• / 19
  • 下載費用:30 金幣  

利用下游解密器進行端到端加密情況下實現存儲效率.pdf

摘要
申請專利號:

CN201480009244.4

申請日:

2014.04.01

公開號:

CN104995633A

公開日:

2015.10.21

當前法律狀態:

實審

有效性:

審中

法律詳情: 實質審查的生效IPC(主分類):G06F 21/62申請日:20140401|||公開
IPC分類號: G06F21/62; H04L9/10 主分類號: G06F21/62
申請人: 國際商業機器公司
發明人: J·S·格里德; A·索尼奧蒂
地址: 美國紐約
優先權: 13/857,505 2013.04.05 US
專利代理機構: 北京市中咨律師事務所11247 代理人: 張亞非; 于靜
PDF完整版下載: PDF下載
法律狀態
申請(專利)號:

CN201480009244.4

授權公告號:

|||

法律狀態公告日:

2015.11.18|||2015.10.21

法律狀態類型:

實質審查的生效|||公開

摘要

本發明的優選實施例涉及在持久存儲中有效存儲已加密數據或將其傳遞給另一數據處理組件。利用下游解密器在數據產生器和存儲服務器之間的數據路徑內作用。解密器取得解密接收的數據所需的加密密鑰以及任何其他所需的輔助信息。解密數據之后,解密器具有直接在明文上操作和在已解密數據上執行存儲有效性功能的能力。解密器在數據離開解密器用于持久存儲之前重新加密已解密的數據以維持已加密數據的安全。

權利要求書

權利要求書
1.  一種方法,包括:
解密器接收用于存儲的密文的至少一個數據塊,接收的數據塊用密鑰加密;
為接收的密文的數據塊實例化加密算法,包括獲取該密鑰以解密接收的塊;
利用獲取的密鑰將密文的至少一個數據塊解密成非加密數據塊;
對非加密數據塊執行一個或多個數據功能;以及
在重新加密的數據離開解密器之前用該密鑰重新加密已解密的數據塊。

2.  如權利要求1所述的方法,進一步包括確定用在接收的密文之上的加密方法并選擇工具以解密加密的數據。

3.  如前述任一權利要求所述的方法,進一步包括解密器擦除涉及特定數據的密鑰的知識。

4.  如前述任一權利要求所述的方法,進一步包括解密器收集關于密文的輔助信息,并且利用密鑰與輔助信息解密密文,輔助信息包括解密密文所需的數據。

5.  如前述任一權利要求所述的方法,其中從包括數據簡化、壓縮、去重、病毒掃描、索引掃描及其組合中選擇數據功能。

6.  如前述任一權利要求所述的方法,進一步包括轉換數據功能由接收的數據塊產生的輸出數據并利用與接收的數據相關的密鑰重新加密轉換后的數據。

7.  如前述任一權利要求所述的方法,進一步包括拒絕解密器訪問密鑰,其中拒絕訪問阻止解密器解密存儲的密文。

8.  如前述任一權利要求所述的方法,進一步包括拒絕解密器訪問密鑰,其中拒絕訪問阻止解密器解密接收的數據。

9.  一種方法,包括:
將密文的至少一個已加密數據塊重定向至與數據存儲通信的組件,數據塊用密鑰加密;
將密文的至少一個塊解密成非加密數據塊,解密利用一加密密鑰;
對非加密數據塊執行一個或多個數據功能;以及
用該密鑰重新加密已解密的數據塊;以及
將已解密的數據塊從該組件重定向至持久存儲。

10.  一種用于存儲已加密數據的計算機程序產品,該計算機程序產品包括:
可由處理電路讀取的計算機可讀存儲介質并存儲指令,用于由處理電路執行任一權利要求1至9的方法。

11.  一種計算機程序,存儲在計算機可讀介質之上并可加載到數字計算機的內部存儲器中,包括軟件代碼部分,當所述程序在計算機上運行時用于執行任一權利要求1至9的方法。

12.  一種系統,包括:
解密器,與用于有效存儲已加密數據的數據存儲通信;
功能單元,與解密器通信,該功能單元與工具通信以支持有效的數據存儲,該工具包括:
加密秘鑰管理器,用于為接收的密文實例化加密算法,接收的密文用一密鑰加密;
解密管理器,用于將密文解密成非加密數據,該解密管理器利用該密鑰;
數據功能管理器,用于對非加密數據執行一個或多個數據功能;以及
加密管理器,用于在重新加密的數據離開解密器之前用該密鑰重新加密已解密的數據。

13.  如權利要求12所述的系統,進一步可操作用于確定用在接收的密文之上的加密方法并選擇工具以解密加密的數據。

14.  如權利要求12或13所述的系統,其中解密管理器進一步可操作用于擦除涉及特定數據的密鑰的知識。

15.  如權利要求12至14任一權利要求所述的系統,其中解密管理器進一步可操作用于收集密文的輔助信息,并且利用密鑰以及輔助信息解密密文,輔助信息包括解密密文所需的數據。

16.  如權利要求12至15任一權利要求所述的系統,其中從包括數據簡化、壓縮、去重、病毒掃描、索引掃描及其組合中選擇數據功能。

17.  如權利要求12至16任一權利要求所述的系統,進一步可操作用于將輸出數據從來自接收數據塊的數據功能轉換并利用與接收的數據相關的密鑰重新加密轉換后的數據。

18.  如權利要求12至17任一權利要求所述的系統,進一步可操作用于拒絕解密器訪問密鑰,其中拒絕訪問阻止解密器解密存儲的密文。

19.  如權利要求12至18任一權利要求所述的系統,進一步可操作用于拒絕解密器訪問密鑰,其中拒絕訪問阻止解密器解密接收的數據。

說明書

說明書利用下游解密器進行端到端加密情況下實現存儲效率
技術領域
本發明涉及數據存儲。特別地,本發明涉及利用自數據被加密的地方起的數據路徑下游的解密器安全有效地存儲已加密數據塊。
背景技術
端到端加密是先將靠近源頭的數據進行加密、再將其交付存儲的過程。由于對第三方存儲或云供應商的安全考量、特定領域對敏感數據強制加密的法規、確保數據的安全刪除以及高安全性數據中心的要求,該加密過程已經變得越來越普遍。
然而,加密數據的局限性在于大多數存儲效率功能在加密數據上操作時不能達到預期的功能。加密數據最大化密文的熵,因此不能被壓縮。此外,對兩個不同文件中的或兩個不同位置中的數據塊的加密,產生不同的密文,導致標準去重(deduplication)嘗試的失敗。
因此,現有技術中需要解決前述問題。
發明內容
本發明包括用于在已加密數據上有效執行通常只在明文上有效操作的數據功能的方法、系統和計算機程序產品。
提供了用于有效存儲已加密數據的方法、計算機程序產品和系統。解密器接收用于存儲的密文的至少一個數據塊。數據塊以加密形式接收并與可以用來解密數據的密鑰相關。為接收的密文的數據塊實例化加密算法。利用相關的加密密鑰將密文的塊解密成非加密形式。在非加密數據塊上執行一個或多個功能,以及在重新加密的數據離開解密器之前用加密密鑰重新加密已解密的數據塊。
從第一方面來看,本發明提供了一種方法,包括:解密器接收用于存儲的密文的至少一個數據塊,接收的數據塊用密鑰加密;為接收的密文的數據塊實例化加密算法,包括獲取該密鑰以解密接收的數據塊;利用獲取的密鑰將密文的至少一個數據塊解密成非加密數據塊;對非加密數據塊執行一個或多個數據功能;以及在重新加密的數據離開解密器之前用該密鑰重新加密已解密的數據塊。
從另一方面來看,本發明提供了一種方法,包括:將密文的至少一個已加密數據塊重定向至與數據存儲通信的組件,數據塊用密鑰加密;將密文的至少一個塊解密成非加密數據塊,解密利用一加密密鑰;對非加 密數據塊執行一個或多個數據功能;以及用該密鑰重新加密已解密的數據塊;以及將已解密的數據塊從該組件重定向至持久存儲。
從又一方面來看,本發明提供了一種用于存儲已加密數據的計算機程序產品,該計算機程序產品包括可由處理電路讀取的計算機可讀存儲介質并存儲指令,用于由處理電路執行用于執行本發明方法的步驟。
從再一方面來看,本發明提供了一種計算機程序,存儲在計算機可讀介質之上并可加載到數字計算機的內部存儲器中,包括軟件代碼部分,當所述程序在計算機上運行時用于執行本發明的步驟。
從還一方面來看,本發明提供了一種系統,包括:解密器,與用于有效存儲已加密數據的數據存儲通信;功能單元,與解密器通信,該功能單元與工具通信以支持有效的數據存儲,該工具包括:加密秘鑰管理器,用于為接收的密文實例化加密算法,接收的密文用一密鑰加密;解密管理器,用于將密文解密成非加密數據,該解密管理器利用該密鑰;數據功能管理器,用于對非加密數據執行一個或多個數據功能;以及加密管理器,用于在重新加密的數據離開解密器之前用該密鑰重新加密已解密的數據。
本發明其他的特點和優點將在以下結合本發明的優選實施例,結合附圖的詳細描述中變得明顯。
附圖說明
現在將通過參考本發明的優選實施例的方式描述本發明,如圖所示:
圖1描述了根據本發明的一個優選實施例,嵌入計算機系統中以支持用于有效存儲已加密數據的技術的工具的框圖;
圖2顯示了根據本發明的一個優選實施例,用于有效存儲已加密數據的方法的流程圖;
圖3顯示了根據本發明的一個優選實施例,用于加密密鑰刪除的方法的流程圖;
圖4描述了根據本發明的一個優選實施例,根據現有技術,可以在其中實現本發明的一個優選實施例的計算節點;
圖5描述了根據本發明的一個優選實施例,根據現有技術,可以在其中實現本發明的一個優選實施例的計算環境;
圖6描述了根據本發明的一個優選實施例,根據現有技術,可以在其中實現本發明的一個優選實施例的抽象模型層。
具體實施方式
將容易理解,如附圖顯示和描述的本發明的部件可以布置和設計成各種不同的結構。因此,下面對本發明附圖中呈現的優選實施例的裝置、 系統和方法的詳細描述并不旨在限制本發明權利要求的范圍,而僅僅是代表選擇的本發明的優選實施例。
貫穿本說明書中對“本發明的一個優選實施例”、“本發明的一個優選實施例”或“一個優選的本發明的實施例”意味著結合本發明優選實施例描述的特定的特征、結構或特性描述包括在本發明的至少一個優選實施例中。因此,貫穿說明書不同地方出現的短語“本發明的一個優選實施例”、“本發明的一個優選實施例”或“一個優選的本發明的實施例”并不一定都指的是本發明的相同的優選實施例。
在本發明的所說明的優選實施例能夠通過參考附圖得到最好的理解,其中相同的部件由相同的附圖標記表示。以下描述旨在僅通過例子的方式簡單地示出了與要求保護的發明一致的本發明的某些優選實施例的裝置、系統和方法。
以下描述的解密器是產生和/或使用數據的應用和存儲所產生的和/或所使用的數據的持久介質之間的數據路徑的一部分的組件。在本發明的一個優選實施例中,解密器是計算節點。解密器在被授予許可時,可以訪問加密密鑰和元數據,其包含有關密文的充分信息以允許解密。而且,解密器具有獲取解密數據塊的原始明文(例如非加密)版本所需的任意解密密鑰的能力。一旦原始明文可用,解密器可以直接在明文上操作,并且可以執行所需的存儲效率功能或要求數據為非加密形式的其他功能。在本發明的一個優選實施例中,解密器不需要對加密算法進行修改。在本發明的另一個優選實施例中,既不需要對解密器在數據路徑中的放置強加限制,例如,解密器并不需要放置在上游相對于加密功能的位置,也不需要重新放置執行加密的組件。因此,在本發明的一個優選實施例中,解密器是一個安全組件或模塊,其中數據被準備用于存儲在諸如后端存儲的持久設備中,或者傳遞到另一數據處理組件。可以采取多個安全措施以確保解密器的環境是可信的。在本發明的一個優選實施例中,解密器可作為安全/可信的應用,例如在可信計算環境中封裝為安全應用。在本發明的另一個優選實施例中,解密器具有利用諸如可信平臺模塊的硬件方法建立信任根的能力。在本發明的一個優選實施例中,解密器被授予管理和/或控制用來解密數據的解密密鑰和其他信息的能力,或者在密鑰擁有者不授權解密器訪問利用該密鑰加密的數據時被拒絕訪問和/或控制加密密鑰。在本發明的一個優選實施例中,解密器可以實現為只在安全易失性存儲器、可信平臺模塊(TPM)或其他硬件安全模塊(HSM)中緩存加密密鑰。在本發明的該優選實施例中,解密器可以暴露一個接口,客戶可以通過該接口要求安全擦除緩存、TPM或HSM中的密鑰。因此,解密器的特征為具有撤銷之前已經授予的解密能力的功能的封包應用或計算節點。
圖1是嵌入計算機系統中以支持用于有效存儲已加密數據的技術的工具的框圖100。這里顯示了三個主要組件,包括應用服務器110、密鑰服務器130和存儲服務器150。在本發明的一個優選實施例中,可配置計算機資源的共享池可以用來替代存儲服務器150,其中共享池位于至少一個數據中心。
應用服務器110具有處理單元112,通過總線116與存儲器114通信。應用服務器110被示為具有兩個虛擬機120和122。雖然只顯示了兩個虛擬機,本發明不應該限于這些數量,因為這些數量僅是為了說明的目的。與應用服務器110的通信的虛擬機的數量可以增加或減少。數據存儲126與應用服務器110本地通信,以存儲由應用服務器110產生的數據。因此,應用服務器110生成的數據將被在本地數據存儲126上本地存儲,或者在存儲服務器150或其他存儲設備上遠程存儲。
如圖所示,密鑰服務器130與應用服務器110通信。密鑰服務器130具有處理單元132,通過總線136與存儲器134通信。一個或多個加密密鑰(之后稱為密鑰)本地存儲于密鑰服務器130并被用來加密和解密數據。盡管在本發明的一個優選實施例中,多個密鑰可以本地存儲于密鑰服務器130,但出于說明的目的,只顯示了一個密鑰140。如圖所示,密鑰140本地存儲于存儲器134。此外,在所示的本發明的一個優選實施例中,密鑰服務器130本地具有密鑰發布引擎142。在本發明的一個優選實施例中,密鑰發布引擎142發放密鑰140,發放的該密鑰用于解密加密的數據。因此,密鑰發布引擎142管理用于數據解密的一個或多個密鑰140的發布。
存儲服務器150與密鑰服務器130通信。如圖所示,存儲服務器150具有處理單元152,通過總線156與存儲器154通信。在顯示的本發明的一個優選實施例中,存儲服務器150與數據存儲160通信,數據存儲160這里顯示為多個數據存儲模塊162、164和166。盡管分別顯示了三個模塊,可以實現為任意數量的數據存儲模塊。存儲服務器150還具有解密器170,與存儲器154通信。解密器170包括功能單元180,具有支持數據解密、執行數據功能和重新加密已解密的數據的一個或多個的工具。功能單元180中嵌入的工具包括但不限于:加密密鑰管理器182、解密管理器184、數據功能管理器186和加密管理器188。
從應用服務器110接收密文的至少一個已加密數據塊或文件后,解密服務器184為接收的數據塊或文件(自此以后稱為數據)實例化加密算法。加密密鑰管理器182從密鑰服務器130取得加密密鑰。根據與接收的數據塊一起的元數據或其他信息,解密管理器184進一步確定解密接收的數據塊所需的適當的調整(tweak)、種子(seed)、鹽(salt)或初始化向量(Initialization Vector)。相應地,解密管理器184收集并確定解密接收的數據所需要的工具。
解密管理器184與解密密鑰管理器182通信。解密管理器184利用解密密鑰管理器182提供的密鑰將接收的密文的數據解密成一個或多個非加密的數據塊或文件。數據功能管理器186在已解密的數據上執行一個或多個數據功能。數據功能可以包括但不限于數據簡化、數據壓縮、數據去重、在數據上應用病毒掃描和/或在數據上應用索引掃描。這些數據功能無法在已加密數據上執行,因此,在本發明的一個優選實施例中,該應用限于解密器170的安全位置中的解密數據。重新加密管理器188與數據功能管理器186通信。一旦執行完所有數據功能,重新加密管理器188利用加密密鑰140重新加密已解密的數據塊。在本發明的一個優選實施例中,接收的數據塊在重新加密之前不會離開解密器170。因此,數據的解密、操作和重新加密都在可信數據解密器中進行。
如前所述,加密密鑰管理器182、解密管理器184、數據功能管理器186和重新加密管理器188被示為位于存儲服務器150本地的可信解密管理器170的功能單元180中。不過,在本發明的一個優選實施例中,功能單元180和管理器182-188可以作為硬件工具位于存儲服務器150的存儲器154外部。在本發明的另一個優選實施例中,管理器182-188可以實現為資源共享池的硬件和軟件的組合。類似地,在本發明的一個優選實施例中,管理器182-188可以合并至包含各個單獨功能部件的單一功能部件中。如圖所示,管理器182-188的每一個位于存儲服務器150本地。然而,在本發明的一個優選實施例中,它們可以共同或單獨分布于可配置計算機資源的共享池中并且作為支持解密、數據操作和重新加密的單元。因此,管理器可以實現為軟件工具、硬件工具或軟件和硬件工具的組合。
此外,所描述的特征、結構或特性在本發明的一個或多個優選實施例中可以以任何合適的方式組合。已經提供了管理器的示例以便徹底理解本發明的優選實施例。本領域的有關技術人員將認識到,本發明的實踐,可以不依賴這些具體細節的一個的或多個,或者可以利用其它方法、組件、材料。在其它實例中,沒有示出或描述公知的結構、材料或操作,以避免模糊本發明的各方面。
以上描述的圖1中的功能單元已和各管理器一起作了標記。管理器可以在諸如現場可編程門陣列、可編程陣列邏輯、可編程邏輯器件等的可編程硬件設備中實現。管理器還可以在用于由各種處理器執行的軟件中實現。可執行代碼的管理器可以例如包括一個或多個計算機指令的物理或邏輯塊,物理或邏輯塊可以例如被組織成對象、過程、函數或其他構件。然而,管理器的可執行形式不必物理上位于一起,而是可以包括存儲在不同位置的完全不同的指令,當邏輯上結合在一起時構成管理器并達到所列出的管理器的目的。
實際上,可執行代碼的管理器可以是單個指令或許多指令,并且甚至可以在若干不同的代碼段上、在不同的程序之間以及跨多個存儲器裝置分布。類似地,操作數據這里可以在管理器內識別并示出,并且可以體現為任何合適的形式,并在任何適當類型的數據結構內組織。操作數據可被收集為單個數據集,或者可以分布在包括不同存儲設備的不同位置,并可以至少部分地作為系統或網絡上的電子信號存在。
圖2是利用解密器有效存儲已加密數據的方法的流程圖200。在已加密數據塊或文件(這里稱為密文)存儲于持久存儲設備或傳遞給另一數據處理組件之前由解密器接收202該已加密數據塊或文件。在本發明的一個優選實施例中,解密器的功能是處理接收的密文,準備重新加密并將重新加密的數據提交到持久存儲設備。然而,在本發明的另一個優選實施例中,解密器的功能可以是將重新加密的數據傳遞給另一數據處理組件,例如通過廣域網(WAN)傳輸數據的災難恢復副本。盡管描述教導一個數據塊,在本發明的一個優選實施例中,解密器可以接收多個數據塊或文件。解密器可以接收或需要收集關于加密的數據塊的輔助信息。所提供的輔助信息是解密以某些類型的加密算法編碼的密文所必需的。在步驟202接收數據塊之后,判斷204接收的數據塊是否已加密。在本發明的一個優選實施例中,解密過程限于那些已被加密的數據塊。肯定響應之后為接收的數據塊實例化加密算法206。在步驟206的實例化提供解密該數據所需的技術。在本發明的一個優選實施例中,實例化指示用來加密該數據的加密算法的類型,以及解密該數據是否需要輔助信息。
步驟206之后,判斷是否應授權解密器訪問加密密鑰208。步驟208判斷的否定響應之后將密文提交210到持久存儲,或在本發明的一個優選實施例中,將重新加密的數據傳遞給另一數據處理組件,例如通過廣域網(WAN)傳送數據的災難恢復副本。然而,步驟208判斷的肯定響應之后判斷解密該數據是否需要輔助信息212。在本發明的一個優選實施例中,輔助信息是面向塊的,例如存儲該數據所在的邏輯塊地址和卷號。類似地,在本發明的一個優選實施例中,輔助信息是面向文件的,例如存儲該數據所在的文件中的索引節點(inode)號和偏移量。步驟212判斷的肯定響應之后收集該輔助信息214。然而,步驟212判斷的否定響應或在步驟214收集輔助信息的過程完成之后,利用獲取的加密密鑰和可用的輔助信息解密該數據塊216。相應地,用解密器解密加密的密文,并且把接收的不能解密的密文提交到持久存儲或傳遞給另一數據處理組件。
一旦密文由解密器解密,則為持久存儲準備非加密的數據庫或文件或將其傳遞給另一數據處理組件。在步驟204判斷的否定響應之后(例如:接收的數據塊沒有加密),或者在步驟216之后,數據功能應用于非加密數據塊218。數據功能的應用可以包括但不限于:壓縮、去重、病毒掃描、索引掃描或任何其他只能在非加密形式的數據上執行的應用。步驟 220判斷的肯定響應之后返回步驟218。然而,步驟220判斷的否定響應指示非加密數據上額外功能的執行完成。步驟220判斷的否定響應之后判斷步驟202接收的數據是否是被加密222。原始未被加密的數據不重新加密。如圖所示,步驟222判斷的肯定響應導致用加密密鑰重新加密224解密的密文(利用用獲取的相同加密密鑰),并返回步驟210,將數據提交到另一數據處理組件的存儲。類似地,步驟222判斷的否定響應之后將處理的數據以非加密的形式提交226到存儲或另一數據處理組件。在本發明的一個優選實施例中,重新應用用來解密數據的任意方法、技術和/或工具來重新加密數據。一旦數據被重新加密,將數據提交到持久存儲或傳遞給另一數據處理組件210。相應地,選擇性地處理接收的密文。
如文中描述的,加密的數據是用加密密鑰加密的。為了維持已擦除的已加密數據的隱私,必須從解密器中清除加密密鑰。
圖3顯示了用于從解密器的密鑰管理器或密鑰緩存(cache)中清除加密密鑰的方法的流程圖。用密鑰服務器存儲加密密鑰,或在本發明的一個優選實施例中,用存儲密鑰的組件存儲加密密鑰,直到接收到從密鑰管理器或緩存中清除密鑰的指令。解密器從試圖擦除密鑰的實體或代理接收要從密鑰管理器或緩存中清除密鑰的指令302。接收指令后判斷解密器是否擁有該密鑰304。在本發明的一個優選實施例中,密鑰可能是臨時存儲的。例如,在本發明的一個優選實施例中,可能在有限的時間內緩存該密鑰。如果在步驟304確定解密器沒有該密鑰,清除密鑰的過程結束306。然而,如果在步驟304確定解密器擁有該密鑰,解密器從諸如緩存的內部存儲器清除該密鑰308。在本發明的一個優選實施例中,存儲密鑰并且現在擦除密鑰130的實體向解密器發送要擦除密鑰的命令。在本發明的一個優選實施例中,其中實現多個解密器,與解密器交換可信通信以確保從每個解密器中清除同一密鑰。在本發明的一個優選實施例中,通過安全刪除從解密器中清除密鑰,例如:解密器依據命令擦除密鑰并確保解密器的任何位置都沒有該密鑰的副本。一旦密鑰從解密器的密鑰管理器或緩存中刪除,由于已經消除對任何剩余數據的訪問,因此認為解密器存儲或保持的利用被擦除的密鑰加密的數據也被安全地擦除。因此,通過加密密鑰的刪除維持了已擦除數據的隱私。
如本文描述所示的,解密器由系統框圖和流程圖中顯示的應用服務器和密鑰服務器支持。在本發明的一個優選實施例,解密器的功能可以被外推到具有資源共享池的云計算環境中。
云計算環境是面向服務的,特點集中在無狀態性、低耦合性、模塊性和語意的互操作性。云計算的核心是包含互連節點網絡的基礎架構。現在參考圖4,其中顯示了云計算節點的一個例子。云計算節點410僅僅是適合的云計算節點的一個示例,不應對本發明實施例的功能和使用范圍帶來任何限制。總之,云計算節點410能夠被用來實現和/或執行以上所 述的任何功能。云計算節點410具有計算機系統/服務器412,其可與眾多其它通用或專用計算系統環境或配置一起操作。眾所周知,適于與計算機系統/服務器412一起操作的計算系統、環境和/或配置的例子包括但不限于:個人計算機系統、服務器計算機系統、瘦客戶機、厚客戶機、手持或膝上設備、多處理器系統、基于微處理器的系統、機頂盒、可編程消費電子產品、網絡個人電腦、小型計算機系統﹑大型計算機系統和包括上述任意系統的分布式云計算技術環境,等等。
計算機系統/服務器412可以在由計算機系統執行的計算機系統可執行指令(諸如程序模塊)的一般語境下描述。通常,程序模塊可以包括執行特定的任務或者實現特定的抽象數據類型的例程、程序、目標程序、組件、邏輯、數據結構等。計算機系統/服務器412可以在通過通信網絡鏈接的遠程處理設備執行任務的分布式云計算環境中實施。在分布式云計算環境中,程序模塊可以位于包括存儲設備的本地或遠程計算系統存儲介質上。
如圖4所示,云計算節點410中的計算機系統/服務器412以通用計算設備的形式表現。計算機系統/服務器412的組件可以包括但不限于:一個或者多個處理器或者處理單元416,系統存儲器428,連接不同系統組件(包括系統存儲器428和處理單元416)的總線418。總線418表示一個或多個的任意若干類型的總線結構,包括存儲器總線或存儲器控制器、外圍總線、加速圖形端口、以及使用任何各種總線體系結構的處理器或局部總線。以舉例方式而非限制的,這樣的體系結構包括工業標準體系結構(ISA)總線,微通道體系結構(MCA)總線,增強型ISA(EISA)總線,視頻電子標準協會(VESA)局部總線,以及一個外圍組件互連(PCI)總線。一種計算機系統/服務器412典型地包括各種計算機系統可讀介質。這樣的介質可以是任何可用介質是由計算機系統/服務器412可訪問的,并且它包括易失性和非易失性介質以及可移動、不可移動介質。
系統存儲器428可以包括易失性存儲器形式的計算機系統可讀介質,例如隨機存取存儲器(RAM)430和/或高速緩存存儲器432。計算機系統/服務器412可以進一步包括其它可移動/不可移動的、易失性/非易失性計算機系統存儲介質。僅作為舉例,存儲系統434可以用于讀寫不可移動的、非易失性磁介質(未顯示,通常稱為“硬盤驅動器”)。盡管未示出,可以提供用于對可移動非易失性磁盤(例如“軟盤”)讀寫的磁盤驅動器,以及對可移動非易失性光盤(例如CD-ROM,DVD-ROM或者其它光介質)讀寫的光盤驅動器。在這些情況下,每個驅動器可以通過一個或者多個數據介質接口與總線418相連。存儲器428可以包括至少一個程序產品,該程序產品具有一組(例如至少一個)程序模塊,這些程序模塊被配置以執行本發明各實施例的功能。
具有一組(至少一個)程序模塊442的程序/實用工具440,可以存儲在存儲器428中,這樣的程序模塊442包括但不限于操作系統、一個或者多個應用程序、其它程序模塊以及程序數據,這些示例中的每一個或某種組合中可能包括網絡環境的實現。程序模塊442通常執行本發明所描述的實施例中的功能和/或方法。
計算機系統/服務器412也可以與一個或多個外部設備414(例如鍵盤、指向設備、顯示器424等)通信,還可與一個或者多個使得用戶能與該計算機系統/服務器412交互的設備通信,和/或與使得該計算機系統/服務器412能與一個或多個其它計算設備進行通信的任何設備(例如網卡,調制解調器等等)通信。這種通信可以通過輸入/輸出(I/O)接口422進行。并且,計算機系統/服務器412還可以通過網絡適配器420與一個或者多個網絡(例如局域網(LAN),廣域網(WAN)和/或公共網絡,例如因特網)通信。如圖所示,網絡適配器420通過總線418與計算機系統/服務器412的其它模塊通信。應當明白,盡管圖中未示出,其它硬件和/或軟件模塊可以與計算機系統/服務器412一起操作,包括但不限于:微代碼、設備驅動器、冗余處理單元、外部磁盤驅動陣列、RAID系統、磁帶驅動器以及數據備份存儲系統等。
現在參考圖5,其中顯示了示例性的云計算環境550。如圖所示,云計算環境550包括云計算消費者使用的本地計算設備可以與其相通信的一個或者多個云計算節點510,本地計算設備例如可以是個人數字助理(PDA)或移動電話554A,臺式電腦554B、筆記本電腦554C和/或汽車計算機系統554N。云計算節點510之間可以相互通信。可以在包括但不限于如上所述的私有云、共同體云、公共云或混合云或者它們的組合的一個或者多個網絡中將云計算節點510進行物理或虛擬分組(圖中未顯示)。這樣,云的消費者無需在本地計算設備上維護資源就能請求云計算環境550提供的基礎架構即服務(IaaS)、平臺即服務(PaaS)和/或軟件即服務(SaaS)。應當理解,圖5顯示的各類計算設備554A-N僅僅是示意性的,云計算節點510以及云計算環境550可以與任意類型網絡上和/或網絡可尋址連接的任意類型的計算設備(例如使用網絡瀏覽器)通信。
現在參見圖6,其中顯示了由云計算環境600提供的一套功能抽象層。應當事先理解,圖6中顯示的組件、層和功能旨在說明的目的,本發明的優選實施例并不限于此。如圖所示,提供了以下層和相應的功能:硬件和軟件層610、虛擬化層620、管理層630和工作負載曾640。硬件和軟件層610包括硬件和軟件組件。硬件組件的例子包括大型機。在一個示例中是IBM.RTM.zSeries.RTM系統以及基于RISC(精簡指令集計算機)架構的服務器。在一個示例中是IBM pSeries.RTM.系統、IBM xSeries.RTM.系統、IBM BladeCenter.RTM.系統、存儲設備、網絡和聯網 組件。軟件組件的例子包括網絡應用服務器軟件。在一個示例中是IBM WebSphere.RTM.應用服務器軟件和數據庫軟件。在一個示例中是IBM DB2.RTM.數據庫軟件。(IBM、zSeries、pSeries、xSeries、BladeCenter、WebSphere和DB2是國際商用機器公司在世界范圍內眾多管轄區域內注冊的商標)。
虛擬層620提供一個抽象層,該層可以提供下列虛擬實體的例子:虛擬服務器、虛擬存儲、虛擬網絡(包括虛擬私有網絡)、虛擬應用和操作系統,虛擬客戶端以及加密引擎。
在一個示例中,管理層630可以提供下述功能:資源供應、計量和定價、用戶門戶、服務水平管理和密鑰服務器管理。下面描述各個功能。資源供應提供用于在云計算環境中執行任務的計算資源和其它資源的動態獲取。計量和定價在云計算環境內對資源的使用進行成本跟蹤,并為此提供帳單和發票。在一個例子中,該資源可以包括應用軟件許可。安全為云的消費者和任務提供身份認證,為數據和其它資源提供保護。用戶門戶為消費者和系統管理員提供對云計算環境的訪問。密鑰服務器管理提供云計算密鑰存儲和生命周期管理,以滿足所需的對相關已加密數據的加密和管理。
工作負荷層640提供云計算環境可以被利用的功能性的例子。在這里描述的可配置計算機資源的共享池(以下稱為云計算環境)中,文件可以在多個數據中心(也稱為數據站點)的用戶之間共享。因此,在共享池中提供一系列機制以支持云計算環境中數據存儲的組織和管理。
所屬技術領域的技術人員知道,本發明的各個方面可以實現為系統、方法或計算機程序產品。因此,本發明的各個方面可以具體實現為以下形式,即:完全的硬件實施方式、完全的軟件實施方式(包括固件、駐留軟件、微代碼等),或硬件和軟件方面結合的實施方式,這里可以統稱為“電路”、“模塊”或“系統”。此外,在一些實施例中,本發明的各個方面還可以實現為在一個或多個計算機可讀介質中的計算機程序產品的形式,該計算機可讀介質中包含計算機可讀的程序代碼。
可以采用一個或多個計算機可讀介質的任意組合。計算機可讀介質可以是計算機可讀信號介質或者計算機可讀存儲介質。計算機可讀存儲介質例如可以是——但不限于——電、磁、光、電磁、紅外線、或半導體的系統、裝置或器件,或者任意以上的組合。計算機可讀存儲介質的更具體的例子(非窮舉的列表)包括:具有一個或多個導線的電連接、便攜式計算機盤、硬盤、隨機存取存儲器(RAM)、只讀存儲器(ROM)、可擦式可編程只讀存儲器(EPROM或閃存)、光纖、便攜式緊湊盤只讀存儲器(CD-ROM)、光存儲器件、磁存儲器件、或者上述的任意合適的組合。在本文件中,計算機可讀存儲介質可以是任何包含或存儲程 序的有形介質,該程序可以被指令執行系統、裝置或者器件使用或者與其結合使用。
計算機可讀的信號介質可以包括在基帶中或者作為載波一部分傳播的數據信號,其中承載了計算機可讀的程序代碼。這種傳播的數據信號可以采用多種形式,包括——但不限于——電磁信號、光信號或上述的任意合適的組合。計算機可讀的信號介質還可以是計算機可讀存儲介質以外的任何計算機可讀介質,該計算機可讀介質可以發送、傳播或者傳輸用于由指令執行系統、裝置或者器件使用或者與其結合使用的程序。
計算機可讀介質上包含的程序代碼可以用任何適當的介質傳輸,包括——但不限于——無線、有線、光纜、RF等等,或者上述的任意合適的組合。
可以以一種或多種程序設計語言的任意組合來編寫用于執行本發明操作的計算機程序代碼,所述程序設計語言包括面向對象的程序設計語言—諸如Java、Smalltalk、C++等,還包括常規的過程式程序設計語言—諸如“C”語言或類似的程序設計語言。程序代碼可以完全地在用戶計算機上執行、部分地在用戶計算機上執行、作為一個獨立的軟件包執行、部分在用戶計算機上部分在遠程計算機上執行、或者完全在遠程計算機或服務器上執行。在涉及遠程計算機的情形中,遠程計算機可以通過任意種類的網絡——包括局域網(LAN)或廣域網(WAN)—連接到用戶計算機,或者,可以連接到外部計算機(例如利用因特網服務提供商來通過因特網連接)。Java和所有基于Java的商標和標志是Oracle和/或其分支機構的商標或注冊商標。
以上參照根據本發明實施例的方法、裝置(系統)和計算機程序產品的流程圖和/或框圖描述了本發明。應當理解,流程圖和/或框圖的每個方框以及流程圖和/或框圖中各方框的組合,都可以由計算機程序指令實現。這些計算機程序指令可以提供給通用計算機、專用計算機或其它可編程數據處理裝置的處理器,從而生產出一種機器,使得這些計算機程序指令在通過計算機或其它可編程數據處理裝置的處理器執行時,產生了實現流程圖和/或框圖中的一個或多個方框中規定的功能/動作的裝置。
也可以把這些計算機程序指令存儲在計算機可讀介質中,這些指令使得計算機、其它可編程數據處理裝置、或其他設備以特定方式工作,從而,存儲在計算機可讀介質中的指令就產生出包括實現流程圖和/或框圖中的一個或多個方框中規定的功能/動作的指令的制造品(article of manufacture)。
計算機程序指令也可以被加載到計算機、其它可編程數據處理設備或其他設備上,以引起一系列要在計算機上、其它可編程設備或其它設備執行的操作步驟,以產生計算機實現的過程,使得在計算機或其他可編 程裝置上執行的指令提供用于實現在流程圖和/或框圖的塊或多個塊中指定的功能/動作的過程。
附圖中的流程圖和框圖顯示了根據本發明的多個優選實施例的系統、方法和計算機程序產品的可能實現的體系架構、功能和操作。在這點上,流程圖或框圖中的每個方框可以代表一個模塊、程序段或代碼的一部分,所述模塊、程序段或代碼的一部分包含一個或多個用于實現規定的邏輯功能的可執行指令。也應當注意,在有些作為替換的實現中,方框中所標注的功能也可以以不同于附圖中所標注的順序發生。例如,兩個連續的方框實際上可以基本并行地執行,它們有時也可以按相反的順序執行,這依所涉及的功能而定。也要注意的是,框圖和/或流程圖中的每個方框、以及框圖和/或流程圖中的方框的組合,可以用執行規定的功能或動作的專用的基于硬件的系統來實現,或者可以用專用硬件與計算機指令的組合來實現。
在本文中所用的術語,僅僅是為了描述特定的實施例,而不意圖限定本發明。本文中所用的單數形式的“一”和“該”,旨在也包括復數形式,除非上下文中明確地另外指出。還要知道,“包含”一詞在本說明書中使用時,說明存在所指出的特征、整體、步驟、操作、單元和/或組件,但是并不排除存在或增加一個或多個其它特征、整體、步驟、操作、單元和/或組件,以及/或者它們的組合。
權利要求中的對應結構、材料、操作以及所有功能性限定的裝置(means)或步驟的等同替換,旨在包括任何用于與在權利要求中具體指出的其它單元相組合地執行該功能的結構、材料或操作。所給出的對本發明的描述其目的在于示意和描述,并非是窮盡性的,也并非是要把本發明限定到所表述的形式。對于所屬技術領域的普通技術人員來說,在不偏離本發明范圍和精神的情況下,顯然可以作出許多修改和變型。對實施例的選擇和說明,是為了最好地解釋本發明的原理和實際應用,使所屬技術領域的普通技術人員能夠明了,本發明可以有適合所要的特定用途的具有各種改變的各種實施方式。
本發明的替代優選實施例
應當理解的是,盡管出于說明的目的已經在本文中描述了本發明具體的優選實施例,可以進行各種修改而不脫離本發明的精神和范圍。因此,本發明的保護范圍由下面的權利要求及其等同來限定。

關 鍵 詞:
利用 下游 解密 進行 端到端 加密 情況 實現 存儲 效率
  專利查詢網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
關于本文
本文標題:利用下游解密器進行端到端加密情況下實現存儲效率.pdf
鏈接地址:http://www.rgyfuv.icu/p-6353620.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服客服 - 聯系我們

[email protected] 2017-2018 zhuanlichaxun.net網站版權所有
經營許可證編號:粵ICP備17046363號-1 
 


收起
展開
山东11选5中奖结果走势图