在分布式云计算环境中实现数据安全性的方法及装置制造方法及图纸

分布式云存储系统包括逻辑上位于客户端平台和多个远程云存储平台之间的云存储中介。云存储中介协调云存储过程的实施，云存储过程包括根据第一和第二规则将数据项划分成多个部分并分配到选择的云存储平台，第一和第二规则定义了只有云存储中介或客户知道的密钥。在一段时间后，当需要检索数据项时，从存储中检索密钥，并以反向执行规则的方式检索和重新组装数据项。

【技术实现步骤摘要】
【国外来华专利技术】在分布式云计算环境中实现数据安全性的方法及装置
本专利技术一般涉及计算机安全，更具体地，涉及分布式“云”计算环境中的数据安全性。
技术介绍
云计算是一种基于分组的虚拟化的“云”基础设施提供计算资源和服务的概念，这样，客户可以访问计算资源和/或服务从远程云服务平台的需求，而不是依赖于定制的硬件和存储资源。客户可以利用云技术，例如，访问的后备数据中心的存储资源作为一种替代或补充的后备存储资源。云计算解决方案可以使用私有云(例如，现有的企业内联网的范围内)、公共云(如互联网)或混合云(如公共云和私有云的组合)。然而，云模式相关的问题和其广泛采用的一个障碍是数据的安全性问题。虚拟化性质的云计算意味着计算资源可能分布在多个设备和/或多个云服务供应商处，客户并不怎么清楚他们的数据是如何被存储或谁可以访问数据。此外，云可以被许多终端用户(包括不受信任的或未知的用户)共享，从而打开了数据的脆弱性窗口。
技术实现思路
通过一个布式云存储系统来解决这个问题并实现技术进步，该云存储系统集成了云存储中介，该中介逻辑上客户端平台和多个远程云存储平台(例如但不限于，数据中心服务器及相关存储资源)之间。对于一个给定的数据存储事务，云存储中介将选择指定的云存储平台进行客户端数据项的云存储并且将调解云存储过程，所述云存储过程涉及到根据第一规则将数据项划分为多个部分以及根据第二规则将这些部分分配给选定的云存储平台。因此，第一和第二规则定义实现数据项的分布式云存储的“密钥”对，实现方式只有密钥持有人知道，云存储的分布式特性使得数据更不容易从缺乏抵抗力的平台被发现。在一个实施例(在此称为“直通模式”)中，云存储中介直接参与数据流，即，它从客户端接收数据项，并根据第一和第二规则代表客户端将数据项划分并分配到选定的云存储平台。在另一个实施例(在此称为“企业模式”)中，云存储中介不直接参与数据流，而是指示客户端如何划分和分配数据项，允许客户端自己来划分和分配数据项到选择的云存储平台。此后，取决于实施方式，数据检索可通过拥有或能访问相关规则的云存储中介或客户端来完成。【附图说明】本专利技术的上述和其它的优点将变得明显，在阅读下面的详细描述并参考附图，其中后图1是根据现有技术的一个云存储系统的方框图；图2是包括根据本专利技术的实施例的云存储中介的分布式云存储系统的框图；图3是示出根据本专利技术的实施例的云存储中介的功能组件的框图；图4是示出根据本专利技术的实施例的分布式云存储系统的直通模式的框图；图5是示出根据本专利技术的实施例的分布式云存储系统的企业模式的框图；图6是示出由云存储中介和/或用户平台执行来实施根据本专利技术的实施例的云的存储过程的步骤的流程图；图7是示出由云存储中介和/或用户平台执行以实施根据本专利技术的实施例的云检索过程执行的步骤流程图。【具体实施方式】图1示出了根据现有技术的云存储系统100。云存储系统100包括数据通过网络104互相连接到数据中心(如图所示，包括服务器106和相关联的存储资源108)的一个或多个用户平台102。典型的数据中心包括安装在可能占用建筑物的一个或多个楼层的机架中的多个服务器106。存储资源108可以位于各自的服务器106或者可以位于数据中心的机架中或数据中心的机架旁的单独组件(未示出)中。可以理解本专利技术的术语“云存储平台”包括服务器106和其相关联的存储资源108。因此，由多个服务器和存储资源组成的典型的数据中心将被理解为包括多个云存储平台。用户平台102可以包括例如笔记本电脑、台式电脑或移动计算设备，名义上包括本地数据项(例如，数据文件等)，这些设备将由用户或管理员操作以根据需要可能地利用云存储平台的数据项的后备存储。根据网络的拓扑结构和/或用户的安全需要，网络104可以包括，例如，企业内联网、互联网或它们的某种组合，用户数据项在传送到或存储到云存储平台之前可能已经被被加密或者可能没有被加密。然而，一般来说，不考虑云存储的网络拓扑结构，已知根据现有技术的解决方案是利用一个单一线程的处理模式，在单一的位置/平台得到用户数据项存储。例如，如表示在I图中的，来自终端用户102的数据完全存储在单一的云存储平台(包含服务器106和其相关联的存储资源108)，它位于单一的数据中心。因此，万一云存储平台(无论是服务器106或存储资源108)变得容易受损害，用户数据就很容易被不受信任或未知用户发现。与此相反，本专利技术的实施例利用多线程处理模式，客户端的数据项被分成若干部分并且多个部分分布在多个云平台之间，从而使该数据项不容易被发现，因为任何给定的平台仅包含数据项的一部分，且并未知或不可信的用户是不可能发现数据项是如何划分或分配的。参照图2，根据本专利技术实施例的分布式云存储系统200包括一个或多个用户平台202，一个或多个用户平台202逻辑上经由网络206连接到云存储中介204和多个云存储平台208、210 (即，每个云存储平台包括服务器208和其相关联的存储资源210)。为方便起见，服务器以“服务器A”、“服务器B”等表示，他们将被理解为对应不同的云存储平台A、B、C等。服务器A、B、C等(因此，云存储平台A、B、C等)分布在多个物理和/或地理位置，例如对应于但不限于数据中心的机架、不同的机架或不同的楼层的不同的物理位置，或者位于具有不同的地理位置的不同的数据中心间。用户平台202可以包括，例如但不限于具有处理器和存储器(未示出)和名义上包括用户或管理员可能希望存储在云中的本地数据项(例如，数据文件或诸如此类)的笔记本电脑、台式计算机、移动计算设备。云存储中介204包括,例如但不限于基于web的计算平台，所述计算平台具有处理器208和存储器210并且可操作地协调用户平台202和选定的云存储平台208、10之间的云存储和检索事务。网络206可包括，例如，企业内联网、互联网、或它们的某种组合。云存储中介204可能因此位于企业防火墙内部或外部。一般情况下，根据这里所描述的实施例，从云数据云存储中介204请求数据存储服务的用户发起存储事务。根据用户的隐私需要，用户可能会发送数据项到云存储中介，并要求云存储中介执行数据项的云存储；或用户可能会要求云存储中介发出协调指令以使得用户执行数据项的云存储(即允许用户本身执行数据项的云存储而不要求中介涉及在数据流)。此后，云存储中介选择指定的云存储平台以用于数据存储事务并且执行或协调云存储过程中以只有持有密钥的云存储中介或用户所知道的秘密方式将数据项划分成部分并将这些部分分配到选择的云存储平台之间。例如，如表示在图2中的，根据只有定义“密钥”的云存储中介或用户知道的规则，来自终端用户202的数据被划分成三个部分(表示为数据片段1、2和3)的各部分分布在三个不同的云存储平台A、B、C。由于根据秘密密钥客户端的数据被划分，并在多个云存储平台A、B、C之间分配，并且由于每个云存储平台对应到不同的物理和/或地理位置，即使云存储平台A、B或C受到损害，客户端的数据是依然是不易受到破坏的。图3示出了云存储中介304的逻辑硬件结构的实施例。逻辑硬件配置包括进行云存储或检索事务时可操作地与终端用户平台302沟通的用户接口 306，例如但不限于接收和处理用户请求、接收用户数据项、交换认证信息、传送与云存储或检索事务相关本文档来自技高网...

【技术保护点】
一种用于根据云计算模式为客户端提供数据存储服务的装置，在所述云计算模式中客户端平台可操作地连接到云存储中介和多个远程云存储平台，该装置在所述云存储中介上，所述装置包括：用户接口;云存储接口;存储器；以及至少一个处理器，所述至少一个处理器可操作地耦合到所述用户接口、云存储接口和存储器，并且被配置为：（a）接收关于云存储服务的客户端请求，所述云存储服务与数据项相关;（b）选择所述多个远程云存储平台中选定的云存储平台用于数据项的云存储，其中每个选定的平台存储分配的数据项部分;（c）识别第一规则，所述第一规则定义将数据项划分成多个部分的方式，所述多个部分在数量上对应于多个选定的云存储平台;（d）识别第二规则，所述第二规则定义在选定的云存储平台之间分配各部分的方式;（e）将第一和第二规则的标记传送至客户端，从而使客户端能够根据第一规则将数据项划分成部分，根据第二规则在选定的云存储平台之间分配各部分。

【技术特征摘要】
【国外来华专利技术】2011.05.25 US 13/115,5991.一种用于根据云计算模式为客户端提供数据存储服务的装置，在所述云计算模式中客户端平台可操作地连接到云存储中介和多个远程云存储平台，该装置在所述云存储中介上，所述装置包括: 用户接口 ； 云存储接口； 存储器；以及 至少一个处理器，所述至少一个处理器可操作地耦合到所述用户接口、云存储接口和存储器，并且被配置为: (a)接收关于云存储服务的客户端请求，所述云存储服务与数据项相关； (b)选择所述多个远程云存储平台中选定的云存储平台用于数据项的云存储，其中每个选定的平台存储分配的数据项部分； (c)识别第一规则，所述第一规则定义将数据项划分成多个部分的方式，所述多个部分在数量上对应于多个选定的云存储平台； Cd)识别第二规则，所述第二规则定义在选定的云存储平台之间分配各部分的方式；(e)将第一和第二规则的标记传送至客户端，从而使客户端能够根据第一规则将数据项划分成部分，根据第二规则在选定的云存储平台之间分配各部分。2.如权利要求1所述的装置，还包括: 规则生成器，用于创建用于各数据存储事务的第一和第二规则中的至少一个； 文件存储索引，用于保持关于各数据存储事务的第一和第二规则的标记。3.如权利要求2的装置，其特征在于，所述至少一个处理器被进一步配置为: Cf)接收关于数据检索服务的客户端请求，所述数据检索服务与数据项相关； (g)查阅文件存储索引，以识别用于存储数据项的第一和第二规则的标记； (h)将所述第一和第二规则的标记传送给客户端，从而使客户端能够根据第一和第二规则的逆来检索和重新组装数据项。4.一种用于根据云计算模式为客户端提供数据存储服务的装置，在所述云计算模式中客户端平台可操作地连接到云存储中介和多个远程云存储平台，该装置在云存储中介上，包括: 用户接口 ； 云存储接口； 存储器； 至少一个处理器，可操作地耦合到所述用户接口、云存储接口和存储器，并且被配置为: Ca)接收关于云存储服务的客户端请求，所述云存储服务与数据项相关； (b)选择所述多个远程云存储平台中选定的云存储平台用于数据项的云存储，其中每个选定的平台存储分配的数据项部分； (c)识别第一规则，所述第一规则定义将数据项划分成多个部分的方式，所述多个部分在数量上对应于多个选定的云存储平台； Cd)识别第二规则，所述第二规则定义在选定的云存储平台之间分配各部分的方式； (e)获得数据项；以及(f)根据第一规则将数据项划分成部...

【专利技术属性】
技术研发人员：H·M·诺沃特尼，K·E·德保罗，A·桑卡利亚，P·恩塔，R·拉尔森，
申请(专利权)人：阿尔卡特朗讯公司，
类型：
国别省市：