JP2006293864A - ストレージシステム、データ移動管理システム、及びデータ移動管理方法 - Google Patents

ストレージシステム、データ移動管理システム、及びデータ移動管理方法 Download PDF

Info

Publication number
JP2006293864A
JP2006293864A JP2005116303A JP2005116303A JP2006293864A JP 2006293864 A JP2006293864 A JP 2006293864A JP 2005116303 A JP2005116303 A JP 2005116303A JP 2005116303 A JP2005116303 A JP 2005116303A JP 2006293864 A JP2006293864 A JP 2006293864A
Authority
JP
Japan
Prior art keywords
logical device
data
storage system
movement
falsification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005116303A
Other languages
English (en)
Inventor
Takayoshi Iizuka
孝好 飯塚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005116303A priority Critical patent/JP2006293864A/ja
Priority to US11/150,410 priority patent/US7281107B2/en
Publication of JP2006293864A publication Critical patent/JP2006293864A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/20Handling requests for interconnection or transfer for access to input/output bus
    • G06F13/28Handling requests for interconnection or transfer for access to input/output bus using burst mode transfer, e.g. direct memory access DMA, cycle steal

Abstract

【課題】 書き換え又は消去等の改竄を防止しながら、ストレージシステム間のデータ移動を改竄防止期間内に行う。
【解決手段】 データ移動管理システムは、移動元のストレージシステムの論理デバイスから移動先のストレージシステムの論理デバイスへデータを複写し(S401)、移動先の論理デバイスに対して、改竄防止設定を行う(S403)。次いで、データ移動管理システムは、移動先のストレージシステムから改竄防止状況報告書を取得し(S405)、データが改竄されることなく移動できたことを確認すると、移動元のストレージシステムの論理デバイスの改竄防止設定を解除する(S407)。
【選択図】 図11

Description

本発明はストレージシステム、データ移動管理システム、及びデータ移動管理方法に関し、特に、論理デバイス間のデータ移動を安全に行い、書き換え又は消去等の改竄を防止する技術に関する。
近年、ストレージシステムに要求されるセキュリティ機能の高まりや、電子データの取り扱いに関する法規制準拠等の目的により、ストレージシステムに書き込まれたデータの書き換え又は消去等の改竄を防止しながら、データを一定期間保管する技術の必要性が高まっている。例えば、特許文献1には、ストレージシステムの論理デバイス毎にリードオンリ属性を設定し、リードオンリ属性の変更を一定期間抑止することにより、論理デバイスに書き込まれたデータの書き換え又は消去等の改竄を防止する技術が提案されている。
一方、改竄防止とは別の技術動向として、データライフサイクル管理(DLCM)が着目されている。DLCMは、時間と共に変化するデータの価値に応じて、データをストレージシステム間で移動することにより、コスト効率のよいデータ管理を実現する概念である。例えば、メールシステムは、企業の基幹システムであるため、高性能・高信頼性を有するハイエンドストレージシステムが必要である。数週間経過したメールはアクセス頻度が低くなるので、ハイエンドストレージシステムからニアラインストレージシステムにデータを移動させる。ニアラインストレージシステムは、ハイエンドストレージシステムと比較して性能・信頼性は劣るものの、低価格というメリットがあり、必要に応じて即時アクセスが可能である。そして、ニアラインストレージシステムにデータを移動してから1〜2年経過した後に、テープ媒体にデータを移動させ、保管庫に保管する。DLCMの考えに立脚してデータ管理コストを削減するには、データの移動管理が重要である。
データの移動管理に関する技術として、例えば、特許文献2には、ネットワークに接続された情報記憶装置にファイルを保存する際に、保存先となる情報記憶装置におけるファイルの保管期限を管理し、保管期限満了前にファイルを自動的に他の記憶装置に移動させるファイル管理装置が開示されている。また、特許文献3には、規定の保管期限を経過して共用記憶領域内で保管されているファイルを退避用記憶領域に移動させ、規定の保管期限を経過して退避用記憶領域に保管されているファイルを外部記憶装置に移動させ、コンピュータ又はファイルサーバからファイル参照が行われた時点で、移動元の記憶領域にファイルを復元するファイル・リロケーション・システムが開示されている。
特開2005−18568号公報 特開2003−58397号公報 特開2004−78331号公報
特許文献1によれば、書き換え又は消去等の改竄を防止しながらデータを一定期間保存することができる。しかし、法律で規定された保管期間が満了する以前にストレージシステムの寿命が尽きる場合には、他のストレージシステムにデータを移動させる必要が生じる。或いは、DLCMを実践するために、ストレージシステム間でデータを移動させる必要が生じる場合も想定される。このような場合に、特許文献1には、書き換え又は消去等の改竄を防止して安全に他のストレージシステムにデータを移動させる技術について言及されていない。
同様に、特許文献2及び特許文献3には、書き換え又は消去等の改竄を防止したストレージシステム間のデータ移動については言及されていない。例えば、法規制に対応するために、WORM(Write Once Read Many)媒体に一定期間、データを保管する必要が生じる。ユーザは最終的にはWORMテープ媒体への保管を望むが、アクセス性能やリカバリの高速化を考慮して、一定期間はディスクへの保管を望む傾向がある。改竄防止のためにリードオンリ属性に設定されたディスクに保管されたデータを、法律で規定された保管期間内に他のストレージシステムに移動しようとすると、移動先のストレージシステムへのデータの複写はできるものの、移動元のストレージシステムのデータは消去できない。そのため、移動元のストレージシステムでは、移動対象のデータが書き込まれていた記憶領域を再利用することができず、データの管理コストを削減することができない。
また、上述の特許文献1〜3では、法律で規定された保管期間内にストレージシステム間でデータを移動させたときに、改竄防止を保証することができず、更に、移動先のストレージシステムに対して改竄防止設定を行うことができない。
本発明は、上記の問題点に鑑みてなされたもので、本発明の目的は、書き換え又は消去等の改竄を防止しながら、ストレージシステム間のデータ移動を改竄防止期間内に行うことにある。
上記の課題を解決するため、本発明のストレージシステムは、論理デバイスを形成する記憶デバイスと、論理デバイスに書き込まれたデータの改竄を防止するための制御情報を格納する制御メモリと、制御情報に基づいて論理デバイスへのデータの読み書きを制御するコントローラと、を備える。制御情報には、論理デバイスに書き込まれたデータの改竄を禁止する期限を示す改竄防止期限と、論理デバイスに書き込まれたデータの改竄防止期限内における他の論理デバイスへのデータの移動を許可する期間を示す移動許可期間と、論理デバイスに書き込まれたデータの改竄の有無を識別するデータ識別情報とが含まれている。コントローラは、改竄防止設定がなされている論理デバイスに書き込まれたデータが改竄されることなく移動許可期間に他の論理デバイスに移動されたことを条件として、論理デバイスの改竄防止設定を解除する。
コントローラは、例えば、論理デバイスに書き込まれたデータが改竄されることなく他の論理デバイスに移動されたか否かを示す改竄防止状況報告書を、他の論理デバイスを備える移動先のストレージシステムから受信し、改竄防止状況報告書に基づいて、論理デバイスに書き込まれたデータが改竄されることなく移動許可期間に他の論理デバイスに移動されたか否かを判定する。
コントローラは、例えば、移動許可期間内に改竄防止状況報告書を取得できなかった場合、又は移動許可期間内に改竄防止状況報告書を取得できたが、論理デバイスに書き込まれたデータが改竄されることなく移動許可期間に他の論理デバイスに移動できたと判定できなかった場合には、新たに設定された移動許可期間内に論理デバイスに書き込まれたデータを他の論理デバイスに移動させる。
改竄防止状況報告書には、例えば、他の論理デバイスに設定された改竄防止期限及び移動許可期間と、他の論理デバイスに移動されたデータの改竄の有無を識別するデータ識別情報と、移動先のストレージシステムの電子署名とが含まれている。コントローラは、電子署名が正当であり、他の論理デバイスに設定された改竄防止期限が論理デバイスに設定された改竄防止期限と同一であり、他の論理デバイスに設定された移動許可期間の初日が現在日よりも将来の日付であり、論理デバイスに書き込まれたデータのデータ識別情報と他の論理デバイスに書き込まれたデータのデータ識別情報とが同一である場合に、論理デバイスに書き込まれたデータが改竄されることなく移動許可期間に他の論理デバイスに移動されたと判定する。
改竄防止状況報告書には、更に、移動先のストレージシステムのベンダ名、装置名及び製造番号が含まれていてもよい。
本発明のデータ移動管理システムは、第一のストレージシステムと第二のストレージシステムとの間におけるデータ移動を管理する。第一のストレージシステムは、第一の論理デバイスを形成する第一の記憶デバイスと、第一の論理デバイスに書き込まれたデータの改竄を防止するための第一の制御情報を格納する第一の制御メモリと、第一の制御情報に基づいて第一の論理デバイスへのデータの読み書きを制御する第一のコントローラと、を備える。第一の制御情報には、第一の論理デバイスに書き込まれたデータの改竄を禁止する期限を示す第一の改竄防止期限と、第一の論理デバイスに書き込まれたデータの第一の改竄防止期限内における第二の論理デバイスへのデータの移動を許可する期間を示す第一の移動許可期間と、第一の論理デバイスに書き込まれたデータの改竄の有無を識別する第一のデータ識別情報とが含まれている。第二のストレージシステムは、第二の論理デバイスを形成する第二の記憶デバイスと、第二の論理デバイスに書き込まれたデータの改竄を防止するための第二の制御情報を格納する第二の制御メモリと、第二の制御情報に基づいて第二の論理デバイスへのデータの読み書きを制御する第二のコントローラと、を備える。第二の制御情報には、第二の論理デバイスに書き込まれたデータの改竄を禁止する期限を示す第二の改竄防止期限と、第二の論理デバイスに書き込まれたデータの第二の改竄防止期限内における他の論理デバイスへのデータの移動を許可する期間を示す第二の移動許可期間と、第二の論理デバイスに書き込まれたデータの改竄の有無を識別する第二のデータ識別情報とが含まれている。データ移動管理システムは、少なくとも第一の改竄防止期限と第一の移動許可期限とを管理する移動スケジュールテーブルを備えており、改竄防止設定がなされている第一の論理デバイスに書き込まれたデータが改竄されることなく第一の移動許可期間に第二の論理デバイスに移動されたことを条件として、第一の論理デバイスの改竄防止設定を解除する。
本発明のデータ移動管理システムは、例えば、第一の論理デバイスに書き込まれたデータが改竄されることなく第二の論理デバイスに移動されたか否かを示す改竄防止状況報告書を第二のストレージシステムから受信し、改竄防止状況報告書を第一のストレージシステムに転送する。
本発明のデータ移動管理システムは、例えば、第一の移動許可期間内に第一のストレージシステムが改竄防止状況報告書を取得できなかった場合、又は第一の移動許可期間内に第一のストレージシステムが改竄防止状況報告書を取得できたが、第一の論理デバイスに書き込まれたデータが改竄されることなく第一の移動許可期間に第二の論理デバイスに移動できなかった場合には、第一の移動許可期間を新たに設定する。
本発明のデータ移動管理方法は、第一のストレージシステムと第二のストレージシステムとの間におけるデータ移動を管理する。この方法は、第一のストレージシステムの改竄防止設定された第一の論理デバイスに書き込まれたデータを改竄防止期限内に第二のストレージシステムの第二の論理デバイスに移動させるステップと、第一の論理デバイスに書き込まれたデータが改竄されることなく改竄防止期間内に第二の論理デバイスに移動できた場合に、第一の論理デバイスに設定された改竄防止設定を解除するステップと、を備える。
本発明のデータ移動管理方法は、例えば、第一の論理デバイスに書き込まれたデータが改竄されることなく第二の論理デバイスに移動されたか否かを示す改竄防止状況報告書を第二のストレージシステムから受信するステップと、第二のストレージシステムから受信した改竄防止状況報告書を第一のストレージシステムに転送するステップと、を備える。
本発明のデータ移動管理方法は、例えば、改竄防止期間内に第一のストレージシステムが改竄防止状況報告書を取得できなかった場合、又は改竄防止期間内に第一のストレージシステムが改竄防止状況報告書を取得できたが、第一の論理デバイスに書き込まれたデータが改竄されることなく改竄防止期間内に第二の論理デバイスに移動できなかった場合には、第一の論理デバイスに書き込まれたデータを第二の論理デバイスに移動させるための移動許可期間を新たに設定するステップを備える。
本発明によれば、書き換え又は消去等の改竄を防止しながら、ストレージシステム間のデータ移動を改竄防止期間内に行うことができる。
以下、各図を参照しながら本発明の実施形態について説明する。
図1は本実施形態のストレージシステム10,20を含むネットワーク構成を示している。複数のホスト装置31,32と、複数のストレージシステム10,20と、バックアップ装置80とがSAN(Storage Area Network)61を介して接続されている。ストレージシステム10,20は、例えば、複数のディスクドライブをアレイ状に配置し、RAID(Redundant Array of Independent Inexpensive Disks)構成に対応したデータ管理を行うディスクアレイ装置等である。
ストレージシステム10は、時計11、チャネルコントローラ12、制御メモリ13、キャッシュメモリ14、ディスクコントローラ15、及び複数のディスクドライブ16−1,16−2,…,16−4を備えて構成されている。
チャネルコントローラ12は、ホスト装置31,32との通信を制御する。例えば、ホスト装置31,32がメインフレーム系である場合には、チャネルコントローラ12は、FICON(Fibre Connection:登録商標)、ESCON(Enterprise System Connection:登録商標)、ACONARC(Advanced Connection Architecture:登録商標)、FIBARC(Fibre Connection Architecture:登録商標)等の通信プロトコルで通信を行うためのメインフレーム用のインターフェースを備える。スト装置31,32がオープン系である場合には、チャネルコントローラ12は、オープンシステム用のインターフェースを備える。
ディスクコントローラ15は、ディスクドライブ16−1,16−2,…,16−4へのデータのリード/ライト操作を制御する。ディスクドライブ16−1,16−2,…,16−4は、例えば、ATA(Advanced Technology Attachment)ディスクドライブ、SCSI(Small Computer System Interface)ディスクドライブ、ファイバチャネルディスクドライブ等のハードディスクドライブである。制御メモリ13は、論理デバイス毎の改竄防止設定やデータ移動管理等を制御するためのLDEV制御情報や、その他のオペレーションの制御に必要な各種の情報を格納する。キャッシュメモリ14は、ディスクドライブ16−1,16−2,…,16−4から読み出したリードデータ、又はディスクドライブ16−1,16−2,…,16−4へ書き込むためのライトデータを一時的に格納する。時計11は、現在日時を計測するための計測手段であり、論理デバイス毎に設定された改竄防止期限等の管理に用いられる。
ストレージシステム10には、内部LAN72を介してサービスプロセッサ71が接続されている。この内部LAN72は、ストレージシステム10内のチャネルコントローラ12やディスクコントローラ15等と接続された、オペレーション制御用の内部LANである。サービスプロセッサ71には、LAN73を介してコンソール端末51が接続されている。サービスプロセッサ71に実装されているコンソールソフトウェア41は、コンソール端末51に対してWebサーバとして機能する。サービスプロセッサ71は、コンソール端末51からのリクエストに応答して、ストレージシステム10に対し管理用の制御、例えば、ディスクドライブ16−1,16−2,…,16−4の増設又は減設、RAID構成の変更(例えば、RAID1からRAID5への変更)、ストレージシステム10動作状態の確認や故障部位の特定等を行うことができる。
ホスト装置31,32には、常駐型のソフトウェアであるストレージ管理ソフトウェア91,92が実装されている。これらのストレージ管理ソフトウェア91,92は、何れも、それぞれのホスト装置31,32に実装されているアプリケーションプログラムからの指示に応答して、ストレージシステム10,20に対する各種の管理用制御を行う。例えば、ホスト装置32には、ストレージシステム10のデータ移動管理を行うアプリケーションプログラムとして、データ移動管理ソフトウェア22が実装されている。ホスト装置32は、ストレージシステム10,20における論理デバイス毎の改竄防止設定や、ストレージシステム10,20間のデータ移動管理等の各種の管理用制御を行うデータ移動管理システムとして機能する。論理デバイス毎の改竄防止設定やデータ移動管理の詳細については、後述する。
バックアップ装置80は、テープ媒体81を備えており、ストレージシステム10の論理デバイスに格納されるデータのバックアップを保持する。バックアップデータは、テープ媒体81に格納される。
尚、ストレージシステム20の構成は、上述したストレージシステム20の構成と同様であるため、その構成の詳細な説明は省略する。
図2はディスクドライブ(物理デバイス)16−1,16−2,…,16−4と論理デバイス(LDEV)101−1,101−2,…,101−4との関係を示す。論理デバイス101−1,101−2,…,101−4の各々は、複数のディスクドライブ16−1,16−2,…,16−4に亘って、それらの部分的な記憶領域上に形成される。つまり、論理デバイス101−1は、論理デバイスAとしてホスト装置31,32に提供されている。他の論理デバイス101−2,101−3,…,101−4についても同様に、それぞれ論理デバイスB,C,Dとしてホスト装置31,32に提供されている。
制御メモリ13には、論理デバイス101−1,101−2,…,101−4毎の改竄防止設定やデータ移動管理等を制御するためのLDEV制御情報103と、後述する改竄防止状況報告書に公開鍵暗号等を用いて電子署名するための鍵情報105が格納されている。鍵情報105は、例えば、ストレージベンダが登録申請した公開鍵及び秘密鍵等の情報である。チャネルコントローラ12に実装されたチャネルインターフェース制御プログラム102は、ホスト装置31,32から与えられたLDEVアクセスのための情報から、アクセス対象のLDEVアドレス(論理デバイスの論理アドレス)を演算する。ディスクコントローラ15に実装された論理・物理アドレス変換プログラム104は、LDEVアドレスをPDEVアドレス(物理デバイスの物理アドレス)に変換する。また、チャネルインターフェース制御プログラム102と論理・物理アドレス変換プログラムは、LDEV制御情報103を参照することにより、論理デバイス101−1,101−2,…,101−4に対するホスト装置31,32からのアクセスを制御する。また、チャネルインターフェース制御プログラム102は、ホスト装置31,32からの指示により、LDEV制御情報103を更新することができる。
次に、本実施形態におけるデータ移動管理方法の概要について説明を加える。本実施形態のデータ移動管理方法では、法規制又はその他の取り決め等により定められたデータの保管期間(以下、改竄防止期間と称する。)とは別に、論理デバイスに保管されるデータの保管期間(以下、改竄防止保管期間と称する。)を設定する。改竄防止保管期間は、論理デバイスを構築する記憶デバイスの寿命、アクセス性能、管理コスト、DLCMに基づくデータ移動スケジュール等を参考に定められる。例えば、ある法規制に基づくデータの改竄防止期間が30年であるならば、改竄防止保管期間は6ヶ月という具合に定めることができる。ストレージシステム内に複数の論理デバイスが形成されている場合には、論理デバイス毎に改竄防止保管期間を設定することができる。また、改竄防止保管期間は、論理デバイス単位で設定する場合に限らず、例えば、記憶デバイス単位で設定してもよく、或いはストレージシステム単位で設定してもよい。尚、以下の説明において、改竄防止期限とは、改竄防止期間の最終日をいい、改竄防止保管期限とは、改竄防止保管期間の最終日をいうものとする。
さて、ある論理デバイスにデータを保管するには、その論理デバイスに改竄防止設定をする他、改竄防止期限と改竄防止保管期限を設定する。ここで、改竄防止設定とは、論理デバイスに書き込まれたデータの書き換え又は消去を禁止する設定をいう。例えば、リードアクセスを許可し、ライトアクセスを禁止する設定(Read Only設定)等がこれに該当する。改竄防止保管期限を経過した論理デバイスに格納されているデータは、他の論理デバイスに移動させることができる。データの移動単位は、ファイル単位でもよく、ブロック単位でもよい。移動元の論理デバイスに格納されているデータが改竄されることなく安全に移動先の論理デバイスに複写されたことが移動元のストレージシステムが確認できたか、或いは改竄防止期限が経過したことを条件として、移動元の論理デバイスに設定された改竄防止設定は解除される。これにより、改竄防止期間内における論理デバイス間のデータ移動の改竄防止を保証することができる。また、改竄防止設定が解除された移動元の論理デバイスは、改竄防止期限が経過する以前の段階においても、他のデータ保存等に利用することができ、データ管理コストの低減を実現できる。尚、改竄防止設定が解除された論理デバイスに対して、自動的に初期化するように構成してもよい。
図3はLDEV制御情報103のテーブル構成を示している。LDEV制御情報103は、論理デバイス毎の竄防止設定やデータ移動管理等を制御するための情報として、LDEV実装ビット、改竄防止ビット、改竄防止期限、移動許可開始日、移動許可期限、移動延期期間、及びデータ識別情報を含む。LDEV実装ビットは、LDEVが実装されているか否かを示す情報である。LDEV実装ビットが「1」であれば、LDEVが実装されていることを示し、LDEV実装ビットが「0」であれば、LDEVが実装されていないことを示す。改竄防止ビットは、LDEVが改竄防止設定されているか否かを示す情報である。改竄防止ビットが「1」であれば、LDEVが改竄防止設定されていることを示し、改竄防止ビットが「0」であれば、LDEVが改竄防止設定されていないことを示す。改竄防止期限については、上述した通りである。
移動許可開始日とは、改竄防止期間内において、データ移動が許可された期間(以下、移動許可期間と称する。)の初日をいい、改竄防止保管期限の翌日である。つまり、改竄防止保管期限が経過すると、データ移動が一定期間許可される。データ移動が一定期間許可されるのは、システム障害等で直ちにデータ移動できない場合等を想定したものである。移動許可期限とは、移動許可期間の最終日をいう。移動許可期限を設定することにより、移動元のデータが改竄される機会を減らして、セキュリティ性を高めることができる。移動延期期間とは、移動許可期間内に改竄防止状況報告書を取得できなかった場合や、或いは改竄防止状況報告書を取得できたが、論理デバイスに書き込まれたデータが改竄されることなく移動許可期間に他の論理デバイスに移動できたと判定できなかった場合を想定して、移動許可期限を経過した後においても、更に、データ移動が許可される期間である。ここでは、延期日数が示されている。新たに移動許可期間が設定される場合には、新たな移動許可開始日は、移動許可期限から移動延期期間を経過した後の期日に設定される。データ識別情報とは、各論理デバイスに格納されているデータの改竄の有無を示す情報、例えば、ハッシュ値である。データ識別情報としては、論理デバイスに書き込まれたデータに何等かの演算等を施すことにより、そのデータから一意に導き出される情報であればよく、ハッシュ値に限定されるものではない。上述したLDEV実装ビット、改竄防止ビット、改竄防止期限、移動許可開始日、移動許可期限、移動延期期間、及びデータ識別情報はLDEV毎に設定される。
次に、図4乃至図7を参照しながら、本実施形態のデータ移動管理方法の詳細について説明を加える。
図4はデータ移動管理ソフトウェア22が保持する移動管理情報220の構成を示している。移動管理情報220は、移動スケジュールテンプレート221、ストレージグループ情報222、及び移動スケジュールテーブル223を備える。
図5は移動スケジュールテンプレート221の構成を示している。データ移動管理ソフトウェア22は、移動スケジュールテンプレート221に必要な情報を書き込むことで、データ移動管理を行っている。より詳細には、データ移動管理ソフトウェア22は、DLCM等の移動スケジュールに従って、データの改竄防止期間内にデータ移動させるストレージシステムの候補を複数設定するとともに、各候補のストレージシステムについて、改竄防止保管期間等の移動スケジュールに関する情報を設定する。そして、あるストレージシステムの改竄防止保管期限が経過すると、他のストレージシステムへのデータ移動を実施する。ストレージシステムの候補として、例えば、利用価値の高いデータを格納するストレージシステムとして、アクセス性能のよいディスクドライブ(例えば、ファイバチャネルディスクドライブ)を備えた高性能のストレージシステムを選択することができる。一方、利用価値の低いデータを格納するストレージシステムとして、アクセス性能は劣るが安価なディスクドライブ(例えば、ATAディスクドライブ)を備えたストレージシステムを選択することができる。また、殆ど利用価値がなく、長期間のデータ保存を行うストレージシステムとして、例えば、管理コストの安いテープ媒体を備えたストレージシステムを選択することができる。
移動スケジュールテンプレート221において、311−1は、データの識別情報(例えば、ハッシュ値)を示す。311−2は、データのサイズ(容量)を示す。312−1は、データの保管ポリシー名を示す。312−2は、改竄防止期間を示す。312−3は、データ移動先のストレージシステムの数を示す。313−1〜313−Bは、第一のストレージシステムにおける移動管理情報313を構成する。313−1は、第一のストレージシステムの改竄防止保管期間を示す。313−2は、第一のストレージシステムの改竄防止保管開始日を示す。313−3は、第一のストレージシステムの改竄防止保管期限を示す。313−4は、第一のストレージシステムの移動許可開始日を示す。ここでは、改竄防止保管期限からの経過日数を示している。313−5は、第一のストレージシステムの移動許可期間を示す。313−6は、第一のストレージシステムの移動延期期間を示す。313−7は、第一のストレージシステムが属するストレージグループ名を示す。313−8は、第一のストレージシステムのベンダ名を示す。313−9は、第一のストレージシステムの装置名を示す。313−Aは、第一のストレージシステムの製造番号を示す。313−Bは、第一のストレージシステムが備える論理デバイスのうちデータを格納する論理デバイスの番号を示す。同様に、314−1〜314−Bは、第二のストレージシステムにおける移動管理情報314を構成し、315−1〜315−Bは、第Nのストレージシステムにおける移動管理情報315を構成する。
図6はストレージグループ情報222の構成を示している。ストレージグループ情報222には、データの移動先となるストレージシステムの候補に関する情報(ベンダ名、装置名、製造番号)がストレージグループ毎に登録される。ストレージグループ情報222において、411−1は、ストレージグループ名を示す。411−2は、当該ストレージグループに属するストレージシステムの数を示す。412−1〜412−3は、第一候補のストレージシステムに関する情報412を構成する。412−1は、第一候補のストレージシステムのベンダ名を示す。412−2は、第一候補のストレージシステムの装置名を示す。412−3は、第一候補のストレージシステムの製造番号を示す。同様に、413−1、413−2,413−3は、第二候補のストレージシステムに関する情報413を構成し、414−1,414−2,414−3は、第M候補のストレージシステムに関する情報414を構成する。
図7は移動スケジュールテーブル223の構成を示している。データ移動管理ソフトウェア22は、DLCM等のデータ移動管理に基づいて、移動スケジュールテンプレート221に、データの移動先となる各ストレージシステムの改竄防止保管期間、移動許可開始日、移動許可期間、移動延期期間、及びストレージグループ名を登録することで、移動スケジュールテーブル223を作成する。データ移動管理ソフトウェア22は、移動先のストレージグループで必要となる記憶容量、残存装置寿命、データ移動を実施する時期、改竄防止保管期間、及び移動許可開始日等を勘案して、データ移動のスケジューリングを実施する。
さて、データ移動管理ソフトウェア22は、移動スケジュールテーブル223に書かれたスケジュールに従って、ストレージシステム間のデータ移動を実施する。データ移動を実施する上で、データ移動管理ソフトウェア22は、移動先のストレージグループ名の情報を参照し、そのストレージグループに属する複数のストレージシステムの中からデータの移動先となる候補を検索する。移動管理ソフトウェア22は、移動スケジュールテーブル223に書かれた改竄防止保管期間を取得し、この改竄防止保管期間よりも寿命の長いストレージシステムを選択する。更に、データ移動管理ソフトウェア22は、移動元の論理デバイスの記憶容量と同等又はそれ以上の記憶容量を備える論理デバイスを選択する。このようにして選択された論理デバイスは、ストレージ管理者に移動先候補として提示され、ストレージ管理者の確認が得られてからデータ移動が実施されるように構成してもよく、或いはストレージ管理者の確認を求めずに、自動的にデータの移動先として取り扱われるように構成してもよい。
データの移動先候補を登録するストレージグループは、実在するストレージシステムに限らず、仮想上のストレージシステム(例えば、将来開発されるストレージシステム)でもよい。このため、データの移動を実施する時点において、データの移動先のストレージグループに属するストレージシステムが全て仮想上のものであって、実在しない場合も想定される。このような場合には、ストレージ管理者にメールを送信して、実在するストレージシステムをストレージグループに追加するよう催促するのが望ましい。このメールには、例えば、移動対象データ、移動元のストレージシステムのベンダ名、装置名、製品番号、論理デバイス番号、移動先ストレージシステムに必要な記憶容量等を含めることができる。ストレージグループへのストレージシステムの追加は、ストレージ管理者が手作業で行ってもよく、或いはデータ移動管理ソフトウェア22がSAN61に接続しているストレージシステムをディスカバリして、自動的に行ってもよい。
尚、移動スケジュールテーブル223において、データの移動先のストレージシステムのベンダ名、装置名、製造番号、及び論理デバイス番号が未確定であるのは、上述の如く、データ移動スケジュールの上では、データの移動先のストレージシステムが仮想上のものである場合を想定したものである。また、データの移動先のストレージシステムにおける改竄防止保管開始日、及び改竄防止保管期限が未確定であるのは、これらの情報は、データの移動先のストレージシステムにデータが実際に移動されてから確定するためである。
図8は改竄防止対象のデータをストレージシステムに最初に書き込むときにデータ移動管理ソフトウェア22が実施する処理を示している。まず、データ移動管理ソフトウェア22は、データのサイズを移動スケジュールテーブル223に書き込む(S101)。次いで、最初にデータを格納するストレージシステムを選択し、移動スケジュールテーブル223の第一のストレージシステムに関する移動管理情報323に、ベンダ名、装置名、製造番号を書き込む(S102)。次いで、データ移動管理ソフトウェア22は、データを格納する論理デバイスを検索し、移動スケジュールテーブル223の第一のストレージシステムに関する移動管理情報313に、論理デバイス番号を書き込む(S103)。
次いで、データ移動管理ソフトウェア22は、論理デバイスにデータを書き込み(S104)、データの識別情報を計算して、移動スケジュールテーブル223に登録する(S105)。次いで、データ移動管理ソフトウェア22は、データを書き込んだ論理デバイスに対して改竄防止設定を行う(S106)。改竄防止設定処理の詳細については後述する。
次いで、データ移動管理ソフトウェア22は、移動スケジュールテーブル223の第一のストレージシステムに関する移動管理情報323に、改竄防止保管開始日と改竄防止保管期限とを登録する(S107)。上述の如く、改竄防止保管開始日と改竄防止保管期限は、実際にデータを書き込んだ日付を基準に確定される。次いで、データ移動管理ソフトウェア22は、移動許可開始日にデータ移動イベントが発生するようにシステムを設定する(S108)。
図9はデータ移動イベント発生時にデータ移動管理ソフトウェア22が実施する処理を示している。データ移動イベントが発生すると、データ移動管理ソフトウェア22は、移動スケジュールテーブル223を参照して、次の移動先となるストレージシステムの番号Nを取得する(S201)。次いで、第N番目にデータを格納するストレージシステムを選択し、移動スケジュールテーブル223の第Nのストレージシステムに関する移動管理情報325に、ベンダ名、装置名、製造番号を書き込む(S202)。
次いで、データ移動管理ソフトウェア22は、データを格納する論理デバイスを検索し、移動スケジュールテーブル223の第Nのストレージシステムに関する移動管理情報325に、論理デバイス番号を書き込む(S203)。次いで、データ移動管理ソフトウェア22は、第(N−1)のストレージシステムの論理デバイスから第Nのストレージシステムの論理デバイスへデータを複写する(S204)。
次いで、データ移動管理ソフトウェア22は、移動スケジュールテーブル223の第Nのストレージシステムに関する移動管理情報325に、改竄防止保管開始日と改竄防止保管期限とを登録する(S205)。次いで、データ移動管理ソフトウェア22は、移動許可開始日にデータ移動イベントが発生するようにシステムを設定する(S206)。
図10はLDEV制御情報103の設定、変更又は解除を行うときにストレージシステム10で行われる処理を示している。LDEV制御情報103の設定、変更又は解除はデータ移動管理ソフトウェア22からの指示によって行われる他、コンソール端末51からの指示によっても行われる。LDEV制御情報103の設定、変更又は解除を行うには、まず、操作権限の妥当性が判定される(S301)。この判定は、操作対象の論理デバイスが複数のコントローラからアクセス可能であり、排他制御が必要である場合には、その論理デバイスのロックが取得できたか否か、LDEV制御情報103の設定、変更又は解除を行う上でライセンスの取得が必要な場合に、指示を出したホスト装置31,32又はコンソール端末51がライセンスを取得しているか否かが判定される。
操作権限の妥当性があると判定された場合には(S301;YES)、次に、対象LDEVの妥当性が判定される(S302)。この判定では、操作対象のLDEV番号は妥当か否か、論理デバイスは実装され且つ正常であるか否か、論理デバイスの改竄防止設定又は移動許可開始日等を変更してもよいか否かが判定される。
対象LDEVの妥当性があると判定された場合には(S302;YES)、次に、設定内容の妥当性が判定される(S303)。この判定では、改竄防止ビットが「0」であるか否か、設定済みの改竄防止期限は現在日時よりも将来であるか否か、これから設定しようとする改竄防止期限は設定済みの改竄防止期限よりも将来であるか否か、これから設定しようとする移動許可開始日は設定済みの移動許可開始日よりも将来であるか否か、これから設定しようとする移動許可期限は設定済みの移動許可期限よりも将来であるか否か、これから設定しようとする移動延期期間は設定済みの移動延期期間と同等又はそれ以上の期間であるか否か、これから設定しようとする移動許可開始日は現在日時よりも将来であるか否か、これから設定しようとする移動許可期限は移動許可開始日よりも将来であるか否かが判定される。
設定内容の妥当性があると判定された場合には(S303;YES)、次に、改竄防止期間、移動許可開始日、移動許可期限、移動延期期間を設定する(S304,S305,S306,S307)。次いで、データ識別情報の計算が必要であるか否かが判定される(S308)。例えば、移動許可開始日を将来の日時に変更するだけで、論理デバイスに書き込まれたデータの内容が変更されないような場合には、データ識別情報を計算する必要がない場合には(S308;NO)、S310に進む。一方、論理デバイス間のデータ移動を伴う場合のように、データ識別情報が変化する可能性がある場合には、データ識別情報を計算する必要があるので(S308;YES)、データ識別情報を計算する(S309)。そして、最後に、改竄防止ビットを「0」から「1」に変更して、改竄防止設定を行う(S310)。
但し、操作権限の妥当性がないと判定された場合(S301;NO)、対象LDEVの妥当性がないと判定された場合(S302;NO)、或いは設定内容の妥当性がないと判定された場合には(S303;NO)、エラー報告がなされて(S311)、処理が終了する。
図11はストレージシステム間のデータ移動が行われるときにデータ移動管理ソフトウェア22が実施する処理を示している。まず、データ移動管理ソフトウェア22は、移動元のストレージシステムの論理デバイスから移動先のストレージシステムの論理デバイスへデータを複写する(S401)。データ移動の際にエラーが発生しない場合には(S402;NO)、データ移動管理ソフトウェア22は、移動先の論理デバイスに対して、改竄防止設定を行う(S403)。改竄防止設定の際にエラーが発生しない場合には(S404;NO)、移動先のストレージシステムから改竄防止状況報告書を取得する(S405)。改竄防止状況報告書の作成手順については後述する。改竄防止状況報告書の作成の際にエラーが発生しない場合には(S406;NO)、データ移動管理ソフトウェア22は、改竄防止状況報告書をチェックし、データが改竄されることなく移動できたことを確認すると、移動元のストレージシステムの論理デバイスの改竄防止設定を解除する(S407)。改竄防止設定の解除の際にエラーが発生しない場合には(S408;NO)、処理を終了する。一方、上記の処理S402,S404,S406,S408の何れかにおいて、エラーが発生した場合には、エラー報告をして(S409)、処理を終了する。
図12は移動先のストレージシステムにおいて、改竄防止状況報告書を生成する処理を示している。改竄防止状況報告書とは、データが改竄されることなくストレージシステム間を移動できたことを移動先のストレージシステムが証明する電子証明書である。ここでは、電子証明書は、文字列Tから成る場合を例示する。移動先のストレージシステムは、電子証明書を生成する際に、まず、論理デバイスに対する操作権限の妥当性、及び対象LDEVの妥当性を判定する(S501,S502)。これらの判定は、図10において上述したS301,S302の判定と同様であるため、説明を省略する。次いで、移動先のストレージシステムは、情報取得の妥当性を判定する(S503)。この判定では、情報を読み取る対象LDEVが改竄防止設定されたものであるか否かが判定される。
情報取得の妥当性がある場合には(S503;YES)、移動先のストレージシステムは文字列Tに自身のベンダ名、装置名、及び製造番号を含める(S504)。更に、移動先のストレージシステムは、文字列Tに改竄防止期限、移動許可開始日、データ識別情報を含める(S505,S506,S507)。次いで、移動先のストレージシステムは、文字列Tを自身の秘密鍵で暗号化し、文字列Tに電子署名を付加する(S508)。移動先のストレージシステムは、電子署名付きの文字列Tを改竄防止状況報告書として、移動元のストレージシステムに送付する(S509)。電子証明書の送付は、上述の如く、管理サーバ32を経由して行われる。但し、操作権限の妥当性がないと判定された場合(S501;NO)、対象LDEVの妥当性がないと判定された場合(S502;NO)、或いは情報取得の妥当性がないと判定された場合には(S503;NO)、エラー報告がなされて(S510)、処理が終了する。
図13は改竄防止状況報告書の一例を示している。同図に示すように、改竄防止状況報告書には、当該報告書を生成したストレージシステムのベンダ名、装置名、製造番号、改竄防止期限、移動許可開始日、データ識別情報(ハッシュ値)、及び電子署名が付加される。改竄防止状況報告書にストレージシステムのベンダ名、装置名、及び製造番号を付加するのは、電子証明書を生成したストレージシステムを一意に特定するためである。
図14はデータが改竄されることなく移動先のストレージシステムに移動できたことを改竄防止状況報告書によって移動元のストレージシステムが確認したことを条件として、移動元のストレージシステムが自身の論理デバイスの改竄防止設定を解除する処理を示している。移動元のストレージシステムは、論理デバイスに対する操作権限の妥当性、対象LDEVの妥当性、及び設定内容の妥当性を判定する(S601,S602,S603)。これらの判定は、図10において上述したS301,S302,S303の判定と同様であるため、説明を省略する。ここで、操作権限の妥当性がないと判定された場合(S601;NO)、対象LDEVの妥当性がないと判定された場合(S602;NO)、或いは設定内容の妥当性がないと判定された場合には(S603;NO)、エラー報告がなされて(S610)、処理が終了する。
一方、S601,S602,S603の判定において、何れもYESである場合には、移動元のストレージシステムは、移動先のストレージシステムから送信された改竄防止状況報告書の電子署名が妥当であるか否かを判定する(S604)。この判定は、移動先のストレージシステム(署名者)の公開鍵で電子署名を復号することにより、検証することができる。電子署名が妥当である場合には(S604;YES)、移動元のストレージシステムは、改竄防止状況報告書に含まれる改竄防止期限が妥当であるか否かを判定する(S605)。この判定は、移動元のストレージシステムに設定されている改竄防止期限と、改竄防止状況報告書に含まれる改竄防止期限とが一致するか否かにより判定され、両者が一致していれば、改竄防止状況報告書に含まれている改竄防止期限は妥当であり、両者が不一致であれば、改竄防止状況報告書に含まれている改竄防止期限は妥当でない。
改竄防止期限が妥当である場合には(S605;YES)、移動元のストレージシステムは、改竄防止状況報告書に含まれる移動許可開始日が妥当であるか否かを判定する(S606)。この判定は、改竄防止状況報告書に含まれる移動許可開始日が現在日時よりも将来であるか否かにより判定され、移動許可開始日が現在日時よりも将来である場合には、移動許可開始日は妥当であり、移動許可開始日が現在日時よりも過去である場合には、移動許可開始日は妥当でない。
移動許可開始日が妥当である場合には(S606;YES)、移動元のストレージシステムは、改竄防止状況報告書に含まれるデータ識別情報が妥当であるか否かを判定する(S607)。この判定は、移動元のストレージシステムに設定されているデータ識別情報と、改竄防止状況報告書に含まれるデータ識別情報とが一致するか否かにより判定され、両者が一致していれば、改竄防止状況報告書に含まれているデータ識別情報は妥当であり、両者が不一致であれば、改竄防止状況報告書に含まれているデータ識別情報は妥当でない。
データ識別情報が妥当である場合には(S607;YES)、移動元のストレージシステムは、論理デバイスの改竄防止ビットを「1」から「0」に設定する(S608)。これにより、論理デバイスの改竄防止設定が解除される。論理デバイスは、初期化することにより、改竄防止期限が経過する以前の段階においても、他のデータ格納用途に利用できる。一方、S604〜S607の何れかの判定において、NOである場合には、データ移動が適正に行われなかったと考えられるので、移動元のストレージシステムにおいて、移動許可開始日と移動許可期限を再設定し(S609)、再度、移動先のストレージシステムへのデータ移動が可能となるようにする。その後、移動元のストレージシステムは、エラー報告をして(S610)、処理を終了する。
図15はバックアップデータのリカバリを行うときの移動管理ソフトウェア22が実施する処理を示している。ストレージシステム10の論理デバイスに障害が生じると、ストレージシステム10は、バックアップ装置80に保持されているバックアップデータを用いてデータのリカバリを行う。ここでは、説明の便宜上、ストレージシステム10の論理デバイスAに障害が発生し、バックアップ装置80に格納されている論理デバイスAのバックアップデータを用いて、論理デバイスBにデータをリカバリする例を示す。論理デバイスAに障害が生じると、保守員は、コンソール端末51を操作して、論理デバイスAに設定されている移動許可開始日と移動許可期限とを変更し、論理デバイスAから他の論理デバイスへデータの移動が可能となる状態に設定する。
論理デバイスAから他の論理デバイスへデータの移動が可能となる状態において、移動管理ソフトウェア22は、まず、テープ媒体81から論理デバイスBにデータを複写する(S701)。データを複写する際に、エラーが発生しない場合には(S702;YES)、移動管理ソフトウェア22は、論理デバイスBに対して改竄防止設定を行う(S703)。改竄防止設定の際にエラーが発生しない場合には(S704;YES)、移動管理ソフトウェア22は、データが改竄されることなく、テープ媒体81から論理デバイスBにデータ移動がなされたことを示す改竄防止状況報告を取得する(S705)。改竄防止状況報告書の生成過程においてエラーが発生しない場合には(S706;YES)、移動管理ソフトウェア22は、改竄防止状況報告をチェックし、データが改竄されることなく、テープ媒体81から論理デバイスBにデータ移動がなされたこと確認すると、論理デバイスAの改竄防止設定を解除する(S707)。改竄防止設定の解除の際にエラーが発生しない場合には(S708;YES)、処理を終了する。一方、上記の処理S702,S704,S706,S708の何れかにおいて、エラーが発生した場合には、エラー報告をして(S709)、処理を終了する。
以上、説明したように、本発明の実施形態によれば、改竄防止設定がなされている論理デバイスに書き込まれたデータが改竄されることなく移動許可期間に他の論理デバイスに移動されたことを条件として、論理デバイスの改竄防止設定を解除することにより、論理デバイスの再利用が可能になり、データの管理コストの低下を実現できる。
また、論理デバイスに書き込まれたデータが改竄されることなく移動許可期間に他の論理デバイスに移動されたか否かを移動先ストレージシステムの電子署名が付加された改竄防止状況報告書で確認することにより、改竄防止の有無を、人手を介することなく、自動的にしかも厳格に行うことができる。
また、ホスト装置32が移動スケジュールテーブル223に従って、ストレージシステム間のデータ移動を管理することにより、データの管理コストの低下を実現できる。
尚、改竄防止期限、改竄防止保管期限、移動許可期限等の期限は、1日単位に限らず、例えば、時間単位、分単位、或いは秒単位で管理することも可能である。
本発明は上述した実施形態に限定されない。当業者であれば、本発明の範囲内で種々の追加や変更等を行うことができる。
本実施形態のストレージシステムを含むネットワーク構成図である。 物理デバイスと論理デバイスとの関係を示す説明図である。 LDEV制御情報のテーブル構成を示す説明図である。 移動管理情報の構成図である。 移動スケジュールテンプレートの構成図である。 ストレージグループ情報の構成図である。 移動スケジュールの構成図である。 データ移動管理ソフトウェアの処理を示すフローチャートである。 データ移動管理ソフトウェアの処理を示すフローチャートである。 LDEV制御情報の設定等の処理を示すフローチャートである。 データ移動管理ソフトウェアの処理を示すフローチャートである。 改竄防止状況報告書の生成処理を示すフローチャートである。 改竄防止状況報告書の一例を示す図である。 改竄防止設定を解除する処理を示すフローチャートである。 バックアップデータのリカバリの処理を示すフローチャートである。
符号の説明
10…ストレージシステム 11…時計 12…チャネルコントローラ 13…制御メモリ 14…キャッシュメモリ 15…ディスクコントローラ 16…ディスクドライブ 20…ストレージシステム 22…データ移動管理ソフトウェア 32…ホスト装置 101…論理デバイス 103…LDEV制御情報 220…データ移動管理方法 221…移動スケジュールテンプレート 222…ストレージグループ情報 223…移動スケジュールテーブル

Claims (11)

  1. 論理デバイスを形成する記憶デバイスと、
    前記論理デバイスに書き込まれたデータの改竄を防止するための制御情報を格納する制御メモリと、
    前記制御情報に基づいて、前記論理デバイスへのデータの読み書きを制御するコントローラと、
    を備え、
    前記制御情報には、前記論理デバイスに書き込まれたデータの改竄を禁止する期限を示す改竄防止期限と、前記論理デバイスに書き込まれたデータの前記改竄防止期限内における他の論理デバイスへのデータの移動を許可する期間を示す移動許可期間と、前記論理デバイスに書き込まれたデータの改竄の有無を識別するデータ識別情報とが含まれており、
    前記コントローラは、改竄防止設定がなされている前記論理デバイスに書き込まれたデータが改竄されることなく前記移動許可期間に前記他の論理デバイスに移動されたことを条件として、前記論理デバイスの改竄防止設定を解除する、ストレージシステム。
  2. 請求項1に記載のストレージシステムであって、
    前記コントローラは、前記論理デバイスに書き込まれたデータが改竄されることなく前記他の論理デバイスに移動されたか否かを示す改竄防止状況報告書を、前記他の論理デバイスを備える移動先のストレージシステムから受信し、前記改竄防止状況報告書に基づいて、前記論理デバイスに書き込まれたデータが改竄されることなく前記移動許可期間に前記他の論理デバイスに移動されたか否かを判定する、ストレージシステム。
  3. 請求項2に記載のストレージシステムであって、
    前記コントローラは、前記移動許可期間内に前記改竄防止状況報告書を取得できなかった場合、又は前記移動許可期間内に前記改竄防止状況報告書を取得できたが、前記論理デバイスに書き込まれたデータが改竄されることなく前記移動許可期間に前記他の論理デバイスに移動できたと判定できなかった場合には、新たに設定された移動許可期間内に前記論理デバイスに書き込まれたデータを前記他の論理デバイスに移動させる、ストレージステム。
  4. 請求項2に記載のストレージシステムであって、
    前記改竄防止状況報告書には、前記他の論理デバイスに設定された改竄防止期限及び移動許可期間と、前記他の論理デバイスに移動されたデータの改竄の有無を識別するデータ識別情報と、前記移動先のストレージシステムの電子署名とが含まれており、
    前記コントローラは、前記電子署名が正当であり、前記他の論理デバイスに設定された改竄防止期限が前記論理デバイスに設定された改竄防止期限と同一であり、前記他の論理デバイスに設定された移動許可期間の初日が現在日よりも将来の日付であり、前記論理デバイスに書き込まれたデータのデータ識別情報と前記他の論理デバイスに書き込まれたデータのデータ識別情報とが同一である場合に、前記論理デバイスに書き込まれたデータが改竄されることなく前記移動許可期間に前記他の論理デバイスに移動されたと判定する、ストレージシステム。
  5. 請求項4に記載のストレージシステムであって、
    前記改竄防止状況報告書には、更に、前記移動先のストレージシステムのベンダ名、装置名及び製造番号が含まれる、ストレージステム。
  6. 第一のストレージシステムと第二のストレージシステムとの間におけるデータ移動を管理するデータ移動管理システムであって、
    前記第一のストレージシステムは、
    第一の論理デバイスを形成する第一の記憶デバイスと、
    前記第一の論理デバイスに書き込まれたデータの改竄を防止するための第一の制御情報を格納する第一の制御メモリと、
    前記第一の制御情報に基づいて、前記第一の論理デバイスへのデータの読み書きを制御する第一のコントローラと、
    を備え、
    前記第一の制御情報には、前記第一の論理デバイスに書き込まれたデータの改竄を禁止する期限を示す第一の改竄防止期限と、前記第一の論理デバイスに書き込まれたデータの前記第一の改竄防止期限内における第二の論理デバイスへのデータの移動を許可する期間を示す第一の移動許可期間と、前記第一の論理デバイスに書き込まれたデータの改竄の有無を識別する第一のデータ識別情報とが含まれており、
    前記第二のストレージシステムは、
    前記第二の論理デバイスを形成する第二の記憶デバイスと、
    前記第二の論理デバイスに書き込まれたデータの改竄を防止するための第二の制御情報を格納する第二の制御メモリと、
    前記第二の制御情報に基づいて、前記第二の論理デバイスへのデータの読み書きを制御する第二のコントローラと、
    を備え、
    前記第二の制御情報には、前記第二の論理デバイスに書き込まれたデータの改竄を禁止する期限を示す第二の改竄防止期限と、前記第二の論理デバイスに書き込まれたデータの前記第二の改竄防止期限内における他の論理デバイスへのデータの移動を許可する期間を示す第二の移動許可期間と、前記第二の論理デバイスに書き込まれたデータの改竄の有無を識別する第二のデータ識別情報とが含まれており、
    前記データ移動管理システムは、
    少なくとも前記第一の改竄防止期限と前記第一の移動許可期限とを管理する移動スケジュールテーブルを備えており、改竄防止設定がなされている前記第一の論理デバイスに書き込まれたデータが改竄されることなく前記第一の移動許可期間に前記第二の論理デバイスに移動されたことを条件として、前記第一の論理デバイスの改竄防止設定を解除する、データ移動管理システム。
  7. 請求項6に記載のデータ移動管理システムであって、
    前記第一の論理デバイスに書き込まれたデータが改竄されることなく前記第二の論理デバイスに移動されたか否かを示す改竄防止状況報告書を前記第二のストレージシステムから受信し、前記改竄防止状況報告書を前記第一のストレージシステムに転送する、データ移動管理システム。
  8. 請求項7に記載のデータ移動管理システムであって、
    前記第一の移動許可期間内に前記第一のストレージシステムが前記改竄防止状況報告書を取得できなかった場合、又は前記第一の移動許可期間内に前記第一のストレージシステムが前記改竄防止状況報告書を取得できたが、前記第一の論理デバイスに書き込まれたデータが改竄されることなく前記第一の移動許可期間に前記第二の論理デバイスに移動できなかった場合には前記第一の移動許可期間を新たに設定する、データ移動管理システム。
  9. 第一のストレージシステムと第二のストレージシステムとの間におけるデータ移動を管理するデータ移動管理方法であって、
    前記第一のストレージシステムの改竄防止設定された第一の論理デバイスに書き込まれたデータを改竄防止期限内に前記第二のストレージシステムの第二の論理デバイスに移動させるステップと、
    前記第一の論理デバイスに書き込まれたデータが改竄されることなく前記改竄防止期間内に前記第二の論理デバイスに移動できた場合に前記第一の論理デバイスに設定された改竄防止設定を解除するステップと、
    を備える、データ移動管理方法。
  10. 請求項9に記載のデータ移動管理方法であって、
    前記第一の論理デバイスに書き込まれたデータが改竄されることなく前記第二の論理デバイスに移動されたか否かを示す改竄防止状況報告書を前記第二のストレージシステムから受信するステップと、
    前記第二のストレージシステムから受信した前記改竄防止状況報告書を前記第一のストレージシステムに転送するステップと、
    を備える、データ移動管理方法。
  11. 請求項10に記載のデータ移動管理方法であって、
    前記改竄防止期間内に前記第一のストレージシステムが前記改竄防止状況報告書を取得できなかった場合、又は前記改竄防止期間内に前記第一のストレージシステムが前記改竄防止状況報告書を取得できたが、前記第一の論理デバイスに書き込まれたデータが改竄されることなく前記改竄防止期間内に前記第二の論理デバイスに移動できなかった場合には前記第一の論理デバイスに書き込まれたデータを前記第二の論理デバイスに移動させるための移動許可期間を新たに設定するステップを備える、データ移動管理方法。

JP2005116303A 2005-04-13 2005-04-13 ストレージシステム、データ移動管理システム、及びデータ移動管理方法 Pending JP2006293864A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005116303A JP2006293864A (ja) 2005-04-13 2005-04-13 ストレージシステム、データ移動管理システム、及びデータ移動管理方法
US11/150,410 US7281107B2 (en) 2005-04-13 2005-06-10 Storage system, data migration managing system, and data migration managing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005116303A JP2006293864A (ja) 2005-04-13 2005-04-13 ストレージシステム、データ移動管理システム、及びデータ移動管理方法

Publications (1)

Publication Number Publication Date
JP2006293864A true JP2006293864A (ja) 2006-10-26

Family

ID=37109905

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005116303A Pending JP2006293864A (ja) 2005-04-13 2005-04-13 ストレージシステム、データ移動管理システム、及びデータ移動管理方法

Country Status (2)

Country Link
US (1) US7281107B2 (ja)
JP (1) JP2006293864A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010198263A (ja) * 2009-02-25 2010-09-09 Fujitsu Ltd データ診断装置、データ診断方法及びデータ診断プログラム
JP2013127701A (ja) * 2011-12-19 2013-06-27 Internatl Business Mach Corp <Ibm> データのメデイア移行時における改ざんを検出する方法、及び記憶装
CN103761604A (zh) * 2013-12-30 2014-04-30 远光软件股份有限公司 报表数据确认编制完成的方法及装置

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8131682B2 (en) * 2006-05-11 2012-03-06 Hitachi, Ltd. System and method for replacing contents addressable storage
JP2008152695A (ja) * 2006-12-20 2008-07-03 Hitachi Ltd 電子的な保護対象に要求される保護能力で該保護対象を保護する記憶制御装置
US8681990B2 (en) * 2008-03-28 2014-03-25 International Business Machines Corporation Renewal management for data items
US8347046B2 (en) * 2008-04-15 2013-01-01 Microsoft Corporation Policy framework to treat data
SE533007C2 (sv) 2008-10-24 2010-06-08 Ilt Productions Ab Distribuerad datalagring
US8862937B2 (en) * 2010-05-06 2014-10-14 Verizon Patent And Licensing Inc. Method and system for migrating data from multiple sources
US8768973B2 (en) * 2010-05-26 2014-07-01 Pivotal Software, Inc. Apparatus and method for expanding a shared-nothing system
US10542100B2 (en) 2016-09-16 2020-01-21 Oracle International Corporation Systems and methodologies for defining and scheduling custom actions as cloud operations
CN110704174A (zh) * 2018-07-09 2020-01-17 中国移动通信有限公司研究院 一种内存释放方法、装置、电子设备及存储介质
CN109240712B (zh) * 2018-08-22 2022-03-22 深信服科技股份有限公司 一种安全工作空间的数据迁移方法及终端、存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5680640A (en) * 1995-09-01 1997-10-21 Emc Corporation System for migrating data by selecting a first or second transfer means based on the status of a data element map initialized to a predetermined state
JP2003030392A (ja) * 2001-07-19 2003-01-31 Toyota Keeramu:Kk アクション管理支援システム
JP3888100B2 (ja) 2001-08-20 2007-02-28 株式会社日立情報システムズ ファイル・リロケーション・システムおよびその処理プログラム
JP2004078331A (ja) 2002-08-12 2004-03-11 Fuji Xerox Co Ltd ファイル管理装置
JP4266725B2 (ja) 2003-06-27 2009-05-20 株式会社日立製作所 記憶システム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010198263A (ja) * 2009-02-25 2010-09-09 Fujitsu Ltd データ診断装置、データ診断方法及びデータ診断プログラム
JP2013127701A (ja) * 2011-12-19 2013-06-27 Internatl Business Mach Corp <Ibm> データのメデイア移行時における改ざんを検出する方法、及び記憶装
US10303593B2 (en) 2011-12-19 2019-05-28 International Business Machines Corporation Detecting tampering of data during media migration, and storage device
CN103761604A (zh) * 2013-12-30 2014-04-30 远光软件股份有限公司 报表数据确认编制完成的方法及装置

Also Published As

Publication number Publication date
US7281107B2 (en) 2007-10-09
US20060236055A1 (en) 2006-10-19

Similar Documents

Publication Publication Date Title
JP2006293864A (ja) ストレージシステム、データ移動管理システム、及びデータ移動管理方法
JP4520755B2 (ja) データ移行方法およびデータ移行装置
TWI291111B (en) Method, system, and computer readable medium with related instructions recorded there on for data synchronization
US8438403B2 (en) Storage apparatus
JP4832862B2 (ja) ディスクアレイシステム及びセキュリティ方法
EP2633462B1 (en) Protecting data integrity with storage leases
US8713251B2 (en) Storage system, control method therefor, and program
US8909883B2 (en) Storage system and storage control method
WO2010122606A1 (en) Storage system and data management method of the same
US7725673B2 (en) Storage apparatus for preventing falsification of data
JP5320557B2 (ja) ストレージシステム
JP2005532611A (ja) 仮想記憶装置
JP2007323218A (ja) バックアップシステム
US20110167234A1 (en) Backup system and its control method
JP2009032038A (ja) リムーバブルな暗号化/復号化モジュールが接続されるストレージシステム
TW200401970A (en) Method and apparatus for reliable failover involving incomplete raid disk writes in a clustering system
JP2006209237A (ja) 記憶システム及びその制御方法並びに仮想化装置
EP2081127A1 (en) Controller for controlling logical volume-related settings
WO2015015589A1 (ja) 情報処理装置、メモリダンプ方法、およびメモリダンププログラム
JP2010238009A (ja) ストレージ制御装置、ストレージシステム及びコピー方法。
JP2005196618A (ja) ストレージ装置およびその制御方法
JP2005267274A (ja) 記憶システム及びコンピュータシステム
JP2016009220A (ja) ストレージ装置、通信装置、及びストレージ制御システム
US8041850B2 (en) Storage apparatus and data integrity assurance method
US8667218B2 (en) Storage apparatus comprising RAID groups of RAID 1 series and control method of writing to RAID group of RAID 1 series