JP3657755B2 - Composite computer system and resource protection method between computer systems - Google Patents
Composite computer system and resource protection method between computer systems Download PDFInfo
- Publication number
- JP3657755B2 JP3657755B2 JP32304897A JP32304897A JP3657755B2 JP 3657755 B2 JP3657755 B2 JP 3657755B2 JP 32304897 A JP32304897 A JP 32304897A JP 32304897 A JP32304897 A JP 32304897A JP 3657755 B2 JP3657755 B2 JP 3657755B2
- Authority
- JP
- Japan
- Prior art keywords
- computer
- resource
- access
- computer system
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Multi Processors (AREA)
- Computer And Data Communications (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、不特定の第三者が使用する計算機システムからの不当なアクセスから保護されているLANやシステム間共用メモリ等を有するシステム間通信機構を介し、相互に接続された複数の計算機システムで構成される複合型計算機システムにおいて、各計算機システムが直接の管理下にない計算機資源を使用して単一または複数のジョブを実行する場合に、該計算機資源に対する不当なアクセスからの保護を実現可能とする複合型計算機システムに関する。
【0002】
【従来の技術】
LANやシステム間共用メモリ等を有するシステム間通信機構を介し、相互に接続された複数の計算機システムで構成される従来の複合型計算機システムにおいて、各計算機システムが他の計算機システムの管理下にある計算機資源を利用してジョブを実行する一般的なアクセス方法として、例えば、ネットワークファイルシステム(NFS)に代表されるリモートアクセス機構によるアクセス方法がある。
【0003】
従来の複合型計算機システムは、例えば、図5に示すようにリモートアクセス機構104を有するクライアント側の第一の計算機システム101と、リモートアクセス機構105を有するサーバ側の第二の計算機システム102と、第二の計算機システムの管理下にある計算機資源106から構成され、LAN等のシステム間通信機構により接続されている。尚、図5の複合型計算機システムは、説明の便宜上、第一の計算機システム101及び第二の計算機システム102で構成されているが、複合型計算機システムを構成する計算機システムの数はこれに限らない。
【0004】
上記、図5のように構成される複合型計算機システムにおいて、第一の計算機システム101のジョブ103が第二の計算機システム102の管理下にある計算機資源106を利用する場合、第一の計算機システム101のリモートアクセス機構104は、第一の計算機システム101の管理下の計算機資源に対するアクセス方法と同じアクセス方法か、または、該リモートアクセス機構104専用のアクセス方法により要求されたジョブ103からのアクセス要求を、LANを介して第二の計算機システム102に通知する。
【0005】
第一の計算機システム101からのアクセス要求を受信した第二の計算機システム102のリモートアクセス機構105は、該計算機システム上の他のジョブと同様のアクセス方法により、計算機資源106に対するアクセスをジョブ103に代わって実行し、更にその結果を再びLANを介して、アクセス要求元のジョブ103に対して通知する。
【0006】
また、リモートアクセス機構105は、アクセス対象となる計算機資源106の保護を、第二の計算機システム102上の他のジョブと同様の保護方法により、ジョブ103に代わって実行している。尚、第二の計算機システム102上の他のジョブと同様の保護方法とは、例えば、計算機資源106に’リード可/ライト不可’という属性を付加することでライトを禁止し、データが変更されることを防止する等の、第二の計算機システム102上で予め設定されている保護方法をいう。
【0007】
また、従来の複合型計算機システムでは、ジョブ103からのアクセス要求以外に、ジョブ103がもつ計算機資源保護に関する個別属性(リード可、リード/ライト可等の情報)も通知することが可能であり、それに伴ってリモートアクセス機構105は、ジョブ3からの計算機資源保護に関する個別属性で計算機資源106を保護可能となり、ジョブ103が第二の計算機システム102で実行されているような資源保護状態で動作する。更に従来の複合型計算機システムでは、リモートアクセス104側にジョブ103からのアクセス要求の種類を制限する属性(リード可、リード/ライト可等の情報)を付加することにより、第一の計算機システム101側でも計算機資源106を保護可能とする。
【0008】
【発明が解決しようとする課題】
しかしながら、従来の複合型計算機システムは、計算機システム間のオペレーティングシステムが異なる場合、計算機資源に対する保護方法が各計算機システム間で異なるため、一方の計算機システムのジョブが、他方の計算機システムの資源保護方法を意識して該計算機システム管理下の計算機資源へのアクセス処理を実行するか、または、オペレーティングシステムの違いを吸収する機構をリモートアクセス機構内に用意する必要がある。
【0009】
また、従来の複合型計算機システムは、計算機システムの資源保護方法が異なる場合、一方の計算機システムのリモートアクセス機構が、該計算機システム管理下の計算機資源の保護手続き、及び該手続きに必要な資源保護情報の処理の他に、アクセス対象となる計算機システム管理下の計算機資源の保護手続き、及び該手続きに必要な資源保護情報の処理を実行しなければならない。
【0010】
また、従来の複合型計算機システムは、複合型計算機システムの規模が大きくなるほど、即ち、計算機システムの数、及び接続経路の数が多くなるほど、前記計算機資源の保護手続き、及び前記手続きに必要な資源保護情報の処理が複雑化し、システム間通信機構の負荷が増大するため、各計算機システムによる細かい単位での計算機資源の保護ができない。
【0011】
また、従来の複合型計算機システムによる計算機資源の保護方法は、アクセス要求元の計算機システムとアクセス要求先の計算機システムが1対1に対応しなければならないため、アクセス処理に対応する計算機資源が複数存在する場合、該計算機資源を管理するすべての計算機システムに対して、計算機資源の保護手続き、及び前記手続きに必要な資源保護情報の処理を実行することになり、アクセス要求元の計算機システム内のジョブの制御処理が複雑化する。
【0012】
本発明は、各計算機システムが直接の管理下にない計算機資源を使用して単一または複数のジョブを実行する場合に、計算機システム間のオペレーティングシステムの違いを吸収し、更に計算機資源の保護手続き、及び該手続きに必要な資源保護情報の処理を容易可することにより、不当なアクセスからの該計算機資源の保護を実現可能とする複合型計算機システム、及び計算機システム間の資源保護方法を提供する。
【0013】
【課題を解決するための手段】
【0017】
本発明の複合型計算機システムは、請求項1に記載のように、複数の計算機システムと各計算機システムを接続するシステム間通信機構から構成され、ジョブが他の計算機システム管理下の計算機資源に対するアクセス処理を行う複合型計算機システムにおいて、計算機システムは、自計算機システムの計算機資源を保護するための資源保護情報、及び他の計算機システム管理下の計算機資源を保護するための資源保護情報を管理する資源保護情報管理手段(後述する実施例の資源保護情報管理機構4、資源保護情報管理機構8に相当)と、該資源保護情報管理手段にて管理する資源保護情報に基づいて、自計算機システム管理下の計算機資源に対するアクセス処理、及び他の計算機システム管理下の計算機資源に対するアクセス処理を行う資源アクセス手段(後述する実施例の資源アクセス機構5、資源アクセス機構9に相当)と、を有し、該資源アクセス手段にて計算機システム間のアクセス処理の違いを吸収することにより、他の計算機システム管理下の計算機資源に対するアクセス処理時の資源保護を、自計算機システム管理下の計算機資源に対するアクセス処理と同様の処理で実行し、ジョブが複数の他の計算機システム管理下の計算機資源に対するアクセス処理を行う際、前記資源アクセス手段は、該計算機資源に対するアクセス要求を並列的に送出する手段(後述する実施例の資源アクセス機構5、資源アクセス機構9に相当)を有し、アクセス要求が拒否された計算機資源が少なくとも一つ存在する場合、アクセス要求元の計算機システム内に予め設定されている所定の情報に基づいて、該計算機資源以外に対するアクセス処理を実行するか、またはすべてのアクセス処理を中止する、ことを特徴とする。
【0018】
従って、本発明の複合型計算機システムは、資源アクセス手段にてアクセス方法や計算機資源数の違いを吸収することにより、一方の計算機システムのジョブが、該計算機システム内の仮想的な計算機資源として複数の計算機資源にアクセスすることが可能となる。
更に、本発明の複合型計算機システムは、計算機システムが資源保護情報管理手段にて他計算機システムの計算機資源の資源保護情報を有することにより、複数の計算機システム管理下の計算機資源を、該計算機システム内で実行される不当なジョブから保護することが可能となる。
【0019】
また、本発明の複合型計算機システムは、請求項2に記載のように、複数の計算機システムと各計算機システムを接続するシステム間通信機構から構成され、ジョブが他の計算機システム管理下の計算機資源に対するアクセス処理を行う複合型計算機システムにおいて、計算機システムは、自計算機システムの計算機資源を保護するための資源保護情報、及び他の計算機システム管理下の計算機資源を保護するための資源保護情報を管理する資源保護情報管理手段と、該資源保護情報管理手段にて管理する資源保護情報に基づいて、自計算機システム管理下の計算機資源に対するアクセス処理、及び他の計算機システム管理下の計算機資源に対するアクセス処理を行う資源アクセス手段とを有し、該資源アクセス手段にて計算機システム間のアクセス処理の違いを吸収することにより、他の計算機システム管理下の計算機資源に対するアクセス処理時の資源保護を、自計算機システム管理下の計算機資源に対するアクセス処理と同様の処理で実行し、ジョブが複数の他の計算機システム管理下の計算機資源に対するアクセス処理を行う際、資源アクセス手段は、予め設定された順序に従って該計算機資源に対するアクセス要求を逐次的に送出する手段(後述する実施例の資源アクセス機構5、資源アクセス機構9に相当)を有し、アクセス要求が拒否された計算機資源が存在する場合、アクセス要求元の計算機システム内に予め設定されている所定の情報に基づいて、該計算機資源に対するアクセス処理をスキップするか、またはすべてのアクセス処理を中止する、ことを特徴とする。
【0020】
従って、本発明の複合型計算機システムは、資源アクセス手段にてアクセス方法や計算機資源数の違いを吸収することにより、一方の計算機システムのジョブが、該計算機システム内の仮想的な計算機資源として複数の計算機資源にアクセスすることが可能となる。
更に、本発明の複合型計算機システムは、計算機システムが資源保護情報管理手段にて他計算機システムの計算機資源の資源保護情報を有することにより、複数の計算機システム管理下の計算機資源を、該計算機システム内で実行される不当なジョブから保護することが可能となる。
【0025】
また、本発明の複合型計算機システムにおける計算機システム間の資源保護方法は、請求項3に記載のように、計算機システム内のジョブが他の計算機システム管理下の計算機資源に対するアクセス処理を行う復号型計算機システムにおける該計算機システム間の資源保護方法において、計算機システムは、自計算機システムの計算機資源を保護するための資源保護情報、及び他の計算機システム管理下の計算機資源を保護するための資源保護情報を管理する資源保護情報管理ステップ(後述する実施例のS3、S4、S9、S10、S23、S24、S43、S47に相当)と、該資源保護情報管理ステップにて管理する資源保護情報に基づいて、自計算機システム管理下の計算機資源に対するアクセス処理、及び他の計算機システム管理下の計算機資源に対するアクセス処理を行う資源アクセスステップ(後述する実施例のS6、S7、S11、S28、S44に相当)とを有し、該資源アクセスステップにて計算機システム間のアクセス処理の違いを吸収することにより、他の計算機システム管理下の計算機資源に対するアクセス処理時の資源保護を、自計算機システム管理下の計算機資源に対するアクセス処理と同様の処理で実行し、ジョブが複数の他の計算機システム管理下の計算機資源に対するアクセス処理を行う際、前記資源アクセスステップでは、該計算機資源に対するアクセス要求を並列的に送出するステップ(後述する実施例のS21、S27に相当)を有し、アクセス要求が拒否された計算機資源が少なくとも一つ存在する場合、アクセス要求元の計算機システム内に予め設定されている所定の情報に基づいて、該計算機資源以外に対するアクセス処理を実行するか、またはすべてのアクセス処理を中止する、ことを特徴とする。
【0026】
従って、本発明の計算機システム間の資源保護方法では、資源アクセスステップにてアクセス方法や計算機資源数の違いを吸収することにより、一方の計算機システムのジョブが、該計算機システム内の仮想的な計算機資源として複数の計算機資源にアクセスすることが可能となる。
更に、本発明の計算機システム間の資源保護方法では、計算機システムが資源保護情報管理ステップにて他計算機システムの計算機資源を保護することにより、複数の計算機システム管理下の計算機資源を該計算機システム内で実行される不当なジョブから保護することが可能となる。
【0027】
また、本発明の複合型計算機システムにおける計算機システム間の資源保護方法は、請求項4に記載のように、計算機システム内のジョブが他の計算機システム管理下の計算機資源に対するアクセス処理を行う復号型計算機システムにおける該計算機システム間の資源保護方法において、計算機システムは、自計算機システムの計算機資源を保護するための資源保護情報、及び他の計算機システム管理下の計算機資源を保護するための資源保護情報を管理する資源保護情報管理ステップと、該資源保護情報管理ステップにて管理する資源保護情報に基づいて、自計算機システム管理下の計算機資源に対するアクセス処理、及び他の計算機システム管理下の計算機資源に対するアクセス処理を行う資源アクセスステップとを有し、該資源アクセスステップにて計算機システム間のアクセス処理の違いを吸収することにより、他の計算機システム管理下の計算機資源に対するアクセス処理時の資源保護を、自計算機システム管理下の計算機資源に対するアクセス処理と同様の処理で実行し、ジョブが複数の他の計算機システム管理下の計算機資源に対するアクセス処理を行う際、資源アクセスステップでは、予め設定された順序に従って該計算機資源に対するアクセス要求を逐次的に送出するステップ(後述する実施例のS41に相当)を有し、アクセス要求が拒否された計算機資源が存在する場合、アクセス要求元の計算機システム内に予め設定されている所定の情報に基づいて、該計算機資源に対するアクセス処理をスキップするか、またはすべてのアクセス処理を中止する、ことを特徴とする。
【0028】
従って、本発明の計算機システム間の資源保護方法では、資源アクセスステップにてアクセス方法や計算機資源数の違いを吸収することにより、一方の計算機システムのジョブが、該計算機システム内の仮想的な計算機資源として複数の計算機資源にアクセスすることが可能となる。
更に、本発明の計算機システム間の資源保護方法では、計算機システムが資源保護情報管理ステップにて他計算機システムの計算機資源を保護することにより、複数の計算機システム管理下の計算機資源を、該計算機システム内で実行される不当なジョブから保護することが可能となる。
【0029】
【発明の実施の形態】
以下、LANやシステム間共用メモリ等を有するシステム間通信機構を介し、相互に接続された複数の計算機システムで構成される本発明の複合型計算機システム、及び該計算機システム間の資源保護方法の実施例を図面に基づいて説明する。
【0030】
図1は、本発明の複合型計算機システムの構成図を示す。
図1において、本発明の複合型計算機システムは、複数の計算機システムとしての計算機システム1及び計算機システム2と、各計算機システムを接続するLAN等のシステム間通信機構3から構成され、各計算機システムの各ジョブ(ジョブ6、ジョブ10に相当)が、システム間通信機構3を介して他の計算機システムの管理下にある計算機資源(計算機資源7、計算機資源11に相当)を利用し、処理を実行する。具体的には、計算機システム1のジョブ6が計算機システム2の管理下にある計算機資源11を利用して処理を実行する。また計算機システム2のジョブ10が計算機システム1の管理下にある計算機資源7を利用して処理を実行する。尚、図1の複合型計算機システムは、説明の便宜上、計算機システム1及び計算機システム2で構成されているが、複合型計算機システムを構成する計算機システムの数はこれに限らない。
【0031】
図1の複合型計算機システムを構成する計算機システム1は、資源保護情報管理機構4と資源アクセス機構5と計算機資源7から構成され、ジョブ6が計算機資源、及び計算機資源11を利用して処理を実行している。
資源保護情報管理機構4は、複合型計算機システムを構成する他の各計算機システム管理下の計算機資源を、計算機システム1に存在する仮想的な計算機資源としてアクセスするための資源保護情報を管理し、更に該資源保護情報を制御することにより、自計算機システム1及び他の各計算機システムの計算機資源保護の違いを隠蔽して、後述する資源アクセス機構5からの資源保護情報に対する各種要求を処理する機能を有する。
【0032】
また、資源保護情報管理機構4は、計算機システム1管理下の計算機資源7に対する資源保護情報を管理する自システム資源保護情報管理部4bと、計算機システム2及び他の各計算機システム管理下の計算機資源を計算機システム1に存在する仮想的な計算機資源として扱うための資源保護情報を管理する他システム資源保護情報管理部4aを有する。
【0033】
資源アクセス機構5は、他の計算機システムの計算機資源を計算機システム1に存在する仮想的な計算機資源として処理する制御を行い、自計算機システム1及び他の各計算機システム管理下の計算機資源へのアクセス方法や対応する計算機資源数の違いを隠蔽する機能を有する。
更に、資源アクセス機構5は、ジョブ6から計算機システム1管理下の計算機資源7へのアクセス要求、ジョブ6から他の計算機システム管理下の計算機資源へのアクセス要求、及び他計算機システムのジョブから通知された計算機システム1管理下の計算機資源7へのアクセス要求の、各アクセス要求に対応する資源保護情報管理機構4内の資源保護情報を確認し、各アクセス要求元の計算機システムの資源保護情報のアクセス権限範囲内であれば、当該アクセス要求に対する処理を実行する機能を有する。また、資源アクセス機構5は、計算機資源7に対するアクセス処理を実行する自計算機資源アクセス部5bと、計算機システム2及び他の各計算機システム管理下の計算機資源を計算機システム1に存在する仮想的な計算機資源として、計算機資源7と同等のアクセス処理を実行する他計算機資源アクセス部5aを有する。即ち、他計算機資源アクセス部5aは、自計算機システム内のジョブから他の計算機システム管理下の計算機資源へのアクセス要求を他の計算機システムのアクセス要求形態に変更する機能、他の計算機システム内のジョブから自計算機システム管理下の計算機資源へのアクセス要求を自計算機システムのアクセス要求形態に変更する機能、及びアクセス要求を双方計算機システムで処理可能な中間処理形態に変更する機能を有する。
【0034】
計算機資源7は、ジョブ6の処理に必要なデータを格納する機能を有する。
また、図1の複合型計算機システムを構成する計算機システム2は、資源保護情報管理機構8と資源アクセス機構9と計算機資源11から構成され、上記計算機システム1と同様の機能を有する。尚、計算機システム2の資源保護情報管理機構8は資源保護情報管理機構4に対応し、資源アクセス機構9は資源アクセス機構5に対応し、計算機資源11は計算機資源7に対応する。更に、資源保護情報管理機構8内の他システム資源保護情報管理部8aは他システム資源保護情報管理部4aに対応し、自システム資源保護情報管理部8bは自システム資源保護情報管理部4bに対応し、資源アクセス機構9内の他計算機資源アクセス部9aは他計算機資源アクセス部5aに対応し、自計算機資源アクセス部9bは自計算機資源アクセス部5bに対応する。
【0035】
システム間通信機構3は、不特定の第三者からの不当なアクセスから保護されているLAN等を利用し、各計算機システム間の通信を行う、即ち、各資源アクセス機構間による計算機資源の送受信、及び資源保護情報管理機構間による資源保護情報のアクセス要求及びアクセス結果情報の送受信を行う機能を有する。
上記のように構成される複合型計算機システムにおいて、各計算機システム(計算機システム1、2)は、不特定の第三者が利用する計算機システムからの不当なアクセスから保護されているLAN等を用いたシステム間通信により、各資源アクセス機構(資源アクセス機構、5、9)、及び各資源保護情報管理機構(資源保護情報管理機構4、8)が各計算機システムを識別できるように接続されている。
【0036】
具体的に説明すると、資源保護情報管理機構4では、自システム資源保護情報管理部4b及び他システム資源保護情報管理部4aにより、それぞれ計算機資源7及び計算機資源11に対するアクセス処理上の資源保護情報を管理している。尚、他システム資源保護情報管理部4aで設定される計算機資源11に対する資源保護情報は、該資源保護情報により保護すべき対象となる計算機資源11が計算機システム1内に存在しない場合であっても、計算機資源11が計算機システム1内に存在するものとして処理できるように設定されている。また、自システム資源保護情報管理部4bで設定される計算機資源7に対する資源保護情報は、ジョブ6から保護するための資源保護情報の他に、他の計算機システムのジョブから保護するための資源保護情報が設定されている。
【0037】
また、資源保護情報管理機構8では、資源保護情報管理機構4と同様に、自システム資源保護情報管理部8b及び他システム資源保護情報管理部8aにより、それぞれ計算機資源11及び計算機資源7に対するアクセス処理上の資源保護情報を管理している。尚、他システム資源保護情報管理部8aで設定される計算機資源7に対する資源保護情報は、該資源保護情報により保護すべき対象となる計算機資源7が計算機システム2内に存在しない場合であっても、計算機資源7が計算機システム2内に存在するものとして処理できるように設定されている。また、自システム資源保護情報管理部8bで設定される計算機資源11に対する資源保護情報は、ジョブ10から保護するための資源保護情報の他に、他の計算機システムのジョブから保護するための資源保護情報が設定されている。
【0038】
そのため、本発明の複合型計算機システムは、各計算機システムのジョブが、自計算機資源へのアクセス処理、及び他の計算機システム管理下の計算機資源へのアクセス処理を同じ制御で実行できる。
また、例えば、計算機システム1管理下の計算機資源7がジョブのアクセス要求から保護が必要な場合、該計算機資源7は、自計算機システム1のジョブ6からのアクセス要求、及び他の計算機システム2のジョブ10からのアクセス要求の違いにかかわらず、予め資源保護情報管理機構4に計算機資源7を保護するための資源保護情報を登録しておく。更に計算機資源7に対するアクセス要求が他の計算機システムからある場合は、他の計算機システム全体、及び同等のアクセス要求が可能な他の計算機システムのグループ毎、または、他の各計算機システム毎に、計算機資源7に対するアクセス処理範囲、及び権限を予め資源保護情報管理機構4、資源保護情報管理機構8に登録しておく。
【0039】
この状態で、図1に示す複合型計算機システムの計算機システム1で動作するジョブ6が計算機資源に対するアクセス処理を実行する場合、資源アクセス機構5は、図2に示す方法により資源保護情報管理機構4に対する制御処理を実行する。以下、ジョブ6が計算機資源に対するアクセス処理を実行する場合の図2の処理を説明する。尚、ジョブ10が計算機資源に対するアクセス処理を実行する場合も同様の処理が実行されるため、説明を省略する。
【0040】
計算機システム1の資源アクセス機構5は、ジョブ6からの計算機資源へのアクセス処理要求を受信すると(S1)、資源保護情報管理機構4にて管理している資源保護情報を読み出し、該計算機資源へのアクセス権範囲として、例えば、リード可/ライト不可、リード/ライト可等の情報を確認する処理を実行する(S2)。
【0041】
要求されたアクセス処理がアクセス権範囲外、例えば、リード可/ライト不可と設定されているときにライト処理のアクセス要求を受信した場合(S3、NO)、資源保護情報管理機構4は、資源アクセス機構5に対して、資源保護情報に基づいてアクセス要求エラーを通知し(S4)、資源アクセス機構5は、その旨をアクセス処理要求元のジョブ6に対して通知する(S12)。
【0042】
また、要求されたアクセス処理がアクセス権範囲内の場合(S3、YES)、資源アクセス機構5は、そのアクセス処理要求が計算機システム1管理下の計算機資源7に対する要求か、または他の計算機システム管理下の計算機資源(この場合、計算機システム2管理下の計算機資源11を示す。)に対する要求かを確認する(S5)。
【0043】
例えば、計算機システム1管理下の計算機資源7に対するアクセス要求の場合(S5、NO)、資源アクセス機構5は、自計算機資源アクセス部5bにて計算機資源7に対するアクセス処理を実行し、更にそのアクセス処理に対する結果を受信すると(S6)、その旨をアクセス処理要求元のジョブ6に対して通知する(S12)。
【0044】
一方、計算機システム2管理下の計算機資源11に対するアクセス要求の場合(S5、YES)、資源アクセス機構5は、他計算機資源アクセス部5aにて計算機資源11を有する計算機システム2に対して、ジョブ6からのアクセス処理要求を通知する(S7)。このとき、ジョブ6からの計算機システム2管理下の計算機資源11に対するアクセス要求は、計算機システム1内に仮想的に存在する計算機資源へのアクセス要求として、先に説明した計算機資源7へのアクセス要求と同様の方法で行われている。
【0045】
計算機システム1で実行されたジョブ6からのアクセス処理要求を通知された計算機システム2では、資源アクセス機構9の他計算機資源アクセス部9aにてアクセス処理要求を受信する。
アクセス処理要求を受信後、資源アクセス機構9は、資源保護情報管理機構8から計算機システム1に対応する資源保護情報を読み出し、該計算機資源11へのアクセス権範囲として、例えば、リード可/ライト不可、リード/ライト可等の情報を確認する処理を実行する(S8)。
【0046】
要求されたアクセス処理がアクセス権範囲外、例えば、リード可/ライト不可と設定されているときにライト処理のアクセス要求を受信した場合(S9、NO)、資源保護情報管理機構8は、資源アクセス機構9に対して、資源保護情報に基づいてアクセス要求エラーを通知し、更に資源アクセス機構9では、他計算機資源アクセス部9aが、その旨をアクセス処理要求元の計算機システム1の他計算機資源アクセス部5aに対して通知する(S10)。アクセス要求エラーを受信した計算機システム1では、資源アクセス機構5がその旨をアクセス処理要求元のジョブ6に対して通知する(S12)。
【0047】
また、要求されたアクセス処理がアクセス権範囲内の場合(S9、YES)、資源アクセス機構9では、該アクセス処理要求に従って自計算機資源アクセス部9bが、計算機資源11にアクセス処理を実行し、その結果を計算機システム1に通知する(S11)。
計算機資源11に対するアクセス結果を通知された計算機システム1では、資源アクセス機構5が、その旨をアクセス処理要求元のジョブ6に対して通知する(S12)。
【0048】
従って、本発明の複合型計算機システムは、資源アクセス機構5がアクセス方法や計算機資源数の違いを吸収することにより、計算機資源11を使用する側である計算機システム1のジョブ6が、計算機システム1内の仮想的な計算機資源として計算機資源11にアクセスすることが可能となる。
更に、本発明の複合型計算機システムは、資源保護情報管理機構4が計算機資源11の資源保護情報を有することにより、計算機システム2管理下の計算機資源11を、計算機システム1内で実行される不当なジョブから保護することが可能となる。
【0049】
また、本発明の複合型計算機システムにおいて、計算機システム1内で実行されるジョブ6が計算機システム2管理下の計算機資源11をアクセスする場合、自計算機システムの資源保護情報管理機構4によりアクセス可能範囲を確認後、更に計算機システム2の資源保護情報管理機構8によりアクセス可能範囲を確認するため、計算機資源11を管理する計算機システム2により計算機資源11を不当なジョブから保護することが可能となる。
