[发明专利]跨越数据中心对存储区域网加密密钥的分布

说明书

相关申请的交叉引用

本申请要求保护2008年4月2日递交的USSN：12/061,597的优先权和利益，出于所有目的，USSN：12/061,597通过引用而被全部结合于此。

技术领域

本公开涉及跨越数据中心对存储区域网(storage area network)加密密钥的分布。

背景技术

包括存储介质加密(SME)设备的各种存储区域网(SAN)设备使得能够对存储在磁盘和磁带上的数据进行加密。在很多实例中，每个磁盘逻辑单元号(LUN)或磁带盒(tape cartridge)使用唯一密钥对象(unique key object)进行数据加密和/或认证。

然而，用于跨越数据中心来分布加密密钥的机制是受限制的。因此，希望提供用于分布加密密钥以用来加密和/或认证存储区域网设备中的数据的改进方法和设备。

附图说明

通过结合附图来参考下面的描述，可最佳地理解本公开，附图示出了特定的示例性实施例。

图1示出存储区域网(SAN)的特定示例。

图2示出密钥管理中心项目的特定示例。

图3示出密钥和对象层次的特定示例。

图4示出在迁移期间的密钥管理中心项目修改的特定示例。

图5示出用于创建加密密钥的交换示图的特定示例。

图6A示出对象密钥管理的特定示例。

图6B示出主密钥管理的特定示例。

图6C示出密钥迁移的特定示例。

图7示出网络设备的特定示例。

具体实施方式

现在将详细地参考本发明的一些具体示例，这些具体示例包括了发明人考虑的用于实施本发明的最佳模式。这些具体实施例的示例在附图中示出。虽然结合这些具体实施例描述了本发明，但是将会理解，不希望将本发明限制到所描述的实施例。相反，希望覆盖可被包括在所附权利要求限定的本发明的精神和范围内的替换、修改和等同物。

例如，将在特定的密钥和存储区域网(SAN)的语境中描述本发明的技术。然而，应当注意，本发明的技术适用于各种加密机制、密钥和SAN。在下面的描述中，陈述了许多具体细节以提供对本发明的透彻理解。可以在没有一些或全部这些具体细节的情况下实现本发明的特定示例性实施例。在其他实例中，公知的处理操作未被详细描述，以便不会不必要地模糊本发明。

为了清晰，有时将会以单数形式来描述本发明的各种技术和机制。然而，应当注意，一些实施例包括技术的多次迭代或者机制的多次例示，除非作出不同表示。例如，在各种语境中，系统使用一个处理器。然而，将会认识到，在保持在本发明的范围内的同时，系统可使用多个处理器，除非作出不同表示。此外，本发明的技术和机制有时将会描述两个实体之间的连接。应当注意，两个实体之间的连接未必意味着直接的、不受阻碍的连接，因为各种其他实体可能位于这两个实体之间。例如，处理器可连接至存储器，但是将会认识到，各种桥接器和控制器可位于处理器和存储器之间。因此，连接未必意味着直接的、不受阻碍的连接，除非作出不同表示。

概要

提供了用于从一个数据中心向另一个数据中心传送与磁盘逻辑单元号和磁带盒相关联的密钥对象的高效机制。接收从源数据中心向目的地数据中心传送源数据中心密钥对象的请求。源数据中心密钥对象与存储区域网(SAN)中维护的、诸如磁盘逻辑单元号(LUN)或磁带盒之类的数据块相对应，并且包括唯一标识符、被加密的密钥、以及包装唯一标识符(wrapper unique identifier)。利用源数据中心密钥层次对被加密的密钥进行解密。从源数据中心向目的地数据中心发送密钥信息。利用目的地数据中心密钥层次来生成目的地数据中心密钥对象。

示例性实施例

各种系统使得能够对存储在磁盘和磁带上的数据进行加密。在一些传统系统中，连接至诸如磁盘阵列和磁带驱动器之类的存储设备的主机在向存储设备写数据之前以密码方式(cryptographically)处理数据。主机应用程序管理加密和认证处理。然而，为了高效地执行密码处理，每个主机都需要密码加速器(cryptographic accelerator)。向众多主机提供独立的密码加速器经常是不实际的。在一些其他传统系统中，存储设备自身管理密码处理。诸如磁带驱动器之类的存储设备会在向磁带写数据之前加密数据。磁带驱动器也会对从磁带盒读出的数据进行解密。然而，为了高效地执行密码处理，每个存储设备也会需要密码加速器。