專利名稱:用于可信計(jì)算和數(shù)據(jù)服務(wù)的無容器數(shù)據(jù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及為設(shè)備提供可信計(jì)算和數(shù)據(jù)服務(wù)�����,諸如網(wǎng)絡(luò)或云服務(wù)�,尤其涉及允許安全�����、可選擇性地訪問�、以及私密地存儲(chǔ)的數(shù)據(jù)而不管哪個(gè)(哪些)容器被用來實(shí)際存儲(chǔ)位的的數(shù)據(jù)或網(wǎng)絡(luò)服務(wù)���。
背景技術(shù):
以關(guān)于一些常規(guī)系統(tǒng)的背景技術(shù)為例�,計(jì)算設(shè)備在傳統(tǒng)上是在設(shè)備本地執(zhí)行應(yīng)用和數(shù)據(jù)的�。在這種情況下,當(dāng)數(shù)據(jù)被訪問���、處理���、存儲(chǔ)、高速緩存等等時(shí)�����,這些數(shù)據(jù)可以通過本地總線、接口和其他數(shù)據(jù)路徑在設(shè)備上行進(jìn)�,然而,設(shè)備的用戶不必?fù)?dān)心用戶數(shù)據(jù)的干擾或暴露�����,除非設(shè)備本身丟失����、失竊或以其他方式被損害。
能夠存儲(chǔ)數(shù)萬億字節(jié)數(shù)據(jù)(以及將來潛在的千萬億字節(jié)�����、百萬萬億字節(jié)數(shù)據(jù))的網(wǎng)絡(luò)存儲(chǔ)場的演變創(chuàng)造了模擬歷史上是對本地?cái)?shù)據(jù)進(jìn)行操作�����,卻反而是對存儲(chǔ)在云中的數(shù)據(jù)進(jìn)行操作的應(yīng)用的機(jī)會(huì)��,其中主設(shè)備和外部存儲(chǔ)是分開的�����。應(yīng)用或系統(tǒng)(或任何)數(shù)據(jù)的云存儲(chǔ)允許許多設(shè)備存儲(chǔ)它們的數(shù)據(jù)而不需要用于每個(gè)設(shè)備的分開的專用存儲(chǔ)。但是��,隨著在線和云服務(wù)的演進(jìn)�,應(yīng)用和服務(wù)正越來越多地移動(dòng)到第三方網(wǎng)絡(luò)提供者,由網(wǎng)絡(luò)提供者代表設(shè)備來執(zhí)行給定服務(wù)的一些或全部��。在這種情況下�,當(dāng)用戶的數(shù)據(jù)被上傳到服務(wù)時(shí)、當(dāng)該數(shù)據(jù)被服務(wù)存儲(chǔ)或處理時(shí)�����、或者當(dāng)該數(shù)據(jù)被從服務(wù)檢索時(shí)��,設(shè)備的用戶關(guān)心的可能是誰能夠訪問該數(shù)據(jù)��,或者可能更壞地�,誰能夠干擾該數(shù)據(jù)��。簡言之����,當(dāng)用戶的設(shè)備的數(shù)據(jù)離開物理占有的領(lǐng)域并進(jìn)入物理上遠(yuǎn)離用戶的網(wǎng)絡(luò)環(huán)境時(shí),關(guān)于第三方對數(shù)據(jù)的疏忽的或惡意的處理或者對數(shù)據(jù)的干擾的擔(dān)憂出現(xiàn)了���。因此����,所期望的是增加對云服務(wù)和與云服務(wù)相聯(lián)系的數(shù)據(jù)處理的信任、安全性和私密性���。關(guān)于即使在企業(yè)內(nèi)部的數(shù)據(jù)存儲(chǔ)����,當(dāng)數(shù)據(jù)離開生成數(shù)據(jù)的一個(gè)控制區(qū)(例如���,第一部門)而進(jìn)入另一(例如���,第二部門)區(qū)域以進(jìn)行存儲(chǔ)時(shí),可能出現(xiàn)類似的擔(dān)憂��。然而����,如同上面提到的,留下了以下問題云服務(wù)或網(wǎng)絡(luò)存儲(chǔ)提供者均不能夠有效地緩解針對數(shù)據(jù)(當(dāng)存儲(chǔ)在云中時(shí))的安全性��、私密性以及完整性的問題和需要��。簡言之,用戶要求在如下方面有更高的信任當(dāng)交出對存儲(chǔ)媒介的物理控制時(shí)����,他們的數(shù)據(jù)仍然是安全而私密的,并且這種障礙已顯著防止企業(yè)和消費(fèi)者經(jīng)由第三方網(wǎng)絡(luò)服務(wù)和解決方案采用重要數(shù)據(jù)的備份���。當(dāng)今的設(shè)備和被提供給設(shè)備的數(shù)據(jù)服務(wù)的上述缺點(diǎn)僅僅旨在提供對常規(guī)系統(tǒng)的一些問題的總覽��,并且不旨在是窮盡性的����。在仔細(xì)閱讀了以下具體實(shí)施方式
后�����,當(dāng)今領(lǐng)域的其他問題和各非限制性性實(shí)施例的對應(yīng)好處可變得顯而易見��。
發(fā)明內(nèi)容
此處提供了簡化的發(fā)明內(nèi)容以幫助能夠?qū)σ韵赂敿?xì)的描述和附圖中的示例性�、非限制性實(shí)施例中的一個(gè)或多個(gè)的各方面有基本或大體的理解���。然而�����,本發(fā)明內(nèi)容并不旨在作為詳盡的或窮盡的��。相反��,本節(jié)發(fā)明內(nèi)容的唯一目的在于�����,以簡化的形式提出與一些示例性����、非限制性實(shí)施方式相關(guān)的一些概念,作為以下各實(shí)施方式的更詳細(xì)的描述的序言��。網(wǎng)絡(luò)或云數(shù)據(jù)服務(wù)(包括用于數(shù)據(jù)的數(shù)學(xué)變換技術(shù)���,諸如可搜索加密�����、解除組裝/重新組裝或分發(fā)技術(shù))被以如下方式提供該方式跨多個(gè)實(shí)體分發(fā)信任以避免單點(diǎn)數(shù)據(jù)損害�����,并且將數(shù)據(jù)保護(hù)要求從可存儲(chǔ)、處理��、訪問或檢索該數(shù)據(jù)的容器分離(decouple)。在一個(gè)實(shí)施例中����,數(shù)學(xué)變換斷言生成器(例如���,密鑰生成器)���、數(shù)學(xué)變換提供者(例如�,密碼技術(shù)提供者)以及云服務(wù)提供者每個(gè)均作為分開的實(shí)體提供��,從而允許數(shù)據(jù)發(fā)布者的可信平臺(tái)機(jī)密地(經(jīng)模糊化 的�����,例如,經(jīng)加密的)將數(shù)據(jù)提供給云服務(wù)提供者�,并且允許經(jīng)授權(quán)的訂閱者基于訂閱者能力對所述經(jīng)模糊化的(例如����,經(jīng)加密的)數(shù)據(jù)的選擇性的訪問。使用可信平臺(tái)的技術(shù)�,將數(shù)據(jù)(以及相關(guān)聯(lián)的元數(shù)據(jù))從保存該數(shù)據(jù)的容器(例如,文件系統(tǒng)�����,數(shù)據(jù)庫等)分離���,從而通過施加用所呈現(xiàn)的能力刺穿的數(shù)學(xué)復(fù)雜度保護(hù)罩來允許該數(shù)據(jù)充當(dāng)它自己的管理者,作為非限制性示例�,所呈現(xiàn)的能力諸如是由信任平臺(tái)的密碼密鑰生成器所授予的密鑰�。以保留并擴(kuò)展信任而不需要特定容器來實(shí)施的方式,促進(jìn)對數(shù)據(jù)或該數(shù)據(jù)的子集的共享或訪問��。被應(yīng)用到該數(shù)據(jù)的數(shù)學(xué)復(fù)雜度(諸如可搜索加密技術(shù))保護(hù)該數(shù)據(jù)����,而不考慮記錄該特定位的容器或硬件,即����,該數(shù)據(jù)是被無容器地或不考慮該容器地保護(hù)的,并且因此不經(jīng)受在損害容器安全性的基礎(chǔ)上的攻擊��。如果該特定的“保險(xiǎn)箱”被破解�����,內(nèi)容仍然被保護(hù)���。在一個(gè)非限制性實(shí)施例中���,可擴(kuò)展標(biāo)記語言(XML)數(shù)據(jù)是充當(dāng)它自己的管理者的數(shù)據(jù)��。使用XML數(shù)據(jù)���,可用描述信息擴(kuò)充或添加標(biāo)簽,該描述信息選擇性地允許或阻止對底層數(shù)據(jù)的訪問��,從而允許該XML數(shù)據(jù)或XML數(shù)據(jù)片段(如由被應(yīng)用到該XML數(shù)據(jù)或片段的信任信封中的標(biāo)簽信息所封裝的)充當(dāng)它自己的管理者�����。例如���,XML數(shù)據(jù)或標(biāo)簽?zāi)軌虮硎究伤阉髟獢?shù)據(jù)�,該可搜索元數(shù)據(jù)對認(rèn)證信息��、授權(quán)信息���、模式信息����、歷史信息、追蹤信息���、一致性信息等中的任一個(gè)或多個(gè)進(jìn)行編碼����。注意����,基于XML的實(shí)施例中的任一個(gè)還可應(yīng)用到一些替代格式�����,諸如但不限于����,JavaScript對象符號(hào)(JS0N)、S表達(dá)式(S_Expressions)���、電子數(shù)據(jù)交換(EDI)等�,并且因此XML僅在這樣的實(shí)施例中用作說明性目的�����。用于任何類型的有效載荷(諸如但不限于數(shù)據(jù)庫字段、XML片段或完整記錄)的“受信信封”因此通過放置在該信封上的各種裝飾或封條來提供遮掩的(curtained)訪問���,所述裝飾或封條允許具有保證的全范圍信任�����,諸如但不限于���,機(jī)密性、私密性��、匿名性��、篡改檢測�、完整性等。例如�,可以應(yīng)用或擴(kuò)充XML標(biāo)簽來為結(jié)構(gòu)化XML數(shù)據(jù)一用于聯(lián)網(wǎng)環(huán)境中的數(shù)據(jù)交換的常見格式——?jiǎng)?chuàng)建信任信封,從而允許可信云服務(wù)環(huán)境中的無容器XML數(shù)據(jù)�。可被應(yīng)用以促進(jìn)對數(shù)據(jù)的安全性和私密性的高度信任的建立的密碼技術(shù)或“裝飾”的一些其他示例包括但不限于��,大小保留加密����、可搜索加密����、或應(yīng)用證明���、盲指紋���、檢索能力證明等。以下更詳細(xì)地描述其他實(shí)施例和各非限制性性示例�、場景和實(shí)現(xiàn)。
參考附圖進(jìn)一步描述各非限制性實(shí)施例�����,在附圖中圖I是用于提供安全的�����、私密的�����、以及可選擇性訪問的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)的一個(gè)或多個(gè)實(shí)施例的總體環(huán)境的框圖�����;圖2是示出“作為它自己的管理者的數(shù)據(jù)”的一個(gè)或多個(gè)方面的框圖3是用于提供安全的��、私密的�����、以及可選擇性訪問的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)的一個(gè)或多個(gè)實(shí)施例的總體環(huán)境的框圖�;圖4是用于管理容器的過程的流程圖,其中數(shù)據(jù)充當(dāng)它自己的管理者��;圖5是示出充當(dāng)它自己的管理者的數(shù)據(jù)的一個(gè)或多個(gè)方面的另一個(gè)框圖�����;圖6是示出充當(dāng)它自己的管理者的數(shù)據(jù)的另一個(gè)框圖���,其示出了數(shù)據(jù)能夠超越傳統(tǒng)容器安全模型��;圖7示出存儲(chǔ)管理層��,該存儲(chǔ)管理層執(zhí)行諸如來自不同類型的多個(gè)數(shù)據(jù)容器的數(shù)據(jù)的自動(dòng)粉碎�、高速緩存�����、復(fù)制、重構(gòu)等功能�����;圖8是示出安全覆蓋網(wǎng)絡(luò)的框圖�,該安全覆蓋網(wǎng)絡(luò)在跨各種數(shù)據(jù)容器的存儲(chǔ)數(shù)據(jù)的任何地方向數(shù)據(jù)添加密碼訪問包裝;圖9是示出與傳統(tǒng)應(yīng)用有關(guān)的方面的框圖��;圖10是可與傳統(tǒng)應(yīng)用以及FTO知曉應(yīng)用(FTO aware applications)結(jié)合使用的樣本架構(gòu)模型�;圖11是示出密碼包裝或信封在數(shù)據(jù)和/或描述該數(shù)據(jù)或該數(shù)據(jù)的特征的元數(shù)據(jù)上的一般使用的框圖;圖12是一特定示例�,進(jìn)一步突出了圖11中大體呈現(xiàn)的概念;圖13是另一示例�,示出了圍繞被保護(hù)數(shù)據(jù)的聯(lián)合信任覆蓋;圖14是示出其中使用信任覆蓋將記錄以及索引加密并上傳到云的一實(shí)施例的框 圖�;圖15-16示出客戶端能夠如何利用聯(lián)合信任覆蓋架構(gòu)來生成并上傳經(jīng)加密的索引到經(jīng)加密的數(shù)據(jù)上以獲得更豐富的云存儲(chǔ)體驗(yàn)�;圖17-18是示出該系統(tǒng)的一些附加非限制性信任保證的框圖;圖19是示出以XML為上下文的受信覆蓋的一實(shí)施例的圖����;圖20-23是示出用于各實(shí)施例中的受信XML的示例性過程的流程圖;圖24是根據(jù)一實(shí)施例的可信云服務(wù)框架或生態(tài)系統(tǒng)的框圖���;圖25是示出根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于發(fā)布數(shù)據(jù)的示例性�、非限制性方法的流程圖;圖26是示出根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于訂閱數(shù)據(jù)的示例性���、非限制性方法的流程圖�����;圖27不出一不例性生態(tài)系統(tǒng)����,該生態(tài)系統(tǒng)不出了密鑰生成中心(CKG)����、密碼技術(shù)提供者(CTP)和云服務(wù)提供者(CSP)在可信生態(tài)系統(tǒng)中的分離;圖28是示出了用于為企業(yè)執(zhí)行云服務(wù)的可信生態(tài)系統(tǒng)的其他益處的另一架構(gòu)圖��;圖29是示出了通過存儲(chǔ)抽象層來適應(yīng)于不同存儲(chǔ)提供者的另一框圖�����;圖30示出與存儲(chǔ)抽象服務(wù)相聯(lián)系的存儲(chǔ)的進(jìn)一步的方面��;圖31是示出可信生態(tài)系統(tǒng)中的各不同參與者的另一框圖���;圖32是可信云計(jì)算系統(tǒng)的示例性非限制性實(shí)施方式的一些層的代表性視圖���,在該計(jì)算系統(tǒng)中����,不同構(gòu)件可以由不同或相同實(shí)體來提供���;圖33是一示例性非限制性過程的流程圖���,該過程用于以利用后期綁定向發(fā)布者提供對數(shù)據(jù)的受控選擇性訪問的方式來向數(shù)字保險(xiǎn)箱應(yīng)用發(fā)布文檔;圖34是用于訂閱置于數(shù)字保險(xiǎn)箱中的材料的示例性��、非限制性過程的流程圖��;圖35示出使用數(shù)字托管模式來通過一個(gè)或多個(gè)數(shù)據(jù)中心為企業(yè)實(shí)現(xiàn)安全外聯(lián)網(wǎng)的可信云服務(wù)的示例性�����、非限制性的實(shí)施方式�;圖36是示出基于可信云服務(wù)生態(tài)系統(tǒng)的另一示例性非限制性場景的流程圖�����,在該生態(tài)系統(tǒng)中���,賦予訂閱者對由CSP存儲(chǔ)的經(jīng)加密數(shù)據(jù)的選擇性訪問權(quán)��;圖37是示出應(yīng)用響應(yīng)可以基于登陸信息對訂閱者特制的另一流程圖����;圖38是示出安全記錄上傳場景的另一流程圖,該場景可以針對單方或多方來實(shí)現(xiàn)�;圖39是示出由可信云服務(wù)生態(tài)系統(tǒng)使能的、對經(jīng)可搜索地加密的數(shù)據(jù)存儲(chǔ)進(jìn)行 基于角色查詢的示例性�、非限制性的另一流程圖;圖40是示出多方協(xié)作場景的流程圖����,在該場景中,企業(yè)向外部企業(yè)提供對其經(jīng)加密數(shù)據(jù)中的一些的訪問權(quán)�;圖41是示出多個(gè)企業(yè)間的多方自動(dòng)搜索場景的流程圖;圖42示出可以針對可信云服務(wù)實(shí)現(xiàn)的示例性����、非限制性的邊緣計(jì)算網(wǎng)絡(luò)(ECN)技術(shù);圖43是示出根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的密鑰生成中心的一個(gè)或多個(gè)可任選方面的框圖��;圖44是包括經(jīng)可搜索地加密的數(shù)據(jù)的可信存儲(chǔ)的示例性�、非限制性實(shí)施例的框圖;圖45是用于訂閱的示例性、非限制性過程的流程圖�����,該過程包括確認(rèn)步驟�;圖46示出示例性、非限制性確認(rèn)挑戰(zhàn)/響應(yīng)協(xié)議�����,驗(yàn)證方按照該協(xié)議向證明方發(fā)出密碼挑戰(zhàn)�����。圖47是包括經(jīng)可搜索地加密的數(shù)據(jù)的可信存儲(chǔ)的另一示例性�����、非限制性實(shí)施例的框圖���;圖48是用于訂閱的示例性����、非限制性過程的流程圖�,該過程包括確認(rèn)步驟;圖49示出另一示例性��、非限制性驗(yàn)證挑戰(zhàn)/響應(yīng)協(xié)議�����,驗(yàn)證方按照該協(xié)議向證明方發(fā)出密碼挑戰(zhàn)��;圖50是用于提供服務(wù)(包括盲指紋化(blind fingerprinting))的一個(gè)或多個(gè)實(shí)施例的總體環(huán)境的框圖�;圖51是示出非限制性場景的框圖,在該場景中��,多個(gè)獨(dú)立的聯(lián)合信任覆蓋或者數(shù)字托管可以并排存在�,或者針對分層方式彼此相疊地存在;圖52是可信存儲(chǔ)的另一示例性����、非限制性實(shí)施例的框圖,該可信存儲(chǔ)包括用于針對非授權(quán)訪問模糊化(obscure)數(shù)據(jù)的數(shù)據(jù)分發(fā)技術(shù)�;圖53是表示可實(shí)現(xiàn)在此處所述的各個(gè)實(shí)施例的示例性、非限制性聯(lián)網(wǎng)環(huán)境的框圖�����;以及圖54是表示可實(shí)現(xiàn)此處所述的各個(gè)實(shí)施例的一個(gè)或多個(gè)方面的示例性�、非限制性計(jì)算系統(tǒng)或操作環(huán)境的框圖���。
具體實(shí)施例方式概覽如在 背景技術(shù)中所討論的那樣,發(fā)送給網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)可能造成私密性方面的不適�����、篡改的可能性等等��,例如��,當(dāng)數(shù)據(jù)被從用戶的設(shè)備傳輸給網(wǎng)絡(luò)應(yīng)用�����、服務(wù)或數(shù)據(jù)存儲(chǔ)時(shí)���,用戶期望對沒有惡意第三方能造成損害的充分保證�。按照定義�����,用戶已失去對數(shù)據(jù)的控制��。因此��,所期望的是增加信任,使得數(shù)據(jù)的發(fā)布者和/或所有者愿意交出對其數(shù)據(jù)的物理控制����,同時(shí)相信在網(wǎng)絡(luò)中�����,除了當(dāng)被該發(fā)布者或該所有者或如基于請求者身份所驗(yàn)證的被授予了特權(quán)的任何人訪問時(shí)之外���,其數(shù)據(jù)都將保持私密性和不受損���。就此,留下了以下問題云服務(wù)或網(wǎng)絡(luò)存儲(chǔ)提供者均不能夠有效地緩解對數(shù)據(jù)(當(dāng)存儲(chǔ)在云中時(shí))的安全性����、私密性以及完整性的問題和需要。簡言之��,用戶關(guān)心在如下方面有更高的信任當(dāng)交出對存儲(chǔ)媒介的物理控制時(shí)�,他們的數(shù)據(jù)仍然是安全而私密的,并且這種障礙已顯著防止企業(yè)和消費(fèi)者經(jīng)由第三方網(wǎng)絡(luò)服務(wù)和解決方案采用重要數(shù)據(jù)的備份���。本文中所使用的術(shù)語“網(wǎng)絡(luò)存儲(chǔ)提供者”包括但不限于內(nèi)容遞送(或分發(fā))網(wǎng)絡(luò)(⑶N)����、混合場景(例如,跨企業(yè)存儲(chǔ)����、云存儲(chǔ)和/或⑶N)、和/或更寬泛的聯(lián)合場景(例如�,橫跨多個(gè)企業(yè)、多個(gè)云�、或多個(gè)⑶N)、或前述的任何組合����。傳統(tǒng)上,為了保持?jǐn)?shù)據(jù)安全���,將數(shù)據(jù)鎖藏或保持其隱秘����,例如����,在物理介質(zhì)上。就此�,數(shù)據(jù)持有者知道����,保險(xiǎn)箱(safe)的管理者必須是完全可信方�,或?qū)ΡkU(xiǎn)箱的內(nèi)容沒有訪問權(quán)。就此�,盡管云服務(wù)的前提是顧客不必需要精確地知曉他們的數(shù)據(jù)物理上位于何處,也不能完全忽略這個(gè)問題�����。這是因?yàn)?�,對誰(什么設(shè)備)能夠訪問該數(shù)據(jù)��、誰看見該數(shù)據(jù)����、誰維護(hù)該數(shù)據(jù)以及如何存儲(chǔ)該數(shù)據(jù)負(fù)起全部的責(zé)任是一項(xiàng)挑戰(zhàn)���。相應(yīng)地��,在現(xiàn)實(shí)中��,由于固有的不信任和各種其他顧慮���,顧客非常關(guān)心控制云鏈條中的各種計(jì)算和存儲(chǔ)設(shè)備的第三方是誰�。通過消除由人類或外部實(shí)體控制的主動(dòng)管理權(quán)(其具有可能與數(shù)據(jù)持有者或發(fā)布者不一致的固有偏向)���,本文的各實(shí)施例提供了一種系統(tǒng)����,其中數(shù)據(jù)被數(shù)學(xué)變換(例如��,被選擇性地加密或可搜索地加密)而使得該數(shù)據(jù)充當(dāng)它自己的管理者���,而不管保存該數(shù)據(jù)的第三方機(jī)器�����、機(jī)制����、設(shè)備��、或容器如何�����。就此,聯(lián)合信任覆蓋的各種實(shí)現(xiàn)允許無容器數(shù)據(jù)以及對安全性�、機(jī)密性、防篡改性等的保證���,其中使這些保證對該用戶是透明的����。相應(yīng)地�����,在各實(shí)施例中��,可信云平臺(tái)被用作可變換框架來通過發(fā)布者數(shù)學(xué)地模糊化數(shù)據(jù)而使得訂閱者能夠選擇性地訪問該訂閱者被授權(quán)的片段�����。就此���,該平臺(tái)通過同時(shí)保護(hù)數(shù)據(jù)但是還允許授權(quán)訂閱者的訪問,同時(shí)保留在某些地方的完整性和安全性��,實(shí)現(xiàn)充當(dāng)其自己的管理者的數(shù)據(jù)��。充當(dāng)其自己的管理者的數(shù)據(jù)可用帶可插入服務(wù)的聯(lián)合信任覆蓋實(shí)現(xiàn),如在各實(shí)施例中及下面的各具體小節(jié)中所描述的��。通過不止實(shí)現(xiàn)數(shù)學(xué)模糊化(例如����,加密),各實(shí)施例向用戶和托管代理數(shù)據(jù)提供如下保證無論數(shù)據(jù)被存儲(chǔ)在何處以及如何存儲(chǔ)�,該數(shù)據(jù)均保留如由數(shù)據(jù)發(fā)布者或持有者所適當(dāng)限定的機(jī)密性和完整性要求。就此�����,焦點(diǎn)從使數(shù)據(jù)的邊界��、管道和容器安全切換或擴(kuò)充到通過提供密碼安全信任信封使數(shù)據(jù)和相關(guān)聯(lián)的元數(shù)據(jù)安全�,其中該密碼安全信封在被出示適當(dāng)能力(例如,密鑰)時(shí)允許對該數(shù)據(jù)/元數(shù)據(jù)或特定子集的訪問����。在一個(gè)實(shí)施例中,提供一種用于主存數(shù)據(jù)的方法����,該方法包括,通過在第一控制區(qū)域中的計(jì)算設(shè)備從在第二控制區(qū)域中的計(jì)算設(shè)備接收經(jīng)模糊化的數(shù)據(jù),所述經(jīng)模糊化的數(shù)據(jù)是針對第二控制區(qū)域中的計(jì)算設(shè)備的定義的數(shù)據(jù)集合從數(shù)據(jù)的數(shù)學(xué)變換形成的���。該方法還包括通過第一控制區(qū)域中的計(jì)算設(shè)備接收經(jīng)模糊化的元數(shù)據(jù)��,所述經(jīng)模糊化的元數(shù)據(jù)是從對所述數(shù)據(jù)的分析以及該分析的輸出的至少一個(gè)其他數(shù)學(xué)變換形成的���。接下來,確定一組容器中的哪一個(gè)或多個(gè)容器具有至少兩種不同的容器類型���,其中所述經(jīng)模糊化的數(shù)據(jù)和/或所述經(jīng)模糊化的元數(shù)據(jù)按照所述容器類型來存儲(chǔ)��。在系統(tǒng)的一種非限制性實(shí)現(xiàn)中��,一個(gè)或多個(gè)數(shù)學(xué)變換組件由數(shù)學(xué)變換算法提供者至少部分地分發(fā)�,該數(shù)學(xué)變換算法提供者是獨(dú)立于用于發(fā)布數(shù)據(jù)和元數(shù)據(jù)或訂閱數(shù)據(jù)和元數(shù)據(jù)中的至少一項(xiàng)而生成數(shù)學(xué)變換斷言信息(例如���,密鑰信息)的生成器而實(shí)現(xiàn)的。該一個(gè)或多個(gè)數(shù)學(xué)變換組件基于該生成器所生成的數(shù)學(xué)變換斷言信息來執(zhí)行至少一個(gè)可搜索數(shù)據(jù)模糊化算法(例如��,可搜索加密)或可搜索數(shù)據(jù)揭示(例如��,可搜索解密)算法���。獨(dú)立于該生成器和該一個(gè)或多個(gè)數(shù)學(xué)變換組件而實(shí)現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者針對由該一個(gè)或多個(gè)數(shù)學(xué)變換組件模糊化的數(shù)據(jù)或元數(shù)據(jù)實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)�,并且該網(wǎng)絡(luò)服務(wù)提供者包括數(shù)據(jù)容器管理組件,該數(shù)據(jù)容器管理組件基于該網(wǎng)絡(luò)服務(wù)的等待時(shí)間要求�、數(shù)據(jù)可靠性要求、距數(shù)據(jù)消費(fèi)的距離要求���、或數(shù)據(jù)規(guī)模要求中的至少一個(gè)來管理由該至少一個(gè)數(shù)學(xué)變換組件模糊化的數(shù)據(jù)或元數(shù)據(jù)被存儲(chǔ)在何處����。 在需要時(shí)�,或在預(yù)期需要時(shí),作為管理者的數(shù)據(jù)按照精細(xì)的或指定的粒度等級(jí)而來提供對數(shù)據(jù)的訪問權(quán)利����,而不是需要對數(shù)據(jù)的給定集合的全部的權(quán)利。云存儲(chǔ)提供者處的操作員工也不能查看���、修改�����、篡改或刪除數(shù)據(jù)而不被檢測����,除非這種查看、修改��、篡改或刪除時(shí)根據(jù)被授予該操作員工的能力而明確授權(quán)的�����,諸如服務(wù)器日志的維護(hù)�、或?qū)υ獢?shù)據(jù)的某些其他有限制的操作來計(jì)劃存儲(chǔ)能力等等。此外�����,無容器數(shù)據(jù)使能促進(jìn)篡改防止的搶先復(fù)制(proactive replication),否則篡改防止是傳統(tǒng)系統(tǒng)無法充分解決的要求��。在一個(gè)實(shí)施例中���,聯(lián)合信任覆蓋是用以下組件中的一個(gè)或多個(gè)實(shí)現(xiàn)的云數(shù)據(jù)服務(wù)(⑶S)或云存儲(chǔ)提供者��、密碼技術(shù)提供者(CTP)和密鑰生成中心(CKG)��。⑶S可由任何存儲(chǔ)提供者提供�,即���,無容器數(shù)據(jù)不需要特定的容器��。CTP也可由任一方提供�����,只要該方與CDS在分開的控制區(qū)域中操作�,無論是基于用于實(shí)現(xiàn)CTP的開放說明還是該CTP的專有實(shí)現(xiàn)�����。分離密鑰生成功能以及使數(shù)學(xué)原理(諸如加密原理)經(jīng)受公開檢查鼓舞了如下信心CTP的方法沒有偏向���,并且可由企業(yè)或單個(gè)用戶實(shí)現(xiàn)��,或外包到具有CTP專家的第三方����。而且���,專有版本����、用于公司的開放版本��、用于政府或統(tǒng)治的開放或閉合版本、基準(zhǔn)開源版本�����、或其他類別均可以被創(chuàng)建以供給定實(shí)體預(yù)封裝使用或?qū)崿F(xiàn)�。CKG實(shí)體根據(jù)由該CTP指定的技術(shù)來生成密鑰信息,并且也作為該聯(lián)合信任覆蓋的分開的組件而被提供(然而���,取決于FTO的給定實(shí)現(xiàn)想要的信任水平��,CKG也可與其他組件相組合)���。在各實(shí)施例中,盡管CKG可以是中心式實(shí)體����,然而,本文所使用的“中心”是一種邏輯參考��,而不是中心式實(shí)體的指示��,因此���,該CKG也可以是分布式的以及聯(lián)合式的��。CKG可服務(wù)單個(gè)實(shí)體或多個(gè)合作者����,例如���,配藥企業(yè)之間的多合作者協(xié)作以根據(jù)來自所協(xié)定的CKG的密鑰交換來共享和訪問信息����。因此��,使用FT0,通過將能力分開��,維持了信任和機(jī)密性��,從而防止了在無明確授權(quán)的情況下對所存儲(chǔ)的信息�����、日志或訪問模型的洞察,而且還允許篡改檢測和完整性�����,例如���,驗(yàn)證���。例如,服務(wù)提供者不能修改或刪除數(shù)據(jù)而不被檢測�。具有非抵賴(non-repudiation)的審計(jì)能力使得顧客能夠舒服地對數(shù)據(jù)放手并且確保沒有人意外地或有意地干擾該數(shù)據(jù)。日志也具有與數(shù)據(jù)和元數(shù)據(jù)相同的保證。結(jié)果“確認(rèn)”是可包括在FTO實(shí)現(xiàn)中的另一個(gè)特征���,在下面更詳細(xì)地進(jìn)行了描述�。確認(rèn)(validation)確保云不能扣留向它索要的數(shù)據(jù)�,例如,在被索要三個(gè)文檔時(shí)不能遞送兩個(gè)文檔����。通過考慮CKG和執(zhí)行對數(shù)據(jù)的確認(rèn)的任何服務(wù)的分離的實(shí)現(xiàn),以及通過將數(shù)據(jù)與基于被授予應(yīng)用服務(wù)提供者的能力而接收���、更改�、檢索���、更改���、擴(kuò)充或刪除該數(shù)據(jù)或元數(shù)據(jù)的應(yīng)用服務(wù)提供者分離,可使分離的概念再進(jìn)一步�。這還具有根據(jù)當(dāng)時(shí)的訪問特征、經(jīng)更新的安全模型��、經(jīng)更新的角色�、一天中的時(shí)間等來維護(hù)應(yīng)用能力的附加益處。將上述特征(諸如在下面更詳細(xì)地在各實(shí)施例中描述的)中的全部甚至一些進(jìn)行組合提升了緩解對數(shù)據(jù)的云存儲(chǔ)的顧慮的可能性。在企業(yè)層面����,企業(yè)能夠以粒度的方式來擁有政策并控制實(shí)施,即使數(shù)據(jù)和應(yīng)用被主存在云中���。該系統(tǒng)可與企業(yè)安全基礎(chǔ)結(jié)構(gòu)���,諸如身份元系統(tǒng)(例如�����,主張��、身份生存期管理����、活動(dòng)目錄等),相結(jié)合�。企業(yè)可按照需要而被暴露于盡量多或盡量少的該FTO的實(shí)現(xiàn)。如本文所述的數(shù)據(jù)服務(wù)的提供涉及允許具有成本效益并且安全和私有的解決方案的存儲(chǔ)和密碼技術(shù)的各種組合和置換�。例如,下面更詳細(xì)地描述的各可任選實(shí)施例實(shí)現(xiàn)了包括保留大小的加密����、可搜索加密和/或被稱為應(yīng)用證明(Proof of Application)的密碼技術(shù)(參見一般技術(shù))的數(shù)據(jù)保護(hù)技術(shù)�。這樣的實(shí)施例允許用于外包的云數(shù)據(jù)保護(hù)����、災(zāi)難恢復(fù)或分析的新商業(yè)場景。如在背景技術(shù)中討論的���,傳統(tǒng)系統(tǒng)均未以沒有喪失顧客的私密性或安全性需要的方式實(shí)現(xiàn)云或網(wǎng)絡(luò)數(shù)據(jù)服務(wù)����。對于這一點(diǎn)��,為了消除圍繞網(wǎng)絡(luò)服務(wù)的常規(guī)供應(yīng)的信任障礙����,提供實(shí)現(xiàn)上面標(biāo)識(shí)出的目標(biāo)以及在下面描述的各個(gè)實(shí)施例中強(qiáng)調(diào)的其他優(yōu)點(diǎn)的可信云計(jì)算和數(shù)據(jù)服務(wù)生態(tài)系統(tǒng)或框架。術(shù)語“云”服務(wù)一般所指的概念是���,服務(wù)不是本地地從用戶的設(shè)備執(zhí)行���,而是從可通過一個(gè)或多個(gè)網(wǎng)絡(luò)被訪問的遠(yuǎn)程設(shè)備來遞送。由于用戶的設(shè)備不需要理解在一個(gè)或多個(gè)遠(yuǎn)程設(shè)備處所發(fā)生的事情的細(xì)節(jié)�,因此服務(wù)從用戶的設(shè)備的角度看上去是從“云”遞送的�。在一個(gè)實(shí)施例中���,系統(tǒng)包括密鑰生成器�����,該密鑰生成器生成用于發(fā)布或訂閱數(shù)據(jù)的密鑰信息�。與密鑰生成器獨(dú)立地實(shí)現(xiàn)的密碼技術(shù)提供者基于由密鑰生成器所生成的密鑰信息實(shí)現(xiàn)可搜索的加密/解密算法���。另外���,與密鑰生成器和密碼技術(shù)提供者獨(dú)立地實(shí)現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者提供與由密碼技術(shù)提供者加密的數(shù)據(jù)有關(guān)的網(wǎng)絡(luò)服務(wù)�。在一個(gè)實(shí)施例中,提供數(shù)據(jù)存儲(chǔ)����,其暴露可選擇性地訪問的(例如可搜索的)經(jīng)加密數(shù)據(jù),其中至少一個(gè)發(fā)布者向該數(shù)據(jù)存儲(chǔ)發(fā)布表示資源的數(shù)據(jù)����。在提供對濫用信任的可能性的劃分(division)的情況下,第一獨(dú)立實(shí)體執(zhí)行密碼密鑰信息的生成���。第二獨(dú)立實(shí)體進(jìn)而在存儲(chǔ)所發(fā)布的數(shù)據(jù)之前基于由第一獨(dú)立實(shí)體生成的密碼密鑰信息來對所發(fā)布的數(shù)據(jù)進(jìn)行加密���。然后���,一組網(wǎng)絡(luò)或云服務(wù)針對向該網(wǎng)絡(luò)服務(wù)的請求基于由資源的發(fā)布者或所有者所賦予的后期綁定的所選特權(quán)來選擇性地訪問經(jīng)加密數(shù)據(jù)。在其他實(shí)施例中���,數(shù)據(jù)存儲(chǔ)存儲(chǔ)可選擇性訪問的經(jīng)加密數(shù)據(jù)�����,其中訂閱者訂閱經(jīng)加密數(shù)據(jù)的指定子集�����。第一獨(dú)立實(shí)體基于與訂閱者相關(guān)聯(lián)的身份信息來生成密碼密鑰信息���,并且第二獨(dú)立實(shí)體基于由第一獨(dú)立實(shí)體生成的密鑰信息來執(zhí)行該指定子集的解密。網(wǎng) 絡(luò)服務(wù)響應(yīng)于訂閱者的請求�����,并且基于由所指定子集的發(fā)布者或所有者所賦予的后期綁定的所選特權(quán)來提供對經(jīng)加密數(shù)據(jù)的選擇性訪問�。
就此而言�,術(shù)語“發(fā)布者”和“訂閱者” 一般分別指發(fā)布或訂閱可信云服務(wù)的數(shù)據(jù)的任何人�。然而在實(shí)際中,根據(jù)行業(yè)�、領(lǐng)域或可信云服務(wù)生態(tài)系統(tǒng)的應(yīng)用和數(shù)字托管模式,發(fā)布者和訂閱者將擔(dān)任更具體的角色���。例如�����,在整個(gè)系統(tǒng)的數(shù)據(jù)的上下文中�����,通常僅有一小組訂閱者將具有訪問該數(shù)據(jù)的特權(quán)�。對于以數(shù)據(jù)為上下文的示例��,經(jīng)加密的數(shù)據(jù)存儲(chǔ)的審計(jì)者基于該審計(jì)者對該數(shù)據(jù)的角色而具有某些能力�����,以確保滿足某些要求�,諸如備份頻率�,而不對該內(nèi)容本身具有被授予的訪問權(quán)����。在一個(gè)非限制性實(shí)施例中�,用于主存數(shù)據(jù)的方法包括通過在第一控制區(qū)域中的第一計(jì)算設(shè)備從在第二控制區(qū)域中的第二計(jì)算設(shè)備接收經(jīng)加密的數(shù)據(jù),該經(jīng)加密的數(shù)據(jù)是基于密碼密鑰信息根據(jù)可搜索加密算法針對該第二計(jì)算設(shè)備的定義的數(shù)據(jù)集合從對數(shù)據(jù)的加密形成的����;通過該第一計(jì)算設(shè)備接收經(jīng)加密的元數(shù)據(jù),該經(jīng)加密的元數(shù)據(jù)是基于該密碼密鑰信息從該數(shù)據(jù)的分析以及該分析的輸出的加密形成的���;以及從其中存儲(chǔ)該經(jīng)加密的數(shù)據(jù)或該經(jīng)加密的元數(shù)據(jù)的至少兩個(gè)不同的容器類型的容器自動(dòng)地確定容器�����。接收陷門數(shù)據(jù)���,該陷門數(shù)據(jù)允許按照該陷門數(shù)據(jù)的至少一個(gè)密碼陷門的定義來允許對該經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)的可見訪問。 如果滿足該多個(gè)容器的預(yù)定義條件�����,則存儲(chǔ)經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)的容器可被自動(dòng)切換或改變�����。例如,如果某些數(shù)據(jù)或元數(shù)據(jù)變成對顧客有高優(yōu)先級(jí)���,則可將它從更慢的��、更長期的存儲(chǔ)移動(dòng)到具有低訪問等待時(shí)間的敏捷容器�����?��;蛘撸赡芤?yàn)槠渌试蚨苿?dòng)���、復(fù)制或刪除數(shù)據(jù)或元數(shù)據(jù)�,例如���,基于與經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)相關(guān)聯(lián)的存儲(chǔ)大小�、基于為經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)指定的訪問速度要求��、基于為經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)指定的恢復(fù)可靠性要求����、基于與具有對經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)的訪問權(quán)的一個(gè)或多個(gè)設(shè)備的鄰近性
坐寸ο在另一非限制性實(shí)施例中,系統(tǒng)包括至少部分由密碼技術(shù)提供者分發(fā)的密碼組件���,該密碼組件是獨(dú)立于生成用于發(fā)布數(shù)據(jù)和元數(shù)據(jù)或訂閱數(shù)據(jù)和元數(shù)據(jù)的密鑰信息的密鑰生成器而實(shí)現(xiàn)的�����,該密碼組件基于由該密鑰生成器生成的密鑰信息來可搜索地加密數(shù)據(jù)和元數(shù)據(jù)或可搜索地解密數(shù)據(jù)和元數(shù)據(jù)���。該系統(tǒng)還可包括網(wǎng)絡(luò)服務(wù)提供者,該網(wǎng)絡(luò)服務(wù)提供者是獨(dú)立于該密鑰生成器和該密碼組件而實(shí)現(xiàn)的���,該網(wǎng)絡(luò)服務(wù)提供者提供關(guān)于由該密碼組件加密的數(shù)據(jù)和元數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)��,該網(wǎng)絡(luò)服務(wù)提供者包括數(shù)據(jù)容器管理組件����,該數(shù)據(jù)容器管理組件基于數(shù)據(jù)等待時(shí)間要求�����、數(shù)據(jù)可靠性要求�����、距數(shù)據(jù)消耗的距離要求、或該網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)規(guī)模要求來管理由該密碼組件加密的數(shù)據(jù)或元數(shù)據(jù)被存儲(chǔ)在何處�����。該密鑰信息可包括能力信息�����,該能力信息定義關(guān)于由該密碼組件加密的數(shù)據(jù)或元數(shù)據(jù)的訪問特權(quán)��。該能力信息可被后綁定以使得最新的數(shù)據(jù)訪問特權(quán)被授予給定訂閱者����。在另一非限制性實(shí)施例中,計(jì)算系統(tǒng)包括存儲(chǔ)可選擇性地訪問的加密數(shù)據(jù)或元數(shù)據(jù)的數(shù)據(jù)存儲(chǔ)����,其中發(fā)布者向該數(shù)據(jù)存儲(chǔ)發(fā)布標(biāo)識(shí)資源的數(shù)據(jù)或元數(shù)據(jù);生成密碼密鑰信息的第一獨(dú)立實(shí)體�;以及基于由該第一獨(dú)立實(shí)體生成的密碼密鑰信息在存儲(chǔ)到該數(shù)據(jù)存儲(chǔ)中之前加密所發(fā)布的數(shù)據(jù)或元數(shù)據(jù)的第二獨(dú)立實(shí)體。該系統(tǒng)提供網(wǎng)絡(luò)服務(wù)�,該網(wǎng)絡(luò)服務(wù)基于由資源的發(fā)布者或所有者所賦予的后期綁定的所選特權(quán)來針對向該網(wǎng)絡(luò)服務(wù)的請求來允許選擇性地訪問該經(jīng)加密的數(shù)據(jù)。就此��,該系統(tǒng)對容器類型是不可知的,并且因此該數(shù)據(jù)存儲(chǔ)包括不同容器類型的容器并且該數(shù)據(jù)存儲(chǔ)基于由該容器所表示的當(dāng)前存儲(chǔ)資源的分析來自動(dòng)分發(fā)可選擇性地訪問的經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)跨越多個(gè)容器的存儲(chǔ)���。在一個(gè)實(shí)施例中,該“數(shù)據(jù)”是包括XML有效載荷數(shù)據(jù)(例如����,文本串“邁克爾杰克遜(Michael Jackson)”和應(yīng)用到該有效載荷的XML標(biāo)簽信息(例如〈/Name〉)的XML數(shù)據(jù)?��?捎门c該XML數(shù)據(jù)的該可搜索加密和選擇性解密有關(guān)的附加元數(shù)據(jù)來擴(kuò)充該XML標(biāo)簽信息���。就此,用這種方式應(yīng)用XML標(biāo)簽為結(jié)構(gòu)化的XML數(shù)據(jù)創(chuàng)建“信任信封”以利用該密碼密鑰生成實(shí)體(CKG)和密碼技術(shù)提供實(shí)體(CTP)的聯(lián)合來提供各種信任保證�����,像是機(jī)密性��、私密性�、匿名性、防篡改以及完整性��。如同提到過的�����,本文關(guān)于XML數(shù)據(jù)或元數(shù)據(jù)的實(shí)施例中的任一個(gè)也可應(yīng)用于其他格式,諸如但不限于��,JSON> S-表達(dá)式(S-Expressions)�����、EDI等�,并且因此XML僅在當(dāng)前描述的實(shí)施例中僅用于說明用途。XML數(shù)據(jù)還可編碼清單信息以定位其他相關(guān)片段���,如果它是較大文檔的分散的片(dispersed silver).因?yàn)榉稚⒖绮煌萜靼l(fā)生的方式�,即����,一個(gè)或多個(gè)中間層處理該特定容器的存儲(chǔ)細(xì)節(jié),所以實(shí)現(xiàn)是技術(shù)無關(guān)的(可以使用任何CKG/CTP)���。而且���,不同于信任包裝����,實(shí)現(xiàn)還是開放式的�����,因?yàn)槌丝伤阉骷用芎痛_認(rèn)或驗(yàn)證之外還可應(yīng)用任何數(shù)量的包裝����,并且新的包裝技術(shù)變得可適用���。還可將標(biāo)簽添加到預(yù)先存在的數(shù)據(jù)和元數(shù)據(jù)頂上(或通過 擴(kuò)充該元數(shù)據(jù))��,所述標(biāo)簽幫助調(diào)制一致性����、軌跡等。如果該數(shù)據(jù)/信息是XML格式的,則可將這些技術(shù)或包裝中的任何一個(gè)應(yīng)用到結(jié)構(gòu)化的XML數(shù)據(jù)從而可選擇性地查詢該數(shù)據(jù)以獲得對XML片段的訪問。目前���,XML具有標(biāo)準(zhǔn)格式,即 < 標(biāo)簽“值”〉(〈tag “value”〉)或 < 標(biāo)簽“值”|XML 結(jié)尾標(biāo)簽 > (〈tag “value”|XMLend-tag〉)�。有利地���,使用結(jié)構(gòu)化的XML文檔,存在分層地表示該結(jié)構(gòu)的方式以便存在將指向?qū)?shù)字托管模式唯一的CKG/CTP ‘幀’的外部包裝。因此��,當(dāng)存在對訪問嵌入的片段的需要或期望時(shí)���,可利用具有該<CKG>和<CTP>包裝的現(xiàn)有信任或者可用新的CKG/CTP幀來建立新的信任集合����。這可通過標(biāo)準(zhǔn)公約基礎(chǔ)結(jié)構(gòu)來提供���,然而所選擇的具體模式被認(rèn)為不限于本文所述的技術(shù)���。就此����,無論選擇什么特定加密技術(shù)集合����,本文描述的實(shí)施例均使用戶能夠搜索�����、提取和解密經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)的片段、子集或部分���。此外�,可執(zhí)行數(shù)據(jù)擁有機(jī)制(代表設(shè)備運(yùn)行的可信第三方)的公開證明來驗(yàn)證所訪問的特定XML片段自從被初始創(chuàng)作起未被篡改����。本質(zhì)上,通過各種“裝飾”來提供XML片段或完整記錄(例如�����,“有效載荷”)的“受信信封”�����,所述裝飾允許運(yùn)行全范圍信任保證的信任����,所述信任保證像是但不限于機(jī)密性�����、私密性���、匿名性和完整性�。作為可作為該受信信封的一部分在XML標(biāo)簽信息中表示的信息的類型的一個(gè)示例,可為各個(gè)敏感度層次指定XML文檔的片段�。例如,可存在具有公開���、秘密和絕密段落的文檔�。具有“秘密”許可的執(zhí)行搜索和請求訪問的人將只獲得對公開和秘密段落的訪問權(quán)�����。也可使用段落的分類來確定加密機(jī)制��、密鑰和訪問政策����。例如,可實(shí)現(xiàn)不能從無線或遠(yuǎn)程設(shè)備訪問絕密內(nèi)容的策略�。類似地,可使用這樣的分類來創(chuàng)建關(guān)于可以如何存儲(chǔ)數(shù)據(jù)�、可以將數(shù)據(jù)存儲(chǔ)在何處、可以將數(shù)據(jù)存儲(chǔ)多久等的策略�����。例如,可以創(chuàng)建要求必須每天一次地使用AES 256加密來將(敏感)醫(yī)學(xué)數(shù)據(jù)備份到受信數(shù)據(jù)中心中的安全服務(wù)器中的策略。在一實(shí)施例中��,用于主存可擴(kuò)展標(biāo)記語言(XML)數(shù)據(jù)的方法包括第一控制區(qū)域中的第一計(jì)算設(shè)備從第二控制區(qū)域中的第二計(jì)算設(shè)備接收經(jīng)加密的XML數(shù)據(jù)����,該經(jīng)加密的XML數(shù)據(jù)包括經(jīng)加密的XML有效載荷數(shù)據(jù)和經(jīng)加密的XML標(biāo)簽。該經(jīng)加密的XML數(shù)據(jù)是從基于密碼密鑰信息根據(jù)可搜索加密算法對該第二計(jì)算設(shè)備的定義的XML數(shù)據(jù)集合的加密形成的��。對數(shù)據(jù)的請求包括基于定義訪問該經(jīng)加密的XML有效載荷數(shù)據(jù)或該經(jīng)加密的XML標(biāo)簽中的至少一些的特權(quán)的該密碼密鑰信息的能力以及如所述能力所限定的那樣允許對該經(jīng)加密的XML數(shù)據(jù)的選擇性的訪問����。所述能力可包括陷門數(shù)據(jù),所述陷門數(shù)據(jù)包括用于選擇性地訪問該經(jīng)加密的XML有效載荷數(shù)據(jù)或經(jīng)加密的XML標(biāo)簽的密碼陷門���。該經(jīng)加密的數(shù)據(jù)包括輔助的經(jīng)加密的元數(shù)據(jù)����,該輔助的經(jīng)加密的元數(shù)據(jù)是從對該經(jīng)加密的XML有效載荷數(shù)據(jù)或經(jīng)加密的XML標(biāo)簽的分析形成的��。例如�,可逐個(gè)片段地向該XML文檔的每個(gè)有效載荷元素應(yīng)用公開�、秘密或絕密的機(jī)密等級(jí)標(biāo)記,并且可將所述等級(jí)標(biāo)記包括在該輔助的經(jīng)加密的元數(shù)據(jù)中以實(shí)現(xiàn)關(guān)于對
該XML文檔的各部分的訪問權(quán)的高度粒度化的策略。在另一個(gè)實(shí)施例中��,用于訂閱經(jīng)可搜索地加密的XML數(shù)據(jù)的方法包括從密鑰生成組件接收密碼密鑰信息�����,該密碼生成組件基于與該訂閱者設(shè)備相關(guān)聯(lián)的身份信息來生成該密碼密鑰信息�����;通過該訂閱者設(shè)備請求經(jīng)可搜索地加密的XML數(shù)據(jù)和相應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集��,包括將該密碼密鑰信息傳送到該經(jīng)可搜索地加密的XML數(shù)據(jù)和相應(yīng)的標(biāo)簽數(shù)據(jù)的存儲(chǔ)提供者���;以及如由在該密碼密鑰信息中所限定的能力所允許的解密經(jīng)加密的XML數(shù)據(jù)和相應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集���。對于該經(jīng)加密的XML數(shù)據(jù)的每個(gè)XML片段,可解密表示該相應(yīng)的經(jīng)加密的XML數(shù)據(jù)的機(jī)密等級(jí)的XML標(biāo)簽數(shù)據(jù)并且可確定所述能力是否允許對具有該機(jī)密等級(jí)的數(shù)據(jù)的訪問�。這包括具有開放訪問特權(quán)的公開機(jī)密等級(jí),或如符合策略地限定的不那么開放的秘密機(jī)密等級(jí)�����。所述方法可包括確認(rèn)經(jīng)加密的XML數(shù)據(jù)和相應(yīng)的XML標(biāo)簽數(shù)據(jù)的正確子集由符合該請求的訂閱者設(shè)備接收����。確認(rèn)的示例包括執(zhí)行數(shù)據(jù)擁有證明以證明該訂閱者設(shè)備提供了正確的子集�。所述方法還可包括驗(yàn)證經(jīng)加密的XML數(shù)據(jù)和相應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集的內(nèi)容在接收到所述經(jīng)加密的XML數(shù)據(jù)和相應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集之前不被刪除或修改��。驗(yàn)證的示例包括執(zhí)行檢索能力(retrievability)證明以證明不存在對該內(nèi)容的干預(yù)�。除了其他可任選的特征之外,在請求訪問經(jīng)加密的XML數(shù)據(jù)或密鑰信息時(shí)可應(yīng)用與訂閱者設(shè)備相關(guān)聯(lián)的匿名化憑證�����。在另一實(shí)施例中�,用于公布可擴(kuò)展標(biāo)記語言(XML)數(shù)據(jù)的方法可包括基于從分開的密鑰生成器接收的密碼密鑰信息根據(jù)可搜索加密算法加密XML數(shù)據(jù)以形成包括經(jīng)加密的XML標(biāo)簽信息的經(jīng)加密的XML數(shù)據(jù),其中所述密鑰生成器生成所述密碼密鑰信息并將所述經(jīng)加密的XML數(shù)據(jù)傳送到網(wǎng)絡(luò)服務(wù)提供者以存儲(chǔ)所述經(jīng)加密的數(shù)據(jù)��,其中所述經(jīng)加密的數(shù)據(jù)是根據(jù)基于請求設(shè)備的身份信息授予所述請求設(shè)備的所選擇的特權(quán)的后期綁定來可選擇性地訪問的���。所述加密可包括從在分開的控制區(qū)域中執(zhí)行的密鑰生成器接收密碼密鑰信息����,所述密鑰生成器基于執(zhí)行所述XML數(shù)據(jù)的經(jīng)加密的發(fā)布設(shè)備的身份來生成所述密碼密鑰信息�。在另一實(shí)施例中,用于訂閱可擴(kuò)展標(biāo)記語言(XML)數(shù)據(jù)的方法包括響應(yīng)于訂閱者設(shè)備對包括經(jīng)加密的XML標(biāo)簽的經(jīng)可搜索地加密的XML數(shù)據(jù)的子集的請求���,從密鑰生成組件接收密碼密鑰信息并且作為所述密碼密鑰信息中定義的授予所述訂閱者設(shè)備的特權(quán)的功能來解密所述經(jīng)加密的XML數(shù)據(jù)的子集����,其中所述密鑰生成組件基于與所述訂閱者設(shè)備相關(guān)聯(lián)的身份信息來生成所述密碼密鑰信息��。各種技術(shù)可包括通過所述訂閱者設(shè)備請求關(guān)于經(jīng)加密的XML數(shù)據(jù)的子集的數(shù)據(jù)項(xiàng)的接收到正確的數(shù)據(jù)項(xiàng)的證明��,其可包括接收向所述訂閱者設(shè)備證明所述訂閱者設(shè)備所請求的經(jīng)加密的XML數(shù)據(jù)的子集中的數(shù)據(jù)項(xiàng)是正確的信息�。各技術(shù)可包括通過所述訂閱者設(shè)備請求在所述請求之前所述經(jīng)加密的XML數(shù)據(jù)的子集沒有被干預(yù)過的證明,其可包括通過所述訂閱者設(shè)備接收向所述訂閱者設(shè)備證明在所述請求之前所述經(jīng)加密的XML數(shù)據(jù)的子集沒有被干預(yù)過的信息�����。在又一實(shí)施例中�,一種系統(tǒng)包括存儲(chǔ)可選擇性地訪問的經(jīng)加密的XML有效載荷數(shù)據(jù)和與所述經(jīng)加密的XML有效載荷數(shù)據(jù)相對應(yīng)的相應(yīng)的經(jīng)加密的XML標(biāo)簽數(shù)據(jù)的數(shù)據(jù)存 儲(chǔ),其中訂閱者請求訂閱所述經(jīng)加密的XML有效載荷數(shù)據(jù)或所述經(jīng)加密的XML標(biāo)簽數(shù)據(jù)的子集���,第一獨(dú)立實(shí)體基于與所述訂閱者相關(guān)聯(lián)的身份信息生成密碼密鑰數(shù)據(jù)�,而第二獨(dú)立實(shí)體基于由所述第一獨(dú)立實(shí)體生成的所述密碼密鑰信息來執(zhí)行所述子集的解密�����。該系統(tǒng)進(jìn)一步包括用于處理所述訂閱者的請求的網(wǎng)絡(luò)服務(wù)�,其提供對所述經(jīng)加密的XML有效載荷數(shù)據(jù)或所述經(jīng)加密的XML標(biāo)簽數(shù)據(jù)的所述子集的選擇性地訪問。該系統(tǒng)可被配置成驗(yàn)證所述經(jīng)加密的XML有效載荷數(shù)據(jù)或所述經(jīng)加密的XML標(biāo)簽數(shù)據(jù)的所述子集是與所述訂閱相一致的正確的子集和/或驗(yàn)證所述經(jīng)加密的XML有效載荷或所述經(jīng)加密的XML標(biāo)簽數(shù)據(jù)的所述子集在對所述經(jīng)加密的XML有效載荷或所述經(jīng)加密的XML標(biāo)簽數(shù)據(jù)的所述子集的選擇性的訪問之前沒有未經(jīng)授權(quán)而被改變或刪除�。在另一實(shí)施例中�,一種系統(tǒng)包括至少部分由密碼密鑰技術(shù)提供者分發(fā)的密碼組件����,所述密碼組件是獨(dú)立于密鑰生成器實(shí)現(xiàn)的,所述密鑰生成器生成用于發(fā)布XML數(shù)據(jù)或相應(yīng)的標(biāo)簽數(shù)據(jù)或訂閱XML數(shù)據(jù)或相應(yīng)的標(biāo)簽數(shù)據(jù)的密鑰信息����,所述密碼組件包括被配置成基于由所述密鑰生成器和網(wǎng)絡(luò)服務(wù)提供者生成的密鑰信息執(zhí)行可搜索加密/解密算法的處理器,所述處理器是獨(dú)立于所述密鑰生成器和所述密碼組件實(shí)現(xiàn)的�,包括被配置成實(shí)現(xiàn)關(guān)于由所述密碼組件加密的XML數(shù)據(jù)或相應(yīng)的標(biāo)簽數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)。所述密鑰信息包括“后期綁定”能力信息����,借助該能力信息向XML數(shù)據(jù)或相應(yīng)的標(biāo)簽數(shù)據(jù)的給定訂閱者授予最新的訪問特權(quán)。下面提供這些和其他各示例性����、非限制性性實(shí)施例和場景的進(jìn)一步細(xì)節(jié)。用于可信計(jì)算和數(shù)據(jù)服務(wù)的無容器數(shù)據(jù)如在背景技術(shù)中提到的�����,對在由服務(wù)組織擁有的遠(yuǎn)程站點(diǎn)處的敏感企業(yè)數(shù)據(jù)的維護(hù)可能使該數(shù)據(jù)處于從隱私侵犯到數(shù)據(jù)損失的危險(xiǎn)����。如針對本文的各實(shí)施例所描述的����,網(wǎng)絡(luò)或云數(shù)據(jù)服務(wù)(包括用于數(shù)據(jù)的可搜索加密技術(shù))被以如下方式提供該方式跨多個(gè)實(shí)體分發(fā)信任以避免單點(diǎn)數(shù)據(jù)損害���,并且將數(shù)據(jù)保護(hù)要求從可存儲(chǔ)、處理�、訪問或檢索該數(shù)據(jù)的容器分離。在一個(gè)實(shí)施例中���,密鑰生成器�、密碼技術(shù)提供者以及云服務(wù)提供者每個(gè)均作為單獨(dú)的實(shí)體被提供���,從而允許數(shù)據(jù)發(fā)布者向云服務(wù)提供者機(jī)密地(經(jīng)加密的)發(fā)布數(shù)據(jù)的可信平臺(tái)���,并且允許授權(quán)訂閱者基于訂閱者能力對該經(jīng)加密的數(shù)據(jù)的選擇性的訪問。使用可信平臺(tái)的技術(shù)���,將數(shù)據(jù)(以及相關(guān)聯(lián)的元數(shù)據(jù))從保存該數(shù)據(jù)的容器(例如�,文件系統(tǒng)���,數(shù)據(jù)庫等)分離�,從而通過施加用所呈現(xiàn)的能力刺穿的數(shù)學(xué)復(fù)雜度保護(hù)罩來允許該數(shù)據(jù)擔(dān)當(dāng)它自己的管理者,所呈現(xiàn)的能力諸如是由如在各實(shí)施例中描述的信任平臺(tái)的密碼密鑰生成器所授予的密鑰�。以保持并擴(kuò)展信任而不需要特定容器來實(shí)施的方式,促進(jìn)對數(shù)據(jù)或該數(shù)據(jù)的子集的共享或訪問���。被應(yīng)用到該數(shù)據(jù)的數(shù)學(xué)復(fù)雜度(諸如可搜索加密技術(shù))保護(hù)該數(shù)據(jù)�����,而不考慮記錄該特定位的容器或硬件���,即,該數(shù)據(jù)是被無容器地或不考慮該容器地保護(hù)的���,并且因此不在損害容器安全性的基礎(chǔ)上經(jīng)受攻擊�。如果該特定的“保險(xiǎn)箱”被破解��,內(nèi)容仍然被保護(hù)��。圖I是用于提供如本文所述的安全的��、私密的�、以及可選擇性訪問的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)的一個(gè)或多個(gè)實(shí)施例的總體環(huán)境的框圖。為說明性目的,示出多個(gè)企業(yè)100�����、102����,然而這些技術(shù)也適用于單個(gè)企業(yè)或許多協(xié)作企業(yè)。在各實(shí)施例中�,使用如在下面詳細(xì)描述的聯(lián)合信任覆蓋130����,可基于FTO基礎(chǔ)結(jié)構(gòu)130共享企業(yè)100的策略110以及企業(yè)102的策略112的實(shí)施120以進(jìn)行協(xié)作。實(shí)施120還可由每個(gè)企業(yè)100����、102分開應(yīng)用。就此��,因?yàn)?�,基于信任覆蓋130�,策略和實(shí)施完全在企業(yè)100、102的領(lǐng)域內(nèi)�����,所以從顧客立場來看實(shí)際數(shù)據(jù)在云140中的位置以及使用什么特定容器142變得無關(guān)緊要,除了與顧客實(shí)際關(guān)心的以下事項(xiàng)以外等待時(shí)間����、可靠性、服務(wù)質(zhì)量保證����、備份、檢索事件����、大小保證等。 相應(yīng)地����,意識(shí)到通過信任覆蓋130使數(shù)據(jù)從保存數(shù)據(jù)的容器中釋放出來,在各實(shí)施例中��,數(shù)據(jù)存儲(chǔ)管理層150基于對存儲(chǔ)資源的實(shí)時(shí)可用性以及它們的特征的分析來自動(dòng)地處理顧客所關(guān)心的事項(xiàng)����,以優(yōu)化適合顧客需要和期望的容器中的數(shù)據(jù)存儲(chǔ)。存儲(chǔ)管理層150是虛線的�,指示它的位置也不是關(guān)鍵的。存儲(chǔ)管理層150通常不具有訪問、查看或改變存儲(chǔ)在一個(gè)或多個(gè)數(shù)據(jù)存儲(chǔ)142中的數(shù)據(jù)的密碼特權(quán)����,然而可能期望暴露該元數(shù)據(jù)中的某些(諸如文件大小和文件類型),以促進(jìn)對顧客將想要在未來如何使用該數(shù)據(jù)的理解��,以使得存儲(chǔ)管理層150可做出智能的存儲(chǔ)選擇����。例如,如果給予了存儲(chǔ)管理層150足以理解該數(shù)據(jù)是視頻的查看��,則存儲(chǔ)管理層150可將視頻保存在滿足流媒體的要求的媒體存儲(chǔ)中����。圖2是示出大體的“作為其自己的管理者的數(shù)據(jù)”思想的框圖�����。使用在用戶或企業(yè)控制下的策略和實(shí)施��,數(shù)據(jù)和相應(yīng)的日志被加密并且僅能用被授予用戶的具體能力來訪問����,如在下面更詳細(xì)地描述的。例如,通常�,不具有諸如云服務(wù)提供者的操作員工的能力的某人不能查看那、修改�����、篡改或刪除而不被檢測�����,因?yàn)樗麄儧]有數(shù)據(jù)特權(quán)��。使用作為其自己的管理者的數(shù)據(jù)���,策略由數(shù)據(jù)的所有者/發(fā)布者設(shè)置��,訪問由數(shù)據(jù)本身實(shí)施/授權(quán)(無論該數(shù)據(jù)被存儲(chǔ)于何處)����,從而使容器選擇多余��。信任保證由該數(shù)據(jù)實(shí)施���,但是由該所有者/發(fā)布者通過描述什么訂閱者/顧客能夠針對該數(shù)據(jù)做什么來控制��。如圖所示�,在非限制性實(shí)施例中,企業(yè)220 “擁有”其關(guān)于用戶226以及他們對使用企業(yè)220的系統(tǒng)資源的使用以及關(guān)于外部用戶230 (例如����,移動(dòng)工作者)的策略224和策略224的實(shí)施222。使用作為其自己的管理者的數(shù)據(jù)���,通過將數(shù)據(jù)存儲(chǔ)在云中�����,可將實(shí)際的數(shù)據(jù)和/或日志與策略224和實(shí)施222分開存儲(chǔ)����,然而����,云200的操作員工210不能查看��、修改����、篡改或刪除該數(shù)據(jù)和/或日志205而不被檢測����。圖3是用于提供如本文所述的安全的�����、私密的����、以及可選擇性訪問的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)的一個(gè)或多個(gè)實(shí)施例的總體環(huán)境的框圖。一般而言����,示出使用聯(lián)合信任覆蓋來分發(fā)信任的非限制性示例,計(jì)算設(shè)備300 (例如�����,顧客)在第一控制區(qū)域310中����,計(jì)算設(shè)備320 (例如,云服務(wù)提供者)在第二控制區(qū)域330中�����,計(jì)算設(shè)備360在第三控制區(qū)域390中,在第四控制區(qū)域395中提供密碼技術(shù)提供者���,而可在第五控制區(qū)域397中提供密鑰生成器382���。計(jì)算設(shè)備300、320���、360中的每一個(gè)可分別包括處理器P1��、P2�����、P3并分別包括存儲(chǔ)Ml���、M2、M3�����。就此�,如根據(jù)各非限制性實(shí)施例所描述的��,提供用于允許云中的經(jīng)加密的數(shù)據(jù)340的技術(shù),以使得可基于訪問特權(quán)從該云選擇性地檢索項(xiàng)目450或項(xiàng)目中的部分���。就此���,可提供一組分析服務(wù)370作為待存儲(chǔ)的經(jīng)加密的數(shù)據(jù)345、347頂部上的層�,該層基于來自設(shè)備300的本地?cái)?shù)據(jù)集合305自動(dòng)地確定在哪里最優(yōu)地存儲(chǔ)被保存在云中的經(jīng)加密的數(shù)據(jù)340和經(jīng)加密的數(shù)據(jù)342。就此����,服務(wù)370確保當(dāng)基于CTP 380/CKG 382聯(lián)合信任覆蓋通過計(jì)算設(shè)備300檢索該數(shù)據(jù)時(shí),所檢索的數(shù)據(jù)352或所檢索的數(shù)據(jù)350是從給定請求的最優(yōu)容器中檢索的��,或者如果是次優(yōu)的話����,則啟動(dòng)交換所述容器。例如�����,如果來自計(jì)算設(shè)備360的當(dāng)前容器正為顧客的需要操作地不好�,或者如果顧客的需要改變,則分析存儲(chǔ)服務(wù)370可將該數(shù)據(jù)實(shí)時(shí)地移動(dòng)或復(fù)制到另一存儲(chǔ)容器并無縫地將服務(wù)切換到更適當(dāng)?shù)娜萜?���,例如��,以滿足服務(wù)質(zhì)量要求�����。圖4是用于管理容器的過程的流程圖�,其中如本文所述數(shù)據(jù)充當(dāng)它自己的管理者��。在400�,通過第一控制區(qū)域中的第一計(jì)算設(shè)備從第二控制區(qū)域中的第二計(jì)算設(shè)備接收經(jīng)加密的數(shù)據(jù)。該經(jīng)加密的數(shù)據(jù)是基于密碼密鑰信息根據(jù)可搜索加密算法從對第二計(jì)算設(shè)備的定義的數(shù)據(jù)集合的數(shù)據(jù)加密形成的����。在410,還接收經(jīng)加密的元數(shù)據(jù)���,該經(jīng)加密的元數(shù)據(jù)是基于該密碼密鑰信息從該數(shù)據(jù)的分析和該分析的經(jīng)加密的輸出形成的����。在420����,確定哪個(gè)(哪些)容器要存儲(chǔ)經(jīng)加密的數(shù)據(jù)或經(jīng)加密的元數(shù)據(jù)中的至少一些。在430�����,如果滿足了預(yù)定義的條件��,則可以自動(dòng)地改變其中存儲(chǔ)該經(jīng)加密的數(shù)據(jù)的容器��。圖5是示出充當(dāng)它自己的管理者的數(shù)據(jù)的一個(gè)或多個(gè)方面的另一個(gè)框圖���。就此����,為了安全�,容器是冗余的,訪問由密碼包裝實(shí)施�,而策略由該所有者/發(fā)布者設(shè)置并由該密碼包裝保證。如下面在各實(shí)施例中描述的����,取決于該慶幸的具體安全性需要,該包裝可包括各種密碼技術(shù)�����。例如,如圖所示����,策略在企業(yè)級(jí)被設(shè)置,然后用戶尋求對數(shù)據(jù)的訪問權(quán)�,該數(shù)據(jù)是由密碼訪問控制包裝的,該密碼訪問控制允許或拒絕輸入��。取決于在企業(yè)設(shè)置的策略�,諸如企業(yè)審計(jì)者、安全員工�����、操作員工等其他用戶可以或可以不具有訪問由該包裝定義的特權(quán)���。如在圖5的示例中所示���,企業(yè)520具有能夠經(jīng)受企業(yè)訪問策略530的企業(yè)員工522,而這些企業(yè)員工522中的一些可設(shè)置企業(yè)訪問策略530����。企業(yè)訪問策略530可影響能夠如何訪問�、操縱�、檢索、搜索等存儲(chǔ)在云容器500的數(shù)據(jù)容器510中的數(shù)據(jù)512����。相應(yīng)地�����,當(dāng)數(shù)據(jù)512的用戶508嘗試訪問這種數(shù)據(jù)512時(shí)��,由企業(yè)訪問策略530指導(dǎo)但又與企業(yè)訪問策略530分開的各密碼訪問控制514保護(hù)數(shù)據(jù)512免受用戶508的不當(dāng)訪問��。數(shù)據(jù)容器510的密碼訪問控制514可反映不同的企業(yè)訪問策略530以應(yīng)用于不同的訪問實(shí)體或人物���,諸如由安全員工504或云操作員工506執(zhí)行的企業(yè)審計(jì)502���,以確保可見性限于應(yīng)當(dāng)允許訪問的那些人���。數(shù)據(jù)容器510可位于任何地方����,并為了安全可使其冗余,并且由密碼訪問控制514實(shí)施訪問���。就此�,企業(yè)訪問策略530可由企業(yè)所有者設(shè)置并由如由密碼訪問控制514實(shí)現(xiàn)的密碼包裝保證���。圖6是示出充當(dāng)它自己的管理者的數(shù)據(jù)的另一個(gè)框圖���,其示出了數(shù)據(jù)能夠超越傳統(tǒng)容器安全模型。就此�,如本文所承認(rèn)的,數(shù)據(jù)不僅可以位于任何地方�����,而且可以對給定情 形最優(yōu)的方式將數(shù)據(jù)拼接或劃分為跨越多個(gè)容器�����。放置可優(yōu)化���、訪問���、復(fù)原等���,并且存儲(chǔ)管理層可處理一致性、版本化����、垃圾收集等。
如在圖6中所示���,企業(yè)620定義其適用于企業(yè)員工622的企業(yè)訪問策略630�,而數(shù)據(jù)612被遠(yuǎn)程存儲(chǔ)并由適用于希望訪問數(shù)據(jù)612的用戶610的密碼訪問控制614保護(hù)�����。該系統(tǒng)和用戶610對存儲(chǔ)數(shù)據(jù)612的容器是否被存儲(chǔ)在云600中�、在企業(yè)602處的某處��、或經(jīng)由覆蓋網(wǎng)絡(luò)604存儲(chǔ)或其組合不可知�,而數(shù)據(jù)可跨越容器。圖7示出存儲(chǔ)管理層���,該存儲(chǔ)管理層執(zhí)行諸如來自不同類型的多個(gè)數(shù)據(jù)容器的數(shù)據(jù)的自動(dòng)粉碎���、高速緩存���、復(fù)制、重構(gòu)等功能��?��?苫诖_定明確策略和訪問模式的準(zhǔn)則來執(zhí)行這些過程����。如圖所示��,從用戶的立場看�,包括數(shù)據(jù)702和密碼訪問控制704的數(shù)據(jù)容器700被存儲(chǔ)在用于存儲(chǔ)所有數(shù)據(jù)的抽象存儲(chǔ)層710處,然而在現(xiàn)實(shí)中����,如受密碼訪問控制704保護(hù)的數(shù)據(jù)702可跨云數(shù)據(jù)服務(wù)720、文件系統(tǒng)722�、企業(yè)數(shù)據(jù)庫724、覆蓋網(wǎng)絡(luò)726等中的任一個(gè)或多個(gè)而被基于標(biāo)準(zhǔn)粉碎���、高速緩存����、復(fù)制和重構(gòu),所述準(zhǔn)則可包括策略和訪問模式�����。圖8更一般地示出使數(shù)據(jù)能夠充當(dāng)其自己的管理者的安全性��、私密性�、可靠性等的樞軸點(diǎn)是安全覆蓋網(wǎng)絡(luò),該安全覆蓋網(wǎng)絡(luò)向數(shù)據(jù)增加密碼訪問包裝��,無論跨各數(shù)據(jù)容器將該數(shù)據(jù)存儲(chǔ)在何處���。具體而言���,覆蓋網(wǎng)絡(luò)810可以是中間存儲(chǔ)介質(zhì)�,用于進(jìn)一步將如由密碼訪問控制804保護(hù)的數(shù)據(jù)802的容器800存儲(chǔ)在云數(shù)據(jù)服務(wù)820、文件系統(tǒng)822或企業(yè)數(shù)據(jù)庫824中的任一個(gè)或多個(gè)中�����。因此在其最終目的方面��,存儲(chǔ)可以是分層的���。圖9是示出傳統(tǒng)應(yīng)用及其對世界(例如����,數(shù)據(jù)庫文件)的基于容器的視圖不需要改變的框圖。反而���,為了在聯(lián)合信任覆蓋存儲(chǔ)場景中使用����,可提供適配器�����,該適配器基于與能夠用和傳統(tǒng)容器需要來執(zhí)行密碼協(xié)商�、密碼變換和高速緩存、版本化�、租賃等。更具體而言���,傳統(tǒng)應(yīng)用900可按照一直以來的方式與云數(shù)據(jù)服務(wù)910���、文件系統(tǒng)912和企業(yè)數(shù)據(jù)庫914進(jìn)行交互,然而���,此時(shí)抽象存儲(chǔ)層920仍然能夠在幕后使無容器數(shù)據(jù)發(fā)生��。抽象存儲(chǔ)層920可暴露適配器���,所述適配器基于應(yīng)用和傳統(tǒng)容器特征實(shí)現(xiàn)密碼協(xié)商���、密碼變換、以及高速緩存�����、版本化����、租賃等,然后引導(dǎo)容器化的數(shù)據(jù)940成為無容器數(shù)據(jù)�����,例如經(jīng)由如結(jié)合圖8描述的安全覆蓋網(wǎng)絡(luò)930�。圖10是可與傳統(tǒng)應(yīng)用以及FTO知曉應(yīng)用結(jié)合使用的樣本架構(gòu)模型�。就此,啟用FTO的應(yīng)用1005可直接插入FTO 1000中并且有利地利用數(shù)據(jù)的安全和私密的存儲(chǔ)����、處理等��。對于SDS知曉應(yīng)用1015��,可提供層1010����,該層1010添加數(shù)據(jù)的密碼粉碎和散布�����。對于一致性知曉應(yīng)用1025��,可使用現(xiàn)有的����、未修改的覆蓋網(wǎng)絡(luò)并將其橋接到如由層1020所示的系統(tǒng)。例如����,可經(jīng)由層1020將Live Mesh、Fabric/CAS橋接到DaaS和XStore��。最后,如結(jié)合圖9描述的�����,可提供適配器1030�,所述適配器1030基于傳統(tǒng)應(yīng)用1040和傳統(tǒng)容器1035特征執(zhí)行密碼協(xié)商、密碼變換和高速緩存�����、版本化����、租賃等。這些層和應(yīng)用可共同利用基于聯(lián)合信任覆蓋的云存儲(chǔ)所提供的益處����。圖11是示出密碼包裝或信封在數(shù)據(jù)和/或描述該數(shù)據(jù)或該數(shù)據(jù)的特征的元數(shù)據(jù)上的一般使用的框圖。作為示例���,可按照可在數(shù)學(xué)上選擇性地訪問的方式共同地或獨(dú)立地加密記錄1102 (例如��,數(shù)據(jù)有效載荷)和相關(guān)聯(lián)的元數(shù)據(jù)和/或標(biāo)簽1100以產(chǎn)生經(jīng)加密的元數(shù)據(jù)和標(biāo)簽1110和經(jīng)加密的記錄1112�����。使用這樣的經(jīng)加密的數(shù)據(jù)/元數(shù)據(jù)�����,可基于數(shù)學(xué)上可選擇性地訪問性來執(zhí)行各種操作1120�����,例如����,數(shù)據(jù)或元數(shù)據(jù)的搜索���、對數(shù)據(jù)或元數(shù)據(jù)的邏輯運(yùn)算����、查詢�����、備份操作���、數(shù)據(jù)的審計(jì)等��。除了加密元數(shù)據(jù)1100和記錄1102之外���,還可將可任選的附加數(shù)據(jù)作為任何期望目標(biāo)1114的函數(shù)添加到加密封裝��,或可將可任選的附加標(biāo)簽1106作為加密過程的一部分添加到內(nèi)容���,例如,允許或禁止對例如某類用戶的訪問的公開或秘密標(biāo)簽�����。使用這種附加數(shù)據(jù)1114或標(biāo)簽1116�,可執(zhí)行附加操作1130,諸如完整性
檢查��、篡改檢查���、可用性檢查等��。圖12是示出有效載荷1202和標(biāo)簽1200的特定示例���,有效載荷1202和標(biāo)簽1200被加密以形成經(jīng)加密的標(biāo)簽1210和經(jīng)加密的數(shù)據(jù)1212以用于操作1220。此外�����,如所提到的�,可用數(shù)據(jù)1214擴(kuò)充該數(shù)據(jù)并且可用標(biāo)簽1216擴(kuò)充該標(biāo)簽,所述數(shù)據(jù)1214和標(biāo)簽1216可促進(jìn)一組附加操作1230��。在圖12的示例上構(gòu)造的圖13是示出周圍聯(lián)合信任覆蓋的示例�。就此,可基于經(jīng)受對穩(wěn)健性的公開檢查的開放方法實(shí)現(xiàn)沒有后門的CTP 1300����。基于CTP1300�����,可產(chǎn)生CKG1350以處理對用于執(zhí)行操作1330 (例如���,搜索���、邏輯運(yùn)算或查詢、備份�����、審計(jì)、篡改檢查�、完整性檢查、可用性檢查等)的功能(例如��,密鑰1340)的請求����。因此,云數(shù)據(jù)服務(wù)提供者1320提供服務(wù)����,例如,經(jīng)加密的元數(shù)據(jù)1310和經(jīng)加密的數(shù)據(jù)1312的存儲(chǔ)����。在一個(gè)可任選的實(shí)施例中,該云按照對數(shù)據(jù)或訪問模式無知(blind)的方式主存該數(shù)據(jù)�。
圖14是示出其中使用信任覆蓋將記錄以及索引加密并上傳到云的實(shí)施例的框圖。就此�,可搜索地加密所述記錄和索引以使所述索引可作為對相關(guān)聯(lián)的數(shù)據(jù)的第一可見層而被選擇性地訪問。然后����,基于對所述索引的搜索,可標(biāo)識(shí)匹配一個(gè)或多個(gè)給定索引的各個(gè)內(nèi)容或記錄��,然后該用戶能夠或不能基于特權(quán)來訪問該匹配內(nèi)容和記錄,從而充當(dāng)對數(shù)據(jù)的第二保護(hù)層——第一是針對搜索或其他操作而對索引的訪問���,而第二是對數(shù)據(jù)的訪問�。就此����,可對該數(shù)據(jù)和相關(guān)聯(lián)的元數(shù)據(jù)的不同部分應(yīng)用任何數(shù)量的分層式密碼包裝���。如圖所示��,顧客1400可具有各個(gè)記錄1402�,在1430可從記錄1402生成經(jīng)加密的索引1404�����。在1440將記錄1402和經(jīng)加密的索引1404上傳到云1410并作為記錄1412和經(jīng)加密的索引1414存儲(chǔ)在云1410中�。為了檢索記錄1412,例如�,基于經(jīng)加密的索引1414,在1450��,顧客1400從云1410接收用至少一個(gè)簽名1422簽名的記錄1420��,并且在1460可檢查所述至少一個(gè)簽名1422。圖15示出客戶端能夠如何利用聯(lián)合信任覆蓋架構(gòu)來生成并上傳經(jīng)加密的索引到經(jīng)加密的數(shù)據(jù)上以獲得更豐富的云存儲(chǔ)體驗(yàn)����。該聯(lián)合信任覆蓋架構(gòu)涉及將權(quán)力分開以生成可信密碼生態(tài)系統(tǒng),并且在下面更詳細(xì)地進(jìn)行了描述��。FTO 1585是一個(gè)生態(tài)系統(tǒng)�,該生態(tài)系統(tǒng)通過將關(guān)于云或其他存儲(chǔ)中的無容器數(shù)據(jù)進(jìn)行的數(shù)學(xué)變換的片段分開而使顧客1575受益,并且如本文別處所述��,該生態(tài)系統(tǒng)包括云數(shù)據(jù)服務(wù)(⑶S) 1580����、密碼技術(shù)提供者(CTP) 1570和密鑰生成中心1590。作為示例�,顧客1575可具有文檔1500,各種關(guān)鍵詞1510與文檔1500相關(guān)聯(lián)�����。從CKG 1590檢索用于加密的公開參數(shù)1565��,而從CTP1570檢索用于執(zhí)行數(shù)學(xué)變換的技術(shù)�����。為了執(zhí)行上傳,文檔1500被加密(1520)并上傳(1630)到云中的經(jīng)加密的文檔存儲(chǔ)1550中�����。將用于所述上傳的位置1535和密鑰1525連同關(guān)鍵詞1510輸入以生成與文檔1500的經(jīng)加密的上傳相關(guān)聯(lián)的經(jīng)加密的索引1540�,并在1545將在1540生成的經(jīng)加密的索引上傳到經(jīng)加密的索引存儲(chǔ)1555。在圖15示出了經(jīng)加密的索引數(shù)據(jù)的上傳之處��,圖16示出了解密索引以搜索特定內(nèi)容��,該搜索是基于該聯(lián)合信任覆蓋所提供的能力而被授權(quán)的�����,并且然后使用對搜索結(jié)果的可見性�,該用戶可被授予解密與該搜索有關(guān)的實(shí)際文檔的能力或特權(quán)���。就此�����,可通過該FTO基于策略和實(shí)施來獨(dú)立地控制對該索引的訪問和對文檔的訪問���。如所提到的���,F(xiàn)TO 1685是一個(gè)生態(tài)系統(tǒng),該生態(tài)系統(tǒng)通過將關(guān)于云或其他存儲(chǔ)中的無容器數(shù)據(jù)進(jìn)行的數(shù)學(xué)變換的片段分開而使顧客1675受益�,并且如本文別處所述,該生態(tài)系統(tǒng)包括云數(shù)據(jù)服務(wù)(⑶S) 1680�、密碼技術(shù)提供者(CTP) 1670和密鑰生成中心1690。在本示例中����,顧客1675形成查詢1600,并隨后在1605從CKG 1690獲取陷門1610���,該陷門與查詢1600 —起被呈現(xiàn)給該云��。在該云中�,在1620�,基于從CTP 1670檢索的技術(shù)1615搜索經(jīng)加密的索引存儲(chǔ)1625中的經(jīng)加密的索引。隨后結(jié)果1635被仍舊加密地返回并在1640被解密����,從該結(jié)果提取位置1642和密鑰1644。這向該系統(tǒng)給出了在1645從經(jīng)加密的文檔存儲(chǔ)1630檢索經(jīng)加密的文檔1650的信息����,在可1655基于密鑰1640將其解密以返回一個(gè)或多個(gè)文檔1660�����,例如�,來自圖15的文檔1500����。圖17-18是示出該系統(tǒng)的一些附加非限制性信任保證的框圖。就此����,可以使用證明用戶所接收的是正確的的任何算法作為附加層來在數(shù)學(xué)上向該用戶證明該云沒有在提供混亂。例如���,一種技術(shù)被稱為數(shù)據(jù)擁有技術(shù)(PDP),其中關(guān)于經(jīng)加密的數(shù)據(jù)應(yīng)用標(biāo)簽��,其 可與確認(rèn)數(shù)據(jù)的正確性結(jié)合使用�����?��?蓱?yīng)用(并加密)類似信息以證明當(dāng)數(shù)據(jù)被存儲(chǔ)在云中時(shí)該數(shù)據(jù)沒有被不適當(dāng)?shù)馗幕騽h除���。使用密碼技術(shù)���,這種證明通常采用密碼挑戰(zhàn)和響應(yīng)的形式。在圖17中��,PDP標(biāo)簽和經(jīng)加密的記錄����、索引、元數(shù)據(jù)等一起被在云中編碼并加密�,而在圖18中,基于與該FTO的該數(shù)據(jù)的完整性保持不變的密碼咨詢來執(zhí)行驗(yàn)證操作����。參考圖17,如同所提到的��,F(xiàn)TO 1785是一個(gè)生態(tài)系統(tǒng)���,該生態(tài)系統(tǒng)通過將關(guān)于云或其他存儲(chǔ)中的無容器數(shù)據(jù)進(jìn)行的數(shù)學(xué)變換的片段分開而使顧客1775受益�����,并且如本文別處所述��,該生態(tài)系統(tǒng)包括云數(shù)據(jù)服務(wù)(⑶S) 1780�����、密碼技術(shù)提供者(CTP) 1770和密鑰生成中心1790���。在本示例中�����,發(fā)布者1700通過在1720基于從CKG 1790檢索的秘密1730和從CTP 1770檢索的技術(shù)1740編碼記錄和索引來加密該記錄和索引1710����??蓪⒓用芑蚓幋a的記錄和索引1750存儲(chǔ)在該云中?�?蓪?shù)據(jù)擁有證明(PDP)標(biāo)簽1760與在1720處的編碼結(jié)合使用�����,數(shù)據(jù)擁有證明(PDP)標(biāo)簽1760稍后幫助確保數(shù)據(jù)當(dāng)被存儲(chǔ)在云中時(shí)該數(shù)據(jù)的某些方面�,如本文別處更詳細(xì)地描述的。如同所提到的��,在圖18中��,基于與該FTO的該數(shù)據(jù)的完整性保持不變的密碼咨詢來執(zhí)行驗(yàn)證操作���。就此�,F(xiàn)TO 1885是一個(gè)生態(tài)系統(tǒng)�,該生態(tài)系統(tǒng)通過將關(guān)于云或其他存儲(chǔ)中的無容器數(shù)據(jù)進(jìn)行的數(shù)學(xué)變換的片段分開而使顧客1875受益,并且如本文別處所述�,該生態(tài)系統(tǒng)包括云數(shù)據(jù)服務(wù)(⑶S) 1880、密碼技術(shù)提供者(CTP) 1870和密鑰生成中心1890�。PDP標(biāo)簽1840可對系統(tǒng)的審計(jì)者1800有用以檢查存儲(chǔ)在云中的數(shù)據(jù)的完整性?;陔S機(jī)數(shù)1805,并且基于從CKG 1890檢索的秘密1825和從CTP 1870檢索的技術(shù)��,審計(jì)者1800向云中的證明者1820發(fā)出挑戰(zhàn)1810���。證明者1820也結(jié)合實(shí)現(xiàn)該證明算法使用技術(shù)1845�����。就此�����,證明者1820接收經(jīng)加密的記錄和索引1830和PDP標(biāo)簽作為輸入并向?qū)徲?jì)者1800返回信息�����,該信息在1850被驗(yàn)證�。基于在1860該驗(yàn)證操作是成功還是失敗,通知審計(jì)者1800是否維持了經(jīng)加密的記錄和索引1830的完整性���。如下面更詳細(xì)地描述的���,可將能夠?yàn)榉?wù)用戶提供對隱私和不可復(fù)制性的強(qiáng)保證的各種密碼技術(shù)結(jié)合到服務(wù)的提供中。通過將這些密碼技術(shù)與數(shù)據(jù)保護(hù)技術(shù)相集成�,可按照使該數(shù)據(jù)的所有者和企業(yè)顧客(該“顧客”)對主存該數(shù)據(jù)的實(shí)體或云服務(wù)提供者或操作者(該“CSP”)能夠執(zhí)行的操作的類型有精確的控制的方式在該數(shù)據(jù)的頂部上實(shí)現(xiàn)遠(yuǎn)程服務(wù)和分層式的應(yīng)用。此外�,這些操作中的許多可由該CSP代替顧客執(zhí)行,而不學(xué)習(xí)或以其他方式查看對其執(zhí)行操作的數(shù)據(jù)的實(shí)際內(nèi)容�。此外,顧客能夠檢測CSP是否正在不當(dāng)?shù)貏h除或修改數(shù)據(jù)�,或?qū)?shù)據(jù)移動(dòng)到低性能的二級(jí)或三級(jí)存儲(chǔ)。就此���,可將各種密碼技術(shù)與數(shù)據(jù)服務(wù)集成以向顧客提供放棄對數(shù)據(jù)的控制的信任度�����,例如���,以增加安全性和私密性。例如�����,可搜索的加密是一種其中在加密數(shù)據(jù)之前將必要數(shù)據(jù)復(fù)制出該數(shù)據(jù)的加密方法����。對于非限制性示例,在Exchange電子郵件的情況下����,該數(shù)據(jù)是一條消息,其附件和必要的元數(shù)據(jù)可能包括所選擇的消息收發(fā)應(yīng)用編程接口(MAPI)屬性和全文索引���。例如�����,使用例如先進(jìn)加密標(biāo)準(zhǔn)(AES)來加密該數(shù)據(jù)�,而按照生成經(jīng)加密的索引的方式加密該元數(shù)據(jù)。結(jié)果是����,經(jīng)加密的數(shù)據(jù)和索引現(xiàn)在能被移交給不被完全信任的另一實(shí)體,諸如CSP��。對聚集的經(jīng)加密的數(shù)據(jù)和索引的后續(xù)選擇性訪問可由該數(shù)據(jù)的所有者��,該顧客���,實(shí)現(xiàn)����,從而將經(jīng)加密的查詢發(fā)送到CSP (或其他授權(quán)的訂閱者)�。從而,該CSP能夠在經(jīng)加密的索引上應(yīng)用經(jīng)加密的查詢并返回匹配的經(jīng)加密的數(shù)據(jù)��,然而�,該CSP不了解關(guān)于該數(shù)據(jù)、該元數(shù)據(jù)�����、該查詢或該結(jié)果(除非被該顧客授權(quán))的內(nèi)容的任何事項(xiàng)。擁有證明和檢索能力證明是一種其中“證明者”(在此情況下是提供存儲(chǔ)的CSP)和“驗(yàn)證者”(顧客)能夠按照其中該驗(yàn)證者能夠高效地確定它們所擁有的數(shù)據(jù)是否保持不變并且可用于容易地從該數(shù)據(jù)的所有者(該CSP)檢索的協(xié)議相接合的密碼技術(shù)���。這些技術(shù)在 網(wǎng)絡(luò)帶寬上以及在該CSP執(zhí)行的操作上是高效的����,因此該CSP所出售的貨物的成本(COGS)保持相對不變且完成該協(xié)議的時(shí)間合理地短���。可集成到數(shù)據(jù)服務(wù)的提供中的另一種密碼技術(shù)是應(yīng)用證明�。與擁有證明類似,應(yīng)用證明使驗(yàn)證者能夠確定該數(shù)據(jù)正由該證明者(該CSP)正確地維護(hù)����。盲指紋表示擴(kuò)展網(wǎng)絡(luò)去重復(fù)技術(shù)(諸如Rabin指紋)的另一類密碼技術(shù),網(wǎng)絡(luò)去重復(fù)技術(shù)通常用于最小化網(wǎng)絡(luò)上的冗余數(shù)據(jù)交換��。在本文的各實(shí)施例中���,應(yīng)用指紋化(fingerprinting)以使得該協(xié)議中的參與者(例如,在數(shù)據(jù)存儲(chǔ)的情況下是該CSP)不知曉它們正在主存的數(shù)據(jù)的實(shí)際內(nèi)容�����?���;谏鲜隹蚣芎拖鄳?yīng)的密碼技術(shù)(范圍從存儲(chǔ)和計(jì)算服務(wù)到通信和協(xié)作服務(wù)),基于CSP的服務(wù)提供的各種場景從而出現(xiàn)��。更大的企業(yè)顧客在其當(dāng)前的企業(yè)數(shù)據(jù)中心中具有很多的計(jì)算和存儲(chǔ)資產(chǎn)�����,而采用云服務(wù)的慣性可能很高���。此外�����,顧客對數(shù)據(jù)中心操作有經(jīng)驗(yàn)并且熟悉��,想要利用操作花費(fèi)(OPEX)和資本花費(fèi)(CAPEX)優(yōu)勢�����,并且從而對將他們的敏感商業(yè)數(shù)據(jù)從內(nèi)部移動(dòng)到云有顧慮�����。對于這類顧客�����,在各實(shí)施例中����,提供一組應(yīng)用,該組應(yīng)用涉及擁有并操作他們的現(xiàn)有服務(wù)器(諸如Exchange服務(wù)器)的顧客���。此時(shí)會(huì)出于數(shù)據(jù)保護(hù)、歸檔�、順應(yīng)、管控�、法律的原因或其他原因而將該數(shù)據(jù)的第二副本委托給云服務(wù)提供者。從而該CSP具有保護(hù)此數(shù)據(jù)免于數(shù)據(jù)損失或泄露的技巧���、技術(shù)和規(guī)模經(jīng)濟(jì)���,并且能夠促進(jìn)在此第二副本頂部上運(yùn)行應(yīng)用?��?苫诰S護(hù)數(shù)據(jù)而提供給顧客的示例產(chǎn)品和服務(wù)的小的采樣包括訴訟支持����、監(jiān)視和監(jiān)督、服務(wù)撥號(hào)音��、數(shù)據(jù)導(dǎo)航等����。關(guān)于訴訟支持,當(dāng)公司被起訴時(shí)��,存在訴訟過程所需的各種實(shí)體以執(zhí)行對歷史電子郵件記錄的搜索���。這些實(shí)體包括內(nèi)部法律員工�、HR��、管理員��、外部法律顧問�、他們的外部訴訟支持合作方以及對方法律顧問。存在關(guān)于誰能執(zhí)行什么搜索的具體范圍規(guī)則���。在當(dāng)前訴訟支持場景中�����,難以界定邊界��。因此�,參與訴訟支持的任何個(gè)人可能看到在范圍之外的電子郵件。在電子郵件的情況下�����,搜索的結(jié)果通常以個(gè)人存儲(chǔ)表(PTS)文件的形式被交換����,個(gè)人存儲(chǔ)表文件構(gòu)成了附加的危險(xiǎn),因?yàn)檫@些文件可能被無意或惡意地移交給非授權(quán)的個(gè)人����。
相反��,當(dāng)遠(yuǎn)程主存第二副本���,例如�����,通過CSP在云中��,并且通過數(shù)據(jù)維護(hù)該第二副本時(shí)����,企業(yè)中的單一受信實(shí)體(例如,首席法務(wù)官)向該操作中的每個(gè)人提供將他們的查詢能力限制到他們的需要的具體陷門是可能的��。被主存在云中并通過可搜索加密和防篡改審計(jì)日志保護(hù)的數(shù)據(jù)提供了更高的保護(hù)等級(jí)����,從而防止了不適當(dāng)?shù)碾娮余]件訪問。消除了交換PTS文件的需要�,因?yàn)椴僮髦械乃袀€(gè)人都直接訪問該云以進(jìn)行查詢,而訴訟支持合作方是輸出針對性內(nèi)容以轉(zhuǎn)換為標(biāo)記圖像文件格式(TIFF)以進(jìn)行案件管理的唯一實(shí)體���。在監(jiān)視和監(jiān)督遠(yuǎn)程數(shù)據(jù)副本方面�,任何大小合理的組織均應(yīng)當(dāng)出于各種原因而主動(dòng)地監(jiān)視他們組織的電子郵件��。這些原因的范圍可能從法律/順應(yīng)到諸如監(jiān)視IP泄漏��、剽竊�����、不當(dāng)語言等管控原因���。通常�,監(jiān)視和監(jiān)督軟件監(jiān)視主服務(wù)器或被備份或歸檔的第二副本。監(jiān)視主服務(wù)器的問題在于這可能對繁忙的生產(chǎn)服務(wù)器帶來過多的負(fù)擔(dān)����。此外,因?yàn)楣芾韱T可能無意或惡意地修改或刪除主服務(wù)器上的數(shù)據(jù)��,一種解決方案是按照兼容的方式捕捉數(shù)據(jù)并將其傳輸?shù)降诙北?�,其中監(jiān)視和監(jiān)督軟件持續(xù)掃描進(jìn)來的電子郵件�����,以查找或搜索模式���。然而���,在許多企業(yè)設(shè)置中�,存在對這些第二副本的本地管理性訪問,并且其結(jié)果是���,盡管有篡改檢測和預(yù)防機(jī)制��,資源豐富的管理員仍能修改或刪除信息���。
相反�,通過該CSP來維護(hù)數(shù)據(jù)有利地將第二副本放在不同的控制區(qū)域中����。適當(dāng)?shù)拿艽a技術(shù)(諸如可搜索公鑰加密(PEKS)和擁有證明(POP))可確保即便企業(yè)管理員和CSP的員工之間的勾結(jié)仍防止他們積極地精確標(biāo)識(shí)他們想要修改的項(xiàng)目。該監(jiān)視和監(jiān)督軟件在該遠(yuǎn)程站點(diǎn)處或在云中運(yùn)行并且通過先前提供的陷門來查找具有具體的預(yù)先確定的關(guān)鍵詞的項(xiàng)目��。如本文根據(jù)各實(shí)施例所述�����,按照提升并修改每一個(gè)以互相支持的方式將獨(dú)立的數(shù)據(jù)保護(hù)和密碼技術(shù)組合起來��,以提供當(dāng)前對消費(fèi)者�、企業(yè)、生態(tài)系統(tǒng)和社交網(wǎng)絡(luò)不可用的解決方案���,并且允許在云環(huán)境中的無容器的��、安全的����、私密的并且可選擇性地訪問的數(shù)據(jù)���。受信XML出于各種原因�����,XML已經(jīng)演進(jìn)為一種普遍的網(wǎng)絡(luò)交換格式�����,這些原因包括但不限于由標(biāo)簽和其分層布置所帶來的其高效的描述性能力���。就此�,可根據(jù)上面的允許向XML文檔(包括有效載荷和標(biāo)簽�����,以及在現(xiàn)有標(biāo)簽或元數(shù)據(jù)頂上添加的任何元數(shù)據(jù))的不同部分應(yīng)用不同許可的FTO基礎(chǔ)結(jié)構(gòu)來保護(hù)XML數(shù)據(jù)��。也如同上面所述�,從而能夠按照無容器的方式存儲(chǔ)受信XML。如圖19中所示���,可加密XML有效載荷1902及其標(biāo)簽1900以形成經(jīng)加密的標(biāo)簽1910和有效載荷1912。就此���,通過將XML文檔分為具有可能不同的保護(hù)等級(jí)的XML片段����,允許一種具有遠(yuǎn)為更粒度化的許可系統(tǒng),該系統(tǒng)不依賴于作為發(fā)布者側(cè)的文檔的初始組織�。此外,可基于任何函數(shù)1914向有效載荷數(shù)據(jù)添加附加數(shù)據(jù)��,并且可應(yīng)用附加XML標(biāo)簽來幫助要對受信XML片段應(yīng)用的附加功能��。對有效載荷1912/標(biāo)簽1910的操作包括操作1920��,諸如搜索��、查詢�、備份、審計(jì)等��?��;跀?shù)據(jù)1914或標(biāo)簽1916的可任選的添加����,可對該數(shù)據(jù)實(shí)現(xiàn)其他操作1930。例如�,在數(shù)據(jù)符合社會(huì)保險(xiǎn)號(hào)的模式的任何時(shí)間,可自動(dòng)添加將該XML片段標(biāo)記為私有的標(biāo)簽1916以保持這樣的信息不被侵犯�����。就此����,如果該數(shù)據(jù)/信息是XML格式的,則可向結(jié)構(gòu)化的XML數(shù)據(jù)應(yīng)用上述關(guān)于數(shù)據(jù)/元數(shù)據(jù)技術(shù)中的任何一個(gè)以選擇性地查詢并獲得對XML片段的訪問權(quán)����。XML具有標(biāo)準(zhǔn)格式,即〈標(biāo)簽“值”〉(〈tag “value”〉)或〈標(biāo)簽“值” |XML 結(jié)尾標(biāo)簽 > (〈tag “value” |XMLend-tag〉)�。就此,使用結(jié)構(gòu)XML�,存在分層地表示該結(jié)構(gòu)的方式以便存在將指向?qū)?shù)字托管模式唯一的CKG/CTP ‘幀’的外部包裝。因此�,當(dāng)存在訪問嵌入的片段的需要時(shí),用<CKG>和<CTP>包裝來利用現(xiàn)有的(或物化����,新的)信任。這允許用戶在被準(zhǔn)許時(shí)搜索�、提取和解密這些片段�����。此外,可使用PDP來驗(yàn)證所請求的具體XML片段自從被初始創(chuàng)作起不被篡改�。相應(yīng)地,在各實(shí)施例中��,通過各種“裝飾”來創(chuàng)建XML片段或完整記錄(“有效載荷”)的“受信信封”���,所述裝飾允許運(yùn)行全范圍信任保證的信任���,所述信任保證像是機(jī)密性、私密性���、匿名性和完整性�����。
這與上述無容器數(shù)據(jù)實(shí)施例相一致���。將數(shù)據(jù)從其容器(例如,文件系統(tǒng)�、數(shù)據(jù)庫)分離的機(jī)會(huì)促進(jìn)了按照保持并擴(kuò)展原來的保證而不需要容器來實(shí)施的方式的共享���。基于商業(yè)需要���,并隨著不同技術(shù)的出現(xiàn)�����,還可在密碼搜索��、基于密碼的篡改檢測等之外添加任何其他包裝�。使用XML數(shù)據(jù)��,可將標(biāo)簽添加到該數(shù)據(jù)以幫助調(diào)制該數(shù)據(jù)的一致性�����,這可取決于域和應(yīng)用�。有利地,XML可包括對認(rèn)證�、授權(quán)、模式����、歷史�、蹤跡���、一致性等進(jìn)行編碼的可搜索元數(shù)據(jù)��。它還可編碼清單信息以定位其他相關(guān)片段,如果它是較大文檔的分散的片(dispersed silver)��。獨(dú)立于能夠使用任何所協(xié)定的CKG/CTP與能夠在新技術(shù)變得可適用時(shí)除了可搜索加密和PDP之外添加其他包裝的技術(shù)使靈活的架構(gòu)能夠處理任何類型的云場景����。還可擴(kuò)充或添加XML標(biāo)簽來調(diào)制一致性、軌跡等�����。當(dāng)將其與數(shù)據(jù)散布技術(shù)組合時(shí)�����,實(shí)現(xiàn)了關(guān)于機(jī)密性���、私密性����、匿名性和完整性的強(qiáng)保證??墒褂么恕笆苄判欧狻眮硌b飾具有附加元數(shù)據(jù)的任何有效載荷,所述附加元數(shù)據(jù)可包括模式信息���、一致性提示�、版本和軌跡�����、機(jī)密等級(jí)(例如���,在使用“群計(jì)算(ClX)Wdcomputing)”時(shí))�����、用于從片的其他對等體重構(gòu)此有效載荷的定位符等�����。在一個(gè)非限制性應(yīng)用中��,受信XML提供“松格式綁定”來生長該生態(tài)系統(tǒng)以催化網(wǎng)絡(luò)效應(yīng)����。FTO (將這些技術(shù)和密鑰管理器參數(shù)化)和XML的通用交換格式的組合促進(jìn)了在適應(yīng)散布技術(shù)、應(yīng)用�����、域��、場所�、統(tǒng)治、格式和其他要求時(shí)的更大的靈活性��。在另一應(yīng)用中����,用于聚合的當(dāng)前結(jié)算和協(xié)調(diào)涉及易于出錯(cuò)����、省略和欺詐的點(diǎn)到點(diǎn)交換。插入安全和私有數(shù)據(jù)服務(wù)將因此直接使會(huì)計(jì)�����、審計(jì)等以促進(jìn)選擇性公開以使得可信實(shí)體保持可靠的方式受益�����,并且可允許適當(dāng)?shù)恼{(diào)節(jié)者(順應(yīng)、法律)或居間者(沖突解決等)選擇性地窺視XML標(biāo)簽以在交易中構(gòu)造信任的����。受信XML的優(yōu)點(diǎn)在于有效載荷能夠在參與者之間編碼專有格式,其中存儲(chǔ)方不需要知曉或者甚至試圖理解該專有格式���。受信包裝的各層因此增加了大量的技術(shù)和商業(yè)價(jià)值以及法律和順應(yīng)價(jià)值和統(tǒng)治實(shí)體價(jià)值��。在另一應(yīng)用中����,由于(a)不同的不兼容的傳統(tǒng)系統(tǒng)和(b)更重要的-病人對現(xiàn)有解決方案提供者的粘性的喪失�����,健康護(hù)理系統(tǒng)集成是繁重的�����。通過引入云數(shù)據(jù)服務(wù)作為交換所(Cleaning House),并引入受信XML作為交換格式�����,這些現(xiàn)有解決方案提供者能夠?qū)⒋水?dāng)作維持該粘性的途徑,同時(shí)還利用由XML促進(jìn)的通用格式���。我們描述了我們的使用啟用FTO的“路由器”(“網(wǎng)關(guān)/監(jiān)護(hù)者”)和利用受信XML的方法如何是(a)路由器可以做其事情而不需要了解路由所需的更多知識(shí)���,(b)路由器具有對錯(cuò)誤和不良行為的更少的自由度,(C)由于后期綁定����,消除了復(fù)雜的密鑰管理。