JP2002084270A - Computer system for remote copy - Google Patents
Computer system for remote copyInfo
- Publication number
- JP2002084270A JP2002084270A JP2000271865A JP2000271865A JP2002084270A JP 2002084270 A JP2002084270 A JP 2002084270A JP 2000271865 A JP2000271865 A JP 2000271865A JP 2000271865 A JP2000271865 A JP 2000271865A JP 2002084270 A JP2002084270 A JP 2002084270A
- Authority
- JP
- Japan
- Prior art keywords
- data
- remote
- group
- disk subsystem
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、コンピュータシス
テムのデータを格納する外部記憶装置及びこれらの統合
システムに関し、特に、複数の外部記憶装置(サブシス
テム群)と遠隔地に存在する他の複数の外部記憶装置
(サブシステム群)とを相互に接続し、遠隔地に存在す
る外部記憶装置(サブシステム群)の間でデータを二重
化するリモートコピー技術において、データを暗号化し
て転送する技術に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an external storage device for storing data of a computer system and an integrated system thereof, and in particular, to a plurality of external storage devices (subsystems) and a plurality of other remote storage devices. The present invention relates to a technology for encrypting and transferring data in a remote copy technology for interconnecting an external storage device (subsystem group) and duplicating data between external storage devices (subsystem groups) existing at remote locations.
【0002】[0002]
【従来の技術】地震等の天災の際のデータのバックアッ
プを考慮すれば、ホストコンピュータ(上位装置)とサ
ブシステム等から構成されるセンターにおいて、メイン
センターとリモートセンターは数100km程度、分離
する必要がある。ここで、サブシステムとは、上位装置
に対して情報の授受を行なう制御部と、情報の格納を行
なうディスク装置等を内蔵する記憶装置を言う(記憶装
置がディスク装置の場合はディスクサブシステムと称す
る)ものである。このため、メインセンターとリモート
センターにそれぞれ設置されているサブシステムの間
で、データを二重化して保有する、いわゆる、リモート
コピー機能を採用した外部記憶システムが、既にいくつ
か実用化されている。2. Description of the Related Art In consideration of data backup in the event of a natural disaster such as an earthquake, in a center composed of a host computer (upper device) and subsystems, a main center and a remote center need to be separated by about several hundred km. There is. Here, the subsystem refers to a control unit that transmits and receives information to and from a higher-level device, and a storage device that incorporates a disk device or the like that stores information. ). For this reason, some external storage systems employing a so-called remote copy function, which duplicates and holds data between subsystems respectively installed in the main center and the remote center, have already been put into practical use.
【0003】リモートコピー機能は、同期形と非同期形
の2種類に大別される。同期形とはメインセンター内の
ホストコンピュータ(上位装置)からメインセンター内
のサブシステムに、データの更新(書き込み)指示が有っ
た場合、その指示対象がリモートコピー機能の対象でも
あるときは、そのリモートコピー機能の対象であるリモ
ートセンターにおけるサブシステムに対して、指示され
た更新(書き込み)が終了してから、メインセンターの
上位装置に更新処理の完了を報告する処理手順をいう。
この場合、メインセンターとリモートセンターとの地理
的距離に応じて、この間に介在するデータ伝送線路の能
力の影響を受け、時間遅れ(伝送時間等)が発生する。The remote copy function is roughly classified into two types, a synchronous type and an asynchronous type. Synchronous type: When a host computer (upper device) in the main center issues a data update (write) instruction to a subsystem in the main center, if the instruction target is also the target of the remote copy function, This is a processing procedure for reporting the completion of the update process to the host device of the main center after the instructed update (write) is completed for the subsystem in the remote center which is the target of the remote copy function.
In this case, depending on the geographical distance between the main center and the remote center, a time delay (transmission time or the like) occurs due to the influence of the capacity of the data transmission line interposed therebetween.
【0004】これに対して、非同期形とは、メインセン
ター内の上位装置からサブシステムにデータの更新(書
き込み)指示が有った場合、その指示対象がリモートコ
ピー機能の対象であっても、メインセンター内のサブシ
ステムの更新処理が終わり次第、上位装置に対して更新
処理の完了を報告し、リモートセンターのサブシステム
におけるデータの更新(反映)はメインセンターにおけ
る処理とは非同期に実行する処理手順をいう。このため
メインセンター内部で必要とされる処理時間でデータ更
新が終了するので、リモートセンターへのデータの格納
に起因する伝送時間等はかからない。[0004] On the other hand, the asynchronous type means that when an upper-level device in the main center issues an instruction to update (write) data to the subsystem, even if the instruction is directed to the remote copy function, As soon as the update processing of the subsystems in the main center is completed, the completion of the update processing is reported to the host device, and the data update (reflection) in the subsystems in the remote center is executed asynchronously with the processing in the main center. Refers to the procedure. For this reason, since the data update is completed in the processing time required in the main center, the transmission time due to the storage of the data in the remote center is not required.
【0005】非同期形は、リモートセンターのサブシス
テムの内容が、メインセンター側のそれに対して、常に
一致しているわけではない。このため、メインセンター
が災害等により機能を失った場合は、リモートセンター
側にデータの反映が完了していないデータが消失するこ
ととなる。しかし、メインセンター側のサブシステムの
アクセス性能を、リモートコピー機能を実施しない場合
と同等レベルとすることが出来る。In the asynchronous type, the contents of subsystems in the remote center do not always match those in the main center. Therefore, if the main center loses its function due to a disaster or the like, data that has not been completely reflected on the remote center will be lost. However, the access performance of the subsystem on the main center side can be set to the same level as when the remote copy function is not performed.
【0006】これらのリモートコピー機能を遠隔地間で
高性能かつ廉価に実現するには、非同期形を使用するこ
とになる。この場合、メイン側からリモート側へデータ
を転送(コピー)する伝送路として公衆通信回線を使用
することになるため、以下に記述するような、情報の漏
洩防止が重要な課題となる。In order to realize these remote copy functions between remote locations with high performance and at low cost, an asynchronous type is used. In this case, since a public communication line is used as a transmission path for transferring (copying) data from the main side to the remote side, prevention of information leakage as described below is an important issue.
【0007】「暗号化したデータ転送について」公衆通
信回線を経由したデータ転送を行なう場合、情報の漏洩
防止のため、暗号化したデータ転送が行なわれており、
これをリモートコピーに適用することが考えられる。こ
の場合、メインセンターのプライマリディスクサブシス
テム群とリモートセンターのセカンダリディスクサブシ
ステム群との間で暗号化したデータ転送を行なう事にな
る。リモートコピーにおいては、長期間にわたってデー
タ転送を行なう為、高いデータ転送性能と高い暗号強度
を両立させなければならない。[Encrypted Data Transfer] When performing data transfer via a public communication line, encrypted data transfer is performed to prevent information leakage.
This may be applied to remote copy. In this case, encrypted data transfer is performed between the primary disk subsystem group at the main center and the secondary disk subsystem group at the remote center. In remote copying, since data is transferred over a long period of time, it is necessary to achieve both high data transfer performance and high encryption strength.
【0008】「通信路における暗号化したデータ転送に
ついて」ネットワーク経由でデ―タを通信する2台以上
のコンピュータを備えたデ―タ通信システムにおいて、
自己のコンピュータのアプリケーションプログラムが他
方のコンピュータのアプリケーションプログラムに対し
て、データを暗号化して送信する方式がある。この方式
の具体的開示は、例えば「暗号化デ―タ通信システム」
として、特開平9−139735号公報に詳細になされ
ている。前記「暗号化デ―タ通信システム」において
は、2台のコンピュータ上で、それぞれ中継サービスプ
ログラムを動作させておき、この中継サービスでデータ
を暗号化してネットワーク経由で送受信することにより
通信路における暗号化したデータ転送を実現している。"Regarding encrypted data transfer in communication path" In a data communication system including two or more computers for communicating data via a network,
There is a method in which an application program of an own computer encrypts and transmits data to an application program of another computer. A specific disclosure of this method is, for example, “Encrypted data communication system”
This is described in detail in JP-A-9-139735. In the "encrypted data communication system", a relay service program is operated on each of two computers, and data is encrypted by the relay service and transmitted / received via a network, thereby encrypting data on a communication path. It realizes simplified data transfer.
【0009】[0009]
【発明が解決しようとする課題】従来技術(暗号化デ―
タ通信システム)により、通信路における暗号化したデ
ータ転送の機能が実現出来る。しかし従来技術では、長
期間にわたってデータ転送を行なう場合、同一の暗号鍵
を長時間更新することなく用いているので、暗号鍵が悪
意に解読されデータが盗まれる虞があった。また、暗号
鍵を更新するにしてもオフラインで通知していたので、
データ転送性能が悪くなっていた。即ち、従来技術で
は、高いデータ転送性能と高い暗号強度との両立が考慮
されていない。The prior art (encrypted data)
Data communication system), a function of transferring encrypted data in a communication path can be realized. However, in the prior art, when performing data transfer over a long period of time, the same encryption key is used without being updated for a long period of time, so that the encryption key may be maliciously decrypted and data may be stolen. Also, even when updating the encryption key, it was notified offline, so
The data transfer performance was getting worse. That is, the prior art does not consider compatibility between high data transfer performance and high encryption strength.
【0010】本発明の目的は、高いデータ転送性能と高
い暗号強度とを両立させたリモートコピー機能を実現す
ることである。An object of the present invention is to realize a remote copy function that achieves both high data transfer performance and high encryption strength.
【0011】[0011]
【課題を解決するための手段】前記課題を解決するため
に、本発明は主として次のような構成を採用する。In order to solve the above problems, the present invention mainly employs the following configuration.
【0012】上位装置と接続されてデータの授受を行な
う制御手段、前記データの格納を行なう記憶手段、を有
するプライマリディスクサブシステム群からなるメイン
センターを備え、前記プライマリディスクサブシステム
群と離隔した場所に配置されて前記プライマリディスク
サブシステム群から転送される暗号化されたデータを受
け取る制御手段、前記転送されたデータの格納を行なう
記憶手段、を有するセカンダリディスクサブシステム群
からなるリモートセンターを備え、前記プライマリディ
スクサブシステム群は、所定の間隔又は不定期の間隔
で、暗号鍵を更新するとともに、前記セカンダリディス
クサブシステム群への前記データ転送の中断を行い、更
新した暗号鍵を前記セカンダリディスクサブシステム群
へ転送するリモートコピーのコンピュータシステム。A main center comprising a group of primary disk subsystems having control means connected to a higher-level device for transmitting and receiving data, and storage means for storing the data; a place separated from the group of primary disk subsystems; Control means for receiving encrypted data transferred from the primary disk subsystem group arranged in the storage means for storing the transferred data, a remote center comprising a secondary disk subsystem group having: The primary disk subsystem group updates the encryption key at predetermined or irregular intervals, interrupts the data transfer to the secondary disk subsystem group, and transmits the updated encryption key to the secondary disk subsystem. Remote transfer to systems Copy of the computer system.
【0013】また、上位装置と接続されてデータの授受
を行なう制御手段、前記データの格納を行なう記憶手
段、を有するプライマリディスクサブシステム群からな
るメインセンターを備え、前記プライマリディスクサブ
システム群と離隔した場所に配置されて前記プライマリ
ディスクサブシステム群から転送される暗号化されたデ
ータを受け取る制御手段、前記転送されたデータの格納
を行なう記憶手段、を有するセカンダリディスクサブシ
ステム群からなるリモートセンターを備え、前記プライ
マリディスクサブシステム群は、データの書込処理の実
行中に暗号化したデータ転送の暗号鍵を更新するタイミ
ングであるか否かを判断し、更新タイミングであれば、
前記暗号鍵を更新するとともに前記更新した暗号鍵に順
序番号を付加して前記セカンダリサブシステムに転送
し、順序番号の付加された転送データと対応付けするリ
モートコピーのコンピュータシステム。A main center comprising a group of primary disk subsystems having a control means connected to a higher-level device for transmitting and receiving data and a storage means for storing the data, is provided separately from the group of primary disk subsystems. A remote center comprising a secondary disk subsystem group having a control means for receiving encrypted data transferred from the primary disk subsystem group and a storage means for storing the transferred data. The primary disk subsystem group determines whether or not it is time to update the encryption key of the encrypted data transfer during execution of the data writing process.
A remote copy computer system which updates the encryption key, adds a sequence number to the updated encryption key, transfers the updated encryption key to the secondary subsystem, and associates the updated encryption key with the transfer data to which the sequence number has been added.
【0014】また、上位装置から書込まれるデータを記
憶するローカル側記憶システムと、前記データのコピー
を記憶するリモート側記憶システムから構成される記憶
システムのリモートコピー方法であって、前記ローカル
側記憶システムが前記データを暗号鍵で暗号化するステ
ップと、前記ローカル側記憶システムから前記リモート
側記憶システムシステムへ、前記暗号化したデータを転
送するステップと、前記暗号鍵を繰り返し更新するステ
ップと、前記更新した暗号鍵を、前記ローカル側記憶シ
ステムから前記リモート側記憶システムへ転送するステ
ップと、を有し、前記暗号化するステップは、前記暗号
鍵が更新された後は更新後の暗号鍵を使用する記憶シス
テムのリモートコピー方法。A remote copy method for a storage system comprising a local storage system for storing data written from a host device and a remote storage system for storing a copy of the data, wherein the local storage system A system encrypting the data with an encryption key; transferring the encrypted data from the local storage system to the remote storage system; repeatedly updating the encryption key; Transferring the updated encryption key from the local storage system to the remote storage system, wherein the encrypting step uses the updated encryption key after the encryption key has been updated. Remote copy method of storage system.
【0015】[0015]
【発明の実施の形態】本発明の実施形態に係るリモート
コピーのコンピュータシステムについて図面を用いて以
下説明する。図1は本発明の実施形態に係るリモートコ
ピーのコンピュータシステムの全体構成を示す図であ
り、図3は本実施形態に関するメインセンターのプライ
マリディスクサブシステムの具体的構成を示す図であ
る。DESCRIPTION OF THE PREFERRED EMBODIMENTS A remote copy computer system according to an embodiment of the present invention will be described below with reference to the drawings. FIG. 1 is a diagram showing an overall configuration of a remote copy computer system according to an embodiment of the present invention, and FIG. 3 is a diagram showing a specific configuration of a primary disk subsystem of a main center according to the present embodiment.
【0016】図1に、コンピュータシステムを装備した
複数のデータセンターにおいて、任意の2つのセンター
間で情報(データ)の二重化を行なうため、本発明の一
実施形態を適用したときの構成例を示す。FIG. 1 shows an example of a configuration when an embodiment of the present invention is applied in order to duplicate information (data) between any two centers in a plurality of data centers equipped with a computer system. .
【0017】メインセンター9側の一台又は複数台のデ
ィスクサブシステム3(3−1、3−2、…、3−n)
と、リモートセンター10側の一台又は複数台のディス
クサブシステム7(7−1、7−2、…、7−n)は、
上位装置(ホストコンピュータ)1、8を介さずに接続
され、両センター間でデータの二重化を行なうリモート
コピーシステムを実現している。上位装置を介さないデ
ィスクサブシステムの接続としては、例えば、SAN
(Storage Area Network)が挙げら
れる。図3にメインセンター9のディスクサブシステム
3の構成例を示す。One or more disk subsystems 3 (3-1, 3-2,..., 3-n) on the main center 9 side
And one or more disk subsystems 7 (7-1, 7-2, ..., 7-n) on the remote center 10 side
A remote copy system that is connected without going through the host devices (host computers) 1 and 8 and duplicates data between the two centers is realized. As a connection of the disk subsystem without the intervention of a host device, for example, a SAN
(Storage Area Network). FIG. 3 shows a configuration example of the disk subsystem 3 of the main center 9.
【0018】図1のメインセンター9において、データ
処理を行なう中央処理装置(CPU)を持つ上位装置1
は、伝送経路であるインタフェースケーブル2を介し
て、プライマリディスクサブシステム3−1、3−2、
………3−nに接続されている。In the main center 9 of FIG. 1, the host device 1 having a central processing unit (CPU) for performing data processing.
Are connected to the primary disk subsystems 3-1, 3-2,
... Are connected to 3-n.
【0019】プライマリディスクサブシステム3−1、
3−2、………3−nは、図3に示すように、上位装置
1からのデータ(情報を含む)授受を行なうインタフェ
ース制御部21と、上位装置1から参照又は更新される
データ及びリモートコピーが一次停止中の更新データの
格納位置に関する情報を格納するデータバッファ22
と、このデータを記録する記録媒体としての磁気ディス
クドライブ23と、これらのデータのやり取りを制御す
るマイクロプロセッサ24と、これらの各要素を制御す
るディスクアレイサブシステム制御部25と、を備え
る。なお、インタフェース制御部21はリモートセンタ
ー10との間でデータ授受を行うインタフェースでもあ
る。The primary disk subsystem 3-1,
3-2,..., 3-n include, as shown in FIG. 3, an interface control unit 21 that exchanges data (including information) from the higher-level device 1, data referred to or updated by the higher-level device 1, and Data buffer 22 for storing information about the storage location of update data during which the remote copy is temporarily stopped
And a magnetic disk drive 23 as a recording medium for recording this data, a microprocessor 24 for controlling the exchange of these data, and a disk array subsystem control unit 25 for controlling each of these elements. The interface control unit 21 is also an interface for exchanging data with the remote center 10.
【0020】また、プライマリディスクサブシステム3
−1は、上述した構成要素群に加えて、リモートコピー
をどのような設定にて行なうかをユーザが設定するコン
ソール26と、コンソール26により設定された制御情
報により現在のリモートコピー状況を表わす制御ビット
を格納するリモートコピー制御情報格納部27と、を備
える。The primary disk subsystem 3
In addition to the above-described constituent elements, -1 indicates a console 26 for the user to set the remote copy setting, and a control indicating the current remote copy status based on the control information set by the console 26. A remote copy control information storage unit 27 for storing bits.
【0021】メインセンター9のプライマリディスクサ
ブシステム3−1は、インタフェースケーブル4−1を
介してリモートセンター10のセカンダリディスクサブ
システム7−1と接続される。同様に、プライマリディ
スクサブシステム3−2は、インタフェースケーブル4
−2を介して、セカンダリディスクサブシステム7−2
と接続され、プライマリディスクサブシステム3−n
は、インタフェースケーブル4−nを介して、リモート
センタのセカンダリディスクサブシステム7−nと接続
される構成をとる。The primary disk subsystem 3-1 of the main center 9 is connected to the secondary disk subsystem 7-1 of the remote center 10 via an interface cable 4-1. Similarly, the primary disk subsystem 3-2 has the interface cable 4
-2, the secondary disk subsystem 7-2
Connected to the primary disk subsystem 3-n
Is connected to the secondary disk subsystem 7-n of the remote center via the interface cable 4-n.
【0022】なお、インタフェースケーブル4−1、4
−2、………4−nは、回線接続装置等を利用して一般
の公衆通信回線と接続することも可能である。本構成例
ではこの点も含めてインタフェースケーブル4−1〜4
−nとして記述する。The interface cables 4-1, 4
... 4-n can be connected to a general public communication line using a line connection device or the like. In this configuration example, the interface cables 4-1 to 4
Described as -n.
【0023】また、ディスクサブシステム3が複数台有
る場合には、ディスクサブシステム3−1は、メインセ
ンター9内でリモートコピー対象のデータが格納される
ディスクサブシステム3−1以外のディスクサブシステ
ム3−2、………3−nとインタフェースケーブル5を
介して接続されている。この様に、メインセンター9側
ではリモートコピー対象のデータが格納されるディスク
サブシステム3−1について、プライマリディスクサブ
システム群3全体がインタフェースケーブル5で接続さ
れる構成をとる。When there are a plurality of disk subsystems 3, the disk subsystem 3-1 is a disk subsystem other than the disk subsystem 3-1 in which data to be remotely copied is stored in the main center 9. 3-2,..., 3-n via the interface cable 5. As described above, the main center 9 has a configuration in which the entire primary disk subsystem group 3 is connected by the interface cable 5 with respect to the disk subsystem 3-1 storing the data to be remotely copied.
【0024】プライマリディスクサブシステム群3は、
上位装置1がプライマリディスクサブシステム群3にデ
ータの書込要求を発行すると、これに同期して当該デー
タを自己のサブシステム内のデータバッファ22に書き
込み、更に自己のサブシステム内のデータバッファ22
にデータが書き込まれたこととは非同期に、遠隔地に存
在するセカンダリディスクサブシステム群7に対して、
データの書込指示を行なうディスクサブシステム群であ
る。自己のサブシステム内のデータバッファ22に書き
込まれた当該データは、同期或いは非同期にて磁気ディ
スクドライブ23に記録される。The primary disk subsystem group 3 includes:
When the host device 1 issues a data write request to the primary disk subsystem group 3, the data is written to the data buffer 22 in its own subsystem in synchronization with the request, and the data buffer 22 in its own subsystem is further synchronized.
Asynchronously with the data being written to the secondary disk subsystem group 7 located in a remote location,
This is a group of disk subsystems that issue a data write instruction. The data written in the data buffer 22 in its own subsystem is recorded on the magnetic disk drive 23 synchronously or asynchronously.
【0025】遠隔地に非同期形でデータを書込むリモー
トコピーの方法として、メインセンター9のプライマリ
ディスクサブシステム群3は、自己のサブシステム内の
ボリュームが更新された順番に従い、自サブシステムが
接続されているリモートセンター10のセカンダリディ
スクサブシステム群7に更新データを転送して、リモー
トセンター10のセカンダリディスクサブシステム群7
は受取った順番に従い、更新データを自己のサブシステ
ム内のボリュームに反映するモードと、メインセンター
9側が自己のサブシステム内のボリュームが更新された
順番によらずにプライマリディスクサブシステム群3で
最適にスケジューリングされた契機で転送対象のデータ
を纏めて転送して、リモートセンター10のセカンダリ
ディスクサブシステム群7は受取った順番に関係なく更
新データを更新された順番で自己のサブシステム内のボ
リュームに反映するモードと、を保有する。As a remote copy method for asynchronously writing data to a remote location, the primary disk subsystem group 3 of the main center 9 connects its own subsystems in accordance with the order in which the volumes in their subsystems are updated. The update data is transferred to the secondary disk subsystem group 7 of the remote center 10 and the secondary disk subsystem group 7 of the remote center 10 is updated.
Is the mode in which the update data is reflected in the volume in its own subsystem in accordance with the order in which it was received, and the main center 9 side is optimal in the primary disk subsystem group 3 irrespective of the order in which the volumes in its own subsystem are updated. The data to be transferred is collectively transferred at the time of the scheduled schedule, and the secondary disk subsystem group 7 of the remote center 10 updates the update data to the volume in its own subsystem in the updated order regardless of the order in which the data was received. Mode to reflect, and possess.
【0026】セカンダリディスクサブシステム群7は、
インタフェースケーブル4により接続されたプライマリ
ディスクサブシステム群3からインタフェース制御部2
1経由で受取ったデータを自サブシステム内のデータバ
ッファ22に格納する。The secondary disk subsystem group 7 includes:
From the primary disk subsystem group 3 connected by the interface cable 4 to the interface control unit 2
1 is stored in the data buffer 22 in the own subsystem.
【0027】つまり、上位装置1から一台または複数台
のディスクサブシステム3−1、3−2、………3−n
に対しデータの書き込み指示があった場合には、リモー
トセンター10内の一台または複数台のディスクサブシ
ステム7−1、7−2、………7−nにも同じデータが
格納されるシステム構成を示している。図1の矢印は、
上位装置1から書き込み指示のあったデータの流れを示
している。That is, one or more disk subsystems 3-1, 3-2,..., 3-n
, 7-n, the same data is stored in one or more disk subsystems 7-1, 7-2,..., 7-n in the remote center 10. 1 shows the configuration. The arrow in FIG.
2 shows the flow of data for which a write instruction has been issued from the host device 1.
【0028】なお、プライマリディスクサブシステム群
3は、リモートコピーにおける暗号化の状態を表わす制
御ビットをリモートコピー制御情報格納部27内に持っ
ており、予めシステム運用者により設定された契機もし
くは不定期間隔の契機もしくは任意の時点でのシステム
運用者による指示に基づき、この制御ビットの情報を変
更することによってリモートコピーを一時停止状態にす
ることができる。なお、本発明の一実施形態では、この
一時停止状態に、更新した暗号鍵をプライマリ側からセ
カンダリ側へ通知することになる(詳細は後述)。リモ
ートコピーが一時停止のときは、プライマリディスクサ
ブシステム群3はセカンダリディスクサブシステム群7
への更新データの書き込み指示の発行は行なわずに保留
する。The primary disk subsystem group 3 has control bits indicating the encryption status in remote copy in the remote copy control information storage unit 27, and has a trigger or an irregular set in advance by the system operator. By changing the information of the control bits based on the timing of the interval or an instruction from the system operator at an arbitrary time, the remote copy can be temporarily stopped. In the embodiment of the present invention, the updated encryption key is notified from the primary side to the secondary side in this suspended state (details will be described later). When the remote copy is suspended, the primary disk subsystem group 3 becomes the secondary disk subsystem group 7
It does not issue the instruction to write the update data to the CPU and suspends it.
【0029】ここで、プライマリディスクサブシステム
3−1のリモートコピー制御情報格納部には、前記セカ
ンダリディスクサブシステム群にデータをリモートコピ
ーする際に暗号化してデータ転送するか否かを規定した
制御情報を格納しても良い。前記制御情報が暗号化して
データ転送すると規定している場合にデータの暗号化を
行なってデータ転送すると共に、一方、前記セカンダリ
ディスクサブシステム群では、前記プライマリディスク
サブシステム群の前記制御情報を確認し、前記制御情報
が暗号化してデータ転送するとなっている場合に転送さ
れたデータに対して暗号化に適応した処理を行なうこと
で(例えば、暗号鍵を用いて転送データを復号するよう
に対処すること)、メインセンターからリモートセンタ
ーへコピーされたデータの整合性を取ることができる。Here, the remote copy control information storage section of the primary disk subsystem 3-1 has a control defining whether or not to encrypt and transfer data when remotely copying data to the secondary disk subsystem group. Information may be stored. In the case where the control information specifies that data is to be encrypted and transferred, the data is encrypted and transferred, and the secondary disk subsystem group confirms the control information of the primary disk subsystem group. When the control information is to be transferred after being encrypted, the transferred data is subjected to a process adapted to the encryption (for example, it is necessary to decrypt the transferred data using an encryption key). ), The consistency of the data copied from the main center to the remote center can be obtained.
【0030】本発明では、このようにリモートコピーを
一時停止させ、この間に更新した暗号鍵をリモートセン
ターへ通知することによりメインセンター9側のデータ
とリモートセンター10側のデータとで使用される暗号
鍵の整合性を取ることが出来るので、上位装置の介在無
しでリモートコピーの暗号鍵の更新を実現することが出
来る。このためメインフレームだけでなくオープン系の
システムであっても、同様の機能を実現することが出来
る。According to the present invention, the remote copy is temporarily stopped in this way, and the encryption key used for the data on the main center 9 and the data on the remote center 10 is notified by notifying the updated encryption key to the remote center during this time. Since the consistency of the key can be maintained, the encryption key of the remote copy can be updated without the intervention of the host device. Therefore, not only the mainframe but also an open system can realize the same function.
【0031】また、プライマリディスクサブシステム群
3は、予めシステム運用者により設定された契機もしく
は不定期間隔の契機もしくは任意の時点でのシステム運
用者による指示に基づき、上記一時停止状態を解除する
ことが出来る。Further, the primary disk subsystem group 3 releases the suspension state based on a trigger set in advance by the system operator, a trigger at irregular intervals, or an instruction from the system operator at any time. Can be done.
【0032】一時停止状態が解除されると、プライマリ
ディスクサブシステム群3は、上位装置1からプライマ
リディスクサブシステム群3へデータの書込要求が発行
された場合は、これに同期して当該データを自己のサブ
システム内のデータバッファ22に書き込み、更に、自
己のサブシステム内のデータバッファ22にデータが書
き込まれたこととは非同期に、遠隔地に存在するセカン
ダリディスクサブシステム群7に対してデータの書込指
示を行なう。そして、実際にリモートセンターへデータ
を転送する際に更新した暗号鍵を用いる。When the suspended state is released, the primary disk subsystem group 3 synchronizes with the primary disk subsystem group 3 when a data write request is issued from the higher-level device 1 to the primary disk subsystem group 3. Is written to the data buffer 22 in the own subsystem. Further, asynchronously with the data being written to the data buffer 22 in the own subsystem, the An instruction to write data is issued. Then, the updated encryption key is used when data is actually transferred to the remote center.
【0033】このような構成とする事により、メインセ
ンター9内のリモートコピー対象のプライマリディスク
サブシステム群3のボリュームと、リモートセンター1
0内のセカンダリディスクサブシステム群7のボリュー
ムとにおいて、同一のタイミングで暗号鍵の更新が出来
る。さらに、プライマリディスクサブシステム群3にお
いてリモートコピーが一時停止状態となっている間は、
プライマリディスクサブシステム群3が一時停止状態と
なった時点のメインセンタ9のプライマリディスクサブ
システム群3のデータの状態と、リモートセンター10
のセカンダリディスクサブシステム群7でのデータの状
態とが一致している。即ち当該時点で2センター間で一
貫性が保証されたデータの状態が保証・維持される。With such a configuration, the volume of the primary disk subsystem group 3 to be remotely copied in the main center 9 and the remote center 1
The encryption key can be updated at the same timing with the volume of the secondary disk subsystem group 7 within 0. Further, while remote copy is suspended in the primary disk subsystem group 3,
The state of the data in the primary disk subsystem group 3 of the main center 9 at the time when the primary disk subsystem group 3 is
And the data state in the secondary disk subsystem group 7 of the secondary disk subsystem group 7 is the same. That is, at that time, the state of the data whose consistency is guaranteed between the two centers is guaranteed and maintained.
【0034】なお、リモートコピーの一時停止や一時停
止の解除は、リモートコピーのボリュームペア単位に設
定出来る。複数のボリュームペアを一つのボリュームグ
ループに設定して、ボリュームグループ単位に状態を変
化させることも可能である。そして、一時停止や一時停
止解除を何れかのサブシステム3,7や上位装置1,8
のコンソール、或いはこれらのシステムを管理する際に
使用するモニターに表示することによって、ユーザはリ
モートコピーが現在行なわれているか否か、またどのよ
うな単位でリモートコピーが行われているかを認識する
事が出来る。The suspension of the remote copy and the release of the suspension can be set for each volume pair of the remote copy. A plurality of volume pairs can be set in one volume group, and the status can be changed for each volume group. Then, the suspension or suspension cancellation is performed by any of the subsystems 3 and 7 and the higher-level devices 1 and 8
By displaying the information on the console or the monitor used to manage these systems, the user can recognize whether the remote copy is currently being performed and in what unit the remote copy is being performed. I can do things.
【0035】このリモートコピーの一時停止及び一時停
止解除の間隔はユーザの任意に設定する事が可能であ
る。ここではリモートコピーの転送データの傍受による
暗号解読の危険性の高まりに要する時間を周期として、
メインセンター9からリモートセンター10へのリモー
トコピーを行い、ここで一時停止して、更新された暗号
鍵を送信して、その後に一時停止を解除して、再びリモ
ートコピーを行なうというサイクルを挙げておく。勿
論、この例に囚われずに一時停止及び一時停止解除の間
隔を設定しても良い。The interval between the suspension of the remote copy and the release of the suspension can be arbitrarily set by the user. Here, the time required to increase the risk of decryption due to interception of the remote copy transfer data is set as the cycle,
A cycle is described in which a remote copy is performed from the main center 9 to the remote center 10, where the temporary stop is performed, an updated encryption key is transmitted, the temporary stop is released, and the remote copy is performed again. deep. Of course, without being limited to this example, the intervals of the pause and the release of the pause may be set.
【0036】上位装置8は、リモートセンター10にお
いてセカンダリディスクサブシステム群7とインタフェ
ースケーブル6によって接続され、セカンダリディスク
サブシステム群7に対して、参照及び更新を行なう中央
処理装置である。上位装置8は、メインセンター9の上
位装置1が災害や故障等により本来の機能を果たせなく
なった場合に、上位装置1の代替となって処理を行なう
ことが出来る。このほか、セカンダリディスクサブシス
テム群7に格納されているデータを使用して、メインセ
ンター9の上位装置1とは異なる処理を、上位装置1と
は別個独立に実行することが出来るものである。The host device 8 is a central processing unit that is connected to the secondary disk subsystem group 7 at the remote center 10 by the interface cable 6 and references and updates the secondary disk subsystem group 7. The host device 8 can perform processing as an alternative to the host device 1 when the host device 1 of the main center 9 cannot perform its original function due to a disaster or a failure. In addition, using data stored in the secondary disk subsystem group 7, processing different from that of the host device 1 of the main center 9 can be executed independently of the host device 1.
【0037】但し、上位装置8がセカンダリディスクサ
ブシステム群7に対して処理を行なわない場合や上位装
置1の代替機能を備えない場合には、上位装置8は不要
である。逆に、上位装置8を備え、ディスクサブシステ
ム7−1を他のディスクサブシステム7−2〜7−nと
インタフェースケーブル11で接続し、メインセンター
9のプライマリディスクサブシステム群3と同様の構成
とすることで図1のメインセンター9をリモートセンタ
ーとして、リモートセンター10をメインセンターとし
て機能させることも可能である。However, if the host device 8 does not perform processing on the secondary disk subsystem group 7 or does not have a substitute function for the host device 1, the host device 8 is unnecessary. Conversely, a host system 8 is provided, the disk subsystem 7-1 is connected to the other disk subsystems 7-2 to 7-n via the interface cable 11, and the same configuration as the primary disk subsystem group 3 of the main center 9 is provided. Thus, the main center 9 in FIG. 1 can function as a remote center and the remote center 10 can function as a main center.
【0038】本発明の実施形態として、データの二重化
方法と運用を図2を用いて説明する。As an embodiment of the present invention, a data duplication method and operation will be described with reference to FIG.
【0039】二重化の対象となるデータが格納されたフ
ァイルやボリューム、ディスクサブシステム3は、事前
に運用者が二重化つまりリモートコピーの必要に応じて
選択する。そして、対象ファイルや対象ボリューム及び
ディスクサブシステム3と、選択したデータの複製を格
納するファイルやボリューム及びディスクサブシステム
7との関係や、二重化する際に更新順序の整合性を常時
保持する必要が有るか否かを、予め運用者が上位装置1
或いはコンソール26等からプライマリディスクサブシ
ステム3−1内のリモートコピー制御情報格納部27に
対し設定しておく。The file, volume, and disk subsystem 3 in which data to be duplicated is stored are selected by the operator in advance according to the need for duplexing, that is, remote copying. Then, it is necessary to always maintain the relationship between the target file, the target volume, and the disk subsystem 3 and the file, volume, and the disk subsystem 7 that store the copy of the selected data, and the consistency of the update order when duplexing. The operator determines in advance whether or not there is
Alternatively, it is set in the remote copy control information storage unit 27 in the primary disk subsystem 3-1 from the console 26 or the like.
【0040】また、プライマリディスクサブシステム3
−1については、リモートコピーを一時停止させる契機
並びに一時停止を解除する契機を設定する。契機の設定
は、上位装置1から指示できるため、運用の自動化を支
援する上位装置1のプログラムにより上位装置1からの
指示契機を予めスケジューリングしておくことが可能で
ある。The primary disk subsystem 3
For -1, an opportunity to suspend the remote copy and an opportunity to cancel the suspension are set. Since the setting of the trigger can be instructed from the higher-level device 1, it is possible to schedule in advance the trigger from the higher-level device 1 by a program of the higher-level device 1 that supports the automation of the operation.
【0041】上記の選択、設定に際し、専用のコンソー
ル26を接続又は装備できるディスクサブシステム3の
場合には、上位装置1を利用せず、そのコンソール26
を通じて設定できる。本例では、上位装置1を利用せ
ず、プライマリディスクサブシステム群3内部で保有す
る時間値を利用して、予め運用者がプライマリディスク
サブシステム3−1において、不定期間隔でリモートコ
ピーの一時停止、並びに一時停止の解除が実施されるよ
うに設定しておく。In the above selection and setting, in the case of the disk subsystem 3 to which a dedicated console 26 can be connected or equipped, the host device 1 is not used and the console 26 is used.
Can be set through In this example, the operator does not use the higher-level device 1 but uses the time value held in the primary disk subsystem group 3 to allow the operator to perform remote copy temporary copy at irregular intervals in the primary disk subsystem 3-1 in advance. It is set so that the suspension and the release of the suspension are performed.
【0042】図2のフローは専用のコンソールから選択
・設定を行なう場合を示している。リモートコピーのパ
スやボリュームペアの初期設定、即ちどのディスクサブ
システムにリモートコピー要求を出すかの設定は、ユー
ザが予め上位装置1に対して設定しておく(ステップ
1:図ではS1の様に示す。以下同じ)。また、リモー
トコピーの一時停止や一時停止解除の初期設定は、リモ
ートコピー対象のボリュームペア単位に設定する(ステ
ップ2)。通常は、リモートコピー対象のボリュームペ
アすべてを一つのボリュームグループとして定義し、ボ
リュームグループ内のボリュームはすべて同一のステー
タスとなるように設定する。FIG. 2 shows a case where selection and setting are performed from a dedicated console. Initial setting of a remote copy path and a volume pair, that is, setting of a disk subsystem to which a remote copy request is to be issued is set in advance by the user in the upper-level device 1 (Step 1: S1 in FIG. (The same applies hereinafter.) Further, the initial setting of the suspension and the suspension release of the remote copy is set for each volume pair of the remote copy target (step 2). Normally, all volume pairs to be copied are defined as one volume group, and all volumes in the volume group are set to have the same status.
【0043】本例では、ディスクサブシステム3のボリ
ューム全てをリモートコピー対象とする。従って、以下
では、リモートコピーの状態を、ボリュームペアやボリ
ュームグループ単位ではなく、ディスクサブシステム単
位として記述する。In this example, all the volumes of the disk subsystem 3 are set as remote copy targets. Therefore, hereinafter, the status of remote copy is described not as a volume pair or a volume group but as a disk subsystem.
【0044】リモートコピー対象のファイルやボリュー
ムの設定方法としては、ボリュームやディスクサブシス
テムを意味する具体的なアドレスを指定する方法や、デ
ィスクサブシステム内の制御プログラムによって、アド
レスの任意の範囲から選択する方法を取ることもでき
る。初期設定として、パスやボリュームペアの設定、並
びに一時停止契機や一時停止解除契機の設定を行なう例
を示してある。As a method of setting a file or a volume to be remotely copied, a method of designating a specific address indicating a volume or a disk subsystem or a control program in the disk subsystem selects an address from an arbitrary range. You can also take the method. As an initial setting, an example is shown in which a path and a volume pair are set, and a temporary stop trigger and a temporary stop release trigger are set.
【0045】上位装置1から、プライマリディスクサブ
システム3−1、3−2、………、3−nに対し、ライ
トコマンドが発行されると(ステップ3)、プライマリ
ディスクサブシステム3−1、3−2、………、3−n
はライトコマンドに基づき自己のディスクサブシステム
内のデータバッファ22へのデータ格納処理を実行する
(ステップ4)。ここで、ライトコマンドとは、データ
を書込むための指示と書込みデータそのものとを転送す
るコマンドである。When the host device 1 issues a write command to the primary disk subsystems 3-1, 3-2,..., 3-n (step 3), the primary disk subsystem 3-1, 3-2, ..., 3-n
Executes the data storage process to the data buffer 22 in its own disk subsystem based on the write command (step 4). Here, the write command is a command for transferring an instruction for writing data and the write data itself.
【0046】ライトコマンドを受領した際、プライマリ
ディスクサブシステム3−1、3−2、………、3−n
は、プライマリディスクサブシステム群3のリモートコ
ピー制御情報格納部27に格納されているリモートコピ
ー状態を表す制御ビットを取得・参照することにより、
プライマリディスクサブシステム群3がリモートコピー
一時停止状態にあるか否かを確認する(ステップ5)。
プライマリディスクサブシステム3−1、3−2、……
…3−nはプライマリディスクサブシステム群3がリモ
ートコピー一時停止状態にある場合、データバッファ2
2へのデータ書き込みが終了すれば上位装置1に対しラ
イトコマンドに対する処理の完了を報告する(ステップ
6)。この後、ライトコマンドをセカンダリディスクサ
ブシステム7−1、7−2、………7−nに対し発行
し、ライトコマンドに対する処理を完了させる。When the write command is received, the primary disk subsystems 3-1, 3-2,..., 3-n
Obtains and refers to the control bit indicating the remote copy status stored in the remote copy control information storage unit 27 of the primary disk subsystem group 3,
It is confirmed whether or not the primary disk subsystem group 3 is in the remote copy suspension state (step 5).
Primary disk subsystems 3-1, 3-2, ...
.., 3-n indicates that when the primary disk subsystem group 3 is in the remote copy suspended state, the data buffer 2
When the writing of data to the second device is completed, the completion of the process for the write command is reported to the host device 1 (step 6). Thereafter, a write command is issued to the secondary disk subsystems 7-1, 7-2,..., 7-n, and the processing for the write command is completed.
【0047】なお、メインセンタにおいて以前に更新が
行なわれたデータについて、リモートセンタに未転送の
データの格納位置情報を保持している場合は、当該位置
の全てのデータもリモートセンタのセカンダリディスク
サブシステム7−1、7−2、………7−nへの転送対
象と判断し、当該データを書込む為のライトコマンドを
セカンダリディスクサブシステム7−1、7−2、……
…7−nに対し発行し、ライトコマンドに対する処理を
完了させる。この際、現在、設定されている暗号鍵を用
いて、データを暗号化して、プライマリディスクサブシ
ステムからセカンダリサブシステムへ転送する。即ち、
当該書込みコマンドによるデータ及び未転送の全ての更
新データ(書込みデータ)は、現在の暗号鍵により暗号
化され、リモートセンターへ全て転送される(ステップ
7)。その後、データ転送は一時停止状態になる。When the storage location information of the data that has not been transferred to the remote center is held for the data that has been updated previously in the main center, all the data at the location are also stored in the secondary disk sub-unit of the remote center. It is determined that the data is to be transferred to the systems 7-1, 7-2,... 7-n, and a write command for writing the data is written to the secondary disk subsystems 7-1, 7-2,.
.. 7-n to complete the processing for the write command. At this time, the data is encrypted using the currently set encryption key and transferred from the primary disk subsystem to the secondary subsystem. That is,
The data by the write command and all untransferred update data (write data) are encrypted with the current encryption key and all are transferred to the remote center (step 7). Thereafter, the data transfer is suspended.
【0048】次に、メインセンタ内の暗号鍵(暗号鍵は
これを用いてデータを暗号化/復号化するためのもの)
を更新する(ステップ8)。この後、更新された暗号鍵
をセカンダリディスクサブシステム7−1、7−2、…
……7−nに転送する(ステップ9)。暗号鍵を転送
後、プライマリディスクサブシステム3−1、3−2、
………3−nはプライマリディスクサブシステム群3の
リモートコピー(データ転送)一時停止状態を解除する
(ステップ10)。従って、リモートコピー一時停止状
態後は、更新された新しい暗号鍵が使用される。つま
り、リモートへ転送されるデータは新しい暗号鍵(更新
された暗号鍵)で暗号化され、この暗号化されたデータ
がリモートへ転送される。Next, an encryption key in the main center (an encryption key is used to encrypt / decrypt data using the key).
Is updated (step 8). Thereafter, the updated encryption key is transferred to the secondary disk subsystems 7-1, 7-2,.
... Transfer to 7-n (step 9). After transferring the encryption key, the primary disk subsystems 3-1, 3-2,
... 3-n releases the remote copy (data transfer) temporary suspension state of the primary disk subsystem group 3 (step 10). Therefore, after the remote copy suspension state, the updated new encryption key is used. That is, the data to be transferred to the remote is encrypted with the new encryption key (updated encryption key), and the encrypted data is transferred to the remote.
【0049】なお、ステップ8及びステップ9において
は、プライマリディスクサブシステム群3からセカンダ
リディスクサブシステム群7に一般的に転送しているデ
ータと同様のデータ長/データパターンを持ったデータ
を作成し、その一部として更新した暗号鍵を埋込み、暗
号鍵をリモートへ転送しても良い。こうすることによっ
て、暗号鍵を転送する特別なパケットを使用する必要が
無くなり、且つ、外部からは、一般データと思えるた
め、リモートコピーの一時停止のタイミングを外部から
隠蔽することが可能となり、結果として暗号化議を送る
際の安全性が高くなる。ここで暗号鍵を埋め込むべきデ
ータは一般に転送しているデータに似せることが重要で
あり、必ずしも完全に一致させる必要はない。In steps 8 and 9, data having the same data length / data pattern as data generally transferred from the primary disk subsystem group 3 to the secondary disk subsystem group 7 is created. Alternatively, the updated encryption key may be embedded as a part thereof and the encryption key may be transferred to the remote. By doing so, there is no need to use a special packet for transferring the encryption key, and it is possible to conceal the timing of the temporary stop of the remote copy from the outside because it seems to be general data from the outside. As a result, the security when sending an encryption request is increased. Here, it is important that the data in which the encryption key is to be embedded is generally similar to the data being transferred, and it is not always necessary to completely match them.
【0050】一方、ステップ5でプライマリディスクサ
ブシステム群3がリモートコピー一時停止状態にない場
合は、プライマリディスクサブシステム3−1、3−
2、………、3−nは、データバッファ22へのデータ
書き込みが終了すれば上位装置1に対しライトコマンド
に対する処理の完了を報告し(ステップ11)、自己の
サブシステムの処理能力に基づいて決定された契機で、
ライトコマンドをセカンダリディスクサブシステム7−
1、7−2、………7−nに対し発行する。この時メイ
ンセンタにおいて更新(書込み)が行なわれたデータに
ついて、リモートセンタにライトコマンドが直ちに発行
されない場合があるが、これはリモートセンタへ未転送
のデータの格納位置情報として自サブシステム内に保持
しておく。また、メインセンタにおいて以前に更新が行
なわれたデータについて、リモートセンタに未転送のデ
ータの格納位置情報を保持している場合は、当該位置の
データもリモートセンタのセカンダリディスクサブシス
テム7−1、7−2、………7−nへの転送対象と判断
し、当該データを書込む為のライトコマンドを発行す
る。この際、現在用いている暗号鍵を用いて暗号化して
セカンダリへ転送する(ステップ12)。当該データの
格納位置情報は、ライトコマンドに対するリモートへの
転送処理が完了した後に、これを消去する。On the other hand, if the primary disk subsystem group 3 is not in the remote copy suspended state in step 5, the primary disk subsystems 3-1 and 3-
2,..., 3-n report the completion of the process for the write command to the host device 1 when the data writing to the data buffer 22 is completed (step 11), and based on the processing capability of the own subsystem. With the opportunity decided,
Write command to secondary disk subsystem 7-
1, 7-2,..., 7-n. At this time, a write command may not be immediately issued to the remote center for the data updated (written) in the main center, but this is stored in its own subsystem as storage position information of data not yet transferred to the remote center. Keep it. Further, in the case where the storage location information of the data which has not been transferred to the remote center is held for the data which has been previously updated in the main center, the data at the location is also stored in the secondary disk subsystem 7-1 of the remote center. 7-2,..., 7-n, and issues a write command for writing the data. At this time, the data is encrypted using the currently used encryption key and transferred to the secondary (step 12). The storage location information of the data is deleted after the process of transferring the write command to the remote is completed.
【0051】即ち、プライマリディスクサブシステム群
3がリモートコピー一時停止状態にあれば、メインセン
タ9のプライマリディスクサブシステム群3は、暗号鍵
を更新すると共に更新された暗号鍵をリモートセンタ1
0のセカンダリディスクサブシステム群7に転送する。
また、プライマリディスクサブシステム群3がリモート
コピー一時停止状態になければ、メインセンタ9のプラ
イマリディスクサブシステム群3は上位装置1からライ
トコマンドが発行される事に起因し現在の暗号鍵を用い
てリモートコピーが実施される。That is, if the primary disk subsystem group 3 is in the remote copy temporary suspension state, the primary disk subsystem group 3 of the main center 9 updates the encryption key and sends the updated encryption key to the remote center 1.
0 is transferred to the secondary disk subsystem group 7.
If the primary disk subsystem group 3 is not in the remote copy suspension state, the primary disk subsystem group 3 of the main center 9 uses the current encryption key due to the issuance of a write command from the host device 1. Remote copy is performed.
【0052】セカンダリディスクサブシステム7−1、
7−2、………7−nは、プライマリディスクサブシス
テム3−1、3−2、………3−nから発行されたライ
トコマンドを受領していることを確認すると、ライトコ
マンドに対する処理、即ち、自己のサブシステム内のデ
ータバッファ22へのデータ格納処理を行なう(ステッ
プ13)。The secondary disk subsystem 7-1,
7-2,..., 7-n confirms that they have received the write command issued from the primary disk subsystems 3-1, 3-2,. That is, a process of storing data in the data buffer 22 in its own subsystem is performed (step 13).
【0053】セカンダリディスクサブシステム7−1、
7−2、………、7−nは、ライトコマンドに対する処
理、即ち、自己のサブシステム内のデータバッファ22
へのデータ格納処理が完了すると、プライマリディスク
サブシステム3−1、3−2、………3−nに対し、ラ
イトコマンドに対する処理完了報告を行なう(ステップ
14)。The secondary disk subsystem 7-1,
7-2,..., 7-n are processes for the write command, that is, the data buffer 22 in the own subsystem.
When the data storage processing is completed, the completion of the write command is reported to the primary disk subsystems 3-1, 3-2,..., 3-n (step 14).
【0054】本発明により、上位装置1から書込まれた
データは、プライマリディスクサブシステム3−1、3
−2、………、3−nに格納されるだけでなく、セカン
ダリディスクサブシステム7−1、7−2、7−nにも
複写され格納される。また、プライマリディスクサブシ
ステム群3がリモートコピー一時停止状態となった時点
のプライマリディスクサブシステム3−1、3−2、…
……3−nのデータの状態が、リモートセンタ10側の
セカンダリディスクサブシステム7−1、7−2、……
…7−nで生成される。この時、プライマリディスクサ
ブシステム群3が更新された暗号鍵をセカンダリディス
クサブシステム群7に転送する。According to the present invention, the data written from the host device 1 is transferred to the primary disk subsystems 3-1 and 3-3.
,..., 3-n, and are also copied and stored in the secondary disk subsystems 7-1, 7-2, 7-n. Also, the primary disk subsystems 3-1, 3-2,... At the time when the primary disk subsystem group 3 enters the remote copy suspended state.
... The state of the data of 3-n indicates the secondary disk subsystems 7-1 and 7-2 on the remote center 10 side.
.. 7-n. At this time, the primary disk subsystem group 3 transfers the updated encryption key to the secondary disk subsystem group 7.
【0055】セカンダリディスクサブシステム群7は、
プライマリディスクサブシステム群3によって更新され
た暗号鍵を受取った時点から、当該更新された暗号鍵を
使用してデータを復号することが出来る。メインセンタ
ー9が被災した場合は、セカンダリディスクサブシステ
ム7−1、7−2、………7−nのデータを利用して、
ジョブを再実行する等の回復作業を行ない、業務を再開
する。これらはすべてディスクサブシステムの機能のみ
で実現され、上位装置の処理能力に対し負担とならな
い。The secondary disk subsystem group 7 includes:
When the encryption key updated by the primary disk subsystem group 3 is received, the data can be decrypted using the updated encryption key. When the main center 9 is damaged, the data of the secondary disk subsystems 7-1, 7-2,.
Perform recovery work such as re-executing the job, and resume the business. These are all realized only by the functions of the disk subsystem and do not impose a burden on the processing capability of the host device.
【0056】以上説明したように、本発明の第1の実施
形態は、適宜の時間間隔毎に設定されたリモートコピー
の一次停止(リモートコピーを一時停止する意味はこの
一時停止を境に暗号鍵を変更することである)と一時停
止解除との間で暗号鍵を更新し、更新後の暗号鍵をリモ
ートセンターにも通知するシステムであるので、一時停
止解除に再開されたリモートコピーのデータは更新後の
暗号鍵を用いてデータ復号されることとなり、リモート
センターへ転送されるデータと暗号鍵との対応付けが明
確となっているのである。As described above, according to the first embodiment of the present invention, the temporary stop of the remote copy set at appropriate time intervals (meaning that the remote copy is temporarily stopped, This is a system in which the encryption key is updated between the suspension and the suspension release, and the updated encryption key is also notified to the remote center. The data is decrypted using the updated encryption key, and the correspondence between the data transferred to the remote center and the encryption key is clear.
【0057】結局のところ、本発明の第1の実施形態
は、次のような構成、機能乃至作用を奏するものであ
る。相互に遠隔地に存在するメインセンターのプライマ
リディスクサブシステム群とリモートセンターのセカン
ダリディスクサブシステム群とを接続する。メインセン
ターのプライマリディスクサブシステム群は上位装置よ
り更新データを受け取ると、自サブシステムへのデータ
の格納を開始する。After all, the first embodiment of the present invention has the following configuration, function and operation. The primary disk subsystems of the main center and the secondary disk subsystems of the remote center that are mutually remote are connected. Upon receiving the update data from the host device, the primary disk subsystem group of the main center starts storing data in its own subsystem.
【0058】そして、プライマリディスクサブシステム
群は自サブシステムが暗号鍵を変更するタイミングの状
態になっているか否かを確認する。暗号鍵を変更するタ
イミングの状態になっていない場合は、プライマリディ
スクサブシステム群は当該データを現在の暗号鍵を用い
たリモートセンターへの転送対象とする。暗号鍵を変更
するタイミングの状態になっている場合は、今回受けた
データと、今まで受けたデータで未転送分をリモートセ
ンターへ送った後、プライマリディスクサブシステム群
はリモートセンターへのデータ転送を一時停止し、暗号
鍵を更新し、且つ更新された暗号鍵をリモートセンター
へ転送して、一時停止されたリモートセンターへのデー
タ転送を再開する。Then, the primary disk subsystem group confirms whether or not its own subsystem is in a state of changing the encryption key. If the current state is not the timing for changing the encryption key, the primary disk subsystem group transfers the data to the remote center using the current encryption key. If it is time to change the encryption key, the primary disk subsystems transfer data to the remote center after sending the data received this time and the data that has not been transferred so far to the remote center. Is temporarily stopped, the encryption key is updated, the updated encryption key is transferred to the remote center, and the data transfer to the temporarily stopped remote center is resumed.
【0059】前記一時停止の期間はリモートセンターへ
のデータ転送は行なわない。プライマリディスクサブシ
ステム群においてリモートセンターへのデータ転送の一
時停止状態が解除された後は、メインセンターのプライ
マリディスクサブシステム群はリモートセンターのセカ
ンダリディスクサブシステム群へ更新された暗号鍵を用
いてデータ転送を再開する。Data transfer to the remote center is not performed during the suspension. After the suspended state of data transfer to the remote center in the primary disk subsystems is released, the primary disk subsystems in the main center use the updated encryption key to update the secondary disk subsystems in the remote center. Resume the transfer.
【0060】このようにして、メインセンターとリモー
トセンターの間で、暗号鍵を更新しながら、リモートコ
ピーによりデータの二重化を行なう。In this way, data is duplicated by remote copy between the main center and the remote center while updating the encryption key.
【0061】次に、本発明の第2の実施形態として、デ
ータの二重化方法と運用の概略を図4を用いて説明す
る。Next, as a second embodiment of the present invention, an outline of a data duplication method and operation will be described with reference to FIG.
【0062】図4のフローにおいてステップ21〜24
は、図2のフローのステップ1〜4と共通である。ここ
ではステップ25から説明する。Steps 21 to 24 in the flow of FIG.
Are common to steps 1 to 4 in the flow of FIG. Here, the description starts from step 25.
【0063】上位装置1からライトコマンドを受領した
際、プライマリディスクサブシステム3−1、3−2、
………3−nは、プライマリディスクサブシステム群3
のリモートコピー制御情報格納部27に格納されている
リモートコピー状態を表す制御ビットを取得・参照する
ことにより、プライマリディスクサブシステム群3が暗
号鍵を更新するタイミングにあるか否かを確認する(ス
テップ25)。プライマリディスクサブシステム3−
1、3−2、………3−nはプライマリディスクサブシ
ステム群3が暗号鍵を更新するタイミングにある場合、
暗号鍵を更新する(ステップ26)。When a write command is received from the host device 1, the primary disk subsystems 3-1, 3-2,
……… 3-n is the primary disk subsystem group 3
By obtaining and referring to the control bits indicating the remote copy status stored in the remote copy control information storage unit 27, it is confirmed whether or not it is time for the primary disk subsystem group 3 to update the encryption key ( Step 25). Primary disk subsystem 3-
1, 3-2,..., 3-n are timings at which the primary disk subsystem group 3 updates the encryption key.
The encryption key is updated (step 26).
【0064】この後、プライマリディスクサブシステム
群3からセカンダリディスクサブシステム群7に一般的
に転送しているデータと同様に、更新された暗号鍵に順
序番号(データ順序番号に対応)を付与し(ステップ2
7)、この暗号鍵をセカンダリディスクサブシステム7
−1、7−2、………7−nに転送して(ステップ2
8)、データの更新位置を示す情報(例えば、データバ
ッファのアドレス)をサブシステム内に保存して(ステ
ップ29)、書き込みが終了すると上位装置1に対しラ
イトコマンドに対する処理の完了を報告する(ステップ
30)。更に、プライマリディスクサブシステム3−
1、3−2、………3−nはプライマリディスクサブシ
ステム群3の暗号鍵を更新するタイミングを解除する
(ステップ31)。Thereafter, a sequence number (corresponding to the data sequence number) is given to the updated encryption key, similarly to the data generally transferred from the primary disk subsystem group 3 to the secondary disk subsystem group 7. (Step 2
7), this encryption key is transferred to the secondary disk subsystem 7
-1, 7-2,..., 7-n (step 2
8) The information indicating the data update position (for example, the address of the data buffer) is stored in the subsystem (step 29), and when the writing is completed, the completion of the processing for the write command is reported to the host device 1 (step 29). Step 30). Further, the primary disk subsystem 3-
1, 3-2,..., 3-n cancel the timing for updating the encryption key of the primary disk subsystem group 3 (step 31).
【0065】以上のことがらを具体的に説明する。ホス
トから書込み要求(書込みデータ)が送られてくると、
プライマリディスクサブシステムは、データが送られて
きた順序で、データに順序番号を付与しつつバッファに
格納する。これらのデータは適当な契機によって、現在
の暗号鍵(旧暗号鍵)を用いて暗号化され、セカンダリ
ディスクサブシステムへ順序番号と共に転送される。こ
の際、セカンダリディスクサブシステムへ転送されるデ
ータの順序は必ずしもホストから送られてきた順序で無
くても良い。理由は、セカンダリディスクサブシステム
でデータに付与された順序番号に基づいてデータを順番
に並び替えることができるからである。The above will be specifically described. When a write request (write data) is sent from the host,
The primary disk subsystem assigns a sequence number to the data in the order in which the data was sent, and stores the data in the buffer. When appropriate, these data are encrypted using the current encryption key (old encryption key) and transferred to the secondary disk subsystem together with the sequence number. At this time, the order of the data transferred to the secondary disk subsystem does not necessarily have to be the order sent from the host. The reason is that the data can be rearranged in order based on the sequence number assigned to the data in the secondary disk subsystem.
【0066】そのうち、暗号鍵の更新タイミングになる
と、プライマリディスクサブシステムは、自システムの
暗号鍵を更新し(新暗号鍵)、且つ、ホストからの書込
みデータに付与していた順序番号を採番して、この順序
番号を共に更新した暗号鍵をセカンダリディスクサブシ
ステムへ送信する。具体的には、今までデータに順序番
号、、が付与されていたとすると、暗号鍵の更新
のタイミングで順序番号を、更新した暗号鍵に与え
る。When the encryption key is updated, the primary disk subsystem updates its own encryption key (new encryption key) and assigns the sequence number assigned to the write data from the host. Then, the encryption key with the updated sequence number is transmitted to the secondary disk subsystem. Specifically, assuming that a sequence number has been added to the data, the sequence number is given to the updated encryption key at the timing of updating the encryption key.
【0067】そして、更新した暗号鍵(新暗号鍵)と順
序番号をペアにしてセカンダリディスクサブシステム
へ転送する。これを受けたセカンダリディスクサブシス
テムは、その後、順序番号を境に更新された暗号鍵を
受信データに対して使用する。見方を変えれば、セカン
ダリディスクサブシステムは、以下の順序番号を有す
るデータに対しては更新前の暗号鍵を用いてデータを復
号し、以上の順序番号に対しては更新後の暗号鍵を用
いてデータを復号する。Then, the updated encryption key (new encryption key) and the sequence number are paired and transferred to the secondary disk subsystem. The secondary disk subsystem that has received this, thereafter uses the encryption key updated with the sequence number for the received data. In other words, the secondary disk subsystem decrypts the data having the following sequence numbers using the pre-update encryption key, and uses the updated encryption key for the above sequence numbers. Decrypt the data.
【0068】その後、プライマリディスクサブシステム
は、新たな書込み要求を受けると、順序番号は既に暗
号鍵を送るのに用いているので、この書込み要求のデー
タに対しては順序番号を与え、バッファに格納する。
その後、適当な契機で更新した暗号鍵によってデータを
暗号化し、順序番号とともにセカンダリディスクサブ
システムへ転送する。Thereafter, when receiving a new write request, the primary disk subsystem assigns a sequence number to the data of this write request because the sequence number has already been used to send the encryption key, and stores it in the buffer. Store.
Thereafter, the data is encrypted with the updated encryption key at an appropriate opportunity, and is transferred to the secondary disk subsystem together with the sequence number.
【0069】セカンダリディスクサブシステムは、実際
のデータを受信すると、受信データを順序番号に従って
整列する。そして、順序番号のところで暗号鍵が更新
されていることを知っているセカンダリディスクサブシ
ステムは、順序番号を有するデータに関しては旧
暗号鍵を対応させ、順序番号を有するデータに関して
は新暗号鍵を対応させ、必要に応じて復号を行う。When the secondary disk subsystem receives the actual data, it arranges the received data according to the sequence numbers. Then, the secondary disk subsystem that knows that the encryption key has been updated at the sequence number associates the old encryption key with the data having the sequence number and the new encryption key with the data having the sequence number. And perform decryption as necessary.
【0070】また、プライマリディスクサブシステム群
3が暗号鍵を更新するタイミングにない場合は、プライ
マリディスクサブシステム3−1、3−2、………、3
−nは、書き込みが終了すると上位装置1に対しライト
コマンドに対する処理の完了を報告し(ステップ32)、
自己のサブシステムの処理能力に基づいて決定された契
機で、ライトコマンドをセカンダリディスクサブシステ
ム7−1、7−2、………7−nに対し発行する。そし
て、現在の暗号鍵でデータは暗号化され、リモートセン
ターへ転送される。If the primary disk subsystem group 3 is not at the timing for updating the encryption key, the primary disk subsystems 3-1, 3-2,.
-N reports the completion of the process for the write command to the host device 1 when the writing is completed (step 32),
The write command is issued to the secondary disk subsystems 7-1, 7-2,..., 7-n on the occasion determined based on the processing capacity of the own subsystem. Then, the data is encrypted with the current encryption key and transferred to the remote center.
【0071】この時メインセンタにおいて更新が行なわ
れたデータについて、リモートセンタへライトコマンド
を直ちに発行しない場合があるが、これはリモートセン
タへ未転送のデータの格納位置情報と共に自サブシステ
ム内に保持される。また、メインセンタにおいて以前に
更新が行なわれたデータについて、リモートセンタに未
転送のデータの格納位置情報を保持している場合は、当
該位置のデータもリモートセンタのセカンダリディスク
サブシステム7−1、7−2、………7−nへの転送対
象と判断し、当該データを書込む為のライトコマンドを
発行する(ステップ33)。そして、現在の暗号鍵で当
該データは暗号化され、リモートセンターへ転送され
る。当該データの格納位置情報は、ライトコマンドに対
する処理が完了した後に、これを消去する。At this time, a write command may not be immediately issued to the remote center with respect to the data updated in the main center, but this is held in the own subsystem together with the storage position information of the data not yet transferred to the remote center. Is done. Further, in the case where the storage location information of the data which has not been transferred to the remote center is held for the data which has been previously updated in the main center, the data at the location is also stored in the secondary disk subsystem 7-1 of the remote center. 7-2,..., 7-n, and issues a write command for writing the data (step 33). Then, the data is encrypted with the current encryption key and transferred to the remote center. The storage position information of the data is deleted after the processing for the write command is completed.
【0072】即ち、プライマリディスクサブシステム群
3が暗号鍵を更新するタイミングにあれば、メインセン
タ9のプライマリディスクサブシステム群3は更新され
た暗号鍵をリモートセンタ10のセカンダリディスクサ
ブシステム群7に転送する。また、プライマリディスク
サブシステム群3が暗号鍵を更新するタイミングになけ
れば、メインセンタ9のプライマリディスクサブシステ
ム群3は上位装置1からライトコマンドが発行される事
に起因しリモートコピーが実施される。That is, if the primary disk subsystem group 3 is at the timing of updating the encryption key, the primary disk subsystem group 3 of the main center 9 sends the updated encryption key to the secondary disk subsystem group 7 of the remote center 10. Forward. If the primary disk subsystem group 3 is not at the timing of updating the encryption key, the primary disk subsystem group 3 of the main center 9 performs remote copy because a write command is issued from the host device 1. .
【0073】セカンダリディスクサブシステム7−1、
7−2、………7−nは、プライマリディスクサブシス
テム3−1、3−2、………3−nから発行されたライ
トコマンドを受領していることを確認すると、ライトコ
マンドに対する処理、即ち、自己のサブシステム内のデ
ータバッファ22へのデータ格納処理を行なう(ステッ
プ34)。The secondary disk subsystem 7-1,
7-2,..., 7-n confirms that they have received the write command issued from the primary disk subsystems 3-1, 3-2,. That is, the data is stored in the data buffer 22 in the own subsystem (step 34).
【0074】セカンダリディスクサブシステム7−1、
7−2、………、7−nは、ライトコマンドに対する処
理、即ち、自己のサブシステム内のデータバッファ22
へのデータ格納処理が完了すると、プライマリディスク
サブシステム3−1、3−2、………3−nに対し、ラ
イトコマンドに対する処理完了報告を行なう(ステップ
35)。The secondary disk subsystem 7-1,
7-2,..., 7-n are processes for the write command, that is, the data buffer 22 in the own subsystem.
Upon completion of the data storage process, a report of the completion of the write command is sent to the primary disk subsystems 3-1, 3-2,..., 3-n (step 35).
【0075】本発明により、上位装置1から書込まれた
データは、プライマリディスクサブシステム3−1、3
−2、………、3−nに格納されるだけでなく、セカン
ダリディスクサブシステム7−1、7−2、7−nにも
複写され格納される。また、プライマリディスクサブシ
ステム群3が暗号鍵を更新するタイミングとなった時点
で、プライマリディスクサブシステム群3が更新された
暗号鍵に順序番号を付与して、セカンダリディスクサブ
システム群7に転送する。According to the present invention, data written from the host device 1 is transferred to the primary disk subsystems 3-1 and 3-1.
,..., 3-n, and are also copied and stored in the secondary disk subsystems 7-1, 7-2, 7-n. At the point in time when the primary disk subsystem group 3 updates the encryption key, the primary disk subsystem group 3 assigns a sequence number to the updated encryption key and transfers it to the secondary disk subsystem group 7. .
【0076】セカンダリディスクサブシステム群7は、
プライマリディスクサブシステム群3が一般的に転送し
ているデータ及び更新された暗号鍵に付与した順序番号
を使用して、当該更新された暗号鍵を適用すべきデータ
を特定して復号することが出来る。メインセンター9が
被災した場合は、セカンダリディスクサブシステム7−
1、7−2、………7−nのデータを利用して、ジョブ
を再実行する等の回復作業を行い、業務を再開する。こ
れらはすべてディスクサブシステムの機能のみで実現さ
れ、上位装置の処理能力に対し負担とならない。The secondary disk subsystem group 7 includes:
Using the data generally transferred by the primary disk subsystem group 3 and the sequence number assigned to the updated encryption key, it is possible to identify and decrypt data to which the updated encryption key is to be applied. I can do it. If the main center 9 is damaged, the secondary disk subsystem 7-
Using the data of 1, 7-2,..., 7-n, recovery work such as re-execution of a job is performed, and the business is resumed. These are all realized only by the functions of the disk subsystem and do not impose a burden on the processing capability of the host device.
【0077】次に、本発明の第3の実施形態として、デ
ータの二重化方法と運用の概略を図5を用いて説明す
る。ここでは、セカンダリディスクサブシステムは、プ
ライマリディスクサブシステムから受けた暗号化された
データを、そのまま記憶しているものとする。Next, as a third embodiment of the present invention, an outline of a data duplication method and operation will be described with reference to FIG. Here, it is assumed that the secondary disk subsystem stores the encrypted data received from the primary disk subsystem as it is.
【0078】リモートコピー実行中にメインセンター9
に災害が発生した(ステップ41)場合の動作である。
メインセンター9は災害が発生したことをリモートセン
ター10に通知する(ステップ42)。これに対して、
リモートセンター10は、システム立上げ等の災害回復
を開始する(ステップ43)。復号することなくリモー
トセンター10のセカンダリディスクサブシステム群7
に記憶されていたデータを利用に供するために、暗号の
復号を開始する(ステップ44)。この時、暗号鍵をセ
カンダリディスクサブシステム群7に記憶している場合
は、その暗号鍵を使用して復号する。暗号鍵はリモート
センター10以外の別の場所にある記憶装置に記憶する
ことも出来る。この場合は、その暗号鍵をリモートセン
ター10のセカンダリディスクサブシステム群7に転送
して、これを使用して復号する。During the execution of the remote copy, the main center 9
This is the operation when a disaster has occurred (step 41).
The main center 9 notifies the remote center 10 that a disaster has occurred (step 42). On the contrary,
The remote center 10 starts disaster recovery such as system startup (step 43). Secondary disk subsystem group 7 of remote center 10 without decryption
In order to use the data stored in, the decryption of the encryption is started (step 44). At this time, if the encryption key is stored in the secondary disk subsystem group 7, decryption is performed using the encryption key. The encryption key can also be stored in a storage device at another location other than the remote center 10. In this case, the encryption key is transferred to the secondary disk subsystem group 7 of the remote center 10 and decrypted using this.
【0079】リモートセンター10の上位装置8からセ
カンダリディスクサブシステム群7のデータに対してア
クセスがある(ステップ45)と、セカンダリディスク
サブシステム群7はアクセスされたデータが復号済か否
かを調べる(ステップ46)。アクセスされたデータが
復号済でない場合、セカンダリディスクサブシステム群
7はそのデータに関して暗号の復号を実行し(ステップ
47)、復号されたデータを使用してアクセスに応答す
る(ステップ48)。アクセスされたデータが復号済で
ある場合、セカンダリディスクサブシステム群7はその
データを使用してアクセスに応答する(ステップ4
8)。これらはすべてディスクサブシステムの機能のみ
で実現され、上位装置の処理能力に対し負担とならな
い。When there is access from the higher-level device 8 of the remote center 10 to the data of the secondary disk subsystem group 7 (step 45), the secondary disk subsystem group 7 checks whether or not the accessed data has been decrypted. (Step 46). If the accessed data has not been decrypted, the secondary disk subsystem group 7 performs decryption on the data (step 47) and responds to the access using the decrypted data (step 48). If the accessed data has been decrypted, the secondary disk subsystem group 7 responds to the access using the data (step 4).
8). These are all realized only by the functions of the disk subsystem and do not impose a burden on the processing capability of the host device.
【0080】このように、メインセンターに災害が発生
した場合には、リモートセンターにおけるコピーデータ
は、メインセンターに依拠せずに、リモートセンターの
ディスクサブシステムによって、メインセンターに代わ
って、利用に供されるようにコピーデータの全て又は適
宜にアクセスされたコピーデータについてデータ復号さ
れるのである。As described above, when a disaster occurs in the main center, the copy data in the remote center can be used by the disk subsystem of the remote center instead of the main center instead of the main center. As a result, the data is decrypted for all of the copy data or the copy data which is appropriately accessed.
【0081】次に、本発明の第4の実施形態として、デ
ータの二重化方法と運用の概略を図6を用いて説明す
る。Next, as a fourth embodiment of the present invention, an outline of a data duplication method and operation will be described with reference to FIG.
【0082】リモートコピーされて復号することなくリ
モートセンター10のセカンダリディスクサブシステム
群7に記憶されていたデータを利用に供するために、リ
モートセンター10からセカンダリディスクサブシステ
ム群7にアクセスする(ステップ51)場合の動作であ
る。一般にデータに対するアクセスはそのデータに関連
するIDフィールドあるいはキーフィールドを捜索して
捜索条件が成立した場合に以降のデータが読出し/書込
みされる。The remote center 10 accesses the secondary disk subsystem group 7 in order to use the data stored in the secondary disk subsystem group 7 of the remote center 10 without being decrypted by remote copying (step 51). ) Operation. Generally, when accessing data, the ID field or key field related to the data is searched, and when the search condition is satisfied, the subsequent data is read / written.
【0083】この時、特定のフィールド、例えばキーフ
ィールドに対する捜索条件が成立するか否かを調べる
(ステップ52)。この条件が成立した場合は、以降の
データが復号されて(ステップ53)、読出し/書込み
される(ステップ54)。この条件が成立しない場合
は、以降のデータが復号されることなく、エラー報告さ
れる(ステップ55)。これらはすべてディスクサブシ
ステムの機能のみで実現され、上位装置の処理能力に対
し負担とならない。At this time, it is checked whether a search condition for a specific field, for example, a key field is satisfied (step 52). If this condition is satisfied, the subsequent data is decoded (step 53) and read / written (step 54). If this condition is not satisfied, an error is reported without decoding the subsequent data (step 55). These are all realized only by the functions of the disk subsystem and do not impose a burden on the processing capability of the host device.
【0084】[0084]
【発明の効果】上位装置への新規ソフトウェアの導入を
必要とせずサブシステム側の機能変更のみで、ユーザが
期待する範囲での更新データの一貫性を保証出来、かつ
暗号鍵の更新により情報漏洩の危険性を低減出来る、リ
モートコピーの暗号化システムを実現出来る。According to the present invention, it is possible to guarantee the consistency of the update data within the range expected by the user only by changing the function of the subsystem without introducing new software to the host device, and to leak information by updating the encryption key. It is possible to realize a remote copy encryption system which can reduce the danger of the remote copy.
【図1】本発明の一実施形態に係るリモートコピーのコ
ンピュータシステムの全体構成を示す図である。FIG. 1 is a diagram showing an overall configuration of a remote copy computer system according to an embodiment of the present invention.
【図2】リモートコピーシステムの処理を示すフローチ
ャートである。FIG. 2 is a flowchart showing processing of the remote copy system.
【図3】本実施形態に関するメインセンターのプライマ
リディスクサブシステムの構成を示す図である。FIG. 3 is a diagram showing a configuration of a primary disk subsystem of a main center according to the embodiment.
【図4】リモートコピーシステムの処理を示すフローチ
ャートである。FIG. 4 is a flowchart showing processing of the remote copy system.
【図5】リモートコピーシステムの処理を示すフローチ
ャートである。FIG. 5 is a flowchart showing processing of the remote copy system.
【図6】リモートコピーシステムの処理を示すフローチ
ャートである。FIG. 6 is a flowchart showing processing of the remote copy system.
1 上位装置 2 インタフェースケーブル 3 プライマリディスクサブシステム 4 インタフェースケーブル 5 インタフェースケーブル 6 インタフェースケーブル 7 セカンダリディスクサブシステム 8 上位装置 9 メインセンター 10 リモートセンター 11 インタフェースケーブル 21 インタフェース制御部 22 データバッファ 23 磁気ディスクドライブ 24 マイクロプロセッサ 25 ディスクアレイサブシステム制御部 26 コンソール 27 リモートコピー制御情報格納部 DESCRIPTION OF SYMBOLS 1 Upper apparatus 2 Interface cable 3 Primary disk subsystem 4 Interface cable 5 Interface cable 6 Interface cable 7 Secondary disk subsystem 8 Upper apparatus 9 Main center 10 Remote center 11 Interface cable 21 Interface control unit 22 Data buffer 23 Magnetic disk drive 24 Micro Processor 25 Disk array subsystem control unit 26 Console 27 Remote copy control information storage unit
フロントページの続き (72)発明者 大枝 高 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 (72)発明者 森下 昇 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 Fターム(参考) 5J104 AA01 AA16 AA34 AA37 EA04 EA17 JA03 NA02 PA07 Continued on the front page (72) Inventor Takashi Oeda 1099 Ozenji Temple, Aso-ku, Kawasaki City, Kanagawa Prefecture Inside the Hitachi, Ltd.System Development Laboratory (72) Inventor Noboru Morishita 1099 Ozenji Temple, Aso-ku, Kawasaki City, Kanagawa Prefecture Hitachi, Ltd. F term in the system development laboratory (reference) 5J104 AA01 AA16 AA34 AA37 EA04 EA17 JA03 NA02 PA07
Claims (11)
なう制御手段、前記データの格納を行なう記憶手段、を
有するプライマリディスクサブシステム群からなるメイ
ンセンターを備え、 前記プライマリディスクサブシステム群と離隔した場所
に配置されて前記プライマリディスクサブシステム群か
ら転送される暗号化されたデータを受け取る制御手段、
前記転送されたデータの格納を行なう記憶手段、を有す
るセカンダリディスクサブシステム群からなるリモート
センターを備え、 前記プライマリディスクサブシステム群は、所定の間隔
又は不定期の間隔で、暗号鍵を更新するとともに、前記
セカンダリディスクサブシステム群への前記データ転送
の中断を行い、更新した暗号鍵を前記セカンダリディス
クサブシステム群へ転送することを特徴とするリモート
コピーのコンピュータシステム。1. A main center comprising a primary disk subsystem group having control means connected to a host device for transmitting and receiving data, and storage means for storing the data, wherein the main center is separated from the primary disk subsystem group. Control means for receiving encrypted data that is located at a location that has been transferred from the primary disk subsystem group,
A remote center comprising a group of secondary disk subsystems having storage means for storing the transferred data, wherein the group of primary disk subsystems updates encryption keys at predetermined or irregular intervals. Remote copy computer system, wherein the data transfer to the secondary disk subsystem group is interrupted, and the updated encryption key is transferred to the secondary disk subsystem group.
ピュータシステムにおいて、 前記プライマリディスクサブシステム群が前記セカンダ
リディスクサブシステム群に転送しているデータと同様
なデータ長及びデータパターンを持つようなデータを作
成し、前記作成したデータに前記暗号鍵を埋め込むこと
を特徴とするリモートコピーのコンピュータシステム。2. The remote copy computer system according to claim 1, wherein the primary disk subsystem group has a data length and a data pattern similar to data transferred to the secondary disk subsystem group. And embedding the encryption key in the created data.
行なう制御手段、前記データの格納を行なう記憶手段、
を有するプライマリディスクサブシステム群からなるメ
インセンターを備え、 前記プライマリディスクサブシステム群と離隔した場所
に配置されて前記プライマリディスクサブシステム群か
ら転送される暗号化されたデータを受け取る制御手段、
前記転送されたデータの格納を行なう記憶手段、を有す
るセカンダリディスクサブシステム群からなるリモート
センターを備え、 前記プライマリディスクサブシステム群は、データの書
込処理の実行中に暗号化したデータ転送の暗号鍵を更新
するタイミングであるか否かを判断し、更新タイミング
であれば、前記暗号鍵を更新するとともに前記更新した
暗号鍵に順序番号を付加して前記セカンダリサブシステ
ムに転送し、順序番号の付加された転送データと対応付
けすることを特徴とするリモートコピーのコンピュータ
システム。3. A control means connected to a host device for transmitting and receiving data, a storage means for storing the data,
A main center comprising a group of primary disk subsystems having: a control means for receiving encrypted data transferred from the group of primary disk subsystems, which is arranged at a location separated from the group of primary disk subsystems;
A remote center comprising a group of secondary disk subsystems having storage means for storing the transferred data, wherein the group of primary disk subsystems has an encryption of data transfer encrypted during execution of data write processing. It is determined whether or not it is time to update the key, and if it is the update time, the encryption key is updated and a sequence number is added to the updated encryption key and transferred to the secondary subsystem, and the sequence number is updated. A remote copy computer system, which is associated with the added transfer data.
のコンピュータシステムにおいて、 前記プライマリディスクサブシステム群から前記セカン
ダリディスクサブシステム群に暗号化して転送されたデ
ータを、復号することなく前記リモートセンターの記憶
手段に保存し、災害回復のタイミングで復号することを
特徴とするリモートコピーのコンピュータシステム。4. The remote copy computer system according to claim 1, wherein the encrypted data transferred from the primary disk subsystem group to the secondary disk subsystem group is not decrypted. A remote copy computer system, wherein the remote copy computer system stores the data in a storage unit and decrypts the data at the time of disaster recovery.
ピュータシステムにおいて、 前記プライマリディスクサブシステム群から前記セカン
ダリディスクサブシステム群にデータを暗号化して転送
する際に、前記暗号鍵を前記リモートセンターとは別地
に配置された他のリモートセンターにリモートコピーし
て保存し、災害回復のタイミングで前記他のリモートセ
ンターに保存された暗号鍵を使用してデータ復号するこ
とを特徴とするリモートコピーのコンピュータシステ
ム。5. The remote copy computer system according to claim 4, wherein when encrypting and transferring data from said primary disk subsystem group to said secondary disk subsystem group, said encryption key is transmitted to said remote center. Remote copy and save it to another remote center located at a different location, and decrypt the data at the time of disaster recovery using the encryption key stored at the other remote center. Computer system.
ピュータシステムにおいて、 前記プライマリディスクサブシステム群から前記セカン
ダリディスクサブシステム群に暗号化して転送されたデ
ータを復号する際に、前記データに関するレコードの特
定部分を捜索した場合にのみ復号することを特徴とする
リモートコピーの暗号化システム。6. The remote copy computer system according to claim 4, wherein when decrypting data encrypted and transferred from said primary disk subsystem group to said secondary disk subsystem group, a record of said data is recorded. A remote copy encryption system wherein decryption is performed only when a specific part is searched.
のコンピュータシステムにおいて、 前記プライマリディスクサブシステム群と前記セカンダ
リディスクサブシステム群との間は、ストレージエリア
ネットワークを経由して接続されていることを特徴とす
るリモートコピーのコンピュータシステム。7. The remote copy computer system according to claim 1, wherein the primary disk subsystem group and the secondary disk subsystem group are connected via a storage area network. A remote copy computer system.
のコンピュータシステムにおいて、 前記プライマリディスクサブシステム群と前記セカンダ
リディスクサブシステム群との間のデータ転送は、同期
形転送又は非同期形転送で行なうことを特徴とするリモ
ートコピーのコンピュータシステム。8. The remote copy computer system according to claim 1, wherein data transfer between said primary disk subsystem group and said secondary disk subsystem group is performed by synchronous transfer or asynchronous transfer. A computer system for remote copying.
データの転送を受けるプライマリディスクサブシステム
群からなるメインセンターと、前記メインセンターの前
記プライマリディスクサブシステム群と接続されてデー
タの転送を受けるセカンダリディスクサブシステム群か
らなるリモートセンターと、から構成され、 前記プライマリディスクサブシステム群は、前記セカン
ダリディスクサブシステム群にデータをリモートコピー
する際に暗号化してデータ転送するか否かを規定した制
御情報を格納したリモートコピー制御情報格納部を有
し、前記制御情報が暗号化してデータ転送すると規定し
ている場合にデータの暗号化を行ない、 前記セカンダリディスクサブシステム群は、前記プライ
マリディスクサブシステム群の前記制御情報を確認し、
前記制御情報が暗号化してデータ転送するとなっている
場合に転送されたデータに対して暗号化に適応した処理
を行なうことを特徴とするリモートコピーのコンピュー
タシステム。9. A main center comprising a group of primary disk subsystems connected to a host apparatus and receiving data transfer from the host apparatus, and connected to the primary disk subsystem group of the main center to receive data transfer. A remote center consisting of a group of secondary disk subsystems, wherein the primary disk subsystems are controlled to specify whether to encrypt and transfer data when remote copying data to the secondary disk subsystems. A remote copy control information storage unit storing information, and performs data encryption when the control information specifies that data is to be encrypted and transferred; and the secondary disk subsystem group includes the primary disk subsystem. The control information of the group And sure,
A computer system for remote copying, characterized in that when the control information is encrypted and data is to be transferred, a process adapted to encryption is performed on the transferred data.
するローカル側記憶システムと、前記データのコピーを
記憶するリモート側記憶システムから構成される記憶シ
ステムのリモートコピー方法であって、 前記ローカル側記憶システムが前記データを暗号鍵で暗
号化するステップと、 前記ローカル側記憶システムから前記リモート側記憶シ
ステムシステムへ、前記暗号化したデータを転送するス
テップと、 前記暗号鍵を繰り返し更新するステップと、 前記更新した暗号鍵を、前記ローカル側記憶システムか
ら前記リモート側記憶システムへ転送するステップと、
を有し、 前記暗号化するステップは、前記暗号鍵が更新された後
は更新後の暗号鍵を使用することを特徴とする記憶シス
テムのリモートコピー方法。10. A remote copy method for a storage system comprising a local storage system for storing data written from a higher-level device and a remote storage system for storing a copy of the data, wherein the local storage A system encrypting the data with an encryption key; transferring the encrypted data from the local storage system to the remote storage system; repeatedly updating the encryption key; Transferring the updated encryption key from the local storage system to the remote storage system;
The method according to claim 1, wherein the encrypting step uses the updated encryption key after the encryption key is updated.
モートコピー方法のいて、 前記暗号鍵を更新するステップの繰り返しの頻度は、当
該暗号鍵を解読する時間から決められることを特徴とす
る記憶システムのリモートコピー方法。11. The storage system remote copy method according to claim 10, wherein the frequency of repeating the step of updating the encryption key is determined from the time for decrypting the encryption key. Remote copy method.
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000271865A JP4028677B2 (en) | 2000-09-07 | 2000-09-07 | Remote copy computer system |
| EP01102410A EP1158743B1 (en) | 2000-05-23 | 2001-02-02 | Computing system with remote copy facility |
| DE60134696T DE60134696D1 (en) | 2000-05-23 | 2001-02-02 | Computer system with remote copying device |
| US09/810,575 US6966001B2 (en) | 2000-05-23 | 2001-03-19 | Computing system and data decryption method and computer system with remote copy facility |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000271865A JP4028677B2 (en) | 2000-09-07 | 2000-09-07 | Remote copy computer system |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2002084270A true JP2002084270A (en) | 2002-03-22 |
| JP2002084270A5 JP2002084270A5 (en) | 2005-06-30 |
| JP4028677B2 JP4028677B2 (en) | 2007-12-26 |
Family
ID=18758092
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000271865A Expired - Fee Related JP4028677B2 (en) | 2000-05-23 | 2000-09-07 | Remote copy computer system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4028677B2 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006127061A (en) * | 2004-10-27 | 2006-05-18 | Hitachi Ltd | Computer system, management computer, and data management method |
| US7446413B2 (en) | 2002-05-21 | 2008-11-04 | Matsushita Electric Industrial Co., Ltd. | Circuit apparatus and method for operating the same |
| JP2009193258A (en) * | 2008-02-13 | 2009-08-27 | Dainippon Printing Co Ltd | Disk device, data transfer method, data transfer processing program, and data backup system |
-
2000
- 2000-09-07 JP JP2000271865A patent/JP4028677B2/en not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7446413B2 (en) | 2002-05-21 | 2008-11-04 | Matsushita Electric Industrial Co., Ltd. | Circuit apparatus and method for operating the same |
| JP2006127061A (en) * | 2004-10-27 | 2006-05-18 | Hitachi Ltd | Computer system, management computer, and data management method |
| JP4555049B2 (en) * | 2004-10-27 | 2010-09-29 | 株式会社日立製作所 | Computer system, management computer, and data management method |
| JP2009193258A (en) * | 2008-02-13 | 2009-08-27 | Dainippon Printing Co Ltd | Disk device, data transfer method, data transfer processing program, and data backup system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4028677B2 (en) | 2007-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6966001B2 (en) | Computing system and data decryption method and computer system with remote copy facility | |
| US7240197B1 (en) | Method and apparatus for encryption and decryption in remote data storage systems | |
| US6950915B2 (en) | Data storage subsystem | |
| JP4044717B2 (en) | Data duplication method and data duplication system for storage subsystem | |
| US7747576B2 (en) | Incremental update control for remote copy | |
| JP4434407B2 (en) | Subsystem and integrated system thereof | |
| EP1970831B1 (en) | Storage apparatus | |
| JP3968207B2 (en) | Data multiplexing method and data multiplexing system | |
| US8285824B2 (en) | Storage system and data replication method that refuses one or more requests for changing the first logical configuration information until the first storage apparatus and second storage apparatus are synchronized | |
| JP4074072B2 (en) | Remote copy system with data integrity | |
| US20060136685A1 (en) | Method and system to maintain data consistency over an internet small computer system interface (iSCSI) network | |
| EP1356371A2 (en) | Method and apparatus for copying data from one storage system to another storage system | |
| WO2005031578A2 (en) | Method, system, and program for forming a consistency group | |
| JP2009048497A (en) | Storage system having function of changing data storage method using a pair of logical volumes | |
| JPH07248988A (en) | Memory controller and related method thereof | |
| US10459813B2 (en) | System and device for synchronizing data in a plurality of devices | |
| JP4429634B2 (en) | Storage system and storage system control method | |
| JP2005309793A (en) | Data processing system | |
| JP4311532B2 (en) | Storage system and snapshot management method in the same system | |
| JP2006302025A (en) | Information processing system, storage system, information processing method, and computer system | |
| JP4028677B2 (en) | Remote copy computer system | |
| EP2184682B1 (en) | Computer system for performing remote copy using journal | |
| US20060098818A1 (en) | Encryption technique for asynchronous control commands and data | |
| JP2002084270A5 (en) | ||
| JP2010282373A (en) | System for facilitating measure against disaster and method of facilitating measure against disaster |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041015 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041015 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070320 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070417 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070614 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070710 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070808 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20070913 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071002 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071012 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101019 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111019 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121019 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131019 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |