利用下游解密器进行端到端加密情况下实现存储效率的制作方法
【技术领域】
[0001]本发明涉及数据存储。特别地,本发明涉及利用自数据被加密的地方起的数据路径下游的解密器安全有效地存储已加密数据块。
【背景技术】
[0002]端到端加密是先将靠近源头的数据进行加密、再将其交付存储的过程。由于对第三方存储或云供应商的安全考量、特定领域对敏感数据强制加密的法规、确保数据的安全删除以及高安全性数据中心的要求,该加密过程已经变得越来越普遍。
[0003]然而,加密数据的局限性在于大多数存储效率功能在加密数据上操作时不能达到预期的功能。加密数据最大化密文的熵,因此不能被压缩。此外,对两个不同文件中的或两个不同位置中的数据块的加密,产生不同的密文,导致标准去重(deduplicat1n)尝试的失败。
[0004]因此,现有技术中需要解决前述问题。
【发明内容】
[0005]本发明包括用于在已加密数据上有效执行通常只在明文上有效操作的数据功能的方法、系统和计算机程序产品。
[0006]提供了用于有效存储已加密数据的方法、计算机程序产品和系统。解密器接收用于存储的密文的至少一个数据块。数据块以加密形式接收并与可以用来解密数据的密钥相关。为接收的密文的数据块实例化加密算法。利用相关的加密密钥将密文的块解密成非加密形式。在非加密数据块上执行一个或多个功能,以及在重新加密的数据离开解密器之前用加密密钥重新加密已解密的数据块。
[0007]从第一方面来看,本发明提供了一种方法,包括:解密器接收用于存储的密文的至少一个数据块,接收的数据块用密钥加密;为接收的密文的数据块实例化加密算法,包括获取该密钥以解密接收的数据块;利用获取的密钥将密文的至少一个数据块解密成非加密数据块;对非加密数据块执行一个或多个数据功能;以及在重新加密的数据离开解密器之前用该密钥重新加密已解密的数据块。
[0008]从另一方面来看,本发明提供了一种方法,包括:将密文的至少一个已加密数据块重定向至与数据存储通信的组件,数据块用密钥加密;将密文的至少一个块解密成非加密数据块,解密利用一加密密钥;对非加密数据块执行一个或多个数据功能;以及用该密钥重新加密已解密的数据块;以及将已解密的数据块从该组件重定向至持久存储。
[0009]从又一方面来看,本发明提供了一种用于存储已加密数据的计算机程序产品,该计算机程序产品包括可由处理电路读取的计算机可读存储介质并存储指令,用于由处理电路执行用于执行本发明方法的步骤。
[0010]从再一方面来看,本发明提供了一种计算机程序,存储在计算机可读介质之上并可加载到数字计算机的内部存储器中,包括软件代码部分,当所述程序在计算机上运行时用于执行本发明的步骤。
[0011]从还一方面来看,本发明提供了一种系统,包括:解密器,与用于有效存储已加密数据的数据存储通信;功能单元,与解密器通信,该功能单元与工具通信以支持有效的数据存储,该工具包括:加密秘钥管理器,用于为接收的密文实例化加密算法,接收的密文用一密钥加密;解密管理器,用于将密文解密成非加密数据,该解密管理器利用该密钥;数据功能管理器,用于对非加密数据执行一个或多个数据功能;以及加密管理器,用于在重新加密的数据离开解密器之前用该密钥重新加密已解密的数据。
[0012]本发明其他的特点和优点将在以下结合本发明的优选实施例,结合附图的详细描述中变得明显。
【附图说明】
[0013]现在将通过参考本发明的优选实施例的方式描述本发明,如图所示:
[0014]图1描述了根据本发明的一个优选实施例,嵌入计算机系统中以支持用于有效存储已加密数据的技术的工具的框图;
[0015]图2显示了根据本发明的一个优选实施例,用于有效存储已加密数据的方法的流程图;
[0016]图3显示了根据本发明的一个优选实施例,用于加密密钥删除的方法的流程图;
[0017]图4描述了根据本发明的一个优选实施例,根据现有技术,可以在其中实现本发明的一个优选实施例的计算节点;
[0018]图5描述了根据本发明的一个优选实施例,根据现有技术,可以在其中实现本发明的一个优选实施例的计算环境;
[0019]图6描述了根据本发明的一个优选实施例,根据现有技术,可以在其中实现本发明的一个优选实施例的抽象模型层。
【具体实施方式】
[0020]将容易理解,如附图显示和描述的本发明的部件可以布置和设计成各种不同的结构。因此,下面对本发明附图中呈现的优选实施例的装置、系统和方法的详细描述并不旨在限制本发明权利要求的范围,而仅仅是代表选择的本发明的优选实施例。
[0021]贯穿本说明书中对“本发明的一个优选实施例”、“本发明的一个优选实施例”或“一个优选的本发明的实施例”意味着结合本发明优选实施例描述的特定的特征、结构或特性描述包括在本发明的至少一个优选实施例中。因此,贯穿说明书不同地方出现的短语“本发明的一个优选实施例”、“本发明的一个优选实施例”或“一个优选的本发明的实施例”并不一定都指的是本发明的相同的优选实施例。
[0022]在本发明的所说明的优选实施例能够通过参考附图得到最好的理解,其中相同的部件由相同的附图标记表示。以下描述旨在仅通过例子的方式简单地示出了与要求保护的发明一致的本发明的某些优选实施例的装置、系统和方法。
[0023]以下描述的解密器是产生和/或使用数据的应用和存储所产生的和/或所使用的数据的持久介质之间的数据路径的一部分的组件。在本发明的一个优选实施例中,解密器是计算节点。解密器在被授予许可时,可以访问加密密钥和元数据,其包含有关密文的充分信息以允许解密。而且,解密器具有获取解密数据块的原始明文(例如非加密)版本所需的任意解密密钥的能力。一旦原始明文可用,解密器可以直接在明文上操作,并且可以执行所需的存储效率功能或要求数据为非加密形式的其他功能。在本发明的一个优选实施例中,解密器不需要对加密算法进行修改。在本发明的另一个优选实施例中,既不需要对解密器在数据路径中的放置强加限制,例如,解密器并不需要放置在上游相对于加密功能的位置,也不需要重新放置执行加密的组件。因此,在本发明的一个优选实施例中,解密器是一个安全组件或模块,其中数据被准备用于存储在诸如后端存储的持久设备中,或者传递到另一数据处理组件。可以采取多个安全措施以确保解密器的环境是可信的。在本发明的一个优选实施例中,解密器可作为安全/可信的应用,例如在可信计算环境中封装为安全应用。在本发明的另一个优选实施例中,解密器具有利用诸如可信平台模块的硬件方法建立信任根的能力。在本发明的一个优选实施例中,解密器被授予管理和/或控制用来解密数据的解密密钥和其他信息的能力,或者在密钥拥有者不授权解密器访问利用该密钥加密的数据时被拒绝访问和/或控制加密密钥。在本发明的一个优选实施例中,解密器可以实现为只在安全易失性存储器、可信平台模块(TPM)或其他硬件安全模块(HSM)中缓存加密密钥。在本发明的该优选实施例中,解密器可以暴露一个接口,客户可以通过该接口要求安全擦除缓存、TPM或HSM中的密钥。因此,解密器的特征为具有撤销之前已经授予的解密能力的功能的封包应用或计算节点。
[0024]图1是嵌入计算机系统中以支持用于有效存储已加密数据的技术的工具的框图1OOo这里显示了三个主要组件,包括应用服务器110、密钥服务器130和存储服务器150。在本发明的一个优选实施例中,可配置计算机资源的共享池可以用来替代存储服务器150,其中共享池位于至少一个数据中心。
[0025]应用服务器110具有处理单元112,通过总线116与存储器114通信。应用服务器110被示为具有两个虚拟机120和122。虽然只显示了两个虚拟机,本发明不应该限于这些数量,因为这些数量仅是为了说明的目的。与应用服务器110的通信的虚拟机的数量可以增加或减少。数据存储126与应用服务器110本地通信,以存储由应用服务器110产生的数据。因此,应用服务器110生成的数据将被在本地数据存储126上本地存储,或者在存储服务器150或其他存储设备上远程存储。
[0026]如图所示,密钥服务器130与应用服务器110通信。密钥服务器130具有处理单元132,通过总线136与存储器134通信。一个或多个加密密钥(之后称为密钥)本地存储于密钥服务器130并被用来加密和解密数据。尽管在本发明的一个优选实施例中,多个密钥可以本地存储于密钥服务器130,但出于说明的目的,只显示了一个密钥140。如图所示,密钥140本地存储于存储器134。此外,在所示的本发明的一个优选实施例中,密钥服务器130本地具有密钥发布引擎142。在本发明的一个优选实施例中,密钥发布引擎142发放密钥140,发放的该密钥用于解密加密的数据。因此,密钥发布引擎142管理用于数据解密的一个或多个密钥140的发布。
[0027]存储服务器150与密钥服务器130通信。如图所示,存储服务器150具有处理单元152,通过总线156与存储器154通信。在显示的本发明的一个优选实施例中,存储服务器150与数据存储160通信,数据存储160这里显示为多个数据存储模块162、164和166