通过设备驱动器与密钥管理器的通信来支持加密存储设备与加密未知的应用程序的互操作的装置和方法

摘要

提供一种带系统，其具有能够加密的带驱动以及用于能够加密的带驱动的能够加密的带驱动的设备驱动器。所述能够加密的带驱动的设备驱动器用作将能够加密的带驱动与向带驱动提供密钥密钥管理器连接的代理。当能够加密的设备驱动器向驱动器发送命令时，带驱动被配置为通过专用于密钥管理器(例如外部密钥管理器(EKM))的消息响应。能够加密的设备驱动器识别出这是专用于EKM 116的消息，并(例如经由互联网协议(IP)连接)将该消息转发至EKM。然后，EKM通过发出新密钥(用于从带起始(BOT)写入的新盒)或现有密钥(用于需要读取的盒)来响应该密钥请求。设备驱动器连接能够加密的带驱动的所有EKM响应和能够加密的带驱动可以从中获得其密钥的EKM。

说明书

技术领域

概括地说，本发明涉及带存储系统，更具体地，涉及将设备驱动器用作在能够加密的带驱动和密钥管理器之间的代理。

背景技术

众所周知地，使用数据存储系统中的高密度、可移动介质存储库在网络化计算机系统中提供大量存储。通常，这种数据存储系统用于后备或其它二级存储目的，但是所述数据存储系统还可用作在适合于序列数据访问等的环境中的主存储器。数据常常存储在介质盒上，例如磁带或光盘。已知的介质盒能够存储大量数据。存储系统可包括多个旧式存储设备(即，没有被特定设计为与更多当前数据存储系统工作的设备)。

对于能够加密的驱动器已知地，从应用带内地(例如经由光纤通道)获得密钥或带外地(例如通过与库的接口(例如RS-422接口))获得密钥。获得密钥的这些方式分别承认应用管理密钥和库管理密钥。

然而，与能够加密的带驱动相关的问题涉及何时向能够加密的带驱动提供来自旧式应用(即，还没有被修改以提供密钥的应用)的数据。与能够加密的带驱动相关的附加问题涉及何时将能够加密的带驱动设置于旧式自动带库(即，还没有被修改以从应用的驱动器透明地获得密钥的带库)中。在这些情形的任一个或两者中，能够加密的带驱动不能获得加密密钥。这个问题还可能存在于其它环境中。例如，如果能够加密的带驱动处于电桥箱中或安装在机架上(因此不是自动的)，或如果能够加密的带驱动处于恶劣环境中(例如在除了带驱动的制造厂之外的制造厂仓库中)。还可能，不会诱发恶劣环境以使得密钥能够传递至能够加密的带驱动。

在每个这样的情形下，期望提供一种能力，向能够加密的带驱动提供密钥，从而可通过数据存储系统中执行的任意应用透明地执行加密。

发明内容

根据本发明，提供一种带系统，其具有能够加密的带驱动以及用于所述能够加密的带驱动的能够加密的带驱动的设备驱动器。所述能够加密的带驱动的设备驱动器用作将能够加密的带驱动与密钥管理器连接的代理，以便于加密操作，例如密钥管理器向带驱动提供密钥。因此，能够加密的带驱动的设备驱动器便于加密，而不依赖于主机是否能够支持或执行加密。在本发明的一个方面中，当能够加密的设备驱动器向驱动器发送命令(例如读或写命令)时，带驱动被配置为通过专用于密钥管理器(例如外部密钥管理器(EKM))的消息响应。能够加密的设备驱动器识别出这是专用于EKM 116的消息，并(例如经由互联网协议(IP)连接)将该消息转发至EKM。然后，EKM通过发出新密钥(用于从带起始(BOT)写入的新盒)或现有密钥(用于需要读取的盒)来响应该密钥请求。设备驱动器连接能够加密的带驱动的所有EKM响应和能够加密的带驱动可以从中获得其密钥的EKM。

这样，设备驱动器提供在能够加密的带驱动与能够加密的带驱动可以从中获得其密钥的EKM之间的通信路径。一旦带驱动获得所有密钥，然后驱动器代理向设备驱动器发出加密功能消息，所述设备驱动器然后继续处理主机应用命令，并向主机应用传回这个信息。因此，应用数据开始在驱动器和应用之间流动。(在写的情况下流向带驱动，在读的情况下从带驱动流出)。对于普通命令，设备驱动器继续用作应用和设备驱动器之间的通信路径。设备驱动器还检测专用于EKM的扩展命令，并单独提供这种通信路径。因此，带系统具有带内通信路径(即，在设备驱动器和带驱动之间的通信路径)和带外通信路径(即，在设备驱动器和EKM之间的通信路径)。

因此，在一个实施例中，本发明涉及一种存储系统，包括：主机、耦合至主机的存储设备、以及在主机上执行的设备驱动器。所述存储设备与存储介质交互以存储信息以及从所述存储介质提取信息，并包括：加密模块，能够对存储介质上存储的数据加密和解密。设备驱动器检查来自所述存储设备的加密相关信息。所述加密相关信息是响应于由所述主机发出的命令生成的。当加密相关信息存在时，所述设备驱动器便于加密，而不依赖于所述主机是否能够加密。

在另一实施例中，本发明涉及一种存储设备，用于与存储介质交互以存储信息以及从所述存储介质提取信息。所述存储设备包括：加密模块、耦合至所述加密模块的控制器。加密模块能够对存储介质上存储的数据加密和解密。控制器与所述加密模块交互以能够向所述存储介质存储信息和从所述存储介质提取信息；其中所述存储设备从设备驱动器接收信息和向设备驱动器发送信息，其中所述设备驱动器检查来自所述存储设备的加密相关信息。所述加密相关信息是响应于由所述主机发出的命令通过所述存储设备生成的，当加密相关信息存在时。所述设备驱动器便于加密，而不依赖于所述主机是否能够加密。

在另一实施例中，本发明涉及一种在主机上执行并与存储设备通信的设备驱动器。所述设备驱动器包括：命令发起部分，用于拦截由所述主机向所述存储设备发出的命令；命令执行部分，用于在加密操作执行完成之后执行所述命令；加密部分，用于检查来自所述存储设备的加密相关信息，其中所述加密相关信息是响应于由所述主机发出的命令通过所述存储设备生成的。当加密相关信息存在时，所述设备驱动器便于加密，而不依赖于所述主机是否能够加密。

在另一实施例中，本发明涉及一种便于在能够加密的存储设备和主机之间加密的方法。该方法包括：向所述存储设备发出命令；响应于所述命令拦截由所述存储设备生成的加密相关信息；确定所述加密相关信息是否表示在通过所述能够加密的存储设备执行所述命令之前需要执行加密操作；当所述加密相关信息表示需要加密操作时，执行加密操作，而不依赖于所述主机是否能够加密；以及在所述加密操作执行完成之后执行所述命令。

在另一实施例中，本发明涉及一种存储系统。所述存储系统包括：主机、耦合至所述主机的存储设备、耦合至所述存储设备的模块、以及在所述主机上执行的设备驱动器。所述存储设备与存储介质交互以存储信息以及从所述存储介质提取信息。设备驱动器检查来自所述存储设备的专用状态信息，其中所述专用状态信息是响应于由所述主机发出的命令生成的。当所述专用状态信息存在时，所述设备驱动器便于加密，而不依赖于所述主机是否能够与所述模块通信。

优选地，通过推(push)方法向所述存储设备提供密钥。更优选地，通过拉(pull)方法向所述存储设备提供密钥。更优选地，所述存储设备包括带驱动。

优选地，所述模块包括：密钥管理器，所述密钥管理器经由所述设备驱动器向所述存储设备提供密钥。更优选地，所述存储系统还包括：代理，所述代理建立在所述存储设备和所述密钥管理器之间的通信路径，以便于向所述存储设备提供密钥。

更优选地，通过在所述主机上执行的应用发出所述命令。更优选地，所述应用包括向所述存储设备以及从所述存储设备传送数据的后备程序。

在以下详细描述的具体实施方式中，本发明的上述和其它目的、特征和优点将变得清楚。

附图说明

在所附权利要求中阐述了本发明的认为有新颖性的特征。然而，在结合附图阅读时，本发明本身及其优选实施方式、与本发明的其它目的和优点可通过参照示例性实施例的以下具体实施方式更好地理解，其中：

图1示出具有代表性带存储系统的示意性框图。

图2示出具有带驱动和带盒的示意性框图。

图3示出在执行加密访问时带系统的操作的流程图。

图4A-4D(统称为图4)示出用于密钥管理器拉方法的执行加密访问的带系统的操作的流程图。

图5示出代表性带存储系统和密钥管理器拉方法的流程路径的示意性框图。

图6A-6B(统称为图6)示出用于密钥管理器推方法的执行加密访问的带系统的操作的流程图。

图7示出代表性带存储系统和密钥管理器推方法的流程路径的示意性框图。

具体实施方式

在以下说明中，引用示出本发明几个实施例的附图。可以理解，可以利用其它实施例，并且在不脱离本发明的范围的情况下可以进行结构和操作的改变。

参照图1，示出在其中实现本发明的方面的带存储系统100的架构。带存储系统100包括：主机110、带驱动112和带盒114。带存储系统100还包括外部密钥管理器(EKM)116。

主机110包括设备驱动器120以及代理122。主机还包括应用124。带驱动包括控制器130以及加密模块132。带盒114包括非易失性盒式存储器140以及高容量磁带142。

应用124可包括后备程序，所述后备程序向带驱动112和从带驱动112传送数据，以顺序地向带142写入数据，或从带142读取数据。应用124可使用SCSI带命令向带驱动112传达I/O请求。可选地，应用124可使用其它数据访问命令协议。为了提取数据，应用124可使得带142顺序地或以随机方式读取。

盒式存储器140保存与磁带142上的数据的格式和布局相关的信息。盒式存储器140还保存用于对磁带142上存储的数据加密和解密的加密信息。

带驱动112包括能够向磁带142和从磁带142传送数据的读/写头。带驱动控制器130从主机系统110接收输入/输出(I/O)请求，并且能通过以下方式执行所接收的I/O请求，即，使用带驱动机制和算法评估文件在带上的可能位置，以重绕带并将带头定位在磁带142上的特定位置。带驱动112可包含在主机系统110中，或是独立单元，或包含在带库中。带驱动112可经由直接接口(例如SCSI、光纤通道等)与主机连接，或通过网络(例如局域网(LAN)、存储域网(SAN)、广域网(WAN)、互联网、内联网等)连接。

即使主机110或主机应用124不能够加密，在带驱动能够加密时，设备驱动器120能使得带系统100对带盒142上的数据加密和解密。因此，设备驱动器120是能够加密的带驱动的设备驱动器。能够加密的带驱动的设备驱动器经由代理122提供代理功能，所述代理将能够加密的带驱动112与向带驱动112提供密钥的密钥管理器116连接。因此，设备驱动器120提供在能够加密的带驱动112和EKM 116之间的通信路径，能够加密的带驱动112可以从EKM 116获得密钥。对于普通(即，非加密相关)命令，设备驱动器120用作在应用和设备驱动器之间的通信路径。设备驱动器120还可用作在代理122的控制下通向带驱动112的通信路径。设备驱动器120还检测专用于EKM的扩展命令，并单独提供这种通信路径。因此，能够加密的设备驱动器120使得带系统100具有带内通信路径(即，在设备驱动器和带驱动之间的通信路径)和带外通信路径(即，在设备驱动器和EKM之间的通信路径)。

图2示出具有带驱动112和带盒114的示意性框图。带驱动112包括：接口220、加密模块132(可以是例如专用集成电路(ASIC))、读/写系统230、和读/写头240。带驱动112还包括固件250，所述固件250耦合至控制器130和加密模块132。

在所示实例中，主机110例如通过使用小型计算机系统接口(SCSI)带命令向带驱动112传达I/O请求或本领域已知的任意其它数据访问命令协议的方式向带驱动112传送数据，以向带盒114连续地写入。

带驱动112使用接口220与主机110通信。读/写系统230与用于从可写带介质130读取信息和向可写带介质130写入信息的读/写头240交互，并控制所述读/写头240。读/写系统230通过以期望的速度在头240上移动磁带介质130来控制读/写头240相对于磁带介质130移动，并停止、开始和反转磁带的移动方向。

带驱动112中的控制系统(或控制器)130与接口220、加密模块132、和读/写系统230通信。为了提取命令和交换用于操作盒式处理系统114的信息，控制器130还控制接口220以通过一个或多个端口(未示出)通信。加密模块132使得安全地加密数据并将数据存储到带盒114，以及安全地提取和解密在带盒114上存储的数据。在操作中，加密模块132使用具有任意期望密钥长度(例如128或256位数据密钥长度)的数据密钥(例如通过使用高级加密标准加密算法)执行实际数据加密和解密，并且还执行其它编码功能，例如数据压缩和解压缩以及数据缓冲。为了加密和解密数据，加密模块132还通过组合、验证、分配、存储和提取加密封装的数据密钥(EEDK)以及通过与关联至EEDK的EKM 116安全地交换数据密钥(SEDK)来控制数据加密/解密。加密模块132可通过硬件和/或软件的任意期望的组合来实现。例如，加密模块132可通过由固件250和控制器130控制并与它们交互的ASIC或FPGA电路来实现。

如上所述，带系统100执行多种功能，包括但不限于，通过使用数据密钥(例如AES加密密钥)对要在盒114上存储的数据加密；使用公共密钥加密技术通过不同密钥对数据密钥包装，以形成一个或多个加密的数据密钥；向带盒介质130写入以及从带盒介质130读出加密的数据和加密的数据密钥(多个)；以及通过对加密的数据密钥解包装获得的数据密钥对存储的加密数据进行解密。这样，带系统100提供分布式密钥存储器，其通过使用每个用户的公共密钥对数据密钥包装而生成单独EEDK的方式允许不同用户访问在一个带盒114上的加密数据。

图3示出在执行加密访问时带系统100的操作的流程图。更具体地，带系统执行命令发起操作310、在带驱动110和EKM 116之间的加密密钥管理操作312、和命令执行操作314。命令发起操作310生成向设备驱动器器120提供的命令。加密密钥管理操作312包括：在步骤320，确定加密是否存在于(或期望的)带盒114上；在步骤322，执行加密相关功能；以及在步骤324，确定加密相关功能是否完成。当加密相关功能完成时，通过命令执行操作314执行在命令发起操作310生成的命令。

更具体地，在命令发起操作310期间，当应用124尝试访问带驱动112时发起访问。应用124经由设备驱动器120访问带驱动112。能够加密的设备驱动器120使得命令(例如读或写命令)发送至带驱动112。

在加密操作312期间，带驱动112在步骤314通过专用于密钥管理器(例如EKM 116)的消息响应。能够加密的设备驱动器120在步骤320识别出这是专用于EKM 116的消息。在步骤322期间，设备驱动器120(例如经由互联网协议(IP)连接)将该消息转发至EKM 116。然后，EKM 116通过发出新密钥(用于从带起始(BOT)写入的新盒)或现有密钥(用于需要读取的盒)来响应该密钥请求。设备驱动器120在步骤322期间继续在带驱动112和EKM 116之间的交互，在步骤324确定是否连接能够加密的带驱动112的所有EKM响应和能够加密的带驱动可以从中获得其密钥的EKM 116。一旦带驱动获得所有密钥，然后代理116在步骤314向设备驱动器120发出加密功能消息，所述设备驱动器120然后执行所述命令。

接下来，在步骤314的命令执行操作之后，设备驱动器120将所述命令完成信息传达至主机应用124。然后，应用数据开始在驱动器和应用之间流动。(在写的情况下流向带驱动，在读的情况下从带驱动流出)。对于普通(即，非加密相关)命令，设备驱动器120用作应用和设备驱动器之间的通信路径。设备驱动器120还检测专用于EKM的扩展命令，并单独提供这种通信路径。因此，能够加密的设备驱动器120使得带系统100具有带内通信路径(即，在设备驱动器和带驱动之间的通信路径)和带外通信路径(即，在设备驱动器和EKM之间的通信路径)。

现在参照图4和5，图4示出用于密钥管理器拉方法的带存储系统的操作的流程图，图5示出代表性带存储系统和密钥管理器拉方法的流程路径的示意性框图。为了更好地示出流程图的步骤与带存储系统的流程路径的相应关系，在图4的流程图上的圆圈中表示的数字对应于在图5的框图上的圆圈中的相同数字。

当在步骤410应用(例如应用124)发出带命令(CMD)时，该方法开始。当应用124发出命令时，该命令实际上发向带驱动的驱动器120。接下来，在步骤412驱动器120向带驱动发出命令。当在步骤414带驱动接收该命令时，在步骤416带驱动复查该命令，以确定该命令是否为加密相关并且需要与EKM 116通信(即，是否为需要执行该命令的加密信息)。

如果该命令不需要与EKM 116的加密相关的交换，则在步骤420带驱动112执行该命令，并在步骤422向设备驱动器120返回状态指示(STS)。在步骤424，设备驱动器120复查该状态指示。如果该状态指示不是专用的(即，该命令不是加密相关的并且已经完成)，则在步骤426将该状态转发至应用，然后在步骤428所述应用检查该状态指示以保证该命令已经执行，并然后向应用返回控制以发出另一命令(如果期望)。

如果该命令需要与EKM 116的加密相关的交换，则在步骤430，带驱动112将专用状态指示返回至设备驱动器120。(例如，在某些实施例中，带驱动112返回包括十六进制的值EF的状态指示，其表示厂商唯一的任意加密指示)。在步骤424，设备驱动器120复查状态指示。如果该状态指示是专用的(即，该命令是加密相关的)，则在步骤440设备驱动器120保留该命令用于以后的处理，并呼叫代理122。在步骤442，代理122查询带驱动122以转发信息。然后在步骤444，驱动器114建立用于加密的初始命令，并经由驱动器120向代理122发送该命令。然后在步骤446，代理122打开与EKM 116的连接，并向EKM 116发送该命令。(在某些实施例中，驱动器112与EKM 116之间的连接可经由TCP/IP套接字，所述TCP/IP套接字或者已经存在或者通过代理122建立。)

然后在步骤450，EKM 116解析该命令。接下来在步骤452，EKM向代理122发出加密命令。然后在步骤454，代理向驱动器112发出命令。驱动器处理该命令，然后在步骤456响应于代理。在步骤458，代理122向EKM 116转发驱动器响应。EKM 116分析该响应，以在步骤460确定更多加密步骤是否必要(即，是否完成加密操作)。如果其它加密步骤是必要的，则EKM返回步骤452，并向代理122发出另一加密命令。如果没有其它加密步骤是必要的，则在步骤470，EKM 116生成最终流程状态指示，并向代理转发这个状态指示。在步骤472，代理检测这个最终流程状态指示，并在步骤474确定是否存在错误。如果存在错误(表示在加密操作期间出现问题)，则在步骤410代理向主机应用转发这个状态指示。如果不存在错误，则代理122提取在步骤440保留的命令，并在步骤476向驱动器122发出这个命令。然后，在步骤414驱动器接收该命令，并继续处理该命令。因为加密操作已经完成，所以带驱动112应该确定在步骤416不需要加密相关交换，并且应通过步骤420处理该命令。

现在参照图6和7，图6示出用于密钥管理器推方法的带存储系统的操作的流程图，图7示出代表性带存储系统和密钥管理器推方法的流程路径的示意性框图。为了更好地示出流程图的步骤与带存储系统的流程路径的相应关系，在图6的流程图上的圆圈中表示的数字对应于在图7的框图上的圆圈中的相同数字。

当在步骤610应用(例如应用124)发出带命令(CMD)时，该方法开始。当应用124发出命令时，该命令实际上发向带驱动的驱动器120。接下来，在步骤612驱动器120向带驱动发出命令。当在步骤614带驱动接收该命令时，在步骤616带驱动复查该命令，以确定该命令是否为加密相关并且需要与EKM 116通信(即，是否为需要执行该命令的加密信息)。

如果该命令不需要与EKM 116的加密相关的交换，则在步骤620带驱动112执行该命令，并在步骤622向设备驱动器120返回状态指示(STS)。在步骤624，设备驱动器120复查该状态指示。如果该状态指示不是专用的(即，该命令不是加密相关的并且已经完成)，则在步骤626将该状态转发至应用，然后在步骤628所述应用检查该状态指示以保证该命令已经执行，并然后向应用返回控制以发出另一命令(如果期望)。

如果该命令需要与EKM 116的加密相关的交换，则在步骤630，带驱动112将专用状态指示返回至设备驱动器120。(例如，在某些实施例中，带驱动112返回包括十六进制的值EF的状态指示，其表示厂商唯一的任意加密指示)。在步骤624，设备驱动器120复查状态指示。如果该状态指示是专用的(即，该命令是加密相关的)，则在步骤640设备驱动器120保留该命令用于以后的处理，并呼叫代理122。

在步骤642，代理122查询带驱动122以转发信息。然后在步骤644，驱动器112建立用于加密所必须的所有命令，并经由驱动器120向代理122发送这些命令。

然后在步骤646，代理122打开与EKM 116的连接，并向EKM 116发送所述命令。(在某些实施例中，驱动器112与EKM 116之间的连接可经由TCP/IP套接字，所述TCP/IP套接字或者已经存在或者通过代理122建立。)

然后在步骤650，EKM 116处理所述加密命令。接下来在步骤670，EKM向代理122发出流程状态指示。在步骤672，代理检测这个流程状态信息，并在步骤674确定是否存在错误。如果存在错误(表示在加密操作期间出现问题)，则在步骤626代理向主机应用转发这个状态指示。如果不存在错误，则代理122提取在步骤640保留的命令，并在步骤676向驱动器122发出这个命令。然后，在步骤614驱动器接收该命令，并继续处理该命令。因为加密操作已经完成，所以带驱动112应该确定在步骤616不需要加密相关交换，并且应通过步骤620处理该命令。

尽管参照本发明优选实施例具体显示和描述了本发明，但是本领域普通技术人员可以理解，在不脱离本发明的精神和范围的情况下在形式和细节上可以进行上述和其它改变。

本发明还适用于达到上述和其中固有的其它优点。尽管通过参照本发明的具体实施例描绘、描述和限定了本发明，但是这种引用不暗示对本发明的限制，并且不能推出这种限制。对于相关领域普通技术人员，本发明可以在形式和功能上进行相当大的改变、变化和等效。所描绘和描述的实施例仅是实例，并非本发明的全部范围。

例如，其它存储设备可使用类似的设备驱动器机制。此外，例如，可设想其它的带驱动架构。此外，例如，尽管将设备驱动器和代理阐述为单独模块，可以理解，设备驱动器和代理可包括在一个模块中。此外，例如，可以理解，可经由设备驱动器代理其它类型的补充模块的其它类型的操作。此外，例如，带驱动112和带盒114的功能可在统称为虚拟带库的软件中实现。虚拟带库软件可以与主机110通信，并模拟物理带库的功能，包括从带驱动的带介质读取和向其写入的功能。虚拟带库软件可驻留在与主机110耦合的单独计算机系统上。作为另一实例，带驱动112和带盒114可包括在带库中。

此外，例如，以上讨论的实施例包括执行某些任务的模块。这里讨论的模块可包括脚本、批处理、或其它可执行文件。模块可以在机器可读或计算机可读存储介质(例如硬盘)上存储。根据本发明实施例的用于存储模块的存储设备可以是磁带、磁软盘、硬盘、或光盘(例如CD-ROM或CD-R)。根据本发明实施例的用于存储固件或硬件模块的存储设备还可包括基于半导体的存储器，其可以永久地、可移动地或远程地耦合至微处理器/存储器系统。因此，模块可以存储在计算机系统存储器中，以配置计算机系统来执行模块的功能。可使用其它新型和各种类型计算机可读存储介质来存储这里讨论的模块。此外，本领域普通技术人员可以认识到将功能分到模块中是用于示意性目的。可选实施例可将多个模块的功能合并到一个模块中，或可对模块功能施加交替分解。例如，可对用于调用子模块的模块进行分解，从而每个子模块执行其功能并向另一子模块直接传递控制。

因此，本发明旨在仅受到所附权利要求的精神和范围的限制，在所有方面给出等同物的完全认识。