数据安全管理系统的制作方法
【专利说明】数据安全管理系统
[0001]相关申请交叉引用
[0002]本申请要求享有于2012年9月10日提交的序列号为61/699,274的美国临时专利申请的利益,其内容完全以引用方式并入本申请。
技术领域
[0004]本专利申请一般涉及数据管理技术,更具体地涉及一种数据安全管理系统,该系统为云计算应用提供额外的安全,并允许用户在任何时间从任何地点控制存在于任何设备的数据的数据安全性。
【背景技术】
[0006]世界上超过60%的公司首席信息官担心云计算的安全性,特别是云数据的安全性。关于云计算的数据安全的主要问题之一是,存在于云数据中心的数据可以通过云数据中心服务提供商的员工及第三方承包商访问。因此,希望允许用户在任何时间从任何地点控制存在于任何设备的数据的数据安全性,这些设备可包括云数据中心、终端设备、USB设备等。
【发明内容】
[0008]本专利申请涉及一种数据安全管理系统。该系统包括:安全服务器,配置为存储一个或多个用于加密一个或多个文件或任何数据以及一个或多个解密密钥用于解密相应的加密文件或数据;一个或多个第一计算装置,配置为发送携带授权限制的访问授权列表到所述安全服务器、向所述安全服务器请求加密密钥、以及利用从所述安全服务器接收到的所述加密密钥加密一个或多个文件或数据;一个或多个第二计算装置,配置为向所述安全服务器请求解密密钥、并使用从所述安全服务器接收到的所述解密密钥解密一个或多个加密文件;和云存储或任何数据存储,配置为在使用所述第一计算装置的第一用户和使用所述第二计算装置的第二用户之间共享所述文件。所述安全服务器配置为根据验证所述第二用户是否在所述访问授权列表及在所述授权限制内来确定是否将所述解密密钥发送给所述第二计算装置。
【附图说明】
[0010]图1示出了根据本专利申请一种实施例的作为数据安全管理系统的一部分的基于计算机的应用程序。
[0011]图2示出了根据本专利申请一种实施例的数据安全管理系统的操作。
[0012]图3示出了根据本专利申请一种实施例的数据安全管理系统的基础体系结构。
[0013]图4示出了根据本专利申请一种实施例的在uSave App和安全服务器之间的通信处理以完成在数据安全管理系统中的文件加密。
[0014]图5示出了根据本专利申请一种实施例的在uSave App和安全服务器之间的通信处理以完成在数据安全管理系统中的文件解密。
[0015]详细说明
[0016]现在将参考本专利申请中披露的数据安全管理系统的优选实施方式进行详细说明,这些例子也将在随后的说明中给出。尽管为了清楚起见,某些对于理解数据安全管理系统来说并非特别重要的技术特征未呈现出来,但是对于相关领域技术人员而言,它们是显而易见的。
[0017]此外,应当理解,本专利申请中披露的数据安全管理系统并不限于以下描述的具体实施例,本领域技术人员可以在不脱离本申请保护的实质或范围的情况下进行各种改变和修改。例如,不同的说明性实施例的元件和/或特征可以在本申请的范围内彼此结合和/或相互替换。
[0018]图1示出了根据本专利申请一种实施例的作为数据安全管理系统的一部分的基于计算机的应用程序。参照图1,存在一个或多个用户,每个用户从应用程序商店(如谷歌市场、苹果商店和微软商店等)或网站(如图1所示的“nwStor Website”下载应用程序到一个或多个设备,该应用程序在下文中也称为uSav App,该设备为诸如智能电话、膝上型电脑、iPad、平板电脑等。在使用数据安全管理系统之前,每个用户都必须注册并新建账户。在本实施例中,所要求的来自用户的注册信息为如下:
[0019]1.姓名(非验证,以保护隐私)
[0020]2.电子邮件地址(也用于密码恢复)
[0021]3.用户ID:在系统数据库中必须是唯一的(用户ID可以但不限于用户的电子邮件地址)。
[0022]4.认证方法的选择(下文将更详细地描述认证方法)
[0023]a.收费帐户信息:该信息不是初始注册所必需的。只有在用户用完附加的免费使用量后才需要。该信息包括但不限于信用卡号、Paypal帐户号码、银行帐号等。
[0024]5.用于密码恢复目的的个人问题和答案。
[0025]为保护用户隐私,不对用户信息执行核实。在用户注册完成之后,向用户的电子邮箱地址发送由计算机生成的密码。该密码可以在登录到uSav App后更改。
[0026]图2示出了根据本专利申请一种实施例的数据安全管理系统的操作。参照图2,发送方201和接收方203已经下载uSav App,并已在系统中注册。如图2所示,在步骤I中,作为文件所有者的发送方201在其设备上登录uSav App,并确定要保密的文件。发送方201还提供了系统的一些被授权打开并读取文件的注册者(也称为uSav注册者)的访问授权列表。发送方201的uSav App然后向安全服务器205 (也称为uSav安全服务器)请求加密密钥。与此同时,该uSav App还向安全服务器205发送访问授权列表(作为参数)。安全服务器205保存用户的数据安全需求,并根据用户指令通过控制加密密钥来控制用户的数据信息。
[0027]然后在步骤2中,uSav安全服务器205将随机生成的新的加密密钥的副本发送给uSav App (即发送方201)。访问授权列表附着于(或绑定着)加密密钥,而且两者都保存在安全服务器205。(之后在图4所示的加密过程中加密密钥绑定有更多信息。)在步骤3中,在uSav App已经加密文件后,文件所有者向其已注册于系统的朋友发送加密文件,以便与朋友共享文件。通常可以通过互联网、局域网、有线网、无线网或他们的网络服务的组合,通过将加密文件附着于电子邮件、消息、或将加密文件放到例如由谷歌硬盘、Dropbox, SkyDrive等之一者提供的云驱动(或云存储)207来实现这一共享。该共享也可以通过物理存储设备,例如USB存储器、USB存储棒或能够存储数据的任何物理设备来实现。在步骤4中,接收方203通过互联网(或任何类型的网络)下载加密文件,或者通过物理存储设备接收加密文件。在步骤5中,接收方203之一者登录uSav App,并请求uSav App解密文件。接收方203的uSav App向uSav安全服务器205发送解密密钥请求,该请求携带有作为请求的参数的请求方(接收方203)的标识和密码。在步骤6中,云密钥管理器(在安全服务器205中)进行检查以确保请求者(接收方203)的ID在(如步骤I和2述及的)授权列表上,然后发送解密密钥给处于接收方203端的uSav App,并且uSav App使用该解密密钥来解密文件。
[0028]上述实施例中可以有大量的uSav注册者。每个注册者201可以是一个或多个加密文件的发送方。任何uSav注册者可以加密文档的接收方203中的一个。因而可以在注册者间实现安全协作和文件共享。
[0029]上述实施例提供了一种数据安全管理系统。数据安全管理系统包括:配置为存储用以加密大量文件的加密密钥和用以解密相应的加密文件的解密密钥的安全服务器;配置为向安全服务器发送访问授权列表、向安全服务器请求加密密钥、及利用从安全服务器接收的加密密钥加密文件的第一计算装置;
[0030]配置为向安全服务器请求解密密钥、及使用从安全服务器接收到的解密密钥对加密文件进行解密的第二计算装置;和
[0031]配置为在使用第一计算装置的第一用户和使用第二计算装置的第二用户之间共享文件的云存储或任何数据存储。安全服务器配置为在验证第二用户是否在访问授权列表之后,确定是否发送解密密钥到第二计算装置。通过随时随地控制加密密钥的访问权限列表,发送者控制谁可以随时随地打开相应的加密文件的访问权。
[0032]图3示出了根据本专利申请一种实施例的数据安全管理系统的基础体系结构。参照图3,所有的便携式和台式设备301 (也称为应用程序装置301)安装有通过互联网或局域网与uSav安全服务器303通信的uSav App。uSav安全服务器303可以位于任何数据中心,包括云计算数据中心、或任何只要uSav App可以与之通信的位置。该通信可以基于W1-F1、以太网、互联网、局域网等。uSav App和uSav安全服务器303之间的通信通过预定义的应用程序接口实现。
[0033]每个uSav使得每个用户能够进行文件/数据加密、解密以及随时随地安全地管理他的/她的数据。uSav安全服务器303和App设备301受限于公司或组织;通信可以通过局域网实现。如果App设备301需要移动,并可以物理分布于世界上的任何地方,则安全服务器303必须通过互联网可访问。
[0034]安全服务器303可以是从任何云计算服务提供商的数据中心或用户自己的位置(数据中心)操作的虚拟安全服务器。安全服务器303还可以是运行于用户自己的位置或任何其它位置的真实的专用服务器。安全服务器应当处于无单点故障的高可用模式或群集模式。
[0035]用户可以选择不同的安全级别进行身份验证。在注册或更改用户配置文件设置期间提供选择。存在二种选择:
[0036]1.用户ID+密码
[0037]2.用户ID+密码+登录图片
[0038]3.用户ID+密码+OTP ( 一次性密码)
[0039]4.用户ID+密码+登录图片+OTP ( 一次性密码)
[0040]用户ID和密码是最低要求的验证方法。用户选择密码。用户需要键入密码两次以核实密码。向用户的电子邮箱地址发送电子邮件。用户需要根据电子邮箱的指令来激活其账户。在用户选择他的/她的密码后,uSav App提供了密码的安全等级:
[0041]1.低级(最少的密码要求):具有至少一个字母和一个数字的至少八