TWI581125B - 以電腦實施的方法與使用其的系統、以及電腦程式產品 - Google Patents

以電腦實施的方法與使用其的系統、以及電腦程式產品 Download PDF

Info

Publication number
TWI581125B
TWI581125B TW104144622A TW104144622A TWI581125B TW I581125 B TWI581125 B TW I581125B TW 104144622 A TW104144622 A TW 104144622A TW 104144622 A TW104144622 A TW 104144622A TW I581125 B TWI581125 B TW I581125B
Authority
TW
Taiwan
Prior art keywords
key
self
encrypting device
controller
encrypting
Prior art date
Application number
TW104144622A
Other languages
English (en)
Other versions
TW201712588A (zh
Inventor
陳連壎
Original Assignee
廣達電腦股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 廣達電腦股份有限公司 filed Critical 廣達電腦股份有限公司
Publication of TW201712588A publication Critical patent/TW201712588A/zh
Application granted granted Critical
Publication of TWI581125B publication Critical patent/TWI581125B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Description

以電腦實施的方法與使用其的系統、以及電腦程 式產品
本發明係有關於一種在計算系統中的資料安全。
資料安全技術正隨著網際網路服務的日益普及而變得更加重要。當企業和個人依賴於遠端資料存儲來發展的同時,存在關於資料安全措施而日益增長的需求,以減少可能會對資料擁有者導致無法挽回的財務和個人損失的資料破壞或資料駭客。資料安全性措施的一個重要方面是資料加密技術。
具體來說,資料加密技術可包括資料加密和資料解密。資料加密可以使用加密金鑰將明文(clear text)轉換為密文(cipher text),而資料解密可以把密文轉換為明文。
基於硬體的資料加密技術,例如自我加密裝置(self-encrypting drive,SED),可於當資料寫入到一儲存媒體時對資料加密,而當資料自該儲存媒體讀出時對資料進行解密。舉例來說,一個SED可以使用加密金鑰來加密或解密的受保護資料。然而,雖著雲端計算的日益普及,對於資料中心中的大量SED來說,管理大量的加密金鑰仍是一個挑戰。
本發明技術的一方面揭露一種使用與一金鑰管理伺服器通信的一服務控制器來致能加密金鑰自動產生的技 術。透過致能關於加密金鑰產生的自動機制,本發明可實現對於大量的伺服器的資料加密效率。
根據一些實施例,本發明提供一種電腦實施方法,包括以下步驟:於與一計算裝置聯繫的一服務控制器,接收來自一自我加密裝置控制器的一安全金鑰的一查詢,其中,查詢包括一自我加密裝置的一識別符;根據自我加密裝置的識別符的至少一部份產生關於安全金鑰的一金鑰請求;將金鑰請求傳送至與服務控制器通信的一金鑰管理伺服器;反應於金鑰請求的傳送,接收來自金鑰管理伺服器的安全金鑰;以及反應於安全較的接收,將安全金鑰傳送至自我加密裝置控制器。此外,服務控制器可接收來自一伺服器管理裝置的金鑰管理伺服器的一網路位址。
根據一些實施例,服務控制器,例如基板管理控制器(baseboard management controller,BMC),可透過一網路(例如,區域網路(local area network,LAN))以為了自動加密金鑰的產生而與一金鑰管理伺服器通信。BMC是一個獨立且內嵌的微控制器,在一些實施例中,其負責管理與監控主要中央處理單元以及在主機板上的周邊裝置。BMC可藉由智慧平台管理介面(Intelligent Platform Management Interface,IPMI)訊息來與其他內部計算單元通信。BMC可使用遠程管理控制協定(Remote Management Control Protocol,RMCP)來與外部計算裝置通信。或者,BMC可使用於智慧平台管理介面(IPMI)RMCP+並透過LAN來與外部裝置通信。根據一些實施例,BMC可透過由BMC的一網路介面控制器所實施的一專用介面來將 一金鑰請求提供給金鑰管理伺服器。此外,其他服務控制器,例如機架管理控制器(rack management controller,RMC),可為了自動加密金鑰的產生而與一金鑰管理伺服器通信。
根據一些實施例,BMC可傳送安全金鑰(例如一認證金鑰或資料加密金鑰)致儲存控制器,以解鎖一鎖定的自我加密裝置或配置一解鎖的自我加密裝置。對於一鎖定的自我加密裝置而言,儲存控制器可儲存認證金鑰的密碼散列。密碼散列可被一散列函數來建立,此散列函數可將任何長度的輸入字串轉換為固定長度散列值。在接收來自BMC的認證金鑰之後,儲存控制器可建立接收到的認證金鑰的散列,且將其與金鑰的已儲存散列進行比較。假使此兩金鑰相符合,自我加密裝置被解鎖,且可可讀取/寫入,如同一未加密的硬碟。對於繳所的自我加密裝置而言,儲存控制器可以接收到的認證金鑰來配置自我加密裝置,使得自我加密裝置可在下一次的關閉時鎖定。當自我加密裝置再次開啟電源時,其將維持鎖定,直到一正確的認證金鑰被提供為止。
根據一些實施例,金鑰管理伺服器為一外部金鑰伺服器,其配置來產生安全金鑰(例如一認證金鑰或資料加密金鑰)。舉例來說,金鑰管理伺服器可被配置來儲存一認證金鑰、自一儲存媒體擷取一已儲存的認證金鑰、調整已儲存的認證金鑰的屬性、以及重新建立一新的認證金鑰。金鑰伺服器也可被配置來儲存資料加密金鑰、自一儲存媒體擷取一已儲存的資料加密金鑰、調整已儲存的資料加密金鑰的屬性、以及重新建立一新的資料加密金鑰。
儘管許多本文利用BMC做為參考來描述的許多是範例,但是應該理解的是,這些只是示例,並且本發明不限於這方面。相反,獨立於主要中央處理單元的任何服務控制器可以被利用來與金鑰管理伺服器通信。
此外,儘管本說明書使用的金鑰管理伺服器作為如何自動產生加密金鑰的示例方式,本發明的技術也適用於可處理金鑰請求並提供對應的加密金鑰的其它金鑰產生裝置或元件。
本說明書的附加特徵和優點將被闡述在下面的說明中,且部分將從描述中是顯而易見的,或者可以通過本文揭露的原理的實踐而獲知。本發明的特徵和優點,藉由所附申請專利範圍中所指出的儀器與結合的手段來了解和獲得。本說明書的這些和其他特徵根據下面的描述和所附的申請專利範圍權利要求而變為更加清楚,或可以通過本文所闡述的原理的實踐來獲知。
100‧‧‧自動加密金鑰產生系統
102、104‧‧‧伺服器
106‧‧‧自我加密裝置
108‧‧‧金鑰管理伺服器
110‧‧‧伺服器管理裝置
112‧‧‧主機配接器
114‧‧‧自我加密控制器
116‧‧‧儲存媒體
200‧‧‧自動加密金鑰產生系統
202‧‧‧伺服器
204‧‧‧BMC
206‧‧‧處理器
208‧‧‧BIOS
210‧‧‧自我加密控制器/儲存控制器
212‧‧‧自我加密裝置
214‧‧‧自我加密裝置
216‧‧‧金鑰管理伺服器
218‧‧‧加密金鑰
220‧‧‧金鑰管理器
222‧‧‧伺服器管理裝置
302…312‧‧‧步驟
400‧‧‧計算平台
402‧‧‧BMC
404‧‧‧處理器
406‧‧‧輸入裝置
408‧‧‧儲存控制器
410‧‧‧網路介面
412‧‧‧顯示器
414‧‧‧自我加密儲存裝置
416‧‧‧系統記憶體
第1A圖表示根據本發明一些實施例的整體系統,其包括一金鑰管理伺服器以及複數伺服器。
第1B圖表示根據本發明一些實施例的自我加密裝置的示意方塊圖。
第2圖表示根據本發明一些實施例的自動加密金鑰產生系統的示意方塊圖。
第3圖表示根據本發明一些實施例,用於自動加密金鑰產生 系統的方法流程圖。
第4圖表是根據本發明一些實施例的計算裝置的計算平台。
為使本發明之上述目的、特徵和優點能更明顯易懂,下文特舉一較佳實施例,並配合所附圖式,作詳細說明如下。
為了滿足不斷增長的數據安全需求,現代資料中心需要高效且可擴展的資料加密技術。當加密金鑰儲存在獨立於中央處理器(CPU)的存儲媒介中,一個自我加密裝置(self-encrypting drive,SED)提供了可靠的密碼解決方案來保護使用者資料。
傳統上,SED以兩級的加密金鑰或密碼來保護:認證金鑰可以在加密的計算設備的引導階段來對SED解除鎖定。一旦得到確認,認證金鑰可以用來對稱為資料加密金鑰的次要金鑰進行解密。資料加密金鑰可以被用來在使用者資料被寫入至SED以及由SED讀出時,對使用者資料進行加密與解密加密。認證金鑰,也被稱為加密金鑰,其通常由使用者來提供。認證金鑰也可以由金鑰管理伺服器來提供。
舉例來說,在一個SED服務器的啟動階段,使用者被要求通過專用使用者界面(user interface,UI)輸入一認證金鑰。或者,使用者可以配置一SED伺服器以啟動到一非SED操作系統,並請求來自金鑰管理伺服器的認證金鑰。在接收到來自金鑰管理伺服器的認證金鑰後,SED伺服器可以解鎖SED,從而允許資料被讀取/寫入到磁碟。
然而,這些習知的金鑰產生方法是耗時且難以管理的。尤其是在後者的方法中,來自外部非SED磁碟機的啟動會使SED磁碟機暴露在潛在數據洩露風險中。因此,這些習知方法不適合於大量的SED需要被自動管理的叢集計算環境中。
因此,有必要提供用於SED的自動金鑰產生和管理協議,其同時可供資料安全與以及可擴展性的計算。
第1A圖係表示根據本發明一些實施例的整體系統,其包括一金鑰管理伺服器以及複數伺服器。應該理解的是,在第1A圖的拓撲僅為一示範例,且在第1A圖的網路中可包括任何數量的伺服器、SED、以及網路元件。
自動加密金鑰產生系統100可以包括由各種網絡介面連接的大量服務器。例如,此系統可以包括其具有伺服器102的第一機架以及具有服務器104的第二機架。根據一些實施例,伺服器102包括一或多個自我加密裝置(self-encrypting drive,SED),例如,自我加密裝置106或自我加密磁碟。另外,伺服器102可以包括網絡介面控制器(未表示出),以用於網絡連接。就本說明書的目的,伺服器102可以是任何計算裝置,其可計算和處理任何形式的數據。舉例來說,伺服器102可以是個人電腦、網絡存儲裝置、網絡計算裝置。伺服器102還可以包括,例如,各種輸入/輸出設備(例如顯示器)、一或多個存儲設備(例如獨立磁碟備援陣列(redundant array of independent disk,RAID)、以及一個或多個網絡介面控制器(network interface controller,NIC)。伺服器102可透過有線網絡連接(例如乙太網路)或無線網路連接(例如區域網路(local area network,LAN)或廣域網路)來與金密鑰管理伺服器108通信。
伺服器102和104可以承載不同的客戶端應用程式,例如電子郵件或網路應用程式。伺服器102和104可透過建立在機架架構內的交換結構層來傳輸數據。這種大量的數據,如果不加以保護,則可由未經授權且對資料擁有者造成大量損失的人員所破壞或竊取。
管理者或使用者可以配置金鑰管理伺服器108以自動分配一個安全金鑰(例如,一個認證金鑰或數據加密金鑰)至自我加密裝置106。為了本說明書的目的,金鑰管理伺服器108可以是任何計算裝置或系統,其可自動產生、儲存、且提供一或多個安全金鑰給SED。
舉例來說,管理者可以使用伺服器管理裝置110來提供與金鑰管理伺服器108相關聯的IP位址給位於伺服器102內的服務控制器(未表示出)。為了本說明書的目的,伺服器管理裝置110可以是被系統管理者所使用的任何適合的計算裝置,其透過有線或無線網路來管理伺服器。例如,伺服器管理裝置110可以是個人電腦、平板電腦、或基於網絡的系統。伺服器管理裝置110可以將與金鑰管理伺服器108相關聯的IP地址儲存在一儲存媒體中。
根據伺服器102的每一啟動程序,服務控制器可根據此IP地址來發送金鑰請求到金鑰管理伺服器108。此金鑰請求可包括用於需要被解鎖的請求自我加密裝置(例如,自我加密裝置106)的唯一識別符。例如,在接收到金鑰請求之後, 金鑰管理伺服器108可根據此唯一識別符來自動產生用於自我加密裝置106的認證金鑰,並將認證金鑰傳送到服務控制器。服務控制器可因此發送認證金鑰至自我加密裝置106以將其解鎖。根據一些實施例,一個與自我加密裝置106通信的一自我加密控制器(未顯示出)可以接收此認證金鑰,並判斷其是否與自我加密裝置106的一預配置密碼相符。此外,金鑰管理伺服器108可根據此唯一伺服器以自動產生一個資料加密金鑰給自我加密裝置106,並發送此資料加密金鑰給服務控制器。
此外,如果自我加密裝置106還沒有以一認證金鑰來被預配置,其將保持解鎖如同一正常裝置般運作。在這種情況下,在接收來自服務控制器的認證密鑰之後,自我加密裝置106可以認證金鑰來自我配置,以使其可為了下一重新啟動而被鎖定。
根據一些實施例,在接收到金鑰請求之後,金鑰管理伺服器108可以根據唯一識別符來自動產生用於自我加密裝置106的一個資料加密金鑰,且發送認證金鑰到服務控制器。服務控制器可以因此將資料加密金鑰傳送到一個自我加密裝置106以進行資料加密。根據一些實施例,與自我加密裝置106通信的一個自我加密控制器(未顯示出)可以接收資料加密金鑰,並確判斷其是否與自我加密裝置106的預配置資料加密金鑰相符合。
第1B圖係表示根據本發明一些實施例的自我加密裝置的示意方塊圖。自我加密裝置106可以包括,但不限於,主機配接器112(Host adaptor)、自我加密控制器114、以及儲存 媒體116。主機配接器112可以提供的主機介面,例如快速序列先進技術附件(Serial ATA Express,SATA)、序列式SCSI(SAS)、,SAS或快速周邊組件互連(Peripheral Component Interconnect Express,PCIe)。自我加密控制器114可以是任何類型的嵌入式處理器,以執行本所所揭露的自我加密功能。儲存媒體116可以儲存程序指令或資料一段時間的任何儲存媒體。例如,儲存媒體116可以是快閃磁碟機、固態磁碟(solid-state drive,SSD)、硬式磁碟機(hard-disk drive,HDD)、或者前述的組合。
如第1A圖所述,自我加密控制器114可以接收來自服務控制器的主要金鑰,如認證金鑰,以解鎖對於儲存媒體116的資料讀取/寫入功能。根據一些實施例,自我加密控制器114可以以與自我加密裝置106相關的一以儲存密碼來驗證接收到的認證金鑰。根據一些實施例,自我加密控制器114可以創建接收到的認證密鑰的散列,並將其與金鑰或密碼的存儲散列進行比較。如果驗證金鑰被驗證成功,自我加密裝置106則可被解鎖,並繼續類似於一般硬碟的資料讀取/寫入功能。
舉例來說,在自我加密裝置106的資料寫入路徑中,自我加密控制器114可接收來自一主機介面(可以主機配接器112來實施)的明文(clear text)資料。當資料寫入至儲存媒體116時,自我加密控制器可使用稱為資料加密金鑰的次要金鑰來將明文加密為密文(cipher text)。相反地,再一資料讀取路徑上,自我加密控制器116可使用相同的資料加密來對密文進行解密,並產生明文資料。
根據一些實施例,資料加密金鑰例如可由自我加密裝置106所產生,且儲存在本地裝置中,資料加密金鑰的加密格式可儲存在自我加密裝置106中,其可使用主要金鑰或認證金鑰來破解。此外,抹除資料加密金鑰可使得所有加密的資料為不可讀取的,因此提供了加密資料的一完全且不可逆的刪除。
根據一些實施例,資料加密金鑰可例如由金鑰管理伺服器108所產生,且與自我加密裝置106聯繫的基板管理控制器(baseboard management controller,BMC)(未顯示)所接收。
第2圖係表示根據本發明一些實施例的自動加密金鑰產生系統的示意方塊圖。自動加密金鑰產生系統200例如可包括伺服器管理裝置222、伺服器202、以及金鑰管理伺服器216。伺服器202可透過有線連接(例如乙太網路)或無線連接(例如區域網路(local area network,LAN)或廣域網路)來與金鑰管理伺服器216以及伺服器管理裝置222通信。
如第2圖所示,伺服器202可包括複數自我加密裝置,例如,自我加密裝置212與214、基板管理控制器(BMC)204、處理器206(例如,中央處理單元)、基本輸出入操作系統208(basic input/output operation system)、以及可配置來管理自我加密裝置212或214的至少一儲存控制器210。
自我加密裝置212可以是具有自我加密控制器的硬碟或儲存媒體,其可加密與解密使用者資料。每一自我加密裝置可與一個唯一識別符相關聯,例如全域唯一識別符(globally unique identifier,GUID)或通用唯一識別符(universally unique identifier,UUID)。一GUID可具有一128位元的數值,且顯示為具有連字符分隔群組的十六進制數位,例如3AEC1226-BA34-4069-CD45-12007C340981。一UUID可具有一128位元的數值,且可以相似於GUID的格式來顯示。此外,自我加密裝置212可被劃分為多個邏輯單元,每一邏輯單元被分配到一個唯一邏輯單元編號(logic unit number,LUN)。根據一些實施例,自我加密裝置212的一被選擇的邏輯單元可被加密,且剩餘的邏輯單元可維持在非加密狀態。
處理器206可以是一中央處理單元(central processing unit,CPU),其配置來執行BIOS 208以及特定功能的各種程式指令。舉例來說,處理器206可在伺服器202的初始程序(例如啟動程序)期間執行BIOS 208。BIOS 208可以是配置來初始且識別伺服器202的各種元件的任何的程式指令或韌體,伺服器202的各種元件包括鍵盤、顯示器、資料儲存、以及其他輸入或輸出裝置。BIOS 208可儲存一BIOS記憶體(未顯示),且在啟動程序期間被處理器206來存取。
在啟動程序期間,假使自我加密裝置212以一認證金鑰來鎖定,BIOS 208可識別一遠小於實際自我加密裝置(例如,自我加密裝置212)的影子硬碟(shadow disk)。此影子硬碟可請求輸入來對實際自我加密裝置進行解鎖的一認證金鑰。此認證金鑰也可使用來對一資料加密金鑰進行解密。假使系統提供正確的認證金鑰,處理器206可第二次執行BIOS 208以自實際自我加密裝置(例如,自我加密裝置212)啟動,且 自我加密裝置212可像一正常硬碟一般來被存取。
BMC 204是一個獨立且內嵌的微控制器,在一些實施例中,其負責管理與監控主要中央處理單元(例如,處理器206)以及在主機板上的周邊裝置(例如,開關、計算節點、以及儲存節點)。根據一些實施例,BMC 204可透過以一相關網路介面控制器(未顯示)來實施的專用網路介面(例如,LAN),與伺服器管理裝置222通信。BMC 204也可透過專用LAN來與金鑰管理伺服器216通信。BMC 204可藉由使用被稱為智慧平台管理匯流排/橋接器(Intelligent Platform Management Bus/Bridge,IPMB)的一系統匯流排以透過智慧平台管理介面(Intelligent Platform Management Interface,IPMI)訊息來與處理器206或自我加密控制器210通信。隨著內部整合電路(inter-integrated circuit,I2C)的加強實作,IPMB係以訊息導向的硬體層級基本介面規格。由於其為受信任的內部通信,因此為免認證。根據一些實施例,BMC 204可執行一金鑰管理程式(未顯示),以請求、接收、以及傳送認證金鑰給自我加密裝置212與214。此外,應注意到獨立於主要中央處理單元的其他類型服務控制器,例如機架管理控制器,可被使用來執行此處所述的功能。
根據一些實施例,伺服器管理裝置222可透過LAN將金鑰管理伺服器216的IP位址提供給BMC 204。舉例來說,伺服器管理者可透過伺服器管理裝置222的一使用者介面來發布一指令,以傳送金鑰管理伺服器216的IP位址傳送至BMC 204。BMC 204可根據此IP位址對金鑰管理伺服器216請求一認證金鑰。
在伺服器202的初始程序期間,BMC 204可接收來自於儲存控制器210對於一認證金鑰的查詢(query)。舉例來說,此查詢可包括與自我加密裝置212相關聯的唯一識別符。唯一識別符的一個例子可包括全域唯一識別符(globally unique identifier,GUID)或通用唯一識別符(universally unique identifier,UUID)。例如,自我加密裝置212的一GUID可以是1ACD1226-BA34-4069-CD45-12007C340981。此外,自我加密裝置212的邏輯單元編號(LUN)可與此詢問相關聯,以識別儲存媒體的一邏輯單元編號。
