JP2007250009A - Storage control device and storage system - Google Patents

Storage control device and storage system Download PDF

Info

Publication number
JP2007250009A
JP2007250009A JP2007160411A JP2007160411A JP2007250009A JP 2007250009 A JP2007250009 A JP 2007250009A JP 2007160411 A JP2007160411 A JP 2007160411A JP 2007160411 A JP2007160411 A JP 2007160411A JP 2007250009 A JP2007250009 A JP 2007250009A
Authority
JP
Grant status
Application
Patent type
Prior art keywords
device
storage
information
data
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007160411A
Other languages
Japanese (ja)
Inventor
Hidehiko Iwasaki
Masaaki Kobayashi
Kenji Muraoka
Toshio Nakano
Akiyoshi Sanada
Masahiko Sato
Kenichi Takamoto
俊夫 中野
雅彦 佐藤
正明 小林
秀彦 岩崎
健司 村岡
明美 眞田
賢一 高本
Original Assignee
Hitachi Ltd
株式会社日立製作所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a storage system enabling to set a security function for preventing unauthorized access from a higher-level device in an environment where access from the higher-level device can be accepted. <P>SOLUTION: Input of N_Port_Name information which can uniquely identify the higher-level devices 10, 20, 30 and information on which LU the respective higher-level devices can access can be accepted by a microprocessor 42 of the storage control device 40. The input of the information can be performed by a panel 47 or a utility program of the higher-level device. When the higher-level devices 10, 20, 30 access the LU, the higher-level device is specified from the N_Port_Name information included in an access command and the input information, and comparison is made with information on whether the higher-level device can access the LU. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、上位装置と接続される記憶制御装置、及び記憶制御装置配下の記憶装置から成る記憶システムにおいて、上位装置から記憶制御装置配下の記憶装置へのアクセス要求があった際の、不正アクセス防止手段に関する。 The present invention is a storage control device which is connected to a host device, and the storage system comprising a storage device under the storage controller, when there is an access request from the host device to the storage device under storage controller, unauthorized access on the prevention means.

ネットワーク上の不正アクセス防止に関しては、従来から種々の技術が知られている。 With respect to prevent unauthorized access on the network, various techniques have been known.

例えば、特開平3−152652号公報には、TCP/IPをサポートするコンピュータシステム間のネットワークセキュリティシステムとして、ログインできるユーザIDをメモリに定義しておくことにより、定義されたユーザID以外でログインしようとすると、そのネットワークを切断する機能を持たせることが開示されている。 For example, Japanese Patent Laid-Open No. 3-152652, as a network security system between computer systems that supports TCP / IP, by previously defining the user ID that can log into the memory, attempts to log in other than the user ID defined When, it is disclosed that have a function of cutting the network.

また、特開昭63−253450号公報には、中央処理装置のオペレーティングシステムがユーザID、パスワード、回線アドレスをチェックすることにより、ディスク装置のファイルへの不正アクセス防止を行なうことが示されている。 Further, in JP-A-63-253450, the operating system the user ID of the central processing unit, a password, by checking the line address has been shown to perform prevent unauthorized access to the file of the disk device .

さらに、IBM社のESCONインタフェースでは、上位装置が当該上位装置の論理アドレスをソースアドレスとしてフレームに格納し、送信してくることを利用して、記憶制御装置が事前に記憶制御装置に設定した論理アドレスとフレーム内の論理アドレスが一致するか否かをチェックする機能を設けている。 Furthermore, the IBM Corporation ESCON interfaces, logical high-level equipment is stored in the frame a logical address of the host device as a source address, by using the fact that coming transmitted, the storage control device is set in advance in the memory controller It is provided with a function of checking whether the address and the logical address in the frame matches.

上述した従来技術は、上位論理層に1種類のレイヤを搭載するインタフェースを対象とした不正アクセス防止手段の域を出ないものである。 Prior art described above is one that does not leave the realm of trusted means intended for the interface for mounting the one layer to the upper logical layer.

しかし、ANSIX3T11で標準化されたファイバチャネルは、ネットワーク形アーキテクチャであり、上位論理層にはTCP/IP、SCSI、ESCON、IPI等の種々のレイヤを搭載可能である。 However, standardized Fiber Channel is ANSIX3T11, a network type architecture, the upper logical layer TCP / IP, SCSI, ESCON, can be mounted to various layers such as IPI. すなわち、データのフォーマットや内容には無関係に一台の装置から別の装置へバッファの内容を移すため、他のインタフェースと論理的に互換性を持ち、物理的に自由にアクセス可能である。 That is, since the format and contents of the data transfer regardless contents of the buffer from a single device to another, have other interface and logically compatible, is physically freely accessible. 特に、このファイバチャネルと、ディスクアレイ装置等の複数の記憶領域を有する記憶装置とを備えた記憶システムにおいては、上記記憶領域は多くの上位装置に共用される。 In particular, the this Fiber Channel, in a storage system including a storage device having a plurality of storage areas such as a disk array apparatus, the storage area is shared by many of the host device. したがって、従来の不正アクセス防止策では不十分であり、ユーザが意識したセキュリティ設定により、機密保持を行なう必要がある。 Therefore, the conventional unauthorized access prevention is insufficient, the security setting by the user aware, it is necessary to perform the confidentiality.
特開平3−152652号公報 JP-3-152652 discloses

本発明は、ANSIX3T11で標準化されたファイバチャネルを、上位装置と記憶制御装置間のインタフェースとし、上位装置、記憶制御装置、及び、この記憶制御装置配下の記憶装置から成るコンピュータシステムにおいて、物理的にあらゆる上位装置からのアクセスを受け付けることが可能な環境の中で、上位装置からの不正なアクセスを拒絶する手段を持たなかった記憶制御装置に対し、上位装置からの不正なアクセスを防止するセキュリティ機能を設定出来る記憶制御装置及び記憶システムを提供することを目的とする。 The present invention is a standardized fiber channel ANSIX3T11, the interface between host device and the storage controller, host device, storage controller, and, in a computer system comprising a storage device under the storage controller, physically among the possible environmental to accept access from any host device, to the storage control device did not have a means for rejecting unauthorized access from the host device, the security features to prevent unauthorized access from the host device and to provide a storage controller and a storage system can be set.

さらに、本発明は、上位装置からの不正アクセス防止のために、アクセス可能な上位装置を容易に設定できる方式を持つ記憶制御装置及び記憶システムを提供することを目的とする。 Furthermore, the present invention is, for preventing unauthorized access from the host device, and an object thereof is to provide a storage controller and a storage system with a method that can be easily set accessible host device.

本発明によれば、上記目的は、アクセス可能な上位装置の、上位装置を一意に識別するN_Port_Name情報を当該記憶制御装置に設定し、上位装置から送られてくるフレーム内に格納されたN_Port_Name情報と比較し、アクセスの可否を決定することにより達成される。 According to the present invention, the above object is accessible upper apparatus, the N_Port_Name information uniquely identifying the host apparatus is set in the storage controller, N_Port_Name information stored in the frame sent from the higher-level device compared to, it is accomplished by determining whether the access.

上記目的を達成するための本発明の具体的な特徴は、上位装置から発行される、上位装置を一意に識別する情報であるN_Port_Name情報を、パネル等を用いて入力し、入力情報を記憶制御装置の制御メモリに、制御テーブルとして格納する手段を有することである。 Specific features of the present invention for achieving the above object is issued from the host device, the N_Port_Name information is information uniquely identifying the host device, and input using the panel or the like, the storage control information input the control memory of the device is that it has a means for storing a control table. この際、記憶制御装置は当該情報を再設定されるまで恒久的に保持する手段を有することが望ましい。 At this time, the storage controller desirably has a means for permanently holding until reset the information.

そして、上記制御テーブルを不揮発制御メモリに格納するようにすれば、万一の電源瞬断時にも管理情報を守ることができる。 Then, if so storing the control table in the nonvolatile control memory, it can protect the management information in the event of power supply interruption.

さらに、本発明の具体的な特徴によれば、上位装置が立ち上がった後、上位装置がN_Port_Name情報を格納したフレームを記憶制御装置に対し発行し、記憶制御装置がこれを受領した際、記憶制御装置は既に設置され、保持されている上位装置を一意に識別するN_Port_Name情報と、受領したフレームに格納されたN_Port_Name情報とを比較する手段を有し、比較により一致した場合は、記憶制御装置は当該フレームの指示に基づく処理を継続し、不一致の場合は、受領した当該フレームを拒絶するLS_RJTフレームを上位装置に返すようにしたことである。 Furthermore, according to a specific feature of the present invention, after the upper apparatus rises, the frame upper apparatus has stored the N_Port_Name information issued to the storage control device, when the storage controller has received this, the storage control device is already installed, uniquely identifying N_Port_Name information host apparatus which is held, has a means for comparing the N_Port_Name information stored in the received frame, if there is a match by the comparison, the storage controller continue processing based on the instruction of the frame, in the case of disagreement, it is that it has to return the LS_RJT frame to reject the frame of receipt to the host device. これにより、記憶制御装置は上位装置からの不正アクセスを抑止することができる。 Thus, the storage control device can suppress unauthorized access from the host device.

さらに、本発明の具体的な特徴によれば、当該記憶制御装置が有する上位インタフェース(ポート)の物理的な数以上のN_Port_Name情報を設定する手段を有することである。 Furthermore, according to a specific feature of the present invention is that it has a means for setting a physical number more N_Port_Name information of the upper interface (port) to the storage control apparatus. すなわち、1ポートで複数のN_Port_Name情報を設定する手段を有することである。 That is to have a means for setting a plurality of N_Port_Name information in one port. これにより、ファイバチャネルファブリック(Fabric)またはスイッチ接続時の論理パス多重構成に対応できる。 This enables corresponding to the logical path multiplex configuration for Fiber Channel fabric (Fabric) or switch connection.

また、当該記憶制御装置の配下に、ディスクアレイ装置のような、多くの磁気ディスクボリュームを有し、複数のチャネルパスルートを有すシステムにおいては、チャネルパスルート毎に、当該記憶制御装置配下のLUN(ロジカルユニットナンバ)による論理ディスク領域、物理ボリューム領域、RAIDグループによる論理ディスク領域等の記憶領域と、記憶制御装置のポート、上位装置のN_Port_Name情報との対応付けを記憶制御装置内で管理する手段を有することである。 Furthermore, under the said storage control device, such as a disk array device has a number of magnetic disk volume, in a system having a plurality of channel path route for each channel path routes, the storage control device under the LUN ( logical unit number) by the logical disk space, the physical volume area, and a storage area such as a logical disk space by RAID group of the storage controller ports, a means for managing the correspondence between N_Port_Name information of the host device in a storage controller it is that it has. これにより、ユーザは、記憶領域毎に、不正アクセスを防止することができ、木目細かいアクセス管理が可能となる。 Thus, the user, for each storage area, it is possible to prevent unauthorized access, it is possible to grain finer access control.

さらに、本発明においては、記憶制御装置配下の記憶装置が磁気ディスク装置、ディスクアレイ装置の代わりに、光ディスク装置、光磁気ディスク装置及び磁気テープ装置並びにこれらの各種ライブラリ装置の何れの場合でも、当該記憶制御装置は、アクセス可能な上位装置のN_Port_Name情報、記憶制御装置のポート、記憶装置の対応付けを行い、ライブラリ装置の場合はさらにドライブ、媒体の対応付けも行って、制御テーブルで管理、保持する手段を有し、フレーム受領の際にフレーム内の情報と制御テーブル内の情報を比較する手段を有し、上位装置からの不正アクセスの防止を行うことができる。 Further, in the present invention, the storage device is a magnetic disk device under storage controller, instead of a disk array device, an optical disk device, a magneto-optical disk device and a magnetic tape device, and any case of these various library apparatus, the storage controller, N_Port_Name information accessible host system, the port of the storage controller performs the association of the storage device, further drive in the case of the library apparatus, also carried correspondence medium, managed by the control table, holding to have a means includes means for comparing the information in the information and control table in the frame during the frame reception, it is possible to prevent unauthorized access from the host device.

さらに、本発明では、記憶制御装置が管理する情報を、パネル等を用いて設定する際、パスワードを入力する等により、管理情報を保護する手段を具備する。 Furthermore, in the present invention, the information storage control unit manages, when setting using a panel or the like, such as by entering a password, comprising means for protecting the management information.

これにより、ユーザは当該情報の不正な登録、不正な再設定を防止することができる。 Thus, the user unauthorized registration of the information, it is possible to prevent unauthorized reconfiguration. また、ユーザは管理情報の設定を行うだけで、容易に不正アクセスを防止可能であり、ユーザの負担が少ない。 The user just performs the setting of management information, it is possible to prevent the easy unauthorized access, less burden on the user.

なお、本発明において、記憶制御装置が管理する情報を設定する手段として、上述のように、パネル等を用いて設定する他に、上位装置のユティリティプログラムを用いて設定することも可能である。 In the present invention, as means for setting the information storage control unit manages, as described above, in addition to setting using a panel or the like, can be set using the utility program of the host device.

以上述べたように、本発明によって、ANSIX3T11で標準化されたファイバチャネルを上位装置と記憶制御装置間のインタフェースとし、上位装置、記憶制御装置、及び記憶制御装置配下の記憶装置から成るコンピュータシステムにおいて、不正な上位装置からのアクセスを抑止することができるので、記憶装置内のデータの機密保護を行うことができる。 As described above, the present invention, a standardized fiber channels as an interface between the host device and the storage controller in ANSIX3T11, host device, storage controller, and a computer system comprising a storage device under the storage controller, it is possible to prevent access from unauthorized host device can perform data confidentiality in the storage device.

また、上位装置、記憶制御装置のポート、記憶領域を対応付けて上位装置からのアクセスを木目細かに管理できるので、記憶領域毎に用途を変える等、記憶装置をニーズに合わせて活用することができる。 Further, host device, the port of the storage control apparatus, the access from associates a storage area host device grain can finely manage, etc. Changing the application for each storage area, be utilized to suit the needs of the memory device it can.

以下、本発明の実施の形態について図面を用いて説明する。 It will be described below with reference to the drawings, embodiments of the present invention.

まず、図1ないし図5を用いて、本発明の対象となるファイバチャネル及びそれを用いて構成した記憶システムについて説明する。 First, with reference to FIGS. 1 to 5, it will be described storage system configured with target Fiber Channel and it becomes the present invention.

図1は、記憶制御装置配下の記憶装置がディスクアレイ装置の場合の記憶システムのハードウエア構成図である。 Figure 1 is a storage device under the storage controller is a hardware configuration diagram of a storage system in the case of a disk array device. 図1において、10、20、30は、データ処理を行う中央処理装置としての上位装置である。 In Figure 1, 10, 20 and 30 is a host apparatus serving as a central processing unit that performs data processing.

40は、本発明を実施したディスクアレイ装置の記憶制御装置である。 40 is a storage controller of the disk array apparatus embodying the present invention. 図1に示すように、記憶制御装置40は、上位装置10、20、30との間のデータ転送を制御するためのDMA(ダイレクト アクセス メモリ)を含むプロトコルプロセッサであるファイバチャネル制御部41、記憶制御装置全体を制御するマイクロプロセッサ42、制御装置の動作を制御するマイクロプログラム及び制御用データを保存する制御メモリ43、キャッシュへのデータの読み書きを制御するキャッシュ制御部44、書き込みデータ及びディスクドライブからの読み出しデータを一時バッファリングしておくディスクキャッシュ45、ディスクドライブとの間のデータ転送を制御するためのDMAを含むプロトコルプロセッサであるデバイスインタフェース制御部46、装置構成情報を記憶制御装置へ入力するパネル47から As shown in FIG. 1, memory controller 40, Fiber Channel controller 41, a protocol processor including a DMA (Direct Access Memory) for controlling the data transfer between the host device 10, 20, 30, stores microprocessor 42 that controls the entire control device, a control memory 43 for storing the microprogram, and control data for controlling the operation of the control device, the cache controller unit 44 for controlling the reading and writing of data to the cache, the write data and the disk drive disk cache 45 to be temporarily buffering the read data, and inputs the device interface controller 46 is a protocol processor including a DMA for controlling the data transfer between the disk drive, the device configuration information to the storage control unit from the panel 47 成されている。 It has been made.

50は、記憶制御装置40の配下にあるディスクアレイ装置である。 50 is a disk array apparatus which is subordinate to the storage controller 40. ディスクアレイ装置50は、上位装置のデータを格納する装置で、複数台の個別ディスクを冗長性を持つように配置構成したものである。 The disk array device 50 is a device for storing data of the host device is obtained by arrangement of the plurality of discrete disk to have redundancy.

ディスクアレイ装置50を構成するディスクは、論理的に分割し、分割した区画をそれぞれ異なるRAIDレベルに設定することができる。 Disks constituting the disk array device 50 can be logically divided, sets divided partitioned into different RAID levels, respectively. この区画をRAIDグループという。 This compartment that RAID group. このRAIDグループをさらに論理的に分割したSCSIのアクセス単位である領域をLU(Logical Unit)といい、その領域は、各々、LUN(Logical Unit Number)という番号を持つ。 Refers to the RAID groups and more SCSI access unit that is logically divided regions and LU (Logical Unit), the region, respectively, with the number of LUN (Logical Unit Number). 本実施の形態ではディスクアレイ装置50は、LUN0番のLUである、LU0(51)とLUN1番のLUである、LU1(52)の2個の領域を有する場合を示している。 The disk array device 50 in this embodiment is the LU of No. LUN0, a LU of LUN1 number and LU0 (51), it shows a case having two regions of LU1 (52).

なお、LUの数は、図1に示す2個に限らずもっと多くてもよく、シングルターゲット機能の場合、ターゲット当り最大8個までLUを設定できる。 The number of LU may be more not limited to two as shown in FIG. 1, when a single target function can be set LU up to 8 per target.

また、本実施の形態では、LUなる記憶領域をアクセス単位としているが、アクセス単位とする記憶領域としては、物理ボリューム単位やRAIDグループ単位の記憶領域も可能である。 Further, in this embodiment, although the LU becomes storage area and access unit, the storage area of ​​the access unit, the storage area of ​​the physical volume units or RAID group units it is possible.

上位装置10、20、30と記憶制御装置40は、ファイバチャネル60をインタフェースとし、ファブリック(Fabric)という装置を介して接続されている。 Host device 10, 20, 30 and the storage controller 40, the Fiber Channel 60 and the interface, it is connected via a device called fabric (Fabric).

図1のシステムの動作を、上位装置10が記憶制御装置40経由でディスクアレイ装置50とデータ転送を行う場合を例にとり、制御の流れ、データの流れを中心に説明する。 Operation of the system of FIG. 1, taking a case where the disk array device 50 and the data transfer to the example host device 10 via the storage controller 40 will be described focusing control of the flow, the flow of data.

上位装置10がアクセス要求を出すと、その要求を認識したファイバチャネル制御部41はマイクロプロセッサ42に割り込み要求を発行する。 When the high-level equipment 10 issues an access request, the fiber channel control unit 41 recognizes the request to issue an interrupt request to the microprocessor 42. マイクロプロセッサ42は、上位装置からのコマンド情報及び本発明で必要な制御情報を、制御メモリ43に格納する。 Microprocessor 42, the command information and control information required by the present invention from the upper apparatus and stored in the control memory 43.

コマンド情報が、ライトコマンドの場合は、マイクロプロセッサ42はファイバチャネル制御部41にデータ転送を指示し、転送されたデータをキャッシュ制御部44を経由してキャッシュ45に格納する。 Command information, in the case of a write command, the microprocessor 42 instructs the data transfer to the Fiber Channel controller 41, the transferred data via the cache controller unit 44 is stored in the cache 45. 上位装置10に対しては、ファイバチャネル制御部41がライト完了報告を行う。 For high-level equipment 10, the fiber channel control unit 41 performs a write completion report. ライト完了報告後、マイクロプロセッサ42がデバイスインタフェース制御部46を制御し、ディスクアレイ装置50に対し、データ及び冗長データを書き込む。 After the write completion report, the microprocessor 42 controls the device interface controller 46, the disk array device 50, write data and redundant data. この場合、一般のRAID5の動作においては、旧データ、旧パリティ及び新データに基いて新パリティを作成するが、本発明の制御によれば、マイクロプロセッサ42が、デバイスインタフェース制御部46及びキャッシュ制御部44、制御メモリ43、キャッシュ45を用いて行なう。 In this case, in the RAID5 operation of general, old data, and to create the new parity on the basis of the old parity and new data, according to the control of the present invention, the microprocessor 42, the device interface controller 46 and the cache control part 44, a control memory 43, carried out using the cache 45.

一方、上位装置10からコマンド情報として、リードコマンド情報を受けた場合は、マイクロプロセッサ42は、デバイスインタフェース制御部46に指示を出し、当該アクセス要求のデータブロックが格納されたディスクアレイ装置50へアクセスしてデータを読み出し、キャッシュ制御部44を経由してキャッシュ45へデータを格納する。 On the other hand, as the command information from the host device 10, when receiving a read command information, the microprocessor 42 instructs the device interface controller 46, access to the disk array device 50 in which the data block of the access request is stored and reading the data, it stores the data into the cache 45 via the cache controller unit 44. マイクロプロセッサ42は、ファイバチャネル制御部41に指示を出し、ファイバチャネル制御部41は、キャッシュ45に格納したデータを上位装置10に転送し、転送後上位装置へリード完了報告を行なう。 The microprocessor 42 instructs the Fiber Channel controller 41, Fiber Channel controller 41 transfers the data stored in the cache 45 to the host device 10 performs a read completion report to the transfer after the upper apparatus.

次にファイバチャネル60の特長を説明する。 Next will be described the features of Fiber Channel 60. ファイバチャネルは最大10kmの距離で100MB/sの転送が可能な高速インタフェースである。 Fiber Channel is a high speed interface capable of transferring 100MB / s up to 10km distance. ファイバチャネルのアーキテクチャは転送元のバッファから転送先のバッファへデータを送るが、データのフォーマットや内容には無関係に一台の装置から別の装置へバッファの内容を移すため、異なるネットワーク通信プロトコルを処理するオーバヘッドがなく、高速データ転送を実現している。 Although the architecture of the Fiber Channel sends data to the transfer destination buffer from the transfer source buffer, for the format and content of the data transfer regardless contents of the buffer from a single device to another, different network communication protocols no overhead of processing, and high-speed data transfer. 上位論理層にはTCP/IP、SCSI、ESCON、IPI等の種々のレイヤを搭載可能である。 The upper logical layer TCP / IP, SCSI, ESCON, can be mounted to various layers such as IPI. すなわち、他のインタフェースと論理的に互換性を持つ。 That is, with the other interface logically compatible. 複雑な装置間の接続/交換という機能はFabricと呼ぶ装置が行ない、論理パス多重構成を組むことが可能である。 Function of connecting / exchanges between complex device performs a device called a Fabric, it is possible to put together a logical path multiplex configuration.

ファイバチャネルがデータをやりとりする基本単位をフレームと言う。 Fiber Channel is referred to as a frame the basic unit to exchange data. 次に、このフレームについて、図2を用いて説明する。 Next, this frame will be described with reference to FIG.

図2に示すように、フレーム70は、スタートオブフレームSOF(Start Of Frame)71、フレームヘッダ72、データフィールド73、サイクリックリダンダンシチェックCRC(Cyclic RedundancyCheck)74及びエンドオブフレームEOF(End Of Frame)75で構成される。 As shown in FIG. 2, the frame 70 is a start-of-frame SOF (Start Of Frame) 71, a frame header 72, a data field 73, a cyclic redundancy check CRC (Cyclic RedundancyCheck) 74 and the end-of-frame EOF (End Of Frame) 75 in constructed.

SOF71は、フレームの先頭に置く4バイトの識別子である。 SOF71 is a 4-byte identifier to put at the top of the frame.

EOF75は、フレームの最後につける4バイトの識別子で、SOF71とEOF75によりフレームの境界を示す。 EOF75 is a 4-byte identifier attached to the last frame, showing the boundary of the frame by SOF71 and EOF75. ファイバチャネルではフレームがない時はアイドル(idle)という信号が流れている。 Fiber Channel is the signal flow of idle (idle) when no frame.

フレームヘッダ72は、フレームタイプ、上位プロトコルタイプ、送信元と送信先のN_Port_ID情報、N_Port_Name情報等を含む。 Frame header 72 includes frame type, the upper protocol type, source and destination N_Port_ID information, N_Port_Name information. N_Port_IDはアドレスを表わし、N_Port_Nameはポートの識別子を表わす情報である。 N_Port_ID represents an address, N_Port_Name is information indicating an identifier of the port.

データフィールド73の先頭部には上位レイヤのヘッダを置くことができる。 The head portion of the data field 73 can put headers of higher layer.

これにデータそのものを運ぶペイロード部が続く。 This payload portion is followed by carrying the data itself. CRC74は、フレームヘッダとデータフィールドのデータをチェックするための、4バイトのチェックコードである。 CRC74 is used for checking the data of the frame header and the data field is a check code of 4 bytes.

上記フレームヘッダ72のフォーマット80を、図3に示す。 The format 80 of the frame header 72, shown in FIG. フレームヘッダフォーマット80において、デスティネーションアイデンティファイアD_ID(Destination ID)81はフレーム受け取り側のアドレス識別子であり、また、ソースアイデンティファイアS_ID(Source ID)82はフレーム送信側のN_Portアドレス識別子であり、各々、N_Port_ID情報等を含む。 In the frame header format 80, the destination identifier D_ID (Destination ID) 81 is an address identifier of the frame receiving, also the source identifier S_ID (Source ID) 82 is N_Port address identifier of the frame transmission side, each, including the N_Port_ID information, and the like.

次に図4を用いて、フレームを構成するデータフィールド73のペイロードの1つである、ファイバチャネルプロトコルコマンドFCP_CMND(Fibre Channel Protocol for SCSI Command)のペイロード90の説明を行なう。 Next, with reference to FIG. 4, which is one of the payload data field 73 which constitute the frame, a description of the payload 90 of the Fiber Channel protocol commands FCP_CMND (Fibre Channel Protocol for SCSI Command).

FCPロジカルユニットナンバFCP_LUN(FCP Logical Unit Number)フィールド91には、コマンドを発行するロジカルユニット番号LUNが指定される。 The FCP logical unit number FCP_LUN (FCP Logical Unit Number) field 91, a logical unit number LUN issuing the command is specified. FCPコントロールFCP_CNTL(FCPControl)フィールド92には、コマンド制御パラメータが指定される。 The FCP control FCP_CNTL (FCPControl) field 92, a command control parameter is specified. そして、 FCP コマンドデスクリプタブロックFCP_CDB(FCP Command Discriptor Block)フィールド93には、SCSIコマンドディスクリプタブロック(SCSI Command Descriptor Block)が格納され、リードコマンドRead等のコマンド種類、LUN等のアドレス、ブロック数が示される。 Then, the FCP command descriptor block FCP_CDB (FCP Command Discriptor Block) field 93 is stored SCSI Command Descriptor Block (SCSI Command Descriptor Block) is a command type such as a read command Read, address LUN such as the number of blocks is indicated . FCPデータレングスFCP_DL(FCP Data Length)フィールド94には、当該コマンドにより転送されるデータ量がバイト数で指定される。 The FCP data length FCP_DL (FCP Data Length) field 94, the amount of data transferred by the command is specified in bytes.

以上のように構成されたフレームによってデータのやりとりが行われる。 Data exchange is performed by frame configured above.

フレームは機能に基づいてデータフレームとリンク制御フレームとに大別される。 Frame is divided into a data frame and link control frame based on the feature. データフレームは、情報を転送するために用い、データフィールドのペイロード部に上位プロトコルで使用するデータ、コマンドを搭載する。 Data frames are used to transfer information, data used by the higher protocol payload portion of the data field, with command.

一方、リンク制御フレームは、一般に、フレーム配信の成功あるいは不成功を示すのに使われる。 On the other hand, the link control frame is generally used to indicate the success or failure of the frame delivery. フレームを1個受領したことを示したり、ログインする場合に転送に関するパラメータを通知したりするフレーム等がある。 Or it indicates that the received one frame, there is a frame or the like and notifies the parameters for the transfer when logging.

次に、図5を用いて、「シーケンス」について説明する。 Next, with reference to FIG. 5, described "Sequence". ファイバチャネルにおけるシーケンスは、あるN_Portから別のN_Portへ、一方向に転送される関連するデータフレームの集まりのことを言い、SCSIのフェーズに相当する。 Sequence in Fiber Channel, from one N_Port to another N_Port, refers to the collection of data frame associated transferred in one direction, corresponding to the phase of the SCSI. シーケンスの集まりをエクスチェンジと呼ぶ。 A collection of the sequence is called the exchange. 例えばコマンドを発行して、そのコマンドの終了までに、そのコマンド実行のためにやりとりされるシーケンスの集まり(コマンド発行、データ転送、終了報告)がエクスチェンジとなる。 For example, by issuing a command, the end of the command, a collection of sequences to be exchanged for that command execution (command issuing data transfer, end report) is exchange. このように、エクスチェンジはSCSIのI/Oに相当する。 Thus, exchange corresponds to a SCSI I / O.

図5(a)、(b)及び(c)は、それぞれ、ログインシーケンス(100)、リードコマンドシーケンス(110)及びライトコマンドシーケンス(120)を示す。 Figure 5 (a), (b) and (c), respectively, the login sequence (100), indicating a read command sequence (110) and a write command sequence (120).

ファイバチャネルインタフェースでは、上位装置がデバイスに対し、通信パラメータを含むポートログインPLOGI(N_Port Login)フレームを送り、デバイスがこれを受け付けることで通信が可能となる。 The Fiber Channel interface, to host system device sends a port login PLOGI (N_Port Login) frame including the communication parameters, it is possible to communicate with the device accepts this. これをログインと呼ぶ。 This is referred to as a login. 図5(a)に、ログインシーケンス(100)を示す。 In FIG. 5 (a), showing a login sequence (100).

図5(a)のログインシーケンス(100)において、まず、シーケンス101で、上位装置はデバイスに対し、PLOGIフレームを送り、ログインの要求を行なう。 In the login sequence (100) of FIG. 5 (a), first, a sequence 101, to the host apparatus device sends a PLOGI frame, it makes a request for login. デバイスはアクノレッジACK(Acknowledge)フレームを上位装置に送り、PLOGIフレームを受け取ったことを知らせる。 The device sends an acknowledge ACK (Acknowledge) frame to the host device, indicating that it has received a PLOGI frame.

次いで、シーケンス102において、デバイスは、ログイン要求を受け付ける場合はアクセプトACC(Accept)フレームを、要求を拒絶する場合はリンクサービスリジェクトLS−RJT(Link Service Reject)フレームを、それぞれ、上位装置に送る。 Then, the sequence 102, the device sends an accept ACC (Accept) frame when accepting the login request, the link service reject LS-RJT (Link Service Reject) frame if the request is rejected, respectively, to the host device.

次に、図5(b)のリードコマンドのシーケンス(110)を説明する。 Next, a sequence (110) of the read command in FIG. 5 (b).

シーケンス111において、上位装置はデバイスに対し、FCP_CMNDフレームを送り、リード要求を行なう。 In sequence 111, the host device to the device, sends a FCP_CMND frame, performs the read request. デバイスはACKフレームを上位装置に送る。 The device sends an ACK frame to the host device.

シーケンス102では、デバイスは、FCPトランスファレディFCP_XFER_RDY(FCP Transfer Ready)フレームを上位装置に送り、データ転送の準備ができたことを知らせる。 In a sequence 102, the device sends FCP Transfer Ready FCP_XFER_RDY a (FCP Transfer Ready) frame to the host device, informs that it is prepared to transfer data. 上位装置はACKフレームをデバイスに送る。 Host device sends an ACK frame to the device.

シーケンス113に進み、デバイスはFCPデータ(FCP_DATA)フレームを上位装置に送り、データを転送する。 Proceeds to the sequence 113, the device sends an FCP data (FCP_DATA) frame to the host device, and transfers the data. 上位装置はACKフレームをデバイスに送る。 Host device sends an ACK frame to the device.

次のシーケンス114では、デバイスはFCP_RSPフレームを上位装置に送り、データの転送が正常終了したことを知らせる。 In the next sequence 114, the device sends a FCP_RSP frame to the host device, indicating that the data transfer was successful. 上位装置はACKフレームをデバイスに送る。 Host device sends an ACK frame to the device.

次に、図5(c)のライトコマンドのシーケンス(120)を説明する。 Next, a sequence (120) of the write command in FIG. 5 (c).

シーケンス121において、上位装置はデバイスに対し、FCP_CMNDフレームを送り、ライト要求を行なう。 In sequence 121, the host device to the device, sends a FCP_CMND frame, performs a write request. デバイスはACKフレームを上位装置に送る。 The device sends an ACK frame to the host device.

次いで、シーケンス122において、デバイスはFCP_XFER_RDYフレームを上位装置に送り、データ書き込みが可能であることを知らせる。 Then, the sequence 122, the device sends a FCP_XFER_RDY frame to the host device, indicating that it is capable of data writing. 上位装置はACKフレームをデバイスに送る。 Host device sends an ACK frame to the device.

さらに、シーケンス123において、上位装置はFCP_DATAフレームをデバイスに送り、データを転送する。 Further, in the sequence 123, the upper apparatus sends a FCP_DATA frame to the device, to transfer data. デバイスはACKフレームを上位装置に送る。 The device sends an ACK frame to the host device.

最後に、シーケンス123において、デバイスは、FCPレスポンスFCP_RSP(FCP Response)フレームを上位装置に送り、データの受け取りが正常終了したことを知らせる。 Finally, in the sequence 123, the device sends FCP response FCP_RSP a (FCP Response) frame to the host device, indicating that the receipt of data is successful. 上位装置はACKフレームをデバイスに送る。 Host device sends an ACK frame to the device.

以上、図1ないし図5によって、一般的なシステム構成、フォーマット及びシーケンスを説明したが、以下、本発明によるセキュリティチェックについて説明する。 Above, with reference to FIGS. 1 to 5, a typical system configuration has been described the format and sequence, is described below security check according to the present invention.

初めに、PLOGI時におけるN_Port_Name情報を用いたセキュリティチェックについて、説明を行なう。 First, the security check using the N_Port_Name information at the time of PLOGI, will be described.

本発明では、図1において、まず、上位装置10、20、30の立ち上がる以前に、ユーザは記憶制御装置40のマイクロプロセッサ42にアクセス可能な上位装置のリストを設定する。 In the present invention, in FIG. 1, first, before the rise of the high-level equipment 10, 20, 30, the user sets a list of accessible host device to microprocessor 42 of the storage controller 40. すなわち、上位装置を識別できるN_Port_Name、N_Port_ID等の情報を、パネル47を用いて入力する。 That, N_Port_Name capable of identifying host device, information such as N_Port_ID, it is input using the panel 47. この際、パネルへの入力上の機密保護機能を実現するために、入力に際してパスワードを要求し、セキュリティを強化できる。 At this time, in order to realize the security features on the input to the panel, and require a password upon input, it can enhance security.

パスワードを入力し、既に設定したパスワードとの一致が図られた場合、記憶制御装置のポート毎にアクセス可能な上位装置のN_Port_Name情報を入力し、入力情報を制御テーブルに格納する。 Enter the password, if a match with the password previously set is achieved, enter the N_Port_Name information accessible host apparatus for each port of the storage control unit stores the input information in the control table.

いま、例として、上位装置10、20はディスクアレイ装置50にアクセス可能、上位装置30はディスクアレイ装置50にはアクセス不可能とし、N_Port_Nameを、上位装置10はHOSTA、上位装置20はHOSTB、上位装置30はHOSTCとし、記憶制御装置40のファイバチャネル制御部41のポートをCTL0P0とした場合、ログイン要求制御テーブル130は、図6のようになる。 Now, as an example, the upper devices 10 and 20 can access the disk array device 50, the upper device 30 is inaccessible to the disk array device 50, the N_Port_Name, the high-level equipment 10 HOSTA, host device 20 HOSTB upper 30 is a HOSTC, when the ports of the fiber channel control unit 41 of the storage controller 40 and CTL0P0, log-in request control table 130 is as shown in FIG.

図6に示すこのログイン要求制御テーブル130を、不揮発メモリ上に設定することにより、万一の電源瞬断時にも管理情報を守ることができる。 The log-in request control table 130 shown in FIG. 6, by setting the non-volatile memory, it is possible to protect the management information in the event of power supply interruption.

また、ログイン要求制御テーブル130に格納した情報は、電源を切断した場合はハードディスク領域50へ格納する。 Also, information stored in the log-in request control table 130, when the power is turned off is stored into the hard disk area 50. または情報の更新時にメモリ43とディスク50へ反映を行なう。 Or to memory 43 and disk 50 when updating information carried reflection. これにより記憶制御装置40は、当該情報を再設定されるまで恒久的に保持することができる。 Thus the storage controller 40 can be permanently retained until reset the information.

なお、ファイバチャネルにおいてノードやポートの識別に使用される自ノード情報として、N_Port_Nameの他に、N_Port_IDがあるが、N_Port_IDは変更される可能性があり、ユーザが管理する数値ではないため、N_Port_Name情報をセキュリティのためのチェック対象とするのが望ましい。 As the own node information which is used to identify the node or port in a fiber channel, in addition to the N_Port_Name, there are N_Port_ID, N_Port_ID is may change, because the user is not numeric managing, N_Port_Name information the it is desirable to be checked for security.

次に、図1及び図7を用いて上位装置のログイン要求に対する記憶制御装置のフレーム処理手順の説明を行なう。 Next, the description of the frame processing procedure of the storage control device for the login request of the host device with reference to FIGS. 1 and 7.

(ステップS71)上位装置10、20、30が立ち上がり、各々、N_Port_Name情報を格納したログイン要求フレームであるPLOGIフレームを発行する。 (Step S71) high-level equipment 10, 20, 30 rise, respectively, to issue a PLOGI frame is a login request frame storing N_Port_Name information. 記憶制御装置40のマイクロプロセッサ42は、当該フレームを受領すると、まずこのフレームを受領したことを示すACKフレームを各上位装置に返す。 Microprocessor 42 of the storage controller 40, upon receiving the frame, first returns an ACK frame indicating that it has received the frame to each host device.

(ステップS72)そしてマイクロプロセッサ42は、当該フレームに格納されているN_Port_Name情報を切り出し、そのN_Port_Name情報が、既に設定され、保持されている制御テーブル内のN_Port_Nameリストに登録されているかどうか、比較を行なう。 (Step S72) and the microprocessor 42 cuts out N_Port_Name information stored in the frame, the N_Port_Name information is already set, whether it is registered in the N_Port_Name list in the control table held, the comparison carried out.

(ステップS73)(ステップS74)(ステップS75) (Step S73) (step S74) (step S75)
上位装置10、20の発行した当該フレームに格納されているN_Port_Name情報は、制御テーブル内に登録されているN_Port_Name情報と一致するため、記憶制御装置40のマイクロプロセッサ42は、上位装置10、20に対してはログイン要求を受け付けた印として、ACCフレームを返し、ログイン処理を続行する。 Issued N_Port_Name information stored in the frame of the upper apparatus 10 and 20, to match the N_Port_Name information registered in the control table, the microprocessor 42 of the storage controller 40, the host device 10, 20 It is for as a sign that has received the login request, returns the ACC frame, to continue the login process.

(ステップS73)(ステップS76) (Step S73) (step S76)
一方、上位装置30の発行した当該フレームに格納されているN_Port_Name情報は、制御テーブル内に登録されているN_Port_Name情報と一致しないため、記憶制御装置40のマイクロプロセッサ42は、上位装置30に対しては接続を拒絶するリジェクトパラメータをいれたLS_RJTフレームを返す。 On the other hand, N_Port_Name information stored in the issued the frame of the upper apparatus 30, because it does not match the N_Port_Name information registered in the control table, the microprocessor 42 of the storage controller 40 to the high-level equipment 30 returns LS_RJT frame put reject parameter to reject the connection.

以上のように、記憶制御装置40が、ログイン要求制御テーブル130を用いて、上位装置と記憶制御装置のポートの対応付けを管理することにより、ユーザはポート毎に上位装置からの不正アクセスを抑止することができ、セキュリティが保持できる。 As described above, the storage controller 40, using the log-in request control table 130, by managing the correspondence of the ports of the host device and the storage controller, the user deter unauthorized access from the host device for each port it is possible to, security can be maintained.

次に、本発明において、ディスクアレイ装置の記憶領域であるLUN毎に、N_Port_Name情報を用いてセキュリティチェックを実施する方法について説明する。 Then, in the present invention, for each LUN is a storage area of ​​the disk array device, a method for implementing a security check using N_Port_Name information.

本発明では、まず上位装置10、20、30の立ち上がる以前に、記憶制御装置40のマイクロプロセッサ42に、LUN毎にアクセス可能な上位装置のリストを設定する。 In the present invention, first, before the rise of the high-level equipment 10, 20, 30, the microprocessor 42 of the storage controller 40 sets the list of accessible host device for each LUN. 上位装置を識別できるN_Port_Name、N_Port_ID等の情報を、パネル47を用いて入力する。 N_Port_Name capable of identifying host device, information such as N_Port_ID, it is input using the panel 47. この際、パネル47への入力上の機密保護機能を実現するために、入力に際してパスワードを要求し、セキュリティを強化することができる。 At this time, in order to realize the security features on the input to the panel 47, to request a password upon input, it is possible to enhance security.

パスワードを入力し、既に設定したパスワードとの一致が図られた場合、LUN毎に記憶制御装置のポート及びアクセス可能な上位装置のN_Port_Name情報を入力し、入力情報を制御テーブルに格納する。 Enter the password, if a match with the password previously set is achieved, enter the N_Port_Name information of ports and accessible host device of the storage controller for each LUN, it stores the input information in the control table.

LU0(51)は、上位装置10から記憶制御装置40のファイバチャネル制御部41のポート経由でアクセス可能、LU1(52)は、上位装置20から記憶制御装置40のファイバチャネル制御部41のポート経由でアクセス可能とし、N_Port_Nameを、上位装置10はHOSTA、上位装置20はHOSTB、記憶制御装置40のファイバチャネル制御部41のポートをCTL0P0、とした場合、I/O要求制御テーブル140は、図8のようになる。 LU0 (51) is accessible from the upper apparatus 10 through the ports of the fiber channel control unit 41 of the storage controller 40, LU1 (52), the port via the Fiber Channel controller 41 of the storage controller 40 from the host device 20 in the access, the N_Port_Name, the high-level equipment 10 HOSTA, host device 20 HOSTB, the storage controller 40 of the fiber channel controller 41 ports CTL0P0 If, as was, I / O request control table 140, Fig. 8 become that way.

図8に示すこのI/O要求制御テーブル140は不揮発メモリ上に設定すると、万一の電源瞬断時にも管理情報を守ることができる。 The I / O request control table 140 shown in FIG. 8 is set to the nonvolatile memory, it is possible to protect the management information in the event of power supply interruption.

また、図8のI/O要求制御テーブル140に格納した情報は、電源を切断した場合は、ハードディスク領域50へ格納する。 Also, information stored in the I / O request control table 140 in FIG. 8, when the power is turned off, and stores it in the hard disk area 50. または情報の更新時にメモリ43とディスク50へ反映を行なう。 Or to memory 43 and disk 50 when update information is performed reflection. これにより記憶制御装置40は当該情報を再設定されるまで恒久的に保持することができる。 Thus the storage controller 40 may be permanently retained until reset the information.

本実施例ではチャネルパスルートは1通りであるが、複数のチャネルパスルートを有するシステムにおいても同様である。 Channel path routes in this embodiment is a 1 ways, it is the same in a system having a plurality of channel path routes.

以下に図1及び図9を用いて、上位装置のI/O要求に対する記憶制御装置のフレーム処理手順の説明を行なう。 Below with reference to FIGS. 1 and 9, will be described frame processing procedure of the storage controller for an I / O request of the host device. 上記の例ではPLOGI時にセキュリティチェックを行なったが、本実施の形態では、各SCSIコマンド毎にチェックを行なう。 In the above example was carried out security checks during PLOGI, in this embodiment, a check for each SCSI command.

(ステップS91) (Step S91)
上位装置10がLU0(51)にI/O要求を出したい場合、上位装置10は記憶制御装置40に対し、SCSI CDBを格納したフレームを発行する。 When the upper device 10 is put out an I / O request to the LU0 (51), the high-level equipment 10 to the storage controller 40 issues a frame storing SCSI CDB. 記憶制御装置40がこのフレームを受領した場合、まず、このフレームを受領したことを示すACKフレームを上位装置10に返す。 If the storage controller 40 has received the frame, first, it returns an ACK frame indicating that it has received the frame to the host device 10.

(ステップS92) (Step S92)
そしてマイクロプロセッサ42は、当該フレームに格納されているN_Port_Name情報及びCDB内のLUN番号を切り出し、そのN_Port_Name情報及びLUN番号が、当該マイクロプロセッサ42に既に設定され保持されている制御テーブル内のリストに登録されているかどうか、比較を行なう。 The microprocessor 42, cut out LUN number in N_Port_Name information and CDB are stored in the frame, the N_Port_Name information and LUN number to the list in the control table that is already set held in the microprocessor 42 whether they are registered, make a comparison.

(ステップS93)(ステップS94)(ステップS95) (Step S93) (step S94) (step S95)
管理テーブル内には、「上位装置10は、LU0(51)をアクセス可能である」と登録されているため、記憶制御装置40のマイクロプロセッサ42はコマンドを受領し、I/O処理を継続する。 In the management table, "the high-level equipment 10, accessible is the LU0 (51)" because it is registered as a microprocessor 42 of the storage controller 40 receives the command to continue the I / O process .
(ステップS91) (Step S91)
一方、上位装置20が記憶制御装置40にLU0(51)のI/O要求フレームを発行し、記憶制御装置40がこのSCSI CDBを格納したフレームを受領した場合、マイクロプロセッサ42は、まずこのフレームを受領したことを示すACKフレームを上位装置20に返す。 On the other hand, when the upper unit 20 issues an I / O request frame LU0 (51) to the storage controller 40, the storage controller 40 has received a frame containing this SCSI CDB, the microprocessor 42 first frame an ACK frame indicating that it has received the return to the host device 20.

(ステップS92) (Step S92)
そしてマイクロプロセッサ42は、当該フレームに格納されているN_Port_Name情報及びCDB内のLUN番号を切り出し、そのN_Port_Name情報及びLUN番号が、管理テーブル内にあるかどうかの検索を行なう。 The microprocessor 42, cut out LUN number in N_Port_Name information and CDB are stored in the frame, the N_Port_Name information and LUN number, perform one of the search if it is within the management table.
(ステップS93)(ステップS96) (Step S93) (step S96)
検索を行なった結果、管理テーブル内に、該当するLUNおよびN_Port_Nameの組合わせが存在しないため、記憶制御装置40のマイクロプロセッサ42は、上位装置20にLS_RJTフレームを送って、I/O要求を拒絶する。 Results searching was performed, in the management table, since the combination of the relevant LUN and N_Port_Name is not present, the microprocessor 42 of the storage controller 40 sends a LS_RJT frame to the host device 20, rejects the I / O request to.

こうして記憶制御装置は不正なアクセスを防止することができる。 Thus the storage controller is able to prevent unauthorized access.

ここではログイン及びI/O要求フレームを取り上げたが、これら以外の他の上位装置フレームに格納されているN_Port_Name情報を比較してもよい。 Here it took up the log and I / O request frame may be compared N_Port_Name information stored in the other of the upper apparatus frames other than these.

なお、ファイバチャネル接続記憶制御装置配下の記憶装置がディスクアレイ装置に限らず、光ディスク装置、光磁気ディスク装置及び磁気テープ装置並びにこれらのライブラリ装置である場合にも本発明を適用できる。 Not only the fiber channel connection storage controller under the storage devices in the disk array apparatus, even if the optical disk device, a magneto-optical disk device and a magnetic tape device as well as their library apparatus can be applied to the present invention.

記憶制御装置配下の記憶装置が光ディスクライブラリ装置の場合に本発明を適用した場合の概要を図10を用いて説明する。 The outline of the memory device under storage controller embodying the present invention in the case of an optical disk library unit will be described with reference to FIG. 10. 150は記憶制御装置40配下の光ディスクライブラリ装置であり、151は光ディスクドライブ、152から156は光ディスクの媒体である。 150 is an optical disk library unit of the storage controller 40 subordinate 151 optical disk drive, 152 from 156 is a medium of the optical disc.

ユーザは上位装置10、20、30が立ち上る前にパネルを使用して、媒体、ドライブ、ポートとN_Port_Name情報との対応付けを設定し、上位装置のアクセス権限をマイクロプログラムに保持しておく。 Users can use the panel before the upper device 10, 20, 30 rises, the medium, it sets the correspondence between the drive, port and N_Port_Name information, holds the access authority of the host device to the microprogram.

媒体152、153、154は、上位装置10からアクセス可能、媒体D155、E156は上位装置20からアクセス可能とし、N_Port_Nameを上位装置10はHOSTA、上位装置20はHOSTB、記憶制御装置40のポートをCTL0P0、光ディスクドライブA151をDRIVE0、媒体A152、B153、C154、D155、E156を各々MEDA、MEDB、MEDC、MEDD、MEDE、とした場合、要求制御テーブル160は、図11のようになる。 Medium 152, 153, 154 can be accessed from the host device 10, media D155, E156 is accessible from the host device 20, the high-level equipment 10 N_Port_Name HOSTA, host device 20 HOSTB, the port of the storage controller 40 CTL0P0 the optical disc drive a 151 DRIVE0, medium A152, B153, C154, D155, E156 respectively MEDA, MEDB, MEDC, if you MEDD, MEDE, a request control table 160 is as shown in Figure 11.

各上位装置がI/O要求フレームを発行した際、フレームを構成するペイロード内のCDBにボリューム情報が格納されているため、記憶制御装置40は当該フレームを受領した際、フレーム内のN_Port_Name情報及びペイロード内の媒体識別子を,当該記憶制御装置40に既に設定され、保持されている制御テーブルと比較を行なえばよい。 When each host apparatus issues an I / O request frame, because the volume information CDB in the payload of a frame is stored, when the storage controller 40 having received the frame, and N_Port_Name information in the frame the media identifier in the payload, previously set in the storage controller 40, the control table held may be performed comparison. このように、本発明を応用することによって、記憶制御装置は上位装置からの不正アクセスを防止可能である。 Thus, by applying the present invention, the storage control device can prevent unauthorized access from the host device.

本発明の実施の形態を示す構成図である。 Is a block diagram showing an embodiment of the present invention. フレームのフォーマット図である。 It is a format view of the frame. 図2で示したフレームを構成するフレームヘッダのフォーマット図である。 It is a format diagram of a frame header of a frame shown in FIG. 図2で示したフレームの一つであるFCP_CMNDのペイロードのフォーマット図(a)及び当該ペイロードを構成するFCP_CDBのフォーマット図(b)である。 It is a format diagram of the payload of which is one FCP_CMND frame shown in FIG. 2 (a) and format diagram of FCP_CDB constituting the payload (b). 上位装置とデバイスがデータフレームのやりとりを行なう際の、ログイン時のシーケンス図(a)、リードコマンド時のシーケンス図(b)及びライトコマンド時のシーケンス図(c)である。 When the upper device and the device for exchanging data frames, is a sequence diagram at the time of login (a), the sequence diagram of the read command (b) and sequence diagram during the write command (c). 記憶制御装置が上位装置を管理する制御テーブルを示した図である。 The storage controller is a diagram showing a control table for managing the host device. 記憶制御装置が上位装置からのログイン要求時に実行するフレーム処理のフローチャートである。 The storage controller is a flowchart of a frame process to be executed when a login request from the host device. 記憶制御装置が記憶領域を管理する制御テーブルを示した図である。 Diagrams storage controller showing the control table for managing storage area. 記憶制御装置がホストからのI/O要求時に実行するフレーム処理のフローチャートである。 The storage controller is a flowchart of a frame process to be executed when the I / O request from the host. 記憶制御装置配下の記憶装置が、光ディスクライブラリの場合を示す構成図である。 Storage under the storage control device is a configuration diagram showing a case of an optical disk library. 図10に示す記憶制御装置が管理する制御テーブルを示した図である。 Diagrams storage controller showing the control table for managing shown in FIG. 10.

符号の説明 DESCRIPTION OF SYMBOLS

10、20,30…上位装置、40…記憶制御装置、41…ファイバチャネル制御部、42…マイクロプロセッサ、43…制御メモリ、44…キャッシュ制御部、45…キャッシュ、46…デバイスインタフェース制御部、47…パネル、50…ディスクアレイ装置、51…ロジカルユニット0、52…ロジカルユニット1、60…ファイバチャネル、70…フレーム、71…スタートオブフレームSOF(Start Of Frame)、72…フレームヘッダ、73…データフィールド、74…サイクリックリダンダンシチェックCRC(CyclicRedundancy Check)、75…エンドオブフレームEOF(End Of Frame)、80…フレームヘッダのフォーマット、81…デスティネーションアイデンティフ 10, 20, 30 ... host device, 40 ... storage controller, 41 ... Fiber Channel controller, 42 ... microprocessor, 43 ... control memory, 44 ... cache control unit, 45 ... cache, 46 ... device interface control section, 47 ... panel, 50 ... disk array device 51 ... logical unit 0,52 ... logical unit 1,60 ... fiber channel, 70 ... frame, 71 ... start of frame SOF (Start of frame), 72 ... frame header, 73 ... data field, 74 ... cyclic redundancy check CRC (CyclicRedundancy Check), 75 ... end-of-frame EOF (end of frame), 80 ... frame header format, 81 ... destination identity tiff イアD_ID(Destination ID)、82…ソースアイデンティファイアS_ID(Source ID)、90…ファイバチャネルプロトコルコマンドFCP_CMNDペイロード(Fibre Channel Protocol for SCSI Command)、91…ファイバチャネルプロトコルロジカルユニットナンバFCP_LUN(FCP Logical Unit Number)、92…ファイバチャネルプロトコルコントロールFCP_CNTL(FCP Control)、93…ファイバチャネルプロトコルコマンドデスクリプタブロックFCP_CDB(FCP Command Descriptor Block)、94…ファイバチャネルプロトコルデータレングスFCP_DL( FCP Data Le IA D_ID (Destination ID), 82 ... Source Identifier S_ID (Source ID), 90 ... Fiber Channel protocol commands FCP_CMND payload (Fibre Channel Protocol for SCSI Command), 91 ... Fiber Channel Protocol logical unit number FCP_LUN (FCP Logical Unit Number ), 92 ... fiber channel protocol control FCP_CNTL (control FCP), 93 ... fiber channel protocol command descriptor block FCP_CDB (FCP command Descriptor block), 94 ... fiber channel protocol data length FCP_DL (FCP data Le gth)、100…ログイン、110…リードコマンド、120…ライトコマンド、130…ログイン要求制御テープル、140…磁気ディスクアレイI/O要求制御テープル、150…光ディスクライブラリ、160…光ディスクライブラリI/O要求制御テーブル g th), 100 ... login, 110 ... read command 120 ... write command 130 ... login request control tables, 140 ... magnetic disk array I / O request control tables, 150 ... optical disk library, 160 ... optical disk library I / O request control table

Claims (9)

  1. 上位装置とデータを記憶する領域を有する記憶装置との間に介在し、前記領域毎に前記上位装置のアクセス可否情報の入力を受ける手段と、前記可否情報を格納する手段とを備えた記憶制御装置。 Interposed between the memory device having an area for storing the higher-level device and the data, and means for receiving an input of the access permission information of the host device for each of the areas, the storage control and means for storing the permission information apparatus.
  2. 上位装置とこの上位装置のデータを記憶する領域を有する記憶装置との間に介在し、前記領域毎に前記上位装置のアクセス可否情報を入力する手段と、入力された前記可否情報を格納する手段とを備えた記憶制御装置。 Interposed between the memory device has an area for storing data of the host device and the host device, means for inputting the access permission information of the host device for each of the areas, means for storing the permission information input storage control device provided with and.
  3. 上位装置とのデータ転送を制御するチャネル制御手段と、データを記憶する領域を複数有する記憶装置との間のデータ転送を制御するデバイスインタフェース制御手段と、前記上位装置からの書き込みデータ及び前記記憶装置からの読み出しデータを一時バッファリングしておくバッファ手段と、前記上位装置を識別する情報及び前記上位装置の前記各領域へのアクセス可否情報を入力するパネルと、前記識別情報及び前記可否情報を格納するテーブルとを備えた記憶制御装置。 And channel control means for controlling data transfer with the host device, a device interface control means for controlling the data transfer between the plurality having storage areas for storing data, write data and the storage device from the host device storing a buffer means to be temporarily buffering the read data, a panel for inputting the access permission information to each region of the upper information and the host system identifies the device, the identification information and the permission information from storage control device provided with a table for.
  4. 前記上位装置とはファイバチャネルで接続された請求項1乃至3の何れか1項に記載の記憶制御装置。 The storage control device according to any one of claims 1 to 3 connected by Fiber Channel and the host system.
  5. 記憶領域を複数有する記憶装置と、接続される上位装置を識別する情報が入力された記憶制御装置とを備える記憶システム。 Storage system comprising a storage device and a storage controller information is input that identifies the higher-level device connected with a plurality of storage areas.
  6. 記憶領域を複数有する記憶装置と、接続される上位装置を識別する情報及び前記上位装置がアクセス可能な前記記憶領域を入力するパネルを有する記憶制御装置とを備える記憶システム。 Storage system comprising a storage device having a plurality of storage areas, a storage control device information and the host device identifies the higher-level device connected has a panel for inputting the storage area accessible.
  7. データを記憶する領域を複数有する記憶装置と、 A storage device having a plurality of areas for storing data,
    上位装置とのデータ転送を制御するチャネル制御装置と、前記記憶装置との間のデータ転送を制御するデバイスインタフェース制御部と、前記上位装置からの書き込みデータ及び前記記憶装置からの読み出しデータを一時バッファリングしておくキャッシュとを有し、前記上位装置を識別する情報及び前記上位装置の前記各領域に対するアクセス可否情報の入力を受ける記憶制御装置と、を備える記憶システム。 A channel control unit that controls the data transfer with the host device, the temporary buffer and the device interface controller for controlling data transfer and read data from the write data and the storage device from the host device between the storage device storage system comprising a storage controller, a ring to keep and a cache, receiving the input of the access permission information for each area of ​​the information and the host system identifies the host device.
  8. データを記憶する領域を複数有する記憶装置と、 A storage device having a plurality of areas for storing data,
    上位装置とのデータ転送を制御するチャネル制御装置と、前記記憶装置との間のデータ転送を制御するデバイスインタフェース制御部と、前記上位装置からの書き込みデータ及び前記記憶装置からの読み出しデータを一時バッファリングしておくキャッシュと、前記上位装置を識別する情報及び前記上位装置の前記領域に対するアクセス可否情報を入力するパネルとを備えた記憶制御装置と、を有する記憶システム。 A channel control unit that controls the data transfer with the host device, the temporary buffer and the device interface controller for controlling data transfer and read data from the write data and the storage device from the host device between the storage device storage system having a cache to keep the ring, and a storage control device provided with a panel for inputting the access permission information for the area information and the host system identifies the host device.
  9. 前記上位装置とはファイバチャネルで接続された請求項5乃至8の何れか1項に記載の記憶システム。 Storage system according to any one of the host system and the Claims 5 to 8 are connected by Fiber Channel.
JP2007160411A 2007-06-18 2007-06-18 Storage control device and storage system Pending JP2007250009A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007160411A JP2007250009A (en) 2007-06-18 2007-06-18 Storage control device and storage system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007160411A JP2007250009A (en) 2007-06-18 2007-06-18 Storage control device and storage system

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2000118494 Division

Publications (1)

Publication Number Publication Date
JP2007250009A true true JP2007250009A (en) 2007-09-27

Family

ID=38594138

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007160411A Pending JP2007250009A (en) 2007-06-18 2007-06-18 Storage control device and storage system

Country Status (1)

Country Link
JP (1) JP2007250009A (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63163951A (en) * 1986-12-26 1988-07-07 Nippon Telegr & Teleph Corp <Ntt> Access right control system
JPH05181609A (en) * 1992-01-06 1993-07-23 Nec Corp Personal computer system
JPH07210336A (en) * 1994-01-17 1995-08-11 Hitachi Ltd Data storing device
JPH096706A (en) * 1995-06-22 1997-01-10 Hitachi Ltd Loosely coupled computer system
JPH1074128A (en) * 1996-08-30 1998-03-17 Nec Corp Disk device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63163951A (en) * 1986-12-26 1988-07-07 Nippon Telegr & Teleph Corp <Ntt> Access right control system
JPH05181609A (en) * 1992-01-06 1993-07-23 Nec Corp Personal computer system
JPH07210336A (en) * 1994-01-17 1995-08-11 Hitachi Ltd Data storing device
JPH096706A (en) * 1995-06-22 1997-01-10 Hitachi Ltd Loosely coupled computer system
JPH1074128A (en) * 1996-08-30 1998-03-17 Nec Corp Disk device

Similar Documents

Publication Publication Date Title
US6041381A (en) Fibre channel to SCSI addressing method and system
US6912627B2 (en) Method of creating a storage area &amp; storage device
US6493825B1 (en) Authentication of a host processor requesting service in a data processing network
US6701411B2 (en) Switch and storage system for sending an access request from a host to a storage subsystem
US6502162B2 (en) Configuring vectors of logical storage units for data storage partitioning and sharing
US6684209B1 (en) Security method and system for storage subsystem
US6988130B2 (en) Virtual ports for partitioning of data storage
US6260120B1 (en) Storage mapping and partitioning among multiple host processors in the presence of login state changes and host controller replacement
US20060059308A1 (en) Storage device and device changeover control method for storage devices
US20070094466A1 (en) Techniques for improving mirroring operations implemented in storage area networks and network based virtualization
US20070094464A1 (en) Mirror consistency checking techniques for storage area networks and network based virtualization
US20050235107A1 (en) Method for controlling storage system, and storage control apparatus
US20050204078A1 (en) Integrated-circuit implementation of a storage-shelf router and a path controller card for combined use in high-availability mass-storage-device shelves that may be incorporated within disk arrays
US20020059263A1 (en) Data management system for storages
US20050091504A1 (en) Storage apparatus and access management method therefor
US20030149848A1 (en) Wire-speed data transfer in a storage virtualization controller
US20060271758A1 (en) Storage system and operation method of storage system
US20110208940A1 (en) Storage system and method for operating storage system
US20020143903A1 (en) Storage system
US20030172331A1 (en) System and method for a failover protocol in storage area network controllers
US20060107010A1 (en) Storage system and data migration method of storage system
US6263445B1 (en) Method and apparatus for authenticating connections to a storage system coupled to a network
US20020029319A1 (en) Logical unit mapping in a storage area network (SAN) environment
US6854034B1 (en) Computer system and a method of assigning a storage device to a computer
US20050210041A1 (en) Management method for data retention

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070618

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090220

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100423

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100428

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100921