CN101141461B - 用于使用密钥服务器进行密钥生成和取回的方法和系统 - Google Patents
用于使用密钥服务器进行密钥生成和取回的方法和系统 Download PDFInfo
- Publication number
- CN101141461B CN101141461B CN2007101465576A CN200710146557A CN101141461B CN 101141461 B CN101141461 B CN 101141461B CN 2007101465576 A CN2007101465576 A CN 2007101465576A CN 200710146557 A CN200710146557 A CN 200710146557A CN 101141461 B CN101141461 B CN 101141461B
- Authority
- CN
- China
- Prior art keywords
- key
- server
- request
- key server
- data storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
Abstract
提供了用于密钥生成和取回的技术。存储两个或者更多个密钥服务器的唯一标识符,其中每个密钥服务器能够生成用于数据加密的密钥并且能够返回用于数据解密的密钥。接收密钥请求。识别用于选择所述密钥服务器之一的技术,其中所述密钥请求将转发到选择的密钥服务器。使用所述识别的技术选择所述密钥服务器之一。将所述密钥请求发送到所述选择的密钥服务器。
Description
技术领域
本发明的实施方式涉及使用密钥服务器的密钥生成和取回。
背景技术
已知自动数据存储库(例如,包括磁带驱动器的磁带库)用于提供大量数据的成本有效的存储和取回。自动数据存储库中的数据存储在数据存储介质(例如,磁带盒)上,而数据存储介质又以提供(render)数据存储介质和其驻留数据的方式存储在库内部的存储槽(或者存储架等)中,其中它们对于物理取回是可访问的。存取器可以用来在存储槽和数据存储驱动器(例如,磁带驱动器)之间移动数据存储介质(例如,磁带盒)。这种数据存储介质通常称为“可移除介质”。数据存储介质可以包括可以存储数据并且可以用作可移除介质的任意类型的介质,包括但不限于磁介质(诸如磁带或者盘)、光介质(诸如光带或者盘)、电子介质(诸如PROM、EEPROM、快闪PROM、Compactflash TM、Smartmedia TM、MemoryStick TM等)、或者其它适合的介质。通常,在自动数据存储库中存储的数据驻留在数据存储介质中,其中该数据存储介质包含在盒内并且被称为数据存储介质盒。磁带盒是广泛使用在用于大量数据存储的自动数据存储库中的数据存储介质盒的一个例子。
有时候,由支持加密的数据存储驱动器对该驱动器写入到数据存储介质中的数据进行加密,而有时候,需要对从数据存储介质中读取的加密数据进行解密。加密可以被描述为使用加密密钥将数据转换成一种称作密文的形式,其中没有解密密钥的话,数据不能轻易转换回到原始数据。解密可以被描述为使用解密密钥将加密的数据转换回到其原始形式的过程。尽管当前存在用于存储和取回加密的数据的技术,但在现有技术中还存在对于使用密钥服务器进行密钥生成和取回的需要。
发明内容
提供了一种用于生成和取回的方法、计算机程序产品和系统。存储两个或更多个密钥服务器的唯一标识符,其中每个密钥服务器能够生成用于数据加密的密钥、并能够返回用于数据解密的密钥。接收密钥请求。识别用于选择所述密钥服务器中的一个密钥服务器的技术,其中所述密钥请求将要转发到该密钥服务器。使用识别的技术选择密钥服务器之一。将密钥请求发送到识别的密钥服务器。
附图说明
现在参考附图,其中贯穿全文,相同的参考数字表示相应的部分:
图1A示出了根据某些实施方式的计算架构的细节;
图1B示出了根据某些可替换实施方式的计算架构的细节;
图2示出了根据某些实施方式的由密钥服务器选择器所执行来取回密钥数据的逻辑;
图3示出了根据某些实施方式的用以选择密钥服务器的技术的例子;
图4示出了根据某些实施方式的关于对数据存储介质的第一写入的处理流程;
图5示出了根据某些实施方式的关于对数据存储介质的读取和添加的处理流程;
图6示出了根据某些实施方式的关于针对数据存储介质的密钥转换的处理流程;以及
图7示出了根据某些实施方式可以使用的系统架构。
具体实施方式
在下文的说明中,将参考附图,其中附图形成了说明的一部分并示出了本发明的若干实施方式。应该理解,可以利用其它实施方式,并且可以在结构上和操作上进行变化而并不背离本发明的范围。
图1示出了根据某些实施方式的计算架构的细节。自动数据存储库100包括库控制器110、数据存储驱动器120a...120n(例如,磁带驱动器)、以及插入所述数据存储驱动器120a...120n中的介质,诸如数据存储介质124a...124n。每个数据存储驱动器120a...120n装载有数据存储介质124a...124n(例如,磁带盒)。数据存储驱动器120a...120n使得能够从数据存储介质124a...124n(例如,磁带盒)读取信息以及向数据存储介质124a...124n写入信息。应该理解,在图示中,参考数字(例如,124a...124n)之后的省略号和后缀“a”和“n”的使用表示可以使用比所示出元件更多或者更少的元件而并不背离实施方式的范围。另外,数据存储驱动器是支持加密的数据存储驱动器(例如,它们能够加密在数据存储介质124a...124n上存储的数据,并且能够解密从数据存储介质124a...124n所读取的加密的数据)。在某些实施方式中,数据存储驱动器120a...120n是移动磁带盒并且使得能够从所述磁带盒中读取信息以及向所述磁带盒写入信息的磁带驱动器。数据存储驱动器120a...120n可以分组成为一个或者多个数据存储驱动器池。例如,数据存储驱动器120a...120n是数据存储驱动器池122的一部分。作为另一例子,数据存储驱动器池可以是磁带驱动器池(例如,每个数据存储驱动器池是包括在自动数据存储库100中的磁带驱动器的子集)。
一个或者多个数据存储驱动器120a...120n可以与一个或者多个代理服务器140a...140n相关联。代理服务器140a...140n可以被描述为这样的服务器,其接收旨在于针对另一计算设备(例如,另一服务器或者装置)的请求、并且代表请求者(作为请求者的代理)来获取所请求的服务。在此情况下,代理服务器140a...140n可以用作针对数据存储驱动器120a...120n和/或数据存储驱动器池的代理。每个代理服务器140a...140n包括密钥服务器选择器142a...142n,并存储(或者编程有)密钥服务器160a...160n的唯一标识符(例如,因特网协议(IP)地址)144a...144n。在某些实施方式中,每个代理服务器140a...140n包括每个密钥服务器160a...160n的IP地址。在可替换实施方式中,每个代理服务器140a...140n包括所有密钥服务器160a...160n的IP地址的特定子集。IP地址可以被描述为对连接到网络的每个计算设备所指定的唯一标识符,其中计算设备使用唯一标识符,以便根据因特网协议(IP)标准在计算机网络上相互识别和通信。代理服务器140a...140n还可以被描述为一种管道(conduit),其还用作协议转换器并添加其它功能性(例如,因特网协议(IP)路由)。由此,在密钥服务器160a...160n和数据存储驱动器120a...120n之间可以存在代理服务器(或者不存在),并且如果存在,则代理服务器140a...140n用作一种类型的接口(例如,光纤通道(FC)或者RS-422)和另一种类型接口(例如,IP)之间的桥接器。
每个代理服务器142a...142n连接到一个或者多个密钥服务器160a...160n。每个密钥服务器160a...160n包括密钥管理器162a...162n以及密钥数据164a...164n。
密钥管理器162a...162n在生成、保护、存储以及维护加密密钥中辅助支持加密的数据存储驱动器120a...120n(例如,磁带驱动器),其中所述加密密钥用于加密写入数据存储介质124a...124n(例如,磁带盒)中的信息以及解密从数据存储介质124a...124n中读取的信息。密钥管理器162a...162n能够服务许多数据存储驱动器120a...120n,而无论那些数据存储驱动器120a...120n驻留在何处(例如,在自动数据存储库100中,通过各种类型的通道连接而连接到主框架系统,或者安装在其它计算系统中)。
密钥管理器162a...162n处理密钥生成或者密钥取回请求。具体地,当数据存储驱动器120a...120n将要写入加密的数据时,数据存储驱动器120a...120n首先向密钥服务器160a...160n请求加密密钥。一旦在密钥服务器160a...160n处接收到请求,则密钥管理器162a...162n生成加密密钥(例如,高级加密标准(AES)密钥)并且以以下两种受保护的形式来向数据存储驱动器120a...120n供应生成的加密密钥:
1.作为受保护的密钥,其被加密或者包装(例如,使用Rivest-Shamir-Adleman(RSA)密钥对)。数据存储驱动器120a...120n将一个或者多个受保护的密钥写入数据存储介质124a...124n内部的一个或者多个非易失性区域。在某些实施方式中,非易失性区域是数据存储前导区(即,在存储用户数据的区域之前,数据存储介质124a...124n的前部)。在某些实施方式中,受保护的密钥还可以被称作外部加密的数据密钥(EEDK)。
2.作为分开的加密的密钥,用于安全传送到数据存储驱动器120a...120n并且仅被数据存储驱动器120a...120n可读,其中在存储驱动器120a...120n处,该加密的密钥在到达时被解密,并且用以加密写入数据存储介质124a...124n的数据。一旦数据存储驱动器120a...120n利用该密钥对数据进行加密、并且受指示而卸载此数据存储介质124a...124n,则此密钥不能被数据存储器120a...120n所访问、使用,或者不能从数据存储驱动器120a...120n取回。
当将要读取加密的数据存储介质124a...124n时,数据存储驱动器120a...120n将从数据存储介质读取的受保护的密钥发送到密钥管理器162a...162n,并伴随着用以取回读取数据存储介质124a...124n所需的密钥的请求。密钥管理器162a...162n解开(解密)被包装的(受保护)密钥以访问秘密密钥,并且然后利用另一个密钥重新包装(加密)该秘密密钥,用以安全地传送回到数据存储驱动器120a...120n(仅由数据存储驱动器120a...120n可读),在数据存储驱动器120a...120n处,解开重新包装的密钥以访问秘密密钥,该秘密密钥用于解密在数据存储介质124a...124n上存储的数据。密钥管理器162a...162n允许使用不同于已使用的原始密钥的密钥(例如,不同的RSA密钥)来重新加密受保护的密钥。密钥数据164a...164n可以分别被描述为密钥的密钥存储,用以创建(加密)或者解开(解密)受保护密钥。另外,密钥数据164可以被描述为包括版本信息、在解释密钥数据中使用的适当密钥的标识符、以及加密的加密密钥(其也称作受保护的密钥)。
图1B示出了根据某些可替换实施方式的计算架构的细节。在图1B中,每个数据存储驱动器120a...120n包括密钥服务器选择器142a...142n。另外,在图1B中,每个数据存储驱动器120a...120n存储(或者编程有)或者能够访问密钥服务器160a...160n的唯一标识符(例如,因特网(IP)地址)144a...144n。唯一标识符144a...144n由虚线方框示出以表示它们可选地存储在数据存储驱动器120a...120n中。在某些实施方式中,每个数据存储驱动器120a...120n包括每个密钥服务器160a...160n的IP地址。在可替换实施方式中,每个数据存储驱动器120a...120n包括所有密钥服务器160a...160n的IP地址的特定子集。
在图1B中,每个数据存储驱动器120a...120n连接到一个或者多个密钥服务器160a...160n。每个密钥服务器160a...160n包括密钥管理器162a...162n和密钥数据164a...164n。在图1B中,尽管在自动数据存储库100中的数据存储驱动器120a...120n示出为直接连接到一个或者多个密钥服务器160a...160n,但数据存储驱动器120a...120n可以与连接到一个或者多个密钥服务器160a...160n的代理服务器(未示出)连接。在使用代理服务器的实施方式中,代理服务器可以用作针对数据存储驱动器120a...120n和/或数据存储器驱动器池122的代理。
由此,根据实施方式,自动数据存储库100中的数据存储驱动器120a...120n可以具有库代理(即,耦合到自动数据存储库100的代理),可以连接到代理服务器或者可以能够用作代理。作为例子,数据存储驱动器120a...120n可以尝试使用库代理来访问密钥服务器160a...160n,但是该库代理不能到达其具有(例如,由于以太网连接的硬件故障)的任意IP地址,则数据存储驱动器120a...120n可以通过另一代理服务器来重试对密钥服务器160a...160n的访问。
在某些实施方式中,唯一标识符144a...144n可以存在于代理服务器140a...140n中,其在代理服务器140a...140n中具有协议转换的功能。然而,在其中对数据存储驱动器120a...120n存在本地以太网连接的实施方式中,则数据存储驱动器120a...120n具有唯一标识符144a...144n,并且能够通过唯一标识符144a...144n(例如,其可以是位于数据存储驱动器120a...120n处的列表形式,或者由数据存储驱动器120a...120n可访问的列表形式(例如,可以是在自动数据存储库100处保持的列表))来工作。在这种实施方式中,在数据存储驱动器120a...120n和密钥服务器160a...160n之间的任意设备可以是集线器、交换机或者路由器。
实施方式使得代理服务器140a...140n能够包括密钥服务器选择器142a...142n和唯一标识符144a...144n,在这种情况下,代理服务器140a...140n能够尝试访问多个密钥服务器160a...160n,直到一个是可用的。另外,实施方式使得数据存储驱动器120a...120n能够包括密钥服务器选择器142a...142n,以及存储唯一标识符144a...144n或者能够访问外部可用(例如,从中央配置文件或者从自动数据存储库100)的唯一标识符144a...144n,在这种情况下,数据存储驱动器120a...120n能够尝试访问多个密钥服务器160a...160n,直到一个是可用的。。
可以提供具有密钥管理器162a...162n的多个密钥服务器160a...160n,以实现高的可用性(例如,如果一个密钥服务器160a...160n不可用,则数据存储驱动器120a...120n可以使用另一密钥服务器)。
在某些实施方式中,实现了直接密钥模型。利用直接密钥模型,写入数据的应用以包装的或者直接(仅仅密钥)的方式来向数据存储驱动器120a...120n提供密钥。在图1中没有示出应用,但是该应用可以连接到一个或者多个数据存储驱动器120a...120n。
