【技术实现步骤摘要】
【国外来华专利技术】多密钥加密数据去重
技术介绍
[0001]本专利技术涉及数据去重,并且更具体地,本专利技术涉及云存储系统和网络中的多密钥加密数据去重。
[0002]诸如去重和/或压缩等常规数据简化技术在应用于加密数据时不提供有意义的简化。对各自用唯一加密密钥加密的多个数据集的去重在各种加密算法阻止常规去重过程标识重复数据块的情况下出故障。常规的数据简化技术在客户端和存储系统之间也不提供足够的数据隐私。
[0003]例如,一种已知的携带自己的密钥(BYOK)加密技术涉及多方信任系统。尽管可以由能够访问所有数据的存储系统提供所有的数据简化功能,但是因为存储系统能够访问客户端密钥,所以常规的BYOK系统在存储系统和客户端之间不提供数据隐私。第三方密钥服务也可以访问用于加密客户端数据的共享加密密钥。数据隐私只存在于这种形式的BYOK加密的用户之间。
[0004]常规静止(at
‑
rest)加密用存储系统已知的密钥对未加密的输入数据进行加密。存储系统可以解密所有数据并对系统中的所有数据执行去重。然而,静止加密不提供数据隐私。
[0005]常规的完全客户端加密利用存储系统未知的密钥来加密数据。存储系统仅对用公钥加密的数据进行去重。完全客户端去重提供了相对较高的数据隐私,但阻碍了去重效率。
技术实现思路
[0006]从第一方面来看,本专利技术提供了一种计算机实现的方法,其包括向存储系统发送密钥组信息。密钥组信息包括用于密钥组中的客户端数据密钥的密钥ID信息。客户端数据密钥使得能够对在密钥组中的任何客户端数据 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种计算机实现的方法,包括:向存储系统发送密钥组信息,其中,所述密钥组信息包括针对所述密钥组中的客户端数据密钥的密钥ID信息,其中,所述客户端数据密钥使得能够对以所述密钥组中的任何所述客户端数据密钥加密的数据块进行去重;生成去重信息,其中,所述去重信息包括与客户端数据块相关联的指纹;采用所述客户端数据密钥中的一个客户端数据密钥加密所述数据块,其中,针对所加密的数据块的对应的解密密钥对所述存储系统不可用;将所述去重信息发送到所述存储系统,以通过所述存储系统在去重过程中使用;以及将所述加密的数据块发送到所述存储系统。2.根据权利要求1所述的计算机实现的方法,其中,响应于来自所述存储系统的请求,将加密的数据块发送到所述存储系统,其中,来自所述存储系统的所述请求还请求标识用于加密所述数据块中的每个数据块的所述客户端数据密钥的所述密钥ID信息。3.根据权利要求1所述的计算机实现的方法,其中,所述客户端数据密钥中的每个客户端数据密钥是从组中选择的类型的密钥,所述组包括:客户端秘密密钥和客户端去重密钥。4.根据权利要求3所述的计算机实现的方法,其中,来自所述存储系统的所述请求针对与未被识别用于由所述存储系统去重的数据块相关联的客户端数据,所述方法包括发送与以客户端秘密密钥加密的所述数据块相关联的所述客户端数据。5.根据权利要求1所述的计算机实现的方法,还包括响应于来自所述存储系统的对与被识别用于由所述存储系统去重的数据块相关联的客户端数据的请求,发送与以客户端去重密钥加密的所述数据块相关联的所述客户端数据。6.根据权利要求1所述的计算机实现的方法,还包括:在将所述去重信息发送到所述存储系统之前,采用客户端秘密指纹密钥对所述指纹进行加密。7.根据权利要求1所述的计算机实现的方法,还包括:从所述存储系统请求所述客户端数据;以及接收所述客户端数据作为所述数据块,其中,采用所述客户端秘密密钥对所述数据块中的一个或多个数据块加密,并且采用所述客户端去重密钥对所述数据块中的一个或多个其他数据块加密。8.一种计算机实现的方法,包括:在存储系统处接收密钥组信息,其中,所述密钥组信息包括所述密钥组中的客户端数据密钥的密钥ID信息,其中,所述客户端数据密钥使得能够对以所述密钥组中的任何所述客户端数据密钥加密的数据块进行去重;接收加密的客户端数据,以存储在存储系统中;接收去重信息,其中,所述去重信息能够由所述存储系统访问以用于在其上执行操作,其中,所述去重信息包括与所加密的客户端数据块相关联的指纹;基于所述去重信息来标识用于去重的数据块;以及对于未被标识用于去重的数据块,请求与以所述客户端数据密钥中的一个客户端数据密钥加密的所述数据块相关联的客户端数据。9.根据权利要求8所述的计算机实现的方法,其中,所述客户端数据密钥中的每个客户
端数据密钥是从组中选择的类型的密钥,所述组包括:客户端秘密密钥和客户端去重密钥。10.根据权利要求8所述的计算机实现的方法,还包括:响应于来自所述客户端的对客户端数据的请求,识别与所述数据请求相关联的所述数据块;取得与所述数据块相关联的元数据,其中,所述元数据包括所述密钥ID信息;基于所述元数据取得与所述数据请求相关联的所述加密的客户端数据;以及将所述加密的客户端数据发送到所述客户端。11.根据权利要求8所述的计算机实现的方法,其中,所述密钥ID信息标识用于加密与所述数据请求相关联的所述数据块中的每个数据块的所述客户端数据密钥。12.根据权利要求8所述的计算机实现的方法,其中,采用客户端秘密指纹密钥对所述指纹加密,其中,所述客户端秘密指纹密钥对所述存储系统不可用。13.根据权利要求9所述的计算机实现的方法,还包括:识别存储在所述存储系统中的以所述客户端数据密钥中的一个客户端数据密钥加密的数据块;以及请求与在所述客户端去重密钥中加密的所述数据块相关联的客户端数据。14.一种系统,包括:处理器;以及与所述处理器集成的、能够由所述处理器执行的、或者与所述处理器集成并能够由所述处理器集成的逻辑,所述逻辑被配置为:向存储系统发送密钥组信息,其中,所述密钥组信息包括针对所述密钥组中的客户端数据密钥的密钥ID信息,其...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。