利用自加密驱动器加密盘驱动器上的数据的方法和系统技术方案

本发明专利技术提供了一种利用自加密驱动器加密盘驱动器上的数据的方法和系统。所述方法包括，对计算设备的数据组块进行加密。所述方法还包括，把已加密数据组块与计算设备的加密密钥索引相关联。此外，所述方法还包括，接收对应于数据组块的给定逻辑块地址的加密密钥索引。所述方法还包括，基于针对盘驱动器的数据组块的加密密钥索引确定将被用来对数据组块进行加密的加密密钥。

【技术实现步骤摘要】
利用自加密驱动器加密盘驱动器上的数据的方法和系统
本专利技术总体上涉及计算系统，更具体来说涉及利用自加密驱动器(SED)对存储设备上的数据进行多卷加密。
技术介绍
存储系统通常包括一个或多个存储设备，可以按照期望将数据输入其中并且可以从中获得数据。所述存储系统可以根据多种存储架构来实施，其中包括而不限于网络附属存储环境、存储区域网络以及直接附属于客户端或主机计算机的盘套件。存储系统通常是盘驱动器，其中术语“盘”通常描述整装式旋转磁性介质存储设备。存储系统内的盘通常被组织成一个或多个组，其中每一组被操作为一个独立盘冗余阵列(RAID)。此外，大多数RAID实现方式增强了数据存储的可靠性/完整性，这是通过在RAID组中的给定数目的物理盘上的数据“条带”的冗余写入以及关于分条数据的冗余信息的适当存储而实现的。所述冗余信息允许在存储系统不可操作或故障时恢复丢失的数据。此外，存储系统的盘或存储阵列是包含多个盘驱动器的盘存储系统。举例来说，通过使用附加的冗余组件(控制器、电力供应部件、风扇等等)，盘阵列提供了增强的可用性、弹性和可维护性，并且常常达到了从设计中消除所有单点故障(SPOF)的程度。此外，存储系统通常为计算系统提供数据的逻辑卷，其中每一个数据卷代表逻辑存储单元，但是实际上通常被实施在例如RAID的几个物理设备上。相反，存储系统的自加密盘(SED)驱动器支持对驱动器中的相对较小数目的邻接数据带进行加密。举例来说，SED允许驱动器的受保护硬件内的集成的加密和访问控制。自加密驱动器还为全盘加密提供了行业优选的解决方案，从而在机器或驱动器丢失或被盗时以及在改变用途(re-purposed)、保修和使用寿命结束时保护数据。
技术实现思路
在一个实施例中，提供一种用于利用自加密驱动器(SED)对盘驱动器的数据进行加密的方法。所述方法包括，通过一个或多个计算机处理器对计算设备的数据组块进行加密。所述方法还包括，通过一个或多个计算机处理器把已加密数据组块与设备的加密密钥索引相关联，其中所述加密密钥索引指定将要用于每一个组块的加密密钥。所述方法还包括，通过一个或多个计算机处理器接收对应于数据组块的给定逻辑块地址的加密密钥索引，其中数据组块被读取或写入到盘驱动器上的逻辑块地址。所述方法还包括，通过一个或多个计算机处理器，基于针对盘驱动器的数据组块的加密密钥索引来确定将被用来对数据组块进行加密的加密密钥。在另一个实施例中，提供一种用于利用自加密驱动器(SED)对盘驱动器上的数据进行加密的计算机系统。所述计算机系统包括一个或多个处理器、一个或多个计算机可读存储器、一个或多个计算机可读有形存储设备以及程序指令，所述程序指令被存储在所述一个或多个存储设备的至少其中之一上，以便由所述一个或多个处理器的至少其中之一经由所述一个或多个存储器的至少其中之一来执行。所述计算机系统还包括用以对计算设备上的数据组块进行加密的程序指令。所述计算机系统还包括用以把已加密数据组块与设备的加密密钥索引相关联的程序指令，其中所述加密密钥索引指定将要用于每一个组块的加密密钥。所述计算机系统还包括用以通过一个或多个计算机处理器接收对应于数据组块的给定逻辑块地址的加密密钥索引的程序指令，其中数据组块被读取或写入到盘驱动器上的逻辑块地址。所述计算机系统还包括用以基于针对盘驱动器的数据组块的加密密钥索引来确定将被用来对数据组块进行加密的加密密钥的程序指令。在另一个实施例中，提供一种用于利用自加密驱动器(SED)对盘驱动器上的数据进行加密的计算机程序产品。所述计算机程序产品包括一个或多个计算机可读有形存储设备以及存储在所述一个或多个存储设备的至少其中之一上的程序指令。所述计算机程序产品还包括用以对计算设备上的数据组块进行加密的程序指令。所述计算机程序产品还包括用以把已加密数据组块与设备的加密密钥索引相关联的程序指令，其中所述加密密钥索引指定将要用于每一个组块的加密密钥。所述计算机程序产品还包括用以通过一个或多个计算机处理器接收对应于数据组块的给定逻辑块地址的加密密钥索引的程序指令，其中数据组块被读取或写入到盘驱动器上的逻辑块地址。所述计算机程序产品还包括用以基于针对盘驱动器的数据组块的加密密钥索引来确定将被用来对数据组块进行加密的加密密钥的程序指令。附图说明在所附权利要求书中阐述了本专利技术的新颖特性。但是通过结合附图阅读后面对于本专利技术的详细描述，本专利技术本身以及其优选使用模式、其他的目的和优点将会得到最好的理解，其中相同的附图标记表示相同的组件，并且：图1A-1B是根据本专利技术的实施例的存储计算环境100的功能方块图，其用于利用自加密驱动器(SED)的灵活密钥管理对存储计算环境100的盘驱动器内的数据组块进行加密。图2是描绘出根据本专利技术的实施例的由存储计算环境的存储阵列控制器施行的各个步骤的流程图，其用于利用自加密驱动器(SED)的灵活密钥管理对存储计算环境100的盘驱动器内的数据组块进行加密。图3A-3D是描绘出根据本专利技术的实施例的由存储阵列控制器施行来处理用于写入存储计算环境的已加密数据的SED操作的各个步骤的流程图。图4示出了根据本专利技术的实施例的计算机系统的各个组件的方块图。具体实施方式现在将参照附图来详细描述本专利技术。现在参照图1，其中示出了存储计算环境100，其用于利用灵活的密钥管理对存储计算环境100的盘驱动器内的数据组块进行加密，所述灵活密钥管理支持利用不同的加密密钥来对不同的数据块组块进行加密，其中所述密钥并不离开驱动器。每一个密钥可以保护存储计算环境100的任意位置处的数据组块。受到给定密钥保护的数据不一定必须是连续的，所述数据的所有区段也不需要是相同的。举例来说，盘驱动器上的不同数据组块可能在安全性要求方面有所不同。一个组块可能没有限制，另一个组块可能与一个用户/应用相关联，第三个组块则与不同的应用相关联。通过在外部对加密密钥进行管理允许对于利用哪一密钥加密什么数据的高度控制，但是将密钥本身存储在外部则有安全风险。另一方面，自加密盘(SED)通过确保密钥不会离开驱动器而提供了安全的密钥使用，但是在将密钥映射到数据的方式方面不够灵活。本专利技术特别提供了存储计算环境的SED之外的各个间接层级，其中包括与密钥索引相关联的每一个数据组块。与不同密钥索引相关联的数据被利用不同密钥加密，正如后面更加详细地描述的那样。SED接收被编码为将要读取或写入的数据的逻辑块地址(LBA)的一部分的密钥索引，并且使用密钥索引来取回内部加密密钥。举例来说，考虑将利用SED的加密被写入在存储计算环境100的存储控制器的0x100-0x200块处的卷A的数据。此外例如还考虑到对应于卷A的密钥索引是0x53。存储控制器将把0x53组合到0x100的LBA，从而得到0x00530000100，并且利用相关的数据向该LBA发送写入命令。SED从内部取回与密钥索引0x53相关联的密钥，并且利用该密钥对实际被写入到存储介质的数据进行加密。在另一个实例中，考虑到将从0x4000-0x4010块读取存储计算环境100的卷B的数据，并且对应于卷B的密钥索引是0x42。存储控制器将把0x42组合到0x4000的LBA，从而例如得到0x00420004000，并且向该LBA发送读取命令。SED将从内本文档来自技高网...

【技术保护点】
一种用于利用自加密驱动器(SED)对盘驱动器上的数据进行加密的方法，所述方法包括以下步骤：通过一个或多个计算机处理器对计算设备的数据组块进行加密；通过所述一个或多个计算机处理器把已加密数据组块与计算设备的加密密钥索引相关联，其中所述加密密钥索引指定将要用于每一个组块的加密密钥；通过所述一个或多个计算机处理器接收对应于数据组块的给定逻辑块地址的加密密钥索引，其中数据组块被读取或写入到盘驱动器上的逻辑块地址；以及通过所述一个或多个计算机处理器，基于针对盘驱动器的数据组块的加密密钥索引来确定将被用来对数据组块进行加密的加密密钥。

【技术特征摘要】
2013.06.28 US 13/930,7291.一种用于利用自加密驱动器(SED)对盘驱动器上的数据进行加密的方法，所述方法包括以下步骤：通过一个或多个计算机处理器对计算设备的数据组块进行加密；通过所述一个或多个计算机处理器把已加密数据组块与计算设备的加密密钥索引相关联，其中所述加密密钥索引指定要用于每一个组块的加密密钥，以及其中所述加密密钥被保持在所述自加密驱动器中并且不离开所述自加密驱动器；通过所述一个或多个计算机处理器接收对应于数据组块的给定逻辑块地址的加密密钥索引，其中数据组块被读取或写入到盘驱动器上的逻辑块地址；以及通过所述一个或多个计算机处理器，基于针对盘驱动器的数据组块的加密密钥索引来确定被用来对数据组块进行加密的加密密钥。2.如权利要求1所述的方法，其中，所述加密密钥索引为计算设备的数据组块提供安全性，并且其中由加密密钥索引保护的数据组块不需要是邻接的，所有组块也不需要具有相同的尺寸。3.如权利要求1所述的方法，其中，通过一个或多个计算机处理器接收对应于数据组块的逻辑块地址的加密密钥索引，其中数据组块的逻辑块地址被读取或写入到盘驱动器，的步骤还包括以下步骤：通过所述一个或多个计算机处理器访问盘驱动器的给定卷和逻辑块地址的逻辑地址范围上的数据组块。4.如权利要求3所述的方法，其中，所述卷是盘驱动器的存储元件，并且其中所述卷的存储元件是能够向/从盘驱动器进行写入/读取的盘驱动器的可用存储容量。5.如权利要求4所述的方法，其中，所述卷被存储在一个或多个盘驱动器上，并且其中所述一个或多个盘驱动器能够包含属于多于一个卷的数据。6.如权利要求1所述的方法，其还包括以下步骤：通过所述一个或多个计算机处理器接收所述逻辑块地址和加密密钥索引以作为盘驱动器的输入；以及通过所述一个或多个计算机处理器将所接收到的逻辑块地址和已加密密钥索引组合成经过修改的逻辑块地址，其中所述经过修改的逻辑块地址被盘驱动器接受。7.如权利要求1所述的方法，其中，所述盘驱动器是自加密驱动器，其对保持在所述自加密驱动器内部的加密密钥和所述加密密钥索引进行映射，并且其中所述自加密驱动器利用内部密码密钥对写入到其中的数据进行加密并且对从其读取的已加密数据进行解密。8.一种用于利用自加密驱动器(SED)对盘驱动器上的数据进行加密的计算机系统，所述计算机系统包括：一个或多个处理器...

【专利技术属性】
技术研发人员：R·S·夏皮欧，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：美国;US