CN101983385A - 跨越数据中心对存储区域网加密密钥的分布 - Google Patents
跨越数据中心对存储区域网加密密钥的分布 Download PDFInfo
- Publication number
- CN101983385A CN101983385A CN2009801121104A CN200980112110A CN101983385A CN 101983385 A CN101983385 A CN 101983385A CN 2009801121104 A CN2009801121104 A CN 2009801121104A CN 200980112110 A CN200980112110 A CN 200980112110A CN 101983385 A CN101983385 A CN 101983385A
- Authority
- CN
- China
- Prior art keywords
- key
- data center
- source data
- destination data
- key object
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
- H04L9/0836—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
提供了用于从一个数据中心向另一个数据中心传送与磁盘逻辑单元号和磁带盒相关联的密钥对象的高效机制。接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求。源数据中心密钥对象与存储区域网(SAN)中保存的、诸如磁盘逻辑单元号(LUN)或磁带盒之类的数据块相对应,并且包括唯一标识符、被加密的密钥、以及包装唯一标识符。利用源数据中心密钥层次对被加密的密钥进行解密。从源数据中心向目的地数据中心发送密钥信息。利用目的地数据中心密钥层次来生成目的地数据中心密钥对象。
Description
相关申请的交叉引用
本申请要求保护2008年4月2日递交的USSN:12/061,597的优先权和利益,出于所有目的,USSN:12/061,597通过引用而被全部结合于此。
技术领域
本公开涉及跨越数据中心对存储区域网(storage area network)加密密钥的分布。
背景技术
包括存储介质加密(SME)设备的各种存储区域网(SAN)设备使得能够对存储在磁盘和磁带上的数据进行加密。在很多实例中,每个磁盘逻辑单元号(LUN)或磁带盒(tape cartridge)使用唯一密钥对象(unique key object)进行数据加密和/或认证。
然而,用于跨越数据中心来分布加密密钥的机制是受限制的。因此,希望提供用于分布加密密钥以用来加密和/或认证存储区域网设备中的数据的改进方法和设备。
附图说明
通过结合附图来参考下面的描述,可最佳地理解本公开,附图示出了特定的示例性实施例。
图1示出存储区域网(SAN)的特定示例。
图2示出密钥管理中心项目的特定示例。
图3示出密钥和对象层次的特定示例。
图4示出在迁移期间的密钥管理中心项目修改的特定示例。
图5示出用于创建加密密钥的交换示图的特定示例。
图6A示出对象密钥管理的特定示例。
图6B示出主密钥管理的特定示例。
图6C示出密钥迁移的特定示例。
图7示出网络设备的特定示例。
具体实施方式
现在将详细地参考本发明的一些具体示例,这些具体示例包括了发明人考虑的用于实施本发明的最佳模式。这些具体实施例的示例在附图中示出。虽然结合这些具体实施例描述了本发明,但是将会理解,不希望将本发明限制到所描述的实施例。相反,希望覆盖可被包括在所附权利要求限定的本发明的精神和范围内的替换、修改和等同物。
例如,将在特定的密钥和存储区域网(SAN)的语境中描述本发明的技术。然而,应当注意,本发明的技术适用于各种加密机制、密钥和SAN。在下面的描述中,陈述了许多具体细节以提供对本发明的透彻理解。可以在没有一些或全部这些具体细节的情况下实现本发明的特定示例性实施例。在其他实例中,公知的处理操作未被详细描述,以便不会不必要地模糊本发明。
为了清晰,有时将会以单数形式来描述本发明的各种技术和机制。然而,应当注意,一些实施例包括技术的多次迭代或者机制的多次例示,除非作出不同表示。例如,在各种语境中,系统使用一个处理器。然而,将会认识到,在保持在本发明的范围内的同时,系统可使用多个处理器,除非作出不同表示。此外,本发明的技术和机制有时将会描述两个实体之间的连接。应当注意,两个实体之间的连接未必意味着直接的、不受阻碍的连接,因为各种其他实体可能位于这两个实体之间。例如,处理器可连接至存储器,但是将会认识到,各种桥接器和控制器可位于处理器和存储器之间。因此,连接未必意味着直接的、不受阻碍的连接,除非作出不同表示。
概要
提供了用于从一个数据中心向另一个数据中心传送与磁盘逻辑单元号和磁带盒相关联的密钥对象的高效机制。接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求。源数据中心密钥对象与存储区域网(SAN)中维护的、诸如磁盘逻辑单元号(LUN)或磁带盒之类的数据块相对应,并且包括唯一标识符、被加密的密钥、以及包装唯一标识符(wrapper unique identifier)。利用源数据中心密钥层次对被加密的密钥进行解密。从源数据中心向目的地数据中心发送密钥信息。利用目的地数据中心密钥层次来生成目的地数据中心密钥对象。
示例性实施例
各种系统使得能够对存储在磁盘和磁带上的数据进行加密。在一些传统系统中,连接至诸如磁盘阵列和磁带驱动器之类的存储设备的主机在向存储设备写数据之前以密码方式(cryptographically)处理数据。主机应用程序管理加密和认证处理。然而,为了高效地执行密码处理,每个主机都需要密码加速器(cryptographic accelerator)。向众多主机提供独立的密码加速器经常是不实际的。在一些其他传统系统中,存储设备自身管理密码处理。诸如磁带驱动器之类的存储设备会在向磁带写数据之前加密数据。磁带驱动器也会对从磁带盒读出的数据进行解密。然而,为了高效地执行密码处理,每个存储设备也会需要密码加速器。
因此,本发明的技术和机制提供了用于执行密码处理的基于网络的机制。主机和存储设备都无需执行任何密码处理。当数据从主机向存储设备发送时,存储区域网(SAN)交换机以密码方式处理数据,并且保存密钥信息。根据特定实施例,写入到独立的磁带盒和磁盘LUN的数据具有由SAN交换机保存的唯一密钥。通过在密钥对象中包括诸如全球唯一标识符(GUID)之类的唯一标识符(UID),利用密钥数据库来高效地管理密钥。可以使用各种随机数生成方案来使密钥冲突的发生率(incidence)最小化。在密钥对象中具有UID实现了对密钥的高效获取(retrieval),所述密钥用于磁盘LUN和磁带盒上存储的数据的密码处理。UID自身也可被写入到磁盘LUN和磁带盒中。
根据特定实施例,通过对于特定数据中心而言可以是唯一的中间密钥和/或主密钥来加密密钥自身。当特定的密钥和/或相关联的数据被移向另一数据中心时,利用与新的数据中心相关联的中间密钥和主密钥来重新加密密钥。
除了UID和密钥自身以外,密钥数据库中的密钥对象还可包括密钥实体或者说是对密钥对象所属于的存储介质的描述、密钥状态信息以及包装UID或包装GUID,该包装UID或包装GUID标识出用来加密本UID中的密钥的密钥对象。密钥数据库可包括与在数据中心处被写入的数百万磁盘LUN和磁带盒相对应的数百万密钥对象。对密钥对象的高效使用实现了高效的搜索、管理和迁移能力。在特定实施例中,密钥自身是以层次(hierarchy)的方式保存的,其中利用中间密钥加密了密钥,并且利用其他中间密钥或主密钥加密了中间密钥自身。
根据特定实施例,主密钥不被保存在密钥数据库或密钥管理中心之中,而是仅被保存在安全线卡(line card)中。可利用阈值秘密共享机制来得出主密钥的备用拷贝,其中主密钥被拆分(split)成总共n份(n shares),以使得需要n份中的任意m份来重新创建主密钥。用于拆分主密钥的一种机制使用了Shamir的多项式秘密共享算法。主密钥的每个独立的份被利用不同的个体来保存,并且每份可以可选地利用对称或不对称密钥而被加密。主密钥的各份可存储在外部智能卡中。
在参与的交换机和密码节点不可用于提供主密钥的故障恢复情景期间,具有主密钥的各份的、阈值数目的恢复官员可重新组装(reassemble)原始的主密钥。
图1示出了可使用特定示例性实施例的网络的特定示例。主机101和103连接至存储区域网(SAN)131。主机可以是被配置为访问诸如磁带设备和磁盘阵列之类的存储设备的存储服务器或其他实体。虚拟磁带设备123和磁带设备121连接至交换机115。诸如光学驱动器和独立磁盘冗余阵列(RAID)之类的其他存储设备也可被连接。
SAN 131包括交换机111、113和115。根据特定实施例,交换机111、113和115包括用于执行加密、认证和密钥管理的多个线卡和密码加速器。在特定实施例中,交换机之一被配置为包括密钥数据库的密钥管理中心,密钥数据库用于保存用来以密码方式处理数据的密钥。密钥管理中心可被实现为交换机的一部分或者独立设备。
图2是示出密钥对象的一个特定示例的图示表示。密钥对象221包括全球唯一标识符(GUID)201。根据特定实施例,GUID是随机生成的数,该数在特定SAN内是唯一的并且在众多SAN之中可能是唯一的。GUID可用来索引密钥数据库中的密钥对象。密钥对象221还包括集群(cluster)标识符203。集群标识符203指定了密钥对象所属于的特定一组交换机。密钥实体字段206指定了与诸如磁盘LUN或磁带盒之类的特定存储介质相关联的备用组、卷组和条码。在特定示例中,密钥实体字段206用来标识特定的磁盘或磁带。加密密钥207保存用来加密和/或解密数据的实际密钥材料(keying material)。对称和不对称密钥都可被使用。
根据特定实施例,密钥对象221还包括包装全球唯一标识符209。提供包装全球唯一标识符(WGUID)209是为了标识用来保护加密密钥207的密钥对象。在特定示例中,WGUID 209指定了密钥数据库中的分离的密钥对象。根据特定实施例,密钥对象221还包括克隆(clone)全球唯一标识符(CGUID)。在特定示例中,一个集群中的密钥对象221是从不同集群的密钥对象数据库中拷贝的。CGUID 221指向了密钥对象221所拷贝于的原始密钥对象。如果发生了多次拷贝,则CGUID 211仍然指向原始密钥对象。密钥数据状态信息213表明了加密密钥207在数据库中是以显明(clear)形式还是以加密形式保存的。如果密钥被加密,则状态信息213指定加密的类型,例如RSA加密、与另一密钥对象的对称加密、口令包装等。
图3示出对象层次301和密钥层次303的一个示例。根据特定实施例,SAN管理者和用户可能想要为存储介质的不同组指定不同的密钥。例如,特定的磁带卷组可被指派(assign)特定的密钥。特定的磁带备用组也可被指派特定的密钥。具有用于特定备用组的密钥的用户将能够访问、解密和认证在特定一组磁带盒上存储的数据,但是不能够访问其他数据。
根据特定实施例,集群311与主密钥313相关联。在特定示例中,对主密钥313的访问提供了对集群311中被加密的所有数据的访问。集群可包括许多交换机和存储设备。磁带备用组321和323可与磁带卷组密钥325和327相对应。具有磁带卷组密钥325和327的用户可以访问磁带备用组321和323。磁带卷组333、337以及默认磁带卷组331和335与磁带卷密钥343、347、341和345相对应。默认磁带卷组密钥331被用来以密码方式处理磁带卷351。默认磁带卷组密钥335被用来以密码方式处理磁带卷355和357。磁带卷组密钥333被用来以密码方式处理磁带卷353。
根据特定实施例,密钥管理中心保存若干密钥,包括与SAN相关联的中间密钥。可利用中间密钥来对与特定盒相关联的密钥进行加密。可利用另一中间密钥来加密该中间密钥,该另一中间密钥自身可利用主密钥而被加密。在特定示例中,密钥管理中心不以加密的或明文的形式来保存主密钥或顶级密钥。主密钥是当集群被创建并且诸如交换机内的密码节点之类的第一密码节点被添加时创建的。根据特定实施例,主密钥以及相关联的私有RSA密钥被保存在与交换机线卡相关联的联邦信息处理标准(FIPS)模块内。在特定示例中,主密钥被保存在SAN交换机中的线卡的引导闪存(bootflash)之内。
当随后的密码节点被添加到集群中时,系统可从另一密码节点获得利用RSA公钥私钥加密进行了加密的主密钥。每当主密钥在FIPS模块之外发送时,它都保持被加密。
图4示出密钥对象迁移的一个示例。根据特定实施例,磁带盒及其相关联的密钥可从一个集群移动至另一个集群。为了便于密钥的共享,每个密钥对象都具有克隆GUID属性。克隆GUID索引标识了当前密钥对象所拷贝于的原始密钥对象。当所克隆的密钥被进一步克隆时,克隆GUID字段被修改以指向原始密钥对象。根据特定实施例,系统用户可触发从源集群向目的地集群输出一组密钥的操作。这些密钥然后利用特定于集群的主密钥和中间密钥而在当前集群中被解密或去除包装(unwrap),并且然后出于输出目的而被加密或重新包装。例如,利用对于源集群而言特定的中间密钥和主密钥来对具有GUID1411、集群标识符413、被加密的密钥415、包装GUID2417以及其他字段的密钥对象进行解密和去除包装。
根据特定实施例,GUID1421与密钥状态信息423和密钥425一起被设置在消息中。密钥425可以是明文的,或者是利用各种机制加密的。当消息到达目的地集群时,通过利用与目的地集群相关联的中间密钥和主密钥来重新加密和重新包装密钥,创建了密钥对象。目的地集群处的密钥对象包括GUID3 431、集群标识符433、被加密的密钥435、包装GUID4437、克隆GUID1 439以及其他字段。
在特定示例中,利用公钥、私钥对来对密钥425进行RSA保护。为了发送,利用源集群的私钥和目的地集群的公钥来加密密钥。利用此机制,密钥被验证为来自源集群的密钥,并且密钥仅可被输入至目的地集群。在其他示例中,通过用户在源集群处指定口令来对密钥425对称地进行加密。
在特定示例中,唯一随机盐(unique random salt)被分配并且被供给以口令,以便生成合适的加密和认证密钥。密钥然后被用来利用对称加密方法对密钥425加密。利用此机制,密钥可被输入至由用户选择的任意集群(或者任意多个集群)。在任何时候,系统用户都可触发输入来自另一集群的一组密钥的操作。首先利用源集群中间密钥和主密钥在源集群处对密钥进行解密或去除包装。密钥然后可利用特定的传送机制而被打包,并且利用目的地集群的中间密钥和/或主密钥而在目的地集群处被重新加密或重新包装。
新创建的密钥具有新的GUID3 431。然后,通过使用克隆GUID 439属性而在新创建的密钥中记录原始密钥的GUID1 411。如果原始密钥自身即是被克隆的密钥,则克隆GUID 439索引按现状被拷贝。基于输出的机制来解密密钥。利用本地RSA私钥来解密经RSA保护的密钥。健康检查(sanity check)被进行,以验证被加密的密钥真正地是打算用于此集群的(通过比较本地集群的RSA公钥和所输入的文件中的RSA公钥)。如果解密失败了,则密钥不被输入。
根据特定实施例,用户从原始集群输出与磁带存储介质相对应的密钥,并且密钥被输入到远程集群上。在磁带盒被插进磁带设备以用于解密之后,来自该盒的GUID被提取并且消息被发送至本地密钥管理中心以用于密钥获取。在特定示例中,密钥管理中心基于所提供的GUID来处理密钥获取请求。基于GUID来访问本地密钥数据库。如果没有找到对象,则搜索克隆GUID属性以获得匹配的密钥对象。当在解密从远程集群输入的存储介质的同时接收到密钥获取请求时,执行随后获取方法。这提供了用于在各种系统中输出和输入密钥的简单、安全且灵活的机制。密钥可从一个集群转化(translate)到另一个集群,并且进一步以链状方式被转化到多个集群。此外,密钥可从一个集群输出并且被输入进多个数据中心。用户可利用密钥对象来填充(populate)多个数据中心。克隆GUID属性使系统管理者能定位原始集群中的原始密钥对象。
图5示出了密钥管理的一个示例。密钥管理中心保存若干密钥对象。线路501向交换机503提供创建密钥请求511。交换机503向密钥管理中心507发送密钥同步消息513。根据特定实施例,密钥管理中心507或者密钥数据库仅仅保存用于数据对象密钥和中间密钥的密钥对象。密钥管理中心507不保存任何主密钥。密钥管理中心507向交换机503发送确认515。根据特定实施例,然后通过发送同步集群消息517,密钥被提供给集群505中的所有交换机。
根据特定实施例,集群505中的每个交换机在诸如FIPS模块之类的安全环境中保存主密钥、中间密钥以及数据对象密钥。集群505向交换机503发送确认519。交换机503利用创建确认消息521来确认密钥创建请求。
图6A示出管理密钥对象的一个特定示例。用来访问诸如磁带盒或磁盘LUN之类的对象中的数据的任何密钥在这里被称为对象密钥。用来加密对象密钥的任何密钥在这里被称为中间密钥。用来加密中间密钥和/或对象密钥的任何密钥在这里被称为主密钥。在601,在SAN交换机处接收创建密钥请求。在603,创建密钥请求被转发至密钥管理中心。在605,从密钥管理中心接收的响应被与集群中的其他SAN交换机同步。在607,接收对与特定用户标识符相关联的数据的访问请求。访问可以是读出或写入访问。在609,利用UID来访问密钥管理中心中的密钥对象。在一些示例中,在SAN交换机上的线卡的FIPS边界内,密钥可能已经是可得的。在其他示例中,密钥对象可能不得不被获得。如果通过检查UID而确定对象不可得,则克隆UID的列表也可被检查以查看UID是否匹配密钥管理中心处的任何密钥对象的父亲。在611,利用包装UID来对密钥对象中的密钥进行解密,以获得中间密钥。在613,利用所解密的密钥来以密码方式处理数据。
图6B示出主密钥管理的一个特定示例。在621,接收密码节点创建请求。在623,确定主密钥是否可从集群中的另一密码节点得到。如果在623处确定主密钥可从另一密码节点得到,则在625处从另一密码节点获得主密钥。根据特定实施例,可利用RSA公钥和私钥对来传送主密钥。如果在623处确定主密钥在另一密码节点上不可得,则在629处生成主密钥。
根据特定实施例,主密钥利用阈值秘密共享机制而被拆分成若干份(627),并且可利用这若干份中的子集而在以后被恢复。例如,可利用阈值秘密共享机制将主密钥拆分成五份。对于重新构成主密钥而言,可能仅仅必需二或三份。在629,主密钥的各份被分布至多个实体。
图6C示出密钥迁移的一个特定示例。在641,接收传送加密密钥的请求。根据特定实施例,可在磁带盒已从源集群移动至目的地集群之后接收请求。在643,源集群对与GUID相关联的特定密钥对象执行输出操作。输出操作利用主密钥和/或中间密钥来对与GUID相关联的密钥进行解密。密钥和相关联的数据然后被加密以用于传送。可利用目的地集群的公钥(如果可得的话)以及源集群的私钥(如果可得的话)来对密钥加密。也可利用对称密钥来对密钥加密。
根据特定实施例,在647处,目的地集群执行输入操作。在特定示例中,在649处,目的地集群从源集群获得密钥,并且利用它自己的中间密钥和主密钥层次来重新加密密钥。
各种设备和应用可实现特定实施例的技术和机制。例如,各种交换机、线卡和数据库可执行密钥管理和迁移的各个方面。在特定示例中,可以访问密钥数据库或密钥管理中心的存储区域网中的光纤通道交换机可操作来执行特定实施例的各个方面。在特定示例中,交换机包括用于执行加密、解密和认证操作的密码加速卡。设置了多个线卡以允许与存储区域网中的若干其他光纤通道交换机的连接。根据特定实施例,每个线卡包括保存主密钥以及一个或多个中间密钥和对象密钥的FIPS。当密钥在FIPS中不可得时,可访问密钥数据库或密钥管理中心以获得密钥。交换机还可包括转发引擎、物理层和介质访问控制组件、以及仲裁器(arbiter)。
图7示出可实现特定实施例的设备的一个示例。根据特定的示例性实施例,适于实现本发明的特定实施例的系统700包括处理器701、存储器703、接口711和总线715(例如PCI总线)。当在适当软件或固件的控制之下动作时,处理器701负责诸如处理和转发流之类的任务。在一些实施例中,诸如密码加速器之类的专门组件被用于密码处理。代替处理器701或者除了处理器701之外,也可使用各种专门配置的设备。接口711通常被配置为通过网络发送和/或接收数据分组或数据片段。根据特定实施例,接口是存储区域网接口,但是其他的接口也是可以的。接口的特定示例包括以太网接口、帧中继接口、线缆接口、DSL接口、令牌环接口等。此外,各种很高速的接口可被设置,例如快速以太网接口、千兆比特以太网接口、ATM接口、HSSI接口、POS接口、FDDI接口等。一般地,这些接口可包括适用于与适当介质通信的端口。在一些情况下,它们还可包括独立的处理器并且在一些实例中包括易失性RAM。独立的处理器可控制诸如分组交换、介质控制和管理之类的通信密集型任务。
根据特定的示例性实施例,系统700使用存储器703来存储数据和程序指令。例如,程序指令可控制操作系统和/或一个或多个应用的操作。这一个或多个存储器还可被配置为存储所接收的分组、绑定物、保持活性(Keep-Alive)状态、用于所监控的会话分组的周期性信息、流过(Flow-Through)和/或绕流(Flow-Around)配置等等。
因为这样的信息和程序指令可用来实现这里描述的系统/方法,所以本发明涉及包括了用于执行这里描述的各种操作的程序指令、状态信息等的有形且机器可读的介质。机器可读介质的示例包括但不限于诸如硬盘、软盘和磁带之类的磁介质;诸如CD-ROM盘和DVD之类的光学介质;诸如光盘之类的磁光介质;以及诸如只读存储器设备(ROM)和随机存取存储器(RAM)之类的、被专门配置为存储和执行程序指令的硬件设备。程序指令的示例既包括例如由编译器产生的机器代码,又包括文件,这些文件包含可由计算机利用解释器(interpreter)执行的更高级的代码。
虽然出于清晰理解的目的已经相当详细地描述了上述发明,但是将会显而易见的是,可在所附权利要求的范围内实践某些改变和修改。因此,当前的实施例被认为是例示性的而非限制性的,并且本发明不限制于这里给出的细节,而是可在所附权利要求的范围和等同物内被修改。
Claims (23)
1.一种方法,包括:
接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求,所述源数据中心密钥对象与存储区域网(SAN)中保存的数据块相对应,其中所述源数据中心密钥对象包括唯一标识符、被加密的密钥、以及包装唯一标识符;
利用源数据中心密钥层次对所述被加密的密钥进行解密;
从所述源数据中心向所述目的地数据中心发送密钥信息;
利用目的地数据中心密钥层次来生成目的地数据中心密钥对象。
2.根据权利要求1所述的方法,其中所述源数据中心密钥对象与磁盘逻辑单元号(LUN)相对应。
3.根据权利要求2所述的方法,其中当所述磁盘LUN从所述源数据中心移动至所述目的地数据中心时,所述目的地数据中心密钥对象使得能够对所述磁盘LUN进行解密。
4.根据权利要求1所述的方法,其中所述源数据中心密钥对象与磁带盒相对应。
5.根据权利要求4所述的方法,其中当所述磁带盒从所述源数据中心移动至所述目的地数据中心时,所述目的地数据中心密钥对象使得能够对所述磁带盒进行解密。
6.根据权利要求1所述的方法,其中对所述被加密的密钥进行解密包括使用利用所述包装唯一标识符而访问的密钥材料,所述包装唯一标识符引用了所述源数据中心中的密钥管理中心处的另一密钥对象。
7.根据权利要求1所述的方法,其中对被解密的密钥进行加密包括使用从所述目的地数据中心访问的密钥材料。
8.根据权利要求1所述的方法,其中所述密钥信息是利用公钥私钥加密来发送的。
9.根据权利要求1所述的方法,其中所述密钥信息是利用受口令保护的密钥输出来发送的。
10.根据权利要求1所述的方法,其中所述唯一标识符是全球唯一标识符。
11.根据权利要求10所述的方法,其中所述全球唯一标识符被写入到存储区域网介质中。
12.根据权利要求11所述的方法,其中所述存储区域网介质是磁带。
13.根据权利要求11所述的方法,其中所述存储区域网介质是磁盘逻辑单元号。
14.根据权利要求1所述的方法,其中密钥实体标识出存储区域网介质。
15.根据权利要求1所述的方法,其中所述包装唯一标识符是包装全球唯一标识符,所述包装全球唯一标识符指向具有用于对所述被加密的密钥进行解密的信息的另一密钥对象。
16.根据权利要求15所述的方法,其中另一密钥对象还包括另外的包装唯一标识符。
17.根据权利要求1所述的方法,其中密钥对象还包括密钥状态信息。
18.一种系统,包括:
接口,所述接口可操作来接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求,所述源数据中心密钥对象与存储区域网(SAN)中保存的数据块相对应,其中所述源数据中心密钥对象包括唯一标识符、被加密的密钥、以及包装唯一标识符;
处理器,所述处理器可操作来利用源数据中心密钥层次对所述被加密的密钥进行解密,并且从所述源数据中心向所述目的地数据中心提供密钥信息;
其中所述目的地数据中心利用目的地数据中心密钥层次来生成目的地数据中心密钥对象。
19.根据权利要求18所述的系统,其中所述源数据中心密钥对象与磁盘逻辑单元号(LUN)相对应。
20.根据权利要求19所述的系统,其中当所述磁盘LUN从所述源数据中心移动至所述目的地数据中心时,所述目的地数据中心密钥对象使得能够对所述磁盘LUN进行解密。
21.根据权利要求18所述的系统,其中所述源数据中心密钥对象与磁带盒相对应。
22.根据权利要求21所述的系统,其中当所述磁带盒从所述源数据中心移动至所述目的地数据中心时,所述目的地数据中心密钥对象使得能够对所述磁带盒进行解密。
23.一种系统,包括:
用于接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求的装置,所述源数据中心密钥对象与存储区域网(SAN)中保存的数据块相对应,其中所述源数据中心密钥对象包括唯一标识符、被加密的密钥、以及包装唯一标识符;
用于利用源数据中心密钥层次对所述被加密的密钥进行解密的装置;
用于从所述源数据中心向所述目的地数据中心发送密钥信息的装置;
用于利用目的地数据中心密钥层次来生成目的地数据中心密钥对象的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/061,597 | 2008-04-02 | ||
| US12/061,597 US8989388B2 (en) | 2008-04-02 | 2008-04-02 | Distribution of storage area network encryption keys across data centers |
| PCT/US2009/038444 WO2009123913A1 (en) | 2008-04-02 | 2009-03-26 | Distribution of storage area network encryption keys across data centers |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101983385A true CN101983385A (zh) | 2011-03-02 |
| CN101983385B CN101983385B (zh) | 2013-11-06 |
Family
ID=41133303
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801121104A Expired - Fee Related CN101983385B (zh) | 2008-04-02 | 2009-03-26 | 跨越数据中心对存储区域网加密密钥的分布 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8989388B2 (zh) |
| EP (1) | EP2260425B1 (zh) |
| CN (1) | CN101983385B (zh) |
| WO (1) | WO2009123913A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109684860A (zh) * | 2018-12-29 | 2019-04-26 | 杭州宏杉科技股份有限公司 | 一种基于业务关系的数据加密方法及装置 |
| CN110210236A (zh) * | 2019-05-27 | 2019-09-06 | 北京品友互动信息技术股份公司 | 数据关联方法及装置 |
| CN110855430A (zh) * | 2018-08-20 | 2020-02-28 | 慧与发展有限责任合伙企业 | 提供使用分级密钥系统的安全对象存储库 |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8397051B2 (en) | 2009-02-23 | 2013-03-12 | Autonomy, Inc. | Hybrid hash tables |
| US20100215175A1 (en) * | 2009-02-23 | 2010-08-26 | Iron Mountain Incorporated | Methods and systems for stripe blind encryption |
| CN101841412A (zh) * | 2010-04-09 | 2010-09-22 | 兰州韦尔斯信息科技有限公司 | 一种存储域网络环境加密方法及装置 |
| US8627508B2 (en) | 2011-06-17 | 2014-01-07 | Microsoft Corporation | Cloud key directory for federating data exchanges |
| US8891772B2 (en) | 2011-06-17 | 2014-11-18 | Microsoft Corporation | Cloud key escrow system |
| DE102011054842A1 (de) * | 2011-10-27 | 2013-05-02 | Wincor Nixdorf International Gmbh | Vorrichtung zur Handhabung von Wertscheinen und/oder Münzen sowie Verfahren zur Initialisierung und zum Betrieb einer solchen Vorrichtung |
| KR101393159B1 (ko) * | 2013-04-10 | 2014-05-30 | 숭실대학교산학협력단 | 소셜 네트워크 서비스에서의 키 기반의 액세스 제어 방법 및 장치 |
| US20150086018A1 (en) * | 2013-09-23 | 2015-03-26 | Venafi, Inc. | Centralized key discovery and management |
| US9369279B2 (en) | 2013-09-23 | 2016-06-14 | Venafi, Inc. | Handling key rotation problems |
| US9124430B2 (en) | 2013-09-23 | 2015-09-01 | Venafi, Inc. | Centralized policy management for security keys |
| US9514326B1 (en) * | 2013-10-15 | 2016-12-06 | Sandia Corporation | Serial interpolation for secure membership testing and matching in a secret-split archive |
| US9864874B1 (en) | 2014-05-21 | 2018-01-09 | Amazon Technologies, Inc. | Management of encrypted data storage |
| US10237061B2 (en) * | 2015-09-25 | 2019-03-19 | International Business Machines Corporation | Generating master and wrapper keys for connected devices in a key generation scheme |
| CN109104272A (zh) * | 2017-06-20 | 2018-12-28 | 上海策链信息科技有限公司 | 私钥保存方法、系统及计算机可读存储介质 |
| US10841089B2 (en) | 2017-08-25 | 2020-11-17 | Nutanix, Inc. | Key managers for distributed computing systems |
| US20190238323A1 (en) * | 2018-01-31 | 2019-08-01 | Nutanix, Inc. | Key managers for distributed computing systems using key sharing techniques |
| US11212082B2 (en) * | 2019-09-30 | 2021-12-28 | Pq Solutions Limited | Ciphertext based quorum cryptosystem |
| US11563568B2 (en) * | 2020-02-27 | 2023-01-24 | Comcast Cable Communications, Llc | Scalable content restriction |
| US11354398B2 (en) | 2020-03-02 | 2022-06-07 | Seagate Technology Llc | Off-cartridge encryption key storage for cartridge-based library |
| US11843692B2 (en) * | 2020-03-02 | 2023-12-12 | Seagate Technology Llc | On-cartridge encryption key storage for cartridge-based library |
| US20230421462A1 (en) * | 2022-06-22 | 2023-12-28 | Vmware, Inc. | Bootstrapping an encrypted single node vsan cluster |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5937066A (en) | 1996-10-02 | 1999-08-10 | International Business Machines Corporation | Two-phase cryptographic key recovery system |
| US6976165B1 (en) * | 1999-09-07 | 2005-12-13 | Emc Corporation | System and method for secure storage, transfer and retrieval of content addressable information |
| US20020178366A1 (en) * | 2001-05-24 | 2002-11-28 | Amiran Ofir | Method for performing on behalf of a registered user an operation on data stored on a publicly accessible data access server |
| CA2358980A1 (en) | 2001-10-12 | 2003-04-12 | Karthika Technologies Inc. | Distributed security architecture for storage area networks (san) |
| US7243366B2 (en) | 2001-11-15 | 2007-07-10 | General Instrument Corporation | Key management protocol and authentication system for secure internet protocol rights management architecture |
| US7092527B2 (en) | 2002-04-18 | 2006-08-15 | International Business Machines Corporation | Method, system and program product for managing a size of a key management block during content distribution |
| US20050033988A1 (en) * | 2002-10-18 | 2005-02-10 | Neoscale Systems, Inc. | Method and system for transparent encryption and authentication of file data protocols over internet protocol |
| US7460672B2 (en) | 2003-07-18 | 2008-12-02 | Sanrad, Ltd. | Method for securing data storage in a storage area network |
| US7594275B2 (en) * | 2003-10-14 | 2009-09-22 | Microsoft Corporation | Digital rights management system |
| JP4583069B2 (ja) | 2004-05-18 | 2010-11-17 | パイオニア株式会社 | 鍵管理システム、及び再生装置 |
| US7383462B2 (en) * | 2004-07-02 | 2008-06-03 | Hitachi, Ltd. | Method and apparatus for encrypted remote copy for secure data backup and restoration |
| JP4692003B2 (ja) * | 2005-02-10 | 2011-06-01 | ソニー株式会社 | 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム |
| US20080031458A1 (en) * | 2005-02-23 | 2008-02-07 | Robert Raja | System, methods, and apparatus for simplified encryption |
| US7349886B2 (en) * | 2005-03-25 | 2008-03-25 | Widevine Technologies, Inc. | Securely relaying content using key chains |
| US8266431B2 (en) * | 2005-10-31 | 2012-09-11 | Cisco Technology, Inc. | Method and apparatus for performing encryption of data at rest at a port of a network device |
| US7716180B2 (en) * | 2005-12-29 | 2010-05-11 | Amazon Technologies, Inc. | Distributed storage system with web services client interface |
| JP4877962B2 (ja) * | 2006-10-25 | 2012-02-15 | 株式会社日立製作所 | 暗号化機能を備えたストレージサブシステム |
| US20080219449A1 (en) * | 2007-03-09 | 2008-09-11 | Ball Matthew V | Cryptographic key management for stored data |
| US8498417B1 (en) * | 2007-12-27 | 2013-07-30 | Emc Corporation | Automation of coordination of encryption keys in a SAN based environment where an encryption engine, device management, and key management are not co-located |
-
2008
- 2008-04-02 US US12/061,597 patent/US8989388B2/en active Active
-
2009
- 2009-03-26 WO PCT/US2009/038444 patent/WO2009123913A1/en active Application Filing
- 2009-03-26 CN CN2009801121104A patent/CN101983385B/zh not_active Expired - Fee Related
- 2009-03-26 EP EP09727755.2A patent/EP2260425B1/en not_active Not-in-force
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110855430A (zh) * | 2018-08-20 | 2020-02-28 | 慧与发展有限责任合伙企业 | 提供使用分级密钥系统的安全对象存储库 |
| CN110855430B (zh) * | 2018-08-20 | 2022-09-23 | 慧与发展有限责任合伙企业 | 计算系统和用于管理计算系统中的安全对象存储库的方法 |
| CN109684860A (zh) * | 2018-12-29 | 2019-04-26 | 杭州宏杉科技股份有限公司 | 一种基于业务关系的数据加密方法及装置 |
| CN109684860B (zh) * | 2018-12-29 | 2020-08-14 | 杭州宏杉科技股份有限公司 | 一种基于业务关系的数据加密方法及装置 |
| CN110210236A (zh) * | 2019-05-27 | 2019-09-06 | 北京品友互动信息技术股份公司 | 数据关联方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8989388B2 (en) | 2015-03-24 |
| EP2260425B1 (en) | 2020-05-06 |
| CN101983385B (zh) | 2013-11-06 |
| WO2009123913A1 (en) | 2009-10-08 |
| US20090252330A1 (en) | 2009-10-08 |
| EP2260425A1 (en) | 2010-12-15 |
| EP2260425A4 (en) | 2015-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101983385B (zh) | 跨越数据中心对存储区域网加密密钥的分布 | |
| US10148431B2 (en) | Master key generation and distribution for storage area network devices | |
| CN106330868A (zh) | 一种高速网络加密存贮密钥管理系统及方法 | |
| CN111143870B (zh) | 一种分布式加密存储装置、系统及加解密方法 | |
| US8494168B1 (en) | Locating cryptographic keys stored in a cache | |
| US9071589B1 (en) | Encryption key management for storage area network devices | |
| CN105681031B (zh) | 一种存储加密网关密钥管理系统及方法 | |
| JP2020513183A (ja) | データのトークン化 | |
| CN101554009A (zh) | 用于在网络设备端口处执行静止数据加密的方法和装置 | |
| WO2016136024A1 (ja) | 鍵付替え方向制御システムおよび鍵付替え方向制御方法 | |
| CN1954540A (zh) | 多协议网络加密系统 | |
| US8879739B2 (en) | Method, system and device for securely transferring digital content between electronic devices within a communication network managed by a management center | |
| CN102567688B (zh) | 一种安卓操作系统上的文件保密系统及其保密方法 | |
| CN1938980A (zh) | 用于密码加密处理数据的方法和设备 | |
| EP2745212A1 (en) | Virtual zeroisation system and method | |
| CN103746815B (zh) | 安全通信方法及装置 | |
| CN102422301A (zh) | 记录系统、再现系统、密钥分发服务器、记录装置、记录介质装置、再现装置、记录方法及再现方法 | |
| CN102081713B (zh) | 一种用于防止数据泄密的办公系统 | |
| CN107135062A (zh) | 一种改进的大文件的加密方法 | |
| CN105871902A (zh) | 数据加密及隔离系统 | |
| US8189790B2 (en) | Developing initial and subsequent keyID information from a unique mediaID value | |
| CN106685980A (zh) | 一种大文件的加密方法 | |
| CN108092768A (zh) | 数据融合方法与系统 | |
| CN106712943A (zh) | 一种安全存储系统 | |
| JP5133850B2 (ja) | ストレージノード用再暗号化システム及びネットワークストレージ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131106 Termination date: 20210326 |