【技术实现步骤摘要】
【国外来华专利技术】密钥可压缩加密
[0001]本专利技术涉及密钥可压缩加密。
技术介绍
[0002]许多现代存储系统具有用压缩和/或去重技术来节省空间和更好地利用存储的内置数据还原能力。这种做法,取决于正在存储的实际内容,可以大大降低存储成本。然而,数据中心和云存储一个新兴趋势是使用主机侧加密——即在数据离开应用程序服务器时对其进行加密,然后再发送到存储,从而提供端到端加密。这种做法带来了安全上的好处,但到达存储系统的数据已经是加密的形式,无法再压缩(典型的加密数据不具有压缩或去重的可能性)。
[0003]由此,当试图提供主机侧加密同时保持压缩和去重的好处时,会出现问题。一种传统方法是在对主机中的数据进行加密之前对其进行压缩。然而,这带来了新的挑战——压缩的数据是可变长度的,并且需要复杂的数据结构/算法来管理存储上的数据布局(诸如日志结构阵列和地址映射)。如果想要支持对数据中扇区的随机读取,则尤其如此。这些映射结构是内置于具有内置压缩支持的存储系统中的机器的类型。然而,这样的机制在主机侧通常是不可用的。
[0004]存在在主机侧执行压缩和加密但是泄露关于数据压缩性/去重属性的信息的传统解决方案。因此,当试图在主机和存储系统之间提供通信以使得监听通信的攻击者对数据的可压缩性了解很少时,会出现问题。攻击者可能会使用有关数据可压缩性的信息来获取有关未加密数据的一些信息。
[0005]因此,需要有技术来提供主机侧加密,同时保持压缩和去重的好处,同时在主机和存储系统之间提供不会泄漏关于数据可压缩性/去重属性的信息的通信。 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种在计算机系统中实施的方法,所述计算机系统包括处理器、可由所述处理器访问的存储器、存储在所述存储器中且可由所述处理器执行的计算机程序指令以及存储在所述存储器中且可由所述处理器访问的数据,所述方法包括:在所述计算机系统处,通过生成包括第一部分和第二部分的新数据扇区来压缩原始数据扇区,所述第一部分包括元数据和填充数据,所述第二部分包括已压缩并用数据加密密钥(DEK)加密的原始数据扇区;在所述计算机系统处,使用数据还原密钥(DRK)对所述新数据扇区进行加密;以及在所述计算机系统处,将所述加密的新数据扇区发送到存储系统。2.根据权利要求1所述的方法,进一步包括:当已被压缩的原始数据扇区已被压缩小于预定量时,不压缩原始数据扇区;在所述计算机系统处,使用数据加密密钥(DEK)对未压缩的原始数据扇区进行加密;以及在所述计算机系统处,将所述加密的未压缩的原始数据扇区发送到存储系统。3.根据权利要求2所述的方法,其中:所述存储系统使用所述DRK对从所述计算机系统发送的所述扇区中的至少一些扇区进行解密,并且使用可压缩模式的存在或不存在来确定所发送的数据是否为压缩的;当确定所述扇区并非为压缩的时,则存储系统存储未压缩的原始数据扇区而不进行修改;当确定所述扇区为压缩的时,所述存储系统使用所述DRK解密所述主机发送的所述扇区,并存储解密的新数据扇区;以及当所述存储系统具有内置压缩能力时,所述存储系统利用所述可压缩模式来节省存储空间。4.根据权利要求3所述的方法,进一步包括:在所述计算机系统处,从所述存储系统接收加密的数据扇区;在所述计算机系统处,使用所述DRK解密所述加密的数据扇区的至少一个扇区;在所述计算机系统处,基于在所述解密的数据扇区的至少一部分中存在填充数据,确定所述数据扇区是否包括压缩数据;当所述数据扇区为压缩的时,在所述计算机系统处使用所述DEK解密所述压缩数据并且在所述计算机系统处解压所述解密的压缩数据;以及当所述数据扇区并非为压缩的时,在所述计算机系统处使用所述DEK解密所述加密的数据扇区而不解压;其中,所述元数据包括所述原始数据扇区的压缩长度的值,并且所述值可以用于在使用所述DRK解密所述压缩数据之后解压所述压缩数据。5.根据权利要求4所述的方法,其中,所述存储系统通过以下方式来发送加密的数据扇区:在所述存储系统处,确定存储的扇区是否包括填充数据;当所述存储的扇区包括填充数据时,在所述存储系统处使用所述DRK加密所述存储的扇区以形成所述加密的扇区,并且向所述计算机系统发送所述加密的扇区;以及当所述存储的扇区不包括填充数据时,向所述计算机系统发送所述存储的扇区作为所
述加密的扇区。6.根据权利要求1所述的方法,进一步包括使用所述DEK和初始化向量对数据进行加密,从而使得:当将所述数据发送到支持去重的存储系统时,在所述计算机系统处生成对于相同数据的不同扇区相同的初始化向量;以及将所述初始化向量添加为元数据的一部分,以供将来使用DEK进行解密;以及当所述数据为不可压缩的时,则基于扇区号来生成初始化向量。7.根据权利要求6所述的方法,其中,所述使用DEK进行解密是使用所述元数据中包括的所述初始化向量执行的。8.一种系统,包括处理器、可由所述处理器访问的存储器、存储在所述存储器中且可由所述处理器执行的计算机程序指令、以及存储在所述存储器中且可由所述处理器访问以执行以下操作的数据:通过生成包括第一部分和第二部分的新数据扇区来压缩原始数据扇区,所述第一部分包括元数据和填充数据,所述第二部分包括已压缩并用数据加密密钥(DEK)加密的原始数据扇区;使用数据还原密钥(DRK)对所述新数据扇区进行加密;以及将所述加密的新数据扇区发送到存储系统。9.根据权利要求8所述的系统,进一步包括:当已被压缩的原始数据扇区已被压缩小于预定量时,不压缩原始数据扇区;使用数据加密密钥(DEK)对未压缩的原始数据扇区进行加密;以及将所述加密的未压缩的原始数据扇区发送到存储系统。10.根据权利要求9所述的系统,其中:所述存储系统使用所述DRK对从所述计算机系统发送的所述扇区中的至少一些扇区进行解密,并且使用可压缩模式的存在或不存在来确定所发送的数据是否为压缩的;当确定所述扇区并非为压缩的时,则存储系统存储未压缩的原始数据扇区而不进行修改;当确定所述扇区为压缩的时,所述存储系统使用所述DRK解密所述主机发送的所述扇区,并存储解密的新数据扇区;以及当所述存储系统具有内置压缩能力时,所述存储系统利用所述可压缩模式来节省存储空间。11.根据权利要求10所述的系统,进一步包括:从所述存储系统接收加密的数据扇区;使用所述DRK解密所述加密的数据扇区的至少一个扇区;基于在所述解密的数据扇区的至...
【专利技术属性】
技术研发人员:D陈,E兹法迪亚,D哈尼克,M法克特,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。