[发明专利]用于远程存储的数据的保护方案

权利要求书

1.一种用于远程存储的数据的保护的设备，包括：

处理电路；以及

存储器电路，其中所述处理电路加载多个虚拟机，用于处理所述设备中的数据；以及

受信的执行环境，其至少包括加密服务，所述加密服务用于使用针对所述多个虚拟机中的每个虚拟机具体生成的加密密钥，对从所述多个虚拟机被提供给所述加密服务的数据进行加密或解密：

其中，所述多个虚拟机均包括用于将解密后的数据或加密后的数据提供给所述加密服务以及从所述加密服务接收解密后的数据或加密后的数据的加密代理；并且其中，所述加密服务还用于在接受来自所述多个虚拟机的用于加密或解密的数据之前，对每个加密代理进行注册。

2.根据权利要求1所述的设备，其中，所述加密服务至少包括用于与所述加密代理进行交互的加密接口和解密接口。

3.根据权利要求1所述的设备，其中，所述受信的执行环境还包括与所述多个虚拟机中的每个虚拟机相对应的加密密钥，所述加密密钥是在每个加密代理被注册时由所述加密服务生成的。

4.根据权利要求3所述的设备，其中，所述受信的执行环境基于安全飞地技术来至少保护所述加密服务和所述加密密钥。

5.根据权利要求3所述的设备，其中，所述加密服务用于使用所述加密密钥来对由所述加密代理提供的所述数据进行加密和解密。

6.根据权利要求1所述的设备，还包括通信电路，其用于将加密后的数据发送到远程资源、以及从远程资源接收加密后的数据，所述远程资源包括至少能够经由广域网访问的多个网络化的计算设备，所述多个网络化的计算设备至少包括用于存储加密后的数据的存储器电路。

7.根据权利要求1所述的设备，其中，所述设备包括至少能够经由广域网访问的多个网络化的计算设备，所述多个网络化的计算设备还至少包括用于存储加密后的数据的存储器电路。

8.根据权利要求1所述的设备，其中，所述多个虚拟机中的每个虚拟机包括单独的受信的执行环境，所述单独的受信的执行环境至少包括加密服务。

9.一种用于远程存储的数据的保护的方法，包括：

在受信的执行环境内执行的加密服务中接收用于对多个虚拟机中的每个虚拟机中的加密代理进行注册的请求；

至少基于在所述请求中提供的信息来确定是否对所述加密代理进行注册；

如果确定所述加密代理应该被注册，则在所述加密服务中对所述加密代理进行注册；

在所述加密服务处从多个加密代理中的至少一个加密代理接收数据；

确定所述至少一个加密代理是否被注册；

如果所述至少一个加密代理被确定为被注册：

使用针对所述多个虚拟机中的每个虚拟机具体生成的加密密钥，在所述加密服务中对接收的数据进行加密或解密；以及

将加密后的数据或解密后的数据提供给所述至少一个加密代理。

10.根据权利要求9所述的方法，还包括：

在至少一个设备中启动所述受信的执行环境；以及

在所述受信的执行环境内启动所述加密服务。

11.根据权利要求9所述的方法，还包括：

基于每个加密代理的所述注册，在所述受信的执行环境中生成与所述多个虚拟机中的每个虚拟机相对应的加密密钥。

12.根据权利要求11所述的方法，其中，所述受信的执行环境基于安全飞地技术来至少保护所述加密服务和所述加密密钥。

13.根据权利要求11所述的方法，还包括：

如果所述至少一个加密代理被确定为是注册的，则使用相对应的加密密钥来对所述接收的数据进行加密或解密。