在分布式云计算环境中实现数据安全性的方法及装置转让专利
申请号 : CN201280025438.4
文献号 : CN103583030A
文献日 : 2014-02-12
发明人 : H·M·诺沃特尼 , K·E·德保罗 , A·桑卡利亚 , P·恩塔 , R·拉尔森
申请人 : 阿尔卡特朗讯公司
摘要 :
分布式云存储系统包括逻辑上位于客户端平台和多个远程云存储平台之间的云存储中介。云存储中介协调云存储过程的实施,云存储过程包括根据第一和第二规则将数据项划分成多个部分并分配到选择的云存储平台,第一和第二规则定义了只有云存储中介或客户知道的密钥。在一段时间后,当需要检索数据项时,从存储中检索密钥,并以反向执行规则的方式检索和重新组装数据项。
权利要求 :
1.一种用于根据云计算模式为客户端提供数据存储服务的装置,在所述云计算模式中客户端平台可操作地连接到云存储中介和多个远程云存储平台,该装置在所述云存储中介上,所述装置包括:用户接口;
云存储接口;
存储器;以及
至少一个处理器,所述至少一个处理器可操作地耦合到所述用户接口、云存储接口和存储器,并且被配置为:(a)接收关于云存储服务的客户端请求,所述云存储服务与数据项相关;(b)选择所述多个远程云存储平台中选定的云存储平台用于数据项的云存储,其中每个选定的平台存储分配的数据项部分;(c)识别第一规则,所述第一规则定义将数据项划分成多个部分的方式,所述多个部分在数量上对应于多个选定的云存储平台;(d)识别第二规则,所述第二规则定义在选定的云存储平台之间分配各部分的方式;(e)将第一和第二规则的标记传送至客户端,从而使客户端能够根据第一规则将数据项划分成部分,根据第二规则在选定的云存储平台之间分配各部分。
2.如权利要求1所述的装置,还包括:
规则生成器,用于创建用于各数据存储事务的第一和第二规则中的至少一个;文件存储索引,用于保持关于各数据存储事务的第一和第二规则的标记。
3.如权利要求2的装置,其特征在于,所述至少一个处理器被进一步配置为:(f)接收关于数据检索服务的客户端请求,所述数据检索服务与数据项相关;(g)查阅文件存储索引,以识别用于存储数据项的第一和第二规则的标记;(h)将所述第一和第二规则的标记传送给客户端,从而使客户端能够根据第一和第二规则的逆来检索和重新组装数据项。
4.一种用于根据云计算模式为客户端提供数据存储服务的装置,在所述云计算模式中客户端平台可操作地连接到云存储中介和多个远程云存储平台,该装置在云存储中介上,包括:用户接口;
云存储接口;
存储器;
至少一个处理器,可操作地耦合到所述用户接口、云存储接口和存储器,并且被配置为:(a)接收关于云存储服务的客户端请求,所述云存储服务与数据项相关;(b)选择所述多个远程云存储平台中选定的云存储平台用于数据项的云存储,其中每个选定的平台存储分配的数据项部分;(c)识别第一规则,所述第一规则定义将数据项划分成多个部分的方式,所述多个部分在数量上对应于多个选定的云存储平台;
(d)识别第二规则,所述第二规则定义在选定的云存储平台之间分配各部分的方式;(e)获得数据项;以及
(f)根据第一规则将数据项划分成部分,并根据第二规则在选定的云存储平台之间分配各部分。
5.如权利要求4所述的装置,还包括:
规则生成器,用于创建用于各数据存储事务的第一和第二规则中的至少一个;文件存储索引,用于保持关于各数据存储事务的第一和第二规则的标记。
6.如权利要求4所述的装置,其中所述至少一个处理器被进一步配置为:(g)接收关于数据检索服务的客户端请求,所述数据检索服务与数据项相关;(h)查阅文件存储索引,以识别用于存储数据项的第一和第二规则的标记;(i)执行所述第一和第二规则的逆以检索和重新组装数据项,产生重新组装的数据项;(j)向客户端传递的重新组合的数据项。
7.一种用于根据云计算模式为客户端提供数据存储服务的方法,在所述云计算模式中客户端平台可操作地连接到云存储中介和多个远程云存储平台,所述方法包括云存储中介:接收关于云存储服务的客户端请求,所述云存储服务与数据项相关;选择所述多个远程云存储平台中选定的云存储平台用于数据项的云存储,其中每个选定的平台存储分配的数据项部分;识别第一规则,所述第一规则定义将数据项划分成多个部分的方式,所述多个部分在数量上对应于多个选定的云存储平台;识别第二规则,所述第二规则定义在选定的云存储平台之间分配各部分的方式;将第一和第二规则的标记传送至客户端,从而使客户端能够根据第一规则将数据项划分成部分,根据第二规则在选定的云存储平台之间分配各部分。
8.一种用于根据云计算模式为客户端提供数据存储服务的方法,在所述云计算模式中客户端平台可操作地连接到云存储中介和多个远程云存储平台,所述方法包括云存储中介:接收关于云存储服务的客户端请求,所述云存储服务与数据项相关;选择所述多个远程云存储平台中选定的云存储平台用于数据项的云存储,其中每个选定的平台存储分配的数据项部分;识别第一规则,所述第一规则定义将数据项划分成多个部分的方式,所述多个部分在数量上对应于多个选定的云存储平台;
识别第二规则,所述第二规则定义在选定的云存储平台之间分配各部分的方式;获得数据项;以及
根据第一规则将数据项划分成部分,并根据第二规则在选定的云存储平台之间分配各部分。
9.一种在云存储系统中提供数据项的分布式云存储的方法,所述云存储系统包括可操作地连接到云存储中介和多个远程云存储平台的客户端平台,该方法包括:根据第一规则将数据项划分成多个部分;
根据第二规则将所述部分分配到多个选定的云存储平台,所述多个部分在数量上对应于所述多个选定的云存储平台;
保持第一和第二规则的标记以便之后进行数据检索。
说明书 :
在分布式云计算环境中实现数据安全性的方法及装置
技术领域
[0001] 本发明一般涉及计算机安全,更具体地,涉及分布式“云”计算环境中的数据安全性。
背景技术
[0002] 云计算是一种基于分组的虚拟化的“云”基础设施提供计算资源和服务的概念,这样,客户可以访问计算资源和/或服务从远程云服务平台的需求,而不是依赖于定制的硬件和存储资源。客户可以利用云技术,例如,访问的后备数据中心的存储资源作为一种替代或补充的后备存储资源。云计算解决方案可以使用私有云(例如,现有的企业内联网的范围内)、公共云(如互联网)或混合云(如公共云和私有云的组合)。
[0003] 然而,云模式相关的问题和其广泛采用的一个障碍是数据的安全性问题。虚拟化性质的云计算意味着计算资源可能分布在多个设备和/或多个云服务供应商处,客户并不怎么清楚他们的数据是如何被存储或谁可以访问数据。此外,云可以被许多终端用户(包括不受信任的或未知的用户)共享,从而打开了数据的脆弱性窗口。
发明内容
[0004] 通过一个布式云存储系统来解决这个问题并实现技术进步,该云存储系统集成了云存储中介,该中介逻辑上客户端平台和多个远程云存储平台(例如但不限于,数据中心服务器及相关存储资源)之间。对于一个给定的数据存储事务,云存储中介将选择指定的云存储平台进行客户端数据项的云存储并且将调解云存储过程,所述云存储过程涉及到根据第一规则将数据项划分为多个部分以及根据第二规则将这些部分分配给选定的云存储平台。因此,第一和第二规则定义实现数据项的分布式云存储的“密钥”对,实现方式只有密钥持有人知道,云存储的分布式特性使得数据更不容易从缺乏抵抗力的平台被发现。
[0005] 在一个实施例(在此称为“直通模式”)中,云存储中介直接参与数据流,即,它从客户端接收数据项,并根据第一和第二规则代表客户端将数据项划分并分配到选定的云存储平台。在另一个实施例(在此称为“企业模式”)中,云存储中介不直接参与数据流,而是指示客户端如何划分和分配数据项,允许客户端自己来划分和分配数据项到选择的云存储平台。此后,取决于实施方式,数据检索可通过拥有或能访问相关规则的云存储中介或客户端来完成。
附图说明
[0006] 本发明的上述和其它的优点将变得明显,在阅读下面的详细描述并参考附图,其中后
[0007] 图1是根据现有技术的一个云存储系统的方框图;
[0008] 图2是包括根据本发明的实施例的云存储中介的分布式云存储系统的框图;
[0009] 图3是示出根据本发明的实施例的云存储中介的功能组件的框图;
[0010] 图4是示出根据本发明的实施例的分布式云存储系统的直通模式的框图;
[0011] 图5是示出根据本发明的实施例的分布式云存储系统的企业模式的框图;
[0012] 图6是示出由云存储中介和/或用户平台执行来实施根据本发明的实施例的云的存储过程的步骤的流程图;
[0013] 图7是示出由云存储中介和/或用户平台执行以实施根据本发明的实施例的云检索过程执行的步骤流程图。
具体实施方式
[0014] 图1示出了根据现有技术的云存储系统100。云存储系统100包括数据通过网络104互相连接到数据中心(如图所示,包括服务器106和相关联的存储资源108)的一个或多个用户平台102。典型的数据中心包括安装在可能占用建筑物的一个或多个楼层的机架中的多个服务器106。存储资源108可以位于各自的服务器106或者可以位于数据中心的机架中或数据中心的机架旁的单独组件(未示出)中。可以理解本发明的术语“云存储平台”包括服务器106和其相关联的存储资源108。因此,由多个服务器和存储资源组成的典型的数据中心将被理解为包括多个云存储平台。
[0015] 用户平台102可以包括例如笔记本电脑、台式电脑或移动计算设备,名义上包括本地数据项(例如,数据文件等),这些设备将由用户或管理员操作以根据需要可能地利用云存储平台的数据项的后备存储。根据网络的拓扑结构和/或用户的安全需要,网络104可以包括,例如,企业内联网、互联网或它们的某种组合,用户数据项在传送到或存储到云存储平台之前可能已经被被加密或者可能没有被加密。
[0016] 然而,一般来说,不考虑云存储的网络拓扑结构,已知根据现有技术的解决方案是利用一个单一线程的处理模式,在单一的位置/平台得到用户数据项存储。例如,如表示在1图中的,来自终端用户102的数据完全存储在单一的云存储平台(包含服务器106和其相关联的存储资源108),它位于单一的数据中心。因此,万一云存储平台(无论是服务器106或存储资源108)变得容易受损害,用户数据就很容易被不受信任或未知用户发现。
[0017] 与此相反,本发明的实施例利用多线程处理模式,客户端的数据项被分成若干部分并且多个部分分布在多个云平台之间,从而使该数据项不容易被发现,因为任何给定的平台仅包含数据项的一部分,且并未知或不可信的用户是不可能发现数据项是如何划分或分配的。
[0018] 参照图2,根据本发明实施例的分布式云存储系统200包括一个或多个用户平台202,一个或多个用户平台202逻辑上经由网络206连接到云存储中介204和多个云存储平台208、210(即,每个云存储平台包括服务器208和其相关联的存储资源210)。为方便起见,服务器以“服务器A”、“服务器B”等表示,他们将被理解为对应不同的云存储平台A、B、C等。服务器A、B、C等(因此,云存储平台A、B、C等)分布在多个物理和/或地理位置,例如对应于但不限于数据中心的机架、不同的机架或不同的楼层的不同的物理位置,或者位于具有不同的地理位置的不同的数据中心间。
[0019] 用户平台202可以包括,例如但不限于具有处理器和存储器(未示出)和名义上包括用户或管理员可能希望存储在云中的本地数据项(例如,数据文件或诸如此类)的笔记本电脑、台式计算机、移动计算设备。云存储中介204包括,例如但不限于基于web的计算平台,所述计算平台具有处理器208和存储器210并且可操作地协调用户平台202和选定的云存储平台208、10之间的云存储和检索事务。网络206可包括,例如,企业内联网、互联网、或它们的某种组合。云存储中介204可能因此位于企业防火墙内部或外部。
[0020] 一般情况下,根据这里所描述的实施例,从云数据云存储中介204请求数据存储服务的用户发起存储事务。根据用户的隐私需要,用户可能会发送数据项到云存储中介,并要求云存储中介执行数据项的云存储;或用户可能会要求云存储中介发出协调指令以使得用户执行数据项的云存储(即允许用户本身执行数据项的云存储而不要求中介涉及在数据流)。此后,云存储中介选择指定的云存储平台以用于数据存储事务并且执行或协调云存储过程中以只有持有密钥的云存储中介或用户所知道的秘密方式将数据项划分成部分并将这些部分分配到选择的云存储平台之间。
[0021] 例如,如表示在图2中的,根据只有定义“密钥”的云存储中介或用户知道的规则,来自终端用户202的数据被划分成三个部分(表示为数据片段1、2和3)的各部分分布在三个不同的云存储平台A、B、C。由于根据秘密密钥客户端的数据被划分,并在多个云存储平台A、B、C之间分配,并且由于每个云存储平台对应到不同的物理和/或地理位置,即使云存储平台A、B或C受到损害,客户端的数据是依然是不易受到破坏的。
[0022] 图3示出了云存储中介304的逻辑硬件结构的实施例。逻辑硬件配置包括进行云存储或检索事务时可操作地与终端用户平台302沟通的用户接口306,例如但不限于接收和处理用户请求、接收用户数据项、交换认证信息、传送与云存储或检索事务相关的规则。逻辑硬件配置还包括进行云存储或检索事务时可操作地与一个或多个云存储提供商318沟通的云存储接口308,例如但不限于轮询和/或监控云存储提供商以获得与选择数据项的云存储的云存储平台A、B、C有关的信息,发送分配的数据项部分到各平台上或者从各平台或检索分配的数据项部分。
[0023] 用户接口306和云存储接口308可操作地连接到云存储进程模块310和云检索进程模块312。云存储和检索进程模块310、312可以例如但不限于由处理器208(图2)实现,处理器208可用于执行存储在存储器210(图2)中的程序代码(例如,包括但不限于操作系统固件/软件和应用软件),以执行或协调云存储和检索事务。
[0024] 可以认识到,用户接口306、云存储接口308和云存储进程和云检索进程模块310和312,可以是实现在一个或多个物理设备上的逻辑硬件组件,并且可以实现包括有线、无线或基于分组的链路的一个或多个通信技术。每一个逻辑组件可以包括固件、微芯片(例如,专用集成电路)、在硬件设备、硬件、专门硬件和/或类似物上可执行的软件。
[0025] 如图所示,云存储和检索进程模块310、312,可操作地连接到文件存储索引314和一个或多个规则生成器(即,密钥生成器)316。文件存储索引314和规则生成器316是可以实现在一个或多个物理设备和/或软件模块上的功能元件,并可以位于云存储中介304的内部或外部。
[0026] 在一个实施例中,文件存储索引314存储与各种用户的数据项(如“文件”)相关的信息,以及云存储进程模块完成云存储事务时数据项被划分和/或存储在云中的方式,这些信息以后可被云检索进程模块访问以进行云检索事务。该文件存储索引可以例如但不限于被索引到由云存储进程模块在模块A、B、C间划分和分配的模块所使用的密钥、规则或指令的数据项的文件名或用户数据项的其它标记。在过了一段时间后,云检索进程模块可查询文件存储索引来发现被用来划分和分配特定的数据项的密钥、规则或指令,以便它可以检索和重建数据项。
[0027] 规则生成器316产生或派生密钥、规则或指令,用于在云存储事务时划分和分配数据项。在一个实施例中,规则生成器316规定独立(“第一和第二”)规则用于将数据项划分和分配到多个云存储平台。因此,第一和第二规则定义了实现数据项分布式云存储的密钥,该方式只有密钥持有人知道。应当理解,根据用户的安全需要、文件大小、选定的云存储平台数量等,密钥、规则或指令可能在复杂性方面会发生变化的。
[0028] 例如但不限于,在其复杂性的低端,规则发生器可能会规定第一规则以将文件划分成对应于选定的云存储平台的数量的相等的部分,以及规定第二规则来按照特定的序列将各部分分配到选定的平台。作为另一个例子,第一规则可能会规定将文件切碎成具有预定尺寸的片段(例如,基于文件大小的预定部分),第二规则规定按照顺序将片段分配给选定的平台,直到该文件是完全被切碎。
[0029] 在更高层次的复杂性上,规则生成器可以基于随机或伪随机数创建或获得规则,以确定如何划分和/或分发的数据项。随机数由随机数发生器创建,随机数发生器可以位于在规则发生器或云存储中介内。例如但不局限于此,可以考虑随机数生成器创建预定范围(例如,在2和20之间)的随机数的。为了确定切碎的尺寸,随机数可以被映射到预定的切碎尺寸(例如,数字2=64字节,数字3=128字节等)。因此,在这个例子中,该规则生成器可以在2和20之间产生随机数,根据所生成的随机数规定第一规则来将文件分解或切碎成具有的一定尺寸的片段。规则生成器可能再规定第二个规则,基于相同的随机数或下一个随机数来决定使用多少云存储平台(例如,数字2号=2个平台,数字3=3个平台等)。在更高级别的复杂性上,也可以使用随机数序列,其中序列中的连续的随机数决定不同的碎片的大小和不同的平台(例如,数字2=平台#2,数字3=平台#3,等等。)
[0030] 正如前面所指出,根据用户的安全需要、网络的拓扑结构等,本发明可以以不同的方式实现。在一个实施例(图4),在此称为“直通模式”,云存储中介直接参与在数据流中,即它从客户端接收数据项,代表客户端根据第一和第二规则划分并分配到的数据项至所选的云存储平台。因此,如在图4中所表示的,云存储中介404逻辑上位于终端用户的402和各选择的云存储平台408(服务器A、B、C)之间,并且云存储中介402与终端用户402和选定的服务器A、B、C交互以执行给定数据项的云存储,而且402用户不直接与服务器A、B、C进行交互。所图所示,云存储中介404可操作地连接到两个规则生成器410,云存储中介404从两个规则生成器410获得用于划分和分配的数据项的第一和第二规则(M,N);并且云存储中介404执行规则M、N以存储数据项。
[0031] 可选地,如在图4所示,终端用户402可以通过中介代理406(例如,在被访问网络中的服务节点)与云存储中介404交互。在一个实施例中,云存储事务由终端用户402向中介代理406发送请求(与该请求一致的数据项)来启动,中介代理将请求和数据项转发到云存储数据项中介404。此后,大致地如上所述,云存储中介404执行规则(M,N)来划分和分配数据项至选择的云存储平台。云检索事务同样开始由终端用户借助于中介代理406与云存储中介404互动的方式发起。
[0032] 可替换地,中介代理406可以模拟中介404的功能。在一个实施例中,例如,云存储事务由终端用户402向中介代理406发送请求(符合该请求的数据项)而发起,中介代理查询代理404以取得规则(M,N),或者中介代理可以独立识别规则(M,N)以进行数据项划分和分配,中介代理406执行规则(M,N)来划分和分配数据项至选择的云存储平台。同样,中介代理406可以模拟中介404的功能以执行云检索事务。
[0033] 在此处称为“企业模式”的另一个实施例(图5)中,云存储中介不直接参与数据流中,而是指示客户端如何划分和分配数据,允许客户端本身划分和分配数据项到选择的云存储平台。因此,如图5所示,云存储中介504在逻辑上连接到终端用户502,并与终端用户交互来协调给定数据项的云存储,但云存储中介不直接与服务器A、B、C交互(至少在出于执行云存储的目的方面)。云存储中介504可操作地连接到两个规则生成器510,云存储中介404可以从两个规则生成器获得第一和第二规则(M,N)用于划分和分配数据项,云存储中介504将规则传送到终端用户502以使得用户能够执行规则M、N来存储数据项。
[0034] 可选的是,终端用户502可以借助中介代理与云存储中介504进行交互(图5中未示出)。例如,中介代理可用于配合终端用户到被访问的网络的漫游。在这种情况下,云存储事务在企业模式的发起由终端用户402发送请求到中介代理来进行,中介代理转发请求到云存储中介504。此后,云存储中介404识别(确定)规则(M,N)来划分和分配数据项到选择的云存储平台,中介代理将规则传送给终端用户,终端用户执行规则来实现数据项的分布式云存储。
[0035] 可替换地,中介代理可仿效中介504的功能。在一个实施例中,例如,由终端用户402发送请求到中介代理发起企业模式云存储事务,中介代理查询中介504,以确定规则(M,N)(或可选地,中介代理可独立识别规则M,N)来划分和分配数据项到选择的云存储平台,中介代理将规则传送给终端用户,终端用户执行规则来实现数据项的分布式云存储。
[0036] 图6是表示由云存储中介和用户平台执行的步骤的流程图,其中云存储中介和用户平台适用于执行根据本发明的实施例的分布式云存储事务。例如,但不限于此,图6的步骤可以由云存储中介404结合关于图4的直通模式描述的终端用户平台402一起执行,或者由云存储中介504结合关于图5的企业模式描述的终端用户平台502一起执行,来实施分布式云存储事务。该方法假定用户平台402、502将用户名和密码,或其他合适的安全性参数,传送到云存储中介,其后云存储中介在提供的安全性参数的基础上对用户进行身份验证以启动事务。可以理解,会话可以经由任何一些认证方案建立,这些方案具有不同复杂程度的和更少或更多利用率,更大的或不同类型的安全性参数。
[0037] 在步骤602,云存储中介云接收到用户的存储数据项(例如,数据文件)请求。用户请求可能包括一般来自用户的通信的任何实例,包括但不限于,按键、按键或键盘组合或陈述,传达用户要求的数据存储以及传达与请求一致的信息(如文件名、文件大小)。
[0038] 在一个实施例中,步骤604,云存储中介接收与请求一致的一个或多个用户选择的安全性或性能的参数。例如但不限于,用户可以指定要求或喜好有关的延时、地理位置、分发程度(例如,多个位置处)、成本、安全等级,加密或与数据存储事务相关联的其它参数。
[0039] 在步骤606,云存储中介选择云存储平台(例如,服务器A、B、C),用于存储与用户选定的安全性或性能参数一致的数据项。在一个实施例中,服务器的选择涉及到基于随机数发生器确定要使用的平台数量(X),然后通过加权算法选择特定平台以优化的服务器选择,所述加权算法考虑到多个服务器中的加权的工作量、成本和延迟因素。例如但不限于,要使用的平台的数量(X)可以被确定对应于2至20之间的随机数,X个平台的各个平台的选择的可以基于考虑到加权工作量、成本和延迟因素的加权算法来确定。
[0040] 在步骤608,610,云存储中介获取或创建规则(M,N)用于切碎(分解)和分配数据项。例如但不限于,规则M、N可能会以参照图3所描述的任何方式获得。正如已经指出的,取决于用户的安全需要、文件大小、选定的云存储平台之类,规则M、N在复杂性上可能会发生变化。
[0041] 在步骤612,确定云存储中介是否参与到数据流中(例如,在直通模式(图4)),或是否云存储中介将不参与数据流(例如,在企业模式(图5))。如果云存储中介参与在数据流中,则处理前进到步骤614到620,否则,如果云存储中介将不参与在数据流中,则过程进行到步骤622至628。
[0042] 直通模式
[0043] 在步骤614中,云存储中介从用户获得数据项。
[0044] 在步骤616,618,云存储中介执行规则(M,N)以将数据项切碎成部分以及将各个部分在选择的云存储平台A、B、C之中分配。在一个实施例中,云存储中介在向平台A、B、C分发数据部分之前,打开云存储平台A、B、C的安全连接(例如,使用标准的HTTPS协议)。
[0045] 在步骤620中,云存储中介保留(M,N)的规则或规则(M,N)的标记,以使以后的检索和数据项重建。例如但不限于此,云存储中介可向文件存储索引发送表示平台数或平台标识、切碎尺寸和序列的规则(M,N),或发送规则(M,N)的标记,所述规则(M,N)的标记诸如用于获得平台的数目或身份、切碎尺寸和序列的随机数。
[0046] 企业模式
[0047] 在步骤622,云存储中介发送规则(M,N)或标记规则(M,N)给用户。例如但不限于,云存储中介可向用户平台发送表示平台数目或身份、切碎尺寸和序列的规则(M,N),或者或规则(M,N)的标记,例如用于获得平台数目或身份切碎尺寸和序列的随机数。在一个实施例中,云存储中介在向用户发送规则(M,N)之前还打开用户平台和选择的云存储平台A、B、C之间的安全连接(例如,使用标准的HTTPS协议)。
[0048] 在步骤624、626,用户执行规则(M,N),用于将数据项切碎成部分以及在选择的云存储平台之间分配各部分。
[0049] 在步骤628中,用户或云存储中介保留规则或规则的标记(M,N),以使以后的检索和数据项重建。例如但不限于,用户或云存储中介可到该向文件存储索引发送平台数目或身份标记、切碎尺寸和序列,或者用于获得的号码或身份证平台、切碎尺寸和序列的随机数。
[0050] 图7是表示云存储中介和用户平台执行的步骤的流程图,云存储中介和用户平台适用于根据本发明的实施例从分布式云存储检索数据项。例如,但不限于此,图7的步骤可以云存储中介404结合关于图4的描述的直通模式中的终端用户平台402一起来执行,或由云存储中介504结合在图5中描述的企业模式的终端用户平台502一起来执行检索事务。该方法假定用户平台402、502将用户名和密码,或其他合适的安全性参数,传送到云存储中介,其后云存储中介在所提供的安全性参数的基础上进行用户身份验证以启动事务。可以理解,会话可以通过任何一些认证方案建立,这些认证方案具有不同复杂程度的和更少或更多利用率、更大的或不同类型的安全性参数。
[0051] 在步骤702中,云存储中介接收到用户检索数据项(例如,数据文件)的请求。用户请求可能包括一般来自用户通信的任何实例,包括但不限于,按键、按键或键盘组合或陈述,并且传达与符合用户请求的信息(如文件名)。
[0052] 在步骤704,云存储中介咨询文件存储索引以获得用来划分和分配数据项的规则(M,N)或规则的标记。例如但不限于,云存储中介可从文件存储索引检索平台数目或身份标记、切碎的尺寸和序列或用来获得平台数目或身份、切碎的尺寸和序列随机数。
[0053] 在步骤706,确定云存储的中介是否参与数据流(例如,在直通模式(图4)),或是否在云存储中介将不参加数据流(例如,在企业模式(图5))。如果云存储中介参与在数据流中,则过程前进到步骤708到712,否则,如果云存储中介将不参与在数据流中,则过程进行到步骤714至718。
[0054] 直通模式
[0055] 在步骤708、710,云存储中介执行规则(M,N)的逆来从所选择的云存储平台检索用户数据项的分配的部分,并从检索到的部分重新组合数据项。规则(M,N)的逆将被理解为是指执行方式是规则(M,N)的反向来完成,以便检索和重新组装的数据项。
[0056] 在步骤712中,云存储中介传送的重新组合的数据项给用户。
[0057] 企业模式
[0058] 在步骤714,云存储中介发送规则(M,N)或标记规则(M,N)给用户。例如,但不限于,云存储中介可向用户平台发送:规则(M,N),表示平台数目或身份、切碎的尺寸和序列;或规则(M,N)的标记,例如,用于获得平台数目、切碎的尺寸和序列的随机数。
[0059] 在步骤716、718中,用户执行规则(M,N)的逆,从所选择的云存储平台检索分配的数据项部分,并从检索到的部分重新组合数据项。规则(M,N)的逆将被理解为是指执行方式是规则(M,N)的反向来完成检索和重新组装的数据项。
[0060] 图1-7和前面的描述中描述了本发明的教导那些本领域技术人员如何制造和使用本发明的特定示例性实施例。所描述的实施例都被认为是在所有方面仅是说明性的而不是限制性的。不脱离本发明的范围,这是由所附的权利要求书的情况下,本发明可以体现在其它的具体形式。在权利要求书的等价物的含义和范围内的所有更改都被包括在其范围内。
[0061] 例如,本文所用的术语“终端用户平台”通常被定义为任何一台计算机的移动设备,包括但不限于笔记本电脑、台式计算机、个人计算机(PC),或移动计算设备包括但不限于个人数字助理(PDA)平板电脑或手机名义上的有效用户操作和可操作的沟通与云存储中介执行云存储或检索事务。
[0062] 本文所用的术语“云存储中介”通常被定义为逻辑的硬件组件,逻辑上连接到终端用户的平台,协调或执行云存储或检索事务。最典型的,活动或事务发生,之后是认证程序,在认证程序中,用户提供密码或希望获得到云存储中介的访问,并建立一个看似安全的会议。云存储中介可能包括但不限于基于网络的平台或位于企业或政府企业的防火墙内部的平台,可能会分布在多个平台或在一个单一的物理平台的多个功能组件之间,和/或可能是共同坐落在作为终端用户平台的同一个平台上。云存储中介的组件可以包括微芯片(例如专用集成电路)、在硬件设备上执行的软件、硬件、专门的硬件和/或类似物。
[0063] 本文所用的术语“云存储平台”通常被定义为逻辑的硬件组件,它在逻辑上连接到云存储中介,其可操作以存储与云存储事务一致的用户数据项。云存储平台可以包括但不限于位于数据中心内的服务器和其相关联的存储资源,或者其可以包括分布在多个服务器、存储资源和/或数据中心(或分布在数据中心的多个机架和/或地板)上的虚拟化的平台。相反,多个虚拟化的云存储平台可以共同位于独立的服务器、存储资源和/或数据中心(或数据中心的单个机架和/或地板)上。