CN101056237A - 用于控制对计算机共享的存储设备中的逻辑单元的访问的方法和系统 - Google Patents
用于控制对计算机共享的存储设备中的逻辑单元的访问的方法和系统 Download PDFInfo
- Publication number
- CN101056237A CN101056237A CNA2007100913611A CN200710091361A CN101056237A CN 101056237 A CN101056237 A CN 101056237A CN A2007100913611 A CNA2007100913611 A CN A2007100913611A CN 200710091361 A CN200710091361 A CN 200710091361A CN 101056237 A CN101056237 A CN 101056237A
- Authority
- CN
- China
- Prior art keywords
- identifier
- computer
- promoter
- user
- logical block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种用于控制对计算机共享的存储设备中的逻辑单元的访问的方法和系统。该方法包括用户终端(10-i)的采集单元(101)采集包括用户ID(102)和计算机ID(103)的发起者ID。该发起者ID由发送单元(104)发送,然后,由存储设备(30)的发送/接收单元(300)接收。LUDB(301)存储确定与若干用户中的每个用户ID对应的LU的信息。掩蔽单元(302)访问该LUDB,以确定与该用户ID(102)对应的LU。如果接收到的发起者ID与对应于该确定的LU而存储在该表(304)中的发起者ID不同,那么访问控制单元(306)就拒绝用户终端(10-i)对该LU的访问。
Description
技术领域
本发明涉及包括用户所使用的计算机和这些计算机所共享的存储设备在内的存储系统。特别是,本发明涉及对这些计算机所共享的存储设备的逻辑单元的访问控制。
背景技术
存储系统包括能够由任何用户使用的若干计算机以及这些计算机所共享的存储设备。在存储系统中,针对每个用户的计算机的工作环境信息存储在位于例如数据中心的存储设备的逻辑单元(LU)中。换句话说,每个用户在存储设备中拥有LU。在这种存储系统中,用户不会拥有任何计算机。
这些计算机和存储设备通过网络例如利用光纤通道技术(fiberchannel technique)的存储区域网络(SAN)连接。用户能够通过任何一个通过SAN连接到存储设备的计算机拥有工作环境信息。
通过SAN连接的计算机没有一个具有硬盘。这些计算机能够由用户使用。简言之,这些计算机和用户不存在一对一的对应关系而是N对M的关系。N表示计算机的数量,M表示用户的数量。
前述存储系统有下列两个优点。第一,用户不需要随身携带计算机,并且能够使用每个分公司所提供的作为基本设施的计算机。第二,用户能够任意选择和使用任何一个处于未使用状态的计算机;因此提高了计算机的利用率。
例如,大企业在世界各地有许多分公司。在这种情况下,所有雇员的工作环境信息都存储在位于公司数据中心的存储设备中。这里,工作环境信息包括操作系统、应用软件、雇员所使用的那些设置和数据。
任何一个分公司所提供的任何一个计算机能够连接到任何一个用户的工作环境信息。通过这样做,任何一个用户就能够使用任何一个计算机,如同是自己的计算机一样。例如,即使雇员因工作而到另外一个分公司,雇员仍然能够访问自己的工作环境信息。
然而,前述存储系统存在下列问题。也即,计算机和用户具有N对M的关系;因此,在计算机之间和用户之间会出现互斥问题。
用于前述存储系统的计算机不包括硬盘。因此,当用户关掉计算机而结束计算机的使用时,没有数据保留预订(reserve)在该计算机上。因而,即使若干用户依次使用同一台计算机,后面的用户决不会受到前面用户怎样使用该计算机的影响;因此不存在互斥问题。
另一方面,一般操作系统是存储在每个计算机的硬盘上;因此,没有对在多台计算机上同时工作进行设计。例如,如果用户忘记将连接到自己的工作环境信息的计算机的电源关掉,并且随后从另一台计算机连接到自己的工作环境信息,那么操作系统将出错。结果存在数据遭受破坏的可能性。换句话说,如果若干计算机同时访问同一个工作环境信息,就会出现互斥问题。
为了解决前述问题,有人公开了下列技术(参见公开号为2001-75853的日本专利申请)。根据该技术,在存储设备中存储了一张用于显示计算机和存储用户工作环境信息的LU之间关系的表。然后,根据连接的计算机,访问LU就映射(map)在该表中。该技术能够解决前述互斥问题,因为计算机仅仅根据预定的计算机和工作环境信息访问工作环境信息。
根据前述技术,仅仅与用于存储工作环境信息的LU相对应的计算机能够访问该工作环境信息。因此解决了互斥问题。
然而,当计算机和工作环境信息的对应关系发生改变时,也即,用户改变使用的计算机时,在计算机和LU之间的对应关系的存储设备设置每次也必须改变。
因而,要正确掌握计算机和工作环境信息的对应关系的改变,以能将其一直反映在存储设备中。
然而,在存在许多用户的存储系统中,这是一件困难的事,并且用户和计算机的对应关系因用户的需求而有多种改变。
发明内容
本发明的一个目的是提供一种存储系统,其能够容易地管理存储设备,即使计算机和工作环境的对应关系的改变也无需改变存储设备的设置。本发明的另一个目的是提供一种用于该存储系统的存储设备,以及一种访问控制方法。
根据本发明的一方面,提供了一种存储系统,其包括:由用户使用的若干计算机;和该若干计算机所共享的、具有逻辑单元的存储设备,每个逻辑单元对应于该若干用户中的每一个。
该存储系统的该若干计算机中的每一台都包括:设置为能够根据使用该计算机的用户的操作采集发起者(initiator)标识符的采集单元,该发起者标识符包括用于标识用户的用户标识符和用于来标识该计算机的计算机标识符;和将由该采集单元采集的该发起者标识符发送到存储设备的发送单元。存储设备包括:接收由发送单元发送来的发起者标识符的接收单元;存储用户标识符与对应于由该用户标识符所标识的用户的逻辑单元之间的对应关系的信息的数据库;掩蔽单元(masking unit),其设置为能够查阅(refer to)所述数据库以确定与包括在由接收单元所接收的发起者标识符中的用户标识符对应的逻辑单元、以及限制从由包括在由接收器所接收的发起者标识符中的该计算机标识符所标识的计算机到所述逻辑单元的访问;存储逻辑单元与包括用于标识具有访问该逻辑单元权限的计算机的计算机标识符的发起者标识符之间的对应关系的信息的表;以及访问控制单元,其设置为当由接收单元所接收的发起者标识符不同于存储在该表中对应于由该掩蔽单元所确定的该逻辑单元的发起者标识符时,拒绝由包括在所接收的发起者标识符中的计算机标识符所标识的计算机的访问。
附图说明
与说明书结合并构成其一部分的附图图示了本发明的实施例,并且连同上面给出的一般性的描述以及下面给出的对实施例的详细描述一起用来解释本发明的原理。
图1是用于示意性地示出根据本发明一个实施例的存储系统的设置的框图;
图2是用于示出在图1所示的存储系统中的用户终端10-i和存储设备30中的各设置的框图;
图3是用于示出图2所示的LU数据库301的数据结构的表;
图4是用以解释图2所示的预订表304的数据结构的视图;
图5是用于示出当从用户终端10-i相对于存储设备30发出预订请求时存储系统的处理过程的顺序图表;和
图6是用于示出当从用户终端10-i相对于存储设备30发出强制预订请求时存储系统的处理过程的顺序图表。
具体实施方式
参照附图对本发明的一个实施例进行解释。
图1是用于示意性地示出根据本发明一个实施例的存储系统的设置的框图。如图1所示,将任何用户都能够使用的每个用户终端(计算机)10-1、10-2、......10-n通过网络20例如使用以太网(注册商标)的IP-存储区域网络(IP-SAN)连接起来,以便和存储设备30通讯。用户终端的数量用“n”表示,用户的数量用“m”表示。
这些用户终端10-1、10-2、......10-n每一个都是无磁盘计算机,其不包括例如硬盘这样的磁盘。此外,用户终端10-1、10-2、......10-n中的每一个都可由m个用户中的任何一个用户使用。
存储设备30由用户终端10-1、10-2、......10-n共享。此外,存储设备30具有对应于m个用户的m个逻辑单元(LU)。后面将描述LU的详细情况。
根据这个实施例,使用符合互联网小型计算机系统接口(iSCSI)的协议,以便通过网络20在用户终端10-1、10-2、......10-n和存储设备30之间进行通讯。
图2是用于示出用户终端10-i(i=1、2、......n)和10-j(j=1、2、......n、j·i)和存储设备30的功能性设置的框图。
这里,使用用户终端10-i的用户由用户50-k(k=1、2、......m)表示。在这种情况下,用户50-k也能够使用不是用户终端10-i的任何一个用户终端,例如用户终端10-j。用户终端10-j具有与下面描述的用户终端10-i相同的设置。不是用户50-k的用户,例如用户50-l(l=1、2、......m、l·k)也可以使用用户终端10-i或者10-j。
用户终端10-i具有采集单元101和发送单元104。采集单元101采集用于标识使用用户终端10-i的用户50-k的用户ID(用户标识信息)102。
当用户50-k使用用户终端10-i时,采集单元101采集由使用用户终端10-i的用户50-k输入的用户名称作为用户ID 102。顺便说一下,采集单元101也具有下列设置。例如,采集单元101读取在使用用户终端10-i的用户50-k登陆时使用的IC卡上的信息,并且由此采集到用户ID 102。
采集单元101采集用于标识用户终端10-i的计算机ID(计算机标识信息)103。计算机ID 103预先存储在用户终端10-i上。
采集单元101还采集包括所采集的用户ID 102和计算机ID 103的发起者ID(发起者标识信息)。
采集单元101从用户50-k采集下列请求中的一部分。第一个请求是预订请求,以便为用户终端10-i(的用户50-k)预订存储设备30中与用户50-k对应的LU(的使用权)。第二个请求是强制预订(forced reservation)请求,以便即使存在有权使用与用户50-k对应的LU的其它用户终端也即存在时,即,现在预订该LU的用户终端存在时,也能够为用户终端10-i(的用户50-k)强制地预订该LU。第三个请求是预订释放请求,以便针对存储设备30将由用户终端10-i当前预订的LU从预订状态释放掉。预订释放请求是一个当用户50-k结束用户终端10-i的使用时将预订着的LU的状态(预定的权利)释放出来的请求。
发送单元104将采集单元101所采集的发起者ID发送到存储设备30。发送单元104还通过网络20将前述由采集单元101所采集的预订请求、强制预订请求或者预订释放请求发送到存储设备30(参见图1)。
存储设备30具有发送/接收单元300、LU数据库(DB)301、掩蔽单元302、LU 303-1、303-2、......303-n、预订表304、预订单元305和访问控制单元306。
发送/接收单元300接收由任一个用户终端(例如用户终端10-i)的发送单元104发送过来的发起者ID。发送/接收单元300还接收由发送单元104发送过来的预订请求、强制预订请求或者预订释放请求。
此外,发送/接收单元300将指示用户终端10-i与存储设备30相连的信息发送到用户终端10-i。
通常在iSCSI网络中,使用计算机ID 103作为iSCSI名称(iSCSI发起者名称),同时使用用以标识在由iSCSI名称指定的计算机中的对话期间(session)的标识符作为ISID(发起者对话期间标识符)。顺便说一下,在iSCSI规则中,定义发起者ID为iSCSI名称和ISID的组合。
与此相反,根据这个实施例,将用户ID 102用作iSCSI名称,同时将计算机ID 103用作ISID。换句话说,根据这个实施例,iSCSI名称根据使用用户终端的用户而改变。在这种情况下,发起者ID(定义为iSCSI名称和ISID的组合)是用户ID和计算机ID的组合。
LU数据库301存储用户ID与标识LU的LUN(逻辑单元数)之间的对应关系,该LU与由m个用户的用户ID所标识的用户对应。
前述LU 303-1、303-2、......303-m存储针对m个用户中的每个所预先赋予的工作环境信息。这里,存储针对用户50-k的工作环境信息的LU表示为LU 303-k。
前述工作环境包括用于下列各种软件和硬件的设置和/或数据:操作系统、打印机、网络、应用程序、图形屏幕(graphic screen)、磁盘驱动器和磁带驱动器。
掩蔽单元302确定与用户ID 102对应的LU,该用户ID 102包括在由发送/接收单元300接收的发起者ID中。这里,掩蔽单元302查阅LU数据库301,并且由此确定由存储在LUDB 301中的LUN表示的、与标识用户50-k的用户ID 102对应的LU 303-k。换句话说,掩蔽单元302将LU303-k映射到用户50-k上。此外,掩蔽单元302限制从由包括在接收到的发起者ID中的计算机ID 103标识的用户终端10-i到LU 303-k的访问。
预订表304存储LUN与发起者ID之间的对应关系,该发起者ID包括现在正在预订由LUN标识的LU的用户终端的计算机ID。
预订单元305基于发送/接收单元300所接收的预订请求在预订表304中设置下列信息。即,预订单元305在预订表304中设置由发送/接收单元300所接收的、与LU 303-k对应的发起者ID。通过这样做,预订单元305为由包括在发起者ID中的计算机ID 103标识的用户终端10-i预订LU303-k。
预订单元305还基于发送/接收单元300所接收的强制预订请求在预订表304中设置下列信息。即,预订单元305将发送/接收单元300所接收的、与LU 303-k对应的发起者ID无条件地设置在预订表304中。通过这样做,预订单元305为由包括在发起者ID中的计算机ID 103标识的用户终端10-i预订LU 303-k。
此外,预订单元305还基于发送/接收单元300所接收的预订释放请求将存储在预订表304中对应于所述LU 303-k的发起者ID除去。通过这样做,就释放了用户终端10-i对LU 303-k的预订。
访问控制单元306查阅预订表304,以允许或者拒绝用户终端10-i对LU 303-k的访问。
图3示出LU数据库301的数据结构。从图3中看出,LU数据库301预先存储用户ID和用于标识LU的LUN之间的对应关系,该LU与由该用户ID标识的用户对应。
在图3中,LU数据库301存储标识信息,即,用于标识图2中的LU303-1的LU1与用户ID“endo”对应。此外,LU数据库301存储标识信息,即,用于标识图2中的LU 303-2的LU2与用户ID“tanaka”对应。
图4示出预订表304的数据结构。在预订表304中,将包括用于标识预订LU的用户终端的计算机ID在内的发起者ID对应于该LU存储起来。
在图4中,预订表304存储与发起者ID1对应的LU1以及与发起者ID2对应的LU2。
下面将参照图5的流程图来解释当从用户终端10-i向存储设备30提交预订请求时所述存储系统的程序。在这种情况下,用户50-k选择并且使用前述用户终端10-1、10-2、......10-n中的用户终端10-i。此外,与用户50-k对应的LU是LU 303-k。
采集单元101采集用于标识用户50-k的用户ID 102和用于标识用户50-k所使用的用户终端10-i的计算机ID 103。换句话说,采集单元101采集包括前述的用户ID102和计算机ID103的发起者ID(=用户ID102+计算机ID103)(步骤S1)。
用户终端10-i的发送单元104将采集单元101所采集的发起者ID发送到存储设备30(步骤S2)。发起者ID被发送,并且由此用户终端10-i被连接到存储设备30。通过这个程序,就在用户终端10-i和存储设备30之间形成(建立)起一条逻辑通讯路径。之后,用户终端10-i能够通过该通讯路径与存储设备30进行通讯。当用户终端10-i连接到存储设备30时,发送/接收单元300通过用户终端10-i对用户50-k进行应答(步骤S3)。
存储设备30的掩蔽单元302查阅该LU数据库301,以确定与用户ID102对应的由存储在LUDB301中的LUN所标识的LU 303-k(步骤S4)。
另一方面,使用用户终端10-i的用户50-k通过用户终端10-i进行一个请求的操作,以预订LU 303-k。在这种情况下,用户终端10-i的采集单元101采集预订请求,以在所述存储设备中为用户终端10-i(用户50-k)预订LU 303-k(步骤S5)。发送单元104通过通讯路径向存储设备30通知(发送)该预订请求(步骤S6)。
当爱预订请求从用户终端10-i发送到存储设备30时,存储设备30的预订单元305进行下面的程序。具体地,预订单元305查阅预订表304,以查明与由掩蔽单元302所确定的LU303-k对应的任何一个发起者ID是否被存储。
如果没有存储与所述LU303-k对应的发起者ID,那么与LU303-k对应地,预订单元305在预订表304中设置由发送/接收单元300所接收的发起者ID。通过这样做,就为由包括在由发送/接收单元300所接收的发起者ID中的计算机ID 103所标识的用户终端10-i预订了LU303-k(步骤S7)。
与此相反,如果已经存储了与LU303-k对应的另外的发起者ID,用户终端10-i则被通知预订冲突(预订访问拒绝)。
当为用户终端10-i预订了LU303-k时,访问控制单元306就允许用户终端10-i访问LU303-k(步骤S8)。
然后,当访问控制单元306允许对LU303-k访问时,用户终端10-i就可以访问存储在LU303-k中的用户50-k的工作环境信息。因而,用户50-k基于用户50-k的工作环境信息开始使用用户终端10-i(步骤S9)。
下面将解释当用户50-k结束使用用户终端10-i时进行的程序。用户50-k使用用户终端10-i进行一个发出请求的操作,将LU303-k从预订状态释放。在这种情况下,用户终端10-i的采集单元101采集用于从预订状态释放LU303-k的预订释放请求(步骤S10)。该预订释放请求通过发送单元104发送到存储设备30(步骤S11)。
当从用户终端10-i发送预订释放请求时,存储设备30的预订单元305查阅预订表304,以确认用户终端10-i预订了LU303-k。
当确认用户终端10-i预订了LU303-k时,预订单元305除去存储在预订表304中与LU303-k对应的发起者ID。通过这样做,就将用户终端10-i对LU303-k的预订权(reserved right)释放出来(步骤S12)。
将所述预定权由预订单元305释放的回执发送到用户终端10-i(步骤S13)。
下面参照图6的顺序图表来解释当从用户终端10-i向存储设备30发出强制预订请求时存储系统的程序。
该强制预订请求是一个在以下情形中为用户终端10-i强制预订LU303-k的请求。在这种情况下,用户终端10-i在这样的状态下访问LU303-k:用户50-k使用图2中的用户终端10-j访问LU303-k。即,这个请求是在用户50-k到达用户终端10-i的位置而没有从用户终端10-j释放LU303-k的预订状态的情况下发出的。在此之后,现在LU303-k由用户终端10-j预订。
与图5的情形一样,用户50-k选择并且使用用户终端10-1、10-2、......10-n的10-i,并且与用户50-k对应的LU是LU303-k。
实施与图5中的步骤S1到S4等效的从步骤S31到S34的程序。
使用用户终端10-i的用户50-k进行一个操作来使用用户终端10-i发出强制预订LU303-k的请求。在这种情况下,用户终端10-i的采集单元101采集用以强制预订LU303-k的强制预订请求(步骤S35)。将所述强制预订请求通过发送单元104发送到存储设备30(步骤S36)。
然后,将所述强制预订请求从用户终端10-i发送到存储设备30。在这种情况下,存储设备30的预订单元305除去对应于由掩蔽单元302确定的LU303-k的存储的任何一个发起者ID,如果发现有它的话。然后,预订单元305在预订表304中设置与LU303-k对应的、由发送/接收单元300接收的发起者ID(步骤S37)。即,预订单元305为由计算机ID103标识的用户终端10-i强制预订LU303-k,该计算机标识ID103包括在由发送/接收单元300接收的发起者ID中。
根据所述强制预订请求,使包括用于标识用户终端10-j的计算机ID的发起者ID无效。在这种情况下,可以将由发送/接收单元300所接收的发起者ID设在用于存储无效发起者ID的预订表304的入口(entry)。此外,可以将发起者ID重新设在与LU303-k对应的另一个入口。
在这种情况下,将预订冲突通知发送到由包括在该无效的发起者ID中的计算机ID所标识的用户终端10-j。被通知预订冲突的用户终端10-j在将冲突信息显示到用户终端10-j的显示屏上后停止操作。
所述强制预订请求也在当用户终端10-j正在预订LU303-k时发生电源故障的情形下使用。在这种情况下,从用户终端10-j不会发送预订释放请求;因此,在没有从另一个用户终端发出强制预订请求的情况下,用户终端10-j的预订状态不会释放出来。另一方面,如果当预订单元305为用户终端10-i强制预订LU303-k的时候用户终端10-j正在操作中,用户终端10-j的操作就会停止。因此,确保了在用户终端10-i和10-j之间的互斥(mutual exclusion)。
实施与图5中的步骤S8到S13等效的从步骤S38到S43的程序。
根据前述实施例,用户ID102和LU303-k之间的对应关系预先存储在LU数据库301中。通过这样做,即使用户终端10-i和LU303-k之间的对应关系发生改变,用户50-k和LU303-k之间的对应关系也不会改变。因此,没有必要改变LU数据库。此外,通过使用包括用于标识由用户50-k使用的用户终端10-i的计算机ID在内的发起者ID来管理所述预订权。通过这样做,确保了与另外的用户终端的互斥。
通常,在iSCSI网络中,LU被映射到使用计算机ID 103作为iSCSI名称的计算机上。与此相反,根据这个实施例,使用用户ID102作为iSCSI名称。通过这样做,能够使用普通的映射机制来将LU映射到用户。预订也容易管理,而无需改变普通的映射机制。
例如,假设用户试图从用户终端10-i访问LU303-k,同时用户50-k正在从用户终端10-j访问LU303-k。在这种情况下,根据强制预订请求,无需断开用户终端10-j就从用户终端10-i访问LU303-k是可能的。
存储设备30可以配置验证(authentication)单元。该验证单元使用包括在由用户终端10-i的发送单元104发送的发起者ID中的用户ID102作为用以验证用户50-k的验证目标。
对本领域技术人员来说,容易获知另外的优点和修改。因此,从更广方面看,本发明不限于这里所示和所描述的具体细节和代表性的实施例。因而,在不脱离由所附权利要求及其等价描述所限定的有创造性的思想的精神和范围的前提下可以进行各种修改。
Claims (8)
1.一种存储系统,其特征在于包括:
由若干用户使用的若干计算机;和
由该若干计算机所共享并且具有多个逻辑单元的存储设备,每个逻辑单元与该若干用户中的每一个对应,
该若干计算机的每一台都包括:
采集单元,配置为根据使用该计算机的用户的操作来采集包括标识所述用户的用户标识符和标识所述计算机的计算机标识符在内的发起者标识符;和
向该存储设备发送由该采集单元采集的该发起者标识符的发送单元,
该存储设备包括:
接收由所述发送单元发送的所述发起者标识符的接收单元;
存储用户标识符与对应于由该用户标识符所标识的用户的逻辑单元之间的对应关系的信息的数据库;
掩蔽单元,配置为查阅所述数据库以确定与包括在由所述接收单元接收的所述发起者标识符中的用户标识符对应的逻辑单元,以及限制从由包括在由所述接收单元接收的所述发起者标识符中的该计算机标识符所标识的计算机到所述逻辑单元的访问;
一种表,用于存储逻辑单元与包括标识具有访问该逻辑单元权限的计算机的计算机标识符在内的发起者标识符之间的对应关系的信息;以及
访问控制单元,配置为当由所述接收单元接收的发起者标识符不同于存储在该表中对应于由所述掩蔽单元确定的所述逻辑单元的所述发起者标识符时,拒绝由包括在所述接收的发起者标识符中的所述计算机标识符所标识的计算机的访问。
2.如权利要求1所述的存储系统,其特征在于,该计算机和该存储设备是基于iSCSI(互联网小型计算机系统接口)协议可连接的,该发送单元和该接收单元根据该iSCSI协议发送和接收信息,并且在发送该计算机标识符作为ISID(发起者对话期间标识符)的同时,发送该用户标识符作为ISCSI发起者名称,并且
该掩蔽单元查阅该数据库,以确定与作为该iSCSI名称而接收的该用户标识符对应的逻辑单元。
3.如权利要求1所述的存储系统,其特征在于,该存储设备还包括:
预订单元,配置为当含有标识被允许访问由该掩蔽单元所确定的该逻辑单元的计算机的计算机标识符的发起者标识符没有与由该掩蔽单元确定的该逻辑单元相对应地存储在该表中时,在该表中设置与由该掩蔽单元确定的该逻辑单元对应的、由该接收单元接收的该发起者标识符;并且其中
针对由包括在由该预订单元设置的该发起者标识符中的该计算机标识符所标识的计算机,该访问控制单元允许对由该掩蔽单元确定的该逻辑单元进行访问。
4.如权利要求3所述的存储系统,其特征在于,该采集单元从由该用户标识符所标识的用户采集强制允许对由该掩蔽单元所确定的该逻辑单元进行访问的请求,
该发送单元通过在具有该发送单元的计算机和该存储设备之间所形成的通讯路径向该存储设备发送由该采集单元所采集的该请求,其中,通过该计算机,该接收单元接收该发送单元发送的该发起者标识符,
该接收单元接收由该发送单元发送的该请求,
当该请求由该接收单元接收,并且在该表中与由该掩蔽单元所确定的该逻辑单元对应地存储了与由该接收单元接收的该发起者标识符不同的发起者标识符时,该预订单元使不同的发起者标识符无效,并且将该接收到的发起者标识符与由该掩蔽单元确定的该逻辑单元对应地设置到该表中,并且
针对由包括在由该预订单元设置的该发起者标识符中的该计算机标识符所标识的该计算机,该访问控制单元允许对由该掩蔽单元确定的该逻辑单元进行访问,并且针对不是由包括在由该预订单元设置的该发起者标识符中的该计算机标识符所标识的该计算机的那些计算机,拒绝对由该掩蔽单元确定的该逻辑单元进行访问。
5.如权利要求4所述的存储系统,其特征在于,如果该访问控制单元拒绝对由该掩蔽单元确定的该逻辑单元的访问,那么由包括在所述不同的发起者标识符中的该计算机标识符所标识的计算机就停止操作。
6.存储设备,由若干用户使用的若干计算机所共享,并且具有多个逻辑单元,每个逻辑单元对应于该若干用户中的每一个用户,其特征在于包括:
接收单元,其接收发起者标识符,该发起者标识符包括用于标识使用任一计算机的用户的用户标识符和用于标识该任一计算机的计算机标识符,该发起者标识符从该若干计算机中的任一计算机被发送到该存储设备;
数据库,其存储关于用户标识符与逻辑单元之间的对应关系的信息,该逻辑单元与由该用户标识符所标识的用户对应;
掩蔽单元,配置为查阅该数据库以确定与包括在由该接收单元接收到的该发起者标识符中的该用户标识符相对应的逻辑单元,并且限制从由包括在该接收到的发起者标识符中的该计算机标识符所标识的该计算机对该逻辑单元的访问;
表,其存储关于逻辑单元与发起者标识符之间的对应关系的信息,该发起者标识符包括用于标识具有对该逻辑单元的访问权的计算机的计算机标识符;和
访问控制单元,配置为如果由该接收单元接收的该发起者标识符与对应于由该掩蔽单元确定的该逻辑单元而存储在该表中的该发起者标识符不同,就拒绝由包括在该接收到的发起者标识符中的该计算机标识符所标识的该计算机对该逻辑单元的访问。
7.如权利要求6所述的存储设备,其特征在于,还包括:
预订单元,配置为,如果包括用于标识具有对由该掩蔽单元确定的该逻辑单元的访问权的计算机的该计算机标识符的发起者标识符没有与由该掩蔽单元确定的该逻辑单元对应地存储在所述表中,那么将由该接收单元接收的该发起者标识符与由该掩蔽单元确定的该逻辑单元对应地设置在该表中;其中
针对由包括在由该预订单元设置的发起者标识符中的计算机标识符所标识的计算机,该访问控制单元允许对由该掩蔽单元确定的该逻辑单元的访问。
8.控制从若干计算机中的每一台对与使用计算机的用户相对应的逻辑单元的访问的方法,该方法应用于存储系统,该存储系统具有被若干用户使用的若干计算机以及由该若干计算机共享并且包括多个逻辑单元的存储设备,每个逻辑单元与该若干用户中的每一个对应;存储用户标识符与对应于由该用户标识符所标识的用户的逻辑单元之间的对应关系的信息的数据库;以及存储逻辑单元与发起者标识符之间的对应关系的信息的表,该发起者标识符包括用于标识具有对该逻辑单元的访问权的计算机的计算机标识符,该方法特征在于包括:
根据使用该若干计算机中的任一计算机的该若干用户的任一用户的操作,针对任一计算机,通过计算机采集发起者标识符,该发起者标识符包括用于标识进行操作的用户的用户标识符和用于标识任一计算机的计算机标识符;
通过该计算机将该发起者标识符发送到该存储设备;
通过该存储设备接收该发送的发起者标识符;
通过该存储设备查阅该数据库,以确定与包括在该接收到的发起者标识符中的该用户标识符对应的逻辑单元,并且限制由包括在该接收到的发起者标识符中的该计算机标识符所标识的计算机对该逻辑单元的访问;
通过该存储设备确定该接收到的发起者标识符是否与对应于该确定的逻辑单元而存储在该表中的发起者标识符不同;并且
当确定该接收到的发起者标识符不同于存储在该表中的发起者标识符时,通过该存储设备拒绝由包括在该接收到的发起者标识符中的该计算机标识符所标识的该计算机对该逻辑单元的访问。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006100486A JP4504329B2 (ja) | 2006-03-31 | 2006-03-31 | ストレージシステム、当該ストレージシステムに用いられるストレージ及びアクセス制御方法 |
JP100486/2006 | 2006-03-31 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101056237A true CN101056237A (zh) | 2007-10-17 |
CN100544297C CN100544297C (zh) | 2009-09-23 |
Family
ID=38620967
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2007100913611A Expired - Fee Related CN100544297C (zh) | 2006-03-31 | 2007-03-30 | 存储设备、控制对存储设备中逻辑单元访问的方法和系统 |
Country Status (3)
Country | Link |
---|---|
US (1) | US8566948B2 (zh) |
JP (1) | JP4504329B2 (zh) |
CN (1) | CN100544297C (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104885059A (zh) * | 2012-12-12 | 2015-09-02 | 株式会社东芝 | 云系统管理装置、云系统、重新配置方法、及程序 |
CN106790702A (zh) * | 2017-02-24 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 一种基于物理场景的资源特权分发方法和管理端以及系统 |
CN108376055A (zh) * | 2018-03-16 | 2018-08-07 | 何小林 | 通过可信通道技术保护磁盘阵列数据安全的方法和系统 |
CN112751867A (zh) * | 2020-12-31 | 2021-05-04 | 南京航空航天大学 | 基于逻辑单元和信任评估的访问控制授权方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012008737A (ja) * | 2010-06-23 | 2012-01-12 | Toshiba Corp | ストレージ、同ストレージを備えたストレージシステム及び同ストレージシステムにおける排他的接続方法 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0673099B2 (ja) * | 1988-04-05 | 1994-09-14 | 日本電気株式会社 | ファイル装置の占有制御方式 |
JP2001075853A (ja) * | 1999-09-03 | 2001-03-23 | Hitachi Ltd | 計算機システム、及び該計算機システムに用いられる計算機並びに記憶装置 |
US7082462B1 (en) * | 1999-03-12 | 2006-07-25 | Hitachi, Ltd. | Method and system of managing an access to a private logical unit of a storage system |
JP3837953B2 (ja) * | 1999-03-12 | 2006-10-25 | 株式会社日立製作所 | 計算機システム |
EP1182558A1 (en) * | 2000-08-21 | 2002-02-27 | Texas Instruments Incorporated | MME descriptor having big/little endian bit to control the transfer data between devices |
JP2002230189A (ja) * | 2001-02-02 | 2002-08-16 | Hitachi Ltd | サービス提供システム |
US6976134B1 (en) * | 2001-09-28 | 2005-12-13 | Emc Corporation | Pooling and provisioning storage resources in a storage network |
US6934799B2 (en) * | 2002-01-18 | 2005-08-23 | International Business Machines Corporation | Virtualization of iSCSI storage |
US7367045B2 (en) * | 2002-03-16 | 2008-04-29 | Trustedflow Systems, Inc. | Trusted communications system |
US7165258B1 (en) * | 2002-04-22 | 2007-01-16 | Cisco Technology, Inc. | SCSI-based storage area network having a SCSI router that routes traffic between SCSI and IP networks |
JP4183443B2 (ja) * | 2002-05-27 | 2008-11-19 | 株式会社日立製作所 | データ再配置方法及び装置 |
US7127602B1 (en) * | 2003-02-21 | 2006-10-24 | Cisco Technology, Inc. | iSCSI computer boot system and method |
JP4311636B2 (ja) * | 2003-10-23 | 2009-08-12 | 株式会社日立製作所 | 記憶装置を複数の計算機で共用する計算機システム |
JP4327630B2 (ja) * | 2004-03-22 | 2009-09-09 | 株式会社日立製作所 | インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置 |
JP2005284437A (ja) * | 2004-03-29 | 2005-10-13 | Hitachi Ltd | ストレージ装置 |
-
2006
- 2006-03-31 JP JP2006100486A patent/JP4504329B2/ja not_active Expired - Fee Related
-
2007
- 2007-03-20 US US11/725,472 patent/US8566948B2/en not_active Expired - Fee Related
- 2007-03-30 CN CNB2007100913611A patent/CN100544297C/zh not_active Expired - Fee Related
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104885059A (zh) * | 2012-12-12 | 2015-09-02 | 株式会社东芝 | 云系统管理装置、云系统、重新配置方法、及程序 |
US9703653B2 (en) | 2012-12-12 | 2017-07-11 | Kabushiki Kaisha Toshiba | Cloud system management apparatus, cloud system, reallocation method, and computer program product |
CN104885059B (zh) * | 2012-12-12 | 2017-09-08 | 株式会社东芝 | 云系统管理装置、云系统及重新配置方法 |
CN106790702A (zh) * | 2017-02-24 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 一种基于物理场景的资源特权分发方法和管理端以及系统 |
CN106790702B (zh) * | 2017-02-24 | 2020-05-05 | 腾讯科技(深圳)有限公司 | 一种基于物理场景的资源特权分发方法和管理端以及系统 |
CN108376055A (zh) * | 2018-03-16 | 2018-08-07 | 何小林 | 通过可信通道技术保护磁盘阵列数据安全的方法和系统 |
CN108376055B (zh) * | 2018-03-16 | 2021-08-17 | 何小林 | 通过可信通道技术保护磁盘阵列数据安全的方法和系统 |
CN112751867A (zh) * | 2020-12-31 | 2021-05-04 | 南京航空航天大学 | 基于逻辑单元和信任评估的访问控制授权方法 |
Also Published As
Publication number | Publication date |
---|---|
JP4504329B2 (ja) | 2010-07-14 |
CN100544297C (zh) | 2009-09-23 |
US20070250907A1 (en) | 2007-10-25 |
JP2007272792A (ja) | 2007-10-18 |
US8566948B2 (en) | 2013-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8353002B2 (en) | Chaining information card selectors | |
US20130091502A1 (en) | System and method of providing virtual machine using device cloud | |
CN111741017B (zh) | 内外网之间的数据传输方法及相关设备 | |
CN101056237A (zh) | 用于控制对计算机共享的存储设备中的逻辑单元的访问的方法和系统 | |
US8566416B2 (en) | Method and system for accessing storage device | |
CN101403994A (zh) | 存储装置和存储装置访问控制方法 | |
CN101056175A (zh) | 磁盘阵列及其访问权限控制方法与装置、服务器及服务器系统 | |
CN109361638A (zh) | 智能设备控制权限共享的方法、系统及存储介质 | |
CN100336009C (zh) | 作业管理系统、作业管理装置及其控制方法 | |
CN109639643A (zh) | 基于区块链的客户经理信息共享方法、电子装置及可读存储介质 | |
CN103207965A (zh) | 一种虚拟环境下License认证的方法及装置 | |
CN101378329B (zh) | 分布式业务运营支撑系统和分布式业务的实现方法 | |
CN1251540C (zh) | 用于产生并提供在移动通信终端中使用的用户界面的方法 | |
CN106131244A (zh) | 一种报文传送方法及装置 | |
CN111232726B (zh) | 一种打印机器人及打印派送方法 | |
CN101064619A (zh) | 一种具有主题分发功能的资源管理平台及其方法 | |
CN103428260A (zh) | 用于将终端分配到服务器并高效地提示终端的系统及方法 | |
CN102750472A (zh) | 一种鉴权方法、装置及系统 | |
CN1475931A (zh) | 分配文件以及发送/接收分配的文件的系统 | |
CN106557690A (zh) | 管理多容器系统的方法及装置 | |
CN109933959B (zh) | 一种许可证控制方法及相关设备 | |
CN1279478C (zh) | 分散系统和上下文对应中间链接方法 | |
CN1630252A (zh) | 宽带ip接入设备及在该设备中实现用户日志的方法 | |
US11212352B2 (en) | Sharing system, method, and management server | |
CN101409663B (zh) | 一种用户终端服务的分配方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090923 Termination date: 20200330 |
|
CF01 | Termination of patent right due to non-payment of annual fee |