[发明专利]通过设备驱动器与密钥管理器的通信来支持加密存储设备与加密未知的应用程序的互操作的装置和方法

说明书

技术领域

概括地说，本发明涉及带存储系统，更具体地，涉及将设备驱动器用 作在能够加密的带驱动和密钥管理器之间的代理。

背景技术

众所周知地，使用数据存储系统中的高密度、可移动介质存储库在网 络化计算机系统中提供大量存储。通常，这种数据存储系统用于后备或其 它二级存储目的，但是所述数据存储系统还可用作在适合于序列数据访问 等的环境中的主存储器。数据常常存储在介质盒上，例如磁带或光盘。已 知的介质盒能够存储大量数据。存储系统可包括多个旧式存储设备(即， 没有被特定设计为与更多当前数据存储系统工作的设备)。

对于能够加密的驱动器已知地，从应用带内地(例如经由光纤通道) 获得密钥或带外地(例如通过与库的接口(例如RS-422接口))获得密 钥。获得密钥的这些方式分别承认应用管理密钥和库管理密钥。

然而，与能够加密的带驱动相关的问题涉及何时向能够加密的带驱动 提供来自旧式应用(即，还没有被修改以提供密钥的应用)的数据。与能 够加密的带驱动相关的附加问题涉及何时将能够加密的带驱动设置于旧式 自动带库(即，还没有被修改以从应用的驱动器透明地获得密钥的带库) 中。在这些情形的任一个或两者中，能够加密的带驱动不能获得加密密钥。 这个问题还可能存在于其它环境中。例如，如果能够加密的带驱动处于电 桥箱中或安装在机架上(因此不是自动的)，或如果能够加密的带驱动处 于恶劣环境中(例如在除了带驱动的制造厂之外的制造厂仓库中)。还可 能，不会诱发恶劣环境以使得密钥能够传递至能够加密的带驱动。

在每个这样的情形下，期望提供一种能力，向能够加密的带驱动提供 密钥，从而可通过数据存储系统中执行的任意应用透明地执行加密。

发明内容

根据本发明，提供一种带系统，其具有能够加密的带驱动以及用于所 述能够加密的带驱动的能够加密的带驱动的设备驱动器。所述能够加密的 带驱动的设备驱动器用作将能够加密的带驱动与密钥管理器连接的代理， 以便于加密操作，例如密钥管理器向带驱动提供密钥。因此，能够加密的 带驱动的设备驱动器便于加密，而不依赖于主机是否能够支持或执行加密。 在本发明的一个方面中，当能够加密的设备驱动器向驱动器发送命令(例 如读或写命令)时，带驱动被配置为通过专用于密钥管理器(例如外部密 钥管理器(EKM))的消息响应。能够加密的设备驱动器识别出这是专用 于EKM 116的消息，并(例如经由互联网协议(IP)连接)将该消息转 发至EKM。然后，EKM通过发出新密钥(用于从带起始(BOT)写入的 新盒)或现有密钥(用于需要读取的盒)来响应该密钥请求。设备驱动器 连接能够加密的带驱动的所有EKM响应和能够加密的带驱动可以从中获 得其密钥的EKM。

这样，设备驱动器提供在能够加密的带驱动与能够加密的带驱动可以 从中获得其密钥的EKM之间的通信路径。一旦带驱动获得所有密钥，然 后驱动器代理向设备驱动器发出加密功能消息，所述设备驱动器然后继续 处理主机应用命令，并向主机应用传回这个信息。因此，应用数据开始在 驱动器和应用之间流动。(在写的情况下流向带驱动，在读的情况下从带 驱动流出)。对于普通命令，设备驱动器继续用作应用和设备驱动器之间 的通信路径。设备驱动器还检测专用于EKM的扩展命令，并单独提供这 种通信路径。因此，带系统具有带内通信路径(即，在设备驱动器和带驱 动之间的通信路径)和带外通信路径(即，在设备驱动器和EKM之间的 通信路径)。

因此，在一个实施例中，本发明涉及一种存储系统，包括：主机、耦 合至主机的存储设备、以及在主机上执行的设备驱动器。所述存储设备与 存储介质交互以存储信息以及从所述存储介质提取信息，并包括：加密模 块，能够对存储介质上存储的数据加密和解密。设备驱动器检查来自所述 存储设备的加密相关信息。所述加密相关信息是响应于由所述主机发出的 命令生成的。当加密相关信息存在时，所述设备驱动器便于加密，而不依 赖于所述主机是否能够加密。