CN105830086A - 使用外部秘密的存储系统中的数据保护 - Google Patents
使用外部秘密的存储系统中的数据保护 Download PDFInfo
- Publication number
- CN105830086A CN105830086A CN201480068769.5A CN201480068769A CN105830086A CN 105830086 A CN105830086 A CN 105830086A CN 201480068769 A CN201480068769 A CN 201480068769A CN 105830086 A CN105830086 A CN 105830086A
- Authority
- CN
- China
- Prior art keywords
- secret
- storage device
- stored
- share
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
用于与外部秘密相结合地使用秘密共享方案来保护一组存储设备的系统、方法和计算机可读存储介质。生成初始主秘密,然后使用外部秘密将初始主秘密变换成最终主秘密。根据初始主秘密生成多个份额,并将多个份额分发到存储设备。利用特定于设备的密钥来加密每个存储设备的数据,此密钥是使用最终主秘密加密的。为了读取给定存储设备上的数据,根据阈值数量的份额重构初始主秘密,并检索外部秘密。接下来,使用外部秘密将初始主秘密变换成最终主秘密,然后使用最终主秘密来解密给定存储设备的经加密的密钥。
Description
技术领域
本发明涉及存储系统,更具体而言,涉及用于保护数据防止被未经授权的访问的系统。
背景技术
存储系统常常存储许多不同类型的敏感信息。因此,存储系统需要确保存储的数据不能被读取或以别的方式被未经授权的用户泄密(compromise)。防止数据被泄密可被证明在各种情况下是具有挑战性的。例如,当存储设备在各位置之间装运时,可能难以防止丢失或被盗窃的存储设备上的数据被访问。另外,在另一个示例中,未经授权的人可能会盗窃单个存储设备,并通过规避或突破正在被使用的安全措施来访问存储设备上的数据。
现有的用于防止这些类型的情况的方案通常未能完全解决这些对数据安全性的威胁。确保未经授权的用户不能读取存储在存储系统中的数据十分重要。另外,常常期望能够快速地使数据不可读,并且无需给存储设备通电。因此,期望用于保护存储系统中的数据的改善的技术。
鉴于上面的内容,期望用于防止对一组存储设备的访问的改善的系统和方法。
发明内容
想到了用于防止对存储在存储阵列中的数据的未经授权的访问的系统和方法的各实施例。
在一个实施例中,可以将秘密共享方案与一个或多个外部秘密相结合来保护存储在存储阵列中的数据。秘密共享方案可以通过在少量存储设备丢失或被盗窃的情况下防止数据被泄密来保护存储阵列。为防止在整个存储阵列丢失的情况下的未经授权的数据访问,可以将一个或多个外部秘密与秘密共享方案相结合地使用以保护存储的数据。
在一个实施例中,初始主秘密可以被生成,然后可被分成份额的集合,以便只有拥有足够数量的份额才能恢复初始主秘密,但是,拥有不足数量的份额提供很少或不会提供有关初始主秘密的信息。可以为系统的每个存储设备生成一个或多个份额,然后,可以将份额存储在它们的对应的存储设备上。如果有足够的存储设备存在,那么可以根据存储在这些存储设备上的份额重构初始主秘密。在一个实施例中,可以将初始主秘密与一个或多个外部秘密相结合以生成最终主秘密。外部秘密可以是密码、USB密钥、存储在外部服务器中的密钥和/或另一种类型的存储在外部的秘密。
在一个实施例中,可以利用密钥对每个存储设备上的数据进行加密,并且每个存储设备可以使用单独的唯一密钥对存储设备上的数据进行加密。可以使用各种加密方法中的任何一种来使用密钥对存储设备上的数据进行加密。在一个实施例中,对于每个存储设备,可以使用最终主秘密和特定于设备的值来加密每驱动器加密密钥。然后,经加密的密钥可以存储在其对应的存储设备中。在一个实施例中,特定于设备的值可以是给定存储设备的序列号。
为了解密存储阵列中的数据,可以根据适当数量的份额重构初始主秘密。此外,可以检索一个或多个外部秘密。在已重构了初始主秘密并且已定位和/或检索了一个或多个外部秘密之后,一个或多个外部秘密可以被用来将初始主秘密变换为最终主秘密。然后,可以使用最终主秘密和特定于设备的值来解密每个特定于设备的经加密的密钥。然后,可以使用这些密钥来解密存储阵列中的存储设备上的数据。
由于存储阵列上的数据是使用初始主秘密和一个或多个外部秘密的组合来加密的,因此,所有这些输入都必须存在,才能使数据被解密。因此,可以通过破坏外部秘密或使外部秘密无法被访问,轻松地破坏存储在存储阵列中的数据。如果使用USB密钥令牌作为外部秘密,那么破坏USB密钥令牌将有效地破坏存储阵列上的数据。替选地,如果使用智能卡来存储外部秘密,那么可以破坏智能卡以便破坏存储阵列上的数据。如果外部秘密存储在远程网络服务器上,则服务器可以拒绝提供外部秘密,这将会防止为解密存储在存储阵列上的数据所需的步骤的完成。
在考虑下列描述和附图的情况下,这些及其他实施例将变得清楚。
附图说明
图1是示出存储系统的一个实施例的一般化框图。
图2是存储系统的另一个实施例的一般化框图。
图3是示出用于保护一组存储设备上的数据的方法的一个实施例的一般化流程图。
图4是示出用于利用外部秘密使用秘密共享方案来解密存储系统中的数据的方法的一个实施例的一般化流程图。
图5是生成经加密的密钥和份额的一个实施例的框图。
尽管本发明可以具有各种修改和替选形式,但是在本文中将通过示例的方式在附图中示出特定实施例,并进行详细描述。然而,应理解,附图和详细描述不是旨在将本发明只限于所公开的特定形式,而是相反地,本发明将涵盖落入如所附权利要求所定义的本发明的精神和范围内的所有修改、等同内容和替选方案。
具体实施方式
在以下描述中,阐述了许多具体细节以提供对本发明的透彻理解。然而,本领域的技术人员应该认识到,本发明也可以在没有这些具体细节的情况下实施。在某些情况下,没有详细示出已知的电路、结构、信号、计算机程序指令和技术,以避免使本发明变得模糊。可以理解,为说明简单和清楚起见,图中所示出的元件不一定是按比例绘制的。例如,某些元件的尺寸可以相对于其他元件而放大。
本说明书包括对“一个实施例”的引用。在不同的上下文中出现短语“在一个实施例中”不一定都是指同一个实施例。根据本发明,特定特征、结构或特性可以以任何合适的方式组合起来。此外,如在本申请全篇中所使用的,词语“可以”用于许可的意义(即,表示具有可能性做某事),而不是强制性的意义(即,表示必须)。类似地,词语“包括”表示包括但不仅限于。
术语。下面的段落提供了在本公开(包括所附权利要求书)中发现的术语的定义和/或上下文:
“包括”。此术语是开放式的。如在所附权利要求书中所使用的,此术语不排除额外的结构或步骤。考虑记载了下列内容的权利要求:“包括多个存储设备的计算系统…”。这样的权利要求不排除计算系统包括额外的组件(例如,网络接口、一个或多个处理器、存储器控制器)。
“被配置成”。各种单元、电路或其他组件可以被描述为或声明为“被配置成”执行一个或多个任务。在这样的上下文中,“被配置成”用于通过指示单元/电路/组件包括在操作期间执行一个或多个任务的结构(例如,电路)来暗示结构。如此,单元/电路/组件可以被说成是被配置成执行任务,甚至在指定的单元/电路/组件当前不运转(例如,没有接通)的情况下。与“被配置成”一起使用的单元/电路/组件包括硬件——例如,电路、存储可执行以实现操作的程序指令的存储器等等。记载单元/电路/组件“被配置成”执行一个或多个任务明确地旨在对于该单元/电路/组件不调用35U.S.C.§112第六段。另外,“被配置成”可包括由软件和/或固件(例如,执行软件的FPGA或通用处理器)操纵以便以能够执行所涉及的任务的方式进行操作的通用结构(例如,通用电路)。“被配置成”也可以包括修改制造过程(例如,半导体装配设施)以制造被配置为实现或执行一个或多个任务的设备(例如,集成电路)。
“基于”。如本文中所使用的,此术语用于描述影响判定的一个或多个因素。此术语不排除可能会影响判定的额外因素。即,判定可以只基于那些因素或至少部分地基于那些因素。考虑短语“基于B来判定A”。尽管B可能是影响对A的判定的因素,但是这样的短语不排除对A的判定也基于C。在其他情况下,可以只基于B来判定A。
参考图1,示出了存储系统100的一个实施例的一般化框图。存储系统100可包括存储器控制器110和被包括在架子140和145内的存储设备150A-N。存储器控制器110可以与使用一个或多个外部秘密124相结合地实现秘密共享算法,以防止对存储设备150A-N的未经授权的访问。取决于实施例,外部秘密124可包括密码、存储在通用串行总线(USB)密钥令牌上的秘密、存储在安全智能卡上的秘密、存储在可通过网络访问的远程服务器上的秘密和/或存储在其他设备上的秘密。
在一个实施例中,初始主秘密生成单元115可以生成初始主秘密120,并且份额生成单元125可以根据初始主秘密120生成份额。最终主秘密生成单元126可以使用初始主秘密120和一个或多个外部秘密124来生成最终主秘密128。在一个实施例中,每个存储设备150A-N可以生成并使用用于加密存储在设备上的数据的密钥。可以使用最终主秘密128和特定于设备的值来加密这些未加密的密钥。作为结果的经加密的密钥155A-N中的每个可以存储在对应的存储设备150A-N中。
在一个实施例中,对于每种类型的外部秘密124,有关外部秘密的信息可以存储在存储系统100的每个存储设备150A-N中。在另一个实施例中,有关外部秘密的信息可以存储在足够多的存储设备中,以便至少一个存储设备具有此信息。此信息被示为存储设备150N的扩展表示中的外部秘密访问信息162N。在一个实施例中,每个存储设备150A-N可以以与存储设备150N的扩展表示中示出的方式相同的方式来组织。
外部秘密访问信息162不能用于推导外部秘密124,但是,信息162指示如何可以获取外部秘密124。例如,在一个实施例中,信息162可以指示外部秘密124存储在USB密钥令牌中,并且必须通过USB密钥令牌来运行初始主秘密120以提供最终主秘密128。信息162也可以包括与USB密钥令牌一起使用的标识符。在另一个实施例中,信息162可以指定密钥交换协议和获得外部秘密124所联络的一个或多个服务器的因特网协议(IP)地址。在此实施例中,信息162也可以指定向服务器呈现的标识符。在一个实施例中,可以存在用于存储系统100的单组外部秘密124。在此实施例中,每个存储设备150可以存储用于获得外部秘密124的相同信息162。然而,如果添加或删除外部秘密124,信息162可以在不同的存储设备150A-N上临时改变。
在某些情况下,可能为外部秘密124指定不正确的值。因此,在一些实施例中,每个存储设备150A-N可以存储校验和164N,而校验和164N可以被用来验证最终主秘密128。校验和164N可以比最终主秘密128小得多,以便试图根据校验和164N计算最终主秘密128的攻击将会失败。在其他实施例中,可以使用验证最终主秘密128的其他方式,或替选地,可以不做出验证最终主秘密128的尝试。
图1中所示出的数据保护方案使得通过使外部秘密124无法被访问来破坏存储在存储器系统100中的所有数据变得简单。例如,可以以任意数量的方式物理地破坏USB密钥令牌,从而使得不可能恢复外部秘密124。从安全位置处的密钥服务器中获得的外部秘密124不需要在服务器上被破坏。相反,服务器可以拒绝向存储系统100提供外部秘密124,这会防止任何人读取存储系统100中的数据。
作为由存储系统100使用的整体数据保护方案的一部分,秘密共享方案可以由存储器控制器110来实现。在一个实施例中,可以由初始主秘密生成单元115使用沙米尔(Shamir)秘密共享来实现整体数据保护方案的秘密共享算法部分。然而,注意,可以在其他实施例中使用其他秘密共享方案。例如,在其他实施例中,可以使用诸如Blakley、Krawczyk或中国剩余定理之类的其他秘密共享方案。尽管说明书的剩余部分可以是特定于沙米尔秘密共享的,但是,可以理解,这不排除使用其他秘密共享方案。
在一个实施例中,单元115可以被配置成生成“m”数量的份额,其中,需要'k'个份额来重构初始主秘密120。在一个实施例中,份额的数量“m”可以等于存储设备的数量“n”。然而,在其他实施例中,份额的数量“m”可以大于存储设备的数量“n”。可以使用所属领域的技术人员所知的各种已知技术中的任何一种来生成初始主秘密120和“m”数量的份额。
每个份额135A-N可以被分发到对应的存储设备150A-N,并被存储在对应的存储设备150A-N上。存储系统100的存储设备150A-N被示为被分离成两个相等大小的架子140和145。然而,在其他实施例中,可以在存储系统中使用其他数量的架子,另外,每个架子可以大小不同。
虽然初始主秘密生成单元115、份额生成单元125、最终主秘密生成单元126和密钥加密单元130被示为存储器控制器110内的单独的实体,但是,可以理解,这些单元可以被合并成单个单元。还要注意,存储器控制器110可包括在图1中未示出的其他组件和逻辑。此外,在某些实施例中,单元115、125、126和130可以是从在存储器控制器110的一个或多个处理器(未示出)上执行的程序调用的软件例程。一般而言,被描述为包括在存储器控制器110内或由存储器控制器110实现的逻辑、算法和机制可以包括硬件和/或软件。
应该理解,为说明性目的示出了图1中所示出的功能的分布,而其他实施例可以具有组件之间的功能的不同的布置。例如,在另一个实施例中,单元115、125、126和130中的一个或多个可以位于架子140、架子145、任何存储设备150A-N内,或在另一计算设备中。在某些实施例中,如果用于生成份额和秘密和/或对密钥进行加密的逻辑位于架子或存储设备内,那么份额、秘密和/或经加密的密钥可以不从存储器控制器传递到存储设备150A-N,如图1中所示。相反,在生成份额、秘密和/或经加密的密钥之后,可以在它们的相应的存储设备中本地使用它们。
在各实施例中,存储设备150A-N中的每个可以使用各种类型的数据存储技术中的任何一种。例如,在一个实施例中,存储设备150A-N中的一个或多个可包括贮存器,该贮存器包括存储永久性数据的固态存储器。在其他实施例中,存储设备150A-N中的一个或多个可包括使用其他技术的贮存器,诸如旋转扭矩转移技术、磁阻随机存取存储器(MRAM)技术、瓦式磁盘(shingleddisk)、忆阻器(memristor)、相变存储器或其他存储器技术。在一个实施例中,所包括的固态存储器可以包括固态驱动器(SSD)技术。注意,固态驱动器(SSD)也可以被称为固态磁盘。
在一个实施例中,每个存储设备150A-N可以生成并使用用于加密存储在设备上的数据的密钥。每个存储设备150A-N可包括使用用于加密存储在设备上的数据的密钥的硬件加密机制。替选地,由存储设备150A-N使用的密钥可以由存储器控制器110或另一个单元生成。在一个实施例中,为添加额外保护级别,存储设备150A-N上的硬件可以被配置成加密这些密钥。每个密钥可以由每个存储设备150A-N上的硬件独立地并与其他密钥分开地加密。替选地,在另一个实施例中,存储器控制器110的密钥加密单元130可以被配置成对密钥进行加密。尽管密钥加密单元130被示为位于存储器控制器110内,但是注意,这仅仅是为了便于说明。在一些实施例中,每个存储设备150A-N可包括其自己的密钥加密单元,存储器控制器110可以向每个设备密钥加密单元提供一个值,而设备可以使用此值来加密其密钥。
此外,每个密钥可以被独立地并与经加密并存储在每个存储设备上的数据分开地加密。用于每个存储设备的密钥可以使用最终主秘密128和特定于相应的存储设备的第二值来加密。例如,在一个实施例中,值165可以是存储设备的序列号。在另一个实施例中,第二值可以是存储在存储设备的标头160中的标识(ID)或ID的一部分。在其他实施例中,第二值可以基于给定存储设备固有的其他信息。在其他实施例中,可以使用多个特定于设备的值对密钥进行加密。此外,在某些实施例中,可以只使用最终主秘密128对密钥进行加密。
还要注意,在另一个实施例中,两个或更多个存储设备可以使用相同密钥,密钥加密单元130可以加密此密钥,并将加密的密钥传递到使用该密钥的存储设备。替选地,在其他实施例中,最终主秘密128可以是用来加密每个存储设备150A-N上的数据的密钥。在此实施例中,每个存储设备150A-N可以将份额135、外部秘密访问信息162、校验和164以及经加密的数据170,与任何其他特定于设备的数据一起存储在标头160中。在此实施例中,为了解密数据,可以使用足够数量的存储设备150A-N的份额来重构初始主秘密120。接下来,可以检索外部秘密124,并将外部秘密124与初始主秘密120相结合,以生成最终主秘密128。然后,可以使用最终主秘密128来解密经加密的数据170。
在一个实施例中,可以使用散列函数,与给定存储设备150的序列号160一起对最终主秘密128进行散列,以生成中间值。然后,用于加密给定存储设备150上的数据的原始密钥的值可以通过此中间值来加密。该加密阶段的输出可以是存储在给定存储设备150上的经加密的密钥155。在各个实施例中,可以使用任何类型的散列函数(例如,MD5,SHA-1)。在其他实施例中,可以使用其他加密技术来使用最终主秘密128和特定于设备的值,生成经加密的密钥155。
在一个实施例中,初始主秘密120、份额135A-N、最终主秘密128以及经加密的密钥155A-N的生成可以在存储系统100的配置和安装期间被执行。另外,可以周期性地再生成这些值,以为存储系统100提供更好的安全性。例如,在一个实施例中,初始主秘密生成单元115可以每天生成新的初始主秘密120,而最终主秘密生成单元126可以每天生成新的最终主秘密128。然后,单元115可以根据新的初始主秘密120生成新的份额135A-N,并将这些新的份额135A-N分发到存储设备150A-N。此外,单元130可以根据新的最终主秘密128生成经加密的密钥155A-N,并将这些经加密的密钥155A-N分发到它们的对应的存储设备150A-N。在其他实施例中,可以使用其他计划表来更新初始主秘密120、最终主秘密128、份额135A-N以及经加密的密钥155A-N。
在一个实施例中,存储系统100可以更新存储设备150A-N的密钥,而无需返回与中央管理机构通信。相反,存储器控制器110可以高速缓存外部秘密124的副本,或者对于使用USB密钥令牌的方法,存储器控制器110可以再次通过令牌来传递新生成的初始主秘密。一旦生成新的最终主秘密,存储器控制器110可以更新存储设备150A-N的密钥。
在其他实施例中,在秘密和密钥的生成期间使用的步骤可能不同,可以在数据保护方案的更新中包含其他步骤。例如,在另一个实施例中,并非只是重新加密原始密钥以产生新的经加密的密钥155,每个存储设备150上的经加密的数据可以被解密,并利用新密钥重新加密。此外,在其他实施例中,用于加密存储在每个存储设备150A-N上的数据的原始密钥可以由密钥生成单元130生成,而并非由每个存储设备生成。
在图1中扩展存储设备150N以示出其单独的数据组件。在一个实施例中,存储设备150N可包括特定于设备的值165N、份额135N、经加密的密钥155N、外部秘密访问信息162N、校验和164N以及经加密的数据170N。特定于设备的值165N、份额135N、以及经加密的密钥155N、外部秘密访问信息162N、校验和164N可以是标头160N的一部分。替选地,在另一个实施例中,经加密的密钥155N可以存储在位于最终用户难接近的区域中的存储设备150N上。在此实施例中,经加密的密钥155N只能经由解锁命令来访问。标头160N也可以包括图1中未示出的其他信息。注意,在其他实施例中,可以以不同的方式格式化存储设备150N。另外,存储设备150N可包括用于执行加密的逻辑(未示出)。
如图1所示的存储设备150N的格式是存储在非易失性存储器(例如,固态存储器、磁盘驱动器或任何其他合适的存储设备)中的数据的格式。虽然在图1中未示出,但是存储设备150N也可以包括易失性存储器,该易失性存储器用于存储可以用来执行读和写的已解密的密钥。一般而言,存储设备150N可以在读取数据并将数据写入到存储设备150N期间使用已解密的密钥。当存储设备150N被通电时,可以有初始化处理以使存储设备150N进入运转的状态。此运转的状态可以允许经加密的数据170N被解密,还允许新的数据被加密并被写入到存储设备150N。在通电时,存储设备150N可以保留经加密的密钥155N,该经加密的密钥155N是不可使用的,直到它被解密以重新创建用于加密存储在设备150N上的数据(经加密的数据170N)的原始密钥为止。将参考图2更详细地描述该处理。
份额135N可以由份额生成单元125生成。份额135N的生成可以独立地并与实际数据(经加密的数据170N)的加密分开地执行。换言之,在份额135N的生成中不使用存储在存储设备150N上的用户数据。在一个实施例中,份额135N可以是对多项式的输入和对于该特定输入的多项式的结果。在某些实施例中,份额135N也可以包括额外的信息。例如,在一个实施例中,份额135N可包括'k'的值,该值指示重构共享的秘密120所需的份额的数量。
在一个实施例中,存储在存储设备上的数据可以利用存储设备所特有的密钥来加密。存储设备150N的经加密的数据通过经加密的数据170N来表示。密钥与特定于存储设备的另一个值一起可以从每个存储设备150传递到密钥加密单元130。例如,在一个实施例中,存储器控制器110可以从每个存储设备150接收密钥和特定于设备的值165N。密钥、特定于设备的值165N以及最终主秘密128可以被密钥加密单元130用来为特定存储设备150生成经加密的密钥155。在另一个实施例中,每个存储设备可以被配置成本地加密其相应的密钥,因此,在此实施例中,将最终主秘密128与特定于设备的值165N组合的结果可以被传输到每个存储设备。对密钥进行加密的位置和方法的其他变型也是可以的,并且是能想到的。
现在参考图2,示出了存储系统200的另一个实施例的框图。存储系统200包括存储器控制器205,而取决于实施例,用于实现存储器控制器205中所示出的单元的实际逻辑可以不同。在各个实施例中,可使用硬件、软件或其组合来实现存储器控制器205。例如,在一个实施例中,单元210、216和220可以表示由存储器控制器205的一个或多个处理器(未示出)执行的软件。此外,在其他实施例中,存储器控制器205中所示出的逻辑可以位于架子240和245或存储设备250A-N内。
存储器控制器205可以耦合到包括存储设备250A-N的架子240和245。在图2中存储设备250N被扩展,以示出标头255N和经加密的数据275N。标头255N可包括特定于设备的值260N、份额265N、经加密的密钥270N、外部秘密访问信息262N以及校验和264N。存储器控制器205也可以耦合到随机存取存储器(RAM)230。
存储器控制器205可包括初始主秘密重构单元210以及最终主秘密重构单元216。单元210可以被配置成从存储设备250A-N接收份额。只要有足够的存储设备存在并可被访问,单元210就可以根据从这些存储设备中获得的份额重构初始主秘密215。另外,存储器控制器205可以在重构初始主秘密215之前,与其并行地,或在其之后,获得一个或多个外部秘密202。然后,存储器控制器205可以按预定的顺序经过外部秘密202,从而依次通过每个外部秘密来变换初始主秘密215。然后,存储器控制器205可以使用校验和264N来验证最终主秘密218,只有在最终主秘密218匹配期望的校验和264N的情况下才进行。然后,可以使用该最终主秘密218来生成每个设备加密密钥225,以解锁每个存储设备250A-N。
在其他实施例中,存储器控制器205也可以包括用于执行其他任务的许多其他单元及其他逻辑。例如,存储器控制器205也可以包括在图2中未示出的其他逻辑,诸如图1的存储器控制器110中所示出的逻辑。在各个实施例中,存储器控制器205可以是服务器或计算设备的一部分,而存储器控制器205可包括硬件(例如,电路、专用逻辑、可编程逻辑、微代码)、软件(例如,可执行程序指令)或其任何组合。
重构最终主秘密218和解密经加密的密钥270的操作可以在存储系统200启动时执行单次。在经加密的密钥270被解密之后,它们可以存储在易失性存储器(RAM230)中,并多次用于对存储设备250A-N的访问。注意,这是存储系统200的有益的特征,该特征允许最终主秘密218被单次重构并且经加密的密钥270被单次解密,然后被多次重复使用。
密钥解密单元220可以被配置成解密存储设备250A-N的经加密的密钥。单元220可以从每个存储设备250A-N接收经加密的密钥和特定于设备的值。单元220可以使用来自于特定存储设备的最终主秘密218和特定于设备的值,以逆转(reverse)用于对密钥进行加密的加密处理。密钥225代表用来解密存储在存储设备250A-N上的经加密的数据275的经解密的密钥。每个存储设备250A-N可以具有用于对存储在单个设备上的数据进行加密和解密的单独的密钥。虽然密钥解密单元220被示为位于存储器控制器205中,但是注意,在一些实施例中,每个存储设备250A-N可包括其自己的密钥解密单元。例如,在一个实施例中,可以在存储器控制器205中生成特定于设备的密钥,并将特定于设备的密钥传递到存储设备250,以经由串行高级技术附接(SATA)解锁命令来解密经加密的密钥270。在其他实施例中,密钥解密单元220的功能可以在存储器控制器205和存储设备250A-N之间拆分。
取决于实施例,密钥225可以存储在各种位置。虽然密钥225被示为存储在存储器控制器205中,但是,在另一个实施例中,密钥225可以存储在RAM230中。另外,虽然RAM230被示为与存储器控制器205分开的单独的单元,但是,在另一个实施例中,RAM230可以被包括在存储器控制器205内。在其他实施例中,每个存储设备250A-N可包括用于存储经解密的密钥225的内部RAM230。
RAM230可以是任何类型的易失性存储器,以便当RAM230断电时,密钥将不会被保存。这有助于在密钥被解密之后防止未经授权的用户访问密钥。每个存储设备250A-N可以从RAM230中检索对应的密钥,并使用此密钥在从存储设备中读和写期间对数据进行加密和解密。替选地,每个存储设备250A-N可包括易失性存储器的一部分,密钥可以存储在对应的存储设备上的此易失性存储器中。用于存储经解密的密钥的位置的其他可能性是可以的,并且是能想到的。在一个实施例中,密钥解密处理可以完全地在每个存储设备250A-N上发生。在此实施例中,存储器控制器205可以向每个存储设备250A-N提供最终主秘密218,以使每个设备能够解密其对应的经加密的密钥270。
在各个实施例中,存储设备250A-N中的一个或多个可能会在整体存储系统200的操作期间发生故障。响应于这样的故障,存储器控制器205可以被配置成为替换发生故障的存储设备的新的存储设备生成新份额。作为生成新份额的处理的一部分,存储器控制器205可以收集足够的份额以恢复主秘密。例如,在一个实施例中,当从多项式导出主秘密215时,可以使用所需的数量的份额来求解多项式的所有系数。然后,可以在不同的点评估多项式,以为新的存储设备生成新份额。对于其他类型的秘密共享方案,可以使用合适的处理来为替换发生故障的存储设备的新的存储设备生成新份额。在另一个实施例中,存储器控制器205可以被配置成每当成员改变时,诸如当现有的存储设备发生故障时或当向系统添加新的存储设备时,生成新的初始主秘密和新的最终主秘密。然后,可以使用新的最终主秘密来刷新所有存储设备上的经加密的密钥和份额。替选地,存储器控制器205可以根据以前使用的相同秘密生成新的一组份额。
可以使用许多不同的技术来破坏存储系统200中的数据以防止未经授权的访问。例如,如果破坏足够的存储设备,那么将不可能检索足够的份额以重构初始主秘密215。然而,破坏存储设备可能耗时,因此可以破坏外部秘密202或使部秘密202无法被访问。例如,如果破坏USB密钥令牌,则存储在它上的外部秘密不再可被访问,系统200不能完成获得对存储的数据的访问的处理。类似地,如果架子240和245被盗,则远程网络服务器可以拒绝提供所需的外部秘密,这将阻止访问数据所需的步骤的完成。因此,存储在系统200中的数据的破坏可以通过去除系统200的电力以及通过破坏对至少一个所需的外部秘密的访问的方式来实现。
尽管上文所描述的步骤防止攻击者访问所存储的数据,但是这些步骤是可逆的。如果以后恢复存储系统200,则可以根据备份副本恢复外部秘密202。如果存储系统200通常被保留在安全环境中,则这可以是有用的,但是必须通过恶劣环境以单块发送。外部秘密可以通过替选的更安全的路径来发送,然后在目的地与存储系统再结合。此方法也允许从外部秘密202的意外丢失恢复。如果USB密钥令牌遭受硬件故障,则可以使用具有相同秘密的另一个令牌来替换它。类似地,如果USB密钥令牌被错误地破坏,则系统中的数据不会丢失,但是可以通过获得具有相同秘密的另一个密钥令牌来恢复。如此,组织可以将额外的令牌或秘密存储在高度安全的位置,从而根据需要提供替换。
由于启动存储系统200需要对外部秘密202的访问,因此在一些实施例中,可以维护每个外部秘密202的冗余副本。例如,系统200可以使用两个相同地配置的USB密钥令牌,以在其中一个令牌发生故障的情况下提供冗余。组织也可以提供两个或更多个网络服务器,以在一个服务器不可用的情况下提供外部秘密。
现在转向图3,示出了用于保护一组存储设备上的数据的方法的一个实施例。为了讨论的目的,按先后顺序示出了此实施例中的步骤。应该注意的是,在下面所描述的方法的各个实施例中,所描述的元素中的一个或多个可以并行地执行,以与所示出的顺序不同的顺序来执行,或可以完全地省略。也可以根据需要,执行其他附加的元素。
在一个实施例中,方法300可以从存储设备组中的每个存储设备生成密钥开始(框305)。在一个实施例中,每个存储设备可以独立于其他存储设备生成密钥,密钥可以是随机地生成的数字。此外,在一个实施例中,每个存储设备可以执行密钥生成,而无需来自于存储器控制器或集中式管理单元的任何输入或控制。当向存储设备写入数据时,密钥可以被每个存储设备用来加密数据。每个存储设备可包括被配置成使用密钥来加密数据的硬件。当从存储设备中读取数据时,密钥也可以被用来解密数据。在另一个实施例中,密钥可以在别处(例如,存储器控制器)生成,并传输到每个存储设备。
接下来,存储器控制器可以从每个存储设备中检索密钥(框310)。在一些实施例中,可以从每个存储设备中检索每个设备值,并将每个设备值用于加密每个设备密钥。此值可以是特定存储设备所特有的任何值。例如,在一个实施例中,每个设备值可以是存储设备的序列号。存储器控制器可以是被配置成管理存储设备组和/或控制对存储设备组的访问的任何类型的集中式管理单元。在各个实施例中,存储器控制器可以包括硬件和/或软件。例如,在一个实施例中,存储器控制器可以是在计算设备的一个或多个处理器上执行的软件。
存储器控制器可以为整个组生成单个的初始主秘密,并且为每个存储设备生成份额(框315)。注意,在某些实施例中,在从每个存储设备检索随机密钥和其他值之前,存储器控制器可以为每个存储设备生成初始主秘密和份额。存储器控制器可以使用各种秘密共享方案中的任何一种来生成初始主秘密和份额。例如,在一个实施例中,存储器控制器可以使用沙米尔的秘密共享方案来生成初始主秘密和各个份额。
接下来,存储器控制器可以通过基于一个或多个外部秘密应用一个或多个变换来修改初始主秘密,以创建最终主秘密(框320)。外部秘密可以是用户输入的密码、USB密钥、存储在外部服务器上的密钥、其他秘密或其任何组合,包括单一类型的秘密的多个实例。例如,在一个实施例中,可以使用两个不同的USB密钥来存储两个外部秘密,可以使用基于两个外部秘密的变换而根据初始主秘密创建最终主秘密。对于每个存储设备,存储器控制器可以使用最终主秘密来加密存储设备的密钥(框325)。在一些实施例中,可以与特定于设备的值组合地使用最终主秘密来加密存储设备的密钥。在一个实施例中,特定于设备的值可以是存储设备的序列号。在一个实施例中,可以将最终主秘密和序列号散列在一起,然后可以使用此值来加密存储设备的密钥。在其他实施例中,可以使用其他加密方案来基于最终主秘密和特定于设备的值对密钥进行加密。在一些实施例中,可以单独地使用最终主秘密来加密存储设备的密钥,而不是使用最终主秘密和特定于设备的值两者。
接下来,存储器控制器可以将对应的经加密的密钥、份额以及外部秘密访问信息传递到存储设备组中的每个存储设备(框330)。份额、经加密的密钥以及外部秘密访问信息可以存储在存储设备上(框335)。在一个实施例中,份额以及外部秘密访问信息可以存储在存储设备的标头中,而经加密的密钥可以存储在最终用户难接近的区域的存储设备上。在此实施例中,经加密的密钥可能只能经由解锁命令来访问。在一些实施例中,每个存储设备可以存储用于验证最终主秘密的校验和。在框335之后,方法300可以结束。
现在转向图4,示出了用于利用外部秘密使用秘密共享方案来解密存储系统中的数据的方法的一个实施例。为了讨论的目的,按先后顺序示出了此实施例中的步骤。应该注意的是,在下面所描述的方法的各个实施例中,所描述的元素中的一个或多个可以并行地执行,以与所示出的顺序不同的顺序来执行,或可以完全地省略。也可以根据需要,执行其他附加的元素。
方法400可以从存储器控制器从任何存储设备检索外部秘密访问信息开始(框405)。外部秘密访问信息可以标识一个或多个外部秘密,并且还可以指示如何检索这些一个或多个外部秘密。取决于实施例,外部秘密可以变化。例如,在各个实施例中,外部秘密可以是密码、USB密钥令牌、存储在外部服务器上的秘密或其他类型的秘密。接下来,通过使用此外部秘密访问信息,存储器控制器可以检索外部秘密(框410)。
另外,存储器控制器可以从阈值数量的存储设备检索份额(框415)。可以通过生成初始主秘密的方式确定阈值的值。接下来,可以根据检索到的份额重构初始主秘密(框420)。在一个实施例中,可以使用多项式内插法来重构初始主秘密。更具体而言,可以作为用于重构初始主秘密的内插处理的一部分,根据份额计算拉格朗日基本多项式。注意,可以与框405和410并行地执行框415和420,或者替选地,可以在框405和410之前执行框415和420。
接下来,可以使用检索到的外部秘密,将初始主秘密变换成最终主秘密(框425)。在一个实施例中,安全硬件令牌可包括使令牌接受一个值并返回经变换的值的接口。变换可以是加密、键控散列或其他类型的变换。在这样的实施例中,可以通过向令牌呈现初始主秘密并使用返回的值作为最终主秘密来变换初始主秘密。可以通过物理地损坏令牌来轻松地破坏令牌,以防止对存储阵列的访问。
在另一个实施例中,外部秘密可以存储在一个或多个网络服务器中。服务器可以在比存储阵列更受保护的环境中,如果阵列被盗,则网络服务器可以简单地拒绝向任何请求者提供外部秘密,从而防止被盗窃的阵列被读取。在其他实施例中,外部秘密可以是通过键盘或其他输入设备直接向存储系统输入的密码。当存储系统启动时,在做出重建初始主秘密的任何尝试之前,可以请求此密码。然后,存储系统可以将密码维护在RAM中,直到该密码被需要为止。
在框425之后,存储系统的存储设备的经加密的密钥可以使用最终主秘密来解密(框430)。对于给定存储设备,解密经加密的密钥也可以要求特定于给定存储设备的值。通过使用特定于给定存储设备的值,每个不同的存储设备将具有不同的密钥。然而,对于本文中所公开的方案,特定于设备的值的使用是可选的。在一个实施例中,此特定于设备的值可以是给定存储设备的序列号。在其他实施例中,特定于设备的值可以是给定存储设备的不同属性(或以其他方式与存储设备相关联的值),诸如存储在存储设备标头中的一些数据。在其他实施例中,特定于设备的值可以基于诸如设备ID之类的值、存储在设备的标头中的一个或多个值以及任何其他合适的值的组合。在其他实施例中,可以不使用特定于设备的值来解密给定存储设备的经加密的密钥。
在框430之后,经解密的密钥可以用于解密存储系统的存储设备上的数据(框435)。经解密的密钥也可以用于加密向存储设备写入的数据。经解密的密钥可以存储在易失性存储器中,以便当系统被断电时,经解密的密钥可以丢失。在重新启动时,系统可以再次经过方法400,以解密存储系统中的存储设备的经加密的密钥。在单次实现方法400之后,经解密的密钥可以用于解密多个存储的数据块(对于读取)和/或加密多个存储在存储系统中的新的数据块(对于写入)。
现在参考图5,示出了经加密的密钥和份额的生成的一个实施例的框图。框图示出了对于总体存储系统(未示出)的每个存储设备(未示出)的经加密的密钥和份额的生成。特定于设备的密钥505代表用于加密存储在特定存储设备上的数据的密钥。特定于设备的值510代表特定存储设备所特有的任何值或值的组合。外部秘密515代表可以用来为存储在存储系统中的数据提供额外的保护的一个或多个外部秘密。初始主秘密520代表能够被分成多个份额的共享的秘密。
可以使用外部秘密515将初始主秘密520变换成最终主秘密530,如变换阶段525所示。取决于实施例,变换阶段525可包括加密、键控散列、异或操作和/或其他类型的变换。特定于设备的值510和最终主秘密530可以被输入到散列阶段535,并且可以根据这两个输入生成散列值。散列阶段535可以使用任何类型的散列函数将值510和最终主秘密530散列在一起。来自散列阶段535的输出可以作为输入耦合到加密阶段540。加密阶段540可以使用散列阶段535的输出来加密原始密钥505。加密阶段540的输出可以是可以存储在其对应的存储设备中的经加密的密钥550。加密阶段540可以使用任何合适类型的加密来生成经加密的密钥550。
份额生成器545可以被配置成根据初始主秘密520生成份额555。在一些实施例中,份额生成器530可以被配置成为单个存储设备生成多个份额555。在一个实施例中,份额生成器545可以为每个份额555生成多项式上的一个点。在其他实施例中,可以使用其他技术生成份额555。图5中所示出的图示示出了可以为单个存储设备执行的操作。对于具有多个存储设备的存储系统,可以对于系统中的每个存储设备重复这些操作。可以为每个存储设备生成经加密的密钥550和份额555,然后可以将经加密的密钥550和份额555两者存储在它们的对应的存储设备上。单独的密钥505和单独的特定于设备的值510可以用于每个单独的存储设备,但是相同的初始主秘密520和外部秘密515可以用于系统中的全部存储设备。
可以理解,图5旨在作为用于存储设备的份额和经加密的密钥的生成的一个可能实施例的逻辑表示。在其他实施例中,可以使用用于生成份额和经加密的密钥的其他合适的机制或方法。图5中所示出的各种功能可以通过存储器控制器内的硬件和/或软件、通过存储设备上的硬件和/或软件、或通过其任何组合来执行。
注意,上文所描述的实施例可以包括软件。在这样的实施例中,实现方法和/或机制的程序指令可以在非暂态计算机可读介质上传输或存储。被配置为存储程序指令的很多类型的介质类型可用,包括硬盘、软盘、CD-ROM、DVD、闪速存储器、可编程ROM(PROM)、随机存取存储器(RAM)以及各种其他形式的易失性或非易失性存储器。
在各个实施例中,本文中所描述的方法和机制的一个或多个部分可以构成云计算环境的一部分。在这样的实施例中,可以根据一个或多个各种模型,通过因特网将资源提供为服务。这样的模型可包括基础设施即服务(IaaS)、平台即服务(PaaS)以及软件即服务(SaaS)。在IaaS中,将计算机基础设施作为服务来提供。在这样的情况下,计算设备一般由服务提供商拥有和运营。在PaaS模型中,开发人员用来开发软件解决方案的软件工具和底层设备可被提供为服务,并由服务提供商托管。SaaS通常包括服务提供商按需将软件授权为服务。服务提供商可以托管软件,或者可以在给定时间段内将软件部署给消费者。上面的模型的很多组合是可以的,并且是能想到的。
虽然非常详细地描述了上文的实施例,但是,一旦完全理解了上面的公开内容,很多变型和修改对于那些本领域的技术人员将变得清楚。意图在于下面的权利要求应被解释为包括所有这样的变型和修改。
Claims (20)
1.一种包括多个存储设备的计算系统,其中,所述计算系统被配置成:
根据初始主秘密生成多个份额;
将一个或多个份额存储在多个存储设备中的一个或多个存储设备中;
使用一个或多个外部秘密将所述初始主秘密变换为最终主秘密,其中,所述一个或多个外部秘密与所述计算系统分开地存储;以及
使用所述最终主秘密来加密存储在所述多个存储设备中的每个存储设备上的数据的至少一部分。
2.如权利要求1所述的计算系统,其中,所述计算系统还被配置成:
使用设备密钥来加密所述多个存储设备中的每个存储设备上的数据,其中,每个存储设备使用单独的设备密钥;
使用所述最终主秘密来加密每个设备密钥;
将对应的经加密的设备密钥存储在每个存储设备上;以及
将所述多个份额中的单独的份额存储在所述多个存储设备中的每个存储设备上。
3.如权利要求1所述的计算系统,其中,所述计算系统还被配置成将有关如何检索所述一个或多个外部秘密的信息存储在所述多个存储设备中的至少一个存储设备上。
4.如权利要求2所述的计算系统,其中,所述计算系统还被配置成使用所述最终主秘密和特定于设备的值来加密每个设备密钥。
5.如权利要求2所述的计算系统,其中,所述计算系统还被配置成:
使用所述多个份额中的阈值数量的份额来重构所述初始主秘密;
使用所述一个或多个外部秘密将所述初始主秘密变换为所述最终主秘密;
使用所述最终主秘密来解密经加密的设备密钥;
将经解密的设备密钥存储在易失性存储器中;以及
使用经解密的设备密钥来访问对应的存储设备。
6.如权利要求1所述的计算系统,其中,所述计算系统还被配置成通过使所述一个或多个外部秘密无法被访问来破坏存储在所述计算系统中的数据。
7.如权利要求5所述的计算系统,其中,所述计算系统还被配置成:
使用所述最终主秘密和特定于设备的值来加密每个设备密钥;以及
使用所述最终主秘密和特定于设备的值来解密每个经加密的设备密钥。
8.一种方法,包括:
根据初始主秘密生成多个份额;
将一个或多个份额存储在多个存储设备中的一个或多个存储设备上;
使用一个或多个外部秘密将所述初始主秘密变换为最终主秘密,其中,所述一个或多个外部秘密与所述计算系统分开地存储;以及
使用所述最终主秘密来加密存储在所述多个存储设备中的每个存储设备上的数据的至少一部分。
9.如权利要求8所述的方法,还包括:
使用设备密钥来加密所述多个存储设备中的每个存储设备上的数据,其中,每个存储设备使用单独的设备密钥;
使用所述最终主秘密来加密每个设备密钥;
将对应的经加密的设备密钥存储在每个存储设备上;以及
将所述多个份额中的单独的份额存储在每个存储设备上。
10.如权利要求8所述的方法,还包括将有关如何检索所述一个或多个外部秘密的信息存储在所述多个存储设备中的至少一个存储设备上。
11.如权利要求9所述的方法,还包括使用所述最终主秘密和特定于设备的值来加密每个设备密钥。
12.如权利要求9所述的方法,还包括:
使用所述多个份额中的阈值数量的份额来重构所述初始主秘密;
使用所述一个或多个外部秘密将所述初始主秘密变换为所述最终主秘密;
使用所述最终主秘密来解密经加密的设备密钥;
将经解密的设备密钥存储在易失性存储器中;以及
使用经解密的设备密钥来访问对应的存储设备。
13.如权利要求8所述的方法,还包括通过使所述一个或多个外部秘密无法被访问来破坏存储在所述计算系统中的数据。
14.如权利要求12所述的方法,还包括:
使用所述最终主秘密和特定于设备的值来加密每个设备密钥;以及
使用所述最终主秘密和特定于设备的值来解密每个经加密的设备密钥。
15.一种包括程序指令的非暂态计算机可读存储介质,其中所述程序指令可执行以:
根据初始主秘密生成多个份额;
将一个或多个份额存储在多个存储设备中的一个或多个存储设备上;
使用一个或多个外部秘密将所述初始主秘密变换为最终主秘密,其中,所述一个或多个外部秘密与所述计算系统分开地存储;以及
使用所述最终主秘密来加密存储在所述多个存储设备中的每个存储设备上的数据的至少一部分。
16.如权利要求15所述的非暂态计算机可读存储介质,其中,所述程序指令还可执行以:
使用设备密钥来加密所述多个存储设备中的每个存储设备上的数据,其中,每个存储设备使用单独的设备密钥;
使用所述最终主秘密来加密每个设备密钥;
将对应的经加密的设备密钥存储在每个存储设备中;以及
将所述多个份额中的单独的份额存储在所述多个存储设备中的每个存储设备上。
17.如权利要求15所述的非暂态计算机可读存储介质,其中,所述程序指令还可执行,以将有关如何检索所述一个或多个外部秘密的信息存储在所述多个存储设备中的至少一个存储设备上。
18.如权利要求16所述的非暂态计算机可读存储介质,其中,所述程序指令还可执行,以使用所述最终主秘密和特定于设备的值来加密每个设备密钥。
19.如权利要求16所述的非暂态计算机可读存储介质,其中,所述程序指令还可执行以:
使用所述多个份额中的阈值数量的份额来重构所述初始主秘密;
使用所述一个或多个外部秘密将所述初始主秘密变换为所述最终主秘密;
使用所述最终主秘密来解密经加密的设备密钥;
将经解密的设备密钥存储在易失性存储器中;以及
使用经解密的设备密钥来访问对应的存储设备。
20.如权利要求15所述的非暂态计算机可读存储介质,其中,所述程序指令还可执行,以通过使所述一个或多个外部秘密无法被访问来破坏存储在所述计算系统中的数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/073,618 | 2013-11-06 | ||
| US14/073,618 US10263770B2 (en) | 2013-11-06 | 2013-11-06 | Data protection in a storage system using external secrets |
| PCT/US2014/062383 WO2015069476A1 (en) | 2013-11-06 | 2014-10-27 | Data protection in a storage system using external secrets |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105830086A true CN105830086A (zh) | 2016-08-03 |
| CN105830086B CN105830086B (zh) | 2019-05-21 |
Family
ID=51894241
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480068769.5A Active CN105830086B (zh) | 2013-11-06 | 2014-10-27 | 使用外部秘密的存储系统中的数据保护 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US10263770B2 (zh) |
| EP (1) | EP3066610B1 (zh) |
| JP (1) | JP2016539567A (zh) |
| CN (1) | CN105830086B (zh) |
| AU (1) | AU2014347184B2 (zh) |
| WO (1) | WO2015069476A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600574A (zh) * | 2018-04-20 | 2018-09-28 | 大连理工大学 | 以Faster R-CNN’s为基础的秘密分享方法 |
| CN109088729A (zh) * | 2018-09-28 | 2018-12-25 | 北京金山安全软件有限公司 | 一种密钥存储方法及装置 |
| CN109302284A (zh) * | 2018-09-28 | 2019-02-01 | 北京金山安全软件有限公司 | 一种硬件钱包 |
| CN109388976A (zh) * | 2017-08-07 | 2019-02-26 | 马克西姆综合产品公司 | 用于屏蔽rsa运算的系统和方法 |
| CN110447034A (zh) * | 2017-02-21 | 2019-11-12 | 尤尼斯康通用身份控制股份有限公司 | 安全地访问数据的方法 |
| CN110999206A (zh) * | 2017-08-15 | 2020-04-10 | 区块链控股有限公司 | 阈值数字签名方法及系统 |
| US10887086B1 (en) | 2013-11-06 | 2021-01-05 | Pure Storage, Inc. | Protecting data in a storage system |
| CN113169859A (zh) * | 2019-04-05 | 2021-07-23 | 谷歌有限责任公司 | 用于保护隐私的方法 |
Families Citing this family (152)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8732426B2 (en) | 2010-09-15 | 2014-05-20 | Pure Storage, Inc. | Scheduling of reactive I/O operations in a storage environment |
| US11275509B1 (en) | 2010-09-15 | 2022-03-15 | Pure Storage, Inc. | Intelligently sizing high latency I/O requests in a storage environment |
| US12008266B2 (en) | 2010-09-15 | 2024-06-11 | Pure Storage, Inc. | Efficient read by reconstruction |
| US8589655B2 (en) | 2010-09-15 | 2013-11-19 | Pure Storage, Inc. | Scheduling of I/O in an SSD environment |
| US11614893B2 (en) | 2010-09-15 | 2023-03-28 | Pure Storage, Inc. | Optimizing storage device access based on latency |
| US8589625B2 (en) | 2010-09-15 | 2013-11-19 | Pure Storage, Inc. | Scheduling of reconstructive I/O read operations in a storage environment |
| US8468318B2 (en) | 2010-09-15 | 2013-06-18 | Pure Storage Inc. | Scheduling of I/O writes in a storage environment |
| US8775868B2 (en) | 2010-09-28 | 2014-07-08 | Pure Storage, Inc. | Adaptive RAID for an SSD environment |
| US9244769B2 (en) | 2010-09-28 | 2016-01-26 | Pure Storage, Inc. | Offset protection data in a RAID array |
| US8589640B2 (en) | 2011-10-14 | 2013-11-19 | Pure Storage, Inc. | Method for maintaining multiple fingerprint tables in a deduplicating storage system |
| US11636031B2 (en) | 2011-08-11 | 2023-04-25 | Pure Storage, Inc. | Optimized inline deduplication |
| US8719540B1 (en) | 2012-03-15 | 2014-05-06 | Pure Storage, Inc. | Fractal layout of data blocks across multiple devices |
| US11032259B1 (en) | 2012-09-26 | 2021-06-08 | Pure Storage, Inc. | Data protection in a storage system |
| US10623386B1 (en) | 2012-09-26 | 2020-04-14 | Pure Storage, Inc. | Secret sharing data protection in a storage system |
| US8745415B2 (en) | 2012-09-26 | 2014-06-03 | Pure Storage, Inc. | Multi-drive cooperation to generate an encryption key |
| US9106411B2 (en) | 2012-09-30 | 2015-08-11 | Apple Inc. | Secure escrow service |
| US10908835B1 (en) | 2013-01-10 | 2021-02-02 | Pure Storage, Inc. | Reversing deletion of a virtual machine |
| US11768623B2 (en) | 2013-01-10 | 2023-09-26 | Pure Storage, Inc. | Optimizing generalized transfers between storage systems |
| US9589008B2 (en) | 2013-01-10 | 2017-03-07 | Pure Storage, Inc. | Deduplication of volume regions |
| US11733908B2 (en) | 2013-01-10 | 2023-08-22 | Pure Storage, Inc. | Delaying deletion of a dataset |
| US11128448B1 (en) | 2013-11-06 | 2021-09-21 | Pure Storage, Inc. | Quorum-aware secret sharing |
| US10365858B2 (en) | 2013-11-06 | 2019-07-30 | Pure Storage, Inc. | Thin provisioning in a storage device |
| US9516016B2 (en) | 2013-11-11 | 2016-12-06 | Pure Storage, Inc. | Storage array password management |
| US9208086B1 (en) | 2014-01-09 | 2015-12-08 | Pure Storage, Inc. | Using frequency domain to prioritize storage of metadata in a cache |
| US10656864B2 (en) | 2014-03-20 | 2020-05-19 | Pure Storage, Inc. | Data replication within a flash storage array |
| US9607170B2 (en) * | 2014-05-02 | 2017-03-28 | Henry R. Williams | Compromise free cloud data encryption and security |
| US9779268B1 (en) | 2014-06-03 | 2017-10-03 | Pure Storage, Inc. | Utilizing a non-repeating identifier to encrypt data |
| US9218244B1 (en) | 2014-06-04 | 2015-12-22 | Pure Storage, Inc. | Rebuilding data across storage nodes |
| US11399063B2 (en) | 2014-06-04 | 2022-07-26 | Pure Storage, Inc. | Network authentication for a storage system |
| US9218407B1 (en) | 2014-06-25 | 2015-12-22 | Pure Storage, Inc. | Replication and intermediate read-write state for mediums |
| US10496556B1 (en) | 2014-06-25 | 2019-12-03 | Pure Storage, Inc. | Dynamic data protection within a flash storage system |
| US10296469B1 (en) | 2014-07-24 | 2019-05-21 | Pure Storage, Inc. | Access control in a flash storage system |
| US9495255B2 (en) | 2014-08-07 | 2016-11-15 | Pure Storage, Inc. | Error recovery in a storage cluster |
| US9864761B1 (en) | 2014-08-08 | 2018-01-09 | Pure Storage, Inc. | Read optimization operations in a storage system |
| US10430079B2 (en) | 2014-09-08 | 2019-10-01 | Pure Storage, Inc. | Adjusting storage capacity in a computing system |
| US10164841B2 (en) | 2014-10-02 | 2018-12-25 | Pure Storage, Inc. | Cloud assist for storage systems |
| US9489132B2 (en) | 2014-10-07 | 2016-11-08 | Pure Storage, Inc. | Utilizing unmapped and unknown states in a replicated storage system |
| US10430282B2 (en) | 2014-10-07 | 2019-10-01 | Pure Storage, Inc. | Optimizing replication by distinguishing user and system write activity |
| US9727485B1 (en) | 2014-11-24 | 2017-08-08 | Pure Storage, Inc. | Metadata rewrite and flatten optimization |
| US9773007B1 (en) | 2014-12-01 | 2017-09-26 | Pure Storage, Inc. | Performance improvements in a storage system |
| US9588842B1 (en) | 2014-12-11 | 2017-03-07 | Pure Storage, Inc. | Drive rebuild |
| US9552248B2 (en) | 2014-12-11 | 2017-01-24 | Pure Storage, Inc. | Cloud alert to replica |
| US9864769B2 (en) | 2014-12-12 | 2018-01-09 | Pure Storage, Inc. | Storing data utilizing repeating pattern detection |
| US10545987B2 (en) | 2014-12-19 | 2020-01-28 | Pure Storage, Inc. | Replication to the cloud |
| WO2017119916A1 (en) * | 2015-01-09 | 2017-07-13 | Spyrus, Inc. | Secure remote authentication |
| US10296354B1 (en) | 2015-01-21 | 2019-05-21 | Pure Storage, Inc. | Optimized boot operations within a flash storage array |
| US11947968B2 (en) | 2015-01-21 | 2024-04-02 | Pure Storage, Inc. | Efficient use of zone in a storage device |
| US9710165B1 (en) | 2015-02-18 | 2017-07-18 | Pure Storage, Inc. | Identifying volume candidates for space reclamation |
| US10082985B2 (en) | 2015-03-27 | 2018-09-25 | Pure Storage, Inc. | Data striping across storage nodes that are assigned to multiple logical arrays |
| US10178169B2 (en) | 2015-04-09 | 2019-01-08 | Pure Storage, Inc. | Point to point based backend communication layer for storage processing |
| US10140149B1 (en) | 2015-05-19 | 2018-11-27 | Pure Storage, Inc. | Transactional commits with hardware assists in remote memory |
| US10437525B2 (en) * | 2015-05-27 | 2019-10-08 | California Institute Of Technology | Communication efficient secret sharing |
| US9842062B2 (en) | 2015-05-31 | 2017-12-12 | Apple Inc. | Backup accessible by subset of related devices |
| US10310740B2 (en) | 2015-06-23 | 2019-06-04 | Pure Storage, Inc. | Aligning memory access operations to a geometry of a storage device |
| US9547441B1 (en) | 2015-06-23 | 2017-01-17 | Pure Storage, Inc. | Exposing a geometry of a storage device |
| KR20170028825A (ko) | 2015-09-04 | 2017-03-14 | 퓨어 스토리지, 아이앤씨. | 압축된 인덱스들을 사용한 해시 테이블들에서의 메모리 효율적인 스토리지 및 탐색 |
| US11341136B2 (en) | 2015-09-04 | 2022-05-24 | Pure Storage, Inc. | Dynamically resizable structures for approximate membership queries |
| US11269884B2 (en) | 2015-09-04 | 2022-03-08 | Pure Storage, Inc. | Dynamically resizable structures for approximate membership queries |
| US9923717B2 (en) * | 2015-10-07 | 2018-03-20 | International Business Machines Corporation | Refresh of shared cryptographic keys |
| US9762563B2 (en) | 2015-10-14 | 2017-09-12 | FullArmor Corporation | Resource access system and method |
| US9509684B1 (en) * | 2015-10-14 | 2016-11-29 | FullArmor Corporation | System and method for resource access with identity impersonation |
| US9843453B2 (en) | 2015-10-23 | 2017-12-12 | Pure Storage, Inc. | Authorizing I/O commands with I/O tokens |
| US10133503B1 (en) | 2016-05-02 | 2018-11-20 | Pure Storage, Inc. | Selecting a deduplication process based on a difference between performance metrics |
| US10452297B1 (en) | 2016-05-02 | 2019-10-22 | Pure Storage, Inc. | Generating and optimizing summary index levels in a deduplication storage system |
| US10592679B2 (en) * | 2016-06-10 | 2020-03-17 | Apple Inc. | Support for changing encryption classes of files |
| US10203903B2 (en) | 2016-07-26 | 2019-02-12 | Pure Storage, Inc. | Geometry based, space aware shelf/writegroup evacuation |
| US10613974B2 (en) | 2016-10-04 | 2020-04-07 | Pure Storage, Inc. | Peer-to-peer non-volatile random-access memory |
| US10191662B2 (en) | 2016-10-04 | 2019-01-29 | Pure Storage, Inc. | Dynamic allocation of segments in a flash storage system |
| US10162523B2 (en) | 2016-10-04 | 2018-12-25 | Pure Storage, Inc. | Migrating data between volumes using virtual copy operation |
| US10756816B1 (en) | 2016-10-04 | 2020-08-25 | Pure Storage, Inc. | Optimized fibre channel and non-volatile memory express access |
| US10481798B2 (en) | 2016-10-28 | 2019-11-19 | Pure Storage, Inc. | Efficient flash management for multiple controllers |
| US10185505B1 (en) | 2016-10-28 | 2019-01-22 | Pure Storage, Inc. | Reading a portion of data to replicate a volume based on sequence numbers |
| US10359942B2 (en) | 2016-10-31 | 2019-07-23 | Pure Storage, Inc. | Deduplication aware scalable content placement |
| US10452290B2 (en) | 2016-12-19 | 2019-10-22 | Pure Storage, Inc. | Block consolidation in a direct-mapped flash storage system |
| US11550481B2 (en) | 2016-12-19 | 2023-01-10 | Pure Storage, Inc. | Efficiently writing data in a zoned drive storage system |
| US11093146B2 (en) | 2017-01-12 | 2021-08-17 | Pure Storage, Inc. | Automatic load rebalancing of a write group |
| US10528488B1 (en) | 2017-03-30 | 2020-01-07 | Pure Storage, Inc. | Efficient name coding |
| US11403019B2 (en) | 2017-04-21 | 2022-08-02 | Pure Storage, Inc. | Deduplication-aware per-tenant encryption |
| US10984136B2 (en) * | 2017-04-21 | 2021-04-20 | Micron Technology, Inc. | Secure memory device with unique identifier for authentication |
| US10944671B2 (en) | 2017-04-27 | 2021-03-09 | Pure Storage, Inc. | Efficient data forwarding in a networked device |
| US10579495B2 (en) | 2017-05-18 | 2020-03-03 | California Institute Of Technology | Systems and methods for transmitting data using encoder cooperation in the presence of state information |
| US10402266B1 (en) | 2017-07-31 | 2019-09-03 | Pure Storage, Inc. | Redundant array of independent disks in a direct-mapped flash storage system |
| CN107609428A (zh) * | 2017-08-16 | 2018-01-19 | 大唐高鸿信安(浙江)信息科技有限公司 | 数据安全存储系统及方法 |
| US10831935B2 (en) | 2017-08-31 | 2020-11-10 | Pure Storage, Inc. | Encryption management with host-side data reduction |
| US10776202B1 (en) | 2017-09-22 | 2020-09-15 | Pure Storage, Inc. | Drive, blade, or data shard decommission via RAID geometry shrinkage |
| US10789211B1 (en) | 2017-10-04 | 2020-09-29 | Pure Storage, Inc. | Feature-based deduplication |
| LU100497B1 (fr) * | 2017-10-27 | 2019-05-08 | Kayan Yves Laurent | Méthode et système d'inscription sécurisé de clés cryptographiques sur un support physique pour clés cryptographiques, et support physique produit |
| US10884919B2 (en) | 2017-10-31 | 2021-01-05 | Pure Storage, Inc. | Memory management in a storage system |
| US10484174B1 (en) * | 2017-11-01 | 2019-11-19 | Pure Storage, Inc. | Protecting an encryption key for data stored in a storage system that includes a plurality of storage devices |
| US10860475B1 (en) | 2017-11-17 | 2020-12-08 | Pure Storage, Inc. | Hybrid flash translation layer |
| US10929031B2 (en) | 2017-12-21 | 2021-02-23 | Pure Storage, Inc. | Maximizing data reduction in a partially encrypted volume |
| US11144638B1 (en) | 2018-01-18 | 2021-10-12 | Pure Storage, Inc. | Method for storage system detection and alerting on potential malicious action |
| US10970395B1 (en) | 2018-01-18 | 2021-04-06 | Pure Storage, Inc | Security threat monitoring for a storage system |
| US11010233B1 (en) | 2018-01-18 | 2021-05-18 | Pure Storage, Inc | Hardware-based system monitoring |
| US10467527B1 (en) | 2018-01-31 | 2019-11-05 | Pure Storage, Inc. | Method and apparatus for artificial intelligence acceleration |
| US11036596B1 (en) | 2018-02-18 | 2021-06-15 | Pure Storage, Inc. | System for delaying acknowledgements on open NAND locations until durability has been confirmed |
| US11494109B1 (en) | 2018-02-22 | 2022-11-08 | Pure Storage, Inc. | Erase block trimming for heterogenous flash memory storage devices |
| US11934322B1 (en) | 2018-04-05 | 2024-03-19 | Pure Storage, Inc. | Multiple encryption keys on storage drives |
| US11995336B2 (en) | 2018-04-25 | 2024-05-28 | Pure Storage, Inc. | Bucket views |
| US10931450B1 (en) * | 2018-04-27 | 2021-02-23 | Pure Storage, Inc. | Distributed, lock-free 2-phase commit of secret shares using multiple stateless controllers |
| US11385792B2 (en) | 2018-04-27 | 2022-07-12 | Pure Storage, Inc. | High availability controller pair transitioning |
| US10678433B1 (en) | 2018-04-27 | 2020-06-09 | Pure Storage, Inc. | Resource-preserving system upgrade |
| US10678436B1 (en) | 2018-05-29 | 2020-06-09 | Pure Storage, Inc. | Using a PID controller to opportunistically compress more data during garbage collection |
| US11436023B2 (en) | 2018-05-31 | 2022-09-06 | Pure Storage, Inc. | Mechanism for updating host file system and flash translation layer based on underlying NAND technology |
| US10776046B1 (en) | 2018-06-08 | 2020-09-15 | Pure Storage, Inc. | Optimized non-uniform memory access |
| US11281577B1 (en) | 2018-06-19 | 2022-03-22 | Pure Storage, Inc. | Garbage collection tuning for low drive wear |
| CN109033849A (zh) * | 2018-06-29 | 2018-12-18 | 无锡艾立德智能科技有限公司 | 对存入磁盘阵列数据进行加密的加密方法及装置 |
| US11869586B2 (en) | 2018-07-11 | 2024-01-09 | Pure Storage, Inc. | Increased data protection by recovering data from partially-failed solid-state devices |
| US10833856B2 (en) | 2018-09-04 | 2020-11-10 | International Business Machines Corporation | Automatic re-authentication of links using a key server |
| US10833860B2 (en) | 2018-09-04 | 2020-11-10 | International Business Machines Corporation | Shared key processing by a host to secure links |
| US11038671B2 (en) | 2018-09-04 | 2021-06-15 | International Business Machines Corporation | Shared key processing by a storage device to secure links |
| US11088829B2 (en) | 2018-09-04 | 2021-08-10 | International Business Machines Corporation | Securing a path at a node |
| US11025413B2 (en) | 2018-09-04 | 2021-06-01 | International Business Machines Corporation | Securing a storage network using key server authentication |
| US11991273B2 (en) * | 2018-09-04 | 2024-05-21 | International Business Machines Corporation | Storage device key management for encrypted host data |
| US10764291B2 (en) | 2018-09-04 | 2020-09-01 | International Business Machines Corporation | Controlling access between nodes by a key server |
| US11038698B2 (en) | 2018-09-04 | 2021-06-15 | International Business Machines Corporation | Securing a path at a selected node |
| US11133076B2 (en) | 2018-09-06 | 2021-09-28 | Pure Storage, Inc. | Efficient relocation of data between storage devices of a storage system |
| US11194759B2 (en) | 2018-09-06 | 2021-12-07 | Pure Storage, Inc. | Optimizing local data relocation operations of a storage device of a storage system |
| US10846216B2 (en) | 2018-10-25 | 2020-11-24 | Pure Storage, Inc. | Scalable garbage collection |
| US11113409B2 (en) | 2018-10-26 | 2021-09-07 | Pure Storage, Inc. | Efficient rekey in a transparent decrypting storage array |
| US11093627B2 (en) * | 2018-10-31 | 2021-08-17 | L3 Technologies, Inc. | Key provisioning |
| US11544388B2 (en) * | 2018-12-07 | 2023-01-03 | Iex Group, Inc. | Distributed parallel data protection system and method |
| US11194473B1 (en) | 2019-01-23 | 2021-12-07 | Pure Storage, Inc. | Programming frequently read data to low latency portions of a solid-state storage array |
| US11588633B1 (en) | 2019-03-15 | 2023-02-21 | Pure Storage, Inc. | Decommissioning keys in a decryption storage system |
| US11334254B2 (en) | 2019-03-29 | 2022-05-17 | Pure Storage, Inc. | Reliability based flash page sizing |
| US11397674B1 (en) | 2019-04-03 | 2022-07-26 | Pure Storage, Inc. | Optimizing garbage collection across heterogeneous flash devices |
| US11775189B2 (en) | 2019-04-03 | 2023-10-03 | Pure Storage, Inc. | Segment level heterogeneity |
| US10990480B1 (en) | 2019-04-05 | 2021-04-27 | Pure Storage, Inc. | Performance of RAID rebuild operations by a storage group controller of a storage system |
| US11099986B2 (en) | 2019-04-12 | 2021-08-24 | Pure Storage, Inc. | Efficient transfer of memory contents |
| US11487665B2 (en) | 2019-06-05 | 2022-11-01 | Pure Storage, Inc. | Tiered caching of data in a storage system |
| US11281394B2 (en) | 2019-06-24 | 2022-03-22 | Pure Storage, Inc. | Replication across partitioning schemes in a distributed storage system |
| US10929046B2 (en) | 2019-07-09 | 2021-02-23 | Pure Storage, Inc. | Identifying and relocating hot data to a cache determined with read velocity based on a threshold stored at a storage device |
| US11422751B2 (en) | 2019-07-18 | 2022-08-23 | Pure Storage, Inc. | Creating a virtual storage system |
| US11086713B1 (en) | 2019-07-23 | 2021-08-10 | Pure Storage, Inc. | Optimized end-to-end integrity storage system |
| US11963321B2 (en) | 2019-09-11 | 2024-04-16 | Pure Storage, Inc. | Low profile latching mechanism |
| US11403043B2 (en) | 2019-10-15 | 2022-08-02 | Pure Storage, Inc. | Efficient data compression by grouping similar data within a data segment |
| US11645162B2 (en) | 2019-11-22 | 2023-05-09 | Pure Storage, Inc. | Recovery point determination for data restoration in a storage system |
| US11720692B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Hardware token based management of recovery datasets for a storage system |
| US11520907B1 (en) | 2019-11-22 | 2022-12-06 | Pure Storage, Inc. | Storage system snapshot retention based on encrypted data |
| US11657155B2 (en) | 2019-11-22 | 2023-05-23 | Pure Storage, Inc | Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system |
| US11687418B2 (en) | 2019-11-22 | 2023-06-27 | Pure Storage, Inc. | Automatic generation of recovery plans specific to individual storage elements |
| US11755751B2 (en) | 2019-11-22 | 2023-09-12 | Pure Storage, Inc. | Modify access restrictions in response to a possible attack against data stored by a storage system |
| US11341236B2 (en) | 2019-11-22 | 2022-05-24 | Pure Storage, Inc. | Traffic-based detection of a security threat to a storage system |
| US11941116B2 (en) | 2019-11-22 | 2024-03-26 | Pure Storage, Inc. | Ransomware-based data protection parameter modification |
| US11500788B2 (en) | 2019-11-22 | 2022-11-15 | Pure Storage, Inc. | Logical address based authorization of operations with respect to a storage system |
| US11625481B2 (en) | 2019-11-22 | 2023-04-11 | Pure Storage, Inc. | Selective throttling of operations potentially related to a security threat to a storage system |
| US11675898B2 (en) | 2019-11-22 | 2023-06-13 | Pure Storage, Inc. | Recovery dataset management for security threat monitoring |
| US11651075B2 (en) | 2019-11-22 | 2023-05-16 | Pure Storage, Inc. | Extensible attack monitoring by a storage system |
| US11615185B2 (en) | 2019-11-22 | 2023-03-28 | Pure Storage, Inc. | Multi-layer security threat detection for a storage system |
| US11720714B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Inter-I/O relationship based detection of a security threat to a storage system |
| US20220191019A1 (en) * | 2020-12-15 | 2022-06-16 | International Business Machines Corporation | Crypto-erasure of data stored in a key per io-enabled device via internal action |
| US20230350580A1 (en) * | 2022-04-27 | 2023-11-02 | Micron Technology, Inc. | Techniques for non-volatile data protection |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030084290A1 (en) * | 2001-10-12 | 2003-05-01 | Kumar Murty | Distributed security architecture for storage area networks |
| US20100189265A1 (en) * | 2007-08-28 | 2010-07-29 | Yoshikatsu Ito | Key terminal apparatus, crypto-processing lsi, unique key generation method, and content system |
| US20110022574A1 (en) * | 2009-07-21 | 2011-01-27 | Vmware, Inc. | System and Method for Replicating Disk Images in a Cloud Computing Based Virtual Machine File System |
| US20110170692A1 (en) * | 2009-11-06 | 2011-07-14 | Roche Diagnostics International Ltd. | Method And System For Establishing Cryptographic Communications Between A Remote Device And A Medical Device |
Family Cites Families (175)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4924514A (en) | 1988-08-26 | 1990-05-08 | International Business Machines Corporation | Personal identification number processing using control vectors |
| US5208813A (en) | 1990-10-23 | 1993-05-04 | Array Technology Corporation | On-line reconstruction of a failed redundant array system |
| US5403639A (en) | 1992-09-02 | 1995-04-04 | Storage Technology Corporation | File server having snapshot application data groups |
| DE9310582U1 (de) | 1993-07-15 | 1993-09-23 | Paul Hettich GmbH & Co, 32278 Kirchlengern | Rasteinrichtung fuer schubkaesten o.dgl. |
| US5557765A (en) | 1994-08-11 | 1996-09-17 | Trusted Information Systems, Inc. | System and method for data recovery |
| US6412045B1 (en) | 1995-05-23 | 2002-06-25 | Lsi Logic Corporation | Method for transferring data from a host computer to a storage media using selectable caching strategies |
| US5832529A (en) | 1996-10-11 | 1998-11-03 | Sun Microsystems, Inc. | Methods, apparatus, and product for distributed garbage collection |
| US6035041A (en) | 1997-04-28 | 2000-03-07 | Certco, Inc. | Optimal-resilience, proactive, public-key cryptographic system and method |
| US5940838A (en) | 1997-07-11 | 1999-08-17 | International Business Machines Corporation | Parallel file system and method anticipating cache usage patterns |
| US6038639A (en) | 1997-09-09 | 2000-03-14 | Storage Technology Corporation | Data file storage management system for snapshot copy operations |
| US6470454B1 (en) | 1998-03-31 | 2002-10-22 | International Business Machines Corporation | Method and apparatus for establishing computer configuration protection passwords for protecting computer configurations |
| US6799283B1 (en) | 1998-12-04 | 2004-09-28 | Matsushita Electric Industrial Co., Ltd. | Disk array device |
| GB2344977A (en) | 1998-12-17 | 2000-06-21 | 3Com Technologies Ltd | Password generation by hashing site and time data |
| JP2000181803A (ja) | 1998-12-18 | 2000-06-30 | Fujitsu Ltd | 鍵管理機能付電子データ保管装置および電子データ保管方法 |
| US6834298B1 (en) | 1999-09-21 | 2004-12-21 | Siemens Information And Communication Networks, Inc. | System and method for network auto-discovery and configuration |
| JP4622064B2 (ja) | 2000-04-06 | 2011-02-02 | ソニー株式会社 | 情報記録装置、情報再生装置、情報記録方法、情報再生方法、および情報記録媒体、並びにプログラム提供媒体 |
| US6804755B2 (en) | 2000-06-19 | 2004-10-12 | Storage Technology Corporation | Apparatus and method for performing an instant copy of data based on a dynamically changeable virtual mapping scheme |
| IT1320206B1 (it) * | 2000-06-20 | 2003-11-26 | Bridgestone Firestone Tech | Metodo per la preparazione di mescole di gomma vulcanizzabilecontenenti silice finalizzate alla produzione di fasce di battistrada. |
| US6912537B2 (en) | 2000-06-20 | 2005-06-28 | Storage Technology Corporation | Dynamically changeable virtual mapping scheme |
| JP2002108573A (ja) | 2000-09-28 | 2002-04-12 | Nec Corp | ディスクアレイ装置、そのエラー制御方法、ならびにその制御プログラムを記録した記録媒体 |
| US6757769B1 (en) | 2000-11-28 | 2004-06-29 | Emc Corporation | Cooperative lock override procedure |
| US6718448B1 (en) | 2000-11-28 | 2004-04-06 | Emc Corporation | Queued locking of a shared resource using multimodal lock types |
| US6931128B2 (en) | 2001-01-16 | 2005-08-16 | Microsoft Corporation | Methods and systems for generating encryption keys using random bit generators |
| US6850938B1 (en) | 2001-02-08 | 2005-02-01 | Cisco Technology, Inc. | Method and apparatus providing optimistic locking of shared computer resources |
| EP1370947A4 (en) | 2001-02-13 | 2009-05-27 | Candera Inc | STORAGE VIRTUALIZATION SERVER SILICON BASE |
| US7167565B2 (en) * | 2001-03-06 | 2007-01-23 | Arcot Systems, Inc. | Efficient techniques for sharing a secret |
| FR2823928B1 (fr) | 2001-04-19 | 2003-08-22 | Canal Plus Technologies | Procede pour une communication securisee entre deux dispositifs |
| PT1386215E (pt) | 2001-04-27 | 2007-01-31 | Betrusted Ireland Limtited | Sistema e método para processamento de um código secreto repartido |
| US7228438B2 (en) | 2001-04-30 | 2007-06-05 | Matsushita Electric Industrial Co., Ltd. | Computer network security system employing portable storage device |
| US6973549B1 (en) | 2001-12-10 | 2005-12-06 | Incipient, Inc. | Locking technique for control and synchronization |
| US6986015B2 (en) | 2001-12-10 | 2006-01-10 | Incipient, Inc. | Fast path caching |
| US7260628B2 (en) | 2002-09-06 | 2007-08-21 | Hitachi, Ltd. | Event notification in storage networks |
| US7216164B1 (en) | 2002-10-09 | 2007-05-08 | Cisco Technology, Inc. | Methods and apparatus for determining the performance of a server |
| US7599976B1 (en) | 2002-11-13 | 2009-10-06 | Metrowerks Corporation | System and method for cryptographic key generation |
| US7028218B2 (en) | 2002-12-02 | 2006-04-11 | Emc Corporation | Redundant multi-processor and logical processor configuration for a file server |
| EA200501559A1 (ru) | 2003-04-07 | 2006-04-28 | Итракс Корпорейшн | Способ (варианты) и система (варианты) защиты данных в сети |
| US7424498B1 (en) | 2003-06-30 | 2008-09-09 | Data Domain, Inc. | Probabilistic summary data structure based encoding for garbage collection |
| US7865485B2 (en) | 2003-09-23 | 2011-01-04 | Emc Corporation | Multi-threaded write interface and methods for increasing the single file read and write throughput of a file server |
| JP4426262B2 (ja) | 2003-11-26 | 2010-03-03 | 株式会社日立製作所 | ディスクアレイ装置及びディスクアレイ装置の障害回避方法 |
| US7493493B2 (en) | 2003-12-12 | 2009-02-17 | International Business Machines Corporation | Method and apparatus for password generation |
| US8560747B1 (en) | 2007-02-16 | 2013-10-15 | Vmware, Inc. | Associating heartbeat data with access to shared resources of a computer system |
| US7617158B2 (en) * | 2004-03-22 | 2009-11-10 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for digital rights management of electronic content |
| JP4456909B2 (ja) | 2004-03-29 | 2010-04-28 | 株式会社日立製作所 | バックアップ方法、ストレージシステム及びそのプログラム |
| JP2005293774A (ja) | 2004-04-02 | 2005-10-20 | Hitachi Global Storage Technologies Netherlands Bv | ディスク装置の制御方法 |
| US7424482B2 (en) | 2004-04-26 | 2008-09-09 | Storwize Inc. | Method and system for compression of data for block mode access storage |
| US8166310B2 (en) | 2004-05-29 | 2012-04-24 | Ironport Systems, Inc. | Method and apparatus for providing temporary access to a network device |
| US20060074940A1 (en) | 2004-10-05 | 2006-04-06 | International Business Machines Corporation | Dynamic management of node clusters to enable data sharing |
| US7363444B2 (en) | 2005-01-10 | 2008-04-22 | Hewlett-Packard Development Company, L.P. | Method for taking snapshots of data |
| US7913300B1 (en) | 2005-04-08 | 2011-03-22 | Netapp, Inc. | Centralized role-based access control for storage servers |
| US8200887B2 (en) | 2007-03-29 | 2012-06-12 | Violin Memory, Inc. | Memory management system and method |
| US8364845B2 (en) | 2005-05-19 | 2013-01-29 | Wyse Technology Inc. | Method and system for thin client configuration |
| JPWO2006123416A1 (ja) | 2005-05-19 | 2008-12-25 | 富士通株式会社 | ディスク故障復旧方法及びディスクアレイ装置 |
| US7933936B2 (en) | 2005-06-10 | 2011-04-26 | Network Appliance, Inc. | Method and system for automatic management of storage space |
| US7979613B2 (en) | 2005-07-15 | 2011-07-12 | International Business Machines Corporation | Performance of a storage system |
| US8521955B2 (en) * | 2005-09-13 | 2013-08-27 | Lsi Corporation | Aligned data storage for network attached media streaming systems |
| JP2007087036A (ja) | 2005-09-21 | 2007-04-05 | Hitachi Ltd | スナップショット維持装置及び方法 |
| JP4662548B2 (ja) | 2005-09-27 | 2011-03-30 | 株式会社日立製作所 | スナップショット管理装置及び方法並びにストレージシステム |
| US8842835B2 (en) | 2005-10-27 | 2014-09-23 | Cisco Technology | Network security system |
| JP2007199953A (ja) | 2006-01-25 | 2007-08-09 | Fujitsu Ltd | ディスクアレイ装置およびディスクアレイ制御方法 |
| JP4927408B2 (ja) | 2006-01-25 | 2012-05-09 | 株式会社日立製作所 | 記憶システム及びそのデータ復元方法 |
| US7743197B2 (en) | 2006-05-11 | 2010-06-22 | Emulex Design & Manufacturing Corporation | System and method for virtualizing PCIe devices |
| JP2007233903A (ja) | 2006-03-03 | 2007-09-13 | Hitachi Ltd | 記憶制御装置及び記憶制御装置のデータ回復方法 |
| US8832247B2 (en) | 2006-03-24 | 2014-09-09 | Blue Coat Systems, Inc. | Methods and systems for caching content at multiple levels |
| US7552469B2 (en) | 2006-06-22 | 2009-06-23 | Sun Microsystems, Inc. | Method for generating mnemonic random passcodes |
| US8037319B1 (en) * | 2006-06-30 | 2011-10-11 | Symantec Operating Corporation | System and method for securely storing cryptographic keys with encrypted data |
| US7987438B2 (en) | 2006-08-10 | 2011-07-26 | International Business Machines Corporation | Structure for initializing expansion adapters installed in a computer system having similar expansion adapters |
| US8761401B2 (en) | 2006-08-28 | 2014-06-24 | Motorola Mobility Llc | System and method for secure key distribution to manufactured products |
| US7555599B2 (en) | 2006-09-06 | 2009-06-30 | International Business Machines Corporation | System and method of mirrored RAID array write management |
| US7475215B2 (en) | 2006-09-08 | 2009-01-06 | Lsi Corporation | Identification of uncommitted memory blocks during an initialization procedure |
| JP2008103936A (ja) * | 2006-10-18 | 2008-05-01 | Toshiba Corp | 秘密情報管理装置および秘密情報管理システム |
| JP4573898B2 (ja) | 2006-11-27 | 2010-11-04 | 富士通株式会社 | サーバ管理プログラム、メールサーバ管理プログラム、サーバ管理システム、管理サーバおよびサーバ管理方法 |
| US8694712B2 (en) | 2006-12-05 | 2014-04-08 | Microsoft Corporation | Reduction of operational costs of virtual TLBs |
| US20080155191A1 (en) | 2006-12-21 | 2008-06-26 | Anderson Robert J | Systems and methods for providing heterogeneous storage systems |
| US8370562B2 (en) | 2007-02-25 | 2013-02-05 | Sandisk Il Ltd. | Interruptible cache flushing in flash memory systems |
| US9632870B2 (en) | 2007-03-29 | 2017-04-25 | Violin Memory, Inc. | Memory system with multiple striping of raid groups and method for performing the same |
| JP4529990B2 (ja) | 2007-03-30 | 2010-08-25 | ブラザー工業株式会社 | 画像処理プログラム及び画像処理装置 |
| JP4900811B2 (ja) | 2007-03-30 | 2012-03-21 | 株式会社日立製作所 | 記憶システムおよび記憶制御方法 |
| US8086652B1 (en) | 2007-04-27 | 2011-12-27 | Netapp, Inc. | Storage system-based hole punching for reclaiming unused space from a data container |
| US7958303B2 (en) | 2007-04-27 | 2011-06-07 | Gary Stephen Shuster | Flexible data storage system |
| JP5018880B2 (ja) | 2007-05-30 | 2012-09-05 | 富士通株式会社 | 画像暗号化装置、画像復号装置、方法、及びプログラム |
| US7765426B2 (en) | 2007-06-07 | 2010-07-27 | Micron Technology, Inc. | Emerging bad block detection |
| US8874854B2 (en) | 2007-07-30 | 2014-10-28 | International Business Machines Corporation | Method for selectively enabling and disabling read caching in a storage subsystem |
| US7774852B2 (en) * | 2007-10-12 | 2010-08-10 | Panasonic Corporation | Health care system, key management server and method for managing key, and encrypting device and method for encrypting vital sign data |
| BRPI0906863A8 (pt) | 2008-01-07 | 2018-10-30 | Security First Corp | sistemas e métodos para proteção de dados com o uso de dispersão chaveada por multifatorial |
| US8321682B1 (en) | 2008-01-24 | 2012-11-27 | Jpmorgan Chase Bank, N.A. | System and method for generating and managing administrator passwords |
| US7970994B2 (en) | 2008-03-04 | 2011-06-28 | International Business Machines Corporation | High performance disk array rebuild |
| US8352540B2 (en) | 2008-03-06 | 2013-01-08 | International Business Machines Corporation | Distinguishing data streams to enhance data storage efficiency |
| US7873619B1 (en) | 2008-03-31 | 2011-01-18 | Emc Corporation | Managing metadata |
| US8621241B1 (en) | 2008-04-25 | 2013-12-31 | Netapp, Inc. | Storage and recovery of cryptographic key identifiers |
| US8117464B1 (en) | 2008-04-30 | 2012-02-14 | Netapp, Inc. | Sub-volume level security for deduplicated data |
| US9678879B2 (en) | 2008-05-29 | 2017-06-13 | Red Hat, Inc. | Set partitioning for encoding file system allocation metadata |
| US8296547B2 (en) | 2008-08-27 | 2012-10-23 | International Business Machines Corporation | Loading entries into a TLB in hardware via indirect TLB entries |
| US20100057673A1 (en) | 2008-09-04 | 2010-03-04 | Boris Savov | Reusable mapping rules for data to data transformation |
| US20100077205A1 (en) | 2008-09-19 | 2010-03-25 | Ekstrom Joseph J | System and Method for Cipher E-Mail Protection |
| US8756369B2 (en) | 2008-09-26 | 2014-06-17 | Netapp, Inc. | Priority command queues for low latency solid state drives |
| JP4399021B1 (ja) | 2008-10-29 | 2010-01-13 | 株式会社東芝 | ディスクアレイ制御装置および記憶装置 |
| US7945733B2 (en) | 2008-12-12 | 2011-05-17 | Lsi Corporation | Hierarchical storage management (HSM) for redundant array of independent disks (RAID) |
| US8200922B2 (en) | 2008-12-17 | 2012-06-12 | Netapp, Inc. | Storage system snapshot assisted by SSD technology |
| EP2359248A4 (en) | 2008-12-19 | 2012-06-13 | Hewlett Packard Development Co | REDUNDANT MEMORIZATION OF DATA FOR A UNIFORM READING LATENCY |
| US8312204B2 (en) | 2009-01-23 | 2012-11-13 | Seagate Technology Llc | System and method for wear leveling in a data storage device |
| US8638926B2 (en) | 2009-02-26 | 2014-01-28 | Red Hat, Inc. | Sharing a secret with modular inverses |
| JP4869368B2 (ja) | 2009-03-12 | 2012-02-08 | 株式会社東芝 | ストレージ装置及び仮想化装置 |
| US7941584B2 (en) | 2009-03-26 | 2011-05-10 | Arm Limited | Data processing apparatus and method for performing hazard detection |
| US8205065B2 (en) | 2009-03-30 | 2012-06-19 | Exar Corporation | System and method for data deduplication |
| US8560787B2 (en) | 2009-03-30 | 2013-10-15 | International Business Machines Corporation | Incremental backup of source to target storage volume |
| US8744071B2 (en) | 2009-04-20 | 2014-06-03 | Cleversafe, Inc. | Dispersed data storage system data encryption and encoding |
| TWI397009B (zh) | 2009-04-30 | 2013-05-21 | Inventec Corp | 基本輸入輸出系統的資料處理裝置 |
| US8180955B2 (en) | 2009-05-06 | 2012-05-15 | Via Telecom, Inc. | Computing systems and methods for managing flash memory device |
| JP5391829B2 (ja) | 2009-05-22 | 2014-01-15 | 日本電気株式会社 | 鍵管理システム、鍵管理方法、サーバ装置及びプログラム |
| CN101964028A (zh) * | 2009-07-23 | 2011-02-02 | 鸿富锦精密工业(深圳)有限公司 | 加/解密系统及方法 |
| EP2299363B1 (fr) | 2009-09-21 | 2013-01-09 | STMicroelectronics (Rousset) SAS | Procédé de nivellement de l'usure dans une mémoire non volatile |
| US8510569B2 (en) | 2009-12-16 | 2013-08-13 | Intel Corporation | Providing integrity verification and attestation in a hidden execution environment |
| US9134918B2 (en) | 2009-12-31 | 2015-09-15 | Sandisk Technologies Inc. | Physical compression of data with flat or systematic pattern |
| US8452932B2 (en) | 2010-01-06 | 2013-05-28 | Storsimple, Inc. | System and method for efficiently creating off-site data volume back-ups |
| US9059851B2 (en) | 2010-02-23 | 2015-06-16 | Salesforce.Com, Inc. | Method and computer program product for order preserving symbol based encryption |
| JP4892072B2 (ja) | 2010-03-24 | 2012-03-07 | 株式会社東芝 | ホスト装置と連携して重複データを排除するストレージ装置、同ストレージ装置を備えたストレージシステム、及び同システムにおける重複排除方法 |
| EP2553905B1 (en) | 2010-03-31 | 2018-05-09 | Security First Corp. | Systems and methods for securing data in motion |
| US8861727B2 (en) | 2010-05-19 | 2014-10-14 | Cleversafe, Inc. | Storage of sensitive data in a dispersed storage network |
| US8738970B2 (en) | 2010-07-23 | 2014-05-27 | Salesforce.Com, Inc. | Generating performance alerts |
| US8713268B2 (en) | 2010-08-05 | 2014-04-29 | Ut-Battelle, Llc | Coordinated garbage collection for raid array of solid state disks |
| CA2807972A1 (en) | 2010-08-11 | 2012-02-16 | Security First Corp. | Systems and methods for secure multi-tenant data storage |
| US8468318B2 (en) | 2010-09-15 | 2013-06-18 | Pure Storage Inc. | Scheduling of I/O writes in a storage environment |
| US8589625B2 (en) | 2010-09-15 | 2013-11-19 | Pure Storage, Inc. | Scheduling of reconstructive I/O read operations in a storage environment |
| US8775868B2 (en) | 2010-09-28 | 2014-07-08 | Pure Storage, Inc. | Adaptive RAID for an SSD environment |
| US20120117029A1 (en) | 2010-11-08 | 2012-05-10 | Stephen Gold | Backup policies for using different storage tiers |
| WO2012106362A2 (en) | 2011-01-31 | 2012-08-09 | Fusion-Io, Inc. | Apparatus, system, and method for managing eviction of data |
| US9563555B2 (en) | 2011-03-18 | 2017-02-07 | Sandisk Technologies Llc | Systems and methods for storage allocation |
| US8984295B2 (en) | 2011-03-31 | 2015-03-17 | Echostar Technologies L.L.C. | Secure access to electronic devices |
| US20120284534A1 (en) * | 2011-05-04 | 2012-11-08 | Chien-Kang Yang | Memory Device and Method for Accessing the Same |
| US8595267B2 (en) | 2011-06-27 | 2013-11-26 | Amazon Technologies, Inc. | System and method for implementing a scalable data storage service |
| US8751463B1 (en) | 2011-06-30 | 2014-06-10 | Emc Corporation | Capacity forecasting for a deduplicating storage system |
| US8793467B2 (en) | 2011-09-30 | 2014-07-29 | Pure Storage, Inc. | Variable length encoding in a storage system |
| US8806160B2 (en) | 2011-08-16 | 2014-08-12 | Pure Storage, Inc. | Mapping in a storage system |
| US8788788B2 (en) | 2011-08-11 | 2014-07-22 | Pure Storage, Inc. | Logical sector mapping in a flash storage array |
| US8527544B1 (en) | 2011-08-11 | 2013-09-03 | Pure Storage Inc. | Garbage collection in a storage system |
| JP5768587B2 (ja) | 2011-08-17 | 2015-08-26 | 富士通株式会社 | ストレージシステム、ストレージ制御装置およびストレージ制御方法 |
| US8700875B1 (en) | 2011-09-20 | 2014-04-15 | Netapp, Inc. | Cluster view for storage devices |
| US9542413B2 (en) | 2011-10-06 | 2017-01-10 | Hitachi, Ltd. | Stored data deduplication method, stored data deduplication apparatus, and deduplication program |
| US8825605B2 (en) | 2011-10-11 | 2014-09-02 | Netapp, Inc. | Deduplication aware scheduling of requests to access data blocks |
| US8918579B2 (en) | 2012-02-06 | 2014-12-23 | Sandisk Technologies Inc. | Storage device and method for selective data compression |
| US9519647B2 (en) | 2012-04-17 | 2016-12-13 | Sandisk Technologies Llc | Data expiry in a non-volatile device |
| US9075710B2 (en) | 2012-04-17 | 2015-07-07 | SanDisk Technologies, Inc. | Non-volatile key-value store |
| US8996881B2 (en) | 2012-04-23 | 2015-03-31 | International Business Machines Corporation | Preserving redundancy in data deduplication systems by encryption |
| US8793466B2 (en) | 2012-04-27 | 2014-07-29 | Netapp, Inc. | Efficient data object storage and retrieval |
| US9645177B2 (en) | 2012-05-04 | 2017-05-09 | Seagate Technology Llc | Retention-drift-history-based non-volatile memory read threshold optimization |
| US8874850B1 (en) | 2012-05-10 | 2014-10-28 | Netapp, Inc. | Hierarchically tagged cache |
| US20130318314A1 (en) | 2012-05-25 | 2013-11-28 | Red Hat, Inc. | Managing copies of data on multiple nodes using a data controller node to avoid transaction deadlock |
| US9384254B2 (en) | 2012-06-18 | 2016-07-05 | Actifio, Inc. | System and method for providing intra-process communication for an application programming interface |
| US8959305B1 (en) | 2012-06-29 | 2015-02-17 | Emc Corporation | Space reclamation with virtually provisioned devices |
| US9489293B2 (en) | 2012-08-17 | 2016-11-08 | Netapp, Inc. | Techniques for opportunistic data storage |
| US9154298B2 (en) | 2012-08-31 | 2015-10-06 | Cleversafe, Inc. | Securely storing data in a dispersed storage network |
| JP5954081B2 (ja) | 2012-09-26 | 2016-07-20 | 富士通株式会社 | ストレージ制御装置、ストレージ制御方法、およびストレージ制御プログラム |
| US8745415B2 (en) | 2012-09-26 | 2014-06-03 | Pure Storage, Inc. | Multi-drive cooperation to generate an encryption key |
| US9348757B2 (en) | 2012-10-08 | 2016-05-24 | International Business Machines Corporation | System supporting multiple partitions with differing translation formats |
| US9176858B2 (en) | 2012-11-19 | 2015-11-03 | Hitachi, Ltd. | Storage system configured to selectively utilize data compression based on real pool usage rates |
| US9348840B2 (en) | 2012-12-14 | 2016-05-24 | Intel Corporation | Adaptive data striping and replication across multiple storage clouds for high availability and performance |
| US9589008B2 (en) | 2013-01-10 | 2017-03-07 | Pure Storage, Inc. | Deduplication of volume regions |
| US9886346B2 (en) | 2013-01-11 | 2018-02-06 | Commvault Systems, Inc. | Single snapshot for multiple agents |
| US9942750B2 (en) * | 2013-01-23 | 2018-04-10 | Qualcomm Incorporated | Providing an encrypted account credential from a first device to a second device |
| US9652376B2 (en) | 2013-01-28 | 2017-05-16 | Radian Memory Systems, Inc. | Cooperative flash memory control |
| US9335932B2 (en) | 2013-03-15 | 2016-05-10 | Bracket Computing, Inc. | Storage unit selection for virtualized storage units |
| US9519575B2 (en) | 2013-04-25 | 2016-12-13 | Sandisk Technologies Llc | Conditional iteration for a non-volatile device |
| US9171133B2 (en) * | 2013-10-11 | 2015-10-27 | Landis+Gyr Innovations, Inc. | Securing a device and data within the device |
| US10263770B2 (en) | 2013-11-06 | 2019-04-16 | Pure Storage, Inc. | Data protection in a storage system using external secrets |
| US9516016B2 (en) | 2013-11-11 | 2016-12-06 | Pure Storage, Inc. | Storage array password management |
| JP6233086B2 (ja) | 2014-02-20 | 2017-11-22 | 富士通株式会社 | ストレージ制御装置,ストレージシステム及び制御プログラム |
| US9798596B2 (en) | 2014-02-27 | 2017-10-24 | Commvault Systems, Inc. | Automatic alert escalation for an information management system |
| US10656864B2 (en) | 2014-03-20 | 2020-05-19 | Pure Storage, Inc. | Data replication within a flash storage array |
| US9361469B2 (en) | 2014-03-26 | 2016-06-07 | Amazon Technologies, Inc. | Electronic communication with secure screen sharing of sensitive information |
| US9513820B1 (en) | 2014-04-07 | 2016-12-06 | Pure Storage, Inc. | Dynamically controlling temporary compromise on data redundancy |
| US9563509B2 (en) | 2014-07-15 | 2017-02-07 | Nimble Storage, Inc. | Methods and systems for storing data in a redundant manner on a plurality of storage units of a storage system |
| US10430282B2 (en) | 2014-10-07 | 2019-10-01 | Pure Storage, Inc. | Optimizing replication by distinguishing user and system write activity |
| US9489132B2 (en) | 2014-10-07 | 2016-11-08 | Pure Storage, Inc. | Utilizing unmapped and unknown states in a replicated storage system |
| US9552248B2 (en) | 2014-12-11 | 2017-01-24 | Pure Storage, Inc. | Cloud alert to replica |
| US11138103B1 (en) | 2017-06-11 | 2021-10-05 | Pure Storage, Inc. | Resiliency groups |
-
2013
- 2013-11-06 US US14/073,618 patent/US10263770B2/en active Active
-
2014
- 2014-10-27 JP JP2016528086A patent/JP2016539567A/ja active Pending
- 2014-10-27 EP EP14796637.8A patent/EP3066610B1/en active Active
- 2014-10-27 WO PCT/US2014/062383 patent/WO2015069476A1/en active Application Filing
- 2014-10-27 CN CN201480068769.5A patent/CN105830086B/zh active Active
- 2014-10-27 AU AU2014347184A patent/AU2014347184B2/en active Active
-
2019
- 2019-03-05 US US16/293,569 patent/US10887086B1/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030084290A1 (en) * | 2001-10-12 | 2003-05-01 | Kumar Murty | Distributed security architecture for storage area networks |
| US20100189265A1 (en) * | 2007-08-28 | 2010-07-29 | Yoshikatsu Ito | Key terminal apparatus, crypto-processing lsi, unique key generation method, and content system |
| US20110022574A1 (en) * | 2009-07-21 | 2011-01-27 | Vmware, Inc. | System and Method for Replicating Disk Images in a Cloud Computing Based Virtual Machine File System |
| US20110170692A1 (en) * | 2009-11-06 | 2011-07-14 | Roche Diagnostics International Ltd. | Method And System For Establishing Cryptographic Communications Between A Remote Device And A Medical Device |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10887086B1 (en) | 2013-11-06 | 2021-01-05 | Pure Storage, Inc. | Protecting data in a storage system |
| CN110447034A (zh) * | 2017-02-21 | 2019-11-12 | 尤尼斯康通用身份控制股份有限公司 | 安全地访问数据的方法 |
| CN110447034B (zh) * | 2017-02-21 | 2022-10-25 | 尤尼斯康通用身份控制股份有限公司 | 安全地访问数据的方法 |
| CN109388976A (zh) * | 2017-08-07 | 2019-02-26 | 马克西姆综合产品公司 | 用于屏蔽rsa运算的系统和方法 |
| CN109388976B (zh) * | 2017-08-07 | 2023-12-05 | 马克西姆综合产品公司 | 用于屏蔽rsa运算的系统和方法 |
| CN110999206A (zh) * | 2017-08-15 | 2020-04-10 | 区块链控股有限公司 | 阈值数字签名方法及系统 |
| CN108600574A (zh) * | 2018-04-20 | 2018-09-28 | 大连理工大学 | 以Faster R-CNN’s为基础的秘密分享方法 |
| CN109088729A (zh) * | 2018-09-28 | 2018-12-25 | 北京金山安全软件有限公司 | 一种密钥存储方法及装置 |
| CN109302284A (zh) * | 2018-09-28 | 2019-02-01 | 北京金山安全软件有限公司 | 一种硬件钱包 |
| CN109088729B (zh) * | 2018-09-28 | 2021-03-26 | 北京金山安全软件有限公司 | 一种密钥存储方法及装置 |
| CN113169859A (zh) * | 2019-04-05 | 2021-07-23 | 谷歌有限责任公司 | 用于保护隐私的方法 |
| US11962687B2 (en) | 2019-04-05 | 2024-04-16 | Google Llc | Methods for protecting privacy |
Also Published As
| Publication number | Publication date |
|---|---|
| US10263770B2 (en) | 2019-04-16 |
| US10887086B1 (en) | 2021-01-05 |
| EP3066610B1 (en) | 2018-06-20 |
| CN105830086B (zh) | 2019-05-21 |
| JP2016539567A (ja) | 2016-12-15 |
| WO2015069476A1 (en) | 2015-05-14 |
| AU2014347184A1 (en) | 2016-06-02 |
| US20150127946A1 (en) | 2015-05-07 |
| AU2014347184B2 (en) | 2019-09-19 |
| EP3066610A1 (en) | 2016-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105830086A (zh) | 使用外部秘密的存储系统中的数据保护 | |
| CN104704504A (zh) | 生成加密密钥的多驱动器协作 | |
| US10419217B2 (en) | Security information configuration method, security verification method, and related chip | |
| CN101983379B (zh) | 盘驱动器数据加密 | |
| CN102138300B (zh) | 消息认证码预计算在安全存储器中的应用 | |
| CN102508791B (zh) | 一种对硬盘分区进行加密的方法及装置 | |
| US9443111B2 (en) | Device security using an encrypted keystore data structure | |
| CN104657630A (zh) | 利用物理不可克隆功能的集成电路供应 | |
| TW202036347A (zh) | 資料儲存、驗證方法及裝置 | |
| CN102262721B (zh) | 用于独立代理的数据加密转换 | |
| CN104025500A (zh) | 使用在物理上不可克隆的函数的安全密钥存储 | |
| JP2009003933A (ja) | 不揮発性メモリにおけるデータの耐故障的な暗号化保護、完全性保護、及びアンチリプレイ保護のための方法、システム及び装置 | |
| CN104012030A (zh) | 用于保护对称加密密钥的系统及方法 | |
| CN109766731B (zh) | 基于固态硬盘的加密数据处理方法、装置和计算机设备 | |
| US11019098B2 (en) | Replay protection for memory based on key refresh | |
| US9235532B2 (en) | Secure storage of full disk encryption keys | |
| CN110932853A (zh) | 一种基于可信模块的密钥管理装置和密钥管理方法 | |
| CN110008724A (zh) | 固态硬盘控制器安全加载方法、装置及存储介质 | |
| KR101276217B1 (ko) | 암호화 하드디스크에 대한 데이터 복원 시스템 및 복원 방법 | |
| CN109583196B (zh) | 一种密钥生成方法 | |
| CN113688407A (zh) | 一种数据管理方法及相关装置 | |
| CN116628675A (zh) | 密码恢复方法、装置、计算机设备、存储介质和程序产品 | |
| CN115688131A (zh) | 一种服务器密码机扩展系统及方法 | |
| JP2008021158A (ja) | セキュアデバイス | |
| JP2013197810A (ja) | 暗号処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |