ストレージ装置及びその制御方法
ホストからのデータを複数の分割データに分割し、パリティと共に複数の記憶媒体に分散して、かつ暗号化して格納するストレージ装置において、複数の記憶媒体のうち、暗号鍵の交換対象の記憶媒体以外の各記憶媒体にそれぞれ格納された分割データ又はパリティの復号化データに基づいて、暗号鍵の交換対象の記憶媒体に格納されている分割データ又はパリティを復元し、復元した分割データ又はパリティを新たな暗号鍵で暗号化しながら予備の記憶媒体に格納した後、予備の記憶媒体と暗号鍵の交換対象の記憶媒体とを入れ替える処理を、パリティグループを構成する各記憶媒体をそれぞれ順番に暗号鍵の交換対象の記憶媒体としながら実行するようにした。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ストレージ装置及びその制御方法に関し、例えばデータを暗号化して記憶媒体に保存するストレージ装置に適用して好適なものである。
【背景技術】
【0002】
従来、この種のストレージ装置においては、ホストから書込み要求と共に与えられたデータを暗号化して記憶媒体に格納し、当該データの読出し要求がホストから与えられたときには、暗号化されたデータを復号化しながら記憶媒体から読み出してホストに送信する。
この際、この種のストレージ装置では、かかるデータの暗号化処理及び復号化処理をシステム管理者により予め設定された暗号鍵を用いて行うため、記憶媒体に格納されたデータのセキュリティを高めるために、定期的に暗号鍵を交換することが望まれる。
【0003】
このような暗号化鍵の交換方式として、従来、暗号鍵を交換しようとするデータをシーケンシャルに復号化しながら記憶媒体から読み出し、得られた復号化されたデータを新たな暗号鍵を用いて暗号化しながら記憶媒体の同じ位置に上書きする方式(以下、これを上書き方式と呼ぶ)が提案されている(米国特許第7162647号明細書)。
また他の暗号化鍵の交換方式として、記憶媒体に保存されたデータをシーケンシャルに復号化しながら記憶媒体から読み出し、得られた復号化データを新たな暗号鍵を用いて暗号化しながら他の記憶媒体に書き込む方式(以下、これをマイグレーション方式と呼ぶ)も広く用いられている。
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、上述の上書き方式では、記憶媒体が提供する記憶領域のうちの鍵交換処理が完了した部分と、鍵交換処理が行われていない部分とを区別するため、ポインタを用いて鍵交換処理の進捗状況を管理する。このためこの上書き方式によると、メモリの故障などによりこのポインタが消滅した場合にどの記憶領域に格納されたデータに対してどの暗号鍵を適用すべきであるかが不明となって、データを正しく復号化することができなくなり、結果としてデータ消失と同等の状況に陥る問題があった。
【0005】
一方、上述のマイグレーション方式では、かかる暗号鍵の交換処理がパリティグループ単位で行われる。このためかかるマイグレーション方式によると、そのとき暗号化鍵を交換しようとするパリティグループを構成する記憶媒体と同じ数の記憶媒体を余計に必要となる問題があった。
【0006】
本発明は以上の点を考慮してなされたもので、信頼性高くかつ安価に暗号化鍵交換処理を行い得るストレージ装置及びその制御方法を提案しようとするものである。
【課題を解決するための手段】
【0007】
かかる課題を解決するため本発明においては、ホストからのデータを複数の分割データに分割すると共に当該複数の分割データに基づいてパリティを生成し、生成した前記パリティ及び前記複数の分割データを、同じパリティグループを構成する複数の記憶媒体に分散して、かつ暗号化して格納するストレージ装置において、前記複数の記憶媒体のうち、暗号鍵の交換対象の記憶媒体以外の各記憶媒体にそれぞれ格納された前記分割データ又は前記パリティの復号化データに基づいて、前記暗号鍵の交換対象の記憶媒体に格納されている前記分割データ又は前記パリティを復元する復元部と、復元された前記分割データ又は前記パリティを新たな暗号鍵で暗号化しながら予備の記憶媒体に格納する格納部と、前記予備の記憶媒体を前記パリティグループを構成する記憶媒体とし、前記暗号鍵の交換対象の記憶媒体を予備の記憶媒体とするように、前記予備の記憶媒体と前記暗号鍵の交換対象の記憶媒体とを入れ替える記憶媒体入替え部とを備え、前記パリティグループを構成する各記憶媒体をそれぞれ順番に前記暗号鍵の交換対象の記憶媒体とすることにより、当該パリティグループを構成する各記憶媒体にそれぞれ格納されているデータの暗号鍵を前記新たな暗号鍵に更新するようにした。
【0008】
また本発明においては、ホストからのデータを複数の分割データに分割すると共に当該複数の分割データに基づいてパリティを生成し、生成した前記パリティ及び前記複数の分割データを、同じパリティグループを構成する複数の記憶媒体に分散して、かつ暗号化して格納するストレージ装置の制御方法において、前記複数の記憶媒体のうち、暗号鍵の交換対象の記憶媒体以外の各記憶媒体にそれぞれ格納された前記分割データ又は前記パリティの復号化データに基づいて、前記暗号鍵の交換対象の記憶媒体に格納されている前記分割データ又は前記パリティを復元する第1のステップと、復元された前記分割データ又は前記パリティを新たな暗号鍵で暗号化しながら予備の記憶媒体に格納する第2のステップと、前記予備の記憶媒体を前記パリティグループを構成する記憶媒体とし、前記暗号鍵の交換対象の記憶媒体を予備の記憶媒体とするように、前記予備の記憶媒体と前記暗号鍵の交換対象の記憶媒体とを入れ替える第3のステップとを備え、前記パリティグループを構成する各記憶媒体をそれぞれ順番に前記暗号鍵の交換対象の記憶媒体としながら前記第1乃至第3のステップを繰り返すことにより、当該パリティグループを構成する各記憶媒体にそれぞれ格納されているデータの暗号鍵を前記新たな暗号鍵に更新するようにした。
【発明の効果】
【0009】
本発明の暗号鍵交換方式によれば、データに対してどの暗号鍵を適用すべきであるかが不明となるおそれがなく、また暗号化鍵を交換しようとするパリティグループを構成する記憶媒体と同じ数の記憶媒体を用意する必要もない。かくするにつき、本発明によれば、信頼性高くかつ安価に暗号鍵の交換処理を行うことができる。
【図面の簡単な説明】
【0010】
【図1】図1は、本実施の形態による計算機システムの概略構成を示すブロック図である。
【図2】図2は、ホストコンピュータの構成を示すブロック図である。
【図3】図3は、ストレージ装置の構成を示すブロック図である。
【図4】図4は、管理コンピュータの構成を示すブロック図である。
【図5】図5は、コレクションコピー機能の説明に供する概念図である。
【図6】図6は、本実施の形態による暗号鍵交換方式の概略説明に供する概念図である。
【図7】図7は、本実施の形態による暗号鍵交換方式に関連してストレージ装置が保持する各種制御プログラム及び各種テーブルの説明に供する概念図である。
【図8】図8は、暗号鍵管理テーブルの構成を示す概念図である。
【図9】図9は、ディスク管理テーブルの構成を示す概念図である。
【図10】図10は、ボリューム管理テーブルの構成を示す概念図である。
【図11】図11は、暗号鍵交換設定画面の構成を略線的に示す略線図である。
【図12】図12は、第1の暗号鍵交換処理の処理手順を示すフローチャートである。
【図13】図13は、コレクションコピー処理の処理手順を示すフローチャートである。
【図14】図14は、第2の暗号鍵交換処理の処理手順を示すフローチャートである。
【図15】図15は、暗号鍵交換プロセス制御処理の処理手順を示すフローチャートである。
【図16】図16は、第2の実施の形態によるコレクションコピー処理の処理手順を示すフローチャートである。
【図17】図17は、スケジュール設定画面の構成を略線的に示す略線図である。
【発明を実施するための形態】
【0011】
以下図面について、本発明の一実施の形態を詳述する。
【0012】
(1)第1の実施の形態
(1−1)本実施の形態による計算機システムの構成
図1において、1は全体として本実施の形態による計算機システムを示す。この計算機システム1は、ホストコンピュータ2、ストレージ装置3及び管理コンピュータ4を備えて構成される。そして、計算機システム1においては、ホストコンピュータ2及びストレージ装置3間がSAN(Storage Area Network)等の第1のネットワーク5を介して接続されると共に、ホストコンピュータ2及び管理コンピュータ4間と、ストレージ装置3及び管理コンピュータ4間とがそれぞれLAN(Local Area Network)等の第2及び第3のネットワーク6,7を介して接続されている。
【0013】
ホストコンピュータ2は、図2に示すように、プロセッサ10、メモリ11、ネットワークインタフェース12、管理ポート13、入力装置14及び出力装置15を備え、これらが内部バス16を介して相互に接続されることにより構成されている。
【0014】
プロセッサ10は、ホストコンピュータ2全体の動作制御を司る機能を有し、メモリ11に格納されたビジネスアプリケーションソフトウェア17及びファイルシステム18などに基づいて各種の制御処理を実行する。メモリ11は、かかるビジネスアプリケーションソフトウェア17、ファイルシステム18及びその他の制御プログラムを記憶するために用いられるほか、プロセッサ10のワークメモリとしても用いられる。
【0015】
ネットワークインタフェース12は、ホストコンピュータ2が第1のネットワーク5を介してストレージ装置3と通信を行うためのインタフェースである。ホストコンピュータ2は、このネットワークインタフェース12を介してストレージ装置3内の対応する論理ボリュームVOLにデータを読み書きする。
【0016】
管理ポート13は、ホストコンピュータ2を第2のネットワーク6に接続するためのポートである。この管理ポート13には、WWN(World Wide Name)やIP(Internet Protocol)アドレスなどの固有のネットワークアドレスが付与される。
【0017】
入力装置14は、キーボード及びマウスなどから構成され、ユーザが各種操作を入力するために用いられる。また出力装置15は、ディスプレイ及びスピーカなどから構成され、プロセッサの制御のもとにGUI(Graphical User Interface)や各種情報を表示する。
ストレージ装置3は、図3に示すように、複数のハードディスク装置20を備える記憶部21と、これらハードディスク装置20に対するデータの入出力を制御するコントロール部30とから構成される。
【0018】
ハードディスク装置20は、例えばSCSI(Small Computer System Interface)ディスク等の高価なディスクや、SATA(Serial AT Attachment)ディスク等の安価なディスクなどから構成される。1又は複数のハードディスク装置20により1つのパリティグループ22が構成され、1つのパリティグループ22を構成する各ハードディスク装置20が提供する物理的な記憶領域上に、1又は複数の論理ボリュームVOLが設定される。そしてホスト2からのデータは、この論理ボリュームVOL内に所定大きさのブロック(以下、これを論理ブロックと呼ぶ)を単位として記憶される。
【0019】
各論理ボリュームVOLには、それぞれ固有のID(以下、これをボリュームIDと呼ぶ)が付与される。本実施の形態の場合、データの入出力は、このボリュームIDと、各論理ブロックにそれぞれ付与されるその論理ブロックに固有の番号(以下、これをブロック番号と呼ぶ)とを組み合わせたものをアドレスとして、当該アドレスを指定して行われる。
【0020】
またコントロール部30は、それぞれパッケージ化された複数のホストインタフェース部31、複数の制御部32、複数の共有メモリ部33及び複数のディスクインタフェース部34を備え、これらが内部ネットワーク35を介して接続されることにより構成されている。
【0021】
ホストインタフェース部31は、例えばNIC(Network Interface Card)やLANカードなどから構成される複数のホストインタフェース40を備え、これらホストインタフェース40が第1のネットワーク5や第3のネットワーク7に接続される。
【0022】
制御部32は、複数のマイクロプロセッサ41及びローカルメモリ42がバス43を介して接続されることにより構成されている。ローカルメモリ42には、後述する共有メモリ部33から読み出した制御プログラム及び制御情報などが格納されており、これら制御プログラム及び制御情報に基づいて、各マイクロプロセッサ41により、ホストコンピュータ2からの入出力要求に応じたデータの入出力処理や、そのデータの暗号化/復号化処理及び後述するコレクションコピー処理などが実行される。
【0023】
共有メモリ部33は、例えばDRAM(Dynamic Random Access Memory)から構成されるデータキャッシュ用メモリ44及び制御情報用メモリ45を備える。データキャッシュ用メモリ44は、ハードディスク装置20に読み書きするデータを一時的に記憶するために利用され、制御情報用メモリ45は、主にストレージ装置3全体の構成に関するシステム構成情報等の各種制御情報やコマンドを記憶するために利用される。
【0024】
ディスクインタフェース部34は、複数のディスクインタフェース46を備えて構成される。これら複数のディスクインタフェース46は、それぞれケーブル47を介して記憶部21のハードディスク装置20と接続されており、コントロール部30及び記憶部21間における読書き対象のデータの受け渡し処理を仲介する。
【0025】
内部ネットワーク35は、例えば高速スイッチングによりデータ伝送を行う超高速クロスバススイッチなどのスイッチ又はバス等で構成される。ホストインタフェース部31、制御部32、共有メモリ部33及びディスクインタフェース部34間におけるデータやコマンドの授受は、この内部ネットワーク35を介して行われる。
【0026】
管理コンピュータ4は、図4に示すように、プロセッサ50、メモリ51、管理ポート52、入力装置53及び出力装置54が内部バス55を介して接続されることにより構成されている。
【0027】
これらプロセッサ50、メモリ51、管理ポート52、入力装置53及び出力装置54は、ホストコンピュータ2(図2)の対応部位と同様の機能を有するものであるため、ここでの説明は省略する。
【0028】
なお、管理コンピュータ4の場合、メモリ51には、後述する暗号化管理プログラム56が格納される。
【0029】
(1−2)本実施の形態による暗号鍵交換方式
次に、ストレージ装置3に搭載された暗号鍵交換機能について説明する。
【0030】
ストレージ装置3では、パリティグループ22(図3)が提供する論理ボリュームVOLにデータを書き込む際、図5に示すように、ホストコンピュータ2から与えられた書込み対象のデータD,D2,D3,……を所定単位で複数のデータ(以下、これを分割データと呼ぶ)D1−1〜D1−3,D2−1〜D2−3,D3−1〜D3−3に分割すると共に、これら分割データD1−1〜D1−3,D2−1〜D2−3,D3−1〜D3−3に基づいて冗長データ(以下、これをパリティと呼ぶ)D1−P,D2−P,D3−Pを作成し、これらの分割データD1−1〜D1−3,D2−1〜D2−3,D3−1〜D3−3及びパリティD1−P,D2−P,D3−Pをそれぞれディスクインタフェース部34を介して同じパリティグループ22を構成する複数のハードディスク装置20に分散して格納している。
【0031】
またストレージ装置3においては、パリティグループ22内の1つのハードディスク装置20に障害が発生した場合、そのパリティグループ22を構成する他のハードディスク装置20に格納されているデータ(分割データD1−1〜D1−3,D2−1〜D2−3,D3−1〜D3−3又はパリティD1−P,D2−P,D3−P)を用いて障害が発生したハードディスク装置20に格納されていたデータを復元し、復元したデータを予備のハードディスク装置(以下、これを予備ハードディスク装置と呼ぶ)20に格納するコレクションコピー処理を実行する。
【0032】
加えて本実施の形態によるストレージ装置3には、以上のようなコレクションコピー機能を利用して暗号鍵の交換処理を行う暗号鍵交換機能が搭載されている。
【0033】
実際上、本ストレージ装置3では、暗号鍵の交換処理時、図6に示すように、パリティグループ22を構成する複数のハードディスク装置20のうち、暗号鍵の交換対象(以下、これを暗号鍵交換対象と呼ぶ)とするハードディスク装置20に格納されているデータを上述のコレクションコピー処理により復元し、復元したデータを新たな暗号鍵を用いて暗号化して予備ハードディスク装置20にコピーする。そしてストレージ装置3は、この後、このとき暗号鍵交換対象であったハードディスク装置20を予備ハードディスク装置20に切り替える。
【0034】
またストレージ装置3においては、かかるパリティグループ22を構成する残りの各ハードディスク装置20についても同様のコレクションコピー処理を実行する。これにより、パリティグループ22を構成する各ハードディスク装置20にそれぞれ格納されたデータの暗号鍵を新たな暗号鍵に交換することができる。
【0035】
以上のような本実施の形態による暗号鍵交換処理を実行するための手段として、ストレージ装置3の制御部32(図3)のローカルメモリ42には、図7に示すように、暗号鍵交換制御プログラム60、暗号化/復号化プログラム61及び暗号鍵交換プロセス制御プログラム62などの制御プログラムと、暗号鍵管理テーブル63、ディスク管理テーブル64及びボリューム管理テーブル65などの管理情報とが格納されている。
【0036】
このうち暗号鍵交換制御プログラム60は、上述のようにコレクションコピー機能を用いて暗号鍵の交換を行うための制御プログラムであり、暗号化/復号化プログラム61は、データを暗号化又は復号化するためのプログラムである。また暗号鍵交換プロセス制御プログラム62は、上述のような暗号鍵交換処理を実行している最中にそのストレージ装置2内のいずれかのハードディスク装置20に障害が発生した場合の対応処理を実行するためのプログラムである。
【0037】
なお、以下においては、各種処理の処理主体を「プログラム」として説明することがあるが、実際上は、その「プログラム」に基づいて制御部32(図3)内のマイクロプロセッサ41(図3)がその処理を実行することは言うまでもない。
【0038】
一方、暗号鍵管理テーブル63は、ストレージ装置3内において暗号鍵を管理するためのテーブルであり、図8に示すように、鍵ID欄63A、鍵データ欄63B及び生成日欄63Cから構成される。
【0039】
そして鍵ID欄63Aには、対応する暗号鍵に付与された固有のID(鍵ID)が格納され、鍵データ欄63Bには、その暗号鍵のデータが格納される。また生成日欄63Cには、その暗号鍵を生成した年月日が格納される。従って、図8では、「54SD7DODE4AG45S5DFDF5PL」という暗号鍵は「2005/03/31」に生成され、その暗号鍵には「KEY001」という鍵IDが付与されていることが示されている。
【0040】
ディスク管理テーブル64は、そのストレージ装置3内に存在するハードディスク装置20を管理するためのテーブルであり、図9に示すように、ディスクID欄64A、パリティグループID欄64B、鍵ID欄64C及び暗号化日時欄64Dから構成される。
【0041】
そしてディスクID欄64Aには、対応するハードディスク装置20に付与された当該ハードディスク装置20に固有のID(ディスクID)が格納され、パリティグループID欄64Dには、そのハードディスク装置20が属するパリティグループ22に付与された当該パリティグループ22に固有のID(パリティグループID)が格納される。
【0042】
また鍵ID欄64Cには、そのハードディスク装置20に格納されたデータを暗号化する際に使用した暗号鍵の鍵IDが格納され、暗号化日時欄64Dには、そのハードディスク装置20に格納されたデータを暗号化した日時が格納される。
【0043】
従って、図9の例では、「DISK001」〜「DISK004」というディスクIDがそれぞれ付与された4つのハードディスク装置20により「PG001」というパリティグループIDが付与されたパリティグループ22が構成されており、このパリティグループ22が提供する論理ボリュームVOLに格納されたデータは、「KEY001」という鍵IDの暗号鍵を用いて「2007/04/01 00:21.01」に暗号化されていることが分かる。
【0044】
また図9では、「DISK005」〜「DISK007」というディスクIDがそれぞれ付与された3つのハードディスク装置20は、いずれもパリティグループ22に属していないことが示されている。なお、「DISK020」というハードディスク装置20については、パリティグループID欄64Bに「HOT SWAP」という情報が格納されているが、これはこのハードディスク装置20が予備ハードディスク装置であることを表している。
【0045】
さらにボリューム管理テーブル65は、ストレージ装置3内に定義された論理ボリュームVOLを管理するためのテーブルであり、図10に示すように、パリティグループID欄65A、RAIDレベル欄65B、容量欄65C及びボリュームID欄65Dから構成される。
【0046】
そしてパリティグループID欄65Aには、対応するパリティグループ22のパリティグループIDが格納され、RAIDレベル欄65Bには、そのパリティグループ22について設定されたRAID(Redundant Arrays of Inexpensive Disks)レベルが格納される。また容量欄65Cには、そのパリティグループ22の容量が格納され、ボリュームID欄65Dには、そのパリティグループ22を構成する論理ボリュームVOLのボリュームIDが格納される。
【0047】
従って、図10の例の場合、「VOL001」というボリュームIDが付与された論理ボリュームVOLは、「PG001」というパリティグループIDが付与された容量が「150GB」でRAIDレベルが「RAID5(3D+1)」のパリティグループ22を構成していることが分かる。
【0048】
(1−3)暗号鍵交換指示画面
図11は、管理コンピュータ4(図4)において暗号化管理プログラム56(図4)を起動することにより当該管理コンピュータ4に表示される暗号鍵交換設定画面70を示す。
【0049】
この暗号鍵交換設定画面70は、ストレージ装置3に上述の暗号鍵交換機能に基づく暗号鍵交換処理を実行させる際の各種条件を設定するためのGUI(Graphical User Interface)であり、ディスク情報領域71、リソース選択領域72及び交換鍵選択領域73から構成される。
【0050】
このうちディスク情報領域71には、暗号化管理プログラム56がストレージ装置3から収集した当該ストレージ装置3内のハードディスク装置20に関する情報に基づいて、ディスク管理テーブル64(図9)と同様の情報が一覧形式で表示される。
【0051】
またリソース選択領域72は、暗号鍵交換対象を選択するためのGUI領域である。このリソース選択領域72において、ユーザは、ディスクID、パリティグループID、鍵ID又は期間のいずれかの条件を指定することにより暗号鍵交換対象を選択することができる。
【0052】
例えば、かかる条件としてディスクIDを指定する場合、ユーザは、ディスクIDに対応するラジオボタン80を選択すると共に、選択ディスクID表示欄81のプルダウンボタン82をクリックすることにより、ストレージ装置3内のすべてのハードディスク装置20のディスクIDが掲載されたプルダウンメニューを表示させ、このプルダウンメニューから暗号鍵交換対象とすべきハードディスク装置20のディスクIDを1つ選択するようにする。この結果、そのとき選択されたディスクIDが選択ディスクID表示欄81に表示される。そして、選択ディスクID表示欄81にディスクIDが表示されたハードディスク装置20が暗号鍵交換対象として選択されたことになる。
【0053】
また、かかる条件としてパリティグループIDを指定する場合、ユーザは、パリティグループIDに対応するラジオボタン83を選択すると共に、選択パリティグループID表示欄84のプルダウンメニューボタン85をクリックすることにより、ストレージ装置3内に定義されたすべてのパリティグループ22のパリティグループIDが掲載されたプルダウンメニュー86を表示させ、このプルダウンメニュー86から暗号鍵交換対象とすべきパリティグループ22のパリティグループIDを1つ選択する。この結果、そのとき選択されたパリティグループIDが選択パリティグループID表示欄84に表示される。そして、選択パリティグループID表示欄84にパリティグループIDが表示されたパリティグループ22が暗号鍵交換対象として選択されたことになる。
【0054】
さらに、かかる条件として鍵IDを指定する場合、ユーザは、対応するチェックボックス87にチェックマークを表示させると共に、選択鍵ID表示欄88のプルダウンメニューボタン89をクリックすることにより、ストレージ装置3において使用されたすべての暗号鍵の鍵IDが掲載されたプルダウンメニューを表示させ、このプルダウンメニューから暗号鍵交換対象とすべき暗号鍵の鍵IDを1つ選択する。この結果そのとき選択された鍵IDが選択鍵ID表示欄88に表示される。そして、選択鍵ID表示欄88に鍵IDが表示された暗号鍵により暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象として選択されたことになる。
【0055】
さらに、かかる条件として期間を指定する場合、ユーザは、対応するチェックボックス90にチェックマークを表示させると共に、期間初日表示欄91及び期間最終日表示欄92にそれぞれ期間の初日及び最終日の日にちを入力する。この結果、このとき期間初日表示欄91に表示された日にちから期間最終日表示欄92に表示された日にちまでの間に暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象として選択されたことになる。
【0056】
なお、かかる条件を組み合わせて暗号鍵交換対象を選択することもできる。例えば暗号鍵交換対象の条件としてパリティグループID及び鍵IDの2つを選択した場合、そのパリティグループIDが付与されたパリティグループ22内のその暗号鍵により暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象となる。
【0057】
また暗号鍵交換対象の条件としてパリティグループID及びデータ暗号化期間の2つを選択した場合、そのパリティグループIDが付与されたパリティグループ22内のその期間内に暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象となる。
【0058】
さらに暗号鍵交換対象の条件としてパリティグループID、鍵ID及び期間の3つを選択した場合、そのパリティグループIDが付与されたパリティグループ22内のその期間内にその鍵IDが付与された暗号鍵により暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象となる。
【0059】
さらに暗号鍵交換対象の条件として鍵ID及び期間の2つを指定した場合、その鍵IDが付与された暗号鍵によりその期間内に暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象となる。
【0060】
他方、交換鍵選択領域73は、暗号鍵交換処理に使用する新たな暗号鍵を選択するためのGUI領域である。ユーザは、この交換鍵選択領域73において、新たな暗号鍵を選択することができる。
【0061】
実際上、新たな暗号鍵を選択する場合、ユーザは、新暗号鍵ID表示欄93のプルダウンメニューボタン94をクリックすることにより、予め作成されたすべての暗号鍵の鍵IDが表示されたプルダウンメニューを表示させ、このプルダウンメニューから新たに使用すべき暗号鍵の鍵IDを1つ選択する。かくして、そのとき選択された鍵IDが新暗号鍵ID表示欄93に表示される。そして、ユーザは、この後、ニューキーボタンをクリックする。この結果、そのとき新暗号鍵ID表示欄93に表示された鍵IDが付与された暗号鍵が新たな暗号鍵として選択されたことになる。
【0062】
そして暗号鍵交換設定画面70では、以上のようにして暗号鍵交換対象と、新たな暗号鍵とを選択した後、画面右下に表示された実行ボタン74をクリックすることによって、暗号鍵交換処理の実行命令を入力することができる。
【0063】
この場合、このとき暗号鍵交換設定画面70を用いてユーザが選択した暗号鍵交換対象と、新たな暗号鍵とに関する情報を含む、暗号鍵交換処理の実行指示(以下、これを暗号鍵交換指示と呼ぶ)が管理コンピュータ4からストレージ装置3に与えられる。そして、この暗号鍵交換指示に基づいて、後述のようにストレージ装置3において暗号鍵交換処理が実行される。
【0064】
なお、暗号鍵交換設定画面70において、画面右下に表示されたキャンセルボタン75をクリックした場合、そのとき暗号鍵交換設定画面70において行ったユーザ操作がすべてキャンセルされる。
【0065】
(1−4)本実施の形態による暗号鍵交換処理
次に、かかる暗号鍵交換指示を受信したストレージ装置3の暗号鍵交換制御プログラム60及び暗号鍵交換プロセス制御プログラム62(図7)の処理内容について説明する。
【0066】
(1−4−1)第1の暗号鍵交換処理
図12は、暗号鍵交換制御プログラム60が、暗号鍵交換対象としてパリティグループ22(図3)が指定された上述の暗号鍵交換指示を受信した場合に実行する第1の暗号鍵交換処理の処理手順を示す。暗号鍵交換制御プログラム60は、かかる暗号鍵交換指示が与えられると、この処理手順に従って、指定されたパリティグループ(以下、これを指定パリティグループと呼ぶ)22に属する各ハードディスク装置20に対する暗号鍵交換処理を実行する。
【0067】
すなわち暗号鍵交換制御プログラム60は、暗号鍵交換指示が与えられると、この第1の暗号鍵交換処理を開始し、まず、ディスク管理テーブル64(図9)を参照して、かかる指定パリティグループ22に属する各ハードディスク装置20について、そのハードディスク装置20に格納されているデータを暗号化するときに使用した暗号鍵の鍵IDを検出する(SP1)。
【0068】
続いて暗号鍵交換制御プログラム60は、記憶部21内の制御プログラム保存用として使用されている所定のハードディスク装置20から暗号化/復号化プログラム61(図7)をローカルメモリ42(図3)に読み出し(SP2)、この後、予備ハードディスク装置20が使用可能であるか否かを判断する(SP3)。
【0069】
ここで、予備ハードディスク装置20が既に使用されている場合や、当該予備ハードディスク装置に障害が発生している場合には、この判断において否定結果が得られる。かくして、このとき暗号鍵交換制御プログラム60は、所定時間待機した後(SP4)、タイムアウトとなったか否か(リトライ回数が予め定められた回数となったか否か)を判断した後に(SP5)、ステップSP3に戻る。
【0070】
そして暗号鍵交換制御プログラム60は、ステップSP3又はステップSP5において肯定結果を得るまで同様の処理を繰り返し、やがてステップSP5において肯定結果を得た場合には、管理コンピュータ4にエラーを通知した後(SP6)、この第1の暗号鍵交換処理を終了する。
【0071】
これに対して暗号鍵交換制御プログラム60は、ステップSP3の判断において肯定結果を得た場合には、指定パリティグループ22に属するハードディスク装置20を1つ選択する(SP7)。
【0072】
続いて暗号鍵交換制御プログラム60は、そのハードディスク装置20に格納されているデータ(分割データ又はパリティ)を、暗号鍵交換指示において指定された新たな暗号鍵で暗号化しながら予備ハードディスク装置20にコレクションコピーする(SP8)。
【0073】
次いで暗号鍵交換制御プログラム60は、ステップSP7において選択したハードディスク装置20と、予備ハードディスク装置20とを入れ替える。つまり、暗号鍵交換制御プログラム60は、ステップSP7において選択したハードディスク装置20を予備ハードディスク装置20に設定し、それまでの予備ハードディスク装置20を指定パリティグループ22に属するハードディスク装置20として設定する(SP9)。
【0074】
より具体的には、暗号鍵交換制御プログラム60は、ディスク管理テーブル64(図9)の、ステップSP7において選択したハードディスク装置20に対応するエントリのパリティグループID欄64Gに、当該ハードディスク装置20が予備ハードディスク装置であることを意味する「HOT SWAP」を格納すると共に、それまで予備ハードディスク装置として設定されていたハードディスク装置20に対応するエントリのパリティグループID欄64Bに、指定パリティグループ22のパリティグループIDを格納する。
【0075】
また暗号鍵交換制御プログラム60は、ボリューム管理テーブル65(図10)の、ステップSP7において選択したハードディスク装置20に対応するエントリのパリティグループID欄65A、RAIDレベル欄65B及び容量欄65Cに格納されている情報を、それまで予備ハードディスク装置として設定されていたハードディスク装置20に対応するエントリのパリティグループID欄65A、RAIDレベル欄65B及び容量欄65Cにそれぞれコピーした後に消去する。
【0076】
続いて暗号鍵交換制御プログラム60は、指定パリティグループ22に属するすべてのハードディスク装置20について同様の処理を実行し終えたか否かを判断する(SP10)。
【0077】
そして暗号鍵交換制御プログラム60は、この判断において否定結果を得ると、ステップSP3に戻り、この後、ステップSP7において選択するハードディスク装置20を順次他のハードディスク装置20に切り替えながら、同様の処理を繰り返す(SP3〜SP10−SP3)。
【0078】
以上により、指定パリティグループ22に属する各ハードディスク装置20について、そのハードディスク装置20に格納されているデータを予備ハードディスク装置20に新たな暗号鍵で暗号化しながらコレクションコピーすることができる。
【0079】
そして暗号鍵交換制御プログラム60は、やがて指定パリティグループ22に属する各ハードディスク装置20にそれぞれ格納されているデータを他のハードディスク装置20にコレクションコピーし終えることによりステップSP10において肯定結果を得ると、上述の処理により最後に予備ハードディスク装置20に設定されたハードディスク装置20に格納されているデータを完全消去し(SP11)、この後、この第1の暗号鍵交換処理を終了する。
【0080】
(1−4−2)コレクションコピー処理
図13は、上述の暗号鍵交換処理のステップSP8において実行されるコレクションコピー処理の具体的な処理内容を示す。
【0081】
暗号鍵交換制御プログラム60は、第1の暗号鍵交換処理のステップSP8に進むと、このコレクションコピー処理を開始し、まず、所定のカウンタ(以下、これをブロックカウンタと呼ぶ)のカウント値をリセット(「0」にセット)する(SP20)。
【0082】
続いて暗号鍵交換制御プログラム60は、暗号鍵交換対象のハードディスク装置20以外の指定パリティグループ22に属する各ハードディスク装置20から、ブロックカウンタのカウント値と同じブロック番号が付与された論理ブロックに格納されているデータ(分割データ又はパリティ)をそれぞれ読み出す(SP21)。そして暗号鍵交換制御プログラム60は、このとき各ハードディスク装置20からそれぞれ読み出した1論理ブロック分の各データをそれぞれ復号化する(SP22)。
【0083】
次いで暗号鍵交換制御プログラム60は、ステップSP22において復号化した各データに基づいて、暗号鍵交換対象のハードディスク装置20内の、ブロックカウンタのカウント値と同じブロック番号が付与された論理ブロックに格納されているであろうデータをコレクションコピー機能を用いて生成する(SP23)。
【0084】
さらに暗号鍵交換制御プログラム60は、この後、生成したデータを、暗号鍵交換指示において指定された新たな暗号鍵を用いて暗号化し(SP24)、暗号化したデータを予備ハードディスク装置20内のブロック番号が「I」の論理ブロックに書き込む(SP25)。
【0085】
続いて暗号鍵交換制御プログラム60は、暗号鍵交換対象のハードディスク装置20内のすべての論理ブロックについて同様の処理を終えたか否かを判断する(SP26)。
【0086】
そして暗号鍵交換制御プログラム60は、この判断において否定結果を得ると、上述のブロックカウンタのカウント値を1増加させた後(SP27)、
ステップSP21に戻る。そして暗号鍵交換制御プログラム60は、この後、同様の処理を繰り返す。
【0087】
そして暗号鍵交換制御プログラム60は、やがてそのとき対象としているハードディスク装置20内のすべての論理ブロックについて同様の処理を終えることにより(つまりそのとき対象としているハードディスク装置20についてのコレクションコピーが完了することにより)ステップSP26において肯定結果を得ると、この暗号鍵交換実行処理を終了して上述の第1の暗号鍵交換処理(図12)に戻る。
【0088】
(1−4−3)第2の暗号鍵交換処理
一方、図14は、暗号鍵交換制御プログラム60が、暗号鍵交換対象としてハードディスク装置20が指定された上述の暗号鍵交換指示を受信した場合に実行する第2の暗号鍵交換処理の処理手順を示す。暗号鍵交換制御プログラム60は、かかる暗号鍵交換指示が与えられると、この処理手順に従って、当該暗号鍵交換指示において指定されたハードディスク装置(以下、これを指定ハードディスク装置と呼ぶ)20に対する暗号鍵交換処理を実行する。
【0089】
すなわち暗号鍵交換制御プログラム60は、かかる暗号鍵交換指示が与えられると、この暗号鍵交換処理を開始し、まず、暗号鍵交換指示において指定されたディスクIDを取得する(SP30)。
【0090】
続いて暗号鍵交換制御プログラム60は、予備ハードディスク装置20が使用可能であるか否かを判断する(SP31)。そして暗号鍵交換制御プログラム60は、この判断において否定結果を得るとステップSP32に進み、続くステップSP32〜ステップSP34を図12について上述した第1の暗号鍵交換処理のステップSP4〜ステップSP6と同様に処理する。
【0091】
また暗号鍵交換制御プログラム60は、ステップSP31の判断において肯定結果を得ると、ボリューム管理テーブル65(図9)を参照して、指定ハードディスク装置20がいずれかのパリティグループ22に属しているか否かを判断する(SP35)。
【0092】
そして暗号鍵交換制御プログラム60は、この判断において肯定結果を得ると、図13について上述したコレクションコピー処理を実行することにより、その指定ハードディスク装置20に格納されているデータ(分割データ又はパリティ)を、暗号鍵交換指示において指定された新たな暗号鍵で暗号化しながら予備ハードディスク装置20にコレクションコピーする(SP36)。
【0093】
これに対して暗号鍵交換制御プログラム60は、ステップSP35の判断において否定結果を得ると、指定ハードディスク装置20に格納されているデータを元の暗号鍵を用いて復号化した後、復号化したデータを、暗号鍵交換指示において指定された新たな暗号鍵で暗号化しながら予備ハードディスク装置20にコピーする(SP37)。
【0094】
次いで暗号鍵交換制御プログラム60は、第1の暗号鍵交換処理のステップSP9(図12)と同様にして指定ハードディスク装置20と予備ハードディスク装置20とを入れ替える(SP38)。
【0095】
さらに暗号鍵交換制御プログラム60は、予備ハードディスク装置(この時点では指定ハードディスク装置)20に格納されているデータを完全消去し(SP39)、この後、この第2の暗号鍵交換処理を終了する。
【0096】
(1−4−4)暗号鍵交換プロセス制御処理
一方、図15は、第1の暗号鍵交換処理の実行中に当該ストレージ装置3に属するいずれかのハードディスク装置20に障害が発生し、又は第2の暗号鍵交換処理の実行中に指定ハードディスク装置20に障害が発生したことを検出した場合に、暗号鍵交換プロセス制御プログラム62(図7)が実行する暗号鍵交換プロセス制御処理の処理手順を示す。
【0097】
暗号鍵交換プロセス制御プログラム62は、暗号鍵交換制御プログラム60(図7)が第1又は第2の暗号鍵交換処理を実行中に、指定パリティグループ22に属するいずれかのハードディスク装置20又は指定ハードディスク装置20に生じた何らかの障害を検出すると、この暗号鍵交換プロセス制御処理を開始し、まず、暗号鍵交換制御プログラム60に対して第1又は第2の暗号鍵交換処理を一時停止するよう指示を与える(SP40)。
【0098】
続いて暗号鍵交換プロセス制御プログラム62は、かかる障害から回復するためには予備ハードディスク装置20が必要であるか否かを判断する(SP41)。
【0099】
この場合、例えばかかる障害が、ハードディスク装置20に許容範囲数の不良セクタが発生したなどの軽微なものである場合には、予備ハードディスク装置20を用いるまでもなく、かかる障害からの復旧を行うことができる(SP41:NO)。かくして、このとき暗号鍵交換プロセス制御プログラム62は、暗号鍵交換制御プログラム60に対して暗号鍵交換処理を再開するよう通知を与え(SP42)、この後この暗号鍵交換プロセス制御処理を終了する。
【0100】
これに対して、例えばかかる障害が、ハードディスク装置20が閉塞したなどの重大な障害である場合には、当該障害から復旧するために予備ハードディスク装置20を用いる必要がある(SP41:YES)。かくして、このとき暗号鍵交換プロセス制御プログラム62は、第1又は第2の暗号鍵交換処理で使用していた予備ハードディスク装置20を解放する。そして暗号鍵交換プロセス制御プログラム62は、この後、例えば障害が発生したハードディスク装置20が交換されるなどしてかかる障害から復旧し、第1又は第2の暗号鍵交換処理のために予備ハードディスク装置20を使用できる状態になるのを待ち受ける(SP43)。
【0101】
そして暗号鍵交換プロセス制御プログラム62は、やがて第1又は第2の暗号鍵交換処理のために予備ハードディスク装置20を使用できる状態になると、ステップSP40において暗号鍵交換処理を停止したときに、第1又は第2の暗号鍵交換処理が、既にディスク管理テーブル64及びボリューム管理テーブル65を更新する段階(図12のステップSP9又は図14のステップSP38)にまで進んでいたか否かを判断する(SP44)。
【0102】
この判断において肯定結果を得ることは、ステップSP40において第1又は第2の暗号鍵交換処理を停止した段階で既に暗号鍵交換対象のハードディスク装置20と、予備ハードディスク装置20との入れ替えが行われており、その後に行われた障害からの復旧処理において当該予備ハードディス装置20が使用されていないことを意味する。
【0103】
かくして、このとき暗号鍵交換プロセス制御プログラム62は、ステップSP40で停止した第1又は第2の暗号鍵交換処理をそのまま再開するよう暗号鍵交換制御プログラム60に通知し(SP46)、この後、この暗号鍵交換プロセス制御処理を終了する。このとき暗号鍵交換制御プログラム60は、かかる通知に従って、第1又は第2の暗号鍵交換処理をステップSP60の通知を受けて停止した段階から再開する。
【0104】
これに対してステップSP44の判断において否定結果を得ることは、ステップSP40において第1又は第2の暗号鍵交換処理を停止した後に、その後に行われた障害からの復旧処理において予備ハードディスク装置20が使用され、当該予備ハードディスク装置20に格納されているデータがコレクションコピーされたデータとは異なるおそれがあることを意味する。
【0105】
かくして、このとき暗号鍵交換プロセス制御プログラム62は、ステップSP40において第1又は第2の暗号鍵交換処理を停止した時点で暗号鍵交換対象であったハードディスク装置20に対する暗号鍵の交換処理を、コレクションコピーの最初(図12のステップSP8又は図14のステップSP36若しくはステップSP37)にまで戻って再開するよう暗号鍵交換制御プログラム60に通知し(SP46)、この後、この暗号鍵交換プロセス制御処理を終了する。このとき暗号鍵交換制御プログラム60は、かかる通知に従って、そのハードディスク装置20に対する第1又は第2の暗号鍵交換処理を、コレクションコピーの最初から再開する。
【0106】
(1−5)本実施の形態の効果
以上のように本実施の形態による暗号鍵交換方式では、ストレージ装置3に搭載されたコレクションコピー機能を利用して暗号鍵の交換処理を行うため、暗号鍵交換方式として上述の上書き方式を採用したときのように、データに対してどの暗号鍵を適用すべきであるかが不明となるおそれがなく、また暗号鍵交換方式として上述のマイグレーション方式を採用したときのように、暗号化鍵を交換しようとするパリティグループを構成するハードディスク装置20と同じ数のハードディスク装置20を用意する必要もない。かくするにつき、本実施の形態の暗号鍵交換方式によれば、信頼性高くかつ安価に暗号鍵の交換処理を行うことができる。
【0107】
(2)第2の実施の形態
図1において、100は全体として第2の実施の形態による計算機システムを示す。この計算機システム100は、ストレージ装置101に搭載されたハードディスク装置102(図3)に暗号化機能が搭載されている点が第1の実施の形態による計算機システム1と異なる。
【0108】
すなわち第1の実施の形態においては、ストレージ装置3のコントロール部30において暗号化/復号化したデータをハードディスク装置20に読み書きしていたが、本実施の形態においては、ストレージ装置101のコントロール部103(図3)は暗号化されていないデータを暗号鍵と共にハードディスク装置102に与える。
【0109】
そしてハードディスク装置102は、コントロール部103から与えられるデータを、当該データと共に与えられた暗号鍵に基づいて暗号化して当該ハードディスク装置102内の記憶媒体に記憶する。
【0110】
またハードディスク装置102は、この後、コントロール部103からデータの読出し要求が与えられた場合には、対応するデータを記憶媒体から読み出し、そのデータを復号化してコントロール部103に送出する。
【0111】
図16は、このようなストレージ装置101において暗号鍵交換制御プログラム104(図7)により実行される第2の実施の形態によるコレクションコピー処理の処理手順を示す。
【0112】
かかる暗号鍵交換制御プログラム104は、第1及び第2の暗号鍵交換処理については図12又は図14について上述した第1の実施の形態と同様の処理を行うが、コレクションコピー処理については、この図16に示す第2のコレクションコピー処理を実行する。
【0113】
すなわち暗号鍵交換制御プログラム104は、第1の暗号鍵交換処理のステップSP8(図12)又は第2の暗号鍵交換処理のステップSP36(図14)に進むと、この第2のコレクションコピー処理を開始し、まず、上述したブロックカウンタのカウント値をリセットする(SP50)。
【0114】
続いて暗号鍵交換制御プログラム104は、暗号鍵交換対象のハードディスク装置102以外の指定パリティグループ22に属する各ハードディスク装置102から、ブロックカウンタのカウント値と同じブロック番号が付与された論理ブロックに格納されているデータをそれぞれ読み出す(SP51)。なお、このとき各ハードディスク装置102から読み出されるデータは、既にハードディスク装置102内部において復号化されている。
【0115】
次いで暗号鍵交換制御プログラム104は、ステップSP52において取得した各データに基づいて、暗号鍵交換対象のハードディスク装置102内の、ブロックカウンタのカウント値と同じブロック番号が付与された論理ブロックに格納されているであろうデータをコレクションコピー機能を用いて生成する(SP23)。
【0116】
さらに暗号鍵交換制御プログラム104は、この後、生成したデータを、暗号鍵交換指示において指定された新たな暗号鍵と、予備ハードディスク装置102内のブロック番号が「I」の論理ブロックに書き込むべき書込み要求と共に予備ハードディスク装置102に与える(SP25)。
【0117】
さらに暗号鍵交換制御プログラム104は、この後、復元したデータを、書込み先としてブロック番号が「I」の論理ブロックを指定した書込み要求と、暗号鍵交換指示において指定された新たな暗号鍵と供に予備ハードディスク装置に与える(SP53)。かくしてこのデータは、この後、予備ハードディスク装置20において暗号化された後にブロック番号が「I」の論理ブロックに書き込まれる。
【0118】
続いて暗号鍵交換制御プログラム104は、そのとき対象としているハードディスク装置102内のすべての論理ブロックについて同様の処理を終えたか否かを判断する(SP54)。
【0119】
そして暗号鍵交換制御プログラム104は、この判断において否定結果を得るとステップSP50に戻り、この後、同様の処理を繰り返す。
【0120】
そして暗号鍵交換制御プログラム104は、やがて暗号鍵交換対象のハードディスク装置102内のすべての論理ブロックについて同様の処理を終えることによりステップSP54において肯定結果を得ると、このコレクションコピー処理を終了して上述の暗号鍵交換処理に戻る。
【0121】
以上のように本実施の形態による計算機システム100においても、ストレージ装置101のコレクションコピー機能を利用して暗号鍵の交換処理を行うため、第1の実施の形態と同様に信頼性高くかつ安価に暗号鍵の交換処理を行うことができる。
【0122】
(3)第3の実施の形態
上述の第1及び第2の実施の形態においては、管理コンピュータ4に表示された暗号鍵交換設定画面70(図11)を用いて暗号鍵交換対象及び新たな暗号鍵を選択した後、当該暗号鍵交換設定画面70の実行ボタン74(図11)をクリックすることによって第1又は第2の暗号鍵交換処理をストレージ装置3に実行させることができる場合について説明した。
【0123】
これに対して本実施の形態による計算機システム110(図1)は、このような第1又は第2の暗号鍵交換処理をスケジュールして定期的に実行させ得る点が第1及び第2の計算機システム1,100と相違する。
【0124】
図17は、ユーザ操作により本実施の形態の管理コンピュータ111(図4)の暗号化管理プログラム112を起動して所定の操作を行うことにより管理コンピュータ111に表示させることができるスケジュール管理画面120を示す。このスケジュール管理画面120は、上述のように所望の暗号鍵交換処理をスケジュールするための画面であり、タスク設定領域121、リソース選択領域122、交換鍵選択領域123及びスケジュール表示領域124から構成される。
【0125】
このうちスケジュール表示領域124には、それまでに設定されたタスクのスケジュールが一覧形式で表示される。
【0126】
タスク設定領域121は、新たに設定しようとするタスクの開始日及びそのタスクの実行周期を設定するためのGUI領域である。このタスク設定領域121では、タスクの開始日をタスク開始日指定欄130に入力することにより、当該タスクの開始日を指定することができる。またタスク設定領域121では、頻度表示欄131のプルダウンボタン132をクリックすることにより、予め設定された頻度(年1回、月1回、周1回又は毎日など)の一覧が掲載されたプルダウンメニューを表示させ、そのプルダウンメニューから所望の頻度を1つ選択することにより、その頻度を頻度表示欄131に表示させることができる。そしてそのとき頻度表示欄131に表示された頻度がそのタスクを実行する頻度として指定されたことになる。
【0127】
またリソース選択領域122及び交換鍵選択領域123の構成及び機能は、図11について上述した暗号鍵交換設定画面70のリソース選択領域72及び交換鍵選択領域73と同様であり、ユーザは、これらリソース選択領域122及び交換鍵選択領域123において、暗号鍵交換対象及び新たな暗号鍵を選択することができる。
【0128】
そしてスケジュール管理画面120では、タスク設定領域121、リソース選択領域122及び交換鍵選択領域123において必要な指定や選択を行った後に、画面右下の実行ボタン133をクリックすることによって、そのとき作成した新たなスケジュールを登録することができる。
【0129】
そして、かかるスケジュールの登録が行われた場合、そのときスケジュール管理画面120を用いてユーザにより設定されたスケジュールの内容がその後管理コンピュータ111により管理され、そのスケジュールに合わせて管理コンピュータ111からストレージ装置3に対して暗号鍵交換指示が与えられることにより、登録されたスケジュールがストレージ装置3において実行されることになる。
【0130】
なお、スケジュール管理画面120において、キャンセルボタン134がクリックされた場合、そのときユーザが行った操作がすべてキャンセルされる。
【0131】
またスケジュール管理画面120において、スケジュール表示領域124のテーブルはクリックによる行選択機能を具備し、選択されたタスクは、DELETEボタンをクリックすることにより削除される。
【0132】
以上のように本実施の形態によれば、第1又は第2の実施の形態による暗号鍵交換処理の設定を1度設定しておけば、その設定に従って第1又は第2の実施の形態による暗号鍵交換処理が定期的に行われるため、2度目以降のかかる設定作業を省略させることができる。
【0133】
また第1又は第2の実施の形態による暗号鍵交換処理が定期的に行われるため、第1又は第2の実施の形態に比べてセキュリティを高めることができ、かくしてより一層とストレージ装置3,101の信頼性を向上させることができる。
【0134】
(4)他の実施の形態
なお上述の第1〜第3の実施の形態においては、本発明を図1〜図4のように構成された計算機システム1,100,110に適用するようにした場合について述べたが、本発明はこれに限らず、この他種々の構成を有する計算機システムに広く適用することができる。
【0135】
また上述の第1〜第3の実施の形態においては、ストレージ装置3,101においてデータを記憶する記憶媒体としてハードディスク装置20,102が採用されている場合について述べたが、本発明はこれに限らず、かかる記憶媒体として例えば半導体メモリや光ディスクなどを採用した場合にも本発明を適用することができる。
【0136】
さらに上述の第1〜第3の実施の形態においては、複数の記憶媒体(ハードディスク装置20,102)のうち、暗号鍵の交換対象の記憶媒体以外の各記憶媒体にそれぞれ格納された分割データ又はパリティの復号化データに基づいて、暗号鍵の交換対象の記憶媒体に格納されている分割データ又はパリティを復元する復元部としての機能と、復元された分割データ又はパリティを新たな暗号鍵で暗号化しながら予備の記憶媒体に格納する格納部としての機能と、予備の記憶媒体を暗号鍵の交換対象の記憶媒体が属するパリティグループ22を構成する記憶媒体とし、暗号鍵の交換対象の記憶媒体を予備の記憶媒体とするように、予備の記憶媒体と暗号鍵の交換対象の記憶媒体とを入れ替える記憶媒体入替え部としての機能とを同じ1つのマイクロプロセッサ41に搭載するようにした場合について述べたが、本発明はこれに限らず、例えばこれらの機能の一部をハードウェア化するなどしてかかる機能を分散させるようにしてもよい。
【産業上の利用可能性】
【0137】
本発明は、データを暗号化して記憶媒体に保存するストレージ装置に適用することができる。
【技術分野】
【0001】
本発明は、ストレージ装置及びその制御方法に関し、例えばデータを暗号化して記憶媒体に保存するストレージ装置に適用して好適なものである。
【背景技術】
【0002】
従来、この種のストレージ装置においては、ホストから書込み要求と共に与えられたデータを暗号化して記憶媒体に格納し、当該データの読出し要求がホストから与えられたときには、暗号化されたデータを復号化しながら記憶媒体から読み出してホストに送信する。
この際、この種のストレージ装置では、かかるデータの暗号化処理及び復号化処理をシステム管理者により予め設定された暗号鍵を用いて行うため、記憶媒体に格納されたデータのセキュリティを高めるために、定期的に暗号鍵を交換することが望まれる。
【0003】
このような暗号化鍵の交換方式として、従来、暗号鍵を交換しようとするデータをシーケンシャルに復号化しながら記憶媒体から読み出し、得られた復号化されたデータを新たな暗号鍵を用いて暗号化しながら記憶媒体の同じ位置に上書きする方式(以下、これを上書き方式と呼ぶ)が提案されている(米国特許第7162647号明細書)。
また他の暗号化鍵の交換方式として、記憶媒体に保存されたデータをシーケンシャルに復号化しながら記憶媒体から読み出し、得られた復号化データを新たな暗号鍵を用いて暗号化しながら他の記憶媒体に書き込む方式(以下、これをマイグレーション方式と呼ぶ)も広く用いられている。
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、上述の上書き方式では、記憶媒体が提供する記憶領域のうちの鍵交換処理が完了した部分と、鍵交換処理が行われていない部分とを区別するため、ポインタを用いて鍵交換処理の進捗状況を管理する。このためこの上書き方式によると、メモリの故障などによりこのポインタが消滅した場合にどの記憶領域に格納されたデータに対してどの暗号鍵を適用すべきであるかが不明となって、データを正しく復号化することができなくなり、結果としてデータ消失と同等の状況に陥る問題があった。
【0005】
一方、上述のマイグレーション方式では、かかる暗号鍵の交換処理がパリティグループ単位で行われる。このためかかるマイグレーション方式によると、そのとき暗号化鍵を交換しようとするパリティグループを構成する記憶媒体と同じ数の記憶媒体を余計に必要となる問題があった。
【0006】
本発明は以上の点を考慮してなされたもので、信頼性高くかつ安価に暗号化鍵交換処理を行い得るストレージ装置及びその制御方法を提案しようとするものである。
【課題を解決するための手段】
【0007】
かかる課題を解決するため本発明においては、ホストからのデータを複数の分割データに分割すると共に当該複数の分割データに基づいてパリティを生成し、生成した前記パリティ及び前記複数の分割データを、同じパリティグループを構成する複数の記憶媒体に分散して、かつ暗号化して格納するストレージ装置において、前記複数の記憶媒体のうち、暗号鍵の交換対象の記憶媒体以外の各記憶媒体にそれぞれ格納された前記分割データ又は前記パリティの復号化データに基づいて、前記暗号鍵の交換対象の記憶媒体に格納されている前記分割データ又は前記パリティを復元する復元部と、復元された前記分割データ又は前記パリティを新たな暗号鍵で暗号化しながら予備の記憶媒体に格納する格納部と、前記予備の記憶媒体を前記パリティグループを構成する記憶媒体とし、前記暗号鍵の交換対象の記憶媒体を予備の記憶媒体とするように、前記予備の記憶媒体と前記暗号鍵の交換対象の記憶媒体とを入れ替える記憶媒体入替え部とを備え、前記パリティグループを構成する各記憶媒体をそれぞれ順番に前記暗号鍵の交換対象の記憶媒体とすることにより、当該パリティグループを構成する各記憶媒体にそれぞれ格納されているデータの暗号鍵を前記新たな暗号鍵に更新するようにした。
【0008】
また本発明においては、ホストからのデータを複数の分割データに分割すると共に当該複数の分割データに基づいてパリティを生成し、生成した前記パリティ及び前記複数の分割データを、同じパリティグループを構成する複数の記憶媒体に分散して、かつ暗号化して格納するストレージ装置の制御方法において、前記複数の記憶媒体のうち、暗号鍵の交換対象の記憶媒体以外の各記憶媒体にそれぞれ格納された前記分割データ又は前記パリティの復号化データに基づいて、前記暗号鍵の交換対象の記憶媒体に格納されている前記分割データ又は前記パリティを復元する第1のステップと、復元された前記分割データ又は前記パリティを新たな暗号鍵で暗号化しながら予備の記憶媒体に格納する第2のステップと、前記予備の記憶媒体を前記パリティグループを構成する記憶媒体とし、前記暗号鍵の交換対象の記憶媒体を予備の記憶媒体とするように、前記予備の記憶媒体と前記暗号鍵の交換対象の記憶媒体とを入れ替える第3のステップとを備え、前記パリティグループを構成する各記憶媒体をそれぞれ順番に前記暗号鍵の交換対象の記憶媒体としながら前記第1乃至第3のステップを繰り返すことにより、当該パリティグループを構成する各記憶媒体にそれぞれ格納されているデータの暗号鍵を前記新たな暗号鍵に更新するようにした。
【発明の効果】
【0009】
本発明の暗号鍵交換方式によれば、データに対してどの暗号鍵を適用すべきであるかが不明となるおそれがなく、また暗号化鍵を交換しようとするパリティグループを構成する記憶媒体と同じ数の記憶媒体を用意する必要もない。かくするにつき、本発明によれば、信頼性高くかつ安価に暗号鍵の交換処理を行うことができる。
【図面の簡単な説明】
【0010】
【図1】図1は、本実施の形態による計算機システムの概略構成を示すブロック図である。
【図2】図2は、ホストコンピュータの構成を示すブロック図である。
【図3】図3は、ストレージ装置の構成を示すブロック図である。
【図4】図4は、管理コンピュータの構成を示すブロック図である。
【図5】図5は、コレクションコピー機能の説明に供する概念図である。
【図6】図6は、本実施の形態による暗号鍵交換方式の概略説明に供する概念図である。
【図7】図7は、本実施の形態による暗号鍵交換方式に関連してストレージ装置が保持する各種制御プログラム及び各種テーブルの説明に供する概念図である。
【図8】図8は、暗号鍵管理テーブルの構成を示す概念図である。
【図9】図9は、ディスク管理テーブルの構成を示す概念図である。
【図10】図10は、ボリューム管理テーブルの構成を示す概念図である。
【図11】図11は、暗号鍵交換設定画面の構成を略線的に示す略線図である。
【図12】図12は、第1の暗号鍵交換処理の処理手順を示すフローチャートである。
【図13】図13は、コレクションコピー処理の処理手順を示すフローチャートである。
【図14】図14は、第2の暗号鍵交換処理の処理手順を示すフローチャートである。
【図15】図15は、暗号鍵交換プロセス制御処理の処理手順を示すフローチャートである。
【図16】図16は、第2の実施の形態によるコレクションコピー処理の処理手順を示すフローチャートである。
【図17】図17は、スケジュール設定画面の構成を略線的に示す略線図である。
【発明を実施するための形態】
【0011】
以下図面について、本発明の一実施の形態を詳述する。
【0012】
(1)第1の実施の形態
(1−1)本実施の形態による計算機システムの構成
図1において、1は全体として本実施の形態による計算機システムを示す。この計算機システム1は、ホストコンピュータ2、ストレージ装置3及び管理コンピュータ4を備えて構成される。そして、計算機システム1においては、ホストコンピュータ2及びストレージ装置3間がSAN(Storage Area Network)等の第1のネットワーク5を介して接続されると共に、ホストコンピュータ2及び管理コンピュータ4間と、ストレージ装置3及び管理コンピュータ4間とがそれぞれLAN(Local Area Network)等の第2及び第3のネットワーク6,7を介して接続されている。
【0013】
ホストコンピュータ2は、図2に示すように、プロセッサ10、メモリ11、ネットワークインタフェース12、管理ポート13、入力装置14及び出力装置15を備え、これらが内部バス16を介して相互に接続されることにより構成されている。
【0014】
プロセッサ10は、ホストコンピュータ2全体の動作制御を司る機能を有し、メモリ11に格納されたビジネスアプリケーションソフトウェア17及びファイルシステム18などに基づいて各種の制御処理を実行する。メモリ11は、かかるビジネスアプリケーションソフトウェア17、ファイルシステム18及びその他の制御プログラムを記憶するために用いられるほか、プロセッサ10のワークメモリとしても用いられる。
【0015】
ネットワークインタフェース12は、ホストコンピュータ2が第1のネットワーク5を介してストレージ装置3と通信を行うためのインタフェースである。ホストコンピュータ2は、このネットワークインタフェース12を介してストレージ装置3内の対応する論理ボリュームVOLにデータを読み書きする。
【0016】
管理ポート13は、ホストコンピュータ2を第2のネットワーク6に接続するためのポートである。この管理ポート13には、WWN(World Wide Name)やIP(Internet Protocol)アドレスなどの固有のネットワークアドレスが付与される。
【0017】
入力装置14は、キーボード及びマウスなどから構成され、ユーザが各種操作を入力するために用いられる。また出力装置15は、ディスプレイ及びスピーカなどから構成され、プロセッサの制御のもとにGUI(Graphical User Interface)や各種情報を表示する。
ストレージ装置3は、図3に示すように、複数のハードディスク装置20を備える記憶部21と、これらハードディスク装置20に対するデータの入出力を制御するコントロール部30とから構成される。
【0018】
ハードディスク装置20は、例えばSCSI(Small Computer System Interface)ディスク等の高価なディスクや、SATA(Serial AT Attachment)ディスク等の安価なディスクなどから構成される。1又は複数のハードディスク装置20により1つのパリティグループ22が構成され、1つのパリティグループ22を構成する各ハードディスク装置20が提供する物理的な記憶領域上に、1又は複数の論理ボリュームVOLが設定される。そしてホスト2からのデータは、この論理ボリュームVOL内に所定大きさのブロック(以下、これを論理ブロックと呼ぶ)を単位として記憶される。
【0019】
各論理ボリュームVOLには、それぞれ固有のID(以下、これをボリュームIDと呼ぶ)が付与される。本実施の形態の場合、データの入出力は、このボリュームIDと、各論理ブロックにそれぞれ付与されるその論理ブロックに固有の番号(以下、これをブロック番号と呼ぶ)とを組み合わせたものをアドレスとして、当該アドレスを指定して行われる。
【0020】
またコントロール部30は、それぞれパッケージ化された複数のホストインタフェース部31、複数の制御部32、複数の共有メモリ部33及び複数のディスクインタフェース部34を備え、これらが内部ネットワーク35を介して接続されることにより構成されている。
【0021】
ホストインタフェース部31は、例えばNIC(Network Interface Card)やLANカードなどから構成される複数のホストインタフェース40を備え、これらホストインタフェース40が第1のネットワーク5や第3のネットワーク7に接続される。
【0022】
制御部32は、複数のマイクロプロセッサ41及びローカルメモリ42がバス43を介して接続されることにより構成されている。ローカルメモリ42には、後述する共有メモリ部33から読み出した制御プログラム及び制御情報などが格納されており、これら制御プログラム及び制御情報に基づいて、各マイクロプロセッサ41により、ホストコンピュータ2からの入出力要求に応じたデータの入出力処理や、そのデータの暗号化/復号化処理及び後述するコレクションコピー処理などが実行される。
【0023】
共有メモリ部33は、例えばDRAM(Dynamic Random Access Memory)から構成されるデータキャッシュ用メモリ44及び制御情報用メモリ45を備える。データキャッシュ用メモリ44は、ハードディスク装置20に読み書きするデータを一時的に記憶するために利用され、制御情報用メモリ45は、主にストレージ装置3全体の構成に関するシステム構成情報等の各種制御情報やコマンドを記憶するために利用される。
【0024】
ディスクインタフェース部34は、複数のディスクインタフェース46を備えて構成される。これら複数のディスクインタフェース46は、それぞれケーブル47を介して記憶部21のハードディスク装置20と接続されており、コントロール部30及び記憶部21間における読書き対象のデータの受け渡し処理を仲介する。
【0025】
内部ネットワーク35は、例えば高速スイッチングによりデータ伝送を行う超高速クロスバススイッチなどのスイッチ又はバス等で構成される。ホストインタフェース部31、制御部32、共有メモリ部33及びディスクインタフェース部34間におけるデータやコマンドの授受は、この内部ネットワーク35を介して行われる。
【0026】
管理コンピュータ4は、図4に示すように、プロセッサ50、メモリ51、管理ポート52、入力装置53及び出力装置54が内部バス55を介して接続されることにより構成されている。
【0027】
これらプロセッサ50、メモリ51、管理ポート52、入力装置53及び出力装置54は、ホストコンピュータ2(図2)の対応部位と同様の機能を有するものであるため、ここでの説明は省略する。
【0028】
なお、管理コンピュータ4の場合、メモリ51には、後述する暗号化管理プログラム56が格納される。
【0029】
(1−2)本実施の形態による暗号鍵交換方式
次に、ストレージ装置3に搭載された暗号鍵交換機能について説明する。
【0030】
ストレージ装置3では、パリティグループ22(図3)が提供する論理ボリュームVOLにデータを書き込む際、図5に示すように、ホストコンピュータ2から与えられた書込み対象のデータD,D2,D3,……を所定単位で複数のデータ(以下、これを分割データと呼ぶ)D1−1〜D1−3,D2−1〜D2−3,D3−1〜D3−3に分割すると共に、これら分割データD1−1〜D1−3,D2−1〜D2−3,D3−1〜D3−3に基づいて冗長データ(以下、これをパリティと呼ぶ)D1−P,D2−P,D3−Pを作成し、これらの分割データD1−1〜D1−3,D2−1〜D2−3,D3−1〜D3−3及びパリティD1−P,D2−P,D3−Pをそれぞれディスクインタフェース部34を介して同じパリティグループ22を構成する複数のハードディスク装置20に分散して格納している。
【0031】
またストレージ装置3においては、パリティグループ22内の1つのハードディスク装置20に障害が発生した場合、そのパリティグループ22を構成する他のハードディスク装置20に格納されているデータ(分割データD1−1〜D1−3,D2−1〜D2−3,D3−1〜D3−3又はパリティD1−P,D2−P,D3−P)を用いて障害が発生したハードディスク装置20に格納されていたデータを復元し、復元したデータを予備のハードディスク装置(以下、これを予備ハードディスク装置と呼ぶ)20に格納するコレクションコピー処理を実行する。
【0032】
加えて本実施の形態によるストレージ装置3には、以上のようなコレクションコピー機能を利用して暗号鍵の交換処理を行う暗号鍵交換機能が搭載されている。
【0033】
実際上、本ストレージ装置3では、暗号鍵の交換処理時、図6に示すように、パリティグループ22を構成する複数のハードディスク装置20のうち、暗号鍵の交換対象(以下、これを暗号鍵交換対象と呼ぶ)とするハードディスク装置20に格納されているデータを上述のコレクションコピー処理により復元し、復元したデータを新たな暗号鍵を用いて暗号化して予備ハードディスク装置20にコピーする。そしてストレージ装置3は、この後、このとき暗号鍵交換対象であったハードディスク装置20を予備ハードディスク装置20に切り替える。
【0034】
またストレージ装置3においては、かかるパリティグループ22を構成する残りの各ハードディスク装置20についても同様のコレクションコピー処理を実行する。これにより、パリティグループ22を構成する各ハードディスク装置20にそれぞれ格納されたデータの暗号鍵を新たな暗号鍵に交換することができる。
【0035】
以上のような本実施の形態による暗号鍵交換処理を実行するための手段として、ストレージ装置3の制御部32(図3)のローカルメモリ42には、図7に示すように、暗号鍵交換制御プログラム60、暗号化/復号化プログラム61及び暗号鍵交換プロセス制御プログラム62などの制御プログラムと、暗号鍵管理テーブル63、ディスク管理テーブル64及びボリューム管理テーブル65などの管理情報とが格納されている。
【0036】
このうち暗号鍵交換制御プログラム60は、上述のようにコレクションコピー機能を用いて暗号鍵の交換を行うための制御プログラムであり、暗号化/復号化プログラム61は、データを暗号化又は復号化するためのプログラムである。また暗号鍵交換プロセス制御プログラム62は、上述のような暗号鍵交換処理を実行している最中にそのストレージ装置2内のいずれかのハードディスク装置20に障害が発生した場合の対応処理を実行するためのプログラムである。
【0037】
なお、以下においては、各種処理の処理主体を「プログラム」として説明することがあるが、実際上は、その「プログラム」に基づいて制御部32(図3)内のマイクロプロセッサ41(図3)がその処理を実行することは言うまでもない。
【0038】
一方、暗号鍵管理テーブル63は、ストレージ装置3内において暗号鍵を管理するためのテーブルであり、図8に示すように、鍵ID欄63A、鍵データ欄63B及び生成日欄63Cから構成される。
【0039】
そして鍵ID欄63Aには、対応する暗号鍵に付与された固有のID(鍵ID)が格納され、鍵データ欄63Bには、その暗号鍵のデータが格納される。また生成日欄63Cには、その暗号鍵を生成した年月日が格納される。従って、図8では、「54SD7DODE4AG45S5DFDF5PL」という暗号鍵は「2005/03/31」に生成され、その暗号鍵には「KEY001」という鍵IDが付与されていることが示されている。
【0040】
ディスク管理テーブル64は、そのストレージ装置3内に存在するハードディスク装置20を管理するためのテーブルであり、図9に示すように、ディスクID欄64A、パリティグループID欄64B、鍵ID欄64C及び暗号化日時欄64Dから構成される。
【0041】
そしてディスクID欄64Aには、対応するハードディスク装置20に付与された当該ハードディスク装置20に固有のID(ディスクID)が格納され、パリティグループID欄64Dには、そのハードディスク装置20が属するパリティグループ22に付与された当該パリティグループ22に固有のID(パリティグループID)が格納される。
【0042】
また鍵ID欄64Cには、そのハードディスク装置20に格納されたデータを暗号化する際に使用した暗号鍵の鍵IDが格納され、暗号化日時欄64Dには、そのハードディスク装置20に格納されたデータを暗号化した日時が格納される。
【0043】
従って、図9の例では、「DISK001」〜「DISK004」というディスクIDがそれぞれ付与された4つのハードディスク装置20により「PG001」というパリティグループIDが付与されたパリティグループ22が構成されており、このパリティグループ22が提供する論理ボリュームVOLに格納されたデータは、「KEY001」という鍵IDの暗号鍵を用いて「2007/04/01 00:21.01」に暗号化されていることが分かる。
【0044】
また図9では、「DISK005」〜「DISK007」というディスクIDがそれぞれ付与された3つのハードディスク装置20は、いずれもパリティグループ22に属していないことが示されている。なお、「DISK020」というハードディスク装置20については、パリティグループID欄64Bに「HOT SWAP」という情報が格納されているが、これはこのハードディスク装置20が予備ハードディスク装置であることを表している。
【0045】
さらにボリューム管理テーブル65は、ストレージ装置3内に定義された論理ボリュームVOLを管理するためのテーブルであり、図10に示すように、パリティグループID欄65A、RAIDレベル欄65B、容量欄65C及びボリュームID欄65Dから構成される。
【0046】
そしてパリティグループID欄65Aには、対応するパリティグループ22のパリティグループIDが格納され、RAIDレベル欄65Bには、そのパリティグループ22について設定されたRAID(Redundant Arrays of Inexpensive Disks)レベルが格納される。また容量欄65Cには、そのパリティグループ22の容量が格納され、ボリュームID欄65Dには、そのパリティグループ22を構成する論理ボリュームVOLのボリュームIDが格納される。
【0047】
従って、図10の例の場合、「VOL001」というボリュームIDが付与された論理ボリュームVOLは、「PG001」というパリティグループIDが付与された容量が「150GB」でRAIDレベルが「RAID5(3D+1)」のパリティグループ22を構成していることが分かる。
【0048】
(1−3)暗号鍵交換指示画面
図11は、管理コンピュータ4(図4)において暗号化管理プログラム56(図4)を起動することにより当該管理コンピュータ4に表示される暗号鍵交換設定画面70を示す。
【0049】
この暗号鍵交換設定画面70は、ストレージ装置3に上述の暗号鍵交換機能に基づく暗号鍵交換処理を実行させる際の各種条件を設定するためのGUI(Graphical User Interface)であり、ディスク情報領域71、リソース選択領域72及び交換鍵選択領域73から構成される。
【0050】
このうちディスク情報領域71には、暗号化管理プログラム56がストレージ装置3から収集した当該ストレージ装置3内のハードディスク装置20に関する情報に基づいて、ディスク管理テーブル64(図9)と同様の情報が一覧形式で表示される。
【0051】
またリソース選択領域72は、暗号鍵交換対象を選択するためのGUI領域である。このリソース選択領域72において、ユーザは、ディスクID、パリティグループID、鍵ID又は期間のいずれかの条件を指定することにより暗号鍵交換対象を選択することができる。
【0052】
例えば、かかる条件としてディスクIDを指定する場合、ユーザは、ディスクIDに対応するラジオボタン80を選択すると共に、選択ディスクID表示欄81のプルダウンボタン82をクリックすることにより、ストレージ装置3内のすべてのハードディスク装置20のディスクIDが掲載されたプルダウンメニューを表示させ、このプルダウンメニューから暗号鍵交換対象とすべきハードディスク装置20のディスクIDを1つ選択するようにする。この結果、そのとき選択されたディスクIDが選択ディスクID表示欄81に表示される。そして、選択ディスクID表示欄81にディスクIDが表示されたハードディスク装置20が暗号鍵交換対象として選択されたことになる。
【0053】
また、かかる条件としてパリティグループIDを指定する場合、ユーザは、パリティグループIDに対応するラジオボタン83を選択すると共に、選択パリティグループID表示欄84のプルダウンメニューボタン85をクリックすることにより、ストレージ装置3内に定義されたすべてのパリティグループ22のパリティグループIDが掲載されたプルダウンメニュー86を表示させ、このプルダウンメニュー86から暗号鍵交換対象とすべきパリティグループ22のパリティグループIDを1つ選択する。この結果、そのとき選択されたパリティグループIDが選択パリティグループID表示欄84に表示される。そして、選択パリティグループID表示欄84にパリティグループIDが表示されたパリティグループ22が暗号鍵交換対象として選択されたことになる。
【0054】
さらに、かかる条件として鍵IDを指定する場合、ユーザは、対応するチェックボックス87にチェックマークを表示させると共に、選択鍵ID表示欄88のプルダウンメニューボタン89をクリックすることにより、ストレージ装置3において使用されたすべての暗号鍵の鍵IDが掲載されたプルダウンメニューを表示させ、このプルダウンメニューから暗号鍵交換対象とすべき暗号鍵の鍵IDを1つ選択する。この結果そのとき選択された鍵IDが選択鍵ID表示欄88に表示される。そして、選択鍵ID表示欄88に鍵IDが表示された暗号鍵により暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象として選択されたことになる。
【0055】
さらに、かかる条件として期間を指定する場合、ユーザは、対応するチェックボックス90にチェックマークを表示させると共に、期間初日表示欄91及び期間最終日表示欄92にそれぞれ期間の初日及び最終日の日にちを入力する。この結果、このとき期間初日表示欄91に表示された日にちから期間最終日表示欄92に表示された日にちまでの間に暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象として選択されたことになる。
【0056】
なお、かかる条件を組み合わせて暗号鍵交換対象を選択することもできる。例えば暗号鍵交換対象の条件としてパリティグループID及び鍵IDの2つを選択した場合、そのパリティグループIDが付与されたパリティグループ22内のその暗号鍵により暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象となる。
【0057】
また暗号鍵交換対象の条件としてパリティグループID及びデータ暗号化期間の2つを選択した場合、そのパリティグループIDが付与されたパリティグループ22内のその期間内に暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象となる。
【0058】
さらに暗号鍵交換対象の条件としてパリティグループID、鍵ID及び期間の3つを選択した場合、そのパリティグループIDが付与されたパリティグループ22内のその期間内にその鍵IDが付与された暗号鍵により暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象となる。
【0059】
さらに暗号鍵交換対象の条件として鍵ID及び期間の2つを指定した場合、その鍵IDが付与された暗号鍵によりその期間内に暗号化されたデータが格納されているハードディスク装置20が暗号鍵交換対象となる。
【0060】
他方、交換鍵選択領域73は、暗号鍵交換処理に使用する新たな暗号鍵を選択するためのGUI領域である。ユーザは、この交換鍵選択領域73において、新たな暗号鍵を選択することができる。
【0061】
実際上、新たな暗号鍵を選択する場合、ユーザは、新暗号鍵ID表示欄93のプルダウンメニューボタン94をクリックすることにより、予め作成されたすべての暗号鍵の鍵IDが表示されたプルダウンメニューを表示させ、このプルダウンメニューから新たに使用すべき暗号鍵の鍵IDを1つ選択する。かくして、そのとき選択された鍵IDが新暗号鍵ID表示欄93に表示される。そして、ユーザは、この後、ニューキーボタンをクリックする。この結果、そのとき新暗号鍵ID表示欄93に表示された鍵IDが付与された暗号鍵が新たな暗号鍵として選択されたことになる。
【0062】
そして暗号鍵交換設定画面70では、以上のようにして暗号鍵交換対象と、新たな暗号鍵とを選択した後、画面右下に表示された実行ボタン74をクリックすることによって、暗号鍵交換処理の実行命令を入力することができる。
【0063】
この場合、このとき暗号鍵交換設定画面70を用いてユーザが選択した暗号鍵交換対象と、新たな暗号鍵とに関する情報を含む、暗号鍵交換処理の実行指示(以下、これを暗号鍵交換指示と呼ぶ)が管理コンピュータ4からストレージ装置3に与えられる。そして、この暗号鍵交換指示に基づいて、後述のようにストレージ装置3において暗号鍵交換処理が実行される。
【0064】
なお、暗号鍵交換設定画面70において、画面右下に表示されたキャンセルボタン75をクリックした場合、そのとき暗号鍵交換設定画面70において行ったユーザ操作がすべてキャンセルされる。
【0065】
(1−4)本実施の形態による暗号鍵交換処理
次に、かかる暗号鍵交換指示を受信したストレージ装置3の暗号鍵交換制御プログラム60及び暗号鍵交換プロセス制御プログラム62(図7)の処理内容について説明する。
【0066】
(1−4−1)第1の暗号鍵交換処理
図12は、暗号鍵交換制御プログラム60が、暗号鍵交換対象としてパリティグループ22(図3)が指定された上述の暗号鍵交換指示を受信した場合に実行する第1の暗号鍵交換処理の処理手順を示す。暗号鍵交換制御プログラム60は、かかる暗号鍵交換指示が与えられると、この処理手順に従って、指定されたパリティグループ(以下、これを指定パリティグループと呼ぶ)22に属する各ハードディスク装置20に対する暗号鍵交換処理を実行する。
【0067】
すなわち暗号鍵交換制御プログラム60は、暗号鍵交換指示が与えられると、この第1の暗号鍵交換処理を開始し、まず、ディスク管理テーブル64(図9)を参照して、かかる指定パリティグループ22に属する各ハードディスク装置20について、そのハードディスク装置20に格納されているデータを暗号化するときに使用した暗号鍵の鍵IDを検出する(SP1)。
【0068】
続いて暗号鍵交換制御プログラム60は、記憶部21内の制御プログラム保存用として使用されている所定のハードディスク装置20から暗号化/復号化プログラム61(図7)をローカルメモリ42(図3)に読み出し(SP2)、この後、予備ハードディスク装置20が使用可能であるか否かを判断する(SP3)。
【0069】
ここで、予備ハードディスク装置20が既に使用されている場合や、当該予備ハードディスク装置に障害が発生している場合には、この判断において否定結果が得られる。かくして、このとき暗号鍵交換制御プログラム60は、所定時間待機した後(SP4)、タイムアウトとなったか否か(リトライ回数が予め定められた回数となったか否か)を判断した後に(SP5)、ステップSP3に戻る。
【0070】
そして暗号鍵交換制御プログラム60は、ステップSP3又はステップSP5において肯定結果を得るまで同様の処理を繰り返し、やがてステップSP5において肯定結果を得た場合には、管理コンピュータ4にエラーを通知した後(SP6)、この第1の暗号鍵交換処理を終了する。
【0071】
これに対して暗号鍵交換制御プログラム60は、ステップSP3の判断において肯定結果を得た場合には、指定パリティグループ22に属するハードディスク装置20を1つ選択する(SP7)。
【0072】
続いて暗号鍵交換制御プログラム60は、そのハードディスク装置20に格納されているデータ(分割データ又はパリティ)を、暗号鍵交換指示において指定された新たな暗号鍵で暗号化しながら予備ハードディスク装置20にコレクションコピーする(SP8)。
【0073】
次いで暗号鍵交換制御プログラム60は、ステップSP7において選択したハードディスク装置20と、予備ハードディスク装置20とを入れ替える。つまり、暗号鍵交換制御プログラム60は、ステップSP7において選択したハードディスク装置20を予備ハードディスク装置20に設定し、それまでの予備ハードディスク装置20を指定パリティグループ22に属するハードディスク装置20として設定する(SP9)。
【0074】
より具体的には、暗号鍵交換制御プログラム60は、ディスク管理テーブル64(図9)の、ステップSP7において選択したハードディスク装置20に対応するエントリのパリティグループID欄64Gに、当該ハードディスク装置20が予備ハードディスク装置であることを意味する「HOT SWAP」を格納すると共に、それまで予備ハードディスク装置として設定されていたハードディスク装置20に対応するエントリのパリティグループID欄64Bに、指定パリティグループ22のパリティグループIDを格納する。
【0075】
また暗号鍵交換制御プログラム60は、ボリューム管理テーブル65(図10)の、ステップSP7において選択したハードディスク装置20に対応するエントリのパリティグループID欄65A、RAIDレベル欄65B及び容量欄65Cに格納されている情報を、それまで予備ハードディスク装置として設定されていたハードディスク装置20に対応するエントリのパリティグループID欄65A、RAIDレベル欄65B及び容量欄65Cにそれぞれコピーした後に消去する。
【0076】
続いて暗号鍵交換制御プログラム60は、指定パリティグループ22に属するすべてのハードディスク装置20について同様の処理を実行し終えたか否かを判断する(SP10)。
【0077】
そして暗号鍵交換制御プログラム60は、この判断において否定結果を得ると、ステップSP3に戻り、この後、ステップSP7において選択するハードディスク装置20を順次他のハードディスク装置20に切り替えながら、同様の処理を繰り返す(SP3〜SP10−SP3)。
【0078】
以上により、指定パリティグループ22に属する各ハードディスク装置20について、そのハードディスク装置20に格納されているデータを予備ハードディスク装置20に新たな暗号鍵で暗号化しながらコレクションコピーすることができる。
【0079】
そして暗号鍵交換制御プログラム60は、やがて指定パリティグループ22に属する各ハードディスク装置20にそれぞれ格納されているデータを他のハードディスク装置20にコレクションコピーし終えることによりステップSP10において肯定結果を得ると、上述の処理により最後に予備ハードディスク装置20に設定されたハードディスク装置20に格納されているデータを完全消去し(SP11)、この後、この第1の暗号鍵交換処理を終了する。
【0080】
(1−4−2)コレクションコピー処理
図13は、上述の暗号鍵交換処理のステップSP8において実行されるコレクションコピー処理の具体的な処理内容を示す。
【0081】
暗号鍵交換制御プログラム60は、第1の暗号鍵交換処理のステップSP8に進むと、このコレクションコピー処理を開始し、まず、所定のカウンタ(以下、これをブロックカウンタと呼ぶ)のカウント値をリセット(「0」にセット)する(SP20)。
【0082】
続いて暗号鍵交換制御プログラム60は、暗号鍵交換対象のハードディスク装置20以外の指定パリティグループ22に属する各ハードディスク装置20から、ブロックカウンタのカウント値と同じブロック番号が付与された論理ブロックに格納されているデータ(分割データ又はパリティ)をそれぞれ読み出す(SP21)。そして暗号鍵交換制御プログラム60は、このとき各ハードディスク装置20からそれぞれ読み出した1論理ブロック分の各データをそれぞれ復号化する(SP22)。
【0083】
次いで暗号鍵交換制御プログラム60は、ステップSP22において復号化した各データに基づいて、暗号鍵交換対象のハードディスク装置20内の、ブロックカウンタのカウント値と同じブロック番号が付与された論理ブロックに格納されているであろうデータをコレクションコピー機能を用いて生成する(SP23)。
【0084】
さらに暗号鍵交換制御プログラム60は、この後、生成したデータを、暗号鍵交換指示において指定された新たな暗号鍵を用いて暗号化し(SP24)、暗号化したデータを予備ハードディスク装置20内のブロック番号が「I」の論理ブロックに書き込む(SP25)。
【0085】
続いて暗号鍵交換制御プログラム60は、暗号鍵交換対象のハードディスク装置20内のすべての論理ブロックについて同様の処理を終えたか否かを判断する(SP26)。
【0086】
そして暗号鍵交換制御プログラム60は、この判断において否定結果を得ると、上述のブロックカウンタのカウント値を1増加させた後(SP27)、
ステップSP21に戻る。そして暗号鍵交換制御プログラム60は、この後、同様の処理を繰り返す。
【0087】
そして暗号鍵交換制御プログラム60は、やがてそのとき対象としているハードディスク装置20内のすべての論理ブロックについて同様の処理を終えることにより(つまりそのとき対象としているハードディスク装置20についてのコレクションコピーが完了することにより)ステップSP26において肯定結果を得ると、この暗号鍵交換実行処理を終了して上述の第1の暗号鍵交換処理(図12)に戻る。
【0088】
(1−4−3)第2の暗号鍵交換処理
一方、図14は、暗号鍵交換制御プログラム60が、暗号鍵交換対象としてハードディスク装置20が指定された上述の暗号鍵交換指示を受信した場合に実行する第2の暗号鍵交換処理の処理手順を示す。暗号鍵交換制御プログラム60は、かかる暗号鍵交換指示が与えられると、この処理手順に従って、当該暗号鍵交換指示において指定されたハードディスク装置(以下、これを指定ハードディスク装置と呼ぶ)20に対する暗号鍵交換処理を実行する。
【0089】
すなわち暗号鍵交換制御プログラム60は、かかる暗号鍵交換指示が与えられると、この暗号鍵交換処理を開始し、まず、暗号鍵交換指示において指定されたディスクIDを取得する(SP30)。
【0090】
続いて暗号鍵交換制御プログラム60は、予備ハードディスク装置20が使用可能であるか否かを判断する(SP31)。そして暗号鍵交換制御プログラム60は、この判断において否定結果を得るとステップSP32に進み、続くステップSP32〜ステップSP34を図12について上述した第1の暗号鍵交換処理のステップSP4〜ステップSP6と同様に処理する。
【0091】
また暗号鍵交換制御プログラム60は、ステップSP31の判断において肯定結果を得ると、ボリューム管理テーブル65(図9)を参照して、指定ハードディスク装置20がいずれかのパリティグループ22に属しているか否かを判断する(SP35)。
【0092】
そして暗号鍵交換制御プログラム60は、この判断において肯定結果を得ると、図13について上述したコレクションコピー処理を実行することにより、その指定ハードディスク装置20に格納されているデータ(分割データ又はパリティ)を、暗号鍵交換指示において指定された新たな暗号鍵で暗号化しながら予備ハードディスク装置20にコレクションコピーする(SP36)。
【0093】
これに対して暗号鍵交換制御プログラム60は、ステップSP35の判断において否定結果を得ると、指定ハードディスク装置20に格納されているデータを元の暗号鍵を用いて復号化した後、復号化したデータを、暗号鍵交換指示において指定された新たな暗号鍵で暗号化しながら予備ハードディスク装置20にコピーする(SP37)。
【0094】
次いで暗号鍵交換制御プログラム60は、第1の暗号鍵交換処理のステップSP9(図12)と同様にして指定ハードディスク装置20と予備ハードディスク装置20とを入れ替える(SP38)。
【0095】
さらに暗号鍵交換制御プログラム60は、予備ハードディスク装置(この時点では指定ハードディスク装置)20に格納されているデータを完全消去し(SP39)、この後、この第2の暗号鍵交換処理を終了する。
【0096】
(1−4−4)暗号鍵交換プロセス制御処理
一方、図15は、第1の暗号鍵交換処理の実行中に当該ストレージ装置3に属するいずれかのハードディスク装置20に障害が発生し、又は第2の暗号鍵交換処理の実行中に指定ハードディスク装置20に障害が発生したことを検出した場合に、暗号鍵交換プロセス制御プログラム62(図7)が実行する暗号鍵交換プロセス制御処理の処理手順を示す。
【0097】
暗号鍵交換プロセス制御プログラム62は、暗号鍵交換制御プログラム60(図7)が第1又は第2の暗号鍵交換処理を実行中に、指定パリティグループ22に属するいずれかのハードディスク装置20又は指定ハードディスク装置20に生じた何らかの障害を検出すると、この暗号鍵交換プロセス制御処理を開始し、まず、暗号鍵交換制御プログラム60に対して第1又は第2の暗号鍵交換処理を一時停止するよう指示を与える(SP40)。
【0098】
続いて暗号鍵交換プロセス制御プログラム62は、かかる障害から回復するためには予備ハードディスク装置20が必要であるか否かを判断する(SP41)。
【0099】
この場合、例えばかかる障害が、ハードディスク装置20に許容範囲数の不良セクタが発生したなどの軽微なものである場合には、予備ハードディスク装置20を用いるまでもなく、かかる障害からの復旧を行うことができる(SP41:NO)。かくして、このとき暗号鍵交換プロセス制御プログラム62は、暗号鍵交換制御プログラム60に対して暗号鍵交換処理を再開するよう通知を与え(SP42)、この後この暗号鍵交換プロセス制御処理を終了する。
【0100】
これに対して、例えばかかる障害が、ハードディスク装置20が閉塞したなどの重大な障害である場合には、当該障害から復旧するために予備ハードディスク装置20を用いる必要がある(SP41:YES)。かくして、このとき暗号鍵交換プロセス制御プログラム62は、第1又は第2の暗号鍵交換処理で使用していた予備ハードディスク装置20を解放する。そして暗号鍵交換プロセス制御プログラム62は、この後、例えば障害が発生したハードディスク装置20が交換されるなどしてかかる障害から復旧し、第1又は第2の暗号鍵交換処理のために予備ハードディスク装置20を使用できる状態になるのを待ち受ける(SP43)。
【0101】
そして暗号鍵交換プロセス制御プログラム62は、やがて第1又は第2の暗号鍵交換処理のために予備ハードディスク装置20を使用できる状態になると、ステップSP40において暗号鍵交換処理を停止したときに、第1又は第2の暗号鍵交換処理が、既にディスク管理テーブル64及びボリューム管理テーブル65を更新する段階(図12のステップSP9又は図14のステップSP38)にまで進んでいたか否かを判断する(SP44)。
【0102】
この判断において肯定結果を得ることは、ステップSP40において第1又は第2の暗号鍵交換処理を停止した段階で既に暗号鍵交換対象のハードディスク装置20と、予備ハードディスク装置20との入れ替えが行われており、その後に行われた障害からの復旧処理において当該予備ハードディス装置20が使用されていないことを意味する。
【0103】
かくして、このとき暗号鍵交換プロセス制御プログラム62は、ステップSP40で停止した第1又は第2の暗号鍵交換処理をそのまま再開するよう暗号鍵交換制御プログラム60に通知し(SP46)、この後、この暗号鍵交換プロセス制御処理を終了する。このとき暗号鍵交換制御プログラム60は、かかる通知に従って、第1又は第2の暗号鍵交換処理をステップSP60の通知を受けて停止した段階から再開する。
【0104】
これに対してステップSP44の判断において否定結果を得ることは、ステップSP40において第1又は第2の暗号鍵交換処理を停止した後に、その後に行われた障害からの復旧処理において予備ハードディスク装置20が使用され、当該予備ハードディスク装置20に格納されているデータがコレクションコピーされたデータとは異なるおそれがあることを意味する。
【0105】
かくして、このとき暗号鍵交換プロセス制御プログラム62は、ステップSP40において第1又は第2の暗号鍵交換処理を停止した時点で暗号鍵交換対象であったハードディスク装置20に対する暗号鍵の交換処理を、コレクションコピーの最初(図12のステップSP8又は図14のステップSP36若しくはステップSP37)にまで戻って再開するよう暗号鍵交換制御プログラム60に通知し(SP46)、この後、この暗号鍵交換プロセス制御処理を終了する。このとき暗号鍵交換制御プログラム60は、かかる通知に従って、そのハードディスク装置20に対する第1又は第2の暗号鍵交換処理を、コレクションコピーの最初から再開する。
【0106】
(1−5)本実施の形態の効果
以上のように本実施の形態による暗号鍵交換方式では、ストレージ装置3に搭載されたコレクションコピー機能を利用して暗号鍵の交換処理を行うため、暗号鍵交換方式として上述の上書き方式を採用したときのように、データに対してどの暗号鍵を適用すべきであるかが不明となるおそれがなく、また暗号鍵交換方式として上述のマイグレーション方式を採用したときのように、暗号化鍵を交換しようとするパリティグループを構成するハードディスク装置20と同じ数のハードディスク装置20を用意する必要もない。かくするにつき、本実施の形態の暗号鍵交換方式によれば、信頼性高くかつ安価に暗号鍵の交換処理を行うことができる。
【0107】
(2)第2の実施の形態
図1において、100は全体として第2の実施の形態による計算機システムを示す。この計算機システム100は、ストレージ装置101に搭載されたハードディスク装置102(図3)に暗号化機能が搭載されている点が第1の実施の形態による計算機システム1と異なる。
【0108】
すなわち第1の実施の形態においては、ストレージ装置3のコントロール部30において暗号化/復号化したデータをハードディスク装置20に読み書きしていたが、本実施の形態においては、ストレージ装置101のコントロール部103(図3)は暗号化されていないデータを暗号鍵と共にハードディスク装置102に与える。
【0109】
そしてハードディスク装置102は、コントロール部103から与えられるデータを、当該データと共に与えられた暗号鍵に基づいて暗号化して当該ハードディスク装置102内の記憶媒体に記憶する。
【0110】
またハードディスク装置102は、この後、コントロール部103からデータの読出し要求が与えられた場合には、対応するデータを記憶媒体から読み出し、そのデータを復号化してコントロール部103に送出する。
【0111】
図16は、このようなストレージ装置101において暗号鍵交換制御プログラム104(図7)により実行される第2の実施の形態によるコレクションコピー処理の処理手順を示す。
【0112】
かかる暗号鍵交換制御プログラム104は、第1及び第2の暗号鍵交換処理については図12又は図14について上述した第1の実施の形態と同様の処理を行うが、コレクションコピー処理については、この図16に示す第2のコレクションコピー処理を実行する。
【0113】
すなわち暗号鍵交換制御プログラム104は、第1の暗号鍵交換処理のステップSP8(図12)又は第2の暗号鍵交換処理のステップSP36(図14)に進むと、この第2のコレクションコピー処理を開始し、まず、上述したブロックカウンタのカウント値をリセットする(SP50)。
【0114】
続いて暗号鍵交換制御プログラム104は、暗号鍵交換対象のハードディスク装置102以外の指定パリティグループ22に属する各ハードディスク装置102から、ブロックカウンタのカウント値と同じブロック番号が付与された論理ブロックに格納されているデータをそれぞれ読み出す(SP51)。なお、このとき各ハードディスク装置102から読み出されるデータは、既にハードディスク装置102内部において復号化されている。
【0115】
次いで暗号鍵交換制御プログラム104は、ステップSP52において取得した各データに基づいて、暗号鍵交換対象のハードディスク装置102内の、ブロックカウンタのカウント値と同じブロック番号が付与された論理ブロックに格納されているであろうデータをコレクションコピー機能を用いて生成する(SP23)。
【0116】
さらに暗号鍵交換制御プログラム104は、この後、生成したデータを、暗号鍵交換指示において指定された新たな暗号鍵と、予備ハードディスク装置102内のブロック番号が「I」の論理ブロックに書き込むべき書込み要求と共に予備ハードディスク装置102に与える(SP25)。
【0117】
さらに暗号鍵交換制御プログラム104は、この後、復元したデータを、書込み先としてブロック番号が「I」の論理ブロックを指定した書込み要求と、暗号鍵交換指示において指定された新たな暗号鍵と供に予備ハードディスク装置に与える(SP53)。かくしてこのデータは、この後、予備ハードディスク装置20において暗号化された後にブロック番号が「I」の論理ブロックに書き込まれる。
【0118】
続いて暗号鍵交換制御プログラム104は、そのとき対象としているハードディスク装置102内のすべての論理ブロックについて同様の処理を終えたか否かを判断する(SP54)。
【0119】
そして暗号鍵交換制御プログラム104は、この判断において否定結果を得るとステップSP50に戻り、この後、同様の処理を繰り返す。
【0120】
そして暗号鍵交換制御プログラム104は、やがて暗号鍵交換対象のハードディスク装置102内のすべての論理ブロックについて同様の処理を終えることによりステップSP54において肯定結果を得ると、このコレクションコピー処理を終了して上述の暗号鍵交換処理に戻る。
【0121】
以上のように本実施の形態による計算機システム100においても、ストレージ装置101のコレクションコピー機能を利用して暗号鍵の交換処理を行うため、第1の実施の形態と同様に信頼性高くかつ安価に暗号鍵の交換処理を行うことができる。
【0122】
(3)第3の実施の形態
上述の第1及び第2の実施の形態においては、管理コンピュータ4に表示された暗号鍵交換設定画面70(図11)を用いて暗号鍵交換対象及び新たな暗号鍵を選択した後、当該暗号鍵交換設定画面70の実行ボタン74(図11)をクリックすることによって第1又は第2の暗号鍵交換処理をストレージ装置3に実行させることができる場合について説明した。
【0123】
これに対して本実施の形態による計算機システム110(図1)は、このような第1又は第2の暗号鍵交換処理をスケジュールして定期的に実行させ得る点が第1及び第2の計算機システム1,100と相違する。
【0124】
図17は、ユーザ操作により本実施の形態の管理コンピュータ111(図4)の暗号化管理プログラム112を起動して所定の操作を行うことにより管理コンピュータ111に表示させることができるスケジュール管理画面120を示す。このスケジュール管理画面120は、上述のように所望の暗号鍵交換処理をスケジュールするための画面であり、タスク設定領域121、リソース選択領域122、交換鍵選択領域123及びスケジュール表示領域124から構成される。
【0125】
このうちスケジュール表示領域124には、それまでに設定されたタスクのスケジュールが一覧形式で表示される。
【0126】
タスク設定領域121は、新たに設定しようとするタスクの開始日及びそのタスクの実行周期を設定するためのGUI領域である。このタスク設定領域121では、タスクの開始日をタスク開始日指定欄130に入力することにより、当該タスクの開始日を指定することができる。またタスク設定領域121では、頻度表示欄131のプルダウンボタン132をクリックすることにより、予め設定された頻度(年1回、月1回、周1回又は毎日など)の一覧が掲載されたプルダウンメニューを表示させ、そのプルダウンメニューから所望の頻度を1つ選択することにより、その頻度を頻度表示欄131に表示させることができる。そしてそのとき頻度表示欄131に表示された頻度がそのタスクを実行する頻度として指定されたことになる。
【0127】
またリソース選択領域122及び交換鍵選択領域123の構成及び機能は、図11について上述した暗号鍵交換設定画面70のリソース選択領域72及び交換鍵選択領域73と同様であり、ユーザは、これらリソース選択領域122及び交換鍵選択領域123において、暗号鍵交換対象及び新たな暗号鍵を選択することができる。
【0128】
そしてスケジュール管理画面120では、タスク設定領域121、リソース選択領域122及び交換鍵選択領域123において必要な指定や選択を行った後に、画面右下の実行ボタン133をクリックすることによって、そのとき作成した新たなスケジュールを登録することができる。
【0129】
そして、かかるスケジュールの登録が行われた場合、そのときスケジュール管理画面120を用いてユーザにより設定されたスケジュールの内容がその後管理コンピュータ111により管理され、そのスケジュールに合わせて管理コンピュータ111からストレージ装置3に対して暗号鍵交換指示が与えられることにより、登録されたスケジュールがストレージ装置3において実行されることになる。
【0130】
なお、スケジュール管理画面120において、キャンセルボタン134がクリックされた場合、そのときユーザが行った操作がすべてキャンセルされる。
【0131】
またスケジュール管理画面120において、スケジュール表示領域124のテーブルはクリックによる行選択機能を具備し、選択されたタスクは、DELETEボタンをクリックすることにより削除される。
【0132】
以上のように本実施の形態によれば、第1又は第2の実施の形態による暗号鍵交換処理の設定を1度設定しておけば、その設定に従って第1又は第2の実施の形態による暗号鍵交換処理が定期的に行われるため、2度目以降のかかる設定作業を省略させることができる。
【0133】
また第1又は第2の実施の形態による暗号鍵交換処理が定期的に行われるため、第1又は第2の実施の形態に比べてセキュリティを高めることができ、かくしてより一層とストレージ装置3,101の信頼性を向上させることができる。
【0134】
(4)他の実施の形態
なお上述の第1〜第3の実施の形態においては、本発明を図1〜図4のように構成された計算機システム1,100,110に適用するようにした場合について述べたが、本発明はこれに限らず、この他種々の構成を有する計算機システムに広く適用することができる。
【0135】
また上述の第1〜第3の実施の形態においては、ストレージ装置3,101においてデータを記憶する記憶媒体としてハードディスク装置20,102が採用されている場合について述べたが、本発明はこれに限らず、かかる記憶媒体として例えば半導体メモリや光ディスクなどを採用した場合にも本発明を適用することができる。
【0136】
さらに上述の第1〜第3の実施の形態においては、複数の記憶媒体(ハードディスク装置20,102)のうち、暗号鍵の交換対象の記憶媒体以外の各記憶媒体にそれぞれ格納された分割データ又はパリティの復号化データに基づいて、暗号鍵の交換対象の記憶媒体に格納されている分割データ又はパリティを復元する復元部としての機能と、復元された分割データ又はパリティを新たな暗号鍵で暗号化しながら予備の記憶媒体に格納する格納部としての機能と、予備の記憶媒体を暗号鍵の交換対象の記憶媒体が属するパリティグループ22を構成する記憶媒体とし、暗号鍵の交換対象の記憶媒体を予備の記憶媒体とするように、予備の記憶媒体と暗号鍵の交換対象の記憶媒体とを入れ替える記憶媒体入替え部としての機能とを同じ1つのマイクロプロセッサ41に搭載するようにした場合について述べたが、本発明はこれに限らず、例えばこれらの機能の一部をハードウェア化するなどしてかかる機能を分散させるようにしてもよい。
【産業上の利用可能性】
【0137】
本発明は、データを暗号化して記憶媒体に保存するストレージ装置に適用することができる。
【特許請求の範囲】
【請求項1】
ホストからのデータを複数の分割データに分割すると共に当該複数の分割データに基づいてパリティを生成し、生成した前記パリティ及び前記複数の分割データを、同じパリティグループを構成する複数の記憶媒体に分散して、かつ暗号化して格納するストレージ装置において、
前記複数の記憶媒体のうち、暗号鍵の交換対象の記憶媒体以外の各記憶媒体にそれぞれ格納された前記分割データ又は前記パリティの復号化データに基づいて、前記暗号鍵の交換対象の記憶媒体に格納されている前記分割データ又は前記パリティを復元する復元部と、
復元された前記分割データ又は前記パリティを新たな暗号鍵で暗号化しながら予備の記憶媒体に格納する格納部と、
前記予備の記憶媒体を前記パリティグループを構成する記憶媒体とし、前記暗号鍵の交換対象の記憶媒体を予備の記憶媒体とするように、前記予備の記憶媒体と前記暗号鍵の交換対象の記憶媒体とを入れ替える記憶媒体入替え部と
を備え、
前記パリティグループを構成する各記憶媒体をそれぞれ順番に前記暗号鍵の交換対象の記憶媒体とすることにより、当該パリティグループを構成する各記憶媒体にそれぞれ格納されているデータの暗号鍵を前記新たな暗号鍵に更新する
ことを特徴とするストレージ装置。
【請求項2】
前記格納部は、前記予備の記憶媒体に対して復元された前記分割データ又は前記パリティと、前記新たな暗号鍵とを与え、
前記予備の記憶媒体は、前記格納部から与えられた復元された前記分割データ又は前記パリティを、前記新たな暗号鍵で暗号化する
ことを特徴とする請求項1に記載のストレージ装置。
【請求項3】
前記記憶媒体入替え部は、
前記予備の記憶媒体と入れ替えられた後の前記対象とする前記記憶媒体に格納されているデータを消去する
ことを特徴とする請求項1に記載のストレージ装置。
【請求項4】
前記パリティグループを構成する各記憶媒体にそれぞれ格納されているデータの暗号鍵を前記新たな暗号鍵に更新する処理の最中に、復旧のために前記予備の記憶媒体を使用する障害が発生したときには、前記暗号鍵の交換処理を停止し、当該障害の復旧後に、当該暗号鍵の交換処理を停止したときに暗号鍵の交換対象であった記憶媒体に対する処理を最初から開始する
ことを特徴する請求項1に記載のストレージ装置。
【請求項5】
ホストからのデータを複数の分割データに分割すると共に当該複数の分割データに基づいてパリティを生成し、生成した前記パリティ及び前記複数の分割データを、同じパリティグループを構成する複数の記憶媒体に分散して、かつ暗号化して格納するストレージ装置の制御方法において、
前記複数の記憶媒体のうち、暗号鍵の交換対象の記憶媒体以外の各記憶媒体にそれぞれ格納された前記分割データ又は前記パリティの復号化データに基づいて、前記暗号鍵の交換対象の記憶媒体に格納されている前記分割データ又は前記パリティを復元する第1のステップと、
復元された前記分割データ又は前記パリティを新たな暗号鍵で暗号化しながら予備の記憶媒体に格納する第2のステップと、
前記予備の記憶媒体を前記パリティグループを構成する記憶媒体とし、前記暗号鍵の交換対象の記憶媒体を予備の記憶媒体とするように、前記予備の記憶媒体と前記暗号鍵の交換対象の記憶媒体とを入れ替える第3のステップと
を備え、
前記パリティグループを構成する各記憶媒体をそれぞれ順番に前記暗号鍵の交換対象の記憶媒体としながら前記第1乃至第3のステップを繰り返すことにより、当該パリティグループを構成する各記憶媒体にそれぞれ格納されているデータの暗号鍵を前記新たな暗号鍵に更新する
ことを特徴とするストレージ装置の制御方法。
【請求項6】
前記第2のステップでは、
前記予備の記憶媒体に対して復元された前記分割データ又は前記パリティと、前記新たな暗号鍵とを与え、
前記予備の記憶媒体において、前記格納部から与えられた復元された前記分割データ又は前記パリティを、前記新たな暗号鍵で暗号化する
ことを特徴とする請求項5に記載のストレージ装置の制御方法。
【請求項7】
前記予備の記憶媒体と入れ替えられた後の前記対象とする前記記憶媒体に格納されているデータを消去する第4のステップを備える
ことを特徴とする請求項5に記載のストレージ装置の制御方法。
【請求項8】
前記パリティグループを構成する各記憶媒体にそれぞれ格納されているデータの暗号鍵を前記新たな暗号鍵に更新する処理の最中に、復旧のために前記予備の記憶媒体を使用する障害が発生したときには、前記暗号鍵の交換処理を停止し、当該障害の復旧後に、当該暗号鍵の交換処理を停止したときに暗号鍵の交換対象であった記憶媒体に対する処理を最初から開始する
ことを特徴する請求項5に記載のストレージ装置の制御方法。
【請求項1】
ホストからのデータを複数の分割データに分割すると共に当該複数の分割データに基づいてパリティを生成し、生成した前記パリティ及び前記複数の分割データを、同じパリティグループを構成する複数の記憶媒体に分散して、かつ暗号化して格納するストレージ装置において、
前記複数の記憶媒体のうち、暗号鍵の交換対象の記憶媒体以外の各記憶媒体にそれぞれ格納された前記分割データ又は前記パリティの復号化データに基づいて、前記暗号鍵の交換対象の記憶媒体に格納されている前記分割データ又は前記パリティを復元する復元部と、
復元された前記分割データ又は前記パリティを新たな暗号鍵で暗号化しながら予備の記憶媒体に格納する格納部と、
前記予備の記憶媒体を前記パリティグループを構成する記憶媒体とし、前記暗号鍵の交換対象の記憶媒体を予備の記憶媒体とするように、前記予備の記憶媒体と前記暗号鍵の交換対象の記憶媒体とを入れ替える記憶媒体入替え部と
を備え、
前記パリティグループを構成する各記憶媒体をそれぞれ順番に前記暗号鍵の交換対象の記憶媒体とすることにより、当該パリティグループを構成する各記憶媒体にそれぞれ格納されているデータの暗号鍵を前記新たな暗号鍵に更新する
ことを特徴とするストレージ装置。
【請求項2】
前記格納部は、前記予備の記憶媒体に対して復元された前記分割データ又は前記パリティと、前記新たな暗号鍵とを与え、
前記予備の記憶媒体は、前記格納部から与えられた復元された前記分割データ又は前記パリティを、前記新たな暗号鍵で暗号化する
ことを特徴とする請求項1に記載のストレージ装置。
【請求項3】
前記記憶媒体入替え部は、
前記予備の記憶媒体と入れ替えられた後の前記対象とする前記記憶媒体に格納されているデータを消去する
ことを特徴とする請求項1に記載のストレージ装置。
【請求項4】
前記パリティグループを構成する各記憶媒体にそれぞれ格納されているデータの暗号鍵を前記新たな暗号鍵に更新する処理の最中に、復旧のために前記予備の記憶媒体を使用する障害が発生したときには、前記暗号鍵の交換処理を停止し、当該障害の復旧後に、当該暗号鍵の交換処理を停止したときに暗号鍵の交換対象であった記憶媒体に対する処理を最初から開始する
ことを特徴する請求項1に記載のストレージ装置。
【請求項5】
ホストからのデータを複数の分割データに分割すると共に当該複数の分割データに基づいてパリティを生成し、生成した前記パリティ及び前記複数の分割データを、同じパリティグループを構成する複数の記憶媒体に分散して、かつ暗号化して格納するストレージ装置の制御方法において、
前記複数の記憶媒体のうち、暗号鍵の交換対象の記憶媒体以外の各記憶媒体にそれぞれ格納された前記分割データ又は前記パリティの復号化データに基づいて、前記暗号鍵の交換対象の記憶媒体に格納されている前記分割データ又は前記パリティを復元する第1のステップと、
復元された前記分割データ又は前記パリティを新たな暗号鍵で暗号化しながら予備の記憶媒体に格納する第2のステップと、
前記予備の記憶媒体を前記パリティグループを構成する記憶媒体とし、前記暗号鍵の交換対象の記憶媒体を予備の記憶媒体とするように、前記予備の記憶媒体と前記暗号鍵の交換対象の記憶媒体とを入れ替える第3のステップと
を備え、
前記パリティグループを構成する各記憶媒体をそれぞれ順番に前記暗号鍵の交換対象の記憶媒体としながら前記第1乃至第3のステップを繰り返すことにより、当該パリティグループを構成する各記憶媒体にそれぞれ格納されているデータの暗号鍵を前記新たな暗号鍵に更新する
ことを特徴とするストレージ装置の制御方法。
【請求項6】
前記第2のステップでは、
前記予備の記憶媒体に対して復元された前記分割データ又は前記パリティと、前記新たな暗号鍵とを与え、
前記予備の記憶媒体において、前記格納部から与えられた復元された前記分割データ又は前記パリティを、前記新たな暗号鍵で暗号化する
ことを特徴とする請求項5に記載のストレージ装置の制御方法。
【請求項7】
前記予備の記憶媒体と入れ替えられた後の前記対象とする前記記憶媒体に格納されているデータを消去する第4のステップを備える
ことを特徴とする請求項5に記載のストレージ装置の制御方法。
【請求項8】
前記パリティグループを構成する各記憶媒体にそれぞれ格納されているデータの暗号鍵を前記新たな暗号鍵に更新する処理の最中に、復旧のために前記予備の記憶媒体を使用する障害が発生したときには、前記暗号鍵の交換処理を停止し、当該障害の復旧後に、当該暗号鍵の交換処理を停止したときに暗号鍵の交換対象であった記憶媒体に対する処理を最初から開始する
ことを特徴する請求項5に記載のストレージ装置の制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公表番号】特表2012−519320(P2012−519320A)
【公表日】平成24年8月23日(2012.8.23)
【国際特許分類】
【出願番号】特願2011−537760(P2011−537760)
【出願日】平成21年5月25日(2009.5.25)
【国際出願番号】PCT/JP2009/059920
【国際公開番号】WO2010/137177
【国際公開日】平成22年12月2日(2010.12.2)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公表日】平成24年8月23日(2012.8.23)
【国際特許分類】
【出願日】平成21年5月25日(2009.5.25)
【国際出願番号】PCT/JP2009/059920
【国際公開番号】WO2010/137177
【国際公開日】平成22年12月2日(2010.12.2)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]