在接收到用於認證金鑰的詢問之後,BMC 204可根據自我加密裝置212的唯一識別符以及金鑰管理伺服器216的IP位址來產生一金鑰請求。舉例來說,金鑰請求的格式可符合金鑰管理互通協定(Key Management Interoperability Protocol,KMIP)。KMIP是一種通訊協定,其可使用金鑰管理伺服器來定義關於密碼金鑰管理的訊息格式。此外,在本發明的一些實施例中,可使用其他適合的通訊協定,例如可延伸標示語言金鑰管理規格(XML Key Management Specification,XKMS)。例如,金鑰請求可包括請求標頭、金鑰請求的指令區段、以及與自我加密裝置212相關聯的唯一識別符。BMC 204可透過金鑰管理伺服器216的IP位址來將金鑰請求傳送至金鑰管理伺服器216。此外,BMC 204可使用遠程管理控制協定(Remote Management Control Protocol,RMCP)或用於智慧平台管理介面(IPMI)的RMCP+,透過LAN來與金鑰管理伺服器216通信。再者,BMC 204可產生一狀態訊號,其描述金鑰產生或檢索程序的狀態。舉例 來說,BMC 204可產生一第一狀態訊號,其指示出儲存控制器210的金鑰產生/檢索程序的初始狀態。根據一些實施例,BMC 204可產生一第一狀態訊息,且反應來自於服務控制器的第一狀態請求而將其傳送至儲存控制器210。
金鑰管理伺服器216可以是一外部金鑰伺服器,其配置例如使用金鑰管理器220來產生與管理加密金鑰218。金鑰管理伺服器216也可配置來將加密金鑰218儲存在一儲存媒體,例如硬碟。加密金鑰218可包括認證金鑰以及資料加密金鑰。根據一些實施例,金鑰管理伺服器216可接收來自BMC 204的金鑰請求。金鑰管理伺服器216可執行的其他功能包括例如有:自一儲存媒體擷取一已儲存的認證金鑰、調整已儲存的認證金鑰的屬性、以及重新建立一新的認證金鑰。
反應於接收此金鑰請求,金鑰管理伺服器216識別在此金鑰請求的唯一識別符,且判斷對於自我加密裝置212之一認證金鑰先前是否已被建立並儲存。假使對於自我加密裝置212之認證金鑰先前已被建立並儲存,金鑰管理器220可在一金鑰回應中擷取此對應的加密金鑰並將其傳送至BMC 204。此金鑰回應的格式可符合KMIP。舉例來說,此金鑰回應可包括一回應標頭、一金鑰值(例如,一256位元的加密金鑰)、以及與自我加密裝置212相關聯的唯一識別符。另一方面,假使先前沒有認證金鑰被建立,金鑰管理伺服器216可根據唯一識別符來建立一認證金鑰,且將其儲存在一儲存媒體。
根據一些實施例,BMC 204可發布一金鑰產生指令給金鑰管理伺服器216。在建立認證金鑰之後,金鑰管理伺服 器216可隨著本文所述的一金鑰回應來響應BMC 204。此外,BMC 204可產生一第二狀態訊息給儲存控制器210,其指示出金鑰產生/檢索程序正在進行。根據一些實施例,BMC 204可產生一第二狀態訊息,且反應於來自服務控制器一第二狀態請求而將第二狀態訊息傳送至儲存控制器210。
在接收到來自金鑰管理伺服器216的認證金鑰後,BMC 204可將認證金鑰傳送至儲存控制器210,以解鎖一鎖定的自我加密裝置212或是配置解鎖的自我加密裝置212,如下文所述。此外,BMC 204可產生一第三狀態訊息至儲存控制器210,其指示出金鑰就緒。根據一些實施例,BMC 204可產生一第三狀態訊息,且反應於來自服務控制器一第三狀態請求而將第三狀態訊息傳送至儲存控制器210。
當自我加密裝置212被一認證金鑰鎖定時,儲存控制器210可儲存認證金鑰的密碼散列(cryptographic hash)。在初始程序期間,於接收到來自BMC 204的認證金鑰之後,儲存控制器210可建立接收到的認證金鑰的散列,且將其與儲存的金鑰散列進行比較。假使此兩金鑰或密碼相符合,自我加密裝置212被解鎖,且可讀取/寫入,如同一未加密的硬碟。此外,相符合的認證金鑰也可對資料加密金鑰進行解密,如說明書中先前所述,資料加密金鑰可使用來對使用者資料進行加密與解密。
當自我加密裝置212為解鎖狀態時,儲存控制器210可以接收到的認證金鑰來配置自我加密裝置212。在下一次的電源關閉時,自我加密裝置212可以此認證金鑰來自我鎖定。 當自我加密裝置212再次開啟電源時,其將維持鎖定,直到一正確的認證金鑰被提供為止。
第3圖係表示根據本發明一些實施例,用於自動加密金鑰產生系統的方法流程圖。應可理解,除非另有說明,在各種實施例的範圍之內,可具有以相似或替代的順序,或併列執行的額外的、較少的、或替代的步驟。
在步驟302中,一伺服器管理者可藉由一金鑰管理伺服器的一網路位址來配置一服務控制器。舉例來說,參閱第2圖,伺服器管理者可使用伺服器管理裝置222來透過LAN提供金鑰管理伺服器216的IP位址給BMC 204。BMC 204可執行一金鑰管理程式(未顯示),以請求、接收、並傳送關於自我加密裝置212與214的認證金鑰。
在步驟304中,服務控制器可接收來自一儲存控制器關於安全金鑰的查詢。一安全金鑰可以是一認證金鑰。舉例來說,在伺服器202的初始程序期間,BMC 204可接收來自儲存控制器210的關於一認證金鑰的查詢。此查詢例如可包括與自我加密裝置212相關聯的一唯一識別符。唯一識別符的一例子可包括全域唯一識別符(GUID)或通用唯一識別符(UUID)。
在步驟306,服務控制器可根據自我加密裝置的識別符的至少一部份來產生關於安全金鑰的一金鑰請求。舉例來說,BMC 204可根據自我加密裝置212的唯一識別符以及金鑰管理伺服器216的IP位址來產生一金鑰請求。此金鑰請求的格式可符合KMIP。金鑰請求可包括請求標頭、金鑰請求的指令區段、以及與自我加密裝置212相關聯的唯一識別符。
在步驟308,服務控制器可傳送金鑰請求至與服務控制器通信的一金鑰管理伺服器。舉例來說,BMC 204可使用金鑰管理伺服器216的IP位置來將金鑰請求傳送至金鑰管理伺服器216。BMC 204可使用遠程管理控制協定(RMCP)或用於智慧平台管理介面(IPMI)的RMCP+,透過LAN來與金鑰管理伺服器216通信。
再次參閱第2圖,金鑰管理伺服器216可以是一外部金鑰伺服器,其配置來藉由使用金鑰管理器220以管理認證金鑰218。金鑰管理伺服器216也可配置來將認證金鑰218儲存至一儲存媒體,例如一硬碟。金鑰管理伺服器216可執行的其他功能包括例如有:自一儲存媒體擷取一已儲存的認證金鑰、調整已儲存的認證金鑰的屬性、以及重新建立一新的認證金鑰。
反應於接收此金鑰請求,金鑰管理伺服器216可識別在此金鑰請求的唯一識別符,且判斷一對於自我加密裝置212之認證金鑰是否先前已被建立並儲存。假使對於自我加密裝置212之認證金鑰先前已被建立並儲存,金鑰管理器220可在一金鑰回應中擷取對應的加密金鑰並將其傳送至BMC 204。此金鑰回應的格式可符合KMIP。舉例來說,此金鑰回應可包括一回應標頭、一金鑰值(例如,一256位元的加密金鑰)、以及與自我加密裝置212相關聯的唯一識別符。另一方面,假使先前沒有認證金鑰被建立,金鑰管理伺服器216可根據唯一識別符來建立一認證金鑰,且將其儲存在一儲存媒體。根據一些實施例,BMC 204可將一金鑰產生指令發布至金鑰管理伺服器216。在建立認證金鑰後,金鑰管理伺服器216可隨著本文所述的一 金鑰回應來響應BMC 204。
在步驟310中,服務控制器可接收來自金鑰管理伺服器的安全金鑰。舉例來說,BMC 204可使用遠程管理控制協定(RMCP)或用於智慧平台管理介面(IPMI)的RMCP+,來接收來自金鑰管理伺服器216的金鑰回應。
在步驟312,服務控制器可將安全金鑰傳送至自我加密裝置。舉例來說,BMC 204可將認證金鑰傳送至儲存控制器210,以解鎖一鎖定的自我加密裝置212或是配置解鎖的自我加密裝置212。此外,認證金鑰可用來對與自我加密裝置212相關聯的資料加密金鑰進行解密。
當自我加密裝置212被一認證金鑰鎖定時,儲存控制器210可儲存認證金鑰的密碼散列。在接收到來自BMC 204的認證金鑰之後,儲存控制器210可建立接收到認證金鑰的散列,且將其與儲存的金鑰散列進行比較。假使此兩金鑰或密碼相符合,自我加密裝置被解鎖,且可讀取/寫入,如同一未加密的硬碟。此外,相符合的認證金鑰也可對資料加密金鑰進行解密,如說明書中先前所述,資料加密金鑰可使用來對使用者資料進行加密與解密。
當自我加密裝置212為解鎖狀態時,儲存控制器210可使用接收到的認證金鑰來配置自我加密裝置212,使得自我加密裝置212可在下一次的關閉時自我鎖定。當自我加密裝置212再次開啟電源時,其將維持鎖定,直到一正確的認證金鑰被提供為止。
第4圖係表示根據本發明一些實施例的系統架構 400,以實施第1-3圖的系統與程序。計算平台400包括匯流排,其內部連接子系統與裝置,例如BMC 402、處理器404、系統記憶體416、輸入裝置406、儲存控制器408、網路介面410、顯示器412、以及自我加密儲存裝置414。處理器404可以一或多個中央處理單元(CPU)例如由Intel® Corporation製造的中央處理單元-或者一或多個虛擬處理器-以及CPU與虛擬處理器的任何結合來實施。計算平台40透過輸入裝置406以及顯示器412來交換表示輸入與輸出的資料,例如包括但不限於鍵盤、滑鼠、音訊輸入(例如,語音轉文字裝置)、使用者介面、顯示器、監控器、觸控感測顯示器、LCD或LED顯示器、以及其他輸入/輸出相關裝置。
根據一些實施例,計算架構400由處理器執行特定操作,其執行儲存在系統記憶體416的一或多個指令的一或多個序列。計算平台400可以在客戶機-伺服器配置或點對點配置中的一伺服器裝置或一客戶裝置來實施、或者由任何移動計算裝置來實施,包括智慧型手機等等。這樣的指令或資料可由另一電腦可讀媒體(例如,儲存裝置)來被讀入至系統記憶體416。在一些實施例中,硬佈線(hard-wired)電路可使用來代替或者與軟體指令結合。指令可以被嵌入在軟體或韌體。術語“電腦可讀媒體”指的是參與提供指令給處理器404用於執行的任何有形的媒體。這種媒體可以採取許多形式,包括但不限於,非揮發媒體以及揮發媒體。非揮發媒體例如包括,光碟或磁碟。揮發媒體包括動態記憶體,例如系統記憶體416。
電腦可讀媒體的常見形式包括,例如:軟碟(floppy disk)、軟性硬碟(flexible disk)、硬碟、磁碟、任何其它磁性媒體、CD-ROM、任何其它光學媒體、打孔卡片(punch card)、紙帶、任何其他具有孔洞型樣的物理媒體、RAM、PROM、EPROM、FLASH-EPROM、,任何其他儲存晶片或匣、或一電腦可讀取的任何其他媒體。指令還可以藉由使用傳輸媒介來被傳送或接收。術語“傳送媒介”可以包括能儲存、編碼、運載指令以由機器執行的任何有形的或無形的媒介,並且包括數位或類比通信信號或其它無形媒介,以促進這種指令的通信。傳送媒介包括同軸電纜、銅線、和光纖,包括包含用於傳送一電腦資料信號的匯流排418的導線。
在所示的實施例中,系統記憶體416可以包括各種軟體程序,包含可執行指令,以實現本文所述的功能。在所出的實施例中,系統記憶體416包括一個日誌管理器、一日誌緩衝器、或一日誌儲存庫,每一者都可以被配置來提供本文所述的一個或多個功能。
本發明雖以較佳實施例揭露如上,然其並非用以限定本發明的範圍,任何所屬技術領域中具有通常知識者,在不脫離本發明之精神和範圍內,當可做些許的更動與潤飾,因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。
106‧‧‧自我加密裝置
112‧‧‧主機配接器
114‧‧‧自我加密控制器
116‧‧‧儲存媒體

Claims (10)

  1. 一種以電腦實施的方法,包括:於與一計算裝置聯繫的一服務控制器,接收來自一自我加密裝置控制器的一安全金鑰的一查詢,其中,該查詢包括一自我加密裝置的一識別符;根據該自我加密裝置的該識別符的至少一部份產生關於該安全金鑰的一金鑰請求;將該金鑰請求傳送至與該服務控制器通信的一金鑰管理伺服器;反應於該金鑰請求的傳送,接收來自該金鑰管理伺服器的該安全金鑰;以及反應於該安全金鑰的接收,將該安全金鑰傳送至該自我加密裝置控制器。
  2. 如申請專利範圍第1項所述之以電腦實施的方法,更包括:於與該計算裝置聯繫的該服務控制器,接收與該金鑰管理伺服器相關聯的一網路位址。
  3. 如申請專利範圍第1項所述之以電腦實施的方法,其中,該自我加密裝置控制器配置使用該安全金鑰對該自我加密裝置進行解鎖。
  4. 如申請專利範圍第1項所述之以電腦實施的方法,其中,該自我加密裝置控制器被配置以配置該自我加密裝置,以與該安全金鑰相關聯。
  5. 如申請專利範圍第1項所述之以電腦實施的方法,其中, 該自我加密裝置控制器被配置以建立該安全金鑰的一散列(hash),且將該安全金鑰的該散列與一預配置安全金鑰的一已儲存散列進行比較。
  6. 如申請專利範圍第1項所述之以電腦實施的方法,其中,該服務控制器為一基板管理控制器。
  7. 如申請專利範圍第1項所述之以電腦實施的方法,其中,該安全金鑰配置以執行以下至少一者:對該自我加密裝置進行解鎖、對儲存在自我加密裝置的一資料加密金鑰進行解密。
  8. 如申請專利範圍第1項所述之以電腦實施的方法,其中,該安全金鑰為一資料認證金鑰。
  9. 一種系統,包括:一處理器;以及一記憶體,包括複數指令,當該等指令由該系統執行時,導致該系統執行以下操作:於與一計算裝置聯繫的一服務控制器,接收來自一自我加密裝置控制器的一安全金鑰的一查詢,其中,該查詢包括一自我加密裝置的一識別符;根據該自我加密裝置的該識別符的至少一部份產生關於該安全金鑰的一金鑰請求;將該金鑰請求傳送至與該服務控制器通信的一金鑰管理伺服器;反應於該金鑰請求的傳送,接收來自該金鑰管理伺服器的該安全金鑰;以及 反應於該安全金鑰的接收,將該安全金鑰傳送至該自我加密裝置控制器。
  10. 一種電腦程式產品,儲存在一非暫態電腦可讀儲存媒體,該電腦程式包括:一第一程式碼,用以於與一計算裝置聯繫的一服務控制器接收來自一自我加密裝置控制器的一安全金鑰的一查詢,其中,該查詢包括一自我加密裝置的一識別符;一第二程式碼,用以根據該自我加密裝置的該識別符的至少一部份產生關於該安全金鑰的一金鑰請求;一第三程式碼,用以將該金鑰請求傳送至與該服務控制器通信的一金鑰管理伺服器;一第四程式碼,用以反應於該金鑰請求的傳送來接收來自該金鑰管理伺服器的該安全金鑰;以及一第五程式碼,用以反應於該安全較的接收來將該安全金鑰傳送至該自我加密裝置控制器。
TW104144622A 2015-09-22 2015-12-31 以電腦實施的方法與使用其的系統、以及電腦程式產品 TWI581125B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US14/861,595 US10069625B2 (en) 2015-09-22 2015-09-22 System and method for automatic key generation for self-encrypting drives

Publications (2)

Publication Number Publication Date
TW201712588A TW201712588A (zh) 2017-04-01
TWI581125B true TWI581125B (zh) 2017-05-01

Family

ID=58283300

Family Applications (1)

Application Number Title Priority Date Filing Date
TW104144622A TWI581125B (zh) 2015-09-22 2015-12-31 以電腦實施的方法與使用其的系統、以及電腦程式產品

Country Status (3)

Country Link
US (1) US10069625B2 (zh)
CN (1) CN106549750B (zh)
TW (1) TWI581125B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI644229B (zh) * 2017-05-04 2018-12-11 慧榮科技股份有限公司 採加密技術之數據中心與數據中心操作方法

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10382201B1 (en) * 2015-09-22 2019-08-13 Seagate Technology Llc Removable circuit for unlocking self-encrypting data storage devices
TW201715431A (zh) * 2015-10-29 2017-05-01 宇瞻科技股份有限公司 具網路認證功能之硬碟管理系統及其方法
US10089028B2 (en) * 2016-05-27 2018-10-02 Dell Products L.P. Remote secure drive discovery and access
US20180183581A1 (en) * 2016-12-28 2018-06-28 Intel Corporation Arrangements for datalink security
US10460110B1 (en) 2017-02-17 2019-10-29 Seagate Technology Llc Systems and methods for unlocking self-encrypting data storage devices
US10678953B1 (en) 2017-04-26 2020-06-09 Seagate Technology Llc Self-contained key management device
WO2019010421A1 (en) * 2017-07-07 2019-01-10 Ligatti Jay SYSTEMS AND METHODS FOR GENERATING SYMMETRIC CRYPTOGRAPHIC KEYS
US11120151B1 (en) 2017-08-02 2021-09-14 Seagate Technology Llc Systems and methods for unlocking self-encrypting data storage devices
US10855451B1 (en) * 2017-08-02 2020-12-01 Seagate Technology Llc Removable circuit for unlocking self-encrypting data storage devices
US10398046B2 (en) * 2018-01-30 2019-08-27 Quanta Computer Inc. Server rack with damping post
US10678708B2 (en) * 2018-02-07 2020-06-09 Seagate Technology Llc Encrypted raid drive management
JP2020030527A (ja) * 2018-08-21 2020-02-27 キオクシア株式会社 記憶装置及びプログラム
IT201800010856A1 (it) * 2018-12-06 2020-06-06 Mbda italia spa Metodo e sistema informatico per la gestione da remoto di Self-Encrypting Disks (SEDs) tramite topologia client/server
US11368299B2 (en) * 2018-12-10 2022-06-21 Marvell Asia Pte, Ltd. Self-encryption drive (SED)
US11429541B2 (en) * 2019-01-07 2022-08-30 Dell Products L.P. Unlocking of computer storage devices
US11650938B2 (en) * 2019-01-25 2023-05-16 Dell Products L.P. Device-capability-based locking key management system
US11227058B2 (en) * 2019-07-30 2022-01-18 EMC IP Holding Company, LLC System and method for shredding a forum of secrets
US11809611B2 (en) * 2020-02-24 2023-11-07 Microsoft Technology Licensing, Llc Protecting device detachment with bus encryption
JP2022048601A (ja) * 2020-09-15 2022-03-28 キオクシア株式会社 ストレージ装置及び鍵配送方法
US11392325B2 (en) * 2020-09-28 2022-07-19 Quanta Computer Inc. Method and system for parallel flash memory programming
CN112600670A (zh) * 2020-12-25 2021-04-02 深圳深度探测科技有限公司 一种针对大量分散的安全机架的集中管理系统及管理方法
US11989301B2 (en) * 2021-09-28 2024-05-21 Dell Products L.P. System and method of configuring a non-volatile storage device
US11954239B2 (en) * 2021-12-27 2024-04-09 Dell Products L.P. Data storage system using selective encryption and port identification in communications with drive subsystem
US11895227B1 (en) * 2023-05-23 2024-02-06 Cloudflare, Inc. Distributed key management system with a key lookup service

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140025947A1 (en) * 2012-07-17 2014-01-23 Dell Products L.P. Single command functionality for providing data security and preventing data access within a decommisioned information handling system
TW201532417A (zh) * 2013-09-24 2015-08-16 Renesas Electronics Corp 密碼金鑰供給方法、半導體積體電路及密碼金鑰管理裝置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100031045A1 (en) * 2008-07-30 2010-02-04 Lakshmi Narasimham Gade Methods and system and computer medium for loading a set of keys
US8442235B2 (en) * 2010-04-14 2013-05-14 Microsoft Corporation Extensible management of self-encrypting storage devices
US9009490B2 (en) * 2012-10-08 2015-04-14 International Business Machines Corporation Implementing dynamic banding of self encrypting drive
US9235710B2 (en) * 2013-05-23 2016-01-12 Cisco Technology, Inc. Out of band management of basic input/output system secure boot variables
US9043613B2 (en) * 2013-06-28 2015-05-26 International Business Machines Corporation Multiple volume encryption of storage devices using self encrypting drive (SED)
US9117086B2 (en) * 2013-08-28 2015-08-25 Seagate Technology Llc Virtual bands concentration for self encrypting drives

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140025947A1 (en) * 2012-07-17 2014-01-23 Dell Products L.P. Single command functionality for providing data security and preventing data access within a decommisioned information handling system
TW201532417A (zh) * 2013-09-24 2015-08-16 Renesas Electronics Corp 密碼金鑰供給方法、半導體積體電路及密碼金鑰管理裝置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI644229B (zh) * 2017-05-04 2018-12-11 慧榮科技股份有限公司 採加密技術之數據中心與數據中心操作方法
US10515022B2 (en) 2017-05-04 2019-12-24 Silicon Motion, Inc. Data center with data encryption and method for operating data center

Also Published As

Publication number Publication date
TW201712588A (zh) 2017-04-01
CN106549750B (zh) 2019-08-30
US10069625B2 (en) 2018-09-04
CN106549750A (zh) 2017-03-29
US20170085374A1 (en) 2017-03-23

Similar Documents

Publication Publication Date Title
TWI581125B (zh) 以電腦實施的方法與使用其的系統、以及電腦程式產品
US9998464B2 (en) Storage device security system
US11036869B2 (en) Data security with a security module
US8417967B2 (en) Storage device data encryption using a binary large object (BLOB)
US8170213B1 (en) Methodology for coordinating centralized key management and encryption keys cached through proxied elements
US9942219B2 (en) Data security
US20190266334A1 (en) System and Method for User Managed Encryption Recovery Using Blockchain for Data at Rest
US7562230B2 (en) Data security
US10530752B2 (en) Efficient device provision
CN102945355A (zh) 基于扇区映射的快速数据加密策略遵从
CN102855452A (zh) 基于加密组块的快速数据加密策略遵从
US11356445B2 (en) Data access interface for clustered devices
US11146389B2 (en) Method and apparatus for ensuring integrity of keys in a secure enterprise key manager solution
US10621055B2 (en) Adaptive data recovery for clustered data devices
US10148669B2 (en) Out-of-band encryption key management system
US11652806B2 (en) Device locking key management system
US11740806B2 (en) Management controller based drive migration
CN106528458B (zh) 一种接口控制器、基板管理控制器及安全系统
CN117494162A (zh) 一种数据存储加密系统、方法、设备及介质