加密模块(84)使用随机密钥(102)加密起始数据(82)以产生加密数据(85)。哈希模块(86)使用秘密密钥(98)对加密数据(85)执行安全哈希函数以产生哈希值(104)。处理电路(106)使用哈希值(104)屏蔽随机密钥(102)以产生被屏蔽的随机密钥(108),并组合加密的数据(85)和被屏蔽的随机密钥(108)以产生安全包(96)。分布式存储和任务模块(88)对安全包(96)进行编码以产生编码数据切片组。包括在编码数据切片组中的编码数据切片的秘密密钥(98)和解码阈值数足以恢复安全包(96)和起始数据(82)。编码数据切片组存储在存储单元(22)组中。
【技术实现步骤摘要】
【国外来华专利技术】高效的秘密密钥加密的安全切片
本专利技术一般涉及计算机网络,更具体地说,涉及分散错误编码数据。
技术介绍
众所周知可以用计算设备传送数据,处理数据和/或存储数据。这样的计算设备包括无线智能电话,笔记本电脑,平板电脑,个人计算机(PC),工作站和视频游戏设备,以及每天支持数百万网络搜索,股票交易或在线购买的数据中心。通常,计算设备包括中央处理单元(CPU),存储器系统,用户输入/输出接口,外围设备接口和互连总线结构。如进一步已知的,计算机可以通过使用“云计算”代表计算机执行一个或多个计算功能(例如,服务,应用,算法,算术逻辑功能等)来有效地扩展其CPU。此外,对于大型服务,应用和/或功能,云计算可以由分布式方式由多个云计算资源执行,以改善完成服务,应用和/或功能的响应时间。例如,Hadoop是一个开源软件框架,支持分布式应用程序,使数千台计算机能够执行应用程序。除了云计算之外,计算机可以使用“云存储”作为其存储系统的一部分。众所周知,云存储使用户能够通过其计算机在因特网存储系统上存储文件,应用程序等。因特网存储系统可以包括RAID(独立磁盘冗余阵列)系统和/或分散存储系统,其使用纠错方案来编码用于存储的数据。传统的秘密共享方案为安全性提供了一些好处。通常,这些方案在暴露数据之前至少需要违规的阈值数。在某些情况下,这比加密安全得多,至少当一个人控制存储这些共享的硬件时。但在其它情况下,当一个人无法控制存储硬件时,数据所有者必须相信控制硬件的实体不会使用其职位来访问共享的阈值数。为了减少对硬件托管人的完全信任的需要,常规系统可以使用传统的密钥加密来加密数据,然后将其发送以存储在硬件中。因此,传统上使用两个单独的加密步骤的过程:1)在发送数据用于存储之前要存储的数据的初始加密;2)第二个单独的加密步骤,它使用秘密共享方案再次加密加密数据(encrypteddata),用于将数据部分存储在存储硬件中。然而,传统的两步过程在计算开销方面是昂贵的,因为对数据执行了两个单独的加密操作。附图说明现在将参考附图仅通过示例的方式描述本专利技术的实施例,附图中:图1是根据本专利技术的分散或分布式存储网络(DSN)的实施例的示意框图。图2是根据本专利技术的计算核心的实施例的示意框图。图3是根据本专利技术的数据的分散存储错误编码的示例的示意框图。图4是根据本专利技术的错误编码功能的一般例子的示意框图。图5是根据本专利技术的错误编码功能的具体例子的示意框图。图6是根据本专利技术的编码数据切片(EDS)的切片名称的示例的示意框图。图7是根据本专利技术的数据的分散存储错误解码的例子的示意框图。图8是根据本专利技术的错误解码功能的一般例子的示意方框图。图9是根据本专利技术的分散存储网络的另一实施例的示意框图。图10是示出根据本专利技术的安全存储数据的示例的流程图。具体实施方式图1是分散或分布式存储网络(DSN)10的实施例的示意性框图,其包括多个计算设备12-16,管理单元18,完整性处理单元20和DSN存储器22。DSN10的组件耦合到网络24,网络24可以包括一个或多个无线和/或有线通信系统;一个或多个非公共内联网系统和/或公共互联网系统;和/或一个或多个局域网(LAN)和/或广域网(WAN)。DSN存储器22包括多个存储单元36,其可以位于地理上不同的站点(例如,芝加哥的一个站点,密尔沃基的一个站点等),公共站点或其组合。例如,如果DSN存储器22包括八个存储单元36,则每个存储单元位于不同的站点。作为另一示例,如果DSN存储器22包括八个存储单元36,则所有八个存储单元都位于相同的站点。作为又一示例,如果DSN存储器22包括八个存储单元36,则第一对存储单元位于第一公共站点,第二对存储单元位于第二公共站点,第三对存储单元位于第三公共站点,第四对存储单元位于第四公共站点。注意,DSN存储器22可以包括多于或少于八个存储单元36。进一步注意,每个存储单元36包括计算核心(如图2所示,或其组件)和用于存储分散的错误编码的数据的多个存储器设备。计算设备12-16,管理单元18和完整性处理单元20中的每一个包括计算核心26,其包括网络接口30-33。计算设备12-16每个可以是便携式计算设备和/或固定计算设备。便携式计算设备可以是社交网络设备,游戏设备,手机,智能电话,数字助理,数字音乐播放器,数字视频播放器,膝上型计算机,手持式计算机,平板电脑,视频游戏控制器和/或包括计算核心的任何其他便携式设备。固定计算设备可以是计算机(PC),计算机服务器,有线机顶盒,卫星接收器,电视机,打印机,传真机,家庭娱乐设备,视频游戏控制台和/或任何类型的家庭或办公室计算设备。注意,管理单元18和完整性处理单元20中的每一个可以是单独的计算设备,可以是公共计算设备,和/或可以集成到一个或多个计算设备12-16中和/或集成到一个或多个存储单元36中。每个接口30,32和33包括通过网络24间接和/或直接支持一个或多个通信链路的软件和硬件。例如,接口30支持计算设备14和16之间的通信链路(例如,有线,无线,直接,经由LAN,经由网络24等)。作为另一示例,接口32支持计算设备12和16以及DSN存储器22之间的通信链路(例如,有线连接,无线连接,LAN连接和/或到/从网络24的任何其他类型的连接)。作为又一示例,接口33支持管理单元18和完整性处理单元20中的每一个到网络24的通信链路。计算设备12和16包括分散存储(DS)客户端模块34,其使得计算设备能够分散存储错误编码和解码数据(例如,数据40),如随后参考图3-8中的一个或多个所描述的。在该示例实施例中,计算设备16用作计算设备14的分散存储处理代理。在该角色中,计算设备16代表计算设备14分散存储错误编码和解码数据。使用分散存储错误编码和解码时,DSN10容忍大量存储单元故障(故障的数量基于分散的存储错误编码功能的参数)而不丢失数据并且不需要数据的冗余或备份副本。此外,DSN10以无限期的时间存储数据而没有数据丢失并且以安全的方式存储(例如,系统非常抵抗未经授权的访问数据的尝试)。在操作中,管理单元18执行DS管理服务。例如,管理单元18分别为计算设备12-14或作为一组用户设备的一部分建立分布式数据存储参数(例如,库创建,分布式存储参数,安全参数,计费信息,用户简档信息等)。作为具体示例,管理单元18协调在用于用户设备,一组设备或用于公共访问的DSN存储器22内的库创建(例如,与DSN的整个命名空间的一部分相关联的虚拟存储器块)并为库建立每库分散存储(DS)错误编码参数。管理单元18通过更新DSN10的注册表信息来促进每个库的DS错误编码参数的存储,其中注册表信息可以存储在DSN存储器22,计算设备12-16,管理单元18和/或完整性处理单元20中。管理单元18在本地存储器中和/或DSN存储器22的存储器内创建和存储用户简档信息(例如,访问控制列表(ACL))。用户简档信息包括认证信息,许可和/或安全性参数。安全参数可以包括加密/解密方案,一个或多个加密密钥,密钥生成方案和/或数据编码/解码方案。管理单元18为特定用户,用户组,库访问,公共库访问等创建计费信息。例如,管理单元18跟踪用户访问非公共库和/或公共的次数,其可用于生本文档来自技高网...
【技术保护点】
1.一种在分散存储网络中使用的方法,该方法包括:使用随机密钥加密起始数据以产生加密数据;使用秘密密钥对加密数据执行安全哈希函数以产生哈希值;使用哈希值屏蔽随机密钥以产生屏蔽的随机密钥;将加密数据和屏蔽的随机密钥组合以产生安全包;编码安全包以产生编码数据切片组,其中包括在编码数据切片组中的编码数据切片的秘密密钥和解码阈值数足以恢复安全包和起始数据,并且其中解码阈值数大于1且小于编码数据切片组中的编码数据切片的总数;和将编码数据切片组存储在存储单元组中。
【技术特征摘要】
【国外来华专利技术】2016.02.29 US 62/301,214;2017.01.19 US 15/410,3291.一种在分散存储网络中使用的方法,该方法包括:使用随机密钥加密起始数据以产生加密数据;使用秘密密钥对加密数据执行安全哈希函数以产生哈希值;使用哈希值屏蔽随机密钥以产生屏蔽的随机密钥;将加密数据和屏蔽的随机密钥组合以产生安全包;编码安全包以产生编码数据切片组,其中包括在编码数据切片组中的编码数据切片的秘密密钥和解码阈值数足以恢复安全包和起始数据,并且其中解码阈值数大于1且小于编码数据切片组中的编码数据切片的总数;和将编码数据切片组存储在存储单元组中。2.如权利要求1所述的方法,还包括:通过解码编码数据切片的解码阈值数来恢复安全包;和使用秘密密钥从安全包中恢复起始数据。3.如权利要求2所述的方法,其中,恢复起始数据还包括:将安全包解组合为加密数据和被屏蔽的随机密钥。4.如权利要求3所述的方法,还包括:使用秘密密钥恢复哈希值;使用哈希值去屏蔽被屏蔽的随机密钥并生成恢复的随机密钥;和使用被恢复的随机密钥解密加密数据。5.如权利要求1所述的方法,其中,屏蔽所述随机密钥包括:执行异或(XOR)函数或模块化添加之一。6.如权利要求1所述的方法,其中组合包括:附加,前置,插入或交错之一。7.如权利要求1所述的方法,其中编码安全包以产生编码数据切片组包括使用纠删码算法。8.分散存储网络,包括:加密模块,使用处理器和相关存储器实现,加密模块被配置为使用随机密钥加密起始数据以产生加密数据;使用处理器和相关存储器实现的哈希模块,哈希模块被配置为使用秘密密钥对加密数据执行安全哈希函数以产生哈希值;处理电路,被配置为使用哈希值来屏蔽随机密钥以产生被屏蔽的随机密钥;处理电路还被配置为组合加密数据和被屏蔽的随机密钥以产生安全包;分布式存储和任务模块,被配置为对安全包进行编码以产生编码数据切片组,其中包括在该编码数据切片组中的编码数据切片的秘密密钥和解码阈值数足以恢复安全包和起始数据,其中,解码阈值数大于1且小于该编码数据切片组中的编码数据切片的总数;和处理电路,被配置为将该编码数据切片组存储在存储单元组中。9.如权利要求8所述的分散存储网络,还包括处理电路,被配置为:...
【专利技术属性】
技术研发人员:J·雷施,I·沃尔沃夫斯基,M·D·西伯恩,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。