JP2022040957A - 暗号鍵管理システムおよび暗号鍵管理方法 - Google Patents

暗号鍵管理システムおよび暗号鍵管理方法 Download PDF

Info

Publication number
JP2022040957A
JP2022040957A JP2020145933A JP2020145933A JP2022040957A JP 2022040957 A JP2022040957 A JP 2022040957A JP 2020145933 A JP2020145933 A JP 2020145933A JP 2020145933 A JP2020145933 A JP 2020145933A JP 2022040957 A JP2022040957 A JP 2022040957A
Authority
JP
Japan
Prior art keywords
key
encryption key
encryption
storage device
management server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020145933A
Other languages
English (en)
Inventor
裕 吉田
Yutaka Yoshida
美緒子 森口
Mioko Moriguchi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2020145933A priority Critical patent/JP2022040957A/ja
Priority to US17/179,920 priority patent/US11595191B2/en
Publication of JP2022040957A publication Critical patent/JP2022040957A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】データを暗号化するストレージ装置において、暗号鍵自体を暗号化する鍵を外部のサーバに保管する場合に、その対応情報の喪失があってもデータの復元を可能とし、システムの信頼性を向上させる。【解決手段】ストレージ装置は、ストレージ装置のIDをパラメータとして、鍵管理サーバに対して鍵暗号鍵を要求し、鍵管理サーバ要求した鍵暗号鍵とその属性情報を取得し、重複した鍵暗号鍵を排除しつつ鍵暗号鍵リストに格納する。そして、鍵暗号鍵リストのリスト順に、鍵暗号鍵リストに格納された鍵暗号鍵によって暗号鍵の復号を試行し、暗号鍵の復号の成否を判断して、鍵暗号鍵により暗号鍵の復号が失敗したときには、鍵暗号鍵リストの未試行の鍵暗号鍵によって暗号鍵の復号を試行する。【選択図】 図7

Description

本発明は、暗号鍵管理システムおよび暗号鍵管理方法に係り、特に、データを暗号化するストレージ装置において、暗号鍵自体を暗号化する鍵を外部のサーバに保管する場合に、その対応情報の喪失があってもデータの復元を可能とし、システムの信頼性を向上させる暗号鍵管理システムおよび暗号鍵管理方法に関する。
近年、データセキュリティを向上させるために、暗号化機能を有するストレージ装置が利用されている。このような暗号化機能を有するストレージ装置では、暗号鍵を用いてデータを暗号化し、HDD(Hard Disk Drive)などのような記憶装置に保存する。この際、暗号鍵を消失した場合には、暗号化データを復号化できなくなるため、事実上データを消失したことに等しいことになる。
一方、暗号鍵とその暗号鍵を用いて暗号化されたデータとをストレージ装置に格納することはセキュリティの観点から好ましくない。これは、ストレージ装置全体が盗難にあった際には、暗号化されたデータを解読されてしまい、情報が漏洩する恐れがあるためである。
そこで、例えば、特許文献1には、暗号鍵をストレージ装置とは別に鍵管理サーバに格納し、ストレージ装置はそれが必要になった時に鍵管理サーバから暗号鍵を取得して使用する技術が提案されている。
暗号鍵はドライブと暗号チップを備えたディスクボードごとに割り当てられ、これらを保守部品交換された場合には、交換した部品から鍵を入手しデータを読み取られないように暗号鍵を更新する。この際、最新の暗号鍵セットでなければドライブからデータを読み取ることができないため、暗号鍵が更新された場合には、その更新された暗号鍵を鍵管理サーバに再格納し、鍵管理サーバの鍵情報を常に最新に保つ必要がある。
鍵管理サーバの暗号鍵はストレージ装置とは独立して管理されるため、管理者が誤って暗号鍵を削除してしまう可能性がある。また、暗号鍵の更新後に鍵管理サーバに格納されないまま、ストレージ装置が停止されることもある。そのような場合には、暗号鍵はストレージ装置の揮発領域に保管され、停止時にストレージ装置内部から消失する。このため、鍵管理サーバに暗号鍵が存在しない状態でストレージ装置を停止した場合、データの復号はできなくなる。そこで、例えば、特許文献2には、鍵管理サーバの暗号鍵の有無に応じてストレージ装置の停止指示を抑止する制御方式が提案されている。
米国特許第8010810号公報 国際公開第2015/004706号公報
特許文献2のストレージ装置によれば、信頼性を向上させることができ、鍵情報の消失を抑制することができるとしている。
しかしながら、災害や停電等の外的要因でストレージ装置が停止することがありうることを考慮すると、ソフトウェアによる制御では、鍵管理サーバに暗号鍵が存在することを保証できない。このため、鍵管理サーバに暗号鍵を格納することに成功するまでの間は、よりアクセス速度の速いストレージ装置内部メモリの不揮発領域に暗号鍵を保管する必要がある。ただし、前述のセキュリティの懸念があるため、鍵管理サーバで生成する別の暗号鍵(鍵暗号鍵)で、その暗号鍵を暗号化した状態でストレージ装置内部の不揮発領域に格納し、鍵暗号鍵は、鍵管理サーバに保管する手法がとられている。この手法では、鍵暗号鍵と一意に対応する鍵番号をストレージ内部に保管して、鍵管理サーバから鍵暗号鍵を取得する際に使用する。
このストレージ装置の手法では、暗号鍵は鍵情報として自身を暗号化している鍵暗号鍵の鍵番号を指し示す保護鍵ポインタを保持している。また、ストレージ装置は、鍵暗号鍵を鍵管理サーバから一意に特定して取得するために鍵番号をストレージ装置内部の不揮発領域に保管している。そして、暗号鍵を復号する際には、保護鍵ポインタから鍵暗号鍵の鍵番号を特定し、鍵番号を鍵管理サーバに問い合わせることにより、暗号鍵を復号可能な鍵暗号鍵を取得する。
ところが、ストレージ装置においては、一般的に、不揮発領域のデータはハードウェア故障やWrite異常等の要因で読み出せなくなる可能性がある。鍵番号を取り出せなくなった場合には、暗号鍵に対応する鍵暗号鍵を鍵管理サーバから取得できない。鍵管理サーバから手動で鍵暗号鍵を取得できたとしても、暗号鍵と鍵暗号鍵の対応関係の情報にアクセスできないため、この場合も復号できない。これによりデータの復号に必要な暗号鍵を復号できず、事実上データを消失する事態におちいる。
本発明の目的は、データを暗号化するストレージ装置において、暗号鍵自体を暗号化する鍵を外部のサーバに保管する場合に、その対応情報の喪失があってもデータの復元を可能とし、システムの信頼性を向上させる暗号鍵管理システムおよび暗号鍵管理方法を提供することにある。
本発明の暗号鍵管理システムの構成は、好ましくは、データを1又は複数の暗号鍵により暗号化して格納するストレージ装置と1又は複数の鍵管理サーバとがネットワークで接続された暗号鍵管理システムであって、鍵管理サーバは、暗号鍵を暗号化する1又は複数の鍵暗号鍵をその属性情報と共に保持し、ストレージ装置は、鍵暗号鍵によって暗号化された暗号鍵を保持し、鍵管理サーバに対し、ストレージ装置を一意に識別するストレージ装置のIDをパラメータとして、ストレージ装置に対応する鍵暗号鍵を要求し、鍵管理サーバからストレージ装置に対応する鍵暗号鍵とその属性情報を取得し、重複した鍵暗号鍵を排除しつつ取得した鍵暗号鍵とその属性情報を鍵暗号鍵リストに格納し、鍵暗号鍵リストに格納された鍵暗号鍵によって暗号鍵の復号を試行し、暗号鍵の復号の成否を判断して、鍵暗号鍵により暗号鍵の復号が失敗したときには、鍵暗号鍵リストに格納された未試行の鍵暗号鍵によって暗号鍵の復号を試行するようにしたものである。
本発明によれば、データを暗号化するストレージ装置において、暗号鍵自体を暗号化する鍵を外部のサーバに保管する場合に、その対応情報の喪失があってもデータの復元を可能とし、システムの信頼性を向上させる暗号鍵管理システムおよび暗号鍵管理方法を提供することができる。
暗号鍵管理システムの全体構成を示すブロック図である。 ストレージ装置の機能構成図である。 鍵管理サーバ管理テーブルの設定項目と値の一例を示す図である。 実施形態1の鍵暗号鍵リストの一例を示す図である。 実施形態1の暗号鍵管理テーブルの一例を示す図である。 鍵暗号鍵付加属性テーブルの属性項目と値の一例を示す図である。 実施形態1において、鍵暗号鍵を取得し、ストレージ装置の暗号鍵を復号化するまでの一連の処理を示す図である。 各々の鍵暗号鍵により、暗号鍵を復号化する様子を示す図である。 実施形態1の暗号鍵管理システムの処理の詳細を示すUMLシーケンス図である。 復号試行処理の詳細を示すUMLシーケンス図である。 実施形態2の鍵暗号鍵リストの一例を示す図である。 実施形態2の暗号鍵管理テーブルの一例を示す図である。 実施形態2において、旧鍵暗号鍵と新鍵暗号鍵を取得し、ストレージ装置の暗号鍵を更新するまでの一連の処理を示す図である。 各々の鍵暗号鍵により、暗号鍵に対して復号と暗号を行う様子を示す図である。 実施形態2における手動更新の場合の鍵暗号鍵更新前処理の詳細を示すUMLシーケンス図である。 鍵暗号鍵更新処理の詳細を示すUMLシーケンス図である。 実施形態2における手動更新の場合の鍵暗号鍵更新後処理の詳細を示すUMLシーケンス図である。 実施形態3において、鍵管理サーバにおける鍵暗号鍵の整合性をチェックする一連の処理を示す図である。 実施形態3における自動更新の場合の暗号鍵管理システムの処理の詳細を示すUMLシーケンス図である。 定期的鍵暗号鍵更新チェック処理の詳細を示すUMLシーケンス図である。 実施形態3における自動更新の場合の鍵暗号鍵更新後処理の詳細を示すUMLシーケンス図である。
以下、本発明に係る各実施形態について、図1ないし図21を用いて説明する。
〔実施形態1〕
以下、本発明に係る実施形態1を、図1ないし図10を用いて説明する。
先ず、図1および図2を用いて実施形態1に係る暗号鍵管理システムの構成について説明する。
先ず、図1を用いて暗号鍵管理システムの全体構成を説明する。
本実施形態の暗号鍵管理システムは、ホストコンピュータ20、ストレージ装置100、一つ以上の鍵管理サーバ10(図1では、鍵管理サーバ10a、鍵管理サーバ10b、…と表記)からなり、ホストコンピュータ20とストレージ装置100は、ストレージインタフェース6により接続され、ストレージ装置100と鍵管理サーバ10とは、ネットワーク5により接続されている。
ストレージインタフェース6は、例えば、FC(Fibre Channel)やiSCSI(Internet Small Computer Interface)などのストレージ装置とホストコンピュータを接続する専用のインタフェースである。ネットワーク5は、LAN(Local Area Network:構内ネットワーク)でもよいし、インターネットなどのグローバルなネットワークでもよい。
ホストコンピュータ20は、アプリケーションソフトウェアを実行する装置であり、例えば、データベースシステムが実装され、ストレージ装置100に、I/Oコマンドを発行し、ストレージ装置100に格納されているデータの入出力を行う。
ストレージ装置100は、記憶装置として、HDD(Hard Disk Drive)やSSD(Solid State Drive)を備えており、大容量のデータを格納して記憶し、ホストコンピュータ20からのI/Oコマンドに従って、データの読み書きを行う。ストレージ装置100は、制御ボードごとに暗号鍵1を有しており、ストレージ装置100には、記憶デバイスに書き込む際には、暗号鍵1により暗号化し、書き込む際には、暗号鍵1によりデータの暗号化、読み込む際には、暗号鍵1によりデータの復号化を行ってデータセキュリティを向上させている。ストレージ装置100の暗号鍵1は、暗号鍵1自体を暗号化する鍵暗号鍵2により暗号化された形態で保持されている。
鍵管理サーバ10は、鍵暗号鍵2を保持するサーバであり、ストレージ装置100からのクエリによって、鍵暗号鍵2に関する情報を送信する。従来技術でも述べたように、このシステムでは、鍵暗号鍵2を、別途、鍵管理サーバ10に保持することにより、ストレージ装置100の暗号鍵とデータの盗用を防止し、データのセキュリティを向上させている。なお、本実施形態では、図1に示されるように、複数の鍵管理サーバ10を有しており、冗長性を高めるために、同じ暗号鍵1に対する鍵暗号鍵2を別個の鍵管理サーバ10が有することも想定している。
次に、図2を用いてストレージ装置の機能構成について説明する。
ストレージ装置100は、SVP(SuperVisor Program)110で実行されるプログラム機能と、ストレージマイクロプログラム120で実行される機能と、ハードウェア資源を実装している。
SVP110は、スーパバイザモードで実行されるプログラムであり、実現される機能部としては、管理IF(InterFace)部111、暗号化制御部112、通知制御部113がある。
管理IF部111は、セキュリティ管理者(システム管理者)とのインタフェースを司る機能部である。暗号化制御部112は、記憶デバイスに格納されているデータに対する暗号化を制御する機能部である通知制御部113は、暗号化に関する情報を外部に通知する制御部である。
ストレージマイクロプログラム120は、ストレージ装置100を動作するプログラムであり、ユーザモード(スーパバイザモードでない状態)で実行される機能部としては、ホストコマンド制御部121、管理コマンド制御部122、バックエンド制御部123、障害処理部124、構成制御部125、初期設定制御部126からなる。
ホストコマンド制御部121は、ホストアプリケーションからのI/Oコマンド、設定コマンドを受付け、バックエンド制御部123に指示する機能部である。管理コマンド制御部122は、セキュリティ管理者からのコマンドを受付け、バックエンド制御部123に指示する機能部である。バックエンド制御部123は、暗号化チップを介して、記憶デバイス134に格納されているデータのI/O処理や暗号化に関する処理を行う機能部である。障害処理部124は、暗号化に関する障害処理を行う機能部である。構成制御部125は、ストレージ装置100の記憶デバイスの構成やその他のハードウェア・ソフトウェア構成を制御する機能部である初期設定制御部126は、不揮発メモリ133にデータを展開したり、それからデータを読み出す機能部である。不揮発メモリ133は、フラッシュメモリなどの半導体記憶装置であり、電源を切ってもデータがパージしないメモリである。不揮発メモリ133には、暗号化された暗号鍵1が格納されている。
揮発メモリ132は、RAMなどの半導体記憶装置であり、電源を切るとデータがパージするメモリである。揮発メモリ132には、鍵暗号鍵リスト200、鍵管理サーバ情報テーブル201、暗号鍵管理テーブル202が格納されている。なお、これらのテーブルの詳細は、後に説明する。
ストレージ装置100の暗号化制御部112と鍵管理サーバ10は、鍵暗号鍵2に関する情報をやり取りする。鍵管理サーバ10には、鍵暗号鍵2とそれに付随する付加属性3を保持する。なお、付加属性3の詳細は、後に説明する。
次に、図3ないし図6を用いて実施形態1の暗号鍵管理システムで用いられるデータ構造について説明する。
鍵管理サーバ情報テーブル201は、鍵管理サーバ10の情報を保持するテーブルであり、図3に示されるように、鍵管理サーバ番号201a、クラスタ201b、鍵暗号鍵生成201c、ホスト名/IPアドレス201d、ポート番号201e、リトライ回数201f、リトライ間隔201g、接続タイムアウト時間201h、SecretData最大データ長201i、クライアント証明書・秘密鍵201j、サーバ証明書201kの設定項目を有する。
鍵管理サーバ番号201aは、鍵管理サーバ番号の番号を意味する。クラスタ201bは、KMS(Key Management Service:鍵管理機能)クラスタの番号と正副を意味する。鍵暗号鍵生成201cは、鍵暗号鍵を生成するサーバであるか否かを意味する。ホスト名/IPアドレス201dは、KMSのホスト名またはIPアドレスを意味する。ポート番号201dは、KMSの接続先ポート番号を意味する。リトライ回数201fは、KMSとの通信に失敗した場合のリトライ回数を意味する。リトライ間隔201gは、KMSとの通信に失敗した場合のリトライの時間間隔を意味する。接続タイムアウト時間201hは、KMSと接続するときの待ち時間を意味する。SecretData最大データ長201iは、KMSがサポートするSecretDataの最大データ長(byte)を意味する。クライアント証明書・秘密鍵201jは、KMSとのTLS(Transport Layer Security)通信確立のための相互認証に使用するPKCS#7クライアント証明書とPKCS#8秘密鍵のファイル化したPKCS#12ファイルを意味する。サーバ証明書201kは、KMSとのTLS通信確立のための相互認証に使用するサーバ証明書(.cer)を意味する。
次に、図4を用いて鍵暗号鍵リストについて説明する。
鍵暗号鍵リスト200は、ストレージ装置100が鍵暗号鍵に関する処理をするために作成されるリストであり、図4に示されるように、鍵暗号鍵200a、鍵暗号鍵ハッシュ値200b、鍵生成日時200cのフィールドを有する。
鍵暗号鍵200aは、鍵暗号鍵2自体のデータを意味する。鍵暗号鍵ハッシュ値200bは、鍵暗号鍵2自体のデータから生成されるハッシュ値を意味する。鍵生成日時200cは、鍵暗号鍵200cは、鍵暗号鍵2が鍵管理サーバ10上に生成された日時を意味する。
次に、図5を用いて暗号鍵管理テーブルについ説明する。
暗号鍵管理テーブル202は、ストレージ装置100内で暗号鍵の情報を参照するためのテーブルであり、図5に示されように、暗号鍵ID202a、暗号鍵(暗号化)ポインタ202b、暗号鍵(復号化)ポインタ202c、未復号化フラグ202dのフィールドを有する。
暗号鍵ID202aは、暗号鍵を一意に識別する識別子を意味する。暗号鍵(暗号化)ポインタ202bは、暗号化された暗号鍵のデータへの不揮発メモリのデータ格納領域へのポインタを意味する。暗号鍵(復号化)ポインタ202cは、復号化された暗号鍵のデータへの揮発メモリのデータ格納領域へのポインタを意味する。未復号化フラグ202dは、暗号化された暗号鍵に対して復号化したか否かを示すフラグを意味する。
次に、図6を用いて鍵暗号鍵付加属性テーブルを説明する。
鍵暗号鍵付加属性テーブル300は、各々の鍵管理サーバ10に格納される鍵暗号鍵2の属性に関する情報を格納するテーブルであり、図6に示されるように、UUID300a、Object300Group300b、x-AddAttributeDated、x-KeyMaterialFormatID300e、x-ProductID300f、x-HashAlgrithm300g、x-Hash300g、KEK_dynamic鍵データ300hの属性項目を有する。
UUID300aは、KMS内で鍵暗号鍵を一意に特定する値を意味する。ObjectGroup300bは、KMSに格納するデータの種別を意味する。x-AddAttributeDate300cは、KMSで生成された日時を意味する。x-KeyMaterialFormatID300dは、鍵の保護方法,バックアップデータのデータ構造を含めたIDを意味する。x-ProductID300eは、ストレージ装置を一意に特定するIDを意味する。例えば、モデル名と装置の製造番号を合成するなどして生成する。x-HashAlgrithm300fは、鍵管理機能がKEK取得時に,KEKの完全性をチェックするためのHashアルゴリズムIDを意味する。例えば、0は、アルゴリズムとして、「SHA-256」を採用することを意味する。x-Hash300gは、鍵管理機能がKEK_dynamic取得時に,KEK_dynamicの完全性をチェックするためのSHA-256で算出しKEK_dynamicのHash値を意味する。KEK_dynamic鍵データ300hは、鍵暗号鍵を表すデータを意味する。
次に、図7および図8を用いて実施形態1のアルゴリズムの概要について説明する。
本実施形態は、従来技術で示したような鍵番号を用いる方法でない方法により、鍵管理サーバ10より、鍵暗号鍵2を取得し、復号する暗号鍵管理システムである。
以下、図7の順に従い説明する。
(1)鍵暗号鍵2を鍵管理サーバ10で保管する際には、ストレージ装置100から、以下の属性値を付与する。
・鍵の種類(鍵暗号鍵)
・ストレージ装置を一意に特定するID(製品番号(x-ProductID300e等)、モデル名など)
・鍵暗号鍵の生成日時
(2)暗号化制御部112は、鍵暗号鍵2の情報を鍵管理サーバ10から取得する際には、鍵の種類(鍵暗号鍵)とストレージ装置のIDを要求クエリに付与して要求する。ここで、この要求クエリにより、ストレージ装置100に接続している全ての鍵管理サーバ10に対して要求する。これは、本実施形態では、一つの暗号鍵に対して複数の鍵管理サーバに重複して、その鍵暗号鍵が格納されることを意図しており、鍵管理サーバ10から正しい鍵暗号鍵2を取得できなかった場合に、別の鍵管理サーバ10から正しい鍵暗号鍵を取得できる可能性があるためである。なお、この要求インタフェースにおいて、鍵の種類が固定されている場合には、必ずしも鍵の種類は、必須ではない。
(3)暗号化制御部112は、ハッシュアルゴリズムを用いて取得した鍵暗号鍵2のハッシュ値を計算し、ストレージ装置内部で鍵暗号鍵とハッシュ値を対応付け、一つのレコードとして、鍵暗号鍵リスト200に格納する。次の処理で鍵暗号鍵の重複を排除するときに、ハッシュ値を用いることにより、計算量を少なくすることができる。
(4)ここで、冗長性を持たせて複数の鍵管理サーバ10に暗号鍵に対する鍵暗号鍵を格納している場合には、情報同期した複数の鍵管理サーバに対して要求するため、同一の鍵が複数取得される可能性が高い。そのため、暗号化制御部112は、鍵暗号鍵2に付与した鍵のハッシュ値を用いて効率的に鍵暗号鍵2を比較し、同一の鍵暗号鍵2と判定された鍵暗号鍵リスト200の中のレコードを、一つのみ残すようにして、鍵暗号鍵リスト200の中の重複したレコードを除去する。
(5)鍵暗号鍵リスト200に複数の鍵暗号鍵2のレコードが残る場合がある。この場合には、暗号化制御部112は、生成日付が新しい順のレコードから、鍵暗号鍵2のレコードの情報を取得し、暗号鍵1の復号を試行する。復号が正しくなされたかは、例えば、暗号鍵の暗号化に用いられるAES Key Wrapアルゴリズムによりチェックすることができる。AES Key Wrapアルゴリズムは、入力データを完全性チェック用データ(IV)と供に、AESの暗号化アルゴリズムによりラップするアルゴリズムである。すなわち、正しく復号できたかは、復号データの先頭から128bitがIV(0xA6A6A6A6A6A6A6A6)と一致するか否かによって判断することができる。
(6)暗号化制御部112は、復号化は全ての暗号鍵1に対して試行し、復号に失敗した暗号鍵に対しては、鍵暗号鍵リスト200の次のレコードの鍵暗号鍵2を用いて復号を試行する。図8では、暗号鍵A、暗号鍵B、暗号鍵Cが、鍵暗号鍵aにより、復号化され、暗号鍵D、暗号鍵Eが、鍵暗号鍵bにより、復号化されたことを示している。これは、鍵暗号鍵の更新中に障害等で中断した場合に暗号鍵が複数の鍵暗号鍵で暗号化されている可能性があるためである。ここで、暗号鍵管理テーブル202の初期化時に、未復号化フラグ202dに1を設定し、復号に成功した暗号鍵の未復号化フラグに0を設定する。全ての未復号化フラグが0となったら処理を終了する。
本実施形態の暗号鍵管理システムによれば、ストレージ装置100に保管する鍵番号が消失した場合であっても、あるいは、ストレージ装置100に鍵番号を保管しておかなくとも、鍵管理サーバ10から、暗号鍵1に対応した鍵暗号鍵2を取得して、暗号鍵1を復号することができる。
次に、図9および図10を用いて実施形態1の暗号鍵管理システムの処理の詳細について説明する。
障害処理部124は、初期設定制御部126に対して、内部バックアップを要求する(S107)。
初期設定制御部126は、不揮発メモリ133にアクセスし(S109)、内部バックアップを転送するか、エラーが起こったときには、障害処理部124にその旨をレポートする。
初期設定制御部126からの返信を見て、障害処理部124は、内部バックアップが成功したか否かを判定し(S108)、成功したときには(S108:Yes)、暗号化制御部112に対して、その旨を連絡し、失敗したときには(S108:No)、バックエンド設定処理を行う(S110)。バックエンド設定処理は、例えば、PDEV(Physical Device)の全ポートを閉塞する処理である。
次に、暗号化制御部112は、接続している鍵管理サーバ10の全てに対して、パラメータ(鍵の種類、ストレージID)を指定して、暗号鍵1に対応する鍵暗号鍵情報の取得要求を行う(S101)。
次に、鍵管理サーバは、受取ったパラメータに基づいて、鍵暗号鍵の検索を行い(S100)、暗号化制御部112に対して、鍵暗号鍵情報を送信する。
次に、暗号化制御部112は、鍵管理サーバ10からの鍵暗号鍵情報を取得する(S102)。
次に、暗号化制御部112は、図4に示した鍵暗号鍵リスト200を作成し、取得した鍵暗号鍵情報を格納する(S103)。
次に、暗号化制御部112は、SHA256等のハッシュアルゴリズムに従って、鍵暗号鍵のハッシュ値を計算する(S104)。
次に、暗号化制御部112は、計算した鍵暗号鍵2のハッシュ値を、鍵暗号鍵リスト200に格納する(S105)。このとき、同一のハッシュ値を有する鍵暗号鍵2に対しては、レコードを削除する。
次に、暗号化制御部112は、障害処理部124に、暗号鍵1の復号試行の開始を通知する(S106)。
次に、ストレージ装置100は、暗号鍵復号試行処理を行う(S120)。
暗号鍵復号試行処理は、図10により詳細に説明する。
次に、図10を用いて暗号鍵復号試行処理の詳細な処理について説明する。
これは、図9のS120に該当する処理である。
先ず、障害処理部124は、図5に示した未復号化フラグを1(未復号)に初期化する(S202)。
次に、ストレージ装置100は、S200、S201、S203、S204、L230のループ処理を行う(L220)。
L220のループ処理では、先ず、障害処理部124が、暗号化制御部112に対して、鍵暗号鍵要求を行う(S203)。
次に、暗号化制御部112は、全ての鍵暗号鍵による暗号鍵の復号処理を試行したか否かを判定し(S200)、全ての復号処理を試行したときには(S200:Yes)、S211に行き、試行していないときには(S200:No)、S201に行く。
全ての復号処理を試行してないときには、鍵暗号鍵リスト200から鍵暗号鍵のデータを一つ選択し、障害処理部124に送信し(S201)、障害処理部124は、鍵暗号鍵2のデータを受領する(S204)。
次に、障害処理部124は、図5の暗号鍵管理テーブル202の全ての暗号鍵の要素に対して、L230のループ処理を行う。
L230のループ処理では、先ず、障害処理部124は、受領した鍵暗号鍵2のデータにより、暗号鍵1の復号を試行し(S205)、暗号鍵1の復号が成功したか否かを判定し(S206)、復号が成功したときには(S206:Yes)、復号化した暗号鍵1のデータを揮発メモリ132に格納し(S207)、未復号化フラグを0(復号)に設定する(S208)。復号が成功していないときには(S206:No)、S205に戻り、再び復号を試行する。
L230のループ処理を抜けた後に、障害処理部124は、全ての未復号化フラグが0か否かを判定し(S209)、全ての未復号化フラグが0のときには(S209:Yes)、L230のループ処理を抜け、S210に行き、未復号化フラグが0でないものがあるときには(S209:No)、S203に戻る。
L230のループ処理を抜けたときに、障害処理部124は、鍵暗号鍵2の取得を終了した状態を設定し(S210)、暗号鍵を復号処理の終了を構成制御部125にポストする(S211)。
それ以降は、ストレージ装置100は、バックエンド設定処理を行う(S212)。バックエンド設定処理では、復号された暗号鍵1により、記憶デバイス134に記憶されたデータを復号して読み出したり、ホストアプリケーション21からのデータを暗号化して書き込むことができる。
以上、本実施形態によれば、鍵番号を有しない場合や消失した場合であっても、鍵管理サーバからデータを暗号化した鍵暗号鍵に対応する鍵暗号鍵を取得して、暗号鍵を復号することができるので、ハードウェアの故障や人為的なミスによる鍵番号が消失する事態が発生しても、データが復号できるので、システムの信頼性を向上することができる。また、中間的なデータや復号化された暗号鍵は、揮発メモリに記憶されるので、データセキュリティも損なわれることはない。
〔実施形態2〕
以下、本発明に係る実施形態2を、図11ないし図17を用いて説明する。
実施形態1は、暗号鍵に対する鍵番号が得られない場合であっても、鍵管理サーバから暗号鍵に対する鍵暗号鍵を取得して、その鍵暗号鍵により、暗号化された暗号鍵の復号を行うものであった。
本実施形態では、ほぼ同じ構成を有する暗号鍵管理システムを前提として、暗号鍵に対する鍵番号が得られない場合であっても、ストレージ装置内の暗号鍵に対する鍵暗号鍵の更新を可能にし、データのセキュリティの向上を可能にするものである。
以下、本実施形態では、実施形態1と比べて、異なった所を中心に説明する。
元来、鍵管理サーバに置かれる鍵暗号鍵について、同一の鍵暗号鍵を保有続けることは、悪意ある者などからの攻撃や盗用のリスクが生じるために、定期的に更新することが望ましい。
従来の方法では、ストレージ装置に、暗号鍵に対応する鍵暗号鍵の鍵番号を不揮発メモリに保有する方法であった。
しかしながら、この方法では、不揮発メモリのデータは、ハードウェア故障やWrite異常等の要因で読み出せなくなる可能性があるため、鍵番号にアクセスできなくなる可能性がある。鍵番号にアクセスできなくなった場合には、従来の鍵番号を用いて鍵暗号鍵を取得する方法では、鍵番号を取得できず、これにより鍵暗号鍵の更新ができない事態に陥ることになる。
上述のように、同一の鍵を長期間使用すると、流出や盗用によりデータ盗難のリスクが高まるため、鍵暗号鍵を更新しなければならないが、鍵番号にアクセスできない場合にはセキュリティ上のリスクを保有し続けることになってしまい、データのセキュリティは著しく低下する。顧客のセキュリティポリシーによってはこの状態は許容されないことになる。
本実施形態の暗号鍵管理システムは、このような課題を解決するものである。
先ず、図11および図12を用いて実施形態2の暗号鍵管理システムで用いられるデータ構造について説明する。
実施形態2の鍵暗号鍵リスト200は、図11に示されるように、実施形態1の図4に示した鍵暗号鍵リスト200に比べて、鍵管理サーバ番号200dが加わっていることが異なっている。
鍵管理サーバ番号200dは、鍵管理サーバの番号を意味する。
実施形態2の暗号鍵管理テーブル202は、図12に示されるように、実施形態1の図5に示した暗号鍵管理テーブル202に比べて、未復号化フラグ200dがなくなり、未暗号化フラグ200eが加わっていることが異なっている。
未暗号化フラグ202eは、復号化された暗号鍵に対して暗号化したか否かを示すフラグを意味する。
次に、図13および図14を用いて実施形態2のアルゴリズムの概要について説明する。
本実施形態は、従来技術で示したような鍵番号を用いる方法でない方法により、鍵管理サーバ10より、更新のための鍵暗号鍵2を取得し、ストレージ装置100における暗号鍵を更新する暗号鍵管理システムである。ここでは、ストレージ装置100の暗号鍵1に対応する鍵暗号鍵2は、正常時には、同一の鍵管理サーバ10内に一つだけ存在するものと仮定する。
以下、図13の順に従い説明する。
(1)鍵暗号鍵2を鍵管理サーバ10で保管する際には、ストレージ装置100から、以下の属性値を付与する。
・鍵の種類(鍵暗号鍵)
・ストレージ装置を一意に特定するID(製品番号、モデル名など)
・鍵暗号鍵の生成日時
(2)暗号化制御部112は、鍵暗号鍵2の情報を鍵管理サーバ10から取得する際には、鍵の種類(鍵暗号鍵)とストレージ装置のIDを要求クエリに付与して要求する。ここで、この要求クエリにより、ストレージ装置100に接続している全ての鍵管理サーバ10に対して要求する。これは、本実施形態では、一つの暗号鍵に対して複数の鍵管理サーバに重複して、その鍵暗号鍵が格納されることを意図しており、鍵管理サーバ10から正しい鍵暗号鍵2を取得できなかった場合に、別の鍵管理サーバ10から正しい鍵暗号鍵を取得できる可能性があるためである。なお、この要求インタフェースにおいて、鍵の種類が固定されている場合には、必ずしも鍵の種類は、必須ではない。
また、暗号化制御部112は、ストレージ装置100に鍵管理サーバ10の鍵管理サーバ番号を格納し、鍵暗号鍵取得時に鍵管理サーバ番号と鍵暗号鍵を対応付ける。
(3)暗号化制御部112は、ハッシュアルゴリズムを用いて取得した鍵暗号鍵2のハッシュ値を計算し、ストレージ装置内部で鍵暗号鍵2とハッシュ値を対応付け、一つのレコードとして、リスト化し、鍵暗号鍵リスト200に格納する。また、(2)での鍵管理サーバ番号も鍵暗号鍵2に対応付けて格納する。
(4)暗号化制御部112は、ハッシュ値を用いて鍵暗号鍵の重複を除去する。重複している場合には、鍵管理サーバ番号が小さいレコードを優先して残すようにする。
(5)暗号化制御部112は、鍵暗号鍵リスト200を新しい日付から旧い日付に生成日時で並び替える。
(6)鍵管理サーバ番号が同一のレコードが二つ以上存在する場合、過去に更新に失敗したと判定する。更新が失敗した状態からの再更新の場合には、最も生成日付が新しい鍵暗号鍵を更新用鍵暗号鍵とする。図14は、更新が失敗した状態からの再更新の場合を示している。
更新が成功している場合(鍵管理サーバ番号が一つのみ)や、強制的に更新する場合には鍵管理サーバに要求して新規に更新用鍵暗号鍵を生成し取得する。
(7)暗号鍵管理テーブル202の未暗号化フラグを1(暗号化していない)に設定する。
(8)生成日付が新しい新鍵暗号鍵で、暗号鍵1の復号を試行する。復号が正しくなされたかは、例えば、暗号鍵の暗号化に用いられるAES Key Wrapアルゴリズムによりチェックすることができる。すなわち、正しく復号できたかは、復号データの先頭から128bitがIV(0xA6A6A6A6A6A6A6A6)と一致するか否かによって判断することができる。
図14において暗号鍵A、暗号鍵B、暗号鍵Cは復号に成功したものとする。このとき、更新用鍵暗号鍵(再更新の場合は、最も生成日付が新しい鍵暗号鍵)でそれぞれ暗号化し、未暗号化フラグに0(暗号化済み)を設定する。
(9)(10)で失敗した暗号鍵に対しては、旧鍵暗号鍵((8)で試行した鍵暗号鍵の次の生成日付の鍵暗号鍵)で復号を試行する。復号が成功したか否かについては、(8)で述べた方法で判断することができる。図14の例では、暗号鍵D、暗号鍵Eは、旧鍵暗号鍵で、復号に成功するとする。このときに、更新用鍵暗号鍵(再更新の場合は、最も生成日付が新しい鍵暗号鍵)で未暗号化フラグに0(暗号化済み)を設定する。もし、旧鍵暗号鍵による復号が失敗し、かつ、鍵暗号鍵リスト200に、さらに生成日時が古い鍵暗号鍵が存在する場合には、次の生成日時が古い鍵暗号鍵による暗号鍵の復号化と、更新用鍵暗号鍵の暗号化を同様に試行する。
(11)更新が成功している場合(鍵管理サーバ番号が一つのみ)や、強制的に更新する場合には、暗号鍵に対してユニークに定まる鍵暗号鍵によって、暗号鍵を復号し、生成された更新用鍵暗号鍵により、復号された暗号鍵を暗号化し、未暗号化フラグに0(暗号化済み)を設定する。
(12)未暗号化フラグが全て0(暗号化済み)となったら、更新用鍵暗号鍵以外の鍵暗号鍵を全て鍵管理サーバから削除する。未暗号化フラグが全て0でなければ、更新用鍵暗号鍵で暗号鍵が暗号化されなかったことを意味する。この場合には、暗号鍵管理システムの動作が、鍵暗号鍵を手動更新するようになっているときには、オペレータに対してモニタなどに異常終了を応答する。暗号鍵管理システムの動作が、鍵暗号鍵を自動更新するようになっている場合には、システムに異常を通知し、鍵暗号鍵の自動更新処理を発動する。
なお、未暗号化フラグをストレージ内部の不揮発メモリに保存して、異常発生時に、未暗号化フラグが1の鍵に対してのみ、鍵暗号鍵の更新処理を実施するようにしてもよい。
このように、本実施形態によれば、鍵番号を取得できず、かつ、鍵暗号鍵の更新が成功しているのみならず、鍵暗号鍵の更新が途中で異常終了した状態からでも、生成日時の新しい鍵暗号鍵を更新用鍵暗号鍵とみなすことにより、ストレージ装置の暗号鍵と鍵管理サーバにおける鍵暗号鍵の対応を有する暗号鍵管理システムを復旧することができる。
次に、図15ないし図17を用いて実施形態2の暗号鍵管理システムの処理の詳細について説明する。
手動更新の場合の鍵暗号鍵更新前処理の場合は、先ず、管理IF部111は、暗号化制御部112に対して鍵暗号更新要求を行う。この鍵暗号更新要求は、通常時に手動で行うものか強制時のものである。
次に、暗号化制御部112は、接続している鍵管理サーバ10の全てに対して、パラメータ(鍵の種類、ストレージID)を指定して、暗号鍵1に対応する鍵暗号鍵2の情報の取得要求を行う(S300)。
次に、鍵管理サーバは、受取ったパラメータに基づいて、鍵暗号鍵の検索を行い(S301)、暗号化制御部112に対して、鍵暗号鍵の属性情報を送信する。
次に、暗号化制御部112は、SHA256等のハッシュアルゴリズムに従って、鍵暗号鍵のハッシュ値を計算する(S302)。
次に、暗号化制御部112は、受取った鍵暗号鍵2の属性情報と鍵暗号鍵2のハッシュ値と鍵暗号鍵番号を、図11に示した鍵暗号鍵リスト200に格納する(S303)。
次に、暗号化制御部112は、同一のハッシュ値を有する鍵暗号鍵2に対して、レコードの重複を除去する(S304)。このとき、鍵管理サーバ番号が小さいレコードを優先して残すようにする。
次に、暗号化制御部112は、鍵暗号鍵リスト200を鍵暗号鍵の生成日時順にソートする(S305)。
鍵暗号鍵リスト200の中に、鍵管理サーバ番号が同一のレコードが2未満か、管理IF部からの鍵暗号更新要求が、強制時であるときには(A330)、暗号化制御部112は、鍵管理サーバ10に対して、暗号鍵1の属性情報(ストレージIDを含む)を送信し、鍵暗号鍵2の生成を要求する(S306)。
鍵管理サーバ10は、新規の鍵暗号鍵2を生成し(S307)、鍵暗号鍵2の属性情報を、暗号化制御部112に送信する。
暗号化制御部112は、取得した鍵暗号鍵2を更新用鍵暗号鍵として設定し、状態を更新用鍵暗号鍵の新規作成に設定する(S308)。
鍵暗号鍵リスト200の中に、鍵管理サーバ番号が同一のレコードが2以上であるときには(A340)、暗号化制御部112は、鍵暗号鍵リスト200の先頭のレコード(鍵管理サーバ番号が小さく、生成日時が新しい)の鍵暗号鍵データを更新用鍵暗号鍵として設定する(S309)。
暗号化制御部112は、状態を更新用鍵暗号鍵の新規未作成に設定する(S310)。
次に、暗号化制御部112は、障害処理部124に更新用鍵暗号鍵を通知する(S311)。
次に、暗号化制御部112は、障害処理部124に鍵暗号鍵更新処理を通知する(S312)。
次に、暗号鍵管理システムは、鍵暗号鍵更新処理を行う(S320)。鍵暗号鍵更新処理の詳細は、図16を用いて後述する。
次に、ストレージ装置は、鍵暗号鍵更新後処理を行う(S330)。鍵暗号鍵更新後処理の詳細は、図17を用いて後述する。
以下、図16を用いて鍵暗号鍵更新処理について詳細に説明する。
これは、図15のS320に該当する処理である。
先ず、障害処理部124は、図12に示した未暗号化フラグを1(未暗号)に初期化する(S400)。
次に、ストレージ装置100は、鍵暗号鍵リスト200の全ての鍵暗号鍵に対して、S401~S405、L440、S411のループ処理を行う(L430)。
L430のループ処理では、先ず、障害処理部124が、暗号化制御部112に対して、鍵暗号鍵要求を行う(S401)。
暗号化制御部112は、全ての鍵暗号鍵2に対して鍵暗号鍵更新処理を試行したか否かを判定し(S402)、全ての鍵暗号鍵2に対して鍵暗号鍵更新処理を試行したときには(S402:Yes)、鍵暗号鍵更新処理を終了し、鍵暗号鍵更新処理を試行していない鍵暗号鍵2があるときには(S402:No)、暗号化制御部112は、鍵暗号鍵リスト200から鍵暗号鍵を順に一つ選択し、障害処理部124に送信する(S403)。
これを受けて、障害処理部124は、暗号化制御部112から鍵暗号鍵を受領する(S404)。
次に、障害処理部124は、初期設定制御部126に暗号鍵を要求し、初期設定制御部126は、不揮発メモリにアクセスし(S406)、障害処理部124に暗号鍵を送信し、障害処理部124は、暗号鍵を取得する(S405)。
次に、ストレージ装置100は、取得した暗号鍵に対して、S407~S410のループ処理を行う(L440)。
L440のループ処理では、先ず、障害処理部124は、鍵暗号鍵により、暗号鍵の復号を試行し(S407)、その暗号鍵の復号が成功したか否かを判定し(S408)、暗号鍵の復号が成功したときには(S408:Yes)、S409に行き、暗号鍵の復号が失敗したときには(S408:No)、S407に行き、次の暗号鍵の復号を試行する。
暗号鍵の復号が成功したときには、更新用鍵暗号鍵により、その復号化された暗号鍵を暗号化し(S409)、その暗号鍵に対応する未暗号化フラグを0(暗号化済み)に設定する。
L440のループ処理を抜けたときに、未暗号化フラグが全て0(暗号化済み)か否かを判定し(S411)、未暗号化フラグが全て0のときには(S411:Yes)、L430のループを抜け、鍵暗号鍵更新処理を終了し、0でない未暗号化フラグがあるときには(S411:No)、S401に戻り、次の鍵暗号鍵について、L430のループ処理を行う。
次に、図17を用いて手動更新の場合の鍵暗号鍵更新後処理の詳細について説明する。
手動更新の場合の鍵暗号鍵更新後処理では、未暗号化フラグが全て0(暗号化済み)でないときには(A510)、障害処理部124は、暗号化制御部112に対して、鍵暗号鍵更新の異常終了を応答し(S500)、暗号化制御部112は、管理IF部111に対して、鍵暗号鍵更新の異常終了を応答する(S501)。
未暗号化フラグが全て0(暗号化済み)のときには(A520)、障害処理部124は、暗号化された暗号鍵を、初期設定制御部126に送信し、初期設定制御部126は、暗号化された暗号鍵を不揮発メモリ133にアクセスして(S503)、格納し(S502)、鍵暗号鍵更新が正常終了したことを、暗号化制御部112に報告する(S504)。
次に、暗号化制御部112の状態が更新用鍵暗号鍵の未新規作成(S310)のときには(A530)、鍵暗号鍵リスト200の先頭のレコード(更新用鍵暗号鍵に使用された鍵暗号鍵に対応する)を削除する(S505)。これは、更新用鍵暗号鍵に使用された鍵暗号鍵については、以下のS506により鍵管理サーバに対して削除要求をしないことを意味する。
次に、暗号化制御部112は、鍵暗号鍵リスト200の各々のレコードについて、S506~S508のループ処理を行う(L540)。
暗号化制御部112は、鍵暗号鍵リスト200から鍵暗号鍵と鍵管理サーバ番号を取り出し、鍵管理サーバ10に削除要求を行う(S506)。
鍵管理サーバ10では、この要求に従い、鍵暗号鍵の削除を行う(S507)。
鍵管理サーバ10で、鍵暗号鍵の削除が成功したときには(A550)、鍵管理サーバ10は、暗号化制御部112に対し、鍵暗号鍵の削除の成功を応答し、暗号化制御部112は、鍵暗号鍵リスト200の削除要求済みの鍵暗号鍵を削除する(S508)。
鍵管理サーバ10で、鍵暗号鍵の削除が失敗したときには(A560)、鍵管理サーバ10は、暗号化制御部112に対し、鍵暗号鍵の削除の失敗を応答する。
L540のループを抜け、鍵暗号鍵リスト200に鍵暗号鍵のレコードが残っているか否かを判定し(S509)、残っていないときには(S509:No)、暗号化制御部112は、管理IF部111に、鍵暗号鍵の更新の成功を応答し、残っているときには(S509:Yes)、暗号化制御部112は、管理IF部111に、鍵暗号鍵の更新の失敗を応答し、削除に失敗した(残ったレコードに該当する)鍵暗号鍵2を報告する。
以上、本実施形態によれば、鍵管理サーバ10で鍵暗号鍵の更新が失敗して、同一の暗号鍵に対して、重複した鍵暗号鍵が存在するときでも、生成日時が新しい鍵暗号鍵を更新用鍵暗号鍵とし、生成日時が旧い鍵暗号鍵により、暗号鍵の復号を試行し、更新用鍵暗号鍵によってそれを暗号化することにより、鍵暗号鍵の再更新を行うことができ、データのセキュリティを高く保つことができる。
〔実施形態3〕
以下、本発明に係る実施形態3を、図18ないし図21を用いて説明する。
実施形態2では、暗号鍵に対する鍵番号が得られない場合であっても、ストレージ装置内の暗号鍵に対する鍵暗号鍵の更新を可能にする暗号鍵管理システムについて説明した。
本実施形態では、鍵管理サーバ10に保管される鍵暗号鍵2の整合性を定期的にチェックする暗号鍵管理システムについて説明する。本実施形態でも、実施形態1、実施形態2と異なった所を中心に説明する。
実施形態1では、ストレージ装置100の暗号鍵1と、それに対応する鍵暗号鍵2の対応関係が消失していることを前提とした暗号鍵1の復号方法であった。そのため、鍵暗号鍵の数が増加すると復号の試行回数が増加するという問題点があった。本実施形態では、それを解決するために、定期的に、鍵管理サーバ10に保管された鍵暗号鍵2の数をチェックし、一つの鍵管理サーバ10上に、ストレージ装置100の一つの暗号鍵1に対応する鍵暗号鍵2が一つ存在する状態にする、またはセキュリティ管理者に是正を促すようにするものである。
以下、図18の順に従い説明する。
(1)鍵暗号鍵2を鍵管理サーバ10で保管する際には、ストレージ装置100から、以下の属性値を付与する。
・鍵の種類(鍵暗号鍵)
・ストレージ装置を一意に特定するID(製品番号、モデル名など)
・鍵暗号鍵の生成日時
そして、ストレージ装置100は、定期的に以下の(2)~(5)を実行する。
(2)暗号化制御部112は、鍵暗号鍵2の情報を鍵管理サーバ10から取得する際には、鍵の種類(鍵暗号鍵)とストレージ装置のIDを要求クエリに付与して要求する。ここで、この要求クエリにより、ストレージ装置100に接続している全ての鍵管理サーバ10に対して要求する。
また、暗号化制御部112は、ストレージ装置100に鍵管理サーバ10の鍵管理サーバ番号を格納し、鍵暗号鍵取得時に鍵管理サーバ番号と鍵暗号鍵を対応付ける。
(3)暗号化制御部112は、ハッシュアルゴリズムを用いて取得した鍵暗号鍵2のハッシュ値を計算し、ストレージ装置内部で鍵暗号鍵2とハッシュ値を対応付け、一つのレコードとして、鍵暗号鍵リスト200に格納する。また、(2)での鍵管理サーバ番号も鍵暗号鍵2に対応付けて格納する。
(4)暗号化制御部112は、ハッシュ値を用いて鍵暗号鍵の重複を除去する。重複している場合には、鍵管理サーバ番号が小さいレコードを優先して残すようにする。
(5)鍵管理サーバ番号が同一のレコードが二つ以上存在する場合、鍵暗号鍵2の更新または鍵管理サーバ10間の同期に失敗したと考えられる。鍵管理サーバ番号が同一の鍵暗号鍵が二つ以上ある場合には、鍵暗号鍵2の更新が失敗している判定できる。この場合には、設定により以下のいずれの制御を行う。
・一定時間に一定回数の異常を検知した場合には、セキュリティ管理者にアラートを通知し、任意のタイミングで鍵暗号鍵2の再更新処理または鍵管理サーバ間同期処理を実行する。
・自動で鍵暗号鍵2を再更新処理または鍵管理サーバ間同期処理を実行する。鍵暗号鍵の再更新処理には、実施形態2の鍵暗号鍵の再更新処理を用いることができる。
このように、定期的に、ストレージ装置100が、鍵管理サーバ10に保管されている鍵暗号鍵2の整合性をチェックすることにより、鍵暗号鍵2の更新異常時や同期失敗を検知し、自動または手動で修復することができ、実施形態1で示した暗号鍵の復号処理のときに生じる可能性がある実行時間の増大を防ぐことができる。
次に、図19ないし図21を用いて実施形態3の暗号鍵管理システムの処理の詳細について説明する。
本実施形態では、鍵管理サーバ10に保管される鍵暗号鍵の整合性のチェックを自動的に行い、かつ、自動で鍵暗号鍵の更新処理を行う場合について説明する。
先ず、暗号鍵管理システムは、定期的鍵暗号鍵更新中断チェック処理を行う(S700)。定期的鍵暗号鍵更新中断チェック処理は、定期的に鍵管理サーバ10上の鍵暗号鍵2に整合性があるか否かをチェックする処理であり、後に、図20を用いて説明する。
次に、暗号化制御部112は、鍵暗号鍵リスト200を、鍵暗号鍵2の生成日時順にソートする(S701)。
次に、暗号化制御部112は、鍵暗号鍵リスト200の先頭レコードの鍵暗号鍵をコピーして、更新用鍵暗号鍵として設定する(S702)。
次に、暗号化制御部112は、障害処理部124に更新用鍵暗号鍵を通知する(S703)。
次に、暗号化制御部112は、障害処理部124に更新処理の開始を通知する(S704)。
次に、ストレージ装置100は、鍵暗号鍵更新処理を行う(S710)。鍵暗号鍵更新処理は、既に、図16を用いて詳細に説明した。
次に、暗号鍵管理システムは、自動更新の場合の鍵暗号鍵更新後処理を行う(S720)。自動更新の場合の鍵暗号鍵更新後処理は、後に、図21を用いて詳細に説明する。
次に、図20を用いて定期的鍵暗号鍵更新チェック処理の詳細を説明する。
これは、図19のS700に該当する処理である。
先ず、暗号化制御部112は、設定されている定期的時刻に達したか判定し(S600)、定期的時刻に達したときには、S601に行く。
暗号化制御部112は、接続している鍵管理サーバ10の全てに対して、パラメータ(鍵の種類、ストレージID)を指定して、暗号鍵1に対応する鍵暗号鍵2の情報の取得要求を行う(S601)。
次に、鍵管理サーバは、受取ったパラメータに基づいて、鍵暗号鍵の検索を行い(S602)、暗号化制御部112に対して、鍵暗号鍵の属性情報を送信する。
次に、暗号化制御部112は、SHA256等のハッシュアルゴリズムに従って、鍵暗号鍵のハッシュ値を計算する(S603)。
次に、暗号化制御部112は、受取った鍵暗号鍵2の属性情報と鍵暗号鍵2のハッシュ値と鍵暗号鍵番号を、図11に示した鍵暗号鍵リスト200に格納する(S604)。
次に、暗号化制御部112は、同一のハッシュ値を有する鍵暗号鍵2に対して、レコードの重複を除去する(S605)。このとき、鍵管理サーバ番号が小さいレコードを優先して残すようにする。
次に、暗号化制御部112は、鍵暗号鍵リスト200のレコードの長さが2以上であるか否かを判定し(S606)、鍵暗号鍵リスト200のレコードの長さが2未満であるときには(S606:No)、処理を終了し、鍵暗号鍵リスト200のレコードの長さが2以上であるときには、S607に行く。
暗号化制御部112は、鍵暗号鍵リスト200のレコードの長さが2以上であるときには、鍵暗号鍵リスト200の中に、鍵管理サーバ番号が同一のレコードが2以上あるか否かを判定し(S607)、鍵管理サーバ10間での鍵管理サーバ同期処理を要請する(S608)。
次に、暗号化制御部112は、構成制御部125よりストレージ装置100の構成を参照し(S609)、自動鍵暗号鍵更新再処理が設定されているか否かを判定し(S610)、自動鍵暗号鍵更新再処理が設定されているときには(S610:Yes)、ストレージ装置100は、鍵暗号鍵更新再処理を行う(S611)。鍵暗号鍵更新再処理は、図16に示した鍵暗号鍵更新処理と同様である。
自動鍵暗号鍵更新再処理が設定されていないときには、暗号化制御部112は、通知制御部113に、鍵暗号鍵更新アラート発行指示を行い(S612)、通知制御部113は、鍵暗号鍵更新アラート発行する(S613)。
次に、図21を用いて自動更新の場合の鍵暗号鍵更新後処理の詳細について説明する。
これは、図19のS720に該当する処理である。
手動更新の場合の鍵暗号鍵更新後処理では、未暗号化フラグが全て0(暗号化済み)でないときには(A810)、障害処理部124は、暗号化制御部112に対して、鍵暗号鍵更新の異常終了を応答し(S800)、暗号化制御部112は、管理IF部111に対して、鍵暗号鍵更新の異常終了を応答する(S801)。
管理IF部111は、これを受けて、鍵暗号鍵更新の異常終了を通知する(S802)。
未暗号化フラグが全て0(暗号化済み)のときには(A820)、障害処理部124は、暗号化された暗号鍵を、初期設定制御部126に送信し、初期設定制御部126は、暗号化された暗号鍵を不揮発メモリ133にアクセスして(S804)、格納し(S803)、鍵暗号鍵更新が正常終了したことを、暗号化制御部112に報告する(S805)。
次に、暗号化制御部112の状態が更新用鍵暗号鍵の新規未作成(S310)のときには(A830)、鍵暗号鍵リスト200の先頭のレコード(更新用鍵暗号鍵に使用された鍵暗号鍵に対応する)を削除する(S806)。これは、更新用鍵暗号鍵に使用された鍵暗号鍵については、以下のS807により鍵管理サーバに対して削除要求をしないことを意味する。
次に、暗号化制御部112は、鍵暗号鍵リスト200の各々のレコードについて、S807~S809のループ処理を行う(L850)。
暗号化制御部112は、鍵暗号鍵リスト200から鍵暗号鍵と鍵管理サーバ番号を取り出し、鍵管理サーバ10に削除要求を行う(S807)。
鍵管理サーバ10では、この要求に従い、鍵暗号鍵の削除を行う(S808)。
鍵管理サーバ10で、鍵暗号鍵の削除が成功したときには(A850)、鍵管理サーバ10は、暗号化制御部112に対し、鍵暗号鍵の削除の成功を応答し、暗号化制御部112は、鍵暗号鍵リスト200の削除要求済みの鍵暗号鍵を削除する(S809)。
鍵管理サーバ10で、鍵暗号鍵の削除が失敗したときには(A860)、鍵管理サーバ10は、暗号化制御部112に対し、鍵暗号鍵の削除の失敗を応答する。
L850のループを抜け、鍵暗号鍵リスト200に鍵暗号鍵のレコードが残っているか否かを判定し(S810)、残っていないときには(S810:No)、暗号化制御部112は、管理IF部111に、鍵暗号鍵の更新の成功を応答し、残っているときには(S810:Yes)、暗号化制御部112は、管理IF部111に、鍵暗号鍵の更新の失敗を応答し、削除に失敗した(残ったレコードに該当する)鍵暗号鍵2を報告する。
管理IF部111は、鍵暗号鍵の更新の成功の応答を受けたときには、セキュリティ管理者に鍵暗号鍵更新成功を通知し(S811)、鍵暗号鍵の更新の失敗の応答を受けたときには、削除に失敗した(残ったレコードに該当する)鍵暗号鍵2を通知する(S812)。
以上、本実施形態では、鍵管理サーバにおける鍵暗号鍵の整合性を定期的にチェックすることにより、鍵管理サーバにおける鍵暗号鍵の整合性が保たれ、余計なストレージ装置100における暗号鍵の復号処理を行うことがなくなるというメリットがある。
1…暗号鍵
2…鍵暗号鍵
3…付加属性
5…ネットワーク
6…ストレージインタフェース
10…鍵管理サーバ
20…ホストコンピュータ
21…ホストアプリケーション
100…ストレージ装置
110…SVP(SuperVisor Program)
111…管理IF(InterFace)部
112…暗号化制御部
113…通知制御部
120…ストレージマイクロプログラム
121…ホストコマンド制御部
122…管理コマンド制御部
123…バックエンド制御部
124…障害処理部
125…構成制御部
126…初期設定制御部
132…揮発メモリ
133…不揮発メモリ
134…記憶デバイス
200…鍵暗号鍵リスト
201…鍵管理サーバ情報テーブル
202…暗号鍵管理テーブル

Claims (7)

  1. データを1又は複数の暗号鍵により暗号化して格納するストレージ装置と1又は複数の鍵管理サーバとがネットワークで接続された暗号鍵管理システムであって、
    前記鍵管理サーバは、前記暗号鍵を暗号化する1又は複数の鍵暗号鍵をその属性情報と共に保持し、
    前記ストレージ装置は、
    前記鍵暗号鍵によって暗号化された前記暗号鍵を保持し、
    前記鍵管理サーバに対し、前記ストレージ装置を一意に識別するストレージ装置のIDをパラメータとして、前記ストレージ装置に対応する前記鍵暗号鍵を要求し、
    前記鍵管理サーバから前記ストレージ装置に対応する前記鍵暗号鍵とその属性情報を取得し、
    重複した前記鍵暗号鍵を排除しつつ取得した前記鍵暗号鍵とその属性情報を鍵暗号鍵リストに格納し、
    前記鍵暗号鍵リストに格納された前記鍵暗号鍵によって前記暗号鍵の復号を試行し、
    前記暗号鍵の復号の成否を判断して、前記鍵暗号鍵により前記暗号鍵の復号が失敗したときには、前記鍵暗号鍵リストに格納された未試行の前記鍵暗号鍵によって前記暗号鍵の復号を試行することを特徴とする暗号鍵管理システム。
  2. 前記属性情報には、前記鍵暗号鍵の生成日時を含み、
    前記鍵暗号鍵リストは、前記鍵暗号鍵の生成日時の新しい順に整列されることを特徴とする請求項1記載の暗号鍵管理システム。
  3. 前記ストレージ装置は、前記鍵管理サーバから取得した前記鍵暗号鍵を表すデータからハッシュ値を生成し、前記鍵暗号鍵リストに前記取得した鍵暗号鍵と対応付けて格納し、
    前記ハッシュ値を、前記鍵暗号鍵リストに重複した鍵暗号鍵が格納されたか否かの判定に用いることを特徴とする請求項1記載の暗号鍵管理システム。
  4. 前記鍵暗号鍵リストおよび復号化された暗号鍵は、前記ストレージ装置の揮発メモリに保持されることを特徴とする請求項1記載の暗号鍵管理システム。
  5. データを1又は複数の暗号鍵により暗号化して格納するストレージ装置と1又は複数の鍵管理サーバとがネットワークで接続された暗号鍵管理システムであって、
    前記鍵管理サーバは、前記暗号鍵を暗号化する1又は複数の鍵暗号鍵をその属性情報と共に保持し、
    前記ストレージ装置は、
    前記鍵暗号鍵によって暗号化された前記暗号鍵を保持し、
    前記鍵管理サーバに対し、前記ストレージ装置を一意に識別するストレージ装置のIDをパラメータとして、前記ストレージ装置に対応する前記鍵暗号鍵を要求し、
    前記鍵管理サーバから前記ストレージ装置に対応する前記鍵暗号鍵とその属性情報を取得し、
    重複した前記鍵暗号鍵を排除しつつ前記鍵暗号鍵とその属性情報を格納する鍵暗号鍵リストに格納し、
    前記属性情報には、前記鍵暗号鍵の生成日時を含み、
    前記鍵暗号鍵リストは、前記鍵暗号鍵の生成日時の新しい順に整列され、
    前記ストレージ装置は、前記鍵暗号鍵リストに対応する鍵暗号鍵を取得した鍵暗号鍵を特定する鍵管理サーバ番号を格納し、
    前記ストレージ装置は、同一の鍵管理サーバ番号があるときには、生成日時の新しい鍵暗号鍵を、更新用鍵暗号鍵とし、生成日時の次の暗号鍵を生成日時順に、旧鍵暗号鍵として、その旧鍵暗号鍵により復号を試行し、
    前記ストレージ装置は、同一の鍵管理サーバ番号がないときには、前記鍵暗号鍵リストに格納された鍵暗号鍵を旧鍵暗号鍵とし、前記鍵管理サーバに対して、新規の更新用鍵暗号鍵の生成を要求して、その更新用鍵暗号鍵を取得し、
    前記ストレージ装置は、前記旧鍵暗号鍵により復号の成否を判定し、前記旧鍵暗号鍵による復号が成功したときには、復号化された暗号鍵を、前記更新用鍵暗号鍵により暗号化し、
    前記ストレージ装置は、同一の鍵管理サーバ番号があるときには、前記鍵管理サーバに対して、前記更新用鍵暗号鍵以外の鍵暗号鍵を削除するように要請し、
    前記ストレージ装置は、同一の鍵管理サーバ番号がないときには、前記鍵管理サーバに対して、前記鍵暗号鍵リストに格納された鍵暗号鍵を削除するように要請することを特徴とする暗号鍵管理システム。
  6. 前記ストレージ装置は、定期的に、前記鍵管理サーバ要求した前記鍵暗号鍵とその属性情報を取得し、
    前記ストレージ装置は、前記鍵暗号鍵リストに同一の鍵管理サーバ番号があるか否かを判定し、前記鍵暗号鍵リストに、同一の鍵管理サーバ番号があるときには、アラートを発生させるか、前記鍵管理サーバに対して、鍵暗号鍵の再更新または鍵暗号鍵の同期処理の要請をすることを特徴とする請求項5記載の暗号鍵管理システム。
  7. データを1又は複数の暗号鍵により暗号化して格納するストレージ装置と1又は複数の鍵管理サーバとがネットワークで接続された暗号鍵管理システムによる暗号鍵管理方法であって、
    前記鍵管理サーバが、前記暗号鍵を暗号化する1又は複数の鍵暗号鍵をその属性情報と共に保持するステップと、
    前記ストレージ装置が、そのストレージ装置を一意に識別するストレージ装置のIDをパラメータとして、前記鍵管理サーバに対して前記鍵暗号鍵を要求するステップと、
    前記ストレージ装置が、前記鍵暗号鍵によって暗号化された前記暗号鍵を保持するステップと
    前記ストレージ装置が、前記鍵管理サーバに対し、前記ストレージ装置を一意に識別するストレージ装置のIDをパラメータとして、前記ストレージ装置に対応する前記鍵暗号鍵を要求するステップと、
    前記ストレージ装置が、前記鍵管理サーバ要求した前記鍵暗号鍵とその属性情報を取得するステップと、
    前記ストレージ装置が、重複した前記鍵暗号鍵を排除しつつ前記鍵暗号鍵とその属性情報を格納する鍵暗号鍵リストを格納するステップと、
    前記ストレージ装置が、前記鍵暗号鍵リストに格納された鍵暗号鍵によって前記暗号鍵の復号を試行するステップと、
    前記ストレージ装置が、前記暗号鍵の復号の成否を判断して、前記鍵暗号鍵により前記暗号鍵の復号が失敗したときには、前記鍵暗号鍵リストに格納された未試行の鍵暗号鍵によって前記暗号鍵の復号を試行するステップとを有することを特徴とする暗号鍵管理方法。
JP2020145933A 2020-08-31 2020-08-31 暗号鍵管理システムおよび暗号鍵管理方法 Pending JP2022040957A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020145933A JP2022040957A (ja) 2020-08-31 2020-08-31 暗号鍵管理システムおよび暗号鍵管理方法
US17/179,920 US11595191B2 (en) 2020-08-31 2021-02-19 Encryption key management system and encryption key management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020145933A JP2022040957A (ja) 2020-08-31 2020-08-31 暗号鍵管理システムおよび暗号鍵管理方法

Publications (1)

Publication Number Publication Date
JP2022040957A true JP2022040957A (ja) 2022-03-11

Family

ID=80359154

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020145933A Pending JP2022040957A (ja) 2020-08-31 2020-08-31 暗号鍵管理システムおよび暗号鍵管理方法

Country Status (2)

Country Link
US (1) US11595191B2 (ja)
JP (1) JP2022040957A (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230155827A1 (en) * 2020-03-25 2023-05-18 Nec Corporation Encryption terminal, encryption management device, encrypted communication system, and method
US20220085983A1 (en) * 2020-09-14 2022-03-17 Hewlett Packard Enterprise Development Lp Encryption keys from storage systems
US11983284B2 (en) * 2021-01-19 2024-05-14 Arm Cloud Technology, Inc. Consent management methods
US11640484B1 (en) * 2021-03-08 2023-05-02 Amazon Technologies, Inc. Multi-envelope encryption system
US11740806B2 (en) * 2021-04-29 2023-08-29 Dell Products L.P. Management controller based drive migration
US11856090B2 (en) * 2021-06-24 2023-12-26 International Business Machines Corporation Data protection optimization
US20240089097A1 (en) * 2022-09-09 2024-03-14 Renesas Electronics Corporation Key update management system and key update management method
US11895227B1 (en) * 2023-05-23 2024-02-06 Cloudflare, Inc. Distributed key management system with a key lookup service
CN116779003B (zh) * 2023-06-21 2023-12-08 广州市动易网络科技有限公司 用于硬盘数据销毁和安全性评估的方法及系统
CN116760631B (zh) * 2023-08-09 2023-10-31 国网浙江省电力有限公司 基于调控云平台的多业务数据分级管控方法及系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8010810B1 (en) 2007-12-27 2011-08-30 Emc Corporation Techniques for protecting data using an electronic encryption endpoint device
US8948399B2 (en) * 2011-05-27 2015-02-03 Novell, Inc. Dynamic key management
WO2015004706A1 (ja) 2013-07-08 2015-01-15 株式会社日立製作所 ストレージ装置およびストレージ装置の制御方法
JP6697101B2 (ja) * 2016-09-05 2020-05-20 株式会社日立製作所 情報処理システム
US20210176049A1 (en) * 2019-12-09 2021-06-10 TEEware Co., Ltd. Trusted execution environment- based key management method
WO2022085000A1 (en) * 2020-10-20 2022-04-28 Redis Ltd. Systems, methods, and media for implementing conflict-free replicated data types in in-memory data structures
US11567915B2 (en) * 2021-02-01 2023-01-31 Capital One Services, Llc Maintaining a dataset based on periodic cleansing of raw source data

Also Published As

Publication number Publication date
US11595191B2 (en) 2023-02-28
US20220069983A1 (en) 2022-03-03

Similar Documents

Publication Publication Date Title
JP2022040957A (ja) 暗号鍵管理システムおよび暗号鍵管理方法
US8494170B2 (en) Redundant key server encryption environment
JP4990089B2 (ja) 格納データ暗号化機能内蔵ストレージ装置の暗号鍵をバックアップ及びリストアする計算機システム
US7383462B2 (en) Method and apparatus for encrypted remote copy for secure data backup and restoration
US9152578B1 (en) Securing data replication, backup and mobility in cloud storage
US8423796B2 (en) Storage device and data processing method of storage device
JP5020857B2 (ja) 計算機システム及び端末
US8397083B1 (en) System and method for efficiently deleting a file from secure storage served by a storage system
US8170213B1 (en) Methodology for coordinating centralized key management and encryption keys cached through proxied elements
US8386798B2 (en) Block-level data storage using an outstanding write list
CA2766731C (en) Method and system for cloud based storage
US8417967B2 (en) Storage device data encryption using a binary large object (BLOB)
US20100086134A1 (en) Full volume encryption in a clustered environment
US20150026461A1 (en) System and Method to Create Resilient Site Master-key for Automated Access
CN109842506B (zh) 密钥管理系统容灾处理方法、装置、系统和存储介质
US20060291664A1 (en) Automated key management system
US20100154053A1 (en) Storage security using cryptographic splitting
US20080082836A1 (en) Method and apparatus for data protection
US20140164790A1 (en) Storage security using cryptographic splitting
JP2009032038A (ja) リムーバブルな暗号化/復号化モジュールが接続されるストレージシステム
US8189790B2 (en) Developing initial and subsequent keyID information from a unique mediaID value
US10089245B2 (en) Management of encryption keys for multi-mode network storage device
US20110113259A1 (en) Re-keying during on-line data migration
JP6426520B2 (ja) 暗号鍵管理システムおよび暗号鍵管理方法
JP2000200208A (ja) ファイルバックアップ方法,装置およびそのプログラム記録媒体