[发明专利]用于加密文件系统层的系统和方法

说明书

对相关申请的交叉引用

本申请要求在2013年2月13日提交的美国临时申请第61/764,532号的优先权，其全部内容通过引用合并于此。

发明内容

密码文件系统层包括用于例如通过保护存储在文件系统中的数据、或者恢复从文件系统检索的安全数据来截取要存储在文件系统中的数据并且修改截取的数据中的至少一些的软件或固件层。一般地，密码文件系统层截取在应用层与文件系统之间传递的数据，并且仅修改位于一个或更多个指定目录中的数据。

根据一个方面，这里公开的系统和方法使用选择性地截取和修改(例如，通过加密)要存储在指定目录中的数据的密码文件系统层来透明地提供数据安全。密码文件系统层可与一个或更多个密码方法相组合，以提供使得数据可证地安全或可访问的基于服务器的安全数据方案，同时消除了对多个周边硬件和软件技术的需要。在一个实现方式(例如，来自安全第一公司的Bitfiler)中，基于服务器的方案解决比特级别的安全性。例如，数据安全性被集成或者被直接编织到比特级别的数据中。在一些实施例中，基于服务器的方案可以是在诸如Windows或Linux平台的任何合适的操作系统上运行的软件应用。在一些实施例中，通过在内核级别上操作，实现了性能和使用便利性的大的改善。在一些实施例中，基于服务器的方案使得能够在硬件和软件方面建立可利用(leverage)公共企业基础架构的企业利益共同体(COI)。由于安全性已被编织到数据中，因此可在不损害数据安全和访问控制的情况下使用该公共基础架构。多个COI可在同一基础架构内以及在单个安全存储系统内共存。利用基于服务器的方案，没有在辩论上(forensically)可识别的数据被存储在任何设备或介质上。基于服务器的方案可与现有的企业访问控制系统相集成，从而允许在不修改当前的、建立的访问方案的情况下进行简化的部署。

在另一方面，本发明的基于服务器的方案是与硬件和软件无关的。基于服务器的方案应用于现有的企业网络、存储和安全方案。基于服务器的方案也应用于任何协作、CRM和ERM应用。由基于服务器的方案提供的内置安全性使得能够使用新兴的、成本效益的技术和服务，诸如用于基于云的存储、基于云的计算和基于云的应用的基础架构。

本发明的基于服务器的方案可利用安全第一公司的SecureParser Eχtended^TM(SPχ)核心技术。在一些实施例中，SecureParser SPχ采用多因素秘密共享算法来传输防卫级别的安全性。数据在被发送到多个位置(在本地和/或在地理上分散，例如，在私有云或公共云中)之前被认证、被加密(FIPS 140-2证明，符合套件B)、被分离、被添加冗余比特、被检查完整性、并且被再次加密。可使用任何合适的信息分散算法(IDA)来分离数据。数据在传送到存储位置的同时被隐藏，并且对于不具有正确的访问证书的用户来说是不可访问的。

在一些实施例中，密码文件系统层被用于保护正被写入到贮存器或从贮存器读取的数据。如这里所使用的，密码文件系统层是用于例如通过保护存储在文件系统中的数据、或者恢复从文件系统检索的安全数据来截取要存储在文件系统上的数据并且修改截取的数据中的至少一些的软件层。密码文件系统层截取在应用层和文件系统之间传递的数据，并且仅修改位于一个或更多个指定目录中的数据。如果文件在指定目录中，那么该文件在被存储之前被修改，这为该文件提供增加的安全性；如果文件不在指定目录中，那么该文件不被修改。为了逆转在存储文件之前密码文件系统层执行的修改，指定目录中的检索文件也被修改。

附图说明

以下结合附图更详细地描述本公开内容，这些附图旨在例示而不是限制本公开内容，其中：

图1示出根据实现方式的用于保护包括可与在这里讨论的任何处理相组合地使用的例示性特征的数据的处理。

图2示出根据实现方式的用于利用与数据一起加密和存储加密主密钥来解析数据的处理。

图3示出根据实现方式的用于利用与数据分开地加密和存储加密主密钥来解析数据的处理。

图4示出根据实现方式的用于利用与数据一起加密和存储加密主密钥来解析数据的中间密钥处理。

图5和图6是根据实现方式的具有集成的安全数据解析器的例示性系统的框图。

图7是根据实现方式的可以以任何合适的组合、利用任何合适的添加、删除或修改来使用的例示性步骤和特征的处理流程图。