通過包裝器合成的用于數(shù)據(jù)的可驗(yàn)證的信任的制作方法

文檔序號：6351454閱讀：311來源：國知局

導(dǎo)航： X技術(shù)> 最新專利>計(jì)算;推算;計(jì)數(shù)設(shè)備的制造及其應(yīng)用技術(shù)

專利名稱：通過包裝器合成的用于數(shù)據(jù)的可驗(yàn)證的信任的制作方法
技術(shù)領(lǐng)域：
本文涉及向設(shè)備提供可信計(jì)算和數(shù)據(jù)服務(wù)，如網(wǎng)絡(luò)服務(wù)或云服務(wù)，并且更具體地涉及應(yīng)用合成包裝器來轉(zhuǎn)換數(shù)據(jù)、元數(shù)據(jù)或這兩者的數(shù)據(jù)或網(wǎng)絡(luò)服務(wù)。
背景技術(shù)：
以關(guān)于一些常規(guī)系統(tǒng)的背景技術(shù)為例，計(jì)算設(shè)備在傳統(tǒng)上是在設(shè)備本地執(zhí)行應(yīng)用和數(shù)據(jù)服務(wù)的。在這種情況下，當(dāng)數(shù)據(jù)被訪問、處理、存儲、高速緩存等等時(shí)，這些數(shù)據(jù)可以通過本地總線、接口和其他數(shù)據(jù)路徑在設(shè)備上行進(jìn)，然而，設(shè)備的用戶不必?fù)?dān)心用戶數(shù)據(jù)的干擾或暴露，除非設(shè)備本身丟失、失竊或以其他方式被損害。能夠存儲數(shù)萬億字節(jié)數(shù)據(jù)(以及將來潛在的千萬億字節(jié)、百萬萬億字節(jié)數(shù)據(jù))的網(wǎng)絡(luò)存儲場的演變創(chuàng)造了模擬如下應(yīng)用的機(jī)會該應(yīng)用在歷史上是對本地?cái)?shù)據(jù)進(jìn)行操作，卻改為對存儲在云中的數(shù)據(jù)進(jìn)行操作，其中主設(shè)備和外部存儲是分開的。應(yīng)用或系統(tǒng)(或任何)數(shù)據(jù)的云存儲允許許多設(shè)備存儲它們的數(shù)據(jù)而不需要用于每個(gè)設(shè)備的分開的專用存儲。迄今為止，隨著在線和云服務(wù)的演進(jìn)，應(yīng)用和服務(wù)正越來越多地遷移到代表(諸)設(shè)備來執(zhí)行給定服務(wù)中的ー些或全部的第三方網(wǎng)絡(luò)提供者。在這種情況下，當(dāng)用戶的數(shù)據(jù)被上傳到服務(wù)時(shí)、當(dāng)該數(shù)據(jù)被該服務(wù)存儲或處理時(shí)、或者當(dāng)該數(shù)據(jù)被從該服務(wù)檢索時(shí)，設(shè)備的用戶可能關(guān)心誰能夠訪問該數(shù)據(jù)，或者可能更壞地，誰能夠干擾該數(shù)據(jù)。簡言之，當(dāng)用戶的設(shè)備的數(shù)據(jù)離開物理占有的領(lǐng)域并進(jìn)入物理上遠(yuǎn)離用戶的網(wǎng)絡(luò)環(huán)境時(shí)，關(guān)于第三方對數(shù)據(jù)的疏忽的或惡意的處理或者對數(shù)據(jù)的干擾的擔(dān)憂出現(xiàn)了。因此，増加對云服務(wù)和對結(jié)合云服務(wù)來對數(shù)據(jù)進(jìn)行的處理的信任、安全和隱私是合乎需要的。即使在企業(yè)內(nèi)部，數(shù)據(jù)存儲也可能出現(xiàn)類似的擔(dān)憂，例如，當(dāng)數(shù)據(jù)離開生成該數(shù)據(jù)的一個(gè)控制區(qū)(例如，第一部門)并進(jìn)入另一區(qū)域(例如，第二部門)以進(jìn)行存儲吋。然而，如同上面提到的，依然存在以下問題云服務(wù)或網(wǎng)絡(luò)存儲提供者均不能夠有效地緩解數(shù)據(jù)(當(dāng)存儲在云中吋)的安全性、隱私性以及完整性的問題和對它們的需要。簡言之，用戶需要在如下方面有更高的信任當(dāng)交出對存儲媒介的物理控制時(shí)，他們的數(shù)據(jù)仍然是安全而私密的，并且這種障礙已顯著防止了企業(yè)和消費(fèi)者經(jīng)由第三方網(wǎng)絡(luò)服務(wù)和解決方案來采用重要數(shù)據(jù)的備份。當(dāng)今的設(shè)備和被提供給設(shè)備的數(shù)據(jù)服務(wù)的上述缺點(diǎn)僅僅g在提供對常規(guī)系統(tǒng)的一些問題的總覽，并且不g在是窮盡性的。在仔細(xì)閱讀了以下詳細(xì)描述后，現(xiàn)有技術(shù)的其他問題和各非限制性性實(shí)施例的對應(yīng)好處可變得顯而易見。概述此處提供了簡化的概述以幫助能夠?qū)σ韵赂敿?xì)的描述和附圖中的示例性、非限制性實(shí)施例中的ー個(gè)或多個(gè)的各方面有基本或大體的理解。然而，本概述并不g在是詳盡的或窮盡的。相反，本概述的唯一目的在于，以簡化的形式提出與一些示例性、非限制性實(shí)施例相關(guān)的ー些概念，作為以下各實(shí)施例的更詳細(xì)的描述的序言。
網(wǎng)絡(luò)或云數(shù)據(jù)服務(wù)(包括用于數(shù)據(jù)的數(shù)學(xué)變換技術(shù)，諸如可捜索加密、解除組裝/重新組裝或分發(fā)技術(shù))被以如下方式提供該方式跨多個(gè)實(shí)體分發(fā)信任以避免單點(diǎn)數(shù)據(jù)損害，并且將數(shù)據(jù)保護(hù)要求從可在其中存儲、處理、訪問或檢索該數(shù)據(jù)的容器分離。在ー個(gè)實(shí)施例中，數(shù)學(xué)變換謂詞生成器(例如，密鑰生成器)、數(shù)學(xué)變換提供者(例如，密碼技術(shù)提供者)以及云服務(wù)提供者每個(gè)均作為分開的實(shí)體提供，從而允許數(shù)據(jù)發(fā)布者的可信平臺機(jī)密地(經(jīng)隱藏的，例如，經(jīng)加密的)將數(shù)據(jù)提供給云服務(wù)提供者，并且允許經(jīng)授權(quán)的訂閱者基于訂閱者能力對所述經(jīng)隱藏的(例如，經(jīng)加密的)數(shù)據(jù)的選擇性訪問。使用可信平臺，一種用于主存數(shù)據(jù)的方法，包括接收數(shù)據(jù)或與該數(shù)據(jù)相關(guān)聯(lián)的元數(shù)據(jù)，其中該數(shù)據(jù)、該元數(shù)據(jù)、或這兩者由合成包裝器來保護(hù)，該合成包裝器是從該數(shù)據(jù)的至少ー個(gè)數(shù)學(xué)變換和第二數(shù)學(xué)變換形成的，其中該至少ー個(gè)數(shù)學(xué)變換基于第一組準(zhǔn)則來定義該數(shù)據(jù)、該元數(shù)據(jù)、或這兩者的第一包裝器，該第二數(shù)學(xué)變換基于第二組準(zhǔn)則來定義該數(shù)據(jù)、該元數(shù)據(jù)、或這兩者的第二包裝器。該方法還包括請求基于該請求中包括的ー組能力來訪問由合成包裝器保護(hù)的該數(shù)據(jù)、元數(shù)據(jù)、或這兩者。能力可以是任何種類的訪問信息，例如重構(gòu)圖、密鑰、解碼工具等。基于該組能力，基于通過第一包裝器評估可見性并獨(dú)立地通過第二包裝器評估可見性來確定對數(shù)據(jù)、元數(shù)據(jù)、或這兩者的訪問特權(quán)。在一非限制性實(shí)施例中，一種系統(tǒng)可包括至少部分地由數(shù)學(xué)變換技術(shù)提供者來分發(fā)的數(shù)學(xué)變換組件，該數(shù)學(xué)變換組件是獨(dú)立于生成用于發(fā)布數(shù)據(jù)、元數(shù)據(jù)、或這兩者或者用于訂閱所發(fā)布的數(shù)據(jù)、所發(fā)布的元數(shù)據(jù)、或這兩者的能力信息的訪問信息生成器來實(shí)現(xiàn)的，該數(shù)學(xué)變換組件包括被配置成基于該訪問信息來授權(quán)訪問的至少ー個(gè)處理器。獨(dú)立于訪問信息生成器和數(shù)學(xué)變換技術(shù)提供者實(shí)現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者包括被配置成實(shí)現(xiàn)關(guān)于由數(shù)學(xué)變換組件變換了的計(jì)算機(jī)數(shù)據(jù)、計(jì)算機(jī)元數(shù)據(jù)、或這兩者的網(wǎng)絡(luò)服務(wù)的至少ー個(gè)處理器，該網(wǎng)絡(luò)服務(wù)提供者被配置成與數(shù)學(xué)變換組件進(jìn)行通信以執(zhí)行應(yīng)用于計(jì)算機(jī)數(shù)據(jù)、計(jì)算機(jī)元數(shù)據(jù)或這兩者的密碼包裝器的生成、重新生成、或刪除。使用可信平臺的技木，將數(shù)據(jù)(以及相關(guān)聯(lián)的元數(shù)據(jù))從保持該數(shù)據(jù)的容器(例如，文件系統(tǒng)、數(shù)據(jù)庫等)解耦，從而通過施加用所呈現(xiàn)的能力刺穿的數(shù)學(xué)復(fù)雜度保護(hù)罩來允許該數(shù)據(jù)擔(dān)當(dāng)它自己的保管者，作為非限制性示例，所呈現(xiàn)的能力諸如是由信任平臺的密鑰生成器所授予的密鑰。以在不需要特定容器就能實(shí)施的情況下保留并擴(kuò)展信任的方式，促進(jìn)對數(shù)據(jù)或該數(shù)據(jù)的子集的共享或訪問。被應(yīng)用到數(shù)據(jù)的數(shù)學(xué)復(fù)雜度(諸如可捜索加密技木)保護(hù)該數(shù)據(jù)，而不考慮其中記錄該特定比特的容器或硬件，即，該數(shù)據(jù)是被無容器地(containerlessly)(即，不考慮該容器地)保護(hù)的，并且因此不會受到以損害容器安全性為基礎(chǔ)的攻擊。在特定的“保險(xiǎn)箱”被破解的情況下，內(nèi)容仍然被保護(hù)。在一個(gè)非限制性實(shí)施例中，可擴(kuò)展標(biāo)記語言(XML)數(shù)據(jù)是擔(dān)當(dāng)其自己的保管者的數(shù)據(jù)。使用XML數(shù)據(jù)，可使用描述信息擴(kuò)充或添加標(biāo)簽，該描述信息選擇性地允許或阻止對底層數(shù)據(jù)的訪問，從而允許該XML數(shù)據(jù)或XML數(shù)據(jù)片段(如由被應(yīng)用到該XML數(shù)據(jù)或片段的信任信封中的標(biāo)簽信息所封裝的)擔(dān)當(dāng)其自己的保管者。例如，XML數(shù)據(jù)或標(biāo)簽?zāi)軌虮硎究蓲人髟獢?shù)據(jù)，該可捜索元數(shù)據(jù)編碼了認(rèn)證信息、授權(quán)信息、模式信息、歷史信息、追蹤信息、一致性信息等中的任何ー個(gè)或多個(gè)。注意，基于XML的實(shí)施例中的任ー個(gè)也可適用于ー些替換格式，諸如但不限于，JavaScript對象記法(JSON)、S表達(dá)式、電子數(shù)據(jù)交換(EDI)等，并且因此在這些實(shí)施例中，XML僅用作說明性目的。
用于任何類型的凈荷(諸如但不限于數(shù)據(jù)庫字段、XML片段或完整記錄)的“可信信封”因此通過放置在該信封上的各種裝飾或信封來提供帶簾(curtained)訪問，所述裝飾或信封允許范圍為各種保證(諸如但不限于，機(jī)密性、隱私性、匿名性、篡改檢測、完整性等)的全范圍信任。例如，可以應(yīng)用或擴(kuò)充XML標(biāo)簽來為結(jié)構(gòu)化XML數(shù)據(jù)——用于聯(lián)網(wǎng)環(huán)境中的數(shù)據(jù)交換的常見格式——創(chuàng)建信任信封，從而在可信云服務(wù)環(huán)境中啟用無容器XML數(shù)據(jù)。可被應(yīng)用以促進(jìn)建立對數(shù)據(jù)的安全性和隱私性的高信任水平的密碼技術(shù)或“裝飾”的一些其他示例包括但不限于，保留大小的加密、可捜索加密、或應(yīng)用證明、盲指紋、可恢復(fù)性證明等。以下更詳細(xì)地描述其他實(shí)施例和各非限制性性示例、場景和實(shí)現(xiàn)。附圖簡述參考附圖進(jìn)ー步描述各非限制性實(shí)施例，在附圖中圖I是ー實(shí)施例中的示出用于采用合成包裝器來發(fā)布或訂閱存儲中的數(shù)據(jù)、元數(shù)據(jù)、或這兩者的系統(tǒng)的框圖；圖2是ー實(shí)施例中的示出用于采用合成加密包裝器來發(fā)布或訂閱存儲中的數(shù)據(jù)、元數(shù)據(jù)、或這兩者的系統(tǒng)的框圖；圖3是同心合成包裝器的說明性示例；圖4是具有橫向包裝器的合成包裝器的說明性示例；圖5是ー實(shí)施例中的既具有同心包裝器也具有橫向包裝器的混合合成包裝器的說明性示例；圖6是ー實(shí)施例中的結(jié)合與數(shù)據(jù)相關(guān)聯(lián)的訪問日志元數(shù)據(jù)來使用橫向包裝器的框圖；圖7是ー實(shí)施例中的通過丟棄或粉碎訪問信息來有效地刪除數(shù)據(jù)的框圖，其中刪除數(shù)據(jù)的方式被編碼在元數(shù)據(jù)中；圖8是另外示出一示例的框圖，其中數(shù)據(jù)被加擾并且關(guān)于加擾的信息被記錄在合成包裝器的包裝器內(nèi)部或外部的元數(shù)據(jù)中；圖9是策略中的變化的框圖，作為移除包裝器的替換方案，該變化導(dǎo)致交出查看被包裝器模糊化的數(shù)據(jù)、元數(shù)據(jù)、或這兩者的能力；

圖10是基于指令或狀態(tài)改變來對包裝器進(jìn)行自動解除包裝、生成、更改、重新生成、或擴(kuò)充的框圖；圖11是使用ー個(gè)或多個(gè)橫向包裝器變換來執(zhí)行數(shù)據(jù)修訂任務(wù)的說明性示例；圖12是ー實(shí)施例中的用于主存由合成包裝器來包裝的數(shù)據(jù)、元數(shù)據(jù)、或這兩者的示例性非限制性過程的流程圖；圖13是用于提供安全的、私密的、以及可選擇性訪問的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)的一個(gè)或多個(gè)實(shí)施例的總體環(huán)境的框圖；圖14是示出“作為它自己的保管者的數(shù)據(jù)”的ー個(gè)或多個(gè)方面的框圖；圖15是用于提供安全的、私密的、以及可選擇性訪問的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)的一個(gè)或多個(gè)實(shí)施例的總體環(huán)境的框圖；圖16是用于管理容器的過程的流程圖，其中數(shù)據(jù)擔(dān)當(dāng)它自己的保管者；圖17是示出擔(dān)當(dāng)它自己的保管者的數(shù)據(jù)的ー個(gè)或多個(gè)方面的另ー個(gè)框圖18是示出擔(dān)當(dāng)它自己的保管者的數(shù)據(jù)的各方面的另ー個(gè)框圖，其示出了數(shù)據(jù)能夠超越傳統(tǒng)容器安全模型；圖19示出存儲管理層，該存儲管理層執(zhí)行諸如來自不同類型的多個(gè)數(shù)據(jù)容器的數(shù)據(jù)的自動粉碎、高速緩存、復(fù)制、重構(gòu)等功能；圖20是示出安全覆蓋網(wǎng)絡(luò)的框圖，該安全覆蓋網(wǎng)絡(luò)在跨各種數(shù)據(jù)容器的存儲數(shù)據(jù)的地方向數(shù)據(jù)添加密碼訪問包裝器；圖21是示出與傳統(tǒng)應(yīng)用有關(guān)的方面的框圖；圖22是可與傳統(tǒng)應(yīng)用以及FTO知曉應(yīng)用結(jié)合使用的示例體系結(jié)構(gòu)模型；圖23是示出密碼包裝器或信封在數(shù)據(jù)和/或描述該數(shù)據(jù)或該數(shù)據(jù)的特征的元數(shù)據(jù)上的一般使用的框圖；圖24是ー特定示例，進(jìn)ー步突出了圖23中概括呈現(xiàn)的概念；圖25是另ー示例，示出了圍繞被保護(hù)數(shù)據(jù)的聯(lián)合信任覆蓋；圖26是示出其中使用信任覆蓋將記錄以及索引加密并上傳到云的ー實(shí)施例的框圖；圖27示出客戶端能夠如何在經(jīng)加密的數(shù)據(jù)上利用聯(lián)合信任覆蓋體系結(jié)構(gòu)來生成、上傳和/或搜索經(jīng)加密的索引以獲得更豐富的云存儲體驗(yàn)；圖28-30是示出該系統(tǒng)的一些附加非限制性信任保證的框圖；圖31是示出XML上下文中的可信覆蓋的ー實(shí)施例的圖；圖32-35是示出各實(shí)施例中的用于可信XML的示例性過程的流程圖；圖36是ー實(shí)施例中的示出用于處理數(shù)據(jù)以形成可信XML的示例性、非限制性方法的流程圖；圖37是根據(jù)一實(shí)施例的可信云服務(wù)框架或生態(tài)系統(tǒng)的框圖；圖38是示出根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于發(fā)布數(shù)據(jù)的示例性、非限制性方法的流程圖；圖39是示出根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于訂閱數(shù)據(jù)的示例性、非限制性方法的流程圖；圖40示出一示例性生態(tài)系統(tǒng)，該生態(tài)系統(tǒng)示出了密鑰生成中心(CKG)、密碼技術(shù)提供者(CTP)和云服務(wù)提供者(CSP)在可信生態(tài)系統(tǒng)中的分離；圖41是示出了用于為企業(yè)執(zhí)行云服務(wù)的可信生態(tài)系統(tǒng)的其他益處的另一體系結(jié)構(gòu)圖；圖42是示出了通過存儲抽象層來適應(yīng)于不同存儲提供者的另ー框圖；圖43示出結(jié)合存儲抽象服務(wù)的存儲的其他方面；圖44是示出可信生態(tài)系統(tǒng)中的各不同參與者的另ー框圖；圖45是可信云計(jì)算系統(tǒng)的示例性非限制性實(shí)現(xiàn)的一些層的代表性視圖，在該計(jì)算系統(tǒng)中，不同構(gòu)件可以由不同或相同實(shí)體來提供；圖46是ー示例性非限制性過程的流程圖，該過程用于以利用后期綁定向發(fā)布者提供對數(shù)據(jù)的受控選擇性訪問的方式來向數(shù)字保險(xiǎn)箱應(yīng)用發(fā)布文檔；圖47是用于訂閱置于數(shù)字保險(xiǎn)箱中的材料的示例性、非限制性過程的流程圖；圖48示出使用數(shù)字托管模式來通過ー個(gè)或多個(gè)數(shù)據(jù)中心為企業(yè)實(shí)現(xiàn)安全外聯(lián)網(wǎng)的可信云服務(wù)的示例性、非限制性的實(shí)現(xiàn)；圖49是示出基于可信云服務(wù)生態(tài)系統(tǒng)的另一示例性非限制性場景的流程圖，在該生態(tài)系統(tǒng)中，賦予訂閱者對由CSP存儲的經(jīng)加密數(shù)據(jù)的選擇性訪問權(quán)；圖50是示出可基于登錄信息對訂閱者定制應(yīng)用響應(yīng)的另一流程圖；圖51是示出安全記錄上傳場景的另一流程圖，該場景可以針對單方或多方來實(shí)現(xiàn)；圖52是示出由可信云服務(wù)生態(tài)系統(tǒng)啟用的、對經(jīng)可捜索地加密的數(shù)據(jù)存儲進(jìn)行基于角色的查詢的示例性、非限制性實(shí)現(xiàn)的又一流程圖；圖53是示出多方協(xié)作場景的流程圖，在該場景中，企業(yè)向外部企業(yè)提供對其經(jīng)加密數(shù)據(jù)中的ー些的訪問權(quán)；圖54是示出多個(gè)企業(yè)間的多方自動搜索場景的流程圖；圖55示出可以針對可信云服務(wù)實(shí)現(xiàn)的示例性、非限制性的邊緣計(jì)算網(wǎng)絡(luò)(ECN)技術(shù)；圖56是示出根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的密鑰生成中心的ー個(gè)或多個(gè)可任選方面的框圖；圖57是包括經(jīng)可搜索地加密的數(shù)據(jù)的可信存儲的示例性、非限制性實(shí)施例的框圖；圖58是示出用于訂閱的示例性、非限制性過程的流程圖，該過程包括確認(rèn)步驟；圖59示出示例性、非限制性確認(rèn)質(zhì)詢/響應(yīng)協(xié)議，驗(yàn)證方按照該協(xié)議向證明方發(fā)出密碼質(zhì)詢；圖60是包括經(jīng)可搜索地加密的數(shù)據(jù)的可信存儲的另ー示例性、非限制性實(shí)施例的框圖；圖61是示出用于訂閱的示例性、非限制性過程的流程圖，該過程包括確認(rèn)步驟；圖62示出另ー示例性、非限制性驗(yàn)證質(zhì)詢/響應(yīng)協(xié)議，驗(yàn)證方按照該協(xié)議向證明方發(fā)出密碼質(zhì)詢；圖63是用于提供服務(wù)的ー個(gè)或多個(gè)實(shí)施例(包括盲指紋化)的一般環(huán)境的框圖；圖64是示出非限制性場景的框圖，在該場景中，多個(gè)獨(dú)立的聯(lián)合信任覆蓋或者數(shù)字托管可以并排存在，或者針對分層方式彼此相疊地存在；圖65是可信存儲的另ー示例性、非限制性實(shí)施例的框圖，該可信存儲包括用于針對非授權(quán)訪問來模糊化數(shù)據(jù)的數(shù)據(jù)分發(fā)技術(shù)；圖66是表示其中可實(shí)現(xiàn)在此處所述的各個(gè)實(shí)施例的示例性、非限制性聯(lián)網(wǎng)環(huán)境的框圖；以及圖67是表示其中可實(shí)現(xiàn)此處所述的各個(gè)實(shí)施例的ー個(gè)或多個(gè)方面的示例性、非限制性計(jì)算系統(tǒng)或操作環(huán)境的框圖。詳細(xì)描述概覽如在背景技術(shù)中所討論的那樣，發(fā)送給網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)可能造成隱私性方面的不適、篡改的可能性等等，例如，當(dāng)數(shù)據(jù)被從用戶的設(shè)備傳輸給網(wǎng)絡(luò)應(yīng)用、服務(wù)或數(shù)據(jù)存儲吋，用戶期望對沒有惡意第三方能造成損害的充分保證。按照定義，用戶已失去對數(shù)據(jù)的控制。因此，所需要的是增加信任，使得數(shù)據(jù)的發(fā)布者和/或所有者愿意交出對其數(shù)據(jù)的物理控制，同時(shí)相信在網(wǎng)絡(luò)中，除了當(dāng)被該發(fā)布者或該所有者或如基于請求者身份所驗(yàn)證的被授予了特權(quán)的任何人訪問時(shí)之外，其數(shù)據(jù)都將保持隱私性和不受損。就此，依然存在以下問題云服務(wù)或網(wǎng)絡(luò)存儲提供者均不能夠有效地緩解數(shù)據(jù)(當(dāng)存儲在云中吋)的安全性、隱私性以及完整性的問題和對它們的需要。簡言之，用戶關(guān)心在如下方面有更高的信任當(dāng)交出對存儲媒介的物理控制時(shí)，他們的數(shù)據(jù)仍然是安全而私密的，并且這種障礙已顯著防止了企業(yè)和消費(fèi)者經(jīng)由第三方網(wǎng)絡(luò)服務(wù)和解決方案來采用重要數(shù)據(jù)的備份。本文中所使用的術(shù)語“網(wǎng)絡(luò)存儲提供者”包括但不限于內(nèi)容遞送(或分發(fā))網(wǎng)絡(luò)(⑶N)、混合場景(例如，跨企業(yè)存儲、云存儲和/或⑶N)、和/或更寬泛的聯(lián)合場景(例如，橫跨多個(gè)企業(yè)、多個(gè)云、或多個(gè)⑶N)、或前述的任何組合。傳統(tǒng)上，為了保持?jǐn)?shù)據(jù)安全，將數(shù)據(jù)鎖藏或保持其隱秘，例如，在物理介質(zhì)上。就此，數(shù)據(jù)所有者知道，保險(xiǎn)箱的保管者必須是完全可信方，或?qū)ΡｋU(xiǎn)箱的內(nèi)容沒有訪問權(quán)。就此，盡管云服務(wù)的前提是客戶不必需要確切地知曉他們的數(shù)據(jù)物理上位于何處，但也不能完全忽略這個(gè)問題。這是因?yàn)?，對誰(什么設(shè)備)能夠訪問該數(shù)據(jù)、誰看見該數(shù)據(jù)、誰維護(hù)該數(shù)據(jù)以及如何存儲該數(shù)據(jù)負(fù)起全部的責(zé)任是ー項(xiàng)挑戰(zhàn)。相應(yīng)地，在現(xiàn)實(shí)中，由于固有的不信任和各種其他顧慮，客戶非常關(guān)心控制云鏈條中的各種計(jì)算和存儲設(shè)備的第三方是誰。通過消除由人類或外部實(shí)體控制的主動保管權(quán)(其具有可能與數(shù)據(jù)所有者或發(fā)布者不一致的固有偏向)，本文的各實(shí)施例提供了一種系統(tǒng)，其中數(shù)據(jù)被數(shù)學(xué)變換(例如，被選擇性地加密或可捜索地加密)而使得該數(shù)據(jù)充當(dāng)它自己的保管者，而不管保持該數(shù)據(jù)的第三方機(jī)器、機(jī)制、設(shè)備、或容器如何。就此，聯(lián)合信任覆蓋的各種實(shí)現(xiàn)啟用無容器數(shù)據(jù)以及對安全性、機(jī)密性、防篡改性等的保證，其中使這些保證對該用戶是透明的。因而，在各實(shí)現(xiàn)中，可信云平臺被用來主存數(shù)據(jù)，包括接收數(shù)據(jù)或與該數(shù)據(jù)相關(guān)聯(lián)的元數(shù)據(jù)，其中該數(shù)據(jù)、該元數(shù)據(jù)、或這兩者由合成包裝器來保護(hù)，該合成包裝器是從該數(shù)據(jù)、該元數(shù)據(jù)、或這兩者的數(shù)學(xué)變換來形成的，其中該數(shù)學(xué)變換包括基于第一組準(zhǔn)則來定義該數(shù)據(jù)、該元數(shù)據(jù)、或這兩者的第一包裝器的至少第一數(shù)學(xué)變換以及基于第二組準(zhǔn)則來定義該數(shù)據(jù)、該元數(shù)據(jù)、或這兩者的第二包裝器的第二數(shù)學(xué)變換。一實(shí)體可做出請求基于該請求中包括的ー組能力來訪問由合成包裝器保護(hù)的數(shù)據(jù)、元數(shù)據(jù)、或這兩者?；谠摻M能力，基于通過第一包裝器來評估可見性并獨(dú)立地通過第二包裝器來評估可見性以確定對數(shù)據(jù)、元數(shù)據(jù)、或這兩者的訪問特權(quán)。接收可包括接收由從數(shù)學(xué)變換形成的合成包裝器所保護(hù)的數(shù)據(jù)或元數(shù)據(jù)，該數(shù)學(xué)變換包括基于第一組準(zhǔn)則來定義對少于數(shù)據(jù)、元數(shù)據(jù)、或這兩者的全部進(jìn)行包裝的第一包裝器的第一數(shù)學(xué)變換。接收可包括接收由從數(shù)學(xué)變換形成的合成包裝器所保護(hù)的數(shù)據(jù)或元數(shù)據(jù)，該數(shù)學(xué)變換包括基于第一組準(zhǔn)則來定義對數(shù)據(jù)、元數(shù)據(jù)、或這兩者進(jìn)行包裝的第一包裝器的第一數(shù)學(xué)變換，以及定義對由第一包裝器所包裝的數(shù)據(jù)、元數(shù)據(jù)、或這兩者進(jìn)行包裝的第二包裝器的第二數(shù)學(xué)變換。接收可包括接收由至少部分地從數(shù)學(xué)算法形成的合成包裝器來保護(hù)的數(shù)據(jù)、元數(shù)據(jù)、或這兩者，該數(shù)學(xué)算法使得在滿足了隱式地或顯式地定義的條件之后第一或第二包裝、器能至少部分地分解。接收可包括接收由至少部分地從數(shù)學(xué)算法形成的合成包裝器來保護(hù)的數(shù)據(jù)、元數(shù)據(jù)、或這兩者，該數(shù)學(xué)算法使得在滿足了隱式地或顯式地定義的條件之后第一和第二包裝器中的至少ー個(gè)能允許對數(shù)據(jù)、元數(shù)據(jù)、或這兩者的完全訪問。接收可包括接收由至少部分地從數(shù)學(xué)算法形成的合成包裝器來保護(hù)的數(shù)據(jù)、元數(shù)據(jù)、或這兩者，該數(shù)學(xué)算法啟用對數(shù)據(jù)、元數(shù)據(jù)、或這兩者的選擇性不透明性。接收可包括接收由至少部分地從數(shù)學(xué)算法形成的合成包裝器來保護(hù)的數(shù)據(jù)、元數(shù)據(jù)、或這兩者，該數(shù)學(xué)算法包括分別基于第一和第二組準(zhǔn)則形成第一和第二包裝器的第一和第二數(shù)學(xué)變換，該第一或第二組準(zhǔn)則包括以下中的至少ー個(gè)密鑰信息的表示；斷言一角色的證據(jù)的信息；數(shù)據(jù)、元數(shù)據(jù)、或這兩者的類型；數(shù)據(jù)、元數(shù)據(jù)、或這兩者的關(guān)聯(lián)的類型；或斷言擁有至少ー個(gè)聲明的證據(jù)的信息。接收可包括接收由從可捜索加密算法形成的合成包裝器保護(hù)的數(shù)據(jù)或元數(shù)據(jù)。接收可包括由第一控制區(qū)中的設(shè)備接收來自第二控制區(qū)中的設(shè)備的數(shù)據(jù)、元數(shù)據(jù)、或這兩者。接收可包括接收數(shù)據(jù)、元數(shù)據(jù)、或這兩者,其中該數(shù)據(jù)、元數(shù)據(jù)、或這兩者是從對該數(shù)據(jù)、元數(shù)據(jù)、或這兩者的分析并基于密鑰信息來對該分析的輸出進(jìn)行加密而形成的。接收訪問數(shù)據(jù)、元數(shù)據(jù)、或這兩者的請求可包括接收啟用對該數(shù)據(jù)、元數(shù)據(jù)、或這兩者的可見訪問的陷門數(shù)據(jù)，該可見訪問諸如該陷門數(shù)據(jù)的密碼陷門所定義的可見訪問。接收可包括接收由從數(shù)據(jù)、元數(shù)據(jù)、或這兩者的數(shù)學(xué)變換形成的合成包裝器來保護(hù)的數(shù)據(jù)、元數(shù)據(jù)、或這兩者，該數(shù)學(xué)變換包括形成該數(shù)據(jù)的第一包裝器的第一數(shù)學(xué)變換和形成該元數(shù)據(jù)的第二包裝器的第二數(shù)學(xué)變換。在其他實(shí)施例中，接收可包括接收由從數(shù)學(xué)變換形成的合成包裝器來保護(hù)的數(shù)據(jù)或元數(shù)據(jù)，該數(shù)學(xué)變換包括基于第一組準(zhǔn)則來定義對少于數(shù)據(jù)、元數(shù)據(jù)、或這兩者的全部進(jìn)行包裝的第一包裝器的第一數(shù)學(xué)變換，以及定義對數(shù)據(jù)、元數(shù)據(jù)、或這兩者的全部進(jìn)行包裝的第二包裝器的第二數(shù)學(xué)變換。第二包裝器可對由第一包裝器所部分包裝的數(shù)據(jù)、元數(shù)據(jù)、或這兩者的全部進(jìn)行包裝。接收可包括接收由包含補(bǔ)充的包裝器的合成包裝器來保護(hù)的數(shù)據(jù)、元數(shù)據(jù)、或這兩者，該合成包裝器至少包括用于滿足補(bǔ)充的信任或安全準(zhǔn)則的第一和第二包裝器。在一個(gè)實(shí)施例中，如果數(shù)據(jù)、元數(shù)據(jù)、或這兩者的狀態(tài)變成新狀態(tài)，則自動添加適合與該新狀態(tài)相關(guān)聯(lián)的新的一組準(zhǔn)則的附加包裝器?；蛘?，可自動移除適合與該新狀態(tài)相關(guān)聯(lián)的新的一組準(zhǔn)則的附加包裝器。或者，如果數(shù)據(jù)、元數(shù)據(jù)、或這兩者的狀態(tài)變成新狀態(tài)，則確定訪問特權(quán)可包括基于不受限的能力來確定訪問特權(quán)，其中該不受限的能力是由生成該能力的實(shí)體所授予的。在其他實(shí)施例中，如果數(shù)據(jù)、元數(shù)據(jù)、或這兩者的機(jī)密性類別變成更敏感的類別，則可自動添加適合數(shù)據(jù)、元數(shù)據(jù)、或這兩者的該更敏感類別的附加包裝器。如果數(shù)據(jù)、元數(shù)據(jù)、或這兩者的狀態(tài)變成新狀態(tài)，則第一包裝器或第二包裝器還可適合于與該新狀態(tài)相關(guān)聯(lián)的新的ー組準(zhǔn)則而改變。如果數(shù)據(jù)、元數(shù)據(jù)、或這兩者的狀態(tài)變成新狀態(tài)，則該改變還可包括適合于與該新狀態(tài)相關(guān)聯(lián)的新的一組準(zhǔn)則來修改第一包裝器或第二包裝器。在另ー實(shí)施例中，如果數(shù)據(jù)、元數(shù)據(jù)、或這兩者的狀態(tài)改變成新狀態(tài)，則該數(shù)據(jù)、元數(shù)據(jù)、或這兩者中的至少ー些可由基于適于與該新狀態(tài)相關(guān)聯(lián)的新的一組準(zhǔn)則的第一包裝器或第二包裝器中的至少ー個(gè)的數(shù)學(xué)變換來進(jìn)行修訂。同樣，如果該數(shù)據(jù)、元數(shù)據(jù)、或這兩者的狀態(tài)改變成新狀態(tài)，則可以刪除第一包裝器或第二包裝器?；蛘?，如果該數(shù)據(jù)、元數(shù)據(jù)、或這兩者改變，則可以用描述對該數(shù)據(jù)、元數(shù)據(jù)、或這兩者的至少ー個(gè)改變的改變元數(shù)據(jù)來擴(kuò)充該元數(shù)據(jù)。作為另ー替換實(shí)施例，如果該數(shù)據(jù)、元數(shù)據(jù)、或這兩者改變，則描述對第一包裝器中的該數(shù)據(jù)、元數(shù)據(jù)、或這兩者的至少ー個(gè)改變的改變元數(shù)據(jù)可以被編碼在包裝器中。作為ー不同的替換實(shí)施例，如果該數(shù)據(jù)、元數(shù)據(jù)、或這兩者改變，則可以用描述對該數(shù)據(jù)、元數(shù)據(jù)、或這兩者的至少ー個(gè)改變的改變元數(shù)據(jù)來擴(kuò)充該元數(shù)據(jù)。對訪問特權(quán)的確定可包括基于至少第一包裝器相對于至少第二包裝器的所定義的分層結(jié)構(gòu)來確定評估可見性的次序。例如，對訪問特權(quán)的確定可包括確定評估可見性的次序是基于樹數(shù)據(jù)結(jié)構(gòu)所定義的分層結(jié)構(gòu)的。作為各替換實(shí)施例，對訪問特權(quán)的確定可包括確定評估可見性的同心次序。作為各替換實(shí)施例，對訪問特權(quán)的確定可包括確定評估可見性的橫向次序。對訪問特權(quán)的確定可包括基于評估可見性的同心和橫向次序來確定該次序。對訪問特權(quán)的確定可包括首先通過第一包裝器來評估可見性，并且如果該組能力允許對該數(shù)據(jù)、元數(shù)據(jù)、或這兩者的訪問特權(quán)，則通過第二包裝器來評估可見性。對訪問特權(quán)的確定可包括首先通過第二包裝器來評估可見性，并且如果該組能力允許對該數(shù)據(jù)、元數(shù)據(jù)、或這兩者的訪問特權(quán)，則通過第一包裝器來評估可見性。對訪問特權(quán)的確定可包括首先通過適用于該元數(shù)據(jù)的起源元數(shù)據(jù)的第二包裝器來評估可見性并基于請求訪問特權(quán)的實(shí)體來擴(kuò)充該起源元數(shù)據(jù)。該確定可包括基于通過適用于包括該元數(shù)據(jù)的外部數(shù)據(jù)集的第一包裝器評估可見性并獨(dú)立地通過適用于包括該數(shù)據(jù)的內(nèi)部數(shù)據(jù)集的第二包裝器評估可見性，來確定訪問特權(quán)。該確定可包括基于通過適用干與該數(shù)據(jù)相對應(yīng)的加密索引的第一包裝器評估可見性來確定訪問特權(quán)。該過程還可包括經(jīng)由通過第一包裝器對加密索引的選擇性訪問來對該加密索引進(jìn)行盲搜索。定義第一包裝器或定義第二包裝器可包括定義對數(shù)據(jù)、元數(shù)據(jù)、或這兩者的訪問速度要求。定義第一包裝器或定義第二包裝器可包括定義對數(shù)據(jù)、元數(shù)據(jù)、或這兩者的防篡改要求。定義第一包裝器或定義第二包裝器可包括定義對數(shù)據(jù)、元數(shù)據(jù)、或這兩者指定的恢復(fù)可靠性要求。一種系統(tǒng)可包括至少部分地由數(shù)學(xué)變換技術(shù)提供者分發(fā)的、獨(dú)立于訪問信息生成器來實(shí)現(xiàn)的數(shù)學(xué)變換組件，其中該訪問信息生成器生成針對以下至少ー個(gè)的能力信息發(fā)布數(shù)據(jù)、元數(shù)據(jù)、或這兩者，或者訂閱所發(fā)布的數(shù)據(jù)、所發(fā)布的元數(shù)據(jù)、或這兩者，其中該數(shù)學(xué)變換組件包括被配置成基于訪問信息生成器所生成的能力信息來執(zhí)行至少ー個(gè)編碼算法或解碼算法的至少ー個(gè)處理器。該系統(tǒng)還可包括獨(dú)立于訪問信息生成器和數(shù)學(xué)變換組件來實(shí)現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者，包括被配置成實(shí)現(xiàn)與由數(shù)學(xué)變換組件加密的計(jì)算機(jī)數(shù)據(jù)、計(jì)算機(jī)元數(shù)據(jù)、或這兩者有關(guān)的網(wǎng)絡(luò)服務(wù)的至少ー個(gè)處理器，該網(wǎng)絡(luò)服務(wù)提供者被配置成與數(shù)學(xué)變換組件進(jìn)行通信以執(zhí)行適用于該計(jì)算機(jī)數(shù)據(jù)、計(jì)算機(jī)元數(shù)據(jù)、或這兩者的至少兩個(gè)數(shù)學(xué)變換包裝器的生成、重新生成、更改、擴(kuò)充、或刪除。該網(wǎng)絡(luò)服務(wù)提供者可被配置成基于修改包裝器的ー組信任要求中的信任要求的時(shí)間事件來生成、重新生成、更改、擴(kuò)充、或刪除該包裝器。該網(wǎng)絡(luò)提供者可被配置成基于確定用于生成包裝器的數(shù)學(xué)變換技術(shù)不再滿足該組信任要求中的信任要求來重新生成、更改、擴(kuò)充、或刪除該包裝器。該網(wǎng)絡(luò)服務(wù)提供者可被配置成基于修改包裝器的ー組信任要求中的信任要求的至少ー個(gè)空間事件來生成、重新生成、更改、擴(kuò)充、或刪除該包裝器。該網(wǎng)絡(luò)提供者可被配置成基于確定用于生成包裝器的數(shù)學(xué)變換技術(shù)不再適用于生成該包裝器的那一方來重新生成、更改、擴(kuò)充、或刪除該包裝器。在其他實(shí)施例中，該可信平臺被用作供發(fā)布者數(shù)學(xué)地模糊化數(shù)據(jù)以使得訂閱者能夠選擇性地訪問該訂閱者被授權(quán)的片段的可變換框架。就此，該平臺通過同時(shí)保護(hù)數(shù)據(jù)且允許授權(quán)訂閱者的訪問，同時(shí)保留完整性和安全性，來實(shí)現(xiàn)充當(dāng)其自己的保管者的數(shù)據(jù)。充當(dāng)其自己的保管者的數(shù)據(jù)可以用帶可插入服務(wù)的聯(lián)合信任覆蓋來實(shí)現(xiàn)，如在各實(shí)施例中及下面的各具體小節(jié)中所描述的。通過不止實(shí)現(xiàn)數(shù)學(xué)模糊化(例如，加密)，各實(shí)施例向用戶和托管代理數(shù)據(jù)提供如下保證無論數(shù)據(jù)被存儲在何處以及如何存儲，該數(shù)據(jù)均保留由數(shù)據(jù)發(fā)布者或持有者所適當(dāng)限定的機(jī)密性和完整性要求。就此，通過提供密碼安全信任信封，焦點(diǎn)從對數(shù)據(jù)的邊界、管道和容器進(jìn)行保護(hù)切換或擴(kuò)充到了對數(shù)據(jù)和相關(guān)聯(lián)的元數(shù)據(jù)進(jìn)行保護(hù)，其中該密碼安全信封在被出示適當(dāng)能力(例如，密鑰)時(shí)允許對該數(shù)據(jù)/元數(shù)據(jù)或特定子集的訪問。在一個(gè)實(shí)施例中，提供一種用于主存數(shù)據(jù)的方法，該方法包括，由處于第一控制區(qū)域中的計(jì)算設(shè)備從處于第二控制區(qū)域中的計(jì)算設(shè)備接收經(jīng)模糊化的數(shù)據(jù)，該經(jīng)模糊化的數(shù)據(jù)是從第二控制區(qū)域中的計(jì)算設(shè)備的所定義的數(shù)據(jù)集的數(shù)據(jù)的數(shù)學(xué)變換形成的。該方法還包括由第一控制區(qū)域中的計(jì)算設(shè)備接收經(jīng)模糊化的元數(shù)據(jù)，該經(jīng)模糊化的元數(shù)據(jù)是從對數(shù)據(jù)的分析以及對該分析的輸出的至少ー個(gè)其他數(shù)學(xué)變換而形成的。接著，確定ー組容器中的哪ー個(gè)或多個(gè)容器具有用于存儲所述經(jīng)模糊化的數(shù)據(jù)和/或所述經(jīng)模糊化的元數(shù)據(jù)的至少兩種不同的容器類型。在系統(tǒng)的ー種非限制性實(shí)現(xiàn)中，ー個(gè)或多個(gè)數(shù)學(xué)變換組件至少部分地由獨(dú)立于生成器而實(shí)現(xiàn)的數(shù)學(xué)變換算法提供者來分發(fā)，該生成器生成用于以下中的至少ー個(gè)的數(shù)學(xué)變換謂詞信息(例如，密鑰信息)發(fā)布數(shù)據(jù)和元數(shù)據(jù)、或者訂閱數(shù)據(jù)和元數(shù)據(jù)。該ー個(gè)或多個(gè)數(shù)學(xué)變換組件基于由該生成器所生成的數(shù)學(xué)變換謂詞信息來執(zhí)行至少ー個(gè)可捜索數(shù)據(jù)模糊化算法(例如，可捜索加密)或可捜索數(shù)據(jù)掲示(例如，可捜索解密)算法。獨(dú)立于該生成器和該ー個(gè)或多個(gè)數(shù)學(xué)變換組件來實(shí)現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者實(shí)現(xiàn)與由該ー個(gè)或多個(gè)數(shù)學(xué)變換組件模糊化的數(shù)據(jù)或元數(shù)據(jù)有關(guān)的網(wǎng)絡(luò)服務(wù)，并且該網(wǎng)絡(luò)服務(wù)提供者包括數(shù)據(jù)容器管理組件，該數(shù)據(jù)容器管理組件基于該網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)等待時(shí)間要求、數(shù)據(jù)可靠性要求、距數(shù)據(jù)消費(fèi)的距離要求、或數(shù)據(jù)規(guī)模要求中的至少ー個(gè)來對由該至少ー個(gè)數(shù)學(xué)變換組件模糊化的數(shù)據(jù)或元數(shù)據(jù)被存儲在何處進(jìn)行管理。在需要時(shí)，或在預(yù)期需要時(shí)，作為保管者的數(shù)據(jù)按照精細(xì)的或指定的粒度等級來提供對數(shù)據(jù)的訪問權(quán)，而不需要對給定數(shù)據(jù)集的全部的權(quán)利。云存儲提供者處的操作員エ也不能在不被檢測到的情況下查看、修改、篡改或刪除數(shù)據(jù)，除非這種查看、修改、篡改或刪除是根據(jù)被授予該操作員エ的能力而明確授權(quán)的，諸如服務(wù)器日志的維護(hù)、或?qū)υ獢?shù)據(jù)的某些其他受限操作來規(guī)劃存儲能力等等。此外，無容器數(shù)據(jù)啟用促進(jìn)防篡改的搶先復(fù)制(proactive replication),而防篡改是傳統(tǒng)系統(tǒng)無法充分解決的要求。在一個(gè)實(shí)施例中，聯(lián)合信任覆蓋是用以下組件中的ー個(gè)或多個(gè)來實(shí)現(xiàn)的云數(shù)據(jù)服務(wù)(⑶S)或云存儲提供者、密碼技術(shù)提供者(CTP)、以及密鑰生成中心(CKG)。⑶S可由任何存儲提供者提供，即，無容器數(shù)據(jù)不需要特定的容器。CTP也可由任一方提供，只要該方與CDS在分開的控制區(qū)域中操作，無論是基于用于實(shí)現(xiàn)CTP的開放規(guī)范還是該CTP的專有實(shí)現(xiàn)。分離密鑰生成功能以及使數(shù)學(xué)原理(諸如加密原理)經(jīng)受公共檢查鼓舞了如下信心CTP的方法沒有偏向，并且可由企業(yè)或單個(gè)用戶實(shí)現(xiàn)，或外包到具有CTP專家的第三方。而且，專有版本、用于公司的開放版本、用于政府或主權(quán)區(qū)的開放或封閉版本、基準(zhǔn)開源版本、或其他類別均可以被創(chuàng)建以供給定實(shí)體預(yù)封裝使用或?qū)崿F(xiàn)。CKG實(shí)體根據(jù)由CTP指定的技術(shù)來生成密鑰信息，并且還作為該聯(lián)合信任覆蓋的分開的組件而被提供(然而，取決于FTO的給定實(shí)現(xiàn)想要的信任水平，CKG也可與其他組件相組合)。在各實(shí)施例中，盡管CKG可以是集中式實(shí)體，然而，本文所使用的“中心”是ー種邏輯基準(zhǔn)，而不是集中式實(shí)體的指示，因此，該CKG也可以是分布式的和聯(lián)合式的。CKG可服務(wù)單個(gè)實(shí)體或多個(gè)合作者，例如，配藥企業(yè)之間的多合作者協(xié)作以根據(jù)來自所達(dá)成一致的CKG的密鑰交換來共享和訪問信息。因此，使用FT0，通過將能力分開，維持了信任和機(jī)密性，從而防止了在無明確授權(quán)的情況下對所存儲的信息、日志或訪問模式的洞察，而且還允許篡改檢測和完整性，例如驗(yàn)證。例如，服務(wù)提供者不能在不被檢測的情況下修改或刪除數(shù)據(jù)。帶不可抵賴的審計(jì)能力使得客戶能夠舒服地對數(shù)據(jù)放手并且確保沒有人意外地或有意地干擾該數(shù)據(jù)。日志也具有與數(shù)據(jù)和元數(shù)據(jù)相同的保證。結(jié)果“確認(rèn)”是可包括在FTO實(shí)現(xiàn)中的另ー個(gè)特征，且在下面更詳細(xì)地進(jìn)行了描述。確認(rèn)確保了云不能扣留向它索要的數(shù)據(jù)，例如，在被索要三個(gè)文檔時(shí)不能遞送兩個(gè)文檔。通過考慮CKG和執(zhí)行對數(shù)據(jù)的確認(rèn)的任何服務(wù)的分離實(shí)現(xiàn)，以及通過將數(shù)據(jù)與基于被授予應(yīng)用服務(wù)提供者的能力而接收、更改、檢索、更改、擴(kuò)充或刪除該數(shù)據(jù)或元數(shù)據(jù)的該應(yīng)用服務(wù)提供者分離，可使分離的概念再進(jìn)ー步。這還具有根據(jù)當(dāng)時(shí)的訪問特征、經(jīng)更新的安全模型、經(jīng)更新的角色、一天中的時(shí)間等來維護(hù)應(yīng)用能力的附加益處。將上述特征(諸如在下面更詳細(xì)地在各實(shí)施例中描述的)中的全部甚至ー些進(jìn)行組合增強(qiáng)了緩解對數(shù)據(jù)的云存儲的顧慮的可能性。在企業(yè)層面，企業(yè)能夠以粒度的方式來擁有策略并控制實(shí)施，即使數(shù)據(jù)和應(yīng)用被主存在云中。該系統(tǒng)可與企業(yè)安全基礎(chǔ)結(jié)構(gòu)，諸如身份元系統(tǒng)(例如，聲明(Claims)、身份生存期管理、活動目錄等)，相結(jié)合。企業(yè)可按需而被暴露給或多或少的FTO實(shí)現(xiàn)。如本文所述的數(shù)據(jù)服務(wù)的供應(yīng)涉及允許具有成本效益并且安全和私有的解決方案的存儲和密碼技術(shù)的各種組合和置換。例如，下面更詳細(xì)地描述的各可任選實(shí)施例實(shí)現(xiàn)了包括保留大小的加密、可搜索加密和/或被稱為應(yīng)用證明(Proof of Application)的密碼技術(shù)(參見一般技木)的數(shù)據(jù)保護(hù)技木。這樣的實(shí)施例啟用了針對外包的云數(shù)據(jù)保護(hù)、災(zāi)難恢復(fù)或分析的新商業(yè)場景。如在背景技術(shù)中討論的，傳統(tǒng)系統(tǒng)均未以滿足喪失客戶的隱私性或安全性需要的方式實(shí)現(xiàn)云或網(wǎng)絡(luò)數(shù)據(jù)服務(wù)。就此，為了消除圍繞網(wǎng)絡(luò)服務(wù)的常規(guī)供應(yīng)的信任屏障，提供了實(shí)現(xiàn)上面標(biāo)識出的目標(biāo)以及在下面描述的各個(gè)實(shí)施例中強(qiáng)調(diào)的其他優(yōu)點(diǎn)的可信云計(jì)算和數(shù)據(jù)服務(wù)生態(tài)系統(tǒng)或框架。術(shù)語“云”服務(wù)一般所指的概念是，服務(wù)不是從用戶設(shè)備的本地執(zhí)行，而是從可通過ー個(gè)或多個(gè)網(wǎng)絡(luò)被訪問的遠(yuǎn)程設(shè)備來遞送。由于用戶的設(shè)備不需要理解在ー個(gè)或多個(gè)遠(yuǎn)程設(shè)備處所發(fā)生的事情的細(xì)節(jié)，因此從用戶的設(shè)備的角度來看，服務(wù)是從“云”遞送的。
在一個(gè)實(shí)施例中，一種系統(tǒng)包括密鑰生成器，該密鑰生成器生成用于發(fā)布或訂閱數(shù)據(jù)的密鑰信息。獨(dú)立于密鑰生成器來實(shí)現(xiàn)的密碼技術(shù)提供者基于該密鑰生成器所生成的密鑰信息來實(shí)現(xiàn)可捜索加密/解密算法。另外，獨(dú)立于密鑰生成器和密碼技術(shù)提供者來實(shí)現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者提供與由密碼技術(shù)提供者加密的數(shù)據(jù)有關(guān)的網(wǎng)絡(luò)服務(wù)。在一個(gè)實(shí)施例中，提供了暴露可選擇性地訪問的(例如可搜索的)經(jīng)加密數(shù)據(jù)的數(shù)據(jù)存儲，其中至少ー個(gè)發(fā)布者向該數(shù)據(jù)存儲發(fā)布表示資源的數(shù)據(jù)。在提供對濫用信任的可能性的劃分的情況下，第一獨(dú)立實(shí)體執(zhí)行密碼密鑰信息的生成。第二獨(dú)立實(shí)體進(jìn)而在存儲所發(fā)布的數(shù)據(jù)之前基于由第一獨(dú)立實(shí)體生成的密碼密鑰信息來對所發(fā)布的數(shù)據(jù)進(jìn)行加密。然后，一組網(wǎng)絡(luò)或云服務(wù)針對向該網(wǎng)絡(luò)服務(wù)的請求基于由資源的發(fā)布者或所有者所賦予的后期綁定的所選特權(quán)來選擇性地訪問經(jīng)加密數(shù)據(jù)。在其他實(shí)施例中，數(shù)據(jù)存儲存儲可選擇性訪問的經(jīng)加密數(shù)據(jù)，其中訂閱者訂閱該經(jīng)加密數(shù)據(jù)的指定子集。第一獨(dú)立實(shí)體基干與訂閱者相關(guān)聯(lián)的身份信息來生成密碼密鑰信息，并且第二獨(dú)立實(shí)體基于由第一獨(dú)立實(shí)體生成的密碼密鑰信息來執(zhí)行該指定子集的解密。網(wǎng)絡(luò)服務(wù)對訂閱者的請求進(jìn)行響應(yīng)，并且基于由所指定子集的發(fā)布者或所有者所賦予的后期綁定的所選特權(quán)來提供對經(jīng)加密數(shù)據(jù)的選擇性訪問。就此而言，術(shù)語“發(fā)布者”和“訂閱者” 一般分別指發(fā)布或訂閱可信云服務(wù)的數(shù)據(jù)的任何人。然而在實(shí)際中，取決于行業(yè)、領(lǐng)域、或可信云服務(wù)生態(tài)系統(tǒng)的應(yīng)用和數(shù)字托管模式，發(fā)布者和訂閱者將擔(dān)任更具體的角色。例如，在整個(gè)系統(tǒng)的數(shù)據(jù)的上下文中，通常僅有一小組訂閱者將具有訪問該數(shù)據(jù)的特權(quán)。例如，在數(shù)據(jù)的上下文中，經(jīng)加密的數(shù)據(jù)存儲的審計(jì)者基于該審計(jì)者對該數(shù)據(jù)的角色而具有某些能力，以確保滿足某些要求，諸如備份頻率，而不被授權(quán)對該內(nèi)容本身的訪問。在一個(gè)非限制性實(shí)施例中，用于主存數(shù)據(jù)的方法包括由處于第一控制區(qū)域中的第一計(jì)算設(shè)備從處于第二控制區(qū)域中的第二計(jì)算設(shè)備接收經(jīng)加密的數(shù)據(jù)，該經(jīng)加密的數(shù)據(jù)是基于密碼密鑰信息根據(jù)可搜索加密算法對該第二計(jì)算設(shè)備的所定義的數(shù)據(jù)集的數(shù)據(jù)進(jìn)行加密而形成的；由該第一計(jì)算設(shè)備接收經(jīng)加密的元數(shù)據(jù)，該經(jīng)加密的元數(shù)據(jù)是對該數(shù)據(jù)進(jìn)行分析并基于該密碼密鑰信息對該分析的輸出進(jìn)行加密而形成的；以及從用于存儲該經(jīng)加密的數(shù)據(jù)或該經(jīng)加密的元數(shù)據(jù)的至少兩個(gè)不同的容器類型的各容器中自動地確定容器。接收陷門數(shù)據(jù)，該陷門數(shù)據(jù)啟用如該陷門數(shù)據(jù)的至少ー個(gè)密碼陷門所定義的、對該經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)的可見訪問。如果滿足該多個(gè)容器的預(yù)定義條件，則其中存儲經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)的容器可被自動切換或改變。例如，如果某些數(shù)據(jù)或元數(shù)據(jù)變成對客戶有高優(yōu)先級，則可將它從較慢的、較長期的存儲移動到具有低訪問等待時(shí)間的敏捷容器?；蛘?，可能因?yàn)槠渌试蚨苿?、?fù)制或刪除數(shù)據(jù)或元數(shù)據(jù)，例如，基干與經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)相關(guān)聯(lián)的存儲大小、基于為經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)指定的訪問速度要求、基于為經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)指定的恢復(fù)可靠性要求、基干與具有對經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)的訪問權(quán)的一個(gè)或多個(gè)設(shè)備的鄰近性等。在另ー非限制性實(shí)施例中，一種系統(tǒng)包括至少部分由密碼技術(shù)提供者分發(fā)的、獨(dú)立于密鑰生成器而實(shí)現(xiàn)的密碼組件，該密碼生成器生成用于發(fā)布數(shù)據(jù)和元數(shù)據(jù)或訂閱數(shù)據(jù)和元數(shù)據(jù)的密鑰信息，該密碼組件基于由該密鑰生成器生成的密鑰信息來可捜索地加密數(shù)據(jù)和元數(shù)據(jù)或可捜索地解密數(shù)據(jù)和元數(shù)據(jù)。該系統(tǒng)還可包括網(wǎng)絡(luò)服務(wù)提供者，該網(wǎng)絡(luò)服務(wù)提供者是獨(dú)立于該密鑰生成器和該密碼組件而實(shí)現(xiàn)的，該網(wǎng)絡(luò)服務(wù)提供者提供與由該密碼組件加密的數(shù)據(jù)和元數(shù)據(jù)有關(guān)的網(wǎng)絡(luò)服務(wù)，該網(wǎng)絡(luò)服務(wù)提供者包括數(shù)據(jù)容器管理組件，該數(shù)據(jù)容器管理組件基于數(shù)據(jù)等待時(shí)間要求、數(shù)據(jù)可靠性要求、距數(shù)據(jù)消費(fèi)的距離要求、或該網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)規(guī)模要求來對由該密碼組件加密的數(shù)據(jù)或元數(shù)據(jù)被存儲在何處進(jìn)行管理。該密鑰信息可包括能力信息，該能力信息定義關(guān)于由該密碼組件加密的數(shù)據(jù)或元數(shù)據(jù)的訪問特權(quán)。該能力信息可被后綁定以使得最新的數(shù)據(jù)訪問特權(quán)被授予給定訂閱者。在另ー非限制性實(shí)施例中，ー種計(jì)算系統(tǒng)包括存儲可選擇性地訪問的加密數(shù)據(jù)或元數(shù)據(jù)的數(shù)據(jù)存儲，其中發(fā)布者向該數(shù)據(jù)存儲發(fā)布表示資源的數(shù)據(jù)或元數(shù)據(jù)，第一獨(dú)立實(shí)體生成密碼密鑰信息，以及第二獨(dú)立實(shí)體在存儲到該數(shù)據(jù)存儲中之前基于由該第一獨(dú)立實(shí)體生成的密碼密鑰信息來加密所發(fā)布的數(shù)據(jù)或元數(shù)據(jù)。該系統(tǒng)提供網(wǎng)絡(luò)服務(wù)，該網(wǎng)絡(luò)服務(wù)基于由資源的發(fā)布者或所有者所賦予的后期綁定的所選特權(quán)來針對向該網(wǎng)絡(luò)服務(wù)的請求來啟用對該經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)的選擇性訪問。就此，該系統(tǒng)對容器類型是不可知的，并且因此該數(shù)據(jù)存儲包括不同容器類型的容器并且該數(shù)據(jù)存儲基于由該容器所表示的當(dāng)前存儲資源的分析來將可選擇性地訪問的經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)的存儲自動分發(fā)給各個(gè)容器。在一個(gè)實(shí)施例中，該“數(shù)據(jù)”是包括XML凈荷數(shù)據(jù)(例如，文本串“ MichaelJackson”和應(yīng)用到該凈荷的XML標(biāo)簽信息(例如〈/Name〉(名字))的XML數(shù)據(jù)?？梢杂门c該XML數(shù)據(jù)的可捜索加密和選擇性解密相關(guān)的附加元數(shù)據(jù)來擴(kuò)充XML標(biāo)簽信息。就此，用這種方式應(yīng)用XML標(biāo)簽為結(jié)構(gòu)化的XML數(shù)據(jù)創(chuàng)建了 “信任信封”，以利用密碼密鑰生成實(shí)體(CKG)和密碼技術(shù)提供實(shí)體(CTP)的聯(lián)合來提供各種信任保證，如機(jī)密性、隱私性、匿名性、篡改檢測、以及完整性。如上所述，本文關(guān)于XML數(shù)據(jù)或元數(shù)據(jù)的實(shí)施例中的任ー個(gè)也可應(yīng)用于其他格式，諸如但不限于，JSON、S-表達(dá)式、EDI等，并且因此XML在當(dāng)前描述的實(shí)施例中僅用于說明用途。如果XML數(shù)據(jù)是較大文檔的一片，則它還可編碼用于定位其他相關(guān)片段的清單信息。因?yàn)榭绮煌萜鱽矸稚⒌姆绞?，即，ー個(gè)或多個(gè)中間層處理該特定容器的存儲細(xì)節(jié)，所以各實(shí)現(xiàn)是技術(shù)無關(guān)的(可以使用任何CKG/CTP)。此外，不同于信任包裝器，各實(shí)現(xiàn)還是開放式的，因?yàn)槌丝蓲人骷用芎痛_認(rèn)或驗(yàn)證之外還可應(yīng)用任何數(shù)量的包裝器，并且新的包裝器技術(shù)變得可適用。還可將幫助調(diào)制一致性、軌跡等的標(biāo)簽添加到預(yù)先存在的數(shù)據(jù)和元數(shù)據(jù)頂上(或通過擴(kuò)充該元數(shù)據(jù))。如果該數(shù)據(jù)/信息是XML格式的，則可將這些技術(shù)或包裝器中的任何一個(gè)應(yīng)用到結(jié)構(gòu)化的XML數(shù)據(jù)，從而可選擇性地查詢該數(shù)據(jù)以獲得對各XML片段的訪問。目前，XML具有標(biāo)準(zhǔn)格式，即〈標(biāo)簽“值”〉(〈tag “value”〉)或〈標(biāo)簽“值” |XML結(jié)束標(biāo)簽〉(〈tag “value” XML end_tag>)。有利地,使用結(jié)構(gòu)化的XML文檔,存在分層地表示該結(jié)構(gòu)的方式以便存在將指向?qū)?shù)字托管模式唯一的CKG/CTP ‘幀’的外部包裝器。因此，當(dāng)存在對嵌入的片段進(jìn)行訪問的需要或期望時(shí)，可利用具有該<CKG>和<CTP>包裝器的現(xiàn)有信任或者可以用新的CKG/CTP幀來建立新的信任集合。這可通過標(biāo)準(zhǔn)公鑰基礎(chǔ)結(jié)構(gòu)PKI來提供，然而所選擇的特定模式要被認(rèn)為不是對本文所述的技術(shù)的限制。就此，無論選擇什么特定的加密技術(shù)集合，本文描述的各實(shí)施例均使得用戶能夠捜索、提取和解密經(jīng)加密的數(shù)據(jù)或元數(shù)據(jù)的各片段、子集或部分。另外，可執(zhí)行數(shù)據(jù)擁有機(jī)制(代表一設(shè)備來運(yùn)行的可信第三方)的公共證明來驗(yàn)證所訪問的特定XML片段自從被初始創(chuàng)作以來未被篡改。本質(zhì)上，通過各種“裝飾”來提供XML片段或完整記錄(例如，“凈荷”)的“可信信封”，其中該裝飾允許該信任來運(yùn)行全范圍信任保證，諸如但不限于機(jī)密性、隱私性、匿名性、以及完整性。作為可作為可信信封的一部分來表示在XML標(biāo)簽信息中的信息的類型的ー個(gè)示例，XML文檔的各片段可被指定為各個(gè)敏感度級別。例如，可存在具有公共(Public)、秘密(Secret)、以及絕密(Top Secret)段落的文檔。執(zhí)行搜索且使用“秘密”許可來請求訪問的人將只獲得對公共和秘密段落的訪問權(quán)。段落的分類也可被用來確定加密機(jī)制、密鑰、以及訪問策略。例如，可實(shí)現(xiàn)不能從無線或遠(yuǎn)程設(shè)備訪問絕密內(nèi)容的策略。類似地，這樣的分類可被用來創(chuàng)建關(guān)于可以如何存儲數(shù)據(jù)、可以將數(shù)據(jù)存儲在何處、可以將數(shù)據(jù)存儲多久等的策略。例如,可以創(chuàng)建要求必須每天一次地使用AES 256加密來將(敏感)醫(yī)學(xué)數(shù)據(jù)備份到可信數(shù)據(jù)中心中的安全服務(wù)器中的策略。在一實(shí)施例中，一種用于主存可擴(kuò)展標(biāo)記語言(XML)數(shù)據(jù)的方法包括第一控制區(qū)域中的第一計(jì)算設(shè)備從第二控制區(qū)域中的第二計(jì)算設(shè)備接收經(jīng)加密的XML數(shù)據(jù)，該經(jīng)加密的XML數(shù)據(jù)包括經(jīng)加密的XML凈荷數(shù)據(jù)和經(jīng)加密的XML標(biāo)簽。該經(jīng)加密的XML數(shù)據(jù)是基于密碼密鑰信息根據(jù)可搜索加密算法對該第二計(jì)算設(shè)備的所定義的XML數(shù)據(jù)集的加密而形成的。對數(shù)據(jù)的請求包括基于對用于訪問該經(jīng)加密的XML凈荷數(shù)據(jù)或該經(jīng)加密的XML標(biāo)簽中的至少ー些的特權(quán)進(jìn)行定義的密碼密鑰信息的能力以及啟用如該能力所限定的、對該經(jīng)加密的XML數(shù)據(jù)的選擇性訪問。盡管在XML數(shù)據(jù)的加密的上下文中描述了ー些實(shí)施例，但可以使用對XML數(shù)據(jù)的任何數(shù)學(xué)變換或模糊化。例如，在一個(gè)實(shí)施例中，根據(jù)跨不同的存儲位置來分發(fā)XML數(shù)據(jù)的基本上不可猜測的數(shù)據(jù)分發(fā)算法來分發(fā)該XML數(shù)據(jù)。維護(hù)一映射，其中如果授權(quán)了對該映射的訪問，則該映射允許重構(gòu)作出請求的實(shí)體對其擁有特權(quán)的數(shù)據(jù)的各相關(guān)部分。就此，本文在加密上下文中描述的各實(shí)施例因而可被一般化成以隱藏?cái)?shù)據(jù)而無訪問特權(quán)的方式對該數(shù)據(jù)進(jìn)行模糊化或以其他方式進(jìn)行編碼的任何算法或數(shù)學(xué)變換。所述能力可包括陷門數(shù)據(jù)，所述陷門數(shù)據(jù)包括用于選擇性地訪問該經(jīng)加密的XML凈荷數(shù)據(jù)或經(jīng)加密的XML標(biāo)簽的密碼陷門。該經(jīng)加密的數(shù)據(jù)包括輔助的經(jīng)加密的元數(shù)據(jù)，該輔助的經(jīng)加密的元數(shù)據(jù)是從對該經(jīng)加密的XML凈荷數(shù)據(jù)或經(jīng)加密的XML標(biāo)簽的分析而形成的。例如，可逐片段地向該XML文檔的每個(gè)凈荷元素應(yīng)用公共、秘密或絕密的機(jī)密等級標(biāo)記，并且可將該機(jī)密等級標(biāo)記包括在該輔助的經(jīng)加密的元數(shù)據(jù)中以實(shí)現(xiàn)與對該XML文檔的各部分的訪問權(quán)有關(guān)的高度粒度化的策略。在另ー個(gè)實(shí)施例中，用于訂閱經(jīng)可搜索地加密的XML數(shù)據(jù)的方法包括從密鑰生成組件接收密碼密鑰信息，該密碼生成組件基干與該訂閱者設(shè)備相關(guān)聯(lián)的身份信息來生成該密碼密鑰信息；通過該訂閱者設(shè)備請求經(jīng)可搜索地加密的XML數(shù)據(jù)和對應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集，包括將該密碼密鑰信息傳送到該經(jīng)可捜索地加密的XML數(shù)據(jù)和對應(yīng)的標(biāo)簽數(shù)據(jù)的存儲提供者；以及如由在該密碼密鑰信息中所限定的能力所允許的，解密經(jīng)加密的XML數(shù)據(jù)和對應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集。對于該經(jīng)加密的XML數(shù)據(jù)的每個(gè)XML片段，可解密表示該對應(yīng)的經(jīng)加密的XML數(shù)據(jù)的機(jī)密等級的XML標(biāo)簽數(shù)據(jù)并且可確定所述能力是否允許對具有該機(jī)密等級的數(shù)據(jù)的訪問。這包括具有開放訪問特權(quán)的公共機(jī)密等級，或如根據(jù)策略來限定的較不開放的秘密機(jī)密等級。該方法可包括確認(rèn)經(jīng)加密的XML數(shù)據(jù)和對應(yīng)的XML標(biāo)簽數(shù)據(jù)的正確子集由符合該請求的訂閱者設(shè)備接收。確認(rèn)的示例包括執(zhí)行數(shù)據(jù)擁有證明以證明該訂閱者設(shè)備接收了正確的子集。該方法還可包括驗(yàn)證經(jīng)加密的XML數(shù)據(jù)和對應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集的內(nèi)容在接收到所述經(jīng)加密的XML數(shù)據(jù)和對應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集之前未被刪除或修改。驗(yàn)證的示例包括執(zhí)行可恢復(fù)性證明以證明不存在對該內(nèi)容的干預(yù)。除了其他可任選的特征之外，在請求訪問經(jīng)加密的XML數(shù)據(jù)或密鑰信息時(shí)可應(yīng)用與訂閱者設(shè)備相關(guān)聯(lián)的匿名化憑證。在另ー實(shí)施例中，一種用于發(fā)布可擴(kuò)展標(biāo)記語言(XML)數(shù)據(jù)的方法可包括基于從分開的密鑰生成器接收的密碼密鑰信息根據(jù)可搜索加密算法來加密XML數(shù)據(jù)以形成包括經(jīng)加密的XML標(biāo)簽信息的經(jīng)加密的XML數(shù)據(jù)，其中所述密鑰生成器生成所述密碼密鑰信息；以及將經(jīng)加密的XML數(shù)據(jù)傳送到網(wǎng)絡(luò)服務(wù)提供者以供存儲該經(jīng)加密的數(shù)據(jù)，其中該經(jīng)加密的數(shù)據(jù)是可根據(jù)基于作出請求的設(shè)備的身份信息而授予給該作出請求的設(shè)備的所選擇的特權(quán)的后期綁定來可選擇性地訪問的。所述加密可包括從在分開的控制區(qū)域中執(zhí)行的密鑰生成器接收密碼密鑰信息，所述密鑰生成器基于執(zhí)行XML數(shù)據(jù)的加密的發(fā)布設(shè)備的身份來生成所述密碼密鑰信息。在另ー實(shí)施例中，一種用于訂閱可擴(kuò)展標(biāo)記語言(XML)數(shù)據(jù)的方法包括響應(yīng)于訂閱者設(shè)備對包括經(jīng)加密的XML標(biāo)簽的經(jīng)可搜索地加密的XML數(shù)據(jù)的子集的請求，從密鑰生成組件接收密碼密鑰信息并且根據(jù)該密碼密鑰信息中定義的、授予訂閱者設(shè)備的特權(quán)來解密經(jīng)加密的XML數(shù)據(jù)的該子集，其中所述密鑰生成組件基干與所述訂閱者設(shè)備相關(guān)聯(lián)的身份信息來生成所述密碼密鑰信息。各技術(shù)可包括訂閱者設(shè)備請求關(guān)于經(jīng)加密的XML數(shù)據(jù)的子集的各數(shù)據(jù)項(xiàng)的、接收到正確數(shù)據(jù)項(xiàng)的證明，這可包括接收以下信息該信息向訂閱者設(shè)備證明該訂閱者設(shè)備所請求的經(jīng)加密的XML數(shù)據(jù)的子集中的數(shù)據(jù)項(xiàng)是正確的。各技術(shù)可包括訂閱者設(shè)備請求在所述請求之前所述經(jīng)加密的XML數(shù)據(jù)的子集沒有被干預(yù)過的證明，這可包括訂閱者設(shè)備接收以下信息該信息向該訂閱者設(shè)備證明在所述請求之前經(jīng)加密的XML數(shù)據(jù)的該子集沒有被干預(yù)過。在又一實(shí)施例中，一種系統(tǒng)包括存儲可選擇性地訪問的經(jīng)加密的XML凈荷數(shù)據(jù)和與所述經(jīng)加密的XML凈荷數(shù)據(jù)相對應(yīng)的相應(yīng)的經(jīng)加密的XML標(biāo)簽數(shù)據(jù)的數(shù)據(jù)存儲，其中訂閱者請求訂閱所述經(jīng)加密的XML凈荷數(shù)據(jù)或所述經(jīng)加密的XML標(biāo)簽數(shù)據(jù)的子集，第一獨(dú)立實(shí)體基干與訂閱者相關(guān)聯(lián)的身份信息來生成密碼密鑰數(shù)據(jù)，而第二獨(dú)立實(shí)體基于由該第一獨(dú)立實(shí)體生成的密碼密鑰信息來執(zhí)行所述子集的解密。該系統(tǒng)還包括用于處理訂閱者的請求的網(wǎng)絡(luò)服務(wù)，其提供對經(jīng)加密的XML凈荷數(shù)據(jù)或經(jīng)加密的XML標(biāo)簽數(shù)據(jù)的所述子集的選擇性訪問。該系統(tǒng)可被配置成確認(rèn)經(jīng)加密的XML凈荷數(shù)據(jù)或經(jīng)加密的XML標(biāo)簽數(shù)據(jù)的所述子集是與所述訂閱相一致的正確子集和/或驗(yàn)證經(jīng)加密的XML凈荷或經(jīng)加密的XML標(biāo)簽數(shù)據(jù)的所述子集在對經(jīng)加密的XML凈荷或經(jīng)加密的XML標(biāo)簽數(shù)據(jù)的所述子集的選擇性訪問之前沒有在未經(jīng)授權(quán)的情況下被更改或刪除。在另ー實(shí)施例中，一種系統(tǒng)包括至少部分由密碼密鑰技術(shù)提供者分發(fā)的、獨(dú)立于密鑰生成器來實(shí)現(xiàn)的密碼組件以及獨(dú)立于所述密鑰生成器和所述密碼組件來實(shí)現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者，所述密鑰生成器生成用于發(fā)布XML數(shù)據(jù)或?qū)?yīng)的標(biāo)簽數(shù)據(jù)或訂閱XML數(shù)據(jù)或?qū)?yīng)的標(biāo)簽數(shù)據(jù)的密鑰信息，所述密碼組件包括被配置成基于由所述密鑰生成器生成的密鑰信息來執(zhí)行可捜索加密/解密算法的處理器，所述網(wǎng)絡(luò)服務(wù)提供者包括被配置成實(shí)現(xiàn)與由所述密碼組件加密的XML數(shù)據(jù)或?qū)?yīng)的標(biāo)簽數(shù)據(jù)有關(guān)的網(wǎng)絡(luò)服務(wù)。該密鑰信息包括“后期綁定”能力信息，借助該能力信息向XML數(shù)據(jù)或?qū)?yīng)的標(biāo)簽數(shù)據(jù)的給定訂閱者授予最新的訪問特權(quán)。下面提供這些和其他各示例性、非限制性實(shí)施例和場景的進(jìn)ー步細(xì)節(jié)。通過包裝器合成的可驗(yàn)證的信任
如在背景技術(shù)中提到的，在由服務(wù)組織擁有的遠(yuǎn)程站點(diǎn)處維護(hù)敏感企業(yè)數(shù)據(jù)可能使該數(shù)據(jù)處于從隱私侵犯到數(shù)據(jù)丟失的危險(xiǎn)中。如針對本文的各實(shí)施例所描述的，網(wǎng)絡(luò)或云數(shù)據(jù)服務(wù)(包括用于數(shù)據(jù)的數(shù)學(xué)變換技木)被以如下方式提供該方式跨多個(gè)實(shí)體來分發(fā)信任以避免單點(diǎn)數(shù)據(jù)損害，并且將數(shù)據(jù)保護(hù)要求從可存儲、處理、訪問或檢索該數(shù)據(jù)的容器分離。在一個(gè)實(shí)施例中，訪問信息生成器、數(shù)學(xué)變換技術(shù)提供者以及云服務(wù)提供者各自均作為分開的實(shí)體來提供，從而允許數(shù)據(jù)發(fā)布者向云服務(wù)提供者機(jī)密地(經(jīng)加密的)發(fā)布數(shù)據(jù)的可信平臺，并且允許經(jīng)授權(quán)的訂閱者基于訂閱者能力對該經(jīng)加密的數(shù)據(jù)的選擇性訪問。多個(gè)變換包裝器或?qū)涌烧w地或部分地將數(shù)據(jù)、元數(shù)據(jù)、或這兩者變換成數(shù)學(xué)變換(例如，カロ密、跨存儲來分發(fā)、模糊)或以其他方式將可見性缺失引入數(shù)據(jù)、元數(shù)據(jù)、或這兩者中的ー些或全部。本公開內(nèi)容的各實(shí)施例通過被稱為包裝器合成的一族技術(shù)來提供可驗(yàn)證的信任，其具有各個(gè)應(yīng)用，包括數(shù)據(jù)在服務(wù)器上存儲、不被完全信任的服務(wù)或云、或通過不能被完全信任的各控制區(qū)域來交換數(shù)據(jù)?？杀粦?yīng)用于數(shù)據(jù)的包裝器或信封以便于建立對數(shù)據(jù)的安全性和隱私性的高信任水平的密碼技術(shù)或‘裝飾’的一些其他示例包括但不限于，保留大小的加密、可捜索加密、應(yīng)用證明、盲指紋、可恢復(fù)性證明等。在本文的一些實(shí)施例中，候選數(shù)據(jù)被稱為‘內(nèi)容’。可驗(yàn)證的信任(Verifiable Trust)是通過各技術(shù)提供諸如匿名性、隱私性、或完整性等保證的能力，這些技術(shù)可包括但不限于用于加密、簽名、密碼散列、以及交互式證明的密碼技術(shù)。還存在使用相關(guān)聯(lián)的各類適用的密碼和其他技術(shù)的其他類保證。為易于說明，在下文中將所有這些技術(shù)稱為‘密碼’。用于保護(hù)內(nèi)容(即數(shù)據(jù))以及用于提供可驗(yàn)證的信任的許多常規(guī)密碼和其他方案依賴于要求接收者或讀取者具有用于取得訪問的適當(dāng)密鑰或其他機(jī)制的“孤注ー擲的”方法。新興方法和系統(tǒng)能夠提供‘選擇性不透明性’，其中可以向能訪問這一內(nèi)容的一方提供用于對該內(nèi)容執(zhí)行受限動作的委托能力。這些動作可包括具有基于包括密鑰或角色證明或擁有聲明的準(zhǔn)則的選擇性訪問。這些動作還可包括在繼續(xù)具有對該內(nèi)容的受限查看的同時(shí)對該內(nèi)容執(zhí)行一定范圍的動作的能力，這些動作可包括搜索、路由、以及工作流。在研究文獻(xiàn)中，這樣的技術(shù)的示例被稱為‘可搜索加密’。在下文中概括描述了ー組原因，包括場景多樣化、密碼技術(shù)或系統(tǒng)中的限制、或被參與者的不同策略和可驗(yàn)證的信任要求所復(fù)雜化。現(xiàn)有技術(shù)和實(shí)現(xiàn)不能夠以提供系統(tǒng)和可操作的靈活性及動態(tài)合成的方式來滿足這些不同需求。描述了松散耦合的包裝器(這些包裝器可以是短暫的)，并基于任何場景的需求來提供支持包裝器的動態(tài)添加和移除。圖I是ー實(shí)施例中的示出用于采用合成包裝器來發(fā)布或訂閱存儲中的數(shù)據(jù)、元數(shù)據(jù)、或這兩者的系統(tǒng)的框圖。根據(jù)分布式信任平臺，數(shù)學(xué)變換組件100包括訪問信息生成器102。訪問信息可以是用于重構(gòu)隱藏或以其他方式分發(fā)的數(shù)據(jù)的各段的存儲圖、密碼密鑰信息、或其他能力。還包括數(shù)學(xué)變換技術(shù)提供者104。組件100被用于供發(fā)布者發(fā)布110數(shù)據(jù)或供訂閱者訂閱112數(shù)據(jù)。網(wǎng)絡(luò)服務(wù)提供者120便干與存儲在存儲130中的數(shù)據(jù)150和/或元數(shù)據(jù)152的交互。就此，包裝器140可被應(yīng)用于數(shù)據(jù)150、元數(shù)據(jù)152、或這兩者，并且這些包裝器140可被生成、重新生成、刪除、擴(kuò)充、更改、或以其他方式改變來與系統(tǒng)或指令中的變化相對應(yīng)。圖2是ー實(shí)施例中的示出用于采用合成加密包裝器來發(fā)布或訂閱存儲中的數(shù)據(jù)、元數(shù)據(jù)、或這兩者的系統(tǒng)的框圖。根據(jù)分布式信任平臺，數(shù)學(xué)變換組件200包括密碼密鑰生成器202。還包括密碼技術(shù)提供者204。組件200被用于供發(fā)布者發(fā)布220數(shù)據(jù)或供訂閱者訂閱222數(shù)據(jù)。網(wǎng)絡(luò)服務(wù)提供者220便干與存儲在存儲230中的數(shù)據(jù)250和/或元數(shù)據(jù)252的交互。就此，密碼包裝器240可被應(yīng)用于數(shù)據(jù)250、元數(shù)據(jù)252、或這兩者，并且這些包裝器240可被生成、重新生成、刪除、擴(kuò)充、更改、或以其他方式改變來與系統(tǒng)或指令中的變化相對應(yīng)。圖3是同心合成包裝器的說明性示例，其中外部包裝器2 330覆蓋內(nèi)部包裝器320，這兩個(gè)包裝器對數(shù)據(jù)300、元數(shù)據(jù)310、或這兩者進(jìn)行數(shù)學(xué)變換(例如，降低其可見性)。包裝器320和330保護(hù)數(shù)據(jù)300、元數(shù)據(jù)310、或這兩者的全部，并且作為內(nèi)部包裝器，包裝器1320是不可見的，直至呈現(xiàn)了通過包裝器2330 (外部包裝器)的可見性的正確能力為止。圖4是具有橫向包裝器的合成包裝器的說明性示例。對于橫向包裝器420和430，相關(guān)聯(lián)的變換使得數(shù)據(jù)400、元數(shù)據(jù)410、或這兩者的并非全部不可見。相反，數(shù)據(jù)400、元數(shù)據(jù)410、或這兩者中的所需部分或項(xiàng)被模糊而其他部分可保持可見。圖5是ー實(shí)施例中的既具有同心包裝器也具有橫向包裝器的混合合成包裝器的說明性示例。就此，圖5是圖3和4的包裝器在一實(shí)施例中相組合的示例，其中ー些包裝器320和330對數(shù)據(jù)500、元數(shù)據(jù)510、或這兩者的全部進(jìn)行包裝，而ー些包裝器420和430對數(shù)據(jù)500、元數(shù)據(jù)510、或這兩者的部分(這些部分不必是連續(xù)的，可以滿足任何子集定義)進(jìn)行包裝。就此，哪些包裝器被首先解除包裝或哪些彼此獨(dú)立的分層結(jié)構(gòu)可以根據(jù)維護(hù)分層結(jié)構(gòu)的任何數(shù)據(jù)結(jié)構(gòu)來表示。圖6是ー實(shí)施例中的結(jié)合與數(shù)據(jù)相關(guān)聯(lián)的訪問日志元數(shù)據(jù)來使用橫向包裝器的框圖。作為橫向包裝器的示例使用(其中數(shù)據(jù)600可包括訪問日志602 (例如，起源數(shù)據(jù)))，橫向包裝器620保護(hù)ー些數(shù)據(jù)600且橫向包裝器622保護(hù)訪問日志602。因而，并非所有數(shù)據(jù)都被給定包裝器保護(hù)，并且可對數(shù)據(jù)項(xiàng)的不同部分應(yīng)用不同標(biāo)準(zhǔn)或不應(yīng)用標(biāo)準(zhǔn)。圖6另外示出可對部分包裝器620、622應(yīng)用附加的完整包裝器630以作為附加的ー層保護(hù)。圖7是ー實(shí)施例中的通過丟棄或粉碎訪問信息來有效地刪除數(shù)據(jù)的框圖，其中刪除數(shù)據(jù)的方式被編碼在元數(shù)據(jù)中。就此，在這樣的系統(tǒng)中，ー種刪除數(shù)據(jù)而非將數(shù)據(jù)700或元數(shù)據(jù)710或這兩者上的包裝器720解除包裝的方式是簡單地丟棄或粉碎訪問信息生成器702所生成的訪問信息，因?yàn)檫@樣在沒有這一信息的情況下，數(shù)據(jù)700或元數(shù)據(jù)710不能被訪問。然而，如果該系統(tǒng)選擇記錄與刪除何時(shí)或如何發(fā)生有關(guān)的ー些信息，則仍然可保留與數(shù)據(jù)700、元數(shù)據(jù)710、或這兩者有關(guān)的信息。圖8是另外示出一示例的框圖，其中數(shù)據(jù)被加擾并且關(guān)于加擾的信息被記錄在合成包裝器的包裝器內(nèi)部或外部的元數(shù)據(jù)中。在該示例中，由包裝器820保護(hù)的數(shù)據(jù)800、元數(shù)據(jù)810、或這兩者可被加擾，并且與所使用的算法有關(guān)的信息可被添加到元數(shù)據(jù)810或外部元數(shù)據(jù)812中，或者甚至被編碼在包裝器820之一中以供在制度上知曉該數(shù)據(jù)發(fā)生了什么。因此，丟棄訪問信息生成器802所生成的訪問信息或加擾兩者都可被用來在該系統(tǒng)中有效地刪除數(shù)據(jù)。圖9是策略中的變化的框圖，作為移除包裝器的替換方案，該變化導(dǎo)致交出查看被包裝器模糊化的數(shù)據(jù)、元數(shù)據(jù)、或這兩者的能力。在該示例中，不管包裝器保護(hù)如何，都給出了對受保護(hù)的數(shù)據(jù)900、元數(shù)據(jù)910、或這兩者“解除保護(hù)”的方式。例如，基于策略變化904，訪問信息生成器902簡單地產(chǎn)生用于通過包裝器920查看數(shù)據(jù)900、元數(shù)據(jù)910、或這兩者的全部或部分的能力，而作出請求的實(shí)體沒有任何成本。這充分利用了現(xiàn)有的體系結(jié)構(gòu)，使得不必執(zhí)行昂貴的解除包裝操作。圖10是基于指令或狀態(tài)改變來對包裝器進(jìn)行自動解除包裝、生成、更改、重新生成、或擴(kuò)充的框圖。該示例是說明性的，狀態(tài)1040的改變或來自網(wǎng)絡(luò)服務(wù)提供者1030的顯式指令可自動觸發(fā)對保護(hù)數(shù)據(jù)1000、元數(shù)據(jù)1010、或這兩者的包裝器1020的改變。例如，在數(shù)據(jù)到達(dá)特定年齡時(shí)，可將包裝器自動解除包裝(例如，一旦數(shù)據(jù)的相關(guān)性期滿則它再次成為明文)。作為另ー示例，例如，在數(shù)據(jù)變得相關(guān)(例如，機(jī)密)時(shí)，可生成包裝器1020。在有理由相信發(fā)生了損害的情況下，還可使用不同的編碼來重新生成包裝器1020。作為另ー示例，可以更改包裝器，例如可以在該包裝器上使用不同變換或使用數(shù)學(xué)變換的不同參數(shù)。圖11是使用ー個(gè)或多個(gè)橫向包裝器變換來執(zhí)行數(shù)據(jù)修訂任務(wù)的說明性示例。例如，修訂橫向包裝器1120可被用來修訂數(shù)據(jù)1100外部的公司名稱或日期，或可以修訂元數(shù)據(jù)1110外部的某些關(guān)鍵詞。作為另ー示例，雖然用修訂包裝器1120修訂了數(shù)據(jù)，但是為需要知道與數(shù)據(jù)1100中什么被修訂了有關(guān)的ー些事情的人在如一致性元數(shù)據(jù)包裝器1130所模糊化的元數(shù)據(jù)1100中記錄與什么或何時(shí)被修訂了有關(guān)的信息是可能的。圖12是ー實(shí)施例中的用于主存由合成包裝器來包裝的數(shù)據(jù)、元數(shù)據(jù)、或這兩者的示例性非限制性過程的流程圖。在1200處，接收由合成包裝器來保護(hù)的數(shù)據(jù)或元數(shù)據(jù)或這兩者，其中該合成包裝器是從基于第一組準(zhǔn)則來定義該數(shù)據(jù)、該元數(shù)據(jù)、或這兩者的第一包裝器的第一數(shù)學(xué)變換和基于第二組準(zhǔn)則來定義該數(shù)據(jù)、該元數(shù)據(jù)、或這兩者的第二包裝器的第二數(shù)學(xué)變換形成的。在1210處，接收基于請求中包括的ー組能力來訪問由合成包裝器保護(hù)的數(shù)據(jù)、元數(shù)據(jù)、或這兩者的請求。在1220處，基于該組能力，基于通過第一包裝器評估可見性并獨(dú)立地通過第二包裝器評估可見性來確定對數(shù)據(jù)、元數(shù)據(jù)、或這兩者的訪問特權(quán)。在1230處，該系統(tǒng)的狀態(tài)可能改變，或接收到顯式地請求改變的指令。在1240處，基于狀態(tài)改變或指令，基于新的一組準(zhǔn)則(QoS要求、內(nèi)容或元數(shù)據(jù)的類型、一致性要求等)來改變、刪除、或擴(kuò)充第一或第二包裝器，生成另ー包裝器，刪除或撤消包裝器，用相同或其他數(shù)學(xué)變換來重新生成包裝器，或改變管控第一或第二包裝器的策略，等等。本文描述的許多技術(shù)依賴于保護(hù)分層結(jié)構(gòu)，該保護(hù)分層結(jié)構(gòu)可涉及包含要保護(hù)的實(shí)際內(nèi)容的“內(nèi)部”凈荷和包含描述內(nèi)部數(shù)據(jù)的經(jīng)加密的索弓I的“外部”凈荷,該內(nèi)部數(shù)據(jù)可服從盲搜索技木，如在研究文獻(xiàn)中被稱為“帶關(guān)鍵詞搜索的公鑰加密”的那些技木。在實(shí)踐中，對“內(nèi)部”和“外部”的這ー引用可暗示字面容納，其中對“內(nèi)部”凈荷的訪問將需要通過諸如解密等技術(shù)來解鎖“外部”凈荷(即包裝器)。然而，這也可以是虛擬概念，其中沒有實(shí)際的容納，但在不解碼外部包裝器的情況下，難以定位或重組內(nèi)部凈荷。前一句中提到的這ー難度是由于密碼技術(shù)或其他數(shù)學(xué)變換所引入的計(jì)算復(fù)雜度，或者是由于通過所有權(quán)和控制區(qū)域來提供內(nèi)部和外部內(nèi)容的隔離的系統(tǒng)技術(shù)，或者是由于利用與優(yōu)化分散和重組的系統(tǒng)技術(shù)相耦合的密碼分散技術(shù)的組合。存在著用于創(chuàng)建包裝器的分層結(jié)構(gòu)的若干原因以提供可驗(yàn)證的信任，其中的ー些原因已在上文中描述。這些原因包括基于在真實(shí)世界中觀察到的諸如組織結(jié)構(gòu)等自然分層結(jié)構(gòu)來提供選擇性不透明性。其他原因包括以提供更服從真實(shí)世界實(shí)現(xiàn)的合成的方式將不同密碼技術(shù)與補(bǔ)充屬性密碼或系統(tǒng)屬性進(jìn)行組合的能力。還存在用于以不要求內(nèi)部包裝器或凈荷保持原樣的方式添加或移除解決時(shí)間或空間事件的包裝器的許多其他原因，該時(shí)間或空間事件修改可驗(yàn)證的信任的各個(gè)要求。時(shí)間事件可包括用于生成這些包裝器的密碼技術(shù)的提供保證的能力由于硬件、軟件、或科學(xué)進(jìn)步而被弱化的估計(jì)或假設(shè)。通過按時(shí)間表、按需、或其他觸發(fā)來生成新包裝器以促進(jìn)可驗(yàn)證的信任的長期供應(yīng)，系統(tǒng)可被構(gòu)建成包容這ー故障?？臻g事件可包括跨處理該內(nèi)容的各方來轉(zhuǎn)移擁有權(quán)或所有權(quán)，該各方(可能出于包括順從管轄、法律、規(guī)章的原因)有理由來選擇不同密碼技術(shù)并且在跨越主權(quán)實(shí)體或權(quán)限的邊界時(shí)特別值得注意。系統(tǒng)可被構(gòu)建成將能力嵌入在網(wǎng)關(guān)中，或直接嵌入在包裝器中，或以某種混合方式嵌入，使得基于反映新處理者或所有者的規(guī)則的策略來具體化或汽化(vaporize)包裝器。文獻(xiàn)中存在著嘗試提供可對自然分層結(jié)構(gòu)進(jìn)行建模的可驗(yàn)證的信任的技術(shù)，包括分層的基于身份的加密、基于屬性的加密、以及謂詞(或功能)加密。還存在著提供以虛擬方式通過諸如完全同態(tài)等密碼技術(shù)屬性來具體化包裝器的內(nèi)在能力的技術(shù)。在存在這些技術(shù)的情況下，可能依然存在著出于范圍從可驗(yàn)證的信任到系統(tǒng)的其他原因的、對上述通過包裝器進(jìn)行合成的需求。將包裝器進(jìn)行合成的密碼原因包括對可通過提供對訪問的較強(qiáng)保證或較細(xì)粒度控制的內(nèi)部包裝器和向廣告泄露較少信息但提供較粗粒度控制和較弱保證的外部包裝器進(jìn)行合成的匹配技術(shù)的需求。因此，該合成提供了保證和控制的更優(yōu)化的混合。系統(tǒng)原因可包括對具有可變屬性的匹配技術(shù)的需求，這些屬性可包括性能和規(guī)模。在這樣的場景中，外部包裝器可以在提供更高級性能和規(guī)模的技術(shù)的外部來構(gòu)造，但帶有功能上的某種限制，并且內(nèi)部包裝器帶有經(jīng)擴(kuò)充或補(bǔ)充的功能，可能帶有較低性能和規(guī)模。在實(shí)踐中，情況通常是新興密碼技術(shù)提供増加的能力等級，但以性能和規(guī)模為代價(jià)。在這些新興技術(shù)中還缺少信任，通常在分析、細(xì)化、以及標(biāo)準(zhǔn)化這些技術(shù)時(shí)它們隨時(shí)間消散。同樣，隨時(shí)間進(jìn)展，學(xué)習(xí)著以穩(wěn)定地更高效的軟件或硬件方法或其組合來實(shí)現(xiàn)這些技術(shù)。包裝器以提供‘安全網(wǎng)’的方式來便于對這些新技術(shù)的樂觀使用，其中內(nèi)部或外部包裝器能夠補(bǔ)償實(shí)現(xiàn)任何單個(gè)包裝器的技術(shù)中的已知或未知弱點(diǎn)或缺陷或特征的固有缺失。例如，外部包裝器可提供關(guān)鍵詞隱私性和高性能，但帶有較粗粒度的訪問控制或沒有訪問控制。這可以用不提供關(guān)鍵詞隱私性來提供較細(xì)粒度的訪問控制(可能以較高的性能和規(guī)模懲罰為代價(jià))的內(nèi)部包裝器來進(jìn)行補(bǔ)償。情況通常是外部包裝器將針對‘假肯定’來優(yōu)化，因?yàn)樗赡茏鞒鲞x擇、進(jìn)行搜索、路由或工作流。這可以反映真實(shí)世界組織中的更高的或所包含的許可分層結(jié)構(gòu)。然而，對應(yīng)的內(nèi)部包裝器將使這一結(jié)果專用于該分層結(jié)構(gòu)中的內(nèi)部層。例如，外部包裝器可得到對大學(xué)中的數(shù)學(xué)系適當(dāng)?shù)乃薪Y(jié)果，而內(nèi)部包裝器可過濾出數(shù)論學(xué)家所感興趣的結(jié)果。存在著用于包裝器的其他原因。這些原因包括對提供場景專用的可驗(yàn)證的信任保證的需求。例如，可能存在以下各場景家族其中對特定關(guān)鍵詞的存在的知曉進(jìn)行保護(hù)是不重要的，這可能是因?yàn)檫@些關(guān)鍵詞的領(lǐng)域足夠大而使得字典或關(guān)鍵詞猜測攻擊在計(jì)算上是不切實(shí)際的，或者是因?yàn)檫@些關(guān)鍵詞的泄露被該場景認(rèn)為是低風(fēng)險(xiǎn)。相反，可存在以下其他各場景家族其中這些關(guān)鍵詞是高度敏感的，并且數(shù)據(jù)所有者(或所有者的公司、社交、支持、或消費(fèi)網(wǎng)絡(luò))期望該數(shù)據(jù)的當(dāng)前處理者(如服務(wù)器、服務(wù)、云、或其他方)在無需習(xí)得它們所操作來執(zhí)行各動作(這些動作包括搜索并隨后檢索或路由或執(zhí)行其他操作)的這些關(guān)鍵詞之外的任何事情的情況下執(zhí)行動作。此外，在許多真實(shí)世界場景家族中，該內(nèi)容是合成的，包含處于范圍從‘高度敏感’到‘可任意使用’的連續(xù)區(qū)中的各組成。通常，任何真實(shí)世界組織反映這些不同要求，它們反映在所存儲、交換、或協(xié)作性地操作的合成內(nèi)容中。此外，在這些協(xié)作場景中的包括許多外聯(lián)網(wǎng)的許多場景(其中各公司跨組織、規(guī)章順從、主權(quán)實(shí)體、或其他邊界來進(jìn)行協(xié)作)中，一方所訪問的內(nèi)容的分類將被所有者認(rèn)為基于所有方與訪問方之間的當(dāng)前公司或契約關(guān)系(或歷史和信任)映射到該連續(xù)區(qū)中的點(diǎn)。此夕卜，這ー關(guān)系和映射可以是短暫的，可能到了特定公司事務(wù)或社交交互的粒度。在密碼和系統(tǒng)技術(shù)的任何可預(yù)測狀態(tài)中，設(shè)計(jì)滿足跨各場景(這些場景滿足所有可驗(yàn)證的信任要求)的一定范圍的要求、和包括性能和規(guī)模的系統(tǒng)要求、以及可包括先前描述的要求的其他要求的單個(gè)解決方案將是不切實(shí)際的。由于復(fù)雜度和大規(guī)模遞送這些解決方案的后續(xù)成本，通常導(dǎo)致更高的貨物成本(這通常轉(zhuǎn)嫁到最終用戶上)，這給服務(wù)器、月艮務(wù)、云、和其他遞送造成很高的開發(fā)、維護(hù)以及運(yùn)營負(fù)擔(dān)。包括在本公開內(nèi)容中概括描述的那些技術(shù)的各技術(shù)是用于將從密碼和/或系統(tǒng)觀點(diǎn)來看被認(rèn)為最優(yōu)的各解決方案進(jìn)行合成的候選技術(shù)。這樣的合成可包括來自適當(dāng)候選構(gòu)件塊服務(wù)的混合服務(wù)的自動合成，但這將不排除可包括操作或工程干預(yù)的半自動合成。在這些情況下，該解決方案可利用該能力來具體化在包裝器外部構(gòu)造的合成，這些包裝器提供補(bǔ)充的系統(tǒng)、密碼及其他特征，這些補(bǔ)充的系統(tǒng)、密碼及其他特征向該場景或場景家族遞送最優(yōu)解決方案，但以理想地不對該場景或場景家族不需要的特征或能力施加實(shí)現(xiàn)或操作負(fù)擔(dān)的方式。、
用于實(shí)現(xiàn)包裝器的附加原因包括對具有控制對內(nèi)容的訪問的法律需求的不同個(gè)體或組織的要求、需求、以及策略之間的中介的需求。這是常見的業(yè)務(wù)場景，其中指定的一組各方必須集合在一起來同意解鎖對某一內(nèi)容的訪問。一示例可包括臨床試驗(yàn)(ClinicalTrial)場景家族，其中內(nèi)容可能由FDA和HIPAA來管制，并且所有權(quán)可在各方之間共享，如藥物贊助商(如Merck)和數(shù)據(jù)所有者(如Microsoft HealthVault (微軟健康庫))。藥物贊助商可由于對保護(hù)作為研究的結(jié)果而生成的知識產(chǎn)權(quán)的需求而行使權(quán)力，而HealthVault可由于對保護(hù)它們的參與該臨床試驗(yàn)的客戶的匿名性和隱私性的需求而行使權(quán)力。存在著用于對沖突進(jìn)行干預(yù)、調(diào)解、和仲裁的密碼、系統(tǒng)、以及人類輔助的技術(shù)，因?yàn)檫@些沖突通常是由于不一致、沖突、或含糊地定義的策略而發(fā)生的。這些密碼技術(shù)包括利用秘密共享的技術(shù)，并且各實(shí)現(xiàn)包括部署多授權(quán)中心密鑰或能力生成器的那些實(shí)現(xiàn)。然而，這些技術(shù)不總是滿足可驗(yàn)證的信任、靈活性、以及表達(dá)性、或系統(tǒng)性能和規(guī)模的正確混合。即使存在滿足各方的所有可能不同和相沖突的需求的單個(gè)技術(shù)和相應(yīng)實(shí)現(xiàn)，情況也可能是單個(gè)實(shí)現(xiàn)或部署將由于可能其他參與者對該技術(shù)、實(shí)現(xiàn)者、或主存方的信任缺失而不被ィ目任。在這種情況下，包裝器是候選解決方案，它們將用其他自動化技術(shù)來補(bǔ)充，或通過手動干預(yù)來補(bǔ)充，可能通過電子或手動工作流。這樣的合成解決方案可利用將向業(yè)務(wù)網(wǎng)絡(luò)中的特定一方或ー組各方提供一層控制的包裝器。該包裝器可任選地是被所討論的一方或ー組各方信任的技術(shù)、實(shí)現(xiàn)、或部署。這ー包裝器可參與同遠(yuǎn)程云的交互式協(xié)議，以可能實(shí)現(xiàn)后期綁定或者支持期滿或撤消或者提供帶可驗(yàn)證的信任的審計(jì)日志?；蛘哌@ー包裝器可實(shí)現(xiàn)將基于訪問憑證和某可訪問策略來以合適的方式準(zhǔn)許、阻塞、和/或記錄訪問的離線協(xié)議。用于通過包裝器來實(shí)現(xiàn)可驗(yàn)證的信任的其他原因可包括對諸如密鑰、ロ令、通行短語、證書、或其他知曉或所有權(quán)證明等資產(chǎn)或人工產(chǎn)物進(jìn)行管理的需求。通常，密碼系統(tǒng)可由于對生成、管理、備份、存檔、保留、部署、安全粉碎、提供辯論(forensics)、以及支持服務(wù)器、服務(wù)和云以供以在故障情況下提供可用性、可伸縮性、等待時(shí)間、以及數(shù)據(jù)丟失和恢復(fù)時(shí)間上限的所需級別的服務(wù)級協(xié)定的方式來訪問這些人工產(chǎn)物，而造成附加系統(tǒng)負(fù)擔(dān)。對提供這些服務(wù)器、服務(wù)、或云的一定水平的信任的需求使這一點(diǎn)進(jìn)ー步惡化。這通常通過信任的分層結(jié)構(gòu)(如PKI)來完成。這些系統(tǒng)需要被進(jìn)ー步保護(hù)，以使得服務(wù)器、月艮務(wù)、或云在被以任何方式損害的情況下不被準(zhǔn)許啟動通過可能扮演和中間人攻擊的攻擊。在這樣的情況下，包裝器提供可以按出于包括對人工產(chǎn)物的訪問、認(rèn)證、和檢索的原因來減輕交互式協(xié)議的系統(tǒng)開銷、復(fù)雜度、等待時(shí)間、以及WAN脆性的方式，來與提供補(bǔ)充能力的遠(yuǎn)程服務(wù)器、服務(wù)、或云合適地組合的候選解決方案。在這樣的包裝器的實(shí)施例中，外部包裝器可持有用于訪問內(nèi)部包裝器的必需人工產(chǎn)物。結(jié)果之一可包括消除了對存儲和存檔這些人工產(chǎn)物的需求，因?yàn)樗鼈冇捎诎蛲ㄟ^高效的系統(tǒng)工程而有效地成為凈荷的一部分。存在著提供混合解決方案的機(jī)會，其中這樣的包裝器可發(fā)起與遠(yuǎn)程服務(wù)器、服務(wù)、或云的交互式協(xié)議以實(shí)現(xiàn)期滿或撤消或者出于諸如審計(jì)或辯論等目的而提供帶可驗(yàn)證的信任的審計(jì)日志。實(shí)現(xiàn)這一混合解決方案的方式可優(yōu)化施加在服務(wù)器、服務(wù)、或云上的負(fù)擔(dān)，或者它可被優(yōu)化來在存在網(wǎng)絡(luò)問題的情況下操作。
在這些和其他情況下，包裝器可能以便于業(yè)務(wù)網(wǎng)絡(luò)中的可驗(yàn)證的信任的方式選擇了技術(shù)、實(shí)現(xiàn)、以及遠(yuǎn)程服務(wù)器、服務(wù)、或云來用于可任選的交互式協(xié)議。包裝器可被設(shè)計(jì)成實(shí)現(xiàn)線性分層結(jié)構(gòu)或諸如樹或圖等更復(fù)雜結(jié)構(gòu)。如上所述，這些結(jié)構(gòu)可以是實(shí)際包含，或它們可以是虛擬的。這樣的復(fù)雜結(jié)構(gòu)可便于靈活且表達(dá)性的決策樹，這些決策樹可實(shí)現(xiàn)閾值參與、超控和托管、以及可能的異常和手動超控的組合。存在著可通過諸如多授權(quán)中心密鑰或能力生成器等系統(tǒng)來提供等效能力的密碼技木。這些技術(shù)和系統(tǒng)可被看作合成系統(tǒng)中不同包裝器的候選，該合成系統(tǒng)滿足業(yè)務(wù)網(wǎng)絡(luò)中的參與者的由于所有商業(yè)、社交、政治、主權(quán)而造成的不同需求以及任何復(fù)雜的真實(shí)世界網(wǎng)絡(luò)中必須被適應(yīng)的其他復(fù)雜需求。這樣的復(fù)雜真實(shí)世界網(wǎng)絡(luò)、生態(tài)系統(tǒng)、以及市場通常從初始一組參與者來有機(jī)地生長，其接著通過參與者的増加的數(shù)量的網(wǎng)絡(luò)效果而生長。其他網(wǎng)絡(luò)是自上而下制定的，可能通過標(biāo)準(zhǔn)或法令。其他現(xiàn)有網(wǎng)絡(luò)，可能是有機(jī)地生長的，將由于可能的沖突或由于外來效果而分成各豎井。因此，能夠支持具有可能通過由于作為該網(wǎng)絡(luò)中的內(nèi)在要求的信任的短暫本性而造成的設(shè)計(jì)來進(jìn)行接合或分離的能力的網(wǎng)絡(luò)“森林”通常是合乎需要的。這一公開內(nèi)容和各實(shí)施例概括描述了使用包裝器的許多原因中的ー些。真實(shí)世界中的應(yīng)用解決一定范圍的可驗(yàn)證的信任和系統(tǒng)需求，并通過基于模塊化概念和構(gòu)件塊(包括上述構(gòu)件塊)的合適的合成和擴(kuò)展來支持各種場景。為易于說明，并且出于教學(xué)的原因，先前文本有時(shí)使用了某些縮寫或作出了包括以下描述的假設(shè)的隱式或顯式假設(shè)。提供任何形式的可驗(yàn)證的保證的各技木，實(shí)現(xiàn)邊界、控制區(qū)域、以及空隙的可能的系統(tǒng)解決方案，或者依賴于計(jì)算上困難的問題的密碼或類似技術(shù)，突出為‘密碼(crypto)’、‘密碼術(shù)(cryptography)’ ‘密碼解決方案’、或者其他類似或等效短語。然而，為免于疑惑，諸如可捜索加密等密碼技術(shù)絕不是必須的?？梢允褂萌魏螖?shù)學(xué)變換、編碼、模糊化等，以及用于保護(hù)數(shù)據(jù)的其他技木，如隱藏該數(shù)據(jù)或以在沒有重構(gòu)圖的情況下不能被拼接在一起的方式分割該數(shù)據(jù)。與諸如匿名性、機(jī)密性、完整性、隱私性、以及不可抵賴等其他術(shù)語相比，諸如簽名或加密等操作或者諸如散列等技術(shù)往往在通常使用中較不含糊。在這樣的互換中的其他方可包括諸如商業(yè)場景的外聯(lián)網(wǎng)或業(yè)務(wù)網(wǎng)絡(luò)等參與者?；蛘?，這些可以是消費(fèi)者，個(gè)體、朋友、以及家庭的社交、支持網(wǎng)絡(luò)?；蛘?，這些可以是跨不同主權(quán)實(shí)體或權(quán)限的個(gè)體或組織的網(wǎng)絡(luò)。這些主權(quán)實(shí)體或它們的代表可以是促進(jìn)或參與或這兩者的參與者，并且可形成它們自己的網(wǎng)絡(luò)，如NATO。該用于通過用于以可配置的方式來優(yōu)化可驗(yàn)證的信任的包裝器來實(shí)現(xiàn)合成的方法和裝置被簡稱為‘包裝器’。各實(shí)現(xiàn)可利用軟件、硬件、或其他手段來實(shí)現(xiàn)離線協(xié)議，其創(chuàng)建了空間或虛擬容器。其他實(shí)現(xiàn)可包括與遠(yuǎn)程服務(wù)的交互式協(xié)議，或離線操作和交互式協(xié)議的某ー組合。促進(jìn)事務(wù)或交互式協(xié)議中所涉及的各方(可包括服務(wù)器、服務(wù)、云、可以是人類或自動化的工作流端點(diǎn))或其他方被稱為‘云’。云的各實(shí)現(xiàn)可包括公共、私有、外包、專用、或多承租版本。用于可信計(jì)算和數(shù)據(jù)服務(wù)的無容器數(shù)據(jù)使用可信平臺的技木，將數(shù)據(jù)(以及相關(guān)聯(lián)的元數(shù)據(jù))從保持該數(shù)據(jù)的容器(例如，文件系統(tǒng)、數(shù)據(jù)庫等)分離，從而通過施加用所呈現(xiàn)的能力刺穿的數(shù)學(xué)復(fù)雜度保護(hù)罩來使該數(shù)據(jù)能夠擔(dān)當(dāng)它自己的保管者，所呈現(xiàn)的能力諸如是由如在各實(shí)施例中描述的信任平臺的密碼密鑰生成器所授予的密鑰。以在不需要特定容器就能實(shí)施的情況下保留并擴(kuò)展信任的方式，促進(jìn)對數(shù)據(jù)或該數(shù)據(jù)的子集的共享或訪問。被應(yīng)用到數(shù)據(jù)的數(shù)學(xué)復(fù)雜度(諸如可捜索加密技術(shù))保護(hù)該數(shù)據(jù)，而不管其中記錄該特定比特的容器或硬件，即，該數(shù)據(jù)是被無容器地(containerlessly)(即，不管該容器地)保護(hù)的，并且因此不會受到以損害容器安全性為基礎(chǔ)的攻擊。在該特定“保險(xiǎn)箱”被破解的情況下，內(nèi)容仍然被保護(hù)。圖13是用于提供如本文所述的安全的、私密的、以及可選擇性訪問的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)的ー個(gè)或多個(gè)實(shí)施例的總體環(huán)境的框圖。出于說明性的目的，示出了多個(gè)企業(yè)1300、1302，但這些技術(shù)也適用于單個(gè)企業(yè)或許多協(xié)作企業(yè)。在各實(shí)施例中，使用如在下面詳細(xì)描述的聯(lián)合信任覆蓋1330，可基于FTO基礎(chǔ)結(jié)構(gòu)1330來共享企業(yè)1300的策略1310以及企業(yè)1302的策略1312的實(shí)施1320來用于協(xié)作工作。實(shí)施1320還可由每個(gè)企業(yè)1300、1302分開應(yīng)用。就此，因?yàn)椴呗院蛯?shí)施完全在企業(yè)1300、1302的領(lǐng)域內(nèi)(如基于信任覆蓋1330)，所以從客戶立場來看，實(shí)際數(shù)據(jù)在云1340中的位置以及使用什么特定容器1342變得無關(guān)緊要，除了與客戶實(shí)際關(guān)心的以下事項(xiàng)以外等待時(shí)間、可靠性、服務(wù)質(zhì)量保證、備份、檢索時(shí)間、大小保證等。因此，意識到通過信任覆蓋1330使數(shù)據(jù)從保存數(shù)據(jù)的容器中釋放出來，在各實(shí)施例中，數(shù)據(jù)存儲管理層1350基于對存儲資源的實(shí)時(shí)可用性以及它們各自特征的分析來自動地處理客戶所關(guān)心的事項(xiàng)，以優(yōu)化適合客戶需求和期望的容器中的數(shù)據(jù)存儲。存儲管理層1350是虛線的，從而指示它的位置也不是關(guān)鍵的。存儲管理層1350通常不具有訪問、查看或改變存儲在ー個(gè)或多個(gè)數(shù)據(jù)存儲1342中的數(shù)據(jù)的密碼特權(quán)，然而展示元數(shù)據(jù)中的某些(諸如文件大小或文件類型)可能是合乎需要的，以促進(jìn)對客戶將想要在未來如何使用該數(shù)據(jù)的理解，以使得存儲管理層1350可做出智能的存儲選擇。例如，如果給予了存儲管理層1350對該數(shù)據(jù)的足夠查看而能理解該數(shù)據(jù)是視頻，則存儲管理層1350可將該視頻保存在滿足流媒體的要求的媒體存儲中。圖14是示出大體的“作為其自己的保管者的數(shù)據(jù)”概念的框圖。使用在用戶或企業(yè)控制下的策略和實(shí)施，數(shù)據(jù)和對應(yīng)的日志被加密并且僅能用被授予用戶的具體能力來訪問，如在下面更詳細(xì)地描述的。例如，通常，諸如云服務(wù)提供者的操作員エ等不具有能力的某人不能在不被檢測的情況下查看、修改、篡改、或刪除，因?yàn)樗麄儧]有數(shù)據(jù)特權(quán)。使用作為其自己的保管者的數(shù)據(jù)，策略由數(shù)據(jù)的所有者/發(fā)布者來設(shè)置，訪問由該數(shù)據(jù)自己來實(shí)施/保證(無論該數(shù)據(jù)被存儲于何處)，從而使容器選擇變得多余。信任保證由該數(shù)據(jù)實(shí)施，但是由該所有者/發(fā)布者通過描述訂閱者/客戶能夠?qū)υ摂?shù)據(jù)做什么來控制。如圖所示，在一非限制性實(shí)施例中，企業(yè)1420 “擁有”與用戶1426以及他們對企業(yè)1420的系統(tǒng)資源的使用有關(guān)的并與外部用戶1430 (例如，移動工作者)有關(guān)的策略1424和策略1424的實(shí)施1422。使用作為其自己的保管者的數(shù)據(jù)，通過將數(shù)據(jù)存儲在云1400中，可將實(shí)際的數(shù)據(jù)和/或日志1405與策略1424和實(shí)施1422分開，然而，云1400的操作員エ1410不能在不被檢測的情況下查看、修改、篡改或刪除該數(shù)據(jù)和/或日志1405。圖15是用于提供如本文所述的安全的、私密的、以及可選擇性訪問的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)的ー個(gè)或多個(gè)實(shí)施例的總體環(huán)境的框圖。一般而言，示出了使用聯(lián)合信任覆蓋來分發(fā)信任的非限制性示例，計(jì)算設(shè)備1500 (例如，客戶)處于第一控制區(qū)域1510中，計(jì)算設(shè)備1520(例如，云服務(wù)提供者)處于第二控制區(qū)域1530中，計(jì)算設(shè)備1560處于第三控制區(qū)域1590中，密碼技術(shù)提供者1580是在第四控制區(qū)域1595中提供的，而密鑰生成器1582可在第五控制區(qū)域1597中提供。計(jì)算設(shè)備1500、1520、1560中的每ー個(gè)可分別包括處理器P1、P2、P3并分別包括存儲Ml、M2、M3。就此，如根據(jù)各非限制性實(shí)施例所描述的，提供了用于啟用云中的經(jīng)加密的數(shù)據(jù)1540的技術(shù)，以使得可基于訪問特權(quán)從該云選擇性地檢索項(xiàng)1550或項(xiàng)中的一部分。就此，可提供ー組分析服務(wù)1570作為待存儲的經(jīng)加密的數(shù)據(jù)1545、1547頂部上的層，該層基于來自設(shè)備1500的本地?cái)?shù)據(jù)集1505自動地確定要在何處最優(yōu)地存儲在云中維護(hù)的經(jīng)加密的數(shù)據(jù)1540和經(jīng)加密的數(shù)據(jù)1542。就此，服務(wù)1570確保當(dāng)計(jì)算設(shè)備1500基于CTP1580/CKG 1582聯(lián)合信任覆蓋來檢索該數(shù)據(jù)時(shí)，檢索到的數(shù)據(jù)1552或檢索到的數(shù)據(jù)1550是從給定請求的最優(yōu)容器中檢索的，或者如果是次優(yōu)的話，則自動切換所述容器。例如，如果來自計(jì)算設(shè)備1560的當(dāng)前容器對于客戶的需求而言性能不好，或者如果客戶的需求改變，則分析存儲服務(wù)1570可將該數(shù)據(jù)實(shí)時(shí)地移動或復(fù)制到另一存儲容器并無縫地將服務(wù)切換到更合適的容器，例如，以滿足服務(wù)質(zhì)量要求。圖16是用于管理容器的過程的流程圖，其中如本文所述，數(shù)據(jù)充當(dāng)它自己的保管者。在1600，第一控制區(qū)域中的第一計(jì)算設(shè)備從第二控制區(qū)域中的第二計(jì)算設(shè)備接收經(jīng)加密的數(shù)據(jù)。該經(jīng)加密的數(shù)據(jù)是基于密碼密鑰信息根據(jù)可搜索加密算法從第二計(jì)算設(shè)備的所定義的數(shù)據(jù)集的數(shù)據(jù)的加密而形成的。在1610，還接收經(jīng)加密的元數(shù)據(jù)，該經(jīng)加密的元數(shù)據(jù)是從對該數(shù)據(jù)的分析以及基于該密碼密鑰信息對該分析的輸出進(jìn)行加密而形成的。在1620，確定哪一(些)容器要存儲經(jīng)加密的數(shù)據(jù)或經(jīng)加密的元數(shù)據(jù)的至少ー些。在1630，如果滿足了預(yù)定義的條件，則可以自動地改變其中存儲該經(jīng)加密的數(shù)據(jù)的容器。圖17是示出充當(dāng)它自己的保管者的數(shù)據(jù)的ー個(gè)或多個(gè)方面的另ー框圖。就此，容器是冗余的以用于安全，訪問由密碼包裝器來實(shí)施，而策略由所有者/發(fā)布者設(shè)置并由密碼包裝器來保證。如下面在各實(shí)施例中描述的，取決于ー情形的特定安全需要，包裝器可包括各種密碼技木。例如，如圖所示，策略是在企業(yè)級設(shè)置的，并且然后用戶尋求對數(shù)據(jù)的訪問權(quán)，該數(shù)據(jù)是由允許或拒絕進(jìn)入的密碼訪問控制來包裝的。取決于在企業(yè)設(shè)置的策略，諸如企業(yè)審計(jì)者、安全員エ、操作員エ等其他用戶可以具有或不具有由該包裝器定義的訪問特權(quán)。如在圖17的示例中所示,企業(yè)1720具有能夠服從企業(yè)訪問策略1730的企業(yè)員エ1722，并且這些企業(yè)員エ1722中的一些能設(shè)置企業(yè)訪問策略1730。企業(yè)訪問策略1730可影響能夠如何對存儲在云容器1700的數(shù)據(jù)容器1710中的數(shù)據(jù)1712進(jìn)行訪問、操縱、檢索、搜索等。因此，當(dāng)數(shù)據(jù)1712的用戶1708嘗試訪問這種數(shù)據(jù)1712吋，由企業(yè)訪問策略1730指導(dǎo)但又與企業(yè)訪問策略1730分開的各密碼訪問控制1714保護(hù)數(shù)據(jù)1712免受用戶1708的不當(dāng)訪問。數(shù)據(jù)容器1710的密碼訪問控制1714可反映不同的企業(yè)訪問策略1730以應(yīng)用于不同的訪問實(shí)體或任務(wù)，諸如由安全員エ1704或云操作員エ1706執(zhí)行的企業(yè)審計(jì)1702，以確?？梢娦员幌抻趹?yīng)當(dāng)允許訪問的那些人。數(shù)據(jù)容器1710可位于任何地方，并使其冗余以用于安全，并且訪問由密碼訪問控制1714來實(shí)施。就此，企業(yè)訪問策略1730可由企業(yè)所有者設(shè)置并由如由密碼訪問控制1714所實(shí)現(xiàn)的密碼包裝器來保證。圖18是示出充當(dāng)它自己的保管者的數(shù)據(jù)的另ー框圖，其示出了數(shù)據(jù)能夠超越傳統(tǒng)容器安全模型。就此，如本文所認(rèn)識到的，數(shù)據(jù)不僅可以位于任何地方，而且能以對給定情形最優(yōu)的方式來將數(shù)據(jù)拼接或劃分為跨越多個(gè)容器。放置可優(yōu)化訪問、恢復(fù)性等，并且存儲管理層可處理一致性、版本化、垃圾收集等。如在圖18中所示，企業(yè)1820定義其適用于企業(yè)員エ1822的企業(yè)訪問策略1830，而數(shù)據(jù)1812被遠(yuǎn)程存儲并由適用于希望訪問數(shù)據(jù)1812的用戶1810的密碼訪問控制1814來保護(hù)。該系統(tǒng)和用戶1810對存儲數(shù)據(jù)1812的容器是被存儲在云1800中、存儲在企業(yè)1802處的某處、還是經(jīng)由覆蓋網(wǎng)絡(luò)1804來存儲、或其組合是不可知的，且數(shù)據(jù)可跨越容器。圖19示出存儲管理層，該存儲管理層執(zhí)行諸如來自不同類型的多個(gè)數(shù)據(jù)容器的數(shù)據(jù)的自動粉碎、高速緩存、復(fù)制、重構(gòu)等功能。可基于包括顯式策略和訪問模式的準(zhǔn)則來執(zhí)行這些過程。如圖所示，從用戶的觀點(diǎn)看，包括數(shù)據(jù)1902和密碼訪問控制1904的數(shù)據(jù)容器1900被存儲在用于存儲所有數(shù)據(jù)的抽象存儲層1910處，然而在現(xiàn)實(shí)中，受密碼訪問控制1904保護(hù)的數(shù)據(jù)1902可跨云數(shù)據(jù)服務(wù)1920、文件系統(tǒng)1922、企業(yè)數(shù)據(jù)庫1924、覆蓋網(wǎng)絡(luò)1926等中的任一個(gè)或多個(gè)而被基于準(zhǔn)則來粉碎、高速緩存、復(fù)制和重構(gòu)，所述準(zhǔn)則可包括策略和訪問模式。圖20更一般地示出使數(shù)據(jù)能夠充當(dāng)其自己的保管者的安全性、隱私性、可靠性等的樞軸點(diǎn)是安全覆蓋網(wǎng)絡(luò)，該安全覆蓋網(wǎng)絡(luò)向數(shù)據(jù)添加密碼訪問包裝器，無論該數(shù)據(jù)跨各數(shù)據(jù)容器存儲在何處。具體而言，覆蓋網(wǎng)絡(luò)2010可以是中間存儲介質(zhì)，用于將由密碼訪問控制2004保護(hù)的數(shù)據(jù)2002的容器2000進(jìn)ー步存儲在云數(shù)據(jù)服務(wù)2020、文件系統(tǒng)2022或企業(yè)數(shù)據(jù)庫2024中的任ー個(gè)或多個(gè)中。因此在其最終目的地方面，存儲可以是分層的。圖21是示出傳統(tǒng)應(yīng)用的框圖，且其對世界(例如，數(shù)據(jù)庫文件)的基于容器的視圖不需要改變。相反，為了在聯(lián)合信任覆蓋存儲場景中使用，可提供適配器，該適配器基干與應(yīng)用和傳統(tǒng)容器需求來執(zhí)行密碼協(xié)商、密碼變換和高速緩存、版本化、租賃等。更具體而言，傳統(tǒng)應(yīng)用2100可按照一直以來的方式與云數(shù)據(jù)服務(wù)2110、文件系統(tǒng)2112以及企業(yè)數(shù)據(jù)庫2114進(jìn)行交互，然而，此時(shí)抽象存儲層2120仍然能夠使無容器數(shù)據(jù)在幕后發(fā)生。抽象存儲層2120可展示適配器，所述適配器基于應(yīng)用和傳統(tǒng)容器特征來實(shí)現(xiàn)密碼協(xié)商、密碼變換、以及高速緩存、版本化、租賃等，并且然后引導(dǎo)容器化的數(shù)據(jù)2140成為無容器數(shù)據(jù)，例如經(jīng)由結(jié)合圖20描述的安全覆蓋網(wǎng)絡(luò)2130。圖22是可與傳統(tǒng)應(yīng)用以及FTO知曉應(yīng)用結(jié)合使用的示例體系結(jié)構(gòu)模型。就此，啟用FTO的應(yīng)用2205可直接插入FTO 2200中并且有利地利用數(shù)據(jù)的安全且私密的存儲、處理等。對于SDS知曉應(yīng)用2215，可提供層2210，該層2210添加數(shù)據(jù)的密碼粉碎和散布。對于一致性知曉應(yīng)用2225，可使用現(xiàn)有的、未修改的覆蓋網(wǎng)絡(luò)并將其橋接到如由層2220所示的系統(tǒng)。例如，可經(jīng)由層2220將Live Mesh、Fabric/CAS橋接到DaaS和XStore。最后，如結(jié)合圖21描述的，可提供適配器2230，所述適配器2240基于傳統(tǒng)應(yīng)用2240和傳統(tǒng)容器2235特征來執(zhí)行密碼協(xié)商、密碼變換和高速緩存、版本化、租賃等。這些層和應(yīng)用可利用基于聯(lián)合信任覆蓋的云存儲所提供的益處。圖23是示出密碼包裝器或信封在數(shù)據(jù)和/或描述該數(shù)據(jù)或該數(shù)據(jù)的特征的元數(shù)據(jù)上的一般使用的框圖。作為示例，可按照可在數(shù)學(xué)上選擇性地訪問的方式共同地或分開地加密記錄2302 (例如，數(shù)據(jù)凈荷)和相關(guān)聯(lián)的元數(shù)據(jù)和/或標(biāo)簽2300以產(chǎn)生經(jīng)加密的元數(shù)據(jù)和標(biāo)簽2310和經(jīng)加密的記錄2312。使用這樣的經(jīng)加密的數(shù)據(jù)/元數(shù)據(jù)，可基于數(shù)學(xué)上選擇性的可訪問性來執(zhí)行各種操作2320，例如，數(shù)據(jù)或元數(shù)據(jù)的搜索、對數(shù)據(jù)或元數(shù)據(jù)的邏輯運(yùn)算、查詢、備份操作、數(shù)據(jù)的審計(jì)等。除了加密元數(shù)據(jù)2300和記錄2302之外，還可根據(jù)任何所需目標(biāo)2314將可任選的附加數(shù)據(jù)添加到加密封裝，或可將可任選的附加標(biāo)簽2316作為加密過程的一部分添加到內(nèi)容，例如，允許或禁止對例如某類用戶的訪問的公共或秘密標(biāo)簽。使用這種附加數(shù)據(jù)2314或標(biāo)簽2316，可執(zhí)行附加操作2330，諸如完整性檢查、篡改檢查、可用性檢查等。
圖24是示出凈荷2402和標(biāo)簽2400的特定示例，凈荷2410和標(biāo)簽2412被加密以形成經(jīng)加密的標(biāo)簽2410和經(jīng)加密的數(shù)據(jù)2412以用于操作2420。此外，如上所述，可使用數(shù)據(jù)2414來擴(kuò)充該數(shù)據(jù)并且可使用標(biāo)簽2416擴(kuò)充該標(biāo)簽，所述數(shù)據(jù)2414和標(biāo)簽2416可便于附加的ー組操作2430。在圖24的示例上構(gòu)造的圖25是示出周圍聯(lián)合信任覆蓋的示例。就此，可基于服從對穩(wěn)健性的公共檢查的開放方法來實(shí)現(xiàn)沒有后門的CTP 2500?；贑TP 2500，可產(chǎn)生CKG2550以處理對用于執(zhí)行操作2530 (例如，捜索、邏輯運(yùn)算或查詢、備份、審計(jì)、篡改檢查、完整性檢查、可用性檢查等)的能力(例如，密鑰2540)的請求。因此，云數(shù)據(jù)服務(wù)提供者2520提供服務(wù)，例如，經(jīng)加密的元數(shù)據(jù)2510和經(jīng)加密的數(shù)據(jù)2512的存儲。在一個(gè)可任選的實(shí)施例中，該云按照對數(shù)據(jù)或訪問模式無所知的方式來主存該數(shù)據(jù)。圖26是示出其中使用信任覆蓋將記錄以及索引加密并上傳到云的實(shí)施例的框圖。就此，將記錄和索引可捜索地加密以使索引可作為對相關(guān)聯(lián)的數(shù)據(jù)的第一可見層而被選擇性地訪問。然后，基于對索引的捜索，可標(biāo)識匹配一個(gè)或多個(gè)給定索引的各內(nèi)容或記錄，并然后該用戶能夠或不能基于特權(quán)來訪問該匹配內(nèi)容和記錄，從而充當(dāng)對數(shù)據(jù)的第二保護(hù)層——第一層是針對搜索或其他操作而對索引的訪問，而第二層是對數(shù)據(jù)的訪問。就此，可對該數(shù)據(jù)和相關(guān)聯(lián)的元數(shù)據(jù)的不同部分應(yīng)用任何數(shù)量的分層密碼包裝器。如圖所示，客戶2600可具有各個(gè)記錄2602，在2630可從記錄2602生成經(jīng)加密的索引2604。在2640將記錄2602和經(jīng)加密的索引2604上傳到云2610并作為記錄2612和經(jīng)加密的索引2612存儲在云2610中。為了檢索記錄2612，例如，基于經(jīng)加密的索引2614，在2650處，客戶2600從云2610接收用至少ー個(gè)簽名2622來簽署的記錄2620，并且在2660處可檢查所述至少ー個(gè)簽名2622。圖27示出客戶端能夠如何利用聯(lián)合信任覆蓋體系結(jié)構(gòu)來生成并上傳經(jīng)加密的索引到經(jīng)加密的數(shù)據(jù)上以獲得更豐富的云存儲體驗(yàn)。該聯(lián)合信任覆蓋體系結(jié)構(gòu)涉及將權(quán)カ分開以生成可信密碼生態(tài)系統(tǒng)，并且在下面更詳細(xì)地進(jìn)行了描述。FTO 2785是ー個(gè)生態(tài)系統(tǒng)，該生態(tài)系統(tǒng)通過將相對于云或其他存儲中的無容器數(shù)據(jù)進(jìn)行的各段數(shù)學(xué)變換分開而使客戶2775受益，并且如本文別處所述，該生態(tài)系統(tǒng)包括云數(shù)據(jù)服務(wù)(⑶S) 2780、密碼技術(shù)提供者(CTP) 2770和密鑰生成中心2790。作為示例，客戶2775可具有各關(guān)鍵詞2710與其相關(guān)聯(lián)的文檔2700。從CKG 2790檢索用于加密的公共參數(shù)2765，而從CTP 2770檢索用于執(zhí)行數(shù)學(xué)變換的技術(shù)。為了執(zhí)行上傳，文檔2700被加密2720并上傳2730到云中的經(jīng)加密的文檔存儲2750中。輸入用于上傳的位置2735和密鑰2725連同關(guān)鍵詞2710，以生成與文檔2700的經(jīng)加密的上傳相關(guān)聯(lián)的經(jīng)加密的索引2740，并在2745處將在2740處生成的經(jīng)加密的索引上傳到經(jīng)加密的索引存儲2755。圖27示出了經(jīng)加密的索引數(shù)據(jù)的上傳，圖28示出了將索引解密以搜索特定內(nèi)容，該搜索是基于該聯(lián)合信任覆蓋所提供的能力而被授權(quán)的，并且然后使用對搜索結(jié)果的可見性，該用戶可被授予解密與該捜索有關(guān)的實(shí)際文檔的能力或特權(quán)。就此，可通過該FTO基于策略和實(shí)施來分開控制對該索引的訪問和對文檔的訪問。如上所述，F(xiàn)TO 2885是一個(gè)生態(tài)系統(tǒng),該生態(tài)系統(tǒng)通過將相對于云或其他存儲中的無容器數(shù)據(jù)進(jìn)行的各段數(shù)學(xué)變換分開而使客戶2875受益，并且如本文別處所述，該生態(tài)系統(tǒng)包括云數(shù)據(jù)服務(wù)(⑶S) 2880、密碼技術(shù)提供者(CTP) 2870和密鑰生成中心2890。在本示例中，客戶2875形成查詢2800，并隨后在2805處從CKG 2890獲取陷門2810，該陷門與查詢2800 —起被呈現(xiàn)給該云。在云中，在2820處，基于從CTP 2870檢索到的技術(shù)2815來搜索經(jīng)加密的索引存儲2825中的經(jīng)加密的索引。隨后，結(jié)果2835被仍舊加密地返回并在2840處被解密，從該結(jié)果提取位置2842和密鑰2844。這向該系統(tǒng)給出了在2845處從經(jīng)加密的文檔存儲2830檢索經(jīng)加密的文檔2850的信息，在2855處可基于密鑰2844將其解密以返回一個(gè)或多個(gè)文檔2860，例如，來自圖27的文檔2700。圖29-30是示出該系統(tǒng)的一些附加非限制性信任保證的框圖；就此，可以使用證明用戶所接收的是正確的的任何算法作為附加層來在數(shù)學(xué)上向該用戶證明該云沒有提供無用數(shù)據(jù)。例如，一種技術(shù)被稱為數(shù)據(jù)擁有技術(shù)(PDP)，其中相對于經(jīng)加密的數(shù)據(jù)來應(yīng)用各標(biāo)簽，其可與確認(rèn)數(shù)據(jù)的正確性來結(jié)合使用。可應(yīng)用(并加密)類似信息以證明當(dāng)數(shù)據(jù)被存儲在云中時(shí)該數(shù)據(jù)沒有被不適當(dāng)?shù)馗幕騽h除。使用密碼技木，這種證明通常采用密碼質(zhì)詢和響應(yīng)的形式。在圖17中，PDP標(biāo)簽和經(jīng)加密的記錄、索引、元數(shù)據(jù)等一起被在云中編碼并加密，而在圖18中，基于與該FTO的、對該數(shù)據(jù)的完整性保持不變的密碼咨詢來執(zhí)行驗(yàn)證操作。參考圖29,如上所述，F(xiàn)TO 2985是一個(gè)生態(tài)系統(tǒng)，該生態(tài)系統(tǒng)通過將相對于云或其他存儲中的無容器數(shù)據(jù)進(jìn)行的各段數(shù)學(xué)變換分開而使客戶2975受益，并且如本文別處所述，該生態(tài)系統(tǒng)包括云數(shù)據(jù)服務(wù)(⑶S)2980、密碼技術(shù)提供者(CTP)2970和密鑰生成中心2990。在該示例中，發(fā)布者2900通過在2920處基于從CKG 2990檢索到的秘密2930和從CTP 2970檢索到的技術(shù)2940以對記錄和索引進(jìn)行編碼來加密該記錄和索引2910。可將經(jīng)加密或編碼的記錄和索引2950存儲在云中?？蓪?shù)據(jù)擁有證明(PDP)標(biāo)簽2960與在2920處的編碼結(jié)合使用，數(shù)據(jù)擁有證明(PDP)標(biāo)簽2960稍后當(dāng)數(shù)據(jù)被存儲在云中時(shí)幫助確保該數(shù)據(jù)的某些方面，如本文別處更詳細(xì)地描述的。如上所述，在圖30中，基于與該FTO的、對該數(shù)據(jù)的完整性保持不變的密碼咨詢來執(zhí)行驗(yàn)證操作。就此，F(xiàn)TO 3085是一個(gè)生態(tài)系統(tǒng),該生態(tài)系統(tǒng)通過將相對于云或其他存儲中的無容器數(shù)據(jù)進(jìn)行的各段數(shù)學(xué)變換分開而使客戶3075受益，并且如本文別處所述，該生態(tài)系統(tǒng)包括云數(shù)據(jù)服務(wù)(CDS)3080、密碼技術(shù)提供者(CTP)3070和密鑰生成中心3090。PDP標(biāo)簽3040可供系統(tǒng)的審計(jì)者3000用以檢查存儲在云中的數(shù)據(jù)的完整性?；陔S機(jī)數(shù)3005，并且基于從CKG 3090檢索到的秘密3025和從CTP 3070檢索到的技術(shù)，審計(jì)者3000向云中的證明者3020發(fā)出質(zhì)詢3010。證明者3020也結(jié)合實(shí)現(xiàn)該證明算法來使用技術(shù)3045。就此，證明者3020接收經(jīng)加密的記錄和索引3030以及PDP標(biāo)簽作為輸入并向?qū)徲?jì)者3000返回彳目息，該彳目息在3050被驗(yàn)證?；谠?060處該驗(yàn)證操作是成功還是失敗，通知審計(jì)者3000是否維持了經(jīng)加密的記錄和索引3030的完整性。如下面更詳細(xì)地描述的，可將能夠?yàn)榉?wù)用戶提供對隱私和不可復(fù)制性的強(qiáng)保證的各種密碼技術(shù)結(jié)合到服務(wù)的提供中。通過將這些密碼技術(shù)與數(shù)據(jù)保護(hù)技術(shù)相集成，可按照使該數(shù)據(jù)的所有者和企業(yè)客戶(“客戶”)對主存該數(shù)據(jù)的實(shí)體或云服務(wù)提供者或操作者(“CSP”)能夠執(zhí)行的操作的類型有精確的控制的方式在該數(shù)據(jù)的頂部上實(shí)現(xiàn)遠(yuǎn)程服務(wù)和分層應(yīng)用。此外，這些操作中的許多可由CSP代表客戶來執(zhí)行，而無需習(xí)得或以其他方式看到對其執(zhí)行操作的數(shù)據(jù)的實(shí)際內(nèi)容。此外，客戶能夠檢測CSP是否正在不當(dāng)?shù)貏h除或修改數(shù)據(jù)，或?qū)?shù)據(jù)移動到低性能的ニ級或三級存儲。就此，可將各種密碼技術(shù)與數(shù)據(jù)服務(wù)集成以向客戶提供放棄對數(shù)據(jù)的控制的信任度，例如，以增加安全性和隱私性。例如，可搜索的加密是ー種其中在加密數(shù)據(jù)之前將必要元數(shù)據(jù)復(fù)制出該數(shù)據(jù)的加密方法。作為非限制性示例，在Exchange電子郵件的情況下，該數(shù)據(jù)是一條消息，其附件和必要的元數(shù)據(jù)可能包括所選擇的消息收發(fā)應(yīng)用程序編程接ロ(MAPI)屬性和全文索引。例如，使用例如高級加密標(biāo)準(zhǔn)(AES)來加密數(shù)據(jù)，而按照生成經(jīng)加密的索引的方式來加密元數(shù)據(jù)。結(jié)果是，經(jīng)加密的數(shù)據(jù)和索引現(xiàn)在能被移交給不被完全信任的另ー實(shí)體，諸如CSP。對所聚集的經(jīng)加密的數(shù)據(jù)和索引的后續(xù)選擇性訪問可由該數(shù)據(jù)的所有者(客戶)來實(shí)現(xiàn)，從而將經(jīng)加密的查詢發(fā)送到CSP (或其他經(jīng)授權(quán)的訂閱者)。從而，CSP能夠在經(jīng)加密的索引上應(yīng)用經(jīng)加密的查詢并返回匹配的經(jīng)加密的數(shù)據(jù)，然而，CSP不了解關(guān)于數(shù)據(jù)、元數(shù)據(jù)、查詢或結(jié)果的內(nèi)容的任何事項(xiàng)(除非被該客戶授權(quán))。擁有證明和可恢復(fù)性證明是一種其中“證明者”(在此情況下是提供存儲的CSP)和“驗(yàn)證者”(客戶)能夠按照其中該驗(yàn)證者能夠高效地確定它們所擁有的數(shù)據(jù)是否保持不變并且可用于容易地從該數(shù)據(jù)的持有者(CSP )檢索的協(xié)議相接合的密碼技術(shù)。這些技術(shù)在網(wǎng)絡(luò)帶寬上以及在CSP執(zhí)行的操作上是高效的，因此CSP所出售的貨物的成本(COGS)保持相對不變且完成該協(xié)議的時(shí)間合理地短?？杉傻綌?shù)據(jù)服務(wù)的供應(yīng)中的另ー種密碼技術(shù)是應(yīng)用證明。與擁有證明類似，應(yīng)用證明使驗(yàn)證者能夠確定該數(shù)據(jù)正由證明者(CSP)正確地維護(hù)。盲指紋表示擴(kuò)展網(wǎng)絡(luò)去重復(fù)技術(shù)(諸如Rabin指紋)的另ー類密碼技術(shù)，網(wǎng)絡(luò)去重復(fù)技術(shù)通常用于最小化網(wǎng)絡(luò)上的冗余數(shù)據(jù)交換。在本文的各實(shí)施例中，應(yīng)用指紋化(fingerprinting)以使得該協(xié)議中的參與者(例如,在數(shù)據(jù)存儲的情況下是CSP)不知曉它們正在主存的數(shù)據(jù)的實(shí)際內(nèi)容?；谏鲜隹蚣芎拖鄳?yīng)的密碼技術(shù)(范圍從存儲和計(jì)算服務(wù)到通信和協(xié)作服務(wù))，出現(xiàn)了基于CSP的服務(wù)提供的各種場景。較大的企業(yè)客戶在其當(dāng)前的企業(yè)數(shù)據(jù)中心中具有大量的計(jì)算和存儲資產(chǎn)，并且采用云服務(wù)的慣性可能很高。此外，客戶對數(shù)據(jù)中心操作有經(jīng)驗(yàn)并且熟悉，從而想要利用運(yùn)營花費(fèi)(OPEX)和資本花費(fèi)(CAPEX)優(yōu)勢，并且從而對將他們的敏感商業(yè)數(shù)據(jù)從內(nèi)部移動到云有顧慮。對于這類客戶，在各實(shí)施例中，提供一組應(yīng)用，該組應(yīng)用涉及擁有并運(yùn)營他們的現(xiàn)有服務(wù)器(諸如Exchange服務(wù)器)的客戶。此時(shí)會出于數(shù)據(jù)保護(hù)、歸檔、順從、管控、法律的原因或其他原因而將該數(shù)據(jù)的第二副本委托給云服務(wù)提供者。從而CSP具有保護(hù)此數(shù)據(jù)免于數(shù)據(jù)丟失或泄露的技巧、技術(shù)和規(guī)模經(jīng)濟(jì)，并且能夠促進(jìn)在此第二副本上運(yùn)行應(yīng)用。可基于維護(hù)數(shù)據(jù)而提供給客戶的示例產(chǎn)品和服務(wù)的小型采樣包括訴訟支持、監(jiān)視和監(jiān)瞀、服務(wù)撥號音、數(shù)據(jù)導(dǎo)航等。關(guān)于訴訟支持，當(dāng)公司被起訴時(shí)，訴訟過程需要各種實(shí)體來執(zhí)行對歷史電子郵件記錄的捜索。這些實(shí)體包括內(nèi)部法律員エ、HR (人力資源)、經(jīng)理、外部法律顧問、他們的外部訴訟支持合作方以及對方法律顧問。存在關(guān)于誰能執(zhí)行什么搜索的具體范圍規(guī)則。在當(dāng)前訴訟支持場景中，難以界定范圍。因此，參與訴訟支持的任何個(gè)人可能看到在范圍之外的電子郵件。在電子郵件的情況下，搜索的結(jié)果通常以個(gè)人存儲表(PTS)文件的形式被交換，個(gè)人存儲表文件構(gòu)成了附加的危險(xiǎn)，因?yàn)檫@些文件可能被無意或惡意地移交給未經(jīng)授權(quán)的個(gè)人。相反，當(dāng)遠(yuǎn)程主存第二副本(例如通過CSP存儲在云中)并且通過數(shù)據(jù)維護(hù)該第二副本時(shí)，企業(yè)中的單個(gè)可信實(shí)體(例如，首席法務(wù)官)在該操作中的每個(gè)人提供將他們的查詢能力限制到他們的需要的具體陷門是可能的。被主存在云中并通過可捜索加密和防篡改審計(jì)日志保護(hù)的數(shù)據(jù)提供了更高的保護(hù)等級，從而防止了不適當(dāng)?shù)碾娮余]件訪問。交換PTS文件的需要被消除了，因?yàn)椴僮髦械乃袀€(gè)人都直接訪問該云以進(jìn)行查詢，而訴訟支持合作方是輸出針對性內(nèi)容以轉(zhuǎn)換為標(biāo)記圖像文件格式(TIFF)以進(jìn)行案件管理的唯一實(shí)體。在監(jiān)視和監(jiān)瞀遠(yuǎn)程數(shù)據(jù)副本方面，任何大小合理的組織均應(yīng)當(dāng)出于各種原因而主動地監(jiān)視他們組織的電子郵件。這些原因的范圍可能從法律/順從到各管控原因，諸如監(jiān)視IP泄漏、剽竊、不當(dāng)語言等。通常，監(jiān)視和監(jiān)瞀軟件監(jiān)視主服務(wù)器或被備份或歸檔的第二副本。監(jiān)視主服務(wù)器的問題在于這可能對繁忙的生產(chǎn)服務(wù)器帶來過多的負(fù)擔(dān)。此外，因?yàn)楣芾韱T無意或惡意地修改或刪除主服務(wù)器上的數(shù)據(jù)是可能的，一種解決方案是按照兼容的方式捕捉數(shù)據(jù)并將其傳輸?shù)降诙北?，其中監(jiān)視和監(jiān)瞀軟件持續(xù)掃描傳入的電子郵件，以查找或搜索模式。然而，在許多企業(yè)設(shè)置中，存在對這些第二副本的本地管理性訪問，并且其結(jié)果是，盡管有篡改檢測和預(yù)防機(jī)制，資源豐富的管理員仍能修改或刪除信息。相反，通過CSP來維護(hù)數(shù)據(jù)有利地將第二副本放在不同的控制區(qū)域中。合適的密碼技術(shù)(諸如可搜索公鑰加密(PEKS)和擁有證明(POP))可確保即便企業(yè)管理員和CSP的員エ之間有勾結(jié)也仍能防止他們積極地精確標(biāo)識他們想要修改的項(xiàng)。該監(jiān)視和監(jiān)瞀軟件在遠(yuǎn)程站點(diǎn)處或在云中運(yùn)行并且通過先前提供的陷門來查找具有具體的預(yù)先確定的關(guān)鍵詞的項(xiàng)。如本文根據(jù)各實(shí)施例所述，按以下方式將獨(dú)立的數(shù)據(jù)保護(hù)和密碼技術(shù)組合起來增強(qiáng)并修改每ー個(gè)以支持另ー個(gè)，以提供當(dāng)前對消費(fèi)者、企業(yè)、生態(tài)系統(tǒng)和社交網(wǎng)絡(luò)不可用的解決方案，并且啟用在云環(huán)境中的無容器的、安全的、私有的并且可選擇性地訪問的數(shù)據(jù)。可信XML出于各種原因，XML已經(jīng)演進(jìn)為ー種普遍的網(wǎng)絡(luò)交換格式，這些原因包括但不限于由標(biāo)簽和其分層布置所帯來的高效的描述性能力。就此，可根據(jù)上面的允許向XML文檔(包括凈荷和標(biāo)簽，以及在現(xiàn)有標(biāo)簽或元數(shù)據(jù)頂上添加的任何元數(shù)據(jù))的不同部分應(yīng)用不同許可的FTO基礎(chǔ)結(jié)構(gòu)來保護(hù)XML數(shù)據(jù)。也如同上面所述，從而能夠按照無容器的方式來存儲可信XML。如圖31中所示，可加密XML凈荷3102及其標(biāo)簽3100以形成經(jīng)加密的標(biāo)簽3110和凈荷3112。就此，通過將XML文檔分為具有可能不同的保護(hù)等級的XML片段，允許ー種具有遠(yuǎn)為更粒度化的許可系統(tǒng)，該系統(tǒng)不依賴于作為發(fā)布者側(cè)的文檔的初始組織。此外，可基于任何函數(shù)3114向凈荷數(shù)據(jù)添加附加數(shù)據(jù)，并且可應(yīng)用附加XML標(biāo)簽來幫助要對可信XML片段應(yīng)用的附加功能。對凈荷3112/標(biāo)簽3110的操作包括操作3120，諸如搜索、查詢、備份、審計(jì)等?；跀?shù)據(jù)3114或標(biāo)簽3116的可任選的添加，可對該數(shù)據(jù)實(shí)現(xiàn)其他操作3130。例如，在數(shù)據(jù)符合社會保險(xiǎn)號的模式的任何時(shí)間，可自動添加將該XML片段標(biāo)記為私有的標(biāo)簽3116以保持這樣的信息不被侵犯。就此，如果該數(shù)據(jù)/信息是XML格式的，則可向結(jié)構(gòu)化的XML數(shù)據(jù)應(yīng)用上述關(guān)于數(shù)據(jù)/元數(shù)據(jù)技術(shù)中的任何一個(gè)以選擇性地查詢并獲得對XML片段的訪問權(quán)。XML具有標(biāo)準(zhǔn)格式，即く標(biāo)簽“值”〉(〈tag “value”〉)或〈標(biāo)簽“值” |XML 結(jié)束標(biāo)簽 > (〈tag “value” |XMLend-tag〉)。就此，使用結(jié)構(gòu)XML，存在分層地表示該結(jié)構(gòu)的方式以便存在將指向?qū)?shù)字托管模式唯一的CKG/CTP ‘幀’的外部包裝器。因此，當(dāng)存在訪問嵌入的片段的需要時(shí)，將現(xiàn)有的(或具體化，新的)信任和<CKG>和<CTP>包裝器一起使用。這允許用戶在被準(zhǔn)許時(shí)搜索、提取和解密這些片段。此外，可使用PDP來驗(yàn)證所請求的具體XML片段自從被初始創(chuàng)作起未被篡改。因此，在各實(shí)施例中，通過各種“裝飾”來創(chuàng)建XML片段或完整記錄(“凈荷”)的 “可信信封”，所述裝飾允許該信任來運(yùn)行全范圍信任保證，如機(jī)密性、隱私性、匿名性和完整性。這與上述無容器數(shù)據(jù)實(shí)施例相一致。將數(shù)據(jù)從其容器(例如，文件系統(tǒng)、數(shù)據(jù)庫)分離的機(jī)會以保持并擴(kuò)展原來的保證而不需要容器來實(shí)施的方式來促進(jìn)了共享?；跇I(yè)務(wù)需要，井隨著不同技術(shù)的出現(xiàn)，還可在密碼搜索、基于密碼的篡改檢測等之外添加任何其他包裝器。使用XML數(shù)據(jù)，可將標(biāo)簽添加到該數(shù)據(jù)以幫助調(diào)制該數(shù)據(jù)的一致性，這可取決于領(lǐng)域和應(yīng)用。有利地，XML可包括對認(rèn)證、授權(quán)、模式、歷史、蹤跡、一致性等進(jìn)行編碼的可搜索元數(shù)據(jù)。如果它是較大文檔的一片，則它還可編碼用以定位其他相關(guān)片段的清單信息。能夠使用任何所達(dá)成一致的CKG/CTP以及能夠與能夠在新技術(shù)變得可適用時(shí)作為可搜索加密和TOP的補(bǔ)充來添加其他包裝器的技術(shù)獨(dú)立性，啟用了處理任何類型的云場景的靈活的體系結(jié)構(gòu)。還可擴(kuò)充或添加XML標(biāo)簽來調(diào)制一致性、軌跡等。當(dāng)將其與數(shù)據(jù)散布技術(shù)組合時(shí)，實(shí)現(xiàn)了關(guān)于機(jī)密性、隱私性、匿名性和完整性的強(qiáng)保證?？墒褂么恕翱尚判欧狻眮硌b飾具有附加元數(shù)據(jù)的任何凈荷，所述附加元數(shù)據(jù)可包括模式信息、一致性提示、版本和軌跡、機(jī)密等級(例如，在使用群計(jì)算(“crowd computing”)吋)、用于從片的其他對等體重構(gòu)此凈荷的定位符等。在一個(gè)非限制性應(yīng)用中，可信XML提供“松格式綁定”來生長該生態(tài)系統(tǒng)以催化網(wǎng)絡(luò)效果。FTO (將這些技術(shù)和密鑰管理器參數(shù)化)和XML通用交換格式的組合促進(jìn)了在適應(yīng)散布技術(shù)、應(yīng)用、領(lǐng)域、場所、主權(quán)、格式和其他要求時(shí)的更大靈活性。在另ー應(yīng)用中，用于聚合的當(dāng)前結(jié)算和協(xié)調(diào)涉及易于出錯、省略和欺詐的點(diǎn)到點(diǎn)交換。插入安全和私有數(shù)據(jù)服務(wù)將因此以促進(jìn)選擇性公開以使得可信實(shí)體保持可靠的方式而直接使會計(jì)、審計(jì)等受益，并且可允許適當(dāng)?shù)恼{(diào)節(jié)者(順從、法律)或居間者(沖突解決等)選擇性地窺視XML標(biāo)簽以在事務(wù)中建立信任?？尚臱ML的優(yōu)點(diǎn)在于凈荷能夠在參與者之間編碼專有格式，其中存儲方不需要知曉或者甚至不必試圖理解該專有格式。可信包裝器的各層因此添加了大量的技術(shù)和業(yè)務(wù)價(jià)值以及法律和順從價(jià)值和主權(quán)實(shí)體價(jià)值。在另ー應(yīng)用中，由于(a)不同的不兼容的傳統(tǒng)系統(tǒng)以及(b)更重要的-患者對現(xiàn)有解決方案提供者的粘性的喪失，健康護(hù)理系統(tǒng)集成是繁重的。通過引入云數(shù)據(jù)服務(wù)作為交換所，并引入可信XML作為交換格式，這些現(xiàn)有解決方案提供者能夠?qū)⒋水?dāng)作維持該粘性的途徑，同時(shí)還利用由XML促進(jìn)的通用格式。至于使用啟用FTO的“路由器”(“網(wǎng)關(guān)/監(jiān)護(hù)者”)和利用可信XML，是因?yàn)?a)路由器可以做它們的事情而不需要了解路由所需知識以外的更多知識，(b)路由器具有對錯誤和不良行為的更少的自由度，(c)由于后期綁定，消除了復(fù)雜的密鑰管理。此外，可添加或擴(kuò)充標(biāo)簽或可將附加的元數(shù)據(jù)應(yīng)用于XML文檔以指示內(nèi)容具有各種敏感等級。例如，可存在具有公共、秘密、以及絕密段落的文檔。例如，具有秘密許可的執(zhí)行捜索和請求訪問的人將只具有對公共和秘密段落的訪問權(quán)。也可使用段落的分類來確定加密機(jī)制、密鑰和訪問策略。例如，絕密內(nèi)容不能從無線或遠(yuǎn)程設(shè)備訪問。類似地，可使用所述分類來創(chuàng)建與可如何存儲數(shù)據(jù)、可在何處存儲數(shù)據(jù)、可存儲數(shù) 據(jù)多久有關(guān)的策略。例如，醫(yī)療數(shù)據(jù)必須使用AES 256加密每天一次地備份到可信數(shù)據(jù)中心中的安全服務(wù)器。圖32是示出在一實(shí)施例中的用于主存可信XML的示例性過程的流程圖。在3200，第一控制區(qū)域中的計(jì)算設(shè)備從第二控制區(qū)域中的計(jì)算設(shè)備接收經(jīng)加密的XML數(shù)據(jù)，該經(jīng)加密的XML數(shù)據(jù)包括經(jīng)加密的XML凈荷數(shù)據(jù)和經(jīng)加密的XML標(biāo)簽。該經(jīng)加密的XML數(shù)據(jù)是基于密碼密鑰信息根據(jù)可搜索加密算法從對該第二控制區(qū)域中的該計(jì)算設(shè)備的所定義的XML數(shù)據(jù)集的加密而形成的。在3210，接收基于密碼密鑰信息加密的輔助元數(shù)據(jù)，其中該輔助元數(shù)據(jù)是從對經(jīng)加密的XML凈荷數(shù)據(jù)或經(jīng)加密的XML標(biāo)簽的分析而形成的。在3220，接收對數(shù)據(jù)的請求，該請求包括基于密碼密鑰信息的能力，該密碼密鑰信息定義用于訪問該經(jīng)加密的XML凈荷數(shù)據(jù)或該經(jīng)加密的XML標(biāo)簽中的ー些的特權(quán)，從而允許對該經(jīng)加密的XML數(shù)據(jù)的、如該能力所限定的選擇性訪問。在2030，可任選地，確認(rèn)經(jīng)加密的XML數(shù)據(jù)和對應(yīng)的XML標(biāo)簽數(shù)據(jù)的正確子集由符合該請求的訂閱者設(shè)備接收。圖33是示出在一實(shí)施例中的用于主存可信XML的示例性過程的流程圖。在3300，從密鑰生成組件接收密碼密鑰信息，該密鑰生成組件基干與訂閱者設(shè)備的身份信息來生成該密碼密鑰信息。在3310，訂閱者設(shè)備請求經(jīng)可搜索地加密的XML數(shù)據(jù)和對應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集。將該密碼密鑰信息傳送到該經(jīng)可搜索地加密的XML數(shù)據(jù)和對應(yīng)的標(biāo)簽數(shù)據(jù)的存儲提供者。在3320，如在該密碼密鑰信息中定義的能力所允許的那樣解密經(jīng)加密的XML數(shù)據(jù)和對應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集。在3330，確認(rèn)經(jīng)加密的XML數(shù)據(jù)和對應(yīng)的XML標(biāo)簽數(shù)據(jù)的正確子集由符合該請求的訂閱者設(shè)備接收。在3340，驗(yàn)證經(jīng)加密的XML數(shù)據(jù)和對應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集的內(nèi)容在接收到該經(jīng)加密的XML數(shù)據(jù)和對應(yīng)的XML標(biāo)簽數(shù)據(jù)的子集之前未被刪除或修改。圖34是示出在一實(shí)施例中的用于主存可信XML的示例性過程的流程圖。在3400，基于從分開的密鑰生成器接收的密碼密鑰信息根據(jù)可搜索加密算法來加密XML數(shù)據(jù)以形成經(jīng)加密的XML數(shù)據(jù)，該經(jīng)加密的XML數(shù)據(jù)包括經(jīng)加密的XML標(biāo)簽信息，其中該密鑰生成器生成該密碼密鑰信息。在3410，將該經(jīng)加密的XML數(shù)據(jù)傳送到網(wǎng)絡(luò)服務(wù)提供者以存儲該經(jīng)加密的數(shù)據(jù)。在3420，該經(jīng)加密的數(shù)據(jù)是可根據(jù)基于作出請求的設(shè)備的身份信息而授予該作出請求的設(shè)備的所選擇的特權(quán)的后期綁定而選擇性地訪問的。圖35是示出在一實(shí)施例中的用于主存可信XML的示例性過程的流程圖。在3500，訂閱者設(shè)備做出對包括經(jīng)加密的XML標(biāo)簽的經(jīng)可搜索地加密的XML數(shù)據(jù)的子集的請求。在3510，從密鑰生成組件接收密碼密鑰信息，該密鑰生成組件基干與訂閱者設(shè)備的身份信息來生成該密碼密鑰信息。在3520，根據(jù)在密鑰信息中所定義的賦予給該訂閱者設(shè)備的特權(quán)，解密經(jīng)加密的XML數(shù)據(jù)的子集。如向各實(shí)施例提供的，可信XML以從整體到較低節(jié)點(diǎn)級來保護(hù)數(shù)據(jù)，并且能夠在該節(jié)點(diǎn)級以通用且高效的方式來保護(hù)訪問特權(quán)。在下文闡述了示出ー個(gè)或多個(gè)概念的各示例，其中使用了匿名IBE和/或其中AES被用作用于模糊化的密碼技木。然而，要理解，在這些示例中可以使用任何合適的數(shù)學(xué)變換，并且因而用于模糊化或隱藏XML數(shù)據(jù)的給定技術(shù)不應(yīng)被當(dāng)作對各更一般概念中的任何概念的限制。在一個(gè)實(shí)施例中，XML的編碼可通過使該XML通過編碼變換器來完成，該編碼變換器輸出可信XML，并且解碼可通過使該可信XML通過定義的解碼變換器來完成。就此，同一節(jié)點(diǎn)可被倍増地保護(hù)(在多個(gè)級處包裝)已具有對該節(jié)點(diǎn)的邊界的更高保護(hù)。在以下說明性而非選擇性的示例中，病歷被用來解釋使用進(jìn)行選擇性編碼來不同地對待不同的數(shù)據(jù)部分的概念的可信XML的實(shí)現(xiàn)。
< xml version=”1.0" encoding="utf-8" >
くPatierrtInfo Id=”JK392E8D">
<Name>John McKenzieく/Name〉
<Doctor>Dr. Smith </Doctor>
<LabResults>
<BloodTest>
<TestData labname="Quest">
<data> ... </data>
</TestData>
く/BloodTest>
<MRITest>
<Te s t D at a I ab n a m e=" M e I a" >
くdata〉... </data>く/T estData>
</MRITest>
<XRayTest>
くTestData labname="Lest">
<data> ... </data>
く/T estData>
<TestData I abn ame=" Vanta">
<data> ... </data>
</TestData>
</XRayTest>
</Lab Resui ts>
</PatientInfo>在一個(gè)非限制性方面，可信XML啟用對XML文檔的所選部分而非整個(gè)文檔的保護(hù)。例如，一個(gè)實(shí)現(xiàn)可以保護(hù)內(nèi)部塊的被標(biāo)記為‘a(chǎn)ction= “encode”(動作=編碼)’的元素。例如，為保護(hù)患者的姓名，Name (姓名)元素可被如下標(biāo)記〈Name action="encode">John McKenzie</Name>結(jié)果，數(shù)據(jù)凈荷(在此是‘John McKenzie’)對任何人而言將是不可見的。這ー選擇性編碼可以在任何元素級來完成，例如它可以針對平面元素(如上所述)來完成或它可以針對某分層元素(如iBloodTest (血檢)’)來如下設(shè)置
くBloodTest action="encode">
<TestData labname="Quest">
<data> ... </data>
</TestData>
</BloodTest>在以上示例中，‘BloodTest’元素內(nèi)部的整個(gè)‘TestData (檢測數(shù)據(jù))’將對任何人不可見。為了設(shè)置來執(zhí)行各數(shù)學(xué)變換，諸如但不限于加密，可生成預(yù)處理器信息。例如，匿名IBE (AIBE)和AES可被用作密碼技木，但同樣要注意，這些是非限制性的。在一個(gè)實(shí)施例中，該系統(tǒng)可具有用于管理和生成AIBE的秘密的獨(dú)立的能力生成中心(CGC)，如針對本文其他位置所述的聯(lián)合體系結(jié)構(gòu)所概括描述的。為了執(zhí)行AIBE設(shè)置，在一個(gè)實(shí)施例中，CGC可以生成公共參數(shù)(PUB)和主密鑰(MSK)0在CGC中，MSK可保持是秘密的。PUB可被提供給應(yīng)用的最終用戶以供使用AIBE。
圖36是用于AIBE的上下文中以對可信XML文檔進(jìn)行選擇性編碼的示例性非限制性算法的流程圖。在3600處，接收被標(biāo)記來‘編碼’的元素的內(nèi)部塊(R)。在3610處，生成新加密密鑰(K)，并且在3620處，用該密鑰(K)來加密內(nèi)部塊(R)，例如(R) — R’。在3630處，生成‘身份關(guān)鍵詞’(《)，它是稍后用來請求能力的關(guān)鍵詞。在3640，使用(w)來用任何非對稱算法保護(hù)(K),并且結(jié)果記作(K，)。在3650，可丟棄(R)和(K)。在3660處，可將(R’)和(K’)添加到算法信息和服務(wù)信息，以供稍后獲得對應(yīng)的能力。以下是使用AES和AIBE的示例實(shí)現(xiàn)。以如下元素開始
<BloodTest action="encode">
<TestData labname="Quest">
<data> ... </data>
</TestData>
</BloodTest〉在該示例實(shí)現(xiàn)中，(R)如下〈TestData labname="Quest">〈data〉…〈/data〉〈/TestData〉對于要作為編碼的一部分來執(zhí)行的數(shù)據(jù)處理，生成ー個(gè)256位的AES加密密鑰(K)0接著，AES加密記錄(R)，例如，AESk (R)—R ’作為示例，R’的64基編碼(Base64Encoded)的值可如下表示pDB9AaoGgBMbkUAox/+thz6IlIffpE21Qj0Ziff8I9vQ910A3ffrRaIUTffg9iDqvgu7svclHlSjENgBWDzlo5gaWYXlD+Ib3j6VpGX13mwd5Dq5FctLQFbSLWZCBzsCC/0Rbe6Aliwk+6fGam/GrVcyuXeocIxUsmSBc0hhhwwdbz2IKpvY+rqff63uglgcbn4pyMbn0diofbP0roqVXyCbFCDGbS46cmac8YKeDGrCURayt/yZW3Z7AwCzLvN3py6LBZvj8W41JbzND5fa/S3bdfg==隨后可以取該文檔的‘Id’并且它可被附加在‘element (元素)’名之后。這將被用作‘身份關(guān)鍵詞’(W)。例如，在此，(w)可以是“JK392E8DBloodTest”。接著，使用AIBE來保護(hù)(K)，例如，如下AIBE (PUB, W，K) — K，作為經(jīng)由AIBE進(jìn)行保護(hù)的結(jié)果，K’可能看起來如下32, BuLI8ihhSAV3oxa9hm7Dx70BuLI8i, 9uzEeIG89oAasixlbDLae9uzEeI, zn9xpp89kZtTio0zn9x, fmmxLd3Ehg 1 BF.fmmx如上所述，此時(shí)，R和K可被丟棄，并且可以生成所輸出的XML。至于對所輸出的XML進(jìn)行編譯，(R’)被保持在‘Value (值)’元素的內(nèi)部，例如，如下〈Value〉pDB9AaoGgBMbkUAox/+thz6IlIffpE21Qj0Ziff8I9vQ910A3ffrRaIUTffg9iDqvgu7svclHlSjENgBWDzlo5gaWYXlD+Ib3j6VpGX13mwd5Dq5FctLQFbSLWZCBzsCC/0Rbe6Aliwk+6fGam/GrVcyuXeocIxUsmSBc0hhhwwdbz2IKpvY+rqff63uglgcbn4pyMbn0diofbP0roqVXyCbFCDGbS46cmac8YKeDGrCURayt/yZW3Z7AwCzLvN3py6LBZvj8W41JbzND5fa/S3bdfg==〈/Value〉接著,添加所使用的變換算法。在此,例如,它可以是Encrypt (加密)和AES。
<Transfomiation Method〉
<Type>Encrvpt</Tvpe>
< AI 叫rithm>A ES</AI ^orithm>
</T ra n s formationM ethod>
此外，定義名字空間并將其封裝在‘Data (數(shù)據(jù))’元素內(nèi)部，例如，如下
<tO:Data xmns:tO=”http:/./TrustedXm
01/t!,a!isformei's”>
<t0 !Transformation Method>
<t0: Ty pe> En cry pt</t0: Ty pe>
<t0: AI go rith m> A ES</.tO: A lgorith m>
</10: T r a n s f'o nn a t i o n M e t h o d>
<t0:Value>
pDB9AaoGgBMbkljAox/+thz6IlIVVpE2!QjOZiW8I9vQ9IOA3VVrRaIUTWg9iDqvgu7svclH!SjENgBWDzlo5gaWYXlD+Ib3i6VpGX13mwd5Dq5FctLQFbSLWZCBzsCC/ORbe6A I iwk+6fGam/GrVcyuXeocixUsmSBc0hhhwwdbz2IKpvY+rqVV63 uglgcbn4py MbnOdiofbPOroq VXyCbFCDGbS46cmac8 Y KeDCirC LI Rayt/yZW3Z7AwCzLvN3py6LBZvj8W41JbzND5fa/S3bdfg==
</t0: Value〉.
<tO:Data>至于密鑰，(r)在Key (密鑰)元素內(nèi)部維護(hù)，例如，如下
<Key>
32,BuLI8ihhSAV3oxa9hm7Dx70BuLI8i,9uzEeIG89oAasixlbDLae9uzEeLzn9xpp89kZtTio0zn9x,fmmxLd3Ehgl 6Efmmx</ Key>再一次，添加所使用的變換信息。在此，例如，它又是Encrypt和AIBE，例如，如下 <TransformationMethod>
<T ype>Encrypt</T ype><Algorithm>AlBE</Algorithm>
</T ran sformationM ethod>還添加解碼器檢索其密鑰(Key)的服務(wù)信息，例如，如下
<Encrvpnonlnfo xmlns: e0=" http ://TrustedXml_01/transfbrmers/AIB E" > <KeyProviderService> http://TrustedXml_01/aibe/cgc s\ し </KeyProviderService>
<Key ProviderAciion>GetCapabi Iity </Key Provider Action> く/.E n c ryp t i o n info >例如，名字空間可被定義并封裝到‘Keylnfo (密鑰信息)’，如下
<t0:KeyInfo xmlns:t0="http://TrustedXml 01/transfoi'mers”〉 <tO:TransformationMethod>
<tO:Type>Encrypt</tO:Type>
<tO: Algori thm>AIBE</tO:Algorithm>
</t0: T ransf'ormationM ethod>
<eO: EncryptionInfo xmlns:eO=”http://TrastedXml—O l/ti.ansformers/AIBE”> <eO:KeyProviderService> http://T r U stedXin 1—01 /aibe/cgc. svc </e O: KeyProviderS ervice>
<eO: Key Provider Action>GetCapabil ity</eO: Key Provider Action> </eO:EncryptionInfo>
<Key>
32,BuLI8ihhSAV3oxa9hm7Dx70BuLI8i,9uzEeIG89oAasixlbDLae9uzEeI.zii9
xpp89kZtTio0zn9x,fmmxLd3Ehgl6Efmmx
</Key>
</tO:KeyInfo>BloodTest的示例輸出元素如下、くBloodTest action=”decode”>
<T ran sfbrmed Data>
<t0:Keylnfo xmlns:t0=”lmp://TrustedXml_01 /transformers”〉 <t0: Transformation M ethod>
<iO:Type>Encrypt</tO: Type〉 <tO:Algodthm>AIBE</tO:A]goHthm> </tO:TransformationMethod>
<e0: Encrypt i on I nfo xmlns:eO=l,http:// rrustedXml 01/transformers/AIBEn> <eO:KeyProviderService> http://「rustedXml—01/aibe/cgc.svc </eO:KeyProviderService>
<e0: Key Provider Ac tion>GetCapabi I ity</eO: Key Provider Action> </eO:Encrypiion[nfo><Key>
32,BiiL18ihhSAV3oxa9hm7Dx70BiiLI8i,9uzEelG89oAasixlbDLae9uzEeI,zn9xppS 9kZtT io0zn9x,fmmx LcB Ehgl 6E fmmx</Key>
</t():Keylnfo>
<tO:Data xmlns:tO=”http:."TrustedXml—Ol /transformers”:〉
<t0: T ransformationMethod>
<tO: T y p e > E n c ry p t</t0: T y p e >
<t0: AI gor i th m> A E S </t(): AI gori tlrm >
</t 0: T r a n s fo rm a t i o n M e t h o d >
<t():Value>
pDB9AaoGgBMbkUAox/+thz6IlIWpE21 QjOZiW8I9vQ91 OA3WrRaIUTWg9iDqvgu7svclH I SjENgB\VDzlo5ga\VYX ] D+Ib3j6VpGX 13mwd5Dq5FctLQFbSLWZCBzsCC/ORbe6A I i w k+6 fG am / G r V c y n X e o c I x U s m S B c 0 h h h w w d b z 21K p v Y+1' q W63 uglgcbn4py MbnOdiofb POroq VXyCbFCDG bS46cmacS Y KeDGrCU Ray t/yZW3 Z7AwCzLvN3py6LBZ￥j8W41JbzND5fa/S3bdfg==
</tO:V alue>
</tO:Data>
</T ransformedD ata>
</BloodTest>以下輸入的記錄和經(jīng)變換的輸出示出了一示例變換。示例輸入記錄
く xml version=" 1.0" encoding='!utf-8'! >
CPatieniInfo Id=,!JK392E8D">
<Name action="encode">John McKenzie</Name>
<Doctor>Dr. Smith </Doctor>
<LabResults>
〈BloodTest action="encode">
<Te s t D ata ] a bn am e="Quest">
<data> ... </daia>
</T estData>
<7BloodTest>
<MRlTest>
<Te s t D ata I abn a m e=" M e I a" >
くdata〉... </data>
</TestData>
く/MRITest:〉
<XRavTest>
くTestData labname="Lest" action="encode"> くdata〉... </data>
</TestData>
<TestData labname="Vanta">
<clata> ... </data>
</TestData>
</XRayTest>
</LabResults>
</Patient]nfo> 示例經(jīng)變換的輸出記錄< xml Yersion=lfLOfl encoding=nutf-8n >
<ParientInfo [d=”JK392E8D">
<Name action=”decode”>
<TransformedData>
くtO: Key lnfo xnilns:tO=”http://TrustedXml—OI/transformers”〉 <tO:Transformation Method〉
<tO: T ype>Encry p t</tO: Type> <tO:Algorithm>AIBE</tO:Algorithm>
</tO: TransformationMethod>
<e O: Enc iy p t i o nln foxmlns:eO=1,http:// i'rustedXml 0 l/transformers/A[BEn>
<e0:KeyPro￥iderSeryice>http;//TrustedXml_01/aibe/cgc.s￥c</e0;Key ProviderServi<eO:KeyProviderAetion>GetCapabilityく/eO:KeyPro' idei iction> </cO: R nc rvption I n fo>
<Key>
32,GIQO12Wooxa9hm7Dx70BuLI8ihhSAV3,oAasixlbDLa42gFFe9uzEeIG89589XBMSkZtTio0zn9xpp,hgIIAl 6CfmmxLd3E</Key>
</tO:KeyInfo>
<tO:Data xmlns:tO=,fhttp://TrustedXml 01/transformersn> <t():"l'ransformationMerhod> <iO:Type>Eiicrypt</iO:Type>
<t0:八 lgorithm〉八 ES く/tO:八 lgorithm>
</t 0: T ransformation Mcth od>
<t0: Value>
9ItK!H620ezLZXG4QGr6DKikZOgMxFePzFs849Ft\9WEbaOqhPO.aJUVAkmfHP2HRW7SOQfdihNj I wBdM95KtgeKrjb20/0S/l i9SIIU6zprU=
</iO:Value>
</tO:Data>
く/丁 ransformedData>
</Name>
<Doctor>Dr. Smith </Doctor>
<LabResults>
<BioodTcst acrion="dccodcf,>
<T ransforrnedData>
<t0: Key Info xmlns;tO=1,http ://TrustedXm 1_01 /transformers1^
く tO: T ran sformati o n M ethod>
<t0: Ty pe> Enc rypt</t0: T ype>
<t0: Algorithm>AIBE</tO: Algorithin> </tO:TransfoiTnationMethod> <eO:EncryptionInfo

xmlns:e0=Hhttp://TrustedXml_01/transformers/AIBEn>
<e0:KeyProviderService>http:/;TrustedXiTi]_01 /aibe/cgc.svc</eO: KeyProviderServic
<e0: Key ProviderA ct ion>GetCapability</eO: Key Provider Acri on>
</eO: Encrypti on In fo>
<Key>
32,B,jLI8ihhSAV3oxa9hrn7Dx70BuLI8i,9uzEcIG89oAasixlbDLac9uzEcI,zn9xpp8
9kZtTio0zn9x.fmmxLd3Ehgl6Efmmx
</Key>
</tO:Key!nfo>
くtO:Data xmlns:t0_11ittp//TrusteclXml_0i/transformers,'> <tO:TransformationMethod>
<tO:Type>Encrypt</tO:Type>
くtO: Algorithm〉A(chǔ)ES</tO: Algorithm〉</tO:TransformationMethod>
<lOValue>
pDB9八 aoGgBMbkUAox/+thz6 川 WpE21 QjOZi\V8I9vQ9 i O八 3 WrRaiUTWg9iDqvgu7svcIH I SjENgBWDzloSgaWYXl D i-Ib3j6VpGX13mwd5Dq5FctLQFbSLWZCBzsCC/0Rbe6AI iwk-h6fGam/GrVcyiiXeoc{xUsmSBc0hhhwvvdbz2IKpvY+rqW63ug]gcbn4pyMbiiOdioftPOroqVXyCbFCDGbS46cTnac8YKcDGrCURayt/yZW3Z7A\vCzL￥N3py6LBZyj8W41JbzND5fa/S3bdfg=
<,iO:Value>
</t():I)ata>
</T ra n s formed D a ta>
</BloodTesl>
<M RI Test〉
くTestData labname_MMela1,>

くdata〉... </data>
く/Te st Data〉
</MRITest>
<XRayTest>
〈TestData Iabname=nLestn action=,5decode,!>
<TransformeclData>
<t():KevInfo xmlns:t()_i,htip://TrustedXml Oi/transfomiers">
<r.O: Transform ati on Meth od>
<tO: T ype>Encry pt</tO: T ype>
<10: Algori thm>AI B E</tO:Algorithm></tO:TransformationMethod>
<e 0:Enc ry piio n I n Ibxmlns:eO="http://TrustedXml 01/transformers/AIBE!,>
<eO:KeyProvicierService>hap://TrustedXni] OI/aibe/cgc,svc</e():KeyProviderService>
<eO:KevProviderAction>GeiCapabi]ity</eO:KeyProviderAction>
</e(): Enc vy ptionl n fo >
<Key>
32,ooxa9hiTiSoxa9hm7DSAV3oxai,iDqvgu7svclHlSjENgBWDzlo5gaVVYXI ,4QGr6DKikZ0gMxFePz,DLa42gFFe9uzEeI</Kc*y>
</tO;KeyInfo>
<lO:Daia xmlns:t()—”luip:"TmstedXml Ol/lrans!brmersM> <t():TransforrnationMethocl>
<tO: T y pe> E n cry p [</tO: Type><TO:Algorilhni>AES</lO:Algorilhm>
</tO: T ransformation Method〉
<tO:Va lue>

bSL WZCBzsC WDzlo5 gaWYX I D+lb3j 6 VpGX 13mwd5Dq5FctLQFbSLWZCBzsCC/0Rbe6A I CbFCDGbS46cm+6fGam/GrVcyuXeocIxUsmSBc==
</tO: Value〉
</tO:Data>
</T r a n s fo rm e d D a ta>
</TestData>
くTestData labname="Vanta">
<data> ... </data>
</TestData>
</XRayTest>
</LabResults>
</PatientInfo>以上示例因而突出顯示了任何數(shù)據(jù)模糊化或其他數(shù)學(xué)變換可被應(yīng)用于XML數(shù)據(jù)的不同部分，從而對不同部分不同地編碼并且啟用對數(shù)據(jù)的選擇性訪問。至于解碼，最初，作出請求的實(shí)體檢索或接收能力。為獲得能力，解碼器將‘身份關(guān)鍵詞’(《)提供給CGC以請求‘能力’(C)。取決于該請求，CGC提供該給定‘身份關(guān)鍵詞’的能力(C)。就此，所提供的能力打開匹配的‘身份關(guān)鍵詞’(W)的(K’)而不是其他K’。在該給定示例中，如果用戶想要得到文檔中的‘Name (名字)’，該用戶提供元素‘Name’的‘身份關(guān)鍵詞’(W)。在此，(w)將是“JK392E8DName”。一旦用戶獲得了該能力，則它可被應(yīng)用于K’上以根據(jù)如下來得到K AIBE(K，，PUB，C) — K現(xiàn)在，有了 K，用戶將能夠使用該K來解密R’，例如，如下AESk (R，)—R下面針對補(bǔ)充上下文提供對無容器數(shù)據(jù)描述的各附加實(shí)施例和關(guān)于聯(lián)合信任覆蓋的細(xì)節(jié)?？尚旁品?wù)生態(tài)系統(tǒng)的補(bǔ)充上下文如上所述，獨(dú)立的數(shù)據(jù)保護(hù)和密碼技術(shù)被以各種方式組合以增強(qiáng)關(guān)于數(shù)據(jù)(例如，作為存儲在諸如由CSP維護(hù)的遠(yuǎn)程站點(diǎn)處的數(shù)據(jù))的隱私性、信任和安全性。盡管下面以ー般數(shù)據(jù)或網(wǎng)絡(luò)服務(wù)為上下文來描述一般生態(tài)系統(tǒng)，然而這種一般數(shù)據(jù)或網(wǎng)絡(luò)服務(wù)可被用于在遠(yuǎn)程站點(diǎn)處存儲數(shù)據(jù)的上述場景中的任ー個(gè)或多個(gè)。向網(wǎng)絡(luò)數(shù)據(jù)服務(wù)提供數(shù)字托管模式，包括用于存儲在云中的數(shù)據(jù)的可搜索加密技術(shù)，從而跨多個(gè)實(shí)體來分布信任以避免單個(gè)實(shí)體造成的損害。在一個(gè)實(shí)施例中，密鑰生成器、密碼技術(shù)提供者和云服務(wù)提供者各自都作為分開的實(shí)體來提供，從而使得數(shù)據(jù)的發(fā)布者能夠機(jī)密地(經(jīng)加密的)將數(shù)據(jù)發(fā)布給服務(wù)提供者，并且然后選擇性地將經(jīng)加密的數(shù)據(jù)展示給請求該數(shù)據(jù)的訂閱者,該選擇性地展示基于被編碼到響應(yīng)于訂閱者請求所生成的密鑰信息中的訂閱者身份信息中。相對于可捜索的加密/解密算法而言，由ー個(gè)或多個(gè)密碼技術(shù)提供者實(shí)現(xiàn)的可搜索的公鑰加密(PEKS)方案為任何給定的消息W生成陷門TW，使得TW允許檢查給定密文是否是對W的加密，其中TW不掲示關(guān)于明文的任何附加信息。根據(jù)下面所述的各個(gè)實(shí)施例，PEKS方案可以用于基于包含在諸如經(jīng)加密的消息之類的經(jīng)加密的數(shù)據(jù)(例如消息文本)中的關(guān)鍵詞對所述經(jīng)加密的數(shù)據(jù)確定優(yōu)先級或進(jìn)行過濾。因此，可以通過釋放相應(yīng)關(guān)鍵詞的能力(有時(shí)被密碼員稱為“陷門”)來給數(shù)據(jù)接收者提供對經(jīng)加密數(shù)據(jù)的與關(guān)鍵詞有關(guān)的部分的所選訪問。通過這種方式，可以在經(jīng)加密的數(shù)據(jù)中檢查這些關(guān)鍵詞，但是保證不會從訂閱者獲悉比該訂閱者的能力所允許的更多東西。為免于疑惑，盡管在此處的一個(gè)或多個(gè)實(shí)施例中將PEKS公開為用于實(shí)現(xiàn)可搜索加密的算法，但是能夠理解，存在多種備選算法以用于實(shí)現(xiàn)可捜索加密。PEKS的一些示例性的非限制性的替代方案例如包括遺忘RAM。因此，在此所使用的術(shù)語“可捜索加密”應(yīng)當(dāng)不限于任何一種技術(shù)，并且因此是指寬范圍的如下加密機(jī)制或加密機(jī)制的組合所述加密機(jī)制允許基于對經(jīng)加密數(shù)據(jù)的捜索或查詢功能來選擇性地訪問經(jīng)加密數(shù)據(jù)的子集?？扇芜x地，可以作為附加好處向生態(tài)系統(tǒng)中的數(shù)據(jù)的訂閱者和發(fā)布者提供對結(jié)果的確認(rèn)和/或驗(yàn)證。確認(rèn)提供ー種方式來確認(rèn)由于針對數(shù)據(jù)的子集的訂閱請求而接收的數(shù)據(jù)項(xiàng)是正確的項(xiàng)集合，即數(shù)據(jù)的本應(yīng)該接收的正確子集實(shí)際已經(jīng)被接收。密碼領(lǐng)域的ー種技術(shù)是數(shù)據(jù)擁有證明(PDP)，然而，為免于疑惑，PDP僅僅是可以被實(shí)現(xiàn)的ー種示例性算法，并且可以使用實(shí)現(xiàn)相同或類似目標(biāo)的其他算法。數(shù)據(jù)擁有的可證(Provable)或證明是關(guān)于如何頻繁、高效且安全地驗(yàn)證存儲服務(wù)器忠實(shí)地存儲了其客戶端的可能很大的外包數(shù)據(jù)的主題。存儲服務(wù)器被假定為在安全性和可靠性方面都是不可信的。對結(jié)果的驗(yàn)證提供用于檢查項(xiàng)本身的內(nèi)容的附加機(jī)制，即以確保結(jié)合訂閱請求所接收的項(xiàng)未曾被任何未授權(quán)實(shí)體篡改過。密碼領(lǐng)域中的驗(yàn)證的一個(gè)示例是數(shù)據(jù)擁有證明(PDP)，然而，為免于疑惑，PDP僅僅是可以被實(shí)現(xiàn)的ー種示例性算法，并且可以使用實(shí)現(xiàn)相同或類似目標(biāo)的其他算法。在密碼領(lǐng)域中已知的另ー技術(shù)是可恢復(fù)性證明(P0R)，然而，為免于疑惑，POR僅僅是可以被實(shí)現(xiàn)的ー種示例性算法，并且可以使用實(shí)現(xiàn)相同或類似目標(biāo)的其他算法。POR是ー種由服務(wù)提供者或數(shù)據(jù)主存者(證明者)對客戶端(驗(yàn)證者)進(jìn)行的緊湊證明，其表示目標(biāo)文件F在客戶端可以完全恢復(fù)文件F并且未發(fā)生篡改的意義上而言是完整的。作為附加的選項(xiàng)，生態(tài)系統(tǒng)可以實(shí)現(xiàn)匿名憑證的概念，由此發(fā)布者可以按匿名方式上傳關(guān)于其自己的信息而不暴露關(guān)鍵細(xì)節(jié)，并且訂閱者可以受其能力的限制，使得其不能被暴露或被提供對由發(fā)布者上傳的關(guān)鍵細(xì)節(jié)的訪問。通過這種方式，發(fā)布者或訂閱者可以與系統(tǒng)交互，同時(shí)僅僅暴露其希望向第三方暴露的那樣多的信息。常規(guī)的web服務(wù)被限于靜態(tài)客戶端服務(wù)器布置和用于訪問web服務(wù)的靜態(tài)地定義的用戶策略。然而，當(dāng)根據(jù)經(jīng)常改變和演進(jìn)的復(fù)雜業(yè)務(wù)和其他關(guān)系來構(gòu)思許多發(fā)布者和訂閱者時(shí)，這樣的常規(guī)web服務(wù)模型不能是靈活的或者足夠安全的。因此，在各個(gè)實(shí)施例中，啟用后期綁定，使得數(shù)據(jù)和內(nèi)容的發(fā)布者和/或所有者可以基于訂閱者是誰、基于訂閱者的能力以及基于他們在尋找什么(例如基于針對數(shù)據(jù)的請求中所使用的關(guān)鍵詞)來改變對經(jīng)加密內(nèi)容的訪問特權(quán)。因此，訂閱者能夠選擇性地訪問的東西與發(fā)布者和/或所有者對訪問特權(quán)的改變一致地動態(tài)改變，因?yàn)橛嗛喺吣芰Ρ痪幋a在由運(yùn)行中的密鑰生成器所提供的密鑰信息中。因此，為給定請求在為該請求生成密鑰的時(shí)刻定義訂閱者特權(quán)，并且因此該訂閱者特權(quán)總是反映關(guān)于來自訂閱者的請求的當(dāng)前策略。類似地，可信云服務(wù)的服務(wù)器的管理員可以被準(zhǔn)許觀察由該服務(wù)器處理的活動和數(shù)據(jù)事務(wù)的日志，但是還可以被限制為不能看見任何客戶姓名或信用卡信息。因此，訂閱者的身份可以是限制訂閱者能訪問的數(shù)據(jù)類型的基礎(chǔ)。在此，在構(gòu)建對云服務(wù)的信任的上下文中提出可信生態(tài)系統(tǒng)的各種非限制性實(shí)施例，然而，在此提供的對生態(tài)系統(tǒng)的信任建立是更一般的，并且不限于應(yīng)用于云服務(wù)。更確切而言，在此所述的實(shí)施例類似地適用于企業(yè)數(shù)據(jù)中心內(nèi)的不同服務(wù)器或參與者。因此，盡管數(shù)據(jù)可能從未離開給定實(shí)體，但是在此所述的用于構(gòu)建信任的技術(shù)同樣適用于企業(yè)內(nèi)的不同過程在單獨(dú)控制區(qū)內(nèi)操作的情況。在沒有跨所有企業(yè)過程的可見性的情況下，可能造成類似的不信任，就好像參與者置身于企業(yè)之外。例如，服務(wù)器云即使在處于管理員的控制之下時(shí)或者管理員可能不注意或者為惡意時(shí)可能在企業(yè)內(nèi)遭到破壞。除了適用于云中的經(jīng)加密數(shù)據(jù)，本發(fā)明的各種技術(shù)還可以適用于存儲在膝上型計(jì)算機(jī)或其他便攜式設(shè)備上的數(shù)據(jù)，因?yàn)橄ド闲陀?jì)算機(jī)可能丟失或失竊。在這種情況下，該設(shè)備可能最終為過于好奇的或者惡意的實(shí)體所占有，然而，在此所述的適于保護(hù)云中數(shù)據(jù)的相同技術(shù)還可以用于保護(hù)服務(wù)器或膝上型計(jì)算機(jī)上的數(shù)據(jù)。如果本地?cái)?shù)據(jù)是經(jīng)加密的，則在沒有適當(dāng)訂閱者憑證的情況下，竊賊將不能理解經(jīng)加密的本地?cái)?shù)據(jù)，從而不能出示適當(dāng)角色或能力來訪問該數(shù)據(jù)。圖37是根據(jù)一實(shí)施例的可信云服務(wù)框架或生態(tài)系統(tǒng)的框圖；該系統(tǒng)包括可信數(shù)據(jù)存儲3700，該可信數(shù)據(jù)存儲100用于存儲可搜索的經(jīng)加密數(shù)據(jù)3710以及訂閱者請求的經(jīng)歷了確認(rèn)和/或驗(yàn)證的結(jié)果。就此，網(wǎng)絡(luò)服務(wù)3720可以構(gòu)建在安全數(shù)據(jù)3710之上，使得數(shù)據(jù)的發(fā)布者保留對賦予給例如通過網(wǎng)絡(luò)服務(wù)3720請求該數(shù)據(jù)的訂閱者3740的能力的控制。發(fā)布者3730也可以是訂閱者3740，并且反之亦然，并且數(shù)據(jù)的所有者3750也可以是發(fā)布者3730和/或訂閱者3740。作為ー些常見角色和可以定義的對應(yīng)能力集合的示例，特殊類型的發(fā)布者3730和訂閱者3740是管理員3760和審計(jì)者3770。例如，管理員3760可以是對數(shù)據(jù)3710的特殊許可集合，以幫助維護(hù)對可信數(shù)據(jù)存儲3700的操作，并且審計(jì)者實(shí)體3770可以在審計(jì)的范圍內(nèi)幫助維護(hù)某些數(shù)據(jù)的完整性。例如，審計(jì)者3770可能訂閱含有攻擊性關(guān)鍵詞的數(shù)據(jù)3710的消息，在這種情況下，審計(jì)者3770在根據(jù)所賦予能力受到許可的情況下可以在數(shù)據(jù)3710的消息包含這樣的攻擊行關(guān)鍵詞時(shí)受到提醒，但是不能閱讀其他消息。就此，可以基于如下能力構(gòu)建無數(shù)場景將發(fā)布者數(shù)據(jù)置于數(shù)字托管之下，使得可以分發(fā)實(shí)現(xiàn)對該數(shù)據(jù)的選擇性訪問的密鑰。例如，發(fā)布者向生態(tài)系統(tǒng)認(rèn)證并且指示要上傳到該生態(tài)系統(tǒng)的文檔集合。該文檔基于從生成密鑰信息的単獨(dú)的密鑰生成器所接收的密碼密鑰信息根據(jù)可搜索加密算法被加密。然后，經(jīng)加密數(shù)據(jù)被傳輸給網(wǎng)絡(luò)服務(wù)提供者以供存儲該經(jīng)加密數(shù)據(jù)，使得經(jīng)加密數(shù)據(jù)可以根據(jù)基于請求設(shè)備的身份信息賦予給該請求設(shè)備的所選特權(quán)的后期綁定被選擇性地訪問。將密碼技術(shù)提供者同經(jīng)加密數(shù)據(jù)的存儲相分離將附加地隔離經(jīng)加密的數(shù)據(jù)免受進(jìn)ー步損害。
就此，圖38是示出了根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于發(fā)布數(shù)據(jù)的示例性非限制性方法的流程圖。在3800，發(fā)布者向該系統(tǒng)認(rèn)證(例如發(fā)布者用用戶名和ロ令、LiVE ID憑證等登錄)。在3810，密鑰信息由諸如密鑰生成中心之類的密鑰生成器生成，這將在下面的一個(gè)或多個(gè)實(shí)施例中予以描述。在3820,分開的密碼技術(shù)提供者基于密鑰信息對發(fā)布者文檔集進(jìn)行加密。在3830，經(jīng)加密文檔與能力一起被上傳到例如存儲服務(wù)提供者之類的網(wǎng)絡(luò)服務(wù)提供者，使得可利用基于請求設(shè)備(訂閱者)的身份信息所賦予的所選特權(quán)的后期綁定來選擇性地訪問經(jīng)加密文檔例如在訂閱者側(cè),訂閱者向生態(tài)系統(tǒng)認(rèn)證,并且指示對數(shù)據(jù)子集的請求(例如對包含給定關(guān)鍵詞或關(guān)鍵詞集合的文檔的子集的查詢)。響應(yīng)于從至少一個(gè)訂閱者設(shè)備對經(jīng)可捜索地加密數(shù)據(jù)的請求，密鑰生成組件基干與訂閱者設(shè)備相關(guān)聯(lián)的身份信息生成密碼密鑰信息。然后，根據(jù)在密碼密鑰信息中所定義的賦予給該訂閱者設(shè)備的特權(quán)，經(jīng)加密數(shù)據(jù)的子集被解密。圖39是示出根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的用于訂閱數(shù)據(jù)的示例性、非限制性方法的流程圖。在3900，用于訂閱數(shù)據(jù)的方法包括認(rèn)證訂閱者(例如訂閱者用用戶名和ロ令、LiVE ID憑證等登錄)。在3910，訂閱者作出對數(shù)據(jù)的請求。在3920，密鑰信息由獨(dú)立密鑰生成實(shí)體基于訂閱者請求而生成，其中訂閱者的能力可以在密鑰信息中定義。在3930，基于在密鑰信息中所定義的能力來解密發(fā)布者數(shù)據(jù)的子集。例如，CSP可以對該數(shù)據(jù)進(jìn)行解密。在3940，使發(fā)布者數(shù)據(jù)的子集可被訂閱者訪問，例如訂閱者可以基于由所有者/發(fā)布者所賦予的可動態(tài)定義的能力來對該數(shù)據(jù)進(jìn)行下載、查看、處理、改變等等?？扇芜x地，用于加密、解密和密鑰生成的技術(shù)可以由分開的密碼技術(shù)提供者來提供，但是由任何參與者來主存。在一個(gè)實(shí)施例中，訂閱者設(shè)備的身份信息包括該訂閱者的角色。例如，審計(jì)者角色、管理員角色或其他預(yù)先指定的角色可以被發(fā)布者/所有者用作限制或賦予對經(jīng)可搜索地加密的數(shù)據(jù)存儲的各部分的訪問的基礎(chǔ)。圖40示出了示例性的生態(tài)系統(tǒng)，該生態(tài)系統(tǒng)示出了密鑰生成中心(CKG) 4000、密碼技術(shù)提供者(CTP) 4010和云服務(wù)提供者(CSP) 4020的分離，由此消除單個(gè)實(shí)體在可信生態(tài)系統(tǒng)中造成損害的可能性。就此，客戶4030包括數(shù)據(jù)的發(fā)布者和/或訂閱者?？扇芜x地，CKG 4000可以基于例如由CTP 4010提供的參考軟件、開源軟件和/或軟件開發(fā)工具包(SDK)來構(gòu)建，從而使得多方的構(gòu)件塊能夠自己創(chuàng)建這樣的組件或者對第三方實(shí)現(xiàn)這樣的生態(tài)系統(tǒng)組件感到滿意。在一個(gè)實(shí)施例中，SDK由CTP 4010來提供，并且可以被ー個(gè)或多個(gè)參與者用戶用于主存或?qū)崿F(xiàn)CKG 4000、下面將更詳細(xì)描述的計(jì)算和存儲抽象(CSA)和/或密碼客戶端庫。可任選地，SDK可以是從CTP 4010分發(fā)給主存CKG 4000的實(shí)體。一般而言，CKG 4000、CTP 4010或CSP 4020中的每個(gè)都可以根據(jù)給定實(shí)現(xiàn)被細(xì)分為子組件，然而總體分離被保留以維持信任。例如，諸如主公鑰(MPK)遞送4002、客戶端庫下載器4004、秘密密鑰提取器4006、信任驗(yàn)證器4008或者其他子組件之類的CKG實(shí)體4001可以按子集的形式分開地提供、或者作為集成組件一起提供。諸如用于編碼和解碼的客戶端應(yīng)用4012、備選的加密技術(shù)4014、用于與CKG對接的應(yīng)用4016、其他密碼構(gòu)件塊4018等等之類的CTP實(shí)體4011也可以按子集形式分開地提供或者一起提供。此外，可以認(rèn)為CSP4020是許多分開的服務(wù)提供者，如分別主存存儲服務(wù)4024和服務(wù)主存4028的CSP4022、4026，或者這樣的服務(wù)可以一起提供。能夠理解，由可信生態(tài)系統(tǒng)中的一個(gè)或多個(gè)參與者主存的CKG或CKG實(shí)例不需要是單個(gè)單片實(shí)體。更確切而言，CKG可以被分成多個(gè)(冗余)實(shí)體，這些實(shí)體協(xié)作以生成密鑰，使得操作即使在參與者的小子集離線的情況下仍然可以繼續(xù)。在一個(gè)實(shí)施例中，可任選地，參與者的集合即使在這些參與者的小子集已經(jīng)被對手損害或者以其他方式變?yōu)椴豢捎没虿皇苄湃螘r(shí)仍然可以整體上受到信任。圖41是示出了用于為企業(yè)4100執(zhí)行云服務(wù)的可信生態(tài)系統(tǒng)的其他好處的另一體系結(jié)構(gòu)圖。例如，企業(yè)4100可以包括不同組織4102、4104、4106、4108。該圖中的不同組織4102、4104、4106、4108示出了各組織可以采取相對于實(shí)現(xiàn)用于使用系統(tǒng)或密鑰生成的策略而言那樣多或那樣少的所有權(quán)。例如，組織4102實(shí)現(xiàn)其自己的策略4112，但是使用集中式密鑰生成器4122，而組織4104選擇實(shí)現(xiàn)其自己的密鑰生成器4124并且實(shí)現(xiàn)其自己的策略4114。組織4106也實(shí)現(xiàn)其自己的策略，但是依靠第三方CKG 4126，而組織4108選擇依靠第三方策略提供者4118和獨(dú)立CKG 4128。就此，為了發(fā)布數(shù)據(jù)，發(fā)布者4140基于來自CKG 4122的輸出獲得用于對數(shù)據(jù)進(jìn)行加密的公共參數(shù)4135。基于公共參數(shù)，數(shù)據(jù)在4145處由發(fā)布者設(shè)備4140使用獨(dú)立密碼技術(shù)提供者來加密。經(jīng)加密數(shù)據(jù)被上傳到存儲抽象服務(wù)4150，該存儲抽象服務(wù)4140隱藏與由諸如CSP 4172、4174、4176或4178之類的ー個(gè)或多個(gè)CSP 4170存儲經(jīng)加密數(shù)據(jù)相聯(lián)系的存儲語義。在訂閱者設(shè)備4160上，對數(shù)據(jù)的請求導(dǎo)致從CKG 4122生成私有秘密密鑰4165。私有秘密密鑰4165包括如下信息該信息使得訂閱者設(shè)備4160能夠通過在4155處對經(jīng)可搜索地加密的數(shù)據(jù)進(jìn)行解密來選擇性地訪問該數(shù)據(jù)。再次，從CSP 4170檢索數(shù)據(jù)的語義被存儲抽象服務(wù)4150隱藏。而且，被賦予給訂閱者設(shè)備4160的特權(quán)是由于由發(fā)布者/所有者所賦予的能力的后期綁定而產(chǎn)生的特權(quán)的當(dāng)前集合。從圖41中能夠理解，多個(gè)數(shù)據(jù)所有者(企業(yè)或消費(fèi)者)可以如在此所述的那樣參與可信生態(tài)系統(tǒng)以建立可信關(guān)系。在這種情況下，每個(gè)所有者都可以主存或控制其自己的CKG(例如組織4104的CKG 4124)，使得對數(shù)據(jù)的請求或查詢被轉(zhuǎn)發(fā)給相應(yīng)CKG以從所請求數(shù)據(jù)的所有共有者收集所需的密鑰。圖42是示出了通過存儲抽象層4210來適應(yīng)于不同存儲提供者的另ー框圖。對于該可信生態(tài)系統(tǒng)，分別具有客戶端應(yīng)用4240、4242的桌面4230、4232可以如上所述的那樣發(fā)布或訂閱數(shù)據(jù)，從而向密鑰生成中心4220發(fā)起對用于對數(shù)據(jù)進(jìn)行加密和解密的密鑰信息的請求。類似地，服務(wù)4244、4246、4248也可以是生態(tài)系統(tǒng)中的發(fā)布者和/或訂閱者。就此，為了由私有云存儲4200、SQL數(shù)據(jù)服務(wù)存儲4202、或簡單存儲web服務(wù)4204等等中的任一進(jìn)行存儲或提取，存儲抽象服務(wù)4210 (如名稱所隱含的那樣)抽象出關(guān)于遠(yuǎn)離客戶端的ー個(gè)或多個(gè)特定存儲庫的細(xì)節(jié)。就此，為免于疑惑，圖42針對多種情況。在一種情況下，圖42通過存儲抽象服務(wù)(有時(shí)亦稱計(jì)算和存儲抽象(CSA))涵蓋了存儲提供者(將其抽象為個(gè)體)的非居間化。另外，圖42涵蓋了如下場景數(shù)據(jù)被分割和/或扇出(例如為了冗余)為可以為相同或不同類型的多個(gè)后端存儲提供者的場景，使得原始數(shù)據(jù)即使在后端存儲提供者之一(或少數(shù))意外地或無意地刪除或改變其數(shù)據(jù)副本時(shí)仍然可以被重構(gòu)。圖43示出了與包括服務(wù)器操作系統(tǒng)(OS) 4314和存儲服務(wù)4312的存儲抽象服務(wù)4310相結(jié)合的存儲的其他方面，該存儲抽象服務(wù)4310抽象出私有云存儲4300、SQL數(shù)據(jù)存儲4302、簡單存儲web服務(wù)存儲4304等等的存儲細(xì)節(jié)?？蛻舳丝梢允欠謩e具有客戶端應(yīng)用4340和4342的桌面4350或4352。密鑰生成中心4320可以包括在服務(wù)器OS 4324上執(zhí)行的密鑰生成器應(yīng)用4322。就此，具有活動目錄4336、服務(wù)器OS 4334和安全令牌服務(wù)(STS)4332的組織4330可以是生態(tài)系統(tǒng)中的發(fā)布者或訂閱者。就此，存儲傳輸格式(STF)是標(biāo)準(zhǔn)交換格式，其可以用于在多個(gè)庫的范圍內(nèi)交換經(jīng)加密數(shù)據(jù)和元數(shù)據(jù)。例如，組織4330可能希望在存儲服務(wù)提供者4300、4302或4304之間傳輸電子郵件數(shù)據(jù)(在這種情況下可以使用STF )。圖44是示出了可信生態(tài)系統(tǒng)4420中的各個(gè)不同參與者的另ー框圖。如上所述，有利地，企業(yè)4400可以將數(shù)據(jù)量的存儲和維護(hù)從現(xiàn)場推卸給云存儲服務(wù)提供者，其中云存儲服務(wù)提供者更適于處理這樣的數(shù)據(jù)量，同時(shí)維持?jǐn)?shù)據(jù)將不會對錯誤的訂閱者解密的舒適性，因?yàn)槠髽I(yè)維持對針對經(jīng)加密數(shù)據(jù)所定義的能力的控制。例如，組織4402可以操作諸如Sharepoint之類的協(xié)作應(yīng)用4412。就此,組織4402可為sharepoint數(shù)據(jù)建立數(shù)字托管或者可信域。策略4432和CKG 4434可以由第一數(shù)據(jù)中心4430來實(shí)現(xiàn)，該第一數(shù)據(jù)中心4430用于通過為可信域定義密碼密鑰信息4445來建立安全空間。然后，例如擔(dān)當(dāng)發(fā)布者4414的另ー組織4404可以基于從CKG 4434獲得的密鑰信息對數(shù)據(jù)進(jìn)行加密，此時(shí)，第二數(shù)據(jù)中心4440的計(jì)算和存儲抽象組件4442處理在第三數(shù)據(jù)中心4450處(例如在CSP 4452中)存儲經(jīng)可搜索地加密的數(shù)據(jù)的細(xì)節(jié)。反過來，當(dāng)組織4404的訂閱者4416請求數(shù)據(jù)時(shí)，私有密鑰或秘密密鑰信息作為提取4465的一部分被遞送給訂閱者4416。接著,基于包括為訂閱者定義的能力的私鑰信息，由該訂閱者所請求的數(shù)據(jù)在4475被解密，其中假定該訂閱者具有特權(quán)，并且抽象層4442再次處理底層存儲4452的細(xì)節(jié)。圖45是可信云計(jì)算系統(tǒng)的示例性非限制性實(shí)現(xiàn)的一些層的代表性視圖，在該計(jì)算系統(tǒng)中，不同構(gòu)件可以由不同或相同實(shí)體來提供。在該層棧的底部是數(shù)學(xué)和密碼庫4586，其用于實(shí)現(xiàn)加密/解密算法?？梢蕴峁└鞣N密碼方案的定義的抽象作為細(xì)節(jié)庫4586與可搜索密碼方案4582的實(shí)際實(shí)現(xiàn)之間的中間層4584。層4582、4584和4586—起形成較大的密碼服務(wù)層4580，該密碼服務(wù)層4580在與抽象層4560組成軟件即服務(wù)(SaaS)應(yīng)用生態(tài)系統(tǒng)時(shí)形成實(shí)現(xiàn)可信數(shù)字托管4570及其存儲的基礎(chǔ)。抽象層4560包含用于實(shí)現(xiàn)數(shù)字托管模式的基本語言，即諸如SetUp 0 (設(shè)置)、Encrypt ()(加密)、Extract ()(提取)、Decrypt ()(解密)之類的命令。處于抽象層4560之上的是層4550，該層4550捆綁到各種更具體的平臺技術(shù)(例如SDS、Azure、Backup/Archive (備份/歸檔)、RMS、STS等等)中。處于捆綁到各種具體平臺技術(shù)中的層4550之上的是使用可信數(shù)字托管4500的各種SaaS應(yīng)用。該示例性的非限制性圖示示出了數(shù)字托管應(yīng)用4500可以由單個(gè)公司4510或由合作方4530或者由這二者來實(shí)現(xiàn)。例如，公司4510可以實(shí)現(xiàn)諸如下列服務(wù)高性能計(jì)算(HPC)、eDiscovery和合法發(fā)現(xiàn)4514、Live服務(wù)4516(例如DBox)、作為服務(wù)的備份/歸檔4518、審計(jì)日志——業(yè)務(wù)過程和監(jiān)控4520、或者其他云服務(wù)4522。合作方4530可實(shí)現(xiàn)諸如下列服務(wù)eLetterOfCredit4532、HPC即垂直面服務(wù)4534、eHealth服務(wù)、安全外聯(lián)網(wǎng)4538、順從4540、訴訟支持4542
坐坐寸寸o、
基于可信云服務(wù)生態(tài)系統(tǒng)的場景由于密鑰生成器、密碼提供者和云服務(wù)提供者的分離所固有的増加的信任，以及本文所述的其他技術(shù)，可在云中實(shí)現(xiàn)任何類型的應(yīng)用。就此，在已經(jīng)實(shí)現(xiàn)了這樣可信云服務(wù)生態(tài)系統(tǒng)的情況下，可以實(shí)現(xiàn)豐富的服務(wù)和場景的集合，這些服務(wù)和場景利用在此所述的可信生態(tài)系統(tǒng)的ー個(gè)或多個(gè)好處。例如，圖46是ー個(gè)示例性非限制性過程的流程圖，該過程用于以利用上述后期綁定向發(fā)布者提供對數(shù)據(jù)的受控選擇性訪問的方式來向數(shù)字保險(xiǎn)箱應(yīng)用發(fā)布文檔。在4600，對設(shè)備進(jìn)行認(rèn)證(例如設(shè)備用用戶名和ロ令、ロ令憑證、生物測定憑證、Live ID憑證等等登錄)。在4610，上傳文檔并輸入標(biāo)簽。在4620，標(biāo)簽被發(fā)送給托管代理，并且作為響應(yīng)，從托管代理接收經(jīng)散列的標(biāo)簽。就此，所述標(biāo)簽可以如所提到的那樣來提供，或者可替代地可以通過全文索引來自動地從凈荷(記錄、文檔)中提取。在4630，客戶端利用發(fā)布者的密鑰信息對文檔進(jìn)行加密，并且所述文檔與訂閱者相對于這些文檔的能力一起被發(fā)送給安全數(shù)字云存儲提供者。在4640，安全數(shù)字云存儲提供者例如將經(jīng)加密的團(tuán)塊(blob)發(fā)送給存儲服務(wù)(例如相對于存儲抽象層)。圖47是用于訂閱置于數(shù)字保險(xiǎn)箱中的材料的示例性、非限制性過程的流程圖。在4700，訂閱者被認(rèn)證，并且客戶端設(shè)備將標(biāo)簽發(fā)送給托管代理，該托管代理在4710作為響應(yīng)發(fā)回經(jīng)散列的標(biāo)簽。然后，客戶端在4720將經(jīng)散列的標(biāo)簽發(fā)送給數(shù)字保險(xiǎn)箱服務(wù)，并且經(jīng)散列的標(biāo)簽被解釋以了解在4730，該客戶端是否有權(quán)讓其搜索請求全部或部分地由存儲服務(wù)來執(zhí)行。圖48示出了使用數(shù)字托管模式來通過ー個(gè)或多個(gè)數(shù)據(jù)中心為企業(yè)實(shí)現(xiàn)安全外聯(lián)網(wǎng)的可信云服務(wù)的示例性、非限制性的實(shí)現(xiàn)。如所提到的那樣，可信計(jì)算生態(tài)系統(tǒng)可以包括密鑰生成中心4800，該密鑰生成中心4800與密碼技術(shù)提供者(CTPM810分開實(shí)現(xiàn)，該密碼技術(shù)提供者4810提供參考實(shí)現(xiàn)以供用于實(shí)現(xiàn)與生態(tài)系統(tǒng)一致的同一個(gè)或多個(gè)云服務(wù)提供者(CSPM820分開實(shí)現(xiàn)的密碼技木。在安全外聯(lián)網(wǎng)的示例性非限制性的實(shí)現(xiàn)中，4880示出了企業(yè)維護(hù)共享儲存庫4870 (例如SharePoint)和設(shè)計(jì)或分析應(yīng)用的儲存庫4860以供與共享儲存庫4870中的文檔結(jié)合使用。商業(yè)軟件4840 (例如Sentinel)可以監(jiān)控具有桌面4850的計(jì)算機(jī)的應(yīng)用或服務(wù)器性能等等。就此，在可信云服務(wù)生態(tài)系統(tǒng)中，當(dāng)使用桌面4850的訂閱者從存儲中尋求可以選擇性地訪問并且被加密的信息時(shí)，安全令牌服務(wù)4830可以遞送某些信息以標(biāo)識出訂閱者4882，并且CKG 4800可以通過第一數(shù)據(jù)中心的CKG層4802的接ロ被咨詢，如4884所示。CKG 4800返回密鑰信息，然后，該密鑰信息如4886所示的那樣可以用于通過存儲抽象服務(wù)4822選擇性地訪問由數(shù)據(jù)服務(wù)4824所持有的數(shù)據(jù)。因此，任何類型的數(shù)據(jù)都可以在企業(yè)的范圍內(nèi)根據(jù)企業(yè)中的訂閱者的角色來選擇性地共享。圖49是示出了基于可信云服務(wù)生態(tài)系統(tǒng)的另一示例性非限制性場景的流程圖，在該生態(tài)系統(tǒng)中，給訂閱者提供對由例如企業(yè)內(nèi)的CSP存儲的經(jīng)加密數(shù)據(jù)的選擇性訪問。最初，訂閱者設(shè)備還未獲取訪問經(jīng)加密數(shù)據(jù)的特權(quán)。然而，通過在4900例如通過與應(yīng)用交互來作出對ー些或全部經(jīng)加密數(shù)據(jù)的請求，該應(yīng)用自動地與對應(yīng)STS通信以用于在4910獲得聲明(密碼學(xué)中的用語)。在4920，該應(yīng)用與CKG通信以獲得密鑰信息，該密鑰信息編碼有關(guān)于訂閱者的能力的信息(能力有時(shí)在密碼學(xué)的用語中被稱為陷門，但是術(shù)語“能力”不限于通常出現(xiàn)術(shù)語“陷門”的上下文)。最后，該應(yīng)用在4930將密鑰信息提供給CSP，CSP允許以訂閱者能力所允許的程度來對經(jīng)加密的數(shù)據(jù)進(jìn)行捜索或查詢。圖50是示出了可以基于登錄信息來為訂閱者定制應(yīng)用響應(yīng)的另一流程圖。例如，在5000，用戶ID信息被應(yīng)用接收。在5010，應(yīng)用從STS獲得相關(guān)聲明。在5020，基于用戶充當(dāng)?shù)呐c用戶ID信息相關(guān)聯(lián)的ー個(gè)或多個(gè)角色，體驗(yàn)可以被定制為與這些角色的特權(quán)/約束相稱。例如，向公司的首席財(cái)務(wù)官呈現(xiàn)的作為公司的經(jīng)加密數(shù)據(jù)的視圖的用戶體驗(yàn)可以并且應(yīng)當(dāng)是與提供給郵件室雇員的公司經(jīng)加密數(shù)據(jù)的視圖不同的用戶體驗(yàn)。圖50可以適用于單方或多方登錄場景。圖51是示出了安全記錄上傳場景的另一流程圖，該場景可以針對單方或多方來實(shí)現(xiàn)。在5100，記錄和關(guān)鍵詞被應(yīng)用接收，其例如是由具有該應(yīng)用的設(shè)備的用戶提供或指定的。在5110，應(yīng)用獲得主公鑰(MPK)并且應(yīng)用公鑰加密關(guān)鍵詞可搜索(PEKS)算法。該應(yīng)用可以可任選地將MPK高速緩存。在5120，該應(yīng)用例如通過存儲抽象層將經(jīng)加密的記錄輸入到CSP儲存庫中。圖52是示出了對經(jīng)可捜索地加密數(shù)據(jù)存儲進(jìn)行基于角色查詢的示例性、非限制性的另一流程圖，該數(shù)據(jù)存儲由可信云服務(wù)生態(tài)系統(tǒng)來實(shí)現(xiàn)，例如以供由單方進(jìn)行自動搜索。在5200，應(yīng)用接收或發(fā)起聯(lián)合查詢。在5210，應(yīng)用從STS獲得相關(guān)聲明。例如，STS將用戶的角色映射到合適的查詢組，并且返回給定角色的合法查詢集合。在5220，應(yīng)用提交經(jīng)過濾的聲明和查詢，使得可以有效地提交對應(yīng)于該查詢的聲明、而不是所有的聲明?？扇芜x地，CKG將陷門聲明返回給應(yīng)用(或者拒絕該聲明)。在5230，該應(yīng)用對遠(yuǎn)程索引執(zhí)行陷門聲明?；趯h(yuǎn)程索引的處理，結(jié)果可以被應(yīng)用接收，并且通過該應(yīng)用例如基于用戶角色使用定制呈現(xiàn)來將結(jié)果呈現(xiàn)給用戶。圖53是示出了多方協(xié)作場景的流程圖，在該場景中，企業(yè)向外部企業(yè)提供對其經(jīng)加密數(shù)據(jù)中的一些的訪問。例如，制造商可以給供應(yīng)商賦予對其存儲在可信云中的數(shù)據(jù)的訪問，并且反之亦然。就此，在5300，企業(yè)2的STS被指定為資源提供者，并且企業(yè)I的應(yīng)用繼續(xù)進(jìn)行以獲得用于對云中的資源提供者所提供的資源進(jìn)行訪問的聲明。在5310，企業(yè)I的STS被指定為身份提供者。就此，應(yīng)用為由企業(yè)I處的訂閱者所定義的角色或角色集合獲得聲明，這由身份提供者來促進(jìn)。在5320，應(yīng)用基于由企業(yè)2控制的可許可資源以及基于由訂閱實(shí)體所定義的許可/能力來檢索聲明。在圖53中，盡管僅僅描繪了ー個(gè)STS，但是應(yīng)當(dāng)注意，在數(shù)字托管或聯(lián)合信任覆蓋中可以存在多個(gè)身份提供者STS和/或多個(gè)資源提供者 STS。圖54是示出了例如諸如企業(yè)I和企業(yè)2之類的多個(gè)企業(yè)間的多方自動搜索場景的流程圖。在5400，企業(yè)I的應(yīng)用接收或發(fā)起聯(lián)合查詢以供執(zhí)行。在5410，應(yīng)用從資源提供者(企業(yè)2)的STS獲得相關(guān)聲明。可任選地，該資源提供者可以在組織標(biāo)簽中指定。STS可以可任選地執(zhí)行用戶角色到查詢組的映射，使得返回針對該用戶角色的合法查詢集合。在5420，應(yīng)用基于該用戶角色提交經(jīng)過濾的聲明和查詢，使得可以有效地提交對應(yīng)于該查詢的聲明、而不是所有的聲明?？扇芜x地，CKG將能力返回給應(yīng)用(例如陷門聲明)，或者CKG拒絕該聲明。在5440，該應(yīng)用對遠(yuǎn)程索引執(zhí)行陷門聲明?；趯h(yuǎn)程索引的處理，結(jié)果可以被應(yīng)用接收，并且通過該應(yīng)用例如基于用戶角色使用定制呈現(xiàn)來將結(jié)果呈現(xiàn)給用戶。該方法可包括接收聯(lián)合查詢或以其他方式發(fā)起聯(lián)合查詢的步驟。就此，可任選地，聯(lián)合查詢也可以被密碼保護(hù)，使得沒有陷門(或能力)的接收者(客戶端或服務(wù)提供者)可以分解聯(lián)合查詢并且確定其組成部分。圖55示出了可以針對可信云服務(wù)實(shí)現(xiàn)的示例性、非限制性的邊緣計(jì)算網(wǎng)絡(luò)(ECN)技術(shù)。就此，結(jié)合彼此獨(dú)立操作的可信云組件給多個(gè)動態(tài)計(jì)算節(jié)點(diǎn)5570、5572、5574、5576動態(tài)地分配計(jì)算帶寬。例如，密鑰生成中心5520、存儲抽象服務(wù)5510、組織5530和組織5540可以如所示那樣被實(shí)現(xiàn)為涵蓋多組織業(yè)務(wù)或諸如上述場景之類的其他場景。密鑰生成中心5520包括密鑰生成器5522和服務(wù)器OS 5524。存儲抽象服務(wù)5510包括存儲服務(wù)組件5512和服務(wù)器OS 5514。組織5530包括STS 5532,AD 5536和服務(wù)器OS 5534。組織5540包括STS 5542、AD 5546和服務(wù)器OS 5544。服務(wù)器 OS 5514、5524、5534、5544協(xié)作以跨各服務(wù)器來實(shí)現(xiàn)ECN。任何存儲提供者或抽象5502都可以用于存儲數(shù)據(jù)，例如可以使用SQL數(shù)據(jù)服務(wù)。以此方式，一個(gè)或多個(gè)桌面5550、5552可以分別通過客戶端應(yīng)用5560、5562發(fā)布或訂閱數(shù)據(jù)。圖56是示出了根據(jù)可信云服務(wù)生態(tài)系統(tǒng)的密鑰生成中心5610的一個(gè)或多個(gè)任選方面的框圖。最初，諸如桌面5660、5662和相應(yīng)的客戶端應(yīng)用5670、5672或者服務(wù)或服務(wù)器5674、5676、5678等等之類的計(jì)算設(shè)備的集合是云內(nèi)容遞送網(wǎng)絡(luò)5650的潛在發(fā)布者和/或訂閱者。然而，在滿足來自該計(jì)算設(shè)備集合中的任何計(jì)算設(shè)備的請求以前，密鑰生成中心最初為了獲得發(fā)布者的信任而充當(dāng)保管者，該密鑰生成中心基于公鑰對數(shù)據(jù)進(jìn)行加密并且基于數(shù)據(jù)訂閱者的能力向其發(fā)放私鑰。在示例性的非限制性的交互中，來自計(jì)算設(shè)備的請求最初被供應(yīng)5600，并且CKG5610的主存者在5680向CKGエ廠5602請求CKG 5610的實(shí)例。接著，在5682進(jìn)行用戶認(rèn)證5604。接著，任何基于使用的計(jì)費(fèi)5684可以由計(jì)費(fèi)系統(tǒng)5606應(yīng)用以供CKGエ廠5602使用。接著，租賃CKG在5686被CKGエ廠5602具體化，其可以包括MPK遞送組件5612、客戶端庫下載器5614、秘密密鑰提取器5616和信任確認(rèn)器/驗(yàn)證器5618。MPK遞送組件5612在5688將MPK遞送給CDN 5650?？蛻舳藥煜螺d器5614將密碼庫下載到作出請求的客戶端，這些密碼庫可以與要發(fā)布的數(shù)據(jù)的加密或者該設(shè)備訂閱的數(shù)據(jù)的解密結(jié)合使用。接著，客戶端基于從與信任驗(yàn)證器5618協(xié)作的秘密密鑰提取器5616所接收的密鑰信息來作出提取給定文檔集合的請求，該信任驗(yàn)證器5618可以基于在5694驗(yàn)證訂閱者的STS拇指紋、例如基于與該請求所涉及的組織的不同STS 5620、5622、5624、5626進(jìn)行通信來確認(rèn)訂閱者具有某些能力。如在其他實(shí)施例中，可以提供存儲抽象服務(wù)5640來抽象數(shù)據(jù)庫服務(wù)5630 (例如SQL)的存儲細(xì)節(jié)。圖57是與網(wǎng)絡(luò)服務(wù)5700的遞送相結(jié)合的可信存儲5700的示例性非限制性的框圖，該可信存儲5700包括具有確認(rèn)和/或驗(yàn)證的經(jīng)可搜索地加密的數(shù)據(jù)5720。在該實(shí)施例中，訂閱者5740或訂閱者5740所使用的應(yīng)用可以作為訪問經(jīng)加密存儲5700的某些部分的請求的一部分來請求對針對上述請求返回的項(xiàng)進(jìn)行確認(rèn)證明，以確認(rèn)實(shí)際接收的項(xiàng)也是本應(yīng)當(dāng)接收的項(xiàng)。就此，圖57示出了可捜索加密技術(shù)與確認(rèn)技術(shù)的組合。可任選地，該系統(tǒng)還可以與基于聲明的身份和訪問管理相集成，這在此處的其他實(shí)施例中予以描述。就此，如在此處的各個(gè)實(shí)施例中所描述的那樣，亦稱聯(lián)合信任覆蓋的數(shù)字托管模式可以無縫地與更傳統(tǒng)的基于聲明的認(rèn)證系統(tǒng)相集成。在圖57中，可信數(shù)據(jù)存儲5700或服務(wù)提供者或數(shù)據(jù)存儲的主存者執(zhí)行證明步驟，而數(shù)據(jù)的所有者(例如訂閱者設(shè)備)執(zhí)行確認(rèn)。數(shù)據(jù)存儲5700是可信的，因?yàn)橛脩艨梢韵嘈牌涮峁?qiáng)力的保證，但是能夠理解，物理實(shí)體實(shí)際上主存該數(shù)據(jù)，并且一些參與者不是完全可信的。圖58是用于訂閱的包括確認(rèn)步驟的示例性、非限制性過程的流程圖。在5800，經(jīng)可搜索地加密的數(shù)據(jù)的子集被從訂閱者設(shè)備接收。在5810，密碼密鑰信息被從密鑰生成實(shí)例中生成，該密鑰生成實(shí)例基于訂閱者設(shè)備的身份信息來生成該密碼密鑰信息。在5820，根據(jù)在密碼密鑰信息中所定義的賦予給該訂閱者設(shè)備的能力，經(jīng)加密數(shù)據(jù)的子集被解密。在5830，該子集中表示的項(xiàng)可以被確認(rèn)(例如數(shù)據(jù)擁有證明)，并且數(shù)據(jù)在5840被訪問。在許多情況下，能夠在不需要對經(jīng)加密數(shù)據(jù)進(jìn)行解密的情況下對經(jīng)加密數(shù)據(jù)執(zhí)行PDP/P0R是合乎需要的?？扇芜x地，PDP所需的密鑰信息可以被編碼在曾用可搜索加密被保護(hù)的元數(shù)據(jù)之內(nèi)。盡管這是管理用于HF/POR的密鑰的有效方式，但是應(yīng)當(dāng)注意，存在許多高價(jià)值的場景，在這些場景中，可以在不需要訪問明文內(nèi)容的情況下對經(jīng)加密數(shù)據(jù)執(zhí)行PDP/P0R。圖59示出了示例性、非限制性的確認(rèn)質(zhì)詢/響應(yīng)協(xié)議，其中驗(yàn)證者5900 (例如數(shù)據(jù)所有者)向證明者5910 (例如數(shù)據(jù)服務(wù)提供者)發(fā)出密碼質(zhì)詢5920。在接收到質(zhì)詢5920以后，證明者5910根據(jù)數(shù)據(jù)和質(zhì)詢來計(jì)算響應(yīng)5912。然后,質(zhì)詢響應(yīng)5930被返回給驗(yàn)證者5900，該驗(yàn)證者5900然后執(zhí)行計(jì)算以驗(yàn)證或證明該數(shù)據(jù)未曾被修改過5902。在圖59中總體上示出的確認(rèn)被稱為私有H)P，但是應(yīng)當(dāng)注意，還存在“公共”版本，其中給第三方提供密鑰(“公”鑰)使得第三方充當(dāng)根據(jù)類似協(xié)議的驗(yàn)證者，而不必去了解實(shí)際數(shù)據(jù)。POR (即驗(yàn)證的ー個(gè)示例)與PDP不同，其中PDP提供數(shù)據(jù)是可檢索的證明(無論任何破壞/修改與否)，但是如下在圖30中所示，基本協(xié)議是相同的，但是文檔的結(jié)構(gòu)和實(shí)際算法是不同的。此處的可信生態(tài)系統(tǒng)的各個(gè)實(shí)施方式組合可捜索加密和P0R/TOR以使系統(tǒng)受益并且鞏固信任。就此，在將數(shù)據(jù)提交給服務(wù)提供者以前，數(shù)據(jù)被可捜索地加密，并且對數(shù)據(jù)的后處理可以包括POR和/或rop。另外，如果需要提供更カ的保證，則“數(shù)據(jù)分散”技術(shù)可以可任選地覆蓋到上述任何一個(gè)或多個(gè)實(shí)施例中。利用數(shù)據(jù)分散，數(shù)據(jù)被分發(fā)給若干服務(wù)提供者以獲得對抗任何單個(gè)服務(wù)提供者中的“大規(guī)模不良行為”或者災(zāi)難性損失的回復(fù)力。使用在此所示的信任機(jī)制，該分散以使得獨(dú)立服務(wù)提供者難以串通和破壞數(shù)據(jù)的方式來執(zhí)行。這類似于上述分布式CKG實(shí)施例的概念。圖60是與用于來自發(fā)布者2530的數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)2520的遞送相結(jié)合的可信存儲2500的另ー示例性非限制性的框圖，該可信存儲2500包括具有確認(rèn)和/或驗(yàn)證的經(jīng)可搜索地加密的數(shù)據(jù)2510。具體而言，圖60示出了驗(yàn)證組件6050，其用于驗(yàn)證返回給訂閱者2540的項(xiàng)未被篡改或者未以其他方式被不經(jīng)意地改變。上述PDP是驗(yàn)證的非限制性示例。圖61是用于訂閱的包括確認(rèn)步驟的示例性、非限制性過程的流程圖。在6100，經(jīng)可捜索地加密的數(shù)據(jù)的子集被從訂閱者設(shè)備接收。在6110，密碼密鑰信息被從密鑰生成實(shí)例中生成，該密鑰生成實(shí)例基于訂閱者設(shè)備的身份信息來生成該密碼密鑰信息。在6120，根據(jù)在密碼密鑰信息中所定義的賦予給該訂閱者設(shè)備的能力，經(jīng)加密數(shù)據(jù)的子集被解密。在6130，該子集中表示的項(xiàng)的內(nèi)容可以被驗(yàn)證(例如可恢復(fù)性證明)，并且數(shù)據(jù)在6140被訪問。圖62示出了示例性、非限制性的驗(yàn)證質(zhì)詢/響應(yīng)協(xié)議，其中驗(yàn)證者6200 (例如數(shù)據(jù)所有者)向證明者6210 (例如數(shù)據(jù)服務(wù)提供者)發(fā)出密碼質(zhì)詢6220。在接收到質(zhì)詢6220以后，證明者6210根據(jù)數(shù)據(jù)和質(zhì)詢來計(jì)算響應(yīng)6212。然后,質(zhì)詢響應(yīng)6230被返回給驗(yàn)證者6200，該驗(yàn)證者6202然后執(zhí)行計(jì)算以驗(yàn)證或證明該數(shù)據(jù)是可恢復(fù)的6202。盲指紋表示對網(wǎng)絡(luò)去重復(fù)技術(shù)(諸如Rabin指紋)進(jìn)行擴(kuò)展的另一類密碼技木，網(wǎng)絡(luò)去重復(fù)技術(shù)通常用于最小化網(wǎng)絡(luò)上的冗余數(shù)據(jù)交換。在本文的各實(shí)施例中，應(yīng)用指紋化以使得該協(xié)議中的參與者(例如，在數(shù)據(jù)存儲的情況下是CSP)不知曉它們正在主存的數(shù)據(jù)的實(shí)際內(nèi)容。對于關(guān)于盲指紋的某些附加上下文，跨越廣域網(wǎng)(WAN)的任何大型數(shù)據(jù)交換(包括數(shù)據(jù)的維護(hù))將需要用于在線上進(jìn)行“去重復(fù)”的技術(shù)，或者確保非必要數(shù)據(jù)不通過線來發(fā)送。通過將數(shù)據(jù)的片段指紋化，井隨后交換指紋以使得發(fā)送者知曉它們具有而接收者所不具有的東西，來實(shí)現(xiàn)這一點(diǎn)。而且，接收者知曉它們需要向發(fā)送者索要什么數(shù)據(jù)?？墒褂梅植际轿募?wù)重復(fù)(DFS-R)來優(yōu)化各場景中的數(shù)據(jù)交換，諸如通過WAN的分公司備份和分布式文件系統(tǒng)。在Exchange的情況下，存在大量數(shù)據(jù)重復(fù)，并且在任何給定時(shí)間在線上的可能多達(dá)50%或者更多的數(shù)據(jù)可能是重復(fù)的?？稍趬K等級或在對象等級(例如，電子郵件、日歷項(xiàng)、任務(wù)、聯(lián)系人等)獲得指紋。可在主和次數(shù)據(jù)中心處高速緩存指紋。因此，如果在主數(shù)據(jù)中心處存在故障，則次數(shù)據(jù)連同指紋可被還原到主數(shù)據(jù)中心。主數(shù)據(jù)中心處的數(shù)據(jù)的加密仍應(yīng)允許指紋對次數(shù)據(jù)中心操作者可見，盡管是被模糊化的。例如，這可以通過用可捜索加密將指紋存儲為關(guān)鍵詞/元數(shù)據(jù)來實(shí)現(xiàn)，以使得除了次數(shù)據(jù)中心中的經(jīng)授權(quán)實(shí)體/代理外，其他實(shí)體均不能夠檢測到模式。在數(shù)據(jù)服務(wù)的上下文中，當(dāng)發(fā)送全文或增量時(shí)，主數(shù)據(jù)中心可檢查日志或EDB中的每個(gè)項(xiàng)/片段/塊，并咨詢指紋的本地副本。如果存在匹配，則該主數(shù)據(jù)中心用該指紋取代該項(xiàng)/片段/塊。術(shù)語“盲指紋”在本文中被如此稱呼是因?yàn)閼?yīng)用指紋化的方式。在一個(gè)實(shí)施例中，用來實(shí)現(xiàn)盲指紋化的密碼技術(shù)選擇包括大小保留密碼技木。圖63是用于提供服務(wù)(包括盲指紋化)的一個(gè)或多個(gè)實(shí)施例的總體環(huán)境的框圖。使用盲指紋，數(shù)據(jù)訂閱者6300和數(shù)據(jù)服務(wù)提供者6310經(jīng)歷指紋交換以作為代理來理解在被備份的數(shù)據(jù)集的各本地和備份副本上已經(jīng)擁有什么數(shù)據(jù)片段。作為指紋交換6320的結(jié)果，在6302確定要傳送的修改數(shù)據(jù)的減少集合作為到數(shù)據(jù)服務(wù)提供者6310的經(jīng)去重復(fù)的修改數(shù)據(jù)6330，數(shù)據(jù)服務(wù)提供者6310然后基于選擇性地訪問經(jīng)去重復(fù)的修改數(shù)據(jù)和任何盲指紋6340來應(yīng)用修改數(shù)據(jù)。圖64是示出了非限制性場景的框圖，在該場景中，多個(gè)獨(dú)立的聯(lián)合信任覆蓋或者數(shù)字托管可以并排存在，或者針對分層方式彼此相疊地存在。在該場景中，存在具有經(jīng)可搜索地加密的數(shù)據(jù)6410的可信數(shù)據(jù)存儲6400，各種網(wǎng)絡(luò)服務(wù)6420可以基于該數(shù)據(jù)6410。例如，網(wǎng)絡(luò)服務(wù)6420可以包括遞送文字處理軟件來作為云服務(wù)。作為地理分布等的一部分，可任選地，可以提供多個(gè)覆蓋/托管6432、6434、6436，這些覆蓋/托管各自被調(diào)節(jié)到不同的應(yīng)用/垂直面/順從需求/主權(quán)實(shí)體要求，使得發(fā)布者2530或訂閱者6450基于ー組要求或管轄區(qū)/住所區(qū)域來隱式或顯式地選擇要參與的正確的覆蓋/托管。因此，該覆蓋可以改變，但是來自云的后端服務(wù)可以保持不變，而不必使核心服務(wù)本身的遞送復(fù)雜化。圖65是可信存儲的另ー示例性、非限制性實(shí)施例的框圖，該可信存儲包括用于針對非授權(quán)訪問模糊化數(shù)據(jù)的數(shù)據(jù)分發(fā)技木。本示例示出了提供加密技術(shù)作為用于隱藏或模糊化數(shù)據(jù)的手段的所有上述技術(shù)或系統(tǒng)也可通過阻止對數(shù)據(jù)(或元數(shù)據(jù))的可見性的任何其他數(shù)學(xué)變換或算法來實(shí)現(xiàn)。就此，例如，可跨一組數(shù)據(jù)存儲來自動地整合或分發(fā)數(shù)據(jù)，該組數(shù)據(jù)存儲可以是相同類型的容器，或如圖65所示是不同類型的容器6512、6514、……、6516。因此該系統(tǒng)包括數(shù)據(jù)存儲6500，該數(shù)據(jù)存儲包括(作為抽象)用于存儲了選擇性訪問的數(shù)據(jù)或元數(shù)據(jù)6510的數(shù)據(jù)存儲6512、6514、……、6516。發(fā)布者可將表示至少ー個(gè)資源的數(shù)據(jù)或元數(shù)據(jù)6510發(fā)布到數(shù)據(jù)存儲6500，并且第一獨(dú)立實(shí)體6550執(zhí)行可應(yīng)用于如所發(fā)布的該數(shù)據(jù)和元數(shù)據(jù)的訪問信息的生成，并且第二獨(dú)立實(shí)體6560分發(fā)該數(shù)據(jù)和元數(shù)據(jù)，如跨數(shù)據(jù)存儲6500的ー組數(shù)據(jù)存儲來發(fā)布，同時(shí)維護(hù)對存儲所發(fā)布的數(shù)據(jù)或元數(shù)據(jù)的該組數(shù)據(jù)存儲的知識。因此，這一知識是在無訪問信息的情況下不能被掲示的秘密?？山?jīng)由網(wǎng)絡(luò)服務(wù)6520發(fā)布數(shù)據(jù)或元數(shù)據(jù)6510，該網(wǎng)絡(luò)服務(wù)6520基于由該至少ー個(gè)資源的發(fā)布者或所有者所授予的并由訪問信息表示的所選擇的后期綁定特權(quán)來向?qū)υ摼W(wǎng)絡(luò)服務(wù)的給定請求提供對所發(fā)布的數(shù)據(jù)或元數(shù)據(jù)的選擇性訪問。該數(shù)據(jù)存儲6500包括相同或不同容器類型的多個(gè)容器，而所發(fā)布的數(shù)據(jù)或元數(shù)據(jù)被跨越該多個(gè)容器中的至少ー個(gè)容器來自動分布。該分布可基于數(shù)據(jù)分發(fā)者6560已知的任何算法，例如，基于對由多個(gè)容器所表示的存儲資源的實(shí)時(shí)分析、基于該數(shù)據(jù)或元數(shù)據(jù)的特征、或適用于給定應(yīng)用的任何其他參數(shù)。以此，當(dāng)訂閱者6540作出對數(shù)據(jù)或元數(shù)據(jù)6510的請求吋，網(wǎng)絡(luò)服務(wù)咨詢獨(dú)立實(shí)體6550和/或6560以確定是否準(zhǔn)許訂閱者6540具有允許重組該數(shù)據(jù)的訪問信息。例如，數(shù)據(jù)地圖可以是準(zhǔn)許該數(shù)據(jù)的重組的秘密。可將此實(shí)施例與其他數(shù)學(xué)變換(諸如加密)相組合以提供對該數(shù)據(jù)的附加保護(hù)。這種附加數(shù)學(xué)變換可由進(jìn)ー步的獨(dú)立實(shí)體監(jiān)瞀以用于對信任進(jìn)行附加分發(fā)以進(jìn)一步滿足以下該數(shù)據(jù)除對授權(quán)方外保持不可見。在此描述了多種示例性、非限制性的實(shí)施例，這些實(shí)施例示出了可信數(shù)據(jù)服務(wù)的遞送。這些實(shí)施例不是獨(dú)立的，而是可以在合適時(shí)彼此組合。另外，任何上述實(shí)施例都可以被擴(kuò)展為多個(gè)可替代方式。例如，在一個(gè)實(shí)施例中，可信數(shù)據(jù)服務(wù)提供陷門或能力的到期和撤消，以獲得數(shù)據(jù)訪問的更大程度的安全性。在另一任選實(shí)施例中，權(quán)限管理層被構(gòu)建到可信數(shù)據(jù)服務(wù)的供應(yīng)中，例如以保留作為加密/解密的一部分而附加于內(nèi)容的權(quán)限或者以阻止在數(shù)據(jù)托管中對受版權(quán)保護(hù)的數(shù)據(jù)的動作，這些動作在明文中是更容易地識別或檢測的。因此，在本發(fā)明的范圍內(nèi)可以構(gòu)思在此所述的實(shí)施例的任何組合或置換。示例性、非限制性實(shí)現(xiàn)數(shù)字托管模式的任何示例性實(shí)現(xiàn)被稱為聯(lián)合信任覆蓋(FT0)。在附錄A中附有關(guān)于FTP實(shí)現(xiàn)的一些附加的非限制性細(xì)節(jié)。就此而言，數(shù)字托管模式僅僅是許多可能的模式和變型方案的ー個(gè)示例。此外，該模式(其包括發(fā)布者、訂閱者、管理員和審計(jì)者——以及可能地包括上文所述其他專用角色)在另ー底層FTO模式上形成ー層，該底層FTO模式執(zhí)行CTP、CSP、CKG等等的“教會和州(church & state)”分離以維持信任。也可以存在多個(gè)獨(dú)立FTO和DEP，其可以在彼此不干涉并且甚至不知道彼此的存在的情況下共存。而且，可以在云存儲服務(wù)提供者不協(xié)作或者甚至不了解這些模式/覆蓋的存在的情況下在云存儲上覆蓋DEP和FT0。
更詳細(xì)而言，F(xiàn)TO是獨(dú)立于云中數(shù)據(jù)服務(wù)的服務(wù)集合。這些服務(wù)由數(shù)據(jù)服務(wù)的運(yùn)營商以外的多方來運(yùn)行，并且能夠提供關(guān)于針對由云服務(wù)主存的數(shù)據(jù)的機(jī)密性、篡改檢測和不可抵賴性的強(qiáng)力保證。
任何合作方都可以構(gòu)造和主存這些覆蓋服務(wù)，例如居間程序服務(wù)、確認(rèn)服務(wù)、存儲抽象服務(wù)等等。這些合作方可以選擇主存ー參考實(shí)現(xiàn)或者基于公開可用的格式和協(xié)議來構(gòu)造其自己的實(shí)現(xiàn)。由于格式、協(xié)議和參考實(shí)現(xiàn)的公開性質(zhì)，維持諸如FTO的運(yùn)營商和數(shù)據(jù)所有者之類的多方間的控制的分離可以是直接的。盡管加密是該解決方案的ー個(gè)元素，但是在不同方的范圍內(nèi)聯(lián)合的服務(wù)的組織也是該解決方案的一部分。盡管常規(guī)的加密技術(shù)對于許多場景而言是強(qiáng)制性的，但是它們排除了實(shí)現(xiàn)這些場景中的許多場景，比如篡改檢測、不可抵賴性、通過組織多個(gè)(不受信任)的服務(wù)構(gòu)建信任、捜索數(shù)據(jù)庫等等。補(bǔ)充上下文如上所述，對于某些附加的非限制性上下文而言，可信的一組云供應(yīng)為構(gòu)建于信任之上的云啟用了應(yīng)用生態(tài)系統(tǒng)。在此所使用的各種技術(shù)包括CKG——密鑰生成中心，一種實(shí)體，其主存多承租人密鑰生成中心，例如Microsoft、VeriSign、Fidelity (保真度)、ASovereign Entity (主權(quán)實(shí)體)、Enterprise (企業(yè))、Compliance Entity (順從實(shí)體)等中的任一都可以主存CKG。就此而言，多承租人是任選的(例如合乎需要但不是強(qiáng)制性的)。其他術(shù)語包括CTP——密碼技術(shù)提供者，ー種實(shí)體，其提供加密技術(shù)以供與可信生態(tài)系統(tǒng)一起使用，例如 Symantec、Certicom、Voltage> PGP 公司、BitArmor、Enterprise、Guardian(保管者)、Sovereign Entity等等中的任一個(gè)都是可以作為CTP的示例公司。另外，術(shù)語“CSP”——云服務(wù)提供者是提供包括存儲在內(nèi)的云服務(wù)的實(shí)體。各種公司可以提供這樣的數(shù)據(jù)服務(wù)。CIV—云索引確認(rèn)器是用于確認(rèn)所返回的索引的第二儲存庫。CSA——計(jì)算和存儲抽象對存儲后端進(jìn)行抽象。STF——存儲傳輸格式是用于跨多個(gè)儲存庫來傳輸數(shù)據(jù)/元數(shù)據(jù)的通用格式。就此，如上所述，ー些企業(yè)場景包括使用數(shù)據(jù)服務(wù)技術(shù)或應(yīng)用的外聯(lián)網(wǎng)工程；設(shè)計(jì)和工程分析；定義制造商和供應(yīng)商間的數(shù)據(jù)關(guān)系等等。因此，通過將信任分布在多個(gè)實(shí)體的范圍內(nèi)使得不存在‘過分’受信任的實(shí)體或單點(diǎn)損害來為全部多個(gè)場景實(shí)現(xiàn)了唯一的生態(tài)系統(tǒng)。對于關(guān)于可搜索加密的某些補(bǔ)充上下文而言，用戶通常具有或獲得針對關(guān)鍵詞的‘能力’或‘陷門’，并且然后使用該‘能力’(將其呈現(xiàn)給服務(wù)器)來發(fā)送請求。服務(wù)器‘組合’能力和索引以找出相關(guān)的文檔或數(shù)據(jù)。然后，僅僅給用戶提供對由該搜索產(chǎn)生的文檔的訪問(雖然用戶可以訪問不止這些文檔)。如所提到的那樣，不應(yīng)當(dāng)認(rèn)為單個(gè)算法限制了在此所述的經(jīng)可搜索地加密的數(shù)據(jù)存儲的供應(yīng)，然而，下面總體上概述了示例性非限制性算法之外的一些理論，并且提供了可搜索對稱加密(SSE)模式的初步知識消息m 關(guān)鍵詞 -W1, . . . , Wn PRF:H
·生成托管密鑰針對H選擇隨機(jī)S·加密·選擇隨機(jī)密鑰K 選擇隨機(jī)固定長度r·對于 KiSn計(jì)算ai=Hs (Wi)
計(jì)算IDi=Hai (r)計(jì)算Ci= b, Hato (標(biāo)志)輸出(EK(m), r, C1, . . . , cn)·針對w生成陷門或能力· d=HSJ (W)·針對w進(jìn)行測試計(jì)算 p=Hd(r)·計(jì)算 Z = p Ci 如果z=flag,貝丨』輸出“true (真)”·對Ek (m)進(jìn)行解密以獲得m盡管再次不應(yīng)當(dāng)認(rèn)為限制了在此所述的任何實(shí)施例，但是下面是關(guān)于公鑰加密w/關(guān)鍵詞搜索(PEKS)模式的初步知識。公鑰加密a. PKE= (Gen, Enc, Dec)基于身份的加密b. IBE= (Gen, Enc, Extract, Dec)c.生成主密鑰i. (msk, mpk) =IBE. Gen Od.針對ID對m進(jìn)行加密i. C=IBE. Enc (mpk, ID, m)e.針對ID生成秘密密鑰i. sk=IBE. Extract (msk, ID)f.解密i. m=IBE. Dec (sk, c)g.消息mh.關(guān)鍵詞 -W1, . . . , wni.生成托管密鑰i. (msk, mpk) =IBE. Gen Oi i (pk, sk) =PKE. Gen Oj.加密k.對于 I < i < ηi. Ci=IBE. Enc (mpk, Wi, flag)
I.返回(PKE. Enc (pk, m)，C1, , cn)m.為w生成能力或陷門i. d=IBE. Extract (msk, w)η.針對w進(jìn)行測試ο.對于 I < i < ηi. z=IBE. Dec (d, Ci)ii.如果 z=flag,貝丨』輸出 “true”對Ek (m)進(jìn)行解密以獲得m示例性聯(lián)網(wǎng)以及分布式環(huán)境本領(lǐng)域普通技術(shù)人員可以明白，此處所描述的用于可信云服務(wù)框架的方法和設(shè)備的各種實(shí)施例和各相關(guān)實(shí)施例可以結(jié)合任何計(jì)算機(jī)或其他客戶機(jī)或服務(wù)器設(shè)備來實(shí)現(xiàn)，該任何計(jì)算機(jī)或其他客戶機(jī)或服務(wù)器設(shè)備可作為計(jì)算機(jī)網(wǎng)絡(luò)的一部分來部署或者被部署在分布式計(jì)算環(huán)境中，并且可以連接到任何種類的數(shù)據(jù)存儲。在這一點(diǎn)上，此處描述的各實(shí)施例可在具有任何數(shù)量的存儲器或存儲單元的、并且任何數(shù)量的應(yīng)用和進(jìn)程跨任何數(shù)量的存儲單元發(fā)生的任何計(jì)算機(jī)系統(tǒng)或環(huán)境中實(shí)現(xiàn)。這包括但不限于具有部署在具有遠(yuǎn)程或本地存儲的網(wǎng)絡(luò)環(huán)境或分布式計(jì)算環(huán)境中的服務(wù)器計(jì)算機(jī)和客戶機(jī)計(jì)算機(jī)的環(huán)境。附圖66提供了示例性聯(lián)網(wǎng)或分布式計(jì)算環(huán)境的非限制性性示意圖。該分布式計(jì)算環(huán)境包括計(jì)算對象或設(shè)備6610、6612等以及計(jì)算對象或設(shè)備6620、6622、6624、6626、6628等，這些計(jì)算對象或設(shè)備可包括如由應(yīng)用6630、6632、6634、6636、6638表示的程序、方法、數(shù)據(jù)存儲、可編程邏輯等。可以明白，計(jì)算對象或設(shè)備6610、6612等以及計(jì)算對象或設(shè)備6620、6622、6624、6626、6628等可包括不同的設(shè)備，諸如PDA、音頻/視頻設(shè)備、移動電話、MP3播放器、膝上型計(jì)算機(jī)等。計(jì)算對象或設(shè)備6610、6612等以及計(jì)算對象或設(shè)備6620、6622、6624、6626、6628等可經(jīng)由通信網(wǎng)絡(luò)6640或者直接或間接地與一個(gè)或多個(gè)其他計(jì)算對象或設(shè)備6610、6612等以及計(jì)算對象或設(shè)備6620、6622、6624、6626、6640等通信。即使在圖66中被示為單個(gè)元件，但網(wǎng)絡(luò)6640也可包括向圖66的系統(tǒng)提供服務(wù)的其他計(jì)算對象或計(jì)算設(shè)備，和/或可表示未示出的多個(gè)互連網(wǎng)絡(luò)。計(jì)算對象或設(shè)備6610、6612等或6620、6622、6624、6626、6628等還可包含諸如應(yīng)用6630、6632、6634、6636、6638之類的應(yīng)用，該應(yīng)用可利用適用于與根據(jù)本發(fā)明的各實(shí)施例來提供的可信云計(jì)算服務(wù)或應(yīng)用進(jìn)行通信或適用于實(shí)現(xiàn)該可信云計(jì)算服務(wù)或應(yīng)用的API或其他對象、軟件、固件和/或硬件。存在支持分布式計(jì)算環(huán)境的各種系統(tǒng)、組件和網(wǎng)絡(luò)配置。例如，計(jì)算系統(tǒng)可由有線或無線系統(tǒng)、本地網(wǎng)絡(luò)或廣泛分布的網(wǎng)絡(luò)連接在一起。當(dāng)前，許多網(wǎng)絡(luò)被耦合至因特網(wǎng)，后者為廣泛分布的計(jì)算提供了基礎(chǔ)結(jié)構(gòu)并包含許多不同的網(wǎng)絡(luò)，但任何網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)可用于變得與如各實(shí)施例中所描述的技術(shù)相關(guān)聯(lián)的示例性通信。由此，可使用諸如客戶機(jī)/服務(wù)器、對等、或混合體系結(jié)構(gòu)之類的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的主機(jī)。在客戶機(jī)/服務(wù)器體系結(jié)構(gòu)中，尤其在聯(lián)網(wǎng)系統(tǒng)中，客戶機(jī)通常是訪問另一計(jì)算機(jī)(例如，服務(wù)器)所提供的共享網(wǎng)絡(luò)資源的計(jì)算機(jī)。在附圖66的圖示中，作為非限制性示例，計(jì)算對象或設(shè)備6620、6622、6624、6626、6628等可被認(rèn)為是客戶機(jī)，而計(jì)算對象或設(shè)備6610、6612等可被認(rèn)為是服務(wù)器，其中計(jì)算對象或設(shè)備6610、6612等提供數(shù)據(jù)服務(wù)，諸如從計(jì)算對象或設(shè)備6620、6622、6624、6626、6628等接收數(shù)據(jù)；存儲數(shù)據(jù)；處理數(shù)據(jù)；向諸如計(jì)算對象或設(shè)備6620、6622、6624、6626、6628等客戶機(jī)傳送數(shù)據(jù)等，但任何計(jì)算機(jī)都可取決于環(huán)境而被認(rèn)為是客戶機(jī)、服務(wù)器、或兩者。這些計(jì)算設(shè)備中的任ー個(gè)都可以處理數(shù)據(jù)，或請求可包含此處ー個(gè)或多個(gè)實(shí)施例所描述的經(jīng)改善的用戶剖析和相關(guān)技術(shù)的服務(wù)或任務(wù)。服務(wù)器通常是可通過諸如因特網(wǎng)或無線網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)之類的遠(yuǎn)程網(wǎng)絡(luò)或本地網(wǎng)絡(luò)訪問的遠(yuǎn)程計(jì)算機(jī)系統(tǒng)?？蛻魴C(jī)進(jìn)程可在第一計(jì)算機(jī)系統(tǒng)中活動，而服務(wù)器進(jìn)程可在第ニ計(jì)算機(jī)系統(tǒng)中活動，它們通過通信介質(zhì)相互通信，由此提供分布式功能并允許多個(gè)客戶機(jī)利用服務(wù)器的信息收集能力。按照用戶剖析來利用的任何軟件對象可以獨(dú)立地提供或跨多個(gè)計(jì)算設(shè)備或?qū)ο蠓植?。例如，在其中通信網(wǎng)絡(luò)/總線6640是因特網(wǎng)的網(wǎng)絡(luò)環(huán)境中，計(jì)算對象或設(shè)備6610、6612等可以是諸如計(jì)算對象或設(shè)備6620、6622、6624、6626、6628等客戶機(jī)經(jīng)由諸如超文本傳輸協(xié)議(HTTP)等多種已知協(xié)議中的任一種與其通信的web服務(wù)器。諸如計(jì)算對象或設(shè)備6610、6612等服務(wù)器還可擔(dān)當(dāng)諸如計(jì)算對象或設(shè)備6620、6622、6624、6626、6628等客戶機(jī)，這是分布式計(jì)算環(huán)境的特性。示例性計(jì)算設(shè)備如上所述，此處描述的各種實(shí)施例適用于其中期望實(shí)現(xiàn)可信云服務(wù)框架的ー個(gè)或多個(gè)部分的任何設(shè)備。因此，應(yīng)當(dāng)理解，構(gòu)思了結(jié)合此處描述的各實(shí)施例使用的各種手持式、便攜式和其他計(jì)算設(shè)備和計(jì)算對象，即在設(shè)備可以結(jié)合可信云服務(wù)框架來提供某些功能的任何地方。因此，在下面的圖67中描述的以下通用遠(yuǎn)程計(jì)算機(jī)僅是ー個(gè)示例，且所公開的主題的各實(shí)施例可以用具有網(wǎng)絡(luò)/總線互操作性和交互的任何客戶機(jī)來實(shí)現(xiàn)。盡管并不是必需的，但各實(shí)施例的任意一個(gè)可以部分地經(jīng)由操作系統(tǒng)來實(shí)現(xiàn)，以供設(shè)備或?qū)ο蟮姆?wù)開發(fā)者使用，和/或被包括在結(jié)合可操作組件來操作的應(yīng)用軟件中。軟件可在諸如客戶機(jī)工作站、服務(wù)器或其他設(shè)備之類的ー個(gè)或多個(gè)計(jì)算機(jī)所執(zhí)行的諸如程序模塊之類的計(jì)算機(jī)可執(zhí)行指令的通用上下文中描述。本領(lǐng)域的技術(shù)人員可以理解，網(wǎng)絡(luò)交互可以用各種計(jì)算機(jī)系統(tǒng)配置和協(xié)議來實(shí)施。因此，圖67示出了其中可實(shí)現(xiàn)ー個(gè)或多個(gè)實(shí)施例的合適的計(jì)算系統(tǒng)環(huán)境6700的ー個(gè)示例，但是如上所述，計(jì)算系統(tǒng)環(huán)境6700僅是合適的計(jì)算環(huán)境的ー個(gè)示例，并且不旨在對各實(shí)施例中的任意ー個(gè)的使用范圍或功能提出任何限制。也不應(yīng)該將計(jì)算環(huán)境6700解釋為對示例性操作環(huán)境6700中示出的任一組件或其組合有任何依賴性或要求。參考圖67，用于實(shí)現(xiàn)此處的一個(gè)或多個(gè)實(shí)施例的示例性遠(yuǎn)程設(shè)備可以包括手持式計(jì)算機(jī)6710形式的通用計(jì)算設(shè)備。手持式計(jì)算機(jī)6710的組件可以包括但不限于處理單元6720、系統(tǒng)存儲器6730和將包括系統(tǒng)存儲器在內(nèi)的各種系統(tǒng)組件耦合至處理單元6720的系統(tǒng)總線6721。計(jì)算機(jī)6710通常包括各種計(jì)算機(jī)可讀介質(zhì)，例如但不限于，數(shù)字多功能盤(DVD)、閃存、內(nèi)部或外部硬盤驅(qū)動器、緊致盤(CD)等等，并且可以是可由計(jì)算機(jī)6710訪問的任何可用介質(zhì)，包括遠(yuǎn)程驅(qū)動器、云存儲盤等。系統(tǒng)存儲器6730可包括諸如只讀存儲器(ROM)和 /或隨機(jī)存取存儲器(RAM)之類的易失性和/或非易失性存儲器形式的計(jì)算機(jī)存儲介質(zhì)。作為示例而非限制性，存儲器6730還可以包括操作系統(tǒng)、應(yīng)用程序、其他程序模塊、和程序數(shù)據(jù)。用戶可以通過輸入設(shè)備6740向計(jì)算機(jī)6710輸入命令和信息。監(jiān)視器或其他類型的顯示設(shè)備也經(jīng)由諸如輸出接ロ 6750之類的接ロ連接到系統(tǒng)總線6721。除監(jiān)視器之外，計(jì)算機(jī)還可以包括其他外圍輸出設(shè)備，如揚(yáng)聲器和打印機(jī)，它們可以通過輸出接ロ 6750連
接。計(jì)算機(jī)6710可使用到ー個(gè)或多個(gè)其他遠(yuǎn)程計(jì)算機(jī)(諸如遠(yuǎn)程計(jì)算機(jī)6770)的邏輯連接在聯(lián)網(wǎng)或分布式環(huán)境中操作。遠(yuǎn)程計(jì)算機(jī)6770可以是個(gè)人計(jì)算機(jī)、服務(wù)器、路由器、網(wǎng)絡(luò)PC、對等設(shè)備或其他常見網(wǎng)絡(luò)節(jié)點(diǎn)、或者任何其他遠(yuǎn)程媒體消費(fèi)或傳輸設(shè)備，并且可包括以上關(guān)于計(jì)算機(jī)6710所述的任何或全部元件。圖67所示的邏輯連接包括諸如局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)之類的網(wǎng)絡(luò)6771，但也可包括其他網(wǎng)絡(luò)/總線。這些聯(lián)網(wǎng)環(huán)境在家庭、辦公室、企業(yè)范圍的計(jì)算機(jī)網(wǎng)絡(luò)、內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中是常見的。如上所述，盡管結(jié)合各種計(jì)算設(shè)備、網(wǎng)絡(luò)和廣告體系結(jié)構(gòu)描述了示例性實(shí)施例，但還可將底層概念應(yīng)用于其中期望結(jié)合與云服務(wù)的交互來提供信任的任何網(wǎng)絡(luò)系統(tǒng)和任何計(jì)算設(shè)備或系統(tǒng)。存在著實(shí)現(xiàn)此處描述的實(shí)施例中的ー個(gè)或多個(gè)的多種方式，例如，使應(yīng)用和服務(wù)能使用可信云服務(wù)框架的適當(dāng)API、工具包、驅(qū)動程序代碼、操作系統(tǒng)、控件、獨(dú)立或可下載的軟件對象等等?？梢詮腁PI (或其他軟件對象)的觀點(diǎn)以及從提供根據(jù)所描述的實(shí)施例中的ー個(gè)或多個(gè)的定點(diǎn)平臺服務(wù)的軟件或硬件對象來構(gòu)想各實(shí)施例。此處描述的各種實(shí)現(xiàn)和實(shí)施例可以具有完全采用硬件、部分采用硬件并且部分采用軟件、以及采用軟件的方面。本文中所使用的詞語“示例性”意味著用作示例、實(shí)例、或說明。為避免疑惑，本文所公開的主題不限于這些示例。另外，本文中被描述為“示例性”的任何方面或設(shè)計(jì)不一定被解釋為比其他方面或設(shè)計(jì)更優(yōu)選或有利，它也不意味著排除本領(lǐng)域普通技術(shù)人員已知的等效示例性結(jié)構(gòu)和技木。而且，就術(shù)語“包括”、“具有”、“包含”和其他類似的詞語在詳細(xì)描述或權(quán)利要求書中的使用而言，為避免疑惑，這樣的術(shù)語g在以類似于術(shù)語“包括”作為開放的過渡詞的方式解釋而不排除任何附加或其他元素。如所述的，此處所述的各種技術(shù)可結(jié)合硬件或軟件或，在適當(dāng)時(shí)，以兩者的組合來實(shí)現(xiàn)。如此處所使用的，術(shù)語“組件”、“系統(tǒng)”等同樣g在指計(jì)算機(jī)相關(guān)實(shí)體，或者是硬件、硬件和軟件的組合、軟件或者是執(zhí)行中的軟件。例如，組件可以是，但不限于是，在處理器上運(yùn)行的進(jìn)程、處理器、對象、可執(zhí)行碼、執(zhí)行的線程、程序和/或計(jì)算機(jī)。作為說明，在計(jì)算機(jī)上運(yùn)行的應(yīng)用和計(jì)算機(jī)都可以是組件。一個(gè)或多個(gè)組件可以駐留在進(jìn)程和/或執(zhí)行線程中，并且組件可以位于一個(gè)計(jì)算機(jī)內(nèi)和/或分布在兩個(gè)或更多計(jì)算機(jī)之間。如前所述的系統(tǒng)已經(jīng)參考若干組件之間的交互來描述?？梢岳斫猓@些系統(tǒng)和組件可包括組件或指定的子組件、某些指定的組件或子組件和/或附加的組件，并且根據(jù)上述內(nèi)容的各種置換和組合。子組件還可作為通信地耦合到其他組件的組件來實(shí)現(xiàn)，而不是被包括在父組件內(nèi)(層次性)。另外，應(yīng)該注意，一個(gè)或多個(gè)組件也可以合并到提供聚合功能的單ー組件中，或者也可以分成多個(gè)單獨(dú)的子組件，并且，可以提供諸如管理層之類的任何一個(gè)或更多中間層，以可通信地耦合到這樣的子組件，以便提供集成的功能。此處所述的任何組件也可與ー個(gè)或多個(gè)此處未專門描述的但本領(lǐng)域技術(shù)人員一般已知的其他組件進(jìn)行交互。
考慮到以上描述的示例性系統(tǒng)，參考各附圖的流程圖將可以更好地理解根據(jù)所公開的主題實(shí)現(xiàn)的方法。盡管為了說明簡潔起見，按照一系列框示出和描述了方法，但是，應(yīng)該理解和知道，所要求保護(hù)的主題不限于框的順序，因?yàn)椹`些框可以按與此處所描繪和描述的不同的順序進(jìn)行和/或與其他框并發(fā)地進(jìn)行。盡管經(jīng)由流程圖示出了非順序或分支的流程，但可以理解，可實(shí)現(xiàn)達(dá)到相同或類似結(jié)果的各種其他分支、流程路徑和框的次序。此夕卜，并非全部所示的框都是實(shí)現(xiàn)下面所述的方法所必需的。雖然在某些實(shí)施例中示出了客戶機(jī)側(cè)觀點(diǎn)，但要出于避免對存在相對應(yīng)的服務(wù)器觀點(diǎn)的疑問來理解，反之亦然。類似地，在實(shí)施一方法時(shí)，可以提供具有存儲和被配置成經(jīng)由一個(gè)或多個(gè)組件實(shí)施該方法的至少ー個(gè)處理器的相對應(yīng)的設(shè)備。盡管結(jié)合各附圖的優(yōu)選實(shí)施例描述了各實(shí)施例，但可以理解，可以使用其他類似的實(shí)施例，或可以對所描述的實(shí)施例進(jìn)行修改和添加來執(zhí)行相同的功能而不背離本發(fā)明。而且，此處描述的各實(shí)施例的ー個(gè)或多個(gè)方面可以在多個(gè)處理芯片或設(shè)備中實(shí)現(xiàn)或跨多個(gè)處理芯片或設(shè)備實(shí)現(xiàn)，且存儲可以類似地跨多個(gè)設(shè)備來實(shí)現(xiàn)。因此，本發(fā)明不應(yīng)限于任何單個(gè)實(shí)施例，而是應(yīng)該根據(jù)所附權(quán)利要求書的廣度和范圍來解釋。
權(quán)利要求
1.一種用于主存數(shù)據(jù)的方法，包括接收數(shù)據(jù)或與該數(shù)據(jù)相關(guān)聯(lián)的元數(shù)據(jù)中的至少ー個(gè)，其中所述數(shù)據(jù)、所述元數(shù)據(jù)、或這兩者由合成包裝器來保護(hù)，該合成包裝器是從所述數(shù)據(jù)、所述元數(shù)據(jù)、或這兩者的至少ー個(gè)數(shù)學(xué)變換來形成的，其中所述數(shù)學(xué)變換至少包括基于第一組準(zhǔn)則來定義所述數(shù)據(jù)、所述元數(shù)據(jù)、或這兩者的第一包裝器的第一數(shù)學(xué)變換以及基于第二組準(zhǔn)則來定義所述數(shù)據(jù)、所述元數(shù)據(jù)、或這兩者的第二包裝器的第二數(shù)學(xué)變換；以及接收請求基于該請求中包括的ー組能力來訪問由所述合成包裝器保護(hù)的數(shù)據(jù)、元數(shù)據(jù)、或這兩者；以及基于所述ー組能力，基于通過所述第一包裝器評估可見性并獨(dú)立地通過所述第二包裝器評估可見性來確定對所述數(shù)據(jù)、元數(shù)據(jù)、或這兩者的至少ー個(gè)訪問特權(quán)。
2.如權(quán)利要求I所述的方法，其特征在于，所述接收包括接收由從所述至少ー個(gè)數(shù)學(xué)變換形成的合成包裝器所保護(hù)的數(shù)據(jù)或元數(shù)據(jù)中的所述至少ー個(gè)，所述至少ー個(gè)數(shù)學(xué)變換至少包括基于所述第一組準(zhǔn)則來定義對少于所述數(shù)據(jù)、所述元數(shù)據(jù)、或這兩者的全部進(jìn)行包裝的第一包裝器的第一數(shù)學(xué)變換。
3.如權(quán)利要求I所述的方法，其特征在于，所述接收包括接收由從所述至少ー個(gè)數(shù)學(xué)變換形成的合成包裝器所保護(hù)的數(shù)據(jù)或元數(shù)據(jù)中的所述至少ー個(gè)，所述至少ー個(gè)數(shù)學(xué)變換至少包括基于所述第一組準(zhǔn)則來定義對所述數(shù)據(jù)、所述元數(shù)據(jù)、或這兩者進(jìn)行包裝的第一包裝器的第一數(shù)學(xué)變換，以及定義對由所述第一包裝器所包裝的數(shù)據(jù)、元數(shù)據(jù)、或這兩者進(jìn)行包裝的第二包裝器的至少第二數(shù)學(xué)變換。
4.如權(quán)利要求I所述的方法，其特征在于，所述接收包括接收由從所述至少ー個(gè)數(shù)學(xué)變換形成的合成包裝器所保護(hù)的數(shù)據(jù)或元數(shù)據(jù)中的所述至少ー個(gè)，所述至少ー個(gè)數(shù)學(xué)變換至少包括基于所述第一組準(zhǔn)則來定義對少于所述數(shù)據(jù)、所述元數(shù)據(jù)、或這兩者的全部進(jìn)行包裝的第一包裝器的第一數(shù)學(xué)變換，以及定義對由所述數(shù)據(jù)、所述元數(shù)據(jù)、或這兩者的全部進(jìn)行包裝的第二包裝器的至少第二數(shù)學(xué)變換。
5.如權(quán)利要求I所述的方法，其特征在于，所述接收包括接收由包含補(bǔ)充的包裝器的合成包裝器來保護(hù)的數(shù)據(jù)、元數(shù)據(jù)、或這兩者，該合成包裝器至少包括用于滿足補(bǔ)充的信任或安全準(zhǔn)則的第一和第二包裝器。
6.如權(quán)利要求I所述的方法，其特征在于，還包括如果所述數(shù)據(jù)、所述元數(shù)據(jù)、或這兩者的狀態(tài)變成新狀態(tài)，則自動添加或移除適合于與該新狀態(tài)相關(guān)聯(lián)的新的一組準(zhǔn)則的至少ー個(gè)附加包裝器。
7.如權(quán)利要求I所述的方法，其特征在于，如果所述數(shù)據(jù)、所述元數(shù)據(jù)、或這兩者的機(jī)密性分類改變成更敏感的分類，則向所述數(shù)據(jù)、所述元數(shù)據(jù)、或這兩者自動添加適合于該更敏感的分類的至少ー個(gè)附加包裝器。
8.如權(quán)利要求I所述的方法，其特征在于，所述確定包括確定評估可見性的同心次序。
9.如權(quán)利要求I所述的方法，其特征在于，所述確定包括確定評估可見性的橫向次序。
10.如權(quán)利要求I所述的方法，其特征在于，定義所述第一包裝器或定義所述第二包裝器包括定義對所述數(shù)據(jù)、所述元數(shù)據(jù)、或這兩者的訪問速度要求。
11.如權(quán)利要求I所述的方法，其特征在于，定義所述第一包裝器或定義所述第二包裝器包括定義對所述數(shù)據(jù)、所述元數(shù)據(jù)、或這兩者的防篡改要求。
12.如權(quán)利要求I所述的方法，其特征在于，定義所述第一包裝器或定義所述第二包裝器包括定義對所述數(shù)據(jù)、所述元數(shù)據(jù)、或這兩者指定的恢復(fù)可靠性要求。
13.—種系統(tǒng),包括至少部分由數(shù)學(xué)變換技術(shù)提供者來分發(fā)的、獨(dú)立于訪問信息生成器來實(shí)現(xiàn)的至少ー個(gè)數(shù)學(xué)變換組件，所述訪問信息生成器生成用于以下中的至少ー個(gè)的能力信息發(fā)布數(shù)據(jù)、元數(shù)據(jù)、或這兩者或者訂閱所發(fā)布的數(shù)據(jù)、所發(fā)布的元數(shù)據(jù)、或這兩者，所述至少ー個(gè)數(shù)學(xué)變換組件包括被配置成基于所述訪問信息生成器所生成的能力信息來執(zhí)行至少ー個(gè)編碼算法或解碼算法的至少ー個(gè)處理器；以及獨(dú)立于所述訪問信息生成器和所述至少ー個(gè)數(shù)學(xué)變換組件來實(shí)現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者，包括被配置成實(shí)現(xiàn)與由所述至少ー個(gè)數(shù)學(xué)變換組件加密的計(jì)算機(jī)數(shù)據(jù)、計(jì)算機(jī)元數(shù)據(jù)、或這兩者有關(guān)的網(wǎng)絡(luò)服務(wù)的至少ー個(gè)處理器，所述網(wǎng)絡(luò)服務(wù)提供者被配置成與所述至少ー個(gè)數(shù)學(xué)變換組件進(jìn)行通信以執(zhí)行適用于所述計(jì)算機(jī)數(shù)據(jù)、計(jì)算機(jī)元數(shù)據(jù)、或這兩者的至少兩個(gè)數(shù)學(xué)變換包裝器的生成、重新生成、更改、擴(kuò)充、或刪除。
14.如權(quán)利要求13所述的系統(tǒng)，其特征在于，所述網(wǎng)絡(luò)服務(wù)提供者被配置成基于修改包裝器的ー組信任要求中的信任要求的至少ー個(gè)時(shí)間事件來生成、重新生成、更改、擴(kuò)充、或刪除該包裝器。
15.如權(quán)利要求13所述的系統(tǒng)，其特征在于，所述網(wǎng)絡(luò)服務(wù)提供者被配置成基于修改包裝器的ー組信任要求中的信任要求的至少ー個(gè)空間事件來生成、重新生成、更改、擴(kuò)充、或刪除該包裝器。
全文摘要
用于數(shù)據(jù)服務(wù)的數(shù)字托管模式可包括對遠(yuǎn)程站點(diǎn)處的或云服務(wù)中的被模糊的數(shù)據(jù)的選擇性訪問，從而跨多個(gè)實(shí)體來分發(fā)信任以避免單點(diǎn)數(shù)據(jù)損害?；谠撃Ｊ?，用于任何種類的凈荷的“可信信封”通過置于該信封上的各種裝飾或信封來啟用帶簾訪問，該裝飾或信封允許范圍為各保證(諸如但不限于機(jī)密性、隱私性、匿名性、篡改檢測、完整性等)的全范圍信任。通過被稱為包裝器合成的技術(shù)家族來提供可驗(yàn)證信任。多個(gè)同心和/或橫向變換包裝器或?qū)涌烧w地或部分地將數(shù)據(jù)、元數(shù)據(jù)、或這兩者變換成數(shù)學(xué)變換(例如，加密、跨存儲來分發(fā)、模糊)或以其他方式將可見性缺失引入數(shù)據(jù)、元數(shù)據(jù)、或這兩者中的一些或全部。
文檔編號G06F15/00GK102656589SQ201080056810
公開日2012年9月5日申請日期2010年11月18日優(yōu)先權(quán)日2009年12月15日
發(fā)明者R·P·德索扎, R·V·奧拉德卡申請人:微軟公司

完整全部詳細(xì)技術(shù)資料下載

該技術(shù)已申請專利。僅供學(xué)習(xí)研究，如用于商業(yè)用途，請聯(lián)系技術(shù)所有人。
技術(shù)研發(fā)人員：R·V·奧拉德卡;R·P·德索扎
技術(shù)所有人：微軟公司
我是此專利的發(fā)明人

上一篇：用于運(yùn)行計(jì)算單元的方法
上一篇：使用rfid標(biāo)簽帶跟蹤庫存的方法和系統(tǒng)的制作方法

該領(lǐng)域下的技術(shù)專家
如您需求助技術(shù)專家，請點(diǎn)此查看客服電話進(jìn)行咨詢。
1、李老師：1.計(jì)算力學(xué) 2.無損檢測
2、畢老師：機(jī)構(gòu)動力學(xué)與控制
3、袁老師：1.計(jì)算機(jī)視覺 2.無線網(wǎng)絡(luò)及物聯(lián)網(wǎng)
4、王老師：1.計(jì)算機(jī)網(wǎng)絡(luò)安全 2.計(jì)算機(jī)仿真技術(shù)
5、王老師：1.網(wǎng)絡(luò)安全；物聯(lián)網(wǎng)安全、大數(shù)據(jù)安全 2.安全態(tài)勢感知、輿情分析和控制 3.區(qū)塊鏈及應(yīng)用
如您是高校老師，可以點(diǎn)此聯(lián)系我們加入專家?guī)臁?/a>

相關(guān)技術(shù)

網(wǎng)友詢問留言已有0條留言

還沒有人留言評論。精彩留言會獲得點(diǎn)贊！

精彩留言，會給你點(diǎn)贊！

欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

通過包裝器合成的用于數(shù)據(jù)的可驗(yàn)證的信任的制作方法