KR20220132557A - 컴퓨팅 환경에서 보안 키 교환 - Google Patents
컴퓨팅 환경에서 보안 키 교환 Download PDFInfo
- Publication number
- KR20220132557A KR20220132557A KR1020227027946A KR20227027946A KR20220132557A KR 20220132557 A KR20220132557 A KR 20220132557A KR 1020227027946 A KR1020227027946 A KR 1020227027946A KR 20227027946 A KR20227027946 A KR 20227027946A KR 20220132557 A KR20220132557 A KR 20220132557A
- Authority
- KR
- South Korea
- Prior art keywords
- node
- responder
- lkm
- initiator
- message
- Prior art date
Links
- 239000003999 initiator Substances 0.000 claims abstract description 151
- 230000004044 response Effects 0.000 claims abstract description 144
- 238000000034 method Methods 0.000 claims abstract description 121
- 238000004891 communication Methods 0.000 claims abstract description 56
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 55
- 238000012795 verification Methods 0.000 claims abstract description 32
- 238000012545 processing Methods 0.000 claims description 88
- 230000008569 process Effects 0.000 claims description 82
- 238000004590 computer program Methods 0.000 claims description 20
- 238000005192 partition Methods 0.000 claims description 19
- 230000009471 action Effects 0.000 claims description 4
- 230000006870 function Effects 0.000 description 32
- 238000010586 diagram Methods 0.000 description 31
- 239000000835 fiber Substances 0.000 description 22
- 238000003491 array Methods 0.000 description 11
- 238000012546 transfer Methods 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 8
- 150000003839 salts Chemical class 0.000 description 8
- 238000007726 management method Methods 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 7
- 230000000977 initiatory effect Effects 0.000 description 5
- 239000000463 material Substances 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 4
- 238000012163 sequencing technique Methods 0.000 description 4
- 230000003213 activating effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000009795 derivation Methods 0.000 description 3
- 238000010899 nucleation Methods 0.000 description 3
- 238000010200 validation analysis Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000036541 health Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 230000009172 bursting Effects 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/28—Timers or timing mechanisms used in protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
Abstract
컴퓨팅 환경에서 보안 키 교환(SECURE KEY EXCHANGE IN A COMPUTING ENVIRONMENT)
컴퓨터 구현 방법은 보안 통신을 설정하기 위해 응답자 노드 상의 응답자 채널로부터 개시자 노드 상의 개시자 채널에서 인증 응답 메시지를 수신하는 단계를 포함하고, 상기 수신하는 단계는 상기 개시자 노드 상에서 실행하는 로컬 키 관리자(LKM)에서 수행된다. 상기 개시자 노드와 상기 응답자 노드의 보안 연관에 기초하여 상태 체크가 수행된다. 상기 인증 응답 메시지의 검증이 수행된다. 상기 인증 응답 메시지로부터 선택된 암호화 알고리즘의 식별자를 추출된다. 상기 개시자 채널은 성공적인 상태 체크, 성공적인 검증 및 상기 선택된 암호화 알고리즘에 적어도 부분적으로 기초하여 응답자 채널과 통신하기 위해 요청한다.
컴퓨터 구현 방법은 보안 통신을 설정하기 위해 응답자 노드 상의 응답자 채널로부터 개시자 노드 상의 개시자 채널에서 인증 응답 메시지를 수신하는 단계를 포함하고, 상기 수신하는 단계는 상기 개시자 노드 상에서 실행하는 로컬 키 관리자(LKM)에서 수행된다. 상기 개시자 노드와 상기 응답자 노드의 보안 연관에 기초하여 상태 체크가 수행된다. 상기 인증 응답 메시지의 검증이 수행된다. 상기 인증 응답 메시지로부터 선택된 암호화 알고리즘의 식별자를 추출된다. 상기 개시자 채널은 성공적인 상태 체크, 성공적인 검증 및 상기 선택된 암호화 알고리즘에 적어도 부분적으로 기초하여 응답자 채널과 통신하기 위해 요청한다.
Description
[0001] 본 발명은 일반적으로 컴퓨팅 환경들 내의 보안을 제공하는 것에 관한 것으로, 특히 컴퓨팅 환경의 노드에 의한 보안 키 교환(SKE) 인증(secure key exchange (SKE) authentication)에 관한 것이다.
[0002] 암호화는, 복수의 엔드포인트들 또는 링크들을 통해 연결된 소스 노드 및 타겟 노드와 같은, 두 주체들 간에 전송되는 데이터 및/또는 기타 정보에 대한 데이터 보안을 제공한다. 암호화를 표준화하기 위해, 다양한 표준들이 통신 프로토콜들의 다양한 유형들에 대해 제공된다. 예를 들어, FC-SP-2 및 FC-LS-3 표준들이 파이버 채널들(Fibre Channels)에 대해 제공된다.
[0003] 일 예로서, 파이버 채널 링크들을 암호화하기 위해 사용되는 FC-SP-2 표준은 두 개의 엔드포인트들의 상호 인증을 위한 프로토콜들과, 상기 두 개의 엔드포인트들 간의 통신 세션들에 사용되는 암호화 키들을 협상하기 위한 프로토콜들을 포함한다. 상기 표준은 관련 당사자들을 인증하기 위한 다양한 메커니즘들과 키 자료가 제공되거나 개발되는 메커니즘들에 대한 지원을 제공한다. 상기 표준은, 예를 들어, 비밀-기반, 인증서-기반, 비밀번호-기반 및 사전-공유 키 기반을 포함하는 여러 인증 하부구조들(authentication infrastructures)에 대해 정의된다.
[0004] 일반적으로, 인증서 기반 하부구조는, 엔드포인트의 신원(the identity)이 신뢰할 수 있는 인증 기관(a trusted certificate authority)에 의해서 인증되기 때문에, 강력한 보안 인증 형식을 제공하는 것으로 간주된다. FC-SP-2 표준은 여러 인증된 주체들이 서로를 인증하기 위해 인증서가 그들을 구속하는 공개-사설 키 쌍들(the public-private key pairs)을 사용할 수 있는 메커니즘들을 정의한다. 이 인증은 FCAP(파이버 채널 인증 프로토콜)의 사용을 통해 두 주체들 간에 직접 발생하며, FCAP의 설계는, 예를 들어, 인터넷 키 교환 (Internet Key Exchange: IKE) 프로토콜에서 정의된 인증서들 및 서명들(certificates and signatures)을 사용하는 인증에 기초한다.
[0005] 그러나, 인라인으로(inline) 인증서들을 교환하고 유효성을 검증하려면 계산 집약적이 되고 시간도 많이 걸린다. FCAP 프로토콜도 주체들 간의 모든 파이버 채널 링크에서도 수행될 수 있다. FCAP 프로토콜은 무결성 및/또는 보안이 보호되어야 하는 링크들 상에서 클라이언트 트래픽이 흐르기 전에 수행되어야 하므로, FCAP 프로토콜은 링크 초기화 시간들에 부정적인 영향(연장)을 미칠 수 있고, 따라서 클라이언트 워크로드들을 가져와서 실행하는 시간에도 부정적인 영향을 미칠 수 있다. IKE 프로토콜도 또한 중앙 처리 유닛 집약적인 수학적 계산들을 상당히 포함하므로, 대규모 스토리지 컨트롤러 포트들에 연결된 동적 스위치 패브릭의 대규모 파이버 채널 물리적 포트들을 갖는 대규모 기업 서버들을 포함하는 환경에서, IKE 프로토콜을 완료하기 위한 이들 계산들 및 많은 양의 프레임 교환들의 승수 효과(the multiplier effect)도 시스템 초기화에 부정적인 영향을 미치고 과도한 정상 작동에 제약들을 유발할 수 있다.
[0006] 본 발명의 실시 예들은 컴퓨팅 환경의 응답자 노드에 의한 보안 키 교환(SKE) 인증 응답에 기초한 호스트 버스 어댑터(HBA)의 채널 키 로딩에 관한 것이다. 본 발명의 일 실시 예에 따라, 컴퓨터 구현 방법은 보안 통신을 설정하기 위해 응답자 노드 상의 응답자 채널로부터 개시자 노드 상의 개시자 채널에서 인증 응답 메시지를 수신하는 단계를 포함하고, 상기 수신하는 단계는 상기 개시자 노드 상에서 실행하는 로컬 키 관리자(LKM)에서 수행된다. 상기 개시자 노드와 상기 응답자 노드의 보안 연관에 기초하여 상태 체크가 수행된다. 상기 인증 응답 메시지의 검증이 수행된다. 상기 인증 응답 메시지로부터 선택된 암호화 알고리즘의 식별자가 추출된다. 상기 개시자 채널은 성공적인 상태 체크, 성공적인 검증 및 상기 선택된 암호화 알고리즘에 적어도 부분적으로 기초하여 응답자 채널과 통신하기 위해 요청한다.
[0007] 본 발명의 다른 실시 예들은 컴퓨터 시스템 및 컴퓨터 프로그램 제품에서 전술한 방법의 특징들을 구현한다.
[0008] 추가적인 기술적 특징들 및 이점들은 본 발명의 기술들을 통해 실현된다. 본 발명의 실시 예들 및 특징들은 본 명세서에 상세하게 설명되어 있고 청구된 주제의 일부로 간주된다. 더 나은 이해를 위해 상세한 설명과 도면들을 참조한다.
[0009] 여기에 설명된 배타적 권리의 세부 사항들은 명세서의 결론에 있는 청구 범위에 특히 기재되고 명확하게 주장된다. 본 발명의 실시 예들의 상기 및 기타 특징들 및 이점들은 첨부 도면들과 함께 취해진 다음의 상세한 설명으로부터 명백하다:
[0010] 도 1은 본 발명의 하나 또는 그 이상의 실시 예들을 통합하고 사용하기 위한 컴퓨팅 환경의 예를 도시한다;
[0011] 도 2a는 본 발명의 하나 또는 그 이상의 실시 예들을 통합 및/또는 사용하기 위한 도 1의 컴퓨팅 환경의 호스트의 일 예를 도시한다;
[0012] 도 2b는 본 발명의 하나 또는 그 이상의 실시 예들을 통합 및/또는 사용하기 위한 도 1의 컴퓨팅 환경의 호스트의 다른 예를 도시한다;
[0013] 도 3은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 로컬 키 관리자(LKM) 초기화 및 호스트 버스 어댑터(HBA) 보안 등록을 위한 컴퓨팅 환경의 블록도를 도시한다;
[0014] 도 4는 본 발명의 하나 또는 그 이상의 실시 예들에 따른 LKM 초기화 및 HBA 보안 등록을 위한 프로세스를 도시한다;
[0015] 도 5는 본 발명의 하나 또는 그 이상의 실시 예들에 따른 보안 키 교환(SKE) 초기화 요청을 생성하기 위한 컴퓨팅 환경의 블록도를 도시한다;
[0016] 도 6은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE SA(Security Association) 초기화 요청을 생성하기 위한 프로세스를 도시한다;
[0017] 도 7은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 타겟 채널의 노드에서 SKE SA 프로세싱 및 메시지 생성을 위한 컴퓨팅 환경의 블록도를 도시한다;
[0018] 도 8은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 타겟 채널의 노드에서 SKE SA 초기화 처리 및 메시지 생성을 위한 프로세스를 도시한다;
[0019] 도 9는 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE SA 초기화 응답에 기초하여 SKE 인증 요청을 생성하기 위한 컴퓨팅 환경의 블록도를 도시한다;
[0020] 도 10은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE SA 초기화 응답에 기초하여 SKE 인증 요청을 생성하는 프로세스를 도시한다;
[0021] 도 11은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE 인증 메시지 처리를 위한 컴퓨팅 환경의 블록도를 도시한다;
[0022] 도 12는 본 발명의 하나 또는 그 이상의 다른 실시예에 따른 SKE 인증 메시지 처리를 위한 프로세스를 도시한다;
[0023] 도 13은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE 인증에 기반한 HBA 키 로딩을 위한 컴퓨팅 환경의 블록도를 도시한다;
[0024] 도 14는 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE 인증에 기초한 HBA 키 로딩을 위한 프로세스를 도시한다;
[0025] 도 15는 본 발명의 하나 또는 그 이상의 실시 예들에 따라 보안 데이터 전송을 제공하기 위해 SKE를 사용하는 컴퓨팅 환경에서 키를 새로 고치는 프로세스를 도시한다;
[0026] 도 16a는 본 발명의 하나 또는 그 이상의 실시 예들을 통합하고 사용하기 위한 컴퓨팅 환경의 다른 예를 도시한다;
[0027] 도 16b는 도 16a의 메모리의 추가 세부사항을 도시한다;
[0028] 도 17은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 클라우드 컴퓨팅 환경을 도시한다; 그리고
[0029] 도 18은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 추상화 모델 층을 도시한다.
[0010] 도 1은 본 발명의 하나 또는 그 이상의 실시 예들을 통합하고 사용하기 위한 컴퓨팅 환경의 예를 도시한다;
[0011] 도 2a는 본 발명의 하나 또는 그 이상의 실시 예들을 통합 및/또는 사용하기 위한 도 1의 컴퓨팅 환경의 호스트의 일 예를 도시한다;
[0012] 도 2b는 본 발명의 하나 또는 그 이상의 실시 예들을 통합 및/또는 사용하기 위한 도 1의 컴퓨팅 환경의 호스트의 다른 예를 도시한다;
[0013] 도 3은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 로컬 키 관리자(LKM) 초기화 및 호스트 버스 어댑터(HBA) 보안 등록을 위한 컴퓨팅 환경의 블록도를 도시한다;
[0014] 도 4는 본 발명의 하나 또는 그 이상의 실시 예들에 따른 LKM 초기화 및 HBA 보안 등록을 위한 프로세스를 도시한다;
[0015] 도 5는 본 발명의 하나 또는 그 이상의 실시 예들에 따른 보안 키 교환(SKE) 초기화 요청을 생성하기 위한 컴퓨팅 환경의 블록도를 도시한다;
[0016] 도 6은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE SA(Security Association) 초기화 요청을 생성하기 위한 프로세스를 도시한다;
[0017] 도 7은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 타겟 채널의 노드에서 SKE SA 프로세싱 및 메시지 생성을 위한 컴퓨팅 환경의 블록도를 도시한다;
[0018] 도 8은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 타겟 채널의 노드에서 SKE SA 초기화 처리 및 메시지 생성을 위한 프로세스를 도시한다;
[0019] 도 9는 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE SA 초기화 응답에 기초하여 SKE 인증 요청을 생성하기 위한 컴퓨팅 환경의 블록도를 도시한다;
[0020] 도 10은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE SA 초기화 응답에 기초하여 SKE 인증 요청을 생성하는 프로세스를 도시한다;
[0021] 도 11은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE 인증 메시지 처리를 위한 컴퓨팅 환경의 블록도를 도시한다;
[0022] 도 12는 본 발명의 하나 또는 그 이상의 다른 실시예에 따른 SKE 인증 메시지 처리를 위한 프로세스를 도시한다;
[0023] 도 13은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE 인증에 기반한 HBA 키 로딩을 위한 컴퓨팅 환경의 블록도를 도시한다;
[0024] 도 14는 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE 인증에 기초한 HBA 키 로딩을 위한 프로세스를 도시한다;
[0025] 도 15는 본 발명의 하나 또는 그 이상의 실시 예들에 따라 보안 데이터 전송을 제공하기 위해 SKE를 사용하는 컴퓨팅 환경에서 키를 새로 고치는 프로세스를 도시한다;
[0026] 도 16a는 본 발명의 하나 또는 그 이상의 실시 예들을 통합하고 사용하기 위한 컴퓨팅 환경의 다른 예를 도시한다;
[0027] 도 16b는 도 16a의 메모리의 추가 세부사항을 도시한다;
[0028] 도 17은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 클라우드 컴퓨팅 환경을 도시한다; 그리고
[0029] 도 18은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 추상화 모델 층을 도시한다.
[0030] 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 데이터가 데이터 센터 내에서 그리고 데이터 센터를 가로질러 이동될 때, 데이터를 교환하는 ID(the identities)의 인증 및 데이터의 암호화는 데이터의 보안을 강화하기 위해 사용된다. 일례로, 미국, 뉴욕, 아몽크에 소재하는 인터내셔널 비즈니스 머신즈 코포레이션(International Business Machines Corporation, Armonk, New York)에 의해서 제공되는 FCES(Fibre Channel Endpoint Security)는 FICON(Fibre Channel and Fiber Connection) 프로토콜들을 사용하여 전송 중인 데이터(data in flight)를 암호화하는 데 사용된다. FCES는, 전송 중인 데이터를 암호화하는 신뢰할 수 있는 스토리지 네트워크(a trusted storage network)를 생성함으로써, 승인된 호스트들과 스토리지 디바이스들 사이의 파이버 채널 링크들 상에서 흐르는 모든 데이터의 무결성과 기밀성을 보장하는 데 도움을 준다. 본 발명의 하나 또는 그 이상의 실시 예들에서, 보안 수준들은 보안 키 교환(SKE) 메시징을 사용하여 호스트와 스토리지 디바이스들 사이에서 협상되고 설정된다. 이 프로세스의 일부로 SKE 요청 및 응답 메시지가 생성되고 처리되어 엔드포인트들(즉, 호스트들 및 스토리지 디바이스들)에 의해서 올바른 수준의 보안이 사용되도록 보장한다.
[0031] 여기에서 사용된 "보안 키 교환" 또는 "SKE"라는 용어는 네트워크에서 두 개의 엔드포인트들 또는 노드들 간에 보안 연관(a security association: SA)을 생성하는 데 사용되는 프로토콜을 의미한다. 여기에 설명된 SKE 프로토콜의 실시 예들 중 하나는 인터넷 키 교환(IKE) 프로토콜을 기반으로 한다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 각 노드 상에서 실행되는 로컬 키 관리자(LKM)는, 관련된 당사자만 액세스할 수 있는 공유 비밀 메시지를 생성하는 데 사용되는, 보안 키 수명 주기 관리자(a security key lifecycle manager)에 연결된다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, LKM은, 키들을 생성하기 위해 키 관리 상호 운용성 프로토콜(KMIP) 요청을 발행하는, 보안 키 라이프사이클 관리자의 클라이언트로서 기능한다. SKE 프로토콜의 하나 또는 그 이상의 실시 예들은 4개의 메시지들의 교환을 포함한다. "SKE SA Init 요청"(여기서 "SKE SA 초기화 요청"이라고도 함) 및 "SKE SA Init 응답"(여기서 "SKE SA 초기화 응답"이라고도 함)이라고 하는 처음 두 개의 메시지들은 암호화되지 않는 메시지들이며, 이들은 한 세트의 암호화 키들을 유도하는 데 사용되는 파라미터들을 교환한다. "SKE Auth 요청"(여기서 "SKE 인증 요청"이라고도 함) 및 "SKE Auth 응답"(여기서 "SKE 인증 응답"이라고도 함)이라고 하는 마지막 두 개의 메시지들은 암호화된 메시지들이며, 이들은 각 엔드포인트 또는 노드의 진정성(the authenticity)을 확립하고 엔드포인트들 간의 통신을 보호하는 데 사용할 암호화 알고리즘을 식별한다. 파이버 채널 환경에서, SKE 메시지들은, 예를 들어 FC-SP-2 표준에 의해서 정의된 형식의 AUTH ELS(AUTH Extended Link Service Requests)로 캡슐화될 수 있다.
[0032] 본 발명의 하나 또는 그 이상의 실시 예들은 보안 데이터가 컴퓨팅 환경에서 컴퓨팅 노드들 간에(또는 동일한 컴퓨팅 노드 상의 채널 간에) 전송될 수 있도록 하는 SKE 메시지 처리를 위해 호스트 버스 어댑터(host bus adapter: HBA) 보안 등록을 LKM에 제공한다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 컴퓨팅 노드 상에서 HBA들에 대한 사설 보안 키들(private security keys)을 관리하는, LKM은 상기 컴퓨팅 노드 상에서 초기화된다. LKM은 상기 컴퓨팅 노드에서 멀리 떨어진 외부 키 관리자(EKM)와의 연결을 설정한다. 또한, LKM을 실행하는 상기 컴퓨팅 노드 상의 HBA들은 LKM에 등록된다. LKM에 HBA들을 등록하면 컴퓨팅 노드로 전송되거나 컴퓨팅 노드로부터 수신된 SKE 메시지들을 HBA들의 채널이 적절하게 처리할 수 있다. 일단 LKM 초기화가 완료되면, LKM은 HBA들의 보안 능력을 인식할 수 있다. LKM은 이 정보를 사용하여 상기 컴퓨팅 노드와 컴퓨팅 환경의 다른 컴퓨팅 노드들 간의 데이터 요청들의 보안을 구축하고 관리한다.
[0033] 본 발명의 하나 또는 그 이상의 실시 예들은, 컴퓨팅 환경에서 채널들 간의 데이터 전송들에 대한 보안을 제공하기 위해, SKE SA 초기화 요청 또는 SKE SA Init 요청의 생성을 제공한다. SKE SA 초기화 요청 처리가 수행되는데, LKM 초기화 및 SKE SA 초기화 요청을 생성하는 컴퓨팅 노드의 HBA들의 등록에 후속하여 수행된다. SKE SA 초기화 요청은 컴퓨팅 노드 상에서 실행하는 LKM에 의해 생성될 수 있는데, 다른 채널과 통신(예를 들어, 데이터를 전송)하기 위해 컴퓨팅 노드의 HBA(본 명세서에서 "채널"이라고도 함)로부터 요청을 수신하는 것에 응답하여 생성될 수 있다. 상기 다른 채널은 동일한 노드에 위치할 수 있는데, 상기 노드 상에서 실행하는 두 개의 서로 다른 파티션들 간에 데이터를 안전하게 전달할 수 있는 능력을 제공하기 위해서 위치할 수 있다. 상기 다른 채널은 또한 서로 다른 컴퓨팅 노드들 상에 위치한 채널들 간에 데이터를 안전하게 전달할 수 있는 능력을 제공하기 위해 다른 컴퓨팅 노드 상에 위치할 수도 있다.
[0034] 다른 채널과의 통신 요청을 개시하는 채널을 갖는 노드는 여기에서 "개시자(initiator)" 또는 "소스" 노드라고 하고; 요청의 타겟인 다른 채널을 포함하는 노드는 여기에서 "응답자(responder)" 또는 "타겟" 노드라고 한다. 타겟 노드 상의 채널과 통신하기 위한 요청을 HBA 또는 채널로부터 수신하면, 소스 노드 상의 LKM은 SA를 생성하고, 그 다음 요청 메시지(여기서는 "SKE SA 초기화 요청 메시지"라고 함)를 요청 채널을 통해 타겟 노드 상의 채널로 전송한다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, SKE SA 초기화 요청 메시지는 소스 노드와 타겟 노드 사이의 보안 통신을 제공하기 위한 공유 키를 식별하는 (EKM에 의해 제공되는) 공유 키 식별자(a shared key identifier)를 포함한다. 공유 키 재입력 타이머(A shared key rekey timer)는 시스템 정책에 기초하여 공유 키의 수명을 제한하기 위해 LKM에 의해 설정될 수 있다. 공유 키 외에도, SKE SA 초기화 요청 메시지는 노드들 간에 전송된 페이로드들(예: 데이터)을 암호화 및 해독하기 위한 키들을 유도하는 데 사용되는 개시자 채널의 논스 및 보안 파라미터 인덱스(SPI)(a nonce and a security parameter index (SPI))를 포함한다.
[0035] 본 명세서에 사용된 바와 같이, "노드" 또는 "컴퓨팅 노드"라는 용어는 호스트 컴퓨터 및 스토리지 어레이(a host computer and a storage array)를 지칭하지만 이에 국한되지는 않는다. 스토리지 어레이는, 예를 들어, 제어 유닛 및/또는 스토리지 컨트롤러에 의해 구현될 수 있다. 호스트 컴퓨터 또는 호스트는, 예를 들어, 프로세서, 컴퓨터 시스템, 및/또는 CEC(Central electronics complex)에 의해 구현될 수 있다. 본 명세서에서 사용되는 바와 같이, "컴퓨팅 환경"이라는 용어는 본 명세서에서 설명된 프로세싱의 전부 또는 서브세트를 수행하기 위해 함께 결합되는 노드들의 그룹을 지칭한다. FICON 채널 대 채널(CTC) 연결들(FICON channel to channel (CTC) connections)의 경우, 포트들 또는 채널들 각각은 모두 개시자들 및 응답자들이 될 수 있다. FICON 채널들과 달리, 호스트 상의 FCP(Fibre Channel protocol) 스토리지 채널은 항상 소스 또는 개시자일 수 있고 제어 유닛, 또는 스토리지 어레이는 항상 타겟 또는 응답자가 될 수 있다.
[0036] 본 발명의 하나 또는 그 이상의 실시 예들은 타겟 채널의 노드에서 SKE SA 초기화 처리 및 메시지 생성을 제공한다. SKE SA Init 응답 메시지의 처리 및 생성은 타겟 채널이 소스 채널로부터 SKE SA 초기화 요청을 수신하는 것에 응답하여 수행된다. 응답자 또는 타겟 노드에서의 처리하는 단계는 LKM가 공유키를 획득하는 단계(필요한 경우)와 타겟 채널을 설명하는 SPI 및 LKM에 의해 생성된 논스를 개시자 노드 상의 채널로 SKE SA Init 응답 메시지를 통해 전송하는 단계를 포함한다. SKE SA Init 요청 및 SKE SA Init 응답 메시지와 관련된 처리 단계가 완료되면, 개시자와 응답자 노드들은 그들 간에 암호화된 메시지들을 전송하고 그들이 수신하는 메시지들을 암호 해독하는 데 필요한 공유 키 정보를 갖는다.
[0037] 본 발명의 하나 또는 그 이상의 실시 예들은 소스 채널의 노드에서 SKE SA 초기화 응답 메시지 처리 단계 및 SKE Auth 요청 메시지 생성 단계를 제공한다. SKE Auth 요청 메시지의 처리 단계 및 생성 단계는 소스 채널이 타겟 채널로부터 SKE SA Init 응답을 수신하는 것에 응답하여 수행된다. 개시자 또는 소스 노드에서의 처리 단계는 SKE SA Init 응답 메시지 검증 단계 및 SA에 기초한 디바이스 그룹 체크 단계를 포함할 수 있다. 소스 노드의 LKM은 세션 키들을 생성하고 SKE Auth 요청 메시지를 작성할 수 있다(build). 소스 노드는 SKE Auth 요청 메시지를 타겟 노드로 전송한다.
[0038] 본 발명의 하나 또는 그 이상의 실시 예들은 타겟 채널의 노드에서 SKE Auth 요청 메시지 처리 단계 및 SKE Auth 응답 메시지 생성 단계를 제공한다. SKE Auth 응답 메시지의 처리 단계 및 생성 단계는 타겟 채널이 소스 채널로부터 SKE Auth 요청을 수신하는 것에 응답하여 수행된다. 응답자 또는 타겟 노드에서의 처리 단계는 SKE Auth 요청 메시지 검증 단계 및 SA에 기초한 디바이스 그룹 체크 단계를 포함할 수 있다. 타겟 노드의 LKM은 SKE Auth 요청 메시지를 암호 해독하고, 개시자 서명을 검증하며, 응답자 서명을 생성하고, 암호화 알고리즘을 선택하며, 그리고 SKE Auth 응답 메시지를 작성할 수 있다(build). 타겟 노드는 SKE Auth 응답 메시지를 소스 노드로 전송한다.
[0039] 본 발명의 하나 또는 그 이상의 실시 예들은 타겟 채널의 노드에서 SKE Auth 응답 메시지 처리 단계 및 HBA 키 로드 단계를 제공한다. 상기 처리 단계 및 HBA 로드 단계는 소스 채널이 타겟 채널로부터 SKE Auth 응답을 수신하는 것에 응답하여 수행된다. 개시자 또는 소스, 노드에서의 처리 단계는 SKE Auth 응답 메시지 검증 단계 및 SA에 기초한 디바이스 그룹 체크 단계를 포함할 수 있다. 소스 노드의 LKM은 SKE Auth 응답 메시지를 암호 해독하고, 응답자 서명을 검증하며, 암호화 알고리즘을 선택하고, 소스 채널에서 하나 또는 그 이상의 HBA들 키를 로드 하여서 타겟 채널과의 향후 통신에서 상기 선택한 암호화 알고리즘 사용하는 단계를 지원할 수 있다. 인증이 완료되었음을 소스 노드의 LKM에 알리면, 세션 키 재입력 타이머(a session key rekey timer)가 시스템 정책에 기초하여 세션 키 재입력 프로세스를 시작하기 위해 시작될 수 있다.
[0040] 본 발명의 하나 또는 그 이상의 실시 예들은 공유 키(들) 및 세션 키(들)를 새로 고쳐지거나(refreshing) 키를 재입력하는(rekeying) 프로세스를 제공한다. 앞에서 설명한 것처럼, 공유 키 재입력 타이머를 설정하여 공유 키가 사용될 수 있는 시간을 제한할 수 있다. 공유 키 재입력 타이머가 만료되면, 새로운 공유 키를 생성하는 프로세스가 시작된다. 또한, 앞서 설명한 바와 같이, 세션 키 재입력 타이머를 설정하여 세션 키가 사용될 수 있는 시간을 제한할 수 있다. 세션 키 재입력 타이머가 만료되면, SKE SA Init 요청 메시지가 생성되어 소스 노드와 타겟 노드 간의 통신에 사용할 새로운 암호화 키 세트의 유도(the derivation)를 시작한다.
[0041] 다수의 링크들을 공유하는 신뢰할 수 있는 노드들 간의, EKM을 통한, 인증은, 링크 마다가 아니라(instead of on a link by link basis), 한 번 수행된다. 두 주체들 모두가 공유 키(예: 대칭 키)를 EKM의 신뢰할 수 있는 주체들로 수신하고 이를 사용하여 두 주체들 간의 메시지를 암호화/암호 해독하기 위해 사용하는 능력은 상호 인증(mutual authentication)을 증명한다. 또한 그들을 연결하는 모든 링크들(또는 선택된 링크들)에 걸친 보안 통신이 EKM에 대한 추가 액세스 없이 제공된다. 대신, 이전에 획득된 공유 키가 다른 링크들 또는 채널 상의 신뢰할 수 있는 노드들 간의 통신에 사용되어, EKM을 통해 신뢰할 수 있는 노드들를 다시 인증할 필요 없이, 링크들의 인증을 제공하는 노드들을 결합한다.
[0042] 본 명세서에 설명된 하나 또는 그 이상의 실시 예들에 따라, 신뢰할 수 있는 노드(a trusted node)는 HBA들 간의 보안을 관리하기 위해 신뢰할 수 있는 노드 상에서 실행하는 LKM을 개시하고 활성화한다. HBA들은 HBA 상의 채널들이 SKE 메시지들을 처리할 수 있도록 그들의 보안 능력들과 주소 정보를 LKM에 등록한다. SKE SA 초기화 요청 메시지들은 개시자 노드와 타겟 또는 응답자 노드 간에 SKE SA 초기화를 요청하는 신뢰할 수 있는 노드 상의 HBA 채널에 기초하여 작성될 수 있다. LKM은 SKE SA 초기화 요청을 작성하는 데 사용되는 두 개의 신뢰할 수 있는 노드들을 위한 디바이스 그룹 키 식별자(a device group key identifier)의 식별 또는 활성화를 관리한다. 개시자 노드 상의 LKM과 응답자 노드 상의 LKM은 SKE SA 초기화 요청 및 응답 메시지들을 통해 정보를 교환한다(trade). 교환된 정보는 각 노드들 상의 채널들 간에 전송되는 데이터를 암호화 및 암호 해독하는 데 사용된다. SKE SA 초기화 요청 및 응답 메시지들은 암호화되지 않은 형식으로 교환될 수 있고, SKE 인증 요청 및 응답 메시지들은 암호화된 형식으로 전송될 수 있다. SKE 인증 요청 메시지들은 노드들 사이에서 교환되는 데이터를 위해 사용될 암호화 알고리즘의 제안 목록을 포함할 수 있으며, SKE 인증 응답 메시지들은 어떤 제안이 응답자 노드에 의해 선택된 암호화 알고리즘으로 수락되었는지를 확인할 수 있다. 응답자 노드는 또한, SKE 인증 요청 및 응답 메시지들을 전송하는 데 사용되는 암호화와 다른 암호화 형식일 수 있는, 선택된 암호화 알고리즘을 사용하여 데이터 전송들을 시작할 시기를 개시자 노드에 알릴 수 있다. 공유 키와 세션 키 모두는 프로그래밍 가능한 타이머들이 만료되는 것에 기초하여 새로 고쳐지거나, 재입력될 수 있다.
[0043] 본 발명의 하나 또는 그 이상의 실시 예들을 포함하는 컴퓨팅 환경(100)의 일례가 도 1을 참조하여 설명된다. 도 1에 도시된 예에서, 컴퓨팅 환경은 SAN(Storage Area Network)(108)을 통해 함께 결합된 적어도 하나의 노드(예를 들어, 호스트(102)) 및 적어도 하나의 다른 노드(예를 들어, 스토리지 어레이(110))를 포함한다. 호스트(102)는 중앙 처리 유닛 및 메모리를 포함할 수 있고, 인터내셔널 비즈니스 머신즈 코포레이션에 의해서 제공되는 System z(그러나 이에 국한되지 않음)와 같은 시스템에 의해 구현된다. 도 1에 도시된 호스트(102)는 LKM(104) 및 하나 또는 그 이상의 HBA들들(106)을 포함한다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, LKM(104)은 HBA들(106)에 대한 사설 키들(the private keys)을 관리하는 컴포넌트고, HBA들(106) 각각은 입력/데이터를 전송하고 암호화하는 입력/출력(I/O) 인터페이스를 제공한다. 스토리지 어레이(110)는, 예를 들면, 스토리지 디바이스, DASD(Direct Access Storage Device) 또는 테이프 디바이스로 구현될 수 있다. 이용될 수 있는 스토리지 디바이스의 한 예에는 인터내셔널 비즈니스 머신즈 코포레이션에 의해서 제공되는 DS8000이 있다. 도 1에 도시된 스토리지 어레이(110)는 LKM(112) 및 하나 또는 그 이상의 HBA들(114)을 포함한다. SAN(108)은 FICON과 파이버 채널 스위치 및 디렉터들의 네트워크에 의해 구현될 수 있다. FICON은 호스트와 스토리지 디바이스 간의 알려진 데이터 통신 경로로서 파이버 채널 기술을 이용한다.
[0044] 도 1에 도시된 컴퓨팅 환경은 또한 서비스 네트워크(130)를 통해 하나 또는 그 이상의 호스트들(102)에 연결된 하나 또는 그 이상의 지원 요소들(support elements: SE)(128)을 포함한다. SE(128)는 또한 사설 네트워크(126)를 통해 서버 하드웨어 관리 콘솔(hardware management console: HMC) (124)에 결합된다. 각 서브시스템 또는 호스트(102)와 통신하기 위해 SE들(128)에 의해 사용되는 내부 서버 네트워크의 서비스 네트워크(130)는, 예를 들어, 이더넷 네트워크 또는 다른 알려진 근거리 통신망(LAN)에 의해 구현될 수 있다. 도 1에 도시된 실시예에서, 사설 네트워크(126)는 SE(128)에서 서버 HMC(124)로의 통신을 위해 사용되며, 예를 들어 이더넷 네트워크 또는 다른 알려진 LAN에 의해 구현될 수 있다. 각 서버 HMC(124)는 다수의 호스트들(102)을 관리하고, 도 1에 도시된 바와 같이, 그들은, 예를 들어 SE 인증서(certificate)를 사용하여, 사설 네트워크(126)를 통해 SE들(128)과 통신할 수 있다. SE(128)는 서버에 의해 구현될 수 있고 서비스 네트워크(130)를 통해 호스트(102)의 LKM(104)과 통신하는 하드웨어를 관리하는 데 사용된다. 일 실시예에서, 각 SE(128)는 하나의 호스트(102)에 대응하고 SE 인증서를 사용하여 대응하는 호스트(102)를 초기화하기 위한 명령을 포함한다. SE(128)가 내부 네트워크를 통해 호스트(102)와 통신하게 하는 것은 SE 인증서에 대한 추가적인 보호 수준을 제공한다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 호스트(102)는 여기에 설명된 보안 특징을 이용하도록 고객(a customer)에 의해 구성된다.
[0045] 도 1에 도시된 바와 같이, 서버 HMC들(124)은 네트워크(120)를 통해 스토리지 어레이 HMC들(118) 및 EKM(122)에 결합된다. 각 스토리지 어레이 HMC(118)는 다수의 스토리지 어레이들(110)을 관리하는데 사용될 수 있고, 도 1에 도시된 바와 같이, 그들은 서비스 네트워크(116)를 통해 스토리지 어레이들(110)과 통신할 수 있다. 서비스 네트워크(116)는, 예를 들어, 이더넷 네트워크 또는 다른 공지된 LAN에 의해 구현될 수 있다. 네트워크(120)는 WAN(Wide Area Network) 및 LAN과 같은(이에 국한되지 않음) 당업계에 공지된 모든 네트워크에 의해 구현될 수 있다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, EKM(122)은 호스트(102) 및 스토리지 어레이(110)에 공유 키들을 제공하는 데 사용된다. 이는, 예를 들어, 셋업(set-up)시 호스트(102), 스토리지 어레이(110) 및 EKM(122) 상에 설치되고 인증 기관(도시되지 않음)에 의해 서명된 인증서들을 통해, 호스트(102) 및 스토리지 어레이(110)에 의해 신뢰성이 확인된다(trusted).
[0046] 도 1에 도시된 호스트(102)의 HBA들(106) 및 스토리지 어레이(110)의 HBA들(114)은 SAN(108)을 통해 통신한다. SAN(108)은 광 트랜시버(an optical transceiver)를 사용하여 데이터가 교환되는 광 케이블을 통해 연결된 파이버 채널 노드들을 포함할 수 있다. 물리적 링크 사양들은, 예를 들어 FC-PI에 의해 정의될 수 있다. 파이버 채널 통신은, FC-SB2에 의해서 정의되는, FICON과 같은, 다수의 상위-수준 프로토콜들과, FCP-4에의해서 정의되는, SCSI용 파이버 채널 프로토콜을 캡슐화 할 수 있다.
[0047] 도 1의 블록도는 컴퓨팅 환경(100)이 도 1에 도시된 모든 컴포넌트들을 포함한다는 것을 나타내기 위한 것이 아님을 이해해야 한다. 오히려, 컴퓨팅 환경(100)은, 도 1에 도시된 일부 컴포넌트들과 조합되는, 도 1에 도시되지 않은 모든 적절한 더 적거나 추가의 컴포넌트들을 포함할 수 있거나 또는 서로 다른 또는 여러 컴포넌트들에 의해 수행되는 하나 또는 그 이상의 컴포넌트들에 의해 수행되는 기능들을 포함할 수 있다. 또한, 컴퓨팅 환경(100)과 관련하여 여기에 설명된 실시 예들은 모든 적절한 로직으로 구현될 수 있으며, 여기서 언급되는 로직은 모든 적절한 하드웨어(예를 들어, 무엇보다도, 프로세서, 내장형 컨트롤러, 또는 애플리케이션 특정 집적 회로), 소프트웨어(예를 들어, 무엇보다도 애플리케이션), 펌웨어, 또는 다양한 실시 예들의 하드웨어, 소프트웨어 및 펌웨어의 모든 적절한 조합을 포함할 수 있다.
[0048] 프로토콜들, 통신 경로들 및 기술들의 예들이 여기에 제공되지만, 하나 또는 그 이상의 실시 예들은 다른 유형들의 프로토콜들, 통신 경로들 및/또는 기술들에도 적용할 수 있다. 또한, 다른 유형들의 노드들은 본 발명의 하나 또는 그 이상의 실시 예들을 사용할 수 있다. 추가적으로, 노드는 더 적은, 더 많은, 및/또는 서로 다른 컴포넌트들을 포함할 수 있다. 또한, 서로 결합된 두 개의 노드들은 동일한 유형의 노드 또는 다른 유형의 노드일 수 있다. 예로서, 여기 예들에서 설명된 바와 같이, 두 노드들은 모두 호스트들이고, 두 노드들은 모두 스토리지 어레이들이거나, 하나의 노드는 호스트이고 다른 노드는 스토리지 어레이일 수 있다. 많은 변형들이 가능한다.
[0049] 예로서, 호스트는 프로세서, 컴퓨터 시스템, CEC(central electronics complex) 등과 같은 컴퓨팅 디바이스일 수 있다. 본 발명의 하나 또는 그 이상의 실시 예들을 포함할 수 있는 및/또는 사용할 수 있는 컴퓨터 시스템의 일 예가 도 2a에 도시되어 있다.
[0050] 도 2a를 참조하면, 일 예에서 컴퓨터 시스템(200)이 범용 컴퓨팅 디바이스의 형태로 도시되어 있다. 컴퓨터 시스템(200)은 도 1에 도시된 컴포넌트들에 추가하여 및/또는 포함하는 복수의 컴포넌트들을 포함 및/또는 이에 결합하고, 도 1에 도시된 컴포넌트들은 LKM(104), HBA(106), LKM(112), HBA(114), 서비스 네트워크(130) 및 서비스 네트워크(116)를 포함하지만 이에 국한되지 않으며, 이들은 상기 컴퓨터 시스템의 일부이거나 및/또는 컴퓨터 시스템에 결합되지만, 도 2a에 명시적으로 표시되지는 않는다. 일 예에서, 컴퓨터 시스템(200)은 하나 또는 그 이상의 프로세서들 또는 처리 유닛들(202)(예를 들어, 중앙 처리 유닛들(CPU들), 처리 회로들), 메모리(204)(일명, 시스템 메모리, 메인 메모리, 메인 스토리지, 중앙 스토리지 또는 스토리지), 및 하나 또는 그 이상의 버스 및/또는 다른 연결들(208)을 통해 서로 결합된, 하나 또는 그 이상의 입/출력(I/O) 인터페이스들(206)를 포함한다.
[0051] 계속해서 도 2a를 참조하면, 버스(208)는 다양한 버스 아키텍처 중 어느 하나를 사용하는 메모리 버스 또는 메모리 컨트롤러, 주변 장치 버스, 가속 그래픽 포트, 및 프로세서 또는 로컬 버스를 포함하는, 여러 유형들의 버스 구조들 중 하나 또는 그 이상을 나타낸다. 예를 들어, 그러한 아키텍처에는 ISA(Industry Standard Architecture), MCA(Micro Channel Architecture), EISA(Enhanced ISA), VESA(Video Electronics Standards Association) 로컬 버스, 및 주변 장치 상호 연결(PCI)가 포함되지만 이에 국한되지 않는다.
[0052] 메모리(204)는, 예를 들어, 프로세서들(202)의 로컬 캐시들(212)에 결합될 수 있는, 공유 캐시(210)와 같은 캐시를 포함할 수 있다. 또한, 메모리(204)는 하나 또는 그 이상의 프로그램들 또는 애플리케이션들(214), 운영 체제(216) 및 하나 또는 그 이상의 컴퓨터 판독가능 프로그램 명령들(218)을 포함할 수 있다. 컴퓨터 판독가능 프로그램 명령들(218)은 본 발명의 특징들의 실시 예들의 기능들을 수행하도록 구성될 수 있다.
[0053] 컴퓨터 시스템(200)은 또한, 예를 들어, I/O 인터페이스들(206)을 통해 하나 또는 그 이상의 외부 디바이스들(220), 하나 또는 그 이상의 네트워크 인터페이스들(222), 및/또는 하나 또는 그 이상의 데이터 스토리지 디바이스들(224)과 통신할 수 있다. 예시적 외부 디바이스들은 사용자 단말기, 테이프 드라이브, 포인팅 디바이스, 디스플레이 등을 포함한다. 네트워크 인터페이스(222)는 컴퓨터 시스템(200)이 근거리 통신망(LAN), 일반 WAN(광역 통신망) 및/또는 공공 네트워크(예: 인터넷)과 통신할 수 있게 하여, 다른 컴퓨팅 디바이스들 또는 시스템들과의 통신을 제공한다.
[0054] 데이터 스토리지 디바이스(224)는 하나 또는 그 이상의 프로그램들(226), 하나 또는 그 이상의 컴퓨터 판독 가능한 프로그램 명령들(228), 및/또는 데이터 등을 저장할 수 있다. 컴퓨터 판독 가능한 프로그램 명령들은 본 발명의 특징들의 실시 예들의 기능들을 수행하도록 구성될 수 있다.
[0055] 컴퓨터 시스템(200)은 착탈식/비-착탈식, 휘발성/비-휘발성 컴퓨터 시스템 스토리지 매체를 포함 및/또는 결합될 수 있다. 예를 들어, 컴퓨터 시스템(200)은 비-착탈식 비-휘발성 자기 매체(일반적으로 "하드 드라이브"라고 함), 착탈식 비-휘발성 자기 디스크(예를 들어, "플로피 디스크")에서 읽고 쓰기 위한 자기 디스크 드라이브, 및/또는, CD-ROM, DVD-ROM 또는 기타 광 매체와 같은, 착탈식, 비휘발성 광 디스크에서 읽거나 쓰기 위한 광 디스크 드라이브를 포함하거나 이에 결합될 수 있다. 다른 하드웨어 및/또는 소프트웨어 컴포넌트들이 컴퓨터 시스템(200)과 함께 사용될 수 있음을 이해해야 한다. 예들에는 마이크로코드, 디바이스 드라이버들, 중복 처리 디바이스들, 외부 디스크 드라이브 어레이들, RAID 시스템들, 테이프 드라이브들, 및 데이터 보관 스토리지 시스템들, 등이 포함되지만 이에 국한되지는 않는다.
[0056] 컴퓨터 시스템(200)은 다수의 다른 범용 또는 특수 목적 컴퓨팅 시스템 환경 또는 구성과 함께 동작할 수 있다. 컴퓨터 시스템(200)과 함께 사용하기에 적합할 수 있는 잘 알려진 컴퓨팅 시스템들, 환경들 및/또는 구성들의 예들에는 개인용 컴퓨터(PC) 시스템들, 서버 컴퓨터 시스템들, 씬 클라이언트들, 씩 클라이언트들, 핸드헬드 또는 랩탑 디바이스들, 멀티 프로세서 시스템들, 마이크로프로세서 기반 시스템들, 셋톱 박스들, 프로그래밍 가능한 소비자 전자 제품들, 네트워크 PC들, 미니컴퓨터 시스템들, 메인프레임 컴퓨터 시스템들, 및 상기 시스템들 또는 디바이스들 중 어느 하나를 포함하는 분산 클라우드 컴퓨팅 환경들, 등이 포함되지만 이에 국한되지는 않는다.
[0057] 위에서 나타낸 바와 같이, 컴퓨터 시스템은 본 발명의 하나 또는 그 이상의 실시 예들을 통합 및/또는 사용할 수 있는 호스트의 한 예이다. 본 발명의 하나 또는 그 이상의 실시 예들을 통합 및/또는 채용하기 위한 호스트의 다른 예는 중앙 전자 콤플렉스(a central electronics complex)이며, 그 예가 도 2b에 도시되어 있다.
[0058] 도 2b를 참조하면. 도 2b에 도시된 바와 같이, 일 예에서, CEC(central electronics complex)(250)는 도 1에 도시된 컴포넌트들에 추가되는 및/또는 컴포넌트들을 포함하는 복수의 컴포넌트들을 포함하고 및/또는 이에 결합되며, 상기 복수의 컴포넌트들은 로컬 키 관리자(LKM)(104), HBA(106), LKM(112), HBA(114), 서비스 네트워크(130) 및 서비스 네트워크(116)를 포함하지만 이에 국한되지 않으며, 이들은 중앙 전자 컴플렉스의 일부이고 및/또는 이에 결합되지만, 도 2b에 명시적으로 표시되지는 않았다. 일례에서, CEC(250)는 하나 또는 그 이상의 프로세서들(일명, 중앙 처리 유닛들(CPU))(260)에 그리고 입력/출력 서브시스템(262)에 결합된 메모리(254)(일명, 시스템 메모리, 메인 메모리, 메인 스토리지, 중앙 스토리지, 스토리지)를 포함하지만 이에 제한되지 않는다.
[0059] 일 예에서, 중앙 전자 콤플렉스(250)의 메모리(254)는, 예를 들어, 하나 또는 그 이상의 논리 파티션들(264), 논리 파티션들을 관리하는 하이퍼바이저(266), 및 프로세서 펌웨어(268)를 포함한다. 하이퍼바이저(266)의 한 예는 프로세서 자원/시스템 관리자(the Processor Resource/System Manager : PR/SM)이고, 이는 인터내셔널 비즈니스 머신즈 코포레이션에 의해서 제공된다. 여기서 사용된 바와 같이, 펌웨어는, 예를 들어, 프로세서의 마이크로코드를 포함한다. 상기 마이크로코드는, 예를 들어, 더 높은 수준의 머신 코드 구현에 사용되는 하드웨어 수준 명령들 및/또는 데이터 구조들을 포함한다. 일 실시예에서, 상기 마이크로코드는, 예를 들어, 기본 하드웨어에 특정한 마이크로코드 또는 신뢰할 수 있는 소프트웨어를 포함하고 시스템 하드웨어에 대한 운영 체제 액세스를 제어하는 마이크로코드로서 일반적으로 전달되는 독점 코드를 포함한다.
[0060] 각 논리 파티션(264)은 별도의 시스템으로 기능할 수 있다. 즉, 각 논리 파티션은 독립적으로 리세트되고 인터내셔널 비즈니스 머신즈 코포레이션에 의해서 제공되는 z/OS 또는 다른 운영 체제와 같은 게스트 운영 체제(270)를 실행하며 다른 프로그램(282)과 함께 작동할 수 있다. 논리적 파티션에서 실행하는 운영 체제 또는 애플리케이션 프로그램은 전체의 완전한 시스템에 액세스할 수 있는 것처럼 보이지만, 실제로는 그 중 일부만 이용 가능할 수도 있다.
[0061] 메모리(254)는, 논리 파티션들에 할당될 수 있는 물리적 프로세서 자원들인, 프로세서들(예를 들어, CPU들)(260)에 결합된다. 예를 들어, 논리 파티션(264)은 하나 또는 그 이상의 논리 프로세서들을 포함하고, 이들 각각은 논리 파티션에 동적으로 할당될 수 있는 물리적 프로세서 자원(260)의 전체 또는 공유 부분을 나타낸다.
[0062] 또한, 메모리(254)는 I/O 서브시스템(262)에 결합된다. I/O 서브시스템(262)은 중앙 전자 콤플렉스의 일부이거나 그로부터 분리될 수 있다. 이것은 주 스토리지 디바이스(254)와 중앙 전자 콤플렉스에 결합된 입/출력 제어 유닛들(256) 및 입/출력(I/O) 디바이스들(258) 사이의 정보 흐름을 지시한다.
[0063] 호스트들의 다양한 예들이 여기에 설명되어 있지만, 다른 예들도 또한 가능하다. 더 나아가, 호스트는 또한, 예들로서, 소스, 서버, 노드 또는 엔드포인트 노드로서 본 명세서에서 언급될 수 있다. 추가적으로, 스토리지 디바이스는, 예로서, 본 명세서에서 타겟, 노드 또는 엔드포인트 노드로 지칭될 수 있다. 스토리지 디바이스의 예에는 스토리지 컨트롤러들 또는 제어 유닛들이 포함된다. 다른 예들도 가능한다.
[0064] 이제 도 3을 참조하면, LKM 초기화 및 HBA 보안 등록을 위한 컴퓨팅 환경(300)의 블록도가 본 발명의 하나 또는 그 이상의 실시 예들에 따라 일반적으로 도시된다. 도 3에 도시된 컴포넌트는, 도 1과 관련하여 앞서 설명된 바와 같은, 호스트(102), SAN(108), 스토리지 어레이(110), 서비스 네트워크(130), SE(128), 사설 네트워크(126), 서버 HMC(124), 네트워크(120), 및 EKM(122)을 포함한다. 도 3에 도시된 호스트(102)는 여러 논리 파티션들 또는, 운영 체제(O/S)(302)를 실행하는 2개의 파티션들과 LKM (104)를 실행하는 1개의 파티션을 포함하는, 파티션들을 실행하는 서버에 의해 구현된다. 도 3에 도시된 호스트(102)는 상기 파티션들을 관리하기 위한 하이퍼바이저(304), 및 상기 파티션들과 입/출력(I/O) 서브시스템(306) 사이의 인터페이스를 포함한다. 도 3에 도시한 바와 같은 입/출력(I/O) 서브시스템(306)은 HBA들(106)에 대한 인터페이스를 제공한다.
[0065] 본 발명의 하나 또는 그 이상의 실시 예들에 따라, LKM 활성화 및 개시는 보안이 호스트(102)에 적용될 것을 요청하는 고객(예를 들어, 호스트(102)의 소유자)에 의해 트리거된다. 이 것은, 예를 들어, 기능 코드(a feature code)를 고객이 적용함으로써 일어날 수 있으며, 상기 기능 코드는 고객이 구매한 것이고, 구매는 SE(128)의 기능 코드를 활성화하고 SE(128)을 재부팅함으로써 이루어진다. 재부팅에 따라, SE(128)은, LKM(104)를 실행하기 위해 파티션을 시작하도록 호스트(102)를 트리거할 수 있다. SE(128)을 재부팅하는 것이 LKM을 활성화하고 시작하는 데 필요하지 않을 수 있으며, 다른 예에서는, SE(128)를 재부팅함이 없이 SE(128)의 기능 코드를 활성화함으로써 LKM이 활성화되고 시작된다. LKM(104)를 활성화하고 시작하기 위해 이벤트를 트리거하는 단계는 도 3에서 "1"로 도시된다. 일단 LKM이 활성화되고 시작되면, LKM(104)은 초기화가 완료되었음을 I/O 서브시스템(306)에 통지한다. 이 알림 이벤트는 도 3에서 "2"로 도시된다. 도 3에 도시된 바와 같이, 알림은 LKM(104)에 의해 개시되는데, LKM(104)은 하이퍼바이저(304)에 통지하고, 하이퍼바이저(304)는 차례로 LKM 초기화가 완료되었음을 I/O 서브시스템(306)에 통지한다. 하나 또는 그 이상의 실시 예들에 따라, LKM(104)이 호스트(102)에서 실행을 시작하면 LKM 초기화는 완료된다.
[0066] 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 일단 LKM 초기화가 완료되면, LKM(104)은 EKM(122)에 대한 보안 연결을 요청하기 위해 EKM(122)에 접속한다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, LKM(104)를 실행하는 호스트(102)는 신뢰할 수 있는 인증 기관(a trusted certificate authority)에 의해 인증된 신뢰할 수 있는 노드이다. 하나 또는 그 이상의 실시 예들에 따라, 호스트(102)는 신뢰할 수 있는 인증 기관으로부터의 호스트의 서명된 인증서와 함께 EKM의 인터넷 프로토콜(IP) 주소 또는 호스트명을 갖는다. 연결을 요청하기 위해 EKM(122)에 연결하는 단계는 도 3에서 "3"으로 도시된다. 도 3에 도시된 바와 같이, 연결 요청들은 LKM(104)을 EKM(122)에 연결하는 여러 컴포넌트들을 걸치며(span), 이들 컴포넌트들은 하이퍼바이저(304), I/O 서브시스템(306), 서비스 네트워크(130), 서비스 요소(128), 사설 네트워크(126), 서버 HMC(124) 및 네트워크(120)를 포함한다. 본 발명의 또는 그 이상의 실시예에서, LKM(104)은 EKM(122)과의 연결을 설정하기 위한 요청을 하이퍼바이저(304)로 전송하고, 하이퍼바이저(304)는 I/O 서브시스템(306)으로 요청을 전송하고, 하이퍼바이저(304)는 서비스 네트워크를 통해 SE(128)로 요청을 전송한다. SE(128)는 사설 네트워크(126)를 통해 서버 HMC(124)에 요청을 전송하여 네트워크(120)를 통해 EKM(122)에 대한 프록시 연결(a proxy connection)(예를 들어, 전송 층 보안, 또는 TLS, 세션)을 오픈한다(open).
[0067] 하나 또는 그 이상의 실시 예들에 따라, KMIP는 EKM(122)으로부터 연결을 요청하는 데 사용된다. KMIP 메시지는 신뢰할 수 있는 인증 기관으로부터의 인증서를 포함할 수 있고 KMIP 메시지는 EKM(122)으로부터 반환될 수 있고, 이는 도에서 3에서 "4"로 도시되며, 상기 반환은 연결이 설정되었다는 표시 또는 연결이 설정되지 않았다는 표시와 함께 이루어질 수 있다. 하나 또는 그 이상의 실시 예들에 따라, 만일 EKM(122)이 상기 연결 요청에서 호스트(102)에 의해 전송된 인증서를 인식한다면 EKM(122)에 대한 보안 연결은 설정될 수 있다. 하나 또는 그 이상의 실시 예들에 따라, EKM(122)에 대한 보안 연결은, 예를 들어, 네트워크 연결 문제들, 구성 문제들, 및/또는 EKM(122)이 인증서를 인식하지 못하는 문제로 인해 설정되지 않을 수 있다. TLS 및 KMIP는 단지 예들일뿐이며, 다른 프로토콜들과 보안 통신들이 사용될 수 있다.
[0068] LKM(104)과 EKM(122) 사이에 연결이 설정되는 것에 기초하여, LKM(104)은 연결이 설정되었음을 하이퍼바이저(304)를 통해 I/O 서브시스템(306)에 통지한다. 이는 도 3에서 "5"로 도시된다. 도 3에서 "6"으로 도시한 바와 같이, I/O 서브시스템(306)은 LKM(104)이 SKE 메시지를 처리할 준비가 되었음을(즉, 다른 컴퓨팅 노드에 보안 데이터 전송을 제공할 준비가 되었음을) HBA들(106)에 통지한다. 도 3에서 "7"로 도시된 바와 같이, HBA들(106)은 그들의 보안 능력들 및 주소 정보를 LKM(104)에 등록한다. 보안 능력들의 예들은 인증 또는 서로 다른 유형들의 암호화를 포함하지만 이에 제한되지는 않는다. 상기 주소 정보에는 HBA에 할당된 파이버 채널 주소가 포함될 수 있지만 이에 국한되지 않는다.
[0069] 도 3의 블록도가 컴퓨팅 환경(300)이 도 3에 도시된 모든 컴포넌트를 포함해야 한다는 것을 나타내기 위한 것이 아님을 이해해야 한다. 오히려, 컴퓨팅 환경(300)은, 조합된 도 3에 도시된 일부 컴포넌트들과 함께, 도 3에 예시되지 않은 임의의 적절한 더 적거나 추가의 컴포넌트들을 포함할 수 있거나, 또는 서로 다른 또는 여러 컴포넌트들에 의해 수행되는 하나 또는 그 이상의 컴포넌트들에 의해 수행되는 기능들을 포함할 수 있다. 또한, 컴퓨팅 환경(300)과 관련하여 여기서 설명된 실시 예들은 모든 적절한 로직으로 구현될 수 있으며, 여기서 언급된 상기 로직은, 다양한 실시 예들에서, 모든 적절한 하드웨어(예를 들어, 무엇보다도, 프로세서, 내장형 컨트롤러, 또는 애플리케이션 특정 집적 회로), 소프트웨어(예를 들어, 무엇보다도, 애플리케이션), 펌웨어, 또는 하드웨어, 소프트웨어 및 펌웨어의 모든 적절한 조합을 포함할 수 있다.
[0070] 이제 도 4를 참조하면, LKM 초기화 및 HBA 보안 등록을 위한 프로세스(400)가 본 발명의 하나 또는 그 이상의 실시 예들에 따라 일반적으로 도시된다. 도 4에 도시된 처리 단계의 전부 또는 일부는, 예를 들어, 도 1의 호스트(102)에서 실행하는 도 1의 LKM(104)에 의해서 구현될 수 있다. 블록(402)에서, LKM 파티션은, 도 1의 호스트(102)와 같은, 노드 상에서 활성화되고 개시된다(activated and initialized). 처리 단계는 블록(404)에서 계속되고, 여기서 LKM은, 도 3의 I/O 서브시스템(306)과 같은, 노드 상의 I/O 서브시스템에 LKM의 초기화가 완료되었음을 통지한다. 블록(406)에서, LKM은 보안 연결을 요청하기 위해, 도 1의 EKM(122)과 같은, EKM과의 접촉을 개시한다. 앞에서 설명한 바와 같이, 이 것은 요청과 TLS 세션을 포함하는 KMIP 메시지를 사용하여 수행될 수 있다. 블록(408)에서, EKM과의 연결이 설정될 수 있는지가 결정된다. 하나 또는 그 이상의 실시 예들에 따라, 블록(406)에서 결정은 전송된 요청에 응답하여 EKM으로부터 반환된 메시지에 기초하여 내려진다.
[0071] 도 4의 프로세스(400)의 실시예에 도시된 바와 같이, 만일 EKM과의 연결이 설정되지 않았다면, 처리 단계는 블록(406)에서 계속되고, 여기서 다른 연결을 시도한다. 만일 블록(408)에서 EKM과의 연결이 설정되었다고 결정되면, 처리 단계는 블록(410)에서 계속된다. 블록(410)에서, LKM은 EKM 연결이 설정되었음을 I/O 서브시스템에 통지하고, 블록(412)에서 I/O 서브시스템은, 도 1의 HBA(106)와 같은, LKM을 실행하는 노드 상의 HBA들에 LKM이 SKE 메시지들을 처리할 준비가 되었음을 통지한다. 블록(414)에서, LKM을 실행하는 노드 상의 HBA들은 LKM에 그들의 보안 능력들을 등록한다.
[0072] 도 4의 프로세스 플로차트는 프로세스(400)의 동작들이 임의의 특정 순서로 실행되거나 프로세스(400)의 모든 동작들이 모든 경우에 포함되어야 한다는 것을 나타내려는 것이 아니다. 추가적으로, 프로세스(400)는 모든 적절한 수의 추가 동작들을 포함할 수 있다.
[0073] 이제 도 5를 참조하면, SKE SA 초기화 요청(여기에서 "SKE SA Init 요청"으로도 지칭됨)을 생성하기 위한 컴퓨팅 환경(500)의 블록도가 본 발명의 하나 또는 그 이상의 실시 예들에 따라 일반적으로 도시된다. 도 5에 도시된 컴퓨팅 환경(500)은 도 5는 2개의 노드들, 즉 하나 또는 그 이상의 연결들(508)을 통해 EKM 서버(506)(여기에서 EKM이라고도 함)에 결합된 스토리지 어레이(504) 및 호스트(502)를 포함 한다. 일 예로서, 하나 또는 그 이상의 연결들(508)은 TLS 보안 통신으로 보호되는 이더넷 연결들이다. 하나 또는 그 이상의 연결들(508)은 도 1 내지 도 3에 도시된 엘리멘트들의 전체, 서브세트 또는 수퍼세트를 포함할 수 있다. EKM 서버(506)는 여기에 설명된 EKM 처리 단계를 수행하기 위한 컴퓨터 명령들을 포함한다. 도 5에 도시된 실시 예에서, 호스트(502), 스토리지 어레이(504) 및 EKM 서버(506)는 호스트(502), 스토리지 어레이(504) 및 EKM 서버(506) 상에 설치된 인증서들에 서명하여 그들 사이에 신뢰를 설정하는 데 사용되는 인증 기관(a certification authority: CA)(510)에 결합된다.
[0074] 도 5에 도시된 바와 같이, 호스트(502)는, 예를 들어, 도 1의 SAN(108)과 같은, SAN 네트워크를 통해 스토리지 어레이(504)와 통신하는데 사용되는 HBA들(518)(예를 들어, 파이버 채널 포트들, 또는 FICON 채널들, 또는 다른 링크들)에 결합된 LKM(520)을 포함한다. 도 5에 도시되지는 않았지만, 호스트(502) 및 스토리지 어레이(504)는 또한 연결(508)을 통해 EKM 서버(506)에 결합된 하나 또는 그 이상의 이더넷 포트들을 포함할 수 있다. FICON은 호스트(502)와 스토리지 어레이(504) 사이의 데이터 전송을 위한 알려진 통신 경로이고, 이더넷은 알려진 근거리 통신망(LAN)이다. 유사하게, 상기 예에서, 스토리지 어레이(504)는 호스트(502)와 통신하는 데 사용되는 HBA들(522)(예를 들어, 파이버 채널 포트들 또는 FICON 채널들)에 결합된 LKM(528)을 포함한다.
[0075] 도 5의 화살표(512)로 도시된 바와 같이. 도 5에 도시된 바와 같이, LKM(520)은 호스트(502) 상의 HBA(518)로부터 데이터를 스토리지 어레이(504) 상의 HBA(522)로 전송하라는 요청을 수신한다. HBA(518)로부터의 요청을 수신하는 것에 응답하여, 호스트(502) 상의 LKM(520)은 SA가 이미 호스트(502) 상의 HBA(518)("개시자 노드")와 스토리지 어레이(504) 상의 HBA(522)("응답자 노드") 사이에 존재하는 지를 결정한다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 호스트(502) 상의 HBA(518)와 스토리지 어레이(504) 상의 HBA(522) 사이에서 한번에 하나의 통신 경로만이 개방될 수 있다. 따라서, 만일 SA가 존재한다면, 이들 두 채널들 사이에서 통신 경로가 이미 처리 중(in process)이거나 오류가 발생한 것이다(예를 들어, 호스트(502) 상의 HBA(518)로부터의 요청은 오류를 가지고 있고 잘못된 타겟 노드 및/또는 타겟 채널을 요청한 것이다). 두 경우 모두, 요청하는 HBA(518)에 오류 메시지가 반환되고 요청은 거부된다.
[0076] 만일 SA가 존재하지 않다면, 호스트(502) 상의 LKM(520)은 호스트(502) 상의 HBA(518)와 스토리지 어레이(506) 상의 HBA(522) 사이에 SA를 생성하는 상태에 들어간다(enter). 호스트(502) 상의 LKM(520)은 호스트(502)/스토리지 어레이(504) 쌍에 대한 공유 키 및 공유 키 식별자를 자신이 가졌는지를 결정한다. 상기 공유 키 및 상기 공유 키 식별자는, 예를 들어, LKM(520)에 의해 액세스 가능한 호스트(502) 상에 위치한 휘발성 메모리(예: 캐시 메모리)에 저장될 수 있다. 만일 LKM(520)이 호스트(502)/스토리지 어레이(504) 쌍에 대한 공유 키를 찾아내지(locate) 못한다면, LKM(520)은, 도 5의 화살표(514)로 도시된 바와 같이 요청을 전송하여 호스트(502)/스토리지 어레이(504) 쌍에 대한 공유 키를 검색하고 EKM 서버(506) 상에 호스트(502)/스토리지 어레이(504) 쌍(아직 존재하지 않다면)을 포함하는 디바이스 그룹을 설정한다(set up). 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 이것은 다수의 단계 프로세스에 의해 수행되며, 여기서 LKM(520)은 먼저 EKM 서버(506)에 질의하여 호스트(502)/스토리지 어레이(504) 쌍에 대한 디바이스 그룹이 존재하는지를 결정하고, 디바이스 그룹이 존재하지 않는다고 결정하는 것에 기초하여 EKM 서버(506)에게 디바이스 그룹을 생성하도록 요청한다. 일단 호스트(502)/스토리지 어레이(504) 쌍에 대한 디바이스 그룹이 존재한다고 결정되면, LKM(520)은 디바이스 그룹에 대응하는 공유 키를 요청한다.
[0077] 호스트(502) 및/또는 스토리지 어레이(504)는 그들의 각 WWNN(world-wide node name)에 의해 EKM에 대해 식별될 수 있다. LKM(520)으로부터의 요청을 수신하는 것에 응답하여, EKM 서버(506)는 LKM을 인증하고, 필요한 경우, 호스트(502)/스토리지 어레이(504) 쌍을 포함하는 디바이스 그룹을 생성한다. EKM 서버(506)는 또한 호스트(502)와 스토리지 어레이(502) 사이에서 전송된 메시지들 및 데이터를 암호화 및 암호 해독하는데 사용하기 위해 호스트(502)/스토리지 어레이(504) 쌍에 특정한 공유 키(여기서 "공유 비밀 키"로 지칭됨)를 생성한다. 도 5의 화살표(524)로 도시된 바와 같이, EKM 서버(506)는 호스트(502) 상의 요청하는 LKM(520)에 공유 키를 전송한다.
[0078] LKM(520)에 의해 공유 키를 수신하는 단계는 다수의 단계 프로세스일 수 있다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, LKM(520)은 먼저 특정 디바이스 그룹에 대해 EKM 서버(506)로부터 공유 키 식별자를 요청한다. 공유 키 식별자는 EKM 서버(506)가 대응하는 공유 키를 찾고/결정하기 위해 사용할 수 있는 고유 식별자이다. 공유 키 식별자를 수신하는 것에 응답하여, LKM(520)은 공유 키를 요청하기 위해 상기 공유 키 식별자를 포함하는 제2 요청을 EKM 서버(506)에 전송한다. EKM 서버(506)는 공유 키를 반환함으로써 응답한다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 디바이스 그룹 이름은 호스트(502) 및 스토리지 어레이(504)의 WWNN의 연결(a concatenation)이다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 공유 키를 수신하는 것에 기초하여, LKM(520)은 키 재입력 또는 새로 고침이 필요하기 전에 공유 키를 사용할 수 있는 시간을 제한하는 데 사용되는 공유 키 재입력 타이머를 시작할 수 있다. 시간의 양은 교환되는 데이터의 기밀 특성, 컴퓨터 환경에 배치된(in place) 기타 보안 보호들 및/또는 무단 액세스 시도 가능성(이에 국한되지 않음)과 같은 시스템 정책들에 기초하여 결정될 수 있다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 경과된 시간과 별도로 또는 대안적으로, 공유 키 재입력 타이머는 소스 노드와 타겟 노드 사이의 데이터 교환들의 수에 기초하여 만료될 수도 있다. 상기 정책들은 도 1의 서버 HMC(124) 또는 스토리지 어레이 HMC(118)와 같은 HMC 상의 사용자 인터페이스를 통해 고객에 의해 구성될 수 있다. 공유 키 재입력 타이머가 만료되면 LKM(520)은 아래 도 15를 참조하여 설명되는 바와 같이, EKM 서버(506)로부터 새로운 공유 키를 획득하기 위한 프로세스를 시작한다.
[0079] LKM(520)이 유효한 공유 키 및 공유 키 식별자를 갖거나 획득하는 것에 응답하여, LKM(520)은 채널들 간의 보안 통신을 위해 공유 키 식별자와 LKM(520)에 의해 생성된 논스(nonce) 및 보안 파라미터 인덱스(SPI)를 포함하는 SKE SA Init 요청 메시지를 생성한다. LKM 520은 난수 생성기(a random number generator)를 사용하여 논스와 SPI를 생성한다. 논스는 암호화 통신에서 한 번만 사용될 수 있는 임의의 숫자(an arbitrary number)이다. SPI는 암호화된 파이버 채널 데이터 프레임의 일반 텍스트 부분(the clear text portion)에 추가되는 식별 태그이다. 프레임의 수신자는 이 필드를 사용하여 데이터 페이로드를 암호화하는 데 사용되는 키 자료를 검증할 수 있다. SKE SA Init 요청 메시지는 데이터가 스토리지 어레이(504) 상의 HBA(522)로 전송되도록 요청한 HBA(518) 또는 채널로 전송된다. 요청하는(또는 개시자) HBA(518)는 도 5의 화살표(526)로 도시된 바와 같이, 예를 들어, SAN 네트워크를 통해, 스토리지 어레이(504) 상의 타겟 HBA(522)로 SKE SA Init 요청 메시지를 전송한다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, SKE SA Init 요청 메시지는 일반 텍스트로 전송된다(즉, 암호화되지 않음).
[0080] 도 5의 블록도가 컴퓨팅 환경(500)이 도 5에 도시된 모든 컴포넌트를 포함해야 한다는 것을 나타내기 위한 것이 아님을 이해해야 한다. 오히려, 컴퓨팅 환경(500)은, 조합된 도 5에 도시된 일부 컴포넌트들과 함께, 도 5에 예시되지 않은 임의의 적절한 더 적거나 추가의 컴포넌트들을 포함할 수 있거나, 또는 서로 다른 또는 여러 컴포넌트들에 의해 수행되는 하나 또는 그 이상의 컴포넌트들에 의해 수행되는 기능들을 포함할 수 있다. 예를 들어, 하나 또는 그 이상의 추가 노드들(예: 호스트들 및/또는 스토리지 어레이들)이 있을 수 있다. 또한, 컴퓨팅 환경(500)과 관련하여 여기서 설명된 실시 예들은 모든 적절한 로직으로 구현될 수 있으며, 여기서 언급된 상기 로직은, 다양한 실시 예들에서, 모든 적절한 하드웨어(예를 들어, 무엇보다도, 프로세서, 내장형 컨트롤러, 또는 애플리케이션 특정 집적 회로), 소프트웨어(예를 들어, 무엇보다도, 애플리케이션), 펌웨어, 또는 하드웨어, 소프트웨어 및 펌웨어의 모든 적절한 조합을 포함할 수 있다.
[0081] 이제 도 6을 참조하면, SKE SA 초기화 요청을 생성하기 위한 프로세스(600)이 일반적으로 본 발명의 하나 또는 그 이상의 실시 예들에 따라 도시된다. 프로세스(600)의 전부 또는 일부는, 예를 들어, 도 5의 LKM(520)과 같은, LKM에 의해 수행될 수 있다. 프로세스(600)는 블록(602)에서 시작하고, 여기서 LKM이 다른 채널(응답자 채널)과의 보안 통신의 초기화를 요청하는 메시지를 채널(개시자 채널)로부터 수신하는 단계를 시작한다. 예를 들어, 개시자 채널은 도 1의 HBA(106)일 수 있고, 응답자 채널은 도 1의 HBA(114)일 수 있다. 블록(604)에서 개시자 HBA가 LKM에 등록되었는지가 결정된다. 만일 개시자 HBA가 LKM에 등록되지 않았다면, 처리 단계는 블록(608)에서 계속되고, 여기서 요청을 거부하는 단계가 진행된다 (예를 들어, LKM이 개시자 HBA의 보안 능력들을 결정할 수 없기 때문에).
[0082] 만일, 블록(604)에서, 개시자 HBA가 LKM에 등록된 것으로 결정되면, 처리단계는 블록(606)에서 계속된다. 블록(606)에서, SA가 개시자 채널과 응답자 채널 사이에 이미 존재하는지가 결정된다. 만일 SA가 이미 존재한다면, 처리단계는 블록(608)에서 계속되고, 여기서 요청을 거부하는 단계가 진행된다.
[0083] 만일, 블록(606)에서, SA가 개시자 노드와 응답자 노드 사이에 이미 존재하지 않는 것으로 결정되면, 처리 단계는 블록(610)에서 계속되고, 여기서 SA를 생성하는 단계가 진행된다. 일단 블록(610)에서 개시자 채널/응답자 채널 쌍에 대한 SA 상태가 생성되면, 처리단계는 블록(612)에서 계속되고, 여기서 개시자 노드/응답자 노드 쌍에 대한 디바이스 그룹 키 또는 공유 키가 존재하는지를 결정하는 단계가 진행된다. 만일 개시자 노드/응답자 노드 쌍에 대한 공유 키가 존재한다면, 처리단계는 블록(614)에서 계속되고, 여기서 존재하는 공유 키를 사용하는 단계가 진행된다. 블록(616)에서, SKE SA Init 요청 메시지가 LKM에 의해 작성된다. 하나 또는 그 이상의 실시 예들에 따라, SKE SA Init 요청 메시지는 공유 키의 식별자와; 채널들 간의 보안 통신을 위해 LKM에 의해서 생성된 논스 및 SPI를 포함한다. 블록(618)에서, SKE SA Init 요청 메시지는 개시자 채널로 전송된다. 그러면, 개시자 채널은 SKE SA Init 요청 메시지를 응답자 노드 상의 응답자 채널로 전송한다.
[0084] 만일, 블록(612)에서, 개시자 노드/응답자 노드 쌍에 대한 공유 키가 존재하지 않는 것으로 결정되면, 처리단계는 블록(620)에서 계속된다. 블록(620)에서, 개시자 노드/응답자 노드 쌍에 대한 디바이스 그룹이 존재하는지가 결정된다. 디바이스 그룹이 존재하는지를 결정하는 단계는 LKM이 개시자 노드/응답자 노드 쌍에 대한 디바이스 그룹이 존재하는지를 EKM에 질의하는 단계와 만일 디바이스 그룹이 존재한다면 EKM이 대응하는 공유 키의 식별자(공유 키 식별자)로 응답하는 단계를 또는 만일 존재하지 않는다면 EKM이 오류 메시지로 응답하는 단계를 포함할 수 있다. 만일 디바이스 그룹이 존재한다고 결정되면, 처리 단계는 블록(622)에서 계속되고, 여기서 개시자 노드/응답자 노드 쌍에 대한 공유 키를 생성하는 단계가 진행되며, 블록(624)에서 공유 키는 개시자 노드에 저장된다. 공유 키는 LKM의 요청에 대한 응답으로 EKM에서 생성할 수 있다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 공유 키 및 공유 키 식별자는 휘발성 메모리에 저장되어 개시자 노드의 전원이 꺼지거나 재시작될 때 공유 키가 저장되지 않도록 한다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 공유 키는: 공유 키가 사용된 보안 연관들의 수(a number of security associations) 및/또는 공유 키가 생성된 이후의 경과된 시간의 양(이에 제한되지 않음)에 기초하여 제한된 수명을 갖는다. 공유 키가 저장된 후, 처리단계는 블록(616)에서 계속되고, 여기서 LKM이 SKE SA Init 요청 메시지를 작성하는 단계(building)가 진행된다.
[0085] 만일 개시자 노드/응답자 노드 쌍에 대한 디바이스 그룹이 존재하지 않는 것으로 블록(620)에서 결정되면, 블록(626)이 수행되고 개시자 노드/요청자 노드 쌍에 대한 디바이스 그룹 쌍이 생성된다. 디바이스 그룹 및 공유 키는 LKM의 단일(또는 다수의) 요청들에 대한 응답으로 EKM에 의해서 생성될 수 있다. 일단 디바이스 그룹이 생성되면, 처리단계는 블록(622)에서 계속되고, 여기서 개시자 노드/요청자 노드 쌍에 대한 공유 키를 생성하는 단계가 진행된다.
[0086] 도 6의 프로세스 플로차트는 프로세스(600)의 동작들이 임의의 특정 순서로 실행되거나 프로세스(600)의 모든 동작들이 모든 경우에 포함되어야 한다는 것을 나타내려는 것이 아니다. 추가적으로, 프로세스(600)는 모든 적절한 수의 추가 동작들을 포함할 수 있다.
[0087] 이제 도 7 참조하면, SKE SA 초기화 처리 단계 및 타겟 채널의 노드에서의 메시지 생성단계를 위한 컴퓨팅 환경(700)의 블록도가 본 발명의 하나 또는 그 이상의 실시 예들에 따라 일반적으로 도시된다. 도 7에 도시된 컴퓨팅 환경(700)은 도 5에 도시된 컴퓨팅 환경(500)과 유사하며, 여기에는 타겟 HBA(522)의 스토리지 어레이(504)에서 SKE SA Init 요청 메시지의 처리단계가 추가된다.
[0088] 도 7의 화살표(526)로 도시된 바와 같이, 스토리지 어레이(504) 상의 HBA(522)는 호스트(502) 상의 HBA(518)로부터 SKE SA Init 요청 메시지를 수신한다. SKE SA Init 요청 메시지를 수신하는 것에 응답하여, HBA(522)는 SKE SA Init 요청 메시지를 스토리지 어레이(504) 상에 위치된 LKM(528)에 전송한다(도 7의 화살표(708)로 도시된 바와 같이). 상기 메시지를 수신하는 것에 대한 응답으로, 스토리지 어레이(504) 상의 LKM(528)은 호스트(502) 상의 HBA(518)와 스토리지 어레이(504) 상의 HBA(522) 사이에 SA가 이미 존재하는지를 결정한다. 만일 SA가 이미 존재한다면, 오류 메시지가 HBA(522)로 반환되고 상기 요청은 거부된다.
[0089] 만일 SA가 존재하지 않는다면, 스토리지 어레이(504) 상의 LKM(528)은 호스트(502) 상의 HBA(518)와 스토리지 어레이(506) 상의 HBA(522) 사이에 SA를 생성하는 상태에 들어간다. 스토리지 어레이(504) 상의 LKM(528)은 SKE SA Init 요청에 포함된 공유 키 식별자에 대응하는 공유 키를 가졌는지를 결정한다. 상기 공유 키 및 해당 공유 키 식별자는, 예를 들어, LKM(528)에 의해 액세스될 수 있는 스토리지 어레이(504) 상에 위치한 휘발성 메모리(예: 캐시 메모리)에 저장될 수 있다. 만일 LKM(528)이 호스트(502)/스토리지 어레이(504) 쌍에 대한 공유 키를 찾지 못했다면, LKM(528)은 그 다음, 도 7의 화살표(702)로 도시된 바와 같이, SKE SA Init 요청 메시지에서 수신된 공유 키 식별자에 대응하는 공유 키를 검색하기 위해 EKM 서버(506)에 요청을 전송한다. LKM(528)으로부터의 요청을 수신하는 것에 응답하여, EKM 서버(506)는 LKM(528)을 인증하고, 도 7의 화살표(704)로 도시된 바와 같이, 공유 키를 스토리지 어레이(504) 상의 LKM(528)에 전송한다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 공유 키를 수신하는 것에 기초하여, LKM(528)은 공유 키가 재입력 또는 새로 고침이 필요하기 전에 사용될 수 있는 시간의 양을 제한하는 데 사용되는 공유 키 재입력 타이머를 시작할 수 있다. 시간의 양은 시스템 정책들에 기초할 수 있다. 서로 다른 노드들은 서로 다른 정책들을 가질 수 있기 때문에, LKM(528) 상의 공유 키 재입력 타이머에 의해 표시되는 시간의 양은 LKM(520) 상의 공유 키 재입력 타이머에 의해 표시되는 시간의 양과 다를 수 있다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 시간에 추가하여 또는 대안적으로, 공유 키 재입력 타이머는 소스 노드와 타겟 노드 사이의 데이터 교환들의 수에 기초하여 만료될 수 있다. 공유 키 재입력 타이머가 만료되면, LKM(528)은 도 15를 참조하여 아래에서 설명되는 바와 같이 EKM 서버(506)로부터 새로운 공유 키를 획득하기 위한 프로세스를 개시한다.
[0090] LKM(528)이 유효한 공유 키를 갖거나 획득하는 것에 대한 응답으로, LKM(528)은 채널들 간의 보안 통신을 위해 LKM(528)에 의해 생성된 논스 및 보안 파라미터 인덱스(SPI)를 포함하는 SKE SA Init 응답 메시지를 생성한다. SKE SA Init 응답 메시지는 도 7의 화살표(710)로 나타낸 바와 같이 HBA(522)로 전송된다. 응답자(또는 타겟) HBA(522)는 도 7의 화살표(706)로 나타낸 바와 같이 호스트(502) 상의 개시자 HBA(518)에 SKE SA Init 응답 메시지를 전송한다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, SKE SA Init 응답 메시지는 일반 텍스트로 전송된다(즉, 암호화되지 않음).
[0091] 도 7의 블록도가 컴퓨팅 환경(700)이 도 7에 도시된 모든 컴포넌트를 포함해야 한다는 것을 나타내기 위한 것이 아님을 이해해야 한다. 오히려, 컴퓨팅 환경(700)은, 조합된 도 7에 도시된 일부 컴포넌트들과 함께, 도 7에 예시되지 않은 임의의 적절한 더 적거나 추가의 컴포넌트들을 포함할 수 있거나, 또는 서로 다른 또는 여러 컴포넌트들에 의해 수행되는 하나 또는 그 이상의 컴포넌트들에 의해 수행되는 기능들을 포함할 수 있다. 예를 들어, 하나 또는 그 이상의 추가 노드들(예: 호스트들 및/또는 스토리지 어레이들)이 있을 수 있다. 또한, 컴퓨팅 환경(700)과 관련하여 여기서 설명된 실시 예들은 모든 적절한 로직으로 구현될 수 있으며, 여기서 언급된 상기 로직은, 다양한 실시 예들에서, 모든 적절한 하드웨어(예를 들어, 무엇보다도, 프로세서, 내장형 컨트롤러, 또는 애플리케이션 특정 집적 회로), 소프트웨어(예를 들어, 무엇보다도, 애플리케이션), 펌웨어, 또는 하드웨어, 소프트웨어 및 펌웨어의 모든 적절한 조합을 포함할 수 있다.
[0092] 이제 도 8 참조하면, SKE SA 초기화 처리 단계 및 타겟 채널의 노드에서의 메시지 생성단계를 위한 컴퓨팅 환경(800)의 블록도가 본 발명의 하나 또는 그 이상의 실시 예들에 따라 일반적으로 도시된다. 프로세스(800)의 전부 또는 일부는, 예를 들어, 도 7의 LKM(528)과 같은 LKM에 의해 수행될 수 있다. 프로세스(800)는 블록(802)에서 시작하고, 여기서 LKM은 개시자와 응답자 채널들 간의 보안 통신의 초기화를 요청하는 SKE SA Init 요청 메시지를 수신하는 단계를 시작한다. 예를 들어, 개시자 채널은 도 1의 HBA(106)일 수 있고, 응답자 채널은 도 1의 HBA(114)일 수 있다. 블록(804)에서 응답자 HBA가 응답자 노드 상의 LKM에 등록되었는지가 결정된다. 만일 응답자 HBA가 LKM에 등록되지 않았다면, 처리단계는 블록(808)에서 계속되고, 여기서 상기 요청을 거부하는 단계가 진행된다(예를 들어, LKM이 응답자 HBA의 보안 능력들을 결정할 수 없기 때문에).
[0093] 만일, 블록(804)에서, 응답자 HBA가 LKM에 등록된 것으로 결정되면, 처리단계는 블록(806)에서 계속된다. 블록(806)에서, 개시자 채널이 위치한 노드(초기자) 및 응답자 채널이 위치한 노드(응답자 노드) 사이에 SA가 이미 존재하는지가 결정된다. 만일 SA가 이미 존재한다면, 처리단계는 블록(808)에서 계속되고, 여기서 상기 요청을 거부하는 단계가 진행된다.
[0094] 만일, 블록(806)에서, 개시자 노드와 응답자 노드 사이에 SA가 이미 존재하지 않는 것으로 결정되면, 처리단계는 블록(810)에서 계속되고, 여기서 SA를 생성하는 단계가 진행된다. 일단 블록(810)에서 개시자 노드/응답자 노드 쌍에 대한 SA 상태가 생성되면, 처리단계는 블록(812)에서 계속되고, 여기서 개시자 노드/응답자 노드 쌍에 대한 공유 키가 응답자 LKM에 존재하는지를 결정하는 단계가 진행된다. 만일 공유 키가 개시자 노드/응답자 노드 쌍에 대한 응답자 LKM상에 위치할 수 있으면, 처리단계는 블록(820)에서 계속된다. 블록(820)에서, 논스 및 SPI가 응답자 채널에 대해 생성되고, 블록(822)에서 개시자 채널과 응답자 채널 간의 암호화 및 암호 해독에 사용될 키들이 응답자 노드에서 유도된다(derived). 상기 키들은 응답자의 논스 및 SPI, 개시자의 논스 및 SPI, 및 공유 키를 사용하여 생성될 수 있다.
[0095] 키 유도(Key derivation)는 개시자와 응답자 사이에 설정된 SKE SA Init 메시지 교환의 SA 페이로드에서 협상된 PRF(pseudo random function) 파라미터들에 기초하여 할 수 있다. "PRF+"는 인증 및 암호화 모드에서 사용할 키를 생성하기 위한 기본 연산자(a basic operator)가 될 수 있다. 키 생성은 다수의 단계들에 걸쳐 발생할 수 있다. 예를 들어, 제1 단계로서, "SKEYSEED"라는 시딩 키가 생성되고 SKEYSEED = prf(Ni | Nr, Secret_Key)로 정의될 수 있으며, 여기서 Ni 및 Nr은 논스들e이고 Secret_Key는, EKM 서버(506)와 같은, EKM에서 획득된 공유 비밀 키이다. 제2 단계로서, 일련의 7개의 키들이 생성될 수 있다. SKE의 경우, 예를 들어 SKE SA가 솔트(salt)를 필요로 하는 방법에 의해 보호된다고 가정할 때, 5개의 키들과 2개의 솔트들이 있을 수 있다. 솔트는 데이터, 비밀번호(password) 또는 통과구절(passphrase)을 해시하는 단방향 함수에 대한 추가 입력으로 사용할 수 있는 랜덤 데이터(random data)이다. 솔트들은 키 자료(key material)의 일부로 생성될 수 있다. 예를 들어, 다수 바이트 솔트는 HMAC(해시 기반 메시지 인증 코드)에 대한 IV(초기화 벡터) 입력의 일부로 사용될 수 있다. 추가 예로서 다음을 사용하여 32바이트 키들과 4바이트 솔트들이 생성될 수 있다:
[0096] 인증을 위해서만, 이들은 필요한 모든 키들일 수 있다. 사용자 데이터 암호화를 위해, 제3 단계에서는 데이터 전송 키들과 솔트들이 생성된다. 제3 단계는 PRF의 새로운 재귀 호출로 시작하여, 자식 SA에 대한 키들과 솔트들을 유도할 수 있다.
[0097] 블록(824)에서, 공유 키의 식별자뿐만 아니라 채널들 간의 보안 통신을 위해 응답자 노드에서 LKM에 의해 생성된 논스 및 SPI를 포함하는 SKE SA Init 응답 메시지가 응답자 노드에서 LKM에 의해 작성된다(built). 블록(826)에서, SKE SA Init 응답 메시지는 응답자 채널에 전송되고 응답자 채널은, 예를 들어, SAN 네트워크를 통해 개시자 노드 상의 개시자 채널에 SKE SA Init 응답 메시지를 전송한다.
[0098] 만일, 블록(812)에서, 개시자 노드/응답자 노드 쌍에 대한 공유 키가 존재하지 않는 것으로 결정되면, 처리단계는 블록(816)에서 계속된다. 블록(816)에서, 개시자 노드/응답자 노드 쌍에 대한 디바이스 그룹이 존재하는지가 결정된다. 디바이스 그룹이 존재하는지를 결정하는 단계는 LKM이 개시자 노드/응답자 노드 쌍에 대한 디바이스 그룹이 존재하는지를 EKM에 질의하는 단계와 만일 디바이스 그룹이 존재한다면 EKM이 대응하는 공유 키의 식별자로 응답하는 단계를 또는 만일 존재하지 않는다면 EKM이 오류 메시지로 응답하는 단계를 포함할 수 있다. 만일 디바이스 그룹이 존재한다고 결정되면, 처리 단계는 블록(818)에서 계속되고, 여기서 개시자 노드/응답자 노드 쌍에 대한 공유 키를 EKM로부터 획득하는 단계가 진행되며, 그리고 처리단계는 블록(820)에서 계속되고, 여기서 응답자 SPI 및 논스를 생성하는 단계가 진행된다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 공유 키 및 공유 키 식별자는 응답자 노드에서 휘발성 메모리에 저장되어 응답자 노드의 전원이 꺼지거나 재시작될 때 공유 키는 저장되지 않도록 한다.
[0099] 만일, 블록(816)에서, 디바이스 그룹이 개시자 노드/응답자 노드 쌍에 대해 응답자 LKM 상에 존재하지 않는 것으로 결정되면, 블록(814)이 수행되고 개시자 노드/요청자 노드 쌍은 디바이스 그룹에 합류한다(join). 처리단계는 블록 (818)에서 계속된다.
[0100] 도 8의 프로세스 플로차트는 프로세스(800)의 동작이 임의의 특정 순서로 실행되거나 프로세스(800)의 모든 동작들이 모든 경우에 포함되어야 한다는 것을 나타내려는 것이 아니다. 추가적으로, 프로세스(800)는 모든 적절한 수의 추가 동작들을 포함할 수 있다.
[0101] 도 9는 본 발명의 하나 또는 그 이상의 실시 예들에 따라 SKE SA 초기화 응답에 기초하여 SKE 인증 요청(여기서는 또한 "SKE Auth 요청"으로도 지칭됨)을 생성하기 위한 컴퓨팅 환경(900)의 블록도를 도시한다. 도 9에 도시된 컴퓨팅 환경(900)은 도 5 및 도 7에 도시된 컴퓨팅 환경(500, 700)과 유사하고, 여기서 스토리지 어레이(504)에 대해 호스트(502)에서 SKE Auth 요청 메시지를 작성하는 단계가 추가된다.
[0102] 도 9의 화살표(526)로 도시된 바와 같이, 호스트(502) 상의 HBA(518)는 SKE SA Init 요청 메시지를 스토리지 어레이(504) 상의 HBA(522)로 전송한다. 도 9의 화살표(706)로 도시된 바와 같이, 스토리지 어레이(504) 상의 HBA(522)는 SKE SA Init 응답 메시지를 전송하고, 이는 호스트(502) 상의 HBA(518)에 의해 수신된다. SKE SA Init 응답 메시지를 수신하는 것에 응답하여, HBA(518)는 SKE SA Init 응답 메시지를 호스트(502) 상에 위치한 LKM(520)(도 9의 화살표(902)로 도시된 바와 같음)으로 전송한다. 상기 메시지를 수신하는 것에 대한 응답으로, 호스트(502) 상의 LKM(520)은 SKE SA Init 응답 메시지를 검증하고 개시자 노드와 응답자 노드의 디바이스 그룹이 유효한 SA 쌍을 형성함을 확인한다. 호스트(502) 상의 LKM(520)은 한 세트의 암호화 키들을 유도하고(derive) SKE Auth 요청 메시지를 작성한다. 상기 암호화 키들의 세트는, 예를 들어, 앞서 설명한 프로세스를 사용하여 유도될 수 있다. SKE Auth 요청 메시지는 스토리지 어레이(504) 상의 HBA(522)를 통해서도 지원되는 암호화 알고리즘을 선택하는 것을 돕기 위해 HBA(518)에 의해 지원되는 보안 능력에 기반한 제안 목록을 포함할 수 있다. SKE Auth 요청 메시지의 페이로드는 상기 제안 목록에 기초하여 선택된 암호화 알고리즘과 동일할 필요가 없는 다른 암호화 표준을 사용하여 암호화될 수 있다. 암호화가 HBA(518) 또는 HBA(522)에 의해 직접 지원되지 않는 일부 실시 예들에서, 상기 제안 목록의 옵션은 암호화 없음 일 수 있다 - 인증만 할 수 있다. SKE Auth 요청 메시지는 데이터가 스토리지 어레이(504) 상의 HBA(522)로 전송되도록 요청한 HBA(518) 또는 채널로 전송된다. 이 것은 도 9의 화살표(904)에 의해 도시된 바와 같다. 요청하는(또는 개시자) HBA(518)는, 도 9의 화살표(906)에 의해 도시된 바와 같이, 예를 들어 SAN 네트워크를 통해, 스토리지 어레이(504) 상의 타겟 HBA(522)로 SKE Auth 요청 메시지를 전송한다.
[0103] 도 9의 블록도가 컴퓨팅 환경(900)이 도 9에 도시된 모든 컴포넌트를 포함해야 한다는 것을 나타내기 위한 것이 아님을 이해해야 한다. 오히려, 컴퓨팅 환경(900)은, 조합된 도 9에 도시된 일부 컴포넌트들과 함께, 도 9에 예시되지 않은 임의의 적절한 더 적거나 추가의 컴포넌트들을 포함할 수 있거나, 또는 서로 다른 또는 여러 컴포넌트들에 의해 수행되는 하나 또는 그 이상의 컴포넌트들에 의해 수행되는 기능들을 포함할 수 있다. 예를 들어, 하나 또는 그 이상의 추가 노드들(예: 호스트들 및/또는 스토리지 어레이들)이 있을 수 있다. 또한, 컴퓨팅 환경(900)과 관련하여 여기서 설명된 실시 예들은 모든 적절한 로직으로 구현될 수 있으며, 여기서 언급된 상기 로직은, 다양한 실시 예들에서, 모든 적절한 하드웨어(예를 들어, 무엇보다도, 프로세서, 내장형 컨트롤러, 또는 애플리케이션 특정 집적 회로), 소프트웨어(예를 들어, 무엇보다도, 애플리케이션), 펌웨어, 또는 하드웨어, 소프트웨어 및 펌웨어의 모든 적절한 조합을 포함할 수 있다.
[0104] 이제 도 10을 참조하면, SKE 인증 요청을 생성하기 위한 프로세스(1000)가 본 발명의 하나 또는 그 이상의 실시 예들에 따라 일반적으로 도시된다. 프로세스(1000)의 전부 또는 일부는, 예를 들어, 도 9의 LKM(520)과 같은, LKM에 의해 수행될 수 있다. 프로세스(1000)는 블록(1002)에서 시작하고, 여기서 LKM은 SKE SA Init 메시지를 수신하는 단계를 진행한다. 블록(1004)에서, LKM은 SKE SA Init 메시지가 SKE SA Init 응답 메시지인지를 결정할 수 있고, 만일 그렇다면, 프로세스(1000)는 블록(1006)으로 진행한다. 블록(1006)에서, LKM은 채널이 개시자인지를 결정하기 위해 SA 상태를 체크할 수 있다. 일부 실시예에서, HBA(518)와 같은, 채널은 동작의 루프백 모드에서(in a loopback mode of operation) 자신과 통신할 수 있으며, 여기서 개시자 노드는 또한 응답자 노드이다. 루프백 모드는 테스팅을 위해 사용될 수 있고 및/또는 SA 모드가 개시자와 응답자 모두에 세트된 동작의 특별 FICON 모드로서 사용될 수 있다. 만일 SA 상태가 개시자이면, 블록(1008)에서, LKM은 개시자 노드 및 응답자 노드 쌍과 연관된 SA 상태 머신에서 수신된 마지막 메시지가 Start LKM 메시지였음을 검증하기 위해 메시지 시퀀싱 체크를 수행할 수 있다. 블록(1010)에서, 수신된 마지막 메시지가 Start LKM 메시지였고 따라서 예기치 않은 메시지 시퀀스가 아니었음을 확인하는 것에 기초하여, LKM은 SKE SA Init 응답 메시지의 페이로드 유형이 알림 메시지 유형(a Notify message type)인지를 결정하기 위해 SKE SA Init 응답 메시지의 페이로드 유형을 체크할 수 있다. 알림 메시지 유형은 인증 시퀀스의 추가 진행을 금지하는 응답자 노드에서 오류 또는 기타 조건을 표시할 수 있다. 예를 들어, LKM(528)과 같은, 응답자 노드의 LKM에는 통신 오류, 키 액세스 오류, 시퀀싱 오류 또는 기타 그러한 조건이 있을 수 있다.
[0105] 만일 SKE SA Init 메시지가 블록(1004)에서의 검증 결과로서 SKE SA Init 응답 메시지가 아니면, 오류 핸들러(1012)가 호출될 수 있다. 만일 블록(1006)에서 SA 상태가 비준수 SA 상태(a non-compliant SA state)이거나, 블록(1008)에서 예기치 않은 메시지 시퀀스가 검출되었거나, 또는 만일 블록(1010)에서 페이로드 유형이 알림 메시지 유형이라면, 오류 핸들러(1012)는 또한 호출될 수도 있다. 블록(1002)에서 오류 핸들러(1012)는 수신된 SKE SA Init 메시지를 거부하고 오류 조건이 일시적인 조건 인 경우 복구 프로세스의 일부로 재시도 시퀀스(a retry sequence)를 지원할 수 있다. 공유 키 오류 또는 보안 연관 오류와 같은, 일부 조건들 하에서, 오류 핸들러(1012)는, 예를 들어, 개시자 노드와 응답자 노드 간의 공유 키에 대해 EKM 서버(506)에 새로운 요청을 함으로써 통신 시퀀스를 재시작하는 복구 프로세스를 수행할 수 있다. 재시도가 실패하거나 재시도가 수행되지 않는 조건에서, 통신 시퀀스를 지원하기 위해 유보된 자원들은 해제된다.
[0106] 블록(1010)에서, SKE SA Init 응답 메시지가 알림 메시지 유형이 아님을 확인한 후 프로세스(1000)는 블록(1014)로 진행한다. 블록(1014)에서, LKM은 SKE SA Init 응답 메시지의 SA 페이로드에 기초하여 한 세트의 암호화 키들을 유도할 수 있다. 키 유도는, 예를 들어, 도 8의 프로세스(800)를 참조하여 이전에 설명된 단계들을 사용하여 수행될 수 있다. 블록(1016)에서, LKM은 SKE SA Init 응답 메시지로부터 추출된 하나 또는 그 이상의 파라미터에 적어도 부분적으로 기초하여 개시자 서명을 계산할 수 있다. 예를 들어, 개시자 서명은 응답자 논스, 공유 키, 개시자 식별자, 및 암호화 키들의 세트로부터의 적어도 하나의 키에 기초할 수 있다. 예를 들어, SKE SA Init 응답 메시지는 앞서 설명한 바와 같이 SPI 및 논스 값들을 포함할 수 있다. LKM은 상기 입력들에 기초하여 HMAC를 계산할 수 있으며 응답자 노드는 또한 개시자 노드의 추가 인증으로서 개시자 서명을 독립적으로 계산할 수도 있다.
[0107] HBA(518)과 같은, 개시자 채널은 보안 능력들을 호스트의 LKM에 보고할 수 있고, 이들은 LKM에 의해서 사용되어 블록(1018)에서 개시자 채널에 의해서 지원된 하나 또는 그 이상의 보안 능력들에 기초하여 제안 목록을 작성할 수 있다. 예를 들어, 상기 보안 능력들은 개시자 노드에 의해서 지원되는 암호화 알고리즘들의 목록을 포함할 수 있다. 상기 암호화 알고리즘들은, 예를 들어, 선호도를 설정하는 데 사용되는 계산 복잡성 또는 다른 메트릭에 기초하여 선호도를 정의하는 우선순위 목록으로서 저장될 수 있다. 상기 우선 순위 목록은 보안을 더욱 강화하기 위해 일정 기간 동안 다른 암호화 알고리즘이 선택되도록 시간이 지남에 따라 변경될 수 있다. 예를 들어, PRF를 사용하여 제안 목록의 우선 순위를 설정할 수 있다.
[0108] 블록(1020)에서, LKM은 상기 암호화 키들의 세트 및 상기 제안 목록에 적어도 부분적으로 기초하여 SKE Auth 요청 메시지를 작성하고, 여기서 하나 또는 그 이상의 암호화 키들은 SKE Auth 요청 메시지에 제안 목록과 함께 포함된 개시자 서명을 계산하는 데 사용된다. 개시자 노드는 미리 정해진 암호화 알고리즘을 사용하여 SKE Auth 요청 메시지의 페이로드를 암호화할 수 있다. 블록(1022)에서, LKM은 SKE Auth 요청 메시지를 암호화된 페이로드와 함께 개시자 채널에 전송하고, 개시자 채널은 SKE Auth 요청 메시지를 응답자 노드의 응답자 채널로 전송한다.
[0109] 도 10의 프로세스 플로차트는 프로세스(1000)의 동작들이 임의의 특정 순서로 실행되어야 하거나 프로세스(1000)의 모든 동작들이 모든 경우에 포함되어야 한다는 것을 나타내기 위한 것이 아니다. 추가적으로, 프로세스(1000)는 모든 적절한 수의 추가 동작들을 포함할 수 있다.
[0110] 도 11은 본 발명의 하나 또는 그 이상의 실시 예들에 따라 SKE 인증 요청에 기초하여 SKE 인증 응답(여기서 "SKE 인증 응답"으로도 지칭됨)을 생성하기 위한 컴퓨팅 환경(1100)의 블록도를 도시한다. 도 11에 도시된 컴퓨팅 환경(1100)은 도 5, 7 및 9에 도시된 컴퓨팅 환경(500, 700, 900)과 유사하며, 호스트(502)에 대한 스토리지 어레이(504)에서 SKE Auth 응답 메시지를 작성하는 단계가 추가된다.
[0111] 도 11의 화살표(526)로 도시된 바와 같이, 호스트(502) 상의 HBA(518)는 SKE SA Init 요청 메시지를 스토리지 어레이(504) 상의 HBA(522)로 전송한다. 도 11의 화살표(706)로 도시된 바와 같이, 스토리지 어레이(504) 상의 HBA(522)는, 호스트(502) 상의 HBA(518)에 의해 수신된, SKE SA Init 응답 메시지를 전송한다. SKE SA Init 응답 메시지를 수신하는 것에 응답하여, 호스트(502)는 SKE Auth 요청 메시지(화살표 (906))를 스토리지 어레이(504)로 전송한다. SKE Auth 요청 메시지를 수신하는 것에 응답하여, HBA(522)는 SKE Auth 요청 메시지를 스토리지 어레이(504)에 위치한 LKM(528)으로 전송한다(도 11의 화살표(1102)로 도시된 바와 같음). 상기 메시지를 수신하는 것에 대한 응답으로, 스토리지 어레이(504) 상의 LKM(528)은 SKE Auth 요청 메시지를 검증하고(verify) 개시자 노드 및 응답자 노드의 디바이스 그룹이 다른 예상 상태 및 시퀀스 값들과 함께 유효한 SA 쌍을 형성함을 확인한다(confirm). LKM(528)은 SKE Auth 요청 메시지의 페이로드를 암호 해독하고 검증 체크들을 수행한다. LKM(528)은 서명 체크를 수행하여 개시자 노드를 추가로 인증할 수 있다. SKE Auth 요청 메시지는 스토리지 어레이(504) 상의 HBA(522)를 통해서도 또한 지원되는 암호화 알고리즘을 선택하는데 도움을 주기 위해 HBA(518)에 의해 지원되는 보안 능력들에 기초하여 제안 목록을 포함할 수 있다. SKE Auth 요청 메시지의 페이로드는 암호화될 수 있는데, 제안 목록에 기초하여 선택된 암호화 알고리즘과 동일할 필요가 없는 다른 암호화 표준을 사용하여 암호화될 수 있다. 일단 암호화 알고리즘이 HBA(522)와 호환될 수 있는 제안 목록으로부터 선택되면, LKM(528)은 선택된 암호화 알고리즘을 식별하고 페이로드를 암호화하는 SKE Auth 응답 메시지를 작성할 수 있는데, SKE Auth 요청 메시지의 페이로드를 암호화하는데 사용되었던 동일 암호화 알고리즘을 사용하여 작성할 수 있다.
[0112] SKE Auth 응답 메시지는 HBA(522) 또는 채널로 전송된다. 이것은 도 11에서 화살표(1104)로 도시된다. 스토리지 어레이(504) 상의 응답자 HBA(522)는 도 11의 화살표(1106)로 도시된 바와 같이, 예를 들어, SAN 네트워크를 통해 호스트(502) 상의 개시자 HBA(518)에 SKE Auth 응답 메시지를 전송한다.
[0113] 도 11의 블록도가 컴퓨팅 환경(1100)이 도 11에 도시된 모든 컴포넌트를 포함해야 한다는 것을 나타내기 위한 것이 아님을 이해해야 한다. 오히려, 컴퓨팅 환경(1100)은, 조합된 도 11에 도시된 일부 컴포넌트들과 함께, 도 11에 예시되지 않은 임의의 적절한 더 적거나 추가의 컴포넌트들을 포함할 수 있거나, 또는 서로 다른 또는 여러 컴포넌트들에 의해 수행되는 하나 또는 그 이상의 컴포넌트들에 의해 수행되는 기능들을 포함할 수 있다. 예를 들어, 하나 또는 그 이상의 추가 노드들(예: 호스트들 및/또는 스토리지 어레이들)이 있을 수 있다. 또한, 컴퓨팅 환경(1100)과 관련하여 여기서 설명된 실시 예들은 모든 적절한 로직으로 구현될 수 있으며, 여기서 언급된 상기 로직은, 다양한 실시 예들에서, 모든 적절한 하드웨어(예를 들어, 무엇보다도, 프로세서, 내장형 컨트롤러, 또는 애플리케이션 특정 집적 회로), 소프트웨어(예를 들어, 무엇보다도, 애플리케이션), 펌웨어, 또는 하드웨어, 소프트웨어 및 펌웨어의 모든 적절한 조합을 포함할 수 있다.
[0114] 도 12는 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE 인증 메시지 처리를 위한 프로세스(1200)를 도시한다. 프로세스(1200)의 전부 또는 일부는 예를 들어 도 11의 LKM(528)과 같은 LKM에 의해 수행될 수 있다. 프로세스(1200)는 블록(1202)에서 시작하고, 여기서 LKM이 SKE Auth 메시지를 수신하는 단계를 진행한다. LKM은 검증 체크로서 SKE Auth 메시지가 SKE Auth 요청 메시지인지를 결정할 수 있고, 여기서 LKM은 SKE Auth 요청 및 응답 메시지 유형을 모두 지원할 수 있다.
[0115] 블록(1204)에서, 상태 체크(a state check)가 개시자 노드 및 응답자 노드의 SA에 기초하여 수행될 수 있다. 상태 체크의 예들에는 공유 키가 있는 개시자 노드 및 응답자 노드 쌍에 대해 SA가 존재하는지를 확인하는 단계가 포함될 수 있다. SA 모드 체크는 SA의 모드가 응답자에 세트 되었는지를 확인할 수 있다. 블록(1204)에서의 상태 체크는 또한 LKM(528)의 마지막 수신 메시지 상태 및 마지막 전송 메시지 상태가 예상 값과 일치하는지를 검증하는 단계를 포함할 수 있다. 예를 들어, 메시지 시퀀스 상태 머신(a message sequence state machine)은 응답자 노드로부터 전송된 마지막 메시지가 SKE SA Init 응답 메시지였고 수신된 마지막 메시지가 SKE SA Init 요청 메시지였는지를 확인하기 위해 체크될 수 있다.
[0116] 만일, 블록(1204)에서, 상태가 정상이면(예를 들어, 모든 예상 값이 검증됨), SKE Auth 요청 메시지의 페이로드 유형은 메시지가 알림 메시지 유형인지를 결정하기 위해 블록(1206)에서 체크될 수 있다. 알림 메시지 유형은 인증 시퀀스에서 추가 진행을 금지하는 개시자 노드에서의 오류 또는 다른 조건을 표시할 수 있다. 예를 들어, LKM(520)과 같은, 개시자 노드의 LKM에는 통신 오류, 키 액세스 오류, 시퀀싱 오류 또는 기타 그러한 상태가 있을 수 있다. 알림 메시지 유형 표시자(indicator)는 SKE Auth 요청 메시지의 페이로드 내에서 암호화되지 않은 상태로 나타날 수 있다.
[0117] 만일, 블록(1206)에서, 상기 메시지 페이로드가 알림 메시지 유형이 아니면, 블록(1208)에서, 상기 메시지 페이로드는 암호 해독될 수 있다. 암호 해독 후, 블록(1210)에서 추가 검증 체크들이 수행될 수 있다. SKE Auth 요청 메시지의 검증 체크들은, 예를 들어, 상기 페이로드의 암호 해독하는 것에 기초하여 상기 페이로드의 식별자 및 하나 또는 그 이상의 메시지 헤더 파라미터들을 체크하는 단계를 포함할 수 있다. 상기 메시지 헤더에서 체크될 수 있는 파라미터들에는 버전 및 페이로드 길이가 포함될 수 있다. SKE Auth 요청 메시지의 암호 해독된 페이로드는 상기 메시지에서 식별된 World-Wide 노드 이름 또는 World-Wide 포트 이름이 SKE SA Init 요청 메시지에 기초한 예상 값과 일치하는지를 확인하기 위해 체크될 수 있다.
[0118] 블록(1212)에서, LKM(528)은 개시자 서명을 계산할 수 있고, 블록(1214)에서, 상기 개시자 서명은 체크될 수 있다. 상기 개시자 서명은, SKE SA Init 요청 메시지와 같은, 이전 메시지에서 추출된 값들 또는 이전에 결정된 값들에 기초하여 계산될 수 있다. 예를 들어, 상기 개시자 서명은 응답자 논스, 공유 키, 개시자 식별자, 및 암호화 키들의 세트로부터의 적어도 하나의 키에 기초하여 LKM(528)에서 계산될 수 있다. 계산된 개시자 서명은 SKE Auth 요청 메시지에서 수신된 개시자 서명과 비교될 수 있으며, 여기서 상기 개시자 서명은 추가 검증으로서 암호 해독 후 SKE 인증 요청 메시지의 페이로드로부터 추출될 수 있다.
[0119] 만일, 블록(1214)에서, 개시자 서명 체크가 통과하면, 블록(1216)에서 응답자 서명이 계산될 수 있다. 상기 응답자 서명은 개시자 논스(nonce), 공유 키, 응답자 식별자, 및 암호화 키들의 세트로부터의 적어도 하나의 키에 기초하여 계산될 수 있다. 상기 응답자 서명을 계산하는 데 사용되는 하나 또는 그 이상의 값들은, SKE SA Init 요청 메시지와 같은, 이전 메시지에서 추출된 값들에 기초할 수 있다.
[0120] 블록(1218)에서, SKE Auth 요청 메시지에서 수신된 제안 목록 및 응답자 노드에 의해 지원되는 최고 우선순위 암호화 알고리즘의 능력들에 기초하여 개시자 채널과 응답자 채널 사이의 데이터를 암호화하기 위한 암호화 알고리즘이 선택된다. HBA(522)의 능력들은 LKM(528)에 보고될 수 있는데, 이는 개시자 노드 및 응답자 노드에 의해 지원될 제안 목록으로부터 암호화 알고리즘을 선택하는 데 LKM(528)을 돕기 위해서이다. 만일, 블록(1220)에서, 응답자 노드가 제안 목록의 암호화 알고리즘 중 어느 것도 지원하지 않아서, 알고리즘 선택이 불가능하다고 결정되면, SKE Auth 요청 메시지는 블록(1222)에서 거부된다. SKE Auth 요청 메시지는 또한 블록(1222)에서 거부될 수 있는데, 블록(1204)에서 예상치 못한 상태에 기초하여, 블록(1206)에서 검출된 알림 메시지 유형에 기초하여, 블록(1210)에서 검증 체크 실패에 기초하여, 또는 블록(1214)에서 서명 체크 실패에 기초하여, 거부될 수 있다. SKE Auth 요청 메시지의 거부는, 응답자 노드가 대체 SKE Auth 요청 메시지를 수락할 준비가 되었다면, 재시도 옵션을 지원할 수 있다. 통신 세션이 취소되고 연관된 값들이 제거되기(purged) 전에 미리 결정된 수의 재시도가 지원될 수 있다.
[0121] 만일, 블록(1220)에서, 암호화 알고리즘 선택이 가능하다면, LKM(528)은 블록(1224)에서 SKE Auth 응답 메시지를 작성한다. SKE Auth 응답 메시지를 작성하는 단계(building)는 성공적인 상태 체크, 성공적인 검증 그리고 제안 목록으로부터 암호화 알고리즘들 중 하나를 선택하는 단계에 적어도 부분적으로 기초할 수 있다. SKE Auth 응답 메시지의 페이로드는 블록(1216)에서 계산된 응답자 서명 그리고 블록(1218)에서의 선택에 기초하여 선택된 암호화 알고리즘의 표시자를 포함할 수 있다. SKE Auth 응답 메시지의 페이로드는, 예를 들어, SKE Auth 요청 메시지의 페이로드를 암호화하는 데 사용되는 것과 동일한 암호화 알고리즘을 사용하여 암호화된다. SKE Auth 응답 메시지는 제안 목록과 독립적으로 암호화된다.
[0122] LKM Done 메시지는 블록(1226)에서 작성된다. LKM Done 메시지는 선택된 암호화 알고리즘을 사용하여 개시자 채널과 응답자 채널 간의 암호화된 통신을 가능하게 하기 위해 하나 또는 그 이상의 세션 키들, 개시자 SPI 및 응답자 SPI를 포함할 수 있다. 데이터 전송 키들이라고도 하는, 세션 키들은 선택된 암호화 알고리즘과 이전에 시딩 키들로서 유도된 하나 또는 그 이상의 암호화 키들 세트에 기초하여 계산될 수 있다. 세션 키들은 개시자 노드와 응답자 노드 모두에 의해 선택된 암호화 알고리즘의 지식과 함께 개시자 채널과 응답자 채널 간의 데이터 전송의 암호화 및 암호 해독을 지원할 수 있다. LKM Done 메시지는 또한 SA 상태를 완료로 세트할 수도 있으며 인증 프로세스와 연관된 추가 정리 작업들(cleanup actions)을 트리거 할 수도 있다. 또한, 세션 키 재입력 타이머가 시작될 수 있다. 세션 키 재입력 타이머는 도 15와 관련하여 아래에서 설명되는 바와 같이 재입력 프로세스를 트리거할 수 있다. 세션 키 재입력 타이머는 만료되는 시간의 양과 타겟 노드와 소스 노드 사이에서 발생하는 교환들의 수 중 하나 또는 둘 다에 기초하여 만료될 수 있다.
[0123] 블록(1228)에서, SKE Auth 응답 메시지 및 LKM Done 메시지는 LKM(528)에서 HBA(522)로 전송된다. HBA(522)가 SKE Auth 응답 메시지를 HBA(518)로 전송한 후, LKM Done 메시지는 선택된 암호화 알고리즘을 사용하여 HBA(518)와 통신하기 위해 HBA(522)의 재구성을 트리거할 수 있다.
[0124] 도 12의 프로세스 플로차트는 프로세스(1200)의 동작들이 임의의 특정 순서로 실행되거나 프로세스(1200)의 모든 동작들이 모든 경우에 포함되어야 한다는 것을 표시하기 위한 것이 아니다. 추가적으로, 프로세스(1200)는 모든 적절한 수의 추가 작업을 포함할 수 있다.
[0125] 도 13은 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE 인증 응답에 기초한 HBA 키 로딩을 위한 컴퓨팅 환경(1300)의 블록도를 도시한다. 도 13에 도시된 컴퓨팅 환경(1300)은 도 5, 7, 9 및 11에 도시된 컴퓨팅 환경(500, 700, 900, 1100)과 유사하고, 호스트(502)에서 SKE Auth 응답 메시지를 처리하는 단계를 추가하여 암호화된 링크 경로 설정을 완료한다.
[0126] 도 13의 화살표(526)로 도시된 바와 같이, 호스트(502) 상의 HBA(518)는 SKE SA Init 요청 메시지를 스토리지 어레이(504) 상의 HBA(522)로 전송한다. 도 13의 화살표(706)로 도시된 바와 같이, 스토리지 어레이(504) 상의 HBA(522)는 SKE SA Init 응답 메시지를 전송하고, 이는 호스트(502) 상의 HBA(518)에 의해 수신된다. SKE SA Init 응답 메시지를 수신하는 것에 응답하여, 호스트(502)는 SKE Auth 요청 메시지(화살표 906)를 스토리지 어레이(504)에 전송한다. SKE Auth 요청 메시지를 수신하는 것에 응답하여, HBA(522)는 HBA(518)에 대해 SKE Auth 응답 메시지(화살표 1106)로 응답한다.
[0127] SKE Auth 응답 메시지를 수신하는 것에 응답하여, HBA(518)는 호스트(502) 상에 위치한 LKM(520)으로 SKE Auth 응답 메시지를 전송한다(도 13의 화살표(1302)로 도시된 바와 같음). 상기 메시지를 수신하는 것에 대한 응답으로, 호스트(502) 상의 LKM(520)은 SKE Auth 응답이 수신되었음을 검증하고 개시자 노드 및 응답자 노드의 디바이스 그룹이 다른 예상 상태 및 시퀀스 값들과 함께 유효한 SA 쌍을 형성하는지를 확인한다. LKM(520)은 SKE Auth 응답 메시지의 페이로드를 암호 해독하고 검증 체크들을 수행한다. LKM(520)은 서명 체크를 수행하여 응답자 노드를 추가로 인증할 수 있다. SKE Auth 응답 메시지는 SKE Auth 요청 메시지의 제안 목록에서 이전에 전송된 암호화 알고리즘들 하는 또는 그 이상에 대응하는 선택된 암호화 알고리즘을 포함할 수 있다. 일부 실시예에서, 선택된 암호화 알고리즘은 암호화 없이 -인증만 할 수 있다. SKE Auth 응답 메시지의 페이로드는 제안 목록에 기초하여 선택된 암호화 알고리즘과 동일할 필요가 없는 다른 암호화 표준을 사용하여 암호화될 수 있다. 일단 암호화 알고리즘이 HBA(518) 및 HBA(522)와 호환될 수 있는 제안 목록으로부터 선택되면, LKM(520)은 그 선택을 휘발성 메모리에 로컬로 저장할 수 있다. LKM(520)은 HBA(522)와의 통신들을 암호화하는 단계 및 암호 해독하는 단계에서 HBA(518)을 지원하기 위해 선택된 암호화 알고리즘, 세션 키들, 및 SPI들을 식별하는 LKM Done 메시지를 작성할 수 있다. 상기 LKM Done 메시지는 화살표(1304)에 의해 도시된 바와 같이 HBA(518)로 전송될 수 있다.
[0128] HBA(518)는 LKM Done 메시지의 정보를 사용하여 HBA(522)와 통신하도록 구성될 수 있고 화살표(1306)로 도시된 바와 같이 HBA(518)와 HBA(522) 사이에서 상기 선택된 암호화 알고리즘을 사용하여 암호화된 링크 경로를 설정하는 단계를 완료하도록 구성될 수 있다.
[0129] 도 13의 블록도가 컴퓨팅 환경(1300)이 도 13에 도시된 모든 컴포넌트를 포함해야 한다는 것을 나타내기 위한 것이 아님을 이해해야 한다. 오히려, 컴퓨팅 환경(1300)은, 조합된 도 13에 도시된 일부 컴포넌트들과 함께, 도 13에 예시되지 않은 임의의 적절한 더 적거나 추가의 컴포넌트들을 포함할 수 있거나, 또는 서로 다른 또는 여러 컴포넌트들에 의해 수행되는 하나 또는 그 이상의 컴포넌트들에 의해 수행되는 기능들을 포함할 수 있다. 예를 들어, 하나 또는 그 이상의 추가 노드들(예: 호스트들 및/또는 스토리지 어레이들)이 있을 수 있다. 또한, 컴퓨팅 환경(1300)과 관련하여 여기서 설명된 실시 예들은 모든 적절한 로직으로 구현될 수 있으며, 여기서 언급된 상기 로직은, 다양한 실시 예들에서, 모든 적절한 하드웨어(예를 들어, 무엇보다도, 프로세서, 내장형 컨트롤러, 또는 애플리케이션 특정 집적 회로), 소프트웨어(예를 들어, 무엇보다도, 애플리케이션), 펌웨어, 또는 하드웨어, 소프트웨어 및 펌웨어의 모든 적절한 조합을 포함할 수 있다.
[0130] 도 14는 본 발명의 하나 또는 그 이상의 실시 예들에 따른 SKE 인증 응답에 기초한 HBA의 채널 키 로딩을 위한 프로세스(1400)를 도시한다. 프로세스(1400)의 전부 또는 일부는, 예를 들어, 도 13의 LKM(520)과 같은, LKM에 의해 수행될 수 있다. 프로세스(1400)는 블록(1402)에서 시작하고, 여기서 LKM이 SKE Auth 메시지를 수신하는 단계를 진행한다. 블록(1404)에서, LKM은 SKE Auth 메시지가 검증 체크로서 SKE Auth 응답 메시지인지를 결정할 수 있으며, 여기서 LKM은 SKE Auth 요청 및 응답 메시지 유형들 모두를 지원할 수 있다.
[0131] SKE Auth 응답 메시지가 블록(1404)에서 수신되었음을 확인한 후, 프로세스(1400)는 블록(1406)으로 계속된다. 블록(1406)에서, 개시자 노드 및 응답자 노드의 SA에 기초하여 상태 체크가 수행될 수 있다. 상태 체크들의 예들에는 공유 키가 있는 개시자 노드 및 응답자 노드 쌍에 대한 SA가 존재하는지를 확인하는 단계가 포함될 수 있다. SA 모드 체크는 SA의 모드가 개시자에 세트되어 있는지를 확인할 수 있다. 블록(1406)에서의 상태 체크는 또한 LKM(520)의 마지막 수신된 메시지 상태 및 마지막 전송된 메시지 상태가 예상 값들과 일치하는지를 확인하는 단계를 포함할 수 있다. 예를 들어, 메시지 시퀀스 상태 머신은 개시자 노드로부터 전송된 마지막 메시지가 SKE Auth 요청 메시지이고 마지막으로 수신된 메시지가 SKE SA Init 응답 메시지인지를 확인하기 위해 체크될 수 있다.
[0132] 만일, 블록(1406)에서, 상태가 정상이면(예를 들어, 모든 예상 값들이 검증되었다면), SKE Auth 응답 메시지의 페이로드 유형은 상기 메시지가 알림 메시지 유형인지를 결정하기 위해 블록(1408)에서 체크될 수 있다. 알림 메시지 유형은 인증 시퀀스에서 추가 진행을 금지하는 개시자 노드에서의 오류 또는 기타 조건을 표시할 수 있다. 예를 들어, LKM(528)과 같은, 응답자 노드의 LKM에는 통신 오류, 키 액세스 오류, 시퀀싱 오류 또는 기타 그러한 조건이 있을 수 있다. 알림 메시지 유형 표시자(indicator)는 SKE Auth 응답 메시지의 페이로드 내에서 암호화되지 않은 상태로 나타날 수 있다.
[0133] 만일, 블록(1408)에서, 상기 메시지 페이로드가 알림 메시지 유형이 아니면, 상기 메시지 페이로드는 블록(1410)에서 암호 해독될 수 있다. 암호 해독 후, 블록(1412)에서 추가 검증 체크들이 수행될 수 있다. 예를 들어, SKE Auth 응답 메시지의 검증 체크들은 상기 페이로드의 암호 해독에 기초하여 상기 페이로드의 식별자 및 하나 또는 그 이상의 메시지 헤더 파라미터들을 체크하는 단계를 포함할 수 있다. 메시지 헤더에서 체크될 수 있는 파라미터들에는 버전 및 페이로드 길이가 포함될 수 있다. SKE Auth 응답 메시지의 암호 해독된 페이로드는 상기 메시지에서 식별된 월드 와이드 노드 이름 또는 월드 와이드 포트 이름이 Start LKM 메시지에 기초하여 예상 값과 일치하는지 확인하기 위해 체크될 수 있다.
[0134] LKM(520)은 블록(1414)에서 응답자 서명을 계산할 수 있고, 블록(1416)에서 응답자 서명은 체크될 수 있다. 상기 응답자 서명은 개시자 논스(nonce), 공유 키, 응답자 식별자, 및 암호화 키들의 세트로부터 적어도 하나의 키에 기초하여 계산될 수 있다. 상기 응답자 서명을 계산하는 데 사용되는 하나 또는 그 이상의 값들은, SKE SA Init 응답 메시지와 같은, 이전 메시지에서 추출된 값들에 기초할 수 있다. 상기 계산된 응답자 서명은 SKE Auth 응답 메시지에서 수신된 응답자 서명과 비교될 수 있으며, 여기서 상기 응답자 서명은 추가 검증으로서 암호 해독 후 SKE Auth 응답 메시지의 페이로드에서 추출될 수 있다. 만일, 블록(1416)에서, 서명 체크 검증이 실패하면, SKE Auth 응답 메시지는 블록(1418)에서 거부된다. SKE Auth 응답 메시지는 또한 블록(1404)에서 예상치 못한 메시지에 기초하여, 블록(1406)에서 예상치 못한 상태에 기초하여, 블록(1408)에서 검출된 알림 메시지 유형에 기초하여, 또는 블록(1412)에서 검증 체크 실패(예: 성공하지 못한 검증 결과)에 기초하여 블록(1418)에서 거부될 수도 있다. SKE Auth 응답 메시지의 거부는 재시도 옵션을 지원할 수 있으며, 여기서 개시자 노드는 대체 SKE Auth 응답 메시지를 수락할 준비가 되어 있다. 통신 세션이 취소되고 연관된 값들이 제거되기 전에 미리 결정된 수의 재시도들이 지원될 수 있다. 만일 응답자 서명 체크가 블록(1416)에서 통과하면, SKE Auth 응답 메시지로부터 선택된 암호화 알고리즘이 식별되고 블록(1420)에서 저장된다.
[0135] LKM Done 메시지는 블록(1422)에서 작성된다. LKM Done 메시지는 선택된 암호화 알고리즘을 사용하여 개시자 채널과 응답자 채널 간의 암호화된 통신을 가능하게 하기 위해 하나 또는 그 이상의 세션 키들, 개시자 SPI 및 응답자 SPI를 포함할 수 있다. 데이터 전송 키들이라고도 하는, 세션 키들은 선택된 암호화 알고리즘과 이전에 시딩 키로서 유도된 하나 또는 그 이상의 암호화 키들의 세트에 기초하여 계산될 수 있다. 세션 키들는 개시자 노드와 응답자 노드 모두에 의해 선택된 암호화 알고리즘의 지식과 함께 개시자 채널과 응답자 채널 간의 데이터 전송들의 암호화 및 암호 해독을 지원할 수 있다. LKM Done 메시지는 또한 SA 상태를 완료로 세트 할 수도 있으며 인증 프로세스와 연관된 추가 정리 작업들을 트리거 할 수도 있다.
[0136] 블록(1424)에서, 세션 키 재입력 타이머가 시작된다. 세션 키 재입력 타이머는 도 15와 관련하여 아래에서 설명되는 바와 같이 재입력 프로세스를 트리거 할 수 있다. 세션 키 재입력 타이머는 만료되는 시간의 양과 타겟 노드와 소스 노드 사이에서 발생하는 교환들의 수 중 하나 또는 둘 다에 기초하여 만료될 수 있다. 그들의 대응하는 노드들은 다른 정책들을 가질 수 있기 때문에, 개시자 채널에서의 세션 키 재입력 타이머는 응답자 채널에서의 세션 키 재입력 타이머와 다른 시간에 만료될 수 있다. 블록(1426)에서, 세션 키 재입력 타이머를 시작한 후에 LKM Done 메시지가 개시자 채널로 전송될 수 있다. LKM Done 메시지를 수신하는 것에 기초하여, HBA(518)는 선택된 암호화 알고리즘에 기초하여 HBA(522)와의 암호화된 통신을 지원하기 위해 키들을 로드 할 수 있다. 그 후, HBA(518)와 HBA(522) 사이의 데이터 전송들은 세션이 완료되거나 키를 재입력할 때까지 선택된 암호화 알고리즘과 세션 키들을 사용하여 수행된다.
[0137] 도 14의 프로세스 플로차트는 프로세스(1400)의 동작들이 임의의 특정 순서로 실행되거나 프로세스(1400)의 모든 동작들이 모든 경우에 포함되어야 한다는 것을 나타내려는 것이 아니다. 추가적으로, 프로세스(1400)는 모든 적절한 수의 추가 동작들을 포함할 수 있다. 본 발명의 일부 실시 예들에 따라, 재입력 프로세스는 개시자 측에 의해서만(예를 들어, 개시자 노드 또는 소스 노드) 제어된다.
[0138] 이제 도 15를 참조하면, 보안 데이터 전송을 제공하기 위해 SKE를 사용하는 컴퓨팅 환경에서 키들을 새로 고치기 위한 프로세스(1500)가 본 발명의 하나 또는 그 이상의 실시 예들에 따라 일반적으로 도시된다. 프로세스(1500)의 전부 또는 일부는, 예를 들어, 도 5의 LKM(520) 또는 LKM(528)과 같은, LKM에 의해 수행될 수 있다. 앞서 설명된 바와 같이, 본 발명의 하나 또는 그 이상의 실시 예들에 따라 공유 키 재입력 타이머들 및 세션 키 재입력 타이머들은 시스템 정책들에 기초하여 세트 된다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 상기 재입력 타이머들은 노드들 각각에서 LKM에 의해 개시되고 추적된다.
[0139] 프로세스(1500)는 블록(1502)에서 시작하고, 여기서 재입력 타이머가 만료하는 단계가 진행된다. 블록(1504)에서, 재입력 타이머가 공유 키 재입력 타이머인지 또는 세션 키 재입력 타이머인지가 결정된다. 만일, 블록(1504)에서, 공유 키 재입력 타이머가 만료된 것으로 결정되면, 블록(1506)에서 처리가 계속된다. 이전에 설명된 바와 같이, 공유 키 재입력 타이머는, 도 5의 EKM(506)과 같은, EKM으로부터 획득된 공유 키가, 도 5의 호스트(502) 및 스토리지 어레이(504)와 같은, 2개의 노드들 사이의 통신에 대해 유효한 시간의 양과 관련이 있다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 컴퓨팅 환경의 각 노드에서 LKM은 상기 컴퓨팅 환경의 노드와 다른 노드들 사이에 존재하는 공유 키들 각각에 대한 개별 공유 키 재입력 타이머를 제어(예를 들어, 개시 및 모니터링)한다. 각 공유 키 재입력 타이머는 노드들의 쌍을 포함하는 디바이스 그룹과 연관된다(각 쌍은 LKM이 실행 중인 노드를 포함함). 또한, LKM은 보안 통신을 위해 노드와 다른 노드들 사이에 존재하는 공유 키들 각각에 대한 공유 키 식별자 및 공유 키의 현재 값을 저장한다.
[0140] 블록(1506)에서, 공유 키 재입력 타이머와 연관된 노드들의 쌍 사이에 디바이스 그룹이 존재하는지가 결정된다. 만일 디바이스 그룹이 존재하지 않는 것으로 결정되면, 처리단계는 블록(1508)에서 계속되고, 여기서 도 5 및 6과 관련하여 위에서 설명된 것과 같은 방식으로 노드들의 쌍 사이에 디바이스 그룹을 생성하는 단계를 진행한다. 일단 디바이스 그룹이 생성되면 블록(1510)에서 처리단계가 계속된다.
[0141] 만일, 블록(1506)에서, 디바이스 그룹이 노드들의 쌍 사이에 존재한다고 결정되면, 블록(1510)에서 처리가 계속된다. 블록(1510)에서 새로운 공유 키가 생성된다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, LKM은, 노드들의 쌍을 포함하는 디바이스 그룹에 대한 새 공유 키를 위한 요청을, 도 5의 EKM 서버(506)와 같은, EKM에 전송한다. 상기 요청을 수신하는 것에 대한 응답으로, EKM은 상기 디바이스 그룹을 위한 새로운 키를 생성하고 상기 새로운 키를 디바이스 그룹의 공유 키 식별자와 연관시킨다. EKM은 요청하는 LKM에 새로운 키를 전송한다. LKM에 의해 공유 키를 수신하는 단계는 다수의 단계들 프로세스일 수 있고, 이 프로세스에서, EKM으로부터 업데이트된 키를 요청하는 것에 후속하여(또는 새로운 키가 생성되었다는 알림을 EKM로부터 수신하는 것에 응답하여), LKM은 현재 키(즉, 업데이트된 키)를 요청하기 위해 EKM에 대한 공유 키 식별자를 포함하는 제2 요청을 전송한다. EKM은 요청하는 LKM에 공유 키 식별자에 대응하는 공유 키 값을 반환함으로써 응답한다. 블록(1512)에서, 업데이트된 키는, LKM에 의해, 현재 공유 키로, 저장된다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, LKM은 LKM이 실행 중인 노드 상의 채널들과 다른 노드들 상의 다른 채널들 사이의 현재 통신 세션들 또는 SA들을 추적한다. 현재 통신 세션들 각각은 그 세션이 종료되거나 세션 키 재입력 타이머가 만료될 때까지 이전 공유 키, 즉 새로운 공유 키가 생성되기 전에 사용된 공유 키로 세션을 계속한다. 일단 LKM이 더 이상 현재 통신 세션들이 이전 공유 키를 사용하고 있지 않다고 결정하면, 블록(1514)에서 이전 공유 키는 취소된다(revoked). 본 발명의 하나 또는 그 이상의 실시 예들에 따라, LKM은 SA를 사용하여 현재 통신 세션들의 상태(status)에 관한 정보를 저장한다.
[0142] 만일, 블록(1504)에서, 세션 키 재입력 타이머가 만료된 것으로 결정되면, 처리단계는 블록(1516)에서 계속된다. 이전에 설명된 바와 같이, 세션 키 재입력 타이머는, 도 5의 HBA(518) 및 HBA(522)와 같은, 2개의 채널들 간의 통신 세션들에 대해 세션 키(여러 키들을 포함할 수 있음)가 유효한 시간의 양과 관련된다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 컴퓨팅 환경의 각 노드에서 LKM은 상기 컴퓨팅 환경의 노드 상의 채널들 및 다른 노드들 상의 채널들 사이에서 처리 중인 통신 세션들 각각에 대해 별도의 세션 키 재입력 타이머를 제어(예를 들어, 개시 및 모니터링)한다. 각 세션 키 재입력 타이머는 채널들의 쌍과 연관된다(여기서 각 쌍은 LKM이 실행 중인 노드 상의 채널을 포함한다).
[0143] 블록(1516)에서, LKM은 만료된 세션 키 재입력 타이머와 연관된 채널들의 쌍이 위치한 노드(들)와 연관된 현재 공유 키를 액세스한다. 블록(1518)에서, LKM은 도 5 및 6에 대해 위에서 설명된 것과 같은 방식으로 SKE SA Init 요청 메시지를 작성한다(build). 블록(1520)에서, SKE SA Init 요청 메시지는 상기 세션 키(들)의 재협상을 개시하기 위해 다른 노드 상의 채널로 전송된다. 본 발명의 하나 또는 그 이상의 실시 예들에 따라, 상기 재협상은 채널들의 쌍 사이에서 SKE SA Init 요청, SKE SA Init 응답, SKE Auth 요청, 및 SKE Auth 응답 메시지들을 교환하는 단계를 포함한다.
[0144] 키를 새로 고쳐지거나(refresh) 키를 재입력하는 능력을 제공함으로써, 상기 키들은 시스템에 또 다른 층의 보안을 제공한다. 본 발명의 일부 실시예에 따라, 상기 공유 키들은 상기 세션 키들보다 덜 자주 새로 고쳐진다.
[0145] 도 15의 프로세스 플로차트는 프로세스(1500)의 동작들이 임의의 특정 순서로 실행되거나 프로세스(1500)의 모든 동작들이 모든 경우에 포함되어야 한다는 것을 나타내려는 것이 아니다. 추가적으로, 프로세스(1500)는 모든 적절한 수의 추가 동작들을 포함할 수 있다.
[0146] 다양한 실시예가 여기에서 설명되었지만, 다른 변형들 및 실시 예들도 가능하다.
[0147] 본 발명의 하나 또는 그 이상의 실시 예들은 컴퓨터 기술과 불가분의 관계에 있으며 컴퓨터 내에서의 처리를 용이하게 하여 성능을 향상시킨다. 한 예에서, 노드들 간의 인증 링크들에서 성능 향상이 제공된다. 이들 링크들은 메시지들을 이들 링크들에 의해서 결합된 노드들 간에 안전하게 전송하는 데 사용된다. 하나 또는 그 이상의 실시 예들은 링크 초기화 시간은 감소 시키고, 컴퓨터 환경 내에서 생산성은 증가 시키며, 컴퓨터 환경 내에서 보안을 강화하고, 및/또는 시스템 성능을 향상시킨다.
[0148] 다른 유형들의 컴퓨팅 환경들도 또한 본 발명의 하나 또는 그 이상의 실시 예들을 포함하고 사용할 수도 있으며, 본 발명의 하나 또는 그 이상의 실시 예들은 에뮬레이션 환경을 포함하지만 이에 제한되지 않으며, 그 예는 도 6a를 참조하여 설명된다. 이 예에서, 컴퓨팅 환경(35)은, 예컨대, 네이티브 중앙 처리 유닛(CPU)(37), 메모리(39), 및, 예를 들어, 하나 또는 그 이상의 버스들(43) 및/또는 다른 접속들을 통해, 서로 연결된 하나 또는 그 이상의 입출력 디바이스들 및/또는 인터페이스들(41)을 포함한다. 예로서, 컴퓨팅 환경(35)은 미국 뉴욕 주 아몽크에 있는 인터내셔널 비즈니스 머신즈 코포레이션이 공급하는 PowerPC 프로세서 및/또는 인터내셔널 비즈니스 머신즈 코포레이션, 인텔, 또는 다른 회사들이 공급하는 아키텍처들에 기반하는 다른 머신들을 포함할 수 있다.
[0149] 네이티브 중앙 처리 유닛 (37)는 환경 내에서 처리 중에 사용되는 하나 또는 그 이상의 범용 레지스터들 및/또는 하나 또는 그 이상의 특수 목적 레지스터들과 같은 하나 또는 그 이상의 네이티브 레지스터들(45)을 포함한다. 이들 레지스터들은 특정 시점에서 환경 상태를 표시하는 정보를 포함한다.
[0150] 또한, 네이티브 중앙 처리 유닛(the native central processing unit)(37)는 메모리(39)에 저장된 명령들과 코드를 실행한다. 한 특정 예에서, 중앙 처리 유닛(the central processing unit)는 메모리(39)에 저장된 에뮬레이터 코드(47)를 실행한다. 이 코드는 한 아키텍처에서 구성된 컴퓨팅 환경이 다른 아키텍처를 에뮬레이트를 할 수 있게 한다. 예를 들어, 에뮬레이터 코드(47)를 사용하면 PowerPC 프로세서, 또는 다른 서버들 또는 프로세서들과 같은 z/Architecture 이외의 아키텍처에 기초하여 하는 머신들에서 z/Architecture 를 에뮬레이트하고 z/Architecture 에 기초하여 개발된 소프트웨어 및 명령을 실행할 수 있다.
[0151] 에뮬레이터 코드(47)에 관한 더 상세한 설명은 도 16b를 참조하여 기술된다. 메모리(39)에 저장된 게스트 명령들(49)은 네이티브 CPU(37)의 아키텍처가 아닌 아키텍처에서 실행되도록 개발된 소프트웨어 명령들(예를 들어, 머신 명령들에 관련되는)을 포함한다. 예를 들어, 게스트 명령들(49)은 z/Architecture 프로세서 상에서 실행하도록 설계되었지만, 예를 들어 인텔 프로세서일 수 있는, 네이티브 CPU (37)상에서 에뮬레이트 될 수 있다. 한 예에서, 에뮬레이터 코드(47)는 메모리(39)로부터 하나 또는 그 이상의 게스트 명령들(49)을 획득하고 획득된 명령들에 대한 로컬 버퍼링을 선택적으로 제공하기 위한 명령 페치 루틴(51)을 포함한다. 또한, 획득된 게스트 명령의 유형을 결정하고 상기 게스트 명령을 하나 또는 그 이상의 대응하는 네이티브 명령들 (55)로 변환하기 위한 명령 변환 루틴(53)을 포함한다. 이 변환은, 예를 들어, 상기 게스트 명령에 의해 수행될 함수를 식별하는 것과 그 함수를 수행하기 위한 네이티브 명령(들)을 선택하는 것을 포함한다.
[0152] 또한, 에뮬레이터 코드(47)는 네이티브 명령들이 실행되도록 하는 에뮬레이션 제어 루틴(57)을 포함한다. 에뮬레이션 제어 루틴(57)은 네이티브 CPU (37)로 하여금 하나 또는 그 이상의 이전에 획득 된 게스트 명령들을 에뮬레이트하는 네이티브 명령들의 루틴을 실행하게 하고, 그러한 실행의 종료 시에, 다음 게스트 명령 또는 일 군의 게스트 명령들을 획득하는 것을 에뮬레이트 하기 위해 상기 명령 페치 루틴에 제어를 반환(return)하게 할 수 있다. 네이티브 명령들(55)의 실행은 메모리(39)로부터 레지스터로 데이터를 로드하는 단계; 레지스터로부터 데이터를 메모리에 다시 저장하는 단계; 또는 변환 루틴에 의해 결정되는, 어떤 유형의 산술 또는 논리 연산을 수행하는 단계를 포함할 수 있다.
[0153] 각 루틴은, 예를 들어, 소프트웨어로 구현되고, 상기 소프트웨어는 메모리에 저장되며, 네이티브 중앙 처리 유닛(37)에 의해 실행된다. 다른 예들에서, 하나 또는 그 이상의 루틴들 또는 연산들은 펌웨어, 하드웨어, 소프트웨어 또는 이들의 조합으로 구현된다. 에뮬레이트된 프로세서의 레지스터들은 상기 네이티브 CPU의 레지스터들(45)을 사용하여 또는 메모리(39) 내의 위치들을 사용하여 에뮬레이트 될 수 있다. 실시 예들에서, 게스트 명령들(49), 네이티브 명령들(55) 및 에뮬레이터 코드(47)는 동일한 메모리 내에 상주하거나 또는 다른 메모리 디바이스들 사이에서 분산될 수 있다.
[0154] 본 발명의 하나 또는 그 이상의 실시 예들이 클라우드 컴퓨팅과 관련될 수 있다.
[0155] 본 명세서는 클라우드 컴퓨팅에 관해서 상세한 설명들을 포함하지만, 여기서 설명된 그러한 기술적 사상들의 구현은 클라우드 컴퓨팅 환경에만 한정되는 것은 아님을 이해하여야 한다. 오히려, 본 발명의 실시 예들은 지금 알려져 있거나 또는 나중에 개발될 모든 다른 유형의 컴퓨팅 환경과 함께 구현될 수 있다.
[0156] 클라우드 컴퓨팅은, 최소한의 관리 노력 또는 서비스 제공자와의 상호작용으로 빠르게 제공되고 해제될 수 있는, 구성 가능한(configurable) 컴퓨팅 자원들(예를 들어, 네트워크, 네트워크 대역폭, 서버, 처리, 메모리, 스토리지, 애플리케이션, 가상 머신, 및 서비스)의 공유 풀에 대한 편리한 주문형(on-demand) 네트워크 액세스를 가능하게 하는 서비스 전달 모델이다. 이 클라우드 모델은 적어도 5가지의 특성(characteristics), 적어도 3가지 서비스 모델(service models), 및 적어도 4가지 배치 모델(deployment models)을 포함할 수 있다.
[0157] 클라우드 컴퓨팅 특성들은 다음과 같다:
[0158] 주문형 셀프-서비스(On-demand self-service): 클라우드 소비자는, 서비스 제공자와의 인적 상호작용을 필요로 하지 않고 필요한 만큼 자동적으로, 서버 시간(server time) 및 네트워크 스토리지 같은 컴퓨팅 기능들을 일방적으로 제공(provision)할 수 있다.
[0159] 광역 네트워크 액세스(Broad network access): 혼성의 씬 또는 씩 클라이언트 플랫폼들(heterogeneous thin or thick client platforms)(예를 들어, 모바일폰, 랩탑, 및 PDA)에 의한 사용을 장려하는 표준 메커니즘들을 통해 액세스되는 기능들을 네트워크를 통해서 이용할 수 있다.
[0160] 자원 풀링(Resource pooling): 제공자의 컴퓨팅 자원들은 멀티-테넌트 모델(a multi-tenant model)을 이용하여, 각기 다른 물리적 및 가상 자원들을 요구(demand)에 따라 동적으로 할당 및 재할당하면서, 다수의 소비자들에게 서비스할 수 있도록 풀에 넣어둔다(pooled). 소비자는 일반적으로 제공된 자원들의 정확한 위치를 제어할 수 없거나 그에 대한 지식이 없지만 더 높은 추상 수준에서(예를 들어, 국가, 주, 또는 데이터센터) 위치를 명시할 수 있다는 점에서 위치 독립성이 있다.
[0161] 기민한 탄력성(Rapid elasticity): 용량들(capabilities)이 기민하게 탄력적으로 제공되어 (어떤 경우엔 자동으로) 신속히 규모를 확장할 수도 있고(scale out) 그리고 탄력적으로 해제되어 신속히 규모를 축소할 수도 있다(scale in). 소비자에게 제공할 수 있는 가능성이 종종 무제한이고 언제든지 원하는 수량으로 구매할 수 있는 것처럼 보인다.
[0162] 측정 가능한 서비스(Measured service): 클라우드 시스템들은 자원 사용을 자동으로 제어하고 최적화하는데, 서비스의 유형(예를 들어, 스토리지, 처리, 대역폭, 및 활성 사용자 계정)에 적절한 추상화 수준에서(at some level of abstraction) 계측 기능을 이용하여서 그렇게 한다. 자원 사용량은 모니터되고, 제어되고, 그리고 보고될 수 있으며 이로써 이용하는 서비스의 제공자와 사용자 모두에게 투명성을 제공한다.
[0163] 서비스 모델들(Service Models)은 다음과 같다:
[0164] 소프트웨어 서비스(Software as a Service)(SaaS): 소비자에게 제공되는 서비스는 클라우드 인프라스트럭처 상에서 실행되는 제공자의 애플리케이션들을 사용하게 해주는 것이다. 애플리케이션들은 웹 브라우저(예를 들어, 웹기반 이메일) 같은 씬(thin) 클라이언트 인터페이스를 통해 여러 클라이언트 장치들에서 액세스 가능하다. 소비자는 네트워크, 서버들, 운영 체제들, 스토리지, 또는 개별 애플리케이션 능력들을 포함하는 하부 클라우드 인프라스트럭처를 관리하거나 제어하지 않는다. 단, 제한된 사용자-특화 애플리케이션 구성 세팅들은 예외로서 가능하다.
[0165] 플랫폼 서비스(Platform as a Service)(PaaS): 소비자에게 제공되는 서비스는 제공자에 의해 지원되는 프로그래밍 언어들 및 도구들을 이용하여 생성된 소비자-생성 또는 획득 애플리케이션들을 클라우드 인프라스트럭처에 배치하게 해주는 것이다. 소비자는 네트워크, 서버들, 운영 체제들, 또는 스토리지를 포함하는 하부 클라우드 인프라스트럭처를 관리하거나 제어하지 않는다. 그러나 배치된 애플리케이션들에 대해서 그리고 가능한 경우 애플리케이션 호스팅 환경 구성들에 대해서 제어할 수 있다.
[0166] 인프라스트럭처 서비스(Infrastructure as a Service)(IaaS): 소비자에게 제공되는 서비스는 처리, 스토리지, 네트워크, 및 기타 기본 컴퓨팅 자원들을 제공하여 주는 것이며, 여기서 소비자는 임의의 소프트웨어를 배치 및 실행할 수 있고, 이 소프트웨어에는 운영 체제들과 애플리케이션들이 포함될 수 있다. 소비자는 하부 클라우드 인프라스트럭처를 관리하거나 제어하지 않지만, 운영 체제들, 스토리지, 배치된 애플리케이션들, 및 가능한 경우 선택된 네트워킹 컴포넌트들의 제한적인 제어(예를 들어, 호스트 방화벽들)에 대하여 제어할 수 있다.
[0167] 배치 모델들(Deployment Models)은 다음과 같다:
[0168] 사설 클라우드(Private cloud): 클라우드 인프라스트럭처는 오직 한 조직(an organization)을 위해서 운영되고, 그 조직 또는 제3자에 의해 관리될 수 있으며 옥내(on-premises) 또는 옥외(off-premises)에 위치할 수 있다.
[0169] 커뮤니티 클라우드(Community cloud): 클라우드 인프라스트럭처는 여러 조직들에 의해 공유되고 관심사(예를 들어, 선교, 보안 요건, 정책, 및 규정 준수 심사)를 공유하는 특정 커뮤니티를 지원하며, 여러 조직들 또는 제3자에 의해 관리될 수 있으며 옥내(on-premises) 또는 옥외(off-premises)에 위치할 수 있다.
[0170] 공공 클라우드(Public cloud): 클라우드 인프라스트럭처는 일반 대중 또는 대규모 산업 집단에서 이용할 수 있으며 클라우드 서비스를 판매하는 조직이 소유한다.
[0171] 하이브리드 클라우드(Hybrid cloud): 클라우드 인프라스트럭처는 둘 또는 그 이상의 클라우드들(사설, 커뮤니티, 또는 공공)이 혼합된 구성이며, 이들은 고유한 주체들로 있지만 데이터 및 애플리케이션 이식가능성(portability)을 가능하게 해주는 표준화된 또는 소유권 있는 기술(예를 들어, 클라우드들 사이의 부하 균형을 위한 클라우드 버스팅(cloud bursting))에 의해 서로 결합되어 있다.
[0172] 클라우드 컴퓨팅 환경은 무국적(statelessness), 낮은 결합(low coupling), 모듈 방식(modularity), 및 의미적 상호운용성(semantic interoperability)에 집중하는 서비스를 지향한다. 클라우드 컴퓨팅의 중심에는 상호 연결된 노드들의 네트워크를 포함하는 인프라스트럭처가 있다.
[0173] 이제 도 17을 참조하면, 예시적인 클라우드 컴퓨팅 환경(50)이 도시된다. 도시된 바와 같이, 클라우드 컴퓨팅 환경(50)은 예를 들어 개인 휴대 정보 단말기(PDA) 또는 휴대폰(54A), 데스크탑 컴퓨터(54B), 랩탑 컴퓨터(54C), 및/또는 자동차용 컴퓨터 시스템(54N)과 통신할 수 있는 것과 같이, 클라우드 소비자가 사용하는 로컬 컴퓨팅 디바이스가 하나 또는 그 이상의 클라우드 컴퓨팅 노드들(52)을 포함한다. 노드들(52)은 서로 통신할 수 있다. 이들은 여기에 기술된 바와 같은 사설, 커뮤니티, 공공, 또는 하이브리드 클라우드들 또는 이들의 조합 등의 하나 또는 그 이상의 네트워크들에서 물리적으로 또는 가상으로 그룹화될 수 있다(도시되지 않음). 이것은 클라우드 소비자가 로컬 컴퓨팅 장치 상에 자원들을 유지할 필요가 없게 클라우드 컴퓨팅 환경(50)이 인프라스트럭처, 플랫폼들 및/또는 소프트웨어를 서비스로서 제공할 수 있게 해준다. 도 17에 도시된 컴퓨팅 장치들(54A-N)의 유형들은 단지 예시의 목적으로 기술한 것이며 컴퓨팅 노드들(52)과 클라우드 컴퓨팅 환경(50)은 모든 유형의 네트워크 및/또는 네트워크 주소지정가능 연결을 통해서 (예를 들어, 웹 브라우저를 사용하여) 모든 유형의 컴퓨터화된 장치와 통신할 수 있다는 것을 이해해야 한다.
[0174] 이제 도 18을 참조하면, 클라우드 컴퓨팅 환경(50) (도 17)에 의해 제공되는 일 세트의 기능별 추상화 계층들이 도시된다. 도 18에 도시된 컴포넌트들, 계층들, 및 기능들은 단지 예시의 목적이며 본 발명의 바람직한 실시 예들은 이것에 한정되지 않는다는 것을 미리 이해해야 한다. 도시된 바와 같이, 다음의 계층들과 그에 대응하는 기능들이 제공된다:
[0175] 하드웨어 및 소프트웨어 계층(60)은 하드웨어 및 소프트웨어 컴포넌트들을 포함한다. 하드웨어 컴포넌트들의 예들에는: 메인프레임들(61); RISC(Reduced Instruction Set Computer) 아키텍처 기반 서버들(62); 서버들(63); 블레이드 서버들(64); 스토리지 디바이스들(65); 그리고 네트워크 및 네트워킹 컴포넌트들(66)이 포함된다. 일부 실시 예들에서, 소프트웨어 컴포넌트들은 네트워크 애플리케이션 서버 소프트웨어(67) 및 데이터베이스 소프트웨어(68)를 포함한다.
[0176] 가상화 계층(70)은 추상화 계층을 제공하며 이로부터 다음의 가상 주체들의 예들이 제공될 수 있다: 가상 서버들(71); 가상 스토리지(72); 가상 사설 네트워크를 포함하는, 가상 네트워크들(73); 가상 애플리케이션들 및 운영 체제들(74); 및 가상 클라이언트들(75).
[0177] 한 예에서, 관리 계층(80)은 아래에 기술하는 기능들을 제공한다. 자원 제공(Resource provisioning)(81)은 클라우드 컴퓨팅 환경 내에서 작업들을 수행하는 데 이용되는 컴퓨팅 자원들 및 기타 자원들의 동적 조달을 제공한다. 계측 및 가격 책정(Metering and Pricing)(82)은 자원들이 클라우드 컴퓨팅 환경 내에서 이용될 때 비용 추적, 및 이 자원들의 소비에 대한 요금 청구 또는 송장을 제공한다. 한 예에서, 이 자원들은 애플리케이션 소프트웨어 라이센스를 포함할 수 있다. 보안(Security)은 데이터 및 기타 자원들에 대한 보호뿐 아니라 클라우드 소비자들과 작업들에 대한 신원 확인을 제공한다. 사용자 포털(User portal)(83)은 소비자들 및 시스템 관리자들에게 클라우드 컴퓨팅 환경에 대한 액세스를 제공한다. 서비스 수준 관리(Service level management)(84)는 요구되는 서비스 수준이 충족되도록 클라우드 컴퓨팅 자원 할당 및 관리를 제공한다. 서비스 수준 협약서(SLA) 기획 및 충족(planning and fulfillment)(85)은 SLA에 부합하는 예상되는 미래 요건에 맞는 클라우드 컴퓨팅 자원들의 사전-배치(pre-arrangement) 및 조달(procurement)을 제공한다.
[0178] 워크로드 계층(90)은 클라우드 컴퓨팅 환경이 이용될 수 있는 기능들의 예들을 제공한다. 이 계층에서 제공될 수 있는 워크로드들과 기능들의 예들은 다음과 같다: 맵핑 및 네비게이션(91); 소프트웨어 개발 및 라이프사이클 관리(92); 가상 교실 교육 전달(93); 데이터 분석 처리(94); 트랜잭션 처리(95); 및 인증 처리(96).
[0179] 본 발명의 실시 예들은 시스템, 방법, 및/또는 통합의 모든 가능한 기술적 세부 수준에서 컴퓨터 프로그램 제품이 될 수 있다. 컴퓨터 프로그램 제품은 컴퓨터 판독 가능 스토리지 매체(또는 미디어)를 포함할 수 있으며, 이 매체 상에 프로세서가 본 발명의 실시 예들을 수행하도록 하는 컴퓨터 판독 가능 프로그램 명령들을 갖는다.
[0180] 상기 컴퓨터 판독 가능 스토리지 매체는 명령 실행 장치에 의해 사용될 명령들을 유지 및 저장할 수 있는 유형의(tangible) 디바이스일 수 있다. 상기 컴퓨터 판독 가능 스토리지 매체는, 예를 들면, 전자 스토리지 디바이스, 자기 스토리지 디바이스, 광 스토리지 디바이스, 전자기 스토리지 디바이스, 반도체 스토리지 디바이스, 또는 전술한 것들의 모든 적절한 조합일 수 있으며, 그러나 이에 한정되지는 않는다. 컴퓨터 판독 가능 스토리지 매체의 더 구체적인 예들의 비포괄적인 목록에는 다음이 포함될 수 있다: 휴대용 컴퓨터 디스켓, 하드 디스크, 랜덤 액세스 메모리(RAM), 판독-전용 메모리(ROM), 소거 및 프로그램가능 판독-전용 메모리(EPROM 또는 플래시 메모리), 정적 랜덤 액세스 메모리(SRAM), 휴대용 컴팩트 디스크 판독-전용 메모리(CD-ROM), 디지털 다용도 디스크(DVD), 메모리 스틱, 플로피 디스크, 천공-카드들 또는 명령들이 기록된 홈에 있는 융기된 구조들 같이 기계적으로 인코드 된 장치, 및 전술한 것들의 모든 적절한 조합. 본 명세서에서 사용될 때, 컴퓨터 판독 가능 스토리지 매체는 무선 전파들이나 다른 자유롭게 전파되는 전자기파들, 도파관이나 기타 전송 매체(예를 들어, 광섬유 케이블을 통해 전달되는 광 펄스들)를 통해 전파되는 전자기파들, 또는 선(wire)을 통해 전송되는 전기 신호들 같이 그 자체로 일시적인(transitory) 신호들로 해석되지는 않는다.
[0181] 본 명세서에 기술되는 컴퓨터 판독 가능 명령들은, 예를 들어, 인터넷, 근거리 통신망, 광역 통신망 및/또는 무선 네트워크 등의 통신망(네트워크)을 통해 컴퓨터 판독 가능 스토리지 매체로부터 각각 컴퓨팅/처리 디바이스들로 또는 외부 스토리지 디바이스로부터 외부 컴퓨터로 다운로드 될 수 있다. 상기 통신망은 구리 전송 케이블들, 광 전송 섬유들, 무선 전송, 라우터들, 방화벽들, 스위치들, 게이트웨이 컴퓨터들 및/또는 엣지 서버들을 포함할 수 있다. 각 컴퓨팅/처리 장치 내 네트워크 어댑터 카드 또는 네트워크 인터페이스는 상기 통신망으로부터 컴퓨터 판독 가능 프로그램 명령들을 수신하고 그 컴퓨터 판독 가능 프로그램 명령들을 각각의 컴퓨팅/처리 디바이스 내의 컴퓨터 판독 가능 스토리지 매체에 저장하기 위해 전송한다.
[0182] 본 발명의 연산들을 실행하기 위한 컴퓨터 판독 가능 프로그램 명령들은 Smalltalk, C++ 또는 그와 유사 언어 등의 객체 지향 프로그래밍 언어와 "C" 프로그래밍 언어 또는 그와 유사한 프로그래밍 언어 등의 종래의 절차적 프로그래밍 언어들을 포함하여, 하나 또는 그 이상의 프로그래밍 언어들을 조합하여 작성된(written) 어셈블러 명령들, 명령-세트-아키텍처(ISA) 명령들, 머신 명령들, 머신 종속 명령들, 마이크로코드, 펌웨어 명령들, 상태-셋팅 데이터, 집적회로를 위한 구성 데이터, 또는 소스 코드나 목적 코드일 수 있다. 상기 컴퓨터 판독 가능 프로그램 명령들은 전적으로 사용자의 컴퓨터상에서, 부분적으로 사용자의 컴퓨터상에서, 독립형(stand-alone) 소프트웨어 패키지로서, 부분적으로 사용자의 컴퓨터상에서 그리고 부분적으로 원격 컴퓨터상에서 또는 전적으로 원격 컴퓨터나 서버상에서 실행될 수 있다. 위에서 마지막의 경우에, 원격 컴퓨터는 근거리 통신망(LAN) 또는 광역 통신망(WAN)을 포함한 모든 종류의 네트워크를 통해서 사용자의 컴퓨터에 접속될 수 있고, 또는 이 접속은 (예를 들어, 인터넷 서비스 제공자를 이용한 인터넷을 통해서) 외부 컴퓨터에 이루어질 수도 있다. 일부 실시 예들에서, 예를 들어 프로그램 가능 로직 회로, 필드-프로그램 가능 게이트 어레이들(FPGA), 또는 프로그램 가능 로직 어레이들(PLA)을 포함한 전자 회로는 본 발명의 실시 예들을 수행하기 위해 전자 회로를 맞춤화하도록 상기 컴퓨터 판독 가능 프로그램 명령들의 상태 정보를 활용하여 상기 컴퓨터 판독 가능 프로그램 명령들을 실행할 수 있다.
[0183] 본 발명의 특징들이 본 발명의 실시 예들에 따른 방법들, 장치들(시스템들), 및 컴퓨터 프로그램 제품들의 플로 차트 예시도들 및/또는 블록도들을 참조하여 기술된다. 플로 차트 예시도들 및/또는 블록도들의 각 블록과 플로 차트 예시도들 및/또는 블록도들 내 블록들의 조합들은 컴퓨터 판독 가능 프로그램 명령들에 의해 구현될 수 있다는 것을 이해할 수 있을 것이다.
[0184] 이들 컴퓨터 판독 가능 프로그램 명령들은 범용 컴퓨터, 특수목적용 컴퓨터, 또는 기타 프로그램가능 데이터 처리 장치의 프로세서에 제공되어 머신(machine)을 생성하고, 그렇게 하여 그 명령들이 상기 컴퓨터 또는 기타 프로그램가능 데이터 처리 장치의 프로세서를 통해서 실행되어, 상기 플로 차트 및/또는 블록도의 블록 또는 블록들에 명시된 기능들/동작들을 구현하기 위한 수단을 생성할 수 있다. 이들 컴퓨터 판독 가능 프로그램 명령들은 또한 컴퓨터 판독 가능 스토리지 매체에 저장될 수 있으며, 컴퓨터, 프로그램가능 데이터 처리 장치 및/또는 기타 디바이스들에 지시하여 명령들이 저장된 상기 컴퓨터 판독 가능 스토리지 매체가 상기 플로 차트 및/또는 블록도의 블록 또는 블록들에 명시된 기능/동작의 특징들을 구현하는 명령들을 포함하는 제조품(an article of manufacture)을 포함하도록 특정한 방식으로 기능하게 할 수 있다.
[0185] 상기 컴퓨터 판독 가능 프로그램 명령들은 또한 컴퓨터, 기타 프로그램가능 데이터 처리 장치, 또는 다른 디바이스에 로드 되어, 상기 컴퓨터, 기타 프로그램가능 장치 또는 다른 디바이스에서 일련의 동작 단계들이 수행되게 하여 컴퓨터 구현 프로세스를 생성하며, 그렇게 하여 상기 컴퓨터, 기타 프로그램가능 장치, 또는 다른 디바이스 상에서 실행되는 명령들이 플로 차트 및/또는 블록도의 블록 또는 블록들에 명시된 기능들/동작들을 구현할 수 있다.
[0186] 도면들 내 플로 차트 및 블록도들은 본 발명의 여러 실시 예들에 따른 시스템들, 방법들 및 컴퓨터 프로그램 제품들의 가능한 구현들의 아키텍처, 기능(functionality), 및 연산(operation)을 예시한다. 이와 관련하여, 상기 플로 차트 또는 블록도들 내 각 블록은 상기 명시된 논리적 기능(들)을 구현하기 위한 하나 또는 그 이상의 실행 가능한 명령들을 포함한 모듈, 세그먼트 또는 명령들의 일부분을 나타낼 수 있다. 일부 다른 실시 예들에서, 상기 블록에 언급되는 기능들은 도면들에 언급된 순서와 다르게 일어날 수도 있다. 예를 들면, 연속으로 도시된 두 개의 블록들은 실제로는 사실상 동시에 실행될 수도 있고, 또는 이 두 블록들은 때때로 관련된 기능에 따라서는 역순으로 실행될 수도 있다. 블록도들 및/또는 플로 차트 예시도의 각 블록, 및 블록도들 및/또는 플로 차트 예시도 내 블록들의 조합들은 특수목적용 하드웨어 및 컴퓨터 명령들의 명시된 기능들 또는 동작들, 또는 이들의 조합들을 수행하는 특수목적용 하드웨어-기반 시스템들에 의해 구현될 수 있다는 것에 또한 주목해야 한다.
[0187] 전술한 것에 추가하여, 본 발명의 하나 또는 그 이상의 실시 예들은 고객 환경들의 관리를 공급하는 서비스 제공자에 의해 제공, 공급, 배치, 관리, 서비스 등이 될 수 있다. 예를 들면, 서비스 제공자는 하나 또는 그 이상의 고객들을 위해 본 발명의 하나 또는 그 이상의 실시 예들을 수행하는 컴퓨터 코드 및/또는 컴퓨터 인프라스트럭처의 제작, 유지, 지원 등을 할 수 있다. 그 대가로, 서비스 제공자는, 예를 들어, 가입제(subscription) 및/또는 수수료 약정에 따라 고객으로부터 대금을 수령할 수 있다. 추가적으로 또는 선택적으로, 서비스 제공자는 하나 또는 그 이상의 제3자들에게 광고 컨텐츠를 판매하고 대금을 수령할 수 있다.
[0188] 한 예에서, 본 발명의 하나 또는 그 이상의 실시 예들을 수행하기 위해 하나의 애플리케이션이 배치될 수 있다. 한 예로서, 하나의 애플리케이션의 배치는 본 발명의 하나 또는 그 이상의 실시 예들을 수행하기 위해 동작 가능한 컴퓨터 인프라스트럭처를 제공하는 것을 포함할 수 있다.
[0189] 추가의 실시 예로서, 컴퓨터 판독 가능 코드를 컴퓨팅 시스템으로 통합하는 것을 포함하는 컴퓨팅 하부구조가 배치될 수 있으며, 상기 컴퓨팅 하부구조에서 상기 코드는 상기 컴퓨팅 시스템과 결합하여 본 발명의 하나 또는 그 이상의 실시 예들을 수행할 수 있다.
[0190] 추가 예로서, 컴퓨터 판독 가능 코드를 컴퓨터 시스템으로 통합시키는 것을 포함하는 컴퓨팅 하부구조를 통합하기 위한 프로세스가 제공될 수 있다. 상기 컴퓨터 시스템은 컴퓨터 판독 가능 매체를 포함하고, 상기 컴퓨터 시스템에서 컴퓨터 매체는 본 발명의 하나 또는 그 이상의 실시 예들을 포함한다. 상기 코드는 상기 컴퓨터 시스템과 결합하여 본 발명의 하나 또는 그 이상의 실시 예들을 수행할 수 있다.
[0191] 위에서 다양한 실시 예들이 기술되었지만, 이들은 단지 예시들일 뿐이다. 예를 들면, 다른 아키텍처들의 컴퓨팅 환경들이 본 발명의 하나 또는 그 이상의 실시 예들을 포함하고 사용하는 데 사용될 수 있다. 또한, 다른(different) 명령들, 또는 연산들이 사용될 수 있다. 추가적으로, 다른 유형의 표시기들이 명시될 수 있다. 많은 변형들이 가능하다.
[0192] 또한, 다른 유형의 컴퓨팅 환경들도 유익을 얻을 수 있고 사용될 수 있다. 예로서, 프로그램 코드를 저장 및/또는 실행하기에 적합한 데이터 처리 시스템이 사용될 수 있으며, 이 시스템은 시스템 버스를 통해서 메모리 엘리멘트들에 직접적으로 또는 간접적으로 결합된 적어도 두 개의 프로세서를 포함한다. 상기 메모리 엘리멘트들은, 예를 들어 프로그램 코드의 실제 실행 동안 사용되는 로컬 메모리, 대용량 스토리지(bulk storage), 및 코드가 실행 동안에 대용량 스토리지로부터 검색되어야 하는 횟수를 줄이기 위해 적어도 일부 프로그램 코드의 임시 스토리지(temporary storage)를 제공하는 캐시 메모리를 포함한다.
[0193] 입력/출력 또는 I/O 디바이스들(키보드, 디스플레이, 포인팅 디바이스, DASD, 테이프, CD들, DVD들, 썸 드라이브들 및 기타 메모리 매체 등을 포함하나 이에 한정되지는 않음)은 직접 또는 중개(intervening) I/O 제어기들을 통해서 시스템에 결합될 수 있다. 네트워크 어댑터 또한 상기 시스템에 결합되어 데이터 처리 시스템이 중개하는 사설 또는 공공 네트워크를 통해서 기타 데이터 처리 시스템 또는 원격 포인터 또는 스토리지 디바이스에 결합되는 것을 가능하게 한다. 모뎀들, 케이블 모뎀들, 및 이더넷 카드들은 이용 가능한 유형의 네트워크 어댑터들의 단지 일부이다.
[0194] 본 명세서에서 사용된 용어들은 단지 본 발명의 특정 실시 예들을 기술할 목적으로 사용된 것이지 한정하려는 의도로 사용된 것은 아니다. 본 명세서에서 사용할 때, 단수 형태 “하나”, “한”, “그”는 그 컨텍스트에서 그렇지 않은 것으로 명확히 명시되어 있지 않으면, 복수 형태도 또한 포함할 의도로 기술된 것이다. 또한, "포함한다" 및/또는 "포함하는" 이라는 말들은 본 명세서에서 사용될 때, 언급되는 특징들, 정수들, 단계들, 동작들, 엘리멘트들, 및/또는 컴포넌트들의 존재를 명시하지만, 하나 또는 그 이상의 다른 특징들, 정수들, 단계들, 동작들, 엘리멘트들, 컴포넌트들 및/또는 이들의 그룹들의 존재 또는 추가를 배제하는 것은 아니라는 것을 이해할 수 있을 것이다.
[0195] 이하의 청구항들에서, 대응하는 구조들(structures), 재료들(materials), 동작들(acts), 및 모든 수단의 등가물들 또는 단계 플러스 기능 엘리멘트들은, 만일 있다면, 구체적으로 청구되는 다른 청구된 엘리멘트들과 조합하여 그 기능을 수행하기 위한 구조, 재료, 또는 동작을 포함할 의도가 있다. 본 발명의 하나 또는 그 이상의 실시 예들에 대한 설명은 예시와 설명의 목적으로 제공되는 것이며, 개시되는 형태로 빠짐없이 만들어지거나 한정하려는 의도가 있는 것은 아니다. 이 기술 분야에서 통상의 지식을 가진 자라면 많은 수정들 및 변형들이 있을 수 있다는 것을 알 수 있다. 본 발명의 실시 예는 여러 특징들 및 실제 응용을 가장 잘 설명하기 위해 그리고 고려되는 구체적인 용도에 적합하게 여러 수정들을 갖는 다양한 실시 예들을 이 기술 분야에서 통상의 지식을 가진 자들이 이해할 수 있도록 하기 위해, 선택되고 기술되었다.
Claims (20)
- 컴퓨팅 환경에서 처리를 용이하게 하기 위한 컴퓨터 프로그램 제품에 있어서, 상기 컴퓨터 프로그램 제품은:
하나 또는 그 이상의 처리 회로들에 의해 판독 가능하고 동작들(operations)을 수행하기 위한 명령들을 저장하기 위한 컴퓨터 판독 가능 스토리지 매체를 포함하고, 상기 동작들은:
보안 통신을 설정하기 위해 응답자 노드 상의 응답자 채널로부터 개시자 노드 상의 개시자 채널에서 인증 응답 메시지를 수신하는 단계 - 상기 수신하는 단계는 상기 개시자 노드 상에서 실행하는 로컬 키 관리자(LKM)에서 수행됨-;
상기 개시자 노드와 응답자 노드의 보안 연관(a security association)에 기초하여 상태 체크를 수행하는 단계;
상기 인증 응답 메시지의 검증을 수행하는 단계;
상기 인증 응답 메시지에서 선택된 암호화 알고리즘의 식별자를 추출하는 단계; 및
성공적인 상태 체크, 성공적인 검증, 및 상기 선택된 암호화 알고리즘에 적어도 부분적으로 기초하여 상기 응답자 채널과 통신하기 위해 상기 개시자 채널을 요청하는 단계를 포함하는
컴퓨터 프로그램 제품. - 제1항에 있어서, 상기 응답자 채널과 상기 개시자 채널 사이의 통신은 스토리지 영역 네트워크(SAN)를 통해 이루어지는
컴퓨터 프로그램 제품. - 제1항에 있어서, 상기 동작들은:
이전에 수신된 초기화 메시지로부터 추출된 하나 또는 그 이상의 파라미터들에 적어도 부분적으로 기초하여 응답자 서명을 계산하는 단계; 및
상기 응답자 서명을 추가 검증으로서 상기 인증 응답 메시지에서 추출된 서명과 비교하는 단계를 더 포함하는
컴퓨터 프로그램 제품. - 제3항에 있어서, 상기 응답자 서명은 개시자 논스(nonce), 공유 키, 응답자 식별자, 및 한 세트의 암호화 키들로부터의 적어도 하나의 키에 기초하여 계산되는
컴퓨터 프로그램 제품. - 제1항에 있어서, 상기 동작들은 상기 인증 응답 메시지의 페이로드를 암호 해독하는 단계를 더 포함하고, 상기 인증 응답 메시지의 검증은 상기 페이로드를 암호 해독하는 것에 기초하여 하나 또는 그 이상의 메시지 헤더 파라미터들 및 상기 페이로드의 식별자를 체크하는 단계를 포함하는
컴퓨터 프로그램 제품. - 제1항에 있어서, 상기 상태 체크는 상기 개시자 노드의 보안 연관 상태(a security association state)를 검증하는 단계를 더 포함하는
컴퓨터 프로그램 제품. - 제1항에 있어서, 상기 상태 체크는 상기 LKM의 마지막 수신된 메시지 상태 및 마지막 전송된 메시지 상태를 검증하는 단계를 더 포함하는
컴퓨터 프로그램 제품. - 제1항에 있어서, 상기 동작들은 성공하지 못한 검증 결과에 기초하여 또는 상기 인증 응답 메시지가 상기 응답자 노드에서의 오류 조건을 표시하는 알림 유형 메시지를 포함한다고 결정하는 것에 기초하여 상기 인증 응답 메시지를 거부하는 단계를 더 포함하는
컴퓨터 프로그램 제품. - 제1항에 있어서, 상기 LKM은 컴퓨터 시스템의 논리 파티션에서 실행되는
컴퓨터 프로그램 제품. - 제1항에 있어서, 상기 응답자 노드는 호스트 컴퓨터 또는 스토리지 어레이인
컴퓨터 프로그램 제품. - 제1항에 있어서, 상기 동작들은 상기 선택된 암호화 알고리즘을 사용하여 상기 개시자 채널 및 응답자 채널 사이에서 암호화된 통신을 가능하게 하기 위해 하나 또는 그 이상의 세션 키들, 개시자 보안 파라미터 인덱스(SPI), 및 응답자 SPI를 포함하는 LKM Done 메시지를 작성하는 단계(building)를 더 포함하는
컴퓨터 프로그램 제품. - 제11항에 있어서, 상기 동작들은 외부 키 관리자에 관하여 키 재설정 프로세스(a rekey process)를 트리거 하는 키 재설정 타이머를 시작하는 단계를 더 포함하는
컴퓨터 프로그램 제품. - 제12항에 있어서, 상기 동작들은 보안 연관 상태를 완료로 세트 하는 단계 및 상기 키 재설정 타이머를 시작한 후에 상기 LKM Done 메시지를 상기 개시자 채널로 전송하는 단계를 더 포함하는
컴퓨터 프로그램 제품. - 컴퓨팅 환경 내에서 처리를 용이하게 하는 컴퓨터-구현 방법에 있어서, 상기 컴퓨터-구현 방법은:
보안 통신을 설정하기 위해 응답자 노드 상의 응답자 채널로부터 개시자 노드 상의 개시자 채널에서 인증 응답 메시지를 수신하는 단계 - 상기 수신하는 단계는 상기 개시자 노드 상에서 실행하는 로컬 키 관리자(LKM)에서 수행됨-;
상기 개시자 노드와 응답자 노드의 보안 연관(a security association)에 기초하여 상태 체크를 수행하는 단계;
상기 인증 응답 메시지의 검증을 수행하는 단계;
상기 인증 응답 메시지로부터 선택된 암호화 알고리즘의 식별자를 추출하는 단계; 및
성공적인 상태 체크, 성공적인 검증, 및 상기 선택된 암호화 알고리즘에 적어도 부분적으로 기초하여 상기 응답자 채널과 통신하기 위해 상기 개시자 채널을 요청하는 단계를 포함하는
컴퓨터-구현 방법. - 제14항에 있어서, 상기 컴퓨터-구현 방법은:
이전에 수신된 초기화 메시지로부터 추출된 하나 또는 그 이상의 파라미터들에 적어도 부분적으로 기초하여 응답자 서명을 계산하는 단계; 및
상기 응답자 서명을 추가 검증으로서 상기 인증 응답 메시지에서 추출된 서명과 비교하는 단계를 더 포함하는
컴퓨터-구현 방법. - 제14항에 있어서, 상기 컴퓨터-구현 방법은:
상기 인증 응답 메시지의 페이로드를 암호 해독하는 단계를 더 포함하고, 상기 인증 응답 메시지의 검증은 상기 페이로드를 암호 해독하는 것에 기초하여 하나 또는 그 이상의 메시지 헤더 파라미터들 및 상기 페이로드의 식별자를 체크하는 단계를 더 포함하는
컴퓨터-구현 방법. - 제14항에 있어서, 상기 상태 체크는 상기 개시자 노드의 보안 연관 상태(a security association state)를 검증하는 단계를 더 포함하고, 상기 상태 체크는 상기 LKM의 마지막 수신된 메시지 상태 및 마지막 전송된 메시지 상태를 검증하는 단계를 더 포함하는
컴퓨터-구현 방법. - 제14항에 있어서, 상기 컴퓨터-구현 방법은:
상기 선택된 암호화 알고리즘을 사용하여 상기 개시자 채널 및 응답자 채널 사이에서 암호화된 통신을 가능하게 하기 위해 하나 또는 그 이상의 세션 키들, 개시자 보안 파라미터 인덱스(SPI), 및 응답자 SPI를 포함하는 LKM Done 메시지를 작성하는 단계(building) 및
외부 키 관리자에 관하여 키 재설정 프로세스(a rekey process)를 트리거 하는 키 재설정 타이머를 시작하는 단계를 더 포함하는
컴퓨터-구현 방법. - 컴퓨팅 환경에서 처리를 용이하게 하기 위한 컴퓨터 시스템에 있어서, 상기 컴퓨터 시스템은:
개시자 노드; 및
상기 개시자 노드에 결합된 복수의 채널들을 포함하고, 상기 컴퓨터 시스템은 동작들(operations)을 수행하도록 구성되며, 상기 동작들은:
보안 통신을 설정하기 위해 응답자 노드 상의 응답자 채널로부터 개시자 노드 상의 개시자 채널에서 인증 응답 메시지를 수신하는 단계 - 상기 수신하는 단계는 상기 개시자 노드 상에서 실행되는 로컬 키 관리자(LKM)에서 수행됨-;
상기 개시자 노드와 응답자 노드의 보안 연관에 기초하여 상태 체크를 수행하는 단계;
상기 인증 응답 메시지의 검증을 수행하는 단계;
상기 인증 응답 메시지로부터 선택된 암호화 알고리즘의 식별자를 추출하는 단계; 및
성공적인 상태 체크, 성공적인 검증, 및 상기 선택된 암호화 알고리즘에 적어도 부분적으로 기초하여 상기 응답자 채널과 통신하기 위해 상기 개시자 채널을 요청하는 단계를 포함하는
컴퓨터 시스템. - 제19항에 있어서, 상기 개시자 노드는 호스트 컴퓨터이고, 상기 LKM은 상기 호스트 컴퓨터의 논리 파티션에서 실행되며, 상기 응답자 노드는 스토리지 어레이인
컴퓨터 시스템.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/801,319 | 2020-02-26 | ||
| US16/801,319 US11184160B2 (en) | 2020-02-26 | 2020-02-26 | Channel key loading in a computing environment |
| PCT/IB2021/051287 WO2021171134A1 (en) | 2020-02-26 | 2021-02-16 | Secure key exchange in a computing environment |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20220132557A true KR20220132557A (ko) | 2022-09-30 |
Family
ID=77366403
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020227027946A KR20220132557A (ko) | 2020-02-26 | 2021-02-16 | 컴퓨팅 환경에서 보안 키 교환 |
Country Status (10)
| Country | Link |
|---|---|
| US (2) | US11184160B2 (ko) |
| JP (1) | JP2023514826A (ko) |
| KR (1) | KR20220132557A (ko) |
| CN (1) | CN115039389B (ko) |
| AU (1) | AU2021225416B2 (ko) |
| CA (1) | CA3162797A1 (ko) |
| DE (1) | DE112021001270T5 (ko) |
| GB (1) | GB2608530A (ko) |
| IL (1) | IL294779A (ko) |
| WO (1) | WO2021171134A1 (ko) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11546137B2 (en) | 2020-02-26 | 2023-01-03 | International Business Machines Corporation | Generation of a request to initiate a secure data transfer in a computing environment |
| US11652616B2 (en) | 2020-02-26 | 2023-05-16 | International Business Machines Corporation | Initializing a local key manager for providing secure data transfer in a computing environment |
| US11184160B2 (en) | 2020-02-26 | 2021-11-23 | International Business Machines Corporation | Channel key loading in a computing environment |
| US11405215B2 (en) * | 2020-02-26 | 2022-08-02 | International Business Machines Corporation | Generation of a secure key exchange authentication response in a computing environment |
| US11489821B2 (en) | 2020-02-26 | 2022-11-01 | International Business Machines Corporation | Processing a request to initiate a secure data transfer in a computing environment |
| US11502834B2 (en) | 2020-02-26 | 2022-11-15 | International Business Machines Corporation | Refreshing keys in a computing environment that provides secure data transfer |
| US11310036B2 (en) | 2020-02-26 | 2022-04-19 | International Business Machines Corporation | Generation of a secure key exchange authentication request in a computing environment |
| WO2024040146A2 (en) * | 2022-08-17 | 2024-02-22 | Board Regents Of The University Nebraska | Strainer insert for matrix separation within a centrifuge tube |
| CN116743413B (zh) * | 2022-10-26 | 2024-04-12 | 荣耀终端有限公司 | 一种物联网设备认证方法及电子设备 |
Family Cites Families (220)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4881263A (en) | 1987-09-25 | 1989-11-14 | Digital Equipment Corporation | Apparatus and method for secure transmission of data over an unsecure transmission channel |
| US5293029A (en) | 1989-01-17 | 1994-03-08 | Kabushiki Kaisha Toshiba | System for mutually certifying an IC card and an IC card terminal |
| GB8916489D0 (en) | 1989-07-19 | 1989-09-06 | British Telecomm | Data communication method and system |
| US5235644A (en) | 1990-06-29 | 1993-08-10 | Digital Equipment Corporation | Probabilistic cryptographic processing method |
| US6182215B1 (en) | 1997-02-28 | 2001-01-30 | Matsushita Electric Industrial Co., Ltd. | Information devices which select and use one out of plurality of encryption utilization protocols for protecting copyrights of digital productions |
| US6490680B1 (en) | 1997-12-04 | 2002-12-03 | Tecsec Incorporated | Access control and authorization system |
| US6263437B1 (en) | 1998-02-19 | 2001-07-17 | Openware Systems Inc | Method and apparatus for conducting crypto-ignition processes between thin client devices and server devices over data networks |
| US6178511B1 (en) | 1998-04-30 | 2001-01-23 | International Business Machines Corporation | Coordinating user target logons in a single sign-on (SSO) environment |
| US6240512B1 (en) | 1998-04-30 | 2001-05-29 | International Business Machines Corporation | Single sign-on (SSO) mechanism having master key synchronization |
| US6275944B1 (en) | 1998-04-30 | 2001-08-14 | International Business Machines Corporation | Method and system for single sign on using configuration directives with respect to target types |
| US6243816B1 (en) | 1998-04-30 | 2001-06-05 | International Business Machines Corporation | Single sign-on (SSO) mechanism personal key manager |
| US7174457B1 (en) | 1999-03-10 | 2007-02-06 | Microsoft Corporation | System and method for authenticating an operating system to a central processing unit, providing the CPU/OS with secure storage, and authenticating the CPU/OS to a third party |
| JP2000181803A (ja) | 1998-12-18 | 2000-06-30 | Fujitsu Ltd | 鍵管理機能付電子データ保管装置および電子データ保管方法 |
| US6661896B1 (en) | 1998-12-30 | 2003-12-09 | Howard S. Barnett | Computer network security system and method |
| US6636968B1 (en) | 1999-03-25 | 2003-10-21 | Koninklijke Philips Electronics N.V. | Multi-node encryption and key delivery |
| US6886095B1 (en) | 1999-05-21 | 2005-04-26 | International Business Machines Corporation | Method and apparatus for efficiently initializing secure communications among wireless devices |
| US6263435B1 (en) | 1999-07-06 | 2001-07-17 | Matsushita Electric Industrial Co., Ltd. | Dual encryption protocol for scalable secure group communication |
| US7089211B1 (en) | 2000-01-12 | 2006-08-08 | Cisco Technology, Inc. | Directory enabled secure multicast group communications |
| GB2365153A (en) | 2000-01-28 | 2002-02-13 | Simon William Moore | Microprocessor resistant to power analysis with an alarm state |
| US7362868B2 (en) | 2000-10-20 | 2008-04-22 | Eruces, Inc. | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| US7181762B2 (en) | 2001-01-17 | 2007-02-20 | Arcot Systems, Inc. | Apparatus for pre-authentication of users using one-time passwords |
| US7266687B2 (en) | 2001-02-16 | 2007-09-04 | Motorola, Inc. | Method and apparatus for storing and distributing encryption keys |
| US7765329B2 (en) | 2002-06-05 | 2010-07-27 | Silicon Graphics International | Messaging between heterogeneous clients of a storage area network |
| US7181015B2 (en) | 2001-07-31 | 2007-02-20 | Mcafee, Inc. | Method and apparatus for cryptographic key establishment using an identity based symmetric keying technique |
| US7879111B2 (en) | 2006-11-02 | 2011-02-01 | Sony Corporation | System and method for RFID transfer of MAC, keys |
| CN1184833C (zh) | 2001-12-21 | 2005-01-12 | 华为技术有限公司 | 一种基于移动国家码确定保密通信中加密算法的方法 |
| US7965843B1 (en) | 2001-12-27 | 2011-06-21 | Cisco Technology, Inc. | Methods and apparatus for security over fibre channel |
| JP3629237B2 (ja) | 2001-12-28 | 2005-03-16 | 株式会社東芝 | ノード装置及び通信制御方法 |
| US7251635B2 (en) | 2002-02-25 | 2007-07-31 | Schlumberger Omnes, Inc. | Method and apparatus for managing a key management system |
| US7362865B2 (en) | 2002-04-15 | 2008-04-22 | Hewlett-Packard Development Company, L.P. | Wireless network system |
| US7246232B2 (en) | 2002-05-31 | 2007-07-17 | Sri International | Methods and apparatus for scalable distributed management of wireless virtual private networks |
| US7565537B2 (en) | 2002-06-10 | 2009-07-21 | Microsoft Corporation | Secure key exchange with mutual authentication |
| US7773754B2 (en) | 2002-07-08 | 2010-08-10 | Broadcom Corporation | Key management system and method |
| US20040103220A1 (en) | 2002-10-21 | 2004-05-27 | Bill Bostick | Remote management system |
| EP1416665A2 (en) | 2002-10-31 | 2004-05-06 | Matsushita Electric Industrial Co., Ltd. | Communication device, communication system, and cryptographic algorithm selection method |
| US20060005237A1 (en) | 2003-01-30 | 2006-01-05 | Hiroshi Kobata | Securing computer network communication using a proxy server |
| TW200421813A (en) | 2003-04-03 | 2004-10-16 | Admtek Inc | Encryption/decryption device of WLAN and method thereof |
| US20060129812A1 (en) | 2003-07-07 | 2006-06-15 | Mody Sachin S | Authentication for admitting parties into a network |
| US7356587B2 (en) | 2003-07-29 | 2008-04-08 | International Business Machines Corporation | Automatically detecting malicious computer network reconnaissance by updating state codes in a histogram |
| US20050135622A1 (en) | 2003-12-18 | 2005-06-23 | Fors Chad M. | Upper layer security based on lower layer keying |
| US7548744B2 (en) | 2003-12-19 | 2009-06-16 | General Motors Corporation | WIFI authentication method |
| US7697501B2 (en) | 2004-02-06 | 2010-04-13 | Qualcomm Incorporated | Methods and apparatus for separating home agent functionality |
| US7624269B2 (en) | 2004-07-09 | 2009-11-24 | Voltage Security, Inc. | Secure messaging system with derived keys |
| US20060047601A1 (en) | 2004-08-25 | 2006-03-02 | General Instrument Corporation | Method and apparatus for providing channel key data |
| US7899189B2 (en) | 2004-12-09 | 2011-03-01 | International Business Machines Corporation | Apparatus, system, and method for transparent end-to-end security of storage data in a client-server environment |
| KR101202671B1 (ko) | 2004-12-28 | 2012-11-19 | 텔레콤 이탈리아 소시에떼 퍼 아찌오니 | 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법 |
| CN1838590B (zh) | 2005-03-21 | 2011-01-19 | 松下电器产业株式会社 | 在会话起始协议信号过程提供因特网密钥交换的方法及系统 |
| JP2006270363A (ja) * | 2005-03-23 | 2006-10-05 | Matsushita Electric Ind Co Ltd | 秘密通信設定方法、および秘密通信設定システム |
| US20100161958A1 (en) | 2005-06-22 | 2010-06-24 | Seok-Heon Cho | Device for Realizing Security Function in Mac of Portable Internet System and Authentication Method Using the Device |
| US20070038679A1 (en) | 2005-08-15 | 2007-02-15 | Mcdata Corporation | Dynamic configuration updating in a storage area network |
| EP1984866B1 (en) | 2006-02-07 | 2011-11-02 | Nextenders (India) Private Limited | Document security management system |
| US7809354B2 (en) | 2006-03-16 | 2010-10-05 | Cisco Technology, Inc. | Detecting address spoofing in wireless network environments |
| US9002018B2 (en) | 2006-05-09 | 2015-04-07 | Sync Up Technologies Corporation | Encryption key exchange system and method |
| JP2008011512A (ja) | 2006-06-01 | 2008-01-17 | Canon Inc | データ処理装置、データ記憶装置およびそれらのデータ処理方法 |
| US20080063209A1 (en) | 2006-09-07 | 2008-03-13 | International Business Machines Corporation | Distributed key store |
| CN101554011A (zh) | 2006-09-21 | 2009-10-07 | 交互数字技术公司 | 群组式密钥的生成 |
| US20080095114A1 (en) | 2006-10-21 | 2008-04-24 | Toshiba America Research, Inc. | Key Caching, QoS and Multicast Extensions to Media-Independent Pre-Authentication |
| CN101212293B (zh) | 2006-12-31 | 2010-04-14 | 普天信息技术研究院 | 一种身份认证方法及系统 |
| US20080165973A1 (en) | 2007-01-09 | 2008-07-10 | Miranda Gavillan Jose G | Retrieval and Display of Encryption Labels From an Encryption Key Manager |
| US7805566B2 (en) | 2007-03-29 | 2010-09-28 | Hewlett-Packard Development Company, L.P. | Replication in storage systems using a target port mimicking a host initiator port |
| US8635461B2 (en) | 2007-05-22 | 2014-01-21 | International Business Machines Corporation | Retrieval and display of encryption labels from an encryption key manager certificate ID attached to key certificate |
| JP5288087B2 (ja) | 2007-06-11 | 2013-09-11 | 日本電気株式会社 | 秘匿通信ネットワークにおける暗号鍵管理方法および装置 |
| EP2037652A3 (en) * | 2007-06-19 | 2009-05-27 | Panasonic Corporation | Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network |
| US9384777B2 (en) | 2007-08-17 | 2016-07-05 | International Business Machines Corporation | Efficient elimination of access to data on a writable storage media |
| US9299385B2 (en) | 2007-08-17 | 2016-03-29 | International Business Machines Corporation | Efficient elimination of access to data on a writable storage media |
| US9111568B2 (en) | 2007-08-20 | 2015-08-18 | International Business Machines Corporation | Bulk data erase utilizing an encryption technique |
| US9774445B1 (en) | 2007-09-04 | 2017-09-26 | Netapp, Inc. | Host based rekeying |
| US8645715B2 (en) | 2007-09-11 | 2014-02-04 | International Business Machines Corporation | Configuring host settings to specify an encryption setting and a key label referencing a key encryption key to use to encrypt an encryption key provided to a storage drive to use to encrypt data from the host |
| US8249256B2 (en) | 2007-11-06 | 2012-08-21 | Motorola Solutions, Inc. | Method for providing fast secure handoff in a wireless mesh network |
| CN101436930A (zh) | 2007-11-16 | 2009-05-20 | 华为技术有限公司 | 一种密钥分发的方法、系统和设备 |
| US8498417B1 (en) | 2007-12-27 | 2013-07-30 | Emc Corporation | Automation of coordination of encryption keys in a SAN based environment where an encryption engine, device management, and key management are not co-located |
| US9495561B2 (en) | 2008-01-08 | 2016-11-15 | International Business Machines Corporation | Target of opportunity recognition during an encryption related process |
| US9830278B1 (en) | 2008-03-06 | 2017-11-28 | EMC IP Holding Company LLC | Tracking replica data using key management |
| WO2009117844A1 (en) | 2008-03-25 | 2009-10-01 | Alcatel Shanghai Bell Co., Ltd. | Methods and entities using ipsec esp to support security functionality for udp-based oma enablers |
| US8855318B1 (en) | 2008-04-02 | 2014-10-07 | Cisco Technology, Inc. | Master key generation and distribution for storage area network devices |
| US20100031045A1 (en) | 2008-07-30 | 2010-02-04 | Lakshmi Narasimham Gade | Methods and system and computer medium for loading a set of keys |
| CN101662360B (zh) | 2008-08-29 | 2011-09-14 | 公安部第三研究所 | 一种基于短信消息服务的可认证对称密钥协商方法 |
| US8401195B2 (en) | 2008-09-22 | 2013-03-19 | Motorola Solutions, Inc. | Method of automatically populating a list of managed secure communications group members |
| US20100154053A1 (en) | 2008-12-17 | 2010-06-17 | David Dodgson | Storage security using cryptographic splitting |
| CN101409619B (zh) | 2008-11-25 | 2011-06-01 | 普天信息技术研究院有限公司 | 闪存卡及虚拟专用网密钥交换的实现方法 |
| US20100157889A1 (en) | 2008-12-18 | 2010-06-24 | Motorola, Inc. | System and method for improving efficiency of broadcast communications in a multi-hop wireless mesh network |
| US8391494B1 (en) | 2009-02-26 | 2013-03-05 | Symantec Corporation | Systems and methods for protecting enterprise rights management keys |
| US20110010543A1 (en) * | 2009-03-06 | 2011-01-13 | Interdigital Patent Holdings, Inc. | Platform validation and management of wireless devices |
| US20110320706A1 (en) | 2009-03-12 | 2011-12-29 | Hitachi, Ltd. | Storage apparatus and method for controlling the same |
| US9355267B2 (en) | 2009-03-26 | 2016-05-31 | The University Of Houston System | Integrated file level cryptographical access control |
| US8798034B2 (en) | 2009-03-31 | 2014-08-05 | Motorola Solutions, Inc. | System and method for selecting a route based on link metrics incorporating channel bandwidth, spatial streams and/or guard interval in a multiple-input multiple-output (MIMO) network |
| US8266433B1 (en) | 2009-04-30 | 2012-09-11 | Netapp, Inc. | Method and system for automatically migrating encryption keys between key managers in a network storage system |
| WO2010141375A2 (en) | 2009-06-01 | 2010-12-09 | Phatak Dhananjay S | System, method, and apparata for secure communications using an electrical grid network |
| US8296567B2 (en) | 2009-07-15 | 2012-10-23 | Research In Motion Limited | System and method for exchanging key generation parameters for secure communications |
| US8195956B2 (en) | 2009-08-17 | 2012-06-05 | Brocade Communications Systems, Inc. | Re-keying data in place |
| CN102014381B (zh) | 2009-09-08 | 2012-12-12 | 华为技术有限公司 | 加密算法协商方法、网元及移动台 |
| US8630416B2 (en) | 2009-12-21 | 2014-01-14 | Intel Corporation | Wireless device and method for rekeying with reduced packet loss for high-throughput wireless communications |
| KR101706117B1 (ko) | 2010-01-15 | 2017-02-14 | 삼성전자주식회사 | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 |
| US9350708B2 (en) | 2010-06-01 | 2016-05-24 | Good Technology Corporation | System and method for providing secured access to services |
| US9147081B2 (en) | 2010-07-27 | 2015-09-29 | Infinidat Ltd. | Method of access control to stored information and system thereof |
| CN101917272B (zh) | 2010-08-12 | 2012-07-18 | 西安西电捷通无线网络通信股份有限公司 | 一种邻居用户终端间保密通信方法及系统 |
| CN102006294B (zh) | 2010-11-25 | 2014-08-20 | 中兴通讯股份有限公司 | Ims多媒体通信方法和系统、终端及ims核心网 |
| US8200868B1 (en) | 2010-12-30 | 2012-06-12 | Google Inc. | Peripheral device detection with short-range communication |
| US8701169B2 (en) | 2011-02-11 | 2014-04-15 | Certicom Corp. | Using a single certificate request to generate credentials with multiple ECQV certificates |
| US8838550B1 (en) | 2011-06-27 | 2014-09-16 | Amazon Technologies, Inc. | Readable text-based compression of resource identifiers |
| US8943318B2 (en) | 2012-05-11 | 2015-01-27 | Verizon Patent And Licensing Inc. | Secure messaging by key generation information transfer |
| US9325509B2 (en) | 2011-07-15 | 2016-04-26 | Hitachi, Ltd. | Determination method for cryptographic algorithm used for signature, validation server and program |
| US8798273B2 (en) | 2011-08-19 | 2014-08-05 | International Business Machines Corporation | Extending credential type to group Key Management Interoperability Protocol (KMIP) clients |
| JP5624526B2 (ja) | 2011-08-26 | 2014-11-12 | 株式会社東芝 | 鍵共有装置、鍵共有方法および鍵共有プログラム |
| US8769310B2 (en) | 2011-10-21 | 2014-07-01 | International Business Machines Corporation | Encrypting data objects to back-up |
| US9390228B2 (en) | 2011-10-31 | 2016-07-12 | Reid Consulting Group, Inc. | System and method for securely storing and sharing information |
| KR101388724B1 (ko) | 2011-11-11 | 2014-04-25 | 닛본 덴끼 가부시끼가이샤 | 데이터베이스 암호화 시스템과 방법 및 컴퓨터 판독가능 기록 매체 |
| US9553725B2 (en) | 2011-11-21 | 2017-01-24 | Combined Conditional Access Development And Support, Llc | System and method for authenticating data |
| CN103166931A (zh) | 2011-12-15 | 2013-06-19 | 华为技术有限公司 | 一种安全传输数据方法,装置和系统 |
| CN102546154B (zh) | 2011-12-19 | 2015-09-16 | 上海顶竹通讯技术有限公司 | 移动通信网络中终端的切换方法 |
| CN102572314B (zh) | 2011-12-22 | 2015-01-14 | 格科微电子(上海)有限公司 | 图像传感器以及支付认证方法 |
| US9065637B2 (en) | 2012-01-25 | 2015-06-23 | CertiVox Ltd. | System and method for securing private keys issued from distributed private key generator (D-PKG) nodes |
| US9449183B2 (en) | 2012-01-28 | 2016-09-20 | Jianqing Wu | Secure file drawer and safe |
| CN102821096B (zh) | 2012-07-17 | 2014-10-29 | 华中科技大学 | 一种分布式存储系统及其文件共享方法 |
| EP2902939A4 (en) | 2012-09-26 | 2016-04-27 | Mitsubishi Electric Corp | PROGRAM VERIFICATION DEVICE, PROGRAM VERIFICATION METHOD, AND PROGRAM VERIFICATION PROGRAM |
| US20190335551A1 (en) | 2012-11-08 | 2019-10-31 | Applied Biophotonics Ltd. | Distributed Photobiomodulation Therapy Devices And Methods, Biofeedback, And Communication Protocols Therefor |
| US20140185805A1 (en) | 2013-01-03 | 2014-07-03 | Neuropace, Inc. | Securely Exchanging Cipher Keys |
| US9882713B1 (en) | 2013-01-30 | 2018-01-30 | vIPtela Inc. | Method and system for key generation, distribution and management |
| US9608813B1 (en) | 2013-06-13 | 2017-03-28 | Amazon Technologies, Inc. | Key rotation techniques |
| US9185088B1 (en) | 2013-02-19 | 2015-11-10 | Amazon Technologies, Inc. | Secure and efficient communication through an intermediary |
| US9152578B1 (en) | 2013-03-12 | 2015-10-06 | Emc Corporation | Securing data replication, backup and mobility in cloud storage |
| US9467283B2 (en) | 2013-06-24 | 2016-10-11 | Blackberry Limited | Securing method for lawful interception |
| US9530009B2 (en) | 2013-06-27 | 2016-12-27 | Visa International Service Association | Secure execution and update of application module code |
| KR102124413B1 (ko) | 2013-12-30 | 2020-06-19 | 삼성에스디에스 주식회사 | 아이디 기반 키 관리 시스템 및 방법 |
| US9432838B2 (en) | 2013-08-09 | 2016-08-30 | Paypal, Inc. | System and methods for account creation using a feature phone |
| US9124564B2 (en) | 2013-08-22 | 2015-09-01 | Cisco Technology, Inc. | Context awareness during first negotiation of secure key exchange |
| AU2014321178A1 (en) | 2013-09-20 | 2016-04-14 | Visa International Service Association | Secure remote payment transaction processing including consumer authentication |
| US20150117639A1 (en) | 2013-10-25 | 2015-04-30 | IdentaChip, LLC | Secure and privacy friendly data encryption |
| KR101447554B1 (ko) | 2013-11-08 | 2014-10-08 | 한국전자통신연구원 | 암호화된 파일을 복호화하는 장치 및 그 방법 |
| US10331895B1 (en) | 2014-01-07 | 2019-06-25 | Amazon Technologies, Inc. | Forced data transformation policy |
| US9519696B1 (en) | 2014-01-07 | 2016-12-13 | Amazon Technologies, Inc. | Data transformation policies |
| US20150281185A1 (en) | 2014-03-26 | 2015-10-01 | Cisco Technology, Inc. | Cloud Collaboration System With External Cryptographic Key Management |
| US10043029B2 (en) | 2014-04-04 | 2018-08-07 | Zettaset, Inc. | Cloud storage encryption |
| US9654469B1 (en) | 2014-05-02 | 2017-05-16 | Nok Nok Labs, Inc. | Web-based user authentication techniques and applications |
| WO2015187640A2 (en) | 2014-06-02 | 2015-12-10 | Robert Bosch Gmbh | System and method for secure review of audit logs |
| US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
| US20190018968A1 (en) | 2014-07-17 | 2019-01-17 | Venafi, Inc. | Security reliance scoring for cryptographic material and processes |
| GB2528874A (en) | 2014-08-01 | 2016-02-10 | Bae Systems Plc | Improvements in and relating to secret communications |
| BR112017002747A2 (pt) | 2014-08-29 | 2018-01-30 | Visa Int Service Ass | método implementado por computador, e, sistema de computador. |
| JP6559774B2 (ja) | 2014-09-04 | 2019-08-14 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 鍵共有のために設けられた暗号システム |
| US9331989B2 (en) | 2014-10-06 | 2016-05-03 | Micron Technology, Inc. | Secure shared key sharing systems and methods |
| US10333696B2 (en) | 2015-01-12 | 2019-06-25 | X-Prime, Inc. | Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency |
| EP3257227B1 (en) | 2015-02-13 | 2021-03-31 | Visa International Service Association | Confidential communication management |
| US9531536B2 (en) | 2015-03-04 | 2016-12-27 | Ssh Communications Oyj | Shared keys in a computerized system |
| TWI566121B (zh) | 2015-03-05 | 2017-01-11 | Intelligent components to achieve a logical dual - channel system and its methods | |
| KR101675088B1 (ko) | 2015-04-30 | 2016-11-10 | 성균관대학교산학협력단 | Mtc에서의 네트워크와의 상호 인증 방법 및 시스템 |
| US20200204991A1 (en) | 2018-12-21 | 2020-06-25 | Micron Technology, Inc. | Memory device and managed memory system with wireless debug communication port and methods for operating the same |
| US10708236B2 (en) | 2015-10-26 | 2020-07-07 | Secturion Systems, Inc. | Multi-independent level secure (MILS) storage encryption |
| US10382409B2 (en) | 2015-11-25 | 2019-08-13 | Visa International Service Association | Secure multi-party protocol |
| US10412098B2 (en) | 2015-12-11 | 2019-09-10 | Amazon Technologies, Inc. | Signed envelope encryption |
| MY190785A (en) | 2015-12-21 | 2022-05-12 | Koninklijke Philips Nv | Network system for secure communication |
| WO2017132136A1 (en) | 2016-01-26 | 2017-08-03 | Google Inc. | Secure connections for low-power devices |
| US10382206B2 (en) | 2016-03-10 | 2019-08-13 | Futurewei Technologies, Inc. | Authentication mechanism for 5G technologies |
| JP6670395B2 (ja) | 2016-03-29 | 2020-03-18 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 身元情報ベース鍵素材及び証明書の配布のためのシステム及び方法 |
| US10255201B2 (en) | 2016-05-18 | 2019-04-09 | Dell Products, L.P. | Local key management for storage devices |
| US10097544B2 (en) | 2016-06-01 | 2018-10-09 | International Business Machines Corporation | Protection and verification of user authentication credentials against server compromise |
| CN107682891B (zh) | 2016-08-02 | 2019-08-23 | 电信科学技术研究院 | 一种确定资源占用状态的方法和装置 |
| WO2018027059A1 (en) | 2016-08-03 | 2018-02-08 | KryptCo, Inc. | Systems and methods for delegated cryptography |
| US10742628B2 (en) | 2016-08-11 | 2020-08-11 | Unisys Corporation | Secured cloud storage broker with enhanced security |
| US20180063141A1 (en) | 2016-08-30 | 2018-03-01 | Verisign, Inc. | Integrated dns service provider services using token-based authentication |
| US20180083958A1 (en) | 2016-09-18 | 2018-03-22 | Dmitriy Avilov | System and method for network user's authentication and registration by way of third party computing device |
| US10505729B2 (en) | 2016-11-09 | 2019-12-10 | Sap Se | Secure database featuring separate operating system user |
| WO2018096449A1 (en) | 2016-11-23 | 2018-05-31 | Telefonaktiebolaget Lm Ericsson (Publ) | User identity privacy protection in public wireless local access network, wlan, access |
| ES2929464T3 (es) | 2016-11-26 | 2022-11-29 | Huawei Tech Co Ltd | Método para controlar de forma segura un aparato doméstico inteligente y dispositivo terminal |
| US10972265B2 (en) | 2017-01-26 | 2021-04-06 | Microsoft Technology Licensing, Llc | Addressing a trusted execution environment |
| US11082418B2 (en) | 2017-02-13 | 2021-08-03 | Avalanche Cloud Corporation | Privacy ensured brokered identity federation |
| US10594481B2 (en) | 2017-02-21 | 2020-03-17 | International Business Machines Corporation | Replicated encrypted data management |
| US10546130B1 (en) | 2017-02-24 | 2020-01-28 | United States Of America As Represented By The Secretary Of The Air Force | Timed attestation process |
| US10503427B2 (en) | 2017-03-10 | 2019-12-10 | Pure Storage, Inc. | Synchronously replicating datasets and other managed objects to cloud-based storage systems |
| JP2018182665A (ja) | 2017-04-20 | 2018-11-15 | 富士通株式会社 | 通信装置、通信システム及び暗号化通信制御方法 |
| CN109246053B (zh) | 2017-05-26 | 2022-05-24 | 阿里巴巴集团控股有限公司 | 一种数据通信方法、装置、设备和存储介质 |
| US11604879B2 (en) | 2017-07-12 | 2023-03-14 | Nec Corporation | Attestation system, attestation method, and attestation program |
| US11196711B2 (en) | 2017-07-21 | 2021-12-07 | Fisher-Rosemount Systems, Inc. | Firewall for encrypted traffic in a process control system |
| US10841089B2 (en) | 2017-08-25 | 2020-11-17 | Nutanix, Inc. | Key managers for distributed computing systems |
| CN109429232A (zh) | 2017-09-04 | 2019-03-05 | 华为技术有限公司 | 网络接入和接入控制方法、装置 |
| US10361859B2 (en) | 2017-10-06 | 2019-07-23 | Stealthpath, Inc. | Methods for internet communication security |
| US11108751B2 (en) | 2017-10-27 | 2021-08-31 | Nicira, Inc. | Segmentation of encrypted segments in networks |
| US10785199B1 (en) | 2017-11-27 | 2020-09-22 | Amazon Technologies, Inc. | Distribution of derived authentication keys to authentication servers based on trust level |
| KR102456579B1 (ko) | 2017-12-07 | 2022-10-20 | 삼성전자주식회사 | 암호화 관련 취약점 공격에 강인한 전자 장치 및 그 방법 |
| US11095638B2 (en) | 2017-12-11 | 2021-08-17 | Ssh Communications Security Oyj | Access security in computer networks |
| EP3732599A4 (en) | 2017-12-29 | 2021-09-01 | Idee Limited | SINGLE SIGN-ON (SSO) USING CONTINUOUS AUTHENTICATION |
| US10749667B2 (en) | 2017-12-29 | 2020-08-18 | Hughes Network Systems, Llc | System and method for providing satellite GTP acceleration for secure cellular backhaul over satellite |
| US20190238323A1 (en) | 2018-01-31 | 2019-08-01 | Nutanix, Inc. | Key managers for distributed computing systems using key sharing techniques |
| US10637858B2 (en) | 2018-02-23 | 2020-04-28 | T-Mobile Usa, Inc. | Key-derivation verification in telecommunications network |
| US10678938B2 (en) | 2018-03-30 | 2020-06-09 | Intel Corporation | Trustworthy peripheral transfer of ownership |
| US11347868B2 (en) | 2018-04-17 | 2022-05-31 | Domo, Inc | Systems and methods for securely managing data in distributed systems |
| US10715511B2 (en) * | 2018-05-03 | 2020-07-14 | Honeywell International Inc. | Systems and methods for a secure subscription based vehicle data service |
| US10820197B2 (en) | 2018-05-08 | 2020-10-27 | At&T Intellectual Property I, L.P. | Selective disablement of SIP encryption for lawful intercept |
| KR102626319B1 (ko) | 2018-05-23 | 2024-01-17 | 삼성전자주식회사 | 디지털 키를 저장하기 위한 방법 및 전자 디바이스 |
| EP3830733A4 (en) | 2018-07-27 | 2022-04-27 | BicDroid Inc. | PERSONALIZED AND CRYPTOGRAPHICALLY SECURE ACCESS CONTROL IN A TRUSTED EXECUTION ENVIRONMENT |
| US11057366B2 (en) | 2018-08-21 | 2021-07-06 | HYPR Corp. | Federated identity management with decentralized computing platforms |
| US10833860B2 (en) | 2018-09-04 | 2020-11-10 | International Business Machines Corporation | Shared key processing by a host to secure links |
| US20200076585A1 (en) | 2018-09-04 | 2020-03-05 | International Business Machines Corporation | Storage device key management for encrypted host data |
| US10756887B2 (en) | 2018-10-12 | 2020-08-25 | EMC IP Holding Company LLC | Method and system for securely replicating encrypted deduplicated storages |
| US11153085B2 (en) | 2018-10-30 | 2021-10-19 | EMC IP Holding Company LLC | Secure distributed storage of encryption keys |
| US11233790B2 (en) | 2019-02-22 | 2022-01-25 | Crowd Strike, Inc. | Network-based NT LAN manager (NTLM) relay attack detection and prevention |
| KR20200104043A (ko) | 2019-02-26 | 2020-09-03 | 삼성전자주식회사 | 사용자 식별 정보를 저장하기 위한 전자 장치 및 그에 관한 방법 |
| US11196726B2 (en) | 2019-03-01 | 2021-12-07 | Cisco Technology, Inc. | Scalable IPSec services |
| US11228434B2 (en) | 2019-03-20 | 2022-01-18 | Zettaset, Inc. | Data-at-rest encryption and key management in unreliably connected environments |
| CA3058013C (en) | 2019-03-29 | 2021-04-27 | Alibaba Group Holding Limited | Managing sensitive data elements in a blockchain network |
| US11212264B1 (en) | 2019-05-30 | 2021-12-28 | Wells Fargo Bank, N.A. | Systems and methods for third party data protection |
| CN110690960B (zh) | 2019-09-01 | 2022-02-22 | 成都量安区块链科技有限公司 | 一种中继节点的路由服务方法与装置 |
| US11206144B2 (en) * | 2019-09-11 | 2021-12-21 | International Business Machines Corporation | Establishing a security association and authentication to secure communication between an initiator and a responder |
| US11201749B2 (en) * | 2019-09-11 | 2021-12-14 | International Business Machines Corporation | Establishing a security association and authentication to secure communication between an initiator and a responder |
| US11303441B2 (en) * | 2019-09-25 | 2022-04-12 | International Business Machines Corporation | Reverting from a new security association to a previous security association in response to an error during a rekey operation |
| US11245521B2 (en) * | 2019-09-25 | 2022-02-08 | International Business Machines Corporation | Reverting from a new security association to a previous security association in response to an error during a rekey operation |
| US11245697B2 (en) | 2019-11-29 | 2022-02-08 | Juniper Networks, Inc. | Application-based network security |
| US11500969B2 (en) | 2020-01-03 | 2022-11-15 | Microsoft Technology Licensing, Llc | Protecting commercial off-the-shelf program binaries from piracy using hardware enclaves |
| US11469885B2 (en) | 2020-01-09 | 2022-10-11 | Western Digital Technologies, Inc. | Remote grant of access to locked data storage device |
| US11502834B2 (en) | 2020-02-26 | 2022-11-15 | International Business Machines Corporation | Refreshing keys in a computing environment that provides secure data transfer |
| US11546137B2 (en) | 2020-02-26 | 2023-01-03 | International Business Machines Corporation | Generation of a request to initiate a secure data transfer in a computing environment |
| US11652616B2 (en) | 2020-02-26 | 2023-05-16 | International Business Machines Corporation | Initializing a local key manager for providing secure data transfer in a computing environment |
| US11184160B2 (en) | 2020-02-26 | 2021-11-23 | International Business Machines Corporation | Channel key loading in a computing environment |
| US11405215B2 (en) | 2020-02-26 | 2022-08-02 | International Business Machines Corporation | Generation of a secure key exchange authentication response in a computing environment |
| US11310036B2 (en) | 2020-02-26 | 2022-04-19 | International Business Machines Corporation | Generation of a secure key exchange authentication request in a computing environment |
| US11489821B2 (en) | 2020-02-26 | 2022-11-01 | International Business Machines Corporation | Processing a request to initiate a secure data transfer in a computing environment |
| US11658984B2 (en) | 2020-04-24 | 2023-05-23 | Citrix Systems, Inc. | Authenticating access to computing resources |
| US11277381B2 (en) | 2020-04-30 | 2022-03-15 | Kyndryl, Inc. | Multi-channel based just-in-time firewall control |
| US11356418B2 (en) | 2020-05-07 | 2022-06-07 | Citrix Systems, Inc. | Systems and methods for using unencrypted communication tunnels |
| LT6793B (lt) | 2020-05-18 | 2020-12-28 | Timofey Mochalov | Duomenų perdavimo apsaugos būdas naudojant dirbtinį neuroninį tinklą |
-
2020
- 2020-02-26 US US16/801,319 patent/US11184160B2/en active Active
-
2021
- 2021-02-16 JP JP2022548799A patent/JP2023514826A/ja active Pending
- 2021-02-16 IL IL294779A patent/IL294779A/en unknown
- 2021-02-16 GB GB2213463.9A patent/GB2608530A/en active Pending
- 2021-02-16 CN CN202180011721.0A patent/CN115039389B/zh active Active
- 2021-02-16 AU AU2021225416A patent/AU2021225416B2/en active Active
- 2021-02-16 CA CA3162797A patent/CA3162797A1/en active Pending
- 2021-02-16 WO PCT/IB2021/051287 patent/WO2021171134A1/en active Application Filing
- 2021-02-16 DE DE112021001270.3T patent/DE112021001270T5/de active Pending
- 2021-02-16 KR KR1020227027946A patent/KR20220132557A/ko not_active Application Discontinuation
- 2021-09-16 US US17/476,677 patent/US11824974B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN115039389A (zh) | 2022-09-09 |
| GB2608530A (en) | 2023-01-04 |
| CN115039389B (zh) | 2024-02-06 |
| US11824974B2 (en) | 2023-11-21 |
| CA3162797A1 (en) | 2021-09-02 |
| GB202213463D0 (en) | 2022-10-26 |
| AU2021225416B2 (en) | 2023-02-09 |
| US20210266156A1 (en) | 2021-08-26 |
| AU2021225416A1 (en) | 2022-07-21 |
| DE112021001270T5 (de) | 2023-02-09 |
| US20220006626A1 (en) | 2022-01-06 |
| WO2021171134A1 (en) | 2021-09-02 |
| JP2023514826A (ja) | 2023-04-11 |
| IL294779A (en) | 2022-09-01 |
| US11184160B2 (en) | 2021-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2021225416B2 (en) | Secure key exchange in a computing environment | |
| US10764291B2 (en) | Controlling access between nodes by a key server | |
| US11563588B2 (en) | Securing a path at a selected node | |
| US11502834B2 (en) | Refreshing keys in a computing environment that provides secure data transfer | |
| US11405215B2 (en) | Generation of a secure key exchange authentication response in a computing environment | |
| US11310036B2 (en) | Generation of a secure key exchange authentication request in a computing environment | |
| US11652616B2 (en) | Initializing a local key manager for providing secure data transfer in a computing environment | |
| US11489821B2 (en) | Processing a request to initiate a secure data transfer in a computing environment | |
| US11546137B2 (en) | Generation of a request to initiate a secure data transfer in a computing environment | |
| US10833860B2 (en) | Shared key processing by a host to secure links | |
| US10833856B2 (en) | Automatic re-authentication of links using a key server | |
| US11025413B2 (en) | Securing a storage network using key server authentication | |
| US11522681B2 (en) | Securing a path at a node | |
| US20150365412A1 (en) | Secured access to resources using a proxy | |
| US11038671B2 (en) | Shared key processing by a storage device to secure links | |
| KR20230078706A (ko) | 포스트 양자 암호화를 사용하는 인증서 기반 보안 | |
| US11032708B2 (en) | Securing public WLAN hotspot network access | |
| WO2022206203A1 (en) | Connection resilient multi-factor authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal |