来自存储系统的加密密钥的制作方法

来自存储系统的加密密钥


背景技术：

1.可以加密存储在存储系统中的数据以保护数据不被未经授权的实体访问。可以使用数据加密密钥对数据进行加密。为了降低给数据带来的风险，可以在飞行中(当数据通过网络传送时)和静止时(当数据存储在存储系统的存储介质中时)对数据进行保护。
附图说明
2.关于以下附图描述了本公开的一些实施方式。
3.图1是根据一些示例的包括存储系统、主机系统和密钥管理器系统的布置的框图。
4.图2是根据一些示例的过程的消息流程图。
5.图3是根据一些示例的存储系统的框图。
6.图4是根据一些示例的主机系统的框图。
7.图5是根据一些示例的存储有机器可读指令的存储介质的框图。
8.在所有附图中，相同的附图标记指代相似但不一定相同的元件。附图不一定成比例，并且可以放大一些零件的尺寸以更清楚地图示所示出的示例。此外，附图提供了与描述一致的示例和/或实施方式；然而，描述不限于附图中提供的示例和/或实施方式。
具体实施方式
9.在本公开中，除非上下文另外明确指示，否则使用术语“一个/一种(a/an)”或“所述(the)”旨在同样包括复数形式。同样地，当在本公开中使用时，术语“包括(includes/including/comprises/comprising)”、“具有(have/having)”指明存在所述元件，但不排除存在或添加其他元件。
10.可以采用若干不同的方法来提供数据的加密。第一种方法涉及在存储系统处控制数据的加密。通过第一种方法，数据由存储系统加密并以加密形式存储在存储系统的存储介质中。然而，如从主机系统发送到存储系统的数据在飞行中不受保护。因此，飞行中的未经加密的数据可能暴露于攻击者，包括未经授权的用户、恶意软件等。
11.主机系统包括能够发出对存储在存储系统的存储介质中的数据进行访问的请求的一个计算设备(或多个计算设备)。主机系统也可以被称为发起器系统。主机系统可以包括以下各项中的任一项或某种组合：台式计算机、笔记本计算机、平板计算机、服务器计算机、智能手机、物联网(iot)设备、车辆或车辆中的控制器、通信节点或任何其他类型的电子设备。
12.存储系统可以指管理对存储介质中存储的数据的访问的一个计算设备(或多个计算设备)。存储介质可以包括一个存储设备或多个存储设备，其中存储设备可以包括基于磁盘的存储设备、固态存储设备等。
13.第一种方法的变体可以允许对飞行中数据进行加密，如通过使用管理通过网络进行的数据通信的安全协议。例如，安全协议包括因特网协议安全(ipsec)或其他安全协议。在第一种方法的变体中，在通过网络进行通信之前，由主机系统的传输层使用第一数据加
密密钥对数据进行加密，并且经加密的数据通过网络传送到存储系统。在存储系统处，对接收到的经加密的数据进行解密，然后使用第二数据加密密钥对经解密的数据进行加密以产生经进一步加密的数据。然后将经进一步加密的数据存储在存储系统的存储介质中。对数据进行加密、传输经加密的数据、在存储系统处对经加密的数据进行解密、以及对经解密的数据进行重新加密的过程增加了由主机系统向存储系统发起的数据存储操作的复杂性。而且，所涉及的多个操作可能会增加与数据存储操作相关联的延迟。
14.第二种方法涉及使用由主机系统管理的数据加密密钥在主机系统的应用层处控制数据的加密。利用第二种方法，可以对飞行中数据(通过网络传送的数据)和静止数据(存储在存储系统的存储介质中的数据)使用一个数据加密密钥。然而，在具有大量主机系统的计算环境中，复杂性增加，因为不同的主机系统可能采用不同的数据加密密钥，并且一个主机系统可能要求访问另一个主机系统的数据加密密钥来访问经加密的数据。在一些情况下，安全机制可能会禁止在主机系统之间共享数据加密密钥。在其他示例中，多个主机系统可能各自都必须向密钥管理器系统注册，当存在大量主机系统时，这可能较为复杂。
15.根据本公开的一些实施方式，通过存储系统提供加密密钥管理，同时仍允许对飞行中数据(其在主机系统和存储系统之间)和静止数据(由存储系统的存储的数据)二者使用公用数据加密密钥。存储系统从主机系统接收对数据加密密钥的请求，并且响应于该请求而从密钥管理器系统为主机系统取得数据加密密钥。数据加密密钥可以与单独主机系统相关联或可以与主机系统集群相关联。在一些示例中，与第一单独主机系统或第一主机系统集群相关联的第一数据加密密钥不同于与第二单独主机系统或第二主机系统集群相关联的第二数据加密密钥。与单独主机系统相关联的数据加密密钥可以与单独主机系统的标识符相关联。与主机系统集群相关联的数据加密密钥可以与主机系统集群的标识符相关联。“标识符”可以指以下各项的任一项或某种组合：网络地址、名称、硬件标识符、序列号、统一资源定位符(url)等。
16.可替代地，数据加密密钥可以与存储对象或存储对象集合相关联。“存储对象”可以指任何可单独访问的存储量，如由逻辑单元号(lun)、网络地址、命名空间等标识的存储空间。在一些示例中，与第一单独存储对象或第一存储对象集合相关联的第一数据加密密钥不同于与第二单独存储对象或第二存储对象集合相关联的第二数据加密密钥。
17.更一般地，在一些示例中，不同的数据加密密钥与不同的主机系统、不同的主机系统集群、不同的存储对象或不同的存储对象集合相关联。
18.存储系统使用第一密钥(如主机系统的公钥)对数据加密密钥进行加密，以生成经加密的数据加密密钥。第一密钥还可以被称为“密钥加密密钥”。存储系统将经加密的数据加密密钥发送到主机系统。经加密的数据加密密钥可以使用第二密钥(如主机系统的私钥)来解密。存储系统从主机系统接收使用数据加密密钥加密的经加密的数据。
19.在第一密钥为公钥且第二密钥为私钥的一些示例中，公钥和私钥是公钥-私钥对的一部分。可以用于产生公钥-私钥对的算法的示例包括rivest-shamir-adleman(rsa)算法。在其他示例中，可以采用用于产生公钥-私钥对的其他类型的算法。
20.图1是包括存储系统102以及能够访问(读或写)由存储系统102存储的数据的主机系统104的示例布置的框图。示例存储系统102可以包括存储阵列、存储装置等。
21.存储系统104能够通过网络106与存储系统102通信。网络106的示例可以包括以下
各项中的任一项或某种组合：局域网(lan)、广域网(wan)、存储区域网(san)、如因特网等公用网络等。网络106可以使用有线网络和/或无线网络来实施。
22.在一些示例中，主机系统104能够将小型计算机系统接口(scsi)命令发送到存储系统102以访问数据。在其他示例中，主机系统104能够发送非易失性存储器标准(nvme
tm
)命令以访问存储系统102的数据。在进一步的示例中，主机系统104可以将根据其他协议(无论是标准化的、专有的还是开源的)的命令发送到存储系统102以访问存储系统102的数据。
23.存储系统102与一个存储设备108(或多个存储设备)相关联。存储设备可以指基于磁盘的存储设备、固态存储设备等。在一些示例中，(多个)存储设备108是存储系统102的一部分。在其他示例中，(多个)存储设备108在存储系统102外部，但是通过通信链路连接到存储系统102。
24.存储系统102包括存储控制器110，所述存储控制器响应于从主机系统104接收的命令而管理对(多个)存储设备108中的数据的访问。存储控制器110可以管理从(多个)存储设备108读取数据，或者将数据写入(多个)存储设备108。
25.如此处所使用的，“控制器”可以指硬件处理电路，其可以包括微处理器、多核微处理器的核、微控制器、可编程集成电路、可编程门阵列或其他硬件处理电路中的任一项或某种组合。可替代地，“控制器”可以指硬件处理电路和可在硬件处理电路上执行的机器可读指令(软件和/或固件)的组合。
26.在一些示例中，存储控制器110包括根据本公开的一些实施方式的目标密钥管理引擎112。目标密钥管理引擎112可以使用存储控制器110的硬件处理电路的一部分来实施，或可替代地，实施为可由存储控制器110执行的机器可读指令。
27.虽然图1将目标密钥管理引擎112示出为存储控制器110的一部分，在其他示例中，目标密钥管理引擎112可以被实施为与存储控制器110分开的控制器的一部分。
28.目标密钥管理引擎112管理对数据加密密钥的访问和取得，该数据加密密钥用于对主机系统104与存储系统102之间的飞行中数据以及存储在(多个)存储设备108中的静止数据进行加密。更具体而言，对于给定主机系统104、给定主机系统104集群、给定存储对象或给定存储对象集合，目标密钥管理引擎112可以提供用于飞行中数据加密和静止数据加密两者的数据加密密钥。可以使用各种不同加密密钥生成技术中的任一种来执行生成数据加密密钥。
29.在一些示例中，数据加密密钥可以是单独主机系统独有的、主机系统集群独有的、单独存储对象独有的或存储对象集合独有的。在这样的示例中，第一主机系统的数据加密密钥可以不同于第二主机系统的数据加密密钥，或第一主机系统集群的数据加密密钥可以不同于第二主机系统集群的数据加密密钥，或第一存储对象的数据加密密钥可以不同于第二存储对象的数据加密密钥，或第一存储对象集合的数据加密密钥可以不同于第二存储对象集合的数据加密密钥。
30.在其他示例中，数据加密密钥在主机系统(或存储系统集群)或存储对象(或存储对象集合)上不必是独有的。
31.在一些示例中，给定主机系统104可以将对数据加密密钥的请求发送到存储系统102。所述请求可以包括与给定主机系统104相关联的标识符或与要访问的存储对象相关联的标识符。与给定主机系统104相关联的标识符可以包括：给定主机系统104的名称、给定主
机系统104的网络地址、给定主机系统104的硬件标识符、给定主机系统104的序列号、给定主机系统104的url、给定主机系统104的全局名称、给定主机系统104的nvme限定名称、通用唯一标识符(uuid)(在2005年7月的标题为“通用唯一标识符(uuid)urn命名空间”的征求修正意见书4122中进行了描述)、或可以提供给定主机系统104的某种形式的标识的任何其他信息。与存储对象相关联的标识符可以包括存储对象的名称、存储对象的url等。
32.应进一步注意，与主机系统相关联的标识符可以指单独主机系统的标识符或主机系统集群的标识符，并且与存储对象相关联的标识符可以指单独存储对象的标识符或存储对象集合的标识符。
33.基于与给定主机系统104相关联的标识符或与要访问的存储对象相关联的标识符，目标密钥管理引擎112可以从密钥管理器系统114取得对应于与主机系统或存储对象相关联的标识符的数据加密密钥。
34.密钥管理器系统114可以维护包含数据加密密钥的密钥存储库116。密钥存储库116可以将不同的密钥标识符与相应的数据加密密钥关联。由密钥存储库116而与相应的数据加密密钥关联的密钥标识符可以是与以上列出的主机系统或存储对象相关联的标识符，或者可以基于与主机系统或存储对象相关联的标识符来确定。密钥存储库116可以存储在一个存储设备或多个存储设备中，该一个存储设备或多个存储设备可以是密钥管理器系统114的一部分或者与密钥管理器系统114分开。密钥管理器系统114可以使用一个计算设备或多个计算设备来实施，并且与存储系统102分开。
35.密钥管理器系统114可以通过如网络106或另一通信链路的通信链路连接到存储系统102。通常，密钥管理器系统用于安全地存储数据加密密钥以保护数据加密密钥免受未授权的访问和数据损失。密钥管理器系统的示例包括utimaco的utimaco enterprise security key manager
tm
(eskm)、thales的keysecure
tm
等。尽管列出了密钥管理器系统的示例，但是应注意在其他示例中，也可以采用不同的密钥管理器系统。
36.在一些示例中，响应于从主机系统104接收到的对数据加密密钥的请求，目标密钥管理引擎112将密钥标识符发送到密钥管理器系统114，该密钥管理器系统114基于密钥标识符与对应的数据加密密钥的关联来从密钥存储库116取得对应的数据加密密钥。如前文所述，密钥标识符可以是包括在请求中的与主机系统或存储对象相关联的标识符，或者可替代地，密钥标识符可以从与主机系统或存储对象相关联的标识符转换得到，或者基于与主机系统或存储对象相关联的标识符来查找，或者以不同的方式来确定。
37.密钥管理器系统114将数据加密密钥返回到目标密钥管理引擎112，该目标密钥管理引擎112然后使用与给定主机系统104相关联的对应公钥118对从密钥管理器系统114接收到的数据加密密钥进行加密。如图1所示，存储器120存储与相应的不同主机系统104相关联的公钥118。公钥可能已由相应的主机系统104提供给存储系统102以存储在存储器120中。可替代地，可能已经从与主机系统104不同的实体接收到公钥118。
38.存储器120可以使用各种类型的存储设备中的任一个来实施，包括易失性存储器设备(如动态随机存取存储器(dram)、静态随机存取存储器(sram)等)和/或非易失性存储器设备(如闪速存储器设备等)。
39.经加密的数据加密密钥由目标密钥管理引擎112通过网络106发送到给定主机系统104。如图1中所示，每个主机系统104包括相应的主机密钥引擎122。主机密钥引擎122可
以指硬件处理电路，其可以包括微处理器、多核微处理器的核、微控制器、可编程集成电路、可编程门阵列或其他硬件处理电路中的任一项或某种组合。可替代地，主机密钥引擎122可以指硬件处理电路和可在硬件处理电路上执行的机器可读指令(软件和/或固件)的组合。
40.给定主机系统104中的主机密钥引擎122使用给定主机系统104的私钥124对接收到的经加密的数据加密密钥进行加密。私钥124可以存储在主机系统104的存储设备126中。存储设备126可以使用基于磁盘的存储设备、固态存储设备等来实施。可替代地，代替将私钥124存储在存储设备中，私钥124可以替代地被存储在非易失性存储器设备中。
41.一旦给定主机系统104接收到的经加密的数据加密密钥被主机密钥引擎122解密，则经解密的数据加密密钥可以用于对要写入存储系统102的数据进行加密，或可替代地，可以用于对从存储系统102读取的经加密的数据进行解密。
42.在一些示例中，主机密钥引擎122可以是主机系统104的存储驱动器140或网络接口控制器(nic)142的一部分。存储驱动器140可以是主机系统104的操作系统(os)的一部分。nic 142可以是智能nic，其包括用于执行除通过网络106进行数据通信之外的智能任务的处理器。例如，智能nic可以从存储系统102接收经加密的数据加密密钥，对数据加密密钥进行解密，并在写操作和读操作中使用经解密的数据加密密钥，而更高层(包括os或应用程序)不会感知到数据加密或解密。
43.图2是根据本公开的一些实施方式的示例过程的消息流程图。主机系统104可以执行存储系统102的发现(在202处)。发现可以包括信息的交换，其中，存储系统102可以发送通告存储系统102的标识符和存储系统102的能力的信息。例如，作为发现的一部分，主机系统104中的主机密钥引擎122可以发现存储系统102支持根据本公开的一些实施方式的密钥加密能力，其中，存储系统102能够管理用于对飞行中数据和静止数据进行加密的数据加密密钥。指示支持密钥加密能力的信息可以是消息的一部分、信息元素等。
44.基于发现，主机系统104建立(在204处)与存储系统102的加密会话。“加密会话”指交换一个加密密钥(或多个加密密钥)的通信会话。
45.在一些示例中，主机系统104中的主机密钥引擎122创建(在206处)包括公钥和私钥的公钥-私钥对。在其他示例中，公钥-私钥对可以由一不同的实体创建，并作为整体密钥对或者单独地作为公钥或私钥而被提供给主机系统104。
46.主机系统104中的主机密钥引擎122将公钥发送(在208处)到存储系统102中的目标密钥管理引擎112。在一些示例中，公钥可以包括在scsi命令、nvmetm命令或任何其他类型的消息的字段中。携带公钥的消息可以包括与主机系统104相关联的标识符或与要访问的存储对象相关联的标识符。可替代地，可以将与主机系统或存储对象相关联的标识符在不同的消息(不同于携带公钥的消息)中从主机密钥引擎122发送到目标密钥管理引擎112。
47.接收到的公钥可以由目标密钥管理引擎112存储以供以后使用。例如，公钥可以存储在存储系统102的存储器120中。
48.基于从主机密钥引擎122接收到的标识符，目标密钥管理引擎112从密钥管理器系统114接收(在210处)对应的数据加密密钥。对应的数据加密密钥的取得可以通过存储系统102中的目标密钥管理引擎112将密钥标识符(如上所述)发送到密钥管理器系统114来完成。密钥标识符被映射到密钥存储库116(图1)中对应的数据加密密钥。密钥管理器系统114从密钥存储库116取得对应的数据加密密钥，并将对应的数据加密密钥发送到存储系统
102。在一些示例中，多个数据加密密钥可以与密钥标识符相关联。由密钥管理器系统114响应于密钥标识符而返回的数据加密密钥可以是多个数据加密密钥之一。
49.目标密钥管理引擎112对所取得的数据加密密钥进行加密(在212处)。经加密的数据加密密钥从目标密钥管理引擎112被发送(在214处)到主机密钥引擎122。
50.在接收到经加密的数据加密密钥时，主机密钥引擎122使用主机系统104的私钥124(图1)来对接收到的经加密的数据加密密钥进行解密(在216处)。解密产生经解密的数据加密密钥。
51.主机系统104然后为相应的写操作和读操作使用经解密的数据加密密钥对数据进行加密或对数据进行解密(在218处)。
52.在写操作期间，主机系统104使用经解密的数据加密密钥来对写数据进行加密以提供经加密的由主机系统104通过网络106发送到存储系统102的飞行中数据。应注意，在一些示例中，对飞行中数据的加密不是在主机系统104的传输层执行的，而是在传输层之上的不同层执行的。存储系统102然后将经加密的写入数据存储在(多个)存储设备108(图1)中，而不必首先对经加密的写入数据进行解密。因此，经解密的数据加密密钥用于为飞行中数据和静止数据二者提供保护。结果，由存储系统102管理的单一数据加密密钥用于飞行中数据保护和静止数据保护二者。
53.在读操作期间，存储系统102中的存储控制器110(图1)从(多个)存储设备108取得经加密的数据，并通过网络106将经加密的数据发送(不首先对经加密的数据进行解密)到请求主机系统104。请求主机系统104然后使用经解密的数据加密密钥对接收到的经加密的数据进行解密。
54.在一些示例中，因为存储系统102管理供主机系统104使用的数据加密密钥，所以在存储系统102将数据加密密钥发送到主机系统104之前执行对主机系统104的授权。可以使用各种技术中的任一种来对主机系统104进行授权。
55.用于对主机系统104进行授权的示例技术是使用这样的技术，其中已经被准予访问特定存储对象(或存储对象集合)的主机系统104也被准许访问存储对象(或存储对象集合)的数据加密密钥。例如，管理员可以使用存储系统102的管理接口来配置存储系统102，使得存储系统102向特定主机系统提供对仅主机系统被授权进行访问的存储对象集合的访问权限。
56.可替代地，可以使用基于证书的授权技术，其中主机系统104将证书发送到存储系统102，所述存储系统可以基于证书来对主机系统104进行授权。在其他示例中可以使用其他示例授权技术。
57.在一些示例中，存储系统102可以对经加密的数据进行解密以提供数据服务，如执行去重、数据压缩等。在这样的示例中，主机系统104可以将与主机系统104相关联的标识符发送到存储系统102，该存储系统102可以使用标识符从如密钥管理器系统114的密钥存储库116或从存储系统102的存储设备或存储器获得对应的数据加密密钥。存储系统使用所获得的数据加密密钥来对存储系统102存储的经加密的数据进行解密，以提供数据服务。
58.在进一步的示例中，主机系统104可以被给予对是否允许存储系统102对经加密的数据进行解密的一些控制权。这可以通过主机系统104发送要用于对经加密的数据进行解密的数据加密密钥的密钥标识符来实现。如果主机系统104不发送密钥标识符，则存储系统
102不对经加密的数据进行解密。
59.图3是存储系统300(如图1的存储系统102)的框图。存储系统300包括通信接口302，该通信接口302用于与能够访问存储系统300存储的数据的主机系统(例如，图1中的104或图4中的400)通信。通信接口302可以包括用于通过网络(例如，图1的106)发送和接收信号的收发器。而且，通信接口302可以进一步包括根据相应的通信协议(如因特网协议(ip)、传输控制协议(tcp)等)管理数据通信的协议层。
60.存储系统300包括用于执行各种任务的控制器304(例如，图1的存储控制器110)。控制器304的任务可以包括请求接收任务306——从主机系统接收对数据加密密钥的请求。此请求可以包括包含公钥和/或与主机系统或存储对象相关联的标识符的消息。
61.任务进一步包括数据加密密钥取得任务308——响应于请求而从密钥管理器系统(例如，图1的114)为主机系统取得加密密钥。应注意，所取得的数据加密密钥可以与单独主机系统、主机系统集群、单独存储对象或存储对象集合相关联。
62.任务进一步包括数据加密密钥加密任务310——使用第一密钥(主机系统的公钥)对从密钥管理器系统取得的数据加密密钥进行加密以产生经加密的数据加密密钥。在一些示例中，第一密钥可以由主机系统从存储系统300接收。
63.任务进一步包括经加密的数据加密密钥发送任务312——将经加密的数据加密密钥发送到主机系统。
64.任务进一步包括经加密的数据接收任务314——从主机系统接收使用数据加密密钥加密的经加密的数据。所述经加密的数据是使用数据加密密钥来加密的，而所述数据加密密钥是主机系统通过使用主机系统的第二密钥(例如，私钥)对经加密的数据加密密钥进行解密来从经加密的数据加密密钥确定的。
65.存储系统300可以将接收到的经加密的数据存储在存储系统300的存储介质中，而不必首先对接收到的经加密的数据进行解密。以此方式，单个数据加密密钥可以用于保护飞行中数据和静止数据二者。
66.在存储系统300提供数据服务(例如，数据压缩等)的一些示例中，如果存储系统300从主机系统接收作为主机系统进行的数据访问(读或写)的一部分的与数据加密密钥相关联的信息，则存储系统300可以对与数据服务相关联的经加密的数据进行解密。数据服务包括应用到经解密的数据上的任何类型的服务(如压缩)。存储系统300响应于接收与数据加密密钥相关联的信息而对与数据服务相关联的经加密的数据进行解密。
67.在一些示例中，与数据加密密钥相关联的信息包括数据加密密钥的密钥标识符。例如，对于由主机系统发起的写，存储系统300从主机系统接收(使用数据加密密钥进行加密的)经加密的数据。存储系统300还从主机系统接收密钥标识符。基于密钥标识符，存储系统300获得对应的数据加密密钥(可能已存储在存储系统300处)。存储系统300使用数据加密密钥对经加密的数据进行解密，并对经解密的数据应用数据服务(例如，压缩)。应用到经解密的数据的数据服务产生处理后的数据(例如，压缩后的数据)。存储系统300然后对处理后的数据进行加密以产生经加密的处理后的数据，然后该数据被写入存储系统300的存储介质中。
68.响应于由主机系统发起的读，存储系统300使用主机系统提供的密钥标识符来获得对应的数据加密密钥。存储系统300从存储系统300的存储介质读取经加密的处理后的数
据，并对经加密的处理后的数据进行解密。对经加密的处理后的数据的解密会产生经解密的处理后的数据(例如，经解密的压缩后的数据)。存储系统100然后反转对经解密的压缩后的数据的数据服务(例如，执行解压)，以产生处理前(unprocessed)的数据(例如，压缩前的数据)。“处理前的数据”指尚未对其应用数据服务的数据，或者反转了对其的数据服务的数据。存储系统300然后使用数据加密密钥对所产生的数据进行加密，以产生经加密的处理前的数据，所述数据由存储系统300发送到主机系统。主机系统可以使用数据加密密钥对经加密的处理前的数据进行解密。
69.在上述的写示例和读示例二者中，如果主机系统未向存储系统300提供与数据加密密钥(例如，密钥标识符)相关联的信息，则控制器304可以不执行对经加密的数据(在写时从主机系统接收到的经加密的数据、或在读时从存储系统300的存储介质取得的经加密的处理后的数据)的解密。
70.还应注意，如果存储系统300不执行数据服务，则存储系统300将不为写操作或读操作执行上述的解密。
71.在进一步的示例中，与数据加密密钥相关联的信息包括与主机系统相关联的标识符。
72.图4是主机系统400(如图1的主机系统104)的框图。主机系统400包括用于与存储系统(例如，图1的存储系统102或图3的存储系统300)通信的通信接口402。
73.主机系统400包括一个硬件处理器404(或多个硬件处理器)。硬件处理器可以包括微处理器、多核微处理器的核、微控制器、可编程集成电路、可编程门阵列、或另一硬件处理电路。
74.硬件处理器404可以执行各种任务。硬件处理器执行任务可以指单个硬件处理器执行任务或多个硬件处理器执行任务。在一些示例中，硬件处理器404的任务可以由可在硬件处理器404上执行的机器可读指令来执行。可在硬件处理器上执行的机器可读指令可以指可在单个硬件处理器上执行的指令或可在多个硬件处理器上执行的指令。
75.硬件处理器404的任务包括请求发送任务406——将对数据加密密钥的请求发送到存储系统。
76.硬件处理器404的任务进一步包括经加密的数据加密密钥接收任务408——响应于请求而在主机系统400处从存储系统接收经加密的数据加密密钥，该经加密的数据加密密钥是通过使用主机系统的第一密钥对由存储系统响应于请求而从密钥管理器系统取得的数据加密密钥进行加密而产生的。
77.在一些示例中，第一密钥是由主机系统400发送到存储系统的公钥。
78.硬件处理器404的任务进一步包括经加密的数据加密密钥解密任务410——使用第二密钥对接收到的经加密的数据加密密钥进行解密以产生经解密的数据加密密钥。在一些示例中，第二密钥是主机系统400的私钥。
79.硬件处理器404的任务进一步包括数据加密任务412——使用经解密的数据加密密钥对数据进行加密以便为写操作产生经加密的数据。
80.硬件处理器404的任务进一步包括针对写操作的经加密的数据发送任务414——向存储系统发送经加密的数据以存储在存储系统的存储介质处。
81.在一些示例中，硬件处理器404是智能nic的一部分，或者硬件处理器404用于执行
存储驱动器以执行任务406、408、410和412。
82.针对读操作，硬件处理器404可以从存储系统接收经加密的数据，并使用经解密的数据加密密钥对接收到的经加密的数据进行解密。
83.图5是存储有机器可读指令的非暂态机器可读或计算机可读存储介质500的框图，所述机器可读指令在执行时使存储系统(例如，图1中的102或图3中的300)执行各种任务。
84.机器可读指令包括公钥接收指令502，用于从主机系统(例如，图1中的104或图4中400)接收公钥。
85.机器可读指令进一步包括数据加密密钥接收指令504，用于从主机系统接收对数据加密密钥的请求。
86.机器可读指令进一步包括数据加密密钥取得指令506，用于响应于请求而从密钥管理器系统为主机系统取得数据加密密钥。
87.机器可读指令进一步包括数据加密密钥加密指令508，用于使用公钥对数据加密密钥进行加密，以产生经加密的数据加密密钥。
88.机器可读指令进一步包括经加密的数据加密密钥发送指令510，用于将经加密的数据加密密钥发送到主机系统。
89.机器可读指令进一步包括经加密的数据接收指令512，用于从主机系统接收使用数据加密密钥加密的经加密的数据，所述数据加密密钥是由主机系统通过使用主机系统的私钥对经加密的数据加密密钥进行解密来确定的。
90.机器可读指令进一步包括经加密的数据存储指令514，用于将经加密的数据存储到存储系统的存储介质中。
91.存储介质(例如，图5中的500)可以包括以下各项的任一项或某种组合：如动态或静态随机存取存储器(dram或sram)等半导体存储器设备、可擦除可编程只读存储器(eprom)、电可擦除可编程只读存储器(eeprom)和闪速存储器或其他类型的非易失性存储器设备；如固定的软盘和可移动盘等磁盘；另一种磁介质，包括磁带；如光盘(cd)或数字视频盘(dvd)等光学介质；或另一类型的存储设备。应注意，上文讨论的指令可以在一个计算机可读或机器可读存储介质上提供，或者可替代地，可以在分布在具有可能多个节点的大型系统中的多个计算机可读或机器可读存储介质上提供。这种一个或多个计算机可读或机器可读存储介质被认为是物品(或制品)的一部分。物品或制品可以指任何制造的单个部件或多个部件。一个或多个存储介质可以位于运行机器可读指令的机器中、或者位于远程站点处，可以通过网络从所述远程站点下载机器可读指令以供执行。
92.在前述描述中，阐述了许多细节以使得理解本文中所公开的主题。然而，可以在没有这些细节中的一些细节的情况下实践实施方式。其他实施方式可以包括上文所讨论的细节的修改和变化。所附权利要求旨在覆盖这样的修改和变化。