【課題】 チャネルアダプタ（CHA）が交換される場合、そこに保持されているセキュリティ情報を消去してセキュリティ性を向上させる。
【解決手段】 CHA１１０Ａは、ホスト１０との間で暗号化通信を行う。各通信ポート１１３のポート用メモリ１１７には、暗号化通信で使用するためのセキュリティ情報（暗号鍵等）が記憶されている。CHA１１０Ａの交換が指示された場合、MP１１１は、ポート用メモリ１１７に記憶されているセキュリティ情報を共有メモリ１４０に退避させた後、それを消去させる。新たなCHA１１０Ａが取り付けられた場合、共有メモリ１４０に記憶されたセキュリティ情報が、ポート用メモリ１１７に転送される。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、記憶制御装置、記憶制御装置の上位インターフェース制御部及び記憶制御装置の情報保護方法に関する。
【背景技術】
【０００２】
記憶制御装置は、例えば、ハードディスクドライブ等のディスクドライブをアレイ状に配設し、RAID（Redundant Arrays of Inexpensive Disks）に基づく記憶領域をホストコンピュータ（以下「ホスト」）に提供する。ホストは、記憶制御装置により提供される論理的な記憶領域にアクセスし、データの読み書きを行う。
【０００３】
記憶制御装置とホストとの間の通信プロトコルとしては、例えば、ファイバチャネルプロトコルやiSCSI（internet Small Computer System Interface）が知られている。iSCSIでは、SCSIコマンドをTCP/IPのパケットで包み込むことにより、インターネットのようなIPネットワークを介して、記憶制御装置にアクセスすることができる。
【０００４】
ところで、記憶制御装置には、例えば、企業、金融機関、政府機関、教育機関等の各種機関で使用される種々の情報が記憶されているため、これらの情報を不正なアクセスから防護する必要がある。そこで、例えば、WWN（World Wide Name）とポート識別情報の対応関係、または、WWNとLUN (Logical Unit Number)の対応関係を予めテーブルに記述しておき、このテーブルを参照しながら、アクセスの可否を制御するようにした技術が提案されている（特許文献１，特許文献２）。
【０００５】
一方、TCP/IPネットワークを利用するiSCSIの場合は、MAC（Media Access Control）アドレスを用いて、アクセス権限を有するホストであるか否かを判定できるようにした技術も提案されている（特許文献３）。
【特許文献１】特開平１０−３３３８３９号公報
【特許文献２】特開２００１−２６５６５５号公報
【特許文献３】特開２００５−１３４９６１号公報
【発明の開示】
【発明が解決しようとする課題】
【０００６】
iSCSIとTCP/IPネットワークを利用してデータ転送を行う場合、第三者によるパケットモニタリングについても考慮する必要がある。そこで、例えば、IPSec（IP Security）のような暗号化通信の技術を用いて、ホストと記憶制御装置との間の通信内容を暗号化することが考えられる。
【０００７】
暗号化通信を行う場合、例えば、暗号鍵や暗号化方式（暗号アルゴリズム）のような暗号化通信に用いる情報を、ホスト及び記憶制御装置の両方で保持する必要がある。記憶制御装置は、ホストとの通信を行う通信制御基板を一つまたは複数備えるが、暗号化通信に用いる情報は、この通信制御基板上のメモリに格納される。例えば、保守作業等により、通信制御基板が記憶制御装置から取り出された場合、暗号化通信に用いる情報を記憶したメモリも、記憶制御装置の外部に取り出されることになる。取り外された通信制御基板上のメモリに第三者がアクセスして情報を取り出した場合、その後のホストと記憶制御装置との間の通信内容が盗み見されたり、改ざんされたりする可能性がある。
【０００８】
そこで、本発明の目的は、セキュリティ性を向上できるようにした記憶制御装置、記憶制御装置の上位インターフェース制御部及び記憶制御装置の情報保護方法を提供することにある。本発明の他の目的は、暗号化通信に使用される所定の情報を保持した上位インターフェース制御部が記憶制御装置から取り外される場合でも、その所定の情報が外部に漏洩するのを未然に防止できるようにした記憶制御装置、記憶制御装置の上位インターフェース制御部及び記憶制御装置の情報保護方法を提供することにある。本発明の更なる目的は、上位インターフェース制御部が記憶制御装置に取り付けられた場合に、暗号化通信に用いる所定の情報を比較的短時間で復元し、ホスト装置との通信を比較的速やかに再開できるようにした記憶制御装置、記憶制御装置の上位インターフェース制御部及び記憶制御装置の情報保護方法を提供することにある。本発明の他の目的は、後述する実施形態の記載から明らかになるであろう。
【課題を解決するための手段】
【０００９】
上記課題を解決すべく、本発明の一つの観点に従う記憶制御装置は、筐体と、この筐体に着脱可能に設けられ、ホスト装置と通信を行う上位インターフェース制御部と、筐体に設けられ、記憶デバイスと通信を行う下位インターフェース制御部と、筐体に設けられ、上位インターフェース制御部及び下位インターフェース制御部にそれぞれ接続された第１メモリ部と、を備えた記憶制御装置であって、上位インターフェース制御部は、ホスト装置に通信ネットワークを介して接続される送受信部と、送受信部を介して、ホスト装置との間で暗号化通信を行うための暗号化通信部と、暗号化通信部に接続され、暗号化通信に使用される所定の情報を記憶する第２メモリ部と、ホスト装置との通信を制御する制御部と、を備えており、制御部は、上位インターフェース制御部の交換指示を受信した場合に、第２メモリ部に記憶されている所定の情報を消去させる。
【００１０】
暗号化通信に使用される所定の情報としては、例えば、暗号鍵の情報、暗号化方式の種別を示す情報を挙げることができる。例えば、上位インターフェース制御部に障害した場合や点検時には、上位インターフェース制御部が記憶制御装置から取り出される。その際、上位インターフェース制御部の交換を行う旨の指示が、記憶制御装置に入力される。この交換指示は、例えば、記憶制御装置に接続された管理端末またはホスト装置から与えることができる。制御部は、交換指示を受信すると、第２メモリ部に記憶されている所定の情報を消去させる。これにより、所定の情報を記憶したままの第２メモリ部が記憶制御装置から取り外されるのを防止することができ、信頼性安全性が向上する。
【００１１】
一つの実施形態では、制御部は、上位インターフェース制御部の交換指示を受信した場合に、所定の情報を第１メモリ部に記憶させてから、第２メモリ部に記憶されている所定の情報を消去させる。そして、一つの実施形態では、制御部は、筐体に装着された場合に、第１メモリ部に記憶された所定の情報を読み出して第２メモリ部に記憶させる。これにより、例えば新品の上位インターフェース制御部が記憶制御装置に取り付けられた場合に、第１メモリ部に退避させた所定の情報を第２メモリ部に記憶させて、上位インターフェース制御部の機能を早期に回復させることができる。
なお、例えば、転送経路に生じた障害等により、所定の情報を第２メモリ部から第１メモリ部に退避させることができない場合、第２メモリ部から所定の情報の消去のみを実行させる。これにより、所定の情報が外部に漏洩するのを防止することができる。
【００１２】
一つの実施形態では、制御部は、上位インターフェース制御部の交換指示を受信した場合に、（１）第２メモリ部から第１メモリ部へのデータ転送が可能か否かを判定し、（２）各メモリ間のデータ転送が可能であると判定した場合は、第２メモリ部から第１メモリ部に所定の情報を転送して記憶させてから、第２メモリ部に記憶されている所定の情報を消去させ、（３）各メモリ間のデータ転送が不能であると判定した場合は、第２メモリ部から所定の情報を消去させる。これにより、障害が発生した部位に応じて、所定の情報を第１メモリ部に退避させるか否かを決定することができる。
【００１３】
一つの実施形態では、上位インターフェース制御部は、互いにバックアップ可能な複数の通信構造を備えており、これら各通信構造は、送受信部と、暗号化通信部と、第２メモリ部及び制御部をそれぞれ備えており、各通信構造のうちいずれか一方の通信構造において、第２メモリ部から第１メモリ部へのデータ転送が不能である場合、各通信構造のうち他方の通信構造を介して、一方の通信構造の第２メモリ部に記憶された所定の情報を第１メモリ部に転送して記憶させる。これにより、一方の制御部に障害が発生した場合でも、他方の制御部を介して所定の情報を第１メモリ部に退避させることができる。
【００１４】
本発明の他の観点に従う記憶制御装置の上位インターフェース制御部は、記憶制御装置に着脱可能に設けられ、ホスト装置と通信を行う上位インターフェース制御部であって、ホスト装置に通信ネットワークを介して接続される送受信部と、送受信部を介して、ホスト装置との間で暗号化通信を行うための暗号化通信部と、暗号化通信部に接続され、暗号化通信に使用される所定の情報を記憶する第２メモリ部と、ホスト装置との通信を制御する制御部と、を備えており、制御部は、上位インターフェース制御部の交換指示を受信した場合に、第２メモリ部に記憶されている所定の情報を消去させる。
【００１５】
本発明のさらに別の側面に従う記憶制御装置の情報保護方法は、筐体に着脱可能に設けられ、ホスト装置と暗号化通信を行う上位インターフェース制御部と、筐体に設けられ、記憶デバイスと通信を行う下位インターフェース制御部と、筐体に設けられ、上位インターフェース制御部及び下位インターフェース制御部にそれぞれ接続された第１メモリ部と、を備えた記憶制御装置の情報保護方法であって、上位インターフェース制御部の交換指示を受信したか否か判定する交換判定ステップと、交換指示を受信した場合は、上位インターフェース制御部に保持されている暗号化通信に使用される所定の情報を消去させる消去ステップと、所定の情報を消去した場合に、上位インターフェース制御部の交換が可能である旨を通知する通知ステップと、を含む。
【００１６】
さらに、一つの実施形態では、（１）交換判定ステップと消去ステップとの間に、上位インターフェース制御部に保持されている所定の情報を第１メモリ部に記憶させる退避ステップを設け、（２）通知ステップの後に、上位インターフェース制御部が交換されたか否かを判定する交換終了判定ステップと、上位インターフェース制御部の交換が行われた場合は、第１メモリ部に所定の情報が記憶されているか否かを判定する退避判定ステップと、第１メモリ部に所定の情報が記憶されている場合は、第１メモリ部から所定の情報を読み出して、交換された上位インターフェース制御部に保持させる復元ステップとを、それぞれ設けている。
【００１７】
本発明の手段、機能、ステップの少なくとも一部は、マイクロコンピュータにより読み込まれて実行されるコンピュータプログラムとして構成できる場合がある。このようなコンピュータプログラムは、例えば、ハードディスクや光ディスク等のような記憶媒体に固定して流通させることができる。または、インターネット等のような通信ネットワークを介して、コンピュータプログラムを供給することもできる。
【発明を実施するための最良の形態】
【００１８】
以下、図面に基づき、本発明の実施の形態を説明する。図１は、本実施形態に係る記憶制御装置１００の外観を模式的に示す説明図である。記憶制御装置１００は、例えば、筐体１０１と、記憶ボックス１０２と、制御ボックス１０３と、電源ボックス１０４と、冷却ファン１０５とを備えて構成することができる。例えば、筐体１０１内では、下から順番に、電源ボックス１０４，制御ボックス１０３，記憶ボックス１０２がそれぞれ設けられている。
【００１９】
記憶ボックス１０２には、例えば、ハードディスクドライブのような複数のディスクドライブ１７１が着脱可能に設けられている。制御ボックス１０３には、ホスト１０（図２参照）との通信を行うチャネルアダプタ（以下「CHA」）１１０と、各ディスクドライブ１７１と通信を行うディスクアダプタ（以下「DKA」）１２０とが、それぞれ着脱可能に設けられている。また、図２と共に述べるように、制御ボックス１０３には、キャッシュメモリ１３０及び共有メモリ１４０、サービスプロセッサ１８０（以下「SVP」）も、それぞれ着脱可能に設けられている。例えば、保守作業を行う場合、矢示Ｆ方向にCHA１１０等を引き出すことにより、CHA１１０等を制御ボックス１０３から取り外すことができるようになっている。点検を終えたCHA１１０または新品のCHA１１０は、矢示Ｆ方向と逆の方向から制御ボックス１０３に挿入されて取り付けられる。なお、電源ボックス１０４には、交流電源から一つまたは複数の直流電源を生成するための電源回路やバッテリ回路が設けられている。
【００２０】
この記憶制御装置１００は、ホスト１０との間で暗号化通信を行うことができ、CHA１１０が制御ボックス１０３から取り外される場合、そのCHA１１０内に保持されているセキュリティ情報は消去されるようになっている。以下、本実施形態をより詳細に説明する。
【実施例１】
【００２１】
図２は、記憶制御装置１００のブロック図である。記憶制御装置１００は、通信ネットワークCN１Ａ，CN１Ｂを介して、複数のホスト１０にそれぞれ接続可能である。ホスト１０は、例えば、いわゆるオープン系ホストでもメインフレーム系ホストでもよい。また、各ホスト１０は、それぞれ異なる種類の通信プロトコルを介して、記憶制御装置１００と通信することができ、それぞれの通信の種類に応じたインターフェース（図中「Ｉ／Ｆ」）１１を備えている。例えば、一方のホスト群は、インターネットやLAN（Local Area Network）のようなネットワークCN１Ａを介して、iSCSIに基づく通信を行う。他方のホスト群は、FC-SAN（Fibre Channel-Storage Area Network）として構成されるネットワークCN１Ｂを介して、ファイバチャネルプロトコルに基づく通信を行う。なお、記憶制御装置１００は、複数種類の通信ネットワークCN１Ａ，CN１Ｂを介して、各ホスト１０に接続される必要はない。本実施例では、少なくともiSCSIを利用して暗号化通信を行うことができれば足りる。
【００２２】
管理端末２０は、後述のSVP１８０を介して、記憶制御装置１００の各種情報を収集したり、記憶制御装置１００に必要な指令を与えるための装置である。管理端末２０は、例えば、LAN等の通信ネットワークCN２を介して、SVP１８０に接続される。管理端末２０は、例えば、ウェブブラウザをベースとしたGUI（Graphical User Interface）を備えており、SVP１８０が提供するWWW（World Wide Web）サーバにログインすることにより、各種情報の収集と指令の入力とを行うことができる。なお、記憶制御装置１００に管理用の指令を与えるための管理用ソフトウェアをホスト１０に設けることにより、ホスト１０から記憶制御装置１００に各種の指令を与えることもできる。
【００２３】
記憶制御装置１００の構成を説明する。記憶制御装置１００は、例えば、複数のCHA１１０Ａ，１１０Ｂ（以下、特に区別しない場合は「CHA１１０」）と、複数のDKA１２０と、複数のキャッシュメモリ１３０と、複数の共有メモリ１４０と、各スイッチ制御アダプタ群１５０，１６０と、記憶部１７０と、SVP１８０とを備えている。
【００２４】
各CHA１１０は、各ホスト１０との間のデータ転送を制御するための専用パッケージである。CHA１１０の詳細はさらに後述するが、各CHA１１０は、複数の通信ポートを備えており、少なくとも一つ以上のホスト１０と接続可能である。各CHA１１０は、ホスト１０との間のデータ転送をそれぞれ個別に制御する。図に示す例では、CHA１１０Ａは、iSCSIに基づいて、ホスト１０との間で暗号化された通信を行う。CHA１１０Ｂは、ファイバチャネルプロトコルに基づいて、ホスト１０との間で通信を行う。
【００２５】
各DKA１２０は、記憶部１７０とのデータ転送をそれぞれ制御するものである。各DKA１２０は、例えば、ホスト１０から指定された論理ブロックアドレス（LBA）を物理ディスクのアドレスに変換等することにより、各ディスクドライブ１７１にアクセスし、データの読出しまたはデータの書込みを行う。DKA１２０とCHA１１０とは、それぞれ別々のパッケージとして構成することもできるし、両者の機能を一つのパッケージにまとめた複合パッケージとして構成することもできる。
【００２６】
各キャッシュメモリ１３０は、ホスト１０から書き込まれたライトデータや、ホスト１０によって読み出されたリードデータを記憶するものである。キャッシュメモリ１３０は、例えば、揮発または不揮発のメモリから構成可能である。キャッシュメモリ１３０が揮発性メモリを含んで構成される場合、電源ボックス１０４からのバッテリ電源等によってメモリバックアップを行うことが好ましい。キャッシュメモリ１３０は、リードキャッシュ領域とライトキャッシュ領域との２つの領域から構成することができ、ライトキャッシュ領域に格納されたデータは、多重記憶することができる。
【００２７】
共有メモリ（あるいは制御メモリとも呼ばれる）１４０は、例えば、不揮発メモリから構成可能であるが、揮発メモリから構成してもよい。共有メモリ１４０には、例えば、制御情報や管理情報等が記憶される。これらの制御情報等の情報は、複数のメモリ１４０により多重管理することができる。また、共有メモリ１４０には、後述のように、暗号化通信のために使用されるセキュリティ情報が記憶される場合がある。
【００２８】
共有メモリ１４０及びキャッシュメモリ１３０は、それぞれ別々のメモリパッケージとして構成することもできるし、同一のメモリパッケージ内にキャッシュメモリ１３０及び共有メモリ１４０を設けてもよい。
【００２９】
CHA/DKA側のスイッチ制御アダプタ群１５０は、各CHA１１０と、各DKA１２０と、キャッシュメモリ１３０とをそれぞれ相互に接続する。これにより、全てのCHA１１０，DKA１２０は、キャッシュメモリ１３０にそれぞれ個別にアクセス可能である。共有メモリ１４０は、スイッチ制御アダプタ群１５０を介さずに、各CHA１１０及び各DKA１２０にそれぞれ接続されている。スイッチ制御アダプタ群１５０は、例えば、クロスバスイッチ等として構成できる。ディスクドライブ側のスイッチ制御アダプタ群１６０は、各DKA１２０と記憶部１７０とをそれぞれ接続するためのものである。
【００３０】
記憶部１７０は、多数のディスクドライブ１７１を備えて構成される。記憶部１７０の物理的な外観は、図１中の記憶ボックス１０２に相当する。記憶部１７０は、各CHA１１０及び各DKA１２０等のコントローラ部分と共に、同一の筐体１０１内に設けることもできるし、コントローラ部分とは別の筐体内に設けることもできる。
【００３１】
記憶部１７０には、例えば、ＦＣディスク（ファイバチャネルディスク）、SCSI（Small Computer System Interface）ディスク、SATA（Serial AT Attachment）ディスクのような種々のハードディスクドライブを設けることができる。なお、記憶部１７０に装着する記憶デバイスは、ハードディスクドライブに限定されない。例えば、半導体メモリドライブ、光ディスクドライブ、磁気テープドライブ等を用いることができる場合もある。
【００３２】
各ディスクドライブ１７１はそれぞれ物理的な記憶領域を有しており、所定数のディスクドライブ１７１がグループ化されることにより、論理的な記憶領域が形成される。この論理的な記憶領域上に一つまたは複数の論理ボリュームが設定される。そして、ホスト１０は、論理ボリュームに対してデータの読み書きを行う。
【００３３】
SVP１８０は、LAN等の内部ネットワークCN３を介して、各CHA１１０及び各DKA１２０とそれぞれ接続されている。SVP１８０は、例えば、各CHA１１０を介して各共有メモリ１４０にアクセスすることができ、各共有メモリ１４０を介して各DKA１２０の情報を収集可能である。このように、SVP１８０は、記憶制御装置１００内部の各種状態を収集し、そのままで又は加工して、管理端末２０に提供する。また、SVP１８０は、管理端末２０からの指示に基づいて、各パッケージ１１０，１２０等の閉塞処理等を行わせることもできる。
【００３４】
図３は、CHA１１０のうち、暗号化通信を行うCHA１１０Ａの回路構成を示すブロック図である。各CHA１１０Ａは、例えば、複数のマイクロプロセッサ（以下「MP」）１１１と、複数のデータ転送制御部１１２と、複数の通信ポート１１３とを備えて構成することができる。
【００３５】
図３に示す例では、CHA１１０Ａには、２組の通信回路が設けられている。各通信回路は、それぞれ２つの通信ポート１１３と、一つのデータ転送制御部１１２と、２つのMP１１１とから構成されている。各通信回路において、各MP１１１は、それぞれ自分自身が担当すべき通信ポート１１３（自系）に接続されているほか、相手方のMP１１１が担当する通信ポート１１３（他系）にもデータ転送制御部１１２を介して接続される。即ち、各通信回路内では、二つのMP１１１が互いに相手方の通信制御をバックアップするようになっており、冗長化されている。
【００３６】
各通信ポート１１３は、例えば、トランシーバ１１４と、セキュリティチップ１１５と、プロトコルチップ１１６と、ポート用メモリ１１７とを含んで構成可能である。トランシーバ１１４は、ホスト１０との間でデータの送受信を行う回路である。セキュリティチップ１１５は、ホスト１０から受信したパケットを復号化したり、ホスト１０へ送信するデータを暗号化するための回路である。プロトコルチップは、ホスト１０との通信プロトコル（ここではiSCSI）を制御する回路である。ポート用メモリ１１７は、セキュリティチップ１１５で使用されるセキュリティ情報等を記憶するための回路である。
【００３７】
接続構造を説明すると、トランシーバ１１４は、セキュリティチップ１１５に接続されており、セキュリティチップ１１５は、プロトコルチップに接続されている。ポート用メモリ１１７は、セキュリティチップ１１５に接続されている。プロトコルチップ１１６及びMP１１１は、データ転送制御部１１２にそれぞれ接続されている。また、MP１１１は、共有メモリ１４０に接続されており、データ転送制御部１１２はキャッシュメモリ１３０に接続されている。MP１１１は、データ転送制御部１１２を介して、自系の通信ポート１１３と通信を行うことができるほか、他系の通信ポート１１３とも通信を行うことができる。
【００３８】
次に、データの流れを説明する。ホスト１０から送信されたライトデータは、トランシーバ１１４によって受信され、セキュリティチップ１１５に渡される。セキュリティチップ１１５は、ホスト１０によって暗号化されたライトデータを、ポート用メモリ１１７に格納されているセキュリティ情報に基づいて復号化する。復号化されたライトデータは、プロトコルチップ１１６からデータ転送制御部１１２を介して、キャッシュメモリ１３０に転送され、記憶される。MP１１１は、ライトデータをキャッシュメモリ１３０に記憶させると、ホスト１０に対して書込み完了を報告する。また、MP１１１は、ホスト１０からライトデータを受信した旨を共有メモリ１４０に書き込む。その後、DKA１２０は、共有メモリ１４０を参照して、ディステージされていないライトデータを発見すると、キャッシュメモリ１３０に記憶されているライトデータを読み出して、物理アドレスに変換等し、所定のディスクドライブ１７１に書き込ませる。ここで、所定のディスクドライブ１７１とは、そのライトデータが書き込まれるべき論理ボリュームを構成するドライブである。
【００３９】
ホスト１０からリードコマンドを受信した場合、MP１１１は、要求されたデータがキャッシュメモリ１３０に記憶されているか否かを確認し、キャッシュメモリ１３０に記憶されていない場合は、そのデータをディスクドライブ１７１から読み出すべき旨の指示を共有メモリ１４０に書き込む。この指示をDKA１２０が検出すると、DKA１２０は、所定のディスクドライブ１７１からデータを読み出して、論理アドレスに変換等し、このデータをキャッシュメモリ１３０に記憶させる。MP１１１は、データ転送制御部１１２を介して、キャッシュメモリ１３０からデータを読み出させ、プロトコルチップ１１６に転送させる。プロトコルチップ１１６は、iSCSIに基づいたパケット化処理を行って、セキュリティチップ１１５にデータを引き渡す。セキュリティチップ１１５は、ポート用メモリ１１７に記憶されているセキュリティ情報に基づいて、データを暗号化し、暗号化したデータをトランシーバ１１４に入力させる。トランシーバ１１４は、セキュリティチップ１１５から入力されたデータを、ホスト１０に送信する。
【００４０】
図４は、ポート用メモリ１１７及び共有メモリ１４０の記憶内容を模式的に示す説明図である。各通信ポート１１３のポート用メモリ１１７には、図４中の上側に示すように、複数種類の情報が記憶されている。
【００４１】
第１の情報は、セキュリティ情報Ｄ１である。セキュリティ情報Ｄ１には、例えば、ホスト１０との暗号通信に使用する暗号鍵及び暗号方式が含まれている。暗号方式は、共通鍵方式（秘密鍵方式）と公開鍵方式とに大別できる。iSCSIでは、共通鍵方式を採用し、ホスト１０と各ポート１１３とがそれぞれ鍵情報を秘密に保持する必要がある。共通鍵方式の種別（暗号化方式の種別）としては、例えば、DES（Data Encryption Standard）、トリプルDES、AES（Advanced Encryption Standard）等が知られている。
ポート用メモリ１１７に記憶される第２の情報は、その他の情報Ｄ２である。その他の情報Ｄ２としては、例えば、ポート識別情報等を挙げることができる。
【００４２】
次に、共有メモリ１４０の記憶内容を説明する。共有メモリ１４０には、複数種類の情報を記憶させることができる。一つは、ポート用メモリ１１７から退避されたセキュリティ情報Ｄ３である。このセキュリティ情報Ｄ３は、ポート用メモリ１１７のセキュリティ情報Ｄ１と同一内容であるが、それが使用されていたポートを識別するためのポート識別情報Ｄ４に対応付けられている点で相違する。
【００４３】
共有メモリ１４０に記憶されている他の一つは、制御用情報Ｄ５である。この制御用情報Ｄ５には、例えば、ボリューム管理テーブル等のような各種のテーブルや、消去指令Ｄ５１が含まれている。消去指令Ｄ５１は、障害の発生した通信ポート１１３を担当するMP１１１から、同一のCHA１１０Ａ内に設けられている他のMP１１１に対して、セキュリティ情報Ｄ１の消去（退避及び消去）を指示するための制御情報である。即ち、あるCHA１１０Ａに障害が発生して交換が指示された場合、交換されるCHA１１０Ａの各ポート用メモリ１１７からセキュリティ情報Ｄ１がそれぞれ消去（退避してから消去）されるようになっている。
【００４４】
次に、本実施例の動作について説明する。まず、図５，図６は、CHA１１０Ａに障害が発生した場合の処理概要を示すフローチャートである。
CHA１１０ＡのMP１１１は、障害の発生を検出すると（S11：YES）、この障害発生をSVP１８０に通知する（Ｓ１２）。SVP１８０は、障害が発生した旨を管理端末２０に表示させる（Ｓ１３）。
【００４５】
管理端末２０を介して故障の発生を知ったユーザ（保守員）は、故障の生じたCHA１１０Ａとホスト１０との間をオフライン状態に変更させ、そのCHA１１０Ａへのアクセスを停止させる（Ｓ１４）。また、保守員は、故障の生じたCHA１１０Ａの交換を指示する（Ｓ１５）。これら保守員による指示は、管理端末２０からSVP１８０に入力され、SVP１８０からCHA１１０Ａに入力される。
【００４６】
MP１１１は、SVP１８０から交換指示を受信すると（Ｓ１６）、トランシーバ１１４の故障であるか否かを判定する（Ｓ１７）。まず最初に、トランシーバ１１４の故障であるか否かを判定するのは、トランシーバ１１４はホスト１０との接続箇所であり、他の部品よりも障害の生じやすい箇所であると考えることができるためである。トランシーバ１１４の故障であるか否かは、例えば、トランシーバ１１４の出力信号を監視するセンサからの検出信号に基づいて、判定することができる。
【００４７】
トランシーバ１１４の故障であると判定された場合（S17：YES）、MP１１１は、ポート用メモリ１１７に記憶されているセキュリティ情報Ｄ１を、ポート用メモリ１１７から共有メモリ１４０に転送させる（Ｓ１８）。
【００４８】
このセキュリティ情報Ｄ１の退避は、交換されるCHA１１０Ａの全てのポート用メモリ１１７について、それぞれ実行される。即ち、いずれか一つのMP１１１が、セキュリティ情報の退避を決定すると、そのMP１１１は、共有メモリ１４０に消去指令Ｄ５１を書き込む。消去指令Ｄ５１には、退避対象となるCHA１１０Ａを特定するための情報（CHA番号等）が含まれている。他のMP１１１は、この消去指令Ｄ５１を検出すると、自身の管理下にあるポート用メモリ１１７から共有メモリ１４０にセキュリティ情報Ｄ１をそれぞれ退避させる。これにより、共有メモリ１４０には、各ポート用メモリ１１７に記憶されているセキュリティ情報Ｄ１（Ｄ３）とポート識別情報Ｄ４とが対応付けられて記憶される。
【００４９】
MP１１１は、セキュリティ情報Ｄ１をポート用メモリ１１７から共有メモリ１４０に正常に転送できたか否かを判定する（Ｓ１９）。正常に転送が行われなかった場合（S19：NO）、MP１１１は、所定回数または所定時間だけセキュリティ情報Ｄ１の再転送を試みる（Ｓ２０）。
【００５０】
ポート用メモリ１１７から共有メモリ１４０にセキュリティ情報Ｄ１を正常に転送できた場合（S19：YES）、MP１１１は、ポート用メモリ１１７からセキュリティ情報Ｄ１を消去させる（Ｓ２１）。そして、MP１１１は、閉塞処理を行い（Ｓ２２）、閉塞処理が完了すると、取り外し準備が完了した旨をSVP１８０に通知する（Ｓ２３）。上述のように、SVP１８０から交換対象として指定されたCHA１１０Ａ内の各MP１１１は、ポート用メモリ１１７に記憶されているセキュリティ情報Ｄ１をそれぞれ消去させてから閉塞処理を行い、SVP１８０にそれぞれ通知する。
【００５１】
SVP１８０は、交換対象のCHA１１０Ａの取り外し準備が完了したことを検出すると（Ｓ２４）、そのCHA１１０Ａが交換可能である旨を保守員に通知する（Ｓ２５）。この通知は、管理端末２０を介して行われる。この通知を受けた保守員は、故障したCHA１１０Ａを記憶制御装置１００から取り外し、新たなCHA１１０Ａを記憶制御装置１００に取り付ける。この新たなCHA１１０Ａを取り付ける際の処理については、さらに後述する。
【００５２】
ところで、故障部位がトランシーバ１１４ではない場合もあり得る。トランシーバ１１４以外の箇所で故障が生じている場合（S17：NO）、MP１１１は、ポート用メモリ１１７と共有メモリ１４０とを結ぶ経路上で故障が生じたか否かを判定する（Ｓ２６）。メモリ間経路での故障としては、例えば、ポート用メモリ１１７の故障、セキュリティチップ１１５の故障、プロトコルチップ１１６の故障、データ転送制御部１１２の故障、これら各部を接続する信号線の断線等を挙げることができる。
【００５３】
メモリ間経路で障害が生じている場合（S26：YES）、MP１１１は、ポート用メモリ１１７に記憶されているセキュリティ情報Ｄ１を直ちに消去させる（Ｓ２１）。メモリ間経路に障害がある場合、ポート用メモリ１１７から共有メモリ１４０へセキュリティ情報Ｄ１を正常に転送できない可能性が高いためである。
【００５４】
一方、障害の原因がトランシーバ１１４でもなく（S17：NO）、かつ、メモリ間経路でもない場合（S26：NO）、MP１１１に障害が発生していると考えることができる。障害の発生した通信ポート１１３を担当するMP１１１（プライマリMP）が故障している場合、同一のデータ転送制御部１１２と接続されるMP１１１（他系MP）による処理が行われる（Ｓ２７）。
【００５５】
図６は、他系MP１１１による処理を示すフローチャートである。故障したMP１１１と同一のデータ転送１１２に接続されているMP１１１は、障害の発生した通信ポート１１３のポート用メモリ１１７から共有メモリ１４０にセキュリティ情報Ｄ１を転送させる（Ｓ２７１）。他系MP１１１は、転送が正常に完了したか否かを判定し（Ｓ２７２）、正常に転送できなかった場合（S272：NO）、所定回数または所定時間だけ再転送を試みる（Ｓ２７３）。
【００５６】
セキュリティ情報Ｄ１が正常に転送された場合（S272：YES）、他系MP１１１は、ポート用メモリ１１７からセキュリティ情報Ｄ１を消去させる（Ｓ２７４）。そして、他系MP１１１は、閉塞処理を行った後（Ｓ２７５）、取り外し準備が完了した旨をSVP１８０に通知する（Ｓ２７６）。ここで、他系MP１１１は、セキュリティ情報Ｄ１の退避及び消去処理を肩代わりする際に、消去命令Ｄ５１を共有メモリ１４０に書き込む。
【００５７】
従って、次に、他系MP１１１は、消去命令Ｄ５１に基づいて、自己の管理下にあるポート用メモリ１１７からセキュリティ情報Ｄ１を共有メモリ１４０に退避させた後、それを消去して、閉塞処理を行い、取り外し準備が完了した旨をSVP１８０に通知する。
【００５８】
以上のように、消去すべき情報（セキュリティ情報Ｄ１）を保持しているCHA１１０Ａの取り外しが決定された場合、そのCHA１１０Ａ内の全てのポート用メモリ１１７からセキュリティ情報Ｄ１がそれぞれ消去される。また、もしもそれが可能ならば、セキュリティ情報Ｄ１を消去する前に、セキュリティ情報Ｄ１をポート識別情報と対応付けて、共有メモリ１４０に記憶させる。
【００５９】
その後、保守員は、新たなCHA１１０Ａを制御ボックス１０３に取り付ける。交換後の処理について、図７のフローチャートを参照しつつ説明する。保守員は、新たなCHA１１０Ａを制御ボックス１０３に装着すると、管理端末２０からSVP１８０に交換が終了した旨の情報を入力する（S30：YES）。SVP１８０は、保守員からの入力によって交換終了を検出すると、交換されたCHA１１０Ａに通知する（Ｓ３１）。
【００６０】
SVP１８０からの交換終了通知は、セキュリティ情報Ｄ１を復元するためのトリガとして使用される。交換されたCHA１１０ＡのMP１１１は、セキュリティ情報Ｄ１が共有メモリ１４０に退避されているか否かを判定する（Ｓ３２）。例えば、MP１１１は、共有メモリ１４０のセキュリティ情報Ｄ３及びポート識別情報Ｄ４を検索し、そこに自己の管理下にあるべきセキュリティ情報Ｄ１が存在するか否かを判定する。
【００６１】
セキュリティ情報Ｄ１が共有メモリ１４０に退避済である場合（S32：YES）、MP１１１は、共有メモリ１４０からポート用メモリ１１７にセキュリティ情報Ｄ１を転送させ（Ｓ３３）、転送が完了した場合は、セキュリティ情報Ｄ１の復元が完了した旨をSVP１８０に通知する（Ｓ３３）。交換されたCHA１１０Ａの各MP１１１は、それぞれ自己の管理下にあるべきセキュリティ情報Ｄ１を共有メモリ１４０から読み出させて、ポート用メモリ１１７に記憶させる。
【００６２】
SVP１８０は、セキュリティ情報Ｄ１の復元が完了した旨の通知を受信すると（Ｓ３４）、交換されたCHA１１０Ａとホスト１０との間を接続してオンライン状態とし、ホスト１０から交換されたCHA１１０Ａへのアクセスを許可する（Ｓ３５）。
【００６３】
一方、上述のように、ポート用メモリ１１７と共有メモリ１４０との間の経路に問題があった場合は、セキュリティ情報Ｄ１を退避させることができない。従って、その退避できなかったセキュリティ情報Ｄ１は、ポート用メモリ１１７から消去されている。このため、Ｓ３２では「NO」と判定されて、Ｓ３３及びＳ３４はスキップされる。
【００６４】
なお、上述のように、各ポート用メモリ１１７から共有メモリ１４０へのセキュリティ情報Ｄ１の退避処理及び消去処理は、各通信ポート１１３毎にそれぞれ行われる。従って、ある通信ポート１１３では、そのセキュリティ情報Ｄ１を共有メモリ１４０に退避させることができた場合でも、別のある通信ポート１１３では、そのセキュリティ情報Ｄ１を共有メモリ１４０に退避させることができず、消去する場合もある。セキュリティ情報Ｄ１を復元できたか否かで、各通信ポート１１３の動作はそれぞれ異なる。
【００６５】
ホスト１０からのアクセスがあると（S36：YES）、そのアクセスを受信した通信ポート１１３では、セキュリティ情報Ｄ１が復元済であるか否か、即ち、ポート用メモリ１１７にセキュリティ情報Ｄ１が記憶されているか否かを判定する（Ｓ３７）。
【００６６】
セキュリティ情報Ｄ１がポート用メモリ１１７に記憶されている場合（S37：YES）、その通信ポート１１３は、ホスト１０からのコマンドを受信して（Ｓ３８）、そのコマンドに基づいて処理を行う（Ｓ３９）。このコマンド処理に際して、セキュリティ情報Ｄ１を用いた暗号の解読及びデータの暗号化が行われる。そして、MP１１１は、ポート用メモリ１１７に復元されたセキュリティ情報Ｄ１に基づいて、ホスト１０と正常に通信が完了したことを確認すると、共有メモリ１４０内のセキュリティ情報Ｄ３（Ｄ１）を消去させる（Ｓ４０）。これにより、共有メモリ１４０の空き容量が増加する。
【００６７】
これに対し、ポート用メモリ１１７にセキュリティ情報Ｄ１が復元されていない場合（S37：NO）、その通信ポート１１３は、ホスト１０と暗号化通信を行うことができないため、改めてセキュリティ情報Ｄ１を設定する必要がある。
【００６８】
そこで、その通信ポート１１３は、ホスト１０とネゴシエーションを開始し（Ｓ４１）、暗号化通信に使用するための暗号鍵及び暗号方式を取り決める（Ｓ４２）。より詳しくは、暗号化されていない平文の通信で暗号鍵を送信するのは、セキュリティ上の問題があるため、暗号鍵送信用の暫定的な暗号方式を取り決めた後、暗号鍵を送信する。
【００６９】
通信ポート１１３は、このようにして改めて設定された暗号鍵及び暗号方式をセキュリティ情報Ｄ１として、ポート用メモリ１１７に記憶させる（Ｓ４３）。そして、通信ポート１１３は、ホスト１０からのアクセスを待って（S36：YES）、そのコマンドを処理し（S37：YES，Ｓ３８，Ｓ３９）、共有メモリ１４０に記憶されたセキュリティ情報Ｄ３（Ｄ１）を消去させる。
【００７０】
図８〜図１０は、障害の発生部位に応じた処理を模式的に示す説明図である。図８は、トランシーバ１１４が故障した場合を示す。図８（ａ）は交換前の様子を示す。MP１１１は、ポート用メモリ１１７内のセキュリティ情報Ｄ１を、セキュリティチップ１１５，プロトコルチップ１１６，データ転送制御部１１２，MP１１１をそれぞれ介して、共有メモリ１４０に転送し、記憶させる。この経路を図中太線で示す。図８（ｂ）は、CHA１１０Ａを交換した後の様子を示す。MP１１１は、共有メモリ１４０に記憶されたセキュリティ情報Ｄ１を、図８（ａ）に示す向きと逆方向に転送し、ポート用メモリ１１７に記憶させる。
【００７１】
図９は、ポート用メモリ１１７と共有メモリ１４０との間の経路のいずれかで障害が発生した場合を示す。図中では、説明の便宜上、複数箇所で同時に障害が生じているかのように示しているが、メモリ間経路上のいずれか一箇所で障害が生じれば足りる。この場合は、ポート用メモリ１１７から共有メモリ１４０にセキュリティ情報Ｄ１を正常に転送できないため、ポート用メモリ１１７からセキュリティ情報Ｄ１が消去される。図９（ｂ）は、交換後の様子を示す。交換後、通信ポート１１３は、ホスト１０とネゴシエーションを行い、改めて暗号鍵及び暗号方式を設定する。
【００７２】
図１０は、MP１１１に障害が生じた場合を示す。図１０（ａ）は交換前の様子を示している。故障したMP１１１をバックアップする他系MP１１１は、図中太線で示すように、ポート用メモリ１１７内のセキュリティ情報Ｄ１を、セキュリティチップ１１５，プロトコルチップ１１６，データ転送制御部１１２，他系MP１１１をそれぞれ介して、共有メモリ１４０に転送し、記憶させる。図１０（ｂ）は交換後の様子を示す。交換後は、共有メモリ１４０に退避させたセキュリティ情報Ｄ１を管理すべきMP１１１が、共有メモリ１４０から読出したセキュリティ情報Ｄ１を、MP１１１，データ転送制御部１１２，プロトコルチップ１１６，セキュリティチップ１１５をそれぞれ介して、ポート用メモリ１１７に転送して記憶させる。この経路を図中太線で示す。
【００７３】
本実施例は、上述のように構成されるため、以下の効果を奏する。本実施例では、MP１１１は、CHA１１０Ａの交換指示を受信した場合に、ポート用メモリ１１７に記憶されているセキュリティ情報Ｄ１を消去させる構成とした。従って、CHA１１０Ａが制御ボックス１０３から取り外される前に、セキュリティ情報Ｄ１を消去できる。これにより、セキュリティ情報Ｄ１が記憶制御装置１００の外部で第三者に読み取られるのを未然に防止でき、記憶制御装置１００の信頼性、セキュリティ性が向上する。
【００７４】
本実施例では、MP１１１は、CHA１１０Ａの交換指示を受信した場合に、セキュリティ情報Ｄ１を共有メモリ１４０に記憶させてから、ポート用メモリ１１７に記憶されているセキュリティ情報を消去させる構成した。従って、セキュリティ情報Ｄ１を記憶制御装置１００内に保存して、CHA１１０Ａの交換後に備えることができる。
【００７５】
そして、本実施例では、MP１１１は、CHA１１０Ａが筐体１０１に装着された場合に、共有メモリ１４０に記憶されたセキュリティ情報Ｄ１を読み出してポート用メモリ１１７に記憶させる構成とした。従って、交換されたCHA１１０Ａにセキュリティ情報Ｄ１を短時間で設定することがき、早期にCHA１１０Ａを使用することができ、使い勝手が向上する。
【００７６】
本実施例では、MP１１１は、CHA１１０Ａの交換指示を受信した場合に、（１）ポート用メモリ１１７から共有メモリ１４０へのデータ転送が可能か否かを判定し、（２）各メモリ間のデータ転送が可能であると判定した場合は、ポート用メモリ１１７から共有メモリ１４０にセキュリティ情報Ｄ１を転送して記憶させてから、ポート用メモリ１１７に記憶されているセキュリティ情報Ｄ１を消去させ、（３）各メモリ間のデータ転送が不能であると判定した場合は、ポート用メモリ１１７からセキュリティ情報Ｄ１を消去させる構成とした。従って、障害の発生した位置に応じて、セキュリティ情報Ｄ１の取り扱いを変更し、セキュリティ性を維持しながら、使い勝手を向上させることができる。
【００７７】
本実施例では、複数のMP１１１及び複数の通信ポート１１３によって冗長構造を形成し、一方のMP１１１に障害が生じた場合、他方のMP１１１によってセキュリティ情報Ｄ１の退避処理及び消去処理を行わせる構成とした。従って、故障したMP１１１の管理下にあるセキュリティ情報Ｄ１が消去されずにCHA１１０Ａが取り外されるのを防止することができ、信頼性が向上する。
【００７８】
本実施例では、各通信ポート１１３は、共有メモリ１４０に記憶される消去指令Ｄ５１を介して連携しながら、それぞれ個別にセキュリティ情報Ｄ１の退避処理及び消去処理を行う構成とした。従って、比較的簡易な構成で記憶制御装置１００のセキュリティ性能を向上させることができる。
【実施例２】
【００７９】
図１１に基づいて第２実施例を説明する。本実施例は、第１実施例の変形例に相当し、その特徴は、正規の手順を踏まずにCHA１１０Ａが制御ボックス１０３から取り外された場合でも、セキュリティ情報Ｄ１を消去できるようにした点にある。
【００８０】
図１１は消去処理のフローチャートを示す。CHA１１０Ａは、記憶制御装置１００との接続が切れたか否かを監視している（Ｓ５０）。例えば、第三者が不正にCHA１１０Ａを制御ボックス１０３から取り外そうとした場合、そのCHA１１０Ａと記憶制御装置１００との間の接続が切れたことが検出される（S50：YES）。CHA１１０Ａ（MP１１１）は、ポート用メモリ１１７からセキュリティ情報Ｄ１が消去済であるか否かを確認し（Ｓ５１）、セキュリティ情報Ｄ１が消去されていない場合（S51：NO）、それを消去させる（Ｓ５２）。CHA１１０Ａに小型電池やキャパシタ等の非常電源を搭載し、ポート用メモリ１１７からセキュリティ情報Ｄ１を消去するための電力を確保してもよい。
【００８１】
このように構成される本実施例では、正規の交換作業以外によって、CHA１１０Ａが記憶制御装置１００から取り外された場合でも、セキュリティ情報Ｄ１を消去してセキュリティ性を確保することができる。
【００８２】
なお、本発明は、上述した実施の形態に限定されない。当業者であれば、本発明の範囲内で、種々の追加や変更等を行うことができる。例えば、セキュリティ情報の退避先は、共有メモリに限らず、キャッシュメモリを用いてもよい。あるいは、アクセス時間は長くなるが、セキュリティ情報をディスクドライブに退避させる構成でもよい。また、本発明は、iSCSIに限定されるものではなく、例えば、ファイバチャネル、ESCON（登録商標）、FICON（登録商標）、NAS、マルチプロトコル等の他のプロトコルにも適用することができる。
【図面の簡単な説明】
【００８３】
【図１】本発明の実施形態に係る記憶制御装置の外観を示す説明図である。
【図２】記憶制御装置の全体構成を示すブロック図である。
【図３】チャネルアダプタ（CHA）の構造を示すブロック図である。
【図４】ポート用メモリ及び共有メモリの記憶内容を模式的に示す説明図である。
【図５】チャネルアダプタに障害が発生した場合に実行されるセキュリティ情報の退避処理及び消去処理を示すフローチャートである。
【図６】図５中のＳ２７の詳細を示すフローチャートである。
【図７】新たなチャネルアダプタに交換した場合に実行されるセキュリティ情報の復元処理及びホストからのアクセス要求処理を示すフローチャートである。
【図８】トランシーバに障害が生じた場合のセキュリティ情報の流れを示す説明図である。
【図９】ポート用メモリと共有メモリとの間の経路上に障害が生じた場合の説明図である。
【図１０】MPに障害が生じた場合のセキュリティ情報の流れを示す説明図である。
【図１１】第２実施例に係る記憶制御装置により実行されるセキュリティ情報の消去処理を示すフローチャートである。
【符号の説明】
【００８４】
１０…ホスト、２０…管理端末、１００…記憶制御装置、１０１…筐体、１０２…記憶ボックス、１０３…制御ボックス、１０４…電源ボックス、１０５…冷却ファン、１１０，１１０Ａ…チャネルアダプタ（CHA）、１２０…ディスクアダプタ（DKA）、１１１…マイクロプロセッサ（MP）、１１２…データ転送制御部、１１３…通信ポート、１１４…トランシーバ、１１５…セキュリティチップ、１１６…プロトコルチップ、１１７…ポート用メモリ、１３０…キャッシュメモリ、１４０…共有メモリ、１５０…スイッチ制御アダプタ群、１６０…スイッチ制御アダプタ群、１７０…記憶部、１７１…ディスクドライブ、１８０…サービスプロセッサ（SVP）

【特許請求の範囲】
【請求項１】
筐体と、
この筐体に着脱可能に設けられ、ホスト装置と通信を行う上位インターフェース制御部と、
前記筐体に設けられ、記憶デバイスと通信を行う下位インターフェース制御部と、
前記筐体に設けられ、前記上位インターフェース制御部及び前記下位インターフェース制御部にそれぞれ接続された第１メモリ部と、を備えた記憶制御装置であって、
前記上位インターフェース制御部は、
前記ホスト装置に通信ネットワークを介して接続される送受信部と、
前記送受信部を介して、前記ホスト装置との間で暗号化通信を行うための暗号化通信部と、
前記暗号化通信部に接続され、前記暗号化通信に使用される所定の情報を記憶する第２メモリ部と、
前記ホスト装置との通信を制御する制御部と、
を備えており、
前記制御部は、前記上位インターフェース制御部の交換指示を受信した場合に、前記第２メモリ部に記憶されている前記所定の情報を消去させる記憶制御装置。
【請求項２】
前記制御部は、前記上位インターフェース制御部の交換指示を受信した場合に、前記所定の情報を前記第１メモリ部に記憶させてから、前記第２メモリ部に記憶されている前記所定の情報を消去させる請求項１に記載の記憶制御装置。
【請求項３】
前記制御部は、前記筐体に装着された場合に、前記第１メモリ部に記憶された前記所定の情報を読み出して前記第２メモリ部に記憶させる請求項２に記載の記憶制御装置。
【請求項４】
前記制御部は、前記上位インターフェース制御部の交換指示を受信した場合に、
（１）前記第２メモリ部から前記第１メモリ部へのデータ転送が可能か否かを判定し、
（２）前記各メモリ間のデータ転送が可能であると判定した場合は、前記第２メモリ部から前記第１メモリ部に前記所定の情報を転送して記憶させてから、前記第２メモリ部に記憶されている前記所定の情報を消去させ、
（３）前記各メモリ間のデータ転送が不能であると判定した場合は、前記第２メモリ部から前記所定の情報を消去させる請求項１に記載の記憶制御装置。
【請求項５】
前記上位インターフェース制御部は、互いにバックアップ可能な複数の通信構造を備えており、これら各通信構造は、前記送受信部と、前記暗号化通信部と、前記第２メモリ部及び前記制御部をそれぞれ備えており、
前記各通信構造のうちいずれか一方の通信構造において、前記第２メモリ部から前記第１メモリ部へのデータ転送が不能である場合、前記各通信構造のうち他方の通信構造を介して、前記一方の通信構造の前記第２メモリ部に記憶された前記所定の情報を前記第１メモリ部に転送して記憶させる請求項１に記載の記憶制御装置。
【請求項６】
記憶制御装置に着脱可能に設けられ、ホスト装置と通信を行う上位インターフェース制御部であって、
前記ホスト装置に通信ネットワークを介して接続される送受信部と、
前記送受信部を介して、前記ホスト装置との間で暗号化通信を行うための暗号化通信部と、
前記暗号化通信部に接続され、前記暗号化通信に使用される所定の情報を記憶する第２メモリ部と、
前記ホスト装置との通信を制御する制御部と、
を備えており、
前記制御部は、前記上位インターフェース制御部の交換指示を受信した場合に、前記第２メモリ部に記憶されている前記所定の情報を消去させる記憶制御装置の上位インターフェース制御部。
【請求項７】
筐体に着脱可能に設けられ、ホスト装置と暗号化通信を行う上位インターフェース制御部と、
前記筐体に設けられ、記憶デバイスと通信を行う下位インターフェース制御部と、
前記筐体に設けられ、前記上位インターフェース制御部及び前記下位インターフェース制御部にそれぞれ接続された第１メモリ部と、を備えた記憶制御装置の情報保護方法であって、
前記上位インターフェース制御部の交換指示を受信したか否か判定する交換判定ステップと、
前記交換指示を受信した場合は、前記上位インターフェース制御部に保持されている前記暗号化通信に使用される所定の情報を消去させる消去ステップと、
前記所定の情報を消去した場合に、前記上位インターフェース制御部の交換が可能である旨を通知する通知ステップと、
を含む記憶制御装置の情報保護方法。
【請求項８】
（１）前記交換判定ステップと前記消去ステップとの間に、
前記上位インターフェース制御部に保持されている前記所定の情報を前記第１メモリ部に記憶させる退避ステップを設け、
（２）前記通知ステップの後に、
前記上位インターフェース制御部が交換されたか否かを判定する交換終了判定ステップと、
前記上位インターフェース制御部の交換が行われた場合は、前記第１メモリ部に前記所定の情報が記憶されているか否かを判定する退避判定ステップと、
前記第１メモリ部に前記所定の情報が記憶されている場合は、前記第１メモリ部から前記所定の情報を読み出して、前記交換された上位インターフェース制御部に保持させる復元ステップとを、それぞれ設ける請求項７に記載の記憶制御装置の情報保護方法。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８】

【図９】

【図１０】

【図１１】

【公開番号】特開２００７−１８４０１（Ｐ２００７−１８４０１Ａ）
【公開日】平成１９年１月２５日（２００７．１．２５）
【国際特許分類】
【出願番号】特願２００５−２０１０９９（Ｐ２００５−２０１０９９）
【出願日】平成１７年７月１１日（２００５．７．１１）
【出願人】（０００００５１０８）株式会社日立製作所 (27,607)
【Ｆターム（参考）】