JP2002215462A - 計算機システム - Google Patents

計算機システム

Info

Publication number
JP2002215462A
JP2002215462A JP2001010323A JP2001010323A JP2002215462A JP 2002215462 A JP2002215462 A JP 2002215462A JP 2001010323 A JP2001010323 A JP 2001010323A JP 2001010323 A JP2001010323 A JP 2001010323A JP 2002215462 A JP2002215462 A JP 2002215462A
Authority
JP
Japan
Prior art keywords
key
volume
control device
secondary storage
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001010323A
Other languages
English (en)
Inventor
Noboru Morishita
昇 森下
Takashi Arakawa
敬史 荒川
Jun Kitahara
潤 北原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2001010323A priority Critical patent/JP2002215462A/ja
Publication of JP2002215462A publication Critical patent/JP2002215462A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)
  • Techniques For Improving Reliability Of Storages (AREA)

Abstract

(57)【要約】 【課題】 暗号化したまま副記憶装置に格納したリモー
トコピー対象データの暗号鍵更新時の負荷を軽減し、複
数の暗号鍵を効率良く管理すること。 【解決手段】 ボリューム毎のボリューム鍵571で暗
号化したまま副記憶装置9に書き込んだボリュームの鍵
の変更を、副記憶制御装置8において、正記憶制御装置
5から現ボリューム鍵と新ボリューム鍵を受領し、正記
憶制御装置5からのリモートコピー対象レコードを受領
し続けながら、当該ボリューム全体のレコードを、耐タ
ンパ性を持つ暗号機能85内部で、現ボリューム鍵で復
号化し、新ボリューム鍵で暗号化する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、計算機システムに
係り、特に、ホスト計算機を介さず、記憶制御装置相互
間の転送データを暗号化してデータを2重化するリモー
トコピー機能を有する計算機システムに関する。
【0002】
【従来の技術】災害等による記憶装置内のデータの喪失
を避けることを可能にした技術として、遠隔地にある記
憶装置にデータを2重化する機能であるリモートコピー
の技術が知られている。リモートコピーは、ホスト計算
機に接続されている正記憶制御装置と、正記憶制御装置
と接続されている副記憶制御装置とにリモートコピー対
象ボリュームを設定し、正記憶制御装置に接続されてい
る正記憶装置の正ボリュームと、副記憶制御装置に接続
している副記憶装置の副ボリュームの内容とを常に一致
させるようにコピーを実行し続けるというものである。
【0003】この種のリモートコピーに関する従来技術
として、例えば、特開平11−85408号公報等に記
載された技術が知られている。この従来技術は、異なる
記憶制御装置相互間で、ホスト計算機を介さずデータを
2重書きするものであり、ホスト計算機からライト時刻
を付加されたライトデータを受領した正記憶制御装置
が、ホスト計算機にライトデータのライト完了報告後、
ライト時刻順に、ライト時刻とライトデータとを副記憶
制御装置に転送し、副記憶制御装置が、正記憶制御装置
から受領したライト時刻とライトデータとを不揮発のキ
ャッシュメモリに格納して、あるライト時刻までのデー
タを保証するというものである。
【0004】前述において、副記憶制御装置が遠隔地に
ある場合、正記憶制御装置から副記憶制御装置へのデー
タ転送路に公衆通信回線を使用する場合がある。公衆通
信回線は、記憶装置を設置しているデータセンタ内の転
送路と比較し安全性が低く、第三者に転送データが傍受
される可能性が相対的に高い。これに対処するため、公
衆通信回線とデータセンタ内の転送路との接続点から記
憶制御装置との間の部分に暗号機能を追加し、公衆通信
回線に流れるリモートコピー対象データを暗号化する技
術があり、これにより、データが傍受されても内容の解
読を難しくすることができる。また、リモートコピー対
象データに応じた暗号機能を使用するには、リモートコ
ピー対象データの転送元に近いほど容易であるため、記
憶制御装置への暗号機能の内蔵という方法が考えられ
る。
【0005】通信路における転送データを暗号化する従
来技術として、例えば、特開平9−139735公報等
に記載された技術が知られている。この従来技術は、デ
ータの転送元と転送先とのコンピュータにおいて、暗号
化を実行する中継サービスプログラムを動作させ、ネッ
トワークを介する送受信をこの中継サービスプログラム
を介して実行するというものである。
【0006】リモートコピー対象データの秘匿要求とし
て、正記憶制御装置で暗号化し副記憶制御装置において
復号化せずに副記憶装置に書き込みたいという要求があ
る。このような要求は、特に、副記憶装置が、社外のス
トレージサービスプロバイダの提供する記憶装置である
ような場合に生じる。
【0007】一方、リモートコピー対象データの暗号化
に使用する鍵は、リモートコピー対象データの内容が解
読される危険を減らすために、ある頻度で更新する必要
がある。鍵を更新しようとした場合、鍵で正記憶制御装
置において暗号化し副記憶制御装置で復号化せず副記憶
装置に書き込んだリモートコピー対象データの全てを、
現在の鍵で復号化し、新しい鍵で再び暗号化する必要が
ある。
【0008】次に、リモートコピーのボリュームペアの
状態とコピー先ボリュームの内容の一貫性について説明
する。リモートコピーのボリュームペアの状態は、大き
く分けて4通りあり、これらは、ペア未形成、二重化過
渡中(ボリュームの転送中)、二重化中(ボリューム転
送後の格納中)、中断中である。以下に、一般的な状態
遷移を説明する。
【0009】まず、ボリュームペア形成指示により、ペ
ア未形成から二重化過渡中となる。ボリュームペア形成
直後の二重化過渡中において、コピー元ボリュームの内
容の全てをコピー先ボリュームに転送する処理と、ホス
ト計算機から更新されたコピー元ボリュームの内容をコ
ピー先ボリュームに転送する処理とが実行される。この
ような二重化過渡中は、コピー先ボリュームの内容に一
貫性はない。
【0010】次に、コピー元ボリュームの内容の全てを
コピー先ボリュームに転送した時点で、二重化過渡中か
ら二重化中となる。このとき、ホスト計算機から更新さ
れたコピー元ボリュームの内容をコピー先ボリュームに
転送する処理が実行されている。このような二重化中
は、コピー先ボリュームの内容に一貫性がある。
【0011】ボリュームペア中断指示により、二重化過
渡中、二重化中から中断中となる。中断中において、ホ
スト計算機から更新されたコピー元ボリュームの位置を
記録しておき、コピー先ボリュームへの転送は行われな
い。二重化過渡中から中断中となった場合、コピー先ボ
リュームの内容に一貫性はない。二重化中から中断中と
なった場合、コピー先ボリュームの内容に一貫性があ
る。
【0012】また、ボリュームペア解除の指示により、
二重化過渡中、二重化中、中断中からペア未形成とな
る。二重化過渡中からペア未形成となった場合、コピー
先ボリュームの内容に一貫性はない。二重化中からペア
未形成となった場合、コピー先ボリュームの内容に一貫
性がある。中断中からペア未形成となった場合、コピー
先ボリュームの内容の一貫性は、中断中となる前の状態
に依存する。
【0013】また、ボリュームペア回復指示により、中
断中から二重化過渡中となる。このとき、中断中に記録
しておいたホスト計算機から更新されたコピー元ボリュ
ームの位置のデータをコピー先ボリュームに転送する処
理と、ホスト計算機から更新されたコピー元ボリューム
の内容をコピー先ボリュームに転送する処理とが実行さ
れる。二重化過渡中は、コピー先ボリュームの内容に一
貫性はない。
【0014】以上より、二重化過渡中、二重化過渡中か
らの中断中、及び、ペア未形成の状態のとき、コピー先
ボリュームの内容に一貫性がなく利用することができな
いため、これらの状態のときに、正記憶制御装置が災害
にあった場合、データの喪失となる。
【0015】暗号アルゴリズムは、暗号化と復号化に同
じ鍵を使用する共通鍵暗号、暗号化と復号化とに別々の
鍵を使用する公開鍵暗号に大きく分けられる。共通鍵暗
号は、暗号化/復号化の処理速度が速く、高速に大量の
データを転送する際に用いられる。しかし、鍵を秘密情
報として管理しなければならない。一方、公開鍵暗号
は、暗号化/復号化の処理速度は遅いが、鍵の一方であ
る暗号化のための鍵を秘密情報として管理する必要がな
い。なお、共通鍵暗号の鍵を共通鍵、公開鍵暗号の鍵
で、公開する鍵を公開鍵、秘密とする鍵を秘密鍵と呼ぶ
ことがある。
【0016】公開鍵暗号は、公開鍵をオンラインで交換
する際、公開鍵転送元と公開鍵転送先との間に他人が介
入し、転送元の公開鍵を自分の公開鍵にすりかえ、公開
鍵転送先から公開鍵転送元への暗号化しようとしていた
通信内容を傍受する中間者攻撃の可能性がある。
【0017】この中間者攻撃を避けるため、公開鍵とそ
の所有者とを登録する認証局を設ける方法がある。この
方法は、次のように行われる。公開鍵転送元は、公開鍵
を交換する前に、公開鍵と身元情報とを認証局に安全性
が確保された手段で転送する。認証局は、公開鍵転送元
の身元情報を審査し、公開鍵転送元の公開鍵を登録し、
公開鍵転送元の身元情報と公開鍵とを認証局の秘密鍵で
復号化した公開鍵証明書を公開鍵転送元に転送する。公
開鍵転送元と公開鍵転送先とには、認証局の公開鍵をあ
らかじめ設定しておく。公開鍵転送元は、公開鍵転送元
の身元情報と公開鍵と公開鍵証明書とを公開鍵転送先に
転送する。公開鍵転送先は、公開鍵証明書を認証局の公
開鍵で暗号化した内容と、公開鍵転送元の身元情報と公
開鍵とを比較し一致していれば、当該公開鍵を公開鍵転
送元のものであると判断する。
【0018】鍵の管理方式は、一般に、階層化されてい
る。例えば、岡本栄司著「暗号理論入門」(共立出版、
ISBN:4−320−02633−0)の第6章11
0ページには、鍵階層の構成例が示されている。階層化
されている鍵は、その最下位の鍵をワーク鍵、最上位の
鍵をマスタ鍵、その中間にあたる鍵を鍵暗号化鍵と呼
ぶ。これらの鍵は、ワーク鍵を転送データの暗号化/復
号化に使用し、鍵暗号化鍵、及び、マスタ鍵を、より下
位の鍵を暗号化し、通信相手に転送するために使用する
という使用形態で利用される。但し、マスタ鍵は、オフ
ライン等で伝えあう必要がある。階層数を2層にし、マ
スタ鍵に公開鍵暗号、ワーク鍵に共通鍵暗号を使用する
形態は一般的である。
【0019】ところで、暗号技術において、外部からの
暗号機能内部の情報を不正に参照したり改ざんしたりす
るのを難しくする性質を、一般に、耐タンパ性と呼んで
いる。この耐タンパ性を増す技術の例が、例えば、日経
エレクトロニクス 2000.3.27(no.76
6)号の161頁に示されている。耐タンパ性を増すた
めの技術としては、ハードウェアによるものとソフトウ
ェアによるものとがあり、通常、これらの技術が組み合
わせて使用される。
【0020】
【発明が解決しようとする課題】前述した従来技術によ
るリモートコピーにおける転送データの暗号化は、正記
憶制御装置で暗号化し、副記憶制御装置で復号化せず副
記憶装置に書き込んだリモートコピー対象データの暗号
鍵の更新について考慮されていない。このため、前述の
従来技術は、例えば、暗号鍵を記憶制御装置毎に持つ場
合、暗号鍵の更新対象となるデータが、暗号鍵の更新時
点までに、正記憶制御装置で暗号化し、副記憶制御装置
で復号化せず副記憶装置に書き込んだリモートコピー対
象データの全てとなり、暗号鍵の更新対象データ量が莫
大なものとなるという問題点を有している。
【0021】また、前述の従来技術は、暗号鍵の更新
時、暗号鍵の更新対象となるデータの全てを、正記憶制
御装置から新しい暗号鍵で暗号化し再転送する場合、公
衆通信回線を介し大量のデータを転送するため時間がか
かり、しかも、再転送中に正記憶制御装置側に災害が発
生すると、副記憶装置のリモートコピー対象データに一
貫性がないため再利用することができず、このため、デ
ータ喪失となるという問題点を有している。
【0022】さらに、前述の従来技術は、複数のワーク
鍵を複数の暗号機能で使用し、鍵を正記憶制御装置と副
記憶制御装置との間で共有する鍵の管理方式について考
慮されていないという問題点を有している。
【0023】本発明の目的は、前述した従来技術の問題
点を解決し、リモートコピーにおける転送データの暗号
化において、暗号化したまま副記憶装置に格納したリモ
ートコピー対象データの暗号鍵更新時の負荷を軽減し、
正記憶制御装置と副記憶制御装置とにおいて、複数の暗
号機能で使用する複数の暗号鍵を効率よく管理すること
を可能にした計算機システムを提供することにある。
【0024】また、本発明の目的は、副記憶制御装置に
存在するコピー先ボリュームの一貫性を保ったまま暗号
化・複合化指定の変更、及び、鍵の更新を行うことを可
能とした計算機システムを提供することにある。
【0025】
【課題を解決するための手段】本発明によれば前記目的
は、正ホスト計算機及び正記憶装置に接続された正記憶
制御装置と、副ホスト計算機及び副記憶装置に接続され
た副記憶制御装置とを備え、前記正記憶制御装置と前記
副記憶制御装置とが公衆通信回線を介して接続されてリ
モートコピーを実行する計算機システムにおいて、リモ
ートコピー実行前、前記正記憶制御装置は、自装置内の
暗号機能に、公開鍵暗号秘密鍵である正記憶制御装置マ
スタ鍵と、共通鍵暗号共通鍵である正記憶制御装置鍵暗
号化鍵と設定し、管理情報メモリに、副記憶制御装置の
公開鍵暗号秘密鍵である副記憶制御装置マスタ鍵と対と
なる公開鍵暗号公開鍵である副記憶制御装置鍵交換鍵を
設定し、前記副記憶制御装置は、自装置内の暗号機能
に、副記憶制御装置マスタ鍵と、共通鍵暗号共通鍵であ
る副記憶制御装置鍵暗号化鍵を設定し、リモートコピー
開始時、新規リモートコピー対象ボリュームが暗号化指
定ボリュームである場合、前記正記憶制御装置内の暗号
機能は、共通鍵暗号共通鍵であるボリューム鍵を生成
し、当該ボリューム鍵を正記憶制御装置鍵暗号化鍵で暗
号化して管理情報メモリに設定し、さらに、新規リモー
トコピー対象ボリュームが復号化指定ボリュームである
場合、当該ボリューム鍵を副記憶制御装置鍵交換鍵で暗
号化して副記憶制御装置に転送し、副記憶制御装置内の
暗号機能は、正記憶制御装置から受領した副記憶制御装
置鍵交換鍵で暗号化したボリューム鍵を副記憶制御装置
マスタ鍵で復号化し、副記憶制御装置鍵暗号化鍵で暗号
化して管理情報メモリに設定し、リモートコピー実行
中、リモートコピー対象レコードが暗号化指定ボリュー
ムである場合、正記憶制御装置の暗号機能は、管理情報
メモリの当該暗号化指定ボリュームのボリューム鍵を、
暗号機能に設定された正記憶制御装置鍵暗号化鍵で復号
化し、当該ボリューム鍵で転送対象レコードを暗号化
し、暗号化した転送対象レコードを副記憶制御装置に転
送し、副記憶制御装置内の暗号機能は、正記憶制御装置
から受領したリモートコピー対象レコードが復号化指定
ボリュームに属する場合、管理情報メモリの当該復号化
指定ボリュームのボリューム鍵を、暗号機能に設定され
た副記憶制御装置鍵暗号化鍵で復号化し、当該ボリュー
ム鍵で転送対象レコードを復号化することにより達成さ
れる。
【0026】前述において、公開鍵暗号の暗号化/復号
化機能を持たない場合、本発明は、公開鍵暗号秘密鍵の
記憶制御装置マスタ鍵と、公開鍵暗号公開鍵の記憶制御
装置鍵交換鍵とを廃止し、新たに、正記憶制御装置と副
記憶制御装置間の鍵交換のための共通鍵暗号共通鍵であ
る正副記憶制御装置間鍵交換鍵を設け、管理情報メモリ
に記憶制御装置鍵暗号化鍵で暗号化して管理してもよ
い。
【0027】また、本発明は、認証局を設け、記憶制御
装置鍵交換鍵と、当該記憶制御装置鍵交換鍵に対応する
記憶制御装置の身元情報を、公開鍵暗号秘密鍵である認
証局鍵で復号化した認証局証明書を発行し、記憶制御装
置間の記憶制御装置鍵交換鍵の交換時に認証局証明書を
交換し、予め各記憶制御装置に設定した認証局鍵と対と
なる公開鍵暗号公開鍵である証明書鍵で認証局証明書を
暗号化することにより、記憶制御装置鍵交換鍵の正当性
を確認し、記憶制御装置鍵交換鍵を交換するようにして
もよい。
【0028】さらに、前記目的は、前述において、前記
新規リモートコピー対象ボリュームが正記憶制御装置で
暗号化し副記憶制御装置で復号化しないボリュームであ
り、当該ボリュームのボリューム鍵の変更時、正記憶制
御装置は、鍵生成機能により当該ボリュームの新ボリュ
ーム鍵を生成し、新ボリューム鍵を正記憶制御装置鍵暗
号化鍵で暗号化して管理情報メモリに設定し、新ボリュ
ーム鍵を副記憶制御装置鍵交換鍵で暗号化して副記憶制
御装置に転送し、副記憶制御装置は、正記憶制御装置か
ら受領した新ボリューム鍵を、副記憶制御装置マスタ鍵
で復号化し、副記憶制御装置鍵暗号化鍵で暗号化して管
理情報メモリの現ボリューム鍵とは別の領域に設定し、
正記憶制御装置は、以降の当該ボリュームのリモートコ
ピー対象レコードを新ボリューム鍵で暗号化して副記憶
制御装置に転送し、副記憶制御装置は、当該ボリューム
の先頭から終端まで、レコードを一定数ずつドライブか
ら読み出し、読み出したレコードを暗号機能に転送し、
副記憶制御装置内の暗号機能は、当該レコードのボリュ
ームの現ボリューム鍵と新ボリューム鍵とを管理情報メ
モリから読み出し、副記憶制御装置鍵暗号化鍵で復号化
後、当該レコードを現ボリューム鍵で復号化し、新ボリ
ューム鍵で暗号化してドライブに書き込み、ドライブへ
の書き込みが失敗した場合、ドライブから読み出した当
該レコードを再び暗号機能へ転送する段階から再実行
し、正記憶制御装置から受領したリモートコピー対象レ
コードを、リモートコピー対象レコードの全てが鍵変更
済みレコードの場合、そのままドライブに書き込み、リ
モートコピー対象レコードの全てが鍵未変更レコードの
場合、暗号機能において、リモートコピー対象レコード
の属するボリュームの現ボリューム鍵と新ボリューム鍵
とを管理情報メモリから読み出し、副記憶制御装置鍵暗
号化鍵で復号化後、リモートコピー対象レコードを新ボ
リューム鍵で復号化し、現ボリューム鍵で暗号化してド
ライブに書き込み、リモートコピー対象レコードの全て
が鍵変更済みレコードでなく、かつ、リモートコピー対
象レコードの全てが鍵未変更レコードでない場合、一定
時間待ち、当該リモートコピー対象レコードの判定を再
実行するようにすることにより達成される。
【0029】また、本発明は、正記憶制御装置で暗号化
していないボリュームの暗号化指定時、前述において、
現ボリューム鍵に関連する処理を行わず、新たに生成し
たボリューム鍵を新ボリューム鍵として、新ボリューム
鍵に関連する処理のみを行うようにしてもよい。
【0030】また、本発明は、正記憶制御装置で暗号化
し副記憶制御装置で復号化するボリュームの復号化指定
の解除時、正記憶制御装置と副記憶制御装置との間での
鍵の交換は行わず、正記憶制御装置の暗号化に関する動
作を変更せず、副記憶制御装置において、現ボリューム
鍵に関連する処理を行わず、現在、復号化に使用してい
るボリューム鍵を新ボリューム鍵として、新ボリューム
鍵に関連する処理のみを行うようにしてもよい。
【0031】また、本発明は、正記憶制御装置で暗号化
し副記憶制御装置で復号化しないボリュームの暗号化指
定の解除時、前述において、新ボリューム鍵に関連する
処理を行わず、現在、暗号化に使用しているボリューム
鍵を現ボリューム鍵として、現ボリューム鍵に関連する
処理のみを行うようにしてもよい。
【0032】さらに、本発明は、正記憶制御装置で暗号
化し副記憶制御装置で復号化しないボリュームの復号化
指定の設定時、前述において、正記憶制御装置の暗号化
に関する動作を変更せず、新ボリューム鍵に関連する処
理を行わず、現在、暗号化に使用しているボリューム鍵
を現ボリューム鍵として、現ボリューム鍵に関連する処
理のみを行っても良い。
【0033】
【発明の実施の形態】以下、本発明による計算機システ
ムの実施形態を図面により詳細に説明する。
【0034】図1はリモートコピーの鍵管理方式として
公開鍵暗号と共通鍵暗号との両者を用いる本発明の第1
の実施形態による計算機システムの構成を示すブロック
図である。
【0035】図1において、正記憶制御装置5は、正サ
イトSAN(ストレージエリアネットワーク)21を介
して正ホスト計算機11に接続するチャネルインタフェ
ース51aと、ゲートウェイ31と正サイトSAN31
とを介して公衆通信回線4に接続する暗号機能55を内
蔵するチャネルインタフェース51bと、正記憶装置6
のドライブ61に接続するドライブインタフェース52
と、正記憶制御装置5の管理情報を格納する2重化され
た不揮発の管理情報メモリ54と、データを格納する2
重化された不揮発のキャッシュメモリ53と、リモート
コピー実行の指示を出す保守端末7とがバスで接続され
て構成される。
【0036】暗号機能55は、耐タンパ性を持ち、内部
に、共通鍵暗号用の秘密鍵を生成する鍵生成機能55
1、公開鍵暗号及び共通鍵暗号の暗号化/復号化機能5
52a、公開鍵暗号秘密鍵、及び、共通鍵暗号共通鍵を
格納する鍵格納領域553を備えている。鍵格納領域5
53には、公開鍵暗号秘密鍵である正記憶制御装置マス
タ鍵554と共通鍵暗号共通鍵である正記憶制御装置鍵
暗号化鍵555とが格納されている。
【0037】管理情報メモリ54には、公開鍵暗号公開
鍵を格納する鍵交換鍵格納領域56aと、共通鍵暗号共
通鍵を格納するボリューム鍵格納領域57と、リモート
コピー対象ボリュームの管理情報を格納するリモートコ
ピー管理情報58とが格納されている。
【0038】鍵交換鍵格納領域56aには、正記憶制御
装置マスタ鍵554と対となる正記憶制御装置鍵交換鍵
561が格納され、さらに、リモートコピー先となる副
記憶制御装置毎に、副記憶制御装置鍵交換鍵861が登
録される。
【0039】ボリューム鍵格納領域57には、ボリュー
ム#に対応したボリューム鍵571が格納され、正記憶
制御装置鍵暗号化鍵555で暗号化されている。
【0040】保守端末7は、リモートコピー管理情報5
8を設定する。具体的には、保守端末7は、副記憶制御
装置8の登録、副記憶制御装置8への転送パスの設定、
リモートコピーペアの各種設定(コピー先ボリューム設
定、暗号化/復号化指定等)を実行する。また、保守端
末7は、暗号機能55に複数の公開鍵暗号や複数の共通
鍵暗号を持つ場合、どの公開鍵暗号や共通鍵暗号を使用
するかを指定する。リモートコピー管理情報58の設定
は、主に正記憶制御装置5の保守端末7で行い、正記憶
制御装置5のリモートコピー管理情報58を副記憶制御
装置8に反映する形態をとる。
【0041】副記憶制御装置8は、正記憶制御装置5と
同一に構成され、副サイトSAN22を介して副ホスト
計算機12、及び、公衆通信回線4に接続され、また、
副記憶装置9と保守端末10とに接続されている。
【0042】暗号機能85は、耐タンパ性を持ち、鍵格
納領域853には、公開鍵暗号秘密鍵である副記憶制御
装置マスタ鍵854と共通鍵暗号共通鍵である副記憶制
御装置鍵暗号化鍵855とが格納されている。
【0043】管理情報メモリ84の公開鍵暗号公開鍵を
格納する鍵交換鍵格納領域86aには、副記憶制御装置
マスタ鍵854と対となる副記憶制御装置鍵交換鍵86
1が格納される。
【0044】次に、本発明の第1の実施形態で使用する
鍵の構成について説明する。
【0045】公開鍵暗号秘密鍵である正記憶制御装置マ
スタ鍵554、及び、副記憶制御装置マスタ鍵854
は、記憶制御装置毎に持つ鍵であり、秘密情報であるた
め耐タンパ性を持つ暗号機能内に保持される。記憶制御
装置内に暗号機能が複数ある場合、複数の暗号機能に同
じ値が設定される。また、これらのマスタ鍵と対となる
公開鍵暗号公開鍵である正記憶制御装置鍵交換鍵56
1、及び、副記憶制御装置鍵交換鍵861も、記憶制御
装置毎に持つ鍵であり、ボリューム鍵571を交換した
い相手記憶制御装置に設定することことにより、ボリュ
ーム鍵571を暗号化して交換する。これらの鍵は、公
開鍵であるために、管理情報メモリに暗号化せずそのま
ま格納される。
【0046】共通鍵暗号共通鍵であるボリューム鍵57
1は、リモートコピーのボリュームペア毎に持つ鍵であ
る。そして、正記憶制御装置5のコピー元ボリューム#
nから副記憶制御装置8のコピー先ボリューム#mへ、
正記憶制御装置5で暗号化し、副記憶制御装置8で復号
化してリモートコピーを実行する場合、正記憶制御装置
5のボリューム#nのボリューム鍵571と副記憶制御
装置8のボリューム#mのボリューム鍵871とは一致
している。正記憶制御装置5で暗号化し、副記憶制御装
置8で復号化せずリモートコピーを実行する場合、正記
憶制御装置5のボリューム#nのボリューム鍵571と
副記憶制御装置8のボリューム#mのボリューム鍵87
1を一致させる必要はない。この場合、正記憶制御装置
5のボリューム#nのボリューム鍵571は、副記憶制
御装置8に転送してもよい。また、正記憶制御装置5と
も、副記憶制御装置8とも異なる第3の記憶制御装置に
転送してもよい。
【0047】ボリューム鍵571、871は、秘密情報
であるが、ボリューム数が記憶制御装置当り数千あるた
め、ボリューム鍵571、871を格納するのに必要な
記憶領域は小さくはない。このため、ボリューム鍵は、
暗号機能内部に格納せず、管理情報メモリに、正記憶制
御装置鍵暗号化鍵555、副記憶制御装置鍵暗号化鍵8
55により暗号化して格納される。
【0048】共通鍵暗号共通鍵である正記憶制御装置鍵
暗号化鍵555、副記憶制御装置鍵暗号化鍵855は、
記憶制御装置毎に持つ鍵であり、耐タンパ性を持つ暗号
機能内に秘密情報として保持される。記憶制御装置内に
暗号機能が複数ある場合、複数の暗号機能に同じ値が設
定される。ボリューム鍵571、871を、正記憶制御
装置鍵交換鍵561、及び、副記憶制御装置鍵交換鍵8
61で暗号化せずに、正記憶制御装置鍵暗号化鍵55
5、副記憶制御装置鍵暗号化鍵855により暗号化して
いる理由は、リモートコピー対象データの暗号化/復号
化におけるボリューム鍵571、871の復号化オーバ
ヘッドが、公開鍵暗号と比べ共通鍵暗号の方が小さいか
らである。
【0049】図2はリモートコピーの鍵管理方式として
公開鍵暗号と共通鍵暗号とを用いる図1に示すシステム
におけるリモートコピー実行前の暗号鍵の設定手順を説
明するフローチャートであり、以下、これについて説明
する。この処理は、正記憶制御装置5の保守端末7、及
び、副記憶制御装置8の保守端末10から実行される処
理である。
【0050】(1)まず、リモートコピー実行前、正記
憶制御装置5は、リモートコピー元ボリュームが暗号化
指定であるか否かを判断する。なお、暗号化指定は予め
保守端末7から設定しておく。この判定で、リモートコ
ピー元ボリュームが暗号化指定でない場合、暗号鍵の設
定は不要であるため、ここでの設定処理を終了する(ス
テップS201)。
【0051】(2)ステップS201での判定で、リモ
ートコピー元ボリュームが暗号化指定であった場合、コ
ピー元である正記憶制御装置5において、暗号機能初期
設定が未実行であるか否かを判断する(ステップS20
2)。
【0052】(3)ステップS202で、暗号機能初期
設定が未実行であると判断された場合、正記憶制御装置
マスタ鍵554、及び、正記憶制御装置鍵暗号化鍵55
5を暗号機能55の鍵設定領域553に、正記憶制御装
置鍵交換鍵561を管理情報メモリ54にそれぞれ設定
する(ステップS203)。
【0053】(4)ステップS203の処理終了後、ま
たは、ステップS202で、暗号機能初期設定が実行済
みであった場合、コピー先である副記憶制御装置8にお
いて、暗号機能初期設定が未実行であるか否かを判断す
る(ステップS204)。
【0054】(5)ステップS204で、暗号機能初期
設定が未実行であると判断された場合、副記憶制御装置
マスタ鍵854、及び、副記憶制御装置鍵暗号化鍵85
5を暗号機能85の鍵設定領域853に、副記憶制御装
置鍵交換鍵861を管理情報メモリ84にそれぞれ設定
する(ステップS205)。
【0055】(6)ステップS205の処理終了後、ま
たは、ステップS204で、暗号機能初期設定が実行済
みであった場合、正記憶制御装置5において、副記憶制
御装置8の副記憶制御装置鍵交換鍵562が未設定であ
るか否かを判断する(ステップS206)。
【0056】(7)ステップS204で、副記憶制御装
置8の副記憶制御装置鍵交換鍵562が未設定であった
場合、正記憶制御装置5において、副記憶制御装置8の
副記憶制御装置鍵交換鍵562を管理情報メモリ54に
設定する(ステップS207)。
【0057】(8)ステップS207の処理終了後、ま
たは、ステップS206で、副記憶制御装置8の副記憶
制御装置鍵交換鍵562が設定済みであった場合、正記
憶制御装置5において、暗号機能55の鍵生成機能55
1により、リモートコピー元ボリュームのボリューム鍵
571を生成する(ステップS208)。
【0058】(9)次に、正記憶制御装置5において、
暗号機能55の暗号化/復号化機能552aにより、正
記憶制御装置鍵暗号化鍵555でボリューム鍵571を
暗号化し、管理情報メモリ54のボリューム鍵格納領域
57のリモートコピー元ボリュームに対応した位置に設
定する(ステップS209)。
【0059】(10)次に、副記憶制御装置8において、
リモートコピー先ボリュームが復号化指定であるか判断
する。なお、復号化指定は予め保守端末7から設定して
おく。この判断で、リモートコピー先ボリュームが復号
化指定でない場合、ここでの暗号鍵の設定処理を終了す
る(ステップS210)。
【0060】(11)ステップS210で、リモートコピ
ー元ボリュームが復号化指定であると判断された場合、
正記憶制御装置5において、暗号機能55の暗号化/復
号化機能552aにより、副記憶制御装置鍵交換鍵56
2でボリューム鍵571を暗号化して副記憶制御装置8
に転送する(ステップS211)。
【0061】(12)次に、副記憶制御装置8において、
正記憶制御装置5から受領したボリューム鍵571を、
暗号機能85の暗号化/復号化機能852aにより、副
記憶制御装置マスタ鍵854で復号化し、さらに、副記
憶制御装置鍵暗号化鍵855で暗号化し、管理情報メモ
リ84のボリューム鍵格納領域87のコピー先ボリュー
ムに対応する位置に設定して、ここでの暗号鍵の設定処
理を終了する(ステップS212)。
【0062】図3はリモートコピー実行中におけるデー
タ転送手順を説明するフローチャートであり、以下、こ
れについて説明する。この処理は、リモートコピー用に
指定したチャネルインタフェース、または、暗号機能5
5を内蔵するチャネルインタフェースにより実行される
処理である。
【0063】(1)まず、正記憶制御装置5において、
リモートコピー対象ボリュームの有無を確認する。リモ
ートコピー対象ボリュームの設定は、保守端末7により
変更される。この判定で、リモートコピー対象ボリュー
ムがない場合、データ転送の処理を終了する(ステップ
S301)。
【0064】(2)ステップS301で、リモートコピ
ー対象ボリュームがあった場合、正記憶制御装置5にお
いて、リモートコピー対象レコードがあるか判断し、リ
モートコピー対象レコードがなかった場合、ステップS
301からの処理に戻って処理を続ける(ステップS3
02)。
【0065】(3)ステップS302で、リモートコピ
ー対象レコードがあった場合、正記憶制御装置5におい
て、リモートコピー対象レコードが暗号化指定ボリュー
ムに属するか判断する(ステップS303)。
【0066】(4)ステップS303で、リモートコピ
ー対象レコードが暗号化指定ボリュームに属すると判断
された場合、暗号機能55の暗号化/復号化機能552
aにおいて、正記憶制御装置鍵暗号化鍵555で当該暗
号化指定ボリュームのボリューム鍵571を復号化し、
復号化したボリューム鍵571によりリモートコピー対
象レコードを暗号化する(ステップS304)。
【0067】(5)次に、正記憶制御装置5から副記憶
制御装置8へリモートコピー対象レコードを転送する
(ステップS305)。
【0068】(6)次に、副記憶制御装置8において、
リモートコピー対象レコードが復号化指定ボリュームに
属するか否かを判断する(ステップS306)。
【0069】(7)ステップS306の判断で、リモー
トコピー対象レコードが復号化指定ボリュームに属する
場合、暗号機能85の暗号化/復号化機能852aにお
いて、副記憶制御装置鍵暗号化鍵855により当該復号
化指定ボリュームのボリューム鍵571を復号化し、復
号化したボリューム鍵571によりリモートコピー対象
レコードを復号化する(ステップS307)。
【0070】(8)ステップS307の処理後、また
は、ステップS306で、リモートコピー対象レコード
が復号化指定ボリュームでなかった場合、副記憶制御装
置8において、リモートコピー対象レコードをコピー先
ボリュームに反映させ、ステップS301からの処理を
続ける(ステップS308)。
【0071】次に、本発明の第2の実施形態を説明す
る。図4はリモートコピーの鍵管理方式として共通鍵暗
号を用いる本発明の第2の実施形態による計算機システ
ムの構成を示すブロック図である。なお、説明の重複を
さけるため、以下の説明では、本発明の第1の実施形態
と異なる部分について説明する。
【0072】図4に示す本発明の第2の実施形態による
計算機システムの図1に示す第1の実施形態による計算
機システムとの相違は、正記憶制御装置5の暗号機能5
5における暗号化/復号化機能552bに公開鍵暗号機
能がない点、鍵格納領域553に正記憶制御装置マスタ
鍵554を持たない点、副記憶制御装置8の暗号機能8
5における暗号化/復号化機能852bに公開鍵暗号機
能がない点、鍵格納領域853に副記憶制御装置マスタ
鍵854を持たない点、また、制御情報メモリ54にお
ける鍵交換鍵格納領域56bに公開鍵暗号公開鍵を格納
せず、共通鍵暗号共通鍵である正記憶制御装置5と副記
憶制御装置8とのペア毎に設けられる正副記憶制御装置
間鍵交換鍵563を、正記憶制御装置5では正記憶制御
装置鍵暗号化鍵555で、副記憶制御装置8では副記憶
制御装置鍵暗号化鍵855でそれぞれ暗号化して格納す
る点である。
【0073】図5はリモートコピーの鍵管理方式として
共通鍵暗号を用いる図4に示すシステムにおけるリモー
トコピー実行前の暗号鍵の設定手順を説明するフローチ
ャートであり、以下、これについて説明する。
【0074】図5に示すフローの図2により説明したフ
ローとの相違は、図2のステップS203、S205〜
S207の処理のそれぞれが、図5のステップS501
〜S504のそれぞれに置き換えられた点であり、具体
的には、正記憶制御装置5において、正記憶制御装置マ
スタ鍵554、正記憶制御装置鍵交換鍵561の初期設
定がない点(ステップS501)、副記憶制御装置8に
おいて、副記憶制御装置マスタ鍵854、副記憶制御装
置鍵交換鍵861の設定がない点(ステップS50
2)、正副記憶制御装置間鍵交換鍵563の設定を追加
した点(ステップS503、S504)、正記憶制御装
置5と副記憶制御装置8との間において、ボリューム鍵
571を正副記憶制御装置間鍵交換鍵563で暗号化し
て転送する点(ステップS505、S506)である。
【0075】次に、本発明の第3の実施形態を説明す
る。図6はリモートコピーの鍵管理方式として共通鍵暗
号と共通鍵暗号とを用い、公開鍵を認証局証明書により
交換する本発明の第3の実施形態による計算機システム
の構成を示すブロック図である。なお、説明の重複をさ
けるため、以下の説明では、本発明の第1の実施形態と
異なる部分について説明する。
【0076】図6に示す本発明の第3の実施形態による
計算機システムの図1に示す第1の実施形態による計算
機システムとの相違は、公開鍵暗号秘密鍵である認証局
鍵131を持つ認証局13を備える点、正記憶制御装置
5の管理情報メモリ54に、認証局鍵131と対となる
公開鍵暗号公開鍵である証明書鍵591と、認証局13
から発行された正記憶制御装置鍵交換鍵の認証局証明書
592とを持つ点、副記憶制御装置8の管理情報メモリ
84に、認証局鍵131と対となる公開鍵暗号公開鍵で
ある証明書鍵591と、副記憶制御装置鍵交換鍵の認証
局証明書892とを持つ点である。
【0077】図7はリモートコピーの鍵管理方式として
公開鍵暗号と共通鍵暗号とを用い、公開鍵を認証局証明
書により交換する図6に示すシステムにおける認証局証
明書作成の手順を説明するフローチャートであり、以
下、これについて説明する。
【0078】(1)まず、記憶制御装置鍵交換鍵を登録
しようとする記憶制御装置は、自記憶制御装置の身元情
報とその記憶制御装置鍵交換鍵とを、安全な手段により
認証局13に転送する。身元情報は、例えば、記憶制御
装置毎に一意に設定される製造番号のようなものであっ
てよい(ステップS701)。
【0079】(2)次に、認証局13において、当該記
憶制御装置の身元情報を確認し、身元情報に問題がない
か否かをチェックする。身元情報に問題があれば、認証
局証明書を発行することなく、ここでの処理を終了する
(ステップS702)。
【0080】(3)ステップS702のチェックで、身
元情報に問題がなければ、認証局13は、その記憶制御
装置の記憶制御装置鍵交換鍵が未登録か否か確認する
(ステップS703)。
【0081】(4)ステップS703で、その記憶制御
装置の記憶制御装置鍵交換鍵が未登録であった場合、そ
の記憶制御装置の身元情報と記憶制御装置鍵交換鍵とを
認証局鍵131で復号化し、記憶制御装置鍵交換鍵の認
証局証明書を作成する(ステップS704)。
【0082】(5)ステップS704の処理後、また
は、ステップS703で、その記憶制御装置の記憶制御
装置鍵交換鍵が登録済みであった場合、その記憶制御装
置鍵交換鍵の認証局証明書を発行して処理を終了する
(ステップS705)。
【0083】図8はリモートコピーの鍵管理方式として
公開鍵暗号と共通鍵暗号とを用い、公開鍵を認証局証明
書により交換する図6に示すシステムにおけるリモート
コピー実行前の暗号鍵の設定手順を説明するフローチャ
ートであり、以下、これについて説明する。
【0084】図8に示すフローの図2により説明したフ
ローとの相違は、図2のステップS203、S205の
処理のそれぞれが、図8のステップS801、S802
のそれぞれの処理に置き換えられ、図2のステップS2
07の処理が図8のステップS803〜S806の処理
に置き換えられた点である。具体的には、暗号機能初期
設定の際に、正記憶制御装置5において、正記憶制御装
置鍵交換鍵の認証局証明書592と認証局鍵131と対
となる公開鍵暗号公開鍵である証明書鍵591とを設定
する点(ステップS801)、副記憶制御装置8におい
て、副記憶制御装置鍵交換鍵の認証局証明書892と、
認証局鍵131と対となる公開鍵暗号公開鍵である証明
書鍵591とを設定する点(ステップS802)、及
び、図2のステップS207の処理に代わるステップS
803〜S806の処理であり、以下、ステップS80
3〜S806の処理について説明する。
【0085】(1)ステップ206の判定で、正記憶制
御装置5に副記憶制御装置鍵交換鍵861が未設定の場
合、正記憶制御装置5において、副記憶制御装置8に副
記憶制御装置鍵交換鍵861を要求する(ステップS8
03)。
【0086】(2)次に、副記憶制御装置8において、
副記憶制御装置鍵交換鍵861の認証局証明書892
と、副記憶制御装置鍵交換鍵861とを、正記憶制御装
置5に転送する(ステップS804)。
【0087】(3)次に、正記憶制御装置5において、
受領した副記憶制御装置鍵交換鍵861の認証局証明書
892を証明書鍵591で暗号化し、受領した副記憶制
御装置鍵交換鍵861と比較し、受領した副記憶制御装
置鍵交換鍵861が副記憶制御装置8のものであること
を確認する(ステップS805)。
【0088】(4)その後、管理情報メモリ54に副記
憶制御装置鍵交換鍵861を設定し、図2により説明し
たステップ208以降の処理を続ける(ステップS80
6)。
【0089】次に、本発明の第4の実施形態を説明す
る。本発明の第4の実施形態は、正記憶制御装置5での
暗号化していないボリュームの暗号化指定、正記憶制御
装置5で暗号化し副記憶制御装置8で復号化しないボリ
ュームのボリューム鍵571の更新、暗号化指定の解
除、復号化指定の設定、または、正記憶制御装置5で暗
号化し副記憶制御装置8で復号化するボリュームの復号
化指定の解除を行う場合に、副記憶装置9に格納してい
る当該ボリューム内容の暗号化/復号化を、ボリューム
ペアの二重化中状態を継続したまま、副記憶制御装置8
で実行することを可能にしたものである。
【0090】ボリューム鍵571は、正記憶制御装置5
と副記憶制御装置8との間で、暗号化して交換され、副
記憶制御装置8の管理情報メモリに暗号化して格納され
るため、副記憶制御装置8において、暗号機能85の内
部以外でクリア値となることはない。また、正記憶制御
装置5で暗号化し副記憶制御装置8で復号化しないボリ
ュームのボリューム鍵571の更新時、更新対象のデー
タも副記憶制御装置8において、暗号機能85の内部以
外でクリア値となることはない。このため、副記憶制御
装置8での当該ボリュームの暗号化/復号化の実行で、
安全性が低下することはない。
【0091】なお、正記憶制御装置5で暗号化せずに、
副記憶制御装置8で暗号化するような処理は、リモート
コピーの暗号化とは異なるため、ここでは考慮しないも
のとする。
【0092】次に、本発明の第4の実施形態での前述し
た各ケースにおける副記憶制御装置8のコピー先ボリュ
ームで実行する暗号化/復号化内容について説明する。
【0093】正記憶制御装置5での暗号化していないボ
リュームの暗号化指定は、新たに生成したボリューム鍵
571での暗号化が必要となる。
【0094】正記憶制御装置5で暗号化し副記憶制御装
置8で復号化しないボリュームのボリューム鍵571の
更新は、現在のボリューム鍵571で復号化し、新たに
生成したボリューム鍵571での暗号化が必要となる。
【0095】正記憶制御装置5で暗号化し副記憶制御装
置8で復号化しないボリュームの暗号化指定の解除は、
現在のボリューム鍵571での復号化が必要となる。
【0096】正記憶制御装置5で暗号化し副記憶制御装
置8で復号化しないボリュームの復号化指定の設定は、
現在のボリューム鍵571での復号化が必要となる。
【0097】正記憶制御装置5で暗号化し副記憶制御装
置8で復号化するボリュームの復号化指定の解除では、
現在のボリューム鍵571での暗号化が必要となる。
【0098】図9は前述した本発明の第4の実施形態に
おける管理情報メモリ内のボリューム鍵格納領域とリモ
ートコピー管理情報とについて説明する図であり、以
下、これについて説明する。なお、正記憶制御装置5と
副記憶制御装置8との管理情報メモリ54、84内のボ
リューム鍵格納領域とリモートコピー管理情報との構造
は、同一であるため、説明では同一の番号を使用する。
【0099】ボリューム鍵格納領域は、各ボリューム毎
に2つのボリューム鍵格納領域を持つ。
【0100】リモートコピー管理情報は、各ボリューム
毎に管理情報14を持ち、各ボリューム毎の管理情報1
4は、ボリューム状態情報15と、暗号管理情報16
と、鍵変更管理情報19とにより構成される。
【0101】ボリューム状態情報15は、自ボリューム
のコピー元/先を示す自ボリューム情報151、ボリュ
ームペアとなる相手ボリュームの記憶制御装置番号、ボ
リューム番号、転送パス等の情報である相手ボリューム
情報152等を持つ。
【0102】暗号管理情報16は、正記憶制御装置5側
で暗号化するか否かを示す暗号化指定フラグ1 16
2、暗号化指定フラグ2 163、副記憶制御装置8側
で復号化するか否かを示す復号化指定フラグ1 16
4、復号化指定フラグ2 165、フラグ1とフラグ2
とのどちらが有効かを示す有効指定フラグ番号161、
ボリューム鍵格納領域において、現在の暗号化/復号化
に使用している鍵の番号を示す現鍵番号166を持つ。
【0103】鍵変更管理情報19は、正記憶制御装置5
側で使用するコピー元管理情報17と、副記憶制御装置
8側で使用するコピー先管理情報18とにより構成され
る。
【0104】コピー元管理情報17は、副記憶制御装置
8において鍵変更処理を実行中にボリュームペアの暗号
化/復号化の状態変更を受け付けないようにするための
暗号化状態変更抑止フラグ171と、正記憶制御装置5
の暗号化指定と副記憶制御装置8の復号化指定を更新
し、副記憶制御装置8で鍵変更処理を起動するまでの
間、正記憶制御装置5から副記憶制御装置8へのリモー
トコピーレコードの転送を抑止するリモートコピー対象
レコード転送抑止フラグ172とを持つ。
【0105】コピー先管理情報18は、鍵の変更中を示
す鍵変更中フラグ181、鍵の変更において現在のボリ
ューム内容を復号化する必要があるか否かを示す復号化
要否フラグ182、鍵の変更において現在のボリューム
内容を暗号化する必要があるか否かを示す暗号化要否フ
ラグ183、現在のボリューム内容を復号化する際に使
用するボリューム鍵格納領域87における鍵の番号であ
る復号化用鍵番号184、現在のボリューム内容を暗号
化する際使用するボリューム鍵格納領域87における鍵
の番号である暗号化用鍵番号185、当該ボリュームに
おいて鍵変更が終了した領域の終端レコード番号である
鍵変更済みレコード番号186、当該ボリュームにおい
て鍵変更を実行中の領域の終端レコード番号である鍵変
更中レコード番号187、ドライブ91に反映中のリモ
ートコピー対象レコードの先頭を示すリモートコピー中
先頭レコード番号188を持つ。
【0106】図10は前述の本発明の第4の実施形態に
おいて、リモートコピーの鍵管理方式として公開鍵暗号
と共通鍵暗号とを用いた場合の鍵変更開始処理の動作を
説明するフローチャートであり、以下、これについて説
明する。
【0107】鍵の更新を開始する契機は、正記憶制御装
置5の保守端末7から暗号化指定/復号化指定の変更が
あった場合、ボリューム鍵を生成してからの暗号化への
使用時間や使用回数が予め設定した閾値を超えた場合等
である。そして、鍵変更開始処理が開始される時点で、
暗号管理情報16の有効指定フラグ番号161でない番
号の各フラグ、すなわち、有効指定フラグ番号161が
2の場合、暗号化指定フラグ1 162と復号化指定フ
ラグ1 163とに、有効指定フラグ番号161が1の
場合、暗号化指定フラグ2 164と復号化指定フラグ
2 165とに新たな暗号化指定と復号化指定とが設定
されているものとする。
【0108】(1)鍵変更開始処理が開始されると、ま
ず、正記憶制御装置5において、暗号化状態変更抑止フ
ラグ171をONとし、リモートコピー対象レコード転
送抑止フラグ172をONとする(ステップS100
1、S1002)。
【0109】(2)次に、正記憶制御装置5において、
新たにボリューム鍵571を生成する必要があるか否か
を判断する。生成する必要がある場合とは、正記憶制御
装置5で暗号化していないボリュームの暗号化指定の場
合と、正記憶制御装置5で暗号化し副記憶制御装置8で
復号化しないボリュームのボリューム鍵571の更新の
場合である(ステップS1003)。
【0110】(3)ステップS1003で、新たにボリ
ューム鍵571を生成する必要があると判断された場
合、正記憶制御装置5において、新たにボリューム鍵5
71を生成し、生成したボリューム鍵571を正記憶制
御装置鍵暗号化鍵555で暗号化し、管理情報メモリ5
4のボリューム鍵格納領域57の現鍵番号166でない
番号に対応する領域に設定する(ステップS1004、
S1005)。
【0111】(4)ステップS1005の処理後、また
は、ステップS1003で、新たにボリューム鍵571
を生成する必要がないと判断された場合、正記憶制御装
置5において、転送が必要な鍵を副記憶制御装置鍵交換
鍵861で暗号化したものと、新しい暗号管理情報16
と、鍵変更処理への指示情報とを副記憶制御装置8に転
送する。前述の転送が必要な鍵とは、ステップS100
4で新たにボリューム鍵571を生成する必要があった
ために生成したボリューム鍵571と、当該ボリューム
が、正記憶制御装置5で暗号化し副記憶制御装置8で復
号化しないボリュームであり、未だ副記憶制御装置8に
ボリューム鍵571を転送していない場合の現在のボリ
ューム鍵571である。また、新しい暗号管理情報16
とは、暗号管理情報16の有効指定フラグ番号161で
ない番号の暗号化指定フラグと復号化指定フラグとであ
る。また、鍵変更処理への指示情報とは、復号化の要
否、及び、暗号化の要否、復号化する際の鍵指定、暗号
化する際の鍵指定である(ステップS1006)。
【0112】(5)次に、副記憶制御装置8において、
正記憶制御装置5から受領したボリューム鍵571を副
記憶制御装置マスタ鍵854で復号化し、副記憶制御装
置鍵暗号化鍵855で暗号化し、これを管理情報メモリ
84に設定し、新しい暗号管理情報16と、鍵変更処理
への指示情報をリモートコピー管理情報88とに反映さ
せる(ステップS1007)。
【0113】前述のステップS1007での処理におい
て、受領した鍵として、現在のボリューム鍵571を受
領している場合、現在のボリューム鍵571を現鍵番号
166でない番号の対応するボリューム鍵格納領域87
の位置に設定して現鍵番号166を変更し、また、新た
に生成したボリューム鍵571を受領している場合、新
たに生成したボリューム鍵571を現鍵番号166でな
い番号の対応するボリューム鍵格納領域87の位置に設
定して現鍵番号166を変更する。
【0114】前述のような処理を行うことにより、新た
に生成したボリューム鍵571がある場合は、新たに生
成したボリューム鍵571を、ボリューム鍵格納領域8
7の現鍵番号166の位置に、さらに、現在のボリュー
ム鍵571がある場合は、現在のボリューム鍵571
を、ボリューム鍵格納領域87の現鍵番号166でない
番号の位置に設定することになる。また、新たに生成し
たボリューム鍵571がない場合は、現在のボリューム
鍵571を、ボリューム鍵格納領域87の現鍵番号16
6の位置に設定することになる。
【0115】新しい暗号管理情報16の反映は、副記憶
制御装置8の有効指定フラグ番号161でない番号の暗
号化指定フラグと復号化指定フラグを、正記憶制御装置
5から受領した暗号化指定フラグと復号化指定フラグと
で上書きし、有効指定フラグ番号161を変更すること
により行われる。
【0116】また、鍵変更処理への指示情報により、復
号化要否フラグ182、暗号化要否フラグ183を設定
し、暗号化要否フラグ183がONであれば、暗号化用
鍵番号185には、現鍵番号166を設定し、さらに、
復号化要否フラグ182がONであれば、復号化用鍵番
号184に、現鍵番号166でない番号を設定する。暗
号化要否フラグ183がOFFであれば、復号化要否フ
ラグ182がONであるから、復号化用鍵番号184に
現鍵番号166を設定する。
【0117】副記憶制御装置8は、これ以降、受領する
当該ボリュームのリモートコピー対象レコードに対し
て、有効指定フラグ番号161の復号化指定フラグと現
鍵番号166とにより指定される動作を行う。
【0118】(6)次に、副記憶制御装置8は、リモー
トコピー中先頭レコード番号188を初期化して鍵変更
処理を起動する。例えば、当該ボリューム先頭からレコ
ード番号が1から昇順に付与されている場合、ここでの
初期化は、リモートコピー中先頭レコード番号188に
当該ボリュームの終端レコード番号を超える番号を設定
することである。なお、鍵変更の処理については後述す
る(ステップS1008)。
【0119】(7)次に、正記憶制御装置5において、
有効指定フラグ番号161を更新し、暗号管理情報16
を更新し、さらに、リモートコピー対象レコード転送抑
止フラグ172をOFFとする(ステップS1009、
S1010)。
【0120】(8)その後、副記憶制御装置8の鍵変更
処理からの終了報告を待ち、副記憶制御装置8の鍵変更
処理から終了報告があった場合、正記憶制御装置5にお
いて、暗号化状態変更抑止フラグ171をOFFとして
処理を終了する(ステップS1011〜S1013)。
【0121】図11は本発明の第4の実施形態におい
て、リモートコピーの鍵管理方式として共通鍵暗号を用
いた場合の鍵変更開始処理の動作を説明するフローチャ
ートであり、以下、これについて説明する。
【0122】図11に示すフローの図10により説明し
たフローとの相違は、図10のステップS1006、S
1007の処理のそれぞれが、図11のステップS11
01、S1102のそれぞれに置き換えられた点であ
り、具体的には、ステップS1101で副記憶制御装置
鍵交換鍵861でなく、正副記憶制御装置間鍵交換鍵5
63を使用する点と、ステップS1102で副記憶制御
装置マスタ鍵854でなく、正副記憶制御装置間鍵交換
鍵563を使用する点である。
【0123】図12は本発明の第4の実施形態におい
て、副記憶制御装置が実行する鍵変更処理の動作を説明
するフローチャートであり、以下、これについて説明す
る。
【0124】(1)まず、鍵変更中フラグ181をON
とする。次に、当該ボリュームの鍵変更済みレコード番
号186と鍵変更中レコード番号187とを初期化す
る。例えば、当該ボリューム先頭からレコード番号が、
1から昇順に付与されている場合、ここでの初期化は、
鍵変更済みレコード番号186と鍵変更中レコード番号
187とを0に設定することである(ステップS120
1、S1202)。
【0125】(2)次に、鍵変更済みレコード番号18
6が、当該ボリュームの終端と一致するか否かを判断
し、一致する場合、当該ボリュームの鍵の変更は終了で
あるため、鍵変更中フラグ181をOFFとして、正記
憶制御装置5に鍵変更処理の終了を報告し、この鍵変更
処理を終了する(ステップS1203、S1220、S
1221)。
【0126】(3)ステップS1203で、鍵変更済み
レコード番号186が、当該ボリュームの終端と一致し
ていなかった場合、読み出そうとするレコード範囲にリ
モートコピー中先頭レコード番号188が含まれるか否
かを判断する。この判断は、鍵変更処理と同時に実行す
る可能性がある鍵変更中レコード反映処理とのレコード
更新との排他を取るために必要である。そして、含まれ
る場合、一定時間待つ(ステップS1204、S120
5)。
【0127】(4)ステップS1204で、読み出そう
とするレコード範囲にリモートコピー中先頭レコード番
号188が含まれなかった場合、鍵変更済みレコード番
号186の次のレコードから一定数のレコードをドライ
ブ91からキャッシュメモリ83に読み出す(ステップ
S1206)。
【0128】(5)次に、復号化要否フラグ182と暗
号化要否フラグ183とを参照し、復号化要否フラグ1
82がON、かつ、暗号化要否フラグ183がONであ
るか否かを判断する(ステップS1207)。
【0129】(6)ステップS1207で、復号化要否
フラグ182がON、暗号化要否フラグ183がONで
あった場合、暗号機能85において、管理情報メモリ8
4からボリューム鍵格納領域87の復号化用鍵番号18
4の示す位置のボリューム鍵571を復号化用の鍵とし
て、ボリューム鍵格納領域87の暗号化用鍵番号185
の示す位置のボリューム鍵571を暗号化用の鍵として
読み出し、副記憶制御装置鍵暗号化鍵855で復号化す
る(ステップS1208)。
【0130】(7)次に、暗号機能85において、キャ
ッシュメモリ83に読み出した一定数のレコードを、復
号化用の鍵で復号化し、暗号化用の鍵で暗号化し、キャ
ッシュメモリ83の別の領域に書き込む(ステップS1
209)。
【0131】(8)ステップS1207で、復号化要否
フラグ182がON、かつ、暗号化要否フラグ183が
ONでなかった場合、復号化要否フラグ182がON、
かつ、暗号化要否フラグ183がOFFであるか否かを
判断し、復号化要否フラグ182がON、暗号化要否フ
ラグ183がOFFであった場合、暗号機能85におい
て、管理情報メモリ84からボリューム鍵格納領域87
の復号化用鍵番号184の示す位置のボリューム鍵57
1を復号化用の鍵として読み出し、副記憶制御装置鍵暗
号化鍵855で復号化する(ステップS1210、S1
211)。
【0132】(9)次に、暗号機能85において、キャ
ッシュメモリ83に読み出した一定数のレコードを復号
化用の鍵で復号化し、キャッシュメモリ83の別の領域
に書き込む(ステップS1212)。
【0133】(10)ステップS1210で、復号化要否
フラグ182がON、かつ、暗号化要否フラグ183が
OFFでない場合、すなわち、復号化要否フラグ182
がOFF、暗号化要否フラグ183がONの場合、暗号
機能85において、管理情報メモリ84からボリューム
鍵格納領域87の暗号化用鍵番号185の示す位置のボ
リューム鍵571を暗号化用の鍵として読み出し、副記
憶制御装置鍵暗号化鍵855で復号化する(ステップS
1213)。
【0134】(11)次に、暗号機能85において、キャ
ッシュメモリ83に読み出した一定数のレコードを暗号
化用の鍵で暗号化し、キャッシュメモリ83の別の領域
に書き込む(ステップS1214)。
【0135】(12)次に、ステップS1209、S12
12またはS1214の処理の終了後、鍵変更中レコー
ド番号187にキャッシュメモリ83に読み出した一定
数のレコードの終端レコード番号を設定し、キャッシュ
メモリ83の別の領域に格納した暗号機能85により処
理済みの一定数のレコードをドライブ91に書き込む
(ステップS1215、S1216)。
【0136】(13)次に、キャッシュメモリ83の別の
領域に格納した暗号機能85で処理済みの一定数のレコ
ードのドライブ91への書き込みが成功したか否かを判
断し、失敗していた場合、書き込もうとしたドライブ9
1上の一定数のレコードを格納している領域の内容が、
暗号機能85で処理する前の内容と処理した後の内容と
が混在している可能性があるため、鍵変更中レコード番
号187に鍵変更済みレコード番号186を設定して、
ステップS1207からの処理に戻って処理を続ける
(ステップS1217、S1218)。
【0137】(14)ステップS1217で、暗号機能8
5で処理済みの一定数のレコードのドライブ91への書
き込みが成功していた場合、鍵変更済みレコード番号1
86に鍵変更中レコード番号187を設定し、ステップ
S1203からの処理に戻って処理を続ける(ステップ
S1219)。
【0138】図13は前述した本発明の第4の実施形態
におけるリモートコピー実行中のデータ転送手順の処理
動作を説明するフローチャートであり、以下、これにつ
いて説明する。
【0139】図13に示すフローの図3により説明した
フローとの相違は、図3のステップS307の後に、ス
テップS1301〜S1303の処理が加えられた点で
あり、以下では、この加えられたステップの処理につい
てのみ説明する。
【0140】(1)本発明の第1の実施形態によりすで
に説明したステップS307の処理後、または、ステッ
プS306で、リモートコピー対象レコードが復号化指
定ボリュームでなかった場合、副記憶制御装置8におい
て、鍵変更中フラグ181を参照し(ステップ受領した
リモートコピー対象レコードのボリュームが鍵変更中で
あるか否かを判断する(ステップS1301、S130
2)。
【0141】(2)ステップS1302で、鍵変更中で
なかった場合、図3によりすでに説明したと同じ内容の
ステップS308へ移行し、また、鍵変更中であった場
合、鍵変更中レコード反映処理を実行し、ステップS3
01からの処理に戻って処理を続ける(ステップS13
03)。
【0142】図14は本発明の第4の実施形態での副記
憶制御装置8における鍵変更処理中のリモートコピー対
象データに対する処理である鍵変更中レコード反映処理
の動作を説明するフローチャートであり、以下、これに
ついて説明する。
【0143】(1)まず、鍵変更中レコード番号187
と鍵変更済みレコード番号186を参照し、次に、リモ
ートコピー対象レコードの終端レコード番号が鍵変更済
みレコード番号以下であるか否か、すなわち、リモート
コピー対象レコードの反映先が、全て鍵変更済みのレコ
ードか否かを判断する(ステップS1401、S140
2)。
【0144】(2)ステップS1402で、リモートコ
ピー対象レコードの終端レコード番号が鍵変更済みレコ
ード番号以下であった場合、リモートコピー対象レコー
ドをドライブ91に書き込み、ここでの鍵変更中レコー
ド反映処理を終了する(ステップS1403)。
【0145】(3)ステップS1402で、リモートコ
ピー対象レコードの終端レコード番号が鍵変更済みレコ
ード番号以下でなかった場合、リモートコピー対象レコ
ードの先頭レコード番号が鍵変更中レコード番号を超え
るか否か、すなわち、リモートコピー対象レコードの反
映先が、全て鍵未変更のレコードか否かを判断する(ス
テップS1404)。
【0146】(4)ステップS1404で、リモートコ
ピー対象レコードの先頭レコード番号が鍵変更中レコー
ド番号を超えなかった場合、すなわち、リモートコピー
対象レコードの反映先が、鍵変更中のレコードを含む場
合、リモートコピー対象レコードの反映先が、鍵変更中
のレコードを含まなくなるのを期待し、一定時間待って
ステップS1401からの処理に戻って処理を続ける
(ステップS1405)。
【0147】(5)ステップS1404で、リモートコ
ピー対象レコードの先頭レコード番号が鍵変更中レコー
ド番号を超えていた場合、リモートコピー対象レコード
の先頭レコード番号をリモートコピー中先頭レコード番
号188に設定する(ステップS1406)。
【0148】(6)次に、鍵変更中レコード番号187
を参照し、再び、リモートコピー対象レコードの先頭レ
コード番号が鍵変更中レコード番号を超えるか否かを判
断する。これは、ステップS1401で鍵変更中レコー
ド番号187と鍵変更済みレコード番号186を参照し
てから、ステップS1406でリモートコピー中先頭レ
コード番号188を設定するまでの間に、鍵更新処理が
進むことにより、鍵変更中レコード番号187が更新さ
れることを考慮したものである(ステップS1407、
S1408)。
【0149】(7)ステップS1408で、リモートコ
ピー対象レコードの先頭レコード番号が鍵変更中レコー
ド番号を超えなかった場合、リモートコピー中先頭レコ
ード番号188の設定を解除し、ステップS1401か
らの処理に戻って処理を続ける(ステップS140
9)。
【0150】(8)ステップS1408で、リモートコ
ピー対象レコードの先頭レコード番号が鍵変更中レコー
ド番号を超えていた場合、復号化要否フラグ182と暗
号化要否フラグ183とを参照し、復号化要否フラグ1
82がON、かつ、暗号化要否フラグ183がONであ
るか否かを判断する(ステップS1410)。
【0151】(9)ステップS1410で、復号化要否
フラグ182がON、かつ、暗号化要否フラグ183が
ONであった場合、暗号機能85において、管理情報メ
モリ84から、ボリューム鍵格納領域87の復号化用鍵
番号184の示す位置のボリューム鍵571を復号化用
の鍵として、ボリューム鍵格納領域87の暗号化用鍵番
号185の示す位置のボリューム鍵571を暗号化用の
鍵として読み出し、副記憶制御装置鍵暗号化鍵855で
復号化する(ステップS1411)。
【0152】(10)次に、暗号機能85において、リモ
ートコピー対象レコードを暗号化用の鍵で復号化し、復
号化用の鍵で暗号化して、ドライブ91に書き込む(ス
テップS1412)。
【0153】(11)ステップS1410で、復号化要否
フラグ182がON、かつ、暗号化要否フラグ183が
ONでなかった場合、復号化要否フラグ182がON、
かつ、暗号化要否フラグ183がOFFであるか否かを
判断する(ステップS1413)。
【0154】(12)ステップS1413で、復号化要否
フラグ182がON、かつ、暗号化要否フラグ183が
OFFであった場合、暗号機能85において、管理情報
メモリ84から、ボリューム鍵格納領域87の復号化用
鍵番号184の示す位置のボリューム鍵571を復号化
用の鍵として読み出し、副記憶制御装置鍵暗号化鍵85
5で復号化する(ステップS1414)。
【0155】(13)次に、暗号機能85において、リモ
ートコピー対象レコードを、復号化用の鍵で暗号化し、
ドライブ91に書き込む(ステップS1415)。
【0156】(14)ステップS1413で、復号化要否
フラグ182がON、かつ、暗号化要否フラグ183が
OFFでなかった場合、すなわち、復号化要否フラグ1
82がOFF、暗号化要否フラグ183がONであった
場合、暗号機能85において、管理情報メモリ84か
ら、ボリューム鍵格納領域87の暗号化用鍵番号185
の示す位置のボリューム鍵571を暗号化用の鍵として
読み出し、副記憶制御装置鍵暗号化鍵855で復号化す
る(ステップS1416)。
【0157】(15)次に、暗号機能85において、リモ
ートコピー対象レコードを、暗号化用の鍵で復号化し、
ドライブ91に書き込む(ステップS1417)。
【0158】(16)ステップS1412、S1415、
S1417の処理終了後、リモートコピー中先頭レコー
ド番号の設定を解除し、ここでの鍵変更中レコード反映
処理を終了する(ステップS1418)。
【0159】
【発明の効果】以上説明したように本発明によれば、リ
モートコピーにおける転送データの暗号化において、暗
号化したまま副記憶装置に格納したリモートコピー対象
データの暗号鍵更新時の負荷を軽減し、正記憶制御装置
と副記憶制御装置とにおいて、複数の暗号機能で使用す
る複数の暗号鍵を効率良く管理することができる。
【0160】また、本発明によれば、副記憶制御装置に
存在するコピー先ボリュームの一貫性を保ったまま暗号
化・複合化指定の変更、及び、鍵の更新を行うことが可
能であり、これにより、暗号化・複合化指定の変更、及
び、鍵の更新のシステム中に、正記憶制御装置側が被災
した場合にも、副記憶制御装置側の処理を完遂させるこ
とにより、ボリュームの内容の一貫性を保つことができ
る。
【図面の簡単な説明】
【図1】リモートコピーの鍵管理方式として公開鍵暗号
と共通鍵暗号との両者を用いる本発明の第1の実施形態
による計算機システムの構成を示すブロック図である。
【図2】本発明の第1の実施形態におけるリモートコピ
ー実行前の暗号鍵の設定手順を説明するフローチャート
である。
【図3】本発明の第1の実施形態におけるリモートコピ
ー実行中のデータ転送手順を説明するフローチャートで
ある。
【図4】リモートコピーの鍵管理方式として共通鍵暗号
を用いる本発明の第2の実施形態による計算機システム
の構成を示すブロック図である。
【図5】本発明の第2の実施形態におけるリモートコピ
ー実行前の暗号鍵の設定手順を説明するフローチャート
である。
【図6】リモートコピーの鍵管理方式として共通鍵暗号
と共通鍵暗号とを用い、公開鍵を認証局証明書により交
換する本発明の第3の実施形態による計算機システムの
構成を示すブロック図である。
【図7】本発明の第3の実施形態における認証局証明書
作成の手順を説明するフローチャートである。
【図8】本発明の第3の実施形態におけるリモートコピ
ー実行前の暗号鍵の設定手順を説明するフローチャート
である。
【図9】本発明の第4の実施形態における管理情報メモ
リ内のボリューム鍵格納領域とリモートコピー管理情報
とについて説明する図である。
【図10】本発明の第4の実施形態において、リモート
コピーの鍵管理方式として公開鍵暗号と共通鍵暗号とを
用いた場合の鍵変更開始処理の動作を説明するフローチ
ャートである。
【図11】本発明の第4の実施形態において、リモート
コピーの鍵管理方式として共通鍵暗号を用いた場合の鍵
変更開始処理の動作を説明するフローチャートである。
【図12】本発明の第4の実施形態において、副記憶制
御装置が実行する鍵変更処理の動作を説明するフローチ
ャートである。
【図13】本発明の第4の実施形態におけるリモートコ
ピー実行中のデータ転送手順の処理動作を説明するフロ
ーチャートである。
【図14】本発明の第4の実施形態での副記憶制御装置
における鍵変更処理中のリモートコピー対象データに対
する処理である鍵変更中レコード反映処理の動作を説明
するフローチャートである。
【符号の説明】
11 正ホスト計算機 12 副ホスト計算機 13 認証局 131 認証局鍵 4 公衆通信回線 5 正記憶制御装置 55 暗号機能 551 鍵生成機能 552a、552b 暗号化/復号化機能 553 鍵格納領域 554 正記憶制御装置マスタ鍵 555 正記憶制御装置鍵暗号化鍵 56a、56b 鍵交換鍵格納領域 561 正記憶制御装置鍵交換鍵 562 副記憶制御装置鍵交換鍵 563 正副記憶制御装置間鍵交換鍵 57 ボリューム鍵格納領域 571 ボリューム鍵 58 リモートコピー管理情報 591 証明書鍵 592、892 認証局証明書 6 正記憶装置 7、10 保守端末 8 副記憶制御装置 854 副記憶制御装置マスタ鍵 855 副記憶制御装置鍵暗号化鍵 861 副記憶制御装置鍵交換鍵 9 副記憶装置
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) G06F 15/00 330 G06F 15/00 330A 5J104 G09C 1/00 640 G09C 1/00 640Z 660 660E H04L 9/08 H04L 9/00 601C 9/32 601E 675D (72)発明者 北原 潤 神奈川県横浜市戸塚区吉田町292番地 株 式会社日立製作所システム開発研究所内 Fターム(参考) 5B017 AA03 BA07 CA07 5B018 GA04 HA03 MA12 5B065 BA01 EA35 PA04 PA16 5B082 DA02 DE07 GA11 5B085 AE13 AE29 5J104 AA16 AA34 EA04 EA05 EA06 EA18 EA19 NA02 PA07

Claims (12)

    【特許請求の範囲】
  1. 【請求項1】 正ホスト計算機及び正記憶装置に接続さ
    れた正記憶制御装置と、副ホスト計算機及び副記憶装置
    に接続された副記憶制御装置とを備え、前記正記憶制御
    装置と前記副記憶制御装置とが公衆通信回線を介して接
    続されてリモートコピーを実行する計算機システムにお
    いて、 リモートコピー実行前、前記正記憶制御装置は、自装置
    内の暗号機能に、公開鍵暗号秘密鍵である正記憶制御装
    置マスタ鍵と、共通鍵暗号共通鍵である正記憶制御装置
    鍵暗号化鍵と設定し、管理情報メモリに、副記憶制御装
    置の公開鍵暗号秘密鍵である副記憶制御装置マスタ鍵と
    対となる公開鍵暗号公開鍵である副記憶制御装置鍵交換
    鍵を設定し、前記副記憶制御装置は、自装置内の暗号機
    能に、副記憶制御装置マスタ鍵と、共通鍵暗号共通鍵で
    ある副記憶制御装置鍵暗号化鍵を設定し、 リモートコピー開始時、新規リモートコピー対象ボリュ
    ームが暗号化指定ボリュームである場合、前記正記憶制
    御装置内の暗号機能は、共通鍵暗号共通鍵であるボリュ
    ーム鍵を生成し、当該ボリューム鍵を正記憶制御装置鍵
    暗号化鍵で暗号化して管理情報メモリに設定し、さら
    に、新規リモートコピー対象ボリュームが復号化指定ボ
    リュームである場合、当該ボリューム鍵を副記憶制御装
    置鍵交換鍵で暗号化して副記憶制御装置に転送し、副記
    憶制御装置内の暗号機能は、正記憶制御装置から受領し
    た副記憶制御装置鍵交換鍵で暗号化したボリューム鍵を
    副記憶制御装置マスタ鍵で復号化し、副記憶制御装置鍵
    暗号化鍵で暗号化して管理情報メモリに設定し、 リモートコピー実行中、リモートコピー対象レコードが
    暗号化指定ボリュームである場合、正記憶制御装置の暗
    号機能は、管理情報メモリの当該暗号化指定ボリューム
    のボリューム鍵を、暗号機能に設定された正記憶制御装
    置鍵暗号化鍵で復号化し、当該ボリューム鍵で転送対象
    レコードを暗号化し、暗号化した転送対象レコードを副
    記憶制御装置に転送し、副記憶制御装置内の暗号機能
    は、正記憶制御装置から受領したリモートコピー対象レ
    コードが復号化指定ボリュームに属する場合、管理情報
    メモリの当該復号化指定ボリュームのボリューム鍵を、
    暗号機能に設定された副記憶制御装置鍵暗号化鍵で復号
    化し、当該ボリューム鍵で転送対象レコードを復号化す
    ることを特徴とする計算機システム。
  2. 【請求項2】 正ホスト計算機及び正記憶装置に接続さ
    れた正記憶制御装置と、副ホスト計算機及び副記憶装置
    に接続された副記憶制御装置とを備え、前記正記憶制御
    装置と前記副記憶制御装置とが公衆通信回線を介して接
    続されてリモートコピーを実行する計算機システムにお
    いて、 リモートコピー実行前、前記正記憶制御装置は、自装置
    内の暗号機能に、共通鍵暗号共通鍵である正記憶制御装
    置鍵暗号化鍵を設定し、管理情報メモリに、共通鍵暗号
    共通鍵である正副記憶制御装置間鍵交換鍵を正記憶制御
    装置鍵暗号化鍵で暗号化して設定し、副記憶制御装置
    は、自装置内の暗号機能に、共通鍵暗号共通鍵である副
    記憶制御装置鍵暗号化鍵を設定し、管理情報メモリに、
    正副記憶制御装置間鍵交換鍵を副記憶制御装置鍵暗号化
    鍵で暗号化して設定し、 リモートコピー開始時、新規リモートコピー対象ボリュ
    ームが暗号化指定ボリュームである場合、前記正記憶制
    御装置の暗号機能は、鍵生成機能により共通鍵暗号共通
    鍵であるボリューム鍵を生成し、正記憶制御装置鍵暗号
    化鍵で当該ボリューム鍵を暗号化し管理情報メモリに設
    定し、さらに、新規リモートコピー対象ボリュームが復
    号化指定ボリュームである場合、管理情報メモリの正副
    記憶制御装置間鍵交換鍵を正記憶制御装置鍵暗号化鍵で
    復号化し、当該ボリューム鍵を正副記憶制御装置間鍵交
    換鍵で暗号化して副記憶制御装置に転送し、副記憶制御
    装置の暗号機能は、管理情報メモリの正副記憶制御装置
    間鍵交換鍵を副記憶制御装置鍵暗号化鍵で復号化し、正
    記憶制御装置から受領したボリューム鍵を正副記憶制御
    装置間鍵交換鍵で復号化し、当該ボリューム鍵を副記憶
    制御装置鍵暗号化鍵で暗号化し管理情報メモリに設定
    し、 リモートコピー実行中、リモートコピー対象レコードが
    暗号化指定ボリュームである場合、正記憶制御装置の暗
    号機能は、管理情報メモリの当該暗号化指定ボリューム
    のボリューム鍵を、正記憶制御装置鍵暗号化鍵で復号化
    し、当該ボリューム鍵で転送対象レコードを暗号化し、
    暗号化した転送対象レコードを副記憶制御装置に転送
    し、副記憶制御装置の暗号機能は、正記憶制御装置から
    受領したリモートコピー対象レコードが復号化指定ボリ
    ュームに属する場合、管理情報メモリの当該暗号化指定
    ボリュームのボリューム鍵を副記憶制御装置鍵暗号化鍵
    で復号化し、当該ボリューム鍵で転送対象レコードを復
    号化することを特徴とする計算機システム。
  3. 【請求項3】 認証局をさらに備え、 リモートコピー実行前、前記認証局は、副記憶制御装置
    マスタ鍵と対となる公開鍵暗号公開鍵である副記憶制御
    装置鍵交換鍵を登録し、副記憶制御装置鍵交換鍵の認証
    局証明書を発行し、正記憶制御装置は、管理情報メモリ
    に、認証局の公開鍵暗号公開鍵を設定し、副記憶制御装
    置は、管理情報メモリに、副記憶制御装置鍵交換鍵と、
    認証局の公開鍵暗号公開鍵と、副記憶制御装置鍵交換鍵
    の認証局証明書とを設定し、 リモートコピー開始時、前記正記憶制御装置は、副記憶
    制御装置に副記憶制御装置鍵交換鍵を要求し、副記憶制
    御装置は、副記憶制御装置鍵交換鍵の認証局証明書と、
    副記憶制御装置鍵交換鍵とを正記憶制御装置に転送し、
    正記憶制御装置は、受領した副記憶制御装置鍵交換鍵の
    認証局証明書を認証局の公開鍵暗号公開鍵で暗号化し、
    受領した副記憶制御装置鍵交換鍵と比較して受領した副
    記憶制御装置鍵交換鍵が副記憶制御装置のものであるこ
    とを確認し、管理情報メモリに副記憶制御装置鍵交換鍵
    を設定することを特徴とする請求項1記載の計算機シス
    テム。
  4. 【請求項4】 前記新規リモートコピー対象ボリューム
    が正記憶制御装置で暗号化し副記憶制御装置で復号化し
    ないボリュームであり、当該ボリュームのボリューム鍵
    の変更時、正記憶制御装置は、鍵生成機能により当該ボ
    リュームの新ボリューム鍵を生成し、新ボリューム鍵を
    正記憶制御装置鍵暗号化鍵で暗号化して管理情報メモリ
    に設定し、新ボリューム鍵を副記憶制御装置鍵交換鍵で
    暗号化して副記憶制御装置に転送し、副記憶制御装置
    は、正記憶制御装置から受領した新ボリューム鍵を、副
    記憶制御装置マスタ鍵で復号化し、副記憶制御装置鍵暗
    号化鍵で暗号化して管理情報メモリの現ボリューム鍵と
    は別の領域に設定し、正記憶制御装置は、以降の当該ボ
    リュームのリモートコピー対象レコードを新ボリューム
    鍵で暗号化して副記憶制御装置に転送し、副記憶制御装
    置は、当該ボリュームの先頭から終端まで、レコードを
    一定数ずつドライブから読み出し、読み出したレコード
    を暗号機能に転送し、副記憶制御装置内の暗号機能は、
    当該レコードのボリュームの現ボリューム鍵と新ボリュ
    ーム鍵とを管理情報メモリから読み出し、副記憶制御装
    置鍵暗号化鍵で復号化後、当該レコードを現ボリューム
    鍵で復号化し、新ボリューム鍵で暗号化してドライブに
    書き込むことを特徴とする請求項1または3記載の計算
    機システム。
  5. 【請求項5】 正記憶制御装置で暗号化していないボリ
    ュームの暗号化を指定してリモートコピーを実行すると
    き、正記憶制御装置は、鍵生成機能により当該ボリュー
    ムのボリューム鍵を生成し、ボリューム鍵を正記憶制御
    装置鍵暗号化鍵で暗号化して管理情報メモリに設定し、
    ボリューム鍵を副記憶制御装置鍵交換鍵で暗号化して副
    記憶制御装置に転送し、副記憶制御装置は、正記憶制御
    装置から受領したボリューム鍵を、副記憶制御装置マス
    タ鍵で復号化し、副記憶制御装置鍵暗号化鍵で暗号化し
    て管理情報メモリに設定し、正記憶制御装置は、以降の
    当該ボリュームのリモートコピー対象レコードをボリュ
    ーム鍵で暗号化し、副記憶制御装置に転送し、副記憶制
    御装置は、当該ボリュームの先頭から終端まで、レコー
    ドを一定数ずつドライブから読み出し、読み出したレコ
    ードを副記憶制御装置内の暗号機能に転送し、該暗号機
    能は、当該レコードのボリュームのボリューム鍵を管理
    情報メモリから読み出し、副記憶制御装置鍵暗号化鍵で
    復号化後、当該レコードをボリューム鍵で暗号化してド
    ライブに書き込むことを特徴とする請求項1または3記
    載の計算機システム。
  6. 【請求項6】 正記憶制御装置で暗号化し副記憶制御装
    置で復号化しているボリュームの復号化指定を解除して
    リモートコピーを実行するとき、副記憶制御装置は、以
    降の当該ボリュームのリモートコピー対象レコードの復
    号化を中止し、当該ボリュームの先頭から終端まで、レ
    コードを一定数ずつドライブから読み出し、読み出した
    レコードを副記憶制御装置内の暗号機能に転送し、該暗
    号機能は、当該レコードのボリュームのボリューム鍵を
    管理情報メモリから読み出し、副記憶制御装置鍵暗号化
    鍵で復号化後、当該レコードをボリューム鍵で暗号化し
    てドライブに書き込むことを特徴とする請求項1、2ま
    たは3記載の計算機システム。
  7. 【請求項7】 正記憶制御装置で暗号化し副記憶制御装
    置で復号化していないボリュームの暗号化を解除してリ
    モートコピーを実行するとき、正記憶制御装置は、現ボ
    リューム鍵を未だ副記憶制御装置に転送していない場
    合、現ボリューム鍵を正記憶制御装置鍵暗号化鍵で復号
    化し、副記憶制御装置鍵交換鍵で暗号化して副記憶制御
    装置に転送し、副記憶制御装置は、正記憶制御装置から
    受領した現ボリューム鍵を、副記憶制御装置マスタ鍵で
    復号化し、副記憶制御装置鍵暗号化鍵で暗号化して管理
    情報メモリの現ボリューム鍵の領域に設定し、正記憶制
    御装置は、以降の当該ボリュームのリモートコピー対象
    レコードを暗号化せずに副記憶制御装置に転送し、副記
    憶制御装置は、当該ボリュームの先頭から終端まで、レ
    コードを一定数ずつドライブから読み出し、読み出した
    レコードを副記憶制御装置内の暗号機能に転送し、該暗
    号機能は、当該レコードのボリュームのボリューム鍵を
    管理情報メモリから読み出して副記憶制御装置鍵暗号化
    鍵で復号化後、当該レコードを現ボリューム鍵で復号化
    してドライブに書き込むことを特徴とする請求項1また
    は3記載の計算機システム。
  8. 【請求項8】 正記憶制御装置で暗号化し副記憶制御装
    置で復号化しないボリュームの復号化を指定してリモー
    トコピーを実行するとき、正記憶制御装置は、現ボリュ
    ーム鍵を未だ副記憶制御装置に転送していない場合、現
    ボリューム鍵を正記憶制御装置鍵暗号化鍵で復号化し、
    副記憶制御装置鍵交換鍵で暗号化して副記憶制御装置に
    転送し、副記憶制御装置は、正記憶制御装置から受領し
    た現ボリューム鍵を、副記憶制御装置マスタ鍵で復号化
    し、副記憶制御装置鍵暗号化鍵で暗号化し管理情報メモ
    リの現ボリューム鍵の領域に設定し、副記憶制御装置
    は、以降の当該ボリュームのリモートコピー対象レコー
    ドを復号化すると共に、当該ボリュームの先頭から終端
    まで、レコードを一定数ずつドライブから読み出し、読
    み出したレコードを副記憶制御装置内の暗号機能に転送
    し、該暗号機能は、当該レコードのボリュームのボリュ
    ーム鍵を管理情報メモリから読み出して副記憶制御装置
    鍵暗号化鍵で復号化後、当該レコードを現ボリューム鍵
    で復号化してドライブに書き込むことを特徴とする請求
    項1または3記載の計算機システム。
  9. 【請求項9】 前記新規リモートコピー対象ボリューム
    が正記憶制御装置で暗号化し副記憶制御装置で復号化し
    ないボリュームであり、当該ボリュームのボリューム鍵
    の変更時、正記憶制御装置は、鍵生成機能により当該ボ
    リュームの新ボリューム鍵を生成し、新ボリューム鍵を
    正記憶制御装置鍵暗号化鍵で暗号化して管理情報メモリ
    に設定し、新ボリューム鍵を正副記憶制御装置間鍵交換
    鍵で暗号化して副記憶制御装置に転送し、副記憶制御装
    置は、正記憶制御装置から受領した新ボリューム鍵を、
    正副記憶制御装置間鍵交換鍵で復号化し、副記憶制御装
    置鍵暗号化鍵で暗号化して管理情報メモリの現ボリュー
    ム鍵とは別の領域に設定し、正記憶制御装置は、以降の
    当該ボリュームのリモートコピー対象レコードを新ボリ
    ューム鍵で暗号化して副記憶制御装置に転送し、副記憶
    制御装置は、当該ボリュームの先頭から終端まで、レコ
    ードを一定数ずつドライブから読み出し、読み出したレ
    コードを暗号機能に転送し、副記憶制御装置内の暗号機
    能は、当該レコードのボリュームの現ボリューム鍵と新
    ボリューム鍵とを管理情報メモリから読み出し、副記憶
    制御装置鍵暗号化鍵で復号化後、当該レコードを現ボリ
    ューム鍵で復号化し、新ボリューム鍵で暗号化してドラ
    イブに書き込むことを特徴とする請求項2記載の計算機
    システム。
  10. 【請求項10】 正記憶制御装置で暗号化していないボ
    リュームの暗号化を指定してリモートコピーを実行する
    とき、正記憶制御装置は、鍵生成機能により当該ボリュ
    ームのボリューム鍵を生成し、ボリューム鍵を正記憶制
    御装置鍵暗号化鍵で暗号化して管理情報メモリに設定
    し、ボリューム鍵を正副記憶制御装置間鍵交換鍵で暗号
    化して副記憶制御装置に転送し、副記憶制御装置は、正
    記憶制御装置から受領したボリューム鍵を、正副記憶制
    御装置間鍵交換鍵で復号化し、副記憶制御装置鍵暗号化
    鍵で暗号化して管理情報メモリに設定し、正記憶制御装
    置は、以降の当該ボリュームのリモートコピー対象レコ
    ードをボリューム鍵で暗号化し、副記憶制御装置に転送
    し、副記憶制御装置は、当該ボリュームの先頭から終端
    まで、レコードを一定数ずつドライブから読み出し、読
    み出したレコードを副記憶制御装置内の暗号機能に転送
    し、該暗号機能は、当該レコードのボリュームのボリュ
    ーム鍵を管理情報メモリから読み出し、副記憶制御装置
    鍵暗号化鍵で復号化後、当該レコードをボリューム鍵で
    暗号化してドライブに書き込むことを特徴とする請求項
    2記載の計算機システム。
  11. 【請求項11】 正記憶制御装置で暗号化し副記憶制御
    装置で復号化していないボリュームの暗号化を解除して
    リモートコピーを実行するとき、正記憶制御装置は、現
    ボリューム鍵を未だ副記憶制御装置に転送していない場
    合、現ボリューム鍵を正記憶制御装置鍵暗号化鍵で復号
    化し、正副記憶制御装置間鍵交換鍵で暗号化して副記憶
    制御装置に転送し、副記憶制御装置は、正記憶制御装置
    から受領した現ボリューム鍵を、正副記憶制御装置間交
    換鍵で復号化し、副記憶制御装置鍵暗号化鍵で暗号化し
    て管理情報メモリの現ボリューム鍵の領域に設定し、正
    記憶制御装置は、以降の当該ボリュームのリモートコピ
    ー対象レコードを暗号化せずに副記憶制御装置に転送
    し、副記憶制御装置は、当該ボリュームの先頭から終端
    まで、レコードを一定数ずつドライブから読み出し、読
    み出したレコードを副記憶制御装置内の暗号機能に転送
    し、該暗号機能は、当該レコードのボリュームのボリュ
    ーム鍵を管理情報メモリから読み出して副記憶制御装置
    鍵暗号化鍵で復号化後、当該レコードを現ボリューム鍵
    で復号化してドライブに書き込むことを特徴とする請求
    項2記載の計算機システム。
  12. 【請求項12】 正記憶制御装置で暗号化し副記憶制御
    装置で復号化しないボリュームの復号化を指定してリモ
    ートコピーを実行するとき、正記憶制御装置は、現ボリ
    ューム鍵を未だ副記憶制御装置に転送していない場合、
    現ボリューム鍵を正記憶制御装置鍵暗号化鍵で復号化
    し、正副記憶制御装置間鍵交換鍵で暗号化して副記憶制
    御装置に転送し、副記憶制御装置は、正記憶制御装置か
    ら受領した現ボリューム鍵を、正副記憶制御装置間交換
    鍵で復号化し、副記憶制御装置鍵暗号化鍵で暗号化し管
    理情報メモリの現ボリューム鍵の領域に設定し、副記憶
    制御装置は、以降の当該ボリュームのリモートコピー対
    象レコードを復号化すると共に、当該ボリュームの先頭
    から終端まで、レコードを一定数ずつドライブから読み
    出し、読み出したレコードを副記憶制御装置内の暗号機
    能に転送し、該暗号機能は、当該レコードのボリューム
    のボリューム鍵を管理情報メモリから読み出して副記憶
    制御装置鍵暗号化鍵で復号化後、当該レコードを現ボリ
    ューム鍵で復号化してドライブに書き込むことを特徴と
    する請求項2記載の計算機システム。
JP2001010323A 2001-01-18 2001-01-18 計算機システム Pending JP2002215462A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001010323A JP2002215462A (ja) 2001-01-18 2001-01-18 計算機システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001010323A JP2002215462A (ja) 2001-01-18 2001-01-18 計算機システム

Publications (1)

Publication Number Publication Date
JP2002215462A true JP2002215462A (ja) 2002-08-02

Family

ID=18877661

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001010323A Pending JP2002215462A (ja) 2001-01-18 2001-01-18 計算機システム

Country Status (1)

Country Link
JP (1) JP2002215462A (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006060779A (ja) * 2004-07-20 2006-03-02 Ricoh Co Ltd 証明書送信装置、通信システム、証明書送信方法、プログラム及び記録媒体
JP2006127061A (ja) * 2004-10-27 2006-05-18 Hitachi Ltd 計算機システム、管理計算機、及びデータ管理方法
CN1303514C (zh) * 2003-03-27 2007-03-07 三洋电机株式会社 把应该隐藏的数据加密,输入输出的方法和装置
US7281098B2 (en) 2005-03-31 2007-10-09 Hitachi, Ltd. Computer system for remote copy
US7424607B2 (en) 2003-11-12 2008-09-09 Hitachi, Ltd. Authentication device and computer system
JP2010073188A (ja) * 2008-08-20 2010-04-02 Tokyo Institute Of Technology サーバ一体型icカードシステム
JPWO2008149458A1 (ja) * 2007-06-08 2010-08-19 富士通株式会社 暗号化装置、暗号化方法および暗号化プログラム
US8713315B2 (en) 2011-01-26 2014-04-29 Fuji Xerox Co., Ltd. Content distribution system, mobile communication terminal device, and computer readable medium
US9268961B2 (en) 2011-03-18 2016-02-23 Fujitsu Limited Storage system, storage control apparatus, and storage control method

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1303514C (zh) * 2003-03-27 2007-03-07 三洋电机株式会社 把应该隐藏的数据加密,输入输出的方法和装置
US7424607B2 (en) 2003-11-12 2008-09-09 Hitachi, Ltd. Authentication device and computer system
JP4671783B2 (ja) * 2004-07-20 2011-04-20 株式会社リコー 通信システム
JP2006060779A (ja) * 2004-07-20 2006-03-02 Ricoh Co Ltd 証明書送信装置、通信システム、証明書送信方法、プログラム及び記録媒体
JP4555049B2 (ja) * 2004-10-27 2010-09-29 株式会社日立製作所 計算機システム、管理計算機、及びデータ管理方法
JP2006127061A (ja) * 2004-10-27 2006-05-18 Hitachi Ltd 計算機システム、管理計算機、及びデータ管理方法
US7281098B2 (en) 2005-03-31 2007-10-09 Hitachi, Ltd. Computer system for remote copy
JPWO2008149458A1 (ja) * 2007-06-08 2010-08-19 富士通株式会社 暗号化装置、暗号化方法および暗号化プログラム
JP4941556B2 (ja) * 2007-06-08 2012-05-30 富士通株式会社 暗号化装置、暗号化方法および暗号化プログラム
US8782428B2 (en) 2007-06-08 2014-07-15 Fujitsu Limited Encryption device and encryption method
JP2010073188A (ja) * 2008-08-20 2010-04-02 Tokyo Institute Of Technology サーバ一体型icカードシステム
US8713315B2 (en) 2011-01-26 2014-04-29 Fuji Xerox Co., Ltd. Content distribution system, mobile communication terminal device, and computer readable medium
US9268961B2 (en) 2011-03-18 2016-02-23 Fujitsu Limited Storage system, storage control apparatus, and storage control method

Similar Documents

Publication Publication Date Title
KR102205654B1 (ko) 분산 환경에서의 신원 인증 방법
JP2730902B2 (ja) 通信システム
US6966001B2 (en) Computing system and data decryption method and computer system with remote copy facility
US5818939A (en) Optimized security functionality in an electronic system
EP0292790B1 (en) Controlling the use of cryptographic keys via generating station established control values
JP4698982B2 (ja) 暗号処理を行うストレージシステム
JP3193610B2 (ja) 通信システム
JP3656688B2 (ja) 暗号データ回復方法及び鍵登録システム
WO2020060094A1 (ko) 블록체인 네트워크를 구성하는 노드 장치 및 그 노드 장치의 동작 방법
US5706347A (en) Method and system for authenticating a computer network node
JP5552870B2 (ja) メモリ装置、ホスト装置、およびメモリシステム
KR102042339B1 (ko) 블록체인 시스템을 이용한 기기들간 암호화 통신 방법 및 시스템
JP2007018121A (ja) 記憶装置及び情報処理端末
JP2005295570A (ja) プライベートデータを露出せずに通信ネットワークを介してパスワードで保護されたプライベートデータを回復する方法およびシステム
JPS6122316B2 (ja)
JP2007096783A (ja) データ転送方法及びシステム
US9400876B2 (en) Content data management system and method
KR100810368B1 (ko) 그룹 내 문서에 대한 유출 방지 및 접근 제어 시스템
JP2002215462A (ja) 計算機システム
JP2002101087A (ja) 情報保管システム及び情報移動システム並びにそれらに用いる記憶媒体
WO2020255382A1 (ja) コンテンツ取引システム、コンテンツ取引方法、鍵管理装置、及び鍵管理プログラム
US6944300B2 (en) Method for migrating a base chip key from one computer system to another
JP2003110544A (ja) 暗復号装置及び方法
KR20200134187A (ko) 분산 환경에서의 신원 인증 방법
US20070234033A1 (en) Method for establishing secure distributed cryptographic objects