JP2000276406A - ファイバチャネル接続ストレージサブシステム及びそのアクセス方法 - Google Patents
ファイバチャネル接続ストレージサブシステム及びそのアクセス方法Info
- Publication number
- JP2000276406A JP2000276406A JP11085393A JP8539399A JP2000276406A JP 2000276406 A JP2000276406 A JP 2000276406A JP 11085393 A JP11085393 A JP 11085393A JP 8539399 A JP8539399 A JP 8539399A JP 2000276406 A JP2000276406 A JP 2000276406A
- Authority
- JP
- Japan
- Prior art keywords
- port
- storage subsystem
- access
- host
- frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】ホストからストレージサブシステム内の記憶領
域(LU)へのアクセスを選択的に制限することにより、不
正アクセスを防止する。またこの際、アクセスの可否を
判定する際生じるオーバヘッドが最小限となる方法を提
供し、かつ判定の条件を標準ファイバチャネルプロトコ
ルの範囲のみで行える方法を提供する。 【解決手段】ホストのN_Port_Name或いはNode_Nameとス
トレージサブシステム内のLUを関連付けるアクセス可否
テーブル(1301)と、ホストがログインする際に割り当て
るS_IDとLUとを関連付ける関連テーブル(1302)とを作成
・保持し、ホストからのInquiry要求のS_IDと前記両テ
ーブルとを用いてLUへのアクセス可否を判断し(1303)、
ホストへ通知する(1304)。
域(LU)へのアクセスを選択的に制限することにより、不
正アクセスを防止する。またこの際、アクセスの可否を
判定する際生じるオーバヘッドが最小限となる方法を提
供し、かつ判定の条件を標準ファイバチャネルプロトコ
ルの範囲のみで行える方法を提供する。 【解決手段】ホストのN_Port_Name或いはNode_Nameとス
トレージサブシステム内のLUを関連付けるアクセス可否
テーブル(1301)と、ホストがログインする際に割り当て
るS_IDとLUとを関連付ける関連テーブル(1302)とを作成
・保持し、ホストからのInquiry要求のS_IDと前記両テ
ーブルとを用いてLUへのアクセス可否を判断し(1303)、
ホストへ通知する(1304)。
Description
【0001】
【発明の属する技術分野】本発明は、ANSI X3T11で標準
化されたファイバチャネルプロトコルを、上位装置との
インタフェースとして持つストレージサブシステム(デ
ィスクサブシステム)に係り、複数の上位装置からスト
レージサブシステム及びストレージサブシステム内の記
憶領域へのアクセスを選択的に制限することにより、不
正アクセスを防止できるストレージサブシステムに関す
る。
化されたファイバチャネルプロトコルを、上位装置との
インタフェースとして持つストレージサブシステム(デ
ィスクサブシステム)に係り、複数の上位装置からスト
レージサブシステム及びストレージサブシステム内の記
憶領域へのアクセスを選択的に制限することにより、不
正アクセスを防止できるストレージサブシステムに関す
る。
【0002】
【従来の技術】ANSI X3T11で標準化されたファイバチャ
ネルプロトコルでは、多数の装置が接続可能であり、か
つSCSI、ESCON、TCP/IP等多種のプロトコルを同時に運
用可能な利点があるが、それに伴いセキュリテイの確保
が困難となる性質も併せ持っている。
ネルプロトコルでは、多数の装置が接続可能であり、か
つSCSI、ESCON、TCP/IP等多種のプロトコルを同時に運
用可能な利点があるが、それに伴いセキュリテイの確保
が困難となる性質も併せ持っている。
【0003】ストレージサブシステムに対する不正アク
セスを防止する方法としては、例えば特開平10-333839
号公報では、ファイバチャネルプロトコルを用いた方法
が開示されている。
セスを防止する方法としては、例えば特開平10-333839
号公報では、ファイバチャネルプロトコルを用いた方法
が開示されている。
【0004】この方法は、装置のインタフェース(ポー
トと呼ぶ)を、静的に一意に識別できるN_Port_Nameに
ついて、上位装置を起動する前に予めストレージサブシ
ステム中に記憶させ、かつこのN_Port_Nameと、ストレ
ージサブシステム中の特定ポート、或いはN_Port_Name
とストレージサブシステム内部の任意の記憶領域とを関
連付けるテーブルを保持し、上位装置起動後は、この上
位装置がストレージサブシステムにアクセスする際に発
行するフレームという情報単位の内部を、ストレージサ
ブシステムにおいてフレーム毎に逐一判定して、フレー
ム内に格納されたN_Port_Nameがテーブル内に存在する
場合にアクセスを許可し、存在しない場合はLS_RJTとい
う接続拒否のフレームを上位に対して送出することによ
って、前記テーブル内に存在しないN_Port_Nameをもつ
上位装置からのアクセスを拒否するというものである。
トと呼ぶ)を、静的に一意に識別できるN_Port_Nameに
ついて、上位装置を起動する前に予めストレージサブシ
ステム中に記憶させ、かつこのN_Port_Nameと、ストレ
ージサブシステム中の特定ポート、或いはN_Port_Name
とストレージサブシステム内部の任意の記憶領域とを関
連付けるテーブルを保持し、上位装置起動後は、この上
位装置がストレージサブシステムにアクセスする際に発
行するフレームという情報単位の内部を、ストレージサ
ブシステムにおいてフレーム毎に逐一判定して、フレー
ム内に格納されたN_Port_Nameがテーブル内に存在する
場合にアクセスを許可し、存在しない場合はLS_RJTとい
う接続拒否のフレームを上位に対して送出することによ
って、前記テーブル内に存在しないN_Port_Nameをもつ
上位装置からのアクセスを拒否するというものである。
【0005】
【発明が解決しようとする課題】しかし上記方法では、
第一に接続可否の判定をフレーム毎に行う必要があるた
めに通信性能が大幅に制限されること、第二にアクセス
可否の対象がポートではなくストレージサブシステム内
の部分領域である場合、上位装置から送出されるフレー
ムすべてにN_Port_Nameを格納することが上位装置に要
求されるため、上位装置側に標準ファイバチャネルプロ
トコル範囲外の仕様の実装を強いることから、実際の製
品に適用することは困難である。
第一に接続可否の判定をフレーム毎に行う必要があるた
めに通信性能が大幅に制限されること、第二にアクセス
可否の対象がポートではなくストレージサブシステム内
の部分領域である場合、上位装置から送出されるフレー
ムすべてにN_Port_Nameを格納することが上位装置に要
求されるため、上位装置側に標準ファイバチャネルプロ
トコル範囲外の仕様の実装を強いることから、実際の製
品に適用することは困難である。
【0006】本発明はANSI X3T11で標準化されたファイ
バチャネルプロトコルを上位装置とのインタフェースと
してもつストレージサブシステムにおいて、上位装置か
らストレージサブシステム内の記憶領域へのアクセスを
選択的に制限することにより、不正アクセスを防止する
ことを目的とする。
バチャネルプロトコルを上位装置とのインタフェースと
してもつストレージサブシステムにおいて、上位装置か
らストレージサブシステム内の記憶領域へのアクセスを
選択的に制限することにより、不正アクセスを防止する
ことを目的とする。
【0007】またこの際、アクセスの可否を判定する際
生じるオーバヘッドが最小限となる方法を提供し、かつ
判定の条件を標準ファイバチャネルプロトコルの範囲の
みで行える方法を提供することを目的とする。
生じるオーバヘッドが最小限となる方法を提供し、かつ
判定の条件を標準ファイバチャネルプロトコルの範囲の
みで行える方法を提供することを目的とする。
【0008】
【課題を解決するための手段】上記課題を解決するため
に、上位装置又は上位装置のポートを静的に一意に識別
する識別手段であるN_Port_Name或いはNode_Nameと、ス
トレージサブシステム内におけるアクセス可否判定の対
象である各記憶領域とを対応づけたテーブルをストレー
ジサブシステム内に保持し、さらにN_Port_Name或いはN
ode_Nameと、上位装置がファイバチャネルインタフェー
スを用いてストレージサブシステムと通信を行う際に、
上位装置又は上位装置のポートを一意に識別する手段と
して、情報の送受信に先立つログインプロセスにより動
的に割り当てられる情報であるS_IDとを関連付けたテー
ブルをストレージサブシステム内に保持し、上位装置か
らストレージサブシステム内の記憶領域に対する情報取
得要求が、Inquiryコマンドを用いて行われた契機で、
要求フレームに含まれるS_IDを用いて、上記テーブルを
検索及び比較することによって記憶領域に対するアクセ
ス可否を判定する。
に、上位装置又は上位装置のポートを静的に一意に識別
する識別手段であるN_Port_Name或いはNode_Nameと、ス
トレージサブシステム内におけるアクセス可否判定の対
象である各記憶領域とを対応づけたテーブルをストレー
ジサブシステム内に保持し、さらにN_Port_Name或いはN
ode_Nameと、上位装置がファイバチャネルインタフェー
スを用いてストレージサブシステムと通信を行う際に、
上位装置又は上位装置のポートを一意に識別する手段と
して、情報の送受信に先立つログインプロセスにより動
的に割り当てられる情報であるS_IDとを関連付けたテー
ブルをストレージサブシステム内に保持し、上位装置か
らストレージサブシステム内の記憶領域に対する情報取
得要求が、Inquiryコマンドを用いて行われた契機で、
要求フレームに含まれるS_IDを用いて、上記テーブルを
検索及び比較することによって記憶領域に対するアクセ
ス可否を判定する。
【0009】
【発明の実施の形態】以下、本発明の実施の形態につい
て、図を用いて詳細に説明する。まず、本発明で使用す
るファイバチャネルの特徴について説明する。
て、図を用いて詳細に説明する。まず、本発明で使用す
るファイバチャネルの特徴について説明する。
【0010】ファイバチャネルは、独自のコマンドセッ
トを持たないシリアルの転送方式をもつプロトコルであ
り、情報を非同期に送るために伝送媒体の帯域幅を有効
に利用できる特色を持っている。そして独自のコマンド
セットを持たないかわりに、物理転送方式を、従来のSC
SI、ESCONといったコマンドセットの運搬路として使用
することにより、従来のソフトウェア資産を継承しなが
ら、より高速かつ多彩なデータ転送を可能としている。
トを持たないシリアルの転送方式をもつプロトコルであ
り、情報を非同期に送るために伝送媒体の帯域幅を有効
に利用できる特色を持っている。そして独自のコマンド
セットを持たないかわりに、物理転送方式を、従来のSC
SI、ESCONといったコマンドセットの運搬路として使用
することにより、従来のソフトウェア資産を継承しなが
ら、より高速かつ多彩なデータ転送を可能としている。
【0011】ファイバチャネルはチャネルとネットワー
クの特長を併せ持つインタフェースである。すなわち、
ファイバチャネルでは一旦転送元と転送先が確定すれ
ば、遅延が少ない高速な転送が行える。これはチャネル
の特長である。また、通信を希望する機器は、任意の契
機でファイバチャネルの通信系に参加し、通信の目的と
なる相手の機器と相互に情報を交換することにより、互
いを認識して通信を開始することができる。これはネッ
トワークの特徴である。ここで述べた相手の機器との情
報交換の手続きを、とくにログインと呼ぶ。
クの特長を併せ持つインタフェースである。すなわち、
ファイバチャネルでは一旦転送元と転送先が確定すれ
ば、遅延が少ない高速な転送が行える。これはチャネル
の特長である。また、通信を希望する機器は、任意の契
機でファイバチャネルの通信系に参加し、通信の目的と
なる相手の機器と相互に情報を交換することにより、互
いを認識して通信を開始することができる。これはネッ
トワークの特徴である。ここで述べた相手の機器との情
報交換の手続きを、とくにログインと呼ぶ。
【0012】ファイバチャネルのインタフェースを持つ
機器をノードと呼び、実際のインタフェースにあたる部
分をポートと呼ぶ。ノードは1つ以上のポートを持つこ
とが可能である。ファイバチャネルの系全体に同時に参
加できるポートの数は、最大で24ビットのアドレスの数
すなわち約1677万個である。この接続を媒介するハード
ウェアをファブリックと呼ぶ。送信元及び送信先のポー
トは、ファブリックを意識せずに互いのポートに関する
情報のみを考慮して動作すればよいので、ファブリック
を論理的な媒体として議論する場合も多い。
機器をノードと呼び、実際のインタフェースにあたる部
分をポートと呼ぶ。ノードは1つ以上のポートを持つこ
とが可能である。ファイバチャネルの系全体に同時に参
加できるポートの数は、最大で24ビットのアドレスの数
すなわち約1677万個である。この接続を媒介するハード
ウェアをファブリックと呼ぶ。送信元及び送信先のポー
トは、ファブリックを意識せずに互いのポートに関する
情報のみを考慮して動作すればよいので、ファブリック
を論理的な媒体として議論する場合も多い。
【0013】各ノード及びポートには、標準化団体から
一定のルールによって割り当てられる世界中でユニーク
な識別子が記憶されている。これはTCP/IPのMACアドレ
スに相当するものであり、ハードウェア的に固定なアド
レスである。このアドレスにはN_Port_Name、Node_Name
の2種類があり、それぞれ8バイトの領域を持つ。N_Port
_Nameはポート毎に固有の値、Node_Nameはノード毎に固
有の値となる。
一定のルールによって割り当てられる世界中でユニーク
な識別子が記憶されている。これはTCP/IPのMACアドレ
スに相当するものであり、ハードウェア的に固定なアド
レスである。このアドレスにはN_Port_Name、Node_Name
の2種類があり、それぞれ8バイトの領域を持つ。N_Port
_Nameはポート毎に固有の値、Node_Nameはノード毎に固
有の値となる。
【0014】ファイバチャネルでは、通信はOrdered Se
tと呼ばれる信号レベルの情報と、フレームと呼ばれる
固定のフォーマットを持った情報とで行われる。
tと呼ばれる信号レベルの情報と、フレームと呼ばれる
固定のフォーマットを持った情報とで行われる。
【0015】図1はこのフレームの構造を示している。
フレーム101は、フレームの始まりを示すSOF(Start of
Frame)102と呼ばれる4バイトの識別子、リンク動作の
制御やフレームの特徴づけを行う24バイトのフレームヘ
ッダ103、実際に転送される目的となるデータ部分であ
るデータフィールド104、4バイトの巡回冗長コード(CR
C)105、フレームの終わりを示すEOF(End of Frame)10
6と呼ばれる4バイトの識別子からなる。データフィール
ド104は0〜2112バイトの間で可変である。
フレーム101は、フレームの始まりを示すSOF(Start of
Frame)102と呼ばれる4バイトの識別子、リンク動作の
制御やフレームの特徴づけを行う24バイトのフレームヘ
ッダ103、実際に転送される目的となるデータ部分であ
るデータフィールド104、4バイトの巡回冗長コード(CR
C)105、フレームの終わりを示すEOF(End of Frame)10
6と呼ばれる4バイトの識別子からなる。データフィール
ド104は0〜2112バイトの間で可変である。
【0016】次に、図2を用いてフレームヘッダの内容
について説明する。図2はフレームヘッダの構造につい
て示している。ここではフレームヘッダ202の詳細構造2
03における、1ワードの23-0ビット領域にあたるS_ID204
のみ説明する。S_ID(Source ID)204は当該フレームを
送信するポートを識別するための3バイトのアドレス識
別子であり、送受信されるすべてのフレームで有効な値
を持つ。そして上位装置を動的に一意に識別できる情報
であり、PLOGI時(後述)に上位装置より報告される値
である。このS_IDは動的に変動する値であり、FC_PHで
はファブリックによって初期化手続き時に割り当てられ
ることになっている。割り当てられる値は、それぞれの
ポートが持つN_Port_Name、Node_Nameに依存する。
について説明する。図2はフレームヘッダの構造につい
て示している。ここではフレームヘッダ202の詳細構造2
03における、1ワードの23-0ビット領域にあたるS_ID204
のみ説明する。S_ID(Source ID)204は当該フレームを
送信するポートを識別するための3バイトのアドレス識
別子であり、送受信されるすべてのフレームで有効な値
を持つ。そして上位装置を動的に一意に識別できる情報
であり、PLOGI時(後述)に上位装置より報告される値
である。このS_IDは動的に変動する値であり、FC_PHで
はファブリックによって初期化手続き時に割り当てられ
ることになっている。割り当てられる値は、それぞれの
ポートが持つN_Port_Name、Node_Nameに依存する。
【0017】次に、送信元の機器と送信先の機器が互い
に情報を交換する、ログイン手続きについて述べる。図
3に、上位装置からストレージサブシステムへの通信要
求であるPLOGIフレームの構造について示す。フレーム
ヘッダ302の詳細構造304において、ワード1の23-0ビッ
トがS_ID306である。また、データフィールド303の詳細
構造305において、先頭から21バイト目〜29バイト目ま
での8バイトの領域がN_Port_Name307を格納する領域で
あり、先頭から30バイト目〜38バイト目までの8バイト
の領域がNode_Name308を格納する領域である。
に情報を交換する、ログイン手続きについて述べる。図
3に、上位装置からストレージサブシステムへの通信要
求であるPLOGIフレームの構造について示す。フレーム
ヘッダ302の詳細構造304において、ワード1の23-0ビッ
トがS_ID306である。また、データフィールド303の詳細
構造305において、先頭から21バイト目〜29バイト目ま
での8バイトの領域がN_Port_Name307を格納する領域で
あり、先頭から30バイト目〜38バイト目までの8バイト
の領域がNode_Name308を格納する領域である。
【0018】図4は、送信元(ログイン要求元)と送信
先(ログイン要求先)との間に取り交わされる情報を示
したものである。ファイバチャネルのログイン手続きに
は数種類があるが、ここではクラス3のログインで取り
交わされる情報を示す。
先(ログイン要求先)との間に取り交わされる情報を示
したものである。ファイバチャネルのログイン手続きに
は数種類があるが、ここではクラス3のログインで取り
交わされる情報を示す。
【0019】ログイン要求元は、PLOGIフレーム403をロ
グイン要求先へ送信する。このフレームには、ログイン
要求元のN_Port_Name、Node_Name、S_ID及びその他の情
報が含まれている。要求先の装置では、このフレームに
含まれている情報を取り出し、ログインを受諾する場合
はACC404と呼ばれるフレームをログイン要求元に対して
送信する。
グイン要求先へ送信する。このフレームには、ログイン
要求元のN_Port_Name、Node_Name、S_ID及びその他の情
報が含まれている。要求先の装置では、このフレームに
含まれている情報を取り出し、ログインを受諾する場合
はACC404と呼ばれるフレームをログイン要求元に対して
送信する。
【0020】ログインを拒絶する場合は図5に示すよう
に、PLOGIフレーム503に対して、ログイン受信先はLS_R
JT504と呼ばれるフレームをログイン要求元に対して送
信する。
に、PLOGIフレーム503に対して、ログイン受信先はLS_R
JT504と呼ばれるフレームをログイン要求元に対して送
信する。
【0021】ログイン要求元は、自らが送信したPLOGI
フレームに対するACCフレームの応答を受信すると、ロ
グインが成功したことを知り、データ転送などのI/Oプ
ロセスを開始できる状態となる。LS_RJTを受信した場合
はログインが成立しなかったため、ログイン要求先への
I/Oプロセスは不可となる。ここではクラス3のログイ
ンについて述べたが、他のログインにおいても、ログイ
ン要求元からログイン要求先へ渡すことのできる情報の
中に、N_Port_Name、Node_Name及びS_IDが含まれること
は同様である。
フレームに対するACCフレームの応答を受信すると、ロ
グインが成功したことを知り、データ転送などのI/Oプ
ロセスを開始できる状態となる。LS_RJTを受信した場合
はログインが成立しなかったため、ログイン要求先への
I/Oプロセスは不可となる。ここではクラス3のログイ
ンについて述べたが、他のログインにおいても、ログイ
ン要求元からログイン要求先へ渡すことのできる情報の
中に、N_Port_Name、Node_Name及びS_IDが含まれること
は同様である。
【0022】次に、Inquiryコマンドについて説明す
る。Inquiryコマンドとは、I/Oプロセスを開始しようと
する場合に先立ち、プロセスの対象となる論理デバイス
に対して、その実装状態を問い合わせるコマンドであ
る。例えば、上位装置からストレージサブシステムに含
まれる記憶領域へのアクセス要求に先立つ情報問い合わ
せ要求のことである。本コマンドはSCSIでは必ずサポー
トされている標準コマンドである。
る。Inquiryコマンドとは、I/Oプロセスを開始しようと
する場合に先立ち、プロセスの対象となる論理デバイス
に対して、その実装状態を問い合わせるコマンドであ
る。例えば、上位装置からストレージサブシステムに含
まれる記憶領域へのアクセス要求に先立つ情報問い合わ
せ要求のことである。本コマンドはSCSIでは必ずサポー
トされている標準コマンドである。
【0023】図6は、SCSI規格で定義されたInquiryコマ
ンドを、ファイバチャネル規格のフレームで送信する場
合のフレーム601のフォーマットである。フレームヘッ
ダ602の詳細構造604において、本フレームに先立つPLOG
Iで割り当てられたS_ID605が含まれている。データフィ
ールド603にはFCP_LUN607、FCP_CNTL608、FCP_CDB609、
FCP_DL610と呼ばれる領域がある。ここではFCP_LUN60
7、及びFCP_CDB609について述べる。
ンドを、ファイバチャネル規格のフレームで送信する場
合のフレーム601のフォーマットである。フレームヘッ
ダ602の詳細構造604において、本フレームに先立つPLOG
Iで割り当てられたS_ID605が含まれている。データフィ
ールド603にはFCP_LUN607、FCP_CNTL608、FCP_CDB609、
FCP_DL610と呼ばれる領域がある。ここではFCP_LUN60
7、及びFCP_CDB609について述べる。
【0024】FCP_LUN607の中には、フレーム送信元が状
態を問い合わせようとする、フレーム送信先のポートに
関連付けられた論理ボリュームの識別子が格納されてい
る。この識別子をLUNという。FCP_CDB609の中には、SCS
Iコマンドセットを使用する場合にはSCSIのコマンド記
述ブロック(CDB)と呼ばれる命令情報が格納される。
このFCP_CDB609の中に、SCSIのInquiryコマンド情報が
格納されて、前述のFCP_LUN607と共に、フレーム要求先
へ情報が転送される。
態を問い合わせようとする、フレーム送信先のポートに
関連付けられた論理ボリュームの識別子が格納されてい
る。この識別子をLUNという。FCP_CDB609の中には、SCS
Iコマンドセットを使用する場合にはSCSIのコマンド記
述ブロック(CDB)と呼ばれる命令情報が格納される。
このFCP_CDB609の中に、SCSIのInquiryコマンド情報が
格納されて、前述のFCP_LUN607と共に、フレーム要求先
へ情報が転送される。
【0025】次に、Inquiryコマンドを受信したフレー
ム要求先が、問い合わせへの応答としてフレーム送信元
へ返信する情報について述べる。この情報をInquiryデ
ータと言う。図7にInquiryデータの抜粋を示す。ここで
は、Inquiryデータ701のうちでクオイファイア702と、
デバイス・タイプ・コード703の2つについて述べる。
クオリファイア(Peripheral Qualifier)702は、指定
された論理ユニットの現在の状態を設定する3ビットの
情報である。
ム要求先が、問い合わせへの応答としてフレーム送信元
へ返信する情報について述べる。この情報をInquiryデ
ータと言う。図7にInquiryデータの抜粋を示す。ここで
は、Inquiryデータ701のうちでクオイファイア702と、
デバイス・タイプ・コード703の2つについて述べる。
クオリファイア(Peripheral Qualifier)702は、指定
された論理ユニットの現在の状態を設定する3ビットの
情報である。
【0026】図8はビットパターンによって示される論
理ユニットの状態を列挙したものである。コード000(2
進)802は、論理ユニットとして接続されている装置が
デバイス・タイプ・コード703の領域に示される種類の
入出力機器であることを示している。本コードが設定さ
れていても、その論理ユニットが使用可能、すなわちレ
ディ状態であることを必ずしも示しているわけではない
が、その論理ユニットを使用できる可能性があるのは本
コードが設定されている場合に限る。
理ユニットの状態を列挙したものである。コード000(2
進)802は、論理ユニットとして接続されている装置が
デバイス・タイプ・コード703の領域に示される種類の
入出力機器であることを示している。本コードが設定さ
れていても、その論理ユニットが使用可能、すなわちレ
ディ状態であることを必ずしも示しているわけではない
が、その論理ユニットを使用できる可能性があるのは本
コードが設定されている場合に限る。
【0027】コード001(2進)803は、論理ユニットと
して接続されている装置がデバイス・タイプ・コード70
3の領域に示される種類の入出力機器であることを示し
ており、かつそのロジカルユニットには実際の入出力機
器が接続されていないことを示している。これは例えば
CD-ROMドライブが実装されているが、CD-ROMがドライブ
内に挿入されていないような場合を示すことになる。コ
ード011(2進)804は、指定された論理ユニットがサポ
ートされていないことを示す。従って指定された論理ユ
ニットに装置が割り当てられることはない。本コードが
設定されるときは、デバイス・タイプ・コード領域703
にはかならず1F(16進)が設定されることが条件になっ
ている。
して接続されている装置がデバイス・タイプ・コード70
3の領域に示される種類の入出力機器であることを示し
ており、かつそのロジカルユニットには実際の入出力機
器が接続されていないことを示している。これは例えば
CD-ROMドライブが実装されているが、CD-ROMがドライブ
内に挿入されていないような場合を示すことになる。コ
ード011(2進)804は、指定された論理ユニットがサポ
ートされていないことを示す。従って指定された論理ユ
ニットに装置が割り当てられることはない。本コードが
設定されるときは、デバイス・タイプ・コード領域703
にはかならず1F(16進)が設定されることが条件になっ
ている。
【0028】デバイス・タイプ・コード(Peripheral D
evice Type)703は、指定された論理ユニットに実際に
割り当てられている入出力機器の種別を示す5ビットの
情報である。
evice Type)703は、指定された論理ユニットに実際に
割り当てられている入出力機器の種別を示す5ビットの
情報である。
【0029】図9に各デバイスタイプ902に対応するに16
進のコード901を示す。図9に示されている情報のうち、
未定義又は未接続のデバイス903を表す1F(16進)904が
設定されると、Inquiryコマンド送信元が問い合わせた
デバイスは未定義或いは未接続ということになり、当該
論理ユニットは当該送信元からは使用できないことにな
る。
進のコード901を示す。図9に示されている情報のうち、
未定義又は未接続のデバイス903を表す1F(16進)904が
設定されると、Inquiryコマンド送信元が問い合わせた
デバイスは未定義或いは未接続ということになり、当該
論理ユニットは当該送信元からは使用できないことにな
る。
【0030】図10に、このInquiryコマンドを用いた論
理ユニット問い合わせの手順を示す。論理ユニットにア
クセスしようとする上位装置1001は、アクセスしようと
する論理ユニットをもつストレージサブシステム1002に
対し、Inquiryコマンドを含むフレーム1003を送信す
る。このフレームには、PLOGIで割り当てられた、上位
装置のS_IDと、問い合わせを行う論理ユニットの識別子
であるLUNが含まれている。なおここで、LUNについて
は、FCP_LUN領域の他に、FCP_CDB内のInquiryコマンド
情報そのものの中にも設定することができる。どちらの
値を使用しても得られる効果は同じであるが、本実施例
ではLUNの値はFCP_LUNに格納された値を使用するものと
する。
理ユニット問い合わせの手順を示す。論理ユニットにア
クセスしようとする上位装置1001は、アクセスしようと
する論理ユニットをもつストレージサブシステム1002に
対し、Inquiryコマンドを含むフレーム1003を送信す
る。このフレームには、PLOGIで割り当てられた、上位
装置のS_IDと、問い合わせを行う論理ユニットの識別子
であるLUNが含まれている。なおここで、LUNについて
は、FCP_LUN領域の他に、FCP_CDB内のInquiryコマンド
情報そのものの中にも設定することができる。どちらの
値を使用しても得られる効果は同じであるが、本実施例
ではLUNの値はFCP_LUNに格納された値を使用するものと
する。
【0031】Inquiryコマンドを含むフレームを受信し
たストレージサブシステム1002は、問い合わせに対する
返答に必要なInquiryデータを準備し、作成したInquiry
データを含むフレーム1004を上位装置に対して送信す
る。このときInquiryデータを格納するフレームを、FCP
_DATAと呼ぶ。このとき、ストレージサブシステムが、
問い合わせのあったロジカルユニット(論理ユニット)
について、クオリファイア000(2進)、デバイスタイプ
00〜09(16進)のいずれかを設定した場合、このInquir
yデータを受信した上位装置は、ロジカルユニットに対
するI/Oを試みることが可能となる。
たストレージサブシステム1002は、問い合わせに対する
返答に必要なInquiryデータを準備し、作成したInquiry
データを含むフレーム1004を上位装置に対して送信す
る。このときInquiryデータを格納するフレームを、FCP
_DATAと呼ぶ。このとき、ストレージサブシステムが、
問い合わせのあったロジカルユニット(論理ユニット)
について、クオリファイア000(2進)、デバイスタイプ
00〜09(16進)のいずれかを設定した場合、このInquir
yデータを受信した上位装置は、ロジカルユニットに対
するI/Oを試みることが可能となる。
【0032】また、図11に示すように、ストレージサブ
システム1102が、クオリファイア001(2進)又は011(2
進)、デバイスタイプ1F(16進)を設定した場合、この
Inquiryデータ1104を受信した上位装置は、ロジカルユ
ニットに対するI/Oが不可能であることを検出する。こ
れらのことから、Inquiryデータに格納するクオリファ
イア、及びデバイス・タイプ・コードを管理することに
よって、上位装置からのロジカルユニットへのアクセス
の許可及び不許可を制御することが可能となる。
システム1102が、クオリファイア001(2進)又は011(2
進)、デバイスタイプ1F(16進)を設定した場合、この
Inquiryデータ1104を受信した上位装置は、ロジカルユ
ニットに対するI/Oが不可能であることを検出する。こ
れらのことから、Inquiryデータに格納するクオリファ
イア、及びデバイス・タイプ・コードを管理することに
よって、上位装置からのロジカルユニットへのアクセス
の許可及び不許可を制御することが可能となる。
【0033】本発明では、上位装置からのアクセスを許
可、或いは拒否する対象として、ストレージサブシステ
ム内の一定領域を選択することを可能としている。この
領域は上位装置から明示的にアドレス指定が可能な領域
であり、LU(Logical Unit)と呼ばれる。LUの識別子を
LUN(Logical Unit Number)と呼ぶ。SCSI-2ではLUNの
個数は1ターゲットあたり8である。
可、或いは拒否する対象として、ストレージサブシステ
ム内の一定領域を選択することを可能としている。この
領域は上位装置から明示的にアドレス指定が可能な領域
であり、LU(Logical Unit)と呼ばれる。LUの識別子を
LUN(Logical Unit Number)と呼ぶ。SCSI-2ではLUNの
個数は1ターゲットあたり8である。
【0034】次に、本発明による処理の流れについて説
明する。
明する。
【0035】図12は、本発明の実施例となる装置の構成
図である。本装置をストレージサブシステム1201と呼
ぶ。ストレージサブシステム1201は、複数のファイバチ
ャネルインタフェースを持つポート1202によって上位装
置(ホストと呼ぶ)1203と接続されている。接続形態は
ファイバチャネル規約によりさまざまであるが、本発明
では接続形態を問わないため一括してファイバチャネル
1204として表記してある。
図である。本装置をストレージサブシステム1201と呼
ぶ。ストレージサブシステム1201は、複数のファイバチ
ャネルインタフェースを持つポート1202によって上位装
置(ホストと呼ぶ)1203と接続されている。接続形態は
ファイバチャネル規約によりさまざまであるが、本発明
では接続形態を問わないため一括してファイバチャネル
1204として表記してある。
【0036】上位装置1203もまたファイバチャネルイン
タフェースを持つポート1205を1つ以上備えており、そ
れぞれのポート1205がストレージサブシステム1201上の
ポート1202とファイバチャネルプロトコルにより通信可
能である。
タフェースを持つポート1205を1つ以上備えており、そ
れぞれのポート1205がストレージサブシステム1201上の
ポート1202とファイバチャネルプロトコルにより通信可
能である。
【0037】ストレージサブシステム1201は中央演算装
置1206を持ち、各種処理を行う。またストレージサブシ
ステム1201は内部に不揮発メモリ1207を備えている。こ
の不揮発メモリ1207は各種テーブルやN_Port_Name或い
はNode_Nameを保持する保持手段としての役割を果た
す。デバイスドライブ制御部1208はバス1209を介して情
報を記憶しているドライブデバイスと接続されている。
本図ではドライブデバイスを論理単位としてとらえ、論
理ユニット(LU)1210として表示している。
置1206を持ち、各種処理を行う。またストレージサブシ
ステム1201は内部に不揮発メモリ1207を備えている。こ
の不揮発メモリ1207は各種テーブルやN_Port_Name或い
はNode_Nameを保持する保持手段としての役割を果た
す。デバイスドライブ制御部1208はバス1209を介して情
報を記憶しているドライブデバイスと接続されている。
本図ではドライブデバイスを論理単位としてとらえ、論
理ユニット(LU)1210として表示している。
【0038】また、ストレージサブシステム1201は通信
制御部1211を持ち、通信回線1212を介して保守用装置12
13の通信制御部1214と情報の送受信を行うことができ
る。保守用装置1213とは例えばパソコンのようなもので
あり、中央演算装置1215と入力手段1216及び表示手段12
17を持つ。ユーザはこの保守用装置1213を用いて、スト
レージサブシステム1201の保守を行う他、N_Port_Name
或いはNode_NameとLU1210の特定の記憶領域とを関連付
け上位装置1203に対するアクセス可否を定義した情報
(アクセス可否テーブル)を設定する。このように保守
用装置1213は設定手段の役割も果たす。不揮発メモリ12
07はこのように定義したアクセス可否テーブルをN_Port
_Name或いはNode_Nameと共に保持する。
制御部1211を持ち、通信回線1212を介して保守用装置12
13の通信制御部1214と情報の送受信を行うことができ
る。保守用装置1213とは例えばパソコンのようなもので
あり、中央演算装置1215と入力手段1216及び表示手段12
17を持つ。ユーザはこの保守用装置1213を用いて、スト
レージサブシステム1201の保守を行う他、N_Port_Name
或いはNode_NameとLU1210の特定の記憶領域とを関連付
け上位装置1203に対するアクセス可否を定義した情報
(アクセス可否テーブル)を設定する。このように保守
用装置1213は設定手段の役割も果たす。不揮発メモリ12
07はこのように定義したアクセス可否テーブルをN_Port
_Name或いはNode_Nameと共に保持する。
【0039】更に不揮発メモリ1207は、中央演算装置12
15で作成する関連テーブル(上位装置1203からストレー
ジサブシステム1201への通信要求であるPLOGIを受け付
けた際に、N_Port_Name或いはNode_Nameと上位装置1203
とを動的に一意に識別できる情報であり、PLOGI時に上
位装置1203より報告される値であるS_IDとを関連付け、
このS_IDを不揮発メモリ1207内に保持してあるN_Port_N
ame或いはNode_Nameと関連付けたテーブル)を保持す
る。
15で作成する関連テーブル(上位装置1203からストレー
ジサブシステム1201への通信要求であるPLOGIを受け付
けた際に、N_Port_Name或いはNode_Nameと上位装置1203
とを動的に一意に識別できる情報であり、PLOGI時に上
位装置1203より報告される値であるS_IDとを関連付け、
このS_IDを不揮発メモリ1207内に保持してあるN_Port_N
ame或いはNode_Nameと関連付けたテーブル)を保持す
る。
【0040】図13は、本発明によるLUNセキュリティの
実現方法の概要を説明したものである。まず手順1301で
は、ユーザは予めホストが持つN_Port_Nameを用いて、
ストレージサブシステムの各ポート毎に関連付けられた
LUNと、そこにアクセスしうるホストのN_Port_Nameを結
び付けたアクセス可否テーブルを保守用装置(図12参
照)などを用いて作成し、ストレージサブシステム内の
記憶領域(図12に示す不揮発メモリ等)に保持する。こ
こで得られるN_Port_Nameは既知であるとする。
実現方法の概要を説明したものである。まず手順1301で
は、ユーザは予めホストが持つN_Port_Nameを用いて、
ストレージサブシステムの各ポート毎に関連付けられた
LUNと、そこにアクセスしうるホストのN_Port_Nameを結
び付けたアクセス可否テーブルを保守用装置(図12参
照)などを用いて作成し、ストレージサブシステム内の
記憶領域(図12に示す不揮発メモリ等)に保持する。こ
こで得られるN_Port_Nameは既知であるとする。
【0041】次に、手順1302において、ホストがストレ
ージサブシステムに対してログインを行う。ストレージ
サブシステムは、このログインのPLOGIフレームからホ
ストのN_Port_Name及びS_IDを取り出し、N_Port_Nameと
S_IDとを関連付けた関連テーブルを作成する。作成され
た関連テーブルは、先のアクセス可否テーブルと同様に
ストレージサブシステム内の記憶領域に保持される。
ージサブシステムに対してログインを行う。ストレージ
サブシステムは、このログインのPLOGIフレームからホ
ストのN_Port_Name及びS_IDを取り出し、N_Port_Nameと
S_IDとを関連付けた関連テーブルを作成する。作成され
た関連テーブルは、先のアクセス可否テーブルと同様に
ストレージサブシステム内の記憶領域に保持される。
【0042】次に、手順1303に移り、ホストはストレー
ジサブシステム内の論理ユニットの状態を検査するため
にInquiryコマンドを送信する。このInquiryコマンドを
受信したストレージサブシステムは、Inquiryコマンド
を格納しているフレームのヘッダからS_IDを取り出し、
また同フレームからInquiryコマンドの対象となるLUNを
取り出す。そして関連テーブルを使用して、S_IDからN_
Port_Nameを割り出し、さらにアクセス可否テーブルか
らそのLUNがN_Port_Nameに対してアクセス許可されてい
るか、もしくは不許可であるかの情報を取得する。
ジサブシステム内の論理ユニットの状態を検査するため
にInquiryコマンドを送信する。このInquiryコマンドを
受信したストレージサブシステムは、Inquiryコマンド
を格納しているフレームのヘッダからS_IDを取り出し、
また同フレームからInquiryコマンドの対象となるLUNを
取り出す。そして関連テーブルを使用して、S_IDからN_
Port_Nameを割り出し、さらにアクセス可否テーブルか
らそのLUNがN_Port_Nameに対してアクセス許可されてい
るか、もしくは不許可であるかの情報を取得する。
【0043】許可か不許可かの情報を用いて手順1304で
中央演算装置はアクセス可否の判定をおこなう。結果が
許可であった場合は、手順1305においてInquiryデータ
にLUが実装であることを設定し、不許可であった場合
は、手順1307においてInquiryデータにLUが未実装
であることを設定し、ホストに対して送信する。Inquir
yデータを受信したホストはデータを解析し、対象LUが
実装である、すなわち対象LUへのアクセスが許可されて
いることをデータから得ると、手順1306に示すように、
それ以降当該LUに対してのI/O要求を行うことが出来る
ようになる。
中央演算装置はアクセス可否の判定をおこなう。結果が
許可であった場合は、手順1305においてInquiryデータ
にLUが実装であることを設定し、不許可であった場合
は、手順1307においてInquiryデータにLUが未実装
であることを設定し、ホストに対して送信する。Inquir
yデータを受信したホストはデータを解析し、対象LUが
実装である、すなわち対象LUへのアクセスが許可されて
いることをデータから得ると、手順1306に示すように、
それ以降当該LUに対してのI/O要求を行うことが出来る
ようになる。
【0044】対象LUが未実装であることを検出すると、
以降当該LUへのI/O要求へのI/O要求を行うことはできな
い。以上の手順により、ストレージサブシステム内のLU
に対するセキュリティの管理が実現できたことになる。
以降当該LUへのI/O要求へのI/O要求を行うことはできな
い。以上の手順により、ストレージサブシステム内のLU
に対するセキュリティの管理が実現できたことになる。
【0045】尚、N_Port_Namの代わりにNode_Nameを用
いた場合も同様である。また、アクセス可否の判断は中
央演算装置ではなく、専用の処理装置を設けて判断手段
としてもよい。
いた場合も同様である。また、アクセス可否の判断は中
央演算装置ではなく、専用の処理装置を設けて判断手段
としてもよい。
【0046】次に、各手順について詳細に説明する。
【0047】まず、最初の手順であるN_Port_NameとLUN
との対応づけを行うテーブル作成手順について説明す
る。
との対応づけを行うテーブル作成手順について説明す
る。
【0048】本発明におけるLUNに対するセキュリティ
情報は、ストレージサブシステムに存在するポートを単
位として管理されるものとする。つまり、論理ユニット
LUは各ポートに対して定義され、ホストはこれらのポー
トを通してLUへアクセスする。したがって、セキュリテ
ィ情報もポート単位で管理されることになる。この場合
必要な情報は、ホストを一意に特定できる情報、各LUの
識別子であるLUN、及びLUNに対するアクセスの可否を示
す状態ビットである。
情報は、ストレージサブシステムに存在するポートを単
位として管理されるものとする。つまり、論理ユニット
LUは各ポートに対して定義され、ホストはこれらのポー
トを通してLUへアクセスする。したがって、セキュリテ
ィ情報もポート単位で管理されることになる。この場合
必要な情報は、ホストを一意に特定できる情報、各LUの
識別子であるLUN、及びLUNに対するアクセスの可否を示
す状態ビットである。
【0049】ホストを一意に特定できる情報とは、この
時点ではN_Port_Nameとなる。N_Port_Nameは、ホストに
存在するポート毎にユニークな値であるので、本発明に
よればホストのポート毎に、ストレージサブシステムの
ポートにおけるLUに対するセキュリティを設定できるこ
とになる。N_Port_Nameの替わりに、Node_Nameを使用し
たテーブルを作成すれば、ホスト毎にセキュリティを設
定することになる。LUに対するアクセス権限を与える対
象がホストのポート毎であるか、ホスト毎であるかの相
違であるので、本実施例ではN_Port_Nameについて説明
する。すなわち本実施例ではホストのポート毎にセキュ
リティを設定する方法を述べるが、N_Port_Nameの記述
をNode_Nameに読み替えることによって、容易にホスト
単位のセキュリティ設定方式を得ることができる。ま
た、本実施例では、ホスト上にあるポートのことを、簡
略化のためにホストと呼ぶことにする。つまり、ホスト
という語はホストそのものと、ホスト上に存在するポー
トの双方、或いはいずれかを意味することになる。
時点ではN_Port_Nameとなる。N_Port_Nameは、ホストに
存在するポート毎にユニークな値であるので、本発明に
よればホストのポート毎に、ストレージサブシステムの
ポートにおけるLUに対するセキュリティを設定できるこ
とになる。N_Port_Nameの替わりに、Node_Nameを使用し
たテーブルを作成すれば、ホスト毎にセキュリティを設
定することになる。LUに対するアクセス権限を与える対
象がホストのポート毎であるか、ホスト毎であるかの相
違であるので、本実施例ではN_Port_Nameについて説明
する。すなわち本実施例ではホストのポート毎にセキュ
リティを設定する方法を述べるが、N_Port_Nameの記述
をNode_Nameに読み替えることによって、容易にホスト
単位のセキュリティ設定方式を得ることができる。ま
た、本実施例では、ホスト上にあるポートのことを、簡
略化のためにホストと呼ぶことにする。つまり、ホスト
という語はホストそのものと、ホスト上に存在するポー
トの双方、或いはいずれかを意味することになる。
【0050】図14に、本実施例で作成するアクセス可否
テーブルを示す。本テーブルはストレージサブシステム
上にあるポート毎に作成される。作成はストレージサブ
システムと通信可能な保守用の装置から、入力手段とそ
の入力結果を確認するための表示手段を用いて指示する
ことにより行う。通信回線の種類により、LANを用いれ
ばストレージサブシステムに近い場所からの設定、電話
回線を用いれば保守センタ等遠隔地からの設定が可能で
ある。また内部バスを用いて保守用装置とストレージサ
ブシステムを一体化させることも可能である。
テーブルを示す。本テーブルはストレージサブシステム
上にあるポート毎に作成される。作成はストレージサブ
システムと通信可能な保守用の装置から、入力手段とそ
の入力結果を確認するための表示手段を用いて指示する
ことにより行う。通信回線の種類により、LANを用いれ
ばストレージサブシステムに近い場所からの設定、電話
回線を用いれば保守センタ等遠隔地からの設定が可能で
ある。また内部バスを用いて保守用装置とストレージサ
ブシステムを一体化させることも可能である。
【0051】LUN1402はポートに関連付けられたLUを示
し、N_Port_Name1403の数はそのポート配下に存在するL
Uへアクセスする可能性のあるホストの数だけ存在す
る。LU及びホストの数は有限な数となる。テーブルの各
要素において、本実施例では値"1"がアクセス許可を、
値"0"がアクセス拒否を意味することにする。図14では
当該ポートにおいて、LUN 0へアクセス許可があるホス
トは、N_Port_Name "0123456789ABCDEF" 1409 をもつホ
ストのみであり、LUN 1 1405へアクセス許可があるホス
トは、N_Port_Name "01234567 89ABCDEE" 1410及び "01
234567 89ABCDED" 1411をもつホストである。またLUN n
-1 1407へのアクセスが許可されているホストは存在し
ない。
し、N_Port_Name1403の数はそのポート配下に存在するL
Uへアクセスする可能性のあるホストの数だけ存在す
る。LU及びホストの数は有限な数となる。テーブルの各
要素において、本実施例では値"1"がアクセス許可を、
値"0"がアクセス拒否を意味することにする。図14では
当該ポートにおいて、LUN 0へアクセス許可があるホス
トは、N_Port_Name "0123456789ABCDEF" 1409 をもつホ
ストのみであり、LUN 1 1405へアクセス許可があるホス
トは、N_Port_Name "01234567 89ABCDEE" 1410及び "01
234567 89ABCDED" 1411をもつホストである。またLUN n
-1 1407へのアクセスが許可されているホストは存在し
ない。
【0052】図15に示すように、本テーブルは、セキュ
リティの設定が必要なポートすべてについて作成し、ス
トレージサブシステム内の記憶領域に保持する。このと
き記憶領域に不揮発記憶領域を使用すれば、ストレージ
サブシステムの電源が切断された場合でも情報を保持す
ることができる。また、初期値を0又は1としてテーブル
を作成しておくことにより、テーブル作成を簡略化する
ことができる。
リティの設定が必要なポートすべてについて作成し、ス
トレージサブシステム内の記憶領域に保持する。このと
き記憶領域に不揮発記憶領域を使用すれば、ストレージ
サブシステムの電源が切断された場合でも情報を保持す
ることができる。また、初期値を0又は1としてテーブル
を作成しておくことにより、テーブル作成を簡略化する
ことができる。
【0053】次に、ホストからのログインの手順につい
て詳細に説明する。本手順ではPLOGIに伴う情報から、
ホストのN_Port_NameとホストのS_IDを結び付ける処理
を行う。
て詳細に説明する。本手順ではPLOGIに伴う情報から、
ホストのN_Port_NameとホストのS_IDを結び付ける処理
を行う。
【0054】まず、図16の手順1602に示すように、ホス
トからのログイン手続きとして、PLOGIフレームが送信
される。手順1603においてストレージサブシステムで
は、PLOGIフレームのヘッダから、ホストのS_IDを取得
する。また同時に、手順1604において、PLOGIフレーム
のデータ領域から、ホストのN_Port_Nameを取得する。
手順1605において、この2つの値を結び付け、図17に示
すような関連テーブルを作成する。PLOGIはホストのポ
ートと、ストレージサブシステム上のポートとの間で交
わされるログインであるので、本テーブルもストレージ
サブシステムのポート毎に作成されることになる。
トからのログイン手続きとして、PLOGIフレームが送信
される。手順1603においてストレージサブシステムで
は、PLOGIフレームのヘッダから、ホストのS_IDを取得
する。また同時に、手順1604において、PLOGIフレーム
のデータ領域から、ホストのN_Port_Nameを取得する。
手順1605において、この2つの値を結び付け、図17に示
すような関連テーブルを作成する。PLOGIはホストのポ
ートと、ストレージサブシステム上のポートとの間で交
わされるログインであるので、本テーブルもストレージ
サブシステムのポート毎に作成されることになる。
【0055】手順1606でテーブルを更新することによっ
て、本テーブルを用いて、S_ID1701が与えられれば該当
するN_Port_Name1702を得ることが可能となる。本テー
ブルも、ストレージサブシステム内の記憶領域に保持さ
れることは図14で示したテーブルと同様である。ホスト
に対しては、手順1607でPLOGIに対する応答としてACCと
呼ばれるフレームを送信し、ホストにログインが受理さ
れたことを通知する。ACCフレームを受信したホスト
は、以降当該ポートに対してのInquiry等を発行するこ
とができるようになる。
て、本テーブルを用いて、S_ID1701が与えられれば該当
するN_Port_Name1702を得ることが可能となる。本テー
ブルも、ストレージサブシステム内の記憶領域に保持さ
れることは図14で示したテーブルと同様である。ホスト
に対しては、手順1607でPLOGIに対する応答としてACCと
呼ばれるフレームを送信し、ホストにログインが受理さ
れたことを通知する。ACCフレームを受信したホスト
は、以降当該ポートに対してのInquiry等を発行するこ
とができるようになる。
【0056】次に、ホストからのInquiryコマンドの送
信と、それに伴うセキュリティの応答について図18を用
いて詳細に説明する。Inquiryコマンドは、FCP_CMNDと
呼ばれる情報単位を含むフレームとしてホストからスト
レージサブシステムへ送信される。手順1802でホストか
らのデータフィールド内のFCP_CMNDフレームを受信した
ストレージサブシステムは、手順1803でFCP_CMNDフレー
ムの内容を解析する。FCP_CMNDがInquiryコマンドでな
い場合は、それぞれに応じた処理1805に分岐する。FCP_
CMNDがInquiryコマンドであった場合は、手順1806に遷
移し、当該フレームからS_IDを切り出す。また、同時に
手順1807にてFCP_LUNからInquiryが対象としているLUN
を取り出す。
信と、それに伴うセキュリティの応答について図18を用
いて詳細に説明する。Inquiryコマンドは、FCP_CMNDと
呼ばれる情報単位を含むフレームとしてホストからスト
レージサブシステムへ送信される。手順1802でホストか
らのデータフィールド内のFCP_CMNDフレームを受信した
ストレージサブシステムは、手順1803でFCP_CMNDフレー
ムの内容を解析する。FCP_CMNDがInquiryコマンドでな
い場合は、それぞれに応じた処理1805に分岐する。FCP_
CMNDがInquiryコマンドであった場合は、手順1806に遷
移し、当該フレームからS_IDを切り出す。また、同時に
手順1807にてFCP_LUNからInquiryが対象としているLUN
を取り出す。
【0057】次に、手順1808に移り、フレームから切り
出したS_IDから、図17で示したテーブルを用いてN_Port
_Nameを求める。さらに、求めたN_Port_Nameについて、
図14で示したテーブルより、Inquiryコマンドが対象と
しているLUNについて、セキュリティを示したビットの
状態を取得する。この時ホストから得られたS_IDが、FF
FF01であり、Inquiryの要求するLUNが0であったとす
る。まず手順1808にて、図17に示すテーブルよりS_IDFF
FF01 1703に対応するN_Port_Name "01234567 89ABCDEF"
1706 を取得した後、手順1809に移り図14に示したテー
ブルよりN_Port_Name"01234567 89ABCDEF" 1409 に対す
るLUN 0 1404のセキュリティ "1" を得る。
出したS_IDから、図17で示したテーブルを用いてN_Port
_Nameを求める。さらに、求めたN_Port_Nameについて、
図14で示したテーブルより、Inquiryコマンドが対象と
しているLUNについて、セキュリティを示したビットの
状態を取得する。この時ホストから得られたS_IDが、FF
FF01であり、Inquiryの要求するLUNが0であったとす
る。まず手順1808にて、図17に示すテーブルよりS_IDFF
FF01 1703に対応するN_Port_Name "01234567 89ABCDEF"
1706 を取得した後、手順1809に移り図14に示したテー
ブルよりN_Port_Name"01234567 89ABCDEF" 1409 に対す
るLUN 0 1404のセキュリティ "1" を得る。
【0058】セキュリティ "1" は本実施例ではアクセ
ス許可を意味するので、手順1811に分岐し、ホストへ報
告するInquiryデータとして、クオリファイアに000(2
進)、デバイスタイプに当該デバイスに対応するコード
をセットする。例えばストレージサブシステムがハード
ディスクアレイサブシステムである場合は、デバイスタ
イプは00(16進)となる。ついでInquiryデータを格納
したフレームを作成し、手順1813でホストに対して送信
をおこなう。さらに手順1814にて、返信が終了したこと
を示すFCP_RSPと呼ばれるフレームをホストに対して送
信する。
ス許可を意味するので、手順1811に分岐し、ホストへ報
告するInquiryデータとして、クオリファイアに000(2
進)、デバイスタイプに当該デバイスに対応するコード
をセットする。例えばストレージサブシステムがハード
ディスクアレイサブシステムである場合は、デバイスタ
イプは00(16進)となる。ついでInquiryデータを格納
したフレームを作成し、手順1813でホストに対して送信
をおこなう。さらに手順1814にて、返信が終了したこと
を示すFCP_RSPと呼ばれるフレームをホストに対して送
信する。
【0059】この一連の返信データを受け取ったホスト
は、Inquiryの結果として当該LUN=0のLUに対してアクセ
スができることを検知したことになるため、以降は次回
のInquiryコマンドを受け付けるまで、当該LUに対して
セキュリティのチェックを行う必要なくアクセスを行う
ことが可能となる。
は、Inquiryの結果として当該LUN=0のLUに対してアクセ
スができることを検知したことになるため、以降は次回
のInquiryコマンドを受け付けるまで、当該LUに対して
セキュリティのチェックを行う必要なくアクセスを行う
ことが可能となる。
【0060】次にアクセスを拒否する場合を説明する。
Inquiryコマンドの送信によりホストから得られたS_ID
がFFFF01であり、Inquiryの要求するLUNが1であったと
する。手順1808において、図17に示す関連テーブルより
S_IDFFFF011703に対応するN_Port_Name "01234567 89AB
CDEF" 1706を取得した後、図14に示すアクセス可否テー
ブルよりN_Port_Name "01234567 89ABCDEF" 1409に対す
るLUN 1 1405のセキュリティ "0" を得る。
Inquiryコマンドの送信によりホストから得られたS_ID
がFFFF01であり、Inquiryの要求するLUNが1であったと
する。手順1808において、図17に示す関連テーブルより
S_IDFFFF011703に対応するN_Port_Name "01234567 89AB
CDEF" 1706を取得した後、図14に示すアクセス可否テー
ブルよりN_Port_Name "01234567 89ABCDEF" 1409に対す
るLUN 1 1405のセキュリティ "0" を得る。
【0061】セキュリティ "0" は本実施例ではアクセ
ス拒否を意味するので、手順1812へ分岐し、ホストへ報
告するInquiryデータとして、クオイファイアに001(2
進)又は011(2進)、デバイス・タイプ・コードに1F
(16進)をセットしたInquiryデータを作成する。このI
nquiryデータを受信し、ついでFCP_RSPを受信したホス
トは、Inquiryの結果として当該LUN=1のLUが未実装であ
るという情報を得る。したがって、以降ホストは当該LU
が実装されていないと判断するのでアクセス要求をする
ことはなくなる。
ス拒否を意味するので、手順1812へ分岐し、ホストへ報
告するInquiryデータとして、クオイファイアに001(2
進)又は011(2進)、デバイス・タイプ・コードに1F
(16進)をセットしたInquiryデータを作成する。このI
nquiryデータを受信し、ついでFCP_RSPを受信したホス
トは、Inquiryの結果として当該LUN=1のLUが未実装であ
るという情報を得る。したがって、以降ホストは当該LU
が実装されていないと判断するのでアクセス要求をする
ことはなくなる。
【0062】以上のようにして、N_Port_Name、S_ID、L
UNを用いたテーブルを保持することで、ストレージサブ
システム側のポート毎に、ホストの各ポートに対しての
各LUNへのアクセスについてのセキュリティを、ログイ
ン及びInquiryの際に判断することで、効率よく行うこ
とができる。
UNを用いたテーブルを保持することで、ストレージサブ
システム側のポート毎に、ホストの各ポートに対しての
各LUNへのアクセスについてのセキュリティを、ログイ
ン及びInquiryの際に判断することで、効率よく行うこ
とができる。
【0063】
【発明の効果】本発明によって、上位装置から特定LUN
に対するアクセスを、予め設定してあるN_Port_Name或
いはNode_NameとLUNとのアクセス可否テーブル、PLOGI
の際に判明するN_Port_Name或いはNode_NameとS_IDとの
関係を用いて作成した関連テーブルの双方のテーブルを
用いることによって、上位装置或いは上位装置のポート
からのLUへの状態問い合わせがあった時点でアクセス可
否を決定し返答することができるため、ストレージサブ
システムへのアクセス制限を、LUN単位で、しかも初回
のみの判定プロセスで行うことができ、ファイバチャネ
ル及びSCSIの規格上最も分解能の高いセキュリティを、
高いパフォーマンスで確保することができる。
に対するアクセスを、予め設定してあるN_Port_Name或
いはNode_NameとLUNとのアクセス可否テーブル、PLOGI
の際に判明するN_Port_Name或いはNode_NameとS_IDとの
関係を用いて作成した関連テーブルの双方のテーブルを
用いることによって、上位装置或いは上位装置のポート
からのLUへの状態問い合わせがあった時点でアクセス可
否を決定し返答することができるため、ストレージサブ
システムへのアクセス制限を、LUN単位で、しかも初回
のみの判定プロセスで行うことができ、ファイバチャネ
ル及びSCSIの規格上最も分解能の高いセキュリティを、
高いパフォーマンスで確保することができる。
【図1】ファイバチャネルプロトコルにおけるフレーム
の構造図である。
の構造図である。
【図2】フレームヘッダの構造図である。
【図3】PLOGIフレームの構造図である。
【図4】PLOGIが受諾されるシーケンス図である。
【図5】PLOGIが拒否されるシーケンス図である。
【図6】SCSIのInquiryコマンドを含むフレームの構造
図である。
図である。
【図7】Inquiryデータの構造図である。
【図8】Inquiryデータ中クオリファイアの内容定義図
である。
である。
【図9】Inquiryデータ中デバイス・タイプ・コードの
内容定義図である。
内容定義図である。
【図10】InquiryデータにLU通常状態が設定される場
合のシーケンス図である。
合のシーケンス図である。
【図11】InquiryデータにLU未定義状態が設定される
場合のシーケンス図である。
場合のシーケンス図である。
【図12】ストレージサブシステムの構成図である。
【図13】全体シーケンスのフローチャートである。
【図14】N_Port_Nameに対するLUアクセス可否の定義
テーブルである。
テーブルである。
【図15】LUアクセス可否定義テーブルの設定フローチ
ャートである。
ャートである。
【図16】PLOGI処理のフローチャートである。
【図17】ホストN_Port_NameとS_IDを関連付けるテー
ブルである。
ブルである。
【図18】Inquiryコマンド処理のフローチャートであ
る。
る。
101…フレーム、102…SOF(Start of Frame)、103…フ
レームヘッダ、104…データフィールド、105…CRC、106
…EOF(End of Frame)、201…フレーム、202…フレー
ムヘッダ、203…フレームヘッダ詳細、204…S_ID、301
…フレーム、302…フレームヘッダ、303…データフィー
ルド、304…フレームヘッダ詳細、305…データフィール
ド詳細、306…S_ID、307…N_Port_Name、308…Node_Nam
e、401…ログイン要求元の動作、402…ログイン受信先
の動作、403…PLOGIフレームの内容、404…ACCフレー
ム、501…ログイン要求元の動作、502…ログイン受信先
の動作、503…PLOGIフレームの内容、504…LS_RJTフレ
ーム、601…フレーム、602…フレームヘッダ、603…デ
ータフィールド、604…フレームヘッダ詳細、605…S_I
D、606…データフィールド詳細(FCP_CMND)、607…FCP
_LUN、608…FCP_CNTL、609…FCP_CDB(Inquiry)、610
…FCP_DL、701…Inquiryデータ抜粋、702…クオリファ
イア、703…デバイス・タイプ・コード、801…クオリフ
ァイアの定義、802…000(2進)、803…001(2進)、80
4…011(2進)、901…デバイス・タイプ・コード(16
進)、902…デバイス・タイプ、903…1F(16進)、904
未定義又は未接続のデバイス、1001…上位装置(ホス
ト)のInquiry処理シーケンス、1002…ストレージサブ
システムのInquiry処理シーケンス、1003…Inquiryを含
むフレーム(FCP_CMND)に格納される情報、1004…デバイ
ス通常状態を通知するInquiryデータ、1101…上位装置
(ホスト)のInquiry処理シーケンス、1102…ストレー
ジサブシステムのInquiry処理シーケンス、1103…Inqui
ryを含むフレーム(FCP_CMND)に格納される情報、1104…
デバイス未定義状態を通知するInquiryデータ、1201…
ストレージサブシステム、1202…ストレージサブシステ
ムのファイバチャネルポート、1203…上位装置(ホス
ト)、1204…ホストとストレージサブシステムを接続す
るファイバチャネルプロトコル、1205…ホストのファイ
バチャネルポート、1206…中央演算装置、1207…不揮発
メモリ、1208…デバイスドライブ制御部、1209…バス、
1210…LU(論理ユニット)、1211…通信制御部、1212…
通信回線、1213…保守用装置、1214…通信制御部、1215
…中央演算装置、1216…入力手段、1217…表示手段、13
01…全体手順1、1302…全体手順2、1303…全体手順3、1
304…全体手順4、1305…全体手順5、1306…全体手順6、
1307…全体手順7、1401…N_Port_Nameに対するLUアクセ
ス可否定義テーブル、1402…LUN、1403…N_Port_Name、
1404…LUN 0のLUに対する定義、1405…LUN1のLUに対す
る定義、1406…LUN 2のLUに対する定義、1407…LUN n-1
のLUに対する定義、1408…LUN nのLUに対する定義、140
9,1410,1411…N_Port_Name、1601…PLOGI処理フロー
チャート開始、1602…PLOGI処理手順1、1603…PLOGI処
理手順2、1604…PLOGI処理手順3、1605…PLOGI処理手順
4、1606…PLOGI処理手順5、1607…PLOGI処理手順6、170
1…S_ID、1702…N_Port_Name、1703,1704,1705…S_I
D、1706,1707,1708…N_Port_Name、1801…Inquiry処
理フローチャート開始、1802…Inquiry処理手順1、1803
…Inquiry処理手順2、1804…Inquiry処理手順3、1805…
Inquiry処理手順4、1806…Inquiry処理手順5、1807…In
quiry処理手順6、1808…Inquiry処理手順7、1809…Inqu
iry処理手順8、1810…Inquiry処理手順9、1811…Inquir
y処理手順10、1812…Inquiry処理手順11、1813…Inquir
y処理手順12、1814…Inquiry処理手順13。
レームヘッダ、104…データフィールド、105…CRC、106
…EOF(End of Frame)、201…フレーム、202…フレー
ムヘッダ、203…フレームヘッダ詳細、204…S_ID、301
…フレーム、302…フレームヘッダ、303…データフィー
ルド、304…フレームヘッダ詳細、305…データフィール
ド詳細、306…S_ID、307…N_Port_Name、308…Node_Nam
e、401…ログイン要求元の動作、402…ログイン受信先
の動作、403…PLOGIフレームの内容、404…ACCフレー
ム、501…ログイン要求元の動作、502…ログイン受信先
の動作、503…PLOGIフレームの内容、504…LS_RJTフレ
ーム、601…フレーム、602…フレームヘッダ、603…デ
ータフィールド、604…フレームヘッダ詳細、605…S_I
D、606…データフィールド詳細(FCP_CMND)、607…FCP
_LUN、608…FCP_CNTL、609…FCP_CDB(Inquiry)、610
…FCP_DL、701…Inquiryデータ抜粋、702…クオリファ
イア、703…デバイス・タイプ・コード、801…クオリフ
ァイアの定義、802…000(2進)、803…001(2進)、80
4…011(2進)、901…デバイス・タイプ・コード(16
進)、902…デバイス・タイプ、903…1F(16進)、904
未定義又は未接続のデバイス、1001…上位装置(ホス
ト)のInquiry処理シーケンス、1002…ストレージサブ
システムのInquiry処理シーケンス、1003…Inquiryを含
むフレーム(FCP_CMND)に格納される情報、1004…デバイ
ス通常状態を通知するInquiryデータ、1101…上位装置
(ホスト)のInquiry処理シーケンス、1102…ストレー
ジサブシステムのInquiry処理シーケンス、1103…Inqui
ryを含むフレーム(FCP_CMND)に格納される情報、1104…
デバイス未定義状態を通知するInquiryデータ、1201…
ストレージサブシステム、1202…ストレージサブシステ
ムのファイバチャネルポート、1203…上位装置(ホス
ト)、1204…ホストとストレージサブシステムを接続す
るファイバチャネルプロトコル、1205…ホストのファイ
バチャネルポート、1206…中央演算装置、1207…不揮発
メモリ、1208…デバイスドライブ制御部、1209…バス、
1210…LU(論理ユニット)、1211…通信制御部、1212…
通信回線、1213…保守用装置、1214…通信制御部、1215
…中央演算装置、1216…入力手段、1217…表示手段、13
01…全体手順1、1302…全体手順2、1303…全体手順3、1
304…全体手順4、1305…全体手順5、1306…全体手順6、
1307…全体手順7、1401…N_Port_Nameに対するLUアクセ
ス可否定義テーブル、1402…LUN、1403…N_Port_Name、
1404…LUN 0のLUに対する定義、1405…LUN1のLUに対す
る定義、1406…LUN 2のLUに対する定義、1407…LUN n-1
のLUに対する定義、1408…LUN nのLUに対する定義、140
9,1410,1411…N_Port_Name、1601…PLOGI処理フロー
チャート開始、1602…PLOGI処理手順1、1603…PLOGI処
理手順2、1604…PLOGI処理手順3、1605…PLOGI処理手順
4、1606…PLOGI処理手順5、1607…PLOGI処理手順6、170
1…S_ID、1702…N_Port_Name、1703,1704,1705…S_I
D、1706,1707,1708…N_Port_Name、1801…Inquiry処
理フローチャート開始、1802…Inquiry処理手順1、1803
…Inquiry処理手順2、1804…Inquiry処理手順3、1805…
Inquiry処理手順4、1806…Inquiry処理手順5、1807…In
quiry処理手順6、1808…Inquiry処理手順7、1809…Inqu
iry処理手順8、1810…Inquiry処理手順9、1811…Inquir
y処理手順10、1812…Inquiry処理手順11、1813…Inquir
y処理手順12、1814…Inquiry処理手順13。
Claims (5)
- 【請求項1】情報を記憶するドライブデバイスと、この
ドライブデバイスに情報を書き込み或いはこのドライブ
デバイスからの情報の読み込みを制御するデバイスドラ
イブ制御部と、上位装置からのコマンドを受信するファ
イバチャネルインタフェースを持つポートと、前記コマ
ンドに基づき前記デバイスドライブ制御部を制御して処
理を行う演算装置とを備えたストレージサブシステムに
おいて、 前記上位装置或いは上位装置のポートを識別する識別手
段と前記ドライブデバイス内の特定の記憶領域とを関連
付け前記上位装置から前記記憶領域に対するアクセス可
否を定義したアクセス可否テーブルを設定するアクセス
可否テーブル設定手段と、このアクセス可否テーブルを
保持する保持手段とを備え、 前記演算装置は、前記上位装置からストレージサブシス
テムへの通信要求を受け付けた際にこの通信要求内の前
記識別手段とフレームを送信するポートを識別するアド
レス識別子とを関連付けた関連テーブルを設定し、この
関連テーブルとドライブデバイスの実装状態を問い合わ
せるコマンドの前記アドレス識別子とから前記識別手段
を割り出し、この識別手段と前記アクセス可否テーブル
とから上位装置のアクセス可否を判断するストレージサ
ブシステム。 - 【請求項2】前記演算装置は上位装置のアクセスを否と
判断した場合には記憶領域が実装されていないという情
報を上位装置に送信する請求項1に記載のストレージサ
ブシステム。 - 【請求項3】情報を記憶するドライブデバイスと、この
ドライブデバイスに情報を書き込み或いはこのドライブ
デバイスからの情報の読み込みを制御するデバイスドラ
イブ制御部と、上位装置からのコマンドを受信するファ
イバチャネルインタフェースを持つポートと、前記コマ
ンドに基づき前記デバイスドライブ制御部を制御して処
理を行う演算装置とを備えたストレージサブシステムに
おいて、 前記上位装置からストレージサブシステムへの通信要求
を受け付けた際にこの通信要求内の前記識別手段とフレ
ームを送信するポートを識別するアドレス識別子とを関
連付けた関連テーブルを設定する関連テーブル設定手段
と、この関連テーブル及び前記上位装置或いは前記上位
装置のポートを識別する識別手段と前記ドライブデバイ
ス内の特定の記憶領域とを関連付け前記上位装置から前
記記憶領域に対するアクセス可否を定義したアクセス可
否テーブルとを保持する保持手段と、ドライブデバイス
の実装状態を問い合わせるコマンドの前記アドレス識別
子と前記関連テーブルとから割り出した前記識別子と前
記アクセス可否テーブルとから上位装置のアクセス可否
を判断する判断手段とを備えたストレージサブシステ
ム。 - 【請求項4】前記アクセス可否テーブルは前記ポート毎
に作成する請求項1乃至3の何れか1項に記載のストレ
ージサブシステム。 - 【請求項5】前記上位装置或いは上位装置のポートを識
別する識別手段とドライブデバイス内の特定の記憶領域
とを関連付けこの記憶領域に対する上位装置のアクセス
可否テーブルを作成・保持し、 前記上位装置からストレージサブシステムへの通信要求
を受け付けた際に前記識別手段とフレームを送信するポ
ートを識別するアドレス識別子とを関連付けた関連テー
ブルを作成・保持し、 この関連テーブルを用いてドライブデバイスの実装状態
を問い合わせるコマンドの前記アドレス識別子から前記
識別手段を割り出し、 割り出した識別手段と前記アクセス可否テーブルとを比
較して前記上位装置のアクセス可否を判断するストレー
ジサブシステムのアクセス方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP08539399A JP3744248B2 (ja) | 1999-03-29 | 1999-03-29 | ファイバチャネル接続ストレージサブシステム及びそのアクセス方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP08539399A JP3744248B2 (ja) | 1999-03-29 | 1999-03-29 | ファイバチャネル接続ストレージサブシステム及びそのアクセス方法 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005294275A Division JP4315142B2 (ja) | 2005-10-07 | 2005-10-07 | ストレージシステム及びストレージシステムのアクセス方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2000276406A true JP2000276406A (ja) | 2000-10-06 |
| JP3744248B2 JP3744248B2 (ja) | 2006-02-08 |
Family
ID=13857536
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP08539399A Expired - Fee Related JP3744248B2 (ja) | 1999-03-29 | 1999-03-29 | ファイバチャネル接続ストレージサブシステム及びそのアクセス方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3744248B2 (ja) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002312127A (ja) * | 2001-04-10 | 2002-10-25 | Hitachi Ltd | 記憶制御装置及びコンピュータシステム |
| JP2003503790A (ja) * | 1999-06-30 | 2003-01-28 | イーエムシー コーポレーション | 記憶ネットワーク上においてネットワーク・デバイスを識別する方法および装置 |
| EP1357465A2 (en) | 2002-04-26 | 2003-10-29 | Hitachi, Ltd. | Storage system having virtualized resource |
| US7051167B2 (en) | 2001-07-13 | 2006-05-23 | Hitachi, Ltd. | Security for logical unit in storage subsystem |
| US7111138B2 (en) | 2003-09-16 | 2006-09-19 | Hitachi, Ltd. | Storage system and storage control device |
| US7165157B2 (en) | 2002-02-20 | 2007-01-16 | Hitachi, Ltd. | Method of performing active data copying processing, and storage subsystem and storage control apparatus for performing active data copying processing |
| US7216209B2 (en) | 2003-12-15 | 2007-05-08 | Hitachi, Ltd. | Data processing system having a plurality of storage systems |
| WO2007081007A1 (ja) * | 2006-01-13 | 2007-07-19 | Nec Soft, Ltd. | コンピュータシステム、アクセス制限方法、及び、プログラム |
| US7386622B2 (en) | 2003-10-01 | 2008-06-10 | Hitachi, Ltd. | Network converter and information processing system |
| US7437424B2 (en) | 2001-03-28 | 2008-10-14 | Hitachi, Ltd. | Storage system |
| JP2008276806A (ja) * | 2008-08-05 | 2008-11-13 | Hitachi Ltd | 記憶装置 |
| US7454795B2 (en) | 2003-10-30 | 2008-11-18 | Hitachi, Ltd. | Disk control unit |
| US7716417B2 (en) | 2006-07-24 | 2010-05-11 | Hitachi, Ltd. | Method and system for controlling access to tape media from a plurality of virtual computers |
| US8001349B2 (en) | 2006-10-31 | 2011-08-16 | Hitachi, Ltd. | Access control method for a storage system |
| JP2012516475A (ja) * | 2009-05-26 | 2012-07-19 | 株式会社日立製作所 | ストレージ装置、及びストレージ装置の制御方法 |
| US9047122B2 (en) | 2013-04-02 | 2015-06-02 | Hitachi, Ltd. | Integrating server and storage via integrated tenant in vertically integrated computer system |
| JP7471614B2 (ja) | 2021-12-05 | 2024-04-22 | ▲しゃーん▼碼科技股▲ふん▼有限公司 | 記憶装置の許可管理を行うエレクトロニクス装置及び方法 |
-
1999
- 1999-03-29 JP JP08539399A patent/JP3744248B2/ja not_active Expired - Fee Related
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003503790A (ja) * | 1999-06-30 | 2003-01-28 | イーエムシー コーポレーション | 記憶ネットワーク上においてネットワーク・デバイスを識別する方法および装置 |
| US7437424B2 (en) | 2001-03-28 | 2008-10-14 | Hitachi, Ltd. | Storage system |
| JP2002312127A (ja) * | 2001-04-10 | 2002-10-25 | Hitachi Ltd | 記憶制御装置及びコンピュータシステム |
| US7051167B2 (en) | 2001-07-13 | 2006-05-23 | Hitachi, Ltd. | Security for logical unit in storage subsystem |
| US7082503B2 (en) | 2001-07-13 | 2006-07-25 | Hitachi, Ltd. | Security for logical unit in storage system |
| US7447859B2 (en) | 2002-02-20 | 2008-11-04 | Hitachi, Ltd. | Method of performing active data copying processing, and storage subsystem and storage control apparatus for performing active data copying processing |
| US7165157B2 (en) | 2002-02-20 | 2007-01-16 | Hitachi, Ltd. | Method of performing active data copying processing, and storage subsystem and storage control apparatus for performing active data copying processing |
| US7222172B2 (en) | 2002-04-26 | 2007-05-22 | Hitachi, Ltd. | Storage system having virtualized resource |
| US7469289B2 (en) | 2002-04-26 | 2008-12-23 | Hitachi, Ltd. | Storage system having virtualized resource |
| EP1357465A2 (en) | 2002-04-26 | 2003-10-29 | Hitachi, Ltd. | Storage system having virtualized resource |
| CN100430914C (zh) * | 2002-04-26 | 2008-11-05 | 株式会社日立制作所 | 拥有虚拟资源的存储系统 |
| US7111138B2 (en) | 2003-09-16 | 2006-09-19 | Hitachi, Ltd. | Storage system and storage control device |
| US7386622B2 (en) | 2003-10-01 | 2008-06-10 | Hitachi, Ltd. | Network converter and information processing system |
| US7454795B2 (en) | 2003-10-30 | 2008-11-18 | Hitachi, Ltd. | Disk control unit |
| US8006310B2 (en) | 2003-10-30 | 2011-08-23 | Hitachi, Ltd. | Disk control unit |
| US7457929B2 (en) | 2003-12-15 | 2008-11-25 | Hitachi, Ltd. | Data processing system having a plurality of storage systems |
| US7827369B2 (en) | 2003-12-15 | 2010-11-02 | Hitachi, Ltd. | Data processing system having a plurality of storage systems |
| US7930500B2 (en) | 2003-12-15 | 2011-04-19 | Hitachi, Ltd. | Data processing system having a plurality of storage systems |
| US7216209B2 (en) | 2003-12-15 | 2007-05-08 | Hitachi, Ltd. | Data processing system having a plurality of storage systems |
| US8489835B2 (en) | 2003-12-15 | 2013-07-16 | Hitachi, Ltd. | Data processing system having a plurality of storage systems |
| WO2007081007A1 (ja) * | 2006-01-13 | 2007-07-19 | Nec Soft, Ltd. | コンピュータシステム、アクセス制限方法、及び、プログラム |
| US7716417B2 (en) | 2006-07-24 | 2010-05-11 | Hitachi, Ltd. | Method and system for controlling access to tape media from a plurality of virtual computers |
| US8001349B2 (en) | 2006-10-31 | 2011-08-16 | Hitachi, Ltd. | Access control method for a storage system |
| JP2008276806A (ja) * | 2008-08-05 | 2008-11-13 | Hitachi Ltd | 記憶装置 |
| JP2012516475A (ja) * | 2009-05-26 | 2012-07-19 | 株式会社日立製作所 | ストレージ装置、及びストレージ装置の制御方法 |
| US9047122B2 (en) | 2013-04-02 | 2015-06-02 | Hitachi, Ltd. | Integrating server and storage via integrated tenant in vertically integrated computer system |
| JP7471614B2 (ja) | 2021-12-05 | 2024-04-22 | ▲しゃーん▼碼科技股▲ふん▼有限公司 | 記憶装置の許可管理を行うエレクトロニクス装置及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3744248B2 (ja) | 2006-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4651230B2 (ja) | 記憶システム及び論理ユニットへのアクセス制御方法 | |
| US8700587B2 (en) | Security method and system for storage subsystem | |
| US7454795B2 (en) | Disk control unit | |
| JP3993773B2 (ja) | ストレージサブシステム、記憶制御装置及びデータコピー方法 | |
| US7260636B2 (en) | Method and apparatus for preventing unauthorized access by a network device | |
| JP4719957B2 (ja) | 記憶制御装置及び記憶システム並びに記憶システムのセキュリティ設定方法 | |
| US7908459B2 (en) | Security for logical unit in storage subsystem | |
| JP4512179B2 (ja) | ストレージ装置及びそのアクセス管理方法 | |
| JP3744248B2 (ja) | ファイバチャネル接続ストレージサブシステム及びそのアクセス方法 | |
| US20070079092A1 (en) | System and method for limiting access to a storage device | |
| JP4598248B2 (ja) | 記憶サブシステムのセキュリティシステム | |
| JP4315142B2 (ja) | ストレージシステム及びストレージシステムのアクセス方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050728 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050809 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051007 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051101 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051114 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091202 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101202 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111202 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111202 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121202 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131202 Year of fee payment: 8 |
|
| LAPS | Cancellation because of no payment of annual fees |