JP4311637B2 - 記憶制御装置 - Google Patents

記憶制御装置 Download PDF

Info

Publication number
JP4311637B2
JP4311637B2 JP2003369810A JP2003369810A JP4311637B2 JP 4311637 B2 JP4311637 B2 JP 4311637B2 JP 2003369810 A JP2003369810 A JP 2003369810A JP 2003369810 A JP2003369810 A JP 2003369810A JP 4311637 B2 JP4311637 B2 JP 4311637B2
Authority
JP
Japan
Prior art keywords
computer
initiator
permitted
storage
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003369810A
Other languages
English (en)
Other versions
JP2005135124A (ja
Inventor
真喜夫 水野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2003369810A priority Critical patent/JP4311637B2/ja
Priority to US10/754,857 priority patent/US7454795B2/en
Priority to DE602004023168T priority patent/DE602004023168D1/de
Priority to EP04024514A priority patent/EP1528746B1/en
Publication of JP2005135124A publication Critical patent/JP2005135124A/ja
Priority to US11/234,196 priority patent/US8006310B2/en
Application granted granted Critical
Publication of JP4311637B2 publication Critical patent/JP4311637B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • G06F21/805Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors using a security table for the storage sub-system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0629Configuration or reconfiguration of storage systems
    • G06F3/0637Permissions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/067Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Description

本発明は、計算機システムにおけるセキュリティ技術に関する。
昨今、SAN(Storage Area Network)を実現する伝送方式として、ファイバチャネルを用いたFC-SANが主流となっている。ファイバチャネルは、伝送媒体として光を用いるため、信頼性は非常に高く、転送性能は非常に高い。
最近、ファイバチャネルに対して転送性能で遅れを取っていたイーサネット(登録商標)が、ネットワーク技術の進歩に伴い高速化され、接続距離無制限、低コスト、相互接続性を売りにSANへ適用されつつある。これをFC-SANと区別するためにIP-SANと呼ぶ。IP-SANを実現する手段としては、iSCSI(internet SCSI)が最有力と言われている。
ネットワークに接続している各種装置(以下「デバイス」)には、自分の身元を示す識別子がある。例えば、IPネットワークではMACアドレスやIPアドレス、ファイバチャネルではポートIDやWorld Wide Name(WWN)である。また、ネットワークには、識別子の管理や、デバイス同士の通信を手助けする管理用の計算機(以下「管理サーバ」)が存在する場合がある。例えば、IPネットワークではDNS(Domain Name System)サーバがホスト名やIPアドレスとの関連性を管理し、ファイバチャネルではSNS(Simple Name Server)がWWNなどを管理している。
このようにデバイスは、管理サーバとの通信によりネットワーク上の他のデバイスを検出し、相互に通信していた。以下、デバイスがネットワーク上の他のデバイスを検出する処理をディスカバリ処理と称する。
ここで、iSCSIでは3通りのディスカバリ処理(静的設定、SendTargets、ゼロ設定)が提案されている。
(1)静的設定
静的設定では、イニシエータにターゲットである記憶装置の識別子(IPアドレス、TCPポート番号、ターゲットネーム)を予め割り当てる。よって、イニシエータは、ディスカバリを必要とせずに記憶装置を認識できる。尚、デバイスの中で、主体的にコマンドを発行して他のデバイスを探すデバイスをイニシエータと言い、イニシエータの発行するコマンドに応答するデバイス、あるいはイニシエータが通信をする対象となるデバイスをターゲットと称する。
(2)SendTargets
SendTargetsは、イニシエータが既にターゲットのIPアドレス及びTCPプロトコルで使用されるTCPポート番号を知っている場合に用いられる。
SendTargetsには、主に2つのリクエストタイプがある。一つは、ターゲットが制御する全デバイスの識別情報を要求するタイプ(以下、「全デバイスリクエスト」と称する)で、もう一つは、指定したデバイスの識別情報のみを要求するタイプ(以下、「デバイス指定リクエスト」と称する)である。以下、図6を用いて、SendTargetsによるディスカバリ処理の流れを説明する。
まずイニシエータは、ターゲットに対して、ディスカバリ要求を発行する(ステップ605)。
ターゲットは、ディスカバリ要求を受け取ると、そのリクエストタイプを読み出し判定する(ステップ610)。
リクエストタイプが全デバイスリクエストの場合、ターゲットは、ターゲット配下の全デバイスの識別情報をレスポンスのコマンドに含めてイニシエータへ送信する(ステップ615)。
リクエストタイプがデバイス指定リクエストの場合、リクエストを受けたターゲットは、指定されたデバイスの識別情報のみをレスポンスのコマンドに含めてイニシエータへ返す(ステップ620)。
レスポンスコマンドを受け取ったイニシエータは、その内容を解析してターゲット配下のデバイスの識別情報を取得し(ステップ625)、該識別情報を用いて、ターゲット配下のデバイスを新たなターゲットとしてログイン処理を開始する(ステップ630)。ログインが受理されると、I/O処理に入る(ステップ635)。
(3)ゼロ設定
ゼロ設定は、管理サーバ(エージェントを伴う場合もある)を利用するディスカバリ方法である。
ゼロ設定には、主に2つのディスカバリ方法がある。
一つは、IPネットワークで既に利用されているSLP(Service Locator Protocol)を用いる方法である。SLPを使用するにはイニシエータ、ターゲットにエージェントという専用のプログラムを導入する必要がある。またネットワーク上にディレクトリエージェントを設置することで管理単位を拡大出来る。ディレクトリエージェントが存在しない場合、イニシエータ及びターゲットのエージェント同士で管理情報を交換する。ディレクトリエージェントが存在する場合は、イニシエータのエージェントがディレクトリエージェントを介してターゲットを検索する。
もう一つはiSNS(Internet Storage Name Service)を用いる方法である。iSNSでは、管理サーバへデバイス情報を登録するためのプロトコルであるSNMP、iSNSPを各デバイスに実装する必要がある。そして、管理サーバへデバイス情報を登録した時点で管理サーバから管理単位(ディスカバリドメイン)のデバイスに対してデバイス情報を通知することで、他のデバイスがデバイス情報が登録されたデバイスをディスカバリすることができる。
以上のようなディスカバリ方法を用途、規模に応じて使うことで、ストレージネットワークにおける効率的なデバイス管理が可能となる。
一方、複数の記憶装置を有する記憶装置システムにおけるセキュリティを確保する方法に関しては特許文献1に開示されている。この技術によれば、計算機が記憶装置システムへログインする際の識別子と該記憶装置システムとを関連付けるテーブルを記憶装置システムが保持し、記憶装置システムが、計算機から送られるフレームに含まれる識別子と前記テーブルに登録されている識別子とを比較し、一致した場合、該フレームの指示に従って処理を継続し、不一致の場合、受領したフレームを拒絶するフレームを返すことで計算機からの不正アクセスを抑止できる。
又、SANのセキュリティ方法に関しては特許文献2に開示されている。この技術によれば、記憶制御装置が、認証されたネットワークデバイス各々がアクセスする記憶装置を識別する構成データを含むレコードを有する。記憶制御装置はこのレコードを用いて、データアクセス権限を持たないデバイスに対して該デバイスが認証されたデバイスか否かを判断してアクセスを許可し、許可しない場合は、そのアクセスを拒絶する。
特開2000-276406号公報
US20010020254A1号公報
特許文献1及び特許文献2などの従来技術によれば、FC-SANにおいて計算機はポートIDとWWNだけで容易に記憶装置システムにログインすることが出来る。これは不正アクセスを防止するための処理を施す対象がネットワークにログイン済みの計算機のみだからである。FC-SANはある程度閉じたネットワークであるため、不正アクセスは少なくログイン済みの計算機を対象に不正アクセスを防止する処理を施せば十分であった。しかし、接続範囲が広範囲なIP-SANでは不正アクセスが多くなるため、ログイン済みの計算機を対象とするだけでは足りず、したがって従来技術をそのままIP-SANに適用すれば記憶装置システムに対するDoS攻撃などの脅威が増大することになる。尚、特許文献1をiSCSIへマッピングすると、計算機、記憶装置の識別子はiSCSIネームとなる。
本発明の目的は、iSCSIを使用する計算機システムのセキュリティを高めることにある。
上記課題を解決するため本発明においては、複数の計算機と、複数の記憶装置に接続された記憶制御装置であって、IP−SANを介して前記複数の計算機と接続され、前記複数の計算機からのリード及び/又はライト要求を受信する通信インターフェースと、前記複数の記憶装置に接続された記憶装置インターフェースと、前記通信インターフェース及び前記複数の記憶装置インターフェースに接続され、前記記憶装置によりターゲットデバイスを構成すると共に、前記ターゲットデバイス内に複数の論理ユニットを構成する処理ユニットと、前記処理ユニットに接続され、前記計算機に割り当てられた第1の識別子と、当該計算機に対してアクセスが許可された前記ターゲットデバイスと、当該ターゲットデバイス内に設けられ、当該計算機に対してアクセスが許可された1以上の論理ユニットとを対応付ける関連情報が格納されたメモリとを備え、前記関連情報には、アクセスが許可されていない前記計算機に割り当てる第2の識別子と、実在しない前記ターゲットの識別情報とが対応付けて格納され、iSCSIプロトコルのディスカバリ処理の処理時、前記処理ユニットは、アクセス可能なターゲットデバイスを見つけるために前記計算機から送信されるディスカバリ要求を前記通信インターフェースにおいて受信すると、当該ディスカバリ要求に含まれる前記計算機に付与された第1の識別子と、メモリに格納された関連情報とに基づいて、当該計算機のアクセスが許可されたターゲットデバイスに付与された識別情報を当該計算機に送信する一方、アクセスが許可されていない前記計算機から送信される前記ディスカバリ要求を前記通信インターフェースにおいて受信すると、当該ディスカバリ要求に含まれる前記計算機に付与された識別子と、前記メモリに格納された前記関連情報とに基づいて、前記実在しないターゲットデバイスの識別情報を当該計算機に送信し、ディスカバリ処理の処理後、前記処理ユニットは、前記計算機から当該ターゲットデバイス内の当該計算機がアクセスすることを許可された前記論理ユニットに関する情報の送信要求を受信すると、当該送信要求に含まれる第1の識別子と、前記メモリに格納された前記関連情報とに基づいて、前記計算機がアクセスすることを許可された1以上の前記論理ユニットに関する情報を当該計算機に送信する一方、前記計算機から前記実在しないターゲットデバイス内の前記論理ユニットに関する情報の送信要求を受信したときには、反応しないことを特徴とする。
本発明によれば、第三者に記憶装置(ターゲット)の存在を明らかにする前にセキュリティをかけることができる。
図1は、本発明の計算機システムの全体構成例を示す図である。尚、ソフトウェアやデータは楕円で囲んで示している。
計算機システムは、イニシエータ105、記憶装置システム100、ネットワーク130、イニシエータ105及びネットワーク130並びに記憶装置システム100及びネットワーク130とを接続する通信線125、並びにネットワーク130と接続される管理端末195とを有する。
記憶装置システム100は、記憶制御装置135及び複数の記憶装置190を有する。また、記憶装置システム100、記憶制御装置135及び記憶装置190は、ターゲットとなるデバイスである。
イニシエータ105は、主に記憶制御装置135と通信するデバイス(計算機等)である。ここでは複数のイニシエータ105を区別するために、A、B、Cなどの識別子(以下「イニシエータ識別子」)を付与する。以下、識別子Aのイニシエータ105を、イニシエータAと称する。
イニシエータ105は、通信路125を介して、ネットワーク130に接続される。
記憶装置190は、データを格納し、必要に応じて格納しているデータを読み出す装置である。記憶装置は1つ以上の記憶装置識別子を持ち、図1では4つの記憶装置に対しそれぞれ、N1、N2、N3、N4の記憶装置識別子が付与されている。
記憶制御装置135は、通信インタフェース140、記憶装置190と通信するための記憶装置インタフェース175、CPU180及びメモリ185を有する。
メモリ185は、イニシエータ判別制御部(プログラム)165及び許可デバイステーブル170を格納する。尚、イニシエータ判別制御部165は以下プログラムであるとして説明するが、専用のハードウエアとして実現されていても良い。又、イニシエータ判別制御部165を主語とする処理は、実際はプログラムを実行するCPU180によって実行される。
通信インタフェース140は、イニシエータ105から送られてくるフレームの制御等を行う。又、各通信インターフェース140には、各々固有の識別子(IF1、IF2、IF3、IF4。以下、「インターフェース識別子」)が与えられる。この識別子は、IPアドレス、MACアドレス、TCPポート番号、またはこれらの組み合わせにより構成される。
前記フレームの制御では、通信インターフェース140は、受信したフレームを解析して制御情報とデータとに分割し、制御情報からイニシエータ識別子とインタフェース識別子を取り出す。その後、通信インターフェース140は、自身に割り振られたインタフェース識別子とフレーム中のインタフェース識別子の一致判定、データ処理などを行う。
尚、イニシエータ判別制御部165は、通信インターフェース140で取り出されたイニシエータ識別子を用いて、送信元のイニシエータ105を特定する。フレームの制御で扱う情報はメモリ185に格納される。
CPU180は、イニシエータ105からディスカバリ処理を要求されたときに、許可デバイステーブル170を用い、かつイニシエータ判別制御部165を実行して、該イニシエータ105に対して通信を許可する記憶装置190を通知する(詳細は図2で説明)。
管理端末195は、ネットワーク130に接続されたイニシエータ105、記憶装置システム100(記憶制御装置135及び記憶装置190)などのデバイスを管理する端末である。システムの管理者は、管理端末195を介して、記憶制御装置135が有する許可デバイステーブル170の作成、追加、及び修正を行う。尚、管理端末195は記憶制御装置135を管理する端末として記憶制御装置135に直接接続されていてもよい。
図3は、許可デバイステーブル170の構成例を示す図である。尚、図3のイニシエータインタフェース識別子310、LUN325及び属性330に登録される値については後述する。許可デバイステーブル170は、複数のフィールドからなるエントリを複数有する。
イニシエータ識別子305は、記憶制御装置135と通信するイニシエータ105に割り当てられたイニシエータ識別子が登録されるフィールドである。図3において、各エントリの該当するフィールドに登録された「A」、「B」、「C」の値は、図1でイニシエータ105に割り振られたイニシエータ識別子に対応している。最後のエントリに登録された「その他」の値は、管理者等が認識しているイニシエータ105、ここでは3つのイニシエータ105に割り振られたイニシエータ識別子以外の識別子を持つイニシエータ105との通信に備えて設けられている。即ち、「その他」に該当するイニシエータ105は、不正アクセスを目論む、つまりアクセスが許可されないイニシエータ105に対応する。
許可インタフェース識別子315は、イニシエータ105との通信を行う通信インタフェース140のインターフェース識別子を登録するフィールドである。各エントリに登録された「IF1」〜「IF4」は、図1に対応している。以下、インタフェースIF1をIF1と略す。本図では、イニシエータAはIF1とIF2を介して、イニシエータBはIF3を介して、イニシエータCはIF4を介して、各々記憶制御装置135と通信する設定となっている。「その他」に対応するイニシエータ105にはIFxで示される通信インターフェース140が割り振られるが、実際にはIFxに対応する通信インターフェース140は存在せず、「その他」に対応するイニシエータ105は記憶制御装置135と通信することはできない。
許可記憶装置識別子320は、通信インターフェース140を介してイニシエータ105が通信できる記憶装置の記憶装置識別子が登録されるフィールドである。各エントリに登録されている「N1」〜「N4」の値は、図1に対応している。以下、記憶装置N1をN1と略す。図3では、イニシエータAはIF1とIF2を介してN1と、イニシエータBはIF3を介してNと、イニシエータCはIF4を介してNと通信できることが設定されている。その他のイニシエータ105には、Nxで示される記憶装置104が割り当てられるが、実際にはNxに対応する記憶装置104は存在しない。尚、その他に対応するイニシエータ105には、特に通信インターフェース及び記憶装置を割り当て無くても良い。この場合には、アクセスのリジェクト処理が行われる。
以上のように、IFxを記憶制御装置135には実在しない通信インタフェースのインターフェース識別子とし、Nxを実在しない記憶装置の記憶装置識別子とすることで、記憶装置システム100は、本テーブルに登録されていないイニシエータ105との通信を遮断できる。
尚、ここでは、イニシエータ識別子でイニシエータ105を指定しているが、例えばIPアドレスにおけるサブネットアドレスなどを用いて、複数のイニシエータ105をまとめて一つの識別子で指定してもよい。この場合、複数のイニシエータ105に対して一つの通信インターフェース及び記憶装置を簡単に割り当てることが出来る。
許可デバイステーブル170は、管理者等によって管理端末195で作成され、管理端末195によって記憶制御装置135へ転送される。あるいは、管理端末195でデータのみ入力され、記憶制御装置135で予め作成された許可デバイステーブル170にその情報が登録されることで作成されても良い。一旦転送された許可デバイステーブル170のデータは、管理端末195を介して追加訂正される。管理端末195がネットワーク上のイニシエータ105、記憶装置システム100に関する情報(IPアドレス、ポート番号、ターゲットネームなど)を保持している場合、これらの情報から適当な情報が選択され、許可デバイステーブル170へ登録される。保持していない場、管理者が手動で情報を登録する。
図2は、本発明に係るディスカバリの流れを示す図である。
まず、イニシエータ105が記憶制御装置135に接続される記憶装置104を発見するために、記憶制御装置135にディスカバリ要求を発行する(ステップ205)。この要求には、要求を発行したイニシエータ105のイニシエータ識別子やリクエストタイプが含まれる。更に、デバイス指定リクエストの場合、アクセス対象の記憶装置104の識別子も含まれる。
記憶制御装置135は、ディスカバリ要求を受けると、その要求からイニシエータ識別子を取り出し、許可デバイステーブル170に受信したイニシエータ識別子が登録されているか検索する(ステップ210)。登録されていない場合、許可デバイステーブル170の「その他」に対応する許可インタフェース識別子(IFx)及び記憶装置104の識別子(Nx)を要求元のイニシエータ105に返す(ステップ220)。
この場合、IFxとNxを受信したイニシエータ105は、記憶制御装置135に対して記憶装置104を示す識別子としてNxを送信する。この識別子を受信した記憶制御装置135は、「通信可能なインタフェースが存在しない」などの応答を返したり、反応を示さなかったりする。このことによって、記憶制御装置135が認可していないイニシエータ105は記憶制御装置135に対する通信ができなくなる。即ち、不正アクセスを防ぐことができる。
尚、ステップ220で、その他に対応するイニシエータ105からのディスカバリ要求に対して接続を拒否(リジェクト)すれば、より早い段階で不正なイニシエータ105から不正アクセスを防ぐことができる。
ステップ210で、受信したイニシエータ識別子が登録されていると判断した場合、記憶制御装置135は、当該イニシエータ識別子に対応する許可インタフェース識別子及び許可記憶装置識別子を許可デバイステーブル170から取得し、要求元のイニシエータ105にこれらの識別子の情報を送信する(ステップ225)。
要求元のイニシエータ105は、記憶制御装置135から送られたインタフェース識別子と記憶装置識別子を元に、受信したインターフェース識別子に対応する記憶制御装置135の通信インターフェース140にログインコマンドを発行する。ログインコマンドを受信した記憶制御装置135は、認証等のログイン処理を行い、イニシエータ105との通信を開始する(ステップ230)。
ログイン完了後、イニシエータ105は、自己が使用可能な記憶装置104の状態確認をする。状態確認としては、例えば、製品供給元、製品のモデル・バージョン、論理ブロックアドレス、容量、その他製品供給元固有の情報等を取得する処理、記憶装置104が使用可能な状態か否か調査する処理等が含まれる(ステップ235)。
記憶装置が正常であることを確認後、イニシエータ105はSCSIコマンドを送信することが可能になる(ステップ240)。以降、必要に応じてステップ205、235、240を繰り返す。
上述の処理により、記憶制御装置135に許可されたイニシエータ105のみが、自己が使用できる記憶装置104の情報を受信することが出来、より高いセキュリティを確保することが出来る。
上述の例では、物理的な記憶装置190がイニシエータ105のターゲットであるとして説明を行った。しかし、実際の記憶装置システムでは、物理的な記憶装置を仮想的に複数の論理的な記憶装置(以下「論理ユニット」)として扱ったり、複数の物理的な記憶装置を一つの論理ユニットとして扱ったりする場合がある。上述した本発明は、このような場合にも適用することが出来る。
具体的には、上述の中で、物理的な記憶装置190に割り当てられていた記憶装置識別子(例えばN1等)を上述した論理ユニットに割り当て、記憶制御装置135がイニシエータ105(例えばイニシエータA)からSendtargetの要求を受信した際に、記憶制御装置135が、イニシエータAが使用可能な論理ユニットに割り当てられた記憶装置識別子をイニシエータAに返信する。これにより、イニシエータAは、ある論理ユニットをターゲットと認識して、その後のログインコマンドの送付等を行うことができる。
又、イニシエータの論理ユニットへのアクセスをより細かく制御する実施形態として、以下に示す実施形態がある。以下、その実施形態について説明する。
この実施形態では、物理的な記憶装置190又は論理ユニットに対して記憶装置識別子が付与される。イニシエータ105(例えばイニシエータA)は、上述した手順に従って、ログイン処理までを完了させる。その後、イニシエータAは、ターゲットが有する論理ユニット(以下「LU」)のリスト(具体的には論理ユニット番号(以下「LUN」の一覧)を要求するコマンド(通信パケット)を、自己がアクセス可能なターゲットに対して発行する。SCSIで言うと、ReportLUNs相当のコマンドである。
このコマンドを受信した記憶制御装置135は、sendtarget処理でイニシエータAにアクセスを許可したターゲットに含まれるLUのうち、更にイニシエータAのアクセスが許可されるLUのみを許可デバイステーブル170から抽出し、その情報をLUNのリストとしてイニシエータAへ送信する。
リストを受信したイニシエータAは、受信したリストに含まれるLUのみを用いて実際の入出力処理を行う。これにより、イニシエータAとは無関係のLUとの通信が不要となりネットワーク負荷が軽減する。また、未許可のイニシエータから仮にログインされたとしても、使用可能な論理ユニットを制限するためそれ以外の論理ユニットには影響を与えず被害拡大を抑えることが出来る。
以下、本実施形態について詳細に説明する。
図4は、論理的な記憶装置の配置を示す図である。イニシエータ105には、2つの記憶装置190が図4のように、すなわち4つのLU(L0〜L3)に見える。実際には、記憶制御装置135が論理物理変換テーブルを有し、記憶制御装置135が記憶装置190とLUとの間のアドレス変換を行うことにより、イニシエータ105にLUを提供している。
図4において、L0、L1、L2、L3は、LUNであり、図3のLUN325に登録される値に相当する。以下、LUN「L0」をL0と略す。図3において、イニシエータAはIF1とIF2を介してN1のL0と、イニシエータBはIF3を介してN1のL1と、イニシエータCはIF4を介してN2のL3と通信可能であることを示している。LUN325の場合も、イニシエータ識別子「A」、「B」、「C」以外の識別子を持つイニシエータに対しては、存在しないLxが定義される。
イニシエータインタフェース識別子310は、イニシエータ105が持つネットワーク130との通信インタフェース部分に割り当てられる識別子が登録されるフィールドであり、イニシエータAにはI1、イニシエータBにはI2、イニシエータCにはI3、その他のイニシエータにはIx(実際は通信不可能)が割り当てられるとする。
尚、イニシエータインタフェース識別子は、許可デバイステーブル170設定時から指定される必要はなく、イニシエータ識別子が確定した時点(具体的にはディスカバリ要求を受け取った時点)でその要求と共に送られてくるイニシエータインタフェース識別子を取り出し設定してもよい。
図5は、ログイン完了後のイニシエータ105と通信可能なLUNの要求パケットと応答パケットを示す図である。図5は、イニシエータAと記憶制御装置135との間の通信の例を表している。
イニシエータAは、記憶制御装置135が持つLUNのリストを要求するコマンド(通信パケット)810を発行する。オペレーションコード815は、命令の種別を示す。リザーブ820、830は、予め予約されている領域を示す。アロケーション長825は、イニシエータAへ転送可能なデータの長さ(バイト数)を示す。コントロールバイト835は、コマンドが連続して発行されるか否かを示す。
尚、イニシエータ識別子である「A」という情報はこのコマンドと共に送られるとする。
記憶制御装置135は、コマンド810を受け取った後、許可デバイステーブル170の「A」に該当するLUN(図3では、L0)を検索し、そのレスポンスのコマンドに埋め込む。
ここで、識別子Aで判定できない場合、記憶制御装置135は、送信元のイニシエータインタフェース識別子で判定することもできる。この場合、記憶制御装置135は、許可デバイステーブル170のイニシエータインタフェース識別子に該当するLUNを検索し、そのLUNの情報をイニシエータ105に対するレスポンスのコマンドに埋め込む。
840は、コマンド810に対するレスポンス(応答パケット)のコマンドである。LUNリスト長845は、イニシエータに転送可能なLUNのリストのデータ長(バイト数)を示す。リザーブ850は、予め予約されている領域を示す。LUN領域855は、イニシエータAに対応するLUN(ここではL0)を示す情報が登録される。
このようにして、記憶制御装置135は、特定のイニシエータ105に対して通信可能な記憶装置190のLUNを通知することができる。即ち、記憶装置システム100を部門、支店などで共有する環境において、その部門、支店毎に記憶装置190を割り当てることが可能で、更にその中にLUを設定して、細かく領域を、セキュリティを確保しつつ割り当てることが可能となる。
具体的には、例えば、図4において、N1が割り当てられた記憶装置(あるいはLU)を会社のある部門で使用する計算機(イニシエータ)がアクセス可能なターゲットとし、更に、N1に含まれる各LUを、ある部門の更に下位の集団に個々に割り当てる。この場合、下位の集団が使用する計算機(イニシエータ)に割り当てられるLUは、個々の集団で異なるが、これらのLUは全てN1に含まれることになり、記憶領域を階層的に割り当てることが出来る。
次に、図3の属性330に登録される値を用いる方法について説明する。
属性330は、LUに対して読み出し、書き込みの属性を与えるためのフィールドである。フィールドに登録される値で、”RW”は読み書きが可能なことを、”RO”は読み出しのみ可能で書き込みは不可であることを示す。また、その他の属性を設定しても良い。
イニシエータに対する通知の際、これらの属性をSCSIのInquiryコマンドに対するレスポンスの中に属性を埋め込むこともできる。この属性が通知されたイニシエータ105は、その属性に対応するI/O、例えばROであれば読出しコマンドのみをその論理ユニットに対して送信することになる。
尚、記憶装置190は磁気媒体を使うことが多いが、光学的媒体などの他の媒体を利用する装置であってもよい。また、本明細書で説明したプログラムは、CD-ROM等の記憶媒体から移してもよいし、ネットワーク経由で他の装置からダウンロードしてもよい。
計算機システムの全体構成を示す図である。 ディスカバリの処理手順を示す図である。 許可デバイステーブルの構成例を示す図である。 論理的な記憶装置の配置例を示す図である。 LUNの通知パケットと応答パケットの例を示す図である。 従来のディスカバリの処理手順を示す図である。
符号の説明
105:イニシエータ、125:通信路、130:ネットワーク、135:記憶制御装置、140:通信インタフェース、165:イニシエータ判別制御部、170:許可デバイステーブル、175:記憶装置インタフェース、190:記憶装置、195:管理端末

Claims (3)

  1. 複数の計算機と、複数の記憶装置に接続された記憶制御装置であって、
    IP−SANを介して前記複数の計算機と接続され、前記複数の計算機からのリード及び/又はライト要求を受信する通信インターフェースと、
    前記複数の記憶装置に接続された記憶装置インターフェースと、
    前記通信インターフェース及び前記複数の記憶装置インターフェースに接続され、前記記憶装置によりターゲットデバイスを構成すると共に、前記ターゲットデバイス内に複数の論理ユニットを構成する処理ユニットと、
    前記処理ユニットに接続され、前記計算機に割り当てられた第1の識別子と、当該計算機に対してアクセスが許可された前記ターゲットデバイスと、当該ターゲットデバイス内に設けられ、当該計算機に対してアクセスが許可された1以上の論理ユニットとを対応付ける関連情報が格納されたメモリと
    を備え、
    前記関連情報には、アクセスが許可されていない前記計算機に割り当てる第2の識別子と、実在しない前記ターゲットの識別情報とが対応付けて格納され、
    iSCSIプロトコルのディスカバリ処理の処理時、前記処理ユニットは、アクセス可能なターゲットデバイスを見つけるために前記計算機から送信されるディスカバリ要求を前記通信インターフェースにおいて受信すると、当該ディスカバリ要求に含まれる前記計算機に付与された第1の識別子と、メモリに格納された関連情報とに基づいて、当該計算機のアクセスが許可されたターゲットデバイスに付与された識別情報を当該計算機に送信する一方、アクセスが許可されていない前記計算機から送信される前記ディスカバリ要求を前記通信インターフェースにおいて受信すると、当該ディスカバリ要求に含まれる前記計算機に付与された識別子と、前記メモリに格納された前記関連情報とに基づいて、前記実在しないターゲットデバイスの識別情報を当該計算機に送信し、
    ディスカバリ処理の処理後、前記処理ユニットは、前記計算機から当該ターゲットデバイス内の当該計算機がアクセスすることを許可された前記論理ユニットに関する情報の送信要求を受信すると、当該送信要求に含まれる第1の識別子と、前記メモリに格納された前記関連情報とに基づいて、前記計算機がアクセスすることを許可された1以上の前記論理ユニットに関する情報を当該計算機に送信する一方、前記計算機から前記実在しないターゲットデバイス内の前記論理ユニットに関する情報の送信要求を受信したときには、反応しない
    ことを特徴とする記憶制御装置。
  2. 前記関連情報は、さらに前記計算機に割り当てられた第1の識別子と、当該計算機のアクセスが許可された前記通信インターフェースとを対応付ける情報を含む
    ことを特徴とする請求項1に記載の記憶制御装置。
  3. 前記関連情報は、さらに前記計算機に対してアクセスが許可された前記論理デバイスの属性を含む
    ことを特徴とする請求項1に記載の記憶制御装置。
JP2003369810A 2003-10-30 2003-10-30 記憶制御装置 Expired - Fee Related JP4311637B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2003369810A JP4311637B2 (ja) 2003-10-30 2003-10-30 記憶制御装置
US10/754,857 US7454795B2 (en) 2003-10-30 2004-01-09 Disk control unit
DE602004023168T DE602004023168D1 (de) 2003-10-30 2004-10-14 Plattenspeichersteuerwerk
EP04024514A EP1528746B1 (en) 2003-10-30 2004-10-14 Disk control unit
US11/234,196 US8006310B2 (en) 2003-10-30 2005-09-26 Disk control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003369810A JP4311637B2 (ja) 2003-10-30 2003-10-30 記憶制御装置

Publications (2)

Publication Number Publication Date
JP2005135124A JP2005135124A (ja) 2005-05-26
JP4311637B2 true JP4311637B2 (ja) 2009-08-12

Family

ID=34420187

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003369810A Expired - Fee Related JP4311637B2 (ja) 2003-10-30 2003-10-30 記憶制御装置

Country Status (4)

Country Link
US (2) US7454795B2 (ja)
EP (1) EP1528746B1 (ja)
JP (1) JP4311637B2 (ja)
DE (1) DE602004023168D1 (ja)

Families Citing this family (86)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005165441A (ja) * 2003-11-28 2005-06-23 Hitachi Ltd ストレージ制御装置、及びストレージ制御装置の制御方法
JP2005316574A (ja) * 2004-04-27 2005-11-10 Hitachi Ltd 計算機の識別子収集管理装置、方法及びプログラム
JP4131862B2 (ja) * 2004-07-01 2008-08-13 Dts株式会社 3.5インチ定形型ディスク形状を持ったデータトランスミッション装置
JP2006107158A (ja) * 2004-10-06 2006-04-20 Hitachi Ltd ストレージネットワークシステム及びアクセス制御方法
JP4714530B2 (ja) * 2005-08-29 2011-06-29 日本電信電話株式会社 iSCSI自動接続方法及びシステム
US8185639B2 (en) * 2006-01-03 2012-05-22 Emc Corporation Server identification in storage networks
US9443114B1 (en) * 2007-02-14 2016-09-13 Marvell International Ltd. Auto-logging of read/write commands in a storage network
JP4871758B2 (ja) * 2007-02-26 2012-02-08 株式会社日立製作所 ボリューム割当方式
US8326814B2 (en) 2007-12-05 2012-12-04 Box, Inc. Web-based file management system and service
JP5320780B2 (ja) 2008-03-17 2013-10-23 富士通株式会社 情報処理システム、機能拡張装置及び制御方法
JP5081761B2 (ja) 2008-08-05 2012-11-28 富士通株式会社 アーカイブ装置,不正アクセス検出方法及び不正アクセス検出プログラム
JP5318223B2 (ja) * 2009-04-06 2013-10-16 株式会社日立製作所 ストレージサブシステム、及びその制御方法
WO2010137066A1 (ja) * 2009-05-26 2010-12-02 株式会社日立製作所 管理システム
US20120102561A1 (en) * 2010-10-26 2012-04-26 International Business Machines Corporation Token-based reservations for scsi architectures
WO2012099617A1 (en) 2011-01-20 2012-07-26 Box.Net, Inc. Real time notification of activities that occur in a web-based collaboration environment
US9015601B2 (en) 2011-06-21 2015-04-21 Box, Inc. Batch uploading of content to a web-based collaboration environment
US9063912B2 (en) 2011-06-22 2015-06-23 Box, Inc. Multimedia content preview rendering in a cloud content management system
US9978040B2 (en) 2011-07-08 2018-05-22 Box, Inc. Collaboration sessions in a workspace on a cloud-based content management system
WO2013009337A2 (en) 2011-07-08 2013-01-17 Arnold Goldberg Desktop application for access and interaction with workspaces in a cloud-based content management system and synchronization mechanisms thereof
US8898385B2 (en) 2011-09-09 2014-11-25 Lsi Corporation Methods and structure for load balancing of background tasks between storage controllers in a clustered storage environment
US9197718B2 (en) 2011-09-23 2015-11-24 Box, Inc. Central management and control of user-contributed content in a web-based collaboration environment and management console thereof
WO2013062599A1 (en) 2011-10-26 2013-05-02 Box, Inc. Enhanced multimedia content preview rendering in a cloud content management system
US9098474B2 (en) 2011-10-26 2015-08-04 Box, Inc. Preview pre-generation based on heuristics and algorithmic prediction/assessment of predicted user behavior for enhancement of user experience
US8990307B2 (en) 2011-11-16 2015-03-24 Box, Inc. Resource effective incremental updating of a remote client with events which occurred via a cloud-enabled platform
US9773051B2 (en) 2011-11-29 2017-09-26 Box, Inc. Mobile platform file and folder selection functionalities for offline access and synchronization
US9019123B2 (en) 2011-12-22 2015-04-28 Box, Inc. Health check services for web-based collaboration environments
US11232481B2 (en) 2012-01-30 2022-01-25 Box, Inc. Extended applications of multimedia content previews in the cloud-based content management system
US9965745B2 (en) 2012-02-24 2018-05-08 Box, Inc. System and method for promoting enterprise adoption of a web-based collaboration environment
US9195636B2 (en) 2012-03-07 2015-11-24 Box, Inc. Universal file type preview for mobile devices
US9054919B2 (en) 2012-04-05 2015-06-09 Box, Inc. Device pinning capability for enterprise cloud service and storage accounts
US9575981B2 (en) 2012-04-11 2017-02-21 Box, Inc. Cloud service enabled to handle a set of files depicted to a user as a single file in a native operating system
US8583840B1 (en) 2012-04-25 2013-11-12 Lsi Corporation Methods and structure for determining mapping information inconsistencies in I/O requests generated for fast path circuits of a storage controller
US9413587B2 (en) 2012-05-02 2016-08-09 Box, Inc. System and method for a third-party application to access content within a cloud-based platform
WO2013166520A1 (en) 2012-05-04 2013-11-07 Box, Inc. Repository redundancy implementation of a system which incrementally updates clients with events that occurred via cloud-enabled platform
US9691051B2 (en) 2012-05-21 2017-06-27 Box, Inc. Security enhancement through application access control
US9027108B2 (en) 2012-05-23 2015-05-05 Box, Inc. Systems and methods for secure file portability between mobile applications on a mobile device
US8914900B2 (en) 2012-05-23 2014-12-16 Box, Inc. Methods, architectures and security mechanisms for a third-party application to access content in a cloud-based platform
US9021099B2 (en) 2012-07-03 2015-04-28 Box, Inc. Load balancing secure FTP connections among multiple FTP servers
US9792320B2 (en) 2012-07-06 2017-10-17 Box, Inc. System and method for performing shard migration to support functions of a cloud-based service
GB2505072A (en) 2012-07-06 2014-02-19 Box Inc Identifying users and collaborators as search results in a cloud-based system
US9712510B2 (en) 2012-07-06 2017-07-18 Box, Inc. Systems and methods for securely submitting comments among users via external messaging applications in a cloud-based platform
US9237170B2 (en) 2012-07-19 2016-01-12 Box, Inc. Data loss prevention (DLP) methods and architectures by a cloud service
US8868574B2 (en) 2012-07-30 2014-10-21 Box, Inc. System and method for advanced search and filtering mechanisms for enterprise administrators in a cloud-based environment
US9794256B2 (en) 2012-07-30 2017-10-17 Box, Inc. System and method for advanced control tools for administrators in a cloud-based service
US9240985B1 (en) * 2012-08-16 2016-01-19 Netapp, Inc. Method and system for managing access to storage space in storage systems
US9369520B2 (en) 2012-08-19 2016-06-14 Box, Inc. Enhancement of upload and/or download performance based on client and/or server feedback information
US8745267B2 (en) 2012-08-19 2014-06-03 Box, Inc. Enhancement of upload and/or download performance based on client and/or server feedback information
US9558202B2 (en) 2012-08-27 2017-01-31 Box, Inc. Server side techniques for reducing database workload in implementing selective subfolder synchronization in a cloud-based environment
US9135462B2 (en) 2012-08-29 2015-09-15 Box, Inc. Upload and download streaming encryption to/from a cloud-based platform
US9117087B2 (en) 2012-09-06 2015-08-25 Box, Inc. System and method for creating a secure channel for inter-application communication based on intents
US9311071B2 (en) 2012-09-06 2016-04-12 Box, Inc. Force upgrade of a mobile application via a server side configuration file
US9195519B2 (en) 2012-09-06 2015-11-24 Box, Inc. Disabling the self-referential appearance of a mobile application in an intent via a background registration
US9292833B2 (en) 2012-09-14 2016-03-22 Box, Inc. Batching notifications of activities that occur in a web-based collaboration environment
US10200256B2 (en) 2012-09-17 2019-02-05 Box, Inc. System and method of a manipulative handle in an interactive mobile user interface
US9553758B2 (en) 2012-09-18 2017-01-24 Box, Inc. Sandboxing individual applications to specific user folders in a cloud-based service
US10915492B2 (en) 2012-09-19 2021-02-09 Box, Inc. Cloud-based platform enabled with media content indexed for text-based searches and/or metadata extraction
US9959420B2 (en) 2012-10-02 2018-05-01 Box, Inc. System and method for enhanced security and management mechanisms for enterprise administrators in a cloud-based environment
US9495364B2 (en) 2012-10-04 2016-11-15 Box, Inc. Enhanced quick search features, low-barrier commenting/interactive features in a collaboration platform
US9705967B2 (en) 2012-10-04 2017-07-11 Box, Inc. Corporate user discovery and identification of recommended collaborators in a cloud platform
US9665349B2 (en) 2012-10-05 2017-05-30 Box, Inc. System and method for generating embeddable widgets which enable access to a cloud-based collaboration platform
US9628268B2 (en) 2012-10-17 2017-04-18 Box, Inc. Remote key management in a cloud-based environment
US9756022B2 (en) 2014-08-29 2017-09-05 Box, Inc. Enhanced remote key management for an enterprise in a cloud-based environment
US10235383B2 (en) 2012-12-19 2019-03-19 Box, Inc. Method and apparatus for synchronization of items with read-only permissions in a cloud-based environment
US9396245B2 (en) 2013-01-02 2016-07-19 Box, Inc. Race condition handling in a system which incrementally updates clients with events that occurred in a cloud-based collaboration platform
US9953036B2 (en) 2013-01-09 2018-04-24 Box, Inc. File system monitoring in a system which incrementally updates clients with events that occurred in a cloud-based collaboration platform
EP2755151A3 (en) 2013-01-11 2014-09-24 Box, Inc. Functionalities, features and user interface of a synchronization client to a cloud-based environment
US10599671B2 (en) 2013-01-17 2020-03-24 Box, Inc. Conflict resolution, retry condition management, and handling of problem files for the synchronization client to a cloud-based platform
US10846074B2 (en) 2013-05-10 2020-11-24 Box, Inc. Identification and handling of items to be ignored for synchronization with a cloud-based platform by a synchronization client
US10725968B2 (en) 2013-05-10 2020-07-28 Box, Inc. Top down delete or unsynchronization on delete of and depiction of item synchronization with a synchronization client to a cloud-based platform
US9633037B2 (en) 2013-06-13 2017-04-25 Box, Inc Systems and methods for synchronization event building and/or collapsing by a synchronization component of a cloud-based platform
US9805050B2 (en) 2013-06-21 2017-10-31 Box, Inc. Maintaining and updating file system shadows on a local device by a synchronization client of a cloud-based platform
US10110656B2 (en) 2013-06-25 2018-10-23 Box, Inc. Systems and methods for providing shell communication in a cloud-based platform
US10229134B2 (en) 2013-06-25 2019-03-12 Box, Inc. Systems and methods for managing upgrades, migration of user data and improving performance of a cloud-based platform
US9535924B2 (en) 2013-07-30 2017-01-03 Box, Inc. Scalability improvement in a system which incrementally updates clients with events that occurred in a cloud-based collaboration platform
US9704137B2 (en) 2013-09-13 2017-07-11 Box, Inc. Simultaneous editing/accessing of content by collaborator invitation through a web-based or mobile application to a cloud-based collaboration platform
US9213684B2 (en) 2013-09-13 2015-12-15 Box, Inc. System and method for rendering document in web browser or mobile device regardless of third-party plug-in software
GB2518298A (en) 2013-09-13 2015-03-18 Box Inc High-availability architecture for a cloud-based concurrent-access collaboration platform
US9535909B2 (en) 2013-09-13 2017-01-03 Box, Inc. Configurable event-based automation architecture for cloud-based collaboration platforms
US8892679B1 (en) 2013-09-13 2014-11-18 Box, Inc. Mobile device, methods and user interfaces thereof in a mobile device platform featuring multifunctional access and engagement in a collaborative environment provided by a cloud-based platform
US10509527B2 (en) 2013-09-13 2019-12-17 Box, Inc. Systems and methods for configuring event-based automation in cloud-based collaboration platforms
US10866931B2 (en) 2013-10-22 2020-12-15 Box, Inc. Desktop application for accessing a cloud collaboration platform
US9602514B2 (en) 2014-06-16 2017-03-21 Box, Inc. Enterprise mobility management and verification of a managed application by a content provider
US9894119B2 (en) 2014-08-29 2018-02-13 Box, Inc. Configurable metadata-based automation and content classification architecture for cloud-based collaboration platforms
US10574442B2 (en) 2014-08-29 2020-02-25 Box, Inc. Enhanced remote key management for an enterprise in a cloud-based environment
US10038731B2 (en) 2014-08-29 2018-07-31 Box, Inc. Managing flow-based interactions with cloud-based shared content
US10318194B2 (en) * 2014-10-02 2019-06-11 Hitachi Vantara Corporation Method and an apparatus, and related computer-program products, for managing access request in multi-tenancy environments

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5163097A (en) * 1991-08-07 1992-11-10 Dynamicserve, Ltd. Method and apparatus for providing secure access to a limited access system
US5235642A (en) 1992-07-21 1993-08-10 Digital Equipment Corporation Access control subsystem and method for distributed computer system using locally cached authentication credentials
US5574903A (en) * 1994-05-13 1996-11-12 Apple Computer, Inc. Method and apparatus for handling request regarding information stored in a file system
US6377994B1 (en) 1996-04-15 2002-04-23 International Business Machines Corporation Method and apparatus for controlling server access to a resource in a client/server system
JP2982702B2 (ja) 1996-08-30 1999-11-29 日本電気株式会社 ディスク装置
JP3228182B2 (ja) 1997-05-29 2001-11-12 株式会社日立製作所 記憶システム及び記憶システムへのアクセス方法
US6260120B1 (en) * 1998-06-29 2001-07-10 Emc Corporation Storage mapping and partitioning among multiple host processors in the presence of login state changes and host controller replacement
US6263445B1 (en) 1998-06-30 2001-07-17 Emc Corporation Method and apparatus for authenticating connections to a storage system coupled to a network
US7165152B2 (en) 1998-06-30 2007-01-16 Emc Corporation Method and apparatus for managing access to storage devices in a storage system with access control
JP3744248B2 (ja) 1999-03-29 2006-02-08 株式会社日立製作所 ファイバチャネル接続ストレージサブシステム及びそのアクセス方法
US6938096B1 (en) * 1999-04-12 2005-08-30 Softricity, Inc. Method and system for remote networking using port proxying by detecting if the designated port on a client computer is blocked, then encapsulating the communications in a different format and redirecting to an open port
US7296274B2 (en) 1999-11-15 2007-11-13 Sandia National Laboratories Method and apparatus providing deception and/or altered execution of logic in an information system
US7392291B2 (en) 2000-08-11 2008-06-24 Applied Micro Circuits Corporation Architecture for providing block-level storage access over a computer network
US7260636B2 (en) 2000-12-22 2007-08-21 Emc Corporation Method and apparatus for preventing unauthorized access by a network device
US6968463B2 (en) 2001-01-17 2005-11-22 Hewlett-Packard Development Company, L.P. System for controlling access to resources in a storage area network
US7203730B1 (en) * 2001-02-13 2007-04-10 Network Appliance, Inc. Method and apparatus for identifying storage devices
US7664119B2 (en) * 2001-03-30 2010-02-16 Intel Corporation Method and apparatus to perform network routing
WO2003005209A2 (en) 2001-06-14 2003-01-16 Cable & Wireless Internet Services, Inc. Secured shared storage architecture
US7500069B2 (en) 2001-09-17 2009-03-03 Hewlett-Packard Development Company, L.P. System and method for providing secure access to network logical storage partitions
US20030115447A1 (en) 2001-12-18 2003-06-19 Duc Pham Network media access architecture and methods for secure storage
US20030126242A1 (en) * 2001-12-28 2003-07-03 Chang Albert H. Network boot system and method using remotely-stored, client-specific boot images created from shared, base snapshot image
US7000085B2 (en) 2001-12-28 2006-02-14 Hewlett-Packard Development Company, L.P. System and method for securing drive access to data storage media based on medium identifiers
US20030149884A1 (en) 2002-02-01 2003-08-07 Randolph Hernandez Electronic information content control
US7134139B2 (en) 2002-02-12 2006-11-07 International Business Machines Corporation System and method for authenticating block level cache access on network
JP2003241903A (ja) * 2002-02-14 2003-08-29 Hitachi Ltd 記憶制御装置、ストレージシステム、及びその制御方法
JP3993773B2 (ja) 2002-02-20 2007-10-17 株式会社日立製作所 ストレージサブシステム、記憶制御装置及びデータコピー方法
US6732171B2 (en) 2002-05-31 2004-05-04 Lefthand Networks, Inc. Distributed network storage system with virtualization
US7844833B2 (en) 2002-06-24 2010-11-30 Microsoft Corporation Method and system for user protected media pool
JP4007873B2 (ja) 2002-07-09 2007-11-14 富士通株式会社 データ保護プログラムおよびデータ保護方法
US6931530B2 (en) 2002-07-22 2005-08-16 Vormetric, Inc. Secure network file access controller implementing access control and auditing
US7287269B2 (en) * 2002-07-29 2007-10-23 International Buiness Machines Corporation System and method for authenticating and configuring computing devices
US20040088563A1 (en) 2002-11-01 2004-05-06 Hogan Dirk J. Computer access authorization
US6944712B2 (en) * 2002-12-10 2005-09-13 Lsi Logic Corporation Method and apparatus for mapping storage partitions of storage elements for host systems
US8769680B2 (en) * 2003-06-12 2014-07-01 International Business Machines Corporation Alert passwords for detecting password attacks on systems
US20050050226A1 (en) 2003-08-26 2005-03-03 Nils Larson Device mapping based on authentication user name
JP4512179B2 (ja) 2003-10-28 2010-07-28 株式会社日立製作所 ストレージ装置及びそのアクセス管理方法

Also Published As

Publication number Publication date
EP1528746A3 (en) 2006-01-25
EP1528746A2 (en) 2005-05-04
EP1528746B1 (en) 2009-09-16
US20050097324A1 (en) 2005-05-05
DE602004023168D1 (de) 2009-10-29
JP2005135124A (ja) 2005-05-26
US7454795B2 (en) 2008-11-18
US8006310B2 (en) 2011-08-23
US20060020818A1 (en) 2006-01-26

Similar Documents

Publication Publication Date Title
JP4311637B2 (ja) 記憶制御装置
US7260636B2 (en) Method and apparatus for preventing unauthorized access by a network device
US8224947B2 (en) Managing stored data on a computer network
JP3745961B2 (ja) ネットワークと接続している記憶システムへの接続を認証するための方法および装置
US7756986B2 (en) Method and apparatus for providing data management for a storage system coupled to a network
JP4512179B2 (ja) ストレージ装置及びそのアクセス管理方法
US7353542B2 (en) Storage system, computer system, and method of authorizing an initiator in the storage system or the computer system
EP1569407B1 (en) Computer system for allocating storage area to a computer based on a security level
US20080022120A1 (en) System, Method and Computer Program Product for Secure Access Control to a Storage Device
EP1276034A2 (en) Security for logical unit in storage subsystem
JP4699768B2 (ja) アクセス負荷を分散するストレージシステム
US7367050B2 (en) Storage device
JP2003242039A (ja) ストレージサブシステム、記憶制御装置及びデータコピー方法
JP2004192305A (ja) iSCSIストレージ管理方法及び管理システム
US20090138613A1 (en) Network Converter and Information Processing System
US20070079092A1 (en) System and method for limiting access to a storage device
JP2007087059A (ja) 記憶制御システム
JP3744248B2 (ja) ファイバチャネル接続ストレージサブシステム及びそのアクセス方法
US20050251684A1 (en) Storage control system and storage control method
US7464188B2 (en) Computer system controlling accesses to storage apparatus
JP4485875B2 (ja) ストレージ接続変更方法、ストレージ管理システム及びプログラム
JP4315142B2 (ja) ストレージシステム及びストレージシステムのアクセス方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060310

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20060424

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20060426

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081023

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090202

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20090202

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090213

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090508

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090508

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120522

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120522

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130522

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130522

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees