JP4032670B2 - ホストコンピュータの認証を行う記憶装置システム - Google Patents
ホストコンピュータの認証を行う記憶装置システム Download PDFInfo
- Publication number
- JP4032670B2 JP4032670B2 JP2001187481A JP2001187481A JP4032670B2 JP 4032670 B2 JP4032670 B2 JP 4032670B2 JP 2001187481 A JP2001187481 A JP 2001187481A JP 2001187481 A JP2001187481 A JP 2001187481A JP 4032670 B2 JP4032670 B2 JP 4032670B2
- Authority
- JP
- Japan
- Prior art keywords
- computer
- access
- storage device
- host
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
Description
【0001】
【発明の属する技術分野】
本発明は、情報処理システムにおける記憶装置システムの共有方法、特に、ファイバチャネルなどで記憶装置システムと複数の計算機が相互に接続された計算機システムにおいて、アクセス制御に基づいて記憶装置システムを共有する方法に関する。
【0002】
【従来の技術】
複数のホスト計算機(以下「ホスト」)間で、データ共有又はファイル転送などのデータのやり取りを行う場合、イーサネットなどのネットワークインタフェースを用いることが一般的である。しかし、複数のホストから共通にアクセスできる記憶装置システムを用いる方法もある。
【0003】
例えば、ホストの中の、いわゆる汎用計算機(以下「メインフレームホスト」)で作成されたファイルを、UNIXなどのいわゆるオープンシステムと呼ばれる計算機(以下「オープンホスト」)で使用することで、複数のホスト間でデータのやり取りをすることが考えられる。具体的には、メインフレームホスト及びオープンホストの両方を接続するための複数のインターフェースを有する記憶装置システムを用いて、複数のホストが直接記憶装置システムにアクセスすることによってデータを共有する方法がある。この方法については、特開平09-258908に開示されている。
【0004】
一方、複数のホスト及び複数の記憶装置システムを、高速なデータ転送が可能なファイバチャネル(Fibre Channel)を用いて接続して、ストレージエリアネットワーク(SAN)を構成する技術がある。
【0005】
SANを構成しているすべてのホストは、同じくSANを構成している1つの記憶装置システムにアクセスすることが可能である。したがって、特開平09-258908に開示された複数のインタフェースを持つ記憶装置システムを用いなくても、複数のホストが記憶装置システムを共有することが容易になる。
【0006】
しかし、SANを構成する全てのホストがSANを構成する記憶装置システムに自由にアクセスできるので、SANを構成するホストから記憶装置システムへアクセスする際のセキュリティが確保されないという問題が生じる。
【0007】
上記の問題を解決するために、SANにおいて、任意のホストから記憶装置システムにアクセスする際のセキュリティを確保する方法が考案されている。
【0008】
具体的には、あらかじめ記憶装置システム又は当該記憶装置システム内の論理ユニット(LU)へのアクセスが許されるホストを識別する識別子を当該記憶装置システムに登録しておく。そして、ホストからアクセスされた記憶装置システムが、登録された識別子に基づいてそのアクセスの許可及び拒否を判断するという方法がある。この技術については、特開平10-333839に開示されている。
【0009】
【発明が解決しようとする課題】
従来技術を使用することで、各ホストがアクセスできるLUを制限することが出来る。しかし、実際の計算機システムにおいては、より細かいレベル、例えば、ファイルレベルでのアクセス制限が要求される場合がある。例えば、あるデータが格納されたファイルに対しては特定のユーザしかアクセスすることが出来ない、といった制限を行うことが必要となる場合がある。この場合、特開平10-333839に開示されているLUレベルでのアクセス制限では、要求されたレベルのアクセス制限を行うことが出来ない。
【0010】
本発明の目的は、SAN環境下での記憶装置システムを介したデータ共有方法において、よりきめ細かく、かつ安全性の高いアクセス制限方法を提供することにある。
【0011】
【課題を解決するための手段】
上記目的を達成するための、本発明におけるシステムを以下に説明する。本発明における計算機システムは、複数のホストコンピュータと記憶装置システムからなる。記憶装置システムは1つないし複数のディスク(デバイス)を有し、ファイバチャネルスイッチを介して各ホストコンピュータに接続される。
本発明における計算機システムでは、記憶装置システムは各ホストコンピュータからの無制限なアクセスを原則として拒否する。そして、アクセスが必要なホストコンピュータは、記憶装置システムに対してアクセスを許可するように設定を行う。アクセス許可又は拒否の設定は、複数のディスクの任意の領域ごとに可能である。
【0012】
この計算機システムでは、複数のホストコンピュータのうち1つのホスト計算機が、記憶装置システムに対してアクセス許可の設定・解除の指示を行うための手段を有し、記憶装置サブシステム内のデータにアクセスしたいホストコンピュータはアクセスの際に、この指示を行うホスト計算機に対してアクセス許可の設定を申し込む。指示を行うホスト計算機が記憶装置システムに指示を出す際、パスワードによる認証を行う。指示を行う計算機は記憶装置サブシステムに対し、アクセス要求のあった計算機がディスク上のデータにアクセスできるよう、当該領域のアクセスを許可する指示を発行する。しかるのちアクセスを要求している計算機は、ディスク上のデータにアクセスし、アクセスが完了した時点で、指示を行う計算機に対してアクセス許可解除を申し込む。指示を行う計算機は記憶装置システムに対し、当該領域のアクセス許可を解除するよう指示し、記憶装置システムは当該領域のアクセス許可を解除する。
【0013】
【発明の実施の形態】
図1は、本発明を適用した計算機システムの構成を示す図である。
【0014】
計算機システムは、ホスト1、ホスト2、ホスト3、ホスト1に接続される記憶装置システム4、ホスト1、ホスト2、ホスト3及び記憶装置システム4とを接続するファイバチャネルスイッチ5、ホスト1、ホスト2及びホスト3とを相互に接続するネットワーク6から構成される。
【0015】
ホスト1、ホスト2及びホスト3は、各々ファイバチャネルスイッチ5と接続されるポート12、22、及び32を有する。
【0016】
ホスト1には、ファイルサーバプログラム112、オペレーティングシステム(OS)113、及びディスク管理プログラム114が格納されている。ホスト2には、アプリケーション211、クライアントプログラム212、及びOS213が格納されている。ホスト3には、アプリケーション311、クライアントプログラム312、及びOS313が格納されている。
【0017】
記憶装置システム4は、ディスク41、ディスクコントローラ42、及びホストと接続されるポート43から構成される。ここではディスク41は物理的に1つのディスク装置であるとするが、複数のディスク装置であっても構わない。また、ディスクアレイのように、複数のディスク装置をまとめて、ホスト1、ホスト2、ホスト3などに対して1つないし複数の論理ディスク装置に見せかけたものであってもよい。
【0018】
ディスクコントローラ42は、プロセッサ422、キャッシュメモリ423、及び制御メモリ421を有する。プロセッサ422は、ホスト1等からのアクセスの受付、ディスク41へのデータの読み書き、及びディスク41へのデータ読み書きの際のデータ変換などの制御を行う。
【0019】
キャッシュメモリ423は、ホスト1等からのアクセスの処理速度を高めるため、ディスク41から頻繁に読み出されるデータを格納したり、又はホスト1等から記憶装置システム4に転送されるライトデータを一時的に格納したりする。制御メモリ421は、プロセッサ422が実行するプログラム、及びファイバチャネルスイッチ5を介して接続されるホスト1などの情報が記憶される。
【0020】
ファイルサーバプログラム112、クライアントプログラム212、及び312の役割を説明する。
【0021】
本実施形態における計算機システムでは、ホスト2及びホスト3上で実行されるアプリケーション211及び311は、各々クライアントプログラム212及び312を介してディスク41に格納されたファイルを共通にアクセスする。つまり、クライアントプログラム212及び312はファイルシステムの役割をする。尚、ホストによっては、クライアントプログラム212等がOS213等に組み込まれている構成もあるが、その場合にも本発明を適用できる。
【0022】
OS113、213、及び313は、同じ種類のOSであっても異なる種類のOSでも構わない。ファイルサーバプログラム112は、ディスク41に格納されたファイルを統合的に管理する。つまり、ディスク41に格納されたファイルは、すべてファイルサーバプログラム112によってその格納位置等が管理されている。
【0023】
したがって、ディスク41上のファイルへアクセスしようとするクライアントプログラム212は、アクセスを行う前に、ネットワーク経由でファイルサーバプログラム112にアクセスし、アクセス対象となるファイルがディスク41上のどの物理位置に存在するかを問い合わせる。
【0024】
問い合わせを受けたファイルサーバプログラム112は、アクセス対象となるファイルの物理位置をクライアントプログラム212に通知する。クライアントプログラム212は、通知された情報を元に、ポート22経由で記憶装置システム4のディスク41に格納されたファイルに直接アクセスする。
【0025】
図2は、ホスト1、ホスト2、及びホスト3が、記憶装置システム4にアクセスするときの論理的なイメージを示す図である。
【0026】
アクセス設定手段426、及び認証手段427の実体は、各々記憶装置システム4内のプロセッサ422で実行されるプログラムである。アプリケーション211及び311は、原則としてクライアントプログラム212及び312を介して記憶装置システム4にアクセスする。
【0027】
各々のアプリケーションプログラム211及び311が、原則通りにクライアントプログラム212等を介して動作すれば、記憶装置システム4への不正アクセスは発生しない。しかし、クライアントプログラム212等を介さず、直接記憶装置システム4にアクセスするようなプログラムを作ることも可能である。そういったプログラムがホスト2等で実行されると、そのプログラムが記憶装置システム4に不正にアクセスする可能性がある。そのため、記憶装置システム4は、認証手段427を用いてホスト2等からのアクセスを制限する。
【0028】
図3は、記憶装置システム4の制御メモリ421に格納されるアクセスリスト500の内容を示す図である。アクセスリスト500には、ファイルサーバプログラム112が記憶装置システム4に送信する情報が登録される。
【0029】
本実施形態のように、複数のホスト及び記憶装置システムがファイバチャネルスイッチで結合されるSANでは、各ホスト及び各記憶装置システムに、ポートIDと呼ばれる、SAN内で一意な識別子が与えられる。ホスト1等から記憶装置システム4へ送られる各コマンドには、送信元のホストに与えられたポートIDが含まれている。アクセスリスト500のポートIDエントリ501には、ホスト1等から送信されたポートIDが格納される。
【0030】
したがって、記憶装置システム4は、ホストから送られたコマンドに含まれるポートIDと、ポートID501に登録されたポートIDを比較することで、当該コマンドがどのホストから発行されたか識別できる。
【0031】
開始ブロック502及び終了ブロック503エントリには、これらのエントリに対応するポートIDエントリ501に格納されているポートIDに対応するホストがアクセス可能なディスク41の記憶領域の先頭位置を示すLBA(Logical Block Address)及び終了位置を示すLBAを示す情報が格納される。ポートID501で示されるポートIDを有するホストからのライトコマンドで指定されるLBAが、ポートID501に対応する開始ブロック502に格納されたLBAから終了ブロック503エントリに格納されたLBAの範囲内であれば、記憶装置システム4は、そのホストからのアクセスを許可する。
【0032】
逆に、アクセスリスト500にポートIDが登録されていない場合、及びライトコマンドで指定されるLBAが開始ブロック502及び終了ブロック503に登録されたLBAの範囲内にない場合には、記憶装置システム4は、ホストからの一切のアクセスを拒絶する。
【0033】
つまり、アクセスリスト500に何も記録されていない初期状態では、すべてのホストからのアクセスが拒絶される。したがって、ホスト1等は、記憶装置システム4の使用を開始する前に、ホスト1のディスク管理プログラム114を用いて、アクセスリスト500へ自己のポートIDを登録しなければならない。
【0034】
ホスト2等からポートIDの登録の指示を受けたディスク管理プログラム114は、記憶装置システム4に対してパスワードを送る。記憶装置システム4は、パスワードの認証を行い、パスワードが正しければ、ディスク管理プログラム114のアクセスを許可する。アクセスが許可されたディスク管理プログラム114は、アクセスを許可したいホストのポートID及びディスク41の記憶範囲を示すLBAの情報を送信する。記憶装置システム4は、送信された情報をアクセスリスト500に登録する。
【0035】
パスワードは、記憶装置システム4が工場から出荷される時に事前に設定されているもの、あるいは記憶装置システム4に接続されている又は装備されている保守端末などから自由に設定されるものが使用される。
【0036】
図4は、ファイルサーバプログラム112及びクライアントプログラム212の処理の流れを示すフロー図である。
【0037】
アプリケーション211から記憶装置システム4に格納されたファイルへのアクセス要求を受けたクライアントプログラム212は、ホスト1のファイルサーバプログラム112に、記憶装置システム4へのアクセスを要求する。その際、アクセスの対象となるファイルのファイル名やアクセスの種類(リード、ライトなど)のほか、ユーザ名やホスト2のポートIDなどの認証に必要となる情報をファイルサーバプログラム112に送信する(2001C)。
【0038】
クライアントプログラム212からのアクセス要求を受信したホスト1のファイルサーバプログラム112は、記憶装置システム4内のディスク41に格納されたファイル管理情報を調べ、アクセスの対象となるファイルの書き込み位置(LBA)などの属性情報を読み出す(2002S)。ここで、ファイル管理情報とは、ディスク41に格納されているファイルの物理位置を示す情報、ファイルの所有者などの属性をしめす情報である。
【0039】
尚、ホスト1が、ファイルサーバプログラム112を用いてディスク41に格納されたファイル管理情報を調べる際も、アクセスが制限される。したがって、ホスト1が、ディスク41に格納されたファイル管理情報を読み出せるように、事前にディスク管理プログラム114を用いて、アクセスリスト500に、ホスト1のポートID及びファイル管理情報が格納された記憶領域を示すLBA範囲を登録しておく必要がある。
【0040】
続いて、ホスト1は、読み出したファイル管理情報から、クライアントから要求の有ったファイルのアクセスを許可するか判定し、その結果をクライアントに通知する(2003S)。例えば、要求の有ったファイルの属性情報が「リードのみ可能」の場合に、クライアントからリード要求があった場合には、このアクセスを許可しても良いが、ライト要求があった場合には、そのアクセスを許可してはいけない。クライアントではこの通知を受け、アクセスが許可されたか否かを判定する(2002C)。アクセスが許可された場合はステップ2003Cに進み、許可されなかった場合には、その処理を終了する。
【0041】
次にホスト1は、ディスク管理プログラム114を用いて、ホスト2のポートID、ホスト2のアクセスが許されるアクセス対象ファイルの格納されている位置を示す、開始LBA及び終了LBAを記憶装置システム4に送信し、アクセスの許可を求める(2004S)。記憶装置システム4内のアクセス設定手段426は、送信されたポートID、アクセスが許可されるディスクの開始LBA、及び終了LBAをアクセスリスト500に登録する。登録が終了したら、ホスト1へ登録完了報告を行う。アクセス設定手段426の行う具体的な処理は、このあとで説明する。
【0042】
記憶装置システム4から登録完了報告を受け取ったホスト1は、クライアントプログラム212を用いて、ホスト2にアクセス対象ファイルの位置情報を送信する。アクセス対象ファイルの位置情報とは、具体的には、記憶装置システム4に送信したLBA範囲を示す情報である(2004S)。
【0043】
アクセス対象ファイルの位置情報を受信したホスト2のクライアントプログラム212は、実際に記憶装置システム4にアクセスし、データのリードないしライトを行う(2003C、2004C)。データアクセスが終了すると、ホスト2は、ホスト1に対して、記憶装置システム4へのアクセス処理が終了したことを通知する。これでクライアントプログラム212の処理は終了する(2005C)。
【0044】
アクセス処理の終了の通知を受け取ったホスト1は、ファイルサーバプログラム112及びディスク管理プログラム114を使用して、記憶装置システム4にホスト2のアクセス終了を指示する(2005S)。具体的には、記憶装置システム4がアクセス設定手段426を用いてアクセスリスト500にあるホスト2に関するエントリを削除する。
【0045】
その後、クライアントプログラム212の処理がライト処理であった場合には、ホスト1は、ディスク管理プログラム114を使用してディスク41上のファイル管理情報を書き換え(2007S、2008S)、処理を終了する。リード処理であった場合にはそのまま処理を終了する。
【0046】
図5は、ホスト1のディスク管理プログラム114が記憶装置システム4に対し、ディスク41の特定領域のアクセスを許可させる、あるいはすでにアクセスが許可されている領域のアクセスを禁止させる時の、記憶装置システム4内のアクセス設定手段426の処理を示すフロー図である。
【0047】
ホスト1のディスク管理プログラム114は、パスワード、記憶装置システム4へのアクセスを許可させたいホストのポートID、アクセスする領域の開始LBA、及び終了LBAを含んだコマンドを記憶装置サブシステム4に送信する。ポートIDやLBA情報等を記憶装置システム4に送信するためのコマンドは、記憶装置システム4だけに固有なコマンドである。
【0048】
記憶装置システム4は、ポートID等が含まれているコマンドをホスト1より受け取る(1001)。その後、記憶装置システム4内のアクセス設定手段426は、送られてきたコマンド内のパスワードが正当なパスワードかチェックする(1002)。パスワードが不正であると判断した場合は、アクセス設定手段426はホスト1にエラーを送信して処理を終了する(1006)。
【0049】
パスワードが正当であると判断された場合、アクセス設定手段426は、送られてきたコマンドがアクセス許可を求めるものか、又はアクセス禁止を求めるものかを判定する(1003)。アクセス許可を求めるコマンドである場合、アクセス設定手段426は、送られてきたコマンドに含まれるポートID、開始LBA、及び終了LBAの情報をアクセスリスト500に登録する(1004)。アクセス禁止を求めるコマンドである場合、アクセス設定手段426は、送られてきたコマンドに含まれるポートID、開始LBA及び終了LBAの組に相当する情報をアクセスリスト500より削除する(1005)。
【0050】
図6は、ホスト1、2、及び3が記憶装置システム4に対してリード・ライト等のアクセスを行った際の記憶装置システム4の処理を示すフロー図である。
【0051】
記憶装置システム4がホスト1等からコマンドを受け取ると、記憶装置システム4内の認証手段427は受け取ったコマンドに含まれるポートID、アクセス対象のLBAを確認する(1101)。続いて認証手段427は、確認したポートID、及びLBA範囲の組がアクセスリスト500に登録されているポートIDと一致するか否か及びLBA範囲が登録されているLBA範囲内に収まっているか否かをチェックする(1102)。ポートIDがアクセスリスト500に登録されており、かつLBA範囲が、アクセスリスト500に登録されているLBA範囲の範囲内である場合には、認証手段427はこのアクセスを許可し、記憶装置システム4はホスト1等が要求するアクセス処理を実行する(1103)。ポートIDが登録されていない場合、又はポートIDは登録されているが、LBA範囲が登録されたLBA範囲外である場合には、ホスト1等にエラーを送信して処理を終了する(1104)。
【0052】
以上説明した処理により、複数のホスト及び記憶装置システムが相互接続されるSAN環境において、従来のホスト計算機レベルよりもきめ細かなアクセスを実現できる。また、本実施例の図4では、1回のクライアントからのアクセス要求に応じて、ファイル全体のLBA範囲のアクセス許可を行っているが、必ずしもファイル全体のアクセス許可を実施する必要はなく、クライアントが1回にアクセスするときに必要な領域だけアクセス許可する方法をとることも出来る。
【0053】
また、本実施例では、ファイバチャネルで複数のホストおよび記憶装置が相互接続された環境で説明してきたが、複数のホスト、記憶装置が相互に接続される環境であれば本発明は適用できる。例えば、最近ではSCSI over IPプロトコルをサポートし、イーサネットに直接接続される記憶装置が出現しつつあり、今後複数のホストおよび記憶装置がイーサネットで相互に接続される環境も普及する可能性がある。この場合にも、本発明の技術を用いることで、きめ細かなアクセス制限を実現することが出来る。
【0054】
【発明の効果】
本発明の計算機システムによれば、複数のホストコンピュータが共有ストレージに接続される環境において、アクセスを制限することができ、不用意なアクセス、情報の盗難などを防ぐことができる。
【図面の簡単な説明】
【図1】本発明が適用された計算機システムの構成例を示す図である。
【図2】本発明における計算機システムの各ホストと記憶装置システムとの論理的な接続関係を示す図である。
【図3】アクセスリスト500の内容を示す図である。
【図4】ファイルサーバプログラム112と、クライアントプログラム212または312の処理の流れを示すフロー図である。
【図5】記憶装置システム4にアクセス許可情報を登録する際の処理の流れを示す図である。
【図6】記憶装置システム4がリード・ライトアクセスを受けたときの処理の流れを示すフロー図である。
【符号の説明】
1、2、3・・・ホト、4・・・記憶装置システム、5・・・ファイバチャネルスイッチ、6・・・ネットワーク、11・・・送信プログラム、12・・・ポート、21・・・受信プログラム、31・・・アプリケーション、22、32、43、51・・・ポート、41・・・ディスク、42・・・ディスクコントローラ、421・・・制御メモリ、422・・・プロセッサ、423・・・キャッシュメモリ、426・・・アクセス設定手段、427・・・認証手段、500・・・アクセステーブル。
【発明の属する技術分野】
本発明は、情報処理システムにおける記憶装置システムの共有方法、特に、ファイバチャネルなどで記憶装置システムと複数の計算機が相互に接続された計算機システムにおいて、アクセス制御に基づいて記憶装置システムを共有する方法に関する。
【0002】
【従来の技術】
複数のホスト計算機(以下「ホスト」)間で、データ共有又はファイル転送などのデータのやり取りを行う場合、イーサネットなどのネットワークインタフェースを用いることが一般的である。しかし、複数のホストから共通にアクセスできる記憶装置システムを用いる方法もある。
【0003】
例えば、ホストの中の、いわゆる汎用計算機(以下「メインフレームホスト」)で作成されたファイルを、UNIXなどのいわゆるオープンシステムと呼ばれる計算機(以下「オープンホスト」)で使用することで、複数のホスト間でデータのやり取りをすることが考えられる。具体的には、メインフレームホスト及びオープンホストの両方を接続するための複数のインターフェースを有する記憶装置システムを用いて、複数のホストが直接記憶装置システムにアクセスすることによってデータを共有する方法がある。この方法については、特開平09-258908に開示されている。
【0004】
一方、複数のホスト及び複数の記憶装置システムを、高速なデータ転送が可能なファイバチャネル(Fibre Channel)を用いて接続して、ストレージエリアネットワーク(SAN)を構成する技術がある。
【0005】
SANを構成しているすべてのホストは、同じくSANを構成している1つの記憶装置システムにアクセスすることが可能である。したがって、特開平09-258908に開示された複数のインタフェースを持つ記憶装置システムを用いなくても、複数のホストが記憶装置システムを共有することが容易になる。
【0006】
しかし、SANを構成する全てのホストがSANを構成する記憶装置システムに自由にアクセスできるので、SANを構成するホストから記憶装置システムへアクセスする際のセキュリティが確保されないという問題が生じる。
【0007】
上記の問題を解決するために、SANにおいて、任意のホストから記憶装置システムにアクセスする際のセキュリティを確保する方法が考案されている。
【0008】
具体的には、あらかじめ記憶装置システム又は当該記憶装置システム内の論理ユニット(LU)へのアクセスが許されるホストを識別する識別子を当該記憶装置システムに登録しておく。そして、ホストからアクセスされた記憶装置システムが、登録された識別子に基づいてそのアクセスの許可及び拒否を判断するという方法がある。この技術については、特開平10-333839に開示されている。
【0009】
【発明が解決しようとする課題】
従来技術を使用することで、各ホストがアクセスできるLUを制限することが出来る。しかし、実際の計算機システムにおいては、より細かいレベル、例えば、ファイルレベルでのアクセス制限が要求される場合がある。例えば、あるデータが格納されたファイルに対しては特定のユーザしかアクセスすることが出来ない、といった制限を行うことが必要となる場合がある。この場合、特開平10-333839に開示されているLUレベルでのアクセス制限では、要求されたレベルのアクセス制限を行うことが出来ない。
【0010】
本発明の目的は、SAN環境下での記憶装置システムを介したデータ共有方法において、よりきめ細かく、かつ安全性の高いアクセス制限方法を提供することにある。
【0011】
【課題を解決するための手段】
上記目的を達成するための、本発明におけるシステムを以下に説明する。本発明における計算機システムは、複数のホストコンピュータと記憶装置システムからなる。記憶装置システムは1つないし複数のディスク(デバイス)を有し、ファイバチャネルスイッチを介して各ホストコンピュータに接続される。
本発明における計算機システムでは、記憶装置システムは各ホストコンピュータからの無制限なアクセスを原則として拒否する。そして、アクセスが必要なホストコンピュータは、記憶装置システムに対してアクセスを許可するように設定を行う。アクセス許可又は拒否の設定は、複数のディスクの任意の領域ごとに可能である。
【0012】
この計算機システムでは、複数のホストコンピュータのうち1つのホスト計算機が、記憶装置システムに対してアクセス許可の設定・解除の指示を行うための手段を有し、記憶装置サブシステム内のデータにアクセスしたいホストコンピュータはアクセスの際に、この指示を行うホスト計算機に対してアクセス許可の設定を申し込む。指示を行うホスト計算機が記憶装置システムに指示を出す際、パスワードによる認証を行う。指示を行う計算機は記憶装置サブシステムに対し、アクセス要求のあった計算機がディスク上のデータにアクセスできるよう、当該領域のアクセスを許可する指示を発行する。しかるのちアクセスを要求している計算機は、ディスク上のデータにアクセスし、アクセスが完了した時点で、指示を行う計算機に対してアクセス許可解除を申し込む。指示を行う計算機は記憶装置システムに対し、当該領域のアクセス許可を解除するよう指示し、記憶装置システムは当該領域のアクセス許可を解除する。
【0013】
【発明の実施の形態】
図1は、本発明を適用した計算機システムの構成を示す図である。
【0014】
計算機システムは、ホスト1、ホスト2、ホスト3、ホスト1に接続される記憶装置システム4、ホスト1、ホスト2、ホスト3及び記憶装置システム4とを接続するファイバチャネルスイッチ5、ホスト1、ホスト2及びホスト3とを相互に接続するネットワーク6から構成される。
【0015】
ホスト1、ホスト2及びホスト3は、各々ファイバチャネルスイッチ5と接続されるポート12、22、及び32を有する。
【0016】
ホスト1には、ファイルサーバプログラム112、オペレーティングシステム(OS)113、及びディスク管理プログラム114が格納されている。ホスト2には、アプリケーション211、クライアントプログラム212、及びOS213が格納されている。ホスト3には、アプリケーション311、クライアントプログラム312、及びOS313が格納されている。
【0017】
記憶装置システム4は、ディスク41、ディスクコントローラ42、及びホストと接続されるポート43から構成される。ここではディスク41は物理的に1つのディスク装置であるとするが、複数のディスク装置であっても構わない。また、ディスクアレイのように、複数のディスク装置をまとめて、ホスト1、ホスト2、ホスト3などに対して1つないし複数の論理ディスク装置に見せかけたものであってもよい。
【0018】
ディスクコントローラ42は、プロセッサ422、キャッシュメモリ423、及び制御メモリ421を有する。プロセッサ422は、ホスト1等からのアクセスの受付、ディスク41へのデータの読み書き、及びディスク41へのデータ読み書きの際のデータ変換などの制御を行う。
【0019】
キャッシュメモリ423は、ホスト1等からのアクセスの処理速度を高めるため、ディスク41から頻繁に読み出されるデータを格納したり、又はホスト1等から記憶装置システム4に転送されるライトデータを一時的に格納したりする。制御メモリ421は、プロセッサ422が実行するプログラム、及びファイバチャネルスイッチ5を介して接続されるホスト1などの情報が記憶される。
【0020】
ファイルサーバプログラム112、クライアントプログラム212、及び312の役割を説明する。
【0021】
本実施形態における計算機システムでは、ホスト2及びホスト3上で実行されるアプリケーション211及び311は、各々クライアントプログラム212及び312を介してディスク41に格納されたファイルを共通にアクセスする。つまり、クライアントプログラム212及び312はファイルシステムの役割をする。尚、ホストによっては、クライアントプログラム212等がOS213等に組み込まれている構成もあるが、その場合にも本発明を適用できる。
【0022】
OS113、213、及び313は、同じ種類のOSであっても異なる種類のOSでも構わない。ファイルサーバプログラム112は、ディスク41に格納されたファイルを統合的に管理する。つまり、ディスク41に格納されたファイルは、すべてファイルサーバプログラム112によってその格納位置等が管理されている。
【0023】
したがって、ディスク41上のファイルへアクセスしようとするクライアントプログラム212は、アクセスを行う前に、ネットワーク経由でファイルサーバプログラム112にアクセスし、アクセス対象となるファイルがディスク41上のどの物理位置に存在するかを問い合わせる。
【0024】
問い合わせを受けたファイルサーバプログラム112は、アクセス対象となるファイルの物理位置をクライアントプログラム212に通知する。クライアントプログラム212は、通知された情報を元に、ポート22経由で記憶装置システム4のディスク41に格納されたファイルに直接アクセスする。
【0025】
図2は、ホスト1、ホスト2、及びホスト3が、記憶装置システム4にアクセスするときの論理的なイメージを示す図である。
【0026】
アクセス設定手段426、及び認証手段427の実体は、各々記憶装置システム4内のプロセッサ422で実行されるプログラムである。アプリケーション211及び311は、原則としてクライアントプログラム212及び312を介して記憶装置システム4にアクセスする。
【0027】
各々のアプリケーションプログラム211及び311が、原則通りにクライアントプログラム212等を介して動作すれば、記憶装置システム4への不正アクセスは発生しない。しかし、クライアントプログラム212等を介さず、直接記憶装置システム4にアクセスするようなプログラムを作ることも可能である。そういったプログラムがホスト2等で実行されると、そのプログラムが記憶装置システム4に不正にアクセスする可能性がある。そのため、記憶装置システム4は、認証手段427を用いてホスト2等からのアクセスを制限する。
【0028】
図3は、記憶装置システム4の制御メモリ421に格納されるアクセスリスト500の内容を示す図である。アクセスリスト500には、ファイルサーバプログラム112が記憶装置システム4に送信する情報が登録される。
【0029】
本実施形態のように、複数のホスト及び記憶装置システムがファイバチャネルスイッチで結合されるSANでは、各ホスト及び各記憶装置システムに、ポートIDと呼ばれる、SAN内で一意な識別子が与えられる。ホスト1等から記憶装置システム4へ送られる各コマンドには、送信元のホストに与えられたポートIDが含まれている。アクセスリスト500のポートIDエントリ501には、ホスト1等から送信されたポートIDが格納される。
【0030】
したがって、記憶装置システム4は、ホストから送られたコマンドに含まれるポートIDと、ポートID501に登録されたポートIDを比較することで、当該コマンドがどのホストから発行されたか識別できる。
【0031】
開始ブロック502及び終了ブロック503エントリには、これらのエントリに対応するポートIDエントリ501に格納されているポートIDに対応するホストがアクセス可能なディスク41の記憶領域の先頭位置を示すLBA(Logical Block Address)及び終了位置を示すLBAを示す情報が格納される。ポートID501で示されるポートIDを有するホストからのライトコマンドで指定されるLBAが、ポートID501に対応する開始ブロック502に格納されたLBAから終了ブロック503エントリに格納されたLBAの範囲内であれば、記憶装置システム4は、そのホストからのアクセスを許可する。
【0032】
逆に、アクセスリスト500にポートIDが登録されていない場合、及びライトコマンドで指定されるLBAが開始ブロック502及び終了ブロック503に登録されたLBAの範囲内にない場合には、記憶装置システム4は、ホストからの一切のアクセスを拒絶する。
【0033】
つまり、アクセスリスト500に何も記録されていない初期状態では、すべてのホストからのアクセスが拒絶される。したがって、ホスト1等は、記憶装置システム4の使用を開始する前に、ホスト1のディスク管理プログラム114を用いて、アクセスリスト500へ自己のポートIDを登録しなければならない。
【0034】
ホスト2等からポートIDの登録の指示を受けたディスク管理プログラム114は、記憶装置システム4に対してパスワードを送る。記憶装置システム4は、パスワードの認証を行い、パスワードが正しければ、ディスク管理プログラム114のアクセスを許可する。アクセスが許可されたディスク管理プログラム114は、アクセスを許可したいホストのポートID及びディスク41の記憶範囲を示すLBAの情報を送信する。記憶装置システム4は、送信された情報をアクセスリスト500に登録する。
【0035】
パスワードは、記憶装置システム4が工場から出荷される時に事前に設定されているもの、あるいは記憶装置システム4に接続されている又は装備されている保守端末などから自由に設定されるものが使用される。
【0036】
図4は、ファイルサーバプログラム112及びクライアントプログラム212の処理の流れを示すフロー図である。
【0037】
アプリケーション211から記憶装置システム4に格納されたファイルへのアクセス要求を受けたクライアントプログラム212は、ホスト1のファイルサーバプログラム112に、記憶装置システム4へのアクセスを要求する。その際、アクセスの対象となるファイルのファイル名やアクセスの種類(リード、ライトなど)のほか、ユーザ名やホスト2のポートIDなどの認証に必要となる情報をファイルサーバプログラム112に送信する(2001C)。
【0038】
クライアントプログラム212からのアクセス要求を受信したホスト1のファイルサーバプログラム112は、記憶装置システム4内のディスク41に格納されたファイル管理情報を調べ、アクセスの対象となるファイルの書き込み位置(LBA)などの属性情報を読み出す(2002S)。ここで、ファイル管理情報とは、ディスク41に格納されているファイルの物理位置を示す情報、ファイルの所有者などの属性をしめす情報である。
【0039】
尚、ホスト1が、ファイルサーバプログラム112を用いてディスク41に格納されたファイル管理情報を調べる際も、アクセスが制限される。したがって、ホスト1が、ディスク41に格納されたファイル管理情報を読み出せるように、事前にディスク管理プログラム114を用いて、アクセスリスト500に、ホスト1のポートID及びファイル管理情報が格納された記憶領域を示すLBA範囲を登録しておく必要がある。
【0040】
続いて、ホスト1は、読み出したファイル管理情報から、クライアントから要求の有ったファイルのアクセスを許可するか判定し、その結果をクライアントに通知する(2003S)。例えば、要求の有ったファイルの属性情報が「リードのみ可能」の場合に、クライアントからリード要求があった場合には、このアクセスを許可しても良いが、ライト要求があった場合には、そのアクセスを許可してはいけない。クライアントではこの通知を受け、アクセスが許可されたか否かを判定する(2002C)。アクセスが許可された場合はステップ2003Cに進み、許可されなかった場合には、その処理を終了する。
【0041】
次にホスト1は、ディスク管理プログラム114を用いて、ホスト2のポートID、ホスト2のアクセスが許されるアクセス対象ファイルの格納されている位置を示す、開始LBA及び終了LBAを記憶装置システム4に送信し、アクセスの許可を求める(2004S)。記憶装置システム4内のアクセス設定手段426は、送信されたポートID、アクセスが許可されるディスクの開始LBA、及び終了LBAをアクセスリスト500に登録する。登録が終了したら、ホスト1へ登録完了報告を行う。アクセス設定手段426の行う具体的な処理は、このあとで説明する。
【0042】
記憶装置システム4から登録完了報告を受け取ったホスト1は、クライアントプログラム212を用いて、ホスト2にアクセス対象ファイルの位置情報を送信する。アクセス対象ファイルの位置情報とは、具体的には、記憶装置システム4に送信したLBA範囲を示す情報である(2004S)。
【0043】
アクセス対象ファイルの位置情報を受信したホスト2のクライアントプログラム212は、実際に記憶装置システム4にアクセスし、データのリードないしライトを行う(2003C、2004C)。データアクセスが終了すると、ホスト2は、ホスト1に対して、記憶装置システム4へのアクセス処理が終了したことを通知する。これでクライアントプログラム212の処理は終了する(2005C)。
【0044】
アクセス処理の終了の通知を受け取ったホスト1は、ファイルサーバプログラム112及びディスク管理プログラム114を使用して、記憶装置システム4にホスト2のアクセス終了を指示する(2005S)。具体的には、記憶装置システム4がアクセス設定手段426を用いてアクセスリスト500にあるホスト2に関するエントリを削除する。
【0045】
その後、クライアントプログラム212の処理がライト処理であった場合には、ホスト1は、ディスク管理プログラム114を使用してディスク41上のファイル管理情報を書き換え(2007S、2008S)、処理を終了する。リード処理であった場合にはそのまま処理を終了する。
【0046】
図5は、ホスト1のディスク管理プログラム114が記憶装置システム4に対し、ディスク41の特定領域のアクセスを許可させる、あるいはすでにアクセスが許可されている領域のアクセスを禁止させる時の、記憶装置システム4内のアクセス設定手段426の処理を示すフロー図である。
【0047】
ホスト1のディスク管理プログラム114は、パスワード、記憶装置システム4へのアクセスを許可させたいホストのポートID、アクセスする領域の開始LBA、及び終了LBAを含んだコマンドを記憶装置サブシステム4に送信する。ポートIDやLBA情報等を記憶装置システム4に送信するためのコマンドは、記憶装置システム4だけに固有なコマンドである。
【0048】
記憶装置システム4は、ポートID等が含まれているコマンドをホスト1より受け取る(1001)。その後、記憶装置システム4内のアクセス設定手段426は、送られてきたコマンド内のパスワードが正当なパスワードかチェックする(1002)。パスワードが不正であると判断した場合は、アクセス設定手段426はホスト1にエラーを送信して処理を終了する(1006)。
【0049】
パスワードが正当であると判断された場合、アクセス設定手段426は、送られてきたコマンドがアクセス許可を求めるものか、又はアクセス禁止を求めるものかを判定する(1003)。アクセス許可を求めるコマンドである場合、アクセス設定手段426は、送られてきたコマンドに含まれるポートID、開始LBA、及び終了LBAの情報をアクセスリスト500に登録する(1004)。アクセス禁止を求めるコマンドである場合、アクセス設定手段426は、送られてきたコマンドに含まれるポートID、開始LBA及び終了LBAの組に相当する情報をアクセスリスト500より削除する(1005)。
【0050】
図6は、ホスト1、2、及び3が記憶装置システム4に対してリード・ライト等のアクセスを行った際の記憶装置システム4の処理を示すフロー図である。
【0051】
記憶装置システム4がホスト1等からコマンドを受け取ると、記憶装置システム4内の認証手段427は受け取ったコマンドに含まれるポートID、アクセス対象のLBAを確認する(1101)。続いて認証手段427は、確認したポートID、及びLBA範囲の組がアクセスリスト500に登録されているポートIDと一致するか否か及びLBA範囲が登録されているLBA範囲内に収まっているか否かをチェックする(1102)。ポートIDがアクセスリスト500に登録されており、かつLBA範囲が、アクセスリスト500に登録されているLBA範囲の範囲内である場合には、認証手段427はこのアクセスを許可し、記憶装置システム4はホスト1等が要求するアクセス処理を実行する(1103)。ポートIDが登録されていない場合、又はポートIDは登録されているが、LBA範囲が登録されたLBA範囲外である場合には、ホスト1等にエラーを送信して処理を終了する(1104)。
【0052】
以上説明した処理により、複数のホスト及び記憶装置システムが相互接続されるSAN環境において、従来のホスト計算機レベルよりもきめ細かなアクセスを実現できる。また、本実施例の図4では、1回のクライアントからのアクセス要求に応じて、ファイル全体のLBA範囲のアクセス許可を行っているが、必ずしもファイル全体のアクセス許可を実施する必要はなく、クライアントが1回にアクセスするときに必要な領域だけアクセス許可する方法をとることも出来る。
【0053】
また、本実施例では、ファイバチャネルで複数のホストおよび記憶装置が相互接続された環境で説明してきたが、複数のホスト、記憶装置が相互に接続される環境であれば本発明は適用できる。例えば、最近ではSCSI over IPプロトコルをサポートし、イーサネットに直接接続される記憶装置が出現しつつあり、今後複数のホストおよび記憶装置がイーサネットで相互に接続される環境も普及する可能性がある。この場合にも、本発明の技術を用いることで、きめ細かなアクセス制限を実現することが出来る。
【0054】
【発明の効果】
本発明の計算機システムによれば、複数のホストコンピュータが共有ストレージに接続される環境において、アクセスを制限することができ、不用意なアクセス、情報の盗難などを防ぐことができる。
【図面の簡単な説明】
【図1】本発明が適用された計算機システムの構成例を示す図である。
【図2】本発明における計算機システムの各ホストと記憶装置システムとの論理的な接続関係を示す図である。
【図3】アクセスリスト500の内容を示す図である。
【図4】ファイルサーバプログラム112と、クライアントプログラム212または312の処理の流れを示すフロー図である。
【図5】記憶装置システム4にアクセス許可情報を登録する際の処理の流れを示す図である。
【図6】記憶装置システム4がリード・ライトアクセスを受けたときの処理の流れを示すフロー図である。
【符号の説明】
1、2、3・・・ホト、4・・・記憶装置システム、5・・・ファイバチャネルスイッチ、6・・・ネットワーク、11・・・送信プログラム、12・・・ポート、21・・・受信プログラム、31・・・アプリケーション、22、32、43、51・・・ポート、41・・・ディスク、42・・・ディスクコントローラ、421・・・制御メモリ、422・・・プロセッサ、423・・・キャッシュメモリ、426・・・アクセス設定手段、427・・・認証手段、500・・・アクセステーブル。
Claims (6)
- 第1の計算機と、
第2の計算機と、
前記第1の計算機と前記第2の計算機とに接続される記憶装置システムとを有し、
前記記憶装置システムは、前記第1の計算機と前記第2の計算機とからアクセスされる少なくとも1つの記憶デバイスと、計算機に設定されるポート ID と開始アドレスと終了アドレスとを含むアクセスリストと、前記アクセスリストを参照することにより、前記少なくとも1つの記憶デバイスにある記憶領域に前記第2の計算機からアクセスを許可又は禁止するディスク制御装置とを備え、
前記アクセスリストの前記ポート ID は、前記開始アドレスと前記終了アドレスによって特定される前記少なくとも1つの記憶デバイスにある記憶領域にアクセスする計算機を示し、
前記第1の計算機は、前記第2の計算機から受信したファイル情報に基づいて、対象ファイルのアドレス範囲を得るアドレス取得手段と、前記対象ファイルが格納される前記記憶装置システムにある記憶領域に対するアクセスを前記第2の計算機に認めるかについて、前記アクセスリストを設定する設定手段と、前記第2の計算機に対象ファイルの前記アドレス範囲を送るアドレス送信手段と、を備え、
前記第1の計算機が前記第2の計算機からファイル情報を含む要求を受け取った場合、前記アドレス獲得手段は前記受信したファイル情報に基づいて、対象ファイルのアドレス範囲を獲得し、
前記設定手段は前記獲得したアドレス範囲を含むアクセス許可要求及び前記記憶装置システムに前記第2の計算機のポート ID を送り、
前記ディスク制御装置は、前記アドレスリストに前記受信したアドレス範囲と前記第2の計算機の前記受信したポート ID とを登録し、
前記アドレス送信手段は、前記第2の計算機に前記獲得したアドレス範囲を送り、
前記第2の計算機は、前記対象ファイルにアクセスするために、前記記憶装置システムに前記第1の計算機から受信した前記アドレス範囲を含む前記アクセス要求を発行することを特徴とする計算機システム。 - 請求項1の計算機システムであって、
前記ディスク制御装置は、前記第2の計算機から前記アクセス要求を受信し、前記第2の計算機に前記アクセスリストに基づいて、前記受信したアドレス範囲によって特定される記憶領域にアクセスを認めることを特徴とする計算機システム。 - 請求項2の計算機システムであって、
前記ディスク制御装置は、前記アドレス範囲と、前記第2の計算機のポート ID と、パスワードとを含むアクセス許可要求受信し、前記受信したパスワードを確認し、前記受信したパスワードが正しい場合、前記アクセスリストに前記受信したアドレス範囲と前記第2の計算機の前記受信したポート ID とを登録することを特徴とする計算機システム。 - 請求項2の計算機システムであって、
前記第2の計算機は、前記対象ファイルにアクセスした後、前記第1の計算機に完了報告を送信し、前記設定手段は、前記記憶装置システムに前記第2の計算機からのアクセスを拒否するための要求を送信し、前記ディスク制御措置は、前記設定手段から受信した前記アクセスを拒否するための要求にしたがって、前記アクセスリストから前記第2の計算機に関する情報を削除することを特徴とする計算機システム。 - 請求項2の計算機システムであって、
前記アドレス獲得手段は、前記記憶装置システムの前記少なくとも1つのディスク装置に 格納されたファイル管理情報を参照することによって、アドレス範囲を得ることを特徴とする計算機システム。 - 請求項5の計算機システムであって、
前記第1の計算機は、前記第2の計算機から前記記憶装置システムへのライトアクセスにしたがって、前記記憶装置システムの前記少なくとも1つのディスク装置に格納されたファイル管理情報を更新することを特徴とする計算機システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001187481A JP4032670B2 (ja) | 2001-06-21 | 2001-06-21 | ホストコンピュータの認証を行う記憶装置システム |
| US09/923,429 US6816948B2 (en) | 2001-06-21 | 2001-08-08 | Storage system certifying a host computer |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001187481A JP4032670B2 (ja) | 2001-06-21 | 2001-06-21 | ホストコンピュータの認証を行う記憶装置システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003006048A JP2003006048A (ja) | 2003-01-10 |
| JP4032670B2 true JP4032670B2 (ja) | 2008-01-16 |
Family
ID=19026761
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001187481A Expired - Fee Related JP4032670B2 (ja) | 2001-06-21 | 2001-06-21 | ホストコンピュータの認証を行う記憶装置システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US6816948B2 (ja) |
| JP (1) | JP4032670B2 (ja) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030101160A1 (en) * | 2001-11-26 | 2003-05-29 | International Business Machines Corporation | Method for safely accessing shared storage |
| US7228338B2 (en) * | 2002-03-27 | 2007-06-05 | Motorola, Inc. | Multi-service platform module |
| US7111066B2 (en) * | 2002-03-27 | 2006-09-19 | Motorola, Inc. | Method of operating a storage device |
| JP4704659B2 (ja) * | 2002-04-26 | 2011-06-15 | 株式会社日立製作所 | 記憶装置システムの制御方法および記憶制御装置 |
| US7139890B2 (en) * | 2002-04-30 | 2006-11-21 | Intel Corporation | Methods and arrangements to interface memory |
| JP2004013824A (ja) * | 2002-06-11 | 2004-01-15 | Fujitsu Ltd | プレゼンス管理方法及び装置 |
| JP2004110367A (ja) | 2002-09-18 | 2004-04-08 | Hitachi Ltd | 記憶装置システムの制御方法、記憶制御装置、および記憶装置システム |
| JP4175083B2 (ja) * | 2002-10-29 | 2008-11-05 | 株式会社日立製作所 | 記憶装置の管理用計算機、およびプログラム |
| US7263593B2 (en) | 2002-11-25 | 2007-08-28 | Hitachi, Ltd. | Virtualization controller and data transfer control method |
| JP2004220450A (ja) * | 2003-01-16 | 2004-08-05 | Hitachi Ltd | ストレージ装置、その導入方法、及びその導入プログラム |
| JP2005018193A (ja) | 2003-06-24 | 2005-01-20 | Hitachi Ltd | ディスク装置のインタフェースコマンド制御方法ならびに計算機システム |
| US7219201B2 (en) | 2003-09-17 | 2007-05-15 | Hitachi, Ltd. | Remote storage disk control device and method for controlling the same |
| JP4598387B2 (ja) | 2003-09-17 | 2010-12-15 | 株式会社日立製作所 | 記憶システム |
| JP4307202B2 (ja) | 2003-09-29 | 2009-08-05 | 株式会社日立製作所 | 記憶システム及び記憶制御装置 |
| US7549044B2 (en) * | 2003-10-28 | 2009-06-16 | Dphi Acquisitions, Inc. | Block-level storage device with content security |
| US7277995B2 (en) * | 2003-10-29 | 2007-10-02 | Dot Hill Systems Corporation | Storage controller and method for performing host access control in the host interface adapter |
| JP4307964B2 (ja) | 2003-11-26 | 2009-08-05 | 株式会社日立製作所 | アクセス制限情報設定方法および装置 |
| JP2005202893A (ja) | 2004-01-19 | 2005-07-28 | Hitachi Ltd | 記憶デバイス制御装置、ストレージシステム、プログラムを記録した記録媒体、情報処理装置、及びストレージシステムの制御方法 |
| JP4391265B2 (ja) | 2004-02-26 | 2009-12-24 | 株式会社日立製作所 | ストレージサブシステムおよび性能チューニング方法 |
| US7346685B2 (en) * | 2004-08-12 | 2008-03-18 | Hitachi, Ltd. | Method and apparatus for limiting management operation of a storage network element |
| JP4550526B2 (ja) * | 2004-08-27 | 2010-09-22 | レノボ シンガポール プライヴェート リミテッド | 情報処理システム、情報処理装置、登録サーバ、制御プログラム、及び制御方法 |
| JP4646574B2 (ja) | 2004-08-30 | 2011-03-09 | 株式会社日立製作所 | データ処理システム |
| JP2006127028A (ja) | 2004-10-27 | 2006-05-18 | Hitachi Ltd | 記憶システム及び記憶制御装置 |
| JP4042759B2 (ja) * | 2005-05-17 | 2008-02-06 | コニカミノルタビジネステクノロジーズ株式会社 | データファイル管理装置,データファイル管理プログラム及び該プログラムを記録した記録媒体 |
| JP4783086B2 (ja) * | 2005-08-04 | 2011-09-28 | 株式会社日立製作所 | ストレージシステム、ストレージアクセス制限方法、及びコンピュータプログラム |
| JP2007122236A (ja) * | 2005-10-26 | 2007-05-17 | Konica Minolta Business Technologies Inc | 文書管理装置及び文書管理方法 |
| JP5760592B2 (ja) * | 2011-03-30 | 2015-08-12 | 日本電気株式会社 | 共有ファイルシステムのストレージアクセス制御方法 |
| TWI546667B (zh) * | 2015-01-28 | 2016-08-21 | 群聯電子股份有限公司 | 智慧卡管理方法、記憶體儲存裝置及記憶體控制電路單元 |
| JP2017162399A (ja) * | 2016-03-11 | 2017-09-14 | 東芝メモリ株式会社 | 記憶装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6360303B1 (en) * | 1997-09-30 | 2002-03-19 | Compaq Computer Corporation | Partitioning memory shared by multiple processors of a distributed processing system |
| US6128683A (en) * | 1998-06-04 | 2000-10-03 | International Business Machines Corporation | Method and system for allowing a plurality of SCSI hosts to interact with a DASD storage subsystem |
| JP4412685B2 (ja) * | 1998-09-28 | 2010-02-10 | 株式会社日立製作所 | 記憶制御装置及びこれを用いたデータ格納システムの取り扱い方法 |
| US6330210B1 (en) * | 1999-04-29 | 2001-12-11 | Hewlett-Packard Company | Data structure for control information on rewriteable data storage media |
| US6343324B1 (en) * | 1999-09-13 | 2002-01-29 | International Business Machines Corporation | Method and system for controlling access share storage devices in a network environment by configuring host-to-volume mapping data structures in the controller memory for granting and denying access to the devices |
| US20020103913A1 (en) * | 2001-01-26 | 2002-08-01 | Ahmad Tawil | System and method for host based target device masking based on unique hardware addresses |
| US6567897B2 (en) * | 2001-03-01 | 2003-05-20 | International Business Machines Corporation | Virtualized NVRAM access methods to provide NVRAM CHRP regions for logical partitions through hypervisor system calls |
-
2001
- 2001-06-21 JP JP2001187481A patent/JP4032670B2/ja not_active Expired - Fee Related
- 2001-08-08 US US09/923,429 patent/US6816948B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003006048A (ja) | 2003-01-10 |
| US20020199071A1 (en) | 2002-12-26 |
| US6816948B2 (en) | 2004-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4032670B2 (ja) | ホストコンピュータの認証を行う記憶装置システム | |
| US7917751B2 (en) | Distributed filesystem network security extension | |
| US8346952B2 (en) | De-centralization of group administration authority within a network storage architecture | |
| JP4252828B2 (ja) | キャッシュ制御方法、ノード装置、プログラム | |
| US7448077B2 (en) | File level security for a metadata controller in a storage area network | |
| US7010528B2 (en) | Mechanism for running parallel application programs on metadata controller nodes | |
| JP4146653B2 (ja) | 記憶装置 | |
| US10360237B2 (en) | Secure data replication | |
| JPH035868A (ja) | 分散データ処理システムにおける確認方式 | |
| JP2005135124A (ja) | 記憶制御装置 | |
| JP2011526038A (ja) | クラスタ共有ボリューム | |
| JPWO2008126324A1 (ja) | アクセス制御プログラム、アクセス制御装置およびアクセス制御方法 | |
| JP2005276158A (ja) | ストレージシステム、計算機システムまたは記憶領域の属性設定方法 | |
| US8935751B1 (en) | Method for extending the fragment mapping protocol to prevent malicious access to virtualized storage | |
| US20060136508A1 (en) | Techniques for providing locks for file operations in a database management system | |
| US8140622B2 (en) | Parallel metadata service in storage area network environment | |
| JP3744248B2 (ja) | ファイバチャネル接続ストレージサブシステム及びそのアクセス方法 | |
| VanMeter et al. | Derived virtual devices: A secure distributed file system mechanism | |
| JP4329412B2 (ja) | ファイルサーバシステム | |
| JP4345309B2 (ja) | ネットワークストレージ装置 | |
| JP2007072521A (ja) | 記憶制御システム及び記憶制御装置 | |
| JP2002342144A (ja) | ファイル共有システム、プログラムおよびファイル受渡し方法 | |
| WO2023273803A1 (zh) | 一种认证方法、装置和存储系统 | |
| JP2001236219A (ja) | ライセンス管理機能を代行するエージェント、そのエージェントを用いたライセンス管理システム及びライセンス管理機能を実現する半導体装置 | |
| EP4109315A1 (en) | System and method for managing secure files in memory |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040914 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20060418 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070516 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070710 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070910 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071002 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071015 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101102 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101102 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111102 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121102 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121102 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131102 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |