[发明专利]用于原位加密的系统和方法

说明书

对相关申请的交叉引用

本申请要求在2011年1月5日提交的，题目为“SYSTEM AND METHOD FOR IN-PLACE ENCRYPTION”的美国专利申请序列号No.12/985,190的优先权，该专利申请的全部内容通过引用，包含于此。

技术领域

本公开涉及加密存储装置，并且更特别地涉及在用户持续使用计算机的同时对计算机内的存储装置的原位加密（in-place encryption）。

背景技术

随着存储装置的容量及普及性的提高，许多用户和组织会自然地关注保护所存储的数据。用户可能希望保护数据使其避免遭受的某些威胁包括身份盗用、商业间谍、侵犯隐私、黑客行为等。存储于存储装置上的数据容易受到物理存储装置的失窃以及经由基于网络的攻击的非授权访问的影响。企业通常关心对机密用户数据或商业秘密的保护，然而个体用户通常关心个人信息（例如，银行账号信息、个人数据等）的非故意泄漏。

保护数据的一种途径是加密。加密不能防止物理存储装置被盗，但是会使得存储于物理存储装置上的数据在没有加密密码的情况下不可用。当今在市场上存在许多商用的、集成的及开放源代码的加密选项，诸如，TrueCrypt、FreeOTFE和CrossCrypt。采用此类加密（尤其是更安全的全盘加密）的最大障碍是所需要的时间以及与对未加密驱动器加密相关的不便。取决于存储装置的大小、处理器的速度及加密算法，个人计算机可能耗费8个小时或更长的时间来加密驱动器。在该时间内，用户无法使用计算机来进行其它计算任务。例如，TrueCrypt的一个在线教程（见于http://www.randyjensenonline.com/blog/using-truecrypt-to-encrypt-your-entire-hard-drive）以这样的语句来概括对存储装置加密的当前状态：“只需点击‘加密（Encrypt）’按钮，然后去喝杯咖啡或者去睡觉并让它通宵运行，这取决于您的擦除模式和您的加密算法”。因此，许多用户意识到需要加密他们的存储装置，但是没能这样做，就是由于与加密存储装置相关的时间和麻烦。

发明内容

本公开的附加的特征和优点将在随后的描述中阐明，并且在某种程度上根据该描述将是显而易见的，或者能够通过本文所公开的原理的实践而获知。本公开的特征和优点能够通过特别地在所附的权利要求书中指出的工具及组合来实现和获得。本公开的这些特征及其它特征根据随后的描述及所附的权利要求书将变得更充分地明显，或者能够通过本文所阐明的原理的实践而获知。

本发明公开了用于加密存储卷的系统、方法和非临时性计算机可读存储介质。被配置用于实践方法的系统首先接收来自用户的对计算装置的未加密卷加密的请求。该系统识别、生成和/或随机选择卷密钥，并且将未加密的卷转换成可加密格式以得到被划分成多个部分的可加密卷。然后，该系统基于卷密钥来逐部分地加密可加密卷，以使得用户能够在加密期间使用计算装置。该系统能够使用线性途径、随机途径、未使用部分途径和/或重要次序途径来逐部分地加密可加密卷。该系统能够在可加密卷上保留工作空间，并且在各单独部分被加密时将各单独部分的副本存储于工作空间。工作空间还能够存储文件系统元数据。在某些情况下，该系统缩小未加密卷以给工作空间腾出空间。因而，实现了新的结果：用户能够在存储装置被加密的同时正常地使用计算机，由此去除妨碍加密被广泛采用的最大障碍之一。另一个新的结果是：该系统能够在预期的或未预期的断电或重新开始事件之后，在没有数据丢失的一致状态下重新开始对装置加密。

该系统能够保持加密进度状态，即使是在经过系统重启之后，并且给用户显示加密进度状态。为了促进在加密期间的正常使用并且避免存储装置过载，该系统能够监视用户对可加密卷的盘存取，并且当用户的盘存取超过第一阈值时，应用回退（back-off）算法以暂时停止加密直到用户的盘存取降到第二阈值以下，或者在某些其它预定的或随机的时段内暂时停止加密。当计算装置在单独部分正被加密的同时请求与该单独部分的信息交换时，该系统能够将该信息交换重新指向该单独部分的临时副本。可选择地，该系统能够延迟信息交换，直到该单独部分已经被成功加密（或在解密的情况下已被成功解密）。即使用户完全注意到了延迟，由该途径所引入的延迟对于用户也是很不明显的。