JP4555049B2 - 計算機システム、管理計算機、及びデータ管理方法 - Google Patents

計算機システム、管理計算機、及びデータ管理方法 Download PDF

Info

Publication number
JP4555049B2
JP4555049B2 JP2004312937A JP2004312937A JP4555049B2 JP 4555049 B2 JP4555049 B2 JP 4555049B2 JP 2004312937 A JP2004312937 A JP 2004312937A JP 2004312937 A JP2004312937 A JP 2004312937A JP 4555049 B2 JP4555049 B2 JP 4555049B2
Authority
JP
Japan
Prior art keywords
data
management
computer
encryption
decryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004312937A
Other languages
English (en)
Other versions
JP2006127061A (ja
Inventor
正靖 淺野
崇之 永井
泰典 兼田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004312937A priority Critical patent/JP4555049B2/ja
Priority to US11/039,807 priority patent/US20060090072A1/en
Publication of JP2006127061A publication Critical patent/JP2006127061A/ja
Application granted granted Critical
Publication of JP4555049B2 publication Critical patent/JP4555049B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • G06F11/1451Management of the data involved in backup or backup restore by selection of backup contents

Description

本発明はデータ管理を行なうデータ管理システムにおいて、記憶装置(以下、ストレージともいう)のデータ領域の使用に対するユーザの用途における権限に応じて、データの暗号化、復号化を行ない、ユーザ権限に応じてデータ保護を実現しながら、データ管理の運用を可能とするデータ管理システムに関する。
企業などで運用管理する計算機システムにおいて、ストレージのデータ量の増大に伴い、大容量ストレージを用いた計算機システム、また複数のストレージ間をストレージ専用のネットワーク(主にFibre Channel)で接続するSAN(Storage Area Network)やIP(Internet Protocol)で接続された複数のストレージにより、これらのストレージに分散された大容量データを共有して計算機が使用する計算機システムが増加している。上記のような計算機システムでは、管理すべきデータ量の増大により、管理すべきデータ量に応じて、データを管理するユーザ、すなわち管理者もまた増加する傾向にある。
またストレージシステムの大規模化に伴い、様々なデータがSANやIP環境で接続されたストレージシステムで扱われるようになり、重要なデータから、それほど重要視されないデータまでシステム内に存在することも考えられる。重要なデータにおいては、データを扱うユーザを制限するなど、データ保護の必要性が生じる。従来は主にホスト内でデータ操作のためのパスワードを設ける、またデータ通信のためのネットワーク間での暗号化を行なうことで、データ保護を行なってきた。SANなどのストレージネットワーク環境でもデータの暗号化を行ない、データを保護する技術が出てきている。
特許文献1では、SANのネットワーク間で暗号化を行なってSAN上のネットワーク部分のセキュリティを強化するものである。
特許文献2では、SANのネットワーク内で、参照可能なストレージとホストを決めて設定を行なった環境(ゾーニングと呼ばれることがある)の中で、ゾーニングをしたホストとストレージには共通の暗号鍵を用意する。そしてゾーニング内で使用している各ボリュームデータを、バックアップなどで複数のゾーニング共通のストレージやテープに落とすとき、このストレージやテープにあるデータを復号化するには、共通のゾーンでの暗号鍵を使用しないと、ボリュームデータを参照できないようにして、高いデータセキュリティのシステム環境を可能とするものである。
特開2002−217887号公報 特開2002−351747号公報
かかる従来の方法においては、次のような問題がある。
背景技術にあった、2つの特許文献におけるデータセキュリティを向上させる技術では、各システムの装置の接続状況にのみ着目しており、システムを使用するユーザの観点が入っていない。これでは、データの参照権限が与えられていない管理者でも、例えばバックアップなどのシステム運用をするためには、暗号化データを通常通り復号化して管理者にみせて運用する必要があるため、データ参照の権限が本当は与えてはならない管理者でも、データが操作できる環境を与えてしまう。
上記の課題を解決するために、本発明では、ストレージシステムにおいて、データの暗号化を行なう基準としてユーザの用途も対象とし、データ暗号化を行なうか決める。そして暗号化するか復号化するかをユーザの用途に応じて自動的に暗号化や復号化を暗号復号化装置に指示する。
また暗号復号化装置で復号化や暗号化をボリューム単位で切り替えができなければ、暗号復号化装置を経由せずに暗号化したままのデータをホストに認識させるようにボリュームとホストとの間でパスを設定することで実現する。
ユーザのボリュームの使用用途における操作権限に応じて、データの暗号化、復号化を判断し、その上でデータ管理システムの運用を行なうことができ、データ管理システムのデータ保護機能が向上する。
以下、図面を用いて本発明を実施するための最良の形態を詳細に説明する。
図1は、本発明の第一の形態におけるデータ管理システムの構成を示す図の一例である。
ストレージ150は、実際に計算機(例えばホスト120)が操作するデータを格納する管理領域であるボリューム154、ボリューム154の読み書きに関するデータI/Oの送受信や管理計算機100などと通信を行なうI/F152と、実際にストレージの制御を行なうCPU151とメモリ153で構成されている。I/F152は、通信形態が異なれば(例えば管理計算機との通信がIP(Internet Protocol)、データI/OはFC(Fibre Channel)等) 通信形態によっては、通信形態ごとに通信装置が別々に配置されることもある。メモリ153にはストレージ構成プログラム155があり、CPU151によって実行されることにより実現される。ストレージ構成プログラム155は、ストレージ150のボリュームの構成について管理するプログラムであり、ボリューム154を用いて、あるボリュームに対して、複数の複製ボリュームを作成する機能や、ボリュームをI/F152経由でホスト120に認識させるための機能(以下、パス設定機能とも呼ぶ)、このパス設定機能を用いた後、認識させるホストを限定する機能などのストレージの機能を持つ。またボリューム154は、ハードディスクやハードディスクをRAID構成した論理的なボリュームであったり、バックアップシステムなどで、データのバックアップを取るために、テープやDVDなどのリムーバブルメディアとして存在する場合もある。またこの場合、ストレージ150は、ハードディスクによる媒体であったり、ハードディスクを複数持って、RAID構成のボリュームを実現する装置であったり、リムーバブルメディアであるテープを自動的に入れ替える装置であるテープライブラリであったり、DVDを自動的に入れ替える装置であるDVDライブラリであったりする。
管理計算機100は、CPU101とメモリ103と、ストレージ150やホスト120と通信するI/F102で構成されている。暗号化復号化指示プログラム110、ボリュームパス設定プログラム111、ユーザ管理プログラム112、ホスト連携プログラム113は、本発明の実施の形態の処理を実現するものである。暗号化復号化指示プログラム110、ボリュームパス設定プログラム111、ユーザ管理プログラム112、ホスト連携プログラム113は、管理計算機100のメモリ103に格納されており、CPU101によって実行されることにより実現される。データ管理情報114は暗号化復号化指示プログラム110、ボリュームパス設定プログラム111、ユーザ管理プログラム112、ホスト連携プログラム113で使用する情報である。
ホスト120は、ストレージ150のボリューム154にI/F122を介して、データI/Oを送受信して、ホストのデータをボリューム154に格納、編集する計算機である。ホスト120は、前述したI/F122とCPU121、メモリ123で構成されている。ホスト120の情報を管理計算機100で管理する場合は、ホスト120のメモリ123上の管理計算機連携プログラム124を使用し、管理計算機100にI/F122を介して、情報の送信を行なう。またホスト120の業務プログラム125は、ホスト120上で動作する業務を実行するプログラムである。この業務(用途)には、ボリューム154上のデータの更新、作成を行なうデータ管理や、データの複製を行なうバックアップ管理などがある。メモリ123に格納されている管理計算機連携プログラム124、業務プログラム125は、CPU121によって実行されることにより実現される。I/F122は管理計算機100とストレージ150に接続されているが、管理計算機100への情報の送受信には、TCP/IPのようなプロトコル、ストレージ150に対しては、Fibre Channelのようなプロトコルを使用する場合、すなわち別々のプロトコルで接続する場合には、それぞれ別々のI/Fとなっていてもよい。別の言い方をすれば、例えばホスト120のデータの送受信に管理計算機100とストレージ150とで、同じプロトコルを使用する場合は、I/F122は、1つのI/Fの装置で構成してもよい。
暗号化装置130は、ホスト120が使用するストレージ150のボリューム154のデータに対して、データ保護のためにボリュームデータを暗号化する機能をもつ装置である。暗号化装置130は、スイッチ140とデータ通信をI/F132を介して、ホスト120とストレージのデータ、実際の暗号化装置の処理を行なうCPU131、メモリ133で構成されている。暗号化装置130でボリュームの暗号化復号化を行なうために、暗号化装置130のメモリ133上に暗号化復号化プログラム134を使用する。また暗号化してデータを送信する経路、復号化してデータを送受信する経路を決定する暗号化経路プログラム135により、暗号化すべきデータを決めて、ボリュームデータを各装置(ストレージ150、ホスト120)に送受信するための経路を登録する。メモリ133上にある暗号化復号化プログラム134と暗号化経路プログラム135はCPU131によって実行されることにより実現される。I/F132はスイッチ140に接続されているが、スイッチ140を介して、管理計算機100、ホスト120、ストレージ150にデータの送受信を行なうこととなる。管理計算機100への情報の送受信には、TCP/IPのようなプロトコル、ストレージ150やホスト120に対して、Fibre Channelのようなプロトコルを使用する場合、すなわち別々のプロトコルで接続する場合には、それぞれ別々のI/Fとなっていてもよい。すなわち、スイッチ140を介すのはFibre Channelとしてストレージ150、ホスト120とデータの送受信を行ない、管理計算機100との通信用にTCP/ I P用のI/Fを別に用意し、管理計算機100と直接送受信をできる環境を用意しても良い。暗号化装置130は、ストレージ150の中に存在しても良いし、ホスト120の中に存在しても良い。またスイッチ140の中に存在しても良い。複数のホストで、複数のストレージのボリュームを共通の暗号化によって管理する場合は、複数の暗号化装置が必要となるので、ホスト120やストレージ150にある暗号化装置は、共通に暗号化復号化できるようにする必要がある。
スイッチ140は、管理計算機100、ホスト120、暗号化装置130、ストレージ150のデータの送受信先を調整する装置である。管理計算機100、ホスト120、ストレージ150とのデータ通信をI/F(A)142を介して、また暗号化装置とはI/F(B)143を介して行なう。そして実際のスイッチの処理を行なうCPU141、メモリ144で構成されている。スイッチ140でデータ送受信先を調整するプログラムとして、メモリ144上にパス管理プログラム145がある。このパス管理プログラムに145により、スイッチを介したデータ送受信ができる経路を決めて運用する。メモリ144上にあるパス管理プログラム145はCPU141によって実行されることにより実現される。パスI/F(A)142、I/F(B)143があるが、このI/Fにより管理計算機100、ホスト120、暗号化装置130、ストレージ150にデータの送受信を行なうこととなる。管理計算機100への情報の送受信には、TCP/IPのようなプロトコル、ストレージ150、ホスト120、暗号化装置130に対して、Fibre Channelのようなプロトコルを使用する場合、すなわち別々のプロトコルで接続する場合には、それぞれ別々のプロトコル専用のI/Fとなっていてもよい。すなわちストレージ150、ホスト120、暗号化装置とデータの送受信を行ない、管理計算機との通信用にTCP/ I P用のI/Fを別に用意し、管理計算機と直接送受信をできる環境を用意しても良い。ストレージやホストなど複数の装置がネットワーク上で接続するために、スイッチなどのネットワークを統合する装置が必要となってくるが、本実施例では、簡単のため、暗号化装置とその他のデバイスを接続するために、スイッチを使用していることを明示的に示すにとどめ、実際のホスト120が複数あるときのスイッチ140の接続方法については、特に言及しない。ここで、暗号化装置130は必ずしも独立して設ける必要はなく、例えば、ホスト120もしくはストレージ150内のいずれかまたはホスト120とストレージ150の経路上に有するように構成してもよい。
図2は、本発明の第一の実施の形態において、管理計算機100で実行される各プログラムで使用するデータ管理情報114のテーブル群を説明する図の一例である。図2に示すテーブル群は予めシステム組上げ時に管理計算機100に格納しておくものである。
データ管理情報114には、ユーザ管理テーブル200、ボリューム管理テーブル210、暗号化復号化管理テーブル220、暗号化装置管理テーブル230がある。
ユーザ管理テーブル200には、本発明の実施の形態の各管理者を識別するためのユーザID201と、各ユーザの管理業務(用途)を示す業務202と、各ユーザが使用するホストを示す管理ホスト203と、各ユーザが管理するボリュームを示す管理ボリューム204と各ユーザのパスワード205の情報が格納されている。管理ホストはホスト120の識別子を示し、管理ボリュームはボリューム154の識別子を示す。
例えば、ユーザ管理テーブル200の例に従えば、ユーザID1では、管理業務はデータ管理者であり、管理するホストはID1、2であり、管理するボリュームは1、2であることが示されている。
またここで管理ボリュームにおいて、例えば業務がバックアップ管理であるとき、管理ボリュームに「複製先」、「複製元」という記載があるが、これは、各業務において、管理ボリュームの使用方法を記載している。バックアップ管理において、管理ボリューム2のボリュームはボリュームを複製するための複製元であり、管理ボリューム3のボリュームは複製先であることを示している。すなわち、管理ボリューム2のデータを、管理ボリューム3のボリュームにバックアップを取ることを示している。アーカイブ管理においても、管理ボリューム4から管理ボリューム5にアーカイブを取ることを示している。またリストア管理においても、管理ボリューム3から管理ボリューム2にリストアを取ることを示している。
ボリューム管理テーブル210には、ボリュームを識別するボリュームID211と、ストレージを識別するストレージID212と、各ストレージ内部のボリュームを識別するストレージボリュームID213が格納されている。このテーブルは管理計算機100で複数のストレージを管理する場合に、複数のストレージのボリュームを識別するために用いる。ユーザ管理テーブル200の管理ボリューム204で示されている値は、ボリューム管理テーブル210のボリュームID211の値と同等である。
暗号化復号化管理テーブル220には、管理業務を表す業務221と、221で示された各業務において、ストレージのボリュームを暗号化して管理するかを示す暗号化有無222と、221で示された各業務において、暗号化されたストレージのボリュームを復号化してホストに渡すかを示す復号化有無223と、ボリューム単位でなく、ファイル単位でデータを管理しているかを示すファイル管理224の情報が格納されている。また暗号化有無222、復号化有無223において、「複製先」、「複製元」という記載があるが、これは、「複製先」と記載しているものは、複製をとる業務(バックアップ管理、リストア管理、アーカイブ管理)において、複製先のボリュームにだけ暗号化有無の確認を行なうこと、複製元のボリュームだけに復号化の有無を確認することを示している。
例えば、業務221で示すデータ管理においては、ストレージのボリュームを暗号化し、またホストで操作するときには復号化する、という管理となることを示している。
またバックアップ管理においては、ストレージのボリュームにおいて、複製元のボリュームは復号化を行なわずにそのままホストに渡すことを示している。そして、複製先のボリュームは暗号化操作を行なわず複製先にデータを複製することを示している、すなわちストレージで暗号化したボリュームがあれば、そのまま復号化せずに、暗号化したボリュームのまま、複製先にデータを反映することを示している。
またリストア管理においては、ストレージのボリュームにおいて、複製元、すなわちリストアするデータに対しては、ホストで操作するときは、ファイル管理を行なっているため、ボリューム単位での暗号化をしたまま渡すのではなく、ファイル単位で暗号化するように渡すことを示している。すなわちストレージで暗号化したボリュームがあれば、ボリューム単位でなくファイル単位で暗号化したものをホストに渡すことになる。ただし、ファイル管理を行なうことになっていても、ボリューム単位でリストアを行なう処理を明示的に行なうのであれば、ファイル単位の暗号化は無視して、複製元のボリュームのデータは復号化せず、複製先のボリュームにも暗号化をかけずに、そのまま暗号化データを渡すように処理をしてもよいし、ボリュームリストア管理の業務とファイルリストア管理の業務を分けて管理しても良い。
また業務221には他に、データの移行を行なう業務(マイグレーション業務)や、ボリュームの使用状況により、最適なボリュームの配置を行なって性能を向上させるため、データの移動を行なう業務がある。この場合の業務でも、ボリュームの中のデータの内容を参照操作する権限を与える必要はないので、データの移動が伴うときには、バックアップ管理と同様に、ストレージのボリュームにおいて、複製元のボリュームは復号化を行なわず、そのまま複製先へボリュームデータを移動することになる。
暗号化装置管理テーブル230には、管理計算機で管理する暗号化装置を識別する暗号化装置ID231と、各暗号化装置が暗号化を経路によって、切り替えができるかを示す暗号化切替232と、各暗号化装置が復号化を経路によって、切り替えができるかを示す復号化切替233の情報が格納されている。このテーブルの情報により、各暗号化装置を通すと、復号化切替233の情報で、復号化切り替えが可能のものであれば、経路によって復号化するか、復号化しないかを切り替えることが可能であることを示している。例えば、あるホストに対しては、復号化をしてボリューム情報を示すが、あるホストに対しては、復号化せずに暗号化したままのボリュームの情報をホストに示すことができることを意味する。逆に復号化切り替えが不可能となっているものがあれば、これは暗号化装置に入ってきたものは、ストレージのボリュームへ書き込むときは暗号化をして、ホストから読み出すときは復号化するとし、各ホストによって復号化するかどうか選択はできないことを意味する。
図3は、本発明の第一の実施の形態として、管理計算機上で、ボリュームを使用するユーザによって、ボリュームの暗号化復号化を行なう手順を示すフローチャートの一例である。図3は、管理計算機100が、ホスト120、暗号化装置130、スイッチ140、及びストレージ装置150に対して送信した指令に基づいた各部の処理を示す。
管理計算機100のホスト連携プログラム113が、ホスト120の管理計算機連携プログラム124からパス設定要求を受け付ける(ステップ300)。要求としては、ユーザID、ホストID、パス設定ボリュームID、パスワードの値を受け付ける。
次にステップ300で受けた要求に対して、ユーザ管理プログラム112がユーザ管理テーブル200より、要求に該当するデータがあるかどうか検索する(ステップ301)。
次に、ステップ301の検索結果により、ホスト連携プログラム113が受けた要求が正しいかどうか判定する(ステップ302)。すなわちステップ301の検索結果に一致するデータがあるかどうかを調べる。要求が正しければステップ303に進み、要求が正しくなければ、ステップ315に進み、正しくない旨をエラーのメッセージを作成し、このメッセージを要求してきたホスト120に、ホスト連携プログラム113、管理計算機連携プログラム124を介して、ホスト120からの要求に対するエラーを返し、処理を終了する。
例えば、ホスト連携プログラム113が受け取った要求が、ユーザIDが1、ホストIDが1、パス設定ボリュームIDが1で、パスワードがユーザID1のものと正しいものが要求されたとする。このとき、ユーザ管理テーブル200のデータにおいて、ユーザID1の情報から、管理ホスト1、管理ボリューム1は存在するので、ホスト連携プログラムが受けた要求に合致するものとして、ステップ301は検索結果を出してくる。このときステップ302はホスト連携プログラムが受け取った情報が正しいものと判断して、ステップ303に進む。
またホスト連携プログラム113が受け取った要求が、ユーザIDが1、ホストIDが1、パス設定ボリュームIDが3、パスワードがユーザID1のものと正しいものが要求されたとする。このとき、ユーザ管理テーブル200のデータにおいて、ユーザID1の情報から、管理ホスト1は存在するが、管理ボリューム3は存在しないので、ホスト連携プログラムが受けた要求として、管理ボリュームのデータが合致しないものとして、ステップ301は検索結果を出す。このときステップ302はホスト連携プログラムが受け取った情報が正しくないものと判断して、ステップ315に進み、この場合パス設定要求ボリュームIDの値が正しくない旨をメッセージとして作成し、要求を受けたホストに、そのメッセージを返し、処理を終了する。
ステップ302において、ステップ300でユーザの業務も通知してもらい、ユーザの業務とユーザ管理テーブルの業務の情報が一致しているかどうか確認しても良い。
ステップ303では、要求を受けたボリュームに対して、暗号化したボリュームを復号化するかどうかの有無の選択かどうかを判定する。すなわち、要求ボリュームが復号化することが対象であるボリュームなのかを判定する。復号化すべきかどうか判定するのであればステップ304に進み、そうでなければステップ308に進む。
例えばユーザID2のバックアップ管理のユーザが管理ボリューム2のパス設定を要求してきたとき、これはユーザ管理テーブル200と暗号化復号化管理テーブル220により、復号化の有無を確認するボリュームであることがわかる。この場合はステップ304に進むことになる。しかし、管理ボリュームID3の場合は、復号化の確認は行なわなくて良いので、ステップ308に進む。
ステップ304では、ユーザ管理プログラム112が、ホスト連携プログラム113で受け取った要求のボリュームを復号化して、ホスト120に認識させるかどうかを判定する。要求を受けたユーザIDにおける業務をユーザ管理テーブル200のユーザID201、業務202から取得し、ユーザIDに対応する業務を調べ、その業務が暗号化復号化管理テーブル220の復号化有無223から、復号化してホストに認識させても良いか調べる。そして、復号化してもよければステップ307へ進み、復号化してはいけないのであれば、ステップ305に進む。
例えば、ユーザID1のユーザはユーザ管理テーブル200から、業務はデータ管理であることがわかる。そして、暗号化復号化管理テーブル220から、データ管理の業務は、復号化を行なうことを示していることがわかる。よって、この場合復号化をしてもよいと判定され、ステップ307へ進む。
また、ユーザID2のユーザが要求を出してきたとき、ユーザID2の業務はユーザ管理テーブル200から、バックアップ管理であることがわかる。そして、バックアップ管理の業務は、復号化の確認においてはボリュームID2に対して判定を行なうこととなり、このボリュームは暗号化復号化管理テーブル220から、復号化を行なわないことを示していることがわかる。よって、この場合復号化をしてはいけないと判定され、ステップ305に進む。
ステップ305では、暗号化復号化指示プログラム110が、使用可能な暗号化装置においてボリュームごとの復号化切り替えが可能かどうか判定する。復号化切り替えができればステップ306に進み、できなければステップ315に進み、復号化しないままホストに認識させることができない旨をエラーメッセージとして作成し、要求元にそのメッセージを返すことになる。
例えば、暗号化装置管理テーブル230から、使用する暗号化装置において、復号化切り替えできるかどうかを調べる。暗号化装置ID1を使用するなら復号化切り替えが可能であることがわかる。このとき復号化切り替えができるものとして、ステップ306に進む。
また暗号化装置ID2しか暗号化装置を使用できないことが、管理計算機に登録されている場合、暗号化装置は、復号化切り替えを行なうことができないことがわかる。このときは復号化切り替えができないものとして、ステップ315に進み、エラーメッセージを要求元に返すことになる。
ステップ306では、暗号化復号化指示プログラム110が、暗号化装置130の暗号化経路プログラム135に対して、ユーザの要求のあった、ホストとボリューム間では暗号化装置を介して、ボリュームデータをホストに認識させるときには、復号化しないように指示する。そしてステップ308に進む。
例えば、ユーザID2の要求をホスト連携プログラム113が受け取ったとき、要求するホストID3、ボリュームID2の要求が来たときには、ステップ305までの処理を重ね、復号化せずにホストに認識させるようにすると判定され、暗号化復号化指示プログラム110は、暗号化装置130の暗号化経路プログラム135に復号化せずにホストに認識させるように要求することがわかる。指示を受け取った、暗号化経路プログラム135は、ホストID3、ボリュームID2の経路でホストID3のホストがボリュームID2のボリュームのデータにアクセスするときは、ボリュームデータを復号化せずに暗号化したままホストに認識させることになる。
ステップ307では、暗号化復号化指示プログラム110が、暗号化装置130の暗号化経路プログラム135に対して、ユーザの要求のあった、ホストとボリューム間では暗号化装置を介して、ボリュームデータをホストに認識させるときには、復号化するように指示する。
ステップ307において、また暗号化装置管理テーブル230により、暗号化装置ID1と暗号化装置ID2の暗号化形式が異なっている場合、暗号化したときと同じ暗号化装置を指定する必要がある。この場合、ボリューム管理テーブル210に、暗号化してデータを保存している場合に、「暗号化装置ID」の属性を用意して、暗号化装置の情報を登録しておいても良い。また暗号化装置の暗号化形式を暗号化装置管理テーブル230に用意しておき、データを復号化するときには、同じ暗号化形式の暗号化装置の暗号化経路プログラム135に指示できるようにしても良い。
ステップ308では、要求を受けたボリュームに対して、ボリュームを暗号化するかどうかの有無を選択するかどうかを判定する。すなわち、要求ボリュームが暗号化することが対象であるボリュームなのかを判定する。暗号化すべきかどうか判定するのであればステップ309に進み、そうでなければステップ313に進む。
例えばユーザID2のバックアップ管理のユーザが管理ボリューム3のパス設定を要求してきたとき、これはユーザ管理テーブル200と暗号化復号化管理テーブル220により複製先であるため、暗号化の有無を確認するボリュームであることがわかる。この場合はステップ309に進むことになる。しかし、管理ボリューム2の場合は複製元であるため、暗号化の確認は行なわなくて良いので、ステップ313に進む。
ステップ309では、ユーザ管理プログラム112が、ホスト連携プログラム113で受け取った要求のボリュームを暗号化して、ホスト120に認識させるかどうかを判定する。要求を受けたユーザIDにおける業務をユーザ管理テーブル200のユーザID201、業務202から取得し、ユーザIDに対応する業務を調べ、その業務が暗号化復号化管理テーブル220の暗号化有無222から、暗号化してホストに認識させても良いか調べる。そして、暗号化してもよければステップ312へ進み、暗号化してはいけないのであれば、ステップ310に進む。
例えば、ユーザID1のユーザはユーザ管理テーブル200から、業務はデータ管理であることがわかる。そして、暗号化復号化管理テーブル220から、データ管理の業務は、暗号化を行なうことを示していることがわかる。よって、この場合暗号化をしてもよいと判定され、ステップ312へ進む。
また、ユーザID2のユーザが要求を出してきたとき、ユーザID2の業務はユーザ管理テーブル200から、バックアップ管理であることがわかる。そして、バックアップ管理の業務は、暗号化の確認においては複製先のボリュームID3に対して判定を行なうこととなり、暗号化復号化管理テーブル220から、バックアップ管理の業務は、暗号化を行なわないことを示していることがわかる。よって、この場合暗号化をしてはいけないと判定され、ステップ310に進む。
ステップ310では、暗号化復号化指示プログラム110が、使用可能な暗号化装置においてボリュームごとの暗号化切り替えが可能かどうか判定する。暗号化切り替えができればステップ311に進み、できなければステップ315に進み、暗号化せずにホストに認識させることができない旨をエラーメッセージとして作成し、要求元にそのメッセージを返すことになる。
例えば、暗号化装置管理テーブル230から、使用する暗号化装置において、暗号化切り替えできるかどうかを調べる。暗号化装置ID1、ID2ともに暗号化切り替えが可能であることがわかる。このとき暗号化切り替えができるものとして、ステップ311に進む。
しかし暗号化装置で、暗号化切り替えを行なうことができないものしか登録されていなかったら、ステップ315に進み、エラーメッセージを要求元に返すことになる。
ステップ311では、暗号化復号化指示プログラム110が、暗号化装置130の暗号化経路プログラム135に対して、ユーザの要求のあった、ホストとボリューム間では暗号化装置を介して、ボリュームデータをホストに認識させるときには、暗号化しないように指示する。そしてステップ313に進む。
例えば、ユーザID2の要求をホスト連携プログラム113が受け取ったとき、要求するホストID3、ボリュームID3の要求が来たときには、ステップ310までの処理を重ね、暗号化せずにホストに認識させるようにすると判定され、暗号化復号化指示プログラム110は、暗号化装置130の暗号化経路プログラム135に暗号化せずにホストに認識させるように要求することがわかる。指示を受け取った、暗号化経路プログラム135は、ホストID3、ボリュームID3の経路でホストID3のホストがボリュームID3のボリュームのデータにアクセスするときは、複製先に対してボリュームデータにさらなる暗号化をせずに複製元で暗号化したままホストが操作を行なうことになる。
ステップ312では、暗号化復号化指示プログラム110が、暗号化装置130の暗号化経路プログラム135に対して、ユーザの要求のあった、ホストとボリューム間では暗号化装置を返して、ボリュームデータをホストに認識させるときには、暗号化するように指示する。
ステップ312において、また暗号化装置管理テーブル230により、暗号化装置ID1と暗号化装置ID2の暗号化形式が異なっている場合、暗号化したときと同じ暗号化装置を指定する必要がある。この場合、ボリューム管理テーブル210に、暗号化してデータを保存している場合に、「暗号化装置ID」の属性を用意して、暗号化装置の情報を登録しておいても良い。また暗号化装置の暗号化形式を暗号化装置管理テーブル230に用意しておき、データの暗号化をするときには、同じ暗号化形式の暗号化装置の暗号化経路プログラム135に指示できるようにしても良い。
ステップ313では、ボリュームパス設定プログラム111が、要求ホストと要求ボリュームにパスを設定するようストレージ150のストレージ構成プログラム155に指示する。
ステップ314では、ボリュームパス設定プログラム111が、要求ホストと要求ボリュームと暗号化装置にパスを設定するようスイッチ140のパス管理プログラム145に指示する。そして要求ホストと要求ボリュームのパス設定を実現し、処理を終了する。
ステップ315では、エラーになったことに伴い、エラーになった旨をエラーメッセージとして、要求元にそのメッセージを返すことなどで、エラー通知を行なうことになる。
以上の処理を行なうことで、ユーザの要求にしたがって、ボリュームの復号化を行なうかどうかを判定して、業務に従い暗号化装置の設定を決めて、ホストからストレージまでのパスを設定することが可能となる。
そして、ホスト120の業務プログラム125は、業務に応じて、暗号化データのボリューム、復号化されたボリュームを認識し、実際の業務を行なうことになる。例えば、バックアップ管理用のホストであれば、複製元の暗号化ボリュームをそのままホストに認識させ(例えばローデバイスとして認識させ)、そのボリュームの内容を複製先に複製するときにはデータを暗号化せず、すなわち、複製元の暗号化データのまま複製する。これにより、バックアップ管理を行なうユーザは、ボリュームの内容は暗号化されているためわからなくても、バックアップの運用は可能となる。
以上により、ユーザの業務に応じてパスが設定され、例えば、データ管理の業務の場合には、各ボリュームに対して、ボリュームデータは暗号化し、ホストで認識するときは復号化したものを取得する。またバックアップ管理においては、ボリュームデータは暗号化されており、ホストが認識するときも復号化しないまま、暗号化データのまま複製元のボリュームデータを認識し(ユーザ管理テーブル200のボリュームID2)、暗号化しないまま、別のバックアップ用のボリューム、すなわち複製先のボリューム(ユーザ管理テーブル200のボリュームID3)にデータを書き込むことが可能となる。
また本発明の第一の実施の形態において、ユーザ単位で処理を切り分けてきたが、ユーザに関わらず、サーバと業務が1対1に対応していれば、あるサーバから要求がきたら、サーバと業務の対応から、暗号化復号化の処理を決めても良い。
図4は、本発明の第一の実施の形態として、管理計算機上で、ボリュームを使用するユーザによって、ボリュームの暗号化復号化を行なう手順を示すフローチャートの他の例である。図4は、管理計算機100が、ホスト120、暗号化装置130、スイッチ140、及びストレージ装置150に対して送信した指令に基づいた各部の処理を示す。
ステップ400では、図3で示したステップ305まで処理を行ない、305の処理で、暗号化装置が復号化の切り替えができないと判定されるまでの処理か、ステップ310までの処理を行ない、310の処理で、暗号化装置が暗号化の切り替えができないと判定されるまでの処理かである。図3で説明した処理では、ステップ305の処理、ステップ310の処理ではステップ315に行き、エラーとなり終了していたが、図4のフローチャートでは、ステップ315の代わりに、別の操作により、復号化切り替えや暗号化切り替えを行なう処理を行う。
ステップ401では、暗号化装置を通さずにパスを設定するか判定する。この判定は、暗号化装置ができない場合でも、パスを設定することで暗号化しない、復号化しないという環境を実現できるか、すなわち、要求ホスト、要求ボリュームが暗号化装置を介さずにパスを設定可能か判定する。パスの設定が可能ならステップ402に進み、パスの設定が可能でなければステップ404に進み、エラーを出して終了する。
例えば、スイッチ140が暗号化装置に接続されているとき、暗号化装置を介さずにパスを設定することができなければ、エラーとしてステップ404に進み、エラーを出力し、処理を終了する。
ステップ402では、ボリュームパス設定プログラム111が、要求ホストと要求ボリュームにパスを設定するようストレージ150のストレージ構成プログラム155に指示する。
ステップ403では、ボリュームパス設定プログラム111が、要求ホストと要求ボリュームにパスを設定し、暗号化装置にパスをはらずに暗号化装置を介さずにホストとボリュームのパスを実現するようスイッチ140のパス管理プログラム145に指示する。そして要求ホストと要求ボリュームのパス設定を実現し、処理を終了する。
ステップ404では、ステップ401のエラー状況に従い、エラーを出力する。
以上の処理を行なうことで、ユーザの要求にしたがって、ボリュームの復号化を行なうかどうかを判定して、業務に従い、暗号化装置を介さずとも復号化の切り替え、暗号化の切り替えを調製しながら、ホストからストレージまでのパスを設定することが可能となる。
ステップ400の処理において、ステップ305まで処理が進む場合、ステップ305の処理を行なわずに、ステップ401、または402の処理を行なってもよい。すなわち、暗号化装置への要求を行なうかどうか関係なく、はじめからパス経路の設定のみで、復号化切り替えを実現してもよい。
またステップ400の処理において、ステップ310まで処理が進む場合、ステップ310の処理を行なわずに、ステップ401、または402の処理を行なってもよい。すなわち、暗号化装置への要求を行なうかどうか関係なく、はじめからパス経路の設定のみで、暗号化切り替えを実現してもよい。
また暗号化装置で復号化の切り替えを行なうか、パスの設定だけで復号化の切り替えを実現するかをユーザに選択させても良い。
また暗号化装置で暗号化の切り替えを行なうか、パスの設定だけで暗号化の切り替えを実現するかをユーザに選択させても良い。
図5は、本発明の第二の実施の形態におけるデータ管理システムの構成を示す図の一例である。
ホスト120には、図1で説明したプログラムのほかに、ホスト間連携プログラム520、データ解析プログラム521、データ複製プログラム523、暗号化装置連携プログラム524がメモリ123に存在し、このプログラムをCPU121が実行することで、プログラムの処理が行なわれることになる。またデータ複製プログラム523、暗号化装置連携プログラム524が利用するデータ履歴情報522もメモリ123に存在する。
ホスト間連携プログラム520は、ホスト間で互いにデータや要求をやり取りするプログラムであり、ホスト120のメモリ123にあり、CPU121により実行される。
データ解析プログラム521は、ホスト120が管理しているデータ形式(例:ファイル)を解析するプログラムである。例えばホスト120で稼動するファイルシステムにあたる。
データ履歴情報522は、ホスト120がデータを移動や複製するときの履歴を保存するための領域である。例えばストレージ150のボリューム154から別のストレージ150のボリューム154にデータの移動を行なうときに、データの移動日時、データのファイル名などが記録される。
データ複製プログラム523は、あるストレージのボリュームから、あるストレージのボリュームにデータを複製するプログラムである。データを移動する処理にも対応して、データ複製かデータ移動か選択させてもよい。データ複製プログラム523はバックアッププログラムなどのバックアップシステムで用いられるプログラムとして知られているものである。また業務プログラム125の一つの形態でもある。
暗号化装置連携プログラム524は、暗号化装置130のファイル暗号化復合化プログラム530により送信された情報を受け取るプログラムであり、この情報をもとにデータ履歴情報522を作成、更新することになる。
暗号化装置130には、図1で説明したプログラムのほかに、ファイル暗号化復号化プログラム530、データ解析プログラム531がメモリ133に存在し、このプログラムをCPU131が実行することで、プログラムの処理が行なわれることになる。
暗号化復号化プログラム134はボリューム単位での暗号化復号化を行なうものであったが、ファイル暗号化復号化プログラム530は、ファイル単位で暗号化、復号化を行なうプログラムである。ファイル暗号化復号化プログラム530は、ファイルのデータを認識するために、データ解析プログラム531を利用して、ボリュームデータからファイル単位のデータを認識し、このファイルごとにファイルを暗号化、復号化を行なうプログラムである。
データ解析プログラム531はホスト120のデータ解析プログラムと同等の処理を行なう。すなわちホスト120のデータ情報、例えばファイル情報として管理していれば、データ解析プログラム531も同じようにファイル単位で情報が取れるようにするプログラムとし、ホスト120のデータ履歴情報522が作成できるようなプログラムを設定する。
図6は、本発明の第二の実施の形態において、ホスト120で実行される暗号化装置連携プログラム524が使用するデータ履歴情報522のテーブルを説明する図の一例である。
データ履歴テーブル600は、データ複製を取った日時であるデータ複製日時601と、データ複製の元となるデータをもつホストのホストID602と、複製した先のボリュームの複製先ボリュームID603と、複製したファイルのファイル名604を持つ。実際の複製元ボリュームと複製先ボリュームの関係はデータ複製プログラム523が管理するものとし、この情報もまたデータ複製プログラム523に反映するように連携することになる。
例えば、図6の例に従えば、日時2004年1月1日0時0分に、ホストID10のファイルaaa.txtが、複製先ボリュームID10に複製されたことを意味する。
図7は、本発明の第二の実施の形態として、管理計算機上で、ボリュームの複製を行なうとき、暗号化装置を用いて行なう手順を示すフローチャートの一例である。図7は、管理計算機100が、ホスト120、暗号化装置130、及びストレージ装置150に対して送信した指令に基づいた各部の処理を示す。
ホスト120のホスト間連携プログラム520は、データ複製を実際に行なうホスト120から要求を受ける(ステップ700)。
次に、ステップ701では、データ複製を記録しておく単位がファイル単位かどうかステップ700の要求に従い、判定する。ファイル単位ならステップ702に進み、それ以外ならステップ707に進む。
ステップ702では、ファイル複製復号化切替処理を行なう。このファイル複製復号化切替処理とは、図3で説明した、本発明の第一の実施の形態として、管理計算機上で、ボリュームを使用するユーザによって、ボリュームの暗号化復号化を行なう手順を示すフローチャートの処理を行なう。データ複製をバックアップ業務として扱えば、データ複製を行なうホストには、ボリュームを復号化しないまま、暗号化したボリュームを認識させることになる。そして管理計算機100は復号化しないようにする指示と同時に、暗号化装置130にデータ複製先への書き込みのときに、ファイル情報を覚えておくようにデータ解析プログラム531にも指示をする。
ステップ703では、実際にボリュームの複製を開始し、あるストレージのボリュームから、あるストレージのボリュームにデータを複製するようにデータ複製プログラム523が処理を行なう。このときデータ複製プログラム523が暗号化装置130のデータ解析プログラム531に対して、暗号化装置連携プログラム524を介して、データ複製が開始したこと、どの複製元ボリュームからどの複製先のボリュームにデータ複製を行なっているかを伝える。
ステップ704では、暗号化装置130では、ステップ703の処理によりデータ複製を行なっているボリュームのファイル情報を、ステップ702のデータ解析プログラム531への指示の元に、対象となる複製先のボリュームに対して調べ、ファイル情報を作成する。すなわち、暗号化装置130では、現在データ複製先のボリュームにどのようなファイルが複製されているか調べて、その複製先ボリューム内のファイル情報である、複製先ボリュームIDとファイル名を検出する。
ステップ703とステップ704の処理において、データ複製の開始とステップ704の処理は同期する必要があるため、データ複製の開始直前にステップ704の処理の起動をさせ、ステップ704の処理起動終了後に、データ複製を開始するようにしてもよい。
ステップ705では、暗号化装置130は、ステップ704で検出したファイル情報を、データ複製を行なっているホスト120に送信する。そして、ホスト120ではデータ履歴情報522に登録する。ホスト120ではデータ履歴情報522の情報であるデータ履歴テーブル600には、暗号化装置の情報からは複製先ボリュームID603とファイル名604が登録され、その複製先ボリュームへのデータ複製の時間であるデータ複製日時601とホストID602を関連付けて登録することになる。
ステップ706では、データ複製プログラム523が、データ履歴情報522より、データ複製ボリュームのファイル情報を確認し、そのデータを反映させる。このとき、このデータ履歴情報522はバックアップ管理を業務とするユーザには認識させず、今後のリストア管理を業務とするユーザに認識させるだけとして、データ参照管理を行なっても良い。そして、データ複製プログラム523は複製が終了したことを確認し、処理を終了することになる。
ステップ705、ステップ706はデータ複製が終了した後に、処理を行なっても良い。すなわち暗号化装置130からまとめてファイル情報をデータ複製を行なうホスト120に送信して、ステップ705、ステップ706の処理を進めても良い。
ステップ707では、ボリュームデータとしてデータ複製を行なうかどうか、データ複製要求700から判定する。ボリュームのデータ複製であればステップ708に進み、そうでない場合は、ファイル単位でもボリューム単位でもないデータ複製は行なわないものとしてステップ710に進み、エラー表示をして終了する。
ステップ708では、複製復号化切替処理を行なう。複製復号化切替処理とは、図3で説明した、本発明の第一の実施の形態として、管理計算機上で、ボリュームを使用するユーザによって、ボリュームの暗号化復号化を行なう手順を示すフローチャートの処理を行なう。データ複製をバックアップ業務として扱えば、データ複製を行なうホストには、ボリュームを復号化しないまま、暗号化したボリュームを認識させることになる。そしてステップ709に進む。
ステップ709では、ホスト120が実際にデータ複製をデータ複製プログラム523により開始し、データ複製終了後、処理を終了する。
以上により、ファイルレベル、ボリュームレベルでも、暗号化装置の切り替えを用いて、ユーザ業務によるデータ複製環境を実現することが可能となる。そして、データ複製を行なう業務のユーザには、ボリュームの中身を見せることなく、データ複製を行なうことが可能となる。
図8は本発明の第二の実施の形態として、管理計算機上で、ボリュームの複製後のリストアを行なうとき、暗号化装置を用いて行なう手順を示すフローチャートの一例である。図8は、管理計算機100が、ホスト120、暗号化装置130、スイッチ140、及びストレージ装置150に対して送信した指令に基づいた各部の処理を示す。ボリューム複製後のリストアには二つの場合がある。一つは、ボリュームの複製後のデータの中から一部のデータ(例:ファイル)を検出することであり、もう一つはボリュームごと、全てのデータを複製元のボリュームに戻すことである。この二つの場合についての手順のフローチャートの一例を以下で説明することになる。
また本発明の第二の実施の形態では、本発明の第一の実施の形態の処理を行なっており、上記ファイルを検出する処理では、ファイル単位の管理を行なうデータ複製を行なっていて、またボリュームごとに全てのデータを複製元のボリュームに戻す場合には、ボリューム単位のデータ複製を行なっていることが前提となる。
ホスト120のホスト間連携プログラム520は、データリストアを実際に行なうホスト120から要求を受ける(ステップ800)。
次に、ステップ801では、データリストアする単位がファイル単位かどうかステップ800の要求に従い、判定する。ファイル単位ならステップ802に進み、それ以外ならステップ811に進む。
ステップ802では、暗号化装置130では、データリストアが要求の受けたファイルをファイル単位でリストア可能かどうか調べる。すなわちファイル単位でデータ複製プログラム523が複製した情報を保持しているかどうかで決定する。管理計算機は、もし要求のあったファイルを複製元のボリュームにリストアできるのであれば、ステップ804に、もしできなければ、ステップ803に進み、今回の処理ができなかったことをエラーメッセージとして返す。
ステップ803では、エラーメッセージを作成し、今回の処理ができなかったことを要求元に返し、処理を終了する。
ステップ804では、ファイル複製復号化切替処理を行なう。このファイル複製復号化切替処理とは、図3で説明した、本発明の第一の実施の形態として、管理計算機上で、ボリュームを使用するユーザによって、ボリュームの暗号化復号化を行なう手順を示すフローチャートの処理を行なう。データリストアをリストア業務として扱えば、データ複製を行なうホストには、管理計算機はボリュームは復号化するが、ファイル単位では再び暗号化して、ファイルまでの復号化はしないまま、暗号化したボリュームを認識させることになる。
ステップ805では、データ履歴テーブル600から、要求のあったリストアすべきファイルが登録されているボリュームに対して、実際にボリュームのリストアを開始し、あるストレージのボリュームから、データをリストアするようにデータ複製プログラム523が処理を行なう。
例えば、2004年1月1日0時0分0秒のaaa.txtのファイルをリストアしたい場合には、複製先ボリュームID10のボリュームをリストアすることになる。
ステップ806では、暗号化装置130が、ステップ804の指示の元、暗号化復号化プログラム131により、ボリュームを一旦復号化する。
ステップ807では、暗号化装置では、ファイル暗号化復号化プログラム530により、ステップ804の指示の元、ファイル単位で暗号化する。ファイルの存在はデータ解析プログラム531により認識する。
ステップ808では、ステップ807により暗号化されたファイル情報をホスト120が認識する。
ステップ809では、データリストア要求と同じファイルを取り出す。そして、要求元へホスト間連携プログラム520により、取り出したファイルを転送する。
ステップ810では、要求元で、暗号化されたデータを復号化することで、処理を終了する。復号化するのには、データ管理者として、また暗号化装置を通して、復号化してもよいし、復号化するキーを要求元で管理していて、そのホスト内で復号化してもよい。
ステップ811では、ボリュームデータとしてデータリストアを行なうかどうか、要求から判定する。ボリュームリストアであればステップ812に進み、そうでない場合は、ファイル単位でもボリューム単位でないリストアは行なわないものとして、ステップ803に進み、その旨をエラーメッセージとして要求元に返して、処理を終了する。
ステップ812では、複製復号化切替処理を行なう。複製復号化切替処理とは、図3で説明した、本発明第一の実施の形態として、管理計算機上で、ボリュームを使用するユーザによって、ボリュームの暗号化復号化を行なう手順を示すフローチャートの処理を行なう。データ複製をリストア業務として扱えば、データ複製を行なうホストには、ボリュームを復号化しないまま、暗号化したボリュームを認識させることになる。そしてステップ813に進む。
ステップ813では、実際にデータリストアに対して、データ複製プログラム523を開始し、データリストア終了後処理を終了する。
以上により、ファイルレベル、ボリュームレベルでも、暗号化装置の切り替えを用いて、ユーザ業務によるデータリストア環境を実現することが可能となる。そして、データリストアを行なう業務のユーザには、ボリュームの中身を見せることなく、リストアをすることが可能となる。
なお、上述した本発明の実施の形態に限らず、本発明の特許請求の範囲内であれば、適宜、他の構成をとりうることはいうまでもない。
本発明の実施の形態における、データ管理システムの構成を示す図の一例である。 本発明の実施の形態における、データ管理システムで用いられるテーブルの構成を示す図の一例である。 本発明の実施の形態における、復号化有無を判定し、経路を設定する手順を示すフローチャートの一例である。 本発明の実施の形態における、復号化有無を判定し、経路を設定する手順を示すフローチャートの一例である。 本発明の実施の形態における、データ管理システムの構成を示す図の一例である。 本発明の実施の形態における、データ管理システムで用いられるテーブルの構成を示す図の一例である。 本発明の実施の形態における、復号化有無を判定し、データ複製を行なう手順を示すフローチャートの一例である。 本発明の実施の形態における、復号化有無を判定し、データリストアを行なう手順を示すフローチャートの一例である。
符号の説明
100…管理計算機、110…暗号化復号化指示プログラム、111…ボリュームパス設定プログラム、112…ユーザ管理プログラム、113…ホスト連携プログラム、114…データ管理情報、120…ホスト、124…管理計算機連携プログラム、125…業務プログラム、130…暗号化装置、134…暗号化復号化プログラム、135…暗号化経路プログラム、140…スイッチ、150…ストレージ、154…ボリューム、155 …ストレージ構成プログラム

Claims (19)

  1. データの更新、作成を伴うデータ管理を実行する第一の計算機と、
    データの複製を伴うバックアップ管理を実行する第二の計算機と、
    前記第一及び第二の計算機と接続され前記第一及び第二の計算機が使用するデータに対し暗号化された暗号化データを格納する記憶領域を有する記憶装置と、
    前記記憶装置に格納されるデータに対する暗号復号化を行う暗号復号化装置と、
    前記第一及び第二の計算機と前記記憶装置と前記暗号復号化装置とを管理する管理計算機と
    を有する計算機システムであって、
    前記管理計算機は、
    前記第一及び第二の計算機からの実行要求に対し、前記データ管理であるか前記バックアップ管理であるかに応じて前記記憶装置に格納されるデータの復号化の要否を判断し、
    前記第一の計算機からの前記データ管理の実行要求に対し、前記暗号化されたデータを復号化し、復号化されたデータを前記第一の計算機に提供する、前記第一の計算機と前記記憶装置との間の第一の経路を設定し、
    前記第二の計算機からの前記バックアップ管理の実行要求に対し、復号化を行わず前記第二の計算機に前記暗号化されているデータを提供する、第二の経路を設定し、
    前記第一の計算機は、前記データ管理に関するデータを前記第一の経路を介して復号化された状態で取得し、
    前記第二の計算機は、前記バックアップ管理の実行要求に対して、暗号化された状態のデータを前記第二の経路を介して取得し、
    前記第二の計算機の前記バックアップ管理によりデータ複製を行う場合には、前記暗号復号化装置に対する前記管理計算機の設定がデータを復号化せずに、前記データを暗号化したまま別の前記記憶領域に複製を行なうものである
    ことを特徴とする計算機システム。
  2. 請求項1記載の計算機システムにおいて、
    前記第二の経路は、前記記憶装置に格納される暗号化データを前記暗号復号化装置を介さずに提供する経路であって、
    前記第二の計算機は、前記バックアップ管理に関するデータを前記暗号復号化装置を介さずに取得することを特徴とする計算機システム。
  3. 請求項1記載の計算機システムにおいて、
    前記第二の計算機の前記バックアップ管理の実行要求に対して前記記憶領域のデータの復号化を行なわない場合に、前記暗号復号化装置に対する前記管理計算機の状態が前記記憶領域に応じてデータを復号化しない設定であるか否かを判定し、
    前記暗号復号化装置に対する前記管理計算機の状態がデータを復号化しない設定であるときに前記復号化しない処理を選択し、前記復号化しない処理を選択できないときには、前記記憶装置と前記第二の計算機とをデータを復号化しない経路で接続を行なうように選択することを特徴とする計算機システム。
  4. 請求項3記載の計算機システムにおいて、
    前記第二の計算機の前記バックアップ管理の実行要求に対して前記記憶領域のデータの暗号化を行なわない場合に、前記暗号復号化装置に対する前記管理計算機の状態が前記記憶領域に応じて暗号化しない設定であるか否かを判定し、
    前記暗号復号化装置に対する前記管理計算機の状態がデータを暗号化しない設定であるときに前記暗号化しない処理を選択し、前記暗号化しない処理を選択できないときには、前記記憶装置と前記第二の計算機とをデータを暗号化しない経路で接続を行なうように選択することを特徴とする計算機システム。
  5. 請求項1記載の計算機システムにおいて、
    前記暗号復号化装置に対する前記管理計算機の設定により、
    前記データ複製が前記記憶領域単位であるとき、前記記憶領域のデータの中のファイルを検出し、
    前記ファイルの情報を、前記第二の計算機に伝送し、
    前記第二の計算機は、
    複製した記憶領域の情報に前記ファイルの情報を反映させることを特徴とする計算機システム。
  6. 請求項5記載の計算機システムにおいて、
    前記暗号復号化装置に対する前記管理計算機の設定により、
    前記第二の計算機の前記バックアップ管理はボリュームの複製後のデータの中から一部のデータを検出するために前記第二の計算機によりデータ検出を行う場合には、データ検出の単位がファイルであるとき、前記ボリュームのデータの中のファイルを検出し、
    前記ファイルの情報を、前記第二の計算機に伝送し、
    前記第二の計算機は、
    複製した記憶領域のデータ複製情報と前記ファイルの情報を一致させ、
    前記ファイルをデータ検出要求元に送信することを特徴とする計算機システム。
  7. 請求項1記載の計算機システムにおいて、
    前記暗号復号化装置を、前記第一及び第二の計算機もしくは前記記憶装置内のいずれかまたは前記第一及び第二の計算機と前記記憶装置の経路上に有することを特徴とする計算機システム。
  8. 請求項4記載の計算機システムにおいて、
    前記復号化しない設定であるか否かの判定および前記復号化しない経路で接続を行なう選択ならびに前記暗号化しない設定であるか否かの判定および前記暗号化しない経路で接続を行なう選択の処理は、前記管理計算機の情報に基づいて行うことを特徴とする計算機システム。
  9. 請求項2記載の計算機システムにおいて、
    前記第一及び第二の計算機の前記データ管理または前記バックアップ管理に応じて、前記管理計算機によりデータに対する暗号化および復号化の実行の有無を前記第一及び第二の計算機と前記記憶装置との間の経路を切り替えて設定可能かが判断され、前記設定可能のとき前記管理計算機により前記第一及び第二の計算機と前記記憶装置との間の経路を切り替えるスイッチに対して前記設定をする指示がされ、前記スイッチにより前記経路の切り替えが行われて前記設定が実行されることを特徴とする計算機システム。
  10. 請求項3記載の計算機システムにおいて、
    前記復号化しない設定であるか否かの判定は、前記第一及び第二の計算機の前記データ管理または前記バックアップ管理、前記データ管理または前記バックアップ管理の要求される前記記憶領域の組み合わせに応じてデータに対する復号化の実行の有無を管理する管理情報に基づいて、前記管理計算機により前記組み合わせがデータを復号化しない設定であるか否かが判定され、
    前記復号化しない経路で接続を行なう選択は、前記管理計算機により前記組み合わせがデータを復号化しない設定であると判定されたとき、データの暗号化および復号化の有無をそれぞれ切り替えて実行する暗号復号化装置に対して前記管理計算機により復号化を実行しない指示がされ、前記暗号復号化装置により暗号化して前記記憶領域に保存されているデータを復号化しない処理が選択され、データの暗号化および復号化の有無をそれぞれ切り替えて実行できない暗号復号化装置に対して前記復号化しない処理が選択できないときには、前記管理計算機により前記第二の計算機と前記記憶装置との間の経路を切り替えるスイッチに対して指示がされ、前記スイッチにより前記記憶装置と前記第二の計算機とをデータを復号化しない経路で接続されるように選択されることを特徴とする計算機システム。
  11. 請求項4記載の計算機システムにおいて、
    前記暗号化しない設定であるか否かの判定は、前記第一及び第二の計算機の前記データ管理または前記バックアップ管理、前記データ管理または前記バックアップ管理の要求される前記記憶領域の組み合わせに応じてデータに対する暗号化の実行の有無を管理する管理情報に基づいて、前記管理計算機により前記組み合わせがデータを暗号化しない設定であるか否かが判定され、
    前記暗号化しない経路で接続を行なう選択は、前記管理計算機により前記組み合わせがデータを暗号化しない設定であると判定されたとき、データの暗号化および復号化の有無をそれぞれ切り替えて実行する暗号復号化装置に対して前記管理計算機により暗号化を実行しない指示がされ、前記暗号復号化装置により暗号化して前記記憶領域に保存されているデータを暗号化しない処理が選択され、データの暗号化および復号化の有無をそれぞれ切り替えて実行できない暗号復号化装置に対して前記暗号化しない処理が選択できないときには、前記管理計算機により前記第二の計算機と前記記憶装置との間の経路を切り替えるスイッチに対して指示がされ、前記スイッチにより前記記憶装置と前記第二の計算機とをデータを暗号化しない経路で接続されるように選択されることを特徴とする計算機システム。
  12. 請求項1記載の計算機システムにおいて、
    前記管理計算機は、
    前記第一,第二の計算機をそれぞれ使用するユーザの識別情報と、
    前記ユーザの管理業務が前記データ管理,前記バックアップ管理のいずれであるかを示す情報と、
    前記管理業務のうち、前記データ管理は、データを暗号化して管理し且つ暗号化したデータを復号化して提供してよい業務であり、前記バックアップ管理は、暗号化した複製元のデータを復号化せずに提供し且つ複製先にはデータを暗号化せずに複製する業務であることを示す情報と
    の対応関係を管理し、
    前記第一及び第二の計算機からの前記実行要求に対し、前記対応関係に基づき、実行要求を受けた計算機を使用するユーザの管理業務がデータを復号化して提供してよい業務であるか否かを調べることにより、前記記憶装置に格納されるデータの復号化の要否を判断することを特徴とする計算機システム。
  13. データの更新、作成を伴うデータ管理を実行する第一の計算機と、
    データの複製を伴うバックアップ管理を実行する第二の計算機と、
    前記第一及び第二の計算機と接続され前記第一及び第二の計算機が使用するデータに対し暗号化された暗号化データを格納する記憶領域を有する記憶装置と、
    前記記憶装置に格納されるデータに対する暗号復号化を行う暗号復号化装置と
    を管理する管理計算機において、
    前記第一及び第二の計算機、前記記憶装置および前記暗号復号化装置とネットワークを介して接続され、外部との通信を行う通信インターフェースと、
    前記通信インターフェースと接続されて制御を司る制御部とを備え、
    前記制御部は、
    前記第一及び第二の計算機からの実行要求に対し、前記データ管理であるか前記バックアップ管理であるかに応じて前記記憶装置に格納されるデータの復号化の要否を判断し、
    前記第一の計算機からの前記データ管理の実行要求に対し、前記暗号化されたデータを復号化し、復号化されたデータを前記第一の計算機に提供する、前記第一の計算機と前記記憶装置との間の第一の経路を設定し、
    前記第二の計算機からの前記バックアップ管理の実行要求に対し、復号化を行わず前記第二の計算機に前記暗号化されているデータを提供する、第二の経路を設定し、
    前記第一の計算機に、前記データ管理に関するデータを前記第一の経路を介して復号化された状態で取得させ、
    前記第二の計算機に、前記バックアップ管理の実行要求に対して、暗号化された状態のデータを前記第二の経路を介して取得させ、
    前記第二の計算機の前記バックアップ管理によりデータ複製を行う場合には、前記暗号復号化装置に対する前記管理計算機の設定がデータを復号化せずに、前記データを暗号化したまま別の前記記憶領域に複製を行なうものである
    ことを特徴とする管理計算機。
  14. 請求項13記載の管理計算機において、
    前記第二の経路は、前記記憶装置に格納される暗号化データを前記暗号復号化装置を介さずに提供する経路であって、
    前記第二の計算機に、前記バックアップ管理に関するデータを前記暗号復号化装置を介さずに取得させる
    ことを特徴とする管理計算機。
  15. 請求項13記載の管理計算機において、
    前記制御部は前記第一及び第二の計算機の前記データ管理または前記バックアップ管理、前記データ管理または前記バックアップ管理の要求される前記記憶領域の組み合わせに応じてデータに対する復号化の実行の有無を管理する管理情報に基づいて前記組み合わせがデータを復号化しない設定であるか否かを判定し、
    前記制御部は前記組み合わせがデータを復号化しない設定であると判定したとき、前記暗号復号化装置に対して復号化を実行しない指示をし、
    データの暗号化および復号化の有無をそれぞれ切り替えて実行できない暗号復号化装置に対して前記復号化しない処理ができないときには、前記制御手段は前記第二の計算機と前記記憶装置との間の経路を切り替えるスイッチに対して、前記記憶装置と前記第二の計算機とをデータを復号化しない経路で接続されるように指示する
    ことを特徴とする管理計算機。
  16. 請求項13の管理計算機において、
    前記制御部は前記第一及び第二の計算機の前記データ管理または前記バックアップ管理、前記データ管理または前記バックアップ管理の要求される前記記憶領域の組み合わせに応じてデータに対する暗号化の実行の有無を管理する管理情報に基づいて前記組み合わせがデータを暗号化しない設定であるか否かを判定し、
    前記制御部は前記組み合わせがデータを暗号化しない設定であると判定したとき、前記暗号復号化装置に対して暗号化を実行しない指示をし、
    データの暗号化および復号化の有無をそれぞれ切り替えて実行できない暗号復号化装置に対して前記暗号化しない処理ができないときには、前記制御手段は前記第二の計算機と前記記憶装置との間の経路を切り替えるスイッチに対して、前記記憶装置と前記第二の計算機とをデータを暗号化しない経路で接続されるように指示する
    ことを特徴とする管理計算機。
  17. 請求項13の管理計算機において、
    前記制御部は、
    前記第一,第二の計算機をそれぞれ使用するユーザの識別情報と、
    前記ユーザの管理業務が前記データ管理,前記バックアップ管理のいずれであるかを示す情報と、
    前記管理業務のうち、前記データ管理は、データを暗号化して管理し且つ暗号化したデータを復号化して提供してよい業務であり、前記バックアップ管理は、暗号化した複製元のデータを復号化せずに提供し且つ複製先にはデータを暗号化せずに複製する業務であることを示す情報と
    の対応関係を管理し、
    前記第一及び第二の計算機からの前記実行要求に対し、前記対応関係に基づき、実行要求を受けた計算機を使用するユーザの管理業務がデータを復号化して提供してよい業務であるか否かを調べることにより、前記記憶装置に格納されるデータの復号化の要否を判断することを特徴とする管理計算機。
  18. データの更新、作成を伴うデータ管理を実行する第一の計算機と、
    データの複製を伴うバックアップ管理を実行する第二の計算機と、
    前記第一及び第二の計算機と接続され前記第一及び第二の計算機が使用するデータに対し暗号化された暗号化データを格納する記憶領域を有する記憶装置と、
    前記記憶装置に格納されるデータに対する暗号復号化を行う暗号復号化装置と
    に対して、管理計算機により管理を伴うデータ管理方法において、
    前記管理計算機は、
    前記第一及び第二の計算機からの実行要求に対し、前記データ管理であるか前記バックアップ管理であるかに応じて前記記憶装置に格納されるデータの復号化の要否を判断し、
    前記第一の計算機からの前記データ管理の実行要求に対し、前記暗号化されたデータを復号化し、復号化されたデータを前記第一の計算機に提供する、前記第一の計算機と前記記憶装置との間の第一の経路を設定し、
    前記第二の計算機からの前記バックアップ管理の実行要求に対し、復号化を行わず前記第二の計算機に前記暗号化されているデータを提供する、第二の経路を設定し、
    前記第一の計算機に、前記データ管理に関するデータを前記第一の経路を介して復号化された状態で取得させ、
    前記第二の計算機に、前記バックアップ管理の実行要求に対して、暗号化された状態のデータを前記第二の経路を介して取得させ、
    前記第二の計算機の前記バックアップ管理によりデータ複製を行う場合には、前記暗号復号化装置に対する前記管理計算機の設定がデータを復号化せずに、前記データを暗号化したまま別の前記記憶領域に複製を行なうものである
    ことを特徴とするデータ管理方法。
  19. 請求項18のデータ管理方法において、
    前記管理計算機は、
    前記第一,第二の計算機をそれぞれ使用するユーザの識別情報と、
    前記ユーザの管理業務が前記データ管理,前記バックアップ管理のいずれであるかを示す情報と、
    前記管理業務のうち、前記データ管理は、データを暗号化して管理し且つ暗号化したデータを復号化して提供してよい業務であり、前記バックアップ管理は、暗号化した複製元のデータを復号化せずに提供し且つ複製先にはデータを暗号化せずに複製する業務であることを示す情報と
    の対応関係を管理し、
    前記第一及び第二の計算機からの前記実行要求に対し、前記対応関係に基づき、実行要求を受けた計算機を使用するユーザの管理業務がデータを復号化して提供してよい業務であるか否かを調べることにより、前記記憶装置に格納されるデータの復号化の要否を判断することを特徴とするデータ管理方法。
JP2004312937A 2004-10-27 2004-10-27 計算機システム、管理計算機、及びデータ管理方法 Expired - Fee Related JP4555049B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004312937A JP4555049B2 (ja) 2004-10-27 2004-10-27 計算機システム、管理計算機、及びデータ管理方法
US11/039,807 US20060090072A1 (en) 2004-10-27 2005-01-24 Computer system, management computer and data management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004312937A JP4555049B2 (ja) 2004-10-27 2004-10-27 計算機システム、管理計算機、及びデータ管理方法

Publications (2)

Publication Number Publication Date
JP2006127061A JP2006127061A (ja) 2006-05-18
JP4555049B2 true JP4555049B2 (ja) 2010-09-29

Family

ID=36207358

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004312937A Expired - Fee Related JP4555049B2 (ja) 2004-10-27 2004-10-27 計算機システム、管理計算機、及びデータ管理方法

Country Status (2)

Country Link
US (1) US20060090072A1 (ja)
JP (1) JP4555049B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7590868B2 (en) * 2005-02-09 2009-09-15 Hewlett-Packard Development Company, L.P. Method and apparatus for managing encrypted data on a computer readable medium
JP2007102387A (ja) * 2005-10-03 2007-04-19 Fujitsu Ltd ストレージシステム,暗号化パス切替え方法,暗号化パス切替え用プログラムおよびそのプログラムを記録した記録媒体
JP4843531B2 (ja) 2006-09-29 2011-12-21 富士通株式会社 暗号変換装置、暗号変換方法および暗号変換プログラム
JP2008166873A (ja) * 2006-12-27 2008-07-17 Mitsubishi Electric Corp データ管理装置及びデータ管理システム及びデータ管理方法及びプログラム
JP2011090550A (ja) * 2009-10-23 2011-05-06 Hitachi Ltd コンピュータシステム及びプログラム記録媒体
JP5743475B2 (ja) * 2010-09-28 2015-07-01 キヤノン株式会社 情報処理装置、情報処理装置の制御方法及びプログラム
JP6885095B2 (ja) * 2017-02-20 2021-06-09 日本電気株式会社 復号分類方法、復号分類装置および復号分類プログラム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002084270A (ja) * 2000-09-07 2002-03-22 Hitachi Ltd リモートコピーのコンピュータシステム
JP2002091818A (ja) * 2000-09-14 2002-03-29 Mitsui & Co Ltd 企業間のデータファイル共有・交換システム、および業務協働システム
JP2002215462A (ja) * 2001-01-18 2002-08-02 Hitachi Ltd 計算機システム
JP2003316633A (ja) * 2002-04-23 2003-11-07 Hitachi Ltd ファイル転送方法およびシステム
JP2004234241A (ja) * 2003-01-29 2004-08-19 Sharp Corp 電子機器ネットワークシステムおよび電子機器ネットワークシステムによるデータ送信先検索方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5699428A (en) * 1996-01-16 1997-12-16 Symantec Corporation System for automatic decryption of file data on a per-use basis and automatic re-encryption within context of multi-threaded operating system under which applications run in real-time
JP2002132583A (ja) * 2000-10-20 2002-05-10 Sony Corp データ処理装置、データ記憶装置、およびデータ処理方法、並びにプログラム提供媒体
JP2003101523A (ja) * 2001-09-21 2003-04-04 Fujitsu Ltd 秘匿機能を有する通信ネットワーク・システムおよび通信方法
US20030225966A1 (en) * 2002-05-31 2003-12-04 Jorgen Frandsen Serverless network data storage operation managed by peripheral device
GB2390274B (en) * 2002-06-28 2005-11-09 Matsushita Electric Ind Co Ltd Information reproducing apparatus
US20040230817A1 (en) * 2003-05-14 2004-11-18 Kenneth Ma Method and system for disaster recovery of data from a storage device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002084270A (ja) * 2000-09-07 2002-03-22 Hitachi Ltd リモートコピーのコンピュータシステム
JP2002091818A (ja) * 2000-09-14 2002-03-29 Mitsui & Co Ltd 企業間のデータファイル共有・交換システム、および業務協働システム
JP2002215462A (ja) * 2001-01-18 2002-08-02 Hitachi Ltd 計算機システム
JP2003316633A (ja) * 2002-04-23 2003-11-07 Hitachi Ltd ファイル転送方法およびシステム
JP2004234241A (ja) * 2003-01-29 2004-08-19 Sharp Corp 電子機器ネットワークシステムおよび電子機器ネットワークシステムによるデータ送信先検索方法

Also Published As

Publication number Publication date
US20060090072A1 (en) 2006-04-27
JP2006127061A (ja) 2006-05-18

Similar Documents

Publication Publication Date Title
US7240197B1 (en) Method and apparatus for encryption and decryption in remote data storage systems
JP4588486B2 (ja) 計算機システム及び管理計算機とホスト計算機並びにボリューム管理方法
US7272727B2 (en) Method for managing external storage devices
JP4877962B2 (ja) 暗号化機能を備えたストレージサブシステム
US20120089567A1 (en) Storage device, data replication method, and storage system
JP4728060B2 (ja) ストレージ装置
US8422677B2 (en) Storage virtualization apparatus comprising encryption functions
JP4990089B2 (ja) 格納データ暗号化機能内蔵ストレージ装置の暗号鍵をバックアップ及びリストアする計算機システム
JP2008077366A (ja) 記憶制御装置及び記憶制御装置の暗号化機能制御方法
JP2009032038A (ja) リムーバブルな暗号化/復号化モジュールが接続されるストレージシステム
US20080052537A1 (en) Storage device, write-back method, and computer product
US8259951B2 (en) Method and system for managing encryption key
JP2008269173A (ja) 計算機システム、ストレージシステムおよびデータ管理方法
US20100162032A1 (en) Storage availability using cryptographic splitting
US8135980B2 (en) Storage availability using cryptographic splitting
JP2009064178A (ja) ストレージ装置及びデータの管理方法
US20090327758A1 (en) Storage apparatus and data processing method for storage apparatus
US20060090072A1 (en) Computer system, management computer and data management method
US7949137B2 (en) Virtual disk management methods
WO2015004706A1 (ja) ストレージ装置およびストレージ装置の制御方法
US8160257B1 (en) Tape failover across a cluster
JP4848443B2 (ja) 暗号化/復号化機能を有するストレージシステムを制御する計算機
JP5532516B2 (ja) ストレージ装置、及び、暗号鍵の変更方法
JP2009230587A (ja) 電子計算機のデータ管理方法、そのためのプログラム
US9251382B2 (en) Mapping encrypted and decrypted data via key management system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100420

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100618

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100713

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100715

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130723

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees