为了遵从用于计算设备的指示在其被激活之后计算设备写入存储卷的数据被加密的策略,扇区映射被访问。所述扇区映射标识存储卷的一个或多个扇区,并且还为存储卷的一个或多个扇区中的每一个标识该扇区的内容的签名。如果扇区是所述一个或多个扇区之一,并且该扇区的内容的签名与在扇区映射中标识的该扇区的签名相匹配,则响应于读取扇区内容的请求,在没有解密内容的情况下返回该扇区的内容。否则,该扇区的内容将被解密,并且将会返回解密的内容。
【技术实现步骤摘要】
基于扇区映射的快速数据加密策略遵从
技术介绍
计算机可以在不同设置中使用,有时将会遵循特定策略。例如,在从个人计算机访问电子邮件之类的公司数据时,公司策略可能会规定个人计算机必须加密个人计算机的存储设备上存储的公司数据,以便授权访问公司数据。在遵从该策略之前,计算机可能无法访问特定公司服务,而是一直等待存储设备加密(根据存储设备大小而有可能等待大约数分钟或数小时)以使用公司服务,这样有可能会挫伤用户。
技术实现思路
本
技术实现思路
是为了以简化形式引入精选概念而被提供的,在以下的具体实施方式部分中将会进一步描述这些概念。本
技术实现思路
的目的既不是确定所要求保护主题的关键特征或必要特征,也不是用来限制所要求保护的主题的范围。 根据一个或多个方面,在计算设备上接收激活用于该计算设备的策略的请求。所述策略指示在激活该策略之后计算设备写入存储卷的数据被进行加密。响应于该请求,该策略被激活以用于所述设备,包括在返回遵从策略的指示之后加密写入存储卷的数据,以及使用扇区映射(sector map)来标识存储卷中未加密的一个或多个扇区。此外,响应于该请求,即便存储卷的一个或多个扇区未被加密,也还是返回遵从策略的指示。根据一个或多个方面,为了遵从用于计算设备的指示在该策略被激活之后计算设备写入存储卷的数据被加密的策略,扇区映射将被访问。所述扇区映射标识存储卷的一个或多个扇区,此外还为存储卷的所述一个或多个扇区中的每一个扇区标识扇区内容的签名。如果所述扇区是存储映射中标识的一个或多个扇区之一,并且该扇区内容的签名与扇区映射中标识的扇区签名相匹配,那么响应于读取扇区内容的请求,在不解密扇区内容的情况下返回所述内容。否则,扇区的内容将被解密并且返回解密的内容。附图说明在整个附图中将会使用相同的数字来参考相似的特征。图I是示出了根据一个或多个实施例来实施快速遵从数据加密策略的处理的例示计算设备的框图。图2示出了根据一个或多个实施例的例示扇区映射。图3示出了根据一个或多个实施例而被保持在存储器中并在存储设备上留存的扇区映射的示例。图4是示出了根据一个或多个实施例来实施快速遵从数据加密策略的处理的另一个例示计算设备的框图。图5是示出了根据一个或多个实施例来实施快速遵从数据加密策略的例示处理的流程图。图6是示出了根据一个或多个实施例的使用扇区映射来实施快速遵从数据加密策略的处理的另一个例示处理的流程图。图7是示出了根据一个或多个实施例使用加密的组块(chunk)映射来实施快速遵从数据加密策略的处理的例示处理的流程图。图8示出了可以被配置成根据一个或多个实施例实施快速遵从数据加密策略的处理的例示计算设备。具体实施例方式在这里论述的是快速遵从数据加密策略。可以产生计算设备使用的存储卷的扇区映射,该扇区映射标识存储卷的一个或多个扇区以及所述一个或多个扇区中每个扇区的内容的签名。扇区映射可以是在把操作系统安装到计算设备上之后不久(或是作为其一部分)产生的,或者作为替换,扇区映射可以是稍后在激活用于计算设备的策略之前产生。所激活的用于计算设备的策略指示在激活该策略之后计算设备写入存储卷的内容被加密。在激活了该策略之后,计算设备将会加密写入存储卷扇区的内容。此外,在激活了该策略之后,特定扇区中的内容既有可能是加密的,也有可能是未加密的。使用扇区映射来标识存储卷的哪些扇区具有加密内容,由此标识哪些内容在返回给请求方之前需要解密。·作为替换,可以产生计算设备使用的存储卷的加密组块映射,所述加密组块映射标识存储卷的扇区的组块。对存储卷的扇区的每一个组块,加密组块映射指示组块中的扇区是否加密(或是未被使用)。在激活了用于计算设备且指示在该策略被激活之后计算设备写入存储卷的内容被加密的策略之后,写入存储卷的数据将被加密。如果将数据写入未加密的组块(由加密组块映射确定),那么将会加密所述组块中的扇区,数据将被加密并写入扇区,并且加密组块映射将被更新,以便指示所述组块是加密的。是否解密那些从存储卷中读取的数据是基于从中读取数据的扇区是否未经加密(由加密组块映射确定)来确定的。在这里将会参考密码术,其中所述密码术可以包括对称密钥密码术、公钥密码术以及公钥/私钥对。虽然这些密钥密码术对于本领域技术人员而言是众所周知的,但是为了帮助读者,在这里包含了关于此类密码术的简要综述。在公钥密码术中,实体(例如用户、硬件或软件组件、设备、域等等)具有密钥(公钥和/或私钥)。公钥/私钥对中的公钥是公开可得到的,而私钥则是保密的。在没有私钥的情况下,通过计算来解密使用公钥加密的数据将会非常困难。在使用一些公钥密码术算法的情况下,数据可以由任何具有公钥的实体进行加密,并且只能被具有相应私钥的实体解密。此外,使用一些公钥密码术算法,可以通过使用数据和私钥来产生用于该数据的数字签名。在没有私钥的情况下,通过计算来创建可以使用公钥核实(verify)的签名将会非常困难。通过对公钥、签名以及已被签名的数据执行适当的数字签名核实算法,任何具有公钥的实体都可以使用所述公钥来核实数字签名。另一方面,在对称密钥密码术中,共享密钥(也被称为对称密钥)是为两个实体所知和保密的。通常,任何具有共享密钥的实体都能解密使用该共享密钥加密的数据。在没有共享密钥的情况下,通过计算来解密使用所述共享密钥加密的数据将会非常困难。因此,如果两个实体全都知道共享密钥,那么每个实体都可以加密数据,而另一方则可以解密数据,然而,如果其他实体不知道该共享密钥,那么所述其他实体无法解密该数据。同样,具有共享密钥的实体也可以加密数据,并且所述数据可被同一实体解密,然而,如果其他实体不知道共享密钥,那么所述其他实体将不能解密该数据。此外,基于例如使用了带密钥的散列消息验证码(authentication code)机制之类的对称密钥密码术,可以产生验证码或消息验证码。任何具有共享密钥的实体都可以产生并核实该验证码或消息验证码。例如,可信的第三方可以基于特定实体的身份来产生对称密钥,然后可以产生并核实用于所述特定实体的验证码或消息验证码(例如通过用对称密钥加密或解密数据)。图I是示出了根据一个或多个实施例来实施快速遵从数据加密策略的例示计算设备100的框图。计算设备100可以是多种不同类型的设备,例如物理设备或虚拟设备。举例来说,计算设备100可以是物理设备,例如台式计算机、服务器计算机、膝上计算机或上网本计算机、平板或笔记本计算机、移动站、娱乐设备、与显示设备可通信地耦合的机顶盒、电视或其他显示设备、蜂窝或其他无线电话、游戏控制台、车用计算机等等。计算设备100也可以是虚拟设备,例如在物理设备上运行的虚拟机。虚拟机可以在多种不同类型的物理设备中的任何一种(例如上文列举的多种不同类型中的任何一种)上运行。由此,计算设备100的范围可以是从存储器和处理器资源充足的全资源设备(例如个人计算机、游戏控制台)到存储器和/或处理资源有限的低资源设备(例如传统的机顶盒,手持游戏控制台)。计算设备100包括加密/解密控制模块102、读/写控制模块104、策略模块106、扇区映射108以及存储卷110。虽然在计算设备100中示出了特定模块102、104和106,然而应该指出,模块102、104和106中的一个或多个可以合并成单个模块,或者模块102、1本文档来自技高网...
【技术保护点】
一种方法,包括:在计算设备上接收(502)要求激活用于计算设备的策略的请求,所述策略指示在激活该策略之后计算设备写入存储卷的数据被加密;响应于该请求,激活(504)用于计算设备的策略,包括在返回了遵从策略的指示之后,对写入存储卷的数据进行加密,并且还包括使用扇区映射来识别存储卷中未被加密的一个或多个扇区;以及响应于该请求,尽管存储卷的一个或多个扇区是未加密的,也还是返回(506)遵从所述策略的指示。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:I巴斯莫夫,MBG奈斯特伦,AM塞门科,DM麦克尔弗,D李,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。