跨越数据中心对存储区域网加密密钥的分布.pdf

摘要
申请专利号：	CN200980112110.4	申请日：	2009.03.26
公开号：	CN101983385A	公开日：	2011.03.02
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06F 21/00申请日:20090326\|\|\|公开
IPC分类号：	G06F21/00; G06F21/24; H04L9/08	主分类号：	G06F21/00
申请人：	思科技术公司
发明人：	普拉文·帕特那拉; 阿南德·帕塔塞拉斯; 马卡兰德·戴斯沙姆克; 钱德拉·谢克·康达木瑞
地址：	美国加利福尼亚州
优先权：	2008.04.02 US 12/061,597
专利代理机构：	北京东方亿思知识产权代理有限责任公司 11258	代理人：	宋鹤;南霆
PDF下载：	PDF下载

内容摘要

提供了用于从一个数据中心向另一个数据中心传送与磁盘逻辑单元号和磁带盒相关联的密钥对象的高效机制。接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求。源数据中心密钥对象与存储区域网(SAN)中保存的、诸如磁盘逻辑单元号(LUN)或磁带盒之类的数据块相对应，并且包括唯一标识符、被加密的密钥、以及包装唯一标识符。利用源数据中心密钥层次对被加密的密钥进行解密。从源数据中心向目的地数据中心发送密钥信息。利用目的地数据中心密钥层次来生成目的地数据中心密钥对象。

权利要求书

1：一种方法，包括：接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求，所述源数据中心密钥对象与存储区域网 (SAN) 中保存的数据块相对应，其中所述源数据中心密钥对象包括唯一标识符、被加密的密钥、以及包装唯一标识符；利用源数据中心密钥层次对所述被加密的密钥进行解密；从所述源数据中心向所述目的地数据中心发送密钥信息；利用目的地数据中心密钥层次来生成目的地数据中心密钥对象。
2：根据权利要求 1 所述的方法，其中所述源数据中心密钥对象与磁盘逻辑单元号 (LUN) 相对应。
3：根据权利要求 2 所述的方法，其中当所述磁盘 LUN 从所述源数据中心移动至所述目的地数据中心时，所述目的地数据中心密钥对象使得能够对所述磁盘 LUN 进行解密。
4：根据权利要求 1 所述的方法，其中所述源数据中心密钥对象与磁带盒相对应。
5：根据权利要求 4 所述的方法，其中当所述磁带盒从所述源数据中心移动至所述目的地数据中心时，所述目的地数据中心密钥对象使得能够对所述磁带盒进行解密。
6：根据权利要求 1 所述的方法，其中对所述被加密的密钥进行解密包括使用利用所述包装唯一标识符而访问的密钥材料，所述包装唯一标识符引用了所述源数据中心中的密钥管理中心处的另一密钥对象。
7：根据权利要求 1 所述的方法，其中对被解密的密钥进行加密包括使用从所述目的地数据中心访问的密钥材料。
8：根据权利要求 1 所述的方法，其中所述密钥信息是利用公钥私钥加密来发送的。
9：根据权利要求 1 所述的方法，其中所述密钥信息是利用受口令保护的密钥输出来发送的。
10：根据权利要求 1 所述的方法，其中所述唯一标识符是全球唯一标识符。
11：根据权利要求 10 所述的方法，其中所述全球唯一标识符被写入到存储区域网介质中。
12：根据权利要求 11 所述的方法，其中所述存储区域网介质是磁带。
13：根据权利要求 11 所述的方法，其中所述存储区域网介质是磁盘逻辑单元号。
14：根据权利要求 1 所述的方法，其中密钥实体标识出存储区域网介质。
15：根据权利要求 1 所述的方法，其中所述包装唯一标识符是包装全球唯一标识符，所述包装全球唯一标识符指向具有用于对所述被加密的密钥进行解密的信息的另一密钥对象。
16：根据权利要求 15 所述的方法，其中另一密钥对象还包括另外的包装唯一标识符。
17：根据权利要求 1 所述的方法，其中密钥对象还包括密钥状态信息。
18：一种系统，包括：接口，所述接口可操作来接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求，所述源数据中心密钥对象与存储区域网 (SAN) 中保存的数据块相对应，其中所述源数据中心密钥对象包括唯一标识符、被加密的密钥、以及包装唯一标识符；处理器，所述处理器可操作来利用源数据中心密钥层次对所述被加密的密钥进行解密，并且从所述源数据中心向所述目的地数据中心提供密钥信息； 2 其中所述目的地数据中心利用目的地数据中心密钥层次来生成目的地数据中心密钥对象。
19：根据权利要求 18 所述的系统，其中所述源数据中心密钥对象与磁盘逻辑单元号 (LUN) 相对应。
20：根据权利要求 19 所述的系统，其中当所述磁盘 LUN 从所述源数据中心移动至所述目的地数据中心时，所述目的地数据中心密钥对象使得能够对所述磁盘 LUN 进行解密。
21：根据权利要求 18 所述的系统，其中所述源数据中心密钥对象与磁带盒相对应。
22：根据权利要求 21 所述的系统，其中当所述磁带盒从所述源数据中心移动至所述目的地数据中心时，所述目的地数据中心密钥对象使得能够对所述磁带盒进行解密。
23：一种系统，包括：用于接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求的装置，所述源数据中心密钥对象与存储区域网 (SAN) 中保存的数据块相对应，其中所述源数据中心密钥对象包括唯一标识符、被加密的密钥、以及包装唯一标识符；用于利用源数据中心密钥层次对所述被加密的密钥进行解密的装置；用于从所述源数据中心向所述目的地数据中心发送密钥信息的装置；用于利用目的地数据中心密钥层次来生成目的地数据中心密钥对象的装置。

说明书

跨越数据中心对存储区域网加密密钥的分布
    相关申请的交叉引用
     本申请要求保护 2008 年 4 月 2 日递交的 USSN ： 12/061,597 的优先权和利益，出于所有目的， USSN ： 12/061,597 通过引用而被全部结合于此。
     技术领域
     本公开涉及跨越数据中心对存储区域网 (storage area network) 加密密钥的分布。背景技术包括存储介质加密 (SME) 设备的各种存储区域网 (SAN) 设备使得能够对存储在磁盘和磁带上的数据进行加密。在很多实例中，每个磁盘逻辑单元号 (LUN) 或磁带盒 (tape cartridge) 使用唯一密钥对象 (unique key object) 进行数据加密和 / 或认证。
     然而，用于跨越数据中心来分布加密密钥的机制是受限制的。因此，希望提供用于分布加密密钥以用来加密和 / 或认证存储区域网设备中的数据的改进方法和设备。
     附图说明通过结合附图来参考下面的描述，可最佳地理解本公开，附图示出了特定的示例性实施例。
     图 1 示出存储区域网 (SAN) 的特定示例。
     图 2 示出密钥管理中心项目的特定示例。
     图 3 示出密钥和对象层次的特定示例。
     图 4 示出在迁移期间的密钥管理中心项目修改的特定示例。
     图 5 示出用于创建加密密钥的交换示图的特定示例。
     图 6A 示出对象密钥管理的特定示例。
     图 6B 示出主密钥管理的特定示例。
     图 6C 示出密钥迁移的特定示例。
     图 7 示出网络设备的特定示例。
     具体实施方式
     现在将详细地参考本发明的一些具体示例，这些具体示例包括了发明人考虑的用于实施本发明的最佳模式。这些具体实施例的示例在附图中示出。虽然结合这些具体实施例描述了本发明，但是将会理解，不希望将本发明限制到所描述的实施例。相反，希望覆盖可被包括在所附权利要求限定的本发明的精神和范围内的替换、修改和等同物。
     例如，将在特定的密钥和存储区域网 (SAN) 的语境中描述本发明的技术。然而，应当注意，本发明的技术适用于各种加密机制、密钥和 SAN。在下面的描述中，陈述了许多具体细节以提供对本发明的透彻理解。可以在没有一些或全部这些具体细节的情况下实现本发明的特定示例性实施例。在其他实例中，公知的处理操作未被详细描述，以便不会不必要地模糊本发明。
     为了清晰，有时将会以单数形式来描述本发明的各种技术和机制。然而，应当注意，一些实施例包括技术的多次迭代或者机制的多次例示，除非作出不同表示。例如，在各种语境中，系统使用一个处理器。然而，将会认识到，在保持在本发明的范围内的同时，系统可使用多个处理器，除非作出不同表示。此外，本发明的技术和机制有时将会描述两个实体之间的连接。应当注意，两个实体之间的连接未必意味着直接的、不受阻碍的连接，因为各种其他实体可能位于这两个实体之间。例如，处理器可连接至存储器，但是将会认识到，各种桥接器和控制器可位于处理器和存储器之间。因此，连接未必意味着直接的、不受阻碍的连接，除非作出不同表示。
     概要
     提供了用于从一个数据中心向另一个数据中心传送与磁盘逻辑单元号和磁带盒相关联的密钥对象的高效机制。接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求。源数据中心密钥对象与存储区域网 (SAN) 中维护的、诸如磁盘逻辑单元号 (LUN) 或磁带盒之类的数据块相对应，并且包括唯一标识符、被加密的密钥、以及包装唯一标识符 (wrapper unique identifier)。利用源数据中心密钥层次对被加密的密钥进行解密。从源数据中心向目的地数据中心发送密钥信息。利用目的地数据中心密钥层次来生成目的地数据中心密钥对象。
     示例性实施例
     各种系统使得能够对存储在磁盘和磁带上的数据进行加密。在一些传统系统中，连接至诸如磁盘阵列和磁带驱动器之类的存储设备的主机在向存储设备写数据之前以密码方式 (cryptographically) 处理数据。主机应用程序管理加密和认证处理。然而，为了高效地执行密码处理，每个主机都需要密码加速器 (cryptographic accelerator)。向众多主机提供独立的密码加速器经常是不实际的。在一些其他传统系统中，存储设备自身管理密码处理。诸如磁带驱动器之类的存储设备会在向磁带写数据之前加密数据。磁带驱动器也会对从磁带盒读出的数据进行解密。然而，为了高效地执行密码处理，每个存储设备也会需要密码加速器。
     因此，本发明的技术和机制提供了用于执行密码处理的基于网络的机制。主机和存储设备都无需执行任何密码处理。当数据从主机向存储设备发送时，存储区域网 (SAN) 交换机以密码方式处理数据，并且保存密钥信息。根据特定实施例，写入到独立的磁带盒和磁盘 LUN 的数据具有由 SAN 交换机保存的唯一密钥。通过在密钥对象中包括诸如全球唯一标识符 (GUID) 之类的唯一标识符 (UID)，利用密钥数据库来高效地管理密钥。可以使用各种随机数生成方案来使密钥冲突的发生率 (incidence) 最小化。在密钥对象中具有 UID 实现了对密钥的高效获取 (retrieval)，所述密钥用于磁盘 LUN 和磁带盒上存储的数据的密码处理。UID 自身也可被写入到磁盘 LUN 和磁带盒中。
     根据特定实施例，通过对于特定数据中心而言可以是唯一的中间密钥和 / 或主密钥来加密密钥自身。当特定的密钥和 / 或相关联的数据被移向另一数据中心时，利用与新的数据中心相关联的中间密钥和主密钥来重新加密密钥。
     除了 UID 和密钥自身以外，密钥数据库中的密钥对象还可包括密钥实体或者说是对密钥对象所属于的存储介质的描述、密钥状态信息以及包装 UID 或包装 GUID，该包装 UID 或包装 GUID 标识出用来加密本 UID 中的密钥的密钥对象。密钥数据库可包括与在数据中心处被写入的数百万磁盘 LUN 和磁带盒相对应的数百万密钥对象。对密钥对象的高效使用实现了高效的搜索、管理和迁移能力。在特定实施例中，密钥自身是以层次 (hierarchy) 的方式保存的，其中利用中间密钥加密了密钥，并且利用其他中间密钥或主密钥加密了中间密钥自身。
     根据特定实施例，主密钥不被保存在密钥数据库或密钥管理中心之中，而是仅被保存在安全线卡 (line card) 中。可利用阈值秘密共享机制来得出主密钥的备用拷贝，其中主密钥被拆分 (split) 成总共 n 份 (n shares)，以使得需要 n 份中的任意 m 份来重新创建主密钥。用于拆分主密钥的一种机制使用了 Shamir 的多项式秘密共享算法。主密钥的每个独立的份被利用不同的个体来保存，并且每份可以可选地利用对称或不对称密钥而被加密。主密钥的各份可存储在外部智能卡中。
     在参与的交换机和密码节点不可用于提供主密钥的故障恢复情景期间，具有主密钥的各份的、阈值数目的恢复官员可重新组装 (reassemble) 原始的主密钥。
     图 1 示出了可使用特定示例性实施例的网络的特定示例。主机 101 和 103 连接至存储区域网 (SAN)131。主机可以是被配置为访问诸如磁带设备和磁盘阵列之类的存储设备的存储服务器或其他实体。虚拟磁带设备 123 和磁带设备 121 连接至交换机 115。诸如光学驱动器和独立磁盘冗余阵列 (RAID) 之类的其他存储设备也可被连接。 SAN 131 包括交换机 111、 113 和 115。根据特定实施例，交换机 111、 113 和 115 包括用于执行加密、认证和密钥管理的多个线卡和密码加速器。在特定实施例中，交换机之一被配置为包括密钥数据库的密钥管理中心，密钥数据库用于保存用来以密码方式处理数据的密钥。密钥管理中心可被实现为交换机的一部分或者独立设备。
     图 2 是示出密钥对象的一个特定示例的图示表示。密钥对象 221 包括全球唯一标识符 (GUID)201。根据特定实施例， GUID 是随机生成的数，该数在特定 SAN 内是唯一的并且在众多 SAN 之中可能是唯一的。GUID 可用来索引密钥数据库中的密钥对象。密钥对象 221 还包括集群 (cluster) 标识符 203。集群标识符 203 指定了密钥对象所属于的特定一组交换机。密钥实体字段 206 指定了与诸如磁盘 LUN 或磁带盒之类的特定存储介质相关联的备用组、卷组和条码。在特定示例中，密钥实体字段 206 用来标识特定的磁盘或磁带。加密密钥 207 保存用来加密和 / 或解密数据的实际密钥材料 (keying material)。对称和不对称密钥都可被使用。
     根据特定实施例，密钥对象 221 还包括包装全球唯一标识符 209。提供包装全球唯一标识符 (WGUID)209 是为了标识用来保护加密密钥 207 的密钥对象。在特定示例中， WGUID 209 指定了密钥数据库中的分离的密钥对象。根据特定实施例，密钥对象 221 还包括克隆 (clone) 全球唯一标识符 (CGUID)。在特定示例中，一个集群中的密钥对象 221 是从不同集群的密钥对象数据库中拷贝的。CGUID 221 指向了密钥对象 221 所拷贝于的原始密钥对象。如果发生了多次拷贝，则 CGUID 211 仍然指向原始密钥对象。密钥数据状态信息 213 表明了加密密钥 207 在数据库中是以显明 (clear) 形式还是以加密形式保存的。如果密钥被加密，则状态信息 213 指定加密的类型，例如 RSA 加密、与另一密钥对象的对称加密、口令包装等。
     图 3 示出对象层次 301 和密钥层次 303 的一个示例。根据特定实施例， SAN 管理者和用户可能想要为存储介质的不同组指定不同的密钥。例如，特定的磁带卷组可被指派 (assign) 特定的密钥。特定的磁带备用组也可被指派特定的密钥。具有用于特定备用组的密钥的用户将能够访问、解密和认证在特定一组磁带盒上存储的数据，但是不能够访问其他数据。
     根据特定实施例，集群 311 与主密钥 313 相关联。在特定示例中，对主密钥 313 的访问提供了对集群 311 中被加密的所有数据的访问。集群可包括许多交换机和存储设备。磁带备用组 321 和 323 可与磁带卷组密钥 325 和 327 相对应。具有磁带卷组密钥 325 和 327 的用户可以访问磁带备用组 321 和 323。磁带卷组 333、 337 以及默认磁带卷组 331 和 335 与磁带卷密钥 343、 347、 341 和 345 相对应。默认磁带卷组密钥 331 被用来以密码方式处理磁带卷 351。默认磁带卷组密钥 335 被用来以密码方式处理磁带卷 355 和 357。磁带卷组密钥 333 被用来以密码方式处理磁带卷 353。
     根据特定实施例，密钥管理中心保存若干密钥，包括与 SAN 相关联的中间密钥。可利用中间密钥来对与特定盒相关联的密钥进行加密。可利用另一中间密钥来加密该中间密钥，该另一中间密钥自身可利用主密钥而被加密。在特定示例中，密钥管理中心不以加密的或明文的形式来保存主密钥或顶级密钥。主密钥是当集群被创建并且诸如交换机内的密码节点之类的第一密码节点被添加时创建的。根据特定实施例，主密钥以及相关联的私有 RSA 密钥被保存在与交换机线卡相关联的联邦信息处理标准 (FIPS) 模块内。在特定示例中，主密钥被保存在 SAN 交换机中的线卡的引导闪存 (bootflash) 之内。当随后的密码节点被添加到集群中时，系统可从另一密码节点获得利用 RSA 公钥私钥加密进行了加密的主密钥。每当主密钥在 FIPS 模块之外发送时，它都保持被加密。
     图 4 示出密钥对象迁移的一个示例。根据特定实施例，磁带盒及其相关联的密钥可从一个集群移动至另一个集群。为了便于密钥的共享，每个密钥对象都具有克隆 GUID 属性。克隆 GUID 索引标识了当前密钥对象所拷贝于的原始密钥对象。当所克隆的密钥被进一步克隆时，克隆 GUID 字段被修改以指向原始密钥对象。根据特定实施例，系统用户可触发从源集群向目的地集群输出一组密钥的操作。这些密钥然后利用特定于集群的主密钥和中间密钥而在当前集群中被解密或去除包装 (unwrap)，并且然后出于输出目的而被加密或重新包装。例如，利用对于源集群而言特定的中间密钥和主密钥来对具有 GUID1411、集群标识符 413、被加密的密钥 415、包装 GUID2417 以及其他字段的密钥对象进行解密和去除包装。
     根据特定实施例， GUID1421 与密钥状态信息 423 和密钥 425 一起被设置在消息中。密钥 425 可以是明文的，或者是利用各种机制加密的。当消息到达目的地集群时，通过利用与目的地集群相关联的中间密钥和主密钥来重新加密和重新包装密钥，创建了密钥对象。目的地集群处的密钥对象包括 GUID3 431、集群标识符 433、被加密的密钥 435、包装 GUID4437、克隆 GUID1 439 以及其他字段。
     在特定示例中，利用公钥、私钥对来对密钥 425 进行 RSA 保护。为了发送，利用源集群的私钥和目的地集群的公钥来加密密钥。利用此机制，密钥被验证为来自源集群的密钥，并且密钥仅可被输入至目的地集群。在其他示例中，通过用户在源集群处指定口令来对密钥 425 对称地进行加密。
     在特定示例中，唯一随机盐 (unique random salt) 被分配并且被供给以口令，以便生成合适的加密和认证密钥。密钥然后被用来利用对称加密方法对密钥 425 加密。利用此机制，密钥可被输入至由用户选择的任意集群 ( 或者任意多个集群 )。在任何时候，系统用户都可触发输入来自另一集群的一组密钥的操作。首先利用源集群中间密钥和主密钥在源集群处对密钥进行解密或去除包装。密钥然后可利用特定的传送机制而被打包，并且利用目的地集群的中间密钥和 / 或主密钥而在目的地集群处被重新加密或重新包装。
     新创建的密钥具有新的 GUID3 431。然后，通过使用克隆 GUID 439 属性而在新创建的密钥中记录原始密钥的 GUID1 411。如果原始密钥自身即是被克隆的密钥，则克隆 GUID 439 索引按现状被拷贝。基于输出的机制来解密密钥。利用本地 RSA 私钥来解密经 RSA 保护的密钥。健康检查 (sanity check) 被进行，以验证被加密的密钥真正地是打算用于此集群的 ( 通过比较本地集群的 RSA 公钥和所输入的文件中的 RSA 公钥 )。如果解密失败了，则密钥不被输入。
     根据特定实施例，用户从原始集群输出与磁带存储介质相对应的密钥，并且密钥被输入到远程集群上。在磁带盒被插进磁带设备以用于解密之后，来自该盒的 GUID 被提取并且消息被发送至本地密钥管理中心以用于密钥获取。在特定示例中，密钥管理中心基于所提供的 GUID 来处理密钥获取请求。基于 GUID 来访问本地密钥数据库。如果没有找到对象，则搜索克隆 GUID 属性以获得匹配的密钥对象。当在解密从远程集群输入的存储介质的同时接收到密钥获取请求时，执行随后获取方法。这提供了用于在各种系统中输出和输入密钥的简单、安全且灵活的机制。密钥可从一个集群转化 (translate) 到另一个集群，并且进一步以链状方式被转化到多个集群。此外，密钥可从一个集群输出并且被输入进多个数据中心。用户可利用密钥对象来填充 (populate) 多个数据中心。克隆 GUID 属性使系统管理者能定位原始集群中的原始密钥对象。
     图 5 示出了密钥管理的一个示例。密钥管理中心保存若干密钥对象。线路 501 向交换机 503 提供创建密钥请求 511。交换机 503 向密钥管理中心 507 发送密钥同步消息 513。根据特定实施例，密钥管理中心 507 或者密钥数据库仅仅保存用于数据对象密钥和中间密钥的密钥对象。密钥管理中心 507 不保存任何主密钥。密钥管理中心 507 向交换机 503 发送确认 515。根据特定实施例，然后通过发送同步集群消息 517，密钥被提供给集群 505 中的所有交换机。
     根据特定实施例，集群 505 中的每个交换机在诸如 FIPS 模块之类的安全环境中保存主密钥、中间密钥以及数据对象密钥。集群 505 向交换机 503 发送确认 519。交换机 503 利用创建确认消息 521 来确认密钥创建请求。
     图 6A 示出管理密钥对象的一个特定示例。用来访问诸如磁带盒或磁盘 LUN 之类的对象中的数据的任何密钥在这里被称为对象密钥。用来加密对象密钥的任何密钥在这里被称为中间密钥。用来加密中间密钥和 / 或对象密钥的任何密钥在这里被称为主密钥。在 601，在 SAN 交换机处接收创建密钥请求。在 603，创建密钥请求被转发至密钥管理中心。在 605，从密钥管理中心接收的响应被与集群中的其他 SAN 交换机同步。在 607，接收对与特定用户标识符相关联的数据的访问请求。访问可以是读出或写入访问。在 609，利用 UID 来访问密钥管理中心中的密钥对象。在一些示例中，在 SAN 交换机上的线卡的 FIPS 边界内，密钥可能已经是可得的。在其他示例中，密钥对象可能不得不被获得。如果通过检查 UID 而确定对象不可得，则克隆 UID 的列表也可被检查以查看 UID 是否匹配密钥管理中心处的任何密钥对象的父亲。在 611，利用包装 UID 来对密钥对象中的密钥进行解密，以获得中间密钥。在 613，利用所解密的密钥来以密码方式处理数据。
     图 6B 示出主密钥管理的一个特定示例。在 621，接收密码节点创建请求。在 623，确定主密钥是否可从集群中的另一密码节点得到。如果在 623 处确定主密钥可从另一密码节点得到，则在 625 处从另一密码节点获得主密钥。根据特定实施例，可利用 RSA 公钥和私钥对来传送主密钥。如果在 623 处确定主密钥在另一密码节点上不可得，则在 629 处生成主密钥。
     根据特定实施例，主密钥利用阈值秘密共享机制而被拆分成若干份 (627)，并且可利用这若干份中的子集而在以后被恢复。例如，可利用阈值秘密共享机制将主密钥拆分成五份。对于重新构成主密钥而言，可能仅仅必需二或三份。在 629，主密钥的各份被分布至多个实体。
     图 6C 示出密钥迁移的一个特定示例。在 641，接收传送加密密钥的请求。根据特定实施例，可在磁带盒已从源集群移动至目的地集群之后接收请求。在 643，源集群对与 GUID 相关联的特定密钥对象执行输出操作。输出操作利用主密钥和 / 或中间密钥来对与 GUID 相关联的密钥进行解密。密钥和相关联的数据然后被加密以用于传送。可利用目的地集群的公钥 ( 如果可得的话 ) 以及源集群的私钥 ( 如果可得的话 ) 来对密钥加密。也可利用对称密钥来对密钥加密。
     根据特定实施例，在 647 处，目的地集群执行输入操作。在特定示例中，在 649 处，目的地集群从源集群获得密钥，并且利用它自己的中间密钥和主密钥层次来重新加密密钥。
     各种设备和应用可实现特定实施例的技术和机制。例如，各种交换机、线卡和数据库可执行密钥管理和迁移的各个方面。在特定示例中，可以访问密钥数据库或密钥管理中心的存储区域网中的光纤通道交换机可操作来执行特定实施例的各个方面。在特定示例中，交换机包括用于执行加密、解密和认证操作的密码加速卡。设置了多个线卡以允许与存储区域网中的若干其他光纤通道交换机的连接。根据特定实施例，每个线卡包括保存主密钥以及一个或多个中间密钥和对象密钥的 FIPS。当密钥在 FIPS 中不可得时，可访问密钥数据库或密钥管理中心以获得密钥。交换机还可包括转发引擎、物理层和介质访问控制组件、以及仲裁器 (arbiter)。
     图 7 示出可实现特定实施例的设备的一个示例。根据特定的示例性实施例，适于实现本发明的特定实施例的系统 700 包括处理器 701、存储器 703、接口 711 和总线 715( 例如 PCI 总线 )。当在适当软件或固件的控制之下动作时，处理器 701 负责诸如处理和转发流之类的任务。在一些实施例中，诸如密码加速器之类的专门组件被用于密码处理。代替处理器 701 或者除了处理器 701 之外，也可使用各种专门配置的设备。接口 711 通常被配置为通过网络发送和 / 或接收数据分组或数据片段。根据特定实施例，接口是存储区域网接口，但是其他的接口也是可以的。接口的特定示例包括以太网接口、帧中继接口、线缆接口、 DSL 接口、令牌环接口等。此外，各种很高速的接口可被设置，例如快速以太网接口、千兆比特以太网接口、 ATM 接口、 HSSI 接口、 POS 接口、 FDDI 接口等。一般地，这些接口可包括适用于与适当介质通信的端口。在一些情况下，它们还可包括独立的处理器并且在一些实例中包括易失性 RAM。独立的处理器可控制诸如分组交换、介质控制和管理之类的通信密集型任务。
     根据特定的示例性实施例，系统 700 使用存储器 703 来存储数据和程序指令。例如，程序指令可控制操作系统和 / 或一个或多个应用的操作。这一个或多个存储器还可被配置为存储所接收的分组、绑定物、保持活性 (Keep-Alive) 状态、用于所监控的会话分组的周期性信息、流过 (Flow-Through) 和 / 或绕流 (Flow-Around) 配置等等。
     因为这样的信息和程序指令可用来实现这里描述的系统 / 方法，所以本发明涉及包括了用于执行这里描述的各种操作的程序指令、状态信息等的有形且机器可读的介质。机器可读介质的示例包括但不限于诸如硬盘、软盘和磁带之类的磁介质；诸如 CD-ROM 盘和 DVD 之类的光学介质；诸如光盘之类的磁光介质；以及诸如只读存储器设备 (ROM) 和随机存取存储器 (RAM) 之类的、被专门配置为存储和执行程序指令的硬件设备。程序指令的示例既包括例如由编译器产生的机器代码，又包括文件，这些文件包含可由计算机利用解释器 (interpreter) 执行的更高级的代码。
     虽然出于清晰理解的目的已经相当详细地描述了上述发明，但是将会显而易见的是，可在所附权利要求的范围内实践某些改变和修改。因此，当前的实施例被认为是例示性的而非限制性的，并且本发明不限制于这里给出的细节，而是可在所附权利要求的范围和等同物内被修改。

资源描述

《跨越数据中心对存储区域网加密密钥的分布.pdf》由会员分享，可在线阅读，更多相关《跨越数据中心对存储区域网加密密钥的分布.pdf（19页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN101983385A43申请公布日20110302CN101983385ACN101983385A21申请号200980112110422申请日2009032612/061,59720080402USG06F21/00200601G06F21/24200601H04L9/0820060171申请人思科技术公司地址美国加利福尼亚州72发明人普拉文帕特那拉阿南德帕塔塞拉斯马卡兰德戴斯沙姆克钱德拉谢克康达木瑞74专利代理机构北京东方亿思知识产权代理有限责任公司11258代理人宋鹤南霆54发明名称跨越数据中心对存储区域网加密密钥的分布57摘要提供了用于从一个数据中心向另一个数据中心传。

2、送与磁盘逻辑单元号和磁带盒相关联的密钥对象的高效机制。接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求。源数据中心密钥对象与存储区域网SAN中保存的、诸如磁盘逻辑单元号LUN或磁带盒之类的数据块相对应，并且包括唯一标识符、被加密的密钥、以及包装唯一标识符。利用源数据中心密钥层次对被加密的密钥进行解密。从源数据中心向目的地数据中心发送密钥信息。利用目的地数据中心密钥层次来生成目的地数据中心密钥对象。30优先权数据85PCT申请进入国家阶段日2010093086PCT申请的申请数据PCT/US2009/0384442009032687PCT申请的公布数据WO2009/123913EN2。

3、009100851INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书7页附图9页CN101983387A1/2页21一种方法，包括接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求，所述源数据中心密钥对象与存储区域网SAN中保存的数据块相对应，其中所述源数据中心密钥对象包括唯一标识符、被加密的密钥、以及包装唯一标识符；利用源数据中心密钥层次对所述被加密的密钥进行解密；从所述源数据中心向所述目的地数据中心发送密钥信息；利用目的地数据中心密钥层次来生成目的地数据中心密钥对象。2根据权利要求1所述的方法，其中所述源数据中心密钥对象与磁盘逻辑单元号LUN相对应。3。

4、根据权利要求2所述的方法，其中当所述磁盘LUN从所述源数据中心移动至所述目的地数据中心时，所述目的地数据中心密钥对象使得能够对所述磁盘LUN进行解密。4根据权利要求1所述的方法，其中所述源数据中心密钥对象与磁带盒相对应。5根据权利要求4所述的方法，其中当所述磁带盒从所述源数据中心移动至所述目的地数据中心时，所述目的地数据中心密钥对象使得能够对所述磁带盒进行解密。6根据权利要求1所述的方法，其中对所述被加密的密钥进行解密包括使用利用所述包装唯一标识符而访问的密钥材料，所述包装唯一标识符引用了所述源数据中心中的密钥管理中心处的另一密钥对象。7根据权利要求1所述的方法，其中对被解密的密钥进行加密包括。

5、使用从所述目的地数据中心访问的密钥材料。8根据权利要求1所述的方法，其中所述密钥信息是利用公钥私钥加密来发送的。9根据权利要求1所述的方法，其中所述密钥信息是利用受口令保护的密钥输出来发送的。10根据权利要求1所述的方法，其中所述唯一标识符是全球唯一标识符。11根据权利要求10所述的方法，其中所述全球唯一标识符被写入到存储区域网介质中。12根据权利要求11所述的方法，其中所述存储区域网介质是磁带。13根据权利要求11所述的方法，其中所述存储区域网介质是磁盘逻辑单元号。14根据权利要求1所述的方法，其中密钥实体标识出存储区域网介质。15根据权利要求1所述的方法，其中所述包装唯一标识符是包装全球唯。

6、一标识符，所述包装全球唯一标识符指向具有用于对所述被加密的密钥进行解密的信息的另一密钥对象。16根据权利要求15所述的方法，其中另一密钥对象还包括另外的包装唯一标识符。17根据权利要求1所述的方法，其中密钥对象还包括密钥状态信息。18一种系统，包括接口，所述接口可操作来接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求，所述源数据中心密钥对象与存储区域网SAN中保存的数据块相对应，其中所述源数据中心密钥对象包括唯一标识符、被加密的密钥、以及包装唯一标识符；处理器，所述处理器可操作来利用源数据中心密钥层次对所述被加密的密钥进行解密，并且从所述源数据中心向所述目的地数据中心提供密钥信息；。

7、权利要求书CN101983385ACN101983387A2/2页3其中所述目的地数据中心利用目的地数据中心密钥层次来生成目的地数据中心密钥对象。19根据权利要求18所述的系统，其中所述源数据中心密钥对象与磁盘逻辑单元号LUN相对应。20根据权利要求19所述的系统，其中当所述磁盘LUN从所述源数据中心移动至所述目的地数据中心时，所述目的地数据中心密钥对象使得能够对所述磁盘LUN进行解密。21根据权利要求18所述的系统，其中所述源数据中心密钥对象与磁带盒相对应。22根据权利要求21所述的系统，其中当所述磁带盒从所述源数据中心移动至所述目的地数据中心时，所述目的地数据中心密钥对象使得能够对所述磁带。

8、盒进行解密。23一种系统，包括用于接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求的装置，所述源数据中心密钥对象与存储区域网SAN中保存的数据块相对应，其中所述源数据中心密钥对象包括唯一标识符、被加密的密钥、以及包装唯一标识符；用于利用源数据中心密钥层次对所述被加密的密钥进行解密的装置；用于从所述源数据中心向所述目的地数据中心发送密钥信息的装置；用于利用目的地数据中心密钥层次来生成目的地数据中心密钥对象的装置。权利要求书CN101983385ACN101983387A1/7页4跨越数据中心对存储区域网加密密钥的分布0001相关申请的交叉引用0002本申请要求保护2008年4月2日递。

9、交的USSN12/061,597的优先权和利益，出于所有目的，USSN12/061,597通过引用而被全部结合于此。技术领域0003本公开涉及跨越数据中心对存储区域网STORAGEAREANETWORK加密密钥的分布。背景技术0004包括存储介质加密SME设备的各种存储区域网SAN设备使得能够对存储在磁盘和磁带上的数据进行加密。在很多实例中，每个磁盘逻辑单元号LUN或磁带盒TAPECARTRIDGE使用唯一密钥对象UNIQUEKEYOBJECT进行数据加密和/或认证。0005然而，用于跨越数据中心来分布加密密钥的机制是受限制的。因此，希望提供用于分布加密密钥以用来加密和/或认证存储区域网设备中。

10、的数据的改进方法和设备。附图说明0006通过结合附图来参考下面的描述，可最佳地理解本公开，附图示出了特定的示例性实施例。0007图1示出存储区域网SAN的特定示例。0008图2示出密钥管理中心项目的特定示例。0009图3示出密钥和对象层次的特定示例。0010图4示出在迁移期间的密钥管理中心项目修改的特定示例。0011图5示出用于创建加密密钥的交换示图的特定示例。0012图6A示出对象密钥管理的特定示例。0013图6B示出主密钥管理的特定示例。0014图6C示出密钥迁移的特定示例。0015图7示出网络设备的特定示例。具体实施方式0016现在将详细地参考本发明的一些具体示例，这些具体示例包括了发明。

11、人考虑的用于实施本发明的最佳模式。这些具体实施例的示例在附图中示出。虽然结合这些具体实施例描述了本发明，但是将会理解，不希望将本发明限制到所描述的实施例。相反，希望覆盖可被包括在所附权利要求限定的本发明的精神和范围内的替换、修改和等同物。0017例如，将在特定的密钥和存储区域网SAN的语境中描述本发明的技术。然而，应当注意，本发明的技术适用于各种加密机制、密钥和SAN。在下面的描述中，陈述了许多具体细节以提供对本发明的透彻理解。可以在没有一些或全部这些具体细节的情况下实现本发说明书CN101983385ACN101983387A2/7页5明的特定示例性实施例。在其他实例中，公知的处理操作未被详。

12、细描述，以便不会不必要地模糊本发明。0018为了清晰，有时将会以单数形式来描述本发明的各种技术和机制。然而，应当注意，一些实施例包括技术的多次迭代或者机制的多次例示，除非作出不同表示。例如，在各种语境中，系统使用一个处理器。然而，将会认识到，在保持在本发明的范围内的同时，系统可使用多个处理器，除非作出不同表示。此外，本发明的技术和机制有时将会描述两个实体之间的连接。应当注意，两个实体之间的连接未必意味着直接的、不受阻碍的连接，因为各种其他实体可能位于这两个实体之间。例如，处理器可连接至存储器，但是将会认识到，各种桥接器和控制器可位于处理器和存储器之间。因此，连接未必意味着直接的、不受阻碍的连接。

13、，除非作出不同表示。0019概要0020提供了用于从一个数据中心向另一个数据中心传送与磁盘逻辑单元号和磁带盒相关联的密钥对象的高效机制。接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求。源数据中心密钥对象与存储区域网SAN中维护的、诸如磁盘逻辑单元号LUN或磁带盒之类的数据块相对应，并且包括唯一标识符、被加密的密钥、以及包装唯一标识符WRAPPERUNIQUEIDENTIFIER。利用源数据中心密钥层次对被加密的密钥进行解密。从源数据中心向目的地数据中心发送密钥信息。利用目的地数据中心密钥层次来生成目的地数据中心密钥对象。0021示例性实施例0022各种系统使得能够对存储在磁盘和磁。

14、带上的数据进行加密。在一些传统系统中，连接至诸如磁盘阵列和磁带驱动器之类的存储设备的主机在向存储设备写数据之前以密码方式CRYPTOGRAPHICALLY处理数据。主机应用程序管理加密和认证处理。然而，为了高效地执行密码处理，每个主机都需要密码加速器CRYPTOGRAPHICACCELERATOR。向众多主机提供独立的密码加速器经常是不实际的。在一些其他传统系统中，存储设备自身管理密码处理。诸如磁带驱动器之类的存储设备会在向磁带写数据之前加密数据。磁带驱动器也会对从磁带盒读出的数据进行解密。然而，为了高效地执行密码处理，每个存储设备也会需要密码加速器。0023因此，本发明的技术和机制提供了用于。

15、执行密码处理的基于网络的机制。主机和存储设备都无需执行任何密码处理。当数据从主机向存储设备发送时，存储区域网SAN交换机以密码方式处理数据，并且保存密钥信息。根据特定实施例，写入到独立的磁带盒和磁盘LUN的数据具有由SAN交换机保存的唯一密钥。通过在密钥对象中包括诸如全球唯一标识符GUID之类的唯一标识符UID，利用密钥数据库来高效地管理密钥。可以使用各种随机数生成方案来使密钥冲突的发生率INCIDENCE最小化。在密钥对象中具有UID实现了对密钥的高效获取RETRIEVAL，所述密钥用于磁盘LUN和磁带盒上存储的数据的密码处理。UID自身也可被写入到磁盘LUN和磁带盒中。0024根据特定实施。

16、例，通过对于特定数据中心而言可以是唯一的中间密钥和/或主密钥来加密密钥自身。当特定的密钥和/或相关联的数据被移向另一数据中心时，利用与新的数据中心相关联的中间密钥和主密钥来重新加密密钥。0025除了UID和密钥自身以外，密钥数据库中的密钥对象还可包括密钥实体或者说是说明书CN101983385ACN101983387A3/7页6对密钥对象所属于的存储介质的描述、密钥状态信息以及包装UID或包装GUID，该包装UID或包装GUID标识出用来加密本UID中的密钥的密钥对象。密钥数据库可包括与在数据中心处被写入的数百万磁盘LUN和磁带盒相对应的数百万密钥对象。对密钥对象的高效使用实现了高效的搜索、管。

17、理和迁移能力。在特定实施例中，密钥自身是以层次HIERARCHY的方式保存的，其中利用中间密钥加密了密钥，并且利用其他中间密钥或主密钥加密了中间密钥自身。0026根据特定实施例，主密钥不被保存在密钥数据库或密钥管理中心之中，而是仅被保存在安全线卡LINECARD中。可利用阈值秘密共享机制来得出主密钥的备用拷贝，其中主密钥被拆分SPLIT成总共N份NSHARES，以使得需要N份中的任意M份来重新创建主密钥。用于拆分主密钥的一种机制使用了SHAMIR的多项式秘密共享算法。主密钥的每个独立的份被利用不同的个体来保存，并且每份可以可选地利用对称或不对称密钥而被加密。主密钥的各份可存储在外部智能卡中。0。

18、027在参与的交换机和密码节点不可用于提供主密钥的故障恢复情景期间，具有主密钥的各份的、阈值数目的恢复官员可重新组装REASSEMBLE原始的主密钥。0028图1示出了可使用特定示例性实施例的网络的特定示例。主机101和103连接至存储区域网SAN131。主机可以是被配置为访问诸如磁带设备和磁盘阵列之类的存储设备的存储服务器或其他实体。虚拟磁带设备123和磁带设备121连接至交换机115。诸如光学驱动器和独立磁盘冗余阵列RAID之类的其他存储设备也可被连接。0029SAN131包括交换机111、113和115。根据特定实施例，交换机111、113和115包括用于执行加密、认证和密钥管理的多个线。

19、卡和密码加速器。在特定实施例中，交换机之一被配置为包括密钥数据库的密钥管理中心，密钥数据库用于保存用来以密码方式处理数据的密钥。密钥管理中心可被实现为交换机的一部分或者独立设备。0030图2是示出密钥对象的一个特定示例的图示表示。密钥对象221包括全球唯一标识符GUID201。根据特定实施例，GUID是随机生成的数，该数在特定SAN内是唯一的并且在众多SAN之中可能是唯一的。GUID可用来索引密钥数据库中的密钥对象。密钥对象221还包括集群CLUSTER标识符203。集群标识符203指定了密钥对象所属于的特定一组交换机。密钥实体字段206指定了与诸如磁盘LUN或磁带盒之类的特定存储介质相关联的。

20、备用组、卷组和条码。在特定示例中，密钥实体字段206用来标识特定的磁盘或磁带。加密密钥207保存用来加密和/或解密数据的实际密钥材料KEYINGMATERIAL。对称和不对称密钥都可被使用。0031根据特定实施例，密钥对象221还包括包装全球唯一标识符209。提供包装全球唯一标识符WGUID209是为了标识用来保护加密密钥207的密钥对象。在特定示例中，WGUID209指定了密钥数据库中的分离的密钥对象。根据特定实施例，密钥对象221还包括克隆CLONE全球唯一标识符CGUID。在特定示例中，一个集群中的密钥对象221是从不同集群的密钥对象数据库中拷贝的。CGUID221指向了密钥对象221所。

21、拷贝于的原始密钥对象。如果发生了多次拷贝，则CGUID211仍然指向原始密钥对象。密钥数据状态信息213表明了加密密钥207在数据库中是以显明CLEAR形式还是以加密形式保存的。如果密钥被加密，则状态信息213指定加密的类型，例如RSA加密、与另一密钥对象的对称加密、口令包装等。说明书CN101983385ACN101983387A4/7页70032图3示出对象层次301和密钥层次303的一个示例。根据特定实施例，SAN管理者和用户可能想要为存储介质的不同组指定不同的密钥。例如，特定的磁带卷组可被指派ASSIGN特定的密钥。特定的磁带备用组也可被指派特定的密钥。具有用于特定备用组的密钥的用户将。

22、能够访问、解密和认证在特定一组磁带盒上存储的数据，但是不能够访问其他数据。0033根据特定实施例，集群311与主密钥313相关联。在特定示例中，对主密钥313的访问提供了对集群311中被加密的所有数据的访问。集群可包括许多交换机和存储设备。磁带备用组321和323可与磁带卷组密钥325和327相对应。具有磁带卷组密钥325和327的用户可以访问磁带备用组321和323。磁带卷组333、337以及默认磁带卷组331和335与磁带卷密钥343、347、341和345相对应。默认磁带卷组密钥331被用来以密码方式处理磁带卷351。默认磁带卷组密钥335被用来以密码方式处理磁带卷355和357。磁带卷。

23、组密钥333被用来以密码方式处理磁带卷353。0034根据特定实施例，密钥管理中心保存若干密钥，包括与SAN相关联的中间密钥。可利用中间密钥来对与特定盒相关联的密钥进行加密。可利用另一中间密钥来加密该中间密钥，该另一中间密钥自身可利用主密钥而被加密。在特定示例中，密钥管理中心不以加密的或明文的形式来保存主密钥或顶级密钥。主密钥是当集群被创建并且诸如交换机内的密码节点之类的第一密码节点被添加时创建的。根据特定实施例，主密钥以及相关联的私有RSA密钥被保存在与交换机线卡相关联的联邦信息处理标准FIPS模块内。在特定示例中，主密钥被保存在SAN交换机中的线卡的引导闪存BOOTFLASH之内。0035。

24、当随后的密码节点被添加到集群中时，系统可从另一密码节点获得利用RSA公钥私钥加密进行了加密的主密钥。每当主密钥在FIPS模块之外发送时，它都保持被加密。0036图4示出密钥对象迁移的一个示例。根据特定实施例，磁带盒及其相关联的密钥可从一个集群移动至另一个集群。为了便于密钥的共享，每个密钥对象都具有克隆GUID属性。克隆GUID索引标识了当前密钥对象所拷贝于的原始密钥对象。当所克隆的密钥被进一步克隆时，克隆GUID字段被修改以指向原始密钥对象。根据特定实施例，系统用户可触发从源集群向目的地集群输出一组密钥的操作。这些密钥然后利用特定于集群的主密钥和中间密钥而在当前集群中被解密或去除包装UNWRA。

25、P，并且然后出于输出目的而被加密或重新包装。例如，利用对于源集群而言特定的中间密钥和主密钥来对具有GUID1411、集群标识符413、被加密的密钥415、包装GUID2417以及其他字段的密钥对象进行解密和去除包装。0037根据特定实施例，GUID1421与密钥状态信息423和密钥425一起被设置在消息中。密钥425可以是明文的，或者是利用各种机制加密的。当消息到达目的地集群时，通过利用与目的地集群相关联的中间密钥和主密钥来重新加密和重新包装密钥，创建了密钥对象。目的地集群处的密钥对象包括GUID3431、集群标识符433、被加密的密钥435、包装GUID4437、克隆GUID1439以及其他。

26、字段。0038在特定示例中，利用公钥、私钥对来对密钥425进行RSA保护。为了发送，利用源集群的私钥和目的地集群的公钥来加密密钥。利用此机制，密钥被验证为来自源集群的密钥，并且密钥仅可被输入至目的地集群。在其他示例中，通过用户在源集群处指定口令来对密钥425对称地进行加密。说明书CN101983385ACN101983387A5/7页80039在特定示例中，唯一随机盐UNIQUERANDOMSALT被分配并且被供给以口令，以便生成合适的加密和认证密钥。密钥然后被用来利用对称加密方法对密钥425加密。利用此机制，密钥可被输入至由用户选择的任意集群或者任意多个集群。在任何时候，系统用户都可触发输入。

27、来自另一集群的一组密钥的操作。首先利用源集群中间密钥和主密钥在源集群处对密钥进行解密或去除包装。密钥然后可利用特定的传送机制而被打包，并且利用目的地集群的中间密钥和/或主密钥而在目的地集群处被重新加密或重新包装。0040新创建的密钥具有新的GUID3431。然后，通过使用克隆GUID439属性而在新创建的密钥中记录原始密钥的GUID1411。如果原始密钥自身即是被克隆的密钥，则克隆GUID439索引按现状被拷贝。基于输出的机制来解密密钥。利用本地RSA私钥来解密经RSA保护的密钥。健康检查SANITYCHECK被进行，以验证被加密的密钥真正地是打算用于此集群的通过比较本地集群的RSA公钥和所输。

28、入的文件中的RSA公钥。如果解密失败了，则密钥不被输入。0041根据特定实施例，用户从原始集群输出与磁带存储介质相对应的密钥，并且密钥被输入到远程集群上。在磁带盒被插进磁带设备以用于解密之后，来自该盒的GUID被提取并且消息被发送至本地密钥管理中心以用于密钥获取。在特定示例中，密钥管理中心基于所提供的GUID来处理密钥获取请求。基于GUID来访问本地密钥数据库。如果没有找到对象，则搜索克隆GUID属性以获得匹配的密钥对象。当在解密从远程集群输入的存储介质的同时接收到密钥获取请求时，执行随后获取方法。这提供了用于在各种系统中输出和输入密钥的简单、安全且灵活的机制。密钥可从一个集群转化TRANSL。

29、ATE到另一个集群，并且进一步以链状方式被转化到多个集群。此外，密钥可从一个集群输出并且被输入进多个数据中心。用户可利用密钥对象来填充POPULATE多个数据中心。克隆GUID属性使系统管理者能定位原始集群中的原始密钥对象。0042图5示出了密钥管理的一个示例。密钥管理中心保存若干密钥对象。线路501向交换机503提供创建密钥请求511。交换机503向密钥管理中心507发送密钥同步消息513。根据特定实施例，密钥管理中心507或者密钥数据库仅仅保存用于数据对象密钥和中间密钥的密钥对象。密钥管理中心507不保存任何主密钥。密钥管理中心507向交换机503发送确认515。根据特定实施例，然后通过发。

30、送同步集群消息517，密钥被提供给集群505中的所有交换机。0043根据特定实施例，集群505中的每个交换机在诸如FIPS模块之类的安全环境中保存主密钥、中间密钥以及数据对象密钥。集群505向交换机503发送确认519。交换机503利用创建确认消息521来确认密钥创建请求。0044图6A示出管理密钥对象的一个特定示例。用来访问诸如磁带盒或磁盘LUN之类的对象中的数据的任何密钥在这里被称为对象密钥。用来加密对象密钥的任何密钥在这里被称为中间密钥。用来加密中间密钥和/或对象密钥的任何密钥在这里被称为主密钥。在601，在SAN交换机处接收创建密钥请求。在603，创建密钥请求被转发至密钥管理中心。在6。

31、05，从密钥管理中心接收的响应被与集群中的其他SAN交换机同步。在607，接收对与特定用户标识符相关联的数据的访问请求。访问可以是读出或写入访问。在609，利用UID来访问密钥管理中心中的密钥对象。在一些示例中，在SAN交换机上的线卡的FIPS边界内，密钥可能已经是可得的。在其他示例中，密钥对象可能不得不被获得。如果通过检查UID而说明书CN101983385ACN101983387A6/7页9确定对象不可得，则克隆UID的列表也可被检查以查看UID是否匹配密钥管理中心处的任何密钥对象的父亲。在611，利用包装UID来对密钥对象中的密钥进行解密，以获得中间密钥。在613，利用所解密的密钥来以密。

32、码方式处理数据。0045图6B示出主密钥管理的一个特定示例。在621，接收密码节点创建请求。在623，确定主密钥是否可从集群中的另一密码节点得到。如果在623处确定主密钥可从另一密码节点得到，则在625处从另一密码节点获得主密钥。根据特定实施例，可利用RSA公钥和私钥对来传送主密钥。如果在623处确定主密钥在另一密码节点上不可得，则在629处生成主密钥。0046根据特定实施例，主密钥利用阈值秘密共享机制而被拆分成若干份627，并且可利用这若干份中的子集而在以后被恢复。例如，可利用阈值秘密共享机制将主密钥拆分成五份。对于重新构成主密钥而言，可能仅仅必需二或三份。在629，主密钥的各份被分布至多个。

33、实体。0047图6C示出密钥迁移的一个特定示例。在641，接收传送加密密钥的请求。根据特定实施例，可在磁带盒已从源集群移动至目的地集群之后接收请求。在643，源集群对与GUID相关联的特定密钥对象执行输出操作。输出操作利用主密钥和/或中间密钥来对与GUID相关联的密钥进行解密。密钥和相关联的数据然后被加密以用于传送。可利用目的地集群的公钥如果可得的话以及源集群的私钥如果可得的话来对密钥加密。也可利用对称密钥来对密钥加密。0048根据特定实施例，在647处，目的地集群执行输入操作。在特定示例中，在649处，目的地集群从源集群获得密钥，并且利用它自己的中间密钥和主密钥层次来重新加密密钥。0049各。

34、种设备和应用可实现特定实施例的技术和机制。例如，各种交换机、线卡和数据库可执行密钥管理和迁移的各个方面。在特定示例中，可以访问密钥数据库或密钥管理中心的存储区域网中的光纤通道交换机可操作来执行特定实施例的各个方面。在特定示例中，交换机包括用于执行加密、解密和认证操作的密码加速卡。设置了多个线卡以允许与存储区域网中的若干其他光纤通道交换机的连接。根据特定实施例，每个线卡包括保存主密钥以及一个或多个中间密钥和对象密钥的FIPS。当密钥在FIPS中不可得时，可访问密钥数据库或密钥管理中心以获得密钥。交换机还可包括转发引擎、物理层和介质访问控制组件、以及仲裁器ARBITER。0050图7示出可实现特定。

35、实施例的设备的一个示例。根据特定的示例性实施例，适于实现本发明的特定实施例的系统700包括处理器701、存储器703、接口711和总线715例如PCI总线。当在适当软件或固件的控制之下动作时，处理器701负责诸如处理和转发流之类的任务。在一些实施例中，诸如密码加速器之类的专门组件被用于密码处理。代替处理器701或者除了处理器701之外，也可使用各种专门配置的设备。接口711通常被配置为通过网络发送和/或接收数据分组或数据片段。根据特定实施例，接口是存储区域网接口，但是其他的接口也是可以的。接口的特定示例包括以太网接口、帧中继接口、线缆接口、DSL接口、令牌环接口等。此外，各种很高速的接口可被设。

36、置，例如快速以太网接口、千兆比特以太网接口、ATM接口、HSSI接口、POS接口、FDDI接口等。一般地，这些接口可包括适用于与适当介质通信的端口。在一些情况下，它们还可包括独立的处理器并且在一些实例中说明书CN101983385ACN101983387A7/7页10包括易失性RAM。独立的处理器可控制诸如分组交换、介质控制和管理之类的通信密集型任务。0051根据特定的示例性实施例，系统700使用存储器703来存储数据和程序指令。例如，程序指令可控制操作系统和/或一个或多个应用的操作。这一个或多个存储器还可被配置为存储所接收的分组、绑定物、保持活性KEEPALIVE状态、用于所监控的会话分组的。

37、周期性信息、流过FLOWTHROUGH和/或绕流FLOWAROUND配置等等。0052因为这样的信息和程序指令可用来实现这里描述的系统/方法，所以本发明涉及包括了用于执行这里描述的各种操作的程序指令、状态信息等的有形且机器可读的介质。机器可读介质的示例包括但不限于诸如硬盘、软盘和磁带之类的磁介质；诸如CDROM盘和DVD之类的光学介质；诸如光盘之类的磁光介质；以及诸如只读存储器设备ROM和随机存取存储器RAM之类的、被专门配置为存储和执行程序指令的硬件设备。程序指令的示例既包括例如由编译器产生的机器代码，又包括文件，这些文件包含可由计算机利用解释器INTERPRETER执行的更高级的代码。00。

38、53虽然出于清晰理解的目的已经相当详细地描述了上述发明，但是将会显而易见的是，可在所附权利要求的范围内实践某些改变和修改。因此，当前的实施例被认为是例示性的而非限制性的，并且本发明不限制于这里给出的细节，而是可在所附权利要求的范围和等同物内被修改。说明书CN101983385ACN101983387A1/9页11图1说明书附图CN101983385ACN101983387A2/9页12图2说明书附图CN101983385ACN101983387A3/9页13图3说明书附图CN101983385ACN101983387A4/9页14图4说明书附图CN101983385ACN101983387A5/9页15图5说明书附图CN101983385ACN101983387A6/9页16图6A说明书附图CN101983385ACN101983387A7/9页17图6B说明书附图CN101983385ACN101983387A8/9页18图6C说明书附图CN101983385ACN101983387A9/9页19图7说明书附图CN101983385A。

展开阅读全文