JP5646682B2 - ストレージ装置及びその制御方法 - Google Patents

ストレージ装置及びその制御方法 Download PDF

Info

Publication number
JP5646682B2
JP5646682B2 JP2013093922A JP2013093922A JP5646682B2 JP 5646682 B2 JP5646682 B2 JP 5646682B2 JP 2013093922 A JP2013093922 A JP 2013093922A JP 2013093922 A JP2013093922 A JP 2013093922A JP 5646682 B2 JP5646682 B2 JP 5646682B2
Authority
JP
Japan
Prior art keywords
storage medium
encryption key
storage
key exchange
spare
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013093922A
Other languages
English (en)
Other versions
JP2013201762A (ja
Inventor
中川 弘隆
弘隆 中川
正靖 淺野
正靖 淺野
岳樹 岡本
岳樹 岡本
伸之 大崎
伸之 大崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2013093922A priority Critical patent/JP5646682B2/ja
Publication of JP2013201762A publication Critical patent/JP2013201762A/ja
Application granted granted Critical
Publication of JP5646682B2 publication Critical patent/JP5646682B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ストレージ装置及びその制御方法に関し、例えばデータを暗号化して記憶媒体に保存するストレージ装置に適用して好適なものである。
従来、この種のストレージ装置においては、ホストから書込み要求と共に与えられたデータを暗号化して記憶媒体に格納し、当該データの読出し要求がホストから与えられたときには、暗号化されたデータを復号化しながら記憶媒体から読み出してホストに送信する。
この際、この種のストレージ装置では、かかるデータの暗号化処理及び復号化処理をシステム管理者により予め設定された暗号鍵を用いて行うため、記憶媒体に格納されたデータのセキュリティを高めるために、定期的に暗号鍵を交換することが望まれる。
このような暗号化鍵の交換方式として、従来、暗号鍵を交換しようとするデータをシーケンシャルに復号化しながら記憶媒体から読み出し、得られた復号化されたデータを新たな暗号鍵を用いて暗号化しながら記憶媒体の同じ位置に上書きする方式(以下、これを上書き方式と呼ぶ)が提案されている(特許文献1)。
また他の暗号化鍵の交換方式として、記憶媒体に保存されたデータをシーケンシャルに復号化しながら記憶媒体から読み出し、得られた復号化データを新たな暗号鍵を用いて暗号化しながら他の記憶媒体に書き込む方式(以下、これをマイグレーション方式と呼ぶ)も広く用いられている。
米国特許第716247号明細書
ところで、上述の上書き方式では、記憶媒体が提供する記憶領域のうちの鍵交換処理が完了した部分と、鍵交換処理が行われていない部分とを区別するため、ポインタを用いて鍵交換処理の進捗状況を管理する。このためこの上書き方式によると、メモリの故障などによりこのポインタが消滅した場合にどの記憶領域に格納されたデータに対してどの暗号鍵を適用すべきであるかが不明となって、データを正しく復号化することができなくなり、結果としてデータ消失と同等の状況に陥る問題があった。
一方、上述のマイグレーション方式では、かかる暗号鍵の交換処理がパリティグループ単位で行われる。このためかかるマイグレーション方式によると、そのとき暗号化鍵を交換しようとするパリティグループを構成する記憶媒体と同じ数の記憶媒体を余計に必要となる問題があった。
本発明は以上の点を考慮してなされたもので、信頼性高くかつ安価に暗号化鍵交換処理を行い得るストレージ装置及びその制御方法を提案しようとするものである。
かかる課題を解決するため本発明においては、1以上の外部装置と接続されるストレージ装置であって、予備記憶媒体を含む複数の記憶媒体と、前記1以上の外部装置の何れかから与えられたデータを第1の暗号鍵を用いて暗号化し、前記記憶媒体に格納するコントロールユニットとを設け、前記コントロールユニットは、前記1以上の外部装置の何れかからの暗号鍵交換指示に応じて、前記予備記憶媒体が使用可能か否かを判定する判定部と、前記予備記憶媒体以外の前記複数の記憶媒体の中から、暗号鍵の交換対象となる第1の記憶媒体を選択する選択部と、前記第1の記憶媒体に格納されているデータを前記第1の暗号鍵を用いて復号化し、前記復号化したデータを、前記暗号鍵交換指示において指定された第2の暗号鍵で暗号化して前記予備記憶媒体に格納する格納部と、前記第1の記憶媒体を新たな予備記憶媒体とし、前記予備記憶媒体を前記第1の記憶媒体とするように、前記第1の記憶媒体と、前記予備記憶媒体との設定を入れ替える記憶媒体入替え部とを備え、前記判定部が、前記予備記憶媒体が使用できないと判定した場合、前記判定を繰り返し、前記予備記憶媒体が使用可能と判定できなかったときには、前記暗号鍵交換指示を指示した外部装置に対してエラーを通知するようにした。
また本発明においては、1以上の外部装置と接続されるストレージ装置の制御方法であって、前記ストレージ装置は、予備記憶媒体を含む複数の記憶媒体と、前記1以上の外部装置の何れかから与えられたデータを第1の暗号鍵を用いて暗号化し、前記記憶媒体に格納するコントロールユニットとを有し、前記コントロールユニットが、前記1以上の外部装置の何れかからの暗号鍵交換指示に応じて、前記予備記憶媒体が使用可能か否かを判定する第1のステップと、前記コントロールユニットが、前記予備記憶媒体以外の前記複数の記憶媒体の中から、暗号鍵の交換対象となる第1の記憶媒体を選択する第2のステップと、前記コントロールユニットが、前記第1の記憶媒体に格納されているデータを前記第1の暗号鍵を用いて復号化し、前記復号化したデータを、前記暗号鍵交換指示において指定された第2の暗号鍵で暗号化して前記予備記憶媒体に格納する処理を実行し、当該処理の終了後に、前記第1の記憶媒体を新たな予備記憶媒体とし、前記予備記憶媒体を前記第1の記憶媒体とするように、前記第1の記憶媒体と、前記予備記憶媒体との設定を入れ替える第3のステップとを設け、前記第1のステップにおいて、前記コントロールユニットが、前記予備記憶媒体が使用できないと判定した場合、前記判定を繰り返し、前記予備記憶媒体が使用可能と判定できなかったときには、前記暗号鍵交換指示を指示した外部装置に対してエラーを通知するようにした。
本発明の暗号鍵交換方式によれば、データに対してどの暗号鍵を適用すべきであるかが不明となるおそれがなく、また暗号化鍵を交換しようとするパリティグループを構成する記憶媒体と同じ数の記憶媒体を用意する必要もない。かくするにつき、本発明によれば、信頼性高くかつ安価に暗号鍵の交換処理を行うことができる。
図1は、本実施の形態による計算機システムの概略構成を示すブロック図である。 図2は、ホストコンピュータの構成を示すブロック図である。 図3は、ストレージ装置の構成を示すブロック図である。 図4は、管理コンピュータの構成を示すブロック図である。 図5は、コレクションコピー機能の説明に供する概念図である。 図6は、本実施の形態による暗号鍵交換方式の概略説明に供する概念図である。 図7は、本実施の形態による暗号鍵交換方式に関連してストレージ装置が保持する各種制御プログラム及び各種テーブルの説明に供する概念図である。 図8は、暗号鍵管理テーブルの構成を示す概念図である。 図9は、ディスク管理テーブルの構成を示す概念図である。 図10は、ボリューム管理テーブルの構成を示す概念図である。 図11は、暗号鍵交換設定画面の構成を略線的に示す略線図である。 図12は、第1の暗号鍵交換処理の処理手順を示すフローチャートである。 図13は、コレクションコピー処理の処理手順を示すフローチャートである。 図14は、第2の暗号鍵交換処理の処理手順を示すフローチャートである。 図15は、暗号鍵交換プロセス制御処理の処理手順を示すフローチャートである。 図16は、第2の実施の形態によるコレクションコピー処理の処理手順を示すフローチャートである。 図17は、スケジュール設定画面の構成を略線的に示す略線図である。
以下図面について、本発明の一実施の形態を詳述する。
(1)第1の実施の形態
(1−1)本実施の形態による計算機システムの構成
図1において、1は全体として本実施の形態による計算機システムを示す。この計算機システム1は、ホストコンピュータ2、ストレージ装置3及び管理コンピュータ4を備えて構成される。そして、計算機システム1においては、ホストコンピュータ2及びストレージ装置3間がSAN(Storage Area Network)等の第1のネットワーク5を介して接続されると共に、ホストコンピュータ2及び管理コンピュータ4間と、ストレージ装置3及び管理コンピュータ4間とがそれぞれLAN(Local Area Network)等の第2及び第3のネットワーク6,7を介して接続されている。
ホストコンピュータ2は、図2に示すように、プロセッサ10、メモリ11、ネットワークインタフェース12、管理ポート13、入力装置14及び出力装置15を備え、これらが内部バス16を介して相互に接続されることにより構成されている。
プロセッサ10は、ホストコンピュータ2全体の動作制御を司る機能を有し、メモリ11に格納されたビジネスアプリケーションソフトウェア17及びファイルシステム18などに基づいて各種の制御処理を実行する。メモリ11は、かかるビジネスアプリケーションソフトウェア17、ファイルシステム18及びその他の制御プログラムを記憶するために用いられるほか、プロセッサ10のワークメモリとしても用いられる。
ネットワークインタフェース12は、ホストコンピュータ2が第1のネットワーク5を介してストレージ装置3と通信を行うためのインタフェースである。ホストコンピュータ2は、このネットワークインタフェース12を介してストレージ装置3内の対応する論理ボリュームVOLにデータを読み書きする。
管理ポート13は、ホストコンピュータ2を第2のネットワーク6に接続するためのポートである。この管理ポート13には、WWN(World Wide Name)やIP(Internet Protocol)アドレスなどの固有のネットワークアドレスが付与される。
入力装置14は、キーボード及びマウスなどから構成され、ユーザが各種操作を入力するために用いられる。また出力装置15は、ディスプレイ及びスピーカなどから構成され、プロセッサの制御のもとにGUI(Graphical User Interface)や各種情報を表示する。
ストレージ装置3は、図3に示すように、複数のハードディスク装置20を備える記憶部21と、これらハードディスク装置20に対するデータの入出力を制御するコントロール部30とから構成される。
ハードディスク装置20は、例えばSCSI(Small Computer System Interface)ディスク等の高価なディスクや、SATA(Serial AT Attachment)ディスク等の安価なディスクなどから構成される。1又は複数のハードディスク装置20により1つのパリティグループ22が構成され、1つのパリティグループ22を構成する各ハードディスク装置20が提供する物理的な記憶領域上に、1又は複数の論理ボリュームVOLが設定される。そしてホスト2からのデータは、この論理ボリュームVOL内に所定大きさのブロック(以下、これを論理ブロックと呼ぶ)を単位として記憶される。
各論理ボリュームVOLには、それぞれ固有のID(以下、これをボリュームIDと呼ぶ)が付与される。本実施の形態の場合、データの入出力は、このボリュームIDと、各論理ブロックにそれぞれ付与されるその論理ブロックに固有の番号(以下、これをブロック番号と呼ぶ)とを組み合わせたものをアドレスとして、当該アドレスを指定して行われる。
またコントロール部30は、それぞれパッケージ化された複数のホストインタフェース部31、複数の制御部32、複数の共有メモリ部33及び複数のディスクインタフェース部34を備え、これらが内部ネットワーク35を介して接続されることにより構成されている。
ホストインタフェース部31は、例えばNIC(Network Interface Card)やLANカードなどから構成される複数のホストインタフェース40を備え、これらホストインタフェース40が第1のネットワーク5や第3のネットワーク7に接続される。
制御部32は、複数のマイクロプロセッサ41及びローカルメモリ42がバス43を介して接続されることにより構成されている。ローカルメモリ42には、後述する共有メモリ部33から読み出した制御プログラム及び制御情報などが格納されており、これら制御プログラム及び制御情報に基づいて、各マイクロプロセッサ41により、ホストコンピュータ2からの入出力要求に応じたデータの入出力処理や、そのデータの暗号化/復号化処理及び後述するコレクションコピー処理などが実行される。
共有メモリ部33は、例えばDRAM(Dynamic Random Access Memory)から構成されるデータキャッシュ用メモリ44及び制御情報用メモリ45を備える。データキャッシュ用メモリ44は、ハードディスク装置20に読み書きするデータを一時的に記憶するために利用され、制御情報用メモリ45は、主にストレージ装置3全体の構成に関するシステム構成情報等の各種制御情報やコマンドを記憶するために利用される。
ディスクインタフェース部34は、複数のディスクインタフェース46を備えて構成される。これら複数のディスクインタフェース46は、それぞれケーブル47を介して記憶部21のハードディスク装置20と接続されており、コントロール部30及び記憶部21間における読書き対象のデータの受け渡し処理を仲介する。
内部ネットワーク35は、例えば高速スイッチングによりデータ伝送を行う超高速クロスバススイッチなどのスイッチ又はバス等で構成される。ホストインタフェース部31、制御部32、共有メモリ部33及びディスクインタフェース部34間におけるデータやコマンドの授受は、この内部ネットワーク35を介して行われる。
管理コンピュータ4は、図4に示すように、プロセッサ50、メモリ51、管理ポート52、入力装置53及び出力装置54が内部バス55を介して接続されることにより構成されている。
これらプロセッサ50、メモリ51、管理ポート52、入力装置53及び出力装置54は、ホストコンピュータ2(図2)の対応部位と同様の機能を有するものであるため、ここでの説明は省略する。
なお、管理コンピュータ4の場合、メモリ51には、後述する暗号化管理プログラム56が格納される。
(1−2)本実施の形態による暗号鍵交換方式
次に、ストレージ装置3に搭載された暗号鍵交換機能について説明する。
ストレージ装置3では、パリティグループ22(図3)が提供する論理ボリュームVOLにデータを書き込む際、図5に示すように、ホストコンピュータ2から与えられた書込み対象のデータD,D2,D3,……を所定単位で複数のデータ(以下、これを分割データと呼ぶ)D1−1〜D1−3,D2−1〜D2−3,D3−1〜D3−3に分割すると共に、これら分割データD1−1〜D1−3,D2−1〜D2−3,D3−1〜D3−3に基づいて冗長データ(以下、これをパリティと呼ぶ)D1−P,D2−P,D3−Pを作成し、これらの分割データD1−1〜D1−3,D2−1〜D2−3,D3−1〜D3−3及びパリティD1−P,D2−P,D3−Pをそれぞれディスクインタフェース部34を介して同じパリティグループ22を構成する複数のハードディスク装置20に分散して格納している。
またストレージ装置3においては、パリティグループ22内の1つのハードディスク装置20に障害が発生した場合、そのパリティグループ22を構成する他のハードディスク装置20に格納されているデータ(分割データD1−1〜D1−3,D2−1〜D2−3,D3−1〜D3−3又はパリティD1−P,D2−P,D3−P)を用いて障害が発生したハードディスク装置20に格納されていたデータを復元し、復元したデータを予備のハードディスク装置(以下、これを予備ハードディスク装置と呼ぶ)20に格納するコレクションコピー処理を実行する。
加えて本実施の形態によるストレージ装置3には、以上のようなコレクションコピー機能を利用して暗号鍵の交換処理を行う暗号鍵交換機能が搭載されている。
実際上、本ストレージ装置3では、暗号鍵の交換処理時、図6に示すように、パリティグループ22を構成する複数のハードディスク装置20のうち、暗号鍵の交換対象(以下、これを暗号鍵交換対象と呼ぶ)とするハードディスク装置20に格納されているデータを上述のコレクションコピー処理により復元し、復元したデータを新たな暗号鍵を用いて暗号化して予備ハードディスク装置20にコピーする。そしてストレージ装置3は、この後、このとき暗号鍵交換対象であったハードディスク装置20を予備ハードディスク装置20に切り替える。
またストレージ装置3においては、かかるパリティグループ22を構成する残りの各ハードディスク装置20についても同様のコレクションコピー処理を実行する。これにより、パリティグループ22を構成する各ハードディスク装置20にそれぞれ格納されたデータの暗号鍵を新たな暗号鍵に交換することができる。
以上のような本実施の形態による暗号鍵交換処理を実行するための手段として、ストレージ装置3の制御部32(図3)のローカルメモリ42には、図7に示すように、暗号鍵交換制御プログラム60、暗号化/復号化プログラム61及び暗号鍵交換プロセス制御プログラム62などの制御プログラムと、暗号鍵管理テーブル63、ディスク管理テーブル64及びボリューム管理テーブル65などの管理情報とが格納されている。
このうち暗号鍵交換制御プログラム60は、上述のようにコレクションコピー機能を用いて暗号鍵の交換を行うための制御プログラムであり、暗号化/復号化プログラム61は、データを暗号化又は復号化するためのプログラムである。また暗号鍵交換プロセス制御プログラム62は、上述のような暗号鍵交換処理を実行している最中にそのストレージ装置2内のいずれかのハードディスク装置20に障害が発生した場合の対応処理を実行するためのプログラムである。
なお、以下においては、各種処理の処理主体を「プログラム」として説明することがあるが、実際上は、その「プログラム」に基づいて制御部32(図3)内のマイクロプロセッサ41(図3)がその処理を実行することは言うまでもない。
一方、暗号鍵管理テーブル63は、ストレージ装置3内において暗号鍵を管理するためのテーブルであり、図8に示すように、鍵ID欄63A、鍵データ欄63B及び生成日欄63Cから構成される。
そして鍵ID欄63Aには、対応する暗号鍵に付与された固有のID(鍵ID)が格納され、鍵データ欄63Bには、その暗号鍵のデータが格納される。また生成日欄63Cには、その暗号鍵を生成した年月日が格納される。従って、図8では、「54SD7DODE4AG45S5DFDF5PL」という暗号鍵は「2005/03/31」に生成され、その暗号鍵には「KEY001」という鍵IDが付与されていることが示されている。
ディスク管理テーブル64は、そのストレージ装置3内に存在するハードディスク装置20を管理するためのテーブルであり、図9に示すように、ディスクID欄64A、パリティグループID欄64B、鍵ID欄64C及び暗号化日時欄64Dから構成される。
そしてディスクID欄64Aには、対応するハードディスク装置20に付与された当該ハードディスク装置20に固有のID(ディスクID)が格納され、パリティグループID欄64Dには、そのハードディスク装置20が属するパリティグループ22に付与された当該パリティグループ22に固有のID(パリティグループID)が格納される。
また鍵ID欄64Cには、そのハードディスク装置20に格納されたデータを暗号化する際に使用した暗号鍵の鍵IDが格納され、暗号化日時欄64Dには、そのハードディスク装置20に格納されたデータを暗号化した日時が格納される。
従って、図9の例では、「DISK001」〜「DISK004」というディスクIDがそれぞれ付与された4つのハードディスク装置20により「PG001」というパリティグループIDが付与されたパリティグループ22が構成されており、このパリティグループ22が提供する論理ボリュームVOLに格納されたデータは、「KEY001」という鍵IDの暗号鍵を用いて「2007/04/01 00:21.01」に暗号化されていることが分かる。
また図9では、「DISK005」〜「DISK007」というディスクIDがそれぞれ付与された3つのハードディスク装置20は、いずれもパリティグループ22に属していないことが示されている。なお、「DISK020」というハードディスク装置20については、パリティグループID欄64Bに「HOT SWAP」という情報が格納されているが、これはこのハードディスク装置20が予備ハードディスク装置であることを表している。
さらにボリューム管理テーブル65は、ストレージ装置3内に定義された論理ボリュームVOLを管理するためのテーブルであり、図10に示すように、パリティグループID欄65A、RAIDレベル欄65B、容量欄65C及びボリュームID欄65Dから構成される。
そしてパリティグループID欄65Aには、対応するパリティグループ22のパリティグループIDが格納され、RAIDレベル欄65Bには、そのパリティグループ22について設定されたRAID(Redundant Arrays of Inexpensive Disks)レベルが格納される。また容量欄65Cには、そのパリティグループ22の容量が格納され、ボリュームID欄65Dには、そのパリティグループ22を構成する論理ボリュームVOLのボリュームIDが格納される。
従って、図10の例の場合、「VOL001」というボリュームIDが付与された論理ボリュームVOLは、「PG001」というパリティグループIDが付与された容量が「150GB」でRAIDレベルが「RAID5(3D+1)」のパリティグループ22を構成していることが分かる。
(1−3)暗号鍵交換指示画面
図11は、管理コンピュータ4(図4)において暗号化管理プログラム56(図4)を起動することにより当該管理コンピュータ4に表示される暗号鍵交換設定画面70を示す。
この暗号鍵交換設定画面70は、ストレージ装置3に上述の暗号鍵交換機能に基づく暗号鍵交換処理を実行させる際の各種条件を設定するためのGUI(Graphical User Interface)であり、ディスク情報領域71、リソース選択領域72及び交換鍵選択領域73から構成される。
このうちディスク情報領域71には、暗号化管理プログラム56がストレージ装置3から収集した当該ストレージ装置3内のハードディスク装置20に関する情報に基づいて、ディスク管理テーブル64(図9)と同様の情報が一覧形式で表示される。
またリソース選択領域72は、暗号鍵交換対象を選択するためのGUI領域である。このリソース選択領域72において、ユーザは、ディスクID、パリティグループID、鍵ID又は期間のいずれかの条件を指定することにより暗号鍵交換対象を選択することができる。
例えば、かかる条件としてディスクIDを指定する場合、ユーザは、ディスクIDに対応するラジオボタン80を選択すると共に、選択ディスクID表示欄81のプルダウンボタン82をクリックすることにより、ストレージ装置3内のすべてのハードディスク装置20のディスクIDが掲載されたプルダウンメニューを表示させ、このプルダウンメニューから暗号鍵交換対象とすべきハードディスク装置20のディスクIDを1つ選択するようにする。この結果、そのとき選択されたディスクIDが選択ディスクID表示欄81に表示される。そして、選択ディスクID表示欄81にディスクIDが表示されたハードディスク装置20が暗号鍵交換対象として選択されたことになる。
また、かかる条件としてパリティグループIDを指定する場合、ユーザは、パリティグループIDに対応するラジオボタン83を選択すると共に、選択パリティグループID表示欄84のプルダウンメニューボタン85をクリックすることにより、ストレージ装置3内に定義されたすべてのパリティグループ22のパリティグループIDが掲載されたプルダウンメニュー86を表示させ、このプルダウンメニュー86から暗号鍵交換対象とすべきパリティグループ22のパリティグループIDを1つ選択する。この結果、そのとき選択されたパリティグループIDが選択パリティグループID表示欄84に表示される。そして、選択パリティグループID表示欄84にパリティグループIDが表示されたパリティグループ22が暗号鍵交換対象として選択されたことになる。
さらに、かかる条件として鍵IDを指定する場合、ユーザは、対応するチェックボックス87にチェックマークを表示させると共に、選択鍵ID表示欄88のプルダウンメニューボタン89をクリックすることにより、ストレージ装置3において使用されたすべての暗号鍵の鍵IDが掲載されたプルダウンメニューを表示させ、このプルダウンメニューから暗号鍵交換対象とすべき暗号鍵の鍵IDを1つ選択する。この結果そのとき選択された鍵IDが選択鍵ID表示欄88に表示される。そして、選択鍵ID表示欄88に鍵IDが表示された暗号鍵により暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象として選択されたことになる。
さらに、かかる条件として期間を指定する場合、ユーザは、対応するチェックボックス90にチェックマークを表示させると共に、期間初日表示欄91及び期間最終日表示欄92にそれぞれ期間の初日及び最終日の日にちを入力する。この結果、このとき期間初日表示欄91に表示された日にちから期間最終日表示欄92に表示された日にちまでの間に暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象として選択されたことになる。
なお、かかる条件を組み合わせて暗号鍵交換対象を選択することもできる。例えば暗号鍵交換対象の条件としてパリティグループID及び鍵IDの2つを選択した場合、そのパリティグループIDが付与されたパリティグループ22内のその暗号鍵により暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象となる。
また暗号鍵交換対象の条件としてパリティグループID及びデータ暗号化期間の2つを選択した場合、そのパリティグループIDが付与されたパリティグループ22内のその期間内に暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象となる。
さらに暗号鍵交換対象の条件としてパリティグループID、鍵ID及び期間の3つを選択した場合、そのパリティグループIDが付与されたパリティグループ22内のその期間内にその鍵IDが付与された暗号鍵により暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象となる。
さらに暗号鍵交換対象の条件として鍵ID及び期間の2つを指定した場合、その鍵IDが付与された暗号鍵によりその期間内に暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象となる。
他方、交換鍵選択領域73は、暗号鍵交換処理に使用する新たな暗号鍵を選択するためのGUI領域である。ユーザは、この交換鍵選択領域73において、新たな暗号鍵を選択することができる。
実際上、新たな暗号鍵を選択する場合、ユーザは、新暗号鍵ID表示欄93のプルダウンメニューボタン94をクリックすることにより、予め作成されたすべての暗号鍵の鍵IDが表示されたプルダウンメニューを表示させ、このプルダウンメニューから新たに使用すべき暗号鍵の鍵IDを1つ選択する。かくして、そのとき選択された鍵IDが新暗号鍵ID表示欄93に表示される。そして、ユーザは、この後、ニューキーボタンをクリックする。この結果、そのとき新暗号鍵ID表示欄93に表示された鍵IDが付与された暗号鍵が新たな暗号鍵として選択されたことになる。
そして暗号鍵交換設定画面70では、以上のようにして暗号鍵交換対象と、新たな暗号鍵とを選択した後、画面右下に表示された実行ボタン74をクリックすることによって、暗号鍵交換処理の実行命令を入力することができる。
この場合、このとき暗号鍵交換設定画面70を用いてユーザが選択した暗号鍵交換対象と、新たな暗号鍵とに関する情報を含む、暗号鍵交換処理の実行指示(以下、これを暗号鍵交換指示と呼ぶ)が管理コンピュータ4からストレージ装置3に与えられる。そして、この暗号鍵交換指示に基づいて、後述のようにストレージ装置3において暗号鍵交換処理が実行される。
なお、暗号鍵交換設定画面70において、画面右下に表示されたキャンセルボタン75をクリックした場合、そのとき暗号鍵交換設定画面70において行ったユーザ操作がすべてキャンセルされる。
(1−4)本実施の形態による暗号鍵交換処理
次に、かかる暗号鍵交換指示を受信したストレージ装置3の暗号鍵交換制御プログラム60及び暗号鍵交換プロセス制御プログラム62(図7)の処理内容について説明する。
(1−4−1)第1の暗号鍵交換処理
図12は、暗号鍵交換制御プログラム60が、暗号鍵交換対象としてパリティグループ22(図3)が指定された上述の暗号鍵交換指示を受信した場合に実行する第1の暗号鍵交換処理の処理手順を示す。暗号鍵交換制御プログラム60は、かかる暗号鍵交換指示が与えられると、この処理手順に従って、指定されたパリティグループ(以下、これを指定パリティグループと呼ぶ)22に属する各ハードディスク装置20に対する暗号鍵交換処理を実行する。
すなわち暗号鍵交換制御プログラム60は、暗号鍵交換指示が与えられると、この第1の暗号鍵交換処理を開始し、まず、ディスク管理テーブル64(図9)を参照して、かかる指定パリティグループ22に属する各ハードディスク装置20について、そのハードディスク装置20に格納されているデータを暗号化するときに使用した暗号鍵の鍵IDを検出する(SP1)。
続いて暗号鍵交換制御プログラム60は、記憶部21内の制御プログラム保存用として使用されている所定のハードディスク装置20から暗号化/復号化プログラム61(図7)をローカルメモリ42(図3)に読み出し(SP2)、この後、予備ハードディスク装置20が使用可能であるか否かを判断する(SP3)。
ここで、予備ハードディスク装置20が既に使用されている場合や、当該予備ハードディスク装置に障害が発生している場合には、この判断において否定結果が得られる。かくして、このとき暗号鍵交換制御プログラム60は、所定時間待機した後(SP4)、タイムアウトとなったか否か(リトライ回数が予め定められた回数となったか否か)を判断した後に(SP5)、ステップSP3に戻る。
そして暗号鍵交換制御プログラム60は、ステップSP3又はステップSP5において肯定結果を得るまで同様の処理を繰り返し、やがてステップSP5において肯定結果を得た場合には、管理コンピュータ4にエラーを通知した後(SP6)、この第1の暗号鍵交換処理を終了する。
これに対して暗号鍵交換制御プログラム60は、ステップSP3の判断において肯定結果を得た場合には、指定パリティグループ22に属するハードディスク装置20を1つ選択する(SP7)。
続いて暗号鍵交換制御プログラム60は、そのハードディスク装置20に格納されているデータ(分割データ又はパリティ)を、暗号鍵交換指示において指定された新たな暗号鍵で暗号化しながら予備ハードディスク装置20にコレクションコピーする(SP8)。
次いで暗号鍵交換制御プログラム60は、ステップSP7において選択したハードディスク装置20と、予備ハードディスク装置20とを入れ替える。つまり、暗号鍵交換制御プログラム60は、ステップSP7において選択したハードディスク装置20を予備ハードディスク装置20に設定し、それまでの予備ハードディスク装置20を指定パリティグループ22に属するハードディスク装置20として設定する(SP9)。
より具体的には、暗号鍵交換制御プログラム60は、ディスク管理テーブル64(図9)の、ステップSP7において選択したハードディスク装置20に対応するエントリのパリティグループID欄64Gに、当該ハードディスク装置20が予備ハードディスク装置であることを意味する「HOT SWAP」を格納すると共に、それまで予備ハードディスク装置として設定されていたハードディスク装置20に対応するエントリのパリティグループID欄64Bに、指定パリティグループ22のパリティグループIDを格納する。
また暗号鍵交換制御プログラム60は、ボリューム管理テーブル65(図10)の、ステップSP7において選択したハードディスク装置20に対応するエントリのパリティグループID欄65A、RAIDレベル欄65B及び容量欄65Cに格納されている情報を、それまで予備ハードディスク装置として設定されていたハードディスク装置20に対応するエントリのパリティグループID欄65A、RAIDレベル欄65B及び容量欄65Cにそれぞれコピーした後に消去する。
続いて暗号鍵交換制御プログラム60は、指定パリティグループ22に属するすべてのハードディスク装置20について同様の処理を実行し終えたか否かを判断する(SP10)。
そして暗号鍵交換制御プログラム60は、この判断において否定結果を得ると、ステップSP3に戻り、この後、ステップSP7において選択するハードディスク装置20を順次他のハードディスク装置20に切り替えながら、同様の処理を繰り返す(SP3〜SP10−SP3)。
以上により、指定パリティグループ22に属する各ハードディスク装置20について、そのハードディスク装置20に格納されているデータを予備ハードディスク装置20に新たな暗号鍵で暗号化しながらコレクションコピーすることができる。
そして暗号鍵交換制御プログラム60は、やがて指定パリティグループ22に属する各ハードディスク装置20にそれぞれ格納されているデータを他のハードディスク装置20にコレクションコピーし終えることによりステップSP10において肯定結果を得ると、上述の処理により最後に予備ハードディスク装置20に設定されたハードディスク装置20に格納されているデータを完全消去し(SP11)、この後、この第1の暗号鍵交換処理を終了する。
(1−4−2)コレクションコピー処理
図13は、上述の暗号鍵交換処理のステップSP8において実行されるコレクションコピー処理の具体的な処理内容を示す。
暗号鍵交換制御プログラム60は、第1の暗号鍵交換処理のステップSP8に進むと、このコレクションコピー処理を開始し、まず、所定のカウンタ(以下、これをブロックカウンタと呼ぶ)のカウント値をリセット(「0」にセット)する(SP20)。
続いて暗号鍵交換制御プログラム60は、暗号鍵交換対象のハードディスク装置20以外の指定パリティグループ22に属する各ハードディスク装置20から、ブロックカウンタのカウント値と同じブロック番号が付与された論理ブロックに格納されているデータ(分割データ又はパリティ)をそれぞれ読み出す(SP21)。そして暗号鍵交換制御プログラム60は、このとき各ハードディスク装置20からそれぞれ読み出した1論理ブロック分の各データをそれぞれ復号化する(SP22)。
次いで暗号鍵交換制御プログラム60は、ステップSP22において復号化した各データに基づいて、暗号鍵交換対象のハードディスク装置20内の、ブロックカウンタのカウント値と同じブロック番号が付与された論理ブロックに格納されているであろうデータをコレクションコピー機能を用いて生成する(SP23)。
さらに暗号鍵交換制御プログラム60は、この後、生成したデータを、暗号鍵交換指示において指定された新たな暗号鍵を用いて暗号化し(SP24)、暗号化したデータを予備ハードディスク装置20内のブロック番号が「I」の論理ブロックに書き込む(SP25)。
続いて暗号鍵交換制御プログラム60は、暗号鍵交換対象のハードディスク装置20内のすべての論理ブロックについて同様の処理を終えたか否かを判断する(SP26)。
そして暗号鍵交換制御プログラム60は、この判断において否定結果を得ると、上述のブロックカウンタのカウント値を1増加させた後(SP27)、ステップSP21に戻る。そして暗号鍵交換制御プログラム60は、この後、同様の処理を繰り返す。
そして暗号鍵交換制御プログラム60は、やがてそのとき対象としているハードディスク装置20内のすべての論理ブロックについて同様の処理を終えることにより(つまりそのとき対象としているハードディスク装置20についてのコレクションコピーが完了することにより)ステップSP26において肯定結果を得ると、この暗号鍵交換実行処理を終了して上述の第1の暗号鍵交換処理(図12)に戻る。
(1−4−3)第2の暗号鍵交換処理
一方、図14は、暗号鍵交換制御プログラム60が、暗号鍵交換対象としてハードディスク装置20が指定された上述の暗号鍵交換指示を受信した場合に実行する第2の暗号鍵交換処理の処理手順を示す。暗号鍵交換制御プログラム60は、かかる暗号鍵交換指示が与えられると、この処理手順に従って、当該暗号鍵交換指示において指定されたハードディスク装置(以下、これを指定ハードディスク装置と呼ぶ)20に対する暗号鍵交換処理を実行する。
すなわち暗号鍵交換制御プログラム60は、かかる暗号鍵交換指示が与えられると、この暗号鍵交換処理を開始し、まず、暗号鍵交換指示において指定されたディスクIDを取得する(SP30)。
続いて暗号鍵交換制御プログラム60は、予備ハードディスク装置20が使用可能であるか否かを判断する(SP31)。そして暗号鍵交換制御プログラム60は、この判断において否定結果を得るとステップSP32に進み、続くステップSP32〜ステップSP34を図12について上述した第1の暗号鍵交換処理のステップSP4〜ステップSP6と同様に処理する。
また暗号鍵交換制御プログラム60は、ステップSP31の判断において肯定結果を得ると、ボリューム管理テーブル65(図9)を参照して、指定ハードディスク装置20がいずれかのパリティグループ22に属しているか否かを判断する(SP35)。
そして暗号鍵交換制御プログラム60は、この判断において肯定結果を得ると、図13について上述したコレクションコピー処理を実行することにより、その指定ハードディスク装置20に格納されているデータ(分割データ又はパリティ)を、暗号鍵交換指示において指定された新たな暗号鍵で暗号化しながら予備ハードディスク装置20にコレクションコピーする(SP36)。
これに対して暗号鍵交換制御プログラム60は、ステップSP35の判断において否定結果を得ると、指定ハードディスク装置20に格納されているデータを元の暗号鍵を用いて復号化した後、復号化したデータを、暗号鍵交換指示において指定された新たな暗号鍵で暗号化しながら予備ハードディスク装置20にコピーする(SP37)。
次いで暗号鍵交換制御プログラム60は、第1の暗号鍵交換処理のステップSP9(図12)と同様にして指定ハードディスク装置20と予備ハードディスク装置20とを入れ替える(SP38)。
さらに暗号鍵交換制御プログラム60は、予備ハードディスク装置(この時点では指定ハードディスク装置)20に格納されているデータを完全消去し(SP39)、この後、この第2の暗号鍵交換処理を終了する。
(1−4−4)暗号鍵交換プロセス制御処理
一方、図15は、第1の暗号鍵交換処理の実行中に当該ストレージ装置3に属するいずれかのハードディスク装置20に障害が発生し、又は第2の暗号鍵交換処理の実行中に指定ハードディスク装置20に障害が発生したことを検出した場合に、暗号鍵交換プロセス制御プログラム62(図7)が実行する暗号鍵交換プロセス制御処理の処理手順を示す。
暗号鍵交換プロセス制御プログラム62は、暗号鍵交換制御プログラム60(図7)が第1又は第2の暗号鍵交換処理を実行中に、指定パリティグループ22に属するいずれかのハードディスク装置20又は指定ハードディスク装置20に生じた何らかの障害を検出すると、この暗号鍵交換プロセス制御処理を開始し、まず、暗号鍵交換制御プログラム60に対して第1又は第2の暗号鍵交換処理を一時停止するよう指示を与える(SP40)。
続いて暗号鍵交換プロセス制御プログラム62は、かかる障害から回復するためには予備ハードディスク装置20が必要であるか否かを判断する(SP41)。
この場合、例えばかかる障害が、ハードディスク装置20に許容範囲数の不良セクタが発生したなどの軽微なものである場合には、予備ハードディスク装置20を用いるまでもなく、かかる障害からの復旧を行うことができる(SP41:NO)。かくして、このとき暗号鍵交換プロセス制御プログラム62は、暗号鍵交換制御プログラム60に対して暗号鍵交換処理を再開するよう通知を与え(SP42)、この後この暗号鍵交換プロセス制御処理を終了する。
これに対して、例えばかかる障害が、ハードディスク装置20が閉塞したなどの重大な障害である場合には、当該障害から復旧するために予備ハードディスク装置20を用いる必要がある(SP41:YES)。かくして、このとき暗号鍵交換プロセス制御プログラム62は、第1又は第2の暗号鍵交換処理で使用していた予備ハードディスク装置20を解放する。そして暗号鍵交換プロセス制御プログラム62は、この後、例えば障害が発生したハードディスク装置20が交換されるなどしてかかる障害から復旧し、第1又は第2の暗号鍵交換処理のために予備ハードディスク装置20を使用できる状態になるのを待ち受ける(SP43)。
そして暗号鍵交換プロセス制御プログラム62は、やがて第1又は第2の暗号鍵交換処理のために予備ハードディスク装置20を使用できる状態になると、ステップSP40において暗号鍵交換処理を停止したときに、第1又は第2の暗号鍵交換処理が、既にディスク管理テーブル64及びボリューム管理テーブル65を更新する段階(図12のステップSP9又は図14のステップSP38)にまで進んでいたか否かを判断する(SP44)。
この判断において肯定結果を得ることは、ステップSP40において第1又は第2の暗号鍵交換処理を停止した段階で既に暗号鍵交換対象のハードディスク装置20と、予備ハードディスク装置20との入れ替えが行われており、その後に行われた障害からの復旧処理において当該予備ハードディス装置20が使用されていないことを意味する。
かくして、このとき暗号鍵交換プロセス制御プログラム62は、ステップSP40で停止した第1又は第2の暗号鍵交換処理をそのまま再開するよう暗号鍵交換制御プログラム60に通知し(SP46)、この後、この暗号鍵交換プロセス制御処理を終了する。このとき暗号鍵交換制御プログラム60は、かかる通知に従って、第1又は第2の暗号鍵交換処理をステップSP60の通知を受けて停止した段階から再開する。
これに対してステップSP44の判断において否定結果を得ることは、ステップSP40において第1又は第2の暗号鍵交換処理を停止した後に、その後に行われた障害からの復旧処理において予備ハードディスク装置20が使用され、当該予備ハードディスク装置20に格納されているデータがコレクションコピーされたデータとは異なるおそれがあることを意味する。
かくして、このとき暗号鍵交換プロセス制御プログラム62は、ステップSP40において第1又は第2の暗号鍵交換処理を停止した時点で暗号鍵交換対象であったハードディスク装置20に対する暗号鍵の交換処理を、コレクションコピーの最初(図12のステップSP8又は図14のステップSP36若しくはステップSP37)にまで戻って再開するよう暗号鍵交換制御プログラム60に通知し(SP46)、この後、この暗号鍵交換プロセス制御処理を終了する。このとき暗号鍵交換制御プログラム60は、かかる通知に従って、そのハードディスク装置20に対する第1又は第2の暗号鍵交換処理を、コレクションコピーの最初から再開する。
(1−5)本実施の形態の効果
以上のように本実施の形態による暗号鍵交換方式では、ストレージ装置3に搭載されたコレクションコピー機能を利用して暗号鍵の交換処理を行うため、暗号鍵交換方式として上述の上書き方式を採用したときのように、データに対してどの暗号鍵を適用すべきであるかが不明となるおそれがなく、また暗号鍵交換方式として上述のマイグレーション方式を採用したときのように、暗号化鍵を交換しようとするパリティグループを構成するハードディスク装置20と同じ数のハードディスク装置20を用意する必要もない。かくするにつき、本実施の形態の暗号鍵交換方式によれば、信頼性高くかつ安価に暗号鍵の交換処理を行うことができる。
(2)第2の実施の形態
図1において、100は全体として第2の実施の形態による計算機システムを示す。この計算機システム100は、ストレージ装置101に搭載されたハードディスク装置102(図3)に暗号化機能が搭載されている点が第1の実施の形態による計算機システム1と異なる。
すなわち第1の実施の形態においては、ストレージ装置3のコントロール部30において暗号化/復号化したデータをハードディスク装置20に読み書きしていたが、本実施の形態においては、ストレージ装置101のコントロール部103(図3)は暗号化されていないデータを暗号鍵と共にハードディスク装置102に与える。
そしてハードディスク装置102は、コントロール部103から与えられるデータを、当該データと共に与えられた暗号鍵に基づいて暗号化して当該ハードディスク装置102内の記憶媒体に記憶する。
またハードディスク装置102は、この後、コントロール部103からデータの読出し要求が与えられた場合には、対応するデータを記憶媒体から読み出し、そのデータを復号化してコントロール部103に送出する。
図16は、このようなストレージ装置101において暗号鍵交換制御プログラム104(図7)により実行される第2の実施の形態によるコレクションコピー処理の処理手順を示す。
かかる暗号鍵交換制御プログラム104は、第1及び第2の暗号鍵交換処理については図12又は図14について上述した第1の実施の形態と同様の処理を行うが、コレクションコピー処理については、この図16に示す第2のコレクションコピー処理を実行する。
すなわち暗号鍵交換制御プログラム104は、第1の暗号鍵交換処理のステップSP8(図12)又は第2の暗号鍵交換処理のステップSP36(図14)に進むと、この第2のコレクションコピー処理を開始し、まず、上述したブロックカウンタのカウント値をリセットする(SP50)。
続いて暗号鍵交換制御プログラム104は、暗号鍵交換対象のハードディスク装置102以外の指定パリティグループ22に属する各ハードディスク装置102から、ブロックカウンタのカウント値と同じブロック番号が付与された論理ブロックに格納されているデータをそれぞれ読み出す(SP51)。なお、このとき各ハードディスク装置102から読み出されるデータは、既にハードディスク装置102内部において復号化されている。
次いで暗号鍵交換制御プログラム104は、ステップSP52において取得した各データに基づいて、暗号鍵交換対象のハードディスク装置102内の、ブロックカウンタのカウント値と同じブロック番号が付与された論理ブロックに格納されているであろうデータをコレクションコピー機能を用いて生成する(SP23)。
さらに暗号鍵交換制御プログラム104は、この後、生成したデータを、暗号鍵交換指示において指定された新たな暗号鍵と、予備ハードディスク装置102内のブロック番号が「I」の論理ブロックに書き込むべき書込み要求と共に予備ハードディスク装置102に与える(SP25)。
さらに暗号鍵交換制御プログラム104は、この後、復元したデータを、書込み先としてブロック番号が「I」の論理ブロックを指定した書込み要求と、暗号鍵交換指示において指定された新たな暗号鍵と供に予備ハードディスク装置に与える(SP53)。かくしてこのデータは、この後、予備ハードディスク装置20において暗号化された後にブロック番号が「I」の論理ブロックに書き込まれる。
続いて暗号鍵交換制御プログラム104は、そのとき対象としているハードディスク装置102内のすべての論理ブロックについて同様の処理を終えたか否かを判断する(SP54)。
そして暗号鍵交換制御プログラム104は、この判断において否定結果を得るとステップSP50に戻り、この後、同様の処理を繰り返す。
そして暗号鍵交換制御プログラム104は、やがて暗号鍵交換対象のハードディスク装置102内のすべての論理ブロックについて同様の処理を終えることによりステップSP54において肯定結果を得ると、このコレクションコピー処理を終了して上述の暗号鍵交換処理に戻る。
以上のように本実施の形態による計算機システム100においても、ストレージ装置101のコレクションコピー機能を利用して暗号鍵の交換処理を行うため、第1の実施の形態と同様に信頼性高くかつ安価に暗号鍵の交換処理を行うことができる。
(3)第3の実施の形態
上述の第1及び第2の実施の形態においては、管理コンピュータ4に表示された暗号鍵交換設定画面70(図11)を用いて暗号鍵交換対象及び新たな暗号鍵を選択した後、当該暗号鍵交換設定画面70の実行ボタン74(図11)をクリックすることによって第1又は第2の暗号鍵交換処理をストレージ装置3に実行させることができる場合について説明した。
これに対して本実施の形態による計算機システム110(図1)は、このような第1又は第2の暗号鍵交換処理をスケジュールして定期的に実行させ得る点が第1及び第2の計算機システム1,100と相違する。
図17は、ユーザ操作により本実施の形態の管理コンピュータ111(図4)の暗号化管理プログラム112を起動して所定の操作を行うことにより管理コンピュータ111に表示させることができるスケジュール管理画面120を示す。このスケジュール管理画面120は、上述のように所望の暗号鍵交換処理をスケジュールするための画面であり、タスク設定領域121、リソース選択領域122、交換鍵選択領域123及びスケジュール表示領域124から構成される。
このうちスケジュール表示領域124には、それまでに設定されたタスクのスケジュールが一覧形式で表示される。
タスク設定領域121は、新たに設定しようとするタスクの開始日及びそのタスクの実行周期を設定するためのGUI領域である。このタスク設定領域121では、タスクの開始日をタスク開始日指定欄130に入力することにより、当該タスクの開始日を指定することができる。またタスク設定領域121では、頻度表示欄131のプルダウンボタン132をクリックすることにより、予め設定された頻度(年1回、月1回、周1回又は毎日など)の一覧が掲載されたプルダウンメニューを表示させ、そのプルダウンメニューから所望の頻度を1つ選択することにより、その頻度を頻度表示欄131に表示させることができる。そしてそのとき頻度表示欄131に表示された頻度がそのタスクを実行する頻度として指定されたことになる。
またリソース選択領域122及び交換鍵選択領域123の構成及び機能は、図11について上述した暗号鍵交換設定画面70のリソース選択領域72及び交換鍵選択領域73と同様であり、ユーザは、これらリソース選択領域122及び交換鍵選択領域123において、暗号鍵交換対象及び新たな暗号鍵を選択することができる。
そしてスケジュール管理画面120では、タスク設定領域121、リソース選択領域122及び交換鍵選択領域123において必要な指定や選択を行った後に、画面右下の実行ボタン133をクリックすることによって、そのとき作成した新たなスケジュールを登録することができる。
そして、かかるスケジュールの登録が行われた場合、そのときスケジュール管理画面120を用いてユーザにより設定されたスケジュールの内容がその後管理コンピュータ111により管理され、そのスケジュールに合わせて管理コンピュータ111からストレージ装置3に対して暗号鍵交換指示が与えられることにより、登録されたスケジュールがストレージ装置3において実行されることになる。
なお、スケジュール管理画面120において、キャンセルボタン134がクリックされた場合、そのときユーザが行った操作がすべてキャンセルされる。
またスケジュール管理画面120において、スケジュール表示領域124のテーブルはクリックによる行選択機能を具備し、選択されたタスクは、DELETEボタンをクリックすることにより削除される。
以上のように本実施の形態によれば、第1又は第2の実施の形態による暗号鍵交換処理の設定を1度設定しておけば、その設定に従って第1又は第2の実施の形態による暗号鍵交換処理が定期的に行われるため、2度目以降のかかる設定作業を省略させることができる。
また第1又は第2の実施の形態による暗号鍵交換処理が定期的に行われるため、第1又は第2の実施の形態に比べてセキュリティを高めることができ、かくしてより一層とストレージ装置3,101の信頼性を向上させることができる。
(4)他の実施の形態
なお上述の第1〜第3の実施の形態においては、本発明を図1〜図4のように構成された計算機システム1,100,110に適用するようにした場合について述べたが、本発明はこれに限らず、この他種々の構成を有する計算機システムに広く適用することができる。
また上述の第1〜第3の実施の形態においては、ストレージ装置3,101においてデータを記憶する記憶媒体としてハードディスク装置20,102が採用されている場合について述べたが、本発明はこれに限らず、かかる記憶媒体として例えば半導体メモリや光ディスクなどを採用した場合にも本発明を適用することができる。
さらに上述の第1〜第3の実施の形態においては、複数の記憶媒体(ハードディスク装置20,102)のうち、暗号鍵の交換対象の記憶媒体以外の各記憶媒体にそれぞれ格納された分割データ又はパリティの復号化データに基づいて、暗号鍵の交換対象の記憶媒体に格納されている分割データ又はパリティを復元する復元部としての機能と、復元された分割データ又はパリティを新たな暗号鍵で暗号化しながら予備の記憶媒体に格納する格納部としての機能と、予備の記憶媒体を暗号鍵の交換対象の記憶媒体が属するパリティグループ22を構成する記憶媒体とし、暗号鍵の交換対象の記憶媒体を予備の記憶媒体とするように、予備の記憶媒体と暗号鍵の交換対象の記憶媒体とを入れ替える記憶媒体入替え部としての機能とを同じ1つのマイクロプロセッサ41に搭載するようにした場合について述べたが、本発明はこれに限らず、例えばこれらの機能の一部をハードウェア化するなどしてかかる機能を分散させるようにしてもよい。
本発明は、データを暗号化して記憶媒体に保存するストレージ装置に適用することができる。

Claims (14)

  1. 1以上の外部装置と接続されるストレージ装置であって、
    予備記憶媒体を含む複数の記憶媒体と、
    前記1以上の外部装置の何れかから与えられたデータを第1の暗号鍵を用いて暗号化し、前記記憶媒体に格納するコントロールユニットと
    を有し、
    前記コントロールユニットは、
    前記1以上の外部装置の何れかからの暗号鍵交換指示に応じて、前記予備記憶媒体が使用可能か否かを判定する判定部と、
    前記予備記憶媒体以外の前記複数の記憶媒体の中から、暗号鍵の交換対象となる第1の記憶媒体を選択する選択部と、
    前記第1の記憶媒体に格納されているデータを前記第1の暗号鍵を用いて復号化し、前記復号化したデータを、前記暗号鍵交換指示において指定された第2の暗号鍵で暗号化して前記予備記憶媒体に格納する格納部と、
    前記第1の記憶媒体を新たな予備記憶媒体とし、前記予備記憶媒体を前記第1の記憶媒体とするように、前記第1の記憶媒体と、前記予備記憶媒体との設定を入れ替える記憶媒体入替え部と
    を備え、
    前記判定部は、
    前記予備記憶媒体が使用できないと判定した場合、前記判定を繰り返し、前記予備記憶媒体が使用可能と判定できなかったときには、前記暗号鍵交換指示を指示した外部装置に対してエラーを通知する
    ことを特徴とするストレージ装置。
  2. 前記記憶媒体入替え部により前記第1の記憶媒体及び前記予備記憶媒体の設定が入れ替えられた後に、当該第1の記憶媒体に格納されているデータを完全消去するデータ消去部を備える
    ことを特徴とする請求項1に記載のストレージ装置。
  3. 前記格納部が処理を実行中に前記第1の記憶媒体に障害が発生した場合に、前記格納部に当該処理を一時停止させる一時停止指示部と、
    前記障害が回復可能な障害である場合には、前記格納部に前記処理を再開させる第1の処理再開指示部と
    を備えることを特徴とする請求項2に記載のストレージ装置。
  4. 前記格納部が処理を実行中に前記第1の記憶媒体に障害が発生した場合に、前記格納部に当該処理を一時停止させる一時停止指示部と、
    前記障害が回復不可能な障害である場合には、当該障害からの復旧を待ち、当該障害から復旧した後に前記格納部に前記処理を開始させる第2の処理開始指示部と
    を備えることを特徴とする請求項2に記載のストレージ装置。
  5. 前記処理開始指示部は、
    前記格納部が前記処理を一時停止したときに、既に、前記第1の記憶媒体と、前記予備記憶媒体との設定を入れ替える段階まで当該処理が進んでいたか否かを、前記障害から復旧後に判定し、
    前記第1の記憶媒体と前記予備記憶媒体との設定を入れ替える段階まで当該処理が進んでいた場合には、前記格納部に、一時停止していた前記処理をそのまま再開させる
    ことを特徴とする請求項4に記載のストレージ装置。
  6. 前記処理開始指示部は、
    前記格納部が前記処理を一時停止したときに、既に、前記第1の記憶媒体と、前記予備記憶媒体との設定を入れ替える段階まで当該処理が進んでいたか否かを、前記障害から復旧後に判定し、
    前記第1の記憶媒体と前記第1の予備記憶媒体との設定を入れ替える段階まで前記処理が進んでいない場合には、前記格納部に、前記処理を最初にまで戻って再開させる
    ことを特徴とする請求項4に記載のストレージ装置。
  7. 前記コントロールユニットは、
    前記1以上の外部装置の何れかから与えられた前記データを複数の分割データに分割すると共に、当該複数の分割データに基づいてパリティを生成し、生成した前記パリティ及び前記複数の分割データを、同じパリティグループを構成する複数の前記記憶媒体に分散して、かつ前記第1の暗号鍵を用いて格納し、
    前記暗号鍵交換指示では、暗号鍵の交換対象となる前記パリティグループが指定され、
    前記選択部は、前記暗号鍵交換指示において指定された前記パリティグループを構成する前記第1の記憶媒体を選択し、
    前記格納部は、前記第1の記憶媒体以外の前記パリティグループを構成する各前記記憶媒体にそれぞれ格納された前記分割データ又は前記パリティを前記第1の暗号鍵を用いて復号化し、復号化した前記分割データ及び又は前記パリティをそれぞれ利用して前記第1の記憶媒体に格納されているデータを生成し、生成した前記データを前記第2の暗号鍵で暗号化して前記予備記憶媒体に格納する
    ことを特徴とする請求項2に記載のストレージ装置。
  8. 1以上の外部装置と接続されるストレージ装置の制御方法であって、
    前記ストレージ装置は、
    予備記憶媒体を含む複数の記憶媒体と、
    前記1以上の外部装置の何れかから与えられたデータを第1の暗号鍵を用いて暗号化し、前記記憶媒体に格納するコントロールユニットと
    を有し、
    前記コントロールユニットが、前記1以上の外部装置の何れかからの暗号鍵交換指示に応じて、前記予備記憶媒体が使用可能か否かを判定する第1のステップと、
    前記コントロールユニットが、前記予備記憶媒体以外の前記複数の記憶媒体の中から、暗号鍵の交換対象となる第1の記憶媒体を選択する第2のステップと、
    前記コントロールユニットが、前記第1の記憶媒体に格納されているデータを前記第1の暗号鍵を用いて復号化し、前記復号化したデータを、前記暗号鍵交換指示において指定された第2の暗号鍵で暗号化して前記予備記憶媒体に格納する処理を実行し、当該処理の終了後に、前記第1の記憶媒体を新たな予備記憶媒体とし、前記予備記憶媒体を前記第1の記憶媒体とするように、前記第1の記憶媒体と、前記予備記憶媒体との設定を入れ替える第3のステップと
    を備え、
    前記第1のステップにおいて、前記コントロールユニットは、
    前記予備記憶媒体が使用できないと判定した場合、前記判定を繰り返し、前記予備記憶媒体が使用可能と判定できなかったときには、前記暗号鍵交換指示を指示した外部装置に対してエラーを通知する
    ことを特徴とするストレージ装置の制御方法。
  9. 前記第1の記憶媒体及び前記予備記憶媒体の設定が入れ替えられた後に、当該第1の記憶媒体に格納されているデータを完全消去する第4のステップを備える
    ことを特徴とする請求項8に記載のストレージ装置の制御方法。
  10. 前記第3のステップにおいて、前記コントロールユニットは、
    前記第1の記憶媒体に障害が発生した場合には、前記処理を一時停止し、
    前記障害が回復可能な障害である場合には、前記処理を再開する
    ことを特徴とする請求項9に記載のストレージ装置の制御方法。
  11. 前記第3のステップにおいて、前記コントロールユニットは、
    前記第1の記憶媒体に障害が発生した場合には、前記処理を一時停止し、
    前記障害が回復不可能な障害である場合には、当該障害からの復旧を待ち、当該障害から復旧した後に前記処理を開始する
    ことを特徴とする請求項9に記載のストレージ装置の制御方法。
  12. 前記第3のステップにおいて、前記コントロールユニットは、
    前記処理を一時停止したときに、既に、前記コントロールユニットにより選択された前記第1の記憶媒体と、前記予備記憶媒体との設定を入れ替える段階まで当該処理が進んでいたか否かを、前記障害から復旧後に判定し、
    前記第1の記憶媒体と前記予備記憶媒体との設定を入れ替える段階まで当該処理が進んでいた場合には、一時停止していた前記処理をそのまま再開する
    ことを特徴とする請求項11に記載のストレージ装置の制御方法。
  13. 前記第3のステップにおいて、前記コントロールユニットは、
    前記格納部が前記処理を一時停止したときに、既に、前記第1の記憶媒体と、前記予備記憶媒体との設定を入れ替える段階まで当該処理が進んでいたか否かを、前記障害から復旧後に判定し、
    前記第1の記憶媒体と前記第1の予備記憶媒体との設定を入れ替える段階まで前記処理が進んでいない場合には、前記処理を最初にまで戻って再開する
    ことを特徴とする請求項11に記載のストレージ装置。
  14. 前記コントロールユニットは、
    前記1以上の外部装置の何れかから与えられた前記データを複数の分割データに分割すると共に、当該複数の分割データに基づいてパリティを生成し、生成した前記パリティ及び前記複数の分割データを、同じパリティグループを構成する複数の前記記憶媒体に分散して、かつ前記第1の暗号鍵を用いて格納し、
    前記暗号鍵交換指示では、暗号鍵の交換対象となる前記パリティグループが指定され、
    前記第2のステップにおいて、前記コントロールユニットは、
    前記暗号鍵交換指示において指定された前記パリティグループを構成する前記第1の記憶媒体を選択し、
    前記第3のステップにおいて、前記コントロールユニットは、
    前記第1の記憶媒体以外の前記パリティグループを構成する各前記記憶媒体にそれぞれ格納された前記分割データ又は前記パリティを前記第1の暗号鍵を用いて復号化し、復号化した前記分割データ及び又は前記パリティをそれぞれ利用して前記第1の記憶媒体に格納されているデータを生成し、生成した前記データを前記第2の暗号鍵で暗号化して前記予備記憶媒体に格納する
    ことを特徴とする請求項9に記載のストレージ装置の制御方法。
JP2013093922A 2013-04-26 2013-04-26 ストレージ装置及びその制御方法 Expired - Fee Related JP5646682B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013093922A JP5646682B2 (ja) 2013-04-26 2013-04-26 ストレージ装置及びその制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013093922A JP5646682B2 (ja) 2013-04-26 2013-04-26 ストレージ装置及びその制御方法

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2011537760A Division JP5261577B2 (ja) 2009-05-25 2009-05-25 ストレージ装置及びその制御方法

Publications (2)

Publication Number Publication Date
JP2013201762A JP2013201762A (ja) 2013-10-03
JP5646682B2 true JP5646682B2 (ja) 2014-12-24

Family

ID=49521598

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013093922A Expired - Fee Related JP5646682B2 (ja) 2013-04-26 2013-04-26 ストレージ装置及びその制御方法

Country Status (1)

Country Link
JP (1) JP5646682B2 (ja)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7162647B2 (en) * 2004-03-11 2007-01-09 Hitachi, Ltd. Method and apparatus for cryptographic conversion in a data storage system
JP4728060B2 (ja) * 2005-07-21 2011-07-20 株式会社日立製作所 ストレージ装置
JP2008234052A (ja) * 2007-03-16 2008-10-02 Hitachi Ltd ストレージ装置
JP4892382B2 (ja) * 2007-03-27 2012-03-07 株式会社日立製作所 記憶装置及びデータ管理方法
JP2008269173A (ja) * 2007-04-18 2008-11-06 Hitachi Ltd 計算機システム、ストレージシステムおよびデータ管理方法
WO2008149458A1 (ja) * 2007-06-08 2008-12-11 Fujitsu Limited 暗号化装置、暗号化方法および暗号化プログラム
JP5134894B2 (ja) * 2007-09-07 2013-01-30 株式会社日立製作所 ストレージ装置及び暗号鍵変更方法

Also Published As

Publication number Publication date
JP2013201762A (ja) 2013-10-03

Similar Documents

Publication Publication Date Title
JP5261577B2 (ja) ストレージ装置及びその制御方法
JP4990066B2 (ja) 論理ボリュームのペアを利用したデータ保存の方式を変更する機能を備えたストレージシステム
JP5954081B2 (ja) ストレージ制御装置、ストレージ制御方法、およびストレージ制御プログラム
US8117168B1 (en) Methods and systems for creating and managing backups using virtual disks
JP6064608B2 (ja) ストレージ装置、バックアッププログラム、およびバックアップ方法
JP5222469B2 (ja) 記憶システム及びデータ管理方法
TW200422827A (en) Distributed storage system capable of restoring data in case of a storage failure
JP2016057795A (ja) ストレージ制御装置,ストレージシステム及びストレージ制御プログラム
WO2010137179A1 (en) Computer system and its data control method
US20190163374A1 (en) Storing data objects using different redundancy schemes
JP2008293317A (ja) 情報処理装置及び方法
JP2014522006A (ja) ストレージ装置及びその制御方法
US8590042B2 (en) Storage system, and encryption key management method and encryption key management program thereof
US8745343B2 (en) Data duplication resynchronization with reduced time and processing requirements
US11163459B2 (en) Rekeying information on storage devices using a proactive copy service
JP6494787B2 (ja) 分散ストレージシステム
JP5646682B2 (ja) ストレージ装置及びその制御方法
JP5532516B2 (ja) ストレージ装置、及び、暗号鍵の変更方法
US20210157680A1 (en) Protecting storage backup configuration
JP6957845B2 (ja) ストレージ制御装置及びストレージ装置
JP2010244130A (ja) ディスクアレイ装置及びディスクアレイ制御方法
RU2777270C1 (ru) Способ и система распределенного хранения восстанавливаемых данных с обеспечением целостности и конфиденциальности информации
JP5598689B2 (ja) ディスク装置、データ転送方法、データ転送処理プログラム、及びデータバックアップシステム
JP2021015377A (ja) ストレージ制御装置、ストレージ制御プログラムおよびストレージシステム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140401

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140529

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141007

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141105

R150 Certificate of patent or registration of utility model

Ref document number: 5646682

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees