對移動中數據進行保護的系統和方法技術方案

本發明專利技術的系統和方法提供了一種使數據可證地安全和可訪問的方案，致力于比特級的數據安全性，從而消除了對多個周邊硬件和軟件技術的需要。數據安全性直接包括或者交織在比特級的數據中。本發明專利技術的系統和方法使得企業興趣團體能夠利用通常的企業基礎設施。因為安全性已被交織到數據中，可以在不損害數據安全性和訪問控制的情況下使用該通常的基礎設施。在一些應用中，在被發送到多個位置（例如私有或公有云）之前，數據被進行認證、加密和解析或者被分裂成多個份。數據在傳送到存儲位置的同時被隱藏，并且沒有正確的訪問證明的用戶無法訪問。

【技術實現步驟摘要】
【國外來華專利技術】
本專利技術一般涉及用于。可以與在共同擁有的美國專利No. 7391865和在2005年10月25日提交的共同擁有的美國專利申請No. 11/258839、2006年11月20日提交的美國專利申請No. 11/602667、2007年11月7日提交的美國專利申請No. 11/983355、2007年12月5日提交的美國專利申請No. 11/999575、2008年4月18日提交的美國專利申請No. 12/148365、2008年9月12日提交的美國專利申請No. 12/209703、2009年I月7日提交的美國專利申請No. 12/349897、2009年2月23日提交的美國專利申請No. 12/391028、2010年5月19日提交的美國專利申請No. 12/783276、2010年11月24日提交的美國專利申請No. 12/953877、以及2011年I月27日提交的美國臨時專利申請No. 61/436991、2009年11月25日提交的美國臨時專利申請No. 61/264464、2010年3月31日提交的美國臨時專利申請No. 61/319658、2010年4月I日提交的美國臨時專利申請No. 61/320242、2010年5月28日提交的美國臨時專利申請No. 61/349560,2010年8月12日提交的美國臨時專利申請No. 61/373187、2010年8月18日提交的美國臨時專利申請No. 61/374950和2010年9月20日提交的美國臨時專利申請No. 61/384583中描述的其它系統和方法結合地使用本文所述的系統和方法。上述的每個在先提交的申請的全部公開通過在此引用而并入本文。
技術實現思路
協作的需要要求企業共享其數據。該共享要求因為遺留煙囪管架構而復雜化，該煙囪管架構的維護昂貴且不會調整。這些復雜的基礎設施因風險轉移和災難恢復要求和策略而更加受限制。此外，這些限制直接導致低下的資源利用率、昂貴的點產品以及不一致的信息共享。遺留煙囪管環境的關鍵驅動物是需要保護數據的保密性、可用性和完整性。因為該環境隨著時間而進化，信息共享和協作由于安全性關注和脆弱性的增長而受到限制。隨著時間經過，這些遺留環境需要大量的對等(ad-hoc)安全性修補，這進一步限制了信息共享和協作。然而，這些修補并不是針對數據可用性和數據安全性之間的權衡的根由提出的。現有的信息保障(Information Assurance, IA)方案是復雜的,難以調整并且易受安全脆弱性的影響。通過設計，這些方案無法提供數據安全性和數據可用性兩者。基于這種IA方案的災難恢復計劃通常較差，很少有效地執行，維護昂貴，并且在企業共享的數據的量增長時難以調整。某些數據安全性方案(例如VPN和基于令牌的基礎設施)是昂貴的并且包括對部署和維護兩者的嚴重挑戰。此外，一些產品僅解決作為目標的安全問題，但它們低效、昂貴、麻煩并且難以管理。此外，這些方案沒有提供對下述基本問題的端到端解決方案使用一個或多個移動裝置越來越多地訪問云中的數據的位于遠方的端用戶的安全連接性和數據傳送。轉而使用云存儲(“云”)的遠程用戶的數目的攀升也產生了云中的以及向或從云傳輸數據時的增加的數據安全性問題。具體地，這種云存儲可以是公有的、私有的、安全的或其任意組合。此外，云存儲可由多于一個的存儲提供商提供。當遇到新的老練的數據安全威脅時，這些威脅對于個人用戶和企業同樣嚴重。遠程用戶需要使用云作為存儲介質與其它人進行協作的靈活性，但是需要在不使數據暴露于安全風險的情況下實現。因此，需要既保護企業數據同時又提供對其的訪問。另外，需要在沒有服務中斷且不關乎用戶位置的情況下提供這種安全訪問。事實上，需要一種易于部署、無需用戶干預、不需要額外的硬件、高度安全且不損害生產率的端到端解決方案。事實上，需要提供一種密碼系統，其安全性與用戶位置無關，同時在數據處于移動中或者從一個位置轉移到另一個位置時仍支持數據的安全性。因此，本專利技術的一個方面提供一種基于服務器(例如，SecurityFirst Corp.的Bitfiler)的安全數據方案，該方案使數據可證地安全和可訪問，同時消除了多個周邊硬件和軟件技術的需要。該基于服務器的方案致力于比特級的安全性。換言之，數據安全性直接包括或者交織在比特級的數據中。在一些實施例中，該基于服務器的方案可以是在Windows或Linux平臺上運行的軟件應用。在一些實施例中，通過在內核級操作，實現了性能和易用性的大幅改進。在一些實施例中，該基于服務器的方案使得能夠建立企業的興趣團體(Communities of Interest, COI),其能夠在硬件和軟件兩方面支持共用企業基礎設施。因為安全性已被交織到數據中，可以在不損害數據安全性和訪問控制的情況下使用該共用基礎設施。在同一基礎設施內并且在一個安全存儲系統內，多個COI可以共存。對于該基于服務器的方案，沒有法庭可分辨的數據存儲在任何裝置或介質上。該基于服務器的方案可以與現有的企業訪問控制系統整合，允許簡化的部署而無需改動當前建立的訪問方案。在另一個方面，本專利技術的基于服務器的方案與硬件和軟件無關。該基于服務器的方案適用于現有企業網絡、存儲和安全性方案。該基于服務器的方案還適用于任何協作、CRM和ERP應用。由該基于服務器的方案提供的內建安全性使得能夠使用剛出現的成本效益高的技術和服務，諸如用于基于云的存儲、基于云的計算和基于云的應用的基礎設施。本專利技術的基于服務器的方案可以支持Security First Corp.的SecureParserExtended (SPx)核心技術。在一些實施例中，SecureParser SPx利用多因素秘密共享算法來提供防衛級安全性。數據被認證、加密(FIPS 140-2認證、符合Suite B)、分裂、被添加冗余位、進行完整性檢查并再次加密，然后被發送到多個位置(本地的和/或地理上分散的例如在私有或公有云中的位置)。可以使用任何合適的信息分散算法(IDA)來分裂數據。數據在轉移到存儲位置的同時被隱藏，并且沒有正確的訪問證明的用戶無法訪問。本專利技術的另一方面包括一種重建存儲在存儲網絡中的要保護的數據的一組數據份(share)中的第一子集的方法。該方法包括從安全存儲網絡檢索數據份的第二子集。數據份的第二子集足以重構所述數據。該方法還包括對數據份的第二子集進行認證，并使用數據份的第一子集重建與所述一組數據份對應的加密數據。該方法還包括通過把所述加密數據分裂重新產生所述一組數據份并對重新產生的數據份進行重新認證。該方法還包括在存儲網絡中至少存儲重新產生的數據份的第一子集。在一些實施例中，分裂包括使用信息分散算法。在一些實施例中，認證包括使用認證密鑰。在一些實施例中，重新產生所述一組數據份包括使用分裂密鑰。在一些實施例中，存儲網絡包括私有云、公有云、混合云、可移動存儲裝置和海量存儲裝置中的一個。在一些實施例中，首標對應于少于各個份的全部首標。在一些實施例中，重新認證包括使用與用于所述認證的第一認證密鑰不同的第二認證密鑰。在一些實施例中，該過程包括從安全存儲網絡檢索與數據份的第二子集關聯的首標，從檢索到的首標中提取密鑰加密密鑰，用該密鑰加密密鑰對第二認證密鑰加密，并把加密的本文檔來自技高網...

【技術保護點】

【技術特征摘要】
【國外來華專利技術】2010.03.31 US 61/319,658;2010.04.01 US 61/320,2421.一種用于對從使用第一分裂密鑰通過信息分散算法設置的加密數據產生的一組數據份進行重建的方法，該方法包括 至少接收重建所述一組數據份所需的最小數目的數據份；以及在不解密所述最小數目的數據份的情況下從所述最小數目的數據份重建所述一組數據份。2.根據權利要求1的方法，其中，響應于確定一個或多個所述數據份已被泄露而執行所述重建。3.根據權利要求1的方法，還包括把至少一個重建的數據份存儲在存儲網絡上。4.根據權利要求3的方法，其中，存儲網絡包括私有云、公有云、混合云、可移動存儲裝置和海量存儲裝置中的一個。5.根據權利要求1的方法，其中，重建包括 利用認證密鑰對所述最小數目的數據份進行認證； 使用所述分裂密鑰從認證后的最小數目的數據份重構所述加密數據； 通過使用所述分裂密鑰把所述加密數據分裂而重新產生所述一組數據份。6.一種用于對從使用第一加密密鑰通過信息分散算法設置的加密數據產生的一組數據份重新加密鑰的方法，該方法包括 至少接收重建所述一組數據份所需的最小數目的數據份； 把所述最小數目的數據份與第一認證密鑰相關聯； 在不解密所述最小數目的數據份的情況下從所述最小數目的數據份重建所述一組數據份；以及 通過將重建的一組數據份與第二加密密鑰相關聯而對重建的一組數據份重新加密鑰。7.根據權利要求6的方法，還包括 檢索與所述最小數目的數據份關聯的首標； 從檢索到的首標提取密鑰加密密鑰； 利用密鑰加密密鑰對第二加密密鑰進行加密；以及 把加密的第二認證密鑰存儲在重新加密鑰后的數據份的首標內。8.根據權利要求6的方法，還包括把重新加密鑰后的數據份中的至少一個存儲在存儲網絡上。9.根據權利要求8的方法，其中，存儲網絡包括私有云、公有云、混合云、可移動存儲裝置和海量存儲裝置中的一個。10.一種用于對從使用第一分裂密鑰通過信息分散算法設置的加密數據產生的一組數據份重新加密鑰的方法，該方法包括 至少接收重建所述一組數據份所需的最小數目的數據份； 在不解密所述最小數目的數據份的情況下從所述最小數目的數據份重建所述一組數據份；以及 通過將重建的一組數據份與第二分裂密鑰相關聯而對重建的一組數據份重新加密鑰。11.根據權利要求10的方法，還包括 檢索與所述最小數目的數據份關聯的首標； 從檢索到的首標提取密鑰加密密鑰；利用密鑰加密密鑰對第二分裂密鑰進行加密；以及 把加密的第二分裂密鑰存儲在重新加密鑰后的數據份的首標內。12.根據權利要求10的方法，還包括把重新加密鑰后的數據份中的至少一個存儲在存儲網絡上。13.根據權利要求11的方法，其中，存儲網絡包括私有云、公有云、混合云、可移動存儲裝置和海量存儲裝置中的一個。14.一種用于在存儲網絡的文件系統上把存根與一組數據份相關聯的方法，該方法包括 從通過信息分散算法設置的加密數據產生所述一組數據份； 產生與所產生的數據份關聯的一組存根，其中每個存根對應于一個相應的數據份，并且其中每個存根包括與相應數據份關聯的信息；以及把該組存根存儲在存儲網絡上的位置。15.根據權利要求14的方法，其中，所述信息包括相應數據份的名稱、相應數據份的創建日期、相應數據份的最后修改時間、指向相應數據份在文件系統內的位置的指針中的一個。16.根據權利要求14的方法,其中，存儲網絡包括與私有云、公有云、混合云、可移動存儲裝置和海量存儲裝置中的一個關聯的一個或多個存儲裝置。17.根據權利要求14的方法，還包括 接收觀看與產生的數據份關聯的信息的命令； 從存儲網絡上的所述位置檢索所述存根； 從所述存根提取所述信息以創建數據份的文件系統；以及 顯示數據份的文件系統。18.根據權利要求14的方法，其中存根被存儲在產生的數據份的首標內，并且其中檢索包括檢索產生的數據份的首標。19.根據權利要求18的方法，其中，少于所有首標的首標被檢索。20.根據權利要求14的方法，其中存根被存儲在存根目錄中，并且其中檢索包括從存根目錄檢索存根。21.根據權利要求14的方法，還包括 接收存儲網絡中用于存儲存根的虛擬目錄或物理目錄的指示。22.根據權利要求21的方...

【專利技術屬性】
技術研發人員：R·L·奧爾西尼，M·S·奧黑爾，
申請(專利權)人：安全第一公司，
類型：
國別省市：