Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6493258B2 - Storage control device, storage device, storage control method and program - Google Patents
[go: Go Back, main page]

JP6493258B2 - Storage control device, storage device, storage control method and program - Google Patents

Storage control device, storage device, storage control method and program Download PDF

Info

Publication number
JP6493258B2
JP6493258B2 JP2016048525A JP2016048525A JP6493258B2 JP 6493258 B2 JP6493258 B2 JP 6493258B2 JP 2016048525 A JP2016048525 A JP 2016048525A JP 2016048525 A JP2016048525 A JP 2016048525A JP 6493258 B2 JP6493258 B2 JP 6493258B2
Authority
JP
Japan
Prior art keywords
file
worm
storage
function
storage area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2016048525A
Other languages
Japanese (ja)
Other versions
JP2017162382A (en
Inventor
貴彦 結城
貴彦 結城
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2016048525A priority Critical patent/JP6493258B2/en
Publication of JP2017162382A publication Critical patent/JP2017162382A/en
Application granted granted Critical
Publication of JP6493258B2 publication Critical patent/JP6493258B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、ストレージ制御装置、ストレージ装置、ストレージ制御方法及びプログラムに関する。   The present invention relates to a storage control device, a storage device, a storage control method, and a program.

情報セキュリティに対する要求の高まりを受け、企業やその他の組織が保有する秘密情報等の機密性の高いデータに対して、機密性、完全性、可用性等に対する脅威からの保護が求められている。   In response to the growing demand for information security, highly confidential data such as confidential information held by companies and other organizations is required to be protected from threats such as confidentiality, integrity, and availability.

記憶装置に格納されたデータの改ざんを防止する技術の一つとして、WORM(Write Once Read Many)が知られている。WORM機能による保護が有効である場合には、一度書き込まれた情報は、消去も改変もすることができないように保護される。WORM機能によるデータの保護は、編集、上書き、消去などからデータを保護する場合に用いられ、データの完全性の維持に大きな役割を果たしている。   WORM (Write Once Read Many) is known as one technique for preventing falsification of data stored in a storage device. When the protection by the WORM function is effective, once written information is protected so that it cannot be erased or altered. Data protection by the WORM function is used to protect data from editing, overwriting, erasing, etc., and plays a major role in maintaining the integrity of the data.

特許文献1には、大容量で比較的安価なディスクをファイルサーバ上のファイルシステムと組み合わせて使用するWORMストレージ・システムに関する技術が記載されている。   Patent Document 1 describes a technology related to a WORM storage system that uses a large-capacity and relatively inexpensive disk in combination with a file system on a file server.

特許文献2には、ファイルのデータを保護すると共にファイルに対する追記を許容し、ファイルの特定範囲のみについてデータを保護することを可能にする計算機が記載されている。   Patent Document 2 describes a computer that protects data in a file, allows additional writing to the file, and protects data only in a specific range of the file.

特表2006−524392号公報JP-T-2006-524392 特開2006−92276号公報JP 2006-92276 A

WORM機能が有効である場合においても、例えばデータのストレージへの書込みからWORM機能による保護が有効になるまでの期間には、当該データに対する改ざんの可能性がある。すなわち、各特許文献に記載の技術に対して、更に改ざん等に対する安全性の高いストレージ装置が求められている。   Even when the WORM function is effective, there is a possibility that the data is falsified during the period from the writing of data to the storage until the protection by the WORM function becomes effective. That is, there is a need for a storage device with higher safety against tampering or the like for the techniques described in each patent document.

本発明は、上記課題を解決するためになされたものであって、改ざん等に対する安全性の高いストレージ装置等を提供することを主たる目的とする。   The present invention has been made in order to solve the above-described problems, and has as its main object to provide a storage device and the like that are highly secure against tampering and the like.

本発明の一態様におけるストレージ制御装置は、記憶装置の記憶領域毎に設定される、WORM機能の動作を規定するWORMモードを格納するWORMモードテーブルと、記憶領域へのファイルの書込みを終了する際に、WORMモードテーブルの規定に応じてファイルに対するWORM機能による保護を行うよう制御する制御手段とを備える。   The storage control device according to one aspect of the present invention finishes writing a file to the storage area and a WORM mode table that stores the WORM mode that defines the operation of the WORM function, which is set for each storage area of the storage device. And a control means for controlling to protect the file by the WORM function according to the definition of the WORM mode table.

本発明の一態様におけるストレージ装置は、ストレージ制御装置である制御手段と、データを格納する記憶手段とを備える。   A storage device according to an aspect of the present invention includes a control unit that is a storage control device, and a storage unit that stores data.

本発明の一態様におけるストレージ制御方法は、記憶装置の記憶領域毎に設定される、WORM(Write Once Read Many)機能の動作を規定するWORMモードを格納するWORMモードテーブルを参照し、記憶領域へのファイルの書込みを終了する際に、WORMモードテーブルに格納されたWORMモードに応じてファイルに対するWORM機能による保護を行うよう制御する。   A storage control method according to an aspect of the present invention refers to a WORM mode table that stores a WORM mode that defines an operation of a WORM (Write Once Read Many) function, which is set for each storage area of a storage device. When the writing of the file ends, control is performed so that the file is protected by the WORM function in accordance with the WORM mode stored in the WORM mode table.

本発明の一態様におけるプログラムは、コンピュータに、記憶装置の記憶領域毎に設定される、WORM(Write Once Read Many)機能の動作を規定するWORMモードを格納するWORMモードテーブルを参照する処理と、記憶領域へのファイルの書込みを終了する際に、WORMモードテーブルに格納されたWORMモードに応じてファイルに対するWORM機能による保護を行うよう制御する処理とを実行させる。   A program according to an aspect of the present invention refers to a process of referring to a WORM mode table that stores a WORM mode that defines an operation of a WORM (Write Once Read Many) function that is set for each storage area of a storage device in a computer. When the writing of the file to the storage area is finished, a process for controlling the file to be protected by the WORM function according to the WORM mode stored in the WORM mode table is executed.

本発明によると、改ざん等に対する安全性の高いストレージ装置等を提供することができる。   According to the present invention, it is possible to provide a storage device or the like with high safety against tampering or the like.

本発明の第1の実施形態におけるストレージ制御装置及びストレージ装置の構成を示す図である。It is a figure which shows the structure of the storage control apparatus and storage apparatus in the 1st Embodiment of this invention. 本発明の第1の実施形態におけるストレージ装置に格納されるファイルに関連付けられたメタデータ情報の一例を示す図である。It is a figure which shows an example of the metadata information linked | related with the file stored in the storage apparatus in the 1st Embodiment of this invention. 本発明の第1の実施形態におけるストレージ装置の記憶領域に対応付けられたWORMフラグの一例を示す図である。It is a figure which shows an example of the WORM flag matched with the storage area of the storage apparatus in the 1st Embodiment of this invention. 本発明の第1の実施形態におけるストレージ制御装置が備えるWORMモードテーブルの一例を示す図である。It is a figure which shows an example of the WORM mode table with which the storage control apparatus in the 1st Embodiment of this invention is provided. 本発明の比較例となるストレージ装置等の構成及び動作の例を示す図である。It is a figure which shows the example of a structure and operation | movement of a storage apparatus etc. which become a comparative example of this invention. 本発明の第1の実施形態におけるストレージ制御装置及びストレージ装置の動作の一例を示す図である。It is a figure which shows an example of operation | movement of the storage control apparatus and storage apparatus in the 1st Embodiment of this invention. 本発明の第1の実施形態におけるストレージ制御装置及びストレージ装置の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the storage control apparatus and storage apparatus in the 1st Embodiment of this invention. 本発明の実施形態における各装置を実現する情報処理装置の一例を示す図である。It is a figure which shows an example of the information processing apparatus which implement | achieves each apparatus in embodiment of this invention.

本発明の各実施形態について、添付の図面を参照して説明する。本発明の各実施形態において、各装置(システム)の各構成要素 は、機能単位のブロックを示している。各装置(システム)の各構成要素の一部又は全部は、例えば図8に示すような情報処理装置500とプログラムとの任意の組み合わせにより実現される場合がある。情報処理装置500は、一例として、以下のような構成を含む。   Embodiments of the present invention will be described with reference to the accompanying drawings. In each embodiment of the present invention, each component of each device (system) represents a functional unit block. Some or all of the components of each device (system) may be realized by an arbitrary combination of an information processing device 500 and a program as shown in FIG. 8, for example. The information processing apparatus 500 includes the following configuration as an example.

・CPU(Central Processing Unit)501
・ROM(Read Only Memory)502
・RAM(Random Access Memory)503
・RAM503にロードされるプログラム504
・プログラム504を格納する記憶装置505
・記録媒体506の読み書きを行うドライブ装置507
・通信ネットワーク509と接続する通信インターフェース508
・データの入出力を行う入出力インターフェース510
・各構成要素を接続するバス511
各実施形態における各装置の各構成要素は、これらの機能を実現するプログラム504をCPU501が取得して実行することで実現される。各装置の各構成要素の機能を実現するプログラム504は、例えば、予め記憶装置505やRAM503に格納されており、必要に応じてCPU501が読み出す。なお、プログラム504は、通信ネットワーク509を介してCPU501に供給されてもよいし、予め記録媒体506に格納されており、ドライブ装置507が当該プログラムを読み出してCPU501に供給してもよい。
CPU (Central Processing Unit) 501
ROM (Read Only Memory) 502
-RAM (Random Access Memory) 503
A program 504 loaded into the RAM 503
A storage device 505 for storing the program 504
A drive device 507 for reading / writing the recording medium 506
Communication interface 508 connected to the communication network 509
An input / output interface 510 for inputting / outputting data
-Bus 511 connecting each component
Each component of each device in each embodiment is realized by the CPU 501 acquiring and executing a program 504 that realizes these functions. The program 504 that realizes the function of each component of each device is stored in advance in the storage device 505 or the RAM 503, for example, and is read by the CPU 501 as necessary. Note that the program 504 may be supplied to the CPU 501 via the communication network 509 or may be stored in the recording medium 506 in advance, and the drive device 507 may read the program and supply it to the CPU 501.

各装置の実現方法には、様々な変形例がある。例えば、各装置は、構成要素毎にそれぞれ別個の情報処理装置500とプログラムとの任意の組み合わせにより実現されてもよい。また、各装置が備える複数の構成要素が、一つの情報処理装置500とプログラムとの任意の組み合わせにより実現されてもよい。   There are various modifications to the method of realizing each device. For example, each device may be realized by an arbitrary combination of the information processing device 500 and a program that are separately provided for each component. A plurality of constituent elements included in each device may be realized by an arbitrary combination of one information processing device 500 and a program.

また、各装置の各構成要素の一部又は全部は、プロセッサ等を含む汎用または専用の回路 (circuitry)や、これらの組み合わせによって実現される。これらは、単一のチップ によって構成されてもよいし、バスを介して接続される複数のチップ によって構成されてもよい。各装置の各構成要素の一部又は全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。   In addition, part or all of each component of each device is realized by a general-purpose or dedicated circuit including a processor or the like, or a combination thereof. These may be configured by a single chip or may be configured by a plurality of chips connected via a bus. Part or all of each component of each device may be realized by a combination of the above-described circuit and the like and a program.

各装置の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。   When some or all of the constituent elements of each device are realized by a plurality of information processing devices and circuits, the plurality of information processing devices and circuits may be centrally arranged or distributedly arranged. Also good. For example, the information processing apparatus, the circuit, and the like may be realized as a form in which each is connected via a communication network, such as a client and server system and a cloud computing system.

まず、本発明の第1の実施形態について説明する。図1(A)に示すとおり、本発明の第1の実施形態におけるストレージ装置10は、ストレージ制御装置100と、記憶部110とを有する。また、図1(B)に示すように、本発明の第1の実施形態におけるストレージ装置10は、上述したストレージ制御装置100と、記憶部110とを有する。   First, a first embodiment of the present invention will be described. As shown in FIG. 1A, the storage apparatus 10 according to the first embodiment of the present invention includes a storage control apparatus 100 and a storage unit 110. As shown in FIG. 1B, the storage apparatus 10 according to the first embodiment of the present invention includes the storage control apparatus 100 and the storage unit 110 described above.

ストレージ制御装置100の制御部101は、記憶部110の記憶領域へのファイルの書込みを終了する際に、WORMモードテーブル102格納されたWORMモードに応じてファイルに対するWORM機能による保護を行うよう制御する。WORMモードテーブル102は、記憶部110の記憶領域毎にWORM機能の動作を規定するWORMモードを格納する。制御部101は、その他の記憶部110へのファイルの書込みに関するその他の制御を行ってもよい。また、WORMモードテーブル102は、例えば記憶部110の記憶領域に格納される。ただし、WORMモードテーブル102は、制御部101が参照可能であれば、他の装置等に格納されてもよい。   When the control unit 101 of the storage control device 100 finishes writing the file to the storage area of the storage unit 110, the control unit 101 controls the file to be protected by the WORM function according to the WORM mode stored in the WORM mode table 102. . The WORM mode table 102 stores a WORM mode that defines the operation of the WORM function for each storage area of the storage unit 110. The control unit 101 may perform other control related to writing of a file to the other storage unit 110. The WORM mode table 102 is stored in a storage area of the storage unit 110, for example. However, the WORM mode table 102 may be stored in another device or the like as long as the control unit 101 can refer to it.

記憶部110は、一つ以上の記憶領域を備える。本実施形態においては、記憶領域が1つである場合を例として説明するが、記憶領域の数は複数であってもよい。そして、本実施形態においては、記憶領域毎にWORM機能の有効又は無効が設定される。   The storage unit 110 includes one or more storage areas. In the present embodiment, a case where there is one storage area will be described as an example, but the number of storage areas may be plural. In the present embodiment, the validity or invalidity of the WORM function is set for each storage area.

記憶領域の各々には、任意の数のファイル12が格納される。図1(B)に示す例では、ファイルが1つのファイル111である場合を例として説明する。ファイル111の各々には、メタデータ情報112が関連付けられる。メタデータ情報112は、関連付けられたファイルに関する種々の情報が格納される。図2は、メタデータ情報112の一例を示す図である。図2に示す例では、メタデータ情報112は、ファイルへの書込み、読出し、実行等のファイルへのアクセス権限に関する情報や、ファイルの作成日時に関する情報が格納される。   An arbitrary number of files 12 are stored in each storage area. In the example shown in FIG. 1B, a case where the file is one file 111 will be described as an example. Each file 111 is associated with metadata information 112. The metadata information 112 stores various information related to the associated file. FIG. 2 is a diagram illustrating an example of the metadata information 112. In the example illustrated in FIG. 2, the metadata information 112 stores information regarding access authority to the file such as writing to, reading from, and execution of the file, and information regarding the creation date and time of the file.

また、WORM機能が有効された記憶領域には、WORMフラグ113がファイルと併せて格納される。WORMフラグ113は、対応する記憶領域に格納されたファイルについて、WORM機能の有効又は無効を示すフラグを格納するテーブルである。   Further, the WORM flag 113 is stored together with the file in the storage area where the WORM function is enabled. The WORM flag 113 is a table that stores a flag indicating whether the WORM function is valid or invalid for a file stored in a corresponding storage area.

図3は、WORMフラグ113の一例を示す。図3において、「ファイル名」は、WORMフラグ113にて管理されるファイルの名称であり、「フラグ種別」は、ファイルの各々に対するWORM機能の状態を示す。「フラグ種別」の項には、「有効」又は「無効」のフラグが設定される。そして、WORMフラグ113にて有効とされたファイルに対してWORM機能が有効とされる。ファイルに対してWORM機能が有効とされると、上述したWORMモードに応じて当該ファイルに対する変更又は削除の操作が不可能になる。図3に示すWORMフラグ113では、ファイル2及び3に対するWORM機能が有効とされている。   FIG. 3 shows an example of the WORM flag 113. In FIG. 3, “file name” is the name of the file managed by the WORM flag 113, and “flag type” indicates the state of the WORM function for each file. A flag “valid” or “invalid” is set in the “flag type” field. Then, the WORM function is validated for the file validated by the WORM flag 113. When the WORM function is enabled for a file, the file cannot be changed or deleted according to the above-described WORM mode. In the WORM flag 113 shown in FIG. 3, the WORM function for the files 2 and 3 is enabled.

続いて、本実施形態におけるストレージ制御装置100の構成及び動作について説明する。   Next, the configuration and operation of the storage control device 100 in this embodiment will be described.

WORMモードテーブル102は、記憶部110の記憶領域毎にWORM機能の動作を規定するWORMモードを格納する。本実施形態においては、WORMモードとして、「Once」及び「Multi」の2つのモードが存在することを想定する。なお、WORMモードとして他のモードが存在してもよい。WORMモードは、記憶部110に記憶領域が構成される際に、当該記憶領域に書込みを行うアプリケーションソフトウェアの種類や動作等に応じて定められる。   The WORM mode table 102 stores a WORM mode that defines the operation of the WORM function for each storage area of the storage unit 110. In the present embodiment, it is assumed that there are two modes of “Once” and “Multi” as the WORM mode. Other modes may exist as the WORM mode. The WORM mode is determined according to the type and operation of application software that writes data to the storage area when the storage area is configured in the storage unit 110.

本実施形態では、「Once」のWORMモードは、一つのファイルに対する書込みが一度である場合に関するモードである。すなわち、「Once」のWORMモードは、主に、ファイルをオープンして当該ファイルにデータを書込み、書込みが終了するとファイルをクローズするアプリケーションソフトウェアによって用いられる。また、「Multi」のWORMモードは、一つのファイルに対して複数回の書込みが行われ得る場合に関するモードである。すなわち、「Multi」のWORMモードは、主に、ファイルをオープンして当該ファイルにデータを書込むとファイルをクローズし、その後、当該ファイルを再びオープンしてデータを追記するアプリケーションソフトウェアに用いられる。   In this embodiment, the “Once” WORM mode is a mode relating to a case where writing to one file is performed once. That is, the “Once” WORM mode is mainly used by application software that opens a file, writes data into the file, and closes the file when the writing is completed. The “Multi” WORM mode is a mode related to the case where writing can be performed a plurality of times for one file. That is, the WORM mode of “Multi” is mainly used for application software that opens a file and writes data to the file, closes the file, and then reopens the file and appends data.

なお、「ファイルをオープンする」とは、当該ファイルへの書込みが可能な状態とする動作を指す。この動作は、例えば、ファイルのロック等によって、他のプロセス等からの当該ファイルへのアクセスを不可能にすることで実現される。また、「ファイルをクローズする」とは、当該ファイルへの書込みを終了し、書込みを不可能な状態とする動作を指す。この動作は、例えば、上述したロックの解除等によって、他のプロセス等からの当該ファイルへのアクセスを可能にすることで実現される。ファイルのクローズは、例えば戻り値とファイルハンドルが返却されることで検知可能である。   Note that “opening a file” refers to an operation for enabling writing to the file. This operation is realized by making it impossible to access the file from another process or the like, for example, by locking the file. Further, “closing a file” refers to an operation of finishing writing to the file and making writing impossible. This operation is realized by making it possible to access the file from another process or the like by, for example, releasing the lock described above. The closing of a file can be detected by returning a return value and a file handle, for example.

また、上述のように、WORMモードとして「Once」又は「Multi」の他のモードが存在してもよい。例えば、記憶部110の記憶領域にバックアップデータの以外のファイル(例えばカタログファイル)が作成される場合には、当該記憶領域においてはバックアップデータのみをWORMによる保護の対象とするモードが考えられる。この場合には、例えばファイルの拡張子等によってWORMによる保護の対象となるファイルが区別される。   Further, as described above, another mode of “Once” or “Multi” may exist as the WORM mode. For example, when a file (for example, a catalog file) other than backup data is created in the storage area of the storage unit 110, a mode in which only backup data is subject to protection by WORM in the storage area can be considered. In this case, for example, a file to be protected by WORM is distinguished by a file extension or the like.

制御部101は、WORMモードテーブル102の規定に応じて、ファイルに対するWORM機能による保護を行うよう制御する。制御部101は、WORM機能によるファイルの保護の有効化を、記憶部110の記憶領域へのファイルの書込みを終了する際に行う。すなわち、制御部101は、書込みの対象となるファイルがクローズされる際に、併せてWORMフラグ113の当該ファイルに対するフラグ種別を「有効」とする。好ましくは、制御部101は、書込みの対象となるファイルのクローズと同時にWORMフラグ113の当該ファイルに対するフラグ種別を「有効」とする。   The control unit 101 performs control so that the file is protected by the WORM function in accordance with the definition of the WORM mode table 102. The control unit 101 validates the file protection by the WORM function when the writing of the file to the storage area of the storage unit 110 is finished. That is, when the file to be written is closed, the control unit 101 sets the flag type of the WORM flag 113 for the file to “valid”. Preferably, the control unit 101 sets the flag type for the file in the WORM flag 113 to “valid” simultaneously with closing of the file to be written.

制御部101がこのような制御を行うことで、記憶領域へのファイルの書込みの後にWORM機能が有効化されるまでの間をなくすことが可能となる。すなわち、記憶領域へのファイルの書込みの後に、WORM機能が無効である期間をなくすことが可能となる。したがって、ファイルの書込みからWORM機能の有効化までの間におけるファイルの改ざんを防止することが可能となる。   When the control unit 101 performs such control, it is possible to eliminate the time until the WORM function is validated after the file is written to the storage area. That is, it is possible to eliminate a period during which the WORM function is invalid after writing a file to the storage area. Therefore, it is possible to prevent falsification of the file from the file writing to the activation of the WORM function.

制御部101は、書込みの対象であるファイルがクローズされる際に、WORMモードテーブル102を参照する。そして、制御部101は、当該ファイルが書込まれる記憶領域に対してWORMモードテーブル102定められたモードに応じて、ファイルのクローズと併せてWORM機能を有効にする。WORM機能によるファイルの保護は、記憶領域毎にWORMモードテーブル102に格納されたWORMモードに応じて次のように行われる。   The control unit 101 refers to the WORM mode table 102 when a file to be written is closed. Then, the control unit 101 validates the WORM function together with the closing of the file according to the mode defined in the WORM mode table 102 for the storage area in which the file is written. File protection by the WORM function is performed as follows according to the WORM mode stored in the WORM mode table 102 for each storage area.

WORMモードが「Once」である場合には、ファイルに対してWORM機能が有効にされることで、当該ファイルの全体への一切の変更や削除の操作が不可能となる。この動作は、一般的なWORM機能による保護と同様の動作である。また、制御部101がファイルのクローズと併せてWORM機能を有効にすることから、ファイルの書込みからWORM機能の有効化までの間におけるファイルの改ざんが不可能となる。   When the WORM mode is “Once”, the WORM function is enabled for the file, and any change or deletion operation to the entire file becomes impossible. This operation is the same as the protection by the general WORM function. In addition, since the control unit 101 enables the WORM function together with the closing of the file, it becomes impossible to tamper with the file between the writing of the file and the enabling of the WORM function.

WORMモードが「Multi」である場合には、ファイルに対してWORM機能が有効にされることで、当該ファイルの書込み済みの内容への一切の変更や削除の操作が不可能となる。当該ファイルへの追記は可能とされる。このような制御が行われることで、アプリケーションソフトウェアがファイルのオープンやクローズを繰り返してファイルへ追記を行う場合、書込み済の内容に関しては、上述したWORM機能による保護が可能となる。すなわち、ファイルに追記が行われる場合においても、書込み済みの内容に対して改ざん等に対する安全性が高められている。   When the WORM mode is “Multi”, the WORM function is enabled for the file, and any change or deletion of the written contents of the file becomes impossible. Appending to the file is possible. By performing such control, when the application software repeatedly opens and closes the file and appends to the file, the written content can be protected by the above-described WORM function. In other words, even when additional writing is performed on a file, the security against tampering with respect to the written content is improved.

なお、上述した制御部101の機能の一部または全部は、ストレージ装置10へアクセスを行う装置、すなわち、ストレージ装置10に対してクライアントとなる装置が備えてもよい。   Note that some or all of the functions of the control unit 101 described above may be provided in a device that accesses the storage device 10, that is, a device that is a client for the storage device 10.

次に、本実施形態におけるストレージ装置10又はストレージ制御装置100の特徴について、その動作を、WORM保護について他の動作を行う比較例と比較する。   Next, the operation of the storage device 10 or the storage control device 100 in this embodiment is compared with a comparative example that performs other operations for WORM protection.

図5は、比較例となるストレージ装置20及びその動作の一例を示す。ストレージ装置20は、ストレージ制御装置200と記憶部210とを有する。ストレージ制御装置200は、制御部201を備える。制御部201は、記憶部210へ書き込まれるファイルに対するWORM機能による保護を行うよう制御する。記憶部210は、基本的に本実施形態における記憶部110と同様の構成である。また、ファイル211、メタデータ情報212及びWORMフラグ213は、それぞれ本実施形態におけるファイル111、メタデータ情報112及びWORM1ラグ213に相当する。   FIG. 5 shows an example of the storage apparatus 20 as a comparative example and its operation. The storage device 20 includes a storage control device 200 and a storage unit 210. The storage control device 200 includes a control unit 201. The control unit 201 controls to protect the file written in the storage unit 210 by the WORM function. The storage unit 210 has basically the same configuration as the storage unit 110 in the present embodiment. The file 211, metadata information 212, and WORM flag 213 correspond to the file 111, metadata information 112, and WORM1 lag 213 in the present embodiment, respectively.

比較例では、制御部201は、記憶部210へのファイルへの書込みが終了した後、当該ファイルへの書込み権限が削除されると当該ファイルに対するWORM機能による保護を有効とする。すなわち、制御部201は、制御部101とは異なる手順にて記憶部210へ書込まれたファイルに対するWORM機能を有効化する。また、ストレージ制御装置200は、WORMモードテーブル102に相当する要素を備えない。すなわち、ストレージ装置200では、上述したWORMモードに基づく制御は行われない。   In the comparative example, after the writing to the file in the storage unit 210 ends, the control unit 201 validates the protection by the WORM function for the file when the right to write to the file is deleted. That is, the control unit 201 validates the WORM function for a file written to the storage unit 210 by a procedure different from that of the control unit 101. Further, the storage control device 200 does not include an element corresponding to the WORM mode table 102. That is, the storage apparatus 200 does not perform control based on the above-described WORM mode.

比較例においては、WORM機能によるファイルの保護の有効化に際して、ストレージ装置20等は、概ね以下のように動作する。   In the comparative example, when the protection of the file by the WORM function is validated, the storage device 20 or the like generally operates as follows.

最初に、クライアントとなる装置で実行されるアプリケーションソフトウェア等からストレージ装置20へファイルの書込み要求が行われる(図5の(1)に相当)。ストレージ装置20では、制御部201の制御などに基づいて記憶部210へのファイルの書込みが行われる。ファイルが書込まれると、上述したアプリケーションソフトウェア等からの指示に基づいて、当該ファイルに対する書込み権限が削除される(図5の(2)に相当)。   First, a file write request is made to the storage apparatus 20 from application software or the like executed on the client apparatus (corresponding to (1) in FIG. 5). In the storage device 20, a file is written to the storage unit 210 based on the control of the control unit 201. When the file is written, the write authority for the file is deleted based on the instruction from the above-described application software (corresponding to (2) in FIG. 5).

ファイルに対する書込み権限の削除に併せて、制御部201は、ファイルに対するWORM機能による保護を行うよう制御する(図5の(3)に相当)。つまり、制御部201は、当該ファイルに対するWORMフラグを「有効」とする。制御部201の動作により、当該ファイルへの変更や削除の操作が不可能となる。   Along with the deletion of the write authority for the file, the control unit 201 controls to protect the file by the WORM function (corresponding to (3) in FIG. 5). That is, the control unit 201 sets the WORM flag for the file to “valid”. The operation of the control unit 201 makes it impossible to change or delete the file.

しかしながら、上述した比較例のストレージ装置20における動作の例では、上述のように、図5の(1)及び(2)に相当する動作は、外部のクライアントとなる装置からの指示に基づいて行われる。したがって、ファイルが記憶部210に書込まれてからWORM機能による保護が有効になるまでにタイムラグが生じる可能性がある。すなわち、ファイルが記憶部210に書込まれてからWORM機能による保護が有効になるまでの間に、外部の攻撃者が、当該ファイルの参照や改ざんを行う可能性がある(図5の(4)に相当)。   However, in the above-described operation example of the storage apparatus 20 of the comparative example, as described above, the operation corresponding to (1) and (2) in FIG. 5 is performed based on an instruction from an apparatus serving as an external client. Is called. Therefore, there is a possibility that a time lag occurs after the file is written in the storage unit 210 until the protection by the WORM function becomes effective. That is, an external attacker may refer to or alter the file after the file is written in the storage unit 210 until protection by the WORM function becomes effective ((4 in FIG. 5). )).

これに対して、本実施形態におけるストレージ装置10のストレージ制御装置100は、WORM機能によるファイルの保護の有効化に際して、概ね以下のように動作する。   On the other hand, the storage control device 100 of the storage device 10 in the present embodiment generally operates as follows when the protection of the file by the WORM function is validated.

WORMモードテーブル102には、上述のように、記憶部110の記憶領域の各々に対して、当該記憶領域に対して書込みを行うアプリケーションソフトウェアの動作等に応じて定められたWORMモードが格納されている。制御部101は、必要に応じて、記憶領域毎に定められたWORMモードを参照する(図6の(1)に相当)。   As described above, the WORM mode table 102 stores, for each storage area of the storage unit 110, a WORM mode that is determined according to the operation of application software that performs writing to the storage area. Yes. The control unit 101 refers to the WORM mode determined for each storage area as necessary (corresponding to (1) in FIG. 6).

記憶領域毎にWORMモードが設定された状況で、クライアントとなる装置で実行されるアプリケーションソフトウェア等からストレージ装置10へのファイルの書込み要求等に応じて、ファイルの書込みが行われる(図6の(2)に相当)。   In a situation where the WORM mode is set for each storage area, a file is written in response to a file write request to the storage apparatus 10 from application software or the like executed on the client apparatus ((( Equivalent to 2)).

そして、制御部101は、ファイルの書込みが終了し、ファイルがクローズされる際にWORMフラグを有効にする(図6の(3)に相当)。上述のように、制御部101がこのような動作を行うことで、記憶領域へのファイルの書込みの後に、WORM機能が無効である期間をなくすことが可能となる。すなわち、ストレージ装置20のように、ファイルが記憶部110に書込まれてからWORM機能による保護が有効になるまでのタイムラグは存在しない。したがって、外部の攻撃者が、当該ファイルの参照や改ざんを行うことは不可能である(図6の(4)に相当)。   Then, the control unit 101 enables the WORM flag when the file writing is completed and the file is closed (corresponding to (3) in FIG. 6). As described above, the control unit 101 performs such an operation, so that it is possible to eliminate a period in which the WORM function is invalid after writing a file to the storage area. That is, unlike the storage device 20, there is no time lag from when the file is written to the storage unit 110 until the protection by the WORM function becomes effective. Therefore, it is impossible for an external attacker to refer to or alter the file (corresponding to (4) in FIG. 6).

次に、図7に示すフローチャートを用いて、本実施形態におけるストレージ装置10又はストレージ制御装置100の動作を説明する。   Next, the operation of the storage apparatus 10 or the storage control apparatus 100 in this embodiment will be described using the flowchart shown in FIG.

最初に、ストレージ制御装置100の制御部101は、WORMモードテーブル102を参照して、書込みの対象となる記憶領域のWORMモードを取得する(ステップS101)。   First, the control unit 101 of the storage control device 100 refers to the WORM mode table 102 and acquires the WORM mode of the storage area to be written (step S101).

次に、制御部101は、クライアントとなる装置等で実行されるアプリケーションソフトウェア等からの要求に応じて、対象となる記憶領域にファイルを書込む(ステップS102)。   Next, the control unit 101 writes a file in a target storage area in response to a request from application software or the like executed by a device or the like serving as a client (step S102).

次に、制御部101は、ステップS102にて書込まれたファイルのクローズに併せて、WORMフラグを有効化する(ステップS103)。制御部101は、当該ファイルが書込まれた記憶領域に対してWORMモードテーブル102に設定されたモードに沿ってWORMフラグを有効化する。   Next, the control unit 101 validates the WORM flag in conjunction with the closing of the file written in step S102 (step S103). The control unit 101 validates the WORM flag according to the mode set in the WORM mode table 102 for the storage area in which the file is written.

以上のとおり、本発明の第1の実施形態におけるストレージ装置10では、ストレージ制御装置100の制御部101が、記憶領域へのファイルの書込みを終了する際に、ファイルに対するWORM機能による保護を行うよう制御する。制御部101は、ファイルのクローズと併せてWORM機能を有効とする。ファイルが記憶部110に書込まれてからWORM機能による保護が有効になるまでのタイムラグは存在しない。そのため、ファイルの書込みからWORM機能の有効化までの間におけるファイルの改ざんを防止することが可能となる。   As described above, in the storage apparatus 10 according to the first embodiment of the present invention, when the control unit 101 of the storage control apparatus 100 finishes writing the file to the storage area, the file is protected by the WORM function. Control. The control unit 101 validates the WORM function together with the closing of the file. There is no time lag from when the file is written to the storage unit 110 until the protection by the WORM function becomes effective. For this reason, it is possible to prevent falsification of the file between the writing of the file and the activation of the WORM function.

また、本発明の第1の実施形態におけるストレージ装置10では、WORMモードに応じてWORM機能が有効化される。本実施形態では、一つのファイルに対する書込みが一度である場合、及び一つのファイルに対して複数回の書込みが行われ得る場合に対するモードが想定される。WORMモードに基づきWORM機能が有効化されることで、ストレージ装置10にファイルを書込むアプリケーションソフトウェアの動作等にファイルの保護が可能となる。   In the storage apparatus 10 according to the first embodiment of the present invention, the WORM function is validated according to the WORM mode. In the present embodiment, modes are assumed for the case where writing to one file is performed once and the case where writing can be performed a plurality of times on one file. By enabling the WORM function based on the WORM mode, the file can be protected in the operation of application software that writes the file to the storage apparatus 10.

したがって、本実施形態におけるストレージ制御装置100は、ストレージ装置の改ざん等に対する安全性を高めることを可能にする。また、本実施形態におけるストレージ装置10は、改ざん等に対する安全性の高いストレージ装置となる。   Therefore, the storage control device 100 according to the present embodiment makes it possible to improve safety against tampering of the storage device. In addition, the storage apparatus 10 in the present embodiment is a storage apparatus with high safety against tampering or the like.

以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得る様々な変更をすることができる。また、各実施形態における構成は、本発明のスコープを逸脱しない限りにおいて、互いに組み合わせることが可能である。   The present invention has been described above with reference to the embodiments, but the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention. The configurations in the embodiments can be combined with each other without departing from the scope of the present invention.

10 ストレージ装置
100 ストレージ制御装置
101 制御部
102 WORMモードテーブル
110 記憶部
111 ファイル
112 メタデータ情報
113 WORMフラグ
500 情報処理装置
501 CPU
502 ROM
503 RAM
504 プログラム
505 記憶装置
506 記録媒体
507 ドライブ装置
508 通信インターフェース
509 通信ネットワーク
510 入出力インターフェース
511 バス
DESCRIPTION OF SYMBOLS 10 Storage apparatus 100 Storage control apparatus 101 Control part 102 WORM mode table 110 Storage part 111 File 112 Metadata information 113 WORM flag 500 Information processing apparatus 501 CPU
502 ROM
503 RAM
504 Program 505 Storage device 506 Recording medium 507 Drive device 508 Communication interface 509 Communication network 510 Input / output interface 511 Bus

Claims (7)

記憶装置の記憶領域毎に設定される、WORM(Write Once Read Many)機能の動作を規定するWORMモードを格納するWORMモードテーブルと、
前記記憶領域へのファイルの書込みを終了する際に、前記WORMモードテーブルに格納された前記WORMモードに応じて前記ファイルに対する前記WORM機能による保護を行うよう制御する制御手段とを備え、
前記制御手段は、前記ファイルがクローズされる際に前記WORM機能による保護を行うよう制御し、前記記憶領域において前記ファイルと併せて格納されるWORMフラグのフラグ種別を有効とするストレージ制御装置。
A WORM mode table that stores a WORM mode that defines the operation of a WORM (Write Once Read Many) function, which is set for each storage area of the storage device;
Control means for controlling the file to be protected by the WORM function according to the WORM mode stored in the WORM mode table when the writing of the file to the storage area is terminated;
The storage control apparatus, wherein the control means controls to perform protection by the WORM function when the file is closed, and validates a flag type of a WORM flag stored together with the file in the storage area.
前記制御手段は、前記WORMモードが一つのファイルに対する書込みが一度であることを示す場合に、ファイルの全体への変更又は削除を不可能とする、請求項1に記載のストレージ制御装置。   2. The storage control apparatus according to claim 1, wherein the control means makes it impossible to change or delete the entire file when the WORM mode indicates that writing to one file is once. 前記制御手段は、前記WORMモードが一つのファイルに対して複数回の書込みが行われ得ることを示す場合に、ファイルの書込み済みの箇所への変更又は削除を不可能とする、請求項1に記載のストレージ制御装置。   2. The control unit according to claim 1, wherein when the WORM mode indicates that writing can be performed a plurality of times for one file, it is impossible to change or delete the file at a written position. The storage control device described. 前記制御手段は、前記ファイルに対して設けられたWORMフラグを有効化することで前記ファイルに対して前記WORM機能による保護を行うよう制御する、請求項1から3のいずれか一項に記載のストレージ制御装置。   4. The control unit according to claim 1, wherein the control unit controls the file to be protected by the WORM function by enabling a WORM flag provided for the file. 5. Storage controller. 請求項1から4のいずれか一項に記載のストレージ制御装置である制御手段と、
データを格納する記憶手段とを備えるストレージ装置。
Control means that is the storage control device according to any one of claims 1 to 4,
A storage device comprising storage means for storing data.
ストレージ制御装置におけるストレージ制御方法であって、
前記ストレージ制御装置は、
記憶装置の記憶領域毎に設定される、WORM(Write Once Read Many)機能の動作を規定するWORMモードを格納するWORMモードテーブルを参照し、
前記記憶領域へのファイルの書込みを終了する際に、前記WORMモードテーブルに格納された前記WORMモードに応じて前記ファイルに対する前記WORM機能による保護を行うよう制御し、
前記ファイルの書込みを終了の際における前記ファイルがクローズされる際に前記WORM機能による保護を行う制御として、前記記憶領域において前記ファイルと併せて格納されるWORMフラグのフラグ種別を有効とするストレージ制御方法。
A storage control method in a storage control device,
The storage control device
Refer to the WORM mode table that stores the WORM mode that defines the operation of the WORM (Write Once Read Many) function, which is set for each storage area of the storage device.
When writing of the file to the storage area is completed, control is performed so that the file is protected by the WORM function according to the WORM mode stored in the WORM mode table;
Storage control for validating the flag type of the WORM flag stored in the storage area together with the file as control for protecting the file by the WORM function when the file is closed when the writing of the file is finished Method.
コンピュータに、
記憶装置の記憶領域毎に設定される、WORM(Write Once Read Many)機能の動作を規定するWORMモードを格納するWORMモードテーブルを参照する処理と、
前記記憶領域へのファイルの書込みを終了する際に、前記WORMモードテーブルに格納された前記WORMモードに応じて前記ファイルに対する前記WORM機能による保護を行うよう制御する処理と、
前記ファイルの書込みの終了の際における前記ファイルがクローズされる際に前記WORM機能による保護を行う制御として、前記記憶領域において前記ファイルと併せて格納されるWORMフラグのフラグ種別を有効とする処理とを実行させるプログラム。
On the computer,
A process of referring to a WORM mode table storing a WORM mode that defines the operation of a WORM (Write Once Read Many) function, which is set for each storage area of the storage device;
A process of controlling the file to be protected by the WORM function according to the WORM mode stored in the WORM mode table when the writing of the file to the storage area is terminated;
A process for validating the flag type of the WORM flag stored together with the file in the storage area as control to protect the WORM function when the file is closed at the end of writing of the file ; A program that executes
JP2016048525A 2016-03-11 2016-03-11 Storage control device, storage device, storage control method and program Expired - Fee Related JP6493258B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016048525A JP6493258B2 (en) 2016-03-11 2016-03-11 Storage control device, storage device, storage control method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016048525A JP6493258B2 (en) 2016-03-11 2016-03-11 Storage control device, storage device, storage control method and program

Publications (2)

Publication Number Publication Date
JP2017162382A JP2017162382A (en) 2017-09-14
JP6493258B2 true JP6493258B2 (en) 2019-04-03

Family

ID=59857100

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016048525A Expired - Fee Related JP6493258B2 (en) 2016-03-11 2016-03-11 Storage control device, storage device, storage control method and program

Country Status (1)

Country Link
JP (1) JP6493258B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7304452B2 (en) * 2020-10-19 2023-07-06 株式会社日立製作所 backup system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005284816A (en) * 2004-03-30 2005-10-13 Hitachi Ltd Disk array system
JP4548717B2 (en) * 2004-09-24 2010-09-22 株式会社日立製作所 Storage device computer and storage device management method

Also Published As

Publication number Publication date
JP2017162382A (en) 2017-09-14

Similar Documents

Publication Publication Date Title
US8856521B2 (en) Methods and systems for performing secure operations on an encrypted file
TWI241818B (en) Application-based data encryption system and method thereof
CN102171704B (en) External encryption and recovery management with hardware encrypted storage devices
US20060117178A1 (en) Information leakage prevention method and apparatus and program for the same
US8452740B2 (en) Method and system for security of file input and output of application programs
JP4620158B2 (en) Content protection apparatus and content protection method
US20170357817A1 (en) File system metadata protection
US20170039383A1 (en) Method and apparatus for access control of application program for secure storage area
KR20120104175A (en) Authentication and securing of write-once, read-many (worm) memory devices
US11336628B2 (en) Methods and systems for securing organizational assets in a shared computing environment
EP3786830B1 (en) Protecting device and protecting method
JP2006244486A (en) Method for forming right of use for item on bases of access right and computer readable medium
KR20160024265A (en) File Security system based on filter driver and method thereof
TWI377483B (en)
JP4869337B2 (en) Safe processing of data
JP6493258B2 (en) Storage control device, storage device, storage control method and program
US20190370480A1 (en) System and Method to Manage File Access Rights in an Information Handling System
JP2008234188A (en) Information processing device
JP4591163B2 (en) Bus access control device
WO2011021340A1 (en) Virtual thin client making device, virtual thin client making system, virtual thin client making program, and virtual thin client making method
JPWO2006103752A1 (en) How to control document copying
CN115017108B (en) Method and apparatus for rapidly generating large files on an encrypted file system
JP2011040044A (en) Device, system, program and method for integrating virtual thin client
JP5435642B2 (en) File control program, file control apparatus, and file control method
JP2009258960A (en) File management device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170718

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180524

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180605

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180803

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190218

R150 Certificate of patent or registration of utility model

Ref document number: 6493258

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees