-
TECHNISCHES GEBIET
-
Die vorliegende Erfindung betrifft allgemein die Zugriffsverwaltung zur Aktivierung von Sicherheit auf einem Host-System.
-
HINTERGRUND
-
Fibre Channel bezieht sich auf einen integrierten Satz von Architekturstandards für die Datenübertragung, die von dem American National Standards Institute (ANSI) entwickelt wurden. Sicherheitslösungen für die Fibre Channel-Architektur werden durch die von ANSI entwickelten Fibre Channel Security Protocols (FC-SP, Fibre Channel-Sicherheitsprotokolle) bereitgestellt. FC-SP stellt Mechanismen für eine Authentifizierung von Einheiten, Sicherheit pro Nachricht, Verteilung von Richtlinien usw. in einer Fibre Channel-Umgebung bereit. Weitere Einzelheiten zu FC-SP sind in der Veröffentlichung „Fibre Channel Security Protocols - 2 (FC-SP-2)“, Revision 2.71, veröffentlicht von ANSI am 12. Juni 2012, bereitgestellt.
-
FC-LS-4 stellt Mechanismen für Link-Dienste in Fibre Channel bereit, und weitere Einzelheiten sind in der Veröffentlichung „Fibre Channel Link Services (FC-LS-4)“, Revision 4.04, veröffentlicht von ANSI am 16. Juli 2019, bereitgestellt. FC-FS-5 stellt Mechanismen für Framing und Signalisierung in Fibre Channel bereit, und weitere Einzelheiten sind in der Veröffentlichung „Fibre Channel Framing and Signaling-5 (FC-FS-5)“, Revision 1.0, veröffentlicht von ANSI am 3. April 2018, bereitgestellt.
-
In einer Fibre Channel-Umgebung wird zum Bereitstellen einer sicheren und verschlüsselten Datenübertragung zwischen Knoten in einer Struktur (fabric) eine SA-(Security Association-, Sicherheitszuordnungs-) Verwaltungstransaktion zwischen einem SA_Initiator und einem SA_Responder unter Verwendung eines Protokolls zur Einrichtung von Sicherheit durchgeführt. Die Initiatoren (initiators) und Antwortenden (responders) können Anschlüsse in Adaptern in Einheiten in einem Fibre Channel-Netzwerk aufweisen. Für die Datenübertragung und den Datenempfang an einem Anschluss werden getrennte Sicherheitszuordnungen eingerichtet. Der Abschluss der Transaktion zur Einrichtung von SA führt zu einem Satz von Sicherheitszuordnungen und zugehörigem Schlüsselmaterial, das zum Verschlüsseln/Entschlüsseln der Datenübertragung zwischen dem Initiator und dem Antwortenden unter Einhaltung der eingerichteten Sicherheitszuordnung verwendet wird. Ein Beispiel für ein Protokoll zur Sicherheitszuordnung ist das Security Association Management-Protokoll in FC-SP-2. Das Protokoll besteht aus einem Nachrichtenpaar SA_Init und SA_Init Response, um eine übergeordnete Assoziation einzurichten, gefolgt von einem Nachrichtenpaar SA_Auth und SA_Auth Response, um die Authentifizierung der Berechtigten durchzuführen und die Sicherheitszuordnungen einzurichten, welche die zwischen den Entitäten übertragenen Daten schützen.
-
Eine Speichersteuereinheit kann den Zugriff auf den Speicher für eine oder mehrere rechnergestützte Host-Einheiten steuern, die über ein Fibre Channel-Netzwerk mit der Speichersteuereinheit verbunden sein können. Eine Speicherverwaltungsanwendung, die in der Speichersteuereinheit ausgeführt wird, kann eine Mehrzahl von mit der Speichersteuereinheit verbundenen Einheiten verwalten, wie zum Beispiel Plattenlaufwerke, Bandlaufwerke, Flash-Datenträger, Direktzugriffsspeichereinheiten (DASD, direct access storage devices) usw. Eine rechnergestützte Host-Einheit kann Eingabe/Ausgabe-(E/A-) Befehle an die Speichersteuereinheit senden, und die Speichersteuereinheit kann die E/A-Befehle ausführen, um Daten aus den Speichereinheiten zu lesen oder Daten in die Speichereinheiten zu schreiben. Die Datenübertragung zwischen den Hosts und der Speichersteuereinheit erfolgt über Fibre Channel-Anschlüsse, die sich auf Adaptern in den Hosts und der Speichersteuereinheit befinden.
-
Die US-Patentveröffentlichung 20100154053 erörtert einen Speichersicherheitsmechanismus, der eine kryptografische Aufteilung verwendet. Die US-Patentveröffentlichung 20190251282 erörtert einen Cybersicherheitsmechanismus für ein Übertragen von Daten zwischen Servern. Die US-Patentveröffentlichung 20160139845 erörtert eine Zugriffssteuerung auf Speicherebene für Datengruppierungsstrukturen. Die US-Patentveröffentlichung 20160378691 erörtert Mechanismen zum Schützen eines Speichers vor einem Angriff. Das
US-Patent 8275950 erörtert eine Speichersteuereinheit für Fibre Channel-Verbindungen, welche die Eins-zu-Eins-Zuordnung von Anschlüssen der Host-Computer und der Speichersteuereinheit unter Verwendung einer Steuertabelle für Anmeldeanfragen verwalten kann, um alle unbefugten Zugriffsversuche von Host-Computern für jeden einzelnen Anschluss zu verhindern und so eine verbesserte Sicherheit aufrechtzuerhalten. Das
US-Patent 6219771 erörtert eine Vorrichtung zur Datenspeicherung mit einem verbesserten Sicherheitsprozess und Partitionszuweisungsfunktionen. Die US-Patentveröffentlichung 20040107342 erörtert ein sicheres Netzwerk-Dateizugriffssteuersystem. Die europäische Patentanmeldung
EP1276034A2 erörtert Sicherheit für logische Einheiten in einem Speicherteilsystem. Die US-Patentveröffentlichung 20160342798 erörtert ein System und ein Verfahren zur Verwaltung von geschützten Einheiten. Das US-Patent
8799436 erörtert ein System und ein Verfahren zum Prüfen und Verifizieren von Konfigurationselementen in einer Informationstechnologie- (IT-) Konfigurationsverwaltungsdatenbank.
-
KURZDARSTELLUNG
-
Es werden ein Verfahren, ein System und ein Computerprogrammprodukt bereitgestellt, wobei an einem Host-Anschluss Sicherheit aktiviert ist. Als Reaktion auf eine Feststellung durch den Host-Anschluss, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, ermittelt der Host-Anschluss, ob in einer Anmeldeantwort von dem Speicheranschluss ein Prüfmodusindikator aktiviert wurde. Der Host-Anschluss behält den Eingabe/Ausgabe-(E/A-) Zugriff auf den Speicheranschluss auf der Grundlage des Ermittelns, ob der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde. Infolgedessen kann ein Host-Anschluss selbst dann in der Lage sein, E/A über einen Speicheranschluss durchzuführen, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann.
-
In weiteren Ausführungsformen führt der Host-Anschluss E/A an dem Speicheranschluss als Reaktion auf ein Feststellen durch, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde. Infolgedessen führt ein Host-Anschluss selbst dann E/A über einen Speicheranschluss durch, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn der Prüfmodusindikator aktiviert wurde.
-
In zusätzlichen Ausführungsformen vermeidet der Host-Anschluss das Durchführen von E/A an dem Speicheranschluss als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss nicht aktiviert wurde. Infolgedessen führt ein Host-Anschluss keine E/A über einen Speicheranschluss durch, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann und der Prüfmodusindikator nicht aktiviert wurde.
-
In zusätzlichen Ausführungsformen gibt der Host-Anschluss E/A-Anforderungen an ein Betriebssystem einer rechnergestützten Host-Einheit als Reaktion auf ein Feststellen heraus, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss nicht aktiviert wurde. Infolgedessen werden alternative Mechanismen zum Durchführen von E/A versucht, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann und der Prüfmodusindikator nicht aktiviert wurde.
-
In weiteren Ausführungsformen stellt der Host-Anschluss fest, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn der Host-Anschluss nicht in der Lage ist, auf einen Schlüsselserver zuzugreifen, um Anmeldeinformationen zum Authentifizieren mit dem Speicheranschluss zu erhalten. Infolgedessen kann der Host-Anschluss weitere Maßnahmen ergreifen, um einen Status des Prüfindikators zu ermitteln, um zu ermitteln, ob E/A-Anforderungen an den Speicheranschluss gesendet werden sollen.
-
In zusätzlichen Ausführungsformen stellt der Host-Anschluss fest, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn in einem Prozess zur Authentifizierung oder zur Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss ein Fehler auftritt. Infolgedessen kann der Host-Anschluss weitere Maßnahmen ergreifen, um einen Status des Prüfindikators zu ermitteln, um zu ermitteln, ob E/A-Anforderungen an den Speicheranschluss gesendet werden sollen.
-
In weiteren Ausführungsformen wird der Prüfmodusindikator über eine Angabe in einem Hilfsparameter-Datenwort 0, Bit 23, in Programmen aktiviert, die Fibre Channel Link Services umsetzen. Infolgedessen werden Verbesserungen an Fibre Channel vorgenommen, um Arbeitsschritte zu erweitern, die auf dem von Fibre Channel bereitgestellten Sicherheitsbit beruhen.
-
Figurenliste
-
Es wird nun auf die Zeichnungen verwiesen, in denen gleiche Bezugszahlen durchgehend für entsprechende Teile stehen:
- 1 veranschaulicht ein Blockschaltbild einer heterogenen Datenverarbeitungsumgebung gemäß bestimmten Ausführungsformen, die eine Mehrzahl von Hosts aufweist, die über eine Fibre Channel-Struktur mit einer Mehrzahl von Speichersteuereinheiten und/oder Speichereinheiten Daten austauschen;
- 2 veranschaulicht ein Blockschaltbild eines Systems zum Aufrechterhalten des Zugriffs für einen Host zur Aktivierung von Sicherheit in einer heterogenen Datenverarbeitungsumgebung gemäß bestimmten Ausführungsformen;
- 3 veranschaulicht ein Blockschaubild, das ein Sicherheitsbit für eine Anmeldung in Fibre Channel und eine Verbesserung von Fibre Channel durch einen Prüfmodusindikator gemäß bestimmten Ausführungsformen zeigt;
- 4 veranschaulicht ein Blockschaubild, das eine Anmeldung und eine Antwort in Fibre Channel gemäß bestimmten Ausführungsformen zeigt;
- 5 veranschaulicht ein Blockschaubild, das eine Verbesserung von Fibre Channel zeigt, um Angaben für „Sicherheit durchgesetzt“ und „Sicherheit aktiviert“ durch Aktivierung oder Nichtaktivierung eines Prüfmodusindikators gemäß bestimmten Ausführungsformen bereitzustellen;
- 6 veranschaulicht einen Ablaufplan, der Arbeitsschritte eines Speicheranschlusses mit durchgesetzter Sicherheit gemäß bestimmten Ausführungsformen zeigt;
- 7 veranschaulicht einen Ablaufplan, der Arbeitsschritte eines Speicheranschlusses mit aktivierter Sicherheit gemäß bestimmten Ausführungsformen zeigt;
- 8 veranschaulicht ein Blockschaubild, das Bedingungen zeigt, die ein erfolgreiches Abschließen einer Authentifizierung und einer Verwaltung der Sicherheitszuordnung gemäß bestimmten Ausführungsformen verhindern;
- 9 veranschaulicht ein Blockschaubild, das eine Mehrzahl von Host-Anschlüssen gemäß bestimmten Ausführungsformen zeigt, die sich an einem einzelnen Speicheranschluss anmelden;
- 10 veranschaulicht einen Ablaufplan, der Arbeitsschritte in einer Speichereinheit gemäß bestimmten Ausführungsformen zeigt, um gemäß bestimmten Ausführungsformen zu ermitteln, ob ein Speicheranschluss in einen Status „Sicherheit durchgesetzt“ geändert werden soll;
- 11 veranschaulicht einen Ablaufplan, der Arbeitsschritte zum Aufrechterhalten des Zugriffs gemäß bestimmten Ausführungsformen für eine Aktivierung von Sicherheit auf einem Host-System gemäß bestimmten Ausführungsformen zeigt;
- 12 veranschaulicht einen Ablaufplan, der zusätzliche Arbeitsschritte zum Aufrechterhalten des Zugriffs zur Aktivierung von Sicherheit auf einem Host-System gemäß bestimmten Ausführungsformen zeigt;
- 13 veranschaulicht einen Ablaufplan, der Arbeitsschritte zum Aufrechterhalten des Zugriffs zur Aktivierung von Sicherheit in einer Speichereinheit gemäß bestimmten Ausführungsformen zeigt;
- 14 veranschaulicht einen Ablaufplan, der zusätzliche Arbeitsschritte zum Aufrechterhalten des Zugriffs zur Aktivierung von Sicherheit in einer Speichereinheit gemäß bestimmten Ausführungsformen zeigt;
- 15 veranschaulicht ein Blockschaubild einer Cloud-Computing-Umgebung gemäß bestimmten Ausführungsformen;
- 16 veranschaulicht ein Blockschaubild mit weiteren Einzelheiten der Cloud-Computing-Umgebung aus 15 gemäß bestimmten Ausführungsformen; und
- 17 veranschaulicht ein Blockschaltbild eines rechnergestützten Systems, das bestimmte Elemente zeigt, die gemäß bestimmten Ausführungsformen in den in 1 bis 16 beschriebenen Hosts, Speichersteuereinheiten und Speichereinheiten enthalten sein können.
-
AUSFÜHRLICHE BESCHREIBUNG
-
In der folgenden Beschreibung wird auf die beigefügten Zeichnungen Bezug genommen, die einen Teil hiervon bilden und mehrere Ausführungsformen veranschaulichen. Es sei darauf hingewiesen, dass auch andere Ausführungsformen verwendet werden können und strukturelle und operative Änderungen vorgenommen werden können.
-
Der Standard zur Verschlüsselung von Fibre Channel-Verbindungen (FC-SP-2) umfasst Protokolle für die gegenseitige Authentifizierung der beiden Endpunkte (d.h. Anschlüsse) sowie Protokolle für die Aushandlung von Verschlüsselungsschlüsseln, die in Datenübertragungssitzungen zwischen den beiden Endpunkten verwendet werden. Der Standard stellt eine Unterstützung einer Vielfalt von Mechanismen zum Authentifizieren der beteiligten Parteien sowie Mechanismen bereit, mit denen Schlüsselmaterial bereitgestellt oder entwickelt wird.
-
In dem FC-SP-2-Standard wird die Unterstützung der Authentifizierung innerhalb eines Endpunkts durch die Einstellung des Sicherheitsbits der Common Service-Parameter angezeigt, die während des Anmeldevorgangs an die Gegenstelle übergeben werden. Wenn das Sicherheitsbit in der Anmeldeanforderung auf den Wert eins gesetzt ist, gibt dies an, dass der sendende Anschluss in der Lage ist, eine Authentifizierung durchzuführen. Wenn der antwortende Anschluss die Anmeldeanforderung annimmt und in der Antwort auch das Sicherheitsbit auf eins setzt, gibt dies an, dass der antwortende Anschluss von dem Absender der Anmeldung verlangt, nun eine Authentifizierung durchzuführen, bevor ein weiterer Zugriff gewährt wird.
-
Der FC-SP-2-Standard legt das Verhalten des antwortenden Endpunkts in Bezug auf die Annahme oder Ablehnung der Anmeldeanforderung und die Einstellung des Sicherheitsbits auf der Grundlage der an diesem Endpunkt zum Zeitpunkt des Empfangens der Anforderung geltenden Sicherheitsrichtlinie fest. Der Standard enthält keine Bestimmungen darüber, wie diese Richtlinie am antwortenden Endpunkt instanziiert wird. In einem Unternehmensrechenzentrum muss darauf geachtet werden, dass der Zugriff auf die Daten geschützt sowie Sicherheit für die Daten bereitgestellt wird. Beim Aktivieren von Sicherheit in einer heterogenen Umgebung, die einige Systeme und Speicheranschlüsse enthält, die keine Sicherheit unterstützen (z.B. ältere Anschlüsse), stellen bestimmte Ausführungsformen Mechanismen bereit, um sicherzustellen, dass die Verbindungsfähigkeit nicht verloren geht, im Gegensatz zu derzeitigen Standards, die derartige Mechanismen nicht zulassen.
-
Bestimmte Ausführungsformen stellen einen Mechanismus bereit, um Sicherheit auf einem Host in einem „Prüfmodus“ zu aktivieren, wobei der Zugriff auf Daten durch einen Host nicht verloren geht, wenn die Sicherheit in einer Speichereinheit aktiviert ist. Über eine Einstellung eines Prüfmodusindikators zum Zeitpunkt der Anmeldung wird eine Angabe bereitgestellt, die es einem Host-Anschluss ermöglicht, nach dem Aktivieren von Sicherheit weiterhin auf einen Speicheranschluss zuzugreifen. Sobald überprüft wurde, dass die Authentifizierung und Aktivierung von Sicherheitsmechanismen erfolgreich abgeschlossen wurden, kann die Sicherheitsaktivierung in eine Richtlinie zur Sicherheitsdurchsetzung umgewandelt werden. Sicherheitsaktivierung bedeutet, dass E/A auch dann durchgeführt werden kann, wenn die Authentifizierung und Aktivierung von Sicherheitsmechanismen nicht erfolgreich abgeschlossen wurden, während Sicherheitsdurchsetzung bedeutet, dass E/A nicht durchgeführt werden kann, wenn die Authentifizierung und Aktivierung von Sicherheitsmechanismen nicht erfolgreich abgeschlossen wurden. Im Prüfmodus kann ein Host weiterhin auf die Speichereinheit zugreifen und Werkzeuge zur Überprüfung des Sicherheitsstatus von Verbindungen bereitstellen.
-
Bestimmte Ausführungsformen stellen einen Mechanismus bereit, bei dem ein Host feststellt, dass die Authentifizierung und/oder Sicherheitszuordnung mit einer Speichereinheit nicht erfolgreich abgeschlossen werden kann, und dann den Prüfmodusindikator verwendet, um zu prüfen, ob an dem Speicheranschluss keine Sicherheit durchgesetzt wird. Wenn der Prüfmodusindikator gesetzt ist, sendet der Host-Prozessor weiterhin E/A-Arbeitsschritte an die Speichereinheit entlang des ausgewählten Anschlusses. Ist der Prüfmodusindikator nicht gesetzt, stellt der Host-Prozessor die E/A-Arbeitsschritte an der Speichereinheit ein und benachrichtigt die Host-Anwendung oder das Betriebssystem, um einen alternativen Pfad zum Abschließen der E/A-Arbeitsschritte zu finden.
-
Zusätzlich können sich bei Fibre Channel viele Host-Anschlüsse (wie in FC-FS-5 beschrieben) an einem einzelnen Speicheranschluss anmelden. Einige dieser Host-Anschlüsse können Sicherheit unterstützen, andere nicht. Wenn eine Anschlusseinstellung auf „Sicherheit durchgesetzt“ gesetzt ist, können die Host-Anschlüsse, die keine Sicherheit unterstützen, den Zugriff auf den Speicheranschluss verlieren, da diese Host-Anschlüsse sich nicht anmelden dürfen.
-
In bestimmten Ausführungsformen werden von der Speichereinheit Informationen bereitgestellt, um die Anzahl von aktuellen Anmeldungen an jedem ihrer Anschlüsse anzugeben. Für diese Anzahl von Anmeldungen stellt die Speichereinheit die Anzahl der sicherheitsfähigen Anmeldungen sowie die Anzahl von Anmeldungen bereit, die erfolgreich authentifiziert wurden und Sicherheit aktiviert haben. Anhand dieser Informationen lässt sich feststellen, ob der Zugriff auf einen Anschluss verloren gehen könnte, wenn die Einstellung für den Speicheranschluss auf „Sicherheit durchgesetzt“ geändert wird. Sobald alle Anmeldungen als sicher eingestuft sind, kann die Einstellung ohne Verlust des Zugriffs geändert werden, da alle Host-Anschlüsse Sicherheit erfolgreich aktivieren können. In bestimmten Ausführungsformen prüft die Speichereinheit, wenn die Einstellung auf ein Durchsetzen von Sicherheit geändert werden soll, Anmeldezähler, um festzustellen, ob ein Verlust des Zugriffs auftreten könnte (d.h., es gibt Anmeldungen, die nicht erfolgreich authentifiziert wurden), und verhindert, dass die Einstellung auf ein Durchsetzen von Sicherheit geändert wird.
-
Bestimmte Ausführungsformen stellen einen Speicheranschluss bereit, der eine Einstellung zum Aktivieren von Sicherheit ohne Durchsetzung unterstützt und prüffähige Statistiken (z.B. Anzahl von Anmeldungen, Anzahl der sicherheitsfähigen Anmeldungen und Anzahl von Anmeldungen mit aktivierter Sicherheit) zum Ermitteln von Auswirkungen der Sicherheitseinstellung auf die Durchsetzung bereitstellt. In einer Anmeldeantwort an den Host-Anschluss wird ein Prüfmodusindikator gesetzt, der angibt, dass selbst dann E/A an diesen Speicheranschluss gesendet werden kann, wenn die Authentifizierung nicht erfolgreich abgeschlossen werden kann. Die Einstellung, ob Sicherheit aktiviert oder durchgesetzt werden soll, kann für eine Speicheranordnung oder für einen einzelnen Speicheranschluss durchgeführt werden.
-
In bestimmten Ausführungsformen wird eine Einstellung zur Sicherheitsdurchsetzung bereitgestellt, die eine automatische Überprüfung der Anmeldeindikatoren vorsieht, um zu verhindern, dass die Einstellung geändert wird, wenn ein Verlust des Zugriffs auftreten könnte. Es wird auch eine Option bereitgestellt, mit der die Einstellung zur Sicherheitsdurchsetzung ohne Berücksichtigung von Anmeldeindikatoren durchgesetzt werden kann.
-
Infolgedessen werden Verbesserungen an Einheiten vorgenommen, um die Verbindungsfähigkeit für ein Durchführen von E/A aufrechtzuerhalten, was eine auf Fibre Channel beruhende verbindungsfähige Umgebung verbessert.
-
Beispielhafte Ausführungsformen
-
1 veranschaulicht ein Blockschaltbild 100 einer heterogenen Datenverarbeitungsumgebung gemäß bestimmten Ausführungsformen, die eine Mehrzahl von Hosts 102, 104 aufweist, die über eine Fibre Channel-Struktur 106 mit einer Mehrzahl von Speichersteuereinheiten und/oder Speichereinheiten 108, 110 Daten austauschen. Sowohl Speichersteuereinheiten als auch Speichereinheiten sind mittels der Bezugszahlen 108, 110 gezeigt, und die Hosts 102, 104 können mit Speichersteuereinheiten Daten austauschen, welche Speichereinheiten steuern, oder sie können mit den Speichereinheiten ohne Beteiligung einer Speichersteuereinheit Daten austauschen. Eine Speichersteuereinheit kann auch als eine fortgeschrittene Art von Speichereinheit betrachtet werden, da sie den Zugriff auf eine oder mehrere Speichereinheiten für einen oder mehrere Hosts steuert und ermöglicht.
-
Die Hosts 102, 104 und die Speichersteuereinheiten 108, 110 können jede beliebige rechnergestützte Einheit aufweisen, einschließlich der nach dem Stand der Technik bekannten wie zum Beispiel einen Personal Computer, eine Workstation, einen Server, einen Mainframe-Computer, einen Handheld-Computer, einen Palm-Top-Computer, eine Telefonieeinheit, ein Netzwerkgerät, einen Blade-Computer, eine Verarbeitungseinheit, eine Steuereinheit usw. Die Speichereinheiten können nach dem Stand der Technik bekannte Speichereinheiten umfassen, wie zum Beispiel Festplattenlaufwerke, Bandlaufwerke, Halbleiter-Speicherplatten usw.
-
Bei den Hosts 102, 104 und den Speichereinheiten 108, 110 kann es sich um Elemente in einem beliebigen geeigneten Netzwerk handeln, wie zum Beispiel einem Speicherbereichsnetz, einem Weitverkehrsnetz, dem Internet oder einem Intranet. In bestimmten Ausführungsformen kann es sich bei den Hosts 102, 104 und den Speichereinheiten 108, 110 um Elemente in einer Cloud-Computing-Umgebung handeln. Die Verbindungsfähigkeit zwischen den Hosts 102, 104 und den Speichereinheiten 108, 110 in dem Netzwerk und/oder der Cloud-Computing-Umgebung kann über die Fibre Channel-Struktur 106 erfolgen.
-
Ein Host kann einen oder mehrere Host-Anschlüsse umfassen. Zum Beispiel umfasst der Host 102 eine Mehrzahl von Host-Anschlüssen 112, und der Host 104 umfasst eine Mehrzahl von Host-Anschlüssen 114. Eine Speichereinheit kann eine Mehrzahl von Speicheranschlüssen umfassen. Zum Beispiel umfasst die Speichereinheit 108 eine Mehrzahl von Speicheranschlüssen 116, und die Speichereinheit 110 umfasst eine Mehrzahl von Speicheranschlüssen 118. Die Host-Anschlüsse 112, 114 und die Speicheranschlüsse 116, 118 können über die Fibre Channel-Struktur 106 Daten austauschen.
-
In bestimmten Ausführungsformen unterstützen nicht alle Hosts Sicherheit für Host-Anschlüsse. Zum Beispiel unterstützen bestimmte ältere Hosts möglicherweise keine Sicherheit für Host-Anschlüsse in Fibre Channel, oder bestimmte ältere Adapter in Hosts unterstützen möglicherweise keine Sicherheit für Host-Anschlüsse in Fibre Channel. Zum Beispiel wird gezeigt, dass der Host 102 Sicherheit für einen Host-Anschluss unterstützt, und es wird gezeigt, dass der Host 104 keine Sicherheit für einen Host-Anschluss unterstützt.
-
In bestimmten Ausführungsformen können bestimmte Speichereinheiten es ermöglichen, einen oder mehrere Speicheranschlüsse so zu konfigurieren, dass sie Sicherheit mit Durchsetzung aktivieren (d.h., E/A kann nur dann von einem Host-Anschluss zu einem Speicheranschluss erfolgen, wenn bestätigt wurde, dass zwischen dem Host-Anschluss und dem Speicheranschluss eine sichere Verbindungsfähigkeit hergestellt wurde). In bestimmten Ausführungsformen können bestimmte Speichereinheiten es ermöglichen, einen oder mehrere Speicheranschlüsse so zu konfigurieren, dass sie Sicherheit ohne Durchsetzung aktivieren (d.h., E/A kann selbst dann von einem Host-Anschluss zu einem Speicheranschluss erfolgen, wenn nicht bestätigt wurde, dass zwischen dem Host-Anschluss und dem Speicheranschluss eine sichere Verbindungsfähigkeit hergestellt wurde). Zum Beispiel hat die Speichereinheit 108 möglicherweise Sicherheit mit Durchsetzung für mindestens einen der Speicheranschlüsse 116 aktiviert (für andere Speicheranschlüsse in der Speichereinheit 108 ist möglicherweise Sicherheit ohne Durchsetzung aktiviert). In 1 hat die Speichereinheit 110 möglicherweise Sicherheit ohne Durchsetzung für mindestens einen der Speicheranschlüsse 118 aktiviert (für andere Speicheranschlüsse in der Speichereinheit 110 ist möglicherweise Sicherheit mit Durchsetzung aktiviert).
-
Daher zeigt 1 bestimmte Ausführungsformen, die es ermöglichen, E/A-Arbeitsschritte von einem Host-Anschluss selbst dann an einen Speicheranschluss zu senden, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung zwischen einem Host-Anschluss und einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann.
-
2 veranschaulicht ein Blockschaltbild 200 eines Systems 202 zum Aufrechterhalten des Zugriffs für einen Host zur Aktivierung von Sicherheit in einer heterogenen Datenverarbeitungsumgebung gemäß bestimmten Ausführungsformen.
-
Der Host 202 ist über eine Fibre Channel-Struktur 208 mit einer Mehrzahl von Speichereinheiten 204, 206 für den Datenaustausch verbunden. Die Speichereinheit 204 hat Sicherheit mit Durchsetzung für den Speicheranschluss 210 der Speichereinheit 204 aktiviert, und die Speichereinheit 206 hat Sicherheit ohne Durchsetzung für den Speicheranschluss 212 der Speichereinheit 206 aktiviert. In bestimmten Ausführungsformen kann ein Speicheranschluss vom Aktivieren von Sicherheit ohne Durchsetzung zum Aktivieren von Sicherheit mit Durchsetzung und umgekehrt geändert werden.
-
Der Host 202 umfasst einen Host-Anschluss 214, wobei der Host-Anschluss 214 mit den Speicheranschlüssen 210, 212 Daten austauscht. In den in 2 gezeigten Ausführungsformen ist der Host-Anschluss 214 selbst dann in der Lage, E/A an den Speicheranschluss 212 zu übermitteln, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung zwischen dem Host-Anschluss 214 und dem Speicheranschluss 212 nicht erfolgreich abgeschlossen werden kann, weil der Speicheranschluss 212 Sicherheit ohne Durchsetzung aktiviert hat. Allerdings ist der Host-Anschluss 214 nicht in der Lage, E/A an den Speicheranschluss 210 zu übermitteln, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung zwischen dem Host-Anschluss 214 und dem Speicheranschluss 210 nicht erfolgreich abgeschlossen werden kann, weil der Speicheranschluss 210 Sicherheit mit Durchsetzung aktiviert hat.
-
Falls der Host-Anschluss 214 nicht in der Lage ist, einen E/A-Vorgang an einen Speicheranschluss zu übermitteln, versucht das Betriebssystem 216 des Hosts 202, den E/A-Vorgang über einen anderen Mechanismus zu übermitteln.
-
3 veranschaulicht ein Blockschaubild 300, das ein Sicherheitsbit 302 für eine Anmeldung in aktuellen Fibre Channel-Standards und eine Verbesserung von Fibre Channel durch einen Prüfmodusindikator 304 gemäß bestimmten Ausführungsformen zeigt. Der Prüfmodusindikator 304 kann aktiviert (Bezugszahl 306) oder nicht aktiviert (Bezugszahl 308) sein.
-
Es ist zu beachten, dass der Prüfmodusindikator 304 in bestehenden Fibre Channel-Standards nicht zu finden ist. Die Aktivierung des Prüfmodusindikators 304 ermöglicht, dass die Aktivierung von Sicherheit ohne Durchsetzung in Zusammenarbeit mit der Konfiguration des Sicherheitsbits 302 funktioniert.
-
In bestimmten Ausführungsformen wird der Prüfmodusindikator 304 über eine Angabe in dem Hilfsparameter-Datenwort 0, Bit 23, in Programmen aktiviert, die Fibre Channel Link Services (FC-LS-4) umsetzen. Andere Mechanismen zum Umsetzen des Prüfmodusindikators 304 können in anderen Ausführungsformen bereitgestellt werden. Der Prüfmodusindikator 304 und das Sicherheitsbit 302 können Teil einer oder mehrerer Datenstrukturen sein, die zum Durchführen von Arbeitsschritten verwendet werden.
-
4 veranschaulicht ein Blockschaubild 400, das eine Anmeldung und eine Antwort in Fibre Channel gemäß bestimmten Ausführungsformen zeigt. Ein Host-Anschluss 402 übermittelt eine Anmeldeanforderung 404 an einen Speicheranschluss 406. Der Host-Anschluss 402 wird auch als „sendender Anschluss“ bezeichnet, und der Speicheranschluss 406 wird als „empfangender Anschluss“ bezeichnet.
-
In der Anmeldeanforderung 404 von dem Host-Anschluss 402 wird das Sicherheitsbit 302 auf eins gesetzt, um anzugeben, dass der sendende Anschluss (d.h. der Host-Anschluss 402) in der Lage ist, eine Authentifizierung durchzuführen.
-
Beim Empfangen der Anmeldeanforderung 404 sendet der Speicheranschluss 406 eine Antwort 408 an den Host-Anschluss 402. Die Antwort 408 von dem Speicheranschluss 406 kann das Sicherheitsbit 302 auf eins setzen, um anzugeben, dass der empfangende Anschluss (d.h. der Speicheranschluss 406) von dem sendenden Anschluss (d.h. dem Host-Anschluss 402) verlangt, dass er nun eine Authentifizierung durchführt, bevor ein weiterer Zugriff gewährt wird.
-
In bestimmten Ausführungsformen wird selbst dann, wenn das Sicherheitsbit 302 in der Antwort auf eins gesetzt ist, die Anforderung zum Abschließen der Authentifizierung vor einem Gewähren eines weiteren Zugriffs außer Kraft gesetzt, wenn der Prüfmodusindikator 304 aktiviert (d.h. gesetzt) ist, um anzugeben, dass Sicherheit ohne Durchsetzung aktiviert ist.
-
5 veranschaulicht ein Blockschaubild 500, das eine Verbesserung von Fibre Channel zeigt, um Angaben für „Sicherheit durchgesetzt“ und „Sicherheit aktiviert“ durch Aktivierung oder Nichtaktivierung eines Prüfmodusindikators 304 gemäß bestimmten Ausführungsformen bereitzustellen.
-
Angaben werden von einem empfangenden Anschluss (z.B. einem Speicheranschluss in einer Speichereinheit) in der Antwort auf eine Anmeldeanforderung von einem Host-Anschluss bereitgestellt (wie durch die Bezugszahl 502 gezeigt ist). Die Angaben können über eine Konfiguration des Prüfmodusindikators 304 bereitgestellt werden. Die Konfiguration mit aktiviertem Prüfmodusindikator 304 kann dazu führen, dass ein Zustand eines Speicheranschlusses „Sicherheit aktiviert“ 504 lautet, was bedeutet, dass Sicherheit ohne Durchsetzung aktiviert ist. Wird die Konfiguration des Prüfmodusindikators 304 nicht aktiviert, kann dies dazu führen, dass ein Zustand eines Speicheranschlusses „Sicherheit durchgesetzt“ 506 lautet, was bedeutet, dass Sicherheit mit Durchsetzung aktiviert ist.
-
6 veranschaulicht einen Ablaufplan 600, der Arbeitsschritte eines Speicheranschlusses mit durchgesetzter Sicherheit gemäß bestimmten Ausführungsformen zeigt. Die Steuerung geht weiter zu Block 604, in dem eine Authentifizierung und eine Verwaltung der Sicherheitszuordnung zwischen einem Host-Anschluss und dem Speicheranschluss eingeleitet werden. Die Steuerung geht weiter zu Block 606, in dem festgestellt wird, ob die Authentifizierung und die Verwaltung der Sicherheitszuordnung zwischen dem Host-Anschluss und dem Speicheranschluss erfolgreich abgeschlossen wurden. Ist dies der Fall („Ja“-Verzweigung 608), geht die Steuerung zu Block 610 über, in dem dem Host-Anschluss gestattet wird, mit dem Durchführen von E/A über den Speicheranschluss zu beginnen (in Block 610). Ist dies nicht der Fall („Nein“-Verzweigung 612), geht die Steuerung zu Block 614 über, in dem der Host-Anschluss am Durchführen von E/A über den Speicheranschluss gehindert wird.
-
7 veranschaulicht einen Ablaufplan 700, der Arbeitsschritte eines Speicheranschlusses mit aktivierter Sicherheit gemäß bestimmten Ausführungsformen zeigt.
-
Die Steuerung beginnt in Block 702, in dem Sicherheit für einen Speicheranschluss aktiviert ist. Die Steuerung geht weiter zu Block 704, in dem eine Authentifizierung und eine Verwaltung der Sicherheitszuordnung zwischen einem Host-Anschluss und dem Speicheranschluss eingeleitet werden. Dem Host-Anschluss wird gestattet, E/A über den Speicheranschluss durchzuführen (Block 706), unabhängig davon, ob der Arbeitsschritt der Authentifizierung und der Verwaltung der Sicherheitszuordnung erfolgreich oder nicht erfolgreich abgeschlossen wird (in Block 708). Der Zeitpunkt, ab dem die E/A erlaubt ist, kann in verschiedenen Ausführungsformen unterschiedlich sein.
-
8 veranschaulicht ein Blockschaubild 800, das Bedingungen zeigt, die ein erfolgreiches Abschließen einer Authentifizierung und einer Verwaltung der Sicherheitszuordnung gemäß bestimmten Ausführungsformen verhindern.
-
Eine erste Bedingung 802 ist eine unvollständige Konfiguration einer Sicherheitsrichtlinie, die verhindern kann, dass die Authentifizierung und die Verwaltung der Sicherheitszuordnung erfolgreich abgeschlossen werden. Eine zweite Bedingung 804 weist unzugängliche Schlüsselserver auf, die Anmeldeinformationen zum Zugreifen auf die Speichereinheit bereitstellen, die verhindern können, dass die Authentifizierung und die Verwaltung der Sicherheitszuordnung erfolgreich abgeschlossen werden. Eine dritte Bedingung 806 ist ein Fehler beim Austauschen von Daten bei der Authentifizierung und Verwaltung der Sicherheitszuordnung, der verhindern kann, dass die Authentifizierung und die Verwaltung der Sicherheitszuordnung erfolgreich abgeschlossen werden. All diese Bedingungen können dazu führen, dass die Authentifizierung und die Verwaltung der Sicherheitszuordnung in den in 6 und 7 gezeigten Arbeitsschritten nicht erfolgreich abgeschlossen werden.
-
9 veranschaulicht ein Blockschaubild 900, das eine Mehrzahl von Host-Anschlüssen 902, 904, 906 gemäß bestimmten Ausführungsformen zeigt, die sich an einem einzelnen Speicheranschluss 908 anmelden. Der einzelne Speicheranschluss 908 kann in einer Speichereinheit oder einer Speichersteuereinheit 910 enthalten sein, wobei die Speichereinheit oder die Speichersteuereinheit 910 über weitere Speicheranschlüsse verfügen kann.
-
In 9 unterstützen die Host-Anschlüsse 902 und 906 Sicherheit, wohingegen der Host-Anschluss 904 keine Sicherheit unterstützt, da er in einem älteren Adapter oder einem älteren Host enthalten sein kann, oder aus einem anderen Grund, darunter auch eine Konfiguration durch einen Administrator.
-
Die Speichereinheit oder Speichersteuereinheit 910 führt Statistiken über Anmeldezähler und Anmeldemerkmale, die als Anmeldeindikatoren bezeichnet werden (Bezugszahl 912). Die Statistiken umfassen: eine Anzahl von aktuellen Anmeldungen an dem Speicheranschluss (Bezugszahl 914); eine Anzahl von sicherheitsfähigen Anmeldungen an dem Speicheranschluss (Bezugszahl 916); und eine Anzahl von Anmeldungen mit aktivierter Sicherheit an dem Speicheranschluss (Bezugszahl 918). Die Anmeldungen mit aktivierter Sicherheit sind diejenigen, die sich erfolgreich authentifiziert und Sicherheit aktiviert haben.
-
In bestimmten Ausführungsformen werden die Statistiken über Anmeldezähler und Anmeldemerkmale 912 von der Speichereinheit oder der Speichersteuereinheit 910 verwendet, um eine Auswirkung auf den E/A-Zugriff durch Hosts zu ermitteln, wenn die Betriebsart „Sicherheit durchgesetzt“ konfiguriert ist. In zusätzlichen Ausführungsformen werden die Statistiken über Anmeldezähler und Anmeldemerkmale 912 von der Speichereinheit oder der Speichersteuereinheit verwendet, um ein Umschalten von der Betriebsart „Sicherheit aktiviert“ in die Betriebsart „Sicherheit durchgesetzt“ zu verhindern, wenn ein E/A-Zugriff durch einen Host beim Umschalten in die Betriebsart „Sicherheit durchgesetzt“ verloren gehen soll.
-
In weiteren Ausführungsformen stellt die Speichereinheit oder Speichersteuereinheit 910 eine Option 920 zum Erzwingen eines Umschaltens auf die Betriebsart „Sicherheit durchgesetzt“ ohne Berücksichtigung der Statistiken über Anmeldezähler und Anmeldemerkmale 912 bereit.
-
10 veranschaulicht einen Ablaufplan 1000, der Arbeitsschritte in einer Speichereinheit gemäß bestimmten Ausführungsformen zeigt, um gemäß bestimmten Ausführungsformen zu ermitteln, ob ein Speicheranschluss in einen Status „Sicherheit durchgesetzt“ geändert werden soll.
-
Die Steuerung beginnt in Block 1002, in dem eine Speichereinheit feststellt, dass eine Mehrzahl von Host-Anschlüssen eine Anmeldung an einem Speicheranschluss der Speichereinheit durchgeführt hat. Die Steuerung geht weiter zu Block 1004, in dem die Speichereinheit Statistiken über Anmeldezähler und Anmeldemerkmale führt. Die Speichereinheit ermittelt (in Block 1006) anhand der Anmeldezähler und der Anmeldemerkmale, ob irgendein Host-Anschluss den Zugriff auf E/A an der Speichereinheit verlieren würde, wenn die Einstellung des Speicheranschlusses auf „Sicherheit durchgesetzt“ geändert wird. Ist dies der Fall („Ja“-Verzweigung 1008), sind nicht alle Anmeldungen an Host-Anschlüssen sicher (d.h., nicht alle Host-Anschlüsse werden erfolgreich authentifiziert), und die Steuerung fährt mit Block 1010 fort, in dem verhindert wird, dass die Einstellung des Speicheranschlusses auf „Sicherheit durchgesetzt“ geändert wird.
-
Wenn die Speichereinheit in Block 1006 anhand der Anmeldezähler und Anmeldemerkmale feststellt, dass kein Host-Anschluss den Zugriff auf E/A an der Speichereinheit verlieren würde, wenn die Einstellung des Speicheranschlusses auf „Sicherheit durchgesetzt“ geändert wird („Nein“-Verzweigung 1012), sind alle Host-Anschluss-Anmeldungen sicher (d.h., alle Host-Anschlüsse werden erfolgreich authentifiziert), und die Steuerung geht zu Block 1014 über, in dem die Einstellung des Speicheranschlusses auf „Sicherheit durchgesetzt“ geändert werden darf.
-
11 veranschaulicht einen Ablaufplan 1100, der Arbeitsschritte zum Aufrechterhalten des Zugriffs gemäß bestimmten Ausführungsformen für eine Aktivierung von Sicherheit auf einem Host-System gemäß bestimmten Ausführungsformen zeigt.
-
Die Steuerung beginnt in Block 1102, in dem für einen Host-Anschluss Sicherheit aktiviert wird. Der Host-Anschluss stellt (in Block 1104) fest, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann.
-
Als Reaktion auf eine Feststellung durch den Host-Anschluss, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, ermittelt der Host-Anschluss (in Block 1106), ob in einer Anmeldeantwort von dem Speicheranschluss ein Prüfmodusindikator aktiviert wurde. Der Host-Anschluss behält den Eingabe/Ausgabe- (E/A-) Zugriff auf den Speicheranschluss auf der Grundlage des Ermittelns, ob der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde. Infolgedessen kann ein Host-Anschluss selbst dann in der Lage sein, E/A über einen Speicheranschluss durchzuführen, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann.
-
Als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde („Ja“-Verzweigung 1108), führt der Host-Anschluss (in Block 1110) E/A an dem Speicheranschluss durch. Das Durchführen von E/A an dem Speicheranschluss bedeutet ein Senden eines E/A-Vorgangs an den Speicheranschluss zum Durchführen eines E/A-Vorgangs, bei dem Daten gelesen oder geschrieben oder auf sie zugegriffen wird. Infolgedessen führt ein Host-Anschluss selbst dann E/A über einen Speicheranschluss durch, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn der Prüfmodusindikator aktiviert wurde.
-
Als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss nicht aktiviert wurde („Nein“-Verzweigung 1112), vermeidet der Host-Anschluss (in Block 1114) das Durchführen von E/A an dem Speicheranschluss. Infolgedessen führt ein Host-Anschluss keine E/A über einen Speicheranschluss durch, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann und der Prüfmodusindikator nicht aktiviert wurde. Von Block 1114 geht die Steuerung weiter zu Block 1116, in dem der Host-Anschluss E/A-Anforderungen an ein Betriebssystem einer rechnergestützten Host-Einheit herausgibt. Infolgedessen werden alternative Mechanismen zum Durchführen von E/A versucht, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann und der Prüfmodusindikator nicht aktiviert wurde.
-
12 veranschaulicht einen Ablaufplan 1200, der zusätzliche Arbeitsschritte zum Aufrechterhalten des Zugriffs zur Aktivierung von Sicherheit auf einem Host-System gemäß bestimmten Ausführungsformen zeigt.
-
Der Host-Anschluss stellt (in Block 1202) fest, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn der Host-Anschluss nicht in der Lage ist, auf einen Schlüsselserver zuzugreifen, um Anmeldeinformationen zum Authentifizieren mit dem Speicheranschluss zu erhalten. Infolgedessen kann der Host-Anschluss weitere Maßnahmen ergreifen, um einen Status des Prüfindikators zu ermitteln, um zu ermitteln, ob E/A-Anforderungen an den Speicheranschluss gesendet werden sollen.
-
Von Block 1202 geht die Steuerung weiter zu Block 1204, in dem der Host-Anschluss feststellt, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn in einem Prozess zur Authentifizierung oder zur Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss ein Fehler auftritt. Infolgedessen kann der Host-Anschluss weitere Maßnahmen ergreifen, um einen Status des Prüfindikators zu ermitteln, um zu ermitteln, ob E/A-Anforderungen an den Speicheranschluss gesendet werden sollen.
-
13 veranschaulicht einen Ablaufplan 1300, der Arbeitsschritte zum Aufrechterhalten des Zugriffs zur Aktivierung von Sicherheit in einer Speichereinheit gemäß bestimmten Ausführungsformen zeigt.
-
Die Steuerung beginnt in Block 1302, in dem ein Speicheranschluss eine Anmeldeanforderung empfängt. Von Block 1302 kann die Steuerung zu Block 1304 oder zu Block 1306 weitergehen.
-
In Block 1304 konfiguriert der Speicheranschluss den Prüfmodusindikator als aktiviert in einer Anmeldeantwort an einen Host-Anschluss, um in eine Betriebsart „Sicherheit aktiviert“ einzutreten, um für den Host-Anschluss anzugeben, dass Eingabe/Ausgabe- (E/A-) Arbeitsschritte von dem Host-Anschluss an den Speicheranschluss selbst dann zu übermitteln sind, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss nicht erfolgreich abgeschlossen werden kann. Infolgedessen können Hosts, die nicht sicher sind, E/A an einer Speichereinheit durchführen.
-
In Block 1306 konfiguriert der Speicheranschluss den Prüfmodusindikator als nicht aktiviert in einer Anmeldeantwort an den Host-Anschluss, um in eine Betriebsart „Sicherheit durchgesetzt“ einzutreten, um für den Host-Anschluss anzugeben, dass keine E/A-Arbeitsschritte von dem Host-Anschluss an den Speicheranschluss zu übermitteln sind, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss nicht erfolgreich abgeschlossen werden kann. Infolgedessen sind Hosts, die nicht sicher sind, nicht in der Lage, E/A an einer Speichereinheit durchzuführen.
-
14 veranschaulicht einen Ablaufplan 1400, der zusätzliche Arbeitsschritte zum Aufrechterhalten des Zugriffs zur Aktivierung von Sicherheit in einer Speichereinheit zeigt.
-
Die Steuerung beginnt in Block 1402, in dem eine Speichersteuereinheit, die den Speicheranschluss umfasst, Statistiken über Anmeldezähler und Anmeldemerkmale führt, darunter: eine Anzahl von aktuellen Anmeldungen an dem Speicheranschluss; eine Anzahl von sicherheitsfähigen Anmeldungen an dem Speicheranschluss; und eine Anzahl von Anmeldungen mit aktivierter Sicherheit an dem Speicheranschluss. Infolgedessen werden in bestimmten Ausführungsformen die Statistiken über Anmeldezähler und Anmeldemerkmale von der Speichersteuereinheit verwendet, um eine Auswirkung auf den E/A-Zugriff durch Hosts zu ermitteln, wenn die Betriebsart „Sicherheit durchgesetzt“ konfiguriert ist.
-
In zusätzlichen Ausführungsformen werden die Statistiken über Anmeldezähler und Anmeldemerkmale von der Speichersteuereinheit verwendet, um (in Block 1404) ein Umschalten von der Betriebsart „Sicherheit aktiviert“ in die Betriebsart „Sicherheit durchgesetzt“ zu verhindern, wenn ein E/A-Zugriff durch einen Host beim Umschalten in die Betriebsart „Sicherheit durchgesetzt“ verloren gehen soll. Infolgedessen wird ein Umschalten in die Betriebsart „Sicherheit durchgesetzt“ verhindert, wenn ein Host den E/A-Zugriff verlieren würde.
-
In bestimmten Ausführungsformen stellt die Speichersteuereinheit eine Option zum Erzwingen des Umschaltens auf die Betriebsart „Sicherheit durchgesetzt“ ohne Berücksichtigung der Statistiken über Anmeldezähler und Anmeldemerkmale bereit.
-
In bestimmten Ausführungsformen konfiguriert eine Speichersteuereinheit mindestens einen Speicheranschluss der Mehrzahl von Speicheranschlüssen für die Betriebsart „Sicherheit durchgesetzt“. Die Speichersteuereinheit konfiguriert mindestens einen anderen Speicheranschluss der Mehrzahl von Speicheranschlüssen für die Betriebsart „Sicherheit aktiviert“. Daher erfolgt die Aktivierung des Prüfmodusindikators für jeden Anschluss einzeln.
-
In weiteren Ausführungsformen ist der Speicheranschluss in einer Speichersteuereinheit enthalten, die eine erste Speicheranordnung und eine zweite Speicheranordnung umfasst, wobei die Betriebsart „Sicherheit durchgesetzt“ für die erste Speicheranordnung konfiguriert ist, und wobei die Betriebsart „Sicherheit aktiviert“ für die zweite Speicheranordnung konfiguriert ist. Daher erfolgt die Aktivierung des Prüfmodusindikators für jede Speicheranordnung einzeln.
-
Daher veranschaulichen 1 bis 14 bestimmte Ausführungsformen, bei denen Sicherheit auf der Grundlage einer Konfiguration eines Prüfmodusindikators durchgesetzt oder nicht durchgesetzt wird, um Arbeitsschritte auf der Grundlage der Konfiguration des Sicherheitsbits in Fibre Channel zu erweitern. Infolgedessen können ältere Einheiten in einer heterogenen Datenverarbeitungsumgebung selbst dann weiterhin E/A durchführen, wenn das Sicherheitsbit in Fibre Channel aktiviert ist.
-
Cloud-Computing-Umgebung
-
Cloud-Computing ist ein Modell zum Ermöglichen eines problemlosen bedarfsgesteuerten Netzwerkzugriffs auf einen gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen (z.B. Netzwerke, Server, Speicher, Anwendungen und Dienste), die mit minimalem Verwaltungsaufwand bzw. minimaler Interaktion mit einem Dienstanbieter schnell bereitgestellt und freigegeben werden können.
-
Unter Bezugnahme auf 15 ist eine veranschaulichende Cloud-Computing-Umgebung 50 abgebildet. Die Durchsetzung oder Aktivierung von Sicherheit (dargestellt durch die Bezugszahl 52) wird in der Cloud-Computing-Umgebung 50 durchgeführt. Wie gezeigt ist, umfasst die Cloud-Computing-Umgebung 50 einen oder mehrere Cloud-Computing-Knoten 10, mit denen von Cloud-Nutzern verwendete lokale Datenverarbeitungseinheiten wie ein elektronischer Assistent (PDA, personal digital assistant) oder ein Mobiltelefon 54A, ein Desktop-Computer 54B, ein Laptop-Computer 54C und/oder ein Automobil-Computer-System 54N Daten austauschen können. Die Knoten 10 können miteinander Daten austauschen. Sie können physisch oder virtuell in ein oder mehrere Netzwerke wie private, Benutzergemeinschafts-, öffentliche oder hybride Clouds gruppiert werden (nicht gezeigt), wie vorstehend beschrieben wurde, oder in eine Kombination daraus. Dies ermöglicht es der Cloud-Computing-Umgebung 50, Infrastruktur, Plattformen und/oder Software als Dienst anzubieten, für die ein Cloud-Nutzer keine Ressourcen auf einer lokalen Datenverarbeitungseinheit vorhalten muss. Es sei darauf hingewiesen, dass die Arten der in 15 gezeigten Datenverarbeitungseinheiten 54A bis N lediglich veranschaulichend sein sollen und dass die Datenverarbeitungsknoten 10 und die Cloud-Computing-Umgebung 50 über eine beliebige Art Netzwerk und/oder über eine beliebige Art von über ein Netzwerk aufrufbarer Verbindung (z.B. unter Verwendung eines Web-Browsers) mit einer beliebigen Art von computergestützter Einheit Daten austauschen können.
-
Unter Bezugnahme auf 16 wird ein Satz von funktionalen Abstraktionsschichten gezeigt, die durch die Cloud-Computing-Umgebung 50 (15) bereitgestellt werden. Es sollte von vornherein klar sein, dass die in 16 gezeigten Komponenten, Schichten und Funktionen lediglich veranschaulichend sein sollen und Ausführungsformen der Erfindung nicht darauf beschränkt sind.
-
Eine Hardware- und Software-Schicht 60 umfasst Hardware- und Software-Komponenten. Zu Beispielen für Hardware-Komponenten gehören Mainframe-Computer, in einem Beispiel IBM ZSERIES* Systeme; auf der RISC- (Reduced Instruction Set Computer) Architektur beruhende Server, in einem Beispiel IBM PSERIES* Systeme; IBM XSERIES* Systeme; IBM BLADECENTER* Systeme; Speichereinheiten; Netzwerke und Netzwerkkomponenten. Zu Beispielen für Software-Komponenten gehören eine Netzwerk-Anwendungsserver-Software, in einem Beispiel IBM WEBSPHERE* Anwendungsserversoftware; und eine Datenbank-Software, in einem Beispiel IBM DB2* Datenbank-Software.
-
Eine Virtualisierungsschicht 62 stellt eine Abstraktionsschicht bereit, aus der die folgenden Beispiele für virtuelle Einheiten bereitgestellt werden können: virtuelle Server, virtuelle Speicher, virtuelle Netzwerke, darunter virtuelle private Netzwerke, virtuelle Anwendungen und Betriebssysteme; und virtuelle Clients.
-
In einem Beispiel kann die Verwaltungsschicht 64 die nachfolgend beschriebenen Funktionen bereitstellen. Eine Ressourcen-Bereitstellung stellt die dynamische Beschaffung von Datenverarbeitungsressourcen sowie anderen Ressourcen bereit, die zum Durchführen von Aufgaben innerhalb der Cloud-Computing-Umgebung verwendet werden. Ein Messen und eine Preisfindung stellen die Kostenverfolgung beim Verwenden von Ressourcen innerhalb der Cloud-Computing-Umgebung sowie die Abrechnung oder Rechnungsstellung für den Verbrauch dieser Ressourcen bereit. In einem Beispiel können diese Ressourcen Anwendungs-Software-Lizenzen umfassen. Eine Sicherheit stellt die Identitätsüberprüfung für Cloud-Nutzer und Aufgaben sowie Schutz für Daten und andere Ressourcen bereit. Ein Benutzerportal stellt Nutzern und Systemadministratoren den Zugang zu der Cloud-Computing-Umgebung bereit. Eine Verwaltung des Dienstumfangs stellt die Zuordnung und Verwaltung von Cloud-Computing-Ressourcen bereit, so dass die benötigten Dienstziele erreicht werden. Ein Planen und Erfüllen von Vereinbarungen zum Dienstumfang (SLA, Service Level Agreement) stellt die Anordnung vorab und die Beschaffung von Cloud-Computing-Ressourcen, für die eine zukünftige Anforderung vorausgesehen wird, gemäß einem SLA bereit.
-
Eine Arbeitslastschicht 66 stellt Beispiele für die Funktionalität bereit, für welche die Cloud-Computing-Umgebung verwendet werden kann. Zu Beispielen für Arbeitslasten und Funktionen, die von dieser Schicht bereitgestellt werden können, gehören: Abbildung und Navigation; Software-Entwicklung und Lebenszyklusverwaltung; Bereitstellung von Ausbildung in virtuellen Klassenzimmern; Datenanalytikverarbeitung; Transaktionsverarbeitung; und Durchsetzung oder Aktivierung von Sicherheit 68, wie in 1 bis 15 gezeigt ist.
-
Zusätzliche Einzelheiten der Ausführungsformen
-
Die beschriebenen Arbeitsschritte können als Verfahren, Vorrichtung oder Computerprogrammprodukt umgesetzt werden, indem übliche Programmierungs- und/oder Ingenieurtechniken zum Herstellen von Software, Firmware, Hardware oder einer Kombination daraus verwendet werden. Entsprechend können Aspekte der Ausführungsformen die Form einer vollständigen Hardware-Ausführungsform, einer vollständigen Software-Ausführungsform (darunter Firmware, im Speicher befindliche Software, Mikrocode, usw.) oder einer Software- und Hardware-Aspekte kombinierenden Ausführungsform annehmen, die hierin alle allgemein als „Schaltkreis“, „Modul“ oder „System“ bezeichnet sein können. Des Weiteren können Aspekte der Ausführungsformen die Form eines Computerprogrammprodukts annehmen. Das Computerprogrammprodukt kann ein durch einen Computer lesbares Speichermedium (oder -medien) mit durch einen Computer lesbaren Programmanweisungen darauf umfassen, um einen Prozessor dazu zu veranlassen, Aspekte der vorliegenden Ausführungsformen auszuführen.
-
Bei dem durch einen Computer lesbaren Speichermedium kann es sich um eine physische Einheit handeln, die Anweisungen zur Verwendung durch ein System zur Ausführung von Anweisungen behalten und speichern kann. Bei dem durch einen Computer lesbaren Speichermedium kann es sich zum Beispiel um eine elektronische Speichereinheit, eine magnetische Speichereinheit, eine optische Speichereinheit, eine elektromagnetische Speichereinheit, eine Halbleiterspeichereinheit oder jede geeignete Kombination daraus handeln, ohne auf diese beschränkt zu sein. Zu einer nicht erschöpfenden Liste spezifischerer Beispiele des durch einen Computer lesbaren Speichermediums gehören die Folgenden: eine auswechselbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM), ein Nur-Lese-Speicher (ROM), ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM bzw. Flash-Speicher), ein statischer Direktzugriffsspeicher (SRAM), ein auswechselbarer Kompaktspeicherplatte-Nur-Lese-Speicher (CD-ROM), eine DVD (digital versatile disc), ein Speicher-Stick, eine Diskette, eine mechanisch kodierte Einheit wie zum Beispiel Lochkarten oder erhabene Strukturen in einer Rille, auf denen Anweisungen gespeichert sind, und jede geeignete Kombination daraus. Ein durch einen Computer lesbares Speichermedium soll in der Verwendung hierin nicht als flüchtige Signale an sich aufgefasst werden, wie zum Beispiel Funkwellen oder andere sich frei ausbreitende elektromagnetische Wellen, elektromagnetische Wellen, die sich durch einen Wellenleiter oder ein anderes Übertragungsmedium ausbreiten (z.B. Lichtwellenleiterkabel durchlaufende Lichtimpulse) oder durch einen Draht übertragene elektrische Signale.
-
Hierin beschriebene, durch einen Computer lesbare Programmanweisungen können von einem durch einen Computer lesbaren Speichermedium auf jeweilige Datenverarbeitungs-/Verarbeitungseinheiten oder über ein Netzwerk wie zum Beispiel das Internet, ein lokales Netzwerk, ein Weitverkehrsnetz und/oder ein drahtloses Netzwerk auf einen externen Computer oder eine externe Speichereinheit heruntergeladen werden. Das Netzwerk kann Kupferübertragungskabel, Lichtwellenübertragungsleiter, drahtlose Übertragung, Leitwegrechner, Firewalls, Vermittlungseinheiten, Gateway-Computer und/oder Edge-Server umfassen. Eine Netzwerkadapterkarte oder Netzwerkschnittstelle in jeder Datenverarbeitungs-/Verarbeitungseinheit empfängt durch einen Computer lesbare Programmanweisungen aus dem Netzwerk und leitet die durch einen Computer lesbaren Programmanweisungen zur Speicherung in einem durch einen Computer lesbaren Speichermedium innerhalb der entsprechenden Datenverarbeitungs-/Verarbeitungseinheit weiter.
-
Bei durch einen Computer lesbaren Programmanweisungen zum Ausführen von Arbeitsschritten der vorliegenden Ausführungsformen kann es sich um Assembler-Anweisungen, ISA-Anweisungen (Instruction-Set-Architecture), Maschinenanweisungen, maschinenabhängige Anweisungen, Mikrocode, Firmware-Anweisungen, zustandssetzende Daten oder entweder Quellcode oder Objektcode handeln, die in einer beliebigen Kombination aus einer oder mehreren Programmiersprachen geschrieben werden, darunter objektorientierte Programmiersprachen wie Smalltalk, C++ o.ä. sowie herkömmliche prozedurale Programmiersprachen wie die Programmiersprache „C“ oder ähnliche Programmiersprachen. Die durch einen Computer lesbaren Programmanweisungen können vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Software-Paket, teilweise auf dem Computer des Benutzers und teilweise auf einem fernen Computer oder vollständig auf dem fernen Computer oder Server ausgeführt werden. In letzterem Fall kann der entfernt angeordnete Computer mit dem Computer des Benutzers durch eine beliebige Art Netzwerk verbunden sein, darunter ein lokales Netzwerk (LAN) oder ein Weitverkehrsnetz (WAN), oder die Verbindung kann mit einem externen Computer hergestellt werden (zum Beispiel über das Internet unter Verwendung eines Internet-Dienstanbieters). In einigen Ausführungsformen können elektronische Schaltungen, darunter zum Beispiel programmierbare Logikschaltungen, vor Ort programmierbare Gatter-Anordnungen (FPGA, field programmable gate arrays) oder programmierbare Logikanordnungen (PLA, programmable logic arrays) die durch einen Computer lesbaren Programmanweisungen ausführen, indem sie Zustandsinformationen der durch einen Computer lesbaren Programmanweisungen nutzen, um die elektronischen Schaltungen zu personalisieren, um Aspekte der vorliegenden Ausführungsformen durchzuführen.
-
Aspekte der vorliegenden Ausführungsformen sind hierin unter Bezugnahme auf Ablaufpläne und/oder Blockschaltbilder bzw. Schaubilder von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es wird darauf hingewiesen, dass jeder Block der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder sowie Kombinationen von Blöcken in den Ablaufplänen und/oder den Blockschaltbildern bzw. Schaubildern mittels durch einen Computer lesbare Programmanweisungen ausgeführt werden können.
-
Diese durch einen Computer lesbaren Programmanweisungen können einem Prozessor eines Universalcomputers, eines Spezialcomputers oder einer anderen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu erzeugen, so dass die über den Prozessor des Computers bzw. der anderen programmierbaren Datenverarbeitungsvorrichtung ausgeführten Anweisungen ein Mittel zur Umsetzung der in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder festgelegten Funktionen/Schritte erzeugen. Diese durch einen Computer lesbaren Programmanweisungen können auch auf einem durch einen Computer lesbaren Speichermedium gespeichert sein, das einen Computer, eine programmierbare Datenverarbeitungsvorrichtung und/oder andere Einheiten so steuern kann, dass sie auf eine bestimmte Art funktionieren, so dass das durch einen Computer lesbare Speichermedium, auf dem Anweisungen gespeichert sind, ein Herstellungsprodukt umfasst, darunter Anweisungen, welche Aspekte der/des in dem Block bzw. den Blöcken des Ablaufplans und/oder der Blockschaltbilder bzw. Schaubilder angegebenen Funktion/Schritts umsetzen.
-
Die durch einen Computer lesbaren Programmanweisungen können auch auf einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder eine andere Einheit geladen werden, um das Ausführen einer Reihe von Prozessschritten auf dem Computer bzw. der anderen programmierbaren Vorrichtung oder anderen Einheit zu verursachen, um einen auf einem Computer ausgeführten Prozess zu erzeugen, so dass die auf dem Computer, einer anderen programmierbaren Vorrichtung oder einer anderen Einheit ausgeführten Anweisungen die in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder festgelegten Funktionen/Schritte umsetzen.
-
Die Ablaufpläne und die Blockschaltbilder bzw. Schaubilder in den Figuren veranschaulichen die Architektur, die Funktionalität und den Betrieb möglicher Ausführungen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung. In diesem Zusammenhang kann jeder Block in den Ablaufplänen oder Blockschaltbildern bzw. Schaubildern ein Modul, ein Segment oder einen Teil von Anweisungen darstellen, die eine oder mehrere ausführbare Anweisungen zur Ausführung der bestimmten logischen Funktion(en) umfassen. In einigen alternativen Ausführungen können die in dem Block angegebenen Funktionen in einer anderen Reihenfolge als in den Figuren gezeigt stattfinden. Zwei nacheinander gezeigte Blöcke können zum Beispiel in Wirklichkeit im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können manchmal je nach entsprechender Funktionalität in umgekehrter Reihenfolge ausgeführt werden. Es ist darüber hinaus anzumerken, dass jeder Block der Blockschaltbilder bzw. Schaubilder und/oder der Ablaufpläne sowie Kombinationen aus Blöcken in den Blockschaltbildern bzw. Schaubildern und/oder den Ablaufplänen durch spezielle auf Hardware beruhende Systeme umgesetzt werden können, welche die festgelegten Funktionen oder Schritte durchführen, oder Kombinationen aus Spezial-Hardware und Computeranweisung ausführen.
-
17 veranschaulicht ein Blockschaltbild, das bestimmte Elemente zeigt, die gemäß bestimmten Ausführungsformen in den rechnergestützten Einheiten, den Hosts, den Speichersteuereinheiten, den Speichereinheiten oder anderen Einheiten enthalten sein können, die in 1 bis 16 gezeigt sind. Das System 1700 kann eine Schaltung 1702 umfassen, die in bestimmten Ausführungsformen mindestens einen Prozessor 1704 umfassen kann. Das System 1700 kann auch einen Speicher (memory) 1706 (z.B. eine flüchtige Speichereinheit) und einen Speicher (storage) 1708 beinhalten. Zu dem Speicher 1708 kann eine nichtflüchtige Speichereinheit (z.B. EEPROM, ROM, PROM, Flash-Speicher, Firmware, eine programmierbare Logik usw.), ein magnetisches Plattenlaufwerk, ein optisches Plattenlaufwerk, ein Bandlaufwerk usw. gehören. Der Speicher 1708 kann eine interne Speichereinheit, eine angeschlossene Speichereinheit und/oder eine über das Netz zugängliche Speichereinheit aufweisen. Das System 1700 kann eine Programmlogik 1710 aufweisen, die einen Code 1712 beinhaltet, der in den Speicher 1706 geladen und durch den Prozessor 1704 oder die Schaltung 1702 ausgeführt werden kann. In bestimmten Ausführungsformen kann die den Code 1712 beinhaltende Programmlogik 1710 in dem Speicher 1708 gespeichert sein. In bestimmten anderen Ausführungsformen kann die Programmlogik 1710 in der Schaltung 1702 umgesetzt sein. Eine oder mehrere der Komponenten in dem System 1700 können über einen Bus oder über eine andere Kopplung oder Verbindung 1714 Daten austauschen. Folglich kann die Programmlogik 1710 in dem Speicher 1706 und/oder der Schaltung 1702 umgesetzt sein, obwohl 17 die Programmlogik 1710 getrennt von den anderen Elementen zeigt.
-
Bestimmte Ausführungsformen können auf ein Verfahren zum Einsetzen einer Datenverarbeitungsanweisung durch eine Person oder eine automatische Verarbeitung, die einen durch einen Computer lesbaren Code in ein Datenverarbeitungssystem integriert, gerichtet sein, wobei der Code in Kombination mit dem Datenverarbeitungssystem in die Lage versetzt wird, die Arbeitsschritte der beschriebenen Ausführungsformen durchzuführen.
-
Die Begriffe „eine Ausführungsform“, „Ausführungsform“, „Ausführungsformen“, „die Ausführungsform“, „die Ausführungsformen“, „eine oder mehrere Ausführungsformen“, „einige Ausführungsformen“ und „eine einzelne Ausführungsform“ bedeuten „eine oder mehrere (aber nicht alle) Ausführungsformen der vorliegenden Erfindung(en)“, soweit nicht ausdrücklich anderweitig angegeben.
-
Die Begriffe „enthaltend“, „aufweisend“, „mit“ und Abwandlungen davon bedeuten „einschließlich, ohne darauf beschränkt zu sein“, soweit nicht ausdrücklich anderweitig angegeben.
-
Die aufgezählte Auflistung von Gegenständen bedeutet nicht, dass sich eine oder alle der Gegenstände gegenseitig ausschließen, soweit nicht ausdrücklich anderweitig angegeben.
-
Die Begriffe „ein“, „eine“ und „der“, „die“, „das“ bedeuten „ein/eine oder mehrere“, soweit nicht ausdrücklich anderweitig angegeben.
-
Einheiten, die miteinander Daten austauschen, müssen nicht in ständigem Datenaustausch miteinander stehen, soweit nicht ausdrücklich anderweitig angegeben. Außerdem können Einheiten, die miteinander Daten austauschen, direkt oder indirekt über einen oder mehrere Vermittler Daten austauschen.
-
Eine Beschreibung einer Ausführungsform mit mehreren Komponenten, die miteinander Daten austauschen, bedeutet nicht, dass alle derartigen Komponenten benötigt werden. Im Gegenteil wird eine Vielfalt von optionalen Komponenten beschrieben, um die große Vielfalt möglicher Ausführungsformen der vorliegenden Erfindung zu veranschaulichen.
-
Prozessschritte, Verfahrensschritte, Algorithmen und dergleichen können des Weiteren zwar möglicherweise aufeinander folgend beschrieben sein, derartige Prozesse, Verfahren und Algorithmen können jedoch so konfiguriert sein, dass sie in anderen Reihenfolgen ablaufen. Anders ausgedrückt, jeder beliebige Ablauf bzw. jede beliebige Reihenfolge von Schritten, die möglicherweise beschrieben sind, deutet nicht unbedingt auf eine Bedingung hin, dass die Schritte in dieser Reihenfolge durchzuführen sind. Die hierin beschriebenen Schritte von Prozessen können in jeder beliebigen praktischen Reihenfolge durchgeführt werden. Des Weiteren können einige Schritte gleichzeitig durchgeführt werden.
-
Wenn eine einzelne Einheit oder ein einzelner Artikel hierin beschrieben ist, ist ohne Weiteres ersichtlich, dass an Stelle einer einzelnen Einheit/eines einzelnen Artikels mehr als eine Einheit/ein Artikel (unabhängig davon, ob diese zusammenwirken) verwendet werden können. Gleichermaßen ist ohne Weiteres ersichtlich, dass, wenn hierin mehr als eine Einheit oder ein Artikel beschrieben sind (unabhängig davon, ob diese zusammenarbeiten), an Stelle der/des mehr als einen Einheit oder einen Artikels eine einzelne Einheit/ein einzelner Artikel verwendet werden können oder dass an Stelle der gezeigten Anzahl von Einheiten oder Programmen eine andere Anzahl von Einheiten/Artikeln verwendet werden kann. Die Funktionalität und/oder die Eigenschaften einer Einheit können alternativ durch eine oder mehrere andere Einheiten ausgeführt werden, die nicht ausdrücklich als eine derartige Funktionalität/Eigenschaften aufweisend beschrieben sind. Somit müssen andere Ausführungsformen der vorliegenden Erfindung nicht unbedingt die Einheit selbst aufweisen.
-
Zumindest bestimmte Arbeitsschritte, die möglicherweise in den Figuren veranschaulicht wurden, zeigen bestimmte Ereignisse, die in einer bestimmten Reihenfolge eintreten. In alternativen Ausführungsformen können bestimmte Arbeitsschritte in einer unterschiedlichen Reihenfolge durchgeführt, abgewandelt oder entfernt werden. Außerdem können der oben beschriebenen Logik Schritte hinzugefügt werden, ohne von den beschriebenen Ausführungsformen abzuweichen. Des Weiteren können hierin beschriebene Arbeitsschritte nacheinander stattfinden oder bestimmte Arbeitsschritte können parallel verarbeitet werden. Ferner können Arbeitsschritte durch eine einzelne Verarbeitungseinheit oder durch verteilte Verarbeitungseinheiten durchgeführt werden.
-
Die vorstehende Beschreibung verschiedener Ausführungsformen der Erfindung wurde zum Zwecke der Veranschaulichung und Beschreibung aufgeführt. Sie soll nicht gesamthaft stehen für bzw. begrenzt sein auf die Erfindung in der konkret beschriebenen Form. Angesichts der obigen Lehren sind viele Änderungen und Abwandlungen möglich. Es ist beabsichtigt, dass der Umfang der Erfindung nicht durch diese ausführliche Beschreibung beschränkt wird, sondern durch die hierzu beigefügten Ansprüche. Die oben aufgeführte(n) Beschreibung, Beispiele und Daten stellen eine vollständige Beschreibung des Herstellens und Verwendens der Zusammensetzung der Erfindung bereit. Da viele Ausführungsformen der Erfindung möglich sind, ohne von dem Umfang der Erfindung abzuweichen, befindet sich die Erfindung in den nachfolgend beigefügten Ansprüchen.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- US 8275950 [0006]
- US 6219771 [0006]
- EP 1276034 A2 [0006]
- US 8799436 [0006]