专利名称:在介质存储设备上提供存取保护的系统的制作方法
技术领域:
本发明涉及存储设备,更具体地说,本发明涉及管理存取磁带设备的系统。
在任何数据处理系统中,数据的完整性是一个关键考虑因素。在大部分数据处理环境中,由于对数据的非授权存取,需要防止出现数据完整性问题。某些程序允许系统输入对数据集的存取准则及对用户的存取权限。然后,系统利用这些信息管理数据的存取。对磁带设备,这个保护机制是典型地限于对称为“文卷”的整个磁带的存取管理。
然而,磁带设备习惯地在同一文卷上支持多个数据集的存贮,即使单数据集也要另外考虑可能有残余的数据留在介质上,这些数据是以前使用过的,它留在最后一次写入的数据集结尾之前。存取这些剩余的信息,在某些场合称为“object reuse(对象重使用)”如果对介质的存取不管理用户授权的介质上数据的范围,这二种情况均体现潜在的秘密暴露。这里只是典型地单个数据集情况。
在某些环境中,磁带应用程序允许发出输入/输出(I/O)命令(如,通道程序),典型地没有多少控制程序的管理。在另一些环境中,控制程序负责完成标号和文件格式化,而应用程序负责文件的读和写数据部分。尽管某些设备提供保护辅助机制,以拒绝某些由控制程序所保留使用的命令,这保护并不用于存取介质的控制命令。利用引入的命令,允许随机地在介质上对不同块或分区定位。一个应用程序有能力对超出单个文件范围的定位,这单个文件已由控制程序结合保密软件给予过对其的管理。另外还有标准应用程序限制在单文件范围内利用这些功能,具有明显的性能改进,所以,它从应用程序发生的这些命令不具有简单更改能力。
第一种目前所用防止目标重使用的解决办法是在文卷上只存贮一个文件,并擦除在数据集后的文卷的其余部分。这种解决办法有下述问题。
首先,只能有单个文件存贮在文卷上,多个文件将面临应用程序存取数据超过一个文件的问题,随着文卷容量增加,为了充分利用这些容量存贮多个文件已成为存贮管理的标准部分。平均文件大小通常明显小于文卷的整个容量。
第二,应用程序可以重写文卷上格式化的部分,而该文卷不应该被重写,如数据集的标号组。
第三,应用程序可以试图去写格式化信息,如带标,这将导致介质上出现无效文件格式。
第四,应用程序可以试图在控制程序结束介质上文件格式化之前卸载介质。可以使应用程序去卸载当前介质及存取某些其它介质。例如,某些设备提供一装载命令。某些设备装载器具有自动装载方式,当当前的文卷被卸载时,引起其他文卷装载。
第五,实现清除功能的时间需求可能是巨大的。在大部分磁带设备中,这个功能需要设备在文件结束后,重写文卷的任何部分。随着文卷容量增加,实现这个功能所需时间线性增加。例如,擦除一个设备上10千兆位文卷,以每秒1兆位数据率写时,大约需要10,000秒即3小时。如果,大量的处理文件需要这种处理类型,那么,对正常处理的磁带设备的可用性被严重冲击。
第二种方案是对控制程序贯穿每个通道程序进行扫描,通道程序是从应用程序接收到的,用来决定是否有任何命令可能有不合乎需要的作用,这种解决办法有下述问题。
首先,存在同每个通道程序扫描有关的开销。
第二,通道程序通常在用户地址空间中,这引起额外的复杂的存贮器保护键及地址空间的传输问题。
第三,控制程序需要检查同命令有关的参数数据,以使评价它的作用,这包括设备命令集的详细的知识必须缩码到控制程序中。这也产生当新功能每次被引入时,必须更新控制程序的问题,以致它们不能被控制程序中执行的检查拒绝。(例如,一个未知功能或命令被假定为可能的存取违例,因此,它必须被拒绝)。这可以通过直接的在应用程序中而无需控制程序的知识,提供支持,以防止过早引入新功能。
第四,这程序可能不能评估命令是否产生问题。例如,一定位命令指定某些逻辑块远在介质的后端。控制程序可能知道也可能不知道当前有效数据集的限度(如,逻辑块的范围)。
因此,可能不能确定是否存取是超出数据集的范围。
因此,在本领域需要一种快速,低价的技术以限制对磁带文卷存取,而不浪费未使用的容量。
为解决现有技术中的必需,本发明目的在于提供用于限制对诸如磁带驱动装置的介质存储器设备存取的方法和系统。根据本发明的方法,控制参数集为给定的应用程序对设备而产生,磁带控制装置用这些参数去处理来自应用程序的命令,并由此控制对磁带的存取。在所说明应用中,在磁带上所定义的限度及所定义的控制,管理在此限度内允许的存取类型。该系统拒绝任何企图存取定义限度之外的介质的命令。在限度内的写和格式化命令受到限制,且分区改变,装载和卸载命令被禁止。
图1为计算机设备输入输出系统的方框图,该系统利用本发明的教导。
图2为本发明系统中所用的控制程序逻辑流程图。
图3为本发明系统中所用的设备控制逻辑的流程图。
所举例的实施例及典型应用,将根据附图来说明,在附图中公开了本发明占优势的技术。
而本发明在此所说明的参数实施例为特殊应用。应该了解,本发明并不限于此。在本领域具有一般技术的人利用在此提供的教导,将承认在此范围内的改进,应用及实施例,且本发明将明显地可利用到另外的领域。
图1为利用了本发明教导的计算机设备的输入输出系统的方框图。系统10包括计算机12,设备控制单元14,介质存贮设备16和介质18。用户应用程序20在计算机10上运行,产生输入输出(I/O)请求,这些请求通过计算机控制程序22被接收和解释。在典型的执行过程中,应用程序可以是字处理程序,由控制程序可以是操作系统程序,如DOS或UNIX。
根据本发明的教导,在应有请求的开始时,控制程序22识别应用程序(24)的属性及程序正在工作的数据集的属性,并产生控制集以访问设备控制单元14的监视器和控制程序28。典型的应用属性包括具有访问特权的(如只读,读—写等)数据组的表,典型的数据集属性包括一数据组,利用这数据组属性被联系起来并可能限制访问(如只读,读写等)控制单元14是一个具有微处理器(没有显示)的设备管理器,微处理器把具有计算机12的协议的信号格式转换成输入输出设备16的协议信号格式。控制单元14也控制I/O设备16去格式化并定位介质18,同时去分别访问文件30,32和34。在图示实施例中,I/O设备16是磁带驱动装置,而介质18是磁带。
本发明的工作在流程图2和3中说明。图2是用在本发明的系统中的控制程序逻辑流程图。图3是用在本发明的系统中的设备控制逻辑流程图。
如图2中说明所示,在流程图40的步42上,控制程序22接收请求去运行应用程序20。在步44上,程序22分别去取应用属性和数据集属性24和26。接着,在步46上,程序22根据属性确定合适的控制。例如,若程序已读访问数据组,这数据组被数据集与其相联系,控制应指定限制读存取,并限制在与此数据集相关的介质部分。
在步48上,控制送到控制单元1 4的访问监视器及控制程序28,并存贮到存贮器中(没有显示出来),然后,执行应用程序(步50)。在步52和54,通过在访问监视器和控制程序28中图3的设备控制逻辑程序60处理I/O请求。如果检测出保护违例,I/O请求结束,在某些情况下,应用程序被终止且程序结束(步58)。如果没有发生保护建例,应用程序被允许去访问设备16。
如图3所说明那样,访问监视器和控制程序28的设备控制逻辑程序处理来自应用程序的I/O请求,并用存储器中初始检查检测保护违例,以便决定是否提供设备控制(步64)。如果没有提供,命令被处理。如果设备控制被提供在存储器中,程序60在步66恢复控制。然后,I/O命令针对每个控制(步68,70等)被检查。如果没有一个控制是违例的,命令被处理(在步72)且良好状态被返回到控制程序(步74),然而,如果任一控制违例,命令失败(步76),保护违例被指示在控制程序上(图2的步54)。
控制可以如下定义。首先,在介质18上定义一个限度,看作在介质18上逻辑上连续存储位置的范围。例如,仅作为读访问的磁带卷,逻辑块的范围是在给定介质分区中一个逻辑块开始,通过一系列相同分区的连续逻辑块构成,或者是一个或多个连续介质区。对作为写访问的磁带卷,其限度典型地将是指定起始位置,如一个区分或跟着的某些指定逻辑块的开始,并产生结束位置,例如相同或某些后续区的结束。
根据本发明的教导,这新命令被产生(如“定义限度”),这命令用来指定所保护的介质限度的开始和结束位置。为了管理不同情况,起始位置参数可用下述方法中任何一种指定限度的开始1)介质的开始;2)分区的开始;3)当前介质位置(如,在正向中,下一块之前);4)在前面带标记之后的位置;5)在介质上指定分区号或逻辑块号。其中方法1和2典型地用于应用程序分别对全部介质或全部分区访问的情况。方法3典型地用于当介质处于所访问文件的开始。方法4典型地相同于方法3用在文件正向被访问的情况下,方法4亦可以用于当介质处于文件结束时,指定文件的开始。方法5可用来定义介质上任意起始点。除了方法4以外所有情况,设备可结合限度的起点确定一具体的分区号和逻辑块号。对方式4,设备只是在如果它已经访问了在前面带标和当前位置之间的所有逻辑块时,可结合限度的起点确定一具体的分区号和逻辑块号。
为了管理不同情况,结束位置参数可用下述方法中任何一种指定限度的结束1)介质的结束;2)分区的结束;3)当前介质的位置(如,在反向中下一块之后);4)在后续带标之前的位置;5)数据的结束(如,所写的最后有效块之后);6)在介质上指定分区号和逻辑号。
方法1和2将典型地分别用于二种写情况,即应用程序已访问了跟随在限度开始后整个介质上的所有数据,或者是全部分区。方法3典型用于当介质处在所要访问文件的结束位置时,方法4典型用于当介质位于文件开始时,此文件被作读访问,且控制程序并不知道此文件结束的正确位置(如通过正向下一个带标,标示位置)。方法5用于存取数据,直到写到介质上的最后一个块的最后一个记录。这将典型地用于当应用程序要对介质上所有有效数据进行存取,(例如包括在文件尾的任何标签或带标志)。这种选择在设备上不提供,设备不支持数据标志的结束,也就是说在这种情况下,数据结束的标志不被写入。方式6能用来定义在介质上的任何结束点。对除了用方式4和5的所有情况,设备可结合限度的结束确定一具体的分区号和逻辑块号。对方式4和5,设备只是在如果它已经访问了当前介质位置和指定限度的结束之间所有逻辑块,相关于限度的结束确定指定分区号和逻辑块号。
其次,控制确定对介质的操作哪一种存取类型是允许的。在没有下列控制的情况下,应用程序通常对介质的任何部分具有完全的读和写访问限度保护(extent protect)。
当其起作用时,任何企图定位介质超出指定限度的命令均被拒绝,这限度由已发出的最后的定义限度的命令指定。实际上,介质的定位必须保持在所定义的限度内。如果,当发生命令时,介质没有定位在限度之内,此控制就不应使其起作用。如果设备不能把运动方向上的限度边界和如上面讨论的所指定逻辑块号相关起来,定位命令的执行就受到限制。在这种情况下,设备通常必须顺序访问当前位置和目标位置之间所有块,以保证不遇到限度边界情况。在此情况下,定位操作性能的降低是可能的。在考虑中的附加的应用取决于定位命令,限度边界说明应该采用,它能够同逻辑块号相关。这个问题在文件的读存取时最为典型。在那里,文件的限度尾被指定在下一个带标之前。对于这种情况,建议控制程序保留起始和结束位置(如,逻辑块号)。以使,当一个文件被产生时,它们能在以后时问里使用指定的限度范围。
写保护当其有效时,写类型命令是拒绝的。在这种情况下,程序对可存取卷部分用只读存取(例如,整个文卷或限度取决于限度保护)。
标记保护当有效时,任何形成磁带标记或其它格式化标记的命令是被拒绝。在其无效时,这些命令可以被接收。
分区保护(Partition Protect)在其有效时,任何引起介质改变当前活动分区的命令被拒绝。当无效时,引起介质改变分区的命令可以被接收。
级保护(Stage Protect)当有效时,任何引起介质装载或卸载的命令是拒绝的。这包括,如反绕卸载命令。当不起作用时,引起介质装载或卸载命令可以被接收。
所有上述控制均可彼此独立地使用,而除限度保护之外,定义限度的命令独立被使用。控制一般通过方式设备类命令提供,并将一旦发出既保持,直到被程序改变,或者可能直到当前文卷卸载。
第三点,方式设置和定义限度命令作为控制程序的保留命令被处理,以提供一种机制使应用程序不修改上面的控制或限度的定义。结果,控制程序22,当需要时可禁止定义限度命令和方式设备命令到应用程序中使用。因此,控制程序能作下面所有事1)限制存取于指定的介质限度;2)限制文卷存取的范围(更具体的说,可选择只读或读—写存取);3)通过使无能力改变介质或分区,限制对单个文卷或分区的存取;4)限制文卷的格式化,而只能修改数据。
因此,本发明消除了清除老数据以防止对象重新使用的要求,文卷上的多个分区或分区内的多个文件能被支持而不存在对未授权存取的暴露。控制程序在处理开始建立约束集,防止应用程序执行任何动作导致非授权存取,文件格式化完整性错误,或文卷完整性错误。这些约束不需要控制程序去监视通道程序的内容且开销限于对每个激活(例如打开)文件建立一次约束。
这样,本发明在此已经说明关于为特殊应用的特殊实施例。那些在本领域有一般技术的人,利用本发明的教导将认识另外的修改应用和本范围内实施例。例如,本发明并不限于用磁带设备。本发明的技术可用任何存贮介质。而且,本发明不限于在说明实施例中定义的命令。本发明能定义各种命令,并常常适合特殊应用。
因此,根据附属的权利要求书,打算囊括任何的以及全部的属于本发明范围的这类应用,改进和实施方案。
权利要求
1.一个限制对介质存贮器设备存取的系统,包括第一装置,用来为所说的设备产生控制参数集,所说的设备对应于一个应用程序;第二装置,用来从所说的应用程序接收存取所说的设备的命令;第三个装置,用所说的参数去处理所说的命令,以通过应用程序去控制存取所说的设备。
2.权利要求1的系统,其特征在于所说的第一装置是一个控制程序。
3.权利要求2的系统,其特征在于所说的控制程序处理应用属性,以产生所说的控制参数。
4.权利要求3的系统,其特征在于所说的控制程序处理数据集属性,以产生所说的控制参数。
5.权利要求4的系统,其特征在于所说的设备是一磁带设备。
6.权利要求5的系统,其特征在于所说控制参数中的一个定义了在所说磁带设备内磁带限度。
7.权利要求6的系统,其特征在于所说第二个控制参数指示通过所说的应用程序对所说磁带的所述限度允许的存取类型。
8.权利要求7的系统,其特征在于控制参数提供了一个存取能力集,它可以根据应用的属性而选择。
9.权利要求8的系统,其特征在于第三个装置所用控制参数是为了管理存贮在顺序存取文卷上数据的存取,而顺序存取文卷保持多个数据集,有剩余数据,有指定的文件格式并可以从设备上更换。
10.权利要求7的系统,其特征在于所说的第三个装置是一个磁带设备控制装置。
11.一个限制对磁带设备存取的系统,包括第一个装置,用来对所说的磁带设备产生控制参数集,这对于应用程序定义了一个允许的存取类型。第二个装置,用来从所说应用程序接收存取所说的设备的命令;第三个装置,包括一磁带设备控制装置,处理所说参数,通过所说应用程序去控制存取所说磁带设备。
12.一种限制存取磁带设备的方法,包括步骤为对应一个应用程序的所说磁带设备产生控制参数集;从所说应用程序接收存取所说磁带设备的命令;且处理所说参数,通过所说应用程序去控制存取所说磁带设备。
全文摘要
一个方法和系统,用来限制对介质存贮设备,如磁带驱动装置的存取,根据本发明的方法,为设备对给定应用程序产生控制参数集。磁带控制装置用这些参数去处理来自应用程序的命令,从而控制对磁带的存取。在所说明的应用中,在磁带上定义一个限度,控制被定义,以管理在限度以内允许的存取类型。系统拒绝任何企图存取定义限度之外的介质。在限度之内的写和格式化命令被限制,而分区改变,加载,卸载被禁止。
文档编号G06F21/24GK1128374SQ9510477
公开日1996年8月7日 申请日期1995年4月25日 优先权日1994年7月27日
发明者理查德·安东尼·里普伯格 申请人:国际商业机器公司