FR2863073A1 - Dispositif et procede de controle d'acces - Google Patents

Dispositif et procede de controle d'acces Download PDF

Info

Publication number
FR2863073A1
FR2863073A1 FR0404022A FR0404022A FR2863073A1 FR 2863073 A1 FR2863073 A1 FR 2863073A1 FR 0404022 A FR0404022 A FR 0404022A FR 0404022 A FR0404022 A FR 0404022A FR 2863073 A1 FR2863073 A1 FR 2863073A1
Authority
FR
France
Prior art keywords
access
target
network
higher level
level device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0404022A
Other languages
English (en)
Other versions
FR2863073B1 (fr
Inventor
Yoshio Mitsuoka
Hiroshi Kuwabara
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Publication of FR2863073A1 publication Critical patent/FR2863073A1/fr
Application granted granted Critical
Publication of FR2863073B1 publication Critical patent/FR2863073B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0629Configuration or reconfiguration of storage systems
    • G06F3/0637Permissions
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/067Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

Dans le système de contrôle d'accès de l'invention, on contrôle les accès émis non seulement par son propre réseau de communications mais aussi un ou plusieurs autres réseaux de communications. Un processeur de canal (40) d'un système de commande de mémorisation accepte une requête d'ouverture de session contenant une adresse IP cible provenant d'un hôte cible, et compare celle-ci à l'adresse IP particulière mémorisée dans un port iSCSI (38). Sur la base du résultat de la comparaison, le processeur de canal détermine la distance logique relative du réseau cible par rapport au réseau de communications contenant le système de commande de mémorisation en tant que réseau cible contenant un hôte cible. Ensuite, le processeur de canal permet l'accès d'un type de droit d'accès correspondant à la distance logique relative de réseau déterminée concernant un dispositif de niveau supérieur cible.

Description

La présente invention concerne une technique de contrôle d'un accès reçu,
via un réseau de communications, en provenance d'un dispositif extérieur, concrète-ment parlant, par exemple, concerne un dispositif de corn-
mande de mémorisation destiné à contrôler un accès, conformément au protocole iSCSI, reçu via le réseau de communications.
Par exemple, un tel dispositif de commande de mémorisation à connexion de type fibre canal est déjà connu, par exemple, par le document JP-A-10-333 839, et ce dispositif de commande de mémorisation à connexion de type fibre canal contrôle des accès reçus en provenance de plusieurs dispositifs de niveau supérieur via une fibre canal.
D'autre part, dans un Réseau de Mémorisation à Protocole Internet (IP-SAN) , on sait que des opérations de communication sont effectuées sur la base d'un protocole de communications appelé "iSCSI" (l'abréviation "SCSI" est l'abréviation de "Interface Système pour Pe- tits Ordinateurs"). Les techniques de communication agissant sur la base du protocole iSCSI ont un aspect important à savoir comment empêcher des accès illégaux afin d'améliorer la sécurité.
Cependant, la technique de contrôle d'accès ba- sée sur la fibre canal, comme décrit dans le document JP-A-10-333 839 indiqué ci-dessus, ne peut pas être simplement appliquée à la technique utilisée pour contrôler les accès sur la base du protocole iSCSI. La raison en est donnée comme suit. C'est-à-dire qu'un accès qui est reçu via une fibre canal par un dispositif de commande de mémorisation peut être égal à un accès qui est émis par un dispositif de niveau supérieur relié au même réseau de communications. Cependant, le premier accès cité n'est pas un accès qui est émis à partir d'un noeud indéfini connecté à un autre réseau de communications comme expli- qué dans l'accès effectué sur la base du protocole iSCSI. Concrètement parlant, conformément au protocole iSCSI, il existe certains cas où, par exemple, un dispositif de commande de mémorisation connecté à un certain Réseau Lo- cal (LAN) peut accepter un accès émis par un terminal de traitement d'informations non-défini via à la fois un autre réseau local et Internet auquel le dernier réseau local mentionné est connecté.
Comme précédemment expliqué, dans la technique de communications établie sur la base du protocole iSCSI, un aspect important de celle-ci peut être conçu. C'est-à-dire qu'une sécurité élevée peut être assurée en s'arrangeant pour savoir comment l'opération de contrôle d'accès est effectuée. Egalement, ce type d'aspect prin- cipal peut exister dans un système tel que des accès sont acceptés via un réseau de communications ou via une pluralité d'autres réseaux de communications, mais non pas via le même réseau de communications, bien que cet aspect majeur ne soit pas limité uniquement au protocole iSCSI.
En conséquence, un but de la présente invention consiste à contrôler des accès qui sont reçus via non seulement le même réseau de communications, mais aussi via un ou une pluralité d'autres réseaux de communications. Concrètement parlant, le but de la présente inven- tion consiste à contrôler, par exemple, de tels accès qui sont reçus sur la base du protocole iSCSI.
D'autres buts de la présente invention apparaî- tront à la lecture de la description qui va suivre.
Pour une meilleure compréhension de la présente invention, on va maintenant décrire celle-ci, en associa- tion avec les dessins annexés, sur lesquels: - la figure 1 représente schématiquement un agencement complet d'un système de contrôle d'accès selon un mode de réalisation de la présente invention, - la figure 2 est un schéma fonctionnel représentant une structure matérielle d'un système de commande de mémorisation 3 utilisé dans le système de contrôle d'accès de la figure 1, - la figure 3 est une vue représentant une structure d'un groupe de tables de données 51 mémorisées dans une mémoire partagée 47 du système de commande de mémorisation 3, - la figure 4 représente une autre structure du groupe de tables de données 51 mémorisées dans la mémoire partagée 47, - la figure 5 représente une structure de protocole dans une opération de communication rattachée au protocole iSCSI, - la figure 6 représente une structure d'instructions qui sont transmises/reçues dans l'opération de communication rattachée au protocole iSCSI, et - la figure 7 est un ordinogramme destiné à décrire une, opération de traitement exécutée dans le sys- tème de commande de mémorisation 3 en tant qu'opération d'accès provenant d'un ordinateur central source de requête d'ouverture de session.
Un dispositif de commande de mémorisation, selon un premier aspect de la présente invention, corres- pond à un dispositif de commande de mémorisation qui est connecté via un réseau de communications, ou une pluralité de réseaux de communications, à un appareil de niveau supérieur, et est muni d'un élément ou de plusieurs éléments de mémoire, d'un dispositif de mémorisation de don- nées (par exemple soit un dispositif de mémorisation physique soit un dispositif de mémorisation logique) et d'un adaptateur de canal.
Un élément ou plusieurs éléments des mémoires décrites ci- dessus (par exemple, des mémoires non-volatiles) mémorisent plusieurs sortes de types de droit d'accès. Les types de droit d'accès correspondent à plusieurs sortes d'attributs de réseau cible (par exemple une position logique, des types de réseaux et analogue) qui représentent des attributs de réseaux de communica- tions cible auxquels l'appareil de niveau supérieur est connecté.
Le dispositif de mémorisation de données mémorise dans celui-ci des données d'écriture reçues en provenance de l'appareil de niveau supérieur et/ou des don- nées de lecture transmises à l'appareil de niveau supérieur.
L'adaptateur de canal est muni d'un port iSCSI et d'un ensemble de processeurs ou de plusieurs ensembles de processeurs. Le port iSCSI accepte un accès émis par l'appareil de niveau supérieur via un réseau ou plusieurs réseaux de communications. Le processeur effectue une opération de traitement en ce qui concerne les informations émises en provenance du port iSCSI. L'adaptateur de canal accepte un accès contenant une adresse IP provenant de l'appareil de niveau supérieur cible décrit ci-dessus par l'intermédiaire du port iSCSI, détermine la sorte de réseau de communications cible indiquée ci-dessus sur la base de l'adresse IP, identifie un type de droit d'accès correspondant au réseau de communications cible déterminé en référence à des informations mémorisées dans une ou plusieurs mémoires, et ensuite permet un accès, du type de droit d'accès identifié, au dispositif de mémorisation de données en ce qui concerne l'appareil de niveau supérieur cible. En variante, une série constituée des opéra- tions de traitement expliquées ci-dessus peut être effectuée, par exemple, par une unité de traitement de protocole utilisée dans le port iSCSI et/ou par le processeur de canal uniquement, ou en coopération avec l'unité de traitement de protocole.
Dans ce cas, une expression "réseau de communications" implique un seul réseau de communications (par exemple un réseau local ou Internet) gui est segmenté d'une manière physique ou d'une manière logique. Puisque plusieurs réseaux de communications sont connectés les uns aux autres via un type ou plusieurs types de dispositifs de commutation présélectionnés, un seul groupe de réseaux de communications peut être construit. Concrètement parlant, par exemple, un ou plusieurs appareils gui contiennent un dispositif de commande de mémorisation sont connectés à une première unité de commutation (par exemple un commutateur), de sorte qu'un premier réseau de communications (par exemple un réseau local) est constitué, auquel un ou plusieurs appareils ont été reliés. De manière similaire, un ou une pluralité de premiers appareils de niveau supérieur sont reliés à une seconde unité de commutation (par exemple un commutateur), de sorte qu'un second réseau de communications (par exemple un ré-seau local) est constitué, auquel un ou une pluralité de premiers appareils de niveau supérieur ont été connectés. Alors, la première unité de commutation est connectée via un dispositif de commutation prédéterminé (par exemple une passerelle) à la seconde unité de commutation, de sorte qu'un groupe de réseaux de communications qui con- tient à la fois le premier réseau de communications, et le second réseau de communications, est agencé.
Egalement, une "adresse IP" contenue dans un accès délivré par un appareil de niveau supérieur peut être égale à une telle adresse IP possédée par un appa- reil de niveau supérieur formant source d'accès, qui a été allouée dans un réseau de communications cible auquel l'appareil de niveau supérieur formant source d'accès est relié. En variante, cette "adresse IP" peut être égale à une adresse IP globale qui a été allouée à une unité de commutation prédéterminée utilisée pour constituer un ré-seau de communications cible.
Aussi, le dispositif de mémorisation de données peut en variante correspondre à un dispositif ou à plu- sieurs dispositifs logiques auxquels, par exemple, un code ou plusieurs codes d'identification de dispositif (par exemple, les numéros d'unité logique mentionnés ci-dessous) ont été alloués respectivement. En variante, le dispositif de commande de mémorisation peut être agen- cé par le fait qu'un élément, ou plusieurs éléments de ports iSCSI sont munis d'un ou de plusieurs adaptateurs de canaux, et en ce qui concerne ceux-ci ou les plusieurs éléments de ports iSCSI, soit un soit plus de deux dispositifs logiques sont alloués auxquels un appareil de ni- veau supérieur qui a eu accès à chacun des ports iSCSI peut avoir accès. Ensuite, des codes d'identification de dispositif d'un ou de plus de deux dispositifs logiques qui ont été alloués aux ports iSCSI respectifs peuvent être mémorisés en variante dans une mémoire locale de chacun des ports iSCSI, ou dans une autre mémoire. En résultat, par exemple, dans un cas où un accès contenant un code d'identification de dispositif est reçu par un certain port iSCSI de l'adaptateur de canal, cet adaptateur de canal détermine si oui ou non un code d'identification de dispositif alloué à ce port iSCSI coïncide avec le code d'identification de dispositif contenu dans l'accès. Lorsque ces codes d'identification de dispositif ne coïncident pas l'un avec l'autre, l'adaptateur de canal peut en variante ne pas permettre l'accès, alors que lorsque ces codes d'identification de dispositif coïncident l'un avec l'autre, l'adaptateur de canal peut en variante per-mettre cet accès.
Conformément à un premier mode préféré de réalisation de ce dispositif de commande de mémorisation, un élément ou plusieurs éléments des mémoires décrites ci-dessus mémorisent une pluralité d'informations d'identification de dispositif de niveau supérieur correspondant aux plusieurs dispositifs de niveau supérieur respectivement. Dans le cas où l'adaptateur de canal reçoit, en provenance du dispositif de niveau supérieur cible, un accès contenant l'adresse IP et les informations d'identification de dispositif de niveau supérieur cible, si ces informations d'identification de dispositif de niveau supérieur cible n'ont pas été mémorisées dans un élément ou dans plusieurs éléments de mémoires, alors l'adaptateur de canal ne permet pas l'accès en ce qui concerne le dispositif de niveau supérieur décrit ci-dessus.
Il doit être noté que les informations d'identification de dispositif de niveau supérieur expliquées ci-dessus correspondent, par exemple, à un nom iSCSI, une adresse MAC, ou un numéro de série de fabrication d'un dispositif de niveau supérieur, etc. Conformément à un deuxième mode préféré de réalisation de ce dispositif de commande de mémorisation, un élément ou plusieurs éléments des mémoires mémorisent une adresse IP du dispositif particulier qui a été al-louée soit au port iSCSI décrit cidessus soit au dispositif de commande de mémorisation expliqué ci-dessus. L'attribut de réseau cible décrit ci-dessus correspond à une distance logique de réseau qui indique une distance logique entre le réseau de communications du dispositif particulier auquel le dispositif de commande de mémorisation est connecté, et le réseau de communications cible expliqué ci-dessus. Les plusieurs sortes de types de droit d'accès correspondent aux plusieurs sortes de dis-tances logiques: de réseau, respectivement. De plus, chacune des plusieurs sortes de types de droit d'accès implique un type de droit d'accès tel que plus la distance logique de réseau correspondant à celle-ci est longue, plus le nombre d'actions d'accès du dispositif de niveau supérieur cible en ce qui concerne le dispositif de mémorisation de données devient petit. L'adaptateur de canal détermine la distance logique de réseau décrite ci- dessus sur la base de l'adresse IP du dispositif particulier et de l'adresse IP.
Conformément à un troisième mode de réalisation de ce dispositif de commande de mémorisation, dans le deuxième mode de réalisation expliqué ci-dessus, un type de droit d'accès correspondant à un cas où la distance logique décrite ci-dessus est petite (par exemple incluant le cas de la distance entre la distance logique de réseau et le réseau de communications du dispositif particulier) est un type impliquant qu'à la fois une opération de lecture et une opération d'écriture dans le dispositif de mémorisation de données sont permises en ce qui concerne le dispositif de niveau supérieur. Egalement, un type de droit d'accès correspondant à un cas où la distance logique de réseau est moyenne est un type impliquant que seule une opération de lecture parmi l'opé- ration de lecture et l'opération d'écriture dans le dis-positif de mémorisation de données est permise en ce qui concerne le dispositif de niveau supérieur. Un type de droit d'accès correspondant à un cas où la distance logique de réseau est grande est égal à un type impliquant qu'aucune des opérations de lecture et d'écriture dans le dispositif de mémorisation de données n'est permise en ce qui concerne le dispositif de niveau supérieur.
Dans ce cas, par exemple, plus le nombre total de dispositifs de commutation destinés à connecter le ré- seau de communications du dispositif particulier au ré-seau de communications cible devient grand, plus la dis-tance logique de réseau peut en variante devenir plus longue. Sinon, par exemple, la distance logique de réseau peut être augmentée en variante à chaque fois qu'une sorte prédéterminée de dispositifs de commutation logique ou de dispositifs de commutation physique sont interposés indépendamment d'un état tel que le nombre total de dis-positifs de commutation devient grand, ou petit. En d'autres termes, par exemple, les distances logiques de ré- seau d'un premier réseau de communications et d'un second réseau de communications peuvent en variante devenir différentes l'une de l'autre, en fonction du nombre et des sortes de dispositifs de commutation logiques, ou physiques qui sont interposés entre le premier réseau de com- munications et le second réseau de communications. Egalement, par exemple, les distances logiques de réseau d'un premier réseau de communications et d'un second réseau de communications peuvent en variante devenir différentes l'une de l'autre, en fonction de la sorte de protocole de communications qui. intervient entre le premier réseau de communications et le second réseau de communications. Concrètement parlant, par exemple, lorsqu'une seule sorte de protocole de communications (en tant qu'exemple, le seul protocole iSCSI) est essentiellement interposée, la distance logique de réseau peut être petite. Lorsque plu-sieurs sortes de protocoles de communications (tels que par exemple à la fois un protocole iSCSI et un protocole FC (Fibre-Canal)) sont essentiellement présentes, la dis-tance logique de réseau peut être en variante importante.
Un dispositif de contrôle d'accès selon un deuxième aspect de la présente invention correspond à un dispositif de contrôle d'accès qui est relié à un dispositif de niveau supérieur via un réseau ou une pluralité de réseaux de communications. Ce dispositif de contrôle d'accès est équipé de moyens de réception d'accès et de moyens de contrôle d'accès. Les moyens de réception d'accès reçoivent une demande d'accès émise par un dispositif de niveau supérieur cible (par exemple un dispositif de niveau supérieur source d'accès) via un réseau ou plu- sieurs réseaux de communications. Les moyens de contrôle d'accès identifient un attribut de réseau cible relatif à un réseau de communications cible auquel le dispositif de niveau supérieur cible est connecté sur la base d'informations (par exemple l'adresse IP) contenues dans l'accès émis par le dispositif de niveau supérieur cible, puis contrôlent le type d'accès gui est permis en ce qui con-cerne le dispositif de niveau supérieur cible sur la base de l'attribut de réseau cible identifié.
Conformément à un premier mode de réalisation préféré de ce dispositif de contrôle d'accès, le dispositif de contrôle d'accès est en outre muni de moyens de mémorisation d'informations de contrôle d'accès (par exemple une mémoire ou un disque dur) pour mémoriser plu-sieurs sortes de types de droit d'accès qui correspondent à plusieurs sortes de positions/types de réseau cible respectivement, représentatives des positions logiques et/ou des types. des réseaux de communications cibles décrits ci-dessus. Les moyens de contrôle d'accès décrits ci-dessus identifient les positions/types de réseau cible sur la base des informations (par exemple l'adresse IP) contenues dans l'accès émis par le dispositif de niveau supérieur cible, et identifient des types de droit d'accès correspondant aux positions/types de réseau cible identifié en référence aux informations mémorisées dans les moyens de mémorisation d'informations de contrôle d'accès, et permettent ensuite l'accès correspondant au type de droit d'accès identifié en ce qui concerne le dispositif de niveau supérieur cible.
En tant que position/type de réseau cible, par exemple, on peut utiliser un niveau de distance d'éloignement, ou un article pour indiquer un type lui-même tel qu'un LAN et un SAN. Le niveau de distance d'éloignement indique la longueur dont le réseau cible est séparé logiquement d'un réseau de communications du dispositif par- ticulier de manière pas à pas ou de manière continue.
Dans un deuxième mode préféré de réalisation de ce dispositif de contrôle d'accès, dans le premier mode préféré de réalisation décrit ci-dessus, les moyens de contrôle d'accès décrits ci-dessus reçoivent l'accès contenant l'adresse IP cible du dispositif de niveau supérieur cible provenant du dispositif de niveau supérieur cible, et déterminent la position de réseau cible sur la base de l'adresse IP cible.
Dans ce cas, par exemple, une "adresse IP ci- bleu peut être égale à l'adresse IP possédée par un dis-positif de niveau supérieur de type source d'accès, qui a été allouée à un réseau de communications cible auquel le dispositif de niveau supérieur source d'accès est connecté. En variante, cette "adresse IP cible" peut être égale à une adresse IP globale qui a été allouée à une unité de commutation prédéterminée utilisée pour constituer un ré-seau de communications cible.
Dans un troisième mode préféré de réalisation de ce dispositif de contrôle d'accès, dans le premier mode préféré de réalisation décrit ci- dessus, le dispositif de mémorisation d'informations à des fins de contrôle d'accès décrit ci-dessus mémorise en outre une adresse IP du dispositif particulier qui a été allouée au dispositif de contrôle d'accès expliqué ci-dessus. La position de réseau cible expliquée ci- dessus est égale à la distance logique de réseau qui indique la distance logique entre le réseau de communications cible et le réseau de communications du dispositif particulier auquel le dispositif de contrôle d'accès est connecté. Bien que les plusieurs sortes de types d'accès correspondent aux plusieurs sortes de distances logiques de réseau respectivement, chacune des plusieurs sortes de types d'accès correspond à un type qui implique que plus la distance logique de ré-seau correspondante devient grande, plus le nombre d'ac- tions accessibles du dispositif de niveau supérieur cible est petit. Les moyens de contrôle d'accès reçoivent l'accès contenant l'adresse IP cible du dispositif de niveau supérieur cible provenant du dispositif de niveau supérieur cible, et déterminent la distance logique de réseau décrite ci- dessus sur la base à la fois de l'adresse IP du dispositif particulier et de l'adresse IP cible.
Dans un quatrième mode préféré de réalisation de ce dispositif de contrôle d'accès, le dispositif de contrôle d'accès est entre outre muni d'un dispositif de mémorisation d'informations de contrôle d'accès qui mémorise dans celui-ci plusieurs informations d'identification de dispositif de niveau supérieur correspondant à une pluralité de dispositifs de niveau supérieur, respectivement. Dans le cas où les moyens de contrôle d'accès reçoivent une demande d'accès émise par le dispositif de niveau supérieur cible, qui contient les informations d'identification de dispositif de niveau supérieur cible du dispositif de niveau supérieur cible décrit cidessus, si ces informations d'identification de dispositif de ni- veau supérieur cible ne sont pas mémorisées dans le dis-positif de mémorisation de contrôle d'accès, alors les moyens de contrôle d'accès ne permettent pas l'accès en ce qui concerne le dispositif de niveau supérieur cible.
Conformément au dispositif de commande de mémo- risation de la présente invention, une demande d'accès émise par un dispositif de niveau supérieur cible est contrôlée sur la base de la position du réseau de communications cible auquel le dispositif de niveau supérieur cible correspondant à une source d'accès est connecté. En résultat, dans le cas où les accès sont reçus via un ré-seau ou plusieurs réseaux de communications, une telle opération de contrôle d'accès peut être effectuée sur la base du réseau de communications auquel est connecté le dispositif de niveau supérieur constituant la source d'accès.
Conformément au dispositif de contrôle d'accès de la présente invention, ce dispositif de contrôle d'accès identifie de telles informations de réseau cible égales aux informations concernant un réseau de communications cible auquel un dispositif de niveau supérieur cible est connecté, sur la base des informations contenues dans l'accès émis par le dispositif de niveau supérieur cible. Ensuite, le dispositif de contrôle d'accès contrôle le type de droit d'accès en ce qui concerne le dispositif de niveau supérieur cible sur la base des informations de réseau cible identifiées. En résultat, dans le cas où les accès sont reçus via un réseau ou plusieurs réseaux de communications, une telle opération de contrôle d'accès peut être effectuée sur la base du réseau de communications auquel est connecté le dispositif de niveau supérieur constituant la source d'accès. Par la suite, en ce qui concerne le cas où les accès sont reçus via un réseau ou plusieurs réseaux de communications, on va expliquer un cas où des accès émis sur la base du protocole iSCSI sont reçus, et un mode de réalisation de la présente invention va être expliqué en référence aux dessins.
La figure 1 représente schématiquement l'agencement complet d'un système de contrôle d'accès selon un mode de réalisation de la présente invention.
Dans ce système de contrôle d'accès, plusieurs réseaux de communications sont mutuellement connectés les uns aux autres de manière à constituer un groupe de ré-seaux unique. La pluralité de réseaux de communications contient un réseau de communications 2, et un réseau de communications 4 ou un réseau de communications 6, qui sont séparés de manière relative de ce réseau de communications 2 par une distance logique prédéterminée (qui va être appelée ci-après "distance logique relative de ré- seau"). Dans le réseau de communications 2, un système de contrôle de mémorisation 3 est contenu. Concrètement parlant, par exemple, les plusieurs réseaux de communications contiennent un "réseau peu éloigné" 2, un "réseau moyennement éloigné" 4, et un "réseau fortement éloigné" 6. Dans le réseau peu éloigné 2, la distance logique relative de réseau est zéro, ou faible. Dans le réseau moyennement éloigné 4, la distance logique relative de réseau est moyenne. Dans le réseau fortement éloigné 6, la distance logique relative de réseau est grande.
Dans ce contexte, l'expression "distance logique relative de réseau est zéro, ou petite" implique le réseau peu éloigné 2 lui-même où le système de commande de mémorisation 3 est présent, ou implique qu'un dispositif de commutation tel qu'une sorte de dispositif d'in- terposition physique ou logique interposé entre ce réseau de communications 2 et un réseau de destination de connexion de celui-ci soit le même qu'un commutateur côté réseau peu éloigné 7 (qui va être décrit ultérieurement). En variante, cette expression implique que le nombre to- tal de dispositifs de commutation interposés soit petit (par exemple un dispositif de commutation interposé).
Egalement, une autre expression "la distance logique relative de réseau est moyenne" implique que, par exemple, une sorte prédéterminée des dispositifs interpo- sés expliqués ci-dessus (par exemple des passerelles) existe entre le réseau peu éloigné 2 et le réseau de destination de connexion de celui-ci (par ailleurs, le nombre total de dispositifs de commutation interposés est moyen).
Egalement, une autre expression "la distance logique relative de réseau est grande" implique que, par exemple, au lieu, ou en plus de la sorte de dispositif d'interposition prédéterminée décrite ci-dessus (par exemple des passerelles), une autre sorte de dispositif d'interposition décrite ci-dessus (par exemple des parois pare-feu) sont situés entre le réseau peu éloigné 2 et le réseau de destination de connexion de celui-ci (en variante, le nombre total de dispositifs de commutation interposés est grand).
Le réseau peu éloigné 2 est constitué par le fait qu'un ou plusieurs serveurs nodaux sont connectés à un serveur de construction de réseau (par exemple un concentrateur) tel que le commutateur côté réseau peu éloigné 7. A ce commutateur côté réseau peu éloigné 7 sont connectés un ou plusieurs dispositifs hôte 5 (vont être appelés ci-après "hôtes de connexion de réseau peu éloigné"), et un système de commande de mémorisation 3. Ce système de commande de mémorisation 3 reçoit un accès émis par le dispositif hôte 5, un autre dispositif hôte 15, ou un dispositif hôte 31.
L'hôte de connexion de réseau peu éloigné 5 correspond à un ordinateur tel qu'un ordinateur personnel et un Assistant Personnel Numérique (PDA). L'hôte de connexion de réseau peu éloigné 5 est muni d'un port iSC- SI 21 qui est utilisé pour effectuer une opération de commutation sur la base du protocole iSCSI. Puisque ce port iSCSI 21 est connecté au commutateur côté réseau peu éloigné 7, l'hôte de connexion de réseau peu éloigné 5 peut effectuer l'opération de communication sur la base du protocole iSCSI. Un support de mémorisation (qui va être appelé ci-après "mémoire de port")tel qu'une mémoire est munie du port iSCSI 21. A la fois une adresse IP allouée à l'hôte de connexion de réseau peu éloigné 5 et un nom iSCSI spécifique ont été mémorisés dans cette mémoire de port.
Le système de commande de mémorisation 3 est muni d'un dispositif de mémorisation 23 et d'une unité de commande de mémorisation 25. Le dispositif de mémorisation 23 comporte plusieurs groupes de disques physiques (par exemple un groupe de disques durs). L'unité de com- mande de mémorisation 25 commande un accès vers le dispositif de mémorisation 23 émis par le dispositif hôte 5, 15 ou 31. Cette unité de commande de mémorisation 25 est équipée de plusieurs ensembles d'adaptateurs de canal 37 qui commandent les opérations de communication entre les ensembles d'adaptateurs de canal particuliers 37 et le dispositif hôte 5, 15 ou 31. Un port iSCSI 38 est monté sur chaque adaptateur de canal contenu dans les ensembles d'adaptateurs de canal 37. Puisque ce port iSCSI 38 est connecté au commutateur côté réseau peu éloigné 7, le système de commande de mémorisation 3 peut effectuer une opération de communication sur la base du protocole iSCSI.
Le réseau moyennement éloigné 4 est constitué par le fait qu'un serveur ou plusieurs serveurs nodaux sont connectés à un serveur à but de construction de ré-seau (par exemple un concentrateur), tel qu'un commutateur côté réseau moyennement éloigné 9. Un ou plusieurs dispositifs hôte 15 (gui vont être appelés par la suite "hôtes de connexion de réseau moyennement éloigné") sont reliés au commutateur côté réseau moyennement éloigné 9.
De manière similaire à l'hôte de connexion de réseau peu éloigné 5, l'hôte de connexion de réseau moyennement éloigné 15 correspond à un ordinateur tel qu'un ordinateur personnel et un Assistant Personnel Numérique (PDA). L'hôte de connexion de réseau moyennement éloigné 15 est aussi muni d'un port iSCSI 13. Puisque ce port iSCSI 13 est connecté au commutateur côté réseau moyennement éloigné 9, cet hôte de connexion de réseau moyennement éloigné 15 peut effectuer l'opération de communication sur la base du protocole iSCSI. Une mémoire de port est munie du port iSCSI 13. A la fois une adresse IP allouée à l'hôte de connexion de réseau moyennement éloigné 15 et un nom iSCSI spécifique ont été mémorisés dans cette mémoire de port.
Le réseau fortement éloigné 6 est construit par le fait qu'un serveur ou plusieurs serveurs nodaux sont connectés à Internet 1 d'une manière pouvant être mis en communication. Un serveur ou plusieurs serveurs nodaux correspondent, par exemple, à un dispositif hôte 31 (qui va être appelé ci-après "hôte de connexion de réseau fortement éloigné").
De manière similaire à l'hôte de connexion de réseau peu éloigné 5, l'hôte de connexion de réseau for- terrent éloigné 31 correspond à un ordinateur tel qu'un ordinateur personnel et un Assistant Personnel Numérique (PDA). L'hôte de connexion de réseau fortement éloigné 31 est aussi muni d'un port iSCSI 33. Puisque ce port iSCSI 33 est connecté au commutateur côté réseau fortement éloigné 31, cet hôte de connexion de réseau fortement éloigné 31 peut effectuer l'opération de communication sur la base du protocole iSCSI. Une mémoire de port est munie du port iSCSI 33. A la fois une adresse IP allouée à l'hôte de connexion de réseau fortement éloigné 33 et un nom iSCSI spécifique ont été mémorisés dans cette mémoire de port.
Le commutateur côté réseau peu éloigné 7 du ré-seau peu éloigné 2 décrit ci-dessus est connecté au commutateur côté réseau moyennement éloigné 9 du réseau moyennement éloigné 4 via une passerelle 30 (par exemple une machine de conversion de protocole prédéterminée pour convertir l'une vers l'autre une instruction basée sur un protocole iSCSI et une instruction basée sur un protocole FC). Egalement, la passerelle 30 est connectée via une paroi pare-feu 29 au réseau Internet 1. En résultat, le réseau peu éloigné 2 est connecté à la fois au réseau moyennement éloigné 4 et au réseau fortement éloigné 6. Dans cet environnement, le système de commande de mémorisation 3 peut communiquer avec l'un quelconque des hôtes de connexion de réseau 5, 15 et 31.
La figure 2 est un schéma fonctionnel représentant une structure matérielle du système de commande de mémorisation 3.
Le système de commande de mémorisation 3 cor- respond, par exemple, à un système du type Réseau Redondant de Disques Indépendants Peu Coûteux (RAID). En tant que dispositif de mémorisation 23, un ensemble ou plu-sieurs ensembles de groupe de disques physiques 39 sont fournis qui ont plusieurs dispositifs de mémorisation du type disque agencés selon une forme de réseau. Soit l'un soit plusieurs dispositifs logiques 35 (qui vont être abrégés par la suite sous la forme "LDEV") correspondant à des zones de mémorisation logique ont été fixés pour des zones de mémorisation physique fournies par ces grou- pes de disques physiques 39. Des informations d'identification de ces LDEV (qui vont être appelés ci-après "LDEV #") ont été allouées aux LDEV respectifs 35, et de plus, un numéro d'unité logique (qui va être abrévié ci-après en "LUN") a été appliqué à chacun de ces LDEV #, alors que ce LUN peut désigner le dispositif hôte 5, 15 ou 31.
Egalement, le système de commande de mémorisation 3 est équipé d'un ou de plusieurs ensembles d'adaptateurs de canal 37, d'une mémoire cache 43, d'une mé- moire partagée 47, d'un ou de plusieurs ensembles d'adaptateurs de disque 41, et d'une unité de commande de commutation 45.
Chacun des ensembles d'adaptateurs de canal 37 comporte plusieurs adaptateurs de canal 37A et 37B (de manière typique deux). Ces adaptateurs de canal 37A et 37B ont essentiellement la même construction. En résultat, par exemple, dans un cas où le dispositif hôte 5, 15 ou 31 ne peut pas avoir accès via un adaptateur de canal 37A vers un LDEV prédéterminé, ce dispositif hôte 5, 15 ou 31 a accès via l'autre adaptateur de canal 37B au même LDEV prédéterminé (cette idée technique est essentielle-ment similaire pour les ensembles d'adaptateurs de disque 41). Puisque les adaptateurs de canal 37A et 37B ont essentiellement la même construction, la construction de l'adaptateur de canal 37A va maintenant être expliquée en tant qu'adaptateur de canal typique.
L'adaptateur de canal 37A est muni d'un ou de plusieurs ports iSCSI 38 (par exemple deux) et est connecté via ce port iSCSI 38 à un dispositif ou à plu- sieurs dispositifs hôte 5, 15 et 31 dans des conditions pouvant communiquer. L'adaptateur de canal 37A peut être constitué par un circuit matériel, un logiciel, une combinaison de circuit matériel et de logiciel. L'adaptateur de canal 37A effectue une opération de communication de données entre ce système de commande de mémorisation 3 et le dispositif hôte 5, 15 ou 31. Le port iSCSI 38 est muni d'une interface 120, d'un tampon 121, d'une mémoire locale 123 et d'une unité de traitement de protocole 122. L'interface 120 comporte un port pour câble qui est connecté physiquement au commutateur côté réseau peu éloigné 7. Le tampon 121 correspond à une mémoire qui mémorise temporairement des données échangées (transmises/reçues) entre le système de commande de mémorisation 3 et le dispositif hôte 5, 15 ou 31. La mémoire locale 123, par exemple, est une mémoire non-volatile, et mémorise une adresse IP, un nom iSCSI, et un LUN auquel ce port iSCSI 38 peut avoir accès. L'unité de traitement de protocole 122 est connectée via un bus interne prédéterminé (par exemple un bus PCI) aux processeurs de canal 40 et 40 dans des conditions pouvant communiquer. Cette uni-té de traitement de protocole 122 exécute une opération de traitement de protocole conformément aux protocoles TCP/IP, iSCSI, et SCSI (ceci va être expliqué ultérieure-ment) sur la base d'informations mémorisées à la fois dans le tampon 121 et la mémoire locale 123. Il doit être compris que la fonction capable d'exécuter l'opération de traitement de protocole conformément aux protocoles TCP/IP, iSCSI, et SCSI décrits ci-dessus peut être four- nie à l'aide du processeur de canal 40 au lieu de l'unité de traitement de protocole 122.
Egalement, un ou plusieurs microprocesseurs 40 (qui vont être appelés par la suite "processeurs de canal") sont également montés sur cet adaptateur de canal 37A, et ces microprocesseurs 40 sont connectés aux ports iSCSI respectifs 38 dans un état pouvant communiquer. De plus, un adaptateur de microprocesseur 42 (qui va être appelé en abrégé par la suite "MPA") et un adaptateur de transfert de données 44 (qui va être abrégé sous la forme "DTA") sont montés sur l'adaptateur de canal 37A. L'adap- tateur de microprocesseur 42 est connecté à la mémoire partagée 47 dans un état pouvant communiquer, alors que l'adaptateur de transfert de données 44 est connecté à la mémoire cache 43 dans un état pouvant communiquer. Dans un cas où le processeur de canal 40 transmet/reçoit des informations de commande (par exemple un message transmis/reçu entre des processeurs) concernant un processeur extérieur (concrètement parlant des microprocesseurs agencés dans des adaptateurs de disque 41A et 41B, et qui ne sont pas représentés sur les dessins), les informa- tions de commande sont transmises/reçues via le MPA 42. Que ce soit dans le cas où des données d'écriture sont écrites en provenance du dispositif hôte 5, 15 ou 31 dans le LDEV 35, et dans le cas où des données de lecture qui ont été lues dans le LDEV 35 sont envoyées en sortie à partir du système de commande de mémorisation 3 vers le dispositif hôte 5,. 15 ou 31, les données d'écriture et les données de lecture passent à travers le DTA 44.
Par exemple, chacun des processeurs de canal 40 peut exécuter une opération d'interrogation concernant la zone de stockage d'informations de commande 50 de la mé- moire partagée 47 de manière à acquérir l'information de commande via le MPA 42, peut lire les données lues qui ont été mémorisées dans la mémoire cache 43 de manière à transmettre ces données lues au dispositif hôte 5, 15 ou 31, et peut mémoriser des données à écrire (à savoir, des données d'écriture) qui ont été reçues en provenance du dispositif hôte 5, 15 ou 31 dans la mémoire cache 43.
La mémoire cache 43 correspond à une mémoire volatile ou à une mémoire non-volatile. Dans la mémoire cache 43, à la fois des données de lecture et des données d'écriture sont mémorisées temporairement. Les données d'écriture sont transférées depuis les adaptateurs de canal 37A et 37B vers les adaptateurs de disque 41A et 41B de l'ensemble d'adaptateurs de disque 41. Les données lues sont transférées depuis les adaptateurs de disque 41A et 41B vers les adaptateurs de canal 37A et 37B.
La mémoire partagée 47 correspond à une mémoire non-volatile. La mémoire partagée 47 est munie, par exemple, de la zone de mémorisation d'informations de corn- mande 50 et du groupe de tables de données 51. Les informations de commande décrites ci-dessus sont mémorisées dans la zone de mémorisation d'informations de commande 50.
Chaque ensemble d'adaptateurs de disque 41 est fourni par rapport à chacun des groupes de disques physiques 39. Chacun des adaptateurs de disque 41A et 41B est muni d'un ou de plusieurs microprocesseurs (non- représentés). Puisque l'opération de traitement par ce microprocesseur est effectuée, les données sont lues ou écrites dans le LDEV 35 ayant le LDEV * correspondant au LUN qui est désigné par le dispositif hôte 5, 15 ou 31.
L'unité de commande de commutation 45 peut être agencée, par exemple, sous la forme d'un bus haute vi- tesse tel qu'un commutateur crossbar à vitesse ultra haute qui exécute une opération de transfert de données par l'intermédiaire d'une opération de commutation à vitesse élevée. L'unité de commande de commutation 45 est connectée aux adaptateurs de canal respectifs 37A et 37B, aux adaptateurs de disque respectifs 41A et 41B, à la mémoire partagée 47, et à la mémoire cache 43 d'une manière pouvant communiquer. Des données ou des instructions sont transmises/reçues via cette unité de commande de commutation 45 parmi les adaptateurs de canal respectifs 37A et 37B, les adaptateurs de disque respectifs 41A et 41B, la mémoire partagée 47, et la mémoire cache 43.
Les opérations de traitement décrites ci-dessus décrivent une esquisse du système de commande de mémorisation 3 selon ce mode de réalisation. En réponse à une requête d'entrée/sortie (E/S) émise par le dispositif 5, 15 ou 31, ce système de commande de mémorisation 3 exécute un traitement basé sur le contenu de cette requête E/S.
Par la suite, une esquisse concernant des opé- rations de déroulement de traitement d'une requête E/S exécutées dans le système de commande de mémorisation 3 va être expliquée en donnant pour exemple un cas où le dispositif hôte 5 émet cette requête E/S. Dans cette explication donnée en esquisse, les opérations de déroule- ment de traitement sont subdivisées en un cas où la requête E/S émise indique une requête de lecture, et un cas où la requête E/S émise représente une requête d'écriture.
On va tout d'abord décrire le cas où la requête E/S indique la requête de lecture.
La requête E/S émise par le dispositif hôte 5 est mémorisée dans le tampon 121 du port iSCSI 38. Le processeur de canal 40 lit cette requête E/S mémorisée, et détermine si oui ou non des données requises à la lec- ture (à savoir, des données de lecture) dans cette requête E/S existent dans la mémoire cache 43.
Dans le cas où la détermination a pour résultat "OUI", à savoir que les données de lecture sont présentes dans la mémoire cache 43 (c'est-à-dire dans le cas d'un "accès réussi au cache"), le processeur de canal 40 acquiert les données de lecture dans la mémoire cache 43 via le DTA 44, et ensuite transmet ces données de lecture acquises au dispositif hôte 5 via le port iSCSI 38.
D'autre part, dans un cas où la détermination décrite ci-dessus a pour résultat "NON", c'est-à-dire que les données de lecture ne sont pas présentes dans la mémoire cache 43 (c'est-à-dire dans le cas d'un "défaut d'accès au cache"), le processeur de canal 40 mémorise une telle information de commande dans la mémoire partagée 47 via le MPA 42. Cette information de commande est utilisée pour donner une instruction à un microprocesseur (qui va être appelé ci-après "processeur de disque") de l'adaptateur de disque 43A telle que ce processeur de disque lit une fois de telles données de lecture dans le LDEV 35 prédéterminé de la mémoire cache 43. Puisque le processeur de disque lit cette information de commande, les données de lecture sont lues dans le LDEV prédéterminé 35 et sont mémorisées dans la mémoire cache 43 par ce processeur de disque. Après ceci, le processeur de canal 40 acquiert ces données de lecture dans la mémoire cache 43, et ensuite transmet les données de lecture acquises au dispositif hôte 5.
On va maintenant décrire le cas où la requête E/S indique une requête d'écriture.
La requête E/S contenant des données d'écriture, qui est émise par le dispositif hôte 5 est mémorisée dans le tampon 121 du port iSCSI 38. Le processeur de canal 40 lit cette requête E/S mémorisée, et détermine si oui ou non les données sont positionnées dans une zone prédéterminée (qui va être appelée par la suite "espace de cache prédéterminé") de la mémoire cache 43.
Dans le cas où la détermination a pour résultat "OUI", c'est-à-dire que les données sont situées dans l'espace de cache prédéterminé de la mémoire cache 43 (c'est-à-dire dans le cas d'un "accès réussi au cache"), le processeur de canal 40 écrase les données d'écriture contenues dans la requête E/S de lecture concernant les données mémorisées dans l'espace de cache prédéterminé.
D'autre part, dans un cas où la détermination décrite ci-dessus a pour résultat "NON", c'est-à-dire que les données ne sont pas situées dans l'espace de cache prédéterminé (c'est-à-dire dans le cas d'un "défaut d'accès au cache")., le processeur de canal 40 ordonne à l'unité de commande de pilote 107 de lire une fois dans la mémoire cache 43, des données en provenance du LDEV qui est spécifié par la requête E/S de lecture. En résultat, si des données sont lues dans cette zone de mémorisation de données pour être mémorisées dans l'espace de cache prédéterminé par l'adaptateur de disque 107, alors le processeur de canal 40 écrase les données d'écriture contenues dans la requête E/S concernant les données mémorisées dans l'espace de cache prédéterminé.
Comme expliqué ci-dessus, lorsque les données d'écriture ont été écrites dans la mémoire cache 43, une notification de fin est renvoyée depuis le système de commande de mémorisation 3 vers le dispositif hôte 5 lorsqu'il est considéré gue cette requête d'écriture est terminée. Généralement parlant, au moment où les données d'écriture sont écrites dans la mémoire cache 43, ces données ne reflètent pas encore le LDEV 35 prédéterminé. Après ceci, les données d'écriture sont lues dans la mémoire cache 43 de manière à être écrites dans le LDEV prédéterminé par le processeur de disque.
Le traitement décrit ci-dessus implique l'es-quisse des traitements de lecture/écriture de données exécutés dans le système de commande de mémorisation 3.
Une unité principale en tant que système de contrôle d'accès selon ce présent mode de réalisation va maintenant être décrite en détail.
Les figures 3 et 4 représentent schématiquement une construction du groupe de tables de données 51 qui est mémorisé dans la mémoire partagée 47.
Comme indiqué sur la figure 3, le groupe de tables de données 51 contient une table d'entrée de paramètres de connexion d'hôte 53 (qui va être appelée ci-après "table HP"), une table de gestion d'hôte 57, une première table de gestion de LUN 59, une seconde table de gestion de LUN 60. Comme représenté sur la figure 4, ce groupe de tables de données 51 comporte aussi une table de gestion de LDEV 61 et une table de règles de fixation de type de droit d'accès 63.
Comme indiqué sur la figure 3, la table HP 53 correspond à une table qui est préparée pour chacun des dispositifs hôte 5, 15 et 31. Une information d'identification de table HP (ID) et divers types d'informations de communication qui sont nécessaires pour une opération de communication sur la base du protocole iSCSI sont enre- gistrés dans cette table HP 53. Dans ces divers types d'informations de communication, par exemple, un nom iSCSI d'hôte, une adresse IP, une option TCP/IP, une option iSCSI, un premier paramètre iSCSI, et un second paramètre iSCSI sont enregistrés. Parmi les informations décrites ci- dessus, le nom iSCSI d'hôte, l'adresse IP, l'option TCP/IP, l'option iSCSI et le premier paramètre iSCSI correspondent à des informations qui sont reçues en provenance d'un dispositif hôte lorsque ce dispositif hôte émet une requête d'ouverture de session sur la base du protocole iSCSI.. Le second paramètre iSCSI correspond à une information qui est déterminée lorsqu'une adresse de réseau est examinée (ceci va être expliqué). En conséquence, le "nom iSCSI d'hôte" correspond à un nom iSCSI qui est alloué à un dispositif hôte (concrètement parlant le port iSCSI de ce dispositif hôte) d'une source de requête d'ouverture de session. La "adresse IP" correspond à une adresse IP qui est allouée à un dispositif hôte d'une source de requête d'ouverture de session (concrète-ment parlant, le port iSCSI de ce dispositif hôte), ou correspond à une adresse IP globale qui est allouée à un dispositif de commutation (par exemple une passerelle) agencé dans un réseau auquel ce dispositif hôte est connecté. La "option TCP/IP" correspond à une information qui contient, par exemple, une information spécifique de protocole TCP/IP, des informations indiquant si oui ou non un Protocole de Configuration d'Hôte Dynamique (DHCP) est utilisé, et/ou une information indiquant si oui ou non un Système de Nom de Domaine (DNS) est utilisé. "L'option iSCSI" correspond à une information qui con- tient une information spécifique de protocole iSCSI, une information indiquant si oui ou non un Protocole d'Authentification par Défi-Réponse (protocole CHAP) est utilisé, et/ou une valeur de temps imparti. Le "premier paramètre iSCSI" correspond à une information qui contient au moins un nombre total de connexions et une longueur de transfert/nombre de transferts iSCSI. Le "second paramètre iSCSI" correspond à une information qui contient un type de droit d'accès. Il existe plusieurs sortes de types de droit d'accès. Par exemple, ces types de droit d'accès comportent le type "RW" qui implique qu'à la fois une opération de lecture et une opération d'écriture sont permises, le type "RO" qui implique que seul une opération de lecture parmi l'opération de lecture et l'opération d'écriture est permise, et le type "RJT" (mot abrégé pour "rejet") qui implique qu'aucune des opérations de lecture et d'écriture n'est permise.
Diverses sortes d'informations utilisées pour commander des accès en provenance d'un dispositif hôte sont mémorisées dans la table de gestion d'hôte 57. Concrètement parlant, des ID de table HP, des adresses IP, et des types de droit d'accès, qui correspondent aux plu-sieurs noms iSCSI d'hôte respectifs, sont situés dans cette table de gestion d'hôte 57. Dans l'état initial, seuls les noms iSCSI d'hôte ont été enregistrés dans la table de gestion d'hôte 57, et d'autres informations sont amenées dans un état vierge. Dans un cas où une adresse IP reçue par le système de commande de mémorisation 3 lorsqu'une requête d'ouverture de session est émise par le dispositif hôte 5, 15 ou 31 vers le système de commande de mémorisation 3 correspond à une adresse IP globale, il existe des cas où les mêmes adresses IP sont établies dans la table de gestion d'hôte 57 concernant deux ou plus de deux sortes de noms iSCSI.
Une information indiquant quel LUN est accepté à partir de quel dispositif hôte 5, 15 ou 31 est enregistrée dans la première table de gestion de LUN 59. Concrètement parlant, par exemple, un ou plusieurs ensembles de LUN correspondant à plusieurs noms iSCSI (c'est-à-dire plusieurs dispositifs hôte) sont enregistrés dans la première table de gestion de LUN 59. Ces LUN peuvent être préparés à l'avance par un utilisateur dans un état initialement parfait. En variante, ces LUN peuvent être édités par un utilisateur à un moment correct.
Une information indiquant quel LUN correspond à quel LDEV # est enregistrée dans la seconde table de gestion de LUN 60. Concrètement parlant, par exemple, les LDEV # correspondant aux plusieurs sortes de LUN respectivement ont été enregistrés dans la seconde table de gestion de LUN 60.
Comme indiqué sur la figure 4, des informations concernant les LDEV respectifs 35 sont enregistrées dans la table de gestion de LDEV 61. Concrètement parlant, par exemple, les LDEV #, les adresses de début, les dimen- sions de mémorisation de données, et analogue, qui correspondent aux plusieurs LDEV 35 respectifs, sont enregistrés dans la table de gestion de LDEV 61.
Une information concernant quel type d'accès est permis par rapport à un hôte source de requête d'ou- verture de session lorsqu'une adresse IP est reçue est enregistrée dans la table de règles de fixation de type de droit d'accès 63. Concrètement parlant, par exemple, les types de droit d'accès (par exemple l'un quelconque parmi "RW", "RO", et "RJT") qui correspondent aux plu- sieurs sortes de masques de réseau respectivement ont été enregistrés dans la table de règles de fixation de type de droit d'accès 63.
Il doit être noté qu'un masque de réseau est utilisé afin de déterminer si oui ou non un hôte source de requête d'ouverture de session appartient à un réseau donné sur la base d'une adresse IP (qui va être appelée par la suite "adresse IP cible") du côté requête d'ouverture de session lorsqu'une requête d'ouverture de session d'un dispositif hôte est reçue, et une autre adresse IP (qui va être appelée ci-après "adresse IP particulière") qui a été mémorisée dans le port iSCSI 38 du système de commande de mémorisation 3.
Par exemple, comme représenté sur cette figure, lorsqu'une adresse. IP contient quatre nombres qui sont séparés par un "." (période), un masque de réseau "255.255.255.0" implique que les 3 premiers nombres (côté gauche) à la fois de l'adresse IP cible et de l'adresse IP particulière sont identiques l'un à l'autre, et que le dernier nombre est différent des trois premiers nombres mentionnés. En d'autres termes, ce masque de réseau im- plique que la distance logique relative de réseau est petite (par exemple zéro). C'est-à-dire, par exemple, en ce qui concerne l'hôte de connexion de réseau peu éloigné 5 appartenant au réseau peu éloigné 2 (voir figure 1), "RW" est fixé en tant que type de droit d'accès.
Egalement, un masque de réseau "255.255.0.0" implique que les 2 premiers nombres à la fois dans une adresse IP cible et dans l'adresse IP particulière sont identiques l'un à l'autre, et que les 2 nombres restant sont différents des deux premiers nombres cités. En d'autres termes, ce masque de réseau implique que la distance logique relative de réseau est moyenne. C'est-à-dire, par exemple, en ce qui concerne l'hôte de connexion de réseau moyennement éloigné 15 appartenant au réseau moyennement éloigné 4 (voir figure 1), "RO" est fixé comme type de droit d'accès.
Egalement, un masque de réseau "255.0.0.0" implique que le premier nombre à la fois dans l'adresse IP cible et dans l'adresse IP particulière est le même, et les 3 nombres restant sont différents du premier nombre cité. Egalement, un masque de réseau "0.0.0.0." implique que les mêmes nombres ne sont pas complètement présents aux mêmes emplacements en ce qui concerne l'adresse IP cible et l'adresse IP particulière. En d'autres termes, ces deux masques de réseau "255.0.0.0" et "0.0.0.0" impliquent que les distances logiques relatives de réseau sont importantes. C'est-àdire, en ce qui concerne l'hôte de connexion de réseau fortement éloigné 31 appartenant au réseau fortement éloigné 6 (voir figure 1), "RJT" est fixé en tant que type de droit d'accès.
Les explications ci-dessus ont été faites en ce qui concerne diverses sortes de tables contenues dans le groupe de tables de données 51. Il doit aussi être noté qu'au moins une table contenue dans le groupe de tables de données 51 peut être mémorisée dans un emplacement quelconque autre que la mémoire partagée 47, par exemple le groupe de disques physiques 39 ou la mémoire locale 123 (par exemple une mémoire non- volatile) du port iSCSI 38.
La figure 5 représente de manière schématique une construction de protocole utilisée dans une opération de communication concernant iSCSI. La figure 6 représente les structures des instructions qui sont émises/reçues dans cette opération de communication.
Comme représenté sur la figure 5, afin d'effectuer une opération de communication sur la base du protocole iSCSI, le dispositif hôte 5 (15 ou 31) est muni d'une couche physique et d'une couche de liaison de don-nées 71, d'une couche de protocole IP 72, d'une couche de protocole TCP 73, d'une couche de protocole iSCSI 74, d'une couche de protocole SCSI 75, et aussi d'une couche d'application de SCSI 76 qui sont organisées séquentiellement à partir d'une couche inférieure vers une couche supérieure.
D'autre part, le système de commande de mémorisation 3 est muni d'couche physique et d'une couche de liaison de données 81, d'une couche de protocole IP 82, d'une couche de protocole TCP 83, d'une couche de protocole iSCSI 84, d'une couche de protocole SCSI 85, et aussi d'une couche de serveur de dispositif 86, qui sont agencées séquentiellement depuis une couche inférieure vers une couche supérieure.
Comme donné en exemple sur la figure 6A, une instruction qui est émise par la couche d'application de SCSI 76 du dispositif hôte 5 via la couche de protocole SCSI 75 correspond à un bloc d'instructions contenant à la fois une instruction et des données (sinon une instruction seule). Concrètement parlant, ce bloc d'instructions est un bloc d'instructions à six octets dans lequel est contenu dans un octet de tête un code d'opération d'écriture ou un code d'opération de lecture. Ensuite, lorsque ce bloc d'instructions atteint la couche de protocole iSCSI 74 et ensuite est émis à partir de cette couche de protocole iSCSI 74 et à partir de la couche de liaison de données/couche physique 71, ce bloc d'instructions devient un bloc d'informations comme représenté sur la figure 6B, c'est-à-dire devient un bloc d'informations tel qu'un paquet d'instructions SCSI est enfermé par une unité iSCSIPDU, un paquet TCP, un paquet IP, et un paquet de tête Ethernet. Il doit aussi être compris que le symbole "PDU" est un terme abrégé pour "Unité de Données de Protocole", et ce PDU contient un LUN qui est indiqué par un dispositif hôte en ce qui concerne le système de commande de mémorisation 3, et un Bloc Descripteur d'Ins- trustions (CDB).
Dans la structure de protocole représentée sur la figure 5, les deux couches de liaison de données/physique 71 et 81, les deux couches de protocole IP 72 et 82, les couches de protocole TCP 73 et 83, les couchas de protocole iSCSI 74 et 84, les deux couches de protocole SCSI 75 et 85, à la fois la couche d'application de SCSI 76 et la couche de serveur de dispositif 86 sont amenées successivement en session, de sorte qu'une requête E/S émise par le dispositif hôte est reçue par le système de commande de mémorisation 3, et ce système de commande de mémorisation 3 exécute un traitement sur la base de cette requête E/S.
Par exemple, dans un état de session entre les couches de liaison de données et les couches physiques 71 et 81, puisqu'une requête ARP (Protocole de Résolution d'Adresse) est émise et qu'une réponse ARP à cette requête ARP est effectuée, des adresses MAC (Contrôle d'accès à un Support) de parties de communication sont acquises l'une avec l'autre. Dans un état de session entre les couches de protocole IP 72 et 82, puisqu'une requête "ping" est émise et qu'une réponse "ping" à cette requête "ping" est faite, une confirmation est effectuée indiquant si oui ou non une contre partie existe (adresse IP). Concrètement parlant, par exemple, la requête "ping" est transmise à partir d'un réseau (qui va être appelé ci-après "réseau cible") auquel un hôte formant source de requête d'ouverture de session a été connecté au système de commande de mémorisation 3. Egalement, dans un état de session entre les couches de protocole TCP 73 et 83, trois paquets destinés à synchroniser les numéros de séquence les uns avec les autres sont transmis/reçus. Egalement, dans un état de session entre les couches de protocole iSCSI 74 et 84, une connexion iSCSI est établie par une phase d'ouverture de session dans laquelle une requête d'ouverture de session est émise, et une réponse d'ouverture de session à cette requête d'ouverture de session est faite (par exemple, une adresse IP, un nom iSCSI d'hôte de source de requête d'ouverture de session, et un numéro de port TCP sont transmis à partir du réseau cible vers le système de commande de mémorisation 3). Dans un état de session entre les couches de protocole SCSI 75 et 85, une instruction SCSI contenant soit une requête de lecture soit une requête d'écriture est transmise par le dispositif hôte au système de commande de mé- morisation 3. Dans un état de session entre la couche d'application de SCSI 76 et la couche de serveur de dis-positif 86, des données d'écriture sont transmises depuis le dispositif hôte au système de commande de mémorisation 3, et les données de lecture sont transmises depuis le système de commande de mémorisation 3 au dispositif hôte.
Dans ce mode de réalisation, le système de commande de mémorisation 3 commande un accès (par exemple, soit une requête d'ouverture de session soit un accès après cette ouverture de session) à partir d'un hôte source de requête d'ouverture de session sur la base des informations reçues en provenance du réseau cible dans la phase d'ouverture de session décrite ci-dessus. En se reportant maintenant à la figure 7, on va décrire des opérations de déroulement de traitement pour commander un accès provenant de l'hôte de source de requête d'ouverture de session, qui est exécuté dans le système de commande de mémorisation 3.
Tout d'abord, l'unité de traitement de protocole 122 du port iSCSI 38 accepte une requête d'ouverture de session provenant d'un réseau cible (étape Si). Cette requête d'ouverture de session contient, par exemple, un numéro de port TCP, un nom iSCSI d'hôte source de requête d'ouverture de session, et une adresse IP. Cette adresse IP correspond, par exemple, à une adresse IP de l'hôte source de requête d'ouverture de session, ou à une adresse IP globale qui est allouée à un dispositif de commutation (par exemple une passerelle) du réseau cible. Toutes les informations décrites ci-dessus peuvent en va-riante être des informations qui ont été entrées par un utilisateur de manière à être mémorisées dans un dispositif de mémorisation d'un dispositif hôte, et ensuite sont lues à partir de celuici. En variante, toutes les informations décrites ci-dessus peuvent être des informations qui ont été acquises par l'hôte source de requête d'ouverture de session à partir d'un dispositif de gestion d'hôte pour gérer un ou plusieurs ensembles de dispositifs hôte appartenant au même réseau par un Système de Noms de Domaine (DNS).
Dans l'étape S1, lorsque le port iSCSI 38 ac- cepte la requête d'ouverture de session, l'unité de traitement de protocole 122 du port iSCSI 38 effectue une opération de traitement de protocole (par exemple, ouvrir une opération de traitement de paquet) concernant cette requête d'ouverture de session, et ensuite transfère les informations (par exemple le numéro de port TCP, le nom iSCSI de l'hôte source de requête d'ouverture de session, l'adresse IP, etc.) qui ont été obtenues par cette opération de traitement de protocole vers un processeur de canal cible prédéterminé ou sélectionné arbitrairement 40.
Egalement, l'unité de traitement de protocole 122 produit une ID de table HP, et ensuite transfère cette ID de table HP vers le processeur de canal cible 40.
Le processeur de canal cible 40 prépare une nouvelle table HP 53 (c'est-àdire une nouvelle table HP 53 correspondant à un hôte source de requête d'ouverture de session) qui possède la ID de table HP reçue en provenance de l'unité de traitement de protocole 122. Puis, le processeur de canal cible 40 écrit le nom iSCSI d'hôte décrit ci-dessus, l'adresse IP, l'option TCP/IP, l'option iSCSI, et un premier paramètre iSCSI, dans la table HP 53 préparée sur la base des informations (par exemple le nom iSCSI expliqué ci-dessus, etc.) reçues en provenance de l'unité de traitement de protocole 122 (étape S2).
Ensuite, le processeur de canal 40 détermine si oui ou non le nom iSCSI d'hôte écrit dans la nouvelle table HP 53 coïncide avec l'un quelconque des plusieurs noms iSCSI qui ont été enregistrés au préalable dans la table de gestion d'hôte 57 (étape S3).
Dans le cas où un résultat négatif est obtenu ("NON" à l'étape S3) en résultat de la détermination faite dans cette étape S3, le processeur de canal 40 n'émet par la suite aucune réponse concernant l'hôte source de requête d'ouverture de session (étape S8). En d'autres termes, sous le protocole iSCSI, le processeur de canal 40 peut retourner l'une quelconque de deux sortes de réponses à une ouverture de session via l'unité de traitement de protocole 122 en tant que réponse à une ouverture de session suite à la requête d'ouverture de session, les deux sortes de réponses à une ouverture de ses- Sion contenant à la fois une "permission d'ouverture de session" qui implique qu'une ouverture de session est permise, et un "refus d'ouverture de session" qui implique qu'une ouverture de session n'est pas permise. Cependant, dans ce mode de réalisation, lorsque le résultat négatif est obtenu à l'étape S3, le processeur de canal 40 ne retourne jamais un tel "refus d'ouverture de session" (dans ce cas, il est indiqué que la connexion est coupée du fait d'un temps dépassé). En tant que modification de ce mode de réalisation, alors que deux sortes de types de réponse, à savoir "pas de réponse" et "retour d'une réponse de refus d'ouverture de session" sont pré-parées en tant que type de réponse pour le type de droit d'accès "RJT", un type de réponse peut être alternativement sélectionné sur la base du type de réseau cible.
Dans cette modification, par exemple, lorsqu'une distance logique relative de réseau est simplement grande, un "refus d'ouverture de session" peut être sélectionné en tant que type de réponse, alors que lorsque cette distance logique relative de réseau devient plus grande, "pas de réponse" peut être sélectionné en tant que type de réponse.
D'autre part, dans le cas où un résultat positif est obtenu en résultat de la détermination de l'étape S3 ("OUI" à l'étape S3), le processeur de canal 40 remplit une colonne d'éléments d'informations située dans la table de gestion d'hôte 57, qui correspond à un nom iSCSI (va être appelé ci-après "nom iSCSI cible") de l'hôte source de requête d'ouverture de session (étape S4).
Concrètement parlant, par exemple, le processeur de canal 40 écrit la ID de table HP de la nouvelle table HP 53 dans une colonne de ID de table HP correspondant au nom iSCSI cible.
Egalement, le processeur de canal 40 écrit l'adresse IP cible reçue en provenance de l'unité de traitement de protocole 122 du port iSCSI 38 dans une co- lonne d'adresses IP correspondant au nom iSCSI cible.
Egalement, le processeur de canal 40 exécute une opération de comparaison d'adresse de réseau dans la-quelle l'adresse IP cible est comparée avec l'adresse IP particulière qui est mémorisée par le port iSCSI 38 qui a reçu la requête d'ouverture de session en utilisant la table de règles de fixation de type de droit d'accès 63 (en particulier plusieurs sortes de masques de réseau en-registrées dans cette table de règles de fixation de type de droit d'accès 63). Ensuite, le processeur de canal 40 sélectionne un type de droit d'accès arbitraire parmi plusieurs types de droit d'accès sur la base du résultat de cette opération de comparaison, et ensuite écrit le type de droit d'accès sélectionné dans une colonne de types de droit d'accès correspondant au nom iSCSI cible.
A l'étape S4, lorsque le type de droit d'accès correspond à "RO" et "RW", le processeur de canal 40 notifie une permission d'ouverture de session via l'unité de traitement de protocole 122 à l'hôte source de requête d'ouverture de session (étape S5).
Après l'étape S5, le processeur de canal 40 fixe le type de droit d'accès sélectionné expliqué ci-dessus en tant que second paramètre iSCSI dans la nouvelle table HP 53 décrite ci-dessus (étape S6). Après ce-ci, le processeur de canal 40 acquiert soit un soit plu- sieurs LUN correspondant au nom iSCSI de la source de requête d'ouverture de session à partir de la première table de gestion de LUN 59, et ensuite notifie le LUN acquis, ou plusieurs LUN, à l'hôte source de requête d'ouverture de session (étape S7). En résultat, la phase d'ouverture de session est terminée. Par la suite, la trame Ethernet (voir figure 6B) qui contient l'instruction SCSI peut être reçue.
Il doit être noté que lorsque le type de droit d'accès correspond à "RJT" à l'étape S4, le processeur de canal 40 ne fait aucune réponse concernant l'hôte source de requête d'ouverture de session (étape S8).
Puisqu'une série constituée des opérations de déroulement de traitement décrites ci-dessus est effec- tuée, les types d'accès de permission qui ont été fixés pour chaque dispositif hôte 5, 15, et 31 sont enregistrés dans la table de gestion d'hôte 57, et donc la phase d'ouverture de session est terminée. Après ceci, par exemple, une opération de contrôle d'accès est effectuée conformément à la manière décrite ci-dessous.
Tout d'abord, le port iSCSI 38 reçoit une requête E/S (trame Ethernet) contenant un LUN, en provenance d'un dispositif hôte, et ensuite cette requête E/S est temporairement mise dans le tampon 121 du port iSCSI 38.
Dans ce cas, l'unité de traitement de protocole 122 détermine si oui ou non le LUN contenu dans la requête E/S qui a été mémorisée dans ce tampon 121 coïncide avec le LUN accessible qui a été mémorisé dans la mémoire locale 123, et lorsque l'on obtient un résultat négatif dans cette détermination, l'unité de traitement de protocole 122 exécute une opération de traitement d'erreur prédéterminée (par exemple, l'unité de traitement de protocole 122 n'exécute pas cette requête E/S en écrasant la requête E/S).
D'autre part, lorsque le résultat de cette détermination devient positif, l'unité de traitement de protocole 122 notifie ce fait au processeur de canal 40. Le processeur de canal 40 identifie soit une adresse IP contenue dans la requête E/S qui a été mémorisée dans le tampon 121 soit un type de droit d'accès correspondant au nom iSCSI provenant de la table de gestion d'hôte 57. En-suite, le processeur de canal 40 compare le type de droit d'accès identifié avec un type d'accès qui est indiqué par la requête E/S décrite ci-dessus afin de déterminer si oui ou non le type de droit d'accès est adapté au type d'accès.
Dans un cas où le résultat de cette comparaison devient négatif, le processeur de canal 40 exécute une opération de traitement d'erreur prédéterminée. Concrète-ment parlant, par exemple, dans le cas où une requête E/S est reconnue comme une requête d'écriture indépendamment du fait que le type de droit d'accès corresponde à "RO" (par exemple dans un cas où "écrire" est décrit dans un octet de tête d'une instruction SCSI représentée sur la figure 6A), le processeur de canal 40 répond par une erreur (par exemple réception d'une instruction illégale) à l'hôte source de transmission de requête E/S. En va-riante, dans un cas où le type de droit d'accès corres- pond à "RO", après que la phase d'ouverture de session ait été réalisée, le processeur de canal 40 peut notifier à l'hôte source de requête d'ouverture de session, le fait que le processeur de canal 40 peut effectuer une instruction de lecture, mais ne peut pas exécuter une instruction d'écriture, indépendamment du fait que le processeur de canal 40 ait reçu ou non la requête E/S. Egalement, par exemple, dans un cas où le type de droit d'accès correspond.à "RW", après que la phase d'ouverture de session ait été réalisée, le processeur de canal 40 peut notifier à l'hôte source de requête d'ouverture de session le fait que le processeur de canal 40 peut exécuter à la fois une instruction de lecture et une instruction d'écriture, indépendamment du fait que le processeur de canal 40 ait reçu ou non la requête E/S.
D'autre part, lorsque le résultat de la comparaison ci-dessus devient positif (par exemple, lorsque le type de droit d'accès correspond à "RW", il est reconnu que la requête E/S correspond soit à une requête de lecture soit à une requête d'écriture), le processeur de ca- nal 40 acquiert soit un soit plusieurs LUN, correspondant au nom iSCSI de l'hôte source de transmission de requête E/S dans la première table de gestion de LUN 59, et en-suite détermine si oui ou non un tel LUN, qui coïncide avec le LUN contenu dans la requête E/S, est présent dans le LUN acquis, ou les plusieurs LUN acquis.
Lorsque le résultat de cette détermination de-vient négatif, le processeur de canal 40 exécute une opération de traitement d'erreur prédéterminée, par exemple, le processeur de canal 40 envoie une instruction à l'hôte source de requête E/S de désigner un LUN différent.
D'autre part, lorsque le résultat de cette détermination devient positif, le processeur de canal 40 acquiert un LDEV # correspondant au LUN contenu dans la requête E/S à partir de la seconde table de gestion de LUN 60, et envoie une instruction à un processeur de dis-que prédéterminé de lire ou d'écrire des données concernant un tel LDEV correspondant au LDEV # acquis. En résultat, le traitement est effectué sur la base de la requête E/S émise par l'hôte source d'émission de requête E/S.
Les opérations de traitement décrites ci-dessus sont des explications concernant ce mode de réalisation. Il doit être compris que dans ce mode de réalisation, par exemple, à la fois le traitement expliqué en référence à la figure 7 et le traitement de contrôle d'accès exécuté après que le type de droit d'accès ait été déterminé peu-vent être exécutés en variante par tout élément de structure autre que le processeur de canal 40, par exemple par l'unité de traitement de protocole 122 du port iSCSI 38.
En variante, dans ce mode de réalisation, par exemple, au moins un élément parmi l'adresse IP et le nom iSCSI peut être fixé de manière spécifique en ce qui concerne le système de commande de mémorisation 3, ou peut être fixé de manière spécifique en ce qui concerne chacun des ports iSCSI 38. De plus, dans la phase d'ouverture de session, à la place du nom iSCSI, ou en plus du nom iSCSI, une autre sorte d'information d'identification d'hôte (par exemple une adresse MAC) peut être transmise en variante à partir du réseau cible au système de commande de mémo- risation 3.
Comme décrit précédemment, conformément au mode de réalisation décrit cidessus, le type de droit d'accès est fixé en résultat de la comparaison entre l'adresse IP cible et l'adresse IP particulière, c'est-à-dire sur la base de la distance logique relative de réseau décrite ci-dessus. En d'autres termes, sur la base de l'emplacement où est situé un réseau de communication auquel appartient un hôte source de requête d'ouverture de session (c'est-à-dire de la distance par laquelle cet emplacement est séparé logiquement du réseau de communications 2 couvrant le système de commande de mémorisation 3), un type d'adresse est déterminé qui est exécuté par cet hôte source de requête d'ouverture de session. En d'autres termes, les niveaux des réseaux de communications respec- tifs 2, 4 et 6 sont classés en réponse aux distances logiques relatives de réseau des réseaux de communications respectifs 2, 4 et 6, alors que le réseau de communications 2 contenant le système de commande de mémorisation 3 est défini comme référence. Alors, les types de droit d'accès sont déterminés sur la base des niveaux classés respectifs. En résultat, l'opération de contrôle d'accès peut être effectuée dans l'unité du réseau de communications.
Egalement, conformément au mode de réalisation expliqué ci-dessus, le système de commande de mémorisation 3 ne renvoie aucune réponse concernant une telle opération de demande d'accès effectuée par un dispositif hôte appartenant à un réseau de communications à partir duquel un accès illégal peut être éventuellement émis. En conséquence, puisque l'existence du système de commande de mémorisation 3 n'est pas notifiée en ce qui concerne ce dispositif hôte, une sécurité plus élevée peut être assurée.
Bien que les modes préférés de réalisation de la présente invention aient été décrits en détail, ceci a été fait pour expliquer, simplement par un exemple, la présente invention, et par conséquent, la portée technique de la présente invention n'est pas limitée à ces seuls modes de réalisation et à la modification. La pré- sente invention peut être réalisée en variante par l'intermédiaire d'autres modes de réalisation. Par exemple, l'idée de la présente invention peut être appliquée non seulement à un environnement de communications basé sur le protocole iSCSI, mais aussi les divers environnements sous lesquels un accès est reçu via un ou plusieurs ré- seaux de communications. Egalement, par exemple, une table est préparée et cette table définit une relation correspondante telle qu'une réponse est renvoyée en ce qui concerne non seulement une instruction de lecture et une instruction d'écriture, mais aussi d'autres sortes de codes d'instruction SCSI (en parlant de manière abstraite, un type d'accès). Dans le cas où une instruction SCSI est reçue après qu'une requête d'ouverture de session ait été émise, le contenu de la réponse peut être sélectionné en variante sur la base de cette table et d'un code d'instruction SCSI de cette instruction SCSI reçue.

Claims (10)

REVENDICATIONS
1. Dispositif de commande de mémorisation connecté via un ou plusieurs réseaux de communications (2, 4, 6) à un dispositif de niveau supérieur, comportant: un adaptateur de canal (37) muni d'un port iSCSI (38) destiné à accepter un accès émis par le réseau ou les plusieurs réseaux de communications de niveau supérieur, et un ou plusieurs processeurs de canal (40) qui exécutent un traitement concernant l'information émise par le port iSCSI, une ou plusieurs mémoires (47) pour mémoriser plusieurs sortes de types de droit d'accès qui correspondent individuellement à plusieurs sortes d'attributs de réseau cible représentatifs d'un attribut d'un réseau de communications cible auquel le dispositif de niveau supérieur est connecté, et un dispositif de mémorisation de données (23) pour mémoriser dans celui- ci des données d'écriture re- çues en provenance du dispositif de niveau supérieur et/ou des données de lecture transmises au dispositif de niveau supérieur, caractérisé en ce que: l'adaptateur de canal accepte un accès contenant une adresse IP provenant du dispositif de niveau su- périeur par l'intermédiaire du port iSCSI, détermine un attribut du réseau de communications cible sur la base de l'adresse IP, identifie un type de droit d'accès correspondant à l'attribut déterminé du réseau de communications cibles en référence aux informations mémorisées dans la mémoire ou les plusieurs mémoires, et permet l'accès du type de droit d'accès identifié au dispositif de mémorisation de données en ce qui concerne le dispositif de niveau supérieur.
2. Dispositif de commande de mémorisation selon 35 la revendication 1, caractérisé en ce que: une ou plusieurs mémoires mémorisent dans cellesci une pluralité d'informations d'identification de dispositif de niveau supérieur correspondant à une pluralité de dispositifs de niveau supérieur respectivement, dans un cas où l'adaptateur de canal (40) accepte un accès contenant à la fois une adresse IP et une information d'identification de dispositif de niveau supérieur en provenance du dispositif de niveau supérieur, si l'information d'identification de dispositif de niveau supérieur n'est pas mémorisée dans la ou les plusieurs mémoires, alors l'adaptateur de canal (40) ne permet pas l'accès en ce qui concerne le dispositif de niveau supérieur.
3. Dispositif de commande de mémorisation selon la revendication 1, caractérisé en ce que la mémoire ou les plusieurs mémoires mémorisent dans celles-ci une adresse IP particulière qui est al-louée au port iSCSI ou au dispositif de commande de mémorisation, l'attribut de réseau cible correspond à une distance logique de réseau représentative d'une distance logique existant entre le réseau de communications particulier auquel est connecté le dispositif de commande de mémorisation et le réseau de communications cible, les plusieurs sortes de types d'accès sont dé-finies en correspondance avec plusieurs sortes de distances logiques de réseau, et de plus, chacune des plusieurs sortes (RW, RO, RJT) de types d'accès devient un type gui implique que plus la distance logique de réseau corres- pondant au type d'accès devient grande, plus le temps d'action pour accès en ce qui concerne le dispositif de mémorisation de données du dispositif de niveau supérieur est petit, et l'adaptateur de canal (40) détermine la dis-tance logique de réseau sur la base à la fois de l'adresse IP particulière et de l'adresse IP.
4. Dispositif de commande de mémorisation selon la revendication 3, caractérisé en ce que: un type de droit d'accès correspondant à un état où la distance logique de réseau est petite correspond à un type (RW) qui implique qu'à la fois une opération de lecture et une opération d'écriture dans le dis- positif de mémorisation de données sont permises en ce qui concerne le dispositif de niveau supérieur, un type de droit d'accès correspondant à un état où la distance logique de réseau est moyenne correspond à un type (RO) qui implique que seule une opération de lecture parmi l'opération de lecture et l'opération d'écriture dans le dispositif de mémorisation de données est permise en ce qui concerne le dispositif de niveau supérieur, et un type de droit d'accès correspondant à un état où la distance logique de réseau est grande correspond à un type (RJT) qui implique qu'aucune des deux opérations de lecture et d'écriture dans le dispositif de mémorisation de données n'est permise en ce qui concerne le dispositif de niveau supérieur.
5. Dispositif de contrôle d'accès connecté via un ou plusieurs réseaux de communications à un dispositif de niveau supérieur, caractérisé en ce qu'il comporte: des moyens d'acceptation d'accès destinés à accepter un accès émis par un dispositif de niveau supé- rieur cible via le réseau ou les plusieurs réseaux de communications, et des moyens de contrôle d'accès pour identifier un attribut de réseau cible correspondant à un attribut concernant un réseau de communications cible auquel le dispositif de niveau supérieur cible est connecté, sur la base d'informations contenues dans l'accès émis par le dispositif de niveau supérieur cible, et à contrôler un type d'accès qui est permis pour le dispositif de niveau supérieur cible.
6. Dispositif de contrôle d'accès selon la re- vendication 5, caractérisé en ce que: le dispositif de contrôle d'accès comporte de plus: des moyens de mémorisation d'informations de contrôle d'accès pour mémoriser plusieurs sortes de types de droit d'accès (RW, RO, RJT) qui correspondent à plu-sieurs sortes de positions de réseau cible/sortes représentatives des positions logiques et/ou types des réseaux de communications cible, dans lequel: les moyens de contrôle d'accès identifient la position/le type de réseau cible sur la base d'informations contenues dans un accès émis par le dispositif de niveau supérieur cible, identifient un type de droit d'accès correspondant à la position/au type de réseau ci- ble identifié en référence aux informations mémorisées dans les moyens de mémorisation d'informations de contrôle d'accès, et permettent un tel accès correspondant au type de droit d'accès identifié en ce qui concerne le dispositif de niveau supérieur cible.
7. Dispositif de contrôle d'accès selon la re- vendication 6, caractérisé en ce que: les moyens de contrôle d'accès acceptent un accès contenant une adresse IP cible provenant du dispositif de niveau supérieur cible, et déterminent la position de réseau cible sur la base de l'adresse IP cible.
8. Dispositif de contrôle d'accès selon la revendication 6, caractérisé en ce que: le dispositif de mémorisation d'informations de contrôle d'accès mémorise de plus l'adresse IP particu- lière allouée au dispositif de contrôle d'accès, la position de réseau cible correspond à une distance logique de réseau représentative de la distance logique existant entre le réseau de communications particulier auquel est connecté le dispositif de contrôle d'accès et le réseau de communications cible, les plusieurs sortes de types d'accès (RW, RO, RJT) sont définies en correspondance aux plusieurs sortes de distances logiques de réseau, et de plus, chacune des plusieurs sortes de types d'accès devient un type qui im- plique que plus la distance logique de réseau est grande en correspondance au type d'accès, plus le temps d'action accessible concernant le dispositif de mémorisation de données du dispositif de niveau supérieur cible est petit, et les moyens de contrôle d'accès acceptent un accès contenant une adresse IP cible provenant du dispositif de niveau supérieur cible, et déterminent la distance logique de réseau sur la base à la fois de l'adresse IP particulière et de l'adresse IP cible.
9. Dispositif de contrôle d'accès selon la revendication 5, caractérisé en ce que: le dispositif de contrôle d'accès comporte de plus: un dispositif de mémorisation d'informations de contrôle d'accès pour mémoriser plusieurs informations d'identification de dispositif de niveau supérieur correspondant à plusieurs dispositifs de niveau supérieur, dans le cas où les moyens de contrôle d'accès acceptent un accès contenant l'information d'identifica- tion de dispositif de niveau supérieur cible du dispositif de niveau supérieur cible en provenance du dispositif de niveau supérieur cible, si l'information d'identification de dispositif de niveau supérieur cible n'a pas été mémorisée dans le dispositif de mémorisation d'informations de contrôle d'accès, alors les moyens de contrôle 20 d'accès ne permettent pas un accès en ce qui concerne le dispositif de niveau supérieur cible.
10. Procédé de contrôle d'accès pour contrôler qu'un accès demandé par un dispositif de niveau supérieur via un ou plusieurs réseaux de communications à un dispositif de niveau inférieur, caractérisé en ce qu'il comporte: une étape pour identifier une information de réseau cible égale à une telle information concernant un réseau de communications cible sur la base d'une information prédéterminée contenue dans un accès émis par un dispositif de niveau supérieur cible, le dispositif de niveau supérieur cible étant connecté au réseau de communications cible, et une étape pour commander un type d'accès qui est permis en ce qui concerne le dispositif de niveau supérieur sur la base de l'information de réseau cible identifiée.
FR0404022A 2003-11-27 2004-04-16 Dispositif et procede de controle d'acces Expired - Fee Related FR2863073B1 (fr)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003396625A JP2005157826A (ja) 2003-11-27 2003-11-27 アクセス制御装置及び方法

Publications (2)

Publication Number Publication Date
FR2863073A1 true FR2863073A1 (fr) 2005-06-03
FR2863073B1 FR2863073B1 (fr) 2006-08-25

Family

ID=32322192

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0404022A Expired - Fee Related FR2863073B1 (fr) 2003-11-27 2004-04-16 Dispositif et procede de controle d'acces

Country Status (5)

Country Link
US (2) US7127543B2 (fr)
JP (1) JP2005157826A (fr)
DE (1) DE102004013116B4 (fr)
FR (1) FR2863073B1 (fr)
GB (1) GB2408602B (fr)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4266725B2 (ja) 2003-06-27 2009-05-20 株式会社日立製作所 記憶システム
US8850141B2 (en) * 2003-07-15 2014-09-30 International Business Machines Corporation System and method for mirroring data
JP4327630B2 (ja) 2004-03-22 2009-09-09 株式会社日立製作所 インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置
US7644289B2 (en) * 2004-03-23 2010-01-05 Harris Corporation Modular cryptographic device providing enhanced communication control features and related methods
JP2007133807A (ja) * 2005-11-14 2007-05-31 Hitachi Ltd データ処理システム、ストレージ装置及び管理装置
US7539790B1 (en) * 2005-11-15 2009-05-26 3Par, Inc. Reducing latency in SCSI protocol
CN100579063C (zh) * 2006-05-29 2010-01-06 华为技术有限公司 多业务接入网的控制系统及控制方法
US8756411B2 (en) * 2010-12-06 2014-06-17 Siemens Aktiengesellschaft Application layer security proxy for automation and control system networks
CN102750230B (zh) * 2011-04-19 2014-11-12 中国科学院数据与通信保护研究教育中心 一种通用串行总线存储设备的访问控制系统及方法
US9966043B2 (en) 2012-10-26 2018-05-08 Nec Display Solutions, Ltd. Identifier control device, identifier control system, multi-screen display system, identifier controlmethod, and program
DE112013007296T5 (de) 2013-09-27 2016-04-21 Intel Corporation Bestimmung eines geeigneten Ziels für einen Initiator durch einen Prozessor auf Steuerungsebene
JP7070095B2 (ja) * 2018-05-28 2022-05-18 ブラザー工業株式会社 通信装置のためのコンピュータプログラムと通信装置とサーバのためのコンピュータプログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030159058A1 (en) * 2002-02-20 2003-08-21 Hitachi, Ltd. Method of performing active data copying processing, and storage subsystem and storage control apparatus for performing active data copying processing
US20030191932A1 (en) * 2002-04-04 2003-10-09 International Business Machines Corporation ISCSI target offload administrator

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3228182B2 (ja) 1997-05-29 2001-11-12 株式会社日立製作所 記憶システム及び記憶システムへのアクセス方法
US6094683A (en) * 1997-08-29 2000-07-25 Intel Corporation Link bundling in a network
US6226680B1 (en) 1997-10-14 2001-05-01 Alacritech, Inc. Intelligent network interface system method for protocol processing
US6308273B1 (en) 1998-06-12 2001-10-23 Microsoft Corporation Method and system of security location discrimination
US6434700B1 (en) * 1998-12-22 2002-08-13 Cisco Technology, Inc. Authentication and authorization mechanisms for Fortezza passwords
US6684209B1 (en) 2000-01-14 2004-01-27 Hitachi, Ltd. Security method and system for storage subsystem
US6754718B1 (en) 2000-05-10 2004-06-22 Emc Corporation Pushing attribute information to storage devices for network topology access
US8019901B2 (en) 2000-09-29 2011-09-13 Alacritech, Inc. Intelligent network storage interface system
US20020103913A1 (en) 2001-01-26 2002-08-01 Ahmad Tawil System and method for host based target device masking based on unique hardware addresses
JP3972596B2 (ja) 2001-04-20 2007-09-05 株式会社日立製作所 ディスクアレイシステム
US20020188725A1 (en) * 2001-05-31 2002-12-12 Mani Babu V. User verification service in a multimedia-capable network
AU2002334947A1 (en) 2001-06-14 2003-01-21 Cable And Wireless Internet Services, Inc. Secured shared storage architecture
US7734781B2 (en) 2001-07-09 2010-06-08 Savvis Communications Corporation Methods and systems for shared storage virtualization
US6845403B2 (en) 2001-10-31 2005-01-18 Hewlett-Packard Development Company, L.P. System and method for storage virtualization
US7055056B2 (en) 2001-11-21 2006-05-30 Hewlett-Packard Development Company, L.P. System and method for ensuring the availability of a storage system
US20030105830A1 (en) 2001-12-03 2003-06-05 Duc Pham Scalable network media access controller and methods
JP4146653B2 (ja) 2002-02-28 2008-09-10 株式会社日立製作所 記憶装置
US6683883B1 (en) 2002-04-09 2004-01-27 Sancastle Technologies Ltd. ISCSI-FCP gateway
US7844833B2 (en) * 2002-06-24 2010-11-30 Microsoft Corporation Method and system for user protected media pool
US20040103220A1 (en) 2002-10-21 2004-05-27 Bill Bostick Remote management system
US7043578B2 (en) * 2003-01-09 2006-05-09 International Business Machines Corporation Method, system, and program for processing a packet including I/O commands and data
US7369570B2 (en) 2003-03-03 2008-05-06 Nec Corporation iSCSI apparatus and communication control method for the same
JP4329412B2 (ja) 2003-06-02 2009-09-09 株式会社日立製作所 ファイルサーバシステム
JP4123088B2 (ja) * 2003-08-06 2008-07-23 株式会社日立製作所 ストレージネットワーク管理装置及び方法
US20050157730A1 (en) * 2003-10-31 2005-07-21 Grant Robert H. Configuration management for transparent gateways in heterogeneous storage networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030159058A1 (en) * 2002-02-20 2003-08-21 Hitachi, Ltd. Method of performing active data copying processing, and storage subsystem and storage control apparatus for performing active data copying processing
US20030191932A1 (en) * 2002-04-04 2003-10-09 International Business Machines Corporation ISCSI target offload administrator

Also Published As

Publication number Publication date
GB0408538D0 (en) 2004-05-19
GB2408602A (en) 2005-06-01
DE102004013116A1 (de) 2005-06-30
JP2005157826A (ja) 2005-06-16
GB2408602B (en) 2005-11-30
US20050120222A1 (en) 2005-06-02
US7127543B2 (en) 2006-10-24
FR2863073B1 (fr) 2006-08-25
US20050160275A1 (en) 2005-07-21
DE102004013116B4 (de) 2008-04-17

Similar Documents

Publication Publication Date Title
JP5288186B2 (ja) Hba移行の方法および装置
FR2863073A1 (fr) Dispositif et procede de controle d'acces
EP0977412B1 (fr) Procédé d'attribution d'adresses informatiques entre unités d'un système de conduite d'installation industrielle
JP4512179B2 (ja) ストレージ装置及びそのアクセス管理方法
FR2719681A1 (fr) Interfaces de canal améliorées pour des canaux d'entrée/sortie d'ordinateur.
FR2801754A1 (fr) Methode pour assigner une double adresse ip a un poste de travail relie a un reseau de transmission de donnees ip
FR2773935A1 (fr) Procedes de communication entre systemes informatiques et dispositifs les mettant en oeuvre
EP2000929A1 (fr) Utilisation d'un arbre de hachage à préfixes (PHT) pour la localisation des services au sein d'un réseau de communication poste-à-poste
CA3087762C (fr) Procede de configuration d'un systeme d'extension de couverture de communication sans-fil et un systeme d'extension de couverture de communication sans-fil mettant en oeuvre ledit procede
EP1875675B1 (fr) Procédé d'établissement d'un accès multi-liens entre un réseau local et un réseau distant et modem multi-liens correspondant
US8051183B1 (en) Non-disruptive server replacement for session-based clients
AU4707001A (en) Encapsulation protocol for linking storage area networks over a packet-based network
WO1997005727A1 (fr) Dispositif, procede et routeur d'interconnexion de reseaux
WO2007107674A2 (fr) Procede de communication de donnees entre des systemes de traitement heterogenes connectes en reseau local et systeme de communication mettant en oeuvre ce procede
FR2869180A1 (fr) Systeme de communication et dispositif de passerelle
FR2862776A1 (fr) Adaptateur de canal et dispositif de reseau de disques
EP2979222B1 (fr) Procédé de stockage de données dans un système informatique effectuant une deduplication de données
EP1074117B1 (fr) Procede de gestion d'objets dans un reseau de communication et dispositif de mise en oeuvre
US20050251684A1 (en) Storage control system and storage control method
EP0866410B1 (fr) Système informatique à stockage de données distribué
FR3023098A1 (fr) Procede et systeme de traitement d'une demande de resolution d'un nom d'un serveur, emise par une application cliente sur un reseau de communication.
WO2005020538A2 (fr) Procede et systeme de double authentification d'un utilisateur lors de l'acces a un service
CN117795928A (zh) 用于优化网络中的计算资源和数据流的系统和方法
WO2008001021A1 (fr) Procede et dispositif de gestion de configuration d'equipements d'un reseau
EP4362391A1 (fr) Procédé de gestion d'accès d'un utilisateur à au moins une application, programme d'ordinateur et système associés

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20101230