本公开描述了用于安全数据存储的方法和系统。特别地,公开了一种用于存储数据的数字存储系统和在数字存储系统中存储数据及限制对于数字存储系统中数据的访问的方法以及从数字存储系统中检索数据的方法。
随着所产生的需要进行存储的电子数据的量持续增加,安全数据存储变得逐渐急需。由于产生的敏感数据的量和类型,文件和数据的物理硬拷贝的安全存储不再实用且不再可接受。
现有的数据存储方案通常依赖于必须由用户进行存储的物理备份,或需要租赁联网的数据存储服务器中的数据存储空间的基于云端的存储方案,用于利用软件方案来维持对数据的受限访问。
用于存储的许多文件中所含有的信息经常是重要的机密信息,这是因为其可能含有敏感的金融或法律信息(例如合同和遗嘱),机密的个人详细资料(例如医疗记录)乃至可能与安全相关的数据(例如密码列表、安全记录等)。然而,这种现有技术、特别是基于云端的方案的用户在保证文件被安全存档及其访问高度受限方面经常是轻信而散漫的。虽然存在会允许用户对其文件、乃至整个存储介质进行加密的可用系统,但是这些对于针对解密的协同努力不可避免是有弱点的。而且,基于云端的系统对于在计算机网络和架构中的专家进行的访问也是潜在易受攻击的。并且,对于所有的现有存储系统,数据文件总是可访问的,即使在被加密时也是如此。这会允许复制被加密数据和/或使用分析数据结构、操纵存储系统、或使用暴力方法的解密技术来解密被加密数据。
根据本公开的第一方面,提供了一种用于存储和检索用户数据的数字存储系统,所述系统包括:一个或更多个独立数字存储设备,每个数字存储设备包括被配置为存储用户数据的数据存储设备;开关,用于调节对每个数据存储设备的电力供应;和安全模块,用于激活开关并且用于存储限定时间窗的定时限制,其中,开关可以仅在时间窗期间被激活以对数据存储设备供电。
本发明提供了用于存储用户数据的冗余、个性化的数字存储系统,其基于定时信息调节对存储在独立数据存储设备内的数据的数据访问。在由定时限制限定的时间窗期间,在提供正确验证的情况下能够进行访问数据的尝试。对数据的访问由仅能在时间窗期间被激活的开关控制。在时间窗之外的时间期间,不可以利用独立数字存储设备进行数据访问。
通过使独立数字存储设备与数据存储系统断开电连接来阻止时间窗之外的数据访问。独立数字存储设备在时间窗之外断电。应意识到的是,可以将与数据访问有关的单独部件而不是整个独立数字存储设备断电。例如,独立数字存储设备和用户之间的数据连接会在时间窗之外断开电连接。在任何情况下,开关都作用来以这种方式调节对每个数据存储设备的电力供应。开关仅能够在时间窗期间被激活以对数据存储设备供电。
此外,可以通过基于软件的方案阻止时间窗之外的数据访问。基于软件的方案可以作用以利用依赖于时间的软件锁来阻止数据访问。替代地,可以利用依赖于时间的加密技术。
本发明提供提供了针对通过获取对数据存储系统的一部分进行访问的未经验证的攻击而危害存储在独立数字存储设备中的数据的大大降低的风险。数据存储系统中提供的每个独立数字存储设备基本上彼此隔离。例如,独立数字存储设备能够与其他的独立数字存储设备完全电隔离。在由其他用户设置的其他定时限制的情况下,这确保了存储于独立数字存储设备上的、单独用户的数据与存储于位于数据存储系统中的其他独立数字存储设备中的、其他用户的数据是分开且完全隔离的。其他形式的隔离、例如在没有到其他独立数字存储设备的访问的情况下在分开的物理供能和/或数据连接上提供每个独立数字存储设备也是可以的。
在示例中,该独立数字存储设备或每个独立数字存储设备包括安全模块。每个安全模块由此能够存储用于每个独立数字存储设备的单独的定时限制和单独的定时窗。能够意识到的是,将安全模块定位在独立数字存储设备上提高了设备的安全性。这特别是在独立数字存储设备仅允许在时间窗期间对安全模块进行数据访问时的情况。然而,能够意识到的是,单独的安全模块可以用于控制开关,特别是在使用多个开关、每个数字存储设备一个开关的场景下。
另外地或替代地,该独立数字存储设备或每个独立数字存储设备可以包括所述开关。为每个独立数字存储设备提供开关进一步提高了设备的安全性,并且防止对于在每个独立数字存储设备的时间窗之外激活开关的恶意尝试。类似地,能够意识到的是,可以在独立数字存储系统外部使用单个继电器或开关组,其响应于来自其安全模块(其与独立数字存储系统一体化,或为主安全模块)的命令而仅激活用于控制对每个数据存储设备设备的电力供应的开关。
进一步附加地或替代地,安全模块可以包括用于控制一个或更多个独立数字存储设备的处理器。处理器可以用于在开关位于独立数字存储系统内时或在开关在外部时控制开关。
如上所述,每个用户的数据被存储在独立数字存储设备中。因此,每个独立数字存储设备与其他独立数字存储设备电隔离。在实施例中,每个独立数字存储设备与所有其他独立数字存储设备和数字存储系统中的任何其他部件或任何其他电设备(例如基于云端的数字存储系统或互联网)电隔离或物理隔离。系统通常被配置为使得在数据被写入或读取(通常仅花费几毫秒的处理)时数据仅电连接至主存储系统。
如以上指出的,存储系统具有安全模块,其限定在由用户设置的时间窗期间对数据进行访问。时间窗可以是每天特定分钟数、小时数、或秒数的重复时间段,或其可以是仅一年中的特定天或其可以是不重复的时间段。时间窗通常是电访问控制时间,用于允许或限制在规定时间期间对独立数字存储设备的电访问。时间窗还可以限定数据修正控制时间,由此数据修正(即数据写入和删除)仅可以在规定时间期间执行。关键方面在于时间窗通常在将数据初始存储在独立电子存储设备中期间由用户控制和设置。每个独立数字存储设备通常具有其自己的特定时间窗,与存储系统内的其他独立数字存储设备无关。
在实施例中,安全模块被配置为接收来自请求对独立数字存储设备进行数据访问的用户的访问请求并使其有效。另外,访问请求可以由用户的技术平台提供。另外地或替代地,安全模块可能需要利用虚拟隐私网络使得请求成为有效访问请求。
安全模块还可以包括用于提供访问请求的访问请求时间的时钟——进行比较允许使其有效。时钟通常为实时时钟。特别地,安全模块被配置为对访问请求时间与所存储的定时限制进行比较以使得安全模块仅允许在访问请求时间在时间窗内时响应于访问请求而激活开关。
安全模块还可以被配置为将访问限制于具有授权身份的用户。安全模块可以利用用于验证提供访问请求的用户身份的加密协议来使访问请求有效。
在实施例中,独立数字存储设备为或包括一个或更多个固态驱动器——每个固态驱动器被分配用于仅由单个用户访问。这确保了数据完整性并且消除了对存储在独立数字存储设备上的数据的、额外的基于软件的加密技术的需要。然而,应意识到仍能够使用加密。但是这还确保了在未授权而成功尝试访问独立数字存储设备的数据这种不一定发生的情况下,仅危害一个独立数字存储设备并由此仅危害一个用户。这还防止了不择手段的用户尝试访问由其他用户存储在相同数字存储设备上的数据——伴随基于云端的存储方案的潜在问题。独立的单独数字存储设备的冗余阵列还可以用于提供在设备中的一个出现故障的情况下的数据完整性。
数据存储设备设备可以是以上指出的固态驱动器。处理器可以是单板计算机,例如raspberrypitm。如上所述,可以被设置用于每个单独数字存储设备的定时限制由每单个用户限定。这有助于系统的安全性——每个独立数字存储设备具有仅为相应单个用户所知的时间窗。
另外地,开关可以是调节对每个独立数字存储设备的电力供应的继电器。继电器可以是通用串行总线控制器,或可以作用以调节对usb连接器的电力供应。在此,处理器可以控制对开关、继电器、或数据存储的供电能和/或其可以控制任何其他电供应的供电以允许将上述器件打开和/或关闭。
在替代实施例中,安全模块还可以包括用于验证对每个独立数字存储设备的数据访问的加密协议。加密协议可以是与每个独立数字存储设备相关联的密文。可以使用256位的加密技术、例如aes或替代的对称或不对称加密协议。加密协议可以另外地或替代地为基于加密方法的生物测量。示例性生物测量可以包括指纹扫描、视网膜扫描或其他生物测量数据。还可以使用两级验证,例如经由消息服务或利用app向移动电话发送电子消息。
如以上指出的,在一个示例中,独立数字存储设备为数据存储设备的冗余阵列。每个独立数字存储设备运行作为独立单元,并且位于远程安全服务器环境内。开关可以允许从用户的独立数字存储设备到用户的专用网络的数据访问。经验证的连接通常用于确保系统和单独用户之间的真实性和完整性。这种经验证连接的示例包括虚拟专用网络和安全文件传送协议(sftp)连接。开关还可以或替代地允许用户从独立数字存储设备读取和/或将文件写入到该设备。经由专用网络从用户到独立数字存储设备的数据传送以上述方法进行加密。
在示例中,开关可以由安全模块自动激活以在时间窗起始时对数据存储设备供电并且在时间窗结束时被自动停用以与数据存储设备断开电连接。
开关可以仅在用户从他们的独立数字存储设备读取文件和/或将文件写入所述设备时提供数据访问。
开关还可以控制电能力供应以在用户从他们的独立数字存储设备读取文件和/或将文件写入所述设备时提供数据电访问供能。
在另一实施例中,开关可操作用于使数据存储设备与安全模块物理上断开连接。该物理断开连接或解耦合可以利用自动开关或致动机构进行自动操作。物理断开连接表示安全模块和数据存储设备之间的物理路径在部件解耦合或物理开关或断路器阻断流到数据存储设备的电力情况下是中断的。通过开关进行的物理断开可以是自动开关,所述自动开关使数据存储设备与安全模块在时间窗之外解耦合。在示例中,开关可以调节到独立数字存储设备的电力供应。
在实施例中,该独立数字存储设备或每个独立数字存储设备可以与一个单独用户相关联并且从该用户存储数据。
根据本公开的第二方面,公开了一种存储和限制对包括开关的数字存储系统中的数据进行访问的方法,其中所述开关能够被激活以调节对一个或更多个数据存储设备的电力供应,所述方法包括以下步骤:将用户数据上传至数据存储设备中的一个;存储由用户规定的限定时间窗的定时限制;并且防止在时间窗之外激活开关以限制对数据的访问。
在实施例中,限制激活开关的步骤还可以包括以下步骤:在时间窗之外将数据存储设备与开关物理隔离。防止激活开关的步骤进一步还或替代地可以包括以下步骤:在时间窗之外将单独数字存储设备与数字存储系统物理隔离。在这种示例中,独立数字存储设备还可以是与数字存储系统物理隔离和数据通信隔离中的一个或更多个。
在另一实施例中,所述方法可以包括在时间窗起始时自动激活开关和在时间窗结束时自动停用开关的步骤。该自动切换可以通过在物理开关连接至所使用定时器的情况下防止开关被软件控制而有助于安全性。
在另外的实施例中,所述方法可以包括识别用于存储在用户的技术平台上的数据的步骤。这种平台可以是移动应用、运行在计算机(例如便携式计算机)上的软件、或基于网络的平台。
根据本公开的第三方面,公开了一种从具有多个独立数字存储设备的数字存储系统中检索数据的方法。每个独立数字存储设备包括数据存储设备,所述方法包括以下步骤:请求访问独立数字存储设备中的、与请求访问的用户对应的一个;在用户和其独立数字存储设备之间建立经验证的连接;确定所请求访问的当前时间是否对应于被允许的时间窗;以及,仅在当前时间在被允许时间窗内时,将电力供应到独立数字存储设备的数据存储设备。
在实施例中,请求访问的步骤还包括识别和选择与请求访问的用户相对应的独立数字存设备的步骤。可以使用验证来确保为正确的用户选择正确的独立数字存储设备。
在另外的实施例中,仅在数据读取和/或写入访问请求期间供应电力。这进一步限制了独立数字存储设备易受未授权数据访问尝试攻击的时间。
对于所有方面,可以意识到的是,独立数字存储设备可以是实际的物理存储设备,而不是存储设备上的虚拟分区。
可以提供一种计算机程序,其在计算机上执行时使得计算机对任何系统或装置(包括电路、控制器、传感器、滤波器、或本文中公开的设备)进行配置,或执行本文中公开的任何方法。该计算机程序可以是软件实施,并且所述计算机可以被认为是任何合适的硬件,包括数字信号处理器、微控制器、以及只读存储器(rom)、可擦除可编程只读存储器(eprom)或电可擦除可编程只读存储器(eeprom)、或作为非限制示例的芯片中的实施。软件实施可以是汇编程序。
所述计算机程序可以被设置在计算机可读介质上,所述介质可以是物理计算机可读介质,例如光盘或存储设备,或可以被表现为瞬态信号。这种瞬态信号可以是网络下载,包括互联网下载。
本公开的这些和其他方面将变得显而易见,并且将参照下文描述的实施例进行解释。
图1示出了根据本公开至少一个方面的至少一个实施例的存储系统的框图;以及图2示出了根据本公开一个实施例的使用图1的存储系统的流程图。
应指出的是,附图是示意性的并且并非按比例绘制。为了在图中清楚和方便起见,在尺寸上夸张或缩减了这些附图中的部分的相对尺寸和比例。相同的附图标记通常用于指代修改后和不同实施例中的对应或相似的特征。
根据本公开一个方面,如图1所示,提供了一种数字存储系统100。在示出的实施例中,存储系统100包括一个或更多个独立数字存储设备110。每个独立数字存储设备110通常包括单板计算机120并且还包括冗余存储设备130。冗余存储设备130存储用于单个用户的专用数据。
冗余存储设备130可以是存储设备阵列,用于在故障情况下提供数据冗余。然而,每个冗余存储设备包含单个用户的数据。系统100的每个新用户都具有他们自己的、具有至少其自身的冗余存储设备130的独立数字存储设备110。能够理解的是,独立数字存储设备110可以与一个或更多个其他独立数字存储设备110共享单板计算机。然而,每个独立数字存储设备110仅与一个冗余存储设备130相关联。
冗余存储设备130通过开关140连接至单板计算机。在所示出的示例中,开关140为使存储设备130与单板计算机120电隔离的继电器。开关140由此控制到存储设备130的电访问。激活开关允许访问存储设备130。开关140可以控制数据访问和/或可以为物理的或基于软件的开关。另外地,开关可以作用以使数据存储设备130与单板计算机120物理上断开连接或解耦合。
单板计算机120通常至少具有处理器122和保存用于限定时间窗的时间限制的细节的存储单元或安全模块124,在所述时间窗期间,允许供电并且因此允许访问数据。时间限制由用于每个单独立数字存储设备110的每个单个用户设置。存储单元或安全模块124还包括实时时钟。安全模块124还具有口令加密信息和协议以允许对请求访问存储在其存储设备130内的数据的用户进行安全验证。
用户可以利用技术平台150请求访问独立数字存储设备110以及控制到该独立数字存储设备110的存储和从该设备进行的存储。技术平台可以是远程访问终端、计算机(例如便携式计算机)、或移动设备(例如运行在智能手机上的app)。用户技术平台150经由安全连接、例如虚拟专用网络160连接至独立数字存储设备110。
图2描述了根据本公开一个方面的操作200的模式。一旦用户已经将数据存储在图1的存储系统100上,并且已经指定了包括时间段或时间窗的安全状况,用户就能够请求210访问数据,其中,在所述时间段或时间窗期间,存储在独立数字存储设备110内的数据能够被访问和/或修改。
一旦系统检测到访问请求,系统检查220是否能够设置加密和/或安全连接、例如安全或虚拟专用网络(vpn)。如果不能够设置安全连接vpn,则拒绝访问225。
一旦加密连接或vpn被建立,系统就通过将由存储系统100确定的当前时间与预定时间段或时间窗进行比较来确定220访问请求时间是否在配置的时间窗内。如果确定不符合,则拒绝访问235。
于是通常需要口令来允许对数据的访问。口令可以是标准加密协议验证方法,并且可以包括生物测定信息。如果唯一口令是正确的、即验证成功240,则用户之后可以访问与该用户相关联的独立数据存储设备110、130中的文件。如果口令不正确,则拒绝访问245。
仅在利用正确口令在允许时间成功尝试了访问时,开关140才被激活并且存储设备被电启用。实际上,存储设备可以仅在从成功用户读取请求和/或将请求写入成功用户期间才被电启用。在这种请求之外,存储设备110、130与单板计算机120和用户的vpn160保持电隔离。
从阅读本公开出发,对本领域技术人员来说其他变化和修改将显而易见。这种变化和修改可以涉及等同和其他特征,这些特征在设计实现和挤压加工(extrusion)的领域中已知的,并且可以别用于代替或附加本文中已描述的特征。
虽然所附权利要求特征的特定组合,但是应理解的是,本发明的公开内容的范围还包括本文中明确地或隐含地公开的任何新的特征或特征的任何新组合或其任何概括,无论其是否与任何权利要求中当前要求保护的相同发明是否有关和其是否与本发明一样缓和了任何或全部相同技术问题都是如此。
在单独实施例的背景下描述的特征也可以在单个实施例中结合提供。相反地,为了简洁起见而在单个实施例背景下描述的各种特征也可以单独或以任何适当的子组合提供。申请人在此指出,可以在本申请或任何由此衍生出的任何其他申请的流程期间为这种特征和/或这种特征的组合构想新的权利要求。
为了完整起见,还应说明的是,术语“包括”不排除其他元件或步骤,术语“一”或“一个”不排除多个,并且权利要求中的附图标记不应被解释为限制权利要求的范围。
