説明

ストレージ装置及び認証方法

【課題】ストレージ装置及び認証方法において、データのセキュリティを確保することを目的とする。
【解決手段】アクセス対象となる記録媒体がロードされ、アンロードされるドライブ部と、要求元装置から受信した承認情報と、暗号鍵管理装置から受信した暗号鍵情報に含まれる暗号鍵から任意のアルゴリズムに従って作成された承認情報に基づいて前記要求元装置からのデータアクセスの正当性を判断する暗号鍵制御部と、前記データアクセスの正当性が確認されると前記要求元装置からのアクセス要求に応じて前記ドライブにロードされた記録媒体に対して前記暗号鍵を用いたデータアクセスを行う制御部を備え、前記要求元装置から受信した承認情報は、前記暗号鍵管理装置が前記要求元装置からの認証要求に応じて認証が成功すると暗号鍵から前記任意のアルゴリズムに従って作成するユニークなコードを含むようにする。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ストレージ装置及び認証方法に係り、特に暗号化機能を備えたストレージ装置及び認証方法に関する。
【背景技術】
【0002】
図1は、従来のストレージ装置の一例を説明するブロック図である。図1に示すストレージ装置1は、例えば磁気テープカートリッジ500を用いるライブラリ装置で形成されており、制御LAN(Local Area Network)2を介して暗号鍵管理サーバ3に接続されている。ストレージ装置1は、ドライブ制御部11及びライブラリ制御部12を有する。複数の業務サーバ4−1,4−2(2台のみ図示)は、業務LAN5を介して暗号鍵管理サーバ3に接続されると共に、ファイバチャネルスイッチ(FCS:Fibre Channel Switch)6を介してストレージ装置1に接続されている。業務サーバ4−1上で実行可能なアプリケーション41−1は、前処理部42とバックアップソフトウェア43を有する。業務サーバ4−2上で実行可能なアプリケーション41−2は、業務サーバ4−1のアプリケーション41−1と同様に前処理部(図示せず)及びバックソフトウェア(図示せず)を有しても良い。
【0003】
ストレージ装置1は暗号化機能を備えており、各業務サーバ4−1,4−2は、ストレージ装置1の暗号化機能を用いてデータアクセスを行うことができる。つまり、各業務サーバ4−1,4−2は、ストレージ装置1内の磁気テープカートリッジ500に書き込むデータを暗号鍵に基づいて暗号化してから書き込むデータライトアクセスと、磁気テープカートリッジ500から読み出したデータを暗号鍵に基づいて復号化するデータリードアクセスを行うことができる。暗号鍵管理サーバ3は、ストレージ装置1内の暗号化処理又は復号化処理で用いる暗号鍵を管理する。
【0004】
一例として、業務サーバ4−1がストレージ装置1の暗号化機能を用いてデータアクセスを行う場合について説明する。ステップST1では、アプリケーション41−1の前処理部42が暗号鍵管理サーバ3に暗号鍵配信要求を行う。ステップST2では、暗号鍵管理サーバ3がアプリケーション41−1からの要求を認証し、認証が成功すると暗号鍵をストレージ装置1のドライブ制御部11に配信する。ステップST3では、アプリケーション41−1のバックアップソフトウェア43がストレージ装置1のライブラリ制御部12に対してロード要求を行い、ステップST4では、バックアップソフトウェア43がストレージ装置1のドライブ制御部11に対してデータパスのリザーブ要求を行う。
【0005】
ストレージ装置1のライブラリ制御部12は、ロード要求に応答して要求された磁気テープカートリッジ500をラック(図示せず)から取り出してドライブ部(図示せず)にロードする。又、ストレージ装置1のドライブ制御部11は、リザーブ要求に応答して暗号鍵をドライブ部に登録する。これにより、アプリケーション41−1のバックアップソフトウェア43は、以後はストレージ装置1に送信したデータを登録された暗号鍵を用いて暗号化してロードされた磁気テープカートリッジ500に書き込むことができ、又、ロードされた磁気テープカートリッジ500から読み出して登録された暗号鍵を用いて復号化したデータを受信することができる。
【0006】
アプリケーション41−1のバックアップソフトウェア43がデータパスのリリース要求を行うと、ストレージ装置1のドライブ制御部11はドライブ部に登録した暗号鍵を削除する。又、アプリケーション41−1のバックアップソフトウェア43がアンロード要求を行うと、ストレージ装置1のライブラリ制御部12はロードされている磁気テープカートリッジ500をドライブ部からアンロードしてラックへ収納する。
【0007】
従来のストレージ装置1の場合、業務サーバ4−1からのステップST4の暗号鍵設定と業務サーバ4−1からのデータアクセスと業務サーバ4−2からのデータアクセスとは、特に同期が取られていない。このため、業務サーバ4−1からの要求に基づいてステップST3で磁気テープカートリッジ500がドライブ部にロードされ、且つ、ステップST4で暗号鍵がドライブ部に登録された後であれば、図1中破線X1で示すように、元の暗号鍵配信要求を行った業務サーバ4−1以外の例えば業務サーバ4−2からであっても、ドライブ部に登録された暗号鍵を用いてドライブ部にロードされた磁気テープカートリッジ500に対するデータアクセスが行えてしまう。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2007−286935号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
従来の暗号化機能を備えたストレージ装置では、業務サーバ等の異なる装置からのデータアクセスの同期が取られていないため、任意の装置からの要求に応答してストレージ装置内で暗号鍵が登録された状態であれば、他の装置からの要求に応答して登録済みの暗号鍵を用いたデータアクセスが可能になってしまい、データのセキュリティを確保することが難しいという問題があった。
【0010】
そこで、本発明は、データのセキュリティを確保可能なストレージ装置及び認証方法を提供することを目的とする。
【課題を解決するための手段】
【0011】
本発明の一観点によれば、アクセス対象となる記録媒体がロードされ、アンロードされるドライブ部と、要求元装置から受信した承認情報と、暗号鍵管理装置から受信した暗号鍵情報に含まれる暗号鍵から任意のアルゴリズムに従って作成された承認情報に基づいて前記要求元装置からのデータアクセスの正当性を判断する暗号鍵制御部と、前記データアクセスの正当性が確認されると前記要求元装置からのアクセス要求に応じて前記ドライブにロードされた記録媒体に対して前記暗号鍵を用いたデータアクセスを行う制御部を備え、前記要求元装置から受信した承認情報は、前記暗号鍵管理装置が前記要求元装置からの認証要求に応じて認証が成功すると暗号鍵から前記任意のアルゴリズムに従って作成するユニークなコードを含むストレージ装置が提供される。
【0012】
本発明の一観点によれば、データアクセスの要求元装置からの認証要求に応じて、暗号鍵管理装置において認証が成功すると暗号鍵から任意のアルゴリズムに従って作成されたユニークなコードを含む承認情報を前記要求元装置に返すと共に前記暗号鍵を含む暗号鍵情報をストレージ装置へ送る工程と、前記要求元装置から前記承認情報を前記ストレージ装置へ送る工程と、前記要求元装置からの前記承認情報と、前記ストレージ装置内で前記暗号鍵管理装置からの前記暗号鍵情報中の暗号鍵から前記任意のアルゴリズムに従って作成した承認情報に基づいて、前記要求元装置からのデータアクセスの正当性を前記ストレージ装置で判断する工程を含む認証方法が提供される。
【発明の効果】
【0013】
開示のストレージ装置及び認証方法によれば、データのセキュリティを確保することが可能となる。
【図面の簡単な説明】
【0014】
【図1】従来のストレージ装置の一例を説明するブロック図である。
【図2】本発明の一実施例におけるストレージ装置の一例を説明するブロック図である。
【図3】ストレージ装置の構造の一例を示す図である。
【図4】ストレージ装置の動作を説明するタイムチャートである。
【図5】暗号鍵チェーンの構造の一例を説明する図である。
【図6】承認情報チェーンの構造の一例を説明する図である。
【図7】ドライブ制御プロセスP1を説明するフローチャートである。
【図8】暗号鍵管理プロセスP2を説明するフローチャートである。
【図9】ドライブ制御プロセスP3を説明するフローチャートである。
【図10】ドライブ制御プロセスP5を説明するフローチャートである。
【発明を実施するための形態】
【0015】
開示のストレージ装置及び認証方法では、データアクセスの要求元装置からの認証要求に応じて、暗号鍵管理装置において認証が成功すると暗号鍵から任意のアルゴリズムに従って作成されたユニークなコードを含む承認情報を要求元装置に返すと共に暗号鍵を含む暗号鍵情報をストレージ装置へ送る。要求元装置は、承認情報をストレージ装置へ送る。要求元装置からの承認情報と、ストレージ装置内で暗号鍵管理装置からの暗号鍵情報中の暗号鍵から前記任意のアルゴリズムに従って作成した承認情報に基づいて、要求元装置からのデータアクセスの正当性をストレージ装置で判断する。
【0016】
データアクセスの正当性が確認されるとストレージ装置内に暗号鍵を登録することで、要求元装置からのアクセス要求に応じて記録媒体に対して登録された暗号鍵を用いたデータアクセスを行うことができる。
【0017】
要求元装置と暗号鍵管理装置の間の認証だけでなく、要求元装置とストレージ装置の間の認証も暗号鍵管理装置が発行する承認情報を用いて行う。このため、ストレージ装置は同期を取ることなく暗号鍵の利用者の照合を行うことができ、要求元装置からのデータアクセスのセキュリティを確保することができる。
【0018】
以下に、開示のストレージ装置及び認証方法の各実施例を図面と共に説明する。
【実施例】
【0019】
図2は、本発明の一実施例におけるストレージ装置の一例を説明するブロック図である。図2中、図1と同一部分には同一符号を付し、その説明は省略する。
【0020】
図2に示すストレージ装置21は、例えば磁気テープカートリッジ(以下、単にカートリッジと言う)500を用いるライブラリ装置で形成されており、制御LAN(Local Area Network)2を介して暗号鍵管理サーバ23に接続されている。暗号鍵管理サーバ23は、暗号鍵管理装置を形成する。ストレージ装置21は、ドライブ制御部211及び暗号鍵制御部212を有する。複数の業務サーバ24−1,24−2(2台のみ図示)は、業務LAN5を介して暗号鍵管理サーバ23に接続されると共に、ファイバチャネルスイッチ(FCS:Fiber Channel Switch)6を介してストレージ装置21に接続されている。業務サーバ24−1上で実行可能なアプリケーション241−1は、前処理部242とバックアップソフトウェア243を有する。業務サーバ24−2上で実行可能なアプリケーション241−2は、業務サーバ24−1のアプリケーション241−1と同様に前処理部(図示せず)及びバックソフトウェア(図示せず)を有しても良い。
【0021】
ストレージ装置21は暗号化機能を備えており、各業務サーバ24−1,24−2は、ストレージ装置21の暗号化機能を用いてデータアクセスを行うことができる。つまり、各業務サーバ24−1,24−2は、ストレージ装置21内のカートリッジ500に書き込むデータを暗号鍵に基づいて暗号化してから書き込むデータライトアクセスと、カートリッジ500から読み出したデータを暗号鍵に基づいて復号化するデータリードアクセスを行うことができる。暗号鍵管理サーバ23は、ストレージ装置21内の暗号化処理又は復号化処理で用いる暗号鍵を管理する暗号鍵管理部231を有する。暗号鍵管理部231は、例えばソフトウェアにより形成されている。
【0022】
図3は、ストレージ装置21の構造の一例を示す図である。図3中、実線の矢印は命令やデータの流れを示し、破線の矢印はカートリッジ500のロード又はアンロードに伴うハードウェアの動きを示す。
【0023】
図3に示すように、ストレージ装置21は、ライブラリ制御部221、ロボット制御部222、ドライブ部223及びラック(又は、ロッカー)224を有する。ライブラリ制御部221は、ドライブ制御部211、及び鍵管理サーバ23から配信されてきた暗号鍵を管理する暗号鍵制御部212を有する。ドライブ制御部211及び暗号鍵制御部212は夫々機能ブロックを示し、例えばソフトウェアにより形成される。ロボット制御部222は、ラック224に収納されているカートリッジ500を取り出してドライブ部223にロードするロード動作と、ドライブ部223にロードされているカートリッジ500をアンロードしてラック224に収納するアンロード動作を行う周知のファームウェアで形成される。ドライブ部223は、ロードされているカートリッジ500のテープにデータを書き込む(ライトする)と共に、テープに記録されているデータを読み出す(リードする)ヘッド等のリード及びライト手段を備えた周知の構造を有する。尚、説明の便宜上、ロボット制御部222が制御するロボット自体は周知であるため、その構成の図示及び説明は省略する。
【0024】
尚、図3では、記録媒体の一例としてカートリッジ500が用いられているが、記録媒体は磁気テープカートリッジに限定されるものではなく、例えば磁気、光、又は光磁気ディスク等の記録媒体やそのような記録媒体を収納したカートリッジを用いても良いことは言うまでもない。又、ドライブ部223が複数の異なる種類の記録媒体(例えば、磁気テープと磁気ディスク)をロード・アンロード可能な構造を有する場合には、ストレージ装置21が用いる記録媒体は同じ種類に限定されない。つまり、ドライブ部223は、ストレージ装置21内に複数設けられていても良い。
【0025】
図4は、ストレージ装置21の動作を説明するタイムチャートである。一例として、要求元装置を形成する業務サーバ24−1がストレージ装置21の暗号化機能を用いてデータアクセスを行う場合について説明する。図4中、「前処理部」で示されている処理は前処に理部242に関連した処理であり、「バックアップソフトウェア」で示されている処理はバックアップソフトウェア243に関連した処理である。
【0026】
図4において、ステップS1では、アプリケーション241−1の前処理部242が暗号鍵管理サーバ23に暗号鍵配信要求を含む認証要求を行う。暗号鍵配信要求には、業務サーバ24−1のアプリケーション241−1の利用者識別子(ID)と、暗号鍵を特定するためのカートリッジ500のボリューム名等の暗号鍵特定情報が含まれる。ステップS2では、暗号鍵管理サーバ23の暗号鍵管理部231がアプリケーション241−1からの要求を認証し、認証が成功すると業務サーバ24−1の前処理部242に認証を確認する応答を返す。この認証を確認する応答には、利用者識別子(ID)と、承認情報が含まれる。業務サーバ24−1に返される承認情報は、暗号鍵管理部231が暗号鍵から作成するユニークなコードである。又、承認情報が鍵管理サーバ23と業務サーバ24−1の間で盗聴されないように、鍵管理サーバ23と業務サーバ24−1の間の通信路をSSH(Secure SHell)等の手法でセキュア化することが望ましい。ステップS3では、上記認証が成功すると暗号鍵管理サーバ23の暗号鍵管理部231が暗号鍵情報をストレージ装置21のドライブ制御部211に配信する。ストレージ装置21のドライブ制御部211に配信される暗号鍵情報には、暗号鍵に加え、利用者識別子(ID)及び暗号鍵を特定するためのカートリッジ500のボリューム名等の暗号鍵特定情報が含まれる。ステップS2,S3を実行する順序は特に限定されず、並行に実行されても良い。
【0027】
ステップS4では、暗号鍵を受信したストレージ装置21のドライブ制御部211が利用者識別子(ID)、暗号鍵を特定するためのカートリッジ500のボリューム名等の暗号鍵特定情報、暗号鍵から作成されるユニークなコード(承認情報)、及び暗号鍵(暗号鍵データ)を含む暗号鍵情報を暗号鍵チェーンにキューイングするドライブ制御プロセスP1を実行し、暗号鍵管理サーバ23の暗号鍵管理部231に暗号鍵受信情報、即ち、暗号鍵の受信を確認する応答を返す。ドライブ制御部211が暗号鍵情報の暗号鍵から承認情報を作成するのに用いるアルゴリズムは、暗号鍵管理サーバ23内の暗号鍵管理部231が暗号鍵から承認情報を作成するのに用いるアルゴリズムと同じであれば良く、アルゴリズム自体は特に限定されないので承認情報は任意のアルゴリズムに従って作成可能である。
【0028】
図5は、暗号鍵チェーンの構造の一例を説明する図である。暗号鍵チェーンの暗号鍵情報は、次の暗号鍵が格納されているライブラリ制御部212内の位置(例えば、ストレージ装置21内のメモリのアドレス)を示すネクストポインタ、1つ前の暗号鍵が格納されているライブラリ制御部212内の位置を示すバックポインタ、利用者識別子(ID)、暗号鍵特定情報、暗号鍵管理装置からの暗号鍵情報中の暗号鍵から前記任意のアルゴリズムに従って作成した承認情報、及び暗号鍵(暗号鍵データ)を含む。
【0029】
ステップS5では、アプリケーション241−1の前処理部242がストレージ装置21の暗号鍵制御部212に、アプリケーション24−1の利用者識別子(ID)、承認情報、及びWWN(World Wide Name)等の入出力(I/O:Input and Output)要求を発行する要求元(この場合、業務サーバ24−1)を特定するための装置情報を含む利用者識別情報を配信する。ステップS6では、ストレージ装置21の暗号鍵制御部212が利用者識別情報を承認情報チェーンにキューイングする暗号鍵管理プロセスP2を実行し、業務サーバ24−1のアプリケーション241−1の前処理部242に承認情報の受信を確認する応答を返す。
【0030】
図6は、承認情報チェーンの構造の一例を説明する図である。承認情報チェーンの利用者識別情報は、次の利用者識別子(ID)が格納されているライブラリ制御部212内の位置(例えば、ストレージ装置21内のメモリのアドレス)を示すネクストポインタ、1つ前の利用者識別子(ID)が格納されているライブラリ制御部212内の位置を示すバックポインタ、利用者識別子(ID)、承認情報、及びWWNを含む。
【0031】
このように、ストレージ装置21では、複数の暗号鍵の要求順番を暗号鍵チェーンで管理し、暗号鍵からユニークなコード(承認情報)を作成して承認情報チェーンで管理することで、ストレージ装置21の外部装置に対して暗号鍵を隠蔽している。
【0032】
ステップS7では、アプリケーション241−1のバックアップソフトウェア243がストレージ装置21のドライブ制御部211に対してロード要求及びリザーブ要求を含む認証要求を行う。ストレージ装置21のドライブ制御部211は、ロード要求及びリザーブ要求に応答してドライブ制御プロセスP3を実行する。ドライブ制御プロセスP3は、ロード要求に含まれる要求元のWWNに対応する利用者識別情報を、暗号鍵制御部212で管理されている承認情報チェーンから取得する。又、ドライブ制御プロセスP3は、取得された利用者識別情報の利用者識別子(ID)及び承認情報(ユニークなコード)と一致する暗号鍵がドライブ制御部211で管理されている暗号鍵チェーンに存在する場合には、当該暗号鍵を暗号鍵チェーンから取得すると共に、当該暗号鍵を含む暗号鍵情報を暗号鍵チェーンから外す(即ち、削除する)。更に、ドライブ制御プロセスP3は、リザーブ要求に応じて暗号鍵チェーンから外した暗号鍵をドライブ部223に登録(又は、設定)してドライブ制御部211に対するデータパスを設定(リザーブ)する。
【0033】
一方、ストレージ装置21のロボット制御部222は、ロード要求に含まれるアクセスアドレスに応じたカートリッジ500をラック224から取り出すと共にドライブ部223にロードする。カートリッジ500がドライブ部223にロードされると、ステップS8ではドライブ制御部211がロード要求を含む認証要求に対する応答を業務サーバ24−1のアプリケーション241−1のバックアップソフトウェア243に返す。これにより、アプリケーション241−1のバックアップソフトウェア243は、ストレージ装置21に対してライト要求やリード要求等のI/O要求を行ってドライブ部223にロードされたカートリッジ500に対してデータのリード又はライトを行える状態となる。
【0034】
ステップS9では、アプリケーション241−1のバックアップソフトウェア243は、ストレージ装置21に対してライト要求やリード要求等の入出力(I/O:Input and Output)要求を行う。ライト要求の場合、ストレージ装置21に送信されたデータは、ドライブ制御部211の制御下でドライブ部223に登録された暗号鍵を用いて暗号化されてロードされたカートリッジ500内のテープに書き込まれる。一方、リード要求の場合、ロードされたカートリッジ500から読み出されたデータは、ドライブ制御部21の制御下でドライブ部223に登録された暗号鍵を用いて復号化された後に業務サーバ24−1に送信される。ステップS10では、ストレージ装置21のドライブ制御部211がI/O要求に対する応答をアプリケーション241−1のバックアップソフトウェア243に返す。ライト要求の場合、バックアップソフトウェア243に返される応答にはライト完了報告が含まれ、リード要求の場合、バックアップソフトウェア243に返される応答にはリード完了報告及びカートリッジ500から読み出されたデータが含まれる。
【0035】
ステップS11では、アプリケーション241−1のバックアップソフトウェア243がストレージ装置21のドライブ制御部211に対してアンロード要求及びリリース要求を含む認証要求を行う。ストレージ装置21のドライブ制御部211は、アンロード要求及びリリース要求に応答してドライブ制御プロセスP5を実行する。ドライブ制御プロセスP5は、アンロード要求に含まれる要求元のWWNに対応する利用者識別情報を、暗号鍵制御部212で管理されている承認情報チェーンから取得する。又、ドライブ制御プロセスP5は、取得された利用者識別情報の利用者識別子(ID)及び承認情報(ユニークなコード)と一致する暗号鍵がドライブ部223に登録(又は、設定)されていると、リリース要求に応じて登録されている暗号鍵を削除(又は、リセット)してドライブ制御部211に対するデータパスを解除(リリース)する。
【0036】
一方、ストレージ装置21のロボット制御部222は、アンロード要求に含まれるアクセスアドレスに応じたカートリッジ500をドライブ部223からアンロードしてラック224に収納する。カートリッジ500がラック224に収納されると、ステップS12ではドライブ制御部211がアンロード要求を含む認証要求に対する応答を業務サーバ24−1のアプリケーション241−1のバックアップソフトウェア243に返す。これにより、アプリケーション241−1のバックアップソフトウェア243は、上記ステップS1を実行可能な状態に戻る。
【0037】
ストレージ装置21の場合、業務サーバ24−1からのデータアクセスと業務サーバ24−2からのデータアクセスとは、特に同期が取られていない。このため、ステップS7での業務サーバ24−1からの認証要求に基づいてカートリッジ500がドライブ部223にロードされ、且つ、暗号鍵がドライブ部223に登録された後に、図2中破線X2で示すように、元の暗号鍵配信要求を行った業務サーバ24−1以外の例えば業務サーバ24−2から認証要求が発生する可能性がある。しかし、業務サーバ24−2が上記ステップS1の認証要求を行って上記ステップS5の承認情報の配信を行っていないと、ストレージ装置21では暗号鍵に対する正規の利用者識別子(ID)も取得できないので、業務サーバ24−2からの認証要求は承認されず、ドライブ部223に暗号鍵が登録されていてもこの暗号鍵を用いてドライブ部223にロードされたカートリッジ500に対するデータアクセスを行うことはできない。つまり、ドライブ部223に登録済みの暗号鍵を用いた業務サーバ24−2からのアクセス要求は、ストレージ装置21のライブラリ制御部221により拒否され、データのセキュリティを確保することが可能となる。
【0038】
このように、業務サーバ24−1のアプリケーション241−1と鍵管理サーバ23との間の認証だけでなく、アプリケーション241−1とストレージ装置21との間の認証も鍵管理サーバ23が発行する承認情報を用いて行える。このため、ストレージ装置21は同期を取ることなく暗号鍵の利用者の照合を行うことができ、暗号鍵が登録済みのドライブ部223にロードされているカートリッジ500に対して例えば業務サーバ24−2のアプリケーション241−2等からの誤ったデータアクセス、或いは、不正のデータアクセスを防止することができる。更に、暗号鍵管理装置からの暗号鍵情報中の暗号鍵から前記任意のアルゴリズムに従って作成した承認情報を用いることで、ドライブ部223にロードされているカートリッジ500の正当性を確認することもできる。
【0039】
次に、図4におけるプロセスP1〜P3,P5の処理を、図7〜図10と共により詳細に説明する。
【0040】
図7は、ドライブ制御プロセスP1を説明するフローチャートである。ストレージ装置21のドライブ制御部211は、ステップP1−1において、鍵管理サーバ23から受信したデータが暗号鍵であるか否かを判定する。ステップP1−1の判定結果がYESであると、ステップP1−2は、暗号鍵管理装置からの暗号鍵情報中の暗号鍵から前記任意のアルゴリズムに従って承認情報を作成し、暗号鍵と承認情報を暗号鍵情報として暗号鍵チェーンにキューイングし、暗号鍵管理サーバ23の暗号鍵管理部231に暗号鍵受信情報、即ち、暗号鍵の受信を確認する応答を返す。ステップP1−2の後、又は、ステップP1−1の判定結果がNOであると、ドライブ制御プロセスP1は終了する。
【0041】
図8は、暗号鍵管理プロセスP2を説明するフローチャートである。ストレージ装置21の暗号鍵管理部212は、ステップP2−1において、業務サーバ24−1から受信したデータが利用者識別情報であるか否かを判定する。利用者識別情報には、利用者識別子(ID)、承認情報及びWWNが含まれる。ステップP2−1の判定結果がYESであると、ステップP2−2は、利用者識別情報を承認情報チェーンにキューイングする承認情報チェーン処理を行う。ステップP2−2の後、又は、ステップP2−1の判定結果がNOであると、暗号鍵管理プロセスP2は終了する。
【0042】
図9は、ドライブ制御プロセスP3を説明するフローチャートである。ストレージ装置21のドライブ制御部211は、ステップP3−1において、受信した要求がロード要求及びリザーブ要求を含む認証要求であるか否かを判定する。ステップP3−1の判定結果がNOであるとドライブ制御プロセスP3は終了するが、判定結果がYESであると処理はステップP3−2へ進む。ステップP3−2は、ロード要求に含まれる要求元のWWNをキーにして暗号鍵制御部212で管理されている承認情報チェーンを検索し、WWNに対応する利用者識別情報を取得すると共に、取得された利用者識別情報の利用者識別子(ID)及び承認情報(ユニークなコード)と一致する暗号鍵がドライブ制御部211で管理されている暗号鍵チェーンに存在するか否かを判定する。ステップP3−2の判定結果がNOであるとドライブ制御プロセスP3は終了し、判定結果がYESであると処理はステップP3−3へ進む。ステップP3−3は、取得された利用者識別情報の利用者識別子(ID)及び承認情報(ユニークなコード)と一致する暗号鍵を暗号鍵チェーンから取得すると共に、当該暗号鍵を含む暗号鍵情報を暗号鍵チェーンから外す(削除する)暗号鍵取得処理を行う。ステップP3−4は、リザーブ要求に応じて暗号鍵チェーンから外した暗号鍵をドライブ部223に登録(又は、設定)してドライブ制御部211に対するデータパスを設定(リザーブ)する暗号鍵登録処理を行い、ドライブ制御プロセスP3は終了する。
【0043】
図10は、ドライブ制御プロセスP5を説明するフローチャートである。ストレージ装置21のドライブ制御部211は、ステップP5−1において、受信した要求がアンロード要求及びリリース要求を含む認証要求であるか否かを判定する。ステップP5−1の判定結果がNOであるとドライブ制御プロセスP5は終了するが、判定結果がYESであるとであると処理はステップP5−2へ進む。ステップP5−2は、アンロード要求に含まれる要求元のWWNをキーにして暗号鍵制御部212で管理されている承認情報チェーンを検索し、WWNに対応する利用者識別情報を取得すると共に、取得された利用者識別情報の利用者識別子(ID)及び承認情報(ユニークなコード)と一致する暗号鍵がドライブ部223に登録(又は、設定)されているか否かを判定する。ステップP5−2の判定結果がNOであると処理は後述するステップP5−4へ進み、判定結果がYESであると処理はステップP5−3へ進む。ステップP5−3は、リリース要求に応じてドライブ部223に登録されている暗号鍵を削除(又は、リセット)する暗号鍵削除処理を行う。ステップP5−4は、ドライブ制御部211に対するデータパスを解除(リリース)するデータパス解除処理を行い、ドライブ制御プロセスP5は終了する。
【0044】
尚、ロード要求又はリザーブ要求の後、一定期間業務サーバ24−1からI/O要求がない場合には、ドライブ部223にロードされているカートリッジ500をロボット制御部222の制御下で自動的にアンロードしてラック224に収納するようにしても良い。この場合、ドライブ部223に登録されている暗号鍵は、カートリッジ500のアンロードに応じて削除すれば良い。
【0045】
以上の実施例を含む実施形態に関し、更に以下の付記を開示する。
(付記1)
アクセス対象となる記録媒体がロードされ、アンロードされるドライブ部と、
要求元装置から受信した承認情報と、暗号鍵管理装置から受信した暗号鍵情報に含まれる暗号鍵から任意のアルゴリズムに従って作成された承認情報に基づいて前記要求元装置からのデータアクセスの正当性を判断する暗号鍵制御部と、
前記データアクセスの正当性が確認されると前記要求元装置からのアクセス要求に応じて前記ドライブにロードされた記録媒体に対して前記暗号鍵を用いたデータアクセスを行う制御部を備え、
前記要求元装置から受信した承認情報は、前記暗号鍵管理装置が前記要求元装置からの認証要求に応じて認証が成功すると暗号鍵から前記任意のアルゴリズムに従って作成するユニークなコードを含む、ストレージ装置。
(付記2)
前記暗号鍵管理装置から受信する前記暗号鍵情報は、前記要求元装置の利用者識別子、暗号鍵を特定するための暗号鍵特定情報、前記承認情報及び前記暗号鍵を含み、
前記制御部は、
前記暗号鍵情報を暗号鍵チェーンにキューイングするドライブ制御部と、
利用者識別子、前記承認情報及び要求元を特定するための装置情報を含む利用者識別情報を前記要求元装置から受信し、前記利用者識別情報を承認情報チェーンにキューイングする暗号鍵管理部を有する、付記1記載のストレージ装置。
(付記3)
前記ドライブ制御部は、前記要求元装置からのロード要求に含まれる要求元の装置情報に対応する利用者識別情報を前記承認情報チェーンから取得し、取得された利用者識別情報の利用者識別子及び承認情報と一致する暗号鍵が前記暗号鍵チェーンに存在すると当該暗号鍵を暗号鍵チェーンから取得すると共に、当該暗号鍵を含む暗号鍵情報を暗号鍵チェーンから外すと共に、前記要求元装置からのリザーブ要求に応じて前記暗号鍵チェーンから外した暗号鍵を前記ドライブ部に登録してデータパスを設定する、付記2記載のストレージ装置。
(付記4)
前記ドライブ制御部は、前記要求元装置からのアンロード要求に含まれる要求元装置の装置情報に対応する利用者識別情報を前記承認情報チェーンから取得し、取得された利用者識別情報の利用者識別子及び承認情報と一致する暗号鍵が前記ドライブ部に登録されているとリリース要求に応じて前記ドライブ部に登録されている暗号鍵を削除して前記データパスを解除する、付記3記載のストレージ装置。
(付記5)
複数の記録媒体を収納するラックと、
前記要求元装置からのロード要求に含まれる利用者情報に基づいて、前記利用者情報に対応する記録媒体を前記ラックから取り出して前記ドライブ部にロードすると共に、前記要求元装置からのアンロード要求に含まれる利用者情報に基づいて、前記利用者情報に対応する記録媒体を前記ドライブ部からアンロードして前記ラックに収納する、付記2乃至4のいずれか1項記載のストレージ装置。
(付記6)
前記ドライブ部は、ロードされた前記記録媒体にデータを書き込むと共に、前記記録媒体に記録されているデータを読み出すリード及びライト手段を有し、
前記データアクセスは、データを前記ドライブ部に登録された暗号鍵に基づいて暗号化してから前記記録媒体に書き込むデータライトアクセスと、前記記録媒体から読み出したデータを前記ドライブ部に登録された暗号鍵に基づいて復号化するデータリードアクセスを含む、付記1乃至5のいずれか1項記載のストレージ装置。
(付記7)
データアクセスの要求元装置からの認証要求に応じて、暗号鍵管理装置において認証が成功すると暗号鍵から任意のアルゴリズムに従って作成されたユニークなコードを含む承認情報を前記要求元装置に返すと共に前記暗号鍵を含む暗号鍵情報をストレージ装置へ送る工程と、
前記要求元装置から前記承認情報を前記ストレージ装置へ送る工程と、
前記要求元装置からの前記承認情報と、前記ストレージ装置内で前記暗号鍵管理装置からの前記暗号鍵情報中の暗号鍵から前記任意のアルゴリズムに従って作成した承認情報に基づいて、前記要求元装置からのデータアクセスの正当性を前記ストレージ装置で判断する工程を含む、認証方法。
(付記8)
前記データアクセスの正当性が確認されると前記ストレージ装置内に前記暗号鍵を登録し、前記要求元装置からのアクセス要求に応じて記録媒体に対して登録された暗号鍵を用いたデータアクセスを行う工程を更に含む、付記7記載の認証方法。
(付記9)
前記ストレージ装置が前記鍵管理装置から受信する前記暗号鍵情報は、前記要求元装置の利用者識別子、暗号鍵を特定するための暗号鍵特定情報、前記承認情報、及び前記暗号鍵を含み、
前記ストレージ装置において前記受信した暗号鍵情報を暗号鍵チェーンにキューイングする工程と、
前記要求元装置から前記利用者識別子、前記承認情報、及び要求元を特定するための装置情報を含む利用者識別情報を配信する工程と、
前記ストレージ装置において前記利用者識別情報を承認情報チェーンにキューイングする工程を更に含む、付記7又は8記載の認証方法。
(付記10)
前記ストレージ装置において前記要求元装置からのロード要求に含まれる前記要求元装置の装置情報に対応する利用者識別情報を前記承認情報チェーンから取得し、取得された利用者識別情報の利用者識別子及び承認情報と一致する暗号鍵が前記暗号鍵チェーンに存在すると当該暗号鍵を暗号鍵チェーンから取得すると共に、当該暗号鍵を含む暗号鍵情報を暗号鍵チェーンから外す工程と、
前記ストレージ装置において前記要求元装置からのリザーブ要求に応じて前記暗号鍵チェーンから外した暗号鍵を登録してデータパスを設定する工程を更に含む、付記9記載の認証方法。
(付記11)
前記ストレージ装置において前記要求元装置からのアンロード要求に含まれる前記要求元装置の装置情報に対応する利用者識別情報を前記承認情報チェーンから取得し、取得された利用者識別情報の利用者識別子及び承認情報と一致する暗号鍵が登録されているとリリース要求に応じて登録されている暗号鍵を削除して前記データパスを解除する工程を更に含む、付記10記載の認証方法。
(付記12)
前記データアクセスは、登録された暗号鍵に基づいてデータを暗号化してから前記記録媒体に書き込むデータライトアクセスと、前記記録媒体から読み出したデータを前記登録された暗号鍵に基づいて復号化するデータリードアクセスを含む、付記8乃至11のいずれか1項記載のストレージ装置。
【0046】
以上、開示のストレージ装置及び認証方法を実施例により説明したが、本発明は上記実施例に限定されるものではなく、本発明の範囲内で種々の変形及び改良が可能であることは言うまでもない。
【符号の説明】
【0047】
2 制御LAN
5 業務LAN
6 FCS
21 ストレージ装置
23 暗号鍵管理サーバ
24−1,24−2 業務サーバ
211 ドライブ制御部
212 暗号鍵制御部
231 暗号鍵管理部
241−1,241−2 アプリケーション
242 前処理部
243 バックアップソフトウェア

【特許請求の範囲】
【請求項1】
アクセス対象となる記録媒体がロードされ、アンロードされるドライブ部と、
要求元装置から受信した承認情報と、暗号鍵管理装置から受信した暗号鍵情報に含まれる暗号鍵から任意のアルゴリズムに従って作成された承認情報に基づいて前記要求元装置からのデータアクセスの正当性を判断する暗号鍵制御部と、
前記データアクセスの正当性が確認されると前記要求元装置からのアクセス要求に応じて前記ドライブにロードされた記録媒体に対して前記暗号鍵を用いたデータアクセスを行う制御部を備え、
前記要求元装置から受信した承認情報は、前記暗号鍵管理装置が前記要求元装置からの認証要求に応じて認証が成功すると暗号鍵から前記任意のアルゴリズムに従って作成するユニークなコードを含む、ストレージ装置。
【請求項2】
前記暗号鍵管理装置から受信する前記暗号鍵情報は、前記要求元装置の利用者識別子、暗号鍵を特定するための暗号鍵特定情報、前記承認情報及び前記暗号鍵を含み、
前記制御部は、
前記暗号鍵情報を暗号鍵チェーンにキューイングするドライブ制御部と、
利用者識別子、前記承認情報及び要求元を特定するための装置情報を含む利用者識別情報を前記要求元装置から受信し、前記利用者識別情報を承認情報チェーンにキューイングする暗号鍵管理部を有する、請求項1記載のストレージ装置。
【請求項3】
前記ドライブ制御部は、前記要求元装置からのロード要求に含まれる要求元の装置情報に対応する利用者識別情報を前記承認情報チェーンから取得し、取得された利用者識別情報の利用者識別子及び承認情報と一致する暗号鍵が前記暗号鍵チェーンに存在すると当該暗号鍵を暗号鍵チェーンから取得すると共に、当該暗号鍵を含む暗号鍵情報を暗号鍵チェーンから外すと共に、前記要求元装置からのリザーブ要求に応じて前記暗号鍵チェーンから外した暗号鍵を前記ドライブ部に登録してデータパスを設定する、請求項2記載のストレージ装置。
【請求項4】
前記ドライブ制御部は、前記要求元装置からのアンロード要求に含まれる要求元装置の装置情報に対応する利用者識別情報を前記承認情報チェーンから取得し、取得された利用者識別情報の利用者識別子及び承認情報と一致する暗号鍵が前記ドライブ部に登録されているとリリース要求に応じて前記ドライブ部に登録されている暗号鍵を削除して前記データパスを解除する、請求項3記載のストレージ装置。
【請求項5】
データアクセスの要求元装置からの認証要求に応じて、暗号鍵管理装置において認証が成功すると暗号鍵から任意のアルゴリズムに従って作成されたユニークなコードを含む承認情報を前記要求元装置に返すと共に前記暗号鍵を含む暗号鍵情報をストレージ装置へ送る工程と、
前記要求元装置から前記承認情報を前記ストレージ装置へ送る工程と、
前記要求元装置からの前記承認情報と、前記ストレージ装置内で前記暗号鍵管理装置からの前記暗号鍵情報中の暗号鍵から前記任意のアルゴリズムに従って作成した承認情報に基づいて、前記要求元装置からのデータアクセスの正当性を前記ストレージ装置で判断する工程を含む、認証方法。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate


【公開番号】特開2010−277427(P2010−277427A)
【公開日】平成22年12月9日(2010.12.9)
【国際特許分類】
【出願番号】特願2009−130811(P2009−130811)
【出願日】平成21年5月29日(2009.5.29)
【出願人】(000005223)富士通株式会社 (25,993)
【出願人】(399076998)株式会社富士通ビー・エス・シー (56)
【Fターム(参考)】