[发明专利]事务性密封存储

说明书

背景

事务性存储系统通常至少部分地提供多个期望事务性属性，诸如常常使用缩写“ACID”描述的原子性、一致性、绝缘性和持久性。具体地，原子性指执行一事务使得或者该事务内的所有变化都被提交、或者该事务内的变化都不被提交。该事务被视为是“原子的”，因为该事务内的改变被视为是整体的并且不能分成更小的子集。一致性指在事务开始时和事务完成时存储系统都处于合法状态。这表示事务不能破坏存储系统的规则，这可被称为完整性约束。例如，如果存储系统具有同一目录中的任意两个文件必须具有不同名称的规则，则导致同一目录内有具有相同名称的两个文件的任意事务将被丢弃。

绝缘性指确保尝试并发地修改存储系统状态的多个程序不干扰彼此的能力。理想地，即使实现可并行地执行多个修改，存储系统也像这些修改是以某顺序进行一样动作。持久性指一旦事务被成功提交事务就将持久且不会被取消的保证。例如，这表示已提交事务将在系统故障时幸存，并且已提交事务将满足存储系统的完整性约束。

为了说明具体地为原子性属性的事务性属性的某些优点，考虑使各种财务事务能从个人计算机执行的在线银行应用程序。该应用程序将把信息储存在本地盘上，诸如银行帐户的当前状态、帐户上的过往交易记录、以及历史股价信息。假设应用程序正在处理股票购买，并且该应用程序已用记入借方的款项更新了银行帐户以支付新购买的股票。还假设，就在用新购买的股票更新证券组合之前，个人计算机曾掉电。在一非事务性存储系统中，在供电恢复后，所储存的数据将示出股票支付，但在证券组合中并没有股票。显然，这种情形会导致相当大的混乱和问题。大多数这种应用程序将可能在桌面的许多不同地方更新信息，并且找出对磁盘的更新会失败的所有可能途径可能会是相当费时和费力的。因而，对每种情形编写专用的恢复代码并不可行。事务性存储系统以一种系统方法来解决这些问题。或者执行所有更新，或者不执行任何更新。在这两种情形中，存储系统中的信息都保持一致。

一些存储系统仅仅对它们所储存数据的一部分是事务性的。例如，广泛使用来自华盛顿州雷蒙德市微软公司的新技术文件系统(NTFS)是一种这样的部分事务性文件系统。NTFS对文件元数据是事务性的，但对文件内的数据不提供完全的事务性保证。这些部分事务性存储系统向所储存数据的事务性属性的益处对其最为有利的那些部分提供事务性属性，而不使所储存数据的全部承受与事务性系统相关联的管理复杂性的负担。

密封存储系统是一种不同的最近引入的存储系统，它提供与事务性存储系统不同的益处。密封存储系统将对底层数据的访问限制于一组一个或多个安全应用程序。以这种方式限制对数据的访问可以例如对抗病毒、木马程序、或其它可能尝试改变和/或破坏所储存数据的恶意程序。密封存储系统还可通过帮助保持所储存数据的机密性来保护其用户的隐私。在财务数据的以上示例中，银行应用程序可以是被允许读取或修改所储存数据的唯一安全应用程序。例如，这可防止恶意用户向要支付帐单列表添加一假造帐单、以其它方式以未获授权方式支取帐户、或阅读机密的财务事务。

概述

以下将描述事务性密封存储系统。事务性密封存储系统使数据能根据事务性属性来访问，并且还使对数据的访问被限制于安全应用程序。根据其可访问数据的事务性属性可包括例如至少某一程度的原子性、一致性、绝缘性和持久性。对数据的访问可通过例如采用包括加密数据、并且还认证请求访问经加密数据的任何应用程序的双层安全策略来限制。事务性密封存储系统可以是部分事务性的，即只有一部分的底层密封数据是根据事务性属性来访问的。事务性密封存储系统还可以是部分密封的，即只有对一部分底层事务性数据的访问被限制于安全应用程序。

提供本概述是为了用简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在确定所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。

附图简述

各个例示实施例在参照附图阅读以下详细描述之后将得到更佳的理解，在附图中：

图1示出一种示例性事务性密封存储系统，其中密封存储系统之上有事务性存储系统；

图2示出一示例性分区的密封数据集合；

图3示出使用一安全操作系统实现的一示例性事务性密封存储系统；

图4示出一示例性分层安全模型；

图5示出一种示例性事务性密封存储系统，其中事务性存储系统之上有密封存储系统；

图6是用于管理对事务性密封数据的访问的一种示例性方法的流程图；

图7是示出一示例性计算设备的框图。

具体实施方式