CN103425937A - 在计算环境中通过处理器设备用于选定加密数据的密码清除的方法和系统 - Google Patents

Abstract

提供了用于选定加密数据的密码清除的示范性方法、系统和计算机程序产品的实施例。在仅作为示例的一个实施例中，利用派生密钥设置数据文件。派生密钥适用于在随后的清除操作中被单独粉碎。派生密钥允许加密地清除数据文件中选定的加密数据而不必进行保留数据的迁移和重写中的至少一种。还公开了另外的系统和计算机程序产品的实施例并提供了相关优点。

Description

在计算环境中通过处理器设备用于选定加密数据的密码清除的方法和系统

技术领域

本发明主要涉及计算机，并且更具体地涉及在计算环境中选定加密数据的密码清除。 

背景技术

在当今社会，计算机系统已经普及。在工作场所、在家中或者在学校都能见到计算机系统。计算机系统可以包括用于处理和存储数据的数据存储系统或磁盘存储系统。近年来，软件和硬件技术都经历了惊人的进步。借助新技术，增加了越来越多的功能并为使用这些计算机系统提供了更多便利。过去，数据一直被存储在本地存储设备例如磁带驱动器、硬盘驱动器(HDD)和可移动介质例如压缩光盘(CD)和数字多功能光盘(DVD)中。随着对用于存储和检索信息的更快速、更强大和更高效方式的需求日益增加，加密和彻底清除计算环境中各种存储系统内的选定数据已经成为很多计算机系统面临的关键问题。 

发明内容

由于数据处理系统的使用已经变得更加普遍，因此由这些数据处理系统产生的用于存储和管理数据的技术也一直在发展。一种用于存储这些数据并对这些数据提供访问的机构是磁带存储系统。常规的磁带存储系统包括磁带存储设备例如由纽约州Armonk市的国际商业机器公司(IBM)提供的3592企业磁带系统以及可以在其中存储数据的可移动磁带数据存储介质。为了禁止越权访问，经常需要控制对存储在数据系统例如可移动磁带数据存储介质内的数据的访问(例如禁止访问数据或以其他方式隐藏数据的内容或含义)。 

因此并且鉴于上述内容，提供了各种不同的用于加密地清除选定加密数据的示范性方法、系统和计算机程序产品的实施例。在仅作为示例的一个实施例中，利用派生密钥设置数据文件。派生密钥适用于在随后的清除操作中被单独粉碎。派生密钥允许加密地清除数据文件中选定的加密数据而不必进行保留数据的迁移和重写中的至少一种。还公开了另外的系统和计算机程序产品的实施例并提供了相关优点。 

用简化的形式提供以上概述以介绍选择的原理，以下在具体实施方式部分还要进行进一步的说明。本发明内容部分既不是为了指明要求保护的主题的关键特征或本质特征，也不是为了用于帮助确定要求保护的主题的范围。要求保护的主题并不局限于解决了背景技术中列举的任意或全部缺点的实施方式。 

附图说明

为了便于理解本发明的优点，通过参照在附图中示出的具体实施例对以上简要介绍的本发明给出更加具体的介绍。应该理解这些附图示出了本发明的实施例但不应因此被认为是限制了本发明的保护范围，通过利用附图以补充的特征和细节来介绍和解释本发明，在附图中： 

图1A示出了具有存储设备的计算机存储环境，其中可以实现本发明的各方面； 

图1B示出了包括磁带存储驱动装置的企业的高层次框图表达，其中可以实现本发明的各方面； 

图2示出了表示计算机系统内数据存储系统硬件结构的示范性框图，其中可以实现本发明的各方面； 

图3示出了磁带存储驱动装置的示范性框图，其中可以实现本发明的各方面； 

图4示出了用于选定加密数据的密码清除的示范性方法的流程图；以及 

图5示出了用于利用派生密钥的选定加密数据的密码清除的示范性方法的流程图。 

具体实施方式

如前所述，由于数据处理系统的使用已经变得更加普遍，因此用于存储和管理由这些数据处理系统产生的数据的技术也一直在发展。一种用于存储这些数据并对这些数据提供访问的机构是磁带存储系统。常规的磁带存储系统包括磁带存储设备例如由纽约州Armonk市的国际商业机器公司(IBM)提供的3592企业磁带系统以及可以在其中存储数据的可移动磁带数据存储介质。为了禁止越权访问，经常需要控制对存储在数据系统例如可移动磁带数据存储介质内的数据的访问(例如禁止访问数据或以其他方式隐藏数据的内容或含义)。例如，数据档案出于合规性的原因而被存储，其中可能有要将部分数据保留一段时间的法律要求。作为示例，在某些情况下，为了遵守健康保险流通和责任法案(HIPAA)的规定，患者的放射影像可能必须要在患者的一生再加两年的时间内予以保存。为了进行说明，考虑表示符合这些规则的以下场景。首先，在某家医院创建的所有放射影像均可出于灾难恢复的原因而被复制到磁带存储系统中。可以假定所有的放射影像都被尽早写出，直到指定的磁带盒装满为止。后续的放射影像可以被装入另一个磁带盒中，直至该磁带盒达到最大容量为止。指定磁带中所有的放射影像都是在指定的时间段内拍摄并且因此都跟时间相关。这样的实践对用于灾难恢复的第二份(或第三份)数据副本表现出令人满意的低成本。但是，长期住院的需要在很多天中收集多份放射影像的患者可能会有存储在至少20个不同磁带中的不同影像。如果该患者死亡，在死亡两年后，用于保留这些影像的HIPAA要求就会过期，因此这些文件就可以清除。实际上，可能希望尽早删除这些影像。还可能希望这些影像不仅要予以删除，而且还要加密地(安全)清除，从而做到彻底和确定地清除，实际上就是让这些图像再也不能被恢复或重新获取，即使借助法律手段也不能例外。 

因此，本发明中的机构扩展了磁带驱动器(例如线性磁带开放“LTO”式LTO-5驱动器)以及应用程序或部分中间件(例如线性磁带文件系统“LTFS”)的功能，以实现从磁带盒中选择性地加密地清除数据而不必重写或转移要保留的数据，即使是立刻在被清除数据之前或之后写入的数据也不例外。尽管图示的实施例以LTO-5介绍了本发明的实施方式，但是同样的原理也可以应用于LTO-6、Jaguar(JAG)的Jag-3、Jag-4或Oracle磁带驱动器(例如T10000)。该原理也可以用于其他串行写入的存储介质例如可写CD或DVD。而且，尽管参照如何才能用线性性磁带文件系统(LTFS)实施本发明来具体介绍本发明，但是图示的实施例也可以应用于Tivoli存储管理(TSM)、英特尔架构(IA)、横向扩展网络连接存储(SoNAS)、Quantum的StorNext和/或任意其他使用磁带的应用。而且，对磁盘的安全清除可以应用于针对指定的数据实体(例如文件)在指定扇区内存储的可以确定性改写多次的具有多种不同数据模式的数据，以消除任何数据恢复的机会，即使通过法律手段也不能例外。 

转至图1A，示出了计算机系统10的示例，其中可以实现本发明的各方面。计算机系统10包括连接至海量存储设备14和存储器设备16的中央处理单元(CPU)12。海量存储设备可以包括能够设置为独立磁盘冗余阵列(RAID)的硬盘驱动器(HDD)设备。存储器设备16可以包括例如电可擦除可编程只读存储器(EEPROM)这样的存储器或大量相关设备。存储器设备16和海量存储设备14通过信号承载介质连接至CPU 12。另外，CPU 12经通信端口18连接至通信网络20，通信网络20具有多个相连的附加计算机系统22和24。计算机系统10针对计算机系统10中每一个独立的部件都可以包括一个或多个处理器设备(例如CPU 12)和附加的存储器设备。 

图1B是示出了包括磁带存储驱动装置的企业表达的高层次框图，其中可以实现本发明的各方面。图1中的企业100包括多个主机数据处理系统(例如服务器数据处理系统102和相关的客户机数据处理系统104)，它们如图所示通过第一网络互连(例如局域网或 “LAN”互连106)通信耦合在一起。图示实施例中的服务器数据处理系统102被进一步耦合至包括多个数据存储设备和第二网络互连(例如存储区域网或“SAN”互连112)的存储子系统108。 

