JP2001060183A - 記憶装置及びホスト装置 - Google Patents

記憶装置及びホスト装置

Info

Publication number
JP2001060183A
JP2001060183A JP11236513A JP23651399A JP2001060183A JP 2001060183 A JP2001060183 A JP 2001060183A JP 11236513 A JP11236513 A JP 11236513A JP 23651399 A JP23651399 A JP 23651399A JP 2001060183 A JP2001060183 A JP 2001060183A
Authority
JP
Japan
Prior art keywords
authentication
information
identification information
storage device
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP11236513A
Other languages
English (en)
Inventor
Kiyoshi Honda
聖志 本田
Soichi Isono
聡一 磯野
Masatoshi Ichikawa
正敏 市川
Osamu Kunisaki
修 国崎
Eisaku Saiki
栄作 齊木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP11236513A priority Critical patent/JP2001060183A/ja
Publication of JP2001060183A publication Critical patent/JP2001060183A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】装置識別情報を用いた要求では論理的な接続
(認証)が許可されないホスト装置からでも記憶装置と
論理的な接続を実現できる様にする。 【解決手段】記憶装置(ノード1_2_n)は、このホ
スト装置からの任意識別情報と、予め保持していた任意
識別情報とを比較し、両者が一致した場合に認証を許可
する応答(ACC)を生成し、ホスト装置に対して送信
する(ステップ209)。ホスト装置はこの応答(AC
C)を確認して認証が許可されたことを検出する(ステ
ップ210)ことにより、スト装置の追加・変更に柔軟
に対応可能となり、可用性を向上できる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、記憶装置およびホ
スト装置に関し、更に詳しくは、可用性を向上すると共
に高度にセキュリティを管理可能とした記憶装置および
ホスト装置に関する。
【0002】
【従来の技術】ハードディスク装置等の記憶装置は、S
CSI(Small Computer System
Interface)やFC−AL(Fibre Ch
annel Arbitrated Loop)等のイン
タフェースを備え、当該インタフェースを介して、ホス
トコンピュータ等のホスト装置(上位システム)と物理
的に接続される。
【0003】SCSIインタフェースにおいて、記憶装
置とホスト装置とは装置毎に割当てられるインタフェー
ス上のアドレス情報であるSCSI IDを用いて管理
される。しかし、上記アドレス情報は、装置に固有の装
置識別情報とはいえない。即ち、SCSIインタフェー
スは、特定のホスト装置のみアクセスを許可するという
論理的な接続(認証)制御について十分考慮されたもの
ではない。
【0004】そこで、上記SCSI等の論理的な接続
(認証)制御に関する規定の無いインタフェースを具備
する記憶装置を複数のホスト装置で共有する場合、前記
複数のホスト装置から前記記憶装置に対するアクセス要
求を制御(許可/拒否)する新たなホスト装置が必要で
あり、当該ホスト装置を介し、前記記憶装置に対する前
記複数のホスト装置からのアクセス要求が処理される。
【0005】即ち、前記記憶装置に対するアクセス制御
を司るホスト装置と他の複数のホスト装置との間での論
理的な接続(認証)制御に基づき、前記複数のホスト装
置による前記記憶装置の共有制御を実現している。
【0006】他方、FC−ALインタフェースにおいて
は、記憶装置とホスト装置の論理的な接続制御として、
装置毎に固有の装置識別情報であるポートネーム、ノー
ドネームを用いた認証処理(ポートログイン処理など)
が規定されている。
【0007】即ち、ホスト装置は、少なくとも自身に固
有な装置識別情報(ポートネーム、ノードネーム)を付
加した認証要求を記憶装置に対して送信する。記憶装置
は、認証を許可するホスト装置の装置識別情報等を予め
保持しており、前記ホスト装置からの認証要求を受けた
記憶装置は、受信した認証要求に付加されている装置識
別情報が予め保持されている装置識別情報に一致するか
否かを検索し、一致した場合には認証を許可する応答を
生成し、前記ホスト装置に送信する。また、一致しない
場合には、認証を拒否する応答を生成し、前記ホスト装
置に送信する。前記ホスト装置は、前記記憶装置から送
信された応答が認証を許可する応答である場合にのみ、
以降の前記記憶装置へのアクセスが可能となる。
【0008】
【発明が解決しようとする課題】上記のように、FC−
ALインタフェース等の認証処理を実現する装置におい
ては、認証を許可する対象の装置の識別情報を予め設定
しておく必要がある。
【0009】しかし、不特定多数のホスト装置との接続
が予想されるハードディスク装置等の記憶装置におい
て、出荷時に予め前記認証許可対象装置の識別情報を設
定しておくことは現実的ではない。
【0010】そこで、前記記憶装置においては、出荷後
(ユーザによる)前記認証許可対象装置の識別情報の設
定作業を実現する必要が有るが、上記従来技術において
は、当該装置識別情報の更新手順等に関して十分考慮さ
れているとはいえない。
【0011】また、上記のように、従来の記憶装置とホ
スト装置の論理的な接続では、装置に固有の装置識別情
報を用いているため、装置識別情報を予め設定しておく
必要があり、装置に固有の装置識別情報のみを用いるこ
とによる、装置の追加・変更に柔軟に対応できないとい
う問題点がある。
【0012】特に、FC−ALにおいては、接続可能な
装置数が非常に多く、前記論理的な接続を許可する装置
の追加・変更の管理が困難であり(特にパブリックルー
プでは困難)、従って装置識別情報の設定の追加・変更
が大きな負担となる。また、前記ログイン管理テーブル
のサイズの物理的制約により、設定できる装置識別情報
数にも制約があり、従って論理的に接続できるホスト装
置数も事実上制限される。
【0013】更に、上記従来技術では、論理的な接続を
許可したホスト装置は記憶装置に対して常にリード/ラ
イト可能となるため、高度にセキュリティを管理できな
い問題がある。
【0014】そこで、本発明の第1の目的は、装置の追
加・変更に柔軟に対応可能とし、可用性を向上した記憶
装置およびホスト装置を提供することにある。
【0015】また、本発明の第2の目的は、高度にセキ
ュリティを管理可能とした記憶装置およびホスト装置を
提供することにある。
【0016】
【課題を解決するための手段】第1の観点では、本発明
は、論理的な接続(認証)を許可したホスト装置に対し
てのみアクセスを許可する記憶装置であって、ホスト装
置毎に固有の装置識別情報とホスト装置に依存しない任
意識別情報とを保持する管理情報保持手段と、前記任意
識別情報あるいは前記任意識別情報と前記装置識別情報
との任意の組み合わせと前記ホスト装置からの認証要求
情報とを用いて認証処理を行うアクセス制御手段とを具
備したことを特徴とする記憶装置を提供する。
【0017】上記第1の観点による記憶装置では、ホス
ト装置に依存しない任意識別情報を用いて認証処理を行
う。これにより、認証を許可するホスト装置の追加・変
更毎に管理情報保持手段が保持している装置識別情報を
追加・変更する必要が無くなるため、前記ホスト装置の
追加・変更に柔軟に対応可能になり、可用性を向上する
ことが出来る。
【0018】また、複数のホスト装置で同一の任意識別
情報を共有することで、前記管理情報保持手段が予め保
持しておく任意識別情報の数を少なくすることが可能と
なる。従って、認証を許可するホスト装置数の制限が緩
和されるため、可用性を向上することが出来る。
【0019】第2の観点では、本発明は、上記第1の観
点による記憶装置において、前記管理情報保持手段は、
前記装置識別情報および前記任意識別情報毎にアクセス
権許可情報を更に保持し、前記アクセス制御手段は、前
記アクセス権許可情報と記認証要求情報とを用いて、認
証許可後のアクセス権制御を行うことを特徴とする記憶
装置を提供する。
【0020】上記第2の観点による記憶装置では、ホス
ト装置の認証を許可/拒否することに加えて、アクセス
権許可情報を用いることで、前記装置識別情報および前
記任意識別情報毎にアクセス権(リードのみ、ライトの
み、リード/ライト)の制御を行うことが出来るため、
高度にセキュリティを管理できる。
【0021】第3の観点では、本発明は、上記第1の観
点または第2の観点による記憶装置において、ホスト装
置との物理的な接続形態がFC−AL(Fibre C
hannel Arbitrated Loop)のパブ
リックループ接続/プライベートループ接続のどちらで
あるかを検出する接続形態検出手段を更に具備し、前記
アクセス制御手段は、前記接続形態がパブリックループ
接続である場合にのみ前記任意識別情報を用いた認証処
理を行うことを特徴とする記憶装置を提供する。
【0022】上記第3の観点による記憶装置では、FC
−ALにより物理的に接続されたホスト装置との接続形
態を検出し、パブリックループ接続である場合にのみ任
意識別情報を用いた認証処理を行う。これによって、装
置の追加・変更の管理が特に困難なパブリックループで
任意識別情報を用いた接続が可能となる。そして、装置
の追加・変更の管理が比較的容易なプライベートループ
では、従来と同様の装置識別情報を用いた接続だけで済
み、認証処理のオーバヘッドが小さくなる。
【0023】第4の観点では、本発明は、上記第1の観
点から第3の観点のいずれかによる記憶装置において、
前記任意識別情報は、ユーザ毎に固有のユーザ識別情報
であることを特徴とする記憶装置を提供する。
【0024】上記第4の観点による記憶装置では、ユー
ザ毎に固有のユーザ識別情報を前記任意識別情報として
用いる。これにより、予めユーザ識別情報を登録してい
るユーザが未知のホスト装置を操作している場合にの
み、前記ホスト装置の認証を許可する様に出来るため、
セキュリティを向上することが出来る。
【0025】第5の観点では、本発明は、論理的な接続
(認証)を許可したホスト装置に対してのみアクセスを
許可する記憶装置であって、ホスト装置毎に固有の装置
識別情報と、且つ、あるいは、ホスト装置に依存しない
任意識別情報とを保持する認証管理情報保持手段と、前
記ホスト装置からの認証要求に対して、当該認証要求情
報と前記認証管理情報の任意の組み合わせとを用いて認
証処理を行うアクセス制御手段と、認証を許可したホス
ト装置から前記前記認証管理情報に対するアクセス要求
情報に基づき、前記認証管理情報に対するアクセス処理
を行う認証管理情報アクセス処理手段とを具備したこと
を特徴とする記憶装置を提供する。
【0026】上記第5の観点による記憶装置では、認証
を許可したホスト装置から前記前記認証管理情報に対す
るアクセス要求情報に基づき、前記認証管理情報に対す
るアクセス処理を行う。これにより、認証を許可するホ
スト装置の追加・変更毎に管理情報保持手段が保持して
いる装置識別情報を追加・変更することが可能となるた
め、前記ホスト装置の追加・変更に柔軟に対応可能にな
り、可用性を向上することが出来る。
【0027】第6の観点では、本発明は、上記第1の観
点による記憶装置において、前記認証管理情報保持手段
は、前記装置識別情報、且つ、あるいは、前記任意識別
情報毎にユーザデータに対するアクセス権許可情報とを
更に保持し、前記アクセス制御手段は、前記ユーザデー
タアクセス権許可情報に基づき、前記認証を許可したホ
スト装置のユーザデータに対するアクセス権制御を行う
ことを特徴とする記憶装置を提供する。
【0028】上記第6の観点による記憶装置では、ホス
ト装置の認証を許可/拒否することに加えて、認証を許
可したホスト装置に対し、ユーザデータに対するアクセ
ス権許可情報を管理することで、認証を許可したホスト
装置のユーザデータに対するアクセス権(リードのみ、
ライトのみ、リード/ライト)の制御を行うことが出来
るため、高度にセキュリティを管理できる。
【0029】第7の観点では、本発明は、上記第5の観
点から第6の観点のいずれかによる記憶装置において、
前記認証管理情報保持手段は、前記装置識別情報、且
つ、あるいは、前記任意識別情報毎に前記認証管理情報
に対するアクセス権許可情報とを更に保持し、前記アク
セス制御手段は、前記認証管理情報に対するアクセス権
許可情報に基づき、前記認証を許可したホスト装置の前
記認証管理情報に対するアクセス権制御を行うことを特
徴とする記憶装置を提供する。
【0030】上記第7の観点による記憶装置では、ホス
ト装置の認証を許可/拒否することに加えて、認証を許
可したホスト装置に対し、認証管理情報に対するアクセ
ス権許可情報を管理することで、認証を許可したホスト
装置の認証管理情報に対するアクセス権(リードのみ、
ライトのみ、リード/ライト)の制御を行うことが出来
るため、高度にセキュリティを管理できる。
【0031】第8の観点では、本発明は、上記第1の観
点から第7の観点のいずれかによる記憶装置において、
前記アクセス制御手段は、前記任意識別情報に基づく前
記ホスト装置からの認証要求を許可した場合、当該認証
要求に付加された装置アドレス情報を前記認証管理情報
保持手段に登録する。更に、前記アクセス制御手段は、
アクセス要求元ホスト装置の前記装置アドレス情報と、
当該ホスト装置に許可した前記アクセス権許可情報とに
基づき、アクセス権制御を行うことを特徴とする記憶装
置を提供する。
【0032】上記第8の観点による記憶装置では、ホス
ト装置の認証を許可/拒否することに加えて、認証を許
可したホスト装置からの前記認証要求に付加された前記
アドレス情報を前記認証管理情報保持手段に登録するす
ることで、認証を許可されたホスト装置から前記記憶装
置に対するアクセス要求は、当該アクセス要求に付加さ
れた前記アドレス情報に基づき処理可能となるため、可
用性を向上することが出来る。
【0033】第9の観点では、本発明は、上記第1の観
点から第8の観点のいずれかによる記憶装置において、
前記認証管理情報アクセス処理手段は、認証を許可した
前記ホスト装置との認証期間の終了を検出し、当該認証
期間の終了検出を契機として、前記認証管理情報保持手
段に登録した前記装置アドレス情報を削除することを特
徴とする記憶装置を提供する。
【0034】上記第9の観点による記憶装置では、ホス
ト装置の認証を許可/拒否することに加えて、認証を許
可したホスト装置との認証期間の終了検出を契機とし
て、前記認証許可後に登録された情報をクリアするた
め、セキュリティを管理できる。第10の観点では、本
発明は、上記第1の観点から第9の観点のいずれかによ
る記憶装置において、前記アクセス制御手段は、前記任
意識別情報毎に認証を許可するホスト装置数を管理し、
同一の前記任意識別情報を用いて認証を許可するホスト
装置数の制御を行うことを特徴とする記憶装置を提供す
る。
【0035】上記第10の観点による記憶装置では、ホ
スト装置の認証を許可/拒否することに加えて、同一の
任意識別情報を用いて認証を許可したホスト装置数の管
理が可能となり、可用性を向上出来る。
【0036】第11の観点では、本発明は、上記第1の
観点から第4の観点のいずれかによる記憶装置に対して
認証を要求するホスト装置であって、ユーザが入力した
任意識別情報を含む認証要求情報を生成し、この認証要
求情報を用いて前記記憶装置に対して認証を要求する認
証要求手段を具備することを特徴とするホスト装置を提
供する。
【0037】上記第11の観点によるホスト装置では、
上記第1の観点から第4の観点のいずれかによる記憶装
置に対して、前記任意識別情報を用いた認証を要求する
ことが出来る。
【0038】第12の観点では、本発明は、上記第5の
観点によるホスト装置において、前記認証要求手段が、
装置識別情報のみを用いた認証要求が記憶装置に拒否さ
れたこと、或いは、拒否された後にユーザが前記記憶装
置に対する認証の要求を指示した場合に、ユーザに対し
て前記任意識別情報の入力を要求し、該任意識別情報を
用いて前記記憶装置に認証要求を行うことを特徴とする
ホスト装置を提供する。 上記第12の観点によるホス
ト装置では、認証処理において装置識別情報では拒否さ
れた場合にのみ、ユーザに対して前記任意識別情報の入
力を要求し、入力された任意識別情報を用いた接続要求
を行う。従って、ホスト装置の追加・変更が頻繁に行わ
れる場合でも前記任意識別情報を入力するか否かをユー
ザが判断する必要が無くなるため、ユーザの負担を軽減
することが出来る。
【0039】
【発明の実施の形態】以下、図に示す実施の形態により
本発明をさらに詳細に説明する。なお、これにより本発
明が限定されるものではない。
【0040】図1は、ファイバチャネルによる接続形態
を示すブロック図である。
【0041】ノード1_1_1〜1_2_nは、ループ
接続対応ノードであり、それぞれノードループポート
(NL_Port)4を備える。ファブリック2_1,
2_2は、それぞれファブリックループポート(FL_
Port)5と,ファブリックポート(F_Port)
8とを備える。
【0042】ノード3_1,3_2は、ループ接続未対
応ノードであり、それぞれノードポート(N_Por
t)7を備える。上記ノード1_1_1〜1_1_mの
ノードループポート4と上記ファブリック2_1のファ
ブリックループポート5とは、パブリックループ接続6
によりループ状に接続されている。
【0043】また、上記ノード1_2_1〜1_2_n
のノードループポート4と上記ファブリック2_2のフ
ァブリックループポート5とは、パブリックループ接続
6によりループ状に接続されている。
【0044】また、上記ノード3_1のノードポート7
と上記ファブリック2_2のファブリックポート8と
は、ファブリック接続9により1対1の関係で直接接続
されている。
【0045】また、上記ノード3_2のノードポート7
と上記ファブリック2_2のファブリックポート8と
は、ファブリック接続9により1対1の関係で直接接続
されている。
【0046】さらに、上記ファブリック2_1と2_2
とは、ファブリックポート8を介して接続されている。
なお、ファブリック同士の接続に関しては、本発明の対
象外であるため、説明を省略する。
【0047】図1のノード1_2_nは、記憶装置であ
り、図4に示す認証用ログイン管理テーブル400を保
持している。
【0048】この認証用ログイン管理テーブル400
は、装置識別情報保持エリアとしてポートネーム保持エ
リア401とノードネーム保持エリア402とを有し、
任意識別情報保持エリアとしてユーザ識別情報保持エリ
ア403を有し、各識別情報毎にアクセス権許可情報保
持エリア404を有している。
【0049】前記ポートネーム保持エリア401および
ノードネーム保持エリア402には、認証を許可するホ
スト装置のポートネームおよびノードネームが保持され
ている。また、前記ユーザ識別情報403には、認証を
許可するユーザのユーザIDとパスワードとが保持され
ている。また、前記アクセス権許可情報保持エリア40
4には、アクセスを許可する内容が保持されている。
【0050】図1のノード3_1は、ホスト装置であ
り、ポートネームを“123456789040000
0”とし、ノードネームを“123456789040
0001”とする。また、ノード3_1を操作するユー
ザ(図2の10)のユーザIDを“123456789
0500002”とし、パスワードを“1234567
890500003”とする。
【0051】図4の認証用ログイン管理テーブル400
には、ノード3_1のポートネームおよびノードネーム
は保持されていないが、ユーザのユーザIDとパスワー
ドは保持されている。
【0052】図2は、ノード3_1がイニシエータノー
ドとなり、ノード1_2_nをターゲットノードとして
論理的に接続する処理シーケンスの説明図である。
【0053】接続は、ファブリックログイン処理100
と,ポートログイン処理200と、プロセスログイン処
理300とを経て行われる。
【0054】・ファブリックログイン処理100 ステップ101では、ノード1_2_n及び3_1が、
それぞれファブリックログインフレーム(FLOGI)
情報を生成し、ファブリック2_2に対して送信する。
ファブリック2_2は、ノード1_2_nおよび3_1
に対して応答(ACC)を返す。ノード1_2_nおよ
び3_1は、それぞれ前記応答(ACC)を確認し、フ
ァブリックログインが許可されたことを検出する。な
お、ファブリックログイン処理の詳細は本発明の対象外
であるため、ここでは説明を省略する。
【0055】・ポートログイン処理200 ステップ201では、ノード3_1が、ポートログイン
フレーム(PLOGI)情報を生成し、ノード1_2_
nに対して送信する。
【0056】図3は、上記ポートログインフレーム情報
の構成を示す例示図である。
【0057】このポートログインフレームのワード5−
6には前記ノード3_1のポートネーム(“12345
67890400000”)が設定され、ワード7−8
にはノードネーム(“123456789040000
1”)が設定される。また、この時点で生成されるポー
トログインフレーム情報においては、ワード21−24
(ユーザ識別情報)は使用されない。
【0058】ステップ202では、ノード1_2_n
は、受信した前記ポートログインフレーム情報(図3)
に設定されたポートネーム及びノードネームが認証用ロ
グイン管理テーブル(図4)に保持されていれば、ポー
トログインを許可する応答(ACC)を生成し、ノード
3_1に対して送信する。また、保持されていなけれ
ば、ポートログインを拒否する応答(LS_RJT)を
生成し、ノード3_1に対して送信する。
【0059】ここでは、ポートログインフレーム情報に
設定されたポートネーム及びノードネームは認証用ログ
イン管理テーブルに保持されていないため、ノード1_
2_nは、ポートログイン処理を拒否する応答(LS_
RJT)を生成し、ノード3_1に対して送信する。
【0060】ステップ203では、ノード3_1は、上
記の応答(LS_RJT)を確認し、ポートログインが
拒否された場合はユーザ入力処理204のステップ20
6に移行し、ポートログインが許可された場合はプロセ
スログイン処理300に移行する。なお、上記ポートロ
グイン処理200は、電源投入等を契機として自動的に
実行されることが望ましい。
【0061】・ユーザ入力処理204 ステップ205では、ユーザ10が、ノード3_1と物
理的に接続されている他のノードの情報の提示をノード
3_1に要求する(接続情報要求)。
【0062】ステップ206では、ノード3_1は、物
理的に接続されているノードの情報をユーザ10に報告
する(接続情報表示)。また、前記ステップ203でポ
ートログインが拒否されたことを検出した場合、ノード
3_1は、ユーザIDおよびパスワードの入力をユーザ
10に要求する。
【0063】ステップ207では、ユーザ10は、自分
のユーザID(“123456789050000
2”)及びパスワード(“1234567890500
003”)を入力し、所望のターゲットに対して認証の
要求を行うようにノード3_1に指示する。また、ポー
トログインが拒否されたノード1_2_nに対して再度
認証の要求を行うために、自分のユーザID(“123
4567890500002”)及びパスワード(“1
234567890500003”)を入力する(HD
D接続要求)。
【0064】・ユーザログイン処理 ステップ208では、ノード3_1は、前記ユーザ識別
情報を含むポートログインフレーム(PLOGI)情報
を生成し、ノード1_2_nに対して送信する。ここ
で、生成,送信されるポートログインフレーム情報で
は、図3のワード21−24(ユーザ識別情報)が使用
されている。すなわち、ワード21−24には、前記ユ
ーザ10のユーザID(“1234567890500
002”)及びパスワード(“12345678905
00003”)からなるユーザ識別情報が設定されてい
る。
【0065】ステップ209では、ノード1_2_n
は、受信した前記ポートログインフレーム情報(図3)
に設定されたユーザID及びパスワードを認証用ログイ
ン管理テーブル(図4)に保持しているため、ポートロ
グインを許可する応答(ACC)を生成し、ノード3_
1に対して送信する。
【0066】ステップ210では、ノード3_1は上記
応答(ACC)を確認し、ポートログインが許可された
ことを検出する。なお、前記ステップ202またはステ
ップ209でポートログインを許可した時、ノード1_
2_nは、図5に示す登録用ログイン管理テーブル50
0に、ポートログインを許可したポートの管理情報(ポ
ートネーム501,ノードネーム502,ポートID5
03,ユーザ識別情報504を格納する。例えば、#4
には、ノード3_1のポートネーム“12345678
90400000”),ノードネーム“1234567
890400001”,ポートID“0000D4”,
ユーザID“1234567890500002”及び
パスワード“1234567890500003”を格
納している。
【0067】・プロセスログイン処理300 ステップ301では、ノード3_1は、プロセスログイ
ンフレーム(PRLI)情報を生成し、ノード1_2_
nに対して送信する。
【0068】ステップ302では、ノード1_2_n
は、プロセスログインを許可する応答(ACC)を生成
し、ノード3_1に対して送信する。なお、このプロセ
スログインフレーム情報の構成は、ファイバチャネル規
格と同一であるから、ここでは説明を省略する。
【0069】ステップ303では、ノード3_1は、上
記応答(ACC)を確認し、プロセスログインが許可さ
れたことを検出する。ここで、ノード3_1はノード1
_2_nに認証(論理的に接続)されたこととなり、ア
クセスが可能となる。
【0070】ステップ304では、ノード3_1は、ユ
ーザ10に対し接続完了報告を行う。上記処理シーケン
スにより、ノード1_2_nがノード3_1の装置識別
情報を予め保持していない場合でも、ユーザ10のユー
ザ識別情報を保持していれば、そのユーザ識別情報を用
いて認証されるため、ユーザ10がノード3_1からノ
ード1_2_nにアクセスできるようになる。
【0071】また、ノード1_2_nが装置識別情報を
保持していない他のホスト装置(例えば1_1_1)
も、上述のユーザ識別情報を用いた認証処理を行うこと
で、ノード1_2_nにアクセス可能となる。
【0072】即ち、ホスト装置を追加・変更した場合で
も、ノード1_2_nの認証用ログインテーブル400
に保持しているユーザ識別情報を用いた認証処理を行う
ことで、前記認証用ログインテーブル400に情報を追
加・変更しなくても、前記ホスト装置が前記ノード1_
2_nにアクセスでき、可用性が向上する。また、認証
を許可するホスト装置の数の制限も無くなる。
【0073】更に、認証許可後のホスト装置またはユー
ザ毎にリードオンリー,ライトオンリー,リード/ライ
ト(フルアクセス)といった高度のアクセス権制御を行
うことが可能となり、資源の有効活用及びセキュリティ
向上という効果が期待される。 次に、本発明に係る他
の実施形態について説明する。
【0074】(1)上述の実施形態においては装置識別
情報(ポートネーム,ノードネーム)を用いた認証要求
(ステップ201〜203)が拒否された後に、任意識
別情報(ユーザ識別情報)を用いたユーザログイン処理
(ステップ208〜210)を実施したが、最初から装
置識別情報と任意識別情報とを併用して認証処理を実施
してもよいし、最初から任意識別情報のみを用いた認証
処理だけを行ってもよい。 また、ホスト装置と記憶装
置との物理的な接続形態を検出し、その接続形態に従っ
て、認証処理の方法を選択して実行してもよい。例え
ば、パブリックループ接続においてのみ任意識別情報を
用いた認証処理ユーザログイン処理204)を行うよう
にし、プライベートループ接続においては従来の装置識
別情報を用いた認証処理のみを行うようにしてもよい。
【0075】(2)上述の実施形態においてはポートロ
グイン処理200の拡張機能としてユーザログイン処理
204を実現したが、新たな認証処理(規格)として任
意識別情報を用いる認証処理を規定・実現してもよい。
【0076】(3)ユーザをグループ化し、そのグルー
プに固有のグループ識別情報を任意識別情報として用い
てもよい。
【0077】(4)全てのノードループポート4及びノ
ードポート7がパブリックループ接続をサポートする必
要はなく、パブリックループ接続をサポートしないノー
ドループポート4及びノードポート7によって、すなわ
ち、プライベートループ接続のみの場合に本発明を実施
してもよい。
【0078】更に、(1)認証要求,(2)ユーザデー
タアクセス要求,(3)認証管理情報アクセス要求,の
各ホスト要求処理を例に、本発明に係る他の実施形態に
ついて説明する。
【0079】(1)認証要求処理,図6は、複数のホス
ト装置に接続される記憶装置における認証制御部の構成
例を示すブロック図である。
【0080】当該記憶装置30においては、本発明に関
連するホスト要求処理部31と認証制御部32のみを図
示することで、その構成を簡略化している。
【0081】また、上記複数のホスト装置20_a〜d
と記憶装置30との接続は、前述の接続形態と同様にフ
ァイバチャネルによる接続形態をとるものとし、その詳
細の説明は省略する。
【0082】同図において、前記認証制御部32は、ホ
スト装置毎に固有の装置識別情報(Device_I
D)33_1と、ホスト装置に依存しない任意識別情報
(User_ID)33_2と、装置毎に動的に割当て
られるインタフェースのアドレス情報(Addres
s)33_3と、これらの識別情報毎に付加的な情報と
して、認証状況情報(Status)33_4とを認証
管理情報として保持する認証管理テーブル33と、ホス
ト装置からの認証要求と前記認証管理情報とに基づく認
証処理を行うアクセス制御部34とから構成されてい
る。また、前記ホスト要求処理部31は、前記アクセス
制御部34による認証許可情報に基づき、ホスト装置か
らの認証要求を処理するものである。
【0083】ここで、図6における前記認証管理テーブ
ル33は、前述の認証用ログイン管理テーブル400
と、登録用ログイン管理テーブル500とで管理してい
た認証に関する情報を一括して管理するものである。即
ち、当該認証管理テーブルにおいて、装置識別情報(D
evice_ID)は、前記ポートネームおよび前記ノ
ードネームに、任意識別情報(User_ID)は、前
記ユーザIDおよびパスワードに、アドレス情報(Ad
dress)は、ポートIDに相当する。更に、認証状
況情報(Status)で、認証許可対象ノードにおけ
る認証状況を管理している。
【0084】(処理手順)ホスト装置からの認証要求
は、前記ホスト要求処理部31で認証要求であることが
検出され、次に、前記アクセス制御部34によって、前
記認証要求に付加された情報(装置識別情報、且つ、あ
るいは、任意識別情報)を用いた認証許可判定が行わ
れ、その結果が前記ホスト要求処理部31を介して前記
ホスト装置に対して送信する。
【0085】例えば、装置識別情報による認証要求(ホ
ストB20_bからの認証要求)の場合、当該認証要求
情報には、装置識別情報(D_b)が付加されており、
当該情報が前記認証管理テーブル33に保持されている
認証許可対象装置の装置識別情報33_1と一致するこ
とによって認証が許可される。
【0086】また、任意識別情報による認証要求(ホス
トD20_dからの認証要求)の場合、当該認証要求情
報には、任意識別情報(U_1)が付加されており、当
該情報が前記認証管理テーブル33に保持されている認
証許可対象の任意識別情報33_2と一致することによ
って認証が許可される。
【0087】更に、前記認証要求に付加された情報(装
置識別情報と、且つ、あるいは、任意識別情報)が、前
記認証管理テーブル33に保持されている認証許可対象
の情報と一致しない場合、認証は拒否される。
【0088】ここで、上記認証処理によって認証を許可
した場合、前記アクセス制御部34は、前記認証管理テ
ーブルの前記アドレス情報(Address)33_
3、および、前記認証状況(Status)33_4
に、認証を許可したホスト装置からの前記認証要求に付
加された前記アドレス情報、および、認証状況情報(a
ctive)を登録する。
【0089】更に、前記任意識別情報による認証を許可
し、当該認証要求情報に前記装置識別情報が付加されて
いた場合、前記アクセス制御部は前記装置識別情報を前
記認証管理テーブル33の前記装置識別情報(Devi
ce_ID)33_1に登録する。
【0090】これにより、認証を許可されたホスト装置
(図中、20_a/b/d)から前記記憶装置30に対
するアクセス要求は、当該アクセス要求に付加された前
記アドレス情報(Add_a/b/d)、あるいは、前
記装置識別情報(D_a/b/d)、あるいは、前記任
意識別情報(U_1)を用いたアクセス要求元ホスト装
置の認証状況判定結果に基づき処理可能となる。
【0091】また、上記の認証許可後に登録された情報
は、前記認証を許可したホスト装置との認証期間終了を
検出する手段を更に具備し、認証期間の終了検出を契機
として、あるいは、初期化時においてクリアされる。
【0092】これにより、不特定多数のホスト装置に対
する認証を許可する本発明におけるセキュリティの確保
が可能となる。
【0093】更に、同一の任意識別情報を用いて同時に
認証を許可するホスト装置数を設定可能とすることを目
的に、図6では、同一の任意識別情報(ユーザネーム
等)を用いて認証を許可する場合、認証を許可するホス
ト装置数と同じ数だけ前記認証管理テーブルに前記任意
識別情報を登録している(図では、ユーザネーム(U_
1)を2個登録することで、同ユーザネーム(U_1)
を用いた認証を許可するホスト装置数を2としてい
る)。
【0094】しかし、同一の任意識別情報を用いて同時
に認証を許可するホスト装置数の制御方法は、これに限
定されるものではなく、例えば、任意識別情報毎に同時
に認証を許可するホスト装置数と、同任意識別情報を用
いて認証を許可しているホスト装置数とを個別に管理す
ることによっても実現可能である。
【0095】尚、任意識別情報を用いた詳細な認証処理
手順等については前述していることから、ここでは省略
する。
【0096】(2)ユーザデータアクセス要求処理,図
7は、複数のホスト装置に接続される記憶装置における
認証制御部の構成例を示すブロック図である。
【0097】同図は、図6の記憶装置に対し、以下の相
違点を除き同一である。前記認証管理テーブル33に保
持する情報において、前記識別情報毎に付加的な情報と
して、ユーザデータに対するアクセス権許可情報(Da
ta Access)33_5を更に保持する。
【0098】前記アクセス制御部において、ホスト装置
からのユーザデータアクセス要求と前記認証管理情報と
に基づくユーザデータアクセス権許可制御(管理)を行
う。前記ホスト要求処理部は、前記アクセス制御部によ
るユーザデータアクセス権許可情報に基づき、ホスト装
置からのユーザデータアクセス要求を処理する。
【0099】(処理手順)ホスト装置からのユーザデー
タアクセス要求は、前記ホスト要求処理部31でユーザ
データアクセス要求であることが検出され、次に、前記
アクセス制御部34によって要求元のホスト装置が認証
許可済みか否かの判定、および、認証を許可されたホス
ト装置の場合、ユーザデータアクセス権許可情報の検出
が更に行われ、その結果に基づき前記ホスト要求処理部
31によって、前記ユーザデータアクセス要求を処理す
る。
【0100】即ち、要求元のホスト装置が認証許可済み
で、且つ、当該ホスト装置からのユーザデータアクセス
要求の属性(リード/ライト)が前記ユーザデータアク
セス権許可情報で許可されている場合のみ、当該ホスト
装置からのユーザデータアクセス要求が、前記ホスト要
求処理部によって処理されるものである。
【0101】以下、より具体的な例を用いて説明する。
【0102】・未認証ホスト(ホストC20_c)から
のユーザデータアクセス要求の場合、前記ホスト要求処
理部で、要求元ホスト装置がホストC20_cであるこ
と、更に、ユーザデータアクセス要求であることを検出
し、前記アクセス制御部34に対してホストC20_c
の認証状況(許可済みか否か)と、ユーザデータに対し
許可されたアクセス権情報とを照会する。
【0103】前記アクセス制御部34は、前記ホスト要
求処理部31からの照会要求に対し、前記認証管理テー
ブル33の情報を用いてホストC20_cが未認証であ
ることを検出し、当該検出結果を前記ホスト要求処理部
31に報告する。
【0104】前記ホスト要求処理部31は、上記検出結
果(未認証)に基づき、ホストC20_cからのユーザ
データアクセス要求を拒否する(正常に処理しない)。
【0105】・既認証ホスト(ホストB20_b)から
のユーザデータアクセス(リード)要求の場合、前記ホ
スト要求処理部31で、要求元ホスト装置がホストB2
0_bであること、更に、ユーザデータに対するリード
アクセス要求であることを検出し、前記アクセス制御部
34に対してホストB20_bの認証状況(許可済みか
否か)と、ユーザデータに対し許可されたアクセス権情
報とを照会する。
【0106】前記アクセス制御部34は、前記ホスト要
求処理部31からの照会要求に対し、前記認証管理テー
ブル33の情報を用いてホストB20_bが既認証であ
り、更にユーザデータアクセス権としてリードが許可さ
れていることを検出し、当該検出結果を前記ホスト要求
処理部31に報告する。
【0107】前記ホスト要求処理部31は、上記検出結
果(既認証&リード許可)に基づき、ホストB20_b
からのユーザデータアクセス(リード)要求を正常に処
理する。 尚、記憶装置におけるリード処理は本発明の
対象外であることから、その説明は省略する。
【0108】・既認証ホスト(ホストB20_b)から
のユーザデータアクセス(ライト)要求の場合、前記ホ
スト要求処理部31で、要求元ホスト装置がホストB2
0_bであること、更に、ユーザデータに対するライト
アクセス要求であることを検出し、前記アクセス制御部
34に対してホストB20_bの認証状況(許可済みか
否か)と、ユーザデータに対し許可されたアクセス権情
報とを照会する。
【0109】前記アクセス制御部34は、前記ホスト要
求処理部31からの照会要求に対し、前記認証管理テー
ブル33の情報を用いてホストB20_bが既認証であ
り、更にユーザデータアクセス権としてライトが許可さ
れていないことを検出し、当該検出結果を前記ホスト要
求処理部31に報告する。
【0110】前記ホスト要求処理部31は、上記検出結
果(ライト不許可)に基づき、ホストB20_bからの
ユーザデータアクセス(ライト)要求を拒否する(正常
に処理しない)。
【0111】上述の、ユーザデータアクセス要求元ホス
ト装置の認証状況情報と、当該ホスト装置に許可された
ユーザデータアクセス権情報とを用いたユーザデータア
クセス権制御を、前記記憶装置で実現可能とすることに
より、前記記憶装置が格納するユーザデータに対する高
度のセキュリティ管理が可能となる。
【0112】(3)認証管理テーブルアクセス要求処
理,図8は、複数のホスト装置に接続される記憶装置に
おける認証制御部の構成例を示すブロック図である。
【0113】同図は、図7の記憶装置に対し、以下の相
違点を除き同一である。
【0114】前記認証管理テーブル33に保持する情報
において、前記識別情報毎に付加的な情報として、前記
認証管理テーブル33に対するアクセス権許可情報(T
able Access)33_6を更に保持する。
【0115】前記アクセス制御部34において、ホスト
装置からの前記認証管理テーブル33に対するアクセス
要求と前記認証管理情報とに基づく認証管理テーブルア
クセス権許可制御(管理)を行う。
【0116】前記ホスト要求処理部31は、新たに認証
管理情報アクセス処理部35を具備し、当該認証管理情
報アクセス処理部35において、前記アクセス制御部3
4による認証管理テーブルアクセスアクセス権許可情報
に基づき、ホスト装置からの認証管理テーブルアクセス
要求を処理する。
【0117】また、同図において、ホストE20_eは
前記記憶装置30に新規に接続されるホスト装置であ
る。
【0118】(処理手順)ホスト装置からの認証管理テ
ーブルアクセス要求は、前記ホスト要求処理部31で認
証管理テーブルアクセス要求であることが検出され、次
に、前記アクセス制御部34によって要求元のホスト装
置が認証許可済みか否かの判定、および、認証を許可さ
れたホスト装置の場合、認証管理テーブルアクセスアク
セス権許可情報の検出が更に行われ、その結果に基づき
前記ホスト要求処理部31の認証管理情報アクセス処理
部35によって、前記認証管理テーブルアクセス要求を
処理する。
【0119】即ち、要求元のホスト装置が認証許可済み
で、且つ、当該ホスト装置からの認証管理テーブルアク
セス要求の属性(リード/ライト)が前記認証管理テー
ブルアクセス権許可情報で許可されている場合のみ、当
該ホスト装置からの認証管理テーブルアクセス要求が、
前記ホスト要求処理部31の前記認証管理情報アクセス
処理部35によって処理されるものである。
【0120】以下、より具体的な例を用いて説明する。
【0121】・ホストA20_aからの認証管理テーブ
ルアクセス(ライト)要求の場合、前記ホスト要求処理
部31で、要求元ホスト装置がホストA20_aである
こと、更に、認証管理テーブル33に対するライトアク
セス要求であることを検出し、前記アクセス制御部34
に対してホストA20_aの認証状況(許可済みか否
か)と、認証管理テーブル33に対し許可されたアクセ
ス権情報とを照会する。 前記アクセス制御部34は、
前記ホスト要求処理部31からの照会要求に対し、前記
認証管理テーブル33の情報を用いてホストA20_a
が既認証であり、更に認証管理テーブルアクセス権とし
てライトが許可されていることを検出し、当該検出結果
を前記ホスト要求処理部31の前記認証管理情報アクセ
ス処理部35に報告する。
【0122】前記ホスト要求処理部31の前記認証管理
情報アクセス処理部35は、上記検出結果(既認証&ラ
イト許可)に基づき、ホストA20_aから前記認証管
理テーブルアクセス(ライト)要求に付随して転送され
た認証管理テーブルライト情報を用いて、認証管理テー
ブルアクセス(ライト)要求を正常に処理する。
【0123】これにより、前記記憶装置30の前記認証
管理テーブル33が、特定のホスト装置から随時更新可
能となる。例えば、図8に図示した様に、ホストE20
_eが前記記憶装置30に新規に接続される場合、ホス
トA20_aを介してホストE20_eの識別情報を前
記認証管理テーブル33に登録することが可能となる。
【0124】これは、前記記憶装置30において、認証
許可対象の登録,削除、更に、認証許可対象に許可する
アクセス権の登録,削除,変更を随時可能とするもので
あり、自身と前記複数のホスト装置とから構成されるシ
ステムの構成変更(接続ホストの変更)等に柔軟に対応
可能となり、当該システムの可用性を向上することが可
能となる。
【0125】・ホストA20_aからの認証管理テーブ
ルアクセス(リード)要求の場合、前記ホスト要求処理
部31で、要求元ホスト装置がホストA20_aである
こと、更に、認証管理テーブル33に対するリードアク
セス要求であることを検出し、前記アクセス制御部34
に対してホストA20_aの認証状況(許可済みか否
か)と、認証管理テーブル33に対し許可されたアクセ
ス権情報とを照会する。
【0126】前記アクセス制御部34は、前記ホスト要
求処理部31からの照会要求に対し、前記認証管理テー
ブル33の情報を用いてホストA20_aが既認証であ
り、更に認証管理テーブルアクセス権としてリードが許
可されていることを検出し、当該検出結果を前記ホスト
要求処理部31の前記認証管理情報アクセス処理部35
に報告する。
【0127】前記ホスト要求処理部31の前記認証管理
情報アクセス処理部35は、上記検出結果(既認証&リ
ード許可)に基づき、ホストA20_aに対し前記認証
管理テーブルの情報を認証管理テーブルリード情報をと
して送信し、認証管理テーブルアクセス(リード)要求
を正常に処理する。
【0128】・ホストD20_dからの認証管理テーブ
ルアクセス(リード)要求の場合、前記ホスト要求処理
部31で、要求元ホスト装置がホストD20_dである
こと、更に、認証管理テーブル33に対するリードアク
セス要求であることを検出し、前記アクセス制御部34
に対してホストD20_aの認証状況(許可済みか否
か)と、認証管理テーブル33に対し許可されたアクセ
ス権情報とを照会する。
【0129】前記アクセス制御部34は、前記ホスト要
求処理部31からの照会要求に対し、前記認証管理テー
ブル33の情報を用いてホストD20_dが既認証であ
るが、如何なる認証管理テーブルアクセス権も許可され
ていないことを検出し、当該検出結果を前記ホスト要求
処理部31の前記認証管理情報アクセス処理部35に報
告する。
【0130】前記ホスト要求処理部31の前記認証管理
情報アクセス処理部35は、上記検出結果(既認証&ア
クセス不許可)に基づき、ホストD20_dからの認証
管理テーブルアクセス(リード)要求を拒否する(正常
に処理しない)。
【0131】上述の、認証管理テーブルアクセス要求元
ホスト装置の認証状況情報と、当該ホスト装置に許可さ
れた認証管理テーブルアクセス権情報とを用いた認証管
理テーブルアクセス権制御を、前記記憶装置で実現可能
とすることにより、前記記憶装置が格納する認証管理テ
ーブル情報データに対する高度のセキュリティ管理が可
能となる。
【0132】更に、前記記憶装置が、前記認証要求処理
制御、および、前記ユーザデータアクセス要求処理制
御、および、認証管理テーブルアクセス要求処理制御を
実現可能となることによって、上記複数のホスト装置で
同一の記憶装置を共有するシステムにおいて、従来の記
憶装置を管理するホスト装置、即ち、記憶装置に対する
複数のホスト装置からのアクセス要求を制御するホスト
装置を不要とする(システムコストを低減する)効果が
期待される。
【0133】また、上述の実施形態において、前記認証
制御部32は、前記ホスト要求処理部31と独立して実
現するものとして説明してきたが、この構成に限るもの
ではなく、例えば、前記ホスト要求処理部31の一機能
として、前記認証制御部32を実現することも可能であ
る。
【0134】また、前記認証管理テーブルアクセス要求
処理は、前記認証要求処理、或いは、前記ユーザデータ
アクセス要求処理と同様に、前記ホスト要求処理部31
で処理することから、前記認証管理テーブルアクセス要
求情報の転送プロトコルは、前記認証要求情報、或い
は、前記ユーザデータアクセス要求情報の転送プロトコ
ルに同一であることが望ましいが、これに限定されるも
のではない。
【0135】また、本発明を実現する記憶装置は、前記
認証管理テーブル、あるいは、前記認証用ログイン管理
テーブル等で保持する情報において、少なくとも、前記
装置識別情報と、前記任意識別情報と、前記ユーザデー
タアクセス権許可情報と、前記認証管理テーブルアクセ
ス権許可情報とのすべての情報、あるいは、一部の情報
を、不揮発性のメモリ、あるいは、自身の記憶媒体等に
格納する。これより、前記記憶装置の電源再投入時、上
述の認証要求処理、ユーザデータアクセス要求処理、認
証管理テーブルアクセス要求処理が実現可能となること
はいうまでもない。
【0136】
【発明の効果】本発明の記憶装置によれば、認証を許可
するホスト装置を追加・変更する場合、記憶装置が保持
する前記認証管理情報の更新処理を任意のホスト装置か
ら実現可能となり、前記ホスト装置の追加・変更に柔軟
に対応できるため、可用性を向上することが出来る。
【0137】また、装置に依存しない任意識別情報を用
いた認証処理を実現する本発明の記憶装置およびホスト
装置によれば、認証を許可するホスト装置を追加・変更
した場合でも、記憶装置が保持する前記ホスト装置の識
別情報を追加・変更する必要がなく、前記ホスト装置が
前記記憶装置にアクセス可能となる。すなわち、前記ホ
スト装置の追加・変更に柔軟に対応できるため、可用性
を向上することが出来る。
【0138】また、複数のホスト装置が同一の任意識別
情報を共有することで、記憶装置が保持しておく任意識
別情報の数を節約できるため、保持可能な識別情報の数
が制限されても、認証を許可するホスト装置の数が制限
されなくなる。
【0139】また、装置識別情報および任意識別情報毎
にアクセス権を設定することにより、きめ細やかな高度
のアクセス権制御が可能となり、セキュリティを向上す
ることができる。
【0140】また、記憶装置とホスト装置との物理的な
接続形態がFC−ALのパブリックループ接続のときの
み任意識別情報を用いた認証処理を行い、他の接続形態
では従来の認証処理とすることによって、認証処理のオ
ーバヘッドを軽減することが出来る。
【0141】また、前記認証要求処理制御、および、前
記ユーザデータアクセス要求処理制御、および、認証管
理テーブルアクセス要求処理制御を、記憶装置が実施す
ることによって、記憶装置の管理に専任するホスト装置
を不要とする(システムコストを低減する)効果が期待
される。
【0142】。
【0143】また、少なくとも、前記装置識別情報と、
前記任意識別情報と、前記ユーザデータアクセス権許可
情報と、前記認証管理テーブルアクセス権許可情報との
すべての情報、あるいは、一部の情報を、不揮発性のメ
モリ、あるいは、自身の記憶媒体等に格納することによ
って、記憶装置の電源再投入時、上述の認証要求処理、
ユーザデータアクセス要求処理、認証管理テーブルアク
セス要求処理が実現可能となり、セキュリティ、およ
び、相互接続性を維持することができる。
【図面の簡単な説明】
【図1】ファイバチャネルによる接続形態を示すブロッ
ク図である。
【図2】本発明の実施の形態に係る論理的な接続の処理
のシーケンスの説明図である。
【図3】ポートログインフレーム情報の構成を示す例示
図である。
【図4】認証用ログイン管理テーブルを示す例示図であ
る。
【図5】登録用ログイン管理テーブルを示す例示図であ
る。
【図6】複数ホストに接続される記憶装置における認証
制御部の一構成例を示す図である。
【図7】複数ホストに接続される記憶装置における認証
制御部の一構成例を示す図である。
【図8】複数ホストに接続される記憶装置における認証
制御部の一構成例を示す図である。
【符号の説明】
1_ 1_1〜1_2_n・・・ループ接続対応ノー
ド、2_1,2_2・・・ファブリック、3_1,3_
2・・・ループ接続未対応ノード、4・・・ノードルー
プポート、5・・・ファブリックループポート、6・・
・パブリックループ接続、7・・・ノードポート、8・
・・ファブリックポート、9・・・ファブリック接続、
10・・・ユーザ、20_a〜f・・・ホスト装置(A
〜F)、30・・・記憶装置、31・・・ホスト要求処
理部、32・・・認証制御部、33・・・認証管理テー
ブル、34・・・アクセス制御部、35・・・認証管理
情報アクセス処理部。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 市川 正敏 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 (72)発明者 国崎 修 神奈川県小田原市国府津2880番地 株式会 社日立製作所ストレージシステム事業部内 (72)発明者 齊木 栄作 神奈川県小田原市国府津2880番地 株式会 社日立製作所ストレージシステム事業部内 Fターム(参考) 5B085 AE23

Claims (12)

    【特許請求の範囲】
  1. 【請求項1】 論理的な接続(認証)を許可したホスト
    装置に対してのみアクセスを許可する記憶装置であっ
    て、ホスト装置毎に固有の装置識別情報とホスト装置に
    依存しない任意識別情報とを保持する管理情報保持手段
    と、前記任意識別情報、或いは前記任意識別情報と前記
    装置識別情報との任意の組み合わせと前記ホスト装置か
    らの認証要求情報とを用いて認証処理を行うアクセス制
    御手段とを具備したことを特徴とする記憶装置。
  2. 【請求項2】 請求項1に記載の記憶装置において、前
    記管理情報保持手段は、前記装置識別情報および前記任
    意識別情報毎にアクセス権許可情報を更に保持し、前記
    アクセス制御手段は、前記アクセス権許可情報に基づ
    き、認証許可後のホスト装置に対するアクセス権制御を
    行うことを特徴とする記憶装置。
  3. 【請求項3】 請求項1又は請求項2に記載の記憶装置
    において、ホスト装置との物理的な接続形態がFC−A
    L(Fibre Channel Arbitrated
    Loop)のパブリックループ接続/プライベートル
    ープ接続のどちらであるかを検出する接続形態検出手段
    を更に具備し、前記アクセス制御手段は、前記接続形態
    がパブリックループ接続である場合にのみ前記任意識別
    情報を用いた認証処理を行うことを特徴とする記憶装
    置。
  4. 【請求項4】 請求項1から請求項3のいずれか1項に
    記載の記憶装置において、前記任意識別情報は、ユーザ
    毎に固有のユーザ識別情報であることを特徴とする記憶
    装置。
  5. 【請求項5】 論理的な接続(認証)を許可したホスト
    装置に対してのみアクセスを許可する記憶装置であっ
    て、ホスト装置毎に固有の装置識別情報と、且つ、或い
    はホスト装置に依存しない任意識別情報とを認証管理情
    報として保持する認証管理情報保持手段と、前記ホスト
    装置からの認証要求に対して、当該認証要求情報と前記
    認証管理情報の任意の組み合わせとを用いて認証処理を
    行うアクセス制御手段と、認証を許可したホスト装置か
    ら前記前記認証管理情報に対するアクセス要求情報に基
    づき、前記認証管理情報に対するアクセス処理を行う認
    証管理情報アクセス処理手段とを具備したことを特徴と
    する記憶装置。
  6. 【請求項6】 請求項5に記載の記憶装置において、前
    記認証管理情報保持手段は、前記装置識別情報、或いは
    前記任意識別情報毎にユーザデータに対するアクセス権
    許可情報とを更に保持し、前記アクセス制御手段は、前
    記ユーザデータアクセス権許可情報に基づき、前記認証
    を許可したホスト装置のユーザデータに対するアクセス
    権制御を行うことを特徴とする記憶装置。
  7. 【請求項7】 請求項5または請求項6に記載の記憶装
    置において、前記認証管理情報保持手段は、前記装置識
    別情報、或い前記任意識別情報毎に前記認証管理情報に
    対するアクセス権許可情報とを更に保持し、前記アクセ
    ス制御手段は、前記認証管理情報に対するアクセス権許
    可情報に基づき、前記認証を許可したホスト装置の前記
    認証管理情報に対するアクセス権制御を行うことを特徴
    とする記憶装置。
  8. 【請求項8】 請求項1から請求項7のいずれか1項に
    記載の記憶装置において、前記アクセス制御手段は、前
    記任意識別情報を用いた前記ホスト装置からの認証要求
    を許可した場合、当該認証要求に付加されたアドレス情
    報を前記認証管理情報保持手段に登録し、更に、前記ア
    クセス制御手段は、アクセス要求に付加された前記アド
    レス情報からアクセス要求元ホスト装置を識別し、当該
    ホスト装置に許可した前記アクセス権許可情報に基づく
    アクセス権制御を行うことを特徴とする記憶装置。
  9. 【請求項9】 請求項1から請求項8のいずれか1項に
    記載の記憶装置において、当該記憶装置は、認証を許可
    した前記ホスト装置との認証期間の終了を検出する認証
    期間管理手段を更に具備し、更に、当該認証期間管理手
    段は、認証期間の終了検出を契機として、前記認証管理
    情報保持手段に登録した前記装置アドレス情報を削除、
    或いは無効化することを特徴とする記憶装置。
  10. 【請求項10】 請求項1から請求項9のいずれか1項
    に記載の記憶装置において、前記アクセス制御手段は、
    前記任意識別情報毎に認証を許可するホスト装置数を管
    理し、同一の前記任意識別情報を用いて認証を許可する
    ホスト装置数の制御を行うことを特徴とする記憶装置。
  11. 【請求項11】 請求項1から請求項10のいずれか1
    項に記載の記憶装置に対して認証を要求するホスト装置
    であって、ユーザが入力した任意識別情報を含む認証要
    求情報を生成し、この認証要求情報を用いて前記記憶装
    置に対して認証を要求する認証要求手段を具備すること
    を特徴とするホスト装置。
  12. 【請求項12】 請求項11に記載のホスト装置におい
    て、前記認証要求手段が、装置識別情報のみを用いた認
    証要求が記憶装置に拒否された場合、或いは、拒否され
    た後にユーザが前記記憶装置に対する認証の要求を指示
    した場合に、ユーザに対して前記任意識別情報の入力を
    要求し、該任意識別情報を用いて前記記憶装置に認証要
    求を行うことを特徴とするホスト装置。
JP11236513A 1999-08-24 1999-08-24 記憶装置及びホスト装置 Pending JP2001060183A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP11236513A JP2001060183A (ja) 1999-08-24 1999-08-24 記憶装置及びホスト装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP11236513A JP2001060183A (ja) 1999-08-24 1999-08-24 記憶装置及びホスト装置

Publications (1)

Publication Number Publication Date
JP2001060183A true JP2001060183A (ja) 2001-03-06

Family

ID=17001830

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11236513A Pending JP2001060183A (ja) 1999-08-24 1999-08-24 記憶装置及びホスト装置

Country Status (1)

Country Link
JP (1) JP2001060183A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100974459B1 (ko) 2002-02-25 2010-08-10 소니 주식회사 서비스 제공장치 및 서비스 제공방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100974459B1 (ko) 2002-02-25 2010-08-10 소니 주식회사 서비스 제공장치 및 서비스 제공방법

Similar Documents

Publication Publication Date Title
US7260636B2 (en) Method and apparatus for preventing unauthorized access by a network device
JP3853540B2 (ja) ファイバチャネル接続磁気ディスク装置およびファイバチャネル接続磁気ディスク制御装置
US7093021B2 (en) Electronic device for secure authentication of objects such as computers in a data network
US8346952B2 (en) De-centralization of group administration authority within a network storage architecture
JP3779154B2 (ja) ネットワークに接続された記憶システムのデータ管理を提供する方法および装置
US8006310B2 (en) Disk control unit
JP4032670B2 (ja) ホストコンピュータの認証を行う記憶装置システム
US6260120B1 (en) Storage mapping and partitioning among multiple host processors in the presence of login state changes and host controller replacement
US6421711B1 (en) Virtual ports for data transferring of a data storage system
US6295575B1 (en) Configuring vectors of logical storage units for data storage partitioning and sharing
US20110214165A1 (en) Processor Implemented Systems And Methods For Using Identity Maps And Authentication To Provide Restricted Access To Backend Server Processor or Data
US20090083423A1 (en) System and Computer Program Product for Zoning of Devices in a Storage Area Network
US20090083484A1 (en) System and Method for Zoning of Devices in a Storage Area Network
JP2002519781A (ja) ネットワークと接続している記憶システムへの接続を認証するための方法および装置
JP2003503790A (ja) 記憶ネットワーク上においてネットワーク・デバイスを識別する方法および装置
JP2007164476A (ja) ストレージ装置及びその制御方法並びにプログラム
US20030172069A1 (en) Access management server, disk array system, and access management method thereof
JP2001075853A (ja) 計算機システム、及び該計算機システムに用いられる計算機並びに記憶装置
JP3744248B2 (ja) ファイバチャネル接続ストレージサブシステム及びそのアクセス方法
US7716406B1 (en) Method and system for persistent reservation handling in a multi-initiator environment
JP2003330622A (ja) アクセス管理用サーバ、ディスクアレイシステム、及びそのアクセス管理方法
Van Meter et al. Derived virtual devices: A secure distributed file system mechanism
JP4598248B2 (ja) 記憶サブシステムのセキュリティシステム
US9560039B2 (en) Controlled discovery of SAN-attached SCSI devices and access control via login authentication
JP2003036207A (ja) データアクセス制御システム及びデータアクセス制御方法