JP2005284437A - ストレージ装置 - Google Patents

ストレージ装置 Download PDF

Info

Publication number
JP2005284437A
JP2005284437A JP2004094133A JP2004094133A JP2005284437A JP 2005284437 A JP2005284437 A JP 2005284437A JP 2004094133 A JP2004094133 A JP 2004094133A JP 2004094133 A JP2004094133 A JP 2004094133A JP 2005284437 A JP2005284437 A JP 2005284437A
Authority
JP
Japan
Prior art keywords
authentication
host device
iscsi
port
storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004094133A
Other languages
English (en)
Inventor
Yoshio Mitsuoka
芳夫 光岡
Hiroshi Kuwabara
宏 桑原
Shuichi Yagi
修一 八木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004094133A priority Critical patent/JP2005284437A/ja
Priority to US10/859,986 priority patent/US7367050B2/en
Publication of JP2005284437A publication Critical patent/JP2005284437A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】 ホスト装置とのインタフェースとしてiSCSIプロトコルをサポートするストレージ装置に関し、このiSCSIプロトコルに従うアクセス制御における認証機能の実現において、同一ポートの配下で接続されるホスト装置の認証有無を混在可能とする技術を提供する。
【解決手段】 複数のホスト装置に接続可能なストレージ装置において、ホスト装置からのアクセス情報をiSCSIポートで受け、アクセス情報からホスト装置を識別し、共有メモリに記憶している、iSCSIポート単位でホスト装置を特定するiSCSIネームとホスト装置の認証情報(認証要否、ユーザID/パスワード)とを関連付ける認証管理テーブル61を参照して、ホスト装置からのiSCSIポートに対する認証要否を判定し、判定の結果、認証要の場合は認証を行い、認証の結果に基づいて記憶装置に対するアクセス可否を制御する。
【選択図】 図3

Description

本発明は、ストレージ装置に関し、特に、ホスト装置とのインタフェースとしてiSCSIプロトコルをサポートするストレージ装置において、このiSCSIプロトコルに従うアクセス制御における認証機能の実現に適用して有効な技術に関する。
本発明者が検討したところによれば、従来のストレージ装置において、認証機能を実現するための技術に関しては、以下のような技術が考えられる。
たとえば、従来のストレージ装置における認証機能の実現技術としては、ホスト装置とのインタフェースにファイバチャネルを用い、そのファイバチャネル上で動作するSCSI(Small Computer System Interface)プロトコルを用いた環境において、ホスト装置を一意に識別するWWN(World Wide Name)であるポート毎の固有のN Port Nameと、このホスト装置からのアクセスを許可したストレージ装置内の論理ユニットとをユーザの運用方法に基づいて規定する管理テーブルを設け、ユーザがホスト装置からアクセスした際に、この管理テーブルに基づいて、ストレージ装置内の論理ユニットに対するアクセスの可否を制御することができるようにした技術がある(特許文献1参照)。
特開2003−30053号公報
ところで、前記のような従来のストレージ装置において、認証機能を実現するための技術に関しては、本発明者が検討した結果、以下のようなことが明らかとなった。
たとえば、従来のストレージ装置における認証機能の実現技術においては、前述の通り、ホスト装置とのインタフェースに用いたファイバチャネル上で動作するSCSIプロトコルを用いた環境に適用されるものであり、ホスト装置とのインタフェースとしてiSCSI(Internet SCSI)プロトコルを用いた環境に適用されるものではなく、さらにホスト装置を一意に識別する識別情報としてiSCSIネーム(詳細は後述)を用いた技術ではない。そこで、近年のiSCSIプロトコルをサポートするストレージ装置においては、このiSCSIプロトコルにおける認証機能の実現が望まれている。
すなわち、たとえばIP−SAN(Internet Protocol−Storage Area Network)では、iSCSIと呼ばれる通信プロトコルに基づく通信が可能であることが知られている。このiSCSIプロトコルに基づく通信技術では、どのようにして不正アクセスを防止し、セキュリティを向上させるかが重要な課題となっている。
しかし、iSCSIプロトコルに基づくアクセスを制御するための技術に、前述の特許文献1に記載のような、ファイバチャネルに基づくアクセス制御技術を単に転用することはできない。なぜなら、ストレージ装置がファイバチャネルを介して受けるアクセスは、必ず、同一通信ネットワークに接続されたホスト装置からのアクセスであり、iSCSIプロトコルに基づくアクセスのように、別の通信ネットワークに接続された不特定ノードからのアクセスであることは無いからである。具体的には、iSCSIプロトコルでは、たとえば、あるLAN(Local Area Network)に接続されたストレージ装置は、別のLANおよびそれが接続されたインターネットを介して不特定情報処理端末からアクセスを受ける場合があり得る。
このように、iSCSIプロトコルに基づく通信では、どのようにアクセス制御を行って高セキュリティを提供するかが重要であり、さらに、同一ポートの配下で接続されるホスト装置の認証有無が混在できるかも重要な課題の一つとなっている。
そこで、本発明の目的は、ホスト装置とのインタフェースとしてiSCSIプロトコルをサポートするストレージ装置に関し、このiSCSIプロトコルに従うアクセス制御における認証機能の実現において、同一ポートの配下で接続されるホスト装置の認証有無を混在可能とする技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、次のとおりである。
本発明は、複数のホスト装置に接続可能であり、ホスト装置から受信するライトデータおよび/またはホスト装置に送信されるリードデータを記憶する記憶装置と、ホスト装置からの記憶装置へのアクセスを制御する記憶制御部とを有するストレージ装置、およびストレージ装置の制御方法に適用され、以下のような特徴を有するものである。
すなわち、本発明のストレージ装置は、記憶制御部が、ホスト装置からのアクセスを受ける複数のiSCSIポートと、複数のiSCSIポートのポート単位で、iSCSIポートに接続されるホスト装置毎の認証情報を記憶する共有メモリとを備える。このような構成において、記憶制御部は、ホスト装置からのアクセス情報をiSCSIポートで受け、アクセス情報からホスト装置を識別し、共有メモリに記憶している認証情報を参照して、ホスト装置からのiSCSIポートに対する認証要否を判定し、判定の結果、認証要の場合は認証を行い、認証の結果に基づいて記憶装置に対するアクセス可否を制御する機能を備えるものである。特に、認証を、CHAP認証に適用するものである。
具体的に、本発明のストレージ装置においては、共有メモリが、複数のiSCSIポートのポート単位で、ホスト装置を特定するiSCSIネームと、ホスト装置の認証の使用/未使用およびユーザID/パスワードを含む認証情報とを関連付ける認証管理テーブルを有し、記憶制御部が、認証管理テーブルを参照して、ホスト装置からのiSCSIポートに対する認証の使用/未使用を判定する。さらに、共有メモリが、ホスト装置がアクセス可能な論理ユニットを定義した論理ユニット管理テーブルを有し、記憶制御部が、認証の結果に基づいて、論理ユニット管理テーブルを参照して、論理ユニットに対するアクセスをホスト装置に対して許可するものである。
また、本発明のストレージ装置においては、認証管理テーブルが、記憶制御部のiSCSIポートに接続されるホスト装置をグループ毎に分けるグルーピング情報を含み、記憶制御部が、グルーピング情報を含む認証管理テーブルを参照して、ホスト装置からのiSCSIポートに対する認証の使用/未使用をグループ毎に判定するものである。
さらに、本発明のストレージ装置においては、管理情報を登録するための管理端末を有し、管理端末が、記憶制御部の複数のiSCSIポートのポート単位で、iSCSIポートに接続されるホスト装置毎の認証情報を共有メモリに登録するものである。
具体的に、本発明のストレージ装置においては、管理端末が、複数のiSCSIポートのポート単位で、ホスト装置を特定するiSCSIネームと、ホスト装置の認証の使用/未使用およびユーザID/パスワードを含む認証情報とを関連付けて、共有メモリの認証管理テーブルに登録する。さらに、管理端末が、ホスト装置がアクセス可能な論理ユニットを定義して共有メモリの論理ユニット管理テーブルに登録するものである。
また、本発明のストレージ装置においては、管理端末が、認証管理テーブル、論理ユニット管理テーブルに登録した情報を表示可能とするものである。また、管理端末が、認証管理テーブル、論理ユニット管理テーブルに対して情報の追加/変更/削除を可能とするものである。
また、本発明のストレージ装置の制御方法においては、iSCSIポート単位で、ホスト装置を特定するiSCSIネームと、あらかじめ登録されたそのホスト装置の認証情報(認証要否、ユーザID/パスワード)とを関連付ける認証管理テーブルを参照し、認証の要否を判定し、必要に応じて認証を行い、認証の結果に基づき、必要に応じて、そのホスト装置がアクセス可能な論理ユニットを定義した論理ユニット管理テーブルを参照することで、論理ユニットへのアクセス可否を制御するものである。
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。
本発明によれば、ホスト装置とのインタフェースとしてiSCSIプロトコルをサポートするストレージ装置において、このiSCSIプロトコルに従うアクセス制御における認証機能を実現し、この際に、ホスト装置をiSCSIネームで識別し、ポート単位でホスト装置毎の認証情報を設定可能とすることで、同一ポートの配下で接続されるホスト装置の認証有無を混在可能とすることができる。また、この認証機能は、ホスト装置に対する論理ユニットアクセスのセキュリティ機能とは独立して同時に実現することが可能となる。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の機能を有する部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
<ストレージ装置を含むシステムの全体構成>
図1により、本発明の一実施の形態に係るストレージ装置を含むシステムの全体構成の一例を説明する。図1は本実施の形態に係るストレージ装置を含むシステムの全体構成を示す構成図である。
本実施の形態に係るストレージ装置を含むシステムでは、複数の通信ネットワークが互いに接続されて一つのネットワーク群が構成されている。複数の通信ネットワークには、ストレージ装置3が含まれた通信ネットワーク2と、その通信ネットワーク2と相対的に所定論理距離(以下、「ネットワーク相対論理距離」とも言う)を隔てて離れている通信ネットワーク4または6とが含まれている。具体的には、たとえば、複数の通信ネットワークには、ネットワーク相対論理距離がゼロまたは小程度の「小遠隔ネットワーク」2と、ネットワーク相対論理距離が中程度の「中遠隔ネットワーク」4と、ネットワーク相対論理距離が大程度の「大遠隔ネットワーク」6とが含まれている。
ここで、「ネットワーク相対論理距離がゼロまたは小程度」とは、たとえば、ストレージ装置3が存在する通信ネットワーク2それ自体であること、または、その通信ネットワーク2とそれの接続先ネットワークとの間に介在する物理的または論理的な介在デバイスの種類が後述の小遠隔ネット側スイッチ7と同種の中継器であること(あるいは、介在中継器の数が少ないこと(たとえば1個であること))を意味する。
また、「ネットワーク相対論理距離が中程度」とは、たとえば、小遠隔ネットワーク2とそれの接続先ネットワークとの間に所定種類の上記介在デバイス(たとえばゲートウェイ)があること(あるいは、介在中継器の数が中程度であること))を意味する。
また、「ネットワーク相対論理距離が大程度」とは、たとえば、小遠隔ネットワーク2とそれの接続先ネットワークとの間に上記所定種類の上記介在デバイス(たとえばゲートウェイ)に代えてまたは加えて、別の所定種類の上記介在デバイス(たとえばファイアウォール)があること(あるいは、介在中継器の数が多いこと))を意味する。
小遠隔ネットワーク2は、小遠隔ネット側スイッチ7等のネットワーク構築用機器(たとえばハブ)に1または複数のノード機器が接続されることによって構築されたものである。小遠隔ネット側スイッチ7には、たとえば、1または複数のホスト装置(以下、「小遠隔ネット接続ホスト」とも言う)5と、このホスト装置5または後述するホスト装置15または31からアクセスを受けるストレージ装置3とが接続される。
小遠隔ネット接続ホスト5は、パーソナルコンピュータ、PDA(Personal Digital Assistants)等のコンピュータマシンである。小遠隔ネット接続ホスト5は、iSCSIプロトコルに基づく通信を行うためのiSCSIポート21を備えている。このiSCSIポート21が小遠隔ネット側スイッチ7に接続されることにより、小遠隔ネット接続ホスト5がiSCSIプロトコルに基づく通信を行うことが可能になる。iSCSIポート21には、メモリ等の記憶媒体(以下、「ポートメモリ」とも言う)が備えられており、そのポートメモリに、小遠隔ネット接続ホスト5に割り当てられたIPアドレスと、固有のiSCSIネームとが格納されている。
ストレージ装置3は、複数の物理ディスク群(たとえばハードディスク群)を含んだ記憶装置23と、ホスト装置5,15または31からの記憶装置23へのアクセスを制御する記憶制御部25とを備える。記憶制御部25は、ホスト装置5,15または31との間の通信を制御する複数のチャネルアダプタセット37を備える。チャネルアダプタセット37に含まれる各チャネルアダプタには、iSCSIポート38が搭載されている。このiSCSI38が小遠隔ネット側スイッチ7に接続されることにより、ストレージ装置3がiSCSIプロトコルに基づく通信を行うことが可能になる。
中遠隔ネットワーク4は、中遠隔ネット側スイッチ9等のネットワーク構築用機器(たとえばハブ)に1または複数のノード機器が接続されることによって構築されたものである。中遠隔ネット側スイッチ9には、1または複数のホスト装置(以下、「中遠隔ネット接続ホスト」とも言う)15が接続される。
中遠隔ネット接続ホスト15は、小遠隔ネット接続ホスト5と同様に、パーソナルコンピュータ、PDA等のコンピュータマシンである。中遠隔ネット接続ホスト15も、iSCSIポート13を備えており、このiSCSIポート13が中遠隔ネット側スイッチ9に接続されることにより、このホスト装置15がiSCSIプロトコルに基づく通信を行うことが可能になる。iSCSIポート13には、ポートメモリが備えられており、そのポートメモリに、中遠隔ネット接続ホスト15に割り当てられたIPアドレスと、固有のiSCSIネームとが格納されている。
大遠隔ネットワーク6は、インターネット1に1または複数のノード機器が通信可能に接続されることによって構築されたものである。1または複数のノード機器は、たとえば、ホスト装置(以下、「大遠隔ネット接続ホスト」とも言う)31である。
大遠隔ネット接続ホスト31は、小遠隔ネット接続ホスト5と同様に、パーソナルコンピュータ、PDA等のコンピュータマシンである。大遠隔ネット接続ホスト31も、iSCSIポート33を備えており、このiSCSIポート33がインターネットに接続されることにより、このホスト装置31がiSCSIプロトコルに基づく通信を行うことが可能になる。iSCSIポート33には、ポートメモリが備えられており、そのポートメモリに、大遠隔ネット接続ホスト33に割り当てられたIPアドレスと、固有のiSCSIネームとが格納されている。
以上の小遠隔ネットワーク2の小遠隔ネット側スイッチ7と、中遠隔ネットワーク4の中遠隔ネット側スイッチ9とが、ゲートウェイ30(たとえば、iSCSIプロコルに基づくコマンドとFCプロトコルに基づくコマンドとを互いに変換する等の所定プロトコル変換機)を介して接続されている。また、ゲートウェイ30は、ファイアウォール29を介してインターネット1に接続されている。これにより、小遠隔ネットワーク2が、中遠隔ネットワーク4および大遠隔ネットワーク6の双方と接続されている。この環境の下で、ストレージ装置3は、どのホスト装置5,15または31とも通信可能になっている。
<ストレージ装置のハードウェア構成>
図2により、本発明の一実施の形態に係るストレージ装置のハードウェア構成の一例を説明する。図2は本実施の形態に係るストレージ装置のハードウェア構成を示すブロック図である。
ストレージ装置3は、たとえばRAID(Redundant Array of Independant Inexpensive Disks)システムであり、記憶装置23として、アレイ状に配設された複数のディスク型記憶装置を有する1以上の物理ディスク群39を備える。それら物理ディスク群39により提供される物理的な記憶領域上には、論理的な記憶領域である1または複数の論理デバイス(以下、「Logical Device」を略して「LDEV」と表記)35が設定される。各LDEV35には、そのLDEVの識別情報(以下、「LDEV#」と表記)が割り当てられており、かつ、各LDEV#には、ホスト装置5,15または31が指定可能な論理ユニット番号(以下、「Logical Unit Number」を略して「LUN」と表記)が対応付けられている。
また、ストレージ装置3は、1または複数のチャネルアダプタセット37と、キャッシュメモリ43と、共有メモリ47と、1または複数のディスクアダプタセット41と、スイッチング制御部45とを備えている。
各チャネルアダプタセット37には、複数(典型的には2つ)のチャネルアダプタ37A,37Bが含まれており、それらアダプタ37A,37Bは、実質的に同一の構成になっている。これにより、たとえば、一方のチャネルアダプタ37Aを介してホスト装置5,15または31が所定LDEVにアクセスできなくなった場合には、他方のチャネルアダプタ37Bを介して同一の所定LDEVにアクセスすることが行われる(これは、ディスクアダプタセット41についても実質的に同様である)。チャネルアダプタ37A,37Bも実質的に同一の構成なので、チャネルアダプタ37Aについて代表的に説明する。
チャネルアダプタ37Aは、1または複数(たとえば2つ)のiSCSIポート38,38を備え、iSCSIポート38を介して1または複数のホスト装置5,15または31と通信可能に接続される。チャネルアダプタ37Aは、ハードウェア回路、ソフトウェア、またはそれらの組み合わせで構成することができ、このストレージ装置3とホスト装置5,15または31との間のデータ通信を行う。iSCSIポート38には、インターフェース120、バッファ121、ローカルメモリ123およびプロトコル処理部122が備えられる。インターフェース120は、小遠隔ネット側スイッチ7と物理的に接続されるケーブル口を有したものである。バッファ121は、ホスト装置5,15または31とストレージ装置3との間で送受信されるデータが一時的に格納されるメモリである。ローカルメモリ123は、たとえば不揮発性メモリであり、IPアドレスと、iSCSIネームと、このiSCSIポート38がアクセス可能なアクセス可能LUNとを記憶する。プロトコル処理部122は、所定内部バス(たとえばPCIバス)を介してチャネルプロセッサ40,40と通信可能に接続されており、バッファ121およびローカルメモリ123内の情報に基づいて、後述するTCP/IP、iSCSIおよびSCSIプロトコルに従うプロトコル処理を実行する。なお、TCP/IP、iSCSIおよびSCSIプロトコルに従うプロトコル処理を実行する機能は、プロトコル処理部122に代えてチャネルプロセッサ40が備えても良い。
また、チャネルアダプタ37Aには、各iSCSIポート38に通信可能に接続される1以上のマイクロプロセッサ(以下、「チャネルプロセッサ」とも言う)40も搭載される。さらに、チャネルアダプタ37Aには、共有メモリ47と通信可能に接続されるマイクロプロセッサアダプタ(以下、「MPA」と略記)42と、キャッシュメモリ43と通信可能に接続されるデータ転送アダプタ(以下、「DTA」と略記)44とが搭載される。チャネルプロセッサ40が外部プロセッサ(具体的には、ディスクアダプタ41A,41B上の図示しないマイクロプロセッサ)との間で制御情報(たとえばプロセッサ間メッセージ)を送受信する場合には、MPA42を介して制御情報が送受信される。また、ホスト装置5,15または31からLDEV35にライトデータが書き込まれる場合、および、LDEV35から読み出されたリードデータがストレージ装置3からホスト装置5,15または31に出力される場合には、ライトデータおよびリードデータはDTA44を通過する。
各チャネルプロセッサ40は、たとえば、共有メモリ47の制御情報格納領域50をポーリングし、MPA42を介して制御情報を取得したり、キャッシュメモリ43に格納されているリードデータを読み出してホスト装置5,15または31に送信したり、ホスト装置5,15または31から受信した書き込み対象のデータ(つまりライトデータ)をキャッシュメモリ43に格納したりする。さらに、後述する認証方式決定や認証実行などの処理も実行する。
キャッシュメモリ43は、揮発性または不揮発性のメモリである。キャッシュメモリ43には、チャネルアダプタ37A,37Bからディスクアダプタセット41のディスクアダプタ41A,41Bへ渡されるライトデータ、および、ディスクアダプタ41A,41Bからチャネルアダプタ37A,37Bへ渡されるリードデータが一時的に格納される。
共有メモリ47は、不揮発性のメモリであり、たとえば、制御情報格納領域50と、データテーブル群51とを備える。制御情報格納領域50には、上述した制御情報が格納される。データテーブル群51には、後述する認証管理テーブルなどが格納される。
各ディスクアダプタセット41は、各物理ディスク群39毎に備えられている。ディスクアダプタ41A,41Bは、図示しない1または複数のマイクロプロセッサを備えており、そのマイクロプロセッサの処理により、ホスト装置5,15または31から指定されたLUNに対応のLDEV#を有するLDEV35に対してデータの読み出しまたは書き込みを行う。
スイッチング制御部45は、たとえば、高速スイッチング動作によりデータ伝送を行う超高速クロスバスイッチ等のような高速バスとして構成することができる。スイッチング制御部45は、各チャネルアダプタ37A,37Bと、各ディスクアダプタ41A,41Bと、共有メモリ47と、キャッシュメモリ43とを相互に通信可能に接続する。上述した各チャネルアダプタ37A,37Bと、各ディスクアダプタ41A,41Bと、共有メモリ47と、キャッシュメモリ43との間のデータまたはコマンドの授受は、スイッチング制御部45を介して行われる。
以上が、本実施の形態に係るストレージ装置3の概要である。このストレージ装置3は、ホスト装置5,15または31から入出力要求を受け、その入出力要求の内容に基づく処理を実行する。
<ストレージ装置の入出力(I/O)動作>
以下、ストレージ装置3におけるI/O要求の処理流れの概要を、ホスト装置5がI/O要求を発行した場合を例に採り説明する。他のホスト装置15または31においても実質的に同様である。なお、その説明では、発行されたI/O要求がリード要求を示す場合とライト要求を示す場合とに分けて説明する。
(1)I/O要求がリード要求を示す場合
ホスト装置5から発行されたI/O要求は、iSCSIポート38のバッファ121に格納される。チャネルプロセッサ40は、その格納されたI/O要求を読み出し、そのI/O要求においてリード要求されているデータ(つまりリードデータ)がキャッシュメモリ43に存在するか否かの判別を行う。
その判別の結果が肯定的な場合、すなわち、リードデータがキャッシュメモリ43に存在する場合(キャッシュヒットした場合)、チャネルプロセッサ40は、キャッシュメモリ43からDTA44を介してリードデータを取得し、そのリードデータを、iSCSIポート38を介してホスト装置5に送信する。
一方、上記判別の結果が否定的な場合、すなわち、リードデータがキャッシュメモリ43に存在しない場合(キャッシュミスした場合)、チャネルプロセッサ40は、所定LDEV35内のリードデータをいったんキャッシュメモリ43にリードすることをディスクアダプタ43Aのマイクロプロセッサ(以下、「ディスクプロセッサ」とも言う)に指示するための制御情報をMPA42を介して共有メモリ47に格納する。ディスクプロセッサがその制御情報を読み出すことにより、ディスクプロセッサによって、所定LDEV35からリードデータがリードされてキャッシュメモリ43に格納される。その後、チャネルプロセッサ40は、そのリードデータをキャッシュメモリ43から取得してホスト装置5に送信する。
(2)I/O要求がライト要求を示す場合
ホスト装置5から出力された、ライトデータを含んだI/O要求は、iSCSIポート38のバッファ121に格納される。チャネルプロセッサ40は、その格納されたI/O要求を読み出し、キャッシュメモリ43上の所定領域(以下、所定キャッシュスロット)にデータが存在するか否かの判別を行う。
その判別の結果が肯定的な場合、すなわち、データが所定のキャッシュスロットに存在する場合(キャッシュヒットした場合)、チャネルプロセッサ40は、上記読み出したI/O要求に含まれているライトデータを、上記所定のキャッシュスロット内のデータに上書きする。
一方、上記判別の結果が否定的な場合、すなわち、データが所定のキャッシュスロットに存在しない場合(キャッシュミスした場合)、チャネルプロセッサ40は、上記読み出したI/O要求から特定されるLDEVからデータをいったんキャッシュメモリ43にリードすることをドライブ制御部107に指示する。それにより、ディスクアダプタ107によって、そのデータ記憶領域からデータがリードされて所定のキャッシュスロットに格納されたならば、チャネルプロセッサ40は、上記所定のキャッシュスロットに格納されたデータに、上記読み出したI/O要求に含まれているライトデータを上書きする。
このようにして、キャッシュメモリ43にライトデータが書き込まれたときは、当該ライト要求は終了したものとして、ストレージ装置30からホスト装置5に終了報告が返される。なお、キャッシュメモリ43にライトデータが書き込まれた時点では、一般に、そのデータは所定LDEV35には反映されておらず、その後に、ディスクプロセッサによって、キャッシュメモリ43からライトデータが読み出され、所定LDEVに書き込まれる。
以上が、ストレージ装置3におけるデータのリードおよびライトの処理流れの概要である。このようなストレージ装置3におけるデータのリードおよびライトの処理は、ホスト装置5,15または31からのI/O要求が発行された場合に実行される。この際に、本実施の形態では、ホスト装置5,15または31からのアクセス情報をiSCSIポートで受け、このiSCSIポートに対する認証の要否を判定してLDEV、LUNに対するアクセスを制御することが特徴となっており、以下において詳細に説明する。
<iSCSIポートの認証方法>
本実施の形態に係るストレージ装置3は、前述したハードウェア構成において、記憶制御部25の複数のiSCSIポートがホスト装置5,15または31からのアクセスを受け、共有メモリ47が複数のiSCSIポートのポート単位で、iSCSIポートに接続されるホスト装置毎の認証情報を記憶するように構成され、特に、記憶制御部25は、ホスト装置からのアクセス情報をiSCSIポートで受け、アクセス情報からホスト装置を識別し、共有メモリ47に記憶している認証情報を参照して、ホスト装置からのiSCSIポートに対する認証要否を判定し、判定の結果、認証要の場合は認証を行い、認証の結果に基づいて記憶装置23に対するアクセス可否を制御する機能を備えて、iSCSIポート単位で、ホスト装置毎に認証の要否を決定できる。なお、ここで言うiSCSIポートとは、前述したハードウェア構成におけるiSCSIポート38より狭い機能を指し、具体的にはストレージ装置3の記憶制御部25がホスト装置と接続されるインターフェースのケーブル口を意味する。
すなわち、記憶制御部25内のたとえばチャネルプロセッサ40が、iSCSIポート単位で、ホスト装置を特定するiSCSIネームと、あらかじめ登録されたそのホスト装置の認証情報(認証要否、ユーザID(以下、「ユーザネーム」、「ユーザ名」とも言う)/パスワード)とを関連付ける共有メモリ47内の認証管理テーブルを参照し、認証の要否を判定し、必要に応じて認証を行い、認証の結果に基づき、必要に応じて、そのホスト装置がアクセス可能なLUNを定義した共有メモリ47内の論理ユニット管理テーブルを参照することで、LUNへのアクセス可否を制御する。これにより、同一ポートで、ホスト装置毎の認証有無を混在可能とし、同時にLUNへのアクセスセキュリティを実現できるようにする。
<認証管理テーブル>
図3により、共有メモリ内の認証管理テーブルの構成の一例を説明する。図3は認証管理テーブルの構成を示す図である。なお、図3においては、iSCSIネームと認証情報との対応関係を明確にするために上下にテーブルを分割しているが、実際は1つのテーブルとなっている。
認証管理テーブル61は、iSCSIポートのポート単位で、ホスト装置毎の認証情報を管理するテーブルである。この認証管理テーブル61は、共有メモリ47に格納されるデータテーブル群51の一つであり、この他に、内部リソース管理テーブル、論理ユニット管理テーブルなどもデータテーブル群51に設けられている。
この認証管理テーブル61は、iSCSI Nameをキーにする。認証の種別はCHAP(詳細は後述)を実装する他、別の種別を実装することが可能である。CHAPを実装する場合には認証情報として、ユーザIDとパスワードが必要となり、また別の種別を実装する場合には認証情報がその方式に必要な情報となる。いずれの認証種別を実装するかは、各iSCSIポートに接続されるホスト装置に対するセキュリティの程度で選択することが可能であり、たとえばセキュリティを高くしたい上位装置に対してはCHAP認証などを選択し、それ以外の上位装置に対しては通常認証などを選択して登録する。
すなわち、認証管理テーブル61には、iSCSIポートのポート番号(この例では32個の場合でMP#0〜MP#31)と、この各ポート番号に割り当てられているホスト装置の識別番号(この例では128個の場合でList#0〜List#127)およびネットワークセキュリティ有効時に認証対象とするホスト装置のiSCSIネーム(iSCSI Name:256byte)が登録される。
また、各ポート番号(MP#0〜MP#31)に関連付けられて、ネットワークセキュリティの有効/無効の設定情報(Network Security ON/OFF)、ストレージ装置側であるターゲットのユーザネーム(Terget用 User Name)、ターゲットのシークレット値であるパスワード(Terget用 Secret)が登録され、さらに各ポート番号に割り当てられているホスト装置の識別番号(List#0〜List#127)に関連付けられて、認証方法の使用/未使用の指定情報(Auth ON/OFF)、この認証方法で選択される認証の種別情報(使用セキュリティ)、ホスト装置側であるイニシエータのユーザネーム(Initiator用 User Name)、イニシエータのシークレット値であるパスワード(Initiator用 Secret)が登録される。
さらに、この認証管理テーブル61には、前述のような各ポートに割り当てられているホスト装置の情報とともに、iSCSIポート単位で、各iSCSIポートに接続されるホスト装置をグループ毎に分けるグルーピング情報(Gr)が登録される。
なお、この認証管理テーブル61には、ホスト装置が接続される物理的なiSCSIポートの他に、ストレージ装置3内のネットワークスイッチ機器などの仮想的な論理ポートを登録することも可能であり、この場合にも、iSCSIポートと同様に、論理ポートのポート単位で、ホスト装置毎の認証情報が登録される。
<CHAP認証機能>
図4および図5により、CHAP認証機能の一例を説明する。それぞれ、図4はCHAP認証機能の概要を示す図、図5はCHAP認証機能の使用時のシーケンスを示す図、である。
CHAP認証機能とは、iSCSI login上で、Challenge Handshake Authentication Protocol(CHAP)を実現するための機能である。このCHAP認証は、iSCSIプロトコルではiSCSIのイニシエータ(ホスト装置)とターゲット(ストレージ装置3のiSCSIポート)との間でのiSCSIログイン処理の中で実施される。
このCHAP認証の概要は、図4に示すように、ステップS1で、ターゲットは、イニシエータに対して、チャレンジコード(暗号鍵)を送信する。この例では、チャレンジコード:ABCDEFである。そして、ステップS2で、イニシエータは、チャレンジコードとパスワードを暗号化アルゴリズム(この例ではMD5:詳細は後述)にかけて、暗号化されたレスポンスコードを算出する。さらに、ステップS3で、この算出したレスポンスコードと、ユーザIDをターゲットに送信する。この例では、UserID:host1、レスポンスコード:RK&=@%*!である。
一方、ステップS4で、ターゲットは、ユーザIDから算出したパスワードとチャレンジコードを暗号化アルゴリズム(MD5)にかけて、レスポンスコードを算出する。この例では、レスポンスコード:RK&=@%*!である。そして、ステップS5で、イニシエータから送信されたレスポンスコードと、算出したレスポンスコードとを比較し、一致した場合は認証成功とし、不一致の場合は認証失敗となる。
そして、ステップS6で、ターゲットは、イニシエータに対して、認証結果を送信する。この例では、イニシエータから送信されたレスポンスコードと、算出したレスポンスコードとが一致して認証成功となったため、認証結果:Succesとなる。
このCHAP認証の使用時のシーケンスは、図5に示すように、イニシエータ(Initiator)とターゲット(Target)との間で、セキュリティネゴシエーション・ステージにおいて、CHAP認証シーケンスチェック機能により実行され、認証方式決定ステップと、認証実行ステップからなる。
(1)認証方式決定ステップで、イニシエータは、ターゲットに、Login Command、AuthMethod=CHAPを送信し、これに対して、ターゲットは、イニシエータに、Login Response、AuthMethod=CHAPを送信して、認証方式をCHAPに決定する。これは、セキュリティ認証判定機能により実行される。
(2)認証実行ステップで、イニシエータは、ターゲットに、Login Command、CHAP_A=<A1,A2>を送信して、CHAP認証で使用するハッシュアルゴリズムを決定する。これは、パラメータチェック機能により実行される。これに対して、ターゲットは、イニシエータに、Login Response、CHAP_A=<A1>、CHAP_1=<1>、CHAP_C=<C>を応答して、乱数を送付する。これは、送信パラメータ設定機能により実行される。
(3)認証実行ステップで、イニシエータは、ターゲットに、Login Command、CHAP_N=<N>、CHAP_R=<R>を送信して、受け取った乱数、ユーザネーム、パスワードからレスポンスを算出し、送付する。これに対して、ターゲットは、レスポンスを元に認証を行う。これは、暗号化機能により実行される。
(4)双方向認証使用時には、さらに以下のシーケンスが実行される。すなわち、双方向認証使用時のみ行われるシーケンスとして、認証実行ステップで、イニシエータは、ターゲットに、Login Command、CHAP_1=<1>、CHAP_C=<C>を送信して、乱数を送付する。これは、送信パラメータ設定機能により実行される。
これに対して、ターゲットは、イニシエータに、Login Response、CHAP_N=<N>、CHAP_R=<R>を応答して、受け取った乱数、ユーザネーム、パスワードからレスポンスを算出する。これは、暗号化機能により実行される。さらに、ターゲットは、イニシエータに、算出した暗号を送付する。これは、送信パラメータ設定機能により実行される。そして、イニシエータは、レスポンスを元に認証を行う。
<セキュリティ認証判定条件>
図6により、セキュリティ認証判定機能によるセキュリティ認証判定条件の一例を説明する。図6はセキュリティ認証判定条件を示す図である。
セキュリティ認証判定条件には、項番1〜項番16の例があり、各項番の条件は図6の通りであり、以下において代表的な例を説明する。このセキュリティ認証判定機能によるセキュリティ認証判定は、前述した認証管理テーブル61に登録されたストレージ装置3のRAID設定情報を参照して行われる。
項番1は、ストレージ装置3のRAID設定において、Network Security ON/OFFがON、当該ホスト装置の登録有無が有、CHAP/NoneがCHAPの場合に、ホスト装置との間のHOST通知パラメータは、開始StageがSeculity、AuthMethod有無が有、CHAP有無が有となる。この場合には、実施アクションがCHAP認証の実施となる。
項番2は、RAID設定において、Network Security ON/OFFがON、当該ホスト装置の登録有無が有、CHAP/NoneがCHAPの場合に、HOST通知パラメータは、開始StageがSeculity、AuthMethod有無が無、CHAP有無が無となる。この場合には、実施アクションがAuthentication failureの応答となる。項番3,4,5も、実施アクションがAuthentication failure応答となる場合の条件である。
項番6は、RAID設定において、Network Security ON/OFFがON、当該ホスト装置の登録有無が有、CHAP/NoneがNoneの場合に、HOST通知パラメータは、開始StageがSeculity、AuthMethod有無が有、CHAP有無が無となる。この場合には、実施アクションが通常認証の実施となる。項番7,8も、実施アクションが通常認証実施となる場合の条件である。
項番9は、RAID設定において、Network Security ON/OFFがON、当該ホスト装置の登録有無が無、CHAP/Noneが不定(−)の場合に、HOST通知パラメータは、開始StageがSeculity、AuthMethod有無が有、CHAP有無が有となる。この場合には、実施アクションがAuthentication failureの応答となる。項番10,11,12も、実施アクションがAuthentication failure応答となる場合の条件である。
項番13は、RAID設定において、Network Security ON/OFFがOFF、当該ホスト装置の登録有無が不定(−)、CHAP/Noneが不定(−)の場合に、HOST通知パラメータは、開始StageがSeculity、AuthMethod有無が有、CHAP有無が有となる。この場合には、実施アクションが通常認証の実施となる。項番14,15,16も、実施アクションが通常認証実施となる場合の条件である。
また、ストレージ装置3のRAID設定(認証管理テーブル61)において、iSCSIポートに接続されるホスト装置をグループ毎に分けるグルーピング情報(Gr)が登録されている場合には、このグルーピング情報を参照して、ホスト装置からのiSCSIポートに対する認証要否がグループ毎に判定され、各グループ毎にホスト装置に対するCHAP認証の実施、あるいは通常認証の実施が可能となっている。
<暗号化機能>
図7および図8により、暗号化機能による認証パラメータ算出シーケンスの一例を説明する。それぞれ、図7は認証パラメータ算出シーケンスを示す図、図8はMD5アルゴリズムの処理手順を示す図、である。
暗号化機能は、MD5アルゴリズムを利用して、データを暗号化する機能である。この暗号化機能における認証パラメータ算出シーケンスは、図7に示すように、ステップS11で、ターゲットは、イニシエータに対して、CHAP_C(Challenge値)を送信する。そして、ステップS12,S13で、イニシエータは、CHAP_C(Challenge値)とパスワードをMD5アルゴリズムにかけて、CHAP_R(Response)を算出する。一方、ステップS14,S15で、ターゲットは、CHAP_C(Challenge値)とパスワードをMD5アルゴリズムにかけて、暗号化データを算出する。そして、ステップS16で、算出された、CHAP_R(Response)と暗号化データとを比較する。この比較の結果、一致した場合は認証成功となり、不一致の場合は認証失敗となる。
このMD5アルゴリズムとは、任意の長さのメッセージを受け取り、128ビットメッセージダイジェストを出力するアルゴリズムである。計算方法は、図8に示すように、大きく分けて5つのステップで構成されている。
ステップS21では、メッセージのパディングとして、データの長さを、512の倍数のビット長に対して64ビット少ない長さにする。ステップS22では、メッセージにメッセージ長ビット付加として、データのビット長を64ビットで表記し、付加して512の倍数のビット長にする。ステップS23では、暗号化初期値設定として、4つの初期値(A,B,C,D)をリトルエンディアンで設定する。ステップS24では、暗号化として、16ワードずつ暗号化して4つの値(A,B,C,D)を求める。ステップS25では、暗号結果出力として、暗号化した4つの値からメッセージダイジェストを求める。
<セキュリティ認証判定処理>
図9により、セキュリティ認証判定機能によるセキュリティ認証判定処理の一例を説明する。図9はセキュリティ認証判定処理の手順を示す図である。
セキュリティ認証判定処理では、セキュリティ認証の実施有無の判定を行う。このセキュリティ認証判定処理は、図9に示すように、ステップS31で、Network SecurityがONか否かを判定し、ONの場合(Y)は次のステップS32に移行する。このステップS32では、Network Security Listの登録が有るか否かを判定し、登録がある場合(Y)は次のステップS33に移行する。
ステップS33で、CHAPが有効か否かを判定し、有効である場合(Y)は次のステップS34に移行する。このステップS34では、StageがSeculity Stageであるか否かを判定し、Seculity Stageである場合(Y)は次のステップS35に移行する。
ステップS35で、AuthMethodが有るか否かを判定し、AuthMethodがある場合(Y)は次のステップS36に移行する。このステップS36では、CHAPが有るか否かを判定し、CHAPがある場合(Y)は次のステップS37に進んでCHAP認証中設定(Session管理テーブル)を行い、その後、ステップS38で、リターンコード正常設定を実行する。
また、ステップS31でNetwork SecurityがONでない場合(N)、ステップS33でCHAPが有効でない場合(N)はそれぞれ、ステップS39に進んでリターンコード正常設定を実行する。
また、ステップS32でNetwork Security Listの登録がない場合(N)は、ステップS40に進んでエラーレスポンス送信設定(0202:Authentication failure)を行い、その後、ステップS41でリターンコード異常設定を実行する。
また、ステップS34でStageがSeculity Stageでない場合(N)、ステップS35でAuthMethodがない場合(N)、ステップS36でCHAPがない場合(N)はそれぞれ、ステップS42に進んでエラーレスポンス送信設定(0201:Authentication failure)を行い、その後、ステップS43でリターンコード異常設定を実行する。
<ユーザ認証情報表示/設定画面>
図10〜図12により、ユーザ認証情報表示/設定画面の一例を説明する。それぞれ、図10はユーザ認証情報の表示画面を示す図、図11はユーザ認証情報の登録画面を示す図、図12はユーザ認証情報の変更画面を示す図、である。
ユーザ認証におけるCHAP認証では、ホスト装置(イニシエータ)に対応したユーザ名とパスワードを含むユーザ情報を予めストレージ装置(ターゲット)側に登録しておく必要がある。この設定を、管理者またはユーザがログイン前に、前述した図2に示した共有メモリ47に接続されるサービスプロセッサ(SVP)48などの管理端末の画面(GUI)から行う。あるいは、管理クライアントが、管理インタフェースを介して情報端末(Webコンソール、RMI、SNMPなど)から行うことも可能である。さらに、このユーザ情報は、ホスト装置にも設定する。このユーザ情報の設定は、ポート単位にネットワークセキュリティ(図3のNetwork Security ON/OFF)のスイッチを設け、ネットワークセキュリティがONの時に設定可能とする。
たとえば一例として、ユーザ名/パスワード/iSCSIネームの設定においては、設定単位として、ユーザ名/パスワード/iSCSIネームを1組とし、ポート単位で設定、参照を可能とする。設定可能数は、1ポート当たり128組まで設定可能である。重複設定は、iSCSIネームが異なっていれば、ユーザ名/パスワードの重複設定は可能であるが、同一ポート内でのiSCSIネームの重複設定は不可とする。設定時の暗号化は、ユーザ情報を設定する際はクライアント側にて暗号化して送信し、管理端末側にて復号化し、この復号化した情報を共有メモリ47の認証管理テーブル61に設定する。
また、ネットワークセキュリティのスイッチとCHAP認証設定の関係については、ネットワークセキュリティのスイッチがONの場合、認証種別がCHAPのときはCHAP認証を行い、DisableのときはCHAP認証を行わない。この場合は、ユーザ情報が登録されていないホスト装置からの接続を拒絶する。ネットワークセキュリティのスイッチがOFFの場合、認証種別がCHAPのとき、Disableのときは共にセキュリティチェックを行わない。この場合は、ユーザ情報が登録されていないホスト装置からの接続を許可する。
ユーザ認証情報の表示画面71は、図10に示すように、ストレージ管理ユーティリティの中にユーザ認証(User Authentication)画面72を設ける。この画面72において、ポート領域(Port)73にポートをツリー表示させる。この画面例では、iSCSI→CL1−EがONで、CL1−FがOFFに設定されており、またiSCSIの他に、Fibre、NASなどのポートについても同様にUser Authenticationの情報が表示設定可能となっている。
さらに、ポートツリーでポートを選択すると、当該ポートに登録されているユーザ情報を右側のユーザインフォメーション領域(User Information)74に表示する。この画面例では、iSCSI→CL1−E(ON)をクリックすると、User Informationとして、iSCSI Name、Protocol(認証種別)、User(ユーザ名)、Authentication(認証要否)を始め、図示しない他の情報を含めたユーザ認証情報が表示される。また、ストレージ装置3であるサブシステム側領域(Subsystem Side)75に、iSCSI Name、User、Protocol、Authenticationを始めとしたユーザ認証情報が表示される。なお、このユーザ認証情報の表示は、ポート単位ではなく、特定のホスト装置単位にポート毎の設定情報を表示させても良い。
また、ユーザ認証情報の新規登録はポートアイコンを選択してコンテキストメニューにて行う。新規登録の操作を行うと、図11に示すようなダイアログレイアウト(Add New User Information)の登録画面81が表示され、新規登録が可能になる。この画面例では、iSCSI Name、Protocol、User、Secret(パスワード)、Re−enter Secret(パスワード)を全て入力し、OKをクリックすることで新規登録が可能になる。なお、Secret、Re−enter Secretの入力時は、*に変換して表示する。
また、ユーザ認証情報の変更(追加/削除を含む)は、図12に示すようなダイアログレイアウト(Change User Information)の変更画面82で行われ、この画面例において、iSCSI Name、Protocol、User、Secret、Re−enter Secretを入力し、OKをクリックすることで変更が可能になる。
<ホスト装置の情報表示画面>
図13により、ホスト装置の情報表示画面の一例を説明する。図13はホスト装置の情報表示画面を示す図である。
ホスト装置の画面には、図13に示すようなユーザ認証に関する情報が表示可能である。この情報表示画面91の例では、ホスト装置が接続可能なストレージ装置3のiSCSIポート(Port)、このiSCSIポートに割り付けられたiSCSIネーム(Port iSCSI Name)、このiSCSIポートの認証状況、この認証に使うユーザID・パスワード、このiSCSIポートからアクセス可能な論理ユニット番号(LUN)などの情報が表示される。ここで言うユーザID・パスワードとは、ユーザID・パスワード=○○○○○、チャレンジコード=ABCDEFとした場合に、○○○○○ABCDEFが暗号化されると、レスポンスコードとして算出される場合の○○○○○の文字列である。
このホスト装置の画面例では、このホスト装置はストレージ装置3のiSCSIポートのPort1、Port2、Port3に接続可能である。たとえば、iSCSIポートのPort1については、iSCSIネームとして1が割り当てられ、認証状況としてCHAP認証が設定され、このホスト装置はPort1を通じてLUN0,1,2にアクセスが可能となっている。
<論理ユニットに対するセキュリティ機能>
本実施の形態では、前述したように、iSCSIポート単位で、ホスト装置毎に認証の要否を判定して認証を行うことが可能であると共に、認証の結果に基づき、論理デバイス(LDEV)、論理ユニット(LUN)へのアクセス可否を制御することが可能となっている。このLDEV、LUNへのアクセス可否を制御するセキュリティ技術については、日本出願番号:特願2003−396625(出願日:2003年11月27日)、対応米国出願番号:10/768147(出願日:2004年2月2日)に詳細に説明しているので、この技術を援用する。
この技術には、共有メモリに格納されるデータテーブル群として、論理ユニット管理テーブルを含むことが記載されており、この論理ユニット管理テーブルには、各ホスト装置からそれぞれ指定可能なLUNや、各LUNにそれぞれ対応したLDEV#が登録されている。そこで、本実施の形態においても、この論理ユニット管理テーブルを参照することで、LUNへのアクセス可否を制御し、LUNに対するアクセスをホスト装置に対して許可したり、不許可とすることができる。
また、この技術には、iSCSIに関する通信におけるプロトコル構成、その通信において送受信されるコマンドの構成が記載されており、ホスト装置には、下位層から上位層にかけて順に、物理層およびデータリンク層、IPプロトコル層、TCPプロトコル層、iSCSIプロトコル層、SCSIプロトコル層およびSCSIアプリケーション層が備えられている。一方、ストレージ装置には、下位層から上位層にかけて順に、物理層およびデータリンク層、IPプロトコル層、TCPプロトコル層、iSCSIプロトコル層、SCSIプロトコル層およびデバイスサーバ層が備えられている。
このプロトコル構成の下では、データリンク層および物理層同士、IPプロトコル層同士、TCPプロトコル層同士、iSCSIプロトコル層同士、SCSIプロトコル層同士、およびSCSIアプリケーション層とデバイスサーバ層同士が順にセッションすることにより、ホスト装置から出力されたI/O要求をストレージ装置が受信し、そのストレージ装置がそのI/O要求に基づく処理を実行することが行われる。
たとえば、iSCSIプロトコル層同士のセッションでは、ログイン要求とそれに対するログイン応答がやり取りされるログインフェーズによってiSCSIの接続が確立される。また、SCSIプロトコル層同士のセッションでは、リード要求またはライト要求を含んだSCSIコマンドがホストからストレージ装置へ送信される。SCSIアプリケーション層とデバイスサーバ層同士のセッションでは、ライトデータがホストからストレージ装置に送信される、または、リードデータがストレージ装置からホストへ送信される。
本実施の形態においても、この技術を援用して、ストレージ装置は、上述したログインフェーズで受ける情報に基づいて、ログイン要求元のホスト装置からのアクセスを制御する。このアクセスには、前記特許文献1のようなファイバチャネルの規格でログインの際に割り当てる管理番号(S_ID)ではなく、ホスト装置とのコネクション毎に割り当てるエントリのID(HPテーブルID)を用い、このHPテーブルIDとホストiSCSIネームとの変換は、たとえば図14に示すようなホストネーム変換テーブル65を用いて行われる。
よって、本実施の形態では、LUNセキュリティにおいて、ストレージ装置3の共有メモリ47に、iSCSIネームに関連付けされ、ホスト装置がアクセス可能なLUNを定義した論理ユニット管理テーブルを設け、認証の結果に基づき、論理ユニット管理テーブルを参照することで、LUNへのアクセス可否を制御することができる。これにより、iSCSIポート単位によるホスト装置毎の認証機能とは独立して、iSCSIポート単位でLUNに対するセキュリティ機能も実現することができる。
<本実施の形態の効果>
以上、上述した本実施の形態に係るストレージ装置3を含むシステムによれば、以下のような効果を得ることができる。
(1)ホスト装置を特定するiSCSIネームと、あらかじめ登録されたそのホスト装置の認証情報とを関連付ける認証管理テーブル61を参照し、認証の要否を判定して認証を行うことができるので、iSCSIポート単位で、ホスト装置毎に認証の要否を決定することができる。
(2)iSCSIポート単位で、ホスト装置毎に認証の要否が決定できるので、同一のiSCSIポートの配下で接続されるホスト装置の認証有無を混在することができる。この認証の種別には、各iSCSIポートに接続されるホスト装置に対するセキュリティの程度に応じて、CHAP認証を実装する他、別の種別を実装することができる。
(3)認証の結果に基づき、そのホスト装置との接続情報を管理する内部リソースの番号を関連付ける内部リソース管理テーブルを参照し、ホスト装置がアクセス可能な論理ユニットを定義した論理ユニット管理テーブルを参照することで、論理ユニットへのアクセス可否を制御することができる。
(4)iSCSIポートの論理ユニットセキュリティは、iSCSIネームとその内部リソースを管理する内部リソース管理テーブル、論理ユニット管理テーブルを関連付けることで、認証機能は、ホスト装置に対する論理ユニットアクセスのセキュリティ機能とは独立して同時に実現することができる。
(5)認証管理テーブル61を用意し、ポート単位で、ホスト装置毎の認証情報を登録することができる。この認証情報の登録は、ユーザがストレージ装置3のSVP48などの管理端末の画面、あるいは管理インタフェースから行うことができる。
(6)ポート単位で認証の有無を指定し、ポート毎にホスト装置単位で、認証の有無と認証情報を設定することができる。この際に、ホスト装置とストレージ装置3との双方に同じ認証情報を設定することができる。
(7)認証情報の画面への表示は、ポート毎に表示させたり、あるいはポート単位ではなく、特定のホスト装置単位にポート毎の設定情報を表示させることができる。
(8)ホスト装置のグループ化は、認証とは独立して同時に、iSCSIネームによる論理ユニットのセキュリティで実現することができる。
(9)ホスト装置の情報はiSCSIポートなどの物理的ポートによらず、ネットワークスイッチ機器などの仮想的な論理ポートに対しても設定することができる。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
本発明の一実施の形態に係るストレージ装置を含むシステムの全体構成を示す構成図である。 本発明の一実施の形態に係るストレージ装置のハードウェア構成を示すブロック図である。 本発明の一実施の形態に係るストレージ装置において、認証管理テーブルの構成を示す図である。 本発明の一実施の形態に係るストレージ装置において、CHAP認証機能の概要を示す図である。 本発明の一実施の形態に係るストレージ装置において、CHAP認証機能の使用時のシーケンスを示す図である。 本発明の一実施の形態に係るストレージ装置において、セキュリティ認証判定条件を示す図である。 本発明の一実施の形態に係るストレージ装置において、認証パラメータ算出シーケンスを示す図である。 本発明の一実施の形態に係るストレージ装置において、MD5アルゴリズムの処理手順を示す図である。 本発明の一実施の形態に係るストレージ装置において、セキュリティ認証判定処理の手順を示す図である。 本発明の一実施の形態に係るストレージ装置において、ユーザ認証情報の表示画面を示す図である。 本発明の一実施の形態に係るストレージ装置において、ユーザ認証情報の登録画面を示す図である。 本発明の一実施の形態に係るストレージ装置において、ユーザ認証情報の変更画面を示す図である。 本発明の一実施の形態に係るストレージ装置において、ホスト装置の情報表示画面を示す図である。 本発明の一実施の形態に係るストレージ装置において、ホストネーム変換テーブルを示す図である。
符号の説明
1…インターネット、2…小遠隔ネットワーク、3…ストレージ装置、4…中遠隔ネットワーク、5…ホスト装置(小遠隔ネット接続ホスト)、6…大遠隔ネットワーク、7…小遠隔ネット側スイッチ、9…中遠隔ネット側スイッチ、13,21,33,38…iSCSIポート、15…ホスト装置(中遠隔ネット接続ホスト)、23…記憶装置、25…記憶制御部、29…ファイアウォール、30…ゲートウェイ、31…ホスト装置(大遠隔ネット接続ホスト)、35…論理デバイス(LDEV)、37…チャネルアダプタセット、37A,37B…チャネルアダプタ、39…物理ディスク群、40…チャネルプロセッサ、41…ディスクアダプタセット、41A,41B…ディスクアダプタ、42…マイクロプロセッサアダプタ(MPA)、43…キャッシュメモリ、44…データ転送アダプタ(DTA)、45…スイッチング制御部、47…共有メモリ、48…サービスプロセッサ(SVP)、50…制御情報格納領域、51…データテーブル群、61…認証管理テーブル、65…ホストネーム変換テーブル、71…表示画面、72…ユーザ認証タブ、73…ポート領域、74…ユーザインフォメーション領域、75…サブシステム側領域、81…登録画面、82…変更画面、91…情報表示画面。

Claims (10)

  1. 複数のホスト装置に接続可能なストレージ装置であって、
    前記ホスト装置から受信するライトデータおよび/または前記ホスト装置に送信されるリードデータを記憶する記憶装置と、
    前記ホスト装置からのアクセスを受ける複数のiSCSIポートと、前記複数のiSCSIポートのポート単位で、前記iSCSIポートに接続されるホスト装置毎に、各ホスト装置に割り当てられたIPアドレスと各ホスト装置を特定するiSCSIネームと各ホスト装置がアクセス可能な論理ユニットとに対応する認証情報を記憶する共有メモリとを備え、前記ホスト装置からの前記記憶装置へのアクセスを制御する記憶制御部とを有し、
    前記記憶制御部は、前記ホスト装置からのアクセス情報を前記iSCSIポートで受け、前記アクセス情報から前記ホスト装置を識別し、前記共有メモリに記憶している認証情報を参照して、前記ホスト装置からの前記iSCSIポートに対する認証要否を判定し、前記判定の結果、認証要の場合は認証を行い、前記認証の結果に基づいて前記記憶装置に対するアクセス可否を制御し、前記IPアドレスおよび前記iSCSIネームに対応する前記ホスト装置からの前記アクセス可能な論理ユニットに対するアクセスを許可する機能を備えることを特徴とするストレージ装置。
  2. 請求項1記載のストレージ装置において、
    前記共有メモリは、前記複数のiSCSIポートのポート単位で、前記ホスト装置を特定するiSCSIネームと、前記ホスト装置の認証の使用/未使用およびユーザID/パスワードを含む認証情報とを関連付ける認証管理テーブルを有し、
    前記記憶制御部は、前記認証管理テーブルを参照して、前記ホスト装置からの前記iSCSIポートに対する認証の使用/未使用を判定することを特徴とするストレージ装置。
  3. 請求項2記載のストレージ装置において、
    前記共有メモリは、前記ホスト装置がアクセス可能な論理ユニットを定義した論理ユニット管理テーブルを有し、
    前記記憶制御部は、前記認証の結果に基づいて、前記論理ユニット管理テーブルを参照して、前記論理ユニットに対するアクセスを前記ホスト装置に対して許可することを特徴とするストレージ装置。
  4. 請求項2記載のストレージ装置において、
    前記認証管理テーブルは、前記記憶制御部のiSCSIポートに接続されるホスト装置をグループ毎に分けるグルーピング情報を含み、
    前記記憶制御部は、前記グルーピング情報を含む認証管理テーブルを参照して、前記ホスト装置からの前記iSCSIポートに対する認証の使用/未使用をグループ毎に判定することを特徴とするストレージ装置。
  5. 請求項1記載のストレージ装置において、
    前記認証は、CHAP認証であることを特徴とするストレージ装置。
  6. 請求項1記載のストレージ装置において、
    管理情報を登録するための管理端末をさらに有し、
    前記管理端末は、前記記憶制御部の複数のiSCSIポートのポート単位で、前記iSCSIポートに接続されるホスト装置毎の認証情報を前記共有メモリに登録することを特徴とするストレージ装置。
  7. 請求項6記載のストレージ装置において、
    前記管理端末は、前記複数のiSCSIポートのポート単位で、前記ホスト装置を特定するiSCSIネームと、前記ホスト装置の認証の使用/未使用およびユーザID/パスワードを含む認証情報とを関連付けて、前記共有メモリの認証管理テーブルに登録することを特徴とするストレージ装置。
  8. 請求項7記載のストレージ装置において、
    前記管理端末は、前記ホスト装置がアクセス可能な論理ユニットを定義して前記共有メモリの論理ユニット管理テーブルに登録することを特徴とするストレージ装置。
  9. 請求項8記載のストレージ装置において、
    前記管理端末は、前記認証管理テーブル、前記論理ユニット管理テーブルに登録した情報を表示可能であることを特徴とするストレージ装置。
  10. 請求項9記載のストレージ装置において、
    前記管理端末は、前記認証管理テーブル、前記論理ユニット管理テーブルに対して情報の追加/変更/削除が可能であることを特徴とするストレージ装置。
JP2004094133A 2004-03-29 2004-03-29 ストレージ装置 Pending JP2005284437A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004094133A JP2005284437A (ja) 2004-03-29 2004-03-29 ストレージ装置
US10/859,986 US7367050B2 (en) 2004-03-29 2004-06-04 Storage device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004094133A JP2005284437A (ja) 2004-03-29 2004-03-29 ストレージ装置

Publications (1)

Publication Number Publication Date
JP2005284437A true JP2005284437A (ja) 2005-10-13

Family

ID=34991575

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004094133A Pending JP2005284437A (ja) 2004-03-29 2004-03-29 ストレージ装置

Country Status (2)

Country Link
US (1) US7367050B2 (ja)
JP (1) JP2005284437A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010277427A (ja) * 2009-05-29 2010-12-09 Fujitsu Ltd ストレージ装置及び認証方法
JP7465047B2 (ja) 2019-09-11 2024-04-10 インターナショナル・ビジネス・マシーンズ・コーポレーション ストレージ・デバイスにおけるセキュリティ有効化のためのアクセスの維持方法、システム、プログラム

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030061382A1 (en) * 2001-09-21 2003-03-27 Dell Products L.P. System and method for naming hosts in a distributed data processing system
US20050235364A1 (en) * 2004-04-15 2005-10-20 Wilson Christopher S Authentication mechanism permitting access to data stored in a data processing device
US7156305B2 (en) * 2004-12-23 2007-01-02 T3C Inc. Apparatus and method for authenticating products
US8655752B2 (en) * 2004-12-23 2014-02-18 Portiski Research Llc Apparatus and method for analyzing cross-enterprise radio frequency tag information
US8594083B2 (en) * 2005-04-01 2013-11-26 Cisco Technology, Inc. iSCSI and fibre channel authentication
US7685430B1 (en) * 2005-06-17 2010-03-23 Sun Microsystems, Inc. Initial password security accentuated by triple encryption and hashed cache table management on the hosted site's server
US20070022314A1 (en) * 2005-07-22 2007-01-25 Pranoop Erasani Architecture and method for configuring a simplified cluster over a network with fencing and quorum
JP4504329B2 (ja) * 2006-03-31 2010-07-14 株式会社東芝 ストレージシステム、当該ストレージシステムに用いられるストレージ及びアクセス制御方法
KR100843580B1 (ko) 2006-05-24 2008-07-04 엠텍비젼 주식회사 접근 권한 레지스터 로직을 갖는 다중 포트 메모리 장치 및그 제어 방법
JP2007334710A (ja) * 2006-06-16 2007-12-27 Fujitsu Ltd ストレージ制御装置、ストレージ制御方法、ストレージ装置
JP4767773B2 (ja) * 2006-06-29 2011-09-07 株式会社日立製作所 コンピュータシステム及びコンピュータシステムの認証情報変更方法
US8191131B2 (en) * 2006-08-23 2012-05-29 International Business Machines Corporation Obscuring authentication data of remote user
US8627418B2 (en) * 2007-03-23 2014-01-07 Pmc-Sierra, Inc. Controlled discovery of san-attached SCSI devices and access control via login authentication
GB0808752D0 (en) * 2008-05-14 2008-06-18 Burden Robert W W Identity verification
US8402534B2 (en) * 2009-05-26 2013-03-19 Hitachi, Ltd. Management system, program recording medium, and program distribution apparatus
US8458490B2 (en) 2010-05-28 2013-06-04 Dell Products, Lp System and method for supporting full volume encryption devices in a client hosted virtualization system
US8938774B2 (en) * 2010-05-28 2015-01-20 Dell Products, Lp System and method for I/O port assignment and security policy application in a client hosted virtualization system
US8990584B2 (en) 2010-05-28 2015-03-24 Dell Products, Lp System and method for supporting task oriented devices in a client hosted virtualization system
JP5754506B2 (ja) * 2011-06-16 2015-07-29 日本電気株式会社 通信システム、コントローラ、スイッチ、ストレージ管理装置、及び通信方法
US20150121452A1 (en) * 2012-05-07 2015-04-30 Nec Corporation Security design device and security design method
CN107180172A (zh) * 2017-04-19 2017-09-19 上海海加网络科技有限公司 一种基于USBKey数字证书认证的IPSAN访问控制方法及装置
US10461929B2 (en) 2017-09-25 2019-10-29 Hewlett Packard Enterprise Development Lp Updating login credentials of an iSCSI client in a storage area network
US11068581B1 (en) * 2018-01-26 2021-07-20 EMC IP Holding Company LLC Techniques for establishing host connectivity

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6512754B2 (en) * 1997-10-14 2003-01-28 Lucent Technologies Inc. Point-to-point protocol encapsulation in ethernet frame
US6807581B1 (en) * 2000-09-29 2004-10-19 Alacritech, Inc. Intelligent network storage interface system
US6421714B1 (en) * 1997-10-14 2002-07-16 Lucent Technologies Efficient mobility management scheme for a wireless internet access system
JP4651230B2 (ja) 2001-07-13 2011-03-16 株式会社日立製作所 記憶システム及び論理ユニットへのアクセス制御方法
US7734781B2 (en) * 2001-07-09 2010-06-08 Savvis Communications Corporation Methods and systems for shared storage virtualization
US7134139B2 (en) * 2002-02-12 2006-11-07 International Business Machines Corporation System and method for authenticating block level cache access on network
US6895461B1 (en) 2002-04-22 2005-05-17 Cisco Technology, Inc. Method and apparatus for accessing remote storage using SCSI and an IP network
US20040078521A1 (en) 2002-10-17 2004-04-22 International Business Machines Corporation Method, apparatus and computer program product for emulating an iSCSI device on a logical volume manager
DE10393571T5 (de) * 2002-10-23 2005-12-22 Onaro, Boston Verfahren und System zum Validieren logischer End-to-End-Zugriffspfade in Storage Area Netzwerken
US20040088513A1 (en) * 2002-10-30 2004-05-06 Biessener David W. Controller for partition-level security and backup
US7269702B2 (en) * 2003-06-06 2007-09-11 Microsoft Corporation Trusted data store for use in connection with trusted computer operating system
US8239552B2 (en) * 2003-08-21 2012-08-07 Microsoft Corporation Providing client access to devices over a network
US7287276B2 (en) * 2003-09-08 2007-10-23 Microsoft Corporation Coordinated network initiator management that avoids security conflicts
JP4512179B2 (ja) 2003-10-28 2010-07-28 株式会社日立製作所 ストレージ装置及びそのアクセス管理方法
JP4426261B2 (ja) 2003-11-25 2010-03-03 株式会社日立製作所 チャネルアダプタ及びディスクアレイ装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010277427A (ja) * 2009-05-29 2010-12-09 Fujitsu Ltd ストレージ装置及び認証方法
JP7465047B2 (ja) 2019-09-11 2024-04-10 インターナショナル・ビジネス・マシーンズ・コーポレーション ストレージ・デバイスにおけるセキュリティ有効化のためのアクセスの維持方法、システム、プログラム

Also Published As

Publication number Publication date
US7367050B2 (en) 2008-04-29
US20050216767A1 (en) 2005-09-29

Similar Documents

Publication Publication Date Title
JP2005284437A (ja) ストレージ装置
JP4311637B2 (ja) 記憶制御装置
US9438574B2 (en) Client/server authentication over Fibre channel
US7353542B2 (en) Storage system, computer system, and method of authorizing an initiator in the storage system or the computer system
JP4767773B2 (ja) コンピュータシステム及びコンピュータシステムの認証情報変更方法
US7917751B2 (en) Distributed filesystem network security extension
JP4896400B2 (ja) セキュアなファイルシステムサーバーのアーキテクチャ及び方法
US7430761B2 (en) Command processing system by a management agent
EP1573962B1 (en) Secure system and method for san management in a non-trusted server environment
JP4168052B2 (ja) 管理サーバ
JP3976324B2 (ja) セキュリティレベルに応じて記憶領域を計算機に割り当てるシステム
JP4512179B2 (ja) ストレージ装置及びそのアクセス管理方法
JP4855516B2 (ja) アクセス制御プログラム、アクセス制御装置およびアクセス制御方法
JP2005534104A (ja) セキュアネットワークファイルアクセス制御システム
JP2011528142A (ja) 安全且つハイパフォーマンスの多重レベルセキュリティデータベースシステム及び方法
JP2009540408A (ja) 記憶装置に対するセキュア・アクセス制御のためのシステム、方法、およびコンピュータ・プログラム
JP2007102761A (ja) ストレージ装置へのアクセスを制限するためのシステムと方法
EP1864441B1 (en) Iscsi and fibre channel authentication
US20080215767A1 (en) Storage usage exclusive method
US20090327758A1 (en) Storage apparatus and data processing method for storage apparatus
JP2007087059A (ja) 記憶制御システム
CN101488857A (zh) 认证服务虚拟化
JP4933303B2 (ja) ストレージシステム並びに情報処理装置及び接続方法
JP2005157826A (ja) アクセス制御装置及び方法
US20090216886A1 (en) Method of multi-path accessing remote logic device under linux system