。例如，可應用或擴充XML標籤以建立值得信賴的信封用於結構化的XML資料，其係一常見格式用於網路環境的資料交換，賦能在可靠的雲端服務環境中的XML資料。

其他一些可應用於幫助建立資料安全和隱私之高度信賴的加密技術或裝飾品的例子包括尺寸保存加密、可搜尋加密、或應用程式之證明、盲目指紋、可擷取證明等。

其他實施例和各種非限制的例子、情境和實施詳細介紹如下。

概述

如先前技術中所討論，發送到網路服務的資料可在隱私、潛在的干擾方面存有隱憂，例如，當資料從使用者的裝置連接到網路應用程式、服務或資料儲存裝置時，使用者希望能夠得到充分保證沒有惡意的第三者可造成損害。根據定義，使用者已失去對資料的控制。因此，想要增加信賴，以使發布者及(或)資料所有人願意放棄對其資料之實體控制，這是在相信他們的資料在網路上將維持隱私的情況下，除非是在由發布者及(或)所有人或根據請求者的身份驗證被授予特權而可存取的情況下。

在這方面，問題仍然存在，因為沒有雲端服務或網路儲存提供者能夠有效緩解當資料儲存在雲端時這些資料安全性、隱私性和完整性的問題和需求。總之，使用者希望當放棄對儲存載具的實體控制時，他們的資料仍然是安全和隱私的，這一障礙已大大阻礙企業和消費者透過第三方網路服務和解決方案來備份重要資料。

本文中所使用的術語網路儲存包括但不限於內容傳送(或分佈)網路(CDN)、混合情境(例如跨企業儲存、雲端儲存及(或)CDN)、及(或)更廣的聯合情境(例如跨多個企業、多個雲端、或多重CDN或任何以上的組合)。

傳統上，為了保持資料安全，將資料鎖起來或保存在地下，例如於實體媒體中。在這方面，資料所有者知道，管理人必須是完全可靠的一方，或無法存取其內容。在這方面，雖然雲端服務的前提是，顧客不一定需要知道他們的資料所在的確切實體位置，但可以完全忽略此問題的說法是不真實的。這是因為要對誰(什麼裝置)可以存取資料、誰看到資料、誰維護資料以及如何儲存承擔全部責任一直是個挑戰。因此，在現實中，由於固有的不信賴和各種其他問題，很多客戶對於第三方是誰、控制雲端中各種計算和儲存裝置的是誰等問題很關心。

為了消除人為或外部實體所控制的主動管理(其具有可能無法與資料所有人或發布者一致的固有偏見)，各種實施例提供了資料是以數學轉換之系統(例如選擇性加密或可搜尋加密)，使得資料作為它本身的管理人，而不考慮第三方機器、機制、裝置或存有資料的容器。在這方面，聯合信賴覆蓋的各種實施賦能無容器資料以及安全、保密、防篡改等之保證，這些對使用者而言是透明的。

因此，在各種實施例中，使用可靠的雲端平台來主管資料，包括接收資料或與資料相關的元資料，其中資料、元資料或兩者係由複合封套保護，複合封套係形成自資料、元資料或兩者之數學轉換，包括至少第一數學轉換及第二數學轉換，第一數學轉換基於第一組準則定義第一封套用於資料、元資料或兩者，第二數學轉換基於第二組準則定義第二封套用於資料、元資料或兩者。實體可以根據包含在請求中之一組功能，提出請求存取複合封套保護之資料、元資料或兩者。根據該組功能，可基於透過第一封套評估可見度及透過第二封套獨立評估可見度來決定資料、元資料或兩者的存取權限。

接收步驟可包括接收由數學轉換形成之複合封套所保護之資料或元資料，數學轉換包括第一數學轉換及第二數學轉換，第一數學轉換基於第一組準則來定義第一封套，第一封套包覆少於資料、元資料或兩者之全部。

接收步驟可包括接收由數學轉換形成之複合封套所保護之資料或元資料，數學轉換包括第一數學轉換及第二數學轉換，第一數學轉換基於第一組準則來定義第一封套，第一封套包覆資料、元資料或兩者，第二數學轉換定義第二封套，第二封套包覆如第一封套所包覆之資料、元資料或兩者。

接收步驟可包括接收由至少部分由數學演算法形成之複合封套所保護之資料、元資料或兩者，數學演算法賦能第一或第二封套在滿足至少隱式或顯式定義條件之後至少部分分解。接收步驟包括接收由至少部分由數學演算法形成之複合封套所保護之資料、元資料或兩者，數學演算法賦能第一及第二封套之至少一者在滿足隱式或顯式定義條件之後允許資料、元資料或兩者的完全存取。

接收步驟包括接收資料、元資料或兩者，其係由至少部分由數學演算法形成之複合封套所保護，數學演算法賦能資料、元資料或兩者之選擇不透明性(selective opacity)。

接收步驟包括接收資料、元資料或兩者，其係由至少部分由數學演算法形成之複合封套所保護，數學演算法包括第一及第二數學轉換，第一及第二數學轉換各自根據第一組及第二組準則來形成第一及第二封套，第一組或第二組準則包括加密密鑰資訊代表、判斷提示一角色證據之資訊、資料、元資料或兩者之類型、資料、元資料或兩者之關聯類型、判斷提示擁有至少一主張之證據的資訊。

接收步驟可包括接收資料或元資料，資料或元資料係由形成自可搜尋加密演算法之複合封套所保護。接收步驟可包括以下步驟：由在第一控制區域之裝置自在第二控制區域之裝置接收資料、元資料或兩者。

接收可以包括接收資料，元資料或兩者，其係形成自分析資料、元資料或兩者及根據加密密鑰資訊來加密分析之輸出。接收存取資料、元資料或兩者之請求步驟包括接收活門(trapdoor)資料，其賦能對該資料、元資料或兩者之可見存取，如同活門資料之至少一密碼活門所定義。

接收步驟可包括接收複合封套所保護之資料、元資料或兩者，複合封套係形成自資料、元資料或兩者的數學轉換，數學轉換包括第一數學轉換及第二數學轉換，第一數學轉換形成第一封套用於資料，第二數學轉換形成第二封套用於元資料。

在其他實施例中，接收步驟可包括接收由至少一數學轉換形成之複合封套所保護之資料或元資料，至少一數學轉換包括至少第一數學轉換及至少第二數學轉換，第一數學轉換基於第一組準則來定義第一封套，第一封套包覆少於資料、元資料或兩者之全部，第二數學轉換定義第二封套，第二封套包覆所有資料、元資料或兩者。

第二封套可以包覆如第一封套所部分包覆之所有的資料、元資料或兩者。接收步驟可包括接收由複合封套保護之資料、元資料或兩者，複合封套係由互補封套組成，互補封套包括至少第一和第二封套用於滿足互補信賴或安全準則。

在一個實施例中，如果資料、元資料或兩者之狀態轉變到新狀態，自動加入適合於一組與新狀態關聯之新準則之額外封套。或者，如果資料、元資料或兩者之狀態轉變到新狀態，自動移除適合於一組與新狀態關聯之新準則之額外封套。或者，如果資料、元資料或兩者之狀態轉變到新狀態，決定至少一存取權限之步驟包括：根據由產生功能之實體所授與之無限功能，決定存取權限。

在其他實施例中，如果資料、元資料或兩者之機密級轉變到較為敏感級，自動加入適合於較為敏感級之至少一額外封套至資料、元資料或兩者。如果資料、元資料或兩者之狀態轉變到新狀態，轉變適合於一組與新狀態關聯之新準則之第一封套或第二封套。如果資料、元資料或兩者之狀態轉變到新狀態，轉變之步驟包括以下步驟：修改適合於該組與該新狀態關聯之新準則之該第一封套或該第二封套。

在另一實施例，如果資料、元資料或兩者之狀態轉變到新狀態，轉變之步驟包括以下步驟：根據適合於該組與該新狀態關聯之新準則之第一封套或第二封套之至少一者，編校(redact)資料、元資料或兩者之至少一些資料。如果資料、元資料或兩者之狀態轉變到新狀態，轉變之步驟包括以下步驟：刪除第一封套或第二封套之至少一者。如果資料、元資料或兩者轉變時，以描述資料、元資料或兩者之至少一轉變之轉變元資料來擴充元資料。如果資料、元資料或兩者轉變時，將描述資料、元資料或兩者之至少一轉變之轉變元資料編碼於第一封套。如果資料、元資料或兩者轉變時，以描述資料、元資料或兩者之至少一轉變之轉變元資料來擴充元資料。

決定存取權限之步驟可以包括：根據相對於至少第二封套之至少第一封套的定義層級，決定評估可見度之順序。例如，決定存取權限之步驟可以包括：根據樹狀資料結構所定義之層級，決定評估可見度之順序。

或者，決定存取權限之步驟可以包括以下步驟：決定評估可見度之同心順序。決定存取權限之步驟可以包括以下步驟：決定評估可見度之橫向順序。決定存取權限之步驟可以包括以下步驟：根據評估可見度之同心及橫向順序，決定該順序。

決定存取權限之步驟可以包括以下步驟：首先透過第一封套評估可見度，及如果該組功能賦能資料、元資料或兩者之至少一存取權限，透過第二封套評估可見度。決定存取權限之步驟可以包括以下步驟：首先透過第二封套評估可見度，及如果該組功能賦能資料、元資料或兩者之至少一存取權限，透過第一封套評估可見度。

決定存取權限之步驟可以包括以下步驟：首先透過第二封套評估可見度，第二封套適用於元資料之起源元資料，及根據請求存取權限之實體，擴充起源元資料。決定存取權限之步驟可以包括以下步驟：根據透過第一封套評估可見度及透過第二封套獨立評估可見度，決定至少一存取權限，第一封套係應用於包括元資料之資料的外部集合，第二封套係應用於包括資料之資料的內部集合。決定存取權限之步驟可以包括以下步驟：根據透過第一封套評估可見度，決定至少一存取權限，第一封套係應用於對應資料之加密指標。

這個過程還可以包括以下步驟：透過第一封套經由選擇性存取加密索引，盲目搜尋加密索引。

定義第一封套或定義第二封套之步驟可包括以下步驟：定義資料、元資料或兩者之一存取速度要求。定義第一封套或定義第二封套之步驟可包括以下步驟：定義資料、元資料或兩者之防篡改要求。定義第一封套或定義第二封套之步驟可包括以下步驟：定義指定用於資料、元資料或兩者之恢復可靠度要求。

一種系統可以包括至少一數學轉換組件，至少部分由數學轉換技術提供者所分佈，獨立於存取資訊產生器而實施，存取資訊產生器產生功能資訊用於發布資料、元資料或兩者或是訂閱發布資料、元資料或兩者中至少一者，至少一數學轉換組件包括至少一處理器，至少一處理器配置以根據存取資訊產生器所產生之功能資訊，執行至少一編碼或解碼演算法。該系統可進一步包括網路服務提供者，獨立於存取資訊產生器及至少一數學轉換組件而實施，包括至少一處理器配置以相對於由至少一數學轉換組件所加密之電腦資料、電腦元資料或兩者而實施一網路服務，網路服務提供者係配置以與該至少一數學轉換組件通訊以執行產生、重新產生、更改、擴充或刪除應用於電腦資料、電腦元資料或兩者之至少二數學轉換封套。

網路服務提供者可配置以根據為封套修改信賴要件集合之信賴要件之至少一時間事件而產生、重新產生、更改、擴充或刪除封套。網路服務提供者可配置以根據決定用於產生封套之數學轉換技術不再符合信賴要件集合之信賴要件時而重新產生、更改、擴充或刪除封套。

網路服務提供者可配置以根據為封套修改信賴要件集合之信賴要件之至少一空間事件而產生、重新產生、更改、擴充或刪除一封套。網路服務提供者可配置以根據決定用於產生封套之數學轉換技術不再適用於產生封套之一方時而重新產生、更改、擴充或刪除封套。

在其他實施例，發布者使用可靠的平台作為轉換框架，用於數學上模糊資料，這樣訂閱者可選擇性存取訂閱者所授權之部分。在這方面，平台透過同時保護資料而取得作為其本身管理者之資料，而且還允許授權訂閱者之存取，同時還保持了完整性和安全性。

作為其本身管理者之資料可以聯合信賴覆蓋與外掛服務來實施，描述於不同實施例和以下詳細說明中。為了達到較數學模糊處理(例如加密)更多之境界，各種實施例提供保證給使用者和管理代理者，不管資料是在何處儲存及如何儲存，如發布者或資料所有者所適當定義，資料保持保密性和完整性要求。在這方面，當呈現適當的功能(例如密鑰)時，焦點從保全邊界、管道與容器用於資料轉移或擴充至透過提供加密安全信賴信封來保全資料和相關元資料(允許存取至資料/元資料或特定子集)。

在一個實施例中，提供用於主管資料的方法，包括以下步驟：由在第一控制區域的計算裝置自第二控制區域的計算裝置接收模糊的資料，其係形成自資料數學轉換用於在第二控制區域的計算裝置的定義資料集合。該方法還包括以下步驟：由在第一控制區域的計算裝置接收模糊的元資料，其係形成自資料之分析及分析之輸出之至少一其他資料數學轉換。

在一系統之非限制實施中，一或多個數學轉換組件係由由數學轉換演算法提供者至少部分分散，數學轉換演算法提供者係獨立於產生器而實施，產生器產生數學轉換謂詞資訊(例如密鑰資訊)用於發布資料和元資料或訂閱資料和元資料之至少一者。一或多個數學轉換組件根據產生器產生的數學轉換謂詞資訊，執行至少一可搜尋的資料模糊處理演算法(如可搜尋加密)或可搜尋資料揭示(例如可搜尋解密)演算法。網路服務提供者(獨立於產生器和一或多個數學轉換元件而實施)相對於一或多個數學轉換元件所模糊的資料或元資料來實現網路服務，網路服務提供者包括資料容器管理組件，根據資料延遲要求、資料可靠要求、與資料消費要求的距離、或網路服務的資料規模要求之至少一者，管理至少一數學轉換組件所模糊之資料或元資料儲存之處。

作為管理人之資料在需要時或預期需要時，以精細或指定之粒度來提供存取權限至資料，而不是對所有的給定資料。在雲端儲存提供者的操作人員也無法查看、修改、篡改或刪除資料而不被發現，除非該查看、修改、篡改或刪除是按照授予操作人員的功能而明確授權，如伺服器日誌的維護，或對儲存容量的其他一些有限的元資料操作。此外，無容器賦能幫助預防篡改的主動複製，這是傳統系統沒有適當解決的問題。

在一個實施例中，聯合信賴覆蓋是以一或多個下列組件達成：雲端資料服務(CDS)或雲端儲存提供者，加密技術提供者(CTP)和密鑰產生中心(CKG)。CDS可由任何儲存提供者提供，即無容器資料不需要特定的容器。若CTP在與CDS分開的控制區域操作時，CTP也可以由任何一方提供，無論是基於開放的規範用於實施CTP或CTP的專有實施。將密鑰產生功能分開和按公共查驗之數學原理(如加密原則)可激發以下信心：維持CTP方法無偏見，並且CTP方法可以由企業或單一使用者或外包給具CTP專業知識的第三方實施。此外，專有版本、公司的開放版本、政府或主權的開放或封閉版本、參考開放來源版本、或其他類別，都可以建立用於預封裝使用或由給定的實體實施。

CKG實體按照CTP指定的技術產生密鑰資訊，並作為聯合信賴覆蓋的單獨組件(雖然CKG也可以依據FTO之一給定實施所欲之信賴程度而與與其他組件結合)。在不同的實施例，雖然CKG可以是中心的實體，本文使用之詞彙「中心」是邏輯參考，並非指中心實體，因此CKG可以分散和聯合。CKG可以是單獨的實體或多個合作夥伴，例如製藥公司之間的夥伴合作用於根據同意之CKG的密鑰交換來共享和存取資訊。有了FTO，信賴和機密可透過分開權力、防止在沒有表明權限下洞察儲存的資訊、記錄或存取模式及洞察篡改偵測和完整性來維持，例如，亦可賦能驗證。例如，服務提供者不能修改或刪除資料而不被發現。可審計性和不可抵賴性使客戶對資料放心，並確保沒有人意外或故意干涉。日誌與資料和元資料具有同樣的保障。

另一種可以包含在FTO實施的功能是結果驗證，於下進行更詳細說明。驗證確保雲端不能隱瞞它被要求的資訊，例如在被要求三個文件時，不能給兩個文件。這個分開的概念可進一步延伸如下：考慮CKG的分開實施和任何執行資料驗證的服務，以及根據授予應用服務提供者的功能將資料自接收、修改、擷取、修改、擴充或刪除資料或元資料的應用服務提供者分離。這也有以下額外的好處：根據存取、更新的安全模式、更新的角色、時間等的當時特性，維持應用程式功能。

結合全部或部分上面描述的功能可增加對雲端資料儲存的信賴。在企業層面，企業可以粒度形式來擁有政策和控制執行，即使資料和應用程式是在雲端主管。系統可與企業安全基礎架構嚙合，如識別身份元系統(例如請求項、身份生命週期管理、主動目錄等)。企業可如所欲之多少來接觸FTO實施。

本文所述的資料服務涉及賦能成本效益以及安全和私人解決方案之儲存和加密技術的各種組合和排列。例如，在下面詳細描述的各種可選實施例實現資料保護技術，其包括大小保持加密、可搜尋加密、及(或)稱為防應用程式(Proof of Application)之加密技術(指一般的技術)。這些實施例賦能新的商業情境用於外包的雲端資料保護、災難恢復、或分析。如先前技術所討論，傳統系統是在客戶對隱私或安全需求為失敗的情況下實施雲端或網路資料服務。

在這方面，要消除傳統提供的網路服務具有的障礙，提供可靠的雲端計算和資料服務生態系統或框架，以達到上述目的以及其他優勢。術語「雲端」服務一般是指服務不是在訂閱者裝置的本地端執行，而是從可以透過一或多個網路存取之一或多個遠端裝置傳輸。因為訂閱者裝置並不需要了解在一或多個遠端裝置發生的細節，從使用者的裝置的角度而言，服務似乎是從「雲端」提供。

在一個實施例中，系統包括密鑰產生器，產生密鑰資訊用於發布或訂閱資料。加密技術提供者(獨立於密鑰產生器而實施)根據密鑰產生器所產生的密鑰資訊，實現可搜尋的加密/解密演算法。此外，網路服務提供者(獨立於密鑰產生和加密技術提供者而實施)針對加密技術提供者所加密之資料而提供網路服務。

在一個實施例中，提供資料儲存裝置，其可選擇存取(例如搜尋)加密的資料，其中至少一發布者發布代表資源之資料至資料儲存。提供濫用信賴的潛力，第一獨立實體產生加密密鑰的資訊。第二獨立實體根據第一獨立實體產生的加密密鑰資訊，在儲存之前執行發布資料之加密。網路或雲端服務之集合根據發布者或資源之所有者所授予之後期綁定的選擇權限，針對網路服務之請求，選擇存取加密的資料。

在其他實施例中，資料儲存裝置儲存可選擇存取之加密資料，其中訂閱者訂閱加密資料之指定子集。第一獨立實體根據與訂閱者相關聯的識別資訊，產生加密密鑰資訊，第二獨立實體根據第一獨立實體所產生的加密密鑰資訊，執行指定子集的解密。網路服務回應訂閱者的請求，並根據發布者或指定子集之所有者所授予之後期綁定的選擇權限，提供加密資料的選擇性存取。

發布者和訂閱者一般是指發布或訂閱可靠雲端服務的資料的任何人。然而，在實施時，根據產業、領域、可靠雲端服務生態系統的應用及數位代管模式，發布者和訂閱者將扮演更多具體的角色。例如，在整個系統的資料的情境中，通常只有一小群的使用者有權限來存取資料。舉一個例子，在資料情境中，加密資料儲存裝置的審核者根據資料審核者的角色具有特定功能以確保滿足某些條件(例如備份的頻率)，而不需授予存取內容本身。

在一個非限制實施例，用於主管資料的方法包括以下步驟：由在第一控制區域的第一計算裝置自第二控制區域的第二計算裝置接收加密資料，加密資料係根據加密密鑰資訊形成自資料加密用於第二計算裝置的定義資料集合；由第一計算裝置接收加密元資料，加密元資料係形成自分析資料及根據加密密鑰資訊，加密分析之輸出；自至少兩個不同容器類型的容器中自動決定容器，容器中儲存有加密資料或加密元資料。接收活門資料，如活門資料之至少一加密活門所定義，活門資料賦能可見存取至加密資料或元資料。

如果滿足容器的預先定義條件時，加密資料或元資料所儲存之容器可自動切換或改變。舉例來說，如果某些資料或元資料對客戶而言為高度優先，那麼它可能會自較慢、長期的儲存裝置移至存取延遲的靈活容器中。或者，可因為其他為了提高效率的因素移動、刪除或複製資料或元資料，例如可根據與加密資料或元資料相關的儲存大小、根據指定用於加密資料或元資料的存取速度要求、根據指定用於加密資料或元資料的恢復可靠性要求、根據可存取加密資料或元資料的一或多個裝置的鄰近度。

在另一非限制實施例，系統包括加密組件，由加密技術提供者至少部分分散，獨立於產生密鑰資訊用於發布或訂閱資料和元資料的密鑰產生器而實施，加密組件根據密鑰產生器所產生的密鑰資訊，可搜尋地加密資料和元資料。

系統還可以包括網路服務提供者，獨立於密鑰產生器和加密組件而實施，相對於由加密組件加密的資料或元資料，提供網路服務，網路服務提供者包括資料容器管理組件，其根據資料延遲要求、資料可靠性要求、與資料消費要求的距離、或網路服務的資料規模要求來管理加密組件加密的資料或元資料所儲存之處。密鑰資訊可包括功能資訊，功能資訊相對於加密組件加密之資料或元資料，定義存取權限。可對功能資訊後期綁定，以使最新的存取權限被授予至特定的使用者。

在另一非限制實施例，電腦系統包括資料儲存裝置，儲存選擇性存取加密的資料或元資料，其中發布者社發布代表資源的資料或元資料至資料儲存裝置，第一獨立實體產生加密密鑰資訊，根據第一獨立實體所產生的加密密錀資訊，在將資料儲存於資料儲存裝置之前，第二獨立實體加密發布之資料或元資料。系統提供網路服務，網路服務根據發布者或資源之所有者所授予之後期綁定的選擇權限，針對網路服務之請求，賦能加密資料或元資料之選擇性存取。在這方面，系統不知道容器類型，因此資料儲存裝置包括不同類型的容器，且資料儲存裝置根據容器所代表之現有儲存資源的分析，自動分配不同容器中選擇性存取加密資料或元資料之儲存。

在一個實施例中，「資料」是XML資料，包括XML有效負載資料(例如文字字列「Michael Jackson」)和有效負載的XML標籤資訊(例如</Name>)。XML標籤資訊可以與可搜尋加密和選擇性XML資料解密有關的額外元資料擴充。在這方面，以這種方式應用XML標籤建立「信賴信封」用於結構化XML資料，以利用加密密鑰產生實體(CKG)和加密技術提供實體(CTP)之聯合來提供信賴保證，如機密、隱私、匿名、篡改偵測和完整性。如前所述，任何有關XML資料或元資料的實施例也適用於其他格式，例如但不限於JSON、S-表達式、EDI等，因此XML在本實施例中只是用於說明目的。

如果是分散於較大的文件中，XML資料也可編碼實施資訊用於定位其他相關片段。由於在不同的容器的分散方式，(即一或多個中間層處理特定容器的儲存細節)，實現方式是與技術獨立的(任何CKG/CTP都可以使用)。此外，除信賴封套，實現方式是開放式的，因為當有新的封套技術時，可應用任何數量的封套(除了可搜尋的加密和驗證)。標籤也可以加在有助於調節一致性、帶尾等的預先存在資料和元資料上面(或透過擴充元資料)。

如果資料/資訊是XML格式，那麼任何這些技術或封套可以適用於結構化XML資料，以使可以有選擇地查詢資料以存取XML片段。XML的標準格式是<tag "value">或<tag "value"|XML end-tag>。就結構化XML文件而言，有以層次代表結構的方法，以便有指向CKG/CTP框架的外部封套，CKG/CTP框架對數位代管模式而言為獨特的。所以，當有需要或想要存取嵌入式片段時，可利用現有的信賴與<CKG>和<CTP>封套，或可以新的CKG/CTP框架建立新的信賴集合。

這可以透過標準的公共密鑰架構PKI來提供，但是所選擇的具體方案並不限制於此處所述的技術。在這方面，無論選擇了何種特定的加密技術，本文所述實施例賦能使用者搜尋、擷取和解密加密的資料或元資料的區段、子集或部分。此外，可執行資料所有權機制的公共證明(代表裝置執行之受信賴第三方)，以驗證被存取之特定XML部分自最初撰寫開始沒有被篡改。

從本質上講，XML片段或完整記錄的「可靠信封」(例如「有效負載」)是透過各種允許信賴執行於信賴擔保範圍的「裝飾」提供，例如但不限於機密性、隱私性、匿名性和完整性。

XML文件片段是可以XML標籤資訊表示而作為可靠信封的一部分的資訊類型，它可以被指定用於各層級的敏感度。例如，可能存在具有公共、秘密和最高機密段落的文件。執行搜尋並以秘密清除要求存取的個人只可以存取公共和秘密段落。段落的分類也可以用來決定加密機制、密鑰、和存取政策。例如，可以執行不能自無線或遠端裝置存取最高機密內容的政策。

類似地，這樣的分類可以用來建立如何儲存資料、何處可以儲存資料、可以儲存多久等的政策。例如，可以建立要求(敏感)醫療資料必須使用AES 256加密在每天備份一次到可靠資料中心的安全伺服器的政策。

在一實施例，一種主管可擴展標記語言(XML)資料的方法包括：第一控制區域的第一計算裝置自第二控制區域的第二計算裝置接收加密的XML資料，其包括加密的XML有效負載資料和加密的XML標籤。加密的XML資料係根據基於加密的密鑰資訊的可搜尋加密演算法，自第二計算裝置的定義XML資料集合的加密所形成。資料的請求包括基於加密密鑰資訊之功能，其定義用於存取至少一些加密的XML有效負載資料或加密的XML標籤的權限，如功能所定義地賦能選擇性存取加密的XML資。

雖然一些實施例是在XML資料加密的情境下描述，可使用任何數學轉換或XML資料的模糊化。例如，在一個實施例中，XML資料是根據大致上不可猜測之資料分佈演算法(將XML資料分佈在不同的儲存位置)而分佈。如果被授予存取地圖，維持允許請求實體有權限之資料相關聯部分的重建的地圖。在這方面，在加密情境中之實施例可以由此被推廣到以隱藏資料的方式來模糊或編碼資料而無需存取權限的任何演算法或數學轉換。

功能可以包括活門資料，包括加密活門用於選擇性地存取加密的XML有效負載資料或加密的XML標籤。加密的資料包括形成自加密XML有效負載資料之分析或加密XML標籤的輔助加密元資料。例如，公共、秘密或最高機密的機密等級標籤可以片段的基礎應用到XML文件的每個有效負載元素上，並包括於輔助加密的元資料以在存取XML文件的部分方面實現高度精確的政策。

在另一實施例中，一種訂閱可搜尋的加密XML資料的方法包括：自密鑰產生組件接收加密密鑰資訊，密鑰產生組件是根據與訂閱裝置相關的識別資訊而產生加密密鑰資訊；由訂閱裝置請求可搜尋的加密XML資料的子集及對應的XML標籤資料，包括為了可搜尋的加密XML資料的子集及對應的XML標籤資料將加密密鑰資訊傳送到儲存提供者；根據在加密密鑰資訊所定義的功能，解密加密XML資料的子集及對應的XML標籤資料。

對於加密XML資料的的每個XML片段，代表對應加密XML資料之機密程度的XML標籤資料是可被解密的，可以決定允許存取資料的功能是否有機密程度。如政策所定義的，這包括機密的公共程度是開放存取權限的，或機密的秘密程度是較不開放的。

這些方法可以包括：驗證與請求一致之訂閱裝置接收到正確的加密XML資料的子集和相應的XML標籤資料。一個驗證的例子包括執行資料所有權的證明，以證明訂閱裝置接收到正確的子集。這些方法也包括驗證在接收到加密XML資料之子集及對應之XML標籤資料之前，加密XML資料之子集及對應之XML標籤資料的內容沒有被刪除或修改。驗證的例子包括執行可擷取驗證，以證明沒有干預到內容。在其他可選功能中，在請求存取加密XML資料或密鑰資訊時，可將與訂閱裝置相關的憑證匿名。

在另一實施例，一種用於發布擴展標記語言(XML)資料的方法可以包括：根據可搜尋加密演算法，加密XML資料，以根據加密密鑰資訊而形成包括加密XML標籤資訊的加密XML資料，加密密鑰資訊係接收自單獨的密鑰產生器，密鑰產生器產生加密密鑰資訊並將加密XML資料傳輸至網路服務提供者用於加密資料的儲存，其中加密資料係根據選定權限的後期綁定而選擇性地存取，選定權限係根據請求裝置的識別資訊而授予至請求裝置。加密可包括自密鑰產生器接收加密密鑰資訊，密鑰產生器是在不同的控制區域中執行，密鑰產生器根據執行XML資料加密的發布裝置之識別資訊而產生加密密鑰資訊。

在另一實施例中，訂閱可擴展標記語言(XML)資料的方法包括：回應於由訂閱者裝置請求包括加密XML標籤的可搜尋加密XML資料的子集，自密鑰產生組件接收加密密鑰資訊，密鑰產生組件根據與訂閱者裝置相關的識別資訊而產生加密密鑰資訊。按定義於加密密鑰資訊及授予訂閱裝置之權限，對加密XML資料之子集進行解密。

各種技術可以包括由訂閱裝置相對於加密XML資料的子集的資料項目，請求接收到正確資料項目的證明，其可包括接收對訂閱者裝置證明由訂閱者裝置請求之加密XML資料之子集中的資料項目是正確的資訊。各種技術可以包括請求下述證明：在訂閱裝置請求之前，加密XML的子集沒有受到干擾，其可以包括在訂閱裝置請求之前，接收對訂閱者裝置證明加密XML的子集沒有受到干擾的資訊。

在另一實施例，系統包括資料儲存裝置，儲存選擇性存取的加密XML有效負載資料和對應XML有效負載資料的加密XML標籤，其中訂閱者請求訂閱加密XML有效負載資料或加密XML標籤資料的子集，第一獨立實體根據與訂閱者相關的識別資訊而產生加密密鑰資訊，第二獨立實體根據第一獨立實體產生的加密密鑰資訊，對子集進行解密。該系統還包括網路服務，用於處理訂閱者的請求，網路服務提供選擇性存取至加密XML有效負載資料或加密XML標籤資料的子集。該系統可配置以驗證加密XML有效負載資料或加密XML標籤資料的子集是正確的子集，及/或驗證在選擇性存取加密XML有效負載資料或加密XML標籤資料的子集之前，沒有未經授權更改或刪除加密XML有效負載資料或加密XML標籤資料的子集。

在另一實施例中，系統包括加密組件和網路服務提供者，加密組件係由加密技術提供者至少部分地分散，獨立於密鑰產生器而實施，密鑰產生器產生密鑰資訊用於發布XML資料和對應的標籤資料或訂閱XML資料和對應的標籤資料，加密組件包括處理器，配置以根據密鑰產生器所產生的密鑰資訊而執行可搜尋的加密/解密演算法。網路服務提供者，獨立於密鑰產生器和加密組件而實施，網路服務提供者包括處理器，配置以相對於XML資料或加密組件加密的對應標籤資料實施網路服務。密鑰資訊包括「後期綁定」功能資訊，可授予給定訂閱者XML資料或對應標籤資料的最新存取權限

這些和其他各種範例非限制實施例和情境的細節提供如下。

透過封套組成之可驗證信賴

如先前技術所提，由服務組織所擁有的遠端站點維護敏感的企業資料可使資料承受風險，從侵犯隱私到資料損失都有可能。如各種實施施所述，包括資料之數學轉換技術的網路或雲端資料服務係以下述方式提供：分散信賴於多個實體以避免單點資料的妥協，將資料保護要求與資料可儲存、處理、存取或擷取之容器分離。在一個實施例，存取資訊產生器、數學轉換技術提供者和雲端服務提供者各自為獨立的實體，為資料發布者賦能可靠的資料平台以機密地發布資料到雲端服務提供者，並根據訂閱者功能賦能轉換資料之選擇性存取至授權訂閱者。多個轉換封套或轉換層可全部或部分轉換資料、元資料或兩者至數學轉換(例如加密、分發於儲存裝置、模糊)，或將缺乏可見度引進至部分或所有的資料、元資料或兩者。

不同的實施例透過稱為封套組成的技術提供可驗證的信賴，包括將資料儲存在非可完全信賴的伺服器、服務或雲端，或透過非可完全信賴的控制區域交換資料。其他一些可應用到資料的封套或信封，以便建立對資料安全和隱私的高層次信賴的範例加密技術或裝飾包括但不限於大小保存加密、可搜尋加密、應用證明、盲目指紋、可擷取證明等。在一些實施例，候選資料被稱為內容。

可驗證信賴是可透過技術提供諸如匿名、穩私和完整性之保證，這些技術可以包括但不僅限於加密技術、簽名、加密散列和互動證明。還有其他類的保證，具有可應用加密的相關類和其他技術。為便於論述，我們會將所有這些技術稱為密碼法。

許多傳統密碼法和其他用於保護內容、資料，及用於提供可驗證信賴的方案依賴於「全有或全無」的作法，需要接收者或讀者有適當的密鑰或其他機制以獲得存取。

新出現的方法和系統能夠提供「選擇性不透明」，其中可存取此內容的一方可被分配功能用於執行對內容的限制動作。這些行動可能包括基於密鑰、角色證明或請求項所有權等之標準而具有選擇性存取。

這些措施可能還包括對這些內容執行一些動作，可包括搜尋、路由和工作流程，同時繼續具有對內容的限制檢視。這種技術的一個例子在研究文獻稱為可搜尋加密。

下面揭示一些原因：包括方案多樣性、密碼法或系統的限制、或不同政策和參與者的可驗證信賴要求的複雜性。現有的技術和實現無法滿足這些提供系統和操作靈活性和動態組合的不同需求。根據情境的需求，描述可能是暫時的鬆散耦合封套，並提供支援動態增加和封套移除。

圖1繪示用於發布或訂閱使用複合封套之儲存裝置中的資料、元資料或兩者的系統示意圖。根據分散信賴平台，數學轉換組件100包括存取資訊產生器102。存取資訊可為儲存地圖用於重建隱藏或分散資料、加密密鑰資訊或其他功能。還包括數學轉換技術提供者104。組件100是用於由由發布者或訂閱者發布110的資料或訂閱112資料。網路服務提供者120協助與儲存在儲存裝置130之資料150及(或)元資料152之互動。在這方面，封套140可應用於資料150、元資料152或兩者，而可產生、重新產生、刪除、增加、修改這些封套140，或以對應系統或指令改變的方式來更改封套140。

圖2繪示用於發布或訂閱使用複合加密封套之儲存裝置中的資料、元資料或兩者的系統示意圖。根據分散信賴平台，數學轉換組件200包括加密密鑰產生器202。還包括加密技術提供者204。組件200是用來發布222至220或認購發行人或使用者資料。網路服務提供者220協助與儲存在儲存230之資料250及(或)元資料252之互動。在這方面，封套240可應用於資料250、元資料252或兩者，而可產生、重新產生、刪除、增加、修改這些封套140，或以對應系統或指令改變的方式來更改封套240。

圖3繪示同心複合封套的範例，其中外部封套2330與內部封套1 320覆蓋，兩者皆對資料300、元資料310或兩者進行數學轉換(如降低可見度)。封套320和330保護所有的資料300、元資料310或兩者，封套1 320是不可見的，除非呈現適當的功能透過封套2 330提供可見度。

圖4繪示具有橫向封套之複合封套的範例。在具有橫向封套420和430的情況下，相關的轉換並不會將所有的資料400、元資料410或兩者變成可見。在資料400、元資料410或兩者中的所欲部分或項目是模糊的，而其他可以保持可見。

圖5繪示同時具有同心及橫向封套之混合複合封套的範例。在這方面，圖5是合併圖3和圖4之封套的例子，其中封套320和330包覆所有的資料500、元資料510或兩者，封套420和430包覆部分的資料500、元資料510或兩者(不必是連續的，可以是任何子集的定義)。在這方面，可根據維持層級的任何資料結構來代表哪些封套是首先移除封套或彼此獨立的層級。

圖6是使用橫向封套與相關於資料之存取日誌元資料的方塊圖。一個橫向封套的使用範例是資料600可包括存取日誌602(例如起源資料)，橫向封套620保護資料600，橫向封套622保護存取日誌602。因此，並不是所有的資料是由給定封套所保護，不同的標準或完全沒有標準可以適用於資料項目的不同部分。圖6附帶說明額外全封套630可用於部分封套620、622作為額外的保護層。

圖7是透過丟棄或碎掉存取資訊來有效刪除資料的方塊圖，其中如何對資料進行刪除是編碼於元資料中。在這方面，一種刪除此系統中資料的方法(而不移除資料700或元資料710或兩者的封套)是丟棄或碎掉(shred)存取資訊產生器702所產生的存取資訊，因為此時在沒有這些資料的情況下無法存取資料700或元資料710。但是，如果系統選擇記錄一些關於刪除的資訊(何時或者如何發生)，關於資料700或元資料710或兩者的資訊仍然可以保存。

圖8是拌碼資料及關於拌碼之資訊係記錄在複合封套的封套內部或外部的元資料的方塊圖。在這個例子中，封套820保護的資料800、元資料810或兩者可被拌碼，以及有關所使用演算法的資訊可以加到元資料810或外部元資料812或甚至編碼於封套820中其中一者，用於提供資料所發生事情的知識。因此，丟棄存取資訊產生器802所產生的存取資訊或拌碼皆可用來有效地刪除在系統中的資料。

圖9是導致發出功能以查看被封套模糊之資料、元資料或兩者的方塊圖，作為移除封套的替代方案。在這個例子中，提供一種即使有封套保護，對受保護之資料900、元資910或兩者進行「移除保護」(unprotect)的方法。例如，根據政策更改904，存取資訊產生器902在透過封套920而不消耗請求實體下產生功能用於檢視全部或部分資料900、元資料910或兩者。這樣可利用現有架構，而不需要執行代價高的移除保護操作。

圖10是根據指令或狀態改變而自動移除、產生、修改、重新產生或擴充封套的方塊圖。這個例子說明狀態1040中的改變或來自網路服務提供者1030的明確指令可以自動觸發保護資料1000、元資料1010或兩者之封套的改變。例如，當資料達到一定的年齡時，可自動解除封套(例如當資料的相關資訊屆滿時會再次成為透明)。另一個例子是，可產生封套1020，例如當資料成為相關時(如機密狀態)。封套1020也可以不同的編碼再次產生，在有理由相信發生妥協的情況下。另一個例子是，可以改變封套，例如不同的轉換可以用在封套或可使用不同的數學轉換參數。

圖11是使用一或多個橫向封套轉換以執行資料編校任務的範例實施例。例如，編校橫向封套1120可以用來在資料1100編校公司的名稱或日期，或某些關鍵字可在元資料1110編校。另一個例子是，儘管資料是以編校封套1120編校，對於需要知道在資料1100中編校了什麼的人而言，記錄關於元資料1110中編校了什麼或何時編校的某些資訊(被符合的元資料封套1130模糊)是可能的。

圖12繪示用於主管由一複合封套所包覆的資料、元資料或兩者的範例非限制程序的流程圖。

在1200，接收由複合封套保護之資料或元資料或兩者，複合封套係形成自第一數學轉換及第二數學轉換，第一數學轉換基於第一組準則定義第一封套用於資料、元資料或兩者，第二數學轉換基於第二組準則定義第二封套用於資料、元資料或兩者。

在1210，根據包含在請求中之一組功能，接收複合封套所保護之用於存取資料、元資料或兩者之請求。在1220，根據該組功能，基於透過第一封套評估可見度及透過第二封套獨立評估可見度來決定資料、元資料或兩者的存取權限。在1230，接收系統改變的潛在狀態或明確請求改變的指令。在1240，根據狀態改變或指令，基於一組新準則(QoS要求、內容或元資料類型、符合要求等)來改變、刪除或擴充第一或第二封套，產生另一封套，刪除或復原封套，重新產生具有相同或其他數學轉換的封套，或改變管理第一或第二封套的政策。

本文所述的許多技術依賴於保護層級，保護層級可包括受保護實際內容的「內部」有效負載，和包含編碼索引的「外部」有效負載，編碼索引描述可順從盲目搜尋技術的內部資料，如研究文獻中提到的「使用關鍵字搜尋之公共密鑰加密」。

在實施時，提到「內部」與「外部」可能意味著文字上的內容，其中存取「內部」有效負載將需要透過諸如解密之技術對「外部」有效負載或封套解鎖。不過，這也可能是一個虛擬的概念而沒有實際內容，但沒有對外部封套進行解碼是很難找到或重建內部有效負載。

的前面提到這種困難是由於加密技術或其他數學轉換所引進之運算複雜性，或是由於透過所有權和控制區域提供之內部和外部隔離的系統技術，，或者也可以是利用與最佳化散布和重建之系統技術結合的加密散布技術的組合。

有幾個建立封套層級以提供可驗證信賴的原因，其中一些已描述於上。這些措施包括根據在現實世界中觀察到自然層級(如組織層級)來提供選擇性不透明度。其他原因包括能夠以提供更適合現實世界中之實現的合成的方式，結合不同加密技術與互補特性加密或系統特性的功能。

有很多其他新增或移除封套的原因，處理修改驗證信賴之要求的時間或空間事件，但是在並不需要內部封套或有效負載保持不變的方式下。

時間事件可包括加密技術用於產生這些封套的估計或假設，其可由於硬體、軟體或科學的進步而削弱其提供保證的能力。透過以時程表、在要求時或其他觸發來產生新封套，可建立系統接受失敗的能力，以促進長期提供可驗證信賴的能力。

空間事件可包括處理內容的各方在擁有權或所有權的轉讓，可能是選擇加密技術的原因，可能是包括管理、法律、法規符合，以及在跨主權實體和地區的界限時需特別注意的。可建立系統以嵌入這些功能於閘道中、或直接於封套中、或以一些混合的方式，以使封套是基於反映新的擁有者或所有者的規則而實現或蒸發。

在文獻中有技術是嘗試提供可驗證的信賴，可驗證的信賴可模型化自然層級，包括分層的基於識別加密、基於屬性的加密、和謂詞(或功能)加密。也有技術是提供固有功能以透過諸如全同態之加密技術特性在虛擬方式下實現封套。在存在這些技術下，有可能繼續有透過封套合成的需要，如上所述可能包括可驗證信賴及系統等的其他原因。

合成封套的加密理由包括需要可透過內部封套合成的符合技術，內部封套提供更強的保證或對於存取的更細粒度控制，外部封套減少將資訊洩露給對手的可能性，但提供較粗粒度的控制和較弱的擔保。因此，合成材提供保證和控制的較佳組合。

系統原因可能包括需要將技術與不同特性符合，這些特性可包括性能和規模。在這種情況下，外部封套可建構自提供較高性能和規模的技術，儘管有一些功能限制，內部封套具有擴充或互補的功能，預設為具有較低性能和規模。

在實施時，通常情況下，新興的加密技術提供更多的功能，但會影響到性能和成本。隨著對這些技術的分析、改進和規範，通常在時間推移下，會對這些新興的技術缺乏信賴。同時隨著時間的推移，我們學會以更有效率的軟體或硬體方法或兩者之組合來實施這些技術。

封套以提供安全網的方式來促進這些新技術的最佳利用，其中內部或外部封套可彌補實現任何單一封套的已知或未知弱點或不足或技術中固有之缺乏特徵。例如，外部封套可以提供關鍵字隱私和高性能，但是以較粗粒度的存取控制或甚至沒有。這可以不提供關鍵字隱私的內部封套輔之，但提供了更精細粒度的存取控制，但可能有較高性能和規模的懲罰。

通常情況下，外部封套將最佳化用於「假正性」(false positives)，因為它更有可能作出選擇用於搜尋、路由或工作流程。這可能反映了在真實世界的組織中有較高的允許層級或含有允許層級。但是，相應的內部封套將此結果專門化用於此層級的內層。例如，外部封套可網羅適合用於某大學數學系的結果，而內部封套可篩選數字理論家感興趣的結果。

還有其他的原因存在。包括需要提供特定情境可驗證的信賴保證。例如，有可能存在的類似情境是，防止特定關鍵字的存在知識是不重要的，可能是因為這些關鍵字域大到足以讓字典或關鍵字猜測攻擊在計算上不切實際，或因為漏掉這些關鍵字對該情境而言是視為低風險的。

相對而言，可能有其他的類似情境是這些關鍵字是高度敏感的，和資料所有者(或是所有者的企業、社會資源、支援或消費網路)希望該資料的現在所有者(如伺服器、服務、雲端、或其他方)在沒有學習任何有關這些關鍵字的情況下執行動作，他們在這些關鍵字上操作以執行包括查詢、擷取或路由、或執行其他操作之動作之。

此外，在許多現實世界的類似情境中，內容是包含從高度敏感到可丟棄的連續範圍中之組件的合成。通常任何真實世界的組織反映了這些不同的要求，其係反映在儲存、交換、或合作操作的合成內容中。

此外，在許多這些合作情境中，包括許多外部網路情境，其中企業跨組織、規範法規、主權實體、或其他邊界合作，由一方所存取之內容的分類將根據所有方與存取方之間的現有業務或合約關係或歷史和信賴由所有者視為映射到連續範圍中的一點。此外，這種映射和關係可能是短暫的，也許短暫到特定的商業交易或社會互動。

在任何加密和系統技術的可預見狀態，設計能夠滿足跨情境之要求範圍、所有可驗證信賴要求、包括性能和規模的系統要求、以及可能包括先前提到之其他要求的單一解決方案似乎是不切實際的。由於以某規模提供這些解決方案的複雜性和成本(通常導致商品的成本上升而轉移到最終使用者)，這可能造成伺服器、服務、雲端和其他傳送的高度發展、維護和操作負擔。

本文所述技術是自加密及(或)系統觀點而言視為最佳的解決方案合成的候選。這樣合成可能包括從適當的候選構建塊服務自動合成混合服務，但這並不妨礙可包括操作或工程干預的半自動化合成。在這種情況下，此解決方案可利用實現合成的能力，合成是建構自提供互補系統、加密等特點，提供最佳解決方案給該情境或類似情境的封套，但是以不造成實現或操作負擔於該情境或類似情境所不要求之特徵或功能的方式。

實施封套的其他原因包括在有合理需要控制存取內容之個人或組織之要求、需求和政策之間進行調解的需要。這是一種常見的商業情境，其中指定的各方必須同意解除某些內容的存取鎖定。一個例子可包括臨床試驗的類似情境，其中內容可由FDA和HIPAA規範，所有權可由諸如製藥贊助商(如默克公司)和資料所有者(如微軟的HealthVault)的各方之間共享。贊助商可能會由於需要保護該研究結果的知識產權而行使權力，HealthVault由於需要保護參與臨床試驗的顧客的匿名性和隱私而行使權力。

因為這種衝突往往由於不一致、矛盾、或定義含糊的政策而出現，存在有密碼、系統和人為輔助技術用於進行調解、和解和仲裁衝突。這些加密技術包括利用秘密共享的技術，實施則包括部署多權威密鑰或功能產生器的實施。然而，這些技術並不總是滿足可驗證信賴、靈活性、表現力或系統性能和規模的正確組合。即使有滿足各方所有潛在不同和相互衝突之要求的單一技術和實施，可能會由於其他參與者對技術、實施者或主管者缺乏信賴，而不信賴單一實施或部署。

在這種情況下，封套是候選的解決方案，封套可輔之以其他自動化技術或透過手動干預(也許可以透過電子或手動工作流程)來補充。這種合成解決方案可以利用封套，封套可在企業網路中提供控制層給特定當事方或一組當事方。封套也可為當事方或一組當事方所信賴的技術、實施或部署。封套可與遠端雲端參與互動協定，以實施後期綁定或支援到期或撤銷，或以可驗證信賴提供審計日誌。或者此封套可以實現離線協定，離線協定可根據存取憑證和一些可取得政策，以合適的方式允許、阻止及(或)記錄存取。

其他用於透過封套實施可驗證信賴的原因可能包括需要管理諸如鑰匙、密碼、密碼短語、憑證或其他知識或所有權之證明的資產或物件。通常加密系統可由於需要產生、管理、備份、存檔、保留、丟棄、安全碎掉、提供舉證、支援伺服器、服務和雲端用於存取物件，以於失敗時提供可用服務層級協定的所需層級、可擴展性、延遲和資料丟失和恢復時間上限的方式造成額外的系統負擔。

由於需要提供信賴層級給這些伺服器、服務或雲端而進一步使問題加劇。這通常是透過諸如PKI之信賴層級。這些系統需要進一步擔保，以使若伺服器、服務或雲端以任何方式被損害時，不得透過假冒(impersonation)和中間人(man-in-the-middle)攻擊來發動襲擊。

在這種情況下，封套提供可與遠端伺服器、服務或雲端適當結合的候選解決方案，遠端伺服器、服務或雲端提供配套功能，其係以可減輕系統管理負擔、複雜性、延遲及互動協定之WAN脆弱性的方式，原因包括存取、認證和物件擷取。在這種封套的實施例中，外部封套可容納必要物件用於存取內部封套。其中一個結果可能包括消除了儲存和存檔這些物件的需要，因為它們由於包括於內或透過有效系統工程而為有效負載的一部分。

一個提供混合解決方案的機會是這種封套可能與遠端伺服器、服務或雲端啟動互動協定，以實施期限屆滿或撤銷，或提供審計日誌與可驗證信賴用於諸如審計或舉證之目的。這種混合解決方案的實施方式可最佳化伺服器、服務或雲端的負載，也可最佳化以在網路問題存在的的情況下操作。

在這些和其他情況下，封套可以有選擇的技術、實施、遠端伺服器、服務或可選互動協定的雲端，其係以可輔助企業網中可驗證信賴的方式。封套可設計以實施線性層級或諸如樹狀或圖形之更複雜結構。這些結構既可以是實際的容器或可如前所述為虛擬。這種複雜的結構可輔助靈活和善表達的決策樹，決策樹可實施門檻參與、覆蓋和受託之結合，也許還有例外和手動覆蓋。

有些加密技術可以透過諸如多權限密鑰或功能產生器之系統來提供相等的功能。這些技術和系統可以被看作是合成系統中不同封套的候選，其由於所有的商業、社會、政治、主權以及其他現實世界網路中必須供應的複雜需要，而滿足企業網路參與者的不同需求。

這種複雜的現實世界網路、生態系統和市場通常是從一組最初參與者開始有機成長，其透過越來越多參與者的網路增長影響而繼續成長。其他網路實行自上而下的，也許透過標準或fiat。通常現有的網路(也許是有機成長)會裂解成筒倉(silo)，這也許是因為衝突或外來效力。因此，通常需要能夠支持有能力合併或分開的網路「森林」，也許是透過該網路中內在要求的短暫信賴本質。

本揭示概述很多利用封套的理由。在現實世界中的應用解決一些可驗證信賴和系統的需求，並透過基於模組化概念和構建塊(包括上文所述的)之適當合成和延伸來支援各種情境。

為便於論述及教示，文本有時使用某些縮寫，或作了某些隱含或明確的假設，其中包括在下面說明的假設。

提供任何形式之可驗證保證的技術(可能是實現邊界、控制區域、空中間隙的系統解決方案，或基於計算難題的加密和類似技術)統稱為密碼、密碼法、加密解決方案或其他類似或相同的詞組。然而，為避免疑問，諸如可搜尋加密之加密技術不是必要條件。可使用任何數學轉換、編碼、混淆等，以及其他保護資料的技術，例如隱藏資料或將資料分段而在沒有重建圖的情況下不能拼湊起來的技術。諸如簽名或加密之操作或諸如散列之技術相較於諸如匿名、保密性、完整性、隱私和不可抵賴性之術語，在共同使用上傾向於更為明確。

在這種交換中的其他各方可包括諸如外部網路或商業情境的企業網路之參與者。或者可能是消費者、個人、朋友和家人的社群、支援網路。或者可能是跨越不同主權實體或管轄區的個人或組織網路。這些主權實體或其代表可輔助或參與或兩者，並可形成諸如NATO之網路。

透過封套實施合成並以可配置方式最佳化可驗證信賴的方法和裝置簡稱為封套。實施可利用軟體、硬體或其他手段來實現建立空間或虛擬容器的離線協定。其他實現可包括互動協定與遠端服務，或離線操作和互動協定的組合。

涉及輔助交易或互動協定的各方可包括伺服器、服務、雲端、可為人工或自動的工作流終點、或其他各方，這些被稱為雲端。雲端的實施可包括公共、私人、外包、專用或多個租戶的版本。

用於可靠計算和資料服務的無容器資料

使用可靠技術平台的技術，資料(以及相關的元資料)與保存資料的容器(例如檔案系統、資料庫等)分離，透過施以數學複雜性，賦能資料作為自己的管理人，數學複雜性是以所呈現功能穿透，如前述實施例所述之信賴平台的加密密鑰產生器所授予之密鑰。分享或存取資料或資料的子集是以保存和延伸信賴的方式來輔助，而不需要特定的執行容器。諸如可搜尋加密技術之複雜數學施用於資料以保護資料，而不需考慮到特定位元所記錄於之容器或硬體，即在無容器狀態下保護資料或不需考慮到容器，因而在容器損壞時不會受攻擊。如果特定安全機制被破解，內容仍然受到保護。

圖13是用於提供一或多個安全、私密、選擇性存取網路資料服務的實施例的一般環境方塊圖。為了說明起見，繪示多個企業1300、1302，雖然技術也適用於單一企業或合作企業。在不同的實施例，使用聯合信賴覆蓋，企業1300之政策1310和企業1302之政策1312的執行1320可基於FTO基礎架構1330來共享而用於協同努力。執行1320可由企業1300、1302分別應用。在這方面，由於基於信賴覆蓋1330政策和執行是完全在企業1300、1302的範圍內，實際資料在雲端1340中的位置和使用何種特定容器1342從客戶的角度來看變得無關緊要，除了客戶真正關心的事情：延遲、可靠性、服務保證的品質、備份、擷取時間、大小保證等。

因此，認知到信賴覆蓋1330將資料自保存資料的容器釋出，在不同的實施例中，資料儲存管理層1350根據儲存資源之即時可用的分析和各自的特點而自動處理客戶所關心的事，以最佳化符合客戶需求的資料儲存。儲存管理層1350的破滅表示它的位置並不是很重要。儲存管理層1350加密通常沒有加密權限以存取、檢視、或更改儲存在一或多個資料儲存1342之資料，但是，揭露諸如檔案大小或類型之一些元資料，以輔助了解客戶未來將要如何使用資料，可使儲存管理層1350作出明智的儲存選擇。例如，若有足夠的機會檢視資料而知道其為視訊資料，儲存管理層1350可將視訊維持於符合串流媒體要件的媒體儲存。

圖14繪示「資料作為自己的管理人」的一或多個態樣的方塊圖。由於政策和執行是在使用者或企業的控制範圍內，資料和相應的日誌是被加密的，只有在授予使用者的特定功能下可存取，詳細介紹如下。例如，通常情況下，沒有權限的人(如雲端儲存提供者的操作人員)無法查看、修改、篡改或刪除而不被發現。當資料是自己保管時，政策是由資料所有者/發布者設定，存取是由資料本身執行/保證，無論是儲存在何處，使得容器的選擇是多餘的。信賴擔保是由資料所執行，但是透過描述訂閱者/客戶對資料之權限而由所有者/發布者控制。

如圖所示，在非限制實施例，企業1420相對於使用者1426及其對企業1420之系統資源的使用以及外部使用者1430(如行動員工)「擁有」政策1424和政策1424的執行1422。因為資料作為自己的管理人，可透過將資料儲存在雲端1400而將實際資料及(或)日誌1405與政策1424和執行1422分開，但是，雲端1400的操作人員1410無法查看、修改、篡改或刪除資料及(或)日誌1405而不被發現。

圖15是用於提供一或多個安全、私密、選擇性存取網路資料服務的實施例的一般環境方塊圖。在一般情況下，揭示一種使用聯合信賴覆蓋來分散信賴的非限制例子，計算裝置1500(如顧客)是在第一控制區1510，計算裝置1520(例如雲端服務提供者)是在第二控制區1530，計算裝置1560是在第三控制區1590，加密技術提供者1580是在第四控制區1595，密鑰產生器1582是在第五控制區1597。計算裝置1500、1520、1560可分別包括處理器P1、P2、P3和儲存裝置M1、M2、M3。在這方面，按照所描述的各種非限制實施例，提供用於賦能雲端中加密資料1540的技術，以使項目1550或項目的一部分可基於存取權限有選擇地擷取自雲端。在這方面，可提供一組分析服務1570作為一層覆於將儲存之加密資料1545、1547上，其可自動決定何處可最佳儲存加密資料1540或1542，加密資料1540或1542是基於來自裝置1500之區域資料集合而維持於雲端中。在這方面，服務1570確保當計算裝置1500基於CTP 1580/CKG 1582聯合信賴覆蓋而擷取資料時，擷取之資料1552或1550係擷取自給定請求的最佳容器，或者如果是次佳的，會自動交換容器。例如，如果計算裝置1560的當前容器對於客戶需求而言是操作不善的，或者客戶的需求改變了，分析儲存服務1570可即時移動或複製資料到另一儲存容器並無縫切換服務至更適合的容器，例如是為了滿足服務要求的品質。

圖16是「資料作為自己的管理人」的管理容器的流程圖。在1600，由第一控制區域中的第一計算裝置自第二控制區域中的第二計算裝置接收加密資料。加密資料係根據基於加密密鑰資訊之可搜尋加密演算法而形成自加密資料用於第二計算裝置之一定義資料集合。在1610，接收加密元資料，加密元資料是形成自資料之分析及基於加密密鑰資訊之分析的加密輸出。在1620，決定由哪些容器儲存至少一些加密資料或加密元資料。在1630，如果預先定義的條件得到滿足，可自動更改加密資料所儲存的容器。

圖17繪示「資料作為自己的管理人」的一或多個態樣的另一方塊圖。在這方面，就安全性而言，容器是多餘的，存取是由加密封套執行，政策則是由所有者/發布者制定並由加密封套保證。取決於情況所需之特定安全，封套可以包括各種加密技術，如以下不同的實施例所述。例如，政策是在企業層面設定，然後使用者尋求存取資料，資料是由允許或拒絕進入之加密存取控制所封套。取決於企業所定之政策，其他使用者(如企業審核者、保安人員、操作人員等)可能有封套所定義之存取權限。

如圖17所示之例子，企業1720有企業員工1722，企業員工1722受到企業存取政策1730的規範，一些企業員工1722可設定企業存取政策1730。企業存取政策1730可影響如何存取、操作、擷取、搜尋儲存在雲端容器1700的資料容器1710的資料1712。因此，當資料1712的使用者1708試圖存取此資料1712時，企業存取政策1730所指示之各種加密存取控制1714(但與企業存取政策1730分開)保護資料不被使用者1708無端存取。資料容器1710之加密存取控制1714可反映不同的企業存取政策1730，以適用於不同的存取實體或任務(如保安人員1704或操作人員1706執行之企業審計)，以確保可見度是限制於可賦能存取的物件。資料容器1710可以位於任何地方且就安全而言是多餘的，而且存取是由加密存取控制1714所執行。在這方面，企業存取政策1730可由企業所有者設定及由加密封套保證，如加密存取控制1714所實施。

圖18繪示「資料作為自己的管理人」的一或多個態樣的另一方塊圖，說明資料可超越傳統的容器安全模型。在這方面，如所認知，資料不僅可以位於任何地方，可以就特定情況而言為最佳之方式，接合或分開資料以跨越多個容器。置放的方式可最佳化、存取、恢復等，儲存管理層可處理一致性、版本、垃圾收集等。

如圖18所示，企業1820定義適用於企業員工1822之企業存取政策1830，而資料由加密存取控制1814遠端儲存並保護，其係適用於希望存取資料1812的使用者1810。系統和使用者1810不知道儲存資料的容器是儲存在雲端1800、企業1802的某個地方、或透過覆蓋網路1804儲存或其組合，資料可以跨越容器。

圖19繪示儲存管理層，執行諸如自不同類型之多個資料容器的資料自動碎除、快取、複製、重組功能。這種過程可依據包括明確政策和存取模式之準則來執行。如圖所示，從使用者的角度來看，資料容器1900包括資料1902和加密存取控制1904，資料容器1900儲存在抽象儲存層1910用於儲存所有資料，但是，在現實中，資料是由加密存取控制1904保護，可根據包括政策和存取模式之準則而跨雲端資料服務1920、檔案系統1922、企業資料庫1924、覆蓋網路1926等來碎除、快取、複製和重組資料1902。

圖20繪示安全覆蓋網路的方塊圖，安全覆蓋網路將加密存取封套加至資料，資料是儲存於不同的資料容器，用於安全、隱私、可靠等的支點賦能資料作為其管理者。具體來說，覆蓋網路2010可為中間儲存媒體，用於進一步儲存資料2002之容器2000，資料2002由加密存取控制2004保護於雲端資料服務2020、檔案系統2022或企業資料庫2024之任何一或多者中。因此，就其最終目的地而言，儲存可以是分層級的。

圖21繪示舊有應用程式的方塊圖，舊有應用程式之基於容器的世界觀(例如資料庫文件)不需要改變。為了在聯合信賴覆蓋儲存情況下使用，根據應用程式和舊有容器的需求，可提供執行加密協商、加密轉換和快取、版本、租用等之適應器。更具體地說，舊有應用程式2100可以一如既往之方式與雲端資料服務2110、文件系統2112和企業資料庫2114進行互動，然而抽象化儲存層2120仍然可使無容器資料在幕後發生。抽象化儲存層2120可曝露適應器，適應器根據應用程式和舊有容器的特點而實施加密協商、加密轉換和快取、版本、租用等，然後將容器裝資料2140引導為無容器資料，例如透過圖20中所描述的安全覆蓋網路2130。

圖22是範例架構模型，可與舊有應用程式以及FTO應用程式使用。在這方面，FTO賦能應用程式2205可直接插入FTO2200並利用資料之安全和隱私儲存、處理等。對於感知SDS應用程式而言，可提供層2210以加入資料之加密碎除和散布。對於感知一致性應用程式2225，如層2220所示，可使用現有的未經修改的覆蓋網路並橋接到系統。例如，可透過層2220將Live Mesh、Fabric/CAS橋接到DaaS和XStore。最後，如圖21所述，可提供適應器2230，適應器基於傳統應用程式2240和傳統容器2235的特點而執行加密協商、加密轉換和快取、版本、租用等。這些層和應用程式可根據聯合信賴覆蓋來利用雲端儲存提供的好處。

圖23繪示加密封套或信封在描述資料或資料特徵之資料及(或)元資料的一般使用的方塊圖。作為一個例子，記錄2302(如資料有效負載)和相關元資料及(或)標籤2300可以數學可選擇存取的方式來同時或單獨進行加密，以產生加密元資料和標籤2310和加密記錄2312。有了此加密資料/元資料，可數學可選擇存取來執行各種操作，例如搜尋資料或元資料、資料或元資料之邏輯運算、查詢、備份操作、資料審計等。除了加密元資料2300和記錄2302，可按任何所欲目標2314將可選額外資料加到加密封包，或將可選額外標籤2316加到內容作為加密過程的一部分，例如公共或秘密標籤允許或禁止存取某些類別的使用者。有了這些額外的資料2314或標籤2316，可進行諸如完整性檢查、篡改檢查、可用性檢查等之其他操作2330。

圖24是顯示有效負載2402和標籤2400的例子，有效負載2402和標籤2400被加密以形成加密標籤2410和加密資料2412用於操作2420。此外，如前所述，可以資料2414來擴充資料，可以標籤2416來擴充標籤，其可輔助操作2430之額外集合。

基於圖24之範例，圖25繪示圍繞聯合信賴覆蓋的範例。在這方面，可基於受公眾檢驗之強健性的開放方法，以沒有後門之方式實現CTP 2500。基於CTP 2500，可產生CKG 2550用於處理功能請求，例如密鑰2540用於執行操作2530(例如搜尋、邏輯運算或查詢、備份、審計、篡改檢查、完整性檢查、可用性檢查等)。雲端資料服務提供者2520可提供服務，例如儲存加密元資料2510和加密資料2512。在可選實施例，雲端以資料或存取模式不可見之方式來主管資料。

圖26繪示使用信賴覆蓋來加密並上傳記錄以及索引到雲端的方塊圖。在這方面，將記錄和索引可搜尋地加密，以使索引可被選擇性存取作為至相關資料之第一可見層。然後，基於索引搜尋，各種內容或記錄可識別為與給定索引匹配，然後使用者可基於權限存取匹配的內容或記錄，其係於資料上操作為第二保護層，首先存取索引用於搜尋或其他操作，然後存取資料。在這方面，任意數量的分層加密封套可以適用於資料和相關元資料的不同部分。如圖所示，客戶2600可能有不同的記錄2602，在2630，加密索引2604是產生自這些記錄。在2640，記錄2602和加密索引2604上傳至雲端2610並儲存在雲端2610為記錄2612和加密索引2614。為了擷取記錄2612，例如基於加密索引2614，在2650，客戶2600自雲端2610接收具有至少一簽名2622之記錄，在2660，可檢查至少一簽名2622。

圖27繪示客戶端可以如何利用聯合信賴覆蓋架構以產生、上傳及(或)搜尋索引於加密資料之上，以有更豐富的雲端儲存經驗。聯合信賴覆蓋架構涉及權力分立來產生可靠的加密生態系統，詳細介紹於下。

FTO 2785是一個生態系統，此生態系統透過分開的數學轉換來提供客戶2775好處，數學轉換是相對於雲端或其他儲存中之無容器資料而發生，此生態系統包括雲端資料服務(CDS)2780、加密技術提供者(CTP)2770和密鑰產生中心2790。作為一個例子，客戶2775可能有文件2700，許多關鍵字2710與該文件相關。用於加密之公共參數2765是擷取自CKG 2790，而用於執行數學轉換之技術是擷取自CTP 2770。執行上傳時，文件2700會被加密2720並上傳2730到雲端的加密文件儲存2750。位置2735和用於上傳的密鑰2725及關鍵字2710會被輸入以產生文件2700之加密上傳相關之加密索引2740，在2740產生之加密索引會在2745上傳至加密索引儲存2755。

圖27說明加密索引資料之上傳，圖28說明解密索引來搜尋特定的內容，其係基於聯合信賴覆蓋提供的功能而授予，然後基於搜尋結果之可見度，可以授予使用者功能或權限以解密有關搜尋的實際文件。在這方面，可根據FTO之政策和執行，分別控制對索引之存取和文件之存取。

如前所述，FTO 2885是透過分離數學轉換以有利於客戶2875之生態系統，分離數學轉換相對於無容器資料發生在雲端或其他儲存，FTO 2885包括雲端資料服務(CD)2880、加密技術提供者(CTP)2870和密鑰產生中心2890。

在這個例子中，客戶2875形成查詢2800，然後在2805自CKG 2890獲得活門2810，其係與查詢2800呈現到雲端。在雲端中，在2820，根據擷取自CTP 2870之技術2815，搜尋加密索引儲存2825中之加密索引。頃然後返回仍然加密之結果2835並在2840解密，位置2842和密鑰2844亦擷取自此。這提供系統在2845自加密文件儲存2830擷取加密文件2850的資訊，其可在2855基於密鑰2844解密以返回文件2860，例如圖27之文件2700。

圖29-30繪示系統的一些額外非限制信賴保證的方塊圖。在這方面，可使用證明使用者收到之物是正確的任何演算法作為一個額外的層，以在數學上對使用者證明雲端不提供無用的資訊。例如，一個稱為資料所有證明(PDP)的技術中，標籤是相對於加密資料而應用，加密資料可與驗證資料的正確性一起使用。可應用(和加密)類似的資訊，以證明這些資料儲存在雲端時並沒有被不當更改或刪除。在加密技術中，這種證明通常是以加密挑戰和回應的形式。在圖17日，PDP標籤是與加密記錄、索引、元資料等編碼和加密於雲端中。在圖18，基於與資料完整之FTO的加密諮詢，執行驗證。

關於圖29，如前所述，FTO 2985是透過分離數學轉換以有利於客戶2975之生態系統，分離數學轉換相對於無容器資料發生在雲端或其他儲存，FTO 2985包括雲端資料服務(CD)2980、加密技術提供者(CTP)2970和密鑰產生中心2990。在這個例子中，在2920，透過根據擷取自CKG 2990之秘密2930和擷取自CTP 2970之技術來編碼記錄和索引，發布者2900加密記錄和索引2910。加密或編碼之記錄和索引2950儲存在雲端中。資料所有證明(PDP)的標籤2960可在2920與編碼一起使用，其可幫助確保資料儲存在雲端時的某些態樣。

如上所述，在圖30，基於與資料完整之FTO的加密諮詢，執行驗證。在這方面，FTO 3085是透過分離數學轉換以有利於客戶3075之生態系統，分離數學轉換相對於無容器資料發生在雲端或其他儲存，FTO 3085包括雲端資料服務(CD)3080、加密技術提供者(CTP)3070和密鑰產生中心3090。對於系統審計者3000而言，PDP標籤3040可助於檢查儲存在雲端中之資料的完整性。基於隨機數3005，並根據擷取自CKG 3090之秘密3025和擷取自CTP 3070之技術，審計者發出挑戰3010給雲端中之證明者3020。證明者3020還使用技術304於實施證明演算法。在這方面，證明者3020接收加密記錄和索引3030和PDP標籤作為輸入並返回資訊至審計者3000，其係於3050驗證。基於在3060驗證操作之成功或失敗，通知審計者3000是否保持了加密記錄和索引3030的完整。

如下面所詳細介紹，可將各種加密技術整合入服務提供，服務提供可提供服務使用者隱私和不可抵賴性之強力保證。透過將這些加密技術與資料保護技術整合，可將遠端服務和分層應用實現於資料之上，其係以讓資料所有者和企業客戶(客戶)可精確控制主管資料之實體、雲端服務提供者或操作者(CSP)所執行之操作類型的方式。此外，CSP可在不學習或看到操作執行之資料實際內容之情況下代表客戶執行許多這些操作。此外，客戶可以偵測CSP是否不當刪除或修改資料，或者將資料移動到低性能之二級或三級儲存。在這方面，許多加密技術可與資料服務整合，以提供客戶釋出資料控制的信心，例如提高安全性和保密性。

例如，可搜尋的加密是一種在資料被加密之前自資料複製必要元資料的加密方法。對於非限制範例，例如交給電子郵件，資料是訊息及其附件，必要元資料可以包括選定的訊息應用程式化介面(MAPI)屬性和全文索引。例如，資料是使用先進的加密標準(AES)加密，而元資料是以產生加密索引的方式加密。因此，加密的資料和索引可以交給另一個不完全信賴的實體，如CSP。隨後對聚集之加密資料和索引的選擇性存取可由資料的所有者、顧客透過發送加密查詢給CSP(或其他授權的使用者)來達成。因此，CSP可應用加密查詢於加密索引，返回相匹配之加密資料，但是CSP不學習任何關於資料、元資料、查詢、或結果之內容(除非客戶授權)。

所有證明和擷取證明是「證明者」(在此例中是CSP提供儲存)和「驗證」(客戶)可參與協定之加密技術，其中驗證者可有效率地決定他們所擁有的資料是否完整及是否可易於擷取自資料所有者CSP。這些技術對網路頻寬及CSP執行的操作是有效率的，所以CSP的貨物銷售成本(COGS)保持相對不變，完成協定的時間是合理短暫的。

另一個可整合到提供資料服務的加密技術是應用證明。類似於所有證明，應用證明使驗證者知道證明者CSP是否正確維護資料。

盲目指紋代表另一種延伸網路反欺騙技術(如Robin指紋)的加密技術，通常用於將網路上多餘資料之交換最小化。在不同的實施例，應用指紋以使協定參與者(例如在儲存資料之情況中是CSP)不知道其所主管之資料的實際內容。

基於CSP提供之服務的許多情境因此基於上述框架而出現，相應的加密技術包括儲存和計算服務至通訊和協作服務。大型企業客戶在現有企業資料中心有具大的計算和儲存能力，接受雲端服務的惰慣性可能很大。此外，客戶對於資料中心操作熟悉並有豐富的經驗，想利用操作支出(OPEX)及資本支出(CAPEX)的優點，因此對於將他們的敏感企業資料移至雲端感到擔心。

對於這類的客戶，在不同的實施例中提供應用程式的集合，涉及客戶擁有和操作其現有的伺服器，如交換伺服器。由於資料保護、歸檔、遵從、規範、法律或其他原因，第二資料副本將委託給雲端服務提供者。CSP因而具有技能、技術和規模經濟以保存這些資料，防止資料丟失或洩露，並能輔助在第二副本上面運行的應用程式。可基於維持資料而提供給客戶的範例產品和服務包括訴訟支持、監測和監督、服務撥號音、資料導航等。

關於訴訟支持，當一個公司被起訴，訴訟程序要求實體進行搜尋歷史電子郵件記錄。這些實體包括內部法律人員、人資人員、管理人員、外聘法律顧問、外部訴訟支援夥伴、和對方律師。有關於誰可以進行哪些搜尋的具體範圍規定。在當前的訴訟支援情境中，是很難約束範圍的。因此，參與訴訟支援的任何人看到範圍以外之電子郵件是有可能的。在電子郵件的例子，搜尋結果通常是以個人儲存表(PST)的檔案形式交換，因為這些文件可以被無意或惡意地移交給未經授權的個人，因此構成額外的風險。

對之，當第二副本(例如由CSP在雲端中)遠端主管時並透過資料維護時，有可能由企業中單一信賴實體(例如首席法務長)提供具體活門給操作中之每一個體，具體活門限制其查詢功能至需要範圍。在雲端中主管和透過可搜尋加密和防篡審計日誌保護之資料提供了更高層次的保護，可以避免不適當的電子郵件存取。因為操作中的所有個體直接存取雲端進行查詢，消除了交換PST檔案的需要，訴訟支援夥伴是輸出目標內容以轉換為標籤圖像檔案格式(TIFF)用於個案管理的唯一實體。

關於監測和監督遠端資料副本，任何合理大小的公司應積極主動地監控其組織各種用途的電子郵件。這些可能的範圍從法律/法規到規範理由如監測IP洩漏、剽竊、不當語言等。通常情況下，監測和監控軟體監控主伺服器或備份或存檔之第二副本。監控主伺服器的問題在於可能日讓繁忙的生產伺服器發生過度負荷。此外，管理員有可能意外或惡意修改或刪除在主伺服器之資料，一個解決方案是以合規方式擷取資料並將其轉為第二副本，其中監測和監控軟體不斷掃描傳入的電子郵件，尋找或搜尋模式。然而，在許多企業機構設定中，區域管理可存取第二副本，因此，儘管有篡改偵測和預防機制，資源充足的管理員可以修改或刪除資料。

對之，由CSP維持資料可將第二副本有利地置於不同的控制區域。合適的加密技術(如可搜尋公鑰加密(PEKS)和所有證明(POP)可保證即使企業管理員和CSP員工勾結仍然無法識別他們想要修改的項目。監測和監控軟體在遠端站點或在雲端中運行，並透過已提供之活門尋找有預定義關鍵字之項目。

如本文所述根據不同的實施方案，獨立的資料保護和加密技術相結合的方式可擴充和修改每者以支持他者，可提供目前沒有提供給消費者、企業、生態系統和社會網路的解決方案，以及賦能在雲端環境中無容器、安全、私密和選擇性存取的資料。

可信賴的XML

XML已經演變為一個無處不在的網路交換格式，這是有多種原因的，包括但不限於透過標籤賦能之高效率的描述能力和其層級安排。在這方面，XML資料可根據上述FTO基礎架構得到保護，FTO基礎架構使不同的權限被應用到XML文件的不同部分(包括有效負載和標籤及加在現有標籤或元資料之上的任何元資料)。因此，可信賴的XML以無容器方式儲存。

如圖31所示，XML有效負載3102和其標籤3100可以被加密以形成加密標籤3010和有效負載3112。在這方面，以潛在的不同保護級別將XML文件轉換成XML片段，賦能粒度更細之允許系統，其不依賴於初始組織作為發布方之文件。另外可根據任何功能3114將更多的資料加到有效負載，可應用額外XML標籤以幫助透過可靠XML片段應用之更多功能。有效負載3112/標籤3110上的操作包括操作3120，如搜尋、查詢、備份、審計等。可根據選擇性加入資料3114或標籤3116實現其他操作3130於資料上。例如，資料符合社會安全號碼模式的任何時候，可以自動加入將XML片段標為私密之標籤3116，以保存這些資料不受侵犯。

在這方面，如果資料/資訊是XML格式，任何上述介紹的資料/元資料技術可用於結構化XML資料，以選擇地查詢並獲得存取XML片段。XML有一個標準格式，即<tag "value">或<tag "value"|XML end-tag>。在這方面，結構化XML有一種方式來表示結構層級，所以外部封套將指向對數位代管模式而言獨特之CKG/CTP框架。所以，當有需要存取嵌入片段，現有(或實體、新的)信賴與<CKG>和<CTP>封套一起利用。這允許使用者搜尋、擷取和解密允許的區段。此外，PDP可用於驗證請求的XML區段自初撰寫後沒有被篡改。

因此，在各種實施方案中，透過各種「裝飾」建立XML片段或完整記錄(「有效負載」)的「可靠信封」，各種「裝飾」允許可靠運行於信賴擔保之領域，如保密性、隱私、匿名性和完整性。

這符合上述的無容器資料實施例。將資料與容器(例如文件系統、資料庫)以保持並擴展原有保障的方式促進共享，而不需要容器執行。基於企業需要和不同技術的出現，在加密搜尋、基於加密之篡改偵測外，也可以加入任何其他封套。使用XML資料，標籤可以被加入到資料，以幫助調節資料的一致性，其可取決於領域和應用。

有利地，XML可以包含編碼驗證、授權、方案、歷史、痕跡、一致性等之可搜尋元資料。若其為更大文件之分散，也可編碼顯示資訊用於定位相關片段。當新技術出現時，該技術能夠獨立使用任何商定CKG/CTP，並能在搜尋加密和PDP之外加入其他封套，使得靈活的架構適用於處理任何種類的雲端情境。也可以增加或補充XML標籤以調節一致性、帶尾等。

當與資料分散技術結合時，得以實現有關保密、隱私、匿名性和完整性之有力保證。這種「可靠信封」可用於與其他元資料裝飾任何有效負載，其可包括架構資訊、一致性提示、版本、帶尾、信心程度(例如當使用「群聚計算」(crowd computing)時)、自其他同級重組有效負載之定位器。

在一個非限制的應用，可靠的XML提供了「寬鬆的格式結合」來使生態系統成長，以促成網路效應。FTO(參數化技術和關鍵管理人員)和XML之通用交換格式的組合有利於更靈活包容不同的技術、應用、領域、地點、主權、格式和其他要求。

在另一個應用程式，目前的聚合之解決與和解涉及容易出錯、遺漏和欺詐之點對點交換。結合安全與私密的資料服務將因此以有利於選擇性揭示的方式直接收益會計、審計等，以便維持可靠實體，並可允許適當規範者(遵守、法律)或調停者(衝突解決等)有選擇性地偷看XML標籤以建立交易信心。值得信賴的XML的優點是有效負載可於參與者之間編碼儲存方不需要知道或甚至試著去了解之專有格式。可靠的封套層因此增添了重要的技術和商業價值以及法律和遵守價值和主權實體價值。

在另一個應用中，衛生保健系統之整合是很繁重的，這是由於(a)不同的不相容舊有系統及(b)更重要的是失去患者對現有解決方案提供者之支持。透過引入雲端資料服務作為清除場所(Clearing House)及可靠XML作為交換格式，這些現有的解決方案提供者可將此視為保留支持之途徑，同時利用XML輔助的通用格式。

關於使用FTO賦能並利用可信賴的XML之「路由器」：(a)路由器無需學習超過必要的路由操作即可運作，(b)路由器的錯誤或不良行為較少，(c)由於後期綁定，消除複雜的密鑰管理。

此外，可以加入或增加標籤，或可以應用額外的元資料到XML文件，以表示內容有各種層次的敏感性。例如，一個文件可能存在有公共、秘密和最高機密的段落。執行搜尋並以秘密清除請求存取之個人只可以存取公共和秘密段落。段落的分類也可以用來決定加密機制、密鑰和存取政策。例如，不能從無線或遠端裝置存取最高機密內容。

類似地，分類可以用來建立資料如何儲存、儲存在何處、儲存多長時間的政策。例如使用AES 256加密將醫療資料每天備份一次到可靠資料中心的安全伺服器。

圖32是一實施例之用於主管信賴XML的範例流程圖。在3200，第一控制區域中之計算裝置自第二控制區域中之計算裝置接收包括加密XML有效負載資料和加密XML標籤之加密XML資料。加密XML資料是據基於加密密鑰資訊之可搜尋加密演算法而形成自第二控制區域中之計算裝置之一定義XML資料集合之加密。在3210，接收基於加密密鑰資訊而加密之輔助元資料，其中輔助元資料是形成自加密XML有效負載資料之分析或加密XML標籤。在3220，基於加密密鑰資訊，接收包括功能之資料請求，加密密鑰資訊定義用於存取加密XML有效負載資料或加密XML標籤之權限，其賦能功能所定義之選擇性存取加密XML資料。在3230，可選擇地確認訂閱者裝置接收到與請求一致之加密XML資料或對應XML標籤之正確子集。

圖33是一實施例之用於主管信賴XML的範例流程圖。在3300，自密鑰產生組件接收加密密鑰資訊，密鑰產生組件基於與訂閱者裝置關聯的識別資訊而產生加密密鑰資訊。在3310，訂閱者裝置請求可搜尋加密XML資料和相應的XML標籤資料。傳送加密密鑰資訊至儲存提供者用於可搜尋加密XML資料和相應的XML標籤資料。在3320，如定義在加密密鑰資訊的功能所允許，對加密XML資料和相應的XML標籤資料進行解密。在3330，確認訂閱者裝置接收到與請求一致之加密XML資料或對應XML標籤之正確子集。在3340，驗證在接收加密XML資料之子集及對應XML標籤資料之前，加密XML資料之子集及對應XML標籤資料的內容沒有被刪除或修改。

圖34是一實施例之用於主管信賴XML的範例流程圖。在3400，根據可搜尋加密演算法，對XML資料進行加密，以基於加密密鑰資訊形成包括加密XML標籤資訊之加密XML資料，加密密鑰資訊係接收自產生加密密鑰資訊之單獨密鑰產生器。在3410，傳送加密XML資料到網路服務提供者用於儲存加密資料。在3420，根據選定權限之後期綁定，選擇性地存取加密資料，選定權限是基於請求裝置之識別資訊而授予請求裝置。

圖35是一實施例之用於主管信賴XML的範例流程圖。在3500，訂閱者裝置請求包括加密XML標籤資訊之可搜尋加密XML資料之子集。在3510，自密鑰產生組件接收加密密鑰資訊，密鑰產生組件基於與訂閱者裝置相關聯的識別資訊產生加密密鑰資訊。在3520，按授予訂閱者裝置及定義於加密密鑰資訊之權限對加密XML資料之子集進行解密。

可靠的XML保護資料整體至低節點層級，並可以通用和有效的方式在節點級別保護存取權限。

在下述實施例中，使用匿名IBE及(或)在AES作為加密技術。但是，可以理解，任何適當的數學轉換可用於這樣的例子，因此，遮蓋或隱藏XML資料的技術不應被視為限制更普遍的概念。

在一個實施例中，可以透過輸出可信賴XML之編碼轉換器來傳遞XML而完成XML編碼，及可以透過對應之解碼轉換器來傳遞XML而完成XML解碼。在這方面，可多次保護(以多層封套)同一節點，以在節點邊界有更高的保護。

在下面的說明中，病患記錄是用來解釋可靠XML的實施，使用選擇性XML編碼來以不同的方式處理不同的資料部分。

在一個實施例中，可信賴XML賦能XML文件之選定部分的保護，但並非整個文件。例如，一實施可保護標記為‘action=”encode”，之內部區塊之元素。

例如，為了保護病患的姓名，姓名元素可標記如下：<Name action="encode">John McKenzie</Name>

因此，任何人都不會看到資料有效負載，姓名John McKenzie。

此選擇性編碼可於任何元素層級進行，例如可用於平元素或如以下BloodTest之層級元素：

在上面的例子，任何人都不會看到BloodTest元素中之整個TestData。

為了執行各種數學轉換(例如但不限於加密)，可以產生預處理器的訊。例如，可使用匿名IBE(AIBE)和AES作為加密技術。

在一實施例中，系統可以有獨立的功能產生中心(CGC)用於管理和產生AIBE的秘密，如聯合架構所描述。

為了執行AIBE設定，在一實施例，CGC可產生公共參數(PUB)和主密鑰(MSK)。MSK可以秘密保留在CGC。PUB可以提供給應用程式的最終使用者用於AIBE。

圖36是在AIBE情境中使用以選擇性編碼信賴XML文件之範例非限制演算法流程圖。在3600，接收標記用於編碼之元件的內部區塊(R)。在3610，產生新的加密密鑰(K)，在3620，以密鑰(K)對內部區塊(R)進行加密，例如(R)→R’。在3630，產生識別關鍵字(w)，(w)是用以在之後請求功能的關鍵字。在3640，使用(w)與任何不對稱演算法來保護(K)，其結果為(K’)。在3650，可丟棄(R)與(K)。在3660，可將(R’)與(K’)加至演算法資訊及服務資訊用於之後取得對應功能。

下面是使用AES及AIBE之範例實施。

開始於下列元素：

在此範例實施，(R)是如下所列：

就執行為編碼之一部分的資料處理而言，首先產生256位元之AES加密密鑰(K)。然後AES加密記錄(R)，例如：

AES_K(R)→R’

例如R’之底數64編碼值可表示如下：

然後可取得文件的Id並加上元素名稱。這將作為識別關鍵字(w)。例如此處(w)可為JK392E8DBloodTest。使用AIBE保護(K)，例如：

AIBE(PUB,w,K)→K’

透過AIBE之保護結果，K’看起來如下：

在此處可丟棄R及K’，產生輸出XML。

就編譯輸出XML而言，(R’)維持於Value元素中，例如：

接著加入轉換演算法(s)，例如Encrypt及AES：

接著定義姓名空間並封裝於Data元素內，例如：

(K’)是維持於Key元素內，例如：

再次加入使用之轉換資訊，此處例如是Encrypt及AIBE：

亦加入服務資訊讓解碼器擷取Key，例如：

可定義姓名空間並封裝成KeyInfo，例如：

BloodTest之範例輸出元素如下：

以下列輸入記錄及轉換輸出說明範例轉換：

範例輸入記錄：

範例轉換輸出記錄：

上面範例說明任何模糊資料之方式及其他數學轉換可應用於XML資料之不同部分，以不同方式編碼不同資料，並賦能選擇性存取至資料。

就解碼而言，起初，擷取或由請求實體接收功能。為了取得功能，解碼器提供識別關鍵字(w)給CGC請求功能(C)。取決於請求，CGC提供功能(C)用於給定識別關鍵字。

提供之功能為匹配之識別關鍵字(w)打開(K’)，但沒有為其他K’。在此例子中，如果使用者想要取得文件中之姓名，使用者提供識別關鍵字(w)用於元素Name。

在此(w)將為“JK392E8DName”。

一旦使用者取得功能，可根據下列應用於K’以取得K：

AIBE(K’,PUB,C)→K

關於無容器資料之聯合信賴覆蓋架構的額外實施例及細節提供於下作為補充情境。

可信賴雲端服務生態系統的補充情境

如上所述，結合獨立資料保護和加密技術以加強隱私、信賴和安全有關資料，例如由CSP維持之儲存在遠端站點之資料。雖然下述情況是一般資料或網路服務情境中之一般生態系統，此一般資料或網路服務可用來儲存資料在遠端站點之任何一或多個上述情。

提供數位代管模式用於網路資料服務，包括可搜尋加密技術用於儲存在雲端之資料，分散信賴到多個實體以避免單一實體之妥協。在一個實施例中，密鑰產生器、加密技術提供者和雲端服務提供者各自提供作為獨立的實體，使資料發布者機密地發布(加密)資料到雲端服務提供者，然後選擇性地揭露加密資料給訂閱者，以請求回應於訂閱者請求而產生、編碼於密鑰資訊中、基於訂閱者識別資訊之資料。

關於可搜尋加密/解密演算法，一或多個加密技術提供者實施的可搜尋公共密鑰加密(PEKS)方案為任何給定訊息W產生活門TW，使得TW允許檢查給定的密文是否為W之加密，TW沒有透露任何其他資訊。按照不同的實施例所述，PEKS方案可基於資料(例如訊息文字)中包含的關鍵字來進行加密資料(如加密訊息)之排序或篩選。透過釋出功能(有時稱為「活板」)給相應的關鍵字，可給予資料接收方選擇存取加密資料中有關關鍵字的部分。這樣，可在加密資料檢查這些關鍵字，但不會自訂閱者學到多於訂閱者功能允許之事。

為避免疑問，雖然PEKS揭示為實施可搜尋加密之演算法，可以明白有各種替代演算法存在。一些範例非限制替代PEKS之實施包括非可記憶RAM。因此，術語「可搜尋加密」不應該局限於任何一種技術，因此指的是廣泛的加密機制或基於對加密資料之搜尋或查詢功能而允許加密資料之子集的選擇性存取之加密機制組合。

或者，結果驗證可提供在生態系統中的資料訂閱者和發布者額外的好處。驗證提供了一種驗證訂閱請求資料之子集而接收的資料物件是正確的，即實際上有收到應該收到之正確資料子集。一種加密技術是資料所有證明(PDP)，但為避免疑問，PDP只是一個可實施範例演算法，達到相同或相似目標之作法都可以使用。資料可證明或資料所有證明是關於如何頻繁、高效率、安全地驗證儲存伺服器是否忠實地儲存其客戶的潛在大量外包資料。儲存伺服器被假定為在安全性和可靠性方面不受信賴。

結果驗證提供了一個額外的機制來自我檢查項目的內容，即確保與訂閱請求收到的項目沒有被任何未經授權的實體篡改。一種範例驗證是資料所有證明(PDP)，但為避免疑問，PDP只是範例演算法，達到相同或相似目標之作法都可以使用。另一種已知技術是可再擷取證明(POR)，但為避免疑問，POR只是範例演算法，達到相同或相似目標之作法都可以使用。POR是由服務提供者或資料主管者(證明者)提供給客戶端(驗證方)的證明，證明目標檔案F是完整的，在這個意義上，客戶可完全恢復檔案F並且沒有篡改發生。

作為一個額外的選擇，生態系統可以實現匿名憑證，即發布者可以匿名的方式上傳有關自己的資訊而不暴露關鍵細節，可以限制訂閱者的功能，使他們不能存取發布者上傳之關鍵細節。這樣，發布者或訂閱者只暴露他們希望給第三方的資訊並與系統互動。

在存取網路服務之資料上，傳統的網路服務只限於靜態的客戶端伺服器安排和靜態定義的使用者政策。然而，根據不斷變化和不斷發展的複雜的商業和其他關係，許多發布者和訂閱者正在考慮這種傳統的網路服務模式是不夠靈活或安全。因此，在各種實施例中，賦能後期綁定，使發布者及(或)資料和內容所有人可根據訂閱者、其功能及其搜尋(例如基於在資料請求中的關鍵字)更改加密內容之存取權限。因此，訂閱者可選擇性地存取之內容與發布者及(或)所有者之存取權限一致地動態改變，因為訂閱者功能可即時編碼於密鑰產生器所提供的密鑰資訊中。因此，一個給定請求中，訂閱者權限是在密鑰產生時定義，因此相對於訂閱者之請求，總是反映當前的政策。

類似地，可靠雲端服務的伺服器的管理員可被允許檢視由伺服器處理之活動日誌和資料交易，但也可被限制不能看到任何客戶姓名或信用卡資料。訂閱者的身份識別因此可以作為限制訂閱者可存取資料的基礎。

各種可靠生態系統之非限制實施例是建立雲端服務信賴的情境提出的，但是，這裡提供一般之生態系統信賴建立，而不僅限於應用到雲端服務。所述實施例同樣適用於在企業資料中心內不同的伺服器或參與者。因此，儘管資料可能永遠不會離開一個給定的實體，用於建立信賴的技術同樣適用在企業內部獨立的控制區域內運作的不同流程。如果沒有跨所有企業流程的可見度，類似的不信賴問題能發展為與會者對企業而言是外部人員的情況。例如，伺服器可以在企業內部被侵害，即使它是在管理員控制下，或管理員不小心或惡意所為。

除了將加密的資料應用在雲端中，各種揭示技術也可以應用到儲存在筆記本電腦或其他可攜式裝置之資料，因為筆記本電腦可能會遺失或被偷。在這種情況下，裝置可能落入過度好奇或惡意實體中；然而，本文描述的保護雲端資料之技術同樣適用於保護伺服器或筆記本電腦之資料。如果區域資料是加密的，沒有適當的訂閱者憑證，小偷將無法了解區域加密資料，因為沒有適當的角色或功能可存取資料。

圖37繪示可靠的雲端服務架構或生態系統的方塊圖。該系統包括可靠的資料儲存3700用於儲存可搜尋加密資料3710，訂閱者請求的結果受驗證之限制。在這方面，網路服務3720可建於安全資料3710之上，使得資料發布者保留對給予請求資料的訂閱者3740之功能之控制，例如透過網路服務3720。發布者3730也可為訂閱者3740，反之亦然，的資所有者3750料可以是發布者3730及(或)訂閱者3740。一些常見角色和可定義功能的對應集合的範例是，發布者3730和訂閱者3740之特定角色是管理員3760和審計員3770。

例如，管理員3760可以有資料3710之特定允許，以幫助維持可靠資料儲存3700的運作，審計實體3770可在審計範圍內幫助保持資料的完整性。例如，審核員3770可以訂閱資料3710之訊息，訊息包含攻擊性關鍵字，在這種情況下將提醒審計者3770，但無法讀取其他訊息。在這方面，基於將發布者資料置於數位代管之能力可有無數的情境，以發出密鑰賦能資料之選擇性存取。

例如，發布者在生態系統進行驗證，並指示有文件上傳到生態系統。這些文件是根據可搜尋加密演算法加密，可搜尋加密演算法是基於接收自產生加密密鑰資訊之單獨密鑰產生器的加密密鑰資訊。然後，加密的資料傳輸到網路服務提供者用於儲存加密資料，使得加密資料基於選定權限之後期綁定而可選擇性存取，選定權限是根據請求裝置之識別資訊而授予請求裝置。將加密技術提供者與加密資料儲存分離可防止加密資料進一步妥協。

在這方面，圖38繪示根據可靠的雲端服務生態系統而發布資料的範例非限制方法的流程圖。在3800，發布者進行系統認證(例如發布者登錄使用者名稱和密碼、現場ID身份碼等)。在3810，密鑰產生器產生密鑰資訊，密鑰產生器例如可為以下一或多個實施例所描述之密鑰產生中心。在3820，基於密鑰資訊，單獨的加密技術提供者加密發布者的文件集合。在3830，上傳具功能之加密文件至網路服務提供者(如儲存服務提供者)，這樣可以選定權限之後期綁定來選擇性存取加密文件，選定權限係根據請求裝置(訂閱者)之識別資訊而授予。

在訂閱者端，例如使用者驗證到生態系統和指示請求資料子集，例如查詢包含特定關鍵字或關鍵字集合之文件的子集。回應於自至少一訂閱者裝置之可搜尋加密資料之子集之請求，密鑰產生組件根據與訂閱者裝置關聯的識別資訊而產生加密密鑰資訊。然後，按定義於加密密鑰資訊、授予訂閱者裝置之權限對加密資料之子集進行解密。

圖39繪示根據可靠的雲端服務生態系統而訂閱資料的範例非限制方法的流程圖。在3900，一種訂閱資料的方法包括：認證訂閱者(例如訂閱者登錄使用者名稱和密碼、現場ID身份碼等)。在3910，訂閱者請求資料。在3920，根據訂閱者請求，由獨立密鑰產生實體產生密鑰資訊，其中訂閱者的功能可定義於密鑰資訊中。在3930，根據定義於密鑰資訊之功能，解密發布者資料之子集。例如，CSP可解密資料。在3940，訂閱者可存取發布者資料之子集，例如，根據所有者/發布者授予之可動態定義功能，訂閱者可以下載、查看、處理、變化資料。或者，用於加密、解密和密鑰產生之技術可由單獨的加密技術提供者提供，但由任何參與者主管。

在一個實施例中，訂閱者裝置之識別資訊包括訂閱者之角色。例如發布者/所有者可使用審核員、管理員或其他預先指定的角色作為限制或授予存取可搜尋加密資料儲存的各個部分的基礎。

圖40繪示可靠生態系統中將密鑰產生中心(CKG)4000之分離、加密技術提供者(CTP)4010和雲端服務提供者(CSP)4020分開之示意圖，因此消除了由可靠生態系統中單一實體妥協的可能性。在這方面，客戶4030包括發布者及(或)資料訂閱者。或者，CKG 4000可基於參考軟體、開放資源軟體及(或)軟體開發套件(SDK)而建立，例如CTP 4010所提供，賦能構建塊以讓其建立組件，或由實現這些生態系統組件之第三方所滿足。在一個實施例中，CTP 4010提供SDK，並且可以由一或多個參與者、計算和儲存抽象或化(CSA)、及(或)加密客戶庫使用以主管或實施CKG 4000。或者，SDK可以分發到自CTP 4010主管CKG 4000之實體。

在一般情況下，CKG 4000、CTP 4010或CSP 4020可分為次組件，但是，分開是維持信賴。例如，CKG實體4001(如主公共密鑰(MPK)傳遞4002、客戶庫下載器4004、秘密密鑰擷取器4006、信賴驗證器4008或其他次組件)可以單獨提供、以子集提供、或一起作為整合組件提供。CTP實體4011(如編碼和解碼之客戶端應用程式4012、替代加密技術4014、與CKG 4016介面之應用程式、其他加密構建塊4018等)可單獨提供、以子集提供、或一起提供。此外，CSP 4020可以被認為是許多獨立服務提供者，如分別主管儲存服務4024之CSP 4022、4026和主管4028之服務，或此類服務可以一併提供。

可以理解，一或多個可靠生態系統之參與者主管的CKG或CKG實例不需要是單一實體。CKG可以分成合作以產生密鑰之幾個(冗餘)實體，即使一小部分參加者處於離線狀態操作可以繼續。在一個實施例，一組參加者可被聚集信賴，即使一小部分參與者已妥協於對手，或成為無法使用或不信賴。

圖41為企業4100執行雲端服務之可靠生態系統的進一步優點的另一架構圖。例如，企業可以包括不同的組織4102、4104、4106、4108。相對於實現使用該系統或者產生密鑰之政策，不同組織4102、4104、4106、4108說明了組織能夠擁有可多可少的所有權。例如，組織4102實現了自己的政策4112，但使用的是中心密鑰產生器4122，而組織4122選擇實施自己的密鑰產生器4124並實施自己的政策4114。組織4106也實施自己的政策，但依賴於第三方CKG 4126，而組織4108選擇依靠第三方政策提供者4118和獨立的CKG 4128。

在這方面，為了資料發布，發布者4140基於CKG 4122的輸出取得公共參數用於加密資料4135。基於公共參數，在4145，由發布者裝置4140使用獨立的加密技術提供者來加密資料。加密的資料上傳到儲存抽象化服務4150，它隱藏儲存語義與一或多個CSP 4170儲存的加密資料，如CSP 4172、4174、4176或4178。在訂閱者裝置4160上，資料請求導致私人密鑰4165產生自CKG 4122。私人密鑰4165包含使得訂閱者裝置4160透過在4155解密資料而選擇性存取可搜尋加密資料的資訊。儲存抽象化服務4150隱藏隱自CSP 4170擷取資料之語義。此外，由於發布者/所有者授予功能之後期綁定，授予訂閱者裝置4160之權限是目前設定之權限。

自圖41中可理解，多個資料所有者(企業或消費者)可以參與可靠的生態系統以建立信賴關係。在這種情況下，每個所有者可以管理或控制自己的CKG(例如組織4104之CKG 4124)，使得請求或資料查詢轉發到相應的CKG，以自所要求資料之所有共同所有者收集必要密鑰。

圖42是透過儲存抽象層4210之不同儲存提供者之安排之另一方塊圖。有了可靠的生態系統，分別具有客戶端應用程式4240、4242之桌上型電腦4230、4232可以發布或訂閱資料、發出請求到密鑰產生中心4220請求密鑰資訊以用於加密或解密資料。類似地，服務4244、4246、4248也可能是生態系統中之發布者及(或)訂閱者。在這方面，為了使私有雲端、SQL資料服務儲存4202或簡單的儲存網路服務4204儲存4200儲存或擷取資料，儲存抽象化服務4210抽象化關於特定的儲存庫之具體計細節。

在這方面，為避免疑問，圖42是針對多種情況。在一種情況下，圖42透過儲存抽象化服務(有時也被稱為計算和儲存抽象(CSA))涵蓋了儲存提供者之去中介(抽象化為個人)。此外，圖42涵蓋了將資料分段及(或)散開(例如用於冗餘)至多個後端儲存提供者(可以是相同或不同的類型)的情況，使得原來的資料可以進行重組，即使是一個(或少數)後端儲存提供者無意或故意刪除其資料備份。

圖43繪示儲存與儲存抽象化服務4310之另一態樣，儲存抽象化服務4310包括伺服器操作系統(OS)4314和儲存服務4312，儲存服務4312抽象化私人雲端儲存4300、SQL資料儲存4302、簡單儲存網路服務儲存4304等之儲存細節。客戶端可為分別具有客戶端應用程式4340和4342之桌上型電腦4350或4352。密鑰產生中心4320可以包括執行於伺服器操作系統4324上之密鑰產生應用程式4322。在這方面，具有有效目錄4336、伺服器操作系統4334和安全性符記服務(STS)4332之組織4330可以是生態系統中之發布者或訂閱者。在這方面，儲存傳輸格式(STF)是一種標準交換格式，可以用於跨儲存庫交換加密資料和元資料。例如，組織4330想在儲存服務提供者4300、4302或4304間傳輸電子郵件資料，在這種情況下可以使用STF。

圖44繪示可靠的生態系統4420中各種不同的參與者的方塊圖。如前所述，企業4400可將資料儲存和維護從在地移到雲端儲存服務提供者，這樣有利於處理這種大量資料，由於企業維持定義在加密資料之功能控制，可同時維持資料而不會解密給錯誤的訂閱者。例如，組織4402可操作協同應用程式4412如SharePoint。在這方面，組織4402可能會設立SharePoint資料之數位代管、或信賴領域。政策4432和CKG 4434可由第一資料中心4430實現，第一資料中心4430操作以透過定義信賴領域之加密密鑰資訊4445來設定安全空間。

然後，另一個(例如作為發布者4414)可根據自CKG 4434取得的密鑰資訊而加密資料，此時電腦和第二資料處理中心4440之儲存抽象化組件4442處理將可搜尋加密資料儲存在第三資料中心4450(如在CSP 4452)之細節。在另一面，當組織4404之訂閱者4416請求資料時，私人或秘密密鑰資訊傳送到之訂閱者4416作為擷取4465的一部分。接著，根據包括定義用於訂閱者之功能的私人密鑰資訊，在4475將訂閱者所要求的資料解密，這裡假設訂閱者有權限，抽象層4442處理底層儲存4452之細節。

圖45是範例非限制實施之可靠雲端計算系統之一些層的代表圖，其中不同或相同的實體可提供不同的部分。在層狀堆疊的底部是數學和加密庫4586，用於實現加密/解密演算法。可提供各種加密方案的定義摘要作為詳細程式庫4586與可搜尋加密方案4582之實際執行情況之間的中間層4584。層4582、4584和4586形成較大的加密服務層4580，當其與抽象層4560結合作為服務(SaaS)應用生態系統的軟體時，形成信賴數位代管4570與其儲存之實現基礎。抽象層4560包含用來實現數位代管模式之基本語言，例如SetUp()、Encrypt()、EXtract()、Decrypt()等指令。

在抽象層4560之上的是與各種更具體的平台技術(SDS、Azure、備份/存檔、RMS、STS等)相關的層4550。在層4550之上與各種更具體的平台技術相關的是使用信賴數位代管4500之各種SaaS應用程式。範例非限制範例說明數位代管應用程式4500可由單一公司4510或由合作夥伴4530或兩者實現。例如，公司4510可將諸如高性能計算(HPC)、電子發現和法律發現4514、現場服務4516(如DBox)、備份/存檔之服務實現為服務4518、審計日誌-業務流程和監測4520或其他雲端服務4522。合作夥伴4530可以實現服務，如eLetterOfCredit 4532、高性能計算作為垂直4534之服務、電子健康服務、安全外部網路4538、規範4540、訴訟支援4542等。

基於可信賴雲端服務生態系統之情境

任何類型的應用可以在雲端中實現，這是由於密鑰產生器、加密提供者和雲端服務提供者以及其他所述技術之分類的固有信賴增強特性。在這方面，有這樣可靠的雲端服務生態系統，利用一個或更多所述可靠生態系統的優點，豐富的服務和方案可以得到實現。

例如，圖46是發布文件至數位安全應用程式之範例非限制流程的流程圖，其係提供發布者對後期綁定資料的控制選擇性存取。在4600，認證裝置(例如裝置登錄使用者名稱和密碼、密碼認證、生物生物特徵量測認證、現場ID身份碼等)。在4610，上傳文件並輸入標籤。在4620，傳送標籤到代管代理，並自代管代理接收散列標籤作為回應。在這方面，可以前述方式提供標籤，或者可自動擷取自有效負載(記錄、文件)，例如透過全文索引。在4630，客戶端以發布者密鑰資訊將文件加密，文件與文件的訂閱者功能一起發送到安全的數位雲端儲存提供者。在4640，數位安全雲端儲存提供者將加密物件傳送到儲存服務，如儲存抽象層vis--vis。

圖47是訂閱放置在數位安全裝置之材料的範例非限制流程的流程圖。在4700，認證使用者，在4710，客戶端裝置發送標籤至代理管理，代理管理發送散列標籤作為回應。在4720，客戶端發送散列標籤至數位安全服務，在4730，散列標籤被解釋為了解客戶端是否有權由儲存服務執行全部或部分的搜尋請求。

圖48是可靠的雲端服務的範例非限制實施的流程圖，其使用數位代管模式以透過一或多個資料中心為企業實現安全的商際網路。如前所述，可靠的計算生態系統可包含獨立實施於加密技術提供者(CTP)4810之密鑰產生中心4800，其提供參考實現用於實現與生態系統一致之加密技術，加密技術與一或多個雲端服務提供者(CSP)4820分開實施。在安全商際網路的範例非限制實施中，4880表示企業維護共享儲存庫4870(如共享點)和設計儲存庫4860或分析應用程式用於與共享儲存庫4870中的文件一起使用。商業軟體4840(例如Sentinel)可為具有桌上型電腦4850的電腦監視應用程式或伺服器性能。

在這方面，在可靠的雲端服務生態系統中，當使用桌上型電腦4850的訂閱者尋求可自儲存選擇性存取及加密之資訊，安全符記服務4830可提供一些資訊來識別訂閱者4882，如4884所示，可透過第一資料中心之CKG層4802之介面來諮詢CKG 4800。CKG 4800返回密鑰資訊，如4886所示，密鑰資訊可用來透過儲存抽象化服務4822選擇性存取資料服務4824中的資料。可跨企業共享任何資料類型，並可根據企業中訂閱者的角色選擇地共享資料類型。

圖49是基於可靠的雲端服務生態系統之範例非限制實施的流程圖，其中由(例如在企業內之)CSP給予訂閱者對加密的資料儲存進行選擇性存取。最初，訂閱者裝置沒有權限存取加密資料。然而透過請求部分或全部的加密資料，例如在4900透過與應用程式互動，在4910，應用程式與相應的STS自動通訊以取得請求項(密碼學的說法)。在4920，應用程式與CKG通訊以取得密鑰資訊，密鑰資訊編碼關於功能的資訊用於訂閱者(密碼學說法中，功能有時被稱為活門，雖然詞彙「功能」並不限於詞彙「活門」通常會出現的情境中)。最後，在4930，應用程式提供密鑰資訊給CSP，其允許對加密資料之搜尋或查詢可達訂閱者功能所允許的範圍。

圖50是可根據登錄資訊而修改點訂閱者的應用程式回應的另一流程圖。例如，在5000，應用程式接收使用者ID資訊。在5010，應用程式自STS獲得相關的請求項。在5020，根據使用者所扮演之與使用者ID資訊相關之一或多個角色，可修改經驗以與這些角色的權限/限制相稱。例如，公司財務長檢視公司的加密資料的使用者經驗可以與也應該與信件收發室僱員檢視公司的加密資料的經驗不同。圖50可以適用於單一或多方登錄情境。

圖51是安全紀錄上傳情境的另一個流程圖，其可實施於單方或多方。在5100，應用程式接收記錄和關鍵字，例如由裝置使用者利用應用程式提供或指定之內容。在5110，應用程式取得主要公共密鑰(MPK)，並應用公共密鑰加密關鍵字可搜尋(PEKS)演算法。應用程式可選擇性地快取MPK。在5120，應用程式將加密記錄輸入到CSP儲存庫，例如透過儲存抽象層。

圖52是對於可搜尋加密資料儲存裝置之基於角色查詢的範例非限制流程圖，其係由可靠的雲端服務生態系統所賦能。在5200，應用程式接收或啟動共同查詢。在5210，應用程式自STS取得相關請求項。例如，STS將使用者的角色映射至合適查詢群組，並返回給定角色的法律查詢集合。在5220，應用程式提交過濾請求項和查詢，以使對應查詢的請求項可有效率地提交，而非提交所有請求項。或者，CKG返回活門請求項至應用程式(或拒絕請求項)。在5230，應用程式執行活門請求項的遠端索引。基於遠端索引的處理，應用程式接收結果並將結果呈現給使用者，例如，使用基於使用者角色之客製化呈現。

圖53是多方合作情境的流程圖，其中企業提供其部分加密資料之存取給外部企業。例如，製造商可授予提供者存取一些儲存在可靠雲端的資料，反之亦然。在這方面，在5300，企業2的STS是指定為資源提供者，企業1的應用程式續行至取得請求項用於存取雲端中的資源提供者提供的資源。在5310中，企業1的STS是指定為身份識別提供者。在這方面，如身份識別提供者提供之協助，應用程式取得請求項用於在企業1之訂閱者所定義的角色或角色集合。在5320，根據企業2所控制之允許資源及訂閱實體之角色所定義之權限/功能，應用程式擷取請求項。在圖53，只有一個STS是描述，它指出，可以有多重身份提供學生車船津貼計劃及(或)多個資源提供學生車船津貼計劃在數位代管，或聯合信賴覆蓋。

圖54是多個企業中多方自動搜尋情境的流程圖，例如在諸如企業1和企業2之多個企業中。在5400，由企業1的應用程式接收或啟動共同查詢用於執行。在5410，應用程式自資源提供者(企業2)之STS取得有關請求項。可選地，可在組織標籤中指定資源提供者。STS可選擇執行使用者角色到查詢群組之映射，以使法律查詢集合返回用於使用者角色。在5420，根據使用者的角色，應用程式提交過濾請求項和查詢，可以有效率地提出對應查詢的請求項，而不是所有請求項。可選地，CKG返回功能到應用程式(例如活門請求項)，或CKG拒絕請求項。在5430，應用程式執行活門請求項的遠端索引。基於遠端索引的處理，應用程式接收結果並將結果呈現給使用者，例如，使用基於使用者角色之客製化呈現。

此方法可以包括接收共同查詢或啟動共同查詢之步驟。在這方面，也可對共同查詢進行加密保護，使活門(或功能)接收者(客戶端或服務提供者)不能分解共同查詢及決定其組成部分。

圖55繪示可實施於可靠雲端服務之範例非限制的邊緣計算網路(edge compute network,ECN)技術。在這方面，動態分配多個動態計算節點5570、5572、5574用於計算頻寬與彼此獨立運作之可靠雲端組件。例如，可以實現密鑰產生中心5520、儲存抽象化服務5510、組織5530和組織5540以涵蓋多組織企業或其他如上所述情境。密鑰產生中心5520包括密鑰產生器5522和伺服器操作系統5524。儲存抽象化服務5510包括儲存服務組件5512和伺服器操作系統5514。組織5530包括STS 5532、AD 5536和伺服器操作系統5534。組織5540包括STS 5542、AD 5546和伺服器操作系統5544。伺服器操作系統5514、5524、5534、5544跨伺服器合作以實現ECN。任何儲存提供者或抽象化5502可用於儲存資料，如可使用SQL資料服務。這樣，一或多個桌上型電腦5550、5552可分別透過客戶端應用程式5560、5562發布或訂閱資料。

圖56是根據可靠雲端服務生態系統之一或多個密鑰產生中心5610的可選態樣的方塊圖。最初，一組計算裝置(如桌上型電腦5660、5662和各自的客戶端應用程式5670、5672、或服務或伺服器5674、5676、5678等)是雲端內容傳遞網路5650的潛在發布者及(或)訂閱者。然而，在滿足來自計算裝置集合之任一者的請求之前，最初時，密鑰產生中心作為信賴管理者用於發布者基於公共密鑰來加密資料，並基於其功能，將私鑰傳至資料訂閱者。

在範例非限制互動中，最初在5600提供來自計算裝置之請求，在5680，CKG 5610的主管者自CKG工廠5602請求CKG 5610的實例。接下來，在5682進行使用者認證。接著，可由計費系統5606使用任何基於使用的計費5684，以用於CKG工廠5602。下一步，由CKG工廠5602在5686將租戶CKG具體化，其可包括MPK傳遞組件5612、客戶庫下載器5614、秘密密鑰擷取器5616和信賴驗證器5618。

在5688，MPK傳遞組件5612傳遞MPK至CDN 5650。客戶庫下載器5612。客戶庫下載器5614下載加密庫至請求的客戶端，其可與將發布的加密資料或裝置所訂閱的解密資料一起使用。接下來，根據接收自秘密密鑰擷取器5616之密鑰資訊，客戶端發出請求以擷取給定的文件集合，其可與信賴驗證器5618合作，其根據在5694驗證訂閱者的STS縮印來驗證訂閱者具有特定功能，例如基於與請求所涉及之不同的組織STS 5620、5622、5624、5626通訊。如在其他實施例中，可提供儲存抽象化服務5640以抽象化資料庫服務5630的儲存細節(如SQL)。

圖57是包括具有驗證之可搜尋加密資料5710之可靠儲存裝置5700的範例非限制實施例方塊圖，其係與網路服務5720連結。在此實施例，訂閱者5740或訂閱者5740使用的應用程式可請求(可為請求存取加密儲存5700之某些部分的一部分)自請求返回之項目的驗證證明以驗證實際收到的項目是應該收到的項目。在這方面，圖57說明可搜尋加密技術與驗證技術之結合。或者，系統也可與基於請求項之識別身份和存取管理進行整合。在這方面，數位代管模式(也稱為聯合信任覆蓋)可與較為傳統的基於請求項驗證系統無縫整合。

在圖57，可靠的資料儲存5700或服務提供者或資料儲存的主管者執行證明步驟，而資料的所有者(例如訂閱者裝置)執行驗證。資料儲存5700是被信賴的，因為使用者有信心它提供了有力保證，雖然實際盛是實體主管資料且有些參與者並不完全被信賴。

圖58是包括驗證步驟之範例非限制訂閱流程。在5800，自訂閱者裝置接收可搜尋加密資料之子集。在5810，自密鑰產生實體產生加密密鑰資訊，密鑰產生實體根據訂閱者裝置之識別身份資訊產生加密密鑰資訊。在5820，按定義於加密密鑰資訊並授予訂閱者裝置之功能，對加密資料之子集進行解密。在5830，可驗證在子集中代表的項目(例如資料所有證明)，在5840，存取資料。

在許多情況下，最好是能夠執行PDP/POR於加密資料，而不需要對其進行解密。或者，PDP需要的密鑰資訊可編碼於以可搜尋加密保護之元資料中。雖然這是管理PDP/POR使用之密鑰的有效方式，應注意到有許多PDP/POR可執行於加密資料而不需要存取清楚文字內容的高價值情境。

圖59繪示範例非限制驗證挑戰/回應協定，其中驗證方5900(例如資料所有者)發出加密挑戰5920給證明方5910(例如資料服務提供者)。在接收到挑戰5920時，證明者5910按資料和挑戰5912計算回應。然後挑戰回應5930返回到驗證5900，驗證5900執行計算以驗證或證明資料沒有被修改5902。

圖59所示之驗證一般稱為私人PDP，雖然有「公共」版本，其中第三方提供密鑰(「公共」密鑰)，以使第三方根據類似的協定作為驗證方，而不需要知道實際資料。POR不同於PDP，因為它提供資料可擷取之證明(不管有沒有任何損壞/修改)，但如圖30所示，基本協定是一樣的，雖然文件的結構和實際的演算法是不同的。可靠生態系統的各種實現結合可搜尋加密和POR/PDP，以於於系統和加強信賴。在這方面，在提交資料給服務提供者前，將資料進行可搜尋加密，資料之後處理可包括POR及(或)PDP。

此外，如果有需要提供更加堅強的保證，可以有選擇地將「資料分散」的技術覆蓋在任何一或多個以上實施例。在資料分散中，資料分佈到多個服務提供者用於對抗「大規模的不良行為」或任何單一服務提供者之災難性損失。利用所述之信賴機制，執行分散的方式是使得獨立服務提供者很難勾結和敗壞資料。在概念上這類似上面描述的分散式CKG實施例。

圖60是包括可搜尋加密資料之可靠儲存裝置2500的另一範例非限制實施例方塊圖，可靠儲存裝置2500包括具驗證之可搜尋加密資料，與網路服務2520之傳遞連結用於發布者2530的資料2520。具體來說，圖60說明驗證組件6050，用於驗證返回到訂閱者2540之物件2540沒有被篡改或意外更改。上面提到的PDP是一個非限制的驗證例子。

圖61是包括驗證步驟之範例非限制訂閱流程。在6100，自訂閱裝置接收可搜尋加密資料之子集。在6110，自密鑰產生實例產生加密密鑰資訊，密鑰產生實例基於訂閱裝置之識別資訊產生加密密鑰資訊。在6120，按定義於加密密鑰資訊、授予訂閱裝置之功能來解密加密資料之子集。在6130，可以驗證子集中代表的項目內容(例如可擷取證明)，在6140存取資料。

圖62是包括驗證步驟之範例非限制訂閱流程，其中驗證方6200(例如資料所有者)發出加密挑戰6220到證明方6210(例如資料服務提供者)。在接收到挑戰6220，證明方6210按資料和挑戰6212計算的回應。然後返回挑戰回應6230到驗證方6200，然後驗證方6200執行計算以驗證或證明資料是可擷取的6202。

盲目指紋代表延伸網路反欺騙技術(如Robin指紋)之另一種加密技術，通常用於最小化網路上之冗餘資料交換。在不同的實施例，應用指紋以使協定參與者(例如在資料儲存是CSP)不知道其主管資料之實際內容。

這裡介紹盲目指紋之額外情境，跨廣域網路(WAN)之任何大型資料交換(包括資料維護)想要有網路的「反欺騙」技術，或確保不透過網路發送不必要的資料。這是透過指紋化資料區段及交換指紋，使發送者知道其具有接收者所沒有之物。此外，接收者知道他們需要要求發送者什麼資料。分散式檔案服務複製(DFS-R)可用於最佳化資料交換，如分行辦公室備份和廣域網路之分散式檔案系統。

在交換時有大量的資料複製，在任何給定時間網路上可能有高達50%以上的資料是複製資料。指紋可在區塊層級或物件層級取得，如電子郵件、日曆項目、任務、聯絡人等。指紋可快取存在主要和次要資料中心。因此，如果在主要資料中心出現故障，次要資料中心以及指紋可以恢復成主要資料中心。儘管被模糊了，在主要資料中心之加密資料應該讓指紋可見於次要資料中心操作者。這可透過將指紋與可搜尋加密儲存為關鍵字/元資料來實現，所以除了次要資料中心之授權實體/代理者，沒有其他實體能夠偵測模式。

在資料服務方面，當發送完整或增量時，主要資料中心可以檢查在日誌或EDB中之每個項目/區段/區塊，並諮詢指紋之區域副本。如果有匹配，主要資料中心以指紋替換該項目/區段/區塊。稱為「盲目指紋」是因為指紋應用的方式。在一實施壢，選擇加密技術來實現盲目指紋包括尺寸保持加密技術。

圖63繪示用於提供一或多個服務實施例之一般環境的方塊圖，其中服務包括盲目指紋化。資料訂閱者6300和資料服務提供者6310進行指紋交換，以了解作為代理者在各自本地端已具備什麼資料區段和備份了什麼資料備份。指紋交換6320的結果是，決定減少之修改資料集合，在6302將其作為反欺騙修改資料6330傳輸至資料服務提供者6310，然後基於選擇性存取反欺騙修改資料及任何盲目指紋6340，應用修改資料。

圖64是非限制情境的方塊圖，其中多個獨立的聯合信賴覆蓋或數位代管可以並排存在，或是以分層作法將一層置於另一層上。在這種情況下，可靠資料儲存6400具有可搜尋加密資料6410，各種網路服務6420可賴以進行預測。例如網路服務6420可以包括文字處理軟體之傳遞作為雲端服務。作為幾何分佈的一部分，可以提供多個覆蓋/代管6432、6434、6436，各自調至不同的應用程式/垂直/規範需求/主權實體要求，以使發布者2530或訂閱者6450隱式或明式選擇參與之正確覆蓋/代管，例如根據規定或地區/住所管轄權。這樣可以改變覆蓋，但是雲端之後端服務可以保持不變，而沒有複雜化核心服務的遞送。

圖65是另一非限制實施例的方塊圖，其中可靠的儲存裝置包括用於遮蓋資料以防止未經授權存取的資料分散技術。這個例子說明所有上面描述的提供加密技術作為一種隱藏或掩蓋資料手段的技術或系統也可以防止資料(或元資料)可見之任何其他數學轉換或演算法實現。在這方面，例如可跨一組資料儲存將資料自動碎除或分散，可以是同一類型，或如圖65所示之不同類型的容器6512、6514、...、6516。

因此系統包括資料儲存6500，資料儲存包括6500資料儲存6512、6514、...、6516用於儲存選擇性存取資料或元資料6510。發布者可以發布代表至少一資源的資料或元資料織至資料儲存6500，第一獨立實體6550產生存取資訊適用於發布之資料或元資料，第二獨立實體6560跨資料儲存6500的一組資料儲存分散發布之資料或元資料，同時維持儲存發布之資料或元資料的該組資料儲存之知識。

因此沒有存取資訊不能透露這方面的知識。可以透過網路服務6520發布資料或元資料6510，基於至少一資源的發布者或所有者授予和存取資訊代表的後期綁定選定權限，網路服務6520提供選擇性存取至發布之資料或元資料用於網路服務請求。資料儲存6500包括多個容器(相同或不同的類型)，發布之資料或元資料自動分散在多個容器之至少一容器。分散可以根據資料分散器6560已知的任何演算法，例如基於多個容器代表的儲存資源之即時分析、基於資料或元資料之特點、或適合給定應用程式之任何其他參數。

因此，當訂閱者6540提出資料或元資料請求6510，網路服務諮詢獨立實體6550及(或)6560，以決定是否允許訂閱者6540對賦能資料重組的資訊進行存取。例如，資料映射可以是允許資料重組之秘密。此實施例可與其他數學轉換(如加密)合併，以提供額外的資料保護。可由額外獨立實體監督這些額外的數學轉換用於信賴分散，除授權方之外，資料是不可見的。

在此描述的各種範例非限制的實施例說明了可靠資料服務的遞送。這些實施例是不是獨立的，而是可以在適當情況下結合。此外，任何上述描述的實施例可以替代方式延伸。例如，在一個實施例，在資料的存取上，可靠資料服務提供活門到期及撤銷或功能用於更大程度的安全性。在另一可選實施例，將權限管理層建於可靠資料服務內，以維護內容所附權限作為加密/解密的一部分，以防止容易識別或偵測之透明數位代管版權資料方面的活動。因此，所述實施例之任何組合或排列是在本揭示的範圍內。

範例非限制實施

數位代管模式之範例實施稱為聯合信賴覆蓋(FTO)。附錄A是FTO實施之一些額外非限制細節。

在這方面，數位代管模式只是許多可能的模式和變化的一個例子。此外，這種模式(涉及發布者、訂閱者、管理者和審計者，可能還有其他如上所述之專門角色)是在另一FTO模式之上，其執行CTP、CSP、CKG等分離以維持信賴。也可能有多個獨立FTO和DEP，可以共存而不會干擾對方，甚至不知道彼此的存在。此外，在沒有雲端儲存服務提供者共同操作甚至知道這些模式/覆蓋的存在的情況下，可將DEP和FTO模式覆蓋於雲端儲存。

FTO是獨立於雲端中資料服務的服務。這些服務都是由資料服務操作者以外的操作者操作，並能提供雲端服務主管的資料有關保密、篡改偵測和不可抵賴性的強有力保證。

任何人可以建造和主管這些覆蓋服務，例如中介服務、驗證服務、儲存抽象化服務等。基於可用的格式和協定，這些合作夥伴可能會選擇主管參考實現或建構自己的實現。

由於格式、協定和參考實施之開放性，在各方之間維持分開控制，如FTO和資料所有者之操作者。

雖然加密是這個解決方案的一個元素，跨不同方聯合之服務，也是解決方案之一部分。雖然傳統的加密技術適用於許多情況，它們排除許多情境，像是篡改偵測、不可抵賴性、透過編排多個(不信賴)服務建立信賴、搜尋資料庫等。

補充情境

對於一些額外的非限制情境，如上所述，可靠的雲端集合提高應用生態系統用於建立在信賴的雲端。此處使用的各種術語包括：密鑰產生中心(CKG)，主管多租戶密鑰產生中心之實體(例如微軟、VeriSign、Fidelity、主權實體、企業、合規實體等)，可主管CKG。在這方面，多租戶是可選的(例如不是強制性的)。其他術語包括：加密技術提供者(CTP)，提供加密技術用於可靠生態系統的實體(例如Symantec、Certicom、Voltage、PGP Corp、BitArmor、企業、Guardian、主權實體等)。

此外，雲端服務提供者(CSP)是提供雲端服務(包括儲存)之實體。許多公司可以提供這種資料服務。雲端索引驗證(CIV)是第二儲存庫以驗證返回索引。計算和儲存抽象化(CSA)將儲存後端抽象化。儲存傳輸格式(STF)是用於跨儲存庫傳輸資料/元資料之通用格式。

如前所述，一些企業情境包括使用資料服務技術或應用、設計和工程分析來工程化商際網路，其定義製造者和供應商之間的資料關係。透過分散信賴橫跨多個實體，賦能獨特的生態系統於各種情境，所以沒有超級受信賴的實體或單點妥協的存在。

關於可搜尋加密之補充說明，使用者通常擁有或獲取功能或活門關鍵字，然後使用代表其之功能發送請求到伺服器。伺服器結合功能和索引，以找到相關文件或資料。使用者只能存取搜尋結果之文件(儘管使用者可存取其他文件)。

如上所述，沒有任何一個演算法應該被視為限制可搜尋加密資料儲存，然而，下面概述範例非限制演算法背後的理論，提供可搜尋對稱加密(SSE)模式之引子：

以下提供公共密鑰加密與關鍵字搜尋(PEKS)模式之引子：

公共密鑰加密

基於識別之加密

範例網路和分散式環境

熟悉本技術之通常知識者可以明白，可靠雲端服務架構及相關實施方案的不同實施方法和裝置可與任何電腦或其他客戶端或伺服器裝置共同實現，其可部署作為電腦網路的一部分或在分散式計算環境，可連接到任何類型的資料儲存。在這方面，所述各實施例可以實現於任何電腦系統或環境，電腦系統或環境可具有任意數量記憶體或儲存單元和發生在任意數量的儲存單元的任意數量應用程式和程序。包括但不限於伺服器電腦和客戶端電腦是部署在網路環境或分散式計算環境並具有遠端或區域儲存之環境。

圖66是範例非限制網路環境或分散式計算環境之示意圖。分散式計算環境包括計算物件或裝置6610、6612等，及計算物件或裝置6620、6622、6624、6626、6628等，其可能包括程式、方法、資料儲存、可程式邏輯等，如應用程式6630、6632、6634、6636、6638所代表。可以明白，計算物件或裝置6610、6612、計算物件或裝置6620、6622、6624、6626、6628等可包括不同的裝置，如PDA、音頻/視頻裝置、行動電話、MP3播放器、筆記本電腦等。

計算物件或裝置6610、6612及計算物件或裝置6620、6622、6624、6626、6628等能透過通訊網路6640直接或間接與一或多個其他計算物件或裝置6610、6612、計算物件或裝置6620、6622、6624、6626、6628通訊。即使圖66是繪示為單一元件，網路6640可能包括提供服務圖66的系統的其他計算物件和計算裝置，及(或)可能代表多個相互連接的網路(未圖示)。計算物件或裝置6610、6612或6620、6622、6624、6626、6628也可以包含應用程式，如應用程式6630、6632、6634、6636、6638，其可利用API、或其他物件、軟體、韌體及(或)硬體，適於與可靠雲端計算服務或應用程式通訊或為可靠雲端計算服務或應用程式之實施。

有各種各樣的系統、組件和網路配置支持分散式計算環境。例如，可以有線或者無線系統、區域網路或廣泛分佈的網路連接電腦系統。目前，許多網路耦合到網際網路，其提供了廣泛分佈計算之基礎架構並包括許多不同的網路，但任何網路基礎架構可用於範例通訊。

因此可以利用許多網路拓撲結構和網路基礎架構，如客戶端/伺服器端模式、同級、或混合架構。在客戶端/伺服器端架構，尤其是網路系統，客戶端通常是存取另一台電腦(例如伺服器)提供的共享網路資源之電腦。在圖66，作為一個非限制範例，計算物件或裝置6620、6622、6624、6626、6628等可視為是客戶端，計算物件或裝置6610、6612等可視為是伺服器，其中計算物件或裝置6610、6612提供資料服務，例如自計算物件或裝置6620、6622、6624、6626、6628接收資料、儲存資料、處理資料、發送資料到客戶端(如計算物件或裝置6620、6622、6624、6626、6628)，雖然視情況而定，任何電腦都可作為客戶端、伺服器、或兩者。如本文所述的一或更多的實施例，上述任何計算裝置可處理資料或請求服務或工作，其可能牽涉改進的使用者設定和相關技術。

伺服器是透過遠端或區域網路(例如網際網路或無線網路基礎架構)存取之遠端電腦系統。客戶端程序可能在第一電腦系統執行，伺服器程序可能在第二電腦系統執行，透過通訊媒體與彼此通訊，因而提供分散式功能，並允許多個客戶端利用伺服器之資訊收集功能。根據使用者設定而使用的軟體物件可獨立提供或分佈在多個電腦裝置或物件。

在通訊網路/匯流排6640是網際網路之網路環境中，例如，計算物件或裝置6610、6612可為網路伺服器，客戶端(如計算物件或裝置6620、6622、6624、6626、6628)透過任何已知協定(如超文字傳輸協定(HTTP))與其通訊。伺服器(如計算物件或裝置6610、6612)也可作為客戶端(如計算物件或裝置6620、6622、6624、6626、6628)，其可為分散式計算環境之特徵。

範例計算裝置

如前所述，所述實施例適用於任何實現可靠雲端服務架構之裝置。應該理解，手持式、可攜式、其他計算裝置和計算物件可與所述實施例使用，即裝置可提供可靠雲端服務架構之一些功能的任何地方。因此，圖67的通用遠端電腦只是一個例子，本揭示之實施例可以具網路/匯流排相互操作和互動之任何客戶端實施。

雖然不是必需的，任何實施例可透過操作系統而部分實施，用於裝置或物件之服務開發人員及(或)包括在與可操作組件一起操作之應用軟體。軟體可在電腦可執行指令(如程序模組)之一般情況下，由一或更多的電腦執行，如客戶端工作站、伺服器或其他裝置。熟悉本技術之通常知識者可以明白，網路互動可與各種電腦系統配置和協定實施。

圖67是代表範例非限制計算系統環境6700，本文所述之不同實施例的一或多個態樣可以實施於其中，儘管如上所述，計算系統環境6700只是合適計算環境的一個例子，並無意建議任何限制。計算環境6700也不應被解釋為有與範例操作環境6700說明之任一組件或組件組合相關之任何依賴或要求。

參考圖67，執行一或多個實施例之範例遠端裝置可以包括手持電腦6710形式之通用計算裝置。手持電腦6710的組件可能包括但不限於處理單元6720、系統記憶體6730、系統匯流排6721，系統匯流排6721耦合包括系統記憶體之系統元件至處理單元6720。

電腦6710通常包括各種電腦可讀取媒體，例如但不限於數位多功能光碟(DVD)、快閃儲存、內部或外部硬碟、光碟(CD)等，可為可由電腦6710存取之任何可用媒體，包括遠端驅動器、雲端儲存磁碟等。系統記憶體6730可以包括電腦儲存媒體，形式可為揮發性及(或)非揮發性記憶體，如唯讀記憶體(ROM)及(或)隨機存取記憶體(RAM)。例如，記憶體6730也可包括操作系統、應用程式、其他程序模組和程式資料。

使用者可以透過輸入裝置6740輸入指令和資訊至電腦。顯示器或其他類型的顯示裝置也透過介面(如輸出介面6750)連接到系統匯流排6721。除了顯示器，電腦可能還包括其他周邊輸出裝置如揚聲器和印表機，這可透過輸出介面6750連接。

電腦6710可在網路或分散式環境中運作，使用邏輯連接到一或多個遠端電腦(如遠端電腦6770)。遠端電腦6770可能是個人電腦、伺服器、路由器、網路電腦、同級裝置或其他常見的網路節點，或者任何其他遠端媒體消費或傳輸裝置，可包括任何或所有上述相對於電腦6710的元件。如圖67所示之邏輯連接包括網路674，如區域網路(LAN)或廣域網路(WAN)，但可能還包括其他網路/匯流排。這樣的網路環境在家裡、辦公室、企業電腦網路、內部網路和網際網路是司空見慣。

如上所述，雖然範例實施例與各種計算裝置、網路和廣告架構一起描述，基本概念可應用到想提供信賴與雲端服務互動之任何網路系統和任何電腦裝置或系統。

有多種方法實現所述一或多個實施例，例如合適的API、套件、驅動碼、操作系統、控制、獨立或可下載軟體物件，其賦能應用程式和服務使用可靠的雲端服務架構。實施方案中可從API(或其他軟體物件)的立場考慮，以及從按照一或多個描述的實施例提供指向平台服務之軟體或硬體物件的立場考慮。各種實現和實施例有可能完全是硬體、部分硬體和部分軟體、或軟體。

詞彙「範例」在這裡指作為例子、實例、或說明。為避免疑問，揭示內容不限於這樣的例子。此外，任何所述「範例」不一定是被解釋為較其他態樣或設計為佳或有利，也不是為了排除熟悉本技術之通常知識者知道的等效範例結構和技術。此外，為避免疑問，「包括」、「具有」、「包含」等類似詞彙之本意是開放性連接詞，並不排除任何額外或其他元件。

如上所述，本文所述的各種技術，可與硬體或軟體連接實現，或在適當情況下具有兩者之結合。本文中所使用的術語「組件」、「系統」本意是指與電腦有關的實體，可為硬體、硬體和軟體之結合、軟體或軟體執行。例如，組件可能是運行在處理器、物件、執行物件、執行緒、程式及(或)電腦之程序。運行於電腦之應用程式可以是組件。一或多個組件可以常駐在程式及(或)執行緒，組件可定位於一台電腦及(或)分佈在兩台或更多的電腦。

上述系統是就幾個組件之間的互動來形容。可以明白，這樣的系統和組件可以包含這些組件或指定的次組件、一些指定的組件或次組件、及(或)其他組件，並可有前述之不同排列及組合。次組件也可以實現為組件，通訊耦合到其他組件，而不是包含在母組件(層級上)。此外，應該注意到，一或多個組件可以合併成單一組件，提供聚合的功能或分為若干獨立的次組件，可提供任何一或多個中間層(如管理層)以通訊耦合至次組件，以提供整合的功能。本文所述的任何組件亦可與此處沒有具體說明但熟悉本技術之通常知識者知道的一或多個其他組件互動。

鑑於上文所述的示範系統，參考流程圖之後，可能將更瞭解根據揭示標的之實施方法。雖然為了解釋起見，以一系列的方塊繪示和描述方法，應瞭解請求標的不限於方塊之順序，因為有些方塊可能以不同的順序發生及(或)與其他方塊同時發生。凡不連續或分支是透過流程圖表示，可實現其他分支、流動路徑或方塊順序達到相同或相似的結果。此外，並非需要所有說明方塊實施本文所述的方法。

雖然在一些實施方案是以客戶端的角度說明，可以理解的是，存在一個相應的伺服器的角度，反之亦然。類似地，如果是實施方法，可以提供相應的裝置，具有儲存裝置和至少一處理器配置以透過一或多個組件實施該方法。

雖然描述了不同的實施例與較佳實施例，可以理解，可使用其他類似的實施例，可對所描述的實施例修改和補充進行用於執行相同的功能而沒有偏離範圍。更進一步而言，上面描述實施例之的一或多個態樣可實施於多個處理晶片或裝置，同樣可跨多個裝置儲存。因此，本發明不應該局限於任何單一實施例，而應該按照後附請求項之廣度和範圍來理解。

100．．．數學轉換組件

102．．．存取資訊產生器

104．．．數學轉換技術提供者

110．．．發布

112．．．訂閱

120．．．網路服務供應商

130．．．儲存裝置

140．．．封套

150．．．資料

152．．．元資料

1200-1240．．．步驟流程

1600-1630．．．步驟流程

3200-3660．．．步驟流程

3800-3940．．．步驟流程

4600-4730．．．步驟流程

4900-5430．．．步驟流程

5800-5840．．．步驟流程

6100-6140．．．步驟流程

參照附圖進一步說明各種非限制實施例，於圖式中：

圖1繪示用於發布或訂閱使用複合封套之儲存裝置中的資料、元資料或兩者的系統示意圖；

圖2繪示用於發布或訂閱使用複合加密封套之儲存裝置中的資料、元資料或兩者的系統示意圖；

圖3繪示同心複合封套的範例；

圖4繪示具有橫向封套之複合封套的範例；

圖5繪示同時具有同心及橫向封套之混合複合封套的範例；

圖6是使用橫向封套與相關於資料之存取日誌元資料的方塊圖；

圖7是透過丟棄或碎掉存取資訊來有效刪除資料的方塊圖，其中如何對資料進行刪除是編碼於元資料中；

圖8是拌碼資料及關於拌碼之資訊係記錄在複合封套的封套內部或外部的元資料的方塊圖；

圖9是導致發出功能以查看被封套模糊之資料、元資料或兩者的方塊圖，作為移除封套的替代方案；

圖10是根據指令或狀態改變而自動移除、產生、修改、重新產生或擴充封套的方塊圖；

圖11是使用一或多個橫向封套轉換以執行資料編校任務的範例實施例；

圖12繪示用於主管由一複合封套所包覆的資料、元資料或兩者的範例非限制程序的流程圖；

圖13是用於提供一或多個安全、私密、選擇性存取網路資料服務的實施例的一般環境方塊圖；

圖14繪示「資料作為自己的管理人」的一或多個態樣的方塊圖；

圖15是用於提供一或多個安全、私密、選擇性存取網路資料服務的實施例的一般環境方塊圖；

圖16是「資料作為自己的管理人」的管理容器的流程圖；

圖17繪示「資料作為自己的管理人」的一或多個態樣的另一方塊圖；

圖18繪示「資料作為自己的管理人」的一或多個態樣的另一方塊圖，說明資料可以超越傳統的容器安全模型；

圖19繪示儲存管理層，執行諸如自不同類型之多個資料容器的資料自動碎除、快取、複製、重組功能；

圖20繪示安全覆蓋網路的方塊圖，安全覆蓋網路將加密存取封套加至資料，資料是儲存於不同的資料容器；

圖21繪示與舊有應用程式相關之態樣的方塊圖；

圖22是範例架構模型，可與舊有應用程式以及FTO應用程式使用；

圖23繪示加密封套或信封在描述資料或資料特徵之資料及(或)元資料的一般使用的方塊圖；

圖24進一步說明圖23所呈現之概念；

圖25繪示圍繞受保護資料之聯合信賴覆蓋的另一範例；

圖26繪示使用信賴覆蓋來加密並上傳記錄以及索引到雲端的方塊圖；

圖27繪示客戶端可以如何利用聯合信賴覆蓋架構以產生、上傳及(或)搜尋索引於加密資料之上，以有更豐富的雲端儲存經驗；

圖28-30繪示系統的一些額外非限制信賴保證的方塊圖；

圖31繪示在XML情境中信賴覆蓋的實施例；

圖32-35繪示不同實施例中可靠XML的範例流程的流程圖；

圖36繪示用於處理資料以形成可靠XML的範例非限制方法；

圖37繪示可靠的雲端服務架構或生態系統的方塊圖；

圖38繪示根據可靠的雲端服務生態系統而發布資料的範例非限制方法的流程圖；

圖39繪示根據可靠的雲端服務生態系統而訂閱資料的範例非限制方法的流程圖；

圖40繪示可靠生態系統中將密鑰產生中心(CKG)、加密技術提供者(CTP)和雲端服務提供者(CSP)分開之示意圖；

圖41為企業執行雲端服務之可靠生態系統的進一步優點的另一架構圖；

圖42是透過儲存抽象層之不同儲存提供者之安排之另一方塊圖；

圖43繪示儲存與儲存抽象化服務之另一態樣；

圖44繪示可靠的生態系統中各種不同的參與者的方塊圖；

圖45是範例非限制實施之可靠雲端計算系統之一些層的代表圖，其中不同或相同的實體可提供不同的部分；

圖46是發布文件至數位安全應用程式之範例非限制流程的流程圖，其係提供發布者對後期綁定資料的控制選擇性存取；

圖47是訂閱放置在數位安全裝置之材料的範例非限制流程的流程圖；

圖48是可靠的雲端服務的範例非限制實施的流程圖，其使用數位代管模式以透過一或多個資料中心為企業實現安全的商際網路；

圖49是基於可靠的雲端服務生態系統之範例非限制實施的流程圖，其中由CSP給予訂閱者對加密的資料儲存進行選擇性存取；

圖50是可根據登錄資訊而修改點訂閱者的應用程式回應的另一流程圖；

圖51是安全紀錄上傳情境的另一個流程圖，其可實施於單方或多方；

圖52是對於可搜尋加密資料儲存裝置之基於角色查詢的範例非限制流程圖，其係由可靠的雲端服務生態系統所賦能；

圖53是多方合作情境的流程圖，其中企業提供其部分加密資料之存取給外部企業；

圖54是多個企業中多方自動搜尋情境的流程圖；

圖55繪示可實施於可靠雲端服務之範例非限制的邊緣計算網路(edge compute network,ECN)技術；

圖56是根據可靠雲端服務生態系統之一或多個密鑰產生中心的可選態樣的方塊圖；

圖57是包括可搜尋加密資料之可靠儲存裝置的範例非限制實施例的方塊圖；

圖58是包括驗證步驟之範例非限制訂閱流程；

圖59繪示範例非限制驗證挑戰/回應協定，其中驗證方發出加密挑戰給證明方；

圖60是包括可搜尋加密資料之可靠儲存裝置的另一範例非限制實施例方塊圖；

圖61是包括驗證步驟之範例非限制訂閱流程；

圖62繪示範例非限制驗證挑戰/回應協定，其中驗證方發出加密挑戰給證明方；

圖63繪示用於提供一或多個服務實施例之一般環境的方塊圖，其中服務包括盲目指紋化；

圖64是非限制情境的方塊圖，其中多個獨立的聯合信賴覆蓋或數位代管可以並排存在，或是以分層作法將一層置於另一層上；

圖65是另一非限制實施例的方塊圖，其中可靠的儲存裝置包括用於遮蓋資料以防止未經授權存取的資料分散技術；

圖66是代表範例非限制網路環境的方塊圖，本文所述之不同實施例可以實施於其中；及

圖67是代表範例非限制計算系統或操作環境，本文所述之不同實施例的一或多個態樣可以實施於其中。