專利名稱:跨越數(shù)據(jù)中心對存儲區(qū)域網(wǎng)加密密鑰的分布的制作方法
技術領域:
本公開涉及跨越數(shù)據(jù)中心對存儲區(qū)域網(wǎng)(storage area network)加密密鑰的分 布�����。
背景技術:
包括存儲介質加密(SME)設備的各種存儲區(qū)域網(wǎng)(SAN)設備使得能夠對存儲在磁 盤和磁帶上的數(shù)據(jù)進行加密�����。在很多實例中����,每個磁盤邏輯單元號(LUN)或磁帶盒(tape cartridge)使用唯一密鑰對象(unique key object)進行數(shù)據(jù)加密和/或認證。然而�����,用于跨越數(shù)據(jù)中心來分布加密密鑰的機制是受限制的���。因此�����,希望提供用于 分布加密密鑰以用來加密和/或認證存儲區(qū)域網(wǎng)設備中的數(shù)據(jù)的改進方法和設備���。
通過結合附圖來參考下面的描述���,可最佳地理解本公開,附圖示出了特定的示例 性實施例�。圖1示出存儲區(qū)域網(wǎng)(SAN)的特定示例。圖2示出密鑰管理中心項目的特定示例����。圖3示出密鑰和對象層次的特定示例。圖4示出在遷移期間的密鑰管理中心項目修改的特定示例���。圖5示出用于創(chuàng)建加密密鑰的交換示圖的特定示例�����。圖6A示出對象密鑰管理的特定示例�。圖6B示出主密鑰管理的特定示例�����。圖6C示出密鑰遷移的特定示例���。圖7示出網(wǎng)絡設備的特定示例��。
具體實施例方式現(xiàn)在將詳細地參考本發(fā)明的一些具體示例�,這些具體示例包括了發(fā)明人考慮的用 于實施本發(fā)明的最佳模式��。這些具體實施例的示例在附圖中示出�����。雖然結合這些具體實施 例描述了本發(fā)明��,但是將會理解����,不希望將本發(fā)明限制到所描述的實施例。相反����,希望覆蓋 可被包括在所附權利要求限定的本發(fā)明的精神和范圍內(nèi)的替換、修改和等同物�����。例如,將在特定的密鑰和存儲區(qū)域網(wǎng)(SAN)的語境中描述本發(fā)明的技術����。然而,應 當注意����,本發(fā)明的技術適用于各種加密機制、密鑰和SAN�。在下面的描述中,陳述了許多具體 細節(jié)以提供對本發(fā)明的透徹理解�����??梢栽跊]有一些或全部這些具體細節(jié)的情況下實現(xiàn)本發(fā)明的特定示例性實施例。在其他實例中����,公知的處理操作未被詳細描述,以便不會不必要地 模糊本發(fā)明����。為了清晰,有時將會以單數(shù)形式來描述本發(fā)明的各種技術和機制�����。然而�����,應當注 意�����,一些實施例包括技術的多次迭代或者機制的多次例示�,除非作出不同表示。例如��,在各 種語境中���,系統(tǒng)使用一個處理器��。然而�,將會認識到�����,在保持在本發(fā)明的范圍內(nèi)的同時��,系統(tǒng) 可使用多個處理器,除非作出不同表示�。此外,本發(fā)明的技術和機制有時將會描述兩個實體 之間的連接�����。應當注意�����,兩個實體之間的連接未必意味著直接的����、不受阻礙的連接,因為各 種其他實體可能位于這兩個實體之間����。例如,處理器可連接至存儲器��,但是將會認識到�����,各 種橋接器和控制器可位于處理器和存儲器之間。因此���,連接未必意味著直接的���、不受阻礙的 連接�����,除非作出不同表示�����。概要提供了用于從一個數(shù)據(jù)中心向另一個數(shù)據(jù)中心傳送與磁盤邏輯單元號和磁帶盒 相關聯(lián)的密鑰對象的高效機制���。接收從源數(shù)據(jù)中心向目的地數(shù)據(jù)中心傳送源數(shù)據(jù)中心密 鑰對象的請求�����。源數(shù)據(jù)中心密鑰對象與存儲區(qū)域網(wǎng)(SAN)中維護的�����、諸如磁盤邏輯單元號 (LUN)或磁帶盒之類的數(shù)據(jù)塊相對應����,并且包括唯一標識符、被加密的密鑰���、以及包裝唯一 標識符(wrapper unique identifier) 0利用源數(shù)據(jù)中心密鑰層次對被加密的密鑰進行解 密��。從源數(shù)據(jù)中心向目的地數(shù)據(jù)中心發(fā)送密鑰信息�。利用目的地數(shù)據(jù)中心密鑰層次來生成 目的地數(shù)據(jù)中心密鑰對象��。示例性實施例各種系統(tǒng)使得能夠對存儲在磁盤和磁帶上的數(shù)據(jù)進行加密��。在一些傳統(tǒng)系統(tǒng)中����, 連接至諸如磁盤陣列和磁帶驅動器之類的存儲設備的主機在向存儲設備寫數(shù)據(jù)之前以密 碼方式(cryptographically)處理數(shù)據(jù)。主機應用程序管理加密和認證處理�。然而,為了 高效地執(zhí)行密碼處理�����,每個主機都需要密碼加速器(cryptographic accelerator)�����。向眾多 主機提供獨立的密碼加速器經(jīng)常是不實際的。在一些其他傳統(tǒng)系統(tǒng)中�,存儲設備自身管理 密碼處理。諸如磁帶驅動器之類的存儲設備會在向磁帶寫數(shù)據(jù)之前加密數(shù)據(jù)�����。磁帶驅動器 也會對從磁帶盒讀出的數(shù)據(jù)進行解密�。然而,為了高效地執(zhí)行密碼處理��,每個存儲設備也會 需要密碼加速器����。因此����,本發(fā)明的技術和機制提供了用于執(zhí)行密碼處理的基于網(wǎng)絡的機制。主機和 存儲設備都無需執(zhí)行任何密碼處理�����。當數(shù)據(jù)從主機向存儲設備發(fā)送時�,存儲區(qū)域網(wǎng)(SAN) 交換機以密碼方式處理數(shù)據(jù),并且保存密鑰信息��。根據(jù)特定實施例,寫入到獨立的磁帶盒和 磁盤LUN的數(shù)據(jù)具有由SAN交換機保存的唯一密鑰�����。通過在密鑰對象中包括諸如全球唯一 標識符(GUID)之類的唯一標識符(UID)����,利用密鑰數(shù)據(jù)庫來高效地管理密鑰?����?梢允褂酶?種隨機數(shù)生成方案來使密鑰沖突的發(fā)生率(incidence)最小化�����。在密鑰對象中具有UID實 現(xiàn)了對密鑰的高效獲取(retrieval)�����,所述密鑰用于磁盤LUN和磁帶盒上存儲的數(shù)據(jù)的密 碼處理�����。UID自身也可被寫入到磁盤LUN和磁帶盒中����。根據(jù)特定實施例����,通過對于特定數(shù)據(jù)中心而言可以是唯一的中間密鑰和/或主密 鑰來加密密鑰自身����。當特定的密鑰和/或相關聯(lián)的數(shù)據(jù)被移向另一數(shù)據(jù)中心時,利用與新 的數(shù)據(jù)中心相關聯(lián)的中間密鑰和主密鑰來重新加密密鑰���。除了 UID和密鑰自身以外����,密鑰數(shù)據(jù)庫中的密鑰對象還可包括密鑰實體或者說是對密鑰對象所屬于的存儲介質的描述�����、密鑰狀態(tài)信息以及包裝UID或包裝GUID�,該包裝UID 或包裝GUID標識出用來加密本UID中的密鑰的密鑰對象��。密鑰數(shù)據(jù)庫可包括與在數(shù)據(jù)中 心處被寫入的數(shù)百萬磁盤LUN和磁帶盒相對應的數(shù)百萬密鑰對象��。對密鑰對象的高效使用 實現(xiàn)了高效的搜索����、管理和遷移能力���。在特定實施例中,密鑰自身是以層次(hierarchy)的 方式保存的�,其中利用中間密鑰加密了密鑰,并且利用其他中間密鑰或主密鑰加密了中間 密鑰自身����。根據(jù)特定實施例,主密鑰不被保存在密鑰數(shù)據(jù)庫或密鑰管理中心之中���,而是僅被 保存在安全線卡(line card)中��?�?衫瞄撝得孛芄蚕頇C制來得出主密鑰的備用拷貝���,其 中主密鑰被拆分(split)成總共η份(n shares),以使得需要η份中的任意m份來重新創(chuàng) 建主密鑰�����。用于拆分主密鑰的一種機制使用了 Shamir的多項式秘密共享算法�。主密鑰的 每個獨立的份被利用不同的個體來保存���,并且每份可以可選地利用對稱或不對稱密鑰而被 加密。主密鑰的各份可存儲在外部智能卡中��。在參與的交換機和密碼節(jié)點不可用于提供主密鑰的故障恢復情景期間��,具有主密 鑰的各份的�、閾值數(shù)目的恢復官員可重新組裝(reassemble)原始的主密鑰。圖1示出了可使用特定示例性實施例的網(wǎng)絡的特定示例��。主機101和103連接至 存儲區(qū)域網(wǎng)(SAN) 131����。主機可以是被配置為訪問諸如磁帶設備和磁盤陣列之類的存儲設備 的存儲服務器或其他實體。虛擬磁帶設備123和磁帶設備121連接至交換機115��。諸如光 學驅動器和獨立磁盤冗余陣列(RAID)之類的其他存儲設備也可被連接���。SAN 131包括交換機111、113和115�����。根據(jù)特定實施例�����,交換機111、113和115包 括用于執(zhí)行加密�、認證和密鑰管理的多個線卡和密碼加速器。在特定實施例中����,交換機之一 被配置為包括密鑰數(shù)據(jù)庫的密鑰管理中心,密鑰數(shù)據(jù)庫用于保存用來以密碼方式處理數(shù)據(jù) 的密鑰��。密鑰管理中心可被實現(xiàn)為交換機的一部分或者獨立設備����。圖2是示出密鑰對象的一個特定示例的圖示表示。密鑰對象221包括全球唯一標 識符(⑶ID)201���。根據(jù)特定實施例�,⑶ID是隨機生成的數(shù)���,該數(shù)在特定SAN內(nèi)是唯一的并且 在眾多SAN之中可能是唯一的����。GUID可用來索引密鑰數(shù)據(jù)庫中的密鑰對象���。密鑰對象221 還包括集群(cluster)標識符203�。集群標識符203指定了密鑰對象所屬于的特定一組交 換機。密鑰實體字段206指定了與諸如磁盤LUN或磁帶盒之類的特定存儲介質相關聯(lián)的備 用組����、卷組和條碼。在特定示例中���,密鑰實體字段206用來標識特定的磁盤或磁帶���。加密密 鑰207保存用來加密和/或解密數(shù)據(jù)的實際密鑰材料(keying material) 0對稱和不對稱 密鑰都可被使用。根據(jù)特定實施例��,密鑰對象221還包括包裝全球唯一標識符209�����。提供包裝全球 唯一標識符(WGUID) 209是為了標識用來保護加密密鑰207的密鑰對象��。在特定示例中�����, WGUID 209指定了密鑰數(shù)據(jù)庫中的分離的密鑰對象���。根據(jù)特定實施例�,密鑰對象221還包括 克隆(clone)全球唯一標識符(CGUID)��。在特定示例中�����,一個集群中的密鑰對象221是從 不同集群的密鑰對象數(shù)據(jù)庫中拷貝的����。CGUID 221指向了密鑰對象221所拷貝于的原始密 鑰對象。如果發(fā)生了多次拷貝�,則CGUID 211仍然指向原始密鑰對象。密鑰數(shù)據(jù)狀態(tài)信息 213表明了加密密鑰207在數(shù)據(jù)庫中是以顯明(clear)形式還是以加密形式保存的��。如果 密鑰被加密��,則狀態(tài)信息213指定加密的類型�����,例如RSA加密��、與另一密鑰對象的對稱加密、 口令包裝等�。
圖3示出對象層次301和密鑰層次303的一個示例。根據(jù)特定實施例���,SAN管理 者和用戶可能想要為存儲介質的不同組指定不同的密鑰���。例如,特定的磁帶卷組可被指派 (assign)特定的密鑰��。特定的磁帶備用組也可被指派特定的密鑰����。具有用于特定備用組的 密鑰的用戶將能夠訪問、解密和認證在特定一組磁帶盒上存儲的數(shù)據(jù)����,但是不能夠訪問其 他數(shù)據(jù)。根據(jù)特定實施例���,集群311與主密鑰313相關聯(lián)���。在特定示例中,對主密鑰313的 訪問提供了對集群311中被加密的所有數(shù)據(jù)的訪問����。集群可包括許多交換機和存儲設備�����。 磁帶備用組321和323可與磁帶卷組密鑰325和327相對應。具有磁帶卷組密鑰325和 327的用戶可以訪問磁帶備用組321和323�。磁帶卷組333、337以及默認磁帶卷組331和 335與磁帶卷密鑰343�����、347��、341和345相對應��。默認磁帶卷組密鑰331被用來以密碼方式 處理磁帶卷351�����。默認磁帶卷組密鑰335被用來以密碼方式處理磁帶卷355和357。磁帶 卷組密鑰333被用來以密碼方式處理磁帶卷353。根據(jù)特定實施例��,密鑰管理中心保存若干密鑰�����,包括與SAN相關聯(lián)的中間密鑰��?�??利用中間密鑰來對與特定盒相關聯(lián)的密鑰進行加密�。可利用另一中間密鑰來加密該中間密 鑰����,該另一中間密鑰自身可利用主密鑰而被加密。在特定示例中��,密鑰管理中心不以加密的 或明文的形式來保存主密鑰或頂級密鑰�����。主密鑰是當集群被創(chuàng)建并且諸如交換機內(nèi)的密碼 節(jié)點之類的第一密碼節(jié)點被添加時創(chuàng)建的�����。根據(jù)特定實施例��,主密鑰以及相關聯(lián)的私有RSA 密鑰被保存在與交換機線卡相關聯(lián)的聯(lián)邦信息處理標準(FIPS)模塊內(nèi)�����。在特定示例中,主 密鑰被保存在SAN交換機中的線卡的引導閃存(bootflash)之內(nèi)��。當隨后的密碼節(jié)點被添加到集群中時��,系統(tǒng)可從另一密碼節(jié)點獲得利用RSA公鑰 私鑰加密進行了加密的主密鑰����。每當主密鑰在FIPS模塊之外發(fā)送時����,它都保持被加密。圖4示出密鑰對象遷移的一個示例����。根據(jù)特定實施例,磁帶盒及其相關聯(lián)的密鑰 可從一個集群移動至另一個集群��。為了便于密鑰的共享�����,每個密鑰對象都具有克隆GUID屬 性���?����?寺UID索引標識了當前密鑰對象所拷貝于的原始密鑰對象��。當所克隆的密鑰被進 一步克隆時�,克隆GUID字段被修改以指向原始密鑰對象。根據(jù)特定實施例�,系統(tǒng)用戶可觸 發(fā)從源集群向目的地集群輸出一組密鑰的操作。這些密鑰然后利用特定于集群的主密鑰和 中間密鑰而在當前集群中被解密或去除包裝(unwrap)�����,并且然后出于輸出目的而被加密或 重新包裝���。例如��,利用對于源集群而言特定的中間密鑰和主密鑰來對具有GUID1411���、集群 標識符413、被加密的密鑰415��、包裝⑶ID2417以及其他字段的密鑰對象進行解密和去除包 裝���。根據(jù)特定實施例�,⑶ID1421與密鑰狀態(tài)信息423和密鑰425 —起被設置在消息 中。密鑰425可以是明文的����,或者是利用各種機制加密的。當消息到達目的地集群時����,通 過利用與目的地集群相關聯(lián)的中間密鑰和主密鑰來重新加密和重新包裝密鑰,創(chuàng)建了密鑰 對象��。目的地集群處的密鑰對象包括⑶ID3 431��、集群標識符433����、被加密的密鑰435�����、包裝 ⑶ID4437�����、克?��、荌Dl 439以及其他字段���。在特定示例中����,利用公鑰�、私鑰對來對密鑰425進行RSA保護。為了發(fā)送����,利用源 集群的私鑰和目的地集群的公鑰來加密密鑰。利用此機制��,密鑰被驗證為來自源集群的密 鑰���,并且密鑰僅可被輸入至目的地集群����。在其他示例中�����,通過用戶在源集群處指定口令來對 密鑰425對稱地進行加密����。
在特定示例中�����,唯一隨機鹽(unique random salt)被分配并且被供給以口令��,以 便生成合適的加密和認證密鑰����。密鑰然后被用來利用對稱加密方法對密鑰425加密���。利用 此機制���,密鑰可被輸入至由用戶選擇的任意集群(或者任意多個集群)���。在任何時候���,系統(tǒng) 用戶都可觸發(fā)輸入來自另一集群的一組密鑰的操作。首先利用源集群中間密鑰和主密鑰在 源集群處對密鑰進行解密或去除包裝�。密鑰然后可利用特定的傳送機制而被打包,并且利 用目的地集群的中間密鑰和/或主密鑰而在目的地集群處被重新加密或重新包裝�����。新創(chuàng)建的密鑰具有新的⑶ID3 431。然后����,通過使用克隆⑶ID 439屬性而在新 創(chuàng)建的密鑰中記錄原始密鑰的GUIDl 411����。如果原始密鑰自身即是被克隆的密鑰,則克隆 GUID 439索引按現(xiàn)狀被拷貝��?���;谳敵龅臋C制來解密密鑰。利用本地RSA私鑰來解密經(jīng) RSA保護的密鑰�。健康檢查(sanity check)被進行,以驗證被加密的密鑰真正地是打算用 于此集群的(通過比較本地集群的RSA公鑰和所輸入的文件中的RSA公鑰)����。如果解密失 敗了,則密鑰不被輸入�����。根據(jù)特定實施例,用戶從原始集群輸出與磁帶存儲介質相對應的密鑰�,并且密鑰 被輸入到遠程集群上。在磁帶盒被插進磁帶設備以用于解密之后�,來自該盒的GUID被提取 并且消息被發(fā)送至本地密鑰管理中心以用于密鑰獲取。在特定示例中�����,密鑰管理中心基于 所提供的GUID來處理密鑰獲取請求�。基于GUID來訪問本地密鑰數(shù)據(jù)庫����。如果沒有找到對 象,則搜索克隆GUID屬性以獲得匹配的密鑰對象��。當在解密從遠程集群輸入的存儲介質的 同時接收到密鑰獲取請求時�����,執(zhí)行隨后獲取方法���。這提供了用于在各種系統(tǒng)中輸出和輸入 密鑰的簡單、安全且靈活的機制。密鑰可從一個集群轉化(translate)到另一個集群����,并且 進一步以鏈狀方式被轉化到多個集群。此外�,密鑰可從一個集群輸出并且被輸入進多個數(shù) 據(jù)中心。用戶可利用密鑰對象來填充(populate)多個數(shù)據(jù)中心��?�?寺UID屬性使系統(tǒng)管 理者能定位原始集群中的原始密鑰對象���。圖5示出了密鑰管理的一個示例�����。密鑰管理中心保存若干密鑰對象�。線路501向交 換機503提供創(chuàng)建密鑰請求511��。交換機503向密鑰管理中心507發(fā)送密鑰同步消息513�����。 根據(jù)特定實施例��,密鑰管理中心507或者密鑰數(shù)據(jù)庫僅僅保存用于數(shù)據(jù)對象密鑰和中間密 鑰的密鑰對象。密鑰管理中心507不保存任何主密鑰�����。密鑰管理中心507向交換機503發(fā) 送確認515����。根據(jù)特定實施例,然后通過發(fā)送同步集群消息517��,密鑰被提供給集群505中 的所有交換機����。根據(jù)特定實施例,集群505中的每個交換機在諸如FIPS模塊之類的安全環(huán)境中保 存主密鑰�����、中間密鑰以及數(shù)據(jù)對象密鑰�����。集群505向交換機503發(fā)送確認519���。交換機503 利用創(chuàng)建確認消息521來確認密鑰創(chuàng)建請求。圖6A示出管理密鑰對象的一個特定示例。用來訪問諸如磁帶盒或磁盤LUN之類 的對象中的數(shù)據(jù)的任何密鑰在這里被稱為對象密鑰�����。用來加密對象密鑰的任何密鑰在這里 被稱為中間密鑰����。用來加密中間密鑰和/或對象密鑰的任何密鑰在這里被稱為主密鑰。在 601���,在SAN交換機處接收創(chuàng)建密鑰請求����。在603�����,創(chuàng)建密鑰請求被轉發(fā)至密鑰管理中心�����。在 605�,從密鑰管理中心接收的響應被與集群中的其他SAN交換機同步。在607����,接收對與特定 用戶標識符相關聯(lián)的數(shù)據(jù)的訪問請求��。訪問可以是讀出或寫入訪問����。在609��,利用UID來訪 問密鑰管理中心中的密鑰對象�����。在一些示例中�,在SAN交換機上的線卡的FIPS邊界內(nèi),密 鑰可能已經(jīng)是可得的���。在其他示例中���,密鑰對象可能不得不被獲得。如果通過檢查UID而確定對象不可得�,則克隆UID的列表也可被檢查以查看UID是否匹配密鑰管理中心處的任 何密鑰對象的父親。在611��,利用包裝UID來對密鑰對象中的密鑰進行解密���,以獲得中間密 鑰���。在613,利用所解密的密鑰來以密碼方式處理數(shù)據(jù)�����。圖6B示出主密鑰管理的一個特定示例����。在621,接收密碼節(jié)點創(chuàng)建請求���。在623���, 確定主密鑰是否可從集群中的另一密碼節(jié)點得到。如果在623處確定主密鑰可從另一密碼 節(jié)點得到�,則在625處從另一密碼節(jié)點獲得主密鑰。根據(jù)特定實施例���,可利用RSA公鑰和私 鑰對來傳送主密鑰�。如果在623處確定主密鑰在另一密碼節(jié)點上不可得��,則在629處生成 主密鑰。根據(jù)特定實施例�,主密鑰利用閾值秘密共享機制而被拆分成若干份(627),并且可 利用這若干份中的子集而在以后被恢復�。例如,可利用閾值秘密共享機制將主密鑰拆分成 五份��。對于重新構成主密鑰而言���,可能僅僅必需二或三份�����。在629�����,主密鑰的各份被分布至 多個實體�。圖6C示出密鑰遷移的一個特定示例�。在641,接收傳送加密密鑰的請求�。根據(jù)特定 實施例,可在磁帶盒已從源集群移動至目的地集群之后接收請求�����。在643,源集群對與⑶ID 相關聯(lián)的特定密鑰對象執(zhí)行輸出操作�。輸出操作利用主密鑰和/或中間密鑰來對與GUID 相關聯(lián)的密鑰進行解密。密鑰和相關聯(lián)的數(shù)據(jù)然后被加密以用于傳送��?��?衫媚康牡丶?的公鑰(如果可得的話)以及源集群的私鑰(如果可得的話)來對密鑰加密。也可利用對 稱密鑰來對密鑰加密�。根據(jù)特定實施例,在647處��,目的地集群執(zhí)行輸入操作���。在特定示例中�,在649處�, 目的地集群從源集群獲得密鑰,并且利用它自己的中間密鑰和主密鑰層次來重新加密密 鑰�����。各種設備和應用可實現(xiàn)特定實施例的技術和機制��。例如,各種交換機���、線卡和數(shù)據(jù) 庫可執(zhí)行密鑰管理和遷移的各個方面��。在特定示例中��,可以訪問密鑰數(shù)據(jù)庫或密鑰管理中 心的存儲區(qū)域網(wǎng)中的光纖通道交換機可操作來執(zhí)行特定實施例的各個方面��。在特定示例 中��,交換機包括用于執(zhí)行加密����、解密和認證操作的密碼加速卡�。設置了多個線卡以允許與存 儲區(qū)域網(wǎng)中的若干其他光纖通道交換機的連接。根據(jù)特定實施例����,每個線卡包括保存主密 鑰以及一個或多個中間密鑰和對象密鑰的FIPS。當密鑰在FIPS中不可得時���,可訪問密鑰數(shù) 據(jù)庫或密鑰管理中心以獲得密鑰����。交換機還可包括轉發(fā)引擎、物理層和介質訪問控制組件��、 以及仲裁器(arbiter)����。圖7示出可實現(xiàn)特定實施例的設備的一個示例。根據(jù)特定的示例性實施例�����,適于 實現(xiàn)本發(fā)明的特定實施例的系統(tǒng)700包括處理器701��、存儲器703�、接口 711和總線715 (例 如PCI總線)�。當在適當軟件或固件的控制之下動作時,處理器701負責諸如處理和轉發(fā)流 之類的任務�。在一些實施例中,諸如密碼加速器之類的專門組件被用于密碼處理�����。代替處 理器701或者除了處理器701之外�,也可使用各種專門配置的設備。接口 711通常被配置 為通過網(wǎng)絡發(fā)送和/或接收數(shù)據(jù)分組或數(shù)據(jù)片段����。根據(jù)特定實施例����,接口是存儲區(qū)域網(wǎng)接 口���,但是其他的接口也是可以的�。接口的特定示例包括以太網(wǎng)接口���、幀中繼接口����、線纜接口����、 DSL接口、令牌環(huán)接口等����。此外,各種很高速的接口可被設置�,例如快速以太網(wǎng)接口、千兆比 特以太網(wǎng)接口��、ATM接口、HSSI接口�、POS接口、FDDI接口等�。一般地,這些接口可包括適用 于與適當介質通信的端口����。在一些情況下,它們還可包括獨立的處理器并且在一些實例中包括易失性RAM��。獨立的處理器可控制諸如分組交換���、介質控制和管理之類的通信密集型任務�����。根據(jù)特定的示例性實施例����,系統(tǒng)700使用存儲器703來存儲數(shù)據(jù)和程序指令���。例 如,程序指令可控制操作系統(tǒng)和/或一個或多個應用的操作����。這一個或多個存儲器還可被 配置為存儲所接收的分組�、綁定物�、保持活性(Ke印-Alive)狀態(tài)、用于所監(jiān)控的會話分組 的周期性信息����、流過(Flow-Through)和/或繞流(Flow-Around)配置等等。因為這樣的信息和程序指令可用來實現(xiàn)這里描述的系統(tǒng)/方法����,所以本發(fā)明涉及 包括了用于執(zhí)行這里描述的各種操作的程序指令、狀態(tài)信息等的有形且機器可讀的介質��。 機器可讀介質的示例包括但不限于諸如硬盤����、軟盤和磁帶之類的磁介質;諸如CD-ROM盤和 DVD之類的光學介質����;諸如光盤之類的磁光介質;以及諸如只讀存儲器設備(ROM)和隨機存 取存儲器(RAM)之類的�����、被專門配置為存儲和執(zhí)行程序指令的硬件設備。程序指令的示例 既包括例如由編譯器產(chǎn)生的機器代碼�����,又包括文件��,這些文件包含可由計算機利用解釋器 (interpreter)執(zhí)行的更高級的代碼�����。雖然出于清晰理解的目的已經(jīng)相當詳細地描述了上述發(fā)明�����,但是將會顯而易見的 是�,可在所附權利要求的范圍內(nèi)實踐某些改變和修改。因此����,當前的實施例被認為是例示性 的而非限制性的,并且本發(fā)明不限制于這里給出的細節(jié)���,而是可在所附權利要求的范圍和 等同物內(nèi)被修改。
權利要求
一種方法���,包括接收從源數(shù)據(jù)中心向目的地數(shù)據(jù)中心傳送源數(shù)據(jù)中心密鑰對象的請求�,所述源數(shù)據(jù)中心密鑰對象與存儲區(qū)域網(wǎng)(SAN)中保存的數(shù)據(jù)塊相對應,其中所述源數(shù)據(jù)中心密鑰對象包括唯一標識符����、被加密的密鑰、以及包裝唯一標識符����;利用源數(shù)據(jù)中心密鑰層次對所述被加密的密鑰進行解密;從所述源數(shù)據(jù)中心向所述目的地數(shù)據(jù)中心發(fā)送密鑰信息�����;利用目的地數(shù)據(jù)中心密鑰層次來生成目的地數(shù)據(jù)中心密鑰對象���。
2.根據(jù)權利要求1所述的方法�����,其中所述源數(shù)據(jù)中心密鑰對象與磁盤邏輯單元號 (LUN)相對應�����。
3.根據(jù)權利要求2所述的方法�����,其中當所述磁盤LUN從所述源數(shù)據(jù)中心移動至所述目 的地數(shù)據(jù)中心時��,所述目的地數(shù)據(jù)中心密鑰對象使得能夠對所述磁盤LUN進行解密��。
4.根據(jù)權利要求1所述的方法�,其中所述源數(shù)據(jù)中心密鑰對象與磁帶盒相對應。
5.根據(jù)權利要求4所述的方法����,其中當所述磁帶盒從所述源數(shù)據(jù)中心移動至所述目的 地數(shù)據(jù)中心時,所述目的地數(shù)據(jù)中心密鑰對象使得能夠對所述磁帶盒進行解密�����。
6.根據(jù)權利要求1所述的方法���,其中對所述被加密的密鑰進行解密包括使用利用所述 包裝唯一標識符而訪問的密鑰材料���,所述包裝唯一標識符引用了所述源數(shù)據(jù)中心中的密鑰 管理中心處的另一密鑰對象。
7.根據(jù)權利要求1所述的方法���,其中對被解密的密鑰進行加密包括使用從所述目的地 數(shù)據(jù)中心訪問的密鑰材料�����。
8.根據(jù)權利要求1所述的方法����,其中所述密鑰信息是利用公鑰私鑰加密來發(fā)送的���。
9.根據(jù)權利要求1所述的方法����,其中所述密鑰信息是利用受口令保護的密鑰輸出來發(fā) 送的����。
10.根據(jù)權利要求1所述的方法,其中所述唯一標識符是全球唯一標識符�。
11.根據(jù)權利要求10所述的方法,其中所述全球唯一標識符被寫入到存儲區(qū)域網(wǎng)介質中���。
12.根據(jù)權利要求11所述的方法���,其中所述存儲區(qū)域網(wǎng)介質是磁帶。
13.根據(jù)權利要求11所述的方法,其中所述存儲區(qū)域網(wǎng)介質是磁盤邏輯單元號���。
14.根據(jù)權利要求1所述的方法���,其中密鑰實體標識出存儲區(qū)域網(wǎng)介質。
15.根據(jù)權利要求1所述的方法����,其中所述包裝唯一標識符是包裝全球唯一標識符,所 述包裝全球唯一標識符指向具有用于對所述被加密的密鑰進行解密的信息的另一密鑰對 象���。
16.根據(jù)權利要求15所述的方法���,其中另一密鑰對象還包括另外的包裝唯一標識符。
17.根據(jù)權利要求1所述的方法�,其中密鑰對象還包括密鑰狀態(tài)信息。
18.一種系統(tǒng)����,包括接口,所述接口可操作來接收從源數(shù)據(jù)中心向目的地數(shù)據(jù)中心傳送源數(shù)據(jù)中心密鑰對 象的請求����,所述源數(shù)據(jù)中心密鑰對象與存儲區(qū)域網(wǎng)(SAN)中保存的數(shù)據(jù)塊相對應�,其中所 述源數(shù)據(jù)中心密鑰對象包括唯一標識符����、被加密的密鑰、以及包裝唯一標識符�;處理器��,所述處理器可操作來利用源數(shù)據(jù)中心密鑰層次對所述被加密的密鑰進行解 密�,并且從所述源數(shù)據(jù)中心向所述目的地數(shù)據(jù)中心提供密鑰信息;其中所述目的地數(shù)據(jù)中心利用目的地數(shù)據(jù)中心密鑰層次來生成目的地數(shù)據(jù)中心密鑰對象�����。
19.根據(jù)權利要求18所述的系統(tǒng)���,其中所述源數(shù)據(jù)中心密鑰對象與磁盤邏輯單元號 (LUN)相對應�。
20.根據(jù)權利要求19所述的系統(tǒng)�����,其中當所述磁盤LUN從所述源數(shù)據(jù)中心移動至所述 目的地數(shù)據(jù)中心時����,所述目的地數(shù)據(jù)中心密鑰對象使得能夠對所述磁盤LUN進行解密。
21.根據(jù)權利要求18所述的系統(tǒng),其中所述源數(shù)據(jù)中心密鑰對象與磁帶盒相對應�����。
22.根據(jù)權利要求21所述的系統(tǒng)�����,其中當所述磁帶盒從所述源數(shù)據(jù)中心移動至所述目 的地數(shù)據(jù)中心時�,所述目的地數(shù)據(jù)中心密鑰對象使得能夠對所述磁帶盒進行解密。
23.—種系統(tǒng)��,包括用于接收從源數(shù)據(jù)中心向目的地數(shù)據(jù)中心傳送源數(shù)據(jù)中心密鑰對象的請求的裝置��,所 述源數(shù)據(jù)中心密鑰對象與存儲區(qū)域網(wǎng)(SAN)中保存的數(shù)據(jù)塊相對應���,其中所述源數(shù)據(jù)中心 密鑰對象包括唯一標識符�、被加密的密鑰�����、以及包裝唯一標識符��;用于利用源數(shù)據(jù)中心密鑰層次對所述被加密的密鑰進行解密的裝置���; 用于從所述源數(shù)據(jù)中心向所述目的地數(shù)據(jù)中心發(fā)送密鑰信息的裝置����; 用于利用目的地數(shù)據(jù)中心密鑰層次來生成目的地數(shù)據(jù)中心密鑰對象的裝置。
全文摘要
提供了用于從一個數(shù)據(jù)中心向另一個數(shù)據(jù)中心傳送與磁盤邏輯單元號和磁帶盒相關聯(lián)的密鑰對象的高效機制�。接收從源數(shù)據(jù)中心向目的地數(shù)據(jù)中心傳送源數(shù)據(jù)中心密鑰對象的請求。源數(shù)據(jù)中心密鑰對象與存儲區(qū)域網(wǎng)(SAN)中保存的�����、諸如磁盤邏輯單元號(LUN)或磁帶盒之類的數(shù)據(jù)塊相對應�,并且包括唯一標識符���、被加密的密鑰�、以及包裝唯一標識符�。利用源數(shù)據(jù)中心密鑰層次對被加密的密鑰進行解密。從源數(shù)據(jù)中心向目的地數(shù)據(jù)中心發(fā)送密鑰信息��。利用目的地數(shù)據(jù)中心密鑰層次來生成目的地數(shù)據(jù)中心密鑰對象��。
文檔編號G06F21/24GK101983385SQ200980112110
公開日2011年3月2日 申請日期2009年3月26日 優(yōu)先權日2008年4月2日
發(fā)明者普拉文·帕特那拉, 錢德拉·謝克·康達木瑞, 阿南德·帕塔塞拉斯, 馬卡蘭德·戴斯沙姆克 申請人:思科技術公司