JPWO2008126324A1 - アクセス制御プログラム、アクセス制御装置およびアクセス制御方法 - Google Patents

アクセス制御プログラム、アクセス制御装置およびアクセス制御方法 Download PDF

Info

Publication number
JPWO2008126324A1
JPWO2008126324A1 JP2009508864A JP2009508864A JPWO2008126324A1 JP WO2008126324 A1 JPWO2008126324 A1 JP WO2008126324A1 JP 2009508864 A JP2009508864 A JP 2009508864A JP 2009508864 A JP2009508864 A JP 2009508864A JP WO2008126324 A1 JPWO2008126324 A1 JP WO2008126324A1
Authority
JP
Japan
Prior art keywords
access
data
storage
authentication information
logical volume
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009508864A
Other languages
English (en)
Other versions
JP4855516B2 (ja
Inventor
雅寿 田村
雅寿 田村
泰生 野口
泰生 野口
荻原 一隆
一隆 荻原
芳浩 土屋
芳浩 土屋
哲太郎 丸山
哲太郎 丸山
武 理一郎
理一郎 武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2008126324A1 publication Critical patent/JPWO2008126324A1/ja
Application granted granted Critical
Publication of JP4855516B2 publication Critical patent/JP4855516B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

特定のコンピュータや通信経路の負荷を増大させることなく、分散ストレージシステムへのアクセスの認証を厳密に行えるようにする。認証情報記憶手段(1a)は認証情報を記憶する。論理ボリューム取得手段(1b)は、データと当該データが配置されたストレージノードとを対応付けた論理ボリューム(5a)を所定のデータベース(5)から取得する。データアクセス手段(1c)は、データへのアクセス要求があると、論理ボリューム(5a)に基づいてアクセス先のストレージノードを特定し、認証情報とアクセス要求に対応する命令とを、特定したストレージノードに対して送信する。

Description

本発明はストレージシステムへのアクセスを制御するアクセス制御プログラム、アクセス制御装置およびアクセス制御方法に関し、特に複数のストレージノードにデータを分散して配置する分散ストレージシステムへのアクセスを制御するアクセス制御プログラム、アクセス制御装置およびアクセス制御方法に関する。
現在、コンピュータによる情報処理が普及するに伴い、データを蓄積するストレージシステムの高機能化の要求が一層高まっている。例えば、大量のデータを読み書きする処理が高速であること、すなわち、高性能化が求められている。また、ストレージシステムを構成するハードウェアの一部に障害が発生しても蓄積したデータが消失しないこと、すなわち、高信頼化が求められている。
このような高性能化・高信頼化の要求に応えるストレージシステムとして、分散ストレージシステムが知られている。分散ストレージシステムでは、ネットワークで接続された複数のストレージノードにデータが分散して配置される。また、分散ストレージシステムでは、同一内容のデータが複数のストレージノードに重複して配置されることが多い。すなわち、複数のストレージノードを用いて、負荷の分散化およびデータの冗長化が行われる。
ここで、分散ストレージシステムでは、蓄積されたデータにアクセスするために、外部のコンピュータに対して論理ボリュームが提供される。論理ボリュームは、分散ストレージシステム全体を1つの仮想的な記憶領域とみなして論理アドレスを管理し、論理アドレスと物理的な配置場所との対応関係を定義する。外部のコンピュータは、最初に論理ボリュームを所定のデータベースから取得し、論理ボリュームを検索してアクセスするデータが配置されているストレージノードを特定する。このようにして、外部のコンピュータは複数のストレージノードに分散して蓄積されたデータにアクセスすることができる。
ところで、機密性や完全性といった情報セキュリティの観点から、何ら制限なくデータへのアクセスを許可することは適当でない。この点、分散ストレージシステムでは、認証サーバを用いた集中的な利用者認証が一般的に行われている(例えば、特許文献1,2参照)。すなわち、外部のコンピュータは、自身が正当な利用者であることを示す認証情報を認証サーバに送信する。そして、認証サーバによる認証に成功すると、その後、複数のストレージノードに対してアクセスすることが可能となる。利用者認証は、論理ボリュームの取得時に行うようにしてもよい。このような集中的な利用者認証により、分散ストレージシステムへのアクセス制限を容易に実現できる。
特開2001−75853号公報 特開2005−209118号公報
しかし、上記特許文献1,2に記載の認証技術では、データへのアクセス経路と認証経路とが異なるため、厳密な利用者管理が困難であるという問題がある。すなわち、外部のコンピュータは、認証サーバによる認証が一度成功すると、その後は原則として認証なしでデータにアクセスすることができる。このため、分散ストレージシステムを停止することなく動的にデータの配置や認証ポリシーなどを変更すると、変更前に認証済みの利用者に不正なアクセスを許す原因となる。一方、厳密な利用者管理を行うために認証の有効時間を短くすると、認証サーバへのアクセスが増大し、認証サーバおよび認証経路となるネットワークに多大な負荷を与える。
本発明はこのような点に鑑みてなされたものであり、特定のコンピュータや通信経路の負荷を増大させることなく、分散ストレージシステムへのアクセスの認証を厳密に行うことが可能なアクセス制御プログラム、アクセス制御装置およびアクセス制御方法を提供することを目的とする。
本発明では、上記課題を解決するために、図1に示すアクセス制御プログラムが提供される。本発明に係るアクセス制御プログラムは、コンピュータにネットワークで接続された複数のストレージノードにデータを分散して配置する分散ストレージシステムへのアクセスを制御させるものである。アクセス制御プログラムを実行するコンピュータ1は、認証情報記憶手段1a、論理ボリューム取得手段1bおよびデータアクセス手段1cを有する。認証情報記憶手段1aは認証情報を記憶する。論理ボリューム取得手段1bは、データと当該データが配置されたストレージノードとを対応付けた論理ボリューム5aを所定のデータベース5から取得する。データアクセス手段1cは、データへのアクセス要求があると、論理ボリューム取得手段1bが取得した論理ボリューム5aに基づいてアクセス先のストレージノードを特定し、認証情報記憶手段1aが記憶する認証情報とアクセス要求に対応する命令とを、特定したストレージノードに対してネットワーク7経由で送信する。
このようなアクセス制御プログラムを実行するコンピュータ1によれば、論理ボリューム取得手段1bにより、データと当該データが配置されたストレージノードとを対応付けた論理ボリューム5aが所定のデータベース5から取得される。ここで、データへのアクセス要求があると、データアクセス手段1cにより、取得された論理ボリューム5aに基づいてアクセス先のストレージノードが特定され、認証情報とアクセス要求に対応する命令とが、特定されたストレージノードに対してネットワーク7経由で送信される。
また、上記課題を解決するために、ネットワークで接続された複数のストレージノードにデータを分散して配置する分散ストレージシステムへのアクセスを制御するアクセス制御装置において、認証情報を記憶する認証情報記憶手段と、データと当該データが配置されたストレージノードとを対応付けた論理ボリュームを所定のデータベースから取得する論理ボリューム取得手段と、データへのアクセス要求があると、論理ボリューム取得手段が取得した論理ボリュームに基づいてアクセス先のストレージノードを特定し、認証情報記憶手段が記憶する認証情報とアクセス要求に対応する命令とを、特定したストレージノードに対してネットワーク経由で送信するデータアクセス手段と、を有することを特徴とするアクセス制御装置が提供される。
このようなアクセス制御装置によれば、論理ボリューム取得手段により、データと当該データが配置されたストレージノードとを対応付けた論理ボリュームが所定のデータベースから取得される。ここで、データへのアクセス要求があると、データアクセス手段により、取得された論理ボリュームに基づいてアクセス先のストレージノードが特定され、認証情報とアクセス要求に対応する命令とが、特定されたストレージノードに対してネットワーク経由で送信される。
また、上記課題を解決するために、ネットワークで接続された複数のストレージノードにデータを分散して配置する分散ストレージシステムへのアクセスを制御するアクセス制御方法において、論理ボリューム取得手段が、データと当該データが配置されたストレージノードとを対応付けた論理ボリュームを所定のデータベースから取得し、データアクセス手段が、データへのアクセス要求があると、論理ボリューム取得手段が取得した論理ボリュームに基づいてアクセス先のストレージノードを特定し、認証情報記憶手段が記憶する認証情報とアクセス要求に対応する命令とを、特定したストレージノードに対してネットワーク経由で送信する、ことを特徴とするアクセス制御方法が提供される。
このようなアクセス制御方法によれば、データと当該データが配置されたストレージノードとを対応付けた論理ボリュームが所定のデータベースから取得される。そして、データへのアクセス要求があると、取得された論理ボリュームに基づいてアクセス先のストレージノードが特定され、認証情報とアクセス要求に対応する命令とが、特定されたストレージノードに対してネットワーク経由で送信される。
本発明では、アクセス要求が発生すると論理ボリュームに基づいてアクセス先のストレージノードを特定し、特定したストレージノードに対して認証情報を送信することとした。すなわち、データへのアクセス時にストレージノードに認証を行わせることとした。これにより、データへのアクセス経路と認証経路とが一致し、認証サーバおよび認証経路となるネットワークに負荷を与えることなく、厳密な認証を行うことが可能となる。
本発明の上記および他の目的、特徴および利点は本発明の例として好ましい実施の形態を表す添付の図面と関連した以下の説明により明らかになるであろう。
本実施の形態の概要を示す図である。 本実施の形態のシステム構成を示す図である。 ストレージノードのハードウェア構成を示す図である。 アクセスノードのハードウェア構成を示す図である。 論理ボリュームのデータ構造を示す模式図である。 ストレージノードの機能を示すブロック図である。 アクセスノードおよびコントロールノードの機能を示すブロック図である。 スライス情報テーブルのデータ構造例を示す図である。 ボリューム情報テーブルのデータ構造例を示す図である。 認証情報テーブルのデータ構造例を示す図である。 アクセス制御処理の手順を示すフローチャートである。 第1の認証処理の流れを示すシーケンス図である。 第2の認証処理の流れを示すシーケンス図である。 認証情報更新時のデータアクセスの流れを示すシーケンス図である。
以下、本発明の実施の形態を図面を参照して説明する。まず、本実施の形態の概要について説明し、その後、本実施の形態の具体的な内容を説明する。
図1は、本実施の形態の概要を示す図である。図1に示す分散ストレージシステムは、コンピュータ1、ストレージノード2,3,4、データベース5、端末装置6およびネットワーク7から構成される。コンピュータ1およびストレージノード2,3,4が、ネットワーク7に接続されている。また、データベース5および端末装置6が、コンピュータ1に接続されている。コンピュータ1は、認証情報記憶手段1a、論理ボリューム取得手段1bおよびデータアクセス手段1cを有する。
認証情報記憶手段1aには、認証情報が格納されている。認証情報は、ストレージノード2,3,4へのアクセスが許可されていることを証明する情報である。ここで、認証方法として、直接のアクセス元であるコンピュータ1を認証する方法と、データへのアクセス要求を行った端末装置6または端末装置6の利用者を認証する方法とがある。前者の場合は、例えば、認証情報としてコンピュータ1のIP(Internet Protocol)アドレスを用いることが考えられる。後者の場合は、例えば、認証情報として利用者に割り当てられたパスワードを用いることが考えられる。
論理ボリューム取得手段1bは、データベース5から論理ボリューム5aを取得する。論理ボリューム5aは、データと当該データが配置されたストレージノードとを対応付けた情報である。論理ボリューム取得手段1bは、予め論理ボリューム5aを取得しておいてもよいし、端末装置6からデータへのアクセス要求を受け付けた後に取得してもよい。
データアクセス手段1cは、端末装置6からデータへのアクセス要求があると、論理ボリューム取得手段1bが取得した論理ボリューム5aに基づいて、アクセス先のストレージノードを特定する。そして、データアクセス手段1cは、認証情報記憶手段1aに格納された認証情報とアクセス要求に対応する命令とを、特定したストレージノードに対してネットワーク7経由で送信する。命令では、読み込み要求(Read要求)や書き込み要求(Write要求)などの操作の種類と、操作対象のデータとが指定される。
ここで、データアクセス手段1cは、認証情報と命令とを同時に送信してもよいし、最初に認証情報を送信してその後命令を送信するようにしてもよい。また、データアクセス手段1cは、アクセス先のストレージノードとの間でセッションを開始する際に認証情報を送信し、セッションが有効である間は認証情報の送信を省略するようにしてもよい。このような通信方法の詳細は、データアクセス手段1cとストレージノード2,3,4との間で予め合意しておく。
ストレージノード2,3,4は、認証情報の一覧をそれぞれ保持している。ストレージノード2,3,4は、コンピュータ1から認証情報を受信すると、保持している認証情報の一覧と照合する。ここで、コンピュータ1から受信した認証情報が一覧に含まれている場合には、認証情報と同時にまたは認証情報の後に受信した命令に従って、データの操作を行い、結果をコンピュータ1に送信する。一方、コンピュータ1から受信した認証情報が一覧に含まれていない場合、アクセスを拒否する旨をコンピュータ1に通知する。その後、コンピュータ1は、アクセスの結果を端末装置6に報告する。
例えば、データ#1がストレージノード2(論理ボリューム5aでは“A”と表記)に配置され、データ#2がストレージノード3(論理ボリューム5aでは“B”と表記)に配置され、データ#3がストレージノード4(論理ボリューム5aでは“C”と表記)に配置されているとする。このとき、端末装置6からデータ#1に対するRead要求があると、データアクセス手段1cは、論理ボリュームに基づいてアクセス先をストレージノード2と特定する。そして、データアクセス手段1cは、認証情報とデータ#1のRead要求を示す命令とを、ストレージノード2に送信する。
なお、データベース5は、コンピュータ1の外部に設けてもよいし、コンピュータ1が保持してもよい。また、端末装置6の機能をコンピュータ1が兼ねるようにしてもよい。
このようなコンピュータ1によれば、論理ボリューム取得手段1bにより、データと当該データが配置されたストレージノードとを対応付けた論理ボリューム5aが所定のデータベース5から取得される。ここで、データへのアクセス要求があると、データアクセス手段1cにより、取得された論理ボリューム5aに基づいてアクセス先のストレージノードが特定され、認証情報とアクセス要求に対応する命令とが、特定されたストレージノードに対してネットワーク7経由で送信される。
これにより、データへのアクセス経路と認証経路とが一致し、認証サーバおよび認証経路となるネットワークに負荷を与えることなく、厳密な認証を行うことが可能となる。
以下、本実施の形態を図面を参照して詳細に説明する。
図2は、本実施の形態のシステム構成を示す図である。図2に示す分散ストレージシステムは、データをネットワークで接続された複数のストレージノードに分散して配置することで、信頼性と処理性能とを向上させたストレージシステムである。
本実施の形態に係る分散ストレージシステムでは、ストレージノード100,200,300,400、アクセスノード500、コントロールノード600および管理ノード30が、ネットワーク10を介して相互に接続されている。また、端末装置21,22,23が、ネットワーク20を介してアクセスノード500に接続されている。
ストレージノード100,200,300,400には、それぞれストレージ装置110,210,310,410が接続されている。ストレージノード100,200,300,400は、接続されたストレージ装置110,210,310,410に格納されたデータを管理し、管理しているデータをネットワーク10経由でアクセスノード500に提供する。
ストレージ装置110には、複数のハードディスク装置(HDD)111,112,113,114が実装されている。ストレージ装置210には、複数のHDD211,212,213,214が実装されている。ストレージ装置310には、複数のHDD311,312,313,314が実装されている。ストレージ装置410には、複数のHDD411,412,413,414が実装されている。各ストレージ装置110,210,310,410は、内蔵する複数のHDDを用いたRAID(Redundant Array of Independent Disks)システムである。本実施の形態では、各ストレージ装置110,210,310,410は、RAID5のディスク管理サービスを提供する。
アクセスノード500は、端末装置21,22,23に対して、ストレージノード100,200,300,400が管理するデータを利用した情報処理のサービスを提供する。すなわち、アクセスノード500は、端末装置21,22,23からの要求に応答して所定のプログラムを実行し、必要に応じてストレージノード100,200,300,400アクセスする。ここで、アクセスノード500は、コントロールノード600から、データの配置状況を示す論理ボリュームを取得し、取得した論理ボリュームに基づいてアクセスすべきストレージノードを特定する。
コントロールノード600は、ストレージノード100,200,300,400を管理する。コントロールノード600は論理ボリュームを保持している。コントロールノード600は、ストレージノード100,200,300,400から、データの管理に関する情報を取得し、必要に応じて論理ボリュームを更新する。また、コントロールノード600は、論理ボリュームが更新されると、その影響を受けるストレージノードに対して更新内容を通知する。論理ボリュームについては、後で詳細に説明する。
管理ノード30は、分散ストレージシステムの管理者が操作する端末装置である。分散ストレージシステムの管理者は、管理ノード30を操作して、ストレージノード100,200,300,400、アクセスノード500およびコントロールノード600にアクセスし、運用時に必要な各種設定を行うことができる。
次に、ストレージノード100,200,300,400、アクセスノード500、コントロールノード600、管理ノード30および端末装置21,22,23のハードウェア構成について説明する。
図3は、ストレージノードのハードウェア構成を示す図である。ストレージノード100は、CPU101によって装置全体が制御されている。CPU101には、バス107を介してRAM(Random Access Memory)102、HDDインタフェース103、グラフィック処理装置104、入力インタフェース105および通信インタフェース106が接続されている。
RAM102には、CPU101に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM102には、CPU101による処理に必要な各種データが格納される。
HDDインタフェース103には、ストレージ装置110が接続されている。HDDインタフェース103は、ストレージ装置110に内蔵されたRAIDコントローラ115と通信し、ストレージ装置110に対するデータの入出力を行う。ストレージ装置110内のRAIDコントローラ115は、RAID0〜RAID5の機能を有し、複数のHDD111〜114をまとめて1台のハードディスクとして管理する。
グラフィック処理装置104には、モニタ11が接続されている。グラフィック処理装置104は、CPU101からの命令に従って、画像をモニタ11の画面に表示させる。入力インタフェース105には、キーボード12とマウス13とが接続されている。入力インタフェース105は、キーボード12やマウス13から送られてくる信号を、バス107を介してCPU101に送信する。
通信インタフェース106は、ネットワーク10に接続されている。通信インタフェース106は、ネットワーク10を介して、他のコンピュータとの間でデータの送受信を行う。
ストレージノード200,300,400も、ストレージノード100と同様のハードウェア構成によって実現できる。
図4は、アクセスノードのハードウェア構成を示す図である。アクセスノード500は、CPU501によって装置全体が制御されている。CPU501には、バス508を介してRAM502、HDD503、グラフィック処理装置504、入力インタフェース505および通信インタフェース506、507が接続されている。
RAM502には、CPU501に実行させるOSのプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM502には、CPU501による処理に必要な各種データが格納される。HDD503には、OSやアプリケーションのプログラムが格納される。
グラフィック処理装置504には、モニタ51が接続されている。グラフィック処理装置504は、CPU501からの命令に従って、画像をモニタ51の画面に表示させる。入力インタフェース505には、キーボード52とマウス53とが接続されている。入力インタフェース505は、キーボード52やマウス53から送られてくる信号を、バス508を介してCPU501に送信する。
通信インタフェース506は、ネットワーク10に接続されている。通信インタフェース506は、ネットワーク10を介して、他のコンピュータとの間でデータの送受信を行う。また、通信インタフェース507は、ネットワーク20に接続されている。通信インタフェース507は、ネットワーク20を介して、他のコンピュータとの間でデータの送受信を行う。
コントロールノード600、管理ノード30および端末装置21,22,23も、アクセスノード500と同様のハードウェア構成によって実現できる。ただし、コントロールノード600、管理ノード30および端末装置21,22,23は、通信インタフェースを2つ備えている必要はない。
以上のようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。
ここで、コントロールノード600がアクセスノード500に対して提供する論理ボリュームについて説明する。論理ボリュームは、ストレージノード100,200,300,400によって分散管理されているデータを、アクセスノード500から容易に利用できるようにするための仮想的なボリュームである。
図5は、論理ボリュームのデータ構造を示す模式図である。論理ボリューム700には、"VV−A"という論理ボリュームIDが付与されている。また、ストレージノード100,200,300,400には、それぞれ"SN−A"、"SN−B"、"SN−C"、"SN−D"というノードIDが付与されている。
各ストレージノード100,200,300,400に接続されたストレージ装置110,210,310,410それぞれにおいてRAID5の論理ディスクが構成されている。この論理ディスクは6つのスライスに分割されて、個々のストレージノード内で管理されている。
図5の例では、ストレージ装置110内の記憶領域は、6つのスライス121〜126に分割されている。ストレージ装置210内の記憶領域は、6つのスライス221〜226に分割されている。ストレージ装置310内の記憶領域は、6つのスライス321〜326に分割されている。ストレージ装置410内の記憶領域は、6つのスライス421〜426に分割されている。
論理ボリューム700は、セグメント710,720,730,740,750,760という単位で構成される。図5の例では、セグメントを識別するセグメントIDを、“P”と数字との組み合わせで示している。“P”に続く数字は、何番目のセグメントに属するのかを表している。例えば、1番目のセグメント710は“P1”で示される。
このような構造の論理ボリューム700の各セグメントが、ストレージ装置110,210,310,410内のいずれかのスライスに対応付けられる。例えば、セグメント710は、ストレージ装置110のスライス121に対応付けられている。そして、ストレージ装置110,210,310,410には、自己のスライスに対応付けられたセグメントのデータが格納される。
次に、ストレージノード100,200,300,400、アクセスノード500およびコントロールノード600のモジュール構成について説明する。
図6は、ストレージノードの機能を示すブロック図である。ストレージノード100は、スライス情報記憶部130、認証情報記憶部140、データアクセス部150、認証情報管理部160およびスライス情報管理部170を有する。
スライス情報記憶部130には、ストレージ装置110が有するスライスについてのスライス情報が格納される。スライス情報には、スライスを特定するためのアドレスやスライスとセグメントとの対応関係を示す情報などが含まれている。
認証情報記憶部140には、認証情報の一覧が格納されている。認証情報の一覧は、ストレージノード100へのアクセスが正当か否かを判断するために用いられる。
データアクセス部150は、データへのアクセスを受け付けると、スライス情報記憶部130に格納されたスライス情報と認証情報記憶部140に格納された認証情報の一覧とを参照して、ストレージ装置110に格納されたデータを操作する。
具体的には、データアクセス部150は、アクセス元から取得した認証情報を、認証情報記憶部140に格納された認証情報の一覧と照合する。ここで、取得した認証情報が認証情報の一覧に含まれていない場合、アクセスが不正であるとして、アクセス元に対してアクセスを拒否する旨を通知する。
一方、取得した認証情報が認証情報の一覧に含まれている場合、データアクセス部150は、認証情報と同時にまたは認証情報の後に受け付けた命令に従って、ストレージ装置110に格納されたデータを操作する。
具体的には、命令がアドレスを指定したRead要求である場合、データアクセス部150は、指定されたアドレスに対応するデータをストレージ装置110から取得し、アクセス元に対して送信する。命令がアドレスおよび書き込み内容を指定したWrite要求である場合、データアクセス部150は、ストレージ装置110内の指定されたアドレスに対応する位置にデータの書き込みを試みる。そして、データアクセス部150は、書き込みの結果をアクセス元に通知する。
認証情報管理部160は、管理ノード30から認証情報の変更の指示を受け付けると、指示内容に従って、認証情報記憶部140に格納された認証情報の一覧を更新する。例えば、認証情報管理部160は、新規の認証情報を一覧に追加したり、特定の認証情報を一覧から削除したりする。なお、管理者は管理ノード30を操作して、各ストレージノードの認証情報の一覧を個別に変更することもできるし、全てのストレージノード100,200,300,400の認証情報の一覧を一斉に変更することもできる。
スライス情報管理部170は、ストレージノード100の稼働状態を定期的にコントロールノード600に通知する。また、スライス情報管理部170は、コントロールノード600からスライス情報の取得要求があると、スライス情報記憶部130に格納されたスライス情報を送信する。また、スライス情報管理部170は、コントロールノード600からスライス情報の更新の指示を受け付けると、指示された更新内容を、スライス情報記憶部130に格納されたスライス情報に反映させる。
ストレージノード200,300,400も、ストレージノード100と同様のモジュール構成によって実現できる。
図7は、アクセスノードおよびコントロールノードの機能を示すブロック図である。
アクセスノード500は、論理ボリューム記憶部510、認証情報記憶部520およびデータアクセス制御部530を有する。
論理ボリューム記憶部510には、コントロールノード600が管理している論理ボリュームと同じ情報が格納される。
認証情報記憶部520は、ストレージノード100,200,300,400へのアクセス時に使用する認証情報が格納される。具体的には、認証情報として、アクセスノード500のIPアドレスが格納される。また、認証情報として、ユーザIDとパスワードからなるアカウント情報が格納される。アカウント情報は、端末装置21,22,23の利用者に入力させたものである。
データアクセス制御部530は、実行中のプログラムからデータへのアクセス要求があると、まず論理ボリューム記憶部510に論理ボリュームが格納されているか否か確認する。論理ボリュームが格納されていない場合、データアクセス制御部530は、コントロールノード600から論理ボリュームを取得し、取得した論理ボリュームを論理ボリューム記憶部510に格納する。
そして、データアクセス制御部530は、論理ボリュームに基づいてアクセス先のストレージノードを特定する。すなわち、データが属するセグメントを特定し、特定したセグメントを管理するストレージノードを特定する。その後、データアクセス制御部530は、特定したストレージノードにアクセスする。このとき、データアクセス制御部530は、認証情報記憶部520に格納された認証情報を特定したストレージノードに対して送信する。
なお、認証情報は、全てのストレージノード100,200,300,400で共通に使用可能なものとしてもよいし、ストレージノード毎に異なる認証情報を使用するものとしてもよい。また、全ての論理ボリュームで共通に使用可能なものとしてもよいし、論理ボリューム毎に異なる認証情報を使用するものとしてもよい。
コントロールノード600は、論理ボリューム記憶部610および論理ボリューム管理部620を有する。
論理ボリューム記憶部610には、1つ以上の論理ボリュームが格納される。論理ボリュームでは、ストレージ装置110,210,310,410が管理する記憶領域を一元的に扱うために、仮想的なアドレスである論理アドレスによって各セグメントが管理されている。論理ボリュームには、セグメントを特定するための論理アドレスやセグメントに対応するスライスを特定するための情報などが含まれている。
論理ボリューム管理部620は、ストレージノード100,200,300,400から稼働状態を示す通知をネットワーク10経由で受信する。これにより、論理ボリューム管理部620は、ストレージノード100,200,300,400が正常に稼働しているか否かを知る。また、論理ボリューム管理部620は、必要に応じてストレージノード100,200,300,400からスライス情報を取得し、論理ボリューム記憶部610に格納された論理ボリュームを更新する。また、論理ボリューム管理部620は、論理ボリューム記憶部610が更新されると、更新によって影響を受けるストレージノードに対して更新内容を通知する。
また、論理ボリューム管理部620は、アクセスノード500から論理ボリュームの参照要求を受け付けると、論理ボリューム記憶部610に格納された論理ボリュームを、アクセスノード500に対して送信する。
図8は、スライス情報テーブルのデータ構造例を示す図である。図8に示すスライス情報テーブル131は、ストレージノード100のスライス情報記憶部130に格納されている。スライス情報テーブル131には、ディスクを示す項目、物理アドレスを示す項目、ブロック数を示す項目、ボリュームを示す項目および論理アドレスを示す項目が設けられている。各項目の横方向に並べられた情報同士が互いに関連付けられて、1つのスライスについてのスライス情報を構成する。
ディスクを示す項目には、HDDを識別するディスクIDが設定される。物理アドレスを示す項目には、スライスの先頭ブロックを示す物理的なアドレスが設定される。ブロック数を示す項目には、スライスに含まれるブロックの数が設定される。ボリュームを示す項目には、スライスに対応付けられたセグメントが属する論理ボリュームの論理ボリュームIDが設定される。論理アドレスを示す項目には、スライスに対応付けられたセグメントの先頭の論理アドレスが設定される。
スライス情報テーブル131に格納されるスライス情報は、スライス情報管理部170によって適宜更新される。例えば、ディスクが“sd−a”、物理アドレスが“3072”、ブロック数が“512”、ボリュームが“VV−1”、論理アドレスが“4096”という情報が格納される。これは、ディスクID“sd−a”のディスクの3072ブロックから3583ブロックまでの記憶領域が1つのスライスを構成し、そのスライスに、論理アドレスが4096ブロックから4607ブロックまでのセグメントが割り当てられていることを示している。
図9は、ボリューム情報テーブルのデータ構造例を示す図である。図9に示す論理ボリュームテーブル611は、論理ボリュームIDが“VV−1”の論理ボリュームについてのテーブルである。論理ボリュームテーブル611は、コントロールノード600の論理ボリューム記憶部610に格納されている。論理ボリュームテーブル611には、セグメントを示す項目、論理アドレスを示す項目、ブロック数を示す項目、ノードを示す項目、ディスクを示す項目および物理アドレスを示す項目が設けられている。各項目の横方向に並べられた情報同士が互いに関連付けられている。
セグメントを示す項目には、セグメントを識別するセグメントIDが設定される。論理アドレスを示す項目には、セグメントの先頭の論理アドレスが設定される。ブロック数を示す項目には、セグメントに含まれるブロックの数が設定される。ノードを示す項目には、割り当て先のストレージノードを識別するノードIDが設定される。ディスクを示す項目には、ストレージノード内でHDDを識別するディスクIDが設定される。物理アドレスを示す項目には、割り当て先のスライスの先頭ブロックを示す物理的なアドレスが設定される。
論理ボリュームテーブル611に格納される情報は、ストレージノード100,200,300,400から取得したスライス情報に基づいて、論理ボリューム管理部620によって生成される。
図10は、認証情報テーブルのデータ構造例を示す図である。図10に示すアカウント情報を格納した認証情報テーブル141と、IPアドレスを格納した認証情報テーブル142は、ストレージノード100の認証情報記憶部140に格納されている。
認証情報テーブル141には、ユーザIDを示す項目とパスワードを示す項目とが設けられている。各項目の横方向に並べられた情報同士が互いに関連付けられて、1つのアカウント情報を構成する。ユーザIDを示す項目には、端末装置21,22,23の利用者を識別するIDが設定される。パスワードを示す項目には、管理者または利用者によって指定された任意の文字列が設定される。
認証情報テーブル142には、IPアドレスを示す項目が設けられている。IPアドレスを示す項目には、ストレージノード100へのアクセスを許可するコンピュータを識別するIPアドレスが設定される。
認証情報テーブル141,142に格納される情報は、管理者が管理ノード30を操作してストレージノード100に指示することで、適宜更新される。
次に、以上のような構成およびデータ構造のシステムにおいて実行される処理の詳細を説明する。
図11は、アクセス制御処理の手順を示すフローチャートである。図11のフローチャートは、アクセスノード500で実行中のプログラムがデータアクセスを要求したときに、アクセスノード500のデータアクセス制御部530によって実行される処理を示している。以下、図11に示す処理をステップ番号に沿って説明する。
[ステップS11]データアクセス制御部530は、論理ボリューム記憶部510から論理ボリュームを読み込む。ここで、論理ボリューム記憶部510に論理ボリュームが格納されていない場合には、データアクセス制御部530は、コントロールノード600から論理ボリュームを取得して、論理ボリューム記憶部510に格納する。
[ステップS12]データアクセス制御部530は、ステップS11で読み込んだ論理ボリュームに基づいて、アクセス対象のデータが属するセグメントを特定し、特定したセグメントが割り当てられているストレージノードを特定する。
[ステップS13]データアクセス制御部530は、認証情報記憶部520に格納された認証情報を読み込む。ここで、認証情報記憶部520に複数の認証情報が格納されている場合には、予め設定された規則に従って、読み込む認証情報を選択する。例えば、認証時にアカウント情報のみを用いる、IPアドレスのみを用いる、アカウント情報とIPアドレスとの両方を用いる、などの認証方法が管理者によって予め設定されている。
[ステップS14]データアクセス制御部530は、予め設定された通信方法に従って、ステップS12で特定したストレージノードに対して、ステップS13で読み込んだ認証情報を用いたアクセスを行う。アクセスノード500とストレージノード100,200,300,400との間の通信方法の詳細は、後で説明する。
[ステップS15]データアクセス制御部530は、ステップS14でアクセスしたストレージノードからアクセス結果を受信する。そして、データアクセス制御部530は、データアクセスを要求したプログラムに対してアクセス結果を通知する。
このようにして、アクセスノード500は、実行中のプログラムからの要求に従って、ストレージノード100,200,300,400にアクセスする。このとき、アクセスノード500は、アクセス先のストレージノードに対して認証情報を送信する。これにより、アクセス先のストレージノードにて認証が行われ、認証が成功した場合のみデータの操作が実行される。
なお、セッション単位で認証を行うように設定されている場合であって、ステップS12で特定されたストレージノードとの間のセッションが有効である場合には、上記ステップS13での認証情報の読み込みとステップS14での認証情報の送信とが省略される。
次に、アクセスノード500とストレージノード100,200,300,400との間で行われる通信の詳細について説明する。ただし、以下の説明では、アクセスノード500とストレージノード100との間で通信を行うものとする。
図12は、第1の認証処理の流れを示すシーケンス図である。図12のシーケンス図は、アクセス単位で認証を行うように設定されている場合の処理の流れの例を示している。以下、図12に示す処理をステップ番号に沿って説明する。
[ステップS21]アクセスノード500は、ストレージノード100との間でセッションを確立する。
[ステップS22]アクセスノード500は、認証情報と命令内容とを1つの通信データとして、ストレージノード100に送信する。ここでは、命令内容はWrite要求であるとする。
[ステップS23]ストレージノード100は、ステップS22で受信した認証情報を用いて認証処理を行う。すなわち、ステップS22で受け付けたアクセスが、権限を有する者からのアクセスであるか否か判断する。ここでは、認証が成功したものとする。
[ステップS24]ストレージノード100は、ステップS22で受け付けた命令内容に相当するデータ操作を実行する。すなわち、ストレージ装置110へのデータの書き込みを試みる。
[ステップS25]ストレージノード100は、ステップS24で行ったデータの書き込みの結果をアクセスノード500に報告する。
[ステップS26]アクセスノード500は、認証情報と命令内容とを1つの通信データとして、ストレージノード100に送信する。ここでは、命令内容はRead要求であるとする。
[ステップS27]ストレージノード100は、ステップS26で受信した認証情報を用いて認証処理を行う。すなわち、ステップS26で受け付けたアクセスが、権限を有する者からのアクセスであるか否か判断する。ここでは、認証が成功したものとする。
[ステップS28]ストレージノード100は、ステップS26で受け付けた命令内容に相当するデータ操作を実行する。すなわち、指定されたデータをストレージ装置110から取得する。
[ステップS29]ストレージノード100は、ステップS28で取得したデータをアクセスノード500に送信する。
[ステップS30]アクセスノード500は、ストレージノード100との間のセッションを解放する。
このようにして、アクセス単位で認証を行うように設定されている場合、アクセスノード500は、アクセス毎に命令内容と共に認証情報をストレージノード100に送信する。ストレージノード100は、アクセスを受け付ける毎に、受信した認証情報を用いて認証処理を行う。これにより、厳密な利用者認証を実現できる。
なお、図12のシーケンス図では、アクセスノード500は、認証情報と命令内容とを1つの通信データとして送信することとしたが、両者を分離して2段階で送信するようにしてもよい。すなわち、アクセスノード500は、先に認証情報を送信し、ストレージノード100で認証が成功すると、その後に命令内容を送信するようにしてもよい。
図13は、第2の認証処理の流れを示すシーケンス図である。図13のシーケンス図は、セッション単位で認証を行うように設定されている場合の処理の流れの例を示している。以下、図13に示す処理をステップ番号に沿って説明する。
[ステップS31]アクセスノード500は、ストレージノード100との間でセッションを確立する。
[ステップS32]アクセスノード500は、認証情報をストレージノード100に送信する。
[ステップS33]ストレージノード100は、ステップS32で受信した認証情報を用いて認証処理を行う。ここでは、認証が成功したものとする。
[ステップS34]ストレージノード100は、アクセスを許可する旨をアクセスノード500に通知する。
[ステップS35]アクセスノード500は、命令内容をストレージノード100に送信する。ここでは、命令内容はWrite要求であるとする。
[ステップS36]ストレージノード100は、ステップS35で受け付けた命令内容に相当するデータ操作を実行する。すなわち、ストレージ装置110へのデータの書き込みを試みる。
[ステップS37]ストレージノード100は、ステップS36で行ったデータの書き込みの結果をアクセスノード500に報告する。
[ステップS38]アクセスノード500は、命令内容をストレージノード100に送信する。ここでは、命令内容はRead要求であるとする。
[ステップS39]ストレージノード100は、ステップS38で受け付けた命令内容に相当するデータ操作を実行する。すなわち、指定されたデータをストレージ装置110から取得する。
[ステップS40]ストレージノード100は、ステップS39で取得したデータをアクセスノード500に送信する。
[ステップS41]アクセスノード500は、ストレージノード100との間のセッションを解放する。
このようにして、セッション単位で認証を行うように設定されている場合、アクセスノード500は、セッション開始時に認証情報をストレージノード100に送信する。ストレージノード100は、受信した認証情報を用いて認証処理を行う。認証に成功した場合、セッションが解放されるまでの間、アクセスノード500からストレージノード100へのアクセスが許可される。これにより、認証処理に伴うストレージノード100の負荷を軽減することができる。
次に、アクセスノード500からストレージノード100への一連のアクセスの途中でストレージノード100の認証情報の一覧が更新されて、アクセスが失敗する例を示す。
図14は、認証情報更新時のデータアクセスの流れを示すシーケンス図である。図14のシーケンス図は、アクセス単位で認証を行うように設定されている場合の処理の流れの例を示している。以下、図14に示す処理をステップ番号に沿って説明する。
[ステップS51]アクセスノード500は、ストレージノード100との間でセッションを確立する。
[ステップS52]アクセスノード500は、認証情報と命令内容とを1つの通信データとして、ストレージノード100に送信する。ここでは、命令内容はWrite要求であるとする。
[ステップS53]ストレージノード100は、ステップS52で受信した認証情報を用いて認証処理を行う。ここでは、認証が成功したものとする。
[ステップS54]ストレージノード100は、ステップS52で受け付けた命令内容に相当するデータ操作を実行する。すなわち、ストレージ装置110へのデータの書き込みを試みる。
[ステップS55]ストレージノード100は、ステップS54で行ったデータの書き込みの結果をアクセスノード500に報告する。
[ステップS56]管理ノード30は、管理者の操作入力に応答して、ストレージノード100に認証情報の一覧の更新を指示する。ストレージノード100は、管理ノード30からの指示に従って、認証情報の一覧を更新する。ここでは、アクセスに必要なパスワードが変更されたものとする。
[ステップS57]アクセスノード500は、認証情報と命令内容とを1つの通信データとして、ストレージノード100に送信する。ここでは、命令内容はRead要求であるとする。
[ステップS58]ストレージノード100は、ステップS57で受信した認証情報を用いて認証処理を行う。ここでは、ステップS56でアクセスに必要なパスワードが変更されているため、認証が失敗する。
[ステップS59]ストレージノード100は、ストレージノード100は、アクセスを拒否する旨をアクセスノード500に通知する。
[ステップS60]アクセスノード500は、ストレージノード100との間のセッションを解放する。
このようにして、ストレージノード100は、認証情報の一覧が変更された場合、変更内容をリアルタイムに反映してアクセスの拒否を判断する。これにより、より厳密な利用者認証を実現できる。
このような分散ストレージシステムによれば、ストレージノードへのアクセス時にストレージノードに認証を行わせることとした。これにより、データへのアクセス経路と認証経路とが一致する。従って、論理ボリュームの取得時などに認証サーバを用いて一括して認証を行う場合と比べて、認証サーバや認証経路となるネットワークに負荷を与えることなく、厳密な認証を行うことが可能となる。
特に、分散ストレージシステムを停止することなく動的にセグメントの配置や認証情報を変更した場合でも、変更前に認証済みの利用者によって不正なアクセスが行われることを的確に防止できる。
以上、本発明のアクセス制御プログラム、アクセス制御装置およびアクセス制御方法を図示の実施の形態に基づいて説明したが、本発明はこれに限定されるものではなく、各部の構成は同様の機能を有する任意の構成のものに置換することができる。また、本発明に他の任意の構成物や工程が付加されていてもよい。また、本発明は前述した実施の形態のうちの任意の2以上の構成(特徴)を組み合わせたものであってもよい。
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、ストレージノード100,200,300,400、アクセスノード500およびコントロールノード600が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープ(MT)などがある。光ディスクには、DVD(Digital Versatile Disc)、DVD−RAM、CD−ROM(Compact Disc - Read Only Memory)、CD−R(Recordable)/RW(ReWritable)などがある。光磁気記録媒体には、MO(Magneto - Optical disk)などがある。
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD、CD−ROMなどの可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
上記プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送される毎に、逐次、受け取ったプログラムに従った処理を実行することもできる。
上記については単に本発明の原理を示すものである。さらに、多数の変形、変更が当業者にとって可能であり、本発明は上記に示し、説明した正確な構成および応用例に限定されるものではなく、対応するすべての変形例および均等物は、添付の請求項およびその均等物による本発明の範囲とみなされる。
 符号の説明
1 コンピュータ
1a 認証情報記憶手段
1b 論理ボリューム取得手段
1c データアクセス手段
2,3,4 ストレージノード
5 データベース
5a 論理ボリューム
6 端末装置
7 ネットワーク

Claims (9)

  1. コンピュータにネットワークで接続された複数のストレージノードにデータを分散して配置する分散ストレージシステムへのアクセスを制御させるアクセス制御プログラムにおいて、
    前記コンピュータを、
    認証情報を記憶する認証情報記憶手段、
    前記データと当該データが配置された前記ストレージノードとを対応付けた論理ボリュームを所定のデータベースから取得する論理ボリューム取得手段、
    前記データへのアクセス要求があると、前記論理ボリューム取得手段が取得した前記論理ボリュームに基づいてアクセス先の前記ストレージノードを特定し、前記認証情報記憶手段が記憶する前記認証情報と前記アクセス要求に対応する命令とを、特定した前記ストレージノードに対して前記ネットワーク経由で送信するデータアクセス手段、
    として機能させることを特徴とするアクセス制御プログラム。
  2. 前記論理ボリュームでは、アドレス空間が複数の論理セグメントに分割され、前記論理セグメント単位で前記データと前記ストレージノードとが対応付けられており、
    前記データアクセス手段は、前記アクセス要求で示される前記データが属する前記論理セグメントを特定し、特定した前記論理セグメントに対応する前記ストレージノードをアクセス先として特定する、
    ことを特徴とする請求の範囲第1項記載のアクセス制御プログラム。
  3. 前記データアクセス手段は、特定した前記ストレージノードとの間でセッションを開始するときに前記認証情報と前記命令とを送信し、その後、他のアクセス要求に対応する命令を前記セッションが有効である前記ストレージノードに対して送信するときは、前記認証情報を送信しないことを特徴とする請求の範囲第1項記載のアクセス制御プログラム。
  4. ネットワークで接続された複数のストレージノードにデータを分散して配置する分散ストレージシステムへのアクセスを制御するアクセス制御装置において、
    認証情報を記憶する認証情報記憶手段と、
    前記データと当該データが配置された前記ストレージノードとを対応付けた論理ボリュームを所定のデータベースから取得する論理ボリューム取得手段と、
    前記データへのアクセス要求があると、前記論理ボリューム取得手段が取得した前記論理ボリュームに基づいてアクセス先の前記ストレージノードを特定し、前記認証情報記憶手段が記憶する前記認証情報と前記アクセス要求に対応する命令とを、特定した前記ストレージノードに対して前記ネットワーク経由で送信するデータアクセス手段と、
    を有することを特徴とするアクセス制御装置。
  5. 前記論理ボリュームでは、アドレス空間が複数の論理セグメントに分割され、前記論理セグメント単位で前記データと前記ストレージノードとが対応付けられており、
    前記データアクセス手段は、前記アクセス要求で示される前記データが属する前記論理セグメントを特定し、特定した前記論理セグメントに対応する前記ストレージノードをアクセス先として特定する、
    ことを特徴とする請求の範囲第4項記載のアクセス制御装置。
  6. 前記データアクセス手段は、特定した前記ストレージノードとの間でセッションを開始するときに前記認証情報と前記命令とを送信し、その後、他のアクセス要求に対応する命令を前記セッションが有効である前記ストレージノードに対して送信するときは、前記認証情報を送信しないことを特徴とする請求の範囲第4項記載のアクセス制御装置。
  7. ネットワークで接続された複数のストレージノードにデータを分散して配置する分散ストレージシステムへのアクセスを制御するアクセス制御方法において、
    論理ボリューム取得手段が、前記データと当該データが配置された前記ストレージノードとを対応付けた論理ボリュームを所定のデータベースから取得し、
    データアクセス手段が、前記データへのアクセス要求があると、前記論理ボリューム取得手段が取得した前記論理ボリュームに基づいてアクセス先の前記ストレージノードを特定し、認証情報記憶手段が記憶する認証情報と前記アクセス要求に対応する命令とを、特定した前記ストレージノードに対して前記ネットワーク経由で送信する、
    ことを特徴とするアクセス制御方法。
  8. 前記論理ボリュームでは、アドレス空間が複数の論理セグメントに分割され、前記論理セグメント単位で前記データと前記ストレージノードとが対応付けられており、
    データアクセスの際、前記データアクセス手段が、前記アクセス要求で示される前記データが属する前記論理セグメントを特定し、特定した前記論理セグメントに対応する前記ストレージノードをアクセス先とする、
    ことを特徴とする請求の範囲第7項記載のアクセス制御方法。
  9. データアクセスの際、前記データアクセス手段が、特定した前記ストレージノードとの間でセッションを開始するときに前記認証情報と前記命令とを送信し、その後、他のアクセス要求に対応する命令を前記セッションが有効である前記ストレージノードに対して送信するときは、前記認証情報を送信しないことを特徴とする請求の範囲第7項記載のアクセス制御方法。
JP2009508864A 2007-03-30 2007-03-30 アクセス制御プログラム、アクセス制御装置およびアクセス制御方法 Expired - Fee Related JP4855516B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2007/057289 WO2008126324A1 (ja) 2007-03-30 2007-03-30 アクセス制御プログラム、アクセス制御装置およびアクセス制御方法

Publications (2)

Publication Number Publication Date
JPWO2008126324A1 true JPWO2008126324A1 (ja) 2010-07-22
JP4855516B2 JP4855516B2 (ja) 2012-01-18

Family

ID=39863497

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009508864A Expired - Fee Related JP4855516B2 (ja) 2007-03-30 2007-03-30 アクセス制御プログラム、アクセス制御装置およびアクセス制御方法

Country Status (3)

Country Link
US (1) US20090328151A1 (ja)
JP (1) JP4855516B2 (ja)
WO (1) WO2008126324A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102726031A (zh) * 2011-07-22 2012-10-10 华为技术有限公司 内容处理方法、装置和系统
US9286305B2 (en) 2013-03-14 2016-03-15 Fujitsu Limited Virtual storage gate system
WO2016051512A1 (ja) 2014-09-30 2016-04-07 株式会社日立製作所 分散型ストレージシステム
US10185507B1 (en) * 2016-12-20 2019-01-22 Amazon Technologies, Inc. Stateless block store manager volume reconstruction
US10268593B1 (en) 2016-12-20 2019-04-23 Amazon Technologies, Inc. Block store managamement using a virtual computing system service
US10921991B1 (en) 2016-12-20 2021-02-16 Amazon Technologies, Inc. Rule invalidation for a block store management system
US10809920B1 (en) 2016-12-20 2020-10-20 Amazon Technologies, Inc. Block store management for remote storage systems
US11507283B1 (en) 2016-12-20 2022-11-22 Amazon Technologies, Inc. Enabling host computer systems to access logical volumes by dynamic updates to data structure rules
JP7450726B2 (ja) 2019-12-27 2024-03-15 ヒタチ ヴァンタラ エルエルシー ハイブリッドクラウド非同期データ同期
US11494301B2 (en) * 2020-05-12 2022-11-08 EMC IP Holding Company LLC Storage system journal ownership mechanism
CN113630450B (zh) * 2021-07-26 2024-03-15 深圳市杉岩数据技术有限公司 分布式存储系统的访问控制方法及分布式存储系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01258121A (ja) * 1988-04-08 1989-10-16 Nec Corp 論理ボリューム実現方式
JPH01258120A (ja) * 1988-04-08 1989-10-16 Nec Corp 論理ボリューム実現方式
JPH1055301A (ja) * 1996-08-13 1998-02-24 Mitsubishi Electric Corp 分散型データベース装置
JP2000236346A (ja) * 1999-02-15 2000-08-29 Hitachi Ltd 記憶装置およびホスト装置
JP2001075853A (ja) * 1999-09-03 2001-03-23 Hitachi Ltd 計算機システム、及び該計算機システムに用いられる計算機並びに記憶装置
US6845403B2 (en) * 2001-10-31 2005-01-18 Hewlett-Packard Development Company, L.P. System and method for storage virtualization
JP2005209118A (ja) * 2004-01-26 2005-08-04 Nippon Telegr & Teleph Corp <Ntt> 情報分散ストレージシステムとこのシステムに用いられる全体認証サーバ装置、認証サーバ装置及び分散ストレージサーバ装置及び情報分散ストレージ方法

Also Published As

Publication number Publication date
JP4855516B2 (ja) 2012-01-18
WO2008126324A1 (ja) 2008-10-23
US20090328151A1 (en) 2009-12-31

Similar Documents

Publication Publication Date Title
JP4855516B2 (ja) アクセス制御プログラム、アクセス制御装置およびアクセス制御方法
JP4620111B2 (ja) ネットワークシステム、ストレージ装置へのアクセス制御方法、管理サーバ、ストレージ装置及びログイン制御方法
JP5117748B2 (ja) 暗号化機能を備えたストレージ仮想化装置
JP4437650B2 (ja) ストレージシステム
US7266659B2 (en) Memory device system, storage device, and log recording method
US7984133B2 (en) Computer and access control method in a computer
US7529885B2 (en) Cache control method for node apparatus
US7139871B2 (en) Method of managing storage system to be managed by multiple managers
JP5365502B2 (ja) ファイル管理装置、ファイル管理プログラム、およびファイル管理方法
US7367050B2 (en) Storage device
US7865688B2 (en) Method and system for controlling information of logical division in a storage controller
US20030172069A1 (en) Access management server, disk array system, and access management method thereof
JP4285058B2 (ja) ネットワーク管理プログラム、管理計算機及び管理方法
US20090327758A1 (en) Storage apparatus and data processing method for storage apparatus
JP4863905B2 (ja) ストレージ利用排他方式
US20090177895A1 (en) Controller for controlling logical volume-related settings
JP4345309B2 (ja) ネットワークストレージ装置
JP2014170401A (ja) ストレージ管理システム、ストレージ管理装置及びストレージ管理プログラム
JP7354355B1 (ja) ストレージシステムおよび暗号演算方法
JP2006134342A (ja) 外部記憶装置
JP2022169904A (ja) 認証システム、認証方法及び中央管理装置
JP2022054500A (ja) 情報処理プログラム、情報処理方法、情報処理装置および情報処理システム
JP4723532B2 (ja) 計算機システム、及び該計算機システムに用いられる計算機並びに記憶装置
JP2006301950A (ja) 記憶装置及びその管理モジュール

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110614

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110804

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111025

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111026

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141104

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees