JP3745961B2 - ネットワークと接続している記憶システムへの接続を認証するための方法および装置 - Google Patents
ネットワークと接続している記憶システムへの接続を認証するための方法および装置 Download PDFInfo
- Publication number
- JP3745961B2 JP3745961B2 JP2000557189A JP2000557189A JP3745961B2 JP 3745961 B2 JP3745961 B2 JP 3745961B2 JP 2000557189 A JP2000557189 A JP 2000557189A JP 2000557189 A JP2000557189 A JP 2000557189A JP 3745961 B2 JP3745961 B2 JP 3745961B2
- Authority
- JP
- Japan
- Prior art keywords
- storage system
- devices
- network
- checksum
- series
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/007—Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
- G06F2211/008—Public Key, Asymmetric Key, Asymmetric Encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Description
【0001】
[発明の分野]
本発明は、一般的に情報記憶装置の分野に関し、特に、記憶装置内のデータに対するアクセスを管理する方法および装置に関する。
【0002】
[関連技術の説明]
コンピュータ・システムは一般的に、1つまたは複数のホスト・プロセッサと、ホスト・プロセッサによってアクセスされるデータを記憶する記憶システムとを含む。記憶システムは、ホスト・プロセッサの記憶容量の需要に供するために、1つまたは複数の記憶装置(たとえば、ディスク・ドライブ)を含むことができる。ディスク・ドライブは、磁気記録媒体や光記憶媒体などの記録媒体の1つまたは複数のディスクを含むことができる。
【0003】
典型的なコンピュータ・システム構成においては、バスがホスト・プロセッサと記憶システムとの間の相互接続を提供する。バスは、ホスト・プロセッサと記憶システムとの間で伝送されるパケットの形式を記述するスモール・コンポーネント・システム・インターコネクト(SCSI)プロトコルなどのプロトコルに従って動作する。ホスト・コンピュータによってデータが必要とされると、バス上で記憶システムとの間において要求や応答が送受信される。
【0004】
ネットワーク・コンピュータ・システムの成長に伴って、多数のホストがネットワーク上で共有データ記憶システムに接続されるようになった。ファイバ・チャネルは、かかる構成を形成するのに使用できるネットワークの一例である。ファイバ・チャネルはネットワーク上で多数のイニシエータが多数のターゲットと通信することを可能にするネットワーク標準であり、そこでは、イニシエータおよびターゲットはネットワークに接続された如何なる装置であってもよい。ネットワークを使用すると、多数のホストが単一の記憶システムへのアクセスを共有できる。多数のホストを共有記憶システムに接続するに当たっての1つの問題は、記憶システムでのデータ・アクセスの管理である。多数のホストが共通の記憶システムに対してアクセス権を有するので、各ホストは、他のホスト・プロセッサの所有に帰す場合がある情報に物理的にアクセスできる場合がある。
【0005】
記憶システムでデータへのアクセスを管理するために、様々な技術が実施されてきた。たとえば、記憶システムのメモリの特定の部分またはゾーンを、ホストの1つまたは複数の専用にすることができる。各ホストは、それが特権を有するメモリの部分のみにアクセスすることを「期待される」。しかし、かかるアプローチはホストそれぞれの個々の動作に影響され易い。その結果、かかるデータ管理方法は、特権を得ていないアクセスからデータを保護するのに十分でない場合がある。
欧州特許明細書第93305509.7号(公報0 580 350 A1号)は、要求メッセージが既に認証されている要求者を識別する認証データをキャッシュする分散型システムを説明している。分散型コンピュータ・システムには、ネットワークと接続したコンピュータ(ノードと呼ばれる)が配備されており、各コンピュータは、システム内の別のノードの本質(principles)から受信した要求を認証するための認証エージェントを含んでいる。サーバに送信された要求メッセージには、要求者によって提供された第1識別子と、要求者の認証エージェントによって提供された第2識別子が含まれている。ノードは、何らかの要求を送信する前にはセキュア・チャンネルを確立する。セキュア・チャンネルは、2つのノード間で送信される全てのパケットの暗号化および解読の両方にホスト対ホスト・キーを用いて確立される。
【0006】
[発明の概要]
本発明の1態様によれば、記憶システムにおいて、前記装置によって発行されたことを示す、前記記憶システムへのアクセスについての一連の要求内の各々の要求が、本当にその装置によって発行されたものであることを認証するステップと、該認証ステップに応答して、認証された要求の各々を選択的に処理するステップと、を有する前記装置による記憶システムへのアクセスを管理するためのデータ管理方法が得られる。
【0007】
本発明の別の態様によれば、装置において、該装置によって該記憶システムへ発行された少なくとも1つの後続の要求に含まれる予期される識別子を少なくとも1つ受信するステップと、前記装置から、前記予期される識別子を少なくとも1つ有する少なくとも1つの要求を該記憶システムへ発行するステップとを有する、前記装置による記憶システムへのアクセスを管理する方法が得られる。
【0008】
本発明の別の態様によれば、記憶システムへの、少なくとも1つの後続のアクセス要求に含まれる、予期される識別子を少なくとも1つ受信するためのポートと、該記憶システムへの前記少なくとも1つの予期される識別子を有する要求を少なくとも1つ発行するためのコントローラとを有する、記憶装置を備えたシステム内で使用するホスト・コンピュータが得られる。
【0009】
本発明のまた別な態様によれば、複数のボリュームに分割された少なくとも1つの記憶装置を有し、前記記憶システムを、複数の装置とインターフェースするアダプタを有し、該アダプタは、少なくとも1つの要求が少なくとも1つの装置から発行されたものであることを認証するために、該複数の装置の少なくとも1つからの要求を少なくとも1つ認証し、また、該アダプタは、該少なくとも1つの要求を、少なくとも1つの要求の認証に応じて処理を行うために、少なくとも1つの記憶装置へ選択的に送信することを特徴とする記憶システムが得られる。
【0010】
本発明のさらに別の態様によれば、装置と記憶システムの間の接続を認証するために前記装置において使用するアダプタが得られる。該アダプタは、前記記憶システムによって提供された一意の識別子を少なくとも1つ記憶するための少なくとも1つのエントリを備えたデータ構造と該記憶システムに要求を少なくとも1つ発行するためのコントローラとを有し、前記要求は、少なくとも1つの一意の識別子を有するため、前記記憶システムは、該装置と該記憶システムの間の接続を認証するために、該少なくとも1つの一意の識別子を使用できる、装置と記憶システムの間の接続を認証するために前記装置において使用するアダプタが得られる。
【0011】
[詳細な実施形態の説明]
本発明は、共有リソース(たとえば、共有記憶システム)で、多数の装置(たとえば、ホスト・プロセッサ、ファイル・サーバなど)によるデータへのアクセスを管理するデータ管理方法および装置に関する。一実施形態によれば、共有リソースは、そのリソースにおけるデータの部分のそれぞれと関連づけられた構成データに反応して、その共有リソースにおけるそのデータの部分に対する装置からの要求を選択的に処理する。
【0012】
一実施形態においては、共有リソースのデータはボリュームに分割される。構成データは、データのどのボリュームがリソースに接続された装置のそれぞれによるアクセスに利用可能であるか(たとえば、ネットワーク上で)を識別する。共有リソースは、要求を発行する装置の同一性と、アクセスが求められるボリュームと関連づけられた構成データとに応じて処理の要求を選択的に転送するフィルタを含む。フィルタは、装置がアクセスする特権を有しているボリュームに対する要求のみを転送する。装置が特権を有していないボリュームに対する要求は処理されない。
【0013】
リソースでのフィルタリングの要求は、データ管理の制御が、ネットワーク全体に分散されるのではなく、1つの場所に集中されることを可能にする。記憶システムでデータ管理制御を集中することは、記憶システムへのアクセスを求めるホストがデータの特定の部分のみにアクセスすることを期待する必要性を排除する。
【0014】
本発明の一実施形態においては、リソースでのデータ管理を支援する要求をフィルタリングすることに加えて、リソースでデータを更に安全にするためにセキュリティ保護を付加することができる。フィルタリングは要求を開始する装置の同一性に反応して行われるので、装置がリソースへのアクセスを得るためにその同一性を偽って表した場合には、データのセキュリティは危うくなる場合がある。また、装置とリソースとの間のデータ転送は、リソースに接続された他の装置(たとえば、ネットワーク上で)によって変造される場合がある。一実施形態においては、要求を発行した装置として表された装置が本当に要求を発行した装置であるかを検証するために、認証方法および装置が提供される。したがって、認証方法は、リソースでデータを得るためにその同一性を不正に表している装置に関連する、セキュリティの問題を克服するために実施することができる。別の実施形態においては、装置と共有リソースとの間で転送される情報が、伝送の間に(故意ではなく、または故意に)変造されていないことを確実にするために、立証方法および装置が提供される。
【0015】
リソースのデータを管理するデータ管理システムは、これらのフィルタリング技術、認証技術および立証技術の全てを使用できる。本発明のデータ管理方法および装置を採用できる1つの例示的システムは、ネットワーク化されたコンピュータ・システムにあり、そこでは、装置はネットワークに接続されたホスト・プロセッサまたはファイル・サーバであり、共有リソースは記憶システム(たとえば、ディスク装置記憶システム)である。ネットワーク、ホスト・プロセッサまたは共有ディスク装置の使用は本発明の限定ではなく、かかるシステム構成は例示を目的としてのみ以下で説明していることを理解されたい。
【0016】
一実施形態においては、1つまたは複数のホストをネットワークを使用して1つまたは複数の記憶システムに接続することができ、要求および応答は、ネットワークのプロトコルに従ってネットワーク上で記憶システムとの間で送受信される。また、各ホストおよび各記憶システムは、ホスト・システムまたは記憶システムを対応する1つまたは複数のネットワークに連結する1つまたは複数のポートを含むことができる。上記のように、一実施形態においては、ネットワークの各記憶システムは、記憶システムに対するデータ・アクセスを管理するために、受信した要求をフィルタリングするロジックを含む。
【0017】
本発明を採用できる1つの例示的ネットワークはファイバ・チャネル・ネットワークであるが、本発明は、ファイバ・チャネル・ネットワークまたは他のあらゆる特定のネットワーク構成の使用に限定されない。ファイバ・チャネル・ネットワーク構成の3つの例を図1A、1Bおよび1Cに示した。図1Aはループ構成で配置されたネットワーク10を示しており、そこでは、ネットワーク内の全ての装置が単一のループ内で共に接続されている。図1Aにおいては、3個のホスト・プロセッサ12、14および16が、ハブ18aによって記憶システム20に接続されて示されている。内部的には、ハブはループ構成で配置されている。バス15a〜15d上での装置間の通信は、ループ内で1つの装置から次の装置にデータ・パケットを渡すことにより行われる。図1Bはファブリック構成で配置されたネットワーク30を示しており、そこでは、全ての装置がハブ18bによって共に接続されている。内部的には、ハブはスイッチとして配置されている。ネットワーク30における対になった装置12、14、16および20の間における通信は、ハブ18bによって制御される。本発明のデータ管理方法は、図1Aおよび1Bに図示したループ構成またはファブリック構成で配置されたネットワーク、または代替的に他のネットワーク構成またはリソース共有構成において採用できる。たとえば、データ管理の態様は、図1Cに図示したネットワークにおいて採用できる。図1Cにおいて、記憶システムが2つのポートを含むホスト/記憶システム構成が示されており、それらのそれぞれが記憶システムを異なったネットワークに連結している。図1Cにおいて、第1のポート(ポート0)はファブリック・ネットワーク30に接続されており、第2のポート(ポート1)はループ・ネットワーク10に接続されている。
【0018】
上記のように、本発明のデータ管理の態様は、記憶システムに接続されたホスト装置の同一性に応じて、記憶システム20でデータのボリュームを構成する。ボリュームの異なったホストへの割り当てを管理するのに使用される構成データは、たとえば、ネットワークのシステム管理者によって提供することができる。システム管理者は、ネットワークに接続されたホスト装置と、記憶システムで利用可能なボリュームを追跡する。新たなホスト装置がシステムに入ると、システム管理者は記憶システムのボリュームをホストに割り当てる。ホストに割り当てられたボリュームの数は、要求された数のボリュームに基づいてもよいし、あるいは代替的にホストの過去のデータ要求に基づいてもよい。システム管理者はソフトウエアで実現して、ネットワーク内の装置または記憶システムの1つで実行することができ、ユーザが、ネットワーク内でのボリュームの利用可能性および異なったホストへの割り当てを監視することを可能にするグラフィカル・ユーザ・インターフェース(GUI)を含んでも良い。本発明は、システム管理の何れか特定の実施には限定されない。
【0019】
各装置は一般的に、ネットワークに入ると、ネットワークに接続された他の装置を識別するためにネットワークに問い合わせる。問い合わせに応答する各装置は、その装置に関する1つまたは複数の識別子を返す。たとえば、識別子は、ネーミングの協定を用いてアダプタ・ボードの製造業者によってその装置に割り当てられた世界的な名前(WWN)を含むことができる。識別子は、ソース識別子(ID)を含むこともできる。両者はその装置の一意の識別子であるが、ソース識別子は一般的に、WWNよりも短い識別子である。ソース識別子は装置(たとえば、ホスト・プロセッサ)、およびネットワークに接続された装置のポートを識別することができる。したがって、特定の装置の多数のポートがネットワークに接続されていれば、識別子は各ポートについて返される。問い合わせ動作が完了すると、装置のそれぞれは、ネットワークに接続された他の装置に関する知識を有している。一旦、各装置がネットワーク内の他の装置の知識を得ると、この情報は装置間でデータを交換するために使用できる。
【0020】
記憶システム20との間での要求や応答は、ネットワーク・プロトコルに従ってネットワーク10および30上で転送される。ファイバ・チャネルの相互接続は、多数のインタフェース・コマンドのセットを搬送できる。したがって、ファイバ・チャネル・ネットワークを使用して共に接続された装置は、特定のファイバ・チャネル相互接続で使用されているプロトコルの種類に関する知識を連結装置が有していることを条件に、インターネット・プロトコル(IP)、スモール・コンポーネント・システム・インターコネクト(SCSI)プロトコル、あるいは他の多数のプロトコルの何れかを含む、多数の高レベル・プロトコルの何れかを使用して通信することができる。特定の種類の装置はこれまで、特定のプロトコルを使用して通信するように設計されてきた。たとえば、ホスト・プロセッサ装置はこれまで、SCSIプロトコルを用いて記憶システムと通信してきた。したがって、ファイバ・チャネル・ネットワークを使用して接続された装置は、これまで使用されてきたのと同じプロトコルを使用して互いに通信することができる。その結果、装置の既存のインタフェースは、ファイバ・チャネル・ネットワークに接続するために再設計をほとんど必要としない。
【0021】
あらゆる種類のプロトコルのパケットを、ファイバ・チャネル・ネットワーク上で伝搬できるパケットに変換するために、通常はトンネル技術が使用される。トンネリングを使用すると、第1のプロトコルに従ってフォーマットされた1つのパケットは、ファイバ・チャネル・ネットワーク・プロトコルに従ってフォーマットされた第2のパケットに包み込まれる。したがって、SCSIパケットは、ファイバ・チャネル・ネットワークでの送信のために、ホスト・プロセッサまたは記憶システムによってファイバ・チャネル・パケット内に包み込むことができる。SCSIプロトコルに従ってフォーマットされ、ファイバ・チャネル・パケットに包み込まれたパケットの例を図2に示した。
【0022】
図2において、ファイバ・チャネル・パケット50はヘッダ部55およびペイロード部60を含む。ヘッダ部55はソースIDフィールド52、宛先IDフィールド53および長さフィールド54を含む。ソースIDフィールド52はパケット50の送信を開始したネットワーク内の装置を識別する。宛先IDフィールド53は、ネットワークにおいてパケットを受信するターゲット装置を識別する。長さフィールド54は、パケット内のバイト数を識別する。また、ファイバ・チャネル仕様に定められた他のフィールドもヘッダに含めることができるが、明確化のために、これらのフィールドは本明細書においては省略する。
【0023】
ソースIDフィールド52および宛先IDフィールド53は、特定のホスト・プロセッサおよび記憶システムを識別するために、図1Cの例示的システムにおいて使用されている。ホストが要求パケットを記憶システムに対して発行すると、ソースIDはホストを識別し、宛先IDは記憶システムを識別する。本発明の一実施形態によれば、記憶システムは、個々のホストがデータのどのボリュームにアクセスする特権を有しているかを識別する構成データをインデックスするために、パケットのソースIDフィールド52を使用する。
【0024】
上記のように、記憶システムでホストに関する構成データをインデックスする要求を発行したホストを識別するために、記憶システム20にアクセスするホストのソースIDフィールドを使用することができる。構成データは、ホストによってアクセス可能である記憶システムの部分を識別する。したがって、構成データは、ホストの要求を選択的に処理するために、記憶システムでフィルタ・ロジックによって使用することができる。ここで、ホスト識別子に基づいて要求をフィルタリングする方法および装置を実施するために使用できる、ホストおよび記憶システムの例示的構成要素を、図3乃至5を参照して説明する。
【0025】
上記のように、本発明の一実施形態においては、記憶システムは受信した要求を構成データに基づいて処理すべきかどうかを判断する。構成データのコピーを記憶システムでメモリに記憶することができる。構成データは、ホストがネットワークに出入りするときに、システム管理者によって定期的に更新することができる。記憶システムは、ネットワーク上で通信するためのロジック、およびネットワークから受信した要求を処理すべきかどうかを判断するための、構成データを記憶するメモリに接続されたフィルタリング・ロジックを含む。上記のデータ管理システムは様々な方法で実施することができ、本発明は何れの特定の実施にも限定されない。しかし、明確化のために、このデータ管理機能を提供できるホスト・プロセッサおよび記憶システムの一実施形態を図3に示した。
【0026】
図3は、ネットワーク21を使用して記憶システム20に接続されたホスト・プロセッサ12を示している。ネットワーク21は、たとえば、図1A〜1Cに図示した構成の何れかで配置されたファイバ・チャネル・ネットワークとすることができる。ホスト・プロセッサ12は、ローカル・バス43によってメモリ42に接続されたCPU40などの、1つまたは複数の中央演算処理ユニットを含む、多重処理ユニットとすることができる。バス43とネットワーク21との間には、1つまたは複数のホスト・バス・アダプタ(HBA)45および45aが接続されている。
【0027】
各ホスト・バス・アダプタ(HBA)45および45aは、ホスト・プロセッサ12をネットワークに接続するように動作する。HBA45および45aは、CPU40から受け取ったデータを、ネットワークのプロトコルによって指示された形式に翻訳する。また、HBA45および45aは、ネットワークからパケット形式で受信したデータを、CPU40によって使用可能な形式のデータに翻訳する。
【0028】
ホスト・バス・アダプタは、HBAに常駐するハードウエアと、HBAまたはメモリ42に記憶されたドライバ・ソフトウエアとの組み合わせを用いて実施できる。代替的に、ホスト・バス・アダプタは、ハードウエアまたはソフトウエアで完全に実施してもよい。一実施形態においては、HBA45は記憶システム49に接続されたプロセッサ41を含んでいる。プロセッサ41は、HBA45へのまたはHBA45からのデータのフローおよびフォーマットを制御する。メモリ49は、ネットワークとの間で送受信されるときに、データの一時的記憶場所を提供するために使用される。HBAは、ネットワーク21上での送信用のパケットを生成し、各パケットは特定のHBAを識別するソースIDフィールドを含む。各ホストに多数のHBAを含めることができるので、多数のソースIDを同じホストと関連づけることができる。
【0029】
記憶システム20は、1つまたは複数のディスク・デバイスを含むことができる記憶装置38a〜38dを含む。記憶装置38a〜38dへのアクセスは、プログラムされたプロセッサまたはカスタム・ハードウエア設計を用いて実施することができるディスク・アダプタ36a〜36dの使用を介して制御される。図3に示した実施形態においては、ディスク・アダプタを各記憶装置38a〜38d毎に設けてあるが、代替的に、ディスク・アダプタを複数の記憶装置に接続してもよい。また、ディスク・アダプタは、1つのディスク・アダプタの機能を第2のディスク・アダプタに移すことにより、1つのディスク・アダプタの故障からの回復を可能にするために、別のディスク・アダプタ36a〜36dの記憶装置38a〜38dへの二次的接続を含むことができる。
【0030】
記憶装置38a〜38dはボリューム・セットに分割される。ボリューム・セットの1つまたは複数は、HBA45および45aの1つまたは複数あるいはホスト・プロセッサ12に利用可能にすることができる。一実施形態においては、HBAによる記憶装置38a〜38d内のボリュームの参照は、論理ユニット番号(LUN)を用いて行われる。ホストによって提供される論理ユニット番号とディスク・デバイスの物理アドレスとの間に、一対一の対応がある必要はない。
【0031】
構成データベース32(図3)は、どのHBAがどのボリュームに対するアクセス権を有するかに関する情報を記憶する。上記のように、一実施形態においては、構成データベース内の情報はシステム管理者から受信され、ネットワークの構成が変わるときに定期的に更新される。
【0032】
構成データベース32に記憶することができるデータの種類の例は、履歴テーブル69を含む。履歴テーブルは、記憶システムのポートのそれぞれについて1ブロックに分割されている。履歴テーブルの各ブロックは、ネットワークに入るときにポートに問い合わせたホストのリストを含む。各ホストに関する識別情報は、ホストのWWN名、ホストのソースID、またはホストの他の別名を含むことができる。この識別情報は、ホストの識別子をホストに関する構成データと照合するために、ホストが記憶システムにログインするときに使用することができる。
【0033】
構成データベース32は、記憶システムでHBAを利用可能なポートにマップするヘッダ部70を含むこともできる。記憶システム20のデータの論理ボリュームを異なったHBAに割り当てるために、ボリューム割当部72を設けることができる。LUNをディスクの物理アドレスにマップするために、マッピング部74が設けられている。また、どのHBAがどのLUNにアクセス権を有しているかを制御するために、フィルタ・テーブル76が設けられている。フィルタ・テーブル76は、ボリューム割り当てとマッピング情報とを用いて生成され、記憶システムのポートの何れかに接続された各HBAに関するレコードを含む。フィルタ・テーブル76の実施例を図4に示した。各レコード76a〜76nは、HBAと関連づけられたWWNと、このエントリに割り当てられたボリュームが共有されているかどうかを示すフラグと、どの論理ボリュームにHBAがアクセスできるかを識別するLUNマップとを含む。一実施形態においては、LUNマップは、記憶システムの各LUNに1ビットが割り当てられたビットマスクの形式である。一実施形態においては、ビットマスクのビットは、WWNによって示された関連HBAが対応するLUNにアクセス権を有することを示すようにセットされているが、代替的に、ビットはアクセスを示すようにクリアされてもよい。また、利用可能なLUNが異なった方法で示される代替的実施形態を使用してもよい。
【0034】
記憶システム20(図3)は、フィルタ・アダプタ・ユニット34も含む。フィルタ・アダプタ・ユニット34は、ネットワークから受信したパケットをデータ・ブロックに翻訳し、ディスク・アダプタ36a〜36dに転送するために制御する。また、フィルタ・アダプタ・ユニット34は、特権を有するHBAのみがボリュームにアクセスできることを確実にするために、フィルタリング機能を遂行する。このように、HBAが、それらが割り当てられたボリュームにのみアクセスすることを期待するのではなく、フィルタ・アダプタ・ユニット34は、特権を得ていない要求を除去することにより、ディスクへのアクセスを制御する。
【0035】
一実施形態においては、フィルタ・アダプタ・ユニット34は、メモリ83に接続されたプロセッサ80を含む。プロセッサは、記憶システム20とネットワーク21との間で、データの送信および翻訳を制御するために使用される。メモリ83は、一時的フィルタ・テーブル84を記憶するために使用される。一時的フィルタ・テーブルは、記憶システムの各ポートについて1つずつ、多数のテーブルに分割される。HBAがそのポートの1つで記憶システム20との接続を開始する度に、フィルタリング情報は、構成データベース32のフィルタ・テーブル76から、一時的フィルタ・テーブル84の適当なエントリにコピーされる。フィルタリング情報は、ポートにログインしたHBAのソースIDと、このエントリに関連づけられたボリュームが共有されているかどうかを示すフラグと、ポートにログインしたHBAに関するLUNマップを含むことができ、LUNマップは、構成データベースのフィルタ・テーブル76からコピーされる。
【0036】
一実施形態においては、一時的フィルタ・テーブル84の構成データは要求毎にアクセスされる。要求のアドレスはバス/ターゲット/LUN形式で提供されており、バス部分は記憶システム20のファイバ・チャネル・ネットワーク・アドレスを示し、ターゲット部分は記憶システムのポート・アドレスを示し、LUNは要求のボリューム・アドレスを示す。アドレスは、HBAと関連づけられたLUNマップを含む一時的フィルタ・テーブル84のエントリと比較される。宛先のLUNと関連づけられたLUNマップのビットが、HBAがLUNにアクセス権を有することを示している場合には、要求は処理のためにディスク・アダプタ36a〜36dに転送される。示していなければ、要求は無視される。
【0037】
一時的フィルタ・テーブル84のサイズは、記憶システムで提供されたポートの数と、各ポートで支援されたHBAの数と、記憶システムにおけるLUNの数とに関連している。記憶システム20の例示的構成は4096個のLUNにアクセスするために16個のポートを含むことができ、各ポートは32個の異なったHBAによるアクセスを支援することができる。したがって、一時的フィルタ・テーブル84が大きいときに、それが単一の大きいメモリに記憶されたならば、各I/O要求のアクセス時間は長くなる場合がある。
【0038】
一実施形態においては、記憶システム20の応答時間パフォーマンスを増すために、一時的フィルタ・テーブル84は、各HBAに関するアクセス情報の迅速な検索を可能にするように配置されている。図5を参照すると、一時的フィルタ・テーブルの例示的な一構成が示されている。一時的フィルタ・テーブル84は、レコード400などのレコードの配列を含むように示されている。図5においてLUN0からLUNxと番号を付された記憶システム内の各LUNに、1列のレコードが提供されており、ここで、x+1は記憶システム内のLUNの数である。記憶システムの各ポートには一行のレコードが提供されている。各レコードはビットマップ402を含む。ビットマップは、各ポートにアクセスできる最大数の装置(HBA)に対応する数のビットを含む。図5において、これらのビットはD1、D2...Dnとして示されており、ここでnは何れかのポートに接続できる装置の最大数である。
【0039】
動作の間に、I/O要求が記憶システム20で受信されると、I/O要求のアドレスは一時的フィルタ・テーブル84のデータと比較される。アドレスは、要求を開始したHBAの識別子と、ホストがアクセスを望む記憶システムの部分へのアドレスを含む。このアドレスは、一般的に、フィールドのバス/ターゲット/LUNの組み合わせを含む。バス・フィールドはネットワーク上の記憶システム20のベース・アドレスであり、ターゲットは要求が向けられる記憶システムのポートのソースIDであり、LUNは要求によってアドレス指定された論理ユニットを示している。ターゲット情報(行)およびLUN情報(列)は、一時的フィルタ・テーブルをインデックスしてレコードの1つを得るために使用される。次に、要求装置(たとえば、図3のHBA45)に関するソースIDは、バス/ターゲット/LUNアドレスによって選択されたレコード400のビットマップ402におけるビットの1つを選択して、そのビットがマッピングでセットされているかどうかを識別するために使用される。ビットがマッピングでセットされていれば、要求は処理のためにディスクに転送される。セットされていなければ、要求は捨てられる。
【0040】
一時的フィルタ・テーブル84は、図3に示したようにメモリに記憶できるか、あるいは代替的にハードウエアにおいて実施できる。上記の一時的データベースの構成は、HBAとLUNマッピング情報とにアクセスする一方法を提供しているが、代替的な構成を用いてもよい。本発明はこの実施には限定されない。むしろ、ソース識別子およびリソース・アドレスを用いてデータベースからマッピング・データを取得することを可能にする、あらゆる構成データベース配置を使用することができる。
【0041】
上記のように、ホスト識別子に基づいてホスト・プロセッサに関するデータのボリュームを保存するデータ管理システムを説明してきた。一実施形態においては、データ管理システムは、各要求を認証して、それが記憶システム20で受信されたホスト識別子によって示されたホストによって本当に送信されたことを検証することにより、セキュリティ保護を付加するように拡張される。記憶システム20への接続の認証は、データ・ボリュームを要求するホストが、本当に要求パケットのソースIDにおいて示されたホストであることを検証することにより、ホスト・プロセッサのそれぞれに割り当てられたデータ・ボリュームを安全にする。ホスト・プロセッサのソース識別子に単に依存することは、十分な保護策にならない場合がある。いくつかの安全でない環境においては、プロセッサは、他のホストが特権を付与されたデータにアクセスしようとして、偽のソース識別子を発行することができる。そのため、認証は、ホスト・プロセッサがそれ自体が主張している者であり、したがってデータへのアクセスを許容されるべき者であることを検証する。
【0042】
一実施形態においては、ホストの要求の認証を支援するために、ホスト装置によるトランザクションの開始前に、記憶システムは多数の一意の予期される識別子を各ホスト装置の各HBAに対して発行する。記憶システムは、予期される識別子のコピーを維持する。ホスト装置と関連づけられたHBAは、一連のトランザクションを開始すると、記憶システムから受信した予期される識別子を記憶システムに転送する。記憶システムは受信した各識別子を予期される識別子と比較する。記憶システムは、ホストと関連づけられた特定のHBAに対して識別子を転送するだけであるので、正しい識別子を受信すれば、記憶システムは要求が表示されたホストから実際に発行されたことを検証できる。一実施形態においては、セキュリティ保護のレベルは各識別子に乱数を使用することにより更に強化される。別の実施形態においては、識別子が記憶システムに送信される前にそれを暗号化するために、ホストと記憶システムだけに知られた暗号鍵が使用される。次に、記憶システムは暗号鍵を使用して識別子を解読できる。識別子を暗号化することは、ネットワークに接続された他の装置が、その識別子を入手することおよび、特権が与えられたデータにアクセスすることを防止する。このように、各トランザクションは発行ホストのみに知られた独自の識別子を有しており、識別子はそのホストのHBAのみに知られた独自のアクセス・キーを使用して暗号化されるので、2段階からなる認証が提供される。
【0043】
一実施形態においては、識別子情報は、選択されたパケットのフィールドを使用して、ネットワーク上の装置(たとえば、ホストと記憶システム20)間で伝送される。図2の例示的パケットを再び参照すると、パケット50のペイロード部160には、SCSIプロトコルに従って通信するのに使用されるフィールドのいくつかが示されている。これらのフィールドは、ソース・セッションID162と、宛先セッションID164と、データ・フィールド65とを含む。SCSIプロトコルに従って、開始装置とターゲットとの間のトランザクションの順序を追跡するために、ソース・セッションIDと宛先セッションIDとが使用される。SCSIプロトコルは、多数のトランザクションが開始装置とターゲット装置との間で同時に未処理になっていることを許容する。たとえば、ホスト・イニシエータは、ターゲット記憶システム内の異なったボリュームに対して多数のI/O要求を発行することができる。ボリュームのそれぞれのアクセス可能性に応じて、要求に対する応答がホストに返される順序は、発行された要求の順序とは異なる場合がある。セッションIDは、ホストで要求を応答と整列するために使用される。各トランザクションについて定められるセッションIDは、所与の時間にわたって独特である限り、任意の数字にすることができる。セッションIDはあらゆる任意の数字にすることができるので、一実施形態においては、セッションIDフィールドは、各トランザクションについて一意の識別子情報を転送するために使用される。
【0044】
上記の認証方法は、様々な方法で実施することができ、本発明は何れの特定の実施にも限定されない。しかし、例示を目的として、上記の認証機能を提供する構成要素を含むホスト・プロセッサ312および記憶システム320の実施形態を図6に示した。図6においては、ホスト・バス・アダプタ345はデータ構造60をそのメモリ349に記憶している。データ構造60は、HBAに接続された各記憶システム320毎に、パブリック・キー61と、プライベート・キー62と、アクセス・キー63と、1つまたは複数の乱数のリスト64とを含む。キーのそれぞれは、当業者に知られた技術を使用してデータを暗号化および解読するのに使用することができるビットのフィールドである。暗号化および解読は、選択された暗号化アルゴリズムと関連づけられた論理演算を用いて、キーのビット値をデータのビット値に適用することにより行われる。アクセス・キーは、HBAと関連記憶システムとの間で転送される認証データを暗号化および解読するために専用化されたキーである。一実施形態においては、アクセス・キー64の初期値は、以下で更に詳細に説明するように、パブリック・キー62およびプライベート・キー63をそれぞれ使用して得られる。
【0045】
認証を支援するために、記憶システム320は、図3を参照して説明した特徴のそれぞれを含むことができるフィルタ・アダプタ・ユニット334、ならびに認証を支援する他の多数の構成要素を含む。フィルタ・アダプタ・ユニット334は、記憶システムに接続されたHBAのそれぞれに関する認証工程において用いられる乱数を提供するために使用される、乱数生成器82を含む。乱数生成器82には、暗号器/解読器85およびコンパレータ87が接続されている。以下で更に詳細に説明する方法を用いて、記憶システム20への接続を認証するために、一時的フィルタ・テーブル84と、認証テーブル86と、乱数生成器82と、暗号器/解読器85と、コンパレータ87とが共に使用される。
【0046】
上記のように、認証方法には、ネットワーク21上におけるホスト312と記憶システム320との間の識別子の転送が関係する。一実施形態においては、識別子は、ホスト312と記憶システム320とで記憶されたアクセス・キーを使用して暗号化されるが、これは本発明の要件ではない。図7は、アクセス・キーをホスト312と記憶システム320とに分配する1つの方法を示している。
【0047】
アクセス・キーを、ネットワークへのエントリに先だって、記憶システムとホスト・プロセッサとに割り当てることを含む、多数の方法で提供することができる。代替的に、アクセス・キーは、図7のデータ・フロー図を参照して説明する方法で、ホスト・プロセッサがネットワークに入った後に取得することができる。図7において、HBA345(図6)によって行われる動作は図の左側に示されており、記憶システム320によって行われる動作は、図の右側に示されており、データ・フローは両側の間に示されている。ステップ100で、HBA345(図6)はパブリック・キーとプライベート・キーのペアを生成する。これは、たとえば、CPU40で実行する既知の暗号化ソフトウエアを使用して行うことができる。パブリック・キーおよびプライベート・キーのペアはHBAの専用にされており、ネットワーク21(図6)に接続された何れの他の装置によってもアクセス可能ではない。パブリック・キー61によって暗号化されたデータは、プライベート・キー62を使用してのみ解読でき、一方、プライベート・キー62によって暗号化されたデータは、パブリック・キー61を使用してのみ解読できる。
【0048】
ステップ102で、HBA345はパブリック・キー61を記憶システム320に転送する。ステップ101で、記憶システム320はループし、このキーを待つ。記憶システム320がステップ101でパブリック・キーを受け取ると、ステップ103に進む。ステップ103において、パブリック・キー61を使用して、記憶システム320はHBA345に関するアクセス・キーを暗号化して、この暗号化したアクセス・キー67をネットワーク21(図6)上でHBA345に返送して、工程を終了する。HBA345は、パブリック・キーで暗号化されたあらゆるメッセージを解読するために使用しなければならないプライベート・キー62を有する、ネットワーク内の唯一の装置であるので、ネットワーク上でトランザクションを監視している他の装置は、記憶システム320によって転送された暗号化されたアクセス・キー67を解読することはできないであろう。ステップ105で、HBA345が暗号化されたキー67を受け取ったと判断されると、HBA345で実行中の工程はステップ106に進み、ここで、HBA345はプライベート・キー62を使用して、暗号化されたアクセス・キーを復号する。また、ステップ106で、HBA345は、記憶システム320と後で通信するために、アクセス・キーをパブリック・キー61およびプライベート・キー62と共にデータ構造60内に記憶する。
【0049】
ホスト・プロセッサは、アクセス・キーを一旦受け取ると、I/O要求を記憶システム320に発行する工程を開始することができる。ここで、ホスト・プロセッサがI/O要求を発行し、本発明の一実施形態に従って記憶システム320によってI/Oシステムが処理される工程を、図8A、8Bおよび図9の流れ図を参照して説明する。
【0050】
図8Aには、HBA345と記憶システム320との間で接続を確立するために行うことができる方法の一実施形態を示す流れ図が提供されている。図8Aにおいて、HBA345によって行われる動作は、図の左側に示されており、記憶システム320によって行われる動作は、図の右側に示されており、データ・フローはその間に示されている。ステップ110で、HBA345は記憶システム320へのアクセスの調停(arbitrate)を求める。ステップ120で、HBA345は、調停を獲得すると、制御データ・ブロック112を記憶システム320に対して発行する。制御データ・ブロック112は、HBA345のソースIDを含み、HBAの記憶システム320に対する処理要求を示す。ステップ121で、記憶システム320においてHBAからの未処理の要求があったと判断すると、方法はステップ122に進み、ホストの要求に反応して、記憶システム320は一意の識別子114をHBA345に転送する。一実施形態においては、識別子は、図2に示したパケット50のペイロード部60の宛先セッションID64において提供された乱数である。ステップ122aで、記憶システムが乱数をHBAに転送した後に、記憶システム320はアクセス・キーを使用して乱数114を暗号化して、後の比較のために、暗号化された乱数を記憶する。
【0051】
ステップ123で、HBAが乱数を記憶システム320から受け取ったと判断されると、ステップ124で、HBAはアクセス・キー63(図7の工程を用いて取得)を使用して、その乱数114を暗号化して、暗号化された数125として記憶システム320に返送する。ステップ126で、記憶システム320が応答を受け取ったと判断されると、ステップ127で、記憶システム320は、受け取った乱数125を、ステップ122で生成された乱数の以前に暗号化され局所的に記憶されたものと比較する。比較状態128はHBAに転送される。一致しなければ、ホストは正しいアクセス・キーを有していないこと、および/またはホストは正しい乱数を知らず、ホスト・プロセッサと記憶システムとの間の接続は認証されないことを、記憶システムに対して示す。HBAは記憶システム320でデータにアクセスすることを許可されず、トランザクションは終了する。一致すれば、ホストは正しいアクセス・キーと正しい乱数とを有しており、HBAと記憶システムとの間の接続が認証される。
【0052】
HBAと記憶システムとの間の接続が一旦認証されると、HBAは処理するためにI/O要求を記憶システム320に送ることができる。本発明の一実施形態においては、あらゆるI/Oトランザクションは異なった識別子(たとえば、乱数)を用いて認証される。SCSIプロトコルは、HBAからの複数のI/O要求があらゆる所与の時点で未処理になっていることを許容するので、HBAはコマンド・タグ・キューイングという技術を用いて、未処理のI/O要求を追跡する。各I/O要求には、ソース・セッションIDフィールド62(図2)を用いて、一意のタグが割り当てられる。記憶システムから応答が返される時、このタグを使用してその応答を要求と整列できるように、このタグは応答のセッションIDフィールドに含められる。
【0053】
HBAがあらゆる瞬間に未処理にできるI/O要求の最大数は、コマンド・タグ・キューイング・プロトコルに従って決定される。各I/O要求は一意の識別子に割り当てられるので、各HBAは、各未処理の要求に識別子を与えることができることを確実にするために、十分な数の識別子を常に含むべきである。したがって、一実施形態によれば、各装置が記憶システムにログインする時、一意の識別子のリストが装置に転送される。リストの識別子の数は、その装置で未処理にできるI/O要求の最大数に対応するが、本発明はこの数に限定されない。各装置は記憶システムに対して要求を発行する時、識別子の1つがリストから使用される。記憶システムは、要求に応答する度に、リストの最下部に記憶された新しい識別子を返す。識別子は、先入れ先出しでリストから選択される。その結果、コマンド・タグ・キューイング・プロトコルを満足するための一定数の識別子が装置で維持される。
【0054】
識別子をホストに提供する方法の一実施形態を以下で説明する。一意の識別子または乱数は各I/O要求と関連づけられるので、I/Oシーケンスの開始時に、HBAは、許容可能な未処理I/O要求の最大数に等しい数の乱数を要求する。乱数のリストは、リスト64としてHBA345のデータ構造60(図6)に記憶され、記憶システム320のフィルタ・アダプタ・ユニット334(図6)の認証テーブル86に補足的に記憶される。
【0055】
ここで図9を簡単に参照すると、認証テーブル86(図6)に記憶できる要素の例が示されている。記憶システム320に接続されたHBAのそれぞれについて、データ構造89が提供されている。データ構造はパブリック・キー89aを含むことができ、これは、最初のアクセス・キー63を得るためにHBAによって提供されたパブリック・キー61のコピーである。また、データ構造89はアクセス・キー89bを含むことができ、これはHBA345に記憶されたアクセス・キー63のコピーである。一実施形態においては、データ構造のそれぞれは乱数のリストを更に含む。データ構造89cの各エントリにおける乱数は、関連するトランザクションを認証するのに使用される乱数に対応する。トランザクションを認証するために乱数がどのように使用されるかを、図8bを参照して更に詳細に説明する。
【0056】
図8bにおいては、ステップ184で、HBAは制御データ・ブロック185を記憶システム320に発行する。制御データ・ブロック185は、HBAがI/Oトランザクションを開始しそうであるということ、および接続が認証されたことを記憶システム320に通知する制御を含む。ステップ186で要求が受け取られたと判断されると、記憶システム320は要求を解読して、ステップ187で、乱数のリストを含むパケット188をHBA345に対して転送する。ステップ187aで、記憶システム320は、アクセス・キーを使用して最初の乱数も暗号化して、HBAからの要求で受け取る暗号化された数字との後の比較のために、暗号化された数字を局所的に記憶する。
【0057】
ステップ189でHBAがパケット188を受け取ったと判断されると、ステップ190で、HBA345は未処理のI/O要求があるかどうかを判断するためにチェックする。もしあれば、ステップ192で、HBA345は、データ構造60のフィールド63に記憶されたアクセス・キーを使用して、最初の乱数を暗号化する。HBA345は次に、I/O要求パケットのソース・セッションIDフィールドに暗号化された乱数を挿入し、I/O要求パケット194を記憶システム320に転送する。
【0058】
ステップ195で、I/O要求パケットが受け取られたと記憶システム320で判断されると、ステップ196で、記憶システム320は、I/O要求パケット194のソース・セッションIDフィールドにおいて受け取られた暗号化された乱数を、ステップ187で生成された暗号化された乱数と比較する。代替的に、記憶システム20は、受け取った乱数を単に解読して、それを予期される乱数と比較してもよい。一致すれば、記憶システム320はそのI/O要求を処理して、応答パケット197をHBA345に返送する。応答パケットはHBAによって要求されたあらゆるデータと、リスト188の数字が一旦使い尽くされたときに使用される新たな乱数とを含む。一実施形態においては、この新しい乱数は宛先セッションIDフィールドにおいて提供され、一方、以前の暗号化された乱数は追跡目的でソースIDフィールドで返されるが、特定のフィールドの使用は本発明の限定ではない。
【0059】
ステップ198で、記憶システム320から応答が受け取られたと判断されると、HBAはパケット197のセッションIDフィールドから暗号化されていない乱数を検索して、データ構造60にその乱数を記憶する。この工程は次にステップ190に進んで、ここで、HBAは、アクセス・キーを使用して暗号化された乱数リスト64からの次の乱数を使用して、次のI/O要求を開始する。
【0060】
このように、記憶システムでホストを認証するために、一意の識別子が使用される方法を提供する。この方法を乱数を用いて説明してきたが、これは本発明の要件ではないこと、および容易に識別可能なパターンを含まない数字のあらゆるシーケンスを代替的に使用できることを理解されたい。上記のように、2つ以上のHBAを同時に記憶システム320に接続できる。したがって、接続されたHBAに識別子が分配されると、それらのシーケンスも、記憶システム320に接続された様々なHBA内で同様に分配され、それによって数字分配をいっそうランダムに、したがってより安全に生じさせる。また、暗号化技術を説明してきたが、転送前に識別子が暗号化されることは本発明の要件ではない。代替的に、各要求について識別子を含まずに、アクセス・キーを使用して要求全体を暗号化する認証技術を使用してもよい。また、各トランザクションについて異なったアクセス・キーを提供することも考えられる。本発明は、これらの認証技術のあらゆる組み合わせを包含することができ、したがって、上記の特定の実施形態には限定されない
【0061】
上記技術は、イニシエータとターゲットとの間における接続が認証されたことを検証するために使用できる。別の実施形態においては、ターゲットで受信されたデータがイニシエータによって送信されたデータであることを確実にする技術も使用される。したがって、コマンドおよびデータがイニシエータからターゲットへの転送中に改竄されていないことを確実にするために、立証方法を適用することにより更にセキュリティを得ることができる。この立証方法は、ネットワークに接続された他の装置が、イニシエータとターゲットとの間のトランザクションに干渉することを防止するために提供することができる。
【0062】
本発明の別の態様によれば、ネットワーク上のソースとターゲットとの間におけるデータ転送を立証する方法は、ターゲットとイニシエータの両方で、転送のデジタル署名を維持するステップを含む。デジタル署名はチェックサムの形式である。ターゲットとイニシエータとの間で転送されるデータの各バイトは、チェックサムを形成するためにハッシング関数を用いて、転送の以前のバイトと結合される。ハッシング関数は、たとえば、排他的論理和関数、またはその何らかの派生関数とすることができる。署名に含まれるデータは、イニシエータからターゲットに転送されるデータのみ、ターゲットからイニシエータに転送されるデータのみ、あるいはそれらの組み合わせを含むことができる。
【0063】
ここで図10を参照すると、イニシエータとターゲットとの間におけるデータ転送を立証する方法の一実施形態の流れ図が示されている。この流れ図は図8bを参照して説明したものに類似しているが、データ転送を立証するステップを含む。ステップ200では、何らかのI/O要求があるかどうかがイニシエータで判断される。I/O要求があれば、ステップ202で、イニシエータは、トランザクションに関連づけられた乱数を暗号化して、暗号化された乱数をソース・セッションIDに入れて、I/O要求203をターゲットに転送する。ステップ204で、ターゲットが要求を受信したと判断されると、ステップ205で、ターゲットは、受信した暗号化された数字を、記憶され暗号化された期待される乱数と比較して、一致するか判断する。一致しなければ、ターゲットは応答しない。一致すれば、ステップ206で、ターゲットは新しい暗号化された乱数と応答データとをターゲットに転送する。また、ステップ206で、ターゲットは、データ転送のデジタル署名を制作する新たなチェックサムを提供するために、応答データを既存のチェックサムにハッシュする。応答207は、ステップ208においてイニシエータで受信される。ステップ209で、イニシエータも、データ転送のデジタル署名を制作する新たなチェックサムを提供するために、既存のチェックサムに応答データをハッシュする。I/O要求を発行しチェックサムを生成する工程は、イニシエータ/ターゲット接続における要求の数だけ継続する。ステップ200でもう要求がないと判断されると、工程は図11に示したステップ210の立証段階に進む。
【0064】
ステップ210で、イニシエータはアクセス・キーを使用してチェックサムを暗号化して、暗号化したチェックサム212をターゲットに対して転送する。ステップ214で、ターゲットは暗号化されたチェックサムを受信する。ステップ216で、ターゲットはチェックサムを解読して、ステップ218で、解読されたチェックサムをターゲットによって生成されたチェックサムと比較する。ターゲットは、チェックサムが一致したかどうかを示す状態パケット220をイニシエータに送信する。ステップ222で、トランザクションが有効であった(すなわち、データは改竄されていなかった)と判断されれば、イニシエータとターゲットとの間で接続が完了する。状態220が、トランザクションは有効でなくデータは改竄されていたことを示せば、イニシエータはターゲットとの接続を再確立して、データのトランザクションを繰り返す。
【0065】
上記のように、3段階のデータ管理を提供するデータ管理方法および装置を説明してきた。フィルタリングは、各ホストが特権を有するデータのボリュームのみにアクセスすることを確実にするために提供される。セキュリティは、要求の識別子において示されたホストによって本当に発行された各要求を検証する認証方法を用いて組み込むことができる。最後に、正当性の立証は、データが転送中に改竄されていないことを確実にするために提供することができる。本発明のデータ管理方法および装置を使用したシステムは、データ管理のこれらのレベルの1つまたは複数を独立して組み込むことができ、そのため、本発明は、上記の列挙されたデータ管理技術を全て含むシステムには限定されない。かかるデータ管理システムは、ホスト・プロセッサによってアクセスが可能なデータを限定することにより、そのホスト・プロセッサでのユーザによるデータ・アクセスについて向上した制御を提供する。したがって、ホスト・プロセッサのユーザは、そのホスト・プロセッサに割り当てられたデータの全てにアクセスできる場合はあるが(そのユーザと関連づけられた特権に応じて)、ユーザも、ホスト・プロセッサで最高の特権を有するシステム管理者でさえも、ホストでのユーザの特権にかかわらず、記憶システムによってホストに割り当てられていないデータにアクセスすることはできない。
【0066】
上記の説明は、ホストが記憶システムのデータにアクセスする例示的なシステムに関連しているが、上記の方法は、リソースが多数の装置によって共有されているあらゆるシステムに適用できる。かかるシステムは、ディスク・デバイス、テープ・デバイス、ファイル・サーバなどを含むあらゆる種類の記憶システムを含むが、これらには限定されない。
【0067】
本発明のいくつかの実施形態を詳細に説明したが、当業者は、様々な変更や改良を容易に想起するであろう。かかる変更や改良は、本発明の主旨および範囲の中に入るものであることを意図する。したがって、前述の説明は、例としてのみ示すものであって、限定を意図したものではない。本発明は、特許請求の範囲およびその均等物に定められるようにのみ限定される
【図面の簡単な説明】
【図1】 図1A、1B及び1Cは、本発明のデータ管理態様を採用できる例示的ネットワーク構成の模式図である。
【図2】 図1A、1Bまたは1Cのネットワークに接続された装置間で分配できるパケットの一実施形態の図である。
【図3】 図1A、1Bまたは1Cのネットワークにおいて接続できるホスト・プロセッサおよび、本発明の一実施形態に従ってホスト・プロセッサによって発行された要求をフィルタリングする要素を有するアダプタを含む記憶システムの例示的構成要素を示したブロック図である。
【図4】 図3の記憶システムによる使用のために、フィルタリング情報を記憶するのに使用できる構成データ構造の一実施形態のブロック図である。
【図5】 図3の記憶システムで要求をフィルタリングするのに使用できる、データ・フィルタリングの一実施形態のブロック図である。
【図6】 図1A、1Bまたは1Cのネットワークにおいて接続できるホスト・プロセッサおよび、本発明の一実施形態に従ってホストによるトランザクションを認証するロジックを含む記憶システムの例示的構成要素を示したブロック図である。
【図7】 ホスト・プロセッサの同一性を認証するのに使用できる、図6のホスト・プロセッサと記憶システムとの間で暗号鍵を分配する一方法を示した流れ図である。
【図8】 図8A、8B及び8Cは、本発明の一実施形態に従って、図6のホスト・プロセッサと記憶システムとの間の接続を確立するときに、ホスト・プロセッサの同一性を認証する一方法を示した流れ図である。
【図9】 図6の記憶システムの認証テーブルに含めることができ、本発明の一実施形態に従ってホスト・プロセッサの同一性を認証するのに使用できる例示的構成要素を示した図である。
【図10】 本発明の一実施形態においてデータ転送を有効にするために、図1A、1Bおよび1Cのネットワークにおいてイニシエータとターゲットとの間で転送されるデータのチェックサムを行う一方法を示した流れ図である。
【図11】 本発明の一実施例に従って図10のチェックサムを用いて、イニシエータとターゲットとの間のデータ転送を有効にする一方法を示した流れ図である。
[発明の分野]
本発明は、一般的に情報記憶装置の分野に関し、特に、記憶装置内のデータに対するアクセスを管理する方法および装置に関する。
【0002】
[関連技術の説明]
コンピュータ・システムは一般的に、1つまたは複数のホスト・プロセッサと、ホスト・プロセッサによってアクセスされるデータを記憶する記憶システムとを含む。記憶システムは、ホスト・プロセッサの記憶容量の需要に供するために、1つまたは複数の記憶装置(たとえば、ディスク・ドライブ)を含むことができる。ディスク・ドライブは、磁気記録媒体や光記憶媒体などの記録媒体の1つまたは複数のディスクを含むことができる。
【0003】
典型的なコンピュータ・システム構成においては、バスがホスト・プロセッサと記憶システムとの間の相互接続を提供する。バスは、ホスト・プロセッサと記憶システムとの間で伝送されるパケットの形式を記述するスモール・コンポーネント・システム・インターコネクト(SCSI)プロトコルなどのプロトコルに従って動作する。ホスト・コンピュータによってデータが必要とされると、バス上で記憶システムとの間において要求や応答が送受信される。
【0004】
ネットワーク・コンピュータ・システムの成長に伴って、多数のホストがネットワーク上で共有データ記憶システムに接続されるようになった。ファイバ・チャネルは、かかる構成を形成するのに使用できるネットワークの一例である。ファイバ・チャネルはネットワーク上で多数のイニシエータが多数のターゲットと通信することを可能にするネットワーク標準であり、そこでは、イニシエータおよびターゲットはネットワークに接続された如何なる装置であってもよい。ネットワークを使用すると、多数のホストが単一の記憶システムへのアクセスを共有できる。多数のホストを共有記憶システムに接続するに当たっての1つの問題は、記憶システムでのデータ・アクセスの管理である。多数のホストが共通の記憶システムに対してアクセス権を有するので、各ホストは、他のホスト・プロセッサの所有に帰す場合がある情報に物理的にアクセスできる場合がある。
【0005】
記憶システムでデータへのアクセスを管理するために、様々な技術が実施されてきた。たとえば、記憶システムのメモリの特定の部分またはゾーンを、ホストの1つまたは複数の専用にすることができる。各ホストは、それが特権を有するメモリの部分のみにアクセスすることを「期待される」。しかし、かかるアプローチはホストそれぞれの個々の動作に影響され易い。その結果、かかるデータ管理方法は、特権を得ていないアクセスからデータを保護するのに十分でない場合がある。
欧州特許明細書第93305509.7号(公報0 580 350 A1号)は、要求メッセージが既に認証されている要求者を識別する認証データをキャッシュする分散型システムを説明している。分散型コンピュータ・システムには、ネットワークと接続したコンピュータ(ノードと呼ばれる)が配備されており、各コンピュータは、システム内の別のノードの本質(principles)から受信した要求を認証するための認証エージェントを含んでいる。サーバに送信された要求メッセージには、要求者によって提供された第1識別子と、要求者の認証エージェントによって提供された第2識別子が含まれている。ノードは、何らかの要求を送信する前にはセキュア・チャンネルを確立する。セキュア・チャンネルは、2つのノード間で送信される全てのパケットの暗号化および解読の両方にホスト対ホスト・キーを用いて確立される。
【0006】
[発明の概要]
本発明の1態様によれば、記憶システムにおいて、前記装置によって発行されたことを示す、前記記憶システムへのアクセスについての一連の要求内の各々の要求が、本当にその装置によって発行されたものであることを認証するステップと、該認証ステップに応答して、認証された要求の各々を選択的に処理するステップと、を有する前記装置による記憶システムへのアクセスを管理するためのデータ管理方法が得られる。
【0007】
本発明の別の態様によれば、装置において、該装置によって該記憶システムへ発行された少なくとも1つの後続の要求に含まれる予期される識別子を少なくとも1つ受信するステップと、前記装置から、前記予期される識別子を少なくとも1つ有する少なくとも1つの要求を該記憶システムへ発行するステップとを有する、前記装置による記憶システムへのアクセスを管理する方法が得られる。
【0008】
本発明の別の態様によれば、記憶システムへの、少なくとも1つの後続のアクセス要求に含まれる、予期される識別子を少なくとも1つ受信するためのポートと、該記憶システムへの前記少なくとも1つの予期される識別子を有する要求を少なくとも1つ発行するためのコントローラとを有する、記憶装置を備えたシステム内で使用するホスト・コンピュータが得られる。
【0009】
本発明のまた別な態様によれば、複数のボリュームに分割された少なくとも1つの記憶装置を有し、前記記憶システムを、複数の装置とインターフェースするアダプタを有し、該アダプタは、少なくとも1つの要求が少なくとも1つの装置から発行されたものであることを認証するために、該複数の装置の少なくとも1つからの要求を少なくとも1つ認証し、また、該アダプタは、該少なくとも1つの要求を、少なくとも1つの要求の認証に応じて処理を行うために、少なくとも1つの記憶装置へ選択的に送信することを特徴とする記憶システムが得られる。
【0010】
本発明のさらに別の態様によれば、装置と記憶システムの間の接続を認証するために前記装置において使用するアダプタが得られる。該アダプタは、前記記憶システムによって提供された一意の識別子を少なくとも1つ記憶するための少なくとも1つのエントリを備えたデータ構造と該記憶システムに要求を少なくとも1つ発行するためのコントローラとを有し、前記要求は、少なくとも1つの一意の識別子を有するため、前記記憶システムは、該装置と該記憶システムの間の接続を認証するために、該少なくとも1つの一意の識別子を使用できる、装置と記憶システムの間の接続を認証するために前記装置において使用するアダプタが得られる。
【0011】
[詳細な実施形態の説明]
本発明は、共有リソース(たとえば、共有記憶システム)で、多数の装置(たとえば、ホスト・プロセッサ、ファイル・サーバなど)によるデータへのアクセスを管理するデータ管理方法および装置に関する。一実施形態によれば、共有リソースは、そのリソースにおけるデータの部分のそれぞれと関連づけられた構成データに反応して、その共有リソースにおけるそのデータの部分に対する装置からの要求を選択的に処理する。
【0012】
一実施形態においては、共有リソースのデータはボリュームに分割される。構成データは、データのどのボリュームがリソースに接続された装置のそれぞれによるアクセスに利用可能であるか(たとえば、ネットワーク上で)を識別する。共有リソースは、要求を発行する装置の同一性と、アクセスが求められるボリュームと関連づけられた構成データとに応じて処理の要求を選択的に転送するフィルタを含む。フィルタは、装置がアクセスする特権を有しているボリュームに対する要求のみを転送する。装置が特権を有していないボリュームに対する要求は処理されない。
【0013】
リソースでのフィルタリングの要求は、データ管理の制御が、ネットワーク全体に分散されるのではなく、1つの場所に集中されることを可能にする。記憶システムでデータ管理制御を集中することは、記憶システムへのアクセスを求めるホストがデータの特定の部分のみにアクセスすることを期待する必要性を排除する。
【0014】
本発明の一実施形態においては、リソースでのデータ管理を支援する要求をフィルタリングすることに加えて、リソースでデータを更に安全にするためにセキュリティ保護を付加することができる。フィルタリングは要求を開始する装置の同一性に反応して行われるので、装置がリソースへのアクセスを得るためにその同一性を偽って表した場合には、データのセキュリティは危うくなる場合がある。また、装置とリソースとの間のデータ転送は、リソースに接続された他の装置(たとえば、ネットワーク上で)によって変造される場合がある。一実施形態においては、要求を発行した装置として表された装置が本当に要求を発行した装置であるかを検証するために、認証方法および装置が提供される。したがって、認証方法は、リソースでデータを得るためにその同一性を不正に表している装置に関連する、セキュリティの問題を克服するために実施することができる。別の実施形態においては、装置と共有リソースとの間で転送される情報が、伝送の間に(故意ではなく、または故意に)変造されていないことを確実にするために、立証方法および装置が提供される。
【0015】
リソースのデータを管理するデータ管理システムは、これらのフィルタリング技術、認証技術および立証技術の全てを使用できる。本発明のデータ管理方法および装置を採用できる1つの例示的システムは、ネットワーク化されたコンピュータ・システムにあり、そこでは、装置はネットワークに接続されたホスト・プロセッサまたはファイル・サーバであり、共有リソースは記憶システム(たとえば、ディスク装置記憶システム)である。ネットワーク、ホスト・プロセッサまたは共有ディスク装置の使用は本発明の限定ではなく、かかるシステム構成は例示を目的としてのみ以下で説明していることを理解されたい。
【0016】
一実施形態においては、1つまたは複数のホストをネットワークを使用して1つまたは複数の記憶システムに接続することができ、要求および応答は、ネットワークのプロトコルに従ってネットワーク上で記憶システムとの間で送受信される。また、各ホストおよび各記憶システムは、ホスト・システムまたは記憶システムを対応する1つまたは複数のネットワークに連結する1つまたは複数のポートを含むことができる。上記のように、一実施形態においては、ネットワークの各記憶システムは、記憶システムに対するデータ・アクセスを管理するために、受信した要求をフィルタリングするロジックを含む。
【0017】
本発明を採用できる1つの例示的ネットワークはファイバ・チャネル・ネットワークであるが、本発明は、ファイバ・チャネル・ネットワークまたは他のあらゆる特定のネットワーク構成の使用に限定されない。ファイバ・チャネル・ネットワーク構成の3つの例を図1A、1Bおよび1Cに示した。図1Aはループ構成で配置されたネットワーク10を示しており、そこでは、ネットワーク内の全ての装置が単一のループ内で共に接続されている。図1Aにおいては、3個のホスト・プロセッサ12、14および16が、ハブ18aによって記憶システム20に接続されて示されている。内部的には、ハブはループ構成で配置されている。バス15a〜15d上での装置間の通信は、ループ内で1つの装置から次の装置にデータ・パケットを渡すことにより行われる。図1Bはファブリック構成で配置されたネットワーク30を示しており、そこでは、全ての装置がハブ18bによって共に接続されている。内部的には、ハブはスイッチとして配置されている。ネットワーク30における対になった装置12、14、16および20の間における通信は、ハブ18bによって制御される。本発明のデータ管理方法は、図1Aおよび1Bに図示したループ構成またはファブリック構成で配置されたネットワーク、または代替的に他のネットワーク構成またはリソース共有構成において採用できる。たとえば、データ管理の態様は、図1Cに図示したネットワークにおいて採用できる。図1Cにおいて、記憶システムが2つのポートを含むホスト/記憶システム構成が示されており、それらのそれぞれが記憶システムを異なったネットワークに連結している。図1Cにおいて、第1のポート(ポート0)はファブリック・ネットワーク30に接続されており、第2のポート(ポート1)はループ・ネットワーク10に接続されている。
【0018】
上記のように、本発明のデータ管理の態様は、記憶システムに接続されたホスト装置の同一性に応じて、記憶システム20でデータのボリュームを構成する。ボリュームの異なったホストへの割り当てを管理するのに使用される構成データは、たとえば、ネットワークのシステム管理者によって提供することができる。システム管理者は、ネットワークに接続されたホスト装置と、記憶システムで利用可能なボリュームを追跡する。新たなホスト装置がシステムに入ると、システム管理者は記憶システムのボリュームをホストに割り当てる。ホストに割り当てられたボリュームの数は、要求された数のボリュームに基づいてもよいし、あるいは代替的にホストの過去のデータ要求に基づいてもよい。システム管理者はソフトウエアで実現して、ネットワーク内の装置または記憶システムの1つで実行することができ、ユーザが、ネットワーク内でのボリュームの利用可能性および異なったホストへの割り当てを監視することを可能にするグラフィカル・ユーザ・インターフェース(GUI)を含んでも良い。本発明は、システム管理の何れか特定の実施には限定されない。
【0019】
各装置は一般的に、ネットワークに入ると、ネットワークに接続された他の装置を識別するためにネットワークに問い合わせる。問い合わせに応答する各装置は、その装置に関する1つまたは複数の識別子を返す。たとえば、識別子は、ネーミングの協定を用いてアダプタ・ボードの製造業者によってその装置に割り当てられた世界的な名前(WWN)を含むことができる。識別子は、ソース識別子(ID)を含むこともできる。両者はその装置の一意の識別子であるが、ソース識別子は一般的に、WWNよりも短い識別子である。ソース識別子は装置(たとえば、ホスト・プロセッサ)、およびネットワークに接続された装置のポートを識別することができる。したがって、特定の装置の多数のポートがネットワークに接続されていれば、識別子は各ポートについて返される。問い合わせ動作が完了すると、装置のそれぞれは、ネットワークに接続された他の装置に関する知識を有している。一旦、各装置がネットワーク内の他の装置の知識を得ると、この情報は装置間でデータを交換するために使用できる。
【0020】
記憶システム20との間での要求や応答は、ネットワーク・プロトコルに従ってネットワーク10および30上で転送される。ファイバ・チャネルの相互接続は、多数のインタフェース・コマンドのセットを搬送できる。したがって、ファイバ・チャネル・ネットワークを使用して共に接続された装置は、特定のファイバ・チャネル相互接続で使用されているプロトコルの種類に関する知識を連結装置が有していることを条件に、インターネット・プロトコル(IP)、スモール・コンポーネント・システム・インターコネクト(SCSI)プロトコル、あるいは他の多数のプロトコルの何れかを含む、多数の高レベル・プロトコルの何れかを使用して通信することができる。特定の種類の装置はこれまで、特定のプロトコルを使用して通信するように設計されてきた。たとえば、ホスト・プロセッサ装置はこれまで、SCSIプロトコルを用いて記憶システムと通信してきた。したがって、ファイバ・チャネル・ネットワークを使用して接続された装置は、これまで使用されてきたのと同じプロトコルを使用して互いに通信することができる。その結果、装置の既存のインタフェースは、ファイバ・チャネル・ネットワークに接続するために再設計をほとんど必要としない。
【0021】
あらゆる種類のプロトコルのパケットを、ファイバ・チャネル・ネットワーク上で伝搬できるパケットに変換するために、通常はトンネル技術が使用される。トンネリングを使用すると、第1のプロトコルに従ってフォーマットされた1つのパケットは、ファイバ・チャネル・ネットワーク・プロトコルに従ってフォーマットされた第2のパケットに包み込まれる。したがって、SCSIパケットは、ファイバ・チャネル・ネットワークでの送信のために、ホスト・プロセッサまたは記憶システムによってファイバ・チャネル・パケット内に包み込むことができる。SCSIプロトコルに従ってフォーマットされ、ファイバ・チャネル・パケットに包み込まれたパケットの例を図2に示した。
【0022】
図2において、ファイバ・チャネル・パケット50はヘッダ部55およびペイロード部60を含む。ヘッダ部55はソースIDフィールド52、宛先IDフィールド53および長さフィールド54を含む。ソースIDフィールド52はパケット50の送信を開始したネットワーク内の装置を識別する。宛先IDフィールド53は、ネットワークにおいてパケットを受信するターゲット装置を識別する。長さフィールド54は、パケット内のバイト数を識別する。また、ファイバ・チャネル仕様に定められた他のフィールドもヘッダに含めることができるが、明確化のために、これらのフィールドは本明細書においては省略する。
【0023】
ソースIDフィールド52および宛先IDフィールド53は、特定のホスト・プロセッサおよび記憶システムを識別するために、図1Cの例示的システムにおいて使用されている。ホストが要求パケットを記憶システムに対して発行すると、ソースIDはホストを識別し、宛先IDは記憶システムを識別する。本発明の一実施形態によれば、記憶システムは、個々のホストがデータのどのボリュームにアクセスする特権を有しているかを識別する構成データをインデックスするために、パケットのソースIDフィールド52を使用する。
【0024】
上記のように、記憶システムでホストに関する構成データをインデックスする要求を発行したホストを識別するために、記憶システム20にアクセスするホストのソースIDフィールドを使用することができる。構成データは、ホストによってアクセス可能である記憶システムの部分を識別する。したがって、構成データは、ホストの要求を選択的に処理するために、記憶システムでフィルタ・ロジックによって使用することができる。ここで、ホスト識別子に基づいて要求をフィルタリングする方法および装置を実施するために使用できる、ホストおよび記憶システムの例示的構成要素を、図3乃至5を参照して説明する。
【0025】
上記のように、本発明の一実施形態においては、記憶システムは受信した要求を構成データに基づいて処理すべきかどうかを判断する。構成データのコピーを記憶システムでメモリに記憶することができる。構成データは、ホストがネットワークに出入りするときに、システム管理者によって定期的に更新することができる。記憶システムは、ネットワーク上で通信するためのロジック、およびネットワークから受信した要求を処理すべきかどうかを判断するための、構成データを記憶するメモリに接続されたフィルタリング・ロジックを含む。上記のデータ管理システムは様々な方法で実施することができ、本発明は何れの特定の実施にも限定されない。しかし、明確化のために、このデータ管理機能を提供できるホスト・プロセッサおよび記憶システムの一実施形態を図3に示した。
【0026】
図3は、ネットワーク21を使用して記憶システム20に接続されたホスト・プロセッサ12を示している。ネットワーク21は、たとえば、図1A〜1Cに図示した構成の何れかで配置されたファイバ・チャネル・ネットワークとすることができる。ホスト・プロセッサ12は、ローカル・バス43によってメモリ42に接続されたCPU40などの、1つまたは複数の中央演算処理ユニットを含む、多重処理ユニットとすることができる。バス43とネットワーク21との間には、1つまたは複数のホスト・バス・アダプタ(HBA)45および45aが接続されている。
【0027】
各ホスト・バス・アダプタ(HBA)45および45aは、ホスト・プロセッサ12をネットワークに接続するように動作する。HBA45および45aは、CPU40から受け取ったデータを、ネットワークのプロトコルによって指示された形式に翻訳する。また、HBA45および45aは、ネットワークからパケット形式で受信したデータを、CPU40によって使用可能な形式のデータに翻訳する。
【0028】
ホスト・バス・アダプタは、HBAに常駐するハードウエアと、HBAまたはメモリ42に記憶されたドライバ・ソフトウエアとの組み合わせを用いて実施できる。代替的に、ホスト・バス・アダプタは、ハードウエアまたはソフトウエアで完全に実施してもよい。一実施形態においては、HBA45は記憶システム49に接続されたプロセッサ41を含んでいる。プロセッサ41は、HBA45へのまたはHBA45からのデータのフローおよびフォーマットを制御する。メモリ49は、ネットワークとの間で送受信されるときに、データの一時的記憶場所を提供するために使用される。HBAは、ネットワーク21上での送信用のパケットを生成し、各パケットは特定のHBAを識別するソースIDフィールドを含む。各ホストに多数のHBAを含めることができるので、多数のソースIDを同じホストと関連づけることができる。
【0029】
記憶システム20は、1つまたは複数のディスク・デバイスを含むことができる記憶装置38a〜38dを含む。記憶装置38a〜38dへのアクセスは、プログラムされたプロセッサまたはカスタム・ハードウエア設計を用いて実施することができるディスク・アダプタ36a〜36dの使用を介して制御される。図3に示した実施形態においては、ディスク・アダプタを各記憶装置38a〜38d毎に設けてあるが、代替的に、ディスク・アダプタを複数の記憶装置に接続してもよい。また、ディスク・アダプタは、1つのディスク・アダプタの機能を第2のディスク・アダプタに移すことにより、1つのディスク・アダプタの故障からの回復を可能にするために、別のディスク・アダプタ36a〜36dの記憶装置38a〜38dへの二次的接続を含むことができる。
【0030】
記憶装置38a〜38dはボリューム・セットに分割される。ボリューム・セットの1つまたは複数は、HBA45および45aの1つまたは複数あるいはホスト・プロセッサ12に利用可能にすることができる。一実施形態においては、HBAによる記憶装置38a〜38d内のボリュームの参照は、論理ユニット番号(LUN)を用いて行われる。ホストによって提供される論理ユニット番号とディスク・デバイスの物理アドレスとの間に、一対一の対応がある必要はない。
【0031】
構成データベース32(図3)は、どのHBAがどのボリュームに対するアクセス権を有するかに関する情報を記憶する。上記のように、一実施形態においては、構成データベース内の情報はシステム管理者から受信され、ネットワークの構成が変わるときに定期的に更新される。
【0032】
構成データベース32に記憶することができるデータの種類の例は、履歴テーブル69を含む。履歴テーブルは、記憶システムのポートのそれぞれについて1ブロックに分割されている。履歴テーブルの各ブロックは、ネットワークに入るときにポートに問い合わせたホストのリストを含む。各ホストに関する識別情報は、ホストのWWN名、ホストのソースID、またはホストの他の別名を含むことができる。この識別情報は、ホストの識別子をホストに関する構成データと照合するために、ホストが記憶システムにログインするときに使用することができる。
【0033】
構成データベース32は、記憶システムでHBAを利用可能なポートにマップするヘッダ部70を含むこともできる。記憶システム20のデータの論理ボリュームを異なったHBAに割り当てるために、ボリューム割当部72を設けることができる。LUNをディスクの物理アドレスにマップするために、マッピング部74が設けられている。また、どのHBAがどのLUNにアクセス権を有しているかを制御するために、フィルタ・テーブル76が設けられている。フィルタ・テーブル76は、ボリューム割り当てとマッピング情報とを用いて生成され、記憶システムのポートの何れかに接続された各HBAに関するレコードを含む。フィルタ・テーブル76の実施例を図4に示した。各レコード76a〜76nは、HBAと関連づけられたWWNと、このエントリに割り当てられたボリュームが共有されているかどうかを示すフラグと、どの論理ボリュームにHBAがアクセスできるかを識別するLUNマップとを含む。一実施形態においては、LUNマップは、記憶システムの各LUNに1ビットが割り当てられたビットマスクの形式である。一実施形態においては、ビットマスクのビットは、WWNによって示された関連HBAが対応するLUNにアクセス権を有することを示すようにセットされているが、代替的に、ビットはアクセスを示すようにクリアされてもよい。また、利用可能なLUNが異なった方法で示される代替的実施形態を使用してもよい。
【0034】
記憶システム20(図3)は、フィルタ・アダプタ・ユニット34も含む。フィルタ・アダプタ・ユニット34は、ネットワークから受信したパケットをデータ・ブロックに翻訳し、ディスク・アダプタ36a〜36dに転送するために制御する。また、フィルタ・アダプタ・ユニット34は、特権を有するHBAのみがボリュームにアクセスできることを確実にするために、フィルタリング機能を遂行する。このように、HBAが、それらが割り当てられたボリュームにのみアクセスすることを期待するのではなく、フィルタ・アダプタ・ユニット34は、特権を得ていない要求を除去することにより、ディスクへのアクセスを制御する。
【0035】
一実施形態においては、フィルタ・アダプタ・ユニット34は、メモリ83に接続されたプロセッサ80を含む。プロセッサは、記憶システム20とネットワーク21との間で、データの送信および翻訳を制御するために使用される。メモリ83は、一時的フィルタ・テーブル84を記憶するために使用される。一時的フィルタ・テーブルは、記憶システムの各ポートについて1つずつ、多数のテーブルに分割される。HBAがそのポートの1つで記憶システム20との接続を開始する度に、フィルタリング情報は、構成データベース32のフィルタ・テーブル76から、一時的フィルタ・テーブル84の適当なエントリにコピーされる。フィルタリング情報は、ポートにログインしたHBAのソースIDと、このエントリに関連づけられたボリュームが共有されているかどうかを示すフラグと、ポートにログインしたHBAに関するLUNマップを含むことができ、LUNマップは、構成データベースのフィルタ・テーブル76からコピーされる。
【0036】
一実施形態においては、一時的フィルタ・テーブル84の構成データは要求毎にアクセスされる。要求のアドレスはバス/ターゲット/LUN形式で提供されており、バス部分は記憶システム20のファイバ・チャネル・ネットワーク・アドレスを示し、ターゲット部分は記憶システムのポート・アドレスを示し、LUNは要求のボリューム・アドレスを示す。アドレスは、HBAと関連づけられたLUNマップを含む一時的フィルタ・テーブル84のエントリと比較される。宛先のLUNと関連づけられたLUNマップのビットが、HBAがLUNにアクセス権を有することを示している場合には、要求は処理のためにディスク・アダプタ36a〜36dに転送される。示していなければ、要求は無視される。
【0037】
一時的フィルタ・テーブル84のサイズは、記憶システムで提供されたポートの数と、各ポートで支援されたHBAの数と、記憶システムにおけるLUNの数とに関連している。記憶システム20の例示的構成は4096個のLUNにアクセスするために16個のポートを含むことができ、各ポートは32個の異なったHBAによるアクセスを支援することができる。したがって、一時的フィルタ・テーブル84が大きいときに、それが単一の大きいメモリに記憶されたならば、各I/O要求のアクセス時間は長くなる場合がある。
【0038】
一実施形態においては、記憶システム20の応答時間パフォーマンスを増すために、一時的フィルタ・テーブル84は、各HBAに関するアクセス情報の迅速な検索を可能にするように配置されている。図5を参照すると、一時的フィルタ・テーブルの例示的な一構成が示されている。一時的フィルタ・テーブル84は、レコード400などのレコードの配列を含むように示されている。図5においてLUN0からLUNxと番号を付された記憶システム内の各LUNに、1列のレコードが提供されており、ここで、x+1は記憶システム内のLUNの数である。記憶システムの各ポートには一行のレコードが提供されている。各レコードはビットマップ402を含む。ビットマップは、各ポートにアクセスできる最大数の装置(HBA)に対応する数のビットを含む。図5において、これらのビットはD1、D2...Dnとして示されており、ここでnは何れかのポートに接続できる装置の最大数である。
【0039】
動作の間に、I/O要求が記憶システム20で受信されると、I/O要求のアドレスは一時的フィルタ・テーブル84のデータと比較される。アドレスは、要求を開始したHBAの識別子と、ホストがアクセスを望む記憶システムの部分へのアドレスを含む。このアドレスは、一般的に、フィールドのバス/ターゲット/LUNの組み合わせを含む。バス・フィールドはネットワーク上の記憶システム20のベース・アドレスであり、ターゲットは要求が向けられる記憶システムのポートのソースIDであり、LUNは要求によってアドレス指定された論理ユニットを示している。ターゲット情報(行)およびLUN情報(列)は、一時的フィルタ・テーブルをインデックスしてレコードの1つを得るために使用される。次に、要求装置(たとえば、図3のHBA45)に関するソースIDは、バス/ターゲット/LUNアドレスによって選択されたレコード400のビットマップ402におけるビットの1つを選択して、そのビットがマッピングでセットされているかどうかを識別するために使用される。ビットがマッピングでセットされていれば、要求は処理のためにディスクに転送される。セットされていなければ、要求は捨てられる。
【0040】
一時的フィルタ・テーブル84は、図3に示したようにメモリに記憶できるか、あるいは代替的にハードウエアにおいて実施できる。上記の一時的データベースの構成は、HBAとLUNマッピング情報とにアクセスする一方法を提供しているが、代替的な構成を用いてもよい。本発明はこの実施には限定されない。むしろ、ソース識別子およびリソース・アドレスを用いてデータベースからマッピング・データを取得することを可能にする、あらゆる構成データベース配置を使用することができる。
【0041】
上記のように、ホスト識別子に基づいてホスト・プロセッサに関するデータのボリュームを保存するデータ管理システムを説明してきた。一実施形態においては、データ管理システムは、各要求を認証して、それが記憶システム20で受信されたホスト識別子によって示されたホストによって本当に送信されたことを検証することにより、セキュリティ保護を付加するように拡張される。記憶システム20への接続の認証は、データ・ボリュームを要求するホストが、本当に要求パケットのソースIDにおいて示されたホストであることを検証することにより、ホスト・プロセッサのそれぞれに割り当てられたデータ・ボリュームを安全にする。ホスト・プロセッサのソース識別子に単に依存することは、十分な保護策にならない場合がある。いくつかの安全でない環境においては、プロセッサは、他のホストが特権を付与されたデータにアクセスしようとして、偽のソース識別子を発行することができる。そのため、認証は、ホスト・プロセッサがそれ自体が主張している者であり、したがってデータへのアクセスを許容されるべき者であることを検証する。
【0042】
一実施形態においては、ホストの要求の認証を支援するために、ホスト装置によるトランザクションの開始前に、記憶システムは多数の一意の予期される識別子を各ホスト装置の各HBAに対して発行する。記憶システムは、予期される識別子のコピーを維持する。ホスト装置と関連づけられたHBAは、一連のトランザクションを開始すると、記憶システムから受信した予期される識別子を記憶システムに転送する。記憶システムは受信した各識別子を予期される識別子と比較する。記憶システムは、ホストと関連づけられた特定のHBAに対して識別子を転送するだけであるので、正しい識別子を受信すれば、記憶システムは要求が表示されたホストから実際に発行されたことを検証できる。一実施形態においては、セキュリティ保護のレベルは各識別子に乱数を使用することにより更に強化される。別の実施形態においては、識別子が記憶システムに送信される前にそれを暗号化するために、ホストと記憶システムだけに知られた暗号鍵が使用される。次に、記憶システムは暗号鍵を使用して識別子を解読できる。識別子を暗号化することは、ネットワークに接続された他の装置が、その識別子を入手することおよび、特権が与えられたデータにアクセスすることを防止する。このように、各トランザクションは発行ホストのみに知られた独自の識別子を有しており、識別子はそのホストのHBAのみに知られた独自のアクセス・キーを使用して暗号化されるので、2段階からなる認証が提供される。
【0043】
一実施形態においては、識別子情報は、選択されたパケットのフィールドを使用して、ネットワーク上の装置(たとえば、ホストと記憶システム20)間で伝送される。図2の例示的パケットを再び参照すると、パケット50のペイロード部160には、SCSIプロトコルに従って通信するのに使用されるフィールドのいくつかが示されている。これらのフィールドは、ソース・セッションID162と、宛先セッションID164と、データ・フィールド65とを含む。SCSIプロトコルに従って、開始装置とターゲットとの間のトランザクションの順序を追跡するために、ソース・セッションIDと宛先セッションIDとが使用される。SCSIプロトコルは、多数のトランザクションが開始装置とターゲット装置との間で同時に未処理になっていることを許容する。たとえば、ホスト・イニシエータは、ターゲット記憶システム内の異なったボリュームに対して多数のI/O要求を発行することができる。ボリュームのそれぞれのアクセス可能性に応じて、要求に対する応答がホストに返される順序は、発行された要求の順序とは異なる場合がある。セッションIDは、ホストで要求を応答と整列するために使用される。各トランザクションについて定められるセッションIDは、所与の時間にわたって独特である限り、任意の数字にすることができる。セッションIDはあらゆる任意の数字にすることができるので、一実施形態においては、セッションIDフィールドは、各トランザクションについて一意の識別子情報を転送するために使用される。
【0044】
上記の認証方法は、様々な方法で実施することができ、本発明は何れの特定の実施にも限定されない。しかし、例示を目的として、上記の認証機能を提供する構成要素を含むホスト・プロセッサ312および記憶システム320の実施形態を図6に示した。図6においては、ホスト・バス・アダプタ345はデータ構造60をそのメモリ349に記憶している。データ構造60は、HBAに接続された各記憶システム320毎に、パブリック・キー61と、プライベート・キー62と、アクセス・キー63と、1つまたは複数の乱数のリスト64とを含む。キーのそれぞれは、当業者に知られた技術を使用してデータを暗号化および解読するのに使用することができるビットのフィールドである。暗号化および解読は、選択された暗号化アルゴリズムと関連づけられた論理演算を用いて、キーのビット値をデータのビット値に適用することにより行われる。アクセス・キーは、HBAと関連記憶システムとの間で転送される認証データを暗号化および解読するために専用化されたキーである。一実施形態においては、アクセス・キー64の初期値は、以下で更に詳細に説明するように、パブリック・キー62およびプライベート・キー63をそれぞれ使用して得られる。
【0045】
認証を支援するために、記憶システム320は、図3を参照して説明した特徴のそれぞれを含むことができるフィルタ・アダプタ・ユニット334、ならびに認証を支援する他の多数の構成要素を含む。フィルタ・アダプタ・ユニット334は、記憶システムに接続されたHBAのそれぞれに関する認証工程において用いられる乱数を提供するために使用される、乱数生成器82を含む。乱数生成器82には、暗号器/解読器85およびコンパレータ87が接続されている。以下で更に詳細に説明する方法を用いて、記憶システム20への接続を認証するために、一時的フィルタ・テーブル84と、認証テーブル86と、乱数生成器82と、暗号器/解読器85と、コンパレータ87とが共に使用される。
【0046】
上記のように、認証方法には、ネットワーク21上におけるホスト312と記憶システム320との間の識別子の転送が関係する。一実施形態においては、識別子は、ホスト312と記憶システム320とで記憶されたアクセス・キーを使用して暗号化されるが、これは本発明の要件ではない。図7は、アクセス・キーをホスト312と記憶システム320とに分配する1つの方法を示している。
【0047】
アクセス・キーを、ネットワークへのエントリに先だって、記憶システムとホスト・プロセッサとに割り当てることを含む、多数の方法で提供することができる。代替的に、アクセス・キーは、図7のデータ・フロー図を参照して説明する方法で、ホスト・プロセッサがネットワークに入った後に取得することができる。図7において、HBA345(図6)によって行われる動作は図の左側に示されており、記憶システム320によって行われる動作は、図の右側に示されており、データ・フローは両側の間に示されている。ステップ100で、HBA345(図6)はパブリック・キーとプライベート・キーのペアを生成する。これは、たとえば、CPU40で実行する既知の暗号化ソフトウエアを使用して行うことができる。パブリック・キーおよびプライベート・キーのペアはHBAの専用にされており、ネットワーク21(図6)に接続された何れの他の装置によってもアクセス可能ではない。パブリック・キー61によって暗号化されたデータは、プライベート・キー62を使用してのみ解読でき、一方、プライベート・キー62によって暗号化されたデータは、パブリック・キー61を使用してのみ解読できる。
【0048】
ステップ102で、HBA345はパブリック・キー61を記憶システム320に転送する。ステップ101で、記憶システム320はループし、このキーを待つ。記憶システム320がステップ101でパブリック・キーを受け取ると、ステップ103に進む。ステップ103において、パブリック・キー61を使用して、記憶システム320はHBA345に関するアクセス・キーを暗号化して、この暗号化したアクセス・キー67をネットワーク21(図6)上でHBA345に返送して、工程を終了する。HBA345は、パブリック・キーで暗号化されたあらゆるメッセージを解読するために使用しなければならないプライベート・キー62を有する、ネットワーク内の唯一の装置であるので、ネットワーク上でトランザクションを監視している他の装置は、記憶システム320によって転送された暗号化されたアクセス・キー67を解読することはできないであろう。ステップ105で、HBA345が暗号化されたキー67を受け取ったと判断されると、HBA345で実行中の工程はステップ106に進み、ここで、HBA345はプライベート・キー62を使用して、暗号化されたアクセス・キーを復号する。また、ステップ106で、HBA345は、記憶システム320と後で通信するために、アクセス・キーをパブリック・キー61およびプライベート・キー62と共にデータ構造60内に記憶する。
【0049】
ホスト・プロセッサは、アクセス・キーを一旦受け取ると、I/O要求を記憶システム320に発行する工程を開始することができる。ここで、ホスト・プロセッサがI/O要求を発行し、本発明の一実施形態に従って記憶システム320によってI/Oシステムが処理される工程を、図8A、8Bおよび図9の流れ図を参照して説明する。
【0050】
図8Aには、HBA345と記憶システム320との間で接続を確立するために行うことができる方法の一実施形態を示す流れ図が提供されている。図8Aにおいて、HBA345によって行われる動作は、図の左側に示されており、記憶システム320によって行われる動作は、図の右側に示されており、データ・フローはその間に示されている。ステップ110で、HBA345は記憶システム320へのアクセスの調停(arbitrate)を求める。ステップ120で、HBA345は、調停を獲得すると、制御データ・ブロック112を記憶システム320に対して発行する。制御データ・ブロック112は、HBA345のソースIDを含み、HBAの記憶システム320に対する処理要求を示す。ステップ121で、記憶システム320においてHBAからの未処理の要求があったと判断すると、方法はステップ122に進み、ホストの要求に反応して、記憶システム320は一意の識別子114をHBA345に転送する。一実施形態においては、識別子は、図2に示したパケット50のペイロード部60の宛先セッションID64において提供された乱数である。ステップ122aで、記憶システムが乱数をHBAに転送した後に、記憶システム320はアクセス・キーを使用して乱数114を暗号化して、後の比較のために、暗号化された乱数を記憶する。
【0051】
ステップ123で、HBAが乱数を記憶システム320から受け取ったと判断されると、ステップ124で、HBAはアクセス・キー63(図7の工程を用いて取得)を使用して、その乱数114を暗号化して、暗号化された数125として記憶システム320に返送する。ステップ126で、記憶システム320が応答を受け取ったと判断されると、ステップ127で、記憶システム320は、受け取った乱数125を、ステップ122で生成された乱数の以前に暗号化され局所的に記憶されたものと比較する。比較状態128はHBAに転送される。一致しなければ、ホストは正しいアクセス・キーを有していないこと、および/またはホストは正しい乱数を知らず、ホスト・プロセッサと記憶システムとの間の接続は認証されないことを、記憶システムに対して示す。HBAは記憶システム320でデータにアクセスすることを許可されず、トランザクションは終了する。一致すれば、ホストは正しいアクセス・キーと正しい乱数とを有しており、HBAと記憶システムとの間の接続が認証される。
【0052】
HBAと記憶システムとの間の接続が一旦認証されると、HBAは処理するためにI/O要求を記憶システム320に送ることができる。本発明の一実施形態においては、あらゆるI/Oトランザクションは異なった識別子(たとえば、乱数)を用いて認証される。SCSIプロトコルは、HBAからの複数のI/O要求があらゆる所与の時点で未処理になっていることを許容するので、HBAはコマンド・タグ・キューイングという技術を用いて、未処理のI/O要求を追跡する。各I/O要求には、ソース・セッションIDフィールド62(図2)を用いて、一意のタグが割り当てられる。記憶システムから応答が返される時、このタグを使用してその応答を要求と整列できるように、このタグは応答のセッションIDフィールドに含められる。
【0053】
HBAがあらゆる瞬間に未処理にできるI/O要求の最大数は、コマンド・タグ・キューイング・プロトコルに従って決定される。各I/O要求は一意の識別子に割り当てられるので、各HBAは、各未処理の要求に識別子を与えることができることを確実にするために、十分な数の識別子を常に含むべきである。したがって、一実施形態によれば、各装置が記憶システムにログインする時、一意の識別子のリストが装置に転送される。リストの識別子の数は、その装置で未処理にできるI/O要求の最大数に対応するが、本発明はこの数に限定されない。各装置は記憶システムに対して要求を発行する時、識別子の1つがリストから使用される。記憶システムは、要求に応答する度に、リストの最下部に記憶された新しい識別子を返す。識別子は、先入れ先出しでリストから選択される。その結果、コマンド・タグ・キューイング・プロトコルを満足するための一定数の識別子が装置で維持される。
【0054】
識別子をホストに提供する方法の一実施形態を以下で説明する。一意の識別子または乱数は各I/O要求と関連づけられるので、I/Oシーケンスの開始時に、HBAは、許容可能な未処理I/O要求の最大数に等しい数の乱数を要求する。乱数のリストは、リスト64としてHBA345のデータ構造60(図6)に記憶され、記憶システム320のフィルタ・アダプタ・ユニット334(図6)の認証テーブル86に補足的に記憶される。
【0055】
ここで図9を簡単に参照すると、認証テーブル86(図6)に記憶できる要素の例が示されている。記憶システム320に接続されたHBAのそれぞれについて、データ構造89が提供されている。データ構造はパブリック・キー89aを含むことができ、これは、最初のアクセス・キー63を得るためにHBAによって提供されたパブリック・キー61のコピーである。また、データ構造89はアクセス・キー89bを含むことができ、これはHBA345に記憶されたアクセス・キー63のコピーである。一実施形態においては、データ構造のそれぞれは乱数のリストを更に含む。データ構造89cの各エントリにおける乱数は、関連するトランザクションを認証するのに使用される乱数に対応する。トランザクションを認証するために乱数がどのように使用されるかを、図8bを参照して更に詳細に説明する。
【0056】
図8bにおいては、ステップ184で、HBAは制御データ・ブロック185を記憶システム320に発行する。制御データ・ブロック185は、HBAがI/Oトランザクションを開始しそうであるということ、および接続が認証されたことを記憶システム320に通知する制御を含む。ステップ186で要求が受け取られたと判断されると、記憶システム320は要求を解読して、ステップ187で、乱数のリストを含むパケット188をHBA345に対して転送する。ステップ187aで、記憶システム320は、アクセス・キーを使用して最初の乱数も暗号化して、HBAからの要求で受け取る暗号化された数字との後の比較のために、暗号化された数字を局所的に記憶する。
【0057】
ステップ189でHBAがパケット188を受け取ったと判断されると、ステップ190で、HBA345は未処理のI/O要求があるかどうかを判断するためにチェックする。もしあれば、ステップ192で、HBA345は、データ構造60のフィールド63に記憶されたアクセス・キーを使用して、最初の乱数を暗号化する。HBA345は次に、I/O要求パケットのソース・セッションIDフィールドに暗号化された乱数を挿入し、I/O要求パケット194を記憶システム320に転送する。
【0058】
ステップ195で、I/O要求パケットが受け取られたと記憶システム320で判断されると、ステップ196で、記憶システム320は、I/O要求パケット194のソース・セッションIDフィールドにおいて受け取られた暗号化された乱数を、ステップ187で生成された暗号化された乱数と比較する。代替的に、記憶システム20は、受け取った乱数を単に解読して、それを予期される乱数と比較してもよい。一致すれば、記憶システム320はそのI/O要求を処理して、応答パケット197をHBA345に返送する。応答パケットはHBAによって要求されたあらゆるデータと、リスト188の数字が一旦使い尽くされたときに使用される新たな乱数とを含む。一実施形態においては、この新しい乱数は宛先セッションIDフィールドにおいて提供され、一方、以前の暗号化された乱数は追跡目的でソースIDフィールドで返されるが、特定のフィールドの使用は本発明の限定ではない。
【0059】
ステップ198で、記憶システム320から応答が受け取られたと判断されると、HBAはパケット197のセッションIDフィールドから暗号化されていない乱数を検索して、データ構造60にその乱数を記憶する。この工程は次にステップ190に進んで、ここで、HBAは、アクセス・キーを使用して暗号化された乱数リスト64からの次の乱数を使用して、次のI/O要求を開始する。
【0060】
このように、記憶システムでホストを認証するために、一意の識別子が使用される方法を提供する。この方法を乱数を用いて説明してきたが、これは本発明の要件ではないこと、および容易に識別可能なパターンを含まない数字のあらゆるシーケンスを代替的に使用できることを理解されたい。上記のように、2つ以上のHBAを同時に記憶システム320に接続できる。したがって、接続されたHBAに識別子が分配されると、それらのシーケンスも、記憶システム320に接続された様々なHBA内で同様に分配され、それによって数字分配をいっそうランダムに、したがってより安全に生じさせる。また、暗号化技術を説明してきたが、転送前に識別子が暗号化されることは本発明の要件ではない。代替的に、各要求について識別子を含まずに、アクセス・キーを使用して要求全体を暗号化する認証技術を使用してもよい。また、各トランザクションについて異なったアクセス・キーを提供することも考えられる。本発明は、これらの認証技術のあらゆる組み合わせを包含することができ、したがって、上記の特定の実施形態には限定されない
【0061】
上記技術は、イニシエータとターゲットとの間における接続が認証されたことを検証するために使用できる。別の実施形態においては、ターゲットで受信されたデータがイニシエータによって送信されたデータであることを確実にする技術も使用される。したがって、コマンドおよびデータがイニシエータからターゲットへの転送中に改竄されていないことを確実にするために、立証方法を適用することにより更にセキュリティを得ることができる。この立証方法は、ネットワークに接続された他の装置が、イニシエータとターゲットとの間のトランザクションに干渉することを防止するために提供することができる。
【0062】
本発明の別の態様によれば、ネットワーク上のソースとターゲットとの間におけるデータ転送を立証する方法は、ターゲットとイニシエータの両方で、転送のデジタル署名を維持するステップを含む。デジタル署名はチェックサムの形式である。ターゲットとイニシエータとの間で転送されるデータの各バイトは、チェックサムを形成するためにハッシング関数を用いて、転送の以前のバイトと結合される。ハッシング関数は、たとえば、排他的論理和関数、またはその何らかの派生関数とすることができる。署名に含まれるデータは、イニシエータからターゲットに転送されるデータのみ、ターゲットからイニシエータに転送されるデータのみ、あるいはそれらの組み合わせを含むことができる。
【0063】
ここで図10を参照すると、イニシエータとターゲットとの間におけるデータ転送を立証する方法の一実施形態の流れ図が示されている。この流れ図は図8bを参照して説明したものに類似しているが、データ転送を立証するステップを含む。ステップ200では、何らかのI/O要求があるかどうかがイニシエータで判断される。I/O要求があれば、ステップ202で、イニシエータは、トランザクションに関連づけられた乱数を暗号化して、暗号化された乱数をソース・セッションIDに入れて、I/O要求203をターゲットに転送する。ステップ204で、ターゲットが要求を受信したと判断されると、ステップ205で、ターゲットは、受信した暗号化された数字を、記憶され暗号化された期待される乱数と比較して、一致するか判断する。一致しなければ、ターゲットは応答しない。一致すれば、ステップ206で、ターゲットは新しい暗号化された乱数と応答データとをターゲットに転送する。また、ステップ206で、ターゲットは、データ転送のデジタル署名を制作する新たなチェックサムを提供するために、応答データを既存のチェックサムにハッシュする。応答207は、ステップ208においてイニシエータで受信される。ステップ209で、イニシエータも、データ転送のデジタル署名を制作する新たなチェックサムを提供するために、既存のチェックサムに応答データをハッシュする。I/O要求を発行しチェックサムを生成する工程は、イニシエータ/ターゲット接続における要求の数だけ継続する。ステップ200でもう要求がないと判断されると、工程は図11に示したステップ210の立証段階に進む。
【0064】
ステップ210で、イニシエータはアクセス・キーを使用してチェックサムを暗号化して、暗号化したチェックサム212をターゲットに対して転送する。ステップ214で、ターゲットは暗号化されたチェックサムを受信する。ステップ216で、ターゲットはチェックサムを解読して、ステップ218で、解読されたチェックサムをターゲットによって生成されたチェックサムと比較する。ターゲットは、チェックサムが一致したかどうかを示す状態パケット220をイニシエータに送信する。ステップ222で、トランザクションが有効であった(すなわち、データは改竄されていなかった)と判断されれば、イニシエータとターゲットとの間で接続が完了する。状態220が、トランザクションは有効でなくデータは改竄されていたことを示せば、イニシエータはターゲットとの接続を再確立して、データのトランザクションを繰り返す。
【0065】
上記のように、3段階のデータ管理を提供するデータ管理方法および装置を説明してきた。フィルタリングは、各ホストが特権を有するデータのボリュームのみにアクセスすることを確実にするために提供される。セキュリティは、要求の識別子において示されたホストによって本当に発行された各要求を検証する認証方法を用いて組み込むことができる。最後に、正当性の立証は、データが転送中に改竄されていないことを確実にするために提供することができる。本発明のデータ管理方法および装置を使用したシステムは、データ管理のこれらのレベルの1つまたは複数を独立して組み込むことができ、そのため、本発明は、上記の列挙されたデータ管理技術を全て含むシステムには限定されない。かかるデータ管理システムは、ホスト・プロセッサによってアクセスが可能なデータを限定することにより、そのホスト・プロセッサでのユーザによるデータ・アクセスについて向上した制御を提供する。したがって、ホスト・プロセッサのユーザは、そのホスト・プロセッサに割り当てられたデータの全てにアクセスできる場合はあるが(そのユーザと関連づけられた特権に応じて)、ユーザも、ホスト・プロセッサで最高の特権を有するシステム管理者でさえも、ホストでのユーザの特権にかかわらず、記憶システムによってホストに割り当てられていないデータにアクセスすることはできない。
【0066】
上記の説明は、ホストが記憶システムのデータにアクセスする例示的なシステムに関連しているが、上記の方法は、リソースが多数の装置によって共有されているあらゆるシステムに適用できる。かかるシステムは、ディスク・デバイス、テープ・デバイス、ファイル・サーバなどを含むあらゆる種類の記憶システムを含むが、これらには限定されない。
【0067】
本発明のいくつかの実施形態を詳細に説明したが、当業者は、様々な変更や改良を容易に想起するであろう。かかる変更や改良は、本発明の主旨および範囲の中に入るものであることを意図する。したがって、前述の説明は、例としてのみ示すものであって、限定を意図したものではない。本発明は、特許請求の範囲およびその均等物に定められるようにのみ限定される
【図面の簡単な説明】
【図1】 図1A、1B及び1Cは、本発明のデータ管理態様を採用できる例示的ネットワーク構成の模式図である。
【図2】 図1A、1Bまたは1Cのネットワークに接続された装置間で分配できるパケットの一実施形態の図である。
【図3】 図1A、1Bまたは1Cのネットワークにおいて接続できるホスト・プロセッサおよび、本発明の一実施形態に従ってホスト・プロセッサによって発行された要求をフィルタリングする要素を有するアダプタを含む記憶システムの例示的構成要素を示したブロック図である。
【図4】 図3の記憶システムによる使用のために、フィルタリング情報を記憶するのに使用できる構成データ構造の一実施形態のブロック図である。
【図5】 図3の記憶システムで要求をフィルタリングするのに使用できる、データ・フィルタリングの一実施形態のブロック図である。
【図6】 図1A、1Bまたは1Cのネットワークにおいて接続できるホスト・プロセッサおよび、本発明の一実施形態に従ってホストによるトランザクションを認証するロジックを含む記憶システムの例示的構成要素を示したブロック図である。
【図7】 ホスト・プロセッサの同一性を認証するのに使用できる、図6のホスト・プロセッサと記憶システムとの間で暗号鍵を分配する一方法を示した流れ図である。
【図8】 図8A、8B及び8Cは、本発明の一実施形態に従って、図6のホスト・プロセッサと記憶システムとの間の接続を確立するときに、ホスト・プロセッサの同一性を認証する一方法を示した流れ図である。
【図9】 図6の記憶システムの認証テーブルに含めることができ、本発明の一実施形態に従ってホスト・プロセッサの同一性を認証するのに使用できる例示的構成要素を示した図である。
【図10】 本発明の一実施形態においてデータ転送を有効にするために、図1A、1Bおよび1Cのネットワークにおいてイニシエータとターゲットとの間で転送されるデータのチェックサムを行う一方法を示した流れ図である。
【図11】 本発明の一実施例に従って図10のチェックサムを用いて、イニシエータとターゲットとの間のデータ転送を有効にする一方法を示した流れ図である。
Claims (48)
- 記憶システムへのアクセスを管理するためのデータ管理方法であって、
該記憶システムから複数の装置の少なくとも1つへ、該複数の装置の少なくとも1つによって該記憶システムへ発行されると予期される一連の要求の1つと夫々対応しかつその要求に含まれる複数の予期される識別子を、該複数の装置の内の少なくとも1つによって前記要求の少なくとも1つが発行された旨を示すために送信するステップと、
前記複数の予期される識別子を前記記憶システムに記憶するステップと、
該記憶システムにおいて、要求識別子を含む少なくとも1つの要求を、前記複数の装置の内の少なくとも1つとして識別された装置から受信するステップと、
前記複数の装置の内の少なくとも1つによって前記少なくとも1つの要求が発行されたことを確認するために、前記要求識別子と前記複数の予期される識別子の内の1つとを比較するステップと、
を含むデータ管理方法。 - 前記記憶システムおよび前記複数の装置の内の少なくとも1つの各々は1つ以上の識別子を暗号化及び解読するための暗号鍵を記憶し、更に、
暗号化した要求識別子を生成するために、前記記憶システムにおいて受け取る前に、前記少なくとも1つの暗号鍵によって要求識別子を暗号化するステップを有する請求項1に記載の方法。 - 前記比較ステップは、暗号化された予期される識別子を生成するために前記記憶システムにおいて、前記複数の予期される識別子の少なくとも1つを、前記暗号鍵を用いて暗号化するステップと、
前記暗号化された要求識別子を前記暗号化された予期される識別子と比較するステップとを更に含む請求項2に記載の方法。 - 前記比較ステップは、解読された要求識別子を生成するために前記記憶システムにおいて、前記暗号化された要求識別子を前記暗号鍵の少なくとも1つを用いて解読するステップと、
前記解読した要求識別子と前記複数の予期される識別子の1つとを比較するステップとを更に含む請求項2に記載の方法。 - 前記記憶システムは複数のボリュームに分割され、複数の装置は該記憶システムに相互接続されており、前記方法はさらに、
該記憶システムへのアクセスを有する前記複数の装置の各々についての構成情報を、構成データベースに記憶するステップを含み、該構成データは、前記複数の装置のどれが、該記憶システムにおけるデータの複数のボリュームの内のどのボリュームへのアクセスを許可されているかを示す請求項1に記載の方法。 - 前記複数の装置の各々について、該複数の装置の各々に指定された予期される識別子のリストをテーブルに記憶するステップをさらに有する請求項5に記載の方法。
- 前記方法は、前記複数の予期される識別子の内の少なくも1つの識別子を提供するために、乱数を生成するステップをさらに有する請求項1に記載の方法。
- 複数の装置は前記記憶システムに相互接続されており、前記方法は、さらに
一連の乱数を生成するステップと、
前記複数の装置間で、乱数のシーケンスから乱数を分配するステップとを有する請求項1に記載の方法。 - 一連のトランザクションが前記複数の装置の内の少なくとも1つおよび前記記憶システムによって交換され、前記方法は、各トランザクションの内容が送信中に変更されないようにするために、前記一連のトランザクションの各々について妥当性検査を行うステップをさらに有する請求項1に記載の方法。
- 各トランザクションは、前記複数の装置の内の少なくとも1つから前記記憶システムへ発行された要求と、該記憶システムから該複数の装置の内の少なくとも1つへ発行された応答とを有しており、また、前記妥当性検査を行うステップは、
前記一連のトランザクションを処理する際に前記複数の装置の内の少なくとも1つへ送信されたデータの第1チェックサムを前記記憶システムに保持するステップと、
前記複数の装置の内の少なくとも1つからの第2チェックサムを該記憶システムにおいて受信するステップとをさらに有し、前記第2チェックサムは、前記一連のトランザクションの最中に前記複数の装置の内の少なくとも1つが受信したデータを反映し、
前記一連のトランザクションの妥当性を検査するために、前記第1チェックサムを前記第2チェックサムと比較するステップをさらに有する請求項9に記載の方法。 - 前記妥当性を検査するステップは、
前記記憶システムにおいて、前記一連のトランザクションの最中に各々のトランザクションを処理する際に、前記複数の装置の内の少なくとも1つから受信したデータの第1チェックサムを保持するステップと、
前記記憶システムにおいて、該複数の装置の内の少なくとも1つからの第2チェックサムを受信するステップとをさらに有し、前記第2チェックサムは、前記一連のトランザクションの最中に該複数の装置の内の少なくとも1つによって送信されたデータを反映し、
該一連のトランザクションの妥当性を検査するために、前記第1チェックサムと第2チェックサムを比較するステップをさらに有する請求項9に記載の方法。 - 前記妥当性を検査するステップは、
前記複数の装置の内の少なくとも1つにおいて、前記一連のトランザクションを送信する際に、該記憶システムへ送信したデータの第1チェックサムを保持するステップと、
前記複数の装置の内の少なくとも1つにおいて、前記記憶システムからの第2チェックサムを受信するステップとをさらに有し、前記第2チェックサムは、該一連のトランザクションの最中に該記憶システムが受信したデータを反映し、
前記一連のトランザクションの妥当性を検査するために前記該第1チェックサムと第2チェックサムを比較するステップをさらに有する請求項9に記載の方法。 - 前記妥当性を検査するステップは、
前記複数の装置の内の少なくとも1つにおいて、前記一連のトランザクションにおいて前記記憶システムから受信したデータの第1チェックサムを保持するステップをさらに有し、
前記記憶システムからの第2チェックサムを、前記複数の装置の内の少なくとも1つによって受信するステップをさらに有し、前記第2チェックサムは、前記一連のトランザクションの最中に前記記憶システムによって送信されたデータを反映し、
前記一連のトランザクションの妥当性を検査するために、前記第1チェックサムと第2チェックサムを比較するステップをさらに有する請求項9に記載の方法。 - ネットワークによって複数の装置の少なくとも1つと接続している記憶システムへの、前記複数の装置の内の少なくとも1つによるアクセスを管理する方法であって、前記記憶システムは複数の記憶装置を含み、該方法は、
前記複数の装置の少なくとも1つがその後続の予期される一連の要求の対応する1つを発行した旨を示すために、該複数の装置の少なくとも1つにおいて、該複数の装置の少なくとも1つによって前記記憶システムへ発行される対応する一連の後続の予期される要求に含められる一連の予期される識別子を夫々、前記記憶システムから受信するステップと、
前記複数の装置の少なくとも1つから、一連の要求を前記記憶システムへ発行するステップであって、前記一連の要求の各々が、前記複数の装置の少なくとも1つが対応する要求を発行した旨を示す一連の予期される識別子の夫々を含む方法。 - 暗号化した予期される識別子を夫々提供するために、前記一連の予期される識別子の各々を暗号化するステップをさらに有し、前記一連の要求を発行するステップは、該暗号化した予期される識別子を夫々前記記憶システムへ送信するステップを含む請求項14に記載の方法。
- 前記一連の要求を発行するステップは、ファイバ・チャネル・プロトコルに従うネットワークを介して、前記複数の装置の少なくとも1つから前記記憶システムへ前記一連の要求を発行するステップをさらに含む請求項15に記載の方法。
- 前記記憶システムは、複数のボリュームに分割された複数のディスク装置を備えており、また、前記一連の要求の発行を行うステップは、該複数のディスク装置内の該複数のボリュームの1つへ宛てられた一連の要求の夫々を、前記記憶システムへ発行するステップを有する請求項14に記載の方法。
- 前記複数の装置の内の少なくとも1つは、前記ネットワークを介して前記記憶システムと接続しているホスト・プロセッサであり、また、前記一連の要求を発行する前記ステップは、ファイバ・チャネル・プロトコルに従うネットワークを介して、前記ホスト・プロセッサから前記記憶システムへ前記一連の要求を送信するステップを含む請求項14に記載の方法。
- 前記複数の装置の内の少なくとも1つは、ネットワークを介して前記記憶システムと接続したファイル・サーバであり、また、少なくとも1つの要求を発行する該ステップは、ファイバ・チャンネル・プロトコルに従うネットワークを介して、該ファイル・サーバから該記憶システムへ該要求を送信するステップを含む請求項14に記載の方法。
- 複数の記憶装置を設け、ネットワークと接続している記憶システムを備えたシステム内で使用するホスト・コンピュータであり、該ホスト・コンピュータは、
前記記憶システムから、該記憶システムへの後続の要求に含まれる複数の予期される識別子を受信するためのポートを有し、
前記記憶システムにアクセスするために、ホストによって要求が発行された旨を示す複数の予期される識別子の異なる1つを夫々含む一連の要求を発行するためのコントローラをさらに有する、
ホスト・コンピュータ。 - 前記一連の要求に含まれる複数の予期される識別子を暗号化するために、暗号化装置をさらに有する請求項20に記載のホスト・コンピュータ。
- 前記ホスト・コンピュータを前記記憶システムと接続するネットワーク及び前記記憶システムと組み合わせた、請求項20に記載のホスト・コンピュータ。
- 前記ネットワークは、ファイバ・チャネル・ネットワーク・プロトコルに従って動作する請求項22に記載の組み合わせからなる、
ホスト・コンピュータ。 - 少なくとも1つの追加ホストと組み合わせて、前記少なくとも1つの追加のホストは、
前記少なくとも1つの追加ホストから該記憶システムへの、後続の要求の少なくとも1つに含められる、少なくとも1つの予期される追加の識別子を受信するためのポートと、
該少なくとも1つの追加ホストから前記記憶システムへ、前記追加の予期される識別子を含む少なくとも1つの要求を発行するためのコントローラを含む、請求項22に記載の組み合わせからなる、
ホスト・コンピュータ。 - 前記少なくとも1つのホストのコントローラと、前記少なくとも1つの追加ホストのコントローラの両方は、ファイバ・チャネル・ネットワーク・プロトコルに従って要求を発行する請求項24に記載の組み合わせからなる、
ホスト・コンピュータ。 - 前記記憶システムは複数のディスク装置を有する、請求項22に記載の組み合わせからなる、
ホスト・コンピュータ。 - 前記ホスト・コンピュータはファイル・サーバである、請求項22に記載の組み合わせからなる、
ホスト・コンピュータ。 - 記憶システムであって、
少なくとも1つの記憶装置と、
前記記憶システムを、これと接続されるべき複数の装置とインターフェースするアダプタとを有し、該アダプタは、前記複数の装置の少なくとも1つへ、該複数の装置の少なくとも1つから発行されると予期される複数の要求の夫々に対応する複数の予期される識別子を送信し、また、前記複数の装置の少なくとも1つとして識別される装置から後続の要求の夫々に含まれている要求識別子を受信し、前記アダプタが、前記複数の装置の少なくとも1つが、前記複数の予期された識別子の対応する1つが送信される、前記複数の装置の少なくとも1つであることを確認するために前記要求識別子と複数の予期される識別子の対応する1つとを比較するように構成されており、
前記アダプタは、処理を行うために、確認された後続の要求の夫々を前記少なくとも1つの記憶装置へ送信し、確認されない後続の要求の夫々を前記少なくとも1つの記憶装置へ送信するのを防止するように構成されている記憶システム。 - 前記アダプタは、前記複数の装置によって発行される要求を確認するために、前記複数の装置の各々に対する認証情報を記憶するための認証テーブルをさらに含む請求項28に記載の記憶システム。
- 前記認証テーブルは、前記複数の装置の少なくとも1つに対して、複数の予期される識別子を含んだリストを含む請求項29に記載の記憶システム。
- 前記認証テーブルと接続した乱数生成器をさらに有し、該乱数生成器は、前記リストに含める予期される識別子を生成する請求項29に記載の記憶システム。
- 前記リスト内の予期される識別子を暗号化するために、前記認証テーブルと接続している暗号化装置をさらに有する請求項29に記載の記憶システム。
- 前記記憶システムから複数の前記装置の1つへ送信される応答のチェックサムを保持するための、前記アダプタと接続しているデジタル署名ユニットをさらに有する請求項28に記載の記憶システム。
- 前記アダプタはさらに、
該複数の装置の1つから受信したデータの妥当性を決定するために、前記複数の装置の1つから受信したチェックサムを、該複数の装置の1つについて前記デジタル署名ユニットに保持されている該チェックサムと比較する手段をさらに有する請求項33に記載の記憶システム。 - 前記複数の装置と、該記憶システムを該複数の装置と接続するネットワークとに組み合わされる請求項28に記載の記憶システム。
- 前記ネットワークは、ファイバ・チャネル・プロトコルに従って動作する請求項35に記載の組み合わせからなる、
記憶システム。 - 前記少なくとも1つの記憶装置は、少なくとも1つのディスク・ドライブを含む請求項28に記載の記憶システム。
- 前記複数の装置の1つはホスト・プロセッサである請求項35に記載の組み合わせからなる、
記憶システム。 - 前記複数の装置の1つはファイル・サーバである請求項35に記載の記憶システム。
- 複数の装置の少なくとも1つと記憶システムの間の接続を認証するために前記装置内で使用するアダプタであって、該アダプタは、
前記記憶システムへの予期される後続の要求に含まれるべき、前記記憶システムによって提供された複数の一意の識別子を記憶するための、少なくとも1つのエントリーを備えたデータ構造と、
前記複数の一意の識別子の対応する1つを含むことにより、夫々が前記複数の装置の少なくとも1つから発行され、前記記憶システムが前記複数の装置の少なくとも1つと該記憶システム間の接続を認証するために前記複数の一意の識別子を使用することができる旨を示す複数の要求を前記記憶システムへ発行するためのコントローラとを有する、
アダプタ。 - 前記複数の要求の対応する1つとともに複数の一意の識別子を送信する前に、前記複数の一意の識別子を暗号化するための暗号化装置をさらに有する請求項40に記載のアダプタ。
- 前記データが転送中に変更されていないことを確認するために、前記複数の要求に応じて前記記憶システムから受信したデータのチェックサムを保持するためのデジタル署名ユニットをさらに有する請求項40に記載のアダプタ。
- 前記チェックサムを前記記憶システムへ送信するための手段と、
前記アダプタによって送信された該チェックサムが、該記憶システムにおいて生成されたチェックサムと適合するかどうかを示す状態情報を該記憶システムから受信するための手段と、
前記状態情報に応答して、該アダプタによってチェックサムが適合しなかった複数の要求の任意のものを再発行する手段とを有する請求項42に記載のアダプタ。 - 前記記憶システムとネットワークとに組み合わせられ、該ネットワークを介して前記記憶システムに情報を転送出来るように構成されている請求項40に記載のアダプタ。
- 前記ネットワークはファイバ・チャネル・ネットワークである請求項44に記載の組み合わせからなる、
アダプタ。 - 前記記憶システムは、少なくとも1つのディスク・ドライブを含む請求項44に記載の組み合わせからなる、
アダプタ。 - ホスト・プロセッサおよびネットワークと組み合わせられ、前記アダプタは該ホスト・プロセッサと該ネットワークを接続する請求項40に記載のアダプタ。
- ファイル・サーバとネットワークとに組み合わせられ、前記アダプタは該ファイル・サーバと該ネットワークを接続する請求項40に記載のアダプタ。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/108,075 US6263445B1 (en) | 1998-06-30 | 1998-06-30 | Method and apparatus for authenticating connections to a storage system coupled to a network |
| US09/108,075 | 1998-06-30 | ||
| PCT/US1999/013522 WO2000000881A1 (en) | 1998-06-30 | 1999-06-16 | Method and apparatus for authenticating connections to a storage system coupled to a network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002519781A JP2002519781A (ja) | 2002-07-02 |
| JP3745961B2 true JP3745961B2 (ja) | 2006-02-15 |
Family
ID=22320153
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000557189A Expired - Lifetime JP3745961B2 (ja) | 1998-06-30 | 1999-06-16 | ネットワークと接続している記憶システムへの接続を認証するための方法および装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US6263445B1 (ja) |
| JP (1) | JP3745961B2 (ja) |
| KR (1) | KR20010053328A (ja) |
| DE (1) | DE19983352T1 (ja) |
| GB (1) | GB2354617B (ja) |
| WO (1) | WO2000000881A1 (ja) |
Families Citing this family (103)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6421711B1 (en) * | 1998-06-29 | 2002-07-16 | Emc Corporation | Virtual ports for data transferring of a data storage system |
| US7756986B2 (en) * | 1998-06-30 | 2010-07-13 | Emc Corporation | Method and apparatus for providing data management for a storage system coupled to a network |
| US6502135B1 (en) * | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
| US7188180B2 (en) * | 1998-10-30 | 2007-03-06 | Vimetx, Inc. | Method for establishing secure communication link between computers of virtual private network |
| US10511573B2 (en) | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| US7418504B2 (en) | 1998-10-30 | 2008-08-26 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| ATE492973T1 (de) | 1998-10-30 | 2011-01-15 | Virnetx Inc | Netzwerkprotokoll zur geschützten kommunikation |
| US6449652B1 (en) | 1999-01-04 | 2002-09-10 | Emc Corporation | Method and apparatus for providing secure access to a computer system resource |
| US6484229B1 (en) * | 1999-03-05 | 2002-11-19 | Hitachi, Ltd. | Magnetic disk apparatus |
| JP3837953B2 (ja) * | 1999-03-12 | 2006-10-25 | 株式会社日立製作所 | 計算機システム |
| JP3853540B2 (ja) * | 1999-06-30 | 2006-12-06 | 日本電気株式会社 | ファイバチャネル接続磁気ディスク装置およびファイバチャネル接続磁気ディスク制御装置 |
| US6845395B1 (en) * | 1999-06-30 | 2005-01-18 | Emc Corporation | Method and apparatus for identifying network devices on a storage network |
| US6499058B1 (en) * | 1999-09-09 | 2002-12-24 | Motokazu Hozumi | File shared apparatus and its method file processing apparatus and its method recording medium in which file shared program is recorded and recording medium in which file processing program is recorded |
| WO2001028179A2 (en) * | 1999-10-14 | 2001-04-19 | Bluearc Uk Limited | Apparatus and method for hardware implementation or acceleration of operating system functions |
| JP4598248B2 (ja) * | 2000-01-14 | 2010-12-15 | 株式会社日立製作所 | 記憶サブシステムのセキュリティシステム |
| US6684209B1 (en) * | 2000-01-14 | 2004-01-27 | Hitachi, Ltd. | Security method and system for storage subsystem |
| US7657727B2 (en) * | 2000-01-14 | 2010-02-02 | Hitachi, Ltd. | Security for logical unit in storage subsystem |
| JP4651230B2 (ja) * | 2001-07-13 | 2011-03-16 | 株式会社日立製作所 | 記憶システム及び論理ユニットへのアクセス制御方法 |
| US6973671B1 (en) * | 2000-02-24 | 2005-12-06 | International Business Machines Corporation | Secure access to a unified logon-enabled data store |
| US7072988B1 (en) * | 2000-03-31 | 2006-07-04 | Adaptec, Inc. | Key-based collision detection algorithm for multi-initiator domain validation |
| US6393539B1 (en) * | 2000-05-04 | 2002-05-21 | Dell Products, L.P. | System and method for reliably assigning and protecting data in a centralizes storage system |
| JP4719957B2 (ja) * | 2000-05-24 | 2011-07-06 | 株式会社日立製作所 | 記憶制御装置及び記憶システム並びに記憶システムのセキュリティ設定方法 |
| US20020013155A1 (en) * | 2000-06-23 | 2002-01-31 | Jamthe Shirish N. | Mobile communications device data sharing system and method |
| US7352770B1 (en) | 2000-08-04 | 2008-04-01 | Intellon Corporation | Media access control protocol with priority and contention-free intervals |
| US7260636B2 (en) * | 2000-12-22 | 2007-08-21 | Emc Corporation | Method and apparatus for preventing unauthorized access by a network device |
| US6715098B2 (en) | 2001-02-23 | 2004-03-30 | Falconstor, Inc. | System and method for fibrechannel fail-over through port spoofing |
| US7093127B2 (en) | 2001-08-09 | 2006-08-15 | Falconstor, Inc. | System and method for computer storage security |
| WO2002069559A1 (en) * | 2001-02-23 | 2002-09-06 | Falconstor Software, Incorporated | Network authentication by the use of heartbeat messages |
| US20040233910A1 (en) * | 2001-02-23 | 2004-11-25 | Wen-Shyen Chen | Storage area network using a data communication protocol |
| US7058788B2 (en) * | 2001-02-23 | 2006-06-06 | Falconstor Software, Inc. | Dynamic allocation of computer memory |
| US6904481B1 (en) * | 2001-04-12 | 2005-06-07 | Lsi Logic Corporation | Bus sequence operation with automatic linking from current I/O information to subsequent I/O information |
| US7434067B1 (en) * | 2001-04-26 | 2008-10-07 | Palmsource, Inc. | Method and system for a security technique for enabling an electronic device to run controlled test applications |
| US20020161596A1 (en) * | 2001-04-30 | 2002-10-31 | Johnson Robert E. | System and method for validation of storage device addresses |
| JP2003006060A (ja) * | 2001-06-19 | 2003-01-10 | Hitachi Ltd | ゲートウェイシステム |
| JP2003087238A (ja) * | 2001-09-11 | 2003-03-20 | Hitachi Ltd | 家庭内ネットワークにおけるセキュリティ実現方式 |
| US20030074473A1 (en) * | 2001-10-12 | 2003-04-17 | Duc Pham | Scalable network gateway processor architecture |
| US7283538B2 (en) * | 2001-10-12 | 2007-10-16 | Vormetric, Inc. | Load balanced scalable network gateway processor architecture |
| US6978270B1 (en) * | 2001-11-16 | 2005-12-20 | Ncr Corporation | System and method for capturing and storing operational data concerning an internet service provider's (ISP) operational environment and customer web browsing habits |
| US20030105830A1 (en) * | 2001-12-03 | 2003-06-05 | Duc Pham | Scalable network media access controller and methods |
| US7069448B2 (en) * | 2001-12-05 | 2006-06-27 | Tecsec, Inc. | Context oriented crypto processing on a parallel processor array |
| US7965843B1 (en) * | 2001-12-27 | 2011-06-21 | Cisco Technology, Inc. | Methods and apparatus for security over fibre channel |
| JP4146653B2 (ja) * | 2002-02-28 | 2008-09-10 | 株式会社日立製作所 | 記憶装置 |
| CA2375898A1 (en) * | 2002-03-11 | 2003-09-11 | Karthika Technologies Inc. | Authentication protocols for networked storage devices |
| US7890771B2 (en) | 2002-04-17 | 2011-02-15 | Microsoft Corporation | Saving and retrieving data based on public key encryption |
| US7487365B2 (en) * | 2002-04-17 | 2009-02-03 | Microsoft Corporation | Saving and retrieving data based on symmetric key encryption |
| US7206862B2 (en) * | 2002-04-24 | 2007-04-17 | Microsoft Corporation | Method and apparatus for efficiently matching responses to requests previously passed by a network node |
| JP4220724B2 (ja) * | 2002-05-21 | 2009-02-04 | 株式会社日立製作所 | ストレージ装置 |
| US8149703B2 (en) | 2002-06-26 | 2012-04-03 | Qualcomm Atheros, Inc. | Powerline network bridging congestion control |
| US7826466B2 (en) | 2002-06-26 | 2010-11-02 | Atheros Communications, Inc. | Communication buffer scheme optimized for VoIP, QoS and data networking over a power line |
| US7330897B2 (en) * | 2002-07-09 | 2008-02-12 | International Business Machines Corporation | Methods and apparatus for storage area network component registration |
| US6931530B2 (en) | 2002-07-22 | 2005-08-16 | Vormetric, Inc. | Secure network file access controller implementing access control and auditing |
| US6678828B1 (en) * | 2002-07-22 | 2004-01-13 | Vormetric, Inc. | Secure network file access control system |
| US7334124B2 (en) * | 2002-07-22 | 2008-02-19 | Vormetric, Inc. | Logical access block processing protocol for transparent secure file storage |
| US7475239B2 (en) * | 2002-09-20 | 2009-01-06 | International Business Machines Corporation | Pluggable trust adapter architecture, method and program product for processing communications |
| US20040064611A1 (en) * | 2002-10-01 | 2004-04-01 | Cox David Peyton | Disassembly of device stack that avoids physical disconnection/reconnection of device before stack rebuild |
| US6820146B2 (en) * | 2002-10-01 | 2004-11-16 | Hewlett-Packard Development Company, L.P. | Filter driver for blocking access by host to devices |
| US7143288B2 (en) * | 2002-10-16 | 2006-11-28 | Vormetric, Inc. | Secure file system server architecture and methods |
| US7623542B2 (en) * | 2002-10-21 | 2009-11-24 | Intellon Corporation | Contention-free access intervals on a CSMA network |
| US7457822B1 (en) | 2002-11-01 | 2008-11-25 | Bluearc Uk Limited | Apparatus and method for hardware-based file system |
| US8041735B1 (en) | 2002-11-01 | 2011-10-18 | Bluearc Uk Limited | Distributed file system and method |
| US7460672B2 (en) * | 2003-07-18 | 2008-12-02 | Sanrad, Ltd. | Method for securing data storage in a storage area network |
| US8239552B2 (en) | 2003-08-21 | 2012-08-07 | Microsoft Corporation | Providing client access to devices over a network |
| JP4311637B2 (ja) * | 2003-10-30 | 2009-08-12 | 株式会社日立製作所 | 記憶制御装置 |
| CA2545812C (en) * | 2003-11-13 | 2013-12-31 | Digital Authentication Technologies, Inc. | System and method for container monitoring, real time authentication, anomaly detection, and alerts |
| US7281187B2 (en) * | 2003-11-20 | 2007-10-09 | Intellon Corporation | Using error checking bits to communicated an address or other bits |
| US8090857B2 (en) | 2003-11-24 | 2012-01-03 | Qualcomm Atheros, Inc. | Medium access control layer that encapsulates data from a plurality of received data units into a plurality of independently transmittable blocks |
| US7660327B2 (en) | 2004-02-03 | 2010-02-09 | Atheros Communications, Inc. | Temporary priority promotion for network communications in which access to a shared medium depends on a priority level |
| US7715425B2 (en) * | 2004-02-26 | 2010-05-11 | Atheros Communications, Inc. | Channel adaptation synchronized to periodically varying channel |
| US7333612B2 (en) * | 2004-03-19 | 2008-02-19 | Cisco Technology, Inc. | Methods and apparatus for confidentiality protection for Fibre Channel Common Transport |
| JP4566668B2 (ja) * | 2004-09-21 | 2010-10-20 | 株式会社日立製作所 | 記憶階層を有する計算機システムにおける暗号復号管理方法 |
| US8175190B2 (en) | 2005-07-27 | 2012-05-08 | Qualcomm Atheros, Inc. | Managing spectra of modulated signals in a communication network |
| US7822059B2 (en) | 2005-07-27 | 2010-10-26 | Atheros Communications, Inc. | Managing contention-free time allocations in a network |
| US20070074292A1 (en) * | 2005-09-28 | 2007-03-29 | Hitachi, Ltd. | Management of encrypted storage networks |
| JP2009541861A (ja) | 2006-06-22 | 2009-11-26 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 医療用アドホックボディセンサネットワークのための先進的アクセス制御 |
| US20070299952A1 (en) * | 2006-06-23 | 2007-12-27 | Brian Gerard Goodman | External network management interface proxy addressing of data storage drives |
| EP2136311B1 (en) * | 2007-04-12 | 2013-07-31 | NTT Communications Corp. | Data keeping method, client apparatus, storage device and program |
| JP2008269171A (ja) * | 2007-04-18 | 2008-11-06 | Hitachi Ltd | ストレージシステム、管理サーバ、ストレージシステムのシステム再構成支援方法及び管理サーバのシステム再構成支援方法 |
| ATE545241T1 (de) | 2007-05-10 | 2012-02-15 | Qualcomm Atheros Inc | Verwaltung des verteilten zugriffes auf ein gemeinsam genutztes medium |
| CN101163010B (zh) * | 2007-11-14 | 2010-12-08 | 华为软件技术有限公司 | 对请求消息的鉴权方法和相关设备 |
| WO2009110024A1 (ja) * | 2008-03-04 | 2009-09-11 | 富士通株式会社 | 装置構成情報の更新方法および情報処理装置 |
| CN102035649B (zh) | 2009-09-29 | 2013-08-21 | 国际商业机器公司 | 认证方法和装置 |
| US8812854B2 (en) | 2009-10-13 | 2014-08-19 | Google Inc. | Firmware verified boot |
| WO2011130309A1 (en) | 2010-04-12 | 2011-10-20 | Qualcomm Atheros, Inc. | Channel estimation for low-overhead communication in a network |
| US8661163B2 (en) * | 2011-08-22 | 2014-02-25 | Apple Inc. | Tag allocation for queued commands across multiple devices |
| US8891605B2 (en) | 2013-03-13 | 2014-11-18 | Qualcomm Incorporated | Variable line cycle adaptation for powerline communications |
| EP3278527B1 (en) * | 2015-04-02 | 2019-05-01 | Telefonaktiebolaget LM Ericsson (publ) | Enhanced network security by token |
| DE102015225651A1 (de) * | 2015-12-17 | 2017-06-22 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Übertragen einer Software |
| FR3048529B1 (fr) * | 2016-03-01 | 2018-03-23 | Ingenico Group | Procede de modulation d'acces a une ressource, dispositif et programme correspondant |
| US10652025B2 (en) * | 2017-07-10 | 2020-05-12 | Micron Technology, Inc. | Secure snapshot management for data storage devices |
| US10592123B1 (en) | 2017-07-13 | 2020-03-17 | EMC IP Holding Company LLC | Policy driven IO scheduler to improve write IO performance in hybrid storage systems |
| US10346054B1 (en) * | 2017-07-13 | 2019-07-09 | EMC IP Holding Company LLC | Policy driven IO scheduler resilient to storage subsystem performance |
| US10719245B1 (en) | 2017-07-13 | 2020-07-21 | EMC IP Holding Company LLC | Transactional IO scheduler for storage systems with multiple storage devices |
| US10599340B1 (en) | 2017-07-13 | 2020-03-24 | EMC IP Holding LLC | Policy driven IO scheduler to improve read IO performance in hybrid storage systems |
| US10509739B1 (en) | 2017-07-13 | 2019-12-17 | EMC IP Holding Company LLC | Optimized read IO for mix read/write scenario by chunking write IOs |
| EP3562094B1 (en) * | 2018-04-23 | 2020-12-02 | TTTech Computertechnik AG | Network device and method for scalable data integrity checking |
| US11038671B2 (en) | 2018-09-04 | 2021-06-15 | International Business Machines Corporation | Shared key processing by a storage device to secure links |
| US11038698B2 (en) | 2018-09-04 | 2021-06-15 | International Business Machines Corporation | Securing a path at a selected node |
| US10833860B2 (en) | 2018-09-04 | 2020-11-10 | International Business Machines Corporation | Shared key processing by a host to secure links |
| US10833856B2 (en) | 2018-09-04 | 2020-11-10 | International Business Machines Corporation | Automatic re-authentication of links using a key server |
| US11088829B2 (en) | 2018-09-04 | 2021-08-10 | International Business Machines Corporation | Securing a path at a node |
| US11025413B2 (en) | 2018-09-04 | 2021-06-01 | International Business Machines Corporation | Securing a storage network using key server authentication |
| US11991273B2 (en) | 2018-09-04 | 2024-05-21 | International Business Machines Corporation | Storage device key management for encrypted host data |
| US10764291B2 (en) | 2018-09-04 | 2020-09-01 | International Business Machines Corporation | Controlling access between nodes by a key server |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4652990A (en) * | 1983-10-27 | 1987-03-24 | Remote Systems, Inc. | Protected software access control apparatus and method |
| US5560008A (en) * | 1989-05-15 | 1996-09-24 | International Business Machines Corporation | Remote authentication and authorization in a distributed data processing system |
| US5276735A (en) * | 1992-04-17 | 1994-01-04 | Secure Computing Corporation | Data enclave and trusted path system |
| US5235642A (en) | 1992-07-21 | 1993-08-10 | Digital Equipment Corporation | Access control subsystem and method for distributed computer system using locally cached authentication credentials |
| AU1091295A (en) | 1993-11-09 | 1995-05-29 | Kenneth H. Conner | First come memory accessing without conflict |
| JPH07325785A (ja) * | 1994-06-02 | 1995-12-12 | Fujitsu Ltd | ネットワーク利用者認証方法および暗号化通信方法とアプリケーションクライアントおよびサーバ |
| JPH08305662A (ja) * | 1995-05-02 | 1996-11-22 | Fujitsu Ltd | クライアント認証システムおよび方法 |
| US5941947A (en) * | 1995-08-18 | 1999-08-24 | Microsoft Corporation | System and method for controlling access to data entities in a computer network |
| US5930786A (en) * | 1995-10-20 | 1999-07-27 | Ncr Corporation | Method and apparatus for providing shared data to a requesting client |
| US5864843A (en) * | 1995-10-20 | 1999-01-26 | Ncr Corporation | Method and apparatus for extending a database management system to operate with diverse object servers |
| US5771291A (en) * | 1995-12-11 | 1998-06-23 | Newton; Farrell | User identification and authentication system using ultra long identification keys and ultra large databases of identification keys for secure remote terminal access to a host computer |
| US5991876A (en) * | 1996-04-01 | 1999-11-23 | Copyright Clearance Center, Inc. | Electronic rights management and authorization system |
| JP2982702B2 (ja) * | 1996-08-30 | 1999-11-29 | 日本電気株式会社 | ディスク装置 |
| US6026293A (en) * | 1996-09-05 | 2000-02-15 | Ericsson Inc. | System for preventing electronic memory tampering |
| US6075860A (en) * | 1997-02-19 | 2000-06-13 | 3Com Corporation | Apparatus and method for authentication and encryption of a remote terminal over a wireless link |
| JP3228182B2 (ja) * | 1997-05-29 | 2001-11-12 | 株式会社日立製作所 | 記憶システム及び記憶システムへのアクセス方法 |
| US6272631B1 (en) * | 1997-06-30 | 2001-08-07 | Microsoft Corporation | Protected storage of core data secrets |
| US6061794A (en) * | 1997-09-30 | 2000-05-09 | Compaq Computer Corp. | System and method for performing secure device communications in a peer-to-peer bus architecture |
-
1998
- 1998-06-30 US US09/108,075 patent/US6263445B1/en not_active Expired - Lifetime
-
1999
- 1999-06-16 WO PCT/US1999/013522 patent/WO2000000881A1/en not_active Application Discontinuation
- 1999-06-16 JP JP2000557189A patent/JP3745961B2/ja not_active Expired - Lifetime
- 1999-06-16 DE DE19983352T patent/DE19983352T1/de not_active Ceased
- 1999-06-16 KR KR1020007015072A patent/KR20010053328A/ko not_active Application Discontinuation
- 1999-06-16 GB GB0100446A patent/GB2354617B/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| GB2354617B (en) | 2003-04-16 |
| JP2002519781A (ja) | 2002-07-02 |
| US6263445B1 (en) | 2001-07-17 |
| WO2000000881A1 (en) | 2000-01-06 |
| DE19983352T1 (de) | 2001-06-13 |
| KR20010053328A (ko) | 2001-06-25 |
| GB2354617A (en) | 2001-03-28 |
| GB0100446D0 (en) | 2001-02-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3745961B2 (ja) | ネットワークと接続している記憶システムへの接続を認証するための方法および装置 | |
| JP3779154B2 (ja) | ネットワークに接続された記憶システムのデータ管理を提供する方法および装置 | |
| US7917751B2 (en) | Distributed filesystem network security extension | |
| US7165152B2 (en) | Method and apparatus for managing access to storage devices in a storage system with access control | |
| JP4311637B2 (ja) | 記憶制御装置 | |
| US7260636B2 (en) | Method and apparatus for preventing unauthorized access by a network device | |
| US6665714B1 (en) | Method and apparatus for determining an identity of a network device | |
| US7424607B2 (en) | Authentication device and computer system | |
| US6845395B1 (en) | Method and apparatus for identifying network devices on a storage network | |
| US10360237B2 (en) | Secure data replication | |
| US20080022120A1 (en) | System, Method and Computer Program Product for Secure Access Control to a Storage Device | |
| US20070079092A1 (en) | System and method for limiting access to a storage device | |
| JP3744248B2 (ja) | ファイバチャネル接続ストレージサブシステム及びそのアクセス方法 | |
| WO2003077471A1 (en) | System and method for authenticating components of a storage network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040730 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20041029 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20041108 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050128 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050603 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050902 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051004 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051011 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051101 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051118 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3745961 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091202 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101202 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111202 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111202 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121202 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131202 Year of fee payment: 8 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |