CN104995633A - 利用下游解密器进行端到端加密情况下实现存储效率 - Google Patents
利用下游解密器进行端到端加密情况下实现存储效率 Download PDFInfo
- Publication number
- CN104995633A CN104995633A CN201480009244.4A CN201480009244A CN104995633A CN 104995633 A CN104995633 A CN 104995633A CN 201480009244 A CN201480009244 A CN 201480009244A CN 104995633 A CN104995633 A CN 104995633A
- Authority
- CN
- China
- Prior art keywords
- data
- key
- encrypted
- ciphertext
- decipher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明的优选实施例涉及在持久存储中有效存储已加密数据或将其传递给另一数据处理组件。利用下游解密器在数据产生器和存储服务器之间的数据路径内作用。解密器取得解密接收的数据所需的加密密钥以及任何其他所需的辅助信息。解密数据之后,解密器具有直接在明文上操作和在已解密数据上执行存储有效性功能的能力。解密器在数据离开解密器用于持久存储之前重新加密已解密的数据以维持已加密数据的安全。
Description
技术领域
本发明涉及数据存储。特别地,本发明涉及利用自数据被加密的地方起的数据路径下游的解密器安全有效地存储已加密数据块。
背景技术
端到端加密是先将靠近源头的数据进行加密、再将其交付存储的过程。由于对第三方存储或云供应商的安全考量、特定领域对敏感数据强制加密的法规、确保数据的安全删除以及高安全性数据中心的要求,该加密过程已经变得越来越普遍。
然而,加密数据的局限性在于大多数存储效率功能在加密数据上操作时不能达到预期的功能。加密数据最大化密文的熵,因此不能被压缩。此外,对两个不同文件中的或两个不同位置中的数据块的加密,产生不同的密文,导致标准去重(deduplication)尝试的失败。
因此,现有技术中需要解决前述问题。
发明内容
本发明包括用于在已加密数据上有效执行通常只在明文上有效操作的数据功能的方法、系统和计算机程序产品。
提供了用于有效存储已加密数据的方法、计算机程序产品和系统。解密器接收用于存储的密文的至少一个数据块。数据块以加密形式接收并与可以用来解密数据的密钥相关。为接收的密文的数据块实例化加密算法。利用相关的加密密钥将密文的块解密成非加密形式。在非加密数据块上执行一个或多个功能,以及在重新加密的数据离开解密器之前用加密密钥重新加密已解密的数据块。
从第一方面来看,本发明提供了一种方法,包括:解密器接收用于存储的密文的至少一个数据块,接收的数据块用密钥加密;为接收的密文的数据块实例化加密算法,包括获取该密钥以解密接收的数据块;利用获取的密钥将密文的至少一个数据块解密成非加密数据块;对非加密数据块执行一个或多个数据功能;以及在重新加密的数据离开解密器之前用该密钥重新加密已解密的数据块。
从另一方面来看,本发明提供了一种方法,包括:将密文的至少一个已加密数据块重定向至与数据存储通信的组件,数据块用密钥加密;将密文的至少一个块解密成非加密数据块,解密利用一加密密钥;对非加密数据块执行一个或多个数据功能;以及用该密钥重新加密已解密的数据块;以及将已解密的数据块从该组件重定向至持久存储。
从又一方面来看,本发明提供了一种用于存储已加密数据的计算机程序产品,该计算机程序产品包括可由处理电路读取的计算机可读存储介质并存储指令,用于由处理电路执行用于执行本发明方法的步骤。
从再一方面来看,本发明提供了一种计算机程序,存储在计算机可读介质之上并可加载到数字计算机的内部存储器中,包括软件代码部分,当所述程序在计算机上运行时用于执行本发明的步骤。
从还一方面来看,本发明提供了一种系统,包括:解密器,与用于有效存储已加密数据的数据存储通信;功能单元,与解密器通信,该功能单元与工具通信以支持有效的数据存储,该工具包括:加密秘钥管理器,用于为接收的密文实例化加密算法,接收的密文用一密钥加密;解密管理器,用于将密文解密成非加密数据,该解密管理器利用该密钥;数据功能管理器,用于对非加密数据执行一个或多个数据功能;以及加密管理器,用于在重新加密的数据离开解密器之前用该密钥重新加密已解密的数据。
本发明其他的特点和优点将在以下结合本发明的优选实施例,结合附图的详细描述中变得明显。
附图说明
现在将通过参考本发明的优选实施例的方式描述本发明,如图所示:
图1描述了根据本发明的一个优选实施例,嵌入计算机系统中以支持用于有效存储已加密数据的技术的工具的框图;
图2显示了根据本发明的一个优选实施例,用于有效存储已加密数据的方法的流程图;
图3显示了根据本发明的一个优选实施例,用于加密密钥删除的方法的流程图;
图4描述了根据本发明的一个优选实施例,根据现有技术,可以在其中实现本发明的一个优选实施例的计算节点;
图5描述了根据本发明的一个优选实施例,根据现有技术,可以在其中实现本发明的一个优选实施例的计算环境;
图6描述了根据本发明的一个优选实施例,根据现有技术,可以在其中实现本发明的一个优选实施例的抽象模型层。
具体实施方式
将容易理解,如附图显示和描述的本发明的部件可以布置和设计成各种不同的结构。因此,下面对本发明附图中呈现的优选实施例的装置、系统和方法的详细描述并不旨在限制本发明权利要求的范围,而仅仅是代表选择的本发明的优选实施例。
贯穿本说明书中对“本发明的一个优选实施例”、“本发明的一个优选实施例”或“一个优选的本发明的实施例”意味着结合本发明优选实施例描述的特定的特征、结构或特性描述包括在本发明的至少一个优选实施例中。因此,贯穿说明书不同地方出现的短语“本发明的一个优选实施例”、“本发明的一个优选实施例”或“一个优选的本发明的实施例”并不一定都指的是本发明的相同的优选实施例。
在本发明的所说明的优选实施例能够通过参考附图得到最好的理解,其中相同的部件由相同的附图标记表示。以下描述旨在仅通过例子的方式简单地示出了与要求保护的发明一致的本发明的某些优选实施例的装置、系统和方法。
以下描述的解密器是产生和/或使用数据的应用和存储所产生的和/或所使用的数据的持久介质之间的数据路径的一部分的组件。在本发明的一个优选实施例中,解密器是计算节点。解密器在被授予许可时,可以访问加密密钥和元数据,其包含有关密文的充分信息以允许解密。而且,解密器具有获取解密数据块的原始明文(例如非加密)版本所需的任意解密密钥的能力。一旦原始明文可用,解密器可以直接在明文上操作,并且可以执行所需的存储效率功能或要求数据为非加密形式的其他功能。在本发明的一个优选实施例中,解密器不需要对加密算法进行修改。在本发明的另一个优选实施例中,既不需要对解密器在数据路径中的放置强加限制,例如,解密器并不需要放置在上游相对于加密功能的位置,也不需要重新放置执行加密的组件。因此,在本发明的一个优选实施例中,解密器是一个安全组件或模块,其中数据被准备用于存储在诸如后端存储的持久设备中,或者传递到另一数据处理组件。可以采取多个安全措施以确保解密器的环境是可信的。在本发明的一个优选实施例中,解密器可作为安全/可信的应用,例如在可信计算环境中封装为安全应用。在本发明的另一个优选实施例中,解密器具有利用诸如可信平台模块的硬件方法建立信任根的能力。在本发明的一个优选实施例中,解密器被授予管理和/或控制用来解密数据的解密密钥和其他信息的能力,或者在密钥拥有者不授权解密器访问利用该密钥加密的数据时被拒绝访问和/或控制加密密钥。在本发明的一个优选实施例中,解密器可以实现为只在安全易失性存储器、可信平台模块(TPM)或其他硬件安全模块(HSM)中缓存加密密钥。在本发明的该优选实施例中,解密器可以暴露一个接口,客户可以通过该接口要求安全擦除缓存、TPM或HSM中的密钥。因此,解密器的特征为具有撤销之前已经授予的解密能力的功能的封包应用或计算节点。
图1是嵌入计算机系统中以支持用于有效存储已加密数据的技术的工具的框图100。这里显示了三个主要组件,包括应用服务器110、密钥服务器130和存储服务器150。在本发明的一个优选实施例中,可配置计算机资源的共享池可以用来替代存储服务器150,其中共享池位于至少一个数据中心。
应用服务器110具有处理单元112,通过总线116与存储器114通信。应用服务器110被示为具有两个虚拟机120和122。虽然只显示了两个虚拟机,本发明不应该限于这些数量,因为这些数量仅是为了说明的目的。与应用服务器110的通信的虚拟机的数量可以增加或减少。数据存储126与应用服务器110本地通信,以存储由应用服务器110产生的数据。因此,应用服务器110生成的数据将被在本地数据存储126上本地存储,或者在存储服务器150或其他存储设备上远程存储。
如图所示,密钥服务器130与应用服务器110通信。密钥服务器130具有处理单元132,通过总线136与存储器134通信。一个或多个加密密钥(之后称为密钥)本地存储于密钥服务器130并被用来加密和解密数据。尽管在本发明的一个优选实施例中,多个密钥可以本地存储于密钥服务器130,但出于说明的目的,只显示了一个密钥140。如图所示,密钥140本地存储于存储器134。此外,在所示的本发明的一个优选实施例中,密钥服务器130本地具有密钥发布引擎142。在本发明的一个优选实施例中,密钥发布引擎142发放密钥140,发放的该密钥用于解密加密的数据。因此,密钥发布引擎142管理用于数据解密的一个或多个密钥140的发布。
存储服务器150与密钥服务器130通信。如图所示,存储服务器150具有处理单元152,通过总线156与存储器154通信。在显示的本发明的一个优选实施例中,存储服务器150与数据存储160通信,数据存储160这里显示为多个数据存储模块162、164和166。尽管分别显示了三个模块,可以实现为任意数量的数据存储模块。存储服务器150还具有解密器170,与存储器154通信。解密器170包括功能单元180,具有支持数据解密、执行数据功能和重新加密已解密的数据的一个或多个的工具。功能单元180中嵌入的工具包括但不限于:加密密钥管理器182、解密管理器184、数据功能管理器186和加密管理器188。
从应用服务器110接收密文的至少一个已加密数据块或文件后,解密服务器184为接收的数据块或文件(自此以后称为数据)实例化加密算法。加密密钥管理器182从密钥服务器130取得加密密钥。根据与接收的数据块一起的元数据或其他信息,解密管理器184进一步确定解密接收的数据块所需的适当的调整(tweak)、种子(seed)、盐(salt)或初始化向量(Initialization Vector)。相应地,解密管理器184收集并确定解密接收的数据所需要的工具。
解密管理器184与解密密钥管理器182通信。解密管理器184利用解密密钥管理器182提供的密钥将接收的密文的数据解密成一个或多个非加密的数据块或文件。数据功能管理器186在已解密的数据上执行一个或多个数据功能。数据功能可以包括但不限于数据简化、数据压缩、数据去重、在数据上应用病毒扫描和/或在数据上应用索引扫描。这些数据功能无法在已加密数据上执行,因此,在本发明的一个优选实施例中,该应用限于解密器170的安全位置中的解密数据。重新加密管理器188与数据功能管理器186通信。一旦执行完所有数据功能,重新加密管理器188利用加密密钥140重新加密已解密的数据块。在本发明的一个优选实施例中,接收的数据块在重新加密之前不会离开解密器170。因此,数据的解密、操作和重新加密都在可信数据解密器中进行。
如前所述,加密密钥管理器182、解密管理器184、数据功能管理器186和重新加密管理器188被示为位于存储服务器150本地的可信解密管理器170的功能单元180中。不过,在本发明的一个优选实施例中,功能单元180和管理器182-188可以作为硬件工具位于存储服务器150的存储器154外部。在本发明的另一个优选实施例中,管理器182-188可以实现为资源共享池的硬件和软件的组合。类似地,在本发明的一个优选实施例中,管理器182-188可以合并至包含各个单独功能部件的单一功能部件中。如图所示,管理器182-188的每一个位于存储服务器150本地。然而,在本发明的一个优选实施例中,它们可以共同或单独分布于可配置计算机资源的共享池中并且作为支持解密、数据操作和重新加密的单元。因此,管理器可以实现为软件工具、硬件工具或软件和硬件工具的组合。
此外,所描述的特征、结构或特性在本发明的一个或多个优选实施例中可以以任何合适的方式组合。已经提供了管理器的示例以便彻底理解本发明的优选实施例。本领域的有关技术人员将认识到,本发明的实践,可以不依赖这些具体细节的一个的或多个,或者可以利用其它方法、组件、材料。在其它实例中,没有示出或描述公知的结构、材料或操作,以避免模糊本发明的各方面。
以上描述的图1中的功能单元已和各管理器一起作了标记。管理器可以在诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑器件等的可编程硬件设备中实现。管理器还可以在用于由各种处理器执行的软件中实现。可执行代码的管理器可以例如包括一个或多个计算机指令的物理或逻辑块,物理或逻辑块可以例如被组织成对象、过程、函数或其他构件。然而,管理器的可执行形式不必物理上位于一起,而是可以包括存储在不同位置的完全不同的指令,当逻辑上结合在一起时构成管理器并达到所列出的管理器的目的。
实际上,可执行代码的管理器可以是单个指令或许多指令,并且甚至可以在若干不同的代码段上、在不同的程序之间以及跨多个存储器装置分布。类似地,操作数据这里可以在管理器内识别并示出,并且可以体现为任何合适的形式,并在任何适当类型的数据结构内组织。操作数据可被收集为单个数据集,或者可以分布在包括不同存储设备的不同位置,并可以至少部分地作为系统或网络上的电子信号存在。
图2是利用解密器有效存储已加密数据的方法的流程图200。在已加密数据块或文件(这里称为密文)存储于持久存储设备或传递给另一数据处理组件之前由解密器接收202该已加密数据块或文件。在本发明的一个优选实施例中,解密器的功能是处理接收的密文,准备重新加密并将重新加密的数据提交到持久存储设备。然而,在本发明的另一个优选实施例中,解密器的功能可以是将重新加密的数据传递给另一数据处理组件,例如通过广域网(WAN)传输数据的灾难恢复副本。尽管描述教导一个数据块,在本发明的一个优选实施例中,解密器可以接收多个数据块或文件。解密器可以接收或需要收集关于加密的数据块的辅助信息。所提供的辅助信息是解密以某些类型的加密算法编码的密文所必需的。在步骤202接收数据块之后,判断204接收的数据块是否已加密。在本发明的一个优选实施例中,解密过程限于那些已被加密的数据块。肯定响应之后为接收的数据块实例化加密算法206。在步骤206的实例化提供解密该数据所需的技术。在本发明的一个优选实施例中,实例化指示用来加密该数据的加密算法的类型,以及解密该数据是否需要辅助信息。
步骤206之后,判断是否应授权解密器访问加密密钥208。步骤208判断的否定响应之后将密文提交210到持久存储,或在本发明的一个优选实施例中,将重新加密的数据传递给另一数据处理组件,例如通过广域网(WAN)传送数据的灾难恢复副本。然而,步骤208判断的肯定响应之后判断解密该数据是否需要辅助信息212。在本发明的一个优选实施例中,辅助信息是面向块的,例如存储该数据所在的逻辑块地址和卷号。类似地,在本发明的一个优选实施例中,辅助信息是面向文件的,例如存储该数据所在的文件中的索引节点(inode)号和偏移量。步骤212判断的肯定响应之后收集该辅助信息214。然而,步骤212判断的否定响应或在步骤214收集辅助信息的过程完成之后,利用获取的加密密钥和可用的辅助信息解密该数据块216。相应地,用解密器解密加密的密文,并且把接收的不能解密的密文提交到持久存储或传递给另一数据处理组件。
一旦密文由解密器解密,则为持久存储准备非加密的数据库或文件或将其传递给另一数据处理组件。在步骤204判断的否定响应之后(例如:接收的数据块没有加密),或者在步骤216之后,数据功能应用于非加密数据块218。数据功能的应用可以包括但不限于:压缩、去重、病毒扫描、索引扫描或任何其他只能在非加密形式的数据上执行的应用。步骤220判断的肯定响应之后返回步骤218。然而,步骤220判断的否定响应指示非加密数据上额外功能的执行完成。步骤220判断的否定响应之后判断步骤202接收的数据是否是被加密222。原始未被加密的数据不重新加密。如图所示,步骤222判断的肯定响应导致用加密密钥重新加密224解密的密文(利用用获取的相同加密密钥),并返回步骤210,将数据提交到另一数据处理组件的存储。类似地,步骤222判断的否定响应之后将处理的数据以非加密的形式提交226到存储或另一数据处理组件。在本发明的一个优选实施例中,重新应用用来解密数据的任意方法、技术和/或工具来重新加密数据。一旦数据被重新加密,将数据提交到持久存储或传递给另一数据处理组件210。相应地,选择性地处理接收的密文。
如文中描述的,加密的数据是用加密密钥加密的。为了维持已擦除的已加密数据的隐私,必须从解密器中清除加密密钥。
图3显示了用于从解密器的密钥管理器或密钥缓存(cache)中清除加密密钥的方法的流程图。用密钥服务器存储加密密钥,或在本发明的一个优选实施例中,用存储密钥的组件存储加密密钥,直到接收到从密钥管理器或缓存中清除密钥的指令。解密器从试图擦除密钥的实体或代理接收要从密钥管理器或缓存中清除密钥的指令302。接收指令后判断解密器是否拥有该密钥304。在本发明的一个优选实施例中,密钥可能是临时存储的。例如,在本发明的一个优选实施例中,可能在有限的时间内缓存该密钥。如果在步骤304确定解密器没有该密钥,清除密钥的过程结束306。然而,如果在步骤304确定解密器拥有该密钥,解密器从诸如缓存的内部存储器清除该密钥308。在本发明的一个优选实施例中,存储密钥并且现在擦除密钥130的实体向解密器发送要擦除密钥的命令。在本发明的一个优选实施例中,其中实现多个解密器,与解密器交换可信通信以确保从每个解密器中清除同一密钥。在本发明的一个优选实施例中,通过安全删除从解密器中清除密钥,例如:解密器依据命令擦除密钥并确保解密器的任何位置都没有该密钥的副本。一旦密钥从解密器的密钥管理器或缓存中删除,由于已经消除对任何剩余数据的访问,因此认为解密器存储或保持的利用被擦除的密钥加密的数据也被安全地擦除。因此,通过加密密钥的删除维持了已擦除数据的隐私。
如本文描述所示的,解密器由系统框图和流程图中显示的应用服务器和密钥服务器支持。在本发明的一个优选实施例,解密器的功能可以被外推到具有资源共享池的云计算环境中。
云计算环境是面向服务的,特点集中在无状态性、低耦合性、模块性和语意的互操作性。云计算的核心是包含互连节点网络的基础架构。现在参考图4,其中显示了云计算节点的一个例子。云计算节点410仅仅是适合的云计算节点的一个示例,不应对本发明实施例的功能和使用范围带来任何限制。总之,云计算节点410能够被用来实现和/或执行以上所述的任何功能。云计算节点410具有计算机系统/服务器412,其可与众多其它通用或专用计算系统环境或配置一起操作。众所周知,适于与计算机系统/服务器412一起操作的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任意系统的分布式云计算技术环境,等等。
计算机系统/服务器412可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括执行特定的任务或者实现特定的抽象数据类型的例程、程序、目标程序、组件、逻辑、数据结构等。计算机系统/服务器412可以在通过通信网络链接的远程处理设备执行任务的分布式云计算环境中实施。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
如图4所示,云计算节点410中的计算机系统/服务器412以通用计算设备的形式表现。计算机系统/服务器412的组件可以包括但不限于:一个或者多个处理器或者处理单元416,系统存储器428,连接不同系统组件(包括系统存储器428和处理单元416)的总线418。总线418表示一个或多个的任意若干类型的总线结构,包括存储器总线或存储器控制器、外围总线、加速图形端口、以及使用任何各种总线体系结构的处理器或局部总线。以举例方式而非限制的,这样的体系结构包括工业标准体系结构(ISA)总线,微通道体系结构(MCA)总线,增强型ISA(EISA)总线,视频电子标准协会(VESA)局部总线,以及一个外围组件互连(PCI)总线。一种计算机系统/服务器412典型地包括各种计算机系统可读介质。这样的介质可以是任何可用介质是由计算机系统/服务器412可访问的,并且它包括易失性和非易失性介质以及可移动、不可移动介质。
系统存储器428可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)430和/或高速缓存存储器432。计算机系统/服务器412可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统434可以用于读写不可移动的、非易失性磁介质(未显示,通常称为“硬盘驱动器”)。尽管未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线418相连。存储器428可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块442的程序/实用工具440,可以存储在存储器428中,这样的程序模块442包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块442通常执行本发明所描述的实施例中的功能和/或方法。
计算机系统/服务器412也可以与一个或多个外部设备414(例如键盘、指向设备、显示器424等)通信,还可与一个或者多个使得用户能与该计算机系统/服务器412交互的设备通信,和/或与使得该计算机系统/服务器412能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口422进行。并且,计算机系统/服务器412还可以通过网络适配器420与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器420通过总线418与计算机系统/服务器412的其它模块通信。应当明白,尽管图中未示出,其它硬件和/或软件模块可以与计算机系统/服务器412一起操作,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
现在参考图5,其中显示了示例性的云计算环境550。如图所示,云计算环境550包括云计算消费者使用的本地计算设备可以与其相通信的一个或者多个云计算节点510,本地计算设备例如可以是个人数字助理(PDA)或移动电话554A,台式电脑554B、笔记本电脑554C和/或汽车计算机系统554N。云计算节点510之间可以相互通信。可以在包括但不限于如上所述的私有云、共同体云、公共云或混合云或者它们的组合的一个或者多个网络中将云计算节点510进行物理或虚拟分组(图中未显示)。这样,云的消费者无需在本地计算设备上维护资源就能请求云计算环境550提供的基础架构即服务(IaaS)、平台即服务(PaaS)和/或软件即服务(SaaS)。应当理解,图5显示的各类计算设备554A-N仅仅是示意性的,云计算节点510以及云计算环境550可以与任意类型网络上和/或网络可寻址连接的任意类型的计算设备(例如使用网络浏览器)通信。
现在参见图6,其中显示了由云计算环境600提供的一套功能抽象层。应当事先理解,图6中显示的组件、层和功能旨在说明的目的,本发明的优选实施例并不限于此。如图所示,提供了以下层和相应的功能:硬件和软件层610、虚拟化层620、管理层630和工作负载曾640。硬件和软件层610包括硬件和软件组件。硬件组件的例子包括大型机。在一个示例中是IBM.RTM.zSeries.RTM系统以及基于RISC(精简指令集计算机)架构的服务器。在一个示例中是IBM pSeries.RTM.系统、IBMxSeries.RTM.系统、IBM BladeCenter.RTM.系统、存储设备、网络和联网组件。软件组件的例子包括网络应用服务器软件。在一个示例中是IBMWebSphere.RTM.应用服务器软件和数据库软件。在一个示例中是IBMDB2.RTM.数据库软件。(IBM、zSeries、pSeries、xSeries、BladeCenter、WebSphere和DB2是国际商用机器公司在世界范围内众多管辖区域内注册的商标)。
虚拟层620提供一个抽象层,该层可以提供下列虚拟实体的例子:虚拟服务器、虚拟存储、虚拟网络(包括虚拟私有网络)、虚拟应用和操作系统,虚拟客户端以及加密引擎。
在一个示例中,管理层630可以提供下述功能:资源供应、计量和定价、用户门户、服务水平管理和密钥服务器管理。下面描述各个功能。资源供应提供用于在云计算环境中执行任务的计算资源和其它资源的动态获取。计量和定价在云计算环境内对资源的使用进行成本跟踪,并为此提供帐单和发票。在一个例子中,该资源可以包括应用软件许可。安全为云的消费者和任务提供身份认证,为数据和其它资源提供保护。用户门户为消费者和系统管理员提供对云计算环境的访问。密钥服务器管理提供云计算密钥存储和生命周期管理,以满足所需的对相关已加密数据的加密和管理。
工作负荷层640提供云计算环境可以被利用的功能性的例子。在这里描述的可配置计算机资源的共享池(以下称为云计算环境)中,文件可以在多个数据中心(也称为数据站点)的用户之间共享。因此,在共享池中提供一系列机制以支持云计算环境中数据存储的组织和管理。
所属技术领域的技术人员知道,本发明的各个方面可以实现为系统、方法或计算机程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、驻留软件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。此外,在一些实施例中,本发明的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。Java和所有基于Java的商标和标志是Oracle和/或其分支机构的商标或注册商标。
以上参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些计算机程序指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。
也可以把这些计算机程序指令存储在计算机可读介质中,这些指令使得计算机、其它可编程数据处理装置、或其他设备以特定方式工作,从而,存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(article ofmanufacture)。
计算机程序指令也可以被加载到计算机、其它可编程数据处理设备或其他设备上,以引起一系列要在计算机上、其它可编程设备或其它设备执行的操作步骤,以产生计算机实现的过程,使得在计算机或其他可编程装置上执行的指令提供用于实现在流程图和/或框图的块或多个块中指定的功能/动作的过程。
附图中的流程图和框图显示了根据本发明的多个优选实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本文中所用的术语,仅仅是为了描述特定的实施例,而不意图限定本发明。本文中所用的单数形式的“一”和“该”,旨在也包括复数形式,除非上下文中明确地另外指出。还要知道,“包含”一词在本说明书中使用时,说明存在所指出的特征、整体、步骤、操作、单元和/或组件,但是并不排除存在或增加一个或多个其它特征、整体、步骤、操作、单元和/或组件,以及/或者它们的组合。
权利要求中的对应结构、材料、操作以及所有功能性限定的装置(means)或步骤的等同替换,旨在包括任何用于与在权利要求中具体指出的其它单元相组合地执行该功能的结构、材料或操作。所给出的对本发明的描述其目的在于示意和描述,并非是穷尽性的,也并非是要把本发明限定到所表述的形式。对于所属技术领域的普通技术人员来说,在不偏离本发明范围和精神的情况下,显然可以作出许多修改和变型。对实施例的选择和说明,是为了最好地解释本发明的原理和实际应用,使所属技术领域的普通技术人员能够明了,本发明可以有适合所要的特定用途的具有各种改变的各种实施方式。
本发明的替代优选实施例
应当理解的是,尽管出于说明的目的已经在本文中描述了本发明具体的优选实施例,可以进行各种修改而不脱离本发明的精神和范围。因此,本发明的保护范围由下面的权利要求及其等同来限定。
Claims (19)
1.一种方法,包括:
解密器接收用于存储的密文的至少一个数据块,接收的数据块用密钥加密;
为接收的密文的数据块实例化加密算法,包括获取该密钥以解密接收的块;
利用获取的密钥将密文的至少一个数据块解密成非加密数据块;
对非加密数据块执行一个或多个数据功能;以及
在重新加密的数据离开解密器之前用该密钥重新加密已解密的数据块。
2.如权利要求1所述的方法,进一步包括确定用在接收的密文之上的加密方法并选择工具以解密加密的数据。
3.如前述任一权利要求所述的方法,进一步包括解密器擦除涉及特定数据的密钥的知识。
4.如前述任一权利要求所述的方法,进一步包括解密器收集关于密文的辅助信息,并且利用密钥与辅助信息解密密文,辅助信息包括解密密文所需的数据。
5.如前述任一权利要求所述的方法,其中从包括数据简化、压缩、去重、病毒扫描、索引扫描及其组合中选择数据功能。
6.如前述任一权利要求所述的方法,进一步包括转换数据功能由接收的数据块产生的输出数据并利用与接收的数据相关的密钥重新加密转换后的数据。
7.如前述任一权利要求所述的方法,进一步包括拒绝解密器访问密钥,其中拒绝访问阻止解密器解密存储的密文。
8.如前述任一权利要求所述的方法,进一步包括拒绝解密器访问密钥,其中拒绝访问阻止解密器解密接收的数据。
9.一种方法,包括:
将密文的至少一个已加密数据块重定向至与数据存储通信的组件,数据块用密钥加密;
将密文的至少一个块解密成非加密数据块,解密利用一加密密钥;
对非加密数据块执行一个或多个数据功能;以及
用该密钥重新加密已解密的数据块;以及
将已解密的数据块从该组件重定向至持久存储。
10.一种用于存储已加密数据的计算机程序产品,该计算机程序产品包括:
可由处理电路读取的计算机可读存储介质并存储指令,用于由处理电路执行任一权利要求1至9的方法。
11.一种计算机程序,存储在计算机可读介质之上并可加载到数字计算机的内部存储器中,包括软件代码部分,当所述程序在计算机上运行时用于执行任一权利要求1至9的方法。
12.一种系统,包括:
解密器,与用于有效存储已加密数据的数据存储通信;
功能单元,与解密器通信,该功能单元与工具通信以支持有效的数据存储,该工具包括:
加密秘钥管理器,用于为接收的密文实例化加密算法,接收的密文用一密钥加密;
解密管理器,用于将密文解密成非加密数据,该解密管理器利用该密钥;
数据功能管理器,用于对非加密数据执行一个或多个数据功能;以及
加密管理器,用于在重新加密的数据离开解密器之前用该密钥重新加密已解密的数据。
13.如权利要求12所述的系统,进一步可操作用于确定用在接收的密文之上的加密方法并选择工具以解密加密的数据。
14.如权利要求12或13所述的系统,其中解密管理器进一步可操作用于擦除涉及特定数据的密钥的知识。
15.如权利要求12至14任一权利要求所述的系统,其中解密管理器进一步可操作用于收集密文的辅助信息,并且利用密钥以及辅助信息解密密文,辅助信息包括解密密文所需的数据。
16.如权利要求12至15任一权利要求所述的系统,其中从包括数据简化、压缩、去重、病毒扫描、索引扫描及其组合中选择数据功能。
17.如权利要求12至16任一权利要求所述的系统,进一步可操作用于将输出数据从来自接收数据块的数据功能转换并利用与接收的数据相关的密钥重新加密转换后的数据。
18.如权利要求12至17任一权利要求所述的系统,进一步可操作用于拒绝解密器访问密钥,其中拒绝访问阻止解密器解密存储的密文。
19.如权利要求12至18任一权利要求所述的系统,进一步可操作用于拒绝解密器访问密钥,其中拒绝访问阻止解密器解密接收的数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/857,505 | 2013-04-05 | ||
| US13/857,505 US9215067B2 (en) | 2013-04-05 | 2013-04-05 | Achieving storage efficiency in presence of end-to-end encryption using downstream decrypters |
| PCT/IB2014/060354 WO2014162264A1 (en) | 2013-04-05 | 2014-04-01 | Achieving storage efficiency in presence of end-to-end encryption using downstream decrypters |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104995633A true CN104995633A (zh) | 2015-10-21 |
Family
ID=51654476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480009244.4A Pending CN104995633A (zh) | 2013-04-05 | 2014-04-01 | 利用下游解密器进行端到端加密情况下实现存储效率 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US9215067B2 (zh) |
| CN (1) | CN104995633A (zh) |
| DE (1) | DE112014000584T5 (zh) |
| WO (1) | WO2014162264A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108713190A (zh) * | 2016-03-31 | 2018-10-26 | 英特尔公司 | 用于加速安全存储能力的技术 |
| CN110414245A (zh) * | 2018-04-28 | 2019-11-05 | 伊姆西Ip控股有限责任公司 | 用于在存储系统中管理加密密钥的方法、装置和计算机程序产品 |
| US10706349B2 (en) * | 2017-05-25 | 2020-07-07 | Texas Instruments Incorporated | Secure convolutional neural networks (CNN) accelerator |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9178715B2 (en) * | 2012-10-01 | 2015-11-03 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
| CN106063218B (zh) * | 2014-12-30 | 2018-06-05 | 华为技术有限公司 | 虚拟化系统中加解密的方法、装置和系统 |
| US9609025B1 (en) | 2015-11-24 | 2017-03-28 | International Business Machines Corporation | Protection of sensitive data from unauthorized access |
| US10460118B2 (en) | 2016-08-30 | 2019-10-29 | Workday, Inc. | Secure storage audit verification system |
| US10187203B2 (en) * | 2016-08-30 | 2019-01-22 | Workday, Inc. | Secure storage encryption system |
| US10177908B2 (en) * | 2016-08-30 | 2019-01-08 | Workday, Inc. | Secure storage decryption system |
| US10491387B2 (en) | 2016-11-15 | 2019-11-26 | International Business Machines Corporation | End-to-end encryption of a block storage device with protected key |
| CN106685919A (zh) * | 2016-11-19 | 2017-05-17 | 徐州医科大学 | 一种具有被动式动态密钥分发机制的安全云存储方法 |
| US10284535B2 (en) * | 2016-12-13 | 2019-05-07 | Chronicle Llc | Secure database |
| US10333984B2 (en) | 2017-02-21 | 2019-06-25 | International Business Machines Corporation | Optimizing data reduction, security and encryption requirements in a network environment |
| US11201730B2 (en) | 2019-03-26 | 2021-12-14 | International Business Machines Corporation | Generating a protected key for selective use |
| US11372983B2 (en) * | 2019-03-26 | 2022-06-28 | International Business Machines Corporation | Employing a protected key in performing operations |
| CN110071965B (zh) * | 2019-03-27 | 2022-05-31 | 上海德衡数据科技有限公司 | 一种基于云平台的数据中心管理系统 |
| US11290259B2 (en) * | 2019-10-28 | 2022-03-29 | Gregory Tichy | Data distribution platform |
| CN111523133B (zh) * | 2020-04-24 | 2023-05-09 | 远光软件股份有限公司 | 一种区块链与云端数据协同共享方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5594869A (en) * | 1990-06-29 | 1997-01-14 | Digital Equipment Corporation | Method and apparatus for end-to-end encryption of a data packet in a computer network |
| CN1592877A (zh) * | 2001-09-28 | 2005-03-09 | 高密度装置公司 | 用于对大容量存储设备上数据加密/解密的方法和装置 |
| CN1677922A (zh) * | 2003-11-10 | 2005-10-05 | 美国博通公司 | 保密可执行编码的系统和方法 |
| CN101150724A (zh) * | 2006-08-01 | 2008-03-26 | 辉达公司 | 用于处理经由网络传送的内容的多图形处理器系统和方法 |
| JP2011233157A (ja) * | 2011-06-20 | 2011-11-17 | Fujitsu Semiconductor Ltd | セキュアプロセッサ |
| CN102439638A (zh) * | 2009-04-27 | 2012-05-02 | 纳格拉星有限责任公司 | 用于保护解密装置与电视接收器之间的通信的安全的方法及设备 |
| CN102460461A (zh) * | 2009-06-04 | 2012-05-16 | 微软公司 | 用于内容扫描代理的传输流水线解密 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5604801A (en) * | 1995-02-03 | 1997-02-18 | International Business Machines Corporation | Public key data communications system under control of a portable security device |
| US6252961B1 (en) | 1997-07-17 | 2001-06-26 | Hewlett-Packard Co | Method and apparatus for performing data encryption and error code correction |
| US6249866B1 (en) * | 1997-09-16 | 2001-06-19 | Microsoft Corporation | Encrypting file system and method |
| US6061449A (en) | 1997-10-10 | 2000-05-09 | General Instrument Corporation | Secure processor with external memory using block chaining and block re-ordering |
| US7792300B1 (en) * | 2003-09-30 | 2010-09-07 | Oracle America, Inc. | Method and apparatus for re-encrypting data in a transaction-based secure storage system |
| US7523314B2 (en) * | 2003-12-22 | 2009-04-21 | Voltage Security, Inc. | Identity-based-encryption message management system |
| US8199911B1 (en) | 2008-03-31 | 2012-06-12 | Symantec Operating Corporation | Secure encryption algorithm for data deduplication on untrusted storage |
| KR20090131696A (ko) * | 2008-06-19 | 2009-12-30 | 삼성전자주식회사 | 암/복호화 장치 및 이를 포함하는 보안 저장 장치 |
| US8656177B2 (en) * | 2008-06-23 | 2014-02-18 | Voltage Security, Inc. | Identity-based-encryption system |
| US8572409B2 (en) | 2008-09-26 | 2013-10-29 | Stephen P. Spackman | Method and apparatus for non-redundant encrypted storage |
| US8751829B2 (en) * | 2009-02-05 | 2014-06-10 | Wwpass Corporation | Dispersed secure data storage and retrieval |
| US8782408B2 (en) * | 2009-03-25 | 2014-07-15 | Pacid Technologies, Llc | Method and system for securing communication |
| US8731190B2 (en) | 2009-06-09 | 2014-05-20 | Emc Corporation | Segment deduplication system with encryption and compression of segments |
| WO2011076463A1 (en) | 2009-12-23 | 2011-06-30 | International Business Machines Corporation | Deduplication of encrypted data |
| EP2606604A1 (en) * | 2010-08-17 | 2013-06-26 | Hewlett-Packard Development Company, L.P. | Encryption key management |
| JP5032647B2 (ja) * | 2010-11-26 | 2012-09-26 | 株式会社東芝 | データ記憶装置、コントロール装置及び暗号化方法 |
| US9209978B2 (en) * | 2012-05-15 | 2015-12-08 | The Nielsen Company (Us), Llc | Methods and apparatus to measure exposure to streaming media |
| US20130031636A1 (en) * | 2011-07-28 | 2013-01-31 | Viacom International Inc. | Secure game scrambler |
| US9509504B2 (en) * | 2011-08-17 | 2016-11-29 | Red Hat, Inc. | Cryptographic key manager for application servers |
| CN103946858A (zh) * | 2011-09-29 | 2014-07-23 | 惠普发展公司,有限责任合伙企业 | 应用数据的解密和加密 |
| WO2013069776A1 (ja) * | 2011-11-11 | 2013-05-16 | 日本電気株式会社 | データベース暗号化システムと方法及びプログラム |
| US9128876B2 (en) * | 2011-12-06 | 2015-09-08 | Honeywell International Inc. | Memory location specific data encryption key |
| US20140143885A1 (en) * | 2012-11-20 | 2014-05-22 | Ati Technologies Ulc | Firmware-implemented software licensing |
| US9445112B2 (en) * | 2012-12-06 | 2016-09-13 | Microsoft Technology Licensing, Llc | Secure transcoding of video data |
| US9565472B2 (en) * | 2012-12-10 | 2017-02-07 | Time Warner Cable Enterprises Llc | Apparatus and methods for content transfer protection |
-
2013
- 2013-04-05 US US13/857,505 patent/US9215067B2/en not_active Expired - Fee Related
-
2014
- 2014-04-01 CN CN201480009244.4A patent/CN104995633A/zh active Pending
- 2014-04-01 WO PCT/IB2014/060354 patent/WO2014162264A1/en active Application Filing
- 2014-04-01 DE DE112014000584.3T patent/DE112014000584T5/de active Pending
-
2015
- 2015-09-16 US US14/855,497 patent/US9473297B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5594869A (en) * | 1990-06-29 | 1997-01-14 | Digital Equipment Corporation | Method and apparatus for end-to-end encryption of a data packet in a computer network |
| CN1592877A (zh) * | 2001-09-28 | 2005-03-09 | 高密度装置公司 | 用于对大容量存储设备上数据加密/解密的方法和装置 |
| CN1677922A (zh) * | 2003-11-10 | 2005-10-05 | 美国博通公司 | 保密可执行编码的系统和方法 |
| CN101150724A (zh) * | 2006-08-01 | 2008-03-26 | 辉达公司 | 用于处理经由网络传送的内容的多图形处理器系统和方法 |
| CN102439638A (zh) * | 2009-04-27 | 2012-05-02 | 纳格拉星有限责任公司 | 用于保护解密装置与电视接收器之间的通信的安全的方法及设备 |
| CN102460461A (zh) * | 2009-06-04 | 2012-05-16 | 微软公司 | 用于内容扫描代理的传输流水线解密 |
| JP2011233157A (ja) * | 2011-06-20 | 2011-11-17 | Fujitsu Semiconductor Ltd | セキュアプロセッサ |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108713190A (zh) * | 2016-03-31 | 2018-10-26 | 英特尔公司 | 用于加速安全存储能力的技术 |
| CN108713190B (zh) * | 2016-03-31 | 2024-03-01 | 英特尔公司 | 用于加速安全存储能力的技术 |
| US10706349B2 (en) * | 2017-05-25 | 2020-07-07 | Texas Instruments Incorporated | Secure convolutional neural networks (CNN) accelerator |
| US11853857B2 (en) | 2017-05-25 | 2023-12-26 | Texas Instruments Incorporated | Secure convolutional neural networks (CNN) accelerator |
| CN110414245A (zh) * | 2018-04-28 | 2019-11-05 | 伊姆西Ip控股有限责任公司 | 用于在存储系统中管理加密密钥的方法、装置和计算机程序产品 |
| CN110414245B (zh) * | 2018-04-28 | 2023-09-22 | 伊姆西Ip控股有限责任公司 | 用于在存储系统中管理加密密钥的方法、装置和计算机程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140301545A1 (en) | 2014-10-09 |
| US9215067B2 (en) | 2015-12-15 |
| US20160006564A1 (en) | 2016-01-07 |
| US9473297B2 (en) | 2016-10-18 |
| WO2014162264A1 (en) | 2014-10-09 |
| DE112014000584T5 (de) | 2015-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104995633A (zh) | 利用下游解密器进行端到端加密情况下实现存储效率 | |
| US9979542B2 (en) | Shared data encryption and confidentiality | |
| US9735962B1 (en) | Three layer key wrapping for securing encryption keys in a data storage system | |
| JP7388803B2 (ja) | セキュア・ゲストのセキュア鍵をハードウェア・セキュリティ・モジュールに結びつけること | |
| KR101712784B1 (ko) | 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법 | |
| CN103069428B (zh) | 不可信云基础设施中的安全虚拟机引导 | |
| US11308234B1 (en) | Methods for protecting data | |
| CN103020537B (zh) | 数据加密方法和装置、数据解密方法和装置 | |
| CN104104692B (zh) | 一种虚拟机加密方法、解密方法及加解密控制系统 | |
| CN106105146A (zh) | 在密码证明资源处保护客户端指定凭证 | |
| Baracaldo et al. | Reconciling end-to-end confidentiality and data reduction in cloud storage | |
| CN104618096B (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
| CN102208001A (zh) | 硬件支持的虚拟化密码服务 | |
| CN103745162B (zh) | 一种安全网络文件存储系统 | |
| JP2014521236A (ja) | 依頼−回答メッセージ待ち行列作成環境に関連付けられた動的データ保護ポリシー | |
| CN105612715A (zh) | 具有可配置访问控制的安全处理单元 | |
| US20150143107A1 (en) | Data security tools for shared data | |
| CN103888467A (zh) | 一种面向共享的安全文件夹加密系统 | |
| CN105468940A (zh) | 软件保护方法及装置 | |
| CN112332975A (zh) | 物联网设备安全通信方法及系统 | |
| US20160330022A1 (en) | Cryptographic system, key generation apparatus, re-encryption apparatus and user terminal | |
| JP2023535915A (ja) | 複数の鍵によって暗号化されたデータの重複排除 | |
| CN103379133A (zh) | 一种安全可信的云存储系统 | |
| CN105404470A (zh) | 数据存储方法及安全装置、数据存储系统 | |
| JP2021530009A (ja) | 暗号化されたデータに対するセキュアな動作 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151021 |