【課題】不正なデータ復号化を防止し且つ容易に暗号鍵を変更すること。
【解決手段】第１の暗号鍵をテープグループ情報格納部１１５に記憶させると共に、第２の暗号鍵をテープカートリッジメモリ５１に記憶させ、第１及び第２の暗号鍵を基に磁気テープへ暗号化記録する際の第３の暗号鍵を生成することによって、仮に第１又は第２の鍵の一方が漏洩したときでもデータの復号化を防止する。更に暗号鍵の他方が漏洩（例えばテープカートリッジの盗難）した場合であっても、第１及び第２の鍵を用いて第３の暗号鍵を生成し、新たに第１の新暗号鍵を生成し、前記第３の暗号鍵と生成した第１の新暗号鍵を基に第２の新暗号鍵を生成して個別に記憶することによって、短時間に両暗号鍵を変更してデータの復号化を防止することができる。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、データを暗号化してバックアップを行うバックアップシステム及び該バックアップシステムの暗号鍵変更方法に係り、特にバックアップを行ったデータの暗号鍵を容易に変更することができるバックアップシステム及び該バックアップシステムの暗号鍵変更方法に関する。
【背景技術】
【０００２】
近年のコンピュータシステムは、ホストコンピュータで取り扱ったデータを通信ネットワークを介して遠隔地のバックアップシステムにバックアップすることが行われている。このバックアップシステムは、交換型の磁気テープカートリッジを記録媒体とし、この磁気テープカートリッジの可搬性による盗難に対処するため、データを暗号鍵により暗号化してデータのバックアップを行っている。
【０００３】
尚、データを暗号化して磁気テープにバックアップを行うバックアップ技術が記載された文献としては、下記特許文献１が挙げられ、この特許文献１には、複数ユーザがネットワーク接続された共通のデータセンタにあるストレージにデータを保管しているコンピュータシステムにおいて、データを磁気テープにバックアップを行う際、データセンタがバックアップ毎に暗号化のための暗号鍵をネットワーク経由で各ユーザから取得し、この取得した暗号鍵によりユーザデータを暗号化して磁気テープに記録する技術が記載されている。
【特許文献１】特開２００３−２０８３５５号公報
【発明の開示】
【発明が解決しようとする課題】
【０００４】
従来技術によるバックアップシステムは、バックアップを行ったデータの暗号鍵を変更する必要が生じたとき、磁気テープに記録した暗号化データを暗号鍵を用いて復号化し、この復号化したデータを新たな暗号鍵を用いて再暗号化し、この再暗号化データを磁気テープに再記録しなければならず、この暗号鍵の変更には処理時間を多大に要すると言う不具合があった。具体的に説明すると、この暗号鍵訂正に要する時間は、磁気テープ本数とデータ記録再生時間と磁気テープカートリッジのテープドライブの交換時間とを乗算した処理時間が必要となると言う不具合があった。また従来技術は、前述した長時間処理が必要となるため、例えば営業時間外の時刻（例えば２１時〜翌７時）にデータバックアップを行う運用業務を採用している場合、この時間内に暗号鍵を変更することが困難となり、データバックアップ業務に支障を及ぼす可能性があると言う不具合もあった。
また、暗号鍵に複数の暗号鍵を用い、片方の暗号鍵が漏洩した場合、両暗号鍵を変更する必要が生じるが、前述のように暗号鍵の変更には多大な時間を要するため、暗号鍵変更前に第三者が磁気テープを盗難したとき、データの復号化が行われる可能性があると言う不具合もあった。
【０００５】
また従来技術によるバックアップシステムは、磁気テープを収納するテープカートリッジのメモリに暗号鍵を記憶させた場合、当該メモリから読み取った暗号鍵によりデータが復号される可能性があると言う不具合もあった。
【０００６】
本発明の目的は、テープカートリッジ単独でのデータ復元を防止すると共に、短時間で磁気テープに記憶した暗号化データの暗号鍵を変更することができるバックアップシステム及び該バックアップシステムの暗号鍵変更方法を提供することである。
【課題を解決するための手段】
【０００７】
前記目的を達成するために本発明は、磁気ディスク装置に記憶したデータをボリューム単位に暗号化して磁気テープに記憶するバックアップシステムであって、
２進数で表されるバイナリデータにより構成される第１の暗号鍵及び該第１の暗号鍵と異なる値の第２の暗号鍵をランダムに発生する暗号鍵発生手段と、
前記第１の暗号鍵を含むテープグループ情報を記憶するテープグループ情報格納部と、
前記第２の暗号鍵を含むテープ管理情報を記憶し、前記磁気テープを収納するテープカートリッジに搭載されるカートリッジメモリと、
テープカートリッジの磁気テープに暗号化されたデータの記録再生を行うテープドライブと、
前記データの暗号化及び復号化並び磁気テープへのデータ記録再生を制御する制御部とを備え、
該制御部が、
前記第１の暗号鍵と第２の暗号鍵とを排他的論理和演算することにより第３の暗号鍵を生成する第１工程と、
該第１工程により生成した第３の暗号鍵を用いてデータを暗号化し、該暗号化したデータをテープドライブにより磁気テープに書き込む第２工程とを実行することを第１の特徴とする。
【０００８】
また本発明は、第１の特徴のバックアップシステムにおいて、前記制御部が、
前記テープグループ情報格納部に記憶した第１の暗号鍵を含むテープグループ情報を読み込む第３工程と、
前記カートリッジメモリに記憶した第２の暗号鍵を含むテープ管理情報を読み込む第４工程と、
前記第３工程により読み込んだ第１の暗号鍵と前記第４工程により読み込んだ第２の暗号鍵との排他的論理和演算を行うことにより第３の暗号鍵を生成する第５工程と、
該第５工程により生成した第３の暗号鍵を用いてテープドライブにより暗号化データを読み込んで復号化する第６工程とを実行することを第１の特徴とする。
【０００９】
また本発明は、前記第１の特徴のバックアップシステムにおいて、前記制御部が、
前記テープグループ情報格納部に記憶した第１の暗号鍵を含むテープグループ情報を読み込む第３工程と、
前記カートリッジメモリに記憶した第２の暗号鍵を含むテープ管理情報を読み込む第４工程と、
前記第３工程により読み込んだ第１の暗号鍵と前記第４工程により読み込んだ第２の暗号鍵との排他的論理和演算を行うことにより第３の暗号鍵を生成する第５工程と、
前記暗号鍵発生手段により新たな第１の新暗号鍵を生成する第６工程と、
前記第５工程により生成した第３の暗号鍵と前記第６工程により生成した第１の新暗号鍵との排他的論理和演算を行うことにより新たな第２の新暗号鍵を生成する第７工程と、
前記第６工程により生成した第１の新暗号鍵を含むテープグループ情報をテープグループ情報格納部に記憶する第８工程と、
前記第７工程により生成した第２の新暗号鍵を含むテープ管理情報を前記カートリッジメモリに記憶する第９工程とを実行することを第３の特徴とする。
【００１０】
また本発明は、前記第１の特徴のバックアップシステムにおいて、前記制御部が、
前記テープグループ情報格納部に記憶した第１の暗号鍵を含むテープグループ情報を読み込む第３工程と、
前記カートリッジメモリに記憶した第２の暗号鍵を含むテープ管理情報を読み込む第４工程と、
前記第３工程により読み込んだ第１の暗号鍵と前記第４工程により読み込んだ第２の暗号鍵との排他的論理和演算を行うことにより第３の暗号鍵を生成する第５工程と、
前記暗号鍵発生手段により新たな第２の新暗号鍵を生成する第１０工程と、
前記第５工程により生成した第３の暗号鍵と前記第１０工程により生成した第２の新暗号鍵との排他的論理和演算を行うことにより新たな第１の新暗号鍵を生成する第１１工程と、
前記第１０工程により生成した第２の新暗号鍵を含むテープ管理情報を前記カートリッジメモリに記憶する第１２工程と、
前記第１１工程により生成した第１の新暗号鍵を含むテープグループ情報をテープグループ情報格納部に記憶する第１３工程とを実行することを第４の特徴とする。
【００１１】
また本発明は、前記第１から第４何れかの特徴のバックアップシステムにおいて、前記第１の暗号鍵を含むテープグループ情報をテープグループ情報格納部から読み込んでバックアップ記憶を行う管理用コンピュータを備えたことを第５の特徴とする。
【００１２】
更に本発明は、２進数で表されるバイナリデータにより構成される第１の暗号鍵及び該第１の暗号鍵と異なる値の第２の暗号鍵をランダムに発生する暗号鍵発生手段と、前記第１の暗号鍵を含むテープグループ情報を記憶するテープグループ情報格納部と、前記第２の暗号鍵を含むテープ管理情報を記憶し、前記磁気テープを収納するテープカートリッジに搭載されるカートリッジメモリと、テープカートリッジの磁気テープに暗号化されたデータの記録再生を行うテープドライブと、前記データの暗号化及び復号化並び磁気テープへのデータ記録再生を制御する制御部とを備え、磁気ディスク装置に記憶したデータをボリューム単位に暗号化して磁気テープに記憶するバックアップシステムの暗号鍵変更方法であって、
該制御部が、
前記第１の暗号鍵と第２の暗号鍵とを排他的論理和演算することにより第３の暗号鍵を生成する第１工程と、
該第１工程により生成した第３の暗号鍵を用いてデータを暗号化し、該暗号化したデータをテープドライブにより磁気テープに書き込む第２工程と、
前記テープグループ情報格納部に記憶した第１の暗号鍵を含むテープグループ情報を読み込む第３工程と、
前記カートリッジメモリに記憶した第２の暗号鍵を含むテープ管理情報を読み込む第４工程と、
前記第３工程により読み込んだ第１の暗号鍵と前記第４工程により読み込んだ第２の暗号鍵との排他的論理和演算を行うことにより第３の暗号鍵を生成する第５工程と、
前記暗号鍵発生手段により新たな第１の新暗号鍵を生成する第６工程と、
前記第５工程により生成した第３の暗号鍵と前記第６工程により生成した第１の新暗号鍵との排他的論理和演算を行うことにより新たな第２の新暗号鍵を生成する第７工程と、
前記第６工程により生成した第１の新暗号鍵を含むテープグループ情報をテープグループ情報格納部に記憶する第８工程と、
前記第７工程により生成した第２の新暗号鍵を含むテープ管理情報を前記カートリッジメモリに記憶する第９工程とを実行することを第６の特徴とする。
【００１３】
更に本発明は、２進数で表されるバイナリデータにより構成される第１の暗号鍵及び該第１の暗号鍵と異なる値の第２の暗号鍵をランダムに発生する暗号鍵発生手段と、前記第１の暗号鍵を含むテープグループ情報を記憶するテープグループ情報格納部と、前記第２の暗号鍵を含むテープ管理情報を記憶し、前記磁気テープを収納するテープカートリッジに搭載されるカートリッジメモリと、テープカートリッジの磁気テープに暗号化されたデータの記録再生を行うテープドライブと、前記データの暗号化及び復号化並び磁気テープへのデータ記録再生を制御する制御部とを備え、磁気ディスク装置に記憶したデータをボリューム単位に暗号化して磁気テープに記憶するバックアップシステムの暗号鍵変更方法であって、
該制御部が、
前記第１の暗号鍵と第２の暗号鍵とを排他的論理和演算することにより第３の暗号鍵を生成する第１工程と、
該第１工程により生成した第３の暗号鍵を用いてデータを暗号化し、該暗号化したデータをテープドライブにより磁気テープに書き込む第２工程と、
前記テープグループ情報格納部に記憶した第１の暗号鍵を含むテープグループ情報を読み込む第３工程と、
前記カートリッジメモリに記憶した第２の暗号鍵を含むテープ管理情報を読み込む第４工程と、
前記第３工程により読み込んだ第１の暗号鍵と前記第４工程により読み込んだ第２の暗号鍵との排他的論理和演算を行うことにより第３の暗号鍵を生成する第５工程と、
前記暗号鍵発生手段により新たな第２の新暗号鍵を生成する第１０工程と、
前記第５工程により生成した第３の暗号鍵と前記第１０工程により生成した第２の新暗号鍵との排他的論理和演算を行うことにより新たな第１の新暗号鍵を生成する第１１工程と、
前記第１０工程により生成した第２の新暗号鍵を含むテープ管理情報を前記カートリッジメモリに記憶する第１２工程と、
前記第１１工程により生成した第１の新暗号鍵を含むテープグループ情報をテープグループ情報格納部に記憶する第１３工程とを実行することを第７の特徴とする。
【００１４】
また本発明は、前記第６の特徴の暗号鍵変更方法において、前記バックアップシステムが、前記第１の暗号鍵を含むテープグループ情報をテープグループ情報格納部から読み込んでバックアップ記憶を行う管理用コンピュータを備え、前記制御部が、前記第３工程に代えて第１の暗号鍵を含むテープグループ情報を管理用コンピュータから読み込む第１４工程とを実行することを第８の特徴とする。
【００１５】
また本発明は、前記第７の特徴の暗号化方法において、前記バックアップシステムが、前記第２の暗号鍵を含むテープ管理情報をカートリッジメモリから読み込んでバックアップ記憶を行う管理用コンピュータを備え、前記制御部が、前記第３工程に代えて第１の暗号鍵を含むテープグループ情報を管理用コンピュータから読み込む第１５工程とを実行することを第９の特徴とする。
【発明の効果】
【００１６】
本発明によるバックアップシステム及び該バックアップシステムの暗号鍵変更方法は、第１の暗号鍵をテープグループ情報格納部に記憶させると共に、第２の暗号鍵をテープカートリッジのカートリッジメモリに記憶させ、第１及び第２の暗号鍵を基に磁気テープへ暗号化記録する際の第３の暗号鍵を生成することによって、テープカートリッジが盗まれた場合であってもテープカートリッジ単独でのデータ復元を防止することができる。
【００１７】
また本発明によるバックアップシステム及び該バックアップシステムの暗号鍵変更方法は、第１又は第２の暗号鍵の片方が漏洩した場合、第１及び第２の暗号鍵を基に第３の暗号鍵を生成すると共に新たな第１の新暗号鍵を生成し、該第３の暗号鍵と前記第１の新暗号鍵を基に第２の新暗号鍵を生成して個別に記憶することによって、磁気テープの再書き込みを行うことなく暗号鍵を短時間に変更することができる。
【発明を実施するための最良の形態】
【００１８】
以下、本発明によるバックアップシステム及び該バックアップシステムの暗号鍵変更方法の一実施形態を図面を参照して詳細に説明する。図１は、本実施形態によるバックアップシステムを含むコンピュータシステムを示す図、図２は、本実施形態によるテープグループ情報を説明するための図、図３は本実施形態によるテープ管理情報を説明するための図、図４は本実施形態によるバックアップ時の動作フロー図、図５は本実施形態によるリストア時の動作フロー図、図６は本実施形態による暗号鍵変更時の動作フローを示す図である。
【００１９】
［構成］
本実施形態によるバックアップシステム１００を含むコンピュータシステムは、図１に示す如く、各種データ処理を行うホスト端末１０と、該ホスト端末１０のデータを暗号鍵により暗号化してバックアップするバックアップシステム１００と、このデータバックアップを制御する管理端末２０とから構成される。
【００２０】
前記バックアップシステム１００は、ホスト端末１０のデータを磁気ディスク装置１１３を記憶媒体として一時的に記憶するディスクアレイ装置１１０と、該ディスクアレイ装置１１とファイバーケーブルを介して接続するＦＣスイッチ１３０と、該ＦＣスイッチ１３０と接続され、前記ディスクアレイ装置１１０に一時的に記憶したデータを暗号化して磁気テープにバックアップするテープライブラリ装置１２０とから構成される。尚、前記ディスクアレイ装置１１０にデータを一時的に記憶する理由は、ホスト端末１０のデータのバックアップを行う時刻帯がホスト端末１０の営業時間外の深夜等に限られ、ホスト端末１０からディスクアレイ装置１１０へのデータ移行と、ディスクアレイ装置１１０からテープライブラリ装置１２０への暗号化バックアップを非同期で行うためである。
【００２１】
前記ディスクアレイ装置１１０は、ホスト端末１０のデータを一時的に記憶する複数の磁気ディスク装置１１３と、後述する第１の暗号鍵（Ｋｅｙ１）及び第２の暗号鍵（Ｋｅｙ２）を生成するために乱数を発生する暗号鍵発生手段に相当する乱数発生部１１２と、後述するテープグループ（TG）情報を格納するテープグループ情報格納部１１５と、これらを制御する制御部１１１とから構成され、前記複数の磁気ディスク装置１１３は、ホスト端末１０のデータを最初に記憶する正ディスク群と、該正ディスク群のデータを複写する副ディスク群とに大別され、該副ディスク群のデータがテープライブラリ装置１２０にバックアップされる。また前記ディスクアレイ装置１１０のテープグループ情報格納部１１５に記憶した第１の暗号鍵（Ｋｅｙ１）は管理端末２０にバックアップを行うように構成され、本実施形態で述べる暗号鍵とは、例えば１２８〜２５６ビット程度のバイナリデータにより構成される。
【００２２】
前記テープライブラリ装置１２０は、ディスクアレイ装置１１０から受け取ったデータを暗号化して記憶する磁気テープを含む複数のテープカートリッジ５０と、該テープカートリッジ５０の磁気テープのデータ記録再生を行うテープドライブ５６と、図示しない収納庫に収納したテープカートリッジ５０をテープドライブ５６との間で搬送するロボット部５５と、これらを制御する制御部１２１とから構成される。
【００２３】
また前記テープカートリッジ５０には、当該テープカートリッジに関する管理情報を記憶する半導体メモリであるカートリッジメモリ（ＣＭ）５１が内蔵され、磁気ディスク装置１１３に記憶されたデータのボリューム単位に複数のグループに分けられ、このグループ単位にテープグループ７０の番号が付与されている。前記テープ管理情報は、図３に示す如く、当該テープグループ番号が格納する論理ユニットの数を示す格納ＬＵ数と、同最終の論理ユニット番号を示す最終ＬＵ番号と、同最終の論理ユニットの位置を示すＬＵ最終位置と、データを最後まで記録したテープであることを示すフラグをＯＮ／ＯＦＦで表すＴＧ最終端フラグと、当該テープグループ内に使用するテープ（カートリッジ）本数を表すＴＧ内テープ本数と、当該テープの圧縮率を示す圧縮率と、バックアップが終了した年月日時刻を示すバックアップ終了時刻と、本実施形態の特徴である第２の暗号鍵であるＫｅｙ２との各項目情報から構成される。
【００２４】
前記テープグループ情報格納部１１５に格納するテープグループ情報は、図２に示す如く、前述のテープグループ番号と、そのテープグループ番号が使用できるかどうかを表す状態を示す閉塞状態情報と、正テープと副テープ間のミラーであり、ミラーを取るか否かをＯＮ／ＯＦＦで設定するＴＧコピー状態情報と、正ディスクと副ディスク間でミラーを取るか否かをＯＮ／ＯＦＦで設定するミラー状態情報と、使用テープ番号（正）と、使用テープ番号（副）と、データを格納する論理ユニットの番号を示す格納ＬＵリストと、該込みの日時と、管理者がテープグループ番号を検索する際に使用されるキーワードと、暗号化の状態をＯＮ／ＯＦＦで示す暗号化状態と、本実施形態の特徴である第１の暗号鍵を示すＫｅｙ１との各項目情報から構成され、例えば、テープグループ番号「０」は、ＴＧ閉塞状態が「正常」、ＴＧコピー状態が「ＣＯＰＹ＿ＥＮＤ」、ミラー状態が「ＯＮ」、使用テープ番号（正）が「０．１」、使用テープ番号（副）が「２．３」、格納ＬＵリストが「２．４」、書き込み日時が「２００７／０７／２０ ０１：２３：４５」、キーワードが「ＤＢ１，２０００７０２０」、暗号化状態が「ｏｎ」、「Ｋｅｙ１」が「０１０１０１０１・・」の如く格納されている。
【００２５】
尚、前記「ＴＧ閉塞状態」欄における「副閉塞」とはミラーバックアップされているテープグループ番号の副側テープが物理的／論理的に使用できない状態を示し、「ＴＧコピー状態」とは、ディスクアレイ装置からテープへのコピー又はテープからディスクアレイへ装置へのコピー状態を示し、前述の正副テープのミラーリングは指定したテープグループ番号の磁気テープにコピーを行う際、ディスクアレイ装置から正副テープ同時に書き込みを行うものとする。
【００２６】
［動作］
さて、前述のように構成されたバックアップシステム１００は、管理端末２０からの指示によって、ホスト端末１０の磁気ディスク装置等に記録されたデータをバックアップするものであって、ホスト端末１０からのデータをディスクアレイ装置１１０の磁気ディスク装置１１３にボリューム単位で記憶し、この磁気ディスク装置１１３に記憶したデータを暗号化してテープライブラリ装置１２０の複数のテープカートリッジ５０にバックアップするように動作するものであって、このディスクアレイ装置１１０からテープライブラリ装置１２０への暗号化バックアップの動作を図３を参照して説明する。
【００２７】
まずバックアップシステム１００は、制御部１１１が、管理端末２０からバックアップ要求を受領するステップＳ４０と、乱数発生部１１２により発生した乱数を基に第１の暗号鍵であるＫｅｙ１を生成するステップＳ４１と、同様に第２の暗号鍵であるＫｅｙ２を生成するステップＳ４２と、これら生成したＫｅｙ１とＫｅｙ２の排他的論理和（ＸＯＲ）を演算することによって第３の暗号鍵（ＥｎｃＫｅｙ）を生成するステップＳ４３と、前記第１の暗号鍵（Ｋｅｙ１）をテープグループ情報格納部１１５に保存するステップＳ４４と、バックアップするデータ量に応じてバックアップを行うテープカートリッジを複数選択するステップＳ４６と、前記第２の暗号鍵（Ｋｅｙ２）を選択したテープカートリッジ５０のカートリッジメモリ５１に書き込むステップＳ４７と、前記磁気ディスク装置１１３に記憶したデータを前記第３の暗号鍵を用いて暗号して磁気テープに書き込むステップＳ４８と、この暗号化データのバックアップが終了するまで実行するステップＳ４５及び４９とを実行することによって、第３の暗号鍵を用いて暗号化したデータをボリューム単位で複数のテープカートリッジ５０にバックアップするように動作する。
【００２８】
次にテープライブラリ装置１２０にバックアップしたデータをディスクアレイ装置１１０にリストアするとき、本実施形態によるバックアップシステム１００は、図５に示す如く、制御部１２１が、管理端末２０からテープリストア要求を受け付けるステップＳ６０と、この要求されたリストア対象のテープグループ番号のテープ本数を図３に示したテープ管理情報を参照して取得するステップＳ６１と、該ステップＳ６１により取得した情報からテープカートリッジを選択するステップＳ６２と、テープグループ情報格納部１１５から第１の暗号鍵（Ｋｅｙ１）を読み込むステップＳ６３と、テープカートリッジ５０のカートリッジメモリ５１から第２の暗号鍵（Ｋｅｙ２）を読み込むステップＳ６４と、前記ステップＳ６３及びステップＳ６４により読み込んだ第１の暗号鍵（Ｋｅｙ１）及び第２の暗号鍵（Ｋｅｙ２）の排他的論理和を演算することによって第３の暗号鍵（ＥｎｃＫｅｙ）を生成するステップＳ６５とを実行する。
【００２９】
次いで本バックアップシステム１００は、前記ステップＳ６５により生成した第３の暗号鍵を用いて磁気テープに記憶した暗号化データを復号化するステップＳ６６と、該復号化したデータをリストア先の磁気ディスク装置１１３に書き込むステップＳ６７と、これらステップＳ６１からのデータの復号化及びリストアをテープ終了まで繰り返すステップ６８とを実行することによって、暗号化データを復号化してリストアすることができる。
【００３０】
さて、本実施形態によるバックアップシステム１００は、磁気テープに暗号化した暗号化データの暗号鍵を変更する場合、制御部１２１が、図６に示す如く、暗号鍵変更の要求を受領するステップＳ７１と、この鍵変更が要求された対象のテープグループ番号のテープ本数を図３に示したテープ管理情報を参照して取得するステップＳ７２と、該ステップＳ７３により取得した情報からテープカートリッジを選択するステップＳ７３と、テープグループ情報格納部１１５から第１の暗号鍵（Ｋｅｙ１）を読み込むステップＳ７４と、テープカートリッジ５０のカートリッジメモリ５１から第２の暗号鍵（Ｋｅｙ２）を読み込むステップＳ７５と、前記ステップＳ７４及びステップＳ７５により読み込んだ第１の暗号鍵（Ｋｅｙ１）及び第２の暗号鍵（Ｋｅｙ２）の排他的論理和を演算することによって第３の暗号鍵（ＥｎｃＫｅｙ）を生成するステップＳ７６とを実行する。
【００３１】
更に本実施形態によるバックアップシステム１００は、乱数発生部１１２により新たなＫｅｙ１’を生成するステップＳ７７と、該ステップＳ７７により生成したＫｅｙ１’と以前のＫｅｙ１とが同一か否かを判定し、同一の場合に前記ステップＳ７７に戻るステップＳ７８と、該ステップＳ７８において同一でないと判定したとき、前記ステップＳ７７で生成した第１の暗号鍵Ｋｅｙ１’と前記ステップＳ７６で生成した第３の暗号鍵（ＥｎｃＫｅｙ）との排他的論理和を演算することによって新たな第２の新暗号鍵（Ｋｅｙ２’）を生成するステップＳ７９と、前記ステップＳ７７により生成した第１の新暗号鍵（Ｋｅｙ１’）をテープグループ情報格納部１１５に保存するステップＳ８０と、前記ステップＳ７９により生成した第２の新暗号鍵（Ｋｅｙ２’）をカートリッジメモリ５１のテープ管理情報に書き込むステップＳ８１と、前記ステップＳ７２からの処理をテープ終了まで繰り返すステップＳ８２とを実行する。
【００３２】
このように本実施形態によるバックアップシステム１００は、バックアップしたデータの暗号鍵の変更の指令を受けたとき、テープグループ情報格納部１１５に記憶したテープグループ情報（図２）に記憶させた第１の暗号鍵（Ｋｅｙ１）を読み込む第１工程と、カートリッジメモリ５１に記憶した第２の暗号鍵（Ｋｅｙ２）を読み込む第２工程と、これら第１の暗号鍵（Ｋｅｙ１）及び第２の暗号鍵（Ｋｅｙ２）を排他的論理和演算によりテープ記録の際に使用した第３の暗号鍵を取得する第３工程と、新たな第１の新暗号鍵（Ｋｅｙ１’）を生成する第４工程と、前記第３工程により取得した第３の暗号鍵と第４工程により生成した第１の新暗号鍵（Ｋｅｙ１’）の排他的論理和演算により新たな第２の新暗号鍵（Ｋｅｙ２’）を生成する第５工程と、前記第４工程により生成した第１の新暗号鍵（Ｋｅｙ１’）をテープグループ情報格納部１１５に記憶する第６工程と、前記第５工程により生成した第２の新暗号鍵（Ｋｅｙ２’）をカートリッジメモリ５１に記憶する様に動作する。
【００３３】
これら一連の動作によって本実施形態によるバックアップシステム１００は、ディスクアレイ装置１１０のテープグループ情報格納部１１５に記憶したテープグループ情報に含まれる第１の暗号鍵と、テープカートリッジ５０のカートリッジメモリ５１に格納したテープ管理情報に含まれる第２暗号鍵とを用いて磁気テープに暗号化する際の第３の暗号鍵を生成することによって、仮にテープカートリッジが盗まれた場合であっても、第２の暗号鍵しか判読できないため、磁気テープに記録した暗号化データが復号されることを防止することができる。
【００３４】
また本バックアップシステム１００は、一部のテープカートリッジや管理コンピュータにバックアップしてあるテープグループ情報が漏洩、若しくは盗まれ、暗号鍵を変更する必要が生じた場合、新たな第１の新暗号鍵を生成し、第３の暗号鍵と第１の新暗号鍵を基に新たに第２の新暗号鍵を生成し、この新たに生成した第１及び第２の新暗号鍵を分散して記憶することによって、片方（第１又は第２の暗号鍵）が漏洩した時点で、第１と第２の暗号鍵を更新することで、変更後のもう片方がさらに漏洩したときに復号鍵を生成される事を防ぐことができる。
【００３５】
またテープカートリッジを別個のバックアップシステムにリストアする際は、管理端末に記憶した第１の暗号鍵とテープカートリッジに記憶した第２の暗号鍵を用いて復号化用の第３の暗号鍵を生成することによって、データを復号化することができる。
【００３６】
尚、前記実施形態においては、第２の暗号鍵をカートリッジメモリ５１に記憶させる例を説明したが、本発明はこれに限られるものではなく、例えば磁気テープの終端に第２の新暗号鍵を記録するように構成しても良い。
【００３７】
また前述の実施形態においては、暗号鍵を変更する場合、新たな第１の暗号鍵を生成し、第３の暗号鍵を基に新たな第２の暗号鍵を生成する例を説明したが、本発明はこれに限られるものではなく、例えば新たな第２の新暗号鍵を生成し、この第２の新暗号鍵と第３の暗号鍵とを基に新たな第１の新暗号鍵を生成するように構成しても良い。
【図面の簡単な説明】
【００３８】
【図１】本発明の一実施形態によるバックアップシステムを含むコンピュータシステムを示す図。
【図２】本実施形態によるテープグループ情報を説明するための図。
【図３】本実施形態によるテープ管理情報を説明するための図。
【図４】本実施形態によるバックアップ時の動作フロー図。
【図５】本実施形態によるリストア時の動作フロー図。
【図６】本実施形態による暗号鍵変更時の動作フローを示す図。
【符号の説明】
【００３９】
１０：ホスト端末、２０：管理端末、５０：テープカートリッジ、５１：カートリッジメモリ、５５：ロボット部、７０：テープグループ、１００：バックアップシステム、１１０：ディスクアレイ装置、１１１：制御部、１１２：乱数発生部、１１３：磁気ディスク装置、１１５：テープグループ情報格納部、５６：テープドライブ、１２０：テープライブラリ装置、１２１：制御部。

【特許請求の範囲】
【請求項１】
磁気ディスク装置に記憶したデータをボリューム単位に暗号化して磁気テープに記憶するバックアップシステムであって、
２進数で表されるバイナリデータにより構成される第１の暗号鍵及び該第１の暗号鍵と異なる値の第２の暗号鍵をランダムに発生する暗号鍵発生手段と、
前記第１の暗号鍵を含むテープグループ情報を記憶するテープグループ情報格納部と、
前記第２の暗号鍵を含むテープ管理情報を記憶し、前記磁気テープを収納するテープカートリッジに搭載されるカートリッジメモリと、
テープカートリッジの磁気テープに暗号化されたデータの記録再生を行うテープドライブと、
前記データの暗号化及び復号化並び磁気テープへのデータ記録再生を制御する制御部とを備え、
該制御部が、
前記第１の暗号鍵と第２の暗号鍵とを排他的論理和演算することにより第３の暗号鍵を生成する第１工程と、
該第１工程により生成した第３の暗号鍵を用いてデータを暗号化し、該暗号化したデータをテープドライブにより磁気テープに書き込む第２工程とを実行するバックアップシステム。
【請求項２】
前記制御部が、
前記テープグループ情報格納部に記憶した第１の暗号鍵を含むテープグループ情報を読み込む第３工程と、
前記カートリッジメモリに記憶した第２の暗号鍵を含むテープ管理情報を読み込む第４工程と、
前記第３工程により読み込んだ第１の暗号鍵と前記第４工程により読み込んだ第２の暗号鍵との排他的論理和演算を行うことにより第３の暗号鍵を生成する第５工程と、
該第５工程により生成した第３の暗号鍵を用いてテープドライブにより暗号化データを読み込んで復号化する第６工程とを実行する請求項１記載のバックアップシステム。
【請求項３】
前記制御部が、
前記テープグループ情報格納部に記憶した第１の暗号鍵を含むテープグループ情報を読み込む第３工程と、
前記カートリッジメモリに記憶した第２の暗号鍵を含むテープ管理情報を読み込む第４工程と、
前記第３工程により読み込んだ第１の暗号鍵と前記第４工程により読み込んだ第２の暗号鍵との排他的論理和演算を行うことにより第３の暗号鍵を生成する第５工程と、
前記暗号鍵発生手段により新たな第１の新暗号鍵を生成する第６工程と、
前記第５工程により生成した第３の暗号鍵と前記第６工程により生成した第１の新暗号鍵との排他的論理和演算を行うことにより新たな第２の新暗号鍵を生成する第７工程と、
前記第６工程により生成した第１の新暗号鍵を含むテープグループ情報をテープグループ情報格納部に記憶する第８工程と、
前記第７工程により生成した第２の新暗号鍵を含むテープ管理情報を前記カートリッジメモリに記憶する第９工程とを実行する請求項１記載のバックアップシステム。
【請求項４】
前記制御部が、
前記テープグループ情報格納部に記憶した第１の暗号鍵を含むテープグループ情報を読み込む第３工程と、
前記カートリッジメモリに記憶した第２の暗号鍵を含むテープ管理情報を読み込む第４工程と、
前記第３工程により読み込んだ第１の暗号鍵と前記第４工程により読み込んだ第２の暗号鍵との排他的論理和演算を行うことにより第３の暗号鍵を生成する第５工程と、
前記暗号鍵発生手段により新たな第２の新暗号鍵を生成する第１０工程と、
前記第５工程により生成した第３の暗号鍵と前記第１０工程により生成した第２の新暗号鍵との排他的論理和演算を行うことにより新たな第１の新暗号鍵を生成する第１１工程と、
前記第１０工程により生成した第２の新暗号鍵を含むテープ管理情報を前記カートリッジメモリに記憶する第１２工程と、
前記第１１工程により生成した第１の新暗号鍵を含むテープグループ情報をテープグループ情報格納部に記憶する第１３工程とを実行する請求項１記載のバックアップシステム。
【請求項５】
前記第１の暗号鍵を含むテープグループ情報をテープグループ情報格納部から読み込んでバックアップ記憶を行う管理用コンピュータを備えた請求項１から４何れかに記載のバックアップシステム。
【請求項６】
２進数で表されるバイナリデータにより構成される第１の暗号鍵及び該第１の暗号鍵と異なる値の第２の暗号鍵をランダムに発生する暗号鍵発生手段と、前記第１の暗号鍵を含むテープグループ情報を記憶するテープグループ情報格納部と、前記第２の暗号鍵を含むテープ管理情報を記憶し、前記磁気テープを収納するテープカートリッジに搭載されるカートリッジメモリと、テープカートリッジの磁気テープに暗号化されたデータの記録再生を行うテープドライブと、前記データの暗号化及び復号化並び磁気テープへのデータ記録再生を制御する制御部とを備え、磁気ディスク装置に記憶したデータをボリューム単位に暗号化して磁気テープに記憶するバックアップシステムの暗号鍵変更方法であって、
該制御部が、
前記第１の暗号鍵と第２の暗号鍵とを排他的論理和演算することにより第３の暗号鍵を生成する第１工程と、
該第１工程により生成した第３の暗号鍵を用いてデータを暗号化し、該暗号化したデータをテープドライブにより磁気テープに書き込む第２工程と、
前記テープグループ情報格納部に記憶した第１の暗号鍵を含むテープグループ情報を読み込む第３工程と、
前記カートリッジメモリに記憶した第２の暗号鍵を含むテープ管理情報を読み込む第４工程と、
前記第３工程により読み込んだ第１の暗号鍵と前記第４工程により読み込んだ第２の暗号鍵との排他的論理和演算を行うことにより第３の暗号鍵を生成する第５工程と、
前記暗号鍵発生手段により新たな第１の新暗号鍵を生成する第６工程と、
前記第５工程により生成した第３の暗号鍵と前記第６工程により生成した第１の新暗号鍵との排他的論理和演算を行うことにより新たな第２の新暗号鍵を生成する第７工程と、
前記第６工程により生成した第１の新暗号鍵を含むテープグループ情報をテープグループ情報格納部に記憶する第８工程と、
前記第７工程により生成した第２の新暗号鍵を含むテープ管理情報を前記カートリッジメモリに記憶する第９工程とを実行する暗号鍵変更方法。
【請求項７】
２進数で表されるバイナリデータにより構成される第１の暗号鍵及び該第１の暗号鍵と異なる値の第２の暗号鍵をランダムに発生する暗号鍵発生手段と、前記第１の暗号鍵を含むテープグループ情報を記憶するテープグループ情報格納部と、前記第２の暗号鍵を含むテープ管理情報を記憶し、前記磁気テープを収納するテープカートリッジに搭載されるカートリッジメモリと、テープカートリッジの磁気テープに暗号化されたデータの記録再生を行うテープドライブと、前記データの暗号化及び復号化並び磁気テープへのデータ記録再生を制御する制御部とを備え、磁気ディスク装置に記憶したデータをボリューム単位に暗号化して磁気テープに記憶するバックアップシステムの暗号鍵変更方法であって、
該制御部が、
前記第１の暗号鍵と第２の暗号鍵とを排他的論理和演算することにより第３の暗号鍵を生成する第１工程と、
該第１工程により生成した第３の暗号鍵を用いてデータを暗号化し、該暗号化したデータをテープドライブにより磁気テープに書き込む第２工程と、
前記テープグループ情報格納部に記憶した第１の暗号鍵を含むテープグループ情報を読み込む第３工程と、
前記カートリッジメモリに記憶した第２の暗号鍵を含むテープ管理情報を読み込む第４工程と、
前記第３工程により読み込んだ第１の暗号鍵と前記第４工程により読み込んだ第２の暗号鍵との排他的論理和演算を行うことにより第３の暗号鍵を生成する第５工程と、
前記暗号鍵発生手段により新たな第２の新暗号鍵を生成する第１０工程と、
前記第５工程により生成した第３の暗号鍵と前記第１０工程により生成した第２の新暗号鍵との排他的論理和演算を行うことにより新たな第１の新暗号鍵を生成する第１１工程と、
前記第１０工程により生成した第２の新暗号鍵を含むテープ管理情報を前記カートリッジメモリに記憶する第１２工程と、
前記第１１工程により生成した第１の新暗号鍵を含むテープグループ情報をテープグループ情報格納部に記憶する第１３工程とを実行する暗号鍵変更方法。
【請求項８】
前記バックアップシステムが、前記第１の暗号鍵を含むテープグループ情報をテープグループ情報格納部から読み込んでバックアップ記憶を行う管理用コンピュータを備え、
前記制御部が、
前記第３工程に代えて第１の暗号鍵を含むテープグループ情報を管理用コンピュータから読み込む第１４工程とを実行する請求項６記載の暗号化方法。
【請求項９】
前記バックアップシステムが、前記第２の暗号鍵を含むテープ管理情報をカートリッジメモリから読み込んでバックアップ記憶を行う管理用コンピュータを備え、
前記制御部が、
前記第３工程に代えて第１の暗号鍵を含むテープグループ情報を管理用コンピュータから読み込む第１５工程とを実行する請求項７記載の暗号化方法。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【公開番号】特開２０１０−１３０４５９（Ｐ２０１０−１３０４５９Ａ）
【公開日】平成２２年６月１０日（２０１０．６．１０）
【国際特許分類】
【出願番号】特願２００８−３０４０６９（Ｐ２００８−３０４０６９）
【出願日】平成２０年１１月２８日（２００８．１１．２８）
【出願人】（０００２３３０３３）日立コンピュータ機器株式会社 (253)
【Ｆターム（参考）】