[发明专利]用于远程存储的数据的保护方案

说明书

本公开涉及一种用于远程存储的数据的保护方案。系统可以包括，例如包括至少一个虚拟机(VM)的至少一个设备；以及受信的执行环境(TEE)。TEE可以包括用于对从至少一个VM接收的数据进行加密和解密的加密服务。在一个实施例中，该至少一个虚拟机可以包括用于与加密服务中的接口进行交互的加密代理。例如，加密代理可以向加密服务注册，此时，可以生成与该至少一个VM相对应的加密密钥。在验证加密代理的注册之后，加密服务可以利用于该至少一个VM相对应的加密密钥来对从加密代理接收的数据进行加密和解密。加密服务可以随后将加密后或解密后的数据返回给加密代理。

技术领域

本公开涉及数据安全，并且更加具体而言，涉及用于保护存储在诸如云存储系统等的远程资源上的数据的安全的方案。

背景技术

电子设备(例如，计算设备)中的数据管理朝向更加分布式的架构发展。例如，尽管传统上数据被存储在设备本地的永久存储器中，但是现在数据可以被远程地存储在远程资源中。示例远程资源可以是基于云的计算解决方案，其包括经由诸如互联网等的广域网(WAN)可访问的至少一个计算设备(例如，服务器)。当使用远程存储的数据架构时，存在可以被实现的多种好处。例如，数据不仅可以对生成该数据的设备是可访问的，还对可以得益于能够访问数据而不考虑数据的位置的其它设备(例如，移动计算设备、移动通信设备等)是可访问的。其它设备可以经由到互联网的有线或无线连接来访问远程资源上的数据。此外，远程存储的数据可以对诸如火灾、天气紧急状态、停电等的灾难事件更容忍，这是因为基于云的资源通常被建立为利用更加实质的事件保护、备份资源等来对这样的事件负责。

尽管远程存储的数据的益处可能是显而易见的，但是也存在一些风险。例如，将各种数据(例如，该数据可以包括机密信息)存储在单个位置中用户向可能具有恶意意图的黑客呈现了诱人的目标。在将数据存储在远程资源上之前对该数据进行加密可以帮助防止黑客获得访问，然而，用于执行加密的工具也必须被保护。例如，当用户负责在将数据存储在远程资源上之前对数据进行加密时，恶意软件(rootkit)和其它高特权的攻击可能能够获得对存储在用户的设备上的加密密钥的访问。将对数据加密的责任移动至远程资源(例如，基于云的存储设备提供者)不能缓解该问题，这是因为相同类型的攻击可能用于访问存储在远程资源(例如，服务器)中的加密密钥。

附图说明

随着以下的具体实施方式的展开并且根据对附图的参照，所要求保护的主题的各种实施例的特征和优点将变得显而易见，其中，相同的附图标记指代相同的部件，并且在附图中：

图1示出了根据本公开的至少一个实施例的用于针对远程存储的数据的保护方案的示例配置；

图2示出了根据本公开的至少一个实施例的用于设备的示例配置；

图3示出了根据本公开的至少一个实施例的用于针对远程存储的数据的保护方案的第二示例配置；

图4示出了根据本公开的至少一个实施例的用于针对远程存储的数据的保护方案的第三示例配置；

图5示出了根据本公开的至少一个实施例的用于虚拟机启动的示例操作；

图6示出了根据本公开的至少一个实施例的用于加密服务启动的示例操作；以及

图7示出了根据本公开的至少一个实施例的用于针对远程存储的数据的保护方案的示例操作。

尽管将参照说明性实施例展开以下的具体实施方式，但是这些实施例的许多替换、修改和变形对本领域技术人员来说将是显而易见的。

具体实施方式