授权加密制造技术

一种计算机程序产品包括一个或多个计算机可读存储介质，以及共同存储在所述一个或多个计算机可读存储介质上的程序指令，包括用于将应用认证为被授权执行加密的程序指令和用于在经认证的加密层处接收数据的程序指令。该计算机程序产品还包括用于使用加密密钥来对数据进行加密的程序指令，其中加密密钥对应用不可用，以及用于生成加密数据的水印令牌的程序指令。该计算机程序产品还包括用于使用水印令牌和水印密钥生成加密数据的水印的程序指令，以及用于将加密数据、水印令牌和水印发送到存储系统的程序指令。存储系统被配置为使用水印密钥来验证加密数据以用于存储。水印密钥来验证加密数据以用于存储。水印密钥来验证加密数据以用于存储。

【技术实现步骤摘要】
【国外来华专利技术】授权加密


[0001]本专利技术总体上涉及加密，并且更具体地涉及云存储系统和网络中的授权加密。

技术介绍

[0002]数据的未授权加密，诸如由攻击者用受害者未知的密钥来对受害者的数据进行加密，是主要的安全问题。这样的勒索软件类型攻击造成了对受害者的服务拒绝，这可能是昂贵的或者不可能从中恢复。例如，这样的攻击包括勒索软件攻击，其中要求赎金来交换解锁受害者的数据所需的加密密钥。
[0003]恶意软件还可以和/或替代地在渗漏型(exfiltration
‑
type)攻击中在未授权的情况下执行未授权的数据传输(例如，数据被复制、传输、检索等)。
[0004]需要一种方法来确保系统中的加密数据已经以授权的方式被加密，使得数据所有者能够解密该数据。

技术实现思路

[0005]根据本专利技术的一个方面的授权加密方案可以验证加密是由授权的加密层执行的，而不是未授权的过程。由此，将有利地阻止勒索软件类型攻击。通过要求数据由被允许使用授权加密的经认证和/或经证明的应用使用授权加密来加密，也将高度限制渗漏型攻击。
[0006]根据一种方法，一种计算机程序产品包括一个或多个计算机可读存储介质，以及共同存储在所述一个或多个计算机可读存储介质上的程序指令，所述程序指令包括用于将应用认证为被授权执行加密的程序指令，以及用于在经认证的加密层处接收数据的程序指令。所述程序指令包括用于使用加密密钥对所述数据进行加密的程序指令，其中所述加密密钥对所述应用不可用，以及用于生成加密数据的水印令牌的程序指令。所述程序指令包括用于使用水印令牌和水印密钥生成加密数据的水印的程序指令，以及用于将加密数据、水印令牌和水印发送到存储系统的程序指令。所述存储系统被配置为使用水印密钥验证加密数据以用于存储。该计算机程序产品有利地提供了验证加密是由授权的加密层执行的而不是未授权的过程的能力。
[0007]所述计算机程序产品可选地包括用于在加密之前通过预过滤器功能确定数据是否以未知的加密密钥被预加密的程序指令，以及用于响应于确定数据被预加密而阻止使用加密密钥对数据进行加密的程序指令。这种可选的方法提供了抵抗勒索软件类型攻击的附加安全层。
[0008]根据一种方法，一种计算机实现的方法包括：将应用认证为被授权执行加密；在经认证的加密层处接收数据；使用加密密钥对所述数据进行加密，其中所述加密密钥对所述应用不可用；生成加密数据的水印令牌；使用所述水印令牌和水印密钥生成所述加密数据的水印；以及将所述加密数据、所述水印令牌和所述水印发送到存储系统。存储系统被配置为使用水印密钥来验证加密数据以用于存储。所述计算机实现的方法有利地提供了验证加密是由授权的加密层执行的而不是未授权的过程的能力。
[0009]根据另一种方法，一种计算机程序产品包括一个或多个计算机可读存储介质，以及共同存储在所述一个或多个计算机可读存储介质上的程序指令，所述程序指令包括用于在存储系统处接收加密数据、水印令牌、元数据和所述加密数据的第一水印的程序指令，以及用于接收与所述元数据相关联的水印密钥的程序指令。所述程序指令包括用于使用所述水印令牌和所述水印密钥生成所述加密数据的第二水印的程序指令，以及用于将所述加密数据的所述第二水印与所述加密数据的所述第一水印进行比较的程序指令。所述计算机程序产品有利地提供了在写入块之前和/或在读取块之后验证由存储系统进行的授权加密的能力。验证失败的块不被写入存储装置，或者类似地，读取不被返回给请求者。
[0010]所述计算机程序产品可选地包括用于响应于确定第二水印与第一水印不匹配而向用户发送警报的程序指令。这种可选的方法提供了警告用户数据在到达存储系统之前可能已经被篡改的能力。
[0011]根据一种方法，一种计算机实现的方法包括在存储系统处接收加密数据、水印令牌、元数据和所述加密数据的第一水印，接收与所述元数据相关联的水印密钥，使用所述水印令牌和所述水印密钥生成所述加密数据的第二水印，以及将所述加密数据的所述第二水印与所述加密数据的所述第一水印进行比较。所述计算机实现的方法有利地提供了在写入块之前和/或在读取块之后验证由存储系统进行的授权加密的能力。验证失败的块不被写入存储装置，或者类似地，读取不被返回给请求者。
[0012]根据另一种方法，一种计算机程序产品包括一个或多个计算机可读存储介质，以及共同存储在所述一个或多个计算机可读存储介质上的程序指令，所述程序指令包括用于将应用认证为被授权执行加密的程序指令，以及用于在经认证的加密层处接收数据的程序指令。所述程序指令包括用于使用加密密钥对所述数据进行加密的程序指令，其中所述加密密钥对所述应用不可用，以及用于使用混合密钥来生成所述加密数据的水印令牌的程序指令。所述程序指令还包括使用水印令牌和水印密钥生成加密数据的水印的程序指令，以及将加密数据、水印令牌和水印发送到存储系统的程序指令。所述存储系统被配置为使用水印密钥来验证加密数据以用于存储。所述计算机程序产品提供了使用对水印处理的修改(例如，混合密钥)来检测授权加密验证器对水印的更改的能力。
[0013]该计算机程序产品可选地包括，其中水印是密钥散列消息认证码。这种可选的方法生成了加密数据的不可伪造表示，称为水印令牌，其提供了防止伪造的附加安全性。
[0014]从以下详细描述中，本专利技术的其它方面和方法将变得显而易见，当结合附图时，以下详细描述通过示例的方式示出了本专利技术的原理。
附图说明
[0015]图1描绘了根据本专利技术一个方面的云计算环境。
[0016]图2描绘了根据本专利技术的一个方面的抽象模型层。
[0017]图3是根据本专利技术的一个方面的高级架构的图。
[0018]图4是根据本专利技术的一个方面的高级架构的图。
[0019]图5是根据本专利技术的一个方面的方法的流程图。
[0020]图6是根据本专利技术的一个方面的方法的流程图。
具体实施方式
[0021]以下描述是为了说明本专利技术的一般原理的目的，并且不意味着限制本文要求保护的专利技术概念。此外，本文所述的特定特征可与其它所述特征以各种可能的组合和排列组合来使用。
[0022]除非本文另有明确定义，否则所有术语将被给予其最广泛的可能解释，包括说明书中暗示的含义以及本领域技术人员理解的和/或词典、论文等中定义的含义。
[0023]还必须注意，如在说明书和所附权利要求书中所使用的，单数形式“一”、“一个”和“该”包括复数对象，除非另有说明。还将理解，术语“包括”和/或“包含”在本说明书中使用时，指定所陈述的特征、整数、步骤、操作、元素和/或组件的存在，但不排除一个或多个其它特征、整数、步骤、操作、元素、组件和/或其群组的存在或添加。
[0024]以下描述公开了检测授权加密和阻止使用未授权加密来加密的数据的存储的若干方面。
[0025]在一个一般方面，一种计算机程序产品包括一个或多个计算机可读存储介质，以及共同存储在所述一个或多个计算机可读存储介质上的程序指令，所述程序指令包括用于将本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算机程序产品，包括：一个或多个计算机可读存储介质，以及共同存储在所述一个或多个计算机可读存储介质上的程序指令，所述程序指令能够由计算机执行以：将应用认证为被授权执行加密，在经认证的加密层处接收数据，使用加密密钥对所述数据进行加密，其中所述加密密钥对所述应用不可用，生成加密数据的水印令牌，使用所述水印令牌和水印密钥生成所述加密数据的水印；以及将所述加密数据、所述水印令牌和所述水印发送到存储系统，其中所述存储系统被配置为使用所述水印密钥验证所述加密数据以用于存储。2.根据权利要求1所述的计算机程序产品，其中用于生成所述加密数据的水印令牌的程序指令使用混合密钥。3.根据权利要求1或权利要求2所述的计算机程序产品，其中所述水印是密钥散列消息认证码。4.根据权利要求1或权利要求2所述的计算机程序产品，还包括能够执行以进行以下操作的程序指令：响应于将所述应用认证为被授权执行加密，请求用于所述数据的所述加密密钥；以及请求用于所述数据的所述水印密钥。5.根据权利要求1或权利要求2所述的计算机程序产品，还包括用于进行以下操作的程序指令：在所述加密之前，通过预过滤器功能确定数据是否以未知的加密密钥被预加密；以及响应于确定所述数据被预加密，阻止使用所述加密密钥对所述数据进行加密。6.根据权利要求1或权利要求2所述的计算机程序产品，包括：用于响应于确定所述应用未被授权执行加密而阻止使用所述加密密钥对所述数据进行加密的程序指令。7.一种计算机程序产品，包括：一个或多个计算机可读存储介质，以及共同存储在所述一个或多个计算机可读存储介质上的程序指令，所述程序指令包括：用于在存储系统处接收加密数据、水印令牌、元数据和所述加密数据的第一水印的程序指令，用于接收与所述元数据相关联的水印密钥的程序指令，用于使用所述水印令牌和所述水印密钥生成所述加密数据的第二水印的程序指令；以及用于将所述加密数据的所述第二水印与所述加密数据的所述第一水印进行比较的程序指令。8.根据权利要求7所述的计算机程序产品，包括响应于确定所述第二水印与所述第一水印匹配，存储所述加密数据和所述第一水印。9.根据权利要求7所述的计算机程序产品，包括：用于响应于确定所述第二水印与所述第一水印不匹配而阻止所述加密数据和所述第
一水印的存储的程序指令。10.根据权利要求9所述的计算机程序产品，包括：用...

【专利技术属性】
技术研发人员：G，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：