CN100495417C - 为存储单元提供安全性的方法和系统 - Google Patents
为存储单元提供安全性的方法和系统 Download PDFInfo
- Publication number
- CN100495417C CN100495417C CNB2006101089643A CN200610108964A CN100495417C CN 100495417 C CN100495417 C CN 100495417C CN B2006101089643 A CNB2006101089643 A CN B2006101089643A CN 200610108964 A CN200610108964 A CN 200610108964A CN 100495417 C CN100495417 C CN 100495417C
- Authority
- CN
- China
- Prior art keywords
- logical block
- password
- requestor
- storage system
- logical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0629—Configuration or reconfiguration of storage systems
- G06F3/0637—Permissions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0683—Plurality of storage devices
- G06F3/0689—Disk arrays, e.g. RAID, JBOD
Abstract
所提供的是一种方法、系统和制品,其中在存储系统中对与至少一个逻辑单元相对应的口令进行分配。从请求者接收对所述至少一个逻辑单元执行操作的请求。响应于请求者提供所述至少一个逻辑单元的分配口令,请求者被认证有限的时段。响应于对请求者的认证,对所述至少一个逻辑单元执行操作。
Description
技术领域
本发明涉及一种用于为存储单元提供安全性的方法、系统和制品。
背景技术
存储系统可以被耦合于物理存储装置,其中多个逻辑单元提供对物理存储装置的逻辑表示。逻辑单元可以从存储系统中执行的应用中、以及从经由网络耦合于存储系统的主机中执行的其他应用中进行寻址。
可以将不同组的逻辑单元分配到不同的主机,并且在主机上运行的应用能够访问已经被分配给主机的那些逻辑单元。另外,多个用户可以从单个主机访问逻辑单元。而且,在某种计算环境中,存储装置管理者可以维护存储系统。存储装置管理者可以访问耦合于存储系统的逻辑单元。
在存储系统中维护的访问控制列表(ACL)可以用于确定哪些主机可以访问逻辑单元。经由访问控制列表提供安全性可以允许存储系统上的逻辑单元受到保护以防止未授权主机的访问。
发明内容
所提供的是一种方法、系统和制品,其中在存储系统中对与至少一个逻辑单元相对应的口令进行分配。从请求者接收对所述至少一个逻辑单元执行操作的请求。响应于请求者提供所述至少一个逻辑单元的分配口令,请求者被认证有限的时段。响应于对请求者的认证,对所述至少一个逻辑单元执行操作。
在某些实施例中,所述请求是从存储系统内生成的,其中所述操作是用于拷贝所述至少一个逻辑单元,并且其中响应于会话到期,所述有限的时段也到期。
在附加实施例中,所述请求是由请求者从耦合于存储系统的至少一个主机中生成的,其中所述操作是用于对所述至少一个逻辑单元执行输入/输出(I/O),并且其中响应于会话到期,所述有限的时段也到期。
在另外的实施例中,所述请求是由请求者从至少一个主机中生成的。对应于所述至少一个逻辑单元的访问控制列表被维护,其中访问控制列表中的条目能够被用于确定所述至少一个主机是否能够访问所述至少一个逻辑单元。请求者被认证有限的时段,即使访问控制列表中的条目已经被用于确定所述至少一个主机能够访问所述至少一个逻辑单元。
在另外的实施例中,在存储系统中生成包括所述至少一个逻辑单元的多个逻辑单元。为从所述多个逻辑单元中选择的逻辑单元组分配单个口令,其中通过提供所述单个口令请求者被认证对所述逻辑单元组执行操作。
在附加实施例中,所述至少一个逻辑单元包括从包括耦合于存储系统的物理存储装置的多个物理卷所生成的多个逻辑卷,其中存储系统维护与所述至少一个逻辑单元对应的第一指示符,并且其中所述第一指示符指示出是否必须为所述至少一个逻辑单元设置口令。存储系统还维护与所述至少一个逻辑单元相对应的第二指示符,其中所述第二指示符包括已分配的口令。
附图说明
现在参照附图,其中相同的标号表示全部附图中的相应部分:
图1例示了根据某些实施例的计算环境的框图;
图2例示了根据某些实施例为逻辑单元设置口令的流程图;
图3例示了根据某些实施例对受口令保护的逻辑单元执行输入/输出(I/O)操作的流程图;
图4例示了根据某些实施例在受口令保护的逻辑单元上执行拷贝服务的流程图;
图5例示了根据某些实施例,为逻辑单元提供安全性的流程图;以及
图6例示了计算系统的体系结构,其中在某些实施例中,图1的计算环境的主机和存储系统可以根据计算系统的体系结构来实现。
具体实施方式
在以下描述中,对构成本文的一部分并例示若干实施例的附图进行参考。可以理解,可以利用其他实施例,并且可以做出结构上和操作上的改变。例如,尽管以下说明是参照数据备份来描述实施例的,但是可以理解,可选实施例可以被用于数据存档、数据迁移等。
在存储系统中能够创建逻辑单元并将逻辑单元分配给主机。即使在应用开始使用逻辑单元并将对于应用特定的数据写入逻辑单元中时,存储装置管理者也能够生成逻辑单元的拷贝。因此能够将原始的逻辑单元或者经拷贝的逻辑单元分配给其他系统,而通过访问控制列表无法保证逻辑单元的安全性。在某些情况下,例如在数据中心中,其中与多个客户相对应的数据被维护在公共存储系统中,访问控制列表不足以提供安全性。
某些实施例基于下述方案提供对逻辑单元的保护,所述方案通过使用口令保护机制提供对逻辑单元的输入/输出(I/O)和拷贝服务访问。
图1例示了根据某些实施例的计算环境100的框图。至少一个存储系统102经由网络耦合于多个计算平台104a、104b、......、104n,其中在某些实施例中存储系统102可以包括存储控制器,其中在某些实施例中多个处理平台104a、104b、......、104n可以包括主机。
存储系统102和主机104a......104n可以包括任何适合的计算平台,包括现有技术中已知的那些平台,例如个人计算机、工作站、大型机、中型计算机(midrange computer)、网络设备、掌上型计算机、电话设备、刀片计算机、膝上型计算机等。实施例可以在基于客户-服务器样式的计算环境中实现。可选实施例可以在端对端连网的环境或者任何其他连网环境中实现。主机104a......104n到存储系统102的耦合可以是直接的或者可以经由现有技术已知的任何网络,例如存储区域网络(SAN)、局域网(LAN)、广域网(WAN)、因特网、内联网等等。
存储系统102包括管理应用106和多个逻辑单元108a、108b、......、108m。管理应用106可以与主机104a......104n上的应用相交互并控制逻辑单元108a......108m。虽然只示出了单个管理应用106,但在可选实施例中由管理应用106执行的操作可以由多个应用来执行,例如单独的认证工具、提供命令行接口的应用等。
多个逻辑单元108a......108m可以包括逻辑卷,其中逻辑卷是与耦合于存储系统102的物理存储装置相对应的物理卷的逻辑表示。虽然数据被物理地存储于包括物理存储装置的物理卷中,但是在存储系统102和主机104a......104n上执行的应用可以寻址逻辑单元108a......108m和包括在逻辑单元108a......108m中的逻辑卷。逻辑单元也可以被称为LUN。逻辑单元可以包括可以由应用进行寻址的任何可寻址的存储单元。
与逻辑单元108a、108b、......、108m相关联的是表示口令使能标记(password enabled flag)110a、110b、......、110m、口令元数据112a、112b、......、112m以及访问控制列表114a、114b、......、114m的数据结构。例如,口令使能标记110a、口令元数据112a和访问控制列表114a与逻辑单元108a相关联。
口令使能标记(例如口令使能标记110a)指示出是否已经为相应的逻辑单元使能了口令保护。如果口令使能标记被设置,那么为相应逻辑单元使能口令保护,并且如果口令使能标记没有被设置,那么为相应逻辑单元禁用口令保护。
口令元数据(例如口令元数据112a)存储了用于保护逻辑单元以防未授权用户和应用的口令。如果设置了口令使能标记,则口令元数据可以被用于检查口令。如果为特定逻辑单元设置了口令使能标记,那么在为特定逻辑单元提供相应口令元数据中存储的相应口令之后,用户或者应用就可以访问特定逻辑单元。
访问控制列表(例如访问控制列表114a)维护可被用于确定哪些主机能够访问与访问控制列表相对应的逻辑单元的条目。访问控制列表的条目不能防止存储系统管理者拷贝逻辑单元或者防止未授权的主机用户访问被分配给主机的逻辑单元。
因此,图1例示了某些实施例,其中,如果为特定逻辑单元设置了口令使能标记,那么在为特定逻辑单元提供相应口令元数据中存储的相应口令之后,用户或者应用就可以访问特定逻辑单元。结果,在计算环境100中提供了除访问控制列表所提供的安全性之外的附加安全性。
图2例示了根据某些实施例为逻辑单元108a......108m设置口令的流程图。图2所例示的操作可以由管理应用106在存储系统102中实现。
控制在框200处开始,其中管理应用106通过耦合于存储系统102的物理卷创建逻辑单元108a......108m。每个逻辑单元108a......108m可以包括可由应用寻址的多个逻辑卷。可以响应于来自主机上应用将逻辑单元分配给应用的请求而创建逻辑单元108a......108m。
管理应用106开始(在框202)对已经被创建的逻辑单元的处理。管理应用确定(在框204)逻辑单元是否必须被口令保护。可能的是,某些逻辑单元可以包括可在用户之间共享的数据,并且这些逻辑单元不需要口令保护。
如果管理应用106确定(在框204)逻辑单元不是必须被口令保护,那么管理应用106将逻辑单元分配给(在框206)没有设置口令使能标记的特定主机。例如,管理应用106可以不为逻辑单元108a设置口令使能标记110a,而同时将逻辑单元108a分配给主机104a。
如果管理应用106确定(在框204)逻辑单元必须被口令保护,那么管理应用106将逻辑单元分配给(在框208)设置了口令使能标记的特定主机。例如,管理应用106可以为逻辑单元108a设置口令使能标记110a,而同时将逻辑单元108a分配给主机104a。
控制从框206和208继续到框210,并做出关于是否有更多的逻辑单元要进行口令保护的处理的确定,如果有,那么控制返回至框202。如果没有,那么从主机接收(在框212)为逻辑单元设置口令的请求。所述请求可以经由认证工具或者可以被传送到管理应用106。
响应于从主机接收到请求,管理应用106发现(在框214)被分配给主机的逻辑单元。例如,管理应用106可以确定逻辑单元108a、108b已经被分配给主机104a。
管理应用106根据口令使能标记确定(在框216)主机的哪些逻辑单元必须受到口令保护。例如,如果逻辑单元108a、108b已经被分配给主机104a,那么管理应用106可以根据口令使能标记110a、110b确定逻辑单元108a、108b是否必须受口令保护。
管理应用106为必须受口令保护的逻辑单元设置(在框218)口令并将口令存储至相应的口令元数据中。例如,管理应用106已经确定逻辑单元108b需要受口令保护并可以将口令存储在口令元数据112b中。口令可以由用户提供或者可以由应用自动生成。
因此,图2例示了某些实施例,其中通过设置口令使能标记110a......110m并将口令填充(populate)于相应口令元数据112a......112m来为逻辑单元108a......108n提供安全性。
图3例示了根据某些实施例用于对受口令保护的逻辑单元108a......108m执行输入/输出(I/O)操作的流程图。图3所例示的操作可以由管理应用106在存储系统102中实现。
控制在框300处开始,其中管理应用106从主机接收用于对逻辑单元(例如逻辑单元108a)的I/O访问的请求。管理应用106确定(在框302)是否为逻辑单元设置口令使能标记(例如口令使能标记110a)。如果设置了口令使能标记,那么管理应用106通过请求者之前是否在会话中提供了逻辑单元的正确口令而确定(在框304)请求者是否已经对于该会话被认证。如果没有,那么管理应用106向I/O访问的请求者发送(在框306)让请求者提供用于认证的逻辑单元的正确口令的命令或者信息。
管理应用106接收(在框308)用于请求者认证的口令并确定(在框310)该口令是否匹配口令元数据(例如口令元数据112a)中存储的逻辑单元的口令。如果口令匹配,那么管理应用106认证(在框312)请求者会话持续时间。控制继续到框314,其中管理应用106允许请求者在会话持续时间内对逻辑单元的I/O访问。
如果在框310,管理应用106确定已接收的、用于请求者认证的口令不匹配口令元数据中存储的逻辑单元的口令,那么管理应用106拒绝(在框316)请求者对逻辑单元的I/O访问。
如果在框302,管理应用106确定没有为逻辑单元设置口令使能标记,那么控制继续到框314,其中管理应用106允许请求者在会话持续时间内对逻辑单元的I/O访问。另外,如果管理应用106通过请求者之前在会话中提供了逻辑单元的正确口令而确定(在框304)请求者已经对于该会话被认证,那么管理应用106允许(在框314)请求者在会话持续时间内对逻辑单元的I/O访问。
因此,图3例示了某些实施例,其中如果I/O访问的请求者能够提供相应口令元数据中存储的口令,那么可以对使能了口令使能标记的逻辑单元执行其I/O访问。
图4例示了根据某些实施例用于在受口令保护的逻辑单元108a......108m上执行拷贝服务的流程图。图4所例示的操作可以由管理应用106在存储系统102中实现。
控制在框400处开始,其中管理应用106从主机接收到用于对逻辑单元(例如逻辑单元108a)执行拷贝服务的请求。拷贝服务请求可以包括用于拷贝逻辑单元的请求。在某些实施例中,拷贝服务请求可以来自在主机104a......104n上执行程序的请求者。在其他实施例中,拷贝服务请求可以来自在存储系统102上执行程序的请求者。
管理应用106确定(在框402)是否为逻辑单元设置了口令使能标记(例如口令使能标记110a)。如果设置了口令使能标记,那么管理应用106通过请求者之前是否在会话中提供了逻辑单元的正确口令而确定(在框404)请求者是否已经对于该会话被认证。如果没有,那么管理应用106向拷贝服务请求的请求者发送(在框406)让请求者提供用于认证的逻辑单元的正确口令的命令或者消息的请求。
管理应用106接收(在框408)用于请求者认证的口令并确定(在框410)该口令是否匹配口令元数据(例如口令元数据112a)中存储的逻辑单元的口令。如果口令匹配,那么管理应用106认证(在框412)请求者会话持续时间。控制继续到框414,其中管理应用106允许请求者在会话持续时间内对逻辑单元的拷贝服务访问。
如果在框410,管理应用106确定已接收的、用于请求者认证的口令不匹配口令元数据中存储的逻辑单元的口令,那么管理应用106拒绝(在框416)请求者对逻辑单元的拷贝服务访问。
如果在框402,管理应用106确定没有为逻辑单元设置口令使能标记,那么控制继续到框414,其中管理应用106允许请求者在会话的持续时间内访问逻辑单元以执行拷贝服务请求。另外,如果管理应用106通过请求者之前在会话中提供了逻辑单元的正确口令而确定(在框404)请求者已经对于该会话被认证,那么管理应用106允许(在框414)请求者在会话持续时间内访问逻辑单元以执行拷贝服务请求。
因此,图4例示了某些实施例,其中如果拷贝服务请求的请求者能够提供相应口令元数据中存储的相应口令,那么可以对使能了口令使能标记的逻辑单元执行拷贝服务请求。
图5例示了根据某些实施例用于为逻辑单元108a......108m提供安全性的流程图。图5所例示的操作可以由管理应用106在存储系统102中实现。
控制在框500处开始,其中管理应用106分配与存储系统102中的至少一个逻辑单元(例如逻辑单元108a)相对应的口令。管理应用106接收(在框502)对至少一个逻辑单元(例如逻辑单元108a)执行操作的请求。响应于请求者提供了为至少一个逻辑单元所分配的口令,管理应用106认证(在框504)请求者有限的时段,例如会话持续时间。例如,请求者可以提供存储在逻辑单元108a的口令元数据112a中所分配的口令。请求者可以是用户或者生成来自存储系统102内或者来自主机104a......104n中的任一个的、用于执行操作的请求的自动程序。请求者可以生成来自不同于存储系统102或者主机104a......104n的其他计算设备的请求。响应于对请求者的认证,管理应用对至少一个逻辑单元执行(在框506)操作。
在某些实施例中,所述请求是从存储系统102内生成的,其中所述操作是用于拷贝至少一个逻辑单元,并且其中响应于会话到期,所述有限的时段也到期。在某些其他实施例中,请求是由请求者从耦合于存储系统102的至少一个主机104a......104n生成的,其中所述操作是用于对至少一个逻辑单元执行I/O,并且其中响应于会话到期,所述有限的时段也到期。
在附加实施例中,维护对应于至少一个逻辑单元的访问控制列表(例如访问控制表114a......114m中的任一个),其中访问控制列表中的条目能够被用于确定至少一个主机是否可以访问至少一个逻辑单元。请求者被认证有限的时段,即使访问控制列表中的条目已经被用于确定至少一个主机能够访问至少一个逻辑单元。
在某些实施例中,为从多个逻辑单元选择的逻辑单元组分配单个口令,其中请求者通过提供该单个口令而被认证对该逻辑单元组执行操作。
在某些附加实施例中,至少一个逻辑单元包括根据包括耦合于存储系统102的物理存储装置的多个物理卷生成的多个逻辑卷。在存储系统102中维护与至少一个逻辑单元对应的第一指示符,例如口令使能标记110a......110m,其中第一指示符指示出是否必须为至少一个逻辑单元设置口令。另外,在存储系统中还维护了与至少一个逻辑单元相对应的第二指示符,例如口令元数据112a......112m,其中第二指示符包括已分配的口令。
某些实施例防止对逻辑单元执行I/O请求和拷贝服务,即使在逻辑单元已经被分配给主机的时候。通过具有除了访问控制列表之外的口令保护,增强了逻辑单元的安全性。请求者可以通过将正确口令提供至存储系统102上的管理应用106而对受口令保护的逻辑单元执行某些操作。在无法访问口令的情况下,即使存储系统102的管理者也不能拷贝这些已经受口令保护的逻辑单元108a......108m。
附加的实施例细节
所述技术可以实现为方法、装置或者制品,包括软件、固件、微代码、硬件和/或它们的任何组合。本文所使用的术语“制品”指的是在媒体中实现的代码或逻辑,其中这种媒体可以包括硬件逻辑(例如,集成电路芯片、可编程门阵列(PGA)、对应用特定的集成电路(ASIC)等)或计算机可读媒体,例如磁存储媒体(例如,硬盘驱动器、软盘、磁带等)、光存储装置(CD-ROM、光盘等)、易失性和非易失性存储设备(例如,电可擦除可编程只读存储器(EEPROM)、只读存储器(ROM)、可编程只读存储器(PROM)、随机存取存储器(RAM)、动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、闪速存储器、固件、可编程逻辑等)。计算机可读媒体中的代码由处理器访问和执行。其中的代码或逻辑被编码的媒体也可以包括通过空间或传输媒体(例如光纤、铜线等)传播的传输信号。其中的代码或逻辑被编码的传输信号可以进一步包括无线信号、卫星传输、无线电波、红外信号、蓝牙等。其中的代码或逻辑被编码的传输信号能够由发射站发射并由接收站接收,其中在传输信号中被编码的代码或逻辑可以被解码并存储在位于接收和发射站或设备的硬件或计算机可读媒体中。另外,“制品”可以包括具有代码、处理代码和执行代码的硬件和软件部件的组合。当然本领域的技术人员将认识到,可以做出多种修改而不脱离实施例的范围,并且制品可以包括任何承载信息的媒体。例如,制品包括具有存储在其中的、当由机器执行时使得操作被执行的指令的存储媒体。
某些实施例可以采取全部硬件实施例、全部软件实施例或者既包含硬件也包含软件组件的实施例的形式。在优选实施例中,本发明是软件实现的,其包括但不限于固件、常驻软件、微代码等等。
而且,某些实施例可以采取可从计算机可用或计算机可读媒体访问的计算机程序产品的形式,所述媒体提供程序代码以由计算机或任何指令执行系统使用或者结合计算机或任何指令执行系统使用。为了本说明书的目的,计算机可用或计算机可读媒体可以是可包含、存储、传送、传播或传输程序以由指令执行系统、装置或设备使用或者结合指令执行系统、装置或设备使用的任意装置。所述媒体可以是电、磁、光、电磁、红外或者半导体系统(或装置或设备)或传播媒体。计算机可读媒体的例子包括半导体或固态存储器、磁带、可移除计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。光盘的当前例子包括紧致磁盘—只读存储器(CD-ROM)、紧致磁盘—读/写(CD-R/W)和DVD。
除了清楚地指定之外,术语“某些实施例”、“一实施例”、“实施例”、“多个实施例”、“该实施例”、“该多个实施例”、“一个或多个实施例”、“若干实施例”和“一个实施例”都意指一个或多个(但不是全部)实施例。除了清楚地指定之外,术语“包括(including)”、“包括(comprising)”、“具有(having)”及其变体意指“包括但不限于”。除了清楚地指定之外,所列举的项的列表不暗示出任何或者所有项都互斥。除了清楚地指定之外,术语“一(a)”、“一(an)”和“该(the)”表示“一个或多个”。
除了清楚地指定之外,彼此进行通信的设备不需要彼此连续通信。另外,彼此进行通信的设备可以直接地或者通过一个或多个媒介间接地通信。另外,对具有彼此进行通信的若干部件的实施例的描述不暗示出所有这些部件都是需要的。相反,所描述的大量可选部件是要例示大量的可能实施例。
而且,尽管可以按照连续顺序描述过程步骤、方法步骤、算法等,但是这些过程、方法和算法可以被配置为以交替的顺序工作。换句话说,可以描述的步骤的任何序列或顺序不是必然指示出对于步骤要以该顺序执行的要求。本文所描述的过程步骤可以以任何实际顺序执行。而且,某些步骤可以同时、并行或者并发执行。
当本文描述单个设备或产品时,显而易见的是,多于一个设备/产品(不论它们是否合作)可以代替所述单个设备/产品使用。同样,当本文描述多于一个设备或产品(不论它们是否合作)时,显而易见的是,单个设备/产品可以代替所述多于一个设备或产品使用。设备的功能和/或特征可以可选地由没有明确描述为具有这些功能/特征的一个或多个其他设备所实现。因此,其他实施例不需要包括设备本身。
图6例示了在其中可以实现某些实施例的系统600的体系结构的框图。在某些实施例中,图1所示的存储系统102和主机104a......104n可以根据系统600来实现。系统600可以包括电路602,该电路在某些实施例中可包括处理器604。系统600还可以包括存储器606(例如,易失性存储设备)和存储装置608。系统600的某些组件可以或不可以在存储系统102和主机104a......104n中找到。存储装置608可以包括非易失性存储设备(例如,EEPROM、ROM、PROM、RAM、DRAM、SRAM、闪速存储器、固件、可编程逻辑等)、磁盘驱动器、光盘驱动器、磁带驱动器等。存储装置608可以包括内部存储设备、附加存储设备和/或网络可访问存储设备。系统600可以包括程序逻辑610,其包括可以被装入存储器606并由处理器604或电路602执行的代码612。在某些实施例中,包括代码612的程序逻辑610可以存储在存储装置608中。在某些其他实施例中,程序逻辑610可以在电路602中实现。因此,尽管图6示出了与其他组件分离的程序逻辑610,但是程序逻辑610也可以在存储器606和/或电路602中实现。
某些实施例可以指向一种用于由人或自动处理集成计算机可读代码将计算指令部署在计算系统中的方法,其中使得结合计算系统的代码能够执行所述实施例的操作。
图2、3、4和5所示的至少某些操作可以并行以及连续地执行。在可选实施例中,某些操作可以以不同顺序执行、修改或移除。
而且,为了例示的目的已经以单独模块的形式描述了许多软件和硬件部件。这些组件可以被集成到较少数量的部件中或者被划分为更多数量的部件。另外,描述为由特定部件执行的某些操作可以由其他部件执行。
图1-6所示出或引用的数据结构和部件被描述为具有特定类型的信息。在可选实施例中,所述数据结构和元件可以在结构上不同,并且相对于附图中示出或引用的那些域和功能来说具有更少的、更多的或不同的域或不同的功能。因此,为了例示和说明的目的已呈现了对实施例的前述描述。并不意图穷举或将实施例限制于所公开的明确形式。根据上述教导,多种修改和变体都是可能的。
Claims (12)
1.一种用于为存储单元提供安全性的方法,包括:
在存储系统中维护与至少一个逻辑单元相对应的第一指示符,其中所述第一指示符指示出是否必须为所述至少一个逻辑单元设置口令;
为必须设置口令的所述至少一个逻辑单元分配对应的口令;
在存储系统中维护与所述至少一个逻辑单元相对应的第二指示符,其中所述第二指示符用于包括已分配的口令;
从请求者接收对所述至少一个逻辑单元执行操作的请求;
在所述第一指示符指示出必须为所述至少一个逻辑单元设置口令的情况下,响应于请求者提供所述至少一个逻辑单元的分配口令,请求者被认证有限的时段;以及
响应于对请求者的认证,或者在所述第一指示符指示出不必为所述至少一个逻辑单元设置口令的情况下,对所述至少一个逻辑单元执行操作。
2.如权利要求1所述的方法,其中所述请求是从存储系统内生成的,其中所述操作是用于拷贝所述至少一个逻辑单元,并且其中在所述请求者被认证有限的时段的情况下,响应于所述操作的会话到期,所述有限的时段也到期。
3.如权利要求1所述的方法,其中所述请求是由请求者从耦合于存储系统的至少一个主机生成的,其中所述操作是用于对所述至少一个逻辑单元执行输入/输出,并且其中在所述请求者被认证有限的时段的情况下,响应于所述操作的会话到期,所述有限的时段也到期。
4.如权利要求1所述的方法,其中所述请求是由请求者从至少一个主机生成的,该方法进一步包括:
维护对应于所述至少一个逻辑单元的访问控制列表,其中访问控制列表中的条目能够被用于确定所述至少一个主机是否能够访问所述至少一个逻辑单元;以及
其中,请求者被认证有限的时段的所述步骤进一步包括:请求者被认证有限的时段,即使访问控制列表中的条目已经被用于确定所述至少一个主机能够访问所述至少一个逻辑单元。
5.如权利要求1所述的方法,进一步包括:
在存储系统中生成包括所述至少一个逻辑单元的多个逻辑单元;以及
在所述第一指示符指示出必须为从所述多个逻辑单元中选择的逻辑单元组设置口令的情况下,为从所述多个逻辑单元中选择的逻辑单元组分配单个口令,其中通过提供所述单个口令,请求者被认证对所述逻辑单元组执行操作。
6.如权利要求1所述的方法,其中所述至少一个逻辑单元包括从包括耦合于存储系统的物理存储装置的多个物理卷所生成的多个逻辑卷。
7.一种用于为存储单元提供安全性的系统,包括:
用于在系统中维护与至少一个逻辑单元相对应的第一指示符的装置,其中所述第一指示符指示出是否必须为所述至少一个逻辑单元设置口令;
用于为必须设置口令的所述至少一个逻辑单元分配对应的口令的装置;
用于在系统中维护与所述至少一个逻辑单元相对应的第二指示符的装置,其中所述第二指示符用于包括已分配的口令;
用于从请求者接收对所述至少一个逻辑单元执行操作的请求的装置;
在所述第一指示符指示出必须为所述至少一个逻辑单元设置口令的情况下,用于响应于请求者提供所述至少一个逻辑单元的分配口令,请求者被认证有限的时段的装置;以及
用于响应于对请求者的认证,或者在所述第一指示符指示出不必为所述至少一个逻辑单元设置口令的情况下,对所述至少一个逻辑单元执行操作的装置。
8.如权利要求7所述的系统,其中所述系统是存储系统,其中所述请求是从存储系统内生成的,其中所述操作是用于拷贝所述至少一个逻辑单元,并且其中在所述请求者被认证有限的时段的情况下,响应于所述操作的会话到期,所述有限的时段也到期。
9.如权利要求7所述的系统,其中所述系统是存储系统,其中所述请求是由请求者从耦合于存储系统的至少一个主机生成的,其中所述操作是用于对所述至少一个逻辑单元执行输入/输出,并且其中在所述请求者被认证有限的时段的情况下,响应于所述操作的会话到期,所述有限的时段也到期。
10.如权利要求7所述的系统,其中所述请求是由请求者从至少一个主机生成的,其中所述系统进一步包括:
用于维护对应于所述至少一个逻辑单元的访问控制列表的装置,其中访问控制列表中的条目能够被用于确定所述至少一个主机是否能够访问所述至少一个逻辑单元;以及
其中,所述用于响应于请求者提供所述至少一个逻辑单元的分配口令,请求者被认证有限的时段的装置进一步包括:用于使请求者被认证有限的时段,即使访问控制列表中的条目已经被用于确定所述至少一个主机能够访问所述至少一个逻辑单元的装置。
11.如权利要求7所述的系统,其中所述系统进一步包括:
用于在存储系统中生成包括所述至少一个逻辑单元的多个逻辑单元的装置;以及
用于为从所述多个逻辑单元中选择的逻辑单元组分配单个口令的装置,其中通过提供所述单个口令,请求者被认证对所述逻辑单元组执行操作。
12.如权利要求7所述的系统,其中所述系统是存储系统,其中所述至少一个逻辑单元包括从包括耦合于存储系统的物理存储装置的多个物理卷所生成的多个逻辑卷。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/215,190 US20070050587A1 (en) | 2005-08-29 | 2005-08-29 | Providing security for storage units |
| US11/215,190 | 2005-08-29 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1924877A CN1924877A (zh) | 2007-03-07 |
| CN100495417C true CN100495417C (zh) | 2009-06-03 |
Family
ID=37805725
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006101089643A Expired - Fee Related CN100495417C (zh) | 2005-08-29 | 2006-07-31 | 为存储单元提供安全性的方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20070050587A1 (zh) |
| CN (1) | CN100495417C (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4466583B2 (ja) * | 2006-02-18 | 2010-05-26 | コニカミノルタビジネステクノロジーズ株式会社 | アクセス制御装置及びアクセス制御プログラム |
| AU2008202090A1 (en) * | 2007-06-07 | 2009-01-08 | Aristocrat Technologies Australia Pty Limited | Method of credit input and a gaming system |
| US9559862B1 (en) * | 2012-09-07 | 2017-01-31 | Veritas Technologies Llc | Determining connectivity of various elements of distributed storage systems |
| US9876804B2 (en) * | 2013-10-20 | 2018-01-23 | Cyber-Ark Software Ltd. | Method and system for detecting unauthorized access to and use of network resources |
| US9712548B2 (en) | 2013-10-27 | 2017-07-18 | Cyber-Ark Software Ltd. | Privileged analytics system |
| US9497206B2 (en) | 2014-04-16 | 2016-11-15 | Cyber-Ark Software Ltd. | Anomaly detection in groups of network addresses |
| US9565203B2 (en) * | 2014-11-13 | 2017-02-07 | Cyber-Ark Software Ltd. | Systems and methods for detection of anomalous network behavior |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5768503A (en) * | 1995-09-25 | 1998-06-16 | International Business Machines Corporation | Middleware program with enhanced security |
| US6421711B1 (en) * | 1998-06-29 | 2002-07-16 | Emc Corporation | Virtual ports for data transferring of a data storage system |
| US20040030768A1 (en) * | 1999-05-25 | 2004-02-12 | Suban Krishnamoorthy | Unified system and method for downloading code to heterogeneous devices in distributed storage area networks |
| US6684209B1 (en) * | 2000-01-14 | 2004-01-27 | Hitachi, Ltd. | Security method and system for storage subsystem |
| US20020104008A1 (en) * | 2000-11-30 | 2002-08-01 | Cochran Robert A. | Method and system for securing control-device-lun-mediated access to luns provided by a mass storage device |
| JP2002288108A (ja) * | 2001-03-28 | 2002-10-04 | Hitachi Ltd | 外部記憶装置 |
| US7734781B2 (en) * | 2001-07-09 | 2010-06-08 | Savvis Communications Corporation | Methods and systems for shared storage virtualization |
| JP2003316522A (ja) * | 2002-04-26 | 2003-11-07 | Hitachi Ltd | 計算機システムおよび計算機システムの制御方法 |
| JP4123088B2 (ja) * | 2003-08-06 | 2008-07-23 | 株式会社日立製作所 | ストレージネットワーク管理装置及び方法 |
-
2005
- 2005-08-29 US US11/215,190 patent/US20070050587A1/en not_active Abandoned
-
2006
- 2006-07-31 CN CNB2006101089643A patent/CN100495417C/zh not_active Expired - Fee Related
Non-Patent Citations (2)
| Title |
|---|
| Kerberos: An Authentication Service for Computer Networks. B.Clifford Neuman and Theodore Ts'o.IEEE Communications Magazine,Vol.32 No.9. 1994 |
| Kerberos: An Authentication Service for Computer Networks. B.Clifford Neuman and Theodore Ts'o.IEEE Communications Magazine,Vol.32 No.9. 1994 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070050587A1 (en) | 2007-03-01 |
| CN1924877A (zh) | 2007-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100495417C (zh) | 为存储单元提供安全性的方法和系统 | |
| CN1893372B (zh) | 用于授权的方法与系统 | |
| US10013364B1 (en) | Securing data using per tenant encryption keys | |
| CN101983379B (zh) | 盘驱动器数据加密 | |
| US7146644B2 (en) | Data security system and method responsive to electronic attacks | |
| JP4801059B2 (ja) | キー断片化による自動的な暗号化と復号化を伴うデータアーカイビングのための方法、システム及びセキュリティ手段 | |
| CN101141462B (zh) | 用于对可移动存储介质的加密进行密钥重置的方法和设备 | |
| CN110602248B (zh) | 异常行为信息的识别方法、系统、装置、设备及介质 | |
| CN101517589A (zh) | 管理存储池中的卷的加密 | |
| CN101140544B (zh) | 用于验证可移动存储介质上的加密密钥文件的方法和系统 | |
| CN1812463B (zh) | 信息处理装置的功能管理系统、功能扩展方法、功能删除方法 | |
| CN101263463B (zh) | 事务性密封存储 | |
| US20080181406A1 (en) | System and Method of Storage Device Data Encryption and Data Access Via a Hardware Key | |
| CN101008966A (zh) | 独立于操作系统的数据管理 | |
| CN101449276B (zh) | 用于安全地存储数据的方法和系统 | |
| EP3614619B1 (en) | Providing a secure object store using a hierarchical key system | |
| CN100517276C (zh) | 一种数据安全存储的方法及装置 | |
| CN107408192A (zh) | 保护存储器 | |
| WO2003032133A3 (en) | Distributed security architecture for storage area networks (san) | |
| CN102222049A (zh) | 自加密存储设备的可扩展管理 | |
| EP1803047A1 (en) | Computer hard disk security | |
| CN102891876A (zh) | 云计算环境下分布式数据加密方法及系统 | |
| CN101183468A (zh) | 终端登录系统及方法 | |
| JP2022531497A (ja) | 一方向接続を介したデジタル資産所有物の移転 | |
| US7596702B2 (en) | Network storage devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: YIWU WADOU PICTURE CO., LTD. Free format text: FORMER OWNER: WANG AIXIANG Effective date: 20101102 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 322000 NO.398, CHOUZHOU WEST ROAD, YIWU CITY, ZHEJIANG PROVINCE TO: 322000 NO.136, QIJIGUANG, ECONOMIC DEVELOPMENT ZONE, CHOUJIANG, YIWU CITY, ZHEJIANG PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20101108 Address after: 201203 Shanghai city Pudong New Area Keyuan Road No. 399 Zhang Jiang Zhang Jiang high tech Park Innovation Park 10 Building 7 layer Patentee after: International Business Machines (China) Co., Ltd. Address before: American New York Patentee before: International Business Machines Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090603 Termination date: 20170731 |