[go: up one dir, main page]

TWI670624B - 用於動態資料儲存之系統及方法 - Google Patents

用於動態資料儲存之系統及方法 Download PDF

Info

Publication number
TWI670624B
TWI670624B TW104118182A TW104118182A TWI670624B TW I670624 B TWI670624 B TW I670624B TW 104118182 A TW104118182 A TW 104118182A TW 104118182 A TW104118182 A TW 104118182A TW I670624 B TWI670624 B TW I670624B
Authority
TW
Taiwan
Prior art keywords
data
algorithm
conversion
different
network
Prior art date
Application number
TW104118182A
Other languages
English (en)
Other versions
TW201610747A (zh
Inventor
偉恩B 史密斯
克里斯多夫T 朵文
萊恩E 夏普
Original Assignee
美商L3賀利實科技公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商L3賀利實科技公司 filed Critical 美商L3賀利實科技公司
Publication of TW201610747A publication Critical patent/TW201610747A/zh
Application granted granted Critical
Publication of TWI670624B publication Critical patent/TWI670624B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • G06F16/116Details of conversion of file system types or formats
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/182Distributed file systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/75Media network packet handling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/75Media network packet handling
    • H04L65/756Media network packet handling adapting media to device capabilities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本發明提供一網路內用於動態資料儲存之系統(100)及方法(1000)。該方法包括:接收包括第一資料(302-320)之至少一第一資料檔案(202);分段該第一資料,以形成複數個第一資料區段(208);處理該等第一資料區段之各者,以轉換複數個屬性之至少一第一屬性,以形成一第二資料區段(210);分別在複數個不同資料儲存區(116-120)中儲存該等第二資料區段;且回應於一第一觸發事件之發生而動態地改變儲存該等第二資料區段之實體位置。在一些情況中,可回應於一個或多個第二觸發事件(其可與該第一觸發事件相同或不同)而反覆地重複該等方法步驟。

Description

用於動態資料儲存之系統及方法
本發明配置係關於電腦網路及資料安全,且更特定言之,係關於使用各種資料儲存技術以提供可動態操縱之一電腦網路及/或資料儲存區以防禦惡意攻擊之系統。
當前資料儲存機制以一靜態方式處理資料。例如,資料如一段連續資訊一般「無限期地」儲存在一已知位置。可採用加密以向該儲存資料提供一安全層。甚至在此等情況中,所有資料依舊一起儲存在一給定位置中,且因此可藉由一外部個體獲得及分析。如此一來,當前尖端技術容易受到其中發生對所儲存資料的未授權存取之惡意攻擊。
本發明之實施例涉及用於一網路及/或一電子裝置內動態資料儲存資料之系統及方法。該等方法包括接收包括第一資料之至少一第一資料檔案。接著,分段該第一資料以形成複數個第一資料區段。處理該等第一資料區段之各者以轉換複數個屬性之至少一第一屬性以形成一第二資料區段。該第一屬性包含,但不限於,一資料格式、一檔案類型、一編碼方案、一密碼編譯方案或一資料大小。至少兩個第一資料區段之該等第一屬性可根據相同或不同演算法轉換。繼完成該等轉換之後,該等第二資料區段分別儲存在複數個不同資料儲存區中。回 應於一第一觸發事件之發生而動態地改變該等第二資料區段之實體儲存位置。每當該等第二資料區段之一各自者之實體儲存位置改變時轉換該第一屬性及/或一第二不同屬性。再者,可根據與一先前轉換中使用之至少一轉換演算法不同之一轉換演算法週期性地重新轉換該第一屬性及該第二屬性之至少一者。
在一些情況中,進一步處理該等第一資料區段之各者以轉換與該第一屬性不同之該第二屬性以形成該第二資料區段。該第一屬性及該第二屬性藉由一個或多個電子裝置(諸如單一網路節點或兩個不同網路節點)轉換。用以轉換該第一屬性及該第二屬性之轉換演算法可在操作該網路期間同步或非同步改變。
100‧‧‧系統
102‧‧‧運算裝置
104‧‧‧運算裝置
106‧‧‧選用軟體應用程式
108‧‧‧模組
110‧‧‧網路節點
112‧‧‧網路
114‧‧‧網路節點
116‧‧‧資料儲存區
118‧‧‧資料儲存區
120‧‧‧資料儲存區
130‧‧‧選用儲存模型
202‧‧‧第一資料檔案
204‧‧‧檔案分段/功能塊
206‧‧‧檔案轉換
208‧‧‧第二資料檔案
2081‧‧‧第二資料檔案
2082‧‧‧第二資料檔案
2083‧‧‧第二資料檔案
210‧‧‧第三資料檔案
302‧‧‧資料/資料元件
304‧‧‧資料/資料元件
306‧‧‧資料/資料元件
308‧‧‧資料/資料元件
310‧‧‧資料/資料元件
312‧‧‧資料/資料元件
314‧‧‧資料/資料元件
316‧‧‧資料/資料元件
318‧‧‧資料/資料元件
320‧‧‧資料/資料元件
402‧‧‧檔案分段演算法
404‧‧‧觸發事件
406‧‧‧檔案分段演算法
408‧‧‧觸發事件
410‧‧‧檔案分段演算法
420‧‧‧第一時間段
422‧‧‧第二時間段
424‧‧‧第三時間段
502‧‧‧資料表示轉換/功能塊
504‧‧‧資料密碼轉換/功能塊
506‧‧‧資料大小轉換/功能塊
508‧‧‧資料儲存位置轉換/功能塊
602‧‧‧資料表示轉換演算法/DRT演算法
604‧‧‧觸發事件
606‧‧‧資料表示轉換演算法/DRT演算法
608‧‧‧觸發事件
610‧‧‧資料表示轉換演算法/DRT演算法
620‧‧‧第一時間段
622‧‧‧第二時間段
624‧‧‧第三時間段
632‧‧‧資料密碼轉換演算法/DCT演算法
634‧‧‧資料密碼轉換演算法/DCT演算法
636‧‧‧資料密碼轉換演算法/DCT演算法
642‧‧‧資料大小轉換演算法/DST演算法
644‧‧‧資料大小轉換演算法/DST演算法
646‧‧‧資料大小轉換演算法/DST演算法
652‧‧‧資料儲存位置轉換演算法/DSLT演算法
654‧‧‧資料儲存位置轉換演算法/DSLT演算法
656‧‧‧資料儲存位置轉換演算法/DSLT演算法
702‧‧‧資料表示轉換演算法/DRT演算法
704‧‧‧資料表示轉換演算法/DRT演算法
712‧‧‧資料密碼轉換演算法
714‧‧‧資料密碼轉換演算法
722‧‧‧資料大小轉換演算法
724‧‧‧資料大小轉換演算法
732‧‧‧資料儲存位置轉換演算法/DSLT演算法
734‧‧‧資料儲存位置轉換演算法/DSLT演算法
740‧‧‧第一時間段
742‧‧‧第二時間段
746‧‧‧第三時間段
748‧‧‧第四時間段
750‧‧‧觸發事件
752‧‧‧觸發事件
756‧‧‧觸發事件
800‧‧‧儲存模型
802‧‧‧資料分段/資料分段資訊
804‧‧‧演算法
806‧‧‧觸發事件
808‧‧‧規則
810‧‧‧資料轉換/資料轉換資訊
812‧‧‧資料表示轉換/DRT資訊
814‧‧‧演算法
816‧‧‧觸發事件
818‧‧‧規則
820‧‧‧資料密碼轉換/DCT資訊
822‧‧‧演算法
824‧‧‧觸發事件
826‧‧‧規則
828‧‧‧資料大小轉換/DST資訊
830‧‧‧演算法
832‧‧‧觸發事件
834‧‧‧規則
836‧‧‧資料儲存位置轉換/DSLT資訊
838‧‧‧演算法
840‧‧‧觸發事件
842‧‧‧規則
900‧‧‧模組
902‧‧‧顯示單元
908‧‧‧指令
910‧‧‧電腦可讀儲存媒體
912‧‧‧處理器
914‧‧‧網路介面裝置
916‧‧‧網路介面裝置
918‧‧‧靜態記憶體
920‧‧‧主記憶體
922‧‧‧匯流排
1000‧‧‧方法
1002‧‧‧步驟
1004‧‧‧步驟
1006‧‧‧步驟
1008‧‧‧步驟
1012‧‧‧步驟
1014‧‧‧步驟
1016‧‧‧步驟
將參考以下圖式描述實施例,所有圖式中相同元件符號表示相同項目,其中:圖1係實施本發明之一系統之一例示性架構之一示意繪示。
圖2係對於理解圖1中展示之系統的資料分段及轉換操作有用之一示意繪示。
圖3係對於理解圖1中展示之系統之資料分段操作有用之一示意繪示。
圖4係對於理解圖1之系統中採用之檔案分段演算法之一動態變化有用之一示意繪示。
圖5係對於理解圖1之系統中執行之檔案轉換操作有用之一示意繪示。
圖6係對於理解圖1之系統中採用之檔案轉換演算法之一動態變化有用之一示意繪示。
圖7係對於理解圖1之系統中採用之檔案轉換演算法之一動態變化有用之一示意繪示。
圖8係對於理解本發明有用之一例示性儲存模型之一示意繪示。
圖9係可在本發明中使用以執行動態資料儲存操作之一模組之一實例。
圖10係用於動態資料儲存之一例示性方法之一流程圖。
參考附圖描述本發明。該等圖式並非按比例繪製且僅提供以繪示本發明。下文參考實例應用或繪示描述本發明之若干態樣。應瞭解提出數種具體細節、關係及方法以提供本發明之一全面理解。然而,一般相關技術者將易於認識到可實踐本發明而無需該等具體細節之一或多者或可使用其他方法之一或多者實踐本發明。在其他示例中,吾人所習知結構或操作並未詳細展示以避免模糊本發明。本發明不受到所繪示說明之動作或事件之順序所限制,因為一些動作可能以不同的順序發生及/或與其他動作或事件同時發生。此外,並不一定需要全部繪示之動作或事件來實施根據本發明之一方法。
亦應該瞭解本文使用之術語係僅為達描述特定實施例之目的且不意欲限制本發明。如本文所使用,除非內文另有明確表示,否則單數形式「一」及「該」意欲亦包含複數形式。此外,就術語「包含」、「具有」或其變體在詳細描述及/或專利申請範圍中使用來說,此等術語意欲以與術語「包括」相類似之一方式包含在內。
此外,除非另有定義,本文使用之所有術語(包含技術術語及科學術語)具有藉由一般技術者通常理解之相同含義。將進一步瞭解,除非本文明確定義,否則術語(諸如在常用詞典中定義之該等術語)應解釋為具有與其在相關技術之內文中之含義一致之一含義且將不會以一理想或過度形式意義加以解釋。
本發明之概況
本發明通常涉及用於動態資料儲存之系統及方法。該等方法選 擇性地涉及分段及/或轉換一資料檔案中含有之資料。分段涉及將該資料檔案中含有之資料截斷為複數個資料區段。執行轉換以改變該等資料區段之資料表示、儲存或將儲存該等資料區段之實體位置、用以加密該等資料區段之資料密碼、該等資料區段之資料大小及/或該等資料區段之存取。藉由相同網路節點或複數個網路節點執行所示轉換使得在至資料儲存位置的路徑中對該資料執行多個轉換。
在一些情況中,藉由公然隱藏資料實現資料表示轉換,即,以各種修改格式儲存資料且週期性地改變儲存資料之格式。藉由週期性地跨多個可用的儲存機制操縱資料(即,週期性地改變一網路中每個資料區段儲存的實體位置),可實現該實體位置轉換。藉由將純文字改變成加密文字、使用與先前用以加密該資料之演算法或參數值不同之一演算法或參數值重新加密該資料及/或使用其他資料取代該資料之至少一部分來實現基於該資料密碼之轉換。藉由自一資料檔案新增或移除資料來實現資料大小轉換。藉由操縱該資料之存取(例如,對資料未授權之存取意圖傳回不正確的轉譯資料)來實現資料存取轉換。
動態資料存取系統
現在參考圖1,提供對於理解本發明有用之一系統100之一例示性架構之一示意繪示。系統100通常經組態以保護儲存於其中之終端使用者資料。據此而言,根據一預定義演算法,至少動態地選擇且隨時間改變儲存使用者資料之位置。資料儲存位置之該動態變化幫助阻遏惡意存取相應使用者資料。因此,相較於習知資料儲存系統,系統100具有一增加的資料「存取信任」特徵。另外,在系統100中,攻擊者對儲存的使用者資料以其原始形式重新構建之成本係動態地增加,其將隨著以下討論的進行而變得更顯而易見。
現在將參考一基於網路之系統描述本發明。然而,本發明不限 於此。例如,不同於經由基於網路之通信鏈路連接之多個裝置,可在單一電子裝置中採用其之該等動態資料儲存特徵。
如圖1中所示,系統100包括複數個運算裝置102至104、一模組108、網路節點110、網路節點114、一網路112(例如,網際網路或內部網路)及複數個資料儲存區116至資料儲存區120。該等運算裝置之各者可包含,但不限於,一個人電腦、一膝上型電腦、一桌上電腦、一個人數位助理或一智慧型電話。運算裝置之所示類型之各者在本發明中為吾人所習知,且因此本文將不會描述。在一些情況中,該運算裝置中可安裝實施本發明之用於提供動態資料儲存之方法的一軟體應用程式106。隨著該討論發展,此軟體應用程式106之該等操作將變得顯而易見。
現在將結合圖1至圖10描述系統100之操作。在使用系統100期間,一運算裝置102產生第一使用者資料。接著,將該第一使用者資料置放成一第一檔案格式(例如,一.pdf檔案格式或一.doc檔案格式)中以形成一第一資料檔案202。接著,可藉由軟體應用程式106、一模組108或一網路節點110至網路節點114處理第一資料檔案202,以將第一資料檔案202置放成適於阻遏其未授權存取之一第二檔案格式。可藉由根據由一儲存模型(例如,圖1之儲存模型130)指定之演算法處理第一資料檔案202而實現該第二檔案格式。下文將詳細描述儲存模型。仍應瞭解,在第一資料檔案202儲存在一個或多個資料儲存區116至120中之前,該儲存模型通常指定第一資料檔案202在功能塊204中分段及/或在功能塊206中轉換之方式。資料儲存區116至120包含,但不限於,資料庫、快閃隨身機、硬碟機、磁帶機、光學機、光碟、網路儲存磁碟機、本機儲存磁碟機、分散式資料儲存區(例如,基於公共雲端或私有雲端之資料儲存區)及/或虛擬基礎建設資料儲存區。
可使用功能塊204中接收之第一資料檔案202之至少一部分執行 功能塊204中執行之分段。或者,可略過功能塊204之分段操作使得第一資料檔案202未分段。分段第一資料檔案202之決定基於:一儲存模型(例如,圖1之儲存模型130)中含有之資訊;該第一資料檔案之大小;該第一資料檔案中表示之資訊類型(例如,秘密、機密或非機密)及/或識別接收該第一資料檔案之裝置及/或裝置之類型之資訊。在一些情況中,以一提供存取包含在第一資料檔案202中的資料之一特定速度的方式執行該分段。該存取速度係至少部分藉由應用至資料檔案202之分段的複雜性定義。
該等分段操作涉及處理第一資料檔案202以產生複數個第二資料檔案2081、2082及2083(統稱為第二資料檔案208)。第一資料檔案202包含複數個資料元件302至320。每個資料元件302至320包含至少一位元或一位元組資訊。第二資料檔案2081、2082、2083之各者包含以與第一資料檔案202之次序相同或不同之次序配置之資料元件302至320的一或多個。例如,如圖3中所示,第二資料檔案2081包括以與第一資料檔案202中之順序次序相同之順序次序配置之資料元件304、306及308。相比而言,第二資料檔案2083包括以與第一資料檔案202中之順序不同之一次序(或非順序次序)配置之資料元件318、310、316。本發明不限於此實例之細節。儘管圖3中未展示,該等資料元件之一或多者可在該等第二資料檔案之一或多者中重複。或者或此外,該等第二資料檔案之一或多者可包含兩個或更多個第一資料檔案及/或其中新增之其他資訊中之資料元件。
該等第二資料檔案之至少一些第二資料檔案包含彼此相關之相同元件符號之資料元件及/或一不同元件符號之資料元件。例如,如圖3中所示,第二資料檔案2081及2083之各者包括第一資料檔案202中含有之三個資料元件304/306/308或318/310/316。相比而言,第二資料檔案2082包含第一資料檔案202中含有之四個資料元件 302/312/314/320。本發明不限於此實例之細節。
根據儲存模型(例如,圖1之儲存模型130)中指定之至少一檔案分段演算法選擇每個第二資料檔案2081、2082、2083含有哪個資料元件及多少個資料元件。該檔案分段演算法可包含,但不限於,一基於偽隨機數之演算法、一基於隨機數之演算法、一基於混沌數之演算法或其他基於數學之演算法(例如,一基於基礎數學或多項式數學之函數)。在一些情況中,包含於第一資料檔案202中之資料係基於藉此表示之資訊類型而分段。例如,如果該資訊係屬一第一級,則使用一基於混沌數之演算法及至少一第一資料儲存區。相比而言,如果該資訊係屬一第二級,則使用一基於偽隨機數之演算法及至少一第二資料儲存區(其可與該第一資料儲存區相同或不同)。如果該資訊係非機密資訊,則一演算法用於簡單地將該資料分段至N個順序次序位元之區段,其中N係一整數。本發明不限於此實例之細節。
應注意,針對複數個傳入資料檔案所使用之該檔案分段演算法可在一第一時間段內相同及/或在一後續第二時間段內不同。例如,如圖4中所示,在一第一時間段420期間使用一檔案分段演算法402。在第一時間段420結束時,發生一觸發事件404。下文將詳細描述觸發事件。仍應瞭解觸發事件404可包含,但不限於,該第一時間段之一期滿。回應於觸發事件404,檔案分段演算法402被動態地改變為檔案分段演算法406。檔案分段演算法406係與檔案分段演算法402不同之一演算法。接著,在一第二時間段422期間使用檔案分段演算法406。當發生一觸發事件408(例如,已接收包含最高機密資訊之一檔案)時,檔案分段演算法406被動態地改變為檔案分段演算法410。檔案分段演算法410係與檔案分段演算法406不同之一演算法。接著,在一第三時間段424中使用檔案分段演算法410。本發明不限於此實例之細節。
如藉由圖2之功能塊206展示,完成第一資料檔案202之分段之後,執行檔案轉換操作。功能塊206中執行之檔案轉換涉及為各種目的處理第二資料檔案2081、第二資料檔案2082、第二資料檔案2083。更特定言之,執行該檔案轉換以為每個第二資料檔案2081、2082、2083確定一可變距離向量(「DV」)。該DV被定義為某一時間施加至一給定資料集之所有複數個資料區段向量(「DSV」)的總和。如下文將變得更顯而易見,系統100將操縱一時間段內該DV之參數。該DV被定義為在休止狀態下定義一資料區段之各種屬性之任意尺寸之一向量。該等屬性包含,但不限於,資料格式、檔案類型、編碼方案、文本狀態(即,純文字或加密文字)、密碼編譯方案、壓縮方案、膨脹方案及儲存位置。
據此如由圖5所展示,每個第二資料檔案2081、2082、2083經處理以改變其資料表示、資料密碼、資料大小及/或資料儲存位置。就此而言,一組獨特轉換502、504、506、508係應用於每個第二資料檔案2081、2082、2083之資料元件以因此產生一DSV。該等第二資料檔案將具有與相較於為其他第二資料檔案產生之DSV不同之一DSV。接著,分別使用該等DSV來定義第二資料檔案2081、2082、2083之轉換及儲存。在一些情況中,產生該等DSV以提供存取第一資料檔案202及/或第二資料檔案2081、2082、2083中含有之資料之一特定速度。該存取速度至少部分係由將被應用於該等資料檔案之轉換502、504、506、508的複雜性所定義。
如圖5中所示,可在功能塊502中處理每個第二資料檔案2081、2082、2083以改變其資料格式(例如,移除分段、空格等等)、檔案類型(例如,自一.doc檔案類型至一.pdf檔案類型)及/或字元編碼方案(例如,將一ASCII編碼方案改變為一擴展二進制編碼十進制交換編碼方案)。可以相同方式或一不同方式改變產生自第一資料檔案202之第二 資料檔案2081、2082、2083之一些檔案或所有檔案的資料格式、檔案類型及/或字元編碼方案。
應注意,可根據由儲存模型(例如,圖1之儲存模型130)指定之一資料表示轉換(「DRT」)演算法來改變該資料格式、檔案類型及字元編碼方案。針對複數個傳入資料檔案使用之DRT演算法可係在一第一時間段內相同及/或在一第二時間段內不同。回應於一觸發事件,可發生該DRT演算法之一動態變化。下文將詳細描述例示性觸發事件。仍應瞭解該儲存模型指定複數個觸發事件之哪個觸發事件將引起資料儲存操縱(例如,諸如該DRT演算法及/或其參數值之一動態變化)。該儲存模型中亦提供定義系統100之期望DRT行為的邏輯規則。
藉由圖5之功能塊504展示,亦可處理每個第二資料檔案2081、2082、2083以將其(a)純文字改變為加密文字或(b)改變用以密碼編譯該純文字之加密方案。可為產生自第一資料檔案202之第二資料檔案2081、2082、2083之一些檔案或所有檔案執行兩種類型之變化(a)及(b)。根據儲存模型(例如,圖1之儲存模型130)中指定之一資料密碼轉換(「DCT」)演算法選擇哪些第二資料檔案欲應用功能塊504之該等操作。此外,亦根據該儲存模型中指定之該DCT演算法選擇在功能塊504之該等操作期間應該採用哪個(些)密碼編譯方案。可藉由改變該密碼編譯演算法、改變一當前採用之密碼編譯演算法之一種子值及/或改變其他參數值修改該密碼編譯方案。在此可使用任何已知或將知道之密碼編譯演算法而不受限制。
應注意,針對複數個傳入資料檔案使用之DCT演算法可在一第一時間段內相同及/或在一第二時間段內不同。回應於一觸發事件,可發生該DCT演算法之一動態變化。下文將詳細描述例示性觸發事件。仍應瞭解儲存模型(例如,圖1之儲存模型130)指定複數個觸發事件之哪個觸發事件將引起資料儲存操縱(例如,諸如該密碼編譯演算法、 種子值及/或其他參數值之變化)。在該儲存模型中亦提供定義系統100之期望DCT行為之邏輯規則。
藉由圖5之功能塊506展示,可進一步處理每個第二資料檔案2081、2082、2083以改變其資料大小。可藉由向其中新增虛擬資料或其他資料來增加或膨脹資料大小(例如,有效資料、無效資料、有意義資料及/或無意義資料)。相比而言,可藉由壓縮該資料檔案減少或壓縮資料大小以由此移除任何不必要資料。在此可使用任何已知或將知道之資料壓縮技術而不受限制。根據儲存模型(例如,圖1之儲存模型130)中指定之資訊選擇哪些第二資料檔案欲應用功能塊506之該等操作。此外,亦根據該儲存模型中指定之資訊選擇針對每一第二資料檔案在功能塊506之該等操作期間應該採用哪個(些)資料大小轉換(「DST」)演算法。
應注意,針對複數個傳入資料檔案所使用之DCT演算法可在一第一時間段內相同及/或在一第二時間段內不同。回應於一觸發事件,可發生該DCT演算法之一動態變化。下文將詳細描述例示性觸發事件。仍應瞭解儲存模型(例如,圖1之儲存模型130)指定複數個觸發事件之哪個觸發事件將引起資料儲存操縱(例如,諸如該DCT演算法及/或其參數值之變化)。在該儲存模型中亦提供定義系統100之期望DST行為之邏輯規則。
藉由圖5之功能塊508展示,可進一步處理每個第二資料檔案2081、2082、2083以改變其儲存位置。有利地,改變至少兩個第二資料檔案之儲存位置以彼此不同。實際上,此等第二資料檔案將依序地且各自地散佈至複數個資料儲存區116、118及/或120以儲存在其中。因此,與習知資料儲存系統(諸如在本文件之先前技術段落中討論之儲存系統)不同,第一資料檔案202之資料元件將不會如單一資料儲存區中之一段連續資訊一般儲存。此外,至少一第二資料檔案之該資料 儲存位置將隨時間動態地修改(即,該資料並不如儲存在習知系統中一般無限期地儲存在一已知位置中)。因此,與習知資料儲存系統中執行之靜態方式相反,本發明以一動態方式處理資料儲存。由於該方式增加了與獲得未授權存取資料有關之難度及成本,因此此係本發明之一重要特徵。每次動態地修改該資料儲存位置時亦執行一個或多個其他轉換502至508以改變各自第二資料檔案之屬性。此外或或者,可在執行其他轉換502至508之前重新分段該等第二資料檔案。
亦可在功能塊508中執行一距離轉換。執行該距離轉換以改變該等第二資料檔案通過/經由該網路至其用於儲存之各自資料儲存區之路徑及/或通信通道。例如,如果兩個第二資料檔案將儲存在位於相同設備內之資料儲存區中,則可沿通過該處之網路之兩個不同路徑或該處之網路之兩個不同通信通道路由該等第二資料檔案。該等路徑及/或通信通道在該設備之轉換裝置與存取點裝置之間可具有相同數目或不同數目之節點。本發明不限於此實例之細節。
使用儲存模型(例如,圖1之儲存模型130)中指定之一資料儲存位置轉換(「DSLT」)演算法以實現功能塊508中執行之資料儲存位置轉換。亦可根據該儲存模型中指定之資訊選擇在任何給定時間中為每個第二資料檔案執行功能塊508之該等操作期間應該採用哪個(些)DSLT演算法。應注意,針對複數個傳入資料檔案使用之DSLT演算法可在一第一時間段內相同及/或在一第二時間段內不同。回應於一觸發事件,可發生該DSLT演算法之一動態變化。下文將詳細描述例示性觸發事件。仍應瞭解儲存模型(例如,圖1之儲存模型130)指定複數個觸發事件之哪個觸發事件將引起資料儲存操縱(例如,諸如該DSLT演算法及/或其參數值之變化)。此外,在該儲存模型中亦提供定義系統100之期望DSLT行為之邏輯規則。
如上文提及,功能塊502至功能塊508中採用之該等檔案轉換演 算法可在一第一時間段內相同及/或在一第二時間段內不同。例如,如圖6中所示,在一第一時間段620期間,使用一DRT演算法602、一DCT演算法632、一DST演算法642及一DSLT演算法652。在第一時間段620結束時,發生一觸發事件604(例如,該第一時間段之期滿)。回應於觸發事件604,演算法602、632、642、652之至少一者動態地改變為一個新演算法。在圖6之情況中,DRT演算法602改變為DRT演算法606。DCT演算法632改變為DCT演算法634。DST演算法642改變為DST演算法644。DSLT演算法652改變為DSLT演算法654。新演算法606、634、644、654之各者係與對應原始演算法602、632、642或652不同之一不同演算法。接著,在一第二時間段622期間使用該等新演算法。當發生一觸發事件608(例如,已接收包含最高機密資訊之一檔案)時,演算法606、634、644、654動態地改變為其他演算法。特定言之,DRT演算法606改變為DRT演算法610。DCT演算法634改變為DCT演算法636。DST演算法644改變為DST演算法646。DSLT演算法654改變為DSLT演算法656。演算法610、636、646、656係與演算法606、634、644、654各自不同。接著,在一第三時間段624中,使用演算法610、636、646、656。本發明不限於此實例之細節。
以此方法,相同或不同DRT、DCT、DST及/或DSLT演算法可用於轉換使用第一資料檔案202產生之至少兩個第二資料檔案2081、2082、2083之各種屬性。類似地,相同或不同DRT、DCT、DST及/或DSLT演算法可用於轉換使用第一資料檔案202產生之至少一第二資料檔案2081、2082、2083之各種屬性及繼第一資料檔案202之後使用另一資料檔案(未展示)輸入至功能塊204之至少一第二資料檔案(未展示)。
DRT、DCT、DST及/或DSLT演算法不需要彼此同時動態地修改。相反,回應於不同觸發事件之發生,該等演算法之至少兩個演算法可在不同時間改變。例如,如圖7中所示,在一第一時間段740期間 使用四個演算法702、712、722、732。回應於一觸發事件750,僅DSLT演算法732動態地改變為一個新DSLT演算法734。如此一來,在一第二時間段742期間使用新DSLT演算法734併同原始演算法702、原始演算法712、原始演算法722。一些時間後,發生另一觸發事件752。回應於觸發事件752,演算法712與演算法722各自改變為新演算法714、724。相應地,在一第三時間段746期間使用演算法702、714、724及734。隨後,回應於又一觸發事件756,DRT演算法702改變為一個新DRT演算法704。實際上,在一第四時間段748期間使用演算法704、714、724、734。本發明不限於此實例之細節。
再次參考圖2,檔案轉換操作206導致形成第三資料檔案210。每個第三資料檔案210包括第一資料檔案202或具有至少一修改屬性之一各自第二資料檔案。接著,第三資料檔案210散佈至其對應資料儲存位置。例如,一資料檔案發送至資料儲存區116用於在其中儲存,而另一資料檔案發送至資料儲存區120用於在其中儲存。如上文提及,第三資料檔案210之散佈路徑及行進路徑藉由包含在儲存模型中之DSLT演算法所控制。
如應瞭解,應用於該等資料檔案之分段及/或轉換可反轉或未完成使得第一資料檔案202可以其原始狀態重新建立且於一終端使用者請求時提供。據此而言,需要資訊追蹤分段及轉換,藉由執行該反轉分段及/或轉換操作之該裝置使用及/或儲存。再次,可通過選擇應用於一組特定資料之演算法設定存取速度。當功能塊204及功能塊206中採用之該等演算法複雜時,存取速度相對較慢,且當該等演算法不太複雜或簡單時存取速度較快。
在一些情況中,以一冗餘及/或容錯方式儲存第三資料檔案210以增加其可用性。在此可使用任何已知或將知道之冗餘儲存技術而不受限制。例如,可採用吾人所習知之廉價磁碟冗餘陣列(「RAID」)技術 用於實現冗餘資料儲存。
此外,可藉由系統100採用各種欺詐技術。在此可使用任何已知或將知道之欺詐技術而不受限制。例如,未授權存取嘗試傳回資料影子或誘餌以使得其來源可被偵測。在該資料影子情況中,一儲存媒體上存取之資料將導致資料未轉譯(本機實體存取)。此外,通過控制器之未授權資料存取返回不適當地轉譯之資料(遠程存取)。本發明不限於此。
觸發事件
如上文提及,分段及轉換演算法502至分段及轉換演算法508之該等動態變化藉由至少一各自觸發事件控制。一反應性觸發事件係引起針對本文描述之動態修改之一變化發生之一純自發事件或使用者啟動事件。換言之,可以說該觸發事件引起該網路以與在一先前時間(即,在該反應性觸發發生之前)不同之一個新方式操縱。例如,在一第一時間段期間,一儲存模型可引起使用一第一分段演算法(例如,圖4之分段演算法402)及/或一第一DRT演算法(例如,圖6之DRT演算法602);但在該觸發事件之後,該儲存模型可引起替代使用一第二分段演算法(例如,圖4之演算法422)及一第二DRT演算法(例如,圖6之DRT演算法606或610)。類似地,在該第一時間段期間,一儲存模型可引起使用第一DCT演算法、第一DST演算法及第一DSLT演算法(例如,圖6之演算法632、642、652);但在該觸發事件之後,該儲存模型可替代引起使用第二DCT演算法、第二DST演算法及第二DSLT演算法(例如,圖6之演算法634、644、654)。
以其最簡形式,一反應性觸發事件可基於一基於封包檢驗之方案、一基於擁擠等級之方案、一基於試探演算法之方案及/或一基於以基於網路攻擊(「NBA」)分析之方案。該基於封包檢驗之方案可涉及分析一封包以獲得識別該封包之一原點、該封包之一目的地、該原 點或目的地裝置所屬之一群組及/或該封包中含有之有效負載之類型之一識別符。該基於封包檢驗之方案亦可涉及分析該封包以確定其中是否含有一碼字或其中是否不存在碼字。用於實現此封包檢驗之技術在本發明中為吾人所習知。現在已知或未來將知道之任何此技術可在本發明中使用而不受限制。在一些實施例中,當該識別符之一值匹配一預定義值時發生一反應性觸發事件。
在該封包檢驗情況中,一封包中包含一特定類型之內容充當用於選擇一觸發基於哪一時序方案之一觸發或一參數。例如,一觸發事件可定義為(a)當一實體之一特定人員(例如,一軍事單位之一司令官)與該實體之其他成員通信資訊時及/或(b)當該封包內含有一特定碼字時發生。或者或此外,一觸發事件可定義為在每N個第二時間間隔(其藉由根據一特定封包檢驗應用程式選擇之一時序方案定義,其中N係一整數)期滿時發生。據此而言,應瞭解在一些情況中,(a)當一實體之一第一人員(例如,一軍事單位之一司令官)請求與該實體之其他成員進行一通信會話時或(b)當一封包內存在一特定碼字時可選擇一第一時序方案。(a)當一實體之一第二人員(例如,一軍事單位之一副司令官)請求與該實體之其他成員進行一通信會話時或(b)當一封包內存在一第二碼字時等等選擇一第二不同時序方案。本發明之實施例不限於上文提供實施例之細節。據此而言,應瞭解一封包中包含之其他內容可定義一觸發事件。例如,如果一封包之該有效負載包含敏感資訊或秘密資訊,則可根據該資訊之敏感等級或機密等級選擇一個新的儲存模型、分段演算法、轉換演算法及/或演算法參數。
對於此等基於時間之觸發配置,該儲存模型、分段演算法、轉換演算法及演算法參數之一或多者可根據一預定時鐘時間每N(例如,60)秒發生變化。在一些實施例中,該等分段演算法、轉換演算法及/或演算法參數之全部可同時改變使得該等變化同步。在一稍微 更複雜之實施例中,亦可使用一基於時間觸發配置,但可為每個儲存模型、分段演算法、轉換演算法及/或其演算法參數選擇一不同的獨特觸發時間間隔。
將瞭解依賴時鐘時間充當一觸發機制之情況,有利地提供如各種資料處理裝置(例如,圖1之裝置102至106、108、110及/或114)中該等時鐘之間的同步化以確保所有資料可以其原始格式重新建構。同步化方法為吾人所習知且可為此目的使用任何適合同步化機制。例如,可藉由使用高度準確之時間參考(諸如一GPS時鐘時間)同步化該等裝置。或者,可廣播一獨特無線同步化信號至一中央控制設備中之該等模組之各者。
該基於擁擠等級之方案可涉及:監視及追蹤一電腦網路內之擁擠等級;比較一當前擁擠等級與一臨限值;且基於該比較之結果自複數個儲存模型選擇一儲存模型。在一些情況中,當該當前擁擠等級等於該臨限值、大於該臨限值或小於該臨限值時選擇一個新儲存模型。以此方式,基於一電腦網路內之擁擠等級之變化,在明顯不穩定之時間間隔發生一儲存模型、分段演算法、轉換演算法及/或演算法參數之一變化。
該基於試探演算法之方案可涉及分析一網路以確定其狀態。此網路分析可涉及在一天之特定時間監視一網路之訊務模式(例如,使用者之數目)、協定模式及/或熵模式(即,誰與誰通信)。一訊務模式可藉由收集與網路設備使用(例如,一處理器之使用)及自一網路裝置(例如,一網路伺服器)存在之若干連接器有關之資訊。收集的資訊可與一預定義表或矩陣之內容相比較以識別一電腦網路內當前可能存在複數個可能訊務模式之哪一訊務模式。至少基於此比較操作之結果,可選擇一個新儲存模型、新分段演算法、新轉換演算法及/或新演算法參數用以在該電腦網路中利用。
在一些探索情況中,該等儲存模型可經組態使得一恆定高等級訊務維持在一電腦網路內,不管其中實際訊務之量變化如何。可藉由根據其中實際訊務之量來調整(即,增加或減少)一網路之一雜訊等級以維持該恆定高等級訊務。結果,在任何給定時間之實際訊務之量及訊務模式之類型被遮蔽。
一協定模式可藉由收集與關於網路資源之使用者活動有關的資訊來確定。此資訊可包含,但不限於,一電腦網路之至少一使用者之使用者活動、使用者活動開始之時間、使用者活動停止之時間、使用者活動已過去之時間,及識別由一電腦網路之至少一使用者執行之同時發生之使用者活動之資訊之一歷史記錄。可分析收集的資訊以確定當前是否存在一特定協定模式。如果確定當前存在一特定協定模式,則可選擇一個新儲存模型、新分段演算法、新轉換演算法及/或演算法參數,以在該電腦網路中利用。以此方式,基於協定模式之變化(更特定言之,使用者活動之變化),在明顯不穩定之時間間隔,發生基於一動態資料儲存的變化。
該熵模式可藉由收集與誰經由該電腦網路彼此通信有關的資訊來判定。基於收集的資訊,可自複數個儲存模型選擇一個新儲存模型,以在該電腦網路中利用。在此情況中,基於參與通信會話之各方之變化,在明顯不穩定之時間間隔,發生一動態資料儲存變化。
為判定一NBA之等級、一NBA之類型及/或當前正在一電腦網路上展開之NBA攻擊之數目的目的,而執行該NBA分析。此等NBA分析在本發明中為吾人所習知,且因此本文將不會描述。仍應瞭解此等NBA分析可涉及:監視及追蹤一電腦網路內之攻擊事件;且為確定一NBA攻擊之等級及/或一NBA攻擊之類型而執行LUT操作。現在已知或未來已知之任何NBA分析技術可在本發明中使用而不受限制。基於該NBA分析之結果,一旦完成該NBA分析,可選擇一個新儲存模型、 新分段演算法、新轉換演算法及/或新演算法參數,以在該電腦網路中利用。例如,如果已確定一NBA係一低等級NBA及/或係屬一第一類型,則自複數個儲存模型選擇一第一儲存模型。相比而言,如果已確定一NBA係一高等級NBA及/或係屬一第二類型,則自該複數個儲存模型選擇一不同的第二儲存模型。在此情況中,基於NBA攻擊及/或NBA攻擊之類型之變化,在明顯不穩定之時間間隔,發生基於一動態資料儲存的變化。此外或或者,當兩個或更多個相同等級及/或類型或不同等級及/或類型之NBA攻擊正在該電腦網路上展開時,可選擇一個新儲存模型、新分段演算法、新轉換演算法及/或新演算法參數。在此情況中,基於當前正在執行之攻擊之數目的變化,在明顯不穩定之時間間隔,發生基於一動態資料儲存的變化。
在一些情況中,可藉由一網路安全軟體來識別一NBA。或者,可在一裝置(例如,圖1之裝置102至106、108、110及/或114)中一接收到一資料封包就識別該NBA。如上文描述,無論識別一NBA之基礎如何,存在此NBA可充當一反應性觸發事件。
基於上文描述之方案之反應性觸發事件可引起相同類型之網路操縱。例如,儲存模型、分段演算法、轉換演算法及/或演算法參數可維持穩定(即,不改變),除非偵測到以下之一或多者:具有一特定原點或目的地之一封包或資料檔案;一封包或資料檔案中含有之一碼字;一封包或資料檔案中含有之祕密資訊或機密資訊;一網路(例如,圖1之網路112)內之一特定擁擠等級;該網路內之一特定訊務模式;該網路內之一特定協定模式;該網路內之一特定熵模式;該網路內之一特定等級及/或類型之NBA及當前正在該網路上展開之一特定數目之NBA。可在,(例如),需要頻繁資料儲存操縱之電腦網路中選擇此配置以增加儲存資料之安全性。
或者,基於上文描述之方案之反應性觸發事件可引起不同類型 之資料儲存操縱。在此等實施例中,相較於基於一封包檢驗及/或一試探演算法之結果之一觸發事件,基於一NBA分析結果之一觸發事件可對該資料儲存操縱具有一不同影響。例如,一基於NBA之觸發事件可引起該資料儲存操縱之策略性或防禦性變化以更有力地反擊此等NBA。此等量度之精確本質可取決於該威脅之本質,但可包含多種回應。例如,可選擇不同偽隨機演算法或混沌演算法及/或可增加將要轉換之該等檔案屬性之數目。此外,該回應可包含增加資料儲存操縱之一頻率。相應地,本文描述之該資料儲存操縱提供用於以基於多種因素之一純自發方式改變一儲存模型、一分段演算法、一轉換演算法及/或一演算法參數之一方法,因此增加儲存資料之安全性。
儲存模型
根據一儲存模型控制本文描述之該資料儲存操縱。該儲存模型通常經設計以賦予使用者及環境利用雲端資源之能力,同時提供「存取信任」之控制。該儲存模型亦賦予使用者新增資料之儲存行為之能力。本解決方案之動態特性增加了對手收集及利用所有資料的負擔。此技術係新增以防禦現有儲存架構及操作之概念(「CONOPS」)。
一儲存模型係在(1)一網路及/或一個別電子裝置及(2)至少一安全模型之內容中定義及控制操縱性之規劃。如此一來,該儲存模型可表示為自一網路控制器(未展示)至圖1之裝置102至106、108、110及/或114之一或多者之一資料檔案。隨後,該儲存模型藉由使用該(等)裝置以控制資料檔案屬性之操縱且協調其活動與該網路中之其他裝置之活動。該儲存模型集中控制或分佈控制動態儲存之資料。在部署至圖1之裝置102至106、108、110及/或114之前,可設計及測試該儲存模型。可修改及更新該儲存模型以提供新增的資料操縱性層。
圖8中提供一例示性儲存模型800之一示意繪示。圖1之儲存模型130可係與儲存模型800相同或相類似。如此一來,儲存模型800之討 論係足夠理解儲存模型130。
儲存模型800包括:用於選擇性地分段及轉換資料檔案之源端資訊;及用於重新構建資料檔案使得資料檔案可以其原始形式提供至終端使用者之目的端資訊。此源/目的端資訊包含,但不限於,資料分段資訊802及資料轉換資訊810。資料分段資訊802通常指定演算法804、觸發事件806及定義一系統(例如,圖1之系統100)之期望資料分段行為之規則808。類似地,資料轉換資訊810包含DRT資訊812、DCT資訊820、DST資訊828及DSLT資訊836。每個所示資訊812、820、828、836指定演算法814、822、830、838、觸發事件816、824、832、840及定義一系統(例如,圖1之系統100)之DRT行為、DCT行為、DST行為或DSLT行為之規則818、826、834、842。本發明之實施例不限於此實例(其中單一儲存模型800中含有該源端資訊及該目的端資訊)之細節。至少兩個分離儲存模型中可替代地含有該源端資訊及該目的端資訊。
儲存模型800可額外地包含以下資訊:指定何時使用每個分段演算法及/或轉換演算法之時序資訊;用於動態地產生新演算法參數值之一數學函數;指定何時調用該數學函數用於產生該新演算法參數值之規則;指定何時動態地選擇將轉換一資料檔案哪些資料檔屬性之規則;指定將選擇之資料檔案屬性之數目及之將選擇哪些資料檔屬性用於轉換之一規則;指定同步或非同步改變一資料檔案之資料檔案屬性之一規則及用於動態地改變該電腦網路內發生資料檔案分段及/或轉換之位置之一規則。在該等同步情況中,所有已選資料檔案屬性藉由相同裝置在相同時間改變。在該等非同步情況中,在路徑中發生多個資料檔案之轉換。換言之,當該資料檔案通過一網路時,資料檔案屬性之該群組增加地改變,即,至少一第一資料檔案屬性(例如,檔案類型)藉由該網路中之一第一裝置(例如,圖1之模組108)改變且至少一 第二資料檔案屬性(例如,一資料大小)藉由該網路中之一第二裝置(例如,圖1之網路節點114)改變。
一儲存模型可藉由一網路管理員不時手動地修改及/或藉由該網路控制器(未展示)自動地修改以更新或改變該網路操縱以阻遏潛在對手之方式。如此一來,該儲存模型可向一網路管理員及/或該網路控制器提供用於隨時間完成控制之一方式、資料儲存操縱將在該網路內發生之位置及方式。此更新能力允許該網路管理員及/或該網路控制器調整系統100之行為至當前操作條件且更有效地阻遏對手潛入系統100之努力。
多個儲存模型可藉由一使用者手動地定義及/或藉由該網路控制器自動地產生。接著,可儲存該等儲存模型使得其可存取系統100內之裝置。例如,該等多個儲存模型可儲存在該網路控制器中且可視需要傳送至裝置102至106、108、110及/或114。或者,複數個儲存模型可儲存在每個裝置102至106、108、110、114且可視需要或期望來啟動以維持該網路之安全性。例如,如果該網路管理員及/或網路控制器確定或懷疑一對手已發現系統100之一當前儲存模型,該管理員及/或網路控制器可改變該儲存模型。有效的安全程序亦可決定週期性地改變該儲存模型。
模組操作
現在參考圖9,提供實施本發明之一模組900之一例示性架構之一示意繪示。圖1之模組108及網路節點110、網路節點114可係於模組900相同或相類似。如此一來,模組900之以下討論係足夠理解模組108及網路節點110、114。
如圖9中所示,模組900包含一處理器912(諸如一中央處理單元(「CPU」))、一主記憶體920及一靜態記憶體918,其經由一匯流排922彼此通信。模組900可進一步包含一顯示單元902(諸如一液晶顯 示(「LCD」))以指示該模組之狀態。模組900亦可包含允許該模組在兩個分離資料線上同時接收及傳輸資料之一個或多個網路介面裝置914、916。該等兩個網路介面埠促進圖1中展示之配置,其中該模組經組態以同時攔截及重新傳輸自該系統中之兩個分離運算裝置接收之資料封包。
主記憶體920包含一電腦可讀儲存媒體910,該媒體中儲存經組態以實施本文描述之該等方法、程序或功能之一或多者之一組或多組指令908(例如,軟體密碼及至少一儲存模組)。在藉由該模組執行期間,指令908亦可完整地或至少部分地存在於靜態記憶體918及/或處理器912內。靜態記憶體918及處理器912亦可構成機器可讀媒體。在本發明之該等各種實施例中,連接至一網路環境之一網路介面裝置916使用指令908經由該網路通信。
用於動態資料儲存之方法
現在參考圖10,提供用於動態資料儲存之一例示性方法1000之一流程圖。方法1000以一步驟1002開始且繼續步驟1004。在步驟1004中,在一網路裝置(例如,圖1之裝置102、裝置104、裝置108、裝置110或裝置114)中接收至少一第一資料檔案(例如,圖2之資料檔案202)。該第一資料檔案包括第一資料(例如,圖3之資料302至資料320)。接著在步驟1006中,分段該第一資料以形成複數個第一資料區段(例如,諸如圖2之元件符號2081、2082、2083展示之資料區段)。接著,藉由步驟1008展示,處理該等第一資料區段之各者以轉換至少一屬性以形成一第二資料區段。該屬性包含,但不限於,一資料格式、一檔案類型、一編碼方案、一密碼編譯方案或一資料大小。在一些情況中,根據不同演算法轉換該等第一資料區段之至少兩者之該等第一屬性。
藉由步驟1010展示,該等第二資料區段各自儲存在複數個不同 資料儲存區(例如,圖1之資料儲存區116至資料儲存區120)中。稍後,執行步驟1014,其中週期性地執行以下操作之一或多者:重新分段該第一資料、重新轉換該(等)屬性、轉換一新屬性及/或改變該等第二資料區段之實體儲存位置。在一些情況中,每次改變該等第二資料區段之一一各自者之實體位置時轉換一第一屬性及一第二不同屬性之至少一者。或者或此外,根據與一先前轉換中使用之至少一轉換演算法不同之一轉換演算法週期性地重新轉換該第一屬性及該第二屬性之之至少一者。用以轉換該第一屬性及該第二屬性之該等轉換演算法可在該網路之操作期間同步或非同步改變。一旦完成步驟1014,就執行步驟1016,其中方法1000結束或執行其他處理。
儘管已繪示及描述關於一個或多個實施之本發明,但在閱讀及理解此說明書及該等附圖後,其他技術者將意識到等效替代及修改。此外,雖然可已揭示僅關於若干實施之一者之本發明之一特定特徵,但如針對任何給定或特定應用的需要或有利,此特徵可與其他實施之一個或多個其他特徵組合。因此,本發明之廣義及範疇應該不受任何上文描述之實施例所限制。相反,本發明之範疇應該由以下申請專利範圍及其等效物所界定。

Claims (15)

  1. 一種用於一網路內動態資料儲存之方法,該方法包括:接收包括第一資料之至少一第一資料檔案,該第一資料待儲存於該網路之至少一資料儲存區;自複數個儲存模型動態地選擇第一儲存模型,該第一儲存模型基於該網路或該第一資料之至少一特性(characteristic)針對該第一資料指定複數個轉換演算法(transformation algorithms),及觸發轉換演算法改變的至少一觸發事件;基於該第一資料檔案的大小、該第一資料表示之資訊類型、及接收該第一資料檔案之裝置的類型中之至少一者,決定是否選擇性地略過(bypass)對該第一資料的分段操作(segmentation operations);當決定不應略過該分段操作時,分段該第一資料以形成複數個第一資料區段(segments);藉由一第一網路節點,根據該複數個轉換演算法之第一轉換演算法處理該等第一資料區段之各者,以轉換複數個屬性(attribute)之至少一第一屬性以形成一第二資料區段,其中該複數個屬性包含一檔案類型、一編碼方案(encoding scheme)、一純/加密文本狀態(plain/cipher text state)、一密碼編譯(cryptographic)方案、一資料檔案大小、一膨脹(inflation)方案、一資料存取方案、及一操縱(maneuver)頻率中之至少一者;偵測該至少一觸發事件;回應於該至少一觸發事件,動態地改變該第一轉換演算法為一不同的第二轉換演算法,該不同的第二轉換演算法包含在該等複數個轉換演算法中; 藉由一第二網路節點,根據該不同的第二轉換演算法處理第二資料區段之各者,以轉換該複數個屬性之至少一第二屬性以形成一第三資料區段;並且分別在複數個不同資料儲存區(data stores)中儲存該等第三資料區段其中當該第一資料在至該至少一資料儲存區的路徑中(en-route)時,至少該第一網路節點及該第二網路節點對該第一資料執行轉換。
  2. 如請求項1之方法,其中根據不同演算法來轉換該等第一資料區段中之至少兩者之該等第一屬性。
  3. 如請求項1之方法,其中根據與該第一屬性之一先前轉換中使用之至少一轉換演算法不同之一轉換演算法來週期性地重新轉換該第一屬性。
  4. 如請求項1之方法,進一步包括每當該等第三資料區段之一各自者之實體位置改變時,轉換一不同屬性。
  5. 如請求項1之方法,其中該第二屬性與該第一屬性不同。
  6. 如請求項1之方法,進一步包括同步或非同步改變用以轉換該第一屬性及該第二屬性之轉換演算法。
  7. 如請求項1之方法,進一步包括:接收包括第二資料之一第二資料檔案;及根據與用以分段該第一資料檔案之分段方案不同之一分段方案來分段該第二資料檔案,以形成複數個第四資料區段。
  8. 如請求項1之方法,其中該觸發事件係由儲存於該網路內或一電子裝置之一資料儲存區內之至少一預定義規則所定義。
  9. 一種系統,包括:一第一網路節點,其經組態以 接收包括第一資料之至少一第一資料檔案,自複數個儲存模型動態地選擇第一儲存模型,該第一儲存模型基於該網路或該第一資料之至少一特性(characteristic)針對該第一資料指定複數個轉換演算法,及觸發轉換演算法改變的至少一觸發事件;基於該第一資料檔案的大小、該第一資料表示之資訊類型、及接收該第一資料檔案之裝置的類型中之至少一者,決定是否選擇性地略過對該第一資料的分段操作;當決定不應略過該分段操作時,分段該第一資料以形成複數個第一資料區段;並且根據該複數個轉換演算法之第一轉換演算法處理該等第一資料區段之各者,以轉換複數個屬性之至少一第一屬性以形成一第二資料區段,其中該複數個屬性包含一檔案類型、一編碼方案、一純/加密文本狀態、一密碼編譯方案、一資料檔案大小、一膨脹方案、一資料存取方案、及一操縱頻率中之至少一者;一第二網路節點,其經組態以根據該複數個轉換演算法之一不同的第二轉換演算法處理第二資料區段之各者,以轉換該複數個屬性之至少一第二屬性以形成第三資料區段;以及複數個不同資料儲存區,其經組態以分別儲存該等第三資料區段;其中當該第一資料在至該至少一資料儲存區的路徑中時,至少該第一網路節點及該第二網路節點對該第一資料執行轉換;且其中該第一轉換演算法回應於該至少一觸發事件之發生而 動態地改變為該不同的第二轉換演算法。
  10. 如請求項9之系統,其中該等第一資料區段中之至少兩者之該等第一屬性係根據不同演算法而轉換。
  11. 如請求項9之系統,其中該第一屬性係週期性地重新轉換,其係根據與該第一屬性之一先前轉換中使用之至少一轉換演算法不同之一轉換演算法。
  12. 如請求項9之系統,其中每當該等第三資料區段之一各自者之實體位置改變時,一不同屬性被轉換。
  13. 如請求項9之系統,其中該第一網路節點與該第二網路節點經組態以同步或非同步改變用以轉換該第一屬性及該第二屬性之轉換演算法。
  14. 如請求項9之系統,其中該第一網路節點與該第二網路節點進一步經組態以:接收包括第二資料之一第二資料檔案,並分段該第二資料檔案以形成複數個第四資料區段,其係根據與用以分段該第一資料檔案之分段方案不同之一分段方案。
  15. 如請求項9之系統,其中該觸發事件係由儲存於該網路內或一電子裝置之一資料儲存區內之至少一預定義規則所定義。
TW104118182A 2014-06-04 2015-06-04 用於動態資料儲存之系統及方法 TWI670624B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/296,050 US10127244B2 (en) 2014-06-04 2014-06-04 Systems and methods for dynamic data storage
US14/296,050 2014-06-04

Publications (2)

Publication Number Publication Date
TW201610747A TW201610747A (zh) 2016-03-16
TWI670624B true TWI670624B (zh) 2019-09-01

Family

ID=53181039

Family Applications (1)

Application Number Title Priority Date Filing Date
TW104118182A TWI670624B (zh) 2014-06-04 2015-06-04 用於動態資料儲存之系統及方法

Country Status (5)

Country Link
US (1) US10127244B2 (zh)
EP (1) EP2953052B1 (zh)
KR (1) KR102202473B1 (zh)
CN (1) CN105320613B (zh)
TW (1) TWI670624B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI802035B (zh) * 2021-10-06 2023-05-11 神雲科技股份有限公司 伺服器資料備援控制方法

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10452857B2 (en) * 2014-11-07 2019-10-22 Cyber Reliant Corporation Systems and methods for providing file level security
US10769285B2 (en) * 2016-05-18 2020-09-08 International Business Machines Corporation Privacy enabled runtime
IL254433A0 (en) * 2017-09-11 2017-11-30 Spectertx L D Ltd dynamic information storage
WO2019120038A1 (zh) 2017-12-18 2019-06-27 北京三快在线科技有限公司 数据加密存储
CN109933994B (zh) * 2017-12-18 2024-03-29 北京三快在线科技有限公司 数据分级存储方法和装置以及计算设备
CN109117649B (zh) * 2018-07-23 2022-10-14 合肥联宝信息技术有限公司 一种文件处理方法、装置及计算机可读存储介质
WO2023008620A1 (ko) * 2021-07-30 2023-02-02 (주)기원테크 폴더 보호 기능을 제공하는 보안 장비 시스템의 구동 장치 및 그 동작 방법
CN113949713A (zh) * 2021-10-15 2022-01-18 佳缘科技股份有限公司 一种基于数据漂移的动态存储方法、存储介质和计算机设备
CN117708068B (zh) * 2024-02-06 2024-04-12 南京凯奥思数据技术有限公司 振动监测保护装置的触发文件格式存储方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5832496A (en) * 1995-10-12 1998-11-03 Ncr Corporation System and method for performing intelligent analysis of a computer database
US5870746A (en) * 1995-10-12 1999-02-09 Ncr Corporation System and method for segmenting a database based upon data attributes
TWI381378B (zh) * 2006-12-22 2013-01-01 Fujitsu Semiconductor Ltd 記憶體裝置、記憶體控制器及記憶體系統(三)
TW201314437A (zh) * 2011-07-15 2013-04-01 Violin Memory Inc 快閃碟陣列及控制器

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1097550A4 (en) 1998-07-16 2005-11-09 Francis Lambert METHOD FOR THE SAFE TRANSFER AND STORAGE OF DATA
HK1020419A2 (zh) * 1999-03-16 2000-03-17 Piu Joseph Fong Shi 在数据库重建和整合中供通用据数库用的框架模型
US6772413B2 (en) * 1999-12-21 2004-08-03 Datapower Technology, Inc. Method and apparatus of data exchange using runtime code generator and translator
US7590644B2 (en) * 1999-12-21 2009-09-15 International Business Machine Corporation Method and apparatus of streaming data transformation using code generator and translator
US8805715B1 (en) * 1999-12-29 2014-08-12 Carl Meyer Method for improving the performance of messages including internet splash pages
US20040236798A1 (en) * 2001-09-11 2004-11-25 Sudhir Srinivasan Migration of control in a distributed segmented file system
US6826541B1 (en) * 2000-11-01 2004-11-30 Decision Innovations, Inc. Methods, systems, and computer program products for facilitating user choices among complex alternatives using conjoint analysis
US7546334B2 (en) * 2000-11-13 2009-06-09 Digital Doors, Inc. Data security system and method with adaptive filter
US7200747B2 (en) * 2001-10-31 2007-04-03 Hewlett-Packard Development Company, L.P. System for ensuring data privacy and user differentiation in a distributed file system
US20080060085A1 (en) * 2006-03-10 2008-03-06 Jan Samzelius Protecting Files on a Storage Device from Unauthorized Access or Copying
US20080126357A1 (en) * 2006-05-04 2008-05-29 Wambo, Inc. Distributed file storage and transmission system
US8793155B2 (en) * 2007-04-30 2014-07-29 The Invention Science Fund I, Llc Collecting influence information
US8214308B2 (en) * 2007-10-23 2012-07-03 Sas Institute Inc. Computer-implemented systems and methods for updating predictive models
US7836226B2 (en) * 2007-12-06 2010-11-16 Fusion-Io, Inc. Apparatus, system, and method for coordinating storage requests in a multi-processor/multi-thread environment
US8209334B1 (en) * 2007-12-28 2012-06-26 Don Doerner Method to direct data to a specific one of several repositories
US20090259934A1 (en) * 2008-04-11 2009-10-15 Go Hazel Llc System and method for rendering dynamic web pages with automatic ajax capabilities
US8266114B2 (en) * 2008-09-22 2012-09-11 Riverbed Technology, Inc. Log structured content addressable deduplicating storage
US20090319544A1 (en) * 2008-06-20 2009-12-24 Griffin James R Facilitating integration of different computer data systems
US8219711B2 (en) * 2008-11-24 2012-07-10 Juniper Networks, Inc. Dynamic variable rate media delivery system
US8635184B2 (en) * 2009-06-25 2014-01-21 Emc Corporation System and method for providing long-term storage for data
US8479078B2 (en) * 2009-10-30 2013-07-02 Cleversafe, Inc. Distributed storage network for modification of a data object
US9635421B2 (en) * 2009-11-11 2017-04-25 Time Warner Cable Enterprises Llc Methods and apparatus for audience data collection and analysis in a content delivery network
US9128918B2 (en) * 2010-07-13 2015-09-08 Motionpoint Corporation Dynamic language translation of web site content
US8966191B2 (en) * 2011-03-18 2015-02-24 Fusion-Io, Inc. Logical interface for contextual storage
US9619474B2 (en) * 2011-03-31 2017-04-11 EMC IP Holding Company LLC Time-based data partitioning
US20120259854A1 (en) * 2011-04-11 2012-10-11 Google Inc. Conversion Path Based Segmentation
HK1201093A1 (zh) * 2011-06-01 2015-08-21 安全第一公司 用於安全分布式存儲的系統與方法
US8635107B2 (en) * 2011-06-03 2014-01-21 Adobe Systems Incorporated Automatic expansion of an advertisement offer inventory
US9124671B2 (en) * 2011-12-07 2015-09-01 Imagine Communicaions Corp. Media service and method for delivery of stored media
CN103366125B (zh) * 2012-03-28 2017-07-21 富泰华工业(深圳)有限公司 文件加密系统和方法
CN102664928A (zh) * 2012-04-01 2012-09-12 南京邮电大学 一种用于云存储的数据安全存取方法及用户端系统
CN103020144B (zh) * 2012-11-21 2015-11-18 用友汽车信息科技(上海)股份有限公司 文件管理系统和文件管理方法
EP2973051A4 (en) * 2013-03-15 2016-11-16 Amazon Tech Inc SCALABLE ANALYSIS PLATFORM FOR SEMI-STRUCTURED DATA
CN103455764B (zh) * 2013-08-27 2016-09-14 无锡华御信息技术有限公司 一种基于文件分割合并技术的文件加密以及解密系统
CN103793666A (zh) * 2014-01-24 2014-05-14 中经云数据存储科技(北京)有限公司 一种数据文件的保护方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5832496A (en) * 1995-10-12 1998-11-03 Ncr Corporation System and method for performing intelligent analysis of a computer database
US5870746A (en) * 1995-10-12 1999-02-09 Ncr Corporation System and method for segmenting a database based upon data attributes
TWI381378B (zh) * 2006-12-22 2013-01-01 Fujitsu Semiconductor Ltd 記憶體裝置、記憶體控制器及記憶體系統(三)
TW201314437A (zh) * 2011-07-15 2013-04-01 Violin Memory Inc 快閃碟陣列及控制器

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI802035B (zh) * 2021-10-06 2023-05-11 神雲科技股份有限公司 伺服器資料備援控制方法

Also Published As

Publication number Publication date
EP2953052A1 (en) 2015-12-09
EP2953052B1 (en) 2017-12-13
US10127244B2 (en) 2018-11-13
CN105320613A (zh) 2016-02-10
KR102202473B1 (ko) 2021-01-13
US20150356114A1 (en) 2015-12-10
CN105320613B (zh) 2020-12-15
TW201610747A (zh) 2016-03-16
KR20150139784A (ko) 2015-12-14

Similar Documents

Publication Publication Date Title
TWI670624B (zh) 用於動態資料儲存之系統及方法
Awan et al. Secure framework enhancing AES algorithm in cloud computing
Abid et al. RETRACTED ARTICLE: An optimised homomorphic CRT-RSA algorithm for secure and efficient communication
WO2018024056A1 (zh) 用户口令管理的方法和服务器
Abdul Hussien et al. [Retracted] A Secure Environment Using a New Lightweight AES Encryption Algorithm for E‐Commerce Websites
CN116502732B (zh) 基于可信执行环境的联邦学习方法以及系统
Li et al. A parallel image encryption algorithm based on chaotic Duffing oscillators
Rahul et al. Efficiency analysis of cryptographic algorithms for image data security in cloud environment
Hussain et al. Security of cloud storage system using various cryptographic techniques
CN113507482B (zh) 数据安全传输方法、安全交易方法、系统、介质和设备
Wang et al. Enhancing security by using GIFT and ECC encryption method in multi-tenant datacenters
CN103618612A (zh) 一种实现终端应用单点登录的方法及装置
CN111191253B (zh) 一种数据加密组合方法
Santos et al. Performance analysis of data fragmentation techniques on a cloud server
CN111130788B (zh) 数据处理方法和系统、数据读取方法和iSCSI服务器
CN115801266B (zh) 数据传输方法、装置、计算机设备和存储介质
CN115442164B (zh) 多用户日志加解密方法、装置、设备及存储介质
Zhang Application of hybrid encryption algorithm in physical layer software control
Anwar Data security issues in the realm of mobile cloud computing: A survey
Sai et al. Design of a high-speed and low-power AES architecture
Liu et al. A parallel encryption algorithm for dual-core processor based on chaotic map
CN107343001A (zh) 数据处理方法及装置
CN113902443A (zh) 数据处理方法、装置和服务器
Tukkoji Secure Data Storage in Cloud Computing Using Code Based McEliece and NTRU Cryptosystems
Sadawarti et al. Review of Secure and Optimized Techniques for Data Storage in Cloud Computing