數(shù)據(jù)安全管理系統(tǒng)的制作方法
【專利說(shuō)明】數(shù)據(jù)安全管理系統(tǒng)
[0001]相關(guān)申請(qǐng)交叉引用
[0002]本申請(qǐng)要求享有于2012年9月10日提交的序列號(hào)為61/699�����,274的美國(guó)臨時(shí)專利申請(qǐng)的利益�,其內(nèi)容完全以引用方式并入本申請(qǐng)。
技術(shù)領(lǐng)域
[0004]本專利申請(qǐng)一般涉及數(shù)據(jù)管理技術(shù)��,更具體地涉及一種數(shù)據(jù)安全管理系統(tǒng)��,該系統(tǒng)為云計(jì)算應(yīng)用提供額外的安全,并允許用戶在任何時(shí)間從任何地點(diǎn)控制存在于任何設(shè)備的數(shù)據(jù)的數(shù)據(jù)安全性�。
【背景技術(shù)】
[0006]世界上超過(guò)60%的公司首席信息官擔(dān)心云計(jì)算的安全性,特別是云數(shù)據(jù)的安全性����。關(guān)于云計(jì)算的數(shù)據(jù)安全的主要問(wèn)題之一是,存在于云數(shù)據(jù)中心的數(shù)據(jù)可以通過(guò)云數(shù)據(jù)中心服務(wù)提供商的員工及第三方承包商訪問(wèn)�。因此,希望允許用戶在任何時(shí)間從任何地點(diǎn)控制存在于任何設(shè)備的數(shù)據(jù)的數(shù)據(jù)安全性����,這些設(shè)備可包括云數(shù)據(jù)中心、終端設(shè)備�����、USB設(shè)備等���。
【發(fā)明內(nèi)容】
[0008]本專利申請(qǐng)涉及一種數(shù)據(jù)安全管理系統(tǒng)���。該系統(tǒng)包括:安全服務(wù)器,配置為存儲(chǔ)一個(gè)或多個(gè)用于加密一個(gè)或多個(gè)文件或任何數(shù)據(jù)以及一個(gè)或多個(gè)解密密鑰用于解密相應(yīng)的加密文件或數(shù)據(jù)�;一個(gè)或多個(gè)第一計(jì)算裝置,配置為發(fā)送攜帶授權(quán)限制的訪問(wèn)授權(quán)列表到所述安全服務(wù)器��、向所述安全服務(wù)器請(qǐng)求加密密鑰、以及利用從所述安全服務(wù)器接收到的所述加密密鑰加密一個(gè)或多個(gè)文件或數(shù)據(jù)���;一個(gè)或多個(gè)第二計(jì)算裝置,配置為向所述安全服務(wù)器請(qǐng)求解密密鑰��、并使用從所述安全服務(wù)器接收到的所述解密密鑰解密一個(gè)或多個(gè)加密文件�;和云存儲(chǔ)或任何數(shù)據(jù)存儲(chǔ),配置為在使用所述第一計(jì)算裝置的第一用戶和使用所述第二計(jì)算裝置的第二用戶之間共享所述文件����。所述安全服務(wù)器配置為根據(jù)驗(yàn)證所述第二用戶是否在所述訪問(wèn)授權(quán)列表及在所述授權(quán)限制內(nèi)來(lái)確定是否將所述解密密鑰發(fā)送給所述第二計(jì)算裝置。
【附圖說(shuō)明】
[0010]圖1示出了根據(jù)本專利申請(qǐng)一種實(shí)施例的作為數(shù)據(jù)安全管理系統(tǒng)的一部分的基于計(jì)算機(jī)的應(yīng)用程序�����。
[0011]圖2示出了根據(jù)本專利申請(qǐng)一種實(shí)施例的數(shù)據(jù)安全管理系統(tǒng)的操作�。
[0012]圖3示出了根據(jù)本專利申請(qǐng)一種實(shí)施例的數(shù)據(jù)安全管理系統(tǒng)的基礎(chǔ)體系結(jié)構(gòu)。
[0013]圖4示出了根據(jù)本專利申請(qǐng)一種實(shí)施例的在uSave App和安全服務(wù)器之間的通信處理以完成在數(shù)據(jù)安全管理系統(tǒng)中的文件加密�����。
[0014]圖5示出了根據(jù)本專利申請(qǐng)一種實(shí)施例的在uSave App和安全服務(wù)器之間的通信處理以完成在數(shù)據(jù)安全管理系統(tǒng)中的文件解密���。
[0015]詳細(xì)說(shuō)明
[0016]現(xiàn)在將參考本專利申請(qǐng)中披露的數(shù)據(jù)安全管理系統(tǒng)的優(yōu)選實(shí)施方式進(jìn)行詳細(xì)說(shuō)明�����,這些例子也將在隨后的說(shuō)明中給出�。盡管為了清楚起見(jiàn),某些對(duì)于理解數(shù)據(jù)安全管理系統(tǒng)來(lái)說(shuō)并非特別重要的技術(shù)特征未呈現(xiàn)出來(lái)�����,但是對(duì)于相關(guān)領(lǐng)域技術(shù)人員而言�,它們是顯而易見(jiàn)的。
[0017]此外��,應(yīng)當(dāng)理解�,本專利申請(qǐng)中披露的數(shù)據(jù)安全管理系統(tǒng)并不限于以下描述的具體實(shí)施例,本領(lǐng)域技術(shù)人員可以在不脫離本申請(qǐng)保護(hù)的實(shí)質(zhì)或范圍的情況下進(jìn)行各種改變和修改���。例如��,不同的說(shuō)明性實(shí)施例的元件和/或特征可以在本申請(qǐng)的范圍內(nèi)彼此結(jié)合和/或相互替換�。
[0018]圖1示出了根據(jù)本專利申請(qǐng)一種實(shí)施例的作為數(shù)據(jù)安全管理系統(tǒng)的一部分的基于計(jì)算機(jī)的應(yīng)用程序�。參照?qǐng)D1,存在一個(gè)或多個(gè)用戶��,每個(gè)用戶從應(yīng)用程序商店(如谷歌市場(chǎng)����、蘋果商店和微軟商店等)或網(wǎng)站(如圖1所示的“nwStor Website”下載應(yīng)用程序到一個(gè)或多個(gè)設(shè)備���,該應(yīng)用程序在下文中也稱為uSav App,該設(shè)備為諸如智能電話���、膝上型電腦、iPad�����、平板電腦等����。在使用數(shù)據(jù)安全管理系統(tǒng)之前,每個(gè)用戶都必須注冊(cè)并新建賬戶��。在本實(shí)施例中��,所要求的來(lái)自用戶的注冊(cè)信息為如下:
[0019]1.姓名(非驗(yàn)證�����,以保護(hù)隱私)
[0020]2.電子郵件地址(也用于密碼恢復(fù))
[0021]3.用戶ID:在系統(tǒng)數(shù)據(jù)庫(kù)中必須是唯一的(用戶ID可以但不限于用戶的電子郵件地址)����。
[0022]4.認(rèn)證方法的選擇(下文將更詳細(xì)地描述認(rèn)證方法)
[0023]a.收費(fèi)帳戶信息:該信息不是初始注冊(cè)所必需的���。只有在用戶用完附加的免費(fèi)使用量后才需要。該信息包括但不限于信用卡號(hào)���、Paypal帳戶號(hào)碼�、銀行帳號(hào)等���。
[0024]5.用于密碼恢復(fù)目的的個(gè)人問(wèn)題和答案����。
[0025]為保護(hù)用戶隱私���,不對(duì)用戶信息執(zhí)行核實(shí)��。在用戶注冊(cè)完成之后�����,向用戶的電子郵箱地址發(fā)送由計(jì)算機(jī)生成的密碼�。該密碼可以在登錄到uSav App后更改���。
[0026]圖2示出了根據(jù)本專利申請(qǐng)一種實(shí)施例的數(shù)據(jù)安全管理系統(tǒng)的操作���。參照?qǐng)D2�����,發(fā)送方201和接收方203已經(jīng)下載uSav App��,并已在系統(tǒng)中注冊(cè)�。如圖2所示�,在步驟I中�,作為文件所有者的發(fā)送方201在其設(shè)備上登錄uSav App,并確定要保密的文件�����。發(fā)送方201還提供了系統(tǒng)的一些被授權(quán)打開(kāi)并讀取文件的注冊(cè)者(也稱為uSav注冊(cè)者)的訪問(wèn)授權(quán)列表�。發(fā)送方201的uSav App然后向安全服務(wù)器205 (也稱為uSav安全服務(wù)器)請(qǐng)求加密密鑰。與此同時(shí)����,該uSav App還向安全服務(wù)器205發(fā)送訪問(wèn)授權(quán)列表(作為參數(shù))。安全服務(wù)器205保存用戶的數(shù)據(jù)安全需求��,并根據(jù)用戶指令通過(guò)控制加密密鑰來(lái)控制用戶的數(shù)據(jù)信息。
[0027]然后在步驟2中�����,uSav安全服務(wù)器205將隨機(jī)生成的新的加密密鑰的副本發(fā)送給uSav App (即發(fā)送方201)����。訪問(wèn)授權(quán)列表附著于(或綁定著)加密密鑰,而且兩者都保存在安全服務(wù)器205�����。(之后在圖4所示的加密過(guò)程中加密密鑰綁定有更多信息���。)在步驟3中����,在uSav App已經(jīng)加密文件后��,文件所有者向其已注冊(cè)于系統(tǒng)的朋友發(fā)送加密文件��,以便與朋友共享文件���。通?��?梢酝ㄟ^(guò)互聯(lián)網(wǎng)�����、局域網(wǎng)����、有線網(wǎng)��、無(wú)線網(wǎng)或他們的網(wǎng)絡(luò)服務(wù)的組合�����,通過(guò)將加密文件附著于電子郵件���、消息、或?qū)⒓用芪募诺嚼缬晒雀栌脖P�、Dropbox, SkyDrive等之一者提供的云驅(qū)動(dòng)(或云存儲(chǔ))207來(lái)實(shí)現(xiàn)這一共享。該共享也可以通過(guò)物理存儲(chǔ)設(shè)備��,例如USB存儲(chǔ)器��、USB存儲(chǔ)棒或能夠存儲(chǔ)數(shù)據(jù)的任何物理設(shè)備來(lái)實(shí)現(xiàn)。在步驟4中�,接收方203通過(guò)互聯(lián)網(wǎng)(或任何類型的網(wǎng)絡(luò))下載加密文件,或者通過(guò)物理存儲(chǔ)設(shè)備接收加密文件�����。在步驟5中�����,接收方203之一者登錄uSav App�����,并請(qǐng)求uSav App解密文件�。接收方203的uSav App向uSav安全服務(wù)器205發(fā)送解密密鑰請(qǐng)求,該請(qǐng)求攜帶有作為請(qǐng)求的參數(shù)的請(qǐng)求方(接收方203)的標(biāo)識(shí)和密碼��。在步驟6中���,云密鑰管理器(在安全服務(wù)器205中)進(jìn)行檢查以確保請(qǐng)求者(接收方203)的ID在(如步驟I和2述及的)授權(quán)列表上���,然后發(fā)送解密密鑰給處于接收方203端的uSav App,并且uSav App使用該解密密鑰來(lái)解密文件�。
[0028]上述實(shí)施例中可以有大量的uSav注冊(cè)者���。每個(gè)注冊(cè)者201可以是一個(gè)或多個(gè)加密文件的發(fā)送方。任何uSav注冊(cè)者可以加密文檔的接收方203中的一個(gè)�。因而可以在注冊(cè)者間實(shí)現(xiàn)安全協(xié)作和文件共享。
[0029]上述實(shí)施例提供了一種數(shù)據(jù)安全管理系統(tǒng)��。數(shù)據(jù)安全管理系統(tǒng)包括:配置為存儲(chǔ)用以加密大量文件的加密密鑰和用以解密相應(yīng)的加密文件的解密密鑰的安全服務(wù)器�����;配置為向安全服務(wù)器發(fā)送訪問(wèn)授權(quán)列表�����、向安全服務(wù)器請(qǐng)求加密密鑰�、及利用從安全服務(wù)器接收的加密密鑰加密文件的第一計(jì)算裝置;
[0030]配置為向安全服務(wù)器請(qǐng)求解密密鑰���、及使用從安全服務(wù)器接收到的解密密鑰對(duì)加密文件進(jìn)行解密的第二計(jì)算裝置�;和
[0031]配置為在使用第一計(jì)算裝置的第一用戶和使用第二計(jì)算裝置的第二用戶之間共享文件的云存儲(chǔ)或任何數(shù)據(jù)存儲(chǔ)����。安全服務(wù)器配置為在驗(yàn)證第二用戶是否在訪問(wèn)授權(quán)列表之后����,確定是否發(fā)送解密密鑰到第二計(jì)算裝置���。通過(guò)隨時(shí)隨地控制加密密鑰的訪問(wèn)權(quán)限列表,發(fā)送者控制誰(shuí)可以隨時(shí)隨地打開(kāi)相應(yīng)的加密文件的訪問(wèn)權(quán)���。
[0032]圖3示出了根據(jù)本專利申請(qǐng)一種實(shí)施例的數(shù)據(jù)安全管理系統(tǒng)的基礎(chǔ)體系結(jié)構(gòu)����。參照?qǐng)D3�,所有的便攜式和臺(tái)式設(shè)備301 (也稱為應(yīng)用程序裝置301)安裝有通過(guò)互聯(lián)網(wǎng)或局域網(wǎng)與uSav安全服務(wù)器303通信的uSav App。uSav安全服務(wù)器303可以位于任何數(shù)據(jù)中心�����,包括云計(jì)算數(shù)據(jù)中心��、或任何只要uSav App可以與之通信的位置��。該通信可以基于W1-F1��、以太網(wǎng)����、互聯(lián)網(wǎng)��、局域網(wǎng)等����。uSav App和uSav安全服務(wù)器303之間的通信通過(guò)預(yù)定義的應(yīng)用程序接口實(shí)現(xiàn)��。
[0033]每個(gè)uSav使得每個(gè)用戶能夠進(jìn)行文件/數(shù)據(jù)加密��、解密以及隨時(shí)隨地安全地管理他的/她的數(shù)據(jù)���。uSav安全服務(wù)器303和App設(shè)備301受限于公司或組織�;通信可以通過(guò)局域網(wǎng)實(shí)現(xiàn)����。如果App設(shè)備301需要移動(dòng),并可以物理分布于世界上的任何地方����,則安全服務(wù)器303必須通過(guò)互聯(lián)網(wǎng)可訪問(wèn)。
[0034]安全服務(wù)器303可以是從任何云計(jì)算服務(wù)提供商的數(shù)據(jù)中心或用戶自己的位置(數(shù)據(jù)中心)操作的虛擬安全服務(wù)器����。安全服務(wù)器303還可以是運(yùn)行于用戶自己的位置或任何其它位置的真實(shí)的專用服務(wù)器。安全服務(wù)器應(yīng)當(dāng)處于無(wú)單點(diǎn)故障的高可用模式或群集模式�����。
[0035]用戶可以選擇不同的安全級(jí)別進(jìn)行身份驗(yàn)證�����。在注冊(cè)或更改用戶配置文件設(shè)置期間提供選擇����。存在二種選擇:
[0036]1.用戶ID+密碼
[0037]2.用戶ID+密碼+登錄圖片
[0038]3.用戶ID+密碼+OTP ( 一次性密碼)
[0039]4.用戶ID+密碼+登錄圖片+OTP ( 一次性密碼)
[0040]用戶ID和密碼是最低要求的驗(yàn)證方法。用戶選擇密碼��。用戶需要鍵入密碼兩次以核實(shí)密碼�。向用戶的電子郵箱地址發(fā)送電子郵件。用戶需要根據(jù)電子郵箱的指令來(lái)激活其賬戶���。在用戶選擇他的/她的密碼后�,uSav App提供了密碼的安全等級(jí):
[0041]1.低級(jí)(最少的密碼要求):具有至少一個(gè)字母和一個(gè)數(shù)字的至少八