专利名称:一种存储网络安全访问控制方法、装置及交换设备的制作方法
技术领域:
本发明涉及计算机通信技术领域,尤其涉及一种存储网络安全访问控制方法、装置及交换设备。
背景技术:
存储区域网络(SAN, Storage Area Network)是一种高速网络或子网络,提供在服务器与存储设备之间的数据传输,存储设备是指一张或多张用以存储数据的磁盘设备。 一个SAN网络由负责网络连接的通信结构、负责组织连接的管理层、存储部件以及计算机系统构成,从而保证数据传输的安全性。目前,主流的SAN支撑技术包括光纤通道(Fiber Channel)技术,FC定义了一套遵循OSI模型的协议栈,通过FC相关协议标准实现SAN网络服务器和存储设备的互访技术,FC相关协议通常运行于服务器和存储设备之间的交换设备上。如图I所示,为基于FC协议技术的存储网络(为了便于描述,以下简称为FC网络)的结构示意图,包括服务器101,交换设备102,存储设备103。FC网络中,各设备为了实现通讯,当前使用了两类地址第一类地址名称标识符(Name ID),使用世界范围的名字(WWN,World Wide Port name)地址来标识,WffN为一个64位的全球唯一地址。顾名思义,该地址用于全球唯一标识 FC网络中的一个对象,这个对象可以是一个交换设备、一个主机设备(服务器或者存储设备)或者一个端口。在一个FC网络中,每台交换设备需要一个WffN地址,用于标识该台设备,在FC网络中选举主交换设备使用。第二类地址FC ID地址,24位的本地地址,基于每个FC网络分配。该地址范围基于每个FC网络,虽然WffN地址具有全局唯一性,但在FC网络中,主机设备互访并不使用WffN 地址,而是通过FC网络动态分配的FC ID地址标识每台设备,并通过该地址进行数据交互。 如图2所示,FC ID地址构包含三个字段I、8 位的 Domain IDDomain ID用来标识一个FC网络的交换设备,一个FC网络中的每台交换设备需要拥有一个唯一的Domain ID地址。在FC网络中,将选举出全网唯一的一台主交换设备, Domain ID地址由主交换设备分配产生,因此,Domain ID可以用来标识FC网络中的一台交换设备。2、8 位的 Area IDArea ID可以将交换设备的一个或者多个端口划分到同一个区域,通过对区域的划分,可以实现对设备互访的控制。3、8 位的 Port ID在FC网络中,当主机设备登录到交换设备上时,交换设备会结合本设备的Domain ID和Area ID,为主机设备分配一个Port ID,最终为主机设备分配一个FC ID地址,其中最低8位的Port ID必须要保证所分配的主机设备的唯一'丨生。为了对登录到交换设备上的主机设备进行管理,每台交换设备上需要实现名称服务器(Name Server)功能,Name Server是一个分布式管理模块,维护者整个FC网络中所有主机设备的信息,以及Name Server管理着注册在Name Server数据库中的主机设备的端口相关信息,主机设备的端口相关信息如图3所示,其中Port Identifier :主机设备的 FC ID 地址;Port Type :主机设备的端口类型;Plantform Name :设备的平台名称;Port Name :主机设备端口的 WffN ;Node Name :主机设备节点的WffN ;Class of Service :主机设备所支持的服务类型;FC_4Pr ο t ο Co I s :当前主机设备的服务协议,例如是作为设备的发起端还是目标端,一般来说,在存储网络里面,服务器一般作为设备的发起端,存储设备一般作为设备的目标端。Name Server知道Fabric中的所有设备(类型于IP网络中的DNS服务),当一个主机设备登录到FC网络时,它会向Name Server登记信息,并向其查询在FC网络中的所有设备信息,具体行为为1、主机(服务器或者磁盘)把信息注册到名称服务器的名称数据库中;2、主机(服务器或者磁盘)查询数据库获得其它端口的信息;3、主机(服务器或者磁盘)可以从名称数据库中撤销注册,当Name Server信息发生变化时,将选择性地向主机 (服务器或者磁盘)进行通告。FC网络能够实现服务器与存储设备之间的读写操作。由于FC技术是一种相对智能的技术,在服务器或者存储设备接入网络后,能够自动地为服务器或者存储设备实现FC ID地址的分配,并且能够为服务器智能地发现远程存储设备,提供了有效的方法。当前服务器发现远程存储设备的方法为1)向交换设备注册本服务器需要关注FC ID的变化;2)交换设备的Name Server功能模块在发现FC ID地质发生变化的时候,向注册关注FC ID地址变化的服务器进行通告。根据FC ID地址关注注册及地址变化通告机制,可以顺利实现FC 网络中,服务器与存储设备的互相发现。服务器如果需要同存储设备建立链接通路,需要先向交换设备查询并获取该存储设备的FC ID地址,再以FC ID地址为目的地址,向存储设备发起协议类型为Prli的协议报文,协商建立链接通路。其中,Prli协议报文的特征为1) 源ID为服务器的FC ID地址,目的ID为存储设备的FC ID地址;2)Prli报文为FC数据报文;3)交换设备负责转发Prli报文给目标设备。在完成Prli通讯链路协商之后,服务器和存储设备就可以进行数据通讯了。由于FC网络较为智能,能够实现设备地址的自动分配以及远程设备的发现。在这种情况下,网管人员往往比较难以监控FC网络当前的运行状态。由于服务器可以通过Name Server很容易的发现磁盘设备,并与它建立通讯链路,这样也导致了一些安全隐患。比如有些存储设备有读权限,不允许服务器随便读取,这样就提出安全性能方面的要求。现有技术中,对FC网络的管理上,主要通过ZONE的管理通过ZONE功能,实现FC网络访问权限的限制。如图4所示,FC网络中存在三个Zone,在Zone I里面,限制只有Hl服务器能够访问 SI存储设备;在Zone 2里面,限制只有H3服务器能够访问S3存储设备;在Zone 3里面, 限制只有H2服务器能够访问S2存储设备。由于在Zone功能的实现机制上,主要是通过控制Name Server的行为,当服务器向交换设备查询存储设备的FC ID地址时,不向服务器通告其无权限访问的存储设备的FC ID地址,这样导致服务器无法发现存储设备,从而无法进行读写操作。但是如果服务器通过其它方法获取到其无权限访问的存储设备的FC ID地址,就可以直接同该存储设备建立连接,并进行读写操作,因此,增加了 FC网络的安全性风险,降低了 FC网络的可靠性。
发明内容
本发明实施例提供一种存储网络安全访问控制方法、装置及交换设备,用以在存储网络中,提高存储网络的安全性和可靠性。本发明实施例提供一种存储网络安全访问控制方法,包括在接收到发起端设备向目标端设备发送的连接建立请求报文后,获得所述发起端设备与所述目标端设备之间的访问权限控制信息;根据所述访问权限控制信息,判断所述发起端设备是否有权限访问所述目标端设备;若是,允许所述发起端设备访问所述目标端设备;若否,禁止所述发起端设备访问所述目标端设备。本发明实施例提供一种存储网络安全访问控制装置,包括获得单元,用于在接收到发起端设备向目标端设备发送的连接建立请求报文后, 获得所述发起端设备与所述目标端设备之间的访问权限控制信息;判断单元,用于根据所述获得单元获得的访问权限控制信息,判断所述发起端设备是否有权限访问所述目标端设备;执行单元,用于在所述判断单元的判断结果为是时,允许所述发起端设备访问所述目标端设备;在所述判断单元的判断结果为否时,禁止所述发起端设备访问所述目标端设备。本发明实施例提供的存储网络安全访问控制方法、装置及交换设备,当发起端设备在与目标端设备准备进行连接,向目标端设备发送连接建立请求报文时,根据配置的发起端设备与目标端设备之间的访问权限控制信息,确定发起端设备是否有权限访问目标端设备,如果有,则允许发起端设备访问目标端设备,否则,将禁止发起端设备访问目标端设备。由于发送端设备在访问目标端设备之前,首先需要向目标端设备发送连接建立请求报文,以与目标端设备建立通讯连接,本发明实施例中,当发现发送端设备与目标端设备之间发送连接建立请求报文时,首先确定发送端设备是否有权限访问目标端设备,并据此对发送端设备访问目标端设备进行控制,这样,即使发送端设备通过其它方式获得了其无权限访问的目标端设备的地址,根据本发明实施例也能够在发送端设备与目标端设备建立通讯连接时及时发现,并禁止发送端设备访问目标端设备,从而,降低了存储网络的安全性风险,提高了存储网络的可靠性。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
图I为现有技术中,FC网络的结构示意图;图2为现有技术中,FC ID地址的结构示意图;图3为现有技术中,FC网络中,主机设备的端ロ相关信息示意图;图4为现有技术中,实现ZONE功能的FC网络的结构示意图;图5为本发明实施例中,存储网络安全访问控制方法的实施流程示意图;图6为本发明实施例中,存储网络安全访问控制装置的结构示意图。
具体实施例方式为了降低存储网络的安全性风险,提高存储网络的可靠性,本发明实施例提供了 ー种存储网络安全访问控制方法、装置及交換设备。在存储网络中,对于每一台发起端设备来说,如果需要访问目标端设备时,需要首 先同目标端设备建立用于进行通讯的通道,即首先与目标端设备建立通讯连接,在发起端 设备与目标端设备建立通讯连接时,会向目标端设备发送连接建立请求报文,这样,通过监 控发送端设备与目标端设备之间传输的连接建立请求报文,便可以对发起端设备访问目标 端设备进行安全控制。基于此,本发明实施例提供ー种存储网络安全访问控制方法,以下结合说明书附 图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解 释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的 特征可以相互组合。如图5所示,为本发明实施例提供的存储网络安全访问控制方法,包括以下步骤S501、存储网络中的交换设备在接收到发起端设备向目标端设备发送的连接建立 请求报文后,获得发起端设备与目标端设备之间的访问权限控制信息;具体实施时,连接建立请求报文中携帯有发起端设备标识和目标端设备标识。S502、交换设备根据获得的访问权限控制信息,判断该发起端设备是否有权限访 问该目标端设备,在判断结果为是时,执行步骤S503,在判断结果为否时,执行步骤S504 ;S503、允许该发起端设备访问该目标端设备;具体的,可以将接收到的连接建立请求报文发送给目标端设备,即允许发起端设 备与目标端设备建立通讯连接,并进而进行后续的访问操作。S504、禁止该发起端设备访问该目标端设备。具体的,可以将接收到的连接建立请求报文直接丢弃,即不允许发起端设备与目 标端设备建立通讯连接,较佳地,还可以进ー步地向发起端设备发送拒绝请求的报文,以结 束通讯链路的建立。具体实施中,为了对发起端设备和目标端设备之间的访问权限进行控制,需要首 先配置发起端设备与目标端设备之间的访问权限控制信息。例如,可以以采用安全控制列 表保存整个存储网络中各发起端设备与目标端设备之间的访问权限控制信息,ー种可能的 数据格式如表I所示表I
权利要求
1.一种存储网络安全访问控制方法,其特征在于,包括在接收到发起端设备向目标端设备发送的连接建立请求报文后,获得所述发起端设备与所述目标端设备之间的访问权限控制信息;根据所述访问权限控制信息,判断所述发起端设备是否有权限访问所述目标端设备; 若是,允许所述发起端设备访问所述目标端设备;若否,禁止所述发起端设备访问所述目标端设备。
2.如权利要求I所述的方法,其特征在于,所述连接建立请求报文中携带有发起端设备标识和目标端设备标识;以及获得所述发起端设备与所述目标端设备之间的访问权限控制信息,具体包括根据所述发起端设备标识和所述目标端设备标识,从本地存储的局部安全访问控制列表中,查找所述发起端设备与所述目标端设备之间的访问权限控制信息,所述局部安全访问控制列表中包含本地所有发起端设备与目标端设备之间的访问权限控制信息。
3.如权利要求2所述的方法,其特征在于,发起端设备标识和目标端设备标识分别为发起端光纤通道标识FC ID和目标端FC ID;以及根据所述发起端设备标识和所述目标端设备标识,从本地存储的局部安全访问控制列表中,查找所述发起端设备与所述目标端设备之间的访问权限控制信息,具体包括向名字服务器Name Server分别查询所述发起端FC ID对应的发起端世界范围名字 WffN,以及所述目标端FC ID对应的目标端WffN ;根据发起端WffN和目标端WWN,从本地存储的局部安全访问控制列表中,查找所述发起端设备与所述目标端设备之间的访问权限控制信息。
4.如权利要求I所述的方法,其特征在于,所述连接建立请求报文中携带有发起端设备标识和目标端设备标识;以及获得所述发起端设备与所述目标端设备之间的访问权限控制信息,具体包括向存储有全局安全访问控制列表的安全服务器发送查询请求,所述查询请求中携带有所述发起端设备标识和目标端设备标识,所述全局安全访问控制列表中包含整个存储网络中所有发起端设备与目标端设备之间的访问权限控制信息;并接收所述安全服务器根据所述发起端设备标识和目标端设备标识,在所述全局安全访问控制列表中、查找到的所述发起端设备与所述目标端设备之间的访问权限控制信息。
5.如权利要求4所述的方法,其特征在于,所述发起端设备标识和目标端设备标识分别为发起端FC ID和目标端FC ID ;以及在向存储有全局安全访问控制列表的安全服务器发送查询请求之前,还包括向名字服务器Name Server分别查询所述发起端FC ID对应的发起端WWN,以及所述目标端FC ID对应的目标端WffN;将发起端WWN和目标端WffN分别作为发起端设备标识和目标端设备标识。
6.一种存储网络安全访问控制装置,其特征在于,包括获得单元,用于在接收发起端设备向目标端设备发送的连接建立请求报文后,获得所述发起端设备与所述目标端设备之间的访问权限控制信息;判断单元,用于根据所述获得单元获得的访问权限控制信息,判断所述发起端设备是否有权限访问所述目标端设备;执行单元,用于在所述判断单元的判断结果为是时,允许所述发起端设备访问所述目标端设备;在所述判断单元的判断结果为否时,禁止所述发起端设备访问所述目标端设备。
7.如权利要求6所述的装置,其特征在于,所述连接建立请求报文中携带有发起端设备标识和目标端设备标识;以及所述获得单元,具体用于根据所述发起端设备标识和所述目标端设备标识,从本地存储的局部安全访问控制列表中,查找所述发起端设备与所述目标端设备之间的访问权限控制信息,所述局部安全访问控制列表中包含本地所有发起端设备与目标端设备之间的访问权限控制信息。
8.如权利要求7所述的装置,其特征在于,发起端设备标识和目标端设备标识分别为发起端光纤通道标识FC ID和目标端FC ID ;以及所述获得单元,包括查询子单元,用于向名字服务器Name Server分别查询所述发起端FC ID对应的发起端世界范围名字WWN,以及所述目标端FC ID对应的目标端WffN ;查找子单元,用于根据发起端WWN和目标端WWN,从本地存储的局部安全访问控制列表中,查找所述发起端设备与所述目标端设备之间的访问权限控制信息。
9.如权利要求6所述的装置,其特征在于,所述连接建立请求报文中携带有发起端设备标识和目标端设备标识;以及所述获得单元,包括发送子单元,用于向存储有全局安全访问控制列表的安全服务器发送查询请求,所述查询请求中携带有所述发起端设备标识和目标端设备标识,所述全局安全访问控制列表中包含整个存储网络中所有发起端设备与目标端设备之间的访问权限控制信息;接收子单元,用于接收所述安全服务器根据所述发起端设备标识和目标端设备标识, 在所述全局安全访问控制列表中、查找到的所述发起端设备与所述目标端设备之间的访问权限控制信息。
10.如权利要求9所述的装置,其特征在于,所述发起端设备标识和目标端设备标识分别为发起端FC ID和目标端FC ID ;以及所述获得单元,还用于在发送子单元向所述安全服务器发送查询请求之前,向名字服务器Name Server分别查询所述发起端FC ID对应的发起端WWN,以及所述目标端FC ID对应的目标端WWN ;以及将发起端WffN和目标端WffN分别作为发起端设备标识和目标端设备标识。
11.一种交换设备,其特征在于,包括权利要求6 10任一权利要求所述的装置。
全文摘要
本发明公开了一种存储网络安全访问控制方法、装置及交换设备,用以提高存储网络的安全性和可靠性。其中,存储网络安全访问控制方法,包括在接收到发起端设备向目标端设备发送的连接建立请求报文后,获得所述发起端设备与所述目标端设备之间的访问权限控制信息;根据所述访问权限控制信息,判断所述发起端设备是否有权限访问所述目标端设备;若是,允许所述发起端设备访问所述目标端设备;若否,禁止所述发起端设备访问所述目标端设备。
文档编号H04L29/06GK102611624SQ20121007178
公开日2012年7月25日 申请日期2012年3月16日 优先权日2012年3月16日
发明者谢伟武 申请人:北京星网锐捷网络技术有限公司