专利名称:为安全数据擦除过程确定磁带驱动器资源分配的方法
为安全数据擦除过程确定 磁带驱动器资源分配的方法技术领域本公开通常涉及自动数据存储系统,且更具体地,涉及选择性地 执行安全数据擦除的方法。
背景技术:
虚拟磁带系统是诸如专用存储设备或设备组和软件等磁带管理 系统,对数据进行管理,以便数据看来似乎全部存储于盒式磁带上, 而数据的一些部分实际上可能位于更快速的硬盘存储器中。针对虚拟磁带系统的程序设计有时被称为虚拟磁带服务器(VTS),尽管除非 另有特别说明,这些术语可以可互换地使用。虚拟磁带系统可以和分 级存储管理(Hierarchical Storage Management, HSM)系统一起使 用,在HSM系统中,随着数据下降到不同的使用阈值,数据被移动 到较慢但是成本较低的存储介质形式中。虚拟磁带系统也可以用作存 储区域网络(SAN)的一部分,其中使用或存档频率较低的数据可以 由针对若干联网计算机的单个虚拟磁带服务器管理。在现有技术的虚拟磁带存储系统中,例如国际商用机器公司 (IBM) Magstar Virtual Tape Server,至少一个虚拟磁带服务器 (VTS )耦接于包括大量磁带驱动器和盒式磁带的磁带库。VTS还耦 接于由大量互连的硬盘驱动器组成的直接存取存储设备(DASD)。DASD起VTS子系统的磁带巻高速緩存(TVC)的作用。当使 用VTS时,主机应用将磁带数据写到虚拟驱动器上。由主机系统所 写的巻物理地存储在磁带巻高速緩存(例如,RAID硬盘緩沖器)中 并且被称为虚拟巻。VTS内的存储管理软件将TVC中的虚拟巻复制 到VTS子系统所具有的物理盒式磁带上。 一旦将虚拟巻从TVC复制200810093021.7说明书第2/19页或者迁移到磁带上,则该虚拟巻就被称为逻辑巻。当把虚拟巻从TVC 复制到Magstar盒式磁带(磁带)上时,它们被首尾相连地复制到盒 式磁带上,仅仅占据主机应用所写的空间。该排列使盒式磁带存储容 量的利用最大化。存储管理软件管理逻辑巻在物理盒式磁带上的位置,而用户无法 控制数据的位置。当将逻辑巻从物理盒式磁带复制到TVC时,该过 程被称为再调用且该巻再次变成虚拟巻。主机无法区分物理巻和虚拟 巻,或者物理驱动器和虚拟驱动器。因此,主机将虚拟巻和虚拟驱动 器作为实际的盒式磁带和驱动器来对待,而且主机与VTS子系统中 磁带数据的所有交互都通过虚拟巻和虚拟磁带驱动器。VTS系统的一个问题是磁带内部的数据管理。VTS系统可以有 若干复制的、无效的、隐藏的或者未使用的数据拷贝。在虚拟磁带巻 被创建和/或修改(一个或多个记录被写到该巻)并关闭之后,该虚拟 巻被复制到物理磁带(逻辑)巻上。当虚拟巻被关闭时复制到物理巻 的该虚拟巻的映像是在该虚拟巻被关闭的时刻该虚拟巻的完整版本。 如果随后虚拟巻被打开并修改,当虚拟巻被关闭时,虚拟巻的该映像 也被复制到物理磁带上,然而由于该虚拟巻可能具有不同于前一版本 的尺寸,所以该虚拟巻不会覆盖该巻的在前版本。因此在任何时刻, 都可能有存在于一个或多个物理磁带巻上的相同巻序列号的不同版 本。此外,VTS内部的物理巻被排列在被称为"池,,的组中,每个物 理巻包括一个或多个逻辑巻。例如,将VTS系统所管理的每个物理 巻分配给32个池中的一个。可以理解每个物理巻池都被分配名称并 且可以有一个或多个与其相关的参数。例如,与池相关的典型的参数 包括但是不限于介质类型(例如,有10G字节磁带或20G字节磁 带的物理巻);以及管理池中的巻的规则。 一个规则可以包含"收回,, 的概念,VTS通过这一概念监控在特定物理巻中关联的数据的多少百 分比仍然有效。换言之,随着时间的过去,当数据不再被主机使用或 者为主机所需要,即已经过期时,需要将逻辑巻所占用的数据空间从物理巻收回。这样,如果池中的任何巻降到收回百分比阈值以下,则 执行收回过程以从物理巻上取消有效的逻辑巻并且将该有效的逻辑 巻放在另 一物理巻上——可能是组合多个部分完整的物理巻并填满 另一个。如果将虛拟巻从物理巻上移除并放在另一物理巻上,则第一物理 巻上的数据被删除但是没有被覆盖,因此,数据可以被恢复。进一步 地,与虚拟巻的最近版本相关的数据可能是过期的或者被用户认为是 隐藏的或未使用的,但是该虛拟巻将仍然存在于物理磁带巻上并且可 以被存取。最近,企业已经变得更加依赖于存储、组织、管理和分布数据的 能力。因此,"信息生命周期管理",以优化存储、存取和成本特性的 方式从观念到消除管理商业数据的过程已经变得日益重要。特别地, 随着机密数据已经开始在商业交易中起更加重要的作用,且更为严格 的规则被用于维护用户隐私权,数据如何被"删除"或者消除的重要性 已经增加。为了保护机密的或者敏感的数据(例如,信用卡数据、社会保障 号)和维护用户隐私权,对某些数据执行安全数据擦除以致数据不可 恢复是有利的。于此定义了安全数据擦除,使得数据通过任何合理手 段都永久性地不可恢复。现有技术方法依据先进先出的优先级基础对 要被安全擦除的数据进行优先级化,确保首先被添加至安全数据擦除 队列的物理巻首先被安全数据擦除。例如,在现有技术方法中,该过 程开始于池1并继续经过所有池直到最后一个池,循环通过每个物理 巻池,来确定哪个物理巻应该下一次被安全数据擦除。因此,通过评 估并列出池l内所有将被安全数据擦除的物理巻,然后评估并列出池2内所有将被安全数据擦除的物理巻,等等,继续到最后的池(例如 池32),直到所有池中的所有需要安全数据擦除的物理巻被评估并且 列在队列上来创建要安全数据擦除的物理巻的列表或者队列。然后, 发起安全数据擦除过程,且通过先进先出过程,现有技术的过程以物 理巻列于队列中的顺序开始物理巻的安全数据擦除。这样,VTS在池1中的那些物理巻上执行首次安全数据擦除,然后当池l内的物理巻被安全数据擦除时,VTS开始池2内物理巻上的安全数据擦除,等等, 继续直到该过程达到最后的池(例如池32)。上述现有技术的过程是充分的,只要VTS可以在到擦除最后期 限的剩余时间之内使所有物理巻被安全数据擦除,或者没有将被安全 数据擦除的物理巻的积压事务(backlog)。实际上,VTS系统可能 变得超负荷而且,例如,当池23内的物理巻正在被安全数据擦除时, 池32内的物理巻可能会超过其安全数据擦除(SDE)最后期限。所 以,具有到SDE最后期限最短剩余时间的物理巻可能被忽视或者推 迟。这会将可能包含敏感数据(例如,信用卡信息、社会保障号)的 长时间过期的物理巻置于被存取和保留的风险中。因此,具有将安全数据擦除优先级给予最接近其SDE最后期限 的物理巻的VTS系统是有利的。这样,所需要的是保证虚拟巻的旧 的或者过期的版本在特定时间间隔(例如宽限期)之后通过任何合理 的手段不能被存取的方法和系统。发明内容随着机密数据已经开始在商业交易中起更加重要的作用,并且更 为严格的规则被用于维护用户隐私权,数据如何被"删除"或者消除的 重要性已经增加。为了保护机密的或者敏感的数据(例如,信用卡数 据、社会保障号)和维护用户隐私权,对某些数据执行安全数据擦除, 以致在特定时间间隔(例如宽限期)之后数据通过任何合理手段不可 恢复是有利的。因此,本发明的一个方面提供了当确定分配额外的磁 带驱动器会改进安全数据擦除性能时、通过为安全数据擦除过程分配 额外的磁带驱动器来确保及时的安全数据擦除的方法和计算机程序 产品。确定分配额外的磁带驱动器是否会改进安全数据擦除性能通过 评估将要被安全数据擦除的物理巻的数量、最大排队阈值、到擦除最 后期限的平均时间和最小过期阈值来完成。特别地,在一个实施例中,所述评估包括比较将被安全数据擦除的物理巻的数量与最大排队阈值,且响应于将被安全数据擦除的物理 巻的数量大于最大排队阈值,计算到擦除最后期限的平均时间。所述 评估通过比较到擦除最后期限的平均时间与最小过期阈值,且响应于 到擦除最后期限的平均时间小于最小过期阈值给安全数据擦除过程 分配额外的磁带驱动器来继续。在一个实施例中,改进的性能包括在 安全数据擦除最后期限之前执行安全数据擦除。在一个实施例中,将被安全数据擦除的物理巻的数量通过物理巻 擦除计数确定,所述物理巻擦除计数通过递增具有小于时间阈值的剩 余时间的每个物理巻的计数确定。进一步地,所述剩余时间可以通过 物理巻的擦除最后期限和物理巻的当前日期之间的差计算。根据本发明的一个实施例,安全数据擦除可以利用包含逻辑1、O或者其某种组合的数据模式,通过一次或多次覆盖(overwrite)物 理巻的数据完成。在一个实施例中,可以重新分配一个或多个现有的磁带驱动器 (分配给安全数据擦除过程的磁带驱动器),以便取决于对将被安全 数据擦除的物理巻的数量、最大排队阈值和最小过期阈值的另一评 估,可移除一个或多个先前的额外分配的资源(例如磁带驱动器)、 可添加一个或多个额外资源(例如磁带驱动器)或者可将资源设置回 最小需求。最后,在一个实施例中,通过对将被安全数据擦除的物理巻的数 量、最大排队阈值、到擦除最后期限的平均时间和最小过期阈值的评 估为安全数据擦除过程确定磁带驱动器的最佳数量。响应于该评估, 为所述安全数据擦除过程分配最佳数量的磁带驱动器。
图1示出根据本公开的实施例包括数据存储子系统的数据存储 网络的详细框图;图2示出根据本公开的一个实施例选择性地执行安全数据擦除 的方法的流程图;图3示出根据本公开的另一实施例为安全数据擦除评估资源分 配的方法的流程图;以及图4示出通过本公开的一个或多个实施例可使用的数据处理系统。
具体实施方式
下述内容旨在提供本发明实例的详细说明,而不应该被视为对本 发明本身的限制。而且,任何数量的变化都可能在定义于说明书后面 的权利要求中的本发明范围之内。本公开考虑通过将安全数据擦除的优先级给予最接近其安全数 据擦除最后期限的物理巻以确保及时的安全数据擦除的方法。此外, 在一个实施例中,本公开通过当确定当前分配将无法满足安全数据擦 除需要时,分配更多的磁带驱动设备以帮助进行安全数据擦除过程来 确保及时的安全数据擦除。最后,在又一实施例中,本公开提供了一 种当磁带驱动器的最小分配将能够满足安全数据擦除需要时,返回磁 带驱动器最小分配的过程。虽然磁带管理系统于此被称为虚拟磁带系统(VTS),但是VTS 仅仅是磁带管理系统的一个实例。本领域普通技术人员可以理解本公 开适用于任何磁带管理系统,例如磁带库和虚拟磁带软件等。现在参照图1,该图示出为本公开的实施提供合适环境的示范性 虚拟存储系统100的框图。虚拟存储系统100包括虚拟磁带服务器 101、磁带库112和库管理器130。主机系统102通过网络连接,例如 TCP/IP、局域网、以太网和IBM企业系统连接(ESCON)(未示出) 连接于虛拟磁带服务器101。在一个实施例中,主机系统102是诸如 个人计算机、工作站或者大型机等通过ESCON通道连接于虚拟磁带 服务器101的计算机。在一个实施例中,虚拟磁带服务器101是诸如 个人计算机、工作站或者大型机等包括处理器的计算机,并且与直接 存取存储设备(DASD)高速緩存106相关联。优选地,DASD高速 緩存106包括一个或多个逻辑巻。在一个实施例中,DASD高速緩存106包括多个分隔成廉价冗余磁盘阵列(RAID)阵列的硬盘。磁带库112包括通常被命名为磁带驱动器110A、110B…110N的 多个磁带驱动器110,例如国际商用机器乂>司(IBM)的TS1100或 Jaguar 3592磁带驱动器或者本领域中已知的任何其他磁带驱动器。 通常,将可移动的存储巻,例如盒式磁带(tape cartridge) 116A、 116B、 ...116N载入每个磁带驱动器。由在磁带存储驱动器110与它 们在盒式磁带储存库中的相应位置之间传送选定的盒式磁带116A、 116B、 ...116N的存取器(例如,机器人)114为磁带存储驱动器110 提供服务。应该注意在图1的几个实例中使用变量标识符"N"以便更为简单 地指定一系列相关或相似元件(例如,磁带驱动器和盒式磁带)的最 终元件(例如,磁带驱动器IIOA、 IIOB、 ...IION,以及盒式磁带116A、 116B、 ...116N)。这种变量标识符的重复使用并非暗示这样一系列元 件之间的大小之间的相关性,尽管可能存在这种相关性。这种变量标 识符的使用不需要一 系列元件与由相同变量标识符定界的另外一系 列元件有相同的数量。而且,在每个使用的实例中,由"N"所标识的 变量可以拥有与相同变量标识符的其他实例相同或者不同的值。典型地,磁带库112包括用于监控盒式磁带上的活动空间并且在 系统不太活动时调度盒式磁带的收回(reclamation )的存储管理软件。 在一个实施例中,磁带库112是诸如IBM虚拟引擎TS 7740和IBM Magstar3494磁带库的磁带库系统。库管理器130被用于虚拟存储系 统100中安装、维护、配置和操作磁带库112。在自动库112中,可 以在从存储管理服务器108和/或自动存储管理管理器128接收的输入 的基础上,利用库管理器130控制存取器114。在一个实施例中,包括磁带巻高速緩存的DASD高速緩存106 为存储在磁带库112中的数据提供高速緩存。DASD高速緩存106将 逻辑巻维护为连接到装载于位于磁带库112内的磁带驱动器中的盒式 磁带里的物理巻文件的逻辑巻文件。当DASD高速緩存106中的逻辑 巻文件移动到磁带库112中的磁带驱动器时,逻辑巻文件被写到实际磁带驱动器中盒式磁带上的物理巻文件。当物理巻文件针对磁带驱动器被重新调用并移动到DASD高速緩存106时,该物理巻文件就变为 DASD高速緩存106中的逻辑巻文件。这样,DASD高速緩存106提 供了到磁带库112中所有物理巻文件的主机系统102的窗口 ,虚拟磁带数据存储系统包括通常被命名为磁带守护程序118A、 118B、 ...118N、表示并仿真到主机系统102的虚拟磁带设备的多个虚 拟磁带守护程序。进而,主机系统102的操作系统管理虚拟磁带设备 到系统用户(未示出)的显示。主机系统102将虚拟磁带设备视为实 际驱动器,并且当主机系统102企图存取选定的虚拟磁带设备中的逻 辑巻时,与主机系统102所请求的虚拟磁带设备有关的相应的虚拟磁 带守护程序将处理该主机存取请求。所示出的虚拟磁带数据存储子系统中主机到DASD高速緩存数 据传送可以通过诸如分级存储管理器(HSM)客户机122等进程由 VTS代码控制。例如,虚拟存储系统100内的HSM客户机122窃听 并处理来自虚拟磁带守护程序118A、 118B、…118N的存取请求。然 后HSM客户机122执行主机系统102存取DASD高速緩存106上的 逻辑巻文件的请求。在一个实施例中,主机到DASD的高速緩存数据 传送由处理DASD读和写命令的文件系统管理器(FSM) 120A、 120B、 ...120N直接控制。同样地,DASD高速緩存106与磁带存储驱动器110之间的接口 可以由存储管理服务器108控制。例如,如果HSM客户机122企图 安装不在DASD高速緩存106中的逻辑巻文件,HSM客户机122会 将存取请求发送至存储管理服务器108。如果存取请求中的磁带已经 被安装在磁带库112中的磁带驱动器里,存储管理服务器108将从已 安装的磁带针对被请求的逻辑巻文件存取物理巻。然而,如果磁带上 被请求的文件目前没有被安装在磁带驱动器中,存储管理服务器108 将发起到库管理器130的请求以安装包含与被请求的逻辑巻文件对应 的物理巻的磁带。可以用作存储管理服务器108和HSM客户机122的存储管理处理模块的实例是Tivoli Storage ManageK TSM )应用和IBM ADSTAR Distributed Storage Manager( ASDM )产品,它们都是由纽约Armonk 的国际商用机器公司提供的。在数据存储网络100中,存储管理服务 器108包括命令接口 124和控制台输出126。在一个实施例中,存储管理服务器108将整个逻辑巻文件从 DASD高速緩存106迁移到磁带库112。当DASD高速緩存106中的 可用空间达到预定等级或者在预定的时间段之后,自动存储管理管理 器128将指示存储管理服务器108将逻辑巻文件从DASD高速緩存 106迁移到磁带库112以便在那里归档。典型地,自动存储管理管理 器128在关联的巻状态表(未示出)中存储与物理巻有关的信息。根 据一个实施例,自动存储管理管理器128提供实现本公开的安全数据 擦除过程所需要的功能性,还利用存储管理服务器108执行许多VTS 特定的管理功能。例如,自动存储管理管理器128可以包括安全数据 擦除处理模块。通过在用户规定的特定时间间隔(即宽限期)内覆盖包含无效的 虚拟巻数据的物理巻,来满足必须处理VTS巻的旧版本以保证它们 无法被恢复的需求。这样,就引入由VTS,尤其是由VTS的自动存 储管理管理器128组件执行的,使与虚拟巻或者逻辑巻有关的数据变 为无效的功能。可以通过利用预定的文件或者数据模式(例如,逻辑 1、 0或其某种组合), 一次或多次覆盖物理巻的所有数据来对该物理是永久性地不可读的)。安全数据擦除过程的技术可以是用户或主机 可选择的(例如,依据期望的安全等级)或者是自动确定的。可以由 磁带驱动器110A、 110B、 ...110N中的一个执行覆盖。提供过期时间,在该时间物理巻上的数据是无效的、隐藏的或者 未使用的。例如,如上所述,数据可以通过收回、迁移或者修改变为 无效的、隐藏的或者未使用的。过期时间可以为日期、或者是日期和 一天的时间,在该时间数据不再是有效的或者有用的,且下面该时间 将被称为过期日期。在过期日期后的特定时间间隔(即宽限期)之后为多个物理巻中的每个物理巻设置安全数据擦除(SDE)最后期限, 而且SDE最后期限可以由用户设置(例如,用户安全数据擦除最后 期限)。SDE最后期限是必须执行安全数据擦除以避免保留不必要的 数据的日期。在从过期时间起的特定时间间隔(即宽限期)之内执行 安全数据擦除以确保机密数据和用户信息被保持一段所需的时间、但 无法在这段所需时间之后通过任何合理手段恢复是有利的。例如,可 以借助于法律要求诸如银行记录和信用卡信息等文件被保持特定时 间间隔(即宽限期)。然而,在该所需的时间间隔(即宽限期)过去 之后,公司对信息进行安全数据擦除,以便该信息不再是可恢复的是 有利的。这样,对于特定的池,期望确保在特定时间间隔(即宽限期) 之后,通过诸如覆盖过期数据等方式,物理巻上过期的数据不再是借 助任何正常手段可存取的。图2示出定期确定VTS所管理的物理巻中的哪个应该是将被安 全数据擦除的下一个物理巻的过程。为了便于讨论,假定该过程是由 VTS执行的机器执行指令(以每天为基础,例如每24小时等等,然 而,该过程可以每12小时或者视情况而定的任何粒度被执行)。如 图2所示,本过程从VTS获得物理巻(或者下一物理巻)以评估安 全数据擦除的需求的步骤202开始。尽管描述的是由VTS在图2和图3所示的过程中执行各种功能, 但是本领域的普通技术人员可以理解,可以是诸如直接存储管理服务 器108 (例如,TSM服务器)、HSM客户机122 (例如,TSM HSM 客户机)或者自动存储管理管理器128 (例如TSM自动管理程序)等 在VTS的处理器上运行的应用来执行这些功能。步骤204中,VTS确定当前日期是否迟于被选定物理巻的过期 曰期。物理巻的过期日期被定义为包含在该物理巻之内的数据被认为 是无效的、隐藏的或者不再有用的时间和/或日期。如果确定当前日期不迟于过期日期,则本过程进入处理块214。 在处理块214中,VTS(例如,诸如直接存储管理服务器108、 HSM 客户机122、或者自动存储管理管理器128等在处理器上运行的应用)确定当前正在被评估的物理巻是否为最后物理巻。在当前正在被评估的物理巻是最后物理巻的情况下,本过程继续继续到步骤216。如果 确定当前正在被评估的物理巻不是最后物理巻,则本过程进入步骤 202,其中VTS获得下一物理巻以进行评估。如果确定当前日期迟于过期日期,则本过程进入步骤206,其中 VTS确定该物理巻对于安全数据擦除是否可用。VTS可以在若干因素 的基础上确定该物理巻对于安全数据擦除是否可用。例如,如果该物 理巻目前正在被额外的数据填充,或者如果该物理巻或者该物理巻的 部分正在被读取等等,则该物理巻对于安全数据擦除将是不可用的。如果确定该物理巻对于安全数据擦除是不可用的,则本过程继续 到处理块214。在处理块214中,VTS确定当前正在被评估的物理巻 是否为最后物理巻。在当前正在被评估的物理巻是最后物理巻的情况 下,本过程继续继续到步骤216。如果确定当前正在被评估的物理巻 不是最后物理巻,则本过程进入步骤202,其中VTS获得下一物理巻 以进行评估。如果在步骤206中确定该物理巻对于安全数据擦除是可用的,本 过程继续到VTS计算剩余时间的步骤208。剩余时间可以定义为当前 日期(例如,今天的日期和/或时间)到安全数据擦除(SDE )最后期 限之间剩余的时间。剩余时间通过SDE最后期限与当前日期之间的 差来计算。例如,如果SDE最后期限是2006年7月26日,而当前 日期为2006年7月11日,则计算出的剩余时间是15天。本领域普 通技术人员可以理解,剩余时间视情况而定可以表示为天、小时、分 钟或者秒。在步骤210中,VTS将剩余时间与时间阈值比较。时间阈值是 可以由用户定义的时间段。在一个实施例中,时间阈值可以是用户确 定的足够接近SDE最后期限的、保证物理巻的安全数据擦除的时间 段。例如, 一个用户可以定义距离SDE最后期限为IO天的时间阈值, 而另一个用户可以定义距离SDE最后期限为5天的时间阈值。如果VTS确定剩余时间大于时间阈值,则本过程继续到步骤214。在步骤214中,VTS确定目前正在被评估的物理巻是否为最后 物理巻。在当前正在被评估的物理巻是最后物理巻的情况下,本过程 继续继续到步骤216。如果确定当前正在被评估的物理巻不是最后物 理巻,则本过程进入步骤202,其中VTS获得下一物理巻以进行评估。 在一个实施例中,除了以上所述的步骤,如果确定剩余时间小于 时间阈值,则本过程继续到步骤212,其中VTS递增计数。计数的递 增考虑记录当前过期的、对于安全数据擦除可用的、并且具有小于用数据擦除排队的物理巻)的数量。如以下关于本公开的另一实施例所 讨论,将被安全数据擦除的物理巻的数量(例如,物理巻擦除计数) 的记录对于确定安全数据擦除过程的额外资源分配可能是有利的。在步骤212之后,本过程继续到步骤214。在处理块214中,VTS 确定目前正在被评估的物理巻是否为最后物理巻。在当前正在被评估 的物理巻是最后物理巻的情况下,本过程继续继续到步骤216。如果 确定当前正在被评估的物理巻不是最后物理巻,则本过程进入步骤 202,其中VTS获得下一物理巻以进行评估。本过程如所述继续直到所有池中的所有物理巻都已经被评估。一 旦所有池中的所有物理巻都已经被评估,本过程继续到物理巻按照剩 余时间被分类的步骤216。在步骤218中,响应于在剩余时间的基础上对物理巻分类,VTS (或者VTS内部的处理器(未示出))发送命令到驱动器以对带有 最小或最短剩余时间量的物理巻进行安全数据擦除。如在此所用,最 短剩余时间量是通过当前日期(例如,今天的日期和/或时间)到安全 数据擦除(SDE)最后期限的最小差值计算的剩余时间,驱动器通过 利用预定的文件或数据模式(例如,逻辑1、 0或者其某种组合)一 次或多次覆盖物理巻上的所有数据执行安全数据擦除。 一旦安全数据 擦除被执行,驱动器就发送响应到VTS (例如,经由存储管理服务器 到HSM客户机),说明安全数据擦除已经被执行。然而,如果驱动 器不响应安全数据擦除已经被执行,则该物理巻将保留在将被安全数据擦除的物理巻队列中。在有多个当前过期的、对于安全数据擦除可 用的、并且具有小于用户定义的时间阈值的剩余时间的物理巻的情况下,VTS将继续对具有最小或最短剩余时间的下一物理巻进行安全数 据擦除,直到所有当前过期的、对于安全数据擦除可用的、并且具有 小于用户定义的时间阈值的剩余时间的物理巻都被安全数据擦除。如上所讨论,自动存储管理管理器128将与物理巻有关的信息存 储在关联的巻状态表(未示出)中。巻状态表(未示出)列出系统中 的每个物理巻并且包括与物理巻有关的一个或多个参数。在一个实施 例中,巻状态表可以包含下列一个或者多个每个物理巻的过期日期; 每个物理巻的时间间隔(即宽限期);每个物理巻的安全数据擦除 (SDE)最后期限;剩余时间(在步骤208中计算);以及排队的安 全数据擦除数或量(如步骤212中计数并确定)。巻状态表可以定期, 例如每当该过程被发起时被更新,以维护与每个物理巻有关的当前参 数。如本领域的普通技术人员所理解,巻状态表还可以具有在安全数 据擦除过程中有帮助的额外的信息。图2的流程图中的每个块,以及随后的图中所描述的那些可以由 模块(例如,软件模块)或者模块的一部分或者计算机系统执行。因 此,于此所述的方法、其操作和执行这样的方法的模块可以在配置为行。可以在配置计算机系统以执行该方法的机器可读的和/或计算机可 读的介质中将该方法具体化。軟件模块可以被存储在计算机系统内存 中和/或被发送至计算机系统内存,从而配置计算机系统以执行该模块 的功能。作为选择,这种动作可以在实现这种功能性的电路结构中被 具体化,例如复杂指令集计算机(CISC)或者精简指令集计算机 (RISC)的微代码、被编程到可编程或者可擦除/可编程设备中的固 件、现场可编程门阵列(FPGA)的配置、门阵列或者全定制特定用 途集成电路(ASIC)的设计等等。本领域的技术人员也将认识到于此所描述的模块和操作之间的 界限仅仅是可以合并这种模块或操作,或者将功能性的可选择分解用于其上的说明性的和可选择的实施例。例如,于此所讨论的动作可以 分解为将被执行为多个计算机进程的子操作。此外,可选择的实施例 可以结合特定操作或子操作的多个实例。而且,本领域的技术人员将 认识到示范性的实施例中所描述的操作仅仅是为了说明。根据本公开 可以结合操作或者可以在额外的操作中分布该操作的功能性。对于本 领域的技术人员也是显而易见的,于此所描述的确定时延或者抖动的 方法可以采用其他技术(对于此所描述的那些技术同样有效)做出这 种确定,且规定为通过于此所讨论的方法和机制理解这种可选择的技 术。图3示出一个流程图,其中可以分配额外的资源(例如磁带驱动 器)以执行安全数据擦除,或者选择性地,可以重新分配一个或多个 现有的磁带驱动器(分配给安全数据擦除过程的磁带驱动器),以便 一个或多个以前额外分配的资源(例如磁带驱动器)可以被移除、一 个或多个额外资源(例如磁带驱动器)可以被增加或者资源可以被设 置回最小需求。根据分配额外磁带驱动器是否会改进安全数据擦除性 能,来确定磁带驱动器资源的增加。改进可以是磁带管理系统(例如 VTS)在安全数据擦除最后期限之前执行安全数据擦除的能力,如下 进一步所述。根据安全数据擦除过程是否能够借助较少的磁带驱动器 或者借助为最小运行需求分配的磁带驱动器数量运行并满足安全数 据擦除最后期限,来确定磁带驱动器资源的移除。如上对于步骤212的讨论,可以保持当前过期的、对于安全数据 擦除可用的并且具有小于用户定义的时间阈值的剩余时间的物理巻 的数或量的递增计数。在其他实施例中,可以通过其他方法获得将被 安全数据擦除的物理巻的计数。当前过期的、对于安全数据擦除可用 的并且具有小于用户定义的时间阈值的剩余时间的物理巻的计数定 义了排队的安全数据擦除操作的数或量。图3示出根据本公开的实施例评估安全数据擦除的资源(例如磁 带驱动器)分配的方法的流程图。为了便于讨论,假定该过程是依据 安全数据擦除的请求、依据用户请求或者周期性地(例如,每24小时、每12小时或者视情况而定的任何粒度)由VTS执行的代码。本 流程从步骤301开始并且流向步骤302。如步骤302所示,VTS将排 队的安全数据擦除操作的数或量与最大排队阈值做比较。最大排队阈 值可以由用户定义。例如,用户可以确定最大排队阈值为VTS系统 能够利用当前的资源,不超过安全数据擦除最后期限而成功地进行安 全数据擦除的物理巻的数或量。例如,用户可以定义该最大排队阈值 为15个物理巻。如果排队的安全数据擦除操作的数量(例如,16)大于最大排队 阈值,则本过程继续到步骤306。在步骤306中,计算到用户安全数 据擦除(SDE)最后期限的平均时间并将其与最小过期阈值比较。到 SDE最后期限的平均时间通过对安全数据擦除队列中每个物理巻到 SDE最后期限的剩余时间求和并且用该和除以安全数据擦除队列中 物理巻的量来确定。最小过期阈值可以由用户定义。例如,用户可以 通过考虑用户可合理期待在到达SDE最后期限之前安全数据擦除驱 动器的当前分配能够对排队的物理巻数量进行安全数据擦除的最小 时间量(例如天数或者小时数),来确定并且定义最小过期阈值。如 果到SDE最后期限的平均时间大于最小过期阈值,则本过程结束于 步骤312而不分配或移除任何安全数据擦除资源。例如,如果到SDE 最后期限的平均时间是15天,而最小过期阈值已经被用户设置为3 天,则期望当前安全数据擦除资源(例如磁带驱动器)足够在SDE 最后期限之前安全数据擦除排队的物理巻。如果到用户SDE最后期限的平均时间小于最小过期阈值,则本 过程继续到VTS分配多个磁带资源(例如磁带驱动器)以完成排队 的安全数据擦除操作的步骤310。例如,如果到SDE最后期限的平均 时间是1天,而最小过期阈值已经被用户设置为3天,则期望当前安 全数据擦除资源(例如磁带驱动器)将不能够满足对安全数据擦除队 列内所有物理巻进行安全数据擦除的要求。在本实例中,本过程将继 续到步骤310,并且为安全数据擦除过程分配额外的磁带驱动器。在 步骤310之后,本过程继续到本过程结束的步骤312。在一个实施例中,VTS可以通过恢复磁带驱动器IIOA、 110B...110N中的一个分配额外的磁带驱动器以执行安全数据擦除的 覆盖过程。恢复的磁带驱动器(例如IIOA、 110B...110N中的一个) 以前可能已经在VTS内被使用以执行读或写过程。由于磁带驱动器 (例如110A、 110B...110N中的一个)不再能够执行那些功能,现在 VTS系统少了一个驱动器来执行读和写操作。因此,当需要额外资源 的时候只分配额外资源(例如磁带驱动器),而当不再需要额外资源 时使该资源(例如磁带驱动器)返回其原始功能是令人满意的。
在另一实施例中,VTS可以通过请求将额外的磁带驱动器添加 至磁带库112将额外的磁带驱动器分配给安全数据擦除过程。可以通 过如显示器或者图形用户界面(GUI)等界面传送该请求。在另一实 施例中,可以分配一个或多个额外的资源(例如磁带驱动器)来执行 安全数据擦除。
返回步骤302 ,如果确定排队的安全数据擦除操作的量小于最大 排队阈值,则本过程继续到步骤304。在步骤304中,将安全数据擦 除操作的量与最小排队阈值比较。最小排队阈值可以由用户定义。用 户可以将最小排队阈值确定并定义为在最小操作需求的情况下、在到 达SDE最后期限之前可能被安全数据擦除的安全数据擦除的数量。 如果安全数据擦除操作的数量小于最小排队阈值,则针对安全数据擦 除过程的磁带驱动器的分配被设置为最小操作需求。在另一实施例 中,可以重新分配一个或多个现有的磁带驱动器(分配给安全数据擦 除过程的磁带驱动器)以便可以移除一个或多个以前额外分配的资源 (例如磁带驱动器)。在步骤308后,本过程结束于步骤312。
如果VTS确定安全数据擦除操作的量大于最小排队阁值,则维 护磁带驱动器资源的当前分配,且本过程结束于步骤312。
在又一实施例中,针对安全数据擦除过程的磁带驱动器的分配可 以被立刻执行,而不是如上所述以逐渐的方式执行。VTS系统可以通 过执行如前面所述的步骤302、 304、 306、 308和310确定针对安全 数据擦除过程的磁带驱动器的最佳数量。 一旦驱动器的最佳数量被确定,VTS就为如上所述的安全数据擦除过程分配最佳数量的驱动器。 针对安全数据擦除过程的最佳数量的磁带驱动器是在安全数据擦除 最后期限之前执行安全数据擦除所需的最小数量的磁带驱动器,该最 佳数量可以按周期性的间隔(例如,以每天为基础、每24小时或者 视情况而定的任何粒度)被重新评估。图2和图3示出根据本公开的实施例安全数据擦除过程的流程 图。尽管图2和图3中所示的流程图表示特定顺序的操作和具体粒度 的处理操作,在可选择的实施例中,所示的顺序可以被改变(例如, 处理操作可以以另一顺序执行或者实际上被并行执行),而且一个或 多个处理操作可以被合并或分裂。同样地,另外的处理操作可以被添 加到本公开可选择实施例的必需的地方。如上所讨论,自动存储管理管理器128在关联的巻状态表(未示 出)中存储与物理巻有关的信息。巻状态列表列出系统中的每个物理 巻并包括与该物理巻有关的一个或多个参数。在一个实施例中,巻状 态表可以包括下列一个或者多个排队的安全数据擦除数量(如步骤 212中所确定);和/或到SDE最后期限的平均时间。该巻状态表可 以与以上关于图2描述的巻状态表结合起来,或者该巻状态表也可以 创建为单独的表。该巻状态表可以定期地,例如每当图2和图3的过 程被发起时被更新,以维护与每个物理巻有关的当前参数。如本领域 的普通技术人员所理解,巻状态表还可以具有在安全数据擦除过程中 有帮助的额外的信息。图4通过一个或多个本公开的实施例示出可用的数据处理系统。 虽然已经示出关于图4的数据处理系统400的特定数量和排列的元 件,可以理解本>^开的实施例并不限于具有任何特定数量、类型或者 元件排列的数据处理系统,因此可以包括多种多样的数据处理系统类 型、体系结构和构成因素(例如网络元件或节点、个人计算机、工作 站、服务器等等)。所示实施例的数据处理系统400包括利用总线406 耦接于存储器404的处理器402。存储器404可以包括任何数量诸如 随机存取存储器(RAM)、只读存储器(ROM)、闪存和高速緩存的系统存储器型的存储元件。所示实施例的数据处理系统进一步包括耦接于总线406以通信 地耦接于到数据处理系统400的一个或多个I/O设备(未示出)的输 入/输出U/o)接口。示范性的1/0设备可以包括传统的1/0设备, 例如键盘、显示器、打印机、光标控制设备(例如跟踪球、鼠标、图 形输入板等等)、扬声器和麦克风;例如固定的或者"硬"磁介质存储 设备、光存储设备(例如CD或者DVD ROM)、固态存储设备(例 如USB、 Secure Digital SDTM、 CompactFlash 、 MMC等等)、诸 如软盘和磁带等可移动的磁介质存储设备、或者其他存储设备或介质 等存储设备;以及有线的或者无线的通信设备或介质(例如,经由调 制解调器或直接网络接口接入的通信网络)。本公开的实施例可以包括软件、信息处理硬件和于此进一步描述 的各种处理操作。本公开的特性和处理操作可以在诸如存储器404、 存储设备、通信设备或介质等内具体化的可执行指令中被具体化。机 器可读介质可以包括以被机器(例如数据处理系统400)可读的形式 提供(即存储和/或发送)数据的任何机制。例如,机器可读介质包括 但是不限于随机存取存储器(RAM);只读存储器(ROM);磁 存储介质;光存储介质;闪存设备;电、光和/或声传播的信号(例如 栽波、红外信号、数字信号等);等等。所述的可执行指令可以用于 产生例如处理器402通过指令被编程的普通或特殊用途处理器,以执 行本公开的操作、方法或者处理。可选择地,本^^开的特性或者操作 可以由包含执行该操作的硬连线逻辑的具体的硬件元件执行,或者由 编程的数据处理元件与定制的硬件元件的任何组合执行。本公开已经在全功能数据处理系统的上下文中被描述;然而, 本领域的技术人员可以理解本公开能够以不同的形式作为程序产品 被分布,并且不管用于实现分布的信号承载介质的具体类型如何都可 以同样地应用。这种信号承栽介质的实例包括诸如软盘和CD-ROM 等可记录的介质、诸如数字和模拟通信链路等传输型介质,以及未来 开发的介质存储和分布系统。本公开的实施例同样可以利用用于执行某些操作或任务的软件模块实现。所述软件模块可以包括脚本、批、 或者其他可执行文件并且可以存储在机器可读的或者计算可读的介
质上。所以,模块可以存储于计算机系统内存中,从而配置数据处理 或者计算机系统以执行软件模块的 一个或多个功能。其他的新的和各
种类型的机器或者计算机可读的存储介质可以用来存储于此所讨论 的模块。
尽管已经示出并描述了本发明的特定实施例,然而对于本领域
的技术人员显而易见的是,可以做出以于此的示教为基础的变化和修 改而不背离本发明及其更宽的方面,因此,当所有的这种变化和修改
在本发明真实的精神和范围之内时,它们也将被包含在附加的权利要 求的范围之内。此外,可以理解本发明由附加的权利要求单独定义。
权利要求
1.一种方法,包括接收在磁带管理系统中执行安全数据擦除过程的请求,所述磁带管理系统具有多个磁带驱动器;响应于所述请求,确定分配额外的磁带驱动器是否会改进安全数据擦除性能,所述确定包括对将被安全数据擦除的物理卷的数量、最大排队阈值、到擦除最后期限的平均时间和最小过期阈值的评估;以及响应于所述确定分配额外的磁带驱动器会改进所述安全数据擦除性能,为所述安全数据擦除过程分配额外的磁带驱动器。
2. 如权利要求l所述的方法,其中所述评估进一步包括 将所述将被安全数据擦除的物理巻的数量与所述最大排队阈值相比较;以及响应于所述将被安全数据擦除的物理巻的数量大于所述最大排 队阈值,计算到所述擦除最后期限的所述平均时间。
3. 如权利要求2所述的方法,其中所述评估进一步包括将到所述擦除最后期限的所述平均时间与所述最小过期阈值相 比较;以及响应于到所述擦除最后期限的所述平均时间小于所述最小过期 阈值,执行所述为所述安全数据擦除过程分配额外的磁带驱动器的步
4. 如权利要求1所述的方法,其中所述将被安全数据擦除的物 理巻的数量通过物理巻擦除计数确定,其中所述物理巻擦除计数通过 对剩余时间小于时间阈值的每个物理巻递增计数来确定。
5. 如权利要求4所述的方法,其中所述剩余时间通过所述物理 巻的所述擦除最后期限和所述物理巻的当前日期之间的差来计算。
6. 如权利要求l所述的方法,其中所述安全数据擦除过程包括 覆盖所述物理巻的数据。
7.如权利要求6所述的方法,其中所述覆盖包括利用包含逻辑 1、0或者其特定组合之一的数据模式一次或多次覆盖所述物理巻的所 述数据。
8. 如权利要求l所述的方法,进一步包括响应于对所述将被安 全数据擦除的物理巻的数量、所述最大排队阈值和最小排队阈值的另 一评估,重新分配为安全数据擦除过程分配的所述多个磁带驱动器中 的一个或多个。
9. 如权利要求l所述的方法,其中所述改进的安全数据擦除性 能包括在所述擦除最后期限之前执行所述安全数据擦除。
10. —种方法,包括为安全数据擦除过程确定磁带驱动器的数量,所述确定包括对将 被安全数据擦除的物理巻的数量、最大排队阈值、到擦除最后期限的 平均时间和最小过期阈值的评估;以及响应于所述确定所述磁带驱动器的数量,为所述安全数据擦除过 程分配所述数量的磁带驱动器。
11. 一种磁带管理系统,包括 多个磁带驱动器;以及耦接于所述多个磁带驱动器的处理器,其中所述处理器被配置为响应于所述磁带管理系统接收执行安全数据擦除过程的请求,确 定分配额外的磁带驱动器是否会改进安全数据擦除性能,所述确定包 括对将被安全数据擦除的物理巻的数量、最大排队阈值、到擦除最后 期限的平均时间和最小过期阈值的评估;以及响应于所述确定分配额外的磁带驱动器会改进所述安全数据擦 除性能,为所述安全数据擦除过程分配额外的磁带驱动器。
12. 如权利要求ll所述的磁带管理系统,其中所述处理器被进 一步配置为将所述将被安全数据擦除的物理巻的数量与所述最大排队阈值 相比较;以及响应于所述将被安全数据擦除的物理巻的数量大于所述最大排 队阈值,计算到所述擦除最后期限的所述平均时间。
13. 如权利要求12所述的磁带管理系统,其中所述评估进一步包括将到所述擦除最后期限的所述平均时间与所述最小过期阈值相 比较;以及响应于到所述擦除最后期限的所述平均时间小于所述最小过期 阈值,分配所述额外的磁带驱动器给所述安全数据擦除过程。
14. 如权利要求11所述的磁带管理系统,其中所述将被安全数 据擦除的物理巻的数量通过物理巻擦除计数确定,其中所述物理巻擦 除计数通过对剩余时间小于时间阈值的每个物理巻递增计数来确定。
15. 如权利要求14所述的磁带管理系统,其中所述处理器被配 置为通过计算所述物理巻的所述擦除最后期限和所述物理巻的当前 日期之间的差来确定所述剩余时间。
16. 如权利要求11所述的磁带管理系统,其中所述磁带驱动器 被配置为通过覆盖所述物理巻的数据执行所述安全数据擦除过程。
17. 如权利要求16所述的磁带管理系统,其中所述磁带驱动器 被进一步配置为通过利用包含逻辑1、 0或者其特定组合之一的数据 模式, 一次或多次覆盖所述物理巻的所述数据来执行所述覆盖。
18. 如权利要求11所述的磁带管理系统,所述处理器被进一步 配置为响应于对所述将被安全数据擦除的物理巻的数量、所述最大排 队阈值和最小排队阈值的另一评估,重新分配为所述安全数据擦除过 程分配的所述多个磁带驱动器中的一个或多个。
19. 如权利要求11所述的磁带管理系统,其中所述改进的安全 数据擦除性能包括在所述擦除最后期限之前执行所述安全数据擦除。
20. —种包括计算机可用介质的计算机程序产品,包括 计算机可读的程序,其中当所述计算机可读的程序在计算机上被执行时使计算机实现前述任一方法权利要求。
全文摘要
提供一种通过评估将被安全数据擦除的物理卷的数量、最大排队阈值、到擦除最后期限的平均时间和最小过期阈值确定分配额外的磁带驱动器是否会改进安全数据擦除性能,从而确保及时安全数据擦除的方法和计算机程序产品。当确定分配额外的磁带驱动器会提供安全数据擦除性能时,为安全数据擦除过程分配额外的驱动器。
文档编号G06F3/06GK101290557SQ20081009302
公开日2008年10月22日 申请日期2008年4月15日 优先权日2007年4月19日
发明者C·M·桑索尼, 劳拉·J·奥斯塔西耶夫斯基, 格里高里·T·基什, 马克·A·诺曼 申请人:国际商业机器公司