[发明专利]加密存储系统中的数据

说明书

技术领域

本发明涉及加密存储系统中的数据。

背景技术

在许多计算环境中，将数据存储在可由主机和其他计算设备通过一个或多个网络访问的一个或多个数据中心内。主机可以对存储在数据中心内的数据进行读取、写入以及执行其他操作。

数据安全性在数据中心内外都是必需的，并且在许多情况下可以通过加密数据来提供数据安全性。例如，可以加密数据中心内包含的存储子系统中存储的数据。另外，数据中心内包含的存储子系统可以在通过网络将数据从数据中心传输至主机时加密数据。此外，当主机与包含在数据中心内的存储子系统通信时，可由主机上的软件加密从主机传输至数据中心的数据。

发明内容

本发明提供了一种方法、系统和计算机程序产品，其中接收来自请求方的访问数据的请求。判定所述请求方是否被授权访问所述数据。响应于判定已授权所述请求方访问所述数据，判定所述数据是否被加密。请求来自所述请求方的加密密钥，以响应判定所述数据未被加密。

在特定实施例中，接收来自所述请求方的所述加密密钥。使用所述加密密钥来加密所述数据。允许所述请求方访问所述数据。

在特定实施例中，请求解密密钥，以响应访问所述数据的后续请求。

在其他实施例中，通过对逻辑单元、文件、字节、记录、块、卷或包括所述数据的整个子系统进行寻址来做出访问所述数据的请求。

在其他实施例中，所述数据是存储在存储单元中的遗留数据，其中至少到尝试访问所述遗留数据时为止，所述遗留数据被保持在未加密状态，并且其中不是遗留数据的数据在所述存储单元内被保持在加密状态。

附图说明

现在将仅通过实例的方式并参考附图来描述本发明的实施例，这些附图是：

图1示出了根据特定实施例的包含具有已加密遗留数据和未加密非遗留数据的存储系统的计算环境的方块图；

图2示出了根据特定实施例的表示存储在存储系统内的数据的数据结构；

图3示出了根据特定实施例的用于加密未加密遗留数据以响应访问所述数据的请求的流程图；

图4示出了根据特定实施例的用于加密存储系统中的数据的流程图；以及

图5示出了计算系统的体系结构，其中在特定实施例中，可以根据所述计算系统的体系结构实现图1的计算环境的存储系统或计算设备。

具体实施方式

在以下说明中，参考了形成本文一部分并示出了若干实施例的附图。应当理解，可以采用其他实施例并且可以做出结构和操作更改。

在许多情况下，必须为计算环境(其中已使用包含在数据中心内的存储子系统，并且所述存储子系统已存储未加密数据)中的数据提供安全性。例如，在数万帕字节(petabytes)的数据未加密地存储在盘、磁带、只读光盘和存储子系统的其他存储介质上的情况下，将可能存在安全问题。预先存在的未加密地存储在数据中心的存储子系统内的数据可被称为遗留数据。

加密并重写所有未加密地存储在数据中心的存储子系统内的遗留数据将花费大量的时间(几天，几个星期，几个月，几年)。在特定情况下，在加密所有未加密的遗留数据的操作完成之前，安全性问题可能一直存在。

特定实施例为存储在存储子系统内的未加密遗留数据提供了“立即加密”，即使当预先存在的未加密遗留数据尚未被转换成存储子系统内的已加密数据时也是如此。通过在尝试访问数据的应用与提供数据的存储子系统之间提供逻辑加密层，针对在存储子系统之后配置的所有数据向存储子系统提供了立即加密。立即加密通过允许存储子系统在一段扩展的时间加密所有未加密数据，同时在从存储子系统访问数据时立即提供许多加密好处，来允许具有存储在存储子系统内的未加密数据的客户执行迁移步骤。

图1示出了根据特定实施例的计算环境100的方框图。至少一个存储系统102通过网络104与一个或多个主机106相连，其中主机106可以包含计算设备。

存储系统102可以包括任何存储系统，包括那些本领域当前公知的存储系统，例如存储控制器、控制器、存储设备、存储子系统、存储单元，包括或控制存储装置的计算设备等。可以将数据存储在存储系统102内的盘、磁带、只读光盘或任何其他存储介质(包括那些本领域当前公知的存储介质)中。