JP2005303981A - データストレージシステムにおける暗号化変換の方法と装置 - Google Patents

データストレージシステムにおける暗号化変換の方法と装置 Download PDF

Info

Publication number
JP2005303981A
JP2005303981A JP2004338348A JP2004338348A JP2005303981A JP 2005303981 A JP2005303981 A JP 2005303981A JP 2004338348 A JP2004338348 A JP 2004338348A JP 2004338348 A JP2004338348 A JP 2004338348A JP 2005303981 A JP2005303981 A JP 2005303981A
Authority
JP
Japan
Prior art keywords
data
block
encryption
read
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004338348A
Other languages
English (en)
Other versions
JP2005303981A5 (ja
JP4648687B2 (ja
Inventor
Nobuyuki Osaki
伸之 大崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Publication of JP2005303981A publication Critical patent/JP2005303981A/ja
Publication of JP2005303981A5 publication Critical patent/JP2005303981A5/ja
Application granted granted Critical
Publication of JP4648687B2 publication Critical patent/JP4648687B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Abstract

【課題】
「古くなった」暗号化されたデータは十分に強力な処理能力をもつ誰かによって不正アクセスをされやすい。したがって、暗号化されたデータを長期間保存するには、さらに強力な暗号化基準、たとえばより長いキーや強力なアルゴリズムなど、を提供するというニーズが存在する。
【解決手段】
データを暗号化し長期間に亘り保存する場合、悪意ある攻撃によって損傷されないように、暗号化キーそして/あるいはアルゴリズムは更新されなければならない。その目的のため、保存されている暗号化されたデータはストレージシステムの中で新しいセットの暗号化基準により変換される。この処理の間、読み出しリクエストと書き込みリクエストを処理することが可能である。
【選択図】 図1(a)

Description

01 本発明は一般にはストレージシステムに係わり、特にデータを長期に確実に保存するための暗号化ストレージ技術のシステムと方法に係わる。
02 ストレージシステムはネットワークベースのアーキテクチャの分野において進歩しつつある。代表的なアーキテクチャはネットワーク接続型ストレージシステム(NAS)やストレージエリアネットワークシステム(SAN)を含んでいる。ネットワーク接続が可能なストレージにより、企業はオペレーションを分散させ、そのユーザを全世界に配置することが可能になる。企業の各種の局面が、その分散されたユーザによってアクセス可能なデータに圧縮されるので、長期間の記憶がますます重要になる。さらに、政府の規制により電子メールなどのある種の情報を長期に亘り保存することが求められている。
03 しかしながら、ネットワークを経由してストレージシステムが接続されると、ストレージシステムへの無許可の侵入というセキュリティリスクが発生する。無法なサーバやスイッチ、および一般に「ハッカー」と呼ばれる者達が、データに無許可にアクセスしてネットワークを混乱させる。動作中そして/あるいは停止中においても、データを暗号化することでこれらのリスクを回避できる。
04 暗号化アルゴリズムは技術の影響を受け易く、データ処理技術の進歩がますます強力な計算システムを作りだし、現在の暗号化方式を打ち破るために使われ得る。現在は事実上アクセス不能と考えられている暗号化方式(一般にはデータを暗号化し復号化する暗号化基準)が今から数年後のプロセッサや暗号化エンジンにより破られる可能性がある。一つの解決方法は、このような時が到来したら、より強い暗号化を適用する、たとえばもっと暗号化キーを長くするとか、あるいはより進歩した暗号化アルゴリズムを用いる、あるいはこれら双方を用いるなどをして、計算するためのハードルを高くすることである。
05 しかしながら、これには暗号化したデータを長期に亘って保存しなければならないという問題をはらんでいる。第一に、データを一定期間保存する必要がある。時間が経過すると、利用可能な処理能力に比較して、「古くなった」暗号化データは暗号化が弱体化してしまう。このように、ある時点で確実とされた暗号化データも数年後には破られる可能性がある。暗号化データは利用できる必要性がある。したがって、「古くなった」暗号化されたデータは十分に強力な処理能力をもつ誰かによって不正アクセスをされやすい。したがって、暗号化されたデータを長期間保存するには、さらに強力な暗号化基準、たとえばより長いキーや強力なアルゴリズムなど、を提供するというニーズが存在する。
このように、ある時点で確実とされた暗号化データも数年後には破られる可能性がある。暗号化データは利用できる必要性がある。したがって、「古くなった」暗号化されたデータは十分に強力な処理能力をもつ誰かによって不正アクセスをされやすい。したがって、暗号化されたデータを長期間保存するには、さらに強力な暗号化基準、たとえばより長いキーや強力なアルゴリズムなど、を提供するというニーズが存在する。
06 本発明の一つの態様には、ストレージシステムに記憶されたデータを第1の暗号化から第2の暗号化に変換することが含まれる。第1の暗号化は第1の暗号化基準に基づいている。第2の暗号化は第2の暗号化基準に基づいている。変換処理の間、I/Oリクエストを受信し処理することが出来る。
07 本発明の他の態様においては、データが当初暗号化されない形式で記憶されているストレージシステム上のデータを変換することが含まれる。この変換はデータを暗号化することも含んでいる。変換処理の間、I/Oリクエストを受信し処理することが出来る。
08 本発明の特徴や利点や新規性は付図に関連した本発明の以下の説明により明確となる。
データを暗号化し長期間に亘り保存する場合、悪意ある攻撃によって損傷されないように、暗号化キーそして/あるいはアルゴリズムは更新されなければならない。その目的のため、保存されている暗号化されたデータはストレージシステムの中で新しいセットの暗号化基準により変換される。この処理の間、読み出しリクエストと書き込みリクエストを処理することが可能である。
09 以下の議論に於いて、暗号化と復号化のような暗号処理に関する議論の文面に用いられる「基準」という用語は、一連の暗号化アルゴリズム、特定の暗号化アルゴリズム、特定の暗号化アルゴリズムに用いられる1個あるいは複数のキーなどを意味するものとする。暗号化基準は、暗号化されたデータを作成するために暗号化されていない(「クリア」な)データに適用され、逆の場合にはクリアなデータを作成するために暗号化されたデータを復号化する、暗号化あるいは復号化キー、そして/あるいはアルゴリズム、のような情報を意味する。
10 図1(a)は本発明によるストレージシステム102を説明するための実施例を示す。ホストデバイス101はインターフェイス103を経由してストレージシステム102とデータコミュニケーション状態にある。図1(a)は議論を目的に単純化されているが、当然さらなるインターフェイスやホストデバイスが追加可能である。ホストデバイス101は、ストレージシステムにより処理される読み出しリクエストや書き込みリクエストを含むI/Oリクエストを作ることにより、ストレージシステム102とデータの交換を行う。ホストデバイス101とストレージシステム102の間のデータコミュニケーションはインターフェイス103を経由して行われる。
11 ストレージシステム102は物理ストレージコンポーネント104を含んでいる。物理ストレージコンポーネント104は、適当な如何なるストレージアーキテクチャでもよいことをご理解いただきたい。一般的なアーキテクチャは、RAID(Redundant Array of Inexpensive Disks)とJBOD(Just a Bunch of Disks)を含んでいる。議論を目的として、このストレージコンポーネント104は、そのデータがいろいろと「データのブロック」や「データブロック」や「ブロック」として示されるデータユニット109に物理的に記憶されるものとして性格付けされる。
12 ホストデバイス101からのI/Oリクエストを処理するストレージシステムのコントロールコンポーネントは、処理ユニット110とメモリーコンポーネント105で構成されている。処理ユニット110とメモリーコンポーネント105は、適宜任意の配列で構成することが可能であることは言うまでもないことである。たとえば、特定の実施例では、処理ユニット110とメモリー105はコントローラデバイスに統合(細線で表示、122)することが可能である。
13 内部バス112はストレージシステム102の構成コンポーネント間のシグナルパスとデータパスの機能を持つ。たとえば、内部バス112はインターフェイス103とプロセッサ110との間の接続をする。内部バス112は物理ストレージコンポーネント104でデータの交換を行うためのインターフェイスの機能を持っている。
14 ストレージシステム102は、コミュニケーションネットワーク142上のコミュニケーションのためのネットワークインターフェイス111を装備することが可能である。ネットワークインターフェイス111により、ネットワークに接続されたデバイスがストレージシステム102にアクセスすることが可能になる。以下に説明するように、ネットワークインターフェイス111により、ストレージシステム102がネットワーク(たとえばインターネットやLAN等)にアクセスして情報を得ることが可能になる。
15 メモリーコンポーネント105は一般に、ストレージシステム102の各種の機能を遂行するために、処理ユニット110が実行するプログラムコードを含んでいる。これはホストデバイス(たとえばホストデバイス101)からのI/Oリクエストを処理することとネットワークインターフェイス111を経由してネットワーク上で通信することを含んでいる。たとえば読み出しリクエストを考えてみる。一般に、読み出しリクエストの処理は、アクセスしたブロック位置からデータ(読み出しデータ)を読み出すために、物理ストレージコンポーネント104上の1個ないしはそれ以上のブロック位置にアクセスすることを伴う。次いで、読み出しデータは要求元のデバイスに送られる。同様に、書き込みリクエストは、一般に、書き込みリクエストに関連した1個ないしはそれ以上のブロックを物理ストレージデバイス104上のブロック位置に書き込むことで処理される。
16 メモリーコンポーネント105はさらに、総合的に暗号化コンポーネント124と呼ばれるプログラムコードを含んでいる。図1(a)に示す本発明の実施例においては、暗号化コンポーネント124は第1の暗号化基準106(あるいは第1の暗号化処理)と第2の暗号化基準107(あるいは第2の暗号化処理)で構成される。暗号化基準106と107は、暗号化と復号化を行うプログラムコードで構成される。本発明の一つの態様においては、第1の暗号化基準106は第2の暗号化基準とは異なっており、オリジナルのデータを第1の暗号化基準を用いて暗号化することにより、オリジナルデータに第2の暗号化基準を適用して生成した暗号化データとは異なった暗号化データが生成される。使用される暗号化基準は、暗号化データと暗号化されていないデータが同じ大きさであるという特性を持つことが望ましい。このようにして、データの256バイトのブロックを暗号化すると暗号化されたデータの256バイトのブロックが生成される。このデータの大きさが同じであるという特性は、本発明の一つの態様を構成するものではない。しかしながら、同じデータのサイズを保証するということで、本発明を実行することが容易になるということは当然である。
17 ストレージシステム102は暗号化基準106と107を外部の資源から得ることが出来る。たとえば、ストレージシステム102は暗号化基準を得るためにコミュニケーションネットワーク142を経由して資源132にアクセスすることができる。このようにして、アドミニストレータは基準を提供することが出来る。
18 図1(b)は、暗号化動作を行うために、暗号化コンポーネント124'がハードウエア暗号化エンジンで構成されている、本発明の別の実施例を示す。暗号化/復号化ハードウエアは公知であり、一般に暗号化と復号化動作を高速で行うために専用化された論理回路を含んでいる。暗号化エンジン124’は、第1の暗号化基準に従って暗号化と復号化を行うように構成された第1の論理106'と、第2の暗号化基準に従い暗号化と復号化を行う第2の論理107'を含むことができる。別の場合では、暗号化エンジン124'は、一方は第1の暗号化基準に対応し、他方は第2の暗号化基準に対応する二つの暗号化エンジンで構成することができる。以下において議論するように、こうすることにより新しい暗号化基準をインストールするのが容易になる。
19 与えられた環境に於いては、ソフトウエアベースの暗号化と復号化手段に比較すると、ハードウエアエンジンを用いる方が好ましい。たとえば、技術が進歩すると、暗号化処理のためには処理コンポーネント110は陳腐化する可能性がある。このことは、ソフトウエアベースの暗号化コンポーネントの究極の能力には限界があることを意味している。もし新しい暗号化処理がプラグイン交換式の物理デバイスで行われる場合には、プラグイン交換式の物理デバイスは最新のハードウエア技術を用いることが出来るので、処理コンポーネント110との結びつきを絶つことが出来る。以下の議論に於いて、暗号化処理能力は、ハードウエア、ソフトウエア、およびハードウエアとソフトウエアの組み合わせで発揮されることは当然理解されることである。異なった暗号化基準は参照番号106と107で示されている。
20 図1(a)に示される本発明の実施例では、当初データは暗号化された形式で物理ストレージデバイス104上に記憶される。より詳細には、ホストデバイスが書き込みリクエストによってストレージシステム102に暗号化されていないデータを書き込む際に、このデータは第1の暗号化基準106を用いて暗号化される。生成された1個ないしはそれ以上の暗号化されたデータのブロックは、次いで物理ストレージデバイス104に記憶される。ホストデバイスから送られたデータは事実上ある形式の暗号化データであり得ることを注記する。たとえば、ホストで実行中のアプリケーションはストレージシステム102に記憶される暗号化された出力を生成する可能性がある。しかしながら、このようなデータは、第1の暗号化基準106によりストレージシステム102で処理されるまで「暗号化された」とは見なされない。
21 ホストデバイスが読み出しリクエストを発行すると、1個ないしはそれ以上のデータのブロックが物理ストレージデバイスから読み出される。復号化されたデータのブロックを生成するために、データのブロックに第1の暗号化基準を適用することで、暗号化された形式でデータのブロックを復号化する。リクエストされたデータは復号化されたデータブロックから読み出され、ホストデバイスに送り返される。
22 図2は本発明による変換処理を行うための高レベルの処理ステップを示す。一般に、変換処理は、第1の暗号化基準106に従って暗号化されたブロックを、第2の暗号化基準107に従って暗号化されたブロックへ変換する。
23 第1のステップ201では、何らかの設定処理を行うことが必要かもしれない。上述の特定の実施例では、物理ストレージデバイス104は、1から始まる番号(たとえば図1(a)のブロック#1)が順番につけられた複数のブロックで構成されるものとする。変換はブロック毎に行われ、ブロック#1から始まり連続して行われる。このようにして、次に変換すべきデータのブロックを識別するために、「処理済の位置」を示す基準あるいはポインター108が与えられ、イニシアライズしてブロック#1を識別する。
24 さらに、暗号化と復号化のための基準106と107は、使用されている詳細条件によっては何らかのイニシアライズが必要になるかもしれない。たとえば、変換の時までは、第2の暗号化基準107を用いる必要はない。したがって、ストレージシステム102が第2の暗号化基準107を持っていない可能性もある。このように、イニシアライズするステップには、第2の暗号化基準107と識別される基準を得ることも含まれる。これはアドミニストレータ(図1(a))によりアドミニストレーションポート103aを経由するか、ネットワークによる等により実行される。暗号化エンジンの場合は、アドミニストレータは、新しい暗号化エンジンを構成するハードウエアを挿入するか、もしくは設定する必要があるかもしれない。
25 ステップ202では、「処理済の位置」基準108により識別されたデータのブロックに対する物理ストレージデバイス104上のブロック位置がアクセスされる。このブロック位置において、データブロックが物理ストレージデバイス104から読み出される。上記で論じたように、データは最初は第1の基準106に従って暗号化されている。したがって、ステップ203では、暗号化されていないデータブロックを生成するために第1の基準106を用いて復号化される。ステップ204で、第2の暗号化基準107が復号化されたデータブロックに適用され、いまや第2の暗号化基準107に従って暗号化されている変換済のデータブロックを生成する。変換済のデータブロックは、最初にステップ202で読み出された物理ストレージデバイス104上のブロック位置に書き戻される(ステップ205)。
26 ステップ202は本発明の一つの態様を強調している。以下に論じられるように、図1(a)に示す本発明の実施例では、ファイルシステムは、もしあるとした場合は、ストレージシステムの外部に保持されるものと想定する。ファイルシステムでは、データは高いレベルの構成となっており、たとえばデータはファイルとディレクトリ等々に構成されている。したがって、ファイルシステムはファイル(たとえばファイル−A)とファイル−Aで構成されるデータブロックのマッピングを行い、その要素となるファイルで構成されるブロックのブロック位置情報を保持する。このように、ステップ202では、変換済のデータブロックは、物理ストレージデバイス104上で対応する変換されていないデータブロックと同じ位置に書き込まれる。これにより、ホストデバイス101のファイルシステムからみると、物理ストレージデバイス上のデータの位置が保持される。したがって、ホストデバイス101のファイルシステムに関する限り、変換は透過的に行われる。
27 図2についてさらに続いて、「処理済の位置」基準108の値がステップ206で増やされ、変換する次のデータのブロックを識別する。ステップ207では、物理ストレージデバイス104上のすべてのデータブロックが変換されたかの判定が行われる。もし未完ならば、ステップ208に於いてステップ202と同様なやり方で次のデータのブロックが読み込まれる。次に処理はステップ203からすべてのブロックが変換されるまで継続される。
28 変換処理が完了すると、物理ストレージデバイス104上のデータの各ブロックは、第2の暗号化基準107に従って暗号化されたことになる。暗号化基準106を暗号化基準107を構成する基準で置き換えるために、ハードウエア、ソフトウエアあるいは機械的な置換機構をストレージデバイス102に装備することが可能である。たとえば初期条件として、第1の基準106は56ビット長のキーを持つDES(Data Encryption Standard−データ暗号化規格)で構成され、第2の基準107は256ビット長のキーを持つAES(Advanced Encryption Standard−アドバンスド暗号化規格)で構成されるものと仮定する。変換処理が完了すると、置換機構が第1の基準106を第2の基準107の256ビット長のキーを持つAES(Advanced Encryption Standard)で置き換える。第2の暗号化基準107とされる新しい基準は、次の変換処理に先立つある時点で明らかになる。
29 もし第2の暗号化基準107が第1の暗号化基準106より強力な暗号化を特徴とするならば、おそらく第1の暗号化基準を用いて暗号化されたデータを解読するより、第2の暗号化基準を用いて暗号化されたデータを解読するほうがより強力な処理能力が必要になる。その結果、本発明の変換処理を用いることにより、技術が進歩して第1の暗号化基準がもはや不法侵入に対してセキュリティーが十分ではなくなった時点で、ストレージシステム102に記憶されている暗号化されたデータの暗号化能力を増強させることが出来る。たとえば、上記の例に於いて、最近のデータ処理能力が容易にAESの暗号化を破り得ると判断されると、新しい基準が設定される。より長いキーが使用されるとか、より強力なアルゴリズムが実用されるとかである。このような場合には、アドミニストレータは第2の暗号化基準107のような新しい基準を提供し、別の変換処理を開始することが出来る。ある形式のハードウエア暗号化エンジンを使用する本発明の他の実施例では、新しい基準はプラグイン式のハードウエアであるかもしれない。
30 本発明の他の態様は、変換処理の間におけるI/Oリクエストの処理である。このように、物理ストレージデバイス104上のデータのブロックが一つの暗号化方式から他の暗号化方式に移行中であっても、ストレージシステムとホストデバイスや他のデータユーザ間とのI/Oは利用可能である。本発明のこの態様についてここでさらに詳細に論じる。
31 図3は読み出しリクエストの処理を行うフローを示す。図1(a)に示す本発明を説明するための実施例において、上述したように、ホストデバイス101とストレージシステム102の間のデータI/OはブロックレベルI/Oである。ステップ301で、ストレージシステム102が物理ストレージデバイス104の1個ないしはそれ以上のデータのブロックを読み出すよう読み出しリクエストを受信すると、対応する物理ストレージデバイス104の読み出しリクエストで指定されたブロックの位置がアクセスされ、データブロックが読み出される(ステップ302)。
32 もし変換処理が行われていない場合は、アクセスされたデータブロックは、上記で論じたように、第1の暗号化基準106を用いて復号化される。もし変換処理が行われている場合は、次のステップ303では、各アクセスされたデータブロックについてそのデータブロックが変換されているか否かが判定される。図1(a)に示す実施例により、アクセスしたブロックのブロック番号と「処理済の位置」基準108とを照合することで判定が行われる。
33 物理ストレージデバイス104のデータのブロックには連続して番号がつけられており、変換処理は最小のブロック番号から昇順に進行し、「処理済の位置」基準108より値の低い番号のブロックは変換済みデータブロックを意味する。したがって、ステップ305では、復号化したデータブロックを生成するデータのブロックなどには第2の暗号化基準107が適用される。逆に、「処理済み位置」基準108より大きいかあるいは同じブロック番号は変換されていないデータブロックを意味する。したがって、ステップ304では、復号化したデータブロックを生成するデータのブロックなどには第1の暗号化基準106が適用される。次に、ステップ306では、データは復号化されたデータブロックから読み出され、最終的には読み出しリクエストを処理するためにホストデバイス101に送り返される。
34 図4は書き込みリクエストの処理を行うフローを示す。書き込みリクエストは書き込みデータを含んでいる。I/OはブロックレベルI/Oであるので、書き込みリクエストは、書き込みデータのブロックに対して対象ブロック位置を指定する。
35 ステップ401では、ストレージシステム102が書き込みリクエストを受信する。もし変換処理が行われていない場合は、暗号化されたブロックを生成するために、各書き込みブロックに第1の暗号化基準106が適用される。つぎに、暗号化されたブロックは書き込みリクエストで指定されたブロック位置に書き込まれる。
36 もし変換処理が行われている場合は、各書き込みデータのブロックについて、ステップ402で、どの暗号化基準を適用するか決定される。書き込まれるブロックの対象ブロック位置は「処理済の位置」基準108と比較される。もしブロック位置が基準108より小さい場合は、ブロック位置は既に変換が終了している一式のデータブロックに含まれているので、第2の基準107が書き込まれるブロックに適用される。もしブロック番号が基準108より大きいかあるいは同じ場合は、ブロック位置が未だ変換されていない一式のデータブロックに含まれているので、書き込まれるブロックには第1の基準106が適用される。つづいて、正しく暗号化されたデータブロックは物理ストレージデバイス104に書き込まれる。
37 前述のことから理解されるように、「処理済の位置」基準108の単純な機構により、変換が完了したデータブロックのセット(「変換済のセット」)と変換が完了していないデータブロックのセット(「変換されていないセット」)が識別される。特定のアクセスしたデータブロック(読み出しあるいは書き込みのための)がどのセットに属するかを判別することにより、データブロックを暗号化あるいは復号化するために適切な基準が適用される。したがって、当業者は、与えられた物理ストレージ方式に対して、データブロックが変換済かあるいは変換されていないかを追跡するために、一層適切な他の技術を考えることもできよう。
38 上述のように、ストレージシステム102上の暗号化されたデータの変換を備えることにより、記憶され暗号化されたデータが変換され、新しい暗号化基準のセットに従って暗号化される。このようにして、データ処理技術の進歩に対応してストレージシステム上のデータに一層強力な暗号化を定期的に適用することができ、暗号を破ろうとすることに対してデータの弾力性を維持できる。さらに、変換はオンライン方式で行われるので、ライブシステム上で変換を実行することが可能になる。ユーザは、変換処理の間に暗号化されたストレージシステムに、透過的な形式でアクセスが出来る。ストレージシステムから読み出されたデータは正しく復号化される。ストレージシステムに書き込まれるデータは正確に暗号化される。ストレージシステムにおける本発明による処理は、I/Oリクエストを処理しながら、変換を確実に完了させるものである。
39 前述により、各種の代替の実施例が可能になることは明らかである。たとえば、図5はストレージ装置514の構成であって、暗号化コンポーネントはストレージシステム502の外部に設けられていることを示す。
40 ストレージ装置514は、ホストデバイス101とのデータ接続のためにインターフェイス503を含んでいる。インターフェイス504はストレージシステム502への適切なデータ接続を可能にする。ストレージ装置514のハードウエアは、処理コンポーネント515とメモリコンポーネント505を含む。メモリー505に記憶されているプログラムコードは処理コンポーネント515により実行され、ストレージシステム502にアクセスしてホストデバイス101から受信したI/Oリクエストを処理する。プログラムコードは、第1の暗号化基準506と第2の暗号化基準507を含む暗号化コンポーネント524を含む。図1(b)に示されているように、暗号化エンジンの周りに暗号化コンポーネント524が設置され得ることは明らかである。ネットワークインターフェイス511は、上記で論じられたネットワークインターフェイス111が設定されるのと多分に同じように、そこを通して暗号化基準を得るポートとして設定される。
41 ストレージ装置514の運用は、上記図2〜4に示す処理に従って行われる。たとえば、ホストデバイス101はストレージ装置514にブロックレベルI/Oリクエストを発行する。次に、ストレージ装置は、ストレージシステム502と、インターフェイス504と103の間のデータパスを介して交信する。暗号化コンポーネント524が、図1(a)に示す内部バス112の代わりに、インターフェイス504と103によって物理ストレージデバイス104と交信することを除き、変換処理は図2に示すように行われる。同様に、変換処理の間にI/O処理が図3と図4により行われる。
42 本発明の他の態様に於いては、ストレージシステム102上のデータは最初は暗号化されていない形式で記憶されている。これはデータが暗号化されていない在来のシステムを本発明の暗号ストレージ技術を用いて更新する際に役に立つ。実際には、本発明のこの態様は、第1の暗号化基準106が、最初は基準が無いことを意味する「NULL(無し)」である、特殊な場合である。図2の変換処理は最初の変換に適用可能であることは当然理解されるものである。第1の基準がNULLであるので、何も行わない復号化ステップ203は事実上スキップされる。もし最初の変換処理の間にI/Oリクエストが行われると、同様の考慮が払われる。このように、もし読み出しリクエストに応じてアクセスされたブロックのブロック位置が「処理済の位置」基準108より大である場合は、図3の復号化ステップ304は事実上実行されない。同様に、書き込みリクエストについては、もし書き込まれるブロックのブロック位置が「処理済の位置」基準108より大である場合は、暗号化ステップ403は事実上実行されない。
43 図5のストレージ装置の実施例は、在来のストレージシステムを更新する際に利用できる。適正に構成されたストレージ装置514を、ホストデバイスと在来のストレージシステムとの間に接続することが出来る。図3と図4に従ってI/Oリクエストを処理しながら、図2による最初の変換を実行することが出来る。初期には暗号化されていない在来のストレージシステム上で最初の変換処理が完了すると、このストレージシステムは図1(a)に関連して説明した暗号化されたストレージシステムになる。最初の変換で用いた基準が第1の暗号化基準106になる。
44 時が経ち、技術が進歩すると、改善された技術に打ち勝つために新しい暗号化基準が必要と判断される場合があるであろう。アドミニストレータはストレージ装置にアクセスし、新しい暗号化基準をインストールし、改善された暗号を実施するために図2に従って変換を開始する。その間、ホストデバイスは、図3と図4に示すように、変換処理の間にもデータに継続してアクセス出来る。
45 図6(a)は本発明のさらに別の実施例を示す。上述のように、図1(a)に示す本発明の実施例では、ホストデバイスにファイルシステムあるいは他の形式の高レベルのデータ機構が存在するものとしている。図6(a)に示す実施例では、ファイルシステムはストレージシステム602に実装されており、たとえばNASのアーキテクチャは一般的にこのように構成されている。ホストデバイス601は、ストレージシステム602にファイルレベルのI/Oリクエストを行う。ストレージシステム602は、第1と第2の暗号化基準106と107で構成される暗号化コンポーネント124を含んでいる。
46 ホストデバイス101がストレージシステム602にデータアクセス(読み出しあるいは書き込み)を要求する場合は、ファイルレベルのリクエストが発行される。リクエストは、ストレージシステム602によるブロックレベルI/O動作に変換することが可能で、その結果物理ストレージデバイス104にアクセスしてファイルレベルリクエストの処理が出来る。ストレージシステム602のファイルシステムコンポーネントが、ファイルレベルリクエストを処理するために、ブロックレベルI/Oを実行するので、ストレージシステムが上記で論じた図2から図4による変換処理とI/Oリクエストを実行できることは当然理解されるものである。
47 図6(a)の実施例においては、ファイルシステムはストレージシステム602に駐在する。これによりデータブロックを変換するために選ばれる順序に自由度が生じる。図2に於いては、データブロックは、最小のブロック番号から昇順で選ばれる。しかしながら、特定のファイルあるいはファイルのセットに所属するデータブロックを変換する方が望ましい場合もあるであろう。一般には、たとえば特定の形式のファイルとか特別の変更日を持つファイルなど、ある種の1個ないしはそれ以上の基準により決められる特定のデータブロックのセットを変換することが望ましいであろう。当業者は、特定のデータのブロックの選択が指定できることを認識するであろう。たとえば、特定のファイルのセットのデータブロックの変換を希望する場合は、ブロックは、選択されたファイルのデータブロックのアドレスを示すデータアドレステーブルを用いて指定できる。このようなデータアドレステーブルは一般にファイルシステム613により保持されている。処理済の位置基準108は、たとえば第2の暗号化基準により既に変換されているデータブロックのアドレスのリストのような、ファイルシステムの実装内容に従い、実施することが出来る。ステップ303と402(図3と図4)で、このリストを検索し、I/Oリクエストを処理するためにブロックがすでに変換されているか、否かを判断することができる。
48 図6(b)は図1(b)と同様な実施例であり、図6(a)で示されている暗号化コンポーネント124がハードウエアベースの暗号化エンジン124'として実装されている。図1(b)の場合のように、エンジンは純粋に論理だけ、あるいは論理とファームウエアの組み合わせである。たとえば、エンジンは異なったアルゴリズムを記憶するファームウエアを持つ特殊なDSPで構成されることもある。
図1(a)は本発明によるストレージシステムを説明するための実施例を示す一般的なブロックダイアグラムである。 図1(b)は図1に示すストレージシステムの別の実施例を示している。 図2は本発明を説明するための実施例における変換動作のステップを示す高レベルフローダイアグラムである。 図3は本発明を説明するための実施例における読み出し動作のステップを示す高レベルフローダイアグラムである。 図4は本発明を説明するための実施例における書き込み動作のステップを示す高レベルフローダイアグラムである。 図5は本発明によるストレージシステムの他の実施例を示す一般的なブロックダイアグラムである。 図6(a)は本発明によるストレージシステムのさらに他の実施例を示す一般的なブロックダイアグラムである。 図6(b)は図6(a)の実施例においてハードウエア暗号化を用いる場合を示している。
符号の説明
101 … ホスト(ファイルシステム)
103 … I/O I/F
103a … アドミニストレータ
104 … ディスク
106 … 暗号1
107 … 暗号2
108 … 処理済の位置
110 … CPU
111 … ネットワークI/F
132 … 基準

Claims (26)

  1. ストレージシステムに於いて、
    対応する第2の暗号化基準により暗号化された変換済のデータのブロックを生成するために、第1の暗号化基準により暗号化された暗号化データのブロックを変換するステップと、
    前記ストレージシステムから読み出しデータにアクセスするために前記変換するステップの間に読み出しリクエストを受信し、それに応答して、もし該読み出しデータが暗号化されたデータのブロックに記憶されている場合は少なくとも1個の復号化されたデータのブロックを生成するために前記第1の暗号化基準を用いて該読み出しデータを復号化し、もし該読み出しデータが変換済のデータのブロックに記憶されている場合は少なくとも1個の復号化されたデータのブロックを生成するために前記第2の暗号化基準を用いて該読み出しデータを復号化して、該少なくとも1個の復号化されたデータのブロックから該読み出しデータにアクセスするステップと、
    前記ストレージシステムに書き込みデータを記憶するために前記変換するステップの間に書き込みリクエストを受信し、それに応答して、もし書き込まれるデータで構成される第1のデータのブロックが暗号化されたデータのブロックを対象にしている場合は該第1のデータのブロックを生成するために前記第1の暗号化基準を用いて該データのブロックの少なくとも幾つかを暗号化し、もし該第1のデータのブロックが変換済のデータのブロックを対象にしている場合は該第1のデータのブロックを生成するために前記第2の暗号化基準を用いて該データのブロックの少なくとも幾つかを暗号化して、前記ストレージシステムに少なくとも該第1のデータのブロックを書き込むステップと、
    から成ることを特徴とする暗号化したデータ記憶の方法。
  2. 前記変換するステップは、各暗号化されたデータのブロックをそれに対応する変換済のデータのブロックで置き換えるステップを含むことを特徴とする請求項1に記載の方法。
  3. 暗号化と復号化する前記ステップの幾つかは、データ処理コンポーネント上でコンピュータプログラムコードを実行するステップを含むことを特徴とする請求項1に記載の方法。
  4. 請求項3に於いて、さらに、コミュニケーションネットワーク上で前記暗号化と復号化基準の少なくとも一つにアクセスするステップを含むことを特徴とする方法。
  5. 暗号化と復号化する前記ステップの幾つかは、暗号化動作を実行するように構成された論理回路により実行されることを特徴とする請求項1に記載の方法。
  6. 前記読み出しリクエストはファイルレベルの読み出しリクエストであり、前記読み出しデータにアクセスする前記ステップは、前記ファイルレベルの読み出しリクエストに基づいて1個ないしはそれ以上のブロックレベル読み出しリクエストを生成するステップを含むことを特徴とする請求項1に記載の方法。
  7. 前記書き込みリクエストはファイルレベルの書き込みクエストであり、少なくとも第1のデータのブロックを書き込む前記ステップは、前記ファイルレベルの書き込みリクエストに基づいて1個ないしはそれ以上のブロックレベルの書き込みリクエストを生成するステップを含むことを特徴とする請求項6に記載の方法。
  8. 前記ファイルレベル読み出しリクエストと前記ファイルレベル書き込みリクエストは、ホストデバイスから受信することを特徴とする請求項7に記載の方法。
  9. 第2のデータブロックを生成するために第1のデータブロックを暗号化するステップと、各第1のデータブロックを対応する第2のデータブロックで置き換えるステップとを含む、対応する該第2のデータブロックを生成するためにストレージシステムの該第1のデータブロックを変換するステップと、
    第3のデータブロックにアクセスするステップと、もし該第3のデータブロックが前記第2のデータブロックの一つであるなら読み出しデータをそこから読み出せるように復号化されたデータブロックを生成するために該第3のデータブロックを復号化するステップとを含む、読み出しリクエストに応答して前記ストレージシステムから該読み出しデータにアクセスするステップと、
    から成り、
    前記変換するステップが前記ストレージシステムへの読み出しアクセスを妨げないように前記変換するステップの間に読み出しデータにアクセスする前記ステップを実行することを特徴とする、ストレージシステム上に暗号化されたデータを記憶する方法。
  10. 請求項9に於いて、さらに、もし書き込まれるデータで構成される第4のデータブロックが前記第2のデータブロックの一つに書き込まれるのであれば該第4のデータブロックを暗号化するステップを含む書き込みリクエストに応答して前記ストレージデバイスに該第4のデータブロックを記憶するステップから成り、前記記憶するステップは前記変換するステップが前記ストレージシステムへ書き込みアクセスすることを妨げないように前記変換するステップの間に実行されることを特徴とする方法。
  11. 前記第1のデータブロックは暗号化されていないことを特徴とする請求項9に記載の方法。
  12. 前記第1のデータブロックは第1の暗号化基準で暗号化され前記第2のデータブロックは第2の暗号化基準により暗号化され、前記方法はさらに第1のデータブロックを暗号化する前記ステップの前に、該第1のデータブロックを復号化するために第1の復号化基準を該第1のデータブロックに適用するステップを含むことを特徴とする請求項9に記載の方法。
  13. 前記第3のデータブロックを復号化する前記ステップは、前記復号化されたデータブロックを生成するために、もし該第3のデータブロックが前記第1のデータブロックの一つに属している場合は第1の復号化基準を該第3のデータブロックに適用するステップを含み、もし該第3のデータブロックが前記第2のデータブロックの一つに属している場合は第2の復号化基準を該第3のデータブロックに適用するステップを含むことを特徴とする請求項12に記載の方法。
  14. 請求項13に於いて、さらに、
    もし書き込まれるデータで構成される第4のデータブロックが前記第1のデータブロックの一つに書き込まれる場合は該第4のデータブロックを前記第1の暗号化基準で暗号化し、
    もし前記第4のデータブロックが前記第2のデータブロックの一つに書き込まれる場合は該第4のデータブロックを前記第2の暗号化基準で暗号化するステップを含む、
    書き込みリクエストに応答して前記第4のデータブロックを前記ストレージデバイスに記憶するステップから成り、
    前記変換するステップが前記ストレージシステムへの書き込みアクセスを妨げないように変換する前記ステップの間に前記記憶するステップを実行することを特徴とする方法。
  15. ストレージコンポーネントと、
    前記ストレージコンポーネントとデータコミュニケーションし、各々が該ストレージコンポーネント上でかつ対応する変換されていないブロックの同じ位置において対応する変換されていないデータのブロックと置き換わる、対応する変換済のデータのブロックを生成するためにそこに記憶された変換されていないデータのブロックを変換することが可能な暗号化コンポーネントと、
    を有し、
    前記暗号化コンポーネントはさらに変換されていないデータのブロックが変換されて変換済のデータのブロックになる間に前記ストレージコンポーネント上に記憶されたデータの読み出しと書き込みのリクエストを受信することが可能であり、
    前記暗号化コンポーネントはさらに前記ストレージコンポーネントからの読み出しリクエストに関連した読み出しブロックにアクセスして該読み出しリクエストを処理することが可能であり、もし読み出しブロックが変換されていない場合は暗号化されていない読み出しブロックを生成するために該読み出しブロック上に第1の暗号化処理を実行し、もし該読み出しブロックが変換済の場合は該暗号化されていない読み出しブロックを生成するために該読み出しブロック上に第2の暗号化処理を実行し、
    前記暗号化コンポーネントはさらに前記ストレージコンポーネントからの書き込みリクエストに関連した1個ないしはそれ以上の書き込みブロックを書き込むことにより該書き込みリクエストを処理することが可能であり、もし書き込みブロックが変換されていないブロックを含むブロック位置に書き込まれる場合は該書き込みブロックを書き込む前に該書き込みブロック上に前記第1の暗号化処理を実行し、もし書き込みブロックが変換済のブロックを含むブロック位置に書き込まれる場合は該書き込みブロックを書き込む前に該書き込みブロック上に前記第2の暗号化処理を実行する、
    ことを特徴とするストレージシステム。
  16. 請求項15に於いて、さらに、1ないしはそれ以上のホストデバイスからのファイルレベルの読み出しと書き込みリクエストを受信し、該ファイルレベルの読み出しと書き込みリクエストに基づき前記読み出しと書き込みリクエストを生成し、該読み出しと書き込みリクエストを前記暗号化コンポーネントに伝達するように構成されるファイルシステムコンポーネントを有することを特徴とするストレージ装置。
  17. 前記ストレージコンポーネントはI/Oインターフェイスを有し、前記暗号化コンポーネントは第1のI/Oインターフェイスと第2のI/Oインターフェイスを有し、該第1のI/Oインターフェイスはホストデバイスと交信するように構成され、該第2のI/Oインターフェイスは前記ストレージコンポーネントの該I/Oインターフェイスとデータを交信することを特徴とする請求項15に記載のストレージ装置。
  18. 前記暗号化コンポーネントは1個ないしはそれ以上の暗号化エンジンを有することを特徴とする請求項15に記載のストレージ装置。
  19. 前記暗号化コンポーネントは、さらに、変換されていないデータのブロックを変換済のデータのブロックに変換する前に前記第2の暗号化処理を指定する基準を得ることが可能であることを特徴とする請求項15に記載のストレージ装置。
  20. 前記第1の暗号化処理が「ナル(NULL)」処理であることを特徴とする請求項15に記載のストレージプロセス。
  21. ホストデバイスからファイルレベルI/Oリクエストを受信するステップと、
    各データのブロックに対して、
    暗号化されていないデータのブロックを生成するために前記データのブロックの第1の復号化を行うステップと、
    暗号化されたデータのブロックを生成するために、前記暗号化されていないデータのブロックの第2の暗号化を行うステップと、
    前記データのブロックを重ね書きするステップと、
    を含む、ストレージシステムに記憶されたデータのブロックを変換するステップと、
    前記変換するステップの間に、ファイルレベル読み出しリクエストを受信し実行するステップと、
    前記変換するステップの間に、ファイルレベル書き込みリクエストを受信し実行するステップと、
    から成り、
    前記ファイルレベル読み出しリクエストを実行するステップは、
    1個ないしはそれ以上のブロックレベル読み出し動作を生成するステップと、
    どの様に暗号化されたかにより前記第1あるいは第2の復号化のいずれかにより前記ブロックレベル読み出し動作における対応するブロックを復号化するステップと、から成り、
    前記ファイルレベル書き込みリクエストを実行するステップは、
    1個ないしはそれ以上のブロックレベル書き込み動作を生成するステップと、
    もし前記第1の暗号化により暗号化されたデータを含む前記ストレージシステムのブロック位置を対象にする場合は、該第1の暗号化により前記ブロックレベル書き込み動作の対応するデータのブロックを暗号化するステップと、
    もし前記第2の暗号化により暗号化されたデータを含む前記ストレージシステムのブロック位置を対象にする場合は、該第2の暗号化により前記ブロックレベル書き込み動作の前記対応するデータのブロックを暗号化するステップと、
    から成ることを特徴とするストレージシステム上のデータを記憶しアクセスする方法。
  22. 暗号化と復号化する前記ステップの幾つかは、データ処理コンポーネント上でコンピュータプログラムコードを実行することを含むことを特徴とする請求項21に記載の方法。
  23. 請求項22に於いて、さらに、コミュニケーションネットワークを通して前記暗号化と復号化基準の少なくとも一つにアクセスするステップを含むことを特徴とする方法。
  24. 前記暗号化と復号化するステップの幾つかは、暗号化動作を実行するように構成された論理回路により実行されることを特徴とする請求項21に記載の方法。
  25. 前記データのブロックは、前記ストレージシステムに記憶された順番で変換されることを特徴とする請求項21に記載の方法。
  26. 請求項21に於いて、さらに、変換されるブロックのリストを識別する情報を受信するステップを含むことを特徴とする方法。
JP2004338348A 2004-03-11 2004-11-24 データストレージシステムにおける暗号化変換の方法と装置 Active JP4648687B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/799,086 US7162647B2 (en) 2004-03-11 2004-03-11 Method and apparatus for cryptographic conversion in a data storage system

Publications (3)

Publication Number Publication Date
JP2005303981A true JP2005303981A (ja) 2005-10-27
JP2005303981A5 JP2005303981A5 (ja) 2009-08-27
JP4648687B2 JP4648687B2 (ja) 2011-03-09

Family

ID=34920431

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004338348A Active JP4648687B2 (ja) 2004-03-11 2004-11-24 データストレージシステムにおける暗号化変換の方法と装置

Country Status (2)

Country Link
US (7) US7162647B2 (ja)
JP (1) JP4648687B2 (ja)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1983462A2 (en) 2007-04-18 2008-10-22 Hitachi, Ltd. Storage apparatus and data management method
WO2008149458A1 (ja) * 2007-06-08 2008-12-11 Fujitsu Limited 暗号化装置、暗号化方法および暗号化プログラム
JP2009064178A (ja) * 2007-09-05 2009-03-26 Hitachi Ltd ストレージ装置及びデータの管理方法
JP2009065528A (ja) * 2007-09-07 2009-03-26 Hitachi Ltd ストレージ装置及び暗号鍵変更方法
JP2009164996A (ja) * 2008-01-09 2009-07-23 Kyocera Mita Corp 情報処理装置
JP2010178140A (ja) * 2009-01-30 2010-08-12 Toshiba Corp 磁気ディスク装置及び同装置における暗号鍵更新方法
JP2011197928A (ja) * 2010-03-18 2011-10-06 Nec Corp ストレージ装置、及び、暗号鍵の変更方法
US8140864B2 (en) 2007-04-18 2012-03-20 Hitachi, Ltd. Computer system, storage system, and data management method for updating encryption key
JP2012519320A (ja) * 2009-05-25 2012-08-23 株式会社日立製作所 ストレージ装置及びその制御方法
US8332658B2 (en) 2007-04-18 2012-12-11 Hitachi, Ltd. Computer system, management terminal, storage system and encryption management method
JP2013201762A (ja) * 2013-04-26 2013-10-03 Hitachi Ltd ストレージ装置及びその制御方法
US9369278B2 (en) 2013-03-22 2016-06-14 Hitachi, Ltd. Method for maintenance or exchange of encryption function in storage system and storage device
JP2016525839A (ja) * 2013-07-24 2016-08-25 マーベル ワールド トレード リミテッド メモリコントローラのためのキー循環

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7469338B2 (en) * 2002-07-29 2008-12-23 Broadcom Corporation System and method for cryptographic control of system configurations
JP4698982B2 (ja) * 2004-04-06 2011-06-08 株式会社日立製作所 暗号処理を行うストレージシステム
DE602004031562D1 (de) * 2004-04-30 2011-04-07 Research In Motion Ltd System und verfahren zur sicherung von daten
JP4686138B2 (ja) * 2004-05-26 2011-05-18 株式会社東芝 記憶媒体変換方法、プログラム及び機器
WO2007014074A1 (en) 2005-07-21 2007-02-01 Clevx, Llc Memory lock system
US7886158B2 (en) * 2005-09-08 2011-02-08 Hitachi, Ltd. System and method for remote copy of encrypted data
US7752676B2 (en) * 2006-04-18 2010-07-06 International Business Machines Corporation Encryption of data in storage systems
US8769311B2 (en) 2006-05-31 2014-07-01 International Business Machines Corporation Systems and methods for transformation of logical data objects for storage
EP2033066A4 (en) 2006-05-31 2012-08-15 Ibm METHOD AND SYSTEM FOR TRANSFORMING LOGIC DATA OBJECTS FOR STORAGE PURPOSES
US8086873B2 (en) * 2006-06-05 2011-12-27 Lenovo (Singapore) Pte. Ltd. Method for controlling file access on computer systems
US8009829B2 (en) * 2006-10-25 2011-08-30 Spyrus, Inc. Method and system for deploying advanced cryptographic algorithms
US8549619B2 (en) * 2007-01-22 2013-10-01 Dell Products L.P. Removable hard disk with embedded security card
US7861168B2 (en) * 2007-01-22 2010-12-28 Dell Products L.P. Removable hard disk with display information
US8607359B2 (en) * 2007-01-22 2013-12-10 Dell Products L.P. Removable hard disk with front panel input
CN101632087B (zh) * 2007-01-24 2013-02-13 哈明头株式会社 存储媒体中的数据变换方法、装置以及程序
JP2008234052A (ja) * 2007-03-16 2008-10-02 Hitachi Ltd ストレージ装置
US9324361B2 (en) * 2007-08-14 2016-04-26 Seagate Technology Llc Protecting stored data from traffic analysis
JP4977565B2 (ja) 2007-09-18 2012-07-18 株式会社日立製作所 アクセス制御リストを用いてファイルへのアクセスを制御するアクセスコントローラ
US20090216678A1 (en) * 2008-02-25 2009-08-27 Research In Motion Limited System and method for facilitating secure communication of messages associated with a project
US9286493B2 (en) * 2009-01-07 2016-03-15 Clevx, Llc Encryption bridge system and method of operation thereof
WO2010113207A1 (en) 2009-03-31 2010-10-07 Hitachi, Ltd. Storage system and method of operating the same
CN102473188B (zh) * 2009-07-27 2015-02-11 国际商业机器公司 用于转换存储的逻辑数据对象的方法和系统
US8479040B2 (en) 2009-09-02 2013-07-02 Hitachi, Ltd. Storage system and control method
US8977865B2 (en) * 2010-05-25 2015-03-10 Microsoft Technology Licensing, Llc Data encryption conversion for independent agents
US8707105B2 (en) * 2010-11-01 2014-04-22 Cleversafe, Inc. Updating a set of memory devices in a dispersed storage network
JP5915092B2 (ja) * 2011-11-02 2016-05-11 富士ゼロックス株式会社 情報処理装置、情報処理システム及び情報処理プログラム
US9367702B2 (en) * 2013-03-12 2016-06-14 Commvault Systems, Inc. Automatic file encryption
US10013563B2 (en) * 2013-09-30 2018-07-03 Dell Products L.P. Systems and methods for binding a removable cryptoprocessor to an information handling system
US9021163B1 (en) 2014-04-17 2015-04-28 OPSWAT, Inc. Determining whether a data storage is encrypted
US9729312B2 (en) 2015-04-28 2017-08-08 The United States Of America As Represented By The Secretary Of The Navy System and method for high-assurance data storage and processing based on homomorphic encryption
US10523434B1 (en) * 2016-03-04 2019-12-31 Amazon Technologies, Inc. Data storage key rotation
US10652279B1 (en) 2016-08-24 2020-05-12 Alertsec, Inc. Encryption compliance verification system
US11303618B2 (en) 2020-02-17 2022-04-12 International Business Machines Corporation Encryption management
US11429736B2 (en) 2020-02-17 2022-08-30 International Business Machines Corporation Encryption management
US11641276B2 (en) * 2020-06-02 2023-05-02 Western Digital Technologies, Inc. Effective key management for data encryption and decryption
US20220269437A1 (en) * 2021-02-19 2022-08-25 Western Digital Technologies, Inc. Data Storage Device and Method for Predetermined Transformations for Faster Retrieval

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11184639A (ja) * 1997-12-19 1999-07-09 Hitachi Ltd 計算機システム
JP2002358731A (ja) * 2001-05-31 2002-12-13 Toshiba Corp データスクランブル/デ・スクランブル方法、この方法を用いた装置およびこの方法によるデータを記憶する媒体
JP2003143131A (ja) * 2001-11-06 2003-05-16 Toshiba Corp 電子情報管理装置、携帯情報端末装置、管理サーバ装置及びプログラム

Family Cites Families (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4993069A (en) * 1989-11-29 1991-02-12 International Business Machines Corporation Secure key management using control vector translation
JP3143108B2 (ja) * 1990-03-13 2001-03-07 株式会社日立製作所 ファイル暗号化方法およびファイル暗号システム
US5208813A (en) * 1990-10-23 1993-05-04 Array Technology Corporation On-line reconstruction of a failed redundant array system
NL9200296A (nl) * 1992-02-18 1993-09-16 Tulip Computers International Inrichting voor het door middel van het des algoritme vercijferen en ontcijferen van data naar en van een harde geheugenschijf.
US5454039A (en) * 1993-12-06 1995-09-26 International Business Machines Corporation Software-efficient pseudorandom function and the use thereof for encryption
GB2288519A (en) * 1994-04-05 1995-10-18 Ibm Data encryption
KR100230251B1 (ko) * 1995-12-13 1999-11-15 윤종용 동영상 부호화장치에 있어서 신호처리방법 및 회로
US5748744A (en) * 1996-06-03 1998-05-05 Vlsi Technology, Inc. Secure mass storage system for computers
US5742686A (en) * 1996-06-14 1998-04-21 Finley; Phillip Scott Device and method for dynamic encryption
US5940507A (en) * 1997-02-11 1999-08-17 Connected Corporation Secure file archive through encryption key management
JP3735187B2 (ja) * 1997-08-27 2006-01-18 富士通株式会社 時系列データの符号化と編集を行うデータ変換装置および方法
WO1999012102A1 (en) * 1997-09-05 1999-03-11 Sun Microsystems, Inc. A multiprocessing system including cluster optimization mechanisms
US6249866B1 (en) * 1997-09-16 2001-06-19 Microsoft Corporation Encrypting file system and method
US5987572A (en) * 1997-09-29 1999-11-16 Intel Corporation Method and apparatus employing a dynamic encryption interface between a processor and a memory
JP4035872B2 (ja) * 1997-10-27 2008-01-23 株式会社日立製作所 ファイルフォーマット変換方法とこれを用いたファイルシステム及び情報システム及び電子商取引システム
US6570989B1 (en) * 1998-04-27 2003-05-27 Matsushita Electric Industrial Co., Ltd. Cryptographic processing apparatus, cryptographic processing method, and storage medium storing cryptographic processing program for realizing high-speed cryptographic processing without impairing security
DE19924986B4 (de) * 1998-05-29 2006-03-23 Hitachi, Ltd. Verschlüsselungs-Konversionsvorrichtung, Entschlüsselungs-Konversionsvorrichtung, kryptografisches Kommunikationssystem und elektronische Gebühren-Sammelvorrichtung
EP0981091B1 (en) * 1998-08-20 2008-03-19 Hitachi, Ltd. Data copying in storage systems
US6920562B1 (en) * 1998-12-18 2005-07-19 Cisco Technology, Inc. Tightly coupled software protocol decode with hardware data encryption
US6598161B1 (en) * 1999-08-09 2003-07-22 International Business Machines Corporation Methods, systems and computer program products for multi-level encryption
KR100841411B1 (ko) * 2000-03-14 2008-06-25 소니 가부시끼 가이샤 전송장치, 수신장치, 전송방법, 수신방법과 기록매체
US6622115B1 (en) * 2000-04-28 2003-09-16 International Business Machines Corporation Managing an environment according to environmental preferences retrieved from a personal storage device
US7215771B1 (en) * 2000-06-30 2007-05-08 Western Digital Ventures, Inc. Secure disk drive comprising a secure drive key and a drive ID for implementing secure communication over a public network
US7231050B1 (en) * 2000-07-21 2007-06-12 Harris Scott C Protection against unintentional file changing
US6546457B1 (en) * 2000-09-29 2003-04-08 Emc Corporation Method and apparatus for reconfiguring striped logical devices in a disk array storage
US20020129235A1 (en) * 2001-01-11 2002-09-12 Ryuichi Okamoto Digital data distributing system
JP4112188B2 (ja) * 2001-03-09 2008-07-02 シャープ株式会社 データ記憶装置
JP3696206B2 (ja) * 2001-03-15 2005-09-14 三洋電機株式会社 一意義的にのみ存在が許容される独自データを復元可能なデータ記録装置
US7349970B2 (en) * 2001-03-29 2008-03-25 International Business Machines Corporation Workload management of stateful program entities
US7428636B1 (en) * 2001-04-26 2008-09-23 Vmware, Inc. Selective encryption system and method for I/O operations
EP1388061A4 (en) 2001-05-17 2010-11-03 Decru Inc ENCRYPTION BASED SAFETY SYSTEM FOR NETWORK STORAGE
US7418737B2 (en) * 2001-06-13 2008-08-26 Mcafee, Inc. Encrypted data file transmission
EP1403839A1 (en) * 2001-06-27 2004-03-31 Fujitsu Limited Data originality validating method and system
EP1292153B1 (en) 2001-08-29 2015-08-19 Canon Kabushiki Kaisha Image processing method and apparatus, computer program, and storage medium
GB2379756A (en) * 2001-09-18 2003-03-19 Hewlett Packard Co Renewal of data in long-term storage
GB0123417D0 (en) * 2001-09-28 2001-11-21 Memquest Ltd Improved data processing
JP3641230B2 (ja) * 2001-10-22 2005-04-20 株式会社東芝 メモリカードを制御するための装置および方法
US20030092438A1 (en) * 2001-11-14 2003-05-15 Moore Brian J. Method and apparatus for stabilizing calls during a system upgrade or downgrade
US7194619B2 (en) * 2002-03-26 2007-03-20 International Business Machines Corporation Remotely booting devices in a dense server environment without manually installing authentication parameters on the devices to be booted
US8135962B2 (en) * 2002-03-27 2012-03-13 Globalfoundries Inc. System and method providing region-granular, hardware-controlled memory encryption
US7266750B1 (en) * 2002-07-10 2007-09-04 Maxtor Corporation Error recovery strategies for iterative decoders
JP2004070499A (ja) * 2002-08-02 2004-03-04 Fujitsu Ltd メモリデバイスおよび暗号化/復号方法
US7778438B2 (en) * 2002-09-30 2010-08-17 Myport Technologies, Inc. Method for multi-media recognition, data conversion, creation of metatags, storage and search retrieval
US20040125077A1 (en) * 2002-10-03 2004-07-01 Ashton Jason A. Remote control for secure transactions
JP3893350B2 (ja) 2002-11-29 2007-03-14 キヤノン株式会社 符号化データ変換装置及びその方法
TW587226B (en) * 2002-12-26 2004-05-11 Min-Jie Su Card verification and authorization system and method thereof
JP2004265194A (ja) * 2003-03-03 2004-09-24 Matsushita Electric Ind Co Ltd 情報処理装置、および情報処理方法
US7194627B2 (en) * 2003-03-14 2007-03-20 Broadcom Corporation Method and system for data encryption and decryption
US7240208B1 (en) * 2003-04-23 2007-07-03 The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration Encrypting digital camera with automatic encryption key deletion
US7240219B2 (en) * 2003-05-25 2007-07-03 Sandisk Il Ltd. Method and system for maintaining backup of portable storage devices
US7472285B2 (en) * 2003-06-25 2008-12-30 Intel Corporation Apparatus and method for memory encryption with reduced decryption latency
US7536558B2 (en) * 2003-08-29 2009-05-19 Tgbw Inc. Flash memory distribution of digital content
US7549044B2 (en) * 2003-10-28 2009-06-16 Dphi Acquisitions, Inc. Block-level storage device with content security
US8352726B2 (en) * 2003-11-07 2013-01-08 Netapp, Inc. Data storage and/or retrieval
US20050160050A1 (en) * 2003-11-18 2005-07-21 Atm Exchange Conversion system for encrypting data in a secure transaction
US7657706B2 (en) * 2003-12-18 2010-02-02 Cisco Technology, Inc. High speed memory and input/output processor subsystem for efficiently allocating and using high-speed memory and slower-speed memory
US7426752B2 (en) * 2004-01-05 2008-09-16 International Business Machines Corporation System and method for order-preserving encryption for numeric data
US20050168443A1 (en) * 2004-01-29 2005-08-04 Ausbeck Paul J.Jr. Method and apparatus for producing one-dimensional signals with a two-dimensional pointing device
US7334156B2 (en) * 2004-02-13 2008-02-19 Tandberg Data Corp. Method and apparatus for RAID conversion

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11184639A (ja) * 1997-12-19 1999-07-09 Hitachi Ltd 計算機システム
JP2002358731A (ja) * 2001-05-31 2002-12-13 Toshiba Corp データスクランブル/デ・スクランブル方法、この方法を用いた装置およびこの方法によるデータを記憶する媒体
JP2003143131A (ja) * 2001-11-06 2003-05-16 Toshiba Corp 電子情報管理装置、携帯情報端末装置、管理サーバ装置及びプログラム

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1983462A2 (en) 2007-04-18 2008-10-22 Hitachi, Ltd. Storage apparatus and data management method
US8332658B2 (en) 2007-04-18 2012-12-11 Hitachi, Ltd. Computer system, management terminal, storage system and encryption management method
US8140864B2 (en) 2007-04-18 2012-03-20 Hitachi, Ltd. Computer system, storage system, and data management method for updating encryption key
WO2008149458A1 (ja) * 2007-06-08 2008-12-11 Fujitsu Limited 暗号化装置、暗号化方法および暗号化プログラム
US8782428B2 (en) 2007-06-08 2014-07-15 Fujitsu Limited Encryption device and encryption method
JPWO2008149458A1 (ja) * 2007-06-08 2010-08-19 富士通株式会社 暗号化装置、暗号化方法および暗号化プログラム
KR101047213B1 (ko) * 2007-06-08 2011-07-06 후지쯔 가부시끼가이샤 암호화 장치, 암호화 방법 및 컴퓨터 판독가능한 기록 매체
US8098824B2 (en) 2007-09-05 2012-01-17 Hitachi, Ltd. Storage apparatus and data management method
JP2009064178A (ja) * 2007-09-05 2009-03-26 Hitachi Ltd ストレージ装置及びデータの管理方法
JP2009065528A (ja) * 2007-09-07 2009-03-26 Hitachi Ltd ストレージ装置及び暗号鍵変更方法
JP2009164996A (ja) * 2008-01-09 2009-07-23 Kyocera Mita Corp 情報処理装置
JP4648461B2 (ja) * 2009-01-30 2011-03-09 株式会社東芝 磁気ディスク装置及び同装置における暗号鍵更新方法
JP2010178140A (ja) * 2009-01-30 2010-08-12 Toshiba Corp 磁気ディスク装置及び同装置における暗号鍵更新方法
JP2012519320A (ja) * 2009-05-25 2012-08-23 株式会社日立製作所 ストレージ装置及びその制御方法
JP2011197928A (ja) * 2010-03-18 2011-10-06 Nec Corp ストレージ装置、及び、暗号鍵の変更方法
US9369278B2 (en) 2013-03-22 2016-06-14 Hitachi, Ltd. Method for maintenance or exchange of encryption function in storage system and storage device
JP2013201762A (ja) * 2013-04-26 2013-10-03 Hitachi Ltd ストレージ装置及びその制御方法
JP2016525839A (ja) * 2013-07-24 2016-08-25 マーベル ワールド トレード リミテッド メモリコントローラのためのキー循環

Also Published As

Publication number Publication date
US20120284531A1 (en) 2012-11-08
US7240220B2 (en) 2007-07-03
US20170373848A1 (en) 2017-12-28
US20070300079A1 (en) 2007-12-27
US20050204154A1 (en) 2005-09-15
US20060064604A1 (en) 2006-03-23
US7461267B2 (en) 2008-12-02
US7774618B2 (en) 2010-08-10
US7162647B2 (en) 2007-01-09
US20110010561A1 (en) 2011-01-13
US8250376B2 (en) 2012-08-21
JP4648687B2 (ja) 2011-03-09
US20090074190A1 (en) 2009-03-19

Similar Documents

Publication Publication Date Title
JP4648687B2 (ja) データストレージシステムにおける暗号化変換の方法と装置
US8621241B1 (en) Storage and recovery of cryptographic key identifiers
EP2751734B1 (en) Sector map-based rapid data encryption policy compliance
US8464073B2 (en) Method and system for secure data storage
EP3355232B1 (en) Input/output data encryption
US8352751B2 (en) Encryption program operation management system and program
CN102855452B (zh) 基于加密组块的快速数据加密策略遵从
US20120237024A1 (en) Security System Using Physical Key for Cryptographic Processes
KR20100039359A (ko) 파일 시스템 레벨에서 명확하게 인지되는 데이터 변환을 위한 시스템 및 방법
US9026755B2 (en) Content control systems and methods
JP2007510201A (ja) データセキュリティ
US11520709B2 (en) Memory based encryption using an encryption key based on a physical address
US10733306B2 (en) Write-only limited-read filesystem
JP2024500732A (ja) 内部動作を介してキー・パーio対応デバイス中に記憶されたデータの暗号消去
US9218296B2 (en) Low-latency, low-overhead hybrid encryption scheme
US20220123932A1 (en) Data storage device encryption
US20220121781A1 (en) Data storage device encryption
US11763008B2 (en) Encrypting data using an encryption path and a bypass path
JP5539024B2 (ja) データ暗号化装置およびその制御方法
TW202036349A (zh) 電腦系統及其虛擬硬碟的加解密方法

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20060425

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070928

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070928

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20070928

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20071204

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100917

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101104

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101126

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101210

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131217

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4648687

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150