JP2004030437A - データ管理装置及びデータ管理方法、コンピュータプログラム - Google Patents
データ管理装置及びデータ管理方法、コンピュータプログラム Download PDFInfo
- Publication number
- JP2004030437A JP2004030437A JP2002188387A JP2002188387A JP2004030437A JP 2004030437 A JP2004030437 A JP 2004030437A JP 2002188387 A JP2002188387 A JP 2002188387A JP 2002188387 A JP2002188387 A JP 2002188387A JP 2004030437 A JP2004030437 A JP 2004030437A
- Authority
- JP
- Japan
- Prior art keywords
- storage area
- access
- client terminal
- identification information
- vlan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】NAS装置を使用してファイルサーバを構成するシステムにおいて、共有ディレクトリの存在を該共有者であるクライアントに対してのみ開示することができるデータ管理装置を実現する。
【解決手段】NAS装置1において、クライアント端末3からのアクセス要求を受けると、当該アクセス要求に係るアクセス元識別情報に予め関連付けられている記憶領域へのアクセスのみを許可する制御手段を備える。
【選択図】 図1
【解決手段】NAS装置1において、クライアント端末3からのアクセス要求を受けると、当該アクセス要求に係るアクセス元識別情報に予め関連付けられている記憶領域へのアクセスのみを許可する制御手段を備える。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、データ管理装置及びデータ管理方法、並びにそのデータ管理装置をコンピュータを利用して実現するためのコンピュータプログラムに関する。
【0002】
【従来の技術】
従来、NAS(Network Attached Storage)装置は簡単にファイルサーバ機能を実現し、複数のクライアント間でファイルを共有するために利用されている。NAS装置はハードディスク装置などの記憶装置を備え、該記憶領域を複数に論理的に分割して管理し、各記憶領域に対応する共有ディレクトリを設け、共有ディレクトリ内に共有ファイルを格納する。そして、ユーザアカウント(ユーザID)による識別やパスワードによる認証によって正当なクライアントであるか否かを判定し、正当なクライアントに対してのみ該当する共有ディレクトリへのアクセスを許可する。これにより、共有ディレクトリに対する不正アクセスを防止して共有ファイルの安全性を高めている。
【0003】
【発明が解決しようとする課題】
しかしながら、従来のNAS装置では共有ファイルへの直接的な不正アクセスを防ぐことは可能であるが、共有ファイルが格納されている共有ディレクトリの存在は不特定のクライアントに分かってしまうという問題がある。例えば、NAS装置からなるファイルサーバによってデータ保管サービスを提供するデータセンタシステムにおいては、複数の企業が同一のファイルサーバに接続し、各企業が自己の共有ディレクトリにアクセスする。このような場合、ある企業(A社)の共有ディレクトリの存在がA社以外の企業に知れることとなり、A社が不利益を被る虞が生じる。
【0004】
本発明は、このような事情を考慮してなされたもので、その目的は、NAS装置を使用してファイルサーバを構成するシステムにおいて、共有ディレクトリの存在を該共有者であるクライアントに対してのみ開示することができるデータ管理装置及びデータ管理方法を提供することにある。
【0005】
また、本発明は、そのデータ管理装置をコンピュータを利用して実現するためのコンピュータプログラムを提供することも目的とする。
【0006】
【課題を解決するための手段】
上記の課題を解決するために、請求項1に記載のデータ管理装置は、複数の記憶領域に格納するデータを管理し、クライアント端末からのアクセス要求に応じて該当する前記記憶領域へデータを読み書きするシステムにおけるデータ管理装置であって、アクセス元識別情報と該アクセス元に割り当てられた前記記憶領域との関連付けが設定された記憶領域割当テーブルと、前記アクセス要求を受けると、前記記憶領域割当テーブルを参照し、当該アクセス要求に係るアクセス元識別情報に関連付けられている前記記憶領域へのアクセスのみを許可する制御手段と、を備えたことを特徴としている。
この発明によれば、クライアント端末からアクセス要求を受けた場合に、予め割り当てられている記憶領域へのアクセスのみを許可するので、未割当の記憶領域内のデータが参照されることを防ぐことができる。これにより、NAS装置を使用してファイルサーバを構成するシステムにおいて、共有ディレクトリの存在を該共有者であるクライアントに対してのみ開示することが可能となる。
【0007】
請求項2に記載のデータ管理装置においては、前記アクセス元識別情報は、特定の前記記憶領域を共有して使用するクライアント端末が接続されている通信ネットワークのネットワーク識別情報であることを特徴とする。
この発明によれば、共有者であるクライアントの端末が属する通信ネットワーク単位に記憶領域の割当管理を行うことができるので、該割当管理が容易となる。
【0008】
請求項3に記載のデータ管理装置においては、前記アクセス元識別情報は、クライアント端末の識別情報であることを特徴とする。
この発明によれば、クライアント端末単位に記憶領域の割当管理を行うことができるので、記憶領域の割当を柔軟に行うことが可能となる。
【0009】
上記の課題を解決するために、請求項4に記載のデータ管理方法は、複数の記憶領域に格納するデータを管理し、クライアント端末からのアクセス要求に応じて該当する前記記憶領域へデータを読み書きするシステムにおけるデータ管理方法であって、前記アクセス要求を受けると、当該アクセス要求に係るアクセス元識別情報に予め関連付けられている前記記憶領域へのアクセスのみを許可することを特徴としている。
【0010】
上記の課題を解決するために、請求項5に記載のコンピュータプログラムは、複数の記憶領域に格納するデータを管理し、クライアント端末からのアクセス要求に応じて該当する前記記憶領域へデータを読み書きするシステムにおけるデータ管理処理を行うためのコンピュータプログラムであって、前記アクセス要求を受けると、当該アクセス要求に係るアクセス元識別情報に予め関連付けられている前記記憶領域へのアクセスのみを許可する処理をコンピュータに実行させることを特徴としている。
これにより、前述のデータ管理装置がコンピュータを利用して実現できるようになる。
【0011】
【発明の実施の形態】
以下、図面を参照し、本発明の一実施形態について説明する。
図1は、本発明の一実施形態によるデータ管理装置を適用したNAS(Network Attached Storage)装置1を備えたデータセンタシステムの構成例を示すブロック図である。この図1のシステムは、NAS装置1とスイッチングハブ装置(SW−HUB)2とクライアント端末3と通信ネットワーク4,5a〜5cから構成される。通信ネットワーク4,5a〜5cは、IP(Internet Protocol)パケットの転送を行うIP網である。
【0012】
図1のシステムにおいて、NAS装置1は通信ネットワーク4に接続されている。このNAS装置1は、自装置が有する記憶領域を複数に論理的に分割して管理し、各記憶領域に対応する共有ディレクトリを設け、共有ディレクトリ内に共有ファイルを格納し、複数のクライアント間でファイルを共有するためのファイルサーバとして機能する。
【0013】
スイッチングハブ装置2は複数のポートを有しており、これらポートにより通信ネットワーク4,5a〜5cに接続している。これにより通常は、通信ネットワーク4,5a〜5cは一つのLAN(ローカルエリアネットワーク)を構成することとなる。ただし、スイッチングハブ装置2はVLAN(仮想ローカルエリアネットワーク)を実現するVLAN機能を有しており、この機能によって通信ネットワーク5a〜5cをそれぞれVLANとしている。したがって、図1のシステムにおいては、通信ネットワーク4,5a〜5cからなる一つのLANが見かけ上4つのLANに分割され、通信ネットワーク4,5a〜5cがそれぞれ一つのLANに対応する。以下、通信ネットワーク4をLAN4と称し、通信ネットワーク5a,5b,5cをVLAN5a,5b,5cと称する。
【0014】
スイッチングハブ装置2は、LAN4,VLAN5a〜5cの各ネットワーク上を流れるパケットを宛先アドレスに基づいて該当するネットワークへ転送する。これにより、VLAN5a〜5cに対しては各々のネットワーク内の宛先アドレスを有するパケットのみが転送される。したがって、VLAN5a〜5cには不要なパケットが流入しない。例えばVLAN5cに接続されるクライアント端末3宛てのパケットがVLAN5aへ流入することはない。これにより、VLAN5a〜5cの通信帯域を効率よく使用することができる。
【0015】
また、スイッチングハブ装置2は、「VLAN Trunking機能」を有する。この機能により、LAN4へは、VLAN5a〜5c上を流れる全てのパケットが転送される。そして、スイッチングハブ装置2は、LAN4へ転送する際に、パケット内の所定位置に転送元のVLANのネットワーク識別情報(VLAN_ID)を付加する。例えば、VLAN5a上を流れるパケットについては、VLAN5aのVLAN_IDである「VLAN−A」を付加してLAN4へ転送する。同様に、VLAN5b上を流れるパケットにはVLAN5bのVLAN_IDである「VLAN−B」を、VLAN5c上を流れるパケットにはVLAN5cのVLAN_IDである「VLAN−C」を、それぞれ付加してLAN4へ転送する。各VLAN5a〜5cのVLAN_IDはスイッチングハブ装置2に予め設定されている。
これにより、NAS装置1には、VLAN5a〜5c上を流れる全てのパケットが到着する。
なお、上記VLANについての仕様はIEEE802.1q規格に準拠している。
【0016】
VLAN5a〜5cには、それぞれにNAS装置1の特定の記憶領域を共有して使用するクライアント端末3が接続されている。例えば、VLAN5aにはA社のクライアント端末3が接続され、これらクライアント端末3によりNAS装置1のA社用記憶領域が共有して使用される。同様に、VLAN5bにはB社のクライアント端末3が接続され、これらクライアント端末3によりNAS装置1のB社用記憶領域が共有して使用される。また、VLAN5cにはC社のクライアント端末3が接続され、これらクライアント端末3によりNAS装置1のC社用記憶領域が共有して使用される。
【0017】
図2は図1に示すNAS装置1の構成を示すブロック図である。この図2のNAS装置1において、通信部11はLAN4に接続してLAN4上を流れるパケットを受信し、またLAN4へパケットを送信する。データアクセス部12は受信したパケットに格納されるクライアント端末3からのアクセス要求に応じて、ハードディスク装置14の記憶領域へのデータの読み書きをディスク入出力部13に指示する。また、パケットにより該アクセス要求の返答を行う。
【0018】
ディスク入出力部13は、データアクセス部12や制御部15からの指示に従ってハードディスク装置14へアクセスしてデータを読み書きする。制御部15(制御手段)は、クライアント端末3からのアクセス要求に対して該当する記憶領域へのアクセスを制御する。データアクセス部12はこの制御部15のアクセス制御に従って動作する。また、制御部15は、ディスク入出力部13によりハードディスク装置14の記憶領域へのデータの読み書きを行う。
【0019】
図3にハードディスク装置14の記憶領域の構成例を示す。図3に示すように、ハードディスク装置14の記憶領域は論理的に複数の記憶領域(Volume−A,B,C,…,M,…)に分割して管理されている。各記憶領域には対応する共有ディレクトリが設けられ、共有ディレクトリ内に共有ファイルが格納される。例えば、Volume−AはVLAN5a(例えばA社)用の記憶領域に割り当てられてA社の共有ディレクトリが準備される。同様に、Volume−BはVLAN5b(例えばB社)用の記憶領域に割り当てられてB社の共有ディレクトリが準備され、Volume−CはVLAN5c(例えばC社)用の記憶領域に割り当てられてC社の共有ディレクトリが準備される。また、一つの記憶領域が複数のVLAN用に割り当てられることもある。例えば、Volume−AがVLAN5a(例えばA社の営業部門)用とVLAN5c(例えばA社の製造部門)用とに割り当てられ、共通の共有ディレクトリが準備される。
【0020】
また、NAS装置1の管理者用の記憶領域も準備される。例えばVolume−Mが管理者用記憶領域に割り当てられる。管理者用記憶領域には、ユーザIDやパスワード等の利用者情報、記憶領域割当テーブルなどが格納される。
【0021】
図4に記憶領域割当テーブルの構成例を示す。図4に示すように、記憶領域割当テーブルには、VLAN_IDとこのVLANに割り当てられた記憶領域との関連付けが設定される。例えば、VLAN_ID(VLAN−A)のVLAN5aにはVolume−Aが割り当てられており、VLAN5aに接続されているクライアント端末3に対してVolume−Aのアクセス権が付与されることになる。また、VLAN_ID(VLAN−B)のVLAN5bにはVolume−Bが割り当てられており、VLAN5bに接続されているクライアント端末3に対してVolume−Bのアクセス権が付与されることになる。また、VLAN_ID(VLAN−C)のVLAN5cにはVolume−AとVolume−Cが割り当てられており、VLAN5cに接続されているクライアント端末3に対してはVolume−AとVolume−Cの双方のアクセス権が付与されることになる。
【0022】
制御部15は、管理者用のユーザIDとパスワードによる識別及び認証を行い、これらの正常終了によって管理者用記憶領域へのアクセスを許可する。これにより、管理者用端末から記憶領域割当テーブルの設定や利用者情報の登録を行うことができる。
【0023】
次に、図5、図6を参照して、図1のデータセンタシステムにおいてクライアント端末3から共有ディレクトリへアクセスする際の各装置の動作を説明する。図5は、クライアント端末3から共有ディレクトリへアクセスする際の処理全体の流れを示すシーケンスチャートである。図6は、図2に示す制御部15が行うデータ管理処理の流れを示すフローチャートである。
【0024】
初めに、NAS装置1の記憶領域割当テーブルには、例えば図4に示すように、VLAN_IDとこのVLANに割り当てられた記憶領域との関連付けが予め設定される。図5において、先ず、クライアント端末3が共有ディレクトリの問い合せのためにパケットをNAS装置1へ送信する(ステップS1)。このパケットにはユーザIDとパスワードが格納される。SW−HUB2は該パケットを受信すると、転送元のVLANのVLAN_IDを受信パケットに付加してLAN4へ転送する(ステップS2)。
【0025】
次いで、NAS装置1の通信部11は該パケットを受信すると、データアクセス部12へ受信パケットを出力し、データアクセス部12はこの受信パケットによりクライアント端末3からの共有ディレクトリの問い合せである旨を認識する。そして、制御部15へ該受信パケットを出力し、制御部15が図6の記憶領域(Volume)選択処理を開始する(ステップS3)。
【0026】
図6において、制御部15は、受信パケットからVLAN_IDを抽出する(ステップS11)。次いで、制御部15は、記憶領域割当テーブルを参照し、抽出したVLAN_IDに割り当てられている記憶領域があるか否かを判断する(ステップS12、S13)。この結果、割り当てられている記憶領域がある場合に、受信パケットに格納されているユーザIDとパスワードによりユーザ認証を行う(ステップS14)。この結果、認証良ならばデータアクセス部12に対して該割当記憶領域(割当Volume)へのアクセスのみを許可する(ステップS16)。
【0027】
一方、割り当てられている記憶領域がない場合や認証不良の場合には、全記憶領域へのアクセスを非許可とする(ステップS17)。これにより図6の処理が終了する。
【0028】
次いで、図5のステップS4では、データアクセス部12は、アクセスが許可された割当記憶領域内のディレクトリ情報を読み出して問い合せ元のクライアント端末3へパケットにより送信する。このパケットはSW−HUB2によりLAN4から転送先のVLANへ転送される。問い合せ元のクライアント端末3は、このパケットを受信すると、該受信パケットに格納されているディレクトリ情報により共有ディレクトリの内容を表示する(ステップS5)。なお、データアクセス部12は、ステップS3の結果、アクセスが非許可の場合にはその旨を問い合せ元のクライアント端末3へパケットにより通知する。
【0029】
上述したように本実施形態によれば、クライアント端末からアクセス要求を受けると、当該アクセス要求に係るアクセス元識別情報(VLAN_ID)に予め関連付けられている記憶領域へのアクセスのみを許可するので、当該クライアント端末により未割当の記憶領域内のデータが参照されることを防ぐことができる。これにより、NAS装置を使用してファイルサーバを構成するシステムにおいて、共有ディレクトリの存在を該共有者であるクライアントに対してのみ開示することが可能となり、不特定のクライアントに共有ディレクトリの存在が認識されてしまう問題を解消することができる。
【0030】
また、アクセス元識別情報として、特定の記憶領域を共有して使用するクライアント端末が接続されている通信ネットワーク(VLAN)のネットワーク識別情報(VLAN_ID)を使用するので、共有者であるクライアントの端末が属する通信ネットワーク単位に記憶領域の割当管理を行うことが可能となり、該割当管理が容易となる。
【0031】
なお、上述した実施形態では、アクセス元識別情報としてVLAN_IDを使用したが、これに限定されない。例えば、クライアント端末の識別情報の一つであるIPアドレスを使用してもよい。この場合、NAS装置1の制御部15は、受信パケットの送信元IPアドレスをアクセス要求に係るアクセス元識別情報として取得する。また、NAS装置1の記憶領域割当テーブルには、クライアント端末のIPアドレスとこのクライアント端末に割り当てられた記憶領域との関連付けを設定する。このようにすれば、クライアント端末単位に記憶領域の割当管理を行うことができるので、記憶領域の割当を柔軟に行うことが可能となる。
【0032】
また、図5または図6に示す各ステップを実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりデータ管理処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
【0033】
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0034】
以上、本発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【0035】
【発明の効果】
以上説明したように、本発明によれば、クライアント端末からアクセス要求を受けた場合に、予め割り当てられている記憶領域へのアクセスのみを許可するので、未割当の記憶領域内のデータが参照されることを防ぐことができる。これにより、NAS装置を使用してファイルサーバを構成するシステムにおいて、共有ディレクトリの存在を該共有者であるクライアントに対してのみ開示することが可能となり、不特定のクライアントに共有ディレクトリの存在が認識されてしまう問題を解消することができる。
【0036】
また、請求項2に記載の発明によれば、共有者であるクライアントの端末が属する通信ネットワーク単位に記憶領域の割当管理を行うことができるので、該割当管理が容易となる。
【0037】
また、請求項3に記載の発明によれば、クライアント端末単位に記憶領域の割当管理を行うことができるので、記憶領域の割当を柔軟に行うことが可能となる。
【図面の簡単な説明】
【図1】本発明の一実施形態によるデータ管理装置を適用したNAS装置1を備えたデータセンタシステムの構成例を示すブロック図である。
【図2】図1に示すNAS装置1の構成を示すブロック図である。
【図3】図2に示すハードディスク装置14の記憶領域の構成例を示す図である。
【図4】記憶領域割当テーブルの構成例を示す図である。
【図5】クライアント端末3から共有ディレクトリへアクセスする際の処理全体の流れを示すシーケンスチャートである。
【図6】図2に示す制御部15が行うデータ管理処理の流れを示すフローチャートである。
【符号の説明】
1…NAS装置、2…スイッチングハブ装置(SW−HUB)、3…クライアント端末、4…通信ネットワーク(LAN)、5a〜5c…通信ネットワーク(VLAN)、11…通信部、12…データアクセス部、13…ディスク入出力部、14…ハードディスク装置、15…制御部
【発明の属する技術分野】
本発明は、データ管理装置及びデータ管理方法、並びにそのデータ管理装置をコンピュータを利用して実現するためのコンピュータプログラムに関する。
【0002】
【従来の技術】
従来、NAS(Network Attached Storage)装置は簡単にファイルサーバ機能を実現し、複数のクライアント間でファイルを共有するために利用されている。NAS装置はハードディスク装置などの記憶装置を備え、該記憶領域を複数に論理的に分割して管理し、各記憶領域に対応する共有ディレクトリを設け、共有ディレクトリ内に共有ファイルを格納する。そして、ユーザアカウント(ユーザID)による識別やパスワードによる認証によって正当なクライアントであるか否かを判定し、正当なクライアントに対してのみ該当する共有ディレクトリへのアクセスを許可する。これにより、共有ディレクトリに対する不正アクセスを防止して共有ファイルの安全性を高めている。
【0003】
【発明が解決しようとする課題】
しかしながら、従来のNAS装置では共有ファイルへの直接的な不正アクセスを防ぐことは可能であるが、共有ファイルが格納されている共有ディレクトリの存在は不特定のクライアントに分かってしまうという問題がある。例えば、NAS装置からなるファイルサーバによってデータ保管サービスを提供するデータセンタシステムにおいては、複数の企業が同一のファイルサーバに接続し、各企業が自己の共有ディレクトリにアクセスする。このような場合、ある企業(A社)の共有ディレクトリの存在がA社以外の企業に知れることとなり、A社が不利益を被る虞が生じる。
【0004】
本発明は、このような事情を考慮してなされたもので、その目的は、NAS装置を使用してファイルサーバを構成するシステムにおいて、共有ディレクトリの存在を該共有者であるクライアントに対してのみ開示することができるデータ管理装置及びデータ管理方法を提供することにある。
【0005】
また、本発明は、そのデータ管理装置をコンピュータを利用して実現するためのコンピュータプログラムを提供することも目的とする。
【0006】
【課題を解決するための手段】
上記の課題を解決するために、請求項1に記載のデータ管理装置は、複数の記憶領域に格納するデータを管理し、クライアント端末からのアクセス要求に応じて該当する前記記憶領域へデータを読み書きするシステムにおけるデータ管理装置であって、アクセス元識別情報と該アクセス元に割り当てられた前記記憶領域との関連付けが設定された記憶領域割当テーブルと、前記アクセス要求を受けると、前記記憶領域割当テーブルを参照し、当該アクセス要求に係るアクセス元識別情報に関連付けられている前記記憶領域へのアクセスのみを許可する制御手段と、を備えたことを特徴としている。
この発明によれば、クライアント端末からアクセス要求を受けた場合に、予め割り当てられている記憶領域へのアクセスのみを許可するので、未割当の記憶領域内のデータが参照されることを防ぐことができる。これにより、NAS装置を使用してファイルサーバを構成するシステムにおいて、共有ディレクトリの存在を該共有者であるクライアントに対してのみ開示することが可能となる。
【0007】
請求項2に記載のデータ管理装置においては、前記アクセス元識別情報は、特定の前記記憶領域を共有して使用するクライアント端末が接続されている通信ネットワークのネットワーク識別情報であることを特徴とする。
この発明によれば、共有者であるクライアントの端末が属する通信ネットワーク単位に記憶領域の割当管理を行うことができるので、該割当管理が容易となる。
【0008】
請求項3に記載のデータ管理装置においては、前記アクセス元識別情報は、クライアント端末の識別情報であることを特徴とする。
この発明によれば、クライアント端末単位に記憶領域の割当管理を行うことができるので、記憶領域の割当を柔軟に行うことが可能となる。
【0009】
上記の課題を解決するために、請求項4に記載のデータ管理方法は、複数の記憶領域に格納するデータを管理し、クライアント端末からのアクセス要求に応じて該当する前記記憶領域へデータを読み書きするシステムにおけるデータ管理方法であって、前記アクセス要求を受けると、当該アクセス要求に係るアクセス元識別情報に予め関連付けられている前記記憶領域へのアクセスのみを許可することを特徴としている。
【0010】
上記の課題を解決するために、請求項5に記載のコンピュータプログラムは、複数の記憶領域に格納するデータを管理し、クライアント端末からのアクセス要求に応じて該当する前記記憶領域へデータを読み書きするシステムにおけるデータ管理処理を行うためのコンピュータプログラムであって、前記アクセス要求を受けると、当該アクセス要求に係るアクセス元識別情報に予め関連付けられている前記記憶領域へのアクセスのみを許可する処理をコンピュータに実行させることを特徴としている。
これにより、前述のデータ管理装置がコンピュータを利用して実現できるようになる。
【0011】
【発明の実施の形態】
以下、図面を参照し、本発明の一実施形態について説明する。
図1は、本発明の一実施形態によるデータ管理装置を適用したNAS(Network Attached Storage)装置1を備えたデータセンタシステムの構成例を示すブロック図である。この図1のシステムは、NAS装置1とスイッチングハブ装置(SW−HUB)2とクライアント端末3と通信ネットワーク4,5a〜5cから構成される。通信ネットワーク4,5a〜5cは、IP(Internet Protocol)パケットの転送を行うIP網である。
【0012】
図1のシステムにおいて、NAS装置1は通信ネットワーク4に接続されている。このNAS装置1は、自装置が有する記憶領域を複数に論理的に分割して管理し、各記憶領域に対応する共有ディレクトリを設け、共有ディレクトリ内に共有ファイルを格納し、複数のクライアント間でファイルを共有するためのファイルサーバとして機能する。
【0013】
スイッチングハブ装置2は複数のポートを有しており、これらポートにより通信ネットワーク4,5a〜5cに接続している。これにより通常は、通信ネットワーク4,5a〜5cは一つのLAN(ローカルエリアネットワーク)を構成することとなる。ただし、スイッチングハブ装置2はVLAN(仮想ローカルエリアネットワーク)を実現するVLAN機能を有しており、この機能によって通信ネットワーク5a〜5cをそれぞれVLANとしている。したがって、図1のシステムにおいては、通信ネットワーク4,5a〜5cからなる一つのLANが見かけ上4つのLANに分割され、通信ネットワーク4,5a〜5cがそれぞれ一つのLANに対応する。以下、通信ネットワーク4をLAN4と称し、通信ネットワーク5a,5b,5cをVLAN5a,5b,5cと称する。
【0014】
スイッチングハブ装置2は、LAN4,VLAN5a〜5cの各ネットワーク上を流れるパケットを宛先アドレスに基づいて該当するネットワークへ転送する。これにより、VLAN5a〜5cに対しては各々のネットワーク内の宛先アドレスを有するパケットのみが転送される。したがって、VLAN5a〜5cには不要なパケットが流入しない。例えばVLAN5cに接続されるクライアント端末3宛てのパケットがVLAN5aへ流入することはない。これにより、VLAN5a〜5cの通信帯域を効率よく使用することができる。
【0015】
また、スイッチングハブ装置2は、「VLAN Trunking機能」を有する。この機能により、LAN4へは、VLAN5a〜5c上を流れる全てのパケットが転送される。そして、スイッチングハブ装置2は、LAN4へ転送する際に、パケット内の所定位置に転送元のVLANのネットワーク識別情報(VLAN_ID)を付加する。例えば、VLAN5a上を流れるパケットについては、VLAN5aのVLAN_IDである「VLAN−A」を付加してLAN4へ転送する。同様に、VLAN5b上を流れるパケットにはVLAN5bのVLAN_IDである「VLAN−B」を、VLAN5c上を流れるパケットにはVLAN5cのVLAN_IDである「VLAN−C」を、それぞれ付加してLAN4へ転送する。各VLAN5a〜5cのVLAN_IDはスイッチングハブ装置2に予め設定されている。
これにより、NAS装置1には、VLAN5a〜5c上を流れる全てのパケットが到着する。
なお、上記VLANについての仕様はIEEE802.1q規格に準拠している。
【0016】
VLAN5a〜5cには、それぞれにNAS装置1の特定の記憶領域を共有して使用するクライアント端末3が接続されている。例えば、VLAN5aにはA社のクライアント端末3が接続され、これらクライアント端末3によりNAS装置1のA社用記憶領域が共有して使用される。同様に、VLAN5bにはB社のクライアント端末3が接続され、これらクライアント端末3によりNAS装置1のB社用記憶領域が共有して使用される。また、VLAN5cにはC社のクライアント端末3が接続され、これらクライアント端末3によりNAS装置1のC社用記憶領域が共有して使用される。
【0017】
図2は図1に示すNAS装置1の構成を示すブロック図である。この図2のNAS装置1において、通信部11はLAN4に接続してLAN4上を流れるパケットを受信し、またLAN4へパケットを送信する。データアクセス部12は受信したパケットに格納されるクライアント端末3からのアクセス要求に応じて、ハードディスク装置14の記憶領域へのデータの読み書きをディスク入出力部13に指示する。また、パケットにより該アクセス要求の返答を行う。
【0018】
ディスク入出力部13は、データアクセス部12や制御部15からの指示に従ってハードディスク装置14へアクセスしてデータを読み書きする。制御部15(制御手段)は、クライアント端末3からのアクセス要求に対して該当する記憶領域へのアクセスを制御する。データアクセス部12はこの制御部15のアクセス制御に従って動作する。また、制御部15は、ディスク入出力部13によりハードディスク装置14の記憶領域へのデータの読み書きを行う。
【0019】
図3にハードディスク装置14の記憶領域の構成例を示す。図3に示すように、ハードディスク装置14の記憶領域は論理的に複数の記憶領域(Volume−A,B,C,…,M,…)に分割して管理されている。各記憶領域には対応する共有ディレクトリが設けられ、共有ディレクトリ内に共有ファイルが格納される。例えば、Volume−AはVLAN5a(例えばA社)用の記憶領域に割り当てられてA社の共有ディレクトリが準備される。同様に、Volume−BはVLAN5b(例えばB社)用の記憶領域に割り当てられてB社の共有ディレクトリが準備され、Volume−CはVLAN5c(例えばC社)用の記憶領域に割り当てられてC社の共有ディレクトリが準備される。また、一つの記憶領域が複数のVLAN用に割り当てられることもある。例えば、Volume−AがVLAN5a(例えばA社の営業部門)用とVLAN5c(例えばA社の製造部門)用とに割り当てられ、共通の共有ディレクトリが準備される。
【0020】
また、NAS装置1の管理者用の記憶領域も準備される。例えばVolume−Mが管理者用記憶領域に割り当てられる。管理者用記憶領域には、ユーザIDやパスワード等の利用者情報、記憶領域割当テーブルなどが格納される。
【0021】
図4に記憶領域割当テーブルの構成例を示す。図4に示すように、記憶領域割当テーブルには、VLAN_IDとこのVLANに割り当てられた記憶領域との関連付けが設定される。例えば、VLAN_ID(VLAN−A)のVLAN5aにはVolume−Aが割り当てられており、VLAN5aに接続されているクライアント端末3に対してVolume−Aのアクセス権が付与されることになる。また、VLAN_ID(VLAN−B)のVLAN5bにはVolume−Bが割り当てられており、VLAN5bに接続されているクライアント端末3に対してVolume−Bのアクセス権が付与されることになる。また、VLAN_ID(VLAN−C)のVLAN5cにはVolume−AとVolume−Cが割り当てられており、VLAN5cに接続されているクライアント端末3に対してはVolume−AとVolume−Cの双方のアクセス権が付与されることになる。
【0022】
制御部15は、管理者用のユーザIDとパスワードによる識別及び認証を行い、これらの正常終了によって管理者用記憶領域へのアクセスを許可する。これにより、管理者用端末から記憶領域割当テーブルの設定や利用者情報の登録を行うことができる。
【0023】
次に、図5、図6を参照して、図1のデータセンタシステムにおいてクライアント端末3から共有ディレクトリへアクセスする際の各装置の動作を説明する。図5は、クライアント端末3から共有ディレクトリへアクセスする際の処理全体の流れを示すシーケンスチャートである。図6は、図2に示す制御部15が行うデータ管理処理の流れを示すフローチャートである。
【0024】
初めに、NAS装置1の記憶領域割当テーブルには、例えば図4に示すように、VLAN_IDとこのVLANに割り当てられた記憶領域との関連付けが予め設定される。図5において、先ず、クライアント端末3が共有ディレクトリの問い合せのためにパケットをNAS装置1へ送信する(ステップS1)。このパケットにはユーザIDとパスワードが格納される。SW−HUB2は該パケットを受信すると、転送元のVLANのVLAN_IDを受信パケットに付加してLAN4へ転送する(ステップS2)。
【0025】
次いで、NAS装置1の通信部11は該パケットを受信すると、データアクセス部12へ受信パケットを出力し、データアクセス部12はこの受信パケットによりクライアント端末3からの共有ディレクトリの問い合せである旨を認識する。そして、制御部15へ該受信パケットを出力し、制御部15が図6の記憶領域(Volume)選択処理を開始する(ステップS3)。
【0026】
図6において、制御部15は、受信パケットからVLAN_IDを抽出する(ステップS11)。次いで、制御部15は、記憶領域割当テーブルを参照し、抽出したVLAN_IDに割り当てられている記憶領域があるか否かを判断する(ステップS12、S13)。この結果、割り当てられている記憶領域がある場合に、受信パケットに格納されているユーザIDとパスワードによりユーザ認証を行う(ステップS14)。この結果、認証良ならばデータアクセス部12に対して該割当記憶領域(割当Volume)へのアクセスのみを許可する(ステップS16)。
【0027】
一方、割り当てられている記憶領域がない場合や認証不良の場合には、全記憶領域へのアクセスを非許可とする(ステップS17)。これにより図6の処理が終了する。
【0028】
次いで、図5のステップS4では、データアクセス部12は、アクセスが許可された割当記憶領域内のディレクトリ情報を読み出して問い合せ元のクライアント端末3へパケットにより送信する。このパケットはSW−HUB2によりLAN4から転送先のVLANへ転送される。問い合せ元のクライアント端末3は、このパケットを受信すると、該受信パケットに格納されているディレクトリ情報により共有ディレクトリの内容を表示する(ステップS5)。なお、データアクセス部12は、ステップS3の結果、アクセスが非許可の場合にはその旨を問い合せ元のクライアント端末3へパケットにより通知する。
【0029】
上述したように本実施形態によれば、クライアント端末からアクセス要求を受けると、当該アクセス要求に係るアクセス元識別情報(VLAN_ID)に予め関連付けられている記憶領域へのアクセスのみを許可するので、当該クライアント端末により未割当の記憶領域内のデータが参照されることを防ぐことができる。これにより、NAS装置を使用してファイルサーバを構成するシステムにおいて、共有ディレクトリの存在を該共有者であるクライアントに対してのみ開示することが可能となり、不特定のクライアントに共有ディレクトリの存在が認識されてしまう問題を解消することができる。
【0030】
また、アクセス元識別情報として、特定の記憶領域を共有して使用するクライアント端末が接続されている通信ネットワーク(VLAN)のネットワーク識別情報(VLAN_ID)を使用するので、共有者であるクライアントの端末が属する通信ネットワーク単位に記憶領域の割当管理を行うことが可能となり、該割当管理が容易となる。
【0031】
なお、上述した実施形態では、アクセス元識別情報としてVLAN_IDを使用したが、これに限定されない。例えば、クライアント端末の識別情報の一つであるIPアドレスを使用してもよい。この場合、NAS装置1の制御部15は、受信パケットの送信元IPアドレスをアクセス要求に係るアクセス元識別情報として取得する。また、NAS装置1の記憶領域割当テーブルには、クライアント端末のIPアドレスとこのクライアント端末に割り当てられた記憶領域との関連付けを設定する。このようにすれば、クライアント端末単位に記憶領域の割当管理を行うことができるので、記憶領域の割当を柔軟に行うことが可能となる。
【0032】
また、図5または図6に示す各ステップを実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりデータ管理処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
【0033】
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0034】
以上、本発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【0035】
【発明の効果】
以上説明したように、本発明によれば、クライアント端末からアクセス要求を受けた場合に、予め割り当てられている記憶領域へのアクセスのみを許可するので、未割当の記憶領域内のデータが参照されることを防ぐことができる。これにより、NAS装置を使用してファイルサーバを構成するシステムにおいて、共有ディレクトリの存在を該共有者であるクライアントに対してのみ開示することが可能となり、不特定のクライアントに共有ディレクトリの存在が認識されてしまう問題を解消することができる。
【0036】
また、請求項2に記載の発明によれば、共有者であるクライアントの端末が属する通信ネットワーク単位に記憶領域の割当管理を行うことができるので、該割当管理が容易となる。
【0037】
また、請求項3に記載の発明によれば、クライアント端末単位に記憶領域の割当管理を行うことができるので、記憶領域の割当を柔軟に行うことが可能となる。
【図面の簡単な説明】
【図1】本発明の一実施形態によるデータ管理装置を適用したNAS装置1を備えたデータセンタシステムの構成例を示すブロック図である。
【図2】図1に示すNAS装置1の構成を示すブロック図である。
【図3】図2に示すハードディスク装置14の記憶領域の構成例を示す図である。
【図4】記憶領域割当テーブルの構成例を示す図である。
【図5】クライアント端末3から共有ディレクトリへアクセスする際の処理全体の流れを示すシーケンスチャートである。
【図6】図2に示す制御部15が行うデータ管理処理の流れを示すフローチャートである。
【符号の説明】
1…NAS装置、2…スイッチングハブ装置(SW−HUB)、3…クライアント端末、4…通信ネットワーク(LAN)、5a〜5c…通信ネットワーク(VLAN)、11…通信部、12…データアクセス部、13…ディスク入出力部、14…ハードディスク装置、15…制御部
Claims (5)
- 複数の記憶領域に格納するデータを管理し、クライアント端末からのアクセス要求に応じて該当する前記記憶領域へデータを読み書きするシステムにおけるデータ管理装置であって、
アクセス元識別情報と該アクセス元に割り当てられた前記記憶領域との関連付けが設定された記憶領域割当テーブルと、
前記アクセス要求を受けると、前記記憶領域割当テーブルを参照し、当該アクセス要求に係るアクセス元識別情報に関連付けられている前記記憶領域へのアクセスのみを許可する制御手段と、
を備えたことを特徴とするデータ管理装置。 - 前記アクセス元識別情報は、特定の前記記憶領域を共有して使用するクライアント端末が接続されている通信ネットワークのネットワーク識別情報である
ことを特徴とする請求項1に記載のデータ管理装置。 - 前記アクセス元識別情報は、クライアント端末の識別情報である
ことを特徴とする請求項1に記載のデータ管理装置。 - 複数の記憶領域に格納するデータを管理し、クライアント端末からのアクセス要求に応じて該当する前記記憶領域へデータを読み書きするシステムにおけるデータ管理方法であって、
前記アクセス要求を受けると、当該アクセス要求に係るアクセス元識別情報に予め関連付けられている前記記憶領域へのアクセスのみを許可することを特徴とするデータ管理方法。 - 複数の記憶領域に格納するデータを管理し、クライアント端末からのアクセス要求に応じて該当する前記記憶領域へデータを読み書きするシステムにおけるデータ管理処理を行うためのコンピュータプログラムであって、前記アクセス要求を受けると、当該アクセス要求に係るアクセス元識別情報に予め関連付けられている前記記憶領域へのアクセスのみを許可する処理をコンピュータに実行させることを特徴とするコンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002188387A JP2004030437A (ja) | 2002-06-27 | 2002-06-27 | データ管理装置及びデータ管理方法、コンピュータプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002188387A JP2004030437A (ja) | 2002-06-27 | 2002-06-27 | データ管理装置及びデータ管理方法、コンピュータプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004030437A true JP2004030437A (ja) | 2004-01-29 |
Family
ID=31183154
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002188387A Pending JP2004030437A (ja) | 2002-06-27 | 2002-06-27 | データ管理装置及びデータ管理方法、コンピュータプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004030437A (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005267530A (ja) * | 2004-03-22 | 2005-09-29 | Nec System Technologies Ltd | Nasディスクアレイ装置 |
JP2005309895A (ja) * | 2004-04-23 | 2005-11-04 | Fuji Xerox Co Ltd | 電子文書管理装置 |
JP2006072815A (ja) * | 2004-09-03 | 2006-03-16 | Toshiba Corp | 信号処理装置及びその制御方法 |
JP2008217264A (ja) * | 2007-03-01 | 2008-09-18 | Seiko Epson Corp | 記憶端末および情報処理システム |
WO2008136940A1 (en) * | 2007-04-30 | 2008-11-13 | Hewlett-Packard Development Company, L.P. | Rules for shared entities of a network-attached storage device |
JP2014230174A (ja) * | 2013-05-23 | 2014-12-08 | 富士通株式会社 | 集積回路、制御装置、制御方法、および制御プログラム |
JP2019216399A (ja) * | 2018-06-14 | 2019-12-19 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及びプログラム |
-
2002
- 2002-06-27 JP JP2002188387A patent/JP2004030437A/ja active Pending
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4572082B2 (ja) * | 2004-03-22 | 2010-10-27 | Necシステムテクノロジー株式会社 | Nasディスクアレイ装置 |
JP2005267530A (ja) * | 2004-03-22 | 2005-09-29 | Nec System Technologies Ltd | Nasディスクアレイ装置 |
JP2005309895A (ja) * | 2004-04-23 | 2005-11-04 | Fuji Xerox Co Ltd | 電子文書管理装置 |
JP2006072815A (ja) * | 2004-09-03 | 2006-03-16 | Toshiba Corp | 信号処理装置及びその制御方法 |
JP2008217264A (ja) * | 2007-03-01 | 2008-09-18 | Seiko Epson Corp | 記憶端末および情報処理システム |
US7904634B2 (en) | 2007-03-01 | 2011-03-08 | Seiko Epson Corporation | Storage terminal and information processing system |
GB2462544A (en) * | 2007-04-30 | 2010-02-17 | Hewlett Packard Development Co | Rules for shared entities of a network-attached storage device |
WO2008136940A1 (en) * | 2007-04-30 | 2008-11-13 | Hewlett-Packard Development Company, L.P. | Rules for shared entities of a network-attached storage device |
US7945643B2 (en) | 2007-04-30 | 2011-05-17 | Hewlett-Packard Development Company, L.P. | Rules for shared entities of a network-attached storage device |
GB2462544B (en) * | 2007-04-30 | 2012-01-04 | Hewlett Packard Development Co | Rules for shared entities of a network-attached storage device |
JP2014230174A (ja) * | 2013-05-23 | 2014-12-08 | 富士通株式会社 | 集積回路、制御装置、制御方法、および制御プログラム |
JP2019216399A (ja) * | 2018-06-14 | 2019-12-19 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及びプログラム |
JP2022171871A (ja) * | 2018-06-14 | 2022-11-11 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及びプログラム |
JP7418133B2 (ja) | 2018-06-14 | 2024-01-19 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及びプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2019201043A1 (zh) | 网络通信方法、***、设备及存储介质 | |
JP3454931B2 (ja) | ネットワークシステム | |
US9407456B2 (en) | Secure access to remote resources over a network | |
JP4327408B2 (ja) | 仮想プライベートボリューム方式及びシステム | |
US7366784B2 (en) | System and method for providing and using a VLAN-aware storage device | |
US7500069B2 (en) | System and method for providing secure access to network logical storage partitions | |
US20120084544A1 (en) | Methods and systems for providing and controlling cryptographically secure communications across unsecured networks between a secure virtual terminal and a remote system | |
JP2004501534A (ja) | 仮想ネットワークの仮想アドレスを管理する方法とシステム | |
CA2228687A1 (en) | Secured virtual private networks | |
AU2018216671B2 (en) | Service endpoint interconnect in a virtual private gateway | |
WO2011122580A1 (ja) | 中継装置及びファイル共有方法 | |
JP4330342B2 (ja) | 通信のセキュリティを確保するためのパケットフィルタリング方法およびパケット通信システム | |
JP5445262B2 (ja) | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム | |
JP2004048125A (ja) | 接続制御装置、方法及びプログラム | |
JP2004030437A (ja) | データ管理装置及びデータ管理方法、コンピュータプログラム | |
JP5138527B2 (ja) | ポリシーベースのファイルサーバアクセス制御方法及びシステム | |
JP3965774B2 (ja) | ネットワークシステム | |
Varakliotis et al. | The use of Handle to aid IoT security | |
US8181011B1 (en) | iSCSI name forwarding technique | |
JP2004126785A (ja) | ネットワークコミュニケーションシステム及びネットワークコミュニケーション方法 | |
JP7027835B2 (ja) | ネットワークシステムおよびその管理方法 | |
JP2006295969A (ja) | 通信のセキュリティを確保するための認証装置およびパケット通信システム | |
JP2006352917A (ja) | 通信のセキュリティを確保するためのパケットフィルタリング方法およびパケット通信システム | |
JPH10173700A (ja) | 電子メールシステム及び電子メールユーザ管理プログラムを有する記憶媒体 | |
JP2007074209A (ja) | 認証vlanシステム、認証サーバおよびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050614 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081020 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081028 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090303 |