JP4738175B2 - サーバ装置、サーバ融通方法およびサーバ融通プログラム - Google Patents

サーバ装置、サーバ融通方法およびサーバ融通プログラム Download PDF

Info

Publication number
JP4738175B2
JP4738175B2 JP2006000133A JP2006000133A JP4738175B2 JP 4738175 B2 JP4738175 B2 JP 4738175B2 JP 2006000133 A JP2006000133 A JP 2006000133A JP 2006000133 A JP2006000133 A JP 2006000133A JP 4738175 B2 JP4738175 B2 JP 4738175B2
Authority
JP
Japan
Prior art keywords
server
borrowing
network
public key
storage device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006000133A
Other languages
English (en)
Other versions
JP2007183708A (ja
Inventor
雄一 木場
晃由 善明
哲郎 木村
英樹 吉田
伸夫 崎山
秀昭 平山
研一 溝口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2006000133A priority Critical patent/JP4738175B2/ja
Publication of JP2007183708A publication Critical patent/JP2007183708A/ja
Application granted granted Critical
Publication of JP4738175B2 publication Critical patent/JP4738175B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、サーバ装置を利用者組織に割り当てるサーバ融通装置、サーバ融通方法およびサーバ融通プログラムに関する。
近年、サーバ装置の利用効率の改善や、一時的な高負荷・ハードウェア障害への対応などのために、グリッドコンピューティングというサーバ装置利用形態が提唱されている。一般的なグリッドコンピューティングシステムは、サーバを複数の利用者組織で共有し、複数の利用者組織のアプリケーションプログラムを並行して動作させている。しかし、このように1つのサーバを複数の利用者組織で共有する方式によるグリッドコンピューティングシステムにおいては、利用者組織間におけるCPU時間などのリソースの割り当ての調整、利用者組織間におけるセキュリティの確保が必要になる。
そこで、サーバ融通方式によるグリッドコンピューティングシステムが提案されている。サーバ融通方式は、一時的な高負荷やハードウェア障害などでサーバが不足している利用者組織に対して、サーバに余裕のある別の利用者組織からサーバを一括して貸出す方式である。例えば、非特許文献1においては、グリッド技術を利用し、サーバ(ノード)を含むリソースを複数のクラスタ間で融通する方法が開示されている。なお、サーバ融通は、サーバのほかディスクやネットワークなどの計算機リソース全般の融通を扱うリソース融通の一形態である。
サーバ融通方式では、1つのサーバが一括して利用者組織間で融通されるため、複数の利用者組織による共有によって生じるリソース割り当て調整やセキュリティの問題が生じないという利点がある。サーバの融通を行う主体としては、OSまたはミドルウェアのレベルでサーバ装置を一括管理するクラスタシステムが主に想定されているが、クラスタ以外にも、負荷分散装置とWebサーバを組み合わせたシステムなどの複数のサーバからなるシステムをサーバ融通の主体とすることができる。また、サーバ融通方式では、複数の利用者組織間において相互に貸出す方法の他、貸出しを専門に行う組織から貸出す方法も可能である。
このようなサーバ融通方式では、以前、ある利用者組織に融通されていたサーバ装置が、別の利用者組織に新たに融通される場合が生じ得る。その際、一般にサーバ装置の利用用途が変わるため、OSやアプリケーションの再インストールが必要になる。また、OSやアプリケーションをサーバ装置のローカルディスクに自動インストールするモデルの場合、当該サーバ装置返却時に、ローカルディスクに書き込まれたデータが漏洩しないように確実に削除する必要が生じる。また、融通の度にローカルディスクへの書き込み処理や削除処理のために時間を要する。
サーバ装置のローカルディスクを使用しないでサーバ装置を起動する方法として、ディスクレスブートの方法がある。これは、OSやアプリケーションは、予め用意しておいたサーバ装置の外部にあるストレージに記憶しておき、サーバ装置に、当該サーバ装置外にあるOSの起動プログラムを送り込むとともに、当該サーバ装置に、当該ストレージをルートファイルシステムとして接続することでOSの起動を行う方法である。これは、情報漏洩の危険がない同一組織内、すなわち、同一のネットワーク内では既存の技術で実現可能である。
ローカルディスクを使用せずにサーバ融通を実現しようとする場合、OSやアプリケーションは予め用意しておいた利用者組織内にあるストレージに記憶しておき、貸出された借用サーバ装置に、利用者組織が所有するOSの起動プログラムを送り込み、当該サーバ装置を当該ストレージに接続して、OSを起動しなくてはならない。
しかしながら、利用者組織が所有するOSの起動プログラムを、サーバ装置が属する組織の外から送ることは、従来方式ではできない。組織間の通信では通常セキュリティの観点から組織内への通信内容を制限しているのが一般的であり、サーバ装置側から利用者組織のOS起動プログラムの所在が判らないからである。
また、異なる組織間でサーバを融通するので、組織間がインターネットのような通信内容の改竄・傍受の可能性がある通信網によって接続されている場合、データの改竄・傍受が行われる危険性が存在する。これを防止するためには、サーバと利用者組織との間の通信を暗号化する必要があり、暗号化通信路を確立してからOS起動プログラムを送り込む手段が既存のディスクレスブートではできない。
利用者組織と借用サーバとの間に暗号化通信路を確立した後に、OSプログラムを送信した場合、当該OSプログラムを起動するために、借用サーバを再起動(リブート)する必要がある。リブートを行うと、借用サーバ内のメモリ上のデータは全てクリアされるため、リブート前に、当該メモリに記憶されている、暗号化通信路で用いた暗号鍵などの、リブート前に構築していた設定を、一旦、借用サーバのローカルディスクへ待避させることが一般的である。その結果、リブート後に、リブート前の設定を承継することができる。
しかしながら、ローカルディスクを使用しないとすると、この従来の方法では、リブート後に、リブート前の設定を承継することはできない。リブート時にメモリ上のデータはすべてクリアされてしまうからである。暗号鍵の安全性を考慮すると、サーバ外に退避するのも危険である。
別な問題として、リブート後にサーバからルートファイルシステムとなる組織外のリモートのストレージに接続できない点もある。OS起動プログラムは、起動時に仮のルートファイルシステムをサーバのメモリ上に展開して、OS起動に必要な最低限の設定を行う。最低限の設定が完了した後、起動プログラムはルートファイルシステムを本来ルートファイルシステムとするファイルシステムに切り換えて起動処理を開始する。
一般のアプリケーションは、この本来のルートファイルシステムに格納されており、暗号化通信に関するプログラムや設定も同様である。
しかし、ルートファイルシステムとするストレージがサーバ側組織の外部に存在する場合、ルートファイルシステムを接続する前の段階で暗号化通信環境を確立しておかなければならない。例えばOS起動プログラム内で暗号化通信環境を確立したとしても、ルートファイルシステムを切り換えた時、新たにルートファイルシステムとなったストレージには、暗号化通信に必要な設定や暗号鍵が存在しない状況が発生してしまう。
吉田英樹、崎山伸夫、關俊文、金井達徳、平山秀昭著 「グリッド技術によるクラスタ間リソース融通」情報処理学会第66回全国大会、2004年3月
以上説明したように、従来は、ある組織内のネットワークとは異なる別のネットワーク上のサーバ(借用サーバ)のローカルディスクを一切使用せずに、当該組織内のサーバとして安全に動作させることができないという問題点があった。
そこで、本発明は、上記問題点に鑑み、組織内のネットワークとは異なるネットワークに接続されていても、ローカルディスクを一切使用せずに、組織内のサーバとして安全に動作することのできるサーバ装置、組織内のネットワークとは異なるネットワークに接続されているサーバ装置を、そのローカルディスクを一切使用せずに、組織内のサーバとして安全に動作させるためのサーバ融通方法及びサーバ融通プログラムを提供することを目的とする。
本発明は、第1のネットワークに接続されたサーバ装置が、
(a)第2のネットワークに接続され、前記サーバ装置を借用するための制御を行う借用制御装置から送信された、当該第2のネットワークに接続するために必要なネットワーク設定情報を受信し、
(b)前記第2のネットワークとの間で暗号化通信を行うための一対の公開鍵と秘密鍵を生成し、
(c)前記公開鍵を前記借用制御装置へ送信し、
(d)前記借用制御装置から送信された、前記第2のネットワーク上の記憶装置に記憶されているオペレーティングシステムのプログラムを起動するOS起動プログラムを生成するために必要な、前記公開鍵を用いて暗号化された暗号化データを受信し、
(e)前記暗号化データを前記秘密鍵を用いて復号することにより得られるデータに、前記ネットワーク設定情報と、前記公開鍵及び前記秘密鍵とを書き込むことにより、前記OS起動プログラムを生成し、
(f)予め定められたメモリ領域内に、当該サーバ装置の再起動によりデータが消去されることのない待避領域を生成し、当該待避領域に少なくとも前記OS起動プログラムを一時記憶した後、当該サーバ装置を再起動して、前記OS起動プログラムを起動する。
前記OS起動プログラムは、前記サーバ装置に、
(g)当該OS起動プログラムに含まれる前記ネットワーク設定情報と、前記公開鍵及び前記秘密鍵とを用いて、前記記憶装置と暗号化通信を行い、前記記憶装置上のルートファイルシステムを操作可能に設定する設定ステップと、
(h)前記記憶装置に記憶された前記オペレーティングシステムのプログラム起動後の前記記憶装置との暗号化通信に用いる前記公開鍵及び前記秘密鍵を、前記記憶装置へ送信するステップと、
(i)前記記憶装置上のルートファイルシステムに切り替えるステップと、
(j)前記記憶装置に記憶されたオペレーティングシステムのプログラムを起動する起動ステップと、
を含む処理を実行させる。
