当将数据写到存储设备时，数据处理系统通常要对数据进行加密。 例如，数据处理系统可以对写到磁带的数据进行加密。如果磁带后来落 入恶意用户的手中，则加密的数据因受到保护而不会被恶意用户读取。
数据处理系统通常用加密密钥对数据进行加密。加密密钥可以是具 有指定数目的数字的随机数。使用指定的算法将加密密钥应用于数据， 可以对数据进行加密。可以通过使用加密密钥并逆向进行该指定算法来 将数据解密成可识别的形式。
数据处理系统可以使用一个或多个EKM来提供用于对数据进行加 密的加密密钥。多个EKM可以确保当需要时有可用的EKM来提供加 密密钥。此外，EKM可以分布在整个数据处理系统中以减小接收加密 密钥的时延。
只有当数据处理系统能建立与EKM的通信时，才能获得加密密钥 以加密和保护数据。此外，每个EKM必须能够提供指定类型的加密密 钥。如果数据处理系统不能与EKM通信和/或如果EKM不能提供指定 类型的加密密钥，则数据可能会被不加保护地存储在存储设备上。
遗憾的是，对管理员来说没有一种方便的方式去检验能与EKM通 信以及EKM能提供指定类型的加密密钥。因此，管理员可能不确定数 据是否已被正确地保护。

根据前述讨论，需要有一种检查EKM运行状况的设备、系统和方 法。这种设备、系统和方法将有益地使得管理员可以方便地检查多个 EKM的功能性。
本发明是针对现有技术而开发的，特别地，本发明是针对当前可用 的EKM运行状况检查方法未能完全解决的本领域中的问题和需求而开 发的。因此，本发明被开发为提供一种用于检查EKM运行状况的设备、 系统和方法，其克服了以上讨论的本领域中的缺点中的很多或全部。
提供了一种检查EKM运行状况的设备，该设备具有配置为从功能 上说执行以下步骤的多个模块：识别EKM，建立与EKM的通信，从 EKM请求加密密钥，以及检验存在到EKM的有效加密密钥路径。在所 描述的实施例中，这些模块包括识别模块，通信模块，请求模块和检验 模块。该设备还可以包括报告模块。
识别模块从多个EKM中识别出一个EKM。通信模块建立与EKM 的有效通信路径。请求模块从EKM请求加密密钥。请求模块还可以确 认EKM能证明磁带驱动器的可靠性。
检验模块检验存在到EKM的有效加密密钥路径。在一个实施例中， 检验模块确认EKM能与磁带驱动器交换加密密钥。
在一个实施例中，报告模块生成具有多个EKM中的每个EKM的 状态的运行状况检查报告。该设备检查EKM的运行状况，确保EKM 能与磁带驱动器通信并且能与磁带驱动器共享加密密钥。
还提出了一种本发明的系统，用于检查EKM的运行状况。该系统 可以包含在数据处理系统中。特别地，在一个实施例中，该系统包括多 个磁带驱动器，多个EKM，以及主机。
磁带驱动器配置为存储数据，该数据包括用加密密钥加密的数据。 EKM配置为提供加密密钥。主机与磁带驱动器和EKM通信。此外，该 主机包括识别模块、通信模块、请求模块、检验模块和报告模块。
识别模块从多个EKM中识别出每个EKM。通信模块建立与每个 EKM的通信。请求模块从EKM请求加密密钥。检验模块检验存在到每 个EKM的有效加密密钥路径。报告模块生成具有多个EKM中的每个 EKM的状态的运行状况检查报告。该系统检查EKM能给磁带驱动器提 供有效的加密密钥。
还提出了一种本发明的方法，用于检查EKM运行状况。在所公开 的实施例中，该方法基本上包括实施以上针对所描述的设备和系统的操 作而提出的功能的步骤。在一个实施例中，该方法包括识别EKM，建 立与EKM的通信，从EKM请求加密密钥，以及检验存在到EKM的有 效加密密钥路径。
识别模块从多个EKM中识别出一个EKM。通信模块建立与EKM 的通信。请求模块从EKM请求加密密钥。检验模块检验存在到EKM 的有效加密密钥路径。在一个实施例中，检验模块确认EKM能与磁带 驱动器交换加密密钥。检查模块还可以确认EKM能证明磁带驱动器的 可靠性。该方法确认EKM能提供用于数据存储的加密密钥。
在整个本说明书中对特征、优点的引用或类似的语言并不暗示着可 以利用本发明来实现的所有特征和优点都应当在本发明的任意一个单 独的实施例中。相反，应当将表示特征和优点的语言理解为意味着结合 实施例而描述的特定特征、优点或特点是包括在本发明的至少一个实施 例中的。因此，在整个本说明书中，对特征和优点的讨论以及类似的语 言可以但并非一定表示同一实施例。
此外，可以在一个或多个实施例中以任意合适的方式对所描述的本 发明的特征、优点和特点进行组合。本领域技术人员应当认识到，可以 在没有特定实施例的一个或多个特定特征或优点的情况下实现本发明。 换句话说，附加的特征和优点可能会出现在某些实施例中，但可以不出 现在本发明的所有实施例中。
本发明检查EKM的运行状况。通过检查EKM的运行状况，本发 明展示了EKM能提供用于加密和保护数据的有效加密密钥。本发明的 这些特征和优点将在以下的描述和所附的权利要求书中更加全面地显 现，或可以从以下阐述的本发明的实践中了解到。
附图说明
为了容易地理解本发明的优点，将通过参考在附图中图示的特定实 施例来呈现对以上简要描述的本发明的更详细描述。应当理解，这些附 图仅仅描绘了本发明的典型实施例，因此不应视为对本发明范围的限 制，将通过使用附图更特别且更详细地描述和说明本发明，其中：
图1是图示根据本发明的数据处理系统的一个实施例的示意性框 图；
图2是图示本发明的控制器的一个实施例的示意性框图；
图3是图示本发明的主机的一个实施例的示意性框图；
图4是图示本发明的EKM数据集的一个实施例的示意性框图；
图5是图示本发明的运行状况检查设备的一个实施例的示意性框 图；
图6是图示本发明的运行状况检查方法的一个实施例的图表流程 图；以及
图7是图示本发明的运行状况检查报告的一个实施例的文字图；

本说明书中描述的很多功能单元都被标记为模块，以便更特别地强 调它们的实现独立性。例如，模块可以实现为硬件电路，包括定制的 VLSI电路或门阵列，诸如逻辑芯片、晶体管之类的现成的半导体，或 其他分立组件。模块还可以用可编程的硬件设备来实现，该硬件设备诸 如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等。
模块还可以用由各种类型的处理器执行的软件来实现。由可执行代 码构成的所标识的模块例如可以包括计算机指令的一个或多个物理块 或逻辑块，其例如可以组织为对象、程序或函数。尽管如此，所标识的 模块的可执行代码不需要物理上在一起，而是可以包括存储在不同位置 的完全不同的指令，当这些指令在逻辑上相结合时，就形成了该模块并 实现了所提出的针对该模块的目的。
实际上，由可执行代码构成的模块可以是单个指令或很多指令，并 且甚至可以分布在若干不同的代码段上、不同的程序之间以及若干存储 设备中。类似地，在此可以在模块内标识和说明操作数据，并且该操作 数据可以具体体现为任意合适的形式并组织在任意合适类型的数据结 构内。操作数据可以被集合为单个数据集，或可以分布在不同的位置， 包括在不同的存储设备中。
在整个本说明书中对“一个实施例”、“实施例”的引用或类似的语 言意味着结合实施例而描述的特定特征、结构或特点包括在本发明的至 少一个实施例中。因此，在整个本说明书中出现的短语“在一个实施例 中”、“在实施例中”或类似的语言可以但并非一定全都表示同一实施 例。
此外，可以在一个或多个实施例中以任意合适的方式对所描述的本 发明的特征、优点和特点进行组合。在以下的描述中，提供了很多特定 的细节，诸如编程、软件模块、用户选择、网络事务、数据库查询、数 据库结构、硬件模块、硬件电路、硬件芯片等等的例子，以提供对本发 明的实施例的透彻理解。然而，本领域技术人员应当认识到，可以在没 有一个或多个特定细节的情况下或者利用其他方法、组件、材料等来实 践本发明。换句话说，没有详细地示出或描述公知的结构、材料或操作， 以避免使本发明的各方面变得模糊。
图1是图示根据本发明的数据处理系统100的一个实施例的示意性 框图。系统100包括一个或多个主机105，控制器110，一个或多个磁 带驱动器115，以及网络120。虽然为简单起见，示出的系统100具有 三个主机105、一个控制器110、三个磁带驱动器115和一个网络120， 但是可以部署任意数目的主机105、控制器110、磁带驱动器115和网 络120。此外，本领域技术人员将很容易认识到，诸如光存储设备、硬 盘驱动器之类的其他设备也可以包含在系统100中。
磁带驱动器115将数据存储在磁带上并从磁带获取数据。磁带可以 以低成本存储大量数据。磁带驱动器115可以配置为对数据进行加密和 解密。
在一个实施例中，控制器110管理磁带驱动器115。例如，控制器 110可以指示将特定的磁带卷安装到磁带驱动器115上，以便可以从指 定的磁带卷获取数据。作为替代，控制器110可以指示将空白磁带安装 到磁带驱动器115上，以便可以向空白磁带存储数据。
主机105可以是大型机、服务器、计算机工作站等等。主机105可 以将数据存储在磁带驱动器115上。例如，主机105a可以将档案数据 存储到安装在第一磁带驱动器115a上的磁带中。在将数据存储在磁带 中后，可以从第一磁带驱动器115移动该磁带用于存储。
在一个实施例中，主机105可以通过专门的通信信道与控制器110 进行通信。例如，第一主机105a和第二主机105b、控制器110和磁带 驱动器115可以都驻留在数据中心并且通过专门的光纤连接、专门的电 连接等进行通信。作为替代，主机105a可以通过网络120与控制器110 进行通信。网络120可以是因特网、广域网(WAN)等等。
遗憾的是，磁带还可能落入恶意的和/或未授权的用户手中。因此， 磁带驱动器115可以用加密密钥对所存储的数据进行加密以保护所存储 的数据。磁带驱动器115可以利用一个或多个特定算法使用加密密钥对 数据进行加密。主机106、磁带驱动器115和/或控制器110可以保留加 密密钥，以便在磁带驱动器中获取数据时，可以对加密的数据进行解密。
磁带驱动器115如后面将要描述的那样从加密密钥管理器(EKM) 收到加密密钥。为了使磁带驱动器115安全地对数据进行加密，磁带驱 动器115必须能够在数据需要加密时收到有效的加密密钥。本发明检查 EKM的运行状况以确保如后面将要描述的那样按照需求获得有效的加 密密钥。
图2是图示本发明的控制器110的一个实施例的示意性框图。控制 器110是图1中的控制器110。对控制器110的描述针对图1中的单元， 相同的标号针对相同的单元。控制器110包括EKM数据集、控制驱动 文件210、设备驱动代理文件215、一个或多个EKM 220以及配置文件 225。虽然为简单起见，只示出了两个EKM 220，但可以采用任意数目 的EKM 220。此外，EKM 220可以驻留在诸如主机105之类的其他设 备上。在一个实施例中，多达六十四(64)个EKM 220可以驻留在系 统100中。
每个EKM 220配置为生成一个或多个加密密钥，在一个实施例中， 每个EKM 220可以包括随机数生成器。例如，EKM 220可以生成一百 二十八(128)位的随机数作为加密密钥来使用。每个EKM 220还可以 证明磁带驱动器115的可靠性。例如，EKM 220可以证明第一磁带驱动 器115a是可信的能够加密的驱动器。
EKM数据集205存储系统100中每个EKM 220的记录。在一个实 施例中，EKM数据集205如后面将要描述的那样记录针对每个EKM 220 的诸如别名和网际协议(IP)地址之类的标识符。
配置文件225存储用于配置与EKM 220的通信的信息。例如，磁 带驱动器115可以用EKM的标识符来对EKM 220进行寻址，并且配置 文件225可以根据该标识符生成针对EKM 220的地址。控制器驱动文 件210和设备驱动代理文件215都是配置文件225的例子。
控制器驱动文件210是配置文件225的一个实施例。控制器驱动文 件210列出一个或多个管理主机105和控制器110之间通信的驱动器。 控制器驱动文件210可以列出一个或多个EKM 220。例如，控制器驱动 文件210可以包括多个EKM标识符、多个EKM地址等等。磁带驱动 器115可以通过将通信发往EKM 220的标识符来与EKM 220通信。控 制器驱动文件210可以将通信路由到EKM 210。在一个实施例中，控制 器驱动文件210是FICON文件，其列出了针对主机105和控制器110 之间的通过由纽约Armonk的国际商业机器公司(IBM)生产的企业系 统连接(ESCON)光串行接口的光纤连接的驱动器。
设备驱动代理文件215是配置文件225的可选的实施例。设备驱动 代理文件215配置为将来自主机105的命令转变为针对磁带驱动器115 的指令。例如，设备驱动代理文件215可以配置为微码转换表，其将每 个主机命令转换为相应的磁带驱动器命令，并且将每个磁带驱动器命令 转换为相应的主机命令。
在一个实施例中，磁带驱动器115通过发出访问设备驱动代理文件 215的命令从EKM 220请求加密密钥。作为对该命令的响应，设备驱动 代理文件215可以从设备驱动代理文件215获取针对EKM 220的地址， 并且命令被转发到EKM 220。设备驱动代理文件215可以包括针对每个 EKM 220的标识符和/或地址。在特定的实施例中，设备驱动代理文件 215是光纤信道(FC)代理文件。
图3是图示本发明的主机105的一个实施例的示意性框图。对主机 105的描述针对图1-图2中的单元，相同的标号针对相同的单元。如上 所述，主机包括EKM数据集205和一个或多个EKM 220。
在一个实施例中，单个EKM数据集205驻留在控制器110或主机 105上。作为替代，多个EKM数据集205可以分布在整个系统100中。 EKM 220也可以分布在整个系统100中。
图4是图示本发明的EKM数据集205的一个实施例的示意性框图。 EKM数据集205可以驻留在系统100中的主机105、控制器110等上。
EKM数据集205包括一个或多个EKM记录405。为简单起见，只 示出了两个EKM记录405。然而，本领域技术人员应当认识到，可以 采用任意数目的EKM记录405。
每个EKM记录405包括EKM别名410和EKM IP地址415。EKM 别名410和EKM IP地址415可以是数据字段。本领域技术人员应当认 识到，每个EKM记录405可以包括其他数据字段。EKM别名410和 EKM IP地址415还可以是平面数据文件、链接数据结构等的有界部分。
EKM别名410标识EKM 220。在一个实施例中，EKM别名410是 标识符。例如，磁带驱动器115可以通过使用EKM别名410请求加密 密钥。
EKM IP地址415可以是EKM 220的物理的和/或逻辑的地址。在 一个实施例中，针对EKM别名410的加密密钥请求被转换为EKM IP 地址415并且与传送到EKM IP地址415通信。
图5是图示本发明的运行状况检查设备500的一个实施例的示意性 框图。对设备500的描述针对图1-图4中的单元，相同的标号针对相同 的单元。设备500可以包含在主机105中。在一个实施例中，主机105 可以通过专门的通信信道与控制器110和磁带驱动器115通信。作为替 代，控制器105可以与控制器110和磁带驱动器115相距很远，并且通 过网络120与控制器110通信。
设备500包括识别模块505、通信模块510、请求模块515、检验模 块520以及报告模块525。识别模块505、通信模块510、请求模块515、 检验模块520和报告模块525可以分别配置为执行在主机105上执行的 一个或多个计算机可读程序的一部分。
识别模块505从多个EKM 220中识别出一个EKM 220。通信模块 510建立与EKM 220的通信。请求模块515从EKM 220请求加密密钥。
检验模块520检验存在到EKM 220的有效加密密钥路径。在一个 实施例中，检验模块520确认EKM 220能与磁带驱动器115交换加密 密钥。检验模块520还可以如后面将要描述的那样确认EKM 220能证 明磁带驱动器115的可靠性。
在一个实施例中，报告模块525生成具有多个EKM220中的每个 EKM 220的状态的运行状况检查报告。设备500检查EKM 220的运行 状况，确保EKM 220能生成针对磁带驱动器115的加密密钥。
一般将后面的示意性流程图阐述为逻辑流程图。这样，所描绘的顺 序和所标记的步骤表示所提出的方法的一个实施例。可以考虑在功能、 逻辑或效果上与所图示的方法的一个或多个步骤或其一部分等同的其 他步骤和方法。此外，所采用的格式和符号是为了说明该方法的逻辑步 骤，并且不应理解为对该方法范围的限制。尽管在流程图中可能采用了 各种箭头类型和线条类型，但不应将其理解为对相应方法范围的限制。 实际上，一些箭头或其他连接符可以仅用来表示该方法的逻辑流程。例 如，箭头可以表示所描绘的方法的已列举出的步骤之间的非指定期间的 等待或监视时段。此外，特定方法发生的顺序可以或者可以不严格按照 所示出的相应步骤的顺序。
图6是图示本发明的运行状况检查方法600的一个实施例的示意性 流程图。方法600基本上包括用以执行以上针对图1-图5的所描述的装 置和系统的操作而提出的功能的步骤。
对方法600的描述针对图1-图5中的单元，相同的标号针对相同的 单元。在一个实施例中，方法600用包括具有计算机可读程序的计算机 可读介质的计算机程序产品来实现。
方法600开始并且识别模块505从多个EKM 220中识别(605)出 一个EKM 220。在一个实施例中，识别模块505通过从EKM数据集205 读取针对EKM 220的EKM别名420和EKM IP地址415来识别(605) EKM 220。
通信模块510建立(610)与EKM 220的通信。在一个实施例中， 通信模块510通过用针对EKM 220的包括指定EKM 220的别名和IP 地址的新条目修改配置文件225来建立与EKM 220的通信。例如，配 置文件225可以直接请求对在配置文件225中列出的第一EKM 220的 加密密钥。通信模块510可以修改配置文件225以使得EKM 220成为 所列出的第一EKM 220。作为结果，将因对加密密钥的请求发往EKM 220。
在一个实施例中，如本领域技术人员公知的那样，通信模块510对 EKM 220进行ping操作。如果通信模块510接收到来自EKM 220的响 应，通信模块510可以通过防火墙与EKM 220通信。
检验模块520可以确认(612)EKM 220能证明磁带驱动器115的 可靠性。在一个实施例中，检验模块520指示EKM 220通过确认提供 给磁带驱动器115的唯一证书来证明磁带驱动器115是可信的加密驱动 器。
请求模块515从EKM 220请求(615)加密密钥。在一个实施例中， 请求模块515通过对磁带驱动器115进行仿真来请求(615)加密密钥。 例如，请求模块515可以创建磁带驱动器地址和标识符并将磁带驱动器 地址和标识符映射到请求模块515的逻辑地址。因此，指定的EKM 220 在与请求模块515通信时查看磁带驱动器115。该请求模块515可以进 一步地从指定的EKM 220请求(615)加密密钥，就好像该请求模块515 是磁带驱动器515一样。
在一个可选的实施例中，请求模块515可以指示控制器110将临时 磁带卷加载到磁带驱动器115。临时磁带卷在这里指的是临时卷。临时 卷的加载可以提示磁带驱动器115从EKM 220请求(616)加密密钥。
69检验模块520检验(620)存在到指定的EKM 220的有效加密密 钥路径。在一个实施例中，如果检验模块520收到来自指定的EKM 220 的有效加密密钥，则检验模块520检验出(620)存在到指定的EKM 220 的有效加密密钥路径。检验模块520还可以检验有效加密密钥路径是否 正确地配备了诸如防火墙异常、软件先决条件(software prerequisite)。
作为替代，如果安装临时卷的磁带驱动器115接收到来自指定的 EKM 220的有效加密密钥，则检验模块520可以检验(620)存在有效 加密密钥路径。检验模块520可以监视到安装临时卷的磁带驱动器115 的通信，以检验磁带驱动器115接收到加密密钥。
在一个实施例中，检验模块520确认(625)EKM能与磁带驱动器 115交换加密密钥。例如，如果检验模块520和/或磁带驱动器115和 EKM 220拥有有效加密密钥，则EKM 220能与磁带驱动器115交换加 密密钥。在一个实施例中，检验模块520向磁带驱动器115查询加密密 钥以确定磁带驱动器115具有加密密钥。
在一个实施例中，检验模块520确定(635)是否检验了多个EKM 220中的最后一个EKM 220。如果还没有检验最后一个EKM，则识别 模块505从多个EKM 220中识别出(605)另一个EKM 220。
如果检验模块520确定(635)已检验了最后一个EKM 220，则报 告模块525可以生成(640)具有多个EKM 220中每个EKM 220的状 态的运行状况检查报告，并且方法600结束。如后面将要描述的那样， 在一个实施例中，运行状况检查报告列出了系统100中的每个EKM 220，以及每个EKM 220的状态。方法600检查EKM 220的运行状况， 确保EKM 220能生成针对磁带驱动器115的加密密钥。因此，管理员 可以容易地确定系统100中的EKM 220是否起作用。此外，方法600 可以确认加密密钥并且确认每个EKM 220能证明磁带驱动器115的可 靠性。
图7是图示本发明的运行状况检查报告700的一个实施例的文字 图。报告模块525可以生成(640)针对图6中的步骤640而描述的报 告700。对报告700的描述针对图1-图6中的单元，相同的标号针对相 同的单元。报告700按行图示了针对每个EKM 220的数据。然而，该 报告可以以本领域技术人员公知的其他格式来组织。
在一个实施例中，报告700包括一个或多个报头710。每个报头710 可以描述与报头710列在同一列的数据的类型。如同所描绘的，报告700 包括针对EKM列715的EKM报头、针对路径列720的路径报头、针 对密钥列725的密钥报头和针对证明列730的证明报头。本领域技术人 员可以很容易地认识到，还可以采用附加的列。
一个或多个EKM行705详述了每个EKM 220的状态。尽管报告 700可以包括任意数目的行705，但报告700用四(4)个行705来描述。 可以用标识符将被报告的每个EKM 220列在EKM列715。例如，第二 EKM行705b是针对具有标识符“EKM001”的EKM 220的。
在一个实施例中，路径列720指定到EKM的路径是否有效。例如， 针对第一EKM行705a的路径列720表明到具有标识符“EKM001”的 EKM 220的路径是有效的。因此，磁带驱动器115可以从第一EKM行 705a的EKM 220接收加密密钥。针对第四EKM行705a的路径列720 表明到具有标识符“EKM004”的EKM 220的路径是无效的，表明磁带 驱动器115不能从该EKM 220接收加密密钥。
在一个实施例中，密钥列725指定接收到的来自EKM行705的 EKM 220的加密密钥是否有效。例如，检验模块520检验(625)来自 第二EKM行705b的EKM 220的加密密钥，第二EKM行705b的密钥 列725表明加密密钥是有效的，如图所示。
证明列730可以指定EKM行705的EKM 220是否能够证明磁带驱 动器115。例如，如果检验模块520不能确认第三EKM行705c的EKM 220能证明磁带驱动器115，则证明行730可以表明EKM能够证明磁带 驱动器115是无效的，如图所示。
本发明检查EKM 220的运行状况。此外，本发明可以报告EKM 220 是否能够提供用于对数据进行加密的有效加密密钥。在不偏离本发明的 本质和实质性特点的情况下，可以以其他特定形式来具体体现本发明。 从各方面来说，所描述的实施例都应视为仅仅是说明性的，而不是限制 性的。因此，本发明的范围由所附权利要求书来表明，而不是由前述描 述来表明。处于权利要求书的等同形式的含义和范围内的所有改变都包 含在权利要求书的范围内。