用於存儲數據的透明端到端安全的設備、系統和方法

2023-05-17 05:07:21

專利名稱：用於存儲數據的透明端到端安全的設備、系統和方法
技術領域：
本發明涉及數據存儲和數據存儲管理系統。特別是，本發明涉及用於在客戶伺服器環境中存儲數據的透明端到端安全的設備、系統和方法。
背景技術：
由於多種原因，例如包括獲得競爭優勢，遵守地方法律和法規，以及減少隱私顧慮，數據的管理和保護對於企業和政府利益而言是至關重要的。
數據具有生命周期，該生命周期從產生數據時開始，至該數據變得過時且無價值時結束。當數據沿該生命周期範圍演進時，對數據賦予不同的保護級別，以避免未經授權的使用。一般而言，使用諸如加密和在用物理安全的設備中存儲數據的傳統安全技術來保護「活(live)」數據(新創建或當前使用的數據)。
隨著數據老化，訪問頻率會減少，同時其價值會增加或減小。通常，對這樣的數據進行存檔或備份，以便在諸如存儲器以及直接存取存儲設備(DASD)的主存儲設備上保存新的活數據。該遷移路徑將數據從主存儲設備移動到輔助存儲設備，如可移動介質，包括磁帶、光存儲設備等。
遺憾的是，通常作為要保持預定時段的數據的存檔數據，以及作為被存儲以允許在系統失效時進行數據恢復的備份數據，並未被賦予相同的安全和保護級別以避免作為活數據而被未授權地使用。導致此情況的因素包括提供例如加密的保護所需的開銷(包含密鑰的產生與管理)，存檔數據和備份數據的更低優先級，備份和存檔所涉及的數據的修剪尺寸等。反而是依賴於諸如防火牆、保險箱、加鎖門以及守護和/或加鎖設備的傳統安全措施。
期望備份數據和存檔數據在輸送中以及一旦存儲在存儲介質上是安全的。特別是，期望通過網絡進行通信的客戶機和伺服器之間對備份數據和存檔數據進行保護。在加密備份數據和存檔數據時面臨的一個問題是密鑰管理的問題。某個實體可能需要在許多月或年以後對備份數據和存檔數據進行訪問。由於誤管理或設備失效導致的密鑰丟失可嚴重導致大量的備份數據和存檔數據無用，從而，必須謹慎管理好密鑰。由於人類記憶的限制以及實體中的人事輪換，委託用戶進行密鑰管理是極易出錯的。使用最初產生或使用數據的應用來管理密鑰大大增加了應用的系統開銷，在應用之間導致不一致，並且在備份數據和存檔數據的壽命可超過應用的壽命的情況下，這是不實際的。
當前包括加密的存儲和備份系統是不夠用的。這樣的系統通常在同一存儲設備或介質上以加密數據的形式存儲密鑰。對存儲設備或介質的未授權的訪問導致失去數據保護。其他傳統系統使用與存儲設備、卷或介質有關的、用於對同一存儲設備、卷或介質上所有文件進行解密的單個密鑰。從而，密鑰的破解導致對所有文件的訪問。某些傳統系統不自動處理備份數據和存檔數據從一個存儲設備到另一存儲設備的遷移。從而，使得密鑰與正確加密文件的匹配困難或不可能。另外一些傳統系統使用單個級別的保護，而不管所涉及備份數據或存檔數據的類型如何。從而，計算資源可能被浪費在保護無需該預設級別保護的數據方面。
由以上討論可知，需要一種用於在客戶伺服器環境中存儲數據的透明端到端安全的設備、系統和方法。有利的是，這樣的設備、系統和方法將對傳輸中或存儲設備上的備份和存檔數據進行加密，並且將對與傳輸中備份數據和存檔數據相關聯的密鑰進行加密。此外，該設備、系統和方法將允許客戶機以一對一而不是一對多的方式產生與客戶機的主機所擁有的各個文件相關聯的合適安全級別的密鑰。此外，該設備、系統和方法將與加密數據分立地存儲密鑰，並在加密數據的整個生命周期上管理密鑰和/或加密數據位置上的變化。

發明內容
鑑於現有技術當前狀態，特別是鑑於在現有技術中尚未解決的問題和尚未滿足的需求，針對客戶伺服器環境中存儲數據的透明端到端安全，提出了本發明。因此，本發明的提出提供了一種用於在客戶伺服器環境中存儲數據的透明端到端安全的設備、系統和方法，該設備、系統和方法克服了在現有技術中出現的多種或所有上述短處。
根據本發明的設備包括密鑰產生器、加密模塊和通信接口。密鑰產生器為與存儲會話相關的每個存儲結構產生隨機存儲密鑰。存儲密鑰最好與存儲結構唯一相關。本領域技術人員應該理解，術語「存儲密鑰」、「傳輸密鑰」和「本機密鑰(native key)」是出於解釋清楚和便於說明的目的。術語「存儲密鑰」、「傳輸密鑰」和「本機密鑰」指本發明情形中使用的不同密鑰，而並非必須指現有技術的特定術語。
存儲結構包括為存儲伺服器存儲數據以及管理存儲數據而配置的任何數據結構。在某些實施例中，存儲結構包括軟體結構，如對象、數組、列表、專用對象、串行化對象、文件、卷、資料庫數據對象、記錄、表、表空間等。在一個實施例中，存儲結構可包括在發送方的文件系統內的文件。
加密模塊使用存儲密鑰對存儲結構進行加密，並且最好使用為接收方所知的對稱傳輸密鑰對存儲密鑰進行加密。或者，傳輸密鑰可包括一對非對稱密鑰。加密的存儲結構和加密的存儲密鑰可包括所用加密算法的指示符。用於對存儲密鑰進行加密的加密算法可與存儲結構所用加密算法不同或相同。通信接口將加密的存儲結構和加密的存儲密鑰傳輸到接收方。
接收方在第一存儲設備上存儲加密的存儲結構，使用傳輸密鑰將加密的存儲密鑰解密，並在物理上與第一存儲設備不同的第二存儲設備上存儲存儲密鑰。可選的，接收方使用僅為接收方所知的本機密鑰加密存儲密鑰，然後在第二存儲設備上存儲再加密的存儲密鑰。
在某些實施例中的設備可包括關聯模塊，配置模塊和協商模塊。關聯模塊管理在第一存儲設備上的加密存儲結構與第二存儲設備上的加密存儲密鑰之間的關聯。關聯可包括存儲密鑰位置和存儲結構位置。響應存儲密鑰和加密存儲結構的至少之一的重定位，關聯模塊可修改關聯。關聯模塊可駐留在存儲密鑰和加密存儲結構的發送方或接收方內，且可包括關係資料庫。配置模塊可定義由發送方和接收方使用的對稱傳輸密鑰。或者，或此外，協商模塊在發送方與接收方之間協商傳輸密鑰。
接收方可包括與發送方不同的某些部件，諸如用於使用傳輸密鑰對存儲密鑰進行解密的安全模塊。安全模塊可使用本機密鑰對存儲密鑰再加密，從而，由存儲模塊所存儲的存儲密鑰為再加密的存儲密鑰。接收方可包括通信接口，通信接口用於從發送方接收加密的存儲結構和加密的存儲密鑰。可選的，可能已經使用與發送方共享的傳輸密鑰對存儲結構加密。
接收方的存儲模塊可在第一存儲設備上存儲加密的存儲結構，在物理上與第一存儲設備不同的第二存儲設備上存儲存儲密鑰。或者，第一存儲設備和第二存儲設備可在邏輯上是不同的。接收方可包括存儲伺服器，發送方可包括數據存儲客戶機之一。更具體而言，發送方可包括多個備份-存檔客戶機之一。
還提供本發明的信號承載介質，包括被配置成用於執行在客戶伺服器環境中實現存儲數據的透明端到端安全的操作的機器可讀指令。在一個實施例中，操作包括用於生成特定存儲結構的唯一存儲密鑰的操作。另一操作使用存儲密鑰對存儲結構進行加密。其他操作可使用發送方和接收方所知的傳輸密鑰對存儲密鑰進行加密，從發送方向接收方傳輸加密的存儲結構和加密的存儲密鑰，並使用傳輸密鑰對存儲密鑰進行解密。最後，執行操作以便在第一存儲設備上存儲加密的存儲結構，在物理上與第一存儲設備不同的第二存儲設備上存儲加密的存儲密鑰。
在某些實施例中，機器可讀指令包括用於在發送方與接收方之間對傳輸密鑰進行協商的操作。此外，機器可讀指令還可包括用於響應改變存儲密鑰和加密的存儲結構的至少之一的位置而修改包括存儲密鑰位置和存儲結構位置的關聯的操作。在一個實施例中，基於與存儲結構相關聯的安全策略，確定密鑰尺寸和加密算法的至少之一。存儲結構可包括在發送方的文件系統內的文件。存儲密鑰可被產生並且至少部分基於與存儲結構相關聯的數據，諸如結構名、創建日期、內部文件數據等。第一存儲設備和第二存儲設備的至少之一可包括可移動計算機可讀介質。
本發明還可包括設置為系統、方法的實施例，以及基本包括與前面結合設備和方法描述的部件和步驟功能相同的計算基礎設施。由後面的描述和所附權利要求，將更充分理解本發明的特徵和優點，或可通過後面給出的本發明實現方式得以理解。


為了易於理解本發明的優點，參照附圖中所示具體實施例，將更詳細地描述以上簡要描述的本發明。應該理解，這些附圖僅描述本發明的典型實施例，因此，不應將其看作是對本發明範圍的限制，下面，將參照附圖，詳細地描述和解釋本發明。
圖1的框圖表示根據本發明的一個實施例在客戶伺服器環境中實現存儲數據的透明端到端安全的系統；圖2的邏輯框圖表示根據本發明在客戶伺服器環境中實現存儲數據的透明端到端安全的設備的一個實施例；圖3的邏輯框圖表示根據本發明在客戶伺服器環境中實現存儲數據的透明端到端安全的設備的可選實施例；圖4的示意性框圖表示根據本發明的關聯的一個示例；圖5的示意性框圖表示根據本發明的一個實施例適於維護關聯的數據結構；和圖6的示意性流程圖表示在客戶伺服器環境中實現存儲數據的透明端到端安全的方法。
具體實施例方式
很容易理解，如此處一般性描述以及附圖所示的本發明部件可採用多種不同的配置來設置和設計。從而，以下關於本發明的設備、系統和方法實施例(如附圖中所示)的更詳細描述並不意在限制如權利要求所記載的本發明範圍，而僅僅是本發明優選實施例的表示。
參照附圖將更好地理解本發明的所示實施例，其中，對相同的部件賦予相同的附圖標記。以下描述僅出於示例性說明的目的，且僅表示出與此處所述本發明相一致的設備、系統和過程的某些優選實施例。
圖1表示適於在客戶伺服器環境中實現存儲數據的透明端到端安全的系統100。在一個實施例中，系統100包括使用客戶伺服器體系結構組織的存儲管理系統。適用於本發明的存儲管理系統的示例包括IBM的TivoliStorage Manager(TSM)，Veritas的Net Backup，Legato的Networker等。系統100包括多個客戶機102a-c，也稱為備份-存檔客戶機102a-c，以及一個或多個伺服器104，通常將其稱為存儲伺服器，它們通過網絡106相連。
客戶機102a-c允許應用在諸如工作站的計算機系統上運行，以指派所要備份和/或存檔的數據文件。客戶機102a-c處理備份和存檔數據文件的傳輸及其在存儲設備108a-b上的存儲。最好是，存儲設備108a-b在物理上是不同的，且由伺服器104擁有和維護。或者，共享存儲設備108a-b，並可通過存儲區域網(SAN)將它們相連。
此處，通常將被指派為要備份和/或存檔的文件稱為存儲結構110。存儲結構110可包括持久存儲數據的任何格式。在一個實施例中，每個存儲結構110可對應於執行客戶機102c的計算機系統的文件系統內的文件。或者，可由客戶機102c將多個存儲結構110捆綁成單個備份文件和/或存檔文件。
為了準備將存儲結構110發送到伺服器104，客戶機102c可基於與存儲結構110相關聯的安全策略自動確定是否應對存儲結構110進行加密。或者，安全策略可指示對存儲結構110無需進行加密。如果要對存儲結構110進行加密，則客戶機102c生成存儲密鑰112。最好是，隨機生成存儲密鑰112。或者，可基於預定義的序列或協議生成存儲密鑰112。
客戶機102c使用存儲密鑰112和多個加密算法之一加密存儲結構110。加密對傳輸時以及當存儲結構110駐留在存儲設備108a-b之一上時的存儲結構110進行保護。在一個實施例中，存儲密鑰112包括對稱密鑰。對稱密鑰是被配置成必須使用同一密鑰或原樣副本來加密和解密數據的加密密鑰。
在一個實施例中，將存儲密鑰112傳輸到伺服器104。為進一步保護存儲結構110，還使用多個加密算法之一和傳輸密鑰114對存儲密鑰112進行加密。傳輸密鑰114是為客戶機102c和伺服器104所共享的密鑰。最好是，伺服器104專門與特定客戶機102c共享傳輸密鑰114。在一個實施例中，在客戶機102c和伺服器104上預定義傳輸密鑰114。在另一實施例中，客戶機102c和伺服器104進行協商以確定傳輸密鑰114。最好是，傳輸密鑰114也為對稱密鑰。或者，客戶機102c和伺服器104可支持非對稱加密算法，諸如支持公鑰接口(PKI)的算法。在這樣的實施例中，傳輸密鑰114可包括來自用於加密和解密存儲密鑰112的一對密鑰的對應密鑰。
客戶機102c與伺服器104進行通信，以授權在存儲設備108a-b上存儲存儲結構110。客戶機102c通常使用傳統的請求和響應消息傳遞以使伺服器準備接收存儲結構110。一旦客戶機102c接收到來自伺服器104的授權，客戶機102c就向伺服器104傳輸加密的存儲結構110和加密的存儲密鑰112。
伺服器104接收加密的存儲結構110和加密的存儲密鑰112。伺服器104使用傳輸密鑰114將加密的存儲密鑰112解密。可選的，如果保留傳輸密鑰114並使其對客戶機102c可用，則伺服器104可不對存儲密鑰112解密，而是可簡單地存儲存儲密鑰112，並在存儲密鑰112被請求時將其返回到客戶機102c。
最好是，客戶機102c和伺服器104支持多個加密算法，包括數據加密標準(DES)，高級加密標準(AES)和其他對稱加密算法。從而，加密的存儲密鑰112和/或加密的存儲結構110可包括指示符，諸如用於標識哪個加密算法被用於對存儲密鑰112和/或存儲結構110進行加密的頭。或者，當最初建立通信時，客戶機102c和伺服器104可對加密算法達成一致。在另一實施例中，可不向伺服器104提供用於對存儲結構110進行加密的加密算法。
最好是，伺服器104在第一存儲設備108a上存儲加密的存儲密鑰112，在第二存儲設備108b上存儲加密的存儲結構110。有利的是，伺服器104跟蹤將存儲結構110及其相關聯的存儲密鑰112存儲在何處。下面，將結合存儲結構110與其存儲密鑰112之間的關聯，來詳細描述該操作。
最好將存儲結構110保持在加密狀態，使得對第二存儲設備108b的非授權訪問不會威脅存儲結構110的安全。在一個實施例中，按加密格式存儲存儲密鑰112。例如，伺服器104可生成本機密鑰，以後會對此進行討論。伺服器104可使用本機密鑰對存儲密鑰112進行再加密。從而，然後可將再加密的存儲密鑰112存儲在第一存儲設備102a上。
將存儲密鑰112與存儲結構110分開存儲提供了附加的安全。如果保存有存儲結構110的存儲設備108b失竊或暴露於未授權的訪問，由於存儲密鑰112未處在同一設備108b上，從而使存儲結構110仍受保護。然而，為保持加密的存儲結構110的效用，在需要時，客戶機102c應能夠訪問與加密的存儲結構110相關聯的存儲密鑰112。從而，伺服器104維護存儲密鑰112的位置與存儲結構110的位置之間的關聯116。
本領域技術人員容易理解，在需要時，通過向伺服器104發送請求，客戶機102取得存儲結構110和相關聯的存儲密鑰112。作為響應，伺服器104可參考關聯116以定位存儲結構110和存儲密鑰112。伺服器104也可使用傳輸密鑰114再次對存儲密鑰112進行加密。客戶機102c使用傳輸密鑰114解密存儲密鑰112，並使用解密的存儲密鑰112解密存儲結構110。
現參看圖2，圖2表示適於在客戶伺服器環境中實現存儲數據的透明端到端安全的設備200。在一個實施例中，設備200作為圖1中所述的客戶機102c。或者，設備200可運行在對等體系結構中。
設備200可包括密鑰產生器202，加密模塊204和通信接口206。密鑰產生器202產生所需的密鑰。特別是，密鑰產生器202可生成隨機存儲密鑰112(參見圖1)。最好是，存儲密鑰112對應於單個存儲結構110(參見圖1)。
設備200可改變存儲密鑰112的尺寸。在某些實施例中，設備200基於本地存儲策略確定存儲密鑰112的尺寸。本地存儲策略可針對某些類型的文件或特定年代的文件界定不同的加密級別。以此方式，設備200控制應用到文件的加密的級別。從而，將加密所帶來的開銷恰好限制到具有敏感性質的需要保護的文件。通過改變加密存儲密鑰112長度和/或所用加密算法的類型，可以控制加密級別。
在某些實施例中，為存儲會話中所包括的文件系統的每個不同文件產生特定的存儲密鑰112。存儲會話通常包括一個批次的一個或多個存儲結構110，其中將使用公共屬性集存儲或備份這些存儲結構110。可由用戶手工地或響應設備200上的存儲要求自動地定義存儲會話。
加密模塊204針對每個存儲結構110使用專門為該存儲結構110生成的存儲密鑰112進行加密。加密模塊204也使用傳輸密鑰114對存儲密鑰112進行加密。最好是，加密模塊204對存儲結構110和/或存儲密鑰112既用於加密，也用於解密。或者，可提供分立的解密模塊。加密模塊204最好支持包括DES、3-DES、AES等多種對稱加密算法。
支持對稱加密算法的一個優點是，若需要，設備200能夠產生合適長度的存儲密鑰112，並以隨機方式產生。由於使存儲密鑰112的傳輸次數最少，從而，在設備200處產生加密密鑰提供了另一級別的安全。此外，捕獲一個存儲密鑰112僅威脅單個存儲結構110。在一個實施例中，其他存儲結構110具有不同的存儲密鑰112，因此，這些存儲結構110是高度安全的。
在一個實施例中，加密模塊204為存儲結構110確定適當的安全級別。通常，密鑰越長，加密保護越強。加密模塊204可根據其自己的本地安全策略確定存儲結構110的安全級別。或者，存儲結構110的用戶或擁有者可使用例如參數指定安全級別。
通信接口206包括足夠的邏輯和硬體，以允許通過傳統網絡通信方式進行通信。此外，通信接口206傳輸加密的存儲結構110和加密的存儲密鑰112。最好是，通信接口206包括或兼容諸如傳輸控制協議、網際協議(TCP/IP)之類的傳統聯網協議。在某些實施例中，通信接口206可為加密的存儲結構110指定第一存儲設備108a，為存儲密鑰112指定第二存儲設備108b。
可選地，設備200也可包括關聯模塊208、協商模塊210和配置模塊212。關聯模塊208用於管理在每個存儲密鑰112與對應存儲結構110之間的關聯。通常，關聯116包括在存儲密鑰1112的物理位置與存儲結構110的物理位置之間的映射。按照需要，關聯模塊208生成，銷毀和修改關聯116。關聯模塊208可駐留在客戶機102c或伺服器104中。最好是，關聯116由關聯模塊208本地或遠程地存儲或維護。以此方式，伺服器104的物理保護、數據保持特性和其他企業數據保護機制也保護關聯208。
可使用多種數據結構，包括表、數組、鍊表、對象等，來表示關聯116。除存儲結構110的位置和存儲密鑰112的位置外，關聯116可包括其他信息，如文件名、時戳，或在某些情形中，例如為實際存儲密鑰112。
協商模塊210使設備200能夠與諸如伺服器104之類的接收方進行交互，以確定傳輸密鑰114。本領域技術人員能夠想到可用於對傳輸密鑰114進行協商的多種協議。在一個實施例中，設備200和接收方使用均支持的最強加密級別和/或加密算法進行通信。然後，可選擇最低公共特性作為加密級別和/或加密算法。
在一個示例中，設備200和接收方可被預配置為根據後面的協議建立傳輸密鑰114。設備200可隨機生成傳輸密鑰114的第一半，接收方生成傳輸密鑰114的另一半。然後，設備200和接收方可明文傳遞各自的一半。一旦為對方接收，各方將接收的一半與生成的一半連接，以創建傳輸密鑰114。確切地講，對於設備200和接收方，可預先確定哪一半成為第一半，哪一半成為第二半。以此方式，可使傳輸密鑰114不會完全以明文傳輸，而是在沒有用戶幹預的條件下，各方保留足夠靈活性以使用隨機產生的傳輸密鑰114。此外，還可頻繁地改變傳輸密鑰114，以進一步保護使用傳輸密鑰114加密的數據。
在可選實施例中，不使用協商模塊210確定傳輸密鑰114，而是可使用配置模塊212。配置模塊212可用於允許用戶配置有關設備200的各種選項。或者，配置模塊212可專門用於定義對稱傳輸密鑰114。例如，配置模塊212的用戶接口可允許用戶鍵入傳輸密鑰114。在某些實施例中，類似的配置模塊212可駐留在存儲結構110的接收方上。從而，用戶可隨機或者基於例程來定義傳輸密鑰114，然後，將相同的傳輸密鑰114輸入設備200(使用配置模塊212)和接收方。以此方式，從來不會使傳輸密鑰114暴露於在設備200與接收方之間傳輸中的威脅。然而，由於管理員必須在設備200和接收方上至少一次設置傳輸密鑰114，從而存在一定的管理負擔。
圖3表示在客戶伺服器環境中實現存儲數據的透明端到端安全的設備300的可選實施例。在一個實施例中，設備300用作為以上結合圖1所述的伺服器104。或者，設備300可運行在對等體系結構中。最好是，設備300與一個或多個客戶機102a-c和/或對等方進行實際通信。
設備300可包括通信接口302、存儲模塊304和關聯模塊306。通信接口302用於接收加密的存儲結構110和加密的存儲密鑰112。存儲模塊304在第一存儲設備108b上存儲加密的存儲結構110，在第二存儲設備108a上存儲存儲密鑰112。
最好是，存儲密鑰112以加密形式由通信接口302接收。例如，發送方(例如，客戶機102c)可使用設備300所知的傳輸密鑰114對存儲密鑰112進行加密。從而，設備300使用安全模塊308將加密的存儲密鑰112解密。
安全模塊308可在接收存儲密鑰112後立刻將其解密。以此方式，每個傳輸密鑰114可存在很短的時期。一旦解密了存儲密鑰112，傳輸密鑰114就完成其目的，且不再被需要。在一個實施例中，將設備300配置成對接收的每個存儲密鑰112使用不同的傳輸密鑰114。或者，可對一批存儲密鑰112使用單個傳輸密鑰114。當在設備300與發送方之間首次建立起通信時，通信接口302可對傳輸密鑰114的生命期長度和一對一或一對多關係進行協商。
安全模塊308用於類似於上述加密模塊204的目的。特別是，安全模塊308用於使用各種加密算法按照需要進行加密或解密。最好是，加密算法為對稱加密算法。在一個實施例中，安全模塊308接受輸入消息、密鑰、用於加密或解密操作的指示符，以及可選擇地接受加密算法的標識。輸出採用輸入消息的加密或解密的形式。
在一個實施例中，安全模塊308使用傳輸密鑰114解密存儲密鑰112。最好是，傳輸密鑰114為對稱加密密鑰。然後，存儲模塊304可在第二存儲設備108a上存儲解密的存儲密鑰112。
可選的，加密模塊308可使用傳輸密鑰114解密存儲密鑰112，然後使用本機密鑰310將解密的存儲密鑰112加密。以此方式，利用本機密鑰310，使存儲密鑰112再加密。然後，存儲模塊304可在第二存儲設備108a上存儲再加密的存儲密鑰112。
以此方式，進一步使存儲密鑰112安全。最好是，本機密鑰310僅為設備300所知，並且可選的，可為對稱密鑰。此外，安全模塊308最好對所有再加密的存儲密鑰112使用單個本機密鑰310。對存儲密鑰112進行加密使存儲密鑰112得到保護，以免在未授權用戶訪問第二存儲設備時受到威脅。
在某些實施例中，設備300包括協商模塊312和配置模塊314。本領域技術人員很熟悉客戶伺服器體系結構。這樣，本領域技術人員明白，客戶機(例如，設備200)的某些模塊包括在伺服器(例如，設備300)中的相應模塊。從而，協商模塊312與發送方(例如，客戶機102c)進行交互，以確定傳輸密鑰114。當然，也可對其他要元進行協商，包括通信協議、密鑰(傳輸和/或存儲密鑰)的尺寸、加密算法等。
協商獲得傳輸密鑰114的一個優點是，客戶機和設備300能夠對每個通信會話建立起不同的傳輸密鑰114。以此方式，如果單個傳輸密鑰114受到威脅，假設加密的存儲密鑰112也受到威脅，則僅使單個加密的存儲結構110處於危險中。這些多個層次的安全防範措施要求未授權用戶獲得多段信息才能獲得對存儲結構110的訪問。未授權用戶還必須破譯哪些信息為密鑰，哪些為數據。在某些實施例中，發送方和設備300進行協商，以便對存儲密鑰112應用與用來對存儲結構110進行加密的算法不同的加密算法。未授權用戶必須確定密鑰如何相關聯，以及正使用哪些加密算法。使用強制性反覆試驗的方法，有可能會確定這些。不過，即便成功，僅使單個存儲結構110受到威脅。
類似地，用戶可使用配置模塊314的用戶接口手工地輸入傳輸密鑰114。在發送方和接收方，最好使用配置模塊212，314輸入同樣的傳輸密鑰114。對於所有存儲密鑰112，可對客戶機102a-c和伺服器104使用同一傳輸密鑰114。或者，可對每個存儲密鑰112或對來自特定客戶機102c的存儲密鑰112協商傳輸密鑰114。
由於存儲密鑰112最好與存儲結構110唯一相關聯，通信接口302維護存儲結構110與存儲密鑰112之間的關係。密鑰112與存儲結構110之間的一對一關係增強了每個單個文件的安全性。關聯模塊306便於使用關聯116維護和管理該關係。特別是，關聯模塊306使用關聯116跟蹤哪個存儲密鑰112解密(解鎖)哪個存儲結構110，以及存儲密鑰112和存儲結構110的各自位置。
在一個實施例中，關聯模塊306包括資料庫管理系統。特別是，資料庫管理系統可包括實現為層次或關係資料庫116的關聯116。資料庫116可包括被組織成用於跟蹤關於存儲密鑰112及其相關聯的存儲結構110的各種信息的多個表。由於存儲結構110最好與單個存儲密鑰112相關聯，資料庫表的行可對應於由設備300當前存儲的各個文件。
有益的是，關聯模塊306的資料庫管理系統實現提供了用於跟蹤許多存儲結構110和相關存儲密鑰112的清楚的、良好構建的系統。來自單個客戶機102c的備份和存檔存儲結構110的數量能夠快速提升至數十，數千個文件，在沒有資料庫系統的條件下，是很難對它們進行管理的。此外，關聯模塊306的資料庫管理系統實現提供了用於跟蹤和記錄現有存儲結構110位置改變以及新存儲結構110的添加的中心位置。或者，關聯模塊的不同部件可分布在各種設備300之間和/或處在客戶機102c上。
圖4表示根據本發明的關聯模塊400的一個實施例。除記錄存儲結構110與存儲密鑰112之間的關聯116外，關聯模塊400還響應存儲結構110、或存儲密鑰112、或二者位置的變化，來管理關聯116。通常，對存儲結構的存儲值起作用的因素隨著時間而變化。這些因素可包括有效性、安全性、完整性、備份優先級等。此外，對存儲結構110保持快速訪問的要求通常會隨著時間推移而減少。從而，可人工地或通過存儲管理系統(例如伺服器104)自動地將存儲結構110從主存儲設備108b轉移到輔助存儲設備402。主存儲設備108b和輔存儲設備402可包括可用存儲設備(包括存儲介質)的各種組合。例如，主存儲設備108b可包括支持直接隨機存取的設備，例如硬碟，輔存儲設備402可包括磁帶、CD-ROM、CDRW、DVDR/W等。
一般而言，輔設備402是非常適於長期存儲、可只讀、具有更高的訪問次數、以及可使用可移動介質的設備。出於各種原因，包括存檔，釋放存儲設備108a-b上的空間等，會將存儲結構110遷移。遷移的級別也可變化。例如，第一級別可為盤驅動器108a-b，第二級別可為磁帶介質402，第三級別可為只讀介質，例如CDROM或DVD。遷移的級別也可與由存儲邏輯和存儲設備組成的不同存儲系統相對應。例如，第一級別可包括直接存取存儲設備(DASD)，例如企業級存儲伺服器，第二級別可包括虛擬磁帶系統(VTS)。
在一個實施例中，由擁有存儲設備108a-b(或存儲系統)的計算機系統將所有訪問存儲結構110的請求路由到伺服器104。伺服器104將請求404傳遞到關聯模塊400。或者，僅將拷貝或移動存儲結構110的請求路由到關聯模塊400。
關聯模塊400可包括跟蹤模塊406和重定位模塊408。在所示實施例中的跟蹤模塊406可確定請求404是否用於對加密的存儲結構110進行拷貝或移動。或者，如果請求404僅包括拷貝和/或移動的命令，則跟蹤模塊406確定是否已使用相關聯的存儲密鑰112將被請求的存儲結構110加密。
一般而言，請求404包括源位置、源文件標識、目標位置，以及可選的目標文件標識。在某些實施例中，將文件標識和位置信息包含在稱為路徑名的單個數據結構中。通過參照關聯116以及搜索相匹配的諸如結構名的源文件標識，來進行確定。最好是，將關聯116實現為具有關於結構名的索引的資料庫，以便非常快速地進行該確定。
如果跟蹤模塊406確定請求404涉及具有相關存儲密鑰112的加密的存儲結構110，則重定位模塊408可檢查請求404。在一個實施例中，重定位模塊408確認源位置不同於目標位置。該確認可要求重定位模塊408解析源路徑名和目標路徑名，然後進行比較。
如果兩個位置不同，重定位模塊408允許請求的拷貝和/或移動操作繼續進行。重定位模塊408本身可執行拷貝和/或移動操作，或藉助其他系統(如文件系統和/或作業系統)來實現。重定位模塊408最好確保操作成功。若如此，重定位模塊408自動更新在關聯116中對於特定存儲結構110的信息，以使關聯116中的位置信息反映在存儲設備108a-b，402上作出的變化。以此方式，存儲結構110的遷移不將存儲密鑰112與相關的存儲結構110分離。
此外，跟蹤模塊406和重定位模塊408可用於在批級別上改變關聯116中的位置信息，以支持在單個操作中多個存儲結構110的移動或拷貝。此外，跟蹤406和重定位模塊408可進行協作，以從關聯116中清除信息，以反映加密的存儲結構110的刪除。例如，如果請求404為刪除操作，重定位模塊408可從關聯116中的表刪除一行或多行。
當然，本領域技術人員會明白跟蹤模塊406和重定位模塊408可協作實現的其他管理操作。例如，請求可嘗試在單個存儲介質108a-b，402上合併加密的存儲結構110和相關聯的存儲密鑰112。跟蹤模塊406和重定位模塊408可根據例如使用配置模塊212，314設置的配置設置來專門阻止或允許該操作。
有益的是，對存儲結構110和/或存儲密鑰112的位置改變的跟蹤以及關聯116的自動更新大大緩解了存儲系統管理員的管理負擔。以此方式，在移動或拷貝存儲結構110和/或存儲密鑰112時，在沒有手工調整關聯116位置信息的管理開銷情況下，提供了存儲結構110與存儲密鑰112之間一對一關係的安全。此外，無論是否人工地或基於存儲管理策略自動地發出請求404，都可管理在關聯116中的位置信息。
圖5表示適於實現關聯116的數據結構500的代表性示例。在一個實施例中，關聯116包括單個資料庫表。或者，可使用多個表實現關聯116。當然，也可使用其他數據結構實現關聯116，包括列表、鍊表、數組、對象、堆棧、隊列等。
數據結構500可包括例如密鑰502、結構名504、結構位置506和存儲密鑰位置508的列。數據結構500的目的是提供對結構位置506和存儲密鑰位置508的快速訪問。從而，當添加行510時，伺服器104可生成唯一密鑰512。可為密鑰512建立索引，以便能夠快速檢索有關的行。
當客戶機102c請求特定的存儲結構110時，對行進行訪問。請求可包括密鑰502或結構名504和結構位置506。響應關於存儲結構110的請求，伺服器104提供加密的存儲結構110和存儲密鑰112。關聯模塊306訪問數據結構500以識別存儲密鑰位置和/或存儲結構位置。然後，伺服器104使用該位置信息從第一存儲設備108a和第二存儲設備108b檢索出存儲密鑰112和存儲結構110。
客戶機102c可提供密鑰502、結構名504和結構位置506，或密鑰值514，以便標識單個行。或者，可將存儲名504和結構位置506組合併作為路徑名存儲。結構名504標識出存儲結構110。當可以重複結構名504時，密鑰502允許唯一標識每個行510。
結構位置506通常包括管理存儲設備108b的文件系統中的路徑。或者，結構位置506包括適於在存儲設備108a上定位存儲結構110的地址的另一形式。例如，當存儲設備108b為磁帶驅動器時，結構位置506可將卷標識以及偏移量包括到磁帶中。或者，結構位置506和/或存儲密鑰位置508可包括統一資源標識(URI)，使得可在各種網絡的存儲設備108a-b上存儲存儲結構110和/或關聯存儲密鑰112。最好是，在與存儲密鑰112不同的位置存儲存儲結構110。
類似地，密鑰位置508包括用於定位存儲密鑰112的地址。在一個實施例中，密鑰位置508為到在文件系統中數據文件的路徑。或者，密鑰位置508為在存儲器設備、存儲設備、可移動存儲介質、資料庫等內地址或其他位置指示符。在某些實施例中，數據結構500包括存儲密鑰112的位置。從而，可在存儲密鑰位置列508內直接存儲存儲密鑰值514。
或者，管理資料庫中的另一個表可存儲存儲密鑰值514。最好將存儲密鑰值514按照美國標準信息交換碼(ASCII)文本格式存儲，不過也可按十六進位、十進位、二進位，或其他格式存儲。在圖5中，存儲密鑰值514為十六進位數據「04B7...」的文本表示。從而，存儲密鑰值514與56位存儲密鑰112的一部分對應。
在一個實施例中，通過在單個行上存儲存儲結構110的標識信息、存儲結構110的位置信息和存儲密鑰508的位置信息或實際存儲密鑰514，來形成關聯116。存儲結構110的標識信息可包括密鑰502和/或結構名504和結構位置506。通過更新必要的結構名504、結構位置506和密鑰位置508或密鑰值514，來維護關聯116。通過刪除適當的行510來清除關聯116。
在數據結構500中可包括其他列，或按照需要在客戶機102c與伺服器104之間的消息中將其作為變元傳遞。本領域技術人員易於理解這些列，這些列可包括比所述那些更多或更少的列。可選列可包括密鑰尺寸516、加密算法518和最後修改的時戳520。密鑰尺寸516可包括表示用於存儲密鑰112的位數的數。加密算法可包括用於對存儲結構110進行加密的加密算法的指示符。最後修改日期520可包括表示何時對行510進行最後修改的時戳。最後修改日期520可用於進行分析以確定重定位或遷移存儲結構110的頻率。未示出的其他列可包括加密算法的版本號，是否將存儲密鑰112以加密格式存儲等。
圖6的流程圖表示在客戶伺服器環境中實現存儲數據的透明端到端安全的方法600。最好是，在存儲管理系統的多個客戶機102a-c和伺服器104之間實現方法600。方法600在客戶機102c請求伺服器104的存儲服務時開始。具體是，客戶機102c請求伺服器104存儲存儲結構110。最好是，客戶機102c和/或客戶機102c的用戶不知道將以具有本發明提供的多個安全級別的加密格式存儲存儲結構110。
起初，作為在客戶機102c與伺服器104之間建立通信會話的部分或在其之後，客戶機102c的協商模塊210與伺服器104的協商模塊312進行通信，以對傳輸密鑰114進行協商602。最好是，對於傳輸到伺服器104的每個存儲結構110協商傳輸密鑰114。
接著，密鑰產生器202可確定604存儲密鑰112的適當位數。例如，密鑰產生器202可參考基於存儲結構110的類型定義位數的本地安全策略。當然，在確定是否對存儲結構110進行加密時還可考慮其他因素，以及若如此，還考慮多少位用於存儲密鑰112。
然後，密鑰產生器202最好產生606隨機存儲密鑰112。加密模塊204使用存儲密鑰112將存儲結構110加密608。加密模塊204使用傳輸密鑰114加密610存儲密鑰112。接下來，通信接口206將加密的存儲結構110和加密的存儲密鑰114傳輸612到伺服器104。
伺服器104的通信接口302接收存儲密鑰112和存儲結構110。安全模塊308使用與客戶機102c共享的傳輸密鑰114解密614存儲密鑰112。接下來，存儲模塊304在第一存儲設備108b上存儲加密的存儲結構110，在第二存儲設備112上存儲存儲密鑰112。第一存儲設備108b可為客戶機102c指定的目標。或者，存儲設備304選擇存儲結構位置506。最好是，關聯模塊306確定存儲密鑰位置508。在某些實施例中，存儲密鑰位置508在關聯116內。關聯模塊306將存儲密鑰位置508和存儲結構位置506相關聯618，然後，方法600結束620。
對關聯116進行管理，以便利用存儲結構110的標識信息，能夠容易地定位相關聯的存儲密鑰112，並將其隨同加密的存儲結構110一起提供給客戶機102c。然後，加密模塊204能夠使用存儲密鑰112將存儲結構110解密，並在需要時，將解密的存儲結構110提供給客戶機102c。響應存儲結構110或存儲密鑰112的移動或拷貝操作或存儲結構110的名稱變化，可修改關聯116。
最好是，使用類似以上的處理來檢索存儲結構110。即，使用傳輸密鑰114加密存儲密鑰112。一旦客戶機102c接收到加密的存儲結構110和加密的存儲密鑰112，客戶機102使用傳輸密鑰114解密存儲密鑰112，並使用存儲密鑰112解密存儲結構110。
本領域技術人員能很快認識到本發明提供的潛在優勢。存儲管理系統提供可由客戶機102c控制的多個加密保護級別的能力，提供了較高的安全性和靈活性。此外，根據需要以逐個結構的方式跟蹤和修改存儲密鑰和存儲結構之間的關聯。從而，每個存儲結構110具有更高的安全級別，存儲密鑰的威脅不會自動地包括設備上的所有存儲結構。存儲密鑰和存儲結構還存儲在不同的物理設備上，以使得對一個存儲設備的未授權物理訪問不會自動地提供對存儲結構110的訪問。此外，可將關聯116存儲在第三設備上，以為存儲結構110提供額外保護。
在不偏離其實質或關鍵特性的條件下，還可採用其他具體形式實現本發明。在所有方面，所述實施例僅出於說明目的，而並非具有限定性。因此，本發明的範圍由所附權利要求所表述，而並非由上述描述表述。在權利要求的含義以及等效範圍內的所有改變均包含在其範圍內。
在該說明書中所描述的許多功能部件均表述為模塊，以便更特別地強調其實現獨立性。例如，可將模塊實現為包括定製VLSI電路或門陣列的硬體電路、諸如邏輯晶片、電晶體之類的現有半導體，或其他分立元件。模塊還可使用諸如現場可編程門陣列、可編程陣列邏輯、可編程邏輯設備等的可編程硬體設備實現。
模塊還可採用由各種類型處理器執行的軟體來實現。例如，所指出的可執行代碼的模塊可包括一個或多個物理或邏輯計算機指令塊，例如可將該塊構造成對象、程序、函數或其他結構。然而，所指出的模塊的可執行代碼無需在物理上處在一起，而是可包括存儲在不同位置的不同指令，當邏輯上將它們連接在一起時，包括該模塊並對於該模塊實現規定目標。
誠然，可執行代碼模塊可為單個指令或多個指令，且甚至可分布在數個不同的代碼段上，不同程序之間，以及在數個存儲器設備上。類似地，此處將操作數據說明為可在模塊內，並可以採用任何合適的形式進行實施，以及被構造在任何合適類型的數據結構內。可將操作數據聚集為單個數據集，或可將其分布在不同位置上，包括在不同存儲設備上，以及可至少部分地使其僅作為系統或網絡上的電信號存在。
在本說明書中，「優選實施例」，「一個實施例」或「實施例」意味著結合該實施例所述的特定特徵、結構或性質至少包含在本發明的一個實施例中。從而，在本說明書各個位置處出現的短語「在優選實施例中」，「在一個實施例中」或「在實施例」中，並非必須指相同的實施例。
此外，在一個或多個實施例中可按照適當的方式將所述的特徵、結構或性質進行組合。在下面的描述中，提供許多具體細節，諸如編程、軟體模塊、用戶選擇、用戶界面、網絡事務、資料庫查詢、資料庫結構、硬體模塊、硬體電路、硬體晶片等，以提供對本發明實施例的詳盡理解。不過，相關領域技術人員將意識到，可以在不具有一個或多個這些具體細節的條件下，或者通過其他方法、部件、材料等來實現本發明。在其他情形中，並未詳細表示或描述出眾所周知的結構、材料或操作，以避免使本發明各方面變得不明顯。
權利要求
1.一種用於客戶伺服器環境中存儲數據的透明端到端安全的設備，所述設備包括密鑰產生器，被配置成為與存儲會話相關聯的每個存儲結構產生隨機存儲密鑰，存儲密鑰與存儲結構唯一關聯；加密模塊，被配置為使用存儲密鑰加密存儲結構，並使用接收方所知的傳輸密鑰將存儲密鑰加密；以及通信接口，被配置為將加密的存儲結構和加密的存儲密鑰傳輸到接收方，接收方被配置為在第一存儲設備上存儲加密的存儲結構，使用傳輸密鑰將加密的存儲密鑰解密，以及在物理上不同於第一存儲設備的第二存儲設備上存儲存儲密鑰。
2.根據權利要求1的設備，還包括關聯模塊，被配置為管理第一存儲設備上加密的存儲結構與第二存儲設備上加密的存儲密鑰之間的關聯。
3.根據權利要求1的設備，其中，接收方包括安全模塊，安全模塊被配置為使用本機密鑰將解密的存儲密鑰加密，使得將存儲在第二存儲設備上的存儲密鑰加密，本機密鑰僅為接收方所知。
4.根據權利要求1的設備，還包括協商模塊，被配置為在發送方與接收方之間協商傳輸密鑰。
5.根據權利要求1的設備，其中，存儲結構包括發送方的文件系統內的文件。
6.根據權利要求1的設備，還包括配置模塊，被配置為定義與接收方所使用的傳輸密鑰相同的對稱傳輸密鑰。
7.根據權利要求1的設備，其中，存儲密鑰和存儲結構的至少之一包括標識用於解密存儲結構的加密算法的指示符。
8.一種用於客戶伺服器環境中存儲數據的透明端到端安全的設備，所述設備包括通信接口，被配置為從發送方接收加密的存儲結構和加密的存儲密鑰，存儲結構由發送方使用發送方所產生的存儲密鑰加密，存儲密鑰與存儲結構唯一相關，使用與發送方共享的傳輸密鑰加密存儲結構；存儲模塊，被配置為在第一存儲設備上存儲加密的存儲結構，在物理上不同於第一存儲設備的第二存儲設備上存儲存儲密鑰；以及關聯模塊，被配置為管理第一存儲設備上加密的存儲結構與第二存儲設備上加密的存儲密鑰之間的關聯。
9.根據權利要求8的設備，還包括安全模塊，被配置為使用傳輸密鑰將存儲密鑰解密，使得存儲模塊所存儲的存儲密鑰為解密的存儲密鑰。
10.根據權利要求8的設備，還包括安全模塊，被配置為使用傳輸密鑰將存儲密鑰解密，使用本機密鑰將存儲密鑰再加密，使得存儲模塊所存儲的存儲密鑰為再加密的存儲密鑰。
11.根據權利要求8的設備，還包括協商模塊，被配置為與發送方協商傳輸密鑰。
12.根據權利要求8的設備，其中，傳輸密鑰為適用於對稱加密算法、用於加密和解密數據的對稱密鑰。
13.根據權利要求8的設備，還包括配置模塊，被配置為定義與發送方器所使用的傳輸密鑰相同的對稱傳輸密鑰。
14.根據權利要求8的設備，其中，存儲密鑰和存儲結構之一包括標識用於解密存儲結構的加密算法的指示符。
15.一種用於客戶伺服器環境中存儲數據的透明端到端安全的系統，所述系統包括多個備份-存檔客戶機，每個客戶機被配置為生成針對特定存儲結構的唯一存儲密鑰，使用所述存儲密鑰將存儲結構加密，使用共享的傳輸密鑰將存儲密鑰加密，其中，存儲結構包括在備份-存檔客戶機的至少之一的主機上定義的物理文件；存儲伺服器，被配置為從客戶機之一接收加密的存儲結構和加密的存儲密鑰，使用共享的傳輸密鑰將存儲密鑰解密，在不同於存儲所述存儲密鑰的第二存儲設備的第一存儲設備上存儲加密的存儲結構；和在操作中將客戶機與伺服器連接以便進行網絡通信的網絡。
16.根據權利要求15的系統，其中存儲伺服器包括關聯模塊，關聯模塊被配置為管理第一存儲設備上加密的存儲結構與第二存儲設備上加密的存儲密鑰之間的關聯。
17.根據權利要求16的系統，其中，關聯包括存儲密鑰位置和存儲結構位置。
18.根據權利要求16的系統，其中，關聯模塊還被配置為響應存儲密鑰和加密的存儲結構至少之一的重定位對關聯進行修改。
19.根據權利要求16的系統，其中，關聯模塊包括關係資料庫。
20.根據權利要求15的系統，其中，存儲伺服器包括安全模塊，安全模塊被配置為使用共享傳輸密鑰將存儲密鑰解密，使用本機密鑰將存儲密鑰再加密，使得將存儲在第二存儲設備上的存儲密鑰加密，本機密鑰僅為存儲伺服器所知。
21.根據權利要求15的系統，還包括協商模塊，被配置為在備份-存檔客戶機之一與伺服器之間協商傳輸密鑰。
22.根據權利要求15的系統，其中，傳輸密鑰為適用於與對稱加密算法、用於加密和解密數據的對稱加密密鑰。
23.根據權利要求15的系統，還包括配置模塊，被配置為定義相同對稱傳輸密鑰以用作為備份-存檔客戶機和存儲伺服器的傳輸密鑰。
24.根據權利要求15的系統，其中，存儲密鑰和存儲結構之一包括標識用於解密存儲結構的加密算法的指示符。
25.一種信號承載介質，其有形地體現可由數字處理設備執行以實現用於客戶伺服器環境中存儲數據的透明端到端安全的操作的機器可讀指令的程序，所述操作包括用於為特定存儲結構產生唯一存儲密鑰的操作；用於使用存儲密鑰加密存儲結構的操作；用於使用為發送方和接收方所知的傳輸密鑰對存儲密鑰進行加密的操作；用於將加密的存儲結構和加密的存儲密鑰從發送方向接收方傳輸的操作；用於使用傳輸密鑰將存儲密鑰解密的操作；和用於將加密的存儲結構存儲在第一存儲設備上，以及將解密的存儲密鑰存儲在物理上不同於第一存儲設備的第二存儲設備上的操作。
26.根據權利要求25的信號承載介質，還包括用於在發送方與接收方之間協商傳輸密鑰的操作。
27.根據權利要求25的信號承載介質，還包括用於將存儲密鑰位置與存儲結構位置相關聯的操作。
28.根據權利要求25的信號承載介質，還包括用於響應存儲密鑰和加密的存儲結構至少之一的位置改變，對包括存儲密鑰位置和存儲結構位置的關聯進行修改的操作。
29.根據權利要求25的信號承載介質，其中存儲結構包括發送方的文件系統內的文件。
30.根據權利要求25的信號承載介質，還包括用於以相同對稱傳輸密鑰配置發送方和接收方的操作。
31.根據權利要求25的信號承載介質，其中，存儲密鑰和存儲結構之一包括標識用於解密存儲結構的加密算法的指示符。
32.根據權利要求25的信號承載介質，還包括基於與存儲結構相關聯的安全策略確定密鑰尺寸和加密算法至少之一的操作。
33.根據權利要求32的信號承載介質，其中，發送方基於本地安全策略確定密鑰尺寸。
34.根據權利要求25的信號承載介質，其中，發送方至少部分基於與存儲結構相關聯的數據來產生存儲密鑰。
35.根據權利要求25的信號承載介質，其中，第一存儲設備和第二存儲設備至少之一包括可移動計算機可讀介質。
36.根據權利要求25的信號承載介質，還包括用於從客戶機接收關於加密的存儲結構的請求的操作；用於從第一存儲設備檢索存儲密鑰，從第二存儲設備檢索加密的存儲結構的操作。用於使用傳輸密鑰將存儲密鑰加密的操作；用於將加密的存儲密鑰和加密的存儲結構傳輸到客戶機的操作；在客戶機處使用傳輸密鑰將存儲密鑰解密的操作；和沒有用戶參與地使用解密的存儲密鑰將存儲結構解密，並在客戶機上存儲解密的存儲結構的操作。
37.一種用於部署計算基礎結構的方法，包括將計算機可讀代碼集成到計算系統中，其中，與計算系統相結合所述代碼能夠執行以下操作為特定存儲結構產生唯一存儲密鑰；使用存儲密鑰加密存儲結構；使用為發送方和接收方所知的傳輸密鑰，對存儲密鑰進行加密；將加密的存儲結構和加密的存儲密鑰從發送方向接收方傳輸；使用傳輸密鑰將存儲密鑰解密；和將加密的存儲結構存儲在第一存儲設備上，以及將解密的存儲密鑰存儲在物理上不同於第一存儲設備的第二存儲設備上。
38.根據權利要求37的方法，還包括將存儲密鑰位置與存儲結構位置相關聯。
39.根據權利要求37的方法，還包括響應存儲密鑰和加密的存儲結構至少之一的位置改變，對定義存儲密鑰位置和存儲結構位置的關聯進行修改。
40.一種用於客戶伺服器環境中存儲數據的透明端到端安全的設備，所述設備包括為特定存儲結構產生唯一存儲密鑰的裝置；使用存儲密鑰加密存儲結構的裝置；使用為發送方和接收方所知的傳輸密鑰對存儲密鑰進行加密的裝置；將加密的存儲結構和加密的存儲密鑰從發送方向接收方傳輸的裝置；使用傳輸密鑰將存儲密鑰解密的裝置；和將加密的存儲結構存儲在第一存儲設備上，以及將解密的存儲密鑰存儲在物理上不同於第一存儲設備的第二存儲設備上的裝置。
全文摘要
本發明包括與伺服器進行通信的一個或多個客戶機。客戶機期望將存儲結構發送到存儲伺服器。客戶機與伺服器關於傳輸密鑰進行協商。客戶機產生專門與存儲結構相關聯的存儲密鑰。客戶機使用存儲密鑰將存儲結構加密，使用傳輸密鑰將存儲密鑰加密。將加密的存儲結構和加密的存儲密鑰發送到伺服器。伺服器使用傳輸密鑰將存儲密鑰解密。伺服器在與用於存儲存儲密鑰的存儲設備不同的存儲設備上存儲存儲結構。最好是，跟蹤關於存儲結構位置、存儲密鑰位置，或存儲結構名的任何變化，並對關於存儲結構的位置和對應存儲密鑰的位置的關聯進行適當修改。
文檔編號G06F21/00GK1787431SQ20051012465
公開日2006年6月14日 申請日期2005年11月14日 優先權日2004年12月9日
發明者科林·S.·道森, 肯尼思·E.·漢尼甘, 格倫·哈特拉普, 阿維沙伊·H.·霍奇伯格, 唐納德·沃倫, 克里斯多福·扎裡姆巴 申請人:國際商業機器公司