【技术实现步骤摘要】
分级内容可寻址存储系统中的块级客户端侧加密相关申请的交叉引用本申请要求于2013年7月22日提交的申请号为13/947,409的美国专利的优先权,其全部内容结合于此作为参考。
本专利技术涉及存储系统,更具体地,涉及分级内容可寻址存储系统中的块级客户端侧加密的技术。
技术介绍
用于访问所存储的数字项目的信息在本文被称为所存储项目的“访问密钥”。在典型的文件系统中,所存储的项目基于(a)所述项目被存储的位置,以及(b)所述项目的名称或识别符而被检索。例如,如果名为“fo0.txt”的文件位于名为“c:\myfiles
ext”的目录中,那么应用程序可以利用路径名“c:\myfiles
ext\fo0.txt”作为访问密钥以从文件系统检索文件。因为常规的访问密钥是基于被检索项目的位置,所以当所述项目被移动时,访问密钥改变。此外,项目的每个副本具有不同的访问密钥,这是因为每个副本被存储在不同的位置。 与常规文件系统相比,内容可寻址存储(CAS)系统允许应用程序基于从项目内容生成的散列值从存储器检索项目。因为CAS系统基于为所述项目生成的散列值对所述项目执行存储相关的操作,并且所述散列值是基于项目的内容而不是项目存储在什么位置,请求操作的应用程序可以如此操作,而不需要知道项目存储副本的数量或位置。例如,CAS系统可以在位置A、B和C存储项目X的多个副本。期望检索项目X的应用程序将通过向CAS系统发送基于项目X的内容的散列值来这样做。基于该散列值,CAS系统将向该应用程序提供从位置A、B和C中的一个位置检索的项目X的副本。因此 ...
【技术保护点】
一种方法,包括:在内容可寻址存储系统中,利用多个块来实施分级文件系统;支持所述分级文件系统中的加密卷和非加密卷两者;其中,支持加密卷和非加密卷两者包括:使得文件夹和文件层直接调用块系统层,以用于涉及非加密卷的操作;以及使得所述文件夹和文件层调用卷加密层,以用于涉及加密卷的操作;其中,所述卷加密层通过API接收来自所述文件夹和文件层的调用,所述API匹配所述块系统层通过其接收来自所述文件夹和文件层的调用的API。
【技术特征摘要】
2013.07.22 US 13/947,4091.一种方法,包括: 在内容可寻址存储系统中,利用多个块来实施分级文件系统; 支持所述分级文件系统中的加密卷和非加密卷两者; 其中,支持加密卷和非加密卷两者包括: 使得文件夹和文件层直接调用块系统层,以用于涉及非加密卷的操作;以及 使得所述文件夹和文件层调用卷加密层,以用于涉及加密卷的操作; 其中,所述卷加密层通过API接收来自所述文件夹和文件层的调用,所述API匹配所述块系统层通过其接收来自所述文件夹和文件层的调用的API。2.根据权利要求1所述的方法,其中 所述块系统层具有用于执行存放操作的第一接口和用于执行获取操作的第二接口; 所述卷加密层具有用于执行存放操作的第三接口和用于执行获取操作的第四接口; 所述方法进一步包括: 所述文件夹和文件层对所述第一接口进行第一调用以对非加密卷执行存放操作; 所述文件夹和文件层对所述第二接口进行第二调用以对所述非加密卷执行获取操作; 所述文件夹和文件层对所述第三接口进行第三调用以对加密卷执行存放操作; 响应于所述第三调用,所述卷加密层对所述第一接口进行第四调用; 所述文件夹和文件层对所述第四接口进行第五调用以对所述加密卷执行获取操作;以及 响应于所述第五调用,所述卷加密层对所述第二接口进行第六调用。3.根据权利要求1所述的方法,其中: 其中,所述块系统层为被配置为访问所述分级文件系统的客户端层; 其中,所述卷加密层为被配置为执行加密和解密的客户端层,其中,所述卷加密层进一步被配置为对所述块系统层进行调用以访问所述分级文件系统。4.一种方法,包括: 利用内容可寻址存储系统中的多个块来实施分级文件系统,所述分级文件系统包括多个加密卷; 为每个加密卷保持相应的卷密钥; 接收驻留于所述多个加密卷的特定加密卷上的特定块的获取请求; 响应于所述获取请求,执行步骤: 从所述内容可寻址存储系统获得所述特定块的加密块数据; 利用所述特定加密卷的卷密钥获得所述特定块的明文块数据;以及 用所述特定块的明文块数据来响应所述获取请求。5.根据权利要求4所述的方法,其中,利用所述特定加密卷的卷密钥获得所述特定块的明文块数据的步骤包括: 利用所述卷密钥解密为所述特定块随机生成的特定块密钥; 通过利用所述特定块密钥解密所述特定块的加密块数据,生成所述明文块数据。6.根据权利要求4所述的方法,其中,利用所述特定加密卷的卷密钥获得所述特定块的明文块数据的步骤包括通过利用所述卷密钥解密所述特定块的加密块数据,生成所述明文块数据。7.根据权利要求4所述的方法,其中,利用所述特定加密卷的卷密钥获得所述特定块的明文块数据的步骤包括: 利用所述卷密钥解密在存储所述特定加密卷的块的所述内容可寻址存储系统内的块树的根散列; 利用所述块树的根散列获得所述特定块的散列;以及 通过利用所述特定块的散列解密所述特定块的所述加密块数据,生成所述明文块数据。8.根据权利要求4所述的方法,进一步包括: 对于所述内容可寻址存储系统中的至少一个块,保持基于明文块数据生成的第一散列与基于所述加密块数据生成的第二散列之间的映射。9.根据权利要求8所述的方法,其中,所述第一散列是所述明文块数据的双散列。10.根据权利要求4所述的方法,其中,所述获取请求包括明文块散列,所述方法进一步包括: 利用所述明文块散列获得加密块散列; 其中,所述加密块数据利用所述加密块散列而获得。11.根据权利要求4所述的方法,进一步包括: 对于所述内容可寻址存储系统中的至少一个卷,保持卷识别符与所述至少一个卷的卷状态的散列之间的映射。12.根据权利要求4所述的方法,进一步包括: 从客户端接收存放请求以将第二块添加到所述特定加密卷; 加密所述第二块; 在所述内容可寻址存储系统中将所述加密的第二块与所述特定加密卷关联地存储。13.根据权利要求12所述的方法,其中,所述加密的第二块通过利用与所述加密块的内容不相关的指定块密钥进行加密,进一步包括步骤: 利用所述卷密钥加密所述指定块密钥; 将加密的指定块密钥与基于所述第二块的明文块数据生成的散列关联地存储。14.根据权利要求12所述的方法,其中,所述加密的第二块利用所述卷密钥进行加密。15.根据权利要求12所述的方法,其中,所述加密的第二块利用基于所述第二块的明文块数据生成的散列进行加密。16.根据权利要求12所述的方法,进一步包括通过利用所述卷密钥生成至少一个新块,更新与所述卷关联的所述块树。17.根据权利要求4所述的方法,进一步包括: 利用实体的实体密钥加密所述卷密钥; 通过密钥管理组件与所述实体共享所述加密卷密钥,共享所述特定加密卷,其中,所述实体通过利用其自身的实体密钥解密所述...
【专利技术属性】
技术研发人员:朱利安·伯夫,萨钦·拉瓦特,
申请(专利权)人:阿普赛尔有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。