[发明专利]用于创建和传送加密的虚拟盘的系统和方法

说明书

相关申请

本申请要求2010年5月9日提交的、名称为“Creation and Delivery of Encrypted Virtual Disks”的美国临时专利申请No.61/332765的优先权和权益，其内容通过引用被全部包含于此。

技术领域

本文所述的方法和系统总的涉及生成虚拟盘。该方法和系统尤其涉及创建和传送加密的虚拟盘。

背景技术

允许工作伙伴将他们的个人便携式电脑或计算机带入工作且将该便携式电脑用作他们的公司计算机已受到很多公司的欢迎。在很多情况下，这些程序允许雇员使用他们的个人计算机代替公司机器。尽管该程序具有许多优点，然而让雇员将他们的个人计算机用于与工作相关的计算的其中一个很大缺陷在于雇员经常将敏感的公司文档和应用信息存储在他们的通常来说不安全的个人计算机上。个人便携式电脑上的存储器通常是不受管理的，并且当用户没有登入公司网时难以强制执行安全策略。因而，需要系统和方法来保护在用户计算装置上的公司信息的机密性，并且强制执行策略来保护该公司信息的机密性。

在某些情况下，在客户计算机上提供安全存储库可能是很困难的。通常，在客户机上执行以便于显示远程应用的那些应用不能访问本地客户机的持久存储器，或者没有能力对该持久存储器进行分区或创建安全存储区域。尽管在客户机上可以手工地或自动地创建安全存储区域，然后可以手工地或自动地对该虚拟盘进行本地加密，但执行这个过程可能需要本地盘创建与加密软件，但该软件可能没有被预先安装。反之，如果安装了本地加密软件，它可能没有达到公司标准或要求（例如，本地加密软件仅能执行128位加密，而公司要求256位加密）。此外，本地加密软件通常加密整个硬盘或卷，所述本地加密软件例如由美国华盛顿州Redmond的Microsoft公司作为Microsoft Windows系列操作系统的部分发布的BitLocker、由美国加利福尼亚州Mountain View的Symantec公司出品的PGP Whole Disk Encryption（整盘加密）、由美国内华达州Henderson的TrueCrypt Foundation出品的TrueCrypt。因此，可能很难在用于公司数据的安全存储和用于用户个人数据的存储之间加以区别（由于整卷加密，用户的个人数据可能对于第三方是安全的，但不能与公司数据进行隔离）。而且，全盘加密不提供用于创建和分发加密盘的集中管理和配置的机制。此外，因为整个磁盘被加密，所以任何备份系统必须被本地执行。因此，需要从集中式服务器创建、加密并向一个或多个客户机传送虚拟盘的系统和方法。

发明内容

描述了用于提供集中服务的系统和方法的实施例，该集中服务可创建、加密、配置、分发、备份和删除虚拟盘，就像这些虚拟盘是物理硬盘一样，这允许集中管理这些盘的整个生命周期。管理员可以在中心位置创建加密的盘，并且使用诸如加密和哈希算法、标准密码、密钥文件和盘大小之类的公司特定标准对该盘进行定制。可以将加密的虚拟盘从中心服务器分发和下载到客户计算机，在客户计算机可以挂载这些加密的虚拟盘，就像它们是用于隔离的、加密的本地存储的物理硬盘一样。在一些实施例中，客户计算机可以被配置为定期地备份虚拟硬盘，以及可以被配置有备份位置，例如网络服务器。在一个实施例中，客户计算机的用户能够修改虚拟盘的属性，例如访问密码和大小。在另外的实施例中，响应于管理员指定的配置策略，策略引擎可以允许对虚拟盘的一个或多个属性进行修改。在一些实施例中，集中管理系统或客户计算机可以被配置为删除该加密的虚拟硬盘。例如当雇员被终止时可以响应于管理员命令来执行该操作，或者可以响应于来自客户计算机上的管理服务的命令来执行该操作。例如，客户计算机上的管理服务可以定期地尝试联系许可或授权服务器或集中管理系统。在预定的时间段内没有成功联系该服务器或系统可能指示该便携式电脑已经被偷窃或已经丢失或以其他方式被入侵，以及响应于预定时间段到期而没有成功联系，客户计算机上的管理服务可以删除该加密的虚拟盘。