SICHERUNGEN VON DATEISYSTEM-INSTANZEN VERSCHLÜSSELTER DATENOBJEKTE

SICHERUNGEN VON DATEISYSTEM-INSTANZEN VERSCHLÜSSELTER DATENOBJEKTE

Ein System (300), das zu einem Cluster (150) gehört, wobei das System Folgendes umfasst:eine Verarbeitungsressource (302); undein maschinenlesbares Medium (304), auf dem Anweisungen gespeichert sind, die, wenn sie von der Verarbeitungsressource ausgeführt werden, die Verarbeitungsressource dazu vera...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: Watkins, Glenn S, Richards, Gareth David, Czerkowicz, John Michael
Format: Patent
Sprache:ger
Schlagworte:
CALCULATING
COMPUTING
COUNTING
ELECTRIC DIGITAL DATA PROCESSING
PHYSICS
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:Ein System (300), das zu einem Cluster (150) gehört, wobei das System Folgendes umfasst:eine Verarbeitungsressource (302); undein maschinenlesbares Medium (304), auf dem Anweisungen gespeichert sind, die, wenn sie von der Verarbeitungsressource ausgeführt werden, die Verarbeitungsressource dazu veranlassen:Verknüpfen eines Datenverschlüsselungsschlüssels, DEK, (130) mit einem Dateisystem, wobei das Dateisystem einer Sicherheitsdomäne (124) entspricht;Datenobjekte (128) einer Dateisysteminstanz (122) des Dateisystems verschlüsseln (306), um verschlüsselte Datenobjekte (126) unter Verwendung des DEK (130) und den Datenobjekten jeweils entsprechender Tweak-Werte zu erzeugen, wobei der DEK (130) von einem Schlüsselverschlüsselungsschlüssel, KEK, (152) umhüllt wird, der ausschließlich innerhalb des Clusters (150) gemeinsam genutzt wird,wobei der Tweak-Wert für ein Datenobjekt auf einer Position des Datenobjekts innerhalb der Dateisysteminstanz basiert, so dass eine Baumstruktur der Dateisysteminstanz bekannt sein muss, um verschlüsselte Datenobjekte entschlüsseln zu können,auf einem Sicherungsknoten (140) eine Sicherung der Dateisysteminstanz (122) zu erstellen (308), die mindestens einige der verschlüsselten Datenobjekte umfasst, undden von dem KEK umhüllten DEK mit der Sicherung an den Sicherungsknoten senden (310),wobei der Sicherungsknoten (140) die Sicherung nicht entschlüsseln kann, es sei denn, der Sicherungsknoten gehört zum Cluster (150) und hat Zugriff auf den KEK (152) zum Auspacken des DEK (130), unddie Dateisysteminstanz (122) die verschlüsselten Datenobjekte, die sich auf einer Blattebene befinden, durch Verweise auf Signaturen, die aus den verschlüsselten Datenobjekten berechnet werden, hierarchisch zu einem Wurzelobjekt (202) in Beziehung setzt. Example implementations relate to encrypting data objects. In an example, data objects of a file system instance contained by a security domain are encrypted using a Data Encryption Key that is specific to the security domain and is wrapped by a Key Encryption Key shared exclusively within a cluster. A backup of the file system instance is created on a backup node. The backup includes at least some of the encrypted data objects. The DEK is sent to the backup node. The backup node cannot decrypt the backup unless the backup node is a member of the cluster and has access to the KEK to unwrap the DEK.