[go: up one dir, main page]

JP4837378B2 - データの改竄を防止する記憶装置 - Google Patents

データの改竄を防止する記憶装置 Download PDF

Info

Publication number
JP4837378B2
JP4837378B2 JP2006000030A JP2006000030A JP4837378B2 JP 4837378 B2 JP4837378 B2 JP 4837378B2 JP 2006000030 A JP2006000030 A JP 2006000030A JP 2006000030 A JP2006000030 A JP 2006000030A JP 4837378 B2 JP4837378 B2 JP 4837378B2
Authority
JP
Japan
Prior art keywords
storage
storage area
computer
logical volume
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006000030A
Other languages
English (en)
Other versions
JP2007183703A (ja
JP2007183703A5 (ja
Inventor
学 石田
陽介 石井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2006000030A priority Critical patent/JP4837378B2/ja
Priority to US11/362,088 priority patent/US7467273B2/en
Priority to EP06253077A priority patent/EP1806679A3/en
Publication of JP2007183703A publication Critical patent/JP2007183703A/ja
Priority to US12/272,905 priority patent/US7725673B2/en
Publication of JP2007183703A5 publication Critical patent/JP2007183703A5/ja
Application granted granted Critical
Publication of JP4837378B2 publication Critical patent/JP4837378B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、データの改竄を防止する記憶装置システムに関する。
近年、米国は、特定の組織に対して、特定のデータを指定された期間中、改竄されない状態で保存することを義務付けている。例えば、医療保険の相互運用性と説明責任に関する法律であるHIPAA(Health Insurance Portability and Accountability Act)は、医療機関に、患者の医療データを、患者の死後2年間まで保存することを義務付けている。また、SEC17a−4は、金融・証券機関に、E−mailを含む業務履歴を、その機関が存続する限り保存することを義務付けている。これらの義務を怠った組織は、罰金や禁固等の処罰を科せられる。そのため、その保持期間の間はデータの改竄が行われないことを保証する機能の需要が高まっている。
従来、これらの組織は、このような保持期間付きのデータを、テープや光ディスク等の書き換え不可能な追記型の記録媒体に保存していた。このように、一度だけ書き込むことができ、消去や変更ができなデータ記録形式のことを、WORM(Write Once Read Many)と呼ぶ。しかし、テープや光ディスクのような記録媒体はデータの入出力処理性能が低く、昨今の膨大な量のデータを保存するのに十分でないという問題があった。また、書き換え不可能な追記型の記録媒体では、保持期間が過ぎて不要になったデータであっても、このデータを削除してデータの利用効率を上げることができない、という問題があった。
そこで、入出力処理性能が高く、書き換えが可能な記憶媒体である磁気ディスクに、保持期間付きでデータを追記する技術が、特許文献1に開示されている。特許文献1に開示されているシステムは、ユーザ端末と、ファイルサーバから構成される。ファイルサーバは、ユーザ端末と相互接続され、ファイル単位でデータの入出力処理を行う。また、ファイルサーバは、ユーザ端末から送られたファイルを格納するための磁気ディスクを有する。
ファイルサーバの管理者は、ファイルサーバが有する磁気ディスクの記憶領域の一部を、保持期間を持つファイル(以下、「WORMファイル」と呼ぶ)を格納するための専用の記憶領域(以下、「WORM領域」と呼ぶ)として定義する。ファイルサーバの管理者が、WORM領域を消去、移動するコマンドを発行した場合、ファイルサーバはエラーを返す。また、ファイルサーバは、どの記憶領域がWORM領域であるかを認識するために、WORM領域であることを示す属性値をファイルサーバ内に保持する。ファイルサーバに接続されるユーザ端末は、WORM領域内に格納されているファイルに対して、ファイルの保持期間を含む特定のコマンドを発行することで、ファイルをWORMファイルとして設定する。
ファイルサーバは、ユーザ端末からファイルの書き換え要求を受信したとき、そのファイルがWORMファイルであるかをチェックする。WORMファイルである場合は、そのファイルの保持期間が既に経過しているかをチェックする。ファイルの保持期間が経過していない場合、ファイルサーバは、ファイルの書き換え要求を許可せず、ユーザ端末にファイルの書き換えが許可されないことを通知する。このようにして、ファイル毎に保持期間を設定し、その保持期間中はユーザ端末やファイルサーバの管理者からのファイルの改竄が行われないことを保証することが可能となる。
US20040186858号公報
特許文献1には、ファイルサーバが、ファイルサーバに接続されるストレージ内の記憶領域をWORM領域として使用する内容が開示されている。しかし、特許文献1に記載されたシステムでは、ファイルサーバがファイルサーバに接続されるストレージを介して接続される他のストレージ(以下、「外部ストレージ」と呼ぶ)の記憶領域をファイルの格納先として使用する場合、その外部ストレージ内のファイルをWORMファイルとして管理できない可能性がある。特許文献1では、外部ストレージ内の記憶領域がWORM領域であるか否かの情報はファイルサーバに保持されるため、外部ストレージは、ファイルサーバに提供している外部ストレージ内の記憶領域がWORM領域として使用されていることを認識できない。そのため、外部ストレージは、ファイルサーバを介さずに外部ストレージに接続するユーザ端末に対して、このWORM領域に対するアクセスを許可し、ユーザ端末がWORMファイルを書き換える可能性がある。
また、外部ストレージに接続するユーザ端末は、ファイルサーバと同一のファイルシステムを搭載していなければ、記憶領域がWORM領域であることを認識できたとしても、WORM領域の中に格納されているファイルを認識できない。そのため、外部ストレージに接続するユーザ端末は、WORM領域内のデータを書き換えてしまう可能性がある。
よって、ファイルサーバは、外部ストレージに接続される他のユーザ端末に対して、WORMファイルの改竄が不可能であることを保証できない。
そこで、本発明では、ファイルサーバが外部ストレージにWORM領域を作成する場合において、ファイルサーバを介さずに外部ストレージに接続されているユーザ端末がWORM領域の中に格納されているファイルを書き換えることを、防止するシステムを提供する。
それぞれ複数の計算機が接続される複数のストレージを有するストレージシステムにおいて、第1のストレージは、自ストレージ内の記憶領域および自ストレージに提供される他のストレージ内の記憶領域に含まれるデータに対するアクセス権限を管理する手段を有する。第1のストレージは、第2のストレージに対し、第2のストレージ内の記憶領域についてアクセス権限の変更が可能か否かを問合せ、アクセス権限を変更するよう指示する。第2のストレージに接続される計算機は、第2のストレージ内の記憶領域にアクセス要求する場合、この記憶領域に設定されたアクセス権限に基づいて、アクセスの可否を判定される。
本発明によれば、ファイルサーバが外部ストレージ内にWORM領域を作成する場合において、外部ストレージに接続されているユーザ端末が、当該WORM領域の中に格納されているデータを書き換えることを、防止することが可能となる。
以下、実施の形態として、第1から第5の実施例について説明する。
第1の実施例は、あるストレージが、自ストレージに提供される他のストレージ内の記憶領域を管理し、他ストレージにWORM領域を作成するシステムである。具体的には、第1のストレージの管理端末が、第2のストレージに対するセキュリティ設定が可能か否かを識別し、セキュリティ設定が可能な場合、第2のストレージの管理端末に対して、第2のストレージ内のある記憶領域を第1のストレージの入出力処理部からの書き換えのみ許可するWORM領域に変更してよいか否かを問い合わせる。第2のストレージの管理端末から、その記憶領域をWORM領域に変更することを許可する指示を受信した場合、第1のストレージの管理端末は、第2のストレージの管理端末に対して、上記の変更に基づいたアクセス権限の変更を実行するよう指示する。アクセス権限の変更が第2のストレージよって実行されると、第1のストレージの管理端末は、第1のストレージおよび第1のストレージに提供される第2のストレージ内の各記憶領域についてWORM領域であるか否かを識別する情報を更新する。
第2の実施例は、複数のストレージが、それぞれに接続される他のストレージ内にWORM領域を作成するシステムである。第2の実施例では、それぞれのストレージの管理端末が、他のストレージに対するセキュリティ設定が可能か否かを識別する手段と、他のストレージ内のある記憶領域に対して自ストレージの入出力処理部による書き換えを許可するWORM領域へと変更するよう指示する手段と、自ストレージ内の記憶領域をWORM領域に変更する手段と、自ストレージおよび他ストレージ内の各記憶領域がWORM領域であるか否かを識別する手段とを有する。
第3の実施例は、あるストレージが、自ストレージに接続される他のストレージ内にバックアップのための記憶領域を作成する場合に、このバックアップ用の記憶領域をWORM領域に設定する実施例である。バックアップ元である第1のストレージの管理端末は、バックアップ元とバックアップ先の記憶領域を対応付けるテーブルを有し、バックアップ先である第2のストレージの記憶領域をWORM領域に変更する。
第4の実施例は、一つの管理端末と複数のストレージが接続されるシステムにおいて、その管理端末が各ストレージ内にWORM領域を設定する実施例である。この場合、管理端末は、各ストレージに対するセキュリティ設定が可能か否かを識別する手段と、あるストレージ内のある記憶領域に対して他のストレージの入出力処理部による書き換えのみを許可するWORM領域へと変更するよう指示する手段と、各ストレージ内の記憶領域をWORM領域に変更する手段と、各ストレージ内の各記憶領域がWORM領域であるか否かを識別する手段とを有する。
第5の実施例は、ストレージの管理端末が、データ単位ごとにWORM形式のデータであるか否かの属性が設定されたストレージ内の記憶領域に対して、この属性を変更する実施例である。第1のストレージは記憶領域とWORM属性とを対で保存する手段を有する。第1のストレージの管理端末が、第2のストレージに対するセキュリティ設定が可能か否かを識別し、セキュリティ設定が可能な場合、第2のストレージの管理端末に対して、第2のストレージ内のある記憶領域を第1のストレージの入出力処理部による書き換えのみ許可するWORM領域に変更してよいか否かを問い合わせる。第2のストレージの管理端末から、その記憶領域をWORM領域に変更することを許可する指示を受信した場合、第1のストレージの管理端末は、第2のストレージの管理端末に対して、上記の変更を実行するよう指示する。上記の変更が実行されると、第1のストレージは、変更した記憶領域内の全てのデータに対して、データ単位ごとにWORM属性を付与して保存する。
以下、各実施の形態について、図面を用いて説明する。
図1から図7を用いて、第1の実施例を説明する。
図1は、第1の実施例に関するシステムを示す構成図である。本実施例のシステムは、複数のユーザ端末100および110と、ユーザ端末100に接続されるストレージ120と、ユーザ端末110に接続されるストレージ130と、ストレージ120および130を管理する管理端末170および180から構成される。
ユーザ端末100および110は、ストレージ120および130を利用する端末である。
ユーザ端末110は、演算処理を行うプロセッサ101、演算処理を行う際に用いられる記憶手段としてメモリ102、インターフェイス(以下、「I/F」と略す)103から構成される。プロセッサ101は、メモリ102にプログラムを読み出して実行し、I/F103を介して、他の装置と通信する。プロセッサ101がメモリ102に読み出して実行するプログラムとして、例えば、ファイルシステム104がある。
ユーザ端末100は、ネットワーク190を介して、ストレージ120中のファイル入出力処理部140と相互接続され、ファイル単位でデータの送受信を行う。ネットワーク190は、例えばファイル入出力ネットワークの代表的なものとして、LAN(Local Area Network)によって構成されてもよい。
ユーザ端末110は、ユーザ端末と同様に、プロセッサ、メモリ、I/Fから構成される。ユーザ端末110は、ネットワーク192を介して、ストレージ130中のブロック入出力処理部161と相互接続され、ブロックと呼ばれる固定長データの単位でデータの送受信を行う。ネットワーク192は、例えばブロック入出力ネットワークの代表的なものとして、SAN(Storage Area Network)によって構成されてもよい。
ストレージ120および130は、ユーザ端末100および110が利用するデータを格納する。ストレージ120および130は、それぞれ、コントローラ121および131と、ユーザ端末100および110のデータを格納する記憶媒体122および132から構成される。記憶媒体122および132の代表的な例として、磁気ディスク、フラッシュメモリなどがあげられる。その他、書き換え可能な記憶媒体であれば、その種類に依らない。
コントローラ121は、記憶媒体122を制御する役割を持つ。コントローラ121は、複数のディスクドライブの部分的な記憶領域の集合を、一つの仮想的な記憶領域(以下、「論理ボリューム(Logical Volume)」と呼ぶ)として入出力処理部に提供する役割を持つ。コントローラ121は、ファイル入出力処理部140と、ブロック入出力処理部150と、I/F123を有する。I/F123は、管理ネットワーク193を介して、管理端末170に接続される。管理ネットワーク193の代表的なものとして、LAN(Local Area Network)がある。
なお、コントローラ131は、記憶媒体132を制御する役割を持ち、ブロック入出力処理部160、161、およびI/F133を有する。I/F133は、管理ネットワーク193を介して、管理端末180に接続される。
ファイル入出力処理部140は、ユーザからのファイル操作要求を受け、コントローラ121が提供する論理ボリュームにデータをファイル単位で格納、および抽出する役割を持つ。ファイル入出力処理部140は、プロセッサ141、メモリ142、I/F143、I/F144、I/F145、およびブロック入出力I/F146から構成される。プロセッサ141は、メモリ142にプログラムを読み出して実行し、I/F143、144、145およびブロック入出力I/F146を介して、他の装置と通信する。プロセッサ141がメモリ142に読み出して実行するプログラムとして、例えば、ファイルシステム147、およびファイルシステム147で実行されるWORMファイル管理部148がある。なお、ファイルシステム147は、ユーザ端末100とストレージ120とのファイル単位でのデータの送受信を行うため、ユーザ端末100の有するファイルシステムと互換性を有するファイルシステムである。
プロセッサ141は、I/F143に接続されたネットワーク190を介して、ユーザ端末100との間でファイル操作要求などの制御情報を送受信し、I/F145およびコントローラ121のI/F123を介して接続される管理ネットワーク193によって、管理端末170との間で制御情報を送受信する。また、プロセッサ141は、I/F144に接続されたネットワーク190を介して、ユーザ端末100との間でデータを送受信し、ブロック入出力I/F146を介して、記憶媒体122に格納されたデータを操作する。
なお、ユーザからのファイル操作要求の代表的なものとして、NFS(Network File System)、CIFS(Common Internet File System)、FTP(File Transfer Protocol)に準じたファイル操作要求がある。
ブロック入出力処理部150は、ユーザからのブロック操作要求を受け、コントローラ121が提供する論理ボリュームにデータをブロック単位で格納、および抽出する役割を持つ。ブロック入出力処理部150は、プロセッサ151、メモリ152、I/F153、ブロック入出力I/F154、およびブロック入出力I/F155から構成される。プロセッサ151は、メモリ152にプログラムを読み出して実行し、I/F153、ブロック入出力I/F154、155を介して、他の装置と通信する。プロセッサ151がメモリ152に読み出して実行するプログラムとして、例えば、アドレス変換テーブル156、入出力要求バッファ157、外部接続管理部158、LUNセキュリティ部159がある。
外部接続管理部158は、ストレージ120のブロック入出力処理部150に外部ストレージのブロック入出力処理部を接続した場合、この外部ストレージが有する記憶領域内のデータを使用できるように管理する機能を有する。LUNセキュリティ部159は、ブロック入出力処理部150にネットワークを接続される計算機からのアクセス要求に対して、アクセス可否の判定をする機能を有する。本実施例では、ストレージ120のブロック入出力処理部150とストレージ130のブロック入出力処理部160とが、ネットワーク191を介して接続され、ストレージ130に含まれる記憶媒体132は、ファイル入出力処理部140に提供される。また、外部ストレージが有する記憶領域は、後述する管理端末170の論理ボリューム管理部によって管理される。
プロセッサ151は、I/F153を介してファイル入出力処理部140と制御情報を送受信し、コントローラ121のI/F123を介して接続される管理ネットワーク193によって、管理端末170との間で制御情報を送受信する。また、プロセッサ151は、ブロック入出力I/F154を介して、記憶媒体122に格納されたデータを操作し、ブロック入出力処理部155およびネットワーク191を介して、記憶媒体132に格納されたデータを操作する。
なお、ブロック入出力処理部160および161は、ブロック150と同様の構成であるため、説明を省略する。
なお、ユーザからのブロック操作要求の代表的なものとして、SCSI(Small Computer System Interface)やATA(AT Attachment)規格に準じたブロック操作要求がある。
管理端末170は、ストレージ120を管理する端末である。管理端末170は、プロセッサ171、メモリ172、およびI/F173から構成される。プロセッサ171は、メモリ172にプログラムを読み出して実行し、I/F173を介して、管理ネットワーク193に接続される他の装置と通信する。プロセッサ171がメモリ172に読み出して実行するプログラムとして、WORM論理ボリューム作成部174、論理ボリューム管理部175、ストレージ管理部177、管理インターフェイス通信処理部179がある。
WORM論理ボリューム作成部174は、論理ボリューム番号を入力として、論理ボリューム番号に対応する論理ボリュームを、指定された入出力処理部以外からのデータ改竄を防止する論理ボリューム(以下、「WORM論理ボリューム」と呼ぶ)として定義する役割を持つ。ストレージ120は、どの論理ボリュームがWORM論理ボリュームなのかを論理ボリューム管理テーブル176(後述)によって知ることができ、ストレージ120に含まれる論理ボリューム内のファイルに対する改竄操作を許可するか否かを判断できる。論理ボリューム内のファイルに対する改竄操作の代表的なものとして、許可されていない計算機からの論理ボリューム内のファイルの削除、論理ボリューム内のファイルの移動、論理ボリューム内のファイルの保持期間の変更、論理ボリューム内のファイルの書き換え処理などがある。
論理ボリューム管理部175は、ストレージ120が所有する論理ボリュームと、外部ストレージから提供されている論理ボリュームに、仮想論理ボリューム番号という一意な識別子を付加する。ストレージ120の入出力処理部が、仮想論理ボリューム番号で与えられる論理ボリュームにアクセスを要求したとき、論理ボリューム管理部は仮想論理ボリューム番号から、対応するストレージ中の該当する論理ボリュームを特定する。そして、仮想論理ボリューム番号から特定した論理ボリュームのアクセス先を入出力処理部に返信する。へのアクセスを入出力処理部に代わって行う。これにより、入出力処理部140および入出力処理部150は、論理ボリュームの所在を意識せずに論理ボリュームを利用することが可能となる。また、論理ボリューム管理部175は、各論理ボリュームについてそれがWORM論理ボリュームであるかを示すWORM属性を保持する。これにより管理端末170は、どの論理ボリュームがWORM論理ボリュームなのかを識別することができる。論理ボリューム管理部175は、仮想論理ボリューム番号と、その論理ボリュームを実際に有するストレージおよびそのストレージ内での論理ボリューム番号と、その論理ボリュームがWORM論理ボリュームであることを示すWORM属性との組み合わせを保持するために、論理ボリューム管理テーブル176を有する。
ストレージ管理部177は、自ストレージおよびブロック入出力処理部150を経由して接続している外部ストレージのセキュリティ設定の可否を管理する。セキュリティ設定の可否とは、そのストレージが有する各論理ボリュームに対して、アクセス可能な入出力処理部を制限できるか否か、を意味する。ストレージ管理部177は、自ストレージおよび外部ストレージと、セキュリティ設定の可否の組み合わせを保持するために、ストレージ管理テーブル178を有する。
管理インターフェイス通信処理部179は、管理端末同士のストレージ管理に関する通信を処理する。ストレージ管理に関する通信の代表的なものとして、SMI−S(Storage Management Interface−Standard)がある。
管理端末180は、ストレージ130を管理する端末である。管理端末180は、プロセッサ181、メモリ182、およびI/F183から構成される。プロセッサ181は、メモリ182にプログラムを読み出して実行し、I/F183を介して、管理ネットワーク193に接続される他の装置と通信する。プロセッサ181がメモリ182に読み出して実行するプログラムとして、論理ボリュームセキュリティ設定部184、管理インターフェイス通信処理部186がある。
論理ボリュームセキュリティ設定部184は、ストレージ130が有する各論理ボリュームについて、どの入出力処理部に対してどのようなアクセス権限が許可されているかを管理する。論理ボリュームセキュリティ設定部184は、論理ボリューム番号と、入出力処理部とそのアクセス権限との組み合わせを保持するために、アクセス管理テーブル185を有する。
なお、ユーザ端末100、110、ファイル入出力処理部140、ブロック入出力処理部150、160、161、管理端末170、180に含まれるメモリは、RAM(Random Access Memory)などにより構成されてもよい。また、ユーザ端末100、110、ファイル入出力処理部140、ブロック入出力処理部150、160、161、管理端末170、180に含まれるプロセッサは、CPU(Central Processing Unit)によって構成される演算処理装置であってもよい。
なお、上述したWORM論理ボリューム作成部174、論理ボリューム管理部175、ストレージ管理部177、管理インターフェイス通信処理部179などの機能モジュールは、上述したようにソフトウェアにより実現されてもよいし、任意のCPUや他のLSIなどによりハードウェアとして、さらにそれらの組み合わせとして実現されてもよい。また、上記のように構成可能であることは、管理端末170以外の、ユーザ端末100および110、ファイル入出力処理部140、ブロック入出力処理部150、160、および161、コントローラ121および131、管理端末180などの他の構成部内における機能モジュールにおいても同様である。
図2は、論理ボリューム管理テーブル176の一例を示す構成図である。論理ボリューム管理テーブル176は、仮想論理ボリューム番号201と、その論理ボリュームが実際に存在するストレージ名とそのストレージ内での論理ボリューム番号202と、WORM属性203とを組とするエントリ210〜213を複数有する。
仮想論理ボリューム番号201には、ストレージが内部に持っている論理ボリューム、および接続しているストレージの内部にあって自ストレージに提供されている論理ボリュームを一意に識別するための識別子が仮想論理ボリューム番号として格納される。
ストレージ名とそのストレージ内での論理ボリューム番号202には、仮想論理ボリューム番号201で示す論理ボリュームが実際に存在するストレージの識別情報と、そのストレージ内における仮想論理ボリューム番号201で示す論理ボリュームの識別情報が格納される。本実施例では、それぞれストレージ名と論理ボリューム番号が格納される。
WORM属性203には、その論理ボリュームがWORM論理ボリュームであるか否かを示す情報がフラグとして格納される。本実施例では、論理ボリュームがWORM論理ボリュームである場合に“Yes”、WORM論理ボリュームでない場合に“No”が、WORM属性203に格納される。
例えば、エントリ210に格納された情報は、仮想論理ボリューム番号1で与えられる論理ボリュームが、実際はストレージ120の論理ボリューム番号1で与えられる論理ボリュームであって、WORM論理ボリュームではないことを表している。また、エントリ213に格納された情報は、仮想論理ボリューム番号4で与えられる論理ボリュームが、実際はストレージ130の論理ボリューム番号1で与えられる論理ボリュームであって、WORM論理ボリュームではないことを表している。
図3は、ストレージ管理テーブル178の一例を示す構成図である。ストレージ管理テーブル178は、ストレージ名301と、セキュリティ設定フラグ302とを組とするエントリ310〜311を複数有する。
ストレージ名301には、外部接続しているストレージの識別子が格納される。
セキュリティ設定フラグ302には、ストレージ名301で示されるストレージのセキュリティ設定の可否を示す情報がフラグとして格納される。本実施例では、ストレージ名301で示されるストレージが論理ボリュームセキュリティ設定部184を備えている場合、セキュリティ設定が可能であるとして、セキュリティ設定フラグ302に“Yes”が格納される。
例えば、エントリ310に格納された情報は、ストレージ120が論理ボリュームセキュリティ設定部184を備えていることを示している。また、エントリ311に格納された情報は、ストレージ130が論理ボリュームセキュリティ設定部184を備えていることを示している。
ストレージ管理テーブル178の構成方法の代表的なものとして、他社ストレージの論理ボリュームセキュリティ設定の可否を調査しているサポートセンターより供給を受ける、という方法がある。他にも、管理インターフェイス通信処理部116を通して、外部のストレージに論理ボリュームセキュリティ設定のテストを行い、設定が可能かどうかを確認する、という方法がある。
図4は、アクセス管理テーブル185の一例を示す構成図である。アクセス管理テーブル185は、論理ボリューム番号401と、入出力処理部名402と、その入出力処理部のアクセス許可属性403とを組とするエントリ410〜413を複数有する。
論理ボリューム番号401には、ストレージが各論理ボリュームを一意に識別するための番号が格納される。
入出力処理部名402には、論理ボリューム番号401で示される論理ボリュームに対するアクセスを許可される入出力処理部の識別子が格納される。
アクセス許可属性403には、入出力処理部名402で示される入出力処理部に許可されるアクセスの種類が格納される。本実施例では、データの読み出し、および書き込みが許可される場合は“R/W”、データの読み込みが許可される場合は、“R”が格納される。なお、許可するアクセスの種類の表記は、他の表記法に従っても良い。
例えば、エントリ410に格納された情報は、論理ボリューム番号1で示される論理ボリュームに対して、ファイル入出力処理部140からのデータの読み出しおよび書き込みが許可されることを表している。また、エントリ412に格納された情報は、論理ボリューム番号2で示される論理ボリュームに対して、ブロック入出力処理部150からのデータの読み出しおよび書き込みが許可されることを表している。
図5は、WORM論理ボリュームの作成処理を示すフローチャートである。WORM論理ボリューム作成部174は、特定の論理ボリュームをWORM論理ボリュームとして設定することをファイル入出力処理部140から要求されたことを契機として、WORM論理ボリュームの作成処理を開始する(ステップ501)。
WORM論理ボリューム作成部174は、論理ボリューム管理テーブル176中に仮想論理ボリューム番号が与えられたある論理ボリュームを、WORM論理ボリュームとして設定するとき、論理ボリューム管理部175にアクセスして、この論理ボリュームが実際に存在する外部ストレージのストレージ名と論理ボリューム番号を取得する(ステップ502)。
さらに、ストレージ管理部177にアクセスし、ストレージ管理テーブル178中の該当する外部ストレージについて、セキュリティ設定フラグが”Yes”になっているかを確認する(ステップ503)。
ステップ503においてセキュリティ設定フラグが”Yes”となっている場合、WORM論理ボリューム作成部174は、管理インターフェイス通信処理部179を介して該当する外部ストレージの管理端末と通信し、外部ストレージの論理ボリュームセキュリティ設定部184にアクセスする。そして、アクセス管理テーブル185中のエントリの中から、該当する論理ボリュームの論理ボリューム番号401と、入出力処理部がファイル入出力処理部140以外である入出力処理部名402の組であるエントリを抽出する。抽出したエントリのアクセス許可属性が“R/W”であるならば、これを“R”としてよいかどうかを、論理ボリュームセキュリティ設定部184に問い合わせる(ステップ504)。例えば、問い合わせる方法として、論理ボリュームセキュリティ設定部184が問い合わせを受けたとき、外部ストレージの管理端末に、アクセス許可属性の変更を求めるメッセージと、“Yes”と“No”を選択させるダイアログボックスを表示して外部ストレージの管理者に選択させる、という方法がある。
問合せを受けた外部ストレージの管理端末(上記の例では、外部ストレージの管理者)は、この問い合わせに対して回答する。問合せに対する回答は、管理インターフェイス通信処理部179を通してWORM論理ボリューム作成部174に転送される(ステップ505)。
ステップ505における問い合わせの回答が“Yes”であった場合、WORM論理ボリューム作成部174は、管理インターフェイス通信処理部179を通して外部ストレージの管理端末にアクセスし、論理ボリュームセキュリティ設定部184に設定の変更を要求する(ステップ506)。
論理ボリュームセキュリティ設定部184は、アクセス管理テーブル185中のエントリの中から、該当する論理ボリュームの論理ボリューム番号401と、入出力処理部がファイル入出力処理部140以外である入出力処理部名402の組であるエントリを抽出する。そして、抽出したエントリのアクセス許可属性403が“R/W”であるならば、これを“R”に設定する。この設定によって、ファイル入出力処理部140以外の入出力処理部は、アクセス許可属性403を“R”に変更した論理ボリュームに含まれるデータに対して、読み出しの要求のみが許可され、書き換えや削除といった改竄処理が不可能となる(ステップ507)。
さらに、WORM論理ボリューム作成部174は、論理ボリューム管理部175にアクセスし、論理ボリューム管理テーブル176に対して、アクセス管理テーブルでアクセス許可属性を変更した当該論理ボリュームについてのWORM属性203を“No”から“Yes”に変更し(ステップ508)、処理を終了する(ステップ510)。
ステップ503においてこの外部ストレージのセキュリティ設定フラグが”No”であった場合や、ステップ505においてこの外部ストレージの管理端末からの回答が”No”であった場合、WORM論理ボリューム作成部174は、ファイル入出力処理部140に対して、WORM論理ボリュームに設定しようとしている当該論理ボリュームについて、WORM論理ボリュームに変更する処理(以下、「改竄防止処理」と呼ぶ)を行えないことを通知し(ステップ509)、処理を終了する(ステップ510)。
本実施例において、WORM論理ボリュームの設定を行うまでの流れを、図6および図7を用いて説明する。本例では、ストレージ120のファイル入出力処理部140が、WORM論理ボリューム作成部174に対して、仮想論理ボリューム番号4で与えられる論理ボリュームをWORM論理ボリュームに変更することを要求したときの改竄防止処理の流れについて説明する。
図6は、論理ボリュームセキュリティ設定部184が、改竄防止処理の対象である論理ボリュームに対してアクセス許可属性403を変更した後のアクセス管理テーブル185を示す構成図である。
図7は、WORM論理ボリューム作成部174が、改竄防止処理の対象である論理ボリュームに対してWORM属性203を変更した後の論理ボリューム管理テーブル176を示す構成図である。
ファイル入出力処理部140から要求を受けたWORM論理ボリューム作成部174は、論理ボリューム管理部175にアクセスして、図2に示す論理ボリューム管理テーブル176のエントリ213から、仮想論理ボリューム番号4が実際に存在するストレージと論理ボリューム番号が、ストレージ130の論理ボリューム番号1であることを取得する。
続いて、WORM論理ボリューム作成部174は、ストレージ管理部177にアクセスして、図3に示すストレージ管理テーブル178のエントリ311から、ストレージ130のセキュリティ設定フラグ302が”Yes”になっているかを確認する。
ストレージ130のセキュリティ設定フラグ302が”Yes”となっているため、WORM論理ボリューム作成部174は、管理インターフェイス通信処理部179を通してストレージ130の論理ボリュームセキュリティ設定部184にアクセスし、図4に示すアクセス管理テーブル185中のエントリで、論理ボリューム番号401が1であり、入出力処理部名402がファイル入出力処理部140以外であるエントリ411を抽出する。抽出したエントリ411のアクセス許可属性403が“R/W”であるので、WORM論理ボリューム作成部174は、管理端末180に対し、エントリ411のアクセス許可属性403を“R”としてよいかを問い合わせる。
ストレージ130の管理者が、管理端末180に表示されたダイアログボックスに対して“Yes”と回答した場合、WORM論理ボリューム作成部174は、管理インターフェイス通信処理部179を通して論理ボリュームセキュリティ設定部184に設定の変更を要求する。論理ボリュームセキュリティ設定部184は、図4に示すアクセス管理テーブル185中のエントリで、論理ボリューム番号401が1であり、入出力処理部名402がファイル入出力処理部140以外であるエントリ411を抽出する。そして、図6のアクセス管理テーブル185中のエントリ600に示すように、抽出したエントリ411のアクセス許可属性を“R/W”から“R”に変更する。さらに、WORM論理ボリューム作成部174は、論理ボリューム管理部175にアクセスし、図7の論理ボリューム管理テーブル176中のエントリ700に示すように、仮想論理ボリューム番号4で与えられる論理ボリュームのWORM属性203を“No”から“Yes”に変更し、処理を終了する。
以上説明したように、本発明によって、ファイル入出力処理部が外部接続されたストレージにWORM論理ボリュームを作成する場合、外部接続されたストレージに接続されている入出力処理部(本実施例ではブロック入出力処理部161)を介して接続される計算機(本実施例ではユーザ端末110)が、WORM論理ボリュームの中に格納されているデータを書き換えることを、防止することが可能となる。
第1の実施例では、一つのストレージにのみファイル入出力処理部が存在する形態であったが、複数のストレージにファイル入出力処理部があり、相互にWORM論理ボリュームを作成し合う実施例もある。本実施例では、複数のストレージがそれぞれファイル入出力処理部を有する形態について説明する。
図8から図10を用いて、第2の実施例を説明する。
図8は、第2の実施例に関するシステムを示す構成図である。図1との差分について、以下に述べる。ストレージ130は、新たにファイル入出力処理部800を有する。管理端末170は、新たに論理ボリュームセキュリティ設定部801およびアクセス管理テーブル802を有する。管理端末180は、新たにWORM論理ボリューム作成部803、論理ボリューム管理部804、論理ボリューム管理テーブル805、ストレージ管理部806を有する。
本実施例において、論理ボリュームをWORM論理ボリュームに変更する処理(改竄防止処理)を行うまでの流れを、図9、図10を用いて説明する。本実施例では、ファイル入出力処理部800が、WORM論理ボリューム作成部803に対して、管理端末180の有する論理ボリューム管理テーブル中の仮想論理ボリューム番号4で与えられる論理ボリュームをWORM論理ボリュームに変更するよう要求したときの流れについて説明する。なお、仮想論理ボリューム番号は、管理端末170、180のそれぞれの論理ボリューム管理部175、804によって独立して付加される。
図9(a)は、管理端末180の論理ボリュームセキュリティ設定部184が有するアクセス管理テーブル185の状態を示す図である。図9(b)は、管理端末170の論理ボリュームセキュリティ設定部801が有するアクセス管理テーブル802の初期状態を示す図である。図9(c)は、改竄防止処理において、管理端末170の論理ボリュームセキュリティ設定部801が有するアクセス管理テーブル802中のアクセス許可属性403が変更された後の状態を示す図である。
図10(a)は、管理端末170の論理ボリューム管理部175が有する論理ボリューム管理テーブル176の状態を示す図である。図10(b)は、管理端末180の論理ボリューム管理部804が有する論理ボリューム管理テーブル805の初期状態を示す図である。図10(c)は、改竄防止処理において、管理端末180の論理ボリューム管理部175が有する論理ボリューム管理テーブル805中のWORM属性203が変更された後の状態を示す図である。
ファイル入出力処理部800から要求を受けた管理端末180のWORM論理ボリューム作成部803は、管理端末180の論理ボリューム管理部804にアクセスして、図10(b)に示す論理ボリューム管理テーブル805のエントリ1008から、仮想論理ボリューム番号4が実際に存在するストレージと論理ボリューム番号が、ストレージ120の論理ボリューム番号2であることを取得する。
続いて、管理端末180のWORM論理ボリューム作成部803は、ストレージ管理部806にアクセスして、ストレージ120のセキュリティ設定フラグが”Yes”になっているかを確認する。
ストレージ120のセキュリティ設定フラグが”Yes”となっているため、WORM論理ボリューム作成部803は、管理インターフェイス通信処理部186を通してストレージ120の論理ボリュームセキュリティ設定部801にアクセスし、図9(b)に示すアクセス管理テーブル802中のエントリで、論理ボリューム番号401が2であり、入出力処理部名402がファイル入出力処理部800以外であるエントリ907を抽出する。抽出したエントリ907のアクセス許可属性403が“R/W”であるので、管理端末180の論理ボリューム作成部803は、管理端末170(本実施例では、ストレージ120の管理者)に対して、エントリ907のアクセス許可属性403を“R”としてよいかを問い合わせる。
ストレージ120の管理者が、管理端末170に表示されたダイアログボックスに対して“Yes”と回答した場合、管理端末180のWORM論理ボリューム作成部803は、管理インターフェイス通信処理部186を通して管理端末170の論理ボリュームセキュリティ設定部801に対して、アクセス許可属性の設定の変更を要求する。論理ボリュームセキュリティ設定部801は、図9(b)に示すアクセス管理テーブル802中のエントリで、論理ボリューム番号401が2であり、入出力処理部名402がファイル入出力処理部800以外であるエントリ907を抽出する。そして、図9(c)のアクセス管理テーブル802中のエントリ909に示すように、抽出したエントリ907のアクセス許可属性403を“R/W”から“R”に変更する。さらに、管理端末180のWORM論理ボリューム作成部803は、管理端末180の論理ボリューム管理部804にアクセスし、図10(c)の論理ボリューム管理テーブル805中のエントリ1009に示すように、仮想論理ボリューム番号4で与えられる論理ボリュームのWORM属性203を“No”から“Yes”に変更し、処理を終了する。
このように、第2の実施例では、管理端末180からストレージ120に対する改竄防止処理が可能である。また、第1の実施例で説明したような管理端末170からストレージ130に対する改竄防止処理も可能であるため、管理端末170および180の双方において、それぞれの外部ストレージであるストレージ130および120に対する改竄防止処理が可能となる。よって、二つのストレージが相互に論理ボリュームを提供しあう場合においても、外部接続されたストレージの入出力処理部から自ストレージのWORM論理ボリュームに対する改竄を防止することが可能となる。
第2の実施例において、ストレージの内部に作成したWORM論理ボリュームを外部のストレージにバックアップする場合、バックアップ先の論理ボリュームの改竄を防止する必要がある。そこで、バックアップ用の論理ボリュームとしてWORM論理ボリュームを作成するという実施例もある。
図11から図16を用いて、第3の実施例を説明する。
図11は、第3の実施例に関するシステムを示す構成図である。図1との差分について、以下に述べる。
ストレージ120のブロック入出力処理部150は、バックアップ処理部1100を有する。バックアップ処理部1100は、ストレージ120の論理ボリュームをストレージ130にバックアップする。ここで、バックアップとは、バックアップ元として指定した論理ボリュームのデータを、一定の時間間隔でバックアップ先として指定した論理ボリュームにコピーする動作のことをいう。一定の時間間隔には、1日、1ヶ月といった間隔があるが、本実施例ではこの時間間隔は任意に設定可能である。
管理端末170は、バックアップ管理部1101を有する。バックアップ管理部1101は、バックアップ元の仮想論理ボリューム番号と、バックアップ先の仮想論理ボリューム番号をそれぞれ付加することで、バックアップに伴うWORM論理ボリュームの複製を管理するの役割を持つ。バックアップ管理部1101は、バックアップ元の論理ボリューム番号と、バックアップ先の論理ボリューム番号との組み合わせを保持するために、バックアップ管理テーブル1102を有する。
図12は、第3の実施例に関するバックアップ管理テーブル1102の一例を示す構成図である。バックアップ管理テーブル1102は、バックアップ元論理ボリューム番号1201と、バックアップ先論理ボリューム番号1202とを組とするエントリ1203を複数有する。
バックアップ元論理ボリューム番号1201には、バックアップ対象となるデータが格納されている論理ボリュームの仮想論理ボリューム番号が登録される。
バックアップ先の論理ボリューム番号1202には、対象のデータのバックアップを格納する論理ボリュームの仮想論理ボリューム番号が登録される。
例えば、バックアップ管理テーブル1102のエントリ1203は、仮想論理ボリューム番号1の論理ボリュームに格納されているデータを、仮想論理ボリューム番号3の論理ボリュームにバックアップして格納することを表している。
図13は、バックアップ管理部1101がバックアップ要求を受けたとき、バックアップ管理部1101が行う処理の流れである。この処理は、ファイル入出力処理部140が、バックアップ管理部1101に対して、バックアップ要求を実行することで開始される(ステップ1301)。
バックアップ要求を受信したバックアップ管理部1101は、論理ボリューム管理部175にアクセスし、論路ボリューム管理テーブルから、バックアップ元の仮想論理ボリューム番号で示される論理ボリュームのWORM属性203を取得する(ステップ1302)。続いて、バックアップ管理部1101は、取得したWORM属性203が“Yes”になっているかどうかをチェックする(ステップ1303)。
ステップ1303において、取得したWORM属性203が“Yes”である場合、バックアップ管理部1101は、WORM論理ボリューム作成部174にバックアップ先の仮想論理ボリューム番号を渡し、WORM論理ボリュームの作成を依頼する(ステップ1304)。
続いて、バックアップ管理部1101は、依頼されたWORM論理ボリュームの作成に成功したか否かを確認する(ステップ1305)。
ステップ1305において、WORM論理ボリューム作成の依頼の結果、WORM論理ボリュームの作成に失敗したら、WORM論理ボリューム作成部174はバックアップ依頼元にエラーを返して処理を終了する(ステップ1306)。
ステップ1303においてバックアップ元の論理ボリュームのWORM属性203が“No”であった場合や、ステップ1305においてWORM論理ボリュームの作成に成功した場合は、バックアップ元の仮想論理ボリューム番号と、バックアップ先の仮想論理ボリューム番号との組み合わせを、バックアップ管理テーブル1102のエントリとして新規作成し、処理を終了する(ステップ1307)。
本実施例において、論理ボリュームをWORM論理ボリュームに変更する処理(改竄防止処理)を行うまでの流れを、図14、図15、図16を用いて説明する。本例では、ファイル入出力処理部140が、仮想論理ボリューム番号2で示される論理ボリュームを、仮想論理ボリューム番号4で示される論理ボリュームにバックアップするよう、バックアップ管理部1101に要求したときの流れについて説明する。
図14(a)は、管理端末180の論理ボリュームセキュリティ設定部184が有するアクセス管理テーブル185の初期状態を示す図である。図14(b)は、改竄防止処理において、管理端末180の論理ボリュームセキュリティ設定部184が有するアクセス管理テーブル185中のアクセス許可属性403が変更された後の状態を示す図である。
図15(a)は、管理端末170の論理ボリューム管理部175が有する論理ボリューム管理テーブル176の初期状態を示す図である。図15(b)は、改竄防止処理において、管理端末170の論理ボリューム管理部175が有する論理ボリューム管理テーブル176中のWORM属性203が変更された後の状態を示す図である。
図16は、改竄防止処理において、管理端末170のバックアップ管理部1101が有するバックアップ管理テーブル1102中にバックアップ先とバックアップ元の組のエントリが新規作成された後の状態を示す図である。
ファイル入出力処理部140から要求を受けたバックアップ管理部1101は、論理ボリューム管理部175にアクセスし、図15(a)に示す論理ボリューム管理テーブル176のエントリ1502から、バックアップ元の仮想論理ボリューム番号2で示される論理ボリュームのWORM属性203を取得する。取得したWORM属性203が“Yes”であるため、バックアップ管理部1101は、WORM論理ボリューム作成部174にバックアップ先の論理ボリュームとして仮想論理ボリューム番号4を渡し、WORM論理ボリュームの作成を依頼する。
要求を受けたWORM論理ボリューム作成部174は、論理ボリューム管理部175にアクセスして、図15(a)に示す論理ボリューム管理テーブル176のエントリ1504から、仮想論理ボリューム番号4が実際に存在するストレージと論理ボリューム番号が、ストレージ130の論理ボリューム番号1であることを取得する。
続いて、WORM論理ボリューム作成部174は、ストレージ管理部177にアクセスして、ストレージ130のセキュリティ設定フラグが”Yes”になっているかを確認する。
ストレージ130のセキュリティ設定フラグが”Yes”となっているため、WORM論理ボリューム作成部174は、管理インターフェイス通信処理部179を通してストレージ130の論理ボリュームセキュリティ設定部184にアクセスし、図14(a)に示すアクセス管理テーブル185中のエントリで、論理ボリューム番号401が1であり、入出力処理部名402がブロック入出力処理部150以外であるエントリ1402を抽出する。抽出したエントリ1402のアクセス許可属性403が“R/W”であるので、WORM論理ボリューム作成部174は管理端末180(本実施例では、ストレージ130の管理者)に対し、エントリ1402のアクセス許可属性403を“R”としてよいかを問い合わせる。
ストレージ130の管理者が、管理端末180に表示されたダイアログボックスに対して“Yes”と回答した場合、WORM論理ボリューム作成部174は、管理インターフェイス通信処理部116を通して論理ボリュームセキュリティ設定部184に対して、アクセス許可属性の設定の変更を要求する。論理ボリュームセキュリティ設定部184は、図14(a)に示すアクセス管理テーブル185中のエントリで、論理ボリューム番号401が1であり、入出力処理部名402がブロック入出力処理部150以外であるエントリ1402を抽出する。そして、図14(b)のアクセス管理テーブル185中のエントリ1405に示すように、抽出したエントリ1402のアクセス許可属性403を“R/W”から“R”に変更する。さらに、WORM論理ボリューム作成部174は論理ボリューム管理部175にアクセスし、図15(b)の論理ボリューム管理テーブル176中のエントリ1505に示すように、仮想論理ボリューム番号4で与えられる論理ボリュームのWORM属性203を“No”から“Yes”に変更する。
さらに、バックアップ管理部1101は、図16に示すバックアップ管理テーブル1102中にエントリ1601を新規作成して、バックアップ元の仮想論理ボリューム番号2と、バックアップ先の仮想論理ボリューム番号4との組み合わせを格納し、処理を終了する。
以上の処理により、バックアップ先の論理ボリュームがWORM領域として確保されるため、ファイル入出力処理部140がブロック入出力処理部150のバックアップ処理部1100に指示して、改竄防止処理後の任意の契機において、バックアップのためのコピー処理を実行できる。
このように、第3の実施例では、WORM論理ボリュームを外部接続されたストレージにバックアップする場合においても、外部接続されたストレージに接続されているユーザ(本実施例ではブロック入出力処理部161に接続されるユーザ端末110)からバックアップデータに対する改竄を防止することが可能となる。
第1の実施例では、ストレージ毎に管理端末を一つ用意する形態であったが、第4の実施例では、一つの管理端末で複数のストレージを管理する実施例について説明する。
図17から図20を用いて、第4の実施例を説明する。
図17は、第4の実施例に関する記憶装置を示す構成図である。図1との差分を以下に述べる。ストレージ120および130は、管理端末1700に接続されている。管理端末1700は、ストレージ120の管理部として、WORM論理ボリューム作成部174、論理ボリューム管理部175、ストレージ管理部177を有する。また、ストレージ130の管理部として、論理ボリュームセキュリティ設定部184を有する。
なお、本実施例においては、管理端末間で通信を行わないため、管理インターフェイス通信処理部116は不要となる。
図18は、WORM論理ボリューム作成処理を示すフローチャートである。WORM論理ボリューム作成部174は、特定の論理ボリュームについてWORM論理ボリュームに変更することをファイル入出力処理部140から要求されたことを契機として、外部ストレージ内にWORM論理ボリュームを作成する処理を開始する(ステップ1801)。
WORM論理ボリューム作成部174は、論理ボリューム管理テーブル176中に仮想論理ボリューム番号が与えられたある論理ボリュームをWORM論理ボリュームとして設定するとき、論理ボリューム管理部175にアクセスして該当する論理ボリュームが実際に存在する外部ストレージのストレージ名と論理ボリューム番号を取得する(ステップ1802)。
さらに、WORM論理ボリューム作成部174は、ストレージ管理部177にアクセスしてストレージ管理テーブル178中の該当する外部ストレージのセキュリティ設定フラグが”Yes”になっているかを確認する(ステップ1803)。
ステップ1803においてセキュリティ設定フラグが”Yes”になっている場合、WORM論理ボリューム作成部174は、論理ボリュームセキュリティ設定部184にアクセスする。そして、アクセス管理テーブル185中のエントリの中から、該当する論理ボリューム番号401と、論理ボリューム入出力処理部名がファイル入出力処理部140以外である入出力処理部402の組であるエントリを抽出する。抽出したエントリのアクセス許可属性403が“R/W”であるならば、これを“R”とする(ステップ1804)。
さらに、WORM論理ボリューム作成部174は、論理ボリューム管理部175にアクセスし、論理ボリューム管理テーブル176中の該当する論理ボリュームのWORM属性203を“No”から“Yes”に変更し(ステップ1805)、処理を終了する(ステップ1807)。
ステップ1803においてセキュリティ設定フラグが”No”であった場合は、WORM論理ボリューム作成部174は、ファイル入出力処理部140に対して、この論理ボリュームに対する改竄防止処理を行えないことを通知し(ステップ1806)、処理を終了する。
本実施例において、論理ボリュームをWORM論理ボリュームに変更する処理(改竄防止処理)を行うまでの流れを、図19、図20を用いて説明する。
図19(a)は、管理端末1700のストレージセキュリティ設定部184が有するアクセス管理テーブル185の初期状態を示す図である。図19(b)は、改竄防止処理において、管理端末1700のストレージセキュリティ設定部184が有するアクセス管理テーブル185中のアクセス許可属性403が変更された後の状態を示す図である。
図20(a)は、管理端末1700の論理ボリューム管理部175が有する論理ボリューム管理テーブル176の初期状態を示す図である。図20(b)は、改竄防止処理において、管理端末1700の論理ボリューム管理部175が有する論理ボリューム管理テーブル176中のWORM属性203が変更された後の状態を示す図である。
ファイル入出力処理部140は、WORM論理ボリューム作成部174に仮想論理ボリューム番号4を渡し、WORM論理ボリュームの作成を依頼したとする。
このとき、要求を受けたWORM論理ボリューム作成部174は、論理ボリューム管理部175にアクセスして、図20(a)に示す論理ボリューム管理テーブル176のエントリ2004から、仮想論理ボリューム番号4が実際に存在するストレージと論理ボリューム番号が、ストレージ130の論理ボリューム番号1であることを取得する。
続いて、WORM論理ボリューム作成部174は、ストレージ管理部177にアクセスして、ストレージ130のセキュリティ設定フラグが”Yes”になっているかを確認する。
ストレージ130のセキュリティ設定フラグが”Yes”となっているため、WORM論理ボリューム作成部174は、論理ボリュームセキュリティ設定部184にアクセスし、図19(a)に示すアクセス管理テーブル185中のエントリで、論理ボリューム番号401が1であり、入出力処理部名402がファイル入出力処理部140以外であるエントリ1902を抽出する。そして、図19(b)のアクセス管理テーブル185中のエントリ1905に示すように、抽出したエントリ1902のアクセス許可属性403を“R/W”から“R”に変更する。さらに、WORM論理ボリューム作成部174は、論理ボリューム管理部175にアクセスし、図20(b)の論理ボリューム管理テーブル176中のエントリ2005に示すように、仮想論理ボリューム番号4で与えられる論理ボリュームのWORM属性203を、“No”から“Yes”に変更し、処理を終了する。
このように、第4の実施例では、複数のストレージの管理を一つの管理端末で行う場合においても、あるストレージのファイル入出力処理部が外部接続されたストレージにWORM論理ボリュームを作成する場合、外部接続されたストレージに接続されているユーザが、WORM論理ボリュームの中に格納されているデータを書き換えることを、防止することが可能となる。
第1の実施例では、管理端末のプログラムがWORM論理ボリューム属性を管理する形態であったが、これを論理ボリューム毎に保存する実施例もある。
図21から図26を用いて、第5の実施例を説明する。
図21は、第5の実施例に関する記憶装置を示す構成図である。図1との差分を以下に述べる。ストレージ120のコントローラ121は、WORM属性管理部2101を有する。WORM属性管理部2101は、ストレージ120内の各論理ボリュームおよびストレージ130から提供される論理ボリュームに対して、WORM論理ボリュームであるかどうかを示すWORM属性2102を付与する。各論理ボリュームは、例えばWORM属性管理テーブルを有し、論理ボリューム内に上記で付与されたWORM属性2102を保持する。
管理端末170内の論理ボリューム管理部2103は、ストレージ120が所有する論理ボリュームと、外部ストレージから提供されている論理ボリュームとを、仮想論理ボリューム番号によりストレージの入出力処理部に仮想的に見せる役割を持つ。なお、論理ボリューム管理部2103は、各論理ボリュームについてそれがWORM論理ボリュームであるかを管理する役割は持たない。論理ボリューム管理部2103は、仮想論理ボリューム番号と、実際に存在するストレージおよびその論理ボリューム番号との組み合わせを保持するために、論理ボリューム管理テーブル2104を有する。
図22は、各論理ボリュームに格納されるWORM属性を示すWORM属性管理テーブルの構成図である。
論理ボリュームは、データブロック番号2201とデータブロックごとのWORM属性2202とを組とするエントリ2210〜2213を複数有する。データブロック番号2201には、論理ボリュームのデータ領域全体をあるデータ単位で区切り、区切られたデータを一意に識別するための番号が格納される。データ単位は本実施例のようなブロック以外にも、例えば、ディスク装置、ディスクのセクタといった物理的な単位や、ボリューム、ファイルといった論理的な単位であってもよい。
WORM属性2202には、データブロック番号2201で示されるデータが、改竄を許可しないWORM領域であるか否かを識別するための情報がフラグとして格納される。このフラグにより、ストレージ120は、論理ボリューム中のどのデータブロックがWORM領域であるのかを識別して、ユーザ端末に提供することができる。
例えば、エントリ2210に格納された情報は、データブロック番号1で与えられるデータブロックがWORM領域ではないことを表している。また、エントリ2211に格納された情報は、データブロック番号2で与えられるデータブロックがWORM領域であることを表している。
図23は、論理ボリューム管理テーブル2104の一例を示す構成図である。論理ボリューム管理テーブル2104は、仮想論理ボリューム番号2301と、その論理ボリュームが実際に存在するストレージ名とそのストレージ内での論理ボリューム番号2302とを組とするエントリ2310〜2313を複数有する。
仮想論理ボリューム番号2301には、ストレージが内部に持っている論理ボリューム、および外部接続しているストレージの内部にある論理ボリュームを一意に識別するための識別子が格納される。
ストレージ名とそのストレージ内での論理ボリューム番号2302には、仮想論理ボリューム番号2301で示す論理ボリュームが実際に存在するストレージの識別情報と、そのストレージ内における論理ボリューム番号2301で示す論理ボリュームの識別情報が格納される。本実施例では、それぞれストレージ名と論理ボリューム番号が格納される。
例えば、エントリ2311に格納された情報は、仮想論理ボリューム番号2で与えられる論理ボリュームは、実際はストレージ120の論理ボリューム番号2で与えられる論理ボリュームであることを表している。また、エントリ2313に格納された情報は、仮想論理ボリューム番号4で与えられる論理ボリュームは、実際はストレージ130の論理ボリューム番号1で与えられる論理ボリュームであることを表している。
図24は、第5の実施例に関するWORM論理ボリューム作成処理を示すフローチャートである。WORM論理ボリューム作成部174は、特定の論理ボリュームをWORM論理ボリュームに変更して設定することをファイル入出力処理部140から要求されたことを契機に、外部ストレージ内にWORM論理ボリュームを作成する処理を開始する(ステップ2401)。
WORM論理ボリューム作成部174は、論理ボリューム管理テーブル2104中で仮想論理ボリューム番号が与えられたある論理ボリュームを、WORM論理ボリュームとして設定するとき、管理端末170中の論理ボリューム管理部2103にアクセスしてこの論理ボリュームが実際に存在するストレージ名と論理ボリューム番号を取得する(ステップ2402)。
さらに、WORM論理ボリューム作成部174は、ストレージ管理部177にアクセスしてストレージ管理テーブル178中の該当するストレージのセキュリティ設定フラグが”Yes”になっているかを確認する(ステップ2403)。
ステップ2403においてセキュリティ設定フラグが“Yes”となっている場合、WORM論理ボリューム作成部174は、管理インターフェイス通信処理部179を通して該当するストレージの論理ボリュームセキュリティ設定部184にアクセスする。そして、アクセス管理テーブル185中のエントリの中から、該当する論理ボリュームの論理ボリューム番号401と、入出力処理部名402がファイル入出力処理部140以外である入出力処理部名との組であるエントリを抽出する。抽出したエントリのアクセス許可属性が“R/W”であるならば、WORM論理ボリューム作成部2101は、これを“R”としてよいかどうかを、論理ボリュームセキュリティ設定部184に問い合わせる(ステップ2404)。
問合せを受けた外部ストレージの管理端末(本実施例では、外部ストレージの管理者)は、この問い合わせに対して回答する(ステップ2405)。
ステップ2405において、問合せに対する回答が“Yes”である場合、WORM論理ボリューム作成部174は、管理インターフェイス通信処理部116を通して論理ボリュームセキュリティ設定部184に設定の変更を要求する(ステップ2406)。
論理ボリュームセキュリティ設定部184は、アクセス管理テーブル185中のエントリの中から、該当する論理ボリュームの論理ボリューム番号401と、入出力処理部名402がファイル入出力処理部140以外である入出力処理部名との組であるエントリを抽出する。そして、抽出したエントリのアクセス許可属性403が“R/W”であるならば、これを“R”に設定する(ステップ2407)。
さらに、WORM論理ボリューム作成部174は、コントローラ121内のWORM属性管理部2101にWORM属性の変更を指示し、WORM属性管理部2101は、WORM属性管理テーブル内のデータブロック番号2201に対応するWORM属性2202を“Yes”とし(ステップ2408)、処理を終了する(ステップ2410)。
ステップ2403において、このストレージのセキュリティ設定フラグが”No”であった場合や、ステップ2405において、このストレージの管理者からの回答が”No”であった場合は、ファイル入出力処理部140に、この論理ボリュームに対する改竄防止処理を行えないことを通知し(ステップ2409)、処理を終了する(ステップ2410)。本実施例において、論理ボリュームをWORM論理ボリュームに変更する処理(改竄防止処理)を行うまでの流れを、図25、図26を用いて説明する。本例では、ファイル入出力処理部140が、WORM論理ボリューム作成部174に、仮想論理ボリューム番号4で与えられる論理ボリュームをWORM論理ボリュームに変更することを要求したときの流れを説明する。
図25(a)は、管理端末180の論理ボリュームセキュリティ設定部184が有するアクセス管理テーブル185の初期状態を示す図である。図25(b)は、改竄防止処理において、管理端末180の論理ボリュームセキュリティ設定部184が有するアクセス管理テーブル185中のアクセス許可属性403が変更された後の状態を示す図である。
図26は、改竄防止処理において、ストレージ130の論理ボリューム番号1で示される論理ボリューム中のデータについてのWORM属性2202が変更された後のWORM属性管理テーブルの状態を示すである。
ファイル入出力処理部140から要求を受けたWORM論理ボリューム作成部174は、論理ボリューム管理部2103にアクセスして、図23に示す論理ボリューム管理テーブル2104のエントリ2313から、仮想論理ボリューム番号4の論理ボリュームが実際に存在するストレージと論理ボリューム番号が、ストレージ130の論理ボリューム番号1であることを取得する。
続いて、WORM論理ボリューム作成部174は、ストレージ管理部177にアクセスして、ストレージ130のセキュリティ設定フラグが”Yes”になっているかを確認する。
ストレージ130のセキュリティ設定フラグが”Yes”となっているため、WORM論理ボリューム作成部174は、管理インターフェイス通信処理部116を通してストレージ130の論理ボリュームセキュリティ設定部184にアクセスし、図25(a)に示すアクセス管理テーブル185中のエントリで、論理ボリューム番号401が1であり、入出力処理部名402がファイル入出力処理部140以外であるエントリ2502を抽出する。抽出したエントリのアクセス許可属性403が“R/W”であるので、これを“R”としてよいかを問い合わせる。
ストレージ130の管理者が、管理端末180に表示されたダイアログボックスに対して“Yes”と回答した場合、WORM論理ボリューム作成部174は、管理インターフェイス通信処理部179を通して論理ボリュームセキュリティ設定部184に対して、設定の変更を要求する。論理ボリュームセキュリティ設定部184は、図25(a)に示すアクセス管理テーブル185中のエントリで、論理ボリューム番号401が1であり、入出力処理部名402がファイル入出力処理部140以外であるエントリ2502を抽出する。そして、図25(b)のアクセス管理テーブル185中のエントリ2505に示すように、抽出したエントリのアクセス許可属性403を“R/W”から“R”に変更する。
さらに、WORM論理ボリューム作成部174はストレージ120のコントローラ内のWORM属性管理部2101にWORM属性を変更するよう指示する。指示を受信したWORM属性管理部2101は、図26中のエントリ2601〜2604に示すように、この論理ボリューム内のすべてのデータについて、データブロック番号2201に対応するWORM属性2202を“Yes”に変更して、処理を終了する。
このように、第5の実施例では、各論理ボリュームが論理ボリューム内の各データについて、あるデータの単位ごとにWORM属性を保持する場合においても、外部接続されたストレージに接続されているユーザからのWORM論理ボリュームに対する改竄を防止することが可能となる。
なお、第5の実施例において、論理ボリュームがメタデータを格納するメタデータ部と、あるデータ単位ごとにデータを格納するデータブロック部とを有し、あるデータ単位ごとのWORM属性はメタデータ部に格納される構成としてもよい。
(変形例1)
第1乃至第5の実施例では、ファイル入出力処理部が、ユーザ端末の利用する外部ストレージ内の論理ボリュームに対するWORMの設定を、管理端末に指示する形態を説明した。ここで、ファイル入出力部は、ストレージに接続されるファイルサーバであり、ユーザ端末がこのファイルサーバを介してストレージ内の記憶領域を利用する形態であってもよい。この場合、ファイルサーバが、ユーザ端末の利用する外部ストレージ内の論理ボリュームに対するWORMの設定を、管理端末に指示する。
図27を用いて、ファイルサーバを含むシステム構成について説明する。図1との差分を以下に述べる。複数のユーザ端末100は、ネットワーク190を介して、ファイルサーバ2700に接続され、ファイルサーバ2700はストレージ120内のブロック入出力部2710と相互接続される。ブロック入出力処理部2710は、前述したブロック入出力処理部150、160、161と同様の構成を有する。
ファイルサーバ2700は、ユーザからのファイル操作要求を受け、ストレージ120内の論理ボリュームにデータをファイル単位で格納、および抽出する役割を持つ。ファイルサーバ2700は、プロセッサ2701、メモリ2702、I/F2703、I/F2704、I/F2705、およびブロック入出力I/F2706から構成される。プロセッサ2701は、メモリ2702にプログラムを読み出して実行し、I/F2703、2704、2705およびブロック入出力I/F2706を介して、他の装置と通信する。プロセッサ2701がメモリ2702に読み出して実行するプログラムとして、例えば、ファイルシステム2707、およびファイルシステム2707で実行されるWORMファイル管理部2708がある。
なお、ファイルシステム2707は、ユーザ端末100とストレージ120とのファイル単位でのデータの送受信を行うため、ユーザ端末100の有するファイルシステムと互換性を有するファイルシステムである。
プロセッサ2701は、I/F2703に接続されたネットワーク190を介して、ユーザ端末100との間でファイル操作要求などの制御情報を送受信し、I/F2705を介して接続される管理ネットワーク193によって、管理端末170との間で制御情報を送受信する。また、プロセッサ2701は、I/F2704に接続されたネットワーク190を介して、ユーザ端末100との間でデータを送受信し、ブロック入出力I/F2706を介して、ストレージ120のブロック入出力処理部2710にアクセスし、記憶媒体122に格納されたデータを操作する。
以上のようなシステム構成において、WORM論理ボリュームの作成処理は、実施例1ではファイル入出力処理部140が行っていた処理を、ファイルサーバ2710が実行することで可能となる。
なお、上述したように、5つの実施例および変形例を説明したが、本発明はこれらの実施例に制限されるものではない。
第1の実施例に関するシステムを示す構成図である。 第1の実施例に関する論理ボリューム管理テーブルの一例を示す構成図である。 第1の実施例に関するストレージ管理テーブルの一例を示す構成図である。 第1の実施例に関するアクセス管理テーブルの一例を示す構成図である。 第1の実施例に関するWORM論理ボリューム作成処理を示すフローチャートである。 第1の実施例に関するアクセス管理テーブルの改竄防止処理後を示す構成図である。 第1の実施例に関する論理ボリューム管理テーブルの改竄防止処理後を示す構成図である。 第2の実施例に関するシステムを示す構成図である。 第2の実施例に関するアクセス管理テーブルの改竄防止処理後を示す構成図である。 第2の実施例に関する論理ボリューム管理テーブルの改竄防止処理後を示す構成図である。 第3の実施例に関するシステムを示す構成図である。 第3の実施例に関するバックアップ管理テーブルの一例を示す構成図である。 第3の実施例に関するWORM論理ボリューム作成処理を示すフローチャートである。 第3の実施例に関するアクセス管理テーブルの初期状態と改竄防止処理後を示す構成図である。 第3の実施例に関する論理ボリューム管理テーブルの初期状態と改竄防止処理後を示す構成図である。 第3の実施例に関するWORM論理ボリューム作成後のバックアップ管理テーブルを示す構成図である。 第4の実施例に関するシステムを示す構成図である。 第4の実施例に関するWORM論理ボリューム作成処理を示すフローチャートである。 第4の実施例に関するアクセス管理テーブルの改竄防止処理後を示す構成図である。 第4の実施例に関する論理ボリューム管理テーブルの改竄防止処理後を示す構成図である。 第5の実施例に関するシステムを示す構成図である。 第5の実施例に関するWORM属性を示す構成図である。 第5の実施例に関する論理ボリューム管理テーブルの一例を示す構成図である。 第5の実施例に関するWORM論理ボリューム作成処理を示すフローチャートである。 第5の実施例に関するアクセス管理テーブルの初期状態と改竄防止処理後を示す構成図である。 第5の実施例に関する改竄防止処理後のWORM属性を示す構成図である。 実施例の変形例に関するシステムを示す構成図である。
符号の説明
100,110 ユーザ端末
120,130 ストレージ
170,180,1700 管理端末
190,191,192 ネットワーク
193 管理ネットワーク
121,131 コントローラ
122,132 記憶媒体
140,800 ファイル入出力処理部
150,160,161、2710 ブロック入出力処理部
101,121,141,151,171,181,2701 プロセッサ
102,122,142,152,172,182,2702 メモリ
103,123,133,143〜145,153、173,183,2703〜2705 I/F
146,154,155,2706 ブロック入出力I/F
174,803 WORM論理ボリューム作成部
175,804 論理ボリューム管理部
176,805 論理ボリューム管理テーブル
177,806 ストレージ管理部
178 ストレージ管理テーブル
179,186 管理インターフェイス通信処理部
184,801 論理ボリュームセキュリティ設定部
185,802 アクセス管理テーブル
201,2301 仮想論理ボリューム番号
202 ストレージ名とその論理ボリューム番号
203 WORM属性
301 ストレージ名
302 セキュリティ設定フラグ
401 論理ボリューム番号
402 入出力処理部名
403 アクセス許可属性
1100 バックアップ処理部
1101 バックアップ管理部
1102 バックアップ管理テーブル
1201 バックアップ元論理ボリューム番号
1202 バックアップ先論理ボリューム番号
2101 WORM属性管理部
2102 WORM属性
2103 論理ボリューム管理部
2104 論理ボリューム管理テーブル
2201 データブロック番号
2202 WORM属性
2302 ストレージ名とその論理ボリューム番号
2700 ファイルサーバ

Claims (18)

  1. 第1のストレージシステムと、前記第1のストレージシステムに接続される第2のストレージシステムを有する計算機システムであって、
    前記第1のストレージシステム内の複数の記憶領域である第1の記憶領域と、前記第2のストレージシステム内の複数の記憶領域である第2の記憶領域とを有し、
    前記第1のストレージシステムは、
    前記第2の記憶領域を、当該第1のストレージシステムの記憶領域として、当該第1のストレージシステムに接続される第1の計算機に提供するコントローラ部と、
    前記第2の記憶領域のうちの所定の記憶領域に対して、前記第2のストレージシステムに接続される第2の計算機からのアクセスを制限するよう、前記第2のストレージシステムに対して指示するアクセス制限指示部を有し、
    前記第2のストレージシステムは、
    前記第1のストレージシステムの前記アクセス制限指示部から受信した前記アクセス制限の指示に基づいて、当該第2のストレージシステム内の前記所定の記憶領域に対して、前記第2の計算機からのアクセスを制限するアクセス制限設定部を有し、
    前記コントローラ部は、
    前記第1の記憶領域に対する前記第1の計算機からの入出力要求を制御する第1の入出力処理部と、
    前記第2の記憶領域を前記第1のストレージシステムの記憶領域として、前記第1の入出力処理部を介して前記第1の計算機に提供し、前記第1の入出力処理部を介した前記第2の記憶領域に対する入出力要求を制御する第2の入出力処理部を有し、
    前記アクセス制限設定部は、
    前記第1のストレージシステムの前記アクセス制限指示部から受信した前記アクセス制限の指示に基づいて、前記第2の記憶領域内の前記所定の記憶領域に格納されたデータに対して、前記第2の計算機からのライト要求を禁止することを特徴とする計算機システム。
  2. 請求項に記載の計算機システムであって、
    前記第2のストレージシステムは、
    前記第2の入出力処理部から送信された入出力要求に基づいて、前記第2の記憶領域のうちのいずれかの記憶領域に対する入出力要求を制御する第3の入出力処理部と、
    前記第2の記憶領域に対する前記第2の計算機からの入出力要求を制御する第4の入出力処理部を有することを特徴とする計算機システム。
  3. 請求項に記載の計算機システムであって、
    前記第2のストレージシステムは、
    前記第2の記憶領域に対するリード要求およびライト要求のアクセス可否を識別する情報を格納する設定テーブルを有し、
    前記アクセス制限設定部は、前記作成部から受信した前記アクセス制限の指示に基づいて、前記所定の記憶領域に格納されたデータに対する前記第2の計算機からのライト要求を禁止するよう設定する場合、
    前記第4の入出力処理部からのライト要求を禁止するよう前記設定テーブルを更新することを特徴とする計算機システム。
  4. 請求項に記載の計算機システムであって、
    前記第2の計算機が、前記第4の入出力処理部を介して、前記第2の記憶領域内の前記所定の記憶領域に格納されたデータに対するリード要求を送信した場合、前記第2のストレージシステムは前記設定テーブルを参照して前記リード要求を許可し、
    前記第2のストレージシステムに接続される前記第2の計算機が、前記第4の入出力処理部を介して、前記第2の記憶領域内の前記所定の記憶領域に格納されたデータに対するライト要求を送信した場合、前記第2のストレージシステムは、前記設定テーブルを参照して、前記ライト要求を禁止することを特徴とする計算機システム。
  5. 請求項に記載の計算機システムであって、
    前記第1のストレージシステムは、
    前記第1の記憶領域、および当該第1のストレージシステムに提供される前記第2の記憶領域を一意に識別する識別子と、該記憶領域に格納されたデータに対して前記第1または第2の計算機からのライト要求を禁止するアクセス制限属性とを対応付ける管理テーブルを有し、
    前記アクセス制限設定部が前記アクセス制限指示部から受信した前記アクセス制限の指示に基づいて、前記第2の記憶領域内の前記所定の記憶領域について前記設定テーブルを更新する場合、
    前記アクセス制限指示部は、前記設定テーブルの更新に応じて、前記所定の記憶領域に対して前記アクセス制限属性を付与するよう前記管理テーブルを更新することを特徴とする計算機システム。
  6. 請求項1に記載の計算機システムであって、
    前記第1のストレージシステムは、
    当該第1のストレージシステム内の前記第1の記憶領域のうちのある記憶領域の複製として、前記第2のストレージシステム内に複製記憶領域の作成を要求する複製管理部を有し、
    前記複製管理部は、前記アクセス制限設定部による前記複製元の記憶領域に対する前記アクセス制限において、ライト要求を禁止するアクセス制限が設定されているか否かを判定し、
    前記アクセス制限が設定されている場合、前記第2のストレージシステムに対して、前記複製記憶領域を作成するよう要求し、
    前記第2のストレージシステムは、前記作成要求に基づいて、前記第2のストレージシステム内に前記複製記憶領域を作成し、
    前記アクセス制限設定部は、作成された前記複製先の前記複製記憶領域に対して前記第2の計算機からのライト要求を禁止するよう前記アクセス制限を設定し、
    前記アクセス制限指示部は、前記アクセス制限が設定された前記複製記憶領域に対して前記アクセス制限が設定されたことを示す識別子を付与して管理し、
    前記複製管理部は、前記複製元の記憶領域と前記複製先の前記複製記憶領域とを対応付けて管理することを特徴とする計算機システム。
  7. 請求項に記載の計算機システムであって、
    前記第2の入出力処理部は、
    前記第1のストレージシステム内の前記複製元の記憶領域に含まれるデータを、前記第2のストレージシステム内の前記複製記憶領域に複製する複製処理部を有し、
    前記複製処理部は、前記複製管理部が管理する前記複製元の記憶領域に対応する前記複製先の前記複製記憶領域を参照して、前記複製元の記憶領域内に含まれるデータを、前記複製先の前記複製記憶領域に複製することを特徴とする計算機システム。
  8. 請求項に記載の計算機システムであって、
    前記第1のストレージシステムは、
    前記第2の記憶領域内の前記複数の記憶領域に対するアクセス権限の変更が可能か否かを前記第2のストレージに対して問い合わせるストレージ管理部を有し、
    前記ストレージ管理部は、前記第2のストレージシステムに対して、前記所定の記憶領域に対するアクセス権限の変更が可能か否かを問合せ、前記アクセス権限の変更が可能な場合、前記アクセス制限指示部に前記アクセス権限の変更が可能である情報を送信し、
    前記アクセス制限指示部は、前記アクセス権限の変更可能との情報に基づいて、前記第2のストレージシステムに対して、前記所定の記憶領域に対する前記第2の計算機からのアクセスを制限するアクセス制限を送信することを特徴とする計算機システム。
  9. 請求項に記載の計算機システムであって、
    前記第1のストレージシステムと前記第2のストレージシステムとは、SANを介して、データを送受信し、
    前記第1のストレージシステムと前記第2のストレージシステムとは、LANを介して、制御情報を送受信することを特徴とする計算機システム。
  10. 請求項に記載の計算機システムであって、
    前記第1の計算機と前記第1のストレージシステム間、および、前記第2の計算機と前記第2のストレージシステム間は、LANを介して接続されることを特徴とする計算機システム。
  11. 計算機がそれぞれ接続される複数のストレージシステムを有する計算機システムであって、
    前記複数のストレージシステムは、それぞれ、
    当該ストレージシステムに接続される前記計算機が使用するデータを格納する複数の記憶領域と、
    当該ストレージシステムに接続される他のストレージシステム内の前記複数の記憶領域を、当該ストレージシステムの記憶領域として前記計算機に提供し、前記計算機からの当該ストレージシステム内の前記複数の記憶領域に対する入出力要求を制御する入出力処理部と、
    当該ストレージシステムに接続される他のストレージシステム内の前記複数の記憶領域に対するアクセス権限の変更が可能か否かを、前記他のストレージシステムに問い合わせるストレージ管理部と、
    前記他のストレージシステムに記憶領域に対するアクセス権限の変更が可能である情報を前記ストレージ管理部から受信した場合、前記他のストレージシステム内の前記複数の記憶領域のうちの所定の記憶領域に対して、前記他のストレージシステムに接続される他の計算機からのアクセスを制限するよう、前記他のストレージシステムに対して指示するアクセス制限指示部と、
    前記他のストレージシステムが、当該ストレージシステムのアクセス制限指示に基づいて、前記他のストレージシステム内の前記所定の記憶領域に対して、前記他の計算機からのアクセス制限を設定した場合、
    前記アクセス制限指示部によって、前記所定の記憶領域と、該所定の記憶領域に格納されたデータに対する前記他の計算機からのライト要求を禁止するアクセス制限属性とが対応付けられる管理テーブルと、
    前記他のストレージシステム内の前記アクセス制限指示部が、当該ストレージシステムに対して、当該ストレージシステムが前記他のストレージに提供しているある記憶領域に対する、前記計算機からのアクセス制限を指示した場合、当該ストレージシステム内の前記ある記憶領域に対して、前記計算機からのアクセスを制限するよう設定するアクセス制限設定部と、
    前記アクセス制限設定部によって、前記計算機と前記ある記憶領域に対するアクセス可否を示す情報とが対応付けられる設定テーブルとを有することを特徴とする計算機システム。
  12. 第1のストレージシステムと、前記第1のストレージシステムに接続される第2のストレージシステムと、前記第1および第2のストレージシステムに接続される管理端末とを有する計算機システムであって、
    前記第1のストレージシステム内の複数の記憶領域である第1の記憶領域と、前記第2のストレージシステム内の複数の記憶領域である第2の記憶領域とを有し、
    前記第1のストレージシステムは、前記第2の記憶領域を、当該第1のストレージシステムの記憶領域として、当該第1のストレージシステムに接続される第1の計算機に提供するコントローラ部を有し、
    前記管理端末は、
    前記第2の記憶領域に対するアクセス権限の変更が可能か否かを判定するストレージ管理部と、
    前記ストレージ管理部から受信した、前記第2の記憶領域に対するアクセス権限の変更が可能との情報に基づいて、前記第2の記憶領域のうちの所定の記憶領域に対して、前記第2のストレージシステムに接続される第2の計算機からのアクセスを制限するよう指示するアクセス制限指示部と、
    前記アクセス制限指示に基づいて、前記第2の記憶領域内の前記所定の記憶領域に対して、前記第2の計算機からのアクセス制限を設定するアクセス制限設定部と、
    前記アクセス制限設定部によって、前記第2の計算機と、前記所定の記憶領域に対するアクセス可否を示す情報とが対応付けられる設定テーブルと、
    前記設定テーブルの更新に基づいて、前記アクセス制限指示部が、前記所定の記憶領域と、該所定の記憶領域に格納されたデータに対する前記第2の計算機からのライト要求を禁止するアクセス制限属性とを対応付けて管理する管理テーブルとを有することを特徴とする計算機システム。
  13. 第1のストレージシステムと、第2のストレージシステムを有する計算機システムであって、
    前記第1のストレージシステム内の複数の記憶領域である第1の記憶領域と、前記第2のストレージシステム内の複数の記憶領域である第2の記憶領域とを有し、
    前記第1のストレージシステムは、
    前記第1の計算機からの前記第1の記憶領域に対する入出力要求を制御する第1の入出力処理部と、
    前記第2の記憶領域を当該第1のストレージシステムの記憶領域として、前記第1の入出力処理部を介して、前記第1の計算機に提供し、前記第1の入出力処理部を介した前記第2の記憶領域に対する入出力要求を制御する第2の入出力処理部と、
    前記第1および第2の記憶領域に格納された前記所定の単位のデータごとに、アクセス制限属性を付与して管理する属性管理部と、
    前記第2の記憶領域のうちの所定の記憶領域に対して、前記第2のストレージシステムに接続される第2の計算機からのアクセスを制限するよう、前記第2のストレージシステムに対して指示するアクセス制限指示部を有し、
    前記第2のストレージシステムは、
    前記アクセス制限指示部から受信した指示に基づいて、当該第2のストレージシステム内の前記所定の記憶領域に格納されるデータに対して、前記第2の計算機からのライト要求を禁止するアクセス制限設定部を有し、
    前記属性管理部は、前記アクセス制限設定部がライト要求を禁止するよう設定した前記所定の記憶領域に格納された前記所定の単位のデータに対して、それぞれ、前記アクセス制限属性を付与することを特徴とする計算機システム。
  14. 請求項13に記載の計算機システムであって、
    前記第2のストレージシステムは、
    前記第2の入出力処理部から送信された入出力要求に基づいて、前記第2の記憶領域のうちのいずれかの記憶領域に対する入出力要求を制御する第3の入出力処理部と、
    前記第2の記憶領域に対する前記第2の計算機からの入出力要求を制御する第4の入出力処理部を有することを特徴とする計算機システム。
  15. 請求項14に記載の計算機システムであって、
    前記第2のストレージシステムは、
    前記第2の記憶領域に対するリード要求およびライト要求のアクセス可否を識別する情報を格納する設定テーブルを有し、
    前記アクセス制限設定部は、前記作成部から受信した前記アクセス制限の指示に基づいて、前記所定の記憶領域に格納されたデータに対する前記第2の計算機からのライト要求を禁止するよう設定する場合、
    前記第4の入出力処理部からのライト要求を禁止するよう前記設定テーブルを更新することを特徴とする計算機システム。
  16. 計算機と、前記計算機に接続される第1のストレージシステムと、前記第1のストレージシステムに接続される第2のストレージシステムを有する計算機システムであって、
    前記第1のストレージシステム内の複数の記憶領域である第1の記憶領域と、前記第2のストレージシステム内の複数の記憶領域である第2の記憶領域とを有し、
    前記計算機は、
    当該計算機を介して前記第1の記憶領域を使用する第1の計算機からの、該記憶領域内のファイル形式のデータに対する入出力要求をブロック形式のデータに対する入出力要求に変換する変換部を有し、
    前記第1のストレージシステムは、
    当該第1の記憶領域に対して、前記計算機が変換した前記ブロック形式のデータに対する入出力要求を制御する第1の入出力処理部と、
    当該第1のストレージシステムを介して前記計算機に提供される、前記第2の記憶領域に対して、前記計算機が変換した前記ブロック形式のデータに対する入出力要求を制御する第2の入出力処理部と、
    前記第2の記憶領域のうちの所定の記憶領域に対して、前記第2のストレージシステムに接続される第2の計算機からのアクセスを制限するよう、前記第2のストレージシステムに対して指示するアクセス制限指示部とを有し、
    前記第2のストレージステムは、
    前記アクセス制限指示部から受信した指示に基づいて、当該第2のストレージシステム内の前記所定の記憶領域に対して、前記第2の計算機からのアクセスを制限するアクセス制限設定部を有することを特徴とする計算機システム。
  17. 請求項16に記載の計算機システムであって、
    前記第2のストレージシステムは、
    前記第2の入出力処理部から送信された入出力要求に基づいて、前記第2の記憶領域のうちのいずれかの記憶領域に対する入出力要求を制御する第3の入出力処理部と、
    前記第2の記憶領域に対する前記第2の計算機からの入出力要求を制御する第4の入出力処理部を有することを特徴とする計算機システム。
  18. 請求項17に記載の計算機システムであって、
    前記第2のストレージシステムは、
    前記第2の記憶領域に対するリード要求およびライト要求のアクセス可否を識別する情報を格納する設定テーブルを有し、
    前記アクセス制限設定部は、前記作成部から受信した前記アクセス制限の指示に基づいて、前記所定の記憶領域に格納されたデータに対する前記第2の計算機からのライト要求を禁止するよう設定する場合、
    前記第4の入出力処理部からのライト要求を禁止するよう前記設定テーブルを更新する
    ことを特徴とする計算機システム。
JP2006000030A 2006-01-04 2006-01-04 データの改竄を防止する記憶装置 Expired - Fee Related JP4837378B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2006000030A JP4837378B2 (ja) 2006-01-04 2006-01-04 データの改竄を防止する記憶装置
US11/362,088 US7467273B2 (en) 2006-01-04 2006-02-27 Storage apparatus for preventing falsification of data
EP06253077A EP1806679A3 (en) 2006-01-04 2006-06-14 Storage apparatus for preventing falsification of data
US12/272,905 US7725673B2 (en) 2006-01-04 2008-11-18 Storage apparatus for preventing falsification of data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006000030A JP4837378B2 (ja) 2006-01-04 2006-01-04 データの改竄を防止する記憶装置

Publications (3)

Publication Number Publication Date
JP2007183703A JP2007183703A (ja) 2007-07-19
JP2007183703A5 JP2007183703A5 (ja) 2008-11-20
JP4837378B2 true JP4837378B2 (ja) 2011-12-14

Family

ID=36969176

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006000030A Expired - Fee Related JP4837378B2 (ja) 2006-01-04 2006-01-04 データの改竄を防止する記憶装置

Country Status (3)

Country Link
US (2) US7467273B2 (ja)
EP (1) EP1806679A3 (ja)
JP (1) JP4837378B2 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4723921B2 (ja) * 2005-06-13 2011-07-13 株式会社日立製作所 記憶制御装置及びその制御方法
US7958166B2 (en) * 2007-08-15 2011-06-07 Emc Corporation System and method for providing write-once-read-many (WORM) storage
US8142441B2 (en) * 2008-10-16 2012-03-27 Aesculap Implant Systems, Llc Surgical instrument and method of use for inserting an implant between two bones
US8591587B2 (en) 2007-10-30 2013-11-26 Aesculap Implant Systems, Llc Vertebral body replacement device and method for use to maintain a space between two vertebral bodies within a spine
US8260792B1 (en) * 2008-08-29 2012-09-04 Emc Corporation System and method for committing data objects to be immutable
PT2716157T (pt) 2008-12-08 2016-08-23 Gilead Connecticut Inc Imidazopirazinas ¿ inibidores de syc
SG171993A1 (en) 2008-12-08 2011-07-28 Gilead Connecticut Inc Imidazopyrazine syk inhibitors
US8142435B2 (en) * 2009-02-19 2012-03-27 Aesculap Implant Systems, Llc Multi-functional surgical instrument and method of use for inserting an implant between two bones
KR101715080B1 (ko) * 2011-06-09 2017-03-13 삼성전자주식회사 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법
KR20150093683A (ko) * 2012-12-06 2015-08-18 톰슨 라이센싱 소셜 네트워크 프라이버시 감사
KR102060992B1 (ko) * 2013-05-27 2020-01-02 삼성디스플레이 주식회사 표시 기판 및 이의 제조 방법
US10762041B2 (en) * 2015-08-31 2020-09-01 Netapp, Inc. Event based retention of read only files
JP6943128B2 (ja) * 2017-10-06 2021-09-29 株式会社島津製作所 分析データベース登録装置、分析データ収集システム、分析システムおよび分析データベース登録方法
WO2020172431A1 (en) 2019-02-22 2020-08-27 Gilead Sciences, Inc. Solid forms of condensed pyrazines as syk inhibitors

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61127052A (ja) * 1984-11-26 1986-06-14 Hitachi Ltd 記憶装置の書込み保護方式
JPH07319627A (ja) * 1994-05-24 1995-12-08 Mitsubishi Electric Corp 外部記憶装置
US6493804B1 (en) * 1997-10-01 2002-12-10 Regents Of The University Of Minnesota Global file system and data storage device locks
US7171434B2 (en) * 2001-09-07 2007-01-30 Network Appliance, Inc. Detecting unavailability of primary central processing element, each backup central processing element associated with a group of virtual logic units and quiescing I/O operations of the primary central processing element in a storage virtualization system
US7155460B2 (en) * 2003-03-18 2006-12-26 Network Appliance, Inc. Write-once-read-many storage system and method for implementing the same
JP2004302751A (ja) * 2003-03-31 2004-10-28 Hitachi Ltd 計算機システムの性能管理方法、および、記憶装置の性能を管理する計算機システム
US7254683B2 (en) * 2003-11-03 2007-08-07 International Business Machines Corporation Speculative data mirroring apparatus method and system
JP4521865B2 (ja) * 2004-02-27 2010-08-11 株式会社日立製作所 ストレージシステム、計算機システムまたは記憶領域の属性設定方法
US7162602B2 (en) * 2004-03-16 2007-01-09 Hitachi, Ltd. More granular and more efficient write protection for disk volumes
US20050210028A1 (en) * 2004-03-18 2005-09-22 Shoji Kodama Data write protection in a storage area network and network attached storage mixed environment
JP4401863B2 (ja) * 2004-05-14 2010-01-20 株式会社日立製作所 ストレージシステム
US7844691B2 (en) * 2004-12-30 2010-11-30 Xstor Systems, Inc. Scalable distributed storage and delivery

Also Published As

Publication number Publication date
EP1806679A3 (en) 2007-07-18
US20070156988A1 (en) 2007-07-05
EP1806679A2 (en) 2007-07-11
US20090077334A1 (en) 2009-03-19
JP2007183703A (ja) 2007-07-19
US7725673B2 (en) 2010-05-25
US7467273B2 (en) 2008-12-16

Similar Documents

Publication Publication Date Title
US7725673B2 (en) Storage apparatus for preventing falsification of data
US8135677B2 (en) File management system and method
US8635419B2 (en) Methods for implementation of worm mode on a removable storage system
JP4521865B2 (ja) ストレージシステム、計算機システムまたは記憶領域の属性設定方法
JP5320557B2 (ja) ストレージシステム
US8156292B2 (en) Methods for implementation of data formats on a removable disk drive storage system
US20030229651A1 (en) Snapshot acquisition method, storage system
JP2005115948A (ja) ファイルをアーカイブするための方法、システム、およびプログラム
US7673096B2 (en) Control apparatus for controlling virtual storage
US8024532B2 (en) Data management method for erasing data in computer system
US20030204572A1 (en) Computer system with virtualization function
JP2006048641A (ja) 長期間データアーカイブ用ファイルサーバ
JP2005031716A (ja) データバックアップの方法及び装置
JP5232406B2 (ja) 情報処理装置及び方法
EP2081127A1 (en) Controller for controlling logical volume-related settings
JP2009064160A (ja) 計算機システム、管理計算機及びデータ管理方法
JP4937863B2 (ja) 計算機システム、管理計算機及びデータ管理方法
JP5159777B2 (ja) 情報及びメタデータを管理し記憶する装置及び方法
JP2005267599A (ja) ストレージエリアネットワークとネットワークアタチドストレージの混在環境でのデータの書き込み保護
US7451279B2 (en) Storage system comprising a shared memory to access exclusively managed data
JP4394467B2 (ja) ストレージシステム、サーバ装置及び先行コピーデータ生成方法
US20100131469A1 (en) Storage management device and file deletion control method
JP5295046B2 (ja) 利用者端末装置及び利用者端末装置の制御方法
US20070174539A1 (en) System and method for restricting the number of object copies in an object based storage system
CN119422144A (zh) 附加数据恢复功能的计算机数据存储装置及其控制方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081003

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081003

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20090206

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090216

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110425

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110620

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110830

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110928

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141007

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees