用于安全地共享数据的方法和装置制造方法及图纸

公开了用于安全地共享数据的方法和装置。示例包括：在云服务的第一用户的第一设备处生成代表所述第一设备的驱动器的档案文件；经由处理器加密所述档案文件以形成经加密的档案文件；以及将所述经加密的档案文件传达至云服务提供方，所述加密档案文件将由所述云服务的第二用户的第二设备解密，所述经解密的档案文件将安装至所述第二设备的操作系统。

【技术实现步骤摘要】
【国外来华专利技术】
本公开总体上涉及计算系统并且更具体地涉及用于安全地共享数据的方法和装置。
技术介绍
基于云的存储服务(例如，如DropBox、Apple等)已经成为许多类型的系统和/或组织的优选服务。附图说明图1展示了示例系统，所述示例系统包括实现在此公开的示例的示例云服务提供方(CSP)。图2是图1的示例第一计算设备的示例实现方式的框图。图3是图2的示例安全模块的示例实现方式的框图。图4是图2的示例存储器保护器的示例实现方式的框图。图5是由图2的示例档案文件生成器生成的示例档案文件。图6是代表图1至图4的示例第一计算设备、图1至图2的示例云服务提供方(CSP)与图1的示例第二计算设备之间的示例通信的序列图流程图。图7是代表可以被执行以实现图1和图2的示例CSP的第一示例机器可读指令的流程图。图8是代表可以被执行以实现图1和图2的示例CSP的第二示例机器可读指令的流程图。图9是代表可以被执行以实现图1至图4的示例第一计算设备和/或图1的示例第二计算设备的第一示例机器可读指令的流程图。图10是代表可以被执行以实现图1至图4的示例第一计算设备和/或图1的示例第二计算设备的第二示例机器可读指令的流程图。图11是示例处理器平台的框图，所述示例处理器平台能够执行图7的示例机器可读指令以实现图1至图2的示例CSP、能够执行图8的示例机器可读指令以实现图1和图2的示例CSP、能够执行图9的示例机器可读指令以实现图1至图4的示例第一计算设备和/或图1的示例第二计算设备、和/或能够执行图10的示例机器可读指令以实现图1至图4的示例第一计算设备和/或图1的示例第二计算设备。具体实施方式国家标准技术局(NIST)将云计算定义为“一种模型，用于使能够对可配置计算资源(例如，网络、服务器、存储设备、应用以及服务)的共享池进行普遍存在的、方便的、按需的网络访问，可配置计算资源可以用最小的管理成本或服务提供方交互被快速地配置和释放。”(梅尔(Mell)、皮特(Peter)等人，云计算的NIST定义，NIST，2011年9月)。云服务提供方(CSP)经由不同的交付模型提供云服务，这些交付模型包括例如软件即服务(SaaS)模型、平台即服务(PaaS)模型、和/或基础设施即服务(IaaS)模型等、和/或其(多个)组合。当经由SaaS模型进行交付时，CSP为用户提供对在硬件(例如，用户经由CSP管理的互联网可访问的服务器)上运行的(例如，被执行的)应用的访问。在PaaS模型中，CSP为用户提供软件开发环境，在所述软件开发环境中，用户可以设计、建立和/或定制有待在CSP的硬件上执行的(多个)应用。IaaS模型涉及CSP为用户提供基本计算服务，如基于当前需要实时配置的按需数据存储。因此，当云计算服务可以用多种方式交付时，基于云的系统通常涉及在多个用户当中共享的资源(例如，硬件、软件和/或存储设备)的管理池。在一些实例(如云服务的IaaS模型)中，相应的CSP提供数据存储能力。这种基于云的存储系统和/或服务通常以明文形式存储数据，以便例如帮助索引和/或搜索数据。当以明文形式存储时，数据通常未加密并且被暴露于任何人利用互联网访问进行的攻击。为了保护明文形式数据，先前基于云的系统依赖于用于加密数据的客户端应用。在这种实例中，经由云可获得的数据通过保存(例如，帮助存储)数据的客户端应用和/或通过关于客户端应用实现的某个中间解决方案(如专用于(例如，专门设计用于)数据加密的特殊文件系统)被加密。这种加密技术要求与(多个)相应的操作系统(OS)环境有关的改变和/或附加处理。也就是说，针对基于云的数据存储服务的先前加密技术涉及OS环境的变更和/或定制化。所述(多个)OS环境的变更和/或定制化是繁重的。例如，这种系统的加密技术包括截取流向和来自OS的数据(例如，经由驱动层技术)以及对截取的数据流应用加密/解密方法。这种系统引入了与OS环境有关的附加处理部件和/或算法。此外，危险的恶意软件以类似的方式进行操作(例如，通过截取流向和来自OS的数据)，使得恶意软件难以被例如防病毒代理检测到。因此，已知的系统依赖于终端用户(例如，CSP的客户)积极地配置和/或维护安全性功能从而保护基于云的资源和/或数据。在此公开的示例方法、装置和制品在保持OS不可知的同时为基于云的存储系统提供安全性(例如，数据的加密和解密)。也就是说，在此公开的示例在不影响例如客户端机(在所述客户端机处生成、存储和/或存取数据)的OS环境的情况下(例如，在不对所述OS环境强加兼容性要求的情况下)提供加密的基于云的数据存储。例如，在不同OS平台上具有账户的用户能够经由在此公开的示例共享数据。如以下更详细描述的，在此公开的示例生成并解密代表存储在(例如，计算设备的)驱动器上的有待经由云共享的数据的档案文件(例如，ISO(国际标准组织)映像)。在本文公开的一些示例中，加密的档案文件(例如，E-ISO映像)代表相应的驱动器(例如，光驱)的全部内容，由此为基于云的存储系统提供全盘加密(FDE)。在本文公开的一些示例中，加密的档案文件配置有一个或多个经包封的加密密钥(例如，磁盘加密密钥(DEK))以使档案文件的授权接收方能够访问由档案文件代表的数据。在本文公开的一些示例中，对档案文件进行加密和/或解密和/或为加密文件配置例如(多个)经包封的DEK是经由提供安全通信和安全操作的可信执行环境(TEE)执行的。在本文公开的一些示例中，由TEE提供的一个或多个操作是在已经注册到由CSP提供的服务中的(多个)计算设备上执行的。另外或附加地，由TEE提供的一个或多个操作是在由CSP管理和/或操作的计算设备上执行的。也就是说，在此公开的示例使CSP能够在TEE的能力中起作用，例如，在安全的信道上包封和/或解包封加密数据和/或将经包封的和/或经解包封的加密数据提供至例如注册的云用户计算设备。因此，由在此公开的示例生成的全配的、经加密的档案文件可由被具有真实密码(例如，与对密钥的包封相对应的词组或字符串)的云用户使用的计算设备共享(例如，被传达至计算设备或由计算设备解密)。在一些示例中，经加密的档案文件被解密(例如，被接收计算设备解密)并且被安装至接收计算设备的OS。通过将档案文件安装至计算设备的OS环境(例如，而不是经由物理驱动器或端口访问数据的OS)，在此公开的示例为计算设备提供包括有待经由云共享的数据的虚拟驱动器。驱动器的虚拟化准许在不必变更或定制OS环境的情况由任何OS环境共享档案文件的数据。由此，在此公开的示例利用宽范围的平台和应用提供互操作性。虽然在此公开的示例是在基于云的计算和基于云的存储系统的背景下讨论的，但在此公开的示例可以在任何合适的联网环境、平台和/或社群中实现。例如，对等共享环境可以利用公开的示例来通过网络安全地共享数据。图1展示了可实现本文公开的示例的示例计算环境100。图1的示例计算环境100包括示例云服务提供方(CSP)102，所述CSP将(多个)基于云的服务提供给一个或多个用户(例如，注册到CSP 102的个人和/或组织)。图1的示例计算环境100包括与(由CSP 102提供的一项或多项服务的)第一用户相对应的示例第一计算设备104以本文档来自技高网...

【技术保护点】
一种安全地共享数据的方法，所述方法包括：在云服务的第一用户的第一设备处生成代表所述第一设备的驱动器的档案文件；经由处理器加密所述档案文件以形成经加密的档案文件；以及将所述经加密的档案文件传达至云服务提供方，所述经加密的档案文件将由所述云服务的第二用户的第二设备解密，所述经解密的档案文件将安装至所述第二设备的操作系统。

【技术特征摘要】
【国外来华专利技术】2014.03.31 US 14/230,6181.一种安全地共享数据的方法，所述方法包括：在云服务的第一用户的第一设备处生成代表所述第一设备的驱动器的档案文件；经由处理器加密所述档案文件以形成经加密的档案文件；以及将所述经加密的档案文件传达至云服务提供方，所述经加密的档案文件将由所述云服务的第二用户的第二设备解密，所述经解密的档案文件将安装至所述第二设备的操作系统。2.如权利要求1所述的方法，进一步包括：使用与所述第二用户相对应的密钥数据来包封用于加密所述档案文件的加密密钥。3.如权利要求2所述的方法，进一步包括：在将所述经加密的档案文件传达至所述云服务提供方之前为所述经加密的档案文件配置所述经包封的加密密钥。4.如权利要求2所述的方法，进一步包括：从所述云服务提供方接收所述密钥数据。5.如权利要求1所述的方法，进一步包括：将访问指令传达至所述云服务提供方以定义对所述驱动器的内容的访问特权。6.如权利要求1所述的方法，进一步包括：响应于接收与所述第二用户的所述第二设备的第二驱动器的第二数据相对应的第二经加密的档案文件，解密所述第二经加密的档案文件以生成第二经解密的档案文件；以及将所述第二经解密的档案文件安装至所述第一设备的第二操作系统。7.如权利要求1所述的方法，其中，生成所述档案文件包括：生成能够安装至操作系统的ISO映像。8.一种有形计算机可读存储介质，包括多条指令，所述指令当被执行时使得机器至少：在云服务的第一用户的第一设备处生成代表所述第一设备的驱动器的档案文件；加密所述档案文件以形成经加密的档案文件；以及将所述经加密的档案文件传达至云服务提供方，所述经加密的档案文件将由所述云服务的第二用户的第二设备解密，所述经解密的档案文件将安装至所述第二设备的操作系统。9.如权利要求8所述的存储介质，其中，所述指令当被执行时使得所述机器使用与所述第二设备相对应的密钥数据来包封用于加密所述档案文件的加密密钥。10.如权利要求9所述的存储介质，其中，所述指令当被执行时使得所述机器在将所述经加密的档案文件传达至所述云服务提供方之前为所述经加密的档案文件配置所述经包封的加密密钥。11.如权利要求9所述的存储介质，其中，所述密钥数据是从所述云服务提供方接收的。12.如权利要求8所述的存储介质，其中，所述指令当被执行时使得所述机器将访问指令传达至所述云服务提供方以定义对所述驱动器的内容的访问特权。13.如权利要求8所述的存储介质，其中，所述指令当被执行时使得所述机器：响应于接收与所述第二用户的所述第二设备的第二驱动器的第二数据相对应的第二经加密的档案文件，解密所述第二经加密的档案文件以生成第二经解密的档案文件；以及将所述第二经解密的档案文件安装至所述第一设备的第二操作系统。14.如权利要求8所述的存储介质，其中，生成所述档案文件包括：生成能够安装至操作系统的ISO映像。15.一种装置，包括：存储器，所述存储器用于存储与云服务的第一用户相关联的数据；档案生成器，所述档案生成器用于生成代表所述存储器的第一数据的档案文件；加密引擎，所述加密引擎用于加密所述档案文件以形成经加密的档案文件；以及通信器，所述通信器用于将所述经加密的档案文件传达至云服务提供方的计算设备，所述经加密的档案文件将由与所述云服务的第二用户相关联的第二计算设备解密，所述经解密的档案文件将安装至所述第二计算设备的操作系统。16.如权利要求15所述...

【专利技术属性】
技术研发人员：N·M·史密斯，O·本沙洛姆，A·奈舒图特，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国;US