自动数据存储库中的可移动介质上存储的数据的选择加密的制作方法

专利名称：自动数据存储库中的可移动介质上存储的数据的选择加密的制作方法
技术领域：
本发明的优选实施例涉及自动数据存储库，更具体地，涉及对可移动 介质上存储的或要存储的数据的加密。
背景技术：
众所周知，自动数据存储库用于提供大量数据的成本有效的存储和检 索。自动数据存储库中的数据被存储在数据存储介质中，而所述数据存储 介质又以使介质及其驻留数据可供访问以进行物理检索的方式被储存在库 内的存储架或类似设备中。这种介质通常称为"可移动介质"。数据存储 介质可包括在上面可存储数据并且可用作可移动介质的任意类型的介质， 包括但不限于磁介质(例如磁带或磁盘)、光介质(例如光带或光盘)、
全息介质(例如全息带或全息盘)、电子介质(例如PROM、 EEPROM、 闪速PROM、 MRAM、 Compactflash TM、 Smartmedia TM、存储才奉TM 等)或其它适合介质。通常，存储在自动数据存储库中的数据驻留在盒带 (在此也被称为数据存储介质盒带)内包含的数据存储介质中。在自动数 据存储库中广泛采用的用于大容量数据存储的数据存储介质盒带的 一个实 例是磁带盒。
除了数据存储介质之外，自动数据存储库通常还包含将数据存储到数 椐存储介质和/或从数据存储介质检索数据的 一个或多个数据存储驱动器。 数据存储介质在数据存储架和数据存储驱动器之间的传送通常由一个或多 个自动存取器(此后称为"存取器")完成。此类存取器具有夹具，用于
和/或Y方向移动将这种介质传送到数据存储驱动器。
7在许多应用中，重要的是保证在可移动介质上存储的数据的安全。除 了必须复制、重建或重新获得因为失窃、意外事件等丢失的数据而带来的 不便和开销之外，如果机密信息被盗用，则可能存在巨大扩散，包括法律 责任。然而，不必保证所有数据安全或以相同水平保证所有数据安全。
因此，需要这样的系统和方法，用于选择性地保证例如在自动存储库 中的可移动介质上存储的数据的安全，这种系统和方法是可靠的，充分灵 活地允许在不同数据盒带上的数据以不同的等级保证安全(或仍有不安全 的)，并且不对库或其任意组件的性能产生负面影响。

发明内容
据的选择性加密。建立一个或多个加密策略，每个策略包括加密等级、一 个或多个加密密钥和一个或多个数据盒带的身份。将加密策略存储在策略 表中，将加密密钥存储在安全密钥服务器中。主机请求对于指定数据盒带 的访问，并且将所述盒带从库中的存储架传送到存储驱动器。基于指定盒 带的身份，从所ii^选择相应的加密策略，并且从密钥服务器获得适当的 加密密钥。存储驱动器根据密钥对数据加密，并将数据存储在指定数据盒 带中的介质上。
本发明还提供一种数据存储系统，包括盒带存储架、数据存储驱动 器、库控制器、自动存取器和密钥服务器。该系统还包括加密策略表， 在其中存储一个或多个加密策略，并且对于每个加密策略， 一个或多个数 据盒带的身份与所述加密策略关联。该系统还包括带外接口，数据存储 驱动器可通过所述带外接口向库控制器发送对于加密密钥的请求，并且在 从密钥服务器获得所请求的加密密钥之后，库控制器通过所述带外接口向 数据存储驱动器发送所请求的加密密钥。
优选地，对于加密密钥的请求包括库控制器，其可操作以作为密钥服 务器的代理。更优选地，存储驱动器还可操作以根据所请求的加密密钥对 于在所选数据盒带上要存储的数据加密。更优选地，密钥服务器包括库控制器。更优选地，密钥服务器包括专用服务器。
优选地，数据存储系统还包括在其中存储加密策略表的库控制器中的 存储设备。更优选地，通过数据存储盒带存储策略表。更优选地，数据存 储系统还包括在其中存储加密策略表的存储驱动器中的存储设备。
本发明还提供一种与数据存储库关联的控制器。该控制器包括用户 接口，通过其接收加密策略；库驱动器接口，通过其向库中的存储驱动器 发送加密策略和关联的盒带标识符；主机接口，通过其从主4A^收对于库 中的存储单元中存储的指定数据盒带访问的请求；以及存取器接口，通过 其控制自动存取器向存储驱动器传送指定数据盒带。库驱动器接口还可操 作以响应于存储驱动器将指定数据盒带与相应加密策略匹配，从存储驱动 器接收对于加密密钥的请求。控制器还包括用于获得所请求的加密密钥的 模块，并且库驱动器接口还可操作以向存储驱动器发送加密密钥，然后存 储驱动器可对于要写入指定数据盒带的数据加密。
优选地，库控制器还包括耦合至从中获得加密密钥的密钥服务器的接 口。更优选地，库控制器用作密钥服务器的代理。更优选地，库控制器还 包括从中获得加密密钥的集成密钥服务器。
本发明还提供一种数据存储库中的数据存储驱动器。该驱动器包括 用户接口 ，通过其接收一个或多个加密策略的用户输入以及与每个加密策 略关联的一个或多个盒带标识符；库驱动器接口，通过其从关联至库的库 控制器接收一个或多个加密策略和关联的盒带标识符；用于获得被加载到 存储驱动器中的数据盒带的盒带标识符的模块；以及将所述标识符与关联 的加密策略匹配的才莫块。库驱动器接口还可操作以响应于所述盒带标识符 与相应加密策略匹配向密钥服务器发送对于加密密钥的请求，以及接收所 请求的加密密钥。该驱动器还包括对于要写入^^载的数据盒带的数据加 密的加密模块。
优选地，用于获得盒带标识符的模块包括用于读M以下的组选择 的一个或多个标识符的才莫块，所述组包括附加到^皮加载的数据盒带的条 形码标记、附加到被加载的数据盒带的非条形码机器可读标记、在被加载的数据盒带中的介质上存储的值、在被加载的数据盒带的盒带存储器中存
储的值、以及附加到被加载的数据盒带的RFID标签。更优选地，存储驱 动器还包括用于存储一个或多个加密策略的存储器，其中用于指定数据 盒带的加密策略通过存储驱动器来执行。
本发明还提供一种对于数据存储库中的可移动介质数据盒带上的数据 加密的方法，以及一种在其中具有实现该方法的计算机可读代码的计算机 程序产品。该方法和指令包括创建加密策略表；将一个或多个加密策略 录入到所述表中；将一个或多个数据盒带与所录入的每个加密策略关联， 每个数据盒带具有盒带标识符并存储在所述库中；从主机接收对于指定数 据盒带访问的请求；以及从所述存储单元向存储驱动器传送所述指定数据 盒带。从与所述指定数据盒带关联的加密表选择加密策略，响应于所选择 的加密策略获得用于所述指定数据盒带的加密密钥，以及# 据所获得的加 密密钥对于所述指定数据盒带上的数据加密。
优选地，读取盒带标识符的步骤包括读^UU乂下的组选择的一个或 多个标识符，所述组包括附加到指定数据盒带的条形码标记、附加到指 定数据盒带的非条形码机器可读标记、在指定数据盒带中的介质上存储的 值、在指定的盒带存储器中存储的值。更优选地，读取策略的步骤包括 从以下的组中选择的一个读取策略，所述组包括盒带标记、盒带存储器、 盒带RFID标签、和盒带介质。更优选地，该方法还包括通过用作密钥 服务器的代理的库控制器发送请求。
优选地，该方法包括通过用作密钥服务器的代理的主机计算机发送 请求。更优选地，该方法包括向存储驱动器发送所选择的加密密钥。更 优选地，获得所选择的加密密钥的步骤包括从库控制器向密钥服务器发 送对于所选择的加密密钥的请求。
优选地，该方法还包括在将指定数据盒带传送到存储驱动器之后， 选捧用于指定数据盒带的加密策略。更优选地，通过盒带存储表的步骤包
括将表存储在以下的组中选择的一个，所述组包括盒带标记、盒带存 储器、盒带RFID标签、和盒带介质。更优选地，该方法还包括建立对
10于库中的所有存储驱动器的缺省策略。


图1是适于实现本发明的实施例的自动数据存储库的等轴视图，此视
图具体示出了具有左侧维护隔间(service bay)、多个存储框架，以及右 侧维护隔间的库；
图2是适于实现本发明的实施例的自动数据存储库的等轴视图，此视 图具体示出了库的内部组件的示例性基本配置；
图3是适于实现本发明的实施例的自动数据存储库的方块图，此图具 体示出了采用具有多个处理器节点的分布式才莫块系统的库；
图4是示出了示例性控制器配置的方块图5是适于实现本发明的实施例的数据存储驱动器的前端和后端等轴 视图6A-6E是示出了可以在本发明中使用的各种盒带标识符的数据存储 盒带的等轴^L图7是包括库控制器和专用密钥服务器的一个实施例的其中可以实现 加密系统的自动数据存储库的方块图8是其中结合密钥服务器的库控制器的实施例的方块图； 图9是其中结合密钥服务器的主机设备的方块图；以及 图IO是其中存储加密策略的存储驱动器的方块图。
胁实施方式
在以下说明中，参考附图在优选实施例中描述了本发明，其中相似的 数字代表相同或相似的元素。虽然按照用于实现本发明的目标的最佳方式 描述了本发明，但是本领域的普通技术人员将理解，本发明旨在涵盖可以 包括在所附权利要求限定的本发明的精神和范围内的备选物、修改物和等 同物。
系统中。虽然示出的本发明使用磁带盒，但是本领域的普通技术人员将认识到 本发明同样适用于光盘盒或其他可移动存储介质，并适用于使用不同类型 的盒带或具有不同特性的相同类型的盒带。此外，对自动磁带存储系统的 说明并非旨在将本发明限于磁带数据处理应用，因为在此的本发明通常可 应用于任何介质存储和盒带处理系统。
现在转到附图，图1和2示出自动数据存储库10，其将包含数据存储 介质(未示出)的数据存储盒带储存在存储架16中并从存储架16中取回 包含数据存储介质(未示出)的数据存储盒带。要指出的是，此处对"数 据存储介质"的引用指数据存储盒带，并且出于本文的目的，这两个术语 作为同义词使用。可以实现本发明并且具有如图l和2所示配置的自动数 据存储库的一个实例是IBM 3584 UltraScalable磁带库。图1的库包括左 侧维护隔间13、 一个或多个存储框架ll，以及右侧维护隔间14。如将讨 论的，框架可以包括库的扩展组件。可以添加或移除框架以扩展或减小库 的大小和/或功能。框架可以包括其他存储架、驱动器、导入/导出站、存取 器、操作员面板等。
图2示出了存储框架11的实例，其是库10的1^出框架并被构想为库 的最小配置。在此最小配置中，只有单个存取器(即，没有冗余的存取器) 并且没有维护隔间。库10被布置为访问数据存储介质以响应来自至少一个 外部主机系统(未示出)的命令，并且包括用于储存包含数据存储介质 的数据存储盒带的多个存储架16、 一个前壁17和后壁19;至少一个用于 针对数据存储介质读取和/或写入数据的数据存储驱动器15;以及用于在多 个存储架16和数据存储驱动器(多个)15之间传送数据存储介质的第一 存取器18。数据存储驱动器15可以是光盘驱动器或磁带驱动器，或其他 类型的用于针对数据存储介质读取和/或写入数据的数据存储驱动器。存储 框架11可以可选地包括操作员面板23或其他用户接口 (例如基于Web的 接口 )，其允许用户与库交互。存储框架11可以可选地包括上I/O站24 和/或下I/O站25，这允许在不中断库操作的情况下将数据存储介质插入库 中和/或从库中移除数据存储介质。其中，"存储单元"表示在可保持数据
12存储盒带的库中的任意位置，例如但不限于，存储架16、 I/O站24-25的 存储架、或驱动器15的介质槽。库10可以包括一个或多个存储框架11， 每个框架具有可由第一存取器18存取的存储架16。
如上所述，存储框架ll可以根据预期功能被配置有不同的组件。存储 框架11的一种配置可以包括存储架16、数据存储驱动器(多个)15，以 及其他可选组件以便向/从数据存储盒带存储/检索数据。第一存取器18包 括用于夹住一个或多个数据存储介质的夹具部件20,并且可以包括安装在 夹具20上的条码扫描器22或其他读取系统(例如盒带存储器读取器或类 似系统)以"读取"有关数据存储介质的标识信息。
图3示出了图1和2的自动翁:据存储库10的实施例，此实施例采用具 有多个处理器节点的分布式模块系统。可以实现图3的方块图中所示的分 布式系统，并且实现本发明的自动数据存储库的一个实例是IBM 3584 UltraScalable磁带库。为了更全面地理解纳入自动数据存储库的分布式控 制系统，请参阅片示题为"Automated Data Storage Library Distributed Control System"(自动数据存储库分布式控制系统)的第6,356,803号美 国专利。
虽然已将自动数据存檣库10描述为采用分布式控制系统，但是本发明 可以在不考虑控制配置的自动数据存储库中实现，例如但不限于具有一个 或多个非分布式库控制器的自动数据存储库，因为此术语在第6,356,803 号美国专利中定义。图3的库包括一个或多个存储框架11、左侧维护隔间 13和右侧维护隔间14。左侧维护隔间13被示出具有第一存取器18。如上 所述，第一存取器18包括夹具部件20,并且可以包括读取系统22以"读 取"有关数据存储介质的标识信息。右侧维护隔间14被示出具有第二存取 器28。第二存取器28包括夹具部件30，并且可以包括读取系统32以"读 取"有关数据存储介质的标识信息。如果第一存取器18或其夹具20等出 现故障或以其他方式不可用，则第二存取器28可以执行第一存取器18的 部分或全部功能。两个存取器18、 28可以共享一个或多个4几械路径或它们 可以包括完全独立的机械路径。在一个实例中，存取器18、 28可以共享公共水平轨道并且具有独立的垂直轨道。第一存取器18和第二存取器28被 描述为第一和第二只是出于描述目的，并且此描述并非旨在将任一存取器 限于与左侧维护隔间13或右侧维护隔间14关联。
在示例性库中，第一存取器18和第二存取器28沿至少两个方向(被 称为水平"X"方向和垂直"Y"方向)移动其夹具，以便在存储架16处 取回并夹住数据存储介质或传送并释放数据存储介质，以及在数据存储驱 动器15处加载和卸载数据存储介质。
示例性库10从一个或多个主机系统40、 41或42接收命令。诸如主^L 服务器之类的主机系统例如在路径80中通过一个或多个控制端口 (未示 出)或通过路径81、 82中的一个或多个数据存储驱动器15直接与库通信， 从而提供命令以访问特定数据存储介质以及例如在存储架16和数据存储 驱动器15之间移动介质。所述命令通常是标识介质和/或用于访问介质的 逻辑位置的逻辑命令。术语"命令"和"工作请求，，在此可互换使用，以 指从主机系统40、 41或42到库10的此类通信旨在导致访问库10内的特 定数据存储介质。
示例性库由分布式控制系统控制，所述分布式控制系统从主机接收逻 辑命令、确定所需的操作，以及将操作转换为第一存取器18和/或第二存 取器28的物理移动。
在示例性库中，分布式控制系统包括多个处理器节点，每个节点具有 一个或多个处理器。在分布式控制系统的一个实例中，通信处理器节点50 可以位于存储框架11中。通信处理器节点提供通信链路以便直接或通过驱 动器15，经由至少一个外部接口 (例如，连接到线路80)来接收主机命令。
通信处理器节点50还可以额外提供通信链路70以便与数据存储驱动 器15通信。通信处理器节点50可以位于框架11中，靠近数据存储驱动器 15。此外，在分布式处理器系统的一个实例中，提供了一个或多个其他工 作处理器节点，其中可以包括例如可以位于第一存取器18处并通过网络 60、 157连接到通信处理器节点50的工作处理器节点52。每个工作处理器 节点可以响应从任何通信处理器节点被广播到工作处理器节点的已接收命
14令，并且工作处理器节点还可以引导存取器的操作，从而提供移动命令。
可以提供XY处理器节点55,并且它可以位于第一存取器18的XY系统 处。XY处理器节点55连接到网络60、 157,并且响应于移动命令，将操 作XY系统以定位夹具20。
此外，可以在可选的操作员面板23处提供操作员面板处理器节点59， 以便提供用于在操作员面板和通信处理器节点50、工作处理器节点52、252 以及XY处理器节点55、 255之间通信的接口。
提供了例如包括公共总线60 (连接各种处理器节点)的网络。所述网 络可以包括可靠的布线网络，例如可从市场购买的CAN(控制器区域网络) 总线系统，其是一个多点网络，具有例如由CiA (自动化学会中的CAN， Am Weich Selgarten 26, D-91058爱尔兰根，德国)定义的标准访问协议 和布线标准。如本领域的普通技术人员所公知的，可以在库中釆用其他网 络(例如以太网)或无线网络系统(例如RF或红外线)。此外，还可以 使用多个独立的网络以连接各种处理器节点。
通信处理器节点50通过线路70连接到存储框架11的每个数据存储驱 动器15,从而与所述驱动器以及与主机系统40、 41和42通信。备选地， 所述主机系统可以例如在输入端80直接连接到通信处理器节点50或连接 到控制端口设备(未示出)，所述控制端口设备通过类似于驱动器/库接口 的库接口将所述库连接到二个或多个主机系统。如本领域的普通技术人员 所公知的，可以采用各种通信布置以便与所述主机以及与所述数据存储驱 动器通信。在图3的实例中，主机连接80和81是SCSI总线。总线82包 括是高速串行数据接口的光纤通道总线的实例，从而允许比SCSI总线系 统进行更远距离的传输。
数据存储驱动器15可以紧接通信处理器节点50，并且可以采用短距 离通信方案(例如SCSI)或串行连接(例如RS-422)。因此，数据存储 驱动器15通过线路70单独连接到通信处理器节点50。备选地，数据存储 驱动器15可以通过一个或多个网络(例如/>共总线网络)连接到通信处理 器节点50。接口 70、 80、 81和/或82可包括串行接口、并行接口或光接口，例如但不限于RS-232、 USB (通用串行总线)、串行或并行ATA ( AT附 加装置)、SCSI (小型计算机系统接口 ) 、 SAS (串行连接SCSI)、光纤 通道、IEEE 1394 ( Fire Wire或iLink) 、 IEEE 1284 (并行端口 )等。此 外，接口 70、 80、 81和/或82可包括网络或无线接口，例如^f旦不限于以太 网、CAN (控制器局域网)、802.11 (Wi-Fi) 、 X.25 (WAN)、蓝牙等。 可以提供其他存储框架ll，并且每个框架连接到相邻的存储框架。任 一存储框架11都可以包括通信处理器节点50、存储架16、数据存储驱动 器15和网络60。
此外，如上所述，自动数据存储库10可以包括多个存取器。例如，第 二存取器28被示为在图3的右侧维护隔间14中。第二存取器28可以包括 用于存取数据存储介质的夹具30,以及用于移动第二存取器28的XY系 统255。第二存取器28与第一存取器18可以在同一水平机械路径或在相 邻路径上运行。示例性控制系统还可以包括扩展网络200，所述扩展网络 形成连接到存储框架(多个)11的网络60以及连接到左侧维护隔间13的 网络157的网络。
在图3和附带说明中，第一和第二存取器分别与左侧维护隔间13和右 侧维护隔间14关联。这是出于示例性目的并且可以不存在实际关联。此夕卜， 网络157可以不与左侧维护隔间13关联，并且网络200可以不与右侧维护 隔间14关联。才艮据库的i殳计，可以不必具有左侧维护隔间13和/或右侧维 护隔间14。
自动数据存储库10通常包括一个或多个控制器以引导自动数据存储 库的操作。主机计算机和数据存储驱动器通常包括类似的控制器。控制器 可以采取多种不同的形式，并且可以包括(例如但不限于)嵌入式系统、 分布式控制系统、个人计算机或工作站。本质上，如在此使用的术语"控 制器，，在广义上旨在作为包含至少一个处理器的设备，如此类术语在此定 义的那样。图4示出了具有处理器402、 RAM (随才踏M储器)403、 非易失性存储器404、设备特定的电路401和I/O接口 405的典型控制器 400。备选地，RAM403和/或非易失性存储器404可以如设备特定的电路401和I/O接口 405那样被包含在处理器402中。处理器402可以包括例 如现用微处理器、定制处理器、FPGA (现场可编程门阵列)、ASIC (专 用集成电路)、离散逻辑等。RAM (随才;L^取存储器)403通常用于保存 变量数据、堆栈数据、可执行指令等。非易失性存储器404可以包括任何 类型的非易失性存储器，例如但不限于PROM (可编程只读存储器)、 EEPROM (电可擦除可编程只读存储器)、闪速PROM (可编程只读存 储器)、NVRAM (非易失性随才踏取存储器)、MRAM (磁阻随机存取 存储器)、电池后备RAM、 CD (压缩盘)、DVD (数字通用盘)和硬盘 驱动器等。非易失性存储器404通常用于保存可执行固件和任何非易失性 数据。1/0接口 405包括允许处理器402与控制器外部的设备通信的通信 接口。实例可以包括但不限于串行接口、并行接口或光接口，例如RS-232、 USB (通用串行总线)、串行或并行ATA (AT附加装置)、SCSI (小型 计算机系统接口 )、 SAS(串行连接SCSI )、光纤通道、IEEE 1394( FireWire 或iLink) 、 IEEE 1284 (并行端口 )等。此外，1/0接口 405可包括网络 或无线接口，例如以太网、CAN (控制器局域网)、802.11 (Wi-Fi)、 X.25 (WAN)、蓝牙等。设备特定的电路401提供其他硬件以使控制器 400能够执行独特功能，例如但不限于盒带夹具的电机控制。设备特定的 电路401可以包括提供(通过实例方式，但不限于)脉冲宽度调制(PWM ) 控制、模数转换(ADC)、数模转换(DAC)等的电子设备。此外，设备 特定的电路401的全部或部分可以位于控制器400的外部。
虽然已将自动数据存储库10描述为采用分布式控制系统，但是本发明 可以在不考虑控制配置的自动数据存储库中实现，例如但不限于具有一个 或多个非分布式库控制器的自动数据存储库。库控制器可包括一个或多个 现有库的专用控制器。例如，可存在主控制器和备用控制器。此外，库控 制器可包括分布式控制系统的一个或多个处理器节点。例如，通信处理器 节点50 (图3)可包括库控制器，而其它处理器节点(如果存在)可协助 库控制器和/或可提供备用或冗余功能。在另一实例中，通信处理器节点50 和工作处理器节点52可协作地工作以包括库控制器，而其它处理器节点
17(如果存在)可协助库控制器和/或可提供备用或冗余功能。此外，所有处 理器节点可包括库控制器。这里，库控制器可包括一个处理器或控制器， 或它可包括多个处理器或控制器。
图5示出了数据存储驱动器15的前端501和后端502的实施例。在图 5的实例中，数据存储驱动器15包括热插拔驱动器盒(canister)。这只 是一个实例并且并非旨在将本发明限于热插拔驱动器盒。实际上，可以使 用任何配置的数据存储驱动器，无论它是否包括热插拔盒。
图6A示出了数据存储盒带600的实施例，所述数据存储盒带600具 有在此图的剖面部分中示出的盒带存储器610。盒带存储器610可包括允 许库和/或数据存储驱动器访问盒带存储器的内容的电接触。备选地，盒带 存储器可包括非接触式接口，例如感应、射频或光接口。在一个实施例中， 盒带存储器包括RFID标签。在其它实施例中，盒带存储器610可存储代 表盒带标识的值。盒带标识备选地被存储在附加到盒带600的外部机器可 读标记612 (图6B )、附加到盒带600的外部用户可读标记614 (图6C ) 或附加到盒带600的射频标识(RFID)标签616 (图6D)、存储在介质 自身618 (图6E )或其组合。图6A-6D的标识符可附加到盒带、粘贴或固 定在盒带上或盒带中、描绘到盒带上或蚀刻到盒带中、放置在盒带中、加 工到盒带上或盒带中、集成到盒带中等。这里，附加可标识将标识符与盒 带结合的任意方法。
图7是连接到一个或多个主机卯0和一个或多个密钥服务器708 (以 下将进行描述)的自动数据存储库700的另一个方块图。库700包括库控 制器800、可移动介质盒带可以储存在其中的架702、 一个或多个数据存储 驱动器710、以及自动盒举存取器704，自动盒带存取器704在库控制器 800的引导或控制下在存储架702和驱动器(多个)卯0之间传送盒带。库 700还可以包括用户接口 706，例如操作员面板、触摸屏、键盘和/或显示 器、远程计算机、web用户界面等。
库控制器800包括可操作以执行存储在存储器804中的指令的处理器 802。控制器800还包括主机接口 806、驱动器接口 808、存取器接口 810、密钥服务器接口 812以及控制台接口 814。驱动器710可包括主机接口 (未 示出)。驱动器接口 808还可包括对于库的接口 (如上所述)，并且可能 不存在主机接口 806。控制器800和驱动器710之间通过驱动器4妄口 808 的连接可以采用专用的库-驱动器接口( LDI )协议,可以包括工业标准SCSI T10ADI (自动驱动器接口 )库-驱动器接口，或可以包括行业内/>知的任 意库-驱动器接口。其中，"库-驱动器接口"可表示在库和驱动器之间的 任意接口。
将加密密钥以安全的方式存储在密钥服务器708中，或与密钥服务器 连接的密钥存储器中。其中，"密钥服务器"可额外地表示与密钥服务器 关联的密钥存储器。密钥存储器可包括软件元素，例如阵列、结构、数据 库、文件等。此外，密钥存储器可包括硬件元素，例如存储器、介质、硬 盘驱动器等。密钥服务器708可以是专用PC或服务器(如图7所示)， 并且可通过任意已知方式连接至控制器800，例如但不限于，串行接口、 并行接口或光接口，例如RS-232、 USB (通用串行总线)、串行或并行 ATA (AT附加装置)、SCSI (小型计算机系统接口 ) 、 SAS (串行连接 SCSI)、光纤通道、IEEE 1394 ( FireWire或iLink) 、 IEEE 1284 (并行 端口)等。此外，1/0接口 405可包括但不限于网络或无线接口，例如以 太网、CAN (控制器局域网)、802.11 (Wi-Fi) 、 X.25 (WAN)、蓝牙 等。在一个实例中，密钥服务器通过采用TCP/IP的以太网网络连接至控 制器800。密钥服务器708还可集成到库控制器中(图8)或主机中(图9)。 在这种情况下，在密钥服务器和库控制器800之间或在密钥服务器和主机 900之间的连接可包括与非物理接口的逻辑连接。
库用户或管理员建立一个或多个加密策略。对于每个策略，管理员将 选择一个或几个加密的等级，包括无加密、使用l个加密密钥、使用2个 加密密钥等。对于每个加密策略，管理员还选择一个或多个加密密钥(取 决于选择的安全等级)。最后，对于每个加密策略，管理员将选择一个或 多个数据盒带与策略关联。优选地，盒带通过如图6A-6E中所示的它们各 自盒带标识符来标识。作为额外的等级保证，策略可需要通过多于一个标
19识符来识别盒带，例如在盒带存储器(图6A)中和在外部条形码标记(图 6B)上存储的值。还可以使用其它标识符的组合。当读取标记，并且策略 需要多于一个标识符来确认盒带身份时，仅在2个标记匹配于策略的标识 时确认盒带的标识。管理员可录入与加密策略关联的标识符作为单个值或 标识符值的范围，或两者组合。备选地，可通过盒带存储加密策略。在这 种情况下，标识符不需要通过加密策略被物理地存储，但是相反被暗示为 策略的一部分。例如，具有通过其存储的策略的盒带还可具有主机应用用 于从其它盒带识别特定盒带的盒带标识符。因此，标识不需要通过盒带的 策略存储，因为盒带已经包含标识。因此，根据本发明，能够选择哪些盒 带具有它们所加密的数据，到什么等级，以及哪些盒带具有未加密的数据。
此外，可对于不同用户建立不同的加密策略，因此对于那些需要对指 定数据访问的用户限制这种访问。例如，《艮行的某些雇员需要访问所存储 的检查镜像，但是不需要访问个人客户信息。因此，对于这种雇员的策略 可包括的加密密钥与分配给需要访问个人客户信息的那些更高等级雇员的 策略的加密密钥不同。
在另 一变型中，可对某些加密策略分配特定存储驱动器或包含驱动器 的逻辑库。通常，库提供逻辑分区或逻辑库。期望将一个逻辑库从另一个 逻辑库分离，从而使得它们对于连接的主机系统看来是完全分离的物理库。
这使得不同的主机系统和/或主机应用共享相同的物理库。重要地，来自一 个逻辑库的数据不会不当地出现在另 一逻辑库中，因为这样可导致数据的 安全缺口。此外，因为主机应用可擦除在没有识别的盒带上的数据，所以 这样可导致数据丢失。通过对不同的逻辑库或逻辑库中的驱动器分配不同 的加密策略，因为与 一个逻辑库关联的主机计算机不必访问另 一个逻辑库 的加密密钥，所以可进一步减少对错误数据盒带的不当访问的风险。在另 一个变型中，可对每个驱动器分配缺省策略或密钥，和/或可将全局缺省策 略或密钥分配给所有驱动器。在加密策略未指定特定密钥时，对于特定驱 动器的缺省密钥允许在驱动器中的介质通过缺省驱动器密钥加密。这样可 用于消除在每次创建策略时指定公共密钥的需求。此外，在不存在驱动器特定缺省密钥并且加密策略未指定特定密钥时，全局缺省密钥允许在任意 驱动器中的介质通过全局缺省密钥加密。缺省密钥和/或缺省全局密钥可通 过库或密钥服务器指定，或配置在库或密钥服务器中。
在录入加密策略之后，可将它们存储在加密策略表中，例如在库控制
器800的存储器804中存储的表1000 (图7 )。备选地，可通过控制器800 将表1000发送到或存储到存储驱动器700中的存储设备1010中(图10 )。 此外，加密策略表可包括用于盒带的一个或多个策略，加密策略表可通过 应用策略的盒带来存储。结果，每个盒带可具有其自己的加密策略表。例 如，用于特定盒带的策略可存储在图6A中的盒带600的盒带存储器610 中，或可存储在图6D中的盒带600的RFID标签616中。在另一个实例 中，用于特定盒带的策略可存储在图6E中的盒带600的介质618中。此 外，用于特定盒带的策略可通过图6B中的盒带612或图6C中的盒带614 的外部的机器可读标记指定。
在操作中，主机卯0向库控制器800发送对于指定盒带访问的请求。 库控制器800直接控制存取器704或向存取器704发送命令，以将盒带从 存储架702传送到驱动器1710。存取器704可具有读取器(例如条形码读 取器、相机、RFID读取器等)，用于在盒带从存储架702移动之前、期 间或之后从盒带读取或获得一个或多个盒带标识符，以验证盒带的身份。 盒带标识符可以在移动盒带之前被读取。例如，库通常保存盒带的清单、 它们的标识符以及它们在库中的位置。清单可用于在盒带移动之前验证其 身份。在另一个实例中，盒带标识符可在从存储架702刚刚移动盒带之前 被读取，以具有更高确信度的确认盒带的身份。备选地，盒带标识符可以 在移动盒带的同时4皮读取。例如，库控制器800可具有在盒带处于库存取 器的夹具中时读取盒带标识符的能力。此外，盒带标识符可以在将盒带移 动到驱动器710之后被读取。例如，库可在盒带移动到驱动器之后确认盒 带身份。在另一个实例中，库控制器800可使用驱动器来读取盒带标识符。 应该理解，如果标识符存储在指定盒带中的介质上，则在读取标识符之前 必须将盒带加载到驱动器710中。还可以理解， 一个或多个读取器可以与
21驱动器710关联，代替或除了可以与存储区704关联的任意读取器。例如， 驱动器710可包括盒带存储器读取器，而库800可不包括。
在将加密策略表IOOO存储在库控制器(图7)的本发明一个实施例中， 盒带标识符信息通过库控制器800来读取，或发送至库控制器800。控制 器800将标识符与表1000中的标识符相比较，如果发现匹配，则启动与驱 动器710或密钥服务器708的通信，以向驱动器710提供由适当加密策略 所需的加密密钥(多个)。如果启动的通信是通向驱动器的，则它可以是 用于所需密钥的密钥标识符的形式，或者可以是通向需要加密的驱动器的 信号。然后，驱动器可使用这个标识符或信号来请求密钥。备选地，通向 驱动器的通信可以是策略信息的形式，例如盒带标识符。驱动器可以将库 提供的盒带标识符与驱动器获得的盒带标识符相比较，以确定请求哪些密 钥(如果存在)。如果启动的通信是通向密钥服务器的，则它可以是密钥 请求的形式。在这个实施例中，在驱动器710与密钥服务器708之间的通 信经过库控制器800，其用作密钥服务器708或用作密钥服务器708的代 理。密钥服务器的库代理指的是库提供在驱动器和密钥服务器之间建立通 信的路径或手段的事实。例如，库/驱动器接口可包括RS-422上的SCSI T10 自动驱动器接口 (ADI)。密钥服务器接口可包括以太网上的TCP/IP接 口。作为代理，库可提供在驱动器ADI协议与密钥服务器TCP/IP协议之 间的协议转换。此外，库可提供比协议转换更多的功能。例如，对于库的 驱动器密钥请求可包括与从库到密钥服务器的密钥请求不同的请求。换句 话说，在驱动器和密钥服务器之间命令和数据信息可能完全不同，从而简 单的协议转换不足以桥接通信。备选地，在驱动器710与密钥服务器708 之间的通信可经过主机计算机设备驱动器、操作系统、文件系统或主机上 的某些其它软件。例如，在主机计算机上的设备驱动器可以是驱动器和密 钥服务器之间的代理。在驱动器710接收到密钥(多个)之后，然后它可 根据密钥(多个)对于要写入到指定盒带中的介质的数据加密。
在将加密策略表1000存储在驱动器(图10)的可选实施例中，驱动 器710从库控制器读取标识符和/或接收标识符，并且将标识符与表1000中的标识符相比较，如果发现匹配，则请求密钥服务器708向驱动器710 提供由适当加密策略所需的加密密钥(多个)。密钥服务器708向驱动器 710发送回所请求的密钥。在这个实施例中，在驱动器710与密钥服务器 708之间的通信可经过库控制器800，其用作密钥服务器708或用作密钥服 务器708的代理。备选地，在驱动器710与密钥服务器708之间的通信可 经过设备驱动器、操作系统、文件系统或主机上的某些其它软件。在驱动 器710接收到密钥(多个)之后，然后它可根据密钥(多个)对于要写入 到指定盒带中的介质的数据加密。
在通过盒带存储加密策略的另 一个实施例中，库和/或驱动器直接从盒 带读取策略信息，并请求密钥服务器708向驱动器710提供由适当加密策 略所需的加密密钥(多个)。由于通过盒带存储策略，所以盒带标识符可 #1暗示并且可能不会被实际存储或与策略相关。在一个实施例中，印制、 加工或创建标记以存储策略。标记可包括对于本领域普通技术人员已知的 纸张、塑料、金属、玻璃或任意其它标记材料。标记还可包括代和的集成 部分。例如，盒带可铸模或加工有用来指定策略的某些特征。在另一个实 例中，盒带可具有集成机器可读电子显示器，其可通过用以指定策略的不 同信息来更新。在另一个实施例中，可通过库的用户接口、驱动器、主机 计算机、密钥服务器、或与库连接的另一计算机来创建策略。 一旦限定用 于一个或多个盒带的策略，将该策略写入盒带。策略的写入指的是将策略 信息与盒带结合。库、驱动器或另一装置可实际地向盒带写入策略信息。 例如，如果盒带存储器用于存储策略，则库可向盒带写入策略，或者它可 使用驱动器向盒带写入策略。本领域普通技术人员已知地，在使用标记来 识别盒带策略的情况下，可以在将标记附加、压印、或加工至盒带时写入 策略。
通过启动与密钥服务器708的通信的驱动器710描述了优选实施例。 要指出的是，库可启动与密钥服务器的通信。例如，如果库知道用于特定 驱动器的策略，则它可以从密钥服务器请求适当的密钥，并向驱动器提供 密钥。在优选实施例中，对于要发送(transmit)、发送(transmits)、发送的(transmitted)、或发送中(transmitting)的引用指的是通过接口、 或从一个组件、设备或对象向另一个对信息的传送。在优选实施例中，对 于录入加密策略的引用指的是策略的选择、输入或创建。例如，操作员可 以在库的用户接口录入策略。在另一个实例中，可以在印制、加工或创建 标记时录入策略。
重要的是指出，虽然在完整功能的数据处理系统的上下文中说明了本 发明，但是本领域的普通技术人员将理解，可以以指令的计算机可读介质 的形式和各种形式来发布本发明的诸过程，并且本发明均可适用而与实际 用于执行发布的信号承载介质的特定类型无关。计算机可读介质的实例包 括可记录型介质，诸如软盘、硬盘驱动器、RAM、 CD-ROM以及传输型 介质，例如数字和模拟通信链路。
出于示例和说明目的给出了对本发明的描述，并且所述描述并非旨在 是穷举的或是将本发明限于所公开的形式。对于本领域的普通技术人员来 说，许多修改和变化都将是显而易见的。实施例的选择和描述是为了最佳 地解释本发明的原理、实际应用，并且当适合于所构想的特定使用时，使 得本领域的其他技术人员能够理解本发明的具有各种修改的各种实施例。 此外，虽然以上针对方法和系统进行了描述，但是还可以通过包含用于验 证自动存储库中的可移动介质的身份的指令的计算机程序产品来满足本领 域的需要。
权利要求
1. 一种对于数据存储库中的可移动介质数据盒带上的数据加密的方法，包括建立一个或多个盒带加密策略；从主机接收对于在库中的存储单元中存储的指定数据盒带访问的请求；从所述存储单元向存储驱动器传送所述指定数据盒带；从所述一个或多个盒带加密策略中选择用于所述指定数据盒带的加密策略；响应于所选择的加密策略，获得用于所述指定数据盒带的加密密钥；以及根据所获得的加密密钥对于所述指定数据盒带上的数据加密。
2. 如权利要求1的方法，还包括在选择用于所述指定数据盒带的 加密策略之前，从所述指定数据盒带读取盒带标识符，以确认所述指定数 据盒带的身份。
3. 如权利要求2的方法，还包括响应于确认所述指定盒带的身份， 从所述一个或多个盒带加密策略中选择用于所述指定数据盒带的加密策 略。
4. 如权利要求1的方法，其中选择用于所述指定数据盒带的加密策 略的步骤包括从所述数据盒带读取所述策略。
5. 如权利要求1的方法，还包括在所述存储驱动器中存储所述一 个或多个加密策略，其中选择用于所述指定数据盒带的加密策略的步骤通 过所述存储驱动器来执行。
6. 如权利要求5的方法，其中获得所选择的加密密钥的步骤包括 从所述存储驱动器向密钥服务器发送对于所选择的加密密钥的请求。
7. 如权利要求1的方法，还包括在库控制器中存储所述一个或多 个加密策略，其中选择用于所述指定数据盒带的加密策略的步骤通过所述库控制器来执行。
8. 如权利要求l的方法，还包括 创建加密策略表；将一个或多个加密策略录入到所述表中；以及 将一个或多个数据盒带与所录入的每个加密策略关联，每个数据盒带 具有盒带标识符。
9. 如权利要求8的方法，其中将一个或多个数据盒带与所录入的每 个加密策略关联的步骤包括通过指定以下内容中的至少一个来关联多个 数据盒带，所述内容包括它们的相应盒带标识符和相应盒带标识符的一 个或多个范围。
10. 如权利要求8的方法，还包括通过所述盒带存储所W。
11. 如权利要求8的方法，还包括建立对于所述库中的一个或多个 存储驱动器的缺省策略。
12. —种对于数据存储库中的可移动介质数据盒带上的数据加密的 装置，包括建立一个或多个盒带加密策略的模块；从主机接收对于在库中的存储单元中存储的指定数据盒带访问的请 求的模块；从所述存储单元向存储驱动器传送所述指定数据盒带的模块； 从所述一个或多个盒带加密策略中选择用于所述指定数据盒带的加 密策略的才莫块；响应于所选择的加密策略获得用于所述指定数据盒带的加密密钥的 模块；以及根据所获得的加密密钥对于所述指定数据盒带上的数据加密的模块。
13. 如权利要求12的装置，还包括在选择用于所述指定数据盒带 的加密策略之前，从所述指定数据盒带读取盒带标识符以确认所述指定数 据盒带的身份的模块。
14. 如权利要求13的装置，还包括响应于确认所述指定盒带的身份，从所述一个或多个盒带加密策略中选择用于所述指定数据盒带的加密 策略的模块。
15. 如权利要求12的装置，还包括从所述数据盒带读取所述策略 的模块。
16. 如权利要求12的装置，还包括在所述存储驱动器中存储所述 一个或多个加密策略的模块。
17. 如权利要求16的装置，还包括从所述存储驱动器向密钥服务 器发送对于所选择的加密密钥的请求的模块。
18. 如权利要求12的装置，还包括在库控制器中存储所述一个或 多个加密策略的模块。
19. 如权利要求12的装置，还包括 创建加密策略表的模块；将一个或多个加密策略录入到所述表中的模块；以及 将一个或多个数据盒带与所录入的每个加密策略关联的模块，每个数 据盒带具有盒带标识符。
20. 如权利要求19的装置，还包括通过指定以下内容中的至少一 个来关联多个数据盒带的模块，所述内容包括它们的相应盒带标识符和 相应盒带标识符的一个或多个范围。
21. 如权利要求19的装置，还包括通过所述盒带存储所述表的模块。
22. 如权利要求19的装置，还包括建立对于所述库中的一个或多 个存储驱动器的缺省策略的模块。
23. —种计算机程序，包括当在计算机上运行所述程序时适用于执行 权利要求1至11中任意权利要求的所有步骤的程序代码模块。
24. —种数据存储系统，包括多个存储架，用于在库壳体单元中存储数据盒带，数据存储盒带包括 数据存储介质；数据存储驱动器，可操作以向所述数据存储介质写入数据和/或从所述数据存储介质读取数据；库控制器，可连接以从主机计算机接收数据访问请求；自动存取器，用于在所述库控制器的引导下在所述存储架和所述数据存储驱动器之间传送数据存储盒带；密钥服务器，可连接至所述库控制器，用于存储多个加密密钥； 加密策略表，用于存储一个或多个加密策略，并且对于每个加密策略，一个或多个数据盒带的身份与所述加密策略关联；以及库驱动器接口 ，用于由所述数据存储驱动器向所述库控制器发送对于加密密钥的请求，其中响应于从所述密钥服务器获得所请求的加密密钥，所述库控制器可操作以使用所述库驱动器接口向所述数据存储驱动器发送所请求的加密密钥。
25. —种与数据存储库关联的控制器，包括用户接口 ，用于接收一个或多个加密策略的用户输入以及与每个加密 策略关联的一个或多个盒带标识符，每个盒带标识符表示数据盒带或数据 盒带的范围；库驱动器接口 ，用于向所述库中的存储驱动器发送所述加密策略和关 联的盒带标识符；主机接口 ，用于从主机接收对于在所述库中的存储单元中存储的指定 数据盒带访问的请求；存取器接口 ，用于控制自动存取器将所述指定数据盒带传送至存储驱 动器；所述库驱动器接口还可操作以响应于所述存储驱动器将所述指定数 据盒带与相应加密策略匹配从所述存储驱动器接收对于加密密钥的请求；用于获得所请求的加密密钥的模块；以及所述库驱动器接口还可操作以向所述存储驱动器发送所述加密密钥， 然后所述存储驱动器对写入所述指定数据盒带的数据加密。
26. —种数据存储库中的数据存储驱动器，包括用户接口 ，用于接收一个或多个加密策略的用户输入以及与每个加密策略关联的一个或多个盒带标识符，每个盒带标识符表示在所述库中存储的数据盒带；用于获得被加载到所述存储驱动器中的数据盒带的盒带标识符的模块；将所述标识符与关联的加密策略匹配的模块；以及 库驱动器接口，可操作以响应于所述盒带标识符与相应加密策略匹配向密钥服务器发送 对于加密密钥的请求；接收所请求的加密密钥；以及 对于要写入被加载的数据盒带的数据加密的加密模块。
全文摘要
在自动数据存储库中，提供对于可移动介质上存储或要存储的数据的选择性加密。建立一个或多个加密策略，每个策略包括加密等级、一个或多个加密密钥和一个或多个数据盒带的身份。将加密策略存储在策略表中，将加密密钥存储在安全密钥服务器中。主机请求对于指定数据盒带的访问，并且将所述盒带从库中的存储架传送到存储驱动器。基于指定盒带的身份，从所述表选择相应的加密策略，并且从密钥服务器获得适当的加密密钥。存储驱动器根据密钥对数据加密，并将数据存储在指定数据盒带中的介质上。
文档编号G06F21/24GK101512538SQ200780033245
公开日2009年8月19日 申请日期2007年8月22日 优先权日2006年9月7日
发明者B·G·古德曼, J·A·菲舍尔, L·G·杰斯奥诺夫斯基 申请人:国际商业机器公司