图2示出了根据某些实施方式的由密钥服务器选择器142a...142n执行来取回密钥数据164a...164n的逻辑。如参考图1A和图1B所述的,密钥服务器选择器142a...142n可以位于代理服务器140a...140n处、或者位于数据存储驱动器120a...120n处。控制在块200处由密钥服务器选择器142a...142n接收请求(例如,在代理服务器140a...140n处的来自数据存储驱动器120a...120n的密钥请求,或者来自数据存储驱动器120a...120n的用以选择密钥服务器160a...160n的请求)开始。密钥请求可以是对密钥管理器162a...162n的针对用以加密数据的密钥的请求,或者可以是对密钥管理器162a...162n的解密受保护密钥的请求,该受保护密钥用于由数据存储驱动器120a...120n解密数据存储介质124a...124n上的数据。
在块202中,密钥服务器选择器142a...142n识别一种技术,其中将使用该技术来选择密钥请求将要转发到密钥服务器160a...160n的哪个。在某些实施方式中,所述将使用的技术可以是“软编码的”,原因在于使用经由本发明实施方式所提供的图形用户接口(GUI)输入的模式选择设置来选择(例如,通过系统管理员或者其它用户)该技术。在其它实施方式中,所述将使用的技术可以是“硬编码的”(例如,经由重要产品数据(VPD)设置,这可以被描述为非易失性设备配置设置)。在另外的其它实施方式中,可以按照不同的方式选择所述将使用的技术。例如,某些实施方式可以按照轮询的方式(针对每个访问的技术切换)来选出每种技术。某些实施方式可以继续使用最近使用的功能技术,而仅仅在出现故障时选择另外的技术,然而,某些实施方式可以时常切换技术并且测量性能特征以由最优路径(最高性能(即,负载平衡的形式))开始。某些实施方式可以从列表(以便工作在密钥管理器162a...162n之中展开)中或者基于时间表(例如,在白天使用某些技术而在夜晚使用其它技术,或者在一天24小时的特定时间段中使用特定技术)执行随机选择。
图3示出了根据某些实施方式的用以选择密钥服务器160a...160n的技术300的例子。另外,存储密钥服务器160a...160n的多个唯一标识符(例如,IP地址)144a...144n。如参考图1A和图1B所述的,唯一标识符(例如,IP地址)144a...144n可以位于代理服务器140a...140n处或者位于数据存储驱动器120a...120n处。在某些实施方式中,不同类型的代理服务器140a...140n或者不同的数据存储驱动器120a...120n可以具有不同数目的IP地址。作为例子,一种类型的代理服务器140a...140n可以支持两个IP地址,而另一代理服务器140a...140n可以支持多达八个不同的IP地址。类似地,一个数据存储驱动器120a...120n可以具有五个IP地址的列表,而另一数据存储驱动器120a...120n可以具有七个IP地址的列表。
根据技术302,密钥服务器选择器142a...142n使用密钥服务器160a...160n的IP地址的顺序来选择密钥服务器160a...160n。即,密钥服务器选择器142a...142n根据IP地址的数字顺序,在一个密钥服务器160a...160n之后尝试另一密钥服务器160a...160n。在某些实施方式中,密钥服务器选择器142a...142n将一个密钥服务器160a...160n识别为首先尝试的主要密钥服务器,并接着尝试其余的密钥服务器160a...160n。
根据技术304,密钥服务器选择器142a...142n使用连接信息来选择密钥服务器160a...160n。利用这种技术,可以存储关于到密钥服务器160a...160n的哪个连接先前成功的诊断,并可以优化连接的顺序。例如,可以首先尝试密钥服务器选择器142a...142n最后一次成功连接到的密钥服务器160a...160n,同时可以最后尝试最后一次连接失败的密钥服务器160a...160n。
根据技术306,密钥服务器选择器142a...142n根据本地IP地址和远程IP地址来选择密钥服务器160a...160n,使得在远程IP地址之前选择本地IP地址。
根据技术308,密钥服务器选择器142a...142n根据密钥服务器160a...160n之间的负载平衡来选择密钥服务器160a...160n。即,密钥服务器选择器142a...142n执行自动负载平衡,诸如至少一次或者周期性地选择每个密钥服务器160a...160n的某个技术。可替换地,密钥服务器选择器142a...142n通过维持针对响应时间测量结果的统计来执行自动负载平衡,使得密钥服务器选择器142a...142n与提供最短响应时间的密钥服务器160a...160n连接,以及使得如果该密钥服务器160a...160n变慢(例如由于负载),则密钥服务器选择器142a...142n将改为连接到对密钥请求提供较快处理的密钥服务器160a...160n。
在某些实施方式中,至少存在两个主要(或者优选)IP地址(例如,它们可以对应于本地密钥服务器160a...160n)。在某些实施方式中,至少存在两个次要(或者备选)IP地址(例如,它们可以对应于远程密钥服务器160a...160n)。由此,在尝试任意次要IP地址之前,某些实施方式可以使数据存储驱动器120a...120n总是尝试所提供的所有主要IP地址。在某些实施方式中,在集合(例如,主要IP地址)内,按照列出IP地址(例如,在配置文件中)的顺序,尝试IP地址。在某些实施方式中,可以首先尝试所发现的最近工作的第一个密钥服务器(例如,这可以是作为两个主要IP地址的第二个IP地址列出的密钥服务器160a...160n)。某些实施方式提供某种机制,其中数据存储驱动器120a...120n周期性地尝试该集合的其它IP地址(例如,两个主要IP地址的第一个IP地址)。某些实施方式提供这样的机制,其中选择两个IP地址中较好执行的那一个。
另外,可以使用参考图3作为例子所提供的那些技术以外的其它技术,而并不背离本申请的范围。
返回图2,在块204中,密钥服务器选择器142a...142n选择密钥服务器160a...160n用于处理密钥请求,从第一密钥服务器160a...160n开始。密钥服务器160a...160n生成用于数据加密的密钥,并且返回用于数据解密的密钥。
在块206中,密钥服务器选择器142a...142n确定所选择的密钥服务器160a...160n是否不可用(即,不能处理密钥请求)并且是否已经选择了所有密钥服务器160a...160n。如果是,则处理继续到块208,否则处理继续到块210。在块208中,密钥服务器选择器142a...142n向数据存储驱动器120a...120n返回错误消息。
在块210中,密钥服务器选择器142a...142n确定所选择的密钥服务器160a...160n是否可用。如果是,则处理继续到块212,否则处理继续到块204以选择另一密钥服务器160a...160n。
当所选择的密钥服务器160a...160n可用(即,能够处理密钥请求)时,到达块212。在块212中,密钥服务器选择器142a...142n将密钥请求转发到所选择的并且可用的密钥服务器160a...160n。在块214中,由密钥服务器选择器142a...142n来从所选择的且可用的密钥服务器160a...160n的密钥管理器162a...162n接收对于密钥请求的响应。在其中密钥服务器选择器142a...142n位于代理服务器140a...140n中的实施方式中,代理服务器140a...140n接收响应并且把响应返回到数据存储驱动器120a...120n。
使用外部密钥的自动数据存储库加密方案期望密钥服务器的高可用性。即,即使当给定密钥服务器或者对该密钥服务器的连接路径出现故障时,对密钥和其它数据的访问也应该可用。实施方式提供了密钥服务器的这种高可用性。
实施方式还适用于静态数据的加密,其包括通过代理或者通过直接连接而从加密设备到密钥服务器的连接。加密设备可以被描述为一种数据存储设备,其支持对存储到该数据存储设备的数据的板上(onboard)加密,或者加密设备可以被描述为一种支持加密的设备。
图4示出了根据某些实施方式的关于对数据存储介质的第一写入的处理流程。在图4中,数据存储驱动器400向密钥服务器410发送请求加密密钥的密钥请求。密钥服务器410利用由数据存储驱动器400可读的加密密钥和由密钥服务器410可读的加密密钥来提供响应。
图5示出了根据某些实施方式的关于对数据存储介质进行读取或者添加的处理流程。数据存储驱动器500向密钥服务器510发送密钥请求。密钥请求请求加密密钥并提供由密钥服务器510可读的加密密钥。密钥服务器510利用由数据存储驱动器500可读的加密密钥来提供响应。
图6示出了根据某些实施方式的针对数据存储介质的密钥转换的处理流程。数据存储驱动器600向密钥服务器610发送密钥请求。密钥请求请求改变加密密钥并且提供由密钥服务器610可读的加密密钥。密钥服务器610利用由密钥服务器610可读的加密密钥来提供响应。
附加实施方式的细节
使用制作软件、固件、硬件或者它们的任意结合的标准编程和/或工程技术,所描述的操作可以实现为一种方法、计算机程序产品或者装置。
每个实施方式可以采取完全硬件实施方式、完全软件实施方式或者包括硬件和软件元素两者的实施方式的形式。实施方式可以以软件来实现,其包括但不限于固件、驻留软件、微代码等。
此外,实施方式可以采用计算机程序产品的形式,可以从提供程序代码的计算机可用或计算机可读介质来访问该计算机程序产品,其中该程序代码由计算机或任何指令执行系统使用或结合它们来使用。为了本说明目的,计算机可用或计算机可读介质可以是任何能够包含、存储、通信、传播或传送程序的装置,该程序由指令执行系统、装置或设备使用或结合它们来使用。
所描述的操作可以实现为在计算机可用或者计算机可读介质中维护的代码,其中处理器可以读取和执行来自计算机可读介质的代码。该介质可以是电子、磁性、光学、电磁、红外或半导体系统(或装置或设备)或传播介质。计算机可读介质的例子包括半导体或固态存储器、磁带、可移除计算机盘、硬磁盘、光盘、磁性存储介质(例如硬盘驱动器、软盘、磁带等)、易失性和非易失性存储设备(例如随机存取存储器(RAM)、DRAM、SRAM、只读存储器(ROM)、PROM、EEPROM、闪存、固件、可编程逻辑等)。光盘的当前例子包括致密盘-只读存储器(CD-ROM)、致密盘-读/写存储器(CD-R/W)和DVD。
实现所描述的操作的代码可以进一步以硬件逻辑(例如,集成电路芯片、可编程门阵列(PGA)、专用集成电路(ASIC)等)来实现。另外,实现所描述的操作的代码可以以“传输信号”来实现,其中传输信号可以通过空间或者通过诸如光纤、铜线等的传输介质传播。其中编码代码或者逻辑的传输信号可以进一步包括无线信号、卫星传输、无线电波、红外信号、蓝牙等。在其中将代码或者逻辑进行编码的传输信号能够由发射站所发射并且由接收站所接收,其中在传输信号中编码的代码或者逻辑可以被解码并保存在接收和发射站或设备处的硬件或计算机可读介质中。
计算机程序产品可以包括其中可以实现代码的计算机可用的或者计算机可读的介质、硬件逻辑和/或传输信号。当然,本领域技术人员将认识到,可以对此配置进行许多修改而并不背离实施方式的范围,以及计算机程序产品可以包括现有技术中已知的任何适用的信息承载介质。
作为例子,术语逻辑可以包括软件、硬件、固件和/或软件和硬件的结合。
某些实现可以针对一种方法,用于由人工或者将计算机可读代码集成到计算系统中的自动处理来部署计算基础设施,其中与计算系统结合的代码能够实现所描述的实现的操作。
图2的逻辑描述了以特定顺序发生的具体操作。在可替换实施方式中,可以以不同的顺序(经过修改或者删除的顺序)来实现逻辑操作中的某一些。此外,操作可以添加到上述逻辑中,并且仍然符合所描述的实施方式。此外,在此所描述的操作可以顺序发生,或者某些操作可以并行处理,或者由单个过程执行的所描述的操作可以由分布式过程来执行。
图2所示的逻辑可以以软件、硬件、可编程和非可编程门阵列逻辑、或者硬件、软件或者门阵列逻辑的结合来实现。
图7示出了根据某些实施方式所使用的系统架构700。自动数据存储库100、一个或者多个代理服务器140a...140n和/或一个或者多个密钥服务器160a...160n可以实现系统架构700。系统架构700适用于存储和/或执行程序代码,并且包括至少一个直接耦合或者通过系统总线720间接耦合到存储器元件704的处理器702。存储器元件704可以包括在程序代码的实际执行期间所使用的本地存储器、大容量存储器、以及高速缓冲存储器,其中所述高速缓冲存储器对至少某些程序代码提供临时存储,以便降低在执行期间必须从大容量存储器取回代码的次数。存储器元件704包括操作系统705以及一个或者多个计算机程序706。
输入/输出(I/O)设备712、714(包括但不限于键盘、显示器、指示设备等)可以直接或者通过中间的I/O控制器710耦合到系统。
网络适配器708还可以耦合到系统,以使得数据处理系统能够通过中间的专用或者公用网而变得耦合到其它数据处理系统或者远程打印机或者存储设备。调制解调器、线缆调制解调器以及以太网卡只是当前可用类型的网络适配器708中的一些。
系统架构700还可以耦合到存储器716(例如,非易失性存储区域,诸如磁盘驱动器、光盘驱动器、磁带驱动器等)。存储器716可以包括内部存储设备或者附加的或网络可访问的存储器。存储器716中的计算机程序706可以以现有技术中已知的方式装载到存储器元件704之中并且由处理器702所执行。
系统架构700还可以包括比所示出更少的部件、在此没有示出的附加部件、或者所示出的部件和附加部件的某些结合。系统架构700可以包括现有技术中已知的任何计算设备,诸如主框架、服务器、个人计算机、工作站、膝上电脑、手持计算机、电话设备、装置、虚拟化设备、存储控制器等。
为了图示和说明的目的已经呈现了本发明实施方式的上述说明。其并非旨在穷尽性的或者将实施方式局限于所公开的精确形式。在上述教导的启示下,可以进行各种修改和变化。意图在于,实施方式的范围并非由详细说明所限制,而是由所附的权利要求限定。上述说明书、例子和数据提供了实施方式组合的制造和使用的完整说明。由于在没有背离本实施方式的精神和范围的情况下可以做出许多实施方式,所以这些实施方式属于此后所附的权利要求或者任何随后提交的权利要求及其等效物。
Claims (29)
1.一种用于密钥生成和取回的计算机实现的方法,包括:
存储两个或者更多个密钥服务器的唯一标识符,其中每个密钥服务器能够生成用于数据加密的密钥并且能够返回用于数据解密的密钥;
接收密钥请求;
识别用于选择所述密钥服务器之一的技术,其中所述密钥请求将转发到选择的密钥服务器,其中用于选择所述密钥服务器之一的技术包括下列各项技术中的至少一种:使用密钥服务器的IP地址的顺序来选择密钥服务器、使用连接信息来选择密钥服务器、根据本地IP地址和远程IP地址来选择密钥服务器、根据密钥服务器之间的负载平衡来选择密钥服务器;
使用所述识别的技术来选择所述密钥服务器之一;以及
将所述密钥请求发送到所述选择的密钥服务器中。
2.根据权利要求1所述的方法,其中所述密钥请求是针对将要生成来加密数据的密钥的请求。
3.根据权利要求1所述的方法,其中所述密钥请求是用于取回现有密钥的请求,所述现有密钥用以解密受保护的密钥。
4.根据权利要求1所述的方法,其中所述唯一标识符是因特网协议(IP)地址。
5.根据权利要求4所述的方法,其中所述识别的技术使用所述密钥服务器的所述IP地址的顺序来选择所述密钥服务器之一。
6.根据权利要求4所述的方法,其中所述识别的技术根据本地IP地址和远程IP地址来选择所述密钥服务器之一,使得在远程IP地址之前选择本地IP地址。
7.根据权利要求1所述的方法,其中所述识别的技术使用连接信息来选择所述密钥服务器之一,包括首先尝试最后一次成功连接到的密钥服务器。
8.根据权利要求1所述的方法,其中所述识别的技术根据密钥服务器之间的负载平衡来选择所述密钥服务器之一。
9.根据权利要求1所述的方法,其中从数据存储驱动器接收所述密钥请求,并且进一步包括:
从所述选择的密钥服务器接收对所述密钥请求的响应;以及
将对所述密钥请求的所述响应返回到所述数据存储驱动器。
10.根据权利要求9所述的方法,其中所述密钥请求请求加密密钥,并且其中所述响应包括由所述数据存储驱动器可读的加密密钥以及由所述选择的密钥服务器可读的加密密钥。
11.根据权利要求9所述的方法,其中所述密钥请求请求第一加密密钥,并且提供由所述密钥服务器可读的第二加密密钥,并且其中所述响应包括由所述数据存储驱动器可读的加密密钥。
12.根据权利要求9所述的方法,其中所述密钥请求请求改变第一加密密钥并且提供由所述密钥服务器可读的第二加密密钥,并且其中所述响应包括由所述选择的密钥服务器可读的加密密钥。
13.根据权利要求9所述的方法,其中所述数据存储驱动器接收所述响应,其中所述响应包括加密密钥,并且其中一旦所述数据存储驱动器已经使用所述加密密钥来加密数据,则将所述加密密钥的知识从所述数据存储驱动器移除。
14.一种用于密钥生成和取回的系统,包括:
存储两个或者更多个密钥服务器的唯一标识符的装置,其中每个密钥服务器能够生成用于数据加密的密钥并且能够返回用于数据解密的密钥;
接收密钥请求的装置;
识别用于选择所述密钥服务器之一的技术的装置,其中所述密钥请求将转发到选择的密钥服务器中,其中用于选择所述密钥服务器之一的技术包括下列各项技术中的至少一种:使用密钥服务器的IP地址的顺序来选择密钥服务器、使用连接信息来选择密钥服务器、根据本地IP地址和远程IP地址来选择密钥服务器、根据密钥服务器之间的负载平衡来选择密钥服务器;
使用所述识别的技术来选择所述密钥服务器之一的装置;以及
将所述密钥请求发送到所述选择的密钥服务器的装置。
15.根据权利要求14所述的系统,其中所述密钥请求是针对将要生成来加密数据的密钥的请求。
16.根据权利要求14所述的系统,其中所述密钥请求是用于取回现有密钥的请求,所述现有密钥用以解密受保护的密钥。
17.根据权利要求14所述的系统,其中所述唯一标识符是因特网协议(IP)地址。
18.根据权利要求17所述的系统,其中所述识别的技术使用所述密钥服务器的所述IP地址的顺序来选择所述密钥服务器之一。
19.根据权利要求17所述的系统,其中所述识别的技术根据本地IP地址和远程IP地址来选择所述密钥服务器之一,使得在远程IP地址之前选择本地IP地址。
20.根据权利要求14所述的系统,其中所述识别的技术使用连接信息来选择所述密钥服务器之一,包括首先尝试最后一次成功连接到的密钥服务器。
21.根据权利要求14所述的系统,其中所述识别的技术根据密钥服务器之间的负载平衡来选择所述密钥服务器之一。
22.根据权利要求14所述的系统,其中从数据存储驱动器接收所述密钥请求,并且所述操作进一步包括:
从所述选择的密钥服务器接收对所述密钥请求的响应;以及
将对所述密钥请求的所述响应返回到所述数据存储驱动器。
23.根据权利要求22所述的系统,其中所述密钥请求请求加密密钥,并且其中所述响应包括由所述数据存储驱动器可读的加密密钥以及由所述选择的密钥服务器可读的加密密钥。
24.根据权利要求22所述的系统,其中所述密钥请求请求第一加密密钥,并且提供由所述密钥服务器可读的第二加密密钥,并且其中所述响应包括由所述数据存储驱动器可读的加密密钥。
25.根据权利要求22所述的系统,其中所述密钥请求请求改变第一加密密钥并且提供由所述密钥服务器可读的第二加密密钥,并且其中所述响应包括由所述选择的密钥服务器可读的加密密钥。
26.根据权利要求22所述的系统,其中所述数据存储驱动器接收所述响应,其中所述响应包括加密密钥,并且其中一旦所述数据存储驱动器已经使用所述加密密钥来加密数据,则将所述加密密钥的知识从所述数据存储驱动器移除。
27.根据权利要求14所述的系统,其中从磁带库中的磁带驱动器接收所述密钥请求。
28.根据权利要求14所述的系统,其中在代理服务器中实现所述用于密钥生成和取回的系统。
29.根据权利要求14所述的系统,其中在自动数据存储库中实现所述用于密钥生成和取回的系统。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/530,006 US7953978B2 (en) | 2006-09-07 | 2006-09-07 | Key generation and retrieval using key servers |
US11/530,006 | 2006-09-07 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101141461A CN101141461A (zh) | 2008-03-12 |
CN101141461B true CN101141461B (zh) | 2013-02-27 |
Family
ID=39171165
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101465576A Expired - Fee Related CN101141461B (zh) | 2006-09-07 | 2007-08-21 | 用于使用密钥服务器进行密钥生成和取回的方法和系统 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7953978B2 (zh) |
CN (1) | CN101141461B (zh) |
Families Citing this family (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9106409B2 (en) * | 2006-03-28 | 2015-08-11 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for handling keys used for encryption and integrity |
US8130959B2 (en) | 2006-09-07 | 2012-03-06 | International Business Machines Corporation | Rekeying encryption for removable storage media |
US8254577B2 (en) * | 2008-02-20 | 2012-08-28 | International Business Machines Corporation | Validation of encryption key |
JP2010109919A (ja) * | 2008-10-31 | 2010-05-13 | Toshiba Corp | 情報処理装置、暗号/復号システム、および暗号/復号方法 |
US8078903B1 (en) * | 2008-11-25 | 2011-12-13 | Cisco Technology, Inc. | Automatic load-balancing and seamless failover of data flows in storage media encryption (SME) |
US8572681B2 (en) * | 2009-03-11 | 2013-10-29 | Wic Cdn Inc. | Methods and systems for identity verification |
GB2471282B (en) * | 2009-06-22 | 2015-02-18 | Barclays Bank Plc | Method and system for provision of cryptographic services |
US8300831B2 (en) | 2010-04-26 | 2012-10-30 | International Business Machines Corporation | Redundant key server encryption environment |
EP2472820B1 (en) * | 2010-12-31 | 2016-04-20 | Regify S.A. | Network, node and method for anonymizing and routing a user request |
US9286491B2 (en) | 2012-06-07 | 2016-03-15 | Amazon Technologies, Inc. | Virtual service provider zones |
US10075471B2 (en) | 2012-06-07 | 2018-09-11 | Amazon Technologies, Inc. | Data loss prevention techniques |
US10084818B1 (en) | 2012-06-07 | 2018-09-25 | Amazon Technologies, Inc. | Flexibly configurable data modification services |
US9590959B2 (en) | 2013-02-12 | 2017-03-07 | Amazon Technologies, Inc. | Data security service |
JP5694247B2 (ja) * | 2012-07-17 | 2015-04-01 | 株式会社東芝 | 鍵生成装置、通信方法および通信システム |
US9300464B1 (en) | 2013-02-12 | 2016-03-29 | Amazon Technologies, Inc. | Probabilistic key rotation |
US9547771B2 (en) | 2013-02-12 | 2017-01-17 | Amazon Technologies, Inc. | Policy enforcement with associated data |
US10467422B1 (en) | 2013-02-12 | 2019-11-05 | Amazon Technologies, Inc. | Automatic key rotation |
US9705674B2 (en) | 2013-02-12 | 2017-07-11 | Amazon Technologies, Inc. | Federated key management |
US10210341B2 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Delayed data access |
US10211977B1 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Secure management of information using a security module |
US9367697B1 (en) | 2013-02-12 | 2016-06-14 | Amazon Technologies, Inc. | Data security with a security module |
US9832171B1 (en) | 2013-06-13 | 2017-11-28 | Amazon Technologies, Inc. | Negotiating a session with a cryptographic domain |
US9397835B1 (en) | 2014-05-21 | 2016-07-19 | Amazon Technologies, Inc. | Web of trust management in a distributed system |
US9438421B1 (en) | 2014-06-27 | 2016-09-06 | Amazon Technologies, Inc. | Supporting a fixed transaction rate with a variably-backed logical cryptographic key |
KR102160597B1 (ko) * | 2014-07-17 | 2020-09-28 | 삼성전자 주식회사 | eUICC의 프로파일 설치 방법 및 장치 |
US9866392B1 (en) | 2014-09-15 | 2018-01-09 | Amazon Technologies, Inc. | Distributed system web of trust provisioning |
CN104318173B (zh) * | 2014-10-27 | 2018-10-26 | 合肥迈斯软件科技有限公司 | 基于局域网交叉验证的文件防扩散技术 |
US10469477B2 (en) | 2015-03-31 | 2019-11-05 | Amazon Technologies, Inc. | Key export techniques |
US9768952B1 (en) | 2015-09-22 | 2017-09-19 | Seagate Technology Llc | Removable circuit for unlocking self-encrypting data storage devices |
US10382201B1 (en) | 2015-09-22 | 2019-08-13 | Seagate Technology Llc | Removable circuit for unlocking self-encrypting data storage devices |
US10079679B2 (en) * | 2016-04-28 | 2018-09-18 | Bank Of America Corporation | Cryptographic encryption key escrow and recovery |
US10460110B1 (en) | 2017-02-17 | 2019-10-29 | Seagate Technology Llc | Systems and methods for unlocking self-encrypting data storage devices |
CN107040383B (zh) * | 2017-04-24 | 2018-01-30 | 中山大学 | 一种基于区块链的盲可验证加密签名方法 |
US10678953B1 (en) | 2017-04-26 | 2020-06-09 | Seagate Technology Llc | Self-contained key management device |
US10855451B1 (en) | 2017-08-02 | 2020-12-01 | Seagate Technology Llc | Removable circuit for unlocking self-encrypting data storage devices |
US11120151B1 (en) | 2017-08-02 | 2021-09-14 | Seagate Technology Llc | Systems and methods for unlocking self-encrypting data storage devices |
CN109842589A (zh) * | 2017-11-27 | 2019-06-04 | 中兴通讯股份有限公司 | 一种云存储加密方法、装置、设备及存储介质 |
US11683156B2 (en) * | 2019-07-09 | 2023-06-20 | International Business Machines Corporation | Securely retrieving encryption keys for a storage system |
US11516003B2 (en) * | 2020-04-03 | 2022-11-29 | Apple Inc. | Electronic subscriber identity module transfer credential wrapping |
CN114866374B (zh) * | 2022-05-11 | 2024-01-16 | 青岛海信日立空调系统有限公司 | 智能家居网关设备和智能家居系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1669265A (zh) * | 2002-05-15 | 2005-09-14 | 伊露西斯有限公司 | 在计算机系统中使用的隐藏的链接动态密钥管理器 |
CN1801696A (zh) * | 2006-01-13 | 2006-07-12 | 南京邮电大学 | 一种网格计算机环境下虚拟组织的密钥管理方案 |
Family Cites Families (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6023643A (en) | 1998-04-03 | 2000-02-08 | International Business Machines Corporation | System for auditing storage cartridges in a library storage system |
US6295361B1 (en) | 1998-06-30 | 2001-09-25 | Sun Microsystems, Inc. | Method and apparatus for multicast indication of group key change |
US6567914B1 (en) | 1998-07-22 | 2003-05-20 | Entrust Technologies Limited | Apparatus and method for reducing transmission bandwidth and storage requirements in a cryptographic security system |
JP2000181803A (ja) | 1998-12-18 | 2000-06-30 | Fujitsu Ltd | 鍵管理機能付電子データ保管装置および電子データ保管方法 |
US7013389B1 (en) | 1999-09-29 | 2006-03-14 | Cisco Technology, Inc. | Method and apparatus for creating a secure communication channel among multiple event service nodes |
AU3263801A (en) * | 1999-12-13 | 2001-06-18 | Novient, Inc. | Attribute and application synchronization in distributed network environment |
JP2001265361A (ja) * | 2000-03-14 | 2001-09-28 | Sony Corp | 情報提供装置および方法、情報処理装置および方法、並びにプログラム格納媒体 |
US6973499B1 (en) * | 2000-04-07 | 2005-12-06 | Intertrust Technologies Corp. | Ticketing and keying for orchestrating distribution of network content |
US6807277B1 (en) * | 2000-06-12 | 2004-10-19 | Surety, Llc | Secure messaging system with return receipts |
US6950522B1 (en) | 2000-06-15 | 2005-09-27 | Microsoft Corporation | Encryption key updating for multiple site automated login |
US7123722B2 (en) * | 2000-12-18 | 2006-10-17 | Globalcerts, Lc | Encryption management system and method |
US6918040B2 (en) | 2000-12-28 | 2005-07-12 | Storage Technology Corporation | Method and system for providing field scalability across a storage product family |
US7711122B2 (en) * | 2001-03-09 | 2010-05-04 | Arcot Systems, Inc. | Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys |
EP1249964A3 (en) | 2001-04-12 | 2004-01-07 | Matsushita Electric Industrial Co., Ltd. | Reception terminal, key management apparatus, and key updating method for public key cryptosystem |
US7203317B2 (en) | 2001-10-31 | 2007-04-10 | Hewlett-Packard Development Company, L.P. | System for enabling lazy-revocation through recursive key generation |
US20030099362A1 (en) | 2001-11-27 | 2003-05-29 | Doug Rollins | Method and apparatus for WEP key management and propagation in a wireless system |
CN1268093C (zh) | 2002-03-08 | 2006-08-02 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
CA2474915A1 (en) * | 2002-03-18 | 2003-09-25 | Colin Martin Schmidt | Session key distribution methods using a hierarchy of key servers |
US20040143733A1 (en) * | 2003-01-16 | 2004-07-22 | Cloverleaf Communication Co. | Secure network data storage mediator |
US20060149962A1 (en) * | 2003-07-11 | 2006-07-06 | Ingrian Networks, Inc. | Network attached encryption |
US7213118B2 (en) | 2003-09-29 | 2007-05-01 | International Business Machines Corporation | Security in an automated data storage library |
US20050086471A1 (en) | 2003-10-20 | 2005-04-21 | Spencer Andrew M. | Removable information storage device that includes a master encryption key and encryption keys |
US7774411B2 (en) * | 2003-12-12 | 2010-08-10 | Wisys Technology Foundation, Inc. | Secure electronic message transport protocol |
WO2005064844A1 (ja) * | 2003-12-26 | 2005-07-14 | Matsushita Electric Industrial Co.,Ltd. | 素数算出装置及び方法並びに鍵発行システム |
JP4696449B2 (ja) | 2004-01-09 | 2011-06-08 | ソニー株式会社 | 暗号化装置およびその方法 |
US7328343B2 (en) | 2004-03-10 | 2008-02-05 | Sun Microsystems, Inc. | Method and apparatus for hybrid group key management |
US20060075228A1 (en) * | 2004-06-22 | 2006-04-06 | Black Alistair D | Method and apparatus for recognition and real time protection from view of sensitive terms in documents |
US8340283B2 (en) * | 2004-06-30 | 2012-12-25 | International Business Machines Corporation | Method and system for a PKI-based delegation process |
US7624269B2 (en) * | 2004-07-09 | 2009-11-24 | Voltage Security, Inc. | Secure messaging system with derived keys |
JP4566668B2 (ja) | 2004-09-21 | 2010-10-20 | 株式会社日立製作所 | 記憶階層を有する計算機システムにおける暗号復号管理方法 |
US7827262B2 (en) * | 2005-07-14 | 2010-11-02 | Cisco Technology, Inc. | Approach for managing state information by a group of servers that services a group of clients |
-
2006
- 2006-09-07 US US11/530,006 patent/US7953978B2/en not_active Expired - Fee Related
-
2007
- 2007-08-21 CN CN2007101465576A patent/CN101141461B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1669265A (zh) * | 2002-05-15 | 2005-09-14 | 伊露西斯有限公司 | 在计算机系统中使用的隐藏的链接动态密钥管理器 |
CN1801696A (zh) * | 2006-01-13 | 2006-07-12 | 南京邮电大学 | 一种网格计算机环境下虚拟组织的密钥管理方案 |
Also Published As
Publication number | Publication date |
---|---|
US7953978B2 (en) | 2011-05-31 |
CN101141461A (zh) | 2008-03-12 |
US20080065889A1 (en) | 2008-03-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101141461B (zh) | 用于使用密钥服务器进行密钥生成和取回的方法和系统 | |
US7877603B2 (en) | Configuring a storage drive to communicate with encryption and key managers | |
US7817799B2 (en) | Maintaining encryption key integrity | |
CN101141462B (zh) | 用于对可移动存储介质的加密进行密钥重置的方法和设备 | |
CA2793810C (en) | Method and system for securing data utilizing redundant secure key storage | |
US8352751B2 (en) | Encryption program operation management system and program | |
CN101410849B (zh) | 存储系统中数据的加密/解密 | |
US20030105967A1 (en) | Apparatus for encrypting data and method thereof | |
US8001391B2 (en) | Method of encrypting and decrypting data stored on a storage device using an embedded encryption/decryption means | |
US20070136606A1 (en) | Storage system with built-in encryption function | |
US20090067633A1 (en) | Configuring host settings to specify an encryption setting and a key label referencing a key encyrption key to use to encrypt an encryption key provided to a storage drive to use to encrypt data from the host | |
CN101166086B (zh) | 用于检测和处理加密密钥和初始化向量的方法和系统 | |
US7751559B2 (en) | Secure transmission of cryptographic key | |
US8843768B2 (en) | Security-enabled storage controller | |
CN109726575B (zh) | 一种数据加密方法及装置 | |
US20040117639A1 (en) | Secure driver | |
US8495387B2 (en) | Encryption redundancy in a storage element array | |
CN111125791B (zh) | 一种内存数据的加密方法、装置、cpu芯片及服务器 | |
CN114006695B (zh) | 硬盘数据保护方法、装置、可信平台芯片及电子设备 | |
CN117852105A (zh) | 基于硬件增强的芯片安全管理方法、装置、终端及介质 | |
CN100538719C (zh) | 信息记录/再现装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130227 Termination date: 20200821 |