存储装置以及存储装置中的数据处理方法

专利名称：存储装置以及存储装置中的数据处理方法
技术领域：
本发明涉及在多个磁盘装置中存储数据的存储装置以及存储装置的数据 处理方法。
背景技术：
以往，作为这种存储系统已知如下结构的存储系统在与服务器间可以进 行数据通信的存储系统中，具备具有与服务器的接口的通道IF部，在通道IF 部内设置将向服务器发送的数据加密、并将从服务器接收到的数据解密的加密 处理部(参照专利文献l)。
专利文献1特开2005-322201号公报

发明内容
另一方面，在现有的存储系统中的加密处理中，以将存储数据的装置、例 如硬盘(以下称为HDD )虚拟地分割为多个而得的逻辑设备(以下称为LDEV (Logical Device))为单位，设定了是否进行加密。因此，在HDD内加密区 域和非加密区域共存，在HDD被盗或者被带出的情况下，非加密区域的数据 有可能泄漏。
鉴于该问题而完成本发明，其目的在于提供能够防止由于石兹盘装置的被盗 或带出所导致的数据泄漏的存储装置以及存储装置的数据处理方法。
为了达成所述的目的，本发明提出一种在多个磁盘装置中存储数据的存储 装置，该存储装置具有多个适配器，其分别与构成至少一个RAID组的多个 所述磁盘装置连接；以及管理部，其将所述多个磁盘装置所提供的存储区域分 割为多个逻辑存储区域来进行管理，并且管理多个所述RAID组，所述多个》兹 盘装置分别以所述》兹盘装置为单位构成了所述RAID组，所述多个适配器中的 至少一个，是可以将所述数据加密的加密适配器，当与属于所述RAID组的所 述磁盘装置连接的所述适配器全部是所述加密适配器时，所述管理部对该 RAID组设定表示是否将所述数据加密的加密状态，所述加密适配器，根据对成为所述数据的存储目的地的所述磁盘装置所属的所述RAID组设定的所述 加密状态，将该数据加密并存储在该磁盘装置中。
通过该存储装置，对RAID组设定加密状态，根据所设定的加密状态将数 据加密并存储在磁盘装置中，因此，构成RAID组的磁盘装置仅成为将数据加 密后存储、或者不将数据加密而进行存储的某一方，存储被力。密了的数据的加 密区域、和存储不加密的数据的非加密区域不共存于一个磁盘装置内。
理想的是，所述管理部，根据对所述RAID组设定的所述加密状态，显示 与该RAID组对应的所述逻辑存储区域的所述加密状态。
通过该存储装置，根据对RAID组设定的所述加密状态，显示与RAID组 对应的所述逻辑存储区域的加密状态，因此，在进行例如数据迁移或数据拷贝 等操作时，管理者可以针对每个逻辑存储区域而得知加密状态。
另外，为了达成所述目的，本发明提出 一种在多个磁盘装置中存储数据的 存储装置中的数据处理方法，所述存储装置具有多个适配器，其分别与构成 至少一个RAID组的多个所述磁盘装置连接；以及管理部，其将所述多个磁盘 装置所提供的存储区域分割为多个逻辑存储区域来进行管理，并且管理多个所 述RAID组，所述多个磁盘装置分别以所述磁盘装置为单位构成了所述RAID 组，所述多个适配器中的至少一个，是可以将所述数据加密的加密适配器，该 存储装置中的数据处理方法具有第一步骤当与属于所述RAID组的所述磁 盘装置连接的所述适配器全部是所述加密适配器时，所述管理部对该RAID组 设定表示是否将所述数据加密的加密状态；以及第二步骤所述加密适配器， 根据对成为所述数据的存储目的地的所述磁盘装置所属的所述RAID组设定 的所述加密状态，将该数据加密并存储在该磁盘装置中。
通过该存储装置中的数据处理方法，对RAID组设定加密状态，根据所设 定的加密状态，将数据加密并存储在磁盘装置中，因此，构成RAID组的磁盘 装置仅成为将数据加密后存储、或者不将数据加密而进行存储的某一方，存储 被加密了的数据的加密区域、和存储不加密的数据的非加密区域不共存于一个 磁盘装置内。
理想的是，在所述第一步骤之后还具有第三步骤所述管理部，根据对所 述RAID组设定的所述加密状态，显示与该RAID组对应的所述逻辑存储区域的所述加密状态。
通过该存储装置中的数据处理方法，根据对RAID组设定的加密状态，显 示与RAID组对应的逻辑存储区域的加密状态，因此，在进行例如数据迁移或 数据拷贝等操作时，管理者可以针对每个逻辑存储区域而得知加密状态。
根据本发明，构成RAID组的磁盘装置仅成为将数据加密后存储、或者不 将数据加密而进行存储的某一方，存储被加密了的数据的加密区域、和存储不 加密的数据的非加密区域不共存于一个磁盘装置内。由此，可以防止由于磁盘 装置的被盗或带出等导致的数据泄漏。


图l是说明存储系统的结构的框图。
图2是说明图1所示的磁盘适配器的结构的框图。
图3是说明图2所示的光纤通道适配器;f莫块的结构的框图。
图4是说明图1所示的磁盘适配器以及HDD的连接例的框图。
图5是说明图1所示的存储装置的存储构造的框图。
图6是说明图1所示的磁盘适配器管理表的一例的结构图。
图7是说明图1所示的RAID组管理表的一例的结构图。
图8是说明图1所示的加密管理表的一例的结构图。
图9是说明图1所示的外部备份信息表的一例的结构图。
图IO是说明登记图1所示的磁盘适配器的动作的流程图。
图11是说明将数据加密密钥备份在存储装置内的动作的流程图。
图12是说明将数据加密密钥备份在存储装置外的动作的流程图。
图13是说明从存储装置内恢复数据加密密钥的动作的流程图。
图14是说明从存储装置内恢复数据加密密钥的动作的流程图。
图15是说明设定图1所示的磁盘适配器的加密状态的动作的流程图。
图16是说明图1所示的磁盘适配器在HDD中写入数据的动作的流程图。
图17是说明图1所示的;兹盘适配器从HDD读出数据的动作的流程图。
图18是说明数据迁移的流程的状态迁移图。
图19是说明图1所示的SVP以及磁盘适配器迁移数据的动作的流程图。 图20是说明图1所示的SVP结合LDEV的动作的流程图。
7图21是说明在管理终端上显示的LDEV结合画面的一例的图像。 图22是说明替换图1所示的磁盘适配器的动作的流程图。 图23是说明在管理终端上显示的确认画面的一例的图像。 符号说明
1:存储系统；10、 10A、 10B、 10C:主计算机；20:存储装置；22: SVP; 23:高速緩冲存储器；24:共享存储器；40、 40A、 40B、 40C:磁盘适配器； 41: MP; 50: HDD; 200: i兹盘适配器管理表；300: RAID组管理表。
具体实施例方式
以下，参照附图详细描述本发明的一个实施方式。
图1是说明存储系统的结构的框图。如图1所示，存储系统1具备多个 主计算机10 (IOA、 10B、 10C);经由通信网络11与各主计算机10A~10C 连接的存储装置20;及与存储装置20连接的多个HDD ( Hard Disk Drive ) 50。
各主计算机10A~ 10C是具备CPU和存储器等的计算机装置，各主计算 机10A ~ IOC逻辑地识别由存储装置20提供的存储区域，并利用该逻辑存储 区域(以下称为逻辑巻或LDEV)执行数据库软件等业务应用程序。此外，主 计算机10是针对存储装置20的上位装置的一例。
通4言网络11由LAN (Local Area Network )、 SAN ( Storage Area Network )、 因特网、专用线路、公共线路等构成。按照例如TCP/IP (TransmissionControl Protocol/Internet Protocol)或光纤通道协议来进行主计算机10和存储装置20 之间的数据通信。
存储装置20具备多个通道适配器30 (30A、 30B、 30C )、多个磁盘适 配器40 (40A、 40B、 40C)、连接部21、 SVP ( Service Processor) 22、高速緩 冲存储器23以及共享存储器24，存储装置20作为例如》兹盘阵列子系统或高 功能化的智能型光纤通道交换机而构成。
在本实施方式中，存储装置20与设置在外部的多个HDD50连接，但不限 定于此，也可以在存储装置20中内置多个HDD。
各通道适配器30A 30C是具备微处理器(以下称为MP) 31、本地存储 器(以下称为LM)32以及端口 33等的微型计算机，各通道适配器30A 30C 主要作为与计算机10对应的接口而工作。MP31执行对从主计算机10发送的命令进行处理的微程序，LM32存储该微程序。端口 33经由通信网络11与主 计算机10连接。
各磁盘适配器40A ~ 40C是具备MP41 、 LM42以及端口 43等的微型计算 机，其主要作为与后述的HDD50对应的接口而工作。MP41执行对与端口43 连接的HDD50进行控制的微程序，LM42存储该微程序等。此外，MP41不 限定为1个，也可以具备多个。在端口 43上连4妄一个或多个HDD50，端口 43和HDD50之间通过光纤通道的FC-AL (Fibre Channel Arbitrated Loop)、 Fabric (架构)或SAS ( Serial Attached SCSI)等方式相连。
磁盘适配器40，将从主计算机IO发送的基于逻辑地址指定的数据访问请 求，变换为基于物理地址指定的数据访问请求。即，将所指定的逻辑存储区域 的地址变换为物理存储区域的物理地址，针对与该物理地址对应的HDD50的 存储区域进行数据读写。另夕卜，磁盘适配器40进行与HDD50的RAID结构对 应的数据访问。
各HDD50是对主计算机10提供存储区域的》兹盘装置，多个HDD50分别 以HDD为单位构成了 RAID (Redundant Array of Inexpensive Disks)方式的》兹 盘阵列。
连接部21将各通道适配器30A ~ 30C、各/f兹盘适配器40A ~ 40C、 SVP22、 高速緩冲存储器23以及共享存储器24相互连接。连接部21由例如通过高速 切换来进行数据传输的超高速纵横式交换机(crossbar switch)等高速总线构
成o
SVP22是进行存储装置20的管理以及监视的处理器，其将多个HDD50 提供的存储区域分割为多个逻辑区域来进行管理，并且将多个HDD50分割为 多个RAID组来进行管理。另外，SVP22经由网络12与外部的管理终端13 连接，存储系统1的管理者通过操作管理终端13，可以管理存储装置20的各 种设定等。此外，各磁盘适配器40A ~ 40C随时监视各自连接的HDD50的状 态，该监视结果经由连接部21被发送到SVP22。
网络12由LAN等构成，管理终端13是具备CPU和存储器等的计算机装 置。此外，网络12也可以是与所述通信网络11相同的网络。
高速緩沖存储器23以及共享存储器24是经由连接部21由各通道适配器30A 30C、各磁盘适配器40A 40C以及SVP22共享的存储器。高速緩冲存 储器23主要用于临时存储数据。共享存储器24主要用于存储控制信息或命令 等。另外，共享存储器24存储后述的磁盘适配器管理表200、 RAID组管理表 300、加密管理表400以及外部备份信息表500。
在以下的说明中，各石兹盘适配器40A-40C的MP41在共享存储器24中 直接访问存储在共享存储器24中的数据，但不限于此，也可以将存储在共享 存储器24中的数据定期或根据需要拷贝到各磁盘适配器40A-40C的LM42 中，并由MP41访问LM42。
在此，说明通道适配器30以及磁盘适配器40的动作的概要。
例如，当通道适配器30从主计算机10接收到读命令时，将读命令存储在 共享存储器24中。磁盘适配器40随时参照共享存储器24,当发现未处理的 读命令时，磁盘适配器40按照在共享存储器24中存储的读命令，从HDD50 读出数据，并存储在高速緩沖存储器23中。通道适配器30读出在高速緩冲存 储器23中存储的数据，并发送到作为读命令的发送源的主计算机10。
另外，当通道适配器30从主计算机10接收到写数据以及写命令时，将写 命令存储在共享存储器24中，并且将写数据存储在高速緩冲存储器23中。磁 盘适配器40,按照在共享存储器24中存储的写命令，将存储在高速緩冲存储 器23中的接收数据存储在HDD50中。
图2是说明图1所示的磁盘适配器的结构的框图。如图2所示，磁盘适配 器40除了所述的MP41、 LM42以外，还具备接口 ( I/F ) 45以及光纤通道适 配器才莫块(以下称为FCA) 60。 MP41、 LM42、接口 ( I/F) 45以及FCA60 经由内部总线46相互连接。内部总线46经由FCA60与预定的HDD50相连， 内部总线46经由接口 43与连接部21相连。
在存储装置20所具备的多个磁盘适配器40中，至少一个FCA60具有后 述的加密'解密电路70。具有加密.解密电路70的磁盘适配器40 (以下，称 为加密磁盘适配器40 )具有与内部总线46连接的闪速存储器(以下称为FM) 44。 FM44是由EEPROM (Electrically Erasable Programmable ROM)等构成的 非易失性介质，其主要用于存储后述的内部变换加密密钥。
加密磁盘适配器40可以将高速緩冲存储器23中存储的数据加密，然后存储在HDD50中。另夕卜，加密,兹盘适配器40可以将HDD50中存储的加密过的 数据解密，然后存储在高速緩冲存储器23中。
图3是说明图2所示的光纤通道适配器模块的结构的框图。如图3所示， FCA60具有参数控制部61、内部控制器62、高速緩冲存储器读控制部63、高 速緩冲存储器写控制部64以及多个接口 65~68。参数控制部61、内部控制器 62、高速緩冲存储器读控制部63、高速緩冲存储器写控制部64以及多个接口 65~58经由内部总线69相互连接。内部总线69经由接口 65以及内部总线46 与MP41相连，内部总线69经由接口 66以及内部总线46与LM42相连，内 部总线69经由接口 67与预定的HDD50相连，内部总线69经由接口 68以及 内部总线46与高速緩冲存储器23相连。
在加密》兹盘适配器40的FCA60中，在内部总线69上还连^^妄用于对FCA60 附加加密 解密功能的加密.解密电路70。这样，通过在没有加密.解密功 能的现有FCA中追加加密.解密电路70，能够将磁盘适配器转换(替换)为 加密/f兹盘适配器。
加密 解密电路70使用数据加密密钥，对从高速緩冲存储器23输入的、 输出到HDD50前的数据进行加密，并且对从HDD50输入的、输出到高速緩 冲存储器23前的数据进行解密。于是，例如从主计算机10发送的、存储在高 速緩冲存储器23中的写数据，在磁盘适配器40内被加密后存储到HDD50中， 因此，与在主计算机10中对写数据进行加密的情况相比，可以减轻对主计算 机10中的业务应用程序的负荷。另外，与在主计算机10和存储装置20间的 通信网络11中对写数据进行加密的情况相比，可以提高存储系统1整体的吞 吐量。
在本实施方式中，使用数据加密密钥来进行加密及解密，但不限定于此， 当解密时也可以使用与数据加密密钥不同的数据解密密钥。
内部控制器62用于在FCA60内控制在高速緩沖存储器23和HDD50间读 写数据的动作。参数控制部61用于在高速緩沖存储器读控制部64以及高速緩 冲存储器写控制部63中，设定与高速緩冲存储器23中存储的读数据以及写数 据的物理地址对应的参数。
例如，从高速緩冲存储器23向HDD50写入数据(以下称为降级)时，当从HDD50输入数据的转发许可信息时，FCA60内的控制器62指示参数控制 部61从LM42读出参数。参数控制部61将读出的参数输出到高速緩冲存储器 读控制部64。
内部控制器62指示高速緩冲存储器读控制部64才艮据该参数读出处于高速 緩冲存储器23的目标地址的数据。另外，内部控制器62指示高速緩沖存储器 读控制部64将从高速緩冲存储器23读出的数据输出到加密.解密电路70。
加密 解密电路70对于所输入的数据执行预定方式的加密算法来应用加 密处理，内部控制器62发出将被加密处理后的数据经由高速緩沖存储器读控 制部64输出到HDD50的指示。
另一方面，当将从HDD50读出的数据写入高速緩冲存储器23中(以下称 为升级)时，内部控制器62，在加密.解密电路70中对^皮力。密的数据进^f亍解 密处理后，与前述情况一样，指示高速緩沖存储器写控制部63根据参数控制 部61从LM42读出的参数,将解密过的数据输出到高速緩沖存储器23的地址。
图4是说明图1所示的i兹盘适配器以及HDD的连接例的框图。如图4所 示，各磁盘适配器40A ~ 40D通过例如光纤通道的FC-AL600与多个HDD50 相连。
各磁盘适配器40A ~ 40D具有4个端口 43。例如HDD ( 00 ~ 09 ) 50通过 一个FC-AL600环路，经由端口 (0) 43与一对磁盘适配器40A、 40B的双方 相连。由此，关于磁盘适配器和HDD的连接实现了冗余化。其它HDD(10 79) 50也与其同样地与一对;兹盘适配器的双方相连，由此，关于》兹盘适配器 与HDD的连接实现了冗余化。
另外，在图4中，例如RAID组(RG1 )由4个HDD (00、 10、 20、 30) 50构成，RAID组(RG2)由8个HDD(03、 13、 23、 33、 43、 53、 63、 73) 构成。即，RAID组(RG1)以及RAID组(RG2) 二者与磁盘适配器40A、 40B对应，RAID组(RG2)这一个与磁盘适配器40C、 40D对应。于是，一 个^f兹盘适配器40至少属于一个RAID组。
而且，与RAID组对应的磁盘适配器40的数量，根据RAID组的RAID 结构、即构成RAID组的HDD50的数量来确定。例如，在像RAID组(RG1) 那样由4个HDD50构成时，对应的磁盘适配器是磁盘适配器40A、 40B两个，在如RAID组(RG2 )那样由8个HDD50构成时，对应的磁盘适配器为磁盘 适配器40A 40D四个。于是，至少一个》兹盘适配器40属于一个RAID组。
图5是说明图1所示的存储装置的存储构造的框图。对于图5，作为与存 储装置20中的多个通道适配器的某个通道适配器关联的框图来进行说明。
在通道适配器30的端口 33上，如图l所示，经由通信网络ll连接了主 计算机10。当从主计算机10接收到数据时，通道适配器30的端口 33作为目 标端口而工作。
LU (Logical Unit) 101、 102是执行写命令或读命令等I/O命令的SCSI 目标内的实体，各LUIOI、 102经由端口 33被映射到主计算机10。主计算机 IO分别识别多个LU,并且区别各LU，并对目标LU发送I/0命令。
各PDEV ( Physical Device )111、 112对应于各个HDD50。使PDEV的物 理存储区域和LU的逻辑存储区域对应的逻辑存储层次，例如由多个层次构成。
一个逻辑层次是相当于RAID组的VDEV (Virtual Device) 121、 122，另 一个逻辑层次是LDEV (LogicalDevice) 131、 132。此外，图5的箭形符号表 示箭尾所指的下位层次从属于箭头所指的上位层次。
一个VDEV由构成RAID组的多个HDD50、即多个PDEV构成。LDEV 被设定成各VDEV的下位层次，例如通过以固定长分割VDEV来定义LDEV。 在图5中，LDEV141与VDEV131对应，LDEV142与VDEV132对应。
此外，当主计算机IO是开放系统的计算机时，LDEV被映射到LU,主计 算机10通过指定或特定LUN (Logical Unit Number)和逻辑块地址来访问希 望的LDEV。在图5中，LDEV141被映射到LU101，LDEV142被映射到LU102。 另外，当主计算机IO是大型机系统的计算机时，主计算机10直接识别LDEV。
各LU可以结合至少一个LDEV,通过将多个LDEV与1个LU关联起来， 可以虚拟地扩展LU的存储区域。
端口 - LU - LDEV - VDEV - PDEV间的对应关系，例如由经由网络12 与SVP22连接的管理终端13生成。该对应关系作为例如后述的RAID组管理 表300、加密管理400,通过SVP22被登记在共享存储器24中。
接着，参照图6至图9说明在共享存储器24中存储的表。
图6是说明图1所示的磁盘适配器管理表的一例的结构图。磁盘适配器管
13理表200是用于管理在存储系统1中具备的磁盘适配器40的表。适配器管理 表200例如通过后述的磁盘适配器登记处理s100来登记各行(记录)。另夕卜， 磁盘适配器管理表200由dka-id栏200a以及dka类别栏200b构成。
在dka-id栏200a中存储可以在存储系统1内唯一识别磁盘适配器40 的识别符、例如磁盘适配器号码。在dka类别栏200b中存储与dka-id栏 200a中存储的识别符对应的^f兹盘适配器40的类别、例如表示具有加密'解密 电路70的"加密对应"、或者表示不具有加密.解密电路70的"加密非对应"。
图7是说明图1所示的raid组管理表的一例的结构图。raid组管理表 300是用于管理由多个hdd50构成的raid组的表。raid组管理表300由 rg-id栏300a、 rg结构栏300b以及dka-id栏300c构成。
在rg-id栏300a中存储可以在存储系统1内唯一识别raid组的识别符、 例如raid组号码。在rg结构栏300b中存储与rg-id栏300a中存储的识 别符对应的raid组的结构种类、例如"3d+1p"、 "2d+2p"、 "7d+1p"等。 在dka-id栏300c中，针对属于具有在rg-id栏300a中存储的raid组号 码(识别符)的raid组的》兹盘适配器40，至少存储一个》兹盘适配器号码(识 别符)。
图8是说明图1所示的加密管理表的一例的结构图。加密管理表400是用 于管理是否将写入hdd50的数据加密的表。适配器管理表200例如通过后述 的加密设定处理s600来登记各行(记录)。另外，加密管理表400由rg-id 栏400a、加密设定栏400b以及ldev-id栏400c构成。
在rg-id栏400a中存储可以在存储系统1唯一识别raid组的识别符、 例如raid组号码。在加密设定栏400b中，针对与rg-id栏400a中存储的 识别符对应的raid组，存储表示是否将数据加密的加密状态、例如表示将数 据加密的"on"或表示不对数据加密的"off"。在ldev-id栏400c中，针 对与具有在rg-ID栏400a中存储的raid组号码(识别符)的raid组对应 的ldev,存储多个可以在存储系统1内唯一识别ldev的识别符、例如ldev 号码。此外，在以下的说明中，将设定(或已设定)将数据加密的情况简称为 设定(或已设定)加密，将设定(或已设定)不对数据加密的情况简称为不设 定(或未设定)加密。图9是说明图1所示的外部备份信息表的一例的结构图。外部备份信息表 500是用于存储被备份到外部装置中的包含数据加密密钥的备份文件的表。外 部备份信息表500例如通过后述的外部备份处理S300来登记各行(记录)。另 外，外部备份信息表500由装置制造号码栏500A、外部变换加密密钥栏500B 以及散列(hash)值栏500C构成。
在装置制造号码栏500A中存储作为数据加密密钥的备份目的地的外部装 置的制造号码、例如管理终端13的制造号码。在外部变换加密密钥栏500B 中存储根据数据加密密钥生成的后述的外部变换加密密钥。在散列值栏500C 中存储与在外部变换加密密钥栏500B中存储的外部变换加密密钥对应的散列 值。
在本实施方式中，即使在存储装置20内存在多个加密磁盘适配器40时， 在各加密磁盘适配器40中也是共同使用一个数据加密密钥，但不限定于此， 可以在每个加密磁盘适配器40中使用不同的数据加密密钥，也可以将存储装 置20分割为多个分区来使用，并且针对每个分区使用不同的数据加密密钥。 在所述情况下，外部备份信息表500登记多个行(记录)。
下面，参照图10至图23对存储装置20的动作进行说明。 图IO是说明登记图1所示的磁盘适配器的动作的流程图。例如，当在存 储装置20上新搭载磁盘适配器40时，SVP22执行图IO所示的磁盘适配器登 记处理SIOO。
即，SVP22从全部磁盘适配器40收集预定的信息，根据收集到的预定的 信息，向新搭载的磁盘适配器40分配磁盘适配器号码(识别符)(SIOI)。然 后，SVP22根据收集到的预定的信息，判定新搭载的磁盘适配器40是否是加 密磁盘适配器(S102 )。此外，当磁盘适配器40具有加密.解密电路70时判 定为其是加密磁盘适配器，当磁盘适配器40不具有加密'解密电路70时判定 为其不是加密磁盘适配器。
当S102的判定结果为是加密磁盘适配器时，SVP22在存储于共享存储器 24的磁盘适配器管理表200中，将在S101的处理中分配的磁盘适配器号码(识 别符)存储在DKA-ID栏200A中，并且将"加密对应，，存储在DKA类别栏 200B中(S103),从而来登记行(记录)。在S103的处理后，SVP22结束磁盘适配器登记处理SIOO。
另一方面，当S102的判定的结果是判定为》兹盘适配器40不是"加密对应" 时，SVP22在存储于共享存储器24的磁盘适配器管理表200中，将在S101 的处理中分配的磁盘适配器40的磁盘适配器号码(识别符)存储在DKA-ID 栏200A中，并且将"加密非对应"存储在DKA类别栏200B中(S104)，从 而追加行(记录)。在S104的处理后，SVP22结束/f兹盘适配器登记处理SIOO。
在本实施方式中，由SVP22分配磁盘适配器40的^f兹盘适配器号码(识别 符)，但不限于此，也可以从管理终端13输入^兹盘适配器40的,兹盘适配器号 码(识别符)。另外，磁盘适配器登记处理S100不限于在新搭载磁盘适配器 40时执行，也可以在f兹盘适配器40的初始登记时、或在已有》兹盘适配器中附 加加密.解密电路70时扭』行。
图11是说明将数据加密密钥备份到存储装置内的动作的流程图。例如， 当从SVP22向加密对应磁盘适配器40输入所述数据加密密钥的生成请求时， 加密对应磁盘适配器40的MP41执行图11所示的内部备份处理S200。
即，MP41通过随机数发生功能生成随机数，并将该随机数作为数据加密 密钥来生成(S201)。在本实施方式中，使用基于随机数发生功能的随机数来 生成了数据加密密钥，但不限于此，也可以通过其它方法生成数据加密密钥。
然后，MP41使用在LM42中存储的内部用加密密钥来对在S201的处理 中生成的数据加密密钥进4亍力。密，生成内部变换加密密钥(S202)。然后，MP41 将在S202的处理中生成的内部变换加密密钥存储在共享存储器24中(S203 )。 在本实施方式中，为了提高安全性，生成内部变换加密密钥后将其存储在共享 存储器24中，但不限于此，也可以将数据加密密钥直接存储在共享存储器24中。
并且，MP41将在S202的处理中生成的内部变换加密密钥存储在自身的 加密对应磁盘适配器40内的FM44中(S204)。由此，内部变换加密密钥(数 据加密密钥)被备份到存储装置20内的非易失性介质中。由此，即使在共享 存储器24中存储的内部变换加密密钥丟失时，也可以从FM44恢复，可以安 全地管理在数据的加密中所使用的数据加密密钥。
在S204的处理后，MP41结束内部^f分处理S200。图12是说明将数据加密密钥备份到存储装置外的动作的流程图。例如， 当从管理终端13经由网络12发送指定了密码的、数据加密密钥的外部备份请 求时，SVP22将接收到的外部备份请求存储在共享存储器24中。当加密石兹盘 适配器40参照共享存储器24而发现未处理的外部备份请求时，该加密磁盘适 配器40的MP41执行图12所示的外部备份处理S300。
即，加密磁盘适配器40的MP41取得在共享存储器24中存储的内部变换 加密密钥(S301),使用在LM42中存储的内部用加密密钥，将所取得的内部 变换加密密钥解密为数据加密密钥(S302)。
然后，MP41根据所指定的密码生成外部用加密密钥(S303 )，使用在S303 的处理中生成的外部用加密密钥，将在S302的处理中被解密的数据加密密钥 加密，从而生成外部变换加密密钥(S304)。然后，MP41使用散列函数来计 算与外部变换加密密钥对应的散列值(S305 )。然后，MP41在存储于共享存 储器24的外部备份信息表500中，将发送了外部备份请求的管理终端13的制 造号码存储在装置制造号码栏500A中，将在S304的处理中生成的外部变换 加密密钥存储在外部变换加密密钥栏500B中，将在S305的处理中计算出的 散列值存储在散列值栏500C中，从而登记行(记录)(S306 )。
然后，MP41生成包含管理终端13的制造号码、外部变换加密密钥以及 散列值在内的^#文件，并输出到SVP22 (S307)， MP41结束外部备份处理 S300。输入SVP22的备份文件经由网络12被发送到管理终端13。由此，外 部变换加密密钥(数据加密密钥)被备份到存储装置20外的管理终端13。由 此，即使存储装置20内的外部变换加密密钥丢失时，也可以从作为外部装置 的管理终端13恢复，可以安全地管理在数据加密中所使用的数据加密密钥。
在本实施方式中，为了提高安全性，生成外部变换加密密钥并存储在外部 备份信息表500中，并且备份在外部装置中，但不限于此，也可以将数据加密 密钥直接存储在外部备份信息表500中，并且备份到外部装置。在所述情况下， 计算出与数据加密密钥对应的散列值。另外，为了提高安全性，除了外部变换
加密密钥以外，还将管理终端13的制造号码以及散列值存储在外部备份信息 表500中，并且备《分到外部装置中，但不限于此，可以没有管理终端13的制 造号码以及散列两者，也可以仅有某一方。此外，在存储装置20内存在多个加密磁盘适配器40时，由参照共享存储器24而发现了未处理的外部备份请求的最初的加密磁盘适配器40的MP41执行外部备份处理S300即可。
图13是说明从存储装置内恢复数据加密密钥的动作的流程图。 一般，共享存储器24是易失性存储器，因此，只要不具备电池等，当切断存储装置20的电源或者停电时，共享存储器24中存储的数据消失。因此，当接通存储装置20的电源而启动时，需要确认共享存储器24的内部变换加密密钥是否消失。例如，当启动存储装置20时，加密磁盘适配器40的MP41执行图13所示的内部恢复处理S400。
即，加密磁盘适配器40的MP41参照共享存储器24来判定内部变换加密密钥是否消失(S401)。此外，使用例如ECC (Error Check and Correct)电路等，根据是否应答了不可收集的错误来判定共享存储器24的内部变换加密密钥是否消失。
当S401的判定的结果是内部变换加密密钥消失时，MP41取得在FM42中存储的内部变换加密密钥(S402)。然后，MP41将在S402中取得的内部变换加密密钥存储在共享存储器24内的参照用区域中(S403)。此外，当在存储装置20内存在多个加密磁盘适配器40时，在全部加密磁盘适配器40的MP41中进行S402以及S403的处理。
然后，某一个磁盘适配器40的MP41参照共享存储器24内的参照用区域，从多个内部变换加密密钥中选择出成为对象的内部变换加密密钥(S404)。此外，作为选择方法，使用多数决定或选择生成时刻最新的内部变换加密密钥等方法。另外，当在存储装置20内仅存在一个加密磁盘适配器40时，不需要S404的处理。
然后，MP41将在S404的处理中选择出的内部变换加密密钥存储在共享存储器24中(S405)。由此，存储装置20内的内部变换加密密钥(数据加密密钥)在共享存储器24中被恢复。
在S405的处理后，MP41结束内部恢复处理S400。
另一方面，当S401的判定的结果是存储了内部变换加密密钥时，不需要恢复内部变换加密密钥，因此MP41不进行任何操作地结束内部恢复处理
18S400。
图14是说明从存储装置外恢复数据加密密钥的动作的流程图。当从管理终端13经由网络12发送备^f分文件、和指定了密码的数据加密密钥的外部恢复请求时，SVP22将接收到的外部恢复请求存储在共享存储器24中，并且将备份文件存储在高速緩冲存储器23中。当加密磁盘适配器40参照共享存储器24而发现未处理的外部恢复请求时，该加密磁盘适配器40的MP41执行图14所示的外部恢复处理S500。
即，加密磁盘适配器40的MP41根据所指定的密码，生成外部用加密密钥(S501)。然后，MP41使用在S501的处理中生成的外部用加密密钥，将在高速緩沖存储器23中存储的备份文件所包含的外部变换加密密钥解密为数据加密密钥(S502)。
然后，MP41判定在存储于共享存储器24的外部备份信息表500中，在高速緩冲存储器23中存储的备份文件所包含的散列值、和散列值栏500C中存储的值是否一致(S503 )。由此，可以检测出外部变换加密密钥(数据加密密钥)的损坏。
当S503的判定的结果是散列值一致时，判定在高速緩冲存储器23中存储的备份文件所包含的装置制造号码、和装置制造号码栏500A中存储的制造号码是否一致(S504)。由此，可以检测出成为恢复源的外部装置的错误。
当S504的判定的结果是装置制造号码一致时，认为备份文件中包含的外部变换加密密钥适当，MP41利用在LM42中存储的内部用加密密钥对在S502的处理中被解密过的数据加密密钥进行加密，从而生成内部变换加密密钥(S505 )。然后，MP41将在S505的处理中生成的内部变换加密密钥存储在共享存储器24中(S506)。由此，存储装置20外的外部变换加密密钥(数据加密密钥)在共享存储器24中被恢复。
在S506的处理后，MP41向SVP输出正常结束，然后结束外部恢复处理S500。 SVP22经由网络12将表示接收到的外部恢复请求的正常结束的应答发送到管理终端13。
另一方面，当S503的判定的结果是散列值不一致时、或S504的判定的结果是装置制造号码不一致时，MP41向SVP输出异常结束(S507), MP41结束外部恢复处理S500。 SVP22经由网络12将表示接收到的外部恢复请求的异常结束的应答发送到管理终端13。
此外，当存储装置20内存在多个加密^兹盘适配器40时，与所述的外部备份处理S300同样地，由参照共享存储器24而发现了未处理的外部恢复请求的最初的加密磁盘适配器40的MP41执行外部恢复处理S500即可。
图15是说明设定图1所示的磁盘适配器的加密状态的动作的流程图。例如，从管理终端13经由网络12发送指定了 RAID组号码(识别符)的设定变更请求时，SVP22执行图15所示的加密设定处理S600。
即，接收到设定变更请求的SVP22，在存储于共享存储器24的RAID组管理表300中，读出在RG-ID栏300A中存储有所指定的RAID组号码(识别符)的行(记录)，取得在该行(记录)的DKA-ID栏300C中存储的f兹盘适配器号码(识别符)(S601 )。此外，构成RAID组的多个HDD50与至少一个磁盘适配器40相连，因此，通常在S601的处理中取得多个磁盘适配器号码(识别符)。
然后，SVP22在存储于共享存储器24的磁盘适配器管理表200中，读出所有在DKA-ID栏200A中存储有在S601的处理中取得的磁盘适配器号码(识别符)的行(记录)，判定在该行(记录)的DKA-类别栏200B中是否全部存储了 "加密对应"(S602)。
当S602的判定的结果是全部存储了 "加密对应"时，SVP22经由网络12将表示所发送的设定变更请求的许可的应答发送到管理终端13 (S603)。
接收到表示设定变更请求的许可的应答的管理终端13，显示可以将针对最初指定的RAID组的加密设定指定为"ON"或"OFF"的预定画面。管理者指定针对该RAID组的加密状态，管理终端13经由网络12发送指定了 RAID组号码(识别符)以及加密设定的加密设定请求。
接收到加密设定请求SVP22，在存储于共享存储器23的加密管理表400中读出在RG-ID栏400A中存储有所指定的RAID组号码(识别符)的行(记录)，并在该行(记录)的加密设定栏400B中存储所指定的加密状态、即"ON"或"OFF",来更新该行(记录)，将更新后的行(记录)写入到存储在共享存储器24中的加密管理表400中(S604)。这样，对RAID组设定加密状态，因此，构成RAID组的HDD50仅成为将数据加密后存储、或者不将数据加密而 进行存储的某一方，存储加密t的数据的加密区域和存储不加密的数据的非加 密区域不共存在一个HDD50中。由此，可以防止由于HDD50的被盗或带出 所导致的数据泄漏。
在S604的处理后，SVP22结束加密设定处理S600。
另一方面，当S602的判定的结果是在至少一个中未存储"加密对应"时， SVP22将表示所发送的设定变更请求的禁止的应答，经由网络12发送到管理 终端13(S605)。在S605的处理后，SVP22结束加密设定处理S600。
接收到表示设定变更请求的禁止的应答的管理终端13,显示表示无法变 更针对最初指定的RAID组的加密状态的预定画面。
在加密设定处理S600结束后，SVP22能够以LDEV为单位显示加密状态。
即，例如经由网络12从管理终端13发送指定了 LDEV号码(识别符)的 加密状态请求时，SVP22在存储于共享存储器23的加密管理表400中读出在 LDEV-ID栏400C中存储有所指定的LDEV号码(识别符)的行(记录)。然 后，SVP22将该行(记录)的加密设定栏400B中存储的加密状态作为应答， 经由网络12发送到管理终端13。管理终端13将所指定的LDEV的加密状态 显示在监视器等上。于是，根据对RAID组设定的加密状态，显示从属于RAID 组的LDEV的加密状态，因此，例如进行后述的数据迁移或数据拷贝等操作 时，管理者可以针对每个LDEV得知加密状态。
图16是说明图1所示的磁盘适配器在HDD中写入数据的动作的流程图。 例如从主计算机10经由通信网络11发送写数据以及写命令时，如前所述，通 道适配器30将接收到的写数据存储在高速緩冲存储器23中，并且将接收到的 写命令存储在共享存储器24中。磁盘适配器40参照共享存储器24,当共享 存储器24中存储的写命令是针对自己的写命令时，即将写命令中指定的逻辑 地址变换为物理地址、变换后的物理地址与连接的HDD50对应时，该磁盘适 配器40的MP41执行图16所示的写处理S700。
即，MP41在存储于共享存储器24的加密管理表400中读出在LDEV-ID
号码(识别符)的行(记录)，取得在该行(记录)的RG-ID栏400A中存储的RAID組号码(识别符)(S701 )。然后，MP41 #>据在该行(记录)的加密 设定栏400B中存储的信息，判定是否设定了加密(S702)。此外，若加密设 定栏400B为"ON",则判定为设定了加密，若加密设定栏400B为"OFF", 则判定为未设定加密。
当S702的判定的结果是设定了加密时，MP41取得在共享存储器24中存 储的内部变换加密密钥(S703 )。然后，MP41判定是否取得了内部变换加密 密钥(S704X
当S704的判定的结果是取得了内部变换加密密钥时，MP41使用LM42 中存储的内部用加密密钥，将取得的内部变换加密密钥解密为数据加密密钥 (S705)。然后，MP41将S705中解密而得的数据加密密钥设定为参数，并将 该参数存储在LM42中(S706 )
然后，与所述的降级同样地，FCA60内的内部控制器62向参数控制部61 等输出指示，参数控制部61将LM42中存储的参数输出到高速緩沖存储器读 控制部64。然后，内部控制器62向高速緩冲存储器读控制部64等输出指示， 高速緩冲存储器读控制部64将在S707的处理中输入的参数所包含的数据加密 密钥、和高速緩沖存储器23中存储的写数据输出到加密'解密电路70(S707)。
加密解密电路70使用数据加密密钥将写数据加密(S708)。然后，加密僻 密电路70将被加密后的写数据输出到高速緩冲存储器读控制部64，高速緩冲 存储器读控制部64将输入的加密过的写数据存储在HDD50中(S709 )。由此， 根据对RAID组设定的加密状态，将加密过的数据写入HDD50中。
在S710的处理后，MP41结束写处理S700。
另一方面，当S702的判定结果是未设定加密时，MP41设定预定的参数， 并将该参数存储在LM42中(S710 )。
然后，与所述降级同样地，FCA60内的内部控制器62向参数控制部61 等输出指示，参数控制部61将LM42中存储的参数输出到高速緩冲存储器读 控制部64。然后，内部控制器62向高速緩冲存储器读控制部64等输出指示， 高速緩沖存储器读控制部64根据在S712的处理中输入的参数,将高速緩冲存 储器23中存储的写数据存储在HDD50中(S711 )。由此，根据对RAID组设 定的加密状态，将不加密的数据写入HDD50中。
22在S711的处理后，MP41结束写处理S700。
另一方面，当S704的判定的结果是未能取得内部变换加密密钥时，MP41 经由通道适配器30向发送了写命令的主计算机10应答写错误(S712)。然后， MP41，在存储于共享存储器24的管理LDEV的信息中，对于属于具有在S701 中取得的RAID组号码(识别符)的RAID组的全部LDEV记录表示"闭塞" 的信息(S713)。由此，禁止访问属于RAID的全部LDEV。
在S713的处理后，MP41结束写处理S700。
在以上的说明中，使用了将从主计算机10发送的写数据存储在HDD50 中的例子，但不限于此，在将高速緩冲存储器23中存储的数据写出到HDD50 的降级时，执行写处理700。
图17是说明图1所示的磁盘适配器从HDD读出数据的动作的流程图。例 如，从主计算机10经由通信网络11发送写命令时，如前所述，通道适配器 30将接收到的读命令存储在共享存储器24中。磁盘适配器40参照共享存储 器24,当共享存储器24中存储的读命令是针对自己的读命令时，即将读命令 所指定的逻辑地址变换为物理地址，变换后的物理地址与连接的HDD50对应 时，该/磁盘适配器40的MP41执行图17所示的读处理S800。
即，MP41在存储于共享存储器24的加密管理表400中读出在LDEV-ID 栏400C中存储有作为读命令中包含的对象数据的存储目的地的LDEV的 LDEV号码(识别符)的行(记录)，取得在该行(记录)的RG-ID栏400A 中存储的RAID组号码(识别符)(S801)。然后，MP41根据在该行(记录) 的加密设定栏400B中存储的信息判定是否设定了加密(S802)。此外，若加 密设定栏400B为"0N"，则判定为设定了加密，若加密设定栏400B为"OFF",
则判定为未设定加密。
当S802的判定的结果是设定了加密时，MP41取得在共享存储器24中存 储的内部变换加密密钥(S803 )。然后，MP41判定是否取得了内部变换加密 密钥(S804)。
当S804的判定的结果是取得了内部变换加密密钥时，MP41使用LM42 中存储的内部用加密密钥，将所取得的内部变换加密密钥解密为数据加密密钥 (S805 )。然后，MP41将在S805中解密而得的数据加密密钥设定为参数，并将该参数存储在LM42中(S806 )。
然后，与所述升级同样地，FCA60内的内部控制器62向参数控制部61 等输出指示，参数控制部61将LM42中存储的参数输出到高速緩沖存储器写 控制部63。然后，内部控制器62向高速援冲存储器写控制部63等输出指示， 高速緩冲存储器读控制部64将S806的处理中输入的参数所包含的数据加密密 钥、和根据在S806的处理中输入的参数而从HDD50读取的读数据，输出到 加密 解密电路70 (S807)。
加密 解密电路70使用数据加密密钥(数据解密密钥)来将读数据解密 (S808)。然后，加密'解密电路70将被解密了的读数据输出到高速緩冲存储 器写控制部63，高速緩沖存储器写控制部63将输入的解密过的读数据输出到 高速緩沖存储器23 ( S809 )。由此，根据对RAID组设定的加密状态，将解密 后的数据存储在高速緩沖存储器23中。
在S809的处理后，MP41结束读处理S800。
另一方面，当S802的判定的结果是未设定加密时，MP41设定预定的参 数，并将该参数存储在LM42中(S810)。
然后，与所述升级同样地，FCA60内的内部控制器62向参数控制部61 等输出指示，参数控制部61将LM42中存储的参数输出到高速緩冲存储器写 控制部63。然后，内部控制器62向高速緩沖存储器写控制部63等输出指示， 将根据所输入的参数而从HDD50读取的读数据输出到高速緩冲存储器23 (S811)。由此，根据对RAID组设定的加密状态，将未加密的数据存储在高 速緩冲存储器23中。
在S811的处理后，MP41结束读处理S800。
另一方面，当S804的判定的结果是未能取得内部变换加密密钥时，MP41 经由通道适配器30向发送了读命令的主计算机10应答读错误(S812)。然后， MP41在存储于共享存储器24的管理LDEV的信息中，对于属于具有在S801 中取得的RAID組号码(识别符)的RAID组的全部LDEV记录表示"闭塞" 的信息(S813)。由此，禁止访问属于RAID组的全部LDEV。
在S813的处理后，MP41结束读处理S800。
在以上的说明中，使用了将根据从主计算机10发送的读命令而从HDD50读出的读数据存储在高速緩冲存储器23中的例子，但不限于此，在将从HDD50 读出的数据存储在高速緩沖存储器23的升级时，执行写处理S700。 然后，参照图18以及图19说明数据迁移的动作。
图18是说明数据迁移的流程的状态迁移图。例如在存储装置20中增设加 密磁盘适配器40时、或者将普通的(未安装加密.解密电路70的)磁盘适配 器40更换为加密,兹盘适配器40时，通过将未设定加密的第1RAID组的数据 迁移到设定了加密的第2RAID组，可以将第1RAID组的数据加密。
即，如图18所示，当对属于第1RAID组133的LDEV143中存储的数据 进行迁移时(参照(a)),在第2RAID组134中新增设(定义)LDEV144，或 者将已有的LDEV144格式化(初始化)(参照(b))。
然后，在LDEV143、 144间执行后述的数据迁移处理S900 (参照(c)), 在迁移处理S900完成后释放LDEV143 (参照(d))。此外，当将第1 RAID 组中的全部数据迁移到第2 RAID组时，通过针对属于第1 RAID组的全部 LDEV重复所述(a) ~ (d)，能够将第1RAID组中的全部数据加密。
图19是说明图1所示的SVP以及磁盘适配器迁移数据的动作的流程图。 例如，当从管理终端13经由网络12发送指定了转移源LDEV号码以及转移 目的地LDEV号码的数据迁移请求时，SVP22执行图19所示的数据迁移处理 S900。
即，接收到数据迁移请求的SVP22，在存储于共享存储器24的加密管理 表400中读出在LDEV-ID栏400C中存储有所指定的转移源LDEV的LDEV 号码(识别符)的行(记录)，将具有在该行(记录)的RG-ID栏400A中存 储的RAID组号码(识别符)的RAID组，确定为转移源RAID组(转移源 VDEV) (S901)。同样地，SVP22读出在LDEV-ID栏400C中存储有所指定的 转移目的地LDEV的LDEV号码(识别符)的行(记录)，将具有该行(记录) 的RG-ID栏400A中存储的RAID组号码(识别符)的RAID组，确定为转移 目的地RAID组(转移目的地VDEV) ( S902 )。
然后，SVP22在高速緩沖存储器23中确保转移源数据用区域以及转移目 的地数据用区域(S903 )。
在此，SVP22,在存储于共享存储器24的RAID组管理表300中，读出在RG-ID栏300A中存储有转移源RAID组的RAID组号码(识别符)的行(记 录)，对于具有在该行(记录)的DKA-ID栏300C中存储的磁盘适配器号码 (识别符)的磁盘适配器40的MP41,指示所述升级。此外，当DKA-ID栏 300C中存储的磁盘适配器号码(识别符)有多个时，以预定的顺序向磁盘适 配器40的MP41输出指示。
从SVP接收到指示的磁盘适配器40的MP41进行与所述读处理S800同 样的处理，将转移源LDEV的数据存储在高速緩冲存储器23的转移源it据用 区域中(S卯4)。然后，MP41将该转移源LDEV的数据从高速緩沖存储器23 的转移源数据用区域拷贝到转移目的地数据用区域(S905 )。
在此，SVP22,在存储于共享存储器24的RAID组管理表300中，读出 在RG-ID栏300A中存储有转移目的地RAID组的RAID组号码(识别符)的 行(记录)，对于具有在该行(记录)的DKA-ID栏300C中存^f渚的,兹盘适配 器号码(识别符)的》兹盘适配器40的MP41,指示所述降级。此外，当DKA-ID 栏300C中存储的;兹盘适配器号码(识别符)有多个时，以预定的顺序向》兹盘 适配器40的MP41输出指示。
从SVP22接收到指示的磁盘适配器40的MP41进行与所述写处理S700 同样的处理，将在高速緩冲存储器23的转移目的地数据用区域中存储的转移 源LDEV的数据，存储在与转移目的地LDEV对应的HDD50中(S906 )。此 外，当转移源LDEV的数据量比在S903的处理中确保的转移源数据用区域大 时，将转移源LDEV的数据分割为预定量，针对每预定量的数据重复S904-S906的处理。
SVP22在对全部》兹盘适配器40的MP41进行了 S904 ~ S906的处理后，结 束数据迁移处理S900。
在开始该迁移以后，从主计算机IO,将数据不被加密的、对转移源LDEV 发送的写命令在数据迁移处理S900的过程中、或在迁移处理S900结束后发 送给转移目的地LDEV,将写数据存储在转移目的地LDEV中。
图20是说明图1所示的SVP结合LDEV的动作的流程图。例如，为了扩 展LU的容量，从管理终端13经由网络12发送指定了在LU中包含的开头的 LDEV的LDEV号码的结合对象请求时，SVP22执行图20所示的结合对象处
26理SIOOO。
即，接收到结合请求的SVP22，在存储于共享存储器24的加密管理表400 中，读出在LDEV-ID栏400C中存储有所指定的LDEV的LDEV号码(识别 符)的行(记录)，取得在该行(记录)的加密设定栏400B中存储的加密状 态(S1001)。然后，SVP22读出在加密设定栏400B中存储有在S1001中取得 的加密状态的全部行(记录)，取得在该行(记录)的LDEV-ID栏400C中存 储的全部LDEV号码(识别符)(S1002 )。
然后，SVP22将在S1002中取得的全部LDEV号码(识别符)作为结合 对象请求的应答，经由网络12发送给管理终端13 (S1003), SVP22结束结合 对象处理SIOOO。
图21是说明在管理终端上显示的LDEV结合画面的一例的图像。接收到 结合请求的应答的管理终端13在监视器等上显示图21所示的LDEV结合画 面GOl。在LDEV结合画面G01中，在结合源LDEV字段G01A中显示所指 定的LDEV的LDEV号码，并且在可结合LDEV字段G01B中显示接收到的 LDEV号码。管理者通过操作追加按钮G01C或删除按钮G01D,可以将可结 合的LDEV字段G01B中显示的LDEV号码追加到结合对象LDEV字段G01E 中，或者可以从结合对象LDEV字段G01E中删除。
在确定结合对象LDEV后，管理者通过操作执行按钮G05F，将指定了结 合源LDEV字段G01A的LDEV号码、和结合对象LDEV字段G01E的全部 的LDEV号码的结合请求经由网络12发送到SVP22，通过SVP22将LDEV 结合。于是，可以仅将加密状态与结合源LDEV相同的LDEV显示为结合对 象LDEV，并且将结合源LDEV和结合对象LDEV结合，因此，可以防止将 解密区域和非加密区域结合。
图22是说明替换图1所示的/f兹盘适配器的动作的流程图。当将存储装置 20具备的加密磁盘适配器40更换为普通的(未安装加密 解密电路70 )磁盘 适配器40时，例如从管理终端13经由网络12发送指定了作为替换对象的加 密磁盘适配器40的磁盘适配器号码的替换请求时，SVP22执行图22所示的磁 盘适配器替换处理SllOO。
即，接收到替换请求的SVP22,在存储于共享存储器24的RAID组管理表300中，读出在DKA-ID栏300C中存储有所指定的加密》兹盘适配器40的 磁盘适配器号码(识别符)的行(记录)，取得在该行(记录)的RG-ID栏300A 中存储的RAID组的RAID组号码(识别符)(S1101 )。此外，如图4所示的 》兹盘适配器40A、 40B那样，当1个磁盘适配器40属于两个以上的多个RAID 组时，在S1101的处理中取得的RAID组号码(识别符)为多个。
然后，SVP22在存储于共享存储器24的加密管理表400中，读出在RG-ID 栏400A中存储有在S1101的处理中取得的RAID组号码(识别符)的全部行 (记录)，取得在该行(记录)的加密设定栏400B中存储的加密状态(S1102)。
然后，SVP22根据在S1102中取得的加密状态，判定是否对全部的RAID 组设定了加密(S1103)。此外，若加密设定栏400B全部为"OFF",则判定为 对所有RAID组都没有设定加密，当加密设定栏400B哪怕只有一个为"ON", 则判定为对某个RAID组设定了加密。
当S1103的判定的结果是对某个RAID组设定了加密时，SVP22经由网络 12向管理终端13发送确认是否删除所指定的磁盘适配器40所属于的RAID 组的替换确认请求(S1104)。
图23是说明在管理终端上显示的确认画面的一例的图像。接收到替换确 认请求的管理终端13在监视器等上显示图23所示的确认画面G02。确认画面 G02显示询问是否继续进行替换的消息G02A,管理者操作"是"按钮G02B 或"否"按钮G02C的一方。然后，管理终端13经由网络12向SVP22发送 基于"是"按钮G02B或"否"按钮G02C的一方的操作的对替换确认请求的 应答。
接收到应答的SVP22根据该应答判定是否继续进行替换(S1105X此外， 在确认画面G02中才喿作了 "是"按钮G02B时，判定为继续进行替换，在确 认画面G02中操作了 "否"按钮G02C时，判定为不继续进行(中止)替换。
当S1105的判定的结果是继续进行替换时，接收到最初所指定的应答的 SVP22,将具有在S1101的处理中取得的RAID组号码(识别符)的RAID组 全部删除(S腦)。
在S1106的处理后，SVP22进行将加密磁盘适配器40更换为磁盘适配器 40的预定的替换处理(S1107), SVP22结束磁盘适配器替换处理S1100。另一方面，当S1105的判定的结果是不继续进行替换时，SVP22进行预定 的替换中断处理(S1108)， SVP22结束磁盘适配器替换处理S1100。
另外，当S1103的判定的结果是对所有RAID組都没有设定加密时，即， 在作为替换对象的^f兹盘适配器40所连接的HDD50中存储的数据全部是未加 密的lt据时，SVP22不进行S1104 S1106的处理，而进4亍所述预定的替换处 理(S1107)， SVP22结束磁盘适配器替换处理S1100。于是，当对连接于加密 磁盘适配器40的HDD所属于的RAID组设定的加密状态是对所有数据都不进 行加密时，将加密》兹盘适配器40更换为磁盘适配器40，因此，被加密了的数 据被存储在与不能加密的磁盘适配器40连接的HDD50中，存储被加密了的 数据的加密区域、和存储不加密数据的非加密区域不共存于1个HDD50内。 由此，可以防止由于HDD50的被盗或带出等所导致的数据泄漏。
此外，本发明的结构不仅限于所述实施方式，在不超出本发明的主旨的范 围内可以加以各种变更。
权利要求
1.一种在多个磁盘装置中存储数据的存储装置，其特征在于，具有多个适配器，其分别与构成至少一个RAID组的多个所述磁盘装置连接；以及管理部，其将所述多个磁盘装置所提供的存储区域分割为多个逻辑存储区域来进行管理，并且管理多个所述RAID组，所述多个磁盘装置分别以所述磁盘装置为单位构成了所述RAID组，所述多个适配器中的至少一个，是可以将所述数据加密的加密适配器，当与属于所述RAID组的所述磁盘装置连接的所述适配器全部是所述加密适配器时，所述管理部对该RAID组设定表示是否将所述数据加密的加密状态，所述加密适配器，根据对成为所述数据的存储目的地的所述磁盘装置所属的所述RAID组设定的所述加密状态，将该数据加密并存储在该磁盘装置中。
2. 根据权利要求1所述的存储装置，其特征在于，所述管理部，根据对所述raid组设定的所述加密状态，显示与该raid组对应的所述逻辑存储区域的所述加密状态。
3. 根据权利要求1所述的存储装置，其特征在于，所述加密适配器具有非易失性存储器，并将加密所述数据时所使用的数据加密密钥备份在所述非易失性存储器中。
4. 根据权利要求3所述的存储装置，其特征在于，具有多个所述加密适配器，所述各加密适配器，使用在所述各非易失性存储器中备份的多个所述数据加密密钥中的一个来加密所述数据。
5. 根据权利要求l所述的存储装置，其特征在于，连接了外部存储装置，所述管理部，将在所述加密适配器中加密所述数据时所使用的数据加密密钥备份在所述外部存储装置中。
6. 根据权利要求5所述的存储装置，其特征在于，所述管理部，将所述数据加密密钥、和包含与所述数据加密密钥对应的散列值以及所述外部存储装置的识别信息中的至少 一方的附加信息备份在所述外部存储装置中。
7. 根据权利要求5所述的存储装置，其特征在于，所述加密适配器，在从所述外部存储装置接收到所述数据加密密钥时，使用接收到的所述数据加密密钥来加密所述数据。
8. 根据权利要求6所述的存储装置，其特征在于，具备存储所述附加信息的附加信息存储部，所述加密适配器，在从所述外部存储装置接收到所述数据加密密钥和所述附加信息时，当所述附加信息存储部中存储的所述附加信息与接收到的所述附加信息一致时，使用接收到的所述数据加密密钥来加密所述数据。
9. 根据权利要求1所述的存储装置，其特征在于，所述管理部，在将多个所述逻辑存储区域结合时，当对与该多个逻辑存4诸区域对应的所述RAID组设定的所述加密状态为全部相同时，将该多个所述逻辑存储区域结合。
10. 根据权利要求1所述的存储装置，其特征在于，所述管理部，在将所述加密适配器更换为所述适配器时，当对与该加密适配器连接的所述预定磁盘装置所属的所述RAID组设定的所述加密状态为不加密全部所述数据时，将该加密适配器更换为所述适配器。
11. 一种在多个磁盘装置中存储数据的存储装置中的数据处理方法，其特征在于，所述存储装置具有多个适配器，其分别与构成至少一个RAID组的多个所述磁盘装置连接；以及管理部，其将所述多个》兹盘装置所提供的存储区域分割为多个逻辑存储区域来进行管理，并且管理多个所述RAID组，所述多个^f兹盘装置分别以所述磁盘装置为单位构成了所述RAID组，所述多个适配器中的至少一个，是可以将所述数据加密的加密适配器，该存储装置中的数据处理方法具有第一步骤当与属于所述RAID组的所述^兹盘装置连接的所述适配器全部是所述加密适配器时，所述管理部对该RAID组设定表示是否将所述数据加密的加密状态；以及第二步骤所述加密适配器，根据对成为所述数据的存储目的地的所述磁盘装置所属的所述RAID组设定的所述加密状态，将该数据加密并存储在该石兹盘装置中。
12. 根据权利要求11所述的存储装置中的数据处理方法，其特征在于，在所述第一步骤之后还具有第三步骤所述管理部，根据对所述RAID组设定的所述加密状态，显示与该RAID组对应的所述逻辑存储区域的所述加密状态。
13. 根据权利要求ll所述的存储装置中的数据处理方法，其特征在于，所述加密适配器具有非易失性存储器，在所述第二步骤之前还具有第四步骤所述加密适配器，将加密所述数据时所使用的数据加密密钥备份在所述非易失性存储器中。
14. 根据权利要求11所述的存储装置中的数据处理方法，其特征在于，所述存储装置连接了外部存储装置，在所述第二步骤之前还具有第五步骤所述管理部，将在所述加密适配器中加密所述数据时所〗吏用的数据加密密钥备份在所述外部存储装置中。
15. 根据权利要求ll所述的存储装置中的数据处理方法，其特征在于，在所述第一步骤之后还具有第六步骤所述管理部，在将多个所述逻辑存储区域结合时，当对与该多个逻辑存储区域对应的所述RAID组设定的所述加密状态为全部相同时，将该多个所述逻辑存储区域结合。
全文摘要
本发明提供存储装置以及存储装置中的数据处理方法，其可以防止由于磁盘装置的被盗或带出所导致的数据泄漏。存储装置具有分别与构成至少一个RAID组的HDD(50)连接的多个磁盘适配器(40)；将多个HDD(50)提供的存储区域分割为多个逻辑存储区域来进行管理，并且管理多个RAID组的SVP(22)，当与属于RAID组的HDD(50)连接的磁盘适配器(40)全是加密适配器时，SVP对RAID组设定表示是否将数据加密的加密状态，加密适配器根据对RAID组设定的加密状态将数据加密，然后存储在HDD中。
文档编号G06F21/04GK101639886SQ200910002818
公开日2010年2月3日 申请日期2009年1月24日 优先权日2008年7月29日
发明者八木修一, 西原伸, 长副康之 申请人:株式会社日立制作所