一种用于对云数据存储的方法和系统与流程

文档序号：16382312发布日期：2018-12-22 09:35阅读：374来源：国知局

本发明涉及云计算技术领域，具体而言，涉及一种用于对云数据存储的方法和系统。

背景技术

近年来的一个重要趋势是数据和服务向基于云的系统的转移。个人和组织越来越依赖基于云的数据存储，即使对于敏感数据也是如此。基于云的数据存储可以提供许多优点，例如改进的数据访问。可以从几乎任何位置访问云数据存储并使用各种计算设备。许多云服务提供可以促进协作和通信的数据共享功能。

不幸的是，云数据存储服务的用户也可能放弃对其数据的某些控制。用户可能不知道云服务的数据存储设施的物理位置。云服务可以在不通知用户的情况下在位置之间移动数据随着数据从一个位置移动到另一个位置，数据可能属于各种法律管辖区，每个法律管辖区都有自己的法律来管理何时必须向政府实体披露数据。

云存储用户可以相当信任云服务提供商，即安全策略是充分和可观察的。此外，云数据存储的可访问性还可能意味着位于任何地方的黑客可能会尝试访问数据。管理数据可访问性的合同或法律要求甚至可能完全排除使用云存储。因此，本公开识别并解决了对用于对云数据存储进行位置感知访问的附加和改进系统的需求。

技术实现要素：

本发明提出了一种用于对云数据存储的方法，该方法用于进行位置感知访问，至少一部分由包括至少一个处理器的计算设备执行，该方法包括：

获得管理对云数据存储的访问的位置策略，该位置策略指定要访问的位置规则以便访问云数据存储中的文件，该位置规则包括标识用于该数据存储位置的许可数据存储位置的位置标准；云数据存储不同于允许访问云数据存储的请求的允许请求位置；

从客户端系统接收访问云数据存储中的至少一个文件的请求；

验证请求是否满足位置规则，因此通过验证云数据存储位于允许的数据存储位置内来符合位置策略；

通过不同于云数据存储的位置服务向客户端系统提供，并且响应于验证云数据存储位于允许的数据存储位置，通过提供到云数据存储中的文件的访问客户端系统是一个加密元素；

在通过位置服务向客户端系统提供加密元素之后，由客户端系统从云数据存储中检索文件；和

客户端系统使用密码元件对文件进行解密，其中将密码元素提供给客户端系统使客户端系统能够直接从云数据存储器下载和解密文件，而不是通过位置服务接收文件。

所述的方法，还包括通过从用户接收作为用户认证到云数据存储的凭证来发起对云数据存储中的文件的加密。

所述的方法，启动对云数据存储中的文件的加密还包括：响应于接收到凭证，将用户认证到云数据存储。

所述的方法，启动云数据存储中的文件的加密还包括：

生成用于加密和解密云数据存储中的文件的加密元素；和

使用加密元素加密云数据存储中的文件。

所述的方法，所述位置服务由计算安全服务提供商提供；位置规则包括：

标识云数据存储的允许数据存储位置的位置标准；和

一个附加位置标准，用于标识允许访问云数据存储的请求的允许请求位置；和

验证请求满足位置规则包括验证位置标准和附加位置标准都满足。

所述的方法，还包括通过以下方式撤销先前提供给云数据存储中的文件的访问：

使用从用户接收的凭证作为云数据存储的用户进行身份验证；

生成至少一个新的加密元素，用于加密和解密云数据存储中的文件；

使用加密元素解密云数据存储中的文件；和

使用新的加密元素重新加密云数据存储中的文件。

所述的方法，所述位置规则利用因特网协议地址识别所述允许的数据存储位置；其中密码元素是非对称密钥对的一部分，其包括：

公共加密密钥；和私有解密密钥；和其中，使用加密元件加密云数据存储中的文件包括将公共加密密钥提供给加密客户端以加密云数据存储中的文件；其中所述密码客户端包括以下中的至少一个：客户系统；和云数据存储。

所述的方法，所述云数据存储的所述允许数据存储位置包括所述云数据存储的允许地理位置区域；其中所述位置规则要求使用地理位置标识符或以下两个或更多个的组合来标识所述允许的数据存储位置：

互联网协议地址；

安全套接字层证书中的位置信息；

硬件证明签名；

媒体访问控制地址；

自治系统编号；和

边界网关协议信息。

一种用于对云数据存储的系统，该系统包括：

存储在存储器中的策略模块，其作为位置服务的一部分获得管理对云数据存储的访问的位置策略，该位置策略指定要满足的位置规则以便访问云数据存储中的文件，所述位置规则包括位置标准，所述位置标准将云数据存储的允许数据存储位置标识为与允许访问云数据存储的请求的允许请求位置不同；

存储在存储器中的通信模块，其从客户端系统接收作为位置服务的一部分的请求，以访问云数据存储中的至少一个文件，位置服务和云数据存储是不同的；

存储在存储器中的验证模块，其验证作为位置服务的一部分，该请求满足位置规则，并因此通过验证云数据存储位于允许的数据存储位置内来符合位置策略；

存储在存储器中的访问模块，作为位置服务的一部分提供给客户端系统，并且响应于验证云数据存储位于允许的数据存储位置，访问云数据存储中的文件通过向客户端系统提供加密元素；

客户端系统：

在从位置服务接收到加密元素之后，从云数据存储中检索文件；和

使用加密元件解密文件，其中将加密元素提供给客户端系统使客户端系统能够直接从云数据存储下载和解密文件，而不是通过位置服务接收文件；和

至少一个物理处理器，用于执行策略模块，通信模块，验证模块和访问模块。

附图说明

从以下结合附图的描述可以进一步理解本发明。图中的部件不一定按比例绘制，而是将重点放在示出实施例的原理上。在图中，在不同的视图中，相同的附图标记指定对应的部分。

图1是本发明的用于对云数据存储的方法的示意图。

具体实施方式

为了使得本发明的目的、技术方案及优点更加清楚明白，以下结合其实施例，对本发明进行进一步详细说明；应当理解，此处所描述的具体实施例仅用于解释本发明，并不用于限定本发明。对于本领域技术人员而言，在查阅以下详细描述之后，本实施例的其它系统、方法和/或特征将变得显而易见。旨在所有此类附加的系统、方法、特征和优点都包括在本说明书内、包括在本发明的范围内，并且受所附权利要求书的保护。在以下详细描述描述了所公开的实施例的另外的特征，并且这些特征根据以下将详细描述将是显而易见的。

如图1所示，为本发明提出了一种用于对云数据存储的方法，该方法用于进行位置感知访问，至少一部分由包括至少一个处理器的计算设备执行，该方法包括：