[发明专利]一种云存储数据控制的方法

说明书

技术领域

本发明属于云存储数据安全技术领域，特别涉及一种云存储数据控制的方法。

背景技术

数据已经被证明是企业重要资产之一，数据的高速增长使企业面临前所未有的挑战。同时，瞬息万变的世界经济形势和激烈竞争带来的成本压力，使企业不得不考虑如何以降低I T成本，应对企业不断增长的存储需求。

现有的存储架构可以划分为两种：一种是由一方专有的架构，如DAS(direct attached storage，直接附加存储)，SAN(Storage Area Network，存储区网络)和网络接入存储服务器(Network access server，NAS)等。这类存储体系由一方独占使用，可以提供给用户很好的控制权，更好的可靠性和性能，但是其扩展性较差，不适用于大规模部署；用户在这种模式下也很难灵活使用存储预算，需要一次性地投入购买存储设备，随着存储容量的增加，成本控制也将面临挑战。

另一种是多方共享架构，即云存储架构。按照其服务范畴的不同，分为私有云(private cloud)和公共云(public cloud)。云存储的体系结构基于网络技术(internet和intranet)，为用户提供存储空间按需购买、租赁和按需配置服务，该服务通常由第三方或企业内第三方部门提供包括存储设备和专门维护人员。通过该存储服务，企业或企业内各部门可以大幅降低其内部存储器的需求和相应管理成本，以平衡急剧上升的存储需求和企业成本压力。以上所提存储的使用方可以是个人、企业，甚至企业内的部门或者分支机构等。

然而，云存储无论是哪种运作模式(私有云和公共云)，数据所有者都不可避免对其数据的安全和隐私抱有顾虑。而这种数据安全和隐私的风险主要来源于将数据交付第三方保管后，其对所有数据控制权的丧失，即数据可以不需要数据所有者授权便可以被访问、拷贝、移动、改写等。

现有的云存储安全解决方案大都是针对云存储数据中心的，如通过数据加密进行保护(记载于US 2008/0083036 Off-Premise Encryption of Data Storage，US 2008/0080718 Data Security in an Off-Premise Environment以及US 2008/0081613 Rights Management in a Cloud文献中)，虚拟化及更完善的权限控制和认证机制(记载于US 2008/0081613 Rights Management in a Cloud，US2009/0228950 Self-Describing Authorization Policy for Accessing Cloud-based Resources及US 2007/0039053 Security Server in the Cloud文献中)。上述方法在一定程度上增强了数据所有者对数据的保护力度，但这些方法并没有从根本上解决数据所有者对其所有数据的控制问题。通常情况下，由于用户无法参与云存储服务数据中心的管理，一旦用户将其数据交给云存储服务提供商保存后，其数据的所有权就脱离了用户控制的范围。

以公共云为例，用户将数据完全存放在云存储服务数据中心端后，其数据很有可能和他的竞争对手的数据存放在一起，数据所有者无法控制因数据中心管理员，特别是没有访问权限限制的超级用户的人为错误或者职业操守等原因导致的数据泄漏。

虽然加密在一定程度上通过用户的密钥保护了数据的控制权，但值得注意的是，因未解决密钥占用空间过大的问题，现有云存储数据保护所使用的数据加密技术尚无法应用“一次一密乱码本”的加密算法，因此现有使用在云存储服务中的数据加密技术在理论上都无法证明是不可逆的，即在一定条件下，如拥有足够的计算能力和足够的时间，其加密所得的密文都可以被还原成明文或部分明文。具体内容可见机械工业出版社2003年3月1日出版的《应用密码学协议、算法与C源程序》第6、12页。

换言之，随着解密技术的不断进步，解密硬件的价格快速下降和性能不断上升，仅通过加密密钥是无法保证云存储用户对其所有数据控制权的完全掌控，或者说虽然用户把握加密密钥，但是仍无法阻止其存储在云存储数据中心端的数据被非法破解和未授权使用。

总之，现有云存储服务方案都无法避免用户在将数据移出其控制范围(多是本地)以节省本地的存储空间的同时，保持其对所有数据的控制权的问题，然而后者通常是用户在选择云存储服务时的主要顾虑。

发明内容