【0050】
また、本発明の複合型計算機システムは、計算機システム1内で実行されるジョブが計算機システム2管理下の計算機資源11をアクセスする場合、自計算機システムの資源保護情報管理機構4により予めアクセス可能範囲を確認し、アクセス可能範囲内の場合のみ他計算機システムへのアクセス要求を通知するため、従来のリモートアクセスのようにすべてのアクセス要求を通知する必要がなく、システム間通信機構の負荷を軽減できる。
【0051】
また、図1に示す複合型計算機システムの計算機システム1で動作するジョブ6が複数の他の計算機システム管理下の計算機資源に対するアクセス処理を実行する場合は、資源アクセス機構5は、図2の部分Aを図3、または図4に置き換えた方法により資源保護情報管理機構4に対する制御処理を実行する。
以下、ジョブ6が複数の計算機資源に対するアクセス処理を実行する場合に、他計算機システムに対してアクセス要求を並列的に実行する処理を図2、及び図3に従って説明する。尚、ジョブ10及び他の計算機システム内のジョブが、計算機資源に対するアクセス処理を実行する場合も同様の処理が実行されるため、説明を省略する。
【0052】
計算機システム1の資源アクセス機構5は、ジョブ6からの計算機資源へのアクセス処理要求を受信すると(S1)、資源保護情報管理機構4にて管理している資源保護情報を読み出し、該計算機資源へのアクセス権範囲として、例えば、リード可/ライト不可、リード/ライト可等の情報を確認する処理を実行する(S2)。
【0053】
要求されたアクセス処理がアクセス権範囲外、例えば、リード可/ライト不可と設定されているときにライト処理のアクセス要求を受信した場合(S3、NO)、資源保護情報管理機構4は、資源アクセス機構5に対して、資源保護情報に基づいてアクセス要求エラーを通知し(S4)、資源アクセス機構5は、その旨をアクセス処理要求元のジョブ6に対して通知する(S12)。
【0054】
また、要求されたアクセス処理がアクセス権範囲内の場合(S3、YES)、資源アクセス機構5は、そのアクセス処理要求が計算機システム1管理下の計算機資源7に対する要求か、または他の計算機システム管理下の計算機資源(この場合、計算機システム2管理下の計算機資源11、及びその他複数の計算機システム管理下の計算機資源を示す。)に対する要求かを確認する(S5)。
【0055】
例えば、計算機システム1管理下の計算機資源7に対するアクセス要求の場合(S5、NO)、資源アクセス機構5は、自計算機資源アクセス部5bにて計算機資源7に対するアクセス処理を実行し、更にそのアクセス処理に対する結果を受信すると(S6)、その旨をアクセス処理要求元のジョブ6に対して通知する(S12)。
【0056】
一方、計算機システム2管理下の計算機資源11、及びその他複数の計算機システム管理下の計算機資源に対するアクセス要求の場合(S5、YES)、資源アクセス機構5は、他計算機資源アクセス部5aにて計算機資源11、及びその他複数の計算機資源を有する各計算機システムに対して、ジョブ6からのアクセス処理要求に対応するアクセス権を確認する処理を要求する(図3、S21)。このとき、ジョブ6からの計算機システム2管理下の計算機資源11、及び他の計算機システム管理下の計算機資源に対するアクセス要求は、計算機システム1内に仮想的に存在する計算機資源へのアクセス要求として、先に説明した計算機資源7へのアクセス要求と同様の方法で行われている。
【0057】
計算機システム1からのアクセス権を確認する要求を通知された計算機システム2、及びその他の計算機システムでは、それぞれの資源アクセス機構の他の計算機資源アクセス部にてアクセス権を確認する要求を受信する。
アクセス権を確認する要求を受信後、例えば、計算機システム2の資源アクセス機構9は、資源保護情報管理機構8から計算機システム1に対応する資源保護情報を読み出し、該計算機資源11へのアクセス権範囲として、例えば、リード可/ライト不可、リード/ライト可等の情報を確認する処理を実行する(S22)。
【0058】
計算機資源11へのアクセス処理がアクセス権範囲外、例えば、リード可/ライト不可と設定されているときにライト処理のアクセス要求を受信した場合(S23、NO)、資源保護情報管理機構8は、資源アクセス機構9に対して、資源保護情報に基づいてアクセス要求エラーを通知し(S24)、更に資源アクセス機構9は、要求元の計算機システム1にその結果を通知する(S25)。また、計算機資源11へのアクセス処理がアクセス権範囲内の場合(S23、YES)、資源アクセス機構9は、要求元の計算機システム1にその結果を通知する(S25)。
【0059】
同様に計算機1からアクセス権を確認する要求を受信した他の計算機システムもステップ22からステップ24の処理を実行し、その結果を要求元の計算機システム1に通知する(S25)。
アクセス権を確認する要求を通知したすべての計算機システムからの処理結果を受信した計算機システム1は、その結果の中にアクセス不可となる計算機資源が存在するかどうかを確認する(S26)。
【0060】
確認の結果、アクセス不可となる計算機資源が存在し(S26、YES)、更に計算機システム1内において、アクセス不可となる計算機資源の存在が確認された場合にすべてのアクセス処理を中止するように設定されている場合(S29、YES)、計算機システム1は、すべての計算機システムに対するアクセス処理を継続エラーとして中止する(S30)。
【0061】
また、確認の結果、アクセス不可となる計算機資源が存在し(S26、YES)、更に計算機システム1内において、アクセス不可となる計算機資源の存在が確認された場合にアクセス要求が許可された計算機システムに対してアクセス処理を実行するように設定されている場合(S29、NO)、または、アクセス不可となる計算機資源が存在しなかった場合(S26、NO)、計算機システム1の資源アクセス機構5は、他計算機資源アクセス部5aにてアクセス要求が許可された計算機資源を有する計算機システムに対して、ジョブ6からのアクセス処理要求を通知する(S27)。
【0062】
例えば、計算機システム2がアクセス処理要求を受信すると、資源アクセス機構9では、該アクセス処理要求に従って自計算機資源アクセス部9bが、計算機資源11にアクセス処理を実行し、その結果を計算機システム1に通知する(S28)。同様に計算機システム1からアクセス処理要求を受信した他の計算機システムもステップ28の処理を実行し、その結果を要求元の計算機システム1に通知する(S28)。
【0063】
すべての計算機資源に対するアクセス結果を通知された計算機システム1では、資源アクセス機構5が、その旨をアクセス処理要求元のジョブ6に対して通知する(S12)。
従って、本発明の複合型計算機システムは、資源アクセス機構5がアクセス方法や計算機資源数の違いを吸収することにより、計算機システム1のジョブ6が、計算機システム1内の仮想的な計算機資源として複数の計算機資源にアクセスすることが可能となる。
【0064】
更に、本発明の複合型計算機システムは、資源保護情報管理機構4が他計算機システムの計算機資源の資源保護情報を有することにより、複数の計算機システム管理下の計算機資源を、計算機システム1内で実行される不当なジョブから保護することが可能となる。
また、本発明の複合型計算機システムにおいて、計算機システム1内で実行されるジョブ6が他の計算機システム管理下の複数の計算機資源をアクセスする場合、自計算機システムの資源保護情報管理機構4によりアクセス可能範囲を確認後、更に他の計算機システムの資源保護情報管理機構によりアクセス可能範囲を確認するため、計算機資源を管理する計算機システムにより計算機資源を不当なジョブから保護することが可能となる。
【0065】
また、本発明の複合型計算機システムは、計算機システム1内で実行されるジョブ6が他の計算機システム管理下の複数の計算機資源をアクセスする場合、自計算機システムの資源保護情報管理機構4により予めアクセス可能範囲を確認し、アクセス可能範囲内の場合のみ他計算機システムへのアクセス要求を通知するため、従来のリモートアクセスのようにすべての計算機システムにアクセス要求を通知する必要がなく、システム間通信機構の負荷を軽減できる。
【0066】
次に、ジョブ6が複数の計算機資源に対するアクセス処理を実行する場合に、他計算機システムに対してアクセス要求を逐次的に実行する処理を図2、及び図4に従って説明する。尚、ジョブ10及び他の計算機システム内のジョブが、計算機資源に対するアクセス処理を実行する場合も同様の処理が実行されるため、説明を省略する。
【0067】
計算機システム1の資源アクセス機構5は、ジョブ6からの計算機資源へのアクセス処理要求を受信すると(S1)、資源保護情報管理機構4にて管理している資源保護情報を読み出し、該計算機資源へのアクセス権範囲として、例えば、リード可/ライト不可、リード/ライト可等の情報を確認する処理を実行する(S2)。
【0068】
要求されたアクセス処理がアクセス権範囲外、例えば、リード可/ライト不可と設定されているときにライト処理のアクセス要求を受信した場合(S3、NO)、資源保護情報管理機構4は、資源アクセス機構5に対して、資源保護情報に基づいてアクセス要求エラーを通知し(S4)、資源アクセス機構5は、その旨をアクセス処理要求元のジョブ6に対して通知する(S12)。
【0069】
また、要求されたアクセス処理がアクセス権範囲内の場合(S3、YES)、資源アクセス機構5は、そのアクセス処理要求が計算機システム1管理下の計算機資源7に対する要求か、または他の計算機システム管理下の計算機資源(この場合、計算機システム2管理下の計算機資源11、及びその他複数の計算機システム管理下の計算機資源を示す。)に対する要求かを確認する(S5)。
【0070】
例えば、計算機システム1管理下の計算機資源7に対するアクセス要求の場合(S5、NO)、資源アクセス機構5は、自計算機資源アクセス部5bにて計算機資源7に対するアクセス処理を実行し、更にそのアクセス処理に対する結果を受信すると(S6)、その旨をアクセス処理要求元のジョブ6に対して通知する(S12)。
【0071】
一方、計算機システム2管理下の計算機資源11、及びその他複数の計算機システム管理下の計算機資源に対するアクセス要求の場合(S5、YES)、資源アクセス機構5は、他計算機資源アクセス部5aにて、例えば、計算機資源11を有する計算機システム2に対して、ジョブ6からのアクセス処理要求を通知する。(図4、S41)。このとき、ジョブ6からの計算機システム2管理下の計算機資源11に対するアクセス要求は、計算機システム1内に仮想的に存在する計算機資源へのアクセス要求として、先に説明した計算機資源7へのアクセス要求と同様の方法で行われている。
【0072】
計算機システム1で実行されたジョブ6からのアクセス処理要求を通知された、例えば、計算機システム2では、資源アクセス機構9の他計算機資源アクセス部9aにてアクセス処理要求を受信する。
アクセス処理要求を受信後、例えば、計算機システム2の資源アクセス機構9は、資源保護情報管理機構8から計算機システム1に対応する資源保護情報を読み出し、該計算機資源11へのアクセス権範囲として、例えば、リード可/ライト不可、リード/ライト可等の情報を確認する処理を実行する(S42)。
【0073】
計算機資源11へのアクセス処理がアクセス権範囲内の場合(S43、YES)、資源アクセス機構9では、該アクセス処理要求に従って自計算機資源アクセス部9bが、計算機資源11にアクセス処理を実行し、その結果を計算機システム1に通知する(S44)。
計算機資源11に対するアクセス結果を通知された計算機システム1では、資源アクセス機構5が、その旨をアクセス処理要求元のジョブ6に対して通知する(S45)。
【0074】
ジョブ6が複数の計算機資源に対するアクセス処理を実行する場合(S46、NO)、計算機システム1は、仮想的な計算機資源に対応する残りすべての計算機資源のアクセス処理が終了するまでステップ41からステップ45の処理を繰り返し、すべての計算機資源のアクセス処理が終了した段階で(S46、YES)、その旨をアクセス処理要求元のジョブ6に対して通知する(S12)。
【0075】
一方、ステップ43による確認の結果、計算機資源11へのアクセス処理がアクセス権範囲外、例えば、リード可/ライト不可と設定されているときにライト処理のアクセス要求を受信した場合(S43、NO)、資源保護情報管理機構8は、資源アクセス機構9に対して、資源保護情報に基づいてアクセス要求エラーを通知し、更に資源アクセス機構9は、要求元の計算機システム1にその結果を通知する(S47)。
【0076】
アクセス要求エラーを受信した計算機システム1は、例えば、予めアクセス要求エラーを受信した場合に後続するすべて計算機システムへのアクセス処理を中止するように設定されている場合(S48、YES)、すべての計算機システムに対するアクセス処理を継続エラーとして中止し(S49)、資源アクセス機構5がその旨をアクセス処理要求元のジョブ6に対して通知する(S12)。
【0077】
また、アクセス要求エラーを受信した計算機システム1は、例えば、予めアクセス要求エラーを受信した場合にその計算機システムへのアクセス処理を中止するように設定されている場合(S48、NO)、その計算機システムへのアクセス処理を中止し、資源アクセス機構5が、その旨をアクセス処理要求元のジョブ6に対して通知する(S45)。
【0078】
ジョブ6が複数の計算機資源に対するアクセス処理を実行する場合(S46、NO)、計算機システム1は、仮想的な計算機資源に対応する残りすべての計算機資源のアクセス処理が終了するまでステップ41からステップ49の処理を繰り返し、すべての計算機資源のアクセス処理が終了した段階で(S46、YES)、その旨をアクセス処理要求元のジョブ6に対して通知する(S12)。
【0079】
従って、本発明の複合型計算機システムは、資源アクセス機構5がアクセス方法や計算機資源数の違いを吸収することにより、計算機システム1のジョブ6が、計算機システム1内の仮想的な計算機資源として複数の計算機資源にアクセスすることが可能となる。
更に、本発明の複合型計算機システムは、資源保護情報管理機構4が他計算機システムの計算機資源の資源保護情報を有することにより、複数の計算機システム管理下の計算機資源を、計算機システム1内で実行される不当なジョブから保護することが可能となる。
【0080】
また、本発明の複合型計算機システムにおいて、計算機システム1内で実行されるジョブ6が他の計算機システム管理下の複数の計算機資源をアクセスする場合、自計算機システムの資源保護情報管理機構4によりアクセス可能範囲を確認後、更に他の計算機システムの資源保護情報管理機構によりアクセス可能範囲を確認するため、計算機資源を管理する計算機システムにより計算機資源を不当なジョブから保護することが可能となる。
【0081】
また、本発明の複合型計算機システムは、計算機システム1内で実行されるジョブ6が他の計算機システム管理下の複数の計算機資源をアクセスする場合、自計算機システムの資源保護情報管理機構4により予めアクセス可能範囲を確認し、アクセス可能範囲内の場合のみ他計算機システムへのアクセス要求を通知するため、従来のリモートアクセスのようにすべての計算機システムにアクセス要求を通知する必要がなく、システム間通信機構の負荷を軽減できる。
【0082】
【発明の効果】
上述の如く、本発明の複合型計算機システムによれば、計算機システムのオペレーティングシステムが異なり、計算機資源に対する保護方法が各計算機システム間で異なる場合でも、計算機システム内部にオペレーティングシステムの違いを吸収する機構を有するため、一方の計算機システムのジョブが、他方の計算機システムを意識しないで該計算機システム管理下の計算機資源へのアクセス処理を実行できる。
【0083】
また、本発明の複合型計算機システムによれば、計算機システムの資源保護方法が異なる場合でも、各計算機システムが複合型計算機システムを構成するすべての計算機システムの資源保護情報を管理し、更に各計算機システムが同様の資源保護環境を有するため、アクセス要求元の計算機システムは、アクセス対象となる計算機システム管理下の計算機資源を意識することなく、該計算機資源へのアクセス処理を実行することができる。
【0084】
また、本発明の複合型計算機システムによれば、複合型計算機システムの規模が大きくなった場合、即ち、計算機システムの数、及び接続経路の数が多くなった場合でも、前記アクセス処理が複雑化しないため、各計算機システムが資源保護情報に制限や細かな保護処理の指定を与えることができ、細かい単位での計算機資源の保護が可能となる。
【0085】
また、本発明の複合型計算機システムによる計算機資源の保護方法によれば、アクセス処理に対応する計算機資源が複数存在する場合でも、該計算機資源を管理するすべての計算機システムに対してアクセス処理が可能となる。
従って、各計算機システムが直接の管理下にない計算機資源を使用して単一または複数のジョブを実行する場合に、計算機システム間のオペレーティングシステムの違いを吸収し、更に計算機資源の保護手続き、及び該手続きに必要な資源保護情報の処理を容易可することにより、不当なアクセスからの該計算機資源の保護を実現可能とする複合型計算機システム、及び計算機システム間の資源保護方法を提供することができる。
【図面の簡単な説明】
【図1】本発明の複合型計算機システムの構成図である。
【図2】計算機資源に対するアクセス要求時の資源保護方法である。
【図3】複数システムの計算機資源に対するアクセス要求時の資源保護方法である。
【図4】複数システムの計算機資源に対するアクセス要求時の資源保護方法である。
【図5】従来の複合型計算機システムである。
【符号の説明】
1 計算機システム
2 計算機システム
3 システム間通信機構
4 資源保護情報管理機構
4a 他システム資源保護情報管理部
4b 自システム資源保護情報管理部
5 資源アクセス機構
5a 他計算機資源アクセス部
5b 自計算機資源アクセス部
6 ジョブ
7 計算機資源
8 資源保護情報管理機構
8a 他システム資源保護情報管理部
8b 自システム資源保護情報管理部
9 資源アクセス機構
9a 他計算機資源アクセス部
9b 自計算機資源アクセス部
10 ジョブ
11 計算機資源
101 第一の計算機システム
102 第二の計算機システム
103 ジョブ
104 リモートアクセス機構
105 リモートアクセス機構
106 計算機資源[0001]
BACKGROUND OF THE INVENTION
The present invention provides a plurality of computer systems connected to each other via an inter-system communication mechanism having a LAN, an inter-system shared memory, and the like that are protected from unauthorized access from a computer system used by an unspecified third party. When a single or multiple jobs are executed using a computer resource that is not under direct management, the computer system is protected from unauthorized access to the computer resource. The present invention relates to a composite computer system that can be used.
[0002]
[Prior art]
In a conventional composite computer system composed of a plurality of computer systems connected to each other via an inter-system communication mechanism having a LAN, an inter-system shared memory, etc., each computer system is under the control of another computer system As a general access method for executing a job using computer resources, for example, there is an access method using a remote access mechanism represented by a network file system (NFS).
[0003]
As shown in FIG. 5, for example, a conventional composite computer system includes a client-side
[0004]
When the
[0005]
Receiving the access request from the
[0006]
Further, the
[0007]
In addition to the access request from the
[0008]
[Problems to be solved by the invention]
However, in the conventional composite computer system, when the operating systems between the computer systems are different, the protection method for the computer resources is different between the computer systems. Therefore, the job of one computer system is the resource protection method of the other computer system. It is necessary to execute a process for accessing computer resources under the management of the computer system, or to prepare a mechanism for absorbing differences in operating systems in the remote access mechanism.
[0009]
In the case of a conventional composite computer system, when the resource protection method of the computer system is different, the remote access mechanism of one of the computer systems provides a protection procedure for the computer resource under the management of the computer system and the resource protection necessary for the procedure. In addition to information processing, it is necessary to execute a protection procedure for computer resources under the management of the computer system to be accessed, and a processing for resource protection information necessary for the procedure.
[0010]
Further, in the conventional composite computer system, as the size of the composite computer system increases, that is, as the number of computer systems and the number of connection paths increase, the protection procedure for the computer resources and the resources necessary for the procedure are increased. Since the processing of protection information becomes complicated and the load of the inter-system communication mechanism increases, it is impossible to protect computer resources in fine units by each computer system.
[0011]
Further, in the conventional computer resource protection method using a composite computer system, the access request source computer system and the access request destination computer system must correspond one-to-one, and therefore there are a plurality of computer resources corresponding to the access processing. If it exists, the computer resource protection procedure and the processing of the resource protection information necessary for the procedure are executed for all computer systems that manage the computer resource. Job control processing becomes complicated.
[0012]
The present invention absorbs operating system differences between computer systems when each computer system executes a single job or a plurality of jobs using computer resources that are not under direct management, and further protects computer resources. And a resource protection method between the computer systems and a computer system capable of realizing protection of the computer resources from unauthorized access by facilitating processing of the resource protection information necessary for the procedure. .
[0013]
[Means for Solving the Problems]
[0017]
The composite computer system of the present invention As described in
[0018]
Therefore, the composite computer system of the present invention absorbs the difference in the access method and the number of computer resources by the resource access means, so that a plurality of jobs in one computer system can be used as virtual computer resources in the computer system. It becomes possible to access the computer resources.
Furthermore, the composite computer system of the present invention has a resource protection information management unit that has resource protection information of computer resources of other computer systems, so that the computer system can manage computer resources under the management of a plurality of computer systems. It is possible to protect against unauthorized jobs executed in the network.
[0019]
The composite computer system of the present invention is also claimed. 2 As described in In a complex computer system that is composed of a plurality of computer systems and an inter-system communication mechanism that connects each computer system, and a job performs access processing to computer resources under the management of other computer systems, the computer system is a computer of its own computer system. Resource protection information for managing resource protection information for protecting resources and resource protection information for protecting computer resources under the management of other computer systems, and resource protection managed by the resource protection information management means Based on the information, resource access means for performing access processing for the computer resources under the management of the own computer system and access processing for the computer resources under the management of other computer systems, between the computer systems by the resource access means Other computer system management by absorbing differences in access processing Computer resource protection during access processing for resources, and execute the same processing as the process of accessing computer resources under its own computer system management, When a job performs an access process for a computer resource under the management of a plurality of other computer systems, the resource access means sequentially sends an access request for the computer resource according to a preset order (in the embodiment described later).
[0020]
Therefore, the composite computer system of the present invention absorbs the difference in the access method and the number of computer resources by the resource access means, so that a plurality of jobs in one computer system can be used as virtual computer resources in the computer system. It becomes possible to access the computer resources.
Furthermore, the composite computer system of the present invention has a resource protection information management unit that has resource protection information of computer resources of other computer systems, so that the computer system can manage computer resources under the management of a plurality of computer systems. It is possible to protect against unauthorized jobs executed in the network.
[0025]
Further, the resource protection method between computer systems in the compound computer system of the present invention is as follows. 3 As described in In a resource protection method between computer systems in a decryption-type computer system in which a job in a computer system performs access processing to a computer resource under the management of another computer system, the computer system protects the computer resource of its own computer system. Resource protection information management step for managing resource protection information and resource protection information for protecting computer resources under the management of other computer systems (S3, S4, S9, S10, S23, S24, S43 in the embodiments described later) S47), and based on the resource protection information managed in the resource protection information management step, an access process for the computer resource under the management of the own computer system and an access process for the computer resource under the management of another computer system are performed. Resource access step (S6, S7, S11, S in the embodiment described later) 8 and S44), and by absorbing the difference in access processing between computer systems in the resource access step, resource protection during access processing for computer resources under the management of other computer systems Execute in the same process as the access process to the computer resources under the management of the computer system, When a job performs an access process for a computer resource under the management of a plurality of other computer systems, the resource access step includes a step of sending an access request for the computer resource in parallel (corresponding to S21 and S27 in the embodiments described later). If there is at least one computer resource for which the access request is denied, access processing for other than the computer resource is executed based on predetermined information preset in the access request source computer system Or stop all access processing.
[0026]
Therefore, in the resource protection method between computer systems of the present invention, the difference in the access method and the number of computer resources is absorbed in the resource access step, so that a job of one computer system can be executed by a virtual computer in the computer system. A plurality of computer resources can be accessed as resources.
Furthermore, in the resource protection method between computer systems of the present invention, the computer system protects the computer resources of other computer systems in the resource protection information management step, so that the computer resources under the management of a plurality of computer systems are stored in the computer system. It is possible to protect against unauthorized jobs executed in
[0027]
Further, the resource protection method between computer systems in the compound computer system of the present invention is as follows. 4 As described in In a resource protection method between computer systems in a decryption-type computer system in which a job in a computer system performs access processing to a computer resource under the management of another computer system, the computer system protects the computer resource of its own computer system. Based on the resource protection information and the resource protection information management step for managing the resource protection information for protecting the computer resources under the management of other computer systems, and the resource protection information managed at the resource protection information management step, A resource access step for performing an access process for a computer resource under the management of a computer system and an access process for a computer resource under the management of another computer system, and absorbing the difference in the access process between the computer systems in the resource access step By using the Resource protection during access processing for machine resources, perform the same processing as the process of accessing computer resources under its own computer system management, When a job performs access processing for a computer resource under the management of a plurality of other computer systems, the resource access step sequentially sends an access request for the computer resource according to a preset order (in the embodiment described later). And the access request for the access request is skipped based on predetermined information preset in the access request source computer system. Or all access processing is aborted.
[0028]
Therefore, in the resource protection method between computer systems of the present invention, the difference in the access method and the number of computer resources is absorbed in the resource access step, so that a job of one computer system can be executed by a virtual computer in the computer system. A plurality of computer resources can be accessed as resources.
Furthermore, in the resource protection method between computer systems of the present invention, the computer system protects the computer resources of other computer systems in the resource protection information management step, so that the computer resources under the management of a plurality of computer systems are stored in the computer system. It is possible to protect against unauthorized jobs executed in the network.
[0029]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, implementation of the composite computer system of the present invention composed of a plurality of computer systems connected to each other via an inter-system communication mechanism having a LAN, an inter-system shared memory, etc., and a resource protection method between the computer systems An example will be described with reference to the drawings.
[0030]
FIG. 1 shows a configuration diagram of a composite computer system of the present invention.
1, the composite computer system of the present invention comprises a
[0031]
The
The resource protection
[0032]
In addition, the resource protection
[0033]
The
Further, the
[0034]
The
A
[0035]
The
In the compound computer system configured as described above, each computer system (
[0036]
More specifically, the resource protection
[0037]
Further, in the resource protection information management mechanism 8, as with the resource protection
[0038]
Therefore, in the composite computer system of the present invention, each computer system job can execute the access process to the own computer resource and the access process to the computer resource under the management of other computer systems with the same control.
Further, for example, when the
[0039]
In this state, when the job 6 operating in the
[0040]
When the
[0041]
When the requested access process is out of the access right range, for example, when an access request for a write process is received when it is set to be readable / writable (S3, NO), the resource protection
[0042]
If the requested access processing is within the access right range (S3, YES), the
[0043]
For example, in the case of an access request to the
[0044]
On the other hand, in the case of an access request to the
[0045]
In the
After receiving the access processing request, the
[0046]
When the requested access processing is outside the access right range, for example, when a write processing access request is received when the read access is set / not possible (S9, NO), the resource protection information management mechanism 8 An access request error is notified to the
[0047]
When the requested access processing is within the access right range (S9, YES), in the
In the
[0048]
Therefore, in the composite computer system of the present invention, the job 6 of the
Furthermore, in the composite computer system of the present invention, since the resource protection
[0049]
In the compound computer system of the present invention, when a job 6 executed in the
[0050]
In addition, when the job executed in the
[0051]
When the job 6 operating in the
Hereinafter, when the job 6 executes an access process for a plurality of computer resources, a process for executing an access request in parallel with respect to another computer system will be described with reference to FIGS. Note that the same processing is executed when the job 10 and a job in another computer system execute the access processing to the computer resource, and thus the description thereof is omitted.
[0052]
When the
[0053]
When the requested access process is out of the access right range, for example, when an access request for a write process is received when it is set to be readable / writable (S3, NO), the resource protection
[0054]
If the requested access processing is within the access right range (S3, YES), the
[0055]
For example, in the case of an access request to the
[0056]
On the other hand, in the case of an access request for the
[0057]
In the
After receiving the request for confirming the access right, for example, the
[0058]
When the access processing to the
[0059]
Similarly, the other computer systems that have received the request for confirming the access right from the
The
[0060]
As a result of the confirmation, there is a computer resource that becomes inaccessible (S26, YES), and in the
[0061]
In addition, as a result of the confirmation, there is a computer resource that cannot be accessed (S26, YES), and in the
[0062]
For example, when the
[0063]
In the
Therefore, in the composite computer system of the present invention, the
[0064]
Furthermore, in the compound computer system of the present invention, the resource protection
In the complex computer system of the present invention, when a job 6 executed in the
[0065]
In addition, when the job 6 executed in the
[0066]
Next, when the job 6 executes access processing for a plurality of computer resources, processing for sequentially executing access requests to other computer systems will be described with reference to FIGS. Note that the same processing is executed when the job 10 and a job in another computer system execute the access processing to the computer resource, and thus the description thereof is omitted.
[0067]
When the
[0068]
When the requested access process is out of the access right range, for example, when an access request for a write process is received when it is set to be readable / writable (S3, NO), the resource protection
[0069]
If the requested access processing is within the access right range (S3, YES), the
[0070]
For example, in the case of an access request to the
[0071]
On the other hand, in the case of an access request to the
[0072]
For example, in the
After receiving the access processing request, for example, the
[0073]
When the access process to the
In the
[0074]
When the job 6 executes an access process for a plurality of computer resources (S46, NO), the
[0075]
On the other hand, as a result of the confirmation in
[0076]
For example, when the
[0077]
Further, for example, when the
[0078]
When the job 6 executes an access process for a plurality of computer resources (S46, NO), the
[0079]
Therefore, in the composite computer system of the present invention, the
Furthermore, in the compound computer system of the present invention, the resource protection
[0080]
In the complex computer system of the present invention, when a job 6 executed in the
[0081]
In addition, when the job 6 executed in the
[0082]
【The invention's effect】
As described above, according to the composite computer system of the present invention, even if the operating system of the computer system is different and the protection method for the computer resources is different between the computer systems, the mechanism that absorbs the difference of the operating system in the computer system. Therefore, a job of one computer system can execute access processing to a computer resource under the management of the computer system without being conscious of the other computer system.
[0083]
Further, according to the composite computer system of the present invention, each computer system manages the resource protection information of all the computer systems constituting the composite computer system even when the computer system resource protection method is different. Since the system has a similar resource protection environment, the computer system that is the access request source can execute access processing to the computer resource without being aware of the computer resource under the management of the computer system to be accessed.
[0084]
Further, according to the composite computer system of the present invention, even when the scale of the composite computer system becomes large, that is, when the number of computer systems and the number of connection paths increase, the access processing becomes complicated. Therefore, each computer system can give restriction or detailed protection processing designation to the resource protection information, and the computer resources can be protected in fine units.
[0085]
Further, according to the computer resource protection method using the composite computer system of the present invention, even when there are a plurality of computer resources corresponding to the access processing, it is possible to perform access processing on all the computer systems that manage the computer resources. It becomes.
Therefore, when each computer system executes a single job or a plurality of jobs using a computer resource that is not under direct management, the difference of the operating system between the computer systems is absorbed, and the protection procedure of the computer resource, and To provide a composite computer system capable of realizing protection of the computer resource from unauthorized access by facilitating processing of the resource protection information necessary for the procedure, and a resource protection method between the computer systems. it can.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of a composite computer system of the present invention.
FIG. 2 shows a resource protection method when an access request is made for a computer resource.
FIG. 3 is a resource protection method when an access request is made to computer resources of a plurality of systems.
FIG. 4 is a resource protection method when an access request is made for computer resources of a plurality of systems.
FIG. 5 shows a conventional composite computer system.
[Explanation of symbols]
1 Computer system
2 Computer system
3 Communication system between systems
4 Resource Protection Information Management Organization
4a Other System Resource Protection Information Management Department
4b Local System Resource Protection Information Management Department
5 Resource access mechanism
5a Other computer resource access section
5b Local computer resource access section
6 jobs
7 Computer resources
8 Resource Protection Information Management Organization
8a Other System Resource Protection Information Management Department
8b Own system resource protection information management department
9 Resource Access Mechanism
9a Other computer resource access section
9b Local computer resource access section
10 jobs
11 Computer resources
101 First computer system
102 Second computer system
103 jobs
104 Remote access mechanism
105 Remote access mechanism
106 Computer resources
Claims (4)
計算機システムは、自計算機システムの計算機資源を保護するための資源保護情報、及び他の計算機システム管理下の計算機資源を保護するための資源保護情報を管理する資源保護情報管理手段と、該資源保護情報管理手段にて管理する資源保護情報に基づいて、自計算機システム管理下の計算機資源に対するアクセス処理、及び他の計算機システム管理下の計算機資源に対するアクセス処理を行う資源アクセス手段と、を有し、 The computer system includes resource protection information management means for managing resource protection information for protecting computer resources of its own computer system and resource protection information for protecting computer resources under the management of other computer systems, and the resource protection Based on the resource protection information managed by the information management means, resource access means for performing access processing to computer resources under the management of its own computer system and access processing to computer resources under management of other computer systems,
該資源アクセス手段にて計算機システム間のアクセス処理の違いを吸収することにより、他の計算機システム管理下の計算機資源に対するアクセス処理時の資源保護を、自計算機システム管理下の計算機資源に対するアクセス処理と同様の処理で実行し、 By absorbing the difference in access processing between computer systems by the resource access means, resource protection during access processing for computer resources under the management of other computer systems can be achieved by Execute in the same process,
ジョブが複数の他の計算機システム管理下の計算機資源に対するアクセス処理を行う際、前記資源アクセス手段は、該計算機資源に対するアクセス要求を並列的に送出する手段を有し、 When a job performs access processing for a computer resource under the management of a plurality of other computer systems, the resource access means has means for sending an access request for the computer resource in parallel.
アクセス要求が拒否された計算機資源が少なくとも一つ存在する場合、アクセス要求元の計算機システム内に予め設定されている所定の情報に基づいて、該計算機資源以外に対するアクセス処理を実行するか、またはすべてのアクセス処理を中止する、 When there is at least one computer resource for which the access request is rejected, access processing for other than the computer resource is executed based on predetermined information set in advance in the access request source computer system, or all Cancel the access processing of
ことを特徴とする複合型計算機システム。 A compound computer system characterized by this.
計算機システムは、自計算機システムの計算機資源を保護するための資源保護情報、及び他の計算機システム管理下の計算機資源を保護するための資源保護情報を管理する資源保護情報管理手段と、該資源保護情報管理手段にて管理する資源保護情報に基づいて、自計算機システム管理下の計算機資源に対するアクセス処理、及び他の計算機システム管理下の計算機資源に対するアクセス処理を行う資源アクセス手段と、を有し、 The computer system includes resource protection information management means for managing resource protection information for protecting computer resources of its own computer system and resource protection information for protecting computer resources under the management of other computer systems, and the resource protection Based on the resource protection information managed by the information management means, resource access means for performing access processing to computer resources under the management of its own computer system and access processing to computer resources under management of other computer systems,
該資源アクセス手段にて計算機システム間のアクセス処理の違いを吸収することにより、他の計算機システム管理下の計算機資源に対するアクセス処理時の資源保護を、自計算機システム管理下の計算機資源に対するアクセス処理と同様の処理で実行し、 By absorbing the difference in access processing between computer systems by the resource access means, resource protection during access processing for computer resources under the management of other computer systems can be achieved by Execute in the same process,
ジョブが複数の他の計算機システム管理下の計算機資源に対するアクセス処理を行う際、前記資源アクセス手段は、予め設定された順序に従って該計算機資源に対するアクセス要求を逐次的に送出する手段を有し、 When a job performs access processing to a computer resource under the management of a plurality of other computer systems, the resource access means has means for sequentially sending access requests for the computer resource according to a preset order,
アクセス要求が拒否された計算機資源が存在する場合、アクセス要求元の計算機システム内に予め設定されている所定の情報に基づいて、該計算機資源に対するアクセス処理をスキップするか、またはすべてのアクセス処理を中止する、 When there is a computer resource for which the access request is denied, the access processing for the computer resource is skipped or all access processing is performed based on predetermined information set in advance in the access request source computer system. Discontinue,
ことを特徴とする複合型計算機システム。 A compound computer system characterized by this.
計算機システムは、自計算機システムの計算機資源を保護するための資源保護情報、及び他の計算機システム管理下の計算機資源を保護するための資源保護情報を管理する資源保護情報管理ステップと、該資源保護情報管理ステップにて管理する資源保護情報に基づいて、自計算機システム管理下の計算機資源に対するアクセス処理、及び他の計算機システム管理下の計算機資源に対するアクセス処理を行う資源アクセスステップと、を有し、 The computer system includes a resource protection information management step for managing resource protection information for protecting computer resources of its own computer system and resource protection information for protecting computer resources under the management of other computer systems, and the resource protection Based on the resource protection information managed in the information management step, there is a resource access step for performing an access process for the computer resource under the management of the own computer system and an access process for the computer resource under the management of another computer system,
該資源アクセスステップにて計算機システム間のアクセス処理の違いを吸収することにより、他の計算機システム管理下の計算機資源に対するアクセス処理時の資源保護を、自計算機システム管理下の計算機資源に対するアクセス処理と同様の処理で実行し、 By absorbing differences in access processing between computer systems in the resource access step, resource protection during access processing for computer resources under the management of other computer systems can be achieved with access processing for computer resources under management of the local computer system. Execute in the same process,
ジョブが複数の他の計算機システム管理下の計算機資源に対するアクセス処理を行う際、前記資源アクセスステップでは、該計算機資源に対するアクセス要求を並列的に送出す When a job performs an access process for a computer resource managed by a plurality of other computer systems, the resource access step sends an access request for the computer resource in parallel. るステップを有し、Steps
アクセス要求が拒否された計算機資源が少なくとも一つ存在する場合、アクセス要求元の計算機システム内に予め設定されている所定の情報に基づいて、該計算機資源以外に対するアクセス処理を実行するか、またはすべてのアクセス処理を中止する、 When there is at least one computer resource for which the access request is rejected, access processing for other than the computer resource is executed based on predetermined information set in advance in the access request source computer system, or all Cancel the access processing of
ことを特徴とする計算機システム間の資源保護方法。 A resource protection method between computer systems.
計算機システムは、自計算機システムの計算機資源を保護するための資源保護情報、及び他の計算機システム管理下の計算機資源を保護するための資源保護情報を管理する資源保護情報管理ステップと、該資源保護情報管理ステップにて管理する資源保護情報に基づいて、自計算機システム管理下の計算機資源に対するアクセス処理、及び他の計算機システム管理下の計算機資源に対するアクセス処理を行う資源アクセスステップと、を有し、 The computer system includes a resource protection information management step for managing resource protection information for protecting computer resources of its own computer system and resource protection information for protecting computer resources under the management of other computer systems, and the resource protection Based on the resource protection information managed in the information management step, there is a resource access step for performing an access process for a computer resource under management of the own computer system and an access process for a computer resource under management of another computer system,
該資源アクセスステップにて計算機システム間のアクセス処理の違いを吸収することにより、他の計算機システム管理下の計算機資源に対するアクセス処理時の資源保護を、自計算機システム管理下の計算機資源に対するアクセス処理と同様の処理で実行し、 By absorbing differences in access processing between computer systems in the resource access step, resource protection during access processing for computer resources under the management of other computer systems can be achieved with access processing for computer resources under management of the local computer system. Execute in the same process,
ジョブが複数の他の計算機システム管理下の計算機資源に対するアクセス処理を行う際、前記資源アクセスステップでは、予め設定された順序に従って該計算機資源に対するアクセス要求を逐次的に送出するステップを有し、 When a job performs an access process to a computer resource under the management of a plurality of other computer systems, the resource access step includes a step of sequentially sending an access request for the computer resource according to a preset order,
アクセス要求が拒否された計算機資源が存在する場合、アクセス要求元の計算機システム内に予め設定されている所定の情報に基づいて、該計算機資源に対するアクセス処理をスキップするか、またはすべてのアクセス処理を中止する、 When there is a computer resource for which the access request is denied, the access processing for the computer resource is skipped or all access processing is performed based on predetermined information preset in the computer system of the access request source. Discontinue,
ことを特徴とする計算機システム間の資源保護方法。 A resource protection method between computer systems.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP32304897A JP3657755B2 (en) | 1997-11-25 | 1997-11-25 | Composite computer system and resource protection method between computer systems |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP32304897A JP3657755B2 (en) | 1997-11-25 | 1997-11-25 | Composite computer system and resource protection method between computer systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH11161509A JPH11161509A (en) | 1999-06-18 |
| JP3657755B2 true JP3657755B2 (en) | 2005-06-08 |
Family
ID=18150534
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP32304897A Expired - Fee Related JP3657755B2 (en) | 1997-11-25 | 1997-11-25 | Composite computer system and resource protection method between computer systems |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3657755B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7035850B2 (en) * | 2000-03-22 | 2006-04-25 | Hitachi, Ltd. | Access control system |
| JP4095232B2 (en) * | 2000-05-31 | 2008-06-04 | 日本電信電話株式会社 | Application management / operation method and system, and computer-readable recording medium |
-
1997
- 1997-11-25 JP JP32304897A patent/JP3657755B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH11161509A (en) | 1999-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0972240B1 (en) | An agent-implemented locking mechanism | |
| EP0834132B1 (en) | Security for computer system resources | |
| US6112263A (en) | Method for multiple independent processes controlling access to I/O devices in a computer system | |
| JP4390911B2 (en) | Permission to control access to services in a protected memory system | |
| US7263718B2 (en) | Security framework for supporting kernel-based hypervisors within a computing system | |
| US7475423B2 (en) | Protected execution environments within a computer system | |
| US7424475B2 (en) | Emergency access interception according to black list | |
| US6275867B1 (en) | Operation-partitioned off-loading of operations in a distributed environment | |
| US6081898A (en) | Unification of directory service with file system service | |
| EP1662356A2 (en) | Information leakage prevention method and apparatus and program for the same | |
| JP2002505459A (en) | Specify security requirements for each method | |
| US20010025311A1 (en) | Access control system | |
| EP0350005A2 (en) | Security system | |
| JP2003248658A (en) | Method and structure for providing access to secured data from unsecured clients | |
| US6871277B1 (en) | Apparatus and method for preventing disclosure of protected information | |
| JPH04310188A (en) | Library service method for document/image library | |
| Friedman | The authorization problem in shared files | |
| JP3657755B2 (en) | Composite computer system and resource protection method between computer systems | |
| JP2002505477A (en) | Stack-based security requirements | |
| JP4304844B2 (en) | Secure inter-task communication method on OS | |
| JP3706647B2 (en) | Information processing apparatus and information processing method | |
| JP3104562B2 (en) | Paid software protection system | |
| van Zyl et al. | Roaming security agents enabling intelligent access control and network protection | |
| JP2001175522A (en) | Method and system for exclusive control | |
| McCauley et al. | Research in network data management and resource sharing, scenario report, CAC No. 159 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040622 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040820 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040914 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041014 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20041019 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050308 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050310 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080318 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090318 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100318 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100318 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110318 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110318 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120318 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130318 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130318 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140318 Year of fee payment: 9 |
|
| LAPS | Cancellation because of no payment of annual fees |