WO2014091535A1 - 計算機システム及び記憶部の暗号化方法 - Google Patents

Abstract

　プロセッサとメモリとＯＳを格納する記憶部とを備えた計算機で、記憶部を暗号化する暗号化方法であって、計算機のＯＳで記憶部を暗号化するための鍵を生成し、計算機は鍵を生成したときのハードウェア関連情報から固有値を演算して保持し、ＯＳの起動時に演算する固有値が保持された固有値と一致しない場合に用いる回復鍵を生成し、計算機に接続された管理計算機は、回復鍵を生成した計算機の識別子と対応付けて回復鍵を保持し、計算機は生成した鍵で記憶部を暗号化し、管理計算機は、計算機を停止させた後に、停止した計算機を引き継ぐ第２の計算機を選択し、停止した計算機で生成した回復鍵を、第２の計算機に通知してから、第２の計算機を起動させ、第２の計算機は、ハードウェア関連情報が同一でないと判定したときには、通知された回復鍵を用いて記憶部のＯＳを復号する。

Description

計算機システム及び記憶部の暗号化方法

　本発明は、暗号化されたシステムボリュームの復号時に、ハードウェアコンポーネントの整合性を判定するドライブ暗号化機能を備えた計算機システムに関する。

　ブートするシステムの機密性をボリューム単位で確保する機能として、特許文献１が知られている。この特許文献１には、「信頼できるプラットフォーム・モジュール（ＴＰＭ）を有するコンピュータにおいて、ブート・コンポーネントの予想されるハッシュ値を、プラットフォーム構成レジスタ（ＰＣＲ＝Ｐｌａｔｆｏｒｍ　Ｃｏｎｆｉｇｕｒａｔｉｏｎ　Ｒｅｇｉｓｔｅｒ）内に置くことができ、それによりＴＰＭが秘密鍵を開示することが可能になる。次に、秘密鍵を用いてブート・コンポーネントを解読し、そのハッシュ値を計算し、ＰＣＲ内に置く。次いで、ＰＣＲを比較することができる。ＰＣＲを比較しない場合には、システムのための重要な秘密鍵へのアクセスを無効にすることができる。また、第１の秘密鍵は、第１の複数のＰＣＲ値が現存しているときにのみアクセス可能であり、第２の秘密鍵は、該第１の複数のＰＣＲ値の１つまたは複数が新しい値と置き換えられた後にのみアクセス可能となる。」と記載されている。

特開２００６－３２３８１４号公報

　特許文献１には、復号時にハードウェアコンポーネントの整合性を確保するドライブ暗号化機能が記載されている。この暗号化機能の代表的な実施例として、例えばＢｉｔＬｏｃｋｅｒ（登録商標）が知られている。ＢｉｔＬｏｃｋｅｒ（登録商標）はＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）自体のボリュームを暗号化することを特徴としたドライブ暗号化機能である。以降、復号時にハードウェアコンポーネントの整合性を判定し、ＯＳ自体のボリュームを暗号化することを特徴としたドライブ暗号化機能をドライブ暗号化機能と述べる。

　ドライブ暗号化機能が有効になっている場合、ＯＳのブートローダは、ＯＳを起動するために、まず、ＯＳが格納されているボリュームの復号化を行う。その際、ＯＳのブートローダはＴＰＭ（Ｔｒｕｓｔｅｄ　Ｐｌａｔｆｏｒｍ　Ｍｏｄｕｌｅ）に格納されているＳＲＫ（Ｓｔｏｒａｇｅ　Ｒｏｏｔ　Ｋｅｙ）を用いる。

　ＵＥＦＩ（Ｕｎｉｆｉｅｄ　Ｅｘｔｅｎｓｉｂｌｅ　Ｆｉｒｍｗａｒｅ　Ｉｎｔｅｒｆａｃｅ）は、ブート時に、計算機の構成情報をＴＰＭのＰＣＲ（Ｐｌａｔｆｏｒｍ　Ｃｏｎｆｉｇｕｒａｔｉｏｎ　Ｒｅｇｉｓｔｅｒ）に書き込む。そして、ドライブ暗号化機能を有効にしたときには、ＰＣＲの値がＴＰＭ内部に保存されたＰＣＲのスナップショットの値と一致した場合にのみ、ＴＰＭのロックが解除されるので、ブートローダは、ＴＰＭからＳＲＫを取り出すことが出来る。

　一方、計算機の構成情報が変わっていた場合、ＰＣＲの値とＰＣＲのスナップショットの値が一致しないため、ＯＳのブートローダはＳＲＫの取得に失敗するため、起動プロセスを一時停止し、ユーザに回復Ｋｅｙを接続するように要求する。

　回復Ｋｅｙは、暗号化機能を有効にする際にＯＳによって生成され、例えばＵＳＢメモリ等に保存される。ここで、回復Ｋｅｙとは、ハードウェアの変更があった際に、ＯＳをブートさせるためのＫｅｙとして用いられる情報である。

　ＯＳのブートローダに回復Ｋｅｙを要求された場合、ユーザが回復Ｋｅｙの保存されたＵＳＢメモリを計算機に接続して所定の操作を行うことで、ＯＳのブートが再開する。

　回復ＫｅｙによるＯＳブートの再開の機能は、ハードウェアの変更が行われた場合に、当該変更が不正なハードウェア変更と、期待したハードウェア変更のどちらであったのかを、起動を一時停止してユーザ操作を介在させることにより、ユーザに判断させるためのものである。

　さて、主にハイエンドクラスのサーバの場合、障害発生時に故障部位の縮退や待機系サーバへの切り換え等を自動的に行うことで、障害が発生した場合でも無人での業務継続を行う機能を持っている。

　しかし、ドライブ暗号化機能が有効な場合、デバイスの縮退や待機系サーバへの切り替えはハードウェアの変更と認識されるため、ＯＳの自動的な起動が出来ない、という問題があった。

　そこで本発明は、ボリュームの復号時にハードウェアコンポーネントの整合性を判定するドライブ暗号化機能を適用している環境で、プラットフォームが意図的にハードウェア構成を変更した場合に、ユーザ操作の介在なしに、ＯＳの起動が自動的に可能な計算機システムを提供する。

　本発明は、プロセッサとメモリとＯＳを格納する記憶部とを備えた計算機と、１以上の前記計算機を管理する管理計算機と、を備えた計算機システムであって、前記計算機は、前記記憶部を暗号化するために前記ＯＳが生成した鍵と、前記鍵を生成したときのハードウェアに関連する情報から演算した固有値と、を固有値保持部に保持し、前記計算機は、前記ＯＳの起動時に演算するハードウェアに関連する情報に基づく固有値が、前記保持された固有値と一致しない場合に、前記鍵に代わって前記記憶部を復号するための回復鍵を生成し、該鍵を前記管理計算機に通知し、前記鍵を用いて前記ＯＳを格納する記憶部を暗号化し、前記管理計算機が、前記回復鍵を受け付けて、前記回復鍵を生成した計算機の識別子と対応付けて前記回復鍵を保持し、前記管理計算機が、前記計算機を停止させた後、前記停止させた計算機を引き継ぐ第２の計算機を選択し、前記停止させた計算機で生成した回復鍵を、前記選択した第２の計算機に通知してから前記第２の計算機を起動し、前記第２の計算機が、ハードウェアに関連する情報から固有値を演算し、前記固有値保持部に予め保持された固有値に一致するか否かを判定し、前記演算した固有値と、予め保持された前記固有値が一致しないときには、前記管理計算機から通知された回復鍵を用いて、前記記憶部のＯＳを復号して、当該ＯＳを起動する。

　本発明によれば、ＯＳの記憶部の復号時にハードウェアに関連する情報から固有値を演算し、予め保持された固有値に一致するか否かによりハードウェアの整合性を判定する計算機システムで、計算機のハードウェア構成を変更した場合であっても、ユーザ操作の介在なしに、自動的に回復鍵を適用してＯＳを起動することが可能となる。

　上記した以外の課題、構成および効果は、以下の実施形態の説明により明らかにされる。

本発明の第１の実施例を示し、計算機システムの一例を示すブロック図である。 本発明の第１の実施例を示し、回復Ｋｅｙ管理テーブルの初期状態を示す図である。 本発明の第１の実施例を示し、回復Ｋｅｙ管理テーブルの使用開始時を示す図である。 本発明の第１の実施例を示し、回復Ｋｅｙ管理テーブルの回復Ｋｅｙの保存時を示す図である。 本発明の第１の実施例を示し、回復Ｋｅｙ管理テーブルをサーバモジュールＮで利用する際の図である。 本発明の第１の実施例を示し、サーバモジュールＮで回復Ｋｅｙ管理テーブルの利用を終了した状態を示す図である。 本発明の第１の実施例を示し、サーバモジュールＢで回復Ｋｅｙ管理テーブルを利用する状態を示す図である。 本発明の第１の実施例を示し、回復Ｋｅｙの生成時に行われる処理の一例を示すフローチャートで、メインルーチンを示す。 本発明の第１の実施例を示し、回復Ｋｅｙの生成時に行われる処理の一例を示すフローチャートで、サブルーチンの前半部を示す。 本発明の第１の実施例を示し、回復Ｋｅｙの生成時に行われる処理の一例を示すフローチャートで、サブルーチンの後半部を示す。 本発明の第１の実施例を示し、障害発生時にサーバモジュールを切替える例を示す計算機システムのブロック図である。 本発明の第１の実施例を示し、障害発生時にサーバモジュールを切替える処理の一例を示すフローチャートで、前半部を示す。 本発明の第１の実施例を示し、障害発生時にサーバモジュールを切替える処理の一例を示すフローチャートで、中盤部を示す。 本発明の第１の実施例を示し、障害発生時にサーバモジュールを切替える処理の一例を示すフローチャートで、後半部を示す。 本発明の第１の実施例を示し、ＯＳボリュームの暗号化の一例を示すブロック図である。 本発明の第２の実施例を示し、障害が発生したＩ／Ｏデバイスを縮退する例を示す計算機システムのブロック図である。 本発明の第２の実施例を示し、障害が発生したＩ／Ｏデバイスを縮退する処理の一例を示すフローチャートで、前半部を示す。 本発明の第２の実施例を示し、障害が発生したＩ／Ｏデバイスを縮退する処理の一例を示すフローチャートで、中盤部を示す。 本発明の第２の実施例を示し、障害が発生したＩ／Ｏデバイスを縮退する処理の一例を示すフローチャートで、後半部を示す。

　以下、本発明の一実施形態について添付図面を用いて説明する。

　本実施例１では、暗号化された計算機システムボリュームの復号時に、ハードウェアコンポーネントの整合性を判定するドライブ暗号化機能としてＢｉｔＬｏｃｋｅｒ（登録商標）が適用されている計算機システムを用いる。この計算機システムは、コールドスタンバイ機能によってプラットフォームが意図的にハードウェアの構成を変更した場合であっても、ユーザ操作の介在なしに、自動的に起動する計算機システムの例について説明する。ここでは、最初にシステム構成図、次に回復Ｋｅｙ保存時の処理、最後に待機系サーバへの切り替え時の処理の順に説明する。

　まず、図１と図２を用いて本発明によるシステムの構成の一例である、ブレードサーバのコールドスタンバイ構成について説明する。図１は、計算機システムの一例を示すブロック図である。図２Ａ～図２Ｆは、回復Ｋｅｙ管理テーブルの状態遷移を示す図である。

　本実施例は、サーバモジュールＢ１２０を現用系、サーバモジュールＮ１４０を予備系としたコールドスタンバイの構成である。

　ブレードサーバシャーシ１００は１つ以上のサーバモジュール（サーバブレード）１１０～１４０と、ＳＶＰ（ＳｅｒＶｉｃｅ　Ｐｒｏｃｅｓｓｏｒ）モジュール１５０と、ファイバチャネルスイッチ１７０と、ストレージ装置１８０を有する。

　サーバモジュールＢ１２０は、コンピュータとしての一般的な要素であるＣＰＵ１２４、メモリ１２７、チップセット１２５、ネットワークインターフェース１２８、ファイバチャネルアダプタ（または、ホストバスアダプタ）１２１、１２２、ＵＥＦＩ（Ｕｎｉｆｉｅｄ　Ｅｘｔｅｎｓｉｂｌｅ　Ｆｉｒｍｗａｒｅ　Ｉｎｔｅｒｆａｃｅ）１６１に加えて、ＢＭＣ（Ｂａｓｅｂｏａｒｄ　Ｍａｎａｇｅｍｅｎｔ　Ｃｏｎｔｒｏｌｌｅｒ）モジュール１２９と、ＴＰＭ（Ｔｒｕｓｔｅｄ　Ｐｌａｔｆｏｒｍ　Ｍｏｄｕｌｅ）１２６を備える。なお、ＴＰＭ１２６は、ＰＣＲ（Ｐｌａｔｆｏｒｍ　Ｃｏｎｆｉｇｕｒａｔｉｏｎ　Ｒｅｇｉｓｔｅｒ）を含む。また、メモリ１２７にはＯＳ１９０がロードされて、ＣＰＵ１２４によって実行される。また、Ｉ／Ｏデバイスとしてのファイバチャネルアダプタ１２１、１２２は、縮退機能を備えたＰＣＩ　ｅｘｐｒｅｓｓの規格に準拠する。

　ＢＭＣモジュール１２９は、サーバモジュールＢ１２０に対する状態管理機能と、仮想メディア機能（ＵＳＢメモリエミュレーション等）を提供するサーバ管理モジュールである。

　ＢＭＣモジュール１２９の状態管理機能は、サーバモジュールＢ１２０の障害検出機能と、電源制御機能と、ＰＣＩｅ縮退制御機能（障害が発生したＰＣＩ　Ｅｘｐｒｅｓｓデバイスを縮退させる機能）と、ＳＶＰモジュール１５０への障害報告機能を有する。また、ＢＭＣモジュール１２９の仮想メディア機能は、ＢＭＣモジュール１２９上あるいはネットワーク上のイメージファイルをマウントして、ＵＳＢメモリのエミュレーションを行う機能（ＵＳＢメモリエミュレーションモジュール１２９１（図６参照））を有する。また、ＢＭＣモジュール１２９は計算機の本体であるサーバモジュールＢ１２０の給電を遮断した状態でも、常時通電した状態で稼働しており、サーバモジュールＢ１２０から独立して電源制御を行うことができる。

　サーバモジュールＮ１４０はサーバモジュールＢ１２０と同等の構成要素を持つサーバモジュールである。なお、サーバモジュールＡ（１１０）～Ｎ（１４０）の総称は、符号のないサーバモジュールで表す。また、サーバモジュールＡ（１１０）～Ｎ（１４０）の構成は、図１に示したブロック図と同等であるので、重複した説明を省略する。

　ＳＶＰモジュール１５０は、ブレードサーバシャーシ１００内の各サーバモジュールの管理を行う計算機である。ＳＶＰモジュール１５０は、図示しないプロセッサやメモリを含むＳＶＰマイコン１５２と、ネットワークスイッチ１５１と、回復Ｋｅｙを格納することが可能なシャーシ内ストレージ１５４と、を備えるモジュールである。シャーシ内ストレージ１５４には、回復Ｋｅｙ管理テーブル１５３と１以上の回復Ｋｅｙ１５５、１５６が格納される。回復Ｋｅｙ管理テーブル１５３と回復Ｋｅｙ１５５、１５６は、必要に応じてＳＶＰマイコン１５２のメモリに読み込まれる。なお、ネットワークスイッチ１５１はブレードサーバシャーシ１００内で、各サーバモジュールと及びファイバチャネルスイッチ１７０とＳＶＰモジュール１５０を接続する管理ネットワークを構成する。また、各サーバモジュールは、図示しない業務用ネットワークに接続されて、クライアント計算機等からのアクセスを受け付ける。なお、回復Ｋｅｙ１５５、１５６の総称については、以下、符号無しで記載する。また、ＳＶＰモジュール１５０は、図示しない管理ネットワークを介してファイバチャネルスイッチ１７０に接続され、サーバモジュールが読み込むＬＵ１８１を切替えることができる。これにより、各サーバモジュールが起動するＯＳを切替えることができる。

　ＳＶＰマイコン１５２はＢＭＣモジュール１２９にネットワークスイッチ１５１を介して接続されている。ＢＭＣモジュール１２９はネットワークを介してシャーシ内ストレージ１５４上の所定の領域をマウントしてＵＳＢメモリエミュレーションを行うことで、例えば、回復Ｋｅｙをシャーシ内ストレージ１５４に格納することができる。

　回復Ｋｅｙ管理テーブル１５３の例を、図２Ａ～図２Ｆに示す。なお、図２Ａ～図２Ｆに示される回復Ｋｅｙ管理テーブル１５３は、回復Ｋｅｙ管理テーブル１５３に含まれる情報の遷移を、示している。

　図２Ａは、回復Ｋｅｙ管理テーブル１５３の初期状態を示す図である。図２Ｂは、回復Ｋｅｙ管理テーブル１５３の使用開始時を示す図である。図２Ｃは、回復Ｋｅｙ管理テーブル１５３に回復Ｋｅｙを保存する際の図である。図２Ｄは、回復Ｋｅｙ管理テーブル１５３をサーバモジュールＮで利用する際の図である。図２Ｅは、サーバモジュールＮで回復Ｋｅｙ管理テーブル１５３の利用を終了した状態を示す図である。図２Ｆは、サーバモジュールＢで回復Ｋｅｙ管理テーブル１５３を利用する状態を示す図である。

　回復Ｋｅｙ管理テーブル１５３は、例えば、回復Ｋｅｙ生成元計算機ＩＤ２０１と、現在の回復Ｋｅｙ接続先２０２と、回復Ｋｅｙの保存有無２０３と、回復Ｋｅｙの格納位置２０４を有する行で構成される。行の数は、搭載可能なサーバモジュールの数に対応するテーブルとなる。

　回復Ｋｅｙ生成元計算機ＩＤ２０１は、回復Ｋｅｙを生成したサーバモジュールを示す値を格納するフィールドである。本実施例において、回復Ｋｅｙ生成元計算機ＩＤ２０１の値にはブレードサーバで構成されるサーバモジュールのスロット番号を示す情報が予め設定されているものとする。回復Ｋｅｙの保存有無２０３は、回復Ｋｅｙが保存されている状態であるか否かを示す値を格納するフィールドである。このフィールドの初期値は「未保存」で、回復Ｋｅｙの保存操作を行った際に「保存済」、回復Ｋｅｙの削除操作で「未保存」の値をＳＶＰモジュール１５０が設定する。

　回復Ｋｅｙの格納位置２０４は、回復Ｋｅｙ生成元計算機ＩＤ２０１に対応する回復Ｋｅｙの格納位置を示す値を格納するフィールドである。この値は本実施例ではシャーシ内ストレージ１５４上の領域を指すファイルパスである。本実施例においては、回復Ｋｅｙ生成元計算機ＩＤ２０１に対応したファイルパスが予め割り当てられているものとする。

　現在の回復Ｋｅｙ接続先２０２は、該当する行の回復Ｋｅｙの格納位置２０４が示す領域の接続先（サーバモジュール）を示す値を格納するフィールドである。

　これはひとつの回復Ｋｅｙの格納位置２０４を、複数のサーバモジュールが同時にマウントする事を防ぐために用いる。このフィールドの初期値は「未接続」で、回復Ｋｅｙの格納位置２０４が示す領域が、ＢＭＣモジュール１２９によってマウントされるときに該当するサーバモジュールを示すＩＤ、ＢＭＣモジュール１２９によってアンマウントされたときに「未接続」の値をＳＶＰモジュール１５０が設定する。「未接続」という値はいずれのサーバモジュールにもマウントされていない状態を示す。

　本実施例はブレードサーバであるため、行数と回復Ｋｅｙ生成元計算機ＩＤ２０１と回復Ｋｅｙの格納位置２０４を予め割り当てているが、動的に割り当てるようにしても良い。また、本実施例では回復Ｋｅｙの保存の有無をテーブルで管理しているが、例えば回復Ｋｅｙの格納ファイルの有無を識別するようにしても良い。

　例えば、図２Ａの回復Ｋｅｙ管理テーブル１５３は、サーバモジュールＢで生成した回復Ｋｅｙがシャーシ内ストレージ上の／ｃｏｎｆ／ｐ２／ＲｅｃｏｖｅｒｙＫｅｙ．ｂｉｎという領域に格納されており、現在どこからもマウントされていない状態であることを示している。

　ストレージ装置１８０は複数のＬＵ（Ｌｏｇｉｃａｌ　Ｕｎｉｔ）１８１を有するモジュールである。ストレージ装置１８０とそれぞれのサーバモジュールはファイバチャネルスイッチ１７０を介して接続されており、サーバモジュールとＬＵ１８１の接続を論理的に切り替えることが出来る。本実施例ではＬＵ１８１にＯＳ１９０が格納されているものとする。

　次にサーバモジュールＢ１２０に対応する回復Ｋｅｙ１５６を、シャーシ内ストレージ１５４に格納する処理の一例を、図３Ａ～図３Ｃのフローチャートを用いて説明する。

　サーバモジュールＢ１２０上ではＬＵ１８１からブートしたＯＳ１９０が起動しているものとする。ＯＳ１９０は、上述のＢｉｔＬｏｃｋｅｒ（登録商標）機能を有する。この状態でＯＳ１９０がユーザからのＢｉｔＬｏｃｋｅｒ（登録商標）機能の有効化の指示を受け付ける（図３Ａのステップ３００）。なお、サーバモジュールＢ１２０は、図示しないコンソールや端末の入力装置から上記指示を受け付けるものとする。

　次に、ＯＳ１９０は、ＴＰＭ１２６にＳＲＫ（Ｓｔｏｒａｇｅ　Ｒｏｏｔ　Ｋｅｙ）の生成を依頼し（ステップ３０１）、ＴＰＭ１２６が現在のＰＣＲの値を元に、ＳＲＫを生成する（ステップ３０２）。なお、ＰＣＲの値は、ハードウェアの構成情報と、ブートレコードの情報と、ＵＥＦＩ１６１の設定情報からＴＰＭ１２６で演算した値であり、サーバモジュールＢ１２０の固有値である。なお、ハードウェアの構成情報と、ブートレコードの情報と、ＵＥＦＩ１６１の設定情報は、ハードウェアに関連する情報（ハードウェア関連情報）として扱うことができる。

　次にＯＳ１９０は、現在のＰＣＲのスナップショットの作成をＴＰＭ１２６に依頼し（ステップ３０３）、ＴＰＭ１２６が現在のＰＣＲのスナップショットを取得して、ＴＰＭ１２６内に保存する（ステップ３０４）。

　次にＯＳ１９０は、ＳＲＫを元にＶＭＫ（Ｖｏｌｕｍｅ　Ｍａｓｔｅｒ　Ｋｅｙ）の生成（ステップ３０５）と回復Ｋｅｙの生成（ステップ３０６）を行う。

　そして、ＯＳ１９０はユーザに対して回復Ｋｅｙの保存先を選択させるために、例えば画面にダイアログを表示する（ステップ３０７）。この画面は、図示しないコンソールや端末の出力装置に対して、サーバモジュールＢ１２０が所定の画面を出力する。

　ＯＳ１９０がユーザから保存先としてシャーシ内ストレージ１５４を指示された場合（ステップ３０８がシャーシ内ストレージ）は、図３Ｂのステップ３０９へ進む。そして、ＢＭＣモジュール１２９は、ＳＶＰモジュール１５０に対して回復Ｋｅｙ格納位置の要求を行う（ステップ３０９）。

　ＳＶＰモジュール１５０は、回復Ｋｅｙ管理テーブル１５３を参照して、回復Ｋｅｙ生成元計算機ＩＤ２０１と要求元の計算機ＩＤが一致した行を選択する（ステップ３１０及び図２Ａの２行目）。

　次に、ＳＶＰモジュール１５０は選択中の行の、現在の回復Ｋｅｙ接続先２０２に、回復Ｋｅｙの格納を要求した計算機ＩＤを設定する（ステップ３１１及び図２Ｂの現在の回復Ｋｅｙ接続先２０２）。図２Ｂの回復Ｋｅｙ管理テーブル１５３は、回復Ｋｅｙ生成元計算機ＩＤ２０１が「サーバモジュールＢ」に対応する現在の回復Ｋｅｙ接続先２０２が未接続な状態のときを示す図２Ａに対して、サーバモジュールＢに接続した状態に変化したものである。

　すなわち、図２Ｂの回復Ｋｅｙ管理テーブル１５３では、第２行目の現在の回復Ｋｅｙ接続先２０２は、「未接続」から「サーバモジュールＢ」へ更新される。

　そして、ＳＶＰモジュール１５０は各サーバモジュールのＢＭＣモジュール１２９に対してマウントすべき回復Ｋｅｙの格納位置２０４（本実施例においては２４「／ｃｏｎｆ／ｐ２／ＲｅｃｏｖｅｒｙＫｅｙ．ｂｉｎ」）を通知する（ステップ３１２及び図２Ｂの２０４）。

　ＢＭＣモジュール１２９は、ＳＶＰモジュール１５０から通知された回復Ｋｅｙ格納位置にある回復Ｋｅｙのイメージファイルをマウントし（ステップ３１３）、ＵＳＢメモリのエミュレーションを開始する（ステップ３１４）。この時、ＯＳ１９０は、ＢＭＣモジュール１２９にＵＳＢメモリが接続されたように認識する。

　次に、ＯＳ１９０がユーザから回復Ｋｅｙの保存操作（ステップ３１５）を受け付けると、ＯＳ１９０は回復ＫｅｙをＢＭＣモジュール１２９がエミュレーションしているＵＳＢメモリに書き込む（図３Ｃのステップ３１６）。ＢＭＣモジュール１２９は、ＳＶＰモジュール１５０のシャーシ内ストレージ１５４をマウントしてＵＳＢメモリエミュレーションを行っているので、回復Ｋｅｙ１５６はシャーシ内ストレージ１５４上の領域に書き込まれる事になる（ステップ３１７）。

　回復Ｋｅｙの保存が完了すると、ＢＭＣモジュール１２９はＵＳＢメモリエミュレーションを終了（ステップ３１８）、シャーシ内ストレージ１５４の回復Ｋｅｙイメージファイルをアンマウント（ステップ３１９）、ＳＶＰモジュール１５０に対して回復Ｋｅｙ保存完了通知を行う（ステップ３２０）。

　ＳＶＰモジュール１５０はステップ３２０の通知を受けて、回復Ｋｅｙ管理テーブル１５３の現在の回復Ｋｅｙ接続先２０２を未接続に設定し（図２Ｃ参照）、回復Ｋｅｙの保存有無２０３を「保存済」（図２Ｃの２０３）に設定する（ステップ３２１）。

　図２Ｃは、回復Ｋｅｙ生成元計算機ＩＤ２０１がサーバモジュールＢに対応する現在の回復Ｋｅｙ接続先２０２が「サーバモジュールＢ」、回復Ｋｅｙの保存有無２０３が「未保存」な状態のときを示す図２Ｂに対して、現在の回復Ｋｅｙ接続先２０２が「未接続」、回復Ｋｅｙの保存有無２０３が「保存済」の状態に変化したものである。

　そして、ＯＳ１９０がＶＭＫを基にＦＶＥＫ（Ｆｕｌｌ　Ｖｏｌｕｍｅ　Ｅｎｃｒｙｐｔｉｏｎ　Ｋｅｙ）の生成（ステップ３２２）とＯＳボリュームの暗号化を行い（ステップ３２３）暗号化機能が有効な状態となる。なお、ＬＵ１８１は、図６で示すように、ブレードマネージャ及びＶＭＫを格納するシステムボリューム（図中ＳＹＳ　ＶＯＬＵＭＥ）１８１０と、ＦＶＥＫとＯＳ１９０を格納したＯＳボリューム１８１１の２つのボリュームから構成された例を示す。

　なお、図３Ａのステップ３０８で、ＵＳＢメモリを選択した場合の処理は、従来のＢｉｔＬｏｃｋｅｒシステムの例である。従来のＢｉｔＬｏｃｋｅｒシステムでは、ユーザがサーバモジュールＢにＵＳＢメモリを取り付けて（ステップ３５０）、ＯＳ１９０がユーザから回復Ｋｅｙの保存操作（ステップ３５１）を受け付けると、ＯＳ１９０は回復Ｋｅｙをステップ３５０で取り付けたＵＳＢメモリに書き込む（ステップ３５２）。上記の処理によって、回復ＫｅｙをＵＳＢメモリに記憶する。

　次に本実施例におけるコールドスタンバイによる待機系（サーバモジュールＮ１４０）への切り替えを、図２Ｃ～図２Ｅ、図４、図５Ａ～図５Ｃを参照しながら以下に説明する。

　現用系のサーバモジュールＢ１２０でサーバモジュール切り替えの必要な障害が発生した場合、ＳＶＰモジュール１５０が障害を検出し（図５Ａのステップ５０１）、現用系サーバモジュールＢ１２０の強制電源ＯＦＦと電源投入抑止（ステップ５０２）をサーバモジュールＢ１２０に通知してから、予備系サーバモジュールＮ１４０の電源投入抑止を行う（ステップ５０３）。ただし、予備系のサーバモジュールＮ１４０のＢＭＣモジュール１２９は、常時電力が供給され、ＣＰＵ１２４やメモリ１２７への電源を制御することができる。

　次に、サーバモジュールＢ１２０からサーバモジュールＮ１４０へコールドスタンバイの切り替え処理を実施する（Ｍ＋Ｎ切替え処理）。この処理の中でＳＶＰモジュール１５０はサーバモジュールとＬＵ１８１の接続経路を、図４に示す経路４００から経路４０１に変更する指令をファイバチャネルスイッチ１７０に送信する。これにより、サーバモジュールＮ１４０がＬＵ１８１からＯＳ１９０を読み込んで起動するように設定が変更される（ステップ５０４）。このとき、回復Ｋｅｙ管理テーブル１５３は、図２Ｃの状態である。なお、図４は、系切替えを行うサーバモジュールＢ１２０とサーバモジュールＮ１４０のブロック図で、図１にサーバモジュールＮ１４０を加えたものである。その他の構成は、前記実施例１と同様であるので、重複した説明は省略する。

　次に、予備系サーバモジュールＮ１４０のＢＭＣモジュール１２９は、ＳＶＰモジュール１５０に対して回復Ｋｅｙ格納位置の要求を行う（ステップ５０５）。

　ＳＶＰモジュール１５０は、ステップ５０５の要求をコールドスタンバイ切り替えの予備系のサーバモジュールＮ１４０から受信した場合（ステップ５０６がＹＥＳ）、回復Ｋｅｙ管理テーブル１５３から「回復Ｋｅｙ生成元計算機ＩＤ２０１」が現用系の計算機ＩＤ２０１と一致する行を選択する（ステップ５０７、図２Ｃ）。

　本実施例の場合、選択される行は要求元（系の引き継ぎ先）のサーバモジュールＮ１４０に対応する計算機ＩＤ２０１ではなく、切替え元のサーバモジュールＢ１２０に対応する計算機ＩＤ２０１の行である。図２Ｃは、説明のために行＃２が選択されたことを示すものである。

　ＳＶＰモジュール１５０は、回復Ｋｅｙ管理テーブル１５３より、選択中の行の回復Ｋｅｙの保存有無２０３が「保存済」であることを判定する。本実施例では回復Ｋｅｙが保存されているので（ステップ５０９が有り）、選択中の行の現在の回復Ｋｅｙ接続先２０２に、要求元のサーバモジュールＮ１４０を示すＩＤを設定する（ステップ５１０、図２Ｄ）。

　図２Ｄは、回復Ｋｅｙ生成元計算機ＩＤ２０１がサーバモジュールＢ１２０に対応し、現在の回復Ｋｅｙ接続先２０２が未接続な状態のときを示す図２Ｃに対して、サーバモジュールＮ１４０に接続した状態に変化したものである。

　そして、ＳＶＰモジュール１５０は、切り替え先のサーバモジュールＮ１４０のＢＭＣモジュール１２９に対して、マウントすべき回復Ｋｅｙの格納位置２０４の値（図２Ｄ、本実施例においては「／ｃｏｎｆ／ｐ２／ＲｅｃｏｖｅｒｙＫｅｙ．ｂｉｎ」）を通知する（ステップ５１０）。

　一方、ステップ５０９の判定で、選択中の行の現在の回復Ｋｅｙの保存有無２０３が「未保存」あるいは回復Ｋｅｙ格納位置２０４に値がない場合には、ステップ５１１へ進んで、回復Ｋｅｙ格納位置がないこと、または回復Ｋｅｙが格納されていないことをＢＭＣモジュール１２９に通知する。

　引き継ぎ先のサーバモジュールＮ１４０のＢＭＣモジュール１２９は、ＳＶＰモジュール１５０から回復Ｋｅｙの格納位置２０４が通知された場合（ステップ５１２がＹＥＳ）、ステップ５１１で通知された位置に格納されている回復Ｋｅｙ１５６のイメージファイルをマウントし（ステップ５１３）、ＵＳＢメモリ４０１（図４参照）のエミュレーションを開始する（５１４）。この処理により、サーバモジュールＮ１４０は、ＢＭＣモジュール１２９側で回復Ｋｅｙ１５６を格納したＵＳＢメモリ４０１が追加されたことを認識することができる。

　次に、ＢＭＣモジュール１２９は、ＳＶＰモジュール１５０に対して系切り替え準備完了を通知する（ステップ５１５）。ＳＶＰモジュール１５０は、ステップ５１５の通知を受けて予備系のサーバモジュールＮ１４０の電源投入抑止の解除と電源ＯＮの指示を行い（ステップ５１６）、予備系のサーバモジュールＮ１４０の電源がＯＮとなる（ステップ５１７）。

　ＵＥＦＩ１６１はブートを開始すると（ステップ５１８）、ハードウェア構成情報とＵＥＦＩ１６１の設定とブートレコードの値を取得し（ステップ５１９）、ＴＰＭ１２６のＰＣＲの値を更新する（ステップ５２０）。

　ここで、本実施例では現用系のサーバモジュールＢ１２０と待機系サーバモジュールＮ１４０の切り替えを行っているため、ＳＶＰモジュール１５０がファイバチャネルスイッチ１７０のパスを変更して、サーバモジュールＮ１４０のブートデバイスの変更（ハードウェア構成情報の変更）が行われた状態である。そのため、サーバモジュールＮ１４０のＴＰＭ１２６に保持しているＰＣＲスナップショットと、今回演算したＰＣＲの比較結果は不一致となり、ＳＲＫのロックは解除されない（ステップ５２１がＮＯ）。

　この状態でＯＳ１９０は図６に示すブートマネージャにより、ブートを開始するが、ＴＰＭ１２６のＳＲＫの取得に失敗するため（ステップ５２４がＮＯ）、有効な回復Ｋｅｙを格納したＵＳＢメモリ４０１が接続されているか否かを判定する（ステップ５２５）。

　本実施例では、ステップ５１４のＵＳＢメモリエミュレーションによって、ＯＳ１９０からは現用系のサーバモジュールＢ１２０で生成した回復Ｋｅｙ１５６が保存されたＵＳＢメモリ４０１が接続されたように認識されている。これにより、ステップ５２５はＹＥＳとなり、ＯＳ１９０は回復Ｋｅｙ１５６を使ってＶＭＫの復号と取得（ステップ５２６）を行い、ＶＭＫを使ってＦＶＥＫの復号と取得（ステップ５２７）を行い、ＦＶＥＫによりＯＳ１９０を復号してブートする（ステップ５２８Ａ、５２８Ｂ）。

　ＯＳ１９０のブートが完了すると、ＢＭＣモジュール１２９はＵＳＢメモリエミュレーションを終了し（ステップ５２９）、シャーシ内ストレージ１５４の回復Ｋｅｙ１５６のイメージファイルをアンマウントし（ステップ５３０）、ＳＶＰモジュール１５０に対して回復Ｋｅｙ１５６のイメージファイルのアンマウント通知を行う（ステップ５３１）。

　ＳＶＰモジュール１５０は、ステップ５３１の通知を受けて、回復Ｋｅｙ管理テーブル１５３の現在の回復Ｋｅｙ接続先２０２を「未接続」に設定する（ステップ５３２、　図２Ｅ）。

　図２Ｅは、回復Ｋｅｙ生成元計算機ＩＤ２０１がサーバモジュールＢに対応する現在の回復Ｋｅｙ接続先２０２が「サーバモジュールＮ」に設定された状態を示す図２Ｄに対して、「未接続」の状態に変化したものである。

　参考までに従来のＢｉｔＬｏｃｋｅｒを用いた計算機システムは、ステップ５２５がＮＯとなる。そのため、ユーザはＯＳ１９０の画面による指示に従い、回復Ｋｅｙの保存されたＵＳＢメモリ４０１を手動でサーバモジュールに接続して再起動を行う必要がある（ステップ５５０）。

　なお、ステップ５１２の判定がＮＯとなった場合は、ＵＳＢメモリ４０１のエミュレーションを行わないので、ステップ５２５の判定でＮＯとなり、ステップ５５０に進んで、上述のようにＵＳＢメモリ４０１を手動でサーバモジュールに接続して再起動を行うことになる。

　上記した処理により、復号時にハードウェアコンポーネントの整合性を判定するドライブ暗号化機能を適用している環境で、コールドスタンバイによる待機系への切り替えによってプラットフォームが意図的にハードウェア構成などを変更した場合であっても、シャーシ内ストレージ１５４に格納した現用系の回復Ｋｅｙ１５６のイメージファイルを使ってＢＭＣモジュール１２９がＵＳＢメモリエミュレーションを行う。このエミュレーションによって、引き継ぎ先のサーバモジュールでは現用系サーバモジュールで生成した回復Ｋｅｙ１５６を格納したＵＳＢメモリ４０１が接続されたように認識できるため、ユーザ操作の介在なしにＯＳ１９０を復号して起動することが出来る。

　図６は、ＢｉｔＬｏｃｋｅｒ（登録商標）を用いたサーバモジュールＢ１２０における暗号化されたＯＳ１９０の起動の手順を示すブロック図である。サーバモジュールＢ１２０の電源をＯＮにすると、まず、ＵＥＦＩ１６１が起動する。ＵＥＦＩ１６１は初期ブートプログラムが起動して、ハードウェア構成情報とＵＥＦＩ１６１の設定と、ブートレコードの値を取得する（Ｓ２）。次に、ＵＥＦＩ１６１は、ハードウェア関連情報とＵＥＦＩ１６１の設定と、ブートレコードの値をもとに、ＴＰＭ１２６のＰＣＲの値を更新する（Ｓ３）。次に、ＴＰＭ１２６では、予め格納したＰＣＲのスナップショットと、現在のＰＣＲが一致するか否かにより、ハードウェアの整合性を判定する。つまり、ＰＣＲのスナップショットを取得した時点と同一のハードウェア構成であるか否かを判定する。より詳しくは、ハードウェアの構成やＵＥＦＩやＢＩＯＳの設定またはブートレコードの情報（ストレージの情報）などのハードウェアに関連する情報が、ＰＣＲのスナップショットを取得した時点と同一であるか否かを判定する。

　ＰＣＲのスナップショットと、現在のＰＣＲが一致する場合、ＴＰＭ１２６は、ハードウェアに関連する情報が一致すると判定してＳＲＫのロックを解除する（Ｓ３）。ここで、ＴＰＭ１２６は、ハードウェアに関連する情報が一致しない場合には、ハードウェアの整合性がとれないと判定してＳＲＫをロックする。

　次に、ＵＥＦＩ１６１は、ブートディスクであるＬＵ１８１のシステムボリューム１８１０のブートマネージャを起動する（Ｓ４）。

　ブートマネージャは、ロックを解除されたＳＲＫを用いて、システムボリューム１８１０のＶＭＫ（Ｖｏｌｕｍｅ　Ｍａｓｔｅｒ　Ｋｅｙ）を復号する（Ｓ６）。次に、ブートマネージャは、復号したＶＭＫを用いてＯＳボリューム１８１１のＦＶＥＫ（Ｆｕｌｌ　Ｖｏｌｕｍｅ　Ｅｎｃｒｙｐｔｉｏｎ　Ｋｅｙ）のロックを解除する。そして、ブートマネージャは、ＦＶＥＫを用いて暗号化されたＯＳボリューム１８１１のＯＳ１９０を復号して起動する。

　上記の手順で、ＴＰＭ１２６で演算したＰＣＲと、ＰＣＲのスナップショットが一致しない場合には、ＳＲＫがロックされるので、ＶＭＫを復号できず、ＵＳＢメモリ４０１に格納した回復Ｋｅｙが要求される。

　また、フェイルオーバなどでサーバモジュールを変更した場合には、ハードウェア構成情報には変化がないが、引き継ぎ先のサーバモジュールＮ１４０では、ブートデバイスがＬＵ１８１に変更されるため、ブートレコード情報が変更されるため、サーバモジュールＮ１４０のＴＰＭ１２６に保持されていたＰＣＲのスナップショットと、起動時に演算したＰＣＲの値は一致しない。このため、ＳＲＫのロックは解除されず、ＶＭＫを復号できないので、ＵＳＢメモリ４０１に格納した回復Ｋｅｙが要求される。

　ここで、本発明では、ＵＳＢメモリ４０１に格納した回復Ｋｅｙが要求されたときには、ＳＶＰモジュール１５０に保持した回復Ｋｅｙから、現在起動中のサーバモジュールＢ１２０のＰＣＲスナップショットに対応する回復Ｋｅｙを選択する。そして、選択した回復ＫｅｙのファイルをＢＭＣモジュール１２９にマウントしてから、ＢＭＣモジュール１２９のＵＳＢメモリエミュレーションモジュール１２９１で、ＵＳＢメモリのエミュレーションを実行する。

　これにより、回復Ｋｅｙを格納したＵＳＢメモリ４０１を用いることなく、ＶＭＫを復号することが可能となり（Ｓ６）、上述のように自動的に暗号化されたＯＳ１９０を起動することができるのである。

　なお、上記では回復ＫｅｙをＵＳＢメモリ４０１に格納する例を示したが、回復Ｋｅｙを格納する記憶媒体はこれに限定されるものではなく、半導体や光ディスクあるいは磁気ディスク等の不揮発性記憶媒体を用いることができる。

　また、縮退機能を備えたＰＣＩ　ｅｘｐｒｅｓｓの規格に準拠するＩ／Ｏデバイスとしてファイバチャネルアダプタ１２１、１２２を例示したが、ネットワークインターフェースやＣＮＡ（Ｃｏｎｖｅｒｇｅｄ　Ｎｅｔｗｏｒｋ　Ａｄａｐｔｅｒ）を採用してもよい。

　また、上記では、障害が発生したときに、サーバモジュールＢ１２０の処理をサーバモジュールＮ１４０で引き継ぐ例を示したが、メインテナンスのためにサーバモジュールＢ１２０の処理をサーバモジュールＮ１４０で引き継いでもよい。この場合、図５Ａのステップ５０１に代わって、ＳＶＰモジュール１５０は現用系から待機系の切替え指示を図示しないコンソールなどから受信する。そして、図５Ａのステップ５０２以降の処理を実施する。

　本実施例２では、復号時にハードウェアコンポーネントの整合性を判定するドライブ暗号化機能が適用されている環境で、ＰＣＩｅｘｐｒｅｓｓ（以下、ＰＣＩｅ）に準拠したＩ／Ｏデバイスの縮退機能によってプラットフォームが意図的にハードウェア構成を変更した場合に、ユーザ操作の介在なしに起動できる計算機システムの例について以下に説明する。

　図７は、障害が発生したＩ／Ｏデバイスを縮退する例を示す計算機システムのブロック図である。図７の計算機システムは、前記実施例１の図１に示した計算機システムと同様の構成であり、Ｉ／Ｏデバイスとしてのファイバチャネルアダプタ１２１に障害が発生し、ファイバチャネルアダプタ１２２が処理を引き継いだ状態が前記実施例１と異なる点である。システム構成と回復Ｋｅｙ保存時の処理は実施例１と同一であるため、重複する説明は省略する。

　図８Ａは、障害が発生したＩ／Ｏデバイスを縮退する処理の一例を示すフローチャートで、前半部を示す。図８Ｂ、図８Ｃは、同じく障害が発生したＩ／Ｏデバイスを縮退する処理の一例を示すフローチャートで、中盤部、後半部をそれぞれ示す。

　サーバモジュールＢ１２０でＰＣＩｅデバイスとしてのファイバチャネルアダプタ１２１に障害が発生した場合、ＢＭＣモジュール１２９が障害検出し（ステップ７０１）、強制電源ＯＦＦ（ステップ７０２）とＰＣＩｅの縮退を行う（ステップ７０３）。このとき、回復Ｋｅｙ管理テーブル１５３は図２Ｅの状態である。

　次に、ＢＭＣモジュール１２９はＳＶＰモジュール１５０に対して回復Ｋｅｙ格納位置の要求を行う（ステップ７０４）。

　ＳＶＰモジュール１５０は、前記要求をコールドスタンバイ切り替えの予備系サーバモジュール以外から受けた場合（ステップ７０５がＮＯ）、回復Ｋｅｙ管理テーブル１５３から回復Ｋｅｙ生成元計算機ＩＤ２０１が、要求を行ったサーバモジュールのＩＤと一致する行を選択する（ステップ７０７、図２Ｅ）。本実施例の場合、このとき選択される行は、要求の送信元のサーバモジュールＢ１２０に対応する図２Ｆの＃＝２の行である。なお、系切替え中の場合には、前記実施例１と同様にステップ７０６で、回復Ｋｅｙ管理テーブル１５３から回復Ｋｅｙ生成元計算機ＩＤ２０１が、現用系の計算機ＩＤと一致する行を選択する。

　図２Ｅは、説明のために行＝＃２が選択されたことを示すもので、図２Ｃと同じ状態の図である。

　ＳＶＰモジュール１５０は、回復Ｋｅｙ管理テーブル１５３より、選択中の行の回復Ｋｅｙの保存有無２０３が「保存済」であることを判定する。本実施例では回復Ｋｅｙ１５６が保存されているので（ステップ７０８がＹＥＳ）、選択中の行の現在の回復Ｋｅｙ接続先２０２に要求元のサーバモジュールのＩＤ＝Ｂを設定する（ステップ７０９、図２Ｆ）。

　図２Ｆは、回復Ｋｅｙ生成元計算機ＩＤ２０１が、サーバモジュールＢに対応する現在の回復Ｋｅｙ接続先が未接続な状態のときを示す図２Ｅに対して、サーバモジュールＢに接続した状態に変化したものである。

　そして、ＳＶＰモジュール１５０はＢＭＣモジュール１２９に対してマウントすべき回復Ｋｅｙの格納位置２０４の値（図２Ｆ、本実施例においては「／ｃｏｎｆ／ｐ２／ＲｅｃｏｖｅｒｙＫｅｙ．ｂｉｎ」）を通知する（ステップ７０９）。

　一方、ステップ７０８の判定で、選択中の行の現在の回復Ｋｅｙの保存有無２０３が「未保存」あるいは回復Ｋｅｙ格納位置２０４に値がない場合には、ステップ７１０へ進んで、回復Ｋｅｙ格納位置がないこと、または回復Ｋｅｙが未保存であることをＢＭＣモジュール１２９に通知する。

　図８Ｂにおいて、ＢＭＣモジュール１２９はＳＶＰモジュール１５０から回復Ｋｅｙの格納位置２０４が通知された場合（ステップ７１１がＹＥＳ）、ステップ７１０で通知された回復Ｋｅｙ格納位置２０４に保持された回復Ｋｅｙ１５６のイメージファイルをマウントし（ステップ７１２）、ＵＳＢメモリのエミュレーションを開始した後（ステップ７１３）、サーバモジュールＢ１２０の電源ＯＮの指示を行い（ステップ７１５）、サーバモジュールＢの電源がＯＮとなる。

　ＵＥＦＩ１６１はブートを開始すると（ステップ７１７）、ハードウェア構成情報とＵＥＦＩ設定とブートレコードの値を取得し（ステップ７１８）、これらの値を参照してＴＰＭ１２６のＰＣＲの値を更新する（ステップ７１９）。

　しかし、本実施例２ではステップ７０３でＰＣＩｅデバイスの縮退を行っているため、ハードウェア変更が行われた状態である。そのため、ＴＰＭ１２６上のＰＣＲと、過去に取得したスナップショットの比較結果は不一致となり、ＳＲＫのロックは解除されない（ステップ７２０がＮＯ）。

　この状態でＯＳ１９０はブートを開始するが（図８Ｃのステップ７２３）、ＴＰＭ１２６ではＳＲＫの取得に失敗するため（ステップ７２３がＮＯ）、ＵＳＢメモリ４０１に有効な回復Ｋｅｙが接続されているか否かを判定する（ステップ７２４）。

　本実施例２では、ステップ７１３のＵＳＢメモリエミュレーションによって、ＯＳ１９０からは現用系サーバモジュールで生成した回復Ｋｅｙの保存されたＵＳＢメモリ４０１が接続されたように認識されているため、ステップ７２４の判定結果はＹＥＳとなり、ＯＳ１９０は回復Ｋｅｙ１５６を使ってＶＭＫの復号と取得（ステップ７２５）を行う。そして、ＯＳ１９０は取得したＶＭＫを使って復号とＦＶＥＫの取得（ステップ７２６）を行い、ＯＳ１９０を復号してブートする（ステップ７２７Ａ、７２７Ｂ）。

　ＯＳ１９０のブートが完了すると、ＢＭＣモジュール１２９はＵＳＢメモリエミュレーションを終了し（ステップ７２８）、シャーシ内ストレージ１５４の回復Ｋｅｙ１５６のイメージファイルをアンマウントし（ステップ７２９）、ＳＶＰモジュール１５０に対して回復Ｋｅｙ１５６のイメージファイルのアンマウント通知を行う（ステップ７３０）。

　ＳＶＰモジュール１５０はステップ７３０の通知を受けて、回復Ｋｅｙ管理テーブル１５３の現在の回復Ｋｅｙ接続先２０２を「未接続」に変更する（ステップ７３１）。

　図２Ｅは、回復Ｋｅｙ生成元計算機ＩＤ２０１がサーバモジュールＢに対応する現在の回復Ｋｅｙ接続先２０２がサーバモジュールＢの状態のときを示す図２Ｆに対して、未接続の状態に変化したものである。

　参考までに従来のシステムは、ステップ７２４がＮＯとなる。そのため、ユーザはＯＳ１９０の画面による指示に従い、回復Ｋｅｙの保存されたＵＳＢメモリを手動でサーバモジュールに接続して再起動を行う必要がある（ステップ７５０）。

　上記した実施例により、復号時にハードウェアコンポーネントの整合性を判定するドライブ暗号化機能を適用している環境で、ＰＣＩｅ縮退によってプラットフォームが意図的にハードウェア構成を変更した場合であっても、シャーシ内ストレージに格納したＰＣＩｅ縮退を行う前に保存した回復Ｋｅｙのイメージファイルを使ってＢＭＣモジュール１２９がＵＳＢメモリエミュレーションを行うことで、ＯＳ１９０からはＰＣＩｅ縮退を行う前に保存した回復Ｋｅｙの保存されたＵＳＢメモリが接続されたように認識されているため、ユーザ操作の介在なしにＯＳ１９０の起動が出来る計算機システムを提供する。

　なお、本発明は上記した各実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記録装置、または、ＩＣカード、ＳＤカード、ＤＶＤ等の不揮発性の非一時的な記憶媒体に格納することができる。

　また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。

　以上では、ハードウェアコンポーネントの整合性が保たれていない場合には、ＯＳ１９０の復号を阻止する機能として、ＢｉｔＬｏｃｋｅｒ（登録商標）を採用する例を示したが、これに限定されるものではない。

　例えば、ハードウェアコンポーネントの整合性が保たれていない場合には、暗号化されたＯＳ１９０のボリュームまたはＯＳイメージを復号する鍵を無効化したり、あるいは、ＯＳ１９０を読み込むための鍵をロックするなどのセキュリティを備えた計算機システムであればよい。

　特に、ハードウェアの固有値から生成した鍵でＯＳ１９０の暗号化またはロックを行い、鍵を生成したときのハードウェアの固有値の複製を保持し、また、ハードウェアの整合性が保たれていない場合に前記鍵を有効化するための回復Ｋｅｙを生成して保持しておく。そして、計算機の起動時にハードウェアの固有値を演算し、この固有値が、鍵を生成したときのハードウェアの固有値の複製と一致すればハードウェアの整合性が確保されたと判定し、前記鍵でＯＳ１９０の復号化またはロックの解除を行う。一方、起動時に演算したハードウェアの固有値が、鍵を生成したときのハードウェアの固有値の複製と一致しない場合には、保持しておいた回復Ｋｅｙを用いることで、ＯＳ１９０の復号またはロックの解除を行う。このとき、回復Ｋｅｙをサーバモジュール（計算機）の外部のＳＶＰモジュール１５０に格納しておき、回復Ｋｅｙを用いるときにはサーバモジュールを管理するＢＭＣモジュール１２９がデバイスのエミュレーションを実施することで、起動するＯＳ１９０に回復Ｋｅｙを提供すればよい。

　そして、ＳＶＰモジュール１５０で複数のサーバモジュールの回復Ｋｅｙを管理する際には、回復Ｋｅｙを生成したサーバモジュールの識別子に対応付けて回復Ｋｅｙを管理する回復Ｋｅｙ管理テーブル１５３を用いる。そして、各回復Ｋｅｙを使用する際には、各サーバモジュール毎に設けられたＢＭＣモジュール１２９で回復Ｋｅｙをマウントし、所定のデバイスのエミュレーションを実施することで、起動中のＯＳ１９０に回復Ｋｅｙを提供することができるのである。

　さらに、回復Ｋｅｙ管理テーブル１５３は、ひとつの回復Ｋｅｙを排他制御することで、使用中の回復Ｋｅｙを他のサーバモジュールの起動に使用することを禁止して、同一のＯＳ１９０が複数のサーバモジュールで起動するのを防ぐことができる。

　また、上記実施例では、ＢＭＣモジュール１２９でデバイスのエミュレーションを行う例を示したが、サーバモジュール毎にデバイスのエミュレーションを行う管理モジュールであれば良い。

　また、上記実施例では、複数のサーバモジュールに接続されたＳＶＰモジュール１５０に複数の回復Ｋｅｙを格納する例を示したが、これに限定されるものではなく、回復Ｋｅｙ管理テーブル１５３と複数の回復Ｋｅｙを記憶部に格納し、要求された回復Ｋｅｙを選択してＢＭＣモジュール１２９へ通知可能な計管理算機であればよい。

Claims (10)

1. 　プロセッサとメモリとＯＳを格納する記憶部とを備えた計算機と、
   　１以上の前記計算機を管理する管理計算機と、を備えた計算機システムであって、
   　前記計算機は、前記記憶部を暗号化するために前記ＯＳが生成した鍵と、前記鍵を生成したときのハードウェアに関連する情報から演算した固有値と、を固有値保持部に保持し、
   　前記計算機は、前記ＯＳの起動時に演算するハードウェアに関連する情報に基づく固有値が、前記保持された固有値と一致しない場合に、前記鍵に代わって前記記憶部を復号するための回復鍵を生成し、当該鍵を前記管理計算機に通知し、前記鍵を用いて前記ＯＳを格納する記憶部を暗号化し、
   　前記管理計算機が、前記回復鍵を受け付けて、前記回復鍵を生成した計算機の識別子と対応付けて前記回復鍵を保持し、
   　前記管理計算機が、前記計算機を停止させた後、前記停止させた計算機を引き継ぐ第２の計算機を選択し、前記停止させた計算機で生成した回復鍵を、前記選択した第２の計算機に通知してから前記第２の計算機を起動し、
   　前記第２の計算機が、ハードウェアに関連する情報から固有値を演算し、前記固有値保持部に予め保持された固有値に一致するか否かを判定し、前記演算した固有値と、予め保持された前記固有値が一致しないときには、前記管理計算機から通知された回復鍵を用いて、前記記憶部のＯＳを復号して、当該ＯＳを起動することを特徴とする計算機システム。
2. 　請求項１に記載の計算機システムであって、
   　前記第２の計算機は、
   　当該第２の計算機の電源を制御する管理モジュールを有し、
   　前記管理モジュールは、
   　前記管理計算機が通知した回復鍵を受け付けて、当該回復鍵を格納したデバイスとして前記第２の計算機に認識させるエミュレーション部を有することを特徴とする計算機システム。
3. 　請求項１に記載の計算機システムであって、
   　前記管理計算機は、
   　前記計算機に障害が発生したことを検知したときには前記計算機を停止させた後、前記停止させた計算機を引き継ぐ第２の計算機を選択し、前記停止させた計算機で生成した回復鍵を、前記選択した第２の計算機に通知してから前記第２の計算機を起動することを特徴とする計算機システム。
4. 　請求項２に記載の計算機システムであって、
   　前記管理モジュールは、
   　前記計算機のデバイスが縮退したことを検知したときには前記計算機を停止させ、前記管理計算機に前記回復鍵を要求し、
   　前記管理計算機は、
   　前記停止させた計算機を引き継ぐ第２の計算機として、前記デバイスを縮退した当該計算機を選択することを特徴とする計算機システム。
5. 　請求項２に記載の計算機システムであって、
   　前記エミュレーション部は、ＵＳＢメモリのエミュレーションを実行し、
   　前記第２の計算機は、前記ＵＳＢメモリに格納された回復鍵を認識し、当該回復鍵を取得することを特徴とする計算機システム。
6. 　プロセッサとメモリとＯＳを格納する記憶部とを備えた計算機で、前記記憶部を暗号化する暗号化方法であって、
   　前記計算機が、前記ＯＳで前記記憶部を暗号化するための鍵を生成する第１のステップと、
   　前記計算機が、前記鍵を生成したときのハードウェアに関連する情報から固有値を演算し、当該固有値を保持する第２のステップと、
   　前記計算機が、前記ＯＳの起動時に演算するハードウェアに関連する情報に基づく固有値が、前記保持された固有値と一致しない場合に、前記鍵に代わって前記記憶部を復号するための回復鍵を生成する第３のステップと、
   　前記計算機に接続された管理計算機が、前記回復鍵を受け付けて、前記回復鍵を生成した計算機の識別子と対応付けて前記回復鍵を保持する第４のステップと、
   　前記計算機が、前記鍵を用いて前記ＯＳを格納する記憶部を暗号化する第５のステップと、
   　前記計算機を停止させる第６のステップと、
   　前記管理計算機が、前記停止させた計算機を引き継ぐ第２の計算機を選択する第７のステップと、
   　前記管理計算機が、前記停止させた計算機で生成した回復鍵を、前記第２の計算機に通知する第８のステップと、
   　前記管理計算機が、前記第２の計算機を起動させる第９のステップと、
   　前記第２の計算機が、ハードウェアに関連する情報から固有値を演算し、予め保持された固有値に一致するか否かを判定する第１０のステップと、
   　前記第２の計算機が、前記演算した固有値と、予め保持された前記固有値が一致しないと判定したときには、前記管理計算機から通知された回復鍵を用いて、前記記憶部のＯＳを復号して、当該ＯＳを起動する第１１のステップと、
   を含むことを特徴とする記憶部の暗号化方法。
7. 　請求項６に記載の記憶部の暗号化方法であって、
   　前記第２の計算機は、
   　当該第２の計算機の電源を制御する管理モジュールを有し、
   　前記第１１のステップは、
   　前記管理モジュールが、管理計算機から通知された前記回復鍵を受け付けて、当該回復鍵を格納したデバイスとして前記第２の計算機に認識させるエミュレーションを実行することを特徴とする記憶部の暗号化方法。
8. 　請求項６に記載の記憶部の暗号化方法であって、
   　前記第７のステップは、
   　前記管理計算機が、前記計算機で障害の発生を検知したときには前記計算機を停止させた後、前記停止させた計算機を引き継ぐ第２の計算機を選択することを特徴とする記憶部の暗号化方法。
9. 　請求項７に記載の記憶部の暗号化方法であって、
   　前記第７のステップは、
   　前記管理モジュールが、前記計算機のデバイスが縮退したことを検知したときには前記計算機を停止させ、前記管理計算機に前記回復鍵を要求し、
   　前記管理計算機は、
   　前記停止させた計算機を引き継ぐ第２の計算機として、前記デバイスを縮退した当該計算機を選択することを特徴とする記憶部の暗号化方法。
10. 　請求項７に記載の記憶部の暗号化方法であって、
    　前記第１１のステップは、
    　ＵＳＢメモリのエミュレーションを実行し、前記第２の計算機は、前記ＵＳＢメモリに格納された回復鍵を認識し、当該回復鍵を取得することを特徴とする記憶部の暗号化方法。

Images