DE112020003720T5 - Zugriffsverwaltung zur aktivierung von sicherheit auf einem host-system - Google Patents

Zugriffsverwaltung zur aktivierung von sicherheit auf einem host-system Download PDF

Info

Publication number
DE112020003720T5
DE112020003720T5 DE112020003720.7T DE112020003720T DE112020003720T5 DE 112020003720 T5 DE112020003720 T5 DE 112020003720T5 DE 112020003720 T DE112020003720 T DE 112020003720T DE 112020003720 T5 DE112020003720 T5 DE 112020003720T5
Authority
DE
Germany
Prior art keywords
port
host
storage
security
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112020003720.7T
Other languages
English (en)
Inventor
Roger Hathorn
Patricia Driever
Christopher Colonna
Evan Rivera
John Flanagan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE112020003720T5 publication Critical patent/DE112020003720T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/20Handling requests for interconnection or transfer for access to input/output bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4247Bus transfer protocol, e.g. handshake; Synchronisation on a daisy chain bus
    • G06F13/426Bus transfer protocol, e.g. handshake; Synchronisation on a daisy chain bus using an embedded synchronisation, e.g. Firewire bus, Fibre Channel bus, SSA bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2213/00Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F2213/0008High speed serial bus, e.g. Fiber channel
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2213/00Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F2213/40Bus coupling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

An einem Host-Anschluss wird Sicherheit aktiviert. Als Reaktion auf eine Feststellung durch den Host-Anschluss, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, ermittelt der Host-Anschluss, ob in einer Anmeldeantwort von dem Speicheranschluss ein Prüfmodusindikator aktiviert wurde. Der Host-Anschluss behält den Eingabe/Ausgabe-(E/A-) Zugriff auf den Speicheranschluss auf der Grundlage des Ermittelns, ob der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung betrifft allgemein die Zugriffsverwaltung zur Aktivierung von Sicherheit auf einem Host-System.
  • HINTERGRUND
  • Fibre Channel bezieht sich auf einen integrierten Satz von Architekturstandards für die Datenübertragung, die von dem American National Standards Institute (ANSI) entwickelt wurden. Sicherheitslösungen für die Fibre Channel-Architektur werden durch die von ANSI entwickelten Fibre Channel Security Protocols (FC-SP, Fibre Channel-Sicherheitsprotokolle) bereitgestellt. FC-SP stellt Mechanismen für eine Authentifizierung von Einheiten, Sicherheit pro Nachricht, Verteilung von Richtlinien usw. in einer Fibre Channel-Umgebung bereit. Weitere Einzelheiten zu FC-SP sind in der Veröffentlichung „Fibre Channel Security Protocols - 2 (FC-SP-2)“, Revision 2.71, veröffentlicht von ANSI am 12. Juni 2012, bereitgestellt.
  • FC-LS-4 stellt Mechanismen für Link-Dienste in Fibre Channel bereit, und weitere Einzelheiten sind in der Veröffentlichung „Fibre Channel Link Services (FC-LS-4)“, Revision 4.04, veröffentlicht von ANSI am 16. Juli 2019, bereitgestellt. FC-FS-5 stellt Mechanismen für Framing und Signalisierung in Fibre Channel bereit, und weitere Einzelheiten sind in der Veröffentlichung „Fibre Channel Framing and Signaling-5 (FC-FS-5)“, Revision 1.0, veröffentlicht von ANSI am 3. April 2018, bereitgestellt.
  • In einer Fibre Channel-Umgebung wird zum Bereitstellen einer sicheren und verschlüsselten Datenübertragung zwischen Knoten in einer Struktur (fabric) eine SA-(Security Association-, Sicherheitszuordnungs-) Verwaltungstransaktion zwischen einem SA_Initiator und einem SA_Responder unter Verwendung eines Protokolls zur Einrichtung von Sicherheit durchgeführt. Die Initiatoren (initiators) und Antwortenden (responders) können Anschlüsse in Adaptern in Einheiten in einem Fibre Channel-Netzwerk aufweisen. Für die Datenübertragung und den Datenempfang an einem Anschluss werden getrennte Sicherheitszuordnungen eingerichtet. Der Abschluss der Transaktion zur Einrichtung von SA führt zu einem Satz von Sicherheitszuordnungen und zugehörigem Schlüsselmaterial, das zum Verschlüsseln/Entschlüsseln der Datenübertragung zwischen dem Initiator und dem Antwortenden unter Einhaltung der eingerichteten Sicherheitszuordnung verwendet wird. Ein Beispiel für ein Protokoll zur Sicherheitszuordnung ist das Security Association Management-Protokoll in FC-SP-2. Das Protokoll besteht aus einem Nachrichtenpaar SA_Init und SA_Init Response, um eine übergeordnete Assoziation einzurichten, gefolgt von einem Nachrichtenpaar SA_Auth und SA_Auth Response, um die Authentifizierung der Berechtigten durchzuführen und die Sicherheitszuordnungen einzurichten, welche die zwischen den Entitäten übertragenen Daten schützen.
  • Eine Speichersteuereinheit kann den Zugriff auf den Speicher für eine oder mehrere rechnergestützte Host-Einheiten steuern, die über ein Fibre Channel-Netzwerk mit der Speichersteuereinheit verbunden sein können. Eine Speicherverwaltungsanwendung, die in der Speichersteuereinheit ausgeführt wird, kann eine Mehrzahl von mit der Speichersteuereinheit verbundenen Einheiten verwalten, wie zum Beispiel Plattenlaufwerke, Bandlaufwerke, Flash-Datenträger, Direktzugriffsspeichereinheiten (DASD, direct access storage devices) usw. Eine rechnergestützte Host-Einheit kann Eingabe/Ausgabe-(E/A-) Befehle an die Speichersteuereinheit senden, und die Speichersteuereinheit kann die E/A-Befehle ausführen, um Daten aus den Speichereinheiten zu lesen oder Daten in die Speichereinheiten zu schreiben. Die Datenübertragung zwischen den Hosts und der Speichersteuereinheit erfolgt über Fibre Channel-Anschlüsse, die sich auf Adaptern in den Hosts und der Speichersteuereinheit befinden.
  • Die US-Patentveröffentlichung 20100154053 erörtert einen Speichersicherheitsmechanismus, der eine kryptografische Aufteilung verwendet. Die US-Patentveröffentlichung 20190251282 erörtert einen Cybersicherheitsmechanismus für ein Übertragen von Daten zwischen Servern. Die US-Patentveröffentlichung 20160139845 erörtert eine Zugriffssteuerung auf Speicherebene für Datengruppierungsstrukturen. Die US-Patentveröffentlichung 20160378691 erörtert Mechanismen zum Schützen eines Speichers vor einem Angriff. Das US-Patent 8275950 erörtert eine Speichersteuereinheit für Fibre Channel-Verbindungen, welche die Eins-zu-Eins-Zuordnung von Anschlüssen der Host-Computer und der Speichersteuereinheit unter Verwendung einer Steuertabelle für Anmeldeanfragen verwalten kann, um alle unbefugten Zugriffsversuche von Host-Computern für jeden einzelnen Anschluss zu verhindern und so eine verbesserte Sicherheit aufrechtzuerhalten. Das US-Patent 6219771 erörtert eine Vorrichtung zur Datenspeicherung mit einem verbesserten Sicherheitsprozess und Partitionszuweisungsfunktionen. Die US-Patentveröffentlichung 20040107342 erörtert ein sicheres Netzwerk-Dateizugriffssteuersystem. Die europäische Patentanmeldung EP1276034A2 erörtert Sicherheit für logische Einheiten in einem Speicherteilsystem. Die US-Patentveröffentlichung 20160342798 erörtert ein System und ein Verfahren zur Verwaltung von geschützten Einheiten. Das US-Patent 8799436 erörtert ein System und ein Verfahren zum Prüfen und Verifizieren von Konfigurationselementen in einer Informationstechnologie- (IT-) Konfigurationsverwaltungsdatenbank.
  • KURZDARSTELLUNG
  • Es werden ein Verfahren, ein System und ein Computerprogrammprodukt bereitgestellt, wobei an einem Host-Anschluss Sicherheit aktiviert ist. Als Reaktion auf eine Feststellung durch den Host-Anschluss, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, ermittelt der Host-Anschluss, ob in einer Anmeldeantwort von dem Speicheranschluss ein Prüfmodusindikator aktiviert wurde. Der Host-Anschluss behält den Eingabe/Ausgabe-(E/A-) Zugriff auf den Speicheranschluss auf der Grundlage des Ermittelns, ob der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde. Infolgedessen kann ein Host-Anschluss selbst dann in der Lage sein, E/A über einen Speicheranschluss durchzuführen, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann.
  • In weiteren Ausführungsformen führt der Host-Anschluss E/A an dem Speicheranschluss als Reaktion auf ein Feststellen durch, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde. Infolgedessen führt ein Host-Anschluss selbst dann E/A über einen Speicheranschluss durch, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn der Prüfmodusindikator aktiviert wurde.
  • In zusätzlichen Ausführungsformen vermeidet der Host-Anschluss das Durchführen von E/A an dem Speicheranschluss als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss nicht aktiviert wurde. Infolgedessen führt ein Host-Anschluss keine E/A über einen Speicheranschluss durch, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann und der Prüfmodusindikator nicht aktiviert wurde.
  • In zusätzlichen Ausführungsformen gibt der Host-Anschluss E/A-Anforderungen an ein Betriebssystem einer rechnergestützten Host-Einheit als Reaktion auf ein Feststellen heraus, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss nicht aktiviert wurde. Infolgedessen werden alternative Mechanismen zum Durchführen von E/A versucht, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann und der Prüfmodusindikator nicht aktiviert wurde.
  • In weiteren Ausführungsformen stellt der Host-Anschluss fest, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn der Host-Anschluss nicht in der Lage ist, auf einen Schlüsselserver zuzugreifen, um Anmeldeinformationen zum Authentifizieren mit dem Speicheranschluss zu erhalten. Infolgedessen kann der Host-Anschluss weitere Maßnahmen ergreifen, um einen Status des Prüfindikators zu ermitteln, um zu ermitteln, ob E/A-Anforderungen an den Speicheranschluss gesendet werden sollen.
  • In zusätzlichen Ausführungsformen stellt der Host-Anschluss fest, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn in einem Prozess zur Authentifizierung oder zur Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss ein Fehler auftritt. Infolgedessen kann der Host-Anschluss weitere Maßnahmen ergreifen, um einen Status des Prüfindikators zu ermitteln, um zu ermitteln, ob E/A-Anforderungen an den Speicheranschluss gesendet werden sollen.
  • In weiteren Ausführungsformen wird der Prüfmodusindikator über eine Angabe in einem Hilfsparameter-Datenwort 0, Bit 23, in Programmen aktiviert, die Fibre Channel Link Services umsetzen. Infolgedessen werden Verbesserungen an Fibre Channel vorgenommen, um Arbeitsschritte zu erweitern, die auf dem von Fibre Channel bereitgestellten Sicherheitsbit beruhen.
  • Figurenliste
  • Es wird nun auf die Zeichnungen verwiesen, in denen gleiche Bezugszahlen durchgehend für entsprechende Teile stehen:
    • 1 veranschaulicht ein Blockschaltbild einer heterogenen Datenverarbeitungsumgebung gemäß bestimmten Ausführungsformen, die eine Mehrzahl von Hosts aufweist, die über eine Fibre Channel-Struktur mit einer Mehrzahl von Speichersteuereinheiten und/oder Speichereinheiten Daten austauschen;
    • 2 veranschaulicht ein Blockschaltbild eines Systems zum Aufrechterhalten des Zugriffs für einen Host zur Aktivierung von Sicherheit in einer heterogenen Datenverarbeitungsumgebung gemäß bestimmten Ausführungsformen;
    • 3 veranschaulicht ein Blockschaubild, das ein Sicherheitsbit für eine Anmeldung in Fibre Channel und eine Verbesserung von Fibre Channel durch einen Prüfmodusindikator gemäß bestimmten Ausführungsformen zeigt;
    • 4 veranschaulicht ein Blockschaubild, das eine Anmeldung und eine Antwort in Fibre Channel gemäß bestimmten Ausführungsformen zeigt;
    • 5 veranschaulicht ein Blockschaubild, das eine Verbesserung von Fibre Channel zeigt, um Angaben für „Sicherheit durchgesetzt“ und „Sicherheit aktiviert“ durch Aktivierung oder Nichtaktivierung eines Prüfmodusindikators gemäß bestimmten Ausführungsformen bereitzustellen;
    • 6 veranschaulicht einen Ablaufplan, der Arbeitsschritte eines Speicheranschlusses mit durchgesetzter Sicherheit gemäß bestimmten Ausführungsformen zeigt;
    • 7 veranschaulicht einen Ablaufplan, der Arbeitsschritte eines Speicheranschlusses mit aktivierter Sicherheit gemäß bestimmten Ausführungsformen zeigt;
    • 8 veranschaulicht ein Blockschaubild, das Bedingungen zeigt, die ein erfolgreiches Abschließen einer Authentifizierung und einer Verwaltung der Sicherheitszuordnung gemäß bestimmten Ausführungsformen verhindern;
    • 9 veranschaulicht ein Blockschaubild, das eine Mehrzahl von Host-Anschlüssen gemäß bestimmten Ausführungsformen zeigt, die sich an einem einzelnen Speicheranschluss anmelden;
    • 10 veranschaulicht einen Ablaufplan, der Arbeitsschritte in einer Speichereinheit gemäß bestimmten Ausführungsformen zeigt, um gemäß bestimmten Ausführungsformen zu ermitteln, ob ein Speicheranschluss in einen Status „Sicherheit durchgesetzt“ geändert werden soll;
    • 11 veranschaulicht einen Ablaufplan, der Arbeitsschritte zum Aufrechterhalten des Zugriffs gemäß bestimmten Ausführungsformen für eine Aktivierung von Sicherheit auf einem Host-System gemäß bestimmten Ausführungsformen zeigt;
    • 12 veranschaulicht einen Ablaufplan, der zusätzliche Arbeitsschritte zum Aufrechterhalten des Zugriffs zur Aktivierung von Sicherheit auf einem Host-System gemäß bestimmten Ausführungsformen zeigt;
    • 13 veranschaulicht einen Ablaufplan, der Arbeitsschritte zum Aufrechterhalten des Zugriffs zur Aktivierung von Sicherheit in einer Speichereinheit gemäß bestimmten Ausführungsformen zeigt;
    • 14 veranschaulicht einen Ablaufplan, der zusätzliche Arbeitsschritte zum Aufrechterhalten des Zugriffs zur Aktivierung von Sicherheit in einer Speichereinheit gemäß bestimmten Ausführungsformen zeigt;
    • 15 veranschaulicht ein Blockschaubild einer Cloud-Computing-Umgebung gemäß bestimmten Ausführungsformen;
    • 16 veranschaulicht ein Blockschaubild mit weiteren Einzelheiten der Cloud-Computing-Umgebung aus 15 gemäß bestimmten Ausführungsformen; und
    • 17 veranschaulicht ein Blockschaltbild eines rechnergestützten Systems, das bestimmte Elemente zeigt, die gemäß bestimmten Ausführungsformen in den in 1 bis 16 beschriebenen Hosts, Speichersteuereinheiten und Speichereinheiten enthalten sein können.
  • AUSFÜHRLICHE BESCHREIBUNG
  • In der folgenden Beschreibung wird auf die beigefügten Zeichnungen Bezug genommen, die einen Teil hiervon bilden und mehrere Ausführungsformen veranschaulichen. Es sei darauf hingewiesen, dass auch andere Ausführungsformen verwendet werden können und strukturelle und operative Änderungen vorgenommen werden können.
  • Der Standard zur Verschlüsselung von Fibre Channel-Verbindungen (FC-SP-2) umfasst Protokolle für die gegenseitige Authentifizierung der beiden Endpunkte (d.h. Anschlüsse) sowie Protokolle für die Aushandlung von Verschlüsselungsschlüsseln, die in Datenübertragungssitzungen zwischen den beiden Endpunkten verwendet werden. Der Standard stellt eine Unterstützung einer Vielfalt von Mechanismen zum Authentifizieren der beteiligten Parteien sowie Mechanismen bereit, mit denen Schlüsselmaterial bereitgestellt oder entwickelt wird.
  • In dem FC-SP-2-Standard wird die Unterstützung der Authentifizierung innerhalb eines Endpunkts durch die Einstellung des Sicherheitsbits der Common Service-Parameter angezeigt, die während des Anmeldevorgangs an die Gegenstelle übergeben werden. Wenn das Sicherheitsbit in der Anmeldeanforderung auf den Wert eins gesetzt ist, gibt dies an, dass der sendende Anschluss in der Lage ist, eine Authentifizierung durchzuführen. Wenn der antwortende Anschluss die Anmeldeanforderung annimmt und in der Antwort auch das Sicherheitsbit auf eins setzt, gibt dies an, dass der antwortende Anschluss von dem Absender der Anmeldung verlangt, nun eine Authentifizierung durchzuführen, bevor ein weiterer Zugriff gewährt wird.
  • Der FC-SP-2-Standard legt das Verhalten des antwortenden Endpunkts in Bezug auf die Annahme oder Ablehnung der Anmeldeanforderung und die Einstellung des Sicherheitsbits auf der Grundlage der an diesem Endpunkt zum Zeitpunkt des Empfangens der Anforderung geltenden Sicherheitsrichtlinie fest. Der Standard enthält keine Bestimmungen darüber, wie diese Richtlinie am antwortenden Endpunkt instanziiert wird. In einem Unternehmensrechenzentrum muss darauf geachtet werden, dass der Zugriff auf die Daten geschützt sowie Sicherheit für die Daten bereitgestellt wird. Beim Aktivieren von Sicherheit in einer heterogenen Umgebung, die einige Systeme und Speicheranschlüsse enthält, die keine Sicherheit unterstützen (z.B. ältere Anschlüsse), stellen bestimmte Ausführungsformen Mechanismen bereit, um sicherzustellen, dass die Verbindungsfähigkeit nicht verloren geht, im Gegensatz zu derzeitigen Standards, die derartige Mechanismen nicht zulassen.
  • Bestimmte Ausführungsformen stellen einen Mechanismus bereit, um Sicherheit auf einem Host in einem „Prüfmodus“ zu aktivieren, wobei der Zugriff auf Daten durch einen Host nicht verloren geht, wenn die Sicherheit in einer Speichereinheit aktiviert ist. Über eine Einstellung eines Prüfmodusindikators zum Zeitpunkt der Anmeldung wird eine Angabe bereitgestellt, die es einem Host-Anschluss ermöglicht, nach dem Aktivieren von Sicherheit weiterhin auf einen Speicheranschluss zuzugreifen. Sobald überprüft wurde, dass die Authentifizierung und Aktivierung von Sicherheitsmechanismen erfolgreich abgeschlossen wurden, kann die Sicherheitsaktivierung in eine Richtlinie zur Sicherheitsdurchsetzung umgewandelt werden. Sicherheitsaktivierung bedeutet, dass E/A auch dann durchgeführt werden kann, wenn die Authentifizierung und Aktivierung von Sicherheitsmechanismen nicht erfolgreich abgeschlossen wurden, während Sicherheitsdurchsetzung bedeutet, dass E/A nicht durchgeführt werden kann, wenn die Authentifizierung und Aktivierung von Sicherheitsmechanismen nicht erfolgreich abgeschlossen wurden. Im Prüfmodus kann ein Host weiterhin auf die Speichereinheit zugreifen und Werkzeuge zur Überprüfung des Sicherheitsstatus von Verbindungen bereitstellen.
  • Bestimmte Ausführungsformen stellen einen Mechanismus bereit, bei dem ein Host feststellt, dass die Authentifizierung und/oder Sicherheitszuordnung mit einer Speichereinheit nicht erfolgreich abgeschlossen werden kann, und dann den Prüfmodusindikator verwendet, um zu prüfen, ob an dem Speicheranschluss keine Sicherheit durchgesetzt wird. Wenn der Prüfmodusindikator gesetzt ist, sendet der Host-Prozessor weiterhin E/A-Arbeitsschritte an die Speichereinheit entlang des ausgewählten Anschlusses. Ist der Prüfmodusindikator nicht gesetzt, stellt der Host-Prozessor die E/A-Arbeitsschritte an der Speichereinheit ein und benachrichtigt die Host-Anwendung oder das Betriebssystem, um einen alternativen Pfad zum Abschließen der E/A-Arbeitsschritte zu finden.
  • Zusätzlich können sich bei Fibre Channel viele Host-Anschlüsse (wie in FC-FS-5 beschrieben) an einem einzelnen Speicheranschluss anmelden. Einige dieser Host-Anschlüsse können Sicherheit unterstützen, andere nicht. Wenn eine Anschlusseinstellung auf „Sicherheit durchgesetzt“ gesetzt ist, können die Host-Anschlüsse, die keine Sicherheit unterstützen, den Zugriff auf den Speicheranschluss verlieren, da diese Host-Anschlüsse sich nicht anmelden dürfen.
  • In bestimmten Ausführungsformen werden von der Speichereinheit Informationen bereitgestellt, um die Anzahl von aktuellen Anmeldungen an jedem ihrer Anschlüsse anzugeben. Für diese Anzahl von Anmeldungen stellt die Speichereinheit die Anzahl der sicherheitsfähigen Anmeldungen sowie die Anzahl von Anmeldungen bereit, die erfolgreich authentifiziert wurden und Sicherheit aktiviert haben. Anhand dieser Informationen lässt sich feststellen, ob der Zugriff auf einen Anschluss verloren gehen könnte, wenn die Einstellung für den Speicheranschluss auf „Sicherheit durchgesetzt“ geändert wird. Sobald alle Anmeldungen als sicher eingestuft sind, kann die Einstellung ohne Verlust des Zugriffs geändert werden, da alle Host-Anschlüsse Sicherheit erfolgreich aktivieren können. In bestimmten Ausführungsformen prüft die Speichereinheit, wenn die Einstellung auf ein Durchsetzen von Sicherheit geändert werden soll, Anmeldezähler, um festzustellen, ob ein Verlust des Zugriffs auftreten könnte (d.h., es gibt Anmeldungen, die nicht erfolgreich authentifiziert wurden), und verhindert, dass die Einstellung auf ein Durchsetzen von Sicherheit geändert wird.
  • Bestimmte Ausführungsformen stellen einen Speicheranschluss bereit, der eine Einstellung zum Aktivieren von Sicherheit ohne Durchsetzung unterstützt und prüffähige Statistiken (z.B. Anzahl von Anmeldungen, Anzahl der sicherheitsfähigen Anmeldungen und Anzahl von Anmeldungen mit aktivierter Sicherheit) zum Ermitteln von Auswirkungen der Sicherheitseinstellung auf die Durchsetzung bereitstellt. In einer Anmeldeantwort an den Host-Anschluss wird ein Prüfmodusindikator gesetzt, der angibt, dass selbst dann E/A an diesen Speicheranschluss gesendet werden kann, wenn die Authentifizierung nicht erfolgreich abgeschlossen werden kann. Die Einstellung, ob Sicherheit aktiviert oder durchgesetzt werden soll, kann für eine Speicheranordnung oder für einen einzelnen Speicheranschluss durchgeführt werden.
  • In bestimmten Ausführungsformen wird eine Einstellung zur Sicherheitsdurchsetzung bereitgestellt, die eine automatische Überprüfung der Anmeldeindikatoren vorsieht, um zu verhindern, dass die Einstellung geändert wird, wenn ein Verlust des Zugriffs auftreten könnte. Es wird auch eine Option bereitgestellt, mit der die Einstellung zur Sicherheitsdurchsetzung ohne Berücksichtigung von Anmeldeindikatoren durchgesetzt werden kann.
  • Infolgedessen werden Verbesserungen an Einheiten vorgenommen, um die Verbindungsfähigkeit für ein Durchführen von E/A aufrechtzuerhalten, was eine auf Fibre Channel beruhende verbindungsfähige Umgebung verbessert.
  • Beispielhafte Ausführungsformen
  • 1 veranschaulicht ein Blockschaltbild 100 einer heterogenen Datenverarbeitungsumgebung gemäß bestimmten Ausführungsformen, die eine Mehrzahl von Hosts 102, 104 aufweist, die über eine Fibre Channel-Struktur 106 mit einer Mehrzahl von Speichersteuereinheiten und/oder Speichereinheiten 108, 110 Daten austauschen. Sowohl Speichersteuereinheiten als auch Speichereinheiten sind mittels der Bezugszahlen 108, 110 gezeigt, und die Hosts 102, 104 können mit Speichersteuereinheiten Daten austauschen, welche Speichereinheiten steuern, oder sie können mit den Speichereinheiten ohne Beteiligung einer Speichersteuereinheit Daten austauschen. Eine Speichersteuereinheit kann auch als eine fortgeschrittene Art von Speichereinheit betrachtet werden, da sie den Zugriff auf eine oder mehrere Speichereinheiten für einen oder mehrere Hosts steuert und ermöglicht.
  • Die Hosts 102, 104 und die Speichersteuereinheiten 108, 110 können jede beliebige rechnergestützte Einheit aufweisen, einschließlich der nach dem Stand der Technik bekannten wie zum Beispiel einen Personal Computer, eine Workstation, einen Server, einen Mainframe-Computer, einen Handheld-Computer, einen Palm-Top-Computer, eine Telefonieeinheit, ein Netzwerkgerät, einen Blade-Computer, eine Verarbeitungseinheit, eine Steuereinheit usw. Die Speichereinheiten können nach dem Stand der Technik bekannte Speichereinheiten umfassen, wie zum Beispiel Festplattenlaufwerke, Bandlaufwerke, Halbleiter-Speicherplatten usw.
  • Bei den Hosts 102, 104 und den Speichereinheiten 108, 110 kann es sich um Elemente in einem beliebigen geeigneten Netzwerk handeln, wie zum Beispiel einem Speicherbereichsnetz, einem Weitverkehrsnetz, dem Internet oder einem Intranet. In bestimmten Ausführungsformen kann es sich bei den Hosts 102, 104 und den Speichereinheiten 108, 110 um Elemente in einer Cloud-Computing-Umgebung handeln. Die Verbindungsfähigkeit zwischen den Hosts 102, 104 und den Speichereinheiten 108, 110 in dem Netzwerk und/oder der Cloud-Computing-Umgebung kann über die Fibre Channel-Struktur 106 erfolgen.
  • Ein Host kann einen oder mehrere Host-Anschlüsse umfassen. Zum Beispiel umfasst der Host 102 eine Mehrzahl von Host-Anschlüssen 112, und der Host 104 umfasst eine Mehrzahl von Host-Anschlüssen 114. Eine Speichereinheit kann eine Mehrzahl von Speicheranschlüssen umfassen. Zum Beispiel umfasst die Speichereinheit 108 eine Mehrzahl von Speicheranschlüssen 116, und die Speichereinheit 110 umfasst eine Mehrzahl von Speicheranschlüssen 118. Die Host-Anschlüsse 112, 114 und die Speicheranschlüsse 116, 118 können über die Fibre Channel-Struktur 106 Daten austauschen.
  • In bestimmten Ausführungsformen unterstützen nicht alle Hosts Sicherheit für Host-Anschlüsse. Zum Beispiel unterstützen bestimmte ältere Hosts möglicherweise keine Sicherheit für Host-Anschlüsse in Fibre Channel, oder bestimmte ältere Adapter in Hosts unterstützen möglicherweise keine Sicherheit für Host-Anschlüsse in Fibre Channel. Zum Beispiel wird gezeigt, dass der Host 102 Sicherheit für einen Host-Anschluss unterstützt, und es wird gezeigt, dass der Host 104 keine Sicherheit für einen Host-Anschluss unterstützt.
  • In bestimmten Ausführungsformen können bestimmte Speichereinheiten es ermöglichen, einen oder mehrere Speicheranschlüsse so zu konfigurieren, dass sie Sicherheit mit Durchsetzung aktivieren (d.h., E/A kann nur dann von einem Host-Anschluss zu einem Speicheranschluss erfolgen, wenn bestätigt wurde, dass zwischen dem Host-Anschluss und dem Speicheranschluss eine sichere Verbindungsfähigkeit hergestellt wurde). In bestimmten Ausführungsformen können bestimmte Speichereinheiten es ermöglichen, einen oder mehrere Speicheranschlüsse so zu konfigurieren, dass sie Sicherheit ohne Durchsetzung aktivieren (d.h., E/A kann selbst dann von einem Host-Anschluss zu einem Speicheranschluss erfolgen, wenn nicht bestätigt wurde, dass zwischen dem Host-Anschluss und dem Speicheranschluss eine sichere Verbindungsfähigkeit hergestellt wurde). Zum Beispiel hat die Speichereinheit 108 möglicherweise Sicherheit mit Durchsetzung für mindestens einen der Speicheranschlüsse 116 aktiviert (für andere Speicheranschlüsse in der Speichereinheit 108 ist möglicherweise Sicherheit ohne Durchsetzung aktiviert). In 1 hat die Speichereinheit 110 möglicherweise Sicherheit ohne Durchsetzung für mindestens einen der Speicheranschlüsse 118 aktiviert (für andere Speicheranschlüsse in der Speichereinheit 110 ist möglicherweise Sicherheit mit Durchsetzung aktiviert).
  • Daher zeigt 1 bestimmte Ausführungsformen, die es ermöglichen, E/A-Arbeitsschritte von einem Host-Anschluss selbst dann an einen Speicheranschluss zu senden, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung zwischen einem Host-Anschluss und einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann.
  • 2 veranschaulicht ein Blockschaltbild 200 eines Systems 202 zum Aufrechterhalten des Zugriffs für einen Host zur Aktivierung von Sicherheit in einer heterogenen Datenverarbeitungsumgebung gemäß bestimmten Ausführungsformen.
  • Der Host 202 ist über eine Fibre Channel-Struktur 208 mit einer Mehrzahl von Speichereinheiten 204, 206 für den Datenaustausch verbunden. Die Speichereinheit 204 hat Sicherheit mit Durchsetzung für den Speicheranschluss 210 der Speichereinheit 204 aktiviert, und die Speichereinheit 206 hat Sicherheit ohne Durchsetzung für den Speicheranschluss 212 der Speichereinheit 206 aktiviert. In bestimmten Ausführungsformen kann ein Speicheranschluss vom Aktivieren von Sicherheit ohne Durchsetzung zum Aktivieren von Sicherheit mit Durchsetzung und umgekehrt geändert werden.
  • Der Host 202 umfasst einen Host-Anschluss 214, wobei der Host-Anschluss 214 mit den Speicheranschlüssen 210, 212 Daten austauscht. In den in 2 gezeigten Ausführungsformen ist der Host-Anschluss 214 selbst dann in der Lage, E/A an den Speicheranschluss 212 zu übermitteln, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung zwischen dem Host-Anschluss 214 und dem Speicheranschluss 212 nicht erfolgreich abgeschlossen werden kann, weil der Speicheranschluss 212 Sicherheit ohne Durchsetzung aktiviert hat. Allerdings ist der Host-Anschluss 214 nicht in der Lage, E/A an den Speicheranschluss 210 zu übermitteln, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung zwischen dem Host-Anschluss 214 und dem Speicheranschluss 210 nicht erfolgreich abgeschlossen werden kann, weil der Speicheranschluss 210 Sicherheit mit Durchsetzung aktiviert hat.
  • Falls der Host-Anschluss 214 nicht in der Lage ist, einen E/A-Vorgang an einen Speicheranschluss zu übermitteln, versucht das Betriebssystem 216 des Hosts 202, den E/A-Vorgang über einen anderen Mechanismus zu übermitteln.
  • 3 veranschaulicht ein Blockschaubild 300, das ein Sicherheitsbit 302 für eine Anmeldung in aktuellen Fibre Channel-Standards und eine Verbesserung von Fibre Channel durch einen Prüfmodusindikator 304 gemäß bestimmten Ausführungsformen zeigt. Der Prüfmodusindikator 304 kann aktiviert (Bezugszahl 306) oder nicht aktiviert (Bezugszahl 308) sein.
  • Es ist zu beachten, dass der Prüfmodusindikator 304 in bestehenden Fibre Channel-Standards nicht zu finden ist. Die Aktivierung des Prüfmodusindikators 304 ermöglicht, dass die Aktivierung von Sicherheit ohne Durchsetzung in Zusammenarbeit mit der Konfiguration des Sicherheitsbits 302 funktioniert.
  • In bestimmten Ausführungsformen wird der Prüfmodusindikator 304 über eine Angabe in dem Hilfsparameter-Datenwort 0, Bit 23, in Programmen aktiviert, die Fibre Channel Link Services (FC-LS-4) umsetzen. Andere Mechanismen zum Umsetzen des Prüfmodusindikators 304 können in anderen Ausführungsformen bereitgestellt werden. Der Prüfmodusindikator 304 und das Sicherheitsbit 302 können Teil einer oder mehrerer Datenstrukturen sein, die zum Durchführen von Arbeitsschritten verwendet werden.
  • 4 veranschaulicht ein Blockschaubild 400, das eine Anmeldung und eine Antwort in Fibre Channel gemäß bestimmten Ausführungsformen zeigt. Ein Host-Anschluss 402 übermittelt eine Anmeldeanforderung 404 an einen Speicheranschluss 406. Der Host-Anschluss 402 wird auch als „sendender Anschluss“ bezeichnet, und der Speicheranschluss 406 wird als „empfangender Anschluss“ bezeichnet.
  • In der Anmeldeanforderung 404 von dem Host-Anschluss 402 wird das Sicherheitsbit 302 auf eins gesetzt, um anzugeben, dass der sendende Anschluss (d.h. der Host-Anschluss 402) in der Lage ist, eine Authentifizierung durchzuführen.
  • Beim Empfangen der Anmeldeanforderung 404 sendet der Speicheranschluss 406 eine Antwort 408 an den Host-Anschluss 402. Die Antwort 408 von dem Speicheranschluss 406 kann das Sicherheitsbit 302 auf eins setzen, um anzugeben, dass der empfangende Anschluss (d.h. der Speicheranschluss 406) von dem sendenden Anschluss (d.h. dem Host-Anschluss 402) verlangt, dass er nun eine Authentifizierung durchführt, bevor ein weiterer Zugriff gewährt wird.
  • In bestimmten Ausführungsformen wird selbst dann, wenn das Sicherheitsbit 302 in der Antwort auf eins gesetzt ist, die Anforderung zum Abschließen der Authentifizierung vor einem Gewähren eines weiteren Zugriffs außer Kraft gesetzt, wenn der Prüfmodusindikator 304 aktiviert (d.h. gesetzt) ist, um anzugeben, dass Sicherheit ohne Durchsetzung aktiviert ist.
  • 5 veranschaulicht ein Blockschaubild 500, das eine Verbesserung von Fibre Channel zeigt, um Angaben für „Sicherheit durchgesetzt“ und „Sicherheit aktiviert“ durch Aktivierung oder Nichtaktivierung eines Prüfmodusindikators 304 gemäß bestimmten Ausführungsformen bereitzustellen.
  • Angaben werden von einem empfangenden Anschluss (z.B. einem Speicheranschluss in einer Speichereinheit) in der Antwort auf eine Anmeldeanforderung von einem Host-Anschluss bereitgestellt (wie durch die Bezugszahl 502 gezeigt ist). Die Angaben können über eine Konfiguration des Prüfmodusindikators 304 bereitgestellt werden. Die Konfiguration mit aktiviertem Prüfmodusindikator 304 kann dazu führen, dass ein Zustand eines Speicheranschlusses „Sicherheit aktiviert“ 504 lautet, was bedeutet, dass Sicherheit ohne Durchsetzung aktiviert ist. Wird die Konfiguration des Prüfmodusindikators 304 nicht aktiviert, kann dies dazu führen, dass ein Zustand eines Speicheranschlusses „Sicherheit durchgesetzt“ 506 lautet, was bedeutet, dass Sicherheit mit Durchsetzung aktiviert ist.
  • 6 veranschaulicht einen Ablaufplan 600, der Arbeitsschritte eines Speicheranschlusses mit durchgesetzter Sicherheit gemäß bestimmten Ausführungsformen zeigt. Die Steuerung geht weiter zu Block 604, in dem eine Authentifizierung und eine Verwaltung der Sicherheitszuordnung zwischen einem Host-Anschluss und dem Speicheranschluss eingeleitet werden. Die Steuerung geht weiter zu Block 606, in dem festgestellt wird, ob die Authentifizierung und die Verwaltung der Sicherheitszuordnung zwischen dem Host-Anschluss und dem Speicheranschluss erfolgreich abgeschlossen wurden. Ist dies der Fall („Ja“-Verzweigung 608), geht die Steuerung zu Block 610 über, in dem dem Host-Anschluss gestattet wird, mit dem Durchführen von E/A über den Speicheranschluss zu beginnen (in Block 610). Ist dies nicht der Fall („Nein“-Verzweigung 612), geht die Steuerung zu Block 614 über, in dem der Host-Anschluss am Durchführen von E/A über den Speicheranschluss gehindert wird.
  • 7 veranschaulicht einen Ablaufplan 700, der Arbeitsschritte eines Speicheranschlusses mit aktivierter Sicherheit gemäß bestimmten Ausführungsformen zeigt.
  • Die Steuerung beginnt in Block 702, in dem Sicherheit für einen Speicheranschluss aktiviert ist. Die Steuerung geht weiter zu Block 704, in dem eine Authentifizierung und eine Verwaltung der Sicherheitszuordnung zwischen einem Host-Anschluss und dem Speicheranschluss eingeleitet werden. Dem Host-Anschluss wird gestattet, E/A über den Speicheranschluss durchzuführen (Block 706), unabhängig davon, ob der Arbeitsschritt der Authentifizierung und der Verwaltung der Sicherheitszuordnung erfolgreich oder nicht erfolgreich abgeschlossen wird (in Block 708). Der Zeitpunkt, ab dem die E/A erlaubt ist, kann in verschiedenen Ausführungsformen unterschiedlich sein.
  • 8 veranschaulicht ein Blockschaubild 800, das Bedingungen zeigt, die ein erfolgreiches Abschließen einer Authentifizierung und einer Verwaltung der Sicherheitszuordnung gemäß bestimmten Ausführungsformen verhindern.
  • Eine erste Bedingung 802 ist eine unvollständige Konfiguration einer Sicherheitsrichtlinie, die verhindern kann, dass die Authentifizierung und die Verwaltung der Sicherheitszuordnung erfolgreich abgeschlossen werden. Eine zweite Bedingung 804 weist unzugängliche Schlüsselserver auf, die Anmeldeinformationen zum Zugreifen auf die Speichereinheit bereitstellen, die verhindern können, dass die Authentifizierung und die Verwaltung der Sicherheitszuordnung erfolgreich abgeschlossen werden. Eine dritte Bedingung 806 ist ein Fehler beim Austauschen von Daten bei der Authentifizierung und Verwaltung der Sicherheitszuordnung, der verhindern kann, dass die Authentifizierung und die Verwaltung der Sicherheitszuordnung erfolgreich abgeschlossen werden. All diese Bedingungen können dazu führen, dass die Authentifizierung und die Verwaltung der Sicherheitszuordnung in den in 6 und 7 gezeigten Arbeitsschritten nicht erfolgreich abgeschlossen werden.
  • 9 veranschaulicht ein Blockschaubild 900, das eine Mehrzahl von Host-Anschlüssen 902, 904, 906 gemäß bestimmten Ausführungsformen zeigt, die sich an einem einzelnen Speicheranschluss 908 anmelden. Der einzelne Speicheranschluss 908 kann in einer Speichereinheit oder einer Speichersteuereinheit 910 enthalten sein, wobei die Speichereinheit oder die Speichersteuereinheit 910 über weitere Speicheranschlüsse verfügen kann.
  • In 9 unterstützen die Host-Anschlüsse 902 und 906 Sicherheit, wohingegen der Host-Anschluss 904 keine Sicherheit unterstützt, da er in einem älteren Adapter oder einem älteren Host enthalten sein kann, oder aus einem anderen Grund, darunter auch eine Konfiguration durch einen Administrator.
  • Die Speichereinheit oder Speichersteuereinheit 910 führt Statistiken über Anmeldezähler und Anmeldemerkmale, die als Anmeldeindikatoren bezeichnet werden (Bezugszahl 912). Die Statistiken umfassen: eine Anzahl von aktuellen Anmeldungen an dem Speicheranschluss (Bezugszahl 914); eine Anzahl von sicherheitsfähigen Anmeldungen an dem Speicheranschluss (Bezugszahl 916); und eine Anzahl von Anmeldungen mit aktivierter Sicherheit an dem Speicheranschluss (Bezugszahl 918). Die Anmeldungen mit aktivierter Sicherheit sind diejenigen, die sich erfolgreich authentifiziert und Sicherheit aktiviert haben.
  • In bestimmten Ausführungsformen werden die Statistiken über Anmeldezähler und Anmeldemerkmale 912 von der Speichereinheit oder der Speichersteuereinheit 910 verwendet, um eine Auswirkung auf den E/A-Zugriff durch Hosts zu ermitteln, wenn die Betriebsart „Sicherheit durchgesetzt“ konfiguriert ist. In zusätzlichen Ausführungsformen werden die Statistiken über Anmeldezähler und Anmeldemerkmale 912 von der Speichereinheit oder der Speichersteuereinheit verwendet, um ein Umschalten von der Betriebsart „Sicherheit aktiviert“ in die Betriebsart „Sicherheit durchgesetzt“ zu verhindern, wenn ein E/A-Zugriff durch einen Host beim Umschalten in die Betriebsart „Sicherheit durchgesetzt“ verloren gehen soll.
  • In weiteren Ausführungsformen stellt die Speichereinheit oder Speichersteuereinheit 910 eine Option 920 zum Erzwingen eines Umschaltens auf die Betriebsart „Sicherheit durchgesetzt“ ohne Berücksichtigung der Statistiken über Anmeldezähler und Anmeldemerkmale 912 bereit.
  • 10 veranschaulicht einen Ablaufplan 1000, der Arbeitsschritte in einer Speichereinheit gemäß bestimmten Ausführungsformen zeigt, um gemäß bestimmten Ausführungsformen zu ermitteln, ob ein Speicheranschluss in einen Status „Sicherheit durchgesetzt“ geändert werden soll.
  • Die Steuerung beginnt in Block 1002, in dem eine Speichereinheit feststellt, dass eine Mehrzahl von Host-Anschlüssen eine Anmeldung an einem Speicheranschluss der Speichereinheit durchgeführt hat. Die Steuerung geht weiter zu Block 1004, in dem die Speichereinheit Statistiken über Anmeldezähler und Anmeldemerkmale führt. Die Speichereinheit ermittelt (in Block 1006) anhand der Anmeldezähler und der Anmeldemerkmale, ob irgendein Host-Anschluss den Zugriff auf E/A an der Speichereinheit verlieren würde, wenn die Einstellung des Speicheranschlusses auf „Sicherheit durchgesetzt“ geändert wird. Ist dies der Fall („Ja“-Verzweigung 1008), sind nicht alle Anmeldungen an Host-Anschlüssen sicher (d.h., nicht alle Host-Anschlüsse werden erfolgreich authentifiziert), und die Steuerung fährt mit Block 1010 fort, in dem verhindert wird, dass die Einstellung des Speicheranschlusses auf „Sicherheit durchgesetzt“ geändert wird.
  • Wenn die Speichereinheit in Block 1006 anhand der Anmeldezähler und Anmeldemerkmale feststellt, dass kein Host-Anschluss den Zugriff auf E/A an der Speichereinheit verlieren würde, wenn die Einstellung des Speicheranschlusses auf „Sicherheit durchgesetzt“ geändert wird („Nein“-Verzweigung 1012), sind alle Host-Anschluss-Anmeldungen sicher (d.h., alle Host-Anschlüsse werden erfolgreich authentifiziert), und die Steuerung geht zu Block 1014 über, in dem die Einstellung des Speicheranschlusses auf „Sicherheit durchgesetzt“ geändert werden darf.
  • 11 veranschaulicht einen Ablaufplan 1100, der Arbeitsschritte zum Aufrechterhalten des Zugriffs gemäß bestimmten Ausführungsformen für eine Aktivierung von Sicherheit auf einem Host-System gemäß bestimmten Ausführungsformen zeigt.
  • Die Steuerung beginnt in Block 1102, in dem für einen Host-Anschluss Sicherheit aktiviert wird. Der Host-Anschluss stellt (in Block 1104) fest, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann.
  • Als Reaktion auf eine Feststellung durch den Host-Anschluss, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, ermittelt der Host-Anschluss (in Block 1106), ob in einer Anmeldeantwort von dem Speicheranschluss ein Prüfmodusindikator aktiviert wurde. Der Host-Anschluss behält den Eingabe/Ausgabe- (E/A-) Zugriff auf den Speicheranschluss auf der Grundlage des Ermittelns, ob der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde. Infolgedessen kann ein Host-Anschluss selbst dann in der Lage sein, E/A über einen Speicheranschluss durchzuführen, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann.
  • Als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde („Ja“-Verzweigung 1108), führt der Host-Anschluss (in Block 1110) E/A an dem Speicheranschluss durch. Das Durchführen von E/A an dem Speicheranschluss bedeutet ein Senden eines E/A-Vorgangs an den Speicheranschluss zum Durchführen eines E/A-Vorgangs, bei dem Daten gelesen oder geschrieben oder auf sie zugegriffen wird. Infolgedessen führt ein Host-Anschluss selbst dann E/A über einen Speicheranschluss durch, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn der Prüfmodusindikator aktiviert wurde.
  • Als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss nicht aktiviert wurde („Nein“-Verzweigung 1112), vermeidet der Host-Anschluss (in Block 1114) das Durchführen von E/A an dem Speicheranschluss. Infolgedessen führt ein Host-Anschluss keine E/A über einen Speicheranschluss durch, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann und der Prüfmodusindikator nicht aktiviert wurde. Von Block 1114 geht die Steuerung weiter zu Block 1116, in dem der Host-Anschluss E/A-Anforderungen an ein Betriebssystem einer rechnergestützten Host-Einheit herausgibt. Infolgedessen werden alternative Mechanismen zum Durchführen von E/A versucht, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann und der Prüfmodusindikator nicht aktiviert wurde.
  • 12 veranschaulicht einen Ablaufplan 1200, der zusätzliche Arbeitsschritte zum Aufrechterhalten des Zugriffs zur Aktivierung von Sicherheit auf einem Host-System gemäß bestimmten Ausführungsformen zeigt.
  • Der Host-Anschluss stellt (in Block 1202) fest, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn der Host-Anschluss nicht in der Lage ist, auf einen Schlüsselserver zuzugreifen, um Anmeldeinformationen zum Authentifizieren mit dem Speicheranschluss zu erhalten. Infolgedessen kann der Host-Anschluss weitere Maßnahmen ergreifen, um einen Status des Prüfindikators zu ermitteln, um zu ermitteln, ob E/A-Anforderungen an den Speicheranschluss gesendet werden sollen.
  • Von Block 1202 geht die Steuerung weiter zu Block 1204, in dem der Host-Anschluss feststellt, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn in einem Prozess zur Authentifizierung oder zur Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss ein Fehler auftritt. Infolgedessen kann der Host-Anschluss weitere Maßnahmen ergreifen, um einen Status des Prüfindikators zu ermitteln, um zu ermitteln, ob E/A-Anforderungen an den Speicheranschluss gesendet werden sollen.
  • 13 veranschaulicht einen Ablaufplan 1300, der Arbeitsschritte zum Aufrechterhalten des Zugriffs zur Aktivierung von Sicherheit in einer Speichereinheit gemäß bestimmten Ausführungsformen zeigt.
  • Die Steuerung beginnt in Block 1302, in dem ein Speicheranschluss eine Anmeldeanforderung empfängt. Von Block 1302 kann die Steuerung zu Block 1304 oder zu Block 1306 weitergehen.
  • In Block 1304 konfiguriert der Speicheranschluss den Prüfmodusindikator als aktiviert in einer Anmeldeantwort an einen Host-Anschluss, um in eine Betriebsart „Sicherheit aktiviert“ einzutreten, um für den Host-Anschluss anzugeben, dass Eingabe/Ausgabe- (E/A-) Arbeitsschritte von dem Host-Anschluss an den Speicheranschluss selbst dann zu übermitteln sind, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss nicht erfolgreich abgeschlossen werden kann. Infolgedessen können Hosts, die nicht sicher sind, E/A an einer Speichereinheit durchführen.
  • In Block 1306 konfiguriert der Speicheranschluss den Prüfmodusindikator als nicht aktiviert in einer Anmeldeantwort an den Host-Anschluss, um in eine Betriebsart „Sicherheit durchgesetzt“ einzutreten, um für den Host-Anschluss anzugeben, dass keine E/A-Arbeitsschritte von dem Host-Anschluss an den Speicheranschluss zu übermitteln sind, wenn die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss nicht erfolgreich abgeschlossen werden kann. Infolgedessen sind Hosts, die nicht sicher sind, nicht in der Lage, E/A an einer Speichereinheit durchzuführen.
  • 14 veranschaulicht einen Ablaufplan 1400, der zusätzliche Arbeitsschritte zum Aufrechterhalten des Zugriffs zur Aktivierung von Sicherheit in einer Speichereinheit zeigt.
  • Die Steuerung beginnt in Block 1402, in dem eine Speichersteuereinheit, die den Speicheranschluss umfasst, Statistiken über Anmeldezähler und Anmeldemerkmale führt, darunter: eine Anzahl von aktuellen Anmeldungen an dem Speicheranschluss; eine Anzahl von sicherheitsfähigen Anmeldungen an dem Speicheranschluss; und eine Anzahl von Anmeldungen mit aktivierter Sicherheit an dem Speicheranschluss. Infolgedessen werden in bestimmten Ausführungsformen die Statistiken über Anmeldezähler und Anmeldemerkmale von der Speichersteuereinheit verwendet, um eine Auswirkung auf den E/A-Zugriff durch Hosts zu ermitteln, wenn die Betriebsart „Sicherheit durchgesetzt“ konfiguriert ist.
  • In zusätzlichen Ausführungsformen werden die Statistiken über Anmeldezähler und Anmeldemerkmale von der Speichersteuereinheit verwendet, um (in Block 1404) ein Umschalten von der Betriebsart „Sicherheit aktiviert“ in die Betriebsart „Sicherheit durchgesetzt“ zu verhindern, wenn ein E/A-Zugriff durch einen Host beim Umschalten in die Betriebsart „Sicherheit durchgesetzt“ verloren gehen soll. Infolgedessen wird ein Umschalten in die Betriebsart „Sicherheit durchgesetzt“ verhindert, wenn ein Host den E/A-Zugriff verlieren würde.
  • In bestimmten Ausführungsformen stellt die Speichersteuereinheit eine Option zum Erzwingen des Umschaltens auf die Betriebsart „Sicherheit durchgesetzt“ ohne Berücksichtigung der Statistiken über Anmeldezähler und Anmeldemerkmale bereit.
  • In bestimmten Ausführungsformen konfiguriert eine Speichersteuereinheit mindestens einen Speicheranschluss der Mehrzahl von Speicheranschlüssen für die Betriebsart „Sicherheit durchgesetzt“. Die Speichersteuereinheit konfiguriert mindestens einen anderen Speicheranschluss der Mehrzahl von Speicheranschlüssen für die Betriebsart „Sicherheit aktiviert“. Daher erfolgt die Aktivierung des Prüfmodusindikators für jeden Anschluss einzeln.
  • In weiteren Ausführungsformen ist der Speicheranschluss in einer Speichersteuereinheit enthalten, die eine erste Speicheranordnung und eine zweite Speicheranordnung umfasst, wobei die Betriebsart „Sicherheit durchgesetzt“ für die erste Speicheranordnung konfiguriert ist, und wobei die Betriebsart „Sicherheit aktiviert“ für die zweite Speicheranordnung konfiguriert ist. Daher erfolgt die Aktivierung des Prüfmodusindikators für jede Speicheranordnung einzeln.
  • Daher veranschaulichen 1 bis 14 bestimmte Ausführungsformen, bei denen Sicherheit auf der Grundlage einer Konfiguration eines Prüfmodusindikators durchgesetzt oder nicht durchgesetzt wird, um Arbeitsschritte auf der Grundlage der Konfiguration des Sicherheitsbits in Fibre Channel zu erweitern. Infolgedessen können ältere Einheiten in einer heterogenen Datenverarbeitungsumgebung selbst dann weiterhin E/A durchführen, wenn das Sicherheitsbit in Fibre Channel aktiviert ist.
  • Cloud-Computing-Umgebung
  • Cloud-Computing ist ein Modell zum Ermöglichen eines problemlosen bedarfsgesteuerten Netzwerkzugriffs auf einen gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen (z.B. Netzwerke, Server, Speicher, Anwendungen und Dienste), die mit minimalem Verwaltungsaufwand bzw. minimaler Interaktion mit einem Dienstanbieter schnell bereitgestellt und freigegeben werden können.
  • Unter Bezugnahme auf 15 ist eine veranschaulichende Cloud-Computing-Umgebung 50 abgebildet. Die Durchsetzung oder Aktivierung von Sicherheit (dargestellt durch die Bezugszahl 52) wird in der Cloud-Computing-Umgebung 50 durchgeführt. Wie gezeigt ist, umfasst die Cloud-Computing-Umgebung 50 einen oder mehrere Cloud-Computing-Knoten 10, mit denen von Cloud-Nutzern verwendete lokale Datenverarbeitungseinheiten wie ein elektronischer Assistent (PDA, personal digital assistant) oder ein Mobiltelefon 54A, ein Desktop-Computer 54B, ein Laptop-Computer 54C und/oder ein Automobil-Computer-System 54N Daten austauschen können. Die Knoten 10 können miteinander Daten austauschen. Sie können physisch oder virtuell in ein oder mehrere Netzwerke wie private, Benutzergemeinschafts-, öffentliche oder hybride Clouds gruppiert werden (nicht gezeigt), wie vorstehend beschrieben wurde, oder in eine Kombination daraus. Dies ermöglicht es der Cloud-Computing-Umgebung 50, Infrastruktur, Plattformen und/oder Software als Dienst anzubieten, für die ein Cloud-Nutzer keine Ressourcen auf einer lokalen Datenverarbeitungseinheit vorhalten muss. Es sei darauf hingewiesen, dass die Arten der in 15 gezeigten Datenverarbeitungseinheiten 54A bis N lediglich veranschaulichend sein sollen und dass die Datenverarbeitungsknoten 10 und die Cloud-Computing-Umgebung 50 über eine beliebige Art Netzwerk und/oder über eine beliebige Art von über ein Netzwerk aufrufbarer Verbindung (z.B. unter Verwendung eines Web-Browsers) mit einer beliebigen Art von computergestützter Einheit Daten austauschen können.
  • Unter Bezugnahme auf 16 wird ein Satz von funktionalen Abstraktionsschichten gezeigt, die durch die Cloud-Computing-Umgebung 50 (15) bereitgestellt werden. Es sollte von vornherein klar sein, dass die in 16 gezeigten Komponenten, Schichten und Funktionen lediglich veranschaulichend sein sollen und Ausführungsformen der Erfindung nicht darauf beschränkt sind.
  • Eine Hardware- und Software-Schicht 60 umfasst Hardware- und Software-Komponenten. Zu Beispielen für Hardware-Komponenten gehören Mainframe-Computer, in einem Beispiel IBM ZSERIES* Systeme; auf der RISC- (Reduced Instruction Set Computer) Architektur beruhende Server, in einem Beispiel IBM PSERIES* Systeme; IBM XSERIES* Systeme; IBM BLADECENTER* Systeme; Speichereinheiten; Netzwerke und Netzwerkkomponenten. Zu Beispielen für Software-Komponenten gehören eine Netzwerk-Anwendungsserver-Software, in einem Beispiel IBM WEBSPHERE* Anwendungsserversoftware; und eine Datenbank-Software, in einem Beispiel IBM DB2* Datenbank-Software.
  • Eine Virtualisierungsschicht 62 stellt eine Abstraktionsschicht bereit, aus der die folgenden Beispiele für virtuelle Einheiten bereitgestellt werden können: virtuelle Server, virtuelle Speicher, virtuelle Netzwerke, darunter virtuelle private Netzwerke, virtuelle Anwendungen und Betriebssysteme; und virtuelle Clients.
  • In einem Beispiel kann die Verwaltungsschicht 64 die nachfolgend beschriebenen Funktionen bereitstellen. Eine Ressourcen-Bereitstellung stellt die dynamische Beschaffung von Datenverarbeitungsressourcen sowie anderen Ressourcen bereit, die zum Durchführen von Aufgaben innerhalb der Cloud-Computing-Umgebung verwendet werden. Ein Messen und eine Preisfindung stellen die Kostenverfolgung beim Verwenden von Ressourcen innerhalb der Cloud-Computing-Umgebung sowie die Abrechnung oder Rechnungsstellung für den Verbrauch dieser Ressourcen bereit. In einem Beispiel können diese Ressourcen Anwendungs-Software-Lizenzen umfassen. Eine Sicherheit stellt die Identitätsüberprüfung für Cloud-Nutzer und Aufgaben sowie Schutz für Daten und andere Ressourcen bereit. Ein Benutzerportal stellt Nutzern und Systemadministratoren den Zugang zu der Cloud-Computing-Umgebung bereit. Eine Verwaltung des Dienstumfangs stellt die Zuordnung und Verwaltung von Cloud-Computing-Ressourcen bereit, so dass die benötigten Dienstziele erreicht werden. Ein Planen und Erfüllen von Vereinbarungen zum Dienstumfang (SLA, Service Level Agreement) stellt die Anordnung vorab und die Beschaffung von Cloud-Computing-Ressourcen, für die eine zukünftige Anforderung vorausgesehen wird, gemäß einem SLA bereit.
  • Eine Arbeitslastschicht 66 stellt Beispiele für die Funktionalität bereit, für welche die Cloud-Computing-Umgebung verwendet werden kann. Zu Beispielen für Arbeitslasten und Funktionen, die von dieser Schicht bereitgestellt werden können, gehören: Abbildung und Navigation; Software-Entwicklung und Lebenszyklusverwaltung; Bereitstellung von Ausbildung in virtuellen Klassenzimmern; Datenanalytikverarbeitung; Transaktionsverarbeitung; und Durchsetzung oder Aktivierung von Sicherheit 68, wie in 1 bis 15 gezeigt ist.
  • Zusätzliche Einzelheiten der Ausführungsformen
  • Die beschriebenen Arbeitsschritte können als Verfahren, Vorrichtung oder Computerprogrammprodukt umgesetzt werden, indem übliche Programmierungs- und/oder Ingenieurtechniken zum Herstellen von Software, Firmware, Hardware oder einer Kombination daraus verwendet werden. Entsprechend können Aspekte der Ausführungsformen die Form einer vollständigen Hardware-Ausführungsform, einer vollständigen Software-Ausführungsform (darunter Firmware, im Speicher befindliche Software, Mikrocode, usw.) oder einer Software- und Hardware-Aspekte kombinierenden Ausführungsform annehmen, die hierin alle allgemein als „Schaltkreis“, „Modul“ oder „System“ bezeichnet sein können. Des Weiteren können Aspekte der Ausführungsformen die Form eines Computerprogrammprodukts annehmen. Das Computerprogrammprodukt kann ein durch einen Computer lesbares Speichermedium (oder -medien) mit durch einen Computer lesbaren Programmanweisungen darauf umfassen, um einen Prozessor dazu zu veranlassen, Aspekte der vorliegenden Ausführungsformen auszuführen.
  • Bei dem durch einen Computer lesbaren Speichermedium kann es sich um eine physische Einheit handeln, die Anweisungen zur Verwendung durch ein System zur Ausführung von Anweisungen behalten und speichern kann. Bei dem durch einen Computer lesbaren Speichermedium kann es sich zum Beispiel um eine elektronische Speichereinheit, eine magnetische Speichereinheit, eine optische Speichereinheit, eine elektromagnetische Speichereinheit, eine Halbleiterspeichereinheit oder jede geeignete Kombination daraus handeln, ohne auf diese beschränkt zu sein. Zu einer nicht erschöpfenden Liste spezifischerer Beispiele des durch einen Computer lesbaren Speichermediums gehören die Folgenden: eine auswechselbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM), ein Nur-Lese-Speicher (ROM), ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM bzw. Flash-Speicher), ein statischer Direktzugriffsspeicher (SRAM), ein auswechselbarer Kompaktspeicherplatte-Nur-Lese-Speicher (CD-ROM), eine DVD (digital versatile disc), ein Speicher-Stick, eine Diskette, eine mechanisch kodierte Einheit wie zum Beispiel Lochkarten oder erhabene Strukturen in einer Rille, auf denen Anweisungen gespeichert sind, und jede geeignete Kombination daraus. Ein durch einen Computer lesbares Speichermedium soll in der Verwendung hierin nicht als flüchtige Signale an sich aufgefasst werden, wie zum Beispiel Funkwellen oder andere sich frei ausbreitende elektromagnetische Wellen, elektromagnetische Wellen, die sich durch einen Wellenleiter oder ein anderes Übertragungsmedium ausbreiten (z.B. Lichtwellenleiterkabel durchlaufende Lichtimpulse) oder durch einen Draht übertragene elektrische Signale.
  • Hierin beschriebene, durch einen Computer lesbare Programmanweisungen können von einem durch einen Computer lesbaren Speichermedium auf jeweilige Datenverarbeitungs-/Verarbeitungseinheiten oder über ein Netzwerk wie zum Beispiel das Internet, ein lokales Netzwerk, ein Weitverkehrsnetz und/oder ein drahtloses Netzwerk auf einen externen Computer oder eine externe Speichereinheit heruntergeladen werden. Das Netzwerk kann Kupferübertragungskabel, Lichtwellenübertragungsleiter, drahtlose Übertragung, Leitwegrechner, Firewalls, Vermittlungseinheiten, Gateway-Computer und/oder Edge-Server umfassen. Eine Netzwerkadapterkarte oder Netzwerkschnittstelle in jeder Datenverarbeitungs-/Verarbeitungseinheit empfängt durch einen Computer lesbare Programmanweisungen aus dem Netzwerk und leitet die durch einen Computer lesbaren Programmanweisungen zur Speicherung in einem durch einen Computer lesbaren Speichermedium innerhalb der entsprechenden Datenverarbeitungs-/Verarbeitungseinheit weiter.
  • Bei durch einen Computer lesbaren Programmanweisungen zum Ausführen von Arbeitsschritten der vorliegenden Ausführungsformen kann es sich um Assembler-Anweisungen, ISA-Anweisungen (Instruction-Set-Architecture), Maschinenanweisungen, maschinenabhängige Anweisungen, Mikrocode, Firmware-Anweisungen, zustandssetzende Daten oder entweder Quellcode oder Objektcode handeln, die in einer beliebigen Kombination aus einer oder mehreren Programmiersprachen geschrieben werden, darunter objektorientierte Programmiersprachen wie Smalltalk, C++ o.ä. sowie herkömmliche prozedurale Programmiersprachen wie die Programmiersprache „C“ oder ähnliche Programmiersprachen. Die durch einen Computer lesbaren Programmanweisungen können vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Software-Paket, teilweise auf dem Computer des Benutzers und teilweise auf einem fernen Computer oder vollständig auf dem fernen Computer oder Server ausgeführt werden. In letzterem Fall kann der entfernt angeordnete Computer mit dem Computer des Benutzers durch eine beliebige Art Netzwerk verbunden sein, darunter ein lokales Netzwerk (LAN) oder ein Weitverkehrsnetz (WAN), oder die Verbindung kann mit einem externen Computer hergestellt werden (zum Beispiel über das Internet unter Verwendung eines Internet-Dienstanbieters). In einigen Ausführungsformen können elektronische Schaltungen, darunter zum Beispiel programmierbare Logikschaltungen, vor Ort programmierbare Gatter-Anordnungen (FPGA, field programmable gate arrays) oder programmierbare Logikanordnungen (PLA, programmable logic arrays) die durch einen Computer lesbaren Programmanweisungen ausführen, indem sie Zustandsinformationen der durch einen Computer lesbaren Programmanweisungen nutzen, um die elektronischen Schaltungen zu personalisieren, um Aspekte der vorliegenden Ausführungsformen durchzuführen.
  • Aspekte der vorliegenden Ausführungsformen sind hierin unter Bezugnahme auf Ablaufpläne und/oder Blockschaltbilder bzw. Schaubilder von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es wird darauf hingewiesen, dass jeder Block der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder sowie Kombinationen von Blöcken in den Ablaufplänen und/oder den Blockschaltbildern bzw. Schaubildern mittels durch einen Computer lesbare Programmanweisungen ausgeführt werden können.
  • Diese durch einen Computer lesbaren Programmanweisungen können einem Prozessor eines Universalcomputers, eines Spezialcomputers oder einer anderen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu erzeugen, so dass die über den Prozessor des Computers bzw. der anderen programmierbaren Datenverarbeitungsvorrichtung ausgeführten Anweisungen ein Mittel zur Umsetzung der in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder festgelegten Funktionen/Schritte erzeugen. Diese durch einen Computer lesbaren Programmanweisungen können auch auf einem durch einen Computer lesbaren Speichermedium gespeichert sein, das einen Computer, eine programmierbare Datenverarbeitungsvorrichtung und/oder andere Einheiten so steuern kann, dass sie auf eine bestimmte Art funktionieren, so dass das durch einen Computer lesbare Speichermedium, auf dem Anweisungen gespeichert sind, ein Herstellungsprodukt umfasst, darunter Anweisungen, welche Aspekte der/des in dem Block bzw. den Blöcken des Ablaufplans und/oder der Blockschaltbilder bzw. Schaubilder angegebenen Funktion/Schritts umsetzen.
  • Die durch einen Computer lesbaren Programmanweisungen können auch auf einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder eine andere Einheit geladen werden, um das Ausführen einer Reihe von Prozessschritten auf dem Computer bzw. der anderen programmierbaren Vorrichtung oder anderen Einheit zu verursachen, um einen auf einem Computer ausgeführten Prozess zu erzeugen, so dass die auf dem Computer, einer anderen programmierbaren Vorrichtung oder einer anderen Einheit ausgeführten Anweisungen die in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder festgelegten Funktionen/Schritte umsetzen.
  • Die Ablaufpläne und die Blockschaltbilder bzw. Schaubilder in den Figuren veranschaulichen die Architektur, die Funktionalität und den Betrieb möglicher Ausführungen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung. In diesem Zusammenhang kann jeder Block in den Ablaufplänen oder Blockschaltbildern bzw. Schaubildern ein Modul, ein Segment oder einen Teil von Anweisungen darstellen, die eine oder mehrere ausführbare Anweisungen zur Ausführung der bestimmten logischen Funktion(en) umfassen. In einigen alternativen Ausführungen können die in dem Block angegebenen Funktionen in einer anderen Reihenfolge als in den Figuren gezeigt stattfinden. Zwei nacheinander gezeigte Blöcke können zum Beispiel in Wirklichkeit im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können manchmal je nach entsprechender Funktionalität in umgekehrter Reihenfolge ausgeführt werden. Es ist darüber hinaus anzumerken, dass jeder Block der Blockschaltbilder bzw. Schaubilder und/oder der Ablaufpläne sowie Kombinationen aus Blöcken in den Blockschaltbildern bzw. Schaubildern und/oder den Ablaufplänen durch spezielle auf Hardware beruhende Systeme umgesetzt werden können, welche die festgelegten Funktionen oder Schritte durchführen, oder Kombinationen aus Spezial-Hardware und Computeranweisung ausführen.
  • 17 veranschaulicht ein Blockschaltbild, das bestimmte Elemente zeigt, die gemäß bestimmten Ausführungsformen in den rechnergestützten Einheiten, den Hosts, den Speichersteuereinheiten, den Speichereinheiten oder anderen Einheiten enthalten sein können, die in 1 bis 16 gezeigt sind. Das System 1700 kann eine Schaltung 1702 umfassen, die in bestimmten Ausführungsformen mindestens einen Prozessor 1704 umfassen kann. Das System 1700 kann auch einen Speicher (memory) 1706 (z.B. eine flüchtige Speichereinheit) und einen Speicher (storage) 1708 beinhalten. Zu dem Speicher 1708 kann eine nichtflüchtige Speichereinheit (z.B. EEPROM, ROM, PROM, Flash-Speicher, Firmware, eine programmierbare Logik usw.), ein magnetisches Plattenlaufwerk, ein optisches Plattenlaufwerk, ein Bandlaufwerk usw. gehören. Der Speicher 1708 kann eine interne Speichereinheit, eine angeschlossene Speichereinheit und/oder eine über das Netz zugängliche Speichereinheit aufweisen. Das System 1700 kann eine Programmlogik 1710 aufweisen, die einen Code 1712 beinhaltet, der in den Speicher 1706 geladen und durch den Prozessor 1704 oder die Schaltung 1702 ausgeführt werden kann. In bestimmten Ausführungsformen kann die den Code 1712 beinhaltende Programmlogik 1710 in dem Speicher 1708 gespeichert sein. In bestimmten anderen Ausführungsformen kann die Programmlogik 1710 in der Schaltung 1702 umgesetzt sein. Eine oder mehrere der Komponenten in dem System 1700 können über einen Bus oder über eine andere Kopplung oder Verbindung 1714 Daten austauschen. Folglich kann die Programmlogik 1710 in dem Speicher 1706 und/oder der Schaltung 1702 umgesetzt sein, obwohl 17 die Programmlogik 1710 getrennt von den anderen Elementen zeigt.
  • Bestimmte Ausführungsformen können auf ein Verfahren zum Einsetzen einer Datenverarbeitungsanweisung durch eine Person oder eine automatische Verarbeitung, die einen durch einen Computer lesbaren Code in ein Datenverarbeitungssystem integriert, gerichtet sein, wobei der Code in Kombination mit dem Datenverarbeitungssystem in die Lage versetzt wird, die Arbeitsschritte der beschriebenen Ausführungsformen durchzuführen.
  • Die Begriffe „eine Ausführungsform“, „Ausführungsform“, „Ausführungsformen“, „die Ausführungsform“, „die Ausführungsformen“, „eine oder mehrere Ausführungsformen“, „einige Ausführungsformen“ und „eine einzelne Ausführungsform“ bedeuten „eine oder mehrere (aber nicht alle) Ausführungsformen der vorliegenden Erfindung(en)“, soweit nicht ausdrücklich anderweitig angegeben.
  • Die Begriffe „enthaltend“, „aufweisend“, „mit“ und Abwandlungen davon bedeuten „einschließlich, ohne darauf beschränkt zu sein“, soweit nicht ausdrücklich anderweitig angegeben.
  • Die aufgezählte Auflistung von Gegenständen bedeutet nicht, dass sich eine oder alle der Gegenstände gegenseitig ausschließen, soweit nicht ausdrücklich anderweitig angegeben.
  • Die Begriffe „ein“, „eine“ und „der“, „die“, „das“ bedeuten „ein/eine oder mehrere“, soweit nicht ausdrücklich anderweitig angegeben.
  • Einheiten, die miteinander Daten austauschen, müssen nicht in ständigem Datenaustausch miteinander stehen, soweit nicht ausdrücklich anderweitig angegeben. Außerdem können Einheiten, die miteinander Daten austauschen, direkt oder indirekt über einen oder mehrere Vermittler Daten austauschen.
  • Eine Beschreibung einer Ausführungsform mit mehreren Komponenten, die miteinander Daten austauschen, bedeutet nicht, dass alle derartigen Komponenten benötigt werden. Im Gegenteil wird eine Vielfalt von optionalen Komponenten beschrieben, um die große Vielfalt möglicher Ausführungsformen der vorliegenden Erfindung zu veranschaulichen.
  • Prozessschritte, Verfahrensschritte, Algorithmen und dergleichen können des Weiteren zwar möglicherweise aufeinander folgend beschrieben sein, derartige Prozesse, Verfahren und Algorithmen können jedoch so konfiguriert sein, dass sie in anderen Reihenfolgen ablaufen. Anders ausgedrückt, jeder beliebige Ablauf bzw. jede beliebige Reihenfolge von Schritten, die möglicherweise beschrieben sind, deutet nicht unbedingt auf eine Bedingung hin, dass die Schritte in dieser Reihenfolge durchzuführen sind. Die hierin beschriebenen Schritte von Prozessen können in jeder beliebigen praktischen Reihenfolge durchgeführt werden. Des Weiteren können einige Schritte gleichzeitig durchgeführt werden.
  • Wenn eine einzelne Einheit oder ein einzelner Artikel hierin beschrieben ist, ist ohne Weiteres ersichtlich, dass an Stelle einer einzelnen Einheit/eines einzelnen Artikels mehr als eine Einheit/ein Artikel (unabhängig davon, ob diese zusammenwirken) verwendet werden können. Gleichermaßen ist ohne Weiteres ersichtlich, dass, wenn hierin mehr als eine Einheit oder ein Artikel beschrieben sind (unabhängig davon, ob diese zusammenarbeiten), an Stelle der/des mehr als einen Einheit oder einen Artikels eine einzelne Einheit/ein einzelner Artikel verwendet werden können oder dass an Stelle der gezeigten Anzahl von Einheiten oder Programmen eine andere Anzahl von Einheiten/Artikeln verwendet werden kann. Die Funktionalität und/oder die Eigenschaften einer Einheit können alternativ durch eine oder mehrere andere Einheiten ausgeführt werden, die nicht ausdrücklich als eine derartige Funktionalität/Eigenschaften aufweisend beschrieben sind. Somit müssen andere Ausführungsformen der vorliegenden Erfindung nicht unbedingt die Einheit selbst aufweisen.
  • Zumindest bestimmte Arbeitsschritte, die möglicherweise in den Figuren veranschaulicht wurden, zeigen bestimmte Ereignisse, die in einer bestimmten Reihenfolge eintreten. In alternativen Ausführungsformen können bestimmte Arbeitsschritte in einer unterschiedlichen Reihenfolge durchgeführt, abgewandelt oder entfernt werden. Außerdem können der oben beschriebenen Logik Schritte hinzugefügt werden, ohne von den beschriebenen Ausführungsformen abzuweichen. Des Weiteren können hierin beschriebene Arbeitsschritte nacheinander stattfinden oder bestimmte Arbeitsschritte können parallel verarbeitet werden. Ferner können Arbeitsschritte durch eine einzelne Verarbeitungseinheit oder durch verteilte Verarbeitungseinheiten durchgeführt werden.
  • Die vorstehende Beschreibung verschiedener Ausführungsformen der Erfindung wurde zum Zwecke der Veranschaulichung und Beschreibung aufgeführt. Sie soll nicht gesamthaft stehen für bzw. begrenzt sein auf die Erfindung in der konkret beschriebenen Form. Angesichts der obigen Lehren sind viele Änderungen und Abwandlungen möglich. Es ist beabsichtigt, dass der Umfang der Erfindung nicht durch diese ausführliche Beschreibung beschränkt wird, sondern durch die hierzu beigefügten Ansprüche. Die oben aufgeführte(n) Beschreibung, Beispiele und Daten stellen eine vollständige Beschreibung des Herstellens und Verwendens der Zusammensetzung der Erfindung bereit. Da viele Ausführungsformen der Erfindung möglich sind, ohne von dem Umfang der Erfindung abzuweichen, befindet sich die Erfindung in den nachfolgend beigefügten Ansprüchen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 8275950 [0006]
    • US 6219771 [0006]
    • EP 1276034 A2 [0006]
    • US 8799436 [0006]

Claims (25)

  1. Verfahren, aufweisend: Aktivieren von Sicherheit an einem Host-Anschluss; als Reaktion auf ein Feststellen durch den Host-Anschluss, dass eine Authentifizierung oder eine Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, Ermitteln, durch den Host-Anschluss, ob in einer Anmeldeantwort von dem Speicheranschluss ein Prüfmodusindikator aktiviert wurde; und Beibehalten, durch den Host-Anschluss, des Eingabe/Ausgabe- (E/A-) Zugriffs auf den Speicheranschluss auf der Grundlage des Ermittelns, ob der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde.
  2. Verfahren nach Anspruch 1, das Verfahren darüber hinaus aufweisend: als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde, Durchführen von E/A an dem Speicheranschluss durch den Host-Anschluss.
  3. Verfahren nach Anspruch 2, das Verfahren darüber hinaus aufweisend: als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss nicht aktiviert wurde, Vermeiden des Durchführens von E/A an dem Speicheranschluss durch den Host-Anschluss.
  4. Verfahren nach Anspruch 3, das Verfahren darüber hinaus aufweisend: Herausgeben, durch den Host-Anschluss, von E/A-Anforderungen an ein Betriebssystem einer rechnergestützten Host-Einheit als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss nicht aktiviert wurde.
  5. Verfahren nach Anspruch 1, wobei der Host-Anschluss feststellt, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn der Host-Anschluss nicht in der Lage ist, auf einen Schlüsselserver zuzugreifen, um Anmeldeinformationen zum Authentifizieren mit dem Speicheranschluss zu erhalten.
  6. Verfahren nach Anspruch 5, wobei der Host-Anschluss feststellt, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn in einem Prozess zur Authentifizierung oder zur Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss ein Fehler auftritt.
  7. Verfahren nach Anspruch 1, wobei der Prüfmodusindikator über eine Angabe in einem Hilfsparameter-Datenwort 0, Bit 23, in Programmen aktiviert wird, die Fibre Channel Link Services umsetzen.
  8. System, aufweisend: einen Speicher; und einen mit dem Speicher verbundenen Prozessor, wobei der Prozessor Arbeitsschritte durchführt, die Arbeitsschritte aufweisend: Aktivieren von Sicherheit an einem Host-Anschluss; als Reaktion auf ein Feststellen durch den Host-Anschluss, dass eine Authentifizierung oder eine Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, Ermitteln, durch den Host-Anschluss, ob in einer Anmeldeantwort von dem Speicheranschluss ein Prüfmodusindikator aktiviert wurde; und Beibehalten, durch den Host-Anschluss, des Eingabe/Ausgabe- (E/A-) Zugriffs auf den Speicheranschluss auf der Grundlage des Ermittelns, ob der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde.
  9. System nach Anspruch 8, wobei die Arbeitsschritte darüber hinaus aufweisen: als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde, Durchführen von E/A an dem Speicheranschluss durch den Host-Anschluss.
  10. System nach Anspruch 9, wobei die Arbeitsschritte darüber hinaus aufweisen: als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss nicht aktiviert wurde, Vermeiden des Durchführens von E/A an dem Speicheranschluss durch den Host-Anschluss.
  11. System nach Anspruch 10, wobei die Arbeitsschritte darüber hinaus aufweisen: Herausgeben, durch den Host-Anschluss, von E/A-Anforderungen an ein Betriebssystem einer rechnergestützten Host-Einheit als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss nicht aktiviert wurde.
  12. System nach Anspruch 8, wobei der Host-Anschluss feststellt, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn der Host-Anschluss nicht in der Lage ist, auf einen Schlüsselserver zuzugreifen, um Anmeldeinformationen zum Authentifizieren mit dem Speicheranschluss zu erhalten.
  13. System nach Anspruch 12, wobei der Host-Anschluss feststellt, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn in einem Prozess zur Authentifizierung oder zur Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss ein Fehler auftritt.
  14. System nach Anspruch 8, wobei der Prüfmodusindikator über eine Angabe in einem Hilfsparameter-Datenwort 0, Bit 23, in Programmen aktiviert wird, die Fibre Channel Link Services umsetzen.
  15. Computerprogrammprodukt,, wobei das Computerprogrammprodukt ein durch einen Computer lesbares Speichermedium aufweist, auf dem durch einen Computer lesbarer Programmcode enthalten ist, wobei der durch einen Computer lesbare Programmcode konfiguriert ist zum Durchführen von Arbeitsschritten, die Arbeitsschritte aufweisend: Aktivieren von Sicherheit an einem Host-Anschluss; als Reaktion auf ein Feststellen durch den Host-Anschluss, dass eine Authentifizierung oder eine Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, Ermitteln, durch den Host-Anschluss, ob in einer Anmeldeantwort von dem Speicheranschluss ein Prüfmodusindikator aktiviert wurde; und Beibehalten, durch den Host-Anschluss, des Eingabe/Ausgabe- (E/A-) Zugriffs auf den Speicheranschluss auf der Grundlage des Ermittelns, ob der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde.
  16. Computerprogrammprodukt nach Anspruch 15, wobei die Arbeitsschritte darüber hinaus aufweisen: als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde, Durchführen von E/A an dem Speicheranschluss durch den Host-Anschluss.
  17. Computerprogrammprodukt nach Anspruch 16, wobei die Arbeitsschritte darüber hinaus aufweisen: als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss nicht aktiviert wurde, Vermeiden des Durchführens von E/A an dem Speicheranschluss durch den Host-Anschluss.
  18. Computerprogrammprodukt nach Anspruch 17, wobei die Arbeitsschritte darüber hinaus aufweisen: Herausgeben, durch den Host-Anschluss, von E/A-Anforderungen an ein Betriebssystem einer rechnergestützten Host-Einheit als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss nicht aktiviert wurde.
  19. Computerprogrammprodukt nach Anspruch 15, wobei der Host-Anschluss feststellt, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn der Host-Anschluss nicht in der Lage ist, auf einen Schlüsselserver zuzugreifen, um Anmeldeinformationen zum Authentifizieren mit dem Speicheranschluss zu erhalten.
  20. Computerprogrammprodukt nach Anspruch 19, wobei der Host-Anschluss feststellt, dass die Authentifizierung oder die Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, wenn in einem Prozess zur Authentifizierung oder zur Aushandlung der Sicherheitszuordnung mit dem Speicheranschluss ein Fehler auftritt.
  21. Computerprogrammprodukt nach Anspruch 15, wobei der Prüfmodusindikator über eine Angabe in einem Hilfsparameter-Datenwort 0, Bit 23, in Programmen aktiviert wird, die Fibre Channel Link Services umsetzen.
  22. In einer Einheit umgesetzte Datenstruktur, die Datenstruktur aufweisend: ein Sicherheitsbit, wobei das Sicherheitsbit Sicherheit an einem Host-Anschluss aktiviert; und einen Prüfmodusindikator, wobei die Konfiguration des Prüfmodusindikators von der Einheit verwendet wird, um Arbeitsschritte durchzuführen, die Arbeitsschritte aufweisend: als Reaktion auf ein Feststellen durch den Host-Anschluss, dass eine Authentifizierung oder eine Aushandlung der Sicherheitszuordnung mit einem Speicheranschluss nicht erfolgreich abgeschlossen werden kann, Ermitteln, durch den Host-Anschluss, ob in einer Anmeldeantwort von dem Speicheranschluss der Prüfmodusindikator aktiviert wurde; und Beibehalten, durch den Host-Anschluss, des Eingabe/Ausgabe- (E/A-) Zugriffs auf den Speicheranschluss auf der Grundlage des Ermittelns, ob der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde.
  23. Datenstruktur nach Anspruch 22, wobei die Arbeitsschritte darüber hinaus aufweisen: als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss aktiviert wurde, Durchführen von E/A an dem Speicheranschluss durch den Host-Anschluss.
  24. Datenstruktur nach Anspruch 23, wobei die Arbeitsschritte darüber hinaus aufweisen: als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss nicht aktiviert wurde, Vermeiden des Durchführens von E/A an dem Speicheranschluss durch den Host-Anschluss.
  25. Datenstruktur nach Anspruch 24, wobei die Arbeitsschritte darüber hinaus aufweisen: Herausgeben, durch den Host-Anschluss, von E/A-Anforderungen an ein Betriebssystem einer rechnergestützten Host-Einheit als Reaktion auf ein Feststellen, dass der Prüfmodusindikator in der Anmeldeantwort von dem Speicheranschluss nicht aktiviert wurde.
DE112020003720.7T 2019-09-11 2020-09-02 Zugriffsverwaltung zur aktivierung von sicherheit auf einem host-system Pending DE112020003720T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/568,117 US11354455B2 (en) 2019-09-11 2019-09-11 Maintenance of access for security enablement on a host system
US16/568,117 2019-09-11
PCT/IB2020/058158 WO2021048698A1 (en) 2019-09-11 2020-09-02 Maintenance of access for security enablement on host system

Publications (1)

Publication Number Publication Date
DE112020003720T5 true DE112020003720T5 (de) 2022-04-21

Family

ID=74849591

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112020003720.7T Pending DE112020003720T5 (de) 2019-09-11 2020-09-02 Zugriffsverwaltung zur aktivierung von sicherheit auf einem host-system

Country Status (6)

Country Link
US (2) US11354455B2 (de)
JP (1) JP2022547795A (de)
CN (1) CN114402327A (de)
DE (1) DE112020003720T5 (de)
GB (1) GB2601461B (de)
WO (1) WO2021048698A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11251979B2 (en) * 2019-10-30 2022-02-15 International Business Machines Corporation Control of information units for encryption

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6219771B1 (en) 1996-08-30 2001-04-17 Nec Corporation Data storage apparatus with improved security process and partition allocation functions
EP1276034A2 (de) 2001-07-13 2003-01-15 Hitachi, Ltd. Sicherheit für logische Einheit eines Speicherungsuntersystems
US8275950B2 (en) 1997-05-29 2012-09-25 Hitachi, Ltd. Fiber channel connection storage controller
US8799436B2 (en) 2009-07-14 2014-08-05 International Business Machines Corporation System and method for automated configuration control, audit verification and process analytics

Family Cites Families (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2352370B (en) 1999-07-21 2003-09-03 Int Computers Ltd Migration from in-clear to encrypted working over a communications link
US6678828B1 (en) 2002-07-22 2004-01-13 Vormetric, Inc. Secure network file access control system
US7191437B1 (en) * 2003-04-23 2007-03-13 Network Appliance, Inc. System and method for reliable disk firmware update within a networked storage fabric
JP2006025374A (ja) 2004-07-09 2006-01-26 Fujitsu Ltd ワイヤレス通信不正使用検証システム
US7721321B2 (en) 2004-12-04 2010-05-18 Schweitzer Engineering Laboratories, Inc. Method and apparatus for reducing communication system downtime when configuring a cryptographic system of the communication system
US7917944B2 (en) 2004-12-13 2011-03-29 Alcatel Lucent Secure authentication advertisement protocol
US7770205B2 (en) 2005-01-19 2010-08-03 Microsoft Corporation Binding a device to a computer
US20080022120A1 (en) 2006-06-05 2008-01-24 Michael Factor System, Method and Computer Program Product for Secure Access Control to a Storage Device
JP4767773B2 (ja) 2006-06-29 2011-09-07 株式会社日立製作所 コンピュータシステム及びコンピュータシステムの認証情報変更方法
US8479266B1 (en) 2008-11-13 2013-07-02 Sprint Communications Company L.P. Network assignment appeal architecture and process
US20100154053A1 (en) 2008-12-17 2010-06-17 David Dodgson Storage security using cryptographic splitting
US7865629B1 (en) 2009-11-24 2011-01-04 Microsoft Corporation Configurable connector for system-level communication
US20110154023A1 (en) 2009-12-21 2011-06-23 Smith Ned M Protected device management
US9058191B2 (en) 2010-03-22 2015-06-16 Qualcomm Incorporated Direct transfer of executable software image to memory allocated by target processor based on transferred image header
WO2011119169A1 (en) 2010-03-26 2011-09-29 Hewlett-Packard Development Company, L.P. Storage device access authentication upon resuming from a standby mode of a computing device
US9141831B2 (en) 2010-07-08 2015-09-22 Texas Instruments Incorporated Scheduler, security context cache, packet processor, and authentication, encryption modules
CN102063583B (zh) 2010-09-16 2013-02-13 广州世安信息技术有限公司 移动储存介质的数据交换方法及其装置
WO2013014702A1 (en) 2011-07-22 2013-01-31 Hitachi, Ltd. Computer system and data migration method thereof
US8649768B1 (en) 2011-08-24 2014-02-11 Cellco Partnership Method of device authentication and application registration in a push communication framework
US9143937B2 (en) 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
US9274578B2 (en) 2012-05-09 2016-03-01 Apple Inc. Enable power from an accessory to a host device based on whether the accessory is able to alter an electrical characteristic of the power path
US9210178B1 (en) 2012-06-15 2015-12-08 Amazon Technologies, Inc. Mixed-mode authorization metadata manager for cloud computing environments
WO2014081711A1 (en) 2012-11-20 2014-05-30 Utility Associates, Inc System and method for securely distributing legal evidence
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
CN103425916B (zh) 2013-05-23 2016-04-13 陈飞 以安全准则为工作流程审计标准的安全操作装置和方法
JP6138591B2 (ja) 2013-05-30 2017-05-31 株式会社日立製作所 制御システム
CN104022867B (zh) 2014-06-10 2017-03-15 杭州华三通信技术有限公司 一种issu软重启预处理方法及设备
US10558375B2 (en) 2014-11-13 2020-02-11 Netapp, Inc. Storage level access control for data grouping structures
KR101552950B1 (ko) 2014-12-29 2015-09-14 주식회사 비젯 서버 및 네트워크 장비의 직접접근 제어시스템
US20160378691A1 (en) 2015-06-25 2016-12-29 Intel Corporation System, apparatus and method for protecting a storage against an attack
US10210127B2 (en) 2015-07-13 2019-02-19 International Business Machines Corporation Storage system cabling analysis
US10033702B2 (en) 2015-08-05 2018-07-24 Intralinks, Inc. Systems and methods of secure data exchange
EP3272063A4 (de) 2015-08-12 2018-12-05 Hewlett-Packard Enterprise Development LP Host-speicherauthentifizierung
US10311245B2 (en) 2016-03-08 2019-06-04 Kalpesh S. Patel Cyber security system and method for transferring data between servers without a continuous connection
US10873458B2 (en) 2016-04-28 2020-12-22 Arnold G. Reinhold System and method for securely storing and utilizing password validation data
US9986436B2 (en) 2016-09-14 2018-05-29 Microsoft Technology Licensing, Llc Random password forced failure
US10614224B2 (en) 2017-05-15 2020-04-07 International Business Machines Corporation Identifying computer program security access control violations using static analysis
WO2018226265A1 (en) 2017-09-09 2018-12-13 Apple Inc. Implementation of biometric authentication
DE102018123103A1 (de) 2017-10-13 2019-04-18 Samsung Electronics Co., Ltd. Halbleitervorrichtung, die Sicherheitsschlüssel erzeugt, Verfahren zum Erzeugen eines Sicherheitsschlüssels und Verfahren zum Registrieren des Sicherheitsschlüssels
CN108197504B (zh) 2017-12-28 2022-01-11 湖南国科微电子股份有限公司 一种可控数据加解密系统及方法
CN108173769B (zh) 2017-12-28 2021-01-05 盛科网络(苏州)有限公司 一种报文传输方法、装置及计算机可读存储介质
US10402301B2 (en) 2018-01-08 2019-09-03 Microsoft Technology Licensing, Llc Cloud validation as a service
US10389550B1 (en) * 2018-04-10 2019-08-20 Cisco Technology, Inc. Priority tagging based solutions in FC SANs independent of target priority tagging capability
US11398894B2 (en) 2018-06-20 2022-07-26 University Of Central Florida Research Foundation, Inc. System, method and computer readable medium for file encryption and memory encryption of secure byte-addressable persistent memory and auditing
CN208384574U (zh) 2018-07-17 2019-01-15 西安忆卓电子有限公司 一种基于usb数据传输的数据加密产品
CN209057241U (zh) 2018-12-29 2019-07-02 广东优信无限网络股份有限公司 网络安全审计系统
CN109510842B (zh) 2018-12-29 2021-01-29 北京威努特技术有限公司 一种工控网络文件强制访问控制策略配置的方法及装置
CN109995792B (zh) 2019-04-11 2021-08-31 苏州浪潮智能科技有限公司 一种存储设备的安全管理系统
CN110222531B (zh) 2019-05-31 2023-07-07 创新先进技术有限公司 一种访问数据库的方法、系统及设备
US11144677B2 (en) 2019-08-08 2021-10-12 Nxp Usa, Inc. Method and apparatus for digital only secure test mode entry
US11188659B2 (en) 2019-09-11 2021-11-30 International Business Machines Corporation Concurrent enablement of encryption on an operational path at a host port
US11188658B2 (en) 2019-09-11 2021-11-30 International Business Machines Corporation Concurrent enablement of encryption on an operational path at a storage port

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6219771B1 (en) 1996-08-30 2001-04-17 Nec Corporation Data storage apparatus with improved security process and partition allocation functions
US8275950B2 (en) 1997-05-29 2012-09-25 Hitachi, Ltd. Fiber channel connection storage controller
EP1276034A2 (de) 2001-07-13 2003-01-15 Hitachi, Ltd. Sicherheit für logische Einheit eines Speicherungsuntersystems
US8799436B2 (en) 2009-07-14 2014-08-05 International Business Machines Corporation System and method for automated configuration control, audit verification and process analytics

Also Published As

Publication number Publication date
WO2021048698A1 (en) 2021-03-18
CN114402327A (zh) 2022-04-26
JP2022547795A (ja) 2022-11-16
US20220269833A1 (en) 2022-08-25
US11354455B2 (en) 2022-06-07
GB2601461A (en) 2022-06-01
GB2601461B (en) 2022-11-02
US20210073422A1 (en) 2021-03-11
GB202204041D0 (en) 2022-05-04

Similar Documents

Publication Publication Date Title
DE112020003699B4 (de) Gleichzeitige aktivierung von verschlüsselung auf einem betriebspfad an einem speicheranschluss
DE60201854T2 (de) Verhandlung von sicheren Verbindungen durch einen Proxy-Server
DE112010004930B4 (de) Sicherer kerberisierter Zugriff auf ein verschlüsseltes Dateisystem
DE112021001270T5 (de) Sicherer schlüsselaustausch in einer datenverarbeitungsumgebung
DE102015122518A1 (de) Authentifizierung von Datenkommunikationen
DE112012002741T5 (de) Identitäts- und Berechtigungsprüfungsverfahren für die Sicherheit einer Cloud-Datenverarbeitungsplattform
DE112020004289T5 (de) Einrichten einer sicherheitszuordnung und einer berechtigungsprüfung zum sichern einer datenübertragung zwischen einem initiator und einem antwortenden
DE112011100182T5 (de) Transaktionsprüfung für Datensicherheitsvorrichtungen
DE112020004286T5 (de) Einrichten einer sicherheitszuordnung und einer berechtigungsprüfung zum sichern einer datenübertragung zwischen einem initiator und einem antwortenden
DE112014000584T5 (de) Erreichen von Speichereffizienz bei durchgängiger Verschlüsselung unter Verwendung von nachgelagerten (Downstream-)Decryptern
DE112021004937T5 (de) Sicheres erneutes verschlüsseln von homomorph verschlüsselten daten
DE112021006372T5 (de) Sichere bereitstellung einer datenverarbeitungsressource unter verwendung einer homomorphen verschlüsselung
DE102016105062A1 (de) Nähengestützte Berechtigungsprüfung für einheitenübergreifend verteilte Daten
DE602005003631T2 (de) Ausschluss der Passwortaufdeckung bei Attributzertifikatausgabe
DE112019003130T5 (de) Hsm-selbstzerstörung in einer hybriden cloud-kms-lösung
DE102021129514A1 (de) Binden von post-quanten-zertifikaten
DE112020002343T5 (de) Verteilung von Sicherheitsberechtigungsnachweisen
DE112020003731B4 (de) Gleichzeitige aktivierung von verschlüsselung auf einem betriebspfad an einem host-speicheranschluss
DE112020000535T5 (de) Fehlerbehebung innerhalb und außerhalb der eigenen Räumlichkeiten
DE102021130942A1 (de) Mehrstufiger schutz für datenzentrierte objekte
DE102022100111A1 (de) Netzwerkschnittstelle mit Datenschutz
DE112021005862T5 (de) Selbstprüfende blockchain
DE112021006008T5 (de) Sichere übertragung grosser datenmengen
DE112020003720T5 (de) Zugriffsverwaltung zur aktivierung von sicherheit auf einem host-system
DE112020003730T5 (de) Zugriffsverwaltung zur aktivierung von sicherheit in einer speichereinheit

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R083 Amendment of/additions to inventor(s)
R016 Response to examination communication