此外�����,可添加或擴(kuò)充標(biāo)簽或可將附加的元數(shù)據(jù)應(yīng)用于XML文檔以指示內(nèi)容具有各種敏感等級(jí)���。例如,可存在具有公開�、私密和絕密段落的文檔。例如�����,具有“秘密”許可的執(zhí)行搜索和請求訪問的人將只具有對公開和秘密段落的訪問權(quán)���。也可使用段落的分類來確定加密機(jī)制�、密鑰和訪問政策。例如��,絕密內(nèi)容不能從無線或遠(yuǎn)程設(shè)備訪問��。類似地��,可使用所述分類來創(chuàng)建關(guān)于可如何存儲(chǔ)數(shù)據(jù)��、可在何處存儲(chǔ)數(shù)據(jù)�����、可存儲(chǔ)數(shù)據(jù)多久的策略�。例如,醫(yī)療數(shù)據(jù)必須使用AES 256加密每天一次地備份到可信數(shù)據(jù)中心中的安全服務(wù)器���。圖20是示出在一實(shí)施例中用于托管受信XML的示例性過程的流程圖�����。在2000��,第一控制區(qū)域中的計(jì)算設(shè)備從第二控制區(qū)域中的計(jì)算設(shè)備接收經(jīng)加密的XML數(shù)據(jù)����,該經(jīng)加密的XML數(shù)據(jù)包括經(jīng)加密的XML有效載荷數(shù)據(jù)和經(jīng)加密的XML標(biāo)簽。該經(jīng)加密的XML數(shù)據(jù)是從基于密碼密鑰信息根據(jù)可搜索加密算法對該第二控制區(qū)域中的該計(jì)算設(shè)備的定義的XML數(shù)據(jù)集合的加密形成的��。在2012��,接收基于密碼密鑰信息加密的輔助元數(shù)據(jù)�����,其中該輔助元數(shù)據(jù)是從對經(jīng)加密的XML有效載荷數(shù)據(jù)或經(jīng)加密的XML標(biāo)簽的分析形成的�����。在2020�����,接收對數(shù)據(jù)的請求��,所述對數(shù)據(jù)的請求包括基于定義訪問該經(jīng)加密的XML有效載荷數(shù)據(jù)或該經(jīng)加密的XML標(biāo)簽中的一些的特權(quán)的該密碼密鑰信息的能力��,從而允許如所述能力所限定 的那樣允許對該經(jīng)加密的XML數(shù)據(jù)的選擇性的訪問��。在2030����,可任選地,確認(rèn)經(jīng)加密的XML數(shù)據(jù)和相應(yīng)的XML標(biāo)簽數(shù)據(jù)的正確子集由符合該請求的訂閱者設(shè)備接收�。圖21是示出在一實(shí)施例中用于托管受信XML的示例性過程的流程圖。在2100�����,從密鑰生成組件接收密碼密鑰信息����,該密鑰生成組件基于與訂閱者設(shè)備相關(guān)聯(lián)的身份信息生成該密碼密鑰信息。在2110��,訂閱者設(shè)備請求經(jīng)可搜索地加密的XML數(shù)據(jù)和相應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集��。將該密碼密鑰信息傳送到該經(jīng)可搜索地加密的XML數(shù)據(jù)和相應(yīng)的標(biāo)簽數(shù)據(jù)的存儲(chǔ)提供者���。在2120���,如在該密碼密鑰信息中定義的能力所允許的那樣解密經(jīng)加密的XML數(shù)據(jù)和相應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集。在2130��,確認(rèn)經(jīng)加密的XML數(shù)據(jù)和相應(yīng)的XML標(biāo)簽數(shù)據(jù)的正確子集由符合該請求的訂閱者設(shè)備接收���。在2140��,驗(yàn)證經(jīng)加密的XML數(shù)據(jù)和相應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集的內(nèi)容在接收到該經(jīng)加密的XML數(shù)據(jù)和相應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集之前不被刪除或修改���。圖22是示出在一實(shí)施例中用于托管受信XML的示例性過程的流程圖��。在2200���,基于從分開的密鑰生成器接收的密碼密鑰信息根據(jù)可搜索加密算法加密XML數(shù)據(jù)以形成經(jīng)加密的XML數(shù)據(jù),該經(jīng)加密的XML數(shù)據(jù)包括經(jīng)加密的XML標(biāo)簽信息���,其中該密鑰生成器生成該密碼密鑰信息�。在2210��,將該經(jīng)加密的XML數(shù)據(jù)傳送到網(wǎng)絡(luò)服務(wù)提供者以存儲(chǔ)該經(jīng)加密的數(shù)據(jù)����。在2220,根據(jù)基于請求設(shè)備的身份信息而授予該請求設(shè)備的所選擇的特權(quán)的后期綁定選擇性地訪問該經(jīng)加密的數(shù)據(jù)���。圖23是示出在一實(shí)施例中用于托管受信XML的示例性過程的流程圖��。在2300�����,訂閱者設(shè)備做出對包括經(jīng)加密的XML標(biāo)簽的經(jīng)可搜索地加密的XML數(shù)據(jù)的子集的請求�。在2310�����,從密鑰生成組件接收密碼密鑰信息���,該密鑰生成組件基于與訂閱者設(shè)備的身份信息生成該密碼密鑰信息�。在2320��,根據(jù)在密鑰信息中所定義的賦予給該訂閱者設(shè)備的特權(quán)��,解密經(jīng)加密的XML數(shù)據(jù)的子集����。下面針對補(bǔ)充上下文提供對無容器數(shù)據(jù)描述的各附加實(shí)施例和關(guān)于聯(lián)合信任覆蓋的細(xì)節(jié)?����?尚旁品?wù)生態(tài)系統(tǒng)的補(bǔ)充上下文如上所述�����,獨(dú)立的數(shù)據(jù)保護(hù)和密碼技術(shù)被以各種方式組合以提升關(guān)于數(shù)據(jù)(例如,作為在諸如由CSP維護(hù)的遠(yuǎn)程站點(diǎn)處的數(shù)據(jù)存儲(chǔ)的)的私密性����、信任和安全性。盡管下面以一般數(shù)據(jù)或網(wǎng)絡(luò)服務(wù)為上下文來描述一般生態(tài)系統(tǒng)��,然而這種一般數(shù)據(jù)或網(wǎng)絡(luò)服務(wù)可被用于用于在遠(yuǎn)程站點(diǎn)處存儲(chǔ)數(shù)據(jù)的上述場景中的任一個(gè)或多個(gè)����。為網(wǎng)絡(luò)數(shù)據(jù)服務(wù)提供數(shù)字托管模式,包括用于存儲(chǔ)在云中的數(shù)據(jù)的可搜索加密技術(shù)��、跨多個(gè)實(shí)體的分布信任以避免單個(gè)實(shí)體造成的損害。在一個(gè)實(shí)施例中,密鑰生成器����、密碼技術(shù)提供者和云服務(wù)提供者每個(gè)都被配備為單獨(dú)的實(shí)體,從而使得數(shù)據(jù)的發(fā)布者能夠機(jī)密地(經(jīng)加密的)將數(shù)據(jù)發(fā)布給服務(wù)提供者�,并且然后選擇性地將經(jīng)加密的數(shù)據(jù)暴露于請求該數(shù)據(jù)的訂閱者�����,該選擇性地暴露基于被編碼到響應(yīng)于訂閱者請求所生成的密鑰信息中的訂閱者身份信息�����。相對于可搜索的加密/解密算法而言��,由一個(gè)或多個(gè)密碼技術(shù)提供者實(shí)現(xiàn)的可搜索的公鑰加密(PEKS)方案為任何給定的消息W生成陷門TW�,使得TW允許檢查給定密文是否是對W的加密,其中TW不揭示關(guān)于明文的任何附加信息���。根據(jù)下面所述的各個(gè)實(shí)施例�,PEKS方案可以用于基于包含在諸如經(jīng)加密的消息之類的經(jīng)加密的數(shù)據(jù)(例如消息文本)中的關(guān)鍵詞對所述經(jīng)加密的數(shù)據(jù)確定優(yōu)先級(jí)或進(jìn)行過濾��,然而PEKS的使用是教導(dǎo)性的���,因?yàn)榧用芗夹g(shù)有所不同且不斷演進(jìn)�����。相應(yīng)地��,取決于所考慮的場景和所涉及的加密折衷(復(fù)雜性���、速度、壓縮等)���,其他加密技術(shù)也適用��。因此���,可以通過釋放相應(yīng)關(guān)鍵詞的能力(有時(shí)被密碼員稱為“陷門”)來給數(shù)據(jù)接收者提供對經(jīng)加密數(shù)據(jù)的與關(guān)鍵詞有關(guān)的部分的所選訪問��。通過這種方式��,可以在經(jīng)加密的數(shù)據(jù)中檢查這些關(guān)鍵詞�����,但是保證不會(huì)從訂閱者獲悉比該訂閱者的能力所允許的更多東西�。為了避免質(zhì)疑���,盡管在此處的一個(gè)或多個(gè)實(shí)施例中將PEKS公開為用于實(shí)現(xiàn)可搜索加密的算法����,但是能夠理解�,存在多種可替代的算法以用于實(shí)現(xiàn)可搜索加密。PEKS的一些示例性的非限制性的替代方案例如包括不在意(ObliviouS)RAM�����。因此,在此所使用的術(shù)語“可搜索加密”應(yīng)當(dāng)不限于任何一種技術(shù)�����,并且因此是指寬范圍的如下加密機(jī)制或加密機(jī)制的組合所述加密機(jī)制允許基于對經(jīng)加密數(shù)據(jù)的搜索或查詢功能來選擇性地訪問經(jīng)加密數(shù)據(jù)的子集���。可任選地�,可以作為附加好處向生態(tài)系統(tǒng)中的數(shù)據(jù)的訂閱者和發(fā)布者提供對結(jié)果的確認(rèn)和/或驗(yàn)證。確認(rèn)提供一種方式來確認(rèn)由于針對數(shù)據(jù)的子集的訂閱請求而接收的數(shù)據(jù)項(xiàng)目是正確的項(xiàng)目集合����,即數(shù)據(jù)的本應(yīng)該接收的正確子集實(shí)際已經(jīng)被接收。密碼領(lǐng)域的一種技術(shù)是數(shù)據(jù)擁有證明(PDP)�����,然而�,為了避免質(zhì)疑,PDP僅僅是可以被實(shí)現(xiàn)的一種示例性算法�,并且可以使用實(shí)現(xiàn)相同或類似目標(biāo)的其他算法。數(shù)據(jù)擁有的可證(Provable)或證明(Proof(s))是關(guān)于如何頻繁����、有效和安全地驗(yàn)證存儲(chǔ)服務(wù)器忠實(shí)地存儲(chǔ)了其客戶端的可能大的外包(outsourced)數(shù)據(jù)�。存儲(chǔ)服務(wù)器被假定為在安全性和可靠性方面都不受信任��。對結(jié)果的驗(yàn)證提供用于檢查項(xiàng)目本身的內(nèi)容的附加機(jī)制��,即以保證結(jié)合訂閱請求所接收的項(xiàng)目未曾被任何未授權(quán)實(shí)體篡改過����。密碼領(lǐng)域的驗(yàn)證的一個(gè)例子是數(shù)據(jù)擁有證明(PDP),然而����,為了避免質(zhì)疑,PDP僅僅是可以被實(shí)現(xiàn)的一種示例性算法�,并且可以使用實(shí)現(xiàn)相同或類似目標(biāo)的其他算法。在密碼領(lǐng)域中已知的另一技術(shù)是檢索能力(retrievability)證明(P0R)�,然而,為了避免質(zhì)疑�����,POR僅僅是可以被實(shí)現(xiàn)的一種示例性算法����,并且可以使用實(shí)現(xiàn)相同或類似目標(biāo)的其他算法。POR是一種由服務(wù)提供者或數(shù)據(jù)主控者(證明者)對客戶端(驗(yàn)證者)進(jìn)行的緊湊證明,其表示目標(biāo)文件F在客戶端可以完全恢復(fù)文件F并且未發(fā)生篡改的意義上而言是完整的��。作為附加的選項(xiàng)��,生態(tài)系統(tǒng)可以實(shí)現(xiàn)匿名憑證的概念����,由此發(fā)布者可以以匿名方式上傳關(guān)于其自己的信息而不暴露關(guān)鍵細(xì)節(jié),并且訂閱者可以受其能力的限制�����,使得其不能被暴露或被提供對由發(fā)布者上傳的關(guān)鍵細(xì)節(jié)的訪問��。通過這種方式�,發(fā)布者或訂閱者可以于系統(tǒng)交互��,同時(shí)僅僅暴露其希望向第三方暴露的那樣多的信息�����。常規(guī)的web服務(wù)已經(jīng)限于靜態(tài)客戶端服務(wù)器布置和用于訪問web服務(wù)的靜態(tài)地定義的用戶策略�����。然而,當(dāng)根據(jù)經(jīng)常改變和演進(jìn)的復(fù)雜商務(wù)和其他關(guān)系來構(gòu)思許多發(fā)布者和訂閱者時(shí)��,這樣的常規(guī)web服務(wù)模型不能是靈活的或者足夠安全的�。因此,在各個(gè)實(shí)施例中���,啟用后期綁定��,使得數(shù)據(jù)和內(nèi)容的發(fā)布者和/或所有者可以基于訂閱者是誰��、基于訂閱者的能力以及基于他們在尋找什么(例如基于針對數(shù)據(jù)的請求中所使用的關(guān)鍵詞)來改變對經(jīng)加密內(nèi)容的訪問特權(quán)����。因此�,訂閱者能夠選擇性地訪問的東西與發(fā)布者和/或所有者對訪問特權(quán)的改變一致地動(dòng)態(tài)改變,因?yàn)橛嗛喺吣芰Ρ痪幋a在由運(yùn)行中的密鑰生成器所提供的密鑰信息中�����。因此�,為給定請求在為該請求生成密鑰的時(shí)刻定義訂閱者特權(quán),并且因此該訂閱者特權(quán)總是反映關(guān)于來自訂閱者的請求的當(dāng)前策略���。 類似地�����,可信云服務(wù)的服務(wù)器的管理員可以被許可觀察由該服務(wù)器處理的行為和數(shù)據(jù)事物的日志���,但是也可以被限制為不能看見任何客戶姓名或信用卡信息�����。因此�,訂閱者的身份可以是限制訂閱者可以訪問的數(shù)據(jù)類型的基礎(chǔ)�。在此,在構(gòu)建對云服務(wù)的信任的上下文中提出可信生態(tài)系統(tǒng)的各種非限制性實(shí)施例�����,然而�����,在此提供的對生態(tài)系統(tǒng)的信任構(gòu)建是更一般的�,并且不限于應(yīng)用于云服務(wù)�����。更確切而言,在此所述的實(shí)施例類似地適用于企業(yè)數(shù)據(jù)中心內(nèi)的不同服務(wù)器或參與者�。因此,盡管數(shù)據(jù)可能從未離開給定實(shí)體�,但是在此所述的用于構(gòu)建信任的技術(shù)同樣適用于企業(yè)內(nèi)的不同過程在單獨(dú)控制區(qū)內(nèi)操作的情況。在沒有跨所有企業(yè)過程的可見性的情況下����,可能造成類似的不信任,就好像參與者置身于企業(yè)之外�。例如,服務(wù)器云即使在處于管理員的控制之下時(shí)或者管理員可能不注意或者為惡意時(shí)可能在企業(yè)內(nèi)遭到破壞����。除了適用于云中的經(jīng)加密數(shù)據(jù),本發(fā)明的各種技術(shù)還可以適用于存儲(chǔ)在膝上型計(jì)算機(jī)或其他便攜式設(shè)備上的數(shù)據(jù)��,因?yàn)橄ド闲陀?jì)算機(jī)可能丟失或失竊�。在這種情況下,該設(shè)備可能最終為過于好奇或者惡意實(shí)體所占有���,然而����,在此所述的適于保護(hù)云中數(shù)據(jù)的相同技術(shù)還可以用于保護(hù)服務(wù)器或膝上型計(jì)算機(jī)上的數(shù)據(jù)����。如果本地?cái)?shù)據(jù)是經(jīng)加密的���,則在沒有適當(dāng)訂閱者憑證的情況下,竊賊將不能理解經(jīng)加密的本地?cái)?shù)據(jù)��,從而不能出示適當(dāng)角色或能力來訪問該數(shù)據(jù)��。圖24是根據(jù)一實(shí)施例的可信云服務(wù)框架或生態(tài)系統(tǒng)的框圖��;該系統(tǒng)包括可信數(shù)據(jù)存儲(chǔ)2400����,該受信數(shù)據(jù)存儲(chǔ)100用于存儲(chǔ)可搜索的經(jīng)加密數(shù)據(jù)2410以及訂閱者請求經(jīng)歷確認(rèn)和/或驗(yàn)證的結(jié)果。就此而言����,網(wǎng)絡(luò)服務(wù)2420可以構(gòu)建在安全數(shù)據(jù)2410之上,使得數(shù)據(jù)的發(fā)布者保留對賦予給例如通過網(wǎng)絡(luò)服務(wù)2420請求該數(shù)據(jù)的訂閱者2440的能力的控制��。發(fā)布者2430還可以是訂閱者2440��,并且反之亦然�����,并且數(shù)據(jù)的所有者2450也可以是發(fā)布者2430和/或訂閱者2440��。作為一些常見角色和可以定義的相應(yīng)能力集合的例子����,特殊類型的發(fā)布者2430和訂閱者2440是管理員2460和審計(jì)者2470。例如�����,管理員2460可以是對數(shù)據(jù)2410的特殊許可集合��,以幫助維護(hù)對可信數(shù)據(jù)存儲(chǔ)2400的操作����,并且審計(jì)者實(shí)體2470可以在審計(jì)的范圍內(nèi)幫助維護(hù)某些數(shù)據(jù)的完整性。例如���,審計(jì)者2470可能訂閱含有攻擊性關(guān)鍵詞的數(shù)據(jù)2410的消息����,在這種情況下���,審計(jì)者2470在根據(jù)所賦予能力受到許可的情況下可以在數(shù)據(jù)2410的消息包含這樣的攻擊行關(guān)鍵詞時(shí)受到提醒����,但是不能閱讀其他消息。就此���,可以基于如下能力構(gòu)建無數(shù)場景將發(fā)布者數(shù)據(jù)置于數(shù)字托管之下�����,使得可以分發(fā)實(shí)現(xiàn)對該數(shù)據(jù)的選擇性訪問的密鑰�。例如��,發(fā)布者向生態(tài)系統(tǒng)認(rèn)證并且指示要上傳到該生態(tài)系統(tǒng)的文檔集合����。該文檔基于從生成密鑰信息的單獨(dú)的密鑰生成器所接收的密碼密鑰信息根據(jù)可搜索加密算法被加密。然后����,經(jīng)加密數(shù)據(jù)被傳輸給網(wǎng)絡(luò)服務(wù)提供者以供存儲(chǔ)該經(jīng)加密數(shù)據(jù),使得經(jīng)加密數(shù)據(jù)可以根據(jù)基于請求設(shè)備的身份信息賦予給該請求設(shè)備的所選特權(quán)的后期綁定被選擇性地訪問����。將密碼技術(shù)提供者同經(jīng)加密數(shù)據(jù)的存儲(chǔ)相分離將附加地隔離經(jīng)加密的數(shù)據(jù)免受進(jìn)一步損害。就此����,圖25是示出了根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于發(fā)布數(shù)據(jù)的示例性非限制性方法的流程圖。在2500�,發(fā)布者向該系統(tǒng)認(rèn)證(例如發(fā)布者用用戶名和口令、LiVE ID憑證等登陸)���。在2510��,密鑰信息由諸如密鑰生成中心之類的密鑰生成器生成����,這將在下面的
一個(gè)或多個(gè)實(shí)施例中予以描述����。在2520,單獨(dú)的密碼技術(shù)提供者基于密鑰信息對發(fā)布者文檔集進(jìn)行加密。在2530��,經(jīng)加密文檔與能力一起被上傳到例如存儲(chǔ)服務(wù)提供者之類的網(wǎng)絡(luò)服務(wù)提供者�,使得經(jīng)加密文檔可以利用基于請求設(shè)備(訂閱者)的身份信息所賦予的所選特權(quán)的后期綁定被選擇性地訪問。例如在訂閱者側(cè)�,訂閱者向生態(tài)系統(tǒng)認(rèn)證,并且指示對數(shù)據(jù)子集的請求(例如對包含給定關(guān)鍵詞或關(guān)鍵詞集合的文檔的子集的查詢)���。響應(yīng)于從至少一個(gè)訂閱者設(shè)備對經(jīng)可搜索地加密數(shù)據(jù)的請求���,密鑰生成組件基于與訂閱者設(shè)備相關(guān)聯(lián)的身份信息生成密碼密鑰信息��。然后�����,根據(jù)在密碼密鑰信息中所定義的賦予給該訂閱者設(shè)備的特權(quán)��,經(jīng)加密數(shù)據(jù)的子集被解密��。圖26是示出根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于訂閱數(shù)據(jù)的示例性���、非限制性方法的流程圖。在2600���,用于訂閱數(shù)據(jù)的方法包括認(rèn)證訂閱者(例如訂閱者用用戶名和口令����、LiVE ID憑證等登陸)��。在2610���,訂閱者作出對數(shù)據(jù)的請求��。在2620�,密鑰信息由獨(dú)立密鑰生成實(shí)體基于訂閱者請求而生成,其中訂閱者的能力可以在密鑰信息中定義����。在2630�,發(fā)布者數(shù)據(jù)的子集基于在密鑰信息中所定義的能力被解密。例如��,CSP可以對該數(shù)據(jù)進(jìn)行解密�。在2640,使發(fā)布者數(shù)據(jù)的子集可被訂閱者訪問�,例如訂閱者可以基于由所有者/發(fā)布者所賦予的可動(dòng)態(tài)定義的能力來對該數(shù)據(jù)進(jìn)行下載、查看����、處理、改變等等����。可任選地�,用于加密、解密和密鑰生成的技術(shù)可以由單獨(dú)的密碼技術(shù)提供者來提供,但是由任何參與者來主控���。在一個(gè)實(shí)施例中��,訂閱者設(shè)備的身份信息包括該訂閱者的角色����。例如���,審計(jì)者角色��、管理員角色或其他預(yù)先指定的角色可以被發(fā)布者/所有者用作限制或賦予對經(jīng)可搜索地加密的數(shù)據(jù)存儲(chǔ)的各部分的訪問的基礎(chǔ)��。圖27示出了示例性的生態(tài)系統(tǒng)���,該生態(tài)系統(tǒng)示出了密鑰生成中心(CKG) 2700、密碼技術(shù)提供者(CTP) 2710和云服務(wù)提供者(CSP) 2720的分離����,由此消除單個(gè)實(shí)體在可信生態(tài)系統(tǒng)中造成損害的可能性。就此�,客戶2730包括數(shù)據(jù)的發(fā)布者和/或訂閱者?���?蛇x地�����,CKG2700可以基于例如由CTP 2710提供的參考軟件�、開源軟件和/或軟件開發(fā)工具包(SDK)來構(gòu)建��,從而使得多方的構(gòu)建塊能夠自己創(chuàng)建這樣的組件或者對第三方實(shí)現(xiàn)這樣的生態(tài)系統(tǒng)組件感到滿意����。在一個(gè)實(shí)施例中�����,SDK由CTP 2710來提供�,并且可以被一個(gè)或多個(gè)參與者用戶用于主控或?qū)崿F(xiàn)CKG 2700、下面將更詳細(xì)描述的計(jì)算和存儲(chǔ)抽象(CSA)和/或密碼客戶端庫��?��?扇芜x地����,SDK可以是從CTP 2710分發(fā)給主控CKG 2700的實(shí)體。一般而言�,CKG 2700,CTP 2710或CSP 2720中的每個(gè)都可以根據(jù)給定實(shí)施方式被細(xì)分為子組件;然而總體分離被保留以維持信任��。例如��,諸如主公鑰(MPK)遞送2702�、客戶端庫下載器2704、秘密密鑰(secret key)提取器2706����、信任驗(yàn)證者2708或者其他子組件之類的CKG實(shí)體2701可以以子集的形式分開地提供、或者作為集成組件一起提供���。諸如用于編碼和解碼的戶端應(yīng)用2712���、替代的 加密技術(shù)2714、用于與CKG對接的應(yīng)用2716�、其他密碼構(gòu)建塊2718等等之類的CTP實(shí)體2711也可以以子集形式分開地提供或者一起提供。此外�����,可以分別認(rèn)為CSP 2720是諸如CSP 2722����、2726�����、主控存儲(chǔ)服務(wù)2724和服務(wù)主控2728之類的許多單獨(dú)的服務(wù)提供者�����,或者這樣的服務(wù)可以一起提供�����。能夠理解,由可信生態(tài)系統(tǒng)中的一個(gè)或多個(gè)參與者主控的CKG或CKG實(shí)例不需要是單個(gè)單片實(shí)體�。更確切而言,CKG可以被分成多個(gè)(冗余)實(shí)體���,這些實(shí)體協(xié)作以生成密鑰�,使得操作即使在參與者的小子集離線的情況下仍然可以繼續(xù)�。在一個(gè)實(shí)施例中,可任選地���,參與者的集合即使在這些參與者的小子集已經(jīng)被對手損害或者以其他方式變?yōu)椴豢捎没虿皇苄湃螘r(shí)仍然可以整體上受到信任��。圖28是示出了用于為企業(yè)2800執(zhí)行云服務(wù)的可信生態(tài)系統(tǒng)的其他好處的另一架構(gòu)圖����。例如,企業(yè)2800可以包括不同組織2802��、2804��、2806�、2808。該圖中的不同組織2802�、2804、2806�����、2808示出了 組織可以采取相對于實(shí)現(xiàn)用于使用系統(tǒng)或密鑰生成的策略而言那樣多或那樣少的所有權(quán)��。例如�����,組織2802實(shí)現(xiàn)其自己的策略2812��,但是使用集中式密鑰生成器2822��,而組織2804選擇實(shí)現(xiàn)其自己的密鑰生成器2824并且實(shí)現(xiàn)其自己的策略2814。組織2806也實(shí)現(xiàn)其自己的策略��,但是依靠第三方CKG 2826�,而組織2808選擇依靠第三方策略提供者2818和獨(dú)立CKG 2828。就此�����,為了發(fā)布數(shù)據(jù)����,發(fā)布者2840基于來自CKG 2822的輸出獲得用于對數(shù)據(jù)進(jìn)行加密的公開參數(shù)2835?����;诠_參數(shù)����,數(shù)據(jù)在2845由發(fā)布者設(shè)備2840使用獨(dú)立密碼技術(shù)提供者來加密��。經(jīng)加密數(shù)據(jù)被上傳到存儲(chǔ)抽象服務(wù)2850����,該存儲(chǔ)抽象服務(wù)2850隱藏與由諸如CSP 2872��、2874�����、2876或2878之類的一個(gè)或多個(gè)CSP 2870存儲(chǔ)經(jīng)加密數(shù)據(jù)相聯(lián)系的存儲(chǔ)語義��。在訂閱者設(shè)備2860上�,對數(shù)據(jù)的請求導(dǎo)致從CKG 2822生成私有秘密密鑰2865����。私有秘密密鑰2865包括如下信息該信息使得訂閱者設(shè)備2860能夠通過在2855對數(shù)據(jù)進(jìn)行解密來選擇性地訪問經(jīng)可搜索地加密的數(shù)據(jù)。再次����,從CSP 2870檢索數(shù)據(jù)的語義被存儲(chǔ)抽象服務(wù)2850隱藏。而且��,被賦予給訂閱者設(shè)備2860的特權(quán)是由于由發(fā)布者/所有者所賦予的能力的后期綁定而產(chǎn)生的特權(quán)的當(dāng)前集合����。從圖28中能夠理解,要么為企業(yè)���、要么為消費(fèi)者的多個(gè)數(shù)據(jù)所有者可以如在此所述的那樣參與可信生態(tài)系統(tǒng)以建立受信關(guān)系�。在這種情況下,每個(gè)所有者都可以主控或控制其自己的CKG(例如組織2804的CKG 2824)��,使得對數(shù)據(jù)的請求或查詢被轉(zhuǎn)發(fā)給相應(yīng)CKG以從所請求數(shù)據(jù)的所有共有者收集所需的密鑰���。圖29是示出了通過存儲(chǔ)抽象層2910來適應(yīng)于不同存儲(chǔ)提供者的另一框圖����。利用可信生態(tài)系統(tǒng)�,分別具有客戶端應(yīng)用2940、2942的桌面2930���、2932可以如上所述的那樣發(fā)布或訂閱數(shù)據(jù)��,從而向密鑰生成中心2920發(fā)起對用于對數(shù)據(jù)進(jìn)行加密和解密的密鑰信息的請求�����。類似地�����,服務(wù)2944、2946、2948也可以是生態(tài)系統(tǒng)中的發(fā)布者和/或訂閱者���。就此�,為了由私有云存儲(chǔ)2900�、SQL數(shù)據(jù)服務(wù)存儲(chǔ)2902、或簡單存儲(chǔ)web服務(wù)2904等等中的任一進(jìn)行存儲(chǔ)或提取�,存儲(chǔ)抽象服務(wù)2910 (如名稱所隱含的那樣)抽象出關(guān)于遠(yuǎn)離客戶端的一個(gè)或多個(gè)特定存儲(chǔ)庫的細(xì)節(jié)。就此�����,為了避免質(zhì)疑���,圖29針對多種情況�。在一種情況下��,圖29通過存儲(chǔ)抽象服務(wù)(有時(shí)亦稱計(jì)算和存儲(chǔ)抽象(CSA))涵蓋了存儲(chǔ)提供者(將其抽象為個(gè)體)的非居間化�����。另夕卜�,圖29涵蓋了如下場景數(shù)據(jù)被分割和/或扇出(例如為了冗余)為可以為相同或不同類型的多個(gè)后端存儲(chǔ)提供者的場景,使得原始數(shù)據(jù)即使在后端存儲(chǔ)提供者之一(或少數(shù))意外地或無意地刪除或改變其數(shù)據(jù)副本時(shí)仍然可以被重構(gòu)��。
圖30示出了與包括服務(wù)器操作系統(tǒng)(OS) 3014和存儲(chǔ)服務(wù)3012的存儲(chǔ)抽象服務(wù)3010相聯(lián)系的存儲(chǔ)的其他方面,該存儲(chǔ)抽象服務(wù)3010抽象私有云存儲(chǔ)3000�、SQL數(shù)據(jù)存儲(chǔ)3002、簡單存儲(chǔ)web服務(wù)存儲(chǔ)3004等等的存儲(chǔ)細(xì)節(jié)�����?��?蛻舳丝梢允欠謩e具有客戶端應(yīng)用3040和3042的桌面3050或3052�����。密鑰生成中心3020可以包括在服務(wù)器OS 3024上執(zhí)行的密鑰生成器應(yīng)用3022�����。就此�,具有活動(dòng)目錄3036����、服務(wù)器OS 3034和安全令牌服務(wù)(STS)3032的組織3030可以是生態(tài)系統(tǒng)中的發(fā)布者或訂閱者。就此�����,存儲(chǔ)傳輸格式(STF)是標(biāo)準(zhǔn)交換格式,其可以用于在多個(gè)庫的范圍內(nèi)交換經(jīng)加密數(shù)據(jù)和元數(shù)據(jù)��。例如��,組織3030可能希望在存儲(chǔ)服務(wù)提供者3000����、3002或3004間傳輸電子郵件數(shù)據(jù)�,在這種情況下可以使用STF。圖31是示出了可信生態(tài)系統(tǒng)3120中的各個(gè)不同參與者的另一框圖�。如上面所提到的那樣,有利地�����,企業(yè)3100可以將數(shù)據(jù)量的存儲(chǔ)和維護(hù)從現(xiàn)場推卸給云存儲(chǔ)服務(wù)提供者����,其中云存儲(chǔ)服務(wù)提供者更適于處理這樣的數(shù)據(jù)量,同時(shí)維持?jǐn)?shù)據(jù)將不會(huì)對錯(cuò)誤的訂閱者解密的舒適性��,因?yàn)槠髽I(yè)維持對針對經(jīng)加密數(shù)據(jù)所定義的能力的控制���。例如�����,組織3102可以操作諸如Sharepoint之類的協(xié)作應(yīng)用3112�����。就此,組織3102可以為sharepoint數(shù)據(jù)建立數(shù)字托管或者受信域��。策略3132和CKG 3134可以由第一數(shù)據(jù)中心3130來實(shí)現(xiàn)�,該第一數(shù)據(jù)中心3130用于通過為受信域定義密碼密鑰信息3145來建立安全空間。然后���,例如像發(fā)布者3114那樣行動(dòng)的另一組織3104可以基于從CKG 3134獲得的密鑰信息對數(shù)據(jù)進(jìn)行加密�����,此時(shí)��,第二數(shù)據(jù)中心3140的計(jì)算和存儲(chǔ)抽象組件3142處理在第三數(shù)據(jù)中心3150處(例如在CSP 3152中)存儲(chǔ)經(jīng)可搜索地加密的數(shù)據(jù)的細(xì)節(jié)��。反過來��,當(dāng)組織3104的訂閱者3116請求數(shù)據(jù)時(shí)��,私有密鑰或秘密密鑰信息作為提取3165的一部分被遞送給訂閱者3116���。接著,基于包括為訂閱者定義的能力的私鑰信息���,由該訂閱者所請求的數(shù)據(jù)在3175被解密,其中假定該訂閱者具有特權(quán)�,并且抽象層3142再次處理底層存儲(chǔ)3152的細(xì)節(jié)�����。圖32是可信云計(jì)算系統(tǒng)的示例性非限制性實(shí)施方式的一些層的代表性視圖����,在該計(jì)算系統(tǒng)中,不同構(gòu)件可以由不同或相同實(shí)體來提供���。在層棧的底部是數(shù)學(xué)和密碼庫3286���,其用于實(shí)現(xiàn)加密/解密算法??梢蕴峁└鞣N密碼方案的定義的抽象作為細(xì)節(jié)庫3284與可搜索密碼方案3286的實(shí)際實(shí)施之間的中間層3282。層3282���、3284和3286 —起形成較大的密碼服務(wù)層3280���,該密碼服務(wù)層3280在與抽象層3260組成軟件即服務(wù)(SaaS)應(yīng)用生態(tài)系統(tǒng)時(shí)形成實(shí)現(xiàn)受信數(shù)字托管3270及其存儲(chǔ)的基礎(chǔ)��。抽象層3260包含用于實(shí)現(xiàn)數(shù)字托管模式的基本語言���,即諸如SetUp O (設(shè)置O )、Encrypt O (加密O )�����、Extract O (提取O )����、Decrypt ()(解密())之類的命令。處于抽象層3260之上的是層3250�,該層3250捆綁到各種更具體的平臺(tái)技術(shù)(例如SDS、Azure��、備份/歸檔���、RMS�����、STS等等)中��。處于捆綁到各種具體平臺(tái)技術(shù)中的層3250之上的是使用受信數(shù)字托管3200的各種SaaS應(yīng)用��。示例性的非限制性圖示示出了 數(shù)字托管應(yīng)用3200可以由單個(gè)公司3210或由伙伴3230或者由二者來實(shí)現(xiàn)����。例如,公司3210可以實(shí)現(xiàn)諸如下列服務(wù)高性能計(jì)算(HPC)�����、eDiscovery和合法發(fā)現(xiàn)3214�、Live服務(wù)3216(例如DBox)�����、備份/歸檔即服務(wù)3218���、審計(jì)日志一商業(yè)過程和監(jiān)控3220����、或者其他云服務(wù)3222����?��;锇?230云進(jìn)而實(shí)現(xiàn)諸如下列服務(wù)eLetterOfCredit 3232、HPc即垂直面(Verticals)月艮務(wù)3234�����、eHealth服務(wù)����、安全外聯(lián)網(wǎng)3238、順應(yīng)3240���、訴訟支持3242等等����?���;诳尚旁品?wù)生態(tài)系統(tǒng)的場景由于密鑰生成器、密碼提供者和云服務(wù)提供者的分離所固有的增加的信任�,以及本文所述的其他技術(shù),可在云中實(shí)現(xiàn)任何類型的應(yīng)用���。就此�����,在已經(jīng)實(shí)現(xiàn)了這樣可信云服務(wù) 生態(tài)系統(tǒng)的情況下�����,可以實(shí)現(xiàn)豐富的服務(wù)和場景的集合����,這些服務(wù)和場景利用在此所述的可信生態(tài)系統(tǒng)的一個(gè)或多個(gè)好處。例如�����,圖33是一個(gè)示例性非限制性過程的流程圖���,該過程用于以利用上述后期綁定向發(fā)布者提供對數(shù)據(jù)的受控選擇性訪問的方式來向數(shù)字保險(xiǎn)箱應(yīng)用發(fā)布文檔。在3300���,對設(shè)備進(jìn)行認(rèn)證(例如設(shè)備用用戶名和口令�、口令憑證�����、生物憑證、Live ID憑證等等登陸)��。在3310�,文檔被上傳并且標(biāo)簽被輸入。在3320�����,所述標(biāo)簽被發(fā)送給托管代理�,并且作為響應(yīng),從托管代理接收經(jīng)散列的標(biāo)簽���。就此��,所述標(biāo)簽可以如所提到的那樣來提供�����,或者可替代地可以通過全文索引來自動(dòng)地從有效載荷(記錄�����、文檔)中提取��。在3330�����,客戶端利用發(fā)布者的密鑰信息對文檔進(jìn)行加密�,并且所述文檔與訂閱者相對于這些文檔的能力一起被發(fā)送給安全數(shù)字云存儲(chǔ)提供者。在3340����,安全數(shù)字云存儲(chǔ)提供者例如將經(jīng)加密的團(tuán)塊(blob)發(fā)送給存儲(chǔ)服務(wù)(例如相對于存儲(chǔ)抽象層)。圖34是用于訂閱置于數(shù)字保險(xiǎn)箱中材料的示例性�、非限制性過程的流程圖。在3400�,訂閱者被認(rèn)證,并且客戶端設(shè)備將標(biāo)簽發(fā)送給托管代理��,該托管代理在3410作為響應(yīng)發(fā)回經(jīng)散列的標(biāo)簽�����。然后���,客戶端在3420將經(jīng)散列的標(biāo)簽發(fā)送給數(shù)字保險(xiǎn)箱服務(wù),并且經(jīng)散列的標(biāo)簽被解釋以了解在3430�����,該客戶端是否有權(quán)讓其搜索請求全部或部分地由存儲(chǔ)服務(wù)來執(zhí)行。圖35示出了使用數(shù)字托管模式來通過一個(gè)或多個(gè)數(shù)據(jù)中心為企業(yè)實(shí)現(xiàn)安全外聯(lián)網(wǎng)的可信云服務(wù)的示例性�����、非限制性的實(shí)施方式����。如所提到的那樣,可信計(jì)算生態(tài)系統(tǒng)可以包括密鑰生成中心3500�,該密鑰生成中心3500與密碼技術(shù)提供者(CTP) 3510分開地實(shí)現(xiàn),該密碼技術(shù)提供者3510提供參考實(shí)施方式以供用于實(shí)現(xiàn)與生態(tài)系統(tǒng)一致的同一個(gè)或多個(gè)云服務(wù)提供者(CSP)3520分開實(shí)現(xiàn)的密碼技術(shù)����。在安全外聯(lián)網(wǎng)的示例性非限制性的實(shí)施方式中,3580示出了 企業(yè)維護(hù)共享庫3570 (例如SharePoint)和設(shè)計(jì)或分析應(yīng)用的庫3560以供與共享庫3570中的文檔結(jié)合使用�����。商業(yè)軟件3540 (例如Sentinel)可以監(jiān)控具有桌面3550的計(jì)算機(jī)的應(yīng)用或服務(wù)器性能等等��。就此����,在可信云服務(wù)生態(tài)系統(tǒng)中����,當(dāng)使用桌面3550的訂閱者從存儲(chǔ)中尋求可以選擇性地訪問并且被加密的信息時(shí)����,安全令牌服務(wù)3530可以遞送某些信息以標(biāo)識(shí)出訂閱者3582,并且CKG 3500可以通過第一數(shù)據(jù)中心的CKG層3502的接口被咨詢�����,如3584所示�。CKG 3500返回密鑰信息,然后��,該密鑰信息如3586所示的那樣可以用于通過存儲(chǔ)抽象服務(wù)3522選擇性地訪問由數(shù)據(jù)服務(wù)3524所持有的數(shù)據(jù)�。因此,任何類型的數(shù)據(jù)都可以在企業(yè)的范圍內(nèi)根據(jù)企業(yè)中的訂閱者的角色來選擇性地共享���。圖36是示出了基于可信云服務(wù)生態(tài)系統(tǒng)的另一示例性非限制性場景的流程圖�����,在該生態(tài)系統(tǒng)中����,給訂閱者提供對由例如企業(yè)內(nèi)的CSP存儲(chǔ)的經(jīng)加密數(shù)據(jù)的選擇性訪問�。最初,訂閱者設(shè)備還未獲取訪問經(jīng)加密數(shù)據(jù)的特權(quán)�����。然而��,通過在3600例如通過與應(yīng)用交互來作出對一些或全部經(jīng)加密數(shù)據(jù)的請求����,應(yīng)用自動(dòng)地與相應(yīng)STS通信以用于在3610獲得聲明(Claim)(密碼學(xué)中的用語)。在3620�����,應(yīng)用與CKG通信以獲得密鑰信息�,該密鑰信息編碼有關(guān)于訂閱者的能力的信息(能力有時(shí)在密碼學(xué)的用語中被稱為陷門,但是術(shù)語“能力”不限于通常出現(xiàn)術(shù)語“陷門”的上下文)���。最后��,應(yīng)用在3630將密鑰信息提供給CSP��,CSP允許以訂閱者能力所允許的程度來對經(jīng)加密的數(shù)據(jù)進(jìn)行搜索或查詢���。圖37是示出了應(yīng)用響應(yīng)可以基于登陸信息適應(yīng)于訂閱者的另一流程圖�。例如����,在3700,用戶ID信息被應(yīng)用接收�。在3710,應(yīng)用從STS獲得相關(guān)聲明�����。在3720�����,基于用戶充當(dāng)?shù)呐c用戶ID信息相關(guān)聯(lián)的一個(gè)或多個(gè)角色���,體驗(yàn)可以被調(diào)整為與那些角色的特權(quán)/限制相稱���。例如,作為公司的經(jīng)加密數(shù)據(jù)的視圖來呈現(xiàn)公司的主要財(cái)務(wù)部門的用戶體驗(yàn)可以并且應(yīng)當(dāng)是與提供給郵件室雇員的公司經(jīng)加密數(shù)據(jù)的視圖不同的用戶體驗(yàn)��。圖37可以適用于單方或多方登錄場景。圖38是示出了安全記錄上傳場景的另一流程圖����,該場景可以針對單方或多方來實(shí)現(xiàn)��。在3800���,記錄和關(guān)鍵詞被應(yīng)用接收��,其例如是由具有該應(yīng)用的設(shè)備的用戶提供或指定的���。在3810,應(yīng)用獲得主公鑰(MPK)并且應(yīng)用公鑰加密關(guān)鍵詞可搜索(PEKS)算法����。MPK可以可任選地被應(yīng)用高速緩存。在3820�����,應(yīng)用例如通過存儲(chǔ)抽象層將經(jīng)加密的記錄輸入到CSP庫中�����。圖39是示出了對經(jīng)可搜索地加密數(shù)據(jù)存儲(chǔ)進(jìn)行基于角色查詢的示例性、非限制性的另一流程圖��,該數(shù)據(jù)存儲(chǔ)由可信云服務(wù)生態(tài)系統(tǒng)來實(shí)現(xiàn)�����,例如以供由單方進(jìn)行自動(dòng)搜索�。在3900,聯(lián)合查詢被應(yīng)用接收或發(fā)起��。在3910�����,應(yīng)用從STS獲得相關(guān)聲明�����。例如����,STS將用戶的角色映射到合適的查詢組,并且返回給定角色的合法查詢集合���。在3920����,應(yīng)用提交經(jīng)過濾的聲明和查詢,使得可以有效地提交對應(yīng)于該查詢的聲明���、而不是所有的聲明����?���?扇芜x地����,CKG將陷門聲明返回給應(yīng)用(或者拒絕該聲明)。在3930�����,應(yīng)用對遠(yuǎn)程索引執(zhí)行陷門聲明�����?;趯h(yuǎn)程索引的處理,結(jié)果可以被應(yīng)用接收,并且通過該應(yīng)用例如基于用戶角色使用定制呈現(xiàn)來將結(jié)果呈現(xiàn)給用戶���。圖40是示出了多方協(xié)作場景的流程圖����,在該場景中�����,企業(yè)向外部企業(yè)提供對其經(jīng)加密數(shù)據(jù)中的一些的訪問����。例如,制造商可以給供應(yīng)商賦予對其存儲(chǔ)在可信云中的數(shù)據(jù)的訪問���,并且反之亦然�。就此而言��,在4000��,給企業(yè)2的STS指定資源提供者��,并且企業(yè)I的應(yīng)用繼續(xù)進(jìn)行以獲得對云中的資源提供者所提供的資源的訪問的聲明�。在4010�,企業(yè)I的STS被指定作為身份提供者����。就此而言,應(yīng)用為由企業(yè)I處的訂閱者所定義的角色或角色集合獲得聲明�,這由身份提供者來促進(jìn)。在4020����,應(yīng)用基于由企業(yè)2控制的可許可資源以及基 于由訂閱實(shí)體所定義的許可/能力來檢索聲明。在圖40中����,盡管僅僅描繪了一個(gè)STS�����,但是應(yīng)當(dāng)注意��,在數(shù)字托管或聯(lián)合信任覆蓋中可以存在多個(gè)身份提供者STS和/或多個(gè)資源提供者STS���。
圖41是示出了例如諸如企業(yè)I和企業(yè)2之類的多個(gè)企業(yè)間的多方自動(dòng)搜索場景的流程圖��。在4100���,聯(lián)合查詢被企業(yè)I的應(yīng)用接收或發(fā)起以供執(zhí)行����。在4110�,應(yīng)用從資源提供者(企業(yè)2)的STS獲得相關(guān)聲明?�?扇芜x地����,該資源提供者可以在組織標(biāo)簽中指定。STS可以可任選地執(zhí)行用戶角色到查詢組的映射����,使得返回針對該用戶角色的合法查詢集合。在4120���,應(yīng)用基于該用戶角色提交經(jīng)過濾的聲明和查詢����,使得可以有效地提交對應(yīng)于該查詢的聲明����、而不是所有的聲明�����?��?扇芜x地,C KG將能力返回給應(yīng)用(例如陷門聲明)�����,或者CKG拒絕該聲明�����。在4140�,應(yīng)用對遠(yuǎn)程索引執(zhí)行陷門聲明���?;趯h(yuǎn)程索引的處理��,結(jié)果可以被應(yīng)用接收���,并且通過該應(yīng)用例如基于用戶角色使用定制呈現(xiàn)來將結(jié)果呈現(xiàn)給用戶��。該方法可包括接收聯(lián)合查詢(conjunctive query)或以其他方式發(fā)起聯(lián)合查詢的步驟����。就此,可任選地���,聯(lián)合查詢也可以被密碼保護(hù)����,使得沒有陷門(或能力)的接收者(要么為客戶端����、要么為服務(wù)提供者)可以分解聯(lián)合查詢并且確定其組成部分。圖42示出了可以針對可信云服務(wù)實(shí)現(xiàn)的示例性�����、非限制性的邊緣計(jì)算網(wǎng)絡(luò)(ECN)技術(shù)�����。就此����,結(jié)合彼此獨(dú)立操作的可信云組件給多個(gè)動(dòng)態(tài)計(jì)算節(jié)點(diǎn)4270�����、4272�����、4274��、4276動(dòng)態(tài)地分配計(jì)算帶寬����。例如���,密鑰生成中心4220���、存儲(chǔ)抽象服務(wù)4210、組織4230和組織4240可以如所示那樣被實(shí)現(xiàn)為涵蓋多組織業(yè)務(wù)或諸如上述場景之類的其他場景�����。密鑰生成中心4220包括密鑰生成器4222和服務(wù)器OS 4224��。存儲(chǔ)抽象服務(wù)4210包括存儲(chǔ)服務(wù)組件4212和服務(wù)器OS 4214���。組織4230包括STS 4232�、AD 4236和服務(wù)器OS 4234��。組織4240包括STS 4242�、AD 4246和服務(wù)器OS 4244。服務(wù)器OS 4214�、4224、4234��、4244協(xié)作以在服務(wù)器的范圍內(nèi)實(shí)現(xiàn)ECN���。任何存儲(chǔ)提供者或抽象4202都可以用于存儲(chǔ)數(shù)據(jù)�,例如可以使用SQL數(shù)據(jù)服務(wù)����。通過這種方式,一個(gè)或多個(gè)桌面4250�、4252可以分別通過客戶端應(yīng)用4260、4262發(fā)布或訂閱數(shù)據(jù)�。圖43是示出了根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的密鑰生成中心4310的一個(gè)或多個(gè)任選方面的框圖。最初���,諸如桌面4360�、4362之類的計(jì)算設(shè)備的集合和相應(yīng)的客戶端應(yīng)用4370、4372或者服務(wù)或服務(wù)器4374���、4376��、4378等等是云內(nèi)容遞送網(wǎng)絡(luò)4350的潛在發(fā)布者和/或訂閱者�。然而����,在滿足來自該計(jì)算設(shè)備集合中的任何計(jì)算設(shè)備的請求以前,密鑰生成中心最初為了獲得發(fā)布者的信任而充當(dāng)管理人���,該密鑰生成中心基于公鑰對數(shù)據(jù)進(jìn)行加密并且基于數(shù)據(jù)訂閱者的能力向其發(fā)放私鑰�����。在示例性的非限制性的交互中��,來自計(jì)算設(shè)備的請求最初被提供4300�,并且CKG4310的主控者在4380向CKG工廠4302請求CKG 4310的實(shí)例�����。接著��,在4382進(jìn)行用戶認(rèn)證4304�。接著,任何基于使用的計(jì)費(fèi)4384可以由計(jì)費(fèi)系統(tǒng)4306應(yīng)用以供CKG工廠4302使用����。接著,租賃CKG在4386被CKG工廠4302物化����,其可以包括MPK遞送組件4312、客戶端庫下載器4314����、秘密密鑰提取器4316和信任確認(rèn)器/驗(yàn)證者4318。MPK遞送組件4312在4388將MPK遞送給CDN 4350����。客戶端庫下載器4314將密碼庫下載到請求客戶端�����,這些密碼庫可以與要發(fā)布的數(shù)據(jù)的加密或者該設(shè)備訂閱的數(shù)據(jù)的解密結(jié)合使用�。接著���,客戶端基于從與信任驗(yàn)證者4318協(xié)作的秘密密鑰提取器4316所接收的密鑰信息來作出提取給定文檔集合的請求,該信任驗(yàn)證者4318可以基于在4394驗(yàn)證訂閱者的STS拇指紋����、例如基于與該請求所涉及的組織的不同STS 4320、4322�����、4324���、4326進(jìn)行通信來確認(rèn)訂閱者具有某些能力���。如在其他實(shí)施例中,可以提供存儲(chǔ)抽象服務(wù)4340來抽象數(shù)據(jù)庫服務(wù)4330 (例如SQL)的存儲(chǔ)細(xì)節(jié)�����。
圖44是與網(wǎng)絡(luò)服務(wù)4420的遞送相聯(lián)系的可信存儲(chǔ)4400的示例性非限制性的框圖��,該可信存儲(chǔ)4400包括確認(rèn)和/或驗(yàn)證的經(jīng)可搜索地加密的數(shù)據(jù)4410���。在該實(shí)施例中��,訂閱者4440或訂閱者4440所使用的應(yīng)用可以作為訪問經(jīng)加密存儲(chǔ)4400的某些部分的請求的一部分來請求對通過請求確認(rèn)實(shí)際接收的項(xiàng)目也是本應(yīng)當(dāng)接收的項(xiàng)目而返回的項(xiàng)目進(jìn)行確認(rèn)證明�。就此,圖44示出了可搜索加密技術(shù)與確認(rèn)技術(shù)的組合��?����?扇芜x地���,該系統(tǒng)還可以與基于聲明的身份和訪問管理相集成,這在此處的其他實(shí)施例中予以描述�。就此而言,如在此處的各個(gè)實(shí)施例中所描述的那樣�����,亦稱聯(lián)合信任覆蓋的數(shù)字托管模式可以無縫地與更傳統(tǒng)的基于聲明的認(rèn)證系統(tǒng)相集成����。在圖44中,可信數(shù)據(jù)存儲(chǔ)4400或服務(wù)提供者或數(shù)據(jù)存儲(chǔ)的主控者執(zhí)行證明步驟����,而數(shù)據(jù)的所有者(例如訂閱者設(shè)備)執(zhí)行確認(rèn)���。數(shù)據(jù)存儲(chǔ)4400是受信的,因?yàn)橛脩艨梢韵嘈牌涮峁?qiáng)力的保證�����,但是能夠理解�����,物理實(shí)體實(shí)際上主控該數(shù)據(jù)�����,并且一些參與者不是完全受信的�。圖45是用于訂閱的包括確認(rèn)步驟的示例性、非限制性過程的流程圖���。在4500����,經(jīng)可搜索地加密的數(shù)據(jù)的子集被從訂閱者設(shè)備接收��。在4510�����,密碼密鑰信息被從密鑰生成實(shí) 例中生成,該密鑰生成實(shí)例基于訂閱者設(shè)備的身份信息生成該密碼密鑰信息�����。在4520��,根據(jù)在密碼密鑰信息中所定義的賦予給該訂閱者設(shè)備的能力���,經(jīng)加密數(shù)據(jù)的子集被解密。在4530����,該子集中表示的項(xiàng)目可以被確認(rèn)(例如數(shù)據(jù)擁有的證明),并且數(shù)據(jù)在4540被訪問�����。在許多情況下��,所期望的是能夠在不需要對經(jīng)加密數(shù)據(jù)進(jìn)行解密的情況下對經(jīng)加密數(shù)據(jù)執(zhí)行roP/POR��?�?扇芜x地,PDP所需的密鑰信息可以被編碼在曾用可搜索加密被保護(hù)的元數(shù)據(jù)之內(nèi)����。盡管這是管理用于roP/POR的密鑰的有效方式,但是應(yīng)當(dāng)注意����,存在許多高價(jià)值的場景,在這些場景中�����,可以在不需要訪問明文內(nèi)容的情況下對經(jīng)加密數(shù)據(jù)執(zhí)行rop/POR��。圖46示出了示例性����、非限制性的確認(rèn)挑戰(zhàn)/響應(yīng)協(xié)議,其中驗(yàn)證者4600 (例如數(shù)據(jù)所有者)向證明者4610 (例如數(shù)據(jù)服務(wù)提供者)發(fā)出密碼挑戰(zhàn)4620���。在接收到挑戰(zhàn)4620以后��,證明者4610根據(jù)數(shù)據(jù)和挑戰(zhàn)來計(jì)算響應(yīng)4612��。然后��,挑戰(zhàn)響應(yīng)4630被返回給驗(yàn)證者4600���,該驗(yàn)證者4600然后執(zhí)行計(jì)算以驗(yàn)證或證明該數(shù)據(jù)未曾被修改過4602��。在圖46中總體上示出的確認(rèn)被稱為私有H)P��,但是應(yīng)當(dāng)注意��,還存在“公開”版本���,其中給第三方提供密鑰(“公”鑰)使得第三方充當(dāng)根據(jù)類似協(xié)議的驗(yàn)證者,而不必去了解實(shí)際數(shù)據(jù)��。P0R�����,即驗(yàn)證的一個(gè)示例���,與PDP不同,其中PDP提供數(shù)據(jù)是可檢索的證明(無論任何破壞/修改與否)��,但是如下面30所示��,基本協(xié)議是相同的,但是文檔的結(jié)構(gòu)和實(shí)際算法是不同的�����。此處的可信生態(tài)系統(tǒng)的各個(gè)實(shí)施方式組合可搜索加密和P0R/TOR以使系統(tǒng)收益并且鞏固信任��。就此�,在將數(shù)據(jù)提交給服務(wù)提供者以前,數(shù)據(jù)被可搜索地加密��,并且對數(shù)據(jù)的后處理可以包括POR和/或TOP���。另外�����,如果需要提供更力的保證�����,則“數(shù)據(jù)分散(dispersion)”技術(shù)可以可任選地覆蓋到上述任何一個(gè)或多個(gè)實(shí)施例中����。利用數(shù)據(jù)分散,數(shù)據(jù)被分發(fā)給若干服務(wù)提供者以獲得對抗任何單個(gè)服務(wù)提供者中的“大規(guī)模不良行為”或者災(zāi)難性損失的回復(fù)力��。使用在此所示的信任機(jī)制�,該分散以使得獨(dú)立服務(wù)提供者難以串通和破壞數(shù)據(jù)的方式來執(zhí)行。這類似于上述分布式CKG實(shí)施例的概念�����。圖47是與用于來自發(fā)布者2530的數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)2520的遞送相聯(lián)系的可信存儲(chǔ)2500的另一示例性非限制性的框圖��,該可信存儲(chǔ)2500包括具有確認(rèn)和/或驗(yàn)證的經(jīng)可搜索地加密的數(shù)據(jù)2510�����。具體而言��,圖47示出了驗(yàn)證組件4750���,其用于驗(yàn)證返回給訂閱者2540的項(xiàng)目未被篡改或者以其他方式被不經(jīng)意地改變。上述PDP是驗(yàn)證的非限制性示例���。圖48是用于訂閱的包括確認(rèn)步驟的示例性��、非限制性過程的流程圖���。在4800�����,經(jīng)可搜索地加密的數(shù)據(jù)的子集被從訂閱者設(shè)備接收�。在4810����,密碼密鑰信息被從密鑰生成實(shí)例中生成,該密鑰生成實(shí)例基于訂閱者設(shè)備的身份信息生成該密碼密鑰信息��。在4820����,根據(jù)在密碼密鑰信息中所定義的賦予給該訂閱者設(shè)備的能力,經(jīng)加密數(shù)據(jù)的子集被解密�。在4830,該子集中表示的項(xiàng)目的內(nèi)容可以被驗(yàn)證(例如檢索能力的證明)���,并且數(shù)據(jù)在4840被訪問��。圖49示出了示例性�、非限制性的驗(yàn)證挑戰(zhàn)/響應(yīng)協(xié)議�����,其中驗(yàn)證者4900 (例如數(shù)據(jù)所有者)向證明者4910 (例如數(shù)據(jù)服務(wù)提供者)發(fā)出密碼挑戰(zhàn)4920。在接收到挑戰(zhàn)4920以后���,證明者4910根據(jù)數(shù)據(jù)和挑戰(zhàn)來計(jì)算響應(yīng)4912��。然后����,挑戰(zhàn)響應(yīng)4930被返回給驗(yàn)證者 4900��,該驗(yàn)證者4900然后執(zhí)行計(jì)算以驗(yàn)證或證明該數(shù)據(jù)是可檢索的4902�。盲指紋表示擴(kuò)展網(wǎng)絡(luò)去重復(fù)技術(shù)(諸如Rabin指紋)的另一類密碼技術(shù),網(wǎng)絡(luò)去重復(fù)技術(shù)通常用于最小化網(wǎng)絡(luò)上的冗余數(shù)據(jù)交換�����。在本文的各實(shí)施例中���,應(yīng)用指紋化(fingerprinting)以使得該協(xié)議中的參與者(例如,在數(shù)據(jù)存儲(chǔ)的情況下是該CSP)不知曉它們正在主存的數(shù)據(jù)的實(shí)際內(nèi)容��。對于關(guān)于盲指紋的某些附加上下文,數(shù)據(jù)跨越廣域網(wǎng)(WAN)的任何大數(shù)據(jù)交換(包括數(shù)據(jù)的維護(hù))將需要用于通過線“去重復(fù)”的技術(shù)���,或者確保非必要數(shù)據(jù)不通過線發(fā)送����。通過將數(shù)據(jù)的片段指紋化,并隨后交換指紋以使得發(fā)送者知曉它們具有而接收者所不具有的東西���,來實(shí)現(xiàn)這一點(diǎn)����。而且����,接收者知曉它們需要向發(fā)送者索要什么數(shù)據(jù)??墒褂梅植际轿募?wù)重復(fù)(DFS-R)來優(yōu)化各場景中的數(shù)據(jù)交換,諸如通過WAN的分支辦公室備份和分布式文件系統(tǒng)����。在交換的情況下,存在大量數(shù)據(jù)重復(fù)�,并且在任何給定時(shí)間在線上的可能多達(dá)50%或者更多的數(shù)據(jù)可能是重復(fù)的?�?稍趬K等級(jí)或在對象等級(jí)(例如��,電子郵件、日歷項(xiàng)����、任務(wù)、聯(lián)系人等)獲得指紋��??稍谥饕痛我獢?shù)據(jù)中心處高速緩存指紋。因此��,如果在主要數(shù)據(jù)中心處存在失敗,則次要數(shù)據(jù)連同指紋可被還原到主要數(shù)據(jù)中心�����。主要數(shù)據(jù)中心處的數(shù)據(jù) 的加密仍應(yīng)允許指紋對次要數(shù)據(jù)中心操作者可見����,盡管是被模糊化的。例如��,這可以通過用可搜索加密將指紋存儲(chǔ)為關(guān)鍵詞/元數(shù)據(jù)來實(shí)現(xiàn)�,以使得除了次要數(shù)據(jù)中心中的授權(quán)實(shí)體/代理外,其他實(shí)體均不能夠檢測到模式���。在數(shù)據(jù)服務(wù)的上下文中����,當(dāng)發(fā)送全文或增量時(shí)����,主要數(shù)據(jù)中心可檢查日志或EDB中的每個(gè)項(xiàng)/片段/塊,并咨詢指紋的本地副本���。如果存在匹配��,則該主要數(shù)據(jù)中心用該指紋取代該項(xiàng)/片段/塊����。因?yàn)閼?yīng)用指紋化的方式����,術(shù)語“盲指紋”在本文中被如此稱呼。在一個(gè)實(shí)施例中�,用來實(shí)現(xiàn)盲指紋化的密碼技術(shù)選擇包括大小保留密碼技術(shù)。圖50是用于提供服務(wù)(包括盲指紋化(blind fingerprinting))的一個(gè)或多個(gè)實(shí)施例的總體環(huán)境的框圖���。使用盲指紋���,數(shù)據(jù)訂閱者5000和數(shù)據(jù)服務(wù)提供者5010經(jīng)歷指紋交換以作為代理來理解在被備份的數(shù)據(jù)集合的各本地和備份副本上已經(jīng)擁有什么數(shù)據(jù)片段��。作為指紋交換5020的結(jié)果�����,在5002確定要傳送的修改數(shù)據(jù)的減少集合作為到數(shù)據(jù)服務(wù)提供者5010的去重復(fù)修改數(shù)據(jù)5030��,數(shù)據(jù)服務(wù)提供者5030然后基于選擇性地訪問經(jīng)去重復(fù)的修改數(shù)據(jù)和任何盲指紋5040來應(yīng)用修改數(shù)據(jù)�。圖51是示出了非限制性場景的框圖�����,在該場景中�,多個(gè)獨(dú)立的聯(lián)合信任覆蓋或者數(shù)字托管可以并排存在,或者針對分層方式彼此相疊地存在�����。在該場景中���,存在具有經(jīng)可搜索地加密的數(shù)據(jù)5110的可信數(shù)據(jù)存儲(chǔ)5100����,各種網(wǎng)絡(luò)服務(wù)5120可以基于該數(shù)據(jù)5110。例如���,網(wǎng)絡(luò)服務(wù)5120可以包括作為云服務(wù)遞送文字處理軟件����。作為地理分布等的一部分����,可任選地�,可以提供多個(gè)覆蓋/托管5132、5134��、5136���,這些覆蓋/托管每個(gè)都適應(yīng)于不同的應(yīng)用/垂直面/順應(yīng)需要/統(tǒng)治實(shí)體要求��,使得發(fā)布者2530或訂閱者5150基于要求的集合或管轄權(quán)/住所區(qū)域來隱式或顯示地選擇正確的覆蓋/托管�����。因此���,該覆蓋可以改變,但是來自云的后端服務(wù)可以保持不變,而不必使核心服務(wù)本身的遞送復(fù)雜化�����。圖52是可信存儲(chǔ)的另一示例性����、非限制性實(shí)施例的框圖,該可信存儲(chǔ)包括用于針對非授權(quán)訪問模糊化(obscure)數(shù)據(jù)的數(shù)據(jù)分發(fā)技術(shù)����。本示例展示提供加密技術(shù)作為用于隱藏或模糊化數(shù)據(jù)的手段的所有上述技術(shù)或系統(tǒng)也可通過阻止對數(shù)據(jù)(或元數(shù)據(jù))的
可見性的任何其他數(shù)學(xué)變換或算法來實(shí)現(xiàn)。就此���,例如����,可跨越一組數(shù)據(jù)存儲(chǔ)自動(dòng)地整合(defragment)或分散數(shù)據(jù)���,該組數(shù)據(jù)存儲(chǔ)可以是相同類型的容器�����,或如圖52所示是不同類型的容器 5212�����、5214�、......、5216����。因此該系統(tǒng)包括數(shù)據(jù)存儲(chǔ)5200,該數(shù)據(jù)存儲(chǔ)包括(作為抽象)用于選擇性地存儲(chǔ)可訪問數(shù)據(jù)或元數(shù)據(jù)5210的數(shù)據(jù)存儲(chǔ)5212����、5214��、……�����、5216�����。發(fā)布者可將表示至少一個(gè)資源的數(shù)據(jù)或元數(shù)據(jù)5210發(fā)布到數(shù)據(jù)存儲(chǔ)5200���,并且第一獨(dú)立實(shí)體5250執(zhí)行可應(yīng)用于如所發(fā)布的該數(shù)據(jù)和元數(shù)據(jù)的訪問信息的生成�,并且第二獨(dú)立實(shí)體5260將如所發(fā)布的該數(shù)據(jù)和元數(shù)據(jù)跨越數(shù)據(jù)存儲(chǔ)5200的一組數(shù)據(jù)存儲(chǔ)發(fā)布,同時(shí)維護(hù)對存儲(chǔ)如所發(fā)布的該數(shù)據(jù)或元數(shù)據(jù)的該組數(shù)據(jù)存儲(chǔ)的知識(shí)����。因此本知識(shí)是在無訪問信息的情況下可揭示的秘密??山?jīng)由網(wǎng)絡(luò)服務(wù)5220發(fā)布數(shù)據(jù)或元數(shù)據(jù)5210,該網(wǎng)絡(luò)服務(wù)5220基于由該至少一個(gè)資源的發(fā)布者或所有者所授予的并由訪問信息表示的所選擇的后期綁定特權(quán)對向該網(wǎng)絡(luò)服務(wù)的給定請求提供對如所發(fā)布的該數(shù)據(jù)或元數(shù)據(jù)的選擇性訪問�����。該數(shù)據(jù)存儲(chǔ)5200包括相同或不同容器類型的多個(gè)容器����,而如所發(fā)布的該數(shù)據(jù)或元數(shù)據(jù)被跨越該多個(gè)容器中的至少一個(gè)容器自動(dòng)分布。該分布可基于數(shù)據(jù)發(fā)布者5260已知的任何算法��,例如�����,基于對由多個(gè)容器所表示的存儲(chǔ)資源的分析��、基于該數(shù)據(jù)或元數(shù)據(jù)的特征����、或?qū)υ摻o定應(yīng)用適當(dāng)?shù)娜魏纹渌麉?shù)�����。相應(yīng)地����,當(dāng)訂閱者5240對數(shù)據(jù)或元數(shù)據(jù)5210做出請求時(shí)����,網(wǎng)絡(luò)服務(wù)咨詢獨(dú)立實(shí)體5250和/或5260以確定是否準(zhǔn)許訂閱者5240具有允許重組該數(shù)據(jù)的訪問信息。例如���,數(shù)據(jù)地圖可以是準(zhǔn)許該數(shù)據(jù)的重組的秘密�����。可將此實(shí)施例與其他數(shù)學(xué)變換(諸如加密)相組合以提供對該數(shù)據(jù)的附加保護(hù)�����。這種附加數(shù)學(xué)變換可由進(jìn)一步的獨(dú)立實(shí)體監(jiān)督以用于信任的附加分布以獲得該數(shù)據(jù)除對授權(quán)方外保持不可見的進(jìn)一步滿足��。在此描述了多種示例性�����、非限制性的實(shí)施例,這些實(shí)施例示出了可信數(shù)據(jù)服務(wù)的遞送���。這些實(shí)施例不是獨(dú)立的�,而是可以在合適時(shí)彼此組合�。另外,任何上述實(shí)施例都可以被擴(kuò)展為多個(gè)可替代方式��。例如���,在一個(gè)實(shí)施例中�����,可信數(shù)據(jù)服務(wù)提供陷門或能力的到期和撤銷��,以獲得數(shù)據(jù)訪問的更大程度的安全性���。在另一任選實(shí)施例中,權(quán)限管理層被構(gòu)建到可信數(shù)據(jù)服務(wù)的提供中��,例如以保護(hù)作為加密/解密的一部分附加于內(nèi)容的權(quán)限或者阻止在數(shù)據(jù)托管中對受版權(quán)保護(hù)數(shù)據(jù)的操作�,這些操作在明文中是可容易地識(shí)別或檢測的���。因此,在本發(fā)明的范圍內(nèi)可以構(gòu)思在此所述的實(shí)施例的任何組合或置換�。示例性、非限定性的實(shí)施方式數(shù)字托管模式的任何示例性實(shí)施方式被稱為聯(lián)合信任覆蓋(FT0)����。在附錄A中附有一些關(guān)于FTP實(shí)施方式的附加的非限制性細(xì)節(jié)。就此而言���,數(shù)字托管模式僅僅是許多可能的模式和變型方案的一個(gè)示例����。此外�,該模式(其包括發(fā)布者、訂閱者���、管理員和審計(jì)者——以及可能地其他專用角色,這如上述那樣)在另一底層FTO模式上分層����,該底層FTO模式對CTP、CSP�、CKG等等執(zhí)行“教會(huì)和州(church & state)”分離以維持信任�。也可以存在多個(gè)獨(dú)立FTO和DEP�����,其可以在彼此不干涉并且甚至不知道彼此的存在的情況下共存�。而且,可以在云存儲(chǔ)服務(wù)提供者不協(xié)作或者甚至不了解這些模式/覆蓋的存在的情況下在云存儲(chǔ)上覆蓋DEP和FTO�����。更詳細(xì)而言�����,F(xiàn)TO是獨(dú)立于云中數(shù)據(jù)服務(wù)的服務(wù)集合����。這些服務(wù)由數(shù)據(jù)服務(wù)的運(yùn)營商以外的多方來運(yùn)行,并且能夠提供關(guān)于針對由云服務(wù)主控的數(shù)據(jù)的機(jī)密性����、篡改檢測和不可抵賴性的強(qiáng)力保證。任何伙伴都可以構(gòu)造和主控這些覆蓋服務(wù)���,例如居間程序服務(wù)�����、確認(rèn)服務(wù)�、存儲(chǔ)抽象服務(wù)等等。這些伙伴可以選擇主控參考實(shí)施方式或者基于公開可用的格式和協(xié)議來構(gòu)造其自己的實(shí)施方式�����。由于格式�、協(xié)議和參考實(shí)施方式的公開性質(zhì),可用直接維持諸如FTO的運(yùn)營商和數(shù)據(jù)所有者之類的多方間的控制的分離����。盡管加密是該解決方案的一個(gè)元素,但是在不同方的范圍內(nèi)聯(lián)合的服務(wù)的組織也是該解決方案的一部分�。盡管常規(guī)的加密技術(shù)對于許多場景而言是強(qiáng)制性的,但是它們排除了實(shí)現(xiàn)這些場景中的許多場景���,比如篡改檢測�、不可抵賴性�、通過組織多個(gè)(不受信任)的服務(wù)構(gòu)建信任、搜索數(shù)據(jù)庫等等�。補(bǔ)充上下文如上所述���,對于某些附加的非限制性上下文而言����,可信云供應(yīng)集合為構(gòu)建于信任之上的云實(shí)現(xiàn)了應(yīng)用生態(tài)系統(tǒng)。在此所使用的各種技術(shù)包括CKG——密鑰生成中心��,一種實(shí)體��,其主控多承租人密鑰生成中心����,例如Microsoft、VeriSign����、Fidelity (保真度)、ASovereign Entity (統(tǒng)治實(shí)體)���、Enterprise (企業(yè))���、Compliance Entity (順應(yīng)實(shí)體)等中的任一都可以主控CKG。就此而言��,多承租人是任選的(例如期望但不是強(qiáng)制性的)。其他術(shù)語包括CTP——密碼技術(shù)提供者�,一種實(shí)體,其提供加密技術(shù)以供與受信生態(tài)系統(tǒng)一起使用��,例如 Symantec���、Certicom���、Voltage、PGP 公司�、BitArmor、Enterprise���、Guardian��、SovereignEntity等等中的任一是可以為CTP的示例性公司�。另外����,術(shù)語“CSP”——云服務(wù)提供者是提供包括存儲(chǔ)在內(nèi)的云服務(wù)的實(shí)體。各種公司可以提供這樣的數(shù)據(jù)服務(wù)�。CIV—云索引確認(rèn)器是用于確認(rèn)所返回的索引的第二庫。CSA——計(jì)算和存儲(chǔ)抽象對存儲(chǔ)后端進(jìn)行抽象��。STF——存儲(chǔ)傳輸格式是用于跨多個(gè)庫傳輸數(shù)據(jù)/元數(shù)據(jù)的通用格式。就此�,如上所述,一些企業(yè)場景包括使用數(shù)據(jù)服務(wù)技術(shù)或應(yīng)用的工程外聯(lián)網(wǎng)�;設(shè)計(jì)和工程分析�;定義制造商和供應(yīng)商間的數(shù)據(jù)關(guān)系等等。因此���,通過將信任分布在多個(gè)實(shí)體的范圍內(nèi)使得不存在過分摂受信任的實(shí)體或單點(diǎn)損害來為全部多個(gè)場景實(shí)現(xiàn)了唯一的生態(tài)系統(tǒng)��。
對于關(guān)于可搜索加密的某些補(bǔ)充上下文而言�,用戶通常具有或獲得針對關(guān)鍵詞的“能力”或“陷門”���,并且然后發(fā)送請求���,其中使用該“能力”將其呈現(xiàn)給服務(wù)器。服務(wù)器“組合”能力和索引以找出相關(guān)的文檔或數(shù)據(jù)��。然后��,僅僅給用戶提供對由該搜索產(chǎn)生的文檔的訪問(雖然用戶可以訪問不止這些文檔)����。如所提到的那樣,不應(yīng)當(dāng)認(rèn)為單個(gè)算法限制了在此所述的經(jīng)可搜索地加密的數(shù)據(jù)存儲(chǔ)的提供,然而�,下面總體上概述了示例性非限制性算法后面的一些理論,并且提供了可搜索對稱加密(SSE)模式的初步知識(shí) 消息m
關(guān)鍵詞 J1, . . .�����,Wn PRF:H 生成托管密鑰 針對H選擇隨機(jī)S 加密 選擇隨機(jī)密鑰K 選擇隨機(jī)固定長度r 對于 KiSn計(jì)算Si=Hs (Wi)計(jì)算IDi=Hai (r)計(jì)算Ci= bi flag輸出(Ek(m), r, C1, . . . , cn) 針對w生成陷門或能力 d=HSJ (W) 針對w進(jìn)行測試 計(jì)算 p=Hd (r) 計(jì)算 Z = p Ci 如果z=f lag����,則輸出“真” 對Ek(m)進(jìn)行解密以獲得m盡管再次不應(yīng)當(dāng)認(rèn)為限制了在此所述的任何實(shí)施例,但是下面是關(guān)于公鑰加密w/關(guān)鍵詞搜索(PEKS)模式的初步知識(shí)���。公鑰加密a. PKE= (Gen, Enc, Dec)基于身份的加密b. IBE= (Gen, Enc, Extract, Dec)c.生成主密鑰i. (msk, mpk) =IBE. Gen ()d.針對ID對m進(jìn)行加密i. C=IBE. Enc (mpk, ID, m)e.針對ID生成秘密密鑰i. sk=IBE. Extract (msk, ID)
f.解密i. m=IBE. Dec (sk, c)g.消息mh.關(guān)鍵詞 w�,. . .�,wni.生成托管密鑰i. (msk, mpk) =IBE. Gen ()ii(pk, sk) =PKE. Gen ()j.加密 k.對于 KiSni. Ci=IBE. Enc (mpk, Wi, flag)I 返回(PKE. Enc (pk, m),C1, , cn)m.為w生成能力或陷門i. d=IBE. Extract (msk, w)n.針對w進(jìn)行測試0.對于 KiSni. Z=IBE. Dec (d, Ci)ii如果z=flag,則輸出“真”對Ek (m)進(jìn)行解密以獲得m示例性聯(lián)網(wǎng)以及分布式環(huán)境本領(lǐng)域普通技術(shù)人員可以理解��,此處所描述的用于可信云服務(wù)框架的方法和設(shè)備的各實(shí)施例和有關(guān)的各實(shí)施例可以結(jié)合任何計(jì)算機(jī)或其它客戶端或服務(wù)器設(shè)備來實(shí)現(xiàn)�����,該任何計(jì)算機(jī)或其它客戶端或服務(wù)器設(shè)備可作為計(jì)算機(jī)網(wǎng)絡(luò)的一部分來部署或者被部署在分布式計(jì)算環(huán)境中���,并且可以連接到任何種類的數(shù)據(jù)存儲(chǔ)�����。在這一點(diǎn)上��,此處描述的各實(shí)施例可在具有任何數(shù)量的存儲(chǔ)器或存儲(chǔ)單元的��、并且任何數(shù)量的應(yīng)用和進(jìn)程跨任何數(shù)量的存儲(chǔ)單元發(fā)生的任何計(jì)算機(jī)系統(tǒng)或環(huán)境中實(shí)現(xiàn)��。這包括但不限于具有部署在具有遠(yuǎn)程或本地存儲(chǔ)的網(wǎng)絡(luò)環(huán)境或分布式計(jì)算環(huán)境中的服務(wù)器計(jì)算機(jī)和客戶計(jì)算機(jī)的環(huán)境����。附圖53提供了示例性聯(lián)網(wǎng)或分布式計(jì)算環(huán)境的非限制性性示意圖�����。該分布式計(jì)算環(huán)境包括計(jì)算對象5310���、5312等以及計(jì)算對象或設(shè)備5320�、5322��、5324����、5326����、5328等���,這些計(jì)算對象或設(shè)備可包括如由應(yīng)用程序5330�、5332����、5334、5336����、5338表示的程序、方法�、數(shù)據(jù)存儲(chǔ)、可編程邏輯等����。能夠理解,對象5310���、5312等以及計(jì)算對象或設(shè)備5320�、5322���、5324�����、5326��、5328等可包括不同的設(shè)備�,比如PDA、音頻/視頻設(shè)備����、移動(dòng)電話�、MP3播放器、膝上型計(jì)算機(jī)等�。每一個(gè)對象5310、5312等以及計(jì)算對象或設(shè)備5320�、5322、5324�、5326、5328等可通過通信網(wǎng)絡(luò)5340直接或間接與一個(gè)或多個(gè)其他對象5310�、5312等以及計(jì)算對象或設(shè)備5320、5322�、5324、5326���、5328等進(jìn)行通信�����。即使在圖53中被示為單個(gè)元件���,但網(wǎng)絡(luò)5340可包括向圖53的系統(tǒng)提供服務(wù)的其他計(jì)算對象或解釋設(shè)備����,和/或可表示未示出的多個(gè)互連網(wǎng)絡(luò)����。每個(gè)對象5310、5312等或5320��、5322�����、5324����、5326、5328等還可包含諸如應(yīng)用程序5330���、5332���、5334�、5336����、5338之類的應(yīng)用程序,該應(yīng)用程序可利用API或適用于與根據(jù)本發(fā)明的各實(shí)施例來提供的可信云計(jì)算服務(wù)進(jìn)行通信或適用于實(shí)現(xiàn)可信云計(jì)算服務(wù)的其他對象���、軟件�����、固件和/或硬件�。存在支持分布式計(jì)算環(huán)境的各種系統(tǒng)����、組件和網(wǎng)絡(luò)配置����。例如,計(jì)算系統(tǒng)可由有線或無線系統(tǒng)���、本地網(wǎng)絡(luò)或廣泛分布的網(wǎng)絡(luò)連接在一起�。當(dāng)前,許多網(wǎng)絡(luò)被耦合至因特網(wǎng)���,后者為廣泛分布的計(jì)算提供了基礎(chǔ)結(jié)構(gòu)并包含許多不同的網(wǎng)絡(luò)�����,但任何網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)可用于變得與如各實(shí)施例中所描述的技術(shù)相關(guān)聯(lián)的示例性通信�。由此�,可使用諸如客戶端/服務(wù)器、對等���、或混合體系結(jié)構(gòu)之類的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的主機(jī)���。在客戶端/服務(wù)器體系結(jié)構(gòu)中,尤其在聯(lián)網(wǎng)系統(tǒng)中�����,客戶端通常是訪問另一計(jì)算機(jī)(例如�,服務(wù)器)所提供的共享網(wǎng)絡(luò)資源的計(jì)算機(jī)。在圖53的圖示中,作為非限制性示例��,計(jì)算機(jī)5320�����、5322�、5324、5326���、5328等可被認(rèn)為是客戶端而計(jì)算機(jī)5310����、5312等可被認(rèn)為是服務(wù)器�����,其中服務(wù)器5310���、5312等提供數(shù)據(jù)服務(wù)���,諸如從客戶端計(jì)算機(jī)5320�����、5322、5324���、5326����、5328等接收數(shù)據(jù)�、存儲(chǔ)數(shù)據(jù)、處理數(shù)據(jù)��、向客戶端計(jì)算機(jī)5320�、5322、5324���、5326��、5328發(fā)送數(shù)據(jù)等����,但任何計(jì)算機(jī)都可取決于環(huán)境而被認(rèn)為是客戶端���、服務(wù)器或兩者���。這些計(jì)算設(shè)備中的任一個(gè)都可以處理數(shù)據(jù)����,或請求可指示此處所描述的技術(shù)的 經(jīng)改善的用戶簡檔和相關(guān)技術(shù)的服務(wù)或任務(wù)���。服務(wù)器通常是可通過諸如因特網(wǎng)或無線網(wǎng)絡(luò)基礎(chǔ)架構(gòu)之類的遠(yuǎn)程網(wǎng)絡(luò)或本地網(wǎng)絡(luò)訪問的遠(yuǎn)程計(jì)算機(jī)系統(tǒng)����?��?蛻舳诉M(jìn)程可在第一計(jì)算機(jī)系統(tǒng)中活動(dòng)�,而服務(wù)器進(jìn)程可在第二計(jì)算機(jī)系統(tǒng)中活動(dòng)����,它們通過通信介質(zhì)相互通信,由此提供分布式功能并允許多個(gè)客戶端利用服務(wù)器的信息收集能力�。按照用戶簡檔來利用的任何軟件對象可以單獨(dú)提供或跨多個(gè)計(jì)算設(shè)備或?qū)ο蠓植肌T谄渲型ㄐ啪W(wǎng)絡(luò)/總線5340是因特網(wǎng)的網(wǎng)絡(luò)環(huán)境中���,服務(wù)器5310���、5312等可以是客戶端5320����、5322��、5324�、5326���、5328等通過諸如超文本傳輸協(xié)議(HTTP)等多種已知協(xié)議中的任一種與其通信的web服務(wù)器���。服務(wù)器5310、5312等也可擔(dān)當(dāng)客戶端5320�����、5322�、5324、5326�、5328等,這是分布式計(jì)算環(huán)境的特性�。示例性計(jì)算設(shè)備如所提到的那樣,此處描述的各實(shí)施例適用于其中可能期望實(shí)現(xiàn)可信云服務(wù)框架的一個(gè)或多個(gè)部分的任何設(shè)備��。因此�����,應(yīng)當(dāng)理解,構(gòu)思了結(jié)合此處描述的各實(shí)施例使用的手持式����、便攜式和其它計(jì)算設(shè)備和計(jì)算對象,即在設(shè)備可以結(jié)合可信云服務(wù)框架來提供某些功能的任何地方���。因此���,在下面的圖54中描述的以下通用遠(yuǎn)程計(jì)算機(jī)僅是一個(gè)示例,且所公開的主題的各實(shí)施例可用具有網(wǎng)絡(luò)/總線互操作性和交互的任何客戶端來實(shí)現(xiàn)�����。盡管并不是必需的��,但各實(shí)施例的任意一個(gè)可以部分地經(jīng)由操作系統(tǒng)來實(shí)現(xiàn)�,以供設(shè)備或?qū)ο蟮姆?wù)開發(fā)者使用,和/或被包括在結(jié)合可操作組件來操作的應(yīng)用軟件中��。軟件可以在由諸如客戶端工作站���、服務(wù)器或其它設(shè)備等一個(gè)或多個(gè)計(jì)算機(jī)執(zhí)行的諸如程序模塊等計(jì)算機(jī)可執(zhí)行指令的通用上下文中描述�。本領(lǐng)域的技術(shù)人員可以理解,網(wǎng)絡(luò)交互可以用各種計(jì)算機(jī)系統(tǒng)配置和協(xié)議來實(shí)施�����。因此���,圖54示出了其中可實(shí)現(xiàn)一個(gè)或多個(gè)實(shí)施例的合適的計(jì)算系統(tǒng)環(huán)境5400的一個(gè)示例,盡管如上所述�,計(jì)算系統(tǒng)環(huán)境5400僅為合適的計(jì)算環(huán)境的一個(gè)示例,并非旨在對各實(shí)施例中的任意一個(gè)的使用范圍或功能提出任何限制�。也不應(yīng)該將計(jì)算環(huán)境5400解釋為對示例性操作環(huán)境5400中示出的任一組件或其組合有任何依賴性或要求。參考圖54�,用于實(shí)現(xiàn)此處的一個(gè)或多個(gè)實(shí)施例的示例性遠(yuǎn)程設(shè)備可以包括手持式計(jì)算機(jī)5410形式的通用計(jì)算設(shè)備。手持式計(jì)算機(jī)5410的組件可以包括但不限于處理單元5420�����、系統(tǒng)存儲(chǔ)器5430和將包括系統(tǒng)存儲(chǔ)器在內(nèi)的各種系統(tǒng)組件耦合至處理單元5420的系統(tǒng)總線5421����。計(jì)算機(jī)5410通常包括各種計(jì)算機(jī)可讀介質(zhì),并且可以是可由計(jì)算機(jī)5410訪問的任何可用介質(zhì)�����。系統(tǒng)存儲(chǔ)器5430可包括諸如只讀存儲(chǔ)器(ROM)和/或隨機(jī)存取存儲(chǔ)器(RAM)之類的易失性和/或非易失性存儲(chǔ)器形式的計(jì)算機(jī)存儲(chǔ)介質(zhì)。作為示例而非限制性���,存儲(chǔ)器5430還可以包括操作系統(tǒng)�、應(yīng)用程序��、其他程序模塊����、和程序數(shù)據(jù)。
用戶可以通過輸入設(shè)備5440向計(jì)算機(jī)5410輸入命令和信息�����。監(jiān)視器或其他類型的顯示設(shè)備也經(jīng)由諸如輸出接口 5450之類的接口連接到系統(tǒng)總線5421�。除監(jiān)視器之外,計(jì)算機(jī)還可以包括其他外圍輸出設(shè)備���,如揚(yáng)聲器和打印機(jī)��,它們可以通過輸出接口 5450連接����。計(jì)算機(jī)5410可使用到一個(gè)或多個(gè)其他遠(yuǎn)程計(jì)算機(jī)(諸如遠(yuǎn)程計(jì)算機(jī)5470)的邏輯連接在聯(lián)網(wǎng)或分布式環(huán)境中操作。遠(yuǎn)程計(jì)算機(jī)5470可以是個(gè)人計(jì)算機(jī)��、服務(wù)器�、路由器、網(wǎng)絡(luò)PC�、對等設(shè)備或其他常見網(wǎng)絡(luò)節(jié)點(diǎn)、或者任何其他遠(yuǎn)程媒體消費(fèi)或傳輸設(shè)備�����,并且可包括以上關(guān)于計(jì)算機(jī)5410所述的任何或全部元件��。圖54所示的邏輯連接包括諸如局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)之類的網(wǎng)絡(luò)5471���,但也可包括其他網(wǎng)絡(luò)/總線。這些聯(lián)網(wǎng)環(huán)境在家庭����、辦公室、企業(yè)范圍的計(jì)算機(jī)網(wǎng)絡(luò)�、內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中是常見的。如上所述�����,盡管結(jié)合各計(jì)算設(shè)備����、網(wǎng)絡(luò)和廣告架構(gòu)描述了示例性實(shí)施例���,但還可將底層概念應(yīng)用于其中期望結(jié)合與云服務(wù)的交互來提供信任的任何網(wǎng)絡(luò)系統(tǒng)和任何計(jì)算設(shè)備或系統(tǒng)。有多種實(shí)現(xiàn)此處描述的一個(gè)或多個(gè)實(shí)施例的方式����,例如,使應(yīng)用和服務(wù)能使用可信云服務(wù)框架的適當(dāng)API���、工具包����、驅(qū)動(dòng)程序代碼�����、操作系統(tǒng)����、控件、獨(dú)立或可下載的軟件對象等等���?����?梢詮腁PI (或其他軟件對象)的觀點(diǎn)以及從提供根據(jù)所描述的實(shí)施例中的一個(gè)或多個(gè)的定點(diǎn)平臺(tái)的軟件或硬件對象來構(gòu)想各實(shí)施例����。此處描述的各種實(shí)現(xiàn)和實(shí)施例可以具有完全采用硬件、部分采用硬件并且部分采用軟件���、以及采用軟件的方面�。本文中所使用的詞語“示例性”意味著用作示例���、實(shí)例、或說明�����。為避免疑惑���,本文所公開的主題不限于這些示例����。另外,本文中被描述為“示例性”的任何方面或設(shè)計(jì)不一定被解釋為比其他方面或設(shè)計(jì)更優(yōu)選或有利���,它也不意味著排除本領(lǐng)域普通技術(shù)人員已知的等效示例性結(jié)構(gòu)和技術(shù)���。而且,就術(shù)語“包括”����、“具有”、“包含”和其他類似的詞語在詳細(xì)描述或權(quán)利要求書中的使用而言����,為避免疑惑,這樣的術(shù)語旨在以類似于術(shù)語“包括”作為開放的過渡詞的方式解釋而不排除任何附加或其他元素����。如所述的,此處所述的各種技術(shù)可結(jié)合硬件或軟件或��,在適當(dāng)時(shí)�,以兩者的組合來實(shí)現(xiàn)。如此處所使用的�����,術(shù)語“組件”、“系統(tǒng)”等同樣旨在指計(jì)算機(jī)相關(guān)實(shí)體�����,或者是硬件��、硬件和軟件的組合�����、軟件或者是執(zhí)行中的軟件�����。例如���,組件可以是����,但不限于是���,在處理器上運(yùn)行的進(jìn)程、處理器��、對象、可執(zhí)行碼��、執(zhí)行的線程���、程序和/或計(jì)算機(jī)�����。作為說明��,在計(jì)算機(jī)上運(yùn)行的應(yīng)用和計(jì)算機(jī)都可以是組件�����。一個(gè)或多個(gè)組件可以駐留在進(jìn)程和/或執(zhí)行線程中���,并且組件可以位于一個(gè)計(jì)算機(jī)內(nèi)和/或分布在兩個(gè)或更多計(jì)算機(jī)之間。如前所述的系統(tǒng)已經(jīng)參考若干組件之間的交互來描述�。可以理解��,這些系統(tǒng)和組件可包括組件或指定的子組件�、某些指定的組件或子組件和/或附加的組件,并且根據(jù)上述內(nèi)容的各種置換和組合�����。子組件還可作為通信地耦合到其他組件的組件來實(shí)現(xiàn),而不是被包括在父組件內(nèi)(層次性)�。另外,應(yīng)該注意���,一個(gè)或多個(gè)組件也可以合并到提供聚合功能的單一組件中���,或者也可以分成多個(gè)單獨(dú)的子組件,并且�,可以提供諸如管理層之類的任何一個(gè)或更多中間層,以可通信地耦合到這樣的子組件�����,以便提供集成的功能�����。此處所述的任何組件也可與一個(gè)或多個(gè)此處未專門描述的但本領(lǐng)域技術(shù)人員一般已知的其他組件進(jìn)行交互����??紤]到以上描述的示例性系統(tǒng)�����,參考各附圖的流程圖將可以更好地理解依照所公開的主題實(shí)現(xiàn)的方法�����。盡管為了說明簡潔起見�����,按照一系列框示出和描述了方法��,但是��,應(yīng)該理解和知道��,所要求保護(hù)的主題不限于框的順序����,因?yàn)橐恍┛蚩梢园磁c此處所描繪和描述的不同的順序進(jìn)行和/或與其它框并發(fā)地進(jìn)行�。盡管經(jīng)由流程圖示出了非順序或分支的流程,但可以理解����,可實(shí)現(xiàn)達(dá)到相同或類似結(jié)果的各種其他分支�����、流程路徑和框的次序���。此夕卜,并非全部所示的框都是實(shí)現(xiàn)下面所述的方法所必需的�。雖然在某些實(shí)施例中,說明了客戶端側(cè)觀點(diǎn)�,但要出于避免存在相對應(yīng)的服務(wù)器觀點(diǎn)的疑問來理解,反之亦然��。類似地�,在實(shí)施方法的地方,可以提供具有存儲(chǔ)和被配置成經(jīng)由一個(gè)或多個(gè)組件實(shí)施該方法的至少一個(gè)處理器的相對應(yīng)的設(shè)備�����。盡管結(jié)合各附圖的優(yōu)選實(shí)施例描述了各實(shí)施例�����,但可以理解�,可以使用其他類似的實(shí)施例,或可以對所描述的實(shí)施例進(jìn)行修改和添加來執(zhí)行相同的功能而不背離本發(fā)明。而且����,此處描述的各實(shí)施例的一個(gè)或多個(gè)方面可以在多個(gè)處理芯片或設(shè)備中實(shí)現(xiàn)或跨多個(gè)處理芯片或設(shè)備實(shí)現(xiàn)�,且存儲(chǔ)可以類似地跨多個(gè)設(shè)備來實(shí)現(xiàn)。因此����,本發(fā)明不應(yīng)限于任何單個(gè)實(shí)施例,而是應(yīng)該根據(jù)所附權(quán)利要求書的廣度和范圍來解釋�。
權(quán)利要求
1.一種用于主存數(shù)據(jù)的方法,包括 通過第一控制區(qū)域中的至少ー個(gè)計(jì)算設(shè)備從第二控制區(qū)域中的至少ー個(gè)計(jì)算設(shè)備接收經(jīng)模糊化的數(shù)據(jù)���,所述經(jīng)模糊化的數(shù)據(jù)是針對所述第二控制區(qū)域中的所述至少一個(gè)計(jì)算設(shè)備的所定義的數(shù)據(jù)集合從數(shù)據(jù)的至少ー個(gè)第一數(shù)學(xué)變換形成的��; 通過所述第一控制區(qū)域中的所述至少ー個(gè)計(jì)算設(shè)備接收經(jīng)模糊化的元數(shù)據(jù)���,所述經(jīng)模糊化的元數(shù)據(jù)是從對所述數(shù)據(jù)的分析以及所述分析的輸出的至少ー個(gè)第二數(shù)學(xué)變換形成的;以及 確定在其中存儲(chǔ)所述經(jīng)模糊化的數(shù)據(jù)或所述經(jīng)模糊化的元數(shù)據(jù)中的至少ー個(gè)的至少兩個(gè)不同容器類型的多個(gè)容器中的至少ー個(gè)容器��。
2.如權(quán)利要求I所述的方法��,其特征在于���,所述經(jīng)模糊化的數(shù)據(jù)的接收包括接收基于密碼密鑰信息根據(jù)至少一個(gè)可搜索加密算法從所述數(shù)據(jù)的至少ー個(gè)加密形成的經(jīng)加密的數(shù)據(jù)���。
3.如權(quán)利要求I所述的方法���,其特征在于,所述經(jīng)模糊化的元數(shù)據(jù)的接收包括接收基于密碼密鑰信息根據(jù)對所述數(shù)據(jù)的所述分析以及所述分析的所述輸出的所述至少ー個(gè)第ニ數(shù)學(xué)變換形成的經(jīng)加密的元數(shù)據(jù)�。
4.如權(quán)利要求I所述的方法,其特征在于���,還包括 如果滿足所述多個(gè)容器的預(yù)定義的條件�����,則自動(dòng)改變其中存儲(chǔ)所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)的所述至少ー個(gè)容器���。
5.如權(quán)利要求I所述的方法,其特征在于�,所述確定包括基于以下各項(xiàng)中的至少ー項(xiàng)來確定其中存儲(chǔ)所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)的至少ー個(gè)容器與所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)相關(guān)聯(lián)的存儲(chǔ)大小、為所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)指定的訪問速度要求�、為所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)指定的恢復(fù)可靠性要求、或與具有對所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)的訪問權(quán)的一個(gè)或多個(gè)設(shè)備的鄰近性����。
6.如權(quán)利要求I所述的方法,其特征在于,還包括 接收陷門數(shù)據(jù)�����,所述陷門數(shù)據(jù)允許如由所述陷門數(shù)據(jù)的至少ー個(gè)密碼陷門所定義的對所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)的可見訪問����。
7.如權(quán)利要求I所述的方法���,其特征在于�����,還包括 接收從所述所定義的數(shù)據(jù)集合還原至少ー個(gè)數(shù)據(jù)項(xiàng)的請求���; 接收用于從所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)提取所述至少一個(gè)數(shù)據(jù)項(xiàng)的至少ー個(gè)陷門;以及 如果所述至少ー個(gè)陷門有效����,則從所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)提取并傳送所述至少ー個(gè)數(shù)據(jù)項(xiàng)。
8.一種系統(tǒng),包括 至少部分由數(shù)學(xué)變換算法提供者分布的至少ー個(gè)數(shù)學(xué)變換組件��,其獨(dú)立于生成器實(shí)現(xiàn)��,所述生成器生成用于發(fā)布數(shù)據(jù)和元數(shù)據(jù)或訂閱數(shù)據(jù)或元數(shù)據(jù)中的至少ー項(xiàng)的數(shù)學(xué)變換斷言信息,所述至少ー個(gè)數(shù)學(xué)變換組件包括被配置成基于由所述生成器生成的所述數(shù)學(xué)變換斷言信息來執(zhí)行至少ー個(gè)可捜索數(shù)據(jù)模糊化算法或可捜索數(shù)據(jù)掲示算法的至少ー個(gè)處理器���;以及網(wǎng)絡(luò)服務(wù)提供者��,其獨(dú)立于所述生成器和所述至少ー個(gè)數(shù)學(xué)變換組件實(shí)現(xiàn)�,所述網(wǎng)絡(luò)服務(wù)提供者包括被配置成針對由所述至少ー個(gè)數(shù)學(xué)變換組件模糊化的數(shù)據(jù)或元數(shù)據(jù)實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)�����,所述網(wǎng)絡(luò)服務(wù)提供者包括數(shù)據(jù)容器管理組件���,所述數(shù)據(jù)容器管理組件基于數(shù)據(jù)等待時(shí)間要求�����、數(shù)據(jù)可靠性要求�、距數(shù)據(jù)消耗的距離要求或所述網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)規(guī)模要求中的至少ー項(xiàng)來管理由所述至少ー個(gè)數(shù)學(xué)變換組件模糊化的所述數(shù)據(jù)或所述元數(shù)據(jù)被存儲(chǔ)在何處���。
9.如權(quán)利要求8所述的系統(tǒng)�,其特征在于���,所述至少ー個(gè)數(shù)學(xué)變換組件是至少部分由密碼技術(shù)提供者分布的至少ー個(gè)密碼組件�,其獨(dú)立于密鑰生成器實(shí)現(xiàn),所述密鑰生成器生成用于所述發(fā)布所述數(shù)據(jù)和所述元數(shù)據(jù)或所述訂閱所述數(shù)據(jù)和所述元數(shù)據(jù)中的至少ー項(xiàng)的密鑰信息�,所述至少一個(gè)處理器被配置成基于由所述密鑰生成器生成的所述密鑰信息來執(zhí)行至少ー個(gè)可捜索加密算法或可捜索解密算法。
10.如權(quán)利要求8所述的系統(tǒng)��,其特征在于�,所述網(wǎng)絡(luò)服務(wù)提供者包括被配置成針對由 所述至少一個(gè)密碼組件加密的所述數(shù)據(jù)或元數(shù)據(jù)實(shí)現(xiàn)所述網(wǎng)絡(luò)服務(wù)的至少ー個(gè)處理器,所述網(wǎng)絡(luò)服務(wù)提供者包括管理由所述至少一個(gè)密碼組件加密的所述數(shù)據(jù)或元數(shù)據(jù)被存儲(chǔ)在何處的所述數(shù)據(jù)容器管理組件�����。
11.如權(quán)利要求8所述的系統(tǒng)���,其特征在于,所述數(shù)據(jù)容器管理組件基于以下各項(xiàng)中至少ー項(xiàng)來管理由所述至少ー個(gè)數(shù)學(xué)變換組件模糊化的所述數(shù)據(jù)或元數(shù)據(jù)被存儲(chǔ)在何處為所述網(wǎng)絡(luò)服務(wù)提供者對所述網(wǎng)絡(luò)服務(wù)的遞送指定的數(shù)據(jù)等待時(shí)間要求��、為所述網(wǎng)絡(luò)服務(wù)對所述數(shù)據(jù)或元數(shù)據(jù)的存儲(chǔ)所指定的數(shù)據(jù)可靠性要求����、為所述網(wǎng)絡(luò)服務(wù)將所述數(shù)據(jù)或元數(shù)據(jù)傳送到ー個(gè)或多個(gè)請求設(shè)備指定的距數(shù)據(jù)消耗的距離要求、或?yàn)樗鼍W(wǎng)絡(luò)服務(wù)對數(shù)據(jù)或所述元數(shù)據(jù)的存儲(chǔ)指定的數(shù)據(jù)規(guī)模要求��。
12.如權(quán)利要求8所述的系統(tǒng)��,其特征在干�,所述密鑰信息包括能力信息�����,所述能力信息針對由所述至少ー個(gè)數(shù)學(xué)變換組件加密的所述數(shù)據(jù)或所述元數(shù)據(jù)定義訪問特權(quán)�。
13.如權(quán)利要求12所述的系統(tǒng)��,其特征在于�����,所述能力信息被后期綁定���,由此向給定訂閱者授予最新的訪問特權(quán)���。
14.ー種計(jì)算系統(tǒng),包括 存儲(chǔ)可選擇性地訪問的數(shù)據(jù)或元數(shù)據(jù)的至少ー個(gè)數(shù)據(jù)存儲(chǔ)����,其中至少ー個(gè)發(fā)布者向所述至少一個(gè)數(shù)據(jù)存儲(chǔ)發(fā)布表示至少ー個(gè)資源的所述數(shù)據(jù)或元數(shù)據(jù),第一獨(dú)立實(shí)體執(zhí)行對如所發(fā)布的所述數(shù)據(jù)或所述元數(shù)據(jù)可適用的訪問信息的生成��,而第二獨(dú)立實(shí)體跨越所述至少一個(gè)數(shù)據(jù)存儲(chǔ)中的ー組數(shù)據(jù)存儲(chǔ)分布如所發(fā)布的所述數(shù)據(jù)或所述元數(shù)據(jù)�,同時(shí)將存儲(chǔ)如所發(fā)布的所述數(shù)據(jù)或所述元數(shù)據(jù)的所述那組數(shù)據(jù)存儲(chǔ)的知識(shí)維持為不能在沒有訪問信息的情況下被掲示的秘密;以及 被配置成執(zhí)行網(wǎng)絡(luò)服務(wù)的至少ー個(gè)處理器���,所述網(wǎng)絡(luò)服務(wù)基于由所述至少一個(gè)資源的所述至少一個(gè)發(fā)布者或至少ー個(gè)所有者中的至少ー個(gè)所授予的并由所述訪問信息表示的后期綁定的所選擇的特權(quán)來為對所述網(wǎng)絡(luò)服務(wù)的給定請求提供對如所發(fā)布的所述數(shù)據(jù)或所述元數(shù)據(jù)的選擇性訪問���, 其中所述至少ー個(gè)數(shù)據(jù)存儲(chǔ)包括多個(gè)容器���,且如所發(fā)布的所述數(shù)據(jù)或所述元數(shù)據(jù)被跨越所述多個(gè)容器中的至少ー個(gè)容器自動(dòng)分布。
15.如權(quán)利要求14所述的系統(tǒng)�,其特征在于,所述至少ー個(gè)數(shù)據(jù)存儲(chǔ)包括不同容器類型的多個(gè)容器�。
全文摘要
提供用于數(shù)據(jù)服務(wù)的數(shù)字托管模式和可信平臺(tái),該數(shù)據(jù)服務(wù)包括用于模糊化存儲(chǔ)在遠(yuǎn)程站點(diǎn)或在云服務(wù)中的數(shù)據(jù)��、跨多個(gè)實(shí)體分布信任以避免單點(diǎn)數(shù)據(jù)損害的數(shù)學(xué)變換技術(shù)���,諸如可搜索加密技術(shù)。使用可信平臺(tái)的技術(shù)�,將數(shù)據(jù)(以及相關(guān)聯(lián)的元數(shù)據(jù))從保存該數(shù)據(jù)的容器(例如,文件系統(tǒng)��,數(shù)據(jù)庫等)分離��,從而通過施加用所呈現(xiàn)的能力刺穿的數(shù)學(xué)復(fù)雜度保護(hù)罩來允許該數(shù)據(jù)擔(dān)當(dāng)它自己的管理者����,所呈現(xiàn)的能力諸如是由信任平臺(tái)的密碼密鑰生成器所授予的密鑰��。以保持并擴(kuò)展信任而不需要特定容器來實(shí)施的方式�����,促進(jìn)對數(shù)據(jù)或該數(shù)據(jù)的子集的共享或訪問�����。
文檔編號(hào)G06F15/16GK102687133SQ201080051694
公開日2012年9月19日 申請日期2010年10月29日 優(yōu)先權(quán)日2009年11月16日
發(fā)明者D·J·坎農(nóng), R·P·德索扎, R·V·奧拉德卡 申請人:微軟公司