CN115836291A - 系统生成的数据集加密密钥 - Google Patents
系统生成的数据集加密密钥 Download PDFInfo
- Publication number
- CN115836291A CN115836291A CN202180047558.3A CN202180047558A CN115836291A CN 115836291 A CN115836291 A CN 115836291A CN 202180047558 A CN202180047558 A CN 202180047558A CN 115836291 A CN115836291 A CN 115836291A
- Authority
- CN
- China
- Prior art keywords
- data set
- kek
- program instructions
- dek
- tag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
通过分配与安全策略相关联的数据集,生成用于数据集的唯一数据加密密钥,其中所述安全策略指定密钥加密密钥(KEK)标签;从所述安全策略检索KEK标签;将所述KEK标签存储为所述数据集的元数据;打开所述数据集进行第一次写入;生成数据加密密钥(DEK);根据所述KEK标签从密钥储存库检索KEK;使用所述KEK加密DEK;将加密的DEK存储为所述数据集的元数据;以及使用所述DEK加密所述数据集。
Description
背景技术
本公开总体上涉及生成数据加密密钥(DEK)。本公开具体涉及针对文件和数据集的系统生成的DEK并且实现文件和数据集的高效密钥更新(rekey)。如在此所使用的,术语“数据集”广义上是指数字文件和数据集。
数据加密是降低数据破坏风险的有效方式。部署加密策略可以是复杂的。对于企业组织,对于使用数据集级别加密存在日益增长的兴趣,其中底层操作系统代表每个应用执行加密而不需要应用改变。代表企业组织部署数据集级别加密的企业安全架构师可负责确定与数据加密相关的新策略和程序。例如,一些安全策略要求用新的DEK周期性地重新加密加密数据。
发明内容
以下呈现概述以提供对本公开的一个或多个实施例的基本理解。本概述并不旨在标识关键或重要元素或者划定特定实施例的任何范围或权利要求的任何范围。其唯一的目的是以简化的形式呈现概念,作为稍后呈现的更详细描述的序言。在此所描述的一个或多个实施例中,设备、系统、计算机实现的方法、装置和/或计算机程序产品使得能够为数据集生成数据加密密钥(DEK)。
本发明的各个方面公开了与通过分配与安全策略相关联的数据集来提高为数据集生成唯一数据加密密钥的能力相关联的方法、系统和计算机可读介质,在安全策略指定密钥加密密钥(KEK)标签的情况下,从安全策略检索KEK标签,将KEK标签存储为数据集的元数据,打开数据集进行第一次写入,生成数据加密密钥(DEK);根据所述KEK标签从密钥储存库检索KEK;使用所述KEK加密所述DEK;将加密的DEK存储为所述数据集的元数据;以及使用所述DEK加密所述数据集。
附图说明
通过在附图中对本公开的一些实施例进行更详细的描述,本公开的上述和其他目的、特征和优点将变得更加明显,其中在本公开的实施例中相同的参考标号通常指代相同的部件。
图1提供了根据本发明实施例的系统的功能框图的示意图。
图2提供了根据本发明的实施例的系统的示意图。
图3提供了描绘根据本发明实施例的操作密钥生成序列的流程图。
图4提供了示出根据本发明实施例的操作读取序列的流程图。
图5提供了描绘根据本发明实施例的操作数据集密钥更新操作的目标的流程图,其中源的读取序列由图4标识。
图6示出了根据本发明的实施例的云计算环境。
图7示出了根据本发明的实施例的抽象模型层。
具体实施方式
将参考附图更详细地描述一些实施方式,在附图中示出了本公开内容的实施方式。然而,本公开可以以各种方式实施,并且因此不应被解释为局限于本文中公开的实施方式。
在一个实施例中,系统的一个或多个部件可以采用硬件和/或软件来解决本质上高度技术性的问题(例如,打开加密的数据集、验证用户对KEK标签的授权、从密钥储存库检索与KEK标签相关联的KEK、向存储管理子系统(SMS)提供KEK、从数据集的元数据读取加密的DEK、使用KEK解密DEK、然后使用解密的DEK解密数据集等)。这些解决方案不是抽象的并且由于例如促进加密密钥生成所需的处理能力而不能由人类执行为一组精神行为。进一步,所执行的一些过程可由用于执行与存储器操作相关的已定义任务的专用计算机执行。例如,可以采用专用计算机来执行与生成加密密钥等相关的任务。
数据集级别加密是指对存储在数据集中的数据的基于策略的、应用透明的加密。通常,密码密钥官员负责在企业组织内创建和维护密钥。它们生成被持久地存储在由唯一密钥标签标识的密钥储存库中的DEK。为了实现数据集集合的数据集级别加密,可以将密钥标签添加到与旨在被加密的数据集相关联的安全策略。为了以明文控制对数据的访问,安全管理员可以授予数据所有者对数据集以及与该数据集相关联的数据集DEK标签的许可。为了以明文限制对数据的访问,安全管理员可以仅授予存储管理员对数据集的许可,而不授予与该数据集相关联的DEK标签的许可。当数据所有者在数据集和DEK标签的许可的情况下向数据集写入或从数据集读取时,使用DEK对数据进行加密或解密。仅具有对数据集的许可的存储管理员可以分配和管理数据集,但是在没有对DEK标签的许可的情况下,不能向数据集写入或从数据集读取,并且因此不能以明文方式访问数据。
组织加密的数据量随着数据泄露变得更普遍而持续增长。在数据集级别加密的情况下,分配新的加密数据集的过程通常需要应用中断。用新DEK重新加密现有加密数据集的过程通常需要额外的应用中断。基于如在安全策略中定义的用新DEK重新加密数据集所需的频率,中断次数可能影响日常业务操作。
利用新DEK重新加密数据集的典型过程(也称为密钥更新(rekey)操作)包括许多步骤。在本示例中,DEK标签通过可以由系统授权设施(SAF)验证的由安全管理员定义的数据集安全策略被提供给存储管理子系统(SMS)。无论DEK标签是如何提供给系统的,将需要类似的步骤。此过程涉及至少8个步骤:生成具有新密钥标签的新DEK,定位与旧DEK标签相关联的所有数据集安全策略,用新DEK标签更新前述数据集安全策略,标识用旧DEK标签加密的所有数据集,分配与新更新的数据集安全策略相关联的新数据集,将数据从旧数据集复制到新数据集,删除旧数据集,以及存档或设置旧DEK的到期日期。
本发明的各个方面公开了与通过使操作系统在第一数据集打开时间生成唯一的DEK来改进轮换数据加密密钥(DEK)的能力相关联的方法、系统和计算机可读介质,所述唯一的DEK用密钥加密密钥(KEK)加密并且然后存储在它加密的数据集的元数据中。该过程需要安全管理员在数据集安全策略中指定KEK标签而不是DEK标签。系统授权设施(SAF)可以随后验证KEK标签以及用户对访问KEK标签的授权。
数据所有者或存储管理员分配与该数据集安全策略相关联的数据集。SAF验证用户对数据集以及KEK标签的授权,并从相关联的数据集安全策略中检索KEK标签。所公开的方法然后将检索的KEK标签存储在数据集的元数据中。当数据所有者打开新分配的数据集进行第一次写入时,SMS调用SAF以验证用户对KEK标签的授权,从密钥储存库检索KEK,生成唯一的DEK,使用KEK加密DEK并且将加密的DEK存储在数据集的元数据中。所述方法随后使用DEK加密数据集。加密包括在为数据集分配的空间中写入加密的数据。
本发明的各个方面公开了与以下相关联的方法、系统和计算机可读介质:通过打开加密数据集、根据KEK标签从密钥储存库检索与KEK标签相关联的KEK、从数据集元数据检索加密数据加密密钥(DEK)、使用KEK解密DEK、使用DEK解密数据集、以及提供对数据集数据的用户访问来使得能够读取加密数据集的能力。
为了完成数据集密钥更新操作,数据拥有者简单地将数据从旧的加密数据集复制到利用新生成的DEK对数据进行透明加密的新数据集。最终结果是新的数据集用新的DEK加密,其中KEK标签和加密的DEK两者都存储在新的数据集的元数据中。DEK对于该数据集是唯一的并且从不存储在数据集元数据之外。
本发明的各方面公开了与通过以下改进复制加密数据集的能力相关联的方法、系统和计算机可读介质:分配与安全策略相关联的目标数据集,从安全策略检索KEK标签,将KEK标签存储为目标数据集元数据,打开目标数据集进行第一次写入,生成目标数据集数据加密密钥(DEK),根据KEK标签从密钥储存库检索KEK,使用KEK加密目标数据集DEK,将加密的DEK存储为目标数据集元数据;以及使用所述目标数据集DEK将源数据集加密为所述目标数据集。
典型的密钥更新或密钥轮换(key rotation)过程可以包括以下步骤:生成具有新DEK标签的新数据加密密钥(DEK);定位与旧DEK标签相关联的所有数据集安全策略;用新DEK标签更新数据集安全策略;标识用旧DEK标签加密的所有数据集;分配与新更新的数据集安全策略相关联的新数据集;将数据从旧数据集复制到新数据集;删除旧数据集;以及存档或设置旧DEK的到期日期。所述过程代表协调使用单个DEK加密的所有数据集的轮换或密钥更新的显著负担。所公开的方法和程序提供简化的过程来密钥更新数据集并且实现跨加密数据集的集合的数据集的交错密钥更新。
在实施例中,为新数据集定义或分配资源包括引用数据集安全策略,所述数据集安全策略包含密钥加密密钥(KEK)标签而不是数据集的数据加密密钥(DEK)标签。KEK标签是指存储在密码密钥储存库中的KEK。在此实施例中,在打开数据集的第一时间,该方法从数据集安全策略检索KEK标签并将KEK标签存储为数据集元数据。所述方法为所述数据集生成唯一的DEK。所述方法使用KEK标签从密钥储存库检索KEK,使用KEK加密DEK,并且将加密的DEK存储在数据集的元数据中。所述方法使用DEK加密数据集,并且将加密的数据集写入所分配的存储位置。
在实施例中,复制现有加密数据集包括访问现有源数据集用于进行数据读取操作和初始访问新分配的目标数据集用于进行数据写入操作。在该实施例中,新分配的目标数据集与和源数据集相同的数据集安全策略相关联,并且使用与源数据集相同的KEK标签。打开现有的源数据集用于进行读取操作导致使用存储在源数据集的元数据中的KEK标签从密钥储存库检索KEK,使用KEK解密存储在源数据集的元数据中的加密的DEK,并且使用DEK解密来自源数据集的数据。打开新分配的目标数据集用于进行写入(拷贝)操作导致使用存储在目标数据集的元数据中的KEK标签从密钥储存库检索KEK、为目标数据集生成唯一的DEK、使用KEK对DEK进行加密、将加密的DEK存储在目标数据集的元数据中、使用来自目标数据集的新生成的DEK对来自源数据集的数据进行加密、以及将新加密的数据写入目标数据集中。通过生成和使用针对目标数据集的新DEK,复制现有的经加密的源数据集有效地对数据集进行密钥更新,而无需改变数据集安全策略、KEK标签或密钥储存库。
在实施例中,根据数据集安全策略对现有经加密的数据集进行密钥更新仅需要根据所述策略分配新数据集,将所述现有数据集复制到所述新数据集——包括为所述新数据集生成新DEK,使用与存储在所述数据集的元数据中的KEK标签相关联的KEK来对所述新DEK进行加密,将经加密的DEK存储为新数据集元数据;然后使用所述DEK来对所述新数据集进行加密和写入。在实施例中,在复制之后删除旧数据集完成密钥更新过程。
每个数据集的加密利用由KEK加密的唯一DEK。单个KEK可以跨数据集集合被用作共享KEK。唯一DEK和共享KEK的组合实现了数据集的交错密钥更新,因为每个密钥更新的数据集在没有新KEK的情况下获取新的唯一DEK,消除了一次对所有数据集密钥更新的任何需要以及与数据集的大量密钥更新相关联的伴随的系统中断。
在实施例中,系统授权设施(SAF)包括定义的系统级数据集安全策略-其指示数据集安全策略中的密钥标签应当被视为KEK标签还是DEK标签。在新分配的数据集上,从数据集安全策略读取密钥标签并且将其连同将所述密钥标签指定为KEK标签或DEK标签的指示符一起存储在数据集元数据(例如,加密单元)中。
在实施例中,用户(存储管理员)可以被授权访问数据集而不是相关联的KEK标签,从而使得存储管理员能够根据需要操纵数据集,而不实现对实际数据集数据的访问。在实施例中,数据集用户可以访问KEK标签和相关联的KEK,但是不能访问与KEK标签和KEK相关联的所有数据集。由于每个KEK和KEK标签可以跨多个数据集被重用,对KEK标签的验证的用户授权是必要的但不足以使得用户能够访问数据集数据。只有对数据集和KEK标签具有验证授权的用户才能访问底层数据集数据。在该实施例中,该方法验证每个用户以对相关数据集和相关联的KEK标签中每一个的授权。
在实施例中,由与KEK-1标签相关联的KEK-1保护并用DEK-1加密的数据集-1可以通过以下步骤进行密钥更新–经历加密密钥轮换:
a.根据数据集-1的数据集安全策略分配与KEK-1和KEK-1标签关联的新数据集-2;
b.打开新的数据集-2,导致DEK-2的生成;
c.使用KEK-1来对DEK-2进行加密。DEK-2和KEK-1标签与数据集-2一起存储为加密元数据;以及
d.将来自所述源数据集的所述数据复制到所述新数据集-使用与KEK-1标签相关联的KEK-1对DEK-1进行解密。数据集-1的数据使用DEK-1解密,然后使用DEK-2加密。
该实例包括由SMS进行的用于验证对数据集和KEK-1标签的访问的用户授权的适当步骤。
如本文所使用的,SAF(系统授权设施)、密钥储存库、SMS(存储管理子系统)、KEK(密钥加密密钥)、DEK(数据加密密钥)和密码提供器包括由所公开的加密密钥更新方法利用的计算环境的软件模块。CFHE(加密函数硬件引擎)包括被调用来执行加密函数以支持所公开的密钥更新方法的计算环境的硬件引擎。
图1提供了示出所公开的实施例的不同系统组件之间的关系的功能框图。如图所示,SMS12接收用户数据集请求10。在接收用户数据集请求10之后,SMS 12打开分配的和现有的数据集,并扫描数据集的元数据以获得加密密钥信息(KEK标签)。
在实施例中,对于新的数据集,SMS根据为该数据集定义的安全策略来分配该数据集。安全策略包括指派到数据集的任何KEK标签和被授权访问数据集的用户的列表。SAF还维护被授权访问每个KEK标签的用户的列表。在分配数据集时,SMS保存数据集KEK标签作为数据集的加密元数据的一部分。
SMS 12向SAF14查询数据集安全策略以验证请求用户的对访问数据集和关联的KEK标签的授权。在对数据集和关联的KEK标签的用户授权的验证之后,SMS 12将KEK标签从数据集元数据传递到密码提供器16。密码提供器16使用KEK标签在密钥储存库18中查找KEK。在实施例中,密码提供器16传递KEK到SMS 12。
在实施例中,对于新数据集,SMS 12调用密码提供器16来为数据集生成DEK,使用KEK对DEK进行加密,使用DEK对数据集加密和写入数据。SMS将经加密的DEK作为元数据存储在与所分配的数据集相关联的加密单元中。
对于现有数据集,SMS 12验证请求用户的对数据集和KEK标签的访问,并且调用密码提供器16使用KEK来解密数据集的DEK,然后使用DEK来解密数据集的数据以供用户10访问。在实施例中,SMS 12调用CFHE 20以使用经解密的DEK解密数据集。
图2提供了与实践所公开的发明相关联的示例性网络资源的示意图。本发明可以在处理指令流的任何公开的元件的处理器中实践。如图所示,联网的客户端设备110无线地连接到服务器子系统102。客户端设备104经由网络114无线地连接到服务器子系统102。客户端设备104和110包括数据集加密密钥更新程序(未示出)连同用于执行程序的足够的计算资源(处理器、存储器、网络通信硬件)。如图2所示,服务器子系统102包括服务器计算机150。图2描绘了根据本发明的实施例的联网计算机系统1000内的服务器计算机150的部件的框图。应当理解,图2仅提供一个实现方式的图示并且不暗示关于其中可以实现不同实施例的环境的任何限制。可以对所描绘的环境做出许多修改。
服务器计算机150可以包括处理器(一个或多个)154、存储器158、永久性存储装置170、通信单元152、输入/输出(I/O)接口(一个或多个)156和通信结构140。处理器154可包括用于执行专用加密功能的CFHE(未示出)。通信结构140提供高速缓存162、存储器158、永久性存储装置170、通信单元152和输入/输出(I/O)接口(一个或多个)156之间的通信。通信结构140可用设计用于在处理器(诸如微处理器、通信和网络处理器等)、系统存储器、外围设备和系统内的任何其他硬件组件之间传递数据和/或控制信息的任何架构来实现。例如,通信结构140可用一个或多个总线实现。
存储器158和永久性存储装置170是计算机可读存储介质。在该实施例中,存储器158包括随机存取存储器(RAM)160。通常,存储器158可包括任何合适的易失性或非易失性计算机可读存储介质。高速缓存162是快速存储器,其通过保存来自存储器158的最近访问的数据和最近访问的数据附近的数据来增强处理器(一个或多个)154的性能。
用于实施本发明的实施例的程序指令和数据(例如,加密程序175)存储在永久性存储装置170中以供服务器计算机150的相应处理器(一个或多个)154中的一个或多个经由高速缓存162执行和/或访问。在该实施例中,永久性存储装置170包括磁性硬盘驱动器。作为磁硬盘驱动器的替代或补充,永久性存储装置170可包括固态硬盘驱动器、半导体存储设备、只读存储器(ROM)、可擦可编程只读存储器(EPROM)、闪存、或能够存储程序指令或数字信息的任何其他计算机可读存储介质。
永久性存储装置170所使用的介质也可以是可移除的。例如,可移动硬盘驱动器可以用于永久性存储装置170。其他示例包括光盘和磁盘、拇指驱动器和智能卡,它们被插入到驱动器中以便转移到另一计算机可读存储介质(其也是永久性存储装置170的一部分)上。
在这些示例中,通信单元152提供与其他数据处理系统或设备的通信,包括客户端计算设备104和110的资源。在这些示例中,通信单元152包括一个或多个网络接口卡。通信单元152可通过使用物理和无线通信链路中的任一者或两者提供通信。软件分发程序以及用于实现本发明的其他程序和数据可以通过通信单元152下载到服务器计算机150的永久性存储装置170中。
I/O接口(一个或多个)156允许与可连接到服务器计算机150的其他设备进行数据的输入和输出。例如,I/O接口(一个或多个)156可提供至外部设备(一个或多个)190(诸如键盘、小键盘、触摸屏、麦克风、数码相机和/或一些其他合适的输入设备)的连接。(一个或多个)外部设备190还可包括便携式计算机可读存储介质,诸如例如拇指驱动器、便携式光盘或磁盘、以及存储卡。用于实施本发明的实施例的软件和数据(例如,服务器计算机150上的加密程序175)可被存储在这样的便携式计算机可读存储介质上并且可经由I/O接口(一个或多个)156被加载到永久性存储装置170上。I/O接口(一个或多个)156还连接到显示器180。
显示器180提供向用户显示数据的机制,并且可以是例如计算机监视器。显示器180还可用作触摸屏,诸如平板计算机的显示器。
图3提供流程图300,示出根据本发明的实施例的用于创建新的数据集的示范性操作步骤。根据流程图300,在框310,加密程序175的方法在用户请求之后使用与数据集安全策略相关联的参数分配新数据集,所述参数包括对数据集使用KEK标签和KEK标签本身。在框320,该方法从数据集安全策略检索KEK标签,并且在框330,该方法将KEK标签存储为数据集的加密元数据。
在框340处,该方法打开新分配的数据集用于进行数据到数据集的第一次写入。结合打开数据集用于进行第一次写入,在框350处,所述方法生成-或已由密码提供器生成特定于数据集的DEK。
在方框360处,该方法根据数据集的KEK标签从密钥储存库检索KEK。在框370处,所述方法使用检索的KEK对数据集DEK进行加密,或者使密码提供器使用KEK对DEK进行加密。在方框380处,所述方法在易失性存储器中保留DEK用于对数据集的数据进行加密,并且将加密的DEK作为数据集元数据存储在数据集的加密元数据单元中。在框390处,所述方法利用易失性存储器中的DEK来加密数据并将数据写入到所分配的数据集。
图4提供了示出与本公开的实践相关联的示范性活动的流程图400。在框410,存储管理系统(SMS)接收用户请求并打开加密的数据集。在打开数据集之后,在框420处,SMS检索在数据集的元数据中找到的密钥加密密钥(KEK)标签。SMS可以根据SAF策略请求对用于访问数据集和KEK标签的用户授权的验证。
在框430,SMS将与数据集相关联的KEK标签传递到密码提供器以通过KEK标签检索与数据集相关联的KEK。密码提供器在密钥储存库中查找与KEK标签关联的KEK并且将该KEK传递到SMS。
在框440,SMS从开放数据集的元数据中检索经加密的DEK并且使用KEK解密DEK。在实施例中,SMS使用KEK对来自数据集元数据的DEK进行解密。
在框450,加密程序175的方法使用DEK解密数据集。在实施例中,SMS调用CFHE以使用DEK解密数据集。在框460处,该方法向用户提供对数据集的经解密的数据的访问。KEK标签和加密的DEK保留在加密的数据集的元数据中。
在实施例中,在已经使用DEK对数据集进行初始加密之后,其中,DEK使用KEK进行加密,对数据集的加密密钥进行密钥更新-轮换-改变仅需要将经加密的数据集从其当前数据集分配复制到具有相同KEK标签的新数据集分配。在复制执行期间,新分配的数据集的新DEK的生成随着用于制作副本的数据集的初始写入访问而发生,导致副本使用新DEK加密,同时仍使用原始KEK来访问。可替代地,所述新数据集SAF简档可以包括新的KEK标签,其产生用新的DEK加密的所述源数据集的副本,所述新的DEK进一步使用所述新的KEK加密。
图5的流程图500示出了在数据集的复制和密钥更新期间加密程序175的示范性操作步骤。在框510处,加密程序175的方法在用户请求使用与目标数据集安全策略相关联的参数来复制源数据集之后分配目标数据集,这些参数包括对数据集使用KEK标签和KEK标签本身。源数据集的数据集安全策略,包括源数据集的KEK标签,用于目标数据集。在框520处,该方法从目标数据集安全策略检索KEK标签,并且在框530处,该方法将KEK标签存储为目标数据集的加密元数据。
在框540处,该方法打开所分配的目标数据集以用于进行源数据到目标数据集的第一次写入。结合打开目标数据集用于进行第一次写入,在框550处,所述方法生成-或已由密码提供器生成特定于目标数据集的DEK。
在框560,该方法根据目标数据集的KEK标签从密钥储存库检索KEK。在框570处,所述方法使用检索的KEK对目标数据集DEK进行加密。在框580,所述方法将目标数据集DEK保存在易失性存储器中以便加密数据集的数据,并且将加密的目标数据集DEK作为目标数据集元数据存储在目标数据集的加密元数据单元中。加密程序175的方法遵循图4中阐述并在上文描述的操作步骤以打开、解密和读取源数据集的数据。在框590处,所述方法利用易失性存储器中的DEK来将数据从源数据集加密和写入到所分配的目标数据集。在实施例中,所述方法接着通过从持久性存储器(未示出)删除源数据集而将源数据加密和写入到目标数据集。
应当理解,虽然本公开包括关于云计算的详细描述,但是本文所引用的教导的实现不限于云计算环境。相反,本发明的实施例能够结合现在已知的或以后开发的任何其他类型的计算环境来实现。
云计算是服务交付的模型,用于使得能够方便地、按需地网络访问可配置计算资源(例如,网络、网络带宽、服务器、处理、存储器、存储、应用、虚拟机和服务)的共享池,所述可配置计算资源可以以最小的管理努力或与所述服务的提供者的交互来快速供应和释放。该云模型可以包括至少五个特性、至少三个服务模型和至少四个部署模型。
特性如下:
按需自助服务:云消费者可以单方面地根据需要自动地提供计算能力,诸如服务器时间和网络存储,而不需要与服务的提供者的人类交互。
广泛的网络接入:能力可通过网络获得并且通过标准机制接入,该标准机制促进异构瘦客户机平台或厚客户机平台(例如,移动电话、膝上型计算机和PDA)的使用。
资源池:提供者的计算资源被池化以使用多租户模型来服务于多个消费者,其中不同的物理和虚拟资源根据需要动态地指派和重新指派。存在位置独立性的感觉,因为消费者通常不具有对所提供的资源的确切位置的控制或了解,但可能能够以较高抽象级别(例如,国家、州或数据中心)指定位置。
快速弹性:能够快速和弹性地提供能力,在一些情况下自动地快速缩小和快速释放以快速放大。对于消费者而言,可用于供应的能力通常显得不受限制并且可以在任何时间以任何数量购买。
测量的服务:云系统通过在适合于服务类型(例如,存储、处理、带宽和活动用户账户)的某个抽象级别处利用计量能力来自动控制和优化资源使用。可以监视、控制和报告资源使用,为所利用的服务的提供者和消费者提供透明度。
服务模型如下:
软件即服务(SaaS):提供给消费者的能力是使用在云基础设施上运行的提供者的应用。可通过诸如web浏览器(例如,基于web的电子邮件)之类的瘦客户端接口从不同客户端设备访问应用。消费者不管理或控制包括网络、服务器、操作系统、存储或甚至单独的应用能力的底层云基础设施,可能的例外是有限的用户特定应用配置设置。
平台即服务(PaaS):提供给消费者的能力是将消费者创建的或获取的使用由提供商支持的编程语言和工具创建的应用部署到云基础设施上。消费者不管理或控制包括网络、服务器、操作系统或存储的底层云基础设施,但是对所部署的应用和可能的应用托管环境配置具有控制。
基础设施即服务(IaaS):提供给消费者的能力是提供处理、存储、网络和消费者能够部署和运行任意软件的其他基本计算资源,所述软件可以包括操作系统和应用。消费者不管理或控制底层云基础设施,而是具有对操作系统、存储、所部署的应用的控制以及对所选联网组件(例如,主机防火墙)的可能受限的控制。
部署模型如下:
私有云:云基础架构仅为组织运作。它可以由组织或第三方管理,并且可以存在于场所内或场所外。
社区云:云基础架构被若干组织共享并支持共享了关注(例如,任务、安全要求、策略、和合规性考虑)的特定社区。它可以由组织或第三方管理,并且可以存在于场所内或场所外。
公共云:使云基础架构对公众或大型行业组可用,并且由出售云服务的组织拥有。
混合云:云基础架构是两个或更多个云(私有、社区或公共)的组合,这些云保持唯一实体但通过使数据和应用能够移植的标准化或专有技术(例如,云突发以用于云之间的负载平衡)绑定在一起。
云计算环境是面向服务的,集中于无状态、低耦合、模块化和语义互操作性。云计算的核心是包括互连节点网络的基础设施。
现在参见图6,描绘了说明性云计算环境50。如图所示,云计算环境50包括云消费者使用的本地计算设备可以与其通信的一个或多个云计算节点10,本地计算设备诸如例如个人数字助理(PDA)或蜂窝电话54A、台式计算机54B、膝上型计算机54C和/或汽车计算机系统54N。节点10可彼此通信。它们可以物理地或虚拟地分组(未示出)在一个或多个网络中,诸如如上所述的私有云、社区云、公共云或混合云、或其组合。这允许云计算环境50提供基础设施、平台和/或软件作为云消费者不需要为其维护本地计算设备上的资源的服务。应当理解,图6中所示的计算设备54A-N的类型仅旨在是说明性的,并且计算节点10和云计算环境50可通过任何类型的网络和/或网络可寻址连接(例如,使用网络浏览器)与任何类型的计算机化设备通信。
现在参见图7,示出了由云计算环境50(图6)提供的一组功能抽象层。应当事先理解,图7中所示的组件、层和功能仅旨在是说明性的,并且本发明的实施例不限于此。如所描述,提供以下层和对应功能。
硬件和软件层60包括硬件和软件组件。硬件组件的示例包括:大型机61;基于RISC(精简指令集计算机)架构的服务器62;服务器63;刀片服务器64;存储设备65;以及网络和联网组件66。在一些实施例中,软件组件包括网络应用服务器软件67和数据库软件68。
虚拟化层70提供抽象层,从该抽象层可以提供虚拟实体的以下示例:虚拟服务器71;虚拟存储器72;虚拟网络73,包括虚拟专用网络;虚拟应用和操作系统74;以及虚拟客户端75。
在一个示例中,管理层80可以提供以下描述的功能。资源供应81提供用于在云计算环境内执行任务的计算资源和其他资源的动态采购。计量和定价82在云计算环境内利用资源时提供成本跟踪,并为这些资源的消费开账单或发票。在一个示例中,这些资源可以包括应用软件许可证。安全性为云消费者和任务提供身份验证,以及为数据和其他资源提供保护。用户门户83为消费者和系统管理员提供对云计算环境的访问。服务水平管理84提供云计算资源分配和管理,使得满足所需的服务水平。服务水平协议(SLA)规划和履行85提供根据SLA预期未来需求的云计算资源的预安排和采购。
工作负载层90提供可以利用云计算环境的功能的示例。可以从该层提供的工作负荷和功能的示例包括:地图和导航91;软件开发和生命周期管理92;虚拟课堂教育交付93;数据分析处理94;事务处理95;和加密程序175。
本发明可以是任何可能的技术细节集成度的系统、方法和/或计算机程序产品。本发明可以在处理指令流的任何系统(单个或并行)中有益地实践。计算机程序产品可包括其上具有用于使处理器执行本发明的各方面的计算机可读程序指令的计算机可读存储介质(一个或多个介质)。
计算机可读存储媒体可为可保留和存储供指令执行装置使用的指令的有形装置。计算机可读存储介质可以是,例如但不限于,电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备、或者上述的任意合适的组合。计算机可读存储介质的更具体示例的非穷尽列表包括以下各项:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式紧凑盘只读存储器(CD-ROM)、数字通用盘(DVD)、记忆棒、软盘、诸如穿孔卡之类的机械编码设备或具有记录在其上的指令的槽中的凸出结构、以及上述各项的任何合适的组合。如本文所使用的计算机可读存储媒体不应被解释为暂时性信号本身,例如无线电波或其他自由传播的电磁波、通过波导或其他传输媒体传播的电磁波(例如,穿过光纤电缆的光脉冲)或通过电线发射的电信号。
本文中所描述的计算机可读程序指令可以经由网络(例如,互联网、局域网、广域网和/或无线网络)从计算机可读存储介质下载到相应的计算/处理设备,或者下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输纤维、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口接收来自网络的计算机可读程序指令,并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路的配置数据、或以一种或多种程序设计语言的任何组合编写的源代码或目标代码,这些程序设计语言包括面向对象的程序设计语言(诸如Smalltalk、C++等)和过程程序设计语言(诸如“C”程序设计语言或类似程序设计语言)。计算机可读程序指令可以完全地在用户计算机上执行、部分在用户计算机上执行、作为独立软件包执行、部分在用户计算机上部分在远程计算机上执行或者完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接至用户计算机,或者可连接至外部计算机(例如,使用互联网服务提供商通过互联网)。在一些实施例中,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路可以通过利用计算机可读程序指令的状态信息来使电子电路个性化来执行计算机可读程序指令,以便执行本发明的各方面。
下面将参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现在流程图和/或框图的一个或多个框中指定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置、和/或其他设备以特定方式工作,从而,其中存储有指令的计算机可读存储介质包括包含实现流程图和/或框图中的一个或多个方框中规定的功能/动作的方面的指令的制造品。
也可以把计算机可读程序指令加载到计算机、其他可编程数据处理装置、或其他设备上,使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤,以产生计算机实现的处理,使得在计算机、其他可编程装置或其他设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图示出了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。对此,流程图或框图中的每个框可表示指令的模块、段或部分,其包括用于实现指定的逻辑功能的一个或多个可执行指令。在一些备选实现中,框中标注的功能可以不按照图中标注的顺序发生。例如,取决于所涉及的功能,连续示出的两个块实际上可以基本上同时执行,或者这些块有时可以以相反的顺序执行。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作或执行专用硬件与计算机指令的组合的专用的基于硬件的系统来实现。
说明书中对“一个实施方式”、“实施方式”、“示例性实施方式”等的引用表示所描述的实施方式可包括特定的特征、结构或特性,但是每个实施方式可能不一定包括特定的特征、结构或特性。此外,这样的短语不一定指相同的实施方式。进一步,当结合实施例描述特定特征、结构或特性时,认为结合其他实施例(无论是否明确描述)影响这样的特征、结构或特性仍在本领域技术人员的知识范围内。
本文中使用的术语仅用于描述具体实施方式的目的,而并非旨在限制本发明。如本文所使用的,除非上下文另有明确指示,否则单数形式“一个”、“一”和“该”旨在也包括复数形式。还应当理解,当在本说明书中使用术语“包括(comprises)”和/或“包含(comprising)”时,其指定所述特征、整体、步骤、操作、元件和/或部件的存在,但不排除一个或多个其他特征、整体、步骤、操作、元件、部件和/或其组合的存在或添加。
已经出于说明的目的呈现了本发明的各种实施方式的描述,但并不旨在是详尽的或者限于所公开的实施方式。在不背离本发明的范围的情况下,许多修改和变化对于本领域普通技术人员来说是显而易见的。在此所使用的术语被选择来最好地解释实施例的原理、实际应用、或优于市场中所发现的技术的技术改进、或使得本领域普通技术人员能够理解在此所公开的实施例。
Claims (20)
1.一种用于生成数据集的唯一密钥的计算机实现的方法,所述方法包括:
由一个或多个计算机处理器分配与安全策略相关联的数据集,其中所述安全策略指定密钥加密密钥(KEK)标签;
由所述一个或多个计算机处理器从所述安全策略检索KEK标签;
由所述一个或多个计算机处理器将所述KEK标签存储为所述数据集的元数据;
由所述一个或多个计算机处理器打开所述数据集进行第一次写入;
由所述一个或多个计算机处理器生成数据加密密钥(DEK);
由所述一个或多个计算机处理器根据所述KEK标签从密钥储存库中检索KEK;
由所述一个或多个计算机处理器使用所述KEK加密所述DEK;
由所述一个或多个计算机处理器将所述加密的DEK存储为所述数据集的元数据;以及
由所述一个或多个计算机处理器使用所述DEK加密所述数据集。
2.根据权利要求1所述的计算机实现的方法,进一步包括:
由所述一个或多个计算机处理器打开加密数据集;
由所述一个或多个计算机处理器根据所述加密数据集的KEK标签从所述密钥储存库中检索KEK;
由所述一个或多个计算机处理器从所述加密数据集的元数据中检索加密的DEK;
由所述一个或多个计算机处理器使用所述KEK解密所述加密的DEK;
由所述一个或多个计算机处理器使用所述DEK解密所述加密数据集;以及
由所述一个或多个计算机处理器提供对所述数据集数据的用户访问。
3.根据权利要求1所述的计算机实现的方法,进一步包括:
由所述一个或多个计算机处理器分配与所述安全策略相关联的目标数据集;
由所述一个或多个计算机处理器从所述安全策略检索KEK标签;
由所述一个或多个计算机处理器将所述KEK标签存储为所述目标数据集的元数据;
由所述一个或多个计算机处理器打开所述目标数据集进行第一次写入;
由所述一个或多个计算机处理器生成目标数据集DEK;
由所述一个或多个计算机处理器根据所述KEK标签从所述密钥储存库中检索KEK;
由所述一个或多个计算机处理器使用所述KEK加密所述目标数据集DEK;
由所述一个或多个计算机处理器将所述加密的DEK存储为所述目标数据集的元数据;以及
由所述一个或多个计算机处理器使用所述目标数据集DEK将源数据集加密为所述目标数据集。
4.根据权利要求3所述的计算机实现的方法,进一步包括删除所述源数据。
5.根据权利要求1所述的计算机实现的方法,进一步包括验证用户对所分配的数据集的访问。
6.根据权利要求1所述的计算机实现的方法,进一步包括验证用户对所述KEK标签的访问。
7.根据权利要求1所述的计算机实现的方法,进一步包括:
由所述一个或多个计算机处理器打开加密的源数据集;
由所述一个或多个计算机处理器根据所述KEK标签从所述密钥储存库中检索与所述KEK标签相关联的KEK;
由所述一个或多个计算机处理器从数据集元数据中检索加密的DEK;
由所述一个或多个计算机处理器使用所述KEK解密所述加密的DEK;
由所述一个或多个计算机处理器使用所述DEK解密加密的源数据集;
由所述一个或多个计算机处理器分配与所述安全策略相关联的目标数据集;
由所述一个或多个计算机处理器从所述安全策略检索KEK标签;
由所述一个或多个计算机处理器将所述KEK标签存储为所述目标数据集的元数据;
由所述一个或多个计算机处理器打开所述目标数据集进行第一次写入;
由所述一个或多个计算机处理器生成目标数据集DEK;
由所述一个或多个计算机处理器根据所述KEK标签从所述密钥储存库中检索KEK;
由所述一个或多个计算机处理器使用所述KEK加密所述目标数据集DEK;
由所述一个或多个计算机处理器将所述加密的DEK存储为目标数据集元数据;以及
由所述一个或多个计算机处理器使用所述目标数据集DEK将所述源数据集数据加密为所述目标数据集。
8.一种用于生成数据集的唯一密钥的计算机程序产品,所述计算机程序产品包括一个或多个计算机可读存储设备以及共同存储在所述一个或多个计算机可读存储设备上的程序指令,所存储的程序指令包括:
用于分配与安全策略相关联的数据集的程序指令,其中所述安全策略指定密钥加密密钥(KEK)标签;
用于从所述安全策略检索KEK标签的程序指令;
用于存储所述KEK标签作为数据集的元数据的程序指令;
用于打开所述数据集进行第一次写入的程序指令;
用于生成数据加密密钥(DEK)的程序指令;
用于根据所述KEK标签从密钥储存库中检索KEK的程序指令;
用于使用KEK加密DEK的程序指令;
用于将加密的DEK存储为所述数据集的元数据的程序指令;以及
用于使用所述DEK加密所述数据集的程序指令。
9.根据权利要求8所述的计算机程序产品,所存储的程序指令进一步包括:
用于打开加密数据集的程序指令;
用于根据所述加密数据集的KEK标签从所述密钥储存库中检索KEK的程序指令;
用于从所述加密数据集的元数据中检索加密的DEK的程序指令;
用于使用KEK对加密的DEK进行解密的程序指令;
用于使用DEK对加密的数据集进行解密的程序指令;以及
用于提供对所述数据集数据的用户访问的程序指令。
10.根据权利要求8所述的计算机程序产品,所存储的程序指令进一步包括:
用于分配与所述安全策略相关联的目标数据集的程序指令;
用于从所述安全策略检索KEK标签的程序指令;
用于将所述KEK标签存储为所述目标数据集的元数据的程序指令;
用于打开所述目标数据集进行第一次写入的程序指令;
用于生成目标数据集DEK的程序指令;
用于根据所述KEK标签从所述密钥储存库中检索KEK的程序指令;
用于使用所述KEK加密所述目标数据集DEK的程序指令;
用于将所述加密的DEK存储为所述目标数据集的元数据的程序指令;以及
用于使用所述目标数据集DEK将源数据集加密为所述目标数据集的程序指令。
11.根据权利要求10所述的计算机程序产品,所存储的程序指令进一步包括用于删除所述源数据的程序指令。
12.根据权利要求8所述的计算机程序产品,所存储的程序指令进一步包括用于验证用户对所分配的数据集的访问的程序指令。
13.根据权利要求8所述的计算机程序产品,所存储的程序指令进一步包括用于验证用户对KEK标签的访问的程序指令。
14.根据权利要求8所述的计算机程序产品,所存储的程序指令进一步包括:
用于打开所述加密的源数据集的程序指令;
用于根据所述KEK标签从所述密钥储存库中检索与所述KEK标签相关联的KEK的程序指令;
用于从经加密的源数据集元数据检索DEK的程序指令;
用于使用KEK解密DEK的程序指令;
用于使用DEK对加密的源数据集进行解密的程序指令;
用于分配与所述安全策略相关联的目标数据集的程序指令;
用于从所述安全策略检索KEK标签的程序指令;
用于将所述KEK标签存储为所述目标数据集的元数据的程序指令;
用于打开所述目标数据集进行第一次写入的程序指令;
用于生成目标数据集DEK的程序指令;
用于根据所述KEK标签从所述密钥储存库中检索KEK的程序指令;
用于使用所述KEK加密所述目标数据集DEK的程序指令;
用于将所述加密的DEK存储为所述目标数据集的元数据的程序指令;以及
用于使用所述目标数据集DEK将所述源数据集数据加密为所述目标数据集的程序指令。
15.一种用于生成数据集的唯一密钥的计算机系统,所述计算机系统包括:
一个或多个计算机处理器;
一个或多个计算机可读存储设备;以及
在所述一个或多个计算机可读存储设备上存储的要由所述一个或多个计算机处理器执行的程序指令,所述存储的程序指令包括:
用于分配与安全策略相关联的数据集的程序指令,其中所述安全策略指定密钥加密密钥(KEK)标签;
用于从所述安全策略检索KEK标签的程序指令;
用于存储所述KEK标签作为数据集的元数据的程序指令;
用于打开所述数据集进行第一次写入的程序指令;
用于生成数据加密密钥(DEK)的程序指令;
用于根据所述KEK标签从密钥储存库中检索KEK的程序指令;
用于使用KEK加密DEK的程序指令;
用于将加密的DEK存储为所述数据集的元数据的程序指令;以及
用于使用所述DEK加密所述数据集的程序指令。
16.根据权利要求15所述的计算机系统,所存储的程序指令进一步包括:
用于打开加密数据集的程序指令;
用于根据所述加密数据集的KEK标签从所述密钥储存库中检索KEK的程序指令;
用于从所述加密数据集的元数据中检索加密的DEK的程序指令;
用于使用KEK对加密的DEK进行解密的程序指令;
用于使用DEK对加密的数据集进行解密的程序指令;以及
用于提供对所述数据集数据的用户访问的程序指令。
17.根据权利要求15所述的计算机系统,所存储的程序指令进一步包括:
用于分配与所述安全策略相关联的目标数据集的程序指令;
用于从所述安全策略检索KEK标签的程序指令;
用于将所述KEK标签存储为所述目标数据集的元数据的程序指令;
用于打开所述目标数据集进行第一次写入的程序指令;
用于生成目标数据集DEK的程序指令;
用于根据所述KEK标签从所述密钥储存库中检索KEK的程序指令;
用于使用所述KEK加密所述目标数据集DEK的程序指令;
用于将所述加密的DEK存储为所述目标数据集的元数据的程序指令;以及
用于使用所述目标数据集DEK将源数据集加密为所述目标数据集的程序指令。
18.根据权利要求15所述的计算机系统,所存储的程序指令进一步包括用于验证对所分配的数据集的用户访问的程序指令。
19.根据权利要求15所述的计算机系统,所存储的程序指令进一步包括用于验证用户对KEK标签的访问的程序指令。
20.根据权利要求15所述的计算机系统,所述程序指令进一步包括:
用于打开所述加密的源数据集的程序指令;
用于根据所述KEK标签从所述密钥储存库中检索与所述KEK标签相关联的KEK的程序指令;
用于从经加密的源数据集元数据检索加密的DEK的程序指令;
用于使用KEK解密加密的DEK的程序指令;
用于使用DEK对加密的源数据集进行解密的程序指令;
用于分配与所述安全策略相关联的目标数据集的程序指令;
用于从所述安全策略检索KEK标签的程序指令;
用于将所述KEK标签存储为所述目标数据集的元数据的程序指令;
用于打开所述目标数据集进行第一次写入的程序指令;
用于生成目标数据集DEK的程序指令;
用于根据所述KEK标签从所述密钥储存库中检索KEK的程序指令;
用于使用所述KEK加密所述目标数据集DEK的程序指令;
用于将所述加密的DEK存储为所述目标数据集的元数据的程序指令;以及
用于使用所述目标数据集DEK将所述源数据集数据加密为所述目标数据集的程序指令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/918,298 US11277262B2 (en) | 2020-07-01 | 2020-07-01 | System generated data set encryption key |
| US16/918,298 | 2020-07-01 | ||
| PCT/CN2021/102411 WO2022001878A1 (en) | 2020-07-01 | 2021-06-25 | System generated data set encryption key |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115836291A true CN115836291A (zh) | 2023-03-21 |
Family
ID=79167882
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180047558.3A Pending CN115836291A (zh) | 2020-07-01 | 2021-06-25 | 系统生成的数据集加密密钥 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11277262B2 (zh) |
| JP (1) | JP2023530581A (zh) |
| CN (1) | CN115836291A (zh) |
| DE (1) | DE112021002780T5 (zh) |
| GB (1) | GB2611718A (zh) |
| WO (1) | WO2022001878A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230224155A1 (en) * | 2022-01-07 | 2023-07-13 | Vmware, Inc. | Method and system to perform encryption and decryption operations during rekey in virtualized computing environment |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8045714B2 (en) | 2005-02-07 | 2011-10-25 | Microsoft Corporation | Systems and methods for managing multiple keys for file encryption and decryption |
| US8190921B1 (en) | 2007-12-27 | 2012-05-29 | Emc Corporation | Methodology for vaulting data encryption keys with encrypted storage |
| US8370648B1 (en) | 2010-03-15 | 2013-02-05 | Emc International Company | Writing and reading encrypted data using time-based encryption keys |
| US10298555B2 (en) | 2014-04-04 | 2019-05-21 | Zettaset, Inc. | Securing files under the semi-trusted user threat model using per-file key encryption |
| US9576144B2 (en) | 2014-09-15 | 2017-02-21 | Unisys Corporation | Secured file system management |
| EP3656080A1 (en) | 2017-07-18 | 2020-05-27 | Legic Identsystems Ag | Method and devices for verifying authorization of an electronic device |
| US11347868B2 (en) * | 2018-04-17 | 2022-05-31 | Domo, Inc | Systems and methods for securely managing data in distributed systems |
| US11418327B2 (en) * | 2019-11-14 | 2022-08-16 | International Business Machines Corporation | Automatic provisioning of key material rotation information to services |
-
2020
- 2020-07-01 US US16/918,298 patent/US11277262B2/en active Active
-
2021
- 2021-06-25 DE DE112021002780.8T patent/DE112021002780T5/de active Pending
- 2021-06-25 WO PCT/CN2021/102411 patent/WO2022001878A1/en active Application Filing
- 2021-06-25 CN CN202180047558.3A patent/CN115836291A/zh active Pending
- 2021-06-25 GB GB2301120.8A patent/GB2611718A/en active Pending
- 2021-06-25 JP JP2022568667A patent/JP2023530581A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| GB202301120D0 (en) | 2023-03-15 |
| GB2611718A (en) | 2023-04-12 |
| JP2023530581A (ja) | 2023-07-19 |
| DE112021002780T5 (de) | 2023-04-20 |
| WO2022001878A1 (en) | 2022-01-06 |
| US11277262B2 (en) | 2022-03-15 |
| US20220006618A1 (en) | 2022-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10749873B2 (en) | User abstracted RBAC in a multi tenant environment | |
| US10594481B2 (en) | Replicated encrypted data management | |
| US10410011B2 (en) | Enabling secure big data analytics in the cloud | |
| US9197408B2 (en) | Systems and methods for providing a secure data exchange | |
| US10025935B1 (en) | Securely exchanging information during application startup | |
| US11176253B2 (en) | HSM self-destruction in a hybrid cloud KMS solution | |
| US11455429B2 (en) | Container-based cryptography hardware security module management | |
| JP2023551527A (ja) | 準同型暗号化を使用したセキュアなコンピューティング・リソース配置 | |
| CN113544674A (zh) | 用于安全接口控件的安全执行客户机所有者控制 | |
| US20170279812A1 (en) | Encryption and decryption of data in a cloud storage based on indications in metadata | |
| WO2022001878A1 (en) | System generated data set encryption key | |
| CN115668860A (zh) | 识别加密对象的创建者 | |
| US11418327B2 (en) | Automatic provisioning of key material rotation information to services | |
| CN115150117A (zh) | 在分散策略中维持机密性 | |
| CN115804060A (zh) | 分发加密的数据对象 | |
| US12010229B2 (en) | Durability enforcement of cryptographic keys in a key management system | |
| US12008363B1 (en) | Delivering portions of source code based on a stacked-layer framework | |
| US20220385464A1 (en) | Durability enforcement of cryptographic keys in a key management system | |
| US11526534B2 (en) | Replicating data changes through distributed invalidation | |
| US20230081068A1 (en) | Securely distributing a root key for a hardware security module | |
| US20230318826A1 (en) | Key import with hybrid cryptography | |
| WO2023241879A1 (en) | Protecting sensitive data dump information |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |