[发明专利]用于分布式文件系统的加密

权利要求书

1.一种系统，包括：

计算设备，所述计算设备包括前端和后端，其中，所述前端能够操作以在数据进入所述系统时对所述数据进行加密，并且其中，所述后端包括多个桶；以及

多个存储设备，其中：

所述多个桶中的每个桶能够操作以构建包括多个存储块的故障保护条带，

故障保护条带的每个存储块位于所述多个存储设备中的不同存储设备中，并且

所加密的数据存储在一个或多个故障保护条带中的文件中。

2.根据权利要求1所述的系统，其中，所述前端能够操作以在数据离开系统时对所述数据进行解密。

3.根据权利要求1所述的系统，其中，所述前端根据文件密钥对所述数据进行加密。

4.根据权利要求3所述的系统，其中，当复制所述文件时旋转所述文件密钥。

5.根据权利要求3所述的系统，其中，由所述后端中的所述多个桶构建的所有故障保护条带与文件系统密钥相关联。

6.根据权利要求5所述的系统，其中，所述文件密钥通过所述文件系统密钥加密。

7.根据权利要求5所述的系统，其中，当旋转所述文件系统密钥时对所述文件密钥进行重新加密。

8.根据权利要求1所述的系统，其中，所述计算设备在计算设备的集群中，并且其中，计算设备的所述集群与集群密钥相关联。

9.根据权利要求8所述的系统，其中，当所述计算设备加入计算设备的所述集群时，所述计算设备向所述集群的主导者注册长期密钥。

10.根据权利要求9所述的系统，其中，在传送所述数据之前，使用由所述长期密钥签名的临时密钥对来对会话密钥进行协商。

11.一种方法，包括：

打开数据文件以对计算设备上的文件系统进行写访问，其中：

所述计算设备包括前端、后端和多个存储设备，

所述后端包括多个桶，

所述多个桶中的每个桶能够操作以构建包括多个存储块的故障保护条带，并且

故障保护带中的所述多个存储块中的每个存储块位于所述多个存储设备中的不同存储设备中；

对所述前端中的数据进行加密；

将所加密的数据写入位于由所述多个桶中的一个或多个桶构建的一个或多个故障保护条带中的所述数据文件；以及

关闭所述数据文件。

12.根据权利要求11所述的方法，其中，所述前端能够操作以在读取数据时对所述数据进行解密。

13.根据权利要求11所述的方法，其中，所述前端根据文件密钥对所述数据进行加密；并且所述方法包括在关闭所述数据文件后将所述文件密钥从存储器中清除。

14.根据权利要求13所述的方法，其中，所述方法包括通过复制所述数据文件来旋转所述文件密钥。

15.根据权利要求13所述的方法，其中，由所述后端中的所述多个桶构建的所有故障保护条带与文件系统密钥相关联。

16.根据权利要求15所述的方法，其中，所述文件密钥通过所述文件系统密钥加密。

17.根据权利要求15所述的方法，其中，所述方法包括当旋转所述文件系统密钥时对所述文件密钥进行重新加密。

18.根据权利要求11所述的方法，其中，所述计算设备在计算设备的集群中，并且其中，计算设备的所述集群与集群密钥相关联。