JP2003208269A - セキュリティ機構を備えた二次記憶装置およびそのアクセス制御方法 - Google Patents

セキュリティ機構を備えた二次記憶装置およびそのアクセス制御方法

Info

Publication number
JP2003208269A
JP2003208269A JP2002002935A JP2002002935A JP2003208269A JP 2003208269 A JP2003208269 A JP 2003208269A JP 2002002935 A JP2002002935 A JP 2002002935A JP 2002002935 A JP2002002935 A JP 2002002935A JP 2003208269 A JP2003208269 A JP 2003208269A
Authority
JP
Japan
Prior art keywords
access control
input
secondary storage
storage device
output command
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002002935A
Other languages
English (en)
Inventor
Akiyoshi Hashimoto
顕義 橋本
Tetsuya Kamimura
上村  哲也
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2002002935A priority Critical patent/JP2003208269A/ja
Priority to US10/084,910 priority patent/US7167958B2/en
Publication of JP2003208269A publication Critical patent/JP2003208269A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

(57)【要約】 【課題】従来は、二次記憶装置側でホストコンピュータ
を認証していたが、成りすまし攻撃に弱かった。また、
接続許可、拒否の2通りのオプションしか持っていない
ので、ホストコンピュータへの侵入が二次記憶装置内デ
ータの破壊に直結していた。 【解決手段】複数のネットワーク通信ポートを持ち、そ
れぞれ異なるネットワークに接続し、通信ポートに対し
て二次記憶装置内データのアクセス権限を設定。さら
に、入出力命令ごとに、許可、不許可を設定できるよう
にする。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワークに接
続された二次記憶装置(ディスク装置)におけるデータの
機密性の保持に関する。
【0002】
【従来の技術】近年、磁気ディスク装置に代表される二
次記憶装置は、ネットワーク志向を強めており、多くの
大学や企業で二次記憶装置をLAN(Local Area Network)
等のネットワークに直結する技術が開発されている。二
次記憶装置がネットワークに直接接続されるようになる
と、不特定多数のホストコンピュータがアクセスを行う
可能性がある。従って、ネットワークと二次記憶装置間
でのデータの機密性の確保、即ち何らかのセキュリティ
機構が二次記憶装置側に必要となる。特開平10-333839
(以下、公知例1)には、セキュリティ機構を実装した
二次記憶装置の例が開示されている。公知例1のセキュ
リティ機構では、登録されたホストコンピュータの識別
子(公知例1では、World Wide Name)を用いてホストコ
ンピュータの認証を行っている。ホストコンピュータ
は、二次記憶装置に対する接続要求の際に前記World Wi
de Nameを二次記憶装置側に送信する。二次記憶装置
は、送信されてきたWorld Wide Nameが登録されていれ
ば処理を続行し、登録されていなければ接続拒否応答を
行う。しかしながら、公知例1の方式をネットワークに
存在する不特定多数のホストコンピュータに対して適用
すると、登録作業が膨大になり管理者の負担は非常に大
きなものとなる。従って、ネットワーク直結型の二次記
憶装置に対しては、公知例1の方式は現実的には適用が
困難である。更に、登録される識別子は偽造される可能
性がある。また、二次記憶装置に対して正当な権限を持
つ(即ち登録された識別子を有する)ホストコンピュー
タが侵入を許してしまうと、データの改ざんを防げな
い。なぜなら、侵入されたホストコンピュータは該二次
記憶装置に対して正当な権限を持っているからである。
従来は、不特定多数のホストコンピュータが二次記憶装
置に接続される構成は一般的でなく、ユーザ認証等のセ
キュリティ措置をホストコンピュータ側で行っていたた
め、従来の二次記憶装置では、ホストコンピュータから
の不正侵入による二次記憶装置内のデータの破壊、漏洩
を防止することはできなかった。例えば、2000年初頭に
は、管理者権限を不正に取得した侵入者が、日本政府機
関のWebサーバの二次記憶装置内にあるWebページ用ファ
イルを改ざんする事件が発生した。管理者は正当な権限
を持っているため、ホストコンピュータ側からの二次記
憶装置内への不正進入を二次記憶装置側で止めることは
できない。成りすましに関しては、ファイアウォールに
よってある程度防護することができる。ファイアウォー
ルは、それぞれ、インターネットへの接続用、イントラ
ネットへの接続用、非武装地帯(DeMilitarized Zone)
接続用と3つのネットワーク通信ポートを持つ。ここで
非武装地帯とは、インターネットからのアクセスを受け
付ける専用のホストコンピュータを配置した領域であ
る。イントラネット内のホストコンピュータがインター
ネットからのアクセスを直接受け付けると不正侵入の確
率が大きくなるため非武装領域が設けられる。ファイア
ウォールは、管理者の定めた規則に従って通信ポートを
通過するパケットの通過、不通過を決定する。例えば、
通信ポートを通過するパケット内の送信元IPアドレスと
当該パケットが入ってきたネットワーク通信ポートとを
比較する。当該パケットがインターネット側から入って
きたパケットである場合は、送信元IPアドレスがイント
ラネット内のアドレスであっても通過させない。IPアド
レスが偽造された可能性が高いためである。また、ファ
イアウォールを設けることにより、外部からのアクセス
が非武装地帯に限定されることになるため、重要なデー
タが存在するイントラネットへの侵入の確率も低下す
る。
【0003】
【発明が解決しようとする課題】上述のとおり、公知例
1の方式ではホストコンピュータの権限を不正に取得し
た侵入者の二次記憶装置への侵入を防止できない。これ
は、公知例1が、ホストコンピュータからの送信情報に
よってアクセス制御する点と、接続許可、拒否の2通り
の選択肢しか持っていない点に起因する。ホストコンピ
ュータからの送信情報は、偽造の可能性がある。また、
接続許可、拒否の2通りの選択肢しか持っていないと、
一旦接続を許可すればどんな作業も許してしまうからで
ある。また、ファイアウォールで行っていることはパケ
ットの通過、不通過の判定のみであるため、ファイアウ
ォールでは二次記憶装置に対するアクセス種別に応じた
きめ細かな保護を行うことはできない。ネットワーク直
結型の二次記憶装置においては、二次記憶装置は不特定
多数のホストコンピュータに接続される。パケットの通
過、不通過の判定規則は、接続されるホストコンピュー
タが増加するに連れて複雑になる。従って、ネットワー
ク直結型の二次記憶装置向けのデータ保護という観点で
は、ファイアウォールは適切な防御法とは言えない。
【0004】そこで、本発明が解決しようとする課題
は、ネットワーク直結型の二次記憶装置に適したセキュ
リティ保護方法を提供することにある。
【0005】
【課題を解決するための手段】本発明では、二次記憶装
置に複数のネットワーク通信ポートを持たせて、通信ポ
ートをそれぞれ異なるネットワークに接続する。アクセ
ス要求の接続許可、不許可の判定は、二次記憶装置内の
データに対する入出力命令(例えば、読み込み、書き込
み)というアクセス種別単位で行い、この判定をネット
ワーク通信ポートごとに行う。ネットワーク通信ポート
へのアクセス要求に対して、読み込み、書き込みという
アクセス種別単位で許可、不許可を設定するため、ホス
トコンピュータへ不正侵入されてもデータが改ざんされ
ることは無くなる。また、ネットワークの物理構成をも
とに許可、不許可を判定するため、成りすまし攻撃が通
用しない。更に、ホストコンピュータを識別するのでは
なく、ホストコンピュータの属するネットワークを識別
して、許可、不許可を判定するために、管理者の運用負
担が大きく軽減される。
【0006】
【発明の実施の形態】以下図面を用いて、本発明の実施
の形態を説明する。 (実施例1)本発明の構成例を図1に示す。本実施例で
は、二次記憶装置として磁気ディスク装置を用いて発明
の実施の形態を説明する。磁気ディスク装置101は、磁
気ディスク制御装置102と、実際にデータを格納する磁
気ディスク駆動装置103、104、105と、前記磁気ディス
ク制御装置102と磁気ディスク駆動装置103、104、105を
接続する内部ネットワーク106からなる。図1では、内部
ネットワークが円状の形態を持っているが、本発明が内
部ネットワークの形態に依存しないことはいうまでもな
い。磁気ディスク装置101は、ネットワーク1(107)とネ
ットワーク2(108)と接続されている。ネットワーク1
(107)には、ホストコンピュータ108、109が、ネットワ
ーク1008には、ホストコンピュータ110、111が接続され
ている。ここでいうネットワークとは、IP(Internet Pr
otocol)技術で想定される管理単位である。インターネ
ットに代表されるWAN(Wide Area Network)には、さまざ
まに企業、団体が参加している。企業、団体にも内部で
ネットワークを敷設しており、WANは階層的な構造をも
っている。この階層的な構造の1つの単位が本実施例で
いうネットワークである。異なるネットワーク間には、
必ず1か所接続点がある。この接続点で通信を中継する
機器をゲートウェイ、ルータという。異なるネットワー
ク間の通信にはゲートウェイを通過しなくてはならない
が、ゲートウェイには前記ファイアウォールも同時に設
置してあり、不正な侵入は難しい。磁気ディスク制御装
置102は、ホストコンピュータ109〜112から要求のあっ
た入出力命令を受信、解釈し、適切な形に変換して磁気
ディスク駆動装置103〜105に発行する。ホスト側通信ポ
ート0(113)、ホスト側通信ポート1(114)は、ホストコ
ンピュータ側のネットワークの通信を制御する。アクセ
ス制御部115、116は、ホスト側通信ホストコンピュータ
109〜112からの要求を解釈、実行する。ディスク側通信
制御部117、118は、内部ネットワーク106との通信制御
を行う。データ転送制御部119、120は、入出力処理で発
生するデータ転送時に、ホスト側通信ポート0(113)と
ホスト側通信ポート1(114)とディスク側通信制御部11
7、118の間のデータ転送を行う。内部バス121、122は、
ホスト側通信ポート0(113)、ホスト側通信ポート1(11
4)、アクセス制御部115、116、データ転送制御部119、1
20を相互接続する。アクセス制御テーブル123は、磁気
ディスク駆動装置103〜105に記憶されたデータのアクセ
ス権限設定情報を格納する。管理コンソール124は、管
理者が磁気ディスク装置101の保守、管理を行うための
情報表示、保守要求の送受信に使用する。管理コンソー
ル124は、情報表示のための画面(図示せず)や、管理者
からの要求を受け付けるキーボードのような入出力機器
(図示せず)を備えている。また管理コンソール124は、
磁気ディスク装置101と物理的に一体化しており、構成
変更、電源切断、電源投入などのシステムに重大な影響
のある操作は、装置の前に立たなければできないように
なっている。これは、装置の前に立つということが侵入
者にとって最も困難なチェックポイントであるからであ
る。テーブル制御部125は、管理コンソールと通信し
て、アクセス制御テーブル123の内容を管理コンソール
に転送したり、変更したりする。図1では、ホスト側通
信ポートが2個搭載しているが、本発明は、ホスト側通
信ポートの数に依存しないことはいうまでもない。図2
にアクセス制御テーブル123の形式と設定例を示す。論
理ディスク0(201)、論理ディスク1(202)、論理ディス
ク(n-1)(203)の列は、論理ディスクごとのアクセス権限
設定を記述する。ここで論理ディスクとは、磁気ディス
ク制御装置102がホストコンピュータ109〜112に対して
仮想的に実現した磁気ディスクである。論理ディスク
は、磁気ディスク駆動装置103〜105と一致してもよい
し、一致していなくてもよい。論理ディスクの利点は、
実際に搭載した磁気ディスク駆動装置の記憶容量に依存
せず、容量を設定できるなど、管理面の自由度が高くな
る点である。通信ポート0 204の行は、ホスト側通信ポ
ート0(113)からのアクセスが各論理ディスクに対して
許可された入出力命令が記述される。通信ポート1 205
の欄も同様である。このようにして、アクセス制御テー
ブル123の各欄は、論理ディスクに対して、通信ポート
からの許可された入出力命令を記述する。記述できるの
は、「READ可能」、「WRITE可能」、「-」の3種類であ
る。「READ可能」はREADのみ可能、「WRITE可能」はWRI
TEのみ可能、「-」は、当該通信ポートに接続されたホ
ストコンピュータは検出できない。従来のセキュリティ
技術は、ネットワーク接続の許可、拒否のレベルで制御
していたため、アクセス制御テーブルの各欄に「READ W
RITE可能」か「-」しか記入できないことに相当する。
図2では、論理ディスク0は、通信ポート0からのアクセ
スはREAD WRITE可能であるが、通信ポート1からはREAD
のみ可能であることを示している。論理ディスク1は、
通信ポート0からはREAD WRITE可能、通信ポート1からは
検出不能である。すなわち通信ポート1 114に接続した
ホストコンピュータ111〜112は、論理ディスク1の存在
さえわからない。論理ディスク(n-1)は、逆に通信ポー
ト0からは検出不能だが、通信ポート1からはREAD WRITE
可能である。本実施例では、許可する入出力命令を「RE
AD」、「WRITE」としたが、データに対する可能な入出
力命令に対して拡張可能なのはいうまでもない。たとえ
ば、二次記憶装置インタフェースの代表的な規格である
SCSI規格では、数十種の入出力命令を規定しており、前
記SCSI規格の入出力命令それぞれをアクセス制御テーブ
ル123の各欄に記述することも可能である。さらに、本
実施例では、論理ディスク単位でアクセス権限の設定を
行うようにしているが、その他のデータの管理単位、た
とえば、ファイル、レコード単位でのアクセス権限設定
が可能であることはいうまでもない。図3に磁気ディス
ク装置101が入出力命令を受信、実行するフローチャー
トを示す。 ステップ301 処理の開始 ステップ302:ホストコンピュータからの入出力命令は
ネットワークを介してホスト側通信ポート113または114
に到着する。ホスト側通信ポート113または114は、対応
するアクセス制御部115、116に入出力命令を転送する。 ステップ303:アクセス制御部115、116は入出力命令に
含まれる論理ディスク番号を抽出する。本実施例のよう
に論理ディスク単位で管理する入出力体系では、入出力
命令に論理ディスク番号が含まれる。さらに、当該入出
力命令が到着したホスト側通信ポートの識別子を取得す
る。 ステップ304:アクセス制御部115または116は、テーブ
ル制御部125を介してアクセス制御テーブル123を検索す
る。ステップ303で取得した論理ディスク番号とホスト
側通信ポート識別子から、アクセス制御テーブル123の
該当する欄の内容を読み取る。 ステップ305:アクセス制御部115、116は、アクセス制
御テーブル123の該当する欄を読み取った結果、当該入
出力命令が許可されているか判定する。 ステップ306:当該入出力命令が許可されていれば、そ
のまま実行する。 ステップ307:当該入出力命令が許可されていなけれ
ば、アクセス制御部115、116は当該入出力命令の失敗を
ホストコンピュータに通知する。SCSI規格では、入出力
命令が失敗すると、ホストコンピュータは、装置のエラ
ー情報を磁気ディスク装置101に要求する「REQUEST:SE
NSE」要求を発行することがある。磁気ディスク装置101
は、「REQUEST:SENSE」要求の応答として、当該要求が
許可されていないことをホストコンピュータに送信する
方法も可能である。 ステップ308:アクセス制御部115、116は、不正アクセ
スがあったことを管理コンソール124に報告する。管理
コンソール124は、本不正アクセスをログファイルに記
録する。 ステップ309:管理コンソール124は、画面に不正アクセ
スがあったことを表示し、管理者に不正アクセスの発生
を伝える。 ステップ310:処理の終了 このようにして、通信ポートごとに、アクセス制御を行
うことができる。アクセス制御テーブル123の情報設
定、変更方法を図4に示す。 ステップ401:処理の開始 ステップ402:管理者は磁気ディスク装置101の管理コン
ソール124の前に立ち、管理コンソール124を操作する。
管理者はアクセス制御テーブル123の変更要求を出す。 ステップ403:管理コンソール124は、ステップ402で変
更要求を発行した人間が正規の権限を持った管理者か判
定する、認証作業を行う。認証の方法は、パスワードに
よる方法や、指紋、網膜の血管の模様、手の指先の静脈
のパターンなどのバイオメトリックスによる方法があ
る。ただし、本発明は認証の方法に依存しないことはい
うまでもない。 ステップ404:ステップ403の認証作業の結果、正規の権
限を持った管理者か判定を行う。 ステップ405:認証作業の結果、管理コンソール124が正
規の権限をもった管理者であると認めた場合、管理コン
ソール124は、テーブル制御部125にテーブル変更要求を
だす。テーブル制御部125は、要求に従いアクセス制御
テーブル123の当該個所を変更する。 ステップ406:変更が終了したら、テーブル制御部125は
管理コンソール124に変更終了を報告する。管理コンソ
ール124は画面に一連の操作が終了したことを表示す
る。 ステップ407:ステップ404で正規の権限をもっていない
と判定された場合、管理コンソール124は画面に正規の
権限をもっていないことを表示する。さらに、認証に失
敗したことをログファイルに記録する。認証の失敗が短
時間のうちに多数発生した場合は、管理コンソールは、
人間からの入力受付を停止する措置を取る。 ステップ408:処理の終了 (実施例2)次に、図5、図6を用いて本発明の第2の実
施例を説明する。実施例2は本発明を部門間で磁気ディ
スク装置101を共有するシステムに適用した例である。
複数の部門間で磁気ディスク装置を共有した場合、他部
門に対して、読み込みのみ許すデータと、読み込み、書
き込み両方許すデータと、存在を全く知らせないデータ
の3種類がある。本発明を適用すれば、容易にこのよう
な使い分けを実現できる。磁気ディスク装置101は部門1
ネットワーク501と部門2ネットワーク502と接続されて
いる。部門1ネットワーク501には、部門1の人間が使用
するホストコンピュータ503、504が接続されている。ホ
スト側通信ポート0(113)は部門1ネットワーク501に、
ホスト側通信ポート1 113は部門2ネットワーク502に接
続する。部門2ネットワーク502には、部門2の人間が使
用するホストコンピュータ505、506が接続されている。
管理者は、磁気ディスク装置101内に論理ディスク0 50
7〜論理ディスク4 511を配置する。論理ディスク0 507
と論理ディスク1 508は、部門1のディスク領域512とす
る。部門1からはREAD、WRITEともに可能とする。論理デ
ィスク2 509と論理ディスク3510は部門2のディスク領域
513とする。部門2からはREAD、WRITEともに可能とす
る。論理ディスク4 512は、部門1、2共有領域514とす
る。すなわち、部門1、2からREAD、WRITE可能とする。
さらに、部門1ディスク領域512は、部門1占有領域515と
他部門共有領域516に分ける。部門1占有領域515は、他
部門からは検出不能とする。他部門共有領域516は、他
部門からはREADのみ可能とする。部門2ディスク領域513
も同様に、部門2占有領域518と他部門共有領域517に分
ける。このような使い分けを実現するためには、アクセ
ス制御テーブル123を図6のように設定する。論理ディス
ク0の欄601は、通信ポート0 204の行は「READ可能」、
「WRITE可能」の両方を記入する。一方、通信ポート1 2
05の行は、「-」を記入する。こうして論理ディスク0 5
07は部門1からはREAD、WRITE可能、部門2からは検出不
可とすることができる。論理ディスク1の欄602は、通信
ポート0 204の行は「READ可能」、「WRITE可能」の両方
を記入する。一方、通信ポート1 205の行は、「READ可
能」を記入する。こうして、論理ディスク1 508は、部
門1からはREAD、WRITE可能、部門2からは、READのみ可
能とすることができる。部門2のディスク領域513に属す
る論理ディスク2 509、論理ディスク3 510も同様であ
る。部門間共有領域514に属する論理ディスク4 511
は、論理ディスク4 605の列内の欄すべてに「READ可
能」、「WRITE可能」を記入する。このような設定で両
部門からREAD、WRITE可能な領域を作成できる。このよ
うにして部門間のデータ共有と適切なセキュリティ設定
が容易に実現できる。 (実施例3)次に、図7、8を用いて、本発明第3の実施
例を説明する。図7は典型的なWebサーバシステムを示し
たものである。システムはインターネット701に接続さ
れ、インターネット701にはWebシステムを利用するクラ
イアント702が接続されている。インターネット701との
接続点にはファイアウォール703があり、通信の中継を
行っている。ファイアウォール703は、イントラネット7
04と非武装地帯705に接続されている。非武装地帯705
は、
【従来の技術】で述べたように、Webサーバ706のような
インターネット701からのアクセスを受けるサーバを限
定する目的で設定される。ファイアウォール703がイン
ターネット側から到着するパケットを非武装地帯705側
のみに中継することで実現される。イントラネット704
には、磁気ディスク装置101内のデータベースをアクセ
スするDBサーバ707や、動的なWebページを生成したり、
クライアント702に対話的なサービスを提供するAPサー
バ708が接続している。近年の対話的サービスを提供す
るWebシステムでは、Webサーバ706、DBサーバ707、APサ
ーバ708に機能分担するのが一般的になっている。磁気
ディスク装置101は、イントラネット704とWebサーバ706
に接続されている。本実施例では、ホスト側通信ポート
0(113)をイントラネット704に、ホスト側通信ポート1
(114)をWebサーバ706に接続する。磁気ディスク装置101
内をインターネット領域709とイントラネット領域710に
分割する。インターネット領域709は、論理ディスク5 7
11からなり、主にWebページのファイルを格納してい
る。これらは利用者に表示するだけであり、改ざんを防
ぐ意味からも、Webサーバ706側からはREADのみ可能とす
る必要がある。一方、Web管理者は更新作業を行うた
め、イントラネット704側からはREAD、WRITE可能とする
必要がある。イントラネット領域710は、論理ディスク6
712からなり、主に利用者データベースを格納してい
る。これらはイントラネット704側ではREAD、WRITE可能
でなければならないが、インターネット701側からは決
してアクセスさせてはならない。したがって、検出不可
としなければならない。本発明を応用すれば、前記設定
も容易に実現できる。図8にアクセス制御テーブル123の
本実施例における設定を示す。論理ディスク5の列801
は、通信ポート0 204の欄は、「READ可能」、「WRITE可
能」の両方を設定する。一方通信ポート1 205の欄は、
「READ可能」のみ設定する。論理ディスク6の列802は、
通信ポート0204の欄は「READ可能」、「WRITE可能」で
あるが、通信ポート1 205の欄は「-」を設定する。図8
の設定により、Webページ改ざんを防ぎ、イントラネッ
ト704側からは随時更新が可能となる。Webページを改ざ
んするためには、イントラネット704に侵入しなければ
ならないが、ファイアウォール703のような防壁が存在
するため、Webサーバ706に侵入するよりも困難になる。 (実施例4)本発明の第4の実施例は,2つのネットワ
ーク通信ポートをそれぞれ異なるネットワークに接続
し,データを2つの領域に分け,該第1のネットワーク通
信ポートからは,該2つのデータ領域に対して,参照,
更新可能とし,該第2のネットワーク通信ポートから
は,該第1のデータ領域はいかなるアクセスも不許可,
該第2のデータ領域は参照のみ許可する設定を行うこと
を特徴とするアクセス制御方法にある。また、2つのネ
ットワーク通信ポートをそれぞれ異なるネットワークに
接続し,データを2つの領域に分け,該第1のネットワー
ク通信ポートからは,該2つのデータ領域に対して,参
照,更新可能とし,該第2のネットワーク通信ポートか
らは,該第1のデータ領域はいかなるアクセスも不許
可,該第2のデータ領域は参照,更新可能する設定を行
うことを特徴とするアクセス制御方法にある。
【0007】
【発明の効果】上記のように、本発明では、ネットワー
クの物理的配置の情報をもとにデータへのアクセスを制
御するため、従来のセキュリティ方式と比較してデータ
の機密性を高めることができる。また、従来のようにホ
ストコンピュータ1台1台を認証するのではなく、同一ネ
ットワークに接続したホストコンピュータはすべて同一
の権限を持たせるため、管理者の運用負担を減らすこと
ができる。さらに、二次記憶装置側で入出力命令ごとに
許可、不許可の設定が可能なため、データ共有における
きめ細かい権限設定が可能となる。従来は防げなかった
データの改ざんなどを防ぐことができる。
【図面の簡単な説明】
【図1】本発明の第1の実施例における全体の構成図で
ある。
【図2】本発明のアクセス制御テーブルの形式である。
【図3】本発明の磁気ディスク装置における入出力時の
フローチャートである。
【図4】本発明の磁気ディスク装置におけるアクセス制
御テーブル更新、設定時のフローチャートである。
【図5】本発明の第2の実施例における全体の構成図で
ある。
【図6】本発明の第2の実施例におけるアクセス制御テ
ーブルの内容である。
【図7】本発明の第3の実施例における全体の構成図で
ある。
【図8】本発明の第3の実施例におけるアクセス制御テ
ーブルの内容である。
【符号の説明】
101・・・磁気ディスク装置、102・・・磁気ディスク制
御装置、103、104、105・・・磁気ディスク駆動装置、1
06・・・内部ネットワーク、107・・・ネットワーク1、
108・・・ネットワーク2、109、110、111、112・・・ホ
ストコンピュータ、113・・・ホスト側通信ポート0、11
4・・・ホスト側通信ポート1、115、116・・・アクセス
制御部、117、118・・・ディスク側通信制御部、119、1
20・・・データ転送制御部、121、122・・・内部バス、
123・・・アクセス制御テーブル、124・・・管理コンソ
ール、125・・・テーブル制御部、201・・・論理ディス
ク0の欄、202・・・論理ディスク1の欄、203・・・論理
ディスク(n-1)の欄、204・・・ホスト側通信ポート0の
行、205・・・ホスト側通信ポート1の行、301・・・処
理の開始、302・・・磁気ディスク装置101がホストコン
ピュータから入出力命令を受信するステップ、303・・
・アクセス制御部115、116が入出力命令から論理ディス
ク番号を抽出、該入出力命令を受信した通信ポート識別
子を抽出するステップ、304・・・アクセス制御部115、
116がアクセス制御テーブルを検索するステップ、305・
・・アクセス制御部115、116が当該要求が許可されてい
るか判定するステップ、306・・・アクセス制御部が、
当該入出力命令を実行するステップ、307・・・アクセ
ス制御部115、116が当該入出力命令の失敗をホストコン
ピュータに報告するステップ、308・・・アクセス制御
部115、116が管理コンソール124に不正アクセスが発生
したことを報告するステップ、309・・・管理コンソー
ル124が画面に不正アクセスの発生を表示するステッ
プ、310・・・処理の終了、401・・・処理の開始、402
・・・管理者がアクセス制御テーブルの変更要求をだす
ステップ、403・・・管理者を認証するステップ、404・
・・正規の管理者か判定するステップ、405・・・アク
セス制御テーブルを変更するステップ、406・・・アク
セス制御テーブル変更完了を報告するステップ、407・
・・権限がないことを表示するステップ、408・・・処
理の終了、501・・・部門1ネットワーク、502・・・部
門2ネットワーク、503、504、505、506・・・ホストコ
ンピュータ、507・・・論理ディスク0、508・・・論理
ディスク1、509・・・論理ディスク2、510・・・論理デ
ィスク3、511・・・論理ディスク4、512・・・部門1デ
ィスク領域、513・・・部門2ディスク領域、514・・・
部門間共有領域、515・・・部門1占有領域、516・・・
他部門共有領域、517・・・他部門共有領域、518・・・
部門2占有領域、601・・・論理ディスク0の欄、602・・
・論理ディスク1の欄、603・・・論理ディスク2の欄、6
04・・・論理ディスク3の欄、605・・・論理ディスク4
の欄、701・・・インターネット、702・・・クライアン
ト、703・・・ファイアウォール、704・・・イントラネ
ット、705・・・非武装地帯、706・・・Webサーバ、707
・・・DBサーバ、708・・・APサーバ、709・・・インタ
ーネット領域、710・・・イントラネット領域、711・・
・論理ディスク5、712・・・論理ディスク6、801・・・
論理ディスク5の欄、802・・・論理ディスク6の欄。

Claims (17)

    【特許請求の範囲】
  1. 【請求項1】複数の不揮発性データ格納手段と、該不揮
    発性データ格納手段の制御装置と、前記不揮発性データ
    格納手段と前記制御装置とを相互に接続する内部ネット
    ワークとを有する二次記憶装置において、前記制御装置
    は、各々異なるネットワークに接続される複数のネット
    ワーク通信ポートと、前記通信ポートに要求された入出
    力命令を処理するアクセス制御部と、前記複数の通信ポ
    ートの1と前記複数の不揮発性データ格納手段の1との
    間で許可される入出力命令を規定するアクセス制御設定
    情報が格納されたアクセス制御テーブルとを有すること
    を特徴とする二次記憶装置。
  2. 【請求項2】請求項1に記載の二次記憶装置において、
    前記アクセス制御部は、前記アクセス制御設定情報に基
    づき、前記通信ポートに要求された入出力命令の許可、
    拒否を判定することを特徴とする二次記憶装置。
  3. 【請求項3】請求項1に記載の二次記憶装置において、
    前記アクセス制御設定情報は、と前記複数の不揮発性デ
    ータ格納手段に対して設定された論理ディスクと前記複
    数の通信ポートの1との間で許可される入出力命令に対
    して設定されていることを特徴とする二次記憶装置。
  4. 【請求項4】請求項1に記載の二次記憶装置において、
    前記アクセス制御設定情報を設定、変更する管理コンソ
    ールを備えたことを特徴とする二次記憶装置。
  5. 【請求項5】請求項1に記載の二次記憶装置において、
    全ての通信ポートに対して読出し不許可と設定されたア
    クセス制御設定情報を備えたことを特徴とする二次記憶
    装置。
  6. 【請求項6】請求項3に記載の二次記憶装置において、
    前記アクセス制御部は、不許可と判定した入出力命令を
    前記管理コンソールに対して報告することを特徴とする
    二次記憶装置。
  7. 【請求項7】請求項5に記載の二次記憶装置において、
    前記管理コンソールは、アクセス制御部から報告された
    前記入出力命令を記録する記録手段を備えたことを特徴
    とする二次記憶装置。
  8. 【請求項8】各々異なるネットワークに接続される複数
    のネットワーク通信ポートと、前記通信ポートに要求さ
    れた入出力命令を処理するアクセス制御部と、前記複数
    の通信ポートの1と前記複数の不揮発性データ格納手段
    の1との間で許可される入出力命令を規定するアクセス
    制御設定情報が格納されたアクセス制御テーブルとを備
    えた制御装置と、複数の不揮発性データ格納手段と、該
    不揮発性データ格納手段と前記制御装置とを相互に接続
    する内部ネットワークとを備えた二次記憶装置のアクセ
    ス制御方法において、前記アクセス制御部は、前記ネッ
    トワーク通信ポートに到着した入出力命令に対して、該
    入出力命令が対象とする前記不揮発データ格納手段の管
    理単位と該入出力命令が要求されたネットワーク通信ポ
    ートとを同定し、前記アクセス制御テーブルを参照し、
    前記入出力命令が到達した通信ポートと前記入出力命令
    が対象とする管理単位間で許可されている入出力命令を
    検索し、前記入出力命令が許可されているか否かを判定
    することを特徴とする二次記憶装置のアクセス制御方
    法。
  9. 【請求項9】請求項8に記載のアクセス制御方法におい
    て、前記アクセス制御手段が不許可と判定した場合に、
    前記入出力命令の送信元に不許可の判定を送信すること
    を特徴とするアクセス制御方法。
  10. 【請求項10】請求項8に記載のアクセス制御方法にお
    いて、前記不揮発性データ格納手段に格納された特定の
    データに対するアクセス不許可の判定回数が所定の閾値
    を越えた場合に、前記複数の通信ポートから当該データ
    へのアクセスを不許可とすることを特徴とするアクセス
    制御方法。
  11. 【請求項11】請求項8に記載のアクセス制御方法にお
    いて、前記不揮発性データ格納手段に格納された特定の
    データに対するアクセス不許可の判定回数が所定の閾値
    を越えた場合に、当該二次記憶装置の管理者にアクセス
    不許可の判定回数が所定の閾値を越えたことを通知する
    アクセス制御方法。
  12. 【請求項12】請求項8に記載のアクセス制御方法にお
    いて、前記入出力命令体系がSCSI(Small Computer Sys
    tem Interface)規格であった場合に、異常の報告とし
    て「CHECKCONDITION」ステータスを送信することを特徴
    とするアクセス制御方法。
  13. 【請求項13】請求項12に記載のアクセス制御方法に
    おいて、ホストコンピュータが「CHECKCONDITION」ステ
    ータスを受信した後「REQUEST SENSE」要求を発行した
    場合に、その応答であるセンス・キー、センス・データ
    として異常を示すコードを送信することを特徴とするア
    クセス制御方法。
  14. 【請求項14】請求項13に記載のアクセス制御方法に
    おいて、センス・キーとして「IllegalRequest」を送信
    することを特徴とするアクセス制御方法。
  15. 【請求項15】請求項13に記載のアクセス制御方法に
    おいて、センス・キーとして「Data Protected」を送信
    することを特徴とするアクセス制御方法。
  16. 【請求項16】請求項8に記載のアクセス制御方法にお
    いて、前記入出力命令体系がNFS(Network File System)
    であった場合に、アクセス不許可の報告として、NFSエ
    ラーコード「NFSERR_PERM」を送信することを特徴とす
    るアクセス制御方法。
  17. 【請求項17】請求項8に記載のアクセス制御方法にお
    いて、前記入出力命令体系がNFS(Network File System)
    であった場合に、アクセス不許可の報告として、NFSエ
    ラーコード「NFSERR_ACCS」を送信することを特徴とす
    るアクセス制御方法。
JP2002002935A 2002-01-10 2002-01-10 セキュリティ機構を備えた二次記憶装置およびそのアクセス制御方法 Pending JP2003208269A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2002002935A JP2003208269A (ja) 2002-01-10 2002-01-10 セキュリティ機構を備えた二次記憶装置およびそのアクセス制御方法
US10/084,910 US7167958B2 (en) 2002-01-10 2002-03-01 Second storage system equipped with security system and a method of controlling the second storage system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002002935A JP2003208269A (ja) 2002-01-10 2002-01-10 セキュリティ機構を備えた二次記憶装置およびそのアクセス制御方法

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2008201378A Division JP2008276806A (ja) 2008-08-05 2008-08-05 記憶装置

Publications (1)

Publication Number Publication Date
JP2003208269A true JP2003208269A (ja) 2003-07-25

Family

ID=19190808

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002002935A Pending JP2003208269A (ja) 2002-01-10 2002-01-10 セキュリティ機構を備えた二次記憶装置およびそのアクセス制御方法

Country Status (2)

Country Link
US (1) US7167958B2 (ja)
JP (1) JP2003208269A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005166023A (ja) * 2003-11-14 2005-06-23 Ricoh Co Ltd 画像形成装置、画像形成システム、セキュリティ管理装置およびセキュリティ管理方法
JP2010198277A (ja) * 2009-02-25 2010-09-09 Nec Corp ストレージ装置

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004302713A (ja) * 2003-03-31 2004-10-28 Hitachi Ltd 記憶システム及びその制御方法
US7549029B2 (en) * 2005-05-06 2009-06-16 International Business Machines Corporation Methods for creating hierarchical copies
JP2007065984A (ja) * 2005-08-31 2007-03-15 Hitachi Ltd 記憶制御装置及び分離型記憶装置
US8656487B2 (en) * 2005-09-23 2014-02-18 Intel Corporation System and method for filtering write requests to selected output ports
US20070088931A1 (en) * 2005-10-17 2007-04-19 Nobuyuki Osaki Method and apparatus to authorize cross-partition commands
US7797488B2 (en) * 2007-03-05 2010-09-14 Accusys, Inc. Method of creating a multiple of virtual SATA ports in a disk array controller
DE102010010949B4 (de) 2010-03-10 2018-06-21 Storz Endoskop Produktions Gmbh Brückenvorrichtung zur Kopplung eines medizinischen Netzwerks mit einem nicht-medizinischen Netzwerk
US9690518B2 (en) * 2014-08-29 2017-06-27 Sandisk Technologies Llc Dynamic host command rejection
WO2016050315A1 (en) * 2014-10-02 2016-04-07 Hitachi Data Systems Engineering UK Limited Method and an apparatus, and related computer-program products, for managing access request in multi-tenancy environments
JP6529304B2 (ja) * 2015-03-25 2019-06-12 株式会社日立ソリューションズ アクセス制御システム及びアクセス制御方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3228182B2 (ja) 1997-05-29 2001-11-12 株式会社日立製作所 記憶システム及び記憶システムへのアクセス方法
US6295575B1 (en) * 1998-06-29 2001-09-25 Emc Corporation Configuring vectors of logical storage units for data storage partitioning and sharing
JP2000347808A (ja) 1999-06-02 2000-12-15 Hitachi Ltd ネットワークに直接接続可能なディスク装置
US6854034B1 (en) * 1999-08-27 2005-02-08 Hitachi, Ltd. Computer system and a method of assigning a storage device to a computer
US6343324B1 (en) * 1999-09-13 2002-01-29 International Business Machines Corporation Method and system for controlling access share storage devices in a network environment by configuring host-to-volume mapping data structures in the controller memory for granting and denying access to the devices
US6671776B1 (en) * 1999-10-28 2003-12-30 Lsi Logic Corporation Method and system for determining and displaying the topology of a storage array network having multiple hosts and computer readable medium for generating the topology
JP4651230B2 (ja) * 2001-07-13 2011-03-16 株式会社日立製作所 記憶システム及び論理ユニットへのアクセス制御方法
JP2001249769A (ja) 2000-03-07 2001-09-14 Hitachi Ltd 記憶装置
JP4719957B2 (ja) * 2000-05-24 2011-07-06 株式会社日立製作所 記憶制御装置及び記憶システム並びに記憶システムのセキュリティ設定方法
KR20020062763A (ko) * 2000-10-19 2002-07-29 가부시키가이샤 스카라베 코포레이션 정보처리 시스템
JP4620267B2 (ja) 2001-02-16 2011-01-26 株式会社スカラベ・コーポレーション 情報処理システム
US20030093509A1 (en) * 2001-10-05 2003-05-15 Li Raymond M. Storage area network methods and apparatus with coordinated updating of topology representation
US6907496B2 (en) * 2002-05-02 2005-06-14 International Business Machines Corporation Method and apparatus for auto-detection of a configuration of a flash memory

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005166023A (ja) * 2003-11-14 2005-06-23 Ricoh Co Ltd 画像形成装置、画像形成システム、セキュリティ管理装置およびセキュリティ管理方法
JP4704010B2 (ja) * 2003-11-14 2011-06-15 株式会社リコー 画像形成装置、画像形成システム、セキュリティ管理装置およびセキュリティ管理方法
JP2010198277A (ja) * 2009-02-25 2010-09-09 Nec Corp ストレージ装置

Also Published As

Publication number Publication date
US7167958B2 (en) 2007-01-23
US20030131261A1 (en) 2003-07-10

Similar Documents

Publication Publication Date Title
US8510572B2 (en) Remote access system, gateway, client device, program, and storage medium
US7093291B2 (en) Method and system for detecting and preventing an intrusion in multiple platform computing environments
US8353017B2 (en) User password protection
US20040263315A1 (en) Information security system interworking with entrance control device and control method thereof
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
JP4512179B2 (ja) ストレージ装置及びそのアクセス管理方法
US20060272029A1 (en) Command processing system by a management agent
US20040111637A1 (en) Method and system for responding to a computer intrusion
CN1981277A (zh) 隔离系统
JP2003233521A (ja) ファイル保護システム
US11856015B2 (en) Anomalous action security assessor
WO2012063493A1 (ja) 脆弱性診断装置
JP2003208269A (ja) セキュリティ機構を備えた二次記憶装置およびそのアクセス制御方法
CN109936555A (zh) 一种基于云平台的数据存储方法、装置及系统
EP3948598A1 (en) Anomalous user session detector
US20030033495A1 (en) Network storage devices
RU2434283C1 (ru) Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
US20080307171A1 (en) System and method for intrusion protection of network storage
WO2021033868A1 (ko) 가변 컴퓨터 파일시스템이 적용된 데이터 저장장치
US10320829B1 (en) Comprehensive modeling and mitigation of security risk vulnerabilities in an enterprise network
JP4843546B2 (ja) 情報漏洩監視システムおよび情報漏洩監視方法
JP2008276806A (ja) 記憶装置
JP4408837B2 (ja) 認証システム
CN112311768B (zh) 非http协议应用的策略中心、控制系统、方法、介质及设备
JP4752125B2 (ja) コンピュータシステム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040825

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060419

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060822

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061016

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070828

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071026

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20071026

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20071204

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080610