[发明专利]处理装置、处理方法以及处理程序

说明书

技术领域

本申请涉及在预先设定的时刻执行与处理对象信息有关的规定处理的处理装置、处理方法以及处理程序。

背景技术

以往，有通过利用iSCSI（internet Small Computer System Interface）的远程框体间的复制，来进行位于外地的RAID（Redundant Arrays of Inexpensive Disks）装置之间的同步的技术。另外，在这样的iSCSI远程框体间复制中，各远程框体为了确保安全性，利用基于IPSec（Security architecture for Internet Protocol）的密钥的共享/同步。

IPsec是用于在IP级别中进行加密的标准规格，其目的为通过对IP的数据包进行加密在装置间进行收发来确保安全。

IPsec中，IP数据包的加密使用共享密钥加密方式。共享密钥加密方式是在发送侧以及接收侧的装置中使用相同的密钥来进行加密通信的方式，发送侧以及接收侧的各个装置（例如，远程框体），事先进行密钥共享来确立IPsec连接。

IPsec连接的确立通过在发送侧以及接收侧的装置中使用IKE（Internet Key Exchange）协议来进行。具体而言，在进行IPsec连接的装置间，IKE通过进行步骤1以及步骤2这两个步骤来确立IPsec连接。步骤1是通过确立ISAKMP（Internet Security Association and Key Management Protocol）SA（Security Association）来进行在步骤2中使用的加密方式的决定和密钥的生成的步骤。另外，步骤2是通过确立IPsec  SA来进行在IPsec中使用的加密方式和密钥等的决定的步骤。

若完成这两个步骤，则能够在装置间进行使用IPsec的加密通信。

此外，例如如使用RAID装置作为发送侧以及接收侧的各装置来进行iSCSI远程框体间复制的情况，根据RAID装置的不同，有时会对实现各RAID装置所具备的IPsec功能的模块设定密钥。具体而言，各RAID装置各自在自身中利用相同的逻辑（例如，以日期信息为参数来生成密钥的函数等）来创建密钥，就能够与上述IKE无关地共享密钥。

这里，进行使用IPsec的加密通信的各装置为了提高安全性，进行对密钥设置规定的有效期间，使经过了有效期间的密钥无效化来切换为新密钥的处理。

例如，各装置判断各装置所具备的时钟的时刻（当前时刻）是否为应进行与密钥信息的切换有关的规定处理（例如，密钥的生成以及设定、密钥的有效化／无效化的切换等）的时间（例如，0时段，8时段，16时段等）。而且，若为应进行规定处理的时间，则各装置通过执行该处理来进行密钥的切换。

另外，在以往已知当到达预先设定的密钥更换时间时就实施交换的生成/更新的技术（例如，专利文献1、2）。

专利文献1:日本特开2005－136870号公报

专利文献2:日本特开2004－166153号公报

如上述，进行使用了IPsec的加密通信的各装置基于各装置内所具备的时钟的时刻来进行交换的生成以及设定、交换的有效化／无效化的切换。一般来说，这样的时钟会产生一个月几分钟，几年几个小时程度的偏差，因此各框体要定期进行时刻的变更（调整）。

在此，通过时钟的时刻变更（调整），有时会发生跨过应进行与密钥信息有关的规定处理的时间的时刻变更。例如，变更前的时钟时刻在密钥信息的更新时间之前（过去），变更后的时钟时刻在密钥信息的更新时间之后（未来）的情况下，在进行了时刻变更的装置中，不进行应在由于时钟时刻变更而跨过（跳过）的时间进行的与密钥信息有关的规定处理。由此，发生进行了时刻变更的装置和通信对象装置之间的密钥信息不一致的问题。

以下，利用发送侧框体以及接收侧框体，对进行使用了上述IPsec的加密通信的装置中发送侧装置中发生了时刻变更的情况下的各装置的密钥更新顺序进行说明。

图7（a）以及（b）是表示发送侧框体的当前时刻和应进行规定处理的时刻之间的比较定时的图。

该图7（a）表示通常的运用、即没有发送侧框体的时钟的时刻变更的情况的例子。另外，图7（b）表示发生了发送侧框体的时钟的时刻变更的情况的例子。

图8是表示发送侧框体中发生了时刻变更的情况的发送侧框体以及接收侧框体的密钥的更新顺序的图。