CN101681237B - 加密装置及加密方法 - Google Patents
加密装置及加密方法 Download PDFInfo
- Publication number
- CN101681237B CN101681237B CN2007800532730A CN200780053273A CN101681237B CN 101681237 B CN101681237 B CN 101681237B CN 2007800532730 A CN2007800532730 A CN 2007800532730A CN 200780053273 A CN200780053273 A CN 200780053273A CN 101681237 B CN101681237 B CN 101681237B
- Authority
- CN
- China
- Prior art keywords
- encryption
- disk
- data
- encrypted
- recording medium
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
- G06F11/1435—Saving, restoring, recovering or retrying at system level using file system or storage system metadata
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2053—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where persistent mass storage functionality or persistent mass storage control functionality is redundant
- G06F11/2094—Redundant storage or storage space
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Library & Information Science (AREA)
- Quality & Reliability (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Human Computer Interaction (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及加密装置及加密方法。即使在正在加密处理时发生了故障等的情况下也可靠地重新开始加密处理。在接收加密请求后且在一个磁盘中所存储的数据的加密开始之前,标志变更部将一个磁盘的加密标志变更为正在加密,在从一个磁盘向另外的磁盘开始复制加密数据之前,标志变更部将一个磁盘的加密标志变更为加密完成,并且将其他的磁盘的加密标志变更为正在加密,在完成向其他磁盘的复制以后,标志变更部将其他磁盘的加密标志变更为加密完成。
Description
技术领域
本发明涉及对进行属于RAID(Redundant Array of Inexpensive Disks,独立冗余磁盘阵列)组的多个记录介质中所存储的数据的加密有效的加密装置及加密方法,特别涉及即使在正在加密处理时发生了故障等的情况下也能够可靠地重新开始加密处理的加密装置及加密方法。
背景技术
确保由计算机系统管理的信息的机密性,对持有该信息的企业等来说是非常重要的问题。作为提高信息的机密性的技术,众所周知对存储装置中所存储的信息进行加密的技术。在下面的专利文献1~3中,公开了对磁盘等的记录介质中所存储的数据进行加密的技术。另外,一般地,对记录介质中所存储的数据进行加密时,由控制加密处理的控制器来管理加密的进展状况。
专利文献1:日本特开2005-107855号公报
专利文献2:日本特开2006-302259号公报
专利文献3:日本特开2004-201038号公报
但是,正在进行加密处理时,例如,在控制器发生了故障等,对加密处理的进展状况进行管理的信息丢失的情况下,无法区分在记录介质所存储的数据中哪个数据已被加密以及哪个数据尚未加密。在这种情况下,既不能重新开始加密处理,也不能正确地对数据进行解密,导致不能恢复数据。
发明内容
本发明是为了解决上述现有技术的问题点而完成的,其目的在于提供即使正在加密处理时发生了故障等的情况下也仍能可靠地重新开始加密处理的加密装置、加密方法以加密程序。
为了解决上述课题来达成目的,本发明的加密装置对属于RAID组的多个记录介质中所存储的数据进行加密,该加密装置的特征在于,该加密装置具有:加密单元,其对属于RAID组的多个记录介质中的一个记录介质中所存储的数据进行加密,并将其写入预定的记录介质;变更单元,其针对每个记录介质而设置,并对表示各个记录介质中的加密进展情况的加密变量进行变更;以及复制单元,其将通过加密单元加密后的数据复制到属于RAID组的多个记录介质中的、存储有尚未加密的数据的记录介质中,其中,在加密单元开始加密之前,上述变更单元将与预定的记录介质对应的加密变量从表示未加密的信息变更为表示正在加密的信息,在加密单元完成加密后,上述变更单元将与预定的记录介质对应的加密变量变更为表示加密完成的信息,并且将与通过复制单元复制有加密后的数据的记录介质对应的加密变量从表示未加密的信息变更为表示正在加密的信息,在复制单元完成复制后,上述变更单元将与通过复制单元复制有加密后的数据的记录介质对应的加密变量变更为表示加密完成的信息,所述RAID组是RAID 1级的RAID组,所述预定的记录介质是被设置为备用的记录介质,所述复制单元将写入到所述被设置为备用的记录介质中的加密完成的数据复制到所述一个记录介质中。
另外,本发明是的加密方法对属于RAID组的多个记录介质中所存储的数据进行加密,该加密方法的特征在于,该加密方法具有:加密步骤,对属于RAID组的多个记录介质中的一个记录介质中所存储的数据进行加密,并将其写入预定的记录介质;变更步骤,针对每个记录介质而设置,并对表示各个记录介质中的加密进展情况的加密变量进行变更;以及复制步骤,将在加密步骤中加密后的数据复制到属于RAID组的多个记录介质中的、存储有尚未加密的数据的记录介质中,其中,在加密步骤中开始加密之前,上述变更步骤将与预定的记录介质对应的加密变量从表示未加密的信息变更为表示正在加密的信息,在加密步骤中完成加密后,上述变更步骤将与预定的记录介质对应的加密变量变更为表示加密完成的信息,并且将与在复制步骤中复制有加密后的数据的记录介质对应的加密变量从表示未加密的信息变更 为表示正在加密的信息,在复制步骤中完成复制后,上述变更步骤将与在复制步骤中复制有加密后的数据的记录介质对应的加密变量变更为表示加密完成的信息,所述RAID组是RAID 1级的RAID组,所述预定的记录介质是被设置为备用的记录介质,在所述复制步骤中,将写入到所述被设置为备用的记录介质中的加密完成的数据复制到所述一个记录介质中。
根据本发明,能够在存在未加密状态的磁盘或加密完成的磁盘中的任意一个的状态下执行加密处理,并根据加密处理的进展状况来变更与各磁盘对应的加密标志,因此,即使在正在加密处理时发生了故障等的情况下,也能够使用未加密状态的磁盘或加密完成的磁盘中的任意一个来重新开始加密处理。
根据本发明,能够在存在未加密状态的磁盘或加密完成的磁盘中的任意一个的状态下执行加密处理,并根据加密处理的进展状况来变更与各磁盘对应的加密标志,因此,即使在正在进行加密处理时发生了故障的情况下,也能够使用未加密状态的磁盘或加密完成的磁盘中的任意一个来重新开始加密处理。即,根据本发明,取得了这样的效果:即使在正在加密处理时发生了故障等的情况下,也能够可靠地重新开始加密处理。
附图说明
图1是RAID装置的结构图。
图2是标志表的数据结构图。
图3是表示实施例1的RAID装置中的加密处理过程的流程图
图4是表示正在对磁盘40b中所存储的数据进行加密的状态的示意图。
图5是表示正在将磁盘40b的加密数据复制到磁盘40a的状态的示意图。
图6是表示实施例2的RAID装置中的加密处理过程的流程图。
图7是表示对磁盘40b中所存储的数据进行加密,并正在将其写入磁盘41z的状态的示意图。
图8是表示正在将磁盘41z的加密数据复制到磁盘40b的状态的示意图。
图9是执行加密程序的计算机的功能结构图。
符号说明
1 RAID装置
2 服务器
10 CM
11 控制部
12 控制存储器
13 闪存
14 数据缓存
20 CA
30 DA
40 磁盘
41 备磁盘
111 加密部
112 加密数据复制部
113 标志变更部
121 标志表
1000 计算机
1010 CPU
1020 输入装置
1030 监视器
1040 介质读取装置
1050 通信装置
1060 RAM
1061 加密处理
1070 硬盘装置
1071 加密程序
1072 加密用数据
1080 总线
具体实施方式
下面,参照附图来详细地说明本发明涉及的加密装置、加密方法以及加密程序的最佳实施方式。
实施例1
首先,对实施例1中的RAID装置的结构进行说明。图1是RAID装置的结构图。RAID装置1是对属于RAID 1级的RAID组的多个磁盘(记录介质)进行管理的存储装置,能够在对数据进行了加密的状态下存储数据。在这里,RAID是用于管理磁盘的技术,是用于防止由磁盘故障引起的数据损失,并且提高处理性能的技术。在RAID中,定义有级别RAID 0~RAID 6。在本实施例中采用的RAID 1是将数据同时写入2个磁盘中的级别,也称为镜像。
如图1所示,RAID装置1具有:CA(Channel Adapter信道适配器)20,其控制与服务器20之间的连接;CM(Controller Module,控制器模块)10,其控制对磁盘40中所存储的数据的加密;DA(Device Adapter,设备适配器)30,其控制CM 10与磁盘40之间的连接;磁盘40,其属于RAID1级的RAID组;以及备用磁盘41,其不属于RAID组。CM 10具有:控制部11;控制存储器12,其存储标志表121等的各种数据和应用程序;闪存13;以及数据缓存14,其临时存储作为加密处理和复制处理的对象的数据。并且,在下面需要对属于RAID1级的RAID组的2个磁盘进行区分来说明时,将2个磁盘记为磁盘40a以及磁盘40b。
在这里,参照图2来说明标志表121的数据结构。图2是标志表121的数据结构图。标志表121含有作为数据项目的例如磁盘ID、加密标志、组ID。在磁盘ID中存储有用于唯一确定磁盘40的标识码,在加密标志中,存储有表示加密处理的进展状况的加密变量,在组ID中,存储有用于唯一确定磁盘所属的RAID组的标识码。在加密标志中存储有例如由“0”、“1”、“2”表示的变量。“0”表示磁盘中所存储的数据处于未加密的状态,“1”表示磁盘中所存储的数据处于正在加密的状态,“2”表示磁盘中所存储的数据处于加密完成的状态。
另外,存储加密标志之处不限于标志表121。例如,既可以在控制存储器12中所存储的对各个磁盘的结构进行管理的磁盘结构表中存储加密 标志,也可以在各个磁盘40的存储区域中的、用户不使用的特定区域中存储加密标志。
如图1所示的控制部11具有加密部111、加密数据复制部112、标志变更部113。
加密部111根据从服务器2接收的加密请求中所包含的组ID,将与该组ID对应的RAID组确定为加密处理的对象,对属于该RAID组的2个磁盘40a、40b中的一个磁盘、例如磁盘40b中所存储的数据进行加密,并将该加密后的数据写入磁盘40b。下面,以由加密部111对2个磁盘40a、40b中的磁盘40b中所存储的数据进行加密的情况为例进行说明。但是,这并不表示将由加密部111加密的磁盘限定为磁盘40b。由加密部111加密的磁盘可以是磁盘40a、40b中的任意一个。对于选择磁盘40a、40b中的哪一个作为要进行加密的磁盘,例如可以在加密请求中包含磁盘ID,从而根据该磁盘ID来决定,也可以针对每个组而预先设定要进行加密的磁盘。另外,作为加密处理对象的数据的单位既可以以磁盘为单位,也可以以分区为单位,还可以以卷为单位。
加密数据复制部112将由加密部111加密的磁盘40b的数据复制到属于同一RAID组的另一个磁盘即磁盘40a中。
标志变更部113按照如下方式变更加密标志。在从接收加密请求直至磁盘40b中所存储的数据开始加密的期间内,标志变更部113将与磁盘40b对应的加密标志从表示未加密的“0”变更为表示正在加密的“1”。
在从完成磁盘40b中所存储的数据的加密直至向该磁盘40a开始复制该数据的期间内,标志变更部113将与磁盘40b对应的加密标志从表示正在加密的“1”变更为表示加密完成的“2”,并且将与磁盘40a对应的加密标志从表示未加密的“0”变更为表示正在加密的“1”。
在完成向磁盘40a的复制以后,标志变更部113将与磁盘40a对应的加密标志从表示正在加密的“1”变更为表示加密完成的“2”。
接下来,参照图3对本实施例1中的RAID装置1的处理过程进行说明。图3是表示实施例1的RAID装置中的加密处理过程的流程图。说明在该处理过程中,对属于RAID1级的RAID组的磁盘40a以及磁盘 40b中所存储的数据进行加密时的过程。
首先,在接收了从服务器2发送的加密请求的情况下(步骤S101),RAID装置1的加密部111使用该加密请求中所包含的组ID,来将与该组ID对应的2个磁盘40a、40b确定为加密处理的对象(步骤S102)。
接着,RAID装置1的标志变更部113将与磁盘40b对应的加密标志从表示未加密的“0”变更为表示正在加密的“1”(步骤S103)。
接着,RAID装置1的加密部111对磁盘40b中所存储的数据进行加密,并将其写入磁盘40b(步骤S104)。在图4中示出该步骤S104中的各磁盘40a、40b的状态。图4是表示正在对磁盘40b中所存储的数据进行加密的状态的示意图。
接着,完成磁盘40b中所存储的数据的加密时,RAID装置1的标志变更部113将与磁盘40b对应的加密标志变更为表示加密完成的“2”,并且将与磁盘40a对应的加密标志从表示未加密的“0”变更为表示正在加密的“1”(步骤S105)。
接着,RAID装置1的加密数据复制部112将在上述步骤S104中进行加密的磁盘40b的加密数据复制到磁盘40a(步骤S106)。在图5中表示该步骤S106中的各磁盘40a、40b的状态。图5是表示正在将磁盘40b的加密数据复制到磁盘40a的状态的示意图。
接着,完成向磁盘40a的复制时,RAID装置1的标志变更部113将与磁盘40a对应的加密标志变更为表示加密完成的“2”(步骤S107)。
这样,通过根据加密处理的进展状况来变更与各磁盘对应的加密标志,例如,即使在CM 10发生故障等、加密处理在中途停止的情况下,也能够通过参照加密标志来可靠地重新开始加密。
具体而言,在磁盘40a的加密标志是表示未加密的“0”、而磁盘40b的加密标志是表示正在加密的“1”的情况下,在将磁盘40a的数据复制到磁盘40b后,执行上述的步骤S104以后的步骤。并且,在该情况下,也可以无需将磁盘40a的数据复制到磁盘40b,而是对磁盘40a中所存储的数据进行加密并将其写入磁盘40b。
在磁盘40a的加密标志是表示未加密的“0”或者表示正在加密的“1”、 而磁盘40b的加密标志是表示加密完成的“2”的情况下,执行上述的步骤S106以后的步骤。在磁盘40a以及磁盘40b的加密标志都是表示加密完成的“2”的情况下,结束加密处理。
如上所述,在本实施例1的RAID装置1中,在存在未加密状态的磁盘或加密完成的磁盘中的任意一个的状态下执行加密处理,根据加密处理的进展状况来变更与各磁盘对应的加密标志。由此,即使是在正在加密处理时发生了故障等的情况下,也能够使用未加密状态的磁盘或加密完成的磁盘中的任意一个来可靠地重新开始加密处理。
实施例2
对实施例2进行说明。实施例2中的RAID装置的结构与图1所示的实施例1中的RAID装置的结构相同。实施例2与实施例1的不同点在于,写入加密后的数据的磁盘不同。具体而言,不同点在于,在实施例1中,例如在对磁盘40b中所存储的数据进行加密的情况下,向同一磁盘40b中写入加密后的数据,与此相对,在实施例2中,例如在对磁盘40b中所存储的数据进行加密的情况下,向不属于RAID组的备用的磁盘41中写入加密后的数据。下面,以与实施例1的不同点为中心来说明在这样的实施例2中的RAID装置的结构以及动作。另外,与实施例1相同,当需要对属于RAID级1的RAID组的2个磁盘40进行区分来说明时,将2个磁盘40记为磁盘40a以及磁盘40b。
加密部111根据从服务器2接收的加密请求中所包含的组ID,将属于与该组ID对应的RAID组的2个磁盘40a、40b确定为加密处理的对象,并从备用的磁盘41中选择1个用于加密处理的磁盘41z,将其添加到加密处理的对象中。加密部111对2个磁盘40a、40b中的一个磁盘40b中所存储的数据进行加密,并将该加密后的数据写入磁盘41z。另外,由加密部111加密的磁盘可以是磁盘40a、40b中的任意一个。对于选择磁盘40a、40b中的哪一个作为要进行加密的磁盘,例如可以在加密请求中包含磁盘ID,从而根据该磁盘ID来决定,也可以针对每个组而预先设定要进行加密的磁盘。
加密数据复制部112将由加密部111加密的磁盘41z的数据复制到 磁盘40a以及磁盘40b中。
标志变更部113按照如下方式变更加密标志。从接收到加密请求直至磁盘40b中所存储的数据的加密开始的期间内,标志变更部113将与磁盘41z对应的加密标志从表示未加密的“0”变更为表示正在加密的“1”。
从完成磁盘40b中所存储的数据的加密直至向磁盘40b开始复制磁盘41z中所存储的加密数据的期间内,标志变更部113将与磁盘41z对应的加密标志从表示正在加密的“1”变更为表示加密完成的“2”,并将与磁盘40b对应的加密标志从表示未加密的“0”变更为表示正在加密的“1”。
从完成向磁盘40b的复制直至向磁盘40a的复制开始的期间内,标志变更部113将与磁盘40b对应的加密标志从表示正在加密的“1”变更为表示加密完成的“2”,并将与磁盘40a对应的加密标志从表示未加密的“0”变更为表示正在加密的“1”。
在完成向磁盘40a的复制以后,标志变更部113将与磁盘40a对应的加密标志从表示正在加密的“1”变更为表示加密完成的“2”。
接下来,参照图6对本实施例2中的RAID装置1的处理过程进行说明。图6是表示实施例2的RAID装置中的加密的处理过程的流程图。在该加密过程中,说明对属于RAID级1的RAID组的磁盘40a以及磁盘40b中所存储的数据进行加密时的过程。
首先,接收到从服务器2发送的加密请求时(步骤S201),RAID装置1的加密部111使用该加密请求中所包含的组ID来将与该组ID对应的2个磁盘40a、40b确定为加密处理的对象,并从备用的磁盘41中选择1个用于加密处理的磁盘41z,并使其包含在加密处理的对象中(步骤S202)。
接着,RAID装置1的标志变更部113将与磁盘41z对应的加密标志从表示未加密的“0”变更为表示正在加密的“1”(步骤S203)。
接着,RAID装置1的加密部111对磁盘40b中所存储的数据进行加密,并将其写入磁盘41z(步骤S204)。在图7中表示该步骤S204中的各磁盘40a、40b、41z的状态。图7是示出对磁盘40b中所存储的数据进行加密,并正在将其写入磁盘41z的状态的示意图。
接着,完成磁盘40b中所存储的数据的加密时,RAID装置1的标志变更部113将与磁盘41z对应的加密标志变更为表示加密完成的“2”,并将与磁盘40b对应的加密标志从表示未加密的“0”变更为表示正在加密的“1”(步骤S205)。
接着,RAID装置1的加密数据复制部112将在上述步骤S204中写入的磁盘41z的加密数据复制到磁盘40b中(步骤S206)。在图8中示出该步骤S206中的各磁盘40a、40b、41z的状态。图8是表示正在将磁盘41z的加密数据复制到磁盘40b中的状态的示意图。
接着,完成向磁盘40b的复制时,RAID装置1的标志变更部113将与磁盘40b对应的加密标志变更为表示加密完成的“2”,并将与磁盘40a对应的加密标志从表示未加密的“0”变更为表示正在加密的“1”(步骤S207)。
接着,RAID装置1的加密数据复制部112将在上述步骤S204中写入的磁盘41z的加密数据复制到磁盘40a(步骤S208)。
接着,完成向磁盘40a的复制时,RAID装置1的标志变更部113将与磁盘40a对应的加密标志变更为表示加密完成的“2”(步骤S209)。
这样,通过根据加密处理的进展状况来变更与各磁盘对应的加密标志,例如即使在CM 10发生了故障等、加密处理在中途停止的情况下,也能够通过参照加密标志来可靠地重新开始加密。
具体而言,在磁盘40a以及磁盘40b的加密标志表示未加密的“0”、而磁盘41z的加密标志表示正在加密的“1”的情况下,执行上述步骤S204以后的步骤。
在磁盘40a的加密标志表示未加密的“0”、磁盘40b的加密标志表示正在加密的“1”、而磁盘41z加密标志表示加密完成的“2”的情况下,执行上述步骤S206以后的步骤。
在磁盘40a的加密标志表示未加密的“0”或表示正在加密的“1”、而磁盘40b以及磁盘41z的加密标志都表示加密完成的“2”的情况下,执行上述步骤S208以后的步骤。
在磁盘40a、磁盘40b以及磁盘41z的加密标志都表示加密完成的“2” 的情况下,结束加密处理。
如上所述,在本实施例2的RAID装置1中,在存在未加密状态的磁盘或加密完成的磁盘中的任意一个的状态下执行加密处理,并根据加密处理的进展状况来变更与各磁盘对应的加密标志。由此,即使在正在进行加密处理时发生了故障等的情况下,也能够使用未加密状态的磁盘或加密完成的磁盘中的任意一个来可靠地重新开始加密处理。
另外,根据本实施例2的RAID装置1,在正在对备用磁盘41进行加密时发生了故障等的情况下,属于RAID组的磁盘40a、40b保持未加密状态,因此仅将备用磁盘41更换为其他备用磁盘,就能够容易地重新开始加密处理。
另外,在上述的实施例2中,对加密的多个磁盘40属于RAID 1级的RAID组的情况进行了说明,但是也能够适用于属于其他RAID级的RAID组的情况。例如,在适用于属于RAID 4级~RAID 6级中的任一级别的RAID组的多个磁盘40的情况下,准备与属于RAID组的磁盘相同个数的备用磁盘41,将属于RAID组的各磁盘40的加密数据写入与各磁盘40对应的备用磁盘41,然后,将加密数据从备用磁盘41复制到属于RAID组的磁盘40中即可。
最后,如图1所示的各实施例中的RAID装置1的结构能够在不脱离本发明的主旨的范围内进行各种变更。例如,将RAID装置1的控制部11的功能作为软件来安装,通过由计算机执行该软件,能够实现与RAID装置1相同的功能。下面,示出执行加密程序1071的计算机的一个例子,在该加密程序1071中安装有作为软件的控制部11的功能。
图9是执行加密程序的计算机的功能结构图。该计算机1000通过总线1080连接执行各种运算处理的CPU(Central Processing Unit,中央处理单元)1010、接受来自用户的数据输入的输入装置1020、显示各种信息的监视器1030、从记录介质读取程序等的介质读取装置1040、经由网络进行与其他计算机之间的数据的交换的通信装置1050、临时存储各种信息的RAM(RandomAccess Memory,随机存取存储器)1060、硬盘装置1070。
而且,在硬盘装置1070中存储有具有与图1所示的控制部11相同功能的加密程序1071、与加密程序1071使用的各种程序对应的加密用数据1072。并且,也能够适当地分散加密用数据1072,存储在经由网络连接的其他计算机中。
而且,CPU 1010从硬盘装置1070中读取加密程序1071来展开到RAM 1060中,由此加密程序1071作为加密处理1061发挥作用。而且,加密处理1061将从加密用数据1072读取的信息等适当地展开到RAM1060上的分配给加密处理1061本身的区域中,并根据该展开的数据等执行各种数据处理。
另外,加密程序1071不一定必须安装在硬盘装置1070中,也可以是,计算机1000读取CD-ROM等的记录介质中所存储的该程序来执行。也可以是,将该程序存储在经由公共线路、因特网、LAN(Local AreaNetwork,局域网)、WAN(Wide Area Network,广域网)等而与计算机1000连接的其他计算机(或服务器)等中,计算机1000从这些设备读取程序来执行。
产业上的可利用性
如上所述,本发明涉及的对加密装置及加密方法对进行属于RAID组的多个记录介质中所存储的数据的加密有效,特别适用于即使在正在加密处理时发生了故障等的情况下也可靠地重新开始加密处理的情况。
Claims (2)
1.一种加密装置,其对属于RAID(Redundant Array of InexpensiveDisks,独立冗余磁盘阵列)组的多个记录介质中所存储的数据进行加密,该加密装置的特征在于,
该加密装置具有:
加密单元,其对属于所述RAID组的多个记录介质中的一个记录介质中所存储的数据进行加密,并将其写入预定的记录介质;
变更单元,其针对每个所述记录介质而设置,对表示各个记录介质中的加密进展情况的加密变量进行变更;以及
复制单元,其将通过所述加密单元加密后的数据复制到属于所述RAID组的多个记录介质中的、存储有尚未加密的数据的记录介质中,
其中,所述变更单元
在所述加密单元开始所述加密之前,将与所述预定的记录介质对应的所述加密变量从表示未加密的信息变更为表示正在加密的信息,
在所述加密单元完成所述加密后,将与所述预定的记录介质对应的所述加密变量变更为表示加密完成的信息,并且将与通过所述复制单元复制有所述加密后的数据的记录介质对应的所述加密变量从表示未加密的信息变更为表示正在加密的信息,
在所述复制单元完成所述复制后,将与通过所述复制单元复制有所述加密后的数据的记录介质对应的所述加密变量变更为表示加密完成的信息,
所述RAID组是RAID 1级的RAID组,
所述预定的记录介质是被设置为备用的记录介质,
所述复制单元将写入到所述被设置为备用的记录介质中的加密完成的数据复制到所述一个记录介质中。
2.一种加密方法,用于对属于RAID组的多个记录介质中所存储的数据进行加密,该加密方法的特征在于,
该加密方法具有:
加密步骤,对属于所述RAID组的多个记录介质中的一个记录介质中所存储的数据进行加密,并将其写入预定的记录介质;
变更步骤,针对每个所述记录介质而设置,对表示各个记录介质中的加密的进展情况的加密变量进行变更;以及
复制步骤,将在所述加密步骤中加密后的数据复制到属于所述RAID组的多个记录介质中的、存储有尚未加密的数据的记录介质中,
其中,在所述变更步骤中,
在所述加密步骤中开始所述加密之前,将与所述预定的记录介质对应的所述加密变量从表示未加密的信息变更为表示正在加密的信息,
在所述加密步骤中完成所述加密后,将与所述预定的记录介质对应的所述加密变量变更为表示加密完成的信息,并且将与在所述复制步骤中复制有所述加密后的数据的记录介质对应的所述加密变量从表示未加密的信息变更为表示正在加密的信息,
在所述复制步骤中完成所述复制后,将与在所述复制步骤中复制有所述加密后的数据的记录介质对应的所述加密变量变更为表示加密完成的信息,
所述RAID组是RAID 1级的RAID组,
所述预定的记录介质是被设置为备用的记录介质,
在所述复制步骤中,将写入到所述被设置为备用的记录介质中的加密完成的数据复制到所述一个记录介质中。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2007/061644 WO2008149458A1 (ja) | 2007-06-08 | 2007-06-08 | 暗号化装置、暗号化方法および暗号化プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101681237A CN101681237A (zh) | 2010-03-24 |
| CN101681237B true CN101681237B (zh) | 2011-09-21 |
Family
ID=40093293
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800532730A Active CN101681237B (zh) | 2007-06-08 | 2007-06-08 | 加密装置及加密方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8782428B2 (zh) |
| JP (1) | JP4941556B2 (zh) |
| KR (1) | KR101047213B1 (zh) |
| CN (1) | CN101681237B (zh) |
| WO (1) | WO2008149458A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2304919B1 (en) * | 2009-05-25 | 2013-07-24 | Hitachi, Ltd. | Storage device and its control method |
| US8364985B1 (en) * | 2009-12-11 | 2013-01-29 | Network Appliance, Inc. | Buffer-caches for caching encrypted data via copy-on-encrypt |
| US8495386B2 (en) * | 2011-04-05 | 2013-07-23 | Mcafee, Inc. | Encryption of memory device with wear leveling |
| CN102571488B (zh) * | 2011-12-21 | 2015-02-25 | 北京星网锐捷网络技术有限公司 | 一种加密卡故障处理方法、装置与系统 |
| CN102929806B (zh) | 2012-10-24 | 2015-09-09 | 威盛电子股份有限公司 | 适用于存储装置的编码操作的进度记录方法和恢复方法 |
| JP5646682B2 (ja) * | 2013-04-26 | 2014-12-24 | 株式会社日立製作所 | ストレージ装置及びその制御方法 |
| US8990589B1 (en) * | 2014-09-18 | 2015-03-24 | Kaspersky Lab Zao | System and method for robust full-drive encryption |
| US10637648B2 (en) | 2017-03-24 | 2020-04-28 | Micron Technology, Inc. | Storage device hash production |
| KR101987025B1 (ko) | 2017-05-31 | 2019-06-10 | 삼성에스디에스 주식회사 | 암호화 처리 방법 및 그 장치 |
| CN107276884A (zh) * | 2017-08-21 | 2017-10-20 | 江苏北弓智能科技有限公司 | 一种基于智能终端的社交软件自主加解密系统 |
| CN109067701A (zh) * | 2018-06-25 | 2018-12-21 | 顺丰科技有限公司 | 一种备用加解密方法、装置及加解密系统 |
| CN109271813A (zh) * | 2018-10-26 | 2019-01-25 | 杭州华澜微电子股份有限公司 | 一种安全存储设备、移动存储系统以及安全存储方法 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002215462A (ja) * | 2001-01-18 | 2002-08-02 | Hitachi Ltd | 計算機システム |
| JP3955453B2 (ja) * | 2001-10-09 | 2007-08-08 | 株式会社日立製作所 | 外部記憶装置の制御方法 |
| JP3971941B2 (ja) * | 2002-03-05 | 2007-09-05 | 三洋電機株式会社 | データ記憶装置 |
| JP2004080202A (ja) * | 2002-08-13 | 2004-03-11 | Nippon Telegr & Teleph Corp <Ntt> | 映像コンテンツ加工処理方式,そのプログラムおよびそのプログラムの記録媒体 |
| JP2004201038A (ja) | 2002-12-18 | 2004-07-15 | Internatl Business Mach Corp <Ibm> | データ記憶装置、これを搭載した情報処理装置及びそのデータ処理方法並びにプログラム |
| JP4650778B2 (ja) | 2003-09-30 | 2011-03-16 | 富士ゼロックス株式会社 | 記録媒体管理装置、記録媒体管理方法および記録媒体管理プログラム |
| US7162647B2 (en) * | 2004-03-11 | 2007-01-09 | Hitachi, Ltd. | Method and apparatus for cryptographic conversion in a data storage system |
| JP4518485B2 (ja) * | 2004-10-20 | 2010-08-04 | 株式会社日立製作所 | データベースの再編成方法、ストレージ装置及びストレージシステム |
| JP2006185108A (ja) * | 2004-12-27 | 2006-07-13 | Hitachi Ltd | ストレージシステムのデータを管理する管理計算機及びデータ管理方法 |
| US7272727B2 (en) * | 2005-04-18 | 2007-09-18 | Hitachi, Ltd. | Method for managing external storage devices |
| JP2007060627A (ja) | 2005-07-27 | 2007-03-08 | Victor Co Of Japan Ltd | 再生装置および再生方法 |
| US7646867B2 (en) * | 2005-09-09 | 2010-01-12 | Netapp, Inc. | System and/or method for encrypting data |
| JP4877962B2 (ja) * | 2006-10-25 | 2012-02-15 | 株式会社日立製作所 | 暗号化機能を備えたストレージサブシステム |
| US20090046858A1 (en) * | 2007-03-21 | 2009-02-19 | Technology Properties Limited | System and Method of Data Encryption and Data Access of a Set of Storage Devices via a Hardware Key |
-
2007
- 2007-06-08 WO PCT/JP2007/061644 patent/WO2008149458A1/ja active Application Filing
- 2007-06-08 JP JP2009517674A patent/JP4941556B2/ja active Active
- 2007-06-08 KR KR1020097024633A patent/KR101047213B1/ko not_active IP Right Cessation
- 2007-06-08 CN CN2007800532730A patent/CN101681237B/zh active Active
-
2009
- 2009-12-01 US US12/591,797 patent/US8782428B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20100083005A1 (en) | 2010-04-01 |
| KR101047213B1 (ko) | 2011-07-06 |
| JP4941556B2 (ja) | 2012-05-30 |
| US8782428B2 (en) | 2014-07-15 |
| KR20100007917A (ko) | 2010-01-22 |
| WO2008149458A1 (ja) | 2008-12-11 |
| CN101681237A (zh) | 2010-03-24 |
| JPWO2008149458A1 (ja) | 2010-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101681237B (zh) | 加密装置及加密方法 | |
| US8200965B2 (en) | Storage system for data encryption | |
| US7921301B2 (en) | Method and apparatus for obscuring data on removable storage devices | |
| US9514008B2 (en) | System and method for distributed processing of file volume | |
| CN103942112B (zh) | 磁盘容错方法、装置及系统 | |
| US20130124873A1 (en) | Storage device and its control method | |
| CN102262721B (zh) | 用于独立代理的数据加密转换 | |
| CN102272733B (zh) | 确定高速缓存中的已修改数据以便在恢复操作期间使用 | |
| CN101617295A (zh) | 在故障切换之后对高速缓存数据的保存 | |
| JP2009064178A (ja) | ストレージ装置及びデータの管理方法 | |
| CN105389265B (zh) | 当加密参数改变时在垃圾数据上生成零内容的方法和装置 | |
| US9558206B2 (en) | Asymmetric distributed data storage system | |
| JP2004355623A (ja) | マルチクラスタ・ストレージ・サブシステムのための自律型パワー・ロス・リカバリ | |
| CN111158955B (zh) | 一种基于卷复制的高可用系统以及多服务器数据同步方法 | |
| US20180095985A1 (en) | Physical Location Scrambler for Hashed Data De-Duplicating Content-Addressable Redundant Data Storage Clusters | |
| CN101661413B (zh) | 计算机系统、存储系统以及结构管理方法 | |
| US10877830B1 (en) | Remote storage device destruction | |
| JP2005122453A (ja) | ストレージ装置のディスクコントローラ制御方式およびストレージ装置 | |
| US20090199016A1 (en) | Storage system, and encryption key management method and encryption key management program thereof | |
| US11163459B2 (en) | Rekeying information on storage devices using a proactive copy service | |
| JP5380854B2 (ja) | ディスク装置、データ転送方法、データ転送処理プログラム、及びデータバックアップシステム | |
| CN106611109A (zh) | 一种存储设备上的软件的运行方法 | |
| CN104360959A (zh) | 数据存储的方法及控制器 | |
| JPH07319637A (ja) | ディスク装置の制御装置およびディスク装置の制御方 法 | |
| JP2010130459A (ja) | バックアップシステム及び該バックアップシステムの暗号鍵変更方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |