保护存储设备中的数据制造技术
【技术实现步骤摘要】
保护存储设备中的数据
技术介绍
保持所存储的数据(“静态数据”)的安全性是重要的,并且随着攻击变得更加复杂,其日益受到关注。现今,组织容易受到内部和外部攻击。期望存储设备制造商和存储服务提供商具有适当的安全措施以在来自未授权的第三方(包括内部人员)的攻击的情况下保护所存储的数据。周边安全可以保护免受外部攻击,但未考虑内部威胁,因此需要其他机制来加以保护以免遭内部攻击者攻击。当代存储设备包括用于通过使用数据加密密钥对存储在存储设备上的数据进行加密来保护所述数据的机制,所述数据加密密钥是由存储设备使用高质量随机数生成器在内部生成的。使用同样是由存储设备内部生成的密钥加密密钥来保护数据加密密钥。例如,存储设备从主机系统处接收安全密钥(例如,密码),并且通过密钥导出函数(例如PBKDF2(基于密码的密钥导出函数2))来传递密钥,以导出所述密钥加密密钥。密钥加密密钥与诸如国家标准和技术研究所(NIST)高级加密标准(AES)算法的密钥打包(wrap)算法一起使用,以安全地打包数据加密密钥。将经加密的数据和经打包的数据加密密钥存储在存储设备上。当所存储的数据随后被检索时,经打包的数...
【技术保护点】
一种在存储设备中保护存储在所述存储设备上的数据的方法,所述方法包括:访问存储在所述存储设备上的存储介质中的第一数据加密密钥;以及生成第二数据加密密钥,所述第二数据加密密钥用于使用以下各项来对存储在所述存储设备上的所述存储介质中的数据进行加密和解密:所述第一数据加密密钥、根据从通信地耦合到所述存储设备的主机系统所接收到的第一信息获得的第一密钥加密密钥、以及从除所述主机系统之外并且通信地耦合到所述存储设备的源处所接收到的第二信息。
【技术特征摘要】
2016.06.28 US 15/195,3711.一种在存储设备中保护存储在所述存储设备上的数据的方法,所述方法包括:访问存储在所述存储设备上的存储介质中的第一数据加密密钥;以及生成第二数据加密密钥,所述第二数据加密密钥用于使用以下各项来对存储在所述存储设备上的所述存储介质中的数据进行加密和解密:所述第一数据加密密钥、根据从通信地耦合到所述存储设备的主机系统所接收到的第一信息获得的第一密钥加密密钥、以及从除所述主机系统之外并且通信地耦合到所述存储设备的源处所接收到的第二信息。2.如权利要求1所述的方法,其中,响应于条件被满足,所述第二信息被从所述源发送到所述存储设备。3.如权利要求2所述的方法,其中,周期性地检查所述条件,并且其中,所述方法进一步包括:丢弃所述第二数据加密密钥,除非所述条件被满足。4.如权利要求2所述的方法,其中,所述条件选自由以下各项组成的组:表明指定的物理对象被附接到所述存储设备的指示;表明指定的物理对象距所述存储设备在规定距离内的指示;表明所述存储设备在指定的物理位置处的指示;表明所述存储设备距指定的物理位置在规定距离内的指示;以及表明所述存储设备的操作环境在指定容差内与环境条件相匹配的指示。5.如权利要求1所述的方法,其中,所述第二信息包括第二密钥加密密钥,并且其中,所述生成包括:用所述第一密钥加密密钥来解包所述第一数据加密密钥的打包版本,以生成包括所述第二数据加密密钥的打包版本的中间数据加密密钥;以及使用所述第二密钥加密密钥来解包所述中间数据加密密钥以生成所述第二数据加密密钥。6.如权利要求5所述的方法,进一步包括:用由所述存储设备执行的密钥生成器生成所述第二数据加密密钥,其中,所述第二数据加密密钥用于对写入所述存储设备上的存储介质的数据进行加密;用所述第二密钥加密密钥和所述第一密钥加密密钥来打包所述第二数据加密密钥,以生成所述第一数据加密密钥的所述打包版本;以及将所述第一数据加密密钥的所述打包版本存储在所述存储设备上的所述存储介质中。7.如权利要求1所述的方法,其中,所述生成包括:用所述第一密钥加密密钥来解包所述第一数据加密密钥的打包版本,以生成包括所述第二数据加密密钥的第一部分的中间数据加密密钥,其中,所述第二信息包括所述第二数据加密密钥的第二部分;以及组合所述第一部分和所述第二部分以生成所述第二数据加密密钥。8.如权利要求7所述的方法,进一步包括:用由所述存储设备执行的密钥生成器生成所述第二数据加密密钥,其中,所述第二数据加密密钥用于对写入所述存储设备上的存储介质的数据进行加密;将所述第二数据加密密钥划分成所述第一部分和所述第二部分;将所述第二部分存储在所述源上;用所述第一密钥加密密钥来打包所述第一部分以生成所述第一数据加密密钥的所述打包版本;以及将所述第一数据加密密钥的所述打包版本存储在所述存储设备上的所述存储介质中。9.如权利要求1所述的方法,其中,所述第二信息包括第三数据加密密钥,并且其中,所述生成包括:用所述第一密钥加密密钥来解包所述第一数据加密密钥的打包版本,以生成包括中间数据加密密钥;以及组合所述中间数据加密密钥和所述第三数据加密密钥以生成所述第二数据加密密钥。10.如权利要求9所述的方法,进一步包括:用由所述存储设备执行的密钥生成器生成所述中间数据加密密钥;用所述第一密钥加密密钥来打包所述中间数据加密密钥以生成所述第一数据加密密钥的所述打包版本;以及将所述第一数据加密密钥的所述打包版本存储在所述存储设备上的所述存储介质中。11.一种系统,包括:主机,所述主机包括:处理器;以及存储器,所述存储器耦合到所述处理器;以及存储设备,所述存储设备耦合到所述主机;所述存储设备被配置为用于访问存储在存储介质中的第一数据加密密钥,并且使用所述第一数据加密密钥以及根据从所述主机接收到的第一信息而获得的第一密钥加密密钥来生成中间数据加密密钥;并且所述存储设备被进一步配置为用于使用所述中间数据加密密钥以及从源处所接收到的第二信息来生成第二数据加密密钥,所述源通信地耦合到所述存储设备并且当与所述存储设备通信时绕过所述主机,其中,所述第二数据加密密钥用于对存储在所述存储设备上的所述存储介质中的数据进行解密。12.如权利要求11所述的系统,其中,响应于条件被满足,所述第二信息被从所述源发送到所述存储设备,其中,所述条件选自由以下各项组成的组:表明指定的物理对象被附接到所述存储设备的指示;表明指定的物理对象距所述存储设备在规定距离内的指示;表明所述存储设备在指定的物理位置处的指示;表明所述存储设备距指定的物理位置在规定距离内的指示;以及表明所述存储设备的操作环境在指定容差内与环境条件相匹配的指示。13.如权利要求11所述的系统,其中,所述第二信息包括第二密钥加密密钥,并且所述中间数据加密密钥包括所述第二数据加密密钥的打包版本,其中,所述存储设备被配置为用于使用所述第二密钥加密密钥来解包所述中间数据加...
【专利技术属性】
技术研发人员:C豪,C麦克坎布里奇,A格穆,
申请(专利权)人:西部数据技术公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。