在图1的示范性实施例中，存储子系统108被示出为包括单个磁带数据存储设备110。但是，在本发明的可选实施例中，存储子系统108也可以包括通过存储互连(SAN互连112)例如光纤通道(FC)交换机、交换结构、仲裁环等通信耦合在一起并通信耦合至服务器数据处理系统102的任意数量和类型的数据存储设备(例如独立的磁盘驱动器、磁带驱动器、磁盘阵列、磁带阵列、RAID阵列子系统、自动磁带库、文件管理器、文件服务器)。图1实施例中的服务器数据处理系统102A包括用于为一个或多个客户机数据处理系统104A-104N(其中“N”是正整数)提供核心操作功能的应用程序服务器(例如数据库服务器)并且服务器数据处理系统102B包括另外的服务器(例如群集故障转移服务器、负载平衡服务器、备用服务器等)。 

图示实施例中的磁带数据存储设备110如图所示经通信链接耦合至SAN互连112。每一个通信链接都可以包括任意数量的能够在SAN互连112和磁带数据存储设备110的通信端口之间传输一种或多种以电、光和/或声音传播的信号的通信介质(例如铜线、光纤电缆等)。 

在图示的实施例中，磁带数据存储设备110和服务器数据处理系统102A设有足以控制和/或管理对跟磁带数据存储设备110相耦合的磁带盒内的磁带数据存储介质中的数据提供访问的功能，如下文将进一步介绍的。利用本发明的一个或多个实施例，可以限制对如此跟磁带数据存储设备相关联的磁带数据存储介质中数据的访问和/或可以识别主机数据处理系统访问这样的数据。 

尽管图1的实施例中具体示出了常规的SAN型互连(SAN互连112)，但是也可以使用其他的互连(例如直接连接、局域网、城域网和/或广域网)以及其他的协议(例如FICON、ESCON、SSA等)。而且，尽管参照图1中的企业100示出了要素的特定数量和设置方式， 但是应该意识到本发明的实施例并不局限于具有跟本文中的明确介绍有所不同的任何特定数量、类型或部件设置方式的企业、系统或数据存储设备，并且因此可以涵盖多种不同的系统类型、架构和形式因素。 

在一个可选实施例中，图2是示出了计算机系统内数据存储系统硬件结构的示范性框图200，其中可以实现本发明的各方面。主计算机210,220,225作为数据存储系统200的一部分被示出为均用作中央处理单元以执行数据处理。主机(实体或虚拟设备)210,220和225可以是用于在数据存储系统200中实现本发明目的的一种或多种新型的实体设备或逻辑设备。在仅作为示例的一个实施例中，数据存储系统200可以被实施为IBMSystem Storage^TMDS8000^TM。网络连接260可以是光纤通道结构、光纤通道的点对点链接、以太网结构或点对点链接上的光纤通道、FICON或ESCON的I/O接口、任意其他的I/O接口类型、无线网、有线网、LAN、WAN、异构网络、同构网络、公用网络(也就是互联网)、专用网络或其任意组合。主机210,220,225可以在本地或分布在一个或多个位置并且可以装有任意类型的通往存储设备控制器240的光纤通道网络架构(或光纤通道网络架构通道)(图2中未示出)或网络适配器260，例如光纤通道、FICON、ESCON、以太网、光纤、无线或同轴适配器。数据存储系统200相应地装备有合适的光纤通道网络架构(图2中未示出)或网络适配器260用于通信。图2中示出的数据存储系统200包括存储设备控制器240和存储设备230。 

为了有助于更加清楚地理解本文中介绍的方法，图2中示出的存储设备控制器240作为单个处理单元，包括微处理器242、系统存储器243和非易失性存储器(“NVS”)216，以下将对其进行更加详细地介绍。要注意的是在某些实施例中，存储设备控制器240包括多个处理单元，每一个都具有其自身的处理器复合体和系统存储器，并且通过数据存储系统200中的专用网络互连。存储设备230可以包括通过存储网络连接至存储设备控制器240的一个或多个存储设备例如存 储阵列。 

在某些实施例中，存储设备230中包括的设备可以用环路架构连接。存储设备控制器240管理存储设备230并帮助处理针对存储设备230的读写请求。存储设备控制器240中的系统存储器243存储程序指令和数据，处理器242可以访问这些程序指令和数据以供执行本发明的功能和方法步骤从而用于如本文中所述运行和管理存储设备230。在一个实施例中，系统存储器243包括操作软件250、与操作软件250相关联或者与操作软件250通信以用于执行本文中介绍的方法和操作。如图2所示，系统存储器243还可以包括用于存储设备230的高速缓存245或者与高速缓存245通信，高速缓存245在本文中也被称为“高速缓冲存储器”，用于缓存分别涉及写/读请求及其相关数据的“写数据”和“读数据”。在一个实施例中，高速缓存245在系统存储器243外部的设备中分配，但仍保持可由微处理器242访问并且可用于提供额外的安全性以避免数据丢失，此外还要完成本文中所述的操作。 

在某些实施例中，高速缓存245由易失性存储器和非易失性存储器实现并通过用于增强数据存储系统200性能的局部总线(图2中未示出)耦合至微处理器242。数据存储设备控制器中包含的NVS 216可由微处理器242访问并用于为如其他附图所述的本发明的操作和执行提供额外的支持。NVS 216也可以被称为“持续”缓存或“高速缓冲存储器”并且由可以使用也可以不使用外部电源的非易失性存储器实现来保留存储在其中数据。NVS可以被存储在高速缓存245内并与之一起用于适合完成本发明目标的任何用途。在某些实施例中，备用电源(图2中未示出)例如电池给NVS 216提供足够的电力以在数据存储系统200掉电的情况下保留存储在其中的数据。在某些实施例中，NVS 216的容量小于或等于高速缓存245的总容量。 

存储设备230实际上可以包括一个或多个存储设备，例如存储阵列。存储阵列是独立存储设备例如硬盘的逻辑分组。在某些实施例中，存储设备230包括JBOD(简单磁盘捆绑)阵列或RAID阵列(独立 磁盘冗余阵列)。实体存储阵列的集合可以被进一步组合以形成从逻辑结构中分离出实体存储设备的序列（序列）。一个序列内的存储空间可以被分配成逻辑卷，逻辑卷定义了写/读请求中明确的存储位置。而且，如图1B和图3中所示的磁带数据存储设备110(参见图1B)可以用图2中介绍的架构实现。 

在仅作为示例的一个实施例中，如图2所示的存储系统可以包括逻辑卷或者简称为“卷”，并且可以具有不同种类的分配。存储设备230a,230b和230n被示出为数据存储系统200中的序列并且在本文中被称为序列230a,230b和230n。序列可以在数据存储系统200本地，或者可以位于物理上远程的位置。换句话说，本地存储设备控制器可以跟远程存储设备控制器相连并管理远程位置的存储设备。序列230a被示出为设有两个完整卷234和236以及一个部分卷232a。序列230b被示出为具有另一个部分卷232b。因此卷232被跨序列230a和230b分配。序列230n被示出为完全分配给卷238，也就是说序列230n表示用于卷238的完整实体存储设备。根据以上示例，应该意识到序列可以被设置为包括一个或多个部分卷和/或完整卷。卷和序列可以被进一步分为所谓的“磁道”，其表示固定的存储块。磁道因此与指定的卷相关联并且可以被赋予指定的序列。 

存储设备控制器240可以包括加密清除模块。加密清除模块255、派生密钥模块257和KSDS模块259可以结合存储设备控制器240、主机210,220,225和存储设备230中的每一个部件来工作。加密清除模块255、派生密钥模块257和KSDS模块259都可以是在结构上一个完整的模块或者可以跟其他独立的模块相关联和/或包含在其他独立的模块中。加密清除模块255、派生密钥模块257和KSDS模块259还可以位于高速缓存245或其他部件内。 

存储设备控制器240包括用于控制针对主机210,220,225的光纤通道协议的控制交换机241，用于控制所有存储设备控制器240的微处理器242，用于存储微程序(操作软件)250以用于控制存储设备控制器240操作的非易失性控制存储器243，用于控制和下述每一张表 的数据，用于暂时存储(缓存)数据的高速缓存245，以及用于帮助高速缓存245读写数据的缓存器244，控制交换机241用于控制协议以控制存储设备230的往来数据传输以及可以在其中设定信息的加密清除模块255、派生密钥模块257和KSDS模块259。多个缓存器244可以利用本发明实现以帮助进行本文中所述的操作。 

在一个实施例中，主计算机或者一个或多个实体或虚拟设备210,220,225和存储设备控制器240通过网络适配器(可以是光纤通道)260作为接口也就是通过称为“光纤通道网络架构”的至少一个交换机相连。在一个实施例中，将介绍图2所示系统的操作。微处理器242可以控制存储器243存储来自(实体或虚拟)主机设备210的指令信息以及用于识别(实体或虚拟)主机设备210的信息。控制交换机241、缓存器244、高速缓存245、操作软件250、微处理器242、存储器243、NVS216、加密清除模块255、派生密钥模块257和KSDS模块259彼此通信并且可以分开或者是一个独立部件。而且，存储器243中可以包含若干甚至全部的部件例如操作软件250。图示设备内的每一个部件都可以链接在一起并且可以彼此通信以便适用于本发明。 

图3是示出了磁带存储驱动装置的框图300，其中可以实现本发明的各方面。磁带数据存储设备300包括可移动数据存储磁带盒302以及用于将磁带数据存储设备300通信耦合至一个或多个主机数据处理系统或相关通信通道(例如SAN互连112)的通信接口(例如主机数据处理系统接口(I/F)306)。 

主机数据处理系统接口306如本文所述被设置用于接收输入/输出(I/O)操作请求(例如“读”和/或“写”请求)并以适当的方式处理这些请求以控制或“管理”对可移动数据存储磁带盒302中磁带数据存储介质308(例如磁带)的访问。除了磁带数据存储介质308以外，数据存储磁带盒302包括盒式存储器(CM)模块309。CM模块309包括无源非接触式硅存储设备，用于存储关于其驻留的磁带盒(可移动数据存储磁带盒302)的数据。示范性数据可以包括例如指示相关磁带盒 的卷序列号(VOLSER)的数据、盒内数据存储介质的“类型”以及存储在其中的数据(如果有的话)。 

可移动数据存储磁带盒302中的磁带数据存储介质308如图所示利用介质传输盘312和314以及一个或多个介质传输电机316被移动接近磁带访问(例如读/写)头310。磁带访问头310被设置用于从磁带数据存储介质308读取数据并向其中写入数据或者在缓存器318(例如一个或多个“预读”或分级缓存器)中临时存储或“分级”这些数据。磁带数据存储设备300进一步包括控制器或控制单元320。控制单元320通过控制信号来控制并管理数据流、格式化和数据存储子系统的操作，控制信号发往一个或多个主机数据处理系统接口306、缓存器318、介质传输电机316和/或用于访问CM 309的CM接口322，目的是为了促使执行本发明中的一种或多种方法或处理实施例或其中的操作。在另一个实施例中，这样的控制功能可以集成到一个或多个主机数据处理系统接口30和控制单元320中。 

在现有技术中尚无用于安全清除磁带（特别是现代(例如基于LTO的)磁带驱动器）的方法，其需要确定地清除某个数据集(例如文件)并仍然允许重新使用磁带盒。首先，因为磁带是顺序存储介质，所以标准清除或改写磁带上的数据将在逻辑上清除所述清除或改写下游的所有数据，其不能无顺序地写入(也就是磁带从写入的角度看不是随机访问的)。其次，写入LTO磁带(开始于LTO-2)的磁道通常会改写部分先前写入的磁道，这种技术被称作覆盖。(覆盖写入允许用比剩余的数据磁道(也就是残留磁道宽度)更宽的写磁头来写入/清除，这样就实现了反向写入)。覆盖写入需要按某种顺序写入磁道(就像房屋上的瓦片必须按某种顺序安装一样，首先安装离屋顶最远的瓦片等)。覆盖基本上依赖于数据是顺序写入的事实，并且相反地在面对覆盖写入方案时难以想象非顺序写入。第三，标准清除或改写磁带上的数据总是会留下未清除和/或未改写的原始数据片段。这是因为环境的改变(例如温度或湿度的改变)能够造成系统性的机械变化(例如磁带的宽度相对于写磁头的宽度)。第四，标准清除或改写可能会由于 伺服故障而中断，这会导致送往写磁头的电流中断。在用户区，可能需要这种功能以禁止改写先前写入的数据磁道。但是，在试图确保先前写入的数据集被改写时，这就是截然不同的问题，因为可能会有长达近4米的磁带未被清除(或未被改写)。这样可能会在磁带上潜在地遗留大量的完全可读取形式的旧数据。 

为了解决这些低效问题，可以进行加密。因为密钥可以被用于加密无法挽回丢失的数据以使得没有读取加密数据的可行方式，因此加密可以用于加密地清除数据。应用程序管理加密(AME)是一种可以使用的加密方法，但是AME需要用应用程序来管理所有的加密密钥并且需要该应用程序具有稳定的数据库来保留加密密钥，而某些应用程序(例如LFTS)则无法做到。即使应用程序(例如TSM)提供了稳定的数据库，必须保留的密钥数量(例如每一个盒多达1000万个，每一个密钥最大为40字节，每一个盒需要多达400MB空间)也是非常麻烦的问题。而且，设计用于强化遵守规则的很多应用程序基本上需要将数据作为文件管理，也就是跟NAS盒接口或者通过POSIX接口写入文件系统。这些类型的应用程序通常都根本不能处理磁带。 

对于LTFS，中间件可以潜在地允许使用文件的应用程序将文件数据写入磁带。但是，从合规性的角度看，在使用文件的应用程序请求删除文件时就会出现问题。一种选择是让LTFS自身简单地从索引文件中移除文件并且因此数据完全是可恢复的。仍然没有确定地清除文件的安全清除选择。因此第二种选择是保留所有当前有效的文件并将全部有效文件转移至另一个盒并随后销毁原来的盒。但是，这由于(回收盒的)时间和(因为磁带不可重复使用而必须销毁并随后更换原有盒的)费用方面的高成本而成为一种无法接受的方法。通过足够强的磁铁，可以容易想到批量清除磁带(例如由于新型LTO磁带的矫顽性而需要极强的磁铁)，但是在LTO或者磁带技术基于LTO的情况下(例如IBM

的Jag驱动器或Oracle的T10000)，这也会导致跟踪伺服模式被清除，由此使磁带盒无效(也就是无法重新使用)。因此这也通过使磁带不能重新使用而成本过高。所以对选择性删除存档至磁带 的数据且不必删除或改写所有写入磁带的数据的能力存在需求。 

现有很多需要这种能力的使用情形，一种就是需要确保删除磁带上数据的某一子集但是必须保留相同磁带上的其余数据的情况。因为现有磁带技术的清除/改写能力的限制，所以还无法接受很多客户需要的确定性和永久清除数据以使得即使采用法律手段也永远不能恢复这些数据的安全清除能力。作为示例，因为现代的磁带并不支持真正的安全清除，所以部分现代磁带的军事用户从不相信磁带上的数据能够被清除或无法恢复，并且因此一旦磁带写有某种级别(例如可能是绝密)的数据就不允许转移到一些安全设施以外。 

应该注意的是在存档数据作为文件被存储至磁盘时，可能因为仅删除了指向数据的指针而没有简单地删除文件，并且不能导致清除或改写数据自身。而且，即使是指定扇区被改写了一次，这也并不必然表示数据已经无法挽回地丢失，因为有时候由于机械容差和环境变化而并没有精确改写。换句话说，可能仍有部分残留的数据扇区片段仍然可以通过法律手段予以恢复。 

现代磁带驱动器例如LTO-4、LTO-5、Jag-2和Jag-3都可支持应用程序透明(例如透明加密或库管理加密(LME))和应用程序管理加密(AME)。在一个实施例中，提供了磁带驱动器加密功能。LTO-4可以使用直接作用于自身的加密密钥而并不存储加密密钥。LTO-4技术可以支持在单个磁带盒上使用多个加密密钥，但是由于只允许让密钥处在数据集边界上而限制了密钥的改变，这样就将可以使用的密钥数量限制为少于100万个。在LTO-4中，加密密钥(在LME中)可以由密钥管理器提供或者(在AME中)可以由应用程序提供。加密密钥可以用于驱动器。用于驱动器的加密密钥可以随后被直接使用，也就是加密写入磁带的数据或解密从磁带中读取的数据。 

LTO-5可以间接使用加密密钥，并且由于它可以存储接收到的加密密钥，因此它也可以针对用于其的每一个密钥存储一些内容。单个磁带盒上可以使用多个加密密钥，但是密钥的改变只能在数据集边界上进行。加密密钥(在LME中)可以由密钥管理器提供或者(在 AME中)可以由应用程序提供。加密密钥被用于驱动器，但是磁带驱动器并不直接使用该加密密钥。相反它可以生成其自身的密钥以用于实际加密(或随后解密)数据。生成的密钥随后用服务密钥封装，并且该封装密钥随后被存储至每一个加密数据集中的数据集信息表(DSIT)。 

Jag-2和Jag-3可以用基本上与LTO-4相同的方式支持AME，但是对透明磁带加密(例如LME)的支持则颇为不同。在LME的情况下，LME可以从用于每一个使用加密密钥的密钥管理器接收并存储一个或两个封装密钥结构。每一个封装密钥结构都可以被称为外部加密数据密钥(EEDK)并且基本上是对磁带驱动器不透明的块，原因在于存储密钥的磁带驱动器不能自行将其解密。在将Jag驱动器用于完成LME时，单个加密密钥(被封装以构建EEDK的密钥)可以被用于加密磁带盒上的所有数据。(该加密密钥仅被存储为用于磁带盒的EEDK，因此磁带盒实际上被用作分布式密钥存储设备。)所以Jag驱动器可以被编程以允许让每一个盒都使用多个加密密钥。但是，多密钥功能变成未使用，这是因为驱动器能够获知何时从使用一个密钥切换为使用另一个密钥的唯一方式就是应用程序是否向交换机发出指令。 

由此，在一个实施例中，因为磁带驱动器实际上被限制为每个盒仅使用一个加密密钥，所以磁带驱动器被允许一次生成多个加密密钥并将它们一起存储在一个或多个专用数据集中。这些专用数据集被称为密钥存储数据集(KSDS)。EKDS可以仅被存储在内务处理区域(从LP2到LP3)，不过它们也可以潜在地被存储在其他地方(例如独立分区)内。由于部分磁带驱动器使用256位密钥进行加密并存储真正随机的密钥，因此需要完整的256位(=32字节)。图示的实施例可以另外存储每一个密钥某种形式的校验和。如果使用8字节的校验和，那么总共就需要40字节来存储每一个密钥。用于LTO-5的数据集规格允许存储2,472,040字节的数据，这就意味着61801个密钥，其中每一个的存储都需要40字节(这刚好超过60x1024，因此仅作为示例可 以将每个KSDS的密钥数量假设为60K)。而且，为了进行说明，可以假设每次创建一个KSDS，但是根据需要创建更多个KSDS直至达到能够存储的KSDS的某个最大数量，这取决于KSDS存储在何处。 

此外，至少192个KSDS可以弹性地并以特定方式存储在LP2-LP3区域内，这意味着可以存储多于1000万个密钥。应该注意LTO-6可以在每个盒本地存储3千兆(TB)字节，因此(在DSIT之前)可以存储300万个1兆字节(MB)的文件或者在压缩之后可以存储多达1000万个1MB的文件。因此，只要最小文件(或文件集)的大小合适(MB级或更大)，LTO-6磁带盒即可装满文件，每一个文件都用唯一的密钥加密。如果文件规格非常小(例如4KB)或可压缩，那么如果尝试对每一个文件进行唯一加密，那么图示的实施例可能会针对任意合理数量的KSDS用完密钥，但是仍然可以将盒装满。LTO上的AME可以要求所有的密钥改变在数据集边界上，这就意味着每次使用新密钥基本上都要消耗2.4MB的磁带存储空间，即使是密钥改变之间写入的数据量明显较少也不例外。正如以下介绍的那样，每一个KSDS都可以为了冗余性而被多于一次地写入。每一个KSDS都可以“不受阻碍地”存储加密密钥。要注意的是上述方法可以跟标准透明加密例如LME相结合。在此情况下，通过密钥管理器为其服务的密钥被(直接或间接地)用于加密KSDS，以使存储在其中的所有密钥都被加密并因此不可读取，即使能够从磁带盒成功地复制出KSDS时也不例外。 

有两种方式可以实现多个加密密钥的方法。首先，通过匿名方法以允许应用程序透明。如果磁带驱动器能够检测一个数据结构在何处结束以及下一个在何处开始，那么它就可以潜在地用一个密钥加密一个数据集并用不同的密钥加密下一个数据集。尽管并非普遍可行，但是某些情况允许这种可行性。例如，如果应用程序以特定方式每次一个地向磁带写入文件，以写完所有的文件数据，并随后执行文件标记，然后磁带驱动器可以改变每一个文件标记处的加密密钥并用不同 的加密密钥有效地加密每一个文件。但是，该过程存在一些困难。首先，文件没有以磁带驱动器可以自动检测在何处切换密钥这样的方式写入。其次，驱动器被修改为自动切换密钥。作为一个示例，为了清除数据块，数据块被间隔开并随后执行清除。驱动器随后必须要看发生了什么，(例如通过读取DSIT)确定用于加密该数据集的密钥，然后返回并删除合适的密钥。但是，这并不是自然的驱动器操作，原因是清除干扰了磁带的访问方法。另一种可用的选择是可以在KSDS内标注并记录密钥的切换。例如，用每一个密钥存储的数据可以被扩展为包括用该加密密钥加密的第一数据块的(总)记录数或(总)文件标记数或(总)块数(记录和块的求和)以及使用该密钥的块数目。在此情况下可以使用修改的粉碎方法，其中应用程序用密钥粉碎请求提供(总)记录/文件标记/块数，并且磁带驱动器确定粉碎哪一个密钥。存储记录/文件标记/块数的额外开销将在一定程度上减少能够针对指定数量KSDS存储的加密密钥的数量。需要支持新扩展的密钥粉碎意味着机构需要修改。 

在一个实施例中提供了应用程序(或中间件)辅助的方法。每一个应用程序或部分中间件均可被修改为有使用多密钥的能力。可以由应用程序发出指令以有效指示磁带驱动器由谁使用下一个加密密钥并返回可以在将来用来查阅该密钥的标记。作为示例，假设指令是对用于给磁带驱动器提供加密密钥的现有指令之一的新扩展。而且，可以假设返回的密钥标记是该密钥的直接地址(例如4.351基本上就是“使用在KSDS4的位置351处的密钥”的紧凑版本)，或者是从中可以使用直接地址以用一一对应的方式获得或者导出该直接地址的某种内容。应用程序或中间件随后将密钥标记存储在应用程序和/或中间件决定的任何位置。在LTFS的情况下，LTFS可以将密钥标记存回到磁带盒作为跟被加密文件相关联的扩展属性(XA)，在此情况下密钥标记也被存储到写入磁带的索引文件中。在其他应用程序例如TSM的情况下，密钥标记可以被存储至应用程序数据库，由其记录跟数据实体相关联的所有内容(例如存储至哪些磁带盒以及具体存储到所述磁带盒 的哪些位置)。 

随后，为了稍后执行附加于该数据实体(可以是文件)的写操作，应用程序或中间件发出指令以促使驱动器通过为数据实体提供密钥标记来使用合适的密钥。该指令实际上指示使用跟密钥标记相关联的密钥。在LTFS的情况下，如果使用文件的应用程序(FUA)请求LTFS利用写许可打开文件，那么LTFS就从磁带盒中检索跟该文件相关联的元数据，读取包含密钥标记的XA，并随后发出向驱动器提供密钥标记的指令以使其能够获取合适的密钥来加密要附加至该文件的数据。在某个以后的时间，为了解密读取该数据实体(可以是文件)，应用程序发出指令以促使驱动器通过为数据实体提供密钥标记来使用合适的密钥。该指令实际上指示使用跟密钥标记相关联的密钥。在LTFS的情况下，如果使用文件的应用程序(FUA)请求LTFS读取文件，那么LTFS就从磁带盒中检索跟该文件相关联的元数据，读取包含密钥标记的XA，并随后发出向驱动器提供密钥标记的指令。 

在某一随后的时刻，为了完成该数据实体(可以是文件)的安全(加密地)清除，应用程序发出指令，该指令是由Jag支持的密钥粉碎指令的扩展。该指令请求粉碎跟密钥标记相关联的密钥。在LTFS的情况下，如果使用文件的应用程序(FUA)请求LTFS删除文件，那么LTFS就根据磁带盒中的索引文件检索跟该文件相关联的元数据，读取包含密钥标记的XA，并随后向驱动器发出该密钥标记的密钥粉碎指令。一旦完成了密钥粉碎操作，并且原始KSDS已被改写，那么跟该文件相关联的加密密钥即被无法挽回地清除，并且因此通过其加密的数据也就不可恢复。换句话说，选定的加密数据已经被加密地清除。 

关于LTFS，通过应用先前所述LTFS中的实施方式，LTFS中间件内的功能即可允许某种政策机制选择指定的LTFS实例是否要在每一个文件上加密。可以在LTFS配置文件中使用标记，其中该标记的默认状态(可以简单地是缺少标记)指示没有进行加密。如果标记存在且处于正确状态，那么就可以在每一个文件上执行加密。应该注意 加密可能需要更精细的间隔，以使指定的LTFS实例可以基于每一个文件地加密某些盒而并不加密其他的盒(例如或许是必须保持不加密的某一子集)。可以有多种方式来做到这一点。一种这样的方式是使加密标记基本上归盒所有，例如跟文件夹也就是该盒相关联的XA。在此情况下，盒是LTFS格式的并且随后在每一个文件的基础上设定用于加密的XA(这可以作为格式化指令的扩展来执行，或者可选地在格式化之后通过另一个实体或程序执行)。 

在每一个文件的基础上对盒加密时，随后每一次LTFS打开一个新文件以对其写入，磁带驱动器都被命令切换为使用下一个密钥并返回标记，驱动器可以在将来使用该标记以查阅密钥。要注意如果这是第一次这样的请求，那么驱动器可能必须要生成密钥来构建第一KSDS。类似地，如果驱动器已经用完它目前可用的所有密钥，那么该机制可以生成新密钥。LTFS随后获取返回的密钥标记并通过更新索引文件将其写出作为该文件的XA。 

在盒中具有在每一个文件的基础上进行加密的文件时，每一次LTFS打开该文件以对其写入，LTFS就命令驱动器切换为使用具有该密钥标记的密钥。用这种方式，即使文件被多次修改并且具有当前有效范围列表，其包括散布在磁带多个不同区域上的范围，同样的密钥也可被用于加密跟文件相关联的所有数据。应该注意在原始文件被写入时，基本上是用存储的下一个可用密钥和密钥标记来写入。但是，在更新文件时，密钥是从先前存储并被发送至驱动器的XA中的位置读取。在此情况下，LTFS请求用确定的密钥(例如由先前发送的密钥标记指定的密钥)加密对文件的更新。 

类似地，当LTFS需要读取在每一个文件的基础上加密文件的盒时，LTFS读取用于根据XA加密密钥的密钥标记并将其服务于驱动器以及实际上用该密钥来命令解密。在一个可选实施例中，可能优选的是在唯一要做的事就是解密以读取LTFS告知驱动器的位置以确定在读取期间使用哪一个加密密钥。驱动器可以通过从DSIT中读取密钥标记并随后将该密钥标记用作进入KSDS的索引以获取密钥再用该 密钥解密来做到这一点。当LTFS需要加密地清除盒中在每一个文件的基础上加密的文件时，LTFS从XA读取用于加密该密钥的密钥标记。LTFS随后以扩展的粉碎指令将其提供给驱动器，扩展基本上就是使该指令告知驱动器“用该标记来粉碎密钥”。应该注意的是因为跟指定文件相关联的所有范围都是以相同的密钥写入的，所以曾经构成该文件的所有范围(甚至是一直无效并且因此未列入当前有效范围列表的那些范围)在密钥被粉碎时就都被加密地清除。 

而且还必须要安全地清除KSDS。在一个实施例中，KSDS只能在LP2到LP3的区域写入，在那里没有写入用户数据且因此逻辑改写不构成问题。应该注意在LP2到LP3区域写入的KSDS数据并不连续写入以使上游的KSDS数据可以用跟下游KSDS数据相同的封装写入而不会使该KSDS数据无法读取。KSDS可以不写入每一个封装；而是可以让KSDS横向分散以使覆盖不成为问题。KSDS可以总是写入到其上叠加有两个空封装的封装内以使所有三个封装都被清除，这样就确保不会留下未清除的纵向KSDS片段。KSDS可以用特定的方式写入以允许特定量的伺服容错。KSDS可以被写入为使得要恢复密钥就必须读取多于一个副本，由此使得如果一个KSDS不能被改写，那么就仍然可以确定密钥不可恢复。 

而且，密钥设定数据集(KSDS)可以仅被写入LP2到LP3的区域。应该注意到在LP2到LP3的区域内可以有至少12个能够使用的位置。在LTO-5内每一个数据带都可以有20个封装，10个前向和10个反向。在数据带0的情况下有封装1,3,…,19(前向)和封装2,4,…,20(反向)。为了解决容差的问题，KSDS可以不写到每一个封装上。相反KSDS可以被写为使得可以清除任一侧的相邻磁道。例如，KSDS可以写入封装5内。在需要改写封装5上的KSDS时，可以清除封装3,5和7上必要长度的磁带，这样即可确定地清除磁道5，而与任何合理的横向磁带稳定性(LTS)或机械容差问题无关。(仅作为示例，假设在LTO-5磁带的LP2-LP3区域内使用每一个数据带上的(相对)封装5,11和17(允许单独使用封装1(例如用于HKDS)。由 于在4个数据带的每一个当中都有3个封装，这就意味着写入了12个封装。指定的KSDS可以向封装配对写入四次。对应于(5,11和17)以构建配对的反向封装是(6,12和18)。 

为了解决因伺服误差而阻止清除的潜在问题，考虑以下内容。由于提案是写入每一个KSDS的四个份额（share），因此KSDS可以被划分以使两份额被前向写入一个封装上，而另外两个份额被反向写入另一个封装上。(前向写入的第一份额可以开始于LP2处的一个封装，前向写入的第二份额可以开始于同一封装的(LP2+LP3)/2处，反向写入的第三份额可以开始于另一个封装的LP3处，且反向写入的第四份额可以开始于该相同的另一封装的(LP2+LP3)/2处。)每一份额的KSDS都可以按特定的方式有所不同。可以实施被称为Shamir密钥共享算法(“Shamir”)的专用技术以允许将密钥分为多个份额。在Shamir算法的情况下，每一个密钥份额都是相同长度也就是被划分的原始密钥的长度(在此情况下，原始密钥和所有密钥份额的长度都是32字节)。Shamir份额可以构建为使得任何密钥都可以用特定方式分为N份，从而使得需要M(<N)份的这些份额来重建密钥。仅作为示例，所用机制使用M=2和N=4。因此，每一个KSDS都可以被分成四份，每一份额都以特定方式有所不同，并且每一份额都被写入磁带。在此情况下，所述机制能够读取其中两份以恢复原始未划分KSDS中的密钥。 

仅作为示例，考虑系统地进行所述机制以清除先前写入的KSDS并用新KSDS将其取代的情况。所述机制可以首先假设没有伺服错误。因此，旧KSDS中的第一份额被按三次（pass）清除(例如为了确定地清除封装5就必须要清除封装3,5和7)，并随后用新KSDS中的第一份额(例如对封装3)执行改写。此时旧KSDS仍然可恢复(因为4个份额中有3个仍然存在)，但是新KSDS则不可恢复(因为最终4个份额中只有1个被写入)。接下来旧KSDS中的第二份额被按三次清除，并随后用新KSDS中的第二份额执行改写操作。此时旧KSDS仍然可恢复(因为4个份额中有2个仍然存在)，新KSDS也同样可恢 复(因为最终4个份额中已有2个被写入)。接下来旧KSDS中的第三份额被按三次清除，并随后用新KSDS中的第三份额执行改写操作。此时旧KSDS已经不可恢复(因为4个份额中只有1个仍然存在)，但是新KSDS则为可恢复(因为最终4个份额中已有3个被写入)。最后，旧KSDS中的第四份额被按三次清除，并随后用新KSDS中的第四份额执行改写操作。此时旧KSDS已经根本不存在(因为4个份额中只有0个仍然存在)，但是新KSDS则为可恢复(因为最终4个份额已经全被写入)。应该注意在任何时刻都没有将密钥保持为不可恢复，即使是出现永久性写入错误也不例外。 

仅作为示例，考虑出现伺服误差从而阻止确定地清除相邻磁道之一或连续改写部分KSDS份额的情况。首先，磁带驱动器应该监测是否出现了伺服错误。如前所述，一个KSDS集合被(按三次在3个相邻封装上)清除和改写。在开始这三次之前，所述机制应该首先仔细检测KSDS集合确切的纵向范围，具体为开始写入该集合时的LPOS和结束时的LPOS。该动作确定必须确定地清除和用新KSDS集合改写的纵向范围。如果写入门电路在用于旧KSDS集合整个纵向范围的所有3次中都保持激活，那么旧KSDS集合即可被认为已安全清除。但是，如果写入门电路稳定地(即使在重试时)被伺服错误覆盖以使清除/写入的三次中有一次不连续，那么旧KSDS集合中的份额就必须被认为是可恢复的。然而应该对任何一次KSDS的清除或写入至少进行一次重试以确定在重试时是否无法连续地清除(或写入)(也就是并未因伺服错误而中断)。如果随后的清除或写入重试连续完成，那么针对这一次写入/清除安全(加密地)清除写入磁带的选定加密数据就应被认为已经成功完成。 

此外，考虑出现伺服错误从而阻止确定地清除相邻磁道之一或连续改写部分KSDS份额的情况。仅作为示例，假设伺服错误出现在KSDS的第一份额。在此情况下，本发明中的机制尝试分三次执行清除旧KSDS的第一份额。存在阻止连续清除的伺服错误。假设例如新KSDS的第一份额可以在伺服错误的下游写入。此时旧KSDS仍然可 恢复(所有4个份额中有3个仍然存在，并且还有第四份额中的至少一部分)，但是新KSDS则不可恢复(因为最终4个份额中只有1个被写入)。假设例如接下来三个副本被无意外地清除和改写。此时旧KSDS已经不可恢复(因为4个副本中只存在一个副本的一部分)，并且新KSDS也不可恢复(因为所有四个副本都已被写入)。 

应该注意，在任何时刻都没有将密钥保持为不可恢复，即使是出现永久性写入错误也不例外。还应该注意，上述机制只要四个份额中仅有一个无法被改写就会起作用，这跟KSDS的四个原始副本中是哪一个不能被改写无关，只要新副本能够被改写即可。在伺服错误非常严重的情况下，所述机制无法成功写入任何新份额(即使在通过跳写纵向分散时也不行)。因此，所述机制不能写入，导致永久性的写入错误。在非常少见的情况下，(要加密地清除的)旧KSDS中有两个份额不能被改写(或覆盖清除)，原因是持续的伺服错误迫使旧KSDS横向分散(写入跳过)，那么所述机制就认为旧KSDS是可恢复的(因为4个副本中有2个潜在可恢复)。当这两个份额中的第二个不能被成功覆盖清除(改写)时，驱动器就应该像对待新KSDS的永久性写入错误那样进行处理。在永久性写入错误的情况下，当尝试写入前两个KSDS中的一个时，那么就不能成功写入并会使先前的KSDS无效。在此情况下，所有要保留的文件数据都应从坏磁带盒迁移到新磁带盒上。这就涉及从第一盒中解密读取以及向第二盒中加密写入。第一盒随后就应该被确定地和不可逆地销毁(例如烧毁)以使得即使法律数据恢复也不可行。应该注意，上述的冗余性和弹性应该使迁移和销毁的情况成为非常罕见(例如1/100,000)的例外情况。 

在一个实施例中，需要禁止读取KSDS。如果KSDS可以在盒的外部读取和存储，那么所有上述步骤确定性清除密钥的意义都会下降。为了避免这种情况，可以改变磁带驱动器编码操作以禁止在任何常规条件下转移KSDS数据集。应该注意的是，由于KSDS位于用户区以外，因此KSDS不能用任何标准小型计算机系统接口(SCSI)指令读取，而且KSDS也不应该能够通过由送往现场的驱动器代码支持 的任何工程或调试指令访问。这是一种驱动器微代码控制，其目的是为了禁止远程读取磁带盒(例如说入侵到SAN内)。如果用户拥有盒的实体占有权，那么该盒可以通过设备测试架或者通过修改的驱动器读取。应该注意的是，如果紧接着先前介绍的对每一个文件加密的步骤使用LME透明加密，那么KSDS就自身加密，这就意味着除非是拥有加密KSDS的密钥，否则KSDS内的密钥无法访问。 

由于磁带驱动器无法先验地获知它不会接收到未来的密钥改变请求，因此磁带驱动器不能获知磁带盒是否将一律以单个密钥加密，如果磁带驱动器假定使用了这样的密钥，那么就会出现另外的问题和复杂性。 

在一个实施例中，以下在方法2中介绍的单密钥或多密钥情况下的机制更加灵活且问题更少。因此应考虑以下的方法。 

LTO逻辑格式POV中的精确控制-方法1 

首先，必须为磁带驱动器提供指示：用户数据集通过KSDS中的粉碎密钥保护。地球卫星技术工作组(LTWG)应该确定用于该指示的最佳方式，并且在一个实施例中，所述机制可以建立用于现有加密标志的新状态以满足该指示。具体地，当加密标志被设定为“2”时，加密标志意味着用于保护该数据集的密钥被存储在KSDS内并且AAD域的副本实际上包含指向粉碎密钥的指针（在KSDS内使用粉碎密钥）。通过该假设，使用“W(a,b)”意味着将密钥“a”用另一个密钥“b”封装并且为磁盘驱动器服务的是来自外部密钥管理器的密钥也被称为服务密钥(Sk)。以下将介绍安全选项，其中本发明的机制使用透明加密(例如LME)来保护磁带盒并且使用文件级加密以允许安全(加密地)清除写入磁带的、在每个文件的基础上粉碎的选定加密数据。应该注意的是，图示实施例仍然可以具有基础文件级加密从而无需使用透明加密或外部服务密钥即可实现粉碎。因此，可以采用以下的设置： 

用户数据集(LTO-5案例，具有间接含义) 

数据集内的所有数据都用驱动器生成的密钥(Gk)加密 

在数据集信息表(DSIT)内： 

加密标志=2 

封装密钥域=W(Gk,Fk) 

AAD域的副本=指向Fk位置的指针(也就是哪一个密钥在哪一个KSDS内) 

KSDS: 

KSDS内的所有密钥都用驱动器生成的密钥存储密钥(KSk)加密 

在数据集信息表(DSIT)内： 

加密标志=3(以表示这种KSDS加密技术) 

封装密钥域=共享的W(KSk,Sk) 

AAD域的副本=外部密钥管理器获取Sk所需的密钥标记 

应该注意，在封装密钥域内所述机制仅存储W(KSk,Sk)的份额。除非所述机制在每个Shamir密钥拆分都具有正确的阈值(大于或等于M)，否则所述机制就不能创建W(KSk,Sk)。在此情况下可以使用以下设置： 

用户数据集(LTO-5案例)： 

数据集内的所有数据都用驱动器生成的密钥(Gk)加密 

在数据集信息表(DSIT)内： 

加密标志=2 

封装密钥域=W(Gk,Fk) 

AAD域的副本=指向Fk位置的指针(也就是哪一个密钥在哪一个KSDS内) 

KSDS: 

KSDS内的所有密钥都用驱动器生成的密钥存储密钥(KSk)加密 

在数据集信息表(DSIT)内： 

加密标志=4(以表示这种KSDS加密技术) 

封装密钥域=W(KSk)的份额 

AAD域的副本=<空> 

而且，为了进一步介绍方法1，考虑LTO-5KSDS通常长度为115毫米(在LTO-6中因为增加了线性密度所以应该更短)，因此存储设备16通常都需要1.84米的磁带)。LP2和LP3之间的标称距离为8米，因此通常有写入16个KSDS集合的空间，比沿指定方向在LP2和LP3之间的指定封装上多四倍。可以假设每一个KSDS都可以写入四次，沿前向(从LP2到LP3)在一个封装上写入两次并且沿反向(从LP3到LP2)在另一个封装上写入两次。对于能够存储的每一个16个KSDS，可以存储16x60K～=1M个密钥。沿指定方向在LP2和LP3之间在指定封装上可以有足够的空间多次写入16个KSDS的集合，这将在以下更加详细地介绍。如果在该LP2-LP3的区域内有一对封装，一个是前向且一个是反向，专门用于存储指定的16个KSDS的集合，那么可以用给出足够冗余性的方式存储四次。在LTO-5磁带盒上可以有至少12个这样的封装对可用，因此大约可以容纳1000万个密钥。而且，以下还会介绍用于存储更多密钥的其他选择。应该注意到一次写入16个KSDS就意味着要写入16x2.4MB=38.4MB，并且如果还有内容，那么可能就要消耗约48MB的存储器空间。如果获取原始密钥并执行Shamir密钥划分成四份，并将其跟初始未划分的48MB一起存储在存储器中，那么总计就需要有5x48MB=240MB的存储器。如果确实需要多于1000万个密钥，那么所述方法可以被扩展和修改(例如构建独立分区以能够在此情况下存储更多的KSDS，潜在地可以加密多于1000万个文件，每一个文件都具有不同的加密密钥)。 

应该注意到，关于写入KSDS的事宜存在不同的策略。一种选择是预先生成所有密钥，由此只需要用于清除的KSDS改写。在此情况下，完全不必使用所有的密钥，因为在添加新数据时肯定会留有剩余，只需在去除/粉碎密钥时确保删除即可。不需要在新的索引边界上进行KSDS更新是一种性能上的优点(否则这就会导致可能以其他 方式流写入期间的长时间定位/写入/定位)。一种新选择例如可以在SPOUT指令的设定数据加密页中被称为“指令1”。请求数据加密状态页的SPIN指令随后就会在KAD数据中检索密钥标记。为了完成追加写入，可以执行指令1的子集。换句话说，执行SPOUT指令的设定数据加密页中的新选择。 

第二种新选择可以被称为“指令2”，其中Jag密钥粉碎指令是厂商明确的指令。对于标准化指令，有时需要向标准中加入新内容并且可以是输送密钥标记并指示粉碎跟标记相关的密钥的新指令。 

在一个实施例中，给出了一种被称为“方法2”的新加密方法。先前介绍的第一种加密方法即使在以如今某些磁带加密使用的主流方式来使用磁带加密（也就是用单个加密密钥具体完成磁带加密时）也可以提供必要的粉碎功能。透明的磁带加密方法((用于z/OS或开源的)LME或SME)基本上都可以利用单个服务密钥来加密整个磁带盒。透明的磁带加密可以更加普遍地配置磁带加密模型，但是所述机制也可以支持AME。AME可以用两种方式中的任何一种来管理。AME可以选择用(TSM采用的)单个密钥来加密所有数据。但是，T10指令集也允许在每一个块的基础上改变AME密钥。而且，方法1并不允许频繁改变加密密钥，原因是指定的数据密钥会因为用于加密而跟KSDS内的大量粉碎密钥纠缠在一起。因此，第二种加密方法(方法2)就实现了大量的磁带加密密钥，允许频繁的密钥改变，和/或允许在写入加密数据和未加密数据之间频繁改变，正如T10磁带加密模型所允许的那样。这是通过无需依赖服务密钥地写入KSDS而实现的。相反，驱动器生成的密钥仅保护KSDS以用于保护密钥存储设备，并且这只是为了实现Shamir密钥拆分。因为粉碎密钥并未直接用于加密磁带盒，所以安全性不成问题。类似地，因为并不依赖于粉碎密钥且由此损失了粉碎数据的能力，所以服务密钥不能直接用于加密用户数据。相反加密密钥可以依赖于服务密钥和粉碎密钥来保护用户数据。两个密钥通过密钥派生函数(KDF)加以组合。应该注意的是可以有不同类型的KDF。一种KDF可以是在包括服务密钥和粉碎密 钥的连接数据域上计算简单的hash值(例如SHA-256)。可选地，另一种KDF可以使用基于hash值的消息认证代码(HMAC)(基于hash函数)。另一种KDF可以将一种密钥用另一种加密(例如用服务密钥加密粉碎密钥)并且将加密结果用作保护用户数据的密钥。可接受的KDF可以被选择为能够将服务密钥和粉碎密钥处理成所得的派生密钥。得到的派生密钥以跟当前使用服务密钥相同的方式保护用户数据。例如，在LTO-4中，得到的派生密钥可以被用于直接加密用户数据。此外，在LTO-5中，得到的派生密钥可以被用于间接封装驱动器生成的加密密钥。对于LTO-5来说，驱动器生成的加密密钥可以是实际上用于加密用户数据的密钥。 

LTO逻辑格式POV中的精确控制-方法2 

在每一个数据集中，都存在将磁带驱动器指向必须输入至KDF的两个项目以找到用于保护用户数据的密钥的需求。正如以下介绍的那样，在一个实施例中，示出的实施例可以应用于LTO-5(也可以由LTO-6采用)。地球卫星技术工作组(LTWG)应该确定用于该指示的最佳方式，并且在一个实施例中，建立用于现有加密标志的新状态以满足该指示。具体地，当加密标志被设定为“2”时，加密标志意味着用于保护该数据集的密钥被存储在KSDS内并且AAD域的副本实际上包含指向该KSDS内所用粉碎密钥的指针。使用名称“W(a,b)”就意味着将密钥“a”用另一个密钥“b”封装。并且假设为驱动器服务的是来自外部密钥管理器的密钥也被称为服务密钥(Sek)，而且在KSDS内存在相关联的粉碎密钥(Shk)，可以使用以下的设置： 

KDF： 

组合Sek和ShK以形成派生密钥(Dk) 

用户数据集(LTO-5案例，具有间接含义) 

数据集内的所有数据都用驱动器生成的密钥(Gk)加密 

在数据集信息表(DSIT)内： 

加密标志=2 

封装密钥域=W(Gk,Dk) 

安全(加密地)清除写入磁带的选定加密数据 

[新]粉碎密钥指针=ShK的位置(也就是哪一个密钥在哪一个KSDS内) 

AAD域的副本=外部密钥管理器获取Sek所需的密钥标记 

KSDS: 

KSDS内的所有粉碎密钥都用驱动器生成的密钥存储密钥(KSk)加密 

在数据集信息表(DSIT)内： 

加密标志=3 

封装密钥域=KSk的Shamir份额 

AAD域的副本=<空> 

应该注意到，封装密钥域仅为存储的KSk的一份额。除非所述机制在每个Shamir密钥拆分都具有正确的阈值(大于或等于M)，否则所述机制就不能重新创建KSk。 

在一个实施例中，给出了一种被称为“方法3”的新加密方法。第三方法被认为类似于方法2，只是允许通过外部服务的磁带盒密钥(Ck)来保护KSDS。用这种方式，即使用户占有磁带盒，粉碎密钥也无法不受阻碍地读取。应该注意的是方法3引入了磁带盒全局服务密钥，这对于透明性是另一种阻碍。从一开始(例如在生成粉碎密钥时)就尝试方法3是有问题的，并且只有在驱动器可以确定地获知用单个服务密钥就能完成所有加密时才有意义。尽管驱动器并不知道所有的加密可以用单个服务密钥完成，但是图示的实施例可以表明事实上加密可以用单个服务密钥完成。例如，如果磁带盒使用LME加密，那么该磁带盒就可以用单个密钥加密。如果该盒要通过应用程序例如TSM或NBU写入，那么该盒通常是已经装满的。驱动器可以检测盒的装满以及所有使用单个密钥的加密。在此情况下，所述机制可以返回并随后用相同的加密密钥来保护KSDS内的粉碎密钥，由此禁止读 取这些粉碎密钥，即使是设备驱动器也不能读取。或者是所述机制带入改变以使驱动器先验地获知将用单个密钥来加密驱动器，或者就是驱动器针对自身明确磁带盒写入/加密的方式，两种方式下所述机制均可通过将刚讨论过的Ck设定为SeK来保护KSDS。应该注意的是，如果在一个实施例中所述机制采用了使驱动器先验地明确将用单个密钥来加密驱动器的方式，那么KSDS从一开始由Ck保护即被加密，并且Ck随后可以被存储为单独的实体(用EEDK型结构，不过此时Ck并未被任何事物封装)。然后，如果驱动器确定磁带盒是由单个加密密钥保护，那么驱动器可以运行并用Sek封装Ck以构建新的EEDK，驱动器随后(安全地)改写先前的EEDK(就像重新编写密钥EEDK一样，不过在此情况下“封装加密粉碎密钥的加密密钥”将更加准确)。可以使用以下的设置： 

KSDS: 

KSDS内的所有粉碎密钥都用驱动器生成的密钥存储密钥(KSk)加密 

在数据集信息表(DSIT)内： 

加密标志=1 

封装密钥域=W(KSk,Ck)的Shamir份额 

AAD域的副本=外部密钥管理器获取Ck所需的密钥标记 

在一个实施例中，方法2和3实现了完全独立的粉碎和加密。方法2和3都允许完全独立的粉碎密钥和加密密钥。因此一种应用程序(例如LTFS)可以在对应用程序有意义的任何边界(例如文件边界)上改变粉碎密钥，并且完全独立的实体(例如HP的SKM)可以跟驱动器相互协同工作以在对应用程序有意义的某一其他边界(例如追加写入边界)上改变加密密钥。因此，给定的粉碎密钥可以跨越使用的多个加密密钥。反之也同样成立，原因在于给定的加密密钥可以跨越使用的多个粉碎密钥以使两种类型的密钥可以彼此完全独立地转换。 

为了进一步介绍本发明的机制，正如在图3和图4中介绍的那 样，使用文件的应用程序可以通过LTFS向磁带写入数据。LTFS可以被设置为利用单独的密钥加密每一个文件。使用文件的应用程序可以随后删除用单独密钥加密的每一个文件。LTFS可以被设置用于在删除文件时完成文件的安全(加密地)清除。为此，LTFS应删除用于加密该文件数据的密钥并随后以某种方式确定地清除且随后重写KSDS，这对于常见错误(例如伺服错误)是有弹性的，并且仍然禁止这些数据的即使是法律要求的数据恢复。图示的实施例可以应用于任何数据磁带技术(例如IBM的3592，Oracle的T10000等)，其中具有等价的内务数据集区域，即使磁带技术并非基于LTO和任何顺序写入的存储设备，即使并不是磁带例如是CD或DVD也同样适用。 

转至图4，流程图示出了用于选定加密数据的加密清除的示范性方法400。方法400(在步骤402)开始。方法400可以利用多个派生密钥设置数据文件，派生密钥适用于在随后的清除操作中被单独粉碎并允许加密地清除数据文件中选定的加密数据而不必进行保留数据的去除和重写中的至少一种(步骤404)。方法400(在步骤406)结束。 

现转至图5，流程图示出了用于利用派生密钥进行选定加密数据的加密清除的示范性方法500。方法500(在步骤502)开始。方法500可以利用派生密钥设置数据文件，派生密钥适用于在随后的清除操作中被单独粉碎并允许加密地清除数据文件中选定的加密数据而不必进行保留数据的去除和重写中的至少一种(步骤504)。将派生密钥分为至少两部分(步骤506)。两个部分中的冗余数据可以被一起删除。将派生密钥放入密钥存储数据集(“KSDS”例如密钥文件)内(步骤508)。针对每一个派生密钥提供标记(步骤510)。指针可以被用于关联选定的加密数据和KSDS(步骤512)。方法500可以粉碎选定加密数据的标记和两个密钥部分(步骤514)。应该注意，无法粉碎至少两个密钥部分中的每一个并不能阻止粉碎。方法500可以在没有删除的标记和两个删除的密钥部分的情况下重写KSDS(步骤516)。禁止通过改写KSDS中的划分密钥来外部读取派生密钥(步骤518)。因此，禁止用法律恢复手段访问已清除的选定加密数据。方法500(在步骤 520)结束。 

所属技术领域的技术人员知道，本发明的各个方面可以实现为系统、方法或计算机程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式（包括固件、驻留软件、微代码等），或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。此外，在一些实施例中，本发明的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式，该计算机可读介质中包含计算机可读的程序代码。 

可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子（非穷举的列表）包括：具有一个或多个导线的电连接、便携式计算机盘、硬盘、随机存取存储器（RAM）、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。 

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、有线、光缆、RF等等，或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机 的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机（例如利用因特网服务提供商来通过因特网连接）。 

下面将参照根据本发明实施例的方法、装置（系统）和计算机程序产品的流程图和/或框图描述本发明。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些计算机程序指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。 

也可以把这些计算机程序指令存储在计算机可读介质中，这些指令使得计算机、其它可编程数据处理装置、或其他设备以特定方式工作，从而，存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品（article of manufacture）。也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机或其它可编程装置上执行的指令提供实现流程图和/或框图中的一个或多个方框中规定的功能/动作的过程。 

上述附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框 图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。 

尽管已经详细介绍了本发明的一个或多个实施例，但是本领域普通技术人员应该意识到无需背离本发明由所附权利要求阐明的保护范围即可对这些实施例进行修改和调整。 

Claims (16)

1.一种用于在计算环境中通过处理器设备加密清除选定加密数据的方法，所述方法包括：

利用多个派生密钥设置数据文件，所述多个派生密钥用于在随后的清除操作中被单独粉碎，其中所述多个派生密钥允许加密地清除数据文件中选定的加密数据，而不必进行保留数据的去除和重写中的至少一种。

2.如权利要求1所述的方法，进一步包括将所述多个派生密钥中的每一个划分为至少两个密钥部分，其中至少两个部分中的冗余数据被一起删除。

3.如权利要求1所述的方法，进一步包括将所述多个派生密钥放入密钥存储数据集KSDS内，其中针对至少两个密钥部分中的每一个提供标记。

4.如权利要求3所述的方法，进一步包括粉碎选定加密数据的至少两个密钥部分和标记，其中无法粉碎至少两个密钥部分中的每一个不会阻止所述粉碎。

5.如权利要求4所述的方法，进一步包括在没有已删除标记和至少两个已删除密钥部分的情况下重写KSDS。

6.如权利要求5所述的方法，进一步包括禁止通过改写KSDS中的多个划分密钥来外部读取多个划分密钥，其中禁止用法律恢复手段访问已清除的选定加密数据。

7.如权利要求3所述的方法，进一步包括结合将多个派生密钥放入KSDS内，利用指针来关联选定的加密数据和KSDS。

8.如权利要求1所述的方法，进一步包括通过多个应用程序执行加密地清除数据文件中选定的加密数据，其中所述执行发生于多种数据磁带技术和顺序写入的存储设备中。

9.一种用于在计算环境中加密清除选定加密数据的系统，包括：

至少一个磁带驱动器，以及

连接到至少一个磁带驱动器的在计算环境中可操作的至少一个处理器设备，其中至少一个处理器设备用于：

利用多个派生密钥设置数据文件，所述多个派生密钥用于在随后的清除操作中被单独粉碎，其中所述多个派生密钥允许加密地清除数据文件中选定的加密数据而不必进行保留数据的去除和重写中的至少一种。

10.如权利要求9所述的系统，进一步包括将多个派生密钥中的每一个划分为至少两个密钥部分，其中至少两个部分中的冗余数据被一起删除。

11.如权利要求9所述的系统，其中处理器设备进一步用于将多个派生密钥放入密钥存储数据集KSDS内，其中针对至少两个密钥部分中的每一个提供标记。

12.如权利要求11所述的系统，其中处理器设备进一步用于粉碎选定加密数据的至少两个密钥部分和标记，其中无法粉碎至少两个密钥部分中的每一个不会阻止所述粉碎。

13.如权利要求12所述的系统，其中处理器设备进一步用于在没有已删除标记和至少两个已删除密钥部分的情况下重写KSDS。

14.如权利要求13所述的系统，其中处理器设备进一步用于禁止通过改写KSDS中的多个划分密钥来外部读取多个划分密钥，其中禁止用法律恢复手段访问已清除的选定加密数据。

15.如权利要求11所述的系统，其中处理器设备进一步用于结合将多个派生密钥放入密钥存储数据集KSDS内，利用指针来关联选定的加密数据和KSDS。

16.如权利要求9所述的系统，其中处理器设备进一步用于通过多个应用程序执行加密地清除数据文件中选定的加密数据，其中所述执行发生于多种数据磁带技术和顺序写入的存储设备中。

Images