多密钥加密数据去重制造技术

一种计算机实现的方法包括向存储系统发送密钥组信息。密钥组信息包括用于密钥组中的客户端数据密钥的密钥ID信息。客户端数据密钥使得能够对以密钥组中的任何客户端数据密钥加密的数据块进行去重。该方法还包括生成去重信息。去重信息包括与客户端数据块相关联的指纹。该方法还包括用客户端数据密钥中的一个客户端数据密钥来加密数据块，其中对于存储系统经加密的数据块的对应解密密钥是不可用的。该方法包括将去重信息发送到存储系统以供存储系统在去重过程中使用，以及将加密的数据块发送到存储系统。送到存储系统。送到存储系统。

【技术实现步骤摘要】
【国外来华专利技术】多密钥加密数据去重

技术介绍

[0001]本专利技术涉及数据去重，并且更具体地，本专利技术涉及云存储系统和网络中的多密钥加密数据去重。
[0002]诸如去重和/或压缩等常规数据简化技术在应用于加密数据时不提供有意义的简化。对各自用唯一加密密钥加密的多个数据集的去重在各种加密算法阻止常规去重过程标识重复数据块的情况下出故障。常规的数据简化技术在客户端和存储系统之间也不提供足够的数据隐私。
[0003]例如，一种已知的携带自己的密钥(BYOK)加密技术涉及多方信任系统。尽管可以由能够访问所有数据的存储系统提供所有的数据简化功能，但是因为存储系统能够访问客户端密钥，所以常规的BYOK系统在存储系统和客户端之间不提供数据隐私。第三方密钥服务也可以访问用于加密客户端数据的共享加密密钥。数据隐私只存在于这种形式的BYOK加密的用户之间。
[0004]常规静止(at
‑
rest)加密用存储系统已知的密钥对未加密的输入数据进行加密。存储系统可以解密所有数据并对系统中的所有数据执行去重。然而，静止加密不提供数据隐私。
[0005]常规的完全客户端加密利用存储系统未知的密钥来加密数据。存储系统仅对用公钥加密的数据进行去重。完全客户端去重提供了相对较高的数据隐私，但阻碍了去重效率。

技术实现思路

[0006]从第一方面来看，本专利技术提供了一种计算机实现的方法，其包括向存储系统发送密钥组信息。密钥组信息包括用于密钥组中的客户端数据密钥的密钥ID信息。客户端数据密钥使得能够对在密钥组中的任何客户端数据密钥中加密的数据块进行去重。该方法还包括生成去重信息。去重信息包括与客户端数据块相关联的指纹。该方法还包括用客户端数据密钥中的一个来加密数据块，其中加密的数据块的对应解密密钥对存储系统不可用。该方法包括将去重信息发送到存储系统以供存储系统在去重过程中使用，以及将加密的数据块发送到存储系统。前述方法提供了能够跨越以数据密钥集中的任何数据密钥加密的数据进行去重而存储系统不能访问数据密钥的益处。
[0007]优选地，本专利技术提供了一种计算机实现的方法，其中响应于来自存储系统的请求将加密的数据块发送到存储系统，其中来自存储系统的请求还请求标识用于加密每个数据块的客户端数据密钥的密钥ID信息。
[0008]优选地，本专利技术提供了一种计算机实现的方法，其中，每个客户端数据密钥是从包括以下各项的组中选择的类型的密钥：客户端秘密密钥和客户端去重密钥。
[0009]优选地，本专利技术提供了一种计算机实现的方法，其中来自存储系统的请求针对与未被识别为用于由存储系统去重的数据块相关联的客户端数据，该方法包括发送与在客户端秘密密钥中加密的数据块相关联的客户端数据。
[0010]优选地，本专利技术提供了一种计算机实现的方法，该方法进一步包括响应于来自存
储系统的对与被存储系统标识用于去重的数据块相关联的客户端数据的请求，发送与在客户端去重密钥中加密的数据块相关联的客户端数据。
[0011]优选地，本专利技术提供了一种计算机实现的方法，还包括：在将去重信息发送到存储系统之前，利用客户端秘密指纹密钥对指纹进行加密。
[0012]优选地，本专利技术提供了一种计算机实现的方法，还包括：从存储系统请求客户端数据；以及接收作为数据块的客户端数据，其中，数据块中的一个或多个数据块是利用客户端秘密密钥加密的，并且数据块中的一个或多个其他数据块是利用客户端去重密钥加密的。
[0013]从另一方面来看，本专利技术提供了一种计算机实现的方法，包括：在存储系统处接收密钥组信息，其中密钥组信息包括密钥组中的客户端数据密钥的密钥ID信息，其中客户端数据密钥使得能够对在密钥组中的任何所述客户端数据密钥中加密的数据块进行去重；接收加密的客户端数据以存储在存储系统中；接收去重信息，其中去重信息可由存储系统访问以用于在其上执行操作，其中去重信息包括与加密的客户端数据的块相关联的指纹；基于去重信息来标识用于去重的数据块；以及对于未被标识用于去重的数据块，请求与在客户端数据密钥之一中加密的数据块相关联的客户端数据。
[0014]优选地，本专利技术提供了一种计算机实现的方法，其中，每个客户端数据密钥是从包括以下各项的组中选择的类型的密钥：客户端秘密密钥和客户端去重密钥。
[0015]优选地，本专利技术提供了一种计算机实现的方法，还包括响应于来自客户端的对客户端数据的请求，标识与该数据请求相关联的数据块；取得与数据块相关联的元数据，其中元数据包括密钥ID信息；基于元数据取得与数据请求相关联的加密的客户端数据；将加密后的客户端数据发送到客户端。
[0016]优选地，本专利技术提供了一种计算机实现的方法，其中密钥ID信息标识用于加密与数据请求相关联的数据块中的每一个的客户端数据密钥。
[0017]优选地，本专利技术提供了一种计算机实现的方法，其中，利用客户端秘密指纹密钥来加密指纹，其中，客户端秘密指纹密钥对存储系统不可用。
[0018]优选地，本专利技术提供了一种计算机实现的方法，还包括：识别存储在存储系统中的以客户端数据密钥中的一个加密的数据块；以及请求与在客户端去重密钥中加密的数据块相关联的客户端数据。
[0019]从另一方面来看，本专利技术提供了一种系统，包括：处理器；以及与处理器集成的、可由处理器执行的、或者与处理器集成并可由处理器集成的逻辑，该逻辑被配置为：向存储系统发送密钥组信息，其中密钥组信息包括密钥组中的客户端数据密钥的密钥ID信息，其中客户端数据密钥使得能够对在密钥组中的客户端数据密钥中的任何客户端数据密钥中加密的数据块进行去重；生成去重信息，其中去重信息包括与客户端数据块相关联的指纹；用客户端数据密钥中的一个来加密数据块，其中，用于加密的数据块的对应的解密密钥对于存储系统不可用；将去重信息发送到存储系统以供存储系统在去重过程中使用；以及将加密的数据块发送到存储系统。
[0020]优选地，本专利技术提供了一种系统，其中响应于来自存储系统的请求将加密的数据块发送到存储系统，其中来自存储系统的请求还请求标识用于加密每个数据块的客户端数据密钥的密钥ID信息。
[0021]优选地，本专利技术提供一种系统，其中每个客户端数据密钥是从包括以下各项的组
中选择的类型的密钥：客户端秘密密钥和客户端去重密钥。
[0022]优选地，本专利技术提供了一种系统，其中来自存储系统的请求针对与未被存储系统标识用于去重的数据块相关联的客户端数据，该系统包括被配置为发送与在客户端秘密密钥中加密的数据块相关联的客户端数据的逻辑。
[0023]优选地，本专利技术提供了一种系统，还包括逻辑，该逻辑被配置为响应于来自存储系统的对与被存储系统标识为去重的数据块相关联的客户端数据的请求，发送与在客户端去重密钥中加密的数据块相关联的客户端数据。
[0024]优选地，本专利技术提供一种系统，进一步包括逻辑，其被配置为在向存储系统发送去重信息之前利用客户端秘密指纹密钥对指纹进行加密。
[0025]从另一方面来看，本专利技术提供了一种系统，该系统还包括：处理器本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算机实现的方法，包括：向存储系统发送密钥组信息，其中，所述密钥组信息包括针对所述密钥组中的客户端数据密钥的密钥ID信息，其中，所述客户端数据密钥使得能够对以所述密钥组中的任何所述客户端数据密钥加密的数据块进行去重；生成去重信息，其中，所述去重信息包括与客户端数据块相关联的指纹；采用所述客户端数据密钥中的一个客户端数据密钥加密所述数据块，其中，针对所加密的数据块的对应的解密密钥对所述存储系统不可用；将所述去重信息发送到所述存储系统，以通过所述存储系统在去重过程中使用；以及将所述加密的数据块发送到所述存储系统。2.根据权利要求1所述的计算机实现的方法，其中，响应于来自所述存储系统的请求，将加密的数据块发送到所述存储系统，其中，来自所述存储系统的所述请求还请求标识用于加密所述数据块中的每个数据块的所述客户端数据密钥的所述密钥ID信息。3.根据权利要求1所述的计算机实现的方法，其中，所述客户端数据密钥中的每个客户端数据密钥是从组中选择的类型的密钥，所述组包括：客户端秘密密钥和客户端去重密钥。4.根据权利要求3所述的计算机实现的方法，其中，来自所述存储系统的所述请求针对与未被识别用于由所述存储系统去重的数据块相关联的客户端数据，所述方法包括发送与以客户端秘密密钥加密的所述数据块相关联的所述客户端数据。5.根据权利要求1所述的计算机实现的方法，还包括响应于来自所述存储系统的对与被识别用于由所述存储系统去重的数据块相关联的客户端数据的请求，发送与以客户端去重密钥加密的所述数据块相关联的所述客户端数据。6.根据权利要求1所述的计算机实现的方法，还包括：在将所述去重信息发送到所述存储系统之前，采用客户端秘密指纹密钥对所述指纹进行加密。7.根据权利要求1所述的计算机实现的方法，还包括：从所述存储系统请求所述客户端数据；以及接收所述客户端数据作为所述数据块，其中，采用所述客户端秘密密钥对所述数据块中的一个或多个数据块加密，并且采用所述客户端去重密钥对所述数据块中的一个或多个其他数据块加密。8.一种计算机实现的方法，包括：在存储系统处接收密钥组信息，其中，所述密钥组信息包括所述密钥组中的客户端数据密钥的密钥ID信息，其中，所述客户端数据密钥使得能够对以所述密钥组中的任何所述客户端数据密钥加密的数据块进行去重；接收加密的客户端数据，以存储在存储系统中；接收去重信息，其中，所述去重信息能够由所述存储系统访问以用于在其上执行操作，其中，所述去重信息包括与所加密的客户端数据块相关联的指纹；基于所述去重信息来标识用于去重的数据块；以及对于未被标识用于去重的数据块，请求与以所述客户端数据密钥中的一个客户端数据密钥加密的所述数据块相关联的客户端数据。9.根据权利要求8所述的计算机实现的方法，其中，所述客户端数据密钥中的每个客户
端数据密钥是从组中选择的类型的密钥，所述组包括：客户端秘密密钥和客户端去重密钥。10.根据权利要求8所述的计算机实现的方法，还包括：响应于来自所述客户端的对客户端数据的请求，识别与所述数据请求相关联的所述数据块；取得与所述数据块相关联的元数据，其中，所述元数据包括所述密钥ID信息；基于所述元数据取得与所述数据请求相关联的所述加密的客户端数据；以及将所述加密的客户端数据发送到所述客户端。11.根据权利要求8所述的计算机实现的方法，其中，所述密钥ID信息标识用于加密与所述数据请求相关联的所述数据块中的每个数据块的所述客户端数据密钥。12.根据权利要求8所述的计算机实现的方法，其中，采用客户端秘密指纹密钥对所述指纹加密，其中，所述客户端秘密指纹密钥对所述存储系统不可用。13.根据权利要求9所述的计算机实现的方法，还包括：识别存储在所述存储系统中的以所述客户端数据密钥中的一个客户端数据密钥加密的数据块；以及请求与在所述客户端去重密钥中加密的所述数据块相关联的客户端数据。14.一种系统，包括：处理器；以及与所述处理器集成的、能够由所述处理器执行的、或者与所述处理器集成并能够由所述处理器集成的逻辑，所述逻辑被配置为：向存储系统发送密钥组信息，其中，所述密钥组信息包括针对所述密钥组中的客户端数据密钥的密钥ID信息，其...

【专利技术属性】
技术研发人员：S，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：