一种存储系统访问控制方法
【专利摘要】本发明提供一种存储系统访问控制方法,其具体实现过程为:设置三层构架,即上层、中层和下层,下层通过虚拟化模块完成物理存储设备的同一虚拟化,得虚拟存储空间,然后将虚拟存储空间映射给中层,中层通过LUN隔离模块将LUN映射不同的区域,该一种存储系统访问控制方法和现有技术相比,保护各个系统上的有价值的数据,防止其他前端系统未经授权访问数据或者破坏数据,安全性好,实用性强,易于推广。
【专利说明】一种存储系统访问控制方法
【技术领域】
[0001]本发明涉及通信信息【技术领域】,具体的说是一种有效解决SAN存储系统中未经授权的前端系统访问数据问题的存储系统访问控制方法。
【背景技术】
[0002]存储区域网络(SAN)是一种高速网络或子网络,提供在计算机与存储系统之间的数据传输。存储设备是指一个或多个用以存储计算机数据的磁盘设备。一个SAN网络由负责网络连接的通信结构、负责组织连接的管理层、存储部件以及计算机系统构成,从而保证数据传输的安全性和力度。
[0003]目前构建SAN的解决方案中主要存在三种协议:FC (光纤通道协议),Infiniband和 iSCSI。
[0004]FC是结合传统通道技术和网络技术的串行互联技术,使其可以在长距离上实现可靠数据传输,但是其昂贵的设备和管理成本成为制约FC SAN的最大问题。InfiniBand规范(IBA)采用基于通道的点对点连接,可以应用于服务器内部通信、互连、服务器与存储设备、存储设备之间互连,但是初期投入和成本过高,距大规模应用仍有一段距离。由于iSCSI是SCSI和TCP/IP技术的结合,可以充分利用现有IP网络和成熟的TCP/IP技术。
[0005]在SAN存储系统中,存储设备连接到很多前端应用系统上,在关系到国计民生和国家战略安全的领域,运行关键行业业务的信息系统能否可靠运转将直接影响到社会安定和国家安全,存储系统是我国金融、电信等应用领域中的重要信息化设备,存储系统的安全对国家经济运行安全、社会安全和国家战略安全有着重要的作用。
[0006]基于此,本发明提供一种可应用于SAN存储系统,保护各个系统上的有价值的数据,防止其他前端系统未经授权访问数据,或者破坏数据的存储系统访问控制方法。
【发明内容】
[0007]本发明的技术任务是解决现有技术的不足,提供一种有效解决SAN存储系统中未经授权的前端系统访问数据问题的存储系统访问控制方法。
[0008]本发明的技术方案是按以下方式实现的,该一种存储系统访问控制方法,其具体实现过程为:设置三层构架,即上层、中层和下层,下层通过虚拟化模块完成物理存储设备的同一虚拟化,得虚拟存储空间,然后将虚拟存储空间映射给中层,中层通过LUN隔离模块将LUN映射不同的区域,其中虚拟化模块实现存储系统中物理存储设备的统一虚拟化;LUN隔离模块用来控制某个前端主机访问特定的LUN,实现不同的前端应用服务器访问LUN时的逻辑隔离,保证多个存储系统中前端主机不能相互访问数据,以免造成数据破坏。
[0009]所述中层和上层之间针对不同的访问方式进行LUN的访问,这里的不同的访问方式是指身份认证模块方式访问和交换分区模块方式访问。
[0010]所述身份认证模块用来实现存储系统中前端主机和存储设备之间的安全通信,防止没有经过身份认证的前端主机访问存储设备。
[0011]所述交换分区模块是用来在光纤中设置障碍阻止光纤环境中设备之间的相互访问。
[0012]本发明与现有技术相比所产生的有益效果是:
本发明的一种存储系统访问控制方法用于SAN存储系统,保护各个系统上的有价值的数据,防止其他前端系统未经授权访问数据或者破坏数据,安全性好,实用性强,易于推广。
【专利附图】
【附图说明】
[0013]附图1是本发明的实现结构示意图。
【具体实施方式】
[0014]下面结合附图对本发明的一种存储系统访问控制方法作详细说明。
[0015]本发明提供一种存储系统访问控制方法,该访问控制方法通常用于SAN存储系统,由于在SAN存储系统中存储设备被连接到很多前端系统上,因此,必须保护各个系统上的有价值的数据,防止其他前端系统未经授权访问数据,或者破坏数据。该方法可以有效解决SAN存储系统中,未经授权的前端系统访问数据的问题。如附图1所示,其具体实现过程为:设置三层构架,即上层、中层和下层,下层通过虚拟化模块完成物理存储设备的同一虚拟化,得虚拟存储空间,然后将虚拟存储空间映射给中层,中层通过LUN隔离模块将LUN映射不同的区域,其中虚拟化模块实现存储系统中物理存储设备的统一虚拟化;LUN隔离模块用来控制某个前端主机访问特定的LUN,实现不同的前端应用服务器访问LUN时的逻辑隔离,保证多个存储系统中前端主机不能相互访问数据,以免造成数据破坏。
[0016]所述中层和上层之间针对不同的访问方式进行LUN的访问,这里的不同的访问方式是指身份认证模块方式访问和交换分区模块方式访问。
[0017]所述身份认证模块用来实现存储系统中前端主机和存储设备之间的安全通信,防止没有经过身份认证的前端主机访问存储设备。
[0018]所述交换分区模块是用来在光纤中设置障碍阻止光纤环境中设备之间的相互访问。
[0019]底层(即上述下层)存储设备通过直接映射的方式将逻辑单元映射给统一中层。底层的存储设备通过虚拟磁盘和WWN或发起端名字进行绑定,然后将虚拟磁盘映射到中层融合存储服务器上,进行统一虚拟化。
[0020]统一中层通过LUN隔离统一虚拟化后得到的虚拟存储空间进行划分,得到多个逻辑单元,然后根据上层应用服务器的业务类型,将LUN映射到不同的区域。
[0021]上层和统一中层之间,如果是采用FC方式进行存储系统的访问,则通过交换分区进行端口和WffN的绑定不同区域内的服务器无法访问非授权存储资源。如果是使用IP连接方式,应用服务器与统一中层可选择性地采用挑战握手认证协议CHAP等身份认证方式进行验证。
[0022]除说明书所述的技术特征外,均为本专业技术人员的公知技术。
【权利要求】
1.一种存储系统访问控制方法,其特征在于,其具体实现过程为:设置三层构架,即上层、中层和下层,下层通过虚拟化模块完成物理存储设备的同一虚拟化,得虚拟存储空间,然后将虚拟存储空间映射给中层,中层通过LUN隔离模块将LUN映射不同的区域,其中虚拟化模块实现存储系统中物理存储设备的统一虚拟化;LUN隔离模块用来控制某个前端主机访问特定的LUN,实现不同的前端应用服务器访问LUN时的逻辑隔离,保证多个存储系统中前端主机不能相互访问数据,以免造成数据破坏。
2.根据权利要求1所述的一种存储系统访问控制方法,其特征在于,所述中层和上层之间针对不同的访问方式进行LUN的访问,这里的不同的访问方式是指身份认证模块方式访问和交换分区模块方式访问。
3.根据权利要求2所述的一种存储系统访问控制方法,其特征在于,所述身份认证模块用来实现存储系统中前端主机和存储设备之间的安全通信,防止没有经过身份认证的前端主机访问存储设备。
4.根据权利要求2所述的一种存储系统访问控制方法,其特征在于,所述交换分区模块是用来在光纤中设置障碍阻止光纤环境中设备之间的相互访问。
【文档编号】H04L9/32GK103607450SQ201310582276
【公开日】2014年2月26日 申请日期:2013年11月20日 优先权日:2013年11月20日
【发明者】张延枫, 张宇 申请人:浪潮电子信息产业股份有限公司