JP5330104B2 - ストレージ装置及び認証方法 - Google Patents

ストレージ装置及び認証方法 Download PDF

Info

Publication number
JP5330104B2
JP5330104B2 JP2009130811A JP2009130811A JP5330104B2 JP 5330104 B2 JP5330104 B2 JP 5330104B2 JP 2009130811 A JP2009130811 A JP 2009130811A JP 2009130811 A JP2009130811 A JP 2009130811A JP 5330104 B2 JP5330104 B2 JP 5330104B2
Authority
JP
Japan
Prior art keywords
encryption key
request
information
request source
source device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009130811A
Other languages
English (en)
Other versions
JP2010277427A (ja
Inventor
達也 笹原
秀明 高橋
とおる 古田
金弥 齊藤
忍 佐々木
大介 富井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Fujitsu Broad Solution and Consulting Inc
Original Assignee
Fujitsu Ltd
Fujitsu Broad Solution and Consulting Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd, Fujitsu Broad Solution and Consulting Inc filed Critical Fujitsu Ltd
Priority to JP2009130811A priority Critical patent/JP5330104B2/ja
Priority to US12/662,585 priority patent/US8468367B2/en
Publication of JP2010277427A publication Critical patent/JP2010277427A/ja
Application granted granted Critical
Publication of JP5330104B2 publication Critical patent/JP5330104B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Description

本発明は、ストレージ装置及び認証方法に係り、特に暗号化機能を備えたストレージ装置及び認証方法に関する。
図1は、従来のストレージ装置の一例を説明するブロック図である。図1に示すストレージ装置1は、例えば磁気テープカートリッジ500を用いるライブラリ装置で形成されており、制御LAN(Local Area Network)2を介して暗号鍵管理サーバ3に接続されている。ストレージ装置1は、ドライブ制御部11及びライブラリ制御部12を有する。複数の業務サーバ4−1,4−2(2台のみ図示)は、業務LAN5を介して暗号鍵管理サーバ3に接続されると共に、ファイバチャネルスイッチ(FCS:Fibre Channel Switch)6を介してストレージ装置1に接続されている。業務サーバ4−1上で実行可能なアプリケーション41−1は、前処理部42とバックアップソフトウェア43を有する。業務サーバ4−2上で実行可能なアプリケーション41−2は、業務サーバ4−1のアプリケーション41−1と同様に前処理部(図示せず)及びバックソフトウェア(図示せず)を有しても良い。
ストレージ装置1は暗号化機能を備えており、各業務サーバ4−1,4−2は、ストレージ装置1の暗号化機能を用いてデータアクセスを行うことができる。つまり、各業務サーバ4−1,4−2は、ストレージ装置1内の磁気テープカートリッジ500に書き込むデータを暗号鍵に基づいて暗号化してから書き込むデータライトアクセスと、磁気テープカートリッジ500から読み出したデータを暗号鍵に基づいて復号化するデータリードアクセスを行うことができる。暗号鍵管理サーバ3は、ストレージ装置1内の暗号化処理又は復号化処理で用いる暗号鍵を管理する。
一例として、業務サーバ4−1がストレージ装置1の暗号化機能を用いてデータアクセスを行う場合について説明する。ステップST1では、アプリケーション41−1の前処理部42が暗号鍵管理サーバ3に暗号鍵配信要求を行う。ステップST2では、暗号鍵管理サーバ3がアプリケーション41−1からの要求を認証し、認証が成功すると暗号鍵をストレージ装置1のドライブ制御部11に配信する。ステップST3では、アプリケーション41−1のバックアップソフトウェア43がストレージ装置1のライブラリ制御部12に対してロード要求を行い、ステップST4では、バックアップソフトウェア43がストレージ装置1のドライブ制御部11に対してデータパスのリザーブ要求を行う。
ストレージ装置1のライブラリ制御部12は、ロード要求に応答して要求された磁気テープカートリッジ500をラック(図示せず)から取り出してドライブ部(図示せず)にロードする。又、ストレージ装置1のドライブ制御部11は、リザーブ要求に応答して暗号鍵をドライブ部に登録する。これにより、アプリケーション41−1のバックアップソフトウェア43は、以後はストレージ装置1に送信したデータを登録された暗号鍵を用いて暗号化してロードされた磁気テープカートリッジ500に書き込むことができ、又、ロードされた磁気テープカートリッジ500から読み出して登録された暗号鍵を用いて復号化したデータを受信することができる。
アプリケーション41−1のバックアップソフトウェア43がデータパスのリリース要求を行うと、ストレージ装置1のドライブ制御部11はドライブ部に登録した暗号鍵を削除する。又、アプリケーション41−1のバックアップソフトウェア43がアンロード要求を行うと、ストレージ装置1のライブラリ制御部12はロードされている磁気テープカートリッジ500をドライブ部からアンロードしてラックへ収納する。
従来のストレージ装置1の場合、業務サーバ4−1からのステップST4の暗号鍵設定と業務サーバ4−1からのデータアクセスと業務サーバ4−2からのデータアクセスとは、特に同期が取られていない。このため、業務サーバ4−1からの要求に基づいてステップST3で磁気テープカートリッジ500がドライブ部にロードされ、且つ、ステップST4で暗号鍵がドライブ部に登録された後であれば、図1中破線X1で示すように、元の暗号鍵配信要求を行った業務サーバ4−1以外の例えば業務サーバ4−2からであっても、ドライブ部に登録された暗号鍵を用いてドライブ部にロードされた磁気テープカートリッジ500に対するデータアクセスが行えてしまう。
特開2007−286935号公報
従来の暗号化機能を備えたストレージ装置では、業務サーバ等の異なる装置からのデータアクセスの同期が取られていないため、任意の装置からの要求に応答してストレージ装置内で暗号鍵が登録された状態であれば、他の装置からの要求に応答して登録済みの暗号鍵を用いたデータアクセスが可能になってしまい、データのセキュリティを確保することが難しいという問題があった。
そこで、本発明は、データのセキュリティを確保可能なストレージ装置及び認証方法を提供することを目的とする。
本発明の一観点によれば、アクセス対象となる記録媒体がロードされ、アンロードされるドライブ部と、要求元装置から受信した承認情報と、暗号鍵管理装置から受信した暗号鍵情報に含まれる暗号鍵から任意のアルゴリズムに従って作成された承認情報に基づいて前記要求元装置からのデータアクセスの正当性を判断する暗号鍵制御部と、前記データアクセスの正当性が確認されると前記要求元装置からのアクセス要求に応じて前記ドライブにロードされた記録媒体に対して前記暗号鍵を用いたデータアクセスを行う制御部を備え、前記要求元装置から受信した承認情報は、前記暗号鍵管理装置が前記要求元装置からの認証要求に応じて認証が成功すると暗号鍵から前記任意のアルゴリズムに従って作成するユニークなコードを含むストレージ装置が提供される。
本発明の一観点によれば、データアクセスの要求元装置からの認証要求に応じて、暗号鍵管理装置において認証が成功すると暗号鍵から任意のアルゴリズムに従って作成されたユニークなコードを含む承認情報を前記要求元装置に返すと共に前記暗号鍵を含む暗号鍵情報をストレージ装置へ送る工程と、前記要求元装置から前記承認情報を前記ストレージ装置へ送る工程と、前記要求元装置からの前記承認情報と、前記ストレージ装置内で前記暗号鍵管理装置からの前記暗号鍵情報中の暗号鍵から前記任意のアルゴリズムに従って作成した承認情報に基づいて、前記要求元装置からのデータアクセスの正当性を前記ストレージ装置で判断する工程を含む認証方法が提供される。
開示のストレージ装置及び認証方法によれば、データのセキュリティを確保することが可能となる。
従来のストレージ装置の一例を説明するブロック図である。 本発明の一実施例におけるストレージ装置の一例を説明するブロック図である。 ストレージ装置の構造の一例を示す図である。 ストレージ装置の動作を説明するタイムチャートである。 暗号鍵チェーンの構造の一例を説明する図である。 承認情報チェーンの構造の一例を説明する図である。 ドライブ制御プロセスP1を説明するフローチャートである。 暗号鍵管理プロセスP2を説明するフローチャートである。 ドライブ制御プロセスP3を説明するフローチャートである。 ドライブ制御プロセスP5を説明するフローチャートである。
開示のストレージ装置及び認証方法では、データアクセスの要求元装置からの認証要求に応じて、暗号鍵管理装置において認証が成功すると暗号鍵から任意のアルゴリズムに従って作成されたユニークなコードを含む承認情報を要求元装置に返すと共に暗号鍵を含む暗号鍵情報をストレージ装置へ送る。要求元装置は、承認情報をストレージ装置へ送る。要求元装置からの承認情報と、ストレージ装置内で暗号鍵管理装置からの暗号鍵情報中の暗号鍵から前記任意のアルゴリズムに従って作成した承認情報に基づいて、要求元装置からのデータアクセスの正当性をストレージ装置で判断する。
データアクセスの正当性が確認されるとストレージ装置内に暗号鍵を登録することで、要求元装置からのアクセス要求に応じて記録媒体に対して登録された暗号鍵を用いたデータアクセスを行うことができる。
要求元装置と暗号鍵管理装置の間の認証だけでなく、要求元装置とストレージ装置の間の認証も暗号鍵管理装置が発行する承認情報を用いて行う。このため、ストレージ装置は同期を取ることなく暗号鍵の利用者の照合を行うことができ、要求元装置からのデータアクセスのセキュリティを確保することができる。
以下に、開示のストレージ装置及び認証方法の各実施例を図面と共に説明する。
図2は、本発明の一実施例におけるストレージ装置の一例を説明するブロック図である。図2中、図1と同一部分には同一符号を付し、その説明は省略する。
図2に示すストレージ装置21は、例えば磁気テープカートリッジ(以下、単にカートリッジと言う)500を用いるライブラリ装置で形成されており、制御LAN(Local Area Network)2を介して暗号鍵管理サーバ23に接続されている。暗号鍵管理サーバ23は、暗号鍵管理装置を形成する。ストレージ装置21は、ドライブ制御部211及び暗号鍵制御部212を有する。複数の業務サーバ24−1,24−2(2台のみ図示)は、業務LAN5を介して暗号鍵管理サーバ23に接続されると共に、ファイバチャネルスイッチ(FCS:Fiber Channel Switch)6を介してストレージ装置21に接続されている。業務サーバ24−1上で実行可能なアプリケーション241−1は、前処理部242とバックアップソフトウェア243を有する。業務サーバ24−2上で実行可能なアプリケーション241−2は、業務サーバ24−1のアプリケーション241−1と同様に前処理部(図示せず)及びバックソフトウェア(図示せず)を有しても良い。
ストレージ装置21は暗号化機能を備えており、各業務サーバ24−1,24−2は、ストレージ装置21の暗号化機能を用いてデータアクセスを行うことができる。つまり、各業務サーバ24−1,24−2は、ストレージ装置21内のカートリッジ500に書き込むデータを暗号鍵に基づいて暗号化してから書き込むデータライトアクセスと、カートリッジ500から読み出したデータを暗号鍵に基づいて復号化するデータリードアクセスを行うことができる。暗号鍵管理サーバ23は、ストレージ装置21内の暗号化処理又は復号化処理で用いる暗号鍵を管理する暗号鍵管理部231を有する。暗号鍵管理部231は、例えばソフトウェアにより形成されている。
図3は、ストレージ装置21の構造の一例を示す図である。図3中、実線の矢印は命令やデータの流れを示し、破線の矢印はカートリッジ500のロード又はアンロードに伴うハードウェアの動きを示す。
図3に示すように、ストレージ装置21は、ライブラリ制御部221、ロボット制御部222、ドライブ部223及びラック(又は、ロッカー)224を有する。ライブラリ制御部221は、ドライブ制御部211、及び鍵管理サーバ23から配信されてきた暗号鍵を管理する暗号鍵制御部212を有する。ドライブ制御部211及び暗号鍵制御部212は夫々機能ブロックを示し、例えばソフトウェアにより形成される。ロボット制御部222は、ラック224に収納されているカートリッジ500を取り出してドライブ部223にロードするロード動作と、ドライブ部223にロードされているカートリッジ500をアンロードしてラック224に収納するアンロード動作を行う周知のファームウェアで形成される。ドライブ部223は、ロードされているカートリッジ500のテープにデータを書き込む(ライトする)と共に、テープに記録されているデータを読み出す(リードする)ヘッド等のリード及びライト手段を備えた周知の構造を有する。尚、説明の便宜上、ロボット制御部222が制御するロボット自体は周知であるため、その構成の図示及び説明は省略する。
尚、図3では、記録媒体の一例としてカートリッジ500が用いられているが、記録媒体は磁気テープカートリッジに限定されるものではなく、例えば磁気、光、又は光磁気ディスク等の記録媒体やそのような記録媒体を収納したカートリッジを用いても良いことは言うまでもない。又、ドライブ部223が複数の異なる種類の記録媒体(例えば、磁気テープと磁気ディスク)をロード・アンロード可能な構造を有する場合には、ストレージ装置21が用いる記録媒体は同じ種類に限定されない。つまり、ドライブ部223は、ストレージ装置21内に複数設けられていても良い。
図4は、ストレージ装置21の動作を説明するタイムチャートである。一例として、要求元装置を形成する業務サーバ24−1がストレージ装置21の暗号化機能を用いてデータアクセスを行う場合について説明する。図4中、「前処理部」で示されている処理は前処に理部242に関連した処理であり、「バックアップソフトウェア」で示されている処理はバックアップソフトウェア243に関連した処理である。
図4において、ステップS1では、アプリケーション241−1の前処理部242が暗号鍵管理サーバ23に暗号鍵配信要求を含む認証要求を行う。暗号鍵配信要求には、業務サーバ24−1のアプリケーション241−1の利用者識別子(ID)と、暗号鍵を特定するためのカートリッジ500のボリューム名等の暗号鍵特定情報が含まれる。ステップS2では、暗号鍵管理サーバ23の暗号鍵管理部231がアプリケーション241−1からの要求を認証し、認証が成功すると業務サーバ24−1の前処理部242に認証を確認する応答を返す。この認証を確認する応答には、利用者識別子(ID)と、承認情報が含まれる。業務サーバ24−1に返される承認情報は、暗号鍵管理部231が暗号鍵から作成するユニークなコードである。又、承認情報が鍵管理サーバ23と業務サーバ24−1の間で盗聴されないように、鍵管理サーバ23と業務サーバ24−1の間の通信路をSSH(Secure SHell)等の手法でセキュア化することが望ましい。ステップS3では、上記認証が成功すると暗号鍵管理サーバ23の暗号鍵管理部231が暗号鍵情報をストレージ装置21のドライブ制御部211に配信する。ストレージ装置21のドライブ制御部211に配信される暗号鍵情報には、暗号鍵に加え、利用者識別子(ID)及び暗号鍵を特定するためのカートリッジ500のボリューム名等の暗号鍵特定情報が含まれる。ステップS2,S3を実行する順序は特に限定されず、並行に実行されても良い。
ステップS4では、暗号鍵を受信したストレージ装置21のドライブ制御部211が利用者識別子(ID)、暗号鍵を特定するためのカートリッジ500のボリューム名等の暗号鍵特定情報、暗号鍵から作成されるユニークなコード(承認情報)、及び暗号鍵(暗号鍵データ)を含む暗号鍵情報を暗号鍵チェーンにキューイングするドライブ制御プロセスP1を実行し、暗号鍵管理サーバ23の暗号鍵管理部231に暗号鍵受信情報、即ち、暗号鍵の受信を確認する応答を返す。ドライブ制御部211が暗号鍵情報の暗号鍵から承認情報を作成するのに用いるアルゴリズムは、暗号鍵管理サーバ23内の暗号鍵管理部231が暗号鍵から承認情報を作成するのに用いるアルゴリズムと同じであれば良く、アルゴリズム自体は特に限定されないので承認情報は任意のアルゴリズムに従って作成可能である。
図5は、暗号鍵チェーンの構造の一例を説明する図である。暗号鍵チェーンの暗号鍵情報は、次の暗号鍵が格納されているライブラリ制御部212内の位置(例えば、ストレージ装置21内のメモリのアドレス)を示すネクストポインタ、1つ前の暗号鍵が格納されているライブラリ制御部212内の位置を示すバックポインタ、利用者識別子(ID)、暗号鍵特定情報、暗号鍵管理装置からの暗号鍵情報中の暗号鍵から前記任意のアルゴリズムに従って作成した承認情報、及び暗号鍵(暗号鍵データ)を含む。
ステップS5では、アプリケーション241−1の前処理部242がストレージ装置21の暗号鍵制御部212に、アプリケーション24−1の利用者識別子(ID)、承認情報、及びWWN(World Wide Name)等の入出力(I/O:Input and Output)要求を発行する要求元(この場合、業務サーバ24−1)を特定するための装置情報を含む利用者識別情報を配信する。ステップS6では、ストレージ装置21の暗号鍵制御部212が利用者識別情報を承認情報チェーンにキューイングする暗号鍵管理プロセスP2を実行し、業務サーバ24−1のアプリケーション241−1の前処理部242に承認情報の受信を確認する応答を返す。
図6は、承認情報チェーンの構造の一例を説明する図である。承認情報チェーンの利用者識別情報は、次の利用者識別子(ID)が格納されているライブラリ制御部212内の位置(例えば、ストレージ装置21内のメモリのアドレス)を示すネクストポインタ、1つ前の利用者識別子(ID)が格納されているライブラリ制御部212内の位置を示すバックポインタ、利用者識別子(ID)、承認情報、及びWWNを含む。
このように、ストレージ装置21では、複数の暗号鍵の要求順番を暗号鍵チェーンで管理し、暗号鍵からユニークなコード(承認情報)を作成して承認情報チェーンで管理することで、ストレージ装置21の外部装置に対して暗号鍵を隠蔽している。
ステップS7では、アプリケーション241−1のバックアップソフトウェア243がストレージ装置21のドライブ制御部211に対してロード要求及びリザーブ要求を含む認証要求を行う。ストレージ装置21のドライブ制御部211は、ロード要求及びリザーブ要求に応答してドライブ制御プロセスP3を実行する。ドライブ制御プロセスP3は、ロード要求に含まれる要求元のWWNに対応する利用者識別情報を、暗号鍵制御部212で管理されている承認情報チェーンから取得する。又、ドライブ制御プロセスP3は、取得された利用者識別情報の利用者識別子(ID)及び承認情報(ユニークなコード)と一致する暗号鍵がドライブ制御部211で管理されている暗号鍵チェーンに存在する場合には、当該暗号鍵を暗号鍵チェーンから取得すると共に、当該暗号鍵を含む暗号鍵情報を暗号鍵チェーンから外す(即ち、削除する)。更に、ドライブ制御プロセスP3は、リザーブ要求に応じて暗号鍵チェーンから外した暗号鍵をドライブ部223に登録(又は、設定)してドライブ制御部211に対するデータパスを設定(リザーブ)する。
一方、ストレージ装置21のロボット制御部222は、ロード要求に含まれるアクセスアドレスに応じたカートリッジ500をラック224から取り出すと共にドライブ部223にロードする。カートリッジ500がドライブ部223にロードされると、ステップS8ではドライブ制御部211がロード要求を含む認証要求に対する応答を業務サーバ24−1のアプリケーション241−1のバックアップソフトウェア243に返す。これにより、アプリケーション241−1のバックアップソフトウェア243は、ストレージ装置21に対してライト要求やリード要求等のI/O要求を行ってドライブ部223にロードされたカートリッジ500に対してデータのリード又はライトを行える状態となる。
ステップS9では、アプリケーション241−1のバックアップソフトウェア243は、ストレージ装置21に対してライト要求やリード要求等の入出力(I/O:Input and Output)要求を行う。ライト要求の場合、ストレージ装置21に送信されたデータは、ドライブ制御部211の制御下でドライブ部223に登録された暗号鍵を用いて暗号化されてロードされたカートリッジ500内のテープに書き込まれる。一方、リード要求の場合、ロードされたカートリッジ500から読み出されたデータは、ドライブ制御部21の制御下でドライブ部223に登録された暗号鍵を用いて復号化された後に業務サーバ24−1に送信される。ステップS10では、ストレージ装置21のドライブ制御部211がI/O要求に対する応答をアプリケーション241−1のバックアップソフトウェア243に返す。ライト要求の場合、バックアップソフトウェア243に返される応答にはライト完了報告が含まれ、リード要求の場合、バックアップソフトウェア243に返される応答にはリード完了報告及びカートリッジ500から読み出されたデータが含まれる。
ステップS11では、アプリケーション241−1のバックアップソフトウェア243がストレージ装置21のドライブ制御部211に対してアンロード要求及びリリース要求を含む認証要求を行う。ストレージ装置21のドライブ制御部211は、アンロード要求及びリリース要求に応答してドライブ制御プロセスP5を実行する。ドライブ制御プロセスP5は、アンロード要求に含まれる要求元のWWNに対応する利用者識別情報を、暗号鍵制御部212で管理されている承認情報チェーンから取得する。又、ドライブ制御プロセスP5は、取得された利用者識別情報の利用者識別子(ID)及び承認情報(ユニークなコード)と一致する暗号鍵がドライブ部223に登録(又は、設定)されていると、リリース要求に応じて登録されている暗号鍵を削除(又は、リセット)してドライブ制御部211に対するデータパスを解除(リリース)する。
