[发明专利]自动数据存储库中的可移动介质上存储的数据的选择加密

说明书

技术领域

本发明的优选实施例涉及自动数据存储库，更具体地，涉及对可移动介质上存储的或要存储的数据的加密。

背景技术

众所周知，自动数据存储库用于提供大量数据的成本有效的存储和检索。自动数据存储库中的数据被存储在数据存储介质中，而所述数据存储介质又以使介质及其驻留数据可供访问以进行物理检索的方式被储存在库内的存储架或类似设备中。这种介质通常称为“可移动介质”。数据存储介质可包括在上面可存储数据并且可用作可移动介质的任意类型的介质，包括但不限于磁介质(例如磁带或磁盘)、光介质(例如光带或光盘)、全息介质(例如全息带或全息盘)、电子介质(例如PROM、EEPROM、闪速PROM、MRAM、Compactflash TM、Smartmedia TM、存储棒TM等)或其它适合介质。通常，存储在自动数据存储库中的数据驻留在盒带(在此也被称为数据存储介质盒带)内包含的数据存储介质中。在自动数据存储库中广泛采用的用于大容量数据存储的数据存储介质盒带的一个实例是磁带盒。

除了数据存储介质之外，自动数据存储库通常还包含将数据存储到数据存储介质和/或从数据存储介质检索数据的一个或多个数据存储驱动器。数据存储介质在数据存储架和数据存储驱动器之间的传送通常由一个或多个自动存取器(此后称为“存取器”)完成。此类存取器具有夹具，用于从自动数据存储库内的存储架物理地取回选定数据存储介质以及通过以X和/或Y方向移动将这种介质传送到数据存储驱动器。

在许多应用中，重要的是保证在可移动介质上存储的数据的安全。除了必须复制、重建或重新获得因为失窃、意外事件等丢失的数据而带来的不便和开销之外，如果机密信息被盗用，则可能存在巨大扩散，包括法律责任。然而，不必保证所有数据安全或以相同水平保证所有数据安全。

因此，需要这样的系统和方法，用于选择性地保证例如在自动存储库中的可移动介质上存储的数据的安全，这种系统和方法是可靠的，充分灵活地允许在不同数据盒带上的数据以不同的等级保证安全(或仍有不安全的)，并且不对库或其任意组件的性能产生负面影响。

发明内容

本发明提供对于自动数据存储库中的可移动介质上存储或要存储的数据的选择性加密。建立一个或多个加密策略，每个策略包括加密等级、一个或多个加密密钥和一个或多个数据盒带的身份。将加密策略存储在策略表中，将加密密钥存储在安全密钥服务器中。主机请求对于指定数据盒带的访问，并且将所述盒带从库中的存储架传送到存储驱动器。基于指定盒带的身份，从所述表选择相应的加密策略，并且从密钥服务器获得适当的加密密钥。存储驱动器根据密钥对数据加密，并将数据存储在指定数据盒带中的介质上。

本发明还提供一种数据存储系统，包括：盒带存储架、数据存储驱动器、库控制器、自动存取器和密钥服务器。该系统还包括：加密策略表，在其中存储一个或多个加密策略，并且对于每个加密策略，一个或多个数据盒带的身份与所述加密策略关联。该系统还包括：带外接口，数据存储驱动器可通过所述带外接口向库控制器发送对于加密密钥的请求，并且在从密钥服务器获得所请求的加密密钥之后，库控制器通过所述带外接口向数据存储驱动器发送所请求的加密密钥。

优选地，对于加密密钥的请求包括库控制器，其可操作以作为密钥服务器的代理。更优选地，存储驱动器还可操作以根据所请求的加密密钥对于在所选数据盒带上要存储的数据加密。更优选地，密钥服务器包括库控制器。更优选地，密钥服务器包括专用服务器。

优选地，数据存储系统还包括在其中存储加密策略表的库控制器中的存储设备。更优选地，通过数据存储盒带存储策略表。更优选地，数据存储系统还包括在其中存储加密策略表的存储驱动器中的存储设备。

本发明还提供一种与数据存储库关联的控制器。该控制器包括：用户接口，通过其接收加密策略；库驱动器接口，通过其向库中的存储驱动器发送加密策略和关联的盒带标识符；主机接口，通过其从主机接收对于库中的存储单元中存储的指定数据盒带访问的请求；以及存取器接口，通过其控制自动存取器向存储驱动器传送指定数据盒带。库驱动器接口还可操作以响应于存储驱动器将指定数据盒带与相应加密策略匹配，从存储驱动器接收对于加密密钥的请求。控制器还包括用于获得所请求的加密密钥的模块，并且库驱动器接口还可操作以向存储驱动器发送加密密钥，然后存储驱动器可对于要写入指定数据盒带的数据加密。

优选地，库控制器还包括耦合至从中获得加密密钥的密钥服务器的接口。更优选地，库控制器用作密钥服务器的代理。更优选地，库控制器还包括从中获得加密密钥的集成密钥服务器。