本公開的實(shí)施例提供了用于在存儲(chǔ)系統(tǒng)中管理加密密鑰的方法。該方法包括：從存儲(chǔ)管理組件向密鑰管理服務(wù)組件發(fā)送加密密鑰請(qǐng)求；基于該加密密鑰請(qǐng)求，通過該密鑰管理服務(wù)組件獲取由該密鑰管理服務(wù)組件加密過的加密密鑰；向該存儲(chǔ)管理組件提供所獲取的加密過的加密密鑰；由該存儲(chǔ)管理組件維護(hù)該加密過的加密密鑰和存儲(chǔ)設(shè)備之間的對(duì)應(yīng)關(guān)系；以及根據(jù)該對(duì)應(yīng)關(guān)系，向加密硬件單元注冊(cè)與該存儲(chǔ)設(shè)備相對(duì)應(yīng)的加密過的加密密鑰，以便該加密硬件單元能夠?qū)υ摷用苓^的加密密鑰進(jìn)行解密，以獲得與該存儲(chǔ)設(shè)備相對(duì)應(yīng)的加密密鑰。通過本公開的實(shí)施例，實(shí)現(xiàn)了對(duì)于加密密鑰的有效管理。

技術(shù)領(lǐng)域

本公開的實(shí)施例涉及數(shù)據(jù)存儲(chǔ)領(lǐng)域，并且更具體地，涉及用于在存儲(chǔ)系統(tǒng)中管理密鑰方法、裝置以及計(jì)算機(jī)程序產(chǎn)品。

背景技術(shù)

存儲(chǔ)系統(tǒng)可以被構(gòu)建在一個(gè)或多個(gè)物理存儲(chǔ)設(shè)備之上，用于提供數(shù)據(jù)存儲(chǔ)能力。為了增強(qiáng)存儲(chǔ)系統(tǒng)中輸入輸出(I/O)操作的安全性，可以對(duì)I/O操作所針對(duì)的數(shù)據(jù)進(jìn)行加密。在存儲(chǔ)加密技術(shù)中，基于控制器的硬件加密技術(shù)由于處理速度和安全性能的優(yōu)勢(shì)日益被市場(chǎng)所認(rèn)可，特別是針對(duì)具有較高安全等級(jí)要求的客戶。在基于控制器的硬件加密存儲(chǔ)系統(tǒng)中，加密硬件被嵌入到協(xié)議控制器中，在I/O操作期間，加密硬件對(duì)寫入存儲(chǔ)設(shè)備的數(shù)據(jù)進(jìn)行加密，或者對(duì)從存儲(chǔ)設(shè)備讀出的數(shù)據(jù)進(jìn)行解密。

在存儲(chǔ)系統(tǒng)初始化過程中，需要為存儲(chǔ)系統(tǒng)的每個(gè)物理盤分配對(duì)數(shù)據(jù)進(jìn)行加密/解密的密鑰。在使用存儲(chǔ)設(shè)備的過程中，存儲(chǔ)系統(tǒng)中物理盤并非一成不變，相反，需要對(duì)物理盤的添加、刪除、替換等進(jìn)行維護(hù)。通常各個(gè)物理盤對(duì)數(shù)據(jù)進(jìn)行加密/解密的密鑰各不相同。當(dāng)在存儲(chǔ)系統(tǒng)中物理盤發(fā)生變化時(shí)，用于物理盤的加密密鑰也要重新在加密硬件中部署。

因此，需要提供一種在存儲(chǔ)系統(tǒng)中管理加密密鑰的方案。

發(fā)明內(nèi)容

本公開的實(shí)施例提供了一種用于在存儲(chǔ)系統(tǒng)中管理加密密鑰的方案。

在本公開的第一方面中，提供了一種用于在存儲(chǔ)系統(tǒng)中管理加密密鑰的方法。根據(jù)該方法，從存儲(chǔ)管理組件向密鑰管理服務(wù)組件發(fā)送加密密鑰請(qǐng)求；基于該加密密鑰請(qǐng)求，通過該密鑰管理服務(wù)組件獲取加被該密鑰管理服務(wù)組件加密過的加密密鑰；向該存儲(chǔ)管理組件提供所獲取的加密過的加密密鑰；由該存儲(chǔ)管理組件中維護(hù)該加密過的加密密鑰和存儲(chǔ)設(shè)備之間的對(duì)應(yīng)關(guān)系；以及根據(jù)該對(duì)應(yīng)關(guān)系，向加密硬件單元注冊(cè)與該存儲(chǔ)設(shè)備相對(duì)應(yīng)的加密過的加密密鑰，以便該加密硬件單元能夠?qū)υ摷用苓^的加密密鑰進(jìn)行解密已獲得與該存儲(chǔ)設(shè)備相對(duì)應(yīng)的加密密鑰。

在本公開的第二方面中，提供了一種用于在存儲(chǔ)系統(tǒng)中管理加密密鑰的裝置。該裝置包括：處理器；以及與該處理器耦合的存儲(chǔ)器，該存儲(chǔ)器具有存儲(chǔ)于其中的指令，該指令在被處理器執(zhí)行時(shí)使該裝置執(zhí)行以下動(dòng)作，該動(dòng)作包括：從存儲(chǔ)管理組件向密鑰管理服務(wù)組件發(fā)送加密密鑰請(qǐng)求；基于該加密密鑰請(qǐng)求，通過該密鑰管理服務(wù)組件獲取加被該密鑰管理服務(wù)組件加密過的加密密鑰；向該存儲(chǔ)管理組件提供所獲取的加密過的加密密鑰；由該存儲(chǔ)管理組件中維護(hù)該加密過的加密密鑰和存儲(chǔ)設(shè)備之間的對(duì)應(yīng)關(guān)系；以及根據(jù)該對(duì)應(yīng)關(guān)系，向加密硬件單元注冊(cè)與該存儲(chǔ)設(shè)備相對(duì)應(yīng)的加密過的加密密鑰，以便該加密硬件單元能夠?qū)υ摷用苓^的加密密鑰進(jìn)行解密已獲得與該存儲(chǔ)設(shè)備相對(duì)應(yīng)的加密密鑰。

在本公開的第三方面中，提供了一種計(jì)算機(jī)程序產(chǎn)品，計(jì)算機(jī)程序產(chǎn)品被有形地存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上并且包括機(jī)器可執(zhí)行指令，機(jī)器可執(zhí)行指令在被執(zhí)行時(shí)使機(jī)器執(zhí)行根據(jù)第一方面的方法。

提供發(fā)明內(nèi)容部分是為了簡(jiǎn)化的形式來介紹對(duì)概念的選擇，它們?cè)谙挛牡木唧w實(shí)施方式中將被進(jìn)一步描述。發(fā)明內(nèi)容部分無意標(biāo)識(shí)本公開的關(guān)鍵特征或主要特征，也無意限制本公開的范圍。

附圖說明

通過結(jié)合附圖對(duì)本公開示例性實(shí)施例進(jìn)行更詳細(xì)的描述，本公開的上述以及其它目的、特征和優(yōu)勢(shì)將變得更加明顯，其中，在本公開示例性實(shí)施例中，相同的參考標(biāo)號(hào)通常代表相同部件。

圖1示出了根據(jù)本公開的一個(gè)實(shí)施例用于在存儲(chǔ)系統(tǒng)中管理加密密鑰的架構(gòu)的示意框圖；