【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及用于访问存储装置的方法、系统和计算机程序产品。
技术介绍
现代存储系统利用小计算机系统接口(SCSI)协议用于在诸如但不限于主机计算机和存储单元那样的设备之间传送数据。基于块的命令(诸如但不限于SCSI块命令)被使用来访问用于存储固定尺寸的数据块的基于块的存储单元。一个或多个数据块形成逻辑单元(LUN),而每个固定尺寸的数据块通过逻辑块地址被寻址。基于块的SCSI命令没有用于访问控制的内置机制。换句话说,基于块的SCSI命令协议不提供可以规定或强制对于位于某个逻辑块地址的给定的固定尺寸数据块的访问控制的机制。没有这样的访问控制机制在可以把多个主机连接到多个存储单元的存储域网(SAN)中导致了实际的限制。在现代的SAN中,单个(共享的)存储装置可以把多个客户端的数据存储在多个逻辑单元中,其中每个客户端应当访问由存储装置提供服务的逻辑单元的子集。许多现代SAN由光纤通道交换结构(Switched Fabric)实施。图1显示环境80,环境80包括多个计算机10-18、多个服务器30-34、交换结构40和多个存储装置50-56。计算机10-18经由网络20被连接到服务器30-34。网络20还经由防火墙22被连接到互联网26。服务器30-34中的每个服务器经由一个或多个主机总线适配器(HBA)被连接到交换结构40,而存储装置50-56经由一个或多个FC主机适配器(HA)被连接到交换结构交换机40。计算机10-18中的计算机可以把对于接收文件的请求发送到服-->务器30-34中的服务器。该服务器可以接收请求,和作为应答,生成对于接收被存储在存储装置5 ...
【技术保护点】
一种用于访问存储装置的方法,所述方法包括: 由存储装置接收基于块的存储访问命令和密码保护的访问控制信息;其中基于块的存储访问命令和密码保护的访问控制信息与至少一个固定尺寸的数据块和客户端相关联; 通过使用存储装置和安全实体可访问 的秘密密钥来处理密码保护的访问控制信息的至少一部分;以及 响应于处理的结果,选择性地执行基于块的存储访问命令。
【技术特征摘要】
【国外来华专利技术】US 2006-6-5 11/422,0961.一种用于访问存储装置的方法,所述方法包括:由存储装置接收基于块的存储访问命令和密码保护的访问控制信息;其中基于块的存储访问命令和密码保护的访问控制信息与至少一个固定尺寸的数据块和客户端相关联;通过使用存储装置和安全实体可访问的秘密密钥来处理密码保护的访问控制信息的至少一部分;以及响应于处理的结果,选择性地执行基于块的存储访问命令。2.按照权利要求1的方法,其中密码保护的访问控制信息与包括所述至少一个固定尺寸的数据块和附加的固定尺寸的数据块的逻辑单元的至少一部分相关联。3.按照权利要求1或2的方法,其中密码保护的访问控制信息包括能力信息和验证标记;其中处理步骤包括:通过使用验证标记和秘密密钥来至少认证能力信息。4.按照权利要求1、2或3的方法,还包括:通过使用第一链路来接收秘密密钥,而通过第二链路接收基于块的存储访问命令。5.按照权利要求1到4的任一项的方法,其中基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。6.按照权利要求1到5的任一项的方法,其中基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。7.一种用于访问存储装置的方法,所述方法包括:把对于接收与至少一个固定尺寸的数据块和客户端相关联的访问控制信息的请求发送到安全实体;接收访问控制信息和能力密钥;基于所接收的访问控制信息和能力密钥,生成密码保护的访问控制信息;以及提供与密码保护的访问控制信息相关联的基于块的存储访问命令。8.按照权利要求7的方法,其中发送步骤包括:利用第一链路,而提供步骤包括利用第二链路。9.按照权利要求7或8的方法,其中基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。10.按照权利要求7、8或9的方法,其中基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。11.一种计算机程序产品,包括计算机可使用媒体,所述计算机可使用媒体包括计算机可读程序,其中计算机可读程序在计算机上被执行时使得计算机进行:接收基于块的存储访问命令和密码保护的访问控制信息;其中基于块的存储访问命令和密码保护的访问控制信息与至少一个固定尺寸的数据块和客户端相关联;通过使用存储装置和安全实体可访问的秘密密钥来处理密码保护的访问控制信息的至少一部分;以及响应于处理的结果,选择性地执行基于块的存储访问命令。12.按照权利要求11的计算机程序产品,其中基于块的存储访问命令与至少一个固定尺寸的数据块相关联,以及其中密码保护的访问控制信息与包括所述至少一个固定尺寸的数据块和附加的固定尺寸的数据块的逻辑单元相关联。13.按照权利要求11或12的计算机程序产品,其中密码保护的访问控制信息包括能力信息和验证标记;其中计算机可读程序在计算机上被执行时使得计算机通过使用验证标记和秘密密钥来至少认证能力信息。14.按照权利要求11、12或13的任一项的计算机程序产品,其中计算机可读程序在计算机上被执行时使得计算机通过使用第一链路来接收秘密密钥,而通过第二链路来接收基于块的存储访问命令。15.按照权利要求11到14的任一项的计算机程序产品,其中基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。16.按照权利要求11到15的任一项的计算机程序产品,其中基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。17.一种计算机程序产品,包括计算机可使用媒体,所述计算机可使用媒体包括计算机可读程序,其中计算机可读程序在计算机上被执行时使得计算机进行:把对于接收与至少一个固定尺寸的数据块和客户端相关联的访问控制信息的请求发送到安全实体;接收访问控制信息和能力密钥;基于访问控制信息和能力密钥,生成密码保护的访问控制信息;以及提供与密码保护的访问控制信息相关...
【专利技术属性】
技术研发人员:M菲科特,D纳欧,M罗德赫,J萨特安,西旺塔尔,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。