有關申請的交叉引用

本申請要求對通過引用將公開內容結合于此、標題為LOG STRUCTURED VOLUME ENCRYPTION FOR VIRTUAL MACHINES、提交于2012年2月24日的第13/405,036號美國申請的優先權。

技術領域

本說明書涉及安全數據存儲，并且具體地涉及用于虛擬機的安全數據存儲。

背景技術

云計算是基于網絡的計算，其中在數據中心或者“服務器群”中容納的通常大型的服務器匯集根據需要向遠程終端用戶提供計算資源和數據存儲。一些云計算服務允許終端用戶在云中運行用戶提供的服務器軟件應用(例如電子商務服務器應用、web服務器或者文件服務器)。一些其它云計算服務向通過web瀏覽器或者其它客戶端側軟件利用軟件應用、比如字處理器和其它常用應用的終端用戶提供對這些應用的訪問。用戶的電子數據文件通常存儲于服務器群中而不是用戶的個人計算設備上。

發明內容

一般而言，可以在包括一種用于數據加密的方法的一個或者多種數據處理裝置實施的方法中體現在本文中描述的主題內容的一個方面。該方法包括從第一虛擬機接收用于在日志結構化卷中存儲數據的第一請求。該方法還包括基于第一請求來獲得數據和被授權訪問數據的一個或者多個用戶的訪問控制列表。該方法還包括獲得具有數據密鑰標識符的數據密鑰。該方法還包括使用一個或者多個數據處理裝置、使用卷包密鑰對數據密鑰和訪問控制列表進行加密以生成卷包的blob。該方法還包括使用一個或者多個數據處理裝置、使用數據密鑰對數據進行加密以生成加密的數據。該方法還包括在日志結構化卷中存儲卷包的blob和加密的數據。該方法還包括向在訪問控制列表上的一個或者多個用戶提供數據密鑰標識符。該方法還包括從第二虛擬機接收對于獲得數據的快照的第二請求。該方法還包括基于第二請求獲得包含數據密鑰和訪問控制列表的未卷包的blob。該方法還包括從未卷包的blob獲得數據密鑰和訪問控制列表。該方法還包括認證與第二請求關聯的用戶并且按照訪問控制列表向用戶授權。該方法還包括在確定用戶被認證和授權時使用一個或者多個數據處理裝置、使用數據密鑰對數據進行解密。該方法還包括向第二虛擬機提供數據的快照。

實現方式可以包括以下特征中的一個或者多個特征。該方法還包括確定與數據在日志結構化卷上的存儲關聯的閾值條件已經出現。該方法還包括獲得用新的數據密鑰標識符標識的新的數據密鑰、使用數據密鑰對數據進行解密、使用卷包密鑰對新的數據密鑰和訪問控制列表進行加密以生成新的卷包的blob、使用新的數據密鑰對數據進行加密以生成加密的數據、在日志結構化卷中存儲新的卷包的blob和加密的數據、向在訪問控制列表上的一個或者多個用戶提供新的數據密鑰標識符并且防止數據密鑰的后續使用。閾值條件包括數據密鑰保護的數據量。數據密鑰保護的數據量是累計數量。數據密鑰保護的數據量是當前數量。閾值條件包括數據密鑰已經被使用的持續時間。該方法還包括審核對數據的訪問并且確定數據已經被不在訪問控制列表上的用戶訪問并且數據密鑰已經被破解。該方法還包括獲得用新的數據密鑰標識符標識的新的數據密鑰、使用數據密鑰對數據進行解密、使用卷包密鑰對新的數據密鑰和訪問控制列表進行加密以生成新的卷包的blob、使用新的數據密鑰對數據進行加密以生成加密的數據、在日志結構化卷中存儲新的卷包的blob和加密的數據、向在訪問控制列表上的一個或者多個用戶提供新的數據密鑰標識符并且防止數據密鑰的后續使用。存儲加密的數據包括壓縮加密的數據。

另一方面，一種系統可以包括一個或者多個被編程為執行操作的數據處理裝置。操作包括從第一虛擬機接收用于在日志結構化卷中存儲數據的第一請求。操作還包括基于第一請求來獲得數據和被授權訪問數據的一個或者多個用戶的訪問控制列表。操作還包括獲得具有數據密鑰標識符的數據密鑰。操作還包括使用卷包密鑰對數據密鑰和訪問控制列表進行加密以生成卷包的blob。操作還包括使用數據密鑰對數據進行加密以生成加密的數據。操作還包括在日志結構化卷中存儲卷包的blob和加密的數據。操作還包括向在訪問控制列表上的一個或者多個用戶提供數據密鑰標識符。操作還包括從第二虛擬機接收對于獲得數據的快照的第二請求。操作還包括基于第二請求獲得包含數據密鑰和訪問控制列表的未卷包的blob。操作還包括從未卷包的blob獲得數據密鑰和訪問控制列表。操作還包括認證與第二請求關聯的用戶并且按照訪問控制列表向用戶授權。操作還包括在確定用戶被認證和授權時使用數據密鑰對數據進行解密。操作還包括向第二虛擬機提供數據的快照。