CN110414245B - 用于在存储系统中管理加密密钥的方法、装置和计算机程序产品 - Google Patents
用于在存储系统中管理加密密钥的方法、装置和计算机程序产品 Download PDFInfo
- Publication number
- CN110414245B CN110414245B CN201810404847.4A CN201810404847A CN110414245B CN 110414245 B CN110414245 B CN 110414245B CN 201810404847 A CN201810404847 A CN 201810404847A CN 110414245 B CN110414245 B CN 110414245B
- Authority
- CN
- China
- Prior art keywords
- encryption key
- request
- encrypted
- storage
- disk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/10—Address translation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0629—Configuration or reconfiguration of storage systems
- G06F3/0637—Permissions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0662—Virtualisation aspects
- G06F3/0665—Virtualisation aspects at area level, e.g. provisioning of virtual or logical volumes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0683—Plurality of storage devices
- G06F3/0689—Disk arrays, e.g. RAID, JBOD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/26—Using a specific storage system architecture
- G06F2212/261—Storage comprising a plurality of storage devices
- G06F2212/262—Storage comprising a plurality of storage devices configured as RAID
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Human Computer Interaction (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本公开的实施例提供了用于在存储系统中管理加密密钥的方法。该方法包括:从存储管理组件向密钥管理服务组件发送加密密钥请求;基于该加密密钥请求,通过该密钥管理服务组件获取由该密钥管理服务组件加密过的加密密钥;向该存储管理组件提供所获取的加密过的加密密钥;由该存储管理组件维护该加密过的加密密钥和存储设备之间的对应关系;以及根据该对应关系,向加密硬件单元注册与该存储设备相对应的加密过的加密密钥,以便该加密硬件单元能够对该加密过的加密密钥进行解密,以获得与该存储设备相对应的加密密钥。通过本公开的实施例,实现了对于加密密钥的有效管理。
Description
技术领域
本公开的实施例涉及数据存储领域,并且更具体地,涉及用于在存储系统中管理密钥方法、装置以及计算机程序产品。
背景技术
存储系统可以被构建在一个或多个物理存储设备之上,用于提供数据存储能力。为了增强存储系统中输入输出(I/O)操作的安全性,可以对I/O操作所针对的数据进行加密。在存储加密技术中,基于控制器的硬件加密技术由于处理速度和安全性能的优势日益被市场所认可,特别是针对具有较高安全等级要求的客户。在基于控制器的硬件加密存储系统中,加密硬件被嵌入到协议控制器中,在I/O操作期间,加密硬件对写入存储设备的数据进行加密,或者对从存储设备读出的数据进行解密。
在存储系统初始化过程中,需要为存储系统的每个物理盘分配对数据进行加密/解密的密钥。在使用存储设备的过程中,存储系统中物理盘并非一成不变,相反,需要对物理盘的添加、删除、替换等进行维护。通常各个物理盘对数据进行加密/解密的密钥各不相同。当在存储系统中物理盘发生变化时,用于物理盘的加密密钥也要重新在加密硬件中部署。
因此,需要提供一种在存储系统中管理加密密钥的方案。
发明内容
本公开的实施例提供了一种用于在存储系统中管理加密密钥的方案。
在本公开的第一方面中,提供了一种用于在存储系统中管理加密密钥的方法。根据该方法,从存储管理组件向密钥管理服务组件发送加密密钥请求;基于该加密密钥请求,通过该密钥管理服务组件获取加被该密钥管理服务组件加密过的加密密钥;向该存储管理组件提供所获取的加密过的加密密钥;由该存储管理组件中维护该加密过的加密密钥和存储设备之间的对应关系;以及根据该对应关系,向加密硬件单元注册与该存储设备相对应的加密过的加密密钥,以便该加密硬件单元能够对该加密过的加密密钥进行解密已获得与该存储设备相对应的加密密钥。
在本公开的第二方面中,提供了一种用于在存储系统中管理加密密钥的装置。该装置包括:处理器;以及与该处理器耦合的存储器,该存储器具有存储于其中的指令,该指令在被处理器执行时使该装置执行以下动作,该动作包括:从存储管理组件向密钥管理服务组件发送加密密钥请求;基于该加密密钥请求,通过该密钥管理服务组件获取加被该密钥管理服务组件加密过的加密密钥;向该存储管理组件提供所获取的加密过的加密密钥;由该存储管理组件中维护该加密过的加密密钥和存储设备之间的对应关系;以及根据该对应关系,向加密硬件单元注册与该存储设备相对应的加密过的加密密钥,以便该加密硬件单元能够对该加密过的加密密钥进行解密已获得与该存储设备相对应的加密密钥。
在本公开的第三方面中,提供了一种计算机程序产品,计算机程序产品被有形地存储在计算机可读介质上并且包括机器可执行指令,机器可执行指令在被执行时使机器执行根据第一方面的方法。
提供发明内容部分是为了简化的形式来介绍对概念的选择,它们在下文的具体实施方式中将被进一步描述。发明内容部分无意标识本公开的关键特征或主要特征,也无意限制本公开的范围。
附图说明
通过结合附图对本公开示例性实施例进行更详细的描述,本公开的上述以及其它目的、特征和优势将变得更加明显,其中,在本公开示例性实施例中,相同的参考标号通常代表相同部件。
图1示出了根据本公开的一个实施例用于在存储系统中管理加密密钥的架构的示意框图;
图2示出了根据本公开的一个实施例的用于在存储系统中管理加密密钥的方法的流程图;
图3示出了根据本公开的一个实施例的被加密的加密密钥的存储结构;
图4示出了根据本公开一个实施例的映射RAID架构配置;
图5示出了根据本公开的一个实施例的被加密的加密密钥的存储结构;
图6示出了根据本公开一个实施例的加密密钥格式的示意图;以及
图7示出了可以用来实施本公开的实施例的示例设备的框图。
具体实施方式
下面将参考附图中示出的若干示例实施例来描述本公开的原理。虽然附图中显示了本公开的优选实施例,但应当理解,描述这些实施例仅是为了使本领域技术人员能够更好地理解进而实现本公开,而并非以任何方式限制本公开的范围。
在本文中使用的术语“包括”及其变形表示开放性包括,即“包括但不限于”。除非特别申明,术语“或”表示“和/或”。术语“基于”表示“至少部分地基于”。术语“一个示例实施例”和“一个实施例”表示“至少一个示例实施例”。术语“另一实施例”表示“至少一个另外的实施例”。术语“第一”、“第二”等等可以指代不同的或相同的对象。下文还可能包括其他明确的和隐含的定义。
如背景技术中所述,在基于硬件加密的存储系统中,需要为存储系统的每个物理盘分配对于数据进行加密/解密的加密密钥。出于安全性考虑,加密密钥通常由单独的模块/组件创建,并且加密密钥本身也需要被加密密钥的加密密钥(KEK)进行加密,已使得加密密钥在存储、部署到加密硬件的过程中不至于被泄密。由于加密硬件(控制器)中可以具有用于解密被加密的加密密钥的加密密钥(KEK),因此只有加密硬件能够获得真正的用于对I/O操作数据进行加密和解密的加密密钥。由此,对于数据加密/解密的加密密钥在密钥管理的中间过程中是不可见的(被加密),这样能够使得对于数据的加密密钥在进行管理的过程中也保持加密状态。通过这样的机制可以提高存储系统的安全性能。
根据本公开的各种实施例提供一种在存储系统中管理加密密钥的方案,能够有效地管理加密密钥,使得加密硬件能够在存储系统初始化、扩展、故障、更新等情况下,能够获得用于对数据加密/解密的加密密钥,并且保证存储系统的安全性能。
为了方便描述,以下将用于对数据进行加密/解密的加密密钥称为“第一加密密钥”;并且将对用于对数据进行加密/解密的加密密钥进行加密解密的加密密钥称为“第二加密密钥”;并且将经第二加密密钥加密后的第一加密密钥称为“经加密的第一加密密钥”。同时,为了简化描述,假定在存储系统针对所有物理盘的第一加密密钥使用相同的第二加密密钥进行加密。本领域的技术人员可以理解,在一些存储系统也可以使用多个第二加密密钥来对第一加密密钥。这些变形在本公开的教导之下都是容易想到或者实现的,因此也包括在本公开的范围之内。
图1示出了根据本公开的一个实施例用于在存储系统中管理加密密钥的架构100的示意图。
如图1所示,根据本公开的一个实施例的架构100包括存储管理组件110、密钥管理服务组件120、加密硬件单元130。架构100中还示出了存储介质140,用于存储对应于各个物理存储设备的相应的经加密的第一加密密钥。架构100还可以包括用于实现物理盘对象、端口、指令等适配的物理封装组件(未示出)。处于简化描述的目的,图1所示的架构100仅示出了与本公开所针对的密钥管理相关的软件组件或者硬件部件,但是本领域技术人员可以理解根据具体实现,用于存储系统的架构还可以包括其他必要组件/部件。此外,如无相反说明,“组件”在本公开的上下文中一般指主要通过软件实现的功能模块,“组件”可以创建、配置、维护各种必要的对象,以及使用相应的存储介质。“部件”或“单元”在本公开的上下文中一般指基于硬件(诸如控制器)的实体,在其上可以运行有诸如驱动程序的软件代码,并且可以具有存储器、高速缓存等。
存储管理组件110例如可以对存储设备进行管理,例如实现磁盘冗余阵列(RAID)算法,已将物理盘以RAID方式进行组织和管理。存储管理组件110可以对I/O操作进行处理,以便将数据写入到相应的物理盘或者从相应的物理盘中读取数据。响应于存储系统的初始化、扩展、故障、更新等情况,存储管理组件110可以相应地创建、删除、修改其所维护的与存储设备相对应的对象,例如RAID组、或者在映射的RAID架构下的磁盘扩展池对象、虚拟盘对象等等。
密钥管理服务组件120是用于进行密钥管理的服务模块。密钥模块服务组件120可以响应于存储管理组件110的加密密钥请求来创建、删除或者更新第一加密密钥。在密钥管理服务组件120中维护有用于该存储系统的第二加密密钥,以用于为每一个创建的第一加密密钥进行加密。
加密硬件单元130被配置为用于对将写入存储设备的数据进行加密并对从存储设备读取的数据进行解密。加密硬件单元130被配置具有用于对经加密的第一加密密钥进行解密的第二加密密钥。当将经加密的第一加密密钥注册到加密硬件单元130中时,加密硬件单元130可以使用第二加密密钥对经加密的第一加密密钥进行解密,以得到第一加密密钥,进而在发生I/O操作时使用第一加密密钥对I/O数据加密和解密。
存储介质140用于存储对应于各个物理存储设备的相应的经加密的第一加密密钥。通常,存储介质140可以是存储系统的系统盘中的特定存储区域,专用于对对应于各个存储设备的各个经加密的第一加密密钥进行存储。由于系统盘通常空间有限,因此存储介质140的存储空间大小也是受限的。在规划加密密钥的管理方案时需要考虑对于存空间的有效利用,因此需要合理设置存储的密钥索引和格式,以优化对于存储介质140利用。这一点结合后文的实施例的说明将会更加清楚。
根据本公开的各个实施例,可以通过存储管理组件110发起加密密钥请求来向密钥管理服务组件120请求相应的加密密钥或者对已有的加密密钥进行处理。为了确保管理加密密钥期间的安全性,密钥管理服务组件120仅将经加密的第一加密密钥提供给存储管理组件110,而不会暴露真正的第一加密密钥。而加密硬件单元130则由于被配置有用于加密第一加密密钥的第二加密密钥,因此可以对经加密的第一加密密钥进行解密,由此获得第一加密密钥,从而能够利用相应的第一加密密钥来对I/O操作所针对的数据进行加密或解密。
以下将参照图2-图5详细描述根据本公开实施例的管理加密密钥的方案。为了方便描述,将参照图1所示实施例中架构100给出对于方法、流程、配置、数据结构等的具体说明。这些实施例或者实现可以独立实现,也可以被结合到一个方案中。而且本领域的技术人员在实现一个具体存储设备的加密密钥管理方案时,有能力根据需要选择对于以下描述的方案中特征、特征组合进行取舍。
图2示出了根据本公开的一个实施例的用于在存储系统中管理加密密钥的方法200的流程图。
如图2所示,在步骤210,从存储管理组件110向密钥管理服务组件120发送加密密钥请求。其中,该加密密钥请求可以响应于各种触发事件而发送。例如,当存储系统初始化时,存储管理组件110需要为存储系统中所有的存储设备请求对应的第一加密密钥。又如,当存储系统中某个存储设备损坏或者被替换,相应地存储管理组件110也需要发起加密密钥请求,以便能对该存储设备对应的第一加密密钥进行相应的更新。这里仅示例性给出能够触发加密密钥请求的事件类型。本领域的技术人员理解,这些举例的事件并非是穷举性的,实际上可以根据具体情形和需求定义加密密钥请求的触发事件。
在步骤220,基于加密密钥请求,通过密钥管理服务组件120获取加被密钥管理服务组件120加密过的第一加密密钥。如上文所述,取决于触发加密密钥请求的各种事件,加密密钥请求可以被分为多种不同的类型。例如,加密密钥请求的类型包括以下各项的一种或多种:创建加密密钥请求、取回加密密钥请求、更新加密密钥请求、删除加密密钥请求。
在一个实施中,响应于存储管理组件110所发送的创建加密密钥请求,密钥管理服务组件120可以创建与该创建加密密钥请求对应的经加密的第一加密密钥。并且密钥管理服务组件120将经加密的第一加密密钥存储到存储系统的系统盘的指定存储区域中,例如,图1所示的存储介质140。
在一个实施中,响应于存储管理组件110所发送的取回加密密钥请求,密钥管理服务组件120可以从诸如存储介质140的、存储系统的系统盘的指定存储区域中取回与该取回加密密钥请求对应的经加密的第一加密密钥。
在一个实施中,响应于存储管理组件110所发送的更新加密密钥请求,密钥管理服务组件120可以创建与更新加密密钥请求对应的新的加密过的加密密钥。密钥管理服务组件120还可以从诸如存储介质140的、存储系统的系统盘的指定区域中删除与更新加密密钥请求对应的待更新的经加密的第一加密密钥。并且,密钥管理服务组件120可以向诸如存储介质140的、存储系统的系统盘的指定存储区域中存储创建的所述新的加密过的加密密钥。应该理解,密钥管理服务组件120响应于更新加密密钥请求所执行的上述操作,不一定按照上文描述的顺序进行,也可以以其他任何适当的顺序进行。
在一个实现中,响应于存储管理组件110所发送的删除加密密钥的请求,密钥管理服务组件120可以从诸如存储介质140的、存储系统的系统盘的指定区域中删除与所述删除加密密钥请求对应的经加密的第一加密密钥。
以上虽然参照一些实现描述了加密密钥请求的类型以及对其的处理的示例,但是还应该理解到,本领域的技术人员还可以定义其所需的其他加密密钥请求类型,并相应地定义对于该类型的请求如何进行处理的处理流程。
在步骤230,密钥管理服务组件120向存储管理组件110提供所获取的经加密的第一加密密钥。在一个实施中,密钥管理服务组件120可以将经加密的第一加密密钥写入到存储管理组件110的高速缓存中维护的加密密钥表中。
由此,在步骤240,由存储管理组件110维护经加密的第一加密密钥和存储设备之间的对应关系。
在步骤250,根据经加密的第一加密密钥和存储设备之间的对应关系,由存储管理组件110向加密硬件单元130注册与所述存储设备相对应的经加密的第一加密密钥,以便加密硬件单元130能够对经加密的第一加密密钥进行解密,获得与该存储设备相对应的第一加密密钥。
当存储管理组件110确定需要对存储设备进行输入输出操作请求时,加密硬件单元130能够使用与该存储设备对应的第一加密密钥对所述输入输出操作请求对应的数据进行加密或解密。在一种实现中,在向加密硬件单元130针对某一存储设备的第一加密密钥注册成功后,存储管理组件110可以获得密钥句柄。该密钥句柄与加密硬件单元130所使用的第一加密密钥一一对应。通过在处理I/O请求处理过程中携带密钥句柄,可以使得加密硬件单元130能够利用加密句柄识别出对应的第一加密密钥,由此利用该识别的第一加密密钥对I/O请求的数据进行加密或解密。
取决于存储设备的不同逻辑结构,根据本公开的加密密钥管理、存储可以具有不同的密钥索引方式和密钥记录。
在一个实现中,存储系统可以采用传统的RAID架构。可以利用多个物理盘来创建传统的RAID。每个物理盘之对应于一个RAID。当创建加密的传统RAID时,需要为每个RAID组中的每个物理盘获得一个第一加密密钥,并且需要将该第一加密密钥注册到加密硬件单元130。在这种情况下,与经加密的第一加密密钥相应的存储设备可以是与经加密的第一加密密钥对应的RAID组中的物理盘。
图3示出了根据本公开的一个实施例的被加密的加密密钥的存储结构。该存储结构适用于采用传统RAID架构的存储系统。
在用于存储经加密的第一加密密钥的存储介质140中可以至少以RAID组的标识信息作为索引来存储经加密的第一加密密钥。具体地,如图3所示,每个RAID组具有一个加密密钥记录存在存储介质140中。每个加密密钥记录由(“记录_名称”,“值”)来指示。加密密钥的“记录_名称”可以被定义为以RAID组的标识来识别。RAID组的标识可以包括RAID组编号、RAID对象标识等标识信息。密钥管理服务组件120可以使用加密密钥的“记录_名称”来获取、创建、删除、更新经加密的第一加密密钥。在一个RAID组中最多允许16块物理盘。因此,在图3所示示例中,每个加密密钥记录的值保留了17个字段,其中16个字段的每一个用于记录对应于该RAID组的物理盘的经加密的第一加密密钥。例如,对于RAID组2的加密密钥记录,记录名称可以被定义为“RAID_2”。若在RAID组2中使用了第0号、第3号、第8号物理盘,则在加密密钥记录的对应于第0号、第3号、第8号物理盘的字段中记录相应物理盘的经加密的第一加密密钥的信息。最后一个字段可以保留。
举例而言,存储管理组件110可以在取回加密密钥请求中携带RAID组的编号。响应于该取回加密密钥请求,密钥管理服务组件120根据取回加密密钥请求中的RAID组编号,从存储介质140中获取对应的加密密钥记录,并返回给存储管理组件110。
在上面的例子中,RAID组的标识是RAID组的编号。可以理解,RAID组的标识还可以替代地或者附加地使用RAID对象标识。
可以看到,由于在传统RAID架构下,每个RAID组中的物理盘的数目收到最大值(例如16)的限制,因此按照图3所示的方式构造加密密钥记录,不会占用过的存储介质140的存储空间。
但是,这样的加密密钥记录并不适用于使用磁盘扩展池的映射的RAID架构。这是因为,磁盘扩展池对于物理盘的配置更加灵活,允许跨磁盘扩展池对单个物理盘的分段进行的分配。每个磁盘扩展池使用的物理盘最多可达1000块。最通常的情况,每个磁盘扩展池也会使用10-100块物理盘。由于加密密钥记录需要被保持在存储介质140中,必须为用于磁盘扩展池扩展的每个加密密钥预留足够的存储空间。如果仅通过磁盘扩展池作为索引来管理加密密钥,并且为每个磁盘扩展池定义一个对应的加密密钥记录,则需要为每个磁盘扩展池的加密密钥保留对应于1000块物理盘的字段来记录对应的经加密的第一加密密钥。显然,系统盘中存储空间有限,无法提供足够的存储空间。
本公开的一实施例针对使用磁盘扩展池的映射的RAID架构提供用户管理加密密钥的方案。图4示出了根据本公开一个实施例的映射RAID架构配置。针对映射的RAID架构,存储管理组件110可以被配置为创建一个或多个磁盘扩展池对象,并且为每个磁盘扩展池对象关联配置多个虚拟盘对象,每个虚拟盘对象被映射到一个物理盘。如图4所示,标号410表示一个磁盘扩展池对象,标号420-1至420-6分别表示与磁盘扩展池对象410关联的虚拟盘对象。为了能够区分虚拟盘对象所映射的物理盘,在每个虚拟盘对象的配置信息中至少记录有关其所属的磁盘映射池编号的信息,以及该虚拟物理盘在该磁盘映射池中的盘索引。例如,可以使用如图4所示的数据结构来配置:高16比特表示虚拟盘对象在磁盘扩展池中的盘索引,低16比特表示该虚拟盘所属的磁盘扩展池的编号。
每当创建磁盘扩展池对象,磁盘扩展池对象与虚拟盘对象通过“边”相连接。每个“边”由客户机标识和服务器标识所定义,其中客户机标识可以被设置为磁盘扩展池对象的对象标识,而服务器标识可以被设置为虚拟盘对象的对象标识。“边”的信息可以被保存在逻辑单元号数据库中。每当启动存储系统,存储管理组件110将以如上所述的方式创建磁盘扩展池对象和虚拟盘对象。
因此,根据本公开的一个实施例,经加密的第一加密密钥相对应的存储设备可以包括与经加密的第一加密密钥对应的磁盘扩展池中的虚拟盘对象所映射的物理盘。
图5示出了根据本公开的一个实施例的被加密的加密密钥的存储结构。该存储结构适用于采用映射的RAID架构的存储系统。
在用于存储第一加密密钥的存储介质140中可以至少以磁盘扩展池和虚拟盘对象的标识信息作为索引来存储经加密的第一加密密钥。存储管理组件110可以被配置为在加密密钥请求中至少携带与该请求相关联的磁盘扩展池和虚拟盘对象的标识信息,从而使得密钥管理服务组件120能够从存储介质140中获取到所请求的经加密的第一加密密钥的加密密钥记录。如图5所示,存储管理组件110可以在其高速缓存中维护加密密钥映射表510,以记录每个磁盘扩展池中的虚拟盘对象与所获取的经加密的第一加密密钥之间的对应关系。每个加密密钥记录由(“记录_名称”,“值”)来指示。加密密钥的“记录_名称”可以被定义为以磁盘扩展池和虚拟盘对象的标识来识别。磁盘扩展池的标识可以包括磁盘扩展池的编号、磁盘扩展池对象标识等等。虚拟盘对象的标识例如可以包括虚拟盘对象的对象标识。密钥管理服务组件120可以使用加密密钥的“记录_名称”来获取、创建、删除、更新经加密的第一加密密钥。
作为更为详细的加密密钥记录格式的说明,图6示出的一种加密密钥格式的示例。
如图6所示,在该格式中“记录名称”字段利用磁盘扩展池的编号以及虚拟盘对象的对象标识来识别。“状态”字段用于标识当前记录的加密密钥值是否有效;“虚拟盘对象的对象标识”字段用于记录该加密密钥记录所对应的虚拟盘;“磁盘扩展池”字段用于记录该加密密钥记录所对应的虚拟盘所属的磁盘扩展池的编号或者磁盘扩展池对象的对象标识;“加密密钥信息”字段用于记录所获取的经加密的第一加密密钥的信息。
举例而言,存储管理组件110可以在取回加密密钥请求中携带磁盘扩展池的编号和虚拟盘对象的对象标识。响应于该取回加密密钥请求,密钥管理服务组件120根据取回加密密钥请求中的磁盘扩展池的编号和虚拟盘对象的对象标识,从存储介质140中获取对应的加密密钥记录,并返回给存储管理组件110。在所述存储管理组件110中可以通过例如图4所示的加密密钥表的方式来维护经加密的第一加密密钥和磁盘扩展池中的所述虚拟盘对象之间的对应关系。由于存储管理组件110已经建立了各个虚拟盘与物理盘之间的映射,因此存储管理组件110可以根据经加密的第一加密密钥和磁盘扩展池中的所述虚拟盘对象之间的对应关系,向加密硬件单元130注册与虚拟盘对应的物理盘相对应的加密过的加密密钥。由此,加密硬件单元130能够对所述加密过的加密密钥进行解密,以获得与所述存储设备相对应的加密密钥。当存储管理组件110确定对所述存储设备的输入输出操作请求时,加密硬件单元130能够使用加密密钥对所述输入输出操作请求对应的数据进行加密或解密。
图7示出了可以用来实施本公开的实施例的示例设备700的示意性框图。设备700可以用于实现本公开存储设备的一个或多个控制设备。如图所示,设备700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的计算机程序指令或者从存储单元708加载到随机访问存储器(RAM)703中的计算机程序指令,来执行各种适当的动作和处理。在RAM 703中,还可存储设备700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM703通过总线704彼此相连。输入/输出(I/O)接口605也连接至总线704。
设备700中的多个部件连接至I/O接口705,包括:输入单元706,例如键盘、鼠标等;输出单元707,例如各种类型的显示器、扬声器等;存储单元708,例如磁盘、光盘等;以及通信单元709,例如网卡、调制解调器、无线通信收发机等。通信单元709允许设备700通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理单元701执行上文所描述的各个方法和处理,例如过程200。例如,在一些实施例中,过程200可被实现为计算机软件程序或计算机程序产品,其被有形地包含于机器可读介质,例如存储单元708。在一些实施例中,计算机程序的部分或者全部可以经由ROM 702和/或通信单元709而被载入和/或安装到设备700上。当计算机程序加载到RAM 703并由CPU701执行时,可以执行上文描述的过程200的一个或多个步骤。备选地,在其他实施例中,CPU701可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行过程200。
本领域的技术人员应当理解,上述本公开的方法的各个步骤可以通过通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路组件,或者将它们中的多个组件或步骤制作成单个集成电路组件来实现。这样,本公开不限制于任何特定的硬件和软件结合。
应当理解,尽管在上文的详细描述中提及了设备的若干装置或子装置,但是这种划分仅仅是示例性而非强制性的。实际上,根据本公开的实施例,上文描述的两个或更多装置的特征和功能可以在一个装置中具体化。反之,上文描述的一个装置的特征和功能可以进一步划分为由多个装置来具体化。
以上所述仅为本公开的可选实施例,并不用于限制本公开,对于本领域的技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原则之内,所作的任何修改、等效替换、改进等,均应包含在本公开的保护范围之内。
Claims (21)
1.一种用于在存储系统中管理加密密钥的方法,包括:
从存储管理组件向密钥管理服务组件发送加密密钥请求;
基于所述加密密钥请求,通过所述密钥管理服务组件获取由所述密钥管理服务组件加密过的加密密钥;
向所述存储管理组件提供所获取的加密过的加密密钥;
由所述存储管理组件维护所述加密过的加密密钥和存储设备之间的对应关系;以及
根据所述对应关系,向加密硬件单元注册与所述存储设备相对应的加密过的加密密钥,以便所述加密硬件单元能够对所述加密过的加密密钥进行解密,以获得与所述存储设备相对应的加密密钥,
其中所述加密过的加密密钥相对应的存储设备包括与所述加密过的加密密钥对应的磁盘扩展池中的虚拟盘对象所映射的物理盘,
其中所述加密密钥请求中至少携带与该请求相关联的所述磁盘扩展池和所述虚拟盘对象的标识信息,并且
其中基于所述加密密钥请求获取所述加密过的加密密钥包括从映射表访问所述加密过的加密密钥,所述映射表至少通过所述磁盘扩展池和所述虚拟盘对象的所述标识信息被编索引。
2.根据权利要求1所述的方法,其中当所述存储管理组件确定对所述存储设备的输入输出操作请求时,所述加密硬件单元能够使用所述加密密钥对所述输入输出操作请求对应的数据进行加密或解密。
3.根据权利要求1所述方法,其中所述加密密钥请求的类型包括以下各项的一种或多种:创建加密密钥请求、取回加密密钥请求、更新加密密钥请求、删除加密密钥请求。
4.根据权利要求3所述的方法,其中基于所述加密密钥请求、通过所述密钥管理服务组件获取加密过的加密密钥包括:
响应于所述创建加密密钥请求,通过所述密钥管理服务组件创建与所述创建加密密钥请求对应的加密过的加密密钥;以及
在所述存储系统的系统盘的指定存储区域中存储创建的所述加密过的加密密钥。
5.根据权利要求3所述的方法,其中基于所述加密密钥请求、通过所述密钥管理服务组件获取加密过的加密密钥包括:
响应于所述取回加密密钥请求,通过所述密钥管理服务组件从所述存储系统的系统盘的指定存储区域中取回与所述取回加密密钥请求对应的加密过的加密密钥。
6.根据权利要求3所述的方法,其中基于所述加密密钥请求、通过所述密钥管理服务组件获取加密过的加密密钥包括:
响应于所述更新加密密钥请求,执行:
通过所述密钥管理服务组件创建与所述更新加密密钥请求对应的新的加密过的加密密钥;
从所述存储系统的系统盘的指定存储区域中删除与所述更新加密密钥请求对应的待更新的加密过的加密密钥;以及
在所述存储系统的系统盘的所述指定存储区域中存储创建的所述新的加密过的加密密钥。
7.根据权利要求3所述的方法,还包括:
响应于所述删除加密密钥的请求,从所述存储系统的系统盘的指定区域中删除与所述删除加密密钥请求对应的加密过的加密密钥。
8.根据权利要求1所述的方法,其中所述磁盘扩展池和所述虚拟盘对象的标识信息包括:所述磁盘扩展池的编号、所述虚拟盘对象的标识。
9.根据权利要求1所述的方法,其中在所述存储管理组件中维护所述加密过的加密密钥和存储设备之间的对应关系包括:
在所述存储管理组件中维护所述加密过的加密密钥和所述磁盘扩展池中的所述虚拟盘对象之间的对应关系。
10.根据权利要求1所述的方法,还包括使用具有第一组比特和第二组比特的数据结构配置所述虚拟盘对象,所述第一组比特表示所述虚拟盘对象在所述磁盘扩展池中的盘索引,所述第二组比特表示所述虚拟盘对象所属于的所述磁盘扩展池的编号。
11.一种用于在存储系统中管理加密密钥的装置,包括:
处理器;以及
与所述处理器耦合的存储器,所述存储器具有存储于其中的指令,所述指令在被处理器执行时使所述装置执行动作,所述动作包括:
从存储管理组件向密钥管理服务组件发送加密密钥请求;
基于所述加密密钥请求,通过所述密钥管理服务组件获取加被所述密钥管理服务组件加密过的加密密钥;
向所述存储管理组件提供所获取的加密过的加密密钥;
由所述存储管理组件中维护所述加密过的加密密钥和存储设备之间的对应关系;以及
根据所述对应关系,向加密硬件单元注册与所述存储设备相对应的加密过的加密密钥,以便所述加密硬件单元能够对所述加密过的加密密钥进行解密已获得与所述存储设备相对应的加密密钥,
其中所述加密过的加密密钥相对应的存储设备包括与所述加密过的加密密钥对应的磁盘扩展池中的虚拟盘对象所映射的物理盘,
其中所述加密密钥请求中至少携带与该请求相关联的所述磁盘扩展池和所述虚拟盘对象的标识信息,并且
其中基于所述加密密钥请求获取所述加密过的加密密钥包括从映射表访问所述加密过的加密密钥,所述映射表至少通过所述磁盘扩展池和所述虚拟盘对象的所述标识信息被编索引。
