一种数据中心及其访问方法
【专利摘要】本发明公开了一种基于网络存储的数据中心及其访问方法,涉及网络存储【技术领域】。本发明公开的方法包括,数据中心收到用户主机发起的访问请求时,数据中心的管理服务器对所述用户主机进行身份认证;若所述用户主机通过身份认证,则所述访问请求所要访问的网络存储设备判断所述访问请求是否为授权操作,若所述访问请求为授权操作,则进行相应的处理。本发明还公开了一种数据中心。本申请技术方案提高了系统性能。
【专利说明】一种数据中心及其访问方法
【技术领域】
[0001]本发明涉及网络存储【技术领域】,具体涉及一种基于网络存储的数据中心及其访问方法。
【背景技术】
[0002]存储系统是从主机中分离出来的,把独立的存储系统和传统的用户设备用网络连接起来通过网络进行访问和管理,这就是网络存储。网络存储技术是基于数据存储的一种通用网络术语,网络存储结构大致分为三种:直连式存储(DAS),网络存储设备(NAS)和存储网络(SAN)。数据中心的主要存储单元是连接磁盘阵列的高性能iSCSI存储节点和应用NAS技术的网络化光盘库,磁盘阵列具有较高的存取性能和因引入冗余而带来的可靠性,主要存放当前应用的数据,向广大用户提供“在线”的数据服务。而巨大数量的历史数据则由刻录设备备份在光盘片上,通过网络化光盘库提供数据服务。网络化光盘库是应用于数据中心的一种特色存储设备,它是实现数据中心层次化存储的关键。
[0003]存储管理服务器负责分散的存储设备和数据的集中管理与维护,同时它也是一台元数据服务器,用于查询检索并为用户的应用程序提供直接访问存储设备所需的元数据。存储管理服务器是数据中心一定程度上实现存储虚拟化的关键,实际的数据传输过程对用户而言是透明的,他们访问数据中心就像访问本地硬盘一样。另外数据中心的存储设备支持动态的“热插拔”,即插即用,方便数据中心的扩展与维护,保障了 24X7的服务。
【发明内容】
[0004]本发明所要解决的技术问题是,提供一种数据中心及其访问方法,以解决数据中心安全性低的问题。
[0005]为了解决上述问题,本发明公开了一种数据中心的访问方法,包括:
[0006]数据中心收到用户主机发起的访问请求时,数据中心的管理服务器对所述用户主机进行身份认证;
[0007]若所述用户主机通过身份认证,则所述访问请求所要访问的网络存储设备判断所述访问请求是否为授权操作,若所述访问请求为授权操作,则进行相应的处理。
[0008]可选地,上述方法中,所述访问请求所要访问的网络存储设备判断所述访问请求是否为授权操作,若所述访问请求为授权操作,则进行相应的处理的过程包括:
[0009]所述访问请求所要访问的网络存储设备根据所述用户主机的文件访问权限,判断所述用户主机是否具有操作权限;
[0010]若所述用户主机具有操作权限,则所述访问请求所要访问的网络存储设备根据所述用户主机的用户标识信息确定用户主机所属的用户阶梯,按照所确定的用户阶梯的行为模式库,得到所述访问请求对应的用户行为,进行相应的操作。
[0011]可选地,上述方法中,
[0012]所述用户标识信息包括用户标示符和/或组标示符。
[0013]可选地,上述方法中,
[0014]所述用户阶梯包括:只读用户、读写用户、管理员和系统用户。
[0015]可选地,所述访问请求所要访问的网络存储设备得到所述访问请求对应的用户行为后,该方法还包括:
[0016]识别所述用户行为是否为“本体”;
[0017]若识别所述用户行为为“本体”,再进行相应的操作。
[0018]本发明还公开了一种数据中心,至少包括一个管理服务器及多个网络存储设备,其中,所述管理服务器,对发起访问请求的用户主机进行身份认证;
[0019]所述网络存储设备,在对本网络存储设备发起访问请求的用户主机通过身份认证时,判断所述访问请求是否为授权操作,并在所述访问请求为授权操作时,进行相应的处理。
[0020]可选地,上述数据中心中,所述网络存储设备包括:
[0021]文件访问权限处理单元,根据通过身份认证的用户主机的文件访问权限,判断所述用户主机是否具有操作权限;
[0022]用户阶梯处理单元,在所述用户主机具有操作权限时,根据所述用户主机的用户标识信息确定用户主机所属的用户阶梯,按照所确定的用户阶梯的行为模式库,得到所述访问请求对应的用户行为,进行相应的操作。
[0023]可选地,上述数据中心中,所述用户标识信息包括用户标示符和/或组标示符。
[0024]可选地,上述数据中心中,所述用户阶梯包括:只读用户、读写用户、管理员和系统用户。
[0025]可选地,上述数据中心中,所述网络存储设备得到所述访问请求对应的用户行为后,还识别所述用户行为是否为“本体”,并在识别出所述用户行为为“本体”时,再进行相应的操作。
