| 【発明の名称】 |
記憶制御装置および記憶システム |
| 【発明者】 |
【氏名】重村 武志
【氏名】鎌野 寿充
|
| 【要約】 |
【課題】記憶制御装置がネットワークを介して多数の上位装置からのアクセスを受ける環境の中で、多様なセキュリティ管理を実現する。
【解決手段】複数の上位装置10〜30に対してファイバチャネル70を介して接続される記憶制御装置40および配下のディスクアレイ装置50からなる記憶システムにおいて、記憶制御装置40内に、個々の上位装置(N_Port_Name)の、ディスクアレイ装置50内の特定の論理ユニット(LU)に対するアクセス可能時間帯を設定するアクセス制御テーブル90を設け、上位装置10〜30からアクセス要求のコマンドを受領した時に、記憶制御装置40はコマンドに付随するN_Port_Nameとコマンドを受領した時刻を、アクセス制御テーブル90の設定内容と比較し、一致した場合(アクセス時刻がアクセス可能時間帯内の場合)にはコマンド処理を実行し、不一致の場合には実行を拒否する。 |
【特許請求の範囲】
【請求項1】 配下に記憶装置を備え、インタフェースを介して複数の上位装置に接続されることでコンピュータシステムを構成する記憶制御装置であって、前記上位装置と前記記憶制御装置との間のアクセスを時間情報を用いて制限する機能を備えたことを特徴とする記憶制御装置。
【請求項2】 請求項1記載の記憶制御装置において、前記インタフェース上において前記上位装置を一意に識別できる上位装置識別情報と、個々の前記上位装置毎に設定されるアクセス許可時間帯情報とが対応付けて格納されるアクセス制御テーブルを備え、前記上位装置から前記記憶装置へのアクセス要求時に、当該上位装置の上位装置識別情報、および当該上位装置によるアクセス時刻と、前記アクセス制御テーブルに設定されている前記上位装置識別情報、および前記アクセス許可時間帯情報を比較し、前記比較の結果、アクセス可能であった場合には前記アクセス要求の処理を行い、アクセス不可であった場合には、前記アクセス要求を拒絶することを示す情報を前記上位装置に返す機能を有することを特徴とする記憶制御装置。
【請求項3】 請求項2記載の記憶制御装置において、前記アクセス制御テーブルは、前記インタフェース上における前記上位装置識別情報および前記アクセス許可時間帯情報とともに、当該記憶制御装置が管理している前記記憶装置に設定された論理ユニット、論理ボリューム、物理ボリューム等の記憶領域を識別するための記憶領域識別情報が対応付けて格納され、個々の前記記憶領域毎に、前記上位装置によるアクセスの制限を可能にしたことを特徴とする記憶制御装置。
【請求項4】 請求項2記載の記憶制御装置において、前記アクセス制御テーブルは、当該記憶制御装置にアクセス可能な特定の前記上位装置または編集装置により編集可能にされているとともに、前記編集の際には、不正な変更が行われない様な保護策を有していることを特徴とする記憶制御装置。
【請求項5】 請求項1,2または3記載の記憶制御装置において、前記インタフェースは、ANSIX3T11で標準化されたファイバチャネルであり、前記上位装置識別情報は、前記ファイバチャネルにおけるN_Port_Name情報であることを特徴とする記憶制御装置。
【請求項6】 インタフェースを介して複数の上位装置に接続される記憶制御装置と、前記記憶制御装置の配下で稼働する記憶装置とを含む記憶システムであって、前記記憶制御装置は、前記上位装置から前記記憶装置へのアクセスを時間情報を用いて制限する機能を備えたことを特徴とする記憶システム。
【請求項7】 請求項6記載の記憶システムにおいて、前記記憶制御装置は、前記インタフェース上において前記上位装置を一意に識別できる上位装置識別情報と、個々の前記上位装置毎に設定されるアクセス許可時間帯情報とが対応付けて格納されるアクセス制御テーブルを備え、前記上位装置から前記記憶装置へのアクセス要求時に、当該上位装置の上位装置識別情報、および当該上位装置によるアクセス時刻と、前記アクセス制御テーブルに設定されている前記上位装置識別情報、および前記アクセス許可時間帯情報を比較し、前記比較の結果、アクセス可能であった場合には前記アクセス要求の処理を行い、アクセス不可であった場合には、前記アクセス要求を拒絶することを示す情報を前記上位装置に返す機能を有することを特徴とする記憶システム。
【請求項8】 請求項7記載の記憶システムにおいて、前記アクセス制御テーブルは、前記インタフェース上における前記上位装置識別情報および前記アクセス許可時間帯情報とともに、当該記憶制御装置が管理している前記記憶装置に設定された論理ユニット、論理ボリューム、物理ボリューム等の記憶領域を識別するための記憶領域識別情報が対応付けて格納され、個々の前記記憶領域毎に、前記上位装置によるアクセスの制限を可能にしたことを特徴とする記憶システム。
【請求項9】 請求項6,7または8記載の記憶システムにおいて、前記インタフェースは、ANSIX3T11で標準化されたファイバチャネルであることを特徴とする記憶システム。
【請求項10】 請求項6,7または8記載の記憶システムにおいて、前記記憶装置は、ディスクアレイを構成することを特徴とする記憶システム。
|
【発明の詳細な説明】【0001】
【発明の属する技術分野】本発明は、記憶制御技術および記憶システムに関し、特に複数の上位装置に対してネットワークアーキテクチャのインタフェースにて接続される記憶システム等に適用して有効な技術に関する。
【0002】
【従来の技術】従来、コンピュータシステムにおいて記憶装置への不正アクセス防止にはさまざまな技術が開発され、使われている。その中の一つとして、特開平10−333839号公報には、ファイバチャネル等のインタフェースを介して接続された上位装置から発行される、上位装置を一意に識別する情報であるN_Port_Name情報を用いてあらかじめ登録しておいたN_Port_Nameリストとの比較を行い、一致する場合には処理を行い、不一致の場合には要求を拒否することにより、セキュリティを確保する方法が示されている。
【0003】
【発明が解決しようとする課題】上述の従来技術では、記憶装置にアクセス可能な上位装置を的確に限定して不正アクセス防止を実現できる、という利点はあるものの、記憶装置における同一の記憶領域を複数の上位装置に共有させる場合における時間帯に応じたアクセス制限については配慮されていない。
【0004】本発明の目的は、上位装置と記憶領域の関係による制限のみならず、記憶領域へのアクセス時間帯を制限することで、複数の上位装置にて共有される記憶装置の多様かつ確実なセキュリティ管理を実現することにある。
【0005】本発明の他の目的は、複数の上位装置にて共有される記憶装置のデータバックアップを的確に実現することにある。
【0006】
【課題を解決するための手段】本発明は、配下に記憶装置を備え、インタフェースを介して複数の上位装置に接続されることでコンピュータシステムを構成する記憶制御装置において、上位装置と記憶制御装置との間のアクセスを時間情報を用いて制限する機能を備えたものである。
【0007】また、本発明は、インタフェースを介して複数の上位装置に接続される記憶制御装置と、記憶制御装置の配下で稼働する記憶装置とを含む記憶システムにおいて、記憶制御装置は、上位装置から記憶装置へのアクセスを時間情報を用いて制限する機能を備えたものである。
【0008】より具体的には、一例として、本発明の記憶制御装置では、上位装置からのアクセス時に上位装置を一意に識別できる上位装置識別情報と、当該上位装置のアクセスした時刻と、記憶制御装置にあらかじめ設定してあるアクセス制御テーブルにある上位装置識別情報とアクセス可能時間とを比較し、その比較の結果でアクセス可能であった場合にそのアクセス要求のコマンドの処理を行い、アクセス不可であった場合に当該コマンドを拒絶したことを示す情報を上位装置に返すことにより不正なアクセスを抑止する、多様かつ確実なセキュリティ管理機能を実現する。
【0009】
【発明の実施の形態】以下、本発明の実施の形態を図面を参照しながら詳細に説明する。
【0010】図1は、本発明の一実施の形態である記憶制御装置および記憶システムを含むコンピュータシステムの構成の一例を示す概念図である。図1において、10、20、30はデータ処理を行う中央処理装置としての上位装置である。40は、本発明を適用したディスクアレイ装置の記憶制御装置である。記憶制御装置40は、外部の上位装置との入出力を行う上位装置入出力制御部41、キャッシュへのデータの読み書きを制御するキャッシュ制御部42、ドライブ(ディスク装置50a)からの読み込みデータとドライブへの書き込みデータを一時保存しておくキャッシュ43、記憶制御装置40の全体を制御するマイクロプロセッサ44、処理に使用する時刻情報を計時するタイマ45、ドライブ(ディスク装置50a)側への入出力を行うドライブ入出力制御部46から構成されている。
【0011】ディスク装置50aは複数台の冗長構成で、記憶制御装置40の配下でディスクアレイ装置50を構成している。ディスクアレイ装置50は、上位装置10〜30のデータを格納するための記憶装置であり、個々のディスク装置50aを組み合わせて冗長性を持たせる様にしたものである。ディスクアレイ装置50を構成するディスク装置50aの記憶領域は論理的に分割することができ、その分割された領域をそれぞれ異なるRAIDレベルに設定できる。この分割されたものをRAIDグループという。そして、更ににRAIDグループを論理的に分割したものを論理ユニット(Logical Unit)(以降、LUと表記) といい、それぞれLogical UnitNumber(以降LUNと表記) という番号で管理される。図1に示されるディスクアレイ装置50は、LUNの0番目の領域であるLU0(論理ユニット51) とLUNの1番目の領域であるLU1(論理ユニット52) の2つで構成されていることを現している。なお、LUの数は、図1では2個しか設定されていないが、一つのディスクアレイ装置50ごとに最大で64個までLUを設定できる。
【0012】複数の上位装置10、20、30と記憶制御装置40は、たとえば、ANSIX3T11で標準化されたファイバチャネル70をインタフェースとしファブリック(Fabric) という接続装置を介して接続されている。また、編集装置60は、記憶制御装置40に対して、ディスクアレイ装置50に設定されている情報を参照して、その情報に応じて設定変更などを行うために用られる。
【0013】図1に例示された本実施の形態のコンピュータシステムの動作を、上位装置10が記憶制御装置40を経由してディスクアレイ装置50とデータ転送を行う場合を例にとって説明する。上位装置10が例えばライトコマンドを出すと、記憶制御装置40において、その要求に対してマイクロプロセッサ44は、上位装置10からのコマンド情報や本実施の形態における後述のようなセキュリティ制御にて必要な制御情報(アクセス時刻等)をキャッシュ43に格納する。そして、上位装置10に対しては、ライト完了報告を行う。その後、マイクロプロセッサ44は、ドライブ入出力制御部46を制御してディスクアレイ装置50にデータ及び冗長データを書き込む。この場合に、一般的なRAIDレベルであるRAID5における動作を考えると、旧データ、旧パリティ及び新データと新パリティを作成する。また、上位装置10からリードコマンドを出した場合には、マイクロプロセッサ44からドライブ入出力制御部46に対してアクセス要求のあったアドレスのデータをディスクアレイ装置50から読み出して、キャッシュ43へ格納する。その後、上位装置入出力制御部41を介してキャッシュ43にあるデータを上位装置10へ転送し、その後で上位装置10に対してリード完了報告を行う。
【0014】ここで、図1で上位装置10、20、30と記憶制御装置40を接続するために使用しているファイバチャネル70について説明する。ファイバチャネル70の接続には同軸ケーブルか光ファイバーの通信媒体が用いられ、機器間の最大距離は光ファイバーの場合で10km、同軸ケーブルの場合で30mである。最大転送速度は同軸ケーブルの場合で133Mbps、光ファイバーの場合では1.0625Gbpsと非常に高速にアクセスできる。
【0015】本実施の形態の場合には、図1に例示されるコンピュータシステムにおいて、以下のようにして、複数の上位装置10〜30によるディスクアレイ装置50へのアクセス制限機能を実現する。
【0016】まず、上位装置10、 20、 30が立ちあがる前に、記憶制御装置40にアクセス可能な上位装置のリストをアクセス制御テーブル90として作成しておく。このアクセス制御テーブル90は、記憶制御装置40のマイクロプロセッサ44がアクセス可能な記憶媒体に格納され、編集装置60にて、内容の設定、変更が行われる。
【0017】アクセス制御テーブル90の当該リストには、ファイバチャネル70上において上位装置を一意に識別するための情報であるN_Port_Name情報91、記憶制御装置40において各上位装置毎に割り当てられた入出力ポートのポートアドレス92、各上位装置がアクセス可能なディスクアレイ装置50における論理ユニット(LU)の論理ユニット番号93、当該上位装置ごとのアクセス可能時間帯94(アクセス開始時間94a、アクセス終了時間94b)などの情報を設定する。
【0018】この際、これらの情報の設定には編集装置60上からユーティリティソフトウェアを用いて入力する。このユーティリティソフトウェアを用いて上述のアクセス制御テーブル90の設定情報を変更する場合には、パスワードの入力を必要とすることにより、セキュリティを強化できる。パスワードを入力し、既に設定されているパスワードと一致した場合には、記憶制御装置40のポート(ポートアドレス92)毎にアクセス可能な上位装置のN_Port_Name情報91とアクセス可能時間帯94を入力して、その入力情報をアクセス制御テーブル90に格納する。
【0019】例として、上位装置10、上位装置20はディスクアレイ装置50に10:00〜15:00までアクセス可能、上位装置30はアクセス不可とし、N_Port_Name情報91を上位装置10はHOSTA、上位装置20をHOSTB、上位装置30をHOSTCとし、記憶制御装置40の上位装置入出力制御部41のポート(ポートアドレス92)をCTL0P0とした場合に、アクセス制御テーブル90は図2の様に設定される。
【0020】図2に示されるアクセス制御テーブル90は記憶制御装置40内の図示しない不揮発メモリ上に設定することにより、予期しない電源瞬断時にも制御情報を守ることができる。また、通常の電源電断時にはディスク装置50aへ格納し、アクセス制御テーブル90の更新時には不揮発メモリ上の情報をディスク装置50a上の制御情報に反映させることにより、記憶制御装置40は半永久的に情報を保持することが可能である。
【0021】次に、本実施の形態におけるセキュリティ管理の具体的な例として、図3、図4、図5、図6を用いてアクセス制限機能を適用したデータバックアップについて説明する。
【0022】まず、上位装置10、上位装置20、上位装置30のうち、上位装置10、20は通常使用されるホスト(サーバ) とし、上位装置30は、バックアップ時に使用されるバックアップサーバとする。また、記憶制御装置40に格納されているアクセス制御テーブル90は、図4の様に設定されている。ディスクアレイ装置50のLU0は上位装置10のみがアクセス可能であり、24時間全てにおいてアクセス許可が与えられている。その他の上位装置20、30からはアクセス不可である。同様にLU1は上位装置20のみが、10:00〜15:00の間のみでアクセス可能になっている。また、LU2(論理ユニット53)については上位装置10と上位装置30からアクセス可能であるが、上位装置10は10:00〜15:00まで、上位装置30からは22:00〜07:00の間までしかアクセスできない。
【0023】例として、上位装置10から16:00にLU2に対してアクセス要求を記憶制御装置40に行った場合を説明する。記憶制御装置40は、受け取ったコマンドからN_Port_Name情報を切り出し、そのN_Port_Name情報が、既に設定され保持されている記憶制御装置40内のアクセス制御テーブル90のN_Port_Nameリストに登録されているかどうか比較を行う。その結果、この場合、N_Port_Name情報は一致するが、時刻16:00が10:00〜15:00のアクセス許可範囲ではないため、上位装置10に対してはアクセス要求を拒絶する。具体的には、一例としてファイバチャネル70上におけるLS_RJT(LinkService Reject)フレームを当該上位装置10に応答する。
【0024】それでは、上記の様なコンピュータシステムにおけるデータバックアップ処理の一例を、図3、図5、図6を用いて説明する。図3では、上位装置10がアクセス可能な10:00〜15:00の間にLU0とLU2に対して同一データを二つの記憶領域に書き込んでいる。これはいわゆる二重書き処理を行っていることを示している。
【0025】また、図5は、上位装置10からLU2へのアクセスを拒絶している状態を示している。これは、記憶制御装置40のN_Port_Nameリストに上位装置10が設定されているが、10:00〜15:00の範囲内ではないことを利用してLU2に対するアクセスを拒絶させていることを示している。
【0026】そして、図6には上位装置30(バックアップサーバ) を用いて、22:00〜07:00の時間帯の間に、LU2のデータをテープ装置80にバックアップしていることが示されている。図4のアクセス制御テーブル90の設定例では、この時間帯に、LU2に対するアクセス可能な上位装置は上位装置30のみであるため、LU2のデータがバックアップ中に変更されてしまうことがない。
【0027】以上のことを時系列に並べると、まず、図3の処理で、10:00〜15:00の時間帯の間にLU0とLU2にデータ二重書きを行うことにより、バックアップしたいデータを準備する。
【0028】そして、図5の処理で二重書きしておいたバックアップ用データLU2をこれ以上データ更新されない様に切り離す(HOSTAとLU2の組み合わせに10:00〜15:00のアクセス可能時間帯を設定しておくことで可能)。
【0029】最後に、図6のように、22:00〜07:00の時間帯の間に、切り離された(当該時間帯でHOSTAとアクセス可能時間帯が重複しない)記憶領域(論理ユニットLU2)を上位装置30(バックアップサーバ) によりバックアップする。
【0030】ところで、本実施の形態のようにアクセス可能時間帯を設定してアクセスを制限する場合には、たとえば比較的長時間を要するデータバックアップのような処理では、アクセス可能時間帯内にバックアップが完了しない場合も考えられる。その場合には、目的のLU内のバックアップ中にバックアップ済みの記憶領域を記憶しておき、処理中にアクセス可能時間帯外になった場合には、バックアップ未完エラーを上位装置30に報告する。そして、この報告を受けた上位装置30は、たとえば次のデータバックアップの機会に前回未完の記憶領域のデータバックアップを実行する。このようなデータバックアップ処理の一例を図7のフローチャートに示す。
【0031】以上の本実施の形態で述べた様に、複数の上位装置10〜30と記憶制御装置40およびその配下のディスクアレイ装置50から成るコンピュータシステムにおいて、複数の上位装置10〜30の各々とディスクアレイ装置50における複数の論理ユニット(LU)の各々との対応関係の定義によるアクセス制限とともに、複数の上位装置10〜30の各々の、ディスクアレイ装置50における複数の論理ユニット(LU)の各々に対するアクセス可能時間帯の設定によるアクセス制限を組み合わせることで、不正な上位装置からのアクセスを記憶制御装置40側の設定により抑止できるので、上位装置が多数存在する様な構成のコンピュータシステムにおいてもディスク装置50a等の記憶装置内のデータへの不正なアクセスを防止することができる。
【0032】この結果、たとえば、従来では特定の上位装置の配下にのみ存在した記憶制御装置と記憶装置が、SAN(Storage Area Network) の様に、大規模なネットワーク上において、記憶制御装置および記憶装置と、多数の上位装置とが直接的に接続されているコンピュータシステムの場合においても、不正なホストからのアクセスを抑止できるようになる。
【0033】また、上述のように、通常のデータ処理の上位装置10、20と、データバックアップを行う上位装置30とで、特定のLUに対するアクセス可能時間帯の設定を異ならせることで、上位装置30の当該LUからのデータバックアップの処理中に、他の上位装置10、20からデータ更新が行われる等の不正なアクセスも抑止され、複数の上位装置にて記憶装置を共有するSAN等のコンピュータシステムにおいて、確実なデータバックアップを行うことが可能になる。
【0034】以上本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
【0035】
【発明の効果】本発明の記憶制御装置および記憶システムによれば、上位装置と記憶領域の関係による制限のみならず、記憶領域へのアクセス時間帯を制限することで、複数の上位装置にて共有される記憶装置の多様なセキュリティ管理を実現することができる、という効果が得られる。
【0036】本発明の記憶制御装置および記憶システムによれば、複数の上位装置にて共有される記憶装置のデータバックアップを的確に実現することができる、という効果が得られる。
|
| 【出願人】 |
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
|
| 【出願日】 |
平成12年10月25日(2000.10.25) |
| 【代理人】 |
【識別番号】100080001
【弁理士】
【氏名又は名称】筒井 大和
|
| 【公開番号】 |
特開2002−132588(P2002−132588A) |
| 【公開日】 |
平成14年5月10日(2002.5.10) |
| 【出願番号】 |
特願2000−325256(P2000−325256) |
|