12.根据权利要求11所述装置,其中当所述存储管理组件确定对所述存储设备的输入输出操作请求时,所述加密硬件单元能够使用所述加密密钥对所述输入输出操作请求对应的数据进行加密或解密。
13.根据权利要求11所述装置,其中所述加密密钥请求的类型包括以下各项的一种或多种:创建加密密钥请求、取回加密密钥请求、更新加密密钥请求、删除加密密钥请求。
14.根据权利要求13所述的装置,其中基于所述加密密钥请求、通过所述密钥管理服务组件获取加密过的加密密钥包括:
响应于所述创建加密密钥请求,通过所述密钥管理服务组件创建与所述创建加密密钥请求对应的加密过的加密密钥;以及
在所述存储系统的系统盘的指定存储区域中存储创建的所述加密过的加密密钥。
15.根据权利要求13所述的装置,其中基于所述加密密钥请求、通过所述密钥管理服务组件获取加密过的加密密钥包括:
响应于所述取回加密密钥请求,通过所述密钥管理服务组件从所述存储系统的系统盘的指定存储区域中取回与所述取回加密密钥请求对应的加密过的加密密钥。
16.根据权利要求13所述的装置,其中基于所述加密密钥请求、通过所述密钥管理服务组件获取加密过的加密密钥包括:
响应于所述更新加密密钥请求,执行:
通过所述密钥管理服务组件创建与所述更新加密密钥请求对应的新的加密过的加密密钥;
从所述存储系统的系统盘的指定存储区域中删除与所述更新加密密钥请求对应的待更新的加密过的加密密钥;以及
在所述存储系统的系统盘的所述指定存储区域中存储创建的所述新的加密过的加密密钥。
17.根据权利要求13所述的装置,其中所述指令在被处理器执行时使所述装置执行的动作还包括:
响应于所述删除加密密钥的请求,从所述存储系统的系统盘的指定区域中删除与所述删除加密密钥请求对应的加密过的加密密钥。
18.根据权利要求13所述的装置,其中所述磁盘扩展池和所述虚拟盘对象的标识信息包括:所述磁盘扩展池的编号、所述虚拟盘对象的标识。
19.根据权利要求13所述的装置,其中在所述存储管理组件中维护所述加密过的加密密钥和存储设备之间的对应关系包括:
在所述存储管理组件中维护所述加密过的加密密钥和所述磁盘扩展池中的所述虚拟盘对象之间的对应关系。
20.一种非瞬态计算机可读介质,所述非瞬态计算机可读介质存储用于在存储系统中管理加密密钥的指令集;所述指令集在由所述存储系统的计算机化电路执行时,使所述计算机化电路执行方法,所述方法包括:
从存储管理组件向密钥管理服务组件发送加密密钥请求;
基于所述加密密钥请求,通过所述密钥管理服务组件获取由所述密钥管理服务组件加密过的加密密钥;
向所述存储管理组件提供所获取的加密过的加密密钥;
由所述存储管理组件维护所述加密过的加密密钥和存储设备之间的对应关系;以及
根据所述对应关系,向加密硬件单元注册与所述存储设备相对应的加密过的加密密钥,以便所述加密硬件单元能够对所述加密过的加密密钥进行解密,以获得与所述存储设备相对应的加密密钥,
其中所述加密过的加密密钥相对应的存储设备包括与所述加密过的加密密钥对应的磁盘扩展池中的虚拟盘对象所映射的物理盘,
其中所述加密密钥请求中至少携带与该请求相关联的所述磁盘扩展池和所述虚拟盘对象的标识信息,并且
其中基于所述加密密钥请求获取所述加密过的加密密钥包括从映射表访问所述加密过的加密密钥,所述映射表至少通过所述磁盘扩展池和所述虚拟盘对象的所述标识信息被编索引。
21.根据权利要求20所述的非瞬态计算机可读介质,其中所述虚拟盘对象所属于的所述磁盘扩展池是包括多个虚拟盘对象的池,所述多个虚拟盘对象实现映射的RAID架构。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810404847.4A CN110414245B (zh) | 2018-04-28 | 2018-04-28 | 用于在存储系统中管理加密密钥的方法、装置和计算机程序产品 |
| US16/220,278 US10972266B2 (en) | 2018-04-28 | 2018-12-14 | Method, apparatus and computer program product for managing encryption key in a storage system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810404847.4A CN110414245B (zh) | 2018-04-28 | 2018-04-28 | 用于在存储系统中管理加密密钥的方法、装置和计算机程序产品 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110414245A CN110414245A (zh) | 2019-11-05 |
| CN110414245B true CN110414245B (zh) | 2023-09-22 |
Family
ID=68357459
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810404847.4A Active CN110414245B (zh) | 2018-04-28 | 2018-04-28 | 用于在存储系统中管理加密密钥的方法、装置和计算机程序产品 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US10972266B2 (zh) |
| CN (1) | CN110414245B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113315626B (zh) * | 2020-02-27 | 2023-01-10 | 阿里巴巴集团控股有限公司 | 一种通信方法、密钥管理方法、设备、系统及存储介质 |
| CN113300833B (zh) * | 2020-06-09 | 2023-04-18 | 阿里巴巴集团控股有限公司 | 密钥管理方法及装置 |
| CN112235102B (zh) * | 2020-09-29 | 2023-07-21 | 北京智芯微电子科技有限公司 | 混合式密钥存储和管理方法及存储设备 |
| CN114861207A (zh) * | 2022-05-12 | 2022-08-05 | 北京百度网讯科技有限公司 | 数据处理方法、装置、电子设备和计算机可读存储介质 |
Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005149101A (ja) * | 2003-11-14 | 2005-06-09 | Nippon Hoso Kyokai <Nhk> | 記録再生装置及び記録再生方法 |
| JP2006018343A (ja) * | 2004-06-30 | 2006-01-19 | Sony Corp | 情報処理装置、ネットワークシステム、および情報処理装置の機能拡張方法 |
| CN1819649A (zh) * | 2006-02-16 | 2006-08-16 | 清华大学深圳研究生院 | 分布式非对称视频会议安全系统的实现方法 |
| US8010810B1 (en) * | 2007-12-27 | 2011-08-30 | Emc Corporation | Techniques for protecting data using an electronic encryption endpoint device |
| CN102171704A (zh) * | 2008-10-03 | 2011-08-31 | 微软公司 | 用硬件加密存储设备进行外部加密和恢复管理 |
| CN102222049A (zh) * | 2010-04-14 | 2011-10-19 | 微软公司 | 自加密存储设备的可扩展管理 |
| US8601473B1 (en) * | 2011-08-10 | 2013-12-03 | Nutanix, Inc. | Architecture for managing I/O and storage for a virtualization environment |
| CN104040933A (zh) * | 2011-09-30 | 2014-09-10 | 电子湾有限公司 | 源自客户端的信息的差异客户端侧加密 |
| CN104782075A (zh) * | 2012-09-17 | 2015-07-15 | 诺基亚技术有限公司 | Mbms服务器之间的移动的安全性 |
| CN104796783A (zh) * | 2015-05-12 | 2015-07-22 | 湖北省广播电视信息网络武汉有限公司 | 一种基于双向机顶盒的账单推送方法、装置和系统 |
| CN104995633A (zh) * | 2013-04-05 | 2015-10-21 | 国际商业机器公司 | 利用下游解密器进行端到端加密情况下实现存储效率 |
| CN105574432A (zh) * | 2015-12-11 | 2016-05-11 | 航天恒星科技有限公司 | 一种虚拟磁盘的秘钥处理方法及系统 |
| CN105719223A (zh) * | 2014-12-05 | 2016-06-29 | 北大方正集团有限公司 | 一种批量图像加密方法、解密方法及系统 |
| CN106384025A (zh) * | 2016-11-29 | 2017-02-08 | 首影科技(深圳)有限公司 | 显示系统及内容安全发行及显示方法 |
| CN106462439A (zh) * | 2014-05-05 | 2017-02-22 | 微软技术许可有限责任公司 | 以持续所有者访问对加密虚拟机的安全传输 |
| CN106529350A (zh) * | 2016-11-11 | 2017-03-22 | 郑州云海信息技术有限公司 | 一种安全存储系统 |
| CN106712943A (zh) * | 2017-01-20 | 2017-05-24 | 郑州云海信息技术有限公司 | 一种安全存储系统 |
| CN107209983A (zh) * | 2014-07-30 | 2017-09-26 | 总锁有限责任公司 | 用于认证的无线密钥管理 |
| CN107689943A (zh) * | 2016-08-04 | 2018-02-13 | 深圳市深信服电子科技有限公司 | 一种数据加密的方法、用户终端、服务器及系统 |
| CN107770276A (zh) * | 2017-10-26 | 2018-03-06 | 广州百兴网络科技有限公司 | 一种实现用户数据独立管理与更新的网络系统和方法 |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4643427B2 (ja) * | 2005-12-08 | 2011-03-02 | 株式会社日立製作所 | 暗号化機能内蔵ストレージシステム |
| US8261068B1 (en) | 2008-09-30 | 2012-09-04 | Emc Corporation | Systems and methods for selective encryption of operating system metadata for host-based encryption of data at rest on a logical unit |
| US8416954B1 (en) | 2008-09-30 | 2013-04-09 | Emc Corporation | Systems and methods for accessing storage or network based replicas of encrypted volumes with no additional key management |
| US7660959B2 (en) * | 2006-09-28 | 2010-02-09 | International Business Machines Corporation | Managing encryption for volumes in storage pools |
| US8645715B2 (en) * | 2007-09-11 | 2014-02-04 | International Business Machines Corporation | Configuring host settings to specify an encryption setting and a key label referencing a key encryption key to use to encrypt an encryption key provided to a storage drive to use to encrypt data from the host |
| US8170213B1 (en) * | 2007-12-27 | 2012-05-01 | Emc Corporation | Methodology for coordinating centralized key management and encryption keys cached through proxied elements |
| US8588425B1 (en) | 2007-12-27 | 2013-11-19 | Emc Corporation | Encryption key recovery in the event of storage management failure |
| US8190921B1 (en) | 2007-12-27 | 2012-05-29 | Emc Corporation | Methodology for vaulting data encryption keys with encrypted storage |
| US8799681B1 (en) | 2007-12-27 | 2014-08-05 | Emc Corporation | Redundant array of encrypting disks |
| US8498417B1 (en) | 2007-12-27 | 2013-07-30 | Emc Corporation | Automation of coordination of encryption keys in a SAN based environment where an encryption engine, device management, and key management are not co-located |
| US9830278B1 (en) | 2008-03-06 | 2017-11-28 | EMC IP Holding Company LLC | Tracking replica data using key management |
| US20100125730A1 (en) * | 2008-11-17 | 2010-05-20 | David Dodgson | Block-level data storage security system |
| US8166314B1 (en) | 2008-12-30 | 2012-04-24 | Emc Corporation | Selective I/O to logical unit when encrypted, but key is not available or when encryption status is unknown |
| US9081771B1 (en) | 2010-12-22 | 2015-07-14 | Emc Corporation | Encrypting in deduplication systems |
| US9712495B2 (en) * | 2011-05-03 | 2017-07-18 | International Business Machines Corporation | Methods and systems for selective encryption and secured extent quota management for storage servers in cloud computing |
| US8863124B1 (en) * | 2011-08-10 | 2014-10-14 | Nutanix, Inc. | Architecture for managing I/O and storage for a virtualization environment |
| JP5786611B2 (ja) * | 2011-09-30 | 2015-09-30 | 富士通株式会社 | ストレージ装置およびストレージシステム |
| US8700898B1 (en) * | 2012-10-02 | 2014-04-15 | Ca, Inc. | System and method for multi-layered sensitive data protection in a virtual computing environment |
| US20160034721A1 (en) * | 2013-03-11 | 2016-02-04 | Hitachi, Ltd. | Storage system and storage system control method |
| US9288042B1 (en) | 2013-03-14 | 2016-03-15 | Emc Corporation | Securely and redundantly storing encryption credentials system and method |
| US9043613B2 (en) * | 2013-06-28 | 2015-05-26 | International Business Machines Corporation | Multiple volume encryption of storage devices using self encrypting drive (SED) |
| US10615967B2 (en) * | 2014-03-20 | 2020-04-07 | Microsoft Technology Licensing, Llc | Rapid data protection for storage devices |
| US9342465B1 (en) | 2014-03-31 | 2016-05-17 | Emc Corporation | Encrypting data in a flash-based contents-addressable block device |
| US10013364B1 (en) | 2015-06-26 | 2018-07-03 | EMC IP Holding Company LLC | Securing data using per tenant encryption keys |
| US10007809B1 (en) | 2015-08-26 | 2018-06-26 | EMC IP Holding Company LLC | Fine-grained self-shredding data in a secure communication ecosystem |
| US9774586B1 (en) | 2015-08-31 | 2017-09-26 | EMC IP Holding Company LLC | Dynamic authorization of users in a multi-tenant environment using tenant authorization profiles |
| US9735962B1 (en) | 2015-09-30 | 2017-08-15 | EMC IP Holding Company LLC | Three layer key wrapping for securing encryption keys in a data storage system |
| US10063372B1 (en) | 2016-03-25 | 2018-08-28 | EMC IP Holding Company LLC | Generating pre-encrypted keys |
| US10061717B1 (en) | 2016-03-25 | 2018-08-28 | EMC IP Holding Company LLC | Storing multiple encryption keys to protect data at rest |
| US10205594B1 (en) | 2016-03-30 | 2019-02-12 | EMC IP Holding Company LLC | Crypto-erasure resilient to network outage |
| US10110383B1 (en) | 2016-06-30 | 2018-10-23 | EMC IP Holding Company LLC | Managing embedded and remote encryption keys on data storage systems |
| US10678953B1 (en) * | 2017-04-26 | 2020-06-09 | Seagate Technology Llc | Self-contained key management device |
-
2018
- 2018-04-28 CN CN201810404847.4A patent/CN110414245B/zh active Active
- 2018-12-14 US US16/220,278 patent/US10972266B2/en active Active
Patent Citations (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005149101A (ja) * | 2003-11-14 | 2005-06-09 | Nippon Hoso Kyokai <Nhk> | 記録再生装置及び記録再生方法 |
| JP2006018343A (ja) * | 2004-06-30 | 2006-01-19 | Sony Corp | 情報処理装置、ネットワークシステム、および情報処理装置の機能拡張方法 |
| CN1819649A (zh) * | 2006-02-16 | 2006-08-16 | 清华大学深圳研究生院 | 分布式非对称视频会议安全系统的实现方法 |
| US8010810B1 (en) * | 2007-12-27 | 2011-08-30 | Emc Corporation | Techniques for protecting data using an electronic encryption endpoint device |
| CN102171704A (zh) * | 2008-10-03 | 2011-08-31 | 微软公司 | 用硬件加密存储设备进行外部加密和恢复管理 |
| CN102222049A (zh) * | 2010-04-14 | 2011-10-19 | 微软公司 | 自加密存储设备的可扩展管理 |
| US8601473B1 (en) * | 2011-08-10 | 2013-12-03 | Nutanix, Inc. | Architecture for managing I/O and storage for a virtualization environment |
| CN104040933A (zh) * | 2011-09-30 | 2014-09-10 | 电子湾有限公司 | 源自客户端的信息的差异客户端侧加密 |
| CN107196938A (zh) * | 2011-09-30 | 2017-09-22 | 贝宝公司 | 源自客户端的信息的差异客户端侧加密 |
| CN104782075A (zh) * | 2012-09-17 | 2015-07-15 | 诺基亚技术有限公司 | Mbms服务器之间的移动的安全性 |
| CN104995633A (zh) * | 2013-04-05 | 2015-10-21 | 国际商业机器公司 | 利用下游解密器进行端到端加密情况下实现存储效率 |
| CN106462439A (zh) * | 2014-05-05 | 2017-02-22 | 微软技术许可有限责任公司 | 以持续所有者访问对加密虚拟机的安全传输 |
| CN107209983A (zh) * | 2014-07-30 | 2017-09-26 | 总锁有限责任公司 | 用于认证的无线密钥管理 |
| CN105719223A (zh) * | 2014-12-05 | 2016-06-29 | 北大方正集团有限公司 | 一种批量图像加密方法、解密方法及系统 |
| CN104796783A (zh) * | 2015-05-12 | 2015-07-22 | 湖北省广播电视信息网络武汉有限公司 | 一种基于双向机顶盒的账单推送方法、装置和系统 |
| CN105574432A (zh) * | 2015-12-11 | 2016-05-11 | 航天恒星科技有限公司 | 一种虚拟磁盘的秘钥处理方法及系统 |
| CN107689943A (zh) * | 2016-08-04 | 2018-02-13 | 深圳市深信服电子科技有限公司 | 一种数据加密的方法、用户终端、服务器及系统 |
| CN106529350A (zh) * | 2016-11-11 | 2017-03-22 | 郑州云海信息技术有限公司 | 一种安全存储系统 |
| CN106384025A (zh) * | 2016-11-29 | 2017-02-08 | 首影科技(深圳)有限公司 | 显示系统及内容安全发行及显示方法 |
| CN106712943A (zh) * | 2017-01-20 | 2017-05-24 | 郑州云海信息技术有限公司 | 一种安全存储系统 |
| CN107770276A (zh) * | 2017-10-26 | 2018-03-06 | 广州百兴网络科技有限公司 | 一种实现用户数据独立管理与更新的网络系统和方法 |
Non-Patent Citations (1)
| Title |
|---|
| 黄浩.基于数据存储的文档防扩散系统的设计与实现.《中国优秀硕士学位论文全文数据库信息科技辑》.2014,(第5期),I138-71. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110414245A (zh) | 2019-11-05 |
| US10972266B2 (en) | 2021-04-06 |
| US20200028678A1 (en) | 2020-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110414245B (zh) | 用于在存储系统中管理加密密钥的方法、装置和计算机程序产品 | |
| US10409990B2 (en) | Encryption and decryption method and apparatus in virtualization system, and system | |
| US9529735B2 (en) | Secure data encryption in shared storage using namespaces | |
| JP5640845B2 (ja) | ストレージシステム、ストレージ制御装置およびストレージ制御方法 | |
| US8170213B1 (en) | Methodology for coordinating centralized key management and encryption keys cached through proxied elements | |
| US7716496B2 (en) | Encryption/decryption management method in computer system having storage hierarchy | |
| US20170277898A1 (en) | Key management for secure memory address spaces | |
| CN102855452B (zh) | 基于加密组块的快速数据加密策略遵从 | |
| KR101379172B1 (ko) | 데이터 암호화 방법, 컴퓨터 판독 가능한 매체 및 저장 시스템 | |
| TWI405448B (zh) | 儲存系統中之資料加密 | |
| US8990588B2 (en) | Storage system, storage control apparatus, and storage control method | |
| CN112889054B (zh) | 多租户数据库管理系统中数据库加密的系统和方法 | |
| CN104252426A (zh) | 利用自加密驱动器加密盘驱动器上的数据的方法和系统 | |
| CN102945355A (zh) | 基于扇区映射的快速数据加密策略遵从 | |
| JP2006227839A (ja) | ストレージシステム、データ移動方法及び管理計算機 | |
| CN109725983B (zh) | 一种数据交换方法、装置、相关设备及系统 | |
| WO2019143472A1 (en) | Performance allocation among users for accessing non-volatile memory devices | |
| US11068606B2 (en) | Secured encrypted shared cloud storage | |
| KR20130107298A (ko) | 가상 머신을 이용한 공유 데이터 관리 | |
| US7949137B2 (en) | Virtual disk management methods | |
| US10296468B2 (en) | Storage system and cache control apparatus for storage system | |
| CN112199431B (zh) | 一种基于元数据进行数据共享的方法及数据共享系统 | |
| US20220123932A1 (en) | Data storage device encryption | |
| US9251382B2 (en) | Mapping encrypted and decrypted data via key management system | |
| US20180088846A1 (en) | Multi-user dynamic storage allocation and encryption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |