加密的网络存储空间的制作方法
【专利说明】加密的网络存储空间
[0001]相关申请的交叉参考
本申请要求提交于2013年3月13日的61/779,984及提交于2013年3月22日的61/804,501的美国临时申请的优先权,其内容通过引用结合在此处。
技术领域
[0002]本发明涉及加密存储。
【背景技术】
[0003]虚拟云网络指的是由第三方提供并维护的并且可由用户通过数据通信网络访问的硬件和软件资源的集合,其包括能够访问互联网的有线网络和无线网络。各种方法已经提出并实施以保护储存在连接至互联网的远端设备及计算机上的私有数据。传统的云数据存储解决方案包括非加密存储及加密存储。所述加密存储解决方案可包括磁盘加密或文件加密,这两种方案都利用了加密密钥保护数据。包含加密存储解决方案的远端设备和计算机是可访问的并由系统管理员维护。系统管理员及计算机系统控制加密密钥,其通常储存在数据库中,以便解密或读取任何受保护的数据。远程数据存储解决方案的用户通常可以通过使用登录信息和密码访问他们载于连接至互联网的设备和计算机中的数据。用户通常不维护或控制用于他们的数据的加密密钥。大多数远程数据存储解决方案主要被消费者和商家使用,这些人想安全地将他们的私有数据储存于可通过互联网访问的远程位置。典型的安全数据存储解决方案包含许多潜在的安全问题,在此有必要(a)安全的将数据存储在由系统管理员和计算机系统控制的远端设备和计算机上,及(b)安全的访问由系统管理员和计算机系统维护的在远端设备和计算机上的私有数据及数据库。
[0004]例如,Lumme-Mak1-V印salainen(美国专利申请 US20130019299 A1)讲授了一种方法,其包括:响应一访问需要认证的用户特定储存数据的需求,将对于所述储存的数据的请求发送进入一数据云,该请求并不识别该用户。尽管Lumme-Mak1-Vepsalainen通过消除对于试图访问他们的远程数据存储的用户的识别需求提供了安全增强,仍然存在着对不需要系统管理员能力的更安全的加密数据存储的需要以:(a)创建或者储存加密密钥以及(b)解密或读取任何保密的数据。也有必要在远程访问连接至互联网的设备及计算机上的数据和数据库时增加安全性及匿名性。
【发明内容】
[0005]根据本发明的一个方面,一种在远端设备(例如服务器、计算机、智能手机等等)上存储加密数据的方法,包括:将一唯一标识符(unique identifier)及一用户密码经由网络从一客户端设备传输至所述远端设备,所述唯一标识符特定于(specific to) 一唯一存储空间。所述方法进一步包括所述远端设备使用所述唯一标识符及用户密码生成特定于所述唯一存储空间的加密密钥,将未加密的数据从所述客户端设备传输至所述唯一存储空间,通过所述远端设备使用所述加密密钥加密所述未加密的数据,生成加密数据,储存所述加密数据于所述唯一存储空间中,以及从所述远端设备中删除所述未加密的数据及所述加密密钥。
[0006]根据本发明的另一个方面,一种从远端设备提取(retrieving)数据的方法包括将一唯一标识符及一用户密码经由网络从一客户端设备传输至所述远端设备,所述唯一标识符特定于一唯一存储空间。该方法进一步包括所述远端设备使用所述唯一标识符及所述用户密码生成特定于所述唯一存储空间的加密密钥,由所述远端设备使用所述加密密钥解密加密的数据,生成解密的数据,将所述解密的数据自所述唯一存储空间传输至所述客户端设备,以及从所述远端设备中删除所述解密的数据及所述加密密钥。
[0007]根据本发明的另一个方面,一种用于储存加密的数据的设备(例如服务器、计算机、智能手机等等),包括:存储装置(storage ),定义至少一个唯一存储空间,所述至少一个唯一存储空间与一唯一标识符相关联。该设备进一步包括网络接口控制器,用于经由网络连接至一客户端设备。该设备进一步包括一加密引擎,其配置为接收来自所述客户端设备的所述唯一标识符及一用户密码,使用所述唯一标识符和所述用户密码生成特定于所述唯一存储空间的加密密钥,使用所述加密密钥加密接收自所述客户端设备的数据,并将加密的数据储存于所述唯一存储空间中,按照所述客户端设备的要求使用所述加密密钥解密数据,并发送解密的数据至所述客户端设备,以及删除所述加密密钥、未加密的数据及解密的数据。
【附图说明】
[0008]本发明的实施例将参考附图并仅通过示例的方式描述,其中:
图1为一软件组件框图;
图2为一硬件组件框图;
图3为一创建唯一加密云及数据存储装置(storage)的流程框图;
图4为一认证至唯一加密云及数据存储装置(storage)的流程框图;
图5为在一唯一加密云上加密及储存数据的流程框图;以及图6为自一唯一加密云及数据存储装置(storage)解密及读取数据的流程框图。
【具体实施方式】
[0009]本发明涉及在接入互联网的远端设备及计算机上存储加密数据。尤其是,本发明涉及创建及保护在虚拟云网络中的远端设备及计算机上的数据存储装置(data storage)及数据库。尤其是,本发明可提供在虚拟云网络内对加密数据存储装置(data storage)及数据库的安全及匿名的访问。
[0010]本发明可提供在远端设备及计算机上安全地创建和访问加密的数据存储,而不需要那些可被任何人或系统访问的加密密钥。一种用于创建和访问加密数据存储的机制允许用户(a)在远端设备及计算机上安全地创建加密数据存储,(b)对所需的信息保持控制,以便远离远端设备及计算机创建加密密钥,及(c )安全地且匿名地访问远程储存的加密数据。这些进程的结合应用允许安全加密数据储存的创建,该安全加密数据储存仅可由在接入互联网的远端设备及计算机上发起这种用户加密数据储存的用户访问及维护。
[0011]本发明可提供给远程数据存储解决方案的用户信息的独占权和接入,所述信息为在他们远程访问他们的加密数据存储装置(storage )期间创建其私有加密密钥作为其认证会话的一部分时需要的信息。尤其是,用户的私有加密密钥从不储存于任何用于由系统管理员或计算机系统访问的数据库内。所述加密密钥在所述用户发起的加密和解密进程期间由系统实时生成,这些进程要求明确的用户批准且仅能由特定用户的请求触发。
[0012]本发明可提供给用户对其保存在接入互联网的远端设备和计算机上的加密数据的完全控制,通过将他们的加密数据值储存在数据库中以及将他们的加密文件储存于云存储空间中,为了完全的数据隐私和安全,包括全部的系统和日志。本发明可通过在所述远端存储设备或计算机上的安全认证进程提供对于用户加密数据的安全访问。通过成功认证,用户可以将数据文件储存在加密云存储空间,或将数据值储存在加密云数据库中。所述加密云数据库和加密云存储可由在远端设备或计算机上可用的其他系统认证应用或应用程序使用。所述应用包括浏览及下载应用程序、安全文件分享应用程序、安全电子邮件应用程序及安全的文档、声音和视频应用程序。这些基于云的应用可以为了完全的用户数据隐私安全地储存加密数据值如加密的用户历史和日志,加密的用户邮件及加密的用户聊天记录、声音及视频日志。本发明可提供给用户对于其位于连接至互联网及虚拟云网络的远端设备及计算机上的加密存储解决方案中的数据的访问的完全控制。
[0013]现更详细地介绍本发明,在图1和图2中分别展示了大量的软件及硬件组件,这些组件可用于实施本发明的实施例:
100-加密引擎 110-生成加密和解密密钥 120-加密数据 130-解密数据
140-生成密码杂凑(Cryptographic Hash)
150-生成唯一云识别符
200-云认证引擎
210-创建唯一加密云存储空间
220-认证到唯一加密云
230-创建认证会话
300-处理器
302-输入设备
304-图形处理器
306-网络接口控制器
320-处理器
322-内存
324-网络接口控制器 326-储存设备
901-个人加密密钥
902-个人访问密码
903-唯一云储存识别符
904-已认证会话 905-云计算机数据库
906-云计算机存储空间
907-输入数据
908-图形用户界面(⑶I)
909-客户端设备或计算机
910-服务器计算机
参考图2,所述客户端设备909可包括处理器(例如CPU)300、输入设备302、图形处理器(例如GPU)304、网络接口控制器306及内存(未示出)。所述服务器910可包括处理器(例如CPU)320、随机存取存储器(RAM)322、网络接口控制器324及作为云计算机数据库905运行的储存设备326、云计算机文件存储装置906等等。所述服务器910为远端设备的一示例,远端设备的其他示例包括计算机、移动设备(例如智能手机)等类似设备。
[0014]首先参考图1和图2的实施例,通过用户访问远端服务器计算机910创建唯一加密云存储空间210。当用户要求及请求时,加密密钥110在运行期间被生成及使用。加密密钥110优选不在任何地方储存并不被任何个人或系统访问;在数据或数据库的加密及解密期间,加密密钥110临时位于内存中。经认证的用户可以安全地储存(a)在加密云计算机储存空间906中的数据文件及(b)在加密云计算机数据库905中的数据值,然而系统管理员和计算机系统不能读取或访问加密密钥110且不能读取或访问所述加密数据。
[0015]更详细地,仍参考图1和图2的实施例,本发明允许用户从客户端设备或计算机909创建唯一加密云存储装置210,在图形用户界面(⑶1)