KR101503581B1 - 처리 장치, 처리 방법 및 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체 - Google Patents

처리 장치, 처리 방법 및 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체 Download PDF

Info

Publication number
KR101503581B1
KR101503581B1 KR1020127032021A KR20127032021A KR101503581B1 KR 101503581 B1 KR101503581 B1 KR 101503581B1 KR 1020127032021 A KR1020127032021 A KR 1020127032021A KR 20127032021 A KR20127032021 A KR 20127032021A KR 101503581 B1 KR101503581 B1 KR 101503581B1
Authority
KR
South Korea
Prior art keywords
time
key
processing
predetermined
determination unit
Prior art date
Application number
KR1020127032021A
Other languages
English (en)
Other versions
KR20130026453A (ko
Inventor
마사요시 미즈마끼
Original Assignee
후지쯔 가부시끼가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후지쯔 가부시끼가이샤 filed Critical 후지쯔 가부시끼가이샤
Publication of KR20130026453A publication Critical patent/KR20130026453A/ko
Application granted granted Critical
Publication of KR101503581B1 publication Critical patent/KR101503581B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • H04L9/16Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors

Abstract

미리 설정된 키 시각에 처리 대상 정보에 관한 소정의 처리를 실행하는 처리 장치(3)로서, 소정 시간마다 설정된 체크 타이밍에 있어서, 전회 처리를 행한 키 시각과 현재의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단하는 판단부(301)와, 판단부(301)가, 체크 기간에 키 시각이 포함되어 있다고 판단한 경우에, 해당 키 시각에 실행해야 할 소정의 처리를 실행하는 처리부(302)를 구비한다.

Description

처리 장치, 처리 방법 및 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체{PROCESSING DEVICE, PROCESSING METHOD, AND COMPUTER-READABLE RECORDING MEDIUM STORING PROCESSING PROGRAM}
본건은, 미리 설정된 시각에 처리 대상 정보에 관한 소정의 처리를 실행하는 처리 장치, 처리 방법 및 처리 프로그램에 관한 것이다.
종래, iSCSI(internet Small Computer System Interface)를 이용한 리모트 케이스간의 카피에 의해, 원격지에 있는 RAID(Redundant Arrays of Inexpensive Disks) 장치끼리의 동기를 행하는 기술이 있다. 또한, 이러한 iSCSI 리모트 케이스간 카피에 있어서, 각 리모트 케이스는, 시큐러티를 확보하기 위해서, IPsec(Security architecture for Internet Protocol)에 의한 암호키의 공유·동기를 이용하는 것이 알려져 있다.
IPsec는, IP 레벨로 암호화를 행하기 위한 표준 규격이고, IP의 패킷을 암호화해서 장치 사이에서 송수신을 행함으로써, 시큐러티를 확보하는 것을 목적으로 하고 있다.
IPsec에서는, IP 패킷의 암호화에 공유 키 암호 방식이 이용된다. 공유 키 암호 방식은, 송신측 및 수신측의 장치에서 동일한 암호키를 이용해서 암호화 통신을 행하는 것이고, 송신측 및 수신측의 각각의 장치(예를 들면, 리모트 케이스)는, 사전에 암호키의 공유를 행하여, IPsec 접속을 확립한다.
IPsec 접속의 확립은, 송신측 및 수신측의 장치에 있어서, IKE(Internet Key Exchange) 프로토콜을 이용함으로써 행해진다. 구체적으로는, IPsec 접속을 행하는 장치 사이에 있어서, IKE는, 페이즈 1 및 페이즈 2의 2개의 페이즈를 행하는 것에 의해 IPsec 접속을 확립한다. 페이즈 1은, ISAKMP(Internet Security Association and Key Management Protocol) SA(Security Association)를 확립함으로써, 페이즈 2에서 사용하는 암호 방식의 결정과, 암호키의 생성을 행하는 것이다. 또한, 페이즈 2는, IPsec SA를 확립함으로써, IPsec에서 사용하는 암호 방식과 암호키 등의 결정을 행하는 것이다.
이들 2개의 페이즈가 완료하면, 장치 사이에서 IPsec를 이용한 암호화 통신이 가능하게 된다.
또한, 예를 들면, 송신측 및 수신측의 각 장치로서 RAID 장치를 이용해서 iSCSI 리모트 케이스간 카피를 행하는 경우와 같이, RAID 장치에 따라서는, 각 RAID 장치가 구비하는 IPsec 기능을 실현하는 모듈에 대하여 암호키가 설정되는 경우가 있다. 구체적으로는, 각 RAID 장치는, 각각 자신이 동일한 논리(예를 들면, 날짜의 정보를 인수로 해서 암호키를 생성하는 함수 등)에 의해 암호키를 작성함으로써, 상술한 IKE에 상관없이, 암호키를 공유할 수 있는 경우가 있다.
여기서, IPsec를 이용한 암호화 통신을 행하는 각 장치는, 시큐러티의 향상을 위해, 암호키에 대하여 소정의 유효 기간을 설정하고, 유효 기간이 경과한 암호키를 무효화해서 새로운 암호키로 전환하는 처리를 행한다.
예를 들면, 각 장치는, 각 장치가 구비하는 시계의 시간(현재의 시각)이 암호키 정보의 전환에 관한 소정의 처리(예를 들면, 암호키의 생성 및 설정, 암호키의 유효화/무효화의 전환 등)를 행해야 할 시간(예를 들면, 0시대, 8시대, 16시대 등)인지의 여부를 판단한다. 그리고, 각 장치는, 소정의 처리를 행해야 할 시간이면, 해당하는 처리를 실행함으로써 암호키의 전환을 행한다.
또한, 종래에 있어서는, 미리 설정된 키 교환 시간에 도달했을 때에, 암호키의 생성·갱신을 실시하는 기술이 알려져 있다(예를 들면, 특허 문헌 1, 2).
일본 특허 출원 공개 제2005-136870호 공보 일본 특허 출원 공개 제2004-166153호 공보
상술한 바와 같이, IPsec를 이용한 암호화 통신을 행하는 각 장치는, 암호키의 생성 및 설정이나 암호키의 유효화/무효화의 전환을, 각 장치 내에 구비된 시계의 시각에 기초해서 행한다. 일반적으로, 이러한 시계는, 1개월에 수분, 수년에 수시간 정도의 어긋남이 발생하기 때문에, 각 케이스는, 정기적으로 시각의 변경(조정)을 행하게 된다.
여기서, 시계의 시각 변경(조정)에 의해, 암호키 정보에 관한 소정의 처리를 행해야 할 시간을 타고넘는 시각 변경이 발생하는 경우가 있다. 예를 들면, 변경 전의 시계의 시각이 암호키 정보의 갱신 시간보다도 전(과거)이며, 변경 후의 시계의 시각이 암호키 정보의 갱신 시간보다도 앞(미래)으로 된 경우, 시각 변경을 행한 장치에서는, 시계의 시각 변경에 의해 타고넘은(뛰어넘은) 시간에 행해져야 할 암호키 정보에 관한 소정의 처리가 행해지지 않는다. 이에 의해, 시각 변경을 행한 장치와 통신 대상의 장치의 암호키 정보가 일치하지 않게 된다고 하는 문제가 있다.
이하, 상술한 IPsec를 이용한 암호화 통신을 행하는 장치 중의 송신측의 장치에서 시각 변경이 발생한 경우의 각 장치의 암호키의 갱신 수순에 대해서, 송신측 케이스 및 수신측 케이스를 이용하여 설명한다.
도 7의 (a) 및 (b)는, 송신측 케이스에 있어서의 현재의 시각과 소정의 처리를 행해야 할 시각의 비교 타이밍을 도시하는 도면이다.
이 도 7의 (a)는, 통상적인 운용, 즉, 송신측 케이스의 시계의 시각의 변경이 없는 경우에 대한 예를 나타내는 것이다. 또한, 도 7의 (b)는, 송신측 케이스의 시계의 시각의 변경이 발생한 경우에 대한 예를 나타내는 것이다.
도 8은, 송신측 케이스에서 시각 변경이 발생한 경우의 송신측 케이스 및 수신측 케이스의 암호키의 갱신 수순을 도시하는 도면이다.
송신측 케이스는, IPsec를 이용한 암호화 통신을 행하는 각 장치에 의한 암호화 통신에 있어서, 데이터를 송신하는 측의 장치이며, 수신측 케이스는, 데이터를 수신하는 측의 장치이다. 또한, 편의상, 도 7의 (a), (b) 및 도 8에 있어서, 송신측 케이스와 수신측 케이스를 구별하고 있지만, 실제로는, 송신측 케이스로서의 장치 및 수신측 케이스로서의 장치는 서로 쌍방향으로 송수신을 행하는 것이다. 따라서, 송신측 케이스 및 수신측 케이스에 있어서의 각 처리는, IPsec를 이용한 암호화 통신을 행하는 각 장치의 각각에 있어서 실행된다.
여기서, 송신측 케이스 및 수신측 케이스는, 각각 시큐러티 향상을 위해, 암호키를 매일 변경한다.
또한, 송신측 케이스 및 수신측 케이스는, 2개의 암호키를 갖고, 암호키마다, 암호키에 의한 송신 및 수신의 유효 또는 무효를 전환할 수 있다. 또한, 2개의 암호키에 의한 수신이 모두 유효한 경우에는, 어떠한 암호키에 의해서도 수신할 수 있다.
송신측 케이스 및 수신측 케이스는, 1시간마다, 자신이 구비하는 시계의 시각인 현재의 시각이 암호키 정보의 전환에 관한 소정의 처리(예를 들면, 암호키의 생성 및 설정, 암호키의 유효화/무효화의 전환 등)를 행해야 할 시간(예를 들면, 0시대, 8시대, 16시대 등)인지의 여부를 판단한다.
예를 들면, 16시대에는, 송신측 케이스는, 익일분의 암호키 1을 생성하여 설정함과 함께, 수신측 케이스는, 익일분의 암호키 1을 생성하여 설정하고, 익일분의 암호키 1에 의한 수신을 유효화하는 처리를 행한다. 또한, 0시대에는, 송신측 케이스는, 당일의 암호키 1에 의한 송신을 유효화하고, 전일의 암호키 2에 의한 송신을 무효화하는 처리를 행한다. 또한, 8시대에는, 수신측 케이스는, 전일의 암호키 2에 의한 수신을 무효화하는 처리를 행한다.
이후, 송신측 케이스 및 수신측 케이스는, 상술한 16시대, 0시대, 8시대의 각 처리를 반복하여 실시하고, 각각 2개의 암호키를 교대로 사용하여, 암호키 정보를 갱신한다.
또한, 송신측 케이스 및 수신측 케이스는, 각각 자신이 구비하는 시계의 시각을, 소정의 타이밍에서, 또는 외부로부터의 명령에 의해, 변경(조정)할 수 있다.
도 7의 (a) 및 (b)에 도시하는 바와 같이, 송신측 케이스는, A1∼A8, B1∼B7로 나타내는 화살표의 시점에서, 현재의 시각이 암호키 정보의 전환에 관한 소정의 처리를 행해야 할 시간인지의 여부를 판단한다. 또한, 도시는 생략하고 있지만, 송신측 케이스는, A1 이전 및 A8 이후와 B1 이전 및 B7 이후에 있어서도 마찬가지로 판단을 행한다. 또한, 여기서는, A1∼A8, B1∼B7의 각각의 간격은, 1시간이다.
도 7의 (a)에서는, 송신측 케이스는, A1∼A4 및 A6∼A8의 각 시점에 있어서, 현재의 시각이 암호키 정보의 전환에 관한 소정의 처리를 행해야 할 시간(여기서는 1/27의 16시대)이 아니기 때문에, 소정의 처리를 실시하지 않는다.
한편, 송신측 케이스는, A5의 시점에 있어서, 현재의 시각이 암호키 정보의 전환에 관한 소정의 처리를 행해야 할 시간으로서의 1/27의 16시대라고 판단하고, 1/27의 16시에 행해야 할 소정의 처리, 즉, 1/28분의 암호키 2를 생성하여 설정하는 처리를 행한다.
이것에 대하여, 도 7의 (b)에서는, 송신측 케이스는, B1∼B7의 각 시점에 있어서, 현재의 시각이 암호키 정보의 전환에 관한 소정의 처리를 행해야 할 시간(여기서는 1/27의 16시대)이 아니기 때문에, 소정의 처리를 실시하지 않는다.
여기서, 도 7의 (b)에 도시하는 예에 있어서는, 송신측 케이스가 B4인 시점에 있어서 현재의 시각과 암호키 정보의 전환에 관한 소정의 처리를 행해야 할 시간을 비교한 후, 타이머가 설정된 다음의 1시간에 도달하기 전에 송신측 케이스의 시계의 시각이 변경되어 있다. 즉, 1/27의 15시대로부터 17시대로 송신측 케이스의 시계의 시각이 변경된 것으로 한다. 그리고, 송신측 케이스는, B5의 시점에서 현재의 시각과 암호키 정보의 전환에 관한 소정의 처리를 행해야 할 시간을 비교하고 있다. 이 경우, 송신측 케이스는, B5의 시점에 있어서, 현재의 시각이 암호키 정보의 전환에 관한 소정의 처리를 행해야 할 시간으로서의 1/27의 16시대가 아니기 때문에, 소정의 처리를 실시하지 않는다.
이와 같이, 도 7의 (b)의 상태에서는, 송신측 케이스에 있어서 1/27의 16시에 행해져야 할 1/28분의 암호키 2를 생성하여 설정하는 처리가 행해지지 않는다.
이때, 송신측 케이스에서는, 도 8에 도시하는 바와 같이, 1/27의 16시에 행해져야 할 1/28분의 암호키 2가 생성 및 설정되지 않기 때문에, 1/27의 16시부터 1/29의 16시까지의 암호키 2는, 1/26분의 암호키로 된다.
따라서, 송신측 케이스에서는, 1/28의 0시에, 1/26의 암호키 2의 송신이 유효화됨과 함께 1/27의 암호키 1의 송신이 무효화되고, 1/28의 0시부터 1/29의 0시까지의 동안, 암호키 2에 설정되어 있는 1/26분의 암호키가 송신 시에 이용되게 된다.
한편, 시각의 변경이 발생하고 있지 않은 수신측 케이스에 있어서는, 1/28의 0시부터 8시까지의 사이는 1/27분의 암호키 1 및 1/28분의 암호키 2가 유효화되어 있고, 1/28의 8시부터 16시까지의 사이는, 1/28분의 암호키 2가 유효화되어 있다. 또한, 1/28의 16시부터 1/29의 0시까지의 사이는, 1/28분의 암호키 2 및 1/29분의 암호키 1이 유효화되어 있다.
이와 같이, 송신측 케이스로부터 송신되는 패킷은, 1/26분의 암호키 2에 의해 암호화되어 있는 한편, 수신측 케이스에는, 1/26분의 암호키 2가 설정되어 있지 않기 때문에, 수신측 케이스에서는, 해당 암호화된 패킷을 복호하기 위한 암호키가 일치하지 않는다. 따라서, 수신측 케이스는, 1/28의 0시부터 1/29의 0시까지의 동안, 수신한 패킷을 복호할 수 없게 된다.
지금까지, 도 7의 (a), (b) 및 도 8을 참조하면서, 송신측 케이스에 있어서 시계의 시각이 변경된 경우에 대해서 설명했지만, 수신측 장치에 있어서 시계의 시각이 변경된 경우에도 마찬가지이다.
상술한 것으로부터, 암호키 정보에 관한 소정의 처리를 행해야 할 시각을 타고넘는 시각 변경이 발생한 경우에는, 시각 변경을 행한 케이스의 암호키 정보와, 시각 변경을 행하고 있지 않은 케이스의 암호키 정보가 일치하지 않게 되어, 케이스간의 암호화 통신을 정상적으로 행할 수 없게 된다고 하는 과제가 있다.
상술한 점을 감안하여, 본건의 목적의 하나는, 처리 대상 정보에 관한 소정의 처리를 행해야 할 시각을 타고넘는 시각 변경이 발생한 경우라도, 시각 변경을 행한 처리 장치의 처리 대상 정보를 올바른 상태로 하는 것이다.
또한, 상기 목적에 한하지 않고, 후술하는 발명을 실시하기 위한 형태에 나타내는 각 구성에 의해 유도되는 작용 효과로서, 종래의 기술에 의해서는 얻어지지 않는 작용 효과를 발휘하는 것도 본 발명의 다른 목적의 하나로서 위치 결정할 수 있다.
본건의 처리 장치는, 미리 설정된 키 시각에 처리 대상 정보에 관한 소정의 처리를 실행하는 처리 장치로서, 소정 시간마다 설정된 체크 타이밍에 있어서, 전회 처리를 행한 키 시각과 현재의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단하는 판단부와, 판단부가, 체크 기간에 키 시각이 포함되어 있다고 판단한 경우에, 해당 키 시각에 실행해야 할 소정의 처리를 실행하는 처리부를 구비하는 것이다.
또한, 본건의 다른 처리 장치는, 미리 설정된 키 시각에 처리 대상 정보에 관한 소정의 처리를 실행하는 처리 장치로서, 소정 시간마다 설정된 체크 타이밍에 있어서, 전회의 처리 시각과 현재의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단하는 판단부와, 판단부가, 체크 기간에 키 시각이 포함되어 있다고 판단한 경우에, 해당 키 시각에 실행해야 할 소정의 처리를 실행하는 처리부를 구비하는 것이다.
또한, 본건의 처리 방법은, 미리 설정된 키 시각에 처리 대상 정보에 관한 소정의 처리를 실행하는 처리 방법으로서, 소정 시간마다 설정된 체크 타이밍에 있어서, 전회 처리를 행한 키 시각과 현재의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단하는 스텝과, 체크 기간에 키 시각이 포함되어 있다고 판단한 경우에, 해당 키 시각에 실행해야 할 소정의 처리를 실행하는 스텝을 구비하는 것이다.
또한, 본건의 처리 프로그램은, 미리 설정된 키 시각에 처리 대상 정보에 관한 소정의 처리를 실행하는 기능을, 컴퓨터에 실현시키는 처리 프로그램으로서, 소정 시간마다 설정된 체크 타이밍에 있어서, 전회 처리를 행한 키 시각과 현재의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단하는 판단부, 및, 판단부가, 체크 기간에 키 시각이 포함되어 있다고 판단한 경우에, 해당 키 시각에 실행해야 할 소정의 처리를 실행하는 처리부로서, 컴퓨터를 기능시키는 것이다.
개시의 기술에 따르면, 처리 대상 정보에 관한 소정의 처리를 행해야 할 시각을 타고넘는 시각 변경이 발생한 경우라도, 시각 변경을 행한 처리 장치의 처리 대상 정보를 올바른 상태로 할 수 있다.
도 1은 제1 실시 형태의 일례로서의 스토리지 장치의 구성예를 모식적으로 도시하는 도면.
도 2는 제1 실시 형태의 일례로서의 송신측 케이스 및 수신측 케이스의 암호키의 갱신 수순을 예시하는 도면.
도 3의 (a) 내지 (e)는, 제1 실시 형태의 일례로서의 스토리지 장치의 판단부에 의한 체크 기간에 키 시각이 포함되어 있는지의 여부의 판단 방법을 설명하기 위한 도면.
도 4는 제1 실시 형태의 일례로서의 스토리지 장치의 판단부 및 처리부의 동작을 설명하기 위한 플로우차트.
도 5의 (a) 내지 (e)는, 제1 실시 형태의 일례로서의 스토리지 장치의 판단부에 의한 체크 기간에 키 시각이 포함되어 있는지의 여부의 판단 방법의 변형예를 설명하기 위한 도면.
도 6은 제1 실시 형태의 일례로서의 스토리지 장치의 판단부 및 처리부의 동작의 변형예를 설명하기 위한 플로우차트.
도 7의 (a) 및 (b)는, 송신측 케이스에 있어서의 현재의 시각과 소정의 처리를 행해야 할 시각의 비교 타이밍을 도시하는 도면.
도 8은 송신측 케이스에서 시각 변경이 발생한 경우의 송신측 케이스 및 수신측 케이스의 암호키의 갱신 수순을 예시하는 도면.
이하, 도면을 참조해서 본 발명의 실시 형태를 설명한다.
(A) 제1 실시 형태
(A-1) 제1 실시 형태의 구성
도 1은, 제1 실시 형태의 일례로서의 스토리지 장치(1)의 구성예를 모식적으로 도시하는 도면이다.
이 도 1에 도시하는 바와 같이, 스토리지 장치(1)는, 채널 어댑터(2), 컨트롤 모듈(3) 및 기억부(4)를 구비한다.
또한, 스토리지 장치(1)는, 인터넷이나 LAN(Local Area Network) 등의 네트워크(100)를 거쳐서, 다른 장치(5)와 서로 송수신 가능하게 접속되고, IPsec를 이용한 암호화 통신을 행한다. 여기서, 본 실시 형태에 있어서는, 다른 장치(5)는, 스토리지 장치(1)와 거의 마찬가지의 구성이며, 편의상, 도시나 그 설명을 생략한다.
또한, 스토리지 장치(1) 및 다른 장치(5) 사이에서의 IPsec를 이용한 암호화 통신에 대해서는, 기지의 여러 가지의 방법에 의해 행하는 것이 가능하며, 그 상세한 설명은 생략한다.
또한, 스토리지 장치(1)는, 후술하는 기억부(4)의 하드디스크 드라이브(HDD;Hard Disk Drive)(41-1∼41-k)(k는 자연수)에 대하여, 데이터의 읽어냄/기입(Read/Write)을 행한다. 스토리지 장치(1) 및 다른 장치(5)로서는, 예를 들면, RAID 장치 등을 들 수 있다.
그리고, 본 실시 형태에 있어서는, 스토리지 장치(1) 및 다른 장치(5)는, 리모트 케이스간 카피를 행한다. 즉, 다른 장치(5)는, 스토리지 장치(1)의 HDD(41-1∼41-k)에 저장된 데이터를 카피하여, 다른 장치(5)가 구비하는 HDD에 저장하는 백업 서버로서 기능한다. 마찬가지로, 스토리지 장치(1)는, 다른 장치(5)의 HDD에 저장된 데이터를 카피하여, 스토리지 장치(1)가 구비하는 HDD(41-1∼41-k)에 저장하는 백업 서버로서 기능한다.
또한, 본 실시 형태에 있어서는, 스토리지 장치(1)는, 다른 장치(5)와 동일한 암호키에 의해 암호화 통신을 행하는 공유 키 암호 방식을 이용한다.
여기서, 공통 키 암호 방식에서는, 스토리지 장치(1) 및 다른 장치(5)는, 서로 동일한 암호키를 공유한다. 본 실시 형태에 있어서는, 스토리지 장치(1) 및 다른 장치(5)는, 각각의 장치에서 동일한 논리(예를 들면, 날짜의 정보를 인수로 해서 암호키를 생성하는 함수 등)에 의해 암호키를 작성함으로써 암호키를 공유할 수 있다.
채널 어댑터(2)는, 스토리지 장치(1)와 다른 장치(5)를 통신 가능하게 접속하는 인터페이스 컨트롤러이다. 채널 어댑터(2)는, 다른 장치(5)로부터 송신된 데이터를 수신하고, 버퍼 메모리(23)에 일단 저장한 후에, 이 데이터를 후술하는 컨트롤 모듈(3)에 수도하거나, 또한, 컨트롤 모듈(3)로부터 수취한 데이터를 다른 장치(5)에 송신한다. 즉, 채널 어댑터(2)는, 다른 장치(5) 등의 외부 장치와의 사이에서의 데이터의 입출력(I/O)을 제어하는 기능을 구비하고 있다. 또한, 이 채널 어댑터(2)는, 후술하는 바와 같이, 암호화/복호부(201)로서의 기능을 구비하고 있다.
이 채널 어댑터(2)는, 도 1에 도시하는 바와 같이, CPU(Central Processing Unit)(20), RAM(Random Access Memory)(21), ROM(Read Only Memory)(22) 및 버퍼 메모리(23)를 구비하고 있다.
버퍼 메모리(23)는, 다른 장치(5)로부터 수신한 데이터나, 다른 장치(5)에 대하여 송신하는 데이터를 일시적으로 저장한다. ROM(22)은, CPU(20)가 실행하는 프로그램이나 여러 가지의 데이터를 저장하는 기억 장치이다.
RAM(21)은, 여러 가지의 데이터나 프로그램을 일시적으로 저장하는 기억 영역으로서, CPU(20)가 프로그램을 실행할 때에, 데이터나 프로그램을 일시적으로 저장·전개해서 이용한다. 또한, 이 RAM(21)에는, 후술하는 바와 같이, 컨트롤 모듈(3)에 의해 설정되는 2개의 암호키, 및 암호키마다의 송신의 유효/무효 및 암호키마다의 수신의 유효/무효의 정보 등이 저장된다.
또한, 이 RAM(21)에 저장되는 2개의 암호키는, 암호키 그 자체이어도 되고, 또한, 암호키를 생성 또는 특정하기 위한 정보이어도 된다. 이하, 이들을 통합하여, 간단히 「암호키」라고 한다.
또한, 이하, 이 RAM(21)에 저장되는 2개의 암호키, 및 암호키마다의 송신의 유효/무효 및 암호키마다의 수신의 유효/무효의 정보 등을, 「암호키 정보」라고 한다.
CPU(20)는, 여러 가지의 제어나 연산을 행하는 처리 장치이고, ROM(22)에 저장된 프로그램을 실행함으로써, 여러 가지의 기능을 실현한다. 즉, CPU(20)는, 도 1에 도시하는 바와 같이, 암호화/복호부(201)로서 기능한다.
암호화/복호부(201)는, 컨트롤 모듈(3)로부터 수취한 다른 장치(5)에 송신하는 패킷을, RAM(21)에 저장된 암호키를 이용해서 암호화한다. 또한, 암호화/복호부(201)는, 다른 장치(5)로부터 수신하는 패킷을, RAM(21)에 저장된 암호키를 이용해서 복호해서 컨트롤 모듈(3)에 수도한다.
이와 같이, 암호화/복호부(201)에 의한 암호화/복호의 처리에 의해, 스토리지 장치(1)는, 다른 장치(5)와 IPsec를 이용한 암호화 통신을 행한다.
기억부(4)는, 복수의 HDD(41-1∼41-k)를 구비하고, 컨트롤러 모듈(3)로부터, 이들 복수의 HDD(41-1∼41-k)에 대한 각종 제어를 받는다.
복수의 HDD(41-1∼41-k)는, 본 실시 형태에 있어서는, 컨트롤러 모듈(3)에 의해, RAID 구성으로 되어 있다.
이 복수의 HDD(41-1∼41-k)에서는, 컨트롤 모듈(3)에 의해, 데이터의 읽어냄/기입(Read/Write)의 처리가 행해진다.
또한, 기억부(4)는, HDD(41-1∼41-k) 대신에, 복수의 SSD(Solid State Drive) 등의, 스토리지 장치에 있어서 이용 가능한 여러 가지의 기록 매체를 이용할 수 있다.
컨트롤 모듈(처리 장치)(3)은, 여러 가지의 제어를 행하는 것이고, 다른 장치(5)로부터의 액세스 요구에 따라서, 기억부(4)에의 액세스 제어 등, 각종 제어를 행한다. 또한, 컨트롤 모듈(3)은, 후술하는 바와 같이, 판단부(301) 및 처리부(302)로서의 기능을 구비하고 있다.
이 컨트롤 모듈(3)은, CPU(30), RAM(31), ROM(32) 및 시계(33)를 구비하고 있다.
ROM(32)은, CPU(30)가 실행하는 프로그램이나 여러 가지의 데이터를 저장하는 기억 장치이다.
RAM(31)은, 여러 가지의 데이터나 프로그램을 일시적으로 저장하는 기억 영역이고, CPU(30)가 프로그램을 실행할 때에, 데이터나 프로그램을 일시적으로 저장·전개해서 이용한다.
또한, 이 RAM(31)에는, 처리 대상 정보(여기서는 암호키 정보)에 관한 소정의 처리(예를 들면, 암호키의 생성 및 설정, 암호키의 유효화/무효화의 전환 등)를 실행하는 시각(이하, 키 시각이라고 함)이, 암호키 정보와 대응지어서 미리 저장된다. 또한, RAM(31)은, 키 시각과 암호키 정보의 조를 복수 저장할 수 있다.
예를 들면, RAM(31)에는, 제1 키 시각이, 소정의 처리로서, 새로운 암호키를 생성해서 RAM(21)에 설정하는 처리, 및 새로운 암호키에 의한 수신을 유효화하는 처리에 대응지어져 저장된다. 또한, RAM(31)에는, 제2 키 시각이, 소정의 처리로서, 새로운 암호키에 의한 송신을 유효화하는 처리 및 오래된 암호키에 의한 송신을 무효화하는 처리에 대응지어져 저장된다. 또한, RAM(31)에는, 제3 키 시각이, 소정의 처리로서, 오래된 암호키에 의한 수신을 무효화하는 처리에 대응지어져 저장된다.
또한, RAM(31)에는, 후술하는 처리부(302)에 의해 전회 행해진 처리에 대응지어진 키 시각이, 전회 처리를 행한 키 시각으로서 저장된다.
또한, 상술한 키 시각은, 시각 그 자체이어도 되고, 또한, 시각을 특정하기 위한 정보이어도 된다. 이하, 이들을 통합하여, 간단히 「키 시각」이라고 한다.
시계(33)는, 스토리지 장치(1) 내의 시각을 관리하는 것이고, 수정 발진기 등에 의해 생성된 클럭을 이용해서 시각을 관리한다. 시계(33)로서는, 예를 들면, 리얼 타임 클럭 등을 들 수 있다. 또한, 도 1에서는, 시계(33)는, 컨트롤 모듈(3)에 구비되어 있지만, 이것에 한정되지 않고, 스토리지 장치(1) 내의 다른 부위에 구비되어도 된다.
CPU(30)는, 여러 가지의 제어나 연산을 행하는 처리 장치이고, ROM(32)에 저장된 프로그램을 실행함으로써, 여러 가지의 기능을 실현한다. 즉, CPU(30)는, 도 1에 도시하는 바와 같이, 판단부(301) 및 처리부(302)로서 기능한다. 또한, CPU(30)는, 판단부(301) 및 처리부(302)로서의 처리를, 시계(33)의 시각에 기초해서 실행한다.
여기서, 시계(33)는, 1개월에 수분, 수년에 수시간 정도의 어긋남이 발생한다.
이 때문에, CPU(30)는, 판단부(301) 및 처리부(302)로서의 기능 이외에, 시계(33)의 시각을, 소정의 타이밍에서, 또는 외부장치로부터의 명령에 의해, 기준으로 되는 시각으로 변경(조정)하는 기능을 구비한다. 이 CPU(30)에 의한 시계(33)의 시각의 변경의 기능은, 판단부(301) 및 처리부(302)로서의 기능과는 독립해서 행해진다. 또한, 기준으로 되는 시각은, 예를 들면, 도시하지 않은 시각 서버 등으로부터 취득할 수 있다.
이러한, CPU(30)에 의한 시계(33)의 시각의 변경에 의해, 암호키 정보에 관한 소정의 처리를 행해야 할 키 시각을 타고넘는 시각 변경이 발생하는 경우가 있다. 본 실시 형태에서는, 후술하는 판단부(301) 및 처리부(302)의 처리에 의해, 시각 변경을 행한 컨트롤 모듈(3)의 암호키 정보를 올바른 상태로 할 수 있다.
또한, 본 실시 형태에서는, 스토리지 장치(1) 및 다른 장치(5)는, 각각 시큐러티 향상을 위해, 채널 어댑터(2)의 RAM(21)에 저장된 암호키를 소정의 간격으로(여기서는 매일) 변경한다. 즉, 스토리지 장치(1) 및 다른 장치(5)는, 각각의 장치에 있어서, 미리 RAM(31)에 저장된 키 시각에 암호키 정보에 관한 소정의 처리를 실행한다. 이 처리에 의해, 암호키 정보가 갱신되고, 스토리지 장치(1) 및 다른 장치(5)는, 각각의 장치에서 변경된 암호키를 이용하여, 서로 암호화 통신을 행할 수 있다.
또한, 스토리지 장치(1) 및 다른 장치(5)는, 2개의 암호키를 갖고, 암호키마다, 암호키마다의 송신의 유효/무효 및 암호키마다의 수신의 유효/무효를 전환할 수 있다. 또한, 2개의 암호키에 의한 수신이 모두 유효한 경우에는, 어떠한 암호키에 의해서도 수신할 수 있다.
판단부(301)는, 소정 시간마다 설정된 체크 타이밍에 있어서, 전회 처리를 행한 키 시각과 현재의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단한다. 여기서, 체크 타이밍은, 도시하지 않은 타이머에 의해 설정되는 일정한 시간 주기이며, 본 실시 형태에서는 2분으로 한다. 타이머로서의 기능은, 예를 들면, CPU(30)에 의한 계시(計時)에 의해 실현할 수 있다. 또한, 시계(33)의 시각과, 타이머에 의한 계시는, 서로 별개로 독립되어 있고, 시계(33)의 시각이 변경된 경우라도, 타이머에 의한 계시에는 영향을 주지 않는다. 또한, 체크 기간은, RAM(31)에 저장된 전회 처리를 행한 키 시각과, 현재의 시각, 즉 시계(33)의 시각과의 사이의 기간이다.
따라서, 판단부(301)는, 2분마다 설정된 체크 타이밍에 있어서, 각각 처리부(302)에 의해 RAM(31)에 저장되어 있는 전회 처리를 행한 키 시각과 시계(33)의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단한다.
예를 들면, 전회 처리를 행한 키 시각이, 제2 키 시각으로서의 0시이며, 현재의 시각이 8시 1분인 경우, 판단부(301)는, 제2 키 시각으로서의 0시와 현재의 시각으로서의 8시 1분과의 사이인 체크 시간에, 키 시각이 포함되어 있는지의 여부를 판단한다. 이 경우, 해당 체크 기간에는, 제3 키 시각으로서의 8시가 포함되어 있기 때문에, 판단부(301)는, 현재의 체크 타이밍, 즉, 현재의 시각에 있어서, 체크 기간에 키 시각이 포함되어 있다고 판단한다.
처리부(302)는, 판단부(301)가, 체크 기간에 키 시각이 포함되어 있다고 판단한 경우에, 해당 키 시각에 실행해야 할 암호키 정보(처리 대상 정보)에 관한 소정의 처리를 실행한다.
즉, 처리부(302)는, 키 시각에, 암호키 정보에 관한 소정의 처리로서, 암호키의 생성, 또는 암호키에 의한 송신 혹은 수신의 유효화 혹은 무효화의 전환 중의 적어도 하나에 관한 처리를 행한다.
구체적으로는, 처리부(302)는, 체크 기간에 제1 키 시각으로서의 16시가 포함되어 있다고 판단부(301)에서 판단된 경우에는, 새로운 암호키를 생성해서 RAM(21)에 설정함과 함께, 새로운 암호키에 의한 수신을 유효화하는 처리를 행한다. 또한, 처리부(302)는, 체크 기간에 제2 키 시각으로서의 0시가 포함되어 있다고 판단부(301)에서 판단된 경우에는, 새로운 암호키에 의한 송신을 유효화 함과 함께, 오래된 암호키에 의한 송신을 무효화하는 처리를 행한다. 또한, 처리부(302)는, 체크 기간에 제3 키 시각으로서의 8시가 포함되어 있다고 판단부(301)에서 판단된 경우에는, 오래된 암호키에 의한 수신을 무효화하는 처리를 행한다.
이와 같이, 판단부(301) 및 처리부(302)의 기능에 의해, 스토리지 장치(1)는, 제1 키 시각으로부터 제3 키 시각까지의 처리를 하나의 사이클로 해서, 암호키 정보를 갱신한다.
또한, 처리부(302)에 의한 암호키의 생성이나, 암호키에 의한 송신/수신의 유효화/무효화의 전환은, 기지의 여러 가지의 방법에 의해 행하는 것이 가능하며, 그 상세한 설명은 생략한다.
판단부(301) 및 처리부(302)에 의한 처리의 상세에 대해서는, 도 2를 참조하면서 후술한다.
또한, 처리부(302)는, 체크 기간에 포함되어 있는 키 시각에 실행해야 할 소정의 처리를 실행하면, 해당 키 시각을, 전회 처리를 행한 키 시각으로서, RAM(31)에 저장한다.
따라서, 상술한 판단부(301) 및 처리부(302)를 구비하는 컨트롤 모듈(3)은, 미리 설정된 키 시각에 처리 대상 정보에 관한 소정의 처리를 실행하는 처리 장치라고 할 수 있다.
또한, RAM(31)은, 전회 처리를 행한 키 시각을 저장하는 저장부라고 할 수 있다.
(A-2) 제1 실시 형태에 있어서의 암호키 정보의 갱신에 대해서
이하, 본 실시 형태에 있어서의 스토리지 장치(1)의 판단부(301) 및 처리부(302)에 의한 암호키 정보의 갱신 처리에 대해서, 송신측 케이스 및 수신측 케이스를 이용해서 상세하게 설명한다.
도 2는, 제1 실시 형태의 일례로서의 송신측 케이스 및 수신측 케이스의 암호키 정보의 갱신 수순을 예시하는 도면이다.
송신측 케이스는, 본 실시 형태에 있어서의 스토리지 장치(1) 또는 다른 장치(5)에 의한 암호화 통신에 있어서, 데이터를 송신하는 측의 장치이며, 수신측 케이스는, 데이터를 수신하는 측의 장치이다. 또한, 편의상, 도 2에 있어서, 송신측 케이스와 수신측 케이스를 구별하고 있지만, 실제로는, 송신측 케이스로서의 장치, 및 수신측 케이스로서의 장치는 서로 쌍방향으로 송수신을 행하는 것이다. 따라서, 송신측 케이스 및 수신측 케이스에 있어서의 각 처리는, 스토리지 장치(1) 및 다른 장치(5)의 각각의 장치에서 실행된다.
이하, 송신측 케이스 및 수신측 케이스를 설명할 때에는, 상술한 스토리지 장치(1)의 구성을 이용한다.
도 2에 나타내는 예에 있어서는, 암호키의 송신 유효 기간은 1일(24시간), 수신 유효 기간은 송신 유효 기간에 전후 8시간을 더한 40시간이다. 이에 의해, 수신측 케이스는, 송신측 케이스가 구비하는 시계의 시각과, 수신측 케이스가 구비하는 시계의 시각의 시간에 어긋남이 발생한 경우에도, 전후 8시간까지의 시간의 어긋남을 허용하여, 수신하는 패킷을 복호할 수 있다.
또한, 송신 유효 기간이란, 송신측 케이스에 있어서의 암호키가 유효한 기간이며, 이 기간을 지나면, 송신측 케이스는, 해당 암호키를 이용하여, 송신을 위해 데이터를 암호화할 수 없게 된다. 이 송신 유효 기간은, 송신측 케이스(예를 들면 스토리지 장치(1)의 처리부(302))에 있어서의, 암호키에 의한 송신의 유효화의 처리에 의해 개시하고, 송신측 케이스에 있어서의, 암호키에 의한 송신의 무효화의 처리에 의해 종료한다. 따라서, 송신 유효 기간은, 송신측 케이스(예를 들면 스토리지 장치(1)의 RAM(31))에 저장된, 암호키에 의한 송신의 유효화의 처리가 행해지는 키 시각과, 암호키에 의한 송신의 무효화의 처리가 행해지는 키 시각과의 사이의 기간으로 된다.
또한, 수신 유효 기간이란, 수신측 케이스에 있어서의 암호키가 유효한 기간이며, 이 기간을 지나면, 수신측 케이스는, 해당 암호키를 이용하여, 수신한 데이터를 복호할 수 없게 된다. 이 수신 유효 기간은, 수신측 케이스(예를 들면 스토리지 장치(1)의 처리부(302))에 있어서의, 암호키에 의한 수신의 유효화의 처리에 의해 개시하고, 수신측 케이스에 있어서의, 암호키에 의한 수신의 무효화의 처리에 의해 종료한다. 따라서, 수신 유효 기간은, 수신측 케이스(예를 들면 스토리지 장치(1)의 RAM(31))에 저장된, 암호키에 의한 수신의 유효화의 처리가 행해지는 키 시각과, 암호키에 의한 수신의 무효화의 처리가 행해지는 키 시각과의 사이의 기간으로 된다.
상술한 바와 같이, 판단부(301) 및 처리부(302)의 기능에 의해, 스토리지 장치(1)는, 제1 키 시각으로부터 제3 키 시각까지의 처리를 하나의 사이클로 해서, 암호키 정보를 갱신한다.
이하, 상술한 스토리지 장치(1)에 있어서의 판단부(301) 및 처리부(302)의 기능에 의한 암호키 정보의 갱신 처리를, 송신측 케이스 및 수신측 케이스의 각각에 있어서의 암호키 정보의 갱신 처리로 나누어 설명한다. 도 2에 도시하는 바와 같이 송신측 케이스 및 수신측 케이스는, 이하의 (1)∼(3)의 처리를 하나의 사이클로 해서, 암호키 정보를 갱신한다.
또한, 도 2 중, 송신측 케이스는, 1/26의 16시까지는, 1/26분의 암호키 2에 기초해서 송신 데이터를 암호화하고 있다. 또한, 수신측 케이스는, 1/26의 16시까지는, 1/26분의 암호키 2에 기초해서 수신 데이터를 복호하고 있다. 또한, (1)∼(3)의 처리는, 각각, 도 2 중 (1)∼(3)의 화살표로 나타내는 시점의 키 시각에 대응하고 있다.
(1) 1/26 16시(제1 키 시각)
·송신측 케이스:익일(1/27)분의 암호키 1을 생성하여 설정한다(도 2 중, A1에 있어서의 처리)
·수신측 케이스:익일(1/27)분의 암호키 1을 생성하여 설정하고(A2), 익일(1/27)분의 암호키 1에 의한 수신을 유효화한다(A3)
(2) 1/27 0시(제2 키 시각)
·송신측 케이스:당일(1/27)의 암호키 1에 의한 송신을 유효화하고(A4), 전날(1/26)의 암호키 2에 의한 송신을 무효화한다(A5)
(3) 1/27 8시(제3 키 시각)
·수신측 케이스:전날(1/26)의 암호키 2에 의한 수신을 무효화한다(A6)
이와 같이, 송신측 케이스 및 수신측 케이스는, (1)∼(3)의 처리를 하나의 사이클로 해서, A1∼A6의 처리를 반복해서 실시한다. 그리고, 송신측 케이스 및 수신측 케이스는, 각각 2개의 암호키를 교대로 생성·설정함과 함께, 송신 및 수신의 유효화/무효화를 행하여, 암호키 정보를 갱신한다.
또한, (1)∼(3)의 처리는, 상술한 바와 같이, 2분마다 설정된 체크 타이밍에 있어서, 전회 처리를 행한 키 시각과 시계(33)의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있다고 판단부(301)에서 판단된 경우에, 처리부(302)에 의해 실행된다.
여기서, 상술한 바와 같이, 스토리지 장치(1)에 있어서는, 복수(여기서는 2개)의 암호키를 이용한다. 그리고, 처리부(302)에서는, 복수의 암호키 중의 하나의 암호키에 의한 송신이 유효화되기 전 및 무효화된 후에도, 소정의 기간은, 하나의 암호키 및 복수의 암호키 중의 다른 암호키에 의한 수신이 유효화된다.
구체적으로는, 스토리지 장치(1)는, 도 2에 있어서 파선으로 나타내는 바와 같이, 암호키 1 및 2에 대해서, 수신하는 패킷을 복호할 때에 이용하는 암호키 1 또는 2의 수신 유효 기간(여기서는 40시간)을, 송신하는 패킷을 암호화할 때에 이용하는 암호키 1 또는 2의 송신 유효 기간(여기서는 24시간)보다도 길게 되도록 설정한다.
이에 의해, 도 2에 도시하는 바와 같이, 수신측 케이스에 있어서, 예를 들면, 1/27의 16시부터 1/28의 8시 사이는, 암호키 1 및 2가 모두 수신 유효 기간으로 된다. 이때, 수신측 케이스는, 송신측 케이스로부터 수신하는 암호화된 패킷을, 암호키 1 또는 2 중 어느 쪽을 이용해도 복호할 수 있다. 바꾸어 말하면, 수신측 케이스는, 송신측 케이스가 구비하는 시계의 시각과, 수신측 케이스가 구비하는 시계의 시각의 시간에 어긋남이 발생한 경우에도, 소정의 기간, 즉, 전후 8시간까지의 시간의 어긋남을 허용하여, 수신하는 패킷을 복호할 수 있다.
(A-3) 제1 실시 형태에 있어서 시계의 시각이 변경된 경우의 판단부 및 처리부의 동작
도 3의 (a) 내지 (e)는, 제1 실시 형태의 일례로서의 스토리지 장치(1)에 있어서의 판단부(301)에 의한, 체크 기간에 키 시각이 포함되어 있는지의 여부의 판단 방법을 설명하기 위한 도면이다.
도 3의 (a) 내지 (e)에 도시하는 예에 있어서는, 처리부(302)에 의해, 1/27의 8시에 행해야 할 소정의 처리가 실행되고, RAM(31)에는, 전회 처리를 행한 키 시각으로서, 1/27의 8시의 정보가 저장되어 있다. 그리고, 이들 도 3의 (a) 내지 (e)에 도시하는 상태는, 그 후, 시계(33)의 시각의 변경이 CPU(30)에 의해 행해지고, 현재의 시각으로서의 시계(33)의 시각이 수정된 후의 상태이다.
도 3의 (a)는, 현재의 시각이 1/27의 8시~16시 사이인 경우에 대한 예를 나타내는 것이다. 또한, 도 3의 (b)는, 현재의 시각이 1/27의 16시∼1/28의 0시 사이인 경우에 대한 예를 나타내는 것이다. 또한, 도 3의 (c)는, 현재의 시각이 1/27의 0시~8시 사이인 경우에 대한 예를 나타내는 것이다. 또한, 도 3의 (d)는, 현재의 시각이 1/28의 0시~8시 사이인 경우에 대한 예를 나타내는 것이다. 또한, 도 3의 (e)는, 현재의 시각이 1/26의 16시~1/27의 0시 사이인 경우에 대한 예를 나타내는 것이다.
상술한 바와 같이, 판단부(301)는, 소정 시간마다 설정된 체크 타이밍에 있어서, 전회 처리를 행한 키 시각과 현재의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단한다.
예를 들면, 판단부(301)는, 2분마다 설정된 체크 타이밍에 있어서, 각각 처리부(302)에 의해 RAM(31)에 저장되어 있는 전회 처리를 행한 키 시각과 시계(33)의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단한다.
구체적으로는, 예를 들면, 판단부(301)는, 2분마다 설정된 체크 타이밍에 있어서, 전회 처리를 행한 키 시각인 1/27의 8시와, 현재의 시각인 시계(33)의 시각과의 사이의 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단한다.
또한, 도 3의 (a) 내지 (e) 중, 체크 기간을 해칭으로 나타낸다.
도 3의 (a)에 도시하는 경우에는, 체크 기간에 키 시각은 포함되어 있지 않다. 따라서, 판단부(301)는, 체크 기간에 키 시각이 포함되어 있지 않다고 판단하고, 2분 후의 차회의 체크 타이밍까지 대기한다.
다음으로, 도 3의 (b)에 도시하는 경우에는, 체크 기간에 키 시각인 1/27의 16 시가 포함되어 있다. 따라서, 판단부(301)는, 체크 기간에 키 시각이 포함되어 있다고 판단하고, 처리부(302)는, 해당 키 시각에 실행해야 할 소정의 처리를 행한다. 또한, 처리부(302)는, 해당 키 시각인 1/27의 16시의 정보를, 새로운 전회 처리를 행한 키 시각으로서 RAM(31)에 저장한다. 그리고, 판단부(301)는, 2분 후의 차회의 체크 타이밍까지 대기한다.
여기서, 도 3의 (a)에 도시하는 상태는, 시계(33)의 시각이, 전회 처리를 행한 키 시각과, 다음의 키 시각과의 사이의 시각으로 변경된 경우에 생길 수 있다. 구체적으로는, 도 3의 (a)에 도시하는 예에서는, 시계(33)의 시각이, 1/27의 8시부터 16시까지의 사이의 시각으로 변경된 경우에 생길 수 있다. 또한, 도 3의 (a)에 도시하는 상태는, 통상적인 운용, 즉, 시계(33)의 시각의 변경이 없는 경우에도 생길 수 있다.
또한, 도 3의 (b)에 도시하는 상태는, 시계(33)의 시각이, 다음의 키 시각과, 2개 후의 키 시각과의 사이의 시각으로 변경된 경우에 생길 수 있다. 구체적으로는, 도 3의 (b)에 도시하는 예에서는, 시계(33)의 시각이, 1/27의 16시부터 1/28의 0시까지의 사이의 시각으로 변경된 경우에 생길 수 있다. 또한, 도 3의 (b)에 도시하는 상태는, 통상적인 운용, 즉, 시계(33)의 시각의 변경이 없는 경우에도 생길 수 있다.
다음으로, 도 3의 (c)에 도시하는 경우에는, 체크 기간에 키 시각은 포함되어 있지 않다. 따라서, 판단부(301)는, 체크 기간에 키 시각이 포함되어 있지 않다고 판단하고, 2분 후의 차회의 체크 타이밍까지 대기한다.
또한, 도 3의 (c)에 도시하는 상태는, 시계(33)의 시각이, 2개 전에 처리를 행한 키 시각과, 전회 처리를 행한 키 시각과의 사이의 시각으로 변경된 경우, 즉 시계(33)의 시각이 전회 처리를 행한 키 시각보다도 전(과거)으로 된 경우에 생길 수 있다. 구체적으로는, 이 상태는, 도 3의 (c)에 도시하는 예에서는, 시계(33)의 시각이, 1/27의 8시부터 1/27의 0시까지의 사이의 시각으로 변경된 경우에 생길 수 있다.
또한, 도 3의 (d)에 도시하는 경우에는, 체크 기간에 키 시각인 1/27의 16시 및 1/28의 0시가 포함되어 있고, 키 시각이 2개 포함되어 있다. 이 도 3의 (d)에 도시하는 상태는, 시계(33)의 시각이, 2개 후의 키 시각보다도 앞(미래)의 시각으로 변경된 경우에 생길 수 있다. 구체적으로는, 이 상태는, 도 3의 (d)에 도시하는 예에 있어서는, 시계(33)의 시각이, 1/28의 0시보다도 앞(미래)의 시각으로 변경된 경우에 생길 수 있다. 이때, 시계(33)의 시각은, 전회 처리를 행한 키 시각으로부터 16시간 이상의 시간을 비우고 변경되게 된다.
이와 같은 경우, 즉, 판단부(301)가, 체크 기간에 키 시각이 포함되어 있다고 판단한 경우에도, 체크 기간에 키 시각이 2개 이상 포함되어 있다고 판단한 경우에는, 처리부(302)는, 암호키 정보의 초기화를 행한다.
이와 같이, 체크 기간에 키 시각이 2개 이상 포함되어 있는 경우, 즉, 시계(33)의 시각과, 다른 장치(5)가 구비하는 시계의 시각과의 사이의 어긋남이, 2개의 키 시각의 사이 이상의 시간으로 되는 경우에는, 스토리지 장치(1)와 다른 장치(5)의 암호화 통신을 재확립하는 것이 바람직하다.
이것은, 스토리지 장치(1)의 통상적인 운용에 있어서, 시계(33)의 시각이, 2개 후의 키 시각보다도 앞(미래)의 시각, 즉, 도 3의 (d)에 도시하는 예에 있어서는, 16시간 이상의 시간을 비운 시각으로 변경되는 것은 생각하기 어렵고, 스토리지 장치(1)에 어떠한 중대한 이상이 생겨 있을 우려가 있기 때문이다.
예를 들면, 체크 기간에 키 시각이 2개 이상 포함되어 있는 경우, 처리부(302)는, 암호키 1 및 2의 송신/수신 유효 기간의 클리어나, RAM(21)에 저장한 암호키 1 및 2의 클리어를 행하고, 스토리지 장치(1)와 다른 장치(5)의 접속을 절단한다. 그리고, 처리부(302)는 채널 어댑터(2)와 함께, 스토리지 장치(1)의 기동시와 마찬가지의 초기화 처리(다른 장치(5)와의 암호화 통신의 재설정)를 실행하여, 스토리지 장치(1)와 다른 장치(5) 사이에서 IPsec 접속을 확립하여, 암호화 통신을 행한다.
이에 의해, 처리부(302)는, 스토리지 장치(1)와 다른 장치(5) 사이에서 장시간의 시각의 어긋남이 생기고 있었던 것에 의한, 암호키 정보의 부정합을 해소할 수 있다.
또한, 도 3의 (e)에 도시하는 경우에는, 체크 기간에 키 시각인 1/27의 0시가 포함되어 있다. 이 도 3의 (e)에 도시하는 상태는, 시계(33)의 시각이, 2개 전에 처리를 행한 키 시각보다도 전(과거)의 시각으로 변경된 경우에 생길 수 있다. 구체적으로는, 이 상태는, 도 3의 (d)에 도시하는 예에 있어서는, 시계(33)의 시각이, 1/27의 0시보다도 전(과거)의 시각으로 변경된 경우에 생길 수 있다. 이때, 시계(33)의 시각은, 전회 처리를 행한 키 시각으로부터 8시간 이상의 시간을 비우고 변경되게 된다.
이와 같은 경우, 즉, 판단부(301)가, 체크 기간에 키 시각이 포함되어 있다고 판단한 경우에도, 현재의 시각이 전회 처리를 행한 키 시각보다도 전(과거)인 경우에는, 처리부(302)는, 도 3의 (d)에 도시하는 경우와 마찬가지로, 암호키 정보의 초기화를 행한다.
또한, 도 3의 (d), (e)에 도시하는 경우에는, 처리부(302)는, 초기화 처리를 행하는 대신에, 어떠한 에러 출력을 하고, 관리자에게 통지해도 된다. 혹은, 처리부(302)는, 초기화 처리와 아울러, 어떠한 에러 출력을 하고, 관리자에게 통지하는 것이 바람직하다. 또한, 에러 출력 및 관리자에의 통지는, 기지의 여러 가지의 방법에 의해 행하는 것이 가능하며, 그 상세한 설명은 생략한다.
도 4는, 제1 실시 형태의 일례로서의 스토리지 장치(1)에 있어서의 판단부(301) 및 처리부(302)의 동작을 설명하기 위한 플로우차트이다.
처음에, 판단부(301)에 의해, 소정 시간, 예를 들면 2분마다 설정된 체크 타이밍에 있어서, RAM(31)에 저장된 전회 처리를 행한 키 시각과 시계(33)의 현재의 시각과의 사이의 체크 기간 내에, 키 시각인 0시, 8시, 16시가 포함되는지의 여부가 판단된다(스텝 S1).
그리고, 스텝 S1에 있어서, 체크 기간 내에 0시, 8시, 16시가 포함되지 않는다고 판단부(301)에 의해 판단된 경우에는(스텝 S1의 '아니오' 루트), 판단부(301)는, 다음의 체크 타이밍까지 대기한다.
한편, 스텝 S1에 있어서, 체크 기간 내에 0시, 8시, 16시가 포함된다고 판단부(301)에 의해 판단된 경우에는(스텝 S1의 '예' 루트), 판단부(301)에 의해, 시계(33)의 현재의 시각이, 전회 처리를 행한 키 시각보다 과거인지의 여부가 판단된다(스텝 S2).
스텝 S2에 있어서, 현재의 시각이, 전회 처리를 행한 키 시각보다 과거가 아니라고 판단부(301)에 의해 판단된 경우에는(스텝 S2의 '아니오' 루트), 판단부(301)에 의해, 체크 기간 내에 포함되는 키 시각의 수가 1개인지의 여부가 판단된다(스텝 S3).
한편, 스텝 S2에 있어서, 현재의 시각이, 전회 처리를 행한 키 시각보다 과거라고 판단부(301)에 의해 판단된 경우에는(스텝 S2의 '예' 루트), 처리부(302)에 의해, 암호키 정보가 초기화되고, 스토리지 장치(1)와 다른 장치(5)의 IPsec 접속이 재확립된다(스텝 S9).
또한, 스텝 S3에 있어서, 체크 기간 내에 포함되는 키 시각의 수가 1개가 아니라고 판단부(301)에 의해 판단된 경우도(스텝 S3의 '아니오' 루트), 스텝 S9로 이행한다.
한편, 스텝 S3에 있어서, 체크 기간 내에 포함되는 키 시각의 수가 1개라고 판단부(301)에 의해 판단된 경우에는(스텝 S3의 '예' 루트), 판단부(301)에 의해, 체크 기간 내에 포함되는 키 시각이 0시, 8시, 16시 중 어떠한 시각인지가 판단된다(스텝 S4).
스텝 S4에 있어서, 체크 기간 내에 포함되는 키 시각이 0시라고 판단부(301)에 의해 판단된 경우에는(스텝 S4의 0시 루트), 처리부(302)에 의해, 0시에 실행해야 할 소정의 처리가 실행된다. 즉, 처리부(302)에 의해, 당일의 암호키의 송신이 유효화되고, 전일의 암호키의 송신이 무효화된다(스텝 S5).
또한, 스텝 S4에 있어서, 체크 기간 내에 포함되는 키 시각이 8시라고 판단부(301)에 의해 판단된 경우에는(스텝 S4의 8시 루트), 처리부(302)에 의해, 8시에 실행해야 할 소정의 처리가 실행된다. 즉, 처리부(302)에 의해, 전일의 암호키의 수신이 무효화된다(스텝 S6).
또한, 스텝 S4에 있어서, 체크 기간 내에 포함되는 키 시각이 16시라고 판단부(301)에 의해 판단된 경우에는(스텝 S4의 16시 루트), 처리부(302)에 의해, 16시에 실행해야 할 소정의 처리가 실행된다. 즉, 처리부(302)에 의해, 익일분의 암호키가 생성되고, RAM(21)에 저장됨과 함께, 익일의 암호키의 수신이 유효화된다(스텝 S7).
그리고, 스텝 S5∼S7 중 어느 하나의 처리가 처리부(302)에 의해 실행되면, 처리부(302)에 의해, 전회 처리를 행한 키 시각으로서 체크 기간 내의 키 시각이, RAM(31)에 저장된다(스텝 S8). 그 후, 판단부(301)는, 다음의 체크 타이밍까지 대기한다.
이상의 수순에 의해, 판단부(301) 및 처리부(302)는, 암호키의 갱신 처리를 실행한다.
이와 같이, 제1 실시 형태의 일례로서의 스토리지 장치(1)에 따르면, 미리 설정된 키 시각에 처리 대상 정보에 관한 소정의 처리를 실행하는 처리 장치에 있어서, 판단부(301)에 의해, 전회 처리를 행한 키 시각과 현재의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있는지의 여부가 판단된다. 또한, 판단부(301)가, 체크 기간에 키 시각이 포함되어 있다고 판단한 경우에, 처리부(302)에 의해, 해당 키 시각에 실행해야 할 소정의 처리가 실행된다.
예를 들면, 시계(33)의 시각이 변경되고, 암호키 정보에 관한 소정의 처리를 행해야 할 키 시각을 타고넘는 시각 변경이 발생한 경우, 전회 처리를 행한 키 시각과 현재의 시각과의 사이인 체크 기간에, 해당 타고넘은 키 시각이 포함되게 된다(도 3의 (b) 참조).
이에 의해, 판단부(301)는, 시계(33)의 시각 변경에 의해 암호키 정보에 관한 소정의 처리를 행해야 할 키 시각을 타고넘는 시각 변경이 발생한 것을 확실하게 검출 할 수 있고, 처리부(302)는, 해당 키 시각에 실행해야 할 소정의 처리를 실행할 수 있다. 따라서, 판단부(301) 및 처리부(302)는, 시계(33)의 시각 변경에 의해 암호키 정보에 관한 소정의 처리를 행해야 할 키 시각을 타고넘는 시각 변경이 발생한 경우에, 시각 변경을 행한 스토리지 장치(1)의 암호키 정보를 올바른 상태로 할 수 있다.
또한, 변경 전의 시계(33)의 시각이 키 시각보다 앞(미래)이며, 변경 후의 시계(33)의 시각이 키 시각보다 전(과거)으로 된 경우에 있어서는, 전회 처리를 행한 키 시각과 현재의 시각과의 사이인 체크 기간에, 키 시각이 포함되지 않는다(도 3의 (c) 참조). 따라서, 판단부(301) 및 처리부(302)는, 변경 후의 시각이 전회 처리를 행한 키 시각에 도달했을 때에, 다시 해당 키 시각에 전회 행한 처리를 행하지 않게 된다.
또한, 제1 실시 형태에 따르면, 판단부(301)가, 체크 기간에 키 시각이 포함되어 있다고 판단한 경우에도, 현재의 시각이 전회 처리를 행한 키 시각보다도 과거인 경우에는, 처리부(302)에 의해, 처리 대상 정보의 초기화가 행해진다. 또한, 판단부(301)가, 체크 기간에 키 시각이 포함되어 있다고 판단한 경우에도, 체크 기간에 키 시각이 2개 이상 포함되어 있다고 판단한 경우에는, 처리부(302)에 의해, 처리 대상 정보의 초기화가 행해진다.
이에 의해, 처리부(302)는, 스토리지 장치(1)와 다른 장치(5) 사이에서 장시간의 시각의 어긋남이 생기고 있었던 것에 의한, 암호키 정보의 부정합을 해소할 수 있다.
또한, 제1 실시 형태에 따르면, 처리 장치로서의 스토리지 장치(1)는, 전회 처리를 행한 키 시각을 저장하는 저장부로서의 RAM(31)을 구비한다. 그리고, 판단부(301)에 의해, RAM(31)에 저장된 전회 처리를 행한 키 시각을 이용하여, 체크 기간에 키 시각이 포함되어 있는지의 여부가 판단된다.
이에 의해, 전회 처리를 행한 키 시각이 RAM(31)에 저장되기 때문에, 시계(33)의 시각 변경이 발생한 경우에도, 판단부(301)는, RAM(31)에 저장된 전회 처리를 행한 키 시각과, 시계(33)의 현재의 시각에 기초하여, 소정의 처리를 행해야 할 키 시각이 체크 기간에 포함되어 있는지의 여부를 판단할 수 있다.
또한, 처리부(302)에 의해, 판단부(301)에 의해 체크 기간에 포함되어 있다고 판단된 키 시각에 실행해야 할 소정의 처리가 실행된 후, 해당 키 시각이 전회 처리를 행한 키 시각으로서 RAM(31)에 저장된다. 즉, 처리부(302)는, 소정의 처리를 행한 후에, 해당 소정의 처리를 행한 키 시각에 의해, RAM(31)에 저장된 전회 처리를 행한 키 시각을 갱신한다.
이에 의해, 컨트롤 모듈(3)은, 미리 설정된 키 시각 중의 어떠한 키 시각의 소정의 처리까지를 실행했는지를 용이하게 판단할 수 있고, 판단부(301)는, 체크 기간에 키 시각이 포함되어 있는지의 여부의 판단을, 최신의 전회 처리를 행한 키 시각에 기초해서 행할 수 있다.
또한, 처리부(302)는, 키 시각에, 암호키 정보에 관한 소정의 처리로서, 암호키의 생성, 또는 암호키에 의한 송신 혹은 수신의 유효화 혹은 무효화의 전환 중의 적어도 하나에 관한 처리를 행한다. 또한, 암호키로서, 복수의 암호키가 이용된다. 그리고, 처리부(302)에서는, 복수의 암호키 중의 하나의 암호키에 의한 송신이 유효화되기 전 및 무효화된 후에도, 소정의 기간(여기서는 8시간)은, 하나의 암호키 및 복수의 암호키 중의 다른 암호키에 의한 수신이 유효화된다.
이에 의해, 스토리지 장치(1)는, 다른 장치(5)가 구비하는 시계의 시각과, 스토리지 장치(1)가 구비하는 시계(33)의 시각과의 시간에 어긋남이 발생한 경우에도, 전후 8시간까지의 시간의 어긋남을 허용하여, 수신하는 패킷을 복호할 수 있다.
(B) 제1 실시 형태의 변형예
제1 실시 형태의 일례로서의 스토리지 장치(1)에 있어서의 판단부(301) 및 처리부(302)에 대해서는, 상술한 동작에 한하지 않고, 예를 들면 이하에 도 5 및 도 6을 참조하면서 설명하는 제1 실시 형태의 변형예와 같이 실행해도 된다.
또한, 이 변형예의 일례로서의 스토리지 장치(1)에 있어서도, 이하, 특히 설명이 없는 한, 상술한 제1 실시 형태의 일례로서의 스토리지 장치(1)와 마찬가지의 구성을 구비하기 때문에, 그 설명을 생략한다.
본 변형예에 있어서는, RAM(31)에는, 전회 처리를 행한 키 시각 대신에, 전회의 처리 시각이 저장된다. 그리고, 제1 실시 형태의 변형예의 판단부(301)는, 소정 시간마다 설정된 체크 타이밍에 있어서, RAM(31)에 저장되어 있는 전회의 처리 시각과 현재의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단한다.
즉, 본 변형예에 있어서는, 체크 기간이, 전회의 처리 시각과 현재의 시각과의 사이로 된다. 또한, 상술한 전회의 처리 시각은, 시각 그 자체이어도 되고, 또한, 시각을 특정하기 위한 정보이어도 된다. 이하, 이들을 통합하여, 간단히 「처리 시각」이라고 한다.
구체적으로는, 판단부(301)는, 예를 들면 2분마다 설정된 체크 타이밍에 있어서, 처리부(302)에 의해 RAM(31)에 저장되어 있는 전회의 처리 시각과 시계(33)의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단한다.
처리부(302)는, 판단부(301)가, 체크 기간에 키 시각이 포함되어 있다고 판단한 경우에, 해당 키 시각에 실행해야 할 암호키 정보(처리 대상 정보)에 관한 소정의 처리를 실행한다.
구체적으로는, 체크 기간에 포함되어 있는 키 시각이 0시, 8시, 16시 중 어떠한 시각인지에 따라서, 도 2를 참조하면서 설명한 (1)∼(3)에 상당하는 처리를 행한다.
또한, 처리부(302)는, 체크 기간에 포함되어 있는 키 시각에 실행해야 할 소정의 처리를 실행하면, 해당 소정의 처리를 실행한 처리 시각의 정보를, 전회의 처리 시각으로서, RAM(31)에 저장한다. 또한, 처리부(302)는, 전회의 처리 시각을 RAM(31)에 저장할 때에, 이전의 처리 시각의 정보를 처리 시각의 로그로서, 누적시켜서 RAM(31)에 저장해도 된다.
따라서, 상술한 제1 실시 형태의 변형예에 있어서의 판단부(301) 및 처리부(302)를 구비하는 컨트롤 모듈(3)은, 미리 설정된 키 시각에 처리 대상 정보에 관한 소정의 처리를 실행하는 처리 장치라고 할 수 있다.
또한, RAM(31)은, 전회의 처리 시각을 저장하는 저장부라고 할 수 있다.
도 5의 (a) 내지 (e)는, 제1 실시 형태의 변형예로서의 스토리지 장치(1)에 있어서의 판단부(301)에 의한, 체크 기간에 키 시각이 포함되어 있는지의 여부의 판단 방법을 설명하기 위한 도면이다.
도 5의 (a) 내지 (e)에 도시하는 예에서는, 처리부(302)에 의해, 1/27의 8시에 행해야 할 소정의 처리가 실행되고, RAM(31)에는, 전회의 처리 시각으로서, 1/27의 8시 1분의 정보가 저장되어 있다. 그리고, 이들 도 5의 (a) 내지 (e)에 도시하는 상태는, 그 후, 시계(33)의 시각의 변경이 CPU(30)에 의해 행해지고, 현재의 시각으로서의 시계(33)의 시각이 수정된 후의 상태이다.
도 5의 (a)는, 현재의 시각이 1/27의 8시~16시 사이인 경우에 대한 예를 나타내는 것이다. 또한, 도 5의 (b)는, 현재의 시각이 1/27의 16시~1/28의 0시 사이인 경우에 대한 예를 나타내는 것이다. 또한, 도 5의 (c)는, 현재의 시각이 1/27의 0시~8시 사이인 경우에 대한 예를 나타내는 것이다. 또한, 도 5의 (d)는, 현재의 시각이 1/28의 0시∼8시 사이인 경우에 대한 예를 나타내는 것이다. 또한, 도 5의 (e)는, 현재의 시각이 1/26의 16시~1/27의 0시 사이인 경우에 대한 예를 나타내는 것이다.
본 변형예로서의 스토리지 장치(1)에 있어서의 판단부(301)는, 상술한 바와 같이, 소정 시간마다 설정된 체크 타이밍에 있어서, 전회의 처리 시각과 현재의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단한다.
예를 들면, 판단부(301)는, 2분마다 설정된 체크 타이밍에 있어서, 각각 처리부(302)에 의해 RAM(31)에 저장되어 있는 전회의 처리 시각과 시계(33)의 시각과의 사이인 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단한다.
구체적으로는, 예를 들면, 판단부(301)는, 2분마다 설정된 체크 타이밍에 있어서, 전회의 처리 시각인 1/27의 8시 1분과, 현재의 시각인 시계(33)의 시각과의 사이의 체크 기간에 키 시각이 포함되어 있는지의 여부를 판단한다.
또한, 도 5 중, 체크 기간을 해칭으로 나타낸다.
도 5의 (a)에 도시하는 경우에는, 체크 기간에 키 시각은 포함되어 있지 않다. 따라서, 판단부(301)는, 체크 기간에 키 시각이 포함되어 있지 않다고 판단하고, 2분 후의 차회의 체크 타이밍까지 대기한다.
다음으로, 도 5의 (b)에 도시하는 경우에는, 체크 기간에 키 시각인 1/27의 16시가 포함되어 있다. 따라서, 판단부(301)는, 체크 기간에 키 시각이 포함되어 있다고 판단하고, 처리부(302)는, 해당 키 시각에 실행해야 할 소정의 처리를 행한다. 또한, 처리부(302)는, 해당 키 시각인 1/27의 16시에 행해야 할 처리를 행한 1/27의 16시 40분의 정보를, 새로운 전회의 처리 시각으로서 RAM(31)에 저장한다. 그리고, 판단부(301)는, 2분 후의 차회의 체크 타이밍까지 대기한다.
여기서, 도 5의 (a)에 도시하는 상태는, 시계(33)의 시각이, 전회 처리를 행한 키 시각과, 다음의 키 시각과의 사이의 시각으로 변경된 경우에 생길 수 있다. 구체적으로는, 이 상태는, 도 5의 (a)에 도시하는 예에서는, 시계(33)의 시각이, 1/27의 8시부터 16시까지의 사이의 시각으로 변경된 경우에 생길 수 있다. 또한, 도 5의 (a)에 도시하는 상태는, 통상적인 운용, 즉, 시계(33)의 시각의 변경이 없는 경우에도 생길 수 있다.
또한, 도 5의 (b)에 도시하는 상태는, 시계(33)의 시각이, 다음의 키 시각과, 2개 후의 키 시각과의 사이의 시각으로 변경된 경우에 생길 수 있다. 구체적으로는, 이 상태는, 도 5의 (b)에 도시하는 예에 있어서는, 시계(33)의 시각이, 1/27의 16시부터 1/28의 0시까지의 사이의 시각으로 변경된 경우에 생길 수 있다.
또한, 도 5의 (b)에 도시하는 상태는, 통상적인 운용, 즉, 시계(33)의 시각의 변경이 없는 경우에도 생길 수 있다. 예를 들면, 전회의 체크 타이밍의 시각이, 「다음의 키 시각」-「체크 타이밍의 소정 시간 내인 임의의 시간」인 경우에 해당한다. 이때, 금회의 체크 타이밍, 즉 현재의 시각이, 「다음의 키 시각」+「체크 타이밍의 소정 시간-상기 임의의 시간」으로 된다. 구체적으로는, 예를 들면, 전회의 체크 타이밍의 시각이, 「1/27의 16시」-「1분 30초(체크 타이밍의 소정 시간은 2분)」=「1/27의 15시 58분 30초」인 경우, 현재의 시각은, 「1/27의 16시」+「2분-1분 30초」=1/27의 16시 0분 30초로 된다. 따라서, 도 5의 (b)에 도시하는 상태는, 통상적인 운용, 즉, 시계(33)의 시각의 통상적인 경과에 의해서도 생길 수 있다.
다음으로, 도 5의 (c)에 도시하는 경우에는, 체크 기간에 키 시각인 1/27의 8시가 포함되어 있다. 이 도 5의 (c)에 도시하는 상태는, 시계(33)의 시각이, 2개 전에 처리를 행한 키 시각과, 전회 처리를 행한 키 시각과의 사이의 시각으로 변경된 경우, 즉 시계(33)의 시각이 전회 처리를 행한 키 시각보다도 전(과거)으로 된 경우에 생길 수 있다. 구체적으로는, 이 상태는, 도 5의 (c)에 도시하는 예에서는, 시계(33)의 시각이, 1/27의 8시부터 1/27의 0시까지의 사이의 시각으로 변경된 경우에 생길 수 있다.
이와 같은 경우, 즉, 판단부(301)가, 체크 기간에 키 시각이 포함되어 있다고 판단한 경우에도, 현재의 시각이 전회의 처리 시각보다도 전(과거)인 경우에는, 처리부(302)는, 해당 키 시각에 실행해야 할 소정의 처리의 실행을 억지한다. 그리고, 판단부(301)는, 2분 후의 차회의 체크 타이밍까지 대기한다.
예를 들면, 체크 기간에 키 시각이 포함되어 있고, 또한, 현재의 시각이 전회의 처리 시각보다도 과거인 경우, 체크 기간 내에 포함되는 키 시각은, 전회 처리를 행한 키 시각으로 된다(도 5의 (c) 참조). 이 경우, 해당 키 시각에 행해야 할 소정의 처리는 이미 전회의 처리 시각에 실행되어 있기 때문에, 처리부(302)는, 해당 키 시각에 행해야 할 소정의 처리를 억지한다.
이에 의해, 판단부(301) 및 처리부(302)는, 체크 기간에 키 시각이 포함되어 있고, 또한, 현재의 시각이 전회의 처리 시각보다도 과거인 경우에도, 다시 해당 키 시각에 전회 행한 처리를 행하지 않게 된다.
또한, 도 5의 (d) 및 (e)에 도시하는 경우에는, 어떠한 경우에도, 체크 기간에 키 시각이 2개 포함되어 있다.
즉, 이 도 5의 (d)에 도시하는 경우에는, 체크 기간에 키 시각인 1/27의 16시 및 1/28의 0시가 포함되어 있다. 이 도 5의 (d)에 도시하는 상태는, 시계(33)의 시각이, 2개 후의 키 시각보다도 앞(미래)의 시각으로 변경된 경우에 생길 수 있다. 구체적으로는, 이 상태는, 도 5의 (d)에 도시하는 예에 있어서는, 시계(33)의 시각이, 1/28의 0시보다도 앞(미래)의 시각으로 변경된 경우에 생길 수 있다. 이때, 시계(33)의 시각은, 전회의 처리 시각으로부터 16시간 이상의 시간을 비우고 변경되게 된다.
또한, 이 도 5의 (e)에 도시하는 경우에는, 체크 기간에 키 시각인 1/27의 0시 및 1/27의 8시가 포함되어 있다. 이 도 5의 (e)에 도시하는 상태는, 시계(33)의 시각이, 2개 전에 처리를 행한 키 시각보다도 전(과거)의 시각으로 변경된 경우에 생길 수 있다. 구체적으로는, 이 상태는, 도 5의 (e)에 도시하는 예에서는, 시계(33)의 시각이, 1/27의 0시보다도 전(과거)의 시각으로 변경된 경우에 생길 수 있다.
이와 같이, 도 5의 (d) 및 (e)에 도시하는 경우, 즉, 판단부(301)가, 체크 기간에 키 시각이 포함되어 있다고 판단한 경우에도, 체크 기간에 키 시각이 2개 이상 포함되어 있다고 판단한 경우에는, 처리부(302)는, 제1 실시 형태와 마찬가지로, 암호키 정보의 초기화를 행한다.
도 6은, 제1 실시 형태의 변형예의 일례로서의 스토리지 장치(1)에 있어서의 판단부(301) 및 처리부(302)의 동작을 설명하기 위한 플로우차트이다.
이 도 6에 도시하는 제1 실시 형태의 변형예의 수순에서는, 도 4의 스텝 S2 및 S3의 처리 순서를 교체함과 함께, 스텝 S2 대신에, 스텝 S20, S21이 실행된다. 이하, 도 6 중, 이미 상술한 부호와 동일한 부호가 첨부된 스텝은, 동일 혹은 대략 동일한 스텝을 나타내고 있으므로, 그 설명의 일부를 생략한다.
이하, 스텝 S1에 있어서, 체크 기간 내에 0시, 8시, 16시가 포함된다고 판단부(301)에 의해 판단된 경우를 설명한다.
스텝 S1에 있어서, 체크 기간 내에 0시, 8시, 16시가 포함된다고 판단부(301)에 의해 판단된 경우에는(스텝 S1의 '예' 루트), 판단부(301)에 의해, 체크 기간 내에 포함되는 키 시각의 수가 1개인지의 여부가 판단된다(스텝 S3).
스텝 S3에 있어서, 체크 기간 내에 포함되는 키 시각의 수가 1개가 아니라고 판단부(301)에 의해 판단된 경우에는(스텝 S3의 '아니오' 루트), 처리부(302)에 의해, 암호키 정보가 초기화되고, 스토리지 장치(1)와 다른 장치(5)의 IPsec 접속이 재확립된다(스텝 S9).
한편, 스텝 S3에 있어서, 체크 기간 내에 포함되는 키 시각의 수가 1개라고 판단부(301)에 의해 판단된 경우에는(스텝 S3의 '예' 루트), 판단부(301)에 의해, 시계(33)의 현재의 시각이, 전회의 처리 시각보다 과거인지의 여부가 판단된다(스텝 S20).
스텝 S20에 있어서, 현재의 시각이, 전회 처리를 행한 키 시각보다 과거가 아니라고 판단부(301)에 의해 판단된 경우에는(스텝 S20의 '아니오' 루트), 체크 기간 내에 포함되는 키 시각이 0시, 8시, 16시 중 어떠한 시각인지가 판단되고(스텝 S4), 이후는, 도 4를 참조하면서 설명한 수순으로 처리가 행해진다.
한편, 스텝 S20에 있어서, 현재의 시각이, 전회 처리를 행한 키 시각보다 과거라고 판단부(301)에 의해 판단된 경우에는(스텝 S20의 '예' 루트), 처리부(302)에 의해, 체크 기간 내의 키 시각에 실행해야 할 소정의 처리의 실행이 억지된다(스텝 S21). 그 후, 판단부(301)는, 다음의 체크 타이밍까지 대기한다.
이상의 수순에 의해, 판단부(301) 및 처리부(302)는, 암호키의 갱신 처리를 실행한다.
이와 같이, 제1 실시 형태의 변형예에 따르면, 상술한 제1 실시 형태와 마찬가지의 효과가 얻어진다. 또한, 저장부로서의 RAM(31)에, 전회의 처리 시각이 저장되기 때문에, 컨트롤 모듈(3)은, 전회의 키 시각에 행해야 할 소정의 처리를 실행한 시각을 용이하게 판단할 수 있다. 이에 의해, 판단부(301)는, 체크 기간에 키 시각이 포함되어 있는지의 여부의 판단을, 최신의 전회의 처리 시각에 기초해서 행할 수 있다.
또한, RAM(31)은, 과거의 처리 시각을 로그로서 저장할 수 있기 때문에, 처리 시각의 로그에 기초하여, 암호키 정보에 관한 소정의 처리를 실행하는 키 시각이나, 체크 타이밍의 시간 등의 조정을 행할 수 있다.
(C) 기타
이상, 본 발명의 바람직한 실시 형태에 대해서 상술했지만, 본 발명은, 이러한 특정한 실시 형태에 한정되는 것은 아니고, 본 발명의 취지를 일탈하지 않는 범위 내에 있어서, 여러 가지의 변형, 변경해서 실시할 수 있다.
예를 들면, 지금까지, 스토리지 장치(1)가, 다른 장치(5)와 IPsec를 이용한 암호화 통신을 행하는 경우에 대해서 설명했지만, 본 발명은 이것에 한정되지 않고, 자기 장치 및 통신 상대의 장치의 각각에 있어서, 암호키를 생성하고, 유효화/무효화의 전환을 행하는 다른 암호화 통신에 있어서도 마찬가지로 실시할 수 있다.
또한, 암호화 통신에 있어서의 송신측 또는 수신측의 장치로서, 스토리지 장치(1)를 이용한 경우에 대해서 설명했지만, 본 발명은 이것에 한정되지 않고, 서버나 퍼스널 컴퓨터 등이 송신측 또는 수신측의 장치로서, 암호화 통신을 행하는 경우에도 마찬가지로 실시할 수 있다.
또한, 채널 어댑터(2)의 CPU(20)에 암호화/복호부(201)를, 컨트롤 모듈(3)의 CPU(30)에 판단부(301) 및 처리부(302)를 구비한 예에 대해서 설명했지만, 본 발명은 이것에 한정되지 않는다. 예를 들면, 암호화/복호부(201), 판단부(301) 및 처리부(302)는, CPU(20) 또는 CPU(30) 중 어느 한쪽에 구비되어도 되고, 스토리지 장치(1) 내 또는 외부 장치 내의 다른 CPU에 구비되어도 된다.
그리고, 처리 장치의 CPU(20) 또는/및 CPU(30)가, 처리 프로그램을 실행함으로써, 이들 암호화/복호부(201), 판단부(301) 및 처리부(302)로서 기능하게 되어 있다.
또한, 이들 암호화/복호부(201), 처리부(301) 및 판단부(302)로서의 기능을 실현하기 위한 프로그램(처리 프로그램)은, 예를 들면 플렉시블 디스크, CD(CD-ROM, CD-R, CD-RW 등), DVD(DVD-ROM, DVD-RAM, DVD-R, DVD+R, DVD-RW, DVD+RW, HD DVD 등), 블루 레이 디스크, 자기 디스크, 광 디스크, 광 자기 디스크 등의, 컴퓨터 판독 가능한 기록 매체에 기록된 형태로 제공된다. 그리고, 컴퓨터는 그 기록 매체로부터 프로그램을 판독해서 내부 기억 장치 또는 외부 기억 장치에 전송하고 저장해서 이용한다. 또한, 그 프로그램을, 예를 들면 자기 디스크, 광 디스크, 광 자기 디스크 등의 기억 장치(기록 매체)에 기록해 두고, 그 기억 장치로부터 통신회선을 거쳐서 컴퓨터에 제공하도록 해도 된다.
암호화/복호부(201), 판단부(301) 및 처리부(302)로서의 기능을 실현할 때에는, 내부 기억 장치(본 실시 형태에서는 채널 어댑터(2)의 RAM(21)이나 ROM(22) 또는/및 컨트롤 모듈(3)의 RAM(31)이나 ROM(32))에 저장된 프로그램이 컴퓨터의 마이크로프로세서(본 실시 형태에서는 채널 어댑터(2)의 CPU(20) 또는/및 컨트롤 모듈(3)의 CPU(30))에 의해 실행된다. 이때, 기록 매체에 기록된 프로그램을 컴퓨터가 판독해서 실행하도록 해도 된다.
또한, 본 실시 형태에 있어서, 컴퓨터란, 하드웨어와 오퍼레이팅 시스템을 포함하는 개념으로서, 오퍼레이팅 시스템의 제어 하에서 동작하는 하드웨어를 의미하고 있다. 또한, 오퍼레이팅 시스템이 불필요하고 어플리케이션 프로그램 단독으로 하드웨어를 동작시키는 경우에는, 그 하드웨어 자체가 컴퓨터에 상당한다. 하드웨어는, 적어도, CPU 등의 마이크로프로세서와, 기록 매체에 기록된 컴퓨터 프로그램을 판독하기 위한 수단을 구비하고 있고, 본 실시 형태에 있어서는, 채널 어댑터(2) 또는/및 처리 장치로서의 컨트롤 모듈(3)이 컴퓨터로서의 기능을 갖고 있는 것이다.
1 : 스토리지 장치
2 : 채널 어댑터
20 : CPU
201 : 암호화/복호부
21 : RAM
22 : ROM
23 : 버퍼 메모리
3 : 컨트롤 모듈(처리 장치)
30 : CPU
301 : 판단부
302 : 처리부
31 : RAM(저장부)
32 : ROM
33 : 시계
4 : 기억부
41-1∼41-k : 하드디스크 드라이브(HDD)

Claims (12)

  1. 미리 설정된 키 시각에 처리 대상 정보에 관한 소정의 처리를 실행하는 처리 장치로서,
    소정 시간마다 설정된 체크 타이밍에 있어서, 최후에 행한 소정의 처리에 대응하는 키 시각과 현재의 시각과의 사이인 체크 기간에 상기 키 시각이 포함되어 있는지의 여부를 판단하는 판단부와,
    상기 판단부가, 상기 체크 기간에 상기 키 시각이 포함되어 있다고 판단한 경우에, 해당 키 시각에 실행해야 할 상기 소정의 처리를 실행하는 처리부를 구비하는 것을 특징으로 하는 처리 장치.
  2. 제1항에 있어서,
    상기 처리부는,
    상기 판단부가, 상기 체크 기간에 상기 키 시각이 포함되어 있다고 판단한 경우에도, 상기 현재의 시각이 최후에 행한 소정의 처리에 대응하는 상기 키 시각보다도 과거인 경우에는, 상기 처리 대상 정보의 초기화를 행하는 것을 특징으로 하는 처리 장치.
  3. 제1항 또는 제2항에 있어서,
    상기 처리부는,
    상기 판단부가, 상기 체크 기간에 상기 키 시각이 포함되어 있다고 판단한 경우에도, 상기 체크 기간에 상기 키 시각이 2개 이상 포함되어 있다고 판단한 경우에는, 상기 처리 대상 정보의 초기화를 행하는 것을 특징으로 하는 처리 장치.
  4. 제1항 또는 제2항에 있어서,
    최후에 행한 소정의 처리에 대응하는 상기 키 시각을 저장하는 저장부를 더 구비하고,
    상기 판단부는, 상기 저장부에 저장된 최후에 행한 소정의 처리에 대응하는 상기 키 시각을 이용하여, 상기 체크 기간에 상기 키 시각이 포함되어 있는지의 여부를 판단함과 함께,
    상기 처리부는, 상기 판단부에 의해 상기 체크 기간에 포함되어 있다고 판단된 상기 키 시각에 실행해야 할 상기 소정의 처리를 실행한 후, 해당 키 시각을 최후에 행한 소정의 처리에 대응하는 상기 키 시각으로서 상기 저장부에 저장하는 것을 특징으로 하는 처리 장치.
  5. 미리 설정된 키 시각에 처리 대상 정보에 관한 소정의 처리를 실행하는 처리 장치로서,
    소정 시간마다 설정된 체크 타이밍에 있어서, 최후에 소정의 처리를 행한 처리 시각과 현재의 시각과의 사이인 체크 기간에 상기 키 시각이 포함되어 있는지의 여부를 판단하는 판단부와,
    상기 판단부가, 상기 체크 기간에 상기 키 시각이 포함되어 있다고 판단한 경우에, 해당 키 시각에 실행해야 할 상기 소정의 처리를 실행하는 처리부를 구비하는 것을 특징으로 하는 처리 장치.
  6. 제1항, 제2항, 또는 제5항 중 어느 한 항에 있어서,
    상기 처리 대상 정보는 암호키 정보이며,
    상기 소정의 처리는, 암호키의 생성, 또는 상기 암호키에 의한 송신 혹은 수신의 유효화 혹은 무효화의 전환 중의 적어도 하나에 관한 처리인 것을 특징으로 하는 처리 장치.
  7. 미리 설정된 키 시각에 처리 대상 정보에 관한 소정의 처리를 실행하는 처리 장치에 의해 행해지는 처리 방법으로서,
    소정 시간마다 설정된 체크 타이밍에 있어서, 최후에 행한 소정의 처리에 대응하는 키 시각과 현재의 시각과의 사이인 체크 기간에 상기 키 시각이 포함되어 있는지의 여부를 판단하는 스텝과,
    상기 체크 기간에 상기 키 시각이 포함되어 있다고 판단한 경우에, 해당 키 시각에 실행해야 할 상기 소정의 처리를 실행하는 스텝을 구비하는 것을 특징으로 하는 처리 방법.
  8. 미리 설정된 키 시각에 처리 대상 정보에 관한 소정의 처리를 실행하는 기능을, 컴퓨터에 실현시키는 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체로서,
    상기 처리 프로그램은,
    소정 시간마다 설정된 체크 타이밍에 있어서, 최후에 행한 소정의 처리에 대응하는 키 시각과 현재의 시각과의 사이인 체크 기간에 상기 키 시각이 포함되어 있는지의 여부를 판단하는 판단부, 및
    상기 판단부가, 상기 체크 기간에 상기 키 시각이 포함되어 있다고 판단한 경우에, 해당 키 시각에 실행해야 할 상기 소정의 처리를 실행하는 처리부로서, 상기 컴퓨터를 기능시키는 것을 특징으로 하는 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체.
  9. 삭제
  10. 삭제
  11. 삭제
  12. 삭제
KR1020127032021A 2010-06-04 2010-06-04 처리 장치, 처리 방법 및 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체 KR101503581B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2010/059546 WO2011151924A1 (ja) 2010-06-04 2010-06-04 処理装置,処理方法及び処理プログラム

Publications (2)

Publication Number Publication Date
KR20130026453A KR20130026453A (ko) 2013-03-13
KR101503581B1 true KR101503581B1 (ko) 2015-03-17

Family

ID=45066319

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127032021A KR101503581B1 (ko) 2010-06-04 2010-06-04 처리 장치, 처리 방법 및 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체

Country Status (6)

Country Link
US (1) US20130097423A1 (ko)
EP (1) EP2579500A1 (ko)
JP (1) JP5601368B2 (ko)
KR (1) KR101503581B1 (ko)
CN (1) CN102918796B (ko)
WO (1) WO2011151924A1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015008623A1 (ja) * 2013-07-18 2015-01-22 日本電信電話株式会社 鍵保管装置、鍵保管方法、及びそのプログラム
US10051000B2 (en) * 2015-07-28 2018-08-14 Citrix Systems, Inc. Efficient use of IPsec tunnels in multi-path environment
CN108199837B (zh) * 2018-01-23 2020-12-25 新华三信息安全技术有限公司 一种密钥协商方法及装置
CN112566116B (zh) * 2020-12-15 2022-08-16 三维通信股份有限公司 确定密钥的方法、装置、存储介质及电子装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007104430A (ja) 2005-10-05 2007-04-19 Matsushita Electric Ind Co Ltd 暗号化データ送信装置、暗号化鍵更新方法、電子機器、プログラムおよび記録媒体
JP2007300312A (ja) 2006-04-28 2007-11-15 Matsushita Electric Ind Co Ltd 遠隔医療システムにおける鍵交換制御方式
JP2009065528A (ja) 2007-09-07 2009-03-26 Hitachi Ltd ストレージ装置及び暗号鍵変更方法
JP2009218751A (ja) 2008-03-07 2009-09-24 Nec Corp 暗号化装置、復号化キー情報管理方法、復号化キー情報管理制御プログラム、及び暗号化データ記憶装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004186814A (ja) * 2002-11-29 2004-07-02 Fujitsu Ltd 共通鍵暗号化通信システム
US7468981B2 (en) * 2005-02-15 2008-12-23 Cisco Technology, Inc. Clock-based replay protection
US7676679B2 (en) * 2005-02-15 2010-03-09 Cisco Technology, Inc. Method for self-synchronizing time between communicating networked systems using timestamps
JP2008103988A (ja) * 2006-10-19 2008-05-01 Fujitsu Ltd 暗号通信システム、装置、方法及びプログラム
US8717932B2 (en) * 2006-11-29 2014-05-06 Broadcom Corporation Method and system for determining and securing proximity information over a network
US8059819B2 (en) * 2007-01-17 2011-11-15 Panasonic Electric Works Co., Ltd. Systems and methods for distributing updates for a key at a maximum rekey rate
US8705348B2 (en) * 2007-04-18 2014-04-22 Cisco Technology, Inc. Use of metadata for time based anti-replay
JP2009100238A (ja) * 2007-10-17 2009-05-07 Nec Corp 通信装置、通信システム及びそれらに用いる鍵再交換方法並びにそのプログラム
KR20100069382A (ko) * 2008-12-16 2010-06-24 한국전자통신연구원 시스템 동기를 이용한 트래픽 암호화 키 갱신 장치 및 방법
US9294270B2 (en) * 2010-01-05 2016-03-22 Cisco Technology, Inc. Detection of stale encryption policy by group members

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007104430A (ja) 2005-10-05 2007-04-19 Matsushita Electric Ind Co Ltd 暗号化データ送信装置、暗号化鍵更新方法、電子機器、プログラムおよび記録媒体
JP2007300312A (ja) 2006-04-28 2007-11-15 Matsushita Electric Ind Co Ltd 遠隔医療システムにおける鍵交換制御方式
JP2009065528A (ja) 2007-09-07 2009-03-26 Hitachi Ltd ストレージ装置及び暗号鍵変更方法
JP2009218751A (ja) 2008-03-07 2009-09-24 Nec Corp 暗号化装置、復号化キー情報管理方法、復号化キー情報管理制御プログラム、及び暗号化データ記憶装置

Also Published As

Publication number Publication date
CN102918796A (zh) 2013-02-06
CN102918796B (zh) 2015-05-20
EP2579500A1 (en) 2013-04-10
KR20130026453A (ko) 2013-03-13
JPWO2011151924A1 (ja) 2013-07-25
WO2011151924A1 (ja) 2011-12-08
JP5601368B2 (ja) 2014-10-08
US20130097423A1 (en) 2013-04-18

Similar Documents

Publication Publication Date Title
JP7104248B2 (ja) 暗号化された資産暗号化鍵パーツのサブセットを使用して資産暗号化鍵のアセンブリを可能にする暗号化された資産暗号化鍵パーツ
US8761403B2 (en) Method and system of secured data storage and recovery
US9069940B2 (en) Secure host authentication using symmetric key cryptography
JP4327865B2 (ja) コンテンツ処理装置、暗号処理方法及びプログラム
US8195956B2 (en) Re-keying data in place
CN101441601B (zh) 一种硬盘ata指令的加密传输的方法及系统
JP2009017537A (ja) 利用装置、サーバ装置、サービス利用システム、サービス利用方法、サービス利用プログラム及び集積回路
US20080052537A1 (en) Storage device, write-back method, and computer product
JP2009225062A (ja) 情報処理装置、方法及びプログラム
JP2009245227A (ja) 情報記憶装置
JP2007096783A (ja) データ転送方法及びシステム
KR101503581B1 (ko) 처리 장치, 처리 방법 및 처리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체
EP2656267B1 (en) System and method for securely moving content
JP2009111687A (ja) 記憶装置、暗号化データ処理方法
JP4481141B2 (ja) ストレージシステム及び計算機システム
JP2008005408A (ja) 記録データ処理装置
JP6043738B2 (ja) 鍵管理装置および鍵管理方法
KR20070096023A (ko) 보안 호스트 인터페이스
JP2009157611A5 (ko)
JP2007282064A (ja) データ処理装置、データ処理方法、記憶媒体、プログラム
JP2008269179A (ja) 計算機システム及び管理端末と記憶装置並びに暗号管理方法
KR20080084481A (ko) 디바이스간의 콘텐츠 전송 방법 및 그 시스템
JP2008147946A (ja) 認証方法、認証システム、及び外部記憶媒体
JP7086163B1 (ja) データ処理システム
JP2006351160A (ja) コンピュータシステム、及びディスク装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee