[发明专利]用于检查加密密钥管理器运行状况的设备、系统和方法

说明书

技术领域

本发明涉及加密密钥管理器(EKM)，并且更特别地涉及检查EKM的运行状况。

背景技术

当将数据写到存储设备时，数据处理系统通常要对数据进行加密。例如，数据处理系统可以对写到磁带的数据进行加密。如果磁带后来落入恶意用户的手中，则加密的数据因受到保护而不会被恶意用户读取。

数据处理系统通常用加密密钥对数据进行加密。加密密钥可以是具有指定数目的数字的随机数。使用指定的算法将加密密钥应用于数据，可以对数据进行加密。可以通过使用加密密钥并逆向进行该指定算法来将数据解密成可识别的形式。

数据处理系统可以使用一个或多个EKM来提供用于对数据进行加密的加密密钥。多个EKM可以确保当需要时有可用的EKM来提供加密密钥。此外，EKM可以分布在整个数据处理系统中以减小接收加密密钥的时延。

只有当数据处理系统能建立与EKM的通信时，才能获得加密密钥以加密和保护数据。此外，每个EKM必须能够提供指定类型的加密密钥。如果数据处理系统不能与EKM通信和/或如果EKM不能提供指定类型的加密密钥，则数据可能会被不加保护地存储在存储设备上。

遗憾的是，对管理员来说没有一种方便的方式去检验能与EKM通信以及EKM能提供指定类型的加密密钥。因此，管理员可能不确定数据是否已被正确地保护。

发明内容

根据前述讨论，需要有一种检查EKM运行状况的设备、系统和方法。这种设备、系统和方法将有益地使得管理员可以方便地检查多个EKM的功能性。

本发明是针对现有技术而开发的，特别地，本发明是针对当前可用的EKM运行状况检查方法未能完全解决的本领域中的问题和需求而开发的。因此，本发明被开发为提供一种用于检查EKM运行状况的设备、系统和方法，其克服了以上讨论的本领域中的缺点中的很多或全部。

提供了一种检查EKM运行状况的设备，该设备具有配置为从功能上说执行以下步骤的多个模块：识别EKM，建立与EKM的通信，从EKM请求加密密钥，以及检验存在到EKM的有效加密密钥路径。在所描述的实施例中，这些模块包括识别模块，通信模块，请求模块和检验模块。该设备还可以包括报告模块。

识别模块从多个EKM中识别出一个EKM。通信模块建立与EKM的有效通信路径。请求模块从EKM请求加密密钥。请求模块还可以确认EKM能证明磁带驱动器的可靠性。

检验模块检验存在到EKM的有效加密密钥路径。在一个实施例中，检验模块确认EKM能与磁带驱动器交换加密密钥。

在一个实施例中，报告模块生成具有多个EKM中的每个EKM的状态的运行状况检查报告。该设备检查EKM的运行状况，确保EKM能与磁带驱动器通信并且能与磁带驱动器共享加密密钥。

还提出了一种本发明的系统，用于检查EKM的运行状况。该系统可以包含在数据处理系统中。特别地，在一个实施例中，该系统包括多个磁带驱动器，多个EKM，以及主机。

磁带驱动器配置为存储数据，该数据包括用加密密钥加密的数据。EKM配置为提供加密密钥。主机与磁带驱动器和EKM通信。此外，该主机包括识别模块、通信模块、请求模块、检验模块和报告模块。

识别模块从多个EKM中识别出每个EKM。通信模块建立与每个EKM的通信。请求模块从EKM请求加密密钥。检验模块检验存在到每个EKM的有效加密密钥路径。报告模块生成具有多个EKM中的每个EKM的状态的运行状况检查报告。该系统检查EKM能给磁带驱动器提供有效的加密密钥。

还提出了一种本发明的方法，用于检查EKM运行状况。在所公开的实施例中，该方法基本上包括实施以上针对所描述的设备和系统的操作而提出的功能的步骤。在一个实施例中，该方法包括识别EKM，建立与EKM的通信，从EKM请求加密密钥，以及检验存在到EKM的有效加密密钥路径。

识别模块从多个EKM中识别出一个EKM。通信模块建立与EKM的通信。请求模块从EKM请求加密密钥。检验模块检验存在到EKM的有效加密密钥路径。在一个实施例中，检验模块确认EKM能与磁带驱动器交换加密密钥。检查模块还可以确认EKM能证明磁带驱动器的可靠性。该方法确认EKM能提供用于数据存储的加密密钥。

在整个本说明书中对特征、优点的引用或类似的语言并不暗示着可以利用本发明来实现的所有特征和优点都应当在本发明的任意一个单独的实施例中。相反，应当将表示特征和优点的语言理解为意味着结合实施例而描述的特定特征、优点或特点是包括在本发明的至少一个实施例中的。因此，在整个本说明书中，对特征和优点的讨论以及类似的语言可以但并非一定表示同一实施例。