技术特征:
1.一种用于促进计算环境中的处理的计算机程序产品,所述计算机程序产品包括:计算机可读存储介质,其可由一个或多个处理电路读取并且存储用于执行操作的指令,所述操作包括:在发起方节点上的发起方信道处从响应方节点上的响应方信道接收认证响应消息以建立安全通信,所述接收在所述发起方节点上执行的本地密钥管理器(lkm)处进行;基于所述发起方节点和所述响应方节点的安全关联来执行状态检查;对所述认证响应消息执行验证;从所述认证响应消息中提取所选择的加密算法的标识符;以及至少部分地基于成功的状态检查、成功的验证和所选择的加密算法来请求所述发起方信道与所述响应方信道通信。2.如权利要求1所述的计算机程序产品,其中所述响应方信道与所述发起方信道之间的通信经由存储区域网络(san)进行。3.如权利要求1所述的计算机程序产品,其中所述操作还包括:至少部分地基于从先前接收到的初始化消息中提取的一个或多个参数来计算响应方签名;以及将所述响应方签名与从所述认证响应消息中提取的签名进行比较,作为进一步的验证。4.如权利要求3所述的计算机程序产品,其中所述响应方签名是基于发起方临时值、共享密钥、响应方标识符、以及来自加密密钥集的至少一个密钥来计算的。5.如权利要求1所述的计算机程序产品,其中所述操作还包括解密所述认证响应消息的有效负载,且验证所述认证响应消息包括基于解密所述有效负载而检查一个或多个消息报头参数和所述有效负载的标识符。6.如权利要求1所述的计算机程序产品,其中所述状态检查还包括验证所述发起方节点的安全关联状态。7.如权利要求1所述的计算机程序产品,其中,所述状态检查还包括验证所述lkm的最后接收的消息状态和最后发送的消息状态。8.如权利要求1所述的计算机程序产品,其中,所述操作还包括基于不成功的验证结果或者基于确定所述认证响应消息包括指示所述响应方节点处的错误状况的通知类型消息,拒绝所述认证响应消息。9.如权利要求1所述的计算机程序产品,其中,所述lkm在计算机系统的逻辑分区中执行。10.如权利要求1所述的计算机程序产品,其中,所述响应方节点是主机计算机或存储阵列。11.如权利要求1所述的计算机程序产品,其中,所述操作还包括构建lkm完成消息,该lkm完成消息包括一个或多个会话密钥、发起方安全参数索引(spi)和响应方spi,以使得能够使用所选择的加密算法在所述发起方信道和响应方信道之间进行加密通信。12.如权利要求11所述的计算机程序产品,其中,所述操作还包括启动触发关于外部密钥管理器的重设密钥过程的重设密钥定时器。13.如权利要求12所述的计算机程序产品,其中,所述操作还包括在启动所述重设密钥
定时器之后,将安全关联状态设置为完成,并将所述lkm完成消息发送到所述发起方信道。14.一种促进计算环境内的处理的计算机实现的方法,所述计算机实现的方法包括:在发起方节点上的发起方信道处从响应方节点上的响应方信道接收认证响应消息以建立安全通信,所述接收在所述发起方节点上执行的本地密钥管理器(lkm)处进行;基于所述发起方节点和所述响应方节点的安全关联来执行状态检查;对所述认证响应消息执行验证;从所述认证响应消息中提取所选择的加密算法的标识符;以及至少部分地基于成功的状态检查、成功的验证和所选择的加密算法来请求所述发起方信道与所述响应方信道通信。15.如权利要求14所述的计算机实现的方法,还包括:至少部分地基于从先前接收到的初始化消息中提取的一个或多个参数来计算响应方签名,其中所述响应方签名是基于发起方临时值、共享密钥、响应方标识符、以及来自加密密钥集的至少一个密钥来计算的;以及将所述响应方签名与从所述认证响应消息中提取的签名进行比较,作为进一步的验证。16.如权利要求14所述的计算机实现的方法,还包括:解密所述认证响应消息的有效负载,其中验证所述认证响应消息包括基于解密所述有效负载而检查一个或多个消息报头参数和所述有效负载的标识符。17.如权利要求14所述的计算机实现的方法,其中,所述状态检查还包括验证所述发起方节点的安全关联状态,并且所述状态检查还包括验证所述lkm的最后接收的消息状态和最后发送的消息状态。18.如权利要求14所述的计算机实现的方法,还包括:构建lkm完成消息,该lkm完成消息包括一个或多个会话密钥、发起方安全参数索引(spi)和响应方spi,以使得能够使用所选择的加密算法在所述发起方信道和响应方信道之间进行加密通信;以及启动触发关于外部密钥管理器的重设密钥过程的重设密钥定时器。19.一种用于促进计算环境内的处理的计算机系统,所述计算机系统包括:发起方节点;以及耦合到所述发起方节点的多个信道,其中所述计算机系统被配置为执行包括以下的操作:在发起方节点上的发起方信道处从响应方节点上的响应方信道接收认证响应消息以建立安全通信,所述接收在所述发起方节点上执行的本地密钥管理器(lkm)处进行;基于所述发起方节点和所述响应方节点的安全关联来执行状态检查;对所述认证响应消息执行验证;从所述认证响应消息中提取所选择的加密算法的标识符;以及至少部分地基于成功的状态检查、成功的验证和所选择的加密算法来请求所述发起方信道与所述响应方信道通信。20.如权利要求19所述的计算机系统,其中,所述发起方节点是主机计算机,并且所述lkm在所述主机计算机的逻辑分区中执行,并且所述响应方节点是存储阵列。
技术总结
公开了一种计算机实现的方法,包括在发起方节点上的发起方信道处从响应方节点上的响应方信道接收认证响应消息以建立安全通信,所述接收在发起方节点上执行的本地密钥管理器(LKM)处进行。基于发起方节点和响应方节点的安全关联来执行状态检查。执行认证响应消息的验证。从认证响应消息中提取所选择的加密算法的标识符。发起方信道至少部分地基于成功的状态检查、成功的验证和所选择的加密算法来请求与响应方信道通信。与响应方信道通信。与响应方信道通信。
技术研发人员:许牧恒 R
受保护的技术使用者:国际商业机器公司
技术研发日:2021.02.16
技术公布日:2022/9/9