用于独立代理的数据加密转换制造技术

可用独立密码代理来执行数据的重新加密，所述独立密码代理可根据密码区域来自动加密及解密数据，以使得单个密码区域内的数据用相同的密钥加密及解密。可通过从现有密码区域中的块中读取数据，收缩现有密码区域超过该块，将替换密码区域扩展到该块上并随后将数据写回至现在是替换密码区域的一部分的相同位置来执行“原地”的重新加密。可通过从现有密码区域中的块中读取数据，并随后将该数据写回至与作为替换密码区域的一部分的直接相邻的位置来执行“非原地”重新加密。在所述经重新加密的数据被“移位”后，可适当地扩展及收缩各密码区域，并选择另一块。

【技术实现步骤摘要】

本专利技术涉及数据加密，尤其涉及用于独立代理的数据加密转换。
技术介绍
传统上，计算机可读数据通常由诸如硬盘驱动器等包括其上存储有计算机可读数据的计算机可读介质的数据存储硬件设备来存储。为了防止对数据的未授权的访问，尤其是在例如通过盗窃或遗失而取得对数据存储硬件的物理访问的情况下，开发了 “全卷加密” 概念，藉此以加密方式来存储属于数据卷的数据。因为全卷加密基本上被应用于数据卷中的所有数据，所以它提供比先前所使用的单独文件加密技术更大的保护。因此，即使数据存储设备被盗并被通信耦合至缺少会防止对来自该数据存储设备的数据的未授权访问的可执行指令的计算设备，该数据也仍然可得到保护，因为它是以加密方式物理地存储的。为了增加这样的全卷加密的效率，对数据进行加密和解密的任务可以由与存储设备本身相关联的硬件来执行，而非由主计算设备的中央处理单元来执行。或者，数据的加密和解密以及对加密转换的控制可由中间元件来执行，所述中间元件可作为或不作为存储设备的一部分，并且同样可作为或不作为主计算设备的中央处理单元的一部分。在任一情况下，这些设备将仍然使得该存储设备对于诸如操作系统或应用软件等较高层组件而言，作为传统存储设备出现。然而，在接收到供存储的数据时，该数据在被存储在存储介质上之前可被自动地加密，并且类似地在读取数据时，该数据在被提供给更高层组件之前可首先被解密。通常，包括硬件密码支持或被通信耦合至中间密码元件的存储设备利用单个密钥来加密和解密所有或者基本上所有存储在特定范围的存储位置，或者“地址”中的数据，并利用另一不同的密钥来加密和解密存储在不同范围的存储地址中的数据。包括由单个密钥加密的数据的地址范围传统上被称为“带”或“区域”，并且此存储设备的带或区域通常由存储设备通信耦合的计算设备来配置。
技术实现思路
在许多情况下，从安全的观点来看，改变用于加密和随后解密存储在存储介质上的数据的密钥、密码算法、或者两者可以是有利的。通常，这些情况与其中密钥或保护它的另一密钥已经被无意地公开或以其他方式被看作不再是秘密的情况相关联。用于加密和解密数据的密钥的改变包括利用新密钥来重新加密数据。在一实施例中，存储在与“现有”密钥相关联的“现有”加密区域中的加密数据可被读取并随后被写入至不同的“替换”加密区域，所述替换加密区域与不同于现有密钥的 “替换”密钥相关联，并且由此影响用于保护该数据的密钥的改变。来自现有加密区域的数据块可被读取并被写入至可与该现有加密区域相邻的替换加密区域。该现有加密区域可随后被缩小以排除该数据块的地址，而该替换加密区域可随后被扩大以便包括该数据块的地址。可随后对现有加密区域中的每一数据块重复这样的过程，在先前操作的数据块的位置中，每一数据块被写入至替换加密区域，从而导致一旦完成重新加密之后数据的“移位”。在另一实施例中，来自现有加密区域的数据块可被读取并被维持在存储器中，同时收缩该现有加密区域以排除该数据块的地址，并且随后扩张替换加密区域以包括该数据块的地址。保留在存储器中的数据可随后被写回同一位置，该位置现在是替换加密区域的一部分，并且因此该数据在被写回时可以用替换密钥来加密。同样地，可以对现有加密区域中的每一数据块重复此过程，不同之处在于，因为该数据被写回同一位置，所以不存在作为重新加密的结果的“移位”。在又一实施例中，可以执行重新加密，同时包括被重新加密的数据的存储设备保持“在线”并且可由与它通信耦合的一个或多个计算设备访问。在此又一实施例中，定向到当前被重新加密的特定数据块的数据读和数据写可被拖延，直至完成这样的重新加密为止。或者，只有数据写可被拖延，而数据读可被重定向，如重定向至出于容错目的而作出的存储器内副本或冗余副本。在还有另一实施例中，通过使用在现有加密区域的收缩之前可将正被重新加密的数据块的副本复制到其中的记录位置，可使得将重新加密的数据存回相同的位置中的重新加密具有容错性。在后续数据块的重新加密开始之前，可清除该记录位置以避免故障情况下的后续混淆。另外，可利用诸如直写(write through)或者转储清除高速缓存语意等已知机制来确保写入记录位置的数据以非易失性方式被保留。在其他实施例中，如果对经重新加密的块的数据写被拖延直到来自将被重新加密的后续块中的数据被复制到该记录位置，那么可跳过清除该记录位置的步骤。同样，可计算并在记录位置中存储正被重新加密的块的扇区摘要，而非将来自正被重新加密的块中的数据复制到该记录位置。提供本
技术实现思路
以便以简化形式介绍将在以下的具体实施方式中进一步描述的一些概念。本
技术实现思路
并不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在用于限定所要求保护的主题的范围。通过下面的结合附图对本专利技术进行的具体实施方式，本专利技术的附加特征和优点将变得更加显而易见。附图说明通过参考各个附图，可以更好地理解如下具体实施方式，其中图1是具有硬件加密存储设备的示例性计算设备的框图；图2是示例性的数据的离线、原地重新加密的框图；图3是示例性的数据的在线、原地重新加密的框图；图4是示例性的数据的容错的、离线、原地重新加密的框图；图5是示例性的数据的容错的、在线、原地重新加密的框图；图6是另一示例性的数据的容错的、在线、原地重新加密的框图；图7是又一示例性的数据的容错的、在线、原地重新加密的框图；图8是示例性的数据的离线、非原地重新加密的框图；图9是示例性的数据的在线、非原地重新加密的框图；图10是数据的示例性重新加密的流程图11是示例性的数据的离线、原地重新加密的流程图；图12是示例性的数据的容错的、离线、原地重新加密的流程图；图13是另一示例性的数据的容错的、离线、原地重新加密的流程图；图14是示例性数据的在线、原地重新加密的流程图；图15是示例性的数据的容错的、在线、原地重新加密的流程图；图16是另一示例性的数据的容错的、在线、原地重新加密的流程图；图17是又一示例性的数据的容错的、在线、原地重新加密的流程图；图18是示例性的数据的离线、非原地重新加密的流程图；以及图19是示例性的数据的在线、非原地重新加密的流程图。具体实施例方式以下描述涉及可使用及利用独立加密代理来执行加密操作的重新加密机制。数据的重新加密可“原地”执行，以使得经重新加密的数据被存储在与先前经加密的数据相同的诸如由存储地址等所确定的“位置”。或者，数据的重新加密可“非原地”执行，以使得经重新加密的数据被“移位”，或者存储在与存储先前经加密的数据的位置相邻的位置中。数据的重新加密可“在线”执行，以使得诸如数据卷等被重新加密的数据整个集合保持可由在通信耦合至存储数据的存储设备的一个或多个计算设备上执行的计算机可执行指令访问。或者，数据的重新加密可“离线”执行，以使得数据不可由在通信耦合至存储数据的存储设备的一个或多个计算设备上执行的计算机可执行指令访问。对于数据的原地重新加密，可通过可任选地将被重新加密的数据块复制到记录位置来实现容错，从所述记录位置可在一个或多个故障的情况中恢复被重新加密的数据块。可任选地，可诸如通过已知函数等来计算摘要，而非复制数据本身，并可将摘要存储在记录位置中。同样可任选地，如果对前一已经被重新加密的数据块的改变被拖延直至当前正被重新加密的数据块被完全复制到记录位置中，那么该记本文档来自技高网...

【技术保护点】
１．一种利用至少一个独立密码代理来执行一组数据的重新加密的方法，所述至少一个独立密码代理执行步骤包括：在存储之前加密数据并在从存储中读取之后解密数据，两者都是参考与加密区域相关联的密钥来执行的，以使得第一加密区域（２６１，２６２）中的数据是参考与第一加密区域（２６１，２６２）相关联的第一密钥来加密及解密的，第二加密区域（２４１，２４２）中的数据参考与第二加密区域（２４１，２４２）相关联的第二密钥来加密及解密的，所述第一和第二密钥彼此不同且彼此独立，所述方法包括以下步骤：从所述第一加密区域（２６１，２６２）中的所述一组数据中读取第一数据块（２５１，２５２）；将所述第一数据块（２５１，２５２）写入所述第二加密区域（２４１，２４２）中；根据所述第一数据块（２５１，２５２）的大小收缩所述第一加密区域（２６１，２６２）；全部数据都已经被写入所述第二加密区域（２４１，２４２）中，且直到所述第一加密区域（２６１，２６２）已经被缩减至零大小，而所述第二加密区域（２４１，２４２）已经被扩展至所述第一加密区域（２６１，２６２）在重新加密之前的大小。根据所述第一数据块（２５１，２５２）的大小扩展所述第二加密区域（２４１，２４２）；并对所述第一加密区域（２６１，２６２）中所述一组数据中的连续数据块重复所述读取、写入、收缩以及扩展，直至所述第一加密区域（２６１，２６２）中的所述一组数据中的...

【技术特征摘要】
2010.05.25 US 12/786,5501.一种利用至少一个独立密码代理来执行一组数据的重新加密的方法，所述至少一个独立密码代理执行步骤包括在存储之前加密数据并在从存储中读取之后解密数据，两者都是参考与加密区域相关联的密钥来执行的，以使得第一加密区域061，262)中的数据是参考与第一加密区域061 二6 相关联的第一密钥来加密及解密的，第二加密区域041， 242)中的数据参考与第二加密区域041, 相关联的第二密钥来加密及解密的，所述第一和第二密钥彼此不同且彼此独立，所述方法包括以下步骤从所述第一加密区域061，262)中的所述一组数据中读取第一数据块051，252)；将所述第一数据块051，252)写入所述第二加密区域041，242)中；根据所述第一数据块051，252)的大小收缩所述第一加密区域061，262)；根据所述第一数据块051，252)的大小扩展所述第二加密区域041，242)；并对所述第一加密区域061，262)中所述一组数据中的连续数据块重复所述读取、写入、收缩以及扩展，直至所述第一加密区域061，262)中的所述一组数据中的全部数据都已经被写入所述第二加密区域041，242)中，且直到所述第一加密区域061，262)已经被缩减至零大小，而所述第二加密区域041，242)已经被扩展至所述第一加密区域(沈1， 262)在重新加密之前的大小。2.如权利要求1所述的方法，其特征在于，所述收缩收缩所述第一加密区域以便不再包括所述第一加密区域中所述第一数据块的原始位置，所述扩展扩展所述第二加密区域以便现在包括所述第一数据块的所述原始位置；将所述第一数据块写入所述第二加密区域是在所述收缩和扩展之后执行的，且将所述第一数据块写入在所述第一数据块的原始位置中，不同之处在于，该原始位置现在位于经扩展的第二加密区域中。3.如权利要求2所述的方法，其特征在于，还包括下列步骤将所述第一数据块写入一记录位置以便为在该组数据的重新加密期间所遭受的故障提供容错。4.如权利要求2所述的方法，其特征在于，还包括下列步骤计算所述第一数据块中至少一些扇区的摘要；并将所计算的摘要写入一记录位置以便为在该组数据的重新加密期间所遭受的故障提供容错。5.如权利要求2所述的方法，其特征在于，还包括下列步骤在发起对该组数据的重新加密之前，检查记录位置；并且，如果该记录位置存在，那么从该组数据先前故障终止的重新加密中开始恢复。6.如权利要求5所述的方法，其特征在于，还包括通过执行以下步骤来从所述先前故障终止的重新加密中恢复，所述步骤包括确定所述第一加密区域和所述第二加密区域是否相邻；如果所述第一加密区域和所述第二加密区域不相邻，那么用所述扩展来重启所述重新加密；如果所述第一加密区域和所述第二加密区域相邻，那么确定所述记录位置的内容是指向并匹配于所述第一加密区域中的第一数据块，还是指向并匹配于被写入所述第二加密区域中的第一数据块；如果所述第一加密区域和所述第...

【专利技术属性】
技术研发人员：D·阿布扎瑞恩，D·G·莫斯，G·B·利亚霍维斯基，K·梅拉，I·巴斯莫夫，O·T·乌雷彻，
申请(专利权)人：微软公司，
类型：发明
国别省市：US