本発明によれば、ある組織内のネットワークとは異なるネットワークに接続されているサーバ装置を、ローカルディスクを一切使用せずに、組織内のサーバとして安全に動作させることができる。
以下、本発明の実施形態について、図面を参照して説明する。
本実施形態は、リソース融通対象のクラスタがサーバであり、ある組織(借用側組織)のネットワーク(借用側ネットワーク)が、当該組織とは別の組織(貸出側組織)のネットワーク(貸出側ネットワーク)上のサーバ(コンピュータ)を借用する場合を例にとり説明する。
図1は、本実施形態に係るサーバ融通システムの構成例を示したものである。図1のサーバ融通システムは、通信媒体や伝送方式(プロトコル)などが互いに異なる、媒体借用側ネットワーク100と貸出側ネットワーク200とを含み、それぞれに接続されているゲートウェイ10、20を介して、公衆網に接続されている。
借用側ネットワーク100には、借用制御装置11、当該借用側組織内で利用されるサーバ群13、サーバマネージャ12が接続されている。
サーバマネージャ12は、サーバ群13の故障の有無や負荷状況を監視し、各サーバ(サーバ13(1)〜サーバ13(i)、iは2以上の正の整数)の故障の有無や負荷状況を監視するとともに、各サーバ及び各サーバ上で動作するアプリケーションの動作を制御する。
借用制御装置11は、貸出側ネットワーク200から借用する貸出用サーバ(借用サーバ)を借用側組織のサーバとして利用するために必要な設定・制御処理を行う。
なお、図1では、サーバマネージャ12と借用制御装置11は別個の構成要素として示しているが、この場合に限らず、サーバマネージャ12が、借用制御装置11の機能を備えていてもよい。
貸出側ネットワーク200には、ブート制御装置21、借用側組織へ貸し出すための貸出用サーバ群23、貸出用サーバマネージャ22が接続されている。
貸出側サーバマネージャ22は、貸出用サーバ群23の故障の有無や貸出状態を監視し、各サーバ(貸出用サーバ23(1)〜貸出用サーバ23(i)、iは2以上の正の整数)の故障の有無や貸出状態を監視するとともに、各サーバ及び各サーバ上で動作する融通プログラムの動作を制御する。
ブート制御装置21は、借用側ネットワーク200へ貸し出す貸出用サーバ(借用サーバ)と、借用側ネットワーク100のゲートウェイ10との間で、暗号化通信を行うまで、借用サーバと借用制御装置11との間の情報転送を中継するための処理を行う。
なお、図1では、貸出側サーバマネージャ22とブート制御装置21は別個の構成要素として示しているが、この場合に限らず、貸出側サーバマネージャ22が、ブート制御装置21の機能を備えていてもよい。
サーバマネージャ12は、サーバ群13のリソースが不足していることを検知すると、サーバマネージャ12と貸出用サーバマネージャ22との間で、借用制御装置11とブート制御装置21を介した通信を行い、貸出用サーバ群23のなかから借用側ネットワーク100へ貸し出すサーバ(借用サーバ)を検索する。
ここでのサーバ検索方法は、例えば、借用サーバ上で動作させるアプリケーションが要求するCPUの種類、CPUのクロック数、OSの種類などのリソースについての情報(リソース情報)を条件として、貸出用サーバ群23のなかから、当該条件にマッチするサーバを借用サーバとして検索する。
ここでは、借用サーバとして、貸出用サーバ23(1)が検索されたとする。サーバ検索によって借用サーバが決定された後、次に、借用制御装置11から融通要求が発行されて、後述する融通処理が開始される。
図1では、サーバマネージャ12が管理するサーバ群13のリソースが不足し、貸出側ネットワーク200から貸出用サーバ23(1)が借用サーバとして決定された場合を示している。この借用する貸出用サーバ23(1)を、以後、借用サーバ23(1)と呼ぶ。
次に、借用サーバ23(1)を、借用側組織のサーバとして動作させるためのサーバ融通処理について説明する。
図2は、サーバ融通処理に関わる借用制御装置11、ブート制御装置21及び借用サーバ23(1)の要部の機能構成例と、サーバ融通処理における情報の流れを示したものである。
図4〜図5は、サーバ融通処理を説明するためのシーケンス図である。
以下、図4〜図5に示した手順に従って、借用制御装置11、ブート制御装置21及び借用サーバ23(1)の間で実行されるサーバ融通処理について説明する。
まず、借用制御装置11の融通要求送信部31は、ブート制御装置21へ、融通要求及びネットワーク設定情報を送信する(ステップS1)。ネットワーク設定情報とは、借用サーバ23(1)を借用側ネットワーク100に接続するために必要な情報であり、具体的には、借用側ネットワーク100上のゲートウェイ(GW)10のIPアドレスと、貸出側ネットワーク200上のゲートウェイ(GW)20のIPアドレスと、借用サーバ23(1)の貸出側ネットワーク200上でのIPアドレス及び借用側ネットワーク100上でのIPアドレスとを含む。
ブート制御装置21の融通要求処理部41は、借用制御装置11から送信された、融通要求及びネットワーク設定情報を受信すると、借用サーバ23(1)に対し、ブート指示を送信する(ステップS2)。
さらに、ブート制御装置21の融通仲介用システム転送部42が、借用サーバ23(1)に対し、汎用の遠隔ブート機能を用いることにより、融通仲介用システムのプログラム51を転送し、起動させる(ステップS3)。例えば、PXE(Preboot eXecution Environment)を用いた遠隔ブートの場合、DHCP(Dynamic Host Configuration Protocol)とTFTP(Trivial File Transfer Protocol)を組み合わせれば、融通仲介用システムのプログラム51は借用サーバ23(1)により取得され、起動される。
借用サーバ23(1)は、融通仲介用システムのプログラム51を、メモリ50上に展開し、このプログラム51を実行することにより、融通仲介用システムとしての各機能を実現する。
融通仲介用システムは、融通情報受信部52、鍵対生成部53、ソフトウェア暗号/復号化部54、融通用OS起動プログラム生成部55、システム高速切替部56を含む。
融通仲介用システムの転送・起動後、ブート制御装置21の融通要求処理部41は、借用サーバ23(1)へネットワーク設定情報を送信する(ステップS4)。借用サーバ23(1)上で動作している融通仲介用システムの融通情報受信部52は、ブート制御装置21から送信されてきたネットワーク設定情報を受信する。
一方、鍵対生成部53は、公開鍵暗号方式における一対の公開鍵Kp及び秘密鍵Ksを生成する(ステップS5)。なお、この一対の公開鍵Kp及び秘密鍵Ksは、貸出用サーバ23(1)が借用側ネットワーク200へ貸し出されている間(サーバ融通期間)使用される。鍵対生成部53は、生成した秘密鍵Ks及び公開鍵Kpを、メモリ50内の所定のアドレス領域へ記憶するとともに(ステップS6)、公開鍵Kpを、ブート制御装置21へ転送する(ステップS7)。
ブート制御装置21の公開鍵転送部43は、借用サーバ23(1)から転送されてきた公開鍵Kpを受信すると、これを借用制御装置11へ転送する。借用制御装置11の公開鍵送受信部32は、ブート制御装置21から送信された公開鍵Kpを受信すると、これを所定の記憶領域に記憶する。
一方、借用制御装置11は、暗号化通信のために、一対の公開鍵Kppと秘密鍵Kssを予め保持している。例えば、ここでは、ソフトウェア暗号/復号化部33は、一対の公開鍵Kppと秘密鍵Kssを記憶しているものとする。借用サーバ23(1)から、借用制御装置11及び後述する当該借用制御装置11に接続されているストレージ35への暗号化通信を行うために、借用制御装置11の公開鍵送受信部32は、公開鍵Kppをブート制御装置21へ送信し、ブート制御装置21は、この公開鍵Kppを借用サーバ23(1)へ転送する。借用サーバ23(1)のソフトウェア暗号/復号化部54は、ブート制御装置21から送信された公開鍵Kppを受信すると、これを所定の記憶領域に記憶する(ステップS8)。
なお、ここでは、ステップS8において、借用制御装置11の公開鍵Kppを借用サーバ23(1)へ送信する場合を示したが、この場合に限らず、公開鍵Kppは、ステップS1で借用制御装置11から送信されるネットワーク設定情報に含まれていてもよい。また、前述の借用サーバ検索の際に、借用制御装置11とブート制御装置21との間の通信で、ブート制御装置21は借用制御装置11から公開鍵Kppを取得するので、図4のステップS4で、ブート制御装置21が、ネットワーク設定情報とともに、公開鍵Kppを借用サーバ23(1)へ送信するようにしてもよい。
以上の処理により、借用制御装置11と借用サーバ23(1)への暗号化通信の準備が整った。
次に、借用制御装置11のソフトウェア暗号/復号化部33は、記憶部34に記憶されている、サーバ融通用OS起動プログラムの雛形を、公開鍵Kpで暗号化した後、融通仲介用システムのソフトウェア暗号/復号化部54へ転送する(ステップS9)。
なお、サーバ融通用OS起動プログラムの雛形は、この雛形中の予め定められた領域に、ネットワーク設定情報、及びステップS5で生成された秘密鍵Ks及び公開鍵Kpを埋め込む(書き込む)ことにより、実行可能なサーバ融通用OS起動プログラムが完成する、融通用OS起動プログラムを生成するために必要な、未完成・未完全なサーバ融通用OS起動プログラムである。
サーバ融通用OS起動プログラムは、借用側ネットワーク100上のストレージ(記憶装置)35に構築されているルートファイルシステムを借用サーバ23(1)にマウントし(借用サーバ23(1)のルートファイルシステムを記憶装置35のルートファイルシステムに切替え、記憶装置35のルートファイルシステムを借用サーバ23(1)から操作可能となるように設定し)、記憶装置35に記憶されているオペレーティングシステム(OS)のプログラムを起動するために必要な処理を借用サーバ23(1)に実行させるものである。
借用サーバ23(1)がストレージ35に構築されているルートファイルシステムをマウントし、記憶装置35に記憶されているオペレーティングシステム(OS)のプログラムを起動することにより、記憶装置35に記憶されている各種アプリケーションプログラムも起動することができ、以後、貸出側ネットワーク200上の借用サーバ23(1)が借用側組織のサーバとして動作することとなる。
さて、借用制御装置11から送信された、暗号化されたサーバ融通用OS起動プログラムの雛形は、借用サーバ23(1)で受信されると、ソフトウェア暗号/復号化部54で、ステップS5で生成された秘密鍵Ksを用いて復号する(ステップS10)。
その後、借用サーバ23(1)の融通用起動プログラム生成部55は、復号した結果得られた、サーバ融通用OS起動プログラムの雛形中の予め定められた領域に、ステップS4で得たネットワーク設定情報、ステップS5で生成された秘密鍵Ks及び公開鍵Kpを埋め込むことにより、実行可能なサーバ融通用OS起動プログラムを生成する(ステップS11)。生成したサーバ融通用OS起動プログラムは、システム高速切替実行部56に渡される。なお、公開鍵Kppもサーバ融通用OS起動プログラムの予め定められた領域に書き込むようにしてもよい。
そして、システム高速切替実行部56は、図6に示すような、システム高速切替処理を実行する(ステップS12)。すなわち、メモリ50上の予め定められたアドレス領域内に、当該コンピュータの再起動によってもデータが消去されることのない待避領域を生成し、(ステップS101)、ここに、ステップS11で生成されたサーバ融通用OS起動プログラムを含む、これまでになされたサーバ融通のための設定情報を待避(一時記憶)し(ステップS102)、借用サーバ23(1)を再起動する(ステップS103)。なお、システム高速切替処理では、この待避領域に記憶された情報は、借用サーバ23(1)の再起動の際にもクリアされることはない。
この結果(システム高速切替を実行した結果)、借用サーバ23(1)上で、メモリ50の待避領域に一時記憶されたサーバ融通用OS起動プログラムが、メモリ50のワークエリア内の所定のアドレス領域に展開され、起動される(ステップS13)。なお、このとき、サーバ融通用OS起動プログラムに含まれる秘密鍵Ks及び公開鍵Kp、ネットワーク設定情報も、(また、公開鍵Kppも)サーバ融通用OS起動プログラムとともに、メモリ50のワークエリア内の所定のアドレス領域に戻される。
このとき(システム高速切替を実行した後)、借用サーバ23(1)が、サーバ融通用OS起動プログラムを実行することにより備えることとなる機能構成例と、借用制御装置11の要部の機能構成例を図3に示す。
以下、図5に示した手順に従って、図3に示した、システム高速切替を実行した後の借用制御装置11と、借用サーバ23(1)との間のサーバ融通処理を説明する。図3に示した借用制御装置11では、システム高速切替後の処理に必要な主要部の構成例を示している。
借用サーバ23(1)は、メモリ50内に展開された、サーバ融通用OS起動プログラム61を実行することにより、図3に示すように、鍵対管理部62、ソフトウェア暗号/復号化部63、ソフトウェア暗号化/復号化設定調整部64の各機能を実現する。
鍵対管理部62は、鍵対生成部53で生成し、所定のアドレス領域に記憶された(サーバ融通用OS起動プログラム61内の)秘密鍵Ksや公開鍵Kpを必要に応じて読み出す。
ソフトウェア暗号化/復号化設定調整部64は、借用サーバ23(1)内のローカルディスクを用いることなく、借用側組織のサーバとして(サーバ群13のうちの1つとして)機能するための諸設定を行う。
ソフトウェア暗号/復号化部63は、借用制御装置11(のストレージ35)へ送信する情報データを暗号化し、また、借用制御装置11(のストレージ35)から送信された暗号化データを復号する。
このような機能を有する借用サーバ23(1)のソフトウェア暗号化/復号化設定調整部64は、まず、サーバ融通用OS起動プログラムに含まれるネットワーク設定情報を用いて、ルートファイルシステムとしてマウントすべきストレージ35への接続を試みる。すなわち、ソフトウェア暗号化/復号化設定調整部64は、ストレージ35(のルートファイルシステム)をマウント設定のための通信路を確立し、その後、この通信路を用いた暗号化通信により、ストレージ35(のルートファイルシステム)をマウントするための各種設定を行う(図5のステップS14)。 なお、ここで設定される通信路で用いる暗号鍵は、借用制御装置11から借用サーバ23(1)への通信には、公開鍵Kpが用いられ、借用サーバ23(1)から借用制御装置11への通信には、公開鍵Kppが用いられる。借用制御装置11のソフトウェア暗号/復号化部33は、公開鍵Kpで暗号化したデータを借用サーバ23(1)へ送信し、借用サーバ23(1)のソフトウェア暗号/復号化部63は、これを秘密鍵Ksを用いて復号する。借用サーバ23(1)のソフトウェア暗号/復号化部63は、公開鍵Kppで暗号化したデータを借用制御装置11へ送信し、ソフトウェア暗号/復号化部33は、これを秘密鍵Kssを用いて復号する。
この暗号化通信路を用いて、ストレージ35(のルートファイルシステム)をマウントするための各種設定を行う。例えば、借用側の組織の利用形態にのみ依存する言語や、時間帯などは、そのままの設定を用い、ストレージ35と借用サーバ23(1)との間の用いる通信プロトコルやデバイス、ディスクのパーティション(例えば、ブートパーティション及びユーザパーティションのサイズ)などが設定される。
この設定が終了後、ソフトウェア暗号化/復号化設定調整部64は、ストレージ35が持つデータにアクセス可能になるための指示をストレージ35に発行する。
ストレージ35へアクセス可能な状態になると、ソフトウェア暗号/復号化部63は、鍵対管理部62から、公開鍵Kp及び秘密鍵Ksを取得し、それを借用サーバ23(1)から借用制御装置11への暗号化通信用の公開鍵kppで暗号化して、ストレージ35へ送信する(図5のステップS15)。ソフトウェア暗号/復号化部33は、暗号化された公開鍵Kp及び秘密鍵Ksを秘密鍵Kssを用いて復号し、ストレージ35へ渡す。ストレージ35は、借用サーバ23(1)が、ストレージ35上のOSプログラムを起動した後に(借用サーバ23(1)が借用側組織のサーバとして動作する際に)、ストレージ35と借用サーバ23(1)との間の暗号化通信に用いる、公開鍵Kp及び秘密鍵Ksを取得する。ストレージ35は、この取得した公開鍵Kp及び秘密鍵Ksを予め定められた記憶領域へ記憶する。
また、借用サーバ23(1)は、ストレージ35上のルートファイルシステムに切り替えた後の公開鍵Kp及び秘密鍵Ksを用いた暗号化通信に必要なディレクトリを、当該ルートファイルシステムに追加するための処理も行う。この追加されたディレクトリの1つに、取得した公開鍵Kp及び秘密鍵Ksが記憶されてもよい。
その後、ルートファイルシステムの切替が汎用のOS機構に従って行われ(図5のステップS16)、ルートファイルシステムをストレージ35に切り替えて(具体的には、ルートファイルシステムの切替コマンドを送信する)、ストレージ35のルートファイルシステムが借用サーバ23(1)にマウントされ、借用サーバ23(1)により、ストレージ35のルートファイルシステム上のOSプログラムが起動される(図5のステップS17)。
借用サーバ23(1)にストレージ35のルートファイルシステムをマウントする方法、すなわち、融通用OS起動プログラムを実行している借用サーバ23(1)にストレージ35をルートファイルシステムとして認識させる方法としては、実際には、例えばLinux(登録商標)環境の場合、NFS(Network File System)やiSCSI(Internet SCSI)を用いる。NFSとiSCSIを比較した場合、NFSはリモートに存在するファイルシステム、iSCSIはローカルに存在するファイルシステムとして認識するので、ファイルシステムとしての見え方は異なる。しかし、どちらの方法でも、図3の構成及び図5のステップS13〜ステップS17の処理の流れでルートファイルシステムの切替が可能である。
なお、上記実施形態では、ストレージ35は、借用制御装置11に接続されている形態について説明したが、この場合に限らず、ストレージ35が借用側ネットワーク100に直接接続されている形態であってもよい。この場合のストレージ(以下、記憶装置と呼ぶ)は、図5の公開鍵送受信部32,ソフトウェア暗号/復号化部33及びストレージ35を含む構成を有し、図5において、借用制御装置11を当該記憶装置に置き換え、借用制御装置11と借用サーバ23(1)との間の処理動作を記憶装置と借用サーバ23(1)との間の処理動作と読み替え、さらに、借用サーバ23(1)から記憶装置への暗号化通信に、記憶装置に予め保持されている一対の公開鍵及び秘密鍵を用いることにより、上述同様に適用可能である。この記憶装置に予め保持されている公開鍵は、例えば、図5のステップS14の前段に、記憶装置の公開鍵送受信部32により、借用サーバ23(1)へ送信される。借用サーバ23(1)のソフトウェア暗号/復号化部63は、このストレージ35から送信された公開鍵を用いて、ステップS14以降で、ストレージ35へ送信すべきデータを暗号化して送信する。
以上説明したように、上記実施形態によれば、借用側ネットワーク200に接続された借用サーバ23(1)が、
(a)貸出側ネットワーク100に接続するために必要なネットワーク設定情報を受信し、
(b)貸出側ネットワークとの間で暗号化通信を行うための一対の公開鍵と秘密鍵を生成し、
(c)当該公開鍵を送信し、
(d)貸出側ネットワーク上の記憶装置(ストレージ35)に記憶されているオペレーティングシステムのプログラムを起動するOS起動プログラムを生成するために必要な、当該公開鍵を用いて暗号化された暗号化データを受信し、
(e)当該暗号化データを当該秘密鍵を用いて復号することにより得られるデータに、当該ネットワーク設定情報と、当該公開鍵及び当該秘密鍵とを書き込むことにより、当該OS起動プログラムを生成し、
(f)予め定められたメモリ領域内に、当該サーバ装置の再起動によりデータが消去されることのない待避領域を生成し、当該待避領域に少なくとも当該OS起動プログラムを一時記憶した後、当該サーバ装置を再起動して、当該OS起動プログラムを起動する。
このような構成により、借用サーバ23(1)のディスクを一切使わずに、OS起動プログラム内に埋め込まれた、(借用サーバ上で生成した)ストレージとの間の暗号化通信に用いる鍵対を継承しながら、ストレージ35上のOSの起動が実現できる。
このため、借用サーバ23(1)の返却時に借用サーバ23(1)のディスク上の情報を消去するための処理を行う必要がなく、情報漏洩を回避することができる。また、ディスクにデータを書き込む時間が皆無となるため、サーバ移送時間の短縮ができる。
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
本発明の実施形態に係るシステム全体の構成例を示した図。 借用制御装置、ブート制御装置及び借用サーバの要部の構成例を示す図。 借用制御装置と借用サーバの要部の構成例を示す図。 借用制御装置、ブート制御装置及び借用サーバの間の処理手順を説明するためのシーケンス図。 借用制御装置と借用サーバとの間の処理手順を説明するためのシーケンス図。 借用サーバのシステム高速切替処理を説明するためのフローチャート。
符号の説明
11…借用制御装置
12…サーバマネージャ
13…サーバ群
21…ブート制御装置
22…貸出側サーバマネージャ
23(1)…借用サーバ
31…融通要求送信部
32…公開鍵送受信部
33…ソフトウェア暗号/復号化部
34…記憶部
35…ストレージ(記憶装置)
50…メモリ
52…融通情報受信部
53…鍵対生成部
54…ソフトウェア暗号/復号化部
55…融通用OS起動プログラム生成部
56…システム高速切替実行部、
62…鍵対管理部
63…ソフトウェア暗号/復号化部
64…ソフトウェア暗号化・復号化設定調整部
100…借用側ネットワーク
200…貸出側ネットワーク

Claims (5)

  1. 第1のネットワークに接続されたサーバ装置であって、
    第2のネットワークに接続され、前記サーバ装置を借用するための制御を行う借用制御装置から送信された、当該第2のネットワークに接続するために必要なネットワーク設定情報を受信する第1の受信手段と、
    前記第2のネットワークとの間で暗号化通信を行うための一対の公開鍵及び秘密鍵を生成する鍵対生成手段と、
    前記公開鍵を前記借用制御装置へ送信する公開鍵送信手段と、
    前記借用制御装置から送信された、前記第2のネットワーク上の記憶装置に記憶されているオペレーティングシステムのプログラムを起動するOS起動プログラムを生成するために必要な、前記公開鍵を用いて暗号化された暗号化データを受信する第2の受信手段と、
    前記暗号化データを前記秘密鍵を用いて復号することにより得られるデータに、前記ネットワーク設定情報と、前記公開鍵及び前記秘密鍵とを書き込むことにより、前記OS起動プログラムを生成する生成手段と、
    予め定められたメモリ領域内に、当該サーバ装置の再起動によりデータが消去されることのない待避領域を生成し、当該待避領域に少なくとも前記OS起動プログラムを一時記憶した後、当該サーバ装置を再起動して、前記OS起動プログラムを起動する起動手段と、
    を具備したことを特徴とするサーバ装置。
  2. 前記OS起動プログラムは、前記サーバ装置に、
    当該OS起動プログラムに含まれる前記ネットワーク設定情報と、前記公開鍵及び前記秘密鍵とを用いて、前記記憶装置と暗号化通信を行い、前記記憶装置上のルートファイルシステムを操作可能に設定する設定ステップと、
    前記記憶装置に記憶された前記オペレーティングシステムのプログラム起動後の前記記憶装置との暗号化通信に用いる前記公開鍵及び前記秘密鍵を、前記記憶装置へ送信するステップと、
    前記記憶装置上のルートファイルシステムに切り替えるステップと、
    前記記憶装置に記憶されたオペレーティングシステムのプログラムを起動する起動ステップと、
    を含む処理を実行させることを特徴とする請求項1記載のサーバ装置。
  3. 第1のネットワークに接続されたサーバ装置を借用するための制御を行う第2のネットワークに接続された借用制御装置から送信された、当該第2のネットワークに接続するために必要なネットワーク設定情報を、前記サーバ装置が受信するステップと、
    前記サーバ装置が、前記第2のネットワークとの間で暗号化通信を行うための一対の公開鍵と秘密鍵を生成するステップと、
    前記サーバ装置が、前記公開鍵を前記借用制御装置へ送信するステップと、
    前記借用制御装置が、前記第2のネットワーク上の記憶装置に記憶されているオペレーティングシステムのプログラムを起動するOS起動プログラムを生成するために必要な、前記公開鍵を用いて暗号化された暗号化データを生成するステップと、
    前記サーバ装置が、前記借用制御装置から送信された前記暗号化データを受信する「ステップと、
    前記サーバ装置が、前記暗号化データを前記秘密鍵を用いて復号することにより得られるデータに、前記ネットワーク設定情報と、前記公開鍵及び前記秘密鍵とを書き込むことにより、前記OS起動プログラムを生成するステップと、
    前記サーバ装置が、予め定められたメモリ領域内に、当該サーバ装置の再起動によりデータが消去されることのない待避領域を生成し、当該待避領域に少なくとも前記OS起動プログラムを一時記憶した後、当該サーバ装置を再起動して、前記OS起動プログラムを起動するステップと、
    を有するサーバ融通方法。
  4. 前記OS起動プログラムは、前記サーバ装置に、
    当該OS起動プログラムに含まれる前記ネットワーク設定情報と、前記公開鍵及び前記秘密鍵とを用いて、前記記憶装置と暗号化通信を行い、前記記憶装置上のルートファイルシステムを操作可能に設定する設定ステップと、
    前記記憶装置に記憶された前記オペレーティングシステムのプログラム起動後の前記記憶装置との暗号化通信に用いる前記公開鍵及び前記秘密鍵を、前記記憶装置へ送信するステップと、
    前記記憶装置上のルートファイルシステムに切り替えるステップと、
    前記記憶装置に記憶されたオペレーティングシステムのプログラムを起動する起動ステップと、
    を含む処理を実行させることを特徴とする請求項3記載のサーバ融通方法。
  5. 第1のネットワークに接続されたコンピュータに、
    第2のネットワークに接続され、前記サーバ装置を借用するための制御を行う借用制御装置から送信された、当該第2のネットワークに接続するために必要なネットワーク設定情報を受信するステップと、
    前記第2のネットワークとの間で暗号化通信を行うための一対の公開鍵と秘密鍵を生成するステップと、
    前記公開鍵を前記借用制御装置へ送信するステップと、
    前記借用制御装置から送信された、前記第2のネットワーク上の記憶装置に記憶されているオペレーティングシステムのプログラムを起動するOS起動プログラムを生成するために必要な、前記公開鍵を用いて暗号化された暗号化データを受信するステップと、
    前記暗号化データを前記秘密鍵を用いて復号することにより得られるデータに、前記ネットワーク設定情報と、前記公開鍵及び前記秘密鍵とを書き込むことにより、前記OS起動プログラムを生成するステップと、
    予め定められたメモリ領域内に、当該コンピュータの再起動によりデータが消去されることのない待避領域を生成し、当該待避領域に少なくとも前記OS起動プログラムを一時記憶した後、当該コンピュータを再起動して、前記OS起動プログラムを起動するステップと、
    を実行させるサーバ融通プログラム。
JP2006000133A 2006-01-04 2006-01-04 サーバ装置、サーバ融通方法およびサーバ融通プログラム Active JP4738175B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006000133A JP4738175B2 (ja) 2006-01-04 2006-01-04 サーバ装置、サーバ融通方法およびサーバ融通プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006000133A JP4738175B2 (ja) 2006-01-04 2006-01-04 サーバ装置、サーバ融通方法およびサーバ融通プログラム

Publications (2)

Publication Number Publication Date
JP2007183708A JP2007183708A (ja) 2007-07-19
JP4738175B2 true JP4738175B2 (ja) 2011-08-03

Family

ID=38339757

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006000133A Active JP4738175B2 (ja) 2006-01-04 2006-01-04 サーバ装置、サーバ融通方法およびサーバ融通プログラム

Country Status (1)

Country Link
JP (1) JP4738175B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110022337A (zh) * 2018-01-09 2019-07-16 阿里巴巴集团控股有限公司 资源调度方法、装置、设备和系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3330569B2 (ja) * 1999-09-28 2002-09-30 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータの制御方法、コンピュータ及び記録媒体
JP2005078336A (ja) * 2003-08-29 2005-03-24 Toshiba Corp 画像形成装置と画像形成装置のプログラム書換方法
JP4603256B2 (ja) * 2003-12-01 2010-12-22 日本電気株式会社 ユーザ認証システム
JP2006155393A (ja) * 2004-11-30 2006-06-15 Toshiba Corp サーバ融通装置、サーバ融通方法およびサーバ融通プログラム

Also Published As

Publication number Publication date
JP2007183708A (ja) 2007-07-19

Similar Documents

Publication Publication Date Title
US12003638B2 (en) Secure provisioning of operating systems
EP3376378B1 (en) Container license management method, and apparatus
US10091001B2 (en) Autonomous private key recovery
JP4242819B2 (ja) オフライン作業可能な端末を有する計算機システム
WO2013097117A1 (zh) 虚拟机全盘加密下预启动时的密钥传输方法和设备
JP2010062738A (ja) ネットワーク設定プログラム,ネットワーク設定方法及びネットワーク設定装置
WO2010013092A1 (en) Systems and method for providing trusted system functionalities in a cluster based system
JP5524355B2 (ja) 仮想計算機管理方法、計算機システム及び計算機
JP4087149B2 (ja) ディスク装置共有システム、及び計算機
JP7000491B2 (ja) バイパス不可能なゲートウェイを使用するtpmベースの安全なマルチパーティ・コンピュータシステム
US7752291B2 (en) Server borrowing apparatus allocating server to user group and computer product therefor
JP5220675B2 (ja) シンクライアントマスタの書換システム、シンクライアントマスタの書換方法、およびシンクライアント
JP2008176749A (ja) Id貸出装置、id貸出プログラムおよびid貸出方法
JP4738175B2 (ja) サーバ装置、サーバ融通方法およびサーバ融通プログラム
US20200329012A1 (en) System and method for dedicated storage, through a secure internet connection, in a remote location
CN113330435A (zh) 跟踪被污染的连接代理
JP7200559B2 (ja) ネットワーク装置及びプログラム
CN113485790B (zh) 一种虚拟机的重启方法、迁移方法和相关设备
KR102233705B1 (ko) 모바일 가상화 방법 및 장치
JP5250573B2 (ja) シンクライアントマスタの書換システム、およびシンクライアントマスタの書換方法
EP4303746A1 (en) Optimized creation of identity information for provisioned virtual machines
CA3085707A1 (en) System and method for dedicated storage, through a secure internet connection, in a remote location
WO2023043564A1 (en) Secret rotation in a cloud service

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110405

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110426

R150 Certificate of patent or registration of utility model

Ref document number: 4738175

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140513

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350