專利名稱:加密存儲(chǔ)系統(tǒng)中的數(shù)據(jù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉^口密存儲(chǔ)系統(tǒng)中的數(shù)據(jù)�����。
背景技術(shù):
在許多計(jì)算環(huán)境中�,將數(shù)據(jù)存儲(chǔ)在可由主機(jī)和其他計(jì)算設(shè)備通過(guò)一個(gè) 或多個(gè)網(wǎng)絡(luò)訪問(wèn)的 一個(gè)或多個(gè)數(shù)據(jù)中心內(nèi)����。主機(jī)可以對(duì)存儲(chǔ)在數(shù)據(jù)中心內(nèi) 的數(shù)據(jù)進(jìn)行讀取�����、寫入以及執(zhí)行其他操作。
數(shù)據(jù)安全性在數(shù)據(jù)中心內(nèi)外都是必需的,并且在許多情況下可以通過(guò) 加密數(shù)據(jù)來(lái)提供數(shù)據(jù)安全性。例如��,可以加密數(shù)據(jù)中心內(nèi)包含的存儲(chǔ)子系 統(tǒng)中存儲(chǔ)的數(shù)據(jù)��。另外���,數(shù)據(jù)中心內(nèi)包含的存儲(chǔ)子系統(tǒng)可以在通過(guò)網(wǎng)絡(luò)將 數(shù)據(jù)從數(shù)據(jù)中心傳輸至主機(jī)時(shí)加密數(shù)據(jù)。此外,當(dāng)主機(jī)與包含在數(shù)據(jù)中心 內(nèi)的存儲(chǔ)子系統(tǒng)通信時(shí)�,可由主機(jī)上的軟件加密從主機(jī)傳輸至數(shù)據(jù)中心的 數(shù)據(jù)��。
發(fā)明內(nèi)容
本發(fā)明提供了一種方法���、系統(tǒng)和計(jì)算機(jī)程序產(chǎn)品��,其中接收來(lái)自請(qǐng)求
方的訪問(wèn)數(shù)據(jù)的請(qǐng)求�����。判定所述請(qǐng)求方是否#:授權(quán)訪問(wèn)所述數(shù)據(jù)���。響應(yīng)于 判定已授權(quán)所述請(qǐng)求方訪問(wèn)所述數(shù)據(jù)����,判定所述數(shù)據(jù)是否被加密��。請(qǐng)求來(lái) 自所述請(qǐng)求方的加密密鑰�,以響應(yīng)判定所述數(shù)據(jù)未^皮加密����。
在特定實(shí)施例中,接收來(lái)自所述請(qǐng)求方的所述加密密鑰��。使用所述加 密密鑰來(lái)加密所述數(shù)據(jù)��。允許所述請(qǐng)求方訪問(wèn)所述數(shù)據(jù)�����。
在特定實(shí)施例中����,請(qǐng)求解密密鑰���,以響應(yīng)訪問(wèn)所述數(shù)據(jù)的后續(xù)請(qǐng)求。 在其他實(shí)施例中�,通過(guò)對(duì)邏輯單元、文件�����、字節(jié)�、記錄、塊��、巻或包括所述數(shù)據(jù)的整個(gè)子系統(tǒng)進(jìn)行尋址來(lái)做出訪問(wèn)所述數(shù)據(jù)的請(qǐng)求����。
在其他實(shí)施例中���,所述數(shù)據(jù)是存儲(chǔ)在存儲(chǔ)單元中的遺留數(shù)據(jù)�,其中至 少到嘗試訪問(wèn)所述遺留數(shù)據(jù)時(shí)為止�����,所述遺留數(shù)據(jù)被保持在未加密狀態(tài), 并且其中不是遺留數(shù)據(jù)的數(shù)據(jù)在所述存儲(chǔ)單元內(nèi)被保持在加密狀態(tài)����。
現(xiàn)在將僅通過(guò)實(shí)例的方式并參考附圖來(lái)描述本發(fā)明的實(shí)施例��,這些附
圖是
圖1示出了根據(jù)特定實(shí)施例的包含具有已加密遺留數(shù)據(jù)和未加密非遺 留數(shù)據(jù)的存儲(chǔ)系統(tǒng)的計(jì)算環(huán)境的方塊構(gòu)��;
圖3示出了才艮據(jù)特定實(shí)施例的用于加密未加密遺留數(shù)據(jù)以響應(yīng)訪問(wèn)所
述數(shù)據(jù)的請(qǐng)求的流程圖4示出了根據(jù)特定實(shí)施例的用于加密存儲(chǔ)系統(tǒng)中的數(shù)據(jù)的流程以及
圖5示出了計(jì)算系統(tǒng)的體系結(jié)構(gòu),其中在特定實(shí)施例中,可以根據(jù)所
述計(jì)算系統(tǒng)的體系結(jié)構(gòu)實(shí)現(xiàn)圖1的計(jì)算環(huán)境的存儲(chǔ)系統(tǒng)或計(jì)算設(shè)備��。
具體實(shí)施例方式
在以下說(shuō)明中,參考了形成本文一部分并示出了若干實(shí)施例的附圖���。 應(yīng)當(dāng)理解��,可以采用其他實(shí)施例并且可以做出結(jié)構(gòu)和操作更改����。
在許多情況下�����,必須為計(jì)算環(huán)境(其中已使用包含在數(shù)據(jù)中心內(nèi)的存 儲(chǔ)子系統(tǒng)���,并且所述存儲(chǔ)子系統(tǒng)已存儲(chǔ)未加密數(shù)據(jù))中的數(shù)據(jù)提供安全性����。
例如,在數(shù)萬(wàn)帕字節(jié)(petabytes)的數(shù)據(jù)未加密地存儲(chǔ)在盤�����、磁帶、只讀 光盤和存儲(chǔ)子系統(tǒng)的其他存儲(chǔ)介質(zhì)上的情況下�,將可能存在安全問(wèn)題���。預(yù) 先存在的未加密地存儲(chǔ)在數(shù)據(jù)中心的存儲(chǔ)子系統(tǒng)內(nèi)的數(shù)據(jù)可被稱為遺留數(shù)據(jù)���。加密并重寫所有未加密地存儲(chǔ)在數(shù)據(jù)中心的存儲(chǔ)子系統(tǒng)內(nèi)的遺留數(shù)據(jù) 將花費(fèi)大量的時(shí)間(幾天�����,幾個(gè)星期,幾個(gè)月��,幾年)。在特定情況下, 在加密所有未加密的遺留數(shù)據(jù)的操作完成之前��,安全性問(wèn)題可能一直存在�。
特定實(shí)施例為存儲(chǔ)在存儲(chǔ)子系統(tǒng)內(nèi)的未加密遺留數(shù)據(jù)提供了 "立即加 密",即使當(dāng)預(yù)先存在的未加密遺留數(shù)據(jù)尚未被轉(zhuǎn)換成存儲(chǔ)子系統(tǒng)內(nèi)的已 加密數(shù)據(jù)時(shí)也是如此����。通過(guò)在嘗試訪問(wèn)數(shù)據(jù)的應(yīng)用與提供數(shù)據(jù)的存儲(chǔ)子系 統(tǒng)之間提供邏輯加密層���,針對(duì)在存儲(chǔ)子系統(tǒng)之后配置的所有數(shù)據(jù)向存儲(chǔ)子 系統(tǒng)提供了立即加密��。立即加密通過(guò)允許存儲(chǔ)子系統(tǒng)在一段擴(kuò)展的時(shí)間加 密所有未加密數(shù)據(jù)�,同時(shí)在從存儲(chǔ)子系統(tǒng)訪問(wèn)數(shù)據(jù)時(shí)立即提供許多加密好 處,來(lái)允許具有存儲(chǔ)在存儲(chǔ)子系統(tǒng)內(nèi)的未加密數(shù)據(jù)的客戶執(zhí)行遷移步驟���。
圖1示出了根據(jù)特定實(shí)施例的計(jì)算環(huán)境100的方框圖�。至少一個(gè)存儲(chǔ) 系統(tǒng)102通過(guò)網(wǎng)絡(luò)104與一個(gè)或多個(gè)主機(jī)106相連���,其中主機(jī)106可以包
含計(jì)算設(shè)備����。
存儲(chǔ)系統(tǒng)102可以包括任何存儲(chǔ)系統(tǒng)��,包括那些本領(lǐng)域當(dāng)前公知的存 儲(chǔ)系統(tǒng)�,例如存儲(chǔ)控制器�����、控制器�����、存儲(chǔ)設(shè)備���、存儲(chǔ)子系統(tǒng)��、存儲(chǔ)單元����, 包括或控制存儲(chǔ)裝置的計(jì)算設(shè)備等����?��?梢詫?shù)據(jù)存儲(chǔ)在存儲(chǔ)系統(tǒng)102內(nèi)的 盤��、磁帶����、只讀光盤或任何其他存儲(chǔ)介質(zhì)(包括那些本領(lǐng)域當(dāng)前公知的存
儲(chǔ)介質(zhì))中�。
主機(jī)106和存儲(chǔ)系統(tǒng)102還可以包括任何適當(dāng)?shù)挠?jì)算平臺(tái)�����,包括那些 本領(lǐng)域當(dāng)前公知的計(jì)算平臺(tái)��,例如�,個(gè)人計(jì)算機(jī)�����、工作站�����、大型機(jī)、小型 機(jī)�、網(wǎng)絡(luò)家電��、掌上型計(jì)算機(jī)��、電話設(shè)備、刀片計(jì)算機(jī)���、膝上型計(jì)算機(jī)等���。 可以在基于客戶機(jī)-服務(wù)器范例的計(jì)算環(huán)境100中實(shí)現(xiàn)各實(shí)施例?���?梢栽趯?duì) 等聯(lián)網(wǎng)環(huán)境中實(shí)現(xiàn)備選實(shí)施例��。主機(jī)106至存儲(chǔ)系統(tǒng)102的連接可以是直 接的或可以通過(guò)任何本領(lǐng)域公知的網(wǎng)絡(luò)104���,例如,存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)�、 局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)���、因特網(wǎng)��、企業(yè)內(nèi)部互聯(lián)網(wǎng)等��。
存儲(chǔ)系統(tǒng)102包括未加密數(shù)據(jù)108�����,已加密數(shù)據(jù)110和加密管理應(yīng)用 112��。未加密數(shù)據(jù)108還可被稱為遺留數(shù)據(jù)�����。在各實(shí)施例的實(shí)現(xiàn)用于向計(jì)算 環(huán)境100提供數(shù)據(jù)安全性之前,已將未加密數(shù)據(jù)108存儲(chǔ)在存儲(chǔ)系統(tǒng)102中�。已加密數(shù)據(jù)110還可被稱為非遺留數(shù)據(jù)�,并且可以由加密管理應(yīng)用112 從未加密數(shù)據(jù)108生成已加密數(shù)據(jù)110��。盡管示出了單個(gè)加密管理應(yīng)用112��, 但是在備選實(shí)施例中,可以由多個(gè)應(yīng)用執(zhí)行加密管理應(yīng)用112執(zhí)行的操作�����。
主機(jī)106包括至少一個(gè)可以通過(guò)網(wǎng)絡(luò)104與存儲(chǔ)系統(tǒng)102交互的主機(jī) 應(yīng)用114。主機(jī)應(yīng)用114可以嘗試訪問(wèn)存儲(chǔ)在存儲(chǔ)系統(tǒng)102內(nèi)的未加密數(shù) 據(jù)108或已加密數(shù)據(jù)110�����。主機(jī)應(yīng)用114還可以嘗試將數(shù)據(jù)寫入或更新至 存儲(chǔ)系統(tǒng)102�。主機(jī)應(yīng)用114還可以與存儲(chǔ)系統(tǒng)102交互以執(zhí)行其他操作�。 與主機(jī)應(yīng)用114關(guān)聯(lián)的是加密密鑰116和解密密鑰118����,其中加密密鑰116 可用于加密存儲(chǔ)在存儲(chǔ)系統(tǒng)102內(nèi)的未加密數(shù)據(jù)108,而解密密鑰118可 用于解密存儲(chǔ)在存儲(chǔ)系統(tǒng)102內(nèi)的已加密數(shù)據(jù)110�����。在備選實(shí)施例中,可 以在主機(jī)106的外部存儲(chǔ)加密密鑰116和解密密鑰118�。
在圖l所示的特定實(shí)施例中,加密管理應(yīng)用112將一直避免加密未加 密遺留數(shù)據(jù)108��,至少直到加密管理應(yīng)用112接收到訪問(wèn)未加密遺留數(shù)據(jù) 108的請(qǐng)求時(shí)為止。
圖2示出了才艮據(jù)特定實(shí)施例的表示存儲(chǔ)在存儲(chǔ)系統(tǒng)102內(nèi)的數(shù)據(jù)的數(shù) 據(jù)結(jié)構(gòu)�����。在備選實(shí)施例中�����,可以使用其他數(shù)據(jù)結(jié)構(gòu)來(lái)表示存儲(chǔ)在存儲(chǔ)系統(tǒng) 102內(nèi)的數(shù)據(jù)���。
未加密數(shù)據(jù)108可以存儲(chǔ)在多個(gè)可尋址數(shù)據(jù)單元200a…20011內(nèi)�����,其中 可尋址數(shù)據(jù)單元200a…200n可以是邏輯單元����、文件�����、巻或任何其他可尋址 單元�,并且其中可尋址單元是可由應(yīng)用尋址的任何數(shù)據(jù)單元���。可尋址數(shù)據(jù) 單元200a...200n可以包括未加密數(shù)據(jù)202a…202n和加密指示器 204a…204n����,其中可以將加密指示器204a…204n設(shè)置為"假�����,,以指示可尋 址數(shù)據(jù)單元200a…200n存儲(chǔ)未加密數(shù)據(jù)��。例如,可尋址數(shù)據(jù)單元200a可 以包括未加密數(shù)據(jù)202a和對(duì)應(yīng)的加密指示器204a,后者被設(shè)置為"假" 以指示存儲(chǔ)在可尋址數(shù)據(jù)單元200a中的數(shù)據(jù)是未加密的。
已加密數(shù)據(jù)110可以存儲(chǔ)在多個(gè)可尋址數(shù)據(jù)單元206a�,�,.206m內(nèi)����,其中 可尋址數(shù)據(jù)單元M6a…Z(^m可以是邏輯單元、文件�����、巻或任何其他可尋址 數(shù)據(jù)單元����。例如,在特定實(shí)施例中,多個(gè)可尋址數(shù)據(jù)單元200a...200n��,"6a…206m是邏輯巻,其中邏輯巻是與連接到存儲(chǔ)系統(tǒng)102的物理存儲(chǔ)對(duì) 應(yīng)的物理巻的邏輯表示���。盡管數(shù)據(jù)被物理地存儲(chǔ)在包含物理存儲(chǔ)的物理巻 內(nèi)��,但是在存儲(chǔ)系統(tǒng)102上執(zhí)行的應(yīng)用以及主機(jī)106可以對(duì)邏輯巻進(jìn)行尋址。
可尋址數(shù)據(jù)單元206a…206m可以包括已加密數(shù)據(jù)208a…208m和加密 指示器210a…210m�,其中可以將加密指示器210a…210m設(shè)置為"真,���,以 指示可尋址數(shù)據(jù)單元206a…206m存儲(chǔ)已加密數(shù)據(jù)。例如����,可尋址數(shù)據(jù)單元 206a可以包括已加密數(shù)據(jù)208a和對(duì)應(yīng)的加密指示器210a,后者^(guò)皮i殳置為 "真"以指示存儲(chǔ)在可尋址數(shù)據(jù)單元206a內(nèi)的數(shù)據(jù)是已加密的����。
在圖2中���,盡管將加密指示器204a…204n���,210a…210m示為包括在未 加密數(shù)據(jù)108和已加密數(shù)據(jù)110內(nèi)����,但是在其他實(shí)施例中�����,加密指示器 204a…204n�, 210a…210m可以與未加密數(shù)據(jù)108和已加密數(shù)據(jù)110分離地 存儲(chǔ)。在特定實(shí)施例中���,可以將加密指示器204a…204n��,210a…210m存儲(chǔ) 在位圖中�����,所述位圖指示可尋址數(shù)據(jù)單元200a…200n, 206a…206m中的哪 些單元存儲(chǔ)未加密數(shù)據(jù)��,并且可尋址數(shù)據(jù)單元200a...200n����, 206a...206m 中的哪些單元存儲(chǔ)已加密數(shù)據(jù)��。
在圖2示出的特定實(shí)施例中�,加密管理應(yīng)用112可以通過(guò)將未加密數(shù) 據(jù)202a.,.202n從未加密更改為已加密���,以及通過(guò)更新關(guān)聯(lián)的加密指示器 204a...204n,來(lái)更改^f壬何可尋址數(shù)據(jù)單元200a…200n的狀態(tài)��。例如����,在特 定實(shí)施例中��,當(dāng)主才幾應(yīng)用114嘗試通過(guò)對(duì)可尋址數(shù)據(jù)單元200a進(jìn)行尋址來(lái) 訪問(wèn)未加密數(shù)據(jù)202a時(shí),加密管理應(yīng)用112可以加密未加密數(shù)據(jù)202a并 將關(guān)聯(lián)的加密指示器204a更改為"真"�����。
圖3示出了根據(jù)特定實(shí)施例的用于加密未加密遺留數(shù)據(jù)108以響應(yīng)訪 問(wèn)數(shù)據(jù)的請(qǐng)求的流程圖??梢杂纱鎯?chǔ)系統(tǒng)102的加密管理應(yīng)用112實(shí)現(xiàn)圖 3中示出的操作�����。
控制始于方塊300�,其中存儲(chǔ)系統(tǒng)102的加密管理應(yīng)用112接收到來(lái) 自主機(jī)應(yīng)用114的訪問(wèn)存儲(chǔ)在存儲(chǔ)系統(tǒng)102內(nèi)的數(shù)據(jù)的請(qǐng)求����。來(lái)自主機(jī)應(yīng) 用114的請(qǐng)求可以是讀取��、寫入���、更新或以其他方式訪問(wèn)存儲(chǔ)在存儲(chǔ)系統(tǒng)102內(nèi)的數(shù)據(jù)的請(qǐng)求�,其中存儲(chǔ)在存儲(chǔ)系統(tǒng)102內(nèi)的數(shù)據(jù)可以是加密數(shù)據(jù) 110,也可以是未加密遺留數(shù)據(jù)108�。
加密管理應(yīng)用112判定(方塊302 )是否已授權(quán)請(qǐng)求方(即����,主機(jī)應(yīng) 用114)訪問(wèn)正在被請(qǐng)求的數(shù)據(jù)�。例如���,加密管理應(yīng)用112可以從主機(jī)應(yīng) 用114所尋址的可尋址數(shù)據(jù)單元200a…200n����, 206a…206m的加密指示器 204a…204n,210a…210ffl來(lái)判定存儲(chǔ)在可尋址數(shù)據(jù)單元200a…200n���, 206a…206m內(nèi)的數(shù)據(jù)是否已#^口密���。
如果加密管理應(yīng)用112判定(方塊302 )未授;f又請(qǐng)求方(即,主才幾應(yīng) 用114)訪問(wèn)正在^L請(qǐng)求的數(shù)據(jù)��,則加密管理應(yīng)用112將阻止(方塊304 ) 主機(jī)應(yīng)用114訪問(wèn)被請(qǐng)求的數(shù)據(jù)。
如果加密管理應(yīng)用112判定(方塊302 )已授權(quán)請(qǐng)求方(即��,主機(jī)應(yīng) 用114)訪問(wèn)被請(qǐng)求的數(shù)據(jù),則加密管理應(yīng)用112通過(guò)讀取與所請(qǐng)求數(shù)據(jù) 對(duì)應(yīng)的加密指示器204a…204n�����,210a…210m的值,來(lái)判定(方塊306 )所
請(qǐng)求數(shù)據(jù)是否已被加密�。
如果加密管理應(yīng)用112判定(方塊306 )所請(qǐng)求數(shù)據(jù)未,皮加密,則在 特定實(shí)施例中����,加密管理應(yīng)用112將請(qǐng)求加密密鑰116以侵力口密由主機(jī)應(yīng) 用114請(qǐng)求的未加密數(shù)據(jù)202a...202n。
加密管理應(yīng)用112接收(方塊310)來(lái)自主機(jī)應(yīng)用114的加密密鑰116�����, 使用加密密鑰116加密(方塊312)未加密數(shù)據(jù),并且更新與先前未加密 數(shù)據(jù)對(duì)應(yīng)的現(xiàn)在已被加密為"真��,,的加密指示器����。隨后����,加密管理應(yīng)用112 允許(方塊314)主機(jī)應(yīng)用114訪問(wèn)被請(qǐng)求數(shù)據(jù)。因此�,在本發(fā)明的特定 實(shí)施例中�,當(dāng)主才幾應(yīng)用114請(qǐng)求未加密遺留數(shù)據(jù)時(shí),加密管理應(yīng)用112將 先加密被請(qǐng)求的未加密遺留數(shù)據(jù)�,然后才向主機(jī)應(yīng)用114提供對(duì)被請(qǐng)求數(shù) 據(jù)的訪問(wèn)�����。在特定備選實(shí)施例中�����,可以從不同于主機(jī)應(yīng)用114的應(yīng)用獲得 加密密鑰116���。
如果加密管理應(yīng)用112判定(方塊306 )祐L請(qǐng)求數(shù)據(jù)已4皮加密�,則在 特定實(shí)施例中����,加密管理應(yīng)用112請(qǐng)求(方塊316)解密密鑰118�����,以便解 密主機(jī)應(yīng)用114請(qǐng)求的未加密數(shù)據(jù)202a…202n�。在接收到來(lái)自主機(jī)應(yīng)用114的對(duì)解密密鑰118的請(qǐng)求的響應(yīng)時(shí)���,加密管理應(yīng)用112判定(方塊318 ) 是否已提供正確的解密密鑰118。如果是,則加密管理應(yīng)用112通過(guò)使用 所提供的解密密鑰118解密已加密的數(shù)據(jù)�,來(lái)允許(方塊314)主機(jī)應(yīng)用 114訪問(wèn)被請(qǐng)求的數(shù)據(jù)�。如果加密管理應(yīng)用112判定(方塊318 )未提供正 確的解密密鑰118�����,則加密管理應(yīng)用將阻止(方塊304 )訪問(wèn)凈皮請(qǐng)求的數(shù)據(jù)�。
因此�,圖3示出了其中存儲(chǔ)系統(tǒng)102在存儲(chǔ)系統(tǒng)102中維護(hù)未加密遺 留數(shù)據(jù)的特定實(shí)施例�����。當(dāng)來(lái)自已授權(quán)實(shí)體的對(duì)未加密遺留數(shù)據(jù)的請(qǐng)求到達(dá) 存儲(chǔ)系統(tǒng)102時(shí),加密管理應(yīng)用112在允許訪問(wèn)被請(qǐng)求數(shù)據(jù)之前加密未加 密數(shù)據(jù)���。在各實(shí)施例中實(shí)現(xiàn)了數(shù)據(jù)的立即加密��,盡管在存儲(chǔ)系統(tǒng)102中仍 維護(hù)未加密遺留數(shù)據(jù)108�����。
圖4示出了才艮據(jù)特定實(shí)施例的用于加密存儲(chǔ)系統(tǒng)102內(nèi)的數(shù)據(jù)的流程 圖���?�?梢杂纱鎯?chǔ)系統(tǒng)102的加密管理應(yīng)用112實(shí)現(xiàn)圖4中示出的操作��。
控制始于方塊400���,其中加密管理應(yīng)用112接收來(lái)自請(qǐng)求方114的訪 問(wèn)存儲(chǔ)在存儲(chǔ)系統(tǒng)102內(nèi)的數(shù)據(jù)的請(qǐng)求。加密管理應(yīng)用112判定(方塊402 ) 請(qǐng)求方114是否^皮授權(quán)訪問(wèn)所請(qǐng)求的數(shù)據(jù)����。加密管理應(yīng)用112判定(方塊 404 )所請(qǐng)求的數(shù)據(jù)是否已凈M口密���,以響應(yīng)判定請(qǐng)求方114 ^皮授權(quán)訪問(wèn)所請(qǐng) 求的數(shù)據(jù)。
在方塊406��,加密管理應(yīng)用112從請(qǐng)求方1M請(qǐng)求加密密鑰116�����,以響 應(yīng)判定所請(qǐng)求的數(shù)據(jù)未被加密����。加密管理應(yīng)用ll2接收(方塊408 )來(lái)自 請(qǐng)求方114的加密密鑰116并使用所接收的加密密鑰116加密(方塊410) 所請(qǐng)求的數(shù)據(jù)��。加密管理應(yīng)用112允許(方塊412 )請(qǐng)求方114訪問(wèn)現(xiàn)在 已被加密的所請(qǐng)求數(shù)據(jù)��,其中現(xiàn)在已#>密的數(shù)據(jù)被稱為已加密數(shù)據(jù)110����。
響應(yīng)于訪問(wèn)已加密數(shù)據(jù)110的后續(xù)請(qǐng)求���,加密管理應(yīng)用ll2請(qǐng)求(方 塊414)解密密鑰118并且如果提供了正確的解密密鑰118�����,將允許訪問(wèn)現(xiàn) 在已加密的數(shù)據(jù)110�����。
因此�����,圖4示出了其中在存儲(chǔ)系統(tǒng)102上一直維護(hù)未加密遺留數(shù)據(jù)的 可尋址單元���,至少直到在存儲(chǔ)系統(tǒng)102處接收到訪問(wèn)未加密遺留數(shù)據(jù)的可 尋址單元的請(qǐng)求時(shí)為止的特定實(shí)施例�����。在接收到訪問(wèn)未加密遺留數(shù)據(jù)的可尋址單元的請(qǐng)求時(shí)�,將加密該未加密遺留數(shù)據(jù)的可尋址單元���。
在特定實(shí)施例中����,可以在到數(shù)據(jù)級(jí)別的公共訪問(wèn)點(diǎn)處提供立即數(shù)據(jù)加 密�。在特定實(shí)施例中,可以在存儲(chǔ)子系統(tǒng)內(nèi)針對(duì)位于此存儲(chǔ)子系統(tǒng)內(nèi)的所 有數(shù)據(jù)在多個(gè)粒度級(jí)別處(例如,在整個(gè)子系統(tǒng)��、邏輯子系統(tǒng)�、巻���、范圍���、 記錄/塊�����,或字節(jié)級(jí)別處)提供此類立即數(shù)據(jù)加密���。在特定實(shí)施例中��,所有 對(duì)存儲(chǔ)子系統(tǒng)內(nèi)數(shù)據(jù)的訪問(wèn)都可以通過(guò)存儲(chǔ)子系統(tǒng)加密機(jī)制的上層接口 。 隨著時(shí)間的過(guò)去��,將重寫此子系統(tǒng)內(nèi)的所有數(shù)據(jù)。在特定實(shí)施例中����,由所 述存儲(chǔ)子系統(tǒng)表示的公共訪問(wèn)點(diǎn)還可以位于可在特定客戶配置中配置的其 他"公共"訪問(wèn)點(diǎn)內(nèi)��。例如���,位于存儲(chǔ)區(qū)域網(wǎng)絡(luò)內(nèi)的交換機(jī)或設(shè)備、虛擬 化層���、通道/光纖或邏輯巻管理器等可用于實(shí)現(xiàn)立即數(shù)據(jù)加密。
在特定備選實(shí)施例中��,可以在各個(gè)層(整個(gè)子系統(tǒng),LSS,巻�,記錄/ 塊或甚至字節(jié))通過(guò)到存儲(chǔ)子系統(tǒng)102的安全接口 (例如��,存儲(chǔ)維護(hù)控制 臺(tái))建立加密密鑰116���。還可以以此方式建立具有不同加密"訪問(wèn)"密鑰 的多個(gè)加密層����。此類實(shí)施例可以為特定存儲(chǔ)子系統(tǒng)之后的數(shù)據(jù)���、然后在特 定邏輯存儲(chǔ)子系統(tǒng)內(nèi)的數(shù)據(jù)、然后在特定巻或邏輯單元內(nèi)的數(shù)據(jù)�����、然后在 特定磁道/扇區(qū)����、記錄/塊內(nèi)的數(shù)據(jù)或甚至數(shù)據(jù)字節(jié)提供多層安全訪問(wèn)�����。然 后可以根據(jù)外部用戶的安全簡(jiǎn)檔修改現(xiàn)有軟件安全包以便提供加密密鑰。 所述軟件安全包可以使用現(xiàn)有安全編程接口 ���,且擴(kuò)展這些接口以提供適當(dāng) 的加密密鑰����。
其他實(shí)施例詳細(xì)信息
所述技術(shù)可以實(shí)現(xiàn)為包括軟件�����、固件����、微碼����、硬件和/或它們的任意組 合的方法、裝置或制品���。在此使用的術(shù)語(yǔ)"制品"指在介質(zhì)中實(shí)現(xiàn)的代碼 或邏輯���,其中此類介質(zhì)可以包括硬件邏輯[例如����,集成電路芯片�����、可編程門 陣列(PGA)�����、專用集成電路(ASIC)等]或計(jì)算機(jī)可讀介質(zhì),如磁存儲(chǔ)介 質(zhì)(例如��,硬盤驅(qū)動(dòng)器��、軟盤��、磁帶等)、光存儲(chǔ)(CD-R0M�����、光盤等)�、 易失性和非易失性存儲(chǔ)器器件[例如,電可擦除可編程只讀存儲(chǔ)器 (EEPR0M)���、只讀存儲(chǔ)器(ROM)����、可編程只讀存儲(chǔ)器(PR0M)�、隨機(jī)存取存儲(chǔ)器(RAM)����、動(dòng)態(tài)隨^取存儲(chǔ)器(DRAM)、靜態(tài)隨^取存儲(chǔ)器(SRAM)����、 閃存����、固件����、可編程邏輯等]。由處理器來(lái)存取和執(zhí)行所述計(jì)算機(jī)可讀介質(zhì) 中的代碼�����。其中編碼所述代碼或邏輯的介質(zhì)還可以包括通過(guò)空間傳播的傳 輸信號(hào)或諸如光纖�����、銅線之類的傳輸介質(zhì)。其中編碼所述代碼或邏輯的傳 輸信號(hào)還可以包括無(wú)線信號(hào)、衛(wèi)星傳輸����、無(wú)線電波��、紅外線信號(hào)�����、藍(lán)牙等。 其中編碼所述代碼或邏輯的傳輸信號(hào)能夠通過(guò)發(fā)射站發(fā)射并且通過(guò)接收站 接收,其中在傳輸信號(hào)中編碼的代碼或邏輯可以被解碼并存儲(chǔ)在硬件或接 收和發(fā)射站或設(shè)備處的計(jì)算機(jī)可讀介質(zhì)中��。此外,"制品���,���,可以包括其中 包含��、處理和執(zhí)行代碼的硬件和軟件組件的組合���。當(dāng)然,本領(lǐng)域的技術(shù)人 員將認(rèn)識(shí)到����,可以做出許多修改而不偏離實(shí)施例的范圍,并且所述制品可 以包括任何信息承載介質(zhì)。例如���,所述制品包括其中存儲(chǔ)有指令的存儲(chǔ)介 質(zhì)�,當(dāng)由機(jī)器執(zhí)行時(shí)�����,所述指令將導(dǎo)致操作被執(zhí)行����。
特定實(shí)施例可以采取完全硬件實(shí)施例、完全軟件實(shí)施例或包含硬件和 軟件元素兩者的實(shí)施例的形式���。在一個(gè)優(yōu)選實(shí)施例中,本發(fā)明以軟件實(shí)現(xiàn)���, 所述軟件包括但不限于固件����、駐留軟件�、微代碼等。
此外�����,特定實(shí)施例可以采取可從計(jì)算機(jī)可用或計(jì)算機(jī)可讀介質(zhì)訪問(wèn)的 計(jì)算機(jī)程序產(chǎn)品的形式,所述計(jì)算機(jī)可用或計(jì)算機(jī)可讀介質(zhì)提供了可以被 計(jì)算機(jī)或任何指令執(zhí)行系統(tǒng)使用或與計(jì)算機(jī)或任何指令執(zhí)行系統(tǒng)結(jié)合的程 序代碼���。出于此描述的目的�����,計(jì)算機(jī)可用或計(jì)算機(jī)可讀介質(zhì)可以是任何能 夠包含���、存儲(chǔ)、傳送、傳播或傳輸由指令執(zhí)行系統(tǒng)�����、裝置或設(shè)備使用或與 所述指令執(zhí)行系統(tǒng)、裝置或設(shè)備結(jié)合的程序的裝置��。所述介質(zhì)可以是電、 磁�、光���、電磁���、紅外線或半導(dǎo)體系統(tǒng)(或裝置或設(shè)備)或傳播介質(zhì)。計(jì)算 機(jī)可讀介質(zhì)的實(shí)例包括半導(dǎo)體或固態(tài)存儲(chǔ)器�、磁帶�、可移動(dòng)計(jì)算機(jī)盤、隨 機(jī)存取存儲(chǔ)器(MM)����、只讀存儲(chǔ)器(R0M)����、硬磁盤和光盤����。光盤的當(dāng)前實(shí)例 包括光盤-只讀存儲(chǔ)器(CD-ROM)、光盤-讀/寫(CR-R/W)和DVD�����。
術(shù)語(yǔ)"特定實(shí)施例"、"一個(gè)實(shí)施例"���、"實(shí)施例"、"多個(gè)實(shí)施例"����、 "所述實(shí)施例,,��、"所述多個(gè)實(shí)施例"、"一個(gè)或多個(gè)實(shí)施例"��、"某些 實(shí)施例,�,和"某一實(shí)施例"指一個(gè)或多個(gè)(但不是所有)實(shí)施例���,除非另外明確指出��。術(shù)語(yǔ)"包含"�����、"包括"、"具有���,����,及其變型指"包括但不 限于"���,除非另外明確指出�����。列舉的項(xiàng)目的列表并非暗示任何或所有的項(xiàng) 目互相排斥����,除非另外明確指出。術(shù)語(yǔ)"一�����,,�����、"所述"指"一個(gè)或多個(gè)���,�����,����, 除非另外明確指出����。
相互通信的i殳備不必持續(xù)地相互通信,除非另外明確指出���。此外�����,相 互通信的設(shè)備可以通過(guò)一個(gè)或多個(gè)媒介直接或間接地通信。此外���,具有若 干相互通信的組件的實(shí)施例的描述并非暗示所有此類組件都是必需的。相 反���,描述了多種可選的組件以說(shuō)明更多可能的實(shí)施例�����。
此外,盡管可以按照連續(xù)的順序來(lái)描述處理步驟�����、方法步驟�����、算法或 類似步驟,但是此類處理、方法和算法可以,皮配置為以替代順序工作��。換 句話說(shuō)���,所描述的步驟的任何序列或順序并不一定指示要求按此順序執(zhí)行 步驟��。實(shí)際可以按4壬何順序執(zhí)行在此描述的處理的步驟���。此外�,可以同時(shí)�����、
并行或并發(fā)地執(zhí)行某些步驟。
當(dāng)在此描述單個(gè)設(shè)備或物品時(shí)�,將顯而易見(jiàn)的是�����,可以使用多個(gè)設(shè)備/ 物品(無(wú)論它們是否協(xié)作)來(lái)代替單個(gè)設(shè)備/物品��。同樣��,當(dāng)在此描述了多 個(gè)設(shè)備或物品(無(wú)論它們是否協(xié)作)的情況下,將顯而易見(jiàn)的是�����,可以使 用單個(gè)設(shè)備或物品來(lái)代替多個(gè)設(shè)備或物品��。設(shè)備的功能和/或特性可以備選 地由一個(gè)或多個(gè)其他未明確描述為具有此類功能/特性的設(shè)備來(lái)體現(xiàn)。因 此�����,其他實(shí)施例不必包括^殳備本身。
圖5示出了其中可以實(shí)現(xiàn)特定實(shí)施例的系統(tǒng)500體系結(jié)構(gòu)的方框圖�����。 在特定實(shí)施例中�����,可以根據(jù)系統(tǒng)500實(shí)現(xiàn)圖1所示的存儲(chǔ)系統(tǒng)102和主機(jī) 106�。系統(tǒng)500可以包括電路502�����,后者在特定實(shí)施例中可以包括處理器504��。 系統(tǒng)500還可以包括存儲(chǔ)器506 (例如���,易失性存儲(chǔ)器設(shè)備)和存儲(chǔ)裝置 508。系統(tǒng)500的特定元素可以或不能在存儲(chǔ)系統(tǒng)102和主機(jī)106內(nèi)找到���。 存儲(chǔ)裝置508可以包括非易失性存儲(chǔ)設(shè)備(例如�,EEPROM�����、 ROM、 PROM���、 RAM、 DARM�����、 SRAM�、閃存、固件���、可編程邏輯等),磁盤驅(qū) 動(dòng)器���,光盤驅(qū)動(dòng)器�����,磁帶驅(qū)動(dòng)器等�����。存儲(chǔ)裝置508可以包括內(nèi)部存儲(chǔ)設(shè)備����, 附加存儲(chǔ)設(shè)備和/或可訪問(wèn)網(wǎng)絡(luò)的存儲(chǔ)設(shè)備��。系統(tǒng)500可以包括程序邏輯510��,程序邏輯510包括可以加載到存儲(chǔ)器506中并由處理器504或電路 502執(zhí)行的代碼512�。在特定實(shí)施例中�����,包括代碼512的程序邏輯510可以 被存儲(chǔ)在存儲(chǔ)裝置508中�����。在其他特定實(shí)施例中�����,可以在電路502中實(shí)現(xiàn) 程序邏輯510���。因此����,雖然圖5示出了程序邏輯510與其他元素分離���,但 是程序邏輯510可以在存儲(chǔ)器506和/或電路502中實(shí)現(xiàn)。
特定實(shí)施例可以涉及用于由個(gè)人或集成計(jì)算機(jī)可讀代碼的自動(dòng)處理將 計(jì)算指令部署到計(jì)算系統(tǒng)中的方法���,其中所述代碼結(jié)合所迷計(jì)算系統(tǒng)被使 能執(zhí)行所描述的實(shí)施例的操作�����。
至少可以并行以及順序執(zhí)行圖3和4中示出的某些操作��。在備選實(shí)施 例中,可以以不同的順序執(zhí)行����、修改或刪除某些操作。
此外���,出于說(shuō)明的目的在單獨(dú)的模塊中描述了許多軟件和硬件組件��。 此類組件可以集成到更少數(shù)量的組件中或者分成更多數(shù)量的組件�。另外�����, 所描述的由特定組件執(zhí)行的某些操作可以由其他組件來(lái)執(zhí)行����。
圖1-5中示出或指出的數(shù)據(jù)結(jié)構(gòu)和組件被描述為具有特定類型的信 息��。在備選實(shí)施例中���,可以不同地構(gòu)造所述數(shù)據(jù)結(jié)構(gòu)和組件,并且與圖中 示出或指出的數(shù)據(jù)結(jié)構(gòu)和組件相比����,可以具有更少的、更多的或不同的字 段或不同的功能���。
因此��,出于說(shuō)明和描迷目的提供了以上實(shí)施例的描述���。其并非旨在是 窮舉的或?qū)⑺詫?shí)施例限于已披露的精確形式。根據(jù)上述教導(dǎo)���,可以做出 許多修改和變型�����。
權(quán)利要求
1.一種方法��,所述方法包括接收來(lái)自請(qǐng)求方的訪問(wèn)數(shù)據(jù)的請(qǐng)求���;判定所述請(qǐng)求方是否被授權(quán)訪問(wèn)所述數(shù)據(jù)���;判定所述數(shù)據(jù)是否被加密�����,以響應(yīng)判定已授權(quán)所述請(qǐng)求方訪問(wèn)所述數(shù)據(jù)��;以及請(qǐng)求來(lái)自所述請(qǐng)求方的加密密鑰���,以響應(yīng)判定所述數(shù)據(jù)未被加密。
2. 根據(jù)權(quán)利要求1的方法���,還包括 接收來(lái)自所述請(qǐng)求方的所述加密密鑰����; 使用所述加密密鑰來(lái)加密所述數(shù)據(jù)�;以及 允許所述請(qǐng)求方訪問(wèn)所述數(shù)據(jù)。
3. 根據(jù)權(quán)利要求2的方法�����,還包括 請(qǐng)求解密密鑰,以響應(yīng)訪問(wèn)所述數(shù)據(jù)的后續(xù)請(qǐng)求�����。
4. 根據(jù)權(quán)利要求l的方法����,其中通過(guò)對(duì)邏輯單元、文件�、字節(jié)、記錄����、 塊、巻或包括所述數(shù)據(jù)的整個(gè)子系統(tǒng)進(jìn)行尋址來(lái)做出訪問(wèn)所述數(shù)據(jù)的請(qǐng)求���。
5. 根據(jù)權(quán)利要求l的方法�����,其中所述數(shù)據(jù)是存儲(chǔ)在存儲(chǔ)單元中的遺留 數(shù)據(jù)�,其中至少到嘗試訪問(wèn)所述遺留數(shù)據(jù)時(shí)為止��,所述遺留數(shù)據(jù)被保持在 未加密狀態(tài)��,并且其中不是遺留數(shù)據(jù)的數(shù)據(jù)在所述存儲(chǔ)單元內(nèi)被保持在加 密狀態(tài)��。
6. —種系統(tǒng)��,所述系統(tǒng)包括 存儲(chǔ)器����;以及與所述存儲(chǔ)器相連的處理器����,其中所迷處理器可操作以執(zhí)行權(quán)利要求 1至5中的任一4又利要求的步驟。
7. —種系統(tǒng)��,所述系統(tǒng)包括 主機(jī)��;以及存儲(chǔ)子系統(tǒng)���,其中所述存儲(chǔ)子系統(tǒng)接收來(lái)自所述主機(jī)的訪問(wèn)數(shù)據(jù)的請(qǐng) 求��,其中所述存儲(chǔ)子系統(tǒng)判定所述主機(jī)是否被授權(quán)訪問(wèn)所述數(shù)據(jù),其中所述存儲(chǔ)子系統(tǒng)判定所述數(shù)據(jù)是否凈b口密����,以響應(yīng)判定已授權(quán)所述主機(jī)訪問(wèn) 所述數(shù)據(jù),并且其中所述存儲(chǔ)子系統(tǒng)請(qǐng)求加密密鑰�����,以響應(yīng)判定所述數(shù)據(jù) 未被力口密��。
8. —種包括計(jì)算機(jī)可讀代碼的計(jì)算機(jī)產(chǎn)品,所述計(jì)算機(jī)可讀代碼在計(jì) 算機(jī)上運(yùn)行時(shí)�����,將執(zhí)行根據(jù)權(quán)利要求1至5中的任一權(quán)利要求的步驟。
9. 一種部署計(jì)算基礎(chǔ)結(jié)構(gòu)的方法���,所述方法包括將計(jì)算機(jī)可讀代碼 集成到控制器中�����,其中與所述控制器結(jié)合的所述代碼能夠執(zhí)行根據(jù)權(quán)利要 求1至5中的任一權(quán)利要求的步驟��。
全文摘要
在數(shù)據(jù)加密方法中,接收來(lái)自請(qǐng)求方的訪問(wèn)數(shù)據(jù)的請(qǐng)求�����。判定所述請(qǐng)求方是否被授權(quán)訪問(wèn)所述數(shù)據(jù)��。響應(yīng)于判定已授權(quán)所述請(qǐng)求方訪問(wèn)所述數(shù)據(jù)�,判定所述數(shù)據(jù)是否被加密。請(qǐng)求來(lái)自所述請(qǐng)求方的加密密鑰��,以響應(yīng)判定所述數(shù)據(jù)未被加密�。
文檔編號(hào)G06F21/24GK101410850SQ200780011519
公開(kāi)日2009年4月15日 申請(qǐng)日期2007年3月28日 優(yōu)先權(quán)日2006年4月18日
發(fā)明者M·H·哈通, R·F·科恩, 許育誠(chéng) 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司