JP4028677B2 - Remote copy computer system - Google Patents
Remote copy computer system Download PDFInfo
- Publication number
- JP4028677B2 JP4028677B2 JP2000271865A JP2000271865A JP4028677B2 JP 4028677 B2 JP4028677 B2 JP 4028677B2 JP 2000271865 A JP2000271865 A JP 2000271865A JP 2000271865 A JP2000271865 A JP 2000271865A JP 4028677 B2 JP4028677 B2 JP 4028677B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- disk subsystem
- remote
- encryption key
- subsystem group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、コンピュータシステムのデータを格納する外部記憶装置及びこれらの統合システムに関し、特に、複数の外部記憶装置(サブシステム群)と遠隔地に存在する他の複数の外部記憶装置(サブシステム群)とを相互に接続し、遠隔地に存在する外部記憶装置(サブシステム群)の間でデータを二重化するリモートコピー技術において、データを暗号化して転送する技術に関する。
【0002】
【従来の技術】
地震等の天災の際のデータのバックアップを考慮すれば、ホストコンピュータ(上位装置)とサブシステム等から構成されるセンターにおいて、メインセンターとリモートセンターは数100km程度、分離する必要がある。ここで、サブシステムとは、上位装置に対して情報の授受を行なう制御部と、情報の格納を行なうディスク装置等を内蔵する記憶装置を言う(記憶装置がディスク装置の場合はディスクサブシステムと称する)ものである。このため、メインセンターとリモートセンターにそれぞれ設置されているサブシステムの間で、データを二重化して保有する、いわゆる、リモートコピー機能を採用した外部記憶システムが、既にいくつか実用化されている。
【0003】
リモートコピー機能は、同期形と非同期形の2種類に大別される。同期形とはメインセンター内のホストコンピュータ(上位装置)からメインセンター内のサブシステムに、データの更新(書き込み)指示が有った場合、その指示対象がリモートコピー機能の対象でもあるときは、そのリモートコピー機能の対象であるリモートセンターにおけるサブシステムに対して、指示された更新(書き込み)が終了してから、メインセンターの上位装置に更新処理の完了を報告する処理手順をいう。この場合、メインセンターとリモートセンターとの地理的距離に応じて、この間に介在するデータ伝送線路の能力の影響を受け、時間遅れ(伝送時間等)が発生する。
【0004】
これに対して、非同期形とは、メインセンター内の上位装置からサブシステムにデータの更新(書き込み)指示が有った場合、その指示対象がリモートコピー機能の対象であっても、メインセンター内のサブシステムの更新処理が終わり次第、上位装置に対して更新処理の完了を報告し、リモートセンターのサブシステムにおけるデータの更新(反映)はメインセンターにおける処理とは非同期に実行する処理手順をいう。このためメインセンター内部で必要とされる処理時間でデータ更新が終了するので、リモートセンターへのデータの格納に起因する伝送時間等はかからない。
【0005】
非同期形は、リモートセンターのサブシステムの内容が、メインセンター側のそれに対して、常に一致しているわけではない。このため、メインセンターが災害等により機能を失った場合は、リモートセンター側にデータの反映が完了していないデータが消失することとなる。しかし、メインセンター側のサブシステムのアクセス性能を、リモートコピー機能を実施しない場合と同等レベルとすることが出来る。
【0006】
これらのリモートコピー機能を遠隔地間で高性能かつ廉価に実現するには、非同期形を使用することになる。この場合、メイン側からリモート側へデータを転送(コピー)する伝送路として公衆通信回線を使用することになるため、以下に記述するような、情報の漏洩防止が重要な課題となる。
【0007】
「暗号化したデータ転送について」
公衆通信回線を経由したデータ転送を行なう場合、情報の漏洩防止のため、暗号化したデータ転送が行なわれており、これをリモートコピーに適用することが考えられる。この場合、メインセンターのプライマリディスクサブシステム群とリモートセンターのセカンダリディスクサブシステム群との間で暗号化したデータ転送を行なう事になる。リモートコピーにおいては、長期間にわたってデータ転送を行なう為、高いデータ転送性能と高い暗号強度を両立させなければならない。
【0008】
「通信路における暗号化したデータ転送について」
ネットワーク経由でデ―タを通信する2台以上のコンピュータを備えたデ―タ通信システムにおいて、自己のコンピュータのアプリケーションプログラムが他方のコンピュータのアプリケーションプログラムに対して、データを暗号化して送信する方式がある。この方式の具体的開示は、例えば「暗号化デ―タ通信システム」として、特開平9−139735号公報に詳細になされている。前記「暗号化デ―タ通信システム」においては、2台のコンピュータ上で、それぞれ中継サービスプログラムを動作させておき、この中継サービスでデータを暗号化してネットワーク経由で送受信することにより通信路における暗号化したデータ転送を実現している。
【0009】
【発明が解決しようとする課題】
従来技術(暗号化デ―タ通信システム)により、通信路における暗号化したデータ転送の機能が実現出来る。しかし従来技術では、長期間にわたってデータ転送を行なう場合、同一の暗号鍵を長時間更新することなく用いているので、暗号鍵が悪意に解読されデータが盗まれる虞があった。また、暗号鍵を更新するにしてもオフラインで通知していたので、データ転送性能が悪くなっていた。即ち、従来技術では、高いデータ転送性能と高い暗号強度との両立が考慮されていない。
【0010】
本発明の目的は、リモートコピーにおいて、高いデータ転送性能と高い暗号強度とを両立させるために、転送するデータを暗号化する暗号鍵の更新のタイミングを規定するとともに、更新された暗号鍵と転送されるデータの対応付けを行うリモートコピーのコンピュータシステムを提供することにある。
【0011】
【課題を解決するための手段】
前記課題を解決するために、本発明は主として次のような構成を採用する。
【0012】
上位装置と接続されてデータの授受を行なう制御手段、前記データの格納を行なう記憶手段、を有するプライマリディスクサブシステム群からなるメインセンターを備え、
前記プライマリディスクサブシステム群と離隔した場所に配置されて前記プライマリディスクサブシステム群から転送される暗号化されたデータを受け取る制御手段、前記転送されたデータの格納を行なう記憶手段、を有するセカンダリディスクサブシステム群からなるリモートセンターを備え、
前記プライマリディスクサブシステム群は、データの書込処理の実行中に暗号化したデータ転送の暗号鍵を更新するタイミングであるか否かを判断し、更新タイミングであれば、前記暗号鍵を更新するとともに前記更新した暗号鍵に順序番号を付加して前記セカンダリサブシステム群に転送し、順序番号の付加された転送データと対応付けするリモートコピーのコンピュータシステム。
【0013】
前記リモートコピーのコンピュータシステムにおいて、前記プライマリディスクサブシステム群から前記セカンダリディスクサブシステム群に暗号化して転送されたデータを、復号することなく前記リモートセンターの記憶手段に保存し、災害回復のタイミングで復号するリモートコピーのコンピュータシステム。
【0014】
前記リモートコピーのコンピュータシステムにおいて、前記プライマリディスクサブシステム群から前記セカンダリディスクサブシステム群にデータを暗号化して転送する際に、前記暗号鍵を前記リモートセンターとは別地に配置された他のリモートセンターにリモートコピーして保存し、災害回復のタイミングで前記他のリモートセンターに保存された暗号鍵を使用してデータ復号するリモートコピーのコンピュータシステム。また、前記リモートコピーのコンピュータシステムにおいて、前記プライマリディスクサブシステム群から前記セカンダリディスクサブシステム群に暗号化して転送されたデータを復号する際に、前記データに関するレコードの特定部分を捜索した場合にのみ復号するリモートコピーの暗号化システム。
【0015】
【発明の実施の形態】
本発明の実施形態に係るリモートコピーのコンピュータシステムについて図面を用いて以下説明する。図1は本発明の実施形態に係るリモートコピーのコンピュータシステムの全体構成を示す図であり、図3は本実施形態に関するメインセンターのプライマリディスクサブシステムの具体的構成を示す図である。
【0016】
図1に、コンピュータシステムを装備した複数のデータセンターにおいて、任意の2つのセンター間で情報(データ)の二重化を行なうため、本発明の一実施形態を適用したときの構成例を示す。
【0017】
メインセンター9側の一台又は複数台のディスクサブシステム3(3−1、3−2、…、3−n)と、リモートセンター10側の一台又は複数台のディスクサブシステム7(7−1、7−2、…、7−n)は、上位装置(ホストコンピュータ)1、8を介さずに接続され、両センター間でデータの二重化を行なうリモートコピーシステムを実現している。上位装置を介さないディスクサブシステムの接続としては、例えば、SAN(Storage Area Network)が挙げられる。図3にメインセンター9のディスクサブシステム3の構成例を示す。
【0018】
図1のメインセンター9において、データ処理を行なう中央処理装置(CPU)を持つ上位装置1は、伝送経路であるインタフェースケーブル2を介して、プライマリディスクサブシステム3−1、3−2、………3−nに接続されている。
【0019】
プライマリディスクサブシステム3−1、3−2、………3−nは、図3に示すように、上位装置1からのデータ(情報を含む)授受を行なうインタフェース制御部21と、上位装置1から参照又は更新されるデータ及びリモートコピーが一次停止中の更新データの格納位置に関する情報を格納するデータバッファ22と、このデータを記録する記録媒体としての磁気ディスクドライブ23と、これらのデータのやり取りを制御するマイクロプロセッサ24と、これらの各要素を制御するディスクアレイサブシステム制御部25と、を備える。なお、インタフェース制御部21はリモートセンター10との間でデータ授受を行うインタフェースでもある。
【0020】
また、プライマリディスクサブシステム3−1は、上述した構成要素群に加えて、リモートコピーをどのような設定にて行なうかをユーザが設定するコンソール26と、コンソール26により設定された制御情報により現在のリモートコピー状況を表わす制御ビットを格納するリモートコピー制御情報格納部27と、を備える。
【0021】
メインセンター9のプライマリディスクサブシステム3−1は、インタフェースケーブル4−1を介してリモートセンター10のセカンダリディスクサブシステム7−1と接続される。同様に、プライマリディスクサブシステム3−2は、インタフェースケーブル4−2を介して、セカンダリディスクサブシステム7−2と接続され、プライマリディスクサブシステム3−nは、インタフェースケーブル4−nを介して、リモートセンタのセカンダリディスクサブシステム7−nと接続される構成をとる。
【0022】
なお、インタフェースケーブル4−1、4−2、………4−nは、回線接続装置等を利用して一般の公衆通信回線と接続することも可能である。本構成例ではこの点も含めてインタフェースケーブル4−1〜4−nとして記述する。
【0023】
また、ディスクサブシステム3が複数台有る場合には、ディスクサブシステム3−1は、メインセンター9内でリモートコピー対象のデータが格納されるディスクサブシステム3−1以外のディスクサブシステム3−2、………3−nとインタフェースケーブル5を介して接続されている。この様に、メインセンター9側ではリモートコピー対象のデータが格納されるディスクサブシステム3−1について、プライマリディスクサブシステム群3全体がインタフェースケーブル5で接続される構成をとる。
【0024】
プライマリディスクサブシステム群3は、上位装置1がプライマリディスクサブシステム群3にデータの書込要求を発行すると、これに同期して当該データを自己のサブシステム内のデータバッファ22に書き込み、更に自己のサブシステム内のデータバッファ22にデータが書き込まれたこととは非同期に、遠隔地に存在するセカンダリディスクサブシステム群7に対して、データの書込指示を行なうディスクサブシステム群である。自己のサブシステム内のデータバッファ22に書き込まれた当該データは、同期或いは非同期にて磁気ディスクドライブ23に記録される。
【0025】
遠隔地に非同期形でデータを書込むリモートコピーの方法として、メインセンター9のプライマリディスクサブシステム群3は、自己のサブシステム内のボリュームが更新された順番に従い、自サブシステムが接続されているリモートセンター10のセカンダリディスクサブシステム群7に更新データを転送して、リモートセンター10のセカンダリディスクサブシステム群7は受取った順番に従い、更新データを自己のサブシステム内のボリュームに反映するモードと、メインセンター9側が自己のサブシステム内のボリュームが更新された順番によらずにプライマリディスクサブシステム群3で最適にスケジューリングされた契機で転送対象のデータを纏めて転送して、リモートセンター10のセカンダリディスクサブシステム群7は受取った順番に関係なく更新データを更新された順番で自己のサブシステム内のボリュームに反映するモードと、を保有する。
【0026】
セカンダリディスクサブシステム群7は、インタフェースケーブル4により接続されたプライマリディスクサブシステム群3からインタフェース制御部21経由で受取ったデータを自サブシステム内のデータバッファ22に格納する。
【0027】
つまり、上位装置1から一台または複数台のディスクサブシステム3−1、3−2、………3−nに対しデータの書き込み指示があった場合には、リモートセンター10内の一台または複数台のディスクサブシステム7−1、7−2、………7−nにも同じデータが格納されるシステム構成を示している。図1の矢印は、上位装置1から書き込み指示のあったデータの流れを示している。
【0028】
なお、プライマリディスクサブシステム群3は、リモートコピーにおける暗号化の状態を表わす制御ビットをリモートコピー制御情報格納部27内に持っており、予めシステム運用者により設定された契機もしくは不定期間隔の契機もしくは任意の時点でのシステム運用者による指示に基づき、この制御ビットの情報を変更することによってリモートコピーを一時停止状態にすることができる。なお、本発明の一実施形態では、この一時停止状態に、更新した暗号鍵をプライマリ側からセカンダリ側へ通知することになる(詳細は後述)。リモートコピーが一時停止のときは、プライマリディスクサブシステム群3はセカンダリディスクサブシステム群7への更新データの書き込み指示の発行は行なわずに保留する。
【0029】
ここで、プライマリディスクサブシステム3−1のリモートコピー制御情報格納部には、前記セカンダリディスクサブシステム群にデータをリモートコピーする際に暗号化してデータ転送するか否かを規定した制御情報を格納しても良い。前記制御情報が暗号化してデータ転送すると規定している場合にデータの暗号化を行なってデータ転送すると共に、一方、前記セカンダリディスクサブシステム群では、前記プライマリディスクサブシステム群の前記制御情報を確認し、前記制御情報が暗号化してデータ転送するとなっている場合に転送されたデータに対して暗号化に適応した処理を行なうことで(例えば、暗号鍵を用いて転送データを復号するように対処すること)、メインセンターからリモートセンターへコピーされたデータの整合性を取ることができる。
【0030】
本発明では、このようにリモートコピーを一時停止させ、この間に更新した暗号鍵をリモートセンターへ通知することによりメインセンター9側のデータとリモートセンター10側のデータとで使用される暗号鍵の整合性を取ることが出来るので、上位装置の介在無しでリモートコピーの暗号鍵の更新を実現することが出来る。このためメインフレームだけでなくオープン系のシステムであっても、同様の機能を実現することが出来る。
【0031】
また、プライマリディスクサブシステム群3は、予めシステム運用者により設定された契機もしくは不定期間隔の契機もしくは任意の時点でのシステム運用者による指示に基づき、上記一時停止状態を解除することが出来る。
【0032】
一時停止状態が解除されると、プライマリディスクサブシステム群3は、上位装置1からプライマリディスクサブシステム群3へデータの書込要求が発行された場合は、これに同期して当該データを自己のサブシステム内のデータバッファ22に書き込み、更に、自己のサブシステム内のデータバッファ22にデータが書き込まれたこととは非同期に、遠隔地に存在するセカンダリディスクサブシステム群7に対してデータの書込指示を行なう。そして、実際にリモートセンターへデータを転送する際に更新した暗号鍵を用いる。
【0033】
このような構成とする事により、メインセンター9内のリモートコピー対象のプライマリディスクサブシステム群3のボリュームと、リモートセンター10内のセカンダリディスクサブシステム群7のボリュームとにおいて、同一のタイミングで暗号鍵の更新が出来る。さらに、プライマリディスクサブシステム群3においてリモートコピーが一時停止状態となっている間は、プライマリディスクサブシステム群3が一時停止状態となった時点のメインセンタ9のプライマリディスクサブシステム群3のデータの状態と、リモートセンター10のセカンダリディスクサブシステム群7でのデータの状態とが一致している。即ち当該時点で2センター間で一貫性が保証されたデータの状態が保証・維持される。
【0034】
なお、リモートコピーの一時停止や一時停止の解除は、リモートコピーのボリュームペア単位に設定出来る。複数のボリュームペアを一つのボリュームグループに設定して、ボリュームグループ単位に状態を変化させることも可能である。そして、一時停止や一時停止解除を何れかのサブシステム3,7や上位装置1,8のコンソール、或いはこれらのシステムを管理する際に使用するモニターに表示することによって、ユーザはリモートコピーが現在行なわれているか否か、またどのような単位でリモートコピーが行われているかを認識する事が出来る。
【0035】
このリモートコピーの一時停止及び一時停止解除の間隔はユーザの任意に設定する事が可能である。ここではリモートコピーの転送データの傍受による暗号解読の危険性の高まりに要する時間を周期として、メインセンター9からリモートセンター10へのリモートコピーを行い、ここで一時停止して、更新された暗号鍵を送信して、その後に一時停止を解除して、再びリモートコピーを行なうというサイクルを挙げておく。勿論、この例に囚われずに一時停止及び一時停止解除の間隔を設定しても良い。
【0036】
上位装置8は、リモートセンター10においてセカンダリディスクサブシステム群7とインタフェースケーブル6によって接続され、セカンダリディスクサブシステム群7に対して、参照及び更新を行なう中央処理装置である。上位装置8は、メインセンター9の上位装置1が災害や故障等により本来の機能を果たせなくなった場合に、上位装置1の代替となって処理を行なうことが出来る。このほか、セカンダリディスクサブシステム群7に格納されているデータを使用して、メインセンター9の上位装置1とは異なる処理を、上位装置1とは別個独立に実行することが出来るものである。
【0037】
但し、上位装置8がセカンダリディスクサブシステム群7に対して処理を行なわない場合や上位装置1の代替機能を備えない場合には、上位装置8は不要である。逆に、上位装置8を備え、ディスクサブシステム7−1を他のディスクサブシステム7−2〜7−nとインタフェースケーブル11で接続し、メインセンター9のプライマリディスクサブシステム群3と同様の構成とすることで図1のメインセンター9をリモートセンターとして、リモートセンター10をメインセンターとして機能させることも可能である。
【0038】
本発明の実施形態として、データの二重化方法と運用を図2を用いて説明する。
【0039】
二重化の対象となるデータが格納されたファイルやボリューム、ディスクサブシステム3は、事前に運用者が二重化つまりリモートコピーの必要に応じて選択する。そして、対象ファイルや対象ボリューム及びディスクサブシステム3と、選択したデータの複製を格納するファイルやボリューム及びディスクサブシステム7との関係や、二重化する際に更新順序の整合性を常時保持する必要が有るか否かを、予め運用者が上位装置1或いはコンソール26等からプライマリディスクサブシステム3−1内のリモートコピー制御情報格納部27に対し設定しておく。
【0040】
また、プライマリディスクサブシステム3−1については、リモートコピーを一時停止させる契機並びに一時停止を解除する契機を設定する。契機の設定は、上位装置1から指示できるため、運用の自動化を支援する上位装置1のプログラムにより上位装置1からの指示契機を予めスケジューリングしておくことが可能である。
【0041】
上記の選択、設定に際し、専用のコンソール26を接続又は装備できるディスクサブシステム3の場合には、上位装置1を利用せず、そのコンソール26を通じて設定できる。本例では、上位装置1を利用せず、プライマリディスクサブシステム群3内部で保有する時間値を利用して、予め運用者がプライマリディスクサブシステム3−1において、不定期間隔でリモートコピーの一時停止、並びに一時停止の解除が実施されるように設定しておく。
【0042】
図2のフローは専用のコンソールから選択・設定を行なう場合を示している。リモートコピーのパスやボリュームペアの初期設定、即ちどのディスクサブシステムにリモートコピー要求を出すかの設定は、ユーザが予め上位装置1に対して設定しておく(ステップ1:図ではS1の様に示す。以下同じ)。また、リモートコピーの一時停止や一時停止解除の初期設定は、リモートコピー対象のボリュームペア単位に設定する(ステップ2)。通常は、リモートコピー対象のボリュームペアすべてを一つのボリュームグループとして定義し、ボリュームグループ内のボリュームはすべて同一のステータスとなるように設定する。
【0043】
本例では、ディスクサブシステム3のボリューム全てをリモートコピー対象とする。従って、以下では、リモートコピーの状態を、ボリュームペアやボリュームグループ単位ではなく、ディスクサブシステム単位として記述する。
【0044】
リモートコピー対象のファイルやボリュームの設定方法としては、ボリュームやディスクサブシステムを意味する具体的なアドレスを指定する方法や、ディスクサブシステム内の制御プログラムによって、アドレスの任意の範囲から選択する方法を取ることもできる。初期設定として、パスやボリュームペアの設定、並びに一時停止契機や一時停止解除契機の設定を行なう例を示してある。
【0045】
上位装置1から、プライマリディスクサブシステム3−1、3−2、………、3−nに対し、ライトコマンドが発行されると(ステップ3)、プライマリディスクサブシステム3−1、3−2、………、3−nはライトコマンドに基づき自己のディスクサブシステム内のデータバッファ22へのデータ格納処理を実行する(ステップ4)。ここで、ライトコマンドとは、データを書込むための指示と書込みデータそのものとを転送するコマンドである。
【0046】
ライトコマンドを受領した際、プライマリディスクサブシステム3−1、3−2、………、3−nは、プライマリディスクサブシステム群3のリモートコピー制御情報格納部27に格納されているリモートコピー状態を表す制御ビットを取得・参照することにより、プライマリディスクサブシステム群3がリモートコピー一時停止状態にあるか否かを確認する(ステップ5)。プライマリディスクサブシステム3−1、3−2、………3−nはプライマリディスクサブシステム群3がリモートコピー一時停止状態にある場合、データバッファ22へのデータ書き込みが終了すれば上位装置1に対しライトコマンドに対する処理の完了を報告する(ステップ6)。この後、ライトコマンドをセカンダリディスクサブシステム7−1、7−2、………7−nに対し発行し、ライトコマンドに対する処理を完了させる。
【0047】
なお、メインセンタにおいて以前に更新が行なわれたデータについて、リモートセンタに未転送のデータの格納位置情報を保持している場合は、当該位置の全てのデータもリモートセンタのセカンダリディスクサブシステム7−1、7−2、………7−nへの転送対象と判断し、当該データを書込む為のライトコマンドをセカンダリディスクサブシステム7−1、7−2、………7−nに対し発行し、ライトコマンドに対する処理を完了させる。この際、現在、設定されている暗号鍵を用いて、データを暗号化して、プライマリディスクサブシステムからセカンダリサブシステムへ転送する。即ち、当該書込みコマンドによるデータ及び未転送の全ての更新データ(書込みデータ)は、現在の暗号鍵により暗号化され、リモートセンターへ全て転送される(ステップ7)。その後、データ転送は一時停止状態になる。
【0048】
次に、メインセンタ内の暗号鍵(暗号鍵はこれを用いてデータを暗号化/復号化するためのもの)を更新する(ステップ8)。この後、更新された暗号鍵をセカンダリディスクサブシステム7−1、7−2、………7−nに転送する(ステップ9)。暗号鍵を転送後、プライマリディスクサブシステム3−1、3−2、………3−nはプライマリディスクサブシステム群3のリモートコピー(データ転送)一時停止状態を解除する(ステップ10)。従って、リモートコピー一時停止状態後は、更新された新しい暗号鍵が使用される。つまり、リモートへ転送されるデータは新しい暗号鍵(更新された暗号鍵)で暗号化され、この暗号化されたデータがリモートへ転送される。
【0049】
なお、ステップ8及びステップ9においては、プライマリディスクサブシステム群3からセカンダリディスクサブシステム群7に一般的に転送しているデータと同様のデータ長/データパターンを持ったデータを作成し、その一部として更新した暗号鍵を埋込み、暗号鍵をリモートへ転送しても良い。こうすることによって、暗号鍵を転送する特別なパケットを使用する必要が無くなり、且つ、外部からは、一般データと思えるため、リモートコピーの一時停止のタイミングを外部から隠蔽することが可能となり、結果として暗号化議を送る際の安全性が高くなる。ここで暗号鍵を埋め込むべきデータは一般に転送しているデータに似せることが重要であり、必ずしも完全に一致させる必要はない。
【0050】
一方、ステップ5でプライマリディスクサブシステム群3がリモートコピー一時停止状態にない場合は、プライマリディスクサブシステム3−1、3−2、………、3−nは、データバッファ22へのデータ書き込みが終了すれば上位装置1に対しライトコマンドに対する処理の完了を報告し(ステップ11)、自己のサブシステムの処理能力に基づいて決定された契機で、ライトコマンドをセカンダリディスクサブシステム7−1、7−2、………7−nに対し発行する。この時メインセンタにおいて更新(書込み)が行なわれたデータについて、リモートセンタにライトコマンドが直ちに発行されない場合があるが、これはリモートセンタへ未転送のデータの格納位置情報として自サブシステム内に保持しておく。また、メインセンタにおいて以前に更新が行なわれたデータについて、リモートセンタに未転送のデータの格納位置情報を保持している場合は、当該位置のデータもリモートセンタのセカンダリディスクサブシステム7−1、7−2、………7−nへの転送対象と判断し、当該データを書込む為のライトコマンドを発行する。この際、現在用いている暗号鍵を用いて暗号化してセカンダリへ転送する(ステップ12)。当該データの格納位置情報は、ライトコマンドに対するリモートへの転送処理が完了した後に、これを消去する。
【0051】
即ち、プライマリディスクサブシステム群3がリモートコピー一時停止状態にあれば、メインセンタ9のプライマリディスクサブシステム群3は、暗号鍵を更新すると共に更新された暗号鍵をリモートセンタ10のセカンダリディスクサブシステム群7に転送する。また、プライマリディスクサブシステム群3がリモートコピー一時停止状態になければ、メインセンタ9のプライマリディスクサブシステム群3は上位装置1からライトコマンドが発行される事に起因し現在の暗号鍵を用いてリモートコピーが実施される。
【0052】
セカンダリディスクサブシステム7−1、7−2、………7−nは、プライマリディスクサブシステム3−1、3−2、………3−nから発行されたライトコマンドを受領していることを確認すると、ライトコマンドに対する処理、即ち、自己のサブシステム内のデータバッファ22へのデータ格納処理を行なう(ステップ13)。
【0053】
セカンダリディスクサブシステム7−1、7−2、………、7−nは、ライトコマンドに対する処理、即ち、自己のサブシステム内のデータバッファ22へのデータ格納処理が完了すると、プライマリディスクサブシステム3−1、3−2、………3−nに対し、ライトコマンドに対する処理完了報告を行なう(ステップ14)。
【0054】
本発明により、上位装置1から書込まれたデータは、プライマリディスクサブシステム3−1、3−2、………、3−nに格納されるだけでなく、セカンダリディスクサブシステム7−1、7−2、7−nにも複写され格納される。また、プライマリディスクサブシステム群3がリモートコピー一時停止状態となった時点のプライマリディスクサブシステム3−1、3−2、………3−nのデータの状態が、リモートセンタ10側のセカンダリディスクサブシステム7−1、7−2、………7−nで生成される。この時、プライマリディスクサブシステム群3が更新された暗号鍵をセカンダリディスクサブシステム群7に転送する。
【0055】
セカンダリディスクサブシステム群7は、プライマリディスクサブシステム群3によって更新された暗号鍵を受取った時点から、当該更新された暗号鍵を使用してデータを復号することが出来る。メインセンター9が被災した場合は、セカンダリディスクサブシステム7−1、7−2、………7−nのデータを利用して、ジョブを再実行する等の回復作業を行ない、業務を再開する。これらはすべてディスクサブシステムの機能のみで実現され、上位装置の処理能力に対し負担とならない。
【0056】
以上説明したように、本発明の第1の実施形態は、適宜の時間間隔毎に設定されたリモートコピーの一次停止(リモートコピーを一時停止する意味はこの一時停止を境に暗号鍵を変更することである)と一時停止解除との間で暗号鍵を更新し、更新後の暗号鍵をリモートセンターにも通知するシステムであるので、一時停止解除に再開されたリモートコピーのデータは更新後の暗号鍵を用いてデータ復号されることとなり、リモートセンターへ転送されるデータと暗号鍵との対応付けが明確となっているのである。
【0057】
結局のところ、本発明の第1の実施形態は、次のような構成、機能乃至作用を奏するものである。相互に遠隔地に存在するメインセンターのプライマリディスクサブシステム群とリモートセンターのセカンダリディスクサブシステム群とを接続する。メインセンターのプライマリディスクサブシステム群は上位装置より更新データを受け取ると、自サブシステムへのデータの格納を開始する。
【0058】
そして、プライマリディスクサブシステム群は自サブシステムが暗号鍵を変更するタイミングの状態になっているか否かを確認する。暗号鍵を変更するタイミングの状態になっていない場合は、プライマリディスクサブシステム群は当該データを現在の暗号鍵を用いたリモートセンターへの転送対象とする。暗号鍵を変更するタイミングの状態になっている場合は、今回受けたデータと、今まで受けたデータで未転送分をリモートセンターへ送った後、プライマリディスクサブシステム群はリモートセンターへのデータ転送を一時停止し、暗号鍵を更新し、且つ更新された暗号鍵をリモートセンターへ転送して、一時停止されたリモートセンターへのデータ転送を再開する。
【0059】
前記一時停止の期間はリモートセンターへのデータ転送は行なわない。プライマリディスクサブシステム群においてリモートセンターへのデータ転送の一時停止状態が解除された後は、メインセンターのプライマリディスクサブシステム群はリモートセンターのセカンダリディスクサブシステム群へ更新された暗号鍵を用いてデータ転送を再開する。
【0060】
このようにして、メインセンターとリモートセンターの間で、暗号鍵を更新しながら、リモートコピーによりデータの二重化を行なう。
【0061】
次に、本発明の第2の実施形態として、データの二重化方法と運用の概略を図4を用いて説明する。
【0062】
図4のフローにおいてステップ21〜24は、図2のフローのステップ1〜4と共通である。ここではステップ25から説明する。
【0063】
上位装置1からライトコマンドを受領した際、プライマリディスクサブシステム3−1、3−2、………3−nは、プライマリディスクサブシステム群3のリモートコピー制御情報格納部27に格納されているリモートコピー状態を表す制御ビットを取得・参照することにより、プライマリディスクサブシステム群3が暗号鍵を更新するタイミングにあるか否かを確認する(ステップ25)。プライマリディスクサブシステム3−1、3−2、………3−nはプライマリディスクサブシステム群3が暗号鍵を更新するタイミングにある場合、暗号鍵を更新する(ステップ26)。
【0064】
この後、プライマリディスクサブシステム群3からセカンダリディスクサブシステム群7に一般的に転送しているデータと同様に、更新された暗号鍵に順序番号(データ順序番号に対応)を付与し(ステップ27)、この暗号鍵をセカンダリディスクサブシステム7−1、7−2、………7−nに転送して(ステップ28)、データの更新位置を示す情報(例えば、データバッファのアドレス)をサブシステム内に保存して(ステップ29)、書き込みが終了すると上位装置1に対しライトコマンドに対する処理の完了を報告する(ステップ30)。更に、プライマリディスクサブシステム3−1、3−2、………3−nはプライマリディスクサブシステム群3の暗号鍵を更新するタイミングを解除する(ステップ31)。
【0065】
以上のことがらを具体的に説明する。ホストから書込み要求(書込みデータ)が送られてくると、プライマリディスクサブシステムは、データが送られてきた順序で、データに順序番号を付与しつつバッファに格納する。これらのデータは適当な契機によって、現在の暗号鍵(旧暗号鍵)を用いて暗号化され、セカンダリディスクサブシステムへ順序番号と共に転送される。この際、セカンダリディスクサブシステムへ転送されるデータの順序は必ずしもホストから送られてきた順序で無くても良い。理由は、セカンダリディスクサブシステムでデータに付与された順序番号に基づいてデータを順番に並び替えることができるからである。
【0066】
そのうち、暗号鍵の更新タイミングになると、プライマリディスクサブシステムは、自システムの暗号鍵を更新し(新暗号鍵)、且つ、ホストからの書込みデータに付与していた順序番号を採番して、この順序番号を共に更新した暗号鍵をセカンダリディスクサブシステムへ送信する。具体的には、今までデータに順序番号▲1▼、▲2▼、▲3▼が付与されていたとすると、暗号鍵の更新のタイミングで順序番号▲4▼を、更新した暗号鍵に与える。
【0067】
そして、更新した暗号鍵(新暗号鍵)と順序番号▲4▼をペアにしてセカンダリディスクサブシステムへ転送する。これを受けたセカンダリディスクサブシステムは、その後、順序番号▲4▼を境に更新された暗号鍵を受信データに対して使用する。見方を変えれば、セカンダリディスクサブシステムは、▲3▼以下の順序番号を有するデータに対しては更新前の暗号鍵を用いてデータを復号し、▲5▼以上の順序番号に対しては更新後の暗号鍵を用いてデータを復号する。
【0068】
その後、プライマリディスクサブシステムは、新たな書込み要求を受けると、順序番号▲4▼は既に暗号鍵を送るのに用いているので、この書込み要求のデータに対しては順序番号▲5▼を与え、バッファに格納する。その後、適当な契機で更新した暗号鍵によってデータを暗号化し、順序番号▲5▼とともにセカンダリディスクサブシステムへ転送する。
【0069】
セカンダリディスクサブシステムは、実際のデータを受信すると、受信データを順序番号に従って整列する。そして、順序番号▲4▼のところで暗号鍵が更新されていることを知っているセカンダリディスクサブシステムは、順序番号▲1▼▲2▼▲3▼を有するデータに関しては旧暗号鍵を対応させ、順序番号▲5▼を有するデータに関しては新暗号鍵を対応させ、必要に応じて復号を行う。
【0070】
また、プライマリディスクサブシステム群3が暗号鍵を更新するタイミングにない場合は、プライマリディスクサブシステム3−1、3−2、………、3−nは、書き込みが終了すると上位装置1に対しライトコマンドに対する処理の完了を報告し(ステップ32)、自己のサブシステムの処理能力に基づいて決定された契機で、ライトコマンドをセカンダリディスクサブシステム7−1、7−2、………7−nに対し発行する。そして、現在の暗号鍵でデータは暗号化され、リモートセンターへ転送される。
【0071】
この時メインセンタにおいて更新が行なわれたデータについて、リモートセンタへライトコマンドを直ちに発行しない場合があるが、これはリモートセンタへ未転送のデータの格納位置情報と共に自サブシステム内に保持される。また、メインセンタにおいて以前に更新が行なわれたデータについて、リモートセンタに未転送のデータの格納位置情報を保持している場合は、当該位置のデータもリモートセンタのセカンダリディスクサブシステム7−1、7−2、………7−nへの転送対象と判断し、当該データを書込む為のライトコマンドを発行する(ステップ33)。そして、現在の暗号鍵で当該データは暗号化され、リモートセンターへ転送される。当該データの格納位置情報は、ライトコマンドに対する処理が完了した後に、これを消去する。
【0072】
即ち、プライマリディスクサブシステム群3が暗号鍵を更新するタイミングにあれば、メインセンタ9のプライマリディスクサブシステム群3は更新された暗号鍵をリモートセンタ10のセカンダリディスクサブシステム群7に転送する。また、プライマリディスクサブシステム群3が暗号鍵を更新するタイミングになければ、メインセンタ9のプライマリディスクサブシステム群3は上位装置1からライトコマンドが発行される事に起因しリモートコピーが実施される。
【0073】
セカンダリディスクサブシステム7−1、7−2、………7−nは、プライマリディスクサブシステム3−1、3−2、………3−nから発行されたライトコマンドを受領していることを確認すると、ライトコマンドに対する処理、即ち、自己のサブシステム内のデータバッファ22へのデータ格納処理を行なう(ステップ34)。
【0074】
セカンダリディスクサブシステム7−1、7−2、………、7−nは、ライトコマンドに対する処理、即ち、自己のサブシステム内のデータバッファ22へのデータ格納処理が完了すると、プライマリディスクサブシステム3−1、3−2、………3−nに対し、ライトコマンドに対する処理完了報告を行なう(ステップ35)。
【0075】
本発明により、上位装置1から書込まれたデータは、プライマリディスクサブシステム3−1、3−2、………、3−nに格納されるだけでなく、セカンダリディスクサブシステム7−1、7−2、7−nにも複写され格納される。また、プライマリディスクサブシステム群3が暗号鍵を更新するタイミングとなった時点で、プライマリディスクサブシステム群3が更新された暗号鍵に順序番号を付与して、セカンダリディスクサブシステム群7に転送する。
【0076】
セカンダリディスクサブシステム群7は、プライマリディスクサブシステム群3が一般的に転送しているデータ及び更新された暗号鍵に付与した順序番号を使用して、当該更新された暗号鍵を適用すべきデータを特定して復号することが出来る。メインセンター9が被災した場合は、セカンダリディスクサブシステム7−1、7−2、………7−nのデータを利用して、ジョブを再実行する等の回復作業を行い、業務を再開する。これらはすべてディスクサブシステムの機能のみで実現され、上位装置の処理能力に対し負担とならない。
【0077】
次に、本発明の第3の実施形態として、データの二重化方法と運用の概略を図5を用いて説明する。ここでは、セカンダリディスクサブシステムは、プライマリディスクサブシステムから受けた暗号化されたデータを、そのまま記憶しているものとする。
【0078】
リモートコピー実行中にメインセンター9に災害が発生した(ステップ41)場合の動作である。メインセンター9は災害が発生したことをリモートセンター10に通知する(ステップ42)。これに対して、リモートセンター10は、システム立上げ等の災害回復を開始する(ステップ43)。復号することなくリモートセンター10のセカンダリディスクサブシステム群7に記憶されていたデータを利用に供するために、暗号の復号を開始する(ステップ44)。この時、暗号鍵をセカンダリディスクサブシステム群7に記憶している場合は、その暗号鍵を使用して復号する。暗号鍵はリモートセンター10以外の別の場所にある記憶装置に記憶することも出来る。この場合は、その暗号鍵をリモートセンター10のセカンダリディスクサブシステム群7に転送して、これを使用して復号する。
【0079】
リモートセンター10の上位装置8からセカンダリディスクサブシステム群7のデータに対してアクセスがある(ステップ45)と、セカンダリディスクサブシステム群7はアクセスされたデータが復号済か否かを調べる(ステップ46)。アクセスされたデータが復号済でない場合、セカンダリディスクサブシステム群7はそのデータに関して暗号の復号を実行し(ステップ47)、復号されたデータを使用してアクセスに応答する(ステップ48)。アクセスされたデータが復号済である場合、セカンダリディスクサブシステム群7はそのデータを使用してアクセスに応答する(ステップ48)。これらはすべてディスクサブシステムの機能のみで実現され、上位装置の処理能力に対し負担とならない。
【0080】
このように、メインセンターに災害が発生した場合には、リモートセンターにおけるコピーデータは、メインセンターに依拠せずに、リモートセンターのディスクサブシステムによって、メインセンターに代わって、利用に供されるようにコピーデータの全て又は適宜にアクセスされたコピーデータについてデータ復号されるのである。
【0081】
次に、本発明の第4の実施形態として、データの二重化方法と運用の概略を図6を用いて説明する。
【0082】
リモートコピーされて復号することなくリモートセンター10のセカンダリディスクサブシステム群7に記憶されていたデータを利用に供するために、リモートセンター10からセカンダリディスクサブシステム群7にアクセスする(ステップ51)場合の動作である。一般にデータに対するアクセスはそのデータに関連するIDフィールドあるいはキーフィールドを捜索して捜索条件が成立した場合に以降のデータが読出し/書込みされる。
【0083】
この時、特定のフィールド、例えばキーフィールドに対する捜索条件が成立するか否かを調べる(ステップ52)。この条件が成立した場合は、以降のデータが復号されて(ステップ53)、読出し/書込みされる(ステップ54)。この条件が成立しない場合は、以降のデータが復号されることなく、エラー報告される(ステップ55)。これらはすべてディスクサブシステムの機能のみで実現され、上位装置の処理能力に対し負担とならない。
【0084】
【発明の効果】
上位装置への新規ソフトウェアの導入を必要とせずサブシステム側の機能変更のみで、ユーザが期待する範囲での更新データの一貫性を保証出来、かつ暗号鍵の更新により情報漏洩の危険性を低減出来る、リモートコピーの暗号化システムを実現出来る。
【図面の簡単な説明】
【図1】本発明の一実施形態に係るリモートコピーのコンピュータシステムの全体構成を示す図である。
【図2】リモートコピーシステムの処理を示すフローチャートである。
【図3】本実施形態に関するメインセンターのプライマリディスクサブシステムの構成を示す図である。
【図4】リモートコピーシステムの処理を示すフローチャートである。
【図5】リモートコピーシステムの処理を示すフローチャートである。
【図6】リモートコピーシステムの処理を示すフローチャートである。
【符号の説明】
1 上位装置
2 インタフェースケーブル
3 プライマリディスクサブシステム
4 インタフェースケーブル
5 インタフェースケーブル
6 インタフェースケーブル
7 セカンダリディスクサブシステム
8 上位装置
9 メインセンター
10 リモートセンター
11 インタフェースケーブル
21 インタフェース制御部
22 データバッファ
23 磁気ディスクドライブ
24 マイクロプロセッサ
25 ディスクアレイサブシステム制御部
26 コンソール
27 リモートコピー制御情報格納部[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an external storage device for storing data of a computer system and an integrated system thereof, and in particular, a plurality of external storage devices (subsystem groups) and a plurality of other external storage devices (subsystem groups) existing in a remote place. In a remote copy technology in which data is duplicated between external storage devices (subsystem groups) existing at remote locations.
[0002]
[Prior art]
In consideration of data backup in the event of a natural disaster such as an earthquake, in a center composed of a host computer (host device) and subsystems, the main center and the remote center need to be separated by about several hundred km. Here, the subsystem refers to a control unit that transmits / receives information to / from a host device, and a storage device that includes a disk device that stores information (in the case where the storage device is a disk device, a disk subsystem). Called). For this reason, several external storage systems that employ a so-called remote copy function, in which data is duplicated and held between subsystems installed in the main center and the remote center, have already been put into practical use.
[0003]
The remote copy function is roughly divided into two types, a synchronous type and an asynchronous type. What is synchronous? If there is a data update (write) instruction from the host computer (higher-level device) in the main center to the subsystem in the main center, and if the instruction target is also the target of the remote copy function, This is a processing procedure for reporting the completion of the update process to the host device of the main center after the instructed update (write) is completed for the subsystem in the remote center that is the target of the remote copy function. In this case, depending on the geographical distance between the main center and the remote center, a time delay (transmission time or the like) occurs due to the influence of the ability of the data transmission line interposed therebetween.
[0004]
On the other hand, the asynchronous type means that if there is a data update (write) instruction from the host device in the main center to the subsystem, even if the instruction target is the target of the remote copy function, As soon as the update processing of the subsystem is completed, the completion of the update processing is reported to the host device, and the update (reflection) of data in the subsystem of the remote center is a processing procedure executed asynchronously with the processing in the main center. . For this reason, since the data update is completed in the processing time required in the main center, there is no transmission time due to the storage of data in the remote center.
[0005]
In the asynchronous type, the contents of the remote center subsystem do not always match those of the main center side. For this reason, when the main center loses its function due to a disaster or the like, data that has not been reflected on the remote center side will be lost. However, the access performance of the subsystem on the main center side can be set to the same level as when the remote copy function is not implemented.
[0006]
In order to realize these remote copy functions with high performance and low cost between remote locations, the asynchronous type is used. In this case, since a public communication line is used as a transmission path for transferring (copying) data from the main side to the remote side, information leakage prevention as described below is an important issue.
[0007]
About encrypted data transfer
When performing data transfer via a public communication line, encrypted data transfer is performed to prevent information leakage, and this can be applied to remote copying. In this case, encrypted data transfer is performed between the primary disk subsystem group of the main center and the secondary disk subsystem group of the remote center. In remote copy, since data is transferred over a long period of time, both high data transfer performance and high encryption strength must be achieved.
[0008]
"Encrypted data transfer over communication channels"
In a data communication system comprising two or more computers that communicate data via a network, there is a method in which an application program of one computer encrypts and transmits data to an application program of the other computer. is there. The specific disclosure of this method is described in detail in Japanese Patent Laid-Open No. 9-139735, for example, as “encrypted data communication system”. In the above-mentioned “encrypted data communication system”, a relay service program is operated on each of two computers, data is encrypted by this relay service, and data is transmitted / received via a network. Realized data transfer.
[0009]
[Problems to be solved by the invention]
With the prior art (encrypted data communication system), an encrypted data transfer function in the communication path can be realized. However, in the prior art, when data is transferred over a long period of time, the same encryption key is used without being updated for a long time, so that the encryption key may be maliciously decrypted and data may be stolen. In addition, even if the encryption key is updated, since the notification is made offline, the data transfer performance is deteriorated. In other words, the conventional technology does not consider the compatibility between high data transfer performance and high encryption strength.
[0010]
The purpose of the present invention is toIn remote copy, in order to achieve both high data transfer performance and high encryption strength, the update timing of the encryption key that encrypts the data to be transferred is specified, and the association between the updated encryption key and the transferred data The object is to provide a remote copy computer system.
[0011]
[Means for Solving the Problems]
In order to solve the above problems, the present invention mainly adopts the following configuration.
[0012]
Comprising a main center comprising a primary disk subsystem group having a control means connected to a host device for sending and receiving data and a storage means for storing the data;
A secondary disk having control means for receiving encrypted data transferred from the primary disk subsystem group and disposed at a location separated from the primary disk subsystem group; and storage means for storing the transferred data It has a remote center consisting of subsystems,
The primary disk subsystem group determines whether it is time to update an encryption key for data transfer encrypted during execution of data write processing, and updates the encryption key if it is an update timing. And a remote copy computer system in which a sequence number is added to the updated encryption key, transferred to the secondary subsystem group, and associated with the transfer data to which the sequence number is added.
[0013]
In the remote copy computer system, the encrypted data transferred from the primary disk subsystem group to the secondary disk subsystem group is stored in the storage means of the remote center without being decrypted, and at the timing of disaster recovery. Remote copy computer system to decrypt.
[0014]
In the remote copy computer system, when the encrypted data is transferred from the primary disk subsystem group to the secondary disk subsystem group, the encryption key is transferred to another remote device arranged separately from the remote center. A remote copy computer system that performs remote copy and storage at a center and decrypts data using an encryption key stored at the other remote center at the time of disaster recovery. Also, in the remote copy computer system, when decrypting the data transferred encrypted from the primary disk subsystem group to the secondary disk subsystem group, only when searching for a specific part of the record related to the data Remote copy encryption system to decrypt.
[0015]
DETAILED DESCRIPTION OF THE INVENTION
A remote copy computer system according to an embodiment of the present invention will be described below with reference to the drawings. FIG. 1 is a diagram showing an overall configuration of a remote copy computer system according to an embodiment of the present invention, and FIG. 3 is a diagram showing a specific configuration of a primary disk subsystem of a main center relating to the present embodiment.
[0016]
FIG. 1 shows a configuration example when an embodiment of the present invention is applied in order to duplicate information (data) between two arbitrary centers in a plurality of data centers equipped with a computer system.
[0017]
One or more disk subsystems 3 (3-1, 3-2,..., 3-n) on the
[0018]
In the
[0019]
As shown in FIG. 3, the primary disk subsystem 3-1, 3-2,..., 3-n includes an
[0020]
Further, in addition to the above-described component group, the primary disk subsystem 3-1 has a
[0021]
The primary disk subsystem 3-1 of the
[0022]
The interface cables 4-1, 4-2,..., 4-n can be connected to a general public communication line using a line connection device or the like. In this configuration example, it is described as interface cables 4-1 to 4-n including this point.
[0023]
When there are a plurality of
[0024]
When the higher-
[0025]
As a remote copy method for asynchronously writing data to a remote location, the primary
[0026]
The secondary
[0027]
In other words, when there is an instruction to write data to one or a plurality of disk subsystems 3-1, 3-2,... A system configuration in which the same data is stored in a plurality of disk subsystems 7-1, 7-2,... 7 -n is shown. The arrows in FIG. 1 indicate the flow of data that has been instructed to be written from the
[0028]
Note that the primary
[0029]
Here, the remote copy control information storage section of the primary disk subsystem 3-1 stores control information that specifies whether or not to encrypt and transfer data when remote copying data to the secondary disk subsystem group. You may do it. When the control information stipulates that the data is transferred after being encrypted, the data is encrypted and transferred, and the secondary disk subsystem group confirms the control information of the primary disk subsystem group. If the control information is encrypted and data is transferred, the transferred data is subjected to processing adapted to encryption (for example, the transfer data is decrypted using an encryption key). To ensure consistency of data copied from the main center to the remote center.
[0030]
In the present invention, the remote copy is temporarily stopped in this manner, and the encryption key updated during this time is notified to the remote center, thereby matching the encryption keys used in the data on the
[0031]
Further, the primary
[0032]
When the temporary stop state is released, the primary
[0033]
With this configuration, the encryption key is encrypted at the same timing in the volume of the primary
[0034]
Remote copy suspension and cancellation can be set for each remote copy volume pair. It is also possible to set a plurality of volume pairs in one volume group and change the state in units of volume groups. Then, by displaying the suspension or suspension release on the console of any of the
[0035]
The interval between this remote copy pause and pause release can be arbitrarily set by the user. Here, the remote copy from the
[0036]
The
[0037]
However, the
[0038]
As an embodiment of the present invention, a data duplication method and operation will be described with reference to FIG.
[0039]
The file, volume, and
[0040]
For the primary disk subsystem 3-1, an opportunity to suspend remote copying and an opportunity to release the suspension are set. Since the setting of the trigger can be instructed from the
[0041]
In the case of the above-described selection and setting, in the case of the
[0042]
The flow of FIG. 2 shows a case where selection / setting is performed from a dedicated console. The initial setting of the remote copy path and volume pair, that is, to which disk subsystem the remote copy request is issued is set in advance by the user to the host apparatus 1 (step 1: S1 in the figure). The same shall apply hereinafter. In addition, the initial setting for remote copy suspension or suspension cancellation is set for each volume pair of the remote copy target (step 2). Normally, all remote copy target volume pairs are defined as one volume group, and all volumes in the volume group are set to have the same status.
[0043]
In this example, all the volumes of the
[0044]
The file and volume for remote copy can be set by specifying a specific address that means the volume or disk subsystem, or by selecting from an arbitrary range of addresses using the control program in the disk subsystem. It can also be taken. As an initial setting, an example is shown in which a path and volume pair are set, and a temporary stop trigger and a temporary stop release trigger are set.
[0045]
When the
[0046]
When the write command is received, the primary disk subsystems 3-1, 3-2,..., 3 -n are remote copy statuses stored in the remote copy control
[0047]
Note that if the data previously updated in the main center holds storage location information for data not yet transferred to the remote center, all data at that location is also stored in the secondary disk subsystem 7-of the remote center. 1, 7-2,..., 7 -n is determined as a transfer target, and a write command for writing the data is given to the secondary disk subsystems 7-1, 7-2,. Issue and complete the process for the write command. At this time, the data is encrypted using the currently set encryption key and transferred from the primary disk subsystem to the secondary subsystem. That is, the data by the write command and all untransferred update data (write data) are encrypted with the current encryption key and transferred to the remote center (step 7). Thereafter, the data transfer is suspended.
[0048]
Next, the encryption key in the main center (the encryption key is used to encrypt / decrypt data using this) is updated (step 8). Thereafter, the updated encryption key is transferred to the secondary disk subsystems 7-1, 7-2,... 7 -n (step 9). After transferring the encryption key, the primary disk subsystem 3-1, 3-2,..., 3-n releases the remote copy (data transfer) temporary suspension state of the primary disk subsystem group 3 (step 10). Therefore, the updated new encryption key is used after the remote copy suspension state. That is, the data transferred to the remote is encrypted with a new encryption key (updated encryption key), and the encrypted data is transferred to the remote.
[0049]
In
[0050]
On the other hand, if the primary
[0051]
In other words, if the primary
[0052]
The secondary disk subsystems 7-1, 7-2,... 7 -n have received the write command issued from the primary disk subsystem 3-1, 3-2,. Is confirmed, processing for the write command, that is, data storage processing in the
[0053]
When the secondary disk subsystem 7-1, 7-2,..., 7 -n completes the processing for the write command, that is, the data storage processing in the
[0054]
According to the present invention, data written from the
[0055]
The secondary
[0056]
As described above, according to the first embodiment of the present invention, the primary stop of remote copy set at appropriate time intervals (the meaning of temporarily stopping remote copy is that the encryption key is changed on the basis of this temporary stop). Because the system updates the encryption key between the temporary release and the suspension cancellation, and notifies the remote encryption center of the updated encryption key, the remote copy data resumed to release the suspension Data is decrypted using the encryption key, and the correspondence between the data transferred to the remote center and the encryption key is clear.
[0057]
After all, the first embodiment of the present invention has the following configuration, function or action. The primary disk subsystem group of the main center and the secondary disk subsystem group of the remote center that are remote from each other are connected. When the primary disk subsystem group of the main center receives the update data from the host device, it starts storing data in its own subsystem.
[0058]
Then, the primary disk subsystem group confirms whether or not its own subsystem is in a state of timing for changing the encryption key. If it is not time to change the encryption key, the primary disk subsystem group makes the data to be transferred to the remote center using the current encryption key. If it is time to change the encryption key, after sending the data received this time and the data received so far to the remote center, the primary disk subsystem group transfers the data to the remote center. Is suspended, the encryption key is updated, the updated encryption key is transferred to the remote center, and the data transfer to the suspended remote center is resumed.
[0059]
Data transfer to the remote center is not performed during the suspension period. After the temporary suspension of data transfer to the remote center is released in the primary disk subsystem group, the primary disk subsystem group in the main center uses the updated encryption key to the secondary disk subsystem group in the remote center. Resume transfer.
[0060]
In this way, data duplication is performed by remote copy while updating the encryption key between the main center and the remote center.
[0061]
Next, as a second embodiment of the present invention, an outline of a data duplication method and operation will be described with reference to FIG.
[0062]
In the flow of FIG. 4, steps 21 to 24 are common to
[0063]
When the write command is received from the
[0064]
Thereafter, the sequence number (corresponding to the data sequence number) is assigned to the updated encryption key in the same manner as the data generally transferred from the primary
[0065]
The above will be described specifically. When a write request (write data) is sent from the host, the primary disk subsystem stores the data in the buffer while giving a sequence number to the data in the order in which the data is sent. These data are encrypted using a current encryption key (old encryption key) at an appropriate timing, and transferred to the secondary disk subsystem together with a sequence number. At this time, the order of data transferred to the secondary disk subsystem is not necessarily the order sent from the host. The reason is that the data can be rearranged in order based on the sequence number assigned to the data in the secondary disk subsystem.
[0066]
Among them, when the encryption key update timing comes, the primary disk subsystem updates its own encryption key (new encryption key), and assigns the sequence number assigned to the write data from the host, The encryption key with the updated sequence number is transmitted to the secondary disk subsystem. Specifically, if the sequence numbers {circle over (1)}, {circle over (2)}, {circle over (3)} have been given to the data up to now, the order number {circle over (4)} is given to the updated encryption key at the update timing of the encryption key.
[0067]
Then, the updated encryption key (new encryption key) and sequence number (4) are paired and transferred to the secondary disk subsystem. The secondary disk subsystem that has received this uses the encryption key updated with the sequence number {circle over (4)} for the received data. In other words, the secondary disk subsystem decrypts the data using the encryption key before the update for the data having the order number of (3) or less, and updates the data for the order number of (5) or more. The data is decrypted using the later encryption key.
[0068]
After that, when the primary disk subsystem receives a new write request, the sequence number {circle over (4)} is already used to send the encryption key, so the sequence number {circle over (5)} is given to the data of this write request. Store it in the buffer. Thereafter, the data is encrypted with the encryption key updated at an appropriate timing, and transferred to the secondary disk subsystem together with the sequence number (5).
[0069]
When the secondary disk subsystem receives the actual data, it sorts the received data according to the sequence number. Then, the secondary disk subsystem that knows that the encryption key has been updated at sequence number {circle over (4)} associates the old encryption key with respect to data having sequence number {circle over (1)} {2} {3}, The data having the sequence number {circle over (5)} is associated with the new encryption key and decrypted as necessary.
[0070]
If the primary
[0071]
At this time, for data updated in the main center, a write command may not be issued immediately to the remote center, but this is held in its own subsystem together with storage location information of data not yet transferred to the remote center. In addition, for data that has been previously updated in the main center, if the storage location information of untransferred data is held in the remote center, the data at that location is also stored in the secondary disk subsystem 7-1 of the remote center. 7-2,... 7-n is determined as a transfer target, and a write command for writing the data is issued (step 33). Then, the data is encrypted with the current encryption key and transferred to the remote center. The storage position information of the data is deleted after the processing for the write command is completed.
[0072]
That is, if the primary
[0073]
The secondary disk subsystems 7-1, 7-2,... 7 -n have received the write command issued from the primary disk subsystem 3-1, 3-2,. Is confirmed, processing for the write command, that is, processing for storing data in the
[0074]
When the secondary disk subsystem 7-1, 7-2,..., 7 -n completes the processing for the write command, that is, the data storage processing in the
[0075]
According to the present invention, data written from the
[0076]
The secondary
[0077]
Next, as a third embodiment of the present invention, an outline of a data duplication method and operation will be described with reference to FIG. Here, it is assumed that the secondary disk subsystem stores the encrypted data received from the primary disk subsystem as it is.
[0078]
This is an operation when a disaster occurs in the
[0079]
When the
[0080]
In this way, when a disaster occurs in the main center, the copy data in the remote center will be used for the main center by the disk subsystem in the remote center without relying on the main center. Thus, all of the copy data or copy data accessed as appropriate is decoded.
[0081]
Next, as a fourth embodiment of the present invention, an outline of a data duplication method and operation will be described with reference to FIG.
[0082]
In the case of accessing the secondary
[0083]
At this time, it is checked whether or not a search condition for a specific field, for example, a key field is satisfied (step 52). If this condition is satisfied, the subsequent data is decoded (step 53) and read / written (step 54). If this condition is not satisfied, the subsequent data is not decoded and an error is reported (step 55). These are all realized only by the functions of the disk subsystem, and do not burden the processing capability of the host device.
[0084]
【The invention's effect】
It is possible to guarantee the consistency of the update data within the range expected by the user by changing the function of the subsystem without requiring the introduction of new software in the host device, and the risk of information leakage is reduced by updating the encryption key. A remote copy encryption system can be realized.
[Brief description of the drawings]
FIG. 1 is a diagram showing an overall configuration of a remote copy computer system according to an embodiment of the present invention.
FIG. 2 is a flowchart showing processing of a remote copy system.
FIG. 3 is a diagram showing a configuration of a primary disk subsystem of a main center relating to the present embodiment.
FIG. 4 is a flowchart showing processing of a remote copy system.
FIG. 5 is a flowchart showing processing of a remote copy system.
FIG. 6 is a flowchart showing processing of a remote copy system.
[Explanation of symbols]
1 Host device
2 Interface cable
3 Primary disk subsystem
4 Interface cable
5 Interface cable
6 Interface cable
7 Secondary disk subsystem
8 Host device
9 Main Center
10 Remote Center
11 Interface cable
21 Interface controller
22 Data buffer
23 Magnetic disk drive
24 Microprocessor
25 Disk array subsystem controller
26 Console
27 Remote copy control information storage
Claims (4)
前記プライマリディスクサブシステム群と離隔した場所に配置されて前記プライマリディスクサブシステム群から転送される暗号化されたデータを受け取る制御手段、前記転送されたデータの格納を行なう記憶手段、を有するセカンダリディスクサブシステム群からなるリモートセンターを備え、
前記プライマリディスクサブシステム群は、データの書込処理の実行中に暗号化したデータ転送の暗号鍵を更新するタイミングであるか否かを判断し、更新タイミングであれば、前記暗号鍵を更新するとともに前記更新した暗号鍵に順序番号を付加して前記セカンダリサブシステム群に転送し、順序番号の付加された転送データと対応付けする
ことを特徴とするリモートコピーのコンピュータシステム。Comprising a main center comprising a primary disk subsystem group having a control means connected to a host device for sending and receiving data and a storage means for storing the data;
A secondary disk having control means for receiving encrypted data transferred from the primary disk subsystem group and disposed at a location separated from the primary disk subsystem group; and storage means for storing the transferred data It has a remote center consisting of subsystems,
The primary disk subsystem group determines whether it is time to update an encryption key for data transfer encrypted during execution of data write processing, and updates the encryption key if it is an update timing. A remote copy computer system comprising: adding a sequence number to the updated encryption key, transferring the sequence to the secondary subsystem group, and associating it with the transfer data to which the sequence number is added.
前記プライマリディスクサブシステム群から前記セカンダリディスクサブシステム群に暗号化して転送されたデータを、復号することなく前記リモートセンターの記憶手段に保存し、災害回復のタイミングで復号する
ことを特徴とするリモートコピーのコンピュータシステム。The remote copy computer system according to claim 1, wherein:
Remotely storing data encrypted and transferred from the primary disk subsystem group to the secondary disk subsystem group in the storage means of the remote center without being decrypted, and decrypting at a disaster recovery timing Copy computer system.
前記プライマリディスクサブシステム群から前記セカンダリディスクサブシステム群にデータを暗号化して転送する際に、前記暗号鍵を前記リモートセンターとは別地に配置された他のリモートセンターにリモートコピーして保存し、災害回復のタイミングで前記他のリモートセンターに保存された暗号鍵を使用してデータ復号する
ことを特徴とするリモートコピーのコンピュータシステム。The remote copy computer system according to claim 2,
When encrypting and transferring data from the primary disk subsystem group to the secondary disk subsystem group, the encryption key is remotely copied and stored in another remote center located separately from the remote center. A computer system for remote copy, wherein data decryption is performed using an encryption key stored in the other remote center at the time of disaster recovery.
前記プライマリディスクサブシステム群から前記セカンダリディスクサブシステム群に暗号化して転送されたデータを復号する際に、前記データに関するレコードの特定部分を捜索した場合にのみ復号する
ことを特徴とするリモートコピーの暗号化システム。The remote copy computer system according to claim 2,
When decrypting encrypted data transferred from the primary disk subsystem group to the secondary disk subsystem group, the decryption is performed only when a specific part of the record related to the data is searched. Encryption system.
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000271865A JP4028677B2 (en) | 2000-09-07 | 2000-09-07 | Remote copy computer system |
| DE60134696T DE60134696D1 (en) | 2000-05-23 | 2001-02-02 | Computer system with remote copying device |
| EP01102410A EP1158743B1 (en) | 2000-05-23 | 2001-02-02 | Computing system with remote copy facility |
| US09/810,575 US6966001B2 (en) | 2000-05-23 | 2001-03-19 | Computing system and data decryption method and computer system with remote copy facility |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000271865A JP4028677B2 (en) | 2000-09-07 | 2000-09-07 | Remote copy computer system |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2002084270A JP2002084270A (en) | 2002-03-22 |
| JP2002084270A5 JP2002084270A5 (en) | 2005-06-30 |
| JP4028677B2 true JP4028677B2 (en) | 2007-12-26 |
Family
ID=18758092
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000271865A Expired - Fee Related JP4028677B2 (en) | 2000-05-23 | 2000-09-07 | Remote copy computer system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4028677B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4173768B2 (en) | 2002-05-21 | 2008-10-29 | 松下電器産業株式会社 | Circuit device and operation method thereof |
| JP4555049B2 (en) * | 2004-10-27 | 2010-09-29 | 株式会社日立製作所 | Computer system, management computer, and data management method |
| JP5380854B2 (en) * | 2008-02-13 | 2014-01-08 | 大日本印刷株式会社 | Disk device, data transfer method, data transfer processing program, and data backup system |
-
2000
- 2000-09-07 JP JP2000271865A patent/JP4028677B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002084270A (en) | 2002-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6966001B2 (en) | Computing system and data decryption method and computer system with remote copy facility | |
| US7240197B1 (en) | Method and apparatus for encryption and decryption in remote data storage systems | |
| EP1970831B1 (en) | Storage apparatus | |
| US7496718B2 (en) | Data transfer and access control between disk array systems | |
| US6360306B1 (en) | Relocation of suspended data to a remote site in a distributed storage system | |
| JP4044717B2 (en) | Data duplication method and data duplication system for storage subsystem | |
| US8140864B2 (en) | Computer system, storage system, and data management method for updating encryption key | |
| US7337286B1 (en) | Storage control system for restoring a remote data copy | |
| JP4990066B2 (en) | A storage system with a function to change the data storage method using a pair of logical volumes | |
| US7802137B2 (en) | Journaling system switching to another logical volume to store subsequently received update history | |
| JP4728060B2 (en) | Storage device | |
| JP4689137B2 (en) | Remote copy control method and storage system | |
| JP4434407B2 (en) | Subsystem and integrated system thereof | |
| JP4074072B2 (en) | Remote copy system with data integrity | |
| US8285824B2 (en) | Storage system and data replication method that refuses one or more requests for changing the first logical configuration information until the first storage apparatus and second storage apparatus are synchronized | |
| US20020083366A1 (en) | Dual channel restoration of data between primary and backup servers | |
| US20090172417A1 (en) | Key management method for remote copying | |
| JP2002259063A (en) | Storage system capable of backup processing | |
| JP2009032038A (en) | A storage system to which a removable encryption / decryption module is connected | |
| JP4028677B2 (en) | Remote copy computer system | |
| US20060098818A1 (en) | Encryption technique for asynchronous control commands and data | |
| JP4721057B2 (en) | Data management system, data management method, and data management program | |
| JP2010282373A (en) | Disaster countermeasure system and disaster countermeasure method | |
| JP2002084270A5 (en) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041015 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041015 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070320 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070417 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070614 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070710 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070808 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20070913 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071002 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071012 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101019 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111019 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121019 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131019 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |