JP2006302259A - 外部ストレージ装置を管理するための方法 - Google Patents

外部ストレージ装置を管理するための方法 Download PDF

Info

Publication number
JP2006302259A
JP2006302259A JP2006066903A JP2006066903A JP2006302259A JP 2006302259 A JP2006302259 A JP 2006302259A JP 2006066903 A JP2006066903 A JP 2006066903A JP 2006066903 A JP2006066903 A JP 2006066903A JP 2006302259 A JP2006302259 A JP 2006302259A
Authority
JP
Japan
Prior art keywords
storage system
encryption
information
volume
platform storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006066903A
Other languages
English (en)
Other versions
JP4776405B2 (ja
Inventor
Yasuyuki Ajimatsu
康行 味松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Publication of JP2006302259A publication Critical patent/JP2006302259A/ja
Application granted granted Critical
Publication of JP4776405B2 publication Critical patent/JP4776405B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • G06F21/805Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors using a security table for the storage sub-system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】装置、システム、および方法は、存在するプラットフォームストレージシステムによってそこで暗号化されたデータを有する外部ストレージシステムにアクセスすることを新しいプラットフォームストレージシステムに可能にする。
【解決手段】外部ストレージシステム内の暗号化データに対応する暗号化情報は存在するプラットフォームストレージシステムのメモリ内に保存される。新しいプラットフォームストレージシステムが外部ストレージシステム内に保存された暗号化データを読むことができるように、存在するプラットフォームストレージシステムのメモリ内に保存された暗号化情報は新しいプラットフォームストレージシステム内に保存された暗号化テーブルに転送される。
【選択図】図1

Description

本発明は外部ストレージ装置を管理するための方法に関係する。
0002 最近のコンピュータストレージシステムは一つのストレージシステムを他のストレージシステムに接続する“外部接続”と呼ばれる機能を有する。ストレージシステムは外部ストレージシステム内のディスクボリュームを見つけて、あたかもそれらがストレージシステム内の内部ディスクボリュームであるかように、そのコミュニケーションポートを経由してホストコンピュータにそれらを送出する。もしもストレージシステムが進んだ機能、たとえば、ボリュームミラーリング、大容量のキャッシュメモリ、多種類のタイプのホスト接続性、等を有しているならば、そのような機能を有していない外部ストレージシステムにこれらの機能を提供することが可能である。外部ストレージシステムを有するストレージシステムの例はFukuzawaおよびその他の米国特許番号6,529,976(タイトル“異種のコンピュータシステム、異種の入力出力システムおよびシステムに対するデータバックアップ方法)において開示されており、この開示内容は参考としてここに付け加えられる。この特許は外部接続機能を有し、”プラットフォームシステム“と呼ばれるストレージシステムを開示する。プラットフォームストレージシステムおよび外部ストレージシステム内のディスクボリュームはそれぞれ”内部ボリューム“および”外部ボリューム“と呼ばれる。
0003 近年、ストレージの安全性は大企業と政府組織にとって重要な関心事になった。暗号化は機密データへの非合法なアクセスを防止するための一般的な方法である。ホストコンピュータによって書かれたデータは、たとえディスクドライブが盗まれてもデータが許可を得ていないユーザによって読まれることができないように、ディスクドライブ内に保存される前にストレージコントローラによって暗号化される。その種の暗号化を有するストレージ装置はAvidaおよびその他の国際出版WO2002093314(タイトル“ネットワークストレージに対する暗号化ベースの安全性システム”)において開示されており、この開示内容は参考としてここに付け加える。
米国特許番号6,529,976 国際特許出願WO2002093314
0004 プラットフォームストレージシステムが一つ以上の外部ストレージシステム内に保存されるデータを暗号化する時に、データは、それがプラットフォームストレージシステムを経由してアクセスされる場合だけ、読まれることが可能である。しかし、これは、もしも存在するプラットフォームストレージシステムがコンピュータシステムを更新するために新しいプラットフォームストレージシステムによって置き換えられるならば、データは新しいシステムにおいてアクセスされることはできないことを意味する。アクセス性を維持するために、データは古いプラットフォームストレージシステムを経由して読まれ、新しいプラットフォームストレージシステムに転送され、新しいプラットフォームストレージシステムによって暗号化されなければならない。しかし、大容量の外部ストレージシステムが含まれる時には、処理は非常に時間の消費になりうる。これは、ビジネスに対する問題を起こすコンピュータシステムの長いダウンタイムの原因となる。
0005 第一の観点において、本発明の目的は、古いプラットフォームストレージシステムから新しいものにデータをコピーすることなく、外部ストレージシステム内の暗号化データのアクセス性を維持するための方法とシステムを提供することである。これを達成するために、新しいプラットフォームストレージシステムが転送された情報を使用して暗号化データをアクセスすることが可能なように、暗号化キー、キー長さなどを含む暗号化情報は古いプラットフォームストレージシステムから新しいプラットフォームストレージシステムに転送される。古いプラットフォームストレージシステムはボリュームID間のマッピング情報、およびアルゴリズム、キー長さ、およびキーを含む暗号化情報を送り出す。新しいプラットフォームストレージシステムは暗号化情報を受け入れ、ボリュームIDを参照することによってそれをそのボリュームにマッピングする。従って、新しいプラットフォームストレージシステムは外部ストレージシステム上の暗号化データをアクセスすることが可能である。
0006 本発明のこれらおよびその他の特徴は、好適な実施例の次の詳細な記述内容によりこの技術に通常程度に精通した人達に明確になる。
0021 本発明の次の詳細な記述において、開示内容の一部分を形成する添付の図面が参照され、および本発明が実施される特定の実施例が図示によって示されるが、限定されることはない。図面において、同じ番号はいくつかの図を通して実質的に同様な構成部分を示す。
0022 第一の実施例において、暗号化情報とボリュームIDは、USBメモリ、フロッピディスク、スマートカード等の様な移動可能メモリデバイスによって送り出され、転送される。
0023 図1は本発明の第一の実施例によるコンピュータストレージシステムを示す。存在する第一のプラットフォームストレージシステム11000は第二のプラットフォームストレージシステム12000によって置き換えられるか増設される。プラットフォームストレージシステム11000とプラットフォームストレージシステム12000の両方はFC(ファイバチャネル)スイッチ15000を経由して外部ストレージシステム16000と17000に接続される。第一のプラットフォームストレージシステム11000は外部ストレージシステム16000、17000内のデータに対する暗号化キーを有し、一方で第二のプラットフォームストレージシステム12000は有しない。プラットフォームストレージシステム11000、12000はまたFCスイッチ14000とFCポート11003、12003を経由してホストコンピュータ13000に接続される。さらに、それらはLANポート11013、12013を経由してLAN18000に接続される。プラットフォームストレージシステム11000、12000は、同様の下二桁を有する参照番号によって示される同様の構成部分によって、同様の機能が可能な同様の構成部分を含む。従って、プラットフォームストレージシステム11000が詳細に記述される。
0024 プラットフォームストレージシステム11000内において、CPU11001はメモリ11002内に保存された制御プログラム11008を実行する。制御プログラム11008はストレージシステムを制御し、およびまたホストコンピュータ13000からのI/O要求を処理し、および外部ストレージシステム16000、17000内に保存されたデータを暗号化/復号する。ディスクコントローラ11005はディスクドライブ11006および11007からの/へのI/Oを制御する。FCポート11003はFCスイッチ14000を経由してホストコンピュータ13000内のFCポート(示されていない)とコミュニケーションを行う。FCポート11004はFCスイッチ15000を経由して外部ストレージシステム16000、17000内のFCポート(示されていない)とコミュニケーションを行う。ストレージメモリ11002は制御プログラムと三つのテーブルを含み、これは以下に記述される。
0025 外部ボリュームテーブル111009は各外部ボリュームに対するボリュームIDとしてWWNとLUNを含み、例えば、図2に示される構造を有する。図2内において、列20001は外部ボリュームのシーケンス番号を含む。列20002は外部ボリュームを有する外部ストレージシステム内のFCポートのユニークなWWN(World Wide Name)を含む。列20003は外部ストレージシステムによって外部ボリュームに割り当てられたLUNを含む。プラットフォームストレージシステム11000は、外部ボリュームテーブル111009内のWWNとLUNを特定して、FCポート11004からI/Oコマンドを送ることによって外部ストレージシステムをアクセスすることが可能である。このテーブルは転送手順が開始される以前に前もって定義される。例えば、外部ボリュームがプラットフォームストレージシステムによって見つけられる時に、テーブルは定義される。ボリュームIDは外部ストレージシステム内のWWNとLUNの組み合わせであり、ボリュームをアクセスするためにプラットフォームストレージシステムによって特定される。
0026 暗号化テーブル11010は図3に示される様に各外部ボリュームに対する暗号化情報を含む。列30001は外部ボリュームのシーケンス番号を含む。列30002は外部ボリュームに適用される暗号化アルゴリズムを含む。列30003と30004はそれぞれデータを暗号化するためのキー長さとキーを含む。もしも外部ボリュームが暗号化されていなければ、列30002は“N/A”を有し、列30003と30004は無効な値を含む。管理者が外部ボリュームの暗号化を構成する時に、このテーブルは定義される。
0027 キーテーブル11011は図4内に示される様にボリュームIDと暗号化情報の間のマッピングを含む。列40001と40002は外部ボリュームテーブル内の値を含む。列40003、40004、および40005は暗号化テーブル内の値を含む。このテーブルは最初は空であり、暗号化情報が転送される時に生成される。
0028 図1に戻って、キーI/Oデバイス11012はUSBメモリ、フロッピディスク、またはスマートカードなどの様な移動可能メモリデバイス19000を受け取るためのインタフェースである。移動可能メモリデバイス19000は転送される暗号化情報を保存する。
0029 LANポート11013はLAN18000に接続される。プラットフォームストレージシステム11000はこのポートを経由してLAN内の他のデバイスとコミュニケーションを行う。
0030 上記に述べられた様に、プラットフォームストレージシステム12000の構造は11000と同様である。しかし、プラットフォームストレージシステム12000の暗号化テーブル12010は最初は定義されない。むしろ、暗号化テーブル12010は、プラットフォームストレージシステム11000から暗号化情報を転送した後に定義される。
0031 管理コンソール10000は、CPU10001によって実行される管理プログラム10004およびユーザインタフェース(示されていない)を有するコンピュータである。管理プログラム10004はメモリ10002内に保存される。管理コンソール10000はストレージシステムを管理するために使用され、LANポート10003を通して管理情報を送り、および受け取る。
0032 図5Aは暗号化情報とボリュームIDを送り出すために制御プログラム11008によって実行される処理フローを示す。最初に、管理者は管理コンソール10000から暗号化キーを有するプラットフォームストレージシステム11000に要求を送る。プラットフォームストレージシステムは要求を受け取ると(ステップ50000)、移動可能メモリデバイス19000がアクセス可能な様に、キーI/Oデバイス11012を用意する(ステップ50001)。次に、制御プログラム11008は暗号化テーブル11010から一つのボリュームを選択する(ステップ50002)。もしも列30002が“N/A”であると、暗号化されていないのでボリュームは飛ばされる。そうでなければ、制御プログラム11008はキーテーブル11011内に新しい行を生成し、暗号化テーブル11010からボリュームのアルゴリズム、キー長さ、およびキーを読み出し、およびキーテーブル11011内に生成された新しい行にそれらを保存する(ステップ50004)。それはまた外部ボリュームテーブル11009からボリュームのWWNとLUNを読み出し、キーテーブル11011内にそれらを保存する(ステップ50005)。制御プログラム11008は全ての外部ボリュームに対してステップ50002−50005を繰り返す(ステップ50006)。最後に、生成されたキーテーブル11011はキーI/Oデバイス11012を経由して移動可能メモリデバイス19000に出力される(ステップ50007)。管理者はプラットフォームストレージシステム11000からプラットフォームストレージシステム12000に移動可能メモリデバイス19000を移動する。
0033 図5Bは、キーテーブル11011が、管理コンソールから要求を受け取る場合に最も最近のデータを保持するために更新される更新オペレーションの処理フローを示す(ステップ120000)。次に、外部ボリュームテーブル11009または暗号化テーブル11010内の追加され、修正され、または削除された行に対応するキーテーブル11011内の行を見つけるために検索が実行される(ステップ120001および120002)。もしも行がキーテーブル11011内において見つけられると、行が外部ボリュームテーブル11009と暗号化テーブル11010内において削除されたかが決定される(ステップ120003)。もしもそうならば、キーテーブル11011内において見つけられた行は削除される(ステップ120005)。もしも行が外部ボリュームテーブル11009と暗号化テーブル11010内において削除されていないと決定されると、キーテーブル11011内の見つけられた行は外部ボリュームテーブル11009および/または暗号化テーブル11010から必要な項目をコピーすることによって更新される(ステップ120006)。最後に、もしもキーテーブル内に対応する行が見つからないと、新しい行が形成され(ステップ120004)、更新される(ステップ120006)。
0034 キーテーブル11011が図5Bに示される様に更新されたので、図5Cはキーテーブル11011を送り出すステップの簡単化された内容を示す。キーを送り出すための要求を管理コンソール10000から受け取ると(ステップ130000)、キーI/Oデバイス11012が用意され(ステップ130001)、キーテーブル11011がキーI/Oデバイス11012と移動可能メモリデバイス19000に出力される(ステップ130002)。キーテーブル11011は更新が維持されたので、新しいプラットフォームストレージシステムに送り出される用意が常にあり、これは時間を節約することが可能である。
0035 図6は、暗号化情報とボリュームIDを受け入れるためにプラットフォームストレージシステム12000内の制御プログラム12008によって実行される処理フローを示す。ステップ60000と60001は図5A内のステップ50000および50001と同様である。移動可能メモリデバイス19000はプラットフォームストレージシステム12000のキーI/Oデバイス12012に移動され、移動可能メモリデバイス19000内に含まれるキーテーブル11011は制御プログラム12008によって読み出される。プラットフォームストレージシステム12000の制御プログラムはキーテーブル11011から一つのボリュームを選択する(ステップ60002)。それはプラットフォームストレージシステム12000の外部ボリュームテーブル12009の中をのぞいて、選択されたボリュームのWWNとLUNを有するボリュームを見つける(ステップ60003)。もしもボリュームが見つからないと、プラットフォームストレージシステム12000によって見つからなかったので、選択されたボリュームは飛ばされる(ステップ60004)。もしもボリュームが見つかると、それは選択されたボリュームに対して暗号化テーブル12010内に新しい行を生成する。暗号化テーブル12010は外部ボリュームテーブル12009とキーテーブル11011の組み合わせである。制御プログラム12008は外部ボリュームテーブル12009から見つけられたボリュームのボリューム番号を読み出し、暗号化テーブル12010内に生成された新しい行の中にそれを保存する。それはまた移動可能メモリデバイス19000内のキーテーブル11011から暗号化情報を読み出し、暗号化テーブル12010内にその様な情報を保存する(ステップ60005)。ステップ60002−60006は移動可能メモリデバイス19000のキーテーブル11011内の全ての行に対して繰り返される(ステップ60006)。
0036 上記に記述された暗号化情報の受け入れ/送り出しの結果として、プラットフォームストレージシステム12000はデータをコピーすることなく外部ボリューム内の暗号化データをアクセスすることが可能である。この実施例において、暗号化情報は平文で移動可能メモリデバイス19000の中に保存される。しかし、情報への正式な許可を得ていないアクセスを防止するためにこの情報を暗号化することが可能である。管理コンソール10000に接続されたネットワークを通しての代わりに各プラットフォームストレージシステムに接続されたユーザインタフェースから要求を送り、受け取ることもまた可能である。また、キーテーブル11011内の情報は、移動可能メモリデバイス19000を使用する代わりに、プラットフォームストレージシステム12000内のメモリに直接コピーされ、そこから処理されることが可能である。この差違を別にして、処理は実質的に同じである。
0037 第二の実施例によると、ボリュームIDはSCSIのinquiryコマンドへの応答において取得されるユニークな情報である。暗号化アルゴリズムとキーはボリューム内のブロックに対して定義され、これは開始LBA(Logical Block Address)と最終LBAによって特定される。この実施例と第一の実施例の間の違いは以下に記述される。
0038 暗号化情報とボリュームIDは、移動可能メモリデバイスによる代わりに、ネットワークを経由して転送される。故に、キーI/Oデバイス11012、12012は不必要であり使用されない。第二の実施例の外部ボリュームテーブル11009’は図7内に示される構造を有する。ボリュームIDは、ボリュームを備えるストレージシステムのシリアル番号とボリュームのシリアル番号を含むボリュームIDの様な、SCSIのinquiryコマンドへの応答において取得されるユニークな情報である。暗号化情報は図8内に示される様に暗号化テーブル11010’のボリューム内のブロックに対して定義される。列80002と80003はそれぞれ暗号化ブロックの開始LBAと最終LBAを含む。キーテーブル11011’もまた図9内に示される様にボリューム内のブロックに対する暗号化情報を含むために修正される。
0039 図10は暗号化情報とボリュームIDを送り出すために制御プログラム11008によって実行される処理フローを示す。第一の実施例内の図5Aからの違いは次の様である。キーI/Oデバイスに関係するステップは、この実施例に適用しないので、省略される。ステップ100003において、暗号化情報は暗号化テーブル11010’のボリューム内のブロックに対して定義されるので、制御プログラムは暗号化テーブル11010’からキーテーブル11011’に開始LBAと最終LBAをコピーする。ステップ100004において、ユニークなボリュームIDはWWNとLUNの組み合わせの代わりに保存される。生成されたキーテーブル11011’がネットワーク18000を経由してプラットフォームストレージシステム12000に転送できる様に、制御プログラム11008は生成されたキーテーブル11011’を管理コンソール10000に送る(ステップ100006)。
0040 図11は暗号化情報とボリュームIDを受け入れるためにプラットフォームストレージシステム12000内の制御プログラムによって実行される処理フローを示す。第一の実施例内の図6からの違いは次の様である。管理コンソール10000内の管理プログラム10004はキーテーブル11011’を送り、これはプラットフォームストレージシステム11000から送り出される(ステップ110000)。キーI/Oデバイス12012に関係するステップは、この実施例に適用しないので、省略される。ステップ110002において、ユニークなボリュームIDはWWNとLUNの組み合わせの代わりに参照される。ステップ110004において、暗号化情報は暗号化テーブル12010’のボリューム内のブロックに対して定義されるので、制御プログラム12008はプラットフォームストレージシステム12000のキーテーブル11011’から暗号化テーブル12010’に開始LBAと最終LBAをコピーする。ステップ110006において、制御プログラム12008は暗号化テーブル12010’の非暗号化ブロックに対して行を生成する。
0041 この実施例において、たとえ外部ストレージシステム内のポートとLUNが修正されても、外部ボリュームと暗号化情報の間のマッピングが維持されることができるように、ユニークなボリュームIDが使用される。暗号化は、各ボリュームの代わりに、ブロックによって特定された各エリアに対して柔軟に構成されることが可能である。もう一度、情報はネットワークを経由して転送されるので、移動可能メモリデバイスは必要でない。
0042 実施例に明確には記述されていないいくつかの変形がある。受け入れと送り出しの手順の実施を許可されたユーザに制限することによって、システムはより安全になる。もしも複数のキーがボリュームまたはブロックを暗号化するために使用されるならば、テーブル構造と手順はそれらを扱うために拡張されることが可能である。キーテーブルはIEEEp1619において提案されているXMLフォーマットで表される。上記に記述された実施例において、プラットフォームストレージシステムと外部ストレージシステムはFCネットワークによって接続される。しかし、IPネットワークによってそれらを接続し、WWNまたはinquiryコマンドの応答の代わりにIPアドレスまたはiSCSI名を使用することが可能である。
0043 さらに、暗号化が新しいプラットフォームストレージシステムに転送される安全情報として強調されたが、他のタイプの安全情報もまた転送されることができ、例えば、LDEV Guardとデータミラーリング情報を含む他のデータ管理情報などがあるが、これに限定されることはない。LDEV Guardは、義務的な保存期間に、一定のデータが、許可されたアプリケーションによって検索および読み出しだけが行われるが、しかし変更または削除されないことを可能にする。
0044 特定の実施例がこの明細書において示され記述されたが、この技術に通常程度に精通した人達は、同じ目的を達成するために計画されたいかなる調整も、開示された特定の実施例と置き換えることができることを理解する。この開示内容は本発明の任意のおよび全ての適応または変化を包括することを意図しており、上記の記述は説明的な形でなされたが限定的なものではないことが理解される。従って、本発明の範囲は、添付の特許請求項に権利を与えられた同等内容の全範囲と共に、添付の特許請求項に関して適切に決定されるべきである。
0008 図1は本発明の方法と装置が適用されるコンピュータストレージシステムを示す。 0009 図2は本発明の外部ボリュームテーブルを示す。 0010 図3は本発明の暗号化テーブルを示す。 0011 図4は本発明のキーテーブルを示す。 0012 図5Aは存在するストレージシステム内の制御プログラムによって実行される、キーを送り出す処理フローを示す。 0013 図5Bは存在するストレージシステム内の制御プログラムによって実行される、キーテーブルを更新する処理フローを示す。 0014 図5Cは、存在するストレージシステム内の制御プログラムによって実行される、キーテーブルが更新された後にキーを送り出す処理フローを示す。 0015 図6は第二のプラットフォームストレージシステム内の制御プログラムによって実行される、暗号化情報を受け入れる処理フローを示す。 0016 図7は本発明の第二の実施例の外部ボリュームテーブルを示す。 0017 図8は、暗号化情報が第二の実施例の暗号化テーブル内のボリューム内のブロックに対して定義される方法を示す。 0018 図9は、キーテーブルが第二の実施例の暗号化情報を含むために修正される方法を示す。 0019 図10は第二の実施例内の存在するストレージシステム内の制御プログラムによって実行される処理フローを示す。 0020 図11は第二の実施例の第二のストレージシステム内の制御プログラムによって実行される処理フローを示す。

Claims (40)

  1. 第一のプラットフォームストレージシステムによって暗号化され、外部ストレージシステム内に保存されたデータへの第二のプラットフォームストレージシステムによるアクセスを可能にする方法において、
    前記の外部ストレージシステム内に保存された前記の暗号化データに対応する暗号化情報を前記の第一のプラットフォームストレージシステム内に保存するステップと、
    前記の第一のプラットフォームストレージシステムから前記の第二のプラットフォームストレージシステムに前記の暗号化情報を転送するステップと、
    前記の第二のプラットフォームストレージシステムが前記の外部ストレージシステム内に含まれる暗号化データをアクセスすることを可能にするために前記の第二のプラットフォームストレージシステム内に前記の暗号化情報を保存するステップと、
    から成ることを特徴とする方法。
  2. 前記の暗号化情報を転送する前記のステップが、前記の暗号化情報を移動可能メモリデバイス内に保存するステップを含むことを特徴とする請求項1に記載の方法。
  3. 前記の暗号化情報を転送する前記のステップが、暗号化テーブルと外部ボリュームテーブルからキーテーブルを用意するステップを含むことを特徴とする請求項1に記載の方法。
  4. 前記の暗号化情報を転送する前記のステップが、ネットワーク接続を経由して転送するステップを含むことを特徴とする請求項1に記載の方法。
  5. 前記の暗号化情報がボリューム毎ベースに保存されることを特徴とする請求項1に記載の方法。
  6. 前記の暗号化情報が、それぞれの開始および最終論理ブロックアドレス(LBA)によって計算された論理ブロック毎ベースに保存されることを特徴とする請求項1に記載の方法。
  7. 前記の第一のプラットフォームストレージシステムが前記の暗号化情報を転送するために使用されるプログラムを保存するメモリを含み、前記のメモリがまた前記の外部ストレージシステム内に含まれるボリュームのWWNとLUN情報を含む外部ボリュームテーブルを含むことを特徴とする請求項1に記載の方法。
  8. 前記のメモリがさらに、前記の外部ストレージシステムの暗号化ボリュームに対する暗号化情報を含む暗号化テーブルを含むことを特徴とする請求項7に記載の方法。
  9. 前記のメモリがさらに、前記の暗号化テーブル内に保存された前記の暗号化情報を伴う前記の外部ボリュームテーブル内に保存された前記のボリュームの前記のWWNとLUN情報を組み合わせるキーテーブルを含むことを特徴とする請求項8に記載の方法。
  10. 前記の暗号化情報が暗号化アルゴリズム、キー、およびキー長さを含むことを特徴とする請求項9に記載の方法。
  11. 前記の第一のプラットフォームストレージシステムが前記の暗号化情報を転送するために使用されるプログラムを保存するメモリを含み、前記のメモリがまた前記の外部ストレージシステム内に含まれるボリュームの論理ブロックのWWNとLUN情報を含む外部ボリュームテーブルを含むことを特徴とする請求項1に記載の方法。
  12. 前記のメモリがさらに前記の外部ストレージシステムのボリュームの暗号化論理ブロックに対する暗号化情報を含む暗号化テーブルを含むことを特徴とする請求項11に記載の方法。
  13. 前記のメモリがさらに、前記の暗号化テーブル内に保存された前記の暗号化情報を伴う前記の外部ボリュームテーブル内に保存されたボリュームの前記の論理ブロックの前記のWWNとLUN情報を組み合わせるキーテーブルを含むことを特徴とする請求項12に記載の方法。
  14. 前記の暗号化情報が暗号化アルゴリズム、キー、およびキー長さを含むことを特徴とする請求項13に記載の方法。
  15. 前記の暗号化情報を転送する前記のステップが更新されたキーテーブルを参照することによって直ぐに実行されることができる様に、更新された暗号化情報を含む前記の更新されたキーテーブルを保持するステップをさらに含むことを特徴とする請求項1に記載の方法。
  16. 前記の外部ストレージシステム内に保存された前記のデータ内に任意の変化がある毎に、前記のキーテーブルが更新されることを特徴とする請求項15に記載の方法。
  17. SCSIのinquiryコマンドが、前記の外部ストレージシステム内に配置されたボリュームのボリュームIDの配置を見つけるために、前記のネットワーク上において使用されることを特徴とする請求項4に記載の方法。
  18. 第一のプラットフォームストレージシステム、第二のプラットフォームストレージシステムおよび外部ストレージシステムを含み、前記の外部ストレージシステムが前記の第一のプラットフォームストレージシステムによって暗号化されたデータを含むシステムにおいて、
    前記の第一のプラットフォームストレージシステムのメモリ内に保存され、前記の外部ストレージシステム内の前記の暗号化データに対応する暗号化情報と、
    前記の第二のプラットフォームストレージシステム内に保存された暗号化テーブルと、
    を備え、
    前記の第二のプラットフォームストレージシステムが前記の外部ストレージシステム内に保存された前記の暗号化データを読み出すことができるように、前記の第一のプラットフォームストレージシステムの前記のメモリ内に保存された前記の暗号化情報が前記の第二のプラットフォームストレージシステム内に保存された前記の暗号化テーブルに転送されることを特徴とするシステム。
  19. 前記の暗号化情報が前記の第一のプラットフォームストレージシステムから前記の第二のプラットフォームストレージシステムに転送されることができるように、前記の暗号化情報を保存するための移動可能I/Oデバイスをさらに含むことを特徴とする請求項18に記載のシステム。
  20. 前記の第一のプラットフォームストレージシステム内の前記のメモリが、前記のメモリ内に同じく保存された暗号化テーブルと外部ボリュームテーブルから用意されたキーテーブルを保存することを特徴とする請求項18に記載のシステム。
  21. その上で前記の暗号化情報が転送されるネットワークをさらに含むことを特徴とする請求項18に記載のシステム。
  22. 前記の暗号化情報がボリューム毎ベースで保存されることを特徴とする請求項18に記載のシステム。
  23. 前記の暗号化情報がそれぞれの開始および最終論理ブロックアドレス(LBA)によって計算された論理ブロック毎ベースで保存されることを特徴とする請求項18に記載のシステム。
  24. 前記の第一のプラットフォームストレージシステムが前記の暗号化情報を転送するために使用されるプログラムを保存するメモリを含み、前記のメモリがまた前記の外部ストレージシステム内に含まれたボリュームのWWNとLUN情報を含む外部ボリュームテーブルを含むことを特徴とする請求項18に記載のシステム。
  25. 前記のメモリが前記の外部ストレージシステムの暗号化ボリュームに対する暗号化情報を含む暗号化テーブルをさらに含むことを特徴とする請求項24に記載のシステム。
  26. 前記のメモリが前記の暗号化テーブル内に保存された前記の暗号化情報を伴う前記の外部ボリュームテーブル内に保存された前記のボリュームの前記のWWNとLUN情報を組み合わせるキーテーブルをさらに含むことを特徴とする請求項25に記載のシステム。
  27. 前記の暗号化情報が暗号化アルゴリズム、キー、およびキー長さを含むことを特徴とする請求項26に記載のシステム。
  28. 前記の第一のプラットフォームストレージシステムが前記の暗号化情報を転送するために使用されるプログラムを保存するメモリを含み、前記のメモリがまた前記の外部ストレージシステム内に含まれるボリュームの論理ブロックのWWNとLUN情報を含む外部ボリュームテーブルを含むことを特徴とする請求項18に記載のシステム。
  29. 前記のメモリが前記の外部ストレージシステムのボリュームの暗号化論理ブロックに対する暗号化情報を含む暗号化テーブルをさらに含むことを特徴とする請求項28に記載のシステム。
  30. 前記のメモリが前記の暗号化テーブル内に保存された前記の暗号化情報を伴う前記の外部ボリュームテーブル内に保存されたボリュームの前記の論理ブロックの前記のWWNとLUN情報を組み合わせるキーテーブルをさらに含むことを特徴とする請求項29に記載のシステム。
  31. 前記の暗号化情報が暗号化アルゴリズム、キー、およびキー長さを含むことを特徴とする請求項30に記載のシステム。
  32. 更新された暗号化キーテーブルを参照することによって前記の暗号化情報が前記の第二のプラットフォームストレージシステムに直ぐに転送されることができるように、前記のメモリ内に保存され、更新された暗号化情報を含む前記の更新されたキーテーブルをさらに含むことを特徴とする請求項18に記載のシステム。
  33. SCSIのinquiryコマンドが、前記の外部ストレージシステム内に配置されたボリュームのボリュームIDの配置を見つけるために、前記の接続上において使用されることを特徴とする請求項21に記載の方法。
  34. 第一のプラットフォームストレージシステム、第二のプラットフォームストレージシステム、および前記の第一のプラットフォームストレージシステムによって暗号化されたデータを含む外部ストレージシステムを有するシステムにおいて、
    前記の暗号化データの暗号化情報を含むキーテーブルを生成するステップと、
    前記の第二のプラットフォームストレージシステムに前記のキーテーブルを転送するステップと、
    前記のキーテーブルを使用して前記の第二のプラットフォームストレージシステム内に暗号化テーブルを生成するステップと、
    を実行することを制御するプログラムをそれ自身に保存することを特徴とするコンピュータで読み出し可能な媒体。
  35. キーテーブルを生成する前記のステップが外部ボリュームテーブルと暗号化テーブルから情報を読み出すステップを含むことを特徴とする請求項34に記載の媒体。
  36. 前記のプログラムが前記の第一のプラットフォームストレージシステム内の移動可能I/Oデバイスに前記のキーテーブルを転送するステップを実行することをさらに制御することを特徴とする請求項34に記載の媒体。
  37. 第一のプラットフォームストレージシステムによって安全化され、外部ストレージシステム内に保存されたデータへの第二のプラットフォームストレージシステムによるアクセスを可能にするための方法において、
    前記の外部ストレージシステム内に保存された前記の安全化されたデータに対応する安全情報を前記の第一のプラットフォームストレージシステム内に保存するステップと、
    前記の第二のプラットフォームストレージシステムが前記の外部ストレージシステムへアクセスすることができるように、前記の安全情報を前記の第一のプラットフォームストレージシステムから前記の第二のプラットフォームストレージシステムに転送するステップと、
    から成ることを特徴とする方法。
  38. 前記の安全情報が、一定のデータが、義務的な保存期間に、許可されたアプリケーションによって検索および読み出しだけが行なわれ、しかし変更または削除されないことを可能にする管理情報を含むことを特徴とする請求項37に記載の方法。
  39. 前記の安全情報が暗号化情報を含むことを特徴とする請求項37に記載の方法。
  40. 前記の安全情報がデータミラーリング情報を含むことを特徴とする請求項37に記載の方法。
JP2006066903A 2005-04-18 2006-03-13 外部ストレージ装置を管理するための方法 Expired - Fee Related JP4776405B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/107,759 US7272727B2 (en) 2005-04-18 2005-04-18 Method for managing external storage devices
US11/107,759 2005-04-18

Publications (2)

Publication Number Publication Date
JP2006302259A true JP2006302259A (ja) 2006-11-02
JP4776405B2 JP4776405B2 (ja) 2011-09-21

Family

ID=37109958

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006066903A Expired - Fee Related JP4776405B2 (ja) 2005-04-18 2006-03-13 外部ストレージ装置を管理するための方法

Country Status (2)

Country Link
US (3) US7272727B2 (ja)
JP (1) JP4776405B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8782428B2 (en) 2007-06-08 2014-07-15 Fujitsu Limited Encryption device and encryption method
JP2016517241A (ja) * 2013-04-16 2016-06-09 クアルコム,インコーポレイテッド ストレージデバイスによって支援されるインライン暗号化および暗号化解除

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0511919D0 (en) * 2005-06-11 2005-07-20 Ibm Device permitting partial disabling of information retrievability on worm media
JP2007094578A (ja) * 2005-09-27 2007-04-12 Fujitsu Ltd ストレージシステム及びその構成部品交換処理方法
US20070180210A1 (en) * 2006-01-31 2007-08-02 Seagate Technology Llc Storage device for providing flexible protected access for security applications
US8843768B2 (en) * 2006-09-05 2014-09-23 Netapp, Inc. Security-enabled storage controller
US7877603B2 (en) * 2006-09-07 2011-01-25 International Business Machines Corporation Configuring a storage drive to communicate with encryption and key managers
US7925890B2 (en) * 2006-10-23 2011-04-12 Harris Corporation Network centered recovery process for cryptographic processing modules
US9008317B2 (en) 2007-04-10 2015-04-14 International Business Machines Corporation Key encryption and decryption
US8010809B1 (en) 2007-06-22 2011-08-30 Qlogic, Corporation Method and system for securing network data
US8594335B1 (en) * 2007-09-28 2013-11-26 Emc Corporation Key verification system and method
US8583780B2 (en) * 2007-11-20 2013-11-12 Brocade Communications Systems, Inc. Discovery of duplicate address in a network by reviewing discovery frames received at a port
US8498417B1 (en) * 2007-12-27 2013-07-30 Emc Corporation Automation of coordination of encryption keys in a SAN based environment where an encryption engine, device management, and key management are not co-located
US8712035B2 (en) * 2008-01-31 2014-04-29 Hewlett-Packard Development Company, L.P. Online data conversion technique using a sliding window
US8855318B1 (en) * 2008-04-02 2014-10-07 Cisco Technology, Inc. Master key generation and distribution for storage area network devices
US8320569B2 (en) * 2008-10-07 2012-11-27 Wideman Roderick B Generating unique aliases for keys used with tape libraries
US8694768B2 (en) * 2010-05-13 2014-04-08 Brocade Communications Systems, Inc. Determination and display of LUN encryption paths
JP5367917B2 (ja) * 2011-01-25 2013-12-11 三洋電機株式会社 車載器
US9569633B2 (en) * 2012-06-29 2017-02-14 Intel Corporation Device, system, and method for processor-based data protection
JP6343900B2 (ja) * 2013-10-10 2018-06-20 富士通株式会社 通信端末、通信処理方法および通信処理プログラム
GB2525409B (en) 2014-04-24 2016-11-02 Ibm Enabling an external operating system to access encrypted data units of a data storage system

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11143780A (ja) * 1997-11-05 1999-05-28 Hitachi Ltd データベースにおける秘密情報管理方法およびデータベースの秘密情報管理装置
JP2002312223A (ja) * 2000-07-18 2002-10-25 Hitachi Ltd リモートデータ記憶システムにおける暗号化と復号化のための方法及び装置。
JP2003345522A (ja) * 2002-05-27 2003-12-05 Hitachi Ltd データ再配置方法及び装置
JP2004259262A (ja) * 2003-02-07 2004-09-16 Matsushita Electric Ind Co Ltd 端末装置及びそれを備えたデータ保護システム
JP2004362028A (ja) * 2003-06-02 2004-12-24 Hitachi Ltd ストレージシステムの制御方法、ストレージシステム、及びストレージ装置
US20050013441A1 (en) * 2003-07-18 2005-01-20 Yaron Klein Method for securing data storage in a storage area network
JP2006091952A (ja) * 2004-09-21 2006-04-06 Hitachi Ltd 記憶階層を有する計算機システムにおける暗号復号管理方法
JP2006227839A (ja) * 2005-02-16 2006-08-31 Hitachi Ltd ストレージシステム、データ移動方法及び管理計算機

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5495533A (en) 1994-04-29 1996-02-27 International Business Machines Corporation Personal key archive
US5940507A (en) 1997-02-11 1999-08-17 Connected Corporation Secure file archive through encryption key management
JP3671595B2 (ja) 1997-04-01 2005-07-13 株式会社日立製作所 複合計算機システムおよび複合i/oシステム
US6405315B1 (en) 1997-09-11 2002-06-11 International Business Machines Corporation Decentralized remotely encrypted file system
US6393127B2 (en) * 1998-03-02 2002-05-21 Motorola, Inc. Method for transferring an encryption key
US20010056533A1 (en) * 2000-06-23 2001-12-27 Peter Yianilos Secure and open computer platform
WO2002093314A2 (en) 2001-05-17 2002-11-21 Decru, Inc. Encryption based security system for network storage
US20030088658A1 (en) * 2001-11-08 2003-05-08 Davies Ian R. Obtaining information to facilitate system usage
US7159240B2 (en) * 2001-11-16 2007-01-02 Microsoft Corporation Operating system upgrades in a trusted operating system environment
US20050144468A1 (en) * 2003-01-13 2005-06-30 Northcutt J. D. Method and apparatus for content protection in a personal digital network environment
EP2881872A3 (en) 2003-12-22 2015-07-15 IDPA Holdings, Inc. Storage service
US20060021056A1 (en) * 2004-06-30 2006-01-26 Nokia Corporation Digital rights management user data transfer

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11143780A (ja) * 1997-11-05 1999-05-28 Hitachi Ltd データベースにおける秘密情報管理方法およびデータベースの秘密情報管理装置
JP2002312223A (ja) * 2000-07-18 2002-10-25 Hitachi Ltd リモートデータ記憶システムにおける暗号化と復号化のための方法及び装置。
JP2003345522A (ja) * 2002-05-27 2003-12-05 Hitachi Ltd データ再配置方法及び装置
JP2004259262A (ja) * 2003-02-07 2004-09-16 Matsushita Electric Ind Co Ltd 端末装置及びそれを備えたデータ保護システム
JP2004362028A (ja) * 2003-06-02 2004-12-24 Hitachi Ltd ストレージシステムの制御方法、ストレージシステム、及びストレージ装置
US20050013441A1 (en) * 2003-07-18 2005-01-20 Yaron Klein Method for securing data storage in a storage area network
JP2006091952A (ja) * 2004-09-21 2006-04-06 Hitachi Ltd 記憶階層を有する計算機システムにおける暗号復号管理方法
JP2006227839A (ja) * 2005-02-16 2006-08-31 Hitachi Ltd ストレージシステム、データ移動方法及び管理計算機

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8782428B2 (en) 2007-06-08 2014-07-15 Fujitsu Limited Encryption device and encryption method
JP2016517241A (ja) * 2013-04-16 2016-06-09 クアルコム,インコーポレイテッド ストレージデバイスによって支援されるインライン暗号化および暗号化解除

Also Published As

Publication number Publication date
US7272727B2 (en) 2007-09-18
US8301909B2 (en) 2012-10-30
US20080069362A1 (en) 2008-03-20
US20110078462A1 (en) 2011-03-31
US7908489B2 (en) 2011-03-15
JP4776405B2 (ja) 2011-09-21
US20060236129A1 (en) 2006-10-19

Similar Documents

Publication Publication Date Title
JP4776405B2 (ja) 外部ストレージ装置を管理するための方法
JP5117748B2 (ja) 暗号化機能を備えたストレージ仮想化装置
US8423795B2 (en) Storage controller comprising encryption function, data encryption method, and storage system
US7240197B1 (en) Method and apparatus for encryption and decryption in remote data storage systems
US8533494B2 (en) Storage system to which removable encryption/decryption module is connected
US8694800B2 (en) Apparatus and method for securing data on a portable storage device
JP5602572B2 (ja) ストレージ装置、データ複写方法およびストレージシステム
JP4566668B2 (ja) 記憶階層を有する計算機システムにおける暗号復号管理方法
US20080126813A1 (en) Storage control device and method of controlling encryption function of storage control device
TWI312952B (en) Method of protecting information in a data storage device and data storage device for use with a host computer
US8423796B2 (en) Storage device and data processing method of storage device
US20080101605A1 (en) Storage system provided with an encryption function
JP4588486B2 (ja) 計算機システム及び管理計算機とホスト計算機並びにボリューム管理方法
US20100058066A1 (en) Method and system for protecting data
JP2009151401A (ja) 暗号機能を有するストレージ装置におけるボリューム管理方法
JP2006227839A (ja) ストレージシステム、データ移動方法及び管理計算機
US20090177895A1 (en) Controller for controlling logical volume-related settings
US10296468B2 (en) Storage system and cache control apparatus for storage system
JP2009064055A (ja) 計算機システム及びセキュリティ管理方法
JP4555049B2 (ja) 計算機システム、管理計算機、及びデータ管理方法
US9251382B2 (en) Mapping encrypted and decrypted data via key management system
EP2028603B1 (en) External storage medium adapter
WO2010109774A1 (ja) データ処理装置、そのコンピュータプログラムおよびデータ処理方法
JP2004295273A (ja) ストレージにおけるicカードを利用したデータアクセス方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090130

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20090130

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110601

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110621

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110628

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140708

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees