刪除存儲(chǔ)系統(tǒng)中的內(nèi)容的制作方法
【專利摘要】本發(fā)明顯著地涉及一種計(jì)算機(jī)化系統(tǒng)(301)���,其包含存儲(chǔ)系統(tǒng)(302、308),所述存儲(chǔ)系統(tǒng)(302���、308)存儲(chǔ)對(duì)象及關(guān)聯(lián)于所述對(duì)象的屬性值���。所述屬性值根據(jù)N個(gè)屬性類型的集合被組織,N≥1����,使得對(duì)于所述屬性類型中的每個(gè)屬性類型,對(duì)象能夠與屬性值相關(guān)聯(lián)�����。所述屬性類型中的每個(gè)屬性類型關(guān)聯(lián)于相應(yīng)圖形�。所述相應(yīng)圖形的每個(gè)節(jié)點(diǎn)關(guān)聯(lián)于一密鑰。所述密鑰用關(guān)聯(lián)于除了根節(jié)點(diǎn)以外的所述每個(gè)節(jié)點(diǎn)的父代節(jié)點(diǎn)的密鑰包裝�����。并且����,所述密鑰關(guān)聯(lián)于被關(guān)聯(lián)于所述相應(yīng)圖形的所述屬性類型的一個(gè)屬性值。所述對(duì)象中的每個(gè)對(duì)象基于一個(gè)或多個(gè)密鑰被加密���。所述一個(gè)或多個(gè)密鑰中的每個(gè)密鑰關(guān)聯(lián)于與所述對(duì)象中的每個(gè)對(duì)象相關(guān)聯(lián)的一個(gè)屬性值�。此系統(tǒng)改善了存儲(chǔ)于計(jì)算機(jī)化系統(tǒng)的存儲(chǔ)系統(tǒng)上的對(duì)象的刪除。
【專利說明】刪除存儲(chǔ)系統(tǒng)中的內(nèi)容
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計(jì)算機(jī)科學(xué)領(lǐng)域��,并且更具體地����,涉及用于存儲(chǔ)基于一個(gè)或多個(gè)密鑰 加密的對(duì)象且提供密鑰的刪除的計(jì)算機(jī)化系統(tǒng)、方法��、程序及數(shù)據(jù)存儲(chǔ)介質(zhì)��。
【背景技術(shù)】
[0002] 安全數(shù)據(jù)刪除常常特征化為數(shù)個(gè)域中的要求�����。作為一實(shí)例�,不同國(guó)家的私密及數(shù) 據(jù)保護(hù)條例已約定一組共同原則��。在所述共同原則中���,"目的"及"安全性"特別相關(guān)�,這可 從如下兩者看出:歐洲議會(huì)及委員會(huì)在1995年10月24日關(guān)于個(gè)體對(duì)于個(gè)人數(shù)據(jù)處理的保 護(hù)以及關(guān)于此數(shù)據(jù)的自由移動(dòng)的Directive 95/46/EC ;以及關(guān)于私密的保護(hù)及個(gè)人數(shù)據(jù) 的跨境流動(dòng)的0ECD指導(dǎo)方針�。"目的"的原則聲明:可僅出于由數(shù)據(jù)擁有者同意的目的而 存儲(chǔ)個(gè)人數(shù)據(jù)�,且一旦此目的不再有效��,就應(yīng)擦除數(shù)據(jù)���。與安全原則相聯(lián)系的是命令應(yīng)使數(shù) 據(jù)保持安全而免于任何潛在不當(dāng)使用��。明顯地����,立法者在處置"已過期"數(shù)據(jù)時(shí)需要特別小 心���。實(shí)際上����,對(duì)目的已過期的數(shù)據(jù)的存取將明顯地表示對(duì)兩種原則的違規(guī)�����。
[0003] 此情形在手邊的信息屬于諸如醫(yī)療和金融的特別敏感領(lǐng)域時(shí)甚至更成立�����。在此狀 況下����,眾多現(xiàn)有條例要求通過征收罰金以及甚至強(qiáng)制實(shí)行民事及刑事責(zé)任來避免機(jī)密社團(tuán) 及政府?dāng)?shù)據(jù)的任何未經(jīng)授權(quán)暴露�。這例如是針對(duì)美國(guó)國(guó)會(huì)如下法案的狀況:1996年的健康 保險(xiǎn)便利性及責(zé)任法案��、1999年的金融服務(wù)現(xiàn)代化法案�、2002年的公眾公司會(huì)計(jì)改革和投 資者保護(hù)法案、以及2003年的公平及準(zhǔn)確信用交易法案�。
[0004] 因此,將數(shù)據(jù)保留太長(zhǎng)時(shí)間會(huì)增加非想要披露的風(fēng)險(xiǎn)��,例如�,經(jīng)由違反安全性或 藉由傳票。此聲明的真實(shí)性是按照由此公司已遺失敏感數(shù)據(jù)的事件的數(shù)目來備份的�。這 些事件涉及不同新聞文章及研究,諸如J.Vijayan的名為"Programmer who stole drive containing 1 million bank records gets 42 months"(Computer World, 2008 年) 或 D. Sharp 的名為''Breach exposes 4. 2 million credit, debit cards�,'(Associated Press,2008 年)或 J. Evers 的名為"Credit card breach exposes 40 million accounts"(CNET News�����,2005 年)的新聞文章及研究���。Symantec Corporation 在 2011 年的 名為"U.S. cost of a data breach"的2010年度研究中示出,此數(shù)據(jù)違反的平均成本為大 約數(shù)百萬美元���,且此成本隨著時(shí)間不斷上漲���。
[0005] 這些簡(jiǎn)單事實(shí)示出不再需要的信息可如何僅變成公司的責(zé)任�,且社團(tuán)世界中的IT 系統(tǒng)的重要目標(biāo)應(yīng)為以安全方式處置信息的能力��。
[0006] 標(biāo)準(zhǔn)0S刪除原始觀念未提供對(duì)安全刪除問題的解決方案����。實(shí)際上,諸如Unix操 作系統(tǒng)中的unlink ()及remove ()的刪除操作僅從文件系統(tǒng)數(shù)據(jù)結(jié)構(gòu)移除對(duì)文件的參考�����, 而將實(shí)際數(shù)據(jù)留存于物理磁盤上���。
[0007] 針對(duì)安全文件刪除的第一已知方案為重寫��。然而�����,若缺乏經(jīng)驗(yàn)地進(jìn)行���,則重寫仍 可將過去數(shù)據(jù)的磁性跡線留存于磁盤中�。Gutmann等人示出可如何通過使用經(jīng)調(diào)適至驅(qū) 動(dòng)器的低層級(jí)編碼機(jī)制的某些模式來重寫內(nèi)容而實(shí)現(xiàn)安全刪除(P.Gutmaun的"Secure deletion of data from magnetic and solid-state memory����,',Proceedings of the 6th USENIX Security Symposium,第77-89頁�,1996年)。然而����,數(shù)個(gè)問題影響此解決方案。第 一���,不能有效地刪除大文件���。第二,若文件被復(fù)寫以增加其可用性或被備份�,則刪除負(fù)擔(dān)按 照副本的數(shù)目線性地增加。
[0008] 另外�,針對(duì)已知操作系統(tǒng)而開發(fā)的工具(比如,wipe����、eraser及shred)僅在重寫 模式適用于手邊的實(shí)際物理器件時(shí)、在所述模式實(shí)際上被寫入至磁盤(而非僅被寫入至 高速緩存)時(shí)及在所述寫入是以含有數(shù)據(jù)的磁盤扇區(qū)為目標(biāo)時(shí)才工作����。在對(duì)手邊的介質(zhì) 沒有詳細(xì)知識(shí)的情況下,確保第一條件是困難的�。可以復(fù)雜方式經(jīng)由0S層級(jí)或磁盤層級(jí) 寫入障壁��、寫入高速緩存清空或通過停用寫入高速緩存來確保第二條件���。關(guān)于第三條件����, 強(qiáng)制使用寫入局部性在現(xiàn)代文件系統(tǒng)中是相當(dāng)困難的����。實(shí)際上,記日志文件系統(tǒng)(諸如 JFS�����、ReiserFS����、XFS、Ext3)對(duì)日志執(zhí)行寫入操作而非直接對(duì)磁盤執(zhí)行寫入操作。其他文件 系統(tǒng)寫入冗余�,其他文件系統(tǒng)拍攝磁盤快照或在臨時(shí)位置中緩存數(shù)據(jù)。此外����,已由M. Wei、 L. Μ· Grupp�、F. Μ· Spada及S. Swanson在其名為"Reliably erasing data from flash-based solid state drives",(Proceedings of the 20th USENIX Security Symposium,2011年) 的論文中示出�,若數(shù)據(jù)存儲(chǔ)于不同介質(zhì)(諸如,固態(tài)驅(qū)動(dòng)器)上����,則沒有一種可用磁盤重寫 技術(shù)是有效的。通常�����,許多存儲(chǔ)系統(tǒng)具有許多層���。問題在于:缺乏對(duì)較低層實(shí)施機(jī)制的知 識(shí)�,且接口不含有用于指示較低層安全地刪除數(shù)據(jù)的方法��。
[0009] 已嘗試數(shù)個(gè)工作來實(shí)施基于重寫的技術(shù)作為現(xiàn)有文件系統(tǒng)的自動(dòng)特征��。在Bauer 及Ν· Β· Priyantha的名為"Secure data deletion for linux file systems,'��,(Proceedings of the 10th conference on USENIX Security Symposium��,第 10 卷��,SSYM��,01�����,第 12-12 頁��,美國(guó)CA伯克利��,2001年��,USENLX Association)的論文中��,作者提出用于ext2文件系 統(tǒng)的基于重寫的安全刪除擴(kuò)充的實(shí)施�����。所述系統(tǒng)基于進(jìn)行已被標(biāo)記為刪除的區(qū)塊的異步重 寫的單獨(dú)的新進(jìn)程(daemon)�����。此工作具有僅支持已過時(shí)的未被記日志的文件系統(tǒng)的缺點(diǎn)����。 在 N. Joukov、H. Papaxenopoulos 及 E. Zadok 的名為"Secure deletion myths, issues, and solutions����,',(Proceedings of the second ACM workshop on Storage security and survivability��,StorageSS' 06,第 61-66 頁��,美國(guó)紐約���,2006 年����,ACM)以及 N. Joukov 及 E. Zadok 的名為"Adding secure deletion to your favorite file system���,'����,(Proceedings of the Third IEEE International Security in Storage Workshop,第 63-70 頁,美國(guó)華 盛頓DC�,2005年,IEEE Computer Society)的論文中�����,作者提出一種用于基于攔截刪除調(diào) 用并用移動(dòng)指定文件夾中的文件的link()/unlink()操作來轉(zhuǎn)譯刪除調(diào)用����,來進(jìn)行安全刪 除的解決方案�����。接著�,在這些文件上異步地使用紋碎公用程序(shred utility)。所有這些 工作都共享上文所強(qiáng)調(diào)的基于重寫的方案的缺點(diǎn)���。
[0010] 在他們名為 "A revocable backup system"�,(proceedings of the 6th conference on USENIX Security Symposium, Focusing on Applications of Cryptography一第 6 卷��,第 9-9 頁�,美國(guó) CA 伯克利,1996 年�,USENIX Association)的論文 中��,D.Boneh及R.J.Lipton提出一種用于刪除內(nèi)容(尤其是已備份脫機(jī)內(nèi)容)的方案���。作 者所提議的關(guān)鍵思想是加密可需要安全刪除的所有內(nèi)容,且在安全刪除請(qǐng)求后即進(jìn)行密鑰 的刪除而非文件內(nèi)容的刪除���。作者還介紹針對(duì)已建立版本備份的支持�����。然而�����,使用此系統(tǒng) 會(huì)轉(zhuǎn)變成對(duì)管理用于每個(gè)個(gè)別文件的數(shù)個(gè)密碼密鑰的要求���。
[0011] 已通過數(shù)個(gè)后續(xù)工作來拾取充分利用密碼以實(shí)現(xiàn)安全刪除的思想。在 Ζ· N. J. Peterson���、R. Burns��、J. Herring�����、A. Stubblefield 及 A. D. Rubin 的名為 "Secure deletion for a versioning file system�,',(proceedings of the 4th conference on USENIX Conference on File and Storage Technologies,第 4 卷�����,第 11-11 頁���,美國(guó) CA 伯 克利����,2005年����,USENIX Association)的論文中���,作者提出一種用于基于將短的用密碼方式 計(jì)算的標(biāo)簽添加至文件的思想來支持建立版本文件系統(tǒng)中的安全刪除的解決方案:所述標(biāo) 簽的刪除暗示復(fù)原該文件的不可能性���。然而,與密鑰不同���,標(biāo)簽是公用的且可被存儲(chǔ)及復(fù)寫 為正常數(shù)據(jù)�。
[0012] 在名為"The ephemerizer:making data disappear,'���,(Technical report, Sun Microsystems公司�,美國(guó)CA Mountain View���,2005年)的論文中���,Perlman提出 ephemerizer 的概念:建立及通告公共密鑰且在預(yù)定義時(shí)間量之后保證其安全刪除的半信任第三方。以 此方式��,使用者可使用ephemerizer的密鑰中的一個(gè)來加密用于加密彼此的消息的會(huì)話 密鑰�����,其中保證在所述密鑰的過期時(shí)間之后����,這些密鑰將不再可用。在名為"File system design with assured delete�����,'���,(proceedings of the Third IEEE International Security in Storage Workshop����,第 83-88 頁,美國(guó)華盛頓 DC�,2005 年,IEEE Computer Society)的論文中���,同一作者提出一種解決方案��,其中可使用此思想來實(shí)施一文件系統(tǒng)�����。然 而���,此工作遭受被構(gòu)造于最初設(shè)計(jì)成用于在不同用戶之間加密消息的解決方案上的損失����。
[0013] 在 R. Geambasu、T. Kohno�、A. A. Levy 及 Η· M. Levy.的名為"Vanish: increasing data privacy with self-destructing data,'�,(proceedings of the 18th conference on USENIX security symposium����,SSYM'09,第 299-316 頁�,美國(guó) CA 伯克利,2009 年�,USENIX Association)的論文中,作者示出可如何使用基于DHT的對(duì)等系統(tǒng)的變動(dòng)率(churn rate) 來實(shí)現(xiàn)安全刪除����。其解決方案要求使用密碼密鑰來加密內(nèi)容,且需要使用例如A. Shamir 的名為 "How to share a secret"(Commun. ACM���,第 22:612-613 頁�,1979 年 11 月)的論 文中所披露的Shamir方案將此密鑰分成若干份��。然后�,可將所述密鑰的不同份分配給 DHT的隨機(jī)使用者。因?yàn)槭褂谜邔⒆匀坏匾姴坏紻HT�,且假設(shè)密鑰僅存儲(chǔ)于非永久性存 儲(chǔ)器中,因此在某一時(shí)間量之后�����,密鑰將不再可用。然而��,可通過在DHT上采用熟知的女 巫攻擊(sybil attack)而使該方案受到攻擊�,如 Wolchok、Hofmann�、Heninger、Felten���、 Halderman����、Rossbach����、Waters及Witchel 的名為"Defeating Vanish with low-cost Sybil attacks against large DHTh,'��,(proc. 17th Network and Distributed System Security Symposium(NDSS)�,IS0C,2010年2月)的論文中所解釋的����。
[0014] 現(xiàn)在提出一種構(gòu)成用于安全刪除問題的抽象化的方案的方案�,此后被稱作D i Crescenzo 等人的方案。此方案還在 Di Crescenzo、Ν· Ferguson��、R. Impagliazzo 及 M. Jakobsson 的名為 "How to forget a secret"��,(proceedings of the 16th annual conference on Theoreticalaspects of computer science, STACS'99,第 500-509 頁�,柏 林海德堡,1999年�,Springer-Verlag)的論文中得以描述。
[0015] 該方法包含從小且恒定大小的外部可擦除存儲(chǔ)器及任意大小的標(biāo)準(zhǔn)(非可擦除) 存儲(chǔ)器來構(gòu)造任意大小的可擦除存儲(chǔ)器�����。該思想以密鑰樹為中心:樹的每個(gè)節(jié)點(diǎn)關(guān)聯(lián)于密 碼密鑰����。無密鑰以純文本形式存儲(chǔ)于樹中,但其在已用關(guān)聯(lián)于其父代節(jié)點(diǎn)的密鑰加密之后 被存儲(chǔ)(加密密鑰還被稱為密鑰包裝(key-wrapping))��。關(guān)聯(lián)于根的密鑰存儲(chǔ)于外部可擦 除存儲(chǔ)器中���,而其他值存儲(chǔ)于標(biāo)準(zhǔn)存儲(chǔ)器中�����。
[0016] 密鑰樹為完整η元樹��,且需要安全刪除的N = nm值被配置為此樹的葉:因此�����,所述 葉是值為實(shí)際數(shù)據(jù)而非密碼密鑰的僅有節(jié)點(diǎn)��。使用每個(gè)節(jié)點(diǎn)的父代節(jié)點(diǎn)的密鑰來加密關(guān)聯(lián) 于葉的數(shù)據(jù)����。
[0017] 圖1表示用于加密八個(gè)值Vl、…����、v8的此樹的示例,在該實(shí)例中為二元樹����。就(A) B而言,參考使用B作為密鑰而被加密(經(jīng)由對(duì)稱加密)的值A(chǔ)�。
[0018] 當(dāng)一值需要安全刪除時(shí),遍及樹來執(zhí)行以下操作:對(duì)于需要?jiǎng)h除的節(jié)點(diǎn)與根之間 的路徑中的每個(gè)節(jié)點(diǎn)�����,1)從密鑰空間提取新值且使用新值的上階(ancestor)的新的未包 裝值來包裝新值�����;及2)使用上階的新的未包裝值來重新包裝新值的同層級(jí)中的每一個(gè)的 值�。對(duì)于關(guān)聯(lián)于樹的根的密鑰發(fā)生相同情形。另外�����,由于此密鑰存儲(chǔ)于可安全可擦除存儲(chǔ) 器上��,所以所述密鑰在刪除操作之后的取回是不可能的�。需要安全刪除的節(jié)點(diǎn)未被重新加 密。以此方式��,該節(jié)點(diǎn)的安全刪除得到保證��,因?yàn)樵摴?jié)點(diǎn)的解密將需要(由于樹的性質(zhì))存 取根的舊值����,此情形根據(jù)定義不再是可能的,因?yàn)槠浯鎯?chǔ)于可擦除存儲(chǔ)器中�����。
[0019] 在使用Di Crescenzo等人的方案的情況下����,可能構(gòu)造一種用于在存儲(chǔ)服務(wù)情境中 安全刪除文件的解決方案�。為此��,在樹的葉之前所考慮的值可以是用于加密文件加密密鑰 (FEK)的密鑰-加密密鑰(KEK)�。可使用FEK來加密需要安全刪除的文件���,且僅在用對(duì)應(yīng) KEK包裝的情況下存儲(chǔ)FEK���。當(dāng)文件需要安全刪除時(shí),在對(duì)應(yīng)KEK上調(diào)用刪除操作����。此后可 延遲地刪除所述文件。
[0020] 此解決方案不適合于在存儲(chǔ)服務(wù)情境中安全刪除文件�����。首先���,密鑰樹為超尺寸的�, 因?yàn)樵趍層級(jí)樹中除了位于m-ι處的節(jié)點(diǎn)以外的所有節(jié)點(diǎn)皆實(shí)際上用于加密內(nèi)容�����。其次, 如先前章節(jié)所描述���,實(shí)際內(nèi)容被布置成樹的葉且每個(gè)葉使用關(guān)聯(lián)于其父代的密鑰加密。此 暗示使用η元樹中的相同密鑰加密η個(gè)同層級(jí)節(jié)點(diǎn)����。然而,假設(shè)節(jié)點(diǎn)的安全刪除需要其同 層級(jí)的重新加密���,則在應(yīng)用于文件存儲(chǔ)的Di Crescenzo等人的方案所提出的解決方案中�����, 文件的安全刪除將需要其他可能極大文件的重新加密�。另外����,Di Crescenzo等人的方案假 定由重新加密進(jìn)程引起的臨時(shí)純文本值應(yīng)存儲(chǔ)于可擦除存儲(chǔ)器中。然而��,此情形可導(dǎo)致大 部分?jǐn)?shù)據(jù)存儲(chǔ)于可擦除存儲(chǔ)器中����,或?qū)е聵O高I/O帶寬的需求���。最后,所述方案可僅處置單 數(shù)據(jù)單位的刪除���。然而����,此方案不適合具有刪除具有共同語義的大文件集合的要求的情境�����。
[0021] 因此��,迫切要求一種用于刪除存儲(chǔ)在計(jì)算機(jī)化系統(tǒng)的存儲(chǔ)系統(tǒng)上的對(duì)象的改進(jìn)解 決方案�。
【發(fā)明內(nèi)容】
[0022] 根據(jù)一個(gè)方面,本發(fā)明體現(xiàn)為一種計(jì)算機(jī)化系統(tǒng)�����,包含:存儲(chǔ)系統(tǒng)�����,所述存儲(chǔ)系統(tǒng) 存儲(chǔ)對(duì)象及關(guān)聯(lián)于所述對(duì)象的屬性值。所述屬性值根據(jù)N個(gè)屬性類型的集合被組織�,N3 1, 使得對(duì)于所述屬性類型中的每個(gè)屬性類型��,對(duì)象能夠與屬性值相關(guān)聯(lián)���。所述屬性類型中的 每個(gè)屬性類型關(guān)聯(lián)于相應(yīng)圖形�����。所述相應(yīng)圖形的每個(gè)節(jié)點(diǎn)關(guān)聯(lián)于一密鑰。所述密鑰用關(guān)聯(lián) 于除了根節(jié)點(diǎn)以外的所述每個(gè)節(jié)點(diǎn)的父代節(jié)點(diǎn)的密鑰包裝��;并且關(guān)聯(lián)于對(duì)應(yīng)于所述相應(yīng)圖 形的所述屬性類型的一個(gè)屬性值����。并且,所述對(duì)象中的每個(gè)對(duì)象基于一個(gè)或多個(gè)密鑰被加 密存儲(chǔ)�����,所述一個(gè)或多個(gè)密鑰中的每個(gè)密鑰關(guān)聯(lián)于與所述對(duì)象中的每個(gè)對(duì)象相關(guān)聯(lián)的一個(gè) 屬性值���。所述系統(tǒng)還包含被配置用于刪除密鑰的密鑰管理裝置���。
[0023] 在實(shí)例中��,所述計(jì)算機(jī)化系統(tǒng)可包含以下特征中的一個(gè)或多個(gè):
[0024] -所述屬性類型中的一種屬性類型對(duì)應(yīng)于映射至所述計(jì)算機(jī)化系統(tǒng)的文件系統(tǒng)上 的文件系統(tǒng)樹��,其中所述文件系統(tǒng)樹的每個(gè)節(jié)點(diǎn)與如下各項(xiàng)相關(guān)聯(lián):唯一地識(shí)別所述文件 系統(tǒng)的目錄或文件的屬性值�����,使得所述每個(gè)節(jié)點(diǎn)對(duì)應(yīng)于所述文件系統(tǒng)的目錄或文件�;以及 用關(guān)聯(lián)于除了根節(jié)點(diǎn)以外的所述每個(gè)節(jié)點(diǎn)的父代節(jié)點(diǎn)的密鑰包裝的密鑰�����,其中對(duì)應(yīng)于所述 文件系統(tǒng)樹的相應(yīng)葉節(jié)點(diǎn)的所述文件系統(tǒng)的文件分別基于關(guān)聯(lián)于所述文件系統(tǒng)樹的相應(yīng) 葉節(jié)點(diǎn)的密鑰被加密��;
[0025] -對(duì)應(yīng)于所述文件系統(tǒng)樹的相應(yīng)葉節(jié)點(diǎn)的所述文件系統(tǒng)的所述文件分別基于至少 兩個(gè)密鑰被加密�����,所述兩個(gè)密鑰中的一個(gè)密鑰關(guān)聯(lián)于所述文件系統(tǒng)樹的相應(yīng)葉節(jié)點(diǎn)�,以及 所述兩個(gè)密鑰中的另一個(gè)密鑰關(guān)聯(lián)于與對(duì)應(yīng)于所述文件系統(tǒng)樹的屬性類型不同的另一個(gè) 屬性類型;
[0026] -每個(gè)對(duì)象基于至少兩個(gè)密鑰被加密��,每個(gè)密鑰與不同類型的相應(yīng)屬性值相關(guān) 聯(lián);
[0027] -每個(gè)對(duì)象使用單一密鑰被加密���,基于所述至少兩個(gè)密鑰獲得所述單一密鑰��;
[0028] -每個(gè)對(duì)象使用單一密鑰被加密���,經(jīng)由將所述至少兩個(gè)密鑰當(dāng)作輸入的單向函數(shù) 獲得所述單一密鑰,所述單向函數(shù)諸如是所述至少兩個(gè)密鑰的級(jí)聯(lián)的散列函數(shù)�����;
[0029] -所述屬性類型中的一種屬性類型對(duì)應(yīng)于使用者����,使得這種類型的相異屬性值對(duì) 應(yīng)于相異使用者�����;
[0030] -所述屬性類型中的一種屬性類型對(duì)應(yīng)于時(shí)間�����,使得這種類型的相異屬性值優(yōu)選 地對(duì)應(yīng)于相異年份或相異保留期����;
[0031] -所述對(duì)象中的每個(gè)對(duì)象基于全有或全無變換被加密存儲(chǔ)�����,其中所述對(duì)象中的每 個(gè)對(duì)象的一部分基于所述一個(gè)或多個(gè)密鑰被加密�����。
[0032] 根據(jù)另一方面�,本發(fā)明體現(xiàn)為一種安全地管理存儲(chǔ)在上述計(jì)算機(jī)化系統(tǒng)中的對(duì)象 的計(jì)算機(jī)實(shí)施方法���,包含刪除樹的密鑰的步驟����,由此防止再次衍生先前用已刪除密鑰包裝 的密鑰中的每個(gè)密鑰����,以及存取基于至少所述已刪除密鑰被加密的任何對(duì)象。
[0033] 在所述刪除的步驟之前����,所述方法可進(jìn)一步包含如下步驟:選取樹中的給定節(jié)點(diǎn); 建立相異于迄今與所述節(jié)點(diǎn)相關(guān)聯(lián)的所述密鑰的新密鑰��,以用于使所述新密鑰與所述節(jié)點(diǎn) 相關(guān)聯(lián);用所述新密鑰包裝關(guān)聯(lián)于所述節(jié)點(diǎn)的子代節(jié)點(diǎn)的密鑰�。以及所述刪除的步驟包含 刪除迄今與所述節(jié)點(diǎn)相關(guān)聯(lián)的密鑰。
[0034] 根據(jù)另一方面��,本發(fā)明體現(xiàn)為一種計(jì)算機(jī)程序�,其包含用于將具有存儲(chǔ)系統(tǒng)的計(jì) 算機(jī)化系統(tǒng)配置成上述計(jì)算機(jī)化系統(tǒng)或用于執(zhí)行上述方法的指令。
[0035] 根據(jù)另一方面�����,本發(fā)明體現(xiàn)為一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)����,其上記錄有計(jì)算機(jī)程序。
【專利附圖】
【附圖說明】
[0036] 現(xiàn)在將通過非限制性實(shí)例且參考附圖來描述體現(xiàn)本發(fā)明的系統(tǒng)及進(jìn)程���。
[0037] 圖1表示現(xiàn)有技術(shù)的密鑰樹的示例�����;
[0038] 圖2示出安全地管理存儲(chǔ)在計(jì)算機(jī)化系統(tǒng)中的對(duì)象的方法的實(shí)例的流程圖;
[0039] 圖3及圖4表示計(jì)算機(jī)化系統(tǒng)的實(shí)例的密鑰樹的示例�;
[0040] 圖5示出計(jì)算機(jī)化系統(tǒng)的第三實(shí)例的圖形表示;
[0041] 圖6表示計(jì)算機(jī)化系統(tǒng)的實(shí)例�。
【具體實(shí)施方式】
[0042] 如所屬【技術(shù)領(lǐng)域】的技術(shù)人員知道的,本發(fā)明的各個(gè)方面可以實(shí)現(xiàn)為計(jì)算機(jī)化系 統(tǒng)、用于使用或配置所述系統(tǒng)的方法或用于執(zhí)行所述方法的計(jì)算機(jī)程序產(chǎn)品�����。因此�����,本發(fā)明 的各個(gè)方面可以具體實(shí)現(xiàn)為以下形式��,即:完全的硬件實(shí)施方式���、完全的軟件實(shí)施方式(包 括固件�����、駐留軟件�、微代碼等)�,或硬件和軟件方面結(jié)合的實(shí)施方式,這里可以統(tǒng)稱為"電 路"�、"模塊"或"系統(tǒng)"。此外���,本發(fā)明的各個(gè)方面還可以實(shí)現(xiàn)為在一個(gè)或多個(gè)計(jì)算機(jī)可讀介 質(zhì)中的計(jì)算機(jī)程序產(chǎn)品的形式����,所述計(jì)算機(jī)可讀介質(zhì)(即,數(shù)據(jù)存儲(chǔ)介質(zhì))具有在其上記錄 的計(jì)算機(jī)可讀程序代碼��。
[0043] 可以采用一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)的任意組合����。計(jì)算機(jī)可讀介質(zhì)可以是計(jì)算 機(jī)可讀信號(hào)介質(zhì)或者計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)例如可以是--但不限 于--電�����、磁��、光�����、電磁���、紅外線��、或半導(dǎo)體的系統(tǒng)�����、裝置或器件����,或者任意以上的組合�����。計(jì)算 機(jī)可讀存儲(chǔ)介質(zhì)的更具體的例子(非窮舉的列表)包括以下:便攜式計(jì)算機(jī)盤���、硬盤�����、隨機(jī) 存取存儲(chǔ)器(RAM)��、只讀存儲(chǔ)器(ROM)����、可擦式可編程只讀存儲(chǔ)器(EPROM或閃存)�、光纖、便 攜式緊湊盤只讀存儲(chǔ)器(CD-ROM)���、光存儲(chǔ)器件����、磁存儲(chǔ)器件、或者上述的任意合適的組合����。 在本文檔的上下文中,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)����,即數(shù)據(jù)存儲(chǔ)介質(zhì),可以是任何包含或存儲(chǔ)程序 的有形介質(zhì)�,所述程序可以被指令執(zhí)行系統(tǒng)、裝置或者器件使用或者與其結(jié)合使用����。
[0044] 計(jì)算機(jī)可讀信號(hào)介質(zhì)可以包括在基帶中或者作為載波一部分傳播的數(shù)據(jù)信號(hào), 其中承載了計(jì)算機(jī)可讀程序代碼�����。這種傳播的信號(hào)可以采用多種形式����,包括--但不限 于--電磁信號(hào)、光信號(hào)或上述的任意合適的組合。計(jì)算機(jī)可讀信號(hào)介質(zhì)還可以是計(jì)算機(jī) 可讀存儲(chǔ)介質(zhì)以外的任何計(jì)算機(jī)可讀介質(zhì)�����,所述計(jì)算機(jī)可讀介質(zhì)可以發(fā)送����、傳播或者傳輸 用于由指令執(zhí)行系統(tǒng)�����、裝置或者器件使用或者與其結(jié)合使用的程序�����。
[0045] 計(jì)算機(jī)可讀介質(zhì)上包含的程序代碼可以用任何適當(dāng)?shù)慕橘|(zhì)傳輸�����,包括--但不限 于一一無線���、有線���、光纜、RF等等��,或者上述的任意合適的組合。
[0046] 可以以一種或多種程序設(shè)計(jì)語言的任意組合來編寫用于執(zhí)行本發(fā)明各方面的 操作的計(jì)算機(jī)程序代碼����,所述程序設(shè)計(jì)語言包括面向?qū)ο蟮某绦蛟O(shè)計(jì)語言一諸如Java、 Smalltalk�����、C++等�,還包括常規(guī)的過程式程序設(shè)計(jì)語言一諸如"C"程序設(shè)計(jì)語言或類似的 程序設(shè)計(jì)語言。程序代碼可以完全地在用戶計(jì)算機(jī)上執(zhí)行�、部分地在用戶計(jì)算機(jī)上執(zhí)行、作 為一個(gè)獨(dú)立的軟件包執(zhí)行�����、部分在用戶計(jì)算機(jī)上部分在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行�����、或者完全在遠(yuǎn) 程計(jì)算機(jī)或服務(wù)器上執(zhí)行����。在涉及遠(yuǎn)程計(jì)算機(jī)的情形中,遠(yuǎn)程計(jì)算機(jī)可以通過任意種類的 網(wǎng)絡(luò)--包括局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)-連接到用戶計(jì)算機(jī),或者可以連接到外部計(jì) 算機(jī)(例如利用因特網(wǎng)服務(wù)提供商來通過因特網(wǎng)連接)�。
[0047] 下面將參照根據(jù)本發(fā)明實(shí)施例的方法、裝置(系統(tǒng))和計(jì)算機(jī)程序產(chǎn)品的流程圖 和/或框圖描述本發(fā)明的各方面�����。應(yīng)當(dāng)理解���,流程圖和/或框圖的每個(gè)方框以及流程圖和/ 或框圖中各方框的組合,都可以由計(jì)算機(jī)程序指令實(shí)現(xiàn)�。這些計(jì)算機(jī)程序指令可以提供給 通用計(jì)算機(jī)、專用計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器���,從而生產(chǎn)出一種機(jī)器�����,使得 這些計(jì)算機(jī)程序指令在通過計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行時(shí)�,產(chǎn)生實(shí)現(xiàn) 流程圖和/或框圖中的一個(gè)或多個(gè)方框中規(guī)定的功能/動(dòng)作的裝置�。
[0048] 還可以把這些計(jì)算機(jī)程序指令存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中,這些指令使得計(jì)算機(jī)�����、 其它可編程數(shù)據(jù)處理裝置、或其他設(shè)備以特定方式工作���。計(jì)算機(jī)程序指令還可以加載到計(jì) 算機(jī)��、其它可編程數(shù)據(jù)處理裝置或者其它設(shè)備上��,以使得一系列操作步驟在計(jì)算機(jī)�、其它可 編程裝置或者其它設(shè)備上執(zhí)行���,產(chǎn)生一種計(jì)算機(jī)實(shí)現(xiàn)的過程��,使得在所述計(jì)算機(jī)或者其它 可編程裝置上執(zhí)行的指令提供用于實(shí)現(xiàn)在所述流程圖和/或框圖中的一個(gè)或多個(gè)方框中 所指定的功能/動(dòng)作的過程���。
[0049] 提供一種計(jì)算機(jī)化系統(tǒng),其包含存儲(chǔ)系統(tǒng)��,所述存儲(chǔ)系統(tǒng)存儲(chǔ)對(duì)象及關(guān)聯(lián)于所述 對(duì)象的屬性值��。所述屬性值根據(jù)N個(gè)屬性類型的集合被組織���,N3 1�,使得對(duì)于所述屬性類 型中的每個(gè)屬性類型���,對(duì)象能夠與屬性值相關(guān)聯(lián)���。所述屬性類型中的每個(gè)屬性類型關(guān)聯(lián)于 相應(yīng)圖形���。所述相應(yīng)圖形的每個(gè)節(jié)點(diǎn)關(guān)聯(lián)于一密鑰。所述密鑰用關(guān)聯(lián)于除了根節(jié)點(diǎn)以外的 所述每個(gè)節(jié)點(diǎn)的父代節(jié)點(diǎn)的密鑰包裝�。并且,所述密鑰關(guān)聯(lián)于與相應(yīng)圖形相關(guān)聯(lián)的屬性類 型的一個(gè)屬性值���。所述對(duì)象中的每個(gè)對(duì)象基于一個(gè)或多個(gè)密鑰被加密存儲(chǔ)����。所述一個(gè)或多 個(gè)密鑰中的每個(gè)密鑰關(guān)聯(lián)于與所述對(duì)象中的每個(gè)對(duì)象相關(guān)聯(lián)的一個(gè)屬性值�。所述計(jì)算機(jī)化 系統(tǒng)還包含被配置用于建立���、管理和/或刪除密鑰的密鑰管理裝置�。此系統(tǒng)改善了存儲(chǔ)在 所述存儲(chǔ)系統(tǒng)上的對(duì)象的刪除�����。
[0050] 就"計(jì)算機(jī)化系統(tǒng)"而言���,其意謂具有計(jì)算能力的任何類型的系統(tǒng)��,例如�,具有硬件 處理器的系統(tǒng)。舉例而言�,其意謂桌面計(jì)算機(jī)或膝上型計(jì)算機(jī)。所述計(jì)算機(jī)化系統(tǒng)包含存 儲(chǔ)系統(tǒng)��。所述存儲(chǔ)系統(tǒng)由用于存儲(chǔ)數(shù)據(jù)的任何裝置組成��,諸如��,包含非易失性和/或易失性 部件的硬件存儲(chǔ)器����。所預(yù)期的計(jì)算機(jī)化系統(tǒng)的存儲(chǔ)系統(tǒng)實(shí)際上存儲(chǔ)(即,適于存儲(chǔ))對(duì)象 及關(guān)聯(lián)于所述對(duì)象的屬性值(可能地�����,視情況至多為每屬性類型及每對(duì)象一個(gè)值)��。所述對(duì) 象由形成單位(unity)的一些數(shù)據(jù)組成�。舉例而言,所述對(duì)象為文件(例如�,計(jì)算機(jī)文件) 和/或目錄���。所述屬性值僅僅指定屬性類型的值。因此��,所述屬性值構(gòu)成關(guān)聯(lián)于所述對(duì)象 的數(shù)據(jù)�。就"關(guān)聯(lián)"而言,其意謂所述系統(tǒng)存儲(chǔ)從所述對(duì)象至所述屬性值和/或從所述屬性 值至所述對(duì)象的鏈接或指針�,以便取回關(guān)聯(lián)于一個(gè)對(duì)象的一個(gè)或多個(gè)屬性值和/或關(guān)聯(lián)于 一個(gè)屬性的一個(gè)值的一個(gè)或多個(gè)對(duì)象。所述屬性值根據(jù)N個(gè)屬性類型的集合被組織��。所述 屬性類型為將所述對(duì)象特性化的特征���。換言之�,對(duì)于每個(gè)已存儲(chǔ)對(duì)象����,一個(gè)或多個(gè)屬性值以 組織的方式被關(guān)聯(lián)于此對(duì)象存儲(chǔ)(即�,對(duì)應(yīng)于屬性值的屬性類型是可取回的)。對(duì)于所述屬 性類型中的每個(gè)屬性類型��,對(duì)象能夠與屬性值相關(guān)聯(lián)����。換言之�����,存在N個(gè)屬性類型��,且對(duì)于 所述屬性類型中的每個(gè)屬性類型�����,對(duì)應(yīng)于給定對(duì)象的一個(gè)值被關(guān)聯(lián)于所述對(duì)象存儲(chǔ)��。在所 有所述屬性類型的屬性值集合與對(duì)象之間可顯著地存在一對(duì)一映射(即��,對(duì)于每個(gè)屬性類 型�,每個(gè)對(duì)象具有一個(gè)且至多一個(gè)屬性值)��。1意謂N為任何非零自然數(shù)�����。
[0051] 所述屬性類型中的每個(gè)屬性類型關(guān)聯(lián)于相應(yīng)圖形(因此��,所述存儲(chǔ)系統(tǒng)進(jìn)一步適 于存儲(chǔ)此圖形且可能地�,在給定時(shí)間,存儲(chǔ)此圖形)�����。根據(jù)雙射(所述圖形的每節(jié)點(diǎn)一個(gè)且 僅一個(gè)密鑰),所述相應(yīng)圖形的每個(gè)節(jié)點(diǎn)關(guān)聯(lián)于一密鑰(也存儲(chǔ)在所述存儲(chǔ)系統(tǒng)上)�����。所 述密鑰自身用關(guān)聯(lián)于除了根節(jié)點(diǎn)以外的所述每個(gè)節(jié)點(diǎn)的父代節(jié)點(diǎn)(例如�����,根據(jù)圖形層級(jí)架 構(gòu))的密鑰包裝(即��,加密)����。換言之,所述圖形的每個(gè)節(jié)點(diǎn)指向用父代節(jié)點(diǎn)的密鑰加密 (例如��,根據(jù)加密算法)的密鑰(即�����,用于例如根據(jù)加密算法來加密其他數(shù)據(jù)的數(shù)據(jù))���。此 意謂所述圖形為有向圖形���,每個(gè)弧由此具有開始節(jié)點(diǎn)(即,父代節(jié)點(diǎn))及結(jié)束節(jié)點(diǎn)(即��,子 代節(jié)點(diǎn))�����。此也意謂所述圖形的給定密鑰(即��,關(guān)聯(lián)于所述圖形的節(jié)點(diǎn))就其本身而言是不 可用的�����。所述給定密鑰必須首先使用所述節(jié)點(diǎn)的父代節(jié)點(diǎn)的關(guān)聯(lián)于所述給定密鑰的密鑰解 密���。此情形不成立的僅有狀況為所述密鑰關(guān)聯(lián)于所述圖形的所述根節(jié)點(diǎn)的狀況����,即����,不存在 父代節(jié)點(diǎn)的節(jié)點(diǎn)。在具有根節(jié)點(diǎn)及有向弧的情況下,所述圖形可能地為樹圖形��。
[0052] 而且����,所述密鑰關(guān)聯(lián)于對(duì)應(yīng)于所述相應(yīng)圖形的所述屬性類型的一個(gè)屬性值。換言 之��,圖形的密鑰關(guān)聯(lián)于對(duì)象����,且更特定言之,關(guān)聯(lián)于所述對(duì)象的對(duì)應(yīng)于所述圖形的屬性類型 的屬性值���。因此���,相比于Di Crescenzo等人的方案,所述計(jì)算機(jī)化系統(tǒng)提供圖形數(shù)據(jù)的最 佳使用�。實(shí)際上,所述圖形的所有節(jié)點(diǎn)皆關(guān)聯(lián)于密鑰�,所述密鑰自身關(guān)聯(lián)于數(shù)據(jù)(在本狀況 下為關(guān)聯(lián)于對(duì)象的屬性值),而非僅僅葉節(jié)點(diǎn)��。因此�,關(guān)聯(lián)于非葉節(jié)點(diǎn)的密鑰既用于加密數(shù) 據(jù)(即,對(duì)象的屬性值)又用于包裝另一密鑰(即���,關(guān)聯(lián)于子代節(jié)點(diǎn)的密鑰)�。
[0053] 接著��,所述對(duì)象中的每個(gè)對(duì)象基于一個(gè)或多個(gè)密鑰被加密存儲(chǔ)(例如��,在對(duì)所述 對(duì)象的至少一部分運(yùn)行加密算法之后�����,所述算法將所述一個(gè)或多個(gè)密鑰當(dāng)作參數(shù))���。所述 一個(gè)或多個(gè)密鑰中的每個(gè)密鑰關(guān)聯(lián)于與所述對(duì)象中的每個(gè)對(duì)象相關(guān)聯(lián)的一個(gè)屬性值����。換言 之����,所述對(duì)象就其本身而言未存儲(chǔ)在所述存儲(chǔ)系統(tǒng)上,而基于分別關(guān)聯(lián)于所述對(duì)象的一個(gè) 或多個(gè)屬性值的相應(yīng)密鑰被加密����,以便進(jìn)行隱藏,每個(gè)屬性值對(duì)應(yīng)于相應(yīng)屬性類型。為了讀 取對(duì)象(即�����,存取所述對(duì)象的內(nèi)容)�����,一個(gè)或多個(gè)密鑰是必要的(以及所述加密算法�����,當(dāng)然����, 所述加密算法也可被存儲(chǔ)或?yàn)樵噲D讀取所述對(duì)象的人員所知)。因此����,有可能通過刪除所述 一個(gè)或多個(gè)密鑰中的至少一者來安全地刪除對(duì)象。實(shí)際上���,若刪除所述"一個(gè)或多個(gè)密鑰" 中的一個(gè)��,則所述對(duì)象可不再被解密���。并且��,所述計(jì)算機(jī)化系統(tǒng)實(shí)際上包含被配置用于刪除 密鑰的密鑰管理裝置���。密鑰相比于對(duì)象較易于被刪除���,且所述密鑰也較易于被管理及控制�����。
[0054] 現(xiàn)在���,因?yàn)樗雒荑€根據(jù)有向圖形被組織(關(guān)聯(lián)于節(jié)點(diǎn)的每個(gè)密鑰由關(guān)聯(lián)于父代 節(jié)點(diǎn)的密鑰包裝),所以所述系統(tǒng)規(guī)定通過事實(shí)上刪除父代密鑰或任何其他上階密鑰來刪 除關(guān)聯(lián)于節(jié)點(diǎn)的密鑰�����。實(shí)際上����,所述圖形的每個(gè)節(jié)點(diǎn)具有父代節(jié)點(diǎn)(除了根節(jié)點(diǎn)以外)且 關(guān)聯(lián)于由關(guān)聯(lián)于父代節(jié)點(diǎn)的密鑰包裝的一個(gè)給定密鑰。因此�,若刪除關(guān)聯(lián)于上階節(jié)點(diǎn)的密 鑰����,則給定密鑰可不再被解密�����。因此�,所述方法提供安全且有效的刪除系統(tǒng)。
[0055] 實(shí)際上���,提供一種安全地管理存儲(chǔ)在計(jì)算機(jī)化系統(tǒng)中的對(duì)象的方法��。所述方法包 含刪除圖形的密鑰的步驟����。所述圖形為關(guān)聯(lián)于屬性類型的相應(yīng)圖形中的一個(gè)����。因此,已刪 除密鑰為迄今關(guān)聯(lián)于所述圖形的給定節(jié)點(diǎn)的密鑰�����。由此�����,所述方法防止再次衍生(先前) 用已刪除密鑰包裝的密鑰中的每個(gè)密鑰。并且�����,所述方法因此也防止存取基于至少所述已 刪除密鑰被加密的任何對(duì)象��。
[0056] 在刪除的步驟之前����,所述方法可進(jìn)一步包含如下步驟:選取圖形中的給定節(jié)點(diǎn) (所述圖形的關(guān)聯(lián)于所述待刪除密鑰的節(jié)點(diǎn))����;建立相異于迄今與所述節(jié)點(diǎn)相關(guān)聯(lián)的密鑰 的新密鑰(所述新密鑰具有不同于待刪除密鑰的值的值),以用于使所述新密鑰與所述節(jié) 點(diǎn)相關(guān)聯(lián)(因此���,新密鑰取代待刪除密鑰)�;以及用所述新密鑰包裝關(guān)聯(lián)于所述節(jié)點(diǎn)的子代 節(jié)點(diǎn)的密鑰。換言之,使用所述新密鑰來重新包裝關(guān)聯(lián)于為給定節(jié)點(diǎn)(關(guān)聯(lián)于待刪除密鑰 的給定節(jié)點(diǎn))的子代的節(jié)點(diǎn)的密鑰(而所述密鑰迄今使用待刪除密鑰的值包裝)��。也可以 相同方式來重新包裝孫代及另外世系代�����。換言之��,可遍及給定節(jié)點(diǎn)(即���,關(guān)聯(lián)于通過所述方 法刪除的密鑰的節(jié)點(diǎn))的世系來反復(fù)該包裝�。在所述狀況下��,刪除步驟可包含刪除迄今與 所述節(jié)點(diǎn)相關(guān)聯(lián)的密鑰���。
[0057] 圖2說明具有刪除(S40)圖形的密鑰的步驟的此方法的實(shí)例�,所述方法包含刪除 迄今與所述節(jié)點(diǎn)相關(guān)聯(lián)的密鑰���,且在刪除(S40)的步驟之前包含如下步驟:選?。⊿10)圖形 中的給定節(jié)點(diǎn)�;建立(S20)相異于迄今與所述節(jié)點(diǎn)相關(guān)聯(lián)的密鑰的新密鑰,以用于使所述 新密鑰與所述節(jié)點(diǎn)相關(guān)聯(lián)�����;以及用所述新密鑰包裝(S30)關(guān)聯(lián)于所述節(jié)點(diǎn)的子代節(jié)點(diǎn)的密 鑰��。
[0058] 現(xiàn)在���,關(guān)聯(lián)于每個(gè)圖形的至少幾個(gè)初始層級(jí)(優(yōu)選地為根節(jié)點(diǎn))的密鑰可存儲(chǔ)在 外部可擦除存儲(chǔ)器中���,其中在標(biāo)準(zhǔn)存儲(chǔ)器中沒有所述密鑰的已緩存��、被記日志和/或快照 版本��,而其他密鑰可以任何方式存儲(chǔ)在標(biāo)準(zhǔn)存儲(chǔ)器中����,所述標(biāo)準(zhǔn)存儲(chǔ)器具有任意大小����,其大 于可擦除存儲(chǔ)器����。外部可擦除存儲(chǔ)器為提供關(guān)于其上的內(nèi)容的刪除的高安全性層級(jí)的任何 存儲(chǔ)器。圖形的初始層級(jí)為圖形的第一層級(jí)�。圖形的第一層級(jí)為其根節(jié)點(diǎn)。圖形的第二層 級(jí)包含根節(jié)點(diǎn)的子代�。等等。就"至少幾個(gè)初始層級(jí)"而言�,其因此意謂包括根節(jié)點(diǎn)但不包 含所有節(jié)點(diǎn)層級(jí)的連續(xù)層級(jí)。
[0059] 在此狀況下��,計(jì)算機(jī)化系統(tǒng)提供內(nèi)容的有效且安全的刪除。實(shí)際上�,有可能通過在 可擦除存儲(chǔ)器中刪除任何密鑰而使對(duì)對(duì)象的存取變得不可能(即,刪除所述對(duì)象)�,所述任 何密鑰關(guān)聯(lián)于處于如下任意兩者之間的路徑中的節(jié)點(diǎn):與關(guān)聯(lián)于所述對(duì)象的屬性值中任一 者的密鑰相關(guān)聯(lián)的任何節(jié)點(diǎn)(所述對(duì)象基于所述密鑰被加密存儲(chǔ));以及同一圖形的根節(jié) 點(diǎn)��。為了使其他對(duì)象保持完整����,有可能改變待刪除密鑰的值且重新加密基于所述密鑰而存 儲(chǔ)的任何數(shù)據(jù)(除了待刪除對(duì)象以外),諸如�����,關(guān)聯(lián)于后代節(jié)點(diǎn)的密鑰��,及基于所述密鑰而 加密的對(duì)象��。因此�,計(jì)算機(jī)化系統(tǒng)可實(shí)際上提供裝置。計(jì)算機(jī)化系統(tǒng)也可支持新對(duì)象的建 立及新屬性類型或?qū)傩灾档牟冀ā?br>
[0060] 在第一實(shí)例中�����,所述屬性類型中的一種可對(duì)應(yīng)于映射至計(jì)算機(jī)化系統(tǒng)的文件系統(tǒng) 上的文件系統(tǒng)樹。換言之���,所述屬性類型中的一種可關(guān)聯(lián)于鏡像文件系統(tǒng)樹的樹�。因此����,相 應(yīng)圖形為具有用于此屬性類型的文件系統(tǒng)樹的結(jié)構(gòu)的樹。在此狀況下�����,文件系統(tǒng)樹的每個(gè) 節(jié)點(diǎn)與唯一地識(shí)別文件系統(tǒng)的目錄或文件的屬性值相關(guān)聯(lián)�����,使得所述每個(gè)節(jié)點(diǎn)對(duì)應(yīng)于文件 系統(tǒng)的目錄或文件��。實(shí)際上��,對(duì)象可以是文件系統(tǒng)的文件及目錄�。因此���,舉例而言���,關(guān)聯(lián)于圖 形的屬性值可以是或?qū)?yīng)于文件或目錄的路徑名稱�����。文件系統(tǒng)樹的所述每個(gè)節(jié)點(diǎn)進(jìn)一步與 用關(guān)聯(lián)于除了根節(jié)點(diǎn)以外的所述每個(gè)節(jié)點(diǎn)的父代節(jié)點(diǎn)的密鑰包裝的密鑰相關(guān)聯(lián)�����,如前文所 解釋�����。對(duì)應(yīng)于文件系統(tǒng)樹的相應(yīng)葉節(jié)點(diǎn)的文件系統(tǒng)的文件分別基于關(guān)聯(lián)于文件系統(tǒng)樹的相 應(yīng)葉節(jié)點(diǎn)的密鑰被加密���。因此,關(guān)聯(lián)于樹的葉節(jié)點(diǎn)的密鑰包含文件加密密鑰(FEK)�,而其他 密鑰是密鑰加密密鑰(KEK),并且可因此加密目錄����。實(shí)際上,為文件的對(duì)象必要地對(duì)應(yīng)于樹 的葉���。此情形允許刪除的更快速處理���。實(shí)際上����,用戶通常從文件系統(tǒng)刪除文件或目錄�。具 有用于加密密鑰的此圖形結(jié)構(gòu)使刪除更快速。
[0061] 對(duì)應(yīng)于文件系統(tǒng)樹的相應(yīng)葉節(jié)點(diǎn)的文件系統(tǒng)的所述文件可分別基于至少兩個(gè)密 鑰被加密�。舉例而言,所述文件可分別基于N個(gè)密鑰被加密�����,N>1����。所述兩個(gè)密鑰中的一個(gè) 可關(guān)聯(lián)于文件系統(tǒng)樹的相應(yīng)葉節(jié)點(diǎn)。所述兩個(gè)密鑰中的另一者可關(guān)聯(lián)于與對(duì)應(yīng)于文件系統(tǒng) 樹的屬性類型不同的另一種屬性類型��。換言之����,分別關(guān)聯(lián)于不同屬性類型的至少兩個(gè)密鑰 (所述兩個(gè)密鑰中的一個(gè)唯一地識(shí)別文件系統(tǒng)的目錄或文件)可加密對(duì)象。此情形確?����??通過經(jīng)由不同方式(經(jīng)由不同屬性類型)而識(shí)別待刪除對(duì)象來執(zhí)行安全刪除�����,由此使所述 系統(tǒng)更便利地用于刪除內(nèi)容���。
[0062] 圖3說明此第一實(shí)例���。圖3示出為映射至計(jì)算機(jī)化系統(tǒng)的文件系統(tǒng)上的文件系統(tǒng) 樹30的圖形。計(jì)算機(jī)化系統(tǒng)的存儲(chǔ)系統(tǒng)存儲(chǔ)對(duì)象及關(guān)聯(lián)于所述對(duì)象的屬性值��,其中所述屬 性值根據(jù)N個(gè)屬性類型的集合被組織���,N > 1�,使得對(duì)于所述屬性類型中的每個(gè)屬性類型��,對(duì) 象能夠與屬性值相關(guān)聯(lián)�。所述屬性類型中的一種屬性類型關(guān)聯(lián)于/對(duì)應(yīng)于文件系統(tǒng)樹30。 文件系統(tǒng)樹30可映射至計(jì)算機(jī)化系統(tǒng)的文件系統(tǒng)上�,所述文件系統(tǒng)具有目錄及文件。文件 系統(tǒng)樹30的每個(gè)節(jié)點(diǎn)與唯一地識(shí)別文件系統(tǒng)的目錄或文件的屬性值(諸如��,由圖3上用于 目錄的參考'dirl'�����、'dir2'、…�����、'dir7'以及用于文件的參考'filel'及'file2'表示的路徑 名稱)相關(guān)聯(lián)�,使得所述每個(gè)節(jié)點(diǎn)對(duì)應(yīng)于文件系統(tǒng)的目錄('dirl'、'dir2'��、…����、'dir7') 或文件('filel'、'file2')�。文件系統(tǒng)樹30的每個(gè)節(jié)點(diǎn)還與密鑰K0、KOI���、K02���、K03、K04����、 K011�����、K012、K031�����、K041�����、K0411 相關(guān)聯(lián)���。關(guān)聯(lián)于非根節(jié)點(diǎn)的密鑰 KOI���、K02、K03�����、K04���、K011����、 K012、K031��、K041�、K0411用關(guān)聯(lián)于父代節(jié)點(diǎn)KOI、K03����、K04、K041的密鑰包裝����。根節(jié)點(diǎn)關(guān)聯(lián) 于未用任何其他密鑰包裝的密鑰K0。在圖3上(對(duì)于稍后所描述的圖4也成立)���,用另一 密鑰B包裝的密鑰A被注釋為AB以用于指示此包裝關(guān)系��。
[0063] 對(duì)應(yīng)于文件系統(tǒng)樹30的相應(yīng)葉節(jié)點(diǎn)的文件系統(tǒng)的文件'filel'及'file2'分別基于 關(guān)聯(lián)于文件系統(tǒng)樹30的相應(yīng)葉節(jié)點(diǎn)的密鑰(K031及K0411)被加密���。換言之,文件'filel' 基于密鑰K031被加密且文件'file2'基于密鑰K0411被加密����。
[0064] 在可能地與第一實(shí)例組合的第二實(shí)例中�,每個(gè)對(duì)象基于至少兩個(gè)密鑰被加密��,每 個(gè)密鑰與不同類型的相應(yīng)屬性值相關(guān)聯(lián)��。舉例而言��,所述對(duì)象可分別基于N個(gè)密鑰被加密�, N>1���。此情形確保更便利地用于執(zhí)行刪除�,如早先所解釋的����。
[0065] 圖4說明除了圖3所提供的密鑰樹以外的密鑰樹的示例。換言之�����,圖4將圖形示 出為不同于圖3的樹的�����、關(guān)聯(lián)于存儲(chǔ)系統(tǒng)的屬性類型的樹40��。由計(jì)算機(jī)化系統(tǒng)的存儲(chǔ)系統(tǒng) 存儲(chǔ)的每個(gè)對(duì)象可基于兩個(gè)密鑰被加密,一個(gè)密鑰與關(guān)聯(lián)于圖3的文件系統(tǒng)樹30的屬性值 相關(guān)聯(lián)��,而另一密鑰與關(guān)聯(lián)于圖4的樹40的屬性值相關(guān)聯(lián)����。
[0066] 樹40關(guān)聯(lián)于對(duì)應(yīng)于存儲(chǔ)系統(tǒng)的對(duì)象的擁有權(quán)的屬性類型。屬性值可以是 'tenantl�����,����、'tenant2,��、'tenant3���,�、'tenant4����,、'userl,�、'user2,����、'user3,����,且對(duì)象可屬于 'tenantl,���、'tenant2,、'tenant3,����、'tenant4,、'userl��,�、'user2,、'user3' 中任一者�����。樹 40的每個(gè)節(jié)點(diǎn)關(guān)聯(lián)于密鑰K' 0、K' 01�、K' 02、K' 03����、K' 04、K' 011����、K' 012、K' 031�����。所述密鑰用 關(guān)聯(lián)于除了根節(jié)點(diǎn)以外的所述每個(gè)節(jié)點(diǎn)的父代節(jié)點(diǎn)的密鑰被包裝���,如參考圖3所解釋的��。 所述密鑰還關(guān)聯(lián)于屬性類型"擁有權(quán)"的一個(gè)屬性值(關(guān)聯(lián)于根節(jié)點(diǎn)的密鑰Κ' 0關(guān)聯(lián)于空 值)���。
[0067] 當(dāng)對(duì)象為例如文件系統(tǒng)的元素(即,文件或目錄)時(shí)��,計(jì)算機(jī)化系統(tǒng)可包含存儲(chǔ)系 統(tǒng)�����,其存儲(chǔ)所述元素、唯一地識(shí)別文件系統(tǒng)的目錄或文件的值'dirl'���、'dir2'���、…、'dir7'��、 'filel��,�����、'file2���,,及所述元素的擁有權(quán)的值 'tenantl���,�、'tenant2��,、'tenant3����,、'tenant4�����,��、 'userl'����、'user2'、'user3'����,以及圖3的文件系統(tǒng)樹30及圖4的樹40,樹30及樹40存儲(chǔ) 密鑰 K0、K01���、K02��、K03��、K04��、K011 ;K012���、K031��、K041���、K0411 及 Κ' 0、K' 01�����、K' 02����、K' 03、K' 04�、 Κ' 011、Κ' 012�����、Κ' 031的密鑰結(jié)構(gòu)�����。存儲(chǔ)系統(tǒng)還基于樹30的密鑰及樹40的密鑰來存儲(chǔ)每個(gè) 文件���。以此方式��,有可能有效地刪除例如文件��,所述刪除是通過基于所述文件在文件系統(tǒng)中 的位置和/或所述文件的擁有權(quán)來取回所述文件而進(jìn)行�。
[0068] 現(xiàn)在���,論述用于第一實(shí)例及第二實(shí)例兩者的選項(xiàng)���。
[0069] 可使用單一密鑰來加密每個(gè)對(duì)象?��?苫谒鲋辽賰蓚€(gè)密鑰來獲得所述單一密 鑰����。舉例而言��,可通過應(yīng)用于至少兩個(gè)密鑰的密鑰衍生函數(shù)來獲得加密對(duì)象的單一密鑰���,所 述對(duì)象基于所述密鑰衍生函數(shù)被加密���。舉例而言�����,可經(jīng)由將所述至少兩個(gè)密鑰當(dāng)作輸入的 單向函數(shù)來獲得所述單一密鑰���,諸如,所述至少兩個(gè)密鑰的級(jí)聯(lián)的散列函數(shù)��。
[0070] 也可經(jīng)由將N>1個(gè)密鑰當(dāng)作輸入且將取決于輸入位中的每個(gè)位的單一密鑰產(chǎn)生 為輸出的任何密碼安全密鑰衍生函數(shù)來獲得合適函數(shù)�。
[0071] 所述屬性類型中的一種可對(duì)應(yīng)于使用者,使得這種類型的相異屬性值對(duì)應(yīng)于相異 使用者�。換言之,所述屬性類型中的一種屬性類型提供關(guān)于用戶的信息�����,不同值指代不同使 用者����,諸如使用者擁有權(quán)。在一實(shí)例中�����,所述屬性類型中的一種屬性類型對(duì)應(yīng)于文件系統(tǒng) 樹��,且另一屬性類型對(duì)應(yīng)于用戶擁有權(quán)�����。
[0072] 所述屬性類型中的一種屬性類型可對(duì)應(yīng)于時(shí)間��,使得這種類型的相異屬性值優(yōu)選 地對(duì)應(yīng)于相異年份或相異保留期���。
[0073] 因此���,計(jì)算機(jī)化系統(tǒng)提供一種方案,所述方案一通過充分利用Di Crescenzo等人 的方案中的基本思想一構(gòu)造針對(duì)存儲(chǔ)系統(tǒng)中的安全刪除的問題的特制解決方案����。第一實(shí)例 的關(guān)鍵思想在于:若有人動(dòng)手處理針對(duì)存儲(chǔ)的安全刪除的問題,則人們不能取決于外部邏 輯密鑰結(jié)構(gòu)���,而最好使此密鑰結(jié)構(gòu)與文件系統(tǒng)相聯(lián)系��。第一領(lǐng)悟在于一通過使密鑰樹與文 件系統(tǒng)樹相聯(lián)系一人們可獲得針對(duì)存儲(chǔ)問題的較合適解決方案��。
[0074] 另外����,計(jì)算機(jī)化系統(tǒng)還可提供一種支持在不同粒度下及橫越不同維度的高性能安 全刪除操作的方案。維度可對(duì)應(yīng)于具有特定共同語義的文件的任何分組�����。舉例而言��,以密 鑰樹中的單一安全刪除操作為代價(jià)��,計(jì)算機(jī)化系統(tǒng)可支持整個(gè)文件夾子樹的安全刪除�,或 支持屬于所述系統(tǒng)的單一用戶的文件的安全刪除。此解決方案所隱含的關(guān)鍵思想在于:人 們可構(gòu)造多個(gè)分離密鑰樹��,且要求用屬于每個(gè)樹的密鑰的組合來加密文件�����。
[0075] 在下文中�,提出計(jì)算機(jī)化系統(tǒng)的兩個(gè)實(shí)際實(shí)施,其對(duì)應(yīng)于早先所論述的第一實(shí)例 及第二實(shí)例�����。
[0076] 所提出的第一方案基于文件系統(tǒng)可已經(jīng)被表示為目錄中所含有的文件的樹的觀 測(cè)。
[0077] 所述解決方案如下被結(jié)構(gòu)化:每個(gè)文件使用文件加密密鑰(FEK)被加密�����;文件加 密密鑰被存儲(chǔ)在其含有文件夾的���、用關(guān)聯(lián)于文件夾的密鑰加密密鑰(KEK)包裝的元數(shù)據(jù) 中。每個(gè)文件夾的KEK又是使用關(guān)聯(lián)于其父代文件夾的KEK包裝的且存儲(chǔ)在后者的元數(shù)據(jù) 中�����;重復(fù)此情形直至到達(dá)根文件夾�����。根文件夾關(guān)聯(lián)于密鑰樹的根�。
[0078] 我們應(yīng)首先注意,我們不再將樹塑形為完整η元樹�����,而是塑形為具有任意大小及 結(jié)構(gòu)的(最可能為不完整的)樹�����。在此實(shí)施方案中,每個(gè)文件夾關(guān)聯(lián)于樹中的非葉節(jié)點(diǎn)�����, 其表示所述文件夾的ΚΕΚ ;所述節(jié)點(diǎn)尤其取決于所述文件夾在文件系統(tǒng)層級(jí)架構(gòu)中的位置 (例如�,/a/a可映射至密鑰樹的根的第一子代節(jié)點(diǎn)的第一子代節(jié)點(diǎn))。每個(gè)文件關(guān)聯(lián)于樹 中的葉節(jié)點(diǎn)��,其表示所述文件的FEK�����。每個(gè)文件夾在其本地元數(shù)據(jù)中存儲(chǔ)其自身內(nèi)所含有的 文件及文件夾的所有KEK及FEK�����,所述文件夾使用其自有KEK包裝���,所述KEK又存儲(chǔ)于其父 代的元數(shù)據(jù)中��。
[0079] 在要求安全刪除文件或?qū)儆谖募A的文件后���,文件通常即被取消鏈接,而通過改 變父代文件夾的KEK直至根文件夾的KEK來安全地刪除關(guān)聯(lián)于所述文件的密鑰���。
[0080] 此方案具有數(shù)個(gè)優(yōu)點(diǎn):第一���,因?yàn)槊荑€被存儲(chǔ)在同一文件系統(tǒng)的元數(shù)據(jù)中����,所以密 鑰存儲(chǔ)的可靠性等于文件存儲(chǔ)的可靠性����。以此方式��,歸因于例如磁盤故障的密鑰遺失也極 可能暗示文件遺失��,且反之亦然��。第二�����,此解決方案采用文件系統(tǒng)的自然設(shè)計(jì):當(dāng)存取給定 路徑中的給定文件時(shí)��,操作系統(tǒng)詳細(xì)研究每個(gè)文件夾的元數(shù)據(jù)�,以便到達(dá)所要文件。使用緩 存以改善性能且避免針對(duì)頻繁造訪的路徑/文件的磁盤存取���。同一方案良好地適用于處置 我們系統(tǒng)中的密鑰�����,因?yàn)樗雒荑€可被存儲(chǔ)于在文件存取后即被查閱的相同元數(shù)據(jù)對(duì)象中 且以相同方式被緩存�。安全刪除操作將需要使此高速緩存無效且擦除其內(nèi)容,此情形可在 內(nèi)部通過PS實(shí)施處置���。
[0081] 第二實(shí)例又提供使用多個(gè)密鑰層級(jí)架構(gòu)的靈活刪除����。
[0082] 關(guān)于Di Crescenzo等人的方案而草擬的簡(jiǎn)單解決方案不適合于基于存儲(chǔ)的系統(tǒng)����。 實(shí)際上,所述方案可僅處置單數(shù)據(jù)單位的刪除����,且不能良好地適用于必須立刻處置(潛在 大的)文件集合的刪除的情境。人們可能主張可通過剪除整個(gè)子樹來進(jìn)行此處置��,但若需 要?jiǎng)h除的元素不能被連續(xù)地分組于葉集合中����,或一更重要地一若要求單元素屬于多個(gè)刪除 集合����,則此解決方案再次是次最佳的����。
[0083] 實(shí)際上,額外要求可以是有效地且同時(shí)刪除例如屬于給定使用者的所有文件而沒 有關(guān)于文件(例如����,單一文件夾或貯體內(nèi)所含有的使用者的所有文件)的有組織置放的任 何假定的能力。此情形會(huì)將所需維度增加至三個(gè)����。額外維度可以是多租用系統(tǒng)中的轉(zhuǎn)租戶 及租用戶�����。
[0084] 應(yīng)注意�����,此要求幾乎是不相關(guān):實(shí)際上���,大型企業(yè)層級(jí)存儲(chǔ)系統(tǒng)的強(qiáng)烈要求是針對(duì) 使用者遷移的支持���,此情形轉(zhuǎn)換成針對(duì)將內(nèi)容從存儲(chǔ)解決方案有效地復(fù)制至另一存儲(chǔ)解決 方案的要求���,其具有針對(duì)安全地刪除前者內(nèi)的內(nèi)容的關(guān)聯(lián)需求,以便能夠保證仍不存在數(shù) 據(jù)的舊副本�。因此,同時(shí)刪除由單一使用者擁有的潛在大數(shù)目文件是臨界要求�����。
[0085] 因此�,第二實(shí)例的計(jì)算機(jī)化系統(tǒng)提出一種方案,所述方案一通過潛在地充分利用 第一實(shí)例中所提出的基本思想一構(gòu)造用于存儲(chǔ)系統(tǒng)中的安全刪除的問題的特制解決方案����。 關(guān)鍵思想是采用不同的樹以便增加刪除操作的維度及粒度。
[0086] 為此�,計(jì)算機(jī)化系統(tǒng)可構(gòu)造(及存儲(chǔ))η個(gè)分離樹的所謂樹系(forest),其中η表 示正交維度的數(shù)目����;舉例而言,具有兩個(gè)樹的2維空間用來涵蓋單文件及文件夾內(nèi)所有文 件的安全刪除�����。具有三個(gè)樹的3維空間可用于尋址單文件、文件夾內(nèi)的文件及屬于給定使 用者的所有文件����。可容易擴(kuò)充所述情形以涵蓋更復(fù)雜情境�。
[0087] 在Di Crescenzo等人的方案中,使用單一 ΚΕΚ包裝(即����,加密)單一 FEK,所述單 一 FEK又用于加密所要文件�����。在我們的解決方案中�����,使用η個(gè)密鑰來加密單一 FEK���,一個(gè)密 鑰屬于每個(gè)分離樹。為了實(shí)現(xiàn)此情形����,使用安全密鑰衍生函數(shù)F: {0, l}km- {{0, l}Mfn個(gè) 密鑰組合在一起�,其中k為所需密鑰長(zhǎng)度���。因此���,我們可以說,實(shí)際ΚΕΚ-其為以前來自單一 樹的單一密鑰一現(xiàn)在是使用應(yīng)用于η個(gè)密鑰上的函數(shù)F計(jì)算�,一個(gè)密鑰來自每個(gè)樹。
[0088] 假設(shè)1\��,= {En�,VJ (i e [1,η])為第i樹���;又����,假設(shè)e [1����,η]為識(shí)別第i維度 內(nèi)的給定文件的屬性類型(例如,字符串)(例如���,文件的名稱�、貯體的名稱,或擁有使用者 的名稱)��。假設(shè)映射函數(shù)-Ejie [l��,n])將第i維度中的文件的給定識(shí)別符映射 至第i樹中的元素���。因此���,可通過如下步驟來獲得每個(gè)KEK :首先應(yīng)用映射函數(shù)以便判定所 需要的密鑰集合;接著可在此集合上使用密鑰衍生函數(shù)以產(chǎn)生密鑰�����?���?蓪⑺鏊惴醋鳎?br>
[0089]
【權(quán)利要求】
1. 一種計(jì)算機(jī)化系統(tǒng)(301),包含: -存儲(chǔ)系統(tǒng)(302, 308)�����,存儲(chǔ)對(duì)象及關(guān)聯(lián)于所述對(duì)象的屬性值����,其中: 〇所述屬性值根據(jù)N個(gè)屬性類型的集合被組織,N > 1�����,使得對(duì)于所述屬性類型中的每 個(gè)屬性類型�����,對(duì)象能夠與屬性值相關(guān)聯(lián)�����, 〇所述屬性類型中的每個(gè)屬性類型關(guān)聯(lián)于相應(yīng)圖形(30, 40)����, 籲其中所述相應(yīng)圖形的每個(gè)節(jié)點(diǎn)關(guān)聯(lián)于一密鑰,所述密鑰: -用關(guān)聯(lián)于除了根節(jié)點(diǎn)以外的所述每個(gè)節(jié)點(diǎn)的父代節(jié)點(diǎn)的密鑰包裝�;并且 -關(guān)聯(lián)于對(duì)應(yīng)于所述相應(yīng)圖形的所述屬性類型的一個(gè)屬性值,并且 〇所述對(duì)象中的每個(gè)對(duì)象基于一個(gè)或多個(gè)密鑰被加密存儲(chǔ)��,所述一個(gè)或多個(gè)密鑰中的 每個(gè)密鑰關(guān)聯(lián)于與所述對(duì)象中的每個(gè)對(duì)象相關(guān)聯(lián)的一個(gè)屬性值����;以及 -密鑰管理裝置(304),被配置用于刪除密鑰。
2. 如權(quán)利要求1所述的計(jì)算機(jī)化系統(tǒng)�����,其中所述屬性類型中的一種屬性類型對(duì)應(yīng)于映 射至所述計(jì)算機(jī)化系統(tǒng)的文件系統(tǒng)上的文件系統(tǒng)樹���,其中所述文件系統(tǒng)樹的每個(gè)節(jié)點(diǎn)與如 下各項(xiàng)相關(guān)聯(lián): -屬性值����,其唯一地識(shí)別所述文件系統(tǒng)的目錄或文件��,使得所述每個(gè)節(jié)點(diǎn)對(duì)應(yīng)于所述文 件系統(tǒng)的目錄或文件�;以及 -密鑰,其用關(guān)聯(lián)于除了根節(jié)點(diǎn)以外的所述每個(gè)節(jié)點(diǎn)的父代節(jié)點(diǎn)的密鑰包裝��, 其中�����, 對(duì)應(yīng)于所述文件系統(tǒng)樹的相應(yīng)葉節(jié)點(diǎn)的所述文件系統(tǒng)的文件分別基于關(guān)聯(lián)于所述文 件系統(tǒng)樹的相應(yīng)葉節(jié)點(diǎn)的密鑰被加密��。
3. 如權(quán)利要求2所述的計(jì)算機(jī)化系統(tǒng)��,其中對(duì)應(yīng)于所述文件系統(tǒng)樹的相應(yīng)葉節(jié)點(diǎn)的所 述文件系統(tǒng)的所述文件分別基于至少兩個(gè)密鑰被加密���,所述兩個(gè)密鑰中的一個(gè)密鑰關(guān)聯(lián)于 所述文件系統(tǒng)樹的相應(yīng)葉節(jié)點(diǎn)���,以及所述兩個(gè)密鑰中的另一個(gè)密鑰關(guān)聯(lián)于與對(duì)應(yīng)于所述文 件系統(tǒng)樹的屬性類型不同的另一個(gè)屬性類型。
4. 如權(quán)利要求1所述的計(jì)算機(jī)化系統(tǒng)��,其中每個(gè)對(duì)象基于至少兩個(gè)密鑰被加密���,每個(gè) 密鑰與不同類型的相應(yīng)屬性值相關(guān)聯(lián)���。
5. 如權(quán)利要求4所述的計(jì)算機(jī)化系統(tǒng),其中每個(gè)對(duì)象使用單一密鑰被加密�����,基于所述 至少兩個(gè)密鑰獲得所述單一密鑰���。
6. 如權(quán)利要求5所述的計(jì)算機(jī)化系統(tǒng)����,其中每個(gè)對(duì)象使用單一密鑰被加密�,經(jīng)由將所 述至少兩個(gè)密鑰當(dāng)作輸入的單向函數(shù)獲得所述單一密鑰,所述單向函數(shù)諸如是所述至少兩 個(gè)密鑰的級(jí)聯(lián)的散列函數(shù)����。
7. 如權(quán)利要求1至6中任一項(xiàng)所述的計(jì)算機(jī)化系統(tǒng)�,其中所述屬性類型中的一種屬性 類型對(duì)應(yīng)于使用者��,使得這種類型的相異屬性值對(duì)應(yīng)于相異使用者�。
8. 如權(quán)利要求1至7中任一項(xiàng)所述的計(jì)算機(jī)化系統(tǒng),其中所述屬性類型中的一種屬性 類型對(duì)應(yīng)于時(shí)間���,使得這種類型的相異屬性值優(yōu)選地對(duì)應(yīng)于相異年份或相異保留期��。
9. 如權(quán)利要求1至8中任一項(xiàng)所述的計(jì)算機(jī)化系統(tǒng)��,其中所述對(duì)象中的每個(gè)對(duì)象基于 全有或全無變換被加密存儲(chǔ)����,其中所述對(duì)象中的每個(gè)對(duì)象的一部分基于所述一個(gè)或多個(gè)密 鑰被加密��。
10. -種安全地管理存儲(chǔ)在如權(quán)利要求1至9中任一項(xiàng)的計(jì)算機(jī)化系統(tǒng)中的對(duì)象的方 法�,包含刪除(S40)圖形的密鑰的步驟,由此防止: -再次衍生先前用已刪除密鑰包裝的密鑰中的每個(gè)密鑰����,以及 -存取基于至少所述已刪除密鑰被加密的任何對(duì)象。
11. 如權(quán)利要求10所述的方法����,在所述刪除(S40)的步驟之前還包含如下步驟: -選?。⊿10)圖形中的給定節(jié)點(diǎn)��; -建立(S20)相異于迄今與所述節(jié)點(diǎn)相關(guān)聯(lián)的密鑰的新密鑰�,以用于使所述新密鑰與 所述節(jié)點(diǎn)相關(guān)聯(lián)�; -用所述新密鑰包裝(S30)關(guān)聯(lián)于所述節(jié)點(diǎn)的子代節(jié)點(diǎn)的密鑰; 并且其中����, 所述刪除(S40)的步驟包含刪除迄今與所述節(jié)點(diǎn)相關(guān)聯(lián)的密鑰。
12. -種包含指令的計(jì)算機(jī)程序��,用于將具有存儲(chǔ)系統(tǒng)的計(jì)算機(jī)化系統(tǒng)配置成如權(quán)利 要求1-9中任一項(xiàng)所述的計(jì)算機(jī)化系統(tǒng)或用于執(zhí)行如權(quán)利要求10或11所述的方法��。
13. -種數(shù)據(jù)存儲(chǔ)介質(zhì)��,在其上記錄有如權(quán)利要求12所述的計(jì)算機(jī)程序����。
【文檔編號(hào)】H04L9/14GK104145447SQ201280061521
【公開日】2014年11月12日 申請(qǐng)日期:2012年11月16日 優(yōu)先權(quán)日:2011年12月15日
【發(fā)明者】C·卡辛, R·哈斯, A·哈弗納, A·克馬斯, A·索尼歐提 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司