采用物理分割的多云安全技术的制作方法

本发明是一项云安全技术，是一个将信息进行物理分割存储和逆向合成的计算机系统。它能将存储信息按照一定的算法，强行进行切割，存储到不同的云服务器之中，使得没有一个通用的物理手段可以让第三方将这些信息还原。

背景技术：

最近美国苹果公司传出的明星照片泄漏事件，是一个最好的例子。这些照片是从苹果公司的云空间里泄漏出去的，换句话说，个人的手机和电脑都是安、全的，但云空间不安全。这是一个新型的安全问题。谷歌的电邮门事件是另一种类型的安全问题，它说的是，云端是安全的，但是云服务供应商的内部员工可以看到用户的全部信息。同时，美国政府的行政监管也让大家对存储在云里的数据有了安全上的顾虑，比如斯洛登事件。当大家都在将信息往云端转移的时候，云端是否安全就成为了一个重要的指标。无论我们如何去评估，要绝对信任云服务供应商是不可能的。那么如何有效的利用云技术来提高我们的生产力，同时又没有安全顾虑，就是一个重要的计算机技术课题。

技术实现要素：

针对云端的安全问题，我们采取的基本原则是不信任任何一家云服务供应商。我们都知道，每一家云服务供应商都会许诺他们系统的安全性没有任何问题，但这些许诺并没有办法兑现。既然我们无法信任单一的云服务供应商，我们采取的办法是：我们将我们要存储的信息进行物理分割，然后在每一个云服务供应商那都放一小点儿。这样做的好处是，如果某一个云服务供应商出了问题，那么我们泄漏的也只是所有信息的一部分。根据香农定律，黑客是无法从这些信息反推出全部信息的。退一部来讲，如果所有的云服务供应商都被攻陷了，黑客也很难找到信息合成的方法。即云服务供应商A的哪一部分信息和云 服务供应商B的哪一部分信息放在一起，才可以合成我们想要的信息。以此为理论基础，采用物理分割的多云安全技术就是将信息进行分割存储和逆向合成的计算机系统。物理分割，在这里是特指将存储信息的二进制比特流，按照一定的算法，强行进行切割。如果我们将这种分割和文件物理存储到磁盘阵列进行比较，那么它们的相同之处在于，它们都是将比特流物理分割，然后放到不同的地方(不同的云，或者不同的磁盘)进行存储；不同的地方在于，磁盘阵列是一种有序的逻辑分配，而且存放的内容在同一个地点(同一个磁盘阵列之中)，第三方的人员(黑客)可以通过通用的物理手段将这些信息还原。多云存储是将比特流通过Internet存储到不同公司的云服务器之中，一般来说第三方无法从云服务商那里将别人的信息读出来，云服务商本身可以将存储在它们自己家的信息读出来，但无法读到存入别的云服务商的信息。换一句话说，没有一个通用的物理手段可以让第三方将这些信息还原。另外一个重大的区别在于，我们对信息的物理分割算法，会最大程度的将信息量平均分配，所以用户没有从局部信息来还原一部分有用信息的可能性。

附图说明

图1多云安全管理系统子系统关系图

图2多云安全管理系统的系统级应用图

图3多云管理系统的使用过程图

图4用户信息使用流程图

图5图片存储的DOCKER方案流程图

具体实施方式

采用物理分割的多云安全管理系统是一个复杂的系统，为了便于我们的描述，我们可以把它拆分成几个子系统，这样就便于我们的理解了。本系统可以分为三个子系统，多云安全系统客户端，多云安全系统安全服务器，多云安全系统云端。为了描述方便，我们以后简称客户端，安全服务器和云端。这三个子系统是相互关联的。其关系如图1所示。在这个系统里，安全服务器是可选的应用。换句话说，如果系统只有客户端和云端，那么系统也可以完成一定的安全存储功能。

客户端：客户端是一个嵌入式的系统服务程序，它向它的调入者提供接入多云安全系统的服务。在第一个阶段，我们会优先考虑对IOS和安卓系统的支持，在第二阶段，我们也会考虑PC和LINUX桌面系统。多云安全系统的服务对最终的用户是透明的，用户完全不需要理解复杂的系统流程，他(她)只需要知道他(她)们的信息是安全的就足够了。多云安全系统对最终用户的数量也没有限制，由于它最终是靠云服务商的支持，所以理论上它可以支持全世界所有云可以支持的总和。对于大多数用户而言，他们并不关心后台有多少个云在提供服务。在客户端我们需要保留一个用户的密钥存储系统，在第一次生成该系统时，客户端需要与安全服务器联系，这样的话可以简化用户生成多云密钥的过程，同时也可以保留一个备份在安全服务器。当用户拿到多个云的密钥之后，用户就可以自由地与多云系统联系了。这个时候客户端所起的主要作用是，分解和组装用户的保密信息。当用户希望向云端存储信息时，客户端会负责把信息进行分解；当客户端希望从云端读回信息时，客户端又负责将云端信息进行组装。

客户端主要有三个功能模块组成：客户应用程式，客户端用户调用库和客 户端用户信息本地备份(包括该用户的组合密码和多云注册码)。客户应用程序在这里是指任何一个使用多云安全系统的应用程序，它可以是我们推荐的保密照片存储系统或者是保密文件存储系统，也可以是由第三方开发的应用产品。一般来说，客户应用程序只和客户端用户调用库发生关系，它通过调用库支持的系统api，进行相应的安全操作。客户端用户调用库是由一组api组成的，它主要是对客户应用程序提供支持；同时，它也能够对内定的数据结构，比如说用户信息的本地备份进行操作，同时它还可以同远地的云端，或者是安全服务器进行通信。客户端用户调用库主要由四个模块组成：登录和会话管理模块，多云注册管理模块，数据上传管理模块，数据下载管理模块。客户端用户信息本地备份是一个内部的数据库，它主要包括了用户的组合密码和用户的多云注册码。这些信息本身在安全服务器是有一个备份的，所以说如果当本地信息丢失的时候，它还可以从安全服务器取回。安全服务器的备份是可选的，也就是说如果用户有方法保证本地信息不会丢失，那么他可以选择不在安全服务器进行备份。

安全服务器：安全服务器的主要功能有三个，第一条是简化客户端对多云系统的管理，客户不需要对每个云系统进行注册，他只需要在安全服务器注册一次，安全服务器就会自动的在所有的云系统中进行自动注册；第二条是对于多云的密钥进行备份，比如用户丢失了手机之后，用户还可以在云中心取回原来的密码；第三条是，安全服务器还可以生成并提供多云组合密码，多云组合密码是另外一层安全措施，他可以保证在云端被破解之后，黑客也无法重组从多个云端取回的信息。

安全服务器主要由四个模块组成：安全服务器WEB界面，组合密码生成器，用户多云注册器，以及用户信息的离线存储。安全服务器WEB界面是安全服务 器同外部打交道的接口，用户可以直接使用浏览器对安全服务器进行访问，也可以通过客户端用户调用库，对安全服务器的api进行访问。组合密码生成器，是为每个用户产生组合密码的功能模块。它的主要功能是为用户提供组合密码，它本身会根据云的数量的多少，和用户对组合强度的要求，以及对于每一个云的数据多少的分配进行动态调整。用户多云注册器，主要是一个方便用户对多个云服务进行注册的功能模块。它可以使用户只提供一次用户信息，就可以在多个云服务商那里同时进行注册，这样省去了用户对每一个云服务商进行分别注册的麻烦。用户信息离线存储系统，是指安全服务器对用户信息，主要是用户的组合密码和用户的多云注册密码的备份。它的基本原理是，它每24小时会把用户的新注册的信息，包括组合密码和注册码，进行离线备份，备份后的数据会被删掉。这样，如果安全服务器被攻陷，用户的信息也不会被泄密。那么如果用户需要取回它所存储的备份密码时，他需要提出取回申请，然后由系统再手动将相应的信息从离线数据库中找到，再临时放回到有线数据库中，这些数据再24小时之后会被再次删掉。

云端：云端是真正的多个物理云存储系统，它可以是微软的云，也可以是亚马逊的云，或者阿里的云。云端主要有两个功能，第一个是文件的存储功能，这个每家云都已经有了足够强大的支持，我们主要是依赖每个云的系统接口；第二个是抽象数据的支持比如数据库，或者是企业级的应用，在这方面我们基本上准备沿用DOCKER的方法。这样做的好处是我们只需要开发一个云的应用就可以放到多个云的系统上，缺点是我们必须要求云端有DOCKER的支持。

云端主要有二个模块组成：云服务的API支持系统和云文件存储系统。我们对云端其实没有多少控制，那么云端的功能模块主要是由每个云服务商自行提供的，每个云服务商的api基本上都不太会一样。

我想现在大家基本上已经对多云安全系统有了一个基本的了解，下面我们再从系统级的应用来讲述一下多云管理系统。首先请大家看一下图2。

从这张图上我们可以清楚地看到，就系统而言，客户端，安全服务器和云端都是挂在互联网上的三个应用。下面我们就从一个简单的应用系统来讲述一下这三者是如何互相调用来完成安全存储的。我们举的例子就是用户使用手机，将手机中的照片存储到云上。等同于任何一个目前的手机应用程序，用户大致需要三步来完成整个应用。第一步是用户下载一个应用程序，然后安装在手机之中；第二步是，用户需要向安全服务器进行注册，取得授权；最后一步是用户使用手机，上载照片或者是下载浏览。对于第一步我们就不做详细介绍了，因为这个是手机的基本功能，我们下面着重对第二步和第三步进行一个详细的探讨。

想象一下，对于多云安全系统，我们是希望云越多越好，这样有助于提高系统的安全性。但是那么多的云系统，如果每一个都需要用户去输入一大堆的用户信息，密码等等，这是一件非常繁琐的工作，用户体验会非常太好，而且用户也无法记住。安全服务器的主要功能就是帮助用户在多个云中进行注册，同时也保留一份用户在多个云系统的备份信息。一般来说，用户可以使用两个不同的界面来进行注册。一个是通过浏览器直接从安全服务器的WEB界面进行注册，另外一个方法是通过某一个客户应用程序，通过客户调用库，连到安全服务器进行注册。不管使用哪种方法，当系统进行注册时，它都会调用一个多云用户注册的支援程序，主动的去和多个云服务商进行联系，然后将用户授权的信息，传到各个云服务商那里，同时将注册码取回。这个时候请看图3。下面我们以DROPBOX为例，讲述一下这个过程。这里是DROPBOX的商业API的网址： https：//www.dropbox.com/developers/business。DROPBOX的API主要分为核 心API和商业API两种，要想完成自动注册，我们需要使用商用API。当用户提供了足够的信息并且授权我们进行多云注册之后，我们只需要将相应的信息提供给DROPBOX的商业API的组员管理模块，DROPBOX就会自动完成注册并返回相应的注册信息。如果参见图1，那么这个过程就是B1到B4。首先，客户端会向安全服务器提出注册申请(B1)；安全服务器收到申请后，会根据客户的请求，向云服务商发出注册请求(B2)；云服务商会依据安全服务器所提供的信息决定是否给予用户云存储的权利(B3)；安全服务器会把这个结果返回给客户端(B4)。其他云服务商的工作原理和DROPBOX类似。

当然我们充分理解这对于安全服务器的安全性提出了很大的挑战，所以我们采取了类似于银行的方法来保存用户的数据。让用户进行注册时，安全服务器会有一个短暂的时间，保存用户的多云数据，这个时间会小于24小时。每24小时，安全服务器会将其数据下载到一个物理分隔的安全机房，然后删除其在安全服务器的存储。这样就算是有黑客入侵了安全服务器，也拿不到绝大多数用户的安全数据。当然，这样做的后果是，如果用户想要恢复其安全数据，那么会有一个比较长时间的延迟。我们认为，恢复用户数据本身就是一个比较少见的操作，而以此来换取安全性是比较值得的。从商业模式上来说，我们可能会对用户恢复数据进行收费，这样也可以有效的减低用户对于恢复数据的操作，同时也可以使得安全服务器的运营更有商业价值。安全服务器会要求用户提供一份，从多家云系统注册所需要信息的超级，这样的话，安全服务器就可以将其分解为每家云服务需要的信息，然后进行注册。同时，安全服务器还会生成一个随机的多云组合码，这可以确保，用户在信息分解时，可以按照组合码进行分解，这样只有掌握组合码的客户端，才可以进行重组。

下面我们再来看一下用户对于信息的使用流程，请看图4。

从流程图上我们可以看出，当用户要存储一张照片的时候，我们先将照片进行物理分割，然后上传到多个云中，当用户想要浏览这张照片的时候，用户需要从多个云端进行下载，然后重组。如果从客户端的功能模块角度来看，那么客户应用程序就是保密照片浏览器。当用户拍摄了一张照片之后，他可以去调用客户端用户调用库里的api，将照片进行多云存储。这时候，用户库就会将这个信息进行自动分割，然后放到多个云上去。当用户想要去查看这张照片的时候，他再通过系统的api，申请从多个云中将信息取回，然后用户库会自动将这些信息进行重组，再显示给用户。如果用户首先调用登录和会话管理模块，完成身份验证，这样就可以取得本地的组合密码和多云注册码。然后用户可以调用数据上传管理模块，向多个云里存储数据，或者调用数据下载管理模块，从多个云端下载信息。如果参见图1，那么这个过程就是：客户端先向安全服务器请求组合密码(A1)；安全服务器会调用组合密码生成模块去生成一个新的组合密码并返回给用户(A2)；客户端然后会向各个云端发起存储请求(C1)；在云端同意的情况下客户端会将有关信息在组合密码的设定下传跟云端并得到云端确认(C2)；当客户端想要取回信息时，客户端会根据组合密码发出信息读取的请求给云端(D1)；云端在收到请求后会根据用户的权限给予用户相应的信息，客户端在根据组合密码重组信息并显示给最终用户(D2)。在客户端与云端进行信息交互的时候，客户端不再依赖于安全服务器。

图片存储是一个以文件为主的安全问题，下面我们再来看一个企业级的安全应用。假设一个银行需要在云中存储及用户信息，如果将所有的信息都存储在一个云端，这显然是一个安全隐患。可是如果需要在每个云端都新开发这个云的应用，那么工作量又太大了。我们这时可以用DOCKER的方案。请见图5。

Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依 赖包到一个可移植的容器中，然后发布到任何流行的Linux机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口(类似iPhone的app)。几乎没有性能开销，可以很容易地在机器和数据中心中运行。最重要的是，他们不依赖于任何语言、框架或包括系统。

使用DOCKER的方案，我们只需要开发企业级应用一次，然后在支持DOCKER的多个云端实现，就可以将企业级的信息用同样的方法进行物理分割，然后交付多个云端存储。