一方、ストレージ装置21のロボット制御部222は、アンロード要求に含まれるアクセスアドレスに応じたカートリッジ500をドライブ部223からアンロードしてラック224に収納する。カートリッジ500がラック224に収納されると、ステップS12ではドライブ制御部211がアンロード要求を含む認証要求に対する応答を業務サーバ24−1のアプリケーション241−1のバックアップソフトウェア243に返す。これにより、アプリケーション241−1のバックアップソフトウェア243は、上記ステップS1を実行可能な状態に戻る。
ストレージ装置21の場合、業務サーバ24−1からのデータアクセスと業務サーバ24−2からのデータアクセスとは、特に同期が取られていない。このため、ステップS7での業務サーバ24−1からの認証要求に基づいてカートリッジ500がドライブ部223にロードされ、且つ、暗号鍵がドライブ部223に登録された後に、図2中破線X2で示すように、元の暗号鍵配信要求を行った業務サーバ24−1以外の例えば業務サーバ24−2から認証要求が発生する可能性がある。しかし、業務サーバ24−2が上記ステップS1の認証要求を行って上記ステップS5の承認情報の配信を行っていないと、ストレージ装置21では暗号鍵に対する正規の利用者識別子(ID)も取得できないので、業務サーバ24−2からの認証要求は承認されず、ドライブ部223に暗号鍵が登録されていてもこの暗号鍵を用いてドライブ部223にロードされたカートリッジ500に対するデータアクセスを行うことはできない。つまり、ドライブ部223に登録済みの暗号鍵を用いた業務サーバ24−2からのアクセス要求は、ストレージ装置21のライブラリ制御部221により拒否され、データのセキュリティを確保することが可能となる。
このように、業務サーバ24−1のアプリケーション241−1と鍵管理サーバ23との間の認証だけでなく、アプリケーション241−1とストレージ装置21との間の認証も鍵管理サーバ23が発行する承認情報を用いて行える。このため、ストレージ装置21は同期を取ることなく暗号鍵の利用者の照合を行うことができ、暗号鍵が登録済みのドライブ部223にロードされているカートリッジ500に対して例えば業務サーバ24−2のアプリケーション241−2等からの誤ったデータアクセス、或いは、不正のデータアクセスを防止することができる。更に、暗号鍵管理装置からの暗号鍵情報中の暗号鍵から前記任意のアルゴリズムに従って作成した承認情報を用いることで、ドライブ部223にロードされているカートリッジ500の正当性を確認することもできる。
次に、図4におけるプロセスP1〜P3,P5の処理を、図7〜図10と共により詳細に説明する。
図7は、ドライブ制御プロセスP1を説明するフローチャートである。ストレージ装置21のドライブ制御部211は、ステップP1−1において、鍵管理サーバ23から受信したデータが暗号鍵であるか否かを判定する。ステップP1−1の判定結果がYESであると、ステップP1−2は、暗号鍵管理装置からの暗号鍵情報中の暗号鍵から前記任意のアルゴリズムに従って承認情報を作成し、暗号鍵と承認情報を暗号鍵情報として暗号鍵チェーンにキューイングし、暗号鍵管理サーバ23の暗号鍵管理部231に暗号鍵受信情報、即ち、暗号鍵の受信を確認する応答を返す。ステップP1−2の後、又は、ステップP1−1の判定結果がNOであると、ドライブ制御プロセスP1は終了する。
図8は、暗号鍵管理プロセスP2を説明するフローチャートである。ストレージ装置21の暗号鍵管理部212は、ステップP2−1において、業務サーバ24−1から受信したデータが利用者識別情報であるか否かを判定する。利用者識別情報には、利用者識別子(ID)、承認情報及びWWNが含まれる。ステップP2−1の判定結果がYESであると、ステップP2−2は、利用者識別情報を承認情報チェーンにキューイングする承認情報チェーン処理を行う。ステップP2−2の後、又は、ステップP2−1の判定結果がNOであると、暗号鍵管理プロセスP2は終了する。
図9は、ドライブ制御プロセスP3を説明するフローチャートである。ストレージ装置21のドライブ制御部211は、ステップP3−1において、受信した要求がロード要求及びリザーブ要求を含む認証要求であるか否かを判定する。ステップP3−1の判定結果がNOであるとドライブ制御プロセスP3は終了するが、判定結果がYESであると処理はステップP3−2へ進む。ステップP3−2は、ロード要求に含まれる要求元のWWNをキーにして暗号鍵制御部212で管理されている承認情報チェーンを検索し、WWNに対応する利用者識別情報を取得すると共に、取得された利用者識別情報の利用者識別子(ID)及び承認情報(ユニークなコード)と一致する暗号鍵がドライブ制御部211で管理されている暗号鍵チェーンに存在するか否かを判定する。ステップP3−2の判定結果がNOであるとドライブ制御プロセスP3は終了し、判定結果がYESであると処理はステップP3−3へ進む。ステップP3−3は、取得された利用者識別情報の利用者識別子(ID)及び承認情報(ユニークなコード)と一致する暗号鍵を暗号鍵チェーンから取得すると共に、当該暗号鍵を含む暗号鍵情報を暗号鍵チェーンから外す(削除する)暗号鍵取得処理を行う。ステップP3−4は、リザーブ要求に応じて暗号鍵チェーンから外した暗号鍵をドライブ部223に登録(又は、設定)してドライブ制御部211に対するデータパスを設定(リザーブ)する暗号鍵登録処理を行い、ドライブ制御プロセスP3は終了する。
図10は、ドライブ制御プロセスP5を説明するフローチャートである。ストレージ装置21のドライブ制御部211は、ステップP5−1において、受信した要求がアンロード要求及びリリース要求を含む認証要求であるか否かを判定する。ステップP5−1の判定結果がNOであるとドライブ制御プロセスP5は終了するが、判定結果がYESであるとであると処理はステップP5−2へ進む。ステップP5−2は、アンロード要求に含まれる要求元のWWNをキーにして暗号鍵制御部212で管理されている承認情報チェーンを検索し、WWNに対応する利用者識別情報を取得すると共に、取得された利用者識別情報の利用者識別子(ID)及び承認情報(ユニークなコード)と一致する暗号鍵がドライブ部223に登録(又は、設定)されているか否かを判定する。ステップP5−2の判定結果がNOであると処理は後述するステップP5−4へ進み、判定結果がYESであると処理はステップP5−3へ進む。ステップP5−3は、リリース要求に応じてドライブ部223に登録されている暗号鍵を削除(又は、リセット)する暗号鍵削除処理を行う。ステップP5−4は、ドライブ制御部211に対するデータパスを解除(リリース)するデータパス解除処理を行い、ドライブ制御プロセスP5は終了する。
尚、ロード要求又はリザーブ要求の後、一定期間業務サーバ24−1からI/O要求がない場合には、ドライブ部223にロードされているカートリッジ500をロボット制御部222の制御下で自動的にアンロードしてラック224に収納するようにしても良い。この場合、ドライブ部223に登録されている暗号鍵は、カートリッジ500のアンロードに応じて削除すれば良い。
以上の実施例を含む実施形態に関し、更に以下の付記を開示する。
(付記1)
アクセス対象となる記録媒体がロードされ、アンロードされるドライブ部と、
要求元装置から受信した承認情報と、暗号鍵管理装置から受信した暗号鍵情報に含まれる暗号鍵から任意のアルゴリズムに従って作成された承認情報に基づいて前記要求元装置からのデータアクセスの正当性を判断する暗号鍵制御部と、
前記データアクセスの正当性が確認されると前記要求元装置からのアクセス要求に応じて前記ドライブにロードされた記録媒体に対して前記暗号鍵を用いたデータアクセスを行う制御部を備え、
前記要求元装置から受信した承認情報は、前記暗号鍵管理装置が前記要求元装置からの認証要求に応じて認証が成功すると暗号鍵から前記任意のアルゴリズムに従って作成するユニークなコードを含む、ストレージ装置。
(付記2)
前記暗号鍵管理装置から受信する前記暗号鍵情報は、前記要求元装置の利用者識別子、暗号鍵を特定するための暗号鍵特定情報、前記承認情報及び前記暗号鍵を含み、
前記制御部は、
前記暗号鍵情報を暗号鍵チェーンにキューイングするドライブ制御部と、
利用者識別子、前記承認情報及び要求元を特定するための装置情報を含む利用者識別情報を前記要求元装置から受信し、前記利用者識別情報を承認情報チェーンにキューイングする暗号鍵管理部を有する、付記1記載のストレージ装置。
(付記3)
前記ドライブ制御部は、前記要求元装置からのロード要求に含まれる要求元の装置情報に対応する利用者識別情報を前記承認情報チェーンから取得し、取得された利用者識別情報の利用者識別子及び承認情報と一致する暗号鍵が前記暗号鍵チェーンに存在すると当該暗号鍵を暗号鍵チェーンから取得すると共に、当該暗号鍵を含む暗号鍵情報を暗号鍵チェーンから外すと共に、前記要求元装置からのリザーブ要求に応じて前記暗号鍵チェーンから外した暗号鍵を前記ドライブ部に登録してデータパスを設定する、付記2記載のストレージ装置。
(付記4)
前記ドライブ制御部は、前記要求元装置からのアンロード要求に含まれる要求元装置の装置情報に対応する利用者識別情報を前記承認情報チェーンから取得し、取得された利用者識別情報の利用者識別子及び承認情報と一致する暗号鍵が前記ドライブ部に登録されているとリリース要求に応じて前記ドライブ部に登録されている暗号鍵を削除して前記データパスを解除する、付記3記載のストレージ装置。
(付記5)
複数の記録媒体を収納するラックと、
前記要求元装置からのロード要求に含まれる利用者情報に基づいて、前記利用者情報に対応する記録媒体を前記ラックから取り出して前記ドライブ部にロードすると共に、前記要求元装置からのアンロード要求に含まれる利用者情報に基づいて、前記利用者情報に対応する記録媒体を前記ドライブ部からアンロードして前記ラックに収納する、付記2乃至4のいずれか1項記載のストレージ装置。
(付記6)
前記ドライブ部は、ロードされた前記記録媒体にデータを書き込むと共に、前記記録媒体に記録されているデータを読み出すリード及びライト手段を有し、
前記データアクセスは、データを前記ドライブ部に登録された暗号鍵に基づいて暗号化してから前記記録媒体に書き込むデータライトアクセスと、前記記録媒体から読み出したデータを前記ドライブ部に登録された暗号鍵に基づいて復号化するデータリードアクセスを含む、付記1乃至5のいずれか1項記載のストレージ装置。
(付記7)
データアクセスの要求元装置からの認証要求に応じて、暗号鍵管理装置において認証が成功すると暗号鍵から任意のアルゴリズムに従って作成されたユニークなコードを含む承認情報を前記要求元装置に返すと共に前記暗号鍵を含む暗号鍵情報をストレージ装置へ送る工程と、
前記要求元装置から前記承認情報を前記ストレージ装置へ送る工程と、
前記要求元装置からの前記承認情報と、前記ストレージ装置内で前記暗号鍵管理装置からの前記暗号鍵情報中の暗号鍵から前記任意のアルゴリズムに従って作成した承認情報に基づいて、前記要求元装置からのデータアクセスの正当性を前記ストレージ装置で判断する工程を含む、認証方法。
(付記8)
前記データアクセスの正当性が確認されると前記ストレージ装置内に前記暗号鍵を登録し、前記要求元装置からのアクセス要求に応じて記録媒体に対して登録された暗号鍵を用いたデータアクセスを行う工程を更に含む、付記7記載の認証方法。
(付記9)
前記ストレージ装置が前記鍵管理装置から受信する前記暗号鍵情報は、前記要求元装置の利用者識別子、暗号鍵を特定するための暗号鍵特定情報、前記承認情報、及び前記暗号鍵を含み、
前記ストレージ装置において前記受信した暗号鍵情報を暗号鍵チェーンにキューイングする工程と、
前記要求元装置から前記利用者識別子、前記承認情報、及び要求元を特定するための装置情報を含む利用者識別情報を配信する工程と、
前記ストレージ装置において前記利用者識別情報を承認情報チェーンにキューイングする工程を更に含む、付記7又は8記載の認証方法。
(付記10)
前記ストレージ装置において前記要求元装置からのロード要求に含まれる前記要求元装置の装置情報に対応する利用者識別情報を前記承認情報チェーンから取得し、取得された利用者識別情報の利用者識別子及び承認情報と一致する暗号鍵が前記暗号鍵チェーンに存在すると当該暗号鍵を暗号鍵チェーンから取得すると共に、当該暗号鍵を含む暗号鍵情報を暗号鍵チェーンから外す工程と、
前記ストレージ装置において前記要求元装置からのリザーブ要求に応じて前記暗号鍵チェーンから外した暗号鍵を登録してデータパスを設定する工程を更に含む、付記9記載の認証方法。
(付記11)
前記ストレージ装置において前記要求元装置からのアンロード要求に含まれる前記要求元装置の装置情報に対応する利用者識別情報を前記承認情報チェーンから取得し、取得された利用者識別情報の利用者識別子及び承認情報と一致する暗号鍵が登録されているとリリース要求に応じて登録されている暗号鍵を削除して前記データパスを解除する工程を更に含む、付記10記載の認証方法。
(付記12)
前記データアクセスは、登録された暗号鍵に基づいてデータを暗号化してから前記記録媒体に書き込むデータライトアクセスと、前記記録媒体から読み出したデータを前記登録された暗号鍵に基づいて復号化するデータリードアクセスを含む、付記8乃至11のいずれか1項記載のストレージ装置。
以上、開示のストレージ装置及び認証方法を実施例により説明したが、本発明は上記実施例に限定されるものではなく、本発明の範囲内で種々の変形及び改良が可能であることは言うまでもない。
2 制御LAN
5 業務LAN
6 FCS
21 ストレージ装置
23 暗号鍵管理サーバ
24−1,24−2 業務サーバ
211 ドライブ制御部
212 暗号鍵制御部
231 暗号鍵管理部
241−1,241−2 アプリケーション
242 前処理部
243 バックアップソフトウェア

Claims (5)

  1. アクセス対象となる記録媒体がロードされ、アンロードされるドライブ部と、
    要求元装置から受信した承認情報と、暗号鍵管理装置から受信した暗号鍵情報に含まれる暗号鍵から任意のアルゴリズムに従って作成された承認情報に基づいて前記要求元装置からのデータアクセスの正当性を判断する暗号鍵制御部と、
    前記データアクセスの正当性が確認されると前記要求元装置からのアクセス要求に応じて前記ドライブにロードされた記録媒体に対して前記暗号鍵を用いたデータアクセスを行う制御部を備え、
    前記要求元装置から受信した承認情報は、前記暗号鍵管理装置が前記要求元装置からの認証要求に応じて認証が成功すると暗号鍵から前記任意のアルゴリズムに従って作成するユニークなコードを含む、ストレージ装置。
  2. 前記暗号鍵管理装置から受信する前記暗号鍵情報は、前記要求元装置の利用者識別子、暗号鍵を特定するための暗号鍵特定情報、前記承認情報及び前記暗号鍵を含み、
    前記制御部は、
    前記暗号鍵情報を暗号鍵チェーンにキューイングするドライブ制御部と、
    利用者識別子、前記承認情報及び要求元を特定するための装置情報を含む利用者識別情報を前記要求元装置から受信し、前記利用者識別情報を承認情報チェーンにキューイングする暗号鍵管理部を有する、請求項1記載のストレージ装置。
  3. 前記ドライブ制御部は、前記要求元装置からのロード要求に含まれる要求元の装置情報に対応する利用者識別情報を前記承認情報チェーンから取得し、取得された利用者識別情報の利用者識別子及び承認情報と一致する暗号鍵が前記暗号鍵チェーンに存在すると当該暗号鍵を暗号鍵チェーンから取得すると共に、当該暗号鍵を含む暗号鍵情報を暗号鍵チェーンから外すと共に、前記要求元装置からのリザーブ要求に応じて前記暗号鍵チェーンから外した暗号鍵を前記ドライブ部に登録してデータパスを設定する、請求項2記載のストレージ装置。
  4. 前記ドライブ制御部は、前記要求元装置からのアンロード要求に含まれる要求元装置の装置情報に対応する利用者識別情報を前記承認情報チェーンから取得し、取得された利用者識別情報の利用者識別子及び承認情報と一致する暗号鍵が前記ドライブ部に登録されているとリリース要求に応じて前記ドライブ部に登録されている暗号鍵を削除して前記データパスを解除する、請求項3記載のストレージ装置。
  5. データアクセスの要求元装置からの認証要求に応じて、暗号鍵管理装置において認証が成功すると暗号鍵から任意のアルゴリズムに従って作成されたユニークなコードを含む承認情報を前記要求元装置に返すと共に前記暗号鍵を含む暗号鍵情報をストレージ装置へ送る工程と、
    前記要求元装置から前記承認情報を前記ストレージ装置へ送る工程と、
    前記要求元装置からの前記承認情報と、前記ストレージ装置内で前記暗号鍵管理装置からの前記暗号鍵情報中の暗号鍵から前記任意のアルゴリズムに従って作成した承認情報に基づいて、前記要求元装置からのデータアクセスの正当性を前記ストレージ装置で判断する工程を含む、認証方法。
JP2009130811A 2009-05-29 2009-05-29 ストレージ装置及び認証方法 Expired - Fee Related JP5330104B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2009130811A JP5330104B2 (ja) 2009-05-29 2009-05-29 ストレージ装置及び認証方法
US12/662,585 US8468367B2 (en) 2009-05-29 2010-04-23 Storage apparatus and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009130811A JP5330104B2 (ja) 2009-05-29 2009-05-29 ストレージ装置及び認証方法

Publications (2)

Publication Number Publication Date
JP2010277427A JP2010277427A (ja) 2010-12-09
JP5330104B2 true JP5330104B2 (ja) 2013-10-30

Family

ID=43221624

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009130811A Expired - Fee Related JP5330104B2 (ja) 2009-05-29 2009-05-29 ストレージ装置及び認証方法

Country Status (2)

Country Link
US (1) US8468367B2 (ja)
JP (1) JP5330104B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8200985B2 (en) * 2007-09-20 2012-06-12 Broadcom Corporation Method and system for protecting data
EP2418828A1 (en) * 2010-08-09 2012-02-15 Eltam Ein Hashofet Process and system for loading firmware
US9069940B2 (en) * 2010-09-23 2015-06-30 Seagate Technology Llc Secure host authentication using symmetric key cryptography
KR20120123210A (ko) * 2011-04-19 2012-11-08 삼성전자주식회사 애플리케이션의 저장 공간을 제공하기 위한 제어 방법과 그를 위한 단말 및 서버
US9369278B2 (en) 2013-03-22 2016-06-14 Hitachi, Ltd. Method for maintenance or exchange of encryption function in storage system and storage device
CN109587098B (zh) * 2017-09-29 2022-04-08 阿里巴巴集团控股有限公司 一种认证系统和方法、授权服务器
US11097897B1 (en) * 2018-07-13 2021-08-24 Vecna Robotics, Inc. System and method of providing delivery of items from one container to another container via robot movement control to indicate recipient container
US11314550B2 (en) * 2019-11-18 2022-04-26 Salesforce.Com, Inc. User specific event threading

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003208355A (ja) * 2002-01-11 2003-07-25 Hitachi Ltd データ記憶装置ならびにデータバックアップ方法およびデータリストア方法
JP2004070875A (ja) * 2002-08-09 2004-03-04 Alpine Electronics Inc セキュアシステム
JPWO2004023390A1 (ja) * 2002-08-30 2006-01-05 富士通株式会社 電子記憶装置,認証装置および認証方法
JP2004201038A (ja) * 2002-12-18 2004-07-15 Internatl Business Mach Corp <Ibm> データ記憶装置、これを搭載した情報処理装置及びそのデータ処理方法並びにプログラム
JP2005284437A (ja) * 2004-03-29 2005-10-13 Hitachi Ltd ストレージ装置
JP2007052732A (ja) * 2005-08-19 2007-03-01 Fujitsu Ltd 記録媒体の管理方法、記録媒体、ライブラリ装置及び情報処理装置
JP3936980B1 (ja) 2006-04-18 2007-06-27 クオリティ株式会社 電子ファイル管理システムおよび電子ファイル管理プログラム
US8619982B2 (en) * 2006-10-11 2013-12-31 Bassilic Technologies Llc Method and system for secure distribution of selected content to be protected on an appliance specific basis

Also Published As

Publication number Publication date
US20100306555A1 (en) 2010-12-02
US8468367B2 (en) 2013-06-18
JP2010277427A (ja) 2010-12-09

Similar Documents

Publication Publication Date Title
JP5330104B2 (ja) ストレージ装置及び認証方法
US7845011B2 (en) Data transfer system and data transfer method
US7730327B2 (en) Managing the encryption of data
US8393005B2 (en) Recording medium, and device and method for recording information on recording medium
KR20210061426A (ko) 이중 암호화된 시크릿 부분의 서브세트를 사용하여 시크릿의 어셈블리를 허용하는 이중 암호화된 시크릿 부분
JP5895230B2 (ja) 記録媒体装置に組み込まれるコントローラ、記録媒体装置、記録媒体装置の製造システム、および記録媒体装置の製造方法
JP5793709B2 (ja) 鍵実装システム
US20080063209A1 (en) Distributed key store
US7778417B2 (en) System and method for managing encrypted content using logical partitions
US7783895B2 (en) Method and apparatus for encrypting data to be secured and inputting/outputting the same
JP2012008756A (ja) 情報処理装置、および情報処理方法、並びにプログラム
TW200949607A (en) Binding content licenses to portable storage devices
JP2003248629A (ja) 識別情報を有するリムーバブルディスク装置
US9400876B2 (en) Content data management system and method
JP5598115B2 (ja) 情報処理装置、および情報処理方法、並びにプログラム
JP2010148116A (ja) メディアネットワーク環境におけるコンテンツアクセス
WO2008028768A1 (en) Storing eedks to tape outside of user data area
US20100313034A1 (en) Information processing apparatus, data recording system, information processing method, and program
JP2010113607A (ja) 記録媒体装置、コンテンツ利用システム及び記録媒体装置の制御方法
JP5552917B2 (ja) 情報処理装置、および情報処理方法、並びにプログラム
JP4124936B2 (ja) 電子申請システム及び書類保存装置並びにコンピュータ読み取り可能な記録媒体
JP5848685B2 (ja) ストレージシステム
US8634555B2 (en) Information processing apparatus, information processing method, and program
CN109684860A (zh) 一种基于业务关系的数据加密方法及装置
WO2023178724A1 (zh) 智能门铃防盗版方法、系统、智能门铃及计算机可读存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120308

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130418

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130521

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130705

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130723

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130725

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees