[发明专利]利用下游解密器进行端到端加密情况下实现存储效率

说明书

技术领域

本发明涉及数据存储。特别地，本发明涉及利用自数据被加密的地方起的数据路径下游的解密器安全有效地存储已加密数据块。

背景技术

端到端加密是先将靠近源头的数据进行加密、再将其交付存储的过程。由于对第三方存储或云供应商的安全考量、特定领域对敏感数据强制加密的法规、确保数据的安全删除以及高安全性数据中心的要求，该加密过程已经变得越来越普遍。

然而，加密数据的局限性在于大多数存储效率功能在加密数据上操作时不能达到预期的功能。加密数据最大化密文的熵，因此不能被压缩。此外，对两个不同文件中的或两个不同位置中的数据块的加密，产生不同的密文，导致标准去重(deduplication)尝试的失败。

因此，现有技术中需要解决前述问题。

发明内容

本发明包括用于在已加密数据上有效执行通常只在明文上有效操作的数据功能的方法、系统和计算机程序产品。

提供了用于有效存储已加密数据的方法、计算机程序产品和系统。解密器接收用于存储的密文的至少一个数据块。数据块以加密形式接收并与可以用来解密数据的密钥相关。为接收的密文的数据块实例化加密算法。利用相关的加密密钥将密文的块解密成非加密形式。在非加密数据块上执行一个或多个功能，以及在重新加密的数据离开解密器之前用加密密钥重新加密已解密的数据块。

从第一方面来看，本发明提供了一种方法，包括：解密器接收用于存储的密文的至少一个数据块，接收的数据块用密钥加密；为接收的密文的数据块实例化加密算法，包括获取该密钥以解密接收的数据块；利用获取的密钥将密文的至少一个数据块解密成非加密数据块；对非加密数据块执行一个或多个数据功能；以及在重新加密的数据离开解密器之前用该密钥重新加密已解密的数据块。

从另一方面来看，本发明提供了一种方法，包括：将密文的至少一个已加密数据块重定向至与数据存储通信的组件，数据块用密钥加密；将密文的至少一个块解密成非加密数据块，解密利用一加密密钥；对非加密数据块执行一个或多个数据功能；以及用该密钥重新加密已解密的数据块；以及将已解密的数据块从该组件重定向至持久存储。

从又一方面来看，本发明提供了一种用于存储已加密数据的计算机程序产品，该计算机程序产品包括可由处理电路读取的计算机可读存储介质并存储指令，用于由处理电路执行用于执行本发明方法的步骤。

从再一方面来看，本发明提供了一种计算机程序，存储在计算机可读介质之上并可加载到数字计算机的内部存储器中，包括软件代码部分，当所述程序在计算机上运行时用于执行本发明的步骤。

从还一方面来看，本发明提供了一种系统，包括：解密器，与用于有效存储已加密数据的数据存储通信；功能单元，与解密器通信，该功能单元与工具通信以支持有效的数据存储，该工具包括：加密秘钥管理器，用于为接收的密文实例化加密算法，接收的密文用一密钥加密；解密管理器，用于将密文解密成非加密数据，该解密管理器利用该密钥；数据功能管理器，用于对非加密数据执行一个或多个数据功能；以及加密管理器，用于在重新加密的数据离开解密器之前用该密钥重新加密已解密的数据。

本发明其他的特点和优点将在以下结合本发明的优选实施例，结合附图的详细描述中变得明显。

附图说明

现在将通过参考本发明的优选实施例的方式描述本发明，如图所示：

图1描述了根据本发明的一个优选实施例，嵌入计算机系统中以支持用于有效存储已加密数据的技术的工具的框图；

图2显示了根据本发明的一个优选实施例，用于有效存储已加密数据的方法的流程图；

图3显示了根据本发明的一个优选实施例，用于加密密钥删除的方法的流程图；

图4描述了根据本发明的一个优选实施例，根据现有技术，可以在其中实现本发明的一个优选实施例的计算节点；

图5描述了根据本发明的一个优选实施例，根据现有技术，可以在其中实现本发明的一个优选实施例的计算环境；

图6描述了根据本发明的一个优选实施例，根据现有技术，可以在其中实现本发明的一个优选实施例的抽象模型层。

具体实施方式

将容易理解，如附图显示和描述的本发明的部件可以布置和设计成各种不同的结构。因此，下面对本发明附图中呈现的优选实施例的装置、系统和方法的详细描述并不旨在限制本发明权利要求的范围，而仅仅是代表选择的本发明的优选实施例。