專利名稱:用于可信計算和數(shù)據(jù)服務(wù)的無容器數(shù)據(jù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及為設(shè)備提供可信計算和數(shù)據(jù)服務(wù)�,諸如網(wǎng)絡(luò)或云服務(wù),尤其涉及允許安全�����、可選擇性地訪問�����、以及私密地存儲的數(shù)據(jù)而不管哪個(哪些)容器被用來實際存儲位的的數(shù)據(jù)或網(wǎng)絡(luò)服務(wù)�。
背景技術(shù):
以關(guān)于一些常規(guī)系統(tǒng)的背景技術(shù)為例,計算設(shè)備在傳統(tǒng)上是在設(shè)備本地執(zhí)行應用和數(shù)據(jù)的����。在這種情況下,當數(shù)據(jù)被訪問����、處理��、存儲�、高速緩存等等時���,這些數(shù)據(jù)可以通過本地總線����、接口和其他數(shù)據(jù)路徑在設(shè)備上行進���,然而����,設(shè)備的用戶不必擔心用戶數(shù)據(jù)的干擾或暴露���,除非設(shè)備本身丟失�、失竊或以其他方式被損害�。
能夠存儲數(shù)萬億字節(jié)數(shù)據(jù)(以及將來潛在的千萬億字節(jié)、百萬萬億字節(jié)數(shù)據(jù))的網(wǎng)絡(luò)存儲場的演變創(chuàng)造了模擬歷史上是對本地數(shù)據(jù)進行操作��,卻反而是對存儲在云中的數(shù)據(jù)進行操作的應用的機會���,其中主設(shè)備和外部存儲是分開的����。應用或系統(tǒng)(或任何)數(shù)據(jù)的云存儲允許許多設(shè)備存儲它們的數(shù)據(jù)而不需要用于每個設(shè)備的分開的專用存儲�。但是,隨著在線和云服務(wù)的演進����,應用和服務(wù)正越來越多地移動到第三方網(wǎng)絡(luò)提供者,由網(wǎng)絡(luò)提供者代表設(shè)備來執(zhí)行給定服務(wù)的一些或全部��。在這種情況下��,當用戶的數(shù)據(jù)被上傳到服務(wù)時�、當該數(shù)據(jù)被服務(wù)存儲或處理時、或者當該數(shù)據(jù)被從服務(wù)檢索時�,設(shè)備的用戶關(guān)心的可能是誰能夠訪問該數(shù)據(jù),或者可能更壞地�,誰能夠干擾該數(shù)據(jù)。簡言之�,當用戶的設(shè)備的數(shù)據(jù)離開物理占有的領(lǐng)域并進入物理上遠離用戶的網(wǎng)絡(luò)環(huán)境時,關(guān)于第三方對數(shù)據(jù)的疏忽的或惡意的處理或者對數(shù)據(jù)的干擾的擔憂出現(xiàn)了�。因此,所期望的是增加對云服務(wù)和與云服務(wù)相聯(lián)系的數(shù)據(jù)處理的信任��、安全性和私密性。關(guān)于即使在企業(yè)內(nèi)部的數(shù)據(jù)存儲����,當數(shù)據(jù)離開生成數(shù)據(jù)的一個控制區(qū)(例如,第一部門)而進入另一(例如����,第二部門)區(qū)域以進行存儲時,可能出現(xiàn)類似的擔憂��。然而����,如同上面提到的,留下了以下問題云服務(wù)或網(wǎng)絡(luò)存儲提供者均不能夠有效地緩解針對數(shù)據(jù)(當存儲在云中時)的安全性��、私密性以及完整性的問題和需要����。簡言之,用戶要求在如下方面有更高的信任當交出對存儲媒介的物理控制時�,他們的數(shù)據(jù)仍然是安全而私密的,并且這種障礙已顯著防止企業(yè)和消費者經(jīng)由第三方網(wǎng)絡(luò)服務(wù)和解決方案采用重要數(shù)據(jù)的備份�。當今的設(shè)備和被提供給設(shè)備的數(shù)據(jù)服務(wù)的上述缺點僅僅旨在提供對常規(guī)系統(tǒng)的一些問題的總覽,并且不旨在是窮盡性的。在仔細閱讀了以下具體實施方式
后�����,當今領(lǐng)域的其他問題和各非限制性性實施例的對應好處可變得顯而易見���。
發(fā)明內(nèi)容
此處提供了簡化的發(fā)明內(nèi)容以幫助能夠?qū)σ韵赂敿毜拿枋龊透綀D中的示例性、非限制性實施例中的一個或多個的各方面有基本或大體的理解���。然而��,本發(fā)明內(nèi)容并不旨在作為詳盡的或窮盡的�。相反�,本節(jié)發(fā)明內(nèi)容的唯一目的在于,以簡化的形式提出與一些示例性��、非限制性實施方式相關(guān)的一些概念����,作為以下各實施方式的更詳細的描述的序言。網(wǎng)絡(luò)或云數(shù)據(jù)服務(wù)(包括用于數(shù)據(jù)的數(shù)學變換技術(shù)�����,諸如可搜索加密、解除組裝/重新組裝或分發(fā)技術(shù))被以如下方式提供該方式跨多個實體分發(fā)信任以避免單點數(shù)據(jù)損害����,并且將數(shù)據(jù)保護要求從可存儲、處理�、訪問或檢索該數(shù)據(jù)的容器分離(decouple)。在一個實施例中��,數(shù)學變換斷言生成器(例如����,密鑰生成器)、數(shù)學變換提供者(例如��,密碼技術(shù)提供者)以及云服務(wù)提供者每個均作為分開的實體提供����,從而允許數(shù)據(jù)發(fā)布者的可信平臺機密地(經(jīng)模糊化 的,例如�����,經(jīng)加密的)將數(shù)據(jù)提供給云服務(wù)提供者�����,并且允許經(jīng)授權(quán)的訂閱者基于訂閱者能力對所述經(jīng)模糊化的(例如,經(jīng)加密的)數(shù)據(jù)的選擇性的訪問����。使用可信平臺的技術(shù),將數(shù)據(jù)(以及相關(guān)聯(lián)的元數(shù)據(jù))從保存該數(shù)據(jù)的容器(例如�,文件系統(tǒng),數(shù)據(jù)庫等)分離��,從而通過施加用所呈現(xiàn)的能力刺穿的數(shù)學復雜度保護罩來允許該數(shù)據(jù)充當它自己的管理者�,作為非限制性示例���,所呈現(xiàn)的能力諸如是由信任平臺的密碼密鑰生成器所授予的密鑰���。以保留并擴展信任而不需要特定容器來實施的方式,促進對數(shù)據(jù)或該數(shù)據(jù)的子集的共享或訪問����。被應用到該數(shù)據(jù)的數(shù)學復雜度(諸如可搜索加密技術(shù))保護該數(shù)據(jù),而不考慮記錄該特定位的容器或硬件����,即,該數(shù)據(jù)是被無容器地或不考慮該容器地保護的��,并且因此不經(jīng)受在損害容器安全性的基礎(chǔ)上的攻擊。如果該特定的“保險箱”被破解�,內(nèi)容仍然被保護。在一個非限制性實施例中���,可擴展標記語言(XML)數(shù)據(jù)是充當它自己的管理者的數(shù)據(jù)��。使用XML數(shù)據(jù)�����,可用描述信息擴充或添加標簽�,該描述信息選擇性地允許或阻止對底層數(shù)據(jù)的訪問����,從而允許該XML數(shù)據(jù)或XML數(shù)據(jù)片段(如由被應用到該XML數(shù)據(jù)或片段的信任信封中的標簽信息所封裝的)充當它自己的管理者。例如��,XML數(shù)據(jù)或標簽能夠表示可搜索元數(shù)據(jù)�,該可搜索元數(shù)據(jù)對認證信息、授權(quán)信息���、模式信息�、歷史信息���、追蹤信息�����、一致性信息等中的任一個或多個進行編碼����。注意,基于XML的實施例中的任一個還可應用到一些替代格式�,諸如但不限于,JavaScript對象符號(JS0N)����、S表達式(S_Expressions)���、電子數(shù)據(jù)交換(EDI)等�,并且因此XML僅在這樣的實施例中用作說明性目的��。用于任何類型的有效載荷(諸如但不限于數(shù)據(jù)庫字段����、XML片段或完整記錄)的“受信信封”因此通過放置在該信封上的各種裝飾或封條來提供遮掩的(curtained)訪問,所述裝飾或封條允許具有保證的全范圍信任��,諸如但不限于,機密性��、私密性��、匿名性�、篡改檢測、完整性等�����。例如�,可以應用或擴充XML標簽來為結(jié)構(gòu)化XML數(shù)據(jù)一用于聯(lián)網(wǎng)環(huán)境中的數(shù)據(jù)交換的常見格式——創(chuàng)建信任信封,從而允許可信云服務(wù)環(huán)境中的無容器XML數(shù)據(jù)�。可被應用以促進對數(shù)據(jù)的安全性和私密性的高度信任的建立的密碼技術(shù)或“裝飾”的一些其他示例包括但不限于����,大小保留加密、可搜索加密����、或應用證明、盲指紋�����、檢索能力證明等。以下更詳細地描述其他實施例和各非限制性性示例�、場景和實現(xiàn)。
參考附圖進一步描述各非限制性實施例�����,在附圖中圖I是用于提供安全的�����、私密的���、以及可選擇性訪問的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)的一個或多個實施例的總體環(huán)境的框圖��;圖2是示出“作為它自己的管理者的數(shù)據(jù)”的一個或多個方面的框圖3是用于提供安全的�����、私密的、以及可選擇性訪問的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)的一個或多個實施例的總體環(huán)境的框圖��;圖4是用于管理容器的過程的流程圖���,其中數(shù)據(jù)充當它自己的管理者�����;圖5是示出充當它自己的管理者的數(shù)據(jù)的一個或多個方面的另一個框圖�;圖6是示出充當它自己的管理者的數(shù)據(jù)的另一個框圖,其示出了數(shù)據(jù)能夠超越傳統(tǒng)容器安全模型�����;圖7示出存儲管理層���,該存儲管理層執(zhí)行諸如來自不同類型的多個數(shù)據(jù)容器的數(shù)據(jù)的自動粉碎�����、高速緩存��、復制�����、重構(gòu)等功能���;圖8是示出安全覆蓋網(wǎng)絡(luò)的框圖,該安全覆蓋網(wǎng)絡(luò)在跨各種數(shù)據(jù)容器的存儲數(shù)據(jù)的任何地方向數(shù)據(jù)添加密碼訪問包裝��;圖9是示出與傳統(tǒng)應用有關(guān)的方面的框圖;圖10是可與傳統(tǒng)應用以及FTO知曉應用(FTO aware applications)結(jié)合使用的樣本架構(gòu)模型�;圖11是示出密碼包裝或信封在數(shù)據(jù)和/或描述該數(shù)據(jù)或該數(shù)據(jù)的特征的元數(shù)據(jù)上的一般使用的框圖;圖12是一特定示例���,進一步突出了圖11中大體呈現(xiàn)的概念����;圖13是另一示例���,示出了圍繞被保護數(shù)據(jù)的聯(lián)合信任覆蓋�;圖14是示出其中使用信任覆蓋將記錄以及索引加密并上傳到云的一實施例的框 圖��;圖15-16示出客戶端能夠如何利用聯(lián)合信任覆蓋架構(gòu)來生成并上傳經(jīng)加密的索引到經(jīng)加密的數(shù)據(jù)上以獲得更豐富的云存儲體驗�����;圖17-18是示出該系統(tǒng)的一些附加非限制性信任保證的框圖����;圖19是示出以XML為上下文的受信覆蓋的一實施例的圖;圖20-23是示出用于各實施例中的受信XML的示例性過程的流程圖����;圖24是根據(jù)一實施例的可信云服務(wù)框架或生態(tài)系統(tǒng)的框圖;圖25是示出根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于發(fā)布數(shù)據(jù)的示例性�、非限制性方法的流程圖;圖26是示出根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于訂閱數(shù)據(jù)的示例性��、非限制性方法的流程圖����;圖27不出一不例性生態(tài)系統(tǒng),該生態(tài)系統(tǒng)不出了密鑰生成中心(CKG)�����、密碼技術(shù)提供者(CTP)和云服務(wù)提供者(CSP)在可信生態(tài)系統(tǒng)中的分離����;圖28是示出了用于為企業(yè)執(zhí)行云服務(wù)的可信生態(tài)系統(tǒng)的其他益處的另一架構(gòu)圖;圖29是示出了通過存儲抽象層來適應于不同存儲提供者的另一框圖�����;圖30示出與存儲抽象服務(wù)相聯(lián)系的存儲的進一步的方面���;圖31是示出可信生態(tài)系統(tǒng)中的各不同參與者的另一框圖���;圖32是可信云計算系統(tǒng)的示例性非限制性實施方式的一些層的代表性視圖����,在該計算系統(tǒng)中����,不同構(gòu)件可以由不同或相同實體來提供;圖33是一示例性非限制性過程的流程圖����,該過程用于以利用后期綁定向發(fā)布者提供對數(shù)據(jù)的受控選擇性訪問的方式來向數(shù)字保險箱應用發(fā)布文檔;圖34是用于訂閱置于數(shù)字保險箱中的材料的示例性����、非限制性過程的流程圖;圖35示出使用數(shù)字托管模式來通過一個或多個數(shù)據(jù)中心為企業(yè)實現(xiàn)安全外聯(lián)網(wǎng)的可信云服務(wù)的示例性�、非限制性的實施方式;圖36是示出基于可信云服務(wù)生態(tài)系統(tǒng)的另一示例性非限制性場景的流程圖�����,在該生態(tài)系統(tǒng)中����,賦予訂閱者對由CSP存儲的經(jīng)加密數(shù)據(jù)的選擇性訪問權(quán)��;圖37是示出應用響應可以基于登陸信息對訂閱者特制的另一流程圖����;圖38是示出安全記錄上傳場景的另一流程圖��,該場景可以針對單方或多方來實現(xiàn)����;圖39是示出由可信云服務(wù)生態(tài)系統(tǒng)使能的����、對經(jīng)可搜索地加密的數(shù)據(jù)存儲進行 基于角色查詢的示例性、非限制性的另一流程圖�;圖40是示出多方協(xié)作場景的流程圖,在該場景中���,企業(yè)向外部企業(yè)提供對其經(jīng)加密數(shù)據(jù)中的一些的訪問權(quán)�����;圖41是示出多個企業(yè)間的多方自動搜索場景的流程圖�;圖42示出可以針對可信云服務(wù)實現(xiàn)的示例性�����、非限制性的邊緣計算網(wǎng)絡(luò)(ECN)技術(shù);圖43是示出根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的密鑰生成中心的一個或多個可任選方面的框圖�����;圖44是包括經(jīng)可搜索地加密的數(shù)據(jù)的可信存儲的示例性��、非限制性實施例的框圖�;圖45是用于訂閱的示例性、非限制性過程的流程圖��,該過程包括確認步驟�����;圖46示出示例性�、非限制性確認挑戰(zhàn)/響應協(xié)議,驗證方按照該協(xié)議向證明方發(fā)出密碼挑戰(zhàn)���。圖47是包括經(jīng)可搜索地加密的數(shù)據(jù)的可信存儲的另一示例性�、非限制性實施例的框圖�;圖48是用于訂閱的示例性、非限制性過程的流程圖����,該過程包括確認步驟�����;圖49示出另一示例性�、非限制性驗證挑戰(zhàn)/響應協(xié)議���,驗證方按照該協(xié)議向證明方發(fā)出密碼挑戰(zhàn);圖50是用于提供服務(wù)(包括盲指紋化(blind fingerprinting))的一個或多個實施例的總體環(huán)境的框圖��;圖51是示出非限制性場景的框圖�,在該場景中,多個獨立的聯(lián)合信任覆蓋或者數(shù)字托管可以并排存在�,或者針對分層方式彼此相疊地存在;圖52是可信存儲的另一示例性��、非限制性實施例的框圖��,該可信存儲包括用于針對非授權(quán)訪問模糊化(obscure)數(shù)據(jù)的數(shù)據(jù)分發(fā)技術(shù)�����;圖53是表示可實現(xiàn)在此處所述的各個實施例的示例性���、非限制性聯(lián)網(wǎng)環(huán)境的框圖��;以及圖54是表示可實現(xiàn)此處所述的各個實施例的一個或多個方面的示例性���、非限制性計算系統(tǒng)或操作環(huán)境的框圖���。
具體實施例方式概覽如在 背景技術(shù)中所討論的那樣,發(fā)送給網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)可能造成私密性方面的不適����、篡改的可能性等等,例如�,當數(shù)據(jù)被從用戶的設(shè)備傳輸給網(wǎng)絡(luò)應用、服務(wù)或數(shù)據(jù)存儲時����,用戶期望對沒有惡意第三方能造成損害的充分保證。按照定義���,用戶已失去對數(shù)據(jù)的控制�����。因此�����,所期望的是增加信任���,使得數(shù)據(jù)的發(fā)布者和/或所有者愿意交出對其數(shù)據(jù)的物理控制�����,同時相信在網(wǎng)絡(luò)中�����,除了當被該發(fā)布者或該所有者或如基于請求者身份所驗證的被授予了特權(quán)的任何人訪問時之外,其數(shù)據(jù)都將保持私密性和不受損���。就此�,留下了以下問題云服務(wù)或網(wǎng)絡(luò)存儲提供者均不能夠有效地緩解對數(shù)據(jù)(當存儲在云中時)的安全性�、私密性以及完整性的問題和需要。簡言之����,用戶關(guān)心在如下方面有更高的信任當交出對存儲媒介的物理控制時,他們的數(shù)據(jù)仍然是安全而私密的���,并且這種障礙已顯著防止企業(yè)和消費者經(jīng)由第三方網(wǎng)絡(luò)服務(wù)和解決方案采用重要數(shù)據(jù)的備份���。本文中所使用的術(shù)語“網(wǎng)絡(luò)存儲提供者”包括但不限于內(nèi)容遞送(或分發(fā))網(wǎng)絡(luò)(⑶N)���、混合場景(例如,跨企業(yè)存儲���、云存儲和/或⑶N)���、和/或更寬泛的聯(lián)合場景(例如,橫跨多個企業(yè)�����、多個云��、或多個⑶N)����、或前述的任何組合。傳統(tǒng)上����,為了保持數(shù)據(jù)安全����,將數(shù)據(jù)鎖藏或保持其隱秘���,例如�����,在物理介質(zhì)上���。就此,數(shù)據(jù)持有者知道����,保險箱(safe)的管理者必須是完全可信方����,或?qū)ΡkU箱的內(nèi)容沒有訪問權(quán)。就此��,盡管云服務(wù)的前提是顧客不必需要精確地知曉他們的數(shù)據(jù)物理上位于何處�,也不能完全忽略這個問題。這是因為��,對誰(什么設(shè)備)能夠訪問該數(shù)據(jù)、誰看見該數(shù)據(jù)���、誰維護該數(shù)據(jù)以及如何存儲該數(shù)據(jù)負起全部的責任是一項挑戰(zhàn)��。相應地��,在現(xiàn)實中���,由于固有的不信任和各種其他顧慮,顧客非常關(guān)心控制云鏈條中的各種計算和存儲設(shè)備的第三方是誰����。通過消除由人類或外部實體控制的主動管理權(quán)(其具有可能與數(shù)據(jù)持有者或發(fā)布者不一致的固有偏向),本文的各實施例提供了一種系統(tǒng)�����,其中數(shù)據(jù)被數(shù)學變換(例如��,被選擇性地加密或可搜索地加密)而使得該數(shù)據(jù)充當它自己的管理者����,而不管保存該數(shù)據(jù)的第三方機器、機制、設(shè)備�、或容器如何。就此��,聯(lián)合信任覆蓋的各種實現(xiàn)允許無容器數(shù)據(jù)以及對安全性��、機密性��、防篡改性等的保證����,其中使這些保證對該用戶是透明的。相應地��,在各實施例中��,可信云平臺被用作可變換框架來通過發(fā)布者數(shù)學地模糊化數(shù)據(jù)而使得訂閱者能夠選擇性地訪問該訂閱者被授權(quán)的片段�。就此,該平臺通過同時保護數(shù)據(jù)但是還允許授權(quán)訂閱者的訪問����,同時保留在某些地方的完整性和安全性�����,實現(xiàn)充當其自己的管理者的數(shù)據(jù)。充當其自己的管理者的數(shù)據(jù)可用帶可插入服務(wù)的聯(lián)合信任覆蓋實現(xiàn)��,如在各實施例中及下面的各具體小節(jié)中所描述的�����。通過不止實現(xiàn)數(shù)學模糊化(例如����,加密),各實施例向用戶和托管代理數(shù)據(jù)提供如下保證無論數(shù)據(jù)被存儲在何處以及如何存儲�����,該數(shù)據(jù)均保留如由數(shù)據(jù)發(fā)布者或持有者所適當限定的機密性和完整性要求��。就此�,焦點從使數(shù)據(jù)的邊界、管道和容器安全切換或擴充到通過提供密碼安全信任信封使數(shù)據(jù)和相關(guān)聯(lián)的元數(shù)據(jù)安全���,其中該密碼安全信封在被出示適當能力(例如����,密鑰)時允許對該數(shù)據(jù)/元數(shù)據(jù)或特定子集的訪問�。在一個實施例中����,提供一種用于主存數(shù)據(jù)的方法���,該方法包括�����,通過在第一控制區(qū)域中的計算設(shè)備從在第二控制區(qū)域中的計算設(shè)備接收經(jīng)模糊化的數(shù)據(jù)���,所述經(jīng)模糊化的數(shù)據(jù)是針對第二控制區(qū)域中的計算設(shè)備的定義的數(shù)據(jù)集合從數(shù)據(jù)的數(shù)學變換形成的。該方法還包括通過第一控制區(qū)域中的計算設(shè)備接收經(jīng)模糊化的元數(shù)據(jù)�,所述經(jīng)模糊化的元數(shù)據(jù)是從對所述數(shù)據(jù)的分析以及該分析的輸出的至少一個其他數(shù)學變換形成的。接下來��,確定一組容器中的哪一個或多個容器具有至少兩種不同的容器類型�����,其中所述經(jīng)模糊化的數(shù)據(jù)和/或所述經(jīng)模糊化的元數(shù)據(jù)按照所述容器類型來存儲����。在系統(tǒng)的一種非限制性實現(xiàn)中,一個或多個數(shù)學變換組件由數(shù)學變換算法提供者至少部分地分發(fā)��,該數(shù)學變換算法提供者是獨立于用于發(fā)布數(shù)據(jù)和元數(shù)據(jù)或訂閱數(shù)據(jù)和元數(shù)據(jù)中的至少一項而生成數(shù)學變換斷言信息(例如�����,密鑰信息)的生成器而實現(xiàn)的��。該一個或多個數(shù)學變換組件基于該生成器所生成的數(shù)學變換斷言信息來執(zhí)行至少一個可搜索數(shù)據(jù)模糊化算法(例如���,可搜索加密)或可搜索數(shù)據(jù)揭示(例如�,可搜索解密)算法��。獨立于該生成器和該一個或多個數(shù)學變換組件而實現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者針對由該一個或多個數(shù)學變換組件模糊化的數(shù)據(jù)或元數(shù)據(jù)實現(xiàn)網(wǎng)絡(luò)服務(wù)�,并且該網(wǎng)絡(luò)服務(wù)提供者包括數(shù)據(jù)容器管理組件,該數(shù)據(jù)容器管理組件基于該網(wǎng)絡(luò)服務(wù)的等待時間要求��、數(shù)據(jù)可靠性要求��、距數(shù)據(jù)消費的距離要求�����、或數(shù)據(jù)規(guī)模要求中的至少一個來管理由該至少一個數(shù)學變換組件模糊化的數(shù)據(jù)或元數(shù)據(jù)被存儲在何處��。 在需要時����,或在預期需要時���,作為管理者的數(shù)據(jù)按照精細的或指定的粒度等級而來提供對數(shù)據(jù)的訪問權(quán)利,而不是需要對數(shù)據(jù)的給定集合的全部的權(quán)利�����。云存儲提供者處的操作員工也不能查看����、修改、篡改或刪除數(shù)據(jù)而不被檢測��,除非這種查看���、修改�����、篡改或刪除時根據(jù)被授予該操作員工的能力而明確授權(quán)的����,諸如服務(wù)器日志的維護�、或?qū)υ獢?shù)據(jù)的某些其他有限制的操作來計劃存儲能力等等��。此外����,無容器數(shù)據(jù)使能促進篡改防止的搶先復制(proactive replication),否則篡改防止是傳統(tǒng)系統(tǒng)無法充分解決的要求���。在一個實施例中,聯(lián)合信任覆蓋是用以下組件中的一個或多個實現(xiàn)的云數(shù)據(jù)服務(wù)(⑶S)或云存儲提供者�、密碼技術(shù)提供者(CTP)和密鑰生成中心(CKG)。⑶S可由任何存儲提供者提供����,即,無容器數(shù)據(jù)不需要特定的容器�����。CTP也可由任一方提供���,只要該方與CDS在分開的控制區(qū)域中操作��,無論是基于用于實現(xiàn)CTP的開放說明還是該CTP的專有實現(xiàn)��。分離密鑰生成功能以及使數(shù)學原理(諸如加密原理)經(jīng)受公開檢查鼓舞了如下信心CTP的方法沒有偏向�����,并且可由企業(yè)或單個用戶實現(xiàn)����,或外包到具有CTP專家的第三方。而且����,專有版本、用于公司的開放版本����、用于政府或統(tǒng)治的開放或閉合版本、基準開源版本����、或其他類別均可以被創(chuàng)建以供給定實體預封裝使用或?qū)崿F(xiàn)。CKG實體根據(jù)由該CTP指定的技術(shù)來生成密鑰信息�����,并且也作為該聯(lián)合信任覆蓋的分開的組件而被提供(然而�����,取決于FTO的給定實現(xiàn)想要的信任水平,CKG也可與其他組件相組合)�。在各實施例中,盡管CKG可以是中心式實體��,然而���,本文所使用的“中心”是一種邏輯參考,而不是中心式實體的指示����,因此,該CKG也可以是分布式的以及聯(lián)合式的�。CKG可服務(wù)單個實體或多個合作者,例如���,配藥企業(yè)之間的多合作者協(xié)作以根據(jù)來自所協(xié)定的CKG的密鑰交換來共享和訪問信息����。因此�,使用FT0,通過將能力分開�����,維持了信任和機密性,從而防止了在無明確授權(quán)的情況下對所存儲的信息�、日志或訪問模型的洞察,而且還允許篡改檢測和完整性�,例如,驗證���。例如�����,服務(wù)提供者不能修改或刪除數(shù)據(jù)而不被檢測�。具有非抵賴(non-repudiation)的審計能力使得顧客能夠舒服地對數(shù)據(jù)放手并且確保沒有人意外地或有意地干擾該數(shù)據(jù)��。日志也具有與數(shù)據(jù)和元數(shù)據(jù)相同的保證��。結(jié)果“確認”是可包括在FTO實現(xiàn)中的另一個特征��,在下面更詳細地進行了描述���。確認(validation)確保云不能扣留向它索要的數(shù)據(jù)����,例如,在被索要三個文檔時不能遞送兩個文檔�。通過考慮CKG和執(zhí)行對數(shù)據(jù)的確認的任何服務(wù)的分離的實現(xiàn),以及通過將數(shù)據(jù)與基于被授予應用服務(wù)提供者的能力而接收�����、更改�����、檢索�、更改、擴充或刪除該數(shù)據(jù)或元數(shù)據(jù)的應用服務(wù)提供者分離�����,可使分離的概念再進一步�����。這還具有根據(jù)當時的訪問特征�、經(jīng)更新的安全模型���、經(jīng)更新的角色�����、一天中的時間等來維護應用能力的附加益處�����。將上述特征(諸如在下面更詳細地在各實施例中描述的)中的全部甚至一些進行組合提升了緩解對數(shù)據(jù)的云存儲的顧慮的可能性�����。在企業(yè)層面��,企業(yè)能夠以粒度的方式來擁有政策并控制實施�,即使數(shù)據(jù)和應用被主存在云中。該系統(tǒng)可與企業(yè)安全基礎(chǔ)結(jié)構(gòu)���,諸如身份元系統(tǒng)(例如����,主張��、身份生存期管理�����、活動目錄等),相結(jié)合�����。企業(yè)可按照需要而被暴露于盡量多或盡量少的該FTO的實現(xiàn)����。如本文所述的數(shù)據(jù)服務(wù)的提供涉及允許具有成本效益并且安全和私有的解決方案的存儲和密碼技術(shù)的各種組合和置換。例如��,下面更詳細地描述的各可任選實施例實現(xiàn)了包括保留大小的加密�、可搜索加密和/或被稱為應用證明(Proof of Application)的密碼技術(shù)(參見一般技術(shù))的數(shù)據(jù)保護技術(shù)。這樣的實施例允許用于外包的云數(shù)據(jù)保護�����、災難恢復或分析的新商業(yè)場景����。如在背景技術(shù)中討論的�,傳統(tǒng)系統(tǒng)均未以沒有喪失顧客的私密性或安全性需要的方式實現(xiàn)云或網(wǎng)絡(luò)數(shù)據(jù)服務(wù)。對于這一點��,為了消除圍繞網(wǎng)絡(luò)服務(wù)的常規(guī)供應的信任障礙�,提供實現(xiàn)上面標識出的目標以及在下面描述的各個實施例中強調(diào)的其他優(yōu)點的可信云計算和數(shù)據(jù)服務(wù)生態(tài)系統(tǒng)或框架�����。術(shù)語“云”服務(wù)一般所指的概念是�,服務(wù)不是本地地從用戶的設(shè)備執(zhí)行�����,而是從可通過一個或多個網(wǎng)絡(luò)被訪問的遠程設(shè)備來遞送�����。由于用戶的設(shè)備不需要理解在一個或多個遠程設(shè)備處所發(fā)生的事情的細節(jié)�����,因此服務(wù)從用戶的設(shè)備的角度看上去是從“云”遞送的��。在一個實施例中����,系統(tǒng)包括密鑰生成器,該密鑰生成器生成用于發(fā)布或訂閱數(shù)據(jù)的密鑰信息��。與密鑰生成器獨立地實現(xiàn)的密碼技術(shù)提供者基于由密鑰生成器所生成的密鑰信息實現(xiàn)可搜索的加密/解密算法����。另外��,與密鑰生成器和密碼技術(shù)提供者獨立地實現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者提供與由密碼技術(shù)提供者加密的數(shù)據(jù)有關(guān)的網(wǎng)絡(luò)服務(wù)��。在一個實施例中�,提供數(shù)據(jù)存儲����,其暴露可選擇性地訪問的(例如可搜索的)經(jīng)加密數(shù)據(jù),其中至少一個發(fā)布者向該數(shù)據(jù)存儲發(fā)布表示資源的數(shù)據(jù)��。在提供對濫用信任的可能性的劃分(division)的情況下����,第一獨立實體執(zhí)行密碼密鑰信息的生成。第二獨立實體進而在存儲所發(fā)布的數(shù)據(jù)之前基于由第一獨立實體生成的密碼密鑰信息來對所發(fā)布的數(shù)據(jù)進行加密����。然后,一組網(wǎng)絡(luò)或云服務(wù)針對向該網(wǎng)絡(luò)服務(wù)的請求基于由資源的發(fā)布者或所有者所賦予的后期綁定的所選特權(quán)來選擇性地訪問經(jīng)加密數(shù)據(jù)����。在其他實施例中��,數(shù)據(jù)存儲存儲可選擇性訪問的經(jīng)加密數(shù)據(jù),其中訂閱者訂閱經(jīng)加密數(shù)據(jù)的指定子集��。第一獨立實體基于與訂閱者相關(guān)聯(lián)的身份信息來生成密碼密鑰信息��,并且第二獨立實體基于由第一獨立實體生成的密鑰信息來執(zhí)行該指定子集的解密��。網(wǎng) 絡(luò)服務(wù)響應于訂閱者的請求�,并且基于由所指定子集的發(fā)布者或所有者所賦予的后期綁定的所選特權(quán)來提供對經(jīng)加密數(shù)據(jù)的選擇性訪問。
就此而言�,術(shù)語“發(fā)布者”和“訂閱者” 一般分別指發(fā)布或訂閱可信云服務(wù)的數(shù)據(jù)的任何人。然而在實際中��,根據(jù)行業(yè)���、領(lǐng)域或可信云服務(wù)生態(tài)系統(tǒng)的應用和數(shù)字托管模式�,發(fā)布者和訂閱者將擔任更具體的角色�。例如,在整個系統(tǒng)的數(shù)據(jù)的上下文中��,通常僅有一小組訂閱者將具有訪問該數(shù)據(jù)的特權(quán)��。對于以數(shù)據(jù)為上下文的示例�����,經(jīng)加密的數(shù)據(jù)存儲的審計者基于該審計者對該數(shù)據(jù)的角色而具有某些能力,以確保滿足某些要求���,諸如備份頻率�,而不對該內(nèi)容本身具有被授予的訪問權(quán)��。在一個非限制性實施例中�����,用于主存數(shù)據(jù)的方法包括通過在第一控制區(qū)域中的第一計算設(shè)備從在第二控制區(qū)域中的第二計算設(shè)備接收經(jīng)加密的數(shù)據(jù)���,該經(jīng)加密的數(shù)據(jù)是基于密碼密鑰信息根據(jù)可搜索加密算法針對該第二計算設(shè)備的定義的數(shù)據(jù)集合從對數(shù)據(jù)的加密形成的��;通過該第一計算設(shè)備接收經(jīng)加密的元數(shù)據(jù)�,該經(jīng)加密的元數(shù)據(jù)是基于該密碼密鑰信息從該數(shù)據(jù)的分析以及該分析的輸出的加密形成的����;以及從其中存儲該經(jīng)加密的數(shù)據(jù)或該經(jīng)加密的元數(shù)據(jù)的至少兩個不同的容器類型的容器自動地確定容器。接收陷門數(shù)據(jù)��,該陷門數(shù)據(jù)允許按照該陷門數(shù)據(jù)的至少一個密碼陷門的定義來允許對該經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)的可見訪問�����。 如果滿足該多個容器的預定義條件����,則存儲經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)的容器可被自動切換或改變。例如�,如果某些數(shù)據(jù)或元數(shù)據(jù)變成對顧客有高優(yōu)先級,則可將它從更慢的�����、更長期的存儲移動到具有低訪問等待時間的敏捷容器�����?�;蛘?�,可能因為其他效率原因而移動��、復制或刪除數(shù)據(jù)或元數(shù)據(jù)����,例如,基于與經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)相關(guān)聯(lián)的存儲大小、基于為經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)指定的訪問速度要求��、基于為經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)指定的恢復可靠性要求�、基于與具有對經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)的訪問權(quán)的一個或多個設(shè)備的鄰近性
坐寸ο在另一非限制性實施例中,系統(tǒng)包括至少部分由密碼技術(shù)提供者分發(fā)的密碼組件�����,該密碼組件是獨立于生成用于發(fā)布數(shù)據(jù)和元數(shù)據(jù)或訂閱數(shù)據(jù)和元數(shù)據(jù)的密鑰信息的密鑰生成器而實現(xiàn)的���,該密碼組件基于由該密鑰生成器生成的密鑰信息來可搜索地加密數(shù)據(jù)和元數(shù)據(jù)或可搜索地解密數(shù)據(jù)和元數(shù)據(jù)���。該系統(tǒng)還可包括網(wǎng)絡(luò)服務(wù)提供者,該網(wǎng)絡(luò)服務(wù)提供者是獨立于該密鑰生成器和該密碼組件而實現(xiàn)的�,該網(wǎng)絡(luò)服務(wù)提供者提供關(guān)于由該密碼組件加密的數(shù)據(jù)和元數(shù)據(jù)的網(wǎng)絡(luò)服務(wù),該網(wǎng)絡(luò)服務(wù)提供者包括數(shù)據(jù)容器管理組件����,該數(shù)據(jù)容器管理組件基于數(shù)據(jù)等待時間要求、數(shù)據(jù)可靠性要求����、距數(shù)據(jù)消耗的距離要求、或該網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)規(guī)模要求來管理由該密碼組件加密的數(shù)據(jù)或元數(shù)據(jù)被存儲在何處��。該密鑰信息可包括能力信息,該能力信息定義關(guān)于由該密碼組件加密的數(shù)據(jù)或元數(shù)據(jù)的訪問特權(quán)����。該能力信息可被后綁定以使得最新的數(shù)據(jù)訪問特權(quán)被授予給定訂閱者。在另一非限制性實施例中��,計算系統(tǒng)包括存儲可選擇性地訪問的加密數(shù)據(jù)或元數(shù)據(jù)的數(shù)據(jù)存儲�,其中發(fā)布者向該數(shù)據(jù)存儲發(fā)布標識資源的數(shù)據(jù)或元數(shù)據(jù)�;生成密碼密鑰信息的第一獨立實體;以及基于由該第一獨立實體生成的密碼密鑰信息在存儲到該數(shù)據(jù)存儲中之前加密所發(fā)布的數(shù)據(jù)或元數(shù)據(jù)的第二獨立實體�。該系統(tǒng)提供網(wǎng)絡(luò)服務(wù),該網(wǎng)絡(luò)服務(wù)基于由資源的發(fā)布者或所有者所賦予的后期綁定的所選特權(quán)來針對向該網(wǎng)絡(luò)服務(wù)的請求來允許選擇性地訪問該經(jīng)加密的數(shù)據(jù)�。就此,該系統(tǒng)對容器類型是不可知的��,并且因此該數(shù)據(jù)存儲包括不同容器類型的容器并且該數(shù)據(jù)存儲基于由該容器所表示的當前存儲資源的分析來自動分發(fā)可選擇性地訪問的經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)跨越多個容器的存儲����。在一個實施例中,該“數(shù)據(jù)”是包括XML有效載荷數(shù)據(jù)(例如�,文本串“邁克爾杰克遜(Michael Jackson)”和應用到該有效載荷的XML標簽信息(例如〈/Name〉)的XML數(shù)據(jù)??捎门c該XML數(shù)據(jù)的該可搜索加密和選擇性解密有關(guān)的附加元數(shù)據(jù)來擴充該XML標簽信息。就此��,用這種方式應用XML標簽為結(jié)構(gòu)化的XML數(shù)據(jù)創(chuàng)建“信任信封”以利用該密碼密鑰生成實體(CKG)和密碼技術(shù)提供實體(CTP)的聯(lián)合來提供各種信任保證,像是機密性���、私密性�、匿名性�、防篡改以及完整性。如同提到過的�����,本文關(guān)于XML數(shù)據(jù)或元數(shù)據(jù)的實施例中的任一個也可應用于其他格式�,諸如但不限于,JSON> S-表達式(S-Expressions)���、EDI等�,并且因此XML僅在當前描述的實施例中僅用于說明用途��。XML數(shù)據(jù)還可編碼清單信息以定位其他相關(guān)片段���,如果它是較大文檔的分散的片(dispersed silver).因為分散跨不同容器發(fā)生的方式�,即��,一個或多個中間層處理該特定容器的存儲細節(jié)�,所以實現(xiàn)是技術(shù)無關(guān)的(可以使用任何CKG/CTP)���。而且,不同于信任包裝�,實現(xiàn)還是開放式的,因為除了可搜索加密和確認或驗證之外還可應用任何數(shù)量的包裝����,并且新的包裝技術(shù)變得可適用。還可將標簽添加到預先存在的數(shù)據(jù)和元數(shù)據(jù)頂上(或通過 擴充該元數(shù)據(jù))��,所述標簽幫助調(diào)制一致性�����、軌跡等���。如果該數(shù)據(jù)/信息是XML格式的,則可將這些技術(shù)或包裝中的任何一個應用到結(jié)構(gòu)化的XML數(shù)據(jù)從而可選擇性地查詢該數(shù)據(jù)以獲得對XML片段的訪問���。目前�,XML具有標準格式���,即 < 標簽“值”〉(〈tag “value”〉)或 < 標簽“值”|XML 結(jié)尾標簽 > (〈tag “value”|XMLend-tag〉)�����。有利地�����,使用結(jié)構(gòu)化的XML文檔�,存在分層地表示該結(jié)構(gòu)的方式以便存在將指向?qū)?shù)字托管模式唯一的CKG/CTP ‘幀’的外部包裝。因此����,當存在對訪問嵌入的片段的需要或期望時,可利用具有該<CKG>和<CTP>包裝的現(xiàn)有信任或者可用新的CKG/CTP幀來建立新的信任集合��。這可通過標準公約基礎(chǔ)結(jié)構(gòu)來提供�,然而所選擇的具體模式被認為不限于本文所述的技術(shù)。就此�,無論選擇什么特定加密技術(shù)集合,本文描述的實施例均使用戶能夠搜索���、提取和解密經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)的片段����、子集或部分�����。此外,可執(zhí)行數(shù)據(jù)擁有機制(代表設(shè)備運行的可信第三方)的公開證明來驗證所訪問的特定XML片段自從被初始創(chuàng)作起未被篡改���。本質(zhì)上�,通過各種“裝飾”來提供XML片段或完整記錄(例如��,“有效載荷”)的“受信信封”��,所述裝飾允許運行全范圍信任保證的信任�,所述信任保證像是但不限于機密性、私密性�����、匿名性和完整性����。作為可作為該受信信封的一部分在XML標簽信息中表示的信息的類型的一個示例����,可為各個敏感度層次指定XML文檔的片段。例如�,可存在具有公開�、秘密和絕密段落的文檔��。具有“秘密”許可的執(zhí)行搜索和請求訪問的人將只獲得對公開和秘密段落的訪問權(quán)���。也可使用段落的分類來確定加密機制��、密鑰和訪問政策�。例如�,可實現(xiàn)不能從無線或遠程設(shè)備訪問絕密內(nèi)容的策略。類似地�,可使用這樣的分類來創(chuàng)建關(guān)于可以如何存儲數(shù)據(jù)、可以將數(shù)據(jù)存儲在何處�����、可以將數(shù)據(jù)存儲多久等的策略����。例如,可以創(chuàng)建要求必須每天一次地使用AES 256加密來將(敏感)醫(yī)學數(shù)據(jù)備份到受信數(shù)據(jù)中心中的安全服務(wù)器中的策略。在一實施例中�����,用于主存可擴展標記語言(XML)數(shù)據(jù)的方法包括第一控制區(qū)域中的第一計算設(shè)備從第二控制區(qū)域中的第二計算設(shè)備接收經(jīng)加密的XML數(shù)據(jù)����,該經(jīng)加密的XML數(shù)據(jù)包括經(jīng)加密的XML有效載荷數(shù)據(jù)和經(jīng)加密的XML標簽��。該經(jīng)加密的XML數(shù)據(jù)是從基于密碼密鑰信息根據(jù)可搜索加密算法對該第二計算設(shè)備的定義的XML數(shù)據(jù)集合的加密形成的���。對數(shù)據(jù)的請求包括基于定義訪問該經(jīng)加密的XML有效載荷數(shù)據(jù)或該經(jīng)加密的XML標簽中的至少一些的特權(quán)的該密碼密鑰信息的能力以及如所述能力所限定的那樣允許對該經(jīng)加密的XML數(shù)據(jù)的選擇性的訪問。所述能力可包括陷門數(shù)據(jù)�,所述陷門數(shù)據(jù)包括用于選擇性地訪問該經(jīng)加密的XML有效載荷數(shù)據(jù)或經(jīng)加密的XML標簽的密碼陷門。該經(jīng)加密的數(shù)據(jù)包括輔助的經(jīng)加密的元數(shù)據(jù)�,該輔助的經(jīng)加密的元數(shù)據(jù)是從對該經(jīng)加密的XML有效載荷數(shù)據(jù)或經(jīng)加密的XML標簽的分析形成的。例如����,可逐個片段地向該XML文檔的每個有效載荷元素應用公開、秘密或絕密的機密等級標記�,并且可將所述等級標記包括在該輔助的經(jīng)加密的元數(shù)據(jù)中以實現(xiàn)關(guān)于對
該XML文檔的各部分的訪問權(quán)的高度粒度化的策略。在另一個實施例中���,用于訂閱經(jīng)可搜索地加密的XML數(shù)據(jù)的方法包括從密鑰生成組件接收密碼密鑰信息,該密碼生成組件基于與該訂閱者設(shè)備相關(guān)聯(lián)的身份信息來生成該密碼密鑰信息�����;通過該訂閱者設(shè)備請求經(jīng)可搜索地加密的XML數(shù)據(jù)和相應的XML標簽數(shù)據(jù)的子集�����,包括將該密碼密鑰信息傳送到該經(jīng)可搜索地加密的XML數(shù)據(jù)和相應的標簽數(shù)據(jù)的存儲提供者;以及如由在該密碼密鑰信息中所限定的能力所允許的解密經(jīng)加密的XML數(shù)據(jù)和相應的XML標簽數(shù)據(jù)的子集��。對于該經(jīng)加密的XML數(shù)據(jù)的每個XML片段���,可解密表示該相應的經(jīng)加密的XML數(shù)據(jù)的機密等級的XML標簽數(shù)據(jù)并且可確定所述能力是否允許對具有該機密等級的數(shù)據(jù)的訪問���。這包括具有開放訪問特權(quán)的公開機密等級,或如符合策略地限定的不那么開放的秘密機密等級�。所述方法可包括確認經(jīng)加密的XML數(shù)據(jù)和相應的XML標簽數(shù)據(jù)的正確子集由符合該請求的訂閱者設(shè)備接收。確認的示例包括執(zhí)行數(shù)據(jù)擁有證明以證明該訂閱者設(shè)備提供了正確的子集���。所述方法還可包括驗證經(jīng)加密的XML數(shù)據(jù)和相應的XML標簽數(shù)據(jù)的子集的內(nèi)容在接收到所述經(jīng)加密的XML數(shù)據(jù)和相應的XML標簽數(shù)據(jù)的子集之前不被刪除或修改�����。驗證的示例包括執(zhí)行檢索能力(retrievability)證明以證明不存在對該內(nèi)容的干預�����。除了其他可任選的特征之外�,在請求訪問經(jīng)加密的XML數(shù)據(jù)或密鑰信息時可應用與訂閱者設(shè)備相關(guān)聯(lián)的匿名化憑證。在另一實施例中��,用于公布可擴展標記語言(XML)數(shù)據(jù)的方法可包括基于從分開的密鑰生成器接收的密碼密鑰信息根據(jù)可搜索加密算法加密XML數(shù)據(jù)以形成包括經(jīng)加密的XML標簽信息的經(jīng)加密的XML數(shù)據(jù)��,其中所述密鑰生成器生成所述密碼密鑰信息并將所述經(jīng)加密的XML數(shù)據(jù)傳送到網(wǎng)絡(luò)服務(wù)提供者以存儲所述經(jīng)加密的數(shù)據(jù)����,其中所述經(jīng)加密的數(shù)據(jù)是根據(jù)基于請求設(shè)備的身份信息授予所述請求設(shè)備的所選擇的特權(quán)的后期綁定來可選擇性地訪問的。所述加密可包括從在分開的控制區(qū)域中執(zhí)行的密鑰生成器接收密碼密鑰信息�����,所述密鑰生成器基于執(zhí)行所述XML數(shù)據(jù)的經(jīng)加密的發(fā)布設(shè)備的身份來生成所述密碼密鑰信息����。在另一實施例中,用于訂閱可擴展標記語言(XML)數(shù)據(jù)的方法包括響應于訂閱者設(shè)備對包括經(jīng)加密的XML標簽的經(jīng)可搜索地加密的XML數(shù)據(jù)的子集的請求�����,從密鑰生成組件接收密碼密鑰信息并且作為所述密碼密鑰信息中定義的授予所述訂閱者設(shè)備的特權(quán)的功能來解密所述經(jīng)加密的XML數(shù)據(jù)的子集�����,其中所述密鑰生成組件基于與所述訂閱者設(shè)備相關(guān)聯(lián)的身份信息來生成所述密碼密鑰信息�����。各種技術(shù)可包括通過所述訂閱者設(shè)備請求關(guān)于經(jīng)加密的XML數(shù)據(jù)的子集的數(shù)據(jù)項的接收到正確的數(shù)據(jù)項的證明����,其可包括接收向所述訂閱者設(shè)備證明所述訂閱者設(shè)備所請求的經(jīng)加密的XML數(shù)據(jù)的子集中的數(shù)據(jù)項是正確的信息。各技術(shù)可包括通過所述訂閱者設(shè)備請求在所述請求之前所述經(jīng)加密的XML數(shù)據(jù)的子集沒有被干預過的證明�����,其可包括通過所述訂閱者設(shè)備接收向所述訂閱者設(shè)備證明在所述請求之前所述經(jīng)加密的XML數(shù)據(jù)的子集沒有被干預過的信息�。在又一實施例中,一種系統(tǒng)包括存儲可選擇性地訪問的經(jīng)加密的XML有效載荷數(shù)據(jù)和與所述經(jīng)加密的XML有效載荷數(shù)據(jù)相對應的相應的經(jīng)加密的XML標簽數(shù)據(jù)的數(shù)據(jù)存 儲��,其中訂閱者請求訂閱所述經(jīng)加密的XML有效載荷數(shù)據(jù)或所述經(jīng)加密的XML標簽數(shù)據(jù)的子集��,第一獨立實體基于與所述訂閱者相關(guān)聯(lián)的身份信息生成密碼密鑰數(shù)據(jù)�����,而第二獨立實體基于由所述第一獨立實體生成的所述密碼密鑰信息來執(zhí)行所述子集的解密�。該系統(tǒng)進一步包括用于處理所述訂閱者的請求的網(wǎng)絡(luò)服務(wù),其提供對所述經(jīng)加密的XML有效載荷數(shù)據(jù)或所述經(jīng)加密的XML標簽數(shù)據(jù)的所述子集的選擇性地訪問���。該系統(tǒng)可被配置成驗證所述經(jīng)加密的XML有效載荷數(shù)據(jù)或所述經(jīng)加密的XML標簽數(shù)據(jù)的所述子集是與所述訂閱相一致的正確的子集和/或驗證所述經(jīng)加密的XML有效載荷或所述經(jīng)加密的XML標簽數(shù)據(jù)的所述子集在對所述經(jīng)加密的XML有效載荷或所述經(jīng)加密的XML標簽數(shù)據(jù)的所述子集的選擇性的訪問之前沒有未經(jīng)授權(quán)而被改變或刪除�����。在另一實施例中�,一種系統(tǒng)包括至少部分由密碼密鑰技術(shù)提供者分發(fā)的密碼組件,所述密碼組件是獨立于密鑰生成器實現(xiàn)的���,所述密鑰生成器生成用于發(fā)布XML數(shù)據(jù)或相應的標簽數(shù)據(jù)或訂閱XML數(shù)據(jù)或相應的標簽數(shù)據(jù)的密鑰信息�,所述密碼組件包括被配置成基于由所述密鑰生成器和網(wǎng)絡(luò)服務(wù)提供者生成的密鑰信息執(zhí)行可搜索加密/解密算法的處理器�,所述處理器是獨立于所述密鑰生成器和所述密碼組件實現(xiàn)的,包括被配置成實現(xiàn)關(guān)于由所述密碼組件加密的XML數(shù)據(jù)或相應的標簽數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)��。所述密鑰信息包括“后期綁定”能力信息�,借助該能力信息向XML數(shù)據(jù)或相應的標簽數(shù)據(jù)的給定訂閱者授予最新的訪問特權(quán)。下面提供這些和其他各示例性�����、非限制性性實施例和場景的進一步細節(jié)�。用于可信計算和數(shù)據(jù)服務(wù)的無容器數(shù)據(jù)如在背景技術(shù)中提到的,對在由服務(wù)組織擁有的遠程站點處的敏感企業(yè)數(shù)據(jù)的維護可能使該數(shù)據(jù)處于從隱私侵犯到數(shù)據(jù)損失的危險�����。如針對本文的各實施例所描述的�����,網(wǎng)絡(luò)或云數(shù)據(jù)服務(wù)(包括用于數(shù)據(jù)的可搜索加密技術(shù))被以如下方式提供該方式跨多個實體分發(fā)信任以避免單點數(shù)據(jù)損害���,并且將數(shù)據(jù)保護要求從可存儲���、處理、訪問或檢索該數(shù)據(jù)的容器分離�����。在一個實施例中���,密鑰生成器����、密碼技術(shù)提供者以及云服務(wù)提供者每個均作為單獨的實體被提供����,從而允許數(shù)據(jù)發(fā)布者向云服務(wù)提供者機密地(經(jīng)加密的)發(fā)布數(shù)據(jù)的可信平臺,并且允許授權(quán)訂閱者基于訂閱者能力對該經(jīng)加密的數(shù)據(jù)的選擇性的訪問�。使用可信平臺的技術(shù),將數(shù)據(jù)(以及相關(guān)聯(lián)的元數(shù)據(jù))從保存該數(shù)據(jù)的容器(例如��,文件系統(tǒng),數(shù)據(jù)庫等)分離�����,從而通過施加用所呈現(xiàn)的能力刺穿的數(shù)學復雜度保護罩來允許該數(shù)據(jù)擔當它自己的管理者����,所呈現(xiàn)的能力諸如是由如在各實施例中描述的信任平臺的密碼密鑰生成器所授予的密鑰。以保持并擴展信任而不需要特定容器來實施的方式�,促進對數(shù)據(jù)或該數(shù)據(jù)的子集的共享或訪問。被應用到該數(shù)據(jù)的數(shù)學復雜度(諸如可搜索加密技術(shù))保護該數(shù)據(jù)�����,而不考慮記錄該特定位的容器或硬件���,即�����,該數(shù)據(jù)是被無容器地或不考慮該容器地保護的��,并且因此不在損害容器安全性的基礎(chǔ)上經(jīng)受攻擊���。如果該特定的“保險箱”被破解�����,內(nèi)容仍然被保護���。圖I是用于提供如本文所述的安全的�����、私密的�、以及可選擇性訪問的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)的一個或多個實施例的總體環(huán)境的框圖。為說明性目的��,示出多個企業(yè)100���、102��,然而這些技術(shù)也適用于單個企業(yè)或許多協(xié)作企業(yè)��。在各實施例中�,使用如在下面詳細描述的聯(lián)合信任覆蓋130����,可基于FTO基礎(chǔ)結(jié)構(gòu)130共享企業(yè)100的策略110以及企業(yè)102的策略112的實施120以進行協(xié)作�。實施120還可由每個企業(yè)100��、102分開應用���。就此����,因為�,基于信任覆蓋130,策略和實施完全在企業(yè)100�����、102的領(lǐng)域內(nèi)����,所以從顧客立場來看實際數(shù)據(jù)在云140中的位置以及使用什么特定容器142變得無關(guān)緊要,除了與顧客實際關(guān)心的以下事項以外等待時間����、可靠性、服務(wù)質(zhì)量保證�、備份、檢索事件、大小保證等��。 相應地��,意識到通過信任覆蓋130使數(shù)據(jù)從保存數(shù)據(jù)的容器中釋放出來�����,在各實施例中���,數(shù)據(jù)存儲管理層150基于對存儲資源的實時可用性以及它們的特征的分析來自動地處理顧客所關(guān)心的事項����,以優(yōu)化適合顧客需要和期望的容器中的數(shù)據(jù)存儲��。存儲管理層150是虛線的��,指示它的位置也不是關(guān)鍵的��。存儲管理層150通常不具有訪問�����、查看或改變存儲在一個或多個數(shù)據(jù)存儲142中的數(shù)據(jù)的密碼特權(quán)�,然而可能期望暴露該元數(shù)據(jù)中的某些(諸如文件大小和文件類型)�,以促進對顧客將想要在未來如何使用該數(shù)據(jù)的理解��,以使得存儲管理層150可做出智能的存儲選擇��。例如���,如果給予了存儲管理層150足以理解該數(shù)據(jù)是視頻的查看,則存儲管理層150可將視頻保存在滿足流媒體的要求的媒體存儲中�����。圖2是示出大體的“作為其自己的管理者的數(shù)據(jù)”思想的框圖����。使用在用戶或企業(yè)控制下的策略和實施,數(shù)據(jù)和相應的日志被加密并且僅能用被授予用戶的具體能力來訪問�����,如在下面更詳細地描述的�。例如,通常���,不具有諸如云服務(wù)提供者的操作員工的能力的某人不能查看那��、修改�、篡改或刪除而不被檢測,因為他們沒有數(shù)據(jù)特權(quán)���。使用作為其自己的管理者的數(shù)據(jù)�����,策略由數(shù)據(jù)的所有者/發(fā)布者設(shè)置����,訪問由數(shù)據(jù)本身實施/授權(quán)(無論該數(shù)據(jù)被存儲于何處)����,從而使容器選擇多余。信任保證由該數(shù)據(jù)實施�����,但是由該所有者/發(fā)布者通過描述什么訂閱者/顧客能夠針對該數(shù)據(jù)做什么來控制���。如圖所示,在非限制性實施例中��,企業(yè)220 “擁有”其關(guān)于用戶226以及他們對使用企業(yè)220的系統(tǒng)資源的使用以及關(guān)于外部用戶230 (例如,移動工作者)的策略224和策略224的實施222��。使用作為其自己的管理者的數(shù)據(jù)���,通過將數(shù)據(jù)存儲在云中�����,可將實際的數(shù)據(jù)和/或日志與策略224和實施222分開存儲�����,然而��,云200的操作員工210不能查看�、修改���、篡改或刪除該數(shù)據(jù)和/或日志205而不被檢測�。圖3是用于提供如本文所述的安全的����、私密的、以及可選擇性訪問的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)的一個或多個實施例的總體環(huán)境的框圖�。一般而言��,示出使用聯(lián)合信任覆蓋來分發(fā)信任的非限制性示例��,計算設(shè)備300 (例如���,顧客)在第一控制區(qū)域310中,計算設(shè)備320 (例如�����,云服務(wù)提供者)在第二控制區(qū)域330中�����,計算設(shè)備360在第三控制區(qū)域390中���,在第四控制區(qū)域395中提供密碼技術(shù)提供者����,而可在第五控制區(qū)域397中提供密鑰生成器382��。計算設(shè)備300�、320���、360中的每一個可分別包括處理器P1�����、P2�、P3并分別包括存儲Ml、M2���、M3�����。就此����,如根據(jù)各非限制性實施例所描述的�����,提供用于允許云中的經(jīng)加密的數(shù)據(jù)340的技術(shù)����,以使得可基于訪問特權(quán)從該云選擇性地檢索項目450或項目中的部分。就此�����,可提供一組分析服務(wù)370作為待存儲的經(jīng)加密的數(shù)據(jù)345、347頂部上的層���,該層基于來自設(shè)備300的本地數(shù)據(jù)集合305自動地確定在哪里最優(yōu)地存儲被保存在云中的經(jīng)加密的數(shù)據(jù)340和經(jīng)加密的數(shù)據(jù)342�。就此��,服務(wù)370確保當基于CTP 380/CKG 382聯(lián)合信任覆蓋通過計算設(shè)備300檢索該數(shù)據(jù)時���,所檢索的數(shù)據(jù)352或所檢索的數(shù)據(jù)350是從給定請求的最優(yōu)容器中檢索的�,或者如果是次優(yōu)的話��,則啟動交換所述容器���。例如�,如果來自計算設(shè)備360的當前容器正為顧客的需要操作地不好��,或者如果顧客的需要改變���,則分析存儲服務(wù)370可將該數(shù)據(jù)實時地移動或復制到另一存儲容器并無縫地將服務(wù)切換到更適當?shù)娜萜?,例如��,以滿足服務(wù)質(zhì)量要求���。圖4是用于管理容器的過程的流程圖����,其中如本文所述數(shù)據(jù)充當它自己的管理者�。在400,通過第一控制區(qū)域中的第一計算設(shè)備從第二控制區(qū)域中的第二計算設(shè)備接收經(jīng)加密的數(shù)據(jù)���。該經(jīng)加密的數(shù)據(jù)是基于密碼密鑰信息根據(jù)可搜索加密算法從對第二計算設(shè)備的定義的數(shù)據(jù)集合的數(shù)據(jù)加密形成的��。在410��,還接收經(jīng)加密的元數(shù)據(jù)��,該經(jīng)加密的元數(shù)據(jù)是基于該密碼密鑰信息從該數(shù)據(jù)的分析和該分析的經(jīng)加密的輸出形成的���。在420,確定哪個(哪些)容器要存儲經(jīng)加密的數(shù)據(jù)或經(jīng)加密的元數(shù)據(jù)中的至少一些��。在430�����,如果滿足了預定義的條件,則可以自動地改變其中存儲該經(jīng)加密的數(shù)據(jù)的容器���。圖5是示出充當它自己的管理者的數(shù)據(jù)的一個或多個方面的另一個框圖���。就此,為了安全���,容器是冗余的��,訪問由密碼包裝實施���,而策略由該所有者/發(fā)布者設(shè)置并由該密碼包裝保證。如下面在各實施例中描述的��,取決于該慶幸的具體安全性需要��,該包裝可包括各種密碼技術(shù)���。例如�����,如圖所示��,策略在企業(yè)級被設(shè)置�,然后用戶尋求對數(shù)據(jù)的訪問權(quán),該數(shù)據(jù)是由密碼訪問控制包裝的�����,該密碼訪問控制允許或拒絕輸入����。取決于在企業(yè)設(shè)置的策略���,諸如企業(yè)審計者���、安全員工、操作員工等其他用戶可以或可以不具有訪問由該包裝定義的特權(quán)�����。如在圖5的示例中所示�����,企業(yè)520具有能夠經(jīng)受企業(yè)訪問策略530的企業(yè)員工522,而這些企業(yè)員工522中的一些可設(shè)置企業(yè)訪問策略530����。企業(yè)訪問策略530可影響能夠如何訪問、操縱����、檢索、搜索等存儲在云容器500的數(shù)據(jù)容器510中的數(shù)據(jù)512��。相應地�����,當數(shù)據(jù)512的用戶508嘗試訪問這種數(shù)據(jù)512時���,由企業(yè)訪問策略530指導但又與企業(yè)訪問策略530分開的各密碼訪問控制514保護數(shù)據(jù)512免受用戶508的不當訪問�。數(shù)據(jù)容器510的密碼訪問控制514可反映不同的企業(yè)訪問策略530以應用于不同的訪問實體或人物����,諸如由安全員工504或云操作員工506執(zhí)行的企業(yè)審計502,以確??梢娦韵抻趹斣试S訪問的那些人。數(shù)據(jù)容器510可位于任何地方�,并為了安全可使其冗余,并且由密碼訪問控制514實施訪問。就此�����,企業(yè)訪問策略530可由企業(yè)所有者設(shè)置并由如由密碼訪問控制514實現(xiàn)的密碼包裝保證�����。圖6是示出充當它自己的管理者的數(shù)據(jù)的另一個框圖����,其示出了數(shù)據(jù)能夠超越傳統(tǒng)容器安全模型����。就此,如本文所承認的�����,數(shù)據(jù)不僅可以位于任何地方����,而且可以對給定情 形最優(yōu)的方式將數(shù)據(jù)拼接或劃分為跨越多個容器。放置可優(yōu)化����、訪問��、復原等�����,并且存儲管理層可處理一致性�����、版本化�����、垃圾收集等���。
如在圖6中所示,企業(yè)620定義其適用于企業(yè)員工622的企業(yè)訪問策略630�����,而數(shù)據(jù)612被遠程存儲并由適用于希望訪問數(shù)據(jù)612的用戶610的密碼訪問控制614保護��。該系統(tǒng)和用戶610對存儲數(shù)據(jù)612的容器是否被存儲在云600中����、在企業(yè)602處的某處�、或經(jīng)由覆蓋網(wǎng)絡(luò)604存儲或其組合不可知�,而數(shù)據(jù)可跨越容器。圖7示出存儲管理層�,該存儲管理層執(zhí)行諸如來自不同類型的多個數(shù)據(jù)容器的數(shù)據(jù)的自動粉碎、高速緩存���、復制����、重構(gòu)等功能�?���?苫诖_定明確策略和訪問模式的準則來執(zhí)行這些過程。如圖所示����,從用戶的立場看,包括數(shù)據(jù)702和密碼訪問控制704的數(shù)據(jù)容器700被存儲在用于存儲所有數(shù)據(jù)的抽象存儲層710處���,然而在現(xiàn)實中�����,如受密碼訪問控制704保護的數(shù)據(jù)702可跨云數(shù)據(jù)服務(wù)720����、文件系統(tǒng)722、企業(yè)數(shù)據(jù)庫724�、覆蓋網(wǎng)絡(luò)726等中的任一個或多個而被基于標準粉碎、高速緩存�、復制和重構(gòu),所述準則可包括策略和訪問模式���。圖8更一般地示出使數(shù)據(jù)能夠充當其自己的管理者的安全性�、私密性��、可靠性等的樞軸點是安全覆蓋網(wǎng)絡(luò)����,該安全覆蓋網(wǎng)絡(luò)向數(shù)據(jù)增加密碼訪問包裝,無論跨各數(shù)據(jù)容器將該數(shù)據(jù)存儲在何處�����。具體而言�����,覆蓋網(wǎng)絡(luò)810可以是中間存儲介質(zhì),用于進一步將如由密碼訪問控制804保護的數(shù)據(jù)802的容器800存儲在云數(shù)據(jù)服務(wù)820�、文件系統(tǒng)822或企業(yè)數(shù)據(jù)庫824中的任一個或多個中。因此在其最終目的方面���,存儲可以是分層的��。圖9是示出傳統(tǒng)應用及其對世界(例如���,數(shù)據(jù)庫文件)的基于容器的視圖不需要改變的框圖。反而����,為了在聯(lián)合信任覆蓋存儲場景中使用,可提供適配器��,該適配器基于與能夠用和傳統(tǒng)容器需要來執(zhí)行密碼協(xié)商����、密碼變換和高速緩存��、版本化�、租賃等���。更具體而言,傳統(tǒng)應用900可按照一直以來的方式與云數(shù)據(jù)服務(wù)910����、文件系統(tǒng)912和企業(yè)數(shù)據(jù)庫914進行交互,然而���,此時抽象存儲層920仍然能夠在幕后使無容器數(shù)據(jù)發(fā)生���。抽象存儲層920可暴露適配器,所述適配器基于應用和傳統(tǒng)容器特征實現(xiàn)密碼協(xié)商����、密碼變換、以及高速緩存�、版本化、租賃等����,然后引導容器化的數(shù)據(jù)940成為無容器數(shù)據(jù),例如經(jīng)由如結(jié)合圖8描述的安全覆蓋網(wǎng)絡(luò)930���。圖10是可與傳統(tǒng)應用以及FTO知曉應用結(jié)合使用的樣本架構(gòu)模型�����。就此���,啟用FTO的應用1005可直接插入FTO 1000中并且有利地利用數(shù)據(jù)的安全和私密的存儲����、處理等����。對于SDS知曉應用1015,可提供層1010��,該層1010添加數(shù)據(jù)的密碼粉碎和散布����。對于一致性知曉應用1025,可使用現(xiàn)有的����、未修改的覆蓋網(wǎng)絡(luò)并將其橋接到如由層1020所示的系統(tǒng)�����。例如,可經(jīng)由層1020將Live Mesh��、Fabric/CAS橋接到DaaS和XStore�。最后,如結(jié)合圖9描述的��,可提供適配器1030�����,所述適配器1030基于傳統(tǒng)應用1040和傳統(tǒng)容器1035特征執(zhí)行密碼協(xié)商�����、密碼變換和高速緩存��、版本化�、租賃等。這些層和應用可共同利用基于聯(lián)合信任覆蓋的云存儲所提供的益處�。圖11是示出密碼包裝或信封在數(shù)據(jù)和/或描述該數(shù)據(jù)或該數(shù)據(jù)的特征的元數(shù)據(jù)上的一般使用的框圖。作為示例�,可按照可在數(shù)學上選擇性地訪問的方式共同地或獨立地加密記錄1102 (例如,數(shù)據(jù)有效載荷)和相關(guān)聯(lián)的元數(shù)據(jù)和/或標簽1100以產(chǎn)生經(jīng)加密的元數(shù)據(jù)和標簽1110和經(jīng)加密的記錄1112���。使用這樣的經(jīng)加密的數(shù)據(jù)/元數(shù)據(jù)�����,可基于數(shù)學上可選擇性地訪問性來執(zhí)行各種操作1120���,例如����,數(shù)據(jù)或元數(shù)據(jù)的搜索�、對數(shù)據(jù)或元數(shù)據(jù)的邏輯運算、查詢�����、備份操作�����、數(shù)據(jù)的審計等��。除了加密元數(shù)據(jù)1100和記錄1102之外����,還可將可任選的附加數(shù)據(jù)作為任何期望目標1114的函數(shù)添加到加密封裝�����,或可將可任選的附加標簽1106作為加密過程的一部分添加到內(nèi)容,例如����,允許或禁止對例如某類用戶的訪問的公開或秘密標簽。使用這種附加數(shù)據(jù)1114或標簽1116����,可執(zhí)行附加操作1130,諸如完整性
檢查���、篡改檢查���、可用性檢查等。圖12是示出有效載荷1202和標簽1200的特定示例�,有效載荷1202和標簽1200被加密以形成經(jīng)加密的標簽1210和經(jīng)加密的數(shù)據(jù)1212以用于操作1220。此外����,如所提到的,可用數(shù)據(jù)1214擴充該數(shù)據(jù)并且可用標簽1216擴充該標簽�����,所述數(shù)據(jù)1214和標簽1216可促進一組附加操作1230。在圖12的示例上構(gòu)造的圖13是示出周圍聯(lián)合信任覆蓋的示例����。就此,可基于經(jīng)受對穩(wěn)健性的公開檢查的開放方法實現(xiàn)沒有后門的CTP 1300�。基于CTP1300���,可產(chǎn)生CKG1350以處理對用于執(zhí)行操作1330 (例如����,搜索��、邏輯運算或查詢���、備份�、審計��、篡改檢查�����、完整性檢查、可用性檢查等)的功能(例如���,密鑰1340)的請求�����。因此,云數(shù)據(jù)服務(wù)提供者1320提供服務(wù)���,例如��,經(jīng)加密的元數(shù)據(jù)1310和經(jīng)加密的數(shù)據(jù)1312的存儲��。在一個可任選的實施例中����,該云按照對數(shù)據(jù)或訪問模式無知(blind)的方式主存該數(shù)據(jù)�����。
圖14是示出其中使用信任覆蓋將記錄以及索引加密并上傳到云的實施例的框圖��。就此�����,可搜索地加密所述記錄和索引以使所述索引可作為對相關(guān)聯(lián)的數(shù)據(jù)的第一可見層而被選擇性地訪問。然后���,基于對所述索引的搜索�,可標識匹配一個或多個給定索引的各個內(nèi)容或記錄�����,然后該用戶能夠或不能基于特權(quán)來訪問該匹配內(nèi)容和記錄����,從而充當對數(shù)據(jù)的第二保護層——第一是針對搜索或其他操作而對索引的訪問,而第二是對數(shù)據(jù)的訪問����。就此,可對該數(shù)據(jù)和相關(guān)聯(lián)的元數(shù)據(jù)的不同部分應用任何數(shù)量的分層式密碼包裝��。如圖所示�����,顧客1400可具有各個記錄1402�����,在1430可從記錄1402生成經(jīng)加密的索引1404。在1440將記錄1402和經(jīng)加密的索引1404上傳到云1410并作為記錄1412和經(jīng)加密的索引1414存儲在云1410中��。為了檢索記錄1412���,例如����,基于經(jīng)加密的索引1414����,在1450�,顧客1400從云1410接收用至少一個簽名1422簽名的記錄1420,并且在1460可檢查所述至少一個簽名1422���。圖15示出客戶端能夠如何利用聯(lián)合信任覆蓋架構(gòu)來生成并上傳經(jīng)加密的索引到經(jīng)加密的數(shù)據(jù)上以獲得更豐富的云存儲體驗���。該聯(lián)合信任覆蓋架構(gòu)涉及將權(quán)力分開以生成可信密碼生態(tài)系統(tǒng),并且在下面更詳細地進行了描述�。FTO 1585是一個生態(tài)系統(tǒng),該生態(tài)系統(tǒng)通過將關(guān)于云或其他存儲中的無容器數(shù)據(jù)進行的數(shù)學變換的片段分開而使顧客1575受益�����,并且如本文別處所述,該生態(tài)系統(tǒng)包括云數(shù)據(jù)服務(wù)(⑶S) 1580����、密碼技術(shù)提供者(CTP) 1570和密鑰生成中心1590。作為示例�,顧客1575可具有文檔1500,各種關(guān)鍵詞1510與文檔1500相關(guān)聯(lián)�����。從CKG 1590檢索用于加密的公開參數(shù)1565��,而從CTP1570檢索用于執(zhí)行數(shù)學變換的技術(shù)�����。為了執(zhí)行上傳���,文檔1500被加密(1520)并上傳(1630)到云中的經(jīng)加密的文檔存儲1550中��。將用于所述上傳的位置1535和密鑰1525連同關(guān)鍵詞1510輸入以生成與文檔1500的經(jīng)加密的上傳相關(guān)聯(lián)的經(jīng)加密的索引1540���,并在1545將在1540生成的經(jīng)加密的索引上傳到經(jīng)加密的索引存儲1555�����。在圖15示出了經(jīng)加密的索引數(shù)據(jù)的上傳之處����,圖16示出了解密索引以搜索特定內(nèi)容�,該搜索是基于該聯(lián)合信任覆蓋所提供的能力而被授權(quán)的,并且然后使用對搜索結(jié)果的可見性���,該用戶可被授予解密與該搜索有關(guān)的實際文檔的能力或特權(quán)�。就此��,可通過該FTO基于策略和實施來獨立地控制對該索引的訪問和對文檔的訪問�。如所提到的�����,F(xiàn)TO 1685是一個生態(tài)系統(tǒng)�����,該生態(tài)系統(tǒng)通過將關(guān)于云或其他存儲中的無容器數(shù)據(jù)進行的數(shù)學變換的片段分開而使顧客1675受益�,并且如本文別處所述�����,該生態(tài)系統(tǒng)包括云數(shù)據(jù)服務(wù)(⑶S) 1680���、密碼技術(shù)提供者(CTP) 1670和密鑰生成中心1690。在本示例中�����,顧客1675形成查詢1600�����,并隨后在1605從CKG 1690獲取陷門1610�,該陷門與查詢1600 —起被呈現(xiàn)給該云。在該云中���,在1620���,基于從CTP 1670檢索的技術(shù)1615搜索經(jīng)加密的索引存儲1625中的經(jīng)加密的索引。隨后結(jié)果1635被仍舊加密地返回并在1640被解密�,從該結(jié)果提取位置1642和密鑰1644。這向該系統(tǒng)給出了在1645從經(jīng)加密的文檔存儲1630檢索經(jīng)加密的文檔1650的信息,在可1655基于密鑰1640將其解密以返回一個或多個文檔1660�,例如,來自圖15的文檔1500����。圖17-18是示出該系統(tǒng)的一些附加非限制性信任保證的框圖。就此����,可以使用證明用戶所接收的是正確的的任何算法作為附加層來在數(shù)學上向該用戶證明該云沒有在提供混亂。例如�,一種技術(shù)被稱為數(shù)據(jù)擁有技術(shù)(PDP),其中關(guān)于經(jīng)加密的數(shù)據(jù)應用標簽�����,其 可與確認數(shù)據(jù)的正確性結(jié)合使用��??蓱?并加密)類似信息以證明當數(shù)據(jù)被存儲在云中時該數(shù)據(jù)沒有被不適當?shù)馗幕騽h除�����。使用密碼技術(shù)�����,這種證明通常采用密碼挑戰(zhàn)和響應的形式。在圖17中�,PDP標簽和經(jīng)加密的記錄、索引�����、元數(shù)據(jù)等一起被在云中編碼并加密�,而在圖18中,基于與該FTO的該數(shù)據(jù)的完整性保持不變的密碼咨詢來執(zhí)行驗證操作�����。參考圖17�,如同所提到的,F(xiàn)TO 1785是一個生態(tài)系統(tǒng)����,該生態(tài)系統(tǒng)通過將關(guān)于云或其他存儲中的無容器數(shù)據(jù)進行的數(shù)學變換的片段分開而使顧客1775受益,并且如本文別處所述�����,該生態(tài)系統(tǒng)包括云數(shù)據(jù)服務(wù)(⑶S) 1780���、密碼技術(shù)提供者(CTP) 1770和密鑰生成中心1790�。在本示例中,發(fā)布者1700通過在1720基于從CKG 1790檢索的秘密1730和從CTP 1770檢索的技術(shù)1740編碼記錄和索引來加密該記錄和索引1710���?�?蓪⒓用芑蚓幋a的記錄和索引1750存儲在該云中�����?�?蓪?shù)據(jù)擁有證明(PDP)標簽1760與在1720處的編碼結(jié)合使用����,數(shù)據(jù)擁有證明(PDP)標簽1760稍后幫助確保數(shù)據(jù)當被存儲在云中時該數(shù)據(jù)的某些方面���,如本文別處更詳細地描述的�。如同所提到的�����,在圖18中�,基于與該FTO的該數(shù)據(jù)的完整性保持不變的密碼咨詢來執(zhí)行驗證操作。就此�����,F(xiàn)TO 1885是一個生態(tài)系統(tǒng)�,該生態(tài)系統(tǒng)通過將關(guān)于云或其他存儲中的無容器數(shù)據(jù)進行的數(shù)學變換的片段分開而使顧客1875受益,并且如本文別處所述����,該生態(tài)系統(tǒng)包括云數(shù)據(jù)服務(wù)(⑶S) 1880、密碼技術(shù)提供者(CTP) 1870和密鑰生成中心1890�。PDP標簽1840可對系統(tǒng)的審計者1800有用以檢查存儲在云中的數(shù)據(jù)的完整性?����;陔S機數(shù)1805����,并且基于從CKG 1890檢索的秘密1825和從CTP 1870檢索的技術(shù),審計者1800向云中的證明者1820發(fā)出挑戰(zhàn)1810�。證明者1820也結(jié)合實現(xiàn)該證明算法使用技術(shù)1845。就此�,證明者1820接收經(jīng)加密的記錄和索引1830和PDP標簽作為輸入并向?qū)徲嬚?800返回信息,該信息在1850被驗證�����。基于在1860該驗證操作是成功還是失敗,通知審計者1800是否維持了經(jīng)加密的記錄和索引1830的完整性���。如下面更詳細地描述的���,可將能夠為服務(wù)用戶提供對隱私和不可復制性的強保證的各種密碼技術(shù)結(jié)合到服務(wù)的提供中。通過將這些密碼技術(shù)與數(shù)據(jù)保護技術(shù)相集成�,可按照使該數(shù)據(jù)的所有者和企業(yè)顧客(該“顧客”)對主存該數(shù)據(jù)的實體或云服務(wù)提供者或操作者(該“CSP”)能夠執(zhí)行的操作的類型有精確的控制的方式在該數(shù)據(jù)的頂部上實現(xiàn)遠程服務(wù)和分層式的應用。此外�����,這些操作中的許多可由該CSP代替顧客執(zhí)行��,而不學習或以其他方式查看對其執(zhí)行操作的數(shù)據(jù)的實際內(nèi)容�����。此外�����,顧客能夠檢測CSP是否正在不當?shù)貏h除或修改數(shù)據(jù)�,或?qū)?shù)據(jù)移動到低性能的二級或三級存儲����。就此����,可將各種密碼技術(shù)與數(shù)據(jù)服務(wù)集成以向顧客提供放棄對數(shù)據(jù)的控制的信任度�,例如,以增加安全性和私密性�����。例如��,可搜索的加密是一種其中在加密數(shù)據(jù)之前將必要數(shù)據(jù)復制出該數(shù)據(jù)的加密方法�����。對于非限制性示例��,在Exchange電子郵件的情況下���,該數(shù)據(jù)是一條消息��,其附件和必要的元數(shù)據(jù)可能包括所選擇的消息收發(fā)應用編程接口(MAPI)屬性和全文索引���。例如���,使用例如先進加密標準(AES)來加密該數(shù)據(jù),而按照生成經(jīng)加密的索引的方式加密該元數(shù)據(jù)����。結(jié)果是,經(jīng)加密的數(shù)據(jù)和索引現(xiàn)在能被移交給不被完全信任的另一實體��,諸如CSP��。對聚集的經(jīng)加密的數(shù)據(jù)和索引的后續(xù)選擇性訪問可由該數(shù)據(jù)的所有者�����,該顧客���,實現(xiàn)���,從而將經(jīng)加密的查詢發(fā)送到CSP (或其他授權(quán)的訂閱者)。從而�,該CSP能夠在經(jīng)加密的索引上應用經(jīng)加密的查詢并返回匹配的經(jīng)加密的數(shù)據(jù),然而,該CSP不了解關(guān)于該數(shù)據(jù)���、該元數(shù)據(jù)�、該查詢或該結(jié)果(除非被該顧客授權(quán))的內(nèi)容的任何事項�����。擁有證明和檢索能力證明是一種其中“證明者”(在此情況下是提供存儲的CSP)和“驗證者”(顧客)能夠按照其中該驗證者能夠高效地確定它們所擁有的數(shù)據(jù)是否保持不變并且可用于容易地從該數(shù)據(jù)的所有者(該CSP)檢索的協(xié)議相接合的密碼技術(shù)��。這些技術(shù)在 網(wǎng)絡(luò)帶寬上以及在該CSP執(zhí)行的操作上是高效的�����,因此該CSP所出售的貨物的成本(COGS)保持相對不變且完成該協(xié)議的時間合理地短����?�?杉傻綌?shù)據(jù)服務(wù)的提供中的另一種密碼技術(shù)是應用證明�。與擁有證明類似,應用證明使驗證者能夠確定該數(shù)據(jù)正由該證明者(該CSP)正確地維護�。盲指紋表示擴展網(wǎng)絡(luò)去重復技術(shù)(諸如Rabin指紋)的另一類密碼技術(shù),網(wǎng)絡(luò)去重復技術(shù)通常用于最小化網(wǎng)絡(luò)上的冗余數(shù)據(jù)交換�。在本文的各實施例中,應用指紋化(fingerprinting)以使得該協(xié)議中的參與者(例如,在數(shù)據(jù)存儲的情況下是該CSP)不知曉它們正在主存的數(shù)據(jù)的實際內(nèi)容?����;谏鲜隹蚣芎拖鄳拿艽a技術(shù)(范圍從存儲和計算服務(wù)到通信和協(xié)作服務(wù))��,基于CSP的服務(wù)提供的各種場景從而出現(xiàn)�。更大的企業(yè)顧客在其當前的企業(yè)數(shù)據(jù)中心中具有很多的計算和存儲資產(chǎn),而采用云服務(wù)的慣性可能很高�。此外,顧客對數(shù)據(jù)中心操作有經(jīng)驗并且熟悉�����,想要利用操作花費(OPEX)和資本花費(CAPEX)優(yōu)勢����,并且從而對將他們的敏感商業(yè)數(shù)據(jù)從內(nèi)部移動到云有顧慮。對于這類顧客���,在各實施例中���,提供一組應用,該組應用涉及擁有并操作他們的現(xiàn)有服務(wù)器(諸如Exchange服務(wù)器)的顧客�。此時會出于數(shù)據(jù)保護、歸檔、順應���、管控�、法律的原因或其他原因而將該數(shù)據(jù)的第二副本委托給云服務(wù)提供者�����。從而該CSP具有保護此數(shù)據(jù)免于數(shù)據(jù)損失或泄露的技巧���、技術(shù)和規(guī)模經(jīng)濟�,并且能夠促進在此第二副本頂部上運行應用�??苫诰S護數(shù)據(jù)而提供給顧客的示例產(chǎn)品和服務(wù)的小的采樣包括訴訟支持、監(jiān)視和監(jiān)督���、服務(wù)撥號音��、數(shù)據(jù)導航等�。關(guān)于訴訟支持�����,當公司被起訴時,存在訴訟過程所需的各種實體以執(zhí)行對歷史電子郵件記錄的搜索��。這些實體包括內(nèi)部法律員工���、HR���、管理員、外部法律顧問��、他們的外部訴訟支持合作方以及對方法律顧問��。存在關(guān)于誰能執(zhí)行什么搜索的具體范圍規(guī)則�����。在當前訴訟支持場景中����,難以界定邊界。因此��,參與訴訟支持的任何個人可能看到在范圍之外的電子郵件��。在電子郵件的情況下����,搜索的結(jié)果通常以個人存儲表(PTS)文件的形式被交換�,個人存儲表文件構(gòu)成了附加的危險�,因為這些文件可能被無意或惡意地移交給非授權(quán)的個人。
相反��,當遠程主存第二副本�����,例如���,通過CSP在云中�,并且通過數(shù)據(jù)維護該第二副本時����,企業(yè)中的單一受信實體(例如����,首席法務(wù)官)向該操作中的每個人提供將他們的查詢能力限制到他們的需要的具體陷門是可能的。被主存在云中并通過可搜索加密和防篡改審計日志保護的數(shù)據(jù)提供了更高的保護等級�,從而防止了不適當?shù)碾娮余]件訪問。消除了交換PTS文件的需要�,因為操作中的所有個人都直接訪問該云以進行查詢����,而訴訟支持合作方是輸出針對性內(nèi)容以轉(zhuǎn)換為標記圖像文件格式(TIFF)以進行案件管理的唯一實體���。在監(jiān)視和監(jiān)督遠程數(shù)據(jù)副本方面���,任何大小合理的組織均應當出于各種原因而主動地監(jiān)視他們組織的電子郵件。這些原因的范圍可能從法律/順應到諸如監(jiān)視IP泄漏��、剽竊�、不當語言等管控原因。通常���,監(jiān)視和監(jiān)督軟件監(jiān)視主服務(wù)器或被備份或歸檔的第二副本��。監(jiān)視主服務(wù)器的問題在于這可能對繁忙的生產(chǎn)服務(wù)器帶來過多的負擔���。此外,因為管理員可能無意或惡意地修改或刪除主服務(wù)器上的數(shù)據(jù)��,一種解決方案是按照兼容的方式捕捉數(shù)據(jù)并將其傳輸?shù)降诙北?�,其中監(jiān)視和監(jiān)督軟件持續(xù)掃描進來的電子郵件��,以查找或搜索模式。然而��,在許多企業(yè)設(shè)置中��,存在對這些第二副本的本地管理性訪問�����,并且其結(jié)果是��,盡管有篡改檢測和預防機制��,資源豐富的管理員仍能修改或刪除信息�����。
相反�����,通過該CSP來維護數(shù)據(jù)有利地將第二副本放在不同的控制區(qū)域中����。適當?shù)拿艽a技術(shù)(諸如可搜索公鑰加密(PEKS)和擁有證明(POP))可確保即便企業(yè)管理員和CSP的員工之間的勾結(jié)仍防止他們積極地精確標識他們想要修改的項目����。該監(jiān)視和監(jiān)督軟件在該遠程站點處或在云中運行并且通過先前提供的陷門來查找具有具體的預先確定的關(guān)鍵詞的項目����。如本文根據(jù)各實施例所述��,按照提升并修改每一個以互相支持的方式將獨立的數(shù)據(jù)保護和密碼技術(shù)組合起來����,以提供當前對消費者、企業(yè)����、生態(tài)系統(tǒng)和社交網(wǎng)絡(luò)不可用的解決方案,并且允許在云環(huán)境中的無容器的�����、安全的�����、私密的并且可選擇性地訪問的數(shù)據(jù)�����。受信XML出于各種原因,XML已經(jīng)演進為一種普遍的網(wǎng)絡(luò)交換格式����,這些原因包括但不限于由標簽和其分層布置所帶來的其高效的描述性能力。就此��,可根據(jù)上面的允許向XML文檔(包括有效載荷和標簽�,以及在現(xiàn)有標簽或元數(shù)據(jù)頂上添加的任何元數(shù)據(jù))的不同部分應用不同許可的FTO基礎(chǔ)結(jié)構(gòu)來保護XML數(shù)據(jù)。也如同上面所述���,從而能夠按照無容器的方式存儲受信XML�����。如圖19中所示��,可加密XML有效載荷1902及其標簽1900以形成經(jīng)加密的標簽1910和有效載荷1912����。就此�����,通過將XML文檔分為具有可能不同的保護等級的XML片段����,允許一種具有遠為更粒度化的許可系統(tǒng),該系統(tǒng)不依賴于作為發(fā)布者側(cè)的文檔的初始組織�����。此外��,可基于任何函數(shù)1914向有效載荷數(shù)據(jù)添加附加數(shù)據(jù)��,并且可應用附加XML標簽來幫助要對受信XML片段應用的附加功能����。對有效載荷1912/標簽1910的操作包括操作1920,諸如搜索�、查詢、備份�、審計等?;跀?shù)據(jù)1914或標簽1916的可任選的添加,可對該數(shù)據(jù)實現(xiàn)其他操作1930����。例如,在數(shù)據(jù)符合社會保險號的模式的任何時間,可自動添加將該XML片段標記為私有的標簽1916以保持這樣的信息不被侵犯���。就此�,如果該數(shù)據(jù)/信息是XML格式的�����,則可向結(jié)構(gòu)化的XML數(shù)據(jù)應用上述關(guān)于數(shù)據(jù)/元數(shù)據(jù)技術(shù)中的任何一個以選擇性地查詢并獲得對XML片段的訪問權(quán)��。XML具有標準格式��,即〈標簽“值”〉(〈tag “value”〉)或〈標簽“值” |XML 結(jié)尾標簽 > (〈tag “value” |XMLend-tag〉)���。就此�����,使用結(jié)構(gòu)XML����,存在分層地表示該結(jié)構(gòu)的方式以便存在將指向?qū)?shù)字托管模式唯一的CKG/CTP ‘幀’的外部包裝�。因此,當存在訪問嵌入的片段的需要時�,用<CKG>和<CTP>包裝來利用現(xiàn)有的(或物化��,新的)信任�。這允許用戶在被準許時搜索����、提取和解密這些片段��。此外����,可使用PDP來驗證所請求的具體XML片段自從被初始創(chuàng)作起不被篡改。相應地�����,在各實施例中�����,通過各種“裝飾”來創(chuàng)建XML片段或完整記錄(“有效載荷”)的“受信信封”����,所述裝飾允許運行全范圍信任保證的信任,所述信任保證像是機密性���、私密性���、匿名性和完整性��。
這與上述無容器數(shù)據(jù)實施例相一致�����。將數(shù)據(jù)從其容器(例如�,文件系統(tǒng)�、數(shù)據(jù)庫)分離的機會促進了按照保持并擴展原來的保證而不需要容器來實施的方式的共享?���;谏虡I(yè)需要,并隨著不同技術(shù)的出現(xiàn)�����,還可在密碼搜索��、基于密碼的篡改檢測等之外添加任何其他包裝����。使用XML數(shù)據(jù)���,可將標簽添加到該數(shù)據(jù)以幫助調(diào)制該數(shù)據(jù)的一致性,這可取決于域和應用�����。有利地��,XML可包括對認證��、授權(quán)����、模式�����、歷史�����、蹤跡�����、一致性等進行編碼的可搜索元數(shù)據(jù)。它還可編碼清單信息以定位其他相關(guān)片段���,如果它是較大文檔的分散的片(dispersed silver)��。獨立于能夠使用任何所協(xié)定的CKG/CTP與能夠在新技術(shù)變得可適用時除了可搜索加密和PDP之外添加其他包裝的技術(shù)使靈活的架構(gòu)能夠處理任何類型的云場景�����。還可擴充或添加XML標簽來調(diào)制一致性����、軌跡等�。當將其與數(shù)據(jù)散布技術(shù)組合時,實現(xiàn)了關(guān)于機密性�、私密性、匿名性和完整性的強保證��?��?墒褂么恕笆苄判欧狻眮硌b飾具有附加元數(shù)據(jù)的任何有效載荷����,所述附加元數(shù)據(jù)可包括模式信息�、一致性提示�����、版本和軌跡����、機密等級(例如���,在使用“群計算(ClX)Wdcomputing)”時)�����、用于從片的其他對等體重構(gòu)此有效載荷的定位符等。在一個非限制性應用中����,受信XML提供“松格式綁定”來生長該生態(tài)系統(tǒng)以催化網(wǎng)絡(luò)效應。FTO (將這些技術(shù)和密鑰管理器參數(shù)化)和XML的通用交換格式的組合促進了在適應散布技術(shù)�、應用、域���、場所�、統(tǒng)治��、格式和其他要求時的更大的靈活性。在另一應用中��,用于聚合的當前結(jié)算和協(xié)調(diào)涉及易于出錯�、省略和欺詐的點到點交換。插入安全和私有數(shù)據(jù)服務(wù)將因此直接使會計���、審計等以促進選擇性公開以使得可信實體保持可靠的方式受益���,并且可允許適當?shù)恼{(diào)節(jié)者(順應、法律)或居間者(沖突解決等)選擇性地窺視XML標簽以在交易中構(gòu)造信任的�����。受信XML的優(yōu)點在于有效載荷能夠在參與者之間編碼專有格式���,其中存儲方不需要知曉或者甚至試圖理解該專有格式����。受信包裝的各層因此增加了大量的技術(shù)和商業(yè)價值以及法律和順應價值和統(tǒng)治實體價值��。在另一應用中����,由于(a)不同的不兼容的傳統(tǒng)系統(tǒng)和(b)更重要的-病人對現(xiàn)有解決方案提供者的粘性的喪失�,健康護理系統(tǒng)集成是繁重的�����。通過引入云數(shù)據(jù)服務(wù)作為交換所(Cleaning House),并引入受信XML作為交換格式���,這些現(xiàn)有解決方案提供者能夠?qū)⒋水斪骶S持該粘性的途徑��,同時還利用由XML促進的通用格式�����。我們描述了我們的使用啟用FTO的“路由器”(“網(wǎng)關(guān)/監(jiān)護者”)和利用受信XML的方法如何是(a)路由器可以做其事情而不需要了解路由所需的更多知識�����,(b)路由器具有對錯誤和不良行為的更少的自由度,(C)由于后期綁定�����,消除了復雜的密鑰管理�����。此外,可添加或擴充標簽或可將附加的元數(shù)據(jù)應用于XML文檔以指示內(nèi)容具有各種敏感等級��。例如��,可存在具有公開���、私密和絕密段落的文檔��。例如���,具有“秘密”許可的執(zhí)行搜索和請求訪問的人將只具有對公開和秘密段落的訪問權(quán)。也可使用段落的分類來確定加密機制����、密鑰和訪問政策。例如��,絕密內(nèi)容不能從無線或遠程設(shè)備訪問����。類似地,可使用所述分類來創(chuàng)建關(guān)于可如何存儲數(shù)據(jù)��、可在何處存儲數(shù)據(jù)、可存儲數(shù)據(jù)多久的策略���。例如���,醫(yī)療數(shù)據(jù)必須使用AES 256加密每天一次地備份到可信數(shù)據(jù)中心中的安全服務(wù)器。圖20是示出在一實施例中用于托管受信XML的示例性過程的流程圖��。在2000����,第一控制區(qū)域中的計算設(shè)備從第二控制區(qū)域中的計算設(shè)備接收經(jīng)加密的XML數(shù)據(jù),該經(jīng)加密的XML數(shù)據(jù)包括經(jīng)加密的XML有效載荷數(shù)據(jù)和經(jīng)加密的XML標簽��。該經(jīng)加密的XML數(shù)據(jù)是從基于密碼密鑰信息根據(jù)可搜索加密算法對該第二控制區(qū)域中的該計算設(shè)備的定義的XML數(shù)據(jù)集合的加密形成的��。在2012��,接收基于密碼密鑰信息加密的輔助元數(shù)據(jù)��,其中該輔助元數(shù)據(jù)是從對經(jīng)加密的XML有效載荷數(shù)據(jù)或經(jīng)加密的XML標簽的分析形成的���。在2020,接收對數(shù)據(jù)的請求����,所述對數(shù)據(jù)的請求包括基于定義訪問該經(jīng)加密的XML有效載荷數(shù)據(jù)或該經(jīng)加密的XML標簽中的一些的特權(quán)的該密碼密鑰信息的能力����,從而允許如所述能力所限定 的那樣允許對該經(jīng)加密的XML數(shù)據(jù)的選擇性的訪問��。在2030�,可任選地,確認經(jīng)加密的XML數(shù)據(jù)和相應的XML標簽數(shù)據(jù)的正確子集由符合該請求的訂閱者設(shè)備接收�。圖21是示出在一實施例中用于托管受信XML的示例性過程的流程圖。在2100��,從密鑰生成組件接收密碼密鑰信息�,該密鑰生成組件基于與訂閱者設(shè)備相關(guān)聯(lián)的身份信息生成該密碼密鑰信息。在2110�,訂閱者設(shè)備請求經(jīng)可搜索地加密的XML數(shù)據(jù)和相應的XML標簽數(shù)據(jù)的子集。將該密碼密鑰信息傳送到該經(jīng)可搜索地加密的XML數(shù)據(jù)和相應的標簽數(shù)據(jù)的存儲提供者����。在2120,如在該密碼密鑰信息中定義的能力所允許的那樣解密經(jīng)加密的XML數(shù)據(jù)和相應的XML標簽數(shù)據(jù)的子集���。在2130�����,確認經(jīng)加密的XML數(shù)據(jù)和相應的XML標簽數(shù)據(jù)的正確子集由符合該請求的訂閱者設(shè)備接收��。在2140�����,驗證經(jīng)加密的XML數(shù)據(jù)和相應的XML標簽數(shù)據(jù)的子集的內(nèi)容在接收到該經(jīng)加密的XML數(shù)據(jù)和相應的XML標簽數(shù)據(jù)的子集之前不被刪除或修改��。圖22是示出在一實施例中用于托管受信XML的示例性過程的流程圖�。在2200,基于從分開的密鑰生成器接收的密碼密鑰信息根據(jù)可搜索加密算法加密XML數(shù)據(jù)以形成經(jīng)加密的XML數(shù)據(jù)�,該經(jīng)加密的XML數(shù)據(jù)包括經(jīng)加密的XML標簽信息,其中該密鑰生成器生成該密碼密鑰信息����。在2210,將該經(jīng)加密的XML數(shù)據(jù)傳送到網(wǎng)絡(luò)服務(wù)提供者以存儲該經(jīng)加密的數(shù)據(jù)��。在2220�,根據(jù)基于請求設(shè)備的身份信息而授予該請求設(shè)備的所選擇的特權(quán)的后期綁定選擇性地訪問該經(jīng)加密的數(shù)據(jù)。圖23是示出在一實施例中用于托管受信XML的示例性過程的流程圖����。在2300,訂閱者設(shè)備做出對包括經(jīng)加密的XML標簽的經(jīng)可搜索地加密的XML數(shù)據(jù)的子集的請求����。在2310,從密鑰生成組件接收密碼密鑰信息�����,該密鑰生成組件基于與訂閱者設(shè)備的身份信息生成該密碼密鑰信息��。在2320�,根據(jù)在密鑰信息中所定義的賦予給該訂閱者設(shè)備的特權(quán),解密經(jīng)加密的XML數(shù)據(jù)的子集�。下面針對補充上下文提供對無容器數(shù)據(jù)描述的各附加實施例和關(guān)于聯(lián)合信任覆蓋的細節(jié)?��?尚旁品?wù)生態(tài)系統(tǒng)的補充上下文如上所述���,獨立的數(shù)據(jù)保護和密碼技術(shù)被以各種方式組合以提升關(guān)于數(shù)據(jù)(例如,作為在諸如由CSP維護的遠程站點處的數(shù)據(jù)存儲的)的私密性���、信任和安全性�����。盡管下面以一般數(shù)據(jù)或網(wǎng)絡(luò)服務(wù)為上下文來描述一般生態(tài)系統(tǒng)��,然而這種一般數(shù)據(jù)或網(wǎng)絡(luò)服務(wù)可被用于用于在遠程站點處存儲數(shù)據(jù)的上述場景中的任一個或多個��。為網(wǎng)絡(luò)數(shù)據(jù)服務(wù)提供數(shù)字托管模式�����,包括用于存儲在云中的數(shù)據(jù)的可搜索加密技術(shù)����、跨多個實體的分布信任以避免單個實體造成的損害。在一個實施例中���,密鑰生成器��、密碼技術(shù)提供者和云服務(wù)提供者每個都被配備為單獨的實體��,從而使得數(shù)據(jù)的發(fā)布者能夠機密地(經(jīng)加密的)將數(shù)據(jù)發(fā)布給服務(wù)提供者���,并且然后選擇性地將經(jīng)加密的數(shù)據(jù)暴露于請求該數(shù)據(jù)的訂閱者,該選擇性地暴露基于被編碼到響應于訂閱者請求所生成的密鑰信息中的訂閱者身份信息��。相對于可搜索的加密/解密算法而言�����,由一個或多個密碼技術(shù)提供者實現(xiàn)的可搜索的公鑰加密(PEKS)方案為任何給定的消息W生成陷門TW,使得TW允許檢查給定密文是否是對W的加密���,其中TW不揭示關(guān)于明文的任何附加信息����。根據(jù)下面所述的各個實施例�����,PEKS方案可以用于基于包含在諸如經(jīng)加密的消息之類的經(jīng)加密的數(shù)據(jù)(例如消息文本)中的關(guān)鍵詞對所述經(jīng)加密的數(shù)據(jù)確定優(yōu)先級或進行過濾�����,然而PEKS的使用是教導性的��,因為加密技術(shù)有所不同且不斷演進�。相應地,取決于所考慮的場景和所涉及的加密折衷(復雜性、速度�����、壓縮等)��,其他加密技術(shù)也適用�。因此,可以通過釋放相應關(guān)鍵詞的能力(有時被密碼員稱為“陷門”)來給數(shù)據(jù)接收者提供對經(jīng)加密數(shù)據(jù)的與關(guān)鍵詞有關(guān)的部分的所選訪問��。通過這種方式��,可以在經(jīng)加密的數(shù)據(jù)中檢查這些關(guān)鍵詞����,但是保證不會從訂閱者獲悉比該訂閱者的能力所允許的更多東西。為了避免質(zhì)疑�,盡管在此處的一個或多個實施例中將PEKS公開為用于實現(xiàn)可搜索加密的算法,但是能夠理解�����,存在多種可替代的算法以用于實現(xiàn)可搜索加密�����。PEKS的一些示例性的非限制性的替代方案例如包括不在意(ObliviouS)RAM���。因此�,在此所使用的術(shù)語“可搜索加密”應當不限于任何一種技術(shù)��,并且因此是指寬范圍的如下加密機制或加密機制的組合所述加密機制允許基于對經(jīng)加密數(shù)據(jù)的搜索或查詢功能來選擇性地訪問經(jīng)加密數(shù)據(jù)的子集?���?扇芜x地,可以作為附加好處向生態(tài)系統(tǒng)中的數(shù)據(jù)的訂閱者和發(fā)布者提供對結(jié)果的確認和/或驗證��。確認提供一種方式來確認由于針對數(shù)據(jù)的子集的訂閱請求而接收的數(shù)據(jù)項目是正確的項目集合��,即數(shù)據(jù)的本應該接收的正確子集實際已經(jīng)被接收��。密碼領(lǐng)域的一種技術(shù)是數(shù)據(jù)擁有證明(PDP)����,然而�,為了避免質(zhì)疑,PDP僅僅是可以被實現(xiàn)的一種示例性算法�,并且可以使用實現(xiàn)相同或類似目標的其他算法。數(shù)據(jù)擁有的可證(Provable)或證明(Proof(s))是關(guān)于如何頻繁����、有效和安全地驗證存儲服務(wù)器忠實地存儲了其客戶端的可能大的外包(outsourced)數(shù)據(jù)。存儲服務(wù)器被假定為在安全性和可靠性方面都不受信任�����。對結(jié)果的驗證提供用于檢查項目本身的內(nèi)容的附加機制�����,即以保證結(jié)合訂閱請求所接收的項目未曾被任何未授權(quán)實體篡改過。密碼領(lǐng)域的驗證的一個例子是數(shù)據(jù)擁有證明(PDP)��,然而���,為了避免質(zhì)疑�,PDP僅僅是可以被實現(xiàn)的一種示例性算法�����,并且可以使用實現(xiàn)相同或類似目標的其他算法��。在密碼領(lǐng)域中已知的另一技術(shù)是檢索能力(retrievability)證明(P0R)�,然而,為了避免質(zhì)疑����,POR僅僅是可以被實現(xiàn)的一種示例性算法,并且可以使用實現(xiàn)相同或類似目標的其他算法�����。POR是一種由服務(wù)提供者或數(shù)據(jù)主控者(證明者)對客戶端(驗證者)進行的緊湊證明,其表示目標文件F在客戶端可以完全恢復文件F并且未發(fā)生篡改的意義上而言是完整的�。作為附加的選項,生態(tài)系統(tǒng)可以實現(xiàn)匿名憑證的概念�,由此發(fā)布者可以以匿名方式上傳關(guān)于其自己的信息而不暴露關(guān)鍵細節(jié),并且訂閱者可以受其能力的限制�,使得其不能被暴露或被提供對由發(fā)布者上傳的關(guān)鍵細節(jié)的訪問。通過這種方式���,發(fā)布者或訂閱者可以于系統(tǒng)交互�,同時僅僅暴露其希望向第三方暴露的那樣多的信息��。常規(guī)的web服務(wù)已經(jīng)限于靜態(tài)客戶端服務(wù)器布置和用于訪問web服務(wù)的靜態(tài)地定義的用戶策略����。然而��,當根據(jù)經(jīng)常改變和演進的復雜商務(wù)和其他關(guān)系來構(gòu)思許多發(fā)布者和訂閱者時����,這樣的常規(guī)web服務(wù)模型不能是靈活的或者足夠安全的。因此�����,在各個實施例中,啟用后期綁定��,使得數(shù)據(jù)和內(nèi)容的發(fā)布者和/或所有者可以基于訂閱者是誰�、基于訂閱者的能力以及基于他們在尋找什么(例如基于針對數(shù)據(jù)的請求中所使用的關(guān)鍵詞)來改變對經(jīng)加密內(nèi)容的訪問特權(quán)。因此�����,訂閱者能夠選擇性地訪問的東西與發(fā)布者和/或所有者對訪問特權(quán)的改變一致地動態(tài)改變�,因為訂閱者能力被編碼在由運行中的密鑰生成器所提供的密鑰信息中。因此����,為給定請求在為該請求生成密鑰的時刻定義訂閱者特權(quán),并且因此該訂閱者特權(quán)總是反映關(guān)于來自訂閱者的請求的當前策略����。 類似地,可信云服務(wù)的服務(wù)器的管理員可以被許可觀察由該服務(wù)器處理的行為和數(shù)據(jù)事物的日志��,但是也可以被限制為不能看見任何客戶姓名或信用卡信息���。因此��,訂閱者的身份可以是限制訂閱者可以訪問的數(shù)據(jù)類型的基礎(chǔ)�����。在此��,在構(gòu)建對云服務(wù)的信任的上下文中提出可信生態(tài)系統(tǒng)的各種非限制性實施例�,然而,在此提供的對生態(tài)系統(tǒng)的信任構(gòu)建是更一般的����,并且不限于應用于云服務(wù)。更確切而言���,在此所述的實施例類似地適用于企業(yè)數(shù)據(jù)中心內(nèi)的不同服務(wù)器或參與者���。因此,盡管數(shù)據(jù)可能從未離開給定實體�����,但是在此所述的用于構(gòu)建信任的技術(shù)同樣適用于企業(yè)內(nèi)的不同過程在單獨控制區(qū)內(nèi)操作的情況�。在沒有跨所有企業(yè)過程的可見性的情況下�,可能造成類似的不信任,就好像參與者置身于企業(yè)之外����。例如����,服務(wù)器云即使在處于管理員的控制之下時或者管理員可能不注意或者為惡意時可能在企業(yè)內(nèi)遭到破壞����。除了適用于云中的經(jīng)加密數(shù)據(jù),本發(fā)明的各種技術(shù)還可以適用于存儲在膝上型計算機或其他便攜式設(shè)備上的數(shù)據(jù)����,因為膝上型計算機可能丟失或失竊。在這種情況下�����,該設(shè)備可能最終為過于好奇或者惡意實體所占有��,然而�,在此所述的適于保護云中數(shù)據(jù)的相同技術(shù)還可以用于保護服務(wù)器或膝上型計算機上的數(shù)據(jù)。如果本地數(shù)據(jù)是經(jīng)加密的�,則在沒有適當訂閱者憑證的情況下,竊賊將不能理解經(jīng)加密的本地數(shù)據(jù)�����,從而不能出示適當角色或能力來訪問該數(shù)據(jù)。圖24是根據(jù)一實施例的可信云服務(wù)框架或生態(tài)系統(tǒng)的框圖��;該系統(tǒng)包括可信數(shù)據(jù)存儲2400���,該受信數(shù)據(jù)存儲100用于存儲可搜索的經(jīng)加密數(shù)據(jù)2410以及訂閱者請求經(jīng)歷確認和/或驗證的結(jié)果�。就此而言����,網(wǎng)絡(luò)服務(wù)2420可以構(gòu)建在安全數(shù)據(jù)2410之上,使得數(shù)據(jù)的發(fā)布者保留對賦予給例如通過網(wǎng)絡(luò)服務(wù)2420請求該數(shù)據(jù)的訂閱者2440的能力的控制�����。發(fā)布者2430還可以是訂閱者2440��,并且反之亦然��,并且數(shù)據(jù)的所有者2450也可以是發(fā)布者2430和/或訂閱者2440���。作為一些常見角色和可以定義的相應能力集合的例子��,特殊類型的發(fā)布者2430和訂閱者2440是管理員2460和審計者2470����。例如����,管理員2460可以是對數(shù)據(jù)2410的特殊許可集合,以幫助維護對可信數(shù)據(jù)存儲2400的操作���,并且審計者實體2470可以在審計的范圍內(nèi)幫助維護某些數(shù)據(jù)的完整性��。例如��,審計者2470可能訂閱含有攻擊性關(guān)鍵詞的數(shù)據(jù)2410的消息���,在這種情況下,審計者2470在根據(jù)所賦予能力受到許可的情況下可以在數(shù)據(jù)2410的消息包含這樣的攻擊行關(guān)鍵詞時受到提醒����,但是不能閱讀其他消息。就此��,可以基于如下能力構(gòu)建無數(shù)場景將發(fā)布者數(shù)據(jù)置于數(shù)字托管之下���,使得可以分發(fā)實現(xiàn)對該數(shù)據(jù)的選擇性訪問的密鑰�。例如���,發(fā)布者向生態(tài)系統(tǒng)認證并且指示要上傳到該生態(tài)系統(tǒng)的文檔集合��。該文檔基于從生成密鑰信息的單獨的密鑰生成器所接收的密碼密鑰信息根據(jù)可搜索加密算法被加密�����。然后�,經(jīng)加密數(shù)據(jù)被傳輸給網(wǎng)絡(luò)服務(wù)提供者以供存儲該經(jīng)加密數(shù)據(jù),使得經(jīng)加密數(shù)據(jù)可以根據(jù)基于請求設(shè)備的身份信息賦予給該請求設(shè)備的所選特權(quán)的后期綁定被選擇性地訪問���。將密碼技術(shù)提供者同經(jīng)加密數(shù)據(jù)的存儲相分離將附加地隔離經(jīng)加密的數(shù)據(jù)免受進一步損害�。就此����,圖25是示出了根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于發(fā)布數(shù)據(jù)的示例性非限制性方法的流程圖。在2500���,發(fā)布者向該系統(tǒng)認證(例如發(fā)布者用用戶名和口令�����、LiVE ID憑證等登陸)����。在2510,密鑰信息由諸如密鑰生成中心之類的密鑰生成器生成�����,這將在下面的
一個或多個實施例中予以描述���。在2520,單獨的密碼技術(shù)提供者基于密鑰信息對發(fā)布者文檔集進行加密。在2530����,經(jīng)加密文檔與能力一起被上傳到例如存儲服務(wù)提供者之類的網(wǎng)絡(luò)服務(wù)提供者,使得經(jīng)加密文檔可以利用基于請求設(shè)備(訂閱者)的身份信息所賦予的所選特權(quán)的后期綁定被選擇性地訪問�����。例如在訂閱者側(cè)�,訂閱者向生態(tài)系統(tǒng)認證,并且指示對數(shù)據(jù)子集的請求(例如對包含給定關(guān)鍵詞或關(guān)鍵詞集合的文檔的子集的查詢)�。響應于從至少一個訂閱者設(shè)備對經(jīng)可搜索地加密數(shù)據(jù)的請求,密鑰生成組件基于與訂閱者設(shè)備相關(guān)聯(lián)的身份信息生成密碼密鑰信息��。然后�����,根據(jù)在密碼密鑰信息中所定義的賦予給該訂閱者設(shè)備的特權(quán),經(jīng)加密數(shù)據(jù)的子集被解密��。圖26是示出根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于訂閱數(shù)據(jù)的示例性�����、非限制性方法的流程圖��。在2600����,用于訂閱數(shù)據(jù)的方法包括認證訂閱者(例如訂閱者用用戶名和口令、LiVE ID憑證等登陸)�����。在2610�,訂閱者作出對數(shù)據(jù)的請求。在2620�����,密鑰信息由獨立密鑰生成實體基于訂閱者請求而生成�����,其中訂閱者的能力可以在密鑰信息中定義。在2630��,發(fā)布者數(shù)據(jù)的子集基于在密鑰信息中所定義的能力被解密���。例如,CSP可以對該數(shù)據(jù)進行解密���。在2640���,使發(fā)布者數(shù)據(jù)的子集可被訂閱者訪問,例如訂閱者可以基于由所有者/發(fā)布者所賦予的可動態(tài)定義的能力來對該數(shù)據(jù)進行下載�、查看、處理�����、改變等等����。可任選地�����,用于加密、解密和密鑰生成的技術(shù)可以由單獨的密碼技術(shù)提供者來提供���,但是由任何參與者來主控�。在一個實施例中���,訂閱者設(shè)備的身份信息包括該訂閱者的角色���。例如,審計者角色�、管理員角色或其他預先指定的角色可以被發(fā)布者/所有者用作限制或賦予對經(jīng)可搜索地加密的數(shù)據(jù)存儲的各部分的訪問的基礎(chǔ)。圖27示出了示例性的生態(tài)系統(tǒng)�,該生態(tài)系統(tǒng)示出了密鑰生成中心(CKG) 2700、密碼技術(shù)提供者(CTP) 2710和云服務(wù)提供者(CSP) 2720的分離�����,由此消除單個實體在可信生態(tài)系統(tǒng)中造成損害的可能性�����。就此���,客戶2730包括數(shù)據(jù)的發(fā)布者和/或訂閱者����。可選地�,CKG2700可以基于例如由CTP 2710提供的參考軟件、開源軟件和/或軟件開發(fā)工具包(SDK)來構(gòu)建��,從而使得多方的構(gòu)建塊能夠自己創(chuàng)建這樣的組件或者對第三方實現(xiàn)這樣的生態(tài)系統(tǒng)組件感到滿意�。在一個實施例中,SDK由CTP 2710來提供�,并且可以被一個或多個參與者用戶用于主控或?qū)崿F(xiàn)CKG 2700�、下面將更詳細描述的計算和存儲抽象(CSA)和/或密碼客戶端庫?���?扇芜x地,SDK可以是從CTP 2710分發(fā)給主控CKG 2700的實體����。一般而言,CKG 2700,CTP 2710或CSP 2720中的每個都可以根據(jù)給定實施方式被細分為子組件�����;然而總體分離被保留以維持信任。例如��,諸如主公鑰(MPK)遞送2702����、客戶端庫下載器2704、秘密密鑰(secret key)提取器2706����、信任驗證者2708或者其他子組件之類的CKG實體2701可以以子集的形式分開地提供、或者作為集成組件一起提供��。諸如用于編碼和解碼的戶端應用2712�����、替代的 加密技術(shù)2714�、用于與CKG對接的應用2716、其他密碼構(gòu)建塊2718等等之類的CTP實體2711也可以以子集形式分開地提供或者一起提供�����。此外�����,可以分別認為CSP 2720是諸如CSP 2722、2726����、主控存儲服務(wù)2724和服務(wù)主控2728之類的許多單獨的服務(wù)提供者,或者這樣的服務(wù)可以一起提供�。能夠理解,由可信生態(tài)系統(tǒng)中的一個或多個參與者主控的CKG或CKG實例不需要是單個單片實體����。更確切而言,CKG可以被分成多個(冗余)實體�,這些實體協(xié)作以生成密鑰,使得操作即使在參與者的小子集離線的情況下仍然可以繼續(xù)���。在一個實施例中��,可任選地,參與者的集合即使在這些參與者的小子集已經(jīng)被對手損害或者以其他方式變?yōu)椴豢捎没虿皇苄湃螘r仍然可以整體上受到信任��。圖28是示出了用于為企業(yè)2800執(zhí)行云服務(wù)的可信生態(tài)系統(tǒng)的其他好處的另一架構(gòu)圖����。例如,企業(yè)2800可以包括不同組織2802���、2804���、2806����、2808�。該圖中的不同組織2802、2804����、2806、2808示出了 組織可以采取相對于實現(xiàn)用于使用系統(tǒng)或密鑰生成的策略而言那樣多或那樣少的所有權(quán)�。例如,組織2802實現(xiàn)其自己的策略2812����,但是使用集中式密鑰生成器2822,而組織2804選擇實現(xiàn)其自己的密鑰生成器2824并且實現(xiàn)其自己的策略2814���。組織2806也實現(xiàn)其自己的策略���,但是依靠第三方CKG 2826,而組織2808選擇依靠第三方策略提供者2818和獨立CKG 2828��。就此,為了發(fā)布數(shù)據(jù)����,發(fā)布者2840基于來自CKG 2822的輸出獲得用于對數(shù)據(jù)進行加密的公開參數(shù)2835?����;诠_參數(shù)�����,數(shù)據(jù)在2845由發(fā)布者設(shè)備2840使用獨立密碼技術(shù)提供者來加密��。經(jīng)加密數(shù)據(jù)被上傳到存儲抽象服務(wù)2850���,該存儲抽象服務(wù)2850隱藏與由諸如CSP 2872�����、2874、2876或2878之類的一個或多個CSP 2870存儲經(jīng)加密數(shù)據(jù)相聯(lián)系的存儲語義�。在訂閱者設(shè)備2860上,對數(shù)據(jù)的請求導致從CKG 2822生成私有秘密密鑰2865�����。私有秘密密鑰2865包括如下信息該信息使得訂閱者設(shè)備2860能夠通過在2855對數(shù)據(jù)進行解密來選擇性地訪問經(jīng)可搜索地加密的數(shù)據(jù)。再次���,從CSP 2870檢索數(shù)據(jù)的語義被存儲抽象服務(wù)2850隱藏�。而且����,被賦予給訂閱者設(shè)備2860的特權(quán)是由于由發(fā)布者/所有者所賦予的能力的后期綁定而產(chǎn)生的特權(quán)的當前集合。從圖28中能夠理解���,要么為企業(yè)���、要么為消費者的多個數(shù)據(jù)所有者可以如在此所述的那樣參與可信生態(tài)系統(tǒng)以建立受信關(guān)系。在這種情況下�,每個所有者都可以主控或控制其自己的CKG(例如組織2804的CKG 2824),使得對數(shù)據(jù)的請求或查詢被轉(zhuǎn)發(fā)給相應CKG以從所請求數(shù)據(jù)的所有共有者收集所需的密鑰��。圖29是示出了通過存儲抽象層2910來適應于不同存儲提供者的另一框圖����。利用可信生態(tài)系統(tǒng),分別具有客戶端應用2940、2942的桌面2930�����、2932可以如上所述的那樣發(fā)布或訂閱數(shù)據(jù)��,從而向密鑰生成中心2920發(fā)起對用于對數(shù)據(jù)進行加密和解密的密鑰信息的請求����。類似地,服務(wù)2944���、2946�����、2948也可以是生態(tài)系統(tǒng)中的發(fā)布者和/或訂閱者����。就此��,為了由私有云存儲2900�、SQL數(shù)據(jù)服務(wù)存儲2902、或簡單存儲web服務(wù)2904等等中的任一進行存儲或提取�����,存儲抽象服務(wù)2910 (如名稱所隱含的那樣)抽象出關(guān)于遠離客戶端的一個或多個特定存儲庫的細節(jié)���。就此�����,為了避免質(zhì)疑���,圖29針對多種情況。在一種情況下�,圖29通過存儲抽象服務(wù)(有時亦稱計算和存儲抽象(CSA))涵蓋了存儲提供者(將其抽象為個體)的非居間化。另夕卜��,圖29涵蓋了如下場景數(shù)據(jù)被分割和/或扇出(例如為了冗余)為可以為相同或不同類型的多個后端存儲提供者的場景��,使得原始數(shù)據(jù)即使在后端存儲提供者之一(或少數(shù))意外地或無意地刪除或改變其數(shù)據(jù)副本時仍然可以被重構(gòu)�。
圖30示出了與包括服務(wù)器操作系統(tǒng)(OS) 3014和存儲服務(wù)3012的存儲抽象服務(wù)3010相聯(lián)系的存儲的其他方面,該存儲抽象服務(wù)3010抽象私有云存儲3000����、SQL數(shù)據(jù)存儲3002、簡單存儲web服務(wù)存儲3004等等的存儲細節(jié)�。客戶端可以是分別具有客戶端應用3040和3042的桌面3050或3052。密鑰生成中心3020可以包括在服務(wù)器OS 3024上執(zhí)行的密鑰生成器應用3022��。就此�����,具有活動目錄3036�����、服務(wù)器OS 3034和安全令牌服務(wù)(STS)3032的組織3030可以是生態(tài)系統(tǒng)中的發(fā)布者或訂閱者�����。就此�,存儲傳輸格式(STF)是標準交換格式,其可以用于在多個庫的范圍內(nèi)交換經(jīng)加密數(shù)據(jù)和元數(shù)據(jù)�����。例如�����,組織3030可能希望在存儲服務(wù)提供者3000�、3002或3004間傳輸電子郵件數(shù)據(jù)��,在這種情況下可以使用STF�����。圖31是示出了可信生態(tài)系統(tǒng)3120中的各個不同參與者的另一框圖。如上面所提到的那樣�,有利地,企業(yè)3100可以將數(shù)據(jù)量的存儲和維護從現(xiàn)場推卸給云存儲服務(wù)提供者�,其中云存儲服務(wù)提供者更適于處理這樣的數(shù)據(jù)量,同時維持數(shù)據(jù)將不會對錯誤的訂閱者解密的舒適性��,因為企業(yè)維持對針對經(jīng)加密數(shù)據(jù)所定義的能力的控制���。例如�����,組織3102可以操作諸如Sharepoint之類的協(xié)作應用3112��。就此,組織3102可以為sharepoint數(shù)據(jù)建立數(shù)字托管或者受信域���。策略3132和CKG 3134可以由第一數(shù)據(jù)中心3130來實現(xiàn),該第一數(shù)據(jù)中心3130用于通過為受信域定義密碼密鑰信息3145來建立安全空間�����。然后,例如像發(fā)布者3114那樣行動的另一組織3104可以基于從CKG 3134獲得的密鑰信息對數(shù)據(jù)進行加密��,此時��,第二數(shù)據(jù)中心3140的計算和存儲抽象組件3142處理在第三數(shù)據(jù)中心3150處(例如在CSP 3152中)存儲經(jīng)可搜索地加密的數(shù)據(jù)的細節(jié)��。反過來�����,當組織3104的訂閱者3116請求數(shù)據(jù)時�����,私有密鑰或秘密密鑰信息作為提取3165的一部分被遞送給訂閱者3116��。接著,基于包括為訂閱者定義的能力的私鑰信息�����,由該訂閱者所請求的數(shù)據(jù)在3175被解密��,其中假定該訂閱者具有特權(quán)��,并且抽象層3142再次處理底層存儲3152的細節(jié)。圖32是可信云計算系統(tǒng)的示例性非限制性實施方式的一些層的代表性視圖���,在該計算系統(tǒng)中���,不同構(gòu)件可以由不同或相同實體來提供。在層棧的底部是數(shù)學和密碼庫3286��,其用于實現(xiàn)加密/解密算法��?���?梢蕴峁└鞣N密碼方案的定義的抽象作為細節(jié)庫3284與可搜索密碼方案3286的實際實施之間的中間層3282�����。層3282����、3284和3286 —起形成較大的密碼服務(wù)層3280,該密碼服務(wù)層3280在與抽象層3260組成軟件即服務(wù)(SaaS)應用生態(tài)系統(tǒng)時形成實現(xiàn)受信數(shù)字托管3270及其存儲的基礎(chǔ)�。抽象層3260包含用于實現(xiàn)數(shù)字托管模式的基本語言,即諸如SetUp O (設(shè)置O )����、Encrypt O (加密O )�、Extract O (提取O )��、Decrypt ()(解密())之類的命令��。處于抽象層3260之上的是層3250����,該層3250捆綁到各種更具體的平臺技術(shù)(例如SDS、Azure����、備份/歸檔、RMS�����、STS等等)中����。處于捆綁到各種具體平臺技術(shù)中的層3250之上的是使用受信數(shù)字托管3200的各種SaaS應用。示例性的非限制性圖示示出了 數(shù)字托管應用3200可以由單個公司3210或由伙伴3230或者由二者來實現(xiàn)��。例如����,公司3210可以實現(xiàn)諸如下列服務(wù)高性能計算(HPC)�、eDiscovery和合法發(fā)現(xiàn)3214��、Live服務(wù)3216(例如DBox)���、備份/歸檔即服務(wù)3218���、審計日志一商業(yè)過程和監(jiān)控3220、或者其他云服務(wù)3222�����?;锇?230云進而實現(xiàn)諸如下列服務(wù)eLetterOfCredit 3232�����、HPc即垂直面(Verticals)月艮務(wù)3234�����、eHealth服務(wù)�、安全外聯(lián)網(wǎng)3238����、順應3240���、訴訟支持3242等等����?�;诳尚旁品?wù)生態(tài)系統(tǒng)的場景由于密鑰生成器�、密碼提供者和云服務(wù)提供者的分離所固有的增加的信任,以及本文所述的其他技術(shù)��,可在云中實現(xiàn)任何類型的應用����。就此,在已經(jīng)實現(xiàn)了這樣可信云服務(wù) 生態(tài)系統(tǒng)的情況下�����,可以實現(xiàn)豐富的服務(wù)和場景的集合���,這些服務(wù)和場景利用在此所述的可信生態(tài)系統(tǒng)的一個或多個好處�。例如,圖33是一個示例性非限制性過程的流程圖�,該過程用于以利用上述后期綁定向發(fā)布者提供對數(shù)據(jù)的受控選擇性訪問的方式來向數(shù)字保險箱應用發(fā)布文檔。在3300��,對設(shè)備進行認證(例如設(shè)備用用戶名和口令��、口令憑證���、生物憑證�、Live ID憑證等等登陸)���。在3310���,文檔被上傳并且標簽被輸入。在3320����,所述標簽被發(fā)送給托管代理�����,并且作為響應,從托管代理接收經(jīng)散列的標簽�����。就此����,所述標簽可以如所提到的那樣來提供,或者可替代地可以通過全文索引來自動地從有效載荷(記錄��、文檔)中提取����。在3330,客戶端利用發(fā)布者的密鑰信息對文檔進行加密����,并且所述文檔與訂閱者相對于這些文檔的能力一起被發(fā)送給安全數(shù)字云存儲提供者。在3340����,安全數(shù)字云存儲提供者例如將經(jīng)加密的團塊(blob)發(fā)送給存儲服務(wù)(例如相對于存儲抽象層)。圖34是用于訂閱置于數(shù)字保險箱中材料的示例性����、非限制性過程的流程圖����。在3400��,訂閱者被認證�����,并且客戶端設(shè)備將標簽發(fā)送給托管代理���,該托管代理在3410作為響應發(fā)回經(jīng)散列的標簽��。然后��,客戶端在3420將經(jīng)散列的標簽發(fā)送給數(shù)字保險箱服務(wù)����,并且經(jīng)散列的標簽被解釋以了解在3430����,該客戶端是否有權(quán)讓其搜索請求全部或部分地由存儲服務(wù)來執(zhí)行。圖35示出了使用數(shù)字托管模式來通過一個或多個數(shù)據(jù)中心為企業(yè)實現(xiàn)安全外聯(lián)網(wǎng)的可信云服務(wù)的示例性���、非限制性的實施方式。如所提到的那樣,可信計算生態(tài)系統(tǒng)可以包括密鑰生成中心3500���,該密鑰生成中心3500與密碼技術(shù)提供者(CTP) 3510分開地實現(xiàn)�,該密碼技術(shù)提供者3510提供參考實施方式以供用于實現(xiàn)與生態(tài)系統(tǒng)一致的同一個或多個云服務(wù)提供者(CSP)3520分開實現(xiàn)的密碼技術(shù)����。在安全外聯(lián)網(wǎng)的示例性非限制性的實施方式中,3580示出了 企業(yè)維護共享庫3570 (例如SharePoint)和設(shè)計或分析應用的庫3560以供與共享庫3570中的文檔結(jié)合使用���。商業(yè)軟件3540 (例如Sentinel)可以監(jiān)控具有桌面3550的計算機的應用或服務(wù)器性能等等���。就此,在可信云服務(wù)生態(tài)系統(tǒng)中����,當使用桌面3550的訂閱者從存儲中尋求可以選擇性地訪問并且被加密的信息時,安全令牌服務(wù)3530可以遞送某些信息以標識出訂閱者3582����,并且CKG 3500可以通過第一數(shù)據(jù)中心的CKG層3502的接口被咨詢,如3584所示��。CKG 3500返回密鑰信息�,然后���,該密鑰信息如3586所示的那樣可以用于通過存儲抽象服務(wù)3522選擇性地訪問由數(shù)據(jù)服務(wù)3524所持有的數(shù)據(jù)。因此�,任何類型的數(shù)據(jù)都可以在企業(yè)的范圍內(nèi)根據(jù)企業(yè)中的訂閱者的角色來選擇性地共享。圖36是示出了基于可信云服務(wù)生態(tài)系統(tǒng)的另一示例性非限制性場景的流程圖���,在該生態(tài)系統(tǒng)中���,給訂閱者提供對由例如企業(yè)內(nèi)的CSP存儲的經(jīng)加密數(shù)據(jù)的選擇性訪問。最初�,訂閱者設(shè)備還未獲取訪問經(jīng)加密數(shù)據(jù)的特權(quán)。然而����,通過在3600例如通過與應用交互來作出對一些或全部經(jīng)加密數(shù)據(jù)的請求,應用自動地與相應STS通信以用于在3610獲得聲明(Claim)(密碼學中的用語)����。在3620,應用與CKG通信以獲得密鑰信息�,該密鑰信息編碼有關(guān)于訂閱者的能力的信息(能力有時在密碼學的用語中被稱為陷門,但是術(shù)語“能力”不限于通常出現(xiàn)術(shù)語“陷門”的上下文)���。最后�,應用在3630將密鑰信息提供給CSP,CSP允許以訂閱者能力所允許的程度來對經(jīng)加密的數(shù)據(jù)進行搜索或查詢����。圖37是示出了應用響應可以基于登陸信息適應于訂閱者的另一流程圖���。例如�����,在3700���,用戶ID信息被應用接收。在3710����,應用從STS獲得相關(guān)聲明。在3720��,基于用戶充當?shù)呐c用戶ID信息相關(guān)聯(lián)的一個或多個角色��,體驗可以被調(diào)整為與那些角色的特權(quán)/限制相稱���。例如�����,作為公司的經(jīng)加密數(shù)據(jù)的視圖來呈現(xiàn)公司的主要財務(wù)部門的用戶體驗可以并且應當是與提供給郵件室雇員的公司經(jīng)加密數(shù)據(jù)的視圖不同的用戶體驗���。圖37可以適用于單方或多方登錄場景�����。圖38是示出了安全記錄上傳場景的另一流程圖��,該場景可以針對單方或多方來實現(xiàn)�。在3800�����,記錄和關(guān)鍵詞被應用接收�,其例如是由具有該應用的設(shè)備的用戶提供或指定的。在3810�����,應用獲得主公鑰(MPK)并且應用公鑰加密關(guān)鍵詞可搜索(PEKS)算法��。MPK可以可任選地被應用高速緩存。在3820��,應用例如通過存儲抽象層將經(jīng)加密的記錄輸入到CSP庫中����。圖39是示出了對經(jīng)可搜索地加密數(shù)據(jù)存儲進行基于角色查詢的示例性、非限制性的另一流程圖����,該數(shù)據(jù)存儲由可信云服務(wù)生態(tài)系統(tǒng)來實現(xiàn)����,例如以供由單方進行自動搜索。在3900�����,聯(lián)合查詢被應用接收或發(fā)起����。在3910,應用從STS獲得相關(guān)聲明��。例如�,STS將用戶的角色映射到合適的查詢組,并且返回給定角色的合法查詢集合。在3920�����,應用提交經(jīng)過濾的聲明和查詢�����,使得可以有效地提交對應于該查詢的聲明�、而不是所有的聲明?���?扇芜x地,CKG將陷門聲明返回給應用(或者拒絕該聲明)�����。在3930�,應用對遠程索引執(zhí)行陷門聲明?����;趯h程索引的處理���,結(jié)果可以被應用接收���,并且通過該應用例如基于用戶角色使用定制呈現(xiàn)來將結(jié)果呈現(xiàn)給用戶��。圖40是示出了多方協(xié)作場景的流程圖��,在該場景中��,企業(yè)向外部企業(yè)提供對其經(jīng)加密數(shù)據(jù)中的一些的訪問���。例如�,制造商可以給供應商賦予對其存儲在可信云中的數(shù)據(jù)的訪問,并且反之亦然���。就此而言��,在4000�����,給企業(yè)2的STS指定資源提供者�����,并且企業(yè)I的應用繼續(xù)進行以獲得對云中的資源提供者所提供的資源的訪問的聲明���。在4010�,企業(yè)I的STS被指定作為身份提供者��。就此而言��,應用為由企業(yè)I處的訂閱者所定義的角色或角色集合獲得聲明����,這由身份提供者來促進。在4020�,應用基于由企業(yè)2控制的可許可資源以及基 于由訂閱實體所定義的許可/能力來檢索聲明。在圖40中���,盡管僅僅描繪了一個STS�����,但是應當注意�����,在數(shù)字托管或聯(lián)合信任覆蓋中可以存在多個身份提供者STS和/或多個資源提供者STS���。
圖41是示出了例如諸如企業(yè)I和企業(yè)2之類的多個企業(yè)間的多方自動搜索場景的流程圖����。在4100��,聯(lián)合查詢被企業(yè)I的應用接收或發(fā)起以供執(zhí)行�����。在4110���,應用從資源提供者(企業(yè)2)的STS獲得相關(guān)聲明��。可任選地���,該資源提供者可以在組織標簽中指定�����。STS可以可任選地執(zhí)行用戶角色到查詢組的映射��,使得返回針對該用戶角色的合法查詢集合����。在4120,應用基于該用戶角色提交經(jīng)過濾的聲明和查詢��,使得可以有效地提交對應于該查詢的聲明�、而不是所有的聲明?�?扇芜x地��,C KG將能力返回給應用(例如陷門聲明)���,或者CKG拒絕該聲明�。在4140�����,應用對遠程索引執(zhí)行陷門聲明����。基于對遠程索引的處理�����,結(jié)果可以被應用接收,并且通過該應用例如基于用戶角色使用定制呈現(xiàn)來將結(jié)果呈現(xiàn)給用戶����。該方法可包括接收聯(lián)合查詢(conjunctive query)或以其他方式發(fā)起聯(lián)合查詢的步驟。就此����,可任選地,聯(lián)合查詢也可以被密碼保護����,使得沒有陷門(或能力)的接收者(要么為客戶端、要么為服務(wù)提供者)可以分解聯(lián)合查詢并且確定其組成部分�。圖42示出了可以針對可信云服務(wù)實現(xiàn)的示例性、非限制性的邊緣計算網(wǎng)絡(luò)(ECN)技術(shù)��。就此�,結(jié)合彼此獨立操作的可信云組件給多個動態(tài)計算節(jié)點4270、4272��、4274�����、4276動態(tài)地分配計算帶寬��。例如�����,密鑰生成中心4220��、存儲抽象服務(wù)4210�����、組織4230和組織4240可以如所示那樣被實現(xiàn)為涵蓋多組織業(yè)務(wù)或諸如上述場景之類的其他場景���。密鑰生成中心4220包括密鑰生成器4222和服務(wù)器OS 4224���。存儲抽象服務(wù)4210包括存儲服務(wù)組件4212和服務(wù)器OS 4214。組織4230包括STS 4232�、AD 4236和服務(wù)器OS 4234。組織4240包括STS 4242��、AD 4246和服務(wù)器OS 4244�。服務(wù)器OS 4214、4224��、4234��、4244協(xié)作以在服務(wù)器的范圍內(nèi)實現(xiàn)ECN。任何存儲提供者或抽象4202都可以用于存儲數(shù)據(jù)���,例如可以使用SQL數(shù)據(jù)服務(wù)�����。通過這種方式����,一個或多個桌面4250�����、4252可以分別通過客戶端應用4260�、4262發(fā)布或訂閱數(shù)據(jù)。圖43是示出了根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的密鑰生成中心4310的一個或多個任選方面的框圖��。最初�����,諸如桌面4360���、4362之類的計算設(shè)備的集合和相應的客戶端應用4370�����、4372或者服務(wù)或服務(wù)器4374����、4376�、4378等等是云內(nèi)容遞送網(wǎng)絡(luò)4350的潛在發(fā)布者和/或訂閱者。然而�,在滿足來自該計算設(shè)備集合中的任何計算設(shè)備的請求以前,密鑰生成中心最初為了獲得發(fā)布者的信任而充當管理人�,該密鑰生成中心基于公鑰對數(shù)據(jù)進行加密并且基于數(shù)據(jù)訂閱者的能力向其發(fā)放私鑰。在示例性的非限制性的交互中�����,來自計算設(shè)備的請求最初被提供4300�,并且CKG4310的主控者在4380向CKG工廠4302請求CKG 4310的實例。接著�����,在4382進行用戶認證4304�����。接著,任何基于使用的計費4384可以由計費系統(tǒng)4306應用以供CKG工廠4302使用�。接著,租賃CKG在4386被CKG工廠4302物化���,其可以包括MPK遞送組件4312��、客戶端庫下載器4314���、秘密密鑰提取器4316和信任確認器/驗證者4318。MPK遞送組件4312在4388將MPK遞送給CDN 4350�����?���?蛻舳藥煜螺d器4314將密碼庫下載到請求客戶端,這些密碼庫可以與要發(fā)布的數(shù)據(jù)的加密或者該設(shè)備訂閱的數(shù)據(jù)的解密結(jié)合使用�。接著,客戶端基于從與信任驗證者4318協(xié)作的秘密密鑰提取器4316所接收的密鑰信息來作出提取給定文檔集合的請求����,該信任驗證者4318可以基于在4394驗證訂閱者的STS拇指紋���、例如基于與該請求所涉及的組織的不同STS 4320、4322�����、4324����、4326進行通信來確認訂閱者具有某些能力��。如在其他實施例中���,可以提供存儲抽象服務(wù)4340來抽象數(shù)據(jù)庫服務(wù)4330 (例如SQL)的存儲細節(jié)����。
圖44是與網(wǎng)絡(luò)服務(wù)4420的遞送相聯(lián)系的可信存儲4400的示例性非限制性的框圖�����,該可信存儲4400包括確認和/或驗證的經(jīng)可搜索地加密的數(shù)據(jù)4410����。在該實施例中,訂閱者4440或訂閱者4440所使用的應用可以作為訪問經(jīng)加密存儲4400的某些部分的請求的一部分來請求對通過請求確認實際接收的項目也是本應當接收的項目而返回的項目進行確認證明。就此����,圖44示出了可搜索加密技術(shù)與確認技術(shù)的組合?�?扇芜x地�����,該系統(tǒng)還可以與基于聲明的身份和訪問管理相集成��,這在此處的其他實施例中予以描述��。就此而言�����,如在此處的各個實施例中所描述的那樣�����,亦稱聯(lián)合信任覆蓋的數(shù)字托管模式可以無縫地與更傳統(tǒng)的基于聲明的認證系統(tǒng)相集成���。在圖44中�����,可信數(shù)據(jù)存儲4400或服務(wù)提供者或數(shù)據(jù)存儲的主控者執(zhí)行證明步驟�����,而數(shù)據(jù)的所有者(例如訂閱者設(shè)備)執(zhí)行確認����。數(shù)據(jù)存儲4400是受信的�����,因為用戶可以相信其提供強力的保證���,但是能夠理解�,物理實體實際上主控該數(shù)據(jù)�����,并且一些參與者不是完全受信的����。圖45是用于訂閱的包括確認步驟的示例性���、非限制性過程的流程圖。在4500����,經(jīng)可搜索地加密的數(shù)據(jù)的子集被從訂閱者設(shè)備接收。在4510�����,密碼密鑰信息被從密鑰生成實 例中生成���,該密鑰生成實例基于訂閱者設(shè)備的身份信息生成該密碼密鑰信息�。在4520����,根據(jù)在密碼密鑰信息中所定義的賦予給該訂閱者設(shè)備的能力,經(jīng)加密數(shù)據(jù)的子集被解密�。在4530,該子集中表示的項目可以被確認(例如數(shù)據(jù)擁有的證明)�����,并且數(shù)據(jù)在4540被訪問�。在許多情況下�����,所期望的是能夠在不需要對經(jīng)加密數(shù)據(jù)進行解密的情況下對經(jīng)加密數(shù)據(jù)執(zhí)行roP/POR��?���?扇芜x地�,PDP所需的密鑰信息可以被編碼在曾用可搜索加密被保護的元數(shù)據(jù)之內(nèi)。盡管這是管理用于roP/POR的密鑰的有效方式��,但是應當注意�����,存在許多高價值的場景�����,在這些場景中����,可以在不需要訪問明文內(nèi)容的情況下對經(jīng)加密數(shù)據(jù)執(zhí)行rop/POR�����。圖46示出了示例性、非限制性的確認挑戰(zhàn)/響應協(xié)議�����,其中驗證者4600 (例如數(shù)據(jù)所有者)向證明者4610 (例如數(shù)據(jù)服務(wù)提供者)發(fā)出密碼挑戰(zhàn)4620���。在接收到挑戰(zhàn)4620以后�,證明者4610根據(jù)數(shù)據(jù)和挑戰(zhàn)來計算響應4612�。然后,挑戰(zhàn)響應4630被返回給驗證者4600�����,該驗證者4600然后執(zhí)行計算以驗證或證明該數(shù)據(jù)未曾被修改過4602��。在圖46中總體上示出的確認被稱為私有H)P����,但是應當注意,還存在“公開”版本�����,其中給第三方提供密鑰(“公”鑰)使得第三方充當根據(jù)類似協(xié)議的驗證者,而不必去了解實際數(shù)據(jù)��。P0R���,即驗證的一個示例�����,與PDP不同��,其中PDP提供數(shù)據(jù)是可檢索的證明(無論任何破壞/修改與否)�����,但是如下面30所示����,基本協(xié)議是相同的��,但是文檔的結(jié)構(gòu)和實際算法是不同的�����。此處的可信生態(tài)系統(tǒng)的各個實施方式組合可搜索加密和P0R/TOR以使系統(tǒng)收益并且鞏固信任�。就此,在將數(shù)據(jù)提交給服務(wù)提供者以前�,數(shù)據(jù)被可搜索地加密,并且對數(shù)據(jù)的后處理可以包括POR和/或TOP��。另外�,如果需要提供更力的保證,則“數(shù)據(jù)分散(dispersion)”技術(shù)可以可任選地覆蓋到上述任何一個或多個實施例中��。利用數(shù)據(jù)分散����,數(shù)據(jù)被分發(fā)給若干服務(wù)提供者以獲得對抗任何單個服務(wù)提供者中的“大規(guī)模不良行為”或者災難性損失的回復力。使用在此所示的信任機制���,該分散以使得獨立服務(wù)提供者難以串通和破壞數(shù)據(jù)的方式來執(zhí)行��。這類似于上述分布式CKG實施例的概念����。圖47是與用于來自發(fā)布者2530的數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)2520的遞送相聯(lián)系的可信存儲2500的另一示例性非限制性的框圖�����,該可信存儲2500包括具有確認和/或驗證的經(jīng)可搜索地加密的數(shù)據(jù)2510。具體而言�����,圖47示出了驗證組件4750��,其用于驗證返回給訂閱者2540的項目未被篡改或者以其他方式被不經(jīng)意地改變���。上述PDP是驗證的非限制性示例��。圖48是用于訂閱的包括確認步驟的示例性��、非限制性過程的流程圖����。在4800�,經(jīng)可搜索地加密的數(shù)據(jù)的子集被從訂閱者設(shè)備接收。在4810���,密碼密鑰信息被從密鑰生成實例中生成�,該密鑰生成實例基于訂閱者設(shè)備的身份信息生成該密碼密鑰信息����。在4820,根據(jù)在密碼密鑰信息中所定義的賦予給該訂閱者設(shè)備的能力�����,經(jīng)加密數(shù)據(jù)的子集被解密����。在4830,該子集中表示的項目的內(nèi)容可以被驗證(例如檢索能力的證明)�,并且數(shù)據(jù)在4840被訪問。圖49示出了示例性�����、非限制性的驗證挑戰(zhàn)/響應協(xié)議��,其中驗證者4900 (例如數(shù)據(jù)所有者)向證明者4910 (例如數(shù)據(jù)服務(wù)提供者)發(fā)出密碼挑戰(zhàn)4920���。在接收到挑戰(zhàn)4920以后��,證明者4910根據(jù)數(shù)據(jù)和挑戰(zhàn)來計算響應4912��。然后����,挑戰(zhàn)響應4930被返回給驗證者 4900,該驗證者4900然后執(zhí)行計算以驗證或證明該數(shù)據(jù)是可檢索的4902��。盲指紋表示擴展網(wǎng)絡(luò)去重復技術(shù)(諸如Rabin指紋)的另一類密碼技術(shù)��,網(wǎng)絡(luò)去重復技術(shù)通常用于最小化網(wǎng)絡(luò)上的冗余數(shù)據(jù)交換�。在本文的各實施例中,應用指紋化(fingerprinting)以使得該協(xié)議中的參與者(例如,在數(shù)據(jù)存儲的情況下是該CSP)不知曉它們正在主存的數(shù)據(jù)的實際內(nèi)容�����。對于關(guān)于盲指紋的某些附加上下文�����,數(shù)據(jù)跨越廣域網(wǎng)(WAN)的任何大數(shù)據(jù)交換(包括數(shù)據(jù)的維護)將需要用于通過線“去重復”的技術(shù)��,或者確保非必要數(shù)據(jù)不通過線發(fā)送�。通過將數(shù)據(jù)的片段指紋化,并隨后交換指紋以使得發(fā)送者知曉它們具有而接收者所不具有的東西���,來實現(xiàn)這一點���。而且,接收者知曉它們需要向發(fā)送者索要什么數(shù)據(jù)�。可使用分布式文件服務(wù)重復(DFS-R)來優(yōu)化各場景中的數(shù)據(jù)交換�����,諸如通過WAN的分支辦公室備份和分布式文件系統(tǒng)���。在交換的情況下��,存在大量數(shù)據(jù)重復��,并且在任何給定時間在線上的可能多達50%或者更多的數(shù)據(jù)可能是重復的�?����?稍趬K等級或在對象等級(例如����,電子郵件、日歷項��、任務(wù)�、聯(lián)系人等)獲得指紋??稍谥饕痛我獢?shù)據(jù)中心處高速緩存指紋�����。因此�,如果在主要數(shù)據(jù)中心處存在失敗,則次要數(shù)據(jù)連同指紋可被還原到主要數(shù)據(jù)中心����。主要數(shù)據(jù)中心處的數(shù)據(jù) 的加密仍應允許指紋對次要數(shù)據(jù)中心操作者可見,盡管是被模糊化的����。例如,這可以通過用可搜索加密將指紋存儲為關(guān)鍵詞/元數(shù)據(jù)來實現(xiàn)����,以使得除了次要數(shù)據(jù)中心中的授權(quán)實體/代理外,其他實體均不能夠檢測到模式��。在數(shù)據(jù)服務(wù)的上下文中�����,當發(fā)送全文或增量時����,主要數(shù)據(jù)中心可檢查日志或EDB中的每個項/片段/塊����,并咨詢指紋的本地副本�����。如果存在匹配�����,則該主要數(shù)據(jù)中心用該指紋取代該項/片段/塊�����。因為應用指紋化的方式�,術(shù)語“盲指紋”在本文中被如此稱呼�。在一個實施例中,用來實現(xiàn)盲指紋化的密碼技術(shù)選擇包括大小保留密碼技術(shù)�����。圖50是用于提供服務(wù)(包括盲指紋化(blind fingerprinting))的一個或多個實施例的總體環(huán)境的框圖��。使用盲指紋��,數(shù)據(jù)訂閱者5000和數(shù)據(jù)服務(wù)提供者5010經(jīng)歷指紋交換以作為代理來理解在被備份的數(shù)據(jù)集合的各本地和備份副本上已經(jīng)擁有什么數(shù)據(jù)片段。作為指紋交換5020的結(jié)果����,在5002確定要傳送的修改數(shù)據(jù)的減少集合作為到數(shù)據(jù)服務(wù)提供者5010的去重復修改數(shù)據(jù)5030,數(shù)據(jù)服務(wù)提供者5030然后基于選擇性地訪問經(jīng)去重復的修改數(shù)據(jù)和任何盲指紋5040來應用修改數(shù)據(jù)���。圖51是示出了非限制性場景的框圖����,在該場景中��,多個獨立的聯(lián)合信任覆蓋或者數(shù)字托管可以并排存在�����,或者針對分層方式彼此相疊地存在���。在該場景中��,存在具有經(jīng)可搜索地加密的數(shù)據(jù)5110的可信數(shù)據(jù)存儲5100����,各種網(wǎng)絡(luò)服務(wù)5120可以基于該數(shù)據(jù)5110。例如��,網(wǎng)絡(luò)服務(wù)5120可以包括作為云服務(wù)遞送文字處理軟件���。作為地理分布等的一部分�,可任選地����,可以提供多個覆蓋/托管5132�����、5134��、5136�����,這些覆蓋/托管每個都適應于不同的應用/垂直面/順應需要/統(tǒng)治實體要求�����,使得發(fā)布者2530或訂閱者5150基于要求的集合或管轄權(quán)/住所區(qū)域來隱式或顯示地選擇正確的覆蓋/托管��。因此���,該覆蓋可以改變����,但是來自云的后端服務(wù)可以保持不變,而不必使核心服務(wù)本身的遞送復雜化��。圖52是可信存儲的另一示例性�、非限制性實施例的框圖,該可信存儲包括用于針對非授權(quán)訪問模糊化(obscure)數(shù)據(jù)的數(shù)據(jù)分發(fā)技術(shù)�����。本示例展示提供加密技術(shù)作為用于隱藏或模糊化數(shù)據(jù)的手段的所有上述技術(shù)或系統(tǒng)也可通過阻止對數(shù)據(jù)(或元數(shù)據(jù))的
可見性的任何其他數(shù)學變換或算法來實現(xiàn)����。就此,例如�,可跨越一組數(shù)據(jù)存儲自動地整合(defragment)或分散數(shù)據(jù),該組數(shù)據(jù)存儲可以是相同類型的容器�����,或如圖52所示是不同類型的容器 5212����、5214����、......�����、5216����。因此該系統(tǒng)包括數(shù)據(jù)存儲5200,該數(shù)據(jù)存儲包括(作為抽象)用于選擇性地存儲可訪問數(shù)據(jù)或元數(shù)據(jù)5210的數(shù)據(jù)存儲5212�、5214����、……、5216��。發(fā)布者可將表示至少一個資源的數(shù)據(jù)或元數(shù)據(jù)5210發(fā)布到數(shù)據(jù)存儲5200��,并且第一獨立實體5250執(zhí)行可應用于如所發(fā)布的該數(shù)據(jù)和元數(shù)據(jù)的訪問信息的生成�����,并且第二獨立實體5260將如所發(fā)布的該數(shù)據(jù)和元數(shù)據(jù)跨越數(shù)據(jù)存儲5200的一組數(shù)據(jù)存儲發(fā)布,同時維護對存儲如所發(fā)布的該數(shù)據(jù)或元數(shù)據(jù)的該組數(shù)據(jù)存儲的知識�����。因此本知識是在無訪問信息的情況下可揭示的秘密�����??山?jīng)由網(wǎng)絡(luò)服務(wù)5220發(fā)布數(shù)據(jù)或元數(shù)據(jù)5210,該網(wǎng)絡(luò)服務(wù)5220基于由該至少一個資源的發(fā)布者或所有者所授予的并由訪問信息表示的所選擇的后期綁定特權(quán)對向該網(wǎng)絡(luò)服務(wù)的給定請求提供對如所發(fā)布的該數(shù)據(jù)或元數(shù)據(jù)的選擇性訪問��。該數(shù)據(jù)存儲5200包括相同或不同容器類型的多個容器�,而如所發(fā)布的該數(shù)據(jù)或元數(shù)據(jù)被跨越該多個容器中的至少一個容器自動分布。該分布可基于數(shù)據(jù)發(fā)布者5260已知的任何算法��,例如�,基于對由多個容器所表示的存儲資源的分析、基于該數(shù)據(jù)或元數(shù)據(jù)的特征����、或?qū)υ摻o定應用適當?shù)娜魏纹渌麉?shù)。相應地���,當訂閱者5240對數(shù)據(jù)或元數(shù)據(jù)5210做出請求時���,網(wǎng)絡(luò)服務(wù)咨詢獨立實體5250和/或5260以確定是否準許訂閱者5240具有允許重組該數(shù)據(jù)的訪問信息����。例如���,數(shù)據(jù)地圖可以是準許該數(shù)據(jù)的重組的秘密�?����?蓪⒋藢嵤├c其他數(shù)學變換(諸如加密)相組合以提供對該數(shù)據(jù)的附加保護�����。這種附加數(shù)學變換可由進一步的獨立實體監(jiān)督以用于信任的附加分布以獲得該數(shù)據(jù)除對授權(quán)方外保持不可見的進一步滿足���。在此描述了多種示例性、非限制性的實施例�����,這些實施例示出了可信數(shù)據(jù)服務(wù)的遞送���。這些實施例不是獨立的��,而是可以在合適時彼此組合�。另外,任何上述實施例都可以被擴展為多個可替代方式���。例如���,在一個實施例中,可信數(shù)據(jù)服務(wù)提供陷門或能力的到期和撤銷��,以獲得數(shù)據(jù)訪問的更大程度的安全性�。在另一任選實施例中,權(quán)限管理層被構(gòu)建到可信數(shù)據(jù)服務(wù)的提供中�����,例如以保護作為加密/解密的一部分附加于內(nèi)容的權(quán)限或者阻止在數(shù)據(jù)托管中對受版權(quán)保護數(shù)據(jù)的操作��,這些操作在明文中是可容易地識別或檢測的�����。因此�����,在本發(fā)明的范圍內(nèi)可以構(gòu)思在此所述的實施例的任何組合或置換。示例性�、非限定性的實施方式數(shù)字托管模式的任何示例性實施方式被稱為聯(lián)合信任覆蓋(FT0)。在附錄A中附有一些關(guān)于FTP實施方式的附加的非限制性細節(jié)���。就此而言����,數(shù)字托管模式僅僅是許多可能的模式和變型方案的一個示例�����。此外�,該模式(其包括發(fā)布者、訂閱者���、管理員和審計者——以及可能地其他專用角色�,這如上述那樣)在另一底層FTO模式上分層����,該底層FTO模式對CTP���、CSP�、CKG等等執(zhí)行“教會和州(church & state)”分離以維持信任。也可以存在多個獨立FTO和DEP�����,其可以在彼此不干涉并且甚至不知道彼此的存在的情況下共存��。而且����,可以在云存儲服務(wù)提供者不協(xié)作或者甚至不了解這些模式/覆蓋的存在的情況下在云存儲上覆蓋DEP和FTO。更詳細而言���,F(xiàn)TO是獨立于云中數(shù)據(jù)服務(wù)的服務(wù)集合�。這些服務(wù)由數(shù)據(jù)服務(wù)的運營商以外的多方來運行���,并且能夠提供關(guān)于針對由云服務(wù)主控的數(shù)據(jù)的機密性�����、篡改檢測和不可抵賴性的強力保證����。任何伙伴都可以構(gòu)造和主控這些覆蓋服務(wù),例如居間程序服務(wù)��、確認服務(wù)�、存儲抽象服務(wù)等等。這些伙伴可以選擇主控參考實施方式或者基于公開可用的格式和協(xié)議來構(gòu)造其自己的實施方式��。由于格式����、協(xié)議和參考實施方式的公開性質(zhì),可用直接維持諸如FTO的運營商和數(shù)據(jù)所有者之類的多方間的控制的分離�����。盡管加密是該解決方案的一個元素����,但是在不同方的范圍內(nèi)聯(lián)合的服務(wù)的組織也是該解決方案的一部分。盡管常規(guī)的加密技術(shù)對于許多場景而言是強制性的���,但是它們排除了實現(xiàn)這些場景中的許多場景�,比如篡改檢測�����、不可抵賴性�、通過組織多個(不受信任)的服務(wù)構(gòu)建信任、搜索數(shù)據(jù)庫等等�。補充上下文如上所述,對于某些附加的非限制性上下文而言��,可信云供應集合為構(gòu)建于信任之上的云實現(xiàn)了應用生態(tài)系統(tǒng)�。在此所使用的各種技術(shù)包括CKG——密鑰生成中心,一種實體���,其主控多承租人密鑰生成中心�,例如Microsoft��、VeriSign��、Fidelity (保真度)����、ASovereign Entity (統(tǒng)治實體)、Enterprise (企業(yè))���、Compliance Entity (順應實體)等中的任一都可以主控CKG�。就此而言,多承租人是任選的(例如期望但不是強制性的)�。其他術(shù)語包括CTP——密碼技術(shù)提供者,一種實體����,其提供加密技術(shù)以供與受信生態(tài)系統(tǒng)一起使用,例如 Symantec��、Certicom��、Voltage�����、PGP 公司�����、BitArmor���、Enterprise���、Guardian、SovereignEntity等等中的任一是可以為CTP的示例性公司�。另外,術(shù)語“CSP”——云服務(wù)提供者是提供包括存儲在內(nèi)的云服務(wù)的實體。各種公司可以提供這樣的數(shù)據(jù)服務(wù)�����。CIV—云索引確認器是用于確認所返回的索引的第二庫�����。CSA——計算和存儲抽象對存儲后端進行抽象����。STF——存儲傳輸格式是用于跨多個庫傳輸數(shù)據(jù)/元數(shù)據(jù)的通用格式����。就此,如上所述�,一些企業(yè)場景包括使用數(shù)據(jù)服務(wù)技術(shù)或應用的工程外聯(lián)網(wǎng);設(shè)計和工程分析���;定義制造商和供應商間的數(shù)據(jù)關(guān)系等等��。因此�,通過將信任分布在多個實體的范圍內(nèi)使得不存在過分摂受信任的實體或單點損害來為全部多個場景實現(xiàn)了唯一的生態(tài)系統(tǒng)�����。
對于關(guān)于可搜索加密的某些補充上下文而言,用戶通常具有或獲得針對關(guān)鍵詞的“能力”或“陷門”���,并且然后發(fā)送請求�,其中使用該“能力”將其呈現(xiàn)給服務(wù)器�����。服務(wù)器“組合”能力和索引以找出相關(guān)的文檔或數(shù)據(jù)���。然后�,僅僅給用戶提供對由該搜索產(chǎn)生的文檔的訪問(雖然用戶可以訪問不止這些文檔)�。如所提到的那樣,不應當認為單個算法限制了在此所述的經(jīng)可搜索地加密的數(shù)據(jù)存儲的提供�,然而,下面總體上概述了示例性非限制性算法后面的一些理論���,并且提供了可搜索對稱加密(SSE)模式的初步知識 消息m
關(guān)鍵詞 J1, . . .��,Wn PRF:H 生成托管密鑰 針對H選擇隨機S 加密 選擇隨機密鑰K 選擇隨機固定長度r 對于 KiSn計算Si=Hs (Wi)計算IDi=Hai (r)計算Ci= bi flag輸出(Ek(m), r, C1, . . . , cn) 針對w生成陷門或能力 d=HSJ (W) 針對w進行測試 計算 p=Hd (r) 計算 Z = p Ci 如果z=f lag���,則輸出“真” 對Ek(m)進行解密以獲得m盡管再次不應當認為限制了在此所述的任何實施例�����,但是下面是關(guān)于公鑰加密w/關(guān)鍵詞搜索(PEKS)模式的初步知識�����。公鑰加密a. PKE= (Gen, Enc, Dec)基于身份的加密b. IBE= (Gen, Enc, Extract, Dec)c.生成主密鑰i. (msk, mpk) =IBE. Gen ()d.針對ID對m進行加密i. C=IBE. Enc (mpk, ID, m)e.針對ID生成秘密密鑰i. sk=IBE. Extract (msk, ID)
f.解密i. m=IBE. Dec (sk, c)g.消息mh.關(guān)鍵詞 w����,. . .����,wni.生成托管密鑰i. (msk, mpk) =IBE. Gen ()ii(pk, sk) =PKE. Gen ()j.加密 k.對于 KiSni. Ci=IBE. Enc (mpk, Wi, flag)I 返回(PKE. Enc (pk, m)�,C1, , cn)m.為w生成能力或陷門i. d=IBE. Extract (msk, w)n.針對w進行測試0.對于 KiSni. Z=IBE. Dec (d, Ci)ii如果z=flag,則輸出“真”對Ek (m)進行解密以獲得m示例性聯(lián)網(wǎng)以及分布式環(huán)境本領(lǐng)域普通技術(shù)人員可以理解,此處所描述的用于可信云服務(wù)框架的方法和設(shè)備的各實施例和有關(guān)的各實施例可以結(jié)合任何計算機或其它客戶端或服務(wù)器設(shè)備來實現(xiàn)���,該任何計算機或其它客戶端或服務(wù)器設(shè)備可作為計算機網(wǎng)絡(luò)的一部分來部署或者被部署在分布式計算環(huán)境中���,并且可以連接到任何種類的數(shù)據(jù)存儲。在這一點上���,此處描述的各實施例可在具有任何數(shù)量的存儲器或存儲單元的�、并且任何數(shù)量的應用和進程跨任何數(shù)量的存儲單元發(fā)生的任何計算機系統(tǒng)或環(huán)境中實現(xiàn)。這包括但不限于具有部署在具有遠程或本地存儲的網(wǎng)絡(luò)環(huán)境或分布式計算環(huán)境中的服務(wù)器計算機和客戶計算機的環(huán)境����。附圖53提供了示例性聯(lián)網(wǎng)或分布式計算環(huán)境的非限制性性示意圖。該分布式計算環(huán)境包括計算對象5310�����、5312等以及計算對象或設(shè)備5320�、5322、5324����、5326、5328等���,這些計算對象或設(shè)備可包括如由應用程序5330�、5332��、5334���、5336��、5338表示的程序���、方法�����、數(shù)據(jù)存儲�����、可編程邏輯等�。能夠理解���,對象5310��、5312等以及計算對象或設(shè)備5320、5322�����、5324���、5326�����、5328等可包括不同的設(shè)備�,比如PDA、音頻/視頻設(shè)備�����、移動電話���、MP3播放器��、膝上型計算機等��。每一個對象5310��、5312等以及計算對象或設(shè)備5320��、5322���、5324、5326�、5328等可通過通信網(wǎng)絡(luò)5340直接或間接與一個或多個其他對象5310、5312等以及計算對象或設(shè)備5320���、5322��、5324��、5326��、5328等進行通信����。即使在圖53中被示為單個元件,但網(wǎng)絡(luò)5340可包括向圖53的系統(tǒng)提供服務(wù)的其他計算對象或解釋設(shè)備����,和/或可表示未示出的多個互連網(wǎng)絡(luò)。每個對象5310����、5312等或5320、5322�、5324、5326��、5328等還可包含諸如應用程序5330�、5332�、5334、5336���、5338之類的應用程序�����,該應用程序可利用API或適用于與根據(jù)本發(fā)明的各實施例來提供的可信云計算服務(wù)進行通信或適用于實現(xiàn)可信云計算服務(wù)的其他對象�、軟件、固件和/或硬件�。存在支持分布式計算環(huán)境的各種系統(tǒng)、組件和網(wǎng)絡(luò)配置�����。例如���,計算系統(tǒng)可由有線或無線系統(tǒng)��、本地網(wǎng)絡(luò)或廣泛分布的網(wǎng)絡(luò)連接在一起�。當前�����,許多網(wǎng)絡(luò)被耦合至因特網(wǎng)�����,后者為廣泛分布的計算提供了基礎(chǔ)結(jié)構(gòu)并包含許多不同的網(wǎng)絡(luò),但任何網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)可用于變得與如各實施例中所描述的技術(shù)相關(guān)聯(lián)的示例性通信��。由此��,可使用諸如客戶端/服務(wù)器���、對等�����、或混合體系結(jié)構(gòu)之類的網(wǎng)絡(luò)拓撲結(jié)構(gòu)和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的主機�����。在客戶端/服務(wù)器體系結(jié)構(gòu)中����,尤其在聯(lián)網(wǎng)系統(tǒng)中��,客戶端通常是訪問另一計算機(例如�,服務(wù)器)所提供的共享網(wǎng)絡(luò)資源的計算機。在圖53的圖示中��,作為非限制性示例�����,計算機5320����、5322、5324�����、5326����、5328等可被認為是客戶端而計算機5310、5312等可被認為是服務(wù)器�����,其中服務(wù)器5310�����、5312等提供數(shù)據(jù)服務(wù)�,諸如從客戶端計算機5320、5322、5324����、5326、5328等接收數(shù)據(jù)����、存儲數(shù)據(jù)、處理數(shù)據(jù)���、向客戶端計算機5320����、5322�����、5324�����、5326�����、5328發(fā)送數(shù)據(jù)等,但任何計算機都可取決于環(huán)境而被認為是客戶端���、服務(wù)器或兩者。這些計算設(shè)備中的任一個都可以處理數(shù)據(jù)���,或請求可指示此處所描述的技術(shù)的 經(jīng)改善的用戶簡檔和相關(guān)技術(shù)的服務(wù)或任務(wù)���。服務(wù)器通常是可通過諸如因特網(wǎng)或無線網(wǎng)絡(luò)基礎(chǔ)架構(gòu)之類的遠程網(wǎng)絡(luò)或本地網(wǎng)絡(luò)訪問的遠程計算機系統(tǒng)??蛻舳诉M程可在第一計算機系統(tǒng)中活動,而服務(wù)器進程可在第二計算機系統(tǒng)中活動���,它們通過通信介質(zhì)相互通信�,由此提供分布式功能并允許多個客戶端利用服務(wù)器的信息收集能力�����。按照用戶簡檔來利用的任何軟件對象可以單獨提供或跨多個計算設(shè)備或?qū)ο蠓植?��。在其中通信網(wǎng)絡(luò)/總線5340是因特網(wǎng)的網(wǎng)絡(luò)環(huán)境中�����,服務(wù)器5310����、5312等可以是客戶端5320、5322�����、5324��、5326��、5328等通過諸如超文本傳輸協(xié)議(HTTP)等多種已知協(xié)議中的任一種與其通信的web服務(wù)器�。服務(wù)器5310、5312等也可擔當客戶端5320�����、5322�����、5324���、5326��、5328等���,這是分布式計算環(huán)境的特性���。示例性計算設(shè)備如所提到的那樣,此處描述的各實施例適用于其中可能期望實現(xiàn)可信云服務(wù)框架的一個或多個部分的任何設(shè)備����。因此�,應當理解,構(gòu)思了結(jié)合此處描述的各實施例使用的手持式����、便攜式和其它計算設(shè)備和計算對象,即在設(shè)備可以結(jié)合可信云服務(wù)框架來提供某些功能的任何地方��。因此�,在下面的圖54中描述的以下通用遠程計算機僅是一個示例,且所公開的主題的各實施例可用具有網(wǎng)絡(luò)/總線互操作性和交互的任何客戶端來實現(xiàn)���。盡管并不是必需的��,但各實施例的任意一個可以部分地經(jīng)由操作系統(tǒng)來實現(xiàn)��,以供設(shè)備或?qū)ο蟮姆?wù)開發(fā)者使用���,和/或被包括在結(jié)合可操作組件來操作的應用軟件中�����。軟件可以在由諸如客戶端工作站���、服務(wù)器或其它設(shè)備等一個或多個計算機執(zhí)行的諸如程序模塊等計算機可執(zhí)行指令的通用上下文中描述。本領(lǐng)域的技術(shù)人員可以理解�,網(wǎng)絡(luò)交互可以用各種計算機系統(tǒng)配置和協(xié)議來實施。因此�,圖54示出了其中可實現(xiàn)一個或多個實施例的合適的計算系統(tǒng)環(huán)境5400的一個示例,盡管如上所述�,計算系統(tǒng)環(huán)境5400僅為合適的計算環(huán)境的一個示例,并非旨在對各實施例中的任意一個的使用范圍或功能提出任何限制���。也不應該將計算環(huán)境5400解釋為對示例性操作環(huán)境5400中示出的任一組件或其組合有任何依賴性或要求�。參考圖54�����,用于實現(xiàn)此處的一個或多個實施例的示例性遠程設(shè)備可以包括手持式計算機5410形式的通用計算設(shè)備�。手持式計算機5410的組件可以包括但不限于處理單元5420���、系統(tǒng)存儲器5430和將包括系統(tǒng)存儲器在內(nèi)的各種系統(tǒng)組件耦合至處理單元5420的系統(tǒng)總線5421。計算機5410通常包括各種計算機可讀介質(zhì)���,并且可以是可由計算機5410訪問的任何可用介質(zhì)�。系統(tǒng)存儲器5430可包括諸如只讀存儲器(ROM)和/或隨機存取存儲器(RAM)之類的易失性和/或非易失性存儲器形式的計算機存儲介質(zhì)����。作為示例而非限制性,存儲器5430還可以包括操作系統(tǒng)�、應用程序��、其他程序模塊�、和程序數(shù)據(jù)。
用戶可以通過輸入設(shè)備5440向計算機5410輸入命令和信息���。監(jiān)視器或其他類型的顯示設(shè)備也經(jīng)由諸如輸出接口 5450之類的接口連接到系統(tǒng)總線5421���。除監(jiān)視器之外,計算機還可以包括其他外圍輸出設(shè)備���,如揚聲器和打印機��,它們可以通過輸出接口 5450連接���。計算機5410可使用到一個或多個其他遠程計算機(諸如遠程計算機5470)的邏輯連接在聯(lián)網(wǎng)或分布式環(huán)境中操作�。遠程計算機5470可以是個人計算機�����、服務(wù)器���、路由器����、網(wǎng)絡(luò)PC��、對等設(shè)備或其他常見網(wǎng)絡(luò)節(jié)點����、或者任何其他遠程媒體消費或傳輸設(shè)備,并且可包括以上關(guān)于計算機5410所述的任何或全部元件�����。圖54所示的邏輯連接包括諸如局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)之類的網(wǎng)絡(luò)5471,但也可包括其他網(wǎng)絡(luò)/總線���。這些聯(lián)網(wǎng)環(huán)境在家庭�、辦公室�����、企業(yè)范圍的計算機網(wǎng)絡(luò)�、內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中是常見的。如上所述����,盡管結(jié)合各計算設(shè)備、網(wǎng)絡(luò)和廣告架構(gòu)描述了示例性實施例�,但還可將底層概念應用于其中期望結(jié)合與云服務(wù)的交互來提供信任的任何網(wǎng)絡(luò)系統(tǒng)和任何計算設(shè)備或系統(tǒng)。有多種實現(xiàn)此處描述的一個或多個實施例的方式�����,例如���,使應用和服務(wù)能使用可信云服務(wù)框架的適當API、工具包�����、驅(qū)動程序代碼、操作系統(tǒng)�����、控件���、獨立或可下載的軟件對象等等��?���?梢詮腁PI (或其他軟件對象)的觀點以及從提供根據(jù)所描述的實施例中的一個或多個的定點平臺的軟件或硬件對象來構(gòu)想各實施例�����。此處描述的各種實現(xiàn)和實施例可以具有完全采用硬件��、部分采用硬件并且部分采用軟件���、以及采用軟件的方面��。本文中所使用的詞語“示例性”意味著用作示例�、實例、或說明����。為避免疑惑,本文所公開的主題不限于這些示例��。另外�,本文中被描述為“示例性”的任何方面或設(shè)計不一定被解釋為比其他方面或設(shè)計更優(yōu)選或有利,它也不意味著排除本領(lǐng)域普通技術(shù)人員已知的等效示例性結(jié)構(gòu)和技術(shù)�。而且,就術(shù)語“包括”���、“具有”���、“包含”和其他類似的詞語在詳細描述或權(quán)利要求書中的使用而言,為避免疑惑�����,這樣的術(shù)語旨在以類似于術(shù)語“包括”作為開放的過渡詞的方式解釋而不排除任何附加或其他元素�����。如所述的��,此處所述的各種技術(shù)可結(jié)合硬件或軟件或���,在適當時�,以兩者的組合來實現(xiàn)�����。如此處所使用的�����,術(shù)語“組件”��、“系統(tǒng)”等同樣旨在指計算機相關(guān)實體�����,或者是硬件��、硬件和軟件的組合�����、軟件或者是執(zhí)行中的軟件���。例如����,組件可以是,但不限于是�����,在處理器上運行的進程����、處理器、對象�����、可執(zhí)行碼��、執(zhí)行的線程���、程序和/或計算機����。作為說明�,在計算機上運行的應用和計算機都可以是組件。一個或多個組件可以駐留在進程和/或執(zhí)行線程中���,并且組件可以位于一個計算機內(nèi)和/或分布在兩個或更多計算機之間����。如前所述的系統(tǒng)已經(jīng)參考若干組件之間的交互來描述����。可以理解�,這些系統(tǒng)和組件可包括組件或指定的子組件、某些指定的組件或子組件和/或附加的組件����,并且根據(jù)上述內(nèi)容的各種置換和組合。子組件還可作為通信地耦合到其他組件的組件來實現(xiàn)�����,而不是被包括在父組件內(nèi)(層次性)����。另外,應該注意�,一個或多個組件也可以合并到提供聚合功能的單一組件中�����,或者也可以分成多個單獨的子組件��,并且�����,可以提供諸如管理層之類的任何一個或更多中間層�,以可通信地耦合到這樣的子組件�,以便提供集成的功能。此處所述的任何組件也可與一個或多個此處未專門描述的但本領(lǐng)域技術(shù)人員一般已知的其他組件進行交互�。考慮到以上描述的示例性系統(tǒng)����,參考各附圖的流程圖將可以更好地理解依照所公開的主題實現(xiàn)的方法。盡管為了說明簡潔起見�����,按照一系列框示出和描述了方法���,但是���,應該理解和知道�,所要求保護的主題不限于框的順序�����,因為一些框可以按與此處所描繪和描述的不同的順序進行和/或與其它框并發(fā)地進行��。盡管經(jīng)由流程圖示出了非順序或分支的流程�,但可以理解�,可實現(xiàn)達到相同或類似結(jié)果的各種其他分支、流程路徑和框的次序�����。此夕卜��,并非全部所示的框都是實現(xiàn)下面所述的方法所必需的���。雖然在某些實施例中���,說明了客戶端側(cè)觀點,但要出于避免存在相對應的服務(wù)器觀點的疑問來理解,反之亦然����。類似地,在實施方法的地方��,可以提供具有存儲和被配置成經(jīng)由一個或多個組件實施該方法的至少一個處理器的相對應的設(shè)備���。盡管結(jié)合各附圖的優(yōu)選實施例描述了各實施例��,但可以理解�����,可以使用其他類似的實施例�,或可以對所描述的實施例進行修改和添加來執(zhí)行相同的功能而不背離本發(fā)明��。而且�,此處描述的各實施例的一個或多個方面可以在多個處理芯片或設(shè)備中實現(xiàn)或跨多個處理芯片或設(shè)備實現(xiàn),且存儲可以類似地跨多個設(shè)備來實現(xiàn)�����。因此�,本發(fā)明不應限于任何單個實施例,而是應該根據(jù)所附權(quán)利要求書的廣度和范圍來解釋。
權(quán)利要求
1.一種用于主存數(shù)據(jù)的方法�����,包括 通過第一控制區(qū)域中的至少ー個計算設(shè)備從第二控制區(qū)域中的至少ー個計算設(shè)備接收經(jīng)模糊化的數(shù)據(jù)���,所述經(jīng)模糊化的數(shù)據(jù)是針對所述第二控制區(qū)域中的所述至少一個計算設(shè)備的所定義的數(shù)據(jù)集合從數(shù)據(jù)的至少ー個第一數(shù)學變換形成的����; 通過所述第一控制區(qū)域中的所述至少ー個計算設(shè)備接收經(jīng)模糊化的元數(shù)據(jù)�,所述經(jīng)模糊化的元數(shù)據(jù)是從對所述數(shù)據(jù)的分析以及所述分析的輸出的至少ー個第二數(shù)學變換形成的�;以及 確定在其中存儲所述經(jīng)模糊化的數(shù)據(jù)或所述經(jīng)模糊化的元數(shù)據(jù)中的至少ー個的至少兩個不同容器類型的多個容器中的至少ー個容器。
2.如權(quán)利要求I所述的方法����,其特征在于,所述經(jīng)模糊化的數(shù)據(jù)的接收包括接收基于密碼密鑰信息根據(jù)至少一個可搜索加密算法從所述數(shù)據(jù)的至少ー個加密形成的經(jīng)加密的數(shù)據(jù)�。
3.如權(quán)利要求I所述的方法,其特征在于��,所述經(jīng)模糊化的元數(shù)據(jù)的接收包括接收基于密碼密鑰信息根據(jù)對所述數(shù)據(jù)的所述分析以及所述分析的所述輸出的所述至少ー個第ニ數(shù)學變換形成的經(jīng)加密的元數(shù)據(jù)����。
4.如權(quán)利要求I所述的方法,其特征在于,還包括 如果滿足所述多個容器的預定義的條件�����,則自動改變其中存儲所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)的所述至少ー個容器�����。
5.如權(quán)利要求I所述的方法��,其特征在于��,所述確定包括基于以下各項中的至少ー項來確定其中存儲所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)的至少ー個容器與所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)相關(guān)聯(lián)的存儲大小�����、為所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)指定的訪問速度要求�、為所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)指定的恢復可靠性要求、或與具有對所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)的訪問權(quán)的一個或多個設(shè)備的鄰近性�。
6.如權(quán)利要求I所述的方法,其特征在于���,還包括 接收陷門數(shù)據(jù)��,所述陷門數(shù)據(jù)允許如由所述陷門數(shù)據(jù)的至少ー個密碼陷門所定義的對所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)的可見訪問���。
7.如權(quán)利要求I所述的方法�����,其特征在于�����,還包括 接收從所述所定義的數(shù)據(jù)集合還原至少ー個數(shù)據(jù)項的請求��; 接收用于從所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)提取所述至少一個數(shù)據(jù)項的至少ー個陷門�����;以及 如果所述至少ー個陷門有效,則從所述經(jīng)模糊化的數(shù)據(jù)或經(jīng)模糊化的元數(shù)據(jù)提取并傳送所述至少ー個數(shù)據(jù)項����。
8.一種系統(tǒng),包括 至少部分由數(shù)學變換算法提供者分布的至少ー個數(shù)學變換組件,其獨立于生成器實現(xiàn)��,所述生成器生成用于發(fā)布數(shù)據(jù)和元數(shù)據(jù)或訂閱數(shù)據(jù)或元數(shù)據(jù)中的至少ー項的數(shù)學變換斷言信息�����,所述至少ー個數(shù)學變換組件包括被配置成基于由所述生成器生成的所述數(shù)學變換斷言信息來執(zhí)行至少ー個可捜索數(shù)據(jù)模糊化算法或可捜索數(shù)據(jù)掲示算法的至少ー個處理器;以及網(wǎng)絡(luò)服務(wù)提供者�,其獨立于所述生成器和所述至少ー個數(shù)學變換組件實現(xiàn),所述網(wǎng)絡(luò)服務(wù)提供者包括被配置成針對由所述至少ー個數(shù)學變換組件模糊化的數(shù)據(jù)或元數(shù)據(jù)實現(xiàn)網(wǎng)絡(luò)服務(wù)�����,所述網(wǎng)絡(luò)服務(wù)提供者包括數(shù)據(jù)容器管理組件����,所述數(shù)據(jù)容器管理組件基于數(shù)據(jù)等待時間要求、數(shù)據(jù)可靠性要求��、距數(shù)據(jù)消耗的距離要求或所述網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)規(guī)模要求中的至少ー項來管理由所述至少ー個數(shù)學變換組件模糊化的所述數(shù)據(jù)或所述元數(shù)據(jù)被存儲在何處����。
9.如權(quán)利要求8所述的系統(tǒng),其特征在于�,所述至少ー個數(shù)學變換組件是至少部分由密碼技術(shù)提供者分布的至少ー個密碼組件,其獨立于密鑰生成器實現(xiàn)����,所述密鑰生成器生成用于所述發(fā)布所述數(shù)據(jù)和所述元數(shù)據(jù)或所述訂閱所述數(shù)據(jù)和所述元數(shù)據(jù)中的至少ー項的密鑰信息,所述至少一個處理器被配置成基于由所述密鑰生成器生成的所述密鑰信息來執(zhí)行至少ー個可捜索加密算法或可捜索解密算法���。
10.如權(quán)利要求8所述的系統(tǒng)����,其特征在于,所述網(wǎng)絡(luò)服務(wù)提供者包括被配置成針對由 所述至少一個密碼組件加密的所述數(shù)據(jù)或元數(shù)據(jù)實現(xiàn)所述網(wǎng)絡(luò)服務(wù)的至少ー個處理器�����,所述網(wǎng)絡(luò)服務(wù)提供者包括管理由所述至少一個密碼組件加密的所述數(shù)據(jù)或元數(shù)據(jù)被存儲在何處的所述數(shù)據(jù)容器管理組件����。
11.如權(quán)利要求8所述的系統(tǒng),其特征在于�����,所述數(shù)據(jù)容器管理組件基于以下各項中至少ー項來管理由所述至少ー個數(shù)學變換組件模糊化的所述數(shù)據(jù)或元數(shù)據(jù)被存儲在何處為所述網(wǎng)絡(luò)服務(wù)提供者對所述網(wǎng)絡(luò)服務(wù)的遞送指定的數(shù)據(jù)等待時間要求����、為所述網(wǎng)絡(luò)服務(wù)對所述數(shù)據(jù)或元數(shù)據(jù)的存儲所指定的數(shù)據(jù)可靠性要求���、為所述網(wǎng)絡(luò)服務(wù)將所述數(shù)據(jù)或元數(shù)據(jù)傳送到ー個或多個請求設(shè)備指定的距數(shù)據(jù)消耗的距離要求�����、或為所述網(wǎng)絡(luò)服務(wù)對數(shù)據(jù)或所述元數(shù)據(jù)的存儲指定的數(shù)據(jù)規(guī)模要求��。
12.如權(quán)利要求8所述的系統(tǒng)��,其特征在干�,所述密鑰信息包括能力信息,所述能力信息針對由所述至少ー個數(shù)學變換組件加密的所述數(shù)據(jù)或所述元數(shù)據(jù)定義訪問特權(quán)�����。
13.如權(quán)利要求12所述的系統(tǒng)�,其特征在于,所述能力信息被后期綁定�����,由此向給定訂閱者授予最新的訪問特權(quán)����。
14.ー種計算系統(tǒng),包括 存儲可選擇性地訪問的數(shù)據(jù)或元數(shù)據(jù)的至少ー個數(shù)據(jù)存儲��,其中至少ー個發(fā)布者向所述至少一個數(shù)據(jù)存儲發(fā)布表示至少ー個資源的所述數(shù)據(jù)或元數(shù)據(jù)���,第一獨立實體執(zhí)行對如所發(fā)布的所述數(shù)據(jù)或所述元數(shù)據(jù)可適用的訪問信息的生成�,而第二獨立實體跨越所述至少一個數(shù)據(jù)存儲中的ー組數(shù)據(jù)存儲分布如所發(fā)布的所述數(shù)據(jù)或所述元數(shù)據(jù)�����,同時將存儲如所發(fā)布的所述數(shù)據(jù)或所述元數(shù)據(jù)的所述那組數(shù)據(jù)存儲的知識維持為不能在沒有訪問信息的情況下被掲示的秘密;以及 被配置成執(zhí)行網(wǎng)絡(luò)服務(wù)的至少ー個處理器���,所述網(wǎng)絡(luò)服務(wù)基于由所述至少一個資源的所述至少一個發(fā)布者或至少ー個所有者中的至少ー個所授予的并由所述訪問信息表示的后期綁定的所選擇的特權(quán)來為對所述網(wǎng)絡(luò)服務(wù)的給定請求提供對如所發(fā)布的所述數(shù)據(jù)或所述元數(shù)據(jù)的選擇性訪問�����, 其中所述至少ー個數(shù)據(jù)存儲包括多個容器����,且如所發(fā)布的所述數(shù)據(jù)或所述元數(shù)據(jù)被跨越所述多個容器中的至少ー個容器自動分布��。
15.如權(quán)利要求14所述的系統(tǒng)��,其特征在于���,所述至少ー個數(shù)據(jù)存儲包括不同容器類型的多個容器��。
全文摘要
提供用于數(shù)據(jù)服務(wù)的數(shù)字托管模式和可信平臺��,該數(shù)據(jù)服務(wù)包括用于模糊化存儲在遠程站點或在云服務(wù)中的數(shù)據(jù)、跨多個實體分布信任以避免單點數(shù)據(jù)損害的數(shù)學變換技術(shù)����,諸如可搜索加密技術(shù)�。使用可信平臺的技術(shù)��,將數(shù)據(jù)(以及相關(guān)聯(lián)的元數(shù)據(jù))從保存該數(shù)據(jù)的容器(例如����,文件系統(tǒng),數(shù)據(jù)庫等)分離����,從而通過施加用所呈現(xiàn)的能力刺穿的數(shù)學復雜度保護罩來允許該數(shù)據(jù)擔當它自己的管理者,所呈現(xiàn)的能力諸如是由信任平臺的密碼密鑰生成器所授予的密鑰���。以保持并擴展信任而不需要特定容器來實施的方式���,促進對數(shù)據(jù)或該數(shù)據(jù)的子集的共享或訪問。
文檔編號G06F15/16GK102687133SQ201080051694
公開日2012年9月19日 申請日期2010年10月29日 優(yōu)先權(quán)日2009年11月16日
發(fā)明者D·J·坎農(nóng), R·P·德索扎, R·V·奧拉德卡 申請人:微軟公司