JP2007334710A - ストレージ制御装置、ストレージ制御方法、ストレージ装置 - Google Patents

ストレージ制御装置、ストレージ制御方法、ストレージ装置 Download PDF

Info

Publication number
JP2007334710A
JP2007334710A JP2006166860A JP2006166860A JP2007334710A JP 2007334710 A JP2007334710 A JP 2007334710A JP 2006166860 A JP2006166860 A JP 2006166860A JP 2006166860 A JP2006166860 A JP 2006166860A JP 2007334710 A JP2007334710 A JP 2007334710A
Authority
JP
Japan
Prior art keywords
storage
storage device
remote adapter
encryption
authentication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006166860A
Other languages
English (en)
Inventor
Atsushi Katano
篤 片野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006166860A priority Critical patent/JP2007334710A/ja
Priority to US11/584,573 priority patent/US20070294524A1/en
Publication of JP2007334710A publication Critical patent/JP2007334710A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0629Configuration or reconfiguration of storage systems
    • G06F3/0632Configuration or reconfiguration of storage systems by initialisation or re-initialisation of storage systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0683Plurality of storage devices
    • G06F3/0689Disk arrays, e.g. RAID, JBOD

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】ネットワークで接続されたストレージ装置間のログイン処理に要する時間を短縮するストレージ制御装置、ストレージ制御方法、ストレージ装置を提供する。
【解決手段】ネットワークを介して接続された他のストレージ制御装置との通信を行うリモートアダプタと、自己がイニシエータとなり、他のストレージ制御装置がターゲットとなるよう指示を受けた場合、ログインのための認証方式と暗号化アルゴリズムとを示す情報をリモートアダプタにより他のストレージ制御装置へ送信させ、リモートアダプタにより他のストレージ制御装置から受信された第1の暗号化キーを用いて認証方式による自己の認証情報を暗号化した自己の認証情報と、第2の暗号化キーとを、リモートアダプタにより他のストレージ制御装置へ送信させるリモートアダプタ制御部とを備えた。
【選択図】図1

Description

本発明は、ネットワークで接続されたストレージ装置同士の通信のためのストレージ制御装置、ストレージ制御方法、ストレージ装置に関するものである。
iSCSI(i Small Computer System Interface)を用いてリモート筐体間コピーを行う際、イニシエータ筐体がターゲット筐体へSCSIコマンドを送信するためには、ターゲット筐体にログインする必要がある。
まず、イニシエータ筐体がホストであり、ターゲット筐体がRAID(Redundant Arrays of Inexpensive Disks)装置である従来のリモート筐体間コピーについて説明する。
まず、従来のホストとRAID装置の構成について説明する。図3は、従来のホストとRAID装置の接続の構成の一例を示すブロック図である。ホスト1は、ディスク制御部11、I/O制御部12、リモートアダプタ制御部13、リモートアダプタ14、ディスク15を備える。ディスク制御部11は、ディスク15の制御を行うとともに、I/O制御部12に対してコピーなどの指示を行う。I/O制御部12は、ディスク制御部11からの指示に従って、リモートアダプタ制御部13へSCSIコマンドやデータなどを送信する。リモートアダプタ制御部13は、I/O制御部12からの指示に従って、リモートアダプタ14を制御し、RAID装置2へのログイン処理やコマンド処理を行う。
RAID装置2は、ディスク制御部21、I/O制御部22、リモートアダプタ制御部23、リモートアダプタ24、ディスク25を備える。リモートアダプタ制御部23は、リモートアダプタ24を制御し、ホスト1からのログイン処理やコマンド処理を行う。I/O制御部22はイニシエータ筐体から受信したSCSIコマンドやデータなどに基づいて、ディスク制御部21への指示を行う。ディスク制御部21は、I/O制御部22からの指示に基づいてディスク25の制御を行う。リモートアダプタ14とリモートアダプタ24はネットワークを介して接続されている。
次に、従来のホストからRAID装置へのログイン処理について説明する。
ログイン処理において、Login Request PDU(Protocol Data Unit)またはLogin Response PDUのiSCSIパケットが筐体間で複数回やりとりされる。
図4は、従来のログイン処理の動作の一例を示すシーケンス図である。このシーケンス図は、イニシエータ筐体のリモートアダプタ制御部13とターゲット筐体のリモートアダプタ制御部23の動作を表す。ここでは、双方向認証有りのログイン処理について説明する。イニシエータ筐体は、Login Request PDUをターゲット筐体へ送信し、ターゲット筐体は、Login Response PDUをイニシエータ筐体へ送信する。ログイン処理としてSecurity Negotiation、Login Operational Negetiation Stageが実行された後、SCSIコマンドを送信することができるFull Feature Phaseに移る。
まず、Security Negotiation 1として、イニシエータ筐体は、ログイン処理を開始し、認証方式の提案を送信する(S111)。この例において、提案できる認証方式には、例えば、Kerberos、SPKM1、SPKM2、CHAPがある。この例において、送信内容は、認証方式にCHAP、KRB5、SPKM2を提案することを示す。次に、ターゲット筐体は、提案された認証方式の中から一つを選択し、応答を送信する(S112)。この例において、送信内容は、認証方式をCHAPに決定したことを示す。
次に、Security Negotiation 2として、イニシエータ筐体は、暗号化アルゴリズムの通知をターゲット筐体に送信する(S121)。この例において、送信内容は、暗号化アルゴリズムにMD5を用いることを示す。次に、ターゲット筐体は、暗号化アルゴリズムの承諾、イニシエータ筐体が暗号化を行うための暗号化キーをイニシエータ筐体に送信する(S122)。この例において、送信内容は、暗号化アルゴリズム(CHAP_A:CHAP Algorithm)にMD5を用いること、暗号化キー(CHAP_I:CHAP Identify,CHAP_C:CHAP Challenge(ランダム値))をaa,bbbbbbbbbbbbbbとすることを示す。
次に、Security Negotiation 3として、イニシエータ筐体は、予め記憶しているターゲット筐体にログインするためのパスワード(認証情報)を、受信した暗号化キーで暗号化し、暗号化したパスワード、ID、ターゲット筐体が暗号化を行うための暗号化キーをターゲット筐体に送信する(S131)。この例において、送信内容は、暗号化されたパスワード(CHAP_R:CHAP Response)がcccccccc、ID(CHAP_N:CHAP Name)がdddddddd、暗号化キー(CHAP_I,CHAP_C)が“ee,ffffffff”であることを示す。次に、ターゲット筐体は、予め記憶しているイニシエータ筐体のパスワードを暗号化し、受信したパスワードと比較し、一致した場合、イニシエータ筐体を認証し、予め記憶しているイニシエータ筐体にログインするためのパスワードを、パスワードを受信した暗号化キーで暗号化し、暗号化したパスワード、IDをイニシエータ筐体に送信する(S132)。この例において、送信内容は、暗号化されたパスワード(CHAP_R)がgggggggg、ID(CHAP_N)がhhhhhhhhhであることを示す。
次に、イニシエータ筐体は、予め記憶しているターゲット筐体のパスワードを暗号化し、受信したパスワードと比較し、一致した場合、ターゲット筐体を認証し、Login Operational Negotiation Stageとして、ログインパラメータをターゲット筐体に送信する(S141)。ログインパラメータは、相手筐体とのコネクションを確立するために必要な情報であり、最大のデータサイズ、監視時間などである。次に、ターゲット筐体は、ログインパラメータに基づいてログインを許可すると、ログイン許可を示す応答をイニシエータ筐体に送信する(S142)。
イニシエータ筐体がこの応答を受信すると、ログイン処理のシーケンスは終了する。以後、イニシエータ筐体は、Full Feature Phaseとして、SCSIコマンドをターゲット筐体に送信することが可能となる。
上述したように、イニシエータ筐体がホストである場合、iSCSIに準拠したログイン処理によりFull Feature Phaseに至るまでに、Login Request PDUとLogin Response PDUのやりとりが最低4回行われる。ネゴシエーションの種類によっては、やりとりが更に1〜2回増加する。
次に、イニシエータ筐体とターゲット筐体の両方がRAID装置である場合のリモート筐体間コピーについて説明する。
図5は、従来のRAID装置同士の接続の構成の一例を示すブロック図である。この図において、図3と同一符号は図3に示された対象と同一又は相当物を示しており、ここでの説明を省略する。この図は、図3と比較すると、ホスト1の代わりにRAID装置2を備える。
RAID装置間コピーは、イニシエータ筐体においてI/O制御部22がリモートアダプタ制御部23にSCSIコマンドを送信させるコピー制御処理により実現される。ここで、I/O制御部22は、イニシエータ筐体のリモートアダプタがターゲット筐体のリモートアダプタにログインしているか否かを知らず、コピー制御処理のみを行う。
まず、ログイン処理が不要な場合のコピー制御処理について説明する。図6は、従来のログインが不要な場合のコピー制御処理の動作の一例を示すシーケンス図である。まず、イニシエータ筐体のI/O制御部22は、コピー制御処理を開始し、リモートアダプタを起動し、コマンドの応答についてのタイマーの待機時間を設定し、リモートアダプタ制御部23にコマンドを送信する(S211)。次に、リモートアダプタ制御部23は、コマンド処理として、ターゲット筐体にコマンドを送信し(S212)、コマンドに対する応答を受信し、応答の解析を行ってコマンド処理結果とし(S213)、I/O制御部22にコマンド処理結果を応答として送信する(S214)。I/O制御部22がこの応答を受信すると、このシーケンスは終了する。
ここで、I/O制御部22は、タイマーに設定された待機時間が経過してもリモートアダプタ制御部23からの応答がない場合(タイムアウト)、コマンドをAbort(Cancel)する。
次に、iSCSIを用いたリモート筐体間コピーのように、ログイン処理が必要な場合のコピー制御処理について説明する。図7は、従来のログインが必要な場合のコピー制御処理の動作の一例を示すシーケンス図である。まず、I/O制御部22は、コピー制御処理を開始し、リモートアダプタを起動し、コマンドの応答についてのタイマーの待機時間を設定し、リモートアダプタ制御部23にコマンドを送信する(S311)。次に、リモートアダプタ制御部23は、図4のログイン処理と同様にターゲット筐体へのログイン処理を開始し、Login Request PDUの送信(S312)、それに対するLogin Response PDUの受信(S313)を行う。
処理S312,S313を数回繰り返し、ログイン処理が完了すると、リモートアダプタ制御部23は、コマンド処理として、ターゲット筐体にコマンドを送信し(S314)、コマンドに対する応答を受信し、その応答の解析を行ってコマンド処理結果とし(S315)、コマンド処理結果をI/O制御部22への応答として送信する(S316)。I/O制御部22がこの応答を受信すると、このシーケンスは終了する。
なお、本発明の関連ある従来技術として、IEEE1394インタフェースで接続されたイニシエータとターゲットの間のデータ転送方法がある(例えば、特許文献1参照)。
特開2004−13634号公報
しかしながら、I/O制御部22は、ログイン処理を意識しておらず、ログイン処理が必要な場合と不要な場合とでタイマーの待機時間は変わらない。そのため、ログイン処理に時間がかかってしまうと、コマンド処理を行っている途中で、タイムアウトになってしまう可能性が高くなる。
本発明は上述した問題点を解決するためになされたものであり、ネットワークで接続されたストレージ装置間のログイン処理に要する時間を短縮するストレージ制御装置、ストレージ制御方法、ストレージ装置を提供することを目的とする。
上述した課題を解決するため、本発明は、ストレージの制御を行うストレージ制御装置であって、ネットワークを介して接続された他のストレージ制御装置との通信を行うリモートアダプタと、自己がイニシエータとなり、前記他のストレージ制御装置がターゲットとなるよう指示を受けた場合、ログインのための認証方式と暗号化アルゴリズムとを示す情報を前記リモートアダプタにより前記他のストレージ制御装置へ送信させ、前記リモートアダプタにより前記他のストレージ制御装置から受信された前記暗号化アルゴリズムに基づく第1の暗号化キーを用いて前記認証方式による自己の認証情報を暗号化し、該暗号化した自己の認証情報と、前記暗号化アルゴリズムに基づいて前記他のストレージ制御装置が暗号化を行うための第2の暗号化キーとを、前記リモートアダプタにより前記他のストレージ制御装置へ送信させるリモートアダプタ制御部とを備えたものである。
また、本発明に係るストレージ制御装置において、前記リモートアダプタ制御部は、前記リモートアダプタに前記暗号化した自己の認証情報を送信させた後、前記リモートアダプタが前記第2の暗号化キーにより暗号化された前記他のストレージ制御装置の認証情報を受信した場合、該認証情報を用いて前記他のストレージ制御装置の認証を行うことを特徴とするものである。
また、本発明に係るストレージ制御装置において、前記リモートアダプタ制御部は、前記暗号化した自己の認証情報と前記第2の暗号化キーとに加えて、自己と前記他のストレージ制御装置とのコネクションを確立するためのパラメータとを送信させることを特徴とするものである。
また、本発明は、ネットワークを介して接続された第1のストレージ装置と第2のストレージ装置の制御を行うストレージ制御方法であって、前記第1のストレージ装置がイニシエータとなり、前記第2のストレージ装置がターゲットとなる場合、前記第1のストレージ装置がログインのための認証方式と暗号化アルゴリズムとを前記第2のストレージ装置へ送信する第1要求ステップと、前記第1のストレージ装置が前記第2のストレージ装置から受信した前記暗号化アルゴリズムに基づく第1の暗号化キーを用いて前記認証方式による前記第1のストレージ装置の認証情報を暗号化し、該暗号化した第1のストレージ装置の認証情報と、前記暗号化アルゴリズムに基づいて前記他のストレージ装置が暗号化を行うための第2の暗号化キーとを前記第2のストレージ装置へ送信する第2要求ステップとを実行するものである。
また、本発明は、ストレージの制御を行うストレージ装置であって、ネットワークを介して接続された他のストレージ装置との通信を行うリモートアダプタと、自己がイニシエータとなり、前記他のストレージ装置がターゲットとなるよう指示を受けた場合、ログインのための認証方式と暗号化アルゴリズムとを示す情報を前記リモートアダプタにより前記他のストレージ装置へ送信させ、前記リモートアダプタにより前記他のストレージ装置から受信された前記暗号化アルゴリズムに基づく第1の暗号化キーを用いて前記認証方式による自己の認証情報を暗号化し、該暗号化した自己の認証情報と、前記暗号化アルゴリズムに基づいて前記他のストレージ装置が暗号化を行うための第2の暗号化キーとを、前記リモートアダプタにより前記他のストレージ装置へ送信させるリモートアダプタ制御部とを備えたものである。
本発明によれば、ネットワークで接続されたストレージ装置間のログイン処理に要する時間を短縮することができる。
以下、本発明の実施の形態について図面を参照しつつ説明する。
まず、本実施の形態に係るRAID装置(ストレージ装置)の構成について説明する。
図1は、本実施の形態に係るRAID装置同士の接続の構成の一例を示すブロック図である。この図において、図5と同一符号は図5に示された対象と同一又は相当物を示しており、ここでの説明を省略する。この図は、図5と比較すると、ホスト1の代わりにRAID装置3を備え、RAID装置2の代わりにRAID装置3を備え、リモートアダプタ制御部23の代わりにリモートアダプタ制御部31(ストレージ制御装置)を備える。リモートアダプタ24同士はネットワークを介して接続されている。
図2は、本実施の形態に係るRAID装置によるログイン処理の動作の一例を示すシーケンス図である。このシーケンス図は、イニシエータ筐体のリモートアダプタ制御部31とターゲット筐体のリモートアダプタ制御部31の動作を表す。従来のログイン処理と同様、イニシエータ筐体は、Login Request PDUをターゲット筐体へ送信し、ターゲット筐体は、Login Response PDUをイニシエータ筐体へ送信する。
まず、Security Negotiation 1として、イニシエータ筐体は、ログイン処理を開始し、認証方式と暗号化アルゴリズムの要求をターゲット筐体に送信する(S511、第1要求ステップ)。この例において、送信内容は、認証方式にCHAPを用い、暗号化アルゴリズムにMD5を用いるよう要求する。
次に、ターゲット筐体は、要求された認証方式と暗号化アルゴリズムを承諾する場合、認証方式の承諾、暗号化アルゴリズムの承諾、イニシエータ筐体が暗号化を行うための暗号化キー(第1の暗号化キー)をイニシエータ筐体に送信する(S512、第1応答ステップ)。この例において、送信内容は、要求された認証方式CHAPを承諾すること、要求された暗号化アルゴリズム(CHAP_A)MD5を承諾すること、暗号化キー(CHAP_I,CHAP_C)をaa,bbbbbbbbbbbbbbとすることを示す。
次に、Security Negotiation 2として、イニシエータ筐体は、予め記憶しているターゲット筐体にログインするためのパスワードを、受信した暗号化キーで暗号化し、暗号化したパスワード、ID、ターゲット筐体が暗号化を行うための暗号化キー(第2の暗号化キー)、ログインパラメータをターゲット筐体に送信する(S521、第2要求ステップ)。この例において、送信内容は、暗号化されたパスワード(CHAP_R)がcccccccc、ID(CHAP_N)がddddddd、暗号化キー(CHAP_I,CHAP_C)が“ee,ffffffffffff”であることを示す。ログインパラメータは、通常のSecurity Negotiationで送信できないキーであることから、“The Private or Public Extension Key”を用いて送信する。
次に、ターゲット筐体は、予め記憶しているイニシエータ筐体のパスワードを暗号化し、受信したパスワードと比較し、一致した場合、イニシエータ筐体を認証する。次に、ターゲット筐体は、予め記憶しているイニシエータ筐体にログインするためのパスワードを、受信した暗号化キーで暗号化し、暗号化したパスワード、ID、ログインパラメータに対する応答を送信する(S522、第2応答ステップ)。この例において、送信内容は、暗号化されたパスワード(CHAP_R)がgggggggg、ID(CHAP_I)がhhhhhhhhhであることを示す。ログインパラメータに対する応答もログインパラメータと同様、“The Private or Public Extension Key”を用いて送信する。
イニシエータ筐体がこの応答を受信し、受信したパスワードとIDを用いてターゲット筐体の認証を行うと(ログイン完了ステップ)、ログイン処理のシーケンスは終了する。以後、イニシエータ筐体のリモートアダプタ制御部31は、Full Feature Phaseとして、SCSIコマンドをターゲット筐体に送信する。
このログイン処理によれば、Full Feature Phaseに至るまでに、Login Request PDUとLogin Response PDUのやりとりが2回で済み、従来のログイン処理と比べて、処理時間が大幅に短縮される。
また、本実施の形態に係るストレージ制御装置は、ストレージ装置に容易に適用することができ、ストレージ装置の性能をより高めることができる。ここで、ストレージ装置には、例えばディスク装置、RAID装置等が含まれ得る。
(付記1) ストレージの制御を行うストレージ制御装置であって、
ネットワークを介して接続された他のストレージ制御装置との通信を行うリモートアダプタと、
自己がイニシエータとなり、前記他のストレージ制御装置がターゲットとなるよう指示を受けた場合、ログインのための認証方式と暗号化アルゴリズムとを示す情報を前記リモートアダプタにより前記他のストレージ制御装置へ送信させ、前記リモートアダプタにより前記他のストレージ制御装置から受信された前記暗号化アルゴリズムに基づく第1の暗号化キーを用いて前記認証方式による自己の認証情報を暗号化し、該暗号化した自己の認証情報と、前記暗号化アルゴリズムに基づいて前記他のストレージ制御装置が暗号化を行うための第2の暗号化キーとを、前記リモートアダプタにより前記他のストレージ制御装置へ送信させるリモートアダプタ制御部と
を備えるストレージ制御装置。
(付記2) 付記1に記載のストレージ制御装置において、
前記リモートアダプタ制御部は、前記リモートアダプタに前記暗号化した自己の認証情報を送信させた後、前記リモートアダプタが前記第2の暗号化キーにより暗号化された前記他のストレージ制御装置の認証情報を受信した場合、該認証情報を用いて前記他のストレージ制御装置の認証を行うことを特徴とするストレージ制御装置。
(付記3) 付記2に記載のストレージ制御装置において、
前記リモートアダプタ制御部は、前記暗号化した自己の認証情報と前記第2の暗号化キーとに加えて、自己と前記他のストレージ制御装置とのコネクションを確立するためのパラメータとを送信させることを特徴とするストレージ制御装置。
(付記4) 付記3に記載のストレージ制御装置において、
前記リモートアダプタ制御部は、前記リモートアダプタが前記他のストレージ制御装置の認証情報と共に前記パラメータに対する応答を受信した場合、SCSIコマンドを前記リモートアダプタにより前記他のストレージ制御装置へ送信させることを特徴とするストレージ制御装置。
(付記5) 付記1乃至付記4のいずれかに記載のストレージ制御装置において、
前記リモートアダプタがイニシエータである前記他のストレージ制御装置から認証方式と暗号化アルゴリズムとを示す情報を受信した場合、前記リモートアダプタ制御部は、前記リモートアダプタにより受信された認証方式と暗号化アルゴリズムの承諾を示す情報と、該暗号化アルゴリズムに基づいて前記他のストレージ制御装置が暗号化を行うための第1の暗号化キーとを、前記リモートアダプタにより前記他のストレージ制御装置へ送信させることを特徴とするストレージ制御装置。
(付記6) 付記5に記載のストレージ制御装置において、
前記リモートアダプタが前記認証方式と暗号化アルゴリズムの承諾を示す情報と前記第1の暗号化キーとを送信した後、前記リモートアダプタが前記他のストレージ制御装置の認証情報と第2の暗号化キーを受信した場合、前記リモートアダプタ制御部は、該認証情報を用いて前記他のストレージ制御装置の認証を行い、前記第2の暗号化キーを用いて自己の認証情報を暗号化し、該暗号化した自己の認証情報を前記リモートアダプタにより前記他のストレージ制御装置へ送信させることを特徴とするストレージ制御装置。
(付記7) 付記6に記載のストレージ制御装置において、
前記リモートアダプタ制御部は、前記リモートアダプタが前記他のストレージ制御装置の認証情報と前記第2の暗号化キーとに加えて、前記他のストレージ制御装置と自己とのコネクションを確立するためのパラメータを受信した場合、前記暗号化した自己の認証情報と共に、該パラメータに対する応答を前記リモートアダプタにより前記他のストレージ制御装置へ送信させることを特徴とするストレージ制御装置。
(付記8) 付記1乃至付記7のいずれかに記載のストレージ制御装置において、
前記認証方式は、CHAPを含むことを特徴とするストレージ制御装置。
(付記9) ネットワークを介して接続された第1のストレージ装置と第2のストレージ装置の制御を行うストレージ制御方法であって、
前記第1のストレージ装置がイニシエータとなり、前記第2のストレージ装置がターゲットとなる場合、前記第1のストレージ装置がログインのための認証方式と暗号化アルゴリズムとを前記第2のストレージ装置へ送信する第1要求ステップと、
前記第1のストレージ装置が前記第2のストレージ装置から受信した前記暗号化アルゴリズムに基づく第1の暗号化キーを用いて前記認証方式による前記第1のストレージ装置の認証情報を暗号化し、該暗号化した第1のストレージ装置の認証情報と、前記暗号化アルゴリズムに基づいて前記他のストレージ装置が暗号化を行うための第2の暗号化キーとを前記第2のストレージ装置へ送信する第2要求ステップと
を実行するストレージ制御方法。
(付記10) 付記9に記載のストレージ制御方法において、
前記第2要求ステップの後、前記第1ストレージ装置が前記第2の暗号化キーにより暗号化された第2のストレージ装置の認証情報を受信した場合、前記第1のストレージ装置が該認証情報を用いて前記第2のストレージ装置の認証を行うログイン完了ステップを実行することを特徴とするストレージ制御方法。
(付記11) 付記10に記載のストレージ制御方法において、
前記第2要求ステップにおいて、前記第1のストレージ装置は前記暗号化した第1のストレージ装置の認証情報と前記第2の暗号化キーとに加えて、前記前記第1のストレージ装置と前記第2のストレージ装置とのコネクションを確立するためのパラメータとを送信することを特徴とするストレージ制御方法。
(付記12) 付記11に記載のストレージ制御方法において、
前記ログイン完了ステップにおいて、前記第1のストレージ装置が前記第2のストレージ装置の認証情報と共に前記パラメータに対する応答を受信した場合、前記第1のストレージ装置はSCSIコマンドを前記第2のストレージ装置へ送信することを特徴とするストレージ制御方法。
(付記13) 付記9乃至付記12のいずれかに記載のストレージ制御方法において、
前記第1要求ステップの後、前記第2のストレージ装置が前記第1のストレージ装置から認証方式と暗号化アルゴリズムを受信した場合、前記第2のストレージ装置が受信した認証方式と暗号化アルゴリズムの承諾を示す情報と前記第1のストレージ装置が該暗号化アルゴリズムに基づいて暗号化を行うための第1の暗号化キーとを、前記第1のストレージ装置へ送信する第1応答ステップを実行することを特徴とするストレージ制御方法。
(付記14) 付記13に記載のストレージ制御方法において、
前記第2要求ステップの後、前記第2のストレージ装置が前記第1のストレージ装置の認証情報と第2の暗号化キーを受信した場合、前記第2のストレージ装置が該認証情報を用いて前記第1のストレージ装置の認証を行い、前記第2の暗号化キーを用いて前記第2のストレージ装置の認証情報を暗号化し、該暗号化した第2のストレージ装置の認証情報を前記第1のストレージ装置へ送信する第2応答ステップを実行することを特徴とするストレージ制御方法。
(付記15) 付記14に記載のストレージ制御方法において、
前記第2応答ステップにおいて、前記第2のストレージ装置が前記第1のストレージ装置の認証情報と前記第2の暗号化キーとに加えて、前記第1のストレージ装置と前記第2のストレージ装置とのコネクションを確立するためのパラメータを受信した場合、前記第2のストレージ装置は前記暗号化した自己の認証情報と共に、該パラメータに対する応答を前記第1のストレージ装置へ送信することを特徴とするストレージ制御方法。
(付記16) 付記9乃至付記15のいずれかに記載のストレージ制御装置において、
前記認証方式は、CHAPを含むことを特徴とするストレージ制御装置。
(付記17) ストレージの制御を行うストレージ装置であって、
ネットワークを介して接続された他のストレージ装置との通信を行うリモートアダプタと、
自己がイニシエータとなり、前記他のストレージ装置がターゲットとなるよう指示を受けた場合、ログインのための認証方式と暗号化アルゴリズムとを示す情報を前記リモートアダプタにより前記他のストレージ装置へ送信させ、前記リモートアダプタにより前記他のストレージ装置から受信された前記暗号化アルゴリズムに基づく第1の暗号化キーを用いて前記認証方式による自己の認証情報を暗号化し、該暗号化した自己の認証情報と、前記暗号化アルゴリズムに基づいて前記他のストレージ装置が暗号化を行うための第2の暗号化キーとを、前記リモートアダプタにより前記他のストレージ装置へ送信させるリモートアダプタ制御部と
を備えるストレージ装置。
(付記18) 付記17に記載のストレージ装置において、
前記リモートアダプタ制御部は、前記リモートアダプタに前記暗号化した自己の認証情報を送信させた後、前記リモートアダプタが前記第2の暗号化キーにより暗号化された前記他のストレージ装置の認証情報を受信した場合、該認証情報を用いて前記他のストレージ装置の認証を行うことを特徴とするストレージ装置。
(付記19) 付記18に記載のストレージ装置において、
前記リモートアダプタ制御部は、前記暗号化した自己の認証情報と前記第2の暗号化キーとに加えて、自己と前記他のストレージ装置とのコネクションを確立するためのパラメータとを送信させることを特徴とするストレージ装置。
(付記20) 付記19に記載のストレージ装置において、
前記リモートアダプタ制御部は、前記リモートアダプタが前記他のストレージ装置の認証情報と共に前記パラメータに対する応答を受信した場合、SCSIコマンドを前記リモートアダプタにより前記他のストレージ装置へ送信させることを特徴とするストレージ装置。
本実施の形態に係るRAID装置同士の接続の構成の一例を示すブロック図である。 本実施の形態に係るRAID装置によるログイン処理の動作の一例を示すシーケンス図である。 従来のホストとRAID装置の接続の構成の一例を示すブロック図である。 従来のログイン処理の動作の一例を示すシーケンス図である。 従来のRAID装置同士の接続の構成の一例を示すブロック図である。 従来のログインが不要な場合のコピー制御処理の動作の一例を示すシーケンス図である。 従来のログインが必要な場合のコピー制御処理の動作の一例を示すシーケンス図である。
符号の説明
3 RAID装置、21 ディスク制御部、22 I/O制御部、24 リモートアダプタ、25 ディスク、31 リモートアダプタ制御部。

Claims (5)

  1. ストレージの制御を行うストレージ制御装置であって、
    ネットワークを介して接続された他のストレージ制御装置との通信を行うリモートアダプタと、
    自己がイニシエータとなり、前記他のストレージ制御装置がターゲットとなるよう指示を受けた場合、ログインのための認証方式と暗号化アルゴリズムとを示す情報を前記リモートアダプタにより前記他のストレージ制御装置へ送信させ、前記リモートアダプタにより前記他のストレージ制御装置から受信された前記暗号化アルゴリズムに基づく第1の暗号化キーを用いて前記認証方式による自己の認証情報を暗号化し、該暗号化した自己の認証情報と、前記暗号化アルゴリズムに基づいて前記他のストレージ制御装置が暗号化を行うための第2の暗号化キーとを、前記リモートアダプタにより前記他のストレージ制御装置へ送信させるリモートアダプタ制御部と
    を備えるストレージ制御装置。
  2. 請求項1に記載のストレージ制御装置において、
    前記リモートアダプタ制御部は、前記リモートアダプタに前記暗号化した自己の認証情報を送信させた後、前記リモートアダプタが前記第2の暗号化キーにより暗号化された前記他のストレージ制御装置の認証情報を受信した場合、該認証情報を用いて前記他のストレージ制御装置の認証を行うことを特徴とするストレージ制御装置。
  3. 請求項2に記載のストレージ制御装置において、
    前記リモートアダプタ制御部は、前記暗号化した自己の認証情報と前記第2の暗号化キーとに加えて、自己と前記他のストレージ制御装置とのコネクションを確立するためのパラメータとを送信させることを特徴とするストレージ制御装置。
  4. ネットワークを介して接続された第1のストレージ装置と第2のストレージ装置の制御を行うストレージ制御方法であって、
    前記第1のストレージ装置がイニシエータとなり、前記第2のストレージ装置がターゲットとなる場合、前記第1のストレージ装置がログインのための認証方式と暗号化アルゴリズムとを前記第2のストレージ装置へ送信する第1要求ステップと、
    前記第1のストレージ装置が前記第2のストレージ装置から受信した前記暗号化アルゴリズムに基づく第1の暗号化キーを用いて前記認証方式による前記第1のストレージ装置の認証情報を暗号化し、該暗号化した第1のストレージ装置の認証情報と、前記暗号化アルゴリズムに基づいて前記他のストレージ装置が暗号化を行うための第2の暗号化キーとを前記第2のストレージ装置へ送信する第2要求ステップと
    を実行するストレージ制御方法。
  5. ストレージの制御を行うストレージ装置であって、
    ネットワークを介して接続された他のストレージ装置との通信を行うリモートアダプタと、
    自己がイニシエータとなり、前記他のストレージ装置がターゲットとなるよう指示を受けた場合、ログインのための認証方式と暗号化アルゴリズムとを示す情報を前記リモートアダプタにより前記他のストレージ装置へ送信させ、前記リモートアダプタにより前記他のストレージ装置から受信された前記暗号化アルゴリズムに基づく第1の暗号化キーを用いて前記認証方式による自己の認証情報を暗号化し、該暗号化した自己の認証情報と、前記暗号化アルゴリズムに基づいて前記他のストレージ装置が暗号化を行うための第2の暗号化キーとを、前記リモートアダプタにより前記他のストレージ装置へ送信させるリモートアダプタ制御部と
    を備えるストレージ装置。
JP2006166860A 2006-06-16 2006-06-16 ストレージ制御装置、ストレージ制御方法、ストレージ装置 Pending JP2007334710A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006166860A JP2007334710A (ja) 2006-06-16 2006-06-16 ストレージ制御装置、ストレージ制御方法、ストレージ装置
US11/584,573 US20070294524A1 (en) 2006-06-16 2006-10-23 Storage control apparatus, storage control method, and storage apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006166860A JP2007334710A (ja) 2006-06-16 2006-06-16 ストレージ制御装置、ストレージ制御方法、ストレージ装置

Publications (1)

Publication Number Publication Date
JP2007334710A true JP2007334710A (ja) 2007-12-27

Family

ID=38862878

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006166860A Pending JP2007334710A (ja) 2006-06-16 2006-06-16 ストレージ制御装置、ストレージ制御方法、ストレージ装置

Country Status (2)

Country Link
US (1) US20070294524A1 (ja)
JP (1) JP2007334710A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009223636A (ja) * 2008-03-17 2009-10-01 Fujitsu Ltd 情報処理システム、機能拡張装置及び制御方法

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8938773B2 (en) 2007-02-02 2015-01-20 Websense, Inc. System and method for adding context to prevent data leakage over a computer network
US20090216886A1 (en) * 2008-02-21 2009-08-27 Inventec Corporation Method of multi-path accessing remote logic device under linux system
US9130986B2 (en) 2008-03-19 2015-09-08 Websense, Inc. Method and system for protection against information stealing software
US9015842B2 (en) * 2008-03-19 2015-04-21 Websense, Inc. Method and system for protection against information stealing software
CN101651945B (zh) * 2009-09-25 2011-10-12 青岛海信移动通信技术股份有限公司 挑战响应式协议chap鉴权方法、装置和移动终端
US9241259B2 (en) 2012-11-30 2016-01-19 Websense, Inc. Method and apparatus for managing the transfer of sensitive information to mobile devices
JP6301579B2 (ja) * 2012-12-03 2018-03-28 フェリカネットワークス株式会社 通信端末、通信方法、プログラム、及び通信システム
US11531487B1 (en) * 2019-12-06 2022-12-20 Pure Storage, Inc. Creating a replica of a storage system
CN111628973B (zh) * 2020-05-09 2022-11-22 深信服科技股份有限公司 一种远程登录的控制方法、装置、计算机设备及存储介质

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4511174B2 (ja) * 2001-08-31 2010-07-28 アダプテック・インコーポレイテッド Tcp/ipを使用した高速度データ送信システムおよび方法
US6845403B2 (en) * 2001-10-31 2005-01-18 Hewlett-Packard Development Company, L.P. System and method for storage virtualization
US7089587B2 (en) * 2002-04-04 2006-08-08 International Business Machines Corporation ISCSI target offload administrator
JP4264924B2 (ja) * 2002-06-07 2009-05-20 ソニーマニュファクチュアリングシステムズ株式会社 データ転送方法
US7287269B2 (en) * 2002-07-29 2007-10-23 International Buiness Machines Corporation System and method for authenticating and configuring computing devices
US7353260B1 (en) * 2003-06-13 2008-04-01 Cisco Technology, Inc. System and method for access control on a storage router
JP3976324B2 (ja) * 2004-02-27 2007-09-19 株式会社日立製作所 セキュリティレベルに応じて記憶領域を計算機に割り当てるシステム
JP2005284437A (ja) * 2004-03-29 2005-10-13 Hitachi Ltd ストレージ装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009223636A (ja) * 2008-03-17 2009-10-01 Fujitsu Ltd 情報処理システム、機能拡張装置及び制御方法

Also Published As

Publication number Publication date
US20070294524A1 (en) 2007-12-20

Similar Documents

Publication Publication Date Title
JP2007334710A (ja) ストレージ制御装置、ストレージ制御方法、ストレージ装置
US7469337B2 (en) System and method for computer storage security
JP5231230B2 (ja) 安全なデータ伝送を提供するためのシステム及び方法
US7275176B2 (en) Automatic reconnect and reacquisition in a computer investigation system
US8335920B2 (en) Recovery of data access for a locked secure storage device
EP1959368B1 (en) Security link management in dynamic networks
JP4692826B2 (ja) 情報処理装置および方法、記録媒体、並びにプログラム
KR101130415B1 (ko) 비밀 데이터의 노출 없이 통신 네트워크를 통해 패스워드 보호된 비밀 데이터를 복구하는 방법 및 시스템
JP4601706B2 (ja) 通信ネットワーク上でのクライアントとサーバ間の安全なデータ通信
JP2004157892A (ja) 計算機システム、記憶装置、アクセス管理方法及びプログラム
JP2008517400A (ja) データセキュリティ
JP2008067162A (ja) 制御システムおよびシステムの制御方法
JP2003230186A (ja) 遠隔操作システム、その制御方法および該制御方法を実現するためのプログラム
JP2009104509A (ja) 端末認証システム、端末認証方法
JP4950573B2 (ja) 認証システムおよび認証方法
JP4692922B2 (ja) ローカル端末、リモート端末、アプリケーションアクセス制御システム、その動作方法及び動作プログラム
JP4433736B2 (ja) 無停電電源装置管理プログラムおよび無停電電源装置管理装置
JP4651644B2 (ja) 認証システムおよび認証プログラム
EP1873993B1 (en) Command processing system
TWI847516B (zh) 遠端驗證實體安全性金鑰的系統及方法
KR102547745B1 (ko) 사전 인증정보를 이용해 네트워크 응답속도를 개선한 영상 보안 시스템
KR20110136949A (ko) 제어명령 인증이 가능한 원격감시제어 장치, 원격감시제어명령 인증 장치 및 제어명령 인증 방법
JP2005327315A (ja) クライアントとサーバ間の簡易認証方法
RU2342697C2 (ru) Портативное устройство хранения данных с системой шифрования
TW202433889A (zh) 遠端驗證實體安全性金鑰的系統及方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080501

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080513

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080711

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080812