专利名称:iSCSI鉴权方法、其发起设备和目标设备及鉴权方法
技术领域:
本发明涉及基于iSCSI(internet SCSI,基于internet的SCSI传输协议)的数据传输技术,尤其涉及一种iSCSI鉴权方法、其发起设备和目标设备及鉴权方法。
背景技术:
SCSI(Small Computer System Interface,小型计算机系统接口)标准体系规范了应用主机和外部设备之间进行数据块I/O(Input/Output,输入/输出)操作的过程,其中,外部设备包括磁盘、磁带、光盘、打印机及扫描仪等。SCSI设备的参考模型是一个典型的客户机-服务器结构,发起服务请求的一方称为Initiator(发起设备),如应用主机;接受服务请求的一方称为Target(目标设备),发起设备和目标设备之间可以有不同的物理连接方式。
iSCSI是一种基于TCP/IP的SCSI传输协议,用于在应用主机和存储系统之间通过IP网络传输SCSI命令和数据。一个iSCSI协议的典型应用环境如图1所示,客户端10集成一个iSCSI发起设备模块,存储系统30中集成一个iSCSI目标设备模块,客户端10把SCSI命令和/或数据封装在iSCSI报文中,通过IP网络20发送给存储系统30,存储系统30对每个iSCSI报文进行处理,取出其中的数据并写入到存储介质中。
在存储系统中,存储资源使用iSCSI Target来表示,每个存储系统可创建多个存储资源。存储系统中为存储资源设置了访问权限,只允许客户端通过iSCSI发起设备名称作为唯一性标识,来访问授权的存储资源。客户端要访问存储系统分配的存储资源,进行读写数据操作,必须先获得存储系统分配的存储资源列表,该列表中使用存储资源名称来标识发起设备的权限。
发起设备获取存储资源列表的一般实现方式是首先在发起设备一侧静态地配置好目标设备所在存储系统的访问地址,如IP地址或TCP(Transmission Control Protocol,传输控制协议)端口,然后启动一个存储资源的发现过程,以获得授权给该发起设备的存储资源列表。
一个典型的存储资源发现过程如图2所示,包括以下步骤s201,发起设备向存储系统发送一个登录请求消息,其中该消息中携带该iSCSI发起设备的名称参数InitiatorName;s202,存储系统接收发起设备的登录请求消息后,向发起设备返回登录响应消息,双方建立会话通道;s203,发起设备向存储系统发送一个文本请求消息,其中带有发送目标参数SendTargets,请求存储系统返回所有授权给该发起设备的存储资源列表;s204,存储系统检查其存储资源访问控制列表,把发起设备有权访问的存储资源列表返回给发起设备,该列表中包括存储资源名称和存储资源地址;s205,发起设备获得存储资源列表后,向存储系统发送退出请求消息,请求结束存储资源发现过程;s206,存储系统向发起设备返回退出响应消息,结束存储资源发现过程。
表1
步骤s203中一个典型的存储资源访问控制列表如表1所示iSCSI发起设备名称为Iqn.Initiatorsample1的客户端有权访问名称为Iqn.targetsample1、Iqn.targetsample2两个Target;名称为Iqn.Initiatorsample2的客户端有权访问名称为Iqn.targetsample2、Iqn.targetsample3两个Target,其中对Iqn.targetsample2具有只读权限,而Iqn.targetsample2允许同时被两个客户端访问。
通过上述存储资源访问控制列表,存储系统在一定程序上消除了对存储资源的非法访问,但还不够彻底。因为在iSCSI协议体系中,用以唯一性标识客户端的iSCSI发起设备名称是一个按照一定命名规则生成的字符串,技术上并不能保证其唯一性,不论是配置错误,还是恶意的仿冒,都为数据的安全性带来一定的威胁。
为了进一步提高数据的安全性,iSCSI协议中引入了一些IP通信领域的安全机制,来实现对客户端的鉴权,如CHAP(Challenge HandshakeAuthentication Protocol,质询握手鉴权协议)、SRP(Secure Remote Password,安全远程密码)等。具体的存储资源发起过程如图3所示s301,发起设备启动iSCSI Target发现过程时,首先在登录请求消息中通过鉴权方法信息AuthMethod把所支持的鉴权模式列表发送给存储系统;s302,如果需要对发起设备进行鉴权操作,则存储系统通过鉴权方法信息AuthMethod向发起设备返回设定的鉴权模式;s303,发起设备和存储系统依据设定的鉴权模式,进行鉴权处理,如CHAP;s304,鉴权通过后,存储系统向发起设备返回登录成功响应消息;s305-s308,和图2中一般的存储资源发现过程相同。
在增加了对发起设备的鉴权过程之后,如果发起设备无法通过存储系统的鉴权,则发起设备就无法获得存储资源列表,也就无法访问到存储资源,这进一步提高了数据的安全性,有效地避免了一些对数据的非法访问。
通过与成熟的安全机制结合,把单纯由iSCSI发起设备名称来标识客户端,改变成了使用iSCSI发起设备名称和密码来识别发起设备。但这无法改变iSCSI发起设备名称、以及密码是可配置参数的缺陷,还是容易被仿冒和窃取,仍然存在一定的数据安全性问题。
发明内容
本发明要解决的问题是提供一种iSCSI鉴权方法、其发起设备和目标设备及鉴权方法,以解决现有技术中鉴权参数容易被仿冒和窃取的缺陷。
为了实现以上目的,本发明提供了一种iSCSI鉴权方法,包括以下步骤A、iSCSI发起设备向iSCSI目标设备发送登录请求消息,所述登录请求消息中包括可靠性高于iSCSI发起设备名称的标识;B、根据所述可靠性高于iSCSI发起设备名称的标识,在所述iSCSI目标设备中进行访问权限判断,如果具有访问权限,则转步骤C;C、所述iSCSI目标设备向所述iSCSI发起设备发送鉴权成功响应消息。
步骤B的访问权限判断过程具体包括判断所述登录请求消息中是否携带可靠性高于iSCSI发起设备名称的标识,如果携带,则判断所述可靠性高于iSCSI发起设备名称的标识是否与预先存储的标识匹配,如果匹配,则具有访问权限。
所述匹配包括可靠性高于iSCSI发起设备名称的标识字符长度与长度标准值相同和/或可靠性高于iSCSI发起设备名称的标识字符内容与内容标准值相同。
步骤A之前还包括判断所述iSCSI目标设备是否将所述iSCSI发起设备配置成利用可靠性高于iSCSI发起设备名称的标识进行鉴权的模式,如果是,登录请求消息中包括可靠性高于iSCSI发起设备名称的标识。
所述可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备硬件标识或全球唯一标识符GUID。
所述iSCSI发起设备硬件标识包括iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址。
本发明还提供了一种iSCSI发起设备侧的鉴权方法,包括以下步骤(71)、从iSCSI发起设备内部获取可靠性高于iSCSI设备名称的标识;(72)、在发起登录请求时,将所述标识放入iSCSI登录请求消息发送给iSCSI目标设备供其进行鉴权。
在步骤(72)之前还包括
判断iSCSI目标设备是否将所述iSCSI发起设备配置成利用可靠性高于iSCSI发起设备名称的标识进行鉴权的模式,如果是,则转步骤(72)。
步骤(71)之前还包括判断iSCSI目标设备是否将所述iSCSI发起设备配置成利用可靠性高于iSCSI发起设备名称的标识进行鉴权的模式,如果是,则转步骤(71)。
所述可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备硬件标识或全球唯一标识符GUID。
所述iSCSI发起设备硬件标识包括iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址。
本发明还提供了一种iSCSI目标设备侧的鉴权方法,包括以下步骤(121)、从来自iSCSI发起设备的登录请求消息中获取其携带的可靠性高于iSCSI发起设备名称的标识;(122)、iSCSI目标设备根据内部预先存放的标识与所述获取的标识进行比较,如果匹配,则通过iSCSI发起设备的登录请求。
所述匹配包括可靠性高于iSCSI发起设备名称的标识字符长度与长度标准值相同和/或可靠性高于iSCSI发起设备名称的标识字符内容与内容标准值相同。
所述可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备硬件标识或全球唯一标识符GUID。
所述iSCSI发起设备硬件标识包括iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址。
本发明还提供了一种iSCSI发起设备,包括可靠性高于iSCSI发起设备名称的标识获取单元、接收存储资源信息单元和报文封装单元,所述可靠性高于iSCSI发起设备名称的标识获取单元,用于采集iSCSI发起设备可靠性高于iSCSI发起设备名称的标识;所述报文封装单元,用于将可靠性高于iSCSI发起设备名称的标识封装到iSCSI登录请求消息中;所述接收存储资源信息单元,用于从iSCSI目标设备的存储资源列表中下载所述iSCSI发起设备有权访问的存储资源信息。
还包括控制单元,用于接收到iSCSI目标设备发送的使用可靠性高于iSCSI发起设备名称的标识进行鉴权指令时,控制所述报文封装单元将可靠性高于iSCSI发起设备名称的标识封装到登录请求消息中。
所述可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备硬件标识或全球唯一标识符GUID。
所述iSCSI发起设备硬件标识包括iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址。
本发明还提供了一种iSCSI目标设备,包括报文解析单元、存储资源列表单元和列表分配管理单元;所述报文解析单元,用于接收并解析iSCSI发起设备发送的登录请求消息,获得可靠性高于iSCSI发起设备名称的标识;所述存储资源列表单元,用于存储可靠性高于iSCSI发起设备名称的标识、存储资源列表信息和访问权限的对应关系;所述列表分配管理单元,用于根据所述可靠性高于iSCSI发起设备名称的标识及对应的访问权限向所述iSCSI发起设备分配存储资源列表信息。
还包括标识判断单元,用于判断所述iSCSI登录请求消息中的可靠性高于iSCSI发起设备名称的标识是否与预先设置的标识匹配,当匹配时,控制所述列表分配管理单元向iSCSI发起设备分配存储资源列表信息。
所述标识判断单元进一步包括长度检测子单元和内容检测子单元;所述长度检测子单元,用于判断所述可靠性高于iSCSI发起设备名称的标识的长度是否符合长度标准值;所述内容检测子单元,用于当长度符合标准值时,判断所述可靠性高于iSCSI发起设备名称的标识字符内容是否符合内容标准值。
所述可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备硬件标识或全球唯一标识符GUID。
所述iSCSI发起设备硬件标识包括iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址。
与现有技术相比,本发明具有以下优点本发明存储系统不再单单使用iSCSI发起设备名称来识别客户端,而是采用可靠性高于iSCSI发起设备名称的标识,如CPU序列号、MAC地址等,共同来识别一个客户端。只有客户端的可靠性高于iSCSI发起设备名称的标识匹配时,存储系统才返回存储资源列表给客户端。因此,更加严格的控制了客户端对存储资源的访问,可有效避免仿冒iSCSI发起设备名称带来的数据安全问题,提高数据安全性。
图1是现有技术中一个iSCSI协议的典型应用结构图;图2是现有技术一个存储资源发现过程流程图;图3是现有技术另一个存储资源发现过程流程图;图4是本发明一种iSCSI鉴权方法流程图;图5是本发明iSCSI发起设备侧鉴权方法流程图;图6是本发明iSCSI目标设备侧鉴权方法流程图;图7是本发明利用iSCSI鉴权方法实现存储资源发现的流程图;图8是本发明一种iSCSI发起设备结构图;图9是本发明另一种iSCSI发起设备结构图;图10是本发明一种iSCSI目标设备结构图。
具体实施例方式
下面结合具体实施例对本发明进行详细描述。
本发明一种iSCSI鉴权方法,如图4所示,包括以下步骤步骤s401,iSCSI发起设备向iSCSI目标设备发送登录请求消息,所述登录请求消息中包括可靠性高于iSCSI发起设备名称的标识。其中,该可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备的硬件标识等参数,例如iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址等;或者是全球唯一标识符(GUID),一般来说各个计算机生成GUID都不会重复;或者其他可靠性高于设备名称的标识。
步骤s402,根据所述可靠性高于iSCSI发起设备名称的标识,在目标设备进行访问权限判断,如果具有访问权限,则转步骤s403。其中,访问权限判断具体包括查找登录请求消息中是否携带可靠性高于iSCSI发起设备名称的标识,如果携带,则判断所述可靠性高于iSCSI发起设备名称的标识是否与预先存储的标识匹配,如果匹配,则具有访问权限。其中,匹配包括可靠性高于iSCSI发起设备名称的标识的字符长度与标准长度值相同或可靠性高于iSCSI发起设备名称的标识的字符内容与标准内容值相同。
步骤s403,iSCSI目标设备向iSCSI发起设备发送鉴权成功响应,通知iSCSI发起设备可以从iSCSI目标设备中获取授权的存储资源列表信息。
其中,步骤s401中登录请求消息中包括鉴权模式列表参数,鉴权模式包括质询握手鉴权协议CHAP方式或安全远程密码SRP方式等。步骤s402和s403之间可以包括普通鉴权步骤iSCSI目标设备根据鉴权模式列表参数对iSCSI发起设备进行鉴权。
另外,步骤s401之前可以设置当iSCSI目标设备配置对iSCSI发起设备配置成利用可靠性高于iSCSI发起设备名称的标识进行鉴权模式时,登录请求消息中才包括可靠性高于iSCSI发起设备名称的标识。
本发明还提供了一种iSCSI发起设备侧的鉴权方法,如图5所示,包括以下步骤步骤s501,从iSCSI发起设备内部获取可靠性高于iSCSI设备名称的标识。其中,可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备硬件标识或全球唯一标识符GUID,iSCSI发起设备硬件标识包括iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址。
步骤s502,在发起登录请求时,将所述标识放入iSCSI登录请求消息发送给iSCSI目标设备供其进行鉴权。
其中,iSCSI发起设备可以在iSCSI发起设备的控制下使用可靠性高于iSCSI设备名称的标识,当iSCSI目标设备将iSCSI发起设备配置成利用可靠性高于iSCSI发起设备名称的标识进行鉴权的模式时,iSCSI发起设备才获取可靠性高于iSCSI设备名称的标识,或将所述标识放入iSCSI登录请求消息发送给iSCSI目标设备供其进行鉴权本发明还提供了一种iSCSI目标设备侧的鉴权方法,如图6所示,包括以下步骤步骤s601,从来自iSCSI发起设备的登录请求消息中获取其携带的可靠性高于iSCSI发起设备名称的标识。其中,可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备硬件标识或全球唯一标识符GUID,iSCSI发起设备硬件标识包括iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址。
步骤s602,iSCSI目标设备根据内部预先存放的标识与所述获取的标识进行比较,如果匹配,则通过iSCSI发起设备的登录请求。其中,匹配包括可靠性高于iSCSI发起设备名称的标识字符长度与长度标准值相同和/或可靠性高于iSCSI发起设备名称的标识字符内容与内容标准值相同。
根据上述原理,一种应用iSCSI鉴权方法的iSCSI存储资源发现过程如图7所示,包括以下步骤步骤s701,发起设备向存储系统发送登录请求消息Login Request,该消息中包括iSCSI发起设备名称InitaitorName、发起设备唯一性硬件标识参数InitiatorID和鉴权模式列表参数AuthMethod,其中,AuthMethod为可选参数。如果登录请求消息中未携带InitiatorID参数,或者InitiatorID参数不合法,如长度不足或者超长等或内容与标准值不同,则拒绝发起设备的登录请求;步骤s702,存储系统向发起设备发送登录响应消息Login Response,该消息中包括鉴权模式;步骤s703,根据现有安全机制进行鉴权,例如CHAP方式或SRP方式,该过程为可选;步骤s704,存储系统向发起设备发送登录响应消息Accept;步骤s705,发起设备登录成功以后,向存储系统发送文本请求消息TextRequest,请求获取授权的存储资源列表;步骤s706,存储系统收到文本请求消息后,同时使用发起设备的iSCSI发起设备名称和发起设备唯一性硬件标识参数来查询存储资源访问控制列表,只有二者同时匹配成功时,才认为相应的存储资源是授权给该发起设备的存储资源,将存储资源名称和存储资源地址通过文本响应消息发送给发起设备;步骤s707,发起设备向存储系统发送退出请求消息Logout Request;步骤s708,存储系统向发起设备发送退出响应消息Logout Response。
本发明还提供了一种iSCSI发起设备,如图8所示,包括可靠性高于iSCSI发起设备名称的标识获取单元120、接收存储资源信息单元130和报文封装单元110;可靠性高于iSCSI发起设备名称的标识获取单元120用于从iSCSI发起设备中采集可靠性高于iSCSI发起设备名称的标识,报文封装单元110用于将可靠性高于iSCSI发起设备名称的标识封装到iSCSI登录请求消息中,接收存储资源信息单元130用于从iSCSI目标设备的存储资源列表中下载所述iSCSI发起设备有权访问的存储资源信息。
另外,在存储资源发现过程的登录阶段,可以把使用可靠性高于iSCSI发起设备名称的标识进行鉴权也作为鉴权模式(AuthMethod参数)的一种。发起设备并不需要主动把其可靠性高于iSCSI发起设备名称的标识(InitiatorID参数)发送给目标设备,只有当目标设备配置的鉴权模式是使用可靠性高于iSCSI发起设备名称的标识鉴权时,在登录响应消息中再要求发起设备把其可靠性高于iSCSI发起设备名称的标识发送给目标设备。为实现上述功能,如图9所示,iSCSI发起设备还需要增加控制单元140,用于接收到iSCSI目标设备发送的使用可靠性高于iSCSI发起设备名称的标识进行鉴权指令时,控制报文封装单元将可靠性高于iSCSI发起设备名称的标识封装到登录请求消息中。其中,可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备硬件标识或全球唯一标识符GUID,iSCSI发起设备硬件标识包括iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址。
本发明还提供了一种iSCSI目标设备,如图10所示,包括报文解析单元210、标识判断单元220、存储资源列表单元240和存储资源列表分配管理单元230;其中,报文解析单元210用于接收并解析所述登录请求消息,获得可靠性高于iSCSI发起设备名称的标识;存储资源列表单元240用于存储可靠性高于iSCSI发起设备名称的标识、存储资源列表信息和访问权限的对应关系;标识判断单元220,用于判断iSCSI登录请求消息中的可靠性高于iSCSI发起设备名称的标识是否与预先存储的标识匹配,当匹配时,存储资源列表分配管理单元230根据可靠性高于iSCSI发起设备名称的标识及对应的访问权限向iSCSI发起设备分配存储资源列表信息。其中,可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备硬件标识或全球唯一标识符GUID,iSCSI发起设备硬件标识包括iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址。
其中,标识判断单元220进一步包括长度检测子单元和内容检测子单元,长度检测子单元用于判断所述可靠性高于iSCSI发起设备名称的标识的字符长度是否符合长度标准值;内容检测子单元用于当长度符合标准值时,判断可靠性高于iSCSI发起设备名称的标识具体字符内容是否符合内容标准值。
另外,iSCSI目标设备还可以包括鉴权模式列表,用于存储对iSCSI发起设备进行普通鉴权的模式参数。其中,鉴权模式包括质询握手鉴权协议CHAP方式或安全远程密码SRP方式。
下面举一个利用上述发起设备和目标设备的鉴权实例。
设发起设备名称为iqn.initiator.sample1,使用其某个端口的MAC地址(00-65-5B-6D-4F-01)作为其可靠性高于iSCSI发起设备名称的标识。目标设备为发起设备分配存储资源,对应的存储资源名称为iqn.target.sample1,存储资源的访问地址为192.168.112.100,TCP端口号为3260。目标设备建立的存储资源访问控制列表如表2表2
当发起设备需要访问其存储资源时,在登录请求消息中同时把发起设备名称Iqn.Initiatorsample1和可靠性高于iSCSI发起设备名称的标识00-65-5B-6D-4F-01发送给目标设备。在完成发起设备鉴权等消息交互后,目标设备使用发起设备名称Iqn.Initiatorsample1和可靠性高于iSCSI发起设备名称的标识00-65-5B-6D-4F-01查询本身的存储资源访问控制列表,从中获得授权给发起设备的存储资源(名称为Iqn.targetsample1),并返回给发起设备。发起设备得到授权的存储资源后,即可访问相应的存储资源,进行数据读写。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1.一种iSCSI鉴权方法,其特征在于,包括以下步骤A、iSCSI发起设备向iSCSI目标设备发送登录请求消息,所述登录请求消息中包括可靠性高于iSCSI发起设备名称的标识;B、根据所述可靠性高于iSCSI发起设备名称的标识,在所述iSCSI目标设备中进行访问权限判断,如果具有访问权限,则转步骤C;C、所述iSCSI目标设备向所述iSCSI发起设备发送鉴权成功响应消息。
2.如权利要求1所述iSCSI鉴权方法,其特征在于,步骤B的访问权限判断过程具体包括判断所述登录请求消息中是否携带可靠性高于iSCSI发起设备名称的标识,如果携带,则判断所述可靠性高于iSCSI发起设备名称的标识是否与预先存储的标识匹配,如果匹配,则具有访问权限。
3.如权利要求2所述iSCSI鉴权方法,其特征在于,所述匹配包括可靠性高于iSCSI发起设备名称的标识字符长度与长度标准值相同和/或可靠性高于iSCSI发起设备名称的标识字符内容与内容标准值相同。
4.如权利要求1所述iSCSI鉴权方法,其特征在于,步骤A之前还包括判断所述iSCSI目标设备是否将所述iSCSI发起设备配置成利用可靠性高于iSCSI发起设备名称的标识进行鉴权的模式,如果是,登录请求消息中包括可靠性高于iSCSI发起设备名称的标识。
5.如权利要求1至4中任一项所述iSCSI鉴权方法,其特征在于,所述可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备硬件标识或全球唯一标识符GUID。
6.如权利要求5所述iSCSI鉴权方法,其特征在于,所述iSCSI发起设备硬件标识包括iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址。
7.一种iSCSI发起设备侧的鉴权方法,其特征在于,包括以下步骤(71)、从iSCSI发起设备内部获取可靠性高于iSCSI设备名称的标识;(72)、在发起登录请求时,将所述标识放入iSCSI登录请求消息发送给iSCSI目标设备供其进行鉴权。
8.如权利要求7所述iSCSI发起设备侧的鉴权方法,其特征在于,在步骤(72)之前还包括判断iSCSI目标设备是否将所述iSCSI发起设备配置成利用可靠性高于iSCSI发起设备名称的标识进行鉴权的模式,如果是,则转步骤(72)。
9.如权利要求7所述iSCSI发起设备侧的鉴权方法,其特征在于,步骤(71)之前还包括判断iSCSI目标设备是否将所述iSCSI发起设备配置成利用可靠性高于iSCSI发起设备名称的标识进行鉴权的模式,如果是,则转步骤(71)。
10.如权利要求7至9中任一项所述iSCSI发起设备侧的鉴权方法,其特征在于,所述可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备硬件标识或全球唯一标识符GUID。
11.如权利要求10所述iSCSI发起设备侧的鉴权方法,其特征在于,所述iSCSI发起设备硬件标识包括iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址。
12.一种iSCSI目标设备侧的鉴权方法,其特征在于,包括以下步骤(121)、从来自iSCSI发起设备的登录请求消息中获取其携带的可靠性高于iSCSI发起设备名称的标识;(122)、iSCSI目标设备根据内部预先存放的标识与所述获取的标识进行比较,如果匹配,则通过iSCSI发起设备的登录请求。
13.如权利要求12所述iSCSI目标设备侧的鉴权方法,其特征在于,所述匹配包括可靠性高于iSCSI发起设备名称的标识字符长度与长度标准值相同和/或可靠性高于iSCSI发起设备名称的标识字符内容与内容标准值相同。
14.如权利要求12或13所述iSCSI目标设备侧的鉴权方法,其特征在于,所述可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备硬件标识或全球唯一标识符GUID。
15.如权利要求14所述iSCSI目标设备侧的鉴权方法,其特征在于,所述iSCSI发起设备硬件标识包括iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址。
16.一种iSCSI发起设备,其特征在于,包括可靠性高于iSCSI发起设备名称的标识获取单元、接收存储资源信息单元和报文封装单元,所述可靠性高于iSCSI发起设备名称的标识获取单元,用于采集iSCSI发起设备可靠性高于iSCSI发起设备名称的标识;所述报文封装单元,用于将可靠性高于iSCSI发起设备名称的标识封装到iSCSI登录请求消息中;所述接收存储资源信息单元,用于从iSCSI目标设备的存储资源列表中下载所述iSCSI发起设备有权访问的存储资源信息。
17.如权利要求16所述iSCSI发起设备,其特征在于,还包括控制单元,用于接收到iSCSI目标设备发送的使用可靠性高于iSCSI发起设备名称的标识进行鉴权指令时,控制所述报文封装单元将可靠性高于iSCSI发起设备名称的标识封装到登录请求消息中。
18.如权利要求16或17所述iSCSI发起设备,其特征在于,所述可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备硬件标识或全球唯一标识符GUID。
19.如权利要求18所述iSCSI发起设备,其特征在于,所述iSCSI发起设备硬件标识包括iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址。
20.一种iSCSI目标设备,其特征在于,包括报文解析单元、存储资源列表单元和列表分配管理单元;所述报文解析单元,用于接收并解析iSCSI发起设备发送的登录请求消息,获得可靠性高于iSCSI发起设备名称的标识;所述存储资源列表单元,用于存储可靠性高于iSCSI发起设备名称的标识、存储资源列表信息和访问权限的对应关系;所述列表分配管理单元,用于根据所述可靠性高于iSCSI发起设备名称的标识及对应的访问权限向所述iSCSI发起设备分配存储资源列表信息。
21.如权利要求20所述iSCSI目标设备,其特征在于,还包括标识判断单元,用于判断所述iSCSI登录请求消息中的可靠性高于iSCSI发起设备名称的标识是否与预先设置的标识匹配,当匹配时,控制所述列表分配管理单元向iSCSI发起设备分配存储资源列表信息。
22.如权利要求21所述iSCSI目标设备,其特征在于,所述标识判断单元进一步包括长度检测子单元和内容检测子单元;所述长度检测子单元,用于判断所述可靠性高于iSCSI发起设备名称的标识的长度是否符合长度标准值;所述内容检测子单元,用于当长度符合标准值时,判断所述可靠性高于iSCSI发起设备名称的标识字符内容是否符合内容标准值。
23.如权利要求20至22中任一项所述iSCSI目标设备,其特征在于,所述可靠性高于iSCSI发起设备名称的标识包括iSCSI发起设备硬件标识或全球唯一标识符GUID。
24.如权利要求23所述iSCSI目标设备,其特征在于,所述iSCSI发起设备硬件标识包括iSCSI发起设备的CPU序列号或iSCSI发起设备的MAC地址。
全文摘要
本发明公开了一种iSCSI鉴权方法iSCSI发起设备向iSCSI目标设备发送登录请求消息,该登录请求消息中包括可靠性高于iSCSI发起设备名称的标识;根据该可靠性高于iSCSI发起设备名称的标识,在目标设备进行访问权限判断,如果具有访问权限,则iSCSI目标设备向iSCSI发起设备发送鉴权成功响应。本发明另外公开了一种iSCSI发起设备、目标设备及iSCSI发起设备侧和目标设备侧的鉴权方法。本发明只有可靠性高于iSCSI发起设备名称的标识匹配时,存储系统才返回存储资源列表给发起设备。因此,更加严格地控制了发起设备对存储资源的访问,提高数据安全性。
文档编号H04L12/56GK1925402SQ20061015214
公开日2007年3月7日 申请日期2006年9月15日 优先权日2006年9月15日
发明者张晓琳 申请人:杭州华为三康技术有限公司