專利名稱:用于可信計(jì)算和數(shù)據(jù)服務(wù)的安全且專用的備份存儲(chǔ)和處理的制作方法
技術(shù)領(lǐng)域:
本公開涉及為設(shè)備提供可信云計(jì)算和數(shù)據(jù)服務(wù)�����,更具體而言�����,涉及允許用于諸如合成完全備份數(shù)據(jù)之類的備份數(shù)據(jù)的密碼地安全且專用的存儲(chǔ)�、處理或分析服務(wù)。
背景技術(shù):
通過涉及某些常規(guī)系統(tǒng)的背景�����,計(jì)算設(shè)備傳統(tǒng)上在設(shè)備本地執(zhí)行應(yīng)用程序和數(shù)據(jù)服務(wù)。在這樣的情況下�����,當(dāng)數(shù)據(jù)被訪問��、處理�����、存儲(chǔ)����、高速緩存等等時(shí),數(shù)據(jù)可通過局部總線�����、 接口及其他數(shù)據(jù)通道在設(shè)備上傳播�,然而,設(shè)備的用戶不必?fù)?dān)心用戶數(shù)據(jù)的干擾或暴露���,除非設(shè)備本身丟失或被盜竊�����?���?墒牵S著在線和云服務(wù)的演化��,應(yīng)用和服務(wù)被越來越多地移到代表設(shè)備執(zhí)行給定服務(wù)中的某些或全部的網(wǎng)絡(luò)提供商�����。在這樣的情況下��,設(shè)備的用戶可能會(huì)關(guān)心當(dāng)用戶的數(shù)據(jù)被加載到服務(wù)時(shí)����,當(dāng)它被服務(wù)存儲(chǔ)或處理時(shí)或當(dāng)它被從服務(wù)中檢索時(shí)����,誰可以訪問或潛在地更糟的是,干擾用戶的數(shù)據(jù)���。簡(jiǎn)而言之�,當(dāng)用戶的設(shè)備的數(shù)據(jù)離開物理?yè)碛械姆秶⑦M(jìn)入遠(yuǎn)離用戶的網(wǎng)絡(luò)環(huán)境時(shí),對(duì)于由第三方對(duì)數(shù)據(jù)進(jìn)行草率的或惡意的處理或由第三方對(duì)數(shù)據(jù)的干擾的擔(dān)心自然會(huì)產(chǎn)生��。因此�����,對(duì)于云服務(wù)和結(jié)合云服務(wù)對(duì)數(shù)據(jù)的處理���,或者甚至在其中數(shù)據(jù)離開一個(gè)控制區(qū)并進(jìn)入另一個(gè)控制區(qū)的企業(yè)內(nèi)���,需要增強(qiáng)信任、安全性和保密性�。例如,目前��,用戶可以將外部驅(qū)動(dòng)器附接到諸如本地個(gè)人計(jì)算機(jī)(PC)或其他設(shè)備之類的主設(shè)備�,并創(chuàng)建主設(shè)備的數(shù)據(jù)的合成完全備份。顧名思義����,合成完全備份是基于最新近的完全備份數(shù)據(jù)(例如,標(biāo)準(zhǔn)的或合成的)以及任何所涉及的后續(xù)增量式或差分式備份來創(chuàng)建的合成備份���。通常����,對(duì)外部驅(qū)動(dòng)器上的數(shù)據(jù)的可重構(gòu)副本的這種物理?yè)碛蓄A(yù)防了存儲(chǔ)在主設(shè)備上的重要數(shù)據(jù)的丟失。例如�����,經(jīng)由USB電纜等等來附連諸如閃存驅(qū)動(dòng)器或其他外部硬盤驅(qū)動(dòng)器之類的外部驅(qū)動(dòng)器或盤����,設(shè)備的用戶可能會(huì)得到以下安慰在主設(shè)備丟失的情況下可以重構(gòu)數(shù)據(jù)。如此����,如果主設(shè)備遭受到某種阻止對(duì)其數(shù)據(jù)進(jìn)行訪問的災(zāi)難性狀況,或?qū)е聰?shù)據(jù)的不能挽回的失真或破壞�,則可以從用戶所擁有的外部驅(qū)動(dòng)器或盤恢復(fù)該數(shù)據(jù)。然而���,當(dāng)然��,如果主設(shè)備和外部驅(qū)動(dòng)器兩者都在同一個(gè)大災(zāi)難(例如,地震)中損壞���,則問題就回到起點(diǎn)�����。能夠存儲(chǔ)數(shù)千千兆字節(jié)的數(shù)據(jù)(將來還有可能存儲(chǔ)千兆兆字節(jié)�、兆兆兆字節(jié),甚至更多的數(shù)據(jù))的網(wǎng)絡(luò)存儲(chǔ)場(chǎng)的演化創(chuàng)造了在云中模仿本地場(chǎng)景的機(jī)會(huì)��,其中主設(shè)備和外部存儲(chǔ)器是分開的����。備份數(shù)據(jù)的云存儲(chǔ)也允許許多設(shè)備存儲(chǔ)它們的備份數(shù)據(jù),而不是每一個(gè)設(shè)備都需要分開的存儲(chǔ)���。就這一點(diǎn)而言����,并非通過經(jīng)由電纜將輔助存儲(chǔ)設(shè)備附接到主設(shè)備來存儲(chǔ)備份數(shù)據(jù)����,有了云存儲(chǔ),備份數(shù)據(jù)被傳輸?shù)皆品?wù)提供者并由云服務(wù)提供者存儲(chǔ)����, 云服務(wù)提供者代表設(shè)備來管理備份數(shù)據(jù)的存儲(chǔ)。然而,如上文所提及的���,問題依然是����,沒有云服務(wù)或網(wǎng)絡(luò)存儲(chǔ)提供者能夠有效地減輕當(dāng)備份數(shù)據(jù)被存儲(chǔ)在云中時(shí)的安全性�、保密性和完整性的問題以及對(duì)安全性、保密性和完整性的需求���。簡(jiǎn)而言之��,用戶需要對(duì)當(dāng)對(duì)存儲(chǔ)媒介的物理控制被交出時(shí)他們的數(shù)據(jù)保持安全和專用的增加信任����,而這種障礙大大地阻止了企業(yè)和消費(fèi)者通過第三方網(wǎng)絡(luò)服務(wù)和解決方案來對(duì)重要數(shù)據(jù)進(jìn)行備份��。目前的設(shè)備和數(shù)據(jù)備份服務(wù)的上文所描述的缺陷只旨在提供常規(guī)系統(tǒng)的一些問題的概述����,而不是詳盡的。在閱讀了下面的詳細(xì)描述之后���,現(xiàn)有技術(shù)所存在的其他問題以及各非限制性實(shí)施例中的一些的對(duì)應(yīng)益處會(huì)變得進(jìn)一步顯而易見���。
發(fā)明內(nèi)容
此處提供了簡(jiǎn)化的發(fā)明內(nèi)容以幫助能夠?qū)σ韵赂敿?xì)的描述和附圖中的示例性、 非限制性實(shí)施例的各方面有基本或大體的理解���。然而���,本發(fā)明內(nèi)容并不旨在作為詳盡的或窮盡的。相反�����,本節(jié)發(fā)明內(nèi)容的唯一目的在于����,以簡(jiǎn)化的形式提出與一些示例性、非限制性實(shí)施方式相關(guān)的一些概念��,作為以下各實(shí)施方式的更詳細(xì)的描述的序言����。按將信任分散在多個(gè)實(shí)體間以避免單點(diǎn)數(shù)據(jù)泄密的方式來提供網(wǎng)絡(luò)數(shù)據(jù)服務(wù),該網(wǎng)絡(luò)數(shù)據(jù)服務(wù)包括對(duì)于云中的可以被存儲(chǔ)�、處理,訪問或檢索的備份數(shù)據(jù)的可搜索的加密技術(shù)�����。在一個(gè)實(shí)施例中,密鑰生成器�����、密碼技術(shù)提供者和云服務(wù)提供者中每一個(gè)都是作為單獨(dú)的實(shí)體提供的�����,從而使備份數(shù)據(jù)的發(fā)布者能夠向云服務(wù)提供者秘密地(加密的)發(fā)布數(shù)據(jù)�,并從而基于在訪問請(qǐng)求中編碼的訂戶身份信息來允許經(jīng)授權(quán)的訂戶對(duì)經(jīng)加密的備份數(shù)據(jù)的選擇性訪問。在一個(gè)實(shí)施例中�,以滿足對(duì)于潛在地敏感的數(shù)據(jù)的外部或遠(yuǎn)程存儲(chǔ)的完整性和保密性要求的密碼安全的方式在經(jīng)加密的數(shù)據(jù)作為數(shù)據(jù)服務(wù)的情況下維護(hù)可使用的合成完全備份。在一個(gè)實(shí)施例中�����,所支持的存儲(chǔ)技術(shù)包括對(duì)主設(shè)備數(shù)據(jù)的第二副本的備份�、數(shù)據(jù)保護(hù)、災(zāi)難恢復(fù)����,以及分析??梢员粦?yīng)用以便于建立對(duì)數(shù)據(jù)的安全性和保密性的高級(jí)信任的有成本效益的密碼技術(shù)的某些示例包括�����,但不僅限于���,保持大小(size-preserving)的加密�、 可搜索的加密,或應(yīng)用證明(Proof of Application)���、盲指紋�����、可恢復(fù)性(Retrievability) 證明等等���。在下文中更詳細(xì)地描述其他實(shí)施例以及各種非限制性示例,方案和實(shí)現(xiàn)�。附圖簡(jiǎn)述將參考各個(gè)附圖進(jìn)一步描述各個(gè)非限制性的實(shí)施例,其中
圖1是用于提供備份服務(wù)的一個(gè)或多個(gè)實(shí)施例的一般環(huán)境的框圖��;圖2是用于提供包括應(yīng)用證明的備份服務(wù)的一個(gè)或多個(gè)實(shí)施例的一般環(huán)境的框圖�����;圖3是用于提供包括盲指紋的備份服務(wù)的一個(gè)或多個(gè)實(shí)施例的一般環(huán)境的框圖;圖4是示出了用于基于經(jīng)加密的數(shù)據(jù)和元數(shù)據(jù)以及陷門數(shù)據(jù)來維護(hù)已定義的數(shù)據(jù)集的合成完全數(shù)據(jù)的示例性非限制性過程的流程圖���;圖5是示出了根據(jù)一個(gè)實(shí)施例的用于維護(hù)合成完全數(shù)據(jù)的示例性非限制性過程的流程圖�;圖6是示出了用于在用于維護(hù)合成完全數(shù)據(jù)的實(shí)施例中恢復(fù)數(shù)據(jù)項(xiàng)的示例性非限制性過程的流程圖�����;圖7是示出了用于提供包括應(yīng)用證明的備份服務(wù)的示例性非限制性過程的流程圖���;圖8是示出了用于包括盲指紋的備份服務(wù)的示例性非限制性過程的流程圖9是示出了包括取決于本地?cái)?shù)據(jù)的應(yīng)用的撥號(hào)音重啟的備份服務(wù)的示例性非限制性過程的流程圖�����;圖10是根據(jù)一個(gè)實(shí)施例的可信云服務(wù)框架或生態(tài)系統(tǒng)的示例性非限制性框圖����。圖11是示出了根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于發(fā)布數(shù)據(jù)的示例性非限制性過程的流程圖����;圖12是示出了根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于預(yù)訂數(shù)據(jù)的示例性非限制性過程的流程圖;圖13示出了示例性生態(tài)系統(tǒng)��,其示出了可信生態(tài)系統(tǒng)中的密鑰生成中心��、密碼技術(shù)提供者和云服務(wù)提供者的分開;圖14是示出了用于為企業(yè)執(zhí)行云服務(wù)的可信生態(tài)系統(tǒng)的又一些優(yōu)點(diǎn)的另一體系結(jié)構(gòu)框圖���;圖15是示出了根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的通過存儲(chǔ)抽象層來適應(yīng)不同存儲(chǔ)提供者的另一框圖�����;圖16示出了結(jié)合對(duì)各個(gè)存儲(chǔ)提供者的存儲(chǔ)細(xì)節(jié)進(jìn)行抽象的存儲(chǔ)抽象服務(wù)的存儲(chǔ)的又一些方面�;圖17是示出了可信云服務(wù)生態(tài)系統(tǒng)中的各種不同的參與者的另一框圖�;圖18是可信云計(jì)算系統(tǒng)的示例性����、非限制性實(shí)現(xiàn)的某些層的代表性視圖,其中不同的構(gòu)件可以由不同或相同實(shí)體來提供���;圖19-20分別是示出了用于以利用后期綁定向發(fā)布者提供對(duì)數(shù)據(jù)的受控選擇性訪問的方式向數(shù)字保險(xiǎn)箱應(yīng)用發(fā)布文檔的示例性非限制性過程和/或系統(tǒng)的流程圖和框圖����;圖21-22分別是根據(jù)數(shù)字保險(xiǎn)箱場(chǎng)景的用于預(yù)訂數(shù)據(jù)的示例性����、非限制性過程和 /或系統(tǒng)的流程圖和框圖;圖23示出了使用數(shù)字托管模式來經(jīng)由一個(gè)或多個(gè)數(shù)據(jù)中心為企業(yè)實(shí)現(xiàn)安全的外部網(wǎng)的可信云服務(wù)生態(tài)系統(tǒng)的示例性非限制性實(shí)現(xiàn)�����;圖M是示出了基于可信云服務(wù)生態(tài)系統(tǒng)的另一示例性非限制性場(chǎng)景的流程圖, 其中訂戶被給予對(duì)由云服務(wù)提供者存儲(chǔ)的經(jīng)加密數(shù)據(jù)的選擇性訪問��;圖25是示出了可以基于用戶憑證為訂戶定制應(yīng)用響應(yīng)的另一流程圖�;圖沈是示出了安全記錄上傳場(chǎng)景的另一流程圖,該場(chǎng)景可針對(duì)單方或多方來實(shí)現(xiàn)����;圖27是示出了對(duì)經(jīng)可搜索地加密數(shù)據(jù)存儲(chǔ)進(jìn)行基于角色查詢的示例性、非限制性的另一流程圖��,該數(shù)據(jù)存儲(chǔ)由可信云服務(wù)生態(tài)系統(tǒng)來實(shí)現(xiàn)���,例如以供由單方進(jìn)行自動(dòng)搜索��;圖觀是根據(jù)一個(gè)或多個(gè)場(chǎng)景的在企業(yè)���、密鑰生成中心和云服務(wù)提供者之間的可信云服務(wù)生態(tài)系統(tǒng)的實(shí)現(xiàn)的框圖;圖四是示出了多方協(xié)作場(chǎng)景的流程圖���,其中一個(gè)企業(yè)向一個(gè)外部企業(yè)提供對(duì)其經(jīng)加密數(shù)據(jù)中的某些數(shù)據(jù)的訪問�����。圖30是示出了多個(gè)企業(yè)之間的多方自動(dòng)搜索場(chǎng)景的流程圖����;圖31是根據(jù)一個(gè)或多個(gè)場(chǎng)景的在多個(gè)企業(yè)、密鑰生成中心和云服務(wù)提供者之間的可信云服務(wù)生態(tài)系統(tǒng)的實(shí)現(xiàn)的框圖��;圖32示出了可為可信云服務(wù)實(shí)現(xiàn)的示例性非限制性邊緣計(jì)算網(wǎng)絡(luò)(ECN)技術(shù)����;圖33是示出了根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的密鑰生成中心的一個(gè)或多個(gè)可選方面的框圖;圖34-35示出了在一個(gè)實(shí)施例中將確認(rèn)(例如��,數(shù)據(jù)擁有證明)合并到可信數(shù)據(jù)服務(wù)的供應(yīng)中�����;圖36是示出了根據(jù)可信服務(wù)生態(tài)系統(tǒng)的數(shù)據(jù)服務(wù)的數(shù)據(jù)的示例性確認(rèn)的框圖�����;圖37-38示出了在一個(gè)實(shí)施例中將驗(yàn)證(例如��,可恢復(fù)性證明)合并到可信數(shù)據(jù)服務(wù)的供應(yīng)中����;圖39是示出了根據(jù)可信服務(wù)生態(tài)系統(tǒng)的數(shù)據(jù)服務(wù)的數(shù)據(jù)的示例性確認(rèn)的框圖;圖40是示出了基于適于使用服務(wù)的不同條件集的獨(dú)立于服務(wù)提供本身的供發(fā)布者和訂戶使用的多個(gè)不同覆蓋或數(shù)字托管垂直面的供應(yīng)的框圖���。圖41是表示其中可實(shí)現(xiàn)在本文中所述的各實(shí)施方式的示例性��、非限制性聯(lián)網(wǎng)環(huán)境的框圖���;以及圖42是表示其中可實(shí)現(xiàn)在本文中所述的各實(shí)施方式的一個(gè)或多個(gè)方面的示例性、非限制性計(jì)算系統(tǒng)或操作環(huán)境的框圖�����。
具體實(shí)施例方式概覽如在背景技術(shù)部分所討論的�����,發(fā)送到網(wǎng)絡(luò)服務(wù)的備份數(shù)據(jù)會(huì)造成保密性方面的不便�����、竄改的可能性等等���,例如當(dāng)數(shù)據(jù)被從用戶的設(shè)備發(fā)送到網(wǎng)絡(luò)應(yīng)用���、服務(wù)或數(shù)據(jù)存儲(chǔ)時(shí)��, 用戶需要沒有惡意第三方會(huì)導(dǎo)致?lián)p害的足夠保證����。根據(jù)定義��,用戶失去了對(duì)數(shù)據(jù)的控制��。如此�����,需要增強(qiáng)信任��,以便備份數(shù)據(jù)的發(fā)布者和/或所有者愿意交出對(duì)他們的備份數(shù)據(jù)的物理控制�����,同時(shí)相信在網(wǎng)絡(luò)中�,除被發(fā)布者和/或所有者訪問時(shí)或被基于請(qǐng)求者身份而被驗(yàn)證并向其授予了特權(quán)的任何人訪問時(shí)之外��,他們的數(shù)據(jù)當(dāng)時(shí)將保持秘密并無損��。如在下面的各種非限制性實(shí)施例中所描述的,作為網(wǎng)絡(luò)數(shù)據(jù)備份服務(wù)的供應(yīng)的一部分����,提供了用于維護(hù)經(jīng)加密數(shù)據(jù)的可操作外部合成完全。大多數(shù)企業(yè)生產(chǎn)服務(wù)器和服務(wù)提供實(shí)現(xiàn)常規(guī)合成完全的能力���,而諸如Microsoft Exchange之類的許多服務(wù)器以集群連續(xù)復(fù)制和備用連續(xù)復(fù)制(SCR)的形式在客戶站點(diǎn)中部署此能力�����。然而���,對(duì)于CCR和SCR,如在背景技術(shù)中所提及的����,與云服務(wù)提供者或其他數(shù)據(jù)服務(wù)提供者執(zhí)行存儲(chǔ)的情況相同,對(duì)數(shù)據(jù)的控制沒有被給予第三方�����。如此處所描述的數(shù)據(jù)備份服務(wù)的供應(yīng)涉及實(shí)現(xiàn)有成本效益的并且安全和專用的解決方案的存儲(chǔ)和密碼技術(shù)的不同組合和置換����。例如�,下面更詳細(xì)地描述的各種可選實(shí)施例使用包括保持大小的加密���、可搜索的加密的密碼技術(shù)以及稱為“應(yīng)用證明”的密碼技術(shù)來實(shí)現(xiàn)稱為“合成完全”的數(shù)據(jù)保護(hù)技術(shù)���。這樣的實(shí)施例啟用對(duì)于外包(outsourced)云數(shù)據(jù)保護(hù)、災(zāi)難恢復(fù)或分析的新業(yè)務(wù)場(chǎng)景��,這些場(chǎng)景目前不能在不犧牲客戶的保密性或安全性需求的情況下實(shí)現(xiàn)��。對(duì)于這一點(diǎn)��,為了消除圍繞網(wǎng)絡(luò)服務(wù)的常規(guī)供應(yīng)的信任障礙��,提供實(shí)現(xiàn)上面標(biāo)識(shí)出的目標(biāo)以及在下面描述的各個(gè)實(shí)施例中強(qiáng)調(diào)的其他優(yōu)點(diǎn)的可信云計(jì)算和數(shù)據(jù)服務(wù)生態(tài)系統(tǒng)或框架��。術(shù)語“云”服務(wù)一般所指的概念是�,服務(wù)不是從用戶的設(shè)備本地執(zhí)行,而是從可通過一個(gè)或多個(gè)網(wǎng)絡(luò)被訪問的遠(yuǎn)程設(shè)備來遞送����。由于用戶的設(shè)備不需要理解在一個(gè)或多個(gè)遠(yuǎn)程設(shè)備處所發(fā)生的事情的細(xì)節(jié),因此服務(wù)從用戶的設(shè)備的角度看上去是從“云”遞送的�。在一個(gè)實(shí)施例中��,系統(tǒng)包括密鑰生成器,該密鑰生成器生成用于發(fā)布或訂閱數(shù)據(jù)的密鑰信息��。與密鑰生成器獨(dú)立地實(shí)現(xiàn)的密碼技術(shù)提供者基于由密鑰生成器所生成的密鑰信息實(shí)現(xiàn)可搜索的加密/解密算法��。另外�,與密鑰生成器和密碼技術(shù)提供者獨(dú)立地實(shí)現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者提供與由密碼技術(shù)提供者加密的數(shù)據(jù)有關(guān)的網(wǎng)絡(luò)服務(wù)。在一個(gè)實(shí)施例中�����,提供數(shù)據(jù)存儲(chǔ)�,其暴露可選擇性地訪問的(例如可搜索的)經(jīng)加密數(shù)據(jù),其中至少一個(gè)發(fā)布者向該數(shù)據(jù)存儲(chǔ)發(fā)布表示資源的數(shù)據(jù)����。在提供對(duì)濫用信任的可能性的劃分(division)的情況下,第一獨(dú)立實(shí)體執(zhí)行密鑰信息的生成�。第二獨(dú)立實(shí)體進(jìn)而在存儲(chǔ)所發(fā)布的數(shù)據(jù)之前基于由第一獨(dú)立實(shí)體生成的密鑰信息來對(duì)所發(fā)布的數(shù)據(jù)進(jìn)行加密。然后��,一組網(wǎng)絡(luò)或云服務(wù)針對(duì)向該網(wǎng)絡(luò)服務(wù)的請(qǐng)求基于由資源的發(fā)布者或所有者所賦予的后期綁定的所選特權(quán)來選擇性地訪問經(jīng)加密數(shù)據(jù)�。在其他實(shí)施例中,數(shù)據(jù)存儲(chǔ)對(duì)可選擇性訪問的經(jīng)加密數(shù)據(jù)進(jìn)行存儲(chǔ)���,其中訂戶訂閱經(jīng)加密數(shù)據(jù)的指定子集���。第一獨(dú)立實(shí)體基于與訂戶相關(guān)聯(lián)的身份信息來生成密鑰信息��, 并且第二獨(dú)立實(shí)體基于由第一獨(dú)立實(shí)體生成的密鑰信息來執(zhí)行該指定子集的解密�����。網(wǎng)絡(luò)服務(wù)響應(yīng)于訂戶的請(qǐng)求��,并且基于由所指定子集的發(fā)布者或所有者所賦予的后期綁定的所選特權(quán)來提供對(duì)經(jīng)加密數(shù)據(jù)的選擇性訪問�����。就此而言����,術(shù)語“發(fā)布者”和“訂戶�,,一般分別指發(fā)布或訂閱可信云服務(wù)的數(shù)據(jù)的任何人����。然而在實(shí)際中,根據(jù)行業(yè)�����、領(lǐng)域或可信云服務(wù)生態(tài)系統(tǒng)的應(yīng)用和數(shù)字托管模式,發(fā)布者和訂戶將擔(dān)任更具體的角色���。例如,在整個(gè)系統(tǒng)的備份數(shù)據(jù)的上下文中���,通常����,只有一小部分訂戶將具有訪問備份數(shù)據(jù)的特權(quán)�����。作為在備份數(shù)據(jù)的上下文中的示例����,經(jīng)加密備份數(shù)據(jù)存儲(chǔ)的審計(jì)人可能具有基于備份數(shù)據(jù)的審計(jì)人的角色的某些能力,以確保滿足某些要求(如備份的頻率)�,而無需被授予對(duì)內(nèi)容本身的訪問。下面提供了這些及其他各種示例性��,非限制性實(shí)施例和場(chǎng)景的進(jìn)一步的細(xì)節(jié)��。安全和專用的備份存儲(chǔ)和處理如上文所提及的�,結(jié)合數(shù)據(jù)的備份連同各工具來應(yīng)用各種數(shù)據(jù)保護(hù)技術(shù)��,以允許第三方提供服務(wù)而同時(shí)維持安全性和信任�����。下面的描述首先提供了合成完全技術(shù)的簡(jiǎn)短概述�����。諸如微軟的Exchange krver之類的許多企業(yè)服務(wù)器提供提取完全�����、增量式和差分式備份的能力���。差分式備份(有時(shí)簡(jiǎn)稱為“差分”)包含自從最后一次完全備份以來的改變, 而增量式備份(有時(shí)簡(jiǎn)稱為“增量”)包含自從最近的完全或增量式備份以來的改變�。例如,對(duì)于Exchange服務(wù)器��,完全備份是Exchange DataBase (EDB)(交換數(shù)據(jù)庫(kù)) 的副本��,而增量和差分是日志記錄�。作為另一個(gè)示例,在基于磁帶的備份系統(tǒng)中,這些完全備份和差分或增量式備份被存儲(chǔ)在磁帶上并且在必要時(shí)恢復(fù)�����,此時(shí)從磁帶中恢復(fù)最近的完全備份����。在這之后�����,如果有差分��,則它被從磁帶恢復(fù)并應(yīng)用于最近的被恢復(fù)的完全備份���。如果有增量�����,則這些增量被從磁帶恢復(fù)并按順序應(yīng)用于完全備份以便使數(shù)據(jù)保持最新����。在另一些最近的基于磁盤的備份系統(tǒng)中����,周期性的完全備份(有時(shí)被簡(jiǎn)稱為“完全”)和后續(xù)增量被從主服務(wù)器(操作中的服務(wù)器)傳輸?shù)酱娲艓碇鞔鎮(zhèn)浞莸幕诖疟P的服務(wù)器��。當(dāng)增量式備份以日志形式到達(dá)時(shí)�,它們被應(yīng)用于在備份(或“輔助”)服務(wù)器上維護(hù)的完全備份����,以使數(shù)據(jù)保持最新。這種維護(hù)遠(yuǎn)程最新副本的機(jī)制叫做“合成完全”。在最近的連續(xù)數(shù)據(jù)保護(hù)(⑶P)系統(tǒng)中,通過將主服務(wù)器上的修改流傳送到備份服務(wù)器中并在該服務(wù)器上應(yīng)用這些修改來維護(hù)合成完全�����,以使備份服務(wù)器上的副本保持最新。合成完全的兩個(gè)有效性度量是恢復(fù)點(diǎn)目標(biāo)(RPO)和恢復(fù)時(shí)間目標(biāo)(RTO)。RPO是當(dāng)主服務(wù)器由于某種原因丟失時(shí)可以丟失的數(shù)據(jù)量的上限��。RTO是在主服務(wù)器由于某種原因離線的時(shí)間和輔助服務(wù)器以完全功能上線的時(shí)間之間的時(shí)間的上限�����。合成完全提供比以前的基于磁帶的機(jī)制更好的RT0�,因?yàn)樵隽渴饺罩疽呀?jīng)應(yīng)用于備份(或“播放”)。在典型的企業(yè)場(chǎng)景下��,自從最后一次完全備份以來���,可能生成了數(shù)千個(gè)日志,在使輔助副本保持最新之前����,可能要花費(fèi)好幾個(gè)小時(shí)(或者甚至好幾天)來應(yīng)用(“重放”)這些日志�。因此���,合成完全可以大大地提高RTO��。RPO也被增強(qiáng)�,因?yàn)闈撛诘臄?shù)據(jù)損失不能被準(zhǔn)確地界定直到有保證沒有丟失或損壞的日志為止。通過在輔助站點(diǎn)使用后處理���,這可以通過作為維護(hù)合成完全的一部分而重放日志來完成���。通常,在輔助站點(diǎn)上維護(hù)合成完全�����,以便在主站點(diǎn)從導(dǎo)致主副本丟失的任何故障恢復(fù)之后���,該副本可以被傳輸回主站點(diǎn)�����。還可以維護(hù)合成完全��,以便當(dāng)主中心發(fā)生故障時(shí)通過作為來自輔助中心的恢復(fù)服務(wù)來部署此副本����,來提供幾乎即時(shí)的服務(wù)恢復(fù)���。合成完全也是該數(shù)據(jù)庫(kù)內(nèi)的對(duì)象的細(xì)?����;謴?fù)的實(shí)現(xiàn)者���。例如��,對(duì)于Exchange��,這涉及從EDB提取消息�����、 任務(wù)或日歷項(xiàng)�����。這可能是由于主站點(diǎn)處的偶然的或惡意的刪除���,或者它可能是由于需要將項(xiàng)流傳送回主中心以進(jìn)行“撥號(hào)音”恢復(fù),其中主服務(wù)器恢復(fù)運(yùn)轉(zhuǎn)并從導(dǎo)致數(shù)據(jù)損失的故障恢復(fù)���。就這一點(diǎn)而言,使服務(wù)對(duì)用戶可用����,當(dāng)他們的數(shù)據(jù)被從輔助副本回流時(shí),他們可以發(fā)送和接收郵件�。除數(shù)據(jù)保護(hù)和災(zāi)難恢復(fù)能力之外����,合成完全還可用于各種分析��,從業(yè)務(wù)智能到入侵檢測(cè)�。各種服務(wù)也可以相對(duì)于輔助副本來執(zhí)行以針對(duì)各種應(yīng)用來對(duì)數(shù)據(jù)進(jìn)行后處理�,這些應(yīng)用包括但不僅限于,eDiscovery(e恢復(fù))�、Compliance (順從)、Governance (管理)����、 Security (安全性)和Bi。然而����,出于數(shù)據(jù)保護(hù)和災(zāi)難恢復(fù)的原因,通常需要將輔助服務(wù)器主存在遠(yuǎn)程位置�,以便輔助服務(wù)器相對(duì)于主服務(wù)器獨(dú)立地經(jīng)受得住故障。另外�����,還可以將操作復(fù)雜性外包到外部機(jī)構(gòu)�����。云服務(wù)提供者例如可以提供將啟用所有這些應(yīng)用的云備份服務(wù),而無需企業(yè)承擔(dān)維護(hù)他們的企業(yè)數(shù)據(jù)的多個(gè)副本的成本和復(fù)雜性并且無需花費(fèi)開發(fā)資源來實(shí)現(xiàn)����。如在背景技術(shù)中所提及的,在由服務(wù)組織所擁有的遠(yuǎn)程站點(diǎn)處維護(hù)敏感的企業(yè)數(shù)據(jù)可以將該數(shù)據(jù)置于從保密性被違犯到數(shù)據(jù)損失的危險(xiǎn)中���。如針對(duì)此處的各實(shí)施例所描述的��,保護(hù)保密性涉及在數(shù)據(jù)離開主數(shù)據(jù)中心之前對(duì)數(shù)據(jù)進(jìn)行加密�。然而����,這不會(huì)保護(hù)輔助站點(diǎn)處的數(shù)據(jù)丟失或損壞。另外���,對(duì)數(shù)據(jù)的常規(guī)加密將防止對(duì)該數(shù)據(jù)的任何后處理��,從而不能維護(hù)合成完全��,不能作為該合成完全的一部分執(zhí)行管理操作�,以及不能訪問該副本以便實(shí)現(xiàn)上文所概述的服務(wù)�����。圖1是用于提供如此處所描述的備份服務(wù)的一個(gè)或多個(gè)實(shí)施例的一般環(huán)境的框圖。一般而言�,計(jì)算設(shè)備100(例如��,備份客戶)位于第一控制區(qū)110���,計(jì)算設(shè)備120(例如����, 云服務(wù)提供者)位于第二控制區(qū)130�����,計(jì)算設(shè)備160位于第三控制區(qū)190�����,且密碼技術(shù)提供者180位于第三控制區(qū)196中�����。計(jì)算設(shè)備100����、120��、160中的每一個(gè)都可分別包括處理器 PI�、P2�、P3,并分別包括存儲(chǔ)Ml����、M2、M3�。就這一點(diǎn)而言,如根據(jù)各種非限制性實(shí)施例所描述的�,提供了用于在云中啟用經(jīng)加密備份數(shù)據(jù)140的技術(shù),以使得項(xiàng)150可以被從云中恢復(fù)并使得一組分析服務(wù)170可以以經(jīng)加密合成完全備份數(shù)據(jù)145為基礎(chǔ)�����,該經(jīng)加密合成完全備份數(shù)據(jù)145基于來自設(shè)備100的本地?cái)?shù)據(jù)集105來在云中維護(hù)���。如下面更詳細(xì)地描述的�,各種密碼技術(shù)被合并到可向服務(wù)用戶提供對(duì)保密性和不可抵賴性的強(qiáng)保證的備份服務(wù)的供應(yīng)中��。通過將這些密碼技術(shù)與數(shù)據(jù)保護(hù)技術(shù)相集成�����,合成完全可以作為遠(yuǎn)程服務(wù)來維護(hù),可以按以下方式在合成完全數(shù)據(jù)上實(shí)現(xiàn)分層的應(yīng)用讓該數(shù)據(jù)的所有者和企業(yè)客戶(“客戶”)具有對(duì)由主存該數(shù)據(jù)的實(shí)體(即云服務(wù)提供者或運(yùn)營(yíng)商(“CSP”))可以執(zhí)行的操作的類型的準(zhǔn)確控制�����。另外����,這些操作中有許多可以由CSP 代表客戶來執(zhí)行,而無需了解或以其他方式看見對(duì)其執(zhí)行操作的數(shù)據(jù)的實(shí)際內(nèi)容����。最后���,客戶可以檢測(cè)CSP是否不適當(dāng)?shù)貏h除或修改數(shù)據(jù)��,或?qū)?shù)據(jù)移到性能較低的輔助或第三級(jí)存儲(chǔ)���。如上文所提及的,各種密碼技術(shù)被與備份服務(wù)相集成����,以向客戶提供放棄對(duì)備份數(shù)據(jù)的控制的信心����,例如以增強(qiáng)安全性和保密性����。例如,可搜索的加密是其中在數(shù)據(jù)被加密之前從該數(shù)據(jù)復(fù)制出必要的元數(shù)據(jù)的加密方法�。作為非限制性示例,在Exchange電子郵件的情況下����,數(shù)據(jù)是帶有附件的消息,而必要元數(shù)據(jù)可包括選定的消息收發(fā)應(yīng)用程序編程接口(MAPI)屬性和全文索引����。例如,數(shù)據(jù)是例如使用高級(jí)加密標(biāo)準(zhǔn)(AEQ加密的�,而元數(shù)據(jù)是以生成加密索引的方式來加密的。結(jié)果���, 經(jīng)加密的數(shù)據(jù)和索引現(xiàn)在可以被移交到諸如CSP之類的不被完全信任的另一實(shí)體����。對(duì)所聚集的經(jīng)加密的數(shù)據(jù)和索引的后續(xù)選擇性訪問可以通過該數(shù)據(jù)的所有者(客戶)向CSP(或其他經(jīng)授權(quán)的訂戶)發(fā)送加密的查詢來完成。此后����,CSP可以對(duì)加密的索引應(yīng)用加密的查詢,并返回匹配的加密數(shù)據(jù)����,然而,CSP不會(huì)了解關(guān)于數(shù)據(jù)的內(nèi)容����、元數(shù)據(jù)、查詢或結(jié)果的任何東西(除非被客戶授權(quán))���。擁有證明和可恢復(fù)性證明是其中“證明者(Prover)��,���,(在此情況下是提供備份存儲(chǔ)的CSP)和“驗(yàn)證者(Verifier) ”(客戶)可以參與一協(xié)議的密碼技術(shù)�����,在該協(xié)議中驗(yàn)證者可以有效地確定他們所擁有的數(shù)據(jù)是否是原樣并可用于從數(shù)據(jù)的持有者(CSP)方便地檢索����。這些技術(shù)在網(wǎng)絡(luò)帶寬方面以及在CSP執(zhí)行的操作方面是高效的�����,如此�����,CSP的銷貨成本(COGS)保持相對(duì)不變�����,并且用于完成協(xié)議的時(shí)間也合理地短�??梢员患傻絺浞輸?shù)據(jù)服務(wù)的供應(yīng)中的另一密碼技術(shù)是應(yīng)用證明。類似于擁有證明��,應(yīng)用證明允許驗(yàn)證者查明合成完全正在被證明者(CSP)正確地維護(hù)��。對(duì)于應(yīng)用證明�����,當(dāng)增量式備份被從主站點(diǎn)流傳送到可以外包的遠(yuǎn)程輔助站點(diǎn)(可能在云中)時(shí)����,根據(jù)它們的服務(wù)級(jí)協(xié)議(SLA)��,期望遠(yuǎn)程實(shí)體立即將增量應(yīng)用到保持在該輔助站點(diǎn)上的副本以便維護(hù)合成完全�。然而�,輔助站點(diǎn)中的此遠(yuǎn)程實(shí)體可以選擇不應(yīng)用這些日志,或許由于疏忽���,或者或許由于使它們的產(chǎn)品的成本保持得低一些的需要���,例如他們可以選擇以后在較低服務(wù)器利用率的時(shí)間段內(nèi)應(yīng)用這些日志。在應(yīng)用日志時(shí)的這一延遲的后果是在主服務(wù)器/站點(diǎn)在該窗口內(nèi)發(fā)生故障的情況下���,將導(dǎo)致RT0(即在主站點(diǎn)發(fā)生故障的情況下在輔助站點(diǎn)上恢復(fù)服務(wù)所要花費(fèi)的時(shí)間的上限)降級(jí)����。另外��,RP0�,即在主服務(wù)器/站點(diǎn)消失的情況下在任何時(shí)刻都可能會(huì)丟失的生產(chǎn)數(shù)據(jù)的上限,將降級(jí)����。原因是,如果日志沒有被應(yīng)用�����,在沒有應(yīng)用證明機(jī)制的情況下����,數(shù)據(jù)備份所有者或客戶直到已趕不及糾正之時(shí)之前不會(huì)知道存在潛伏問題,從而導(dǎo)致丟失生
10產(chǎn)數(shù)據(jù)��。使用Exchange作為非限制性示例�����,增量式備份采取事務(wù)日志的形式�����,事務(wù)日志是記錄的序列���;凈荷可以是適當(dāng)?shù)丶用艿?,并且元?shù)據(jù)可以對(duì)輔助/云站點(diǎn)運(yùn)營(yíng)商可見���,如此它們可以播放日志以維護(hù)合成完全����。正在被更新的Exchange數(shù)據(jù)庫(kù)(EDB)是4層B+樹, 葉節(jié)點(diǎn)包含生產(chǎn)數(shù)據(jù)���。驗(yàn)證者知道在應(yīng)用了任何日志之后目標(biāo)EDB的樣子�。對(duì)物理頁(yè)面的分配可以是任意的����、基于所使用的分配器的,但是存在著從日志記錄的傳入記錄格式到該邏輯B+樹的確定性映射���。驗(yàn)證者也可能已經(jīng)將信息嵌入在可以被存儲(chǔ)在B+樹中的經(jīng)加密記錄凈荷中���。在這樣的情況下,應(yīng)用證明涉及數(shù)據(jù)的驗(yàn)證者(即所有者)向證明者(即負(fù)責(zé)維護(hù)合成完全的實(shí)體)發(fā)送質(zhì)詢�����。在該交互結(jié)束時(shí)����,驗(yàn)證者了解是否應(yīng)用了日志。圖2是用于提供包括應(yīng)用證明的備份服務(wù)的一個(gè)或多個(gè)實(shí)施例的一般環(huán)境的框圖����。就這一點(diǎn)而言,驗(yàn)證者200(例如�����,數(shù)據(jù)所有者或備份客戶)向證明者210(例如���,備份數(shù)據(jù)服務(wù)提供者)發(fā)出密碼質(zhì)詢220�����,該證明者210根據(jù)正在被證明的修改數(shù)據(jù)的應(yīng)用以及密碼質(zhì)詢來計(jì)算結(jié)果212�����。返回質(zhì)詢響應(yīng)230�,該質(zhì)詢響應(yīng)230允許驗(yàn)證者200基于質(zhì)詢響應(yīng)202來驗(yàn)證已經(jīng)應(yīng)用了修改(例如�����,增量的事務(wù)日志)��。盲指紋表示另一種類型的密碼技術(shù)�,它對(duì)通常用于使通過網(wǎng)絡(luò)交換的冗余數(shù)據(jù)最小化的諸如Rabin指紋之類的網(wǎng)絡(luò)去重復(fù)技術(shù)進(jìn)行擴(kuò)展��。在此處的各實(shí)施例中�����,應(yīng)用指紋以便協(xié)議中的參與者(例如����,在存儲(chǔ)備份數(shù)據(jù)的情況下是CSP)不知道它們正在主存的數(shù)據(jù)的實(shí)際內(nèi)容��。對(duì)于關(guān)于盲指紋的某些附加上下文���,跨廣域網(wǎng)(WAN)的任何大數(shù)據(jù)交換���,包括對(duì)合成完全的維護(hù),將需要對(duì)線路的“去重復(fù)”技術(shù)��,或確保不通過線路發(fā)送不必要的數(shù)據(jù)�����。這是通過取數(shù)據(jù)段的指紋然后交換指紋來完成的�����,以便發(fā)送者知道他們擁有接收方所沒有的事物。同樣�����,接收方知道它們需要要求發(fā)送者提供什么數(shù)據(jù)���。分布式文件服務(wù)復(fù)制(DFS-R) 可以用于在諸如分公司備份和分布式文件系統(tǒng)之類的各種場(chǎng)景中優(yōu)化通過WAN的數(shù)據(jù)交換。在Exchange的情況下�,有大量的數(shù)據(jù)重復(fù),并且有可能在任何給定時(shí)間在線路上有高達(dá)50%或更多的數(shù)據(jù)可能是重復(fù)的���?�?梢栽趬K級(jí)別或在對(duì)象級(jí)別(例如����,電子郵件��、 日歷項(xiàng)��、任務(wù)����、聯(lián)系人等等)獲取指紋����。指紋可以被高速緩存在主數(shù)據(jù)中心和輔助數(shù)據(jù)中心處����。如此,如果主數(shù)據(jù)中心發(fā)生故障�����,則輔助數(shù)據(jù)可以與指紋一起被恢復(fù)到主數(shù)據(jù)中心�。在主數(shù)據(jù)中心處對(duì)數(shù)據(jù)的加密應(yīng)該仍然允許指紋對(duì)輔助數(shù)據(jù)中心運(yùn)營(yíng)商可見,盡管被遮蔽����。 這可以例如通過將指紋作為關(guān)鍵詞/元數(shù)據(jù)與可搜索的加密一起存儲(chǔ)來實(shí)現(xiàn),以便除輔助數(shù)據(jù)中心中的經(jīng)授權(quán)實(shí)體/代理以外���,沒有其他實(shí)體能夠檢測(cè)各模式����。在備份數(shù)據(jù)服務(wù)的上下文中���,當(dāng)發(fā)送完全或增量時(shí)���,主數(shù)據(jù)中心可以檢查日志或 EDB中的每一項(xiàng)/段/塊���,并咨詢指紋的本地副本。如果存在匹配���,則主數(shù)據(jù)中心將該項(xiàng)/ 段/塊替換為指紋��。術(shù)語“盲指紋”在本文中被如此稱呼是由于應(yīng)用指紋的方式。在一個(gè)實(shí)施例中����,對(duì)實(shí)現(xiàn)盲指紋的密碼技術(shù)的選擇包括保持大小的密碼技術(shù)。圖3是用于提供包括盲指紋的備份服務(wù)的一個(gè)或多個(gè)實(shí)施例的一般環(huán)境的框圖�����。 利用盲指紋����,備份數(shù)據(jù)訂戶300和備份數(shù)據(jù)服務(wù)提供者310經(jīng)歷指紋交換,以作為代理來理解在正在被備份的數(shù)據(jù)集的相應(yīng)的本地和備份副本上已經(jīng)擁有什么數(shù)據(jù)段��。作為指紋交換320的結(jié)果,確定縮小的修改數(shù)據(jù)集以在302作為去重復(fù)的修改數(shù)據(jù)330傳輸?shù)絺浞輸?shù)據(jù)服務(wù)提供者310����,然后該備份數(shù)據(jù)服務(wù)提供者310基于選擇性地訪問去重復(fù)的修改數(shù)據(jù)和任何盲指紋340來應(yīng)用修改數(shù)據(jù)。如此�����,基于上面所描述的框架和范圍從存儲(chǔ)和計(jì)算服務(wù)到通信和協(xié)作服務(wù)的相對(duì)應(yīng)的密碼技術(shù)���,出現(xiàn)了基于由CSP提供的備份服務(wù)的各種場(chǎng)景�。較大的企業(yè)客戶在他們的當(dāng)前企業(yè)數(shù)據(jù)中心具有大量的計(jì)算和存儲(chǔ)資產(chǎn)�����,并且采用云服務(wù)的慣性可能會(huì)高���。另外����,客戶對(duì)數(shù)據(jù)中心運(yùn)作有經(jīng)驗(yàn)并熟悉數(shù)據(jù)中心運(yùn)作���,從而希望利用運(yùn)營(yíng)費(fèi)用(OPEX)和資本費(fèi)用(CAPEX)優(yōu)點(diǎn)��,并且因此關(guān)心他們的從房屋移到云中的敏感業(yè)務(wù)數(shù)據(jù)�����。對(duì)于此類客戶����,在各實(shí)施例中,提供了涉及擁有和操作諸如Exchange服務(wù)器之類的他們的現(xiàn)有服務(wù)器的客戶的一組應(yīng)用�����。然后���,出于數(shù)據(jù)保護(hù)、存檔�����、順從性�����、管理�����、合法或其他原因,將數(shù)據(jù)的第二副本委托給云服務(wù)提供者����。如此,CSP具有技能��、技術(shù)和規(guī)模經(jīng)濟(jì)來保持此數(shù)據(jù)以對(duì)抗數(shù)據(jù)損失或公開��,并可以便于在此第二副本上面運(yùn)行應(yīng)用�����?��?梢曰诰S護(hù)合成完全向客戶提供的示例產(chǎn)品和服務(wù)的小示例包括訴訟支持����、監(jiān)視和監(jiān)督�����、服務(wù)撥號(hào)音�����、數(shù)據(jù)導(dǎo)航等等。對(duì)于訴訟支持���,當(dāng)一公司正在被控告時(shí)�,訴訟程序需要各種實(shí)體對(duì)歷史電子郵件記錄執(zhí)行搜索����。這些實(shí)體包括內(nèi)部司法人員、HR��、經(jīng)理���、外部法律顧問���、他們的外部訴訟支持伙伴、以及對(duì)立的法律顧問����。關(guān)于誰可以執(zhí)行什么搜索存在著特定作用域規(guī)則��。 在當(dāng)前訴訟支持場(chǎng)景中�����,難以界定作用域。因此�,訴訟支持中所涉及的任何個(gè)人有可能看到在作用域外的電子郵件。在電子郵件的情況下���,通常以個(gè)人存儲(chǔ)表(PST)文件的形式來交換搜索的結(jié)果�,這構(gòu)成了額外的風(fēng)險(xiǎn)����,因?yàn)檫@些文件可能會(huì)無意中或惡意地被移交到未經(jīng)授權(quán)的個(gè)人。相比之下�,當(dāng)?shù)诙北颈贿h(yuǎn)程地主存(例如由CSP被主存在云中)并通過合成完全來維護(hù)時(shí),企業(yè)中的單個(gè)可信實(shí)體(例如�,首席法務(wù)官)有可能在操作中給每一個(gè)個(gè)人提供將他們的查詢能力限制到他們的需求的特定陷門。被主存在云中并通過可搜索的加密和抗竄改審計(jì)日志保護(hù)的數(shù)據(jù)提供較高級(jí)別的保護(hù)����,以便阻止不適當(dāng)?shù)碾娮余]件訪問。消除了交換PST文件的必要性��,因?yàn)椴僮髦械乃袀€(gè)人都直接訪問云以便進(jìn)行查詢�����,而訴訟支持伙伴是導(dǎo)出目標(biāo)內(nèi)容以轉(zhuǎn)換成用于案件管理的標(biāo)簽圖像文件格式(TIFF)的唯一實(shí)體。對(duì)于監(jiān)視和監(jiān)督遠(yuǎn)程備份數(shù)據(jù)副本��,任何大小合理的公司都應(yīng)該出于各種目的而主動(dòng)地監(jiān)視他們組織的電子郵件�����。這些可以從合法/順從性到諸如監(jiān)視IP泄漏�、剽竊、不當(dāng)語言等等之類的各管理理由����。通常,監(jiān)視和監(jiān)督軟件監(jiān)視主服務(wù)器或被備份或者存檔的第二副本�。監(jiān)視主服務(wù)器的問題是,這可能對(duì)繁忙的生產(chǎn)服務(wù)器施加額外的負(fù)載�。另外,由于管理員有可能意外地或惡意地修改或刪除主服務(wù)器上的數(shù)據(jù)����,因此一種解決方案是以順從的方式捕捉數(shù)據(jù)并將它傳輸?shù)降诙北荆渲斜O(jiān)視和監(jiān)督軟件不斷地掃描傳入的電子郵件����,查看或搜索各模式��。然而,在許多企業(yè)設(shè)置中���,有對(duì)這些第二副本的本地管理訪問�����,結(jié)果盡管有竄改檢測(cè)和預(yù)防機(jī)制��,足智多謀的管理員也可以修改或刪除信息�����,����。相比之下�����,由CSP維護(hù)合成完全有利地將第二副本放在不同的控制區(qū)中�����。諸如可搜索公鑰加密(PEKQ和擁有證明(POP)之類的合適的密碼技術(shù)可以確保甚至企業(yè)管理員和CSP的雇員之間的串通仍阻止它們肯定地標(biāo)識(shí)他們想要修改的確切項(xiàng)����。監(jiān)視和監(jiān)督軟件在遠(yuǎn)程站點(diǎn)中或在云中運(yùn)行���,并通過預(yù)先提供的陷門來查找具有特定預(yù)先確定的關(guān)鍵詞的項(xiàng)。
對(duì)于服務(wù)撥號(hào)音�����,當(dāng)主中心遭受導(dǎo)致數(shù)據(jù)丟失的任何故障時(shí)�,為了恢復(fù),檢索最近的備份并重新啟動(dòng)服務(wù)�����。對(duì)于某些服務(wù)器類別�,使該服務(wù)可用比使最終用戶可以訪問他們的全部數(shù)據(jù)對(duì)最終用戶而言更重要。因此��,諸如Exchange之類的服務(wù)器實(shí)現(xiàn)叫做“撥號(hào)音” 的能力���,其中在從故障恢復(fù)之后盡可能快地重新啟動(dòng)^cchange郵件服務(wù)�。然后�����,用戶能夠發(fā)送和接收電子郵件,而在后臺(tái)�,他們的郵箱的內(nèi)容從第二備份副本流入����。在云備份場(chǎng)景中,帶寬非常寶貴��,并且如果它在關(guān)鍵恢復(fù)路徑中則將數(shù)據(jù)從云恢復(fù)到企業(yè)可能要花過度的時(shí)間量����。類似于撥號(hào)音的解決方案是“服務(wù)撥號(hào)音”,其中客戶機(jī)側(cè)軟件�,例如在Exchange或Outlook中,按某種順序?qū)⑾蓍T流傳輸?shù)竭h(yuǎn)程站點(diǎn)(即云)��,而 CSP會(huì)將相關(guān)聯(lián)的加密消息發(fā)送回到企業(yè)�。這可以分兩個(gè)階段來實(shí)現(xiàn)——第一個(gè)階段發(fā)送消息存根(沒有正文的頭部);第二階段在用戶試圖直接訪問消息時(shí)���,請(qǐng)求實(shí)際正文和附件���。對(duì)于上文所描述的備份場(chǎng)景,以不會(huì)泄露客戶的隱私的方式來實(shí)現(xiàn)撥號(hào)音。對(duì)于數(shù)據(jù)導(dǎo)航器�����,在典型的企業(yè)協(xié)作或記錄管理場(chǎng)景中�,在儲(chǔ)存庫(kù)中很可能會(huì)有文檔的多個(gè)副本。例如���,一群合作者可能通過電子郵件交換帶有各單獨(dú)修改的PowerPoint 幻燈片���。結(jié)果是混淆的一組版本,最終用戶需要以某種方式進(jìn)行反向工程以確定哪一個(gè)版本是最相關(guān)的或最近的��。當(dāng)云主存第二經(jīng)加密的副本時(shí)��,服務(wù)可以通過可搜索的加密對(duì)該大量經(jīng)加密的數(shù)據(jù)進(jìn)行操作�����,其中為CSP只提供特定陷門����,這些陷門讓CSP理解消息ID、會(huì)話線程�、以及匿名的文檔ID����。如此�,當(dāng)用戶發(fā)送對(duì)應(yīng)于特定文檔的陷門時(shí),CSP服務(wù)能夠遍歷儲(chǔ)存庫(kù)并返回最佳匹配��。其范圍可以從最近版本到版本的整個(gè)分層結(jié)構(gòu)���。如此,如根據(jù)各實(shí)施例所描述的��,可為支持完全和增量式備份的任何服務(wù)器/服務(wù)實(shí)現(xiàn)合成完全���。在本節(jié)�����,使用Exchange作為示例場(chǎng)景��,然而�,可以理解���,支持任何類型的備份數(shù)據(jù)���。因此��,盡管在Exchange數(shù)據(jù)的上下文中討論了本實(shí)施例�,但是���,此處所描述的實(shí)施例不僅限于消息數(shù)據(jù)�����。為維護(hù)合成完全�,執(zhí)行下列步驟�。1.完全備份提取軟件代理通過調(diào)用可擴(kuò)展存儲(chǔ)引擎(ESE)或者卷影副本服務(wù) (VSS)備份應(yīng)用程序編程接口(API)來在主Exchange服務(wù)器處啟動(dòng)完全備份。這提供正在被備份的存儲(chǔ)組(Storage Group)中的EDB��、流數(shù)據(jù)庫(kù)文件(STM)和日志的副本����。2.完全備份準(zhǔn)備由軟件代理遍歷EDB、STM和日志���,以保持大小的方式來加密生產(chǎn)數(shù)據(jù)���。使用可搜索的加密來加密結(jié)構(gòu)元數(shù)據(jù)�����。生成密碼陷門��,以便維護(hù)合成完全的遠(yuǎn)程實(shí)體可以使用該陷門來遍歷日志或EDB����。3.完全備份傳輸以網(wǎng)絡(luò)優(yōu)化的方式將EDB����、STM和日志傳輸?shù)捷o助站點(diǎn)����。4.完全備份基線存儲(chǔ)輔助站點(diǎn)存儲(chǔ)此新接收到的集合來作為后續(xù)合成完全操作的基線。完全備份通常在諸如恢復(fù)或離線去碎片之類的某些事件之后重復(fù)�。5.增量式備份在完全備份之后,軟件代理使用ESE或者VSS備份API來運(yùn)行從 Exchange進(jìn)行增量式提取�。這提供自從最后一次完全或增量式備份以來所生成的所有日志的副本。6.增量式備份準(zhǔn)備由軟件代理遍歷日志����,以保持大小的方式來加密生產(chǎn)數(shù)據(jù), 而同時(shí)以可搜索的方式來加密結(jié)構(gòu)元數(shù)據(jù)�����。7.增量式備份傳輸以網(wǎng)絡(luò)優(yōu)化的方式將日志傳輸?shù)捷o助站點(diǎn)。8.增量式日志訪問在增量式備份傳輸之后�����,例如緊接傳輸之后�����,輔助站點(diǎn)處的實(shí)體使用帶外提供給它的陷門�,以便輔助站點(diǎn)可以訪問EDB、STM和日志結(jié)構(gòu)元數(shù)據(jù)�,遍歷日志,并將它們應(yīng)用到EDB����。9.日志應(yīng)用[“重放”]在增量式日志訪問之后,例如緊接訪問之后��,將日志應(yīng)用到EDB以使它們保持更新����。10.項(xiàng)恢復(fù)為了從通過合成完全維護(hù)的輔助副本來恢復(fù)項(xiàng)或項(xiàng)的流,輔助數(shù)據(jù)中心處的軟件代理接收被用來從EDB提取通常要被恢復(fù)到主數(shù)據(jù)中心的項(xiàng)(例如��,消息、日歷項(xiàng)�、任務(wù)、聯(lián)系人等等)的陷門����。11.分析/恢復(fù)來自前一集合的項(xiàng)或項(xiàng)的流的接收者是能夠訪問被用來加密生產(chǎn)數(shù)據(jù)的對(duì)稱密鑰并能夠?qū)㈨?xiàng)用于范圍從恢復(fù)到分析的授權(quán)實(shí)體。因此�����,根據(jù)上文所描述的技術(shù)�����,下面描述了各種實(shí)施例���。圖4是示出了用于基于經(jīng)加密數(shù)據(jù)和元數(shù)據(jù)以及陷門數(shù)據(jù)來維護(hù)所定義的數(shù)據(jù)集的合成完全數(shù)據(jù)的示例性非限制性的服務(wù)側(cè)過程的流程圖。在400�����,第一控制區(qū)中的計(jì)算設(shè)備從第二控制區(qū)中的計(jì)算設(shè)備接收根據(jù)可搜索的加密算法基于密鑰信息來對(duì)第二控制區(qū)中的該計(jì)算設(shè)備的所定義的數(shù)據(jù)集的完全備份數(shù)據(jù)進(jìn)行加密而形成的經(jīng)加密數(shù)據(jù)���。在410�,第一控制區(qū)中的計(jì)算設(shè)備接收通過對(duì)完全備份數(shù)據(jù)的分析以及基于密鑰信息對(duì)該分析的輸出進(jìn)行加密而形成的經(jīng)加密元數(shù)據(jù)。在420��,接收允許對(duì)經(jīng)加密數(shù)據(jù)的可見(即選擇性)訪問的陷門數(shù)據(jù)����。在430,備份服務(wù)基于經(jīng)加密數(shù)據(jù)����、經(jīng)加密元數(shù)據(jù)以及陷門數(shù)據(jù)來維護(hù)所定義的數(shù)據(jù)集的合成完全數(shù)據(jù)。圖5是示出了根據(jù)一個(gè)實(shí)施例的用于維護(hù)合成完全數(shù)據(jù)的示例性非限制性的客戶側(cè)過程的流程圖����。在500,啟動(dòng)存儲(chǔ)在第一控制區(qū)中的計(jì)算設(shè)備的存儲(chǔ)器中的主數(shù)據(jù)的完全備份��,以形成用于由第二控制區(qū)中的遠(yuǎn)程計(jì)算設(shè)備維護(hù)主數(shù)據(jù)的合成完全備份數(shù)據(jù)的完全備份數(shù)據(jù)��。在510��,基于對(duì)主數(shù)據(jù)的遍歷來生成描述主數(shù)據(jù)的結(jié)構(gòu)元數(shù)據(jù)����。在520,根據(jù)可搜索加密技術(shù)基于從生成密鑰信息的密鑰生成器接收到的密鑰信息來對(duì)主數(shù)據(jù)和結(jié)構(gòu)元數(shù)據(jù)進(jìn)行加密�����,以形成經(jīng)加密數(shù)據(jù)和經(jīng)加密元數(shù)據(jù)。在530���,基于密鑰信息來生成密碼陷門���,從而允許對(duì)經(jīng)加密數(shù)據(jù)的如密碼陷門所定義的遍歷。圖6是示出了用于在用于維護(hù)合成完全數(shù)據(jù)的實(shí)施例中恢復(fù)數(shù)據(jù)項(xiàng)的示例性非限制性過程的流程圖�。在600,從備份數(shù)據(jù)服務(wù)請(qǐng)求訂戶計(jì)算設(shè)備的數(shù)據(jù)集的數(shù)據(jù)項(xiàng)的恢復(fù)�,該備份數(shù)據(jù)服務(wù)以由該備份數(shù)據(jù)服務(wù)為合成完全備份服務(wù)可搜索地加密的格式維護(hù)對(duì)應(yīng)于該數(shù)據(jù)集的合成完全數(shù)據(jù)。在610���,以可搜索地加密的格式來接收數(shù)據(jù)項(xiàng)�。在620��,基于用于加密訂戶設(shè)備可訪問的數(shù)據(jù)集的密鑰信息���,恢復(fù)訂戶計(jì)算設(shè)備的存儲(chǔ)器中的數(shù)據(jù)集的數(shù)據(jù)項(xiàng)。圖7是示出了用于提供包括應(yīng)用證明的備份服務(wù)的示例性非限制性過程的流程圖�����。在700,根據(jù)可搜索加密基于從生成密鑰信息的密鑰生成器接收到的密鑰信息���,加密修改數(shù)據(jù)(例如�,表示為完全或增量的事務(wù)日志)以形成表示對(duì)第一控制區(qū)中的計(jì)算設(shè)備的數(shù)據(jù)集的一組修改的經(jīng)加密修改數(shù)據(jù)��。在710����,將經(jīng)加密修改數(shù)據(jù)傳輸?shù)降诙刂茀^(qū)中的計(jì)算設(shè)備以更新由第二控制區(qū)中的該計(jì)算設(shè)備存儲(chǔ)的合成完全備份數(shù)據(jù)。在720���,證明第二控制區(qū)中的該計(jì)算設(shè)備對(duì)合成完全備份數(shù)據(jù)應(yīng)用了該組修改來根據(jù)作為備份服務(wù)的協(xié)議更新合成完全備份數(shù)據(jù)�����。圖8是示出了用于提供包括如上文所描述的盲指紋的備份服務(wù)的示例性非限制性過程的流程圖����。在800�,根據(jù)可搜索加密算法基于從生成密鑰信息的密鑰生成器接收到的密鑰信息,加密修改數(shù)據(jù)��,以形成表示對(duì)第一控制區(qū)中的計(jì)算設(shè)備的數(shù)據(jù)集的一組修改的經(jīng)加密修改數(shù)據(jù)。在810����,取數(shù)據(jù)集中所表示的數(shù)據(jù)段的指紋以形成用于替換實(shí)際修改數(shù)據(jù)的指紋,其中確定相對(duì)應(yīng)的數(shù)據(jù)段被表示在表示該數(shù)據(jù)集的各數(shù)據(jù)段的指紋本地集合中��。在820��,將經(jīng)加密修改數(shù)據(jù)傳輸?shù)降诙刂茀^(qū)中的計(jì)算設(shè)備以更新由第二控制區(qū)中的該計(jì)算設(shè)備存儲(chǔ)的合成完全備份數(shù)據(jù)��。圖9是示出了用于提供包括故障恢復(fù)的備份服務(wù)以快速重啟應(yīng)用的示例性非限制性過程的流程圖����。在900,在訂戶設(shè)備的數(shù)據(jù)集的數(shù)據(jù)的故障(錯(cuò)誤���、刪除��、修改等等)之后�����,從備份數(shù)據(jù)服務(wù)請(qǐng)求數(shù)據(jù)集的數(shù)據(jù)項(xiàng)的恢復(fù)�,該備份數(shù)據(jù)服務(wù)以該備份數(shù)據(jù)服務(wù)為合成完全備份服務(wù)可搜索地加密的格式維護(hù)對(duì)應(yīng)于該數(shù)據(jù)集的合成完全數(shù)據(jù)��。在910�����,以經(jīng)加密的格式從備份數(shù)據(jù)服務(wù)接收數(shù)據(jù)項(xiàng)的一部分�����,并基于對(duì)數(shù)據(jù)項(xiàng)的該部分的使用來重啟訂戶設(shè)備的應(yīng)用�。在920,在重啟之后����,接收還沒有被訂戶設(shè)備接收到的數(shù)據(jù)項(xiàng)的任何其余數(shù)據(jù)。如此處所描述的�,根據(jù)各實(shí)施例,獨(dú)立數(shù)據(jù)保護(hù)和密碼技術(shù)被以增強(qiáng)和修改每一個(gè)以支持另一個(gè)的方式組合起來����,以提供當(dāng)前對(duì)消費(fèi)者、企業(yè)���、生態(tài)系統(tǒng)和社交網(wǎng)絡(luò)不可用的聚集解決方案���。用于可信云服務(wù)生態(tài)系統(tǒng)的補(bǔ)充上下文如上文所描述的�����,獨(dú)立數(shù)據(jù)保護(hù)和密碼技術(shù)被不同地組合���,以增強(qiáng)關(guān)于備份數(shù)據(jù)的保密性、信任和安全性���,例如作為合成完全存儲(chǔ)在諸如由CSP所維護(hù)的遠(yuǎn)程站點(diǎn)處�。盡管下面將在一般數(shù)據(jù)或網(wǎng)絡(luò)服務(wù)的上下文中描述一般的生態(tài)系統(tǒng)����,但是這樣的一般數(shù)據(jù)或網(wǎng)絡(luò)服務(wù)可以被用于將備份數(shù)據(jù)存儲(chǔ)在遠(yuǎn)程站點(diǎn)處的上述場(chǎng)景中的任何一個(gè)或多個(gè)中。為網(wǎng)絡(luò)數(shù)據(jù)服務(wù)提供數(shù)字托管模式���,包括用于存儲(chǔ)在云中的數(shù)據(jù)的可搜索加密技術(shù)�,從而將信任分布在多個(gè)實(shí)體間以避免受單個(gè)實(shí)體損害���。在一個(gè)實(shí)施例中����,密鑰生成器���、 密碼技術(shù)提供者和云服務(wù)提供者每個(gè)都被配備為單獨(dú)的實(shí)體����,從而使得數(shù)據(jù)的發(fā)布者能夠機(jī)密地(經(jīng)加密的)將數(shù)據(jù)發(fā)布給服務(wù)提供者���,并且然后選擇性地將經(jīng)加密的數(shù)據(jù)暴露于請(qǐng)求該數(shù)據(jù)的訂戶��,該選擇性地暴露基于被編碼到響應(yīng)于訂戶請(qǐng)求所生成的密鑰信息中的訂戶身份信息��。對(duì)于可搜索的加密/解密算法而言�,由一個(gè)或多個(gè)密碼技術(shù)提供者實(shí)現(xiàn)的可搜索的公鑰加密(PEKS)方案為任何給定的消息W生成陷門TW�����,使得TW允許檢查給定密文是否是對(duì)W的加密�����,其中TW不揭示關(guān)于明文的任何附加信息��。根據(jù)下面所述的各個(gè)實(shí)施例����,PEKS 方案可以用于基于包含在諸如經(jīng)加密的消息之類的經(jīng)加密數(shù)據(jù)(例如消息文本)中的關(guān)鍵詞對(duì)所述經(jīng)加密數(shù)據(jù)確定優(yōu)先級(jí)或進(jìn)行過濾�。因此�,可以通過釋放相應(yīng)關(guān)鍵詞的能力(有時(shí)被密碼員稱為“陷門”)來向數(shù)據(jù)接收者提供對(duì)經(jīng)加密數(shù)據(jù)的與關(guān)鍵詞有關(guān)的部分的所選訪問。通過這種方式�,可以在經(jīng)加密數(shù)據(jù)中檢查這些關(guān)鍵詞,但是保證不會(huì)從訂戶獲悉比該訂戶的能力所允許的更多東西�����。為了避免質(zhì)疑����,盡管在此處的一個(gè)或多個(gè)實(shí)施例中將PEKS公開為用于實(shí)現(xiàn)可搜索加密的算法,但是能夠理解����,存在多種可替代的算法以用于實(shí)現(xiàn)可搜索加密。PEKS的一些示例性的非限制性的替代方案例如包括不在意(Oblivious)RAM�����。因此��,在此所使用的術(shù)語 “可搜索加密”應(yīng)當(dāng)不限于任何一種技術(shù)����,并且因此是指寬范圍的如下加密機(jī)制或加密機(jī)制的組合所述加密機(jī)制允許基于對(duì)經(jīng)加密數(shù)據(jù)的搜索或查詢功能來選擇性地訪問經(jīng)加密數(shù)據(jù)的子集��。任選地���,可以作為附加好處向生態(tài)系統(tǒng)中的數(shù)據(jù)的訂戶和發(fā)布者提供對(duì)結(jié)果的確認(rèn)和/或驗(yàn)證。確認(rèn)提供一種方式來對(duì)由于針對(duì)數(shù)據(jù)的子集的訂閱請(qǐng)求而接收的數(shù)據(jù)項(xiàng)目是正確的項(xiàng)目集合進(jìn)行確認(rèn)�,即實(shí)際上接收到數(shù)據(jù)的本應(yīng)該接收的正確子集。密碼領(lǐng)域的一種技術(shù)是數(shù)據(jù)擁有證明(PDP)����,然而��,為了避免質(zhì)疑��,PDP僅僅是可以被實(shí)現(xiàn)的一種示例性算法��,并且可以使用實(shí)現(xiàn)相同或類似目標(biāo)的其他算法�。可證明數(shù)據(jù)擁有或數(shù)據(jù)擁有證明是關(guān)于如何頻繁��、有效和安全地驗(yàn)證存儲(chǔ)服務(wù)器忠實(shí)地存儲(chǔ)了其客戶機(jī)的可能大的外包數(shù)據(jù)���。存儲(chǔ)服務(wù)器被假定為在安全性和可靠性方面都不可信任�����。對(duì)結(jié)果的驗(yàn)證提供用于檢查項(xiàng)目本身的內(nèi)容的附加機(jī)制�,即以保證結(jié)合訂閱請(qǐng)求所接收的項(xiàng)目未曾被任何未授權(quán)實(shí)體篡改過。密碼領(lǐng)域的驗(yàn)證的一個(gè)例子是數(shù)據(jù)擁有證明 (PDP)��,然而���,為了避免質(zhì)疑�,PDP僅僅是可以被實(shí)現(xiàn)的一種示例性算法�,并且可以使用實(shí)現(xiàn)相同或類似目標(biāo)的其他算法。在密碼領(lǐng)域中已知的另一技術(shù)是可恢復(fù)性證明(POR)�,然而, 為了避免質(zhì)疑���,POR僅僅是可以被實(shí)現(xiàn)的一種示例性算法�����,并且可以使用實(shí)現(xiàn)相同或類似目標(biāo)的其他算法����。POR是一種由服務(wù)提供者或數(shù)據(jù)主存者(證明者)對(duì)客戶機(jī)(驗(yàn)證者)進(jìn)行的緊湊證明���,其表示目標(biāo)文件F在客戶機(jī)可以完全恢復(fù)文件F并且未發(fā)生篡改的意義上而言是完整的�����。作為附加的選項(xiàng)���,生態(tài)系統(tǒng)可以實(shí)現(xiàn)匿名憑證的概念�,由此發(fā)布者可以以匿名方式上傳關(guān)于其自己的信息而不暴露關(guān)鍵細(xì)節(jié)��,并且訂戶可以受其能力的限制����,使得其不能被暴露或被提供對(duì)由發(fā)布者上傳的關(guān)鍵細(xì)節(jié)的訪問。通過這種方式��,發(fā)布者或訂戶可以與系統(tǒng)交互�����,同時(shí)僅僅暴露其希望向第三方暴露的那樣多的信息�。常規(guī)的web服務(wù)已經(jīng)限于靜態(tài)客戶機(jī)服務(wù)器布置和用于訪問web服務(wù)的靜態(tài)地定義的用戶策略�。然而,當(dāng)根據(jù)經(jīng)常改變和演進(jìn)的復(fù)雜商務(wù)和其他關(guān)系來構(gòu)思許多發(fā)布者和訂戶時(shí)�,這樣的常規(guī)web服務(wù)模型不能是靈活的或者足夠安全的。因此���,在各個(gè)實(shí)施例中�����, 啟用后期綁定�����,使得數(shù)據(jù)和內(nèi)容的發(fā)布者和/或所有者可以基于訂戶是誰���、基于訂戶的能力以及基于他們?cè)趯ふ沂裁?例如基于針對(duì)數(shù)據(jù)的請(qǐng)求中所使用的關(guān)鍵詞)來改變對(duì)經(jīng)加密內(nèi)容的訪問特權(quán)���。因此,訂戶能夠選擇性地訪問的東西與發(fā)布者和/或所有者對(duì)訪問特權(quán)的改變一致地動(dòng)態(tài)改變,因?yàn)橛啈裟芰Ρ痪幋a在由運(yùn)行中的密鑰生成器所提供的密鑰信息中。因此�,為給定請(qǐng)求在為該請(qǐng)求生成密鑰的時(shí)刻定義訂戶特權(quán)�����,并且因此該訂戶特權(quán)總是反映關(guān)于來自訂戶的請(qǐng)求的當(dāng)前策略����。類似地,可信云服務(wù)的服務(wù)器的管理員可以被許可觀察由該服務(wù)器處理的行為和數(shù)據(jù)事物的日志�,但是也可以被限制為不能看見任何客戶姓名或信用卡信息。因此�,訂戶的身份可以是限制訂戶可以訪問的數(shù)據(jù)類型的基礎(chǔ)。在此�,在構(gòu)建對(duì)云服務(wù)的信任的上下文中提出可信生態(tài)系統(tǒng)的各種非限制性實(shí)施例,然而�,在此提供的對(duì)生態(tài)系統(tǒng)的信任構(gòu)建是更一般的,并且不限于應(yīng)用于云服務(wù)���。更確切而言���,在此所述的實(shí)施例類似地適用于企業(yè)數(shù)據(jù)中心內(nèi)的不同服務(wù)器或參與者。因此�����,盡管數(shù)據(jù)可能從未離開給定實(shí)體���,但是在此所述的用于構(gòu)建信任的技術(shù)同樣適用于企業(yè)內(nèi)的不同過程在單獨(dú)控制區(qū)內(nèi)操作的情況。在沒有跨所有企業(yè)過程的可見性的情況下��,可能造成類似的不信任問題�����,就好像參與者置身于企業(yè)之外。例如�����,即使服務(wù)器在處于管理員的控
16制之下時(shí)或者管理員可能不注意或者為惡意時(shí)它也可能在企業(yè)內(nèi)遭到破壞���。除了適用于云中的經(jīng)加密數(shù)據(jù)�����,本發(fā)明的各種技術(shù)還可以適用于存儲(chǔ)在膝上型計(jì)算機(jī)或其他便攜式設(shè)備上的數(shù)據(jù)�����,因?yàn)橄ド闲陀?jì)算機(jī)可能丟失或失竊�。在這種情況下�����,該設(shè)備可能最終為過于好奇或者惡意實(shí)體所擁有���,然而����,在此所述的適于保護(hù)云中數(shù)據(jù)的相同技術(shù)還可以用于保護(hù)服務(wù)器或膝上型計(jì)算機(jī)上的數(shù)據(jù)。如果本地?cái)?shù)據(jù)是經(jīng)加密的�����,則在沒有適當(dāng)訂戶憑證的情況下�,竊賊將不能理解經(jīng)加密的本地?cái)?shù)據(jù),從而不能出示正確角色或能力來訪問該數(shù)據(jù)����。圖10是根據(jù)一實(shí)施例的可信云服務(wù)框架或生態(tài)系統(tǒng)的框圖。該系統(tǒng)包括可信數(shù)據(jù)存儲(chǔ)1000�����,該可信數(shù)據(jù)存儲(chǔ)1000用于存儲(chǔ)可搜索地加密的數(shù)據(jù)1010以及經(jīng)歷確認(rèn)和/ 或驗(yàn)證的訂戶請(qǐng)求的結(jié)果��。就此而言����,網(wǎng)絡(luò)服務(wù)1020可以構(gòu)建在安全數(shù)據(jù)1010之上,使得數(shù)據(jù)的發(fā)布者保留對(duì)賦予給例如通過網(wǎng)絡(luò)服務(wù)1020請(qǐng)求該數(shù)據(jù)的訂戶1040的能力的控制����。發(fā)布者1030還可以是訂戶1040,并且反之亦然��,并且數(shù)據(jù)的所有者1050也可以是發(fā)布者1030和/或訂戶1040����。作為一些常見角色和可以定義的相應(yīng)能力集合的例子,特殊類型的發(fā)布者1030和訂戶1040是管理員1060和審計(jì)員1070����。例如,管理員1060可以是對(duì)數(shù)據(jù)1010的特殊許可集合��,以幫助維護(hù)對(duì)可信數(shù)據(jù)存儲(chǔ)1000的操作�����,并且審計(jì)員實(shí)體1070可以在審計(jì)的范圍內(nèi)幫助維護(hù)某些數(shù)據(jù)的完整性�。 例如,審計(jì)員1070可能訂閱含有攻擊性關(guān)鍵詞的數(shù)據(jù)1010的消息���,在這種情況下���,審計(jì)員 1070在根據(jù)所賦予能力受到許可的情況下可以在數(shù)據(jù)1010的消息包含這樣的攻擊行關(guān)鍵詞時(shí)受到提醒,但是不能閱讀其他消息�����。就此而言,可以基于如下能力構(gòu)建無數(shù)場(chǎng)景將發(fā)布者數(shù)據(jù)置于數(shù)字托管之下���,使得可以分發(fā)實(shí)現(xiàn)對(duì)該數(shù)據(jù)的選擇性訪問的密鑰����。例如��,發(fā)布者向生態(tài)系統(tǒng)認(rèn)證并且指示要上傳到該生態(tài)系統(tǒng)的文檔集合�����。該文檔基于從生成密鑰信息的單獨(dú)的密鑰生成器所接收的密鑰信息根據(jù)可搜索加密算法被加密��。 然后�����,經(jīng)加密數(shù)據(jù)被傳輸給網(wǎng)絡(luò)服務(wù)提供者以供存儲(chǔ)該經(jīng)加密數(shù)據(jù)��,使得經(jīng)加密數(shù)據(jù)可以根據(jù)基于請(qǐng)求設(shè)備的身份信息賦予給該請(qǐng)求設(shè)備的所選特權(quán)的后期綁定被選擇性地訪問�����。 將密碼技術(shù)提供者同經(jīng)加密數(shù)據(jù)的存儲(chǔ)相分離將附加地隔離經(jīng)加密的數(shù)據(jù)免受進(jìn)一步損害。就此而言����,圖11是示出了根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于發(fā)布數(shù)據(jù)的示例性非限制性方法的流程圖����。在1100,發(fā)布者向該系統(tǒng)認(rèn)證(例如發(fā)布者用用戶名和口令�、LiVE ID憑證等等登錄)。在1110�����,密鑰信息由諸如密鑰生成中心之類的密鑰生成器生成�����,這將在下面的一個(gè)或多個(gè)實(shí)施例中予以描述�。在1120,單獨(dú)的密碼技術(shù)提供者基于密鑰信息對(duì)發(fā)布者文檔集進(jìn)行加密�。在1130,經(jīng)加密文檔與能力一起被上傳到例如存儲(chǔ)服務(wù)提供者之類的網(wǎng)絡(luò)服務(wù)提供者�����,使得經(jīng)加密文檔可以利用基于請(qǐng)求設(shè)備(訂戶)的身份信息所賦予的所選特權(quán)的后期綁定被選擇性地訪問。例如在訂戶側(cè)��,訂戶向生態(tài)系統(tǒng)認(rèn)證��,并且指示對(duì)數(shù)據(jù)子集的請(qǐng)求(例如對(duì)包含給定關(guān)鍵詞或關(guān)鍵詞集合的文檔的子集的查詢)����。響應(yīng)于從至少一個(gè)訂戶設(shè)備對(duì)經(jīng)可搜索地加密的數(shù)據(jù)的請(qǐng)求,密鑰生成組件基于與訂戶設(shè)備相關(guān)聯(lián)的身份信息生成密鑰信息��。然后����,根據(jù)在密鑰信息中所定義的賦予給該訂戶設(shè)備的特權(quán),經(jīng)加密數(shù)據(jù)的子集被解密�����。圖12是示出了根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于訂閱數(shù)據(jù)的示例性非限制性方法的流程圖���。在1200��,用于訂閱數(shù)據(jù)的方法包括認(rèn)證訂戶(例如訂戶用用戶名和口令�、LiVEID憑證等等登錄)。在1210���,訂戶作出對(duì)數(shù)據(jù)的請(qǐng)求�。在1220���,密鑰信息由獨(dú)立密鑰生成實(shí)體基于訂戶請(qǐng)求而生成,其中訂戶的能力可以在密鑰信息中定義���。在1230����,發(fā)布者數(shù)據(jù)的子集基于在密鑰信息中所定義的能力被解密�����。例如����,CSP可以對(duì)該數(shù)據(jù)進(jìn)行解密。在1240�����, 使發(fā)布者數(shù)據(jù)的子集可被訂戶訪問,例如訂戶可以基于由所有者/發(fā)布者所賦予的可動(dòng)態(tài)定義的能力來對(duì)該數(shù)據(jù)進(jìn)行下載����、查看、處理�����、改變等等���。任選地�����,用于加密�、解密和密鑰生成的技術(shù)可以由單獨(dú)的密碼技術(shù)提供者來提供����,但是由任何參與者來主存。在一個(gè)實(shí)施例中����,訂戶設(shè)備的身份信息包括該訂戶的角色。例如��,審計(jì)員角色、管理員角色或其他預(yù)先指定的角色可以被發(fā)布者/所有者用作限制或賦予對(duì)經(jīng)可搜索地加密的數(shù)據(jù)存儲(chǔ)的各部分的訪問的基礎(chǔ)�。圖13示出了示例性的生態(tài)系統(tǒng),該生態(tài)系統(tǒng)示出了密鑰生成中心(CKG) 1300����、密碼技術(shù)提供者(CTP) 1310和云服務(wù)提供者(CSP) 1320的分開,由此消除可信生態(tài)系統(tǒng)中單個(gè)實(shí)體造成損害的可能性�。就此而言,客戶1330包括數(shù)據(jù)的發(fā)布者和/或訂戶����?���?蛇x地,CKG 1300可以基于例如由CTP 1310提供的參考軟件��、開源軟件和/或軟件開發(fā)工具包(SDK)來構(gòu)建�����,從而使得多方的構(gòu)件塊能夠自己創(chuàng)建這樣的組件或者對(duì)第三方實(shí)現(xiàn)這樣的生態(tài)系統(tǒng)組件感到滿意���。在一個(gè)實(shí)施例中�,SDK由CTP 1310來提供�,并且可以被一個(gè)或多個(gè)參與者用戶用于主存或?qū)崿F(xiàn)CKG 1300、下面將更詳細(xì)描述的計(jì)算和存儲(chǔ)抽象(CSA)和/或密碼客戶機(jī)庫(kù)����。任選地,SDK可以從CTP 1310分發(fā)給主存CKG 1300的實(shí)體�����。一般而言�����,CKG 1300,CTP 1310或CSP 1320中的每個(gè)都可以根據(jù)給定實(shí)施方式被細(xì)分為子組件��,然而總體分離被保留以維持信任��。例如��,諸如主公鑰(MPK)遞送1302�����、客戶機(jī)庫(kù)下載器1304、密鑰提取器1306�、信任驗(yàn)證器1308或者其他子組件之類的CKG實(shí)體1301 可以以子集的形式分開地提供、或者作為集成組件一起提供��。諸如用于編碼和解碼的客戶機(jī)應(yīng)用1312���、備選加密技術(shù)1314���、用于與CKG對(duì)接的應(yīng)用1316�����、其他密碼構(gòu)件塊1318等等之類的CTP實(shí)體1311也可以以子集形式分開地提供或者一起提供����。此外,可以分別認(rèn)為 CSP 1320是諸如主存存儲(chǔ)服務(wù)13 的CSP1322和主存服務(wù)13 的CSP 13 之類的許多單獨(dú)的服務(wù)提供者��,或者這樣的服務(wù)可以一起提供。能夠理解�,由可信生態(tài)系統(tǒng)中的一個(gè)或多個(gè)參與者主存的CKG或CKG實(shí)例不需要是單個(gè)單片實(shí)體。更確切而言���,CKG可以被分成多個(gè)(冗余)實(shí)體�����,這些實(shí)體協(xié)作以生成密鑰����,使得操作即使在參與者的小子集離線的情況下仍然可以繼續(xù)�。在一個(gè)實(shí)施例中,任選地����,參與者的集合即使在這些參與者的小子集已經(jīng)被對(duì)手損害或者以其他方式變?yōu)椴豢捎没虿豢尚湃螘r(shí)仍然可以整體上受到信任。圖14是示出了用于為企業(yè)1400執(zhí)行云服務(wù)的可信生態(tài)系統(tǒng)的其他好處的另一體系結(jié)構(gòu)圖��。例如�,企業(yè)1400可以包括不同組織1402、1404���、1406���、1408��。該圖中的不同組織 1402�����、1404��、1406����、1408示出了 組織可以采取相對(duì)于實(shí)現(xiàn)用于使用系統(tǒng)或密鑰生成的策略而言那樣多或那樣少的所有權(quán)����。例如,組織1402實(shí)現(xiàn)其自己的策略1412�����,但是使用集中式密鑰生成器1422����,而組織1404選擇實(shí)現(xiàn)其自己的密鑰生成器14M并且實(shí)現(xiàn)其自己的策略 1414����。組織1406也實(shí)現(xiàn)其自己的策略�,但是依靠第三方CKG 1426���,而組織1408選擇依靠第三方策略提供者1418和獨(dú)立CKG 1似8���。就此而言,為了發(fā)布數(shù)據(jù)����,發(fā)布者1440基于來自CKG 1422的輸出獲得用于對(duì)數(shù)據(jù)進(jìn)行加密的公用參數(shù)1435?�;诠脜?shù)����,數(shù)據(jù)在1445由發(fā)布者設(shè)備1440使用獨(dú)立密碼技術(shù)提供者來加密。經(jīng)加密數(shù)據(jù)被上傳到存儲(chǔ)抽象服務(wù)1450�����,該存儲(chǔ)抽象服務(wù)1450隱藏與由諸如CSP 1472�����、1474、1476或1478之類的一個(gè)或多個(gè)CSP 1470存儲(chǔ)經(jīng)加密數(shù)據(jù)相聯(lián)系的存儲(chǔ)語義�����。在訂戶設(shè)備1460上����,對(duì)數(shù)據(jù)的請(qǐng)求導(dǎo)致從CKG 1422生成私鑰1465。私鑰 1465包括如下信息該信息使得訂戶設(shè)備1460能夠通過在1455對(duì)數(shù)據(jù)進(jìn)行解密來選擇性地訪問經(jīng)可搜索地加密的數(shù)據(jù)���。再次�����,從CSP 1470檢索數(shù)據(jù)的語義被存儲(chǔ)抽象服務(wù)1450 隱藏��。而且���,被賦予給訂戶設(shè)備1460的特權(quán)是由于由發(fā)布者/所有者所賦予的能力的后期綁定而產(chǎn)生的特權(quán)的當(dāng)前集合。從圖14中能夠理解��,多個(gè)數(shù)據(jù)所有者(企業(yè)或消費(fèi)者)可以如在此所述的那樣參與可信生態(tài)系統(tǒng)以建立可信關(guān)系����。在這種情況下,每個(gè)所有者都可以主存或控制其自己的 CKG (例如組織1404的CKG 1424)�����,使得對(duì)數(shù)據(jù)的請(qǐng)求或查詢被轉(zhuǎn)發(fā)給相應(yīng)CKG以從所請(qǐng)求數(shù)據(jù)的所有共有者收集所需的密鑰����。圖15是示出了通過存儲(chǔ)抽象層1510來適應(yīng)于不同存儲(chǔ)提供者的另一框圖。利用可信生態(tài)系統(tǒng)���,分別具有客戶機(jī)應(yīng)用巧40��、1542的臺(tái)式機(jī)1530���、1532可以如上所述的那樣發(fā)布或訂閱數(shù)據(jù),從而向密鑰生成中心1520發(fā)起對(duì)用于對(duì)數(shù)據(jù)進(jìn)行加密和解密的密鑰信息的請(qǐng)求�����。類似地��,服務(wù)1544�����、巧46、1548也可以是生態(tài)系統(tǒng)中的發(fā)布者和/或訂戶�����。就此而言����,為了由專用云存儲(chǔ)1500、SQL數(shù)據(jù)服務(wù)存儲(chǔ)1502�����、或簡(jiǎn)單存儲(chǔ)web服務(wù)1504等等中的任一進(jìn)行存儲(chǔ)或提取��,存儲(chǔ)抽象服務(wù)1510(如名稱所隱含的那樣)抽象出關(guān)于遠(yuǎn)離客戶機(jī)的一個(gè)或多個(gè)特定存儲(chǔ)庫(kù)的特性��。就此而言����,為了避免質(zhì)疑,圖15針對(duì)多種情況�。在一種情況下,圖15通過存儲(chǔ)抽象服務(wù)(有時(shí)亦稱計(jì)算和存儲(chǔ)抽象(CSA))涵蓋了存儲(chǔ)提供者(將其抽象為個(gè)體)的非居間化��。另外,圖15涵蓋了如下場(chǎng)景數(shù)據(jù)被分割和/或扇出(例如為了冗余)到可以作為相同或不同類型的多個(gè)后端存儲(chǔ)提供者的場(chǎng)景��,使得即使在后端存儲(chǔ)提供者之一(或少數(shù)) 意外地或無意地刪除或改變其數(shù)據(jù)副本時(shí)原始數(shù)據(jù)仍然可以被重構(gòu)��。圖16示出了與包括服務(wù)器操作系統(tǒng)(OS) 1614和存儲(chǔ)服務(wù)1612的存儲(chǔ)抽象服務(wù) 1610相聯(lián)系的存儲(chǔ)的其他方面��,該存儲(chǔ)抽象服務(wù)1610對(duì)專用云存儲(chǔ)1600���、SQL數(shù)據(jù)存儲(chǔ) 1602、簡(jiǎn)單存儲(chǔ)web服務(wù)存儲(chǔ)704等等的存儲(chǔ)細(xì)節(jié)進(jìn)行抽象��?����?蛻魴C(jī)可以是分別具有客戶機(jī)應(yīng)用1640和1642的臺(tái)式機(jī)1650或1652����。密鑰生成中心1620可以包括在服務(wù)器OS 1624 上執(zhí)行的密鑰生成器應(yīng)用1622。就此而言���,具有活動(dòng)目錄1636��、服務(wù)器OS 1634和安全令牌服務(wù)(STQ 1632的組織1630可以是生態(tài)系統(tǒng)中的發(fā)布者或訂戶�����。就此而言�,存儲(chǔ)傳輸格式(STF)是標(biāo)準(zhǔn)交換格式,其可以用于跨各儲(chǔ)存庫(kù)來交換經(jīng)加密數(shù)據(jù)和元數(shù)據(jù)�����。例如�����,組織 1630可能希望在存儲(chǔ)服務(wù)提供者1600����、1602或1604間傳輸電子郵件數(shù)據(jù),在這種情況下可以使用STF���。圖17是示出了可信生態(tài)系統(tǒng)1720中的各個(gè)不同參與者的另一框圖���。如上面所提到的那樣,有利地���,企業(yè)1700可以將數(shù)據(jù)量的存儲(chǔ)和維護(hù)從現(xiàn)場(chǎng)推卸給云存儲(chǔ)服務(wù)提供者�����,其中云存儲(chǔ)服務(wù)提供者更適于處理這樣的數(shù)據(jù)量��,同時(shí)維持?jǐn)?shù)據(jù)將不會(huì)對(duì)錯(cuò)誤的訂戶解密的舒適性�,因?yàn)槠髽I(yè)維持對(duì)針對(duì)經(jīng)加密數(shù)據(jù)所定義的能力的控制���。例如�,組織1702可以操作諸如SiarePoint之類的協(xié)作應(yīng)用1712。就此而言�,組織1702可為sharePoint數(shù)據(jù)建立數(shù)字托管或者可信域�����。策略1732和CKG 1734可以由第一數(shù)據(jù)中心1730來實(shí)現(xiàn)��,該第一數(shù)據(jù)中心1730用于通過為可信域定義密鑰信息1745來建立安全空間�����。
然后��,例如發(fā)布者1714之類的另一組織1704可以基于從CKG 1734獲得的密鑰信息對(duì)數(shù)據(jù)進(jìn)行加密��,此時(shí)����,第二數(shù)據(jù)中心1740的計(jì)算和存儲(chǔ)抽象組件1742處理在第三數(shù)據(jù)中心1750處(例如在CSP 1752中)存儲(chǔ)經(jīng)可搜索地加密的數(shù)據(jù)的細(xì)節(jié)����。反過來�,當(dāng)組織1704的訂戶1716請(qǐng)求數(shù)據(jù)時(shí)���,私鑰或密鑰信息作為提取1765的一部分被遞送給訂戶 1716����。接著�,基于包括為訂戶定義的能力的私鑰信息�,由該訂戶所請(qǐng)求的數(shù)據(jù)在1775被解密���,其中假定該訂戶具有特權(quán)����,并且抽象層1742再次處理底層存儲(chǔ)1752的細(xì)節(jié)���。圖18是可信云計(jì)算系統(tǒng)的示例性非限制性實(shí)施方式的一些層的代表性視圖����,在該計(jì)算系統(tǒng)中�����,不同構(gòu)件可以由不同或相同實(shí)體來提供�。在層棧的底部是數(shù)學(xué)和密碼庫(kù) 1886,其用于實(shí)現(xiàn)加密/解密算法����。可以提供各種密碼方案的定義的抽象作為細(xì)節(jié)庫(kù)1886 與可搜索密碼方案1882的實(shí)際實(shí)施之間的中間層1884�����。層1882�、1884和1886 —起形成較大的密碼服務(wù)層1880,該密碼服務(wù)層1880在與軟件的抽象層1860組成服務(wù)(SaaS)應(yīng)用生態(tài)系統(tǒng)時(shí)形成實(shí)現(xiàn)可信數(shù)字托管1870及其存儲(chǔ)的基礎(chǔ)����。抽象層1860包含用于實(shí)現(xiàn)數(shù)字托管模式的基本語言��,即諸如^tUp ()(建立()),Encrypt ()(加密()),Extract ()(提取 O)��、DecryptO (解密0)之類的命令�����。處于抽象層1860之上的是層1850���,該層1850捆綁到各種更具體的平臺(tái)技術(shù)(例如505、^11儀���、備份/歸檔��、冊(cè)5����、515等等)中�����。處于捆綁到各種具體平臺(tái)技術(shù)中的層1850 之上的是使用可信數(shù)字托管1800的各種^aS應(yīng)用�。示例性的非限制性圖示示出了 數(shù)字托管應(yīng)用1800可以由單個(gè)公司1810或由伙伴1830或者由二者來實(shí)現(xiàn)。例如�,公司1810可以實(shí)現(xiàn)諸如下列服務(wù)高性能計(jì)算(HPC)��、eDiSC0Very和合法發(fā)現(xiàn)1814、Live服務(wù)1816(例如DBox)����、作為服務(wù)的備份/歸檔1818、審計(jì)日志——業(yè)務(wù)過程和監(jiān)控1820�、或者其他云服務(wù)1822?���;锇?830進(jìn)而實(shí)現(xiàn)諸如下列服務(wù)eLetterOfCredit 1832、作為用于垂直面 (Vertical)的服務(wù)的HPC 1834���、eHealth服務(wù)�����、安全外部網(wǎng)1838�、順從性1840���、訴訟支持 1842等等��?��;诳尚旁品?wù)生態(tài)系統(tǒng)的場(chǎng)景在圖9的上半部略述了由于密鑰生成器�����、密碼提供者和云服務(wù)提供者的分開所固有的經(jīng)提高的信任而可以在云服務(wù)中實(shí)現(xiàn)的應(yīng)用類型�����。就此而言���,在已經(jīng)實(shí)現(xiàn)了這樣可信云服務(wù)生態(tài)系統(tǒng)的情況下,可以實(shí)現(xiàn)豐富的服務(wù)和場(chǎng)景的集合��,這些服務(wù)和場(chǎng)景利用在此所述的可信生態(tài)系統(tǒng)的一個(gè)或多個(gè)好處�����。例如��,圖19是一個(gè)示例性非限制性過程的流程圖����,該過程用于以利用上述后期綁定向發(fā)布者提供對(duì)數(shù)據(jù)的受控選擇性訪問的方式來向數(shù)字保險(xiǎn)箱應(yīng)用發(fā)布文檔。在1900�����, 對(duì)設(shè)備進(jìn)行認(rèn)證(例如設(shè)備用用戶名和口令、口令憑證����、生物測(cè)定憑證�����、Live ID憑證等等登錄)���。在1910����,文檔被上傳并且標(biāo)簽被輸入�。在1920,所述標(biāo)簽被發(fā)送給托管代理����,并且作為響應(yīng),從托管代理接收經(jīng)散列的標(biāo)簽�。就此而言,所述標(biāo)簽可以如所提到的那樣來提供�����,或者可替代地可以通過全文索引來自動(dòng)地從凈荷(記錄、文檔)中提取����。在1930,客戶機(jī)利用發(fā)布者的密鑰信息對(duì)文檔進(jìn)行加密�,并且所述文檔與訂戶相對(duì)于這些文檔的能力一起被發(fā)送給安全數(shù)字云存儲(chǔ)提供者。在1940���,安全數(shù)字云存儲(chǔ)提供者例如將經(jīng)加密的團(tuán)塊 (blob)發(fā)送給存儲(chǔ)服務(wù)(例如相對(duì)于存儲(chǔ)抽象層)��。圖20示出處于可信生態(tài)系統(tǒng)中的不同參與者的上下文中的圖19�����,其中圖中標(biāo)出了圖19的各個(gè)動(dòng)作��。就此而言���,以客戶機(jī)2010的憑證2000開始,進(jìn)行1900��。接著,在客戶機(jī)2010處進(jìn)行1910����。接著,在1920表示將標(biāo)簽發(fā)送給托管代理2020以及接收經(jīng)散列的標(biāo)簽的步驟����。接著,客戶機(jī)2010對(duì)文檔進(jìn)行加密��,并且將其發(fā)送給數(shù)字保險(xiǎn)箱服務(wù)2030�����,這如 1930所示�����。最后��,經(jīng)加密的團(tuán)塊被發(fā)送給存儲(chǔ)服務(wù)2040�,這由1940來表示����。然后,如果能力與文檔一起被發(fā)送或者之后被更新,可以給訂戶賦予對(duì)用戶的子集的訪問�,因此允許。圖21是用于訂閱置于數(shù)字保險(xiǎn)箱中材料的示例性��、非限制性過程的流程圖�。在 2100,訂戶被認(rèn)證��,并且客戶機(jī)設(shè)備將標(biāo)簽發(fā)送給托管代理�,該托管代理在2110作為響應(yīng)發(fā)回經(jīng)散列的標(biāo)簽。然后�,客戶機(jī)在2120將經(jīng)散列的標(biāo)簽發(fā)送給數(shù)字保險(xiǎn)箱服務(wù),并且經(jīng)散列的標(biāo)簽被解釋以了解在2130��,該客戶機(jī)是否有權(quán)讓其搜索請(qǐng)求全部或部分地由存儲(chǔ)服務(wù)來執(zhí)行���。圖22表示與圖11類似的覆蓋在參與者上的圖21的動(dòng)作動(dòng)作2100針對(duì)客戶機(jī) 2210及其憑證�����;動(dòng)作2110針對(duì)客戶機(jī)2210和托管代理2220 ���;動(dòng)作2120針對(duì)客戶端2210 和數(shù)字保險(xiǎn)箱服務(wù)2230 ;以及動(dòng)作2130針對(duì)數(shù)字保險(xiǎn)箱服務(wù)2230和存儲(chǔ)服務(wù)2240��。在圖20和22中,托管代理2020�、2220可以是CKG或CKG的組件?�?商娲?����,托管代理2020�����、2220可以是由單獨(dú)的參與者主存的CKG實(shí)例�,由此托管代理2020、2220是代表客戶機(jī)進(jìn)行加密/解密的可信實(shí)體����。就此而言�����,參與者間的設(shè)計(jì)折衷和關(guān)系可以規(guī)定托管代理2020����、2220的功能和范圍。例如,對(duì)于低端客戶機(jī)而言����,可能需要將客戶機(jī)功能推卸給可信代理服務(wù)以執(zhí)行繁重的處理。圖23示出了使用數(shù)字托管模式來通過一個(gè)或多個(gè)數(shù)據(jù)中心為企業(yè)實(shí)現(xiàn)安全外部網(wǎng)的可信云服務(wù)的示例性����、非限制性的實(shí)施方式。如所提到的那樣�,可信計(jì)算生態(tài)系統(tǒng)可以包括密鑰生成中心2300,該密鑰生成中心2300與密碼技術(shù)提供者(CTP) 2310分開地實(shí)現(xiàn)���,該密碼技術(shù)提供者2310提供參考實(shí)施方式以供用于實(shí)現(xiàn)與生態(tài)系統(tǒng)一致的同一個(gè)或多個(gè)云服務(wù)提供者(CSP) 2320分開實(shí)現(xiàn)的密碼技術(shù)�。在安全外部網(wǎng)的示例性非限制性的實(shí)施方式中�,2380示出了 企業(yè)維護(hù)共享儲(chǔ)存庫(kù)2370(例如SiarePoint)和設(shè)計(jì)或分析應(yīng)用的儲(chǔ)存庫(kù)2360以供與共享儲(chǔ)存庫(kù)2370中的文檔結(jié)合使用。商業(yè)軟件2340 (例如前哨 (Sentinel))可以監(jiān)視具有臺(tái)式機(jī)2350的計(jì)算機(jī)的應(yīng)用或服務(wù)器性能等等���。就此而言����,在可信云服務(wù)生態(tài)系統(tǒng)中��,當(dāng)使用臺(tái)式機(jī)2350的訂戶從存儲(chǔ)中尋求可以選擇性地訪問并且被加密的信息時(shí)�,安全令牌服務(wù)2330可以遞送某些信息以標(biāo)識(shí)出訂戶2382�����,并且CKG 2300可以通過第一數(shù)據(jù)中心的CKG層2302的接口被咨詢��,這由2384示出�����。CKG 2300返回密鑰信息�,然后�,該密鑰信息如2386所示的那樣可以用于通過存儲(chǔ)抽象服務(wù)2322選擇性地訪問由數(shù)據(jù)服務(wù)23M所持有的數(shù)據(jù)。因此��,任何類型的數(shù)據(jù)可以在企業(yè)中并根據(jù)企業(yè)中各訂戶的角色來選擇性地共享����。圖M是示出了基于可信云服務(wù)生態(tài)系統(tǒng)的另一示例性非限制性場(chǎng)景的流程圖, 在該生態(tài)系統(tǒng)中��,向訂戶提供對(duì)由例如企業(yè)內(nèi)的CSP存儲(chǔ)的經(jīng)加密數(shù)據(jù)的選擇性訪問�。最初�����,訂戶設(shè)備還未獲取訪問經(jīng)加密數(shù)據(jù)的特權(quán)。然而����,通過在MOO例如通過與應(yīng)用交互來作出對(duì)經(jīng)加密數(shù)據(jù)的一些或全部的請(qǐng)求,應(yīng)用自動(dòng)地與相應(yīng)STS通信以用于在MlO獲得聲明(Claim)(密碼學(xué)中的用語)�。在對(duì)20,應(yīng)用與CKG通信以獲得密鑰信息����,該密鑰信息編碼有關(guān)于訂戶的能力的信息(能力有時(shí)在密碼學(xué)的用語中被稱為陷門,但是術(shù)語“能力”不限于通常出現(xiàn)術(shù)語“陷門”的上下文)��。最后����,應(yīng)用在M30將密鑰信息提供給CSP,CSP允許以訂戶能力所允許的程度來對(duì)經(jīng)加密數(shù)據(jù)進(jìn)行搜索或查詢���。
21
圖25是示出了可以基于登錄信息向訂戶定制應(yīng)用響應(yīng)的另一流程圖�����。例如����,在 2500,用戶ID信息被應(yīng)用接收��。在2510���,應(yīng)用從STS獲得相關(guān)聲明�。在2520����,基于用戶充當(dāng)?shù)呐c用戶ID信息相關(guān)聯(lián)的一個(gè)或多個(gè)角色,體驗(yàn)可以被定制為與那些角色的特權(quán)/限制相稱���。例如����,作為對(duì)公司的加密數(shù)據(jù)的視圖來向公司首席財(cái)務(wù)官呈現(xiàn)的用戶體驗(yàn)可以并且應(yīng)當(dāng)是與作為對(duì)公司的加密數(shù)據(jù)的視圖向收發(fā)室雇員給出的不同的用戶體驗(yàn)����。圖25可以適用于單方或多方登錄場(chǎng)景。圖沈是示出了安全記錄上傳場(chǎng)景的另一流程圖�����,該場(chǎng)景可以針對(duì)單方或多方來實(shí)現(xiàn)���。在沈00���,記錄和關(guān)鍵詞被應(yīng)用接收,其例如是由具有該應(yīng)用的設(shè)備的用戶提供或指定的���。在沈10�,應(yīng)用獲得主公鑰(MPK)并且應(yīng)用公鑰加密關(guān)鍵詞可搜索(PEKS)算法�。MH(可以任選地被應(yīng)用高速緩存。在沈20��,應(yīng)用例如通過存儲(chǔ)抽象層將經(jīng)加密的記錄輸入到CSP 儲(chǔ)存庫(kù)中���。圖27是示出了對(duì)經(jīng)可搜索地加密的數(shù)據(jù)存儲(chǔ)進(jìn)行基于角色查詢的示例性����、非限制性的另一流程圖����,該數(shù)據(jù)存儲(chǔ)由可信云服務(wù)生態(tài)系統(tǒng)來實(shí)現(xiàn),例如以供由單方進(jìn)行自動(dòng)搜索���。在2700�,聯(lián)合查詢被應(yīng)用接收或發(fā)起。在2710��,應(yīng)用從STS獲得相關(guān)聲明�����。例如�,STS 將用戶的角色映射到合適的查詢組,并且返回給定角色的合法查詢集合����。在2720,應(yīng)用提交經(jīng)過濾的聲明和查詢���,使得可以有效地提交對(duì)應(yīng)于該查詢的聲明而不是所有的聲明。任選地���,CKG將陷門聲明返回給應(yīng)用(或者拒絕該聲明)��。在2730����,應(yīng)用對(duì)遠(yuǎn)程索引執(zhí)行陷門聲明�。基于對(duì)遠(yuǎn)程索引的處理�,結(jié)果可以被應(yīng)用接收����,并且通過該應(yīng)用例如基于用戶角色使用定制呈現(xiàn)來將結(jié)果呈現(xiàn)給用戶。圖28是可信云服務(wù)生態(tài)系統(tǒng)在企業(yè)^20�、CKG 2810和CSP 2800間的實(shí)施方式的框圖����,其中圖M-27的上述動(dòng)作通過相同的附圖標(biāo)記來突出顯示���。這些場(chǎng)景始于用戶觀對(duì)向應(yīng)用觀22標(biāo)識(shí)他自己或她自己。STS^^用于結(jié)合去往和來自CKG 2810的信息的交換來建立信任觀30�����,從而將密鑰信息返回給應(yīng)用觀22以供用于根據(jù)場(chǎng)景的目標(biāo)對(duì)來自CSP 2800的數(shù)據(jù)進(jìn)行加密或解密�����。圖四是示出了多方協(xié)作場(chǎng)景的流程圖�����,在該場(chǎng)景中,企業(yè)向外部企業(yè)提供對(duì)其經(jīng)加密數(shù)據(jù)中的一些的訪問�����。例如����,制造商可以給供應(yīng)商賦予對(duì)其存儲(chǔ)在可信云中的數(shù)據(jù)的訪問�,并且反之亦然�。就此而言,在2900���,向企業(yè)2的STS指定資源提供者����,并且企業(yè)1的應(yīng)用繼續(xù)進(jìn)行以獲得對(duì)云中的資源提供者所提供的資源的訪問的聲明����。在四10,企業(yè)1的 STS被指定作為身份提供者�����。就此而言,應(yīng)用為由企業(yè)1處的訂戶所定義的角色或角色集合獲得聲明��,這由身份提供者來促進(jìn)�����。在四20����,應(yīng)用基于由企業(yè)2控制的可許可資源以及基于由訂閱實(shí)體所定義的許可/能力來檢索聲明。在圖四���,盡管僅僅描繪了一個(gè)STS��,但是應(yīng)當(dāng)注意���,在數(shù)字托管或聯(lián)合信任覆蓋中可以存在多個(gè)身份提供者STS和/或多個(gè)資源提供者 STS。圖30是示出了例如諸如企業(yè)1和企業(yè)2之類的多個(gè)企業(yè)間的多方自動(dòng)搜索場(chǎng)景的流程圖����。在3000,聯(lián)合查詢被企業(yè)1的應(yīng)用接收或發(fā)起以供執(zhí)行����。在3010��,應(yīng)用從資源提供者(企業(yè)幻的STS獲得相關(guān)聲明���。任選地,該資源提供者可以在組織標(biāo)簽中指定�����。STS 可以任選地執(zhí)行用戶角色到查詢組的映射����,使得返回針對(duì)該用戶角色的合法查詢集合����。在 3020,應(yīng)用基于該用戶角色提交經(jīng)過濾的聲明和查詢��,使得可以有效地提交對(duì)應(yīng)于該查詢的聲明而不是所有的聲明�����。任選地�,CKG將能力返回給應(yīng)用(例如陷門聲明),或者CKG拒
22絕該聲明����。在3030����,應(yīng)用對(duì)遠(yuǎn)程索引執(zhí)行陷門聲明����。基于對(duì)遠(yuǎn)程索引的處理���,結(jié)果可以被應(yīng)用接收���,并且通過該應(yīng)用例如基于用戶角色使用定制呈現(xiàn)來將結(jié)果呈現(xiàn)給用戶。在圖27和30中���,該方法包括接收聯(lián)合查詢或者以其他方式發(fā)起聯(lián)合查詢的步驟��。 就此而言�����,任選地���,聯(lián)合查詢也可以被密碼保護(hù)�����,使得沒有陷門(或能力)的接收者(客戶機(jī)或服務(wù)提供者)可以分解聯(lián)合查詢并且確定其組成部分���。圖31是可信云服務(wù)生態(tài)系統(tǒng)在企業(yè)3120、3130�����、CKG 3110和CSP 3100間的實(shí)施方式的框圖����,其中圖20-21的上述動(dòng)作通過相同的附圖標(biāo)記來突出顯示。例如���,用戶31M可以向應(yīng)用3122標(biāo)識(shí)他自己或她自己。企業(yè)3120的STS 31 和企業(yè)3130的STS 3132協(xié)作以結(jié)合去往和來自CKG 3110的信息的交換來建立信任3130�,從而將密鑰信息返回給應(yīng)用3122以供用于根據(jù)場(chǎng)景的目標(biāo)對(duì)來自CSP 3100的數(shù)據(jù)進(jìn)行加密或解密。圖32示出了可以針對(duì)可信云服務(wù)實(shí)現(xiàn)的示例性����、非限制性的邊緣計(jì)算網(wǎng)絡(luò)(ECN) 技術(shù)。就此而言�,結(jié)合彼此獨(dú)立操作的可信云組件向多個(gè)動(dòng)態(tài)計(jì)算節(jié)點(diǎn)3270�����、3272���、3274、 3276動(dòng)態(tài)地分配計(jì)算帶寬�。例如,密鑰生成中心3220�、存儲(chǔ)抽象服務(wù)3210、組織3230和組織3240可以如所示那樣被實(shí)現(xiàn)為涵蓋多組織業(yè)務(wù)或諸如上述場(chǎng)景之類的其他場(chǎng)景�。密鑰生成中心3220包括密鑰生成器3222和服務(wù)器OS 3224。存儲(chǔ)抽象服務(wù)3210包括存儲(chǔ)服務(wù)組件3212和服務(wù)器OS 3214�。組織3230包括STS 3232,AD 3236和服務(wù)器OS 3234。組織 3240 包括 STS 3234����、AD 3246 和服務(wù)器 OS 3244。服務(wù)器 OS 3214���、3224���、3234、3244 協(xié)作以跨各服務(wù)器來實(shí)現(xiàn)ECN����。任何存儲(chǔ)提供者或抽象3202都可以用于存儲(chǔ)數(shù)據(jù)���,例如可以使用SQL數(shù)據(jù)服務(wù)。通過這種方式�,一個(gè)或多個(gè)臺(tái)式機(jī)3250、3252可以分別通過客戶機(jī)應(yīng)用3沈0�����、3262發(fā)布或訂閱數(shù)據(jù)�����。圖33是示出了根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的密鑰生成中心3310的一個(gè)或多個(gè)任選方面的框圖��。最初����,諸如臺(tái)式機(jī)3360�����、3362之類的一組計(jì)算設(shè)備和相應(yīng)的客戶機(jī)應(yīng)用3370���、 3372或者服務(wù)或服務(wù)器3374�、3376、3378等等是云內(nèi)容遞送網(wǎng)絡(luò)3350的潛在發(fā)布者和/或訂戶���。然而��,在滿足來自該計(jì)算設(shè)備集合中的任何計(jì)算設(shè)備的請(qǐng)求以前���,密鑰生成中心最初為了獲得發(fā)布者的信任而充當(dāng)管理人,該密鑰生成中心基于公鑰對(duì)數(shù)據(jù)進(jìn)行加密并且基于數(shù)據(jù)訂戶的能力向其發(fā)放私鑰����。在示例性的非限制性的交互中,來自計(jì)算設(shè)備的請(qǐng)求最初被供應(yīng)3300�,并且CKG 3310的主存者在3380向CKG工廠3302請(qǐng)求CKG 3310的實(shí)例。接著����,在3382進(jìn)行用戶認(rèn)證3304。接著�,任何基于使用的計(jì)費(fèi)3384可以由計(jì)費(fèi)系統(tǒng)3306應(yīng)用以對(duì)CKG工廠3302的使用進(jìn)行計(jì)費(fèi)。接著��,租賃CKG在3386被CKG工廠3302具體化,其可以包括MPK遞送組件 3312�、客戶機(jī)庫(kù)下載器3314、密鑰提取器3316和信任確認(rèn)器/驗(yàn)證器3318��。MPK遞送組件3312在3388將MPK遞送給CDN 3350�����?��?蛻魴C(jī)庫(kù)下載器3314將密碼庫(kù)下載到請(qǐng)求客戶機(jī)����,這些密碼庫(kù)可以與要發(fā)布的數(shù)據(jù)的加密或者該設(shè)備訂閱的數(shù)據(jù)的解密結(jié)合使用�。接著,客戶機(jī)基于從與信任驗(yàn)證器3318協(xié)作的密鑰提取器3316所接收的密鑰信息來作出提取給定文檔集合的請(qǐng)求��,該信任驗(yàn)證器3318可以基于在3394驗(yàn)證訂戶的STS拇指紋����、例如基于與該請(qǐng)求所涉及的組織的不同STS 3320,3322,3324,3326進(jìn)行通信來確認(rèn)訂戶具有某些能力。如在其他實(shí)施例中��,可以提供存儲(chǔ)抽象服務(wù)3340來抽象數(shù)據(jù)庫(kù)服務(wù)3330 (例如SQL)的存儲(chǔ)細(xì)節(jié)�����。圖34是與網(wǎng)絡(luò)服務(wù)3420的遞送相聯(lián)系的可信存儲(chǔ)3400的示例性非限制性的框圖���,該可信存儲(chǔ)3400包括具有確認(rèn)和/或驗(yàn)證的經(jīng)可搜索地加密的數(shù)據(jù)3410�。在該實(shí)施例中�����,訂戶3440或訂戶3440所使用的應(yīng)用可以作為訪問經(jīng)加密存儲(chǔ)3400的某些部分的請(qǐng)求的一部分來請(qǐng)求對(duì)通過請(qǐng)求確認(rèn)實(shí)際接收的項(xiàng)目也是本應(yīng)當(dāng)接收的項(xiàng)目而返回的項(xiàng)目進(jìn)行確認(rèn)證明���。就此而言��,圖34示出了可搜索加密技術(shù)與確認(rèn)技術(shù)的組合�。任選地�����,該系統(tǒng)還可以與基于聲明的身份和訪問管理相集成�����,這在此處的其他實(shí)施例中予以描述���。就此而言�����, 如在此處的各個(gè)實(shí)施例中所描述的那樣�����,亦稱聯(lián)合信任覆蓋的數(shù)字托管模式可以無縫地與更傳統(tǒng)的基于聲明的認(rèn)證系統(tǒng)相集成��。在圖34中���,可信數(shù)據(jù)存儲(chǔ)3400或數(shù)據(jù)存儲(chǔ)的服務(wù)提供者或主存者執(zhí)行證明步驟�����, 而數(shù)據(jù)的所有者(例如訂戶設(shè)備)執(zhí)行確認(rèn)��。數(shù)據(jù)存儲(chǔ)3400是可信的�,因?yàn)橛脩艨梢韵嘈牌涮峁?qiáng)力的保證���,但是能夠理解��,物理實(shí)體實(shí)際上主存該數(shù)據(jù)��,并且一些參與者不是完全可信的�����。圖35是示出包括確認(rèn)步驟的示例性非限制性訂閱過程的流程圖���。在3500,經(jīng)可搜索地加密的數(shù)據(jù)的子集被從訂戶設(shè)備接收����。在3510,密鑰信息被從密鑰生成實(shí)例中生成�����,該密鑰生成實(shí)例基于訂戶設(shè)備的身份信息生成該密鑰信息�����。在3520��,根據(jù)在密鑰信息中所定義的賦予給該訂戶設(shè)備的能力���,經(jīng)加密數(shù)據(jù)的子集被解密���。在3530�����,該子集中表示的項(xiàng)可以被確認(rèn)(例如數(shù)據(jù)擁有的證明)�����,并且數(shù)據(jù)在3540被訪問����。在許多情況下�,能夠在不需要對(duì)經(jīng)加密數(shù)據(jù)進(jìn)行解密的情況下對(duì)經(jīng)加密數(shù)據(jù)執(zhí)行 PDP/P0R是合乎需要的。任選地��,PDP所需的密鑰信息可以被編碼在曾用可搜索加密被保護(hù)的元數(shù)據(jù)之內(nèi)����。盡管這是管理用于PDP/P0R的密鑰的有效方式,但是應(yīng)當(dāng)注意���,存在許多高價(jià)值的場(chǎng)景��,在這些場(chǎng)景中��,可以在不需要訪問明文內(nèi)容的情況下對(duì)經(jīng)加密數(shù)據(jù)執(zhí)行PDP/ POR�。圖36示出了示例性、非限制性的確認(rèn)質(zhì)詢/響應(yīng)協(xié)議����,其中驗(yàn)證者3600(例如數(shù)據(jù)所有者)向證明者3610(例如數(shù)據(jù)服務(wù)提供者)發(fā)出密碼質(zhì)詢3620。在接收到質(zhì)詢3620 以后���,證明者3610根據(jù)數(shù)據(jù)和質(zhì)詢來計(jì)算響應(yīng)3612。然后��,質(zhì)詢響應(yīng)3630被返回給驗(yàn)證者 3600�����,該驗(yàn)證者3600然后執(zhí)行計(jì)算以驗(yàn)證或證明該數(shù)據(jù)未曾被修改過3602�。在圖36中總體上示出的確認(rèn)被稱為專用PDP,但是應(yīng)當(dāng)注意��,還存在“公用”版本�, 其中給第三方提供密鑰(“公”鑰)使得第三方充當(dāng)根據(jù)類似協(xié)議的驗(yàn)證者,而不必去了解實(shí)際數(shù)據(jù)�。P0R,即驗(yàn)證的一個(gè)示例���,與PDP不同��,其中PDP提供數(shù)據(jù)是可恢復(fù)的證明(無論任何破壞/修改與否)��,但是如下面30所示��,基本協(xié)議是相同的�����,但是文檔的結(jié)構(gòu)和實(shí)際算法是不同的����。此處的可信生態(tài)系統(tǒng)的各個(gè)實(shí)施方式組合可搜索加密和P0R/PDR以使系統(tǒng)收益并且鞏固信任。就此而言����,在將數(shù)據(jù)提交給服務(wù)提供者以前,數(shù)據(jù)被可搜索地加密�,并且對(duì)數(shù)據(jù)的后處理可以包括POR和/或PDP。另外����,如果需要提供更力的保證,則“數(shù)據(jù)分散(dispersion) ”技術(shù)可以任選地覆蓋到上述任何一個(gè)或多個(gè)實(shí)施例中。利用數(shù)據(jù)分散�����,數(shù)據(jù)被分發(fā)給若干服務(wù)提供者以獲得對(duì)抗任何單個(gè)服務(wù)提供者中的“大規(guī)模不良行為”或者災(zāi)難性損失的回復(fù)力�����。使用在此所示的信任機(jī)制��,該分散以使得獨(dú)立服務(wù)提供者難以串通和破壞數(shù)據(jù)的方式來執(zhí)行�。這類似于上述分布式CKG實(shí)施例的概念。圖37是與網(wǎng)絡(luò)服務(wù)2520的遞送相聯(lián)系的可信存儲(chǔ)2500的另一示例性非限制性的框圖�����,該可信存儲(chǔ)2500包括具有確認(rèn)和/或驗(yàn)證的經(jīng)可搜索地加密的數(shù)據(jù)2510����。具體而言�����,圖37示出了驗(yàn)證組件3750���,其用于驗(yàn)證返回給訂戶2540的項(xiàng)未被篡改或者以其他方式被不經(jīng)意地改變��。上述PDP是驗(yàn)證的非限制性示例�。圖38是包括確認(rèn)步驟的示例性、非限制性訂閱過程的流程圖����。在3800,經(jīng)可搜索地加密的數(shù)據(jù)的子集被從訂戶設(shè)備接收��。在3810�,密鑰信息被從密鑰生成實(shí)例中生成,該密鑰生成實(shí)例基于訂戶設(shè)備的身份信息生成該密鑰信息���。在3820��,根據(jù)在密鑰信息中所定義的賦予給該訂戶設(shè)備的能力�����,經(jīng)加密數(shù)據(jù)的子集被解密�����。在3830���,該子集中表示的項(xiàng)的內(nèi)容可以被驗(yàn)證(例如可恢復(fù)性證明)�����,并且數(shù)據(jù)在3840被訪問�����。圖39示出了示例性�����、非限制性的驗(yàn)證質(zhì)詢/響應(yīng)協(xié)議��,其中驗(yàn)證者3900(例如數(shù)據(jù)所有者)向證明者3910(例如數(shù)據(jù)服務(wù)提供者)發(fā)出密碼質(zhì)詢3920�。在接收到質(zhì)詢3920 以后�����,證明者3910根據(jù)數(shù)據(jù)和質(zhì)詢來計(jì)算響應(yīng)3912�。然后�����,質(zhì)詢響應(yīng)3930被返回給驗(yàn)證者 3900,該驗(yàn)證者3900然后執(zhí)行計(jì)算以驗(yàn)證或證明該數(shù)據(jù)是可恢復(fù)的3902���。圖40是示出了非限制性場(chǎng)景的框圖�,在該場(chǎng)景中�,多個(gè)獨(dú)立的聯(lián)合信任覆蓋或者數(shù)字托管可以并排存在,或者針對(duì)分層方式彼此相疊地存在����。在該場(chǎng)景中,存在具有經(jīng)可搜索地加密的數(shù)據(jù)4010的可信數(shù)據(jù)存儲(chǔ)4000���,各種網(wǎng)絡(luò)服務(wù)4020可以基于該數(shù)據(jù)4010��。例如����,網(wǎng)絡(luò)服務(wù)4020可以包括作為云服務(wù)遞送文字處理軟件��。作為地理分布等的一部分�,任選地,可以提供多個(gè)覆蓋/托管4032�����、4034、4036��,這些覆蓋/托管每個(gè)都適應(yīng)于不同的應(yīng)用/垂直面/順應(yīng)性需要/統(tǒng)治實(shí)體要求����,使得發(fā)布者2530或訂戶4050基于要求的集合或管轄權(quán)/住所區(qū)域來隱式或顯示地選擇正確的覆蓋/托管。因此����,該覆蓋可以改變,但是來自云的后端服務(wù)可以保持不變�����,而不必使核心服務(wù)本身的遞送復(fù)雜化��。在此描述了多種示例性�、非限制性的實(shí)施例,這些實(shí)施例示出了可信數(shù)據(jù)服務(wù)的遞送�����。這些實(shí)施例不是獨(dú)立的���,而是可以在合適時(shí)彼此組合�。另外�����,任何上述實(shí)施例都可以被擴(kuò)展為多個(gè)可替代方式��。例如�����,在一個(gè)實(shí)施例中�����,可信數(shù)據(jù)服務(wù)提供陷門或能力的到期和撤銷����,以獲得數(shù)據(jù)訪問的更大程度的安全性。在另一任選實(shí)施例中���,權(quán)限管理層被構(gòu)建到可信數(shù)據(jù)服務(wù)的提供中��,例如以保護(hù)作為加密/解密的一部分附加于內(nèi)容的權(quán)限或者阻止在數(shù)據(jù)托管中對(duì)受版權(quán)保護(hù)數(shù)據(jù)的操作��,這些操作在明文中是可容易地識(shí)別或檢測(cè)的����。因此, 在本發(fā)明的范圍內(nèi)可以構(gòu)思在此所述的實(shí)施例的任何組合或置換�����。示例性����、非限定性的實(shí)施方式數(shù)字托管模式的任何示例性實(shí)施方式被稱為聯(lián)合信任覆蓋(FTO)。在附錄A中附有一些關(guān)于FTP實(shí)施方式的附加的非限制性細(xì)節(jié)�。就此而言,數(shù)字托管模式僅僅是許多可能的模式和變型方案的一個(gè)示例��。此外���, 該模式(其包括發(fā)布者�、訂戶�、管理員和審計(jì)員——以及可能地其他專用角色,這如上述那樣)在另一底層FTO模式上分層�,該底層FTO模式對(duì)CTP、CSP����、CKG等等執(zhí)行“教會(huì)和州 (church&state) ”分離以維持信任。也可以存在多個(gè)獨(dú)立FTO和DEP�����,其可以在彼此不干涉并且甚至不知道彼此的存在的情況下共存����。而且,可以在云存儲(chǔ)服務(wù)提供者不協(xié)作或者甚至不了解這些模式/覆蓋的存在的情況下在云存儲(chǔ)上覆蓋DEP和FT0��。更詳細(xì)而言�����,F(xiàn)TO是獨(dú)立于云中數(shù)據(jù)服務(wù)的服務(wù)集合��。這些服務(wù)由數(shù)據(jù)服務(wù)的運(yùn)營(yíng)商以外的多方來運(yùn)行����,并且能夠提供關(guān)于針對(duì)由云服務(wù)主存的數(shù)據(jù)的機(jī)密性、篡改檢測(cè)和不可抵賴性的強(qiáng)力保證����。任何伙伴都可以構(gòu)造和主控這些覆蓋服務(wù),例如居間程序服務(wù)����、確認(rèn)服務(wù)����、存儲(chǔ)抽象服務(wù)等等�����。這些伙伴可以選擇主控參考實(shí)施方式或者基于公開可用的格式和協(xié)議來構(gòu)造其自己的實(shí)施方式���。由于格式��、協(xié)議和參考實(shí)施方式的公開性質(zhì)�����,可用直接維持諸如FTO的運(yùn)營(yíng)商和數(shù)據(jù)所有者之類的多方間的控制的分離���。盡管加密是該解決方案的一個(gè)元素,但是在不同方的范圍內(nèi)聯(lián)合的服務(wù)的組織也是該解決方案的一部分��。盡管常規(guī)的加密技術(shù)對(duì)于許多場(chǎng)景而言是強(qiáng)制性的�����,但是它們排除了實(shí)現(xiàn)這些場(chǎng)景中的許多場(chǎng)景,比如篡改檢測(cè)�����、不可抵賴性���、通過組織多個(gè)(不可信任) 的服務(wù)構(gòu)建信任、搜索數(shù)據(jù)庫(kù)等等�����。補(bǔ)充上下文如上所述�,對(duì)于某些附加的非限制性上下文而言,可信的云供應(yīng)集合為構(gòu)件于信任之上的云實(shí)現(xiàn)了應(yīng)用生態(tài)系統(tǒng)��。在此所使用的各種技術(shù)包括CKG——密鑰生成中心���, 一種實(shí)體��,其主存多租賃密鑰生成中心�����,例如Microsoft�、VeriSign、FidelitySovereign EntityEnterpriCompliance Entity中的任一都可以主存CKG�����。就此而言�,多租賃是任選的(例如期望但不是強(qiáng)制性的)。其他術(shù)語包括CTP——密碼技術(shù)提供者���,一種實(shí)體��,其提供加密技術(shù)以供與可信生態(tài)系統(tǒng)一起使用����,例如Symantec����、Certicom、Voltage����、PGP公司、 BitArmor>Enterprise>Guardian>Sovereign Entity 等等中的任一是可以為 CTP 的示例性公司����。另外����,術(shù)語“CSP”——云服務(wù)提供者是提供包括存儲(chǔ)在內(nèi)的云服務(wù)的實(shí)體����。各種公司可以提供這樣的數(shù)據(jù)服務(wù)。CIV—云索引確認(rèn)器是用于確認(rèn)所返回的索引的第二庫(kù)�。 CSA——計(jì)算和存儲(chǔ)抽象對(duì)存儲(chǔ)后端進(jìn)行抽象���。STF——存儲(chǔ)傳輸格式是用于跨多個(gè)庫(kù)傳輸數(shù)據(jù)/元數(shù)據(jù)的通用格式����。就此而言�,如上所述,一些企業(yè)場(chǎng)景包括使用數(shù)據(jù)服務(wù)技術(shù)或應(yīng)用的工程外聯(lián)網(wǎng)�����;設(shè)計(jì)和工程分析���;定義制造商和供應(yīng)商間的數(shù)據(jù)關(guān)系等等�。因此,通過將信任分布在多個(gè)實(shí)體的范圍內(nèi)使得不存在“過分”信任的實(shí)體或單點(diǎn)損害來為全部多個(gè)場(chǎng)景實(shí)現(xiàn)了唯一的生態(tài)系統(tǒng)���。對(duì)于關(guān)于可搜索加密的某些補(bǔ)充上下文而言����,用戶通常具有或獲得針對(duì)關(guān)鍵詞的 “能力����,,或“陷門”�,并且然后發(fā)送請(qǐng)求,其中使用該“能力����,,將其呈現(xiàn)給服務(wù)器���。服務(wù)器“組合”能力和索引以找出相關(guān)的文檔或數(shù)據(jù)�。然后���,僅僅給用戶提供對(duì)由該搜索產(chǎn)生的文檔的訪問(雖然用戶可以訪問不止這些文檔)��。如所提到的那樣����,不應(yīng)當(dāng)認(rèn)為單個(gè)算法限制了在此所述的經(jīng)可搜索地加密的數(shù)據(jù)存儲(chǔ)的供應(yīng),然而�,下面總體上概述了示例性非限制性算法后面的一些理論,并且提供了可搜索對(duì)稱加密(SSE)模式的初步知識(shí) 消息m 關(guān)鍵詞W1, . . .��,Wn· PRF :H 生成托管密鑰 針對(duì)H選擇隨機(jī)S 加密 選擇隨機(jī)密鑰K
26
選擇隨機(jī)固定長(zhǎng)度r 對(duì)于1彡i彡η計(jì)算屮=& (Wi)計(jì)算 I3i = Hai (r)計(jì)算 Ci = bi flag輸出 K(m)��,r���,Cl��,...�����,cn) 針對(duì)w生成陷門或能力· d = Hsj (W) 針對(duì)w進(jìn)行測(cè)試 計(jì)算 p = Hd (r) 計(jì)算 ζ = ρ ci 如果ζ = flag (標(biāo)志),則輸出“真” 對(duì)& (m)進(jìn)行解密以獲得m盡管同樣不應(yīng)當(dāng)認(rèn)為限制了在此所述的任何實(shí)施例��,但是下面是關(guān)于公鑰加密w/ 關(guān)鍵詞搜索(PEKS)模式的初步知識(shí)��。公鑰加密a. PKE = (Gen, Enc���,Dec)基于身份的加密b. IBE = (Gen, Enc, Extract, Dec)c.生成主密鑰i. (msk����,mpk) = IBE. Gen ()d.針對(duì)ID對(duì)m進(jìn)行加密i. c = IBE. Enc (mpk, ID, m)e.針對(duì)ID生成密鑰i. sk = IBE. Extract (msk, ID)f.解密i. m = IBE. Dec(sk, c)g.消息mh.關(guān)鍵詞w1; . . .,wni.生成托管密鑰i. (msk, mpk) = IBE. Gen ()ii. (pk, sk) = PKE. GenOj.加密k.對(duì)于 1 ^ i ^ ηi. Ci = IBE. Enc (mpk, Wi, flag)1.返回(PKE. Enc (pk, m)�,C1, · · ·,cn)m.為w生成能力或陷門i. d = IBE. Extract (msk, w)η.針對(duì)w進(jìn)行測(cè)試ο.對(duì)于 1 ^ i ^ η
i. ζ = IBE. Dec(d, Ci)ii.如果ζ = flag,則輸出“真”對(duì)EK (m)進(jìn)行解密以獲得m示例性聯(lián)網(wǎng)以及分布式環(huán)境本領(lǐng)域普通技術(shù)人員可以理解�����,此處所描述的用于可信云服務(wù)框架的方法和設(shè)備的各實(shí)施例和有關(guān)的各實(shí)施例可以結(jié)合任何計(jì)算機(jī)或其它客戶機(jī)或服務(wù)器設(shè)備來實(shí)現(xiàn)����,該任何計(jì)算機(jī)或其它客戶機(jī)或服務(wù)器設(shè)備可作為計(jì)算機(jī)網(wǎng)絡(luò)的一部分來部署或者被部署在分布式計(jì)算環(huán)境中,并且可以連接到任何種類的數(shù)據(jù)存儲(chǔ)�。在這一點(diǎn)上,此處描述的各實(shí)施例可在具有任何數(shù)量的存儲(chǔ)器或存儲(chǔ)單元的���、并且任何數(shù)量的應(yīng)用和進(jìn)程跨任何數(shù)量的存儲(chǔ)單元發(fā)生的任何計(jì)算機(jī)系統(tǒng)或環(huán)境中實(shí)現(xiàn)�����。這包括但不限于具有部署在具有遠(yuǎn)程或本地存儲(chǔ)的網(wǎng)絡(luò)環(huán)境或分布式計(jì)算環(huán)境中的服務(wù)器計(jì)算機(jī)和客戶計(jì)算機(jī)的環(huán)境�。附圖41提供了示例性聯(lián)網(wǎng)或分布式計(jì)算環(huán)境的非限制性性示意圖��。該分布式計(jì)算環(huán)境包括計(jì)算對(duì)象4110�、4112等以及計(jì)算對(duì)象或設(shè)備4120��、4122����、41對(duì)��、4126����、41觀等, 這些計(jì)算對(duì)象或設(shè)備可包括如由應(yīng)用程序4130�、4132、4134��、4136�����、4138表示的程序��、方法�����、 數(shù)據(jù)存儲(chǔ)���、可編程邏輯等�����。能夠理解�,對(duì)象4110��、4112等以及計(jì)算對(duì)象或設(shè)備4120�、4122、 4124,4126,4128等可包括不同的設(shè)備��,比如PDA��、音頻/視頻設(shè)備����、移動(dòng)電話、MP3播放器�����、 膝上型計(jì)算機(jī)等�����。每一個(gè)對(duì)象4110、4112等以及計(jì)算對(duì)象或設(shè)備4120���、4122����、41對(duì)�����、4126���、41沘等可通過通信網(wǎng)絡(luò)4140直接或間接與一個(gè)或多個(gè)其他對(duì)象4110�、4112等以及計(jì)算對(duì)象或設(shè)備 4120�����、4122��、41對(duì)�����、4126�、41觀等進(jìn)行通信。即使在圖41中被示為單個(gè)元件�,但網(wǎng)絡(luò)4140可包括向圖41的系統(tǒng)提供服務(wù)的其他計(jì)算對(duì)象或解釋設(shè)備,和/或可表示未示出的多個(gè)互連網(wǎng)絡(luò)�����。每個(gè)對(duì)象4110����、4112等或4120、4122���、41對(duì)�、4126�、41沘等還可包含諸如應(yīng)用程序 4130、4132���、4134��、4136���、4138之類的應(yīng)用程序,該應(yīng)用程序可利用API或適用于與根據(jù)本發(fā)明的各實(shí)施例來提供的可信云計(jì)算服務(wù)進(jìn)行通信或適用于實(shí)現(xiàn)可信云計(jì)算服務(wù)的其他對(duì)象、軟件�����、固件和/或硬件�����。存在支持分布式計(jì)算環(huán)境的各種系統(tǒng)��、組件和網(wǎng)絡(luò)配置���。例如��,計(jì)算系統(tǒng)可由有線或無線系統(tǒng)��、本地網(wǎng)絡(luò)或廣泛分布的網(wǎng)絡(luò)連接在一起�。當(dāng)前��,許多網(wǎng)絡(luò)被耦合至因特網(wǎng)��,后者為廣泛分布的計(jì)算提供了基礎(chǔ)結(jié)構(gòu)并包含許多不同的網(wǎng)絡(luò)�����,但任何網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)可用于變得與如各實(shí)施例中所描述的技術(shù)相關(guān)聯(lián)的示例性通信。由此����,可使用諸如客戶機(jī)/服務(wù)器����、對(duì)等、或混合體系結(jié)構(gòu)之類的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的主機(jī)�����。在客戶機(jī)/服務(wù)器體系結(jié)構(gòu)中����,尤其在聯(lián)網(wǎng)系統(tǒng)中,客戶機(jī)通常是訪問另一計(jì)算機(jī)(例如��,服務(wù)器)所提供的共享網(wǎng)絡(luò)資源的計(jì)算機(jī)�����。在圖41的圖示中�����,作為非限制性示例,計(jì)算機(jī)4120����、4122、4124���、4126��、41觀等可被認(rèn)為是客戶機(jī)而計(jì)算機(jī)4110���、 4112等可被認(rèn)為是服務(wù)器,其中服務(wù)器4110���、4112等提供數(shù)據(jù)服務(wù)��,諸如從客戶機(jī)計(jì)算機(jī)4120�����、4122��、41對(duì)�、4126���、41觀等接收數(shù)據(jù)����、存儲(chǔ)數(shù)據(jù)、處理數(shù)據(jù)�、向客戶機(jī)計(jì)算機(jī)4120、 4122,4124,4126,4128發(fā)送數(shù)據(jù)等�,但任何計(jì)算機(jī)都可取決于環(huán)境而被認(rèn)為是客戶機(jī)����、服務(wù)器或兩者。這些計(jì)算設(shè)備中的任一個(gè)都可以處理數(shù)據(jù)��,或請(qǐng)求可指示此處所描述的技術(shù)的經(jīng)改善的用戶簡(jiǎn)檔和相關(guān)技術(shù)的服務(wù)或任務(wù)�。服務(wù)器通常是可通過諸如因特網(wǎng)或無線網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)之類的遠(yuǎn)程網(wǎng)絡(luò)或本地網(wǎng)絡(luò)訪問的遠(yuǎn)程計(jì)算機(jī)系統(tǒng)?��?蛻魴C(jī)進(jìn)程可在第一計(jì)算機(jī)系統(tǒng)中活動(dòng)����,而服務(wù)器進(jìn)程可在第二計(jì)算機(jī)系統(tǒng)中活動(dòng)����,它們通過通信介質(zhì)相互通信�,由此提供分布式功能并允許多個(gè)客戶機(jī)利用服務(wù)器的信息收集能力�����。按照用戶簡(jiǎn)檔來利用的任何軟件對(duì)象可以單獨(dú)提供或跨多個(gè)計(jì)算設(shè)備或?qū)ο蠓植?。在其中通信網(wǎng)絡(luò)/總線4140是因特網(wǎng)的網(wǎng)絡(luò)環(huán)境中,服務(wù)器4110��、4112等可以是客戶機(jī)4120��、4122��、41對(duì)��、4126����、41觀等通過諸如超文本傳輸協(xié)議(HTTP)等多種已知協(xié)議中的任一種與其通信的web服務(wù)器。服務(wù)器4110�����、4112等也可擔(dān)當(dāng)客戶機(jī)4120����、4122��、41對(duì)�����、 4126�����、41觀等�����,這是分布式計(jì)算環(huán)境的特性。示例性計(jì)算設(shè)備如所提到的那樣���,此處描述的各實(shí)施例適用于其中可能期望實(shí)現(xiàn)可信云服務(wù)框架的一個(gè)或多個(gè)部分的任何設(shè)備���。因此,應(yīng)當(dāng)理解���,構(gòu)思了結(jié)合此處描述的各實(shí)施例使用的手持式���、便攜式和其它計(jì)算設(shè)備和計(jì)算對(duì)象��,即在設(shè)備可以結(jié)合可信云服務(wù)框架來提供某些功能的任何地方��。因此��,在下面的圖42中描述的以下通用遠(yuǎn)程計(jì)算機(jī)僅是一個(gè)示例���,且所公開的主題的各實(shí)施例可用具有網(wǎng)絡(luò)/總線互操作性和交互的任何客戶機(jī)來實(shí)現(xiàn)。盡管并不是必需的��,但各實(shí)施例的任意一個(gè)可以部分地經(jīng)由操作系統(tǒng)來實(shí)現(xiàn),以供設(shè)備或?qū)ο蟮姆?wù)開發(fā)者使用,和/或被包括在結(jié)合可操作組件來操作的應(yīng)用軟件中��。 軟件可在諸如客戶機(jī)工作站、服務(wù)器或其他設(shè)備之類的一個(gè)或多個(gè)計(jì)算機(jī)所執(zhí)行的諸如程序模塊之類的計(jì)算機(jī)可執(zhí)行指令的通用上下文中描述。本領(lǐng)域的技術(shù)人員可以理解,網(wǎng)絡(luò)交互可以用各種計(jì)算機(jī)系統(tǒng)配置和協(xié)議來實(shí)施����。因此��,圖42示出了其中可實(shí)現(xiàn)一個(gè)或多個(gè)實(shí)施例的合適的計(jì)算系統(tǒng)環(huán)境4200的一個(gè)示例���,但是上面已經(jīng)弄清楚�,計(jì)算系統(tǒng)環(huán)境4200僅為合適的計(jì)算環(huán)境的一個(gè)示例,并且不旨在對(duì)各實(shí)施例中的任意一個(gè)的使用范圍或功能提出任何限制���。也不應(yīng)該將計(jì)算環(huán)境 4200解釋為對(duì)示例性操作環(huán)境4200中示出的任一組件或其組合有任何依賴性或要求����。參考圖42���,用于實(shí)現(xiàn)此處的一個(gè)或多個(gè)實(shí)施例的示例性遠(yuǎn)程設(shè)備可以包括手持式計(jì)算機(jī)4210形式的通用計(jì)算設(shè)備����。手持式計(jì)算機(jī)4210的組件可以包括但不限于處理單元4220���、系統(tǒng)存儲(chǔ)器4230和將包括系統(tǒng)存儲(chǔ)器在內(nèi)的各種系統(tǒng)組件耦合至處理單元4220 的系統(tǒng)總線4221�����。計(jì)算機(jī)4210通常包括各種計(jì)算機(jī)可讀介質(zhì),并且可以是可由計(jì)算機(jī)4210訪問的任何可用介質(zhì)���。系統(tǒng)存儲(chǔ)器4230可包括諸如只讀存儲(chǔ)器(ROM)和/或隨機(jī)存取存儲(chǔ)器 (RAM)之類的易失性和/或非易失性存儲(chǔ)器形式的計(jì)算機(jī)存儲(chǔ)介質(zhì)�。作為示例而非限制性���, 存儲(chǔ)器4230還可以包括操作系統(tǒng)�、應(yīng)用程序、其他程序模塊��、和程序數(shù)據(jù)�����。用戶可以通過輸入設(shè)備4240向計(jì)算機(jī)4210輸入命令和信息���。監(jiān)視器或其他類型的顯示設(shè)備也經(jīng)由諸如輸出接口 4250之類的接口連接到系統(tǒng)總線4221���。除監(jiān)視器之外, 計(jì)算機(jī)還可以包括其他外圍輸出設(shè)備��,如揚(yáng)聲器和打印機(jī)��,它們可以通過輸出接口 4250連接�����。計(jì)算機(jī)4210可使用到一個(gè)或多個(gè)其他遠(yuǎn)程計(jì)算機(jī)(諸如遠(yuǎn)程計(jì)算機(jī)4270)的邏輯連接在聯(lián)網(wǎng)或分布式環(huán)境中操作�����。遠(yuǎn)程計(jì)算機(jī)4270可以是個(gè)人計(jì)算機(jī)、服務(wù)器�、路由器、 網(wǎng)絡(luò)PC����、對(duì)等設(shè)備或其他常見網(wǎng)絡(luò)節(jié)點(diǎn)、或者任何其他遠(yuǎn)程媒體消費(fèi)或傳輸設(shè)備�,并且可包括以上關(guān)于計(jì)算機(jī)4210所述的任何或全部元件。圖42所示的邏輯連接包括諸如局域網(wǎng)
29(LAN)或廣域網(wǎng)(WAN)之類的網(wǎng)絡(luò)4271�����,但也可包括其他網(wǎng)絡(luò)/總線����。這些聯(lián)網(wǎng)環(huán)境在家庭、辦公室���、企業(yè)范圍的計(jì)算機(jī)網(wǎng)絡(luò)�、內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中是常見的����。如上所述�,盡管結(jié)合各計(jì)算設(shè)備、網(wǎng)絡(luò)和廣告體系結(jié)構(gòu)描述了示例性實(shí)施例,但還可將底層概念應(yīng)用于其中期望結(jié)合與云服務(wù)的交互來提供信任的任何網(wǎng)絡(luò)系統(tǒng)和任何計(jì)算設(shè)備或系統(tǒng)�����。有多種實(shí)現(xiàn)此處描述的一個(gè)或多個(gè)實(shí)施例的方式�����,例如��,使應(yīng)用和服務(wù)能使用可信云服務(wù)框架的適當(dāng)API�、工具包、驅(qū)動(dòng)程序代碼�����、操作系統(tǒng)��、控件�����、獨(dú)立或可下載的軟件對(duì)象等等���?��?梢詮腁PI (或其他軟件對(duì)象)的觀點(diǎn)以及從提供根據(jù)所描述的實(shí)施例中的一個(gè)或多個(gè)的定點(diǎn)平臺(tái)的軟件或硬件對(duì)象來構(gòu)想各實(shí)施例�。此處描述的各種實(shí)現(xiàn)和實(shí)施例可以具有完全采用硬件��、部分采用硬件并且部分采用軟件�����、以及采用軟件的方面���。本文中所使用的詞語“示例性”意味著用作示例����、實(shí)例�、或說明。為避免疑惑�����,本文所公開的主題不限于這些示例�����。另外�����,本文中作為“示例性”所述的任何方面或設(shè)計(jì)不一定被解釋為比其他方面或設(shè)計(jì)更優(yōu)選或有利��,它也不意味著排除本領(lǐng)域普通技術(shù)人員已知的等效示例性結(jié)構(gòu)和技術(shù).而且�,就術(shù)語“包括”、“具有”��、“包含”和其他類似的詞語在詳細(xì)描述或權(quán)利要求書中的使用而言�����,為避免疑惑���,這樣的術(shù)語旨在以類似于術(shù)語“包括”作為開放的過渡詞的方式解釋而不排除任何附加或其他元素���。如所述的���,此處所述的各種技術(shù)可結(jié)合硬件或軟件或,在適當(dāng)時(shí)�,以兩者的組合來實(shí)現(xiàn)。如此處所使用的��,術(shù)語“組件”��、“系統(tǒng)”等同樣旨在指計(jì)算機(jī)相關(guān)實(shí)體��,或者是硬件�����、 硬件和軟件的組合��、軟件或者是執(zhí)行中的軟件����。例如,組件可以是���,但不限于��,在處理器上運(yùn)行的進(jìn)程�、處理器、對(duì)象��、可執(zhí)行碼���、執(zhí)行的線程、程序和/或計(jì)算機(jī)�����。作為說明�,在計(jì)算機(jī)上運(yùn)行的應(yīng)用和計(jì)算機(jī)都可以是組件。一個(gè)或多個(gè)組件可駐留在進(jìn)程和/或執(zhí)行的線程內(nèi)����, 并且組件可位于一個(gè)計(jì)算機(jī)上和/或分布在兩個(gè)或更多的計(jì)算機(jī)之間。如前所述的系統(tǒng)已經(jīng)參考若干組件之間的交互來描述����。可以理解�����,這些系統(tǒng)和組件可包括組件或指定的子組件���、某些指定的組件或子組件和/或附加的組件����,并且根據(jù)上述內(nèi)容的各種置換和組合。子組件還可作為通信地耦合到其他組件的組件來實(shí)現(xiàn)���,而不是被包括在父組件內(nèi)(層次性)���。另外,應(yīng)該注意�,一個(gè)或多個(gè)組件也可以合并到提供聚合功能的單一組件中,或者也可以分成多個(gè)單獨(dú)的子組件����,并且,可以提供諸如管理層之類的任何一個(gè)或更多中間層���,以可通信地耦合到這樣的子組件�,以便提供集成的功能���。此處所述的任何組件也可與一個(gè)或多個(gè)此處未專門描述的但本領(lǐng)域技術(shù)人員一般已知的其他組件進(jìn)行交互����。鑒于以上描述的示例性系統(tǒng),參考各附圖的流程圖將可以更好地理解依照所公開的主題實(shí)現(xiàn)的方法����。盡管為了說明簡(jiǎn)潔起見,作為一系列框示出和描述了方法��,但是�,應(yīng)該理解����,所要求保護(hù)的主題不僅限于所描述框的順序,一些框可以按與此處所描繪和描述的不同的順序進(jìn)行和/或與其它框并發(fā)地進(jìn)行�����。盡管經(jīng)由流程圖示出了非順序或分支的流程�����,但可以理解���,可實(shí)現(xiàn)達(dá)到相同或類似結(jié)果的各種其他分支��、流程路徑和框的次序��。此外�, 并非全部所示的框都是實(shí)現(xiàn)下文中描述的方法所必需的。雖然在某些實(shí)施例中����,說明了客戶機(jī)側(cè)觀點(diǎn),但要出于避免存在相對(duì)應(yīng)的服務(wù)器觀點(diǎn)的疑問來理解���,反之亦然�。類似地�����,在實(shí)施方法的地方�,可以提供具有存儲(chǔ)和被配置成經(jīng)由一個(gè)或多個(gè)組件實(shí)施該方法的至少一個(gè)處理器的相對(duì)應(yīng)的設(shè)備。
盡管結(jié)合各附圖的優(yōu)選實(shí)施例描述了各實(shí)施例�����,但可以理解���,可以使用其他類似的實(shí)施例�����,或可以對(duì)所描述的實(shí)施例進(jìn)行修改和添加來執(zhí)行相同的功能而不背離本發(fā)明�����。 而且��,此處描述的各實(shí)施例的一個(gè)或多個(gè)方面可以在多個(gè)處理芯片或設(shè)備中實(shí)現(xiàn)或跨多個(gè)處理芯片或設(shè)備實(shí)現(xiàn)��,且存儲(chǔ)可以類似地跨多個(gè)設(shè)備來實(shí)現(xiàn)���。因此,本發(fā)明不應(yīng)限于任何單個(gè)實(shí)施例����,而是應(yīng)該根據(jù)所附權(quán)利要求書的廣度和范圍來解釋。
權(quán)利要求
1.一種用于主存?zhèn)浞輸?shù)據(jù)的方法��,包括由第一控制區(qū)中的至少一個(gè)計(jì)算設(shè)備從第二控制區(qū)中的至少一個(gè)計(jì)算設(shè)備接收400 根據(jù)至少一個(gè)可搜索的加密算法基于密鑰信息來對(duì)所述第二控制區(qū)中的所述至少一個(gè)計(jì)算設(shè)備的所定義的數(shù)據(jù)集的完全備份數(shù)據(jù)進(jìn)行加密而形成的經(jīng)加密數(shù)據(jù)�;由所述第一控制區(qū)中的所述至少一個(gè)計(jì)算設(shè)備從所述第二控制區(qū)中的所述至少一個(gè)計(jì)算設(shè)備接收410通過對(duì)所述完全備份數(shù)據(jù)的分析以及基于所述密鑰信息對(duì)所述分析的輸出進(jìn)行加密而形成的經(jīng)加密元數(shù)據(jù);接收420陷門數(shù)據(jù)�,所述陷門數(shù)據(jù)允許對(duì)所述經(jīng)加密數(shù)據(jù)的如該陷門數(shù)據(jù)的至少一個(gè)密碼陷門所定義的可見訪問;以及基于所述經(jīng)加密數(shù)據(jù)�����、經(jīng)加密元數(shù)據(jù)以及陷門數(shù)據(jù)來維護(hù)430所定義的數(shù)據(jù)集的合成完全數(shù)據(jù)。
2.如權(quán)利要求1所述的方法�,其特征在于,還包括接收400根據(jù)至少一個(gè)可搜索的加密算法基于密鑰信息來對(duì)所定義的數(shù)據(jù)集的增量備份數(shù)據(jù)進(jìn)行加密而形成的經(jīng)加密的增量數(shù)據(jù)��。
3.如權(quán)利要求2所述的方法����,其特征在于,所述接收400包括接收根據(jù)由所述第二控制區(qū)中的所述至少一個(gè)計(jì)算設(shè)備所生成的至少一個(gè)日志而形成的經(jīng)加密的增量數(shù)據(jù)���,所述至少一個(gè)日志是自從最近的完全備份或增量備份操作以來所生成的��。
4.如權(quán)利要求2所述的方法�,其特征在于�����,還包括接收400根據(jù)對(duì)增量備份數(shù)據(jù)的分析并基于所述密鑰信息對(duì)所述分析的輸出進(jìn)行加密而形成的經(jīng)加密的增量元數(shù)據(jù)����。
5.如權(quán)利要求2所述的方法,其特征在于�,還包括接收400增量陷門數(shù)據(jù)�,所述增量陷門數(shù)據(jù)允許對(duì)所述經(jīng)加密的增量數(shù)據(jù)的如該增量陷門數(shù)據(jù)的至少一個(gè)密碼陷門所定義的可見訪問���。
6.如權(quán)利要求5所述的方法�����,其特征在于��,還包括使用所述陷門數(shù)據(jù)來訪問1240所述經(jīng)加密的增量數(shù)據(jù)和經(jīng)加密的增量元數(shù)據(jù)���。
7.如權(quán)利要求1所述的方法,其特征在于����,還包括接收600對(duì)來自所定義的數(shù)據(jù)集的至少一個(gè)數(shù)據(jù)項(xiàng)的恢復(fù)請(qǐng)求;接收用于從所述經(jīng)加密數(shù)據(jù)中提取所述至少一個(gè)數(shù)據(jù)項(xiàng)的至少一個(gè)陷門����。
8.一種用于發(fā)布備份數(shù)據(jù)的方法���,包括由第一控制區(qū)中的至少一個(gè)計(jì)算設(shè)備啟動(dòng)500存儲(chǔ)在所述至少一個(gè)計(jì)算設(shè)備的存儲(chǔ)器中的主數(shù)據(jù)的完全備份以形成完全備份數(shù)據(jù)�����,所述完全備份數(shù)據(jù)用于由第二控制區(qū)中的至少一個(gè)遠(yuǎn)程計(jì)算設(shè)備維護(hù)所述主數(shù)據(jù)的合成完全備份數(shù)據(jù)��;基于對(duì)所述主數(shù)據(jù)的遍歷來生成510結(jié)構(gòu)元數(shù)據(jù)�;根據(jù)至少一個(gè)可搜索的加密算法基于從生成密鑰信息的密鑰生成器接收到的密鑰信息,加密520所述主數(shù)據(jù)和所述結(jié)構(gòu)元數(shù)據(jù)以形成經(jīng)加密數(shù)據(jù)和經(jīng)加密元數(shù)據(jù)����;以及基于所述密鑰信息來生成530至少一個(gè)密碼陷門,從而允許對(duì)所述經(jīng)加密數(shù)據(jù)進(jìn)行如所述至少一個(gè)密碼陷門所定義的遍歷�����。
9.如權(quán)利要求8所述的方法�,其特征在于,所述加密520包括以保持大小的方式來加密所述主數(shù)據(jù)�。
10.如權(quán)利要求8所述的方法,其特征在于���,所述生成530至少一個(gè)密碼陷門包括允許所述至少一個(gè)遠(yuǎn)程計(jì)算設(shè)備使用所述至少一個(gè)密碼陷門遍歷所述經(jīng)加密元數(shù)據(jù)���。
11.如權(quán)利要求8所述的方法,其特征在于�,所述生成530至少一個(gè)密碼陷門包括允許所述至少一個(gè)遠(yuǎn)程計(jì)算設(shè)備使用所述至少一個(gè)密碼陷門遍歷所述經(jīng)加密數(shù)據(jù)。
12.如權(quán)利要求8所述的方法��,其特征在于,進(jìn)一步包括將所述經(jīng)加密數(shù)據(jù)和經(jīng)加密元數(shù)據(jù)傳輸710到包括所述至少一個(gè)遠(yuǎn)程計(jì)算設(shè)備的網(wǎng)絡(luò)服務(wù)提供者�。
13.如權(quán)利要求8所述的方法,其特征在于���,進(jìn)一步包括將所述至少一個(gè)密碼陷門傳輸710到包括所述至少一個(gè)遠(yuǎn)程計(jì)算設(shè)備的網(wǎng)絡(luò)服務(wù)提供者�。
14.如權(quán)利要求8所述的方法�����,其特征在于��,進(jìn)一步包括使用減少存儲(chǔ)在所述至少一個(gè)計(jì)算設(shè)備和所述至少一個(gè)遠(yuǎn)程設(shè)備兩者上的重復(fù)數(shù)據(jù)的至少一個(gè)算法來將所述經(jīng)加密數(shù)據(jù)傳輸710到包括所述至少一個(gè)遠(yuǎn)程計(jì)算設(shè)備的網(wǎng)絡(luò)服務(wù)提供者��,���。
15.一種用于預(yù)訂備份數(shù)據(jù)的方法����,包括從通過至少一個(gè)網(wǎng)絡(luò)可訪問的備份數(shù)據(jù)服務(wù)請(qǐng)求900至少一個(gè)訂戶計(jì)算設(shè)備的數(shù)據(jù)集的至少一個(gè)數(shù)據(jù)項(xiàng)的恢復(fù)���,所述備份數(shù)據(jù)服務(wù)以由該備份數(shù)據(jù)服務(wù)為合成完全備份服務(wù)可搜索地加密的格式來維護(hù)對(duì)應(yīng)于所述數(shù)據(jù)集的合成完全數(shù)據(jù); 以可搜索地加密的格式來接收910所述至少一個(gè)數(shù)據(jù)項(xiàng)���;以及基于用于加密可以被所述至少一個(gè)訂戶設(shè)備訪問的所述數(shù)據(jù)集的密鑰信息��,在所述至少一個(gè)訂戶計(jì)算設(shè)備的存儲(chǔ)器中恢復(fù)920所述數(shù)據(jù)集的所述至少一個(gè)項(xiàng)���。
全文摘要
為包括用于存儲(chǔ)在遠(yuǎn)程站點(diǎn)或云服務(wù)中的諸如合成完全備份數(shù)據(jù)之類的備份數(shù)據(jù)的可搜索加密技術(shù)的備份數(shù)據(jù)服務(wù)提供了數(shù)字托管模式��,從而將信任分布在多個(gè)實(shí)體間以避免單點(diǎn)數(shù)據(jù)泄密�����。在一個(gè)實(shí)施例中�����,以解決對(duì)于可能敏感的數(shù)據(jù)的外部或遠(yuǎn)程存儲(chǔ)的完整性和保密性要求的密碼安全的方式�����,利用經(jīng)加密數(shù)據(jù)作為數(shù)據(jù)服務(wù)來維護(hù)可操作合成完全�。所支持的存儲(chǔ)技術(shù)包括對(duì)主設(shè)備數(shù)據(jù)的第二副本的備份����、數(shù)據(jù)保護(hù)、災(zāi)難恢復(fù)���、以及分析���?���?梢员粦?yīng)用以促進(jìn)對(duì)備份數(shù)據(jù)的安全性和保密性建立高層次的信任的有成本效益的密碼技術(shù)的某些示例包括�,但不僅限于,保持大小的加密���、可搜索的加密�����、或應(yīng)用證明����、盲指紋���、可恢復(fù)性證明及其他�����。
文檔編號(hào)G06F21/22GK102460460SQ201080027103
公開日2012年5月16日 申請(qǐng)日期2010年6月10日 優(yōu)先權(quán)日2009年6月12日
發(fā)明者R·P·德索扎, R·V·奧拉德卡 申請(qǐng)人:微軟公司