TWI729508B - 雲端安全儲存系統 - Google Patents
雲端安全儲存系統 Download PDFInfo
- Publication number
- TWI729508B TWI729508B TW108134757A TW108134757A TWI729508B TW I729508 B TWI729508 B TW I729508B TW 108134757 A TW108134757 A TW 108134757A TW 108134757 A TW108134757 A TW 108134757A TW I729508 B TWI729508 B TW I729508B
- Authority
- TW
- Taiwan
- Prior art keywords
- cloud
- server
- user
- data blocks
- data
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0623—Securing storage systems in relation to content
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0655—Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0655—Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
- G06F3/0658—Controller construction arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/067—Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Human Computer Interaction (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
一種雲端安全儲存系統,將使用者檔案分割及利用雜湊函數加密,並搭配資料分散演算法以產生複數個資料塊,複數個資料塊分別儲存至複數個雲端伺服器,複數個雲端伺服器為複數個資料塊備份為備份檔案;若複數個雲端伺服器之其一的資料塊遺失,鄰近雲端伺服器傳送備份檔案至遺失資料塊的雲端伺服器。本發明之雲端安全儲存系統,由於檔案分割、加密、備份檔案以及演算法的流程,成功讓使用者檔案安全儲存在複數個雲端伺服器,阻擋網路的惡意攻擊。
Description
本發明關於一種利用多個雲端伺服器並搭配檔案分割、加密、備份檔案以及演算法的流程阻擋網路惡意攻擊之雲端安全儲存系統。
雲端儲存服務為使用者帶來許多便利,提供雲端儲存服務的提供者隨之增加,例如:Google Cloud、Amazon S3、Microsoft Azure和Apple iCloud等。目前的雲端儲存服務乃以單個雲端硬碟提供給使用者,單個雲端硬碟僅能提供有限的儲存容量和資安保障,造成使用上的限制。
台灣專利公告號M451587之專利前案為利用存取模組和保安模組控制檔案的輸入、輸出、加密以及解密,並搭配多個儲存模組提高儲存容量;然而,台灣專利前案以單個雲端硬碟進行加解密和儲存容量的改善,網路駭客仍容易入侵單個雲端硬碟進行資料竊取,且也並未考量到雲端硬碟中檔案遺失的狀況。
綜觀前所述,本發明之發明者思索並設計一種雲端安全儲存系統,以期針對習知技術之缺失加以改善,進而增進產業上之實施利用。
有鑑於上述習知之問題,本發明的目的在於提供一種雲端安全儲存系統,用以解決習知技術中所面臨之問題。
基於上述目的,本發明提供一種雲端安全儲存系統,設置於點對點網路且點對點網路包括使用者端和農場端,其包括使用者伺服器和複數個雲端伺服器。使用者伺服器設置於使用者端的節點,接收使用者檔案且其包括加解密引擎、演算法引擎以及第一傳輸介面,使用者伺服器將使用者檔案分割成複數個資料單元,加解密引擎為各複數個資料單元加密並利用雜湊函數運算出各資料單元的雜湊值,演算法引擎根據加密後的各資料單元的尺寸產生隨機矩陣,演算法引擎根據加密後的各資料單元和隨機矩陣演算出複數個資料塊,複數個資料塊和複數個資料單元的數目彼此相異,第一傳輸介面傳輸各複數個資料塊。複數個雲端伺服器設置於農場端的節點且各複數個雲端伺服器具有第二傳輸介面及編號,且複數個雲端伺服器之其一的第二傳輸介面接收複數個資料塊,接收複數個資料塊之雲端伺服器根據各編號及各複數個資料塊所對應的雜湊值,分配複數個資料塊至複數個雲端伺服器。本發明之雲端安全儲存系統,由於檔案分割、加密以及演算法的流程,成功讓使用者檔案安全儲存在複數個雲端伺服器,阻擋網路的惡意攻擊。
較佳地,使用者伺服器具有資料庫,資料庫儲存使用者檔案的元資料以及其對應的複數個雜湊值。
較佳地,若複數雲端伺服器包括閒置雲端伺服器,複數個雲端伺服器之其一偵測閒置雲端伺服器未運作時,將該閒置雲端伺服器排除於該農場端外。
較佳地,各雲端伺服器備份複數個資料塊並儲存為備份檔案。
較佳地,當複數個雲端伺服器之其一所儲存的資料塊遺失時,遺失資料塊的雲端伺服器之鄰近雲端伺服器傳送備份檔案至遺失資料塊的雲端伺服器。
基於上述目的,本發明提供一種雲端安全儲存系統,設置於點對點網路且點對點網路包括使用者端和農場端,其包括使用者伺服器和複數個雲端伺服器。使用者伺服器設置於使用者端的節點且包括加解密引擎、演算法引擎以及第一傳輸介面,使用者伺服器發送具有雜湊值的的下載請求。複數個雲端伺服器設置於農場端的節點且各複數個雲端伺服器具有第二傳輸介面、編號以及資料塊,各複數個雲端伺服器之其一的第二傳輸介面接收下載請求,接收下載請求的雲端伺服器根據雜湊值尋找對應的該些雲端伺服器並收集其所具備的資料塊,接收下載請求的雲端伺服器將複數個資料塊傳送至使用者伺服器,使用者伺服器確認複數個資料塊的數目和尺寸,演算法引擎根據各資料塊所對應的逆隨機矩陣和各資料塊重建出複數個資料單元,加解密引擎為各複數個資料單元解密,使用者伺服器整合複數個資料單元為使用者檔案。本發明之雲端安全儲存系統,成功地從複數個雲端伺服器下載並搭配逆隨機矩陣重建使用者檔案。
較佳地,若複數個雲端伺服器包括閒置雲端伺服器,複數個雲端伺服器之其一偵測閒置雲端伺服器未運作時,將該閒置雲端伺服器排除於該農場端外。
較佳地,各雲端伺服器備份複數個資料塊並儲存為備份檔案。
較佳地,當複數個雲端伺服器之其一所儲存的資料塊遺失時,遺失資料塊的雲端伺服器之鄰近雲端伺服器傳送備份檔案至遺失資料塊的雲端伺
服器。透過前述的設置,將備份檔案即時傳送至遺失資料塊的雲端伺服器,使用者檔案能據此重建。
較佳地,複數個雲端伺服器分為私有伺服器和公有伺服器;其中,當私有伺服器的第二傳輸介面接收下載請求時,私有伺服器優先收集該些雲端伺服器所具備的資料塊;當公有伺服器的第二傳輸介面接收下載請求時,公有伺服器根據雜湊值尋找對應的複數個資料塊並從該些雲端伺服器收集複數個資料塊。
承上所述,本發明之雲端安全儲存系統,由於檔案分割、加密、備份檔案以及演算法的流程,成功讓使用者檔案安全儲存在複數個雲端伺服器,阻擋網路的惡意攻擊。
10:使用者伺服器
11:加解密引擎
12:演算法引擎
13:第一傳輸介面
14:資料庫
20:雲端伺服器
21:第二傳輸介面
22:分配模組
23:公有伺服器
24:私有伺服器
AccountU:帳號
C:資料塊
CF:備份檔案
Client:使用者端
CRT:憑證
CSR:憑證簽署需求
FileFarm:農場端
ID:編號
IDU:使用者編號
P2P:點對點網路
PasswdU:密碼
PriKeyU:私鑰
PubKeyU:公鑰
S:資料單元
SigA:同意簽章
SigU:簽章
UF:使用者檔案
S11~S17、S21~S28:步驟
第1圖為本發明之雲端安全儲存系統之第一實施例的配置圖。
第2圖為本發明之雲端安全儲存系統之第一實施例的方塊圖。
第3圖為本發明之雲端安全儲存系統之第一實施例的流程圖。
第4圖為本發明之雲端安全儲存系統之資料分散演算法的示意圖。
第5圖為本發明之雲端安全儲存系統之第二實施例的配置圖。
第6圖為本發明之雲端安全儲存系統之第二實施例的流程圖。
第7圖為本發明之雲端安全儲存系統之節點查詢(NODE_LOOKUP)的次數圖。
第8圖為本發明之雲端安全儲存系統之雜湊值查詢(VALUE_LOOKUP)的次數圖。
第9圖為本發明之雲端安全儲存系統之上載速率圖。
第10圖為本發明之雲端安全儲存系統之下載速率圖。
第11A圖至第11D圖為本發明之雲端安全儲存系統之取得率圖。
第12圖為本發明之雲端安全儲存系統之傳輸費圖。
第13圖為本發明之雲端安全儲存系統之第三實施例的註冊示意圖。
第14圖為本發明之雲端安全儲存系統之第三實施例的登錄示意圖。
本發明之優點、特徵以及達到之技術方法將參照例示性實施例及所附圖式進行更詳細地描述而更容易理解,且本發明可以不同形式來實現,故不應被理解僅限於此處所陳述的實施例,相反地,對所屬技術領域具有通常知識者而言,所提供的實施例將使本揭露更加透徹與全面且完整地傳達本發明的範疇,且本發明將僅為所附加的申請專利範圍所定義。
應當理解的是,儘管術語「第一」、「第二」等在本發明中可用於描述各種元件、部件、區域、層及/或部分,但是這些元件、部件、區域、層及/或部分不應受這些術語的限制。這些術語僅用於將一個元件、部件、區域、層及/或部分與另一個元件、部件、區域、層及/或部分區分開。因此,下文討論的「第一元件」、「第一部件」、「第一區域」、「第一層」及/或「第一部分」可以被稱為「第二元件」、「第二部件」、「第二區域」、「第二層」及/或「第二部分」,而不悖離本發明的精神和教示。
另外,術語「包括」及/或「包含」指所述特徵、區域、整體、步驟、操作、元件及/或部件的存在,但不排除一個或多個其他特徵、區域、整體、步驟、操作、元件、部件及/或其組合的存在或添加。
除非另有定義,本發明所使用的所有術語(包括技術和科學術語)具有與本發明所屬技術領域的普通技術人員通常理解的相同含義。將進一步理解的是,諸如在通常使用的字典中定義的那些術語應當被解釋為具有與它們在相關技術和本發明的上下文中的含義一致的定義,並且將不被解釋為理想化或過度正式的意義,除非本文中明確地這樣定義。
請參閱第1圖至第2圖,其分別為本發明之雲端安全儲存系統之第一實施例的配置圖以及本發明之雲端安全儲存系統之第一實施例的方塊圖。如第1圖和第2圖所示,本發明之雲端安全儲存系統,設置於點對點網路P2P且點對點網路P2P包括使用者端Client和農場端FileFarm,其包括使用者伺服器10和複數個雲端伺服器20。使用者伺服器10設置於使用者端Client的節點,接收使用者檔案UF且其包括加解密引擎11、演算法引擎12、第一傳輸介面13以及資料庫14,使用者伺服器10將使用者檔案UF分割成複數個資料單元S,加解密引擎11為各複數個資料單元S加密並利用雜湊函數運算出各資料單元S的雜湊值,演算法引擎12根據加密後的各資料單元S的尺寸產生如第4圖的隨機矩陣R,演算法引擎12根據加密後的各資料單元S和隨機矩陣R演算出複數個資料塊C,複數個資料塊C和複數個資料單元S的數目彼此相異,第一傳輸介面13傳輸各複數個資料塊C,資料庫14儲存使用者檔案UF的元資料以及其對應的複數個雜湊值。複數個雲端伺服器20設置於農場端FileFarm的節點且各複數個雲端伺服器20具有第二傳輸介面21、分配模組22及編號ID,且複數個雲端伺服器20之其一的第二傳輸介面
21接收複數個資料塊C,接收複數個資料塊C之雲端伺服器20的分配模組22根據各編號ID及各複數個資料塊C所對應的雜湊值,分配複數個資料塊C至複數個雲端伺服器20,各雲端伺服器20備份複數個資料塊C並儲存為備份檔案CF。本發明之雲端安全儲存系統,由於檔案分割、加密以及演算法的流程,成功讓使用者檔案UF安全儲存在複數個雲端伺服器20,阻擋網路的惡意攻擊。
其中,演算法引擎12為利用資訊分散演算法(Information Dispersal Algorithm,IDA)進行隨機矩陣R的產生以及複數個資料塊C的演算,由於IDA演算法的設置,網路駭客難以從使用者伺服器10之外的節點進行使用者檔案UF的重建。複數個雲端伺服器20之編號ID的建立和各資料單元S的加密和雜湊值的取得為利用Kademlia網路結構(其為一種利用分散式雜湊表(Distributed Hash Table)實現的網路協定)來達成,各雲端伺服器20的分配模組根據各資料塊C的雜湊值找尋鄰近的多個雲端伺服器20及分配複數個資料塊C至鄰近的多個雲端伺服器20,複數個雲端伺服器20之編號ID的位元數根據實際所需來調整而其可例如為4或5,而未侷限於本發明所列舉的範圍。
此外,各雲端伺服器20的備份檔案CF為根據複數個雲端伺服器20的數目而調整(通常備份檔案CF的數目等於複數個雲端伺服器20的數目),而未侷限於本發明所列舉的範圍;當複數個雲端伺服器20之其一所儲存的資料塊C遺失時(此時雲端伺服器20僅遺失部份資料塊C而非其內並無任何資料塊C),遺失資料塊C的雲端伺服器20之鄰近雲端伺服器20察覺遺失部分資料塊C的雲端伺服器20而傳送備份檔案CF至遺失資料塊C的雲端伺服器20。若複數個雲端伺服器20包括閒置雲端伺服器(未正常運作的雲端伺服器20),鄰近閒置雲端伺服器之雲端
伺服器察覺閒置雲端伺服器並未運作,將閒置雲端伺服器排除於農場端FileFarm外。
另,使用者伺服器10和雲端伺服器20可為工作站電腦以及超級電腦,當然也可為其他具有伺服器功能的電子裝置,而未侷限於本發明所列舉的範圍。
請參閱第3圖及第4圖,其分別為發明之雲端安全儲存系統之第一實施例的流程圖以及本發明之雲端安全儲存系統之資料分散演算法的示意圖。如第3圖和第4圖所示,並搭配第1圖和第2圖,說明本發明之雲端安全儲存系統之上傳使用者檔案UF的流程如下:(1)S11步驟:使用者透過電子裝置上傳使用者檔案UF至使用者伺服器10;或者,使用者所使用的電子裝置具有使用者伺服器10,使用者伺服器10接收使用者檔案UF。其中,電子裝置包括桌上型電腦、筆記型電腦、平板電腦以及手機,當然也可為其他具有網路功能的電子裝置,而未侷限於本發明所列舉的範圍。
(2)S12步驟:使用者伺服器10分割使用者檔案UF為複數個資料單元S。
(3)S13步驟:加解密引擎11利用雜湊函數對複數個資料單元S加密,加密後的每個資料單元S具有雜湊值,每個資料單元S依據其位元長度而具有不同的雜湊值,因此,每個資料單元S的雜湊值彼此相異。
(4)S14步驟:演算法引擎12如第4圖所示利用資訊分散演算法(IDA)演算各資料單元S的隨機矩陣R(隨機矩陣的尺寸為(p+q)×p),各資料單元S的尺寸為F bytes且具有p列,將各資料單元S和隨機矩陣R相乘而取得多個資料塊C,單個資料塊C的尺寸為(p+q)×
;舉例來說,各資料單元S的尺寸為
16bytes且具有4列,隨機矩陣R的尺寸為6×4,單個資料單元C的尺寸為6×4。接者,整合各資料單元S的多個資料塊C為複數個資料塊C。
(5)S15步驟:資料庫14儲存使用者檔案UF的元資料以及其對應的複數個雜湊值。
(6)S16步驟:第一傳輸介面13傳輸複數個資料塊C至複數個雲端伺服器20之其一的第二傳輸介面21。值得一提的是,由於點對點網路P2P的設置,將使用者伺服器10和複數個雲端伺服器20之間的網路結構去中心化(decentralization),使用者伺服器10的第一傳輸介面13傳輸複數個資料塊C至任一個雲端伺服器20的第二傳輸介面21,而不需其他雲端伺服器20的存取同意(consent for a access),簡化使用者伺服器10的傳輸。
(7)S17步驟:接收複數個資料塊C的雲端伺服器20的分配模組22根據Kademlia網路結構的特性及各雲端伺服器20的編號ID,分配複數個資料塊C至接收資料塊C的雲端伺服器20之鄰近多個雲端伺服器20,成功地完成複數個資料塊C的上傳。
請參閱第5圖及第6圖,其為本發明之雲端安全儲存系統之第二實施例的配置圖以及本發明之雲端安全儲存系統之第二實施例的流程圖。於本實施例中,相同元件符號之元件,其配置與前述類似,其類似處於此便不再加以贅述。
如第5圖所示,本發明之第二實施例與第一實施例的差異在於複數個雲端伺服器20分為公有伺服器23和私有伺服器24;一般來說,公有伺服器23為提供雲端服務者(例如:Google或Microsoft)所提供的,私有伺服器24為企業內部所建構,透過公有伺服器23和私有伺服器24的混合配置,降低公有伺服器
23之檔案傳輸費用,改善檔案下載的速度。其中,私有伺服器24享有優先下載(prioritized download)的權利,亦即,私有伺服器24較公有伺服器23立即優先下載複數個資料塊C,若複數個雲端伺服器20中並無私有伺服器24,公有伺服器23享有優先下載的權利;公有伺服器23和私有伺服器24的數目乃根據實際需求而調整,例如:公有伺服器23的數目為2,私有伺服器24的數目為3,前述僅為例舉,並未侷限於本發明所陳述的範圍。
如第6圖所示,並搭配第1圖、第2圖以及第5圖,說明本發明之雲端安全儲存系統之上傳使用者檔案UF的流程如下:(1)S21步驟:使用者伺服器10發送下載請求,下載請求具有雜湊值。
(2)S22步驟:複數個雲端伺服器20之其一的第二傳輸介面21接收下載請求。其中,若接收下載請求的雲端伺服器20為公有伺服器23,接續進行S23步驟;若接受下載請求的雲端伺服器20為私有伺服器24,私有伺服器24優先收集該些雲端伺服器20所具備的資料塊C,並直接進入S25步驟。
(3)S23步驟:接收下載請求的雲端伺服器20取得下載請求的雜湊值。
(4)S24步驟:接收下載請求的雲端伺服器20根據所取得的雜湊值及利用Kademlia網路結構中的節點查詢(NODE-LOOKUP)指令,尋找對應雜湊值之複數個資料塊C所屬的各雲端伺服器20;接收下載請求的雲端伺服器20根據所取得的雜湊值及利用Kademlia網路結構中的雜湊值查詢(VALUE-LOOKUP)指令,尋找對應雜湊值之複數個雲端伺服器20所儲存的複數個資料塊C,且會重複尋找各雲端伺服器20所儲存的複數個資料塊C直至找到對應雜湊值的資料塊C。
接著,各雲端伺服器20將對應雜湊值的複數個資料塊C傳輸至接收下載請求的雲端伺服器20。
(5)S25步驟:接收下載請求的雲端伺服器20將整合複數個資料塊C,並確認複數個資料塊C的數目和尺寸是否正確,若下載的複數個資料塊C的數目和尺寸並非上傳的複數個資料塊C的數目和尺寸,返回S24步驟,重新尋找對應雜湊值的複數個雲端伺服器20及其分別儲存的複數個資料塊C;若下載的複數個資料塊C的數目和尺寸和上傳的複數個資料塊C的數目和尺寸相符,接收下載請求的雲端伺服器20將複數個資料塊C傳輸至使用者伺服器10,進入S26步驟。
(6)S26步驟:第一傳輸介面13接收到複數個資料塊C,演算法引擎12根據各資料塊C所對應的逆隨機矩陣(逆隨機矩陣為隨機矩陣的逆矩陣)和各資料塊C重建出複數個資料單元S。
(7)S27步驟:加解密引擎11為各資料單元S解密。
(8)S28步驟:使用者伺服器10整合解密後複數個資料單元S為使用者檔案UF。
觀前所述,由於點對點網路P2P去中心化的設置和雲端伺服器20之遺失資料而自動修復的機制,使本發明的可靠度相較於以往的單一雲端伺服器而言大幅提升;另,由於加解密和資訊分散演算法的搭配,有效地防止使用者檔案UF被駭客竊取。
請參閱第7圖和第8圖,本發明之雲端安全儲存系統之節點查詢(NODE_LOOKUP)的次數圖以及本發明之雲端安全儲存系統之雜湊值查詢(VALUE_LOOKUP)的次數圖。如第7圖和第8圖所示,網路尺寸(複數個雲端伺服器20的數目)越大,節點查詢(NODE_LOOKUP)和雜湊值查詢
(VALUE_LOOKUP)的次數越多;雲端伺服器20的數目(K)越大,節點查詢(NODE_LOOKUP)和雜湊值查詢(VALUE_LOOKUP)的次數越多。其中,節點查詢(NODE_LOOKUP)的次數最大值為[log(n)]+c,n為網路尺寸,c為常數。
請參閱第9圖和第10圖,其分別為本發明之雲端安全儲存系統之上傳速率圖以及本發明之雲端安全儲存系統之下載速率圖。如第9圖和第10圖所示,隨著資料單元S數目增加,上傳速率和下載速率都隨之增加而稍微減少,不論資料單元S數目的多寡,下載速率比上傳速率快(由於雲端伺服器20的備份檔案CF的緣故)。
請參閱第11A圖至第11D圖,其為本發明之雲端安全儲存系統之取得率圖。如第11A圖至第11D圖所示,K為備份檔案CF的數目,q為第4圖及其對應段落所述之隨機矩陣的尺寸之q,α為雲端伺服器20在線上的機率;不論α的大小,取得率為接近1並大於0.75,亦即,複數個資料塊C的下載相當完整,使用者檔案UF的整合相當順利,而並未有資料塊C的遺失。
舉例來說,如第11A圖所示,在K=2以及α=0.9的參數設定下,本發明可達到0.99的取得率;在K=2以及α=0.99的參數設定下,本發明可更近一步達到0.9999的取得率。
請參閱第12圖,其為本發明之雲端安全儲存系統之傳輸費圖。如第12圖所示,公有伺服器23的數目(N)越多,傳輸費也隨之增加;採用優先下載權利的複數個雲端伺服器20則會降低傳輸費。
請參閱第13圖以及第14圖,本發明之雲端安全儲存系統之第三實施例的註冊示意圖以及本發明之雲端安全儲存系統之第三實施例的登錄示意
圖。於本實施例中,相同元件符號之元件,其配置與前述類似,其類似處於此便不再加以贅述。
於第三實施例中,使用者檔案UF的上傳及下載與前述實施例相同,而不再重複敘述;第三實施例與其他實施例的差異之處在於加入註冊和登錄的機制,於此將描述註冊和登錄的細節如下。
如第13圖所示,並搭配第2圖,使用者從電子裝置的介面創建帳號AccountU和密碼PasswdU,帳號AccountU透過雜湊函數的運算而演算出使用者編號IDU,使用者伺服器10將使用者編號IDU傳送至農場端FileFarm的複數個雲端伺服器20,密碼PasswdU透過雜湊函數的運算而演算出私鑰PriKeyU,使用者伺服器10確認帳號AccountU和密碼PasswdU是否已經存在而允許使用者使用帳號AccountU和密碼PasswdU,使用者伺服器10根據私鑰PriKeyU產生公鑰PubKeyU,使用者於電子裝置的簽章(signature)標示為SigU。
續言之,使用者伺服器10將帳號AccountU、使用者編號IDU、公鑰PubKeyU、使用者資訊(例如姓名、電話或住址等)以及簽章SigU整合為憑證簽署需求CSR(certificate signing request)並將憑證簽署需求CSR傳送至管理者,管理者可決定是否同意使用者伺服器10所傳輸的憑證簽署需求CSR,若管理者同意,管理者創建同意簽章SigA並將其與帳號AccountU、使用者編號IDU、公鑰PubKeyU、使用者資訊(例如姓名、電話或住址等)以及簽章SigU整合為憑證CRT,管理者將憑證CRT傳送至農場端FileFarm的複數個雲端伺服器20,同時,管理者將憑證CRT傳送至使用者伺服器10以通知使用者註冊成功;若管理者不同意,管理者不創建同意簽章SigA。
如第14圖所示,使用者從電子裝置的介面登錄自己的帳號AccountU和密碼PasswdU,使用者伺服器10據此產生使用者編號IDU和私鑰PriKeyU,使用者伺服器10將使用者編號IDU傳送至農場端FileFarm的複數個雲端伺服器20(此時,複數個雲端伺服器20已備有公鑰PubKeyU),使用者伺服器10從農場端FileFarm的複數個雲端伺服器20下載憑證CRT及同意簽章SigA,使用者伺服器10驗證帳號AccountU和密碼PasswdU為有效,亦即,使用者可使用農場端FileFarm的複數個雲端伺服器20進行上傳或下載使用者檔案UF。
綜上所述,本發明之雲端安全儲存系統,由於檔案分割、加密、備份檔案以及演算法的流程,成功讓使用者檔案UF安全儲存在複數個雲端伺服器20,阻擋網路的惡意攻擊。總括而言,本發明之雲端安全儲存系統,具有如上述的優點,降低傳輸費用。
以上所述僅為舉例性,而非為限制性者。任何未脫離本發明之精神與範疇,而對其進行之等效修改或變更,均應包含於後附之申請專利範圍中。
10:使用者伺服器
20:雲端伺服器
Client:使用者端
FileFarm:農場端
P2P:點對點網路
Claims (8)
- 一種雲端安全儲存系統,設置於一點對點網路且該點對點網路包括一使用者端和一農場端(FileFarm),其包括:一使用者伺服器,設置於該使用者端的節點,接收一使用者檔案且其包括一加解密引擎、一演算法引擎以及一第一傳輸介面,該使用者伺服器將該使用者檔案分割成複數個資料單元,該加解密引擎為各該複數個資料單元加密並利用雜湊函數(hash function)運算出各該資料單元的雜湊值(hash value),該演算法引擎根據加密後的各該資料單元的尺寸產生一隨機矩陣,該演算法引擎根據加密後的各該資料單元和該隨機矩陣演算出複數個資料塊,該複數個資料塊和該複數個資料單元的數目彼此相異,該第一傳輸介面傳輸各該複數個資料塊;以及複數個雲端伺服器,設置於該農場端的節點且各該複數個雲端伺服器具有一第二傳輸介面及一編號,且該複數個雲端伺服器之其一的該第二傳輸介面接收該複數個資料塊,接收該複數個資料塊之該雲端伺服器根據各該編號及各該複數個資料塊所對應的雜湊值,分配該複數個資料塊至該複數個雲端伺服器;其中,各該雲端伺服器備份該複數個資料塊並儲存為一備份檔案。
- 如申請專利範圍第1項所述之雲端安全儲存系統,其中,該使用者伺服器具有一資料庫,該資料庫儲存該使用者檔案的元資料(metadata)以及其對應的該複數個雜湊值。
- 如申請專利範圍第1項所述之雲端安全儲存系統,若該複數個雲端伺服器包括一閒置雲端伺服器,該複數個雲端伺服器之其一偵測該閒置雲端伺服器未運作時,將該閒置雲端伺服器排除於該農場端 外。
- 如申請專利範圍第1項所述之雲端安全儲存系統,當該複數個雲端伺服器之其一所儲存的該資料塊遺失時,遺失該資料塊的該雲端伺服器之鄰近該雲端伺服器傳送該備份檔案至遺失該資料塊的該雲端伺服器。
- 一種雲端安全儲存系統,設置於一點對點網路且該點對點網路包括一使用者端和一農場端(FileFarm),其包括:一使用者伺服器,設置於該使用者端的節點且包括一加解密引擎、一演算法引擎以及一第一傳輸介面,該使用者伺服器發送具有一雜湊值的一下載請求;複數個雲端伺服器,設置於該農場端的節點且各該複數個雲端伺服器具有一第二傳輸介面、一編號以及一資料塊,各該複數個雲端伺服器之其一的該第二傳輸介面接收該下載請求,接收該下載請求的該雲端伺服器根據該雜湊值尋找對應的該些雲端伺服器並收集其所具備的該資料塊,接收該下載請求的該雲端伺服器將該複數個資料塊傳送至該使用者伺服器,該使用者伺服器確認該複數個資料塊的數目和尺寸,該演算法引擎根據各該資料塊所對應的一逆隨機矩陣和各該資料塊重建出該複數個資料單元,該加解密引擎為各該複數個資料單元解密,該使用者伺服器整合該複數個資料單元為一使用者檔案;其中,各該雲端伺服器備份該複數個資料塊並儲存為一備份檔案。
- 如申請專利範圍第5項所述之雲端安全儲存系統,若該複數雲端伺服器包括一閒置雲端伺服器,該複數個雲端伺服器之其一偵測該閒置雲端伺服器未運作時,將該閒置雲端伺服器排除於該農場端外。
- 如申請專利範圍第5項所述之雲端安全儲存系統,當該複數個雲端伺服器之其一所儲存的該資料塊遺失時,遺失該資料塊的該雲端伺服器之鄰近該雲端伺服器傳送該備份檔案至遺失該資料塊的該雲端伺服器。
- 如申請專利範圍第5項所述之雲端安全儲存系統,其中該複數個雲端伺服器分為一私有伺服器和一公有伺服器;其中,當該私有伺服器的該第二傳輸介面接收該下載請求時,該私有伺服器優先收集該些雲端伺服器所具備的該資料塊;當該公有伺服器的該第二傳輸介面接收該下載請求時,該公有伺服器根據該雜湊值尋找對應的該複數個資料塊並從該些雲端伺服器收集該複數個資料塊。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108134757A TWI729508B (zh) | 2019-09-26 | 2019-09-26 | 雲端安全儲存系統 |
| US17/023,816 US11455103B2 (en) | 2019-09-26 | 2020-09-17 | Cloud secured storage system utilizing multiple cloud servers with processes of file segmentation, encryption and generation of data chunks |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108134757A TWI729508B (zh) | 2019-09-26 | 2019-09-26 | 雲端安全儲存系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202113635A TW202113635A (zh) | 2021-04-01 |
| TWI729508B true TWI729508B (zh) | 2021-06-01 |
Family
ID=75163172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW108134757A TWI729508B (zh) | 2019-09-26 | 2019-09-26 | 雲端安全儲存系統 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11455103B2 (zh) |
| TW (1) | TWI729508B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI856887B (zh) | 2023-11-24 | 2024-09-21 | 中華電信股份有限公司 | 一種基於物件儲存閘道器之分持備份系統、方法及其非揮發性電腦可讀儲存媒介 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113467995A (zh) * | 2021-07-06 | 2021-10-01 | 中船工业互联网有限公司 | 一种移动设备上的图片的云管理方法、装置及系统 |
| CN116484413B (zh) * | 2023-06-25 | 2023-09-29 | 上海联鼎软件股份有限公司 | 面向非结构化数据的高效跨云智能安全布局构建方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201317823A (zh) * | 2011-10-31 | 2013-05-01 | Chunghwa Telecom Co Ltd | 一種雲端安全儲存系統 |
| TWI413914B (zh) * | 2010-05-21 | 2013-11-01 | ||
| TW201423427A (zh) * | 2012-12-12 | 2014-06-16 | Hon Hai Prec Ind Co Ltd | 資料塊備份系統及方法 |
| CN110046521A (zh) * | 2019-04-24 | 2019-07-23 | 成都派沃特科技股份有限公司 | 去中心化隐私保护方法 |
| US20190268150A1 (en) * | 2018-02-28 | 2019-08-29 | Vmware, Inc. | Methods and systems that efficiently and securely store data |
| CN110190945A (zh) * | 2019-05-28 | 2019-08-30 | 暨南大学 | 基于多加密的线性回归隐私保护方法及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9483656B2 (en) * | 2009-04-20 | 2016-11-01 | International Business Machines Corporation | Efficient and secure data storage utilizing a dispersed data storage system |
| US8892598B2 (en) * | 2010-06-22 | 2014-11-18 | Cleversafe, Inc. | Coordinated retrieval of data from a dispersed storage network |
| US8782439B2 (en) * | 2011-06-06 | 2014-07-15 | Cleversafe, Inc. | Securing a data segment for storage |
| TWM451587U (zh) | 2012-12-21 | 2013-04-21 | Sinpao Information Co Ltd | 雲端資料自動保全系統 |
| EP3698515B1 (en) * | 2017-10-17 | 2021-02-17 | Koninklijke Philips N.V. | Configurable device for lattice-based cryptography |
-
2019
- 2019-09-26 TW TW108134757A patent/TWI729508B/zh active
-
2020
- 2020-09-17 US US17/023,816 patent/US11455103B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI413914B (zh) * | 2010-05-21 | 2013-11-01 | ||
| TW201317823A (zh) * | 2011-10-31 | 2013-05-01 | Chunghwa Telecom Co Ltd | 一種雲端安全儲存系統 |
| TW201423427A (zh) * | 2012-12-12 | 2014-06-16 | Hon Hai Prec Ind Co Ltd | 資料塊備份系統及方法 |
| US20190268150A1 (en) * | 2018-02-28 | 2019-08-29 | Vmware, Inc. | Methods and systems that efficiently and securely store data |
| CN110046521A (zh) * | 2019-04-24 | 2019-07-23 | 成都派沃特科技股份有限公司 | 去中心化隐私保护方法 |
| CN110190945A (zh) * | 2019-05-28 | 2019-08-30 | 暨南大学 | 基于多加密的线性回归隐私保护方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| Mohammed A. AlZain, Ben Soh, and Eric Pardede, " MCDB: Using Multi-Clouds to Ensure Security in Cloud Computing", In 2011 IEEE Ninth International Conference on Dependable, Autonomic and Secure Computing, pages 784–791. IEEE, 2011. * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI856887B (zh) | 2023-11-24 | 2024-09-21 | 中華電信股份有限公司 | 一種基於物件儲存閘道器之分持備份系統、方法及其非揮發性電腦可讀儲存媒介 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11455103B2 (en) | 2022-09-27 |
| US20210096753A1 (en) | 2021-04-01 |
| TW202113635A (zh) | 2021-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230155821A1 (en) | Secure shared key establishment for peer to peer communications | |
| US11483143B2 (en) | Enhanced monitoring and protection of enterprise data | |
| US11323247B2 (en) | Methods and systems for secure data communication | |
| AU2018355917B2 (en) | Methods and systems for secure data communication | |
| US9590954B2 (en) | Transferring encrypted and unencrypted data between processing devices | |
| CN100581097C (zh) | 在两计算机间传输数据的系统和方法 | |
| EP2831803B1 (en) | Systems and methods for secure third-party data storage | |
| US7680937B2 (en) | Content publication | |
| EP2820792B1 (en) | Method of operating a computing device, computing device and computer program | |
| US10412068B2 (en) | API authentication | |
| CN109768987A (zh) | 一种基于区块链的数据文件安全隐私存储和分享方法 | |
| CN103427998B (zh) | 一种面向互联网数据分发的身份验证和数据加密方法 | |
| EP2544117A1 (en) | Method and system for sharing or storing personal data without loss of privacy | |
| JP2010178394A (ja) | 非共有の秘密を危険にすることなく共有の秘密を検出する方法及び装置 | |
| WO2013130568A2 (en) | Method of operating a computing device, computing device and computer program | |
| EP2820585A2 (en) | Method of operating a computing device, computing device and computer program | |
| US7398388B2 (en) | Increasing peer privacy | |
| US20220004655A1 (en) | Database access control service in networks | |
| US11621835B2 (en) | Relay network for encryption system | |
| TWI729508B (zh) | 雲端安全儲存系統 | |
| CN107295018A (zh) | 一种云盘文件的安全存储及分享方法 | |
| KR101952329B1 (ko) | 블록체인 기반 암호화폐의 트랜잭션에 이용되는 주소 정보 생성 방법, 전자 장치 및 컴퓨터 판독 가능한 기록 매체 | |
| EP3710972A1 (en) | System and method for storing encrypted data | |
| US20070266251A1 (en) | Circuit Arrangement And Method For Securing Communication Within Communication Networks | |
| TWI815263B (zh) | 線上更新韌體的處理系統與方法 |