[0026]本申请技术方案采用基于IP的存储技术,实现了用户绕过服务器直接访问存储设备的存储结构,该结构相对于服务器存储能够提供更高的系统性能。另外,优选方案提出的基于生物免疫思想的安全机制能有效阻止对数据中心存储节点(即各网络存储设备)的异常访问和操作,且异常检测系统的引入对系统性能只产生很小的影响。
【专利附图】
【附图说明】
[0027]图1是本发明提出的数据中心的安全机制示意图;
[0028]图2是附网存储节点的多层免疫模型图。
【具体实施方式】
[0029]为使本发明的目的、技术方案和优点更加清楚明白,下文将结合附图对本发明技术方案作进一步详细说明。需要说明的是,在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
[0030]实施例1
[0031]目前,数据中心的体系结构设计的核心思想是使存储数据不经过服务器在用户和存储设备间直接传输。这种采用绕过服务器的非对称存储结构,可以大大提高系统性能,但由于存储设备都暴露在用户网络中,因此在安全性上不如“中心化”的存储系统。
[0032]针对上述问题,本申请发明人考虑可以利用IP自身的安全机制如IPSec、SSL等对存储数据加密传输以保证数据安全性。例如,在访问授权方面,存储设备首先进行身份认证(例如使用账号/密码方式或CHAP)确保主机是授权用户,然后采用类似基于对象的存储设备的安全机制判断该操作是否授权。
[0033]基于上述思想,本实施例提供一种数据中心及其访问方法,主要包括如下操作:
[0034]数据中心收到用户主机发起的访问请求时,数据中心的管理服务器对该用户主机进行身份认证;
[0035]若该用户主机通过身份认证,则访问请求所要访问的网络存储设备判断访问请求是否为授权操作,若访问请求为授权操作,则进行相应的处理。
[0036]具体地,用户主机首先要通过管理服务器的认证并获得相应权限才可以访问网络存储设备,如图1所示。管理服务器根据安全策略,确定用户主机请求的操作是否合法,如果用户主机的请求合法,管理服务器将授予主机代表访问权限的证书。用户主机将请求和证书一并发送给对应的网络存储设备。如果网络存储设备验证该操作确是管理服务器授权的操作就执行,如果不是授权的操作,则拒绝执行。其中,证书的完整性与真实性可以由管理服务器和网络存储设备的共享密钥来保证。
[0037]—些优选方案,在非中心化数据存储系统中的存储节点(即网络存储设备)中引入安全机制,该安全机制起着与生物免疫系统相类似的作用,以防止网络中数据遭到病毒的入侵以及异常行为的破坏。例如,为基于优化的Iinux系统的NAS设备建立多层免疫模型,如图2所示。这样,用户认证层利用账号和密码的限制,可以阻挡未经过身份验证的用户进入系统;文件权限层对不同的用户设置不同的文件访问权限,可以拒绝用户未被授权的文件操作,穿过前面两层屏障的用户操作附带着用户的必要信息(即用户标识信息),如用户标示符(user id, uid)、组标示符(group id, gid)等。在用户阶梯层,“用户分阶”根据用户标识信息把他们分为只读用户、读写用户、管理员和系统用户等,不同的用户处于不同的阶梯上,在相应的阶梯中保存有该阶用户正常的合法的行为模式库,用户的操作命令按照分阶信息被发送到各自对应的阶梯中进行处理。具体操作过程如下:
[0038]访问请求所要访问的网络存储设备根据用户主机的文件访问权限,判断用户主机具有操作权限(即确定该访问请求通过了用户认证层和文件权限层);
[0039]访问请求所要访问的网络存储设备根据该用户主机的用户标识信息确定用户主机所属的用户阶梯,按照所确定的用户阶梯的行为模式库,得到访问请求对应的用户行为,进行相应的操作。
[0040]另外,还可以在各用户阶梯上布置异常检测系统,主要用于分析用户命令请求的系统调用序列,识别“本体”和“异体”,用户行为若被识别为“本体”,则让其穿过第三道屏障被系统执行;若识别为“异体”,则进行免疫,禁止运行。即访问请求所要访问的网络存储设备得到该访问请求对应的用户行为后,还需要识别用户行为是否为“本体”,若识别用户行为为“本体”,再进行相应的操作。
[0041]实施例2
[0042]本实施例提供一种数据中心,至少包括一个管理服务器及多个网络存储设备。
[0043]其中,管理服务器,对发起访问请求的用户主机进行身份认证;
[0044]网络存储设备,在对本网络存储设备发起访问请求的用户主机通过身份认证时,判断访问请求是否为授权操作,并在访问请求为授权操作时,进行相应的处理。
[0045]具体地,上述网络存储设备又包括:文件访问权限处理单元,根据通过身份认证的用户主机的文件访问权限,判断用户主机是否具有操作权限;
[0046]用户阶梯处理单元,在用户主机具有操作权限时,根据用户主机的用户标识信息(例如用户标示符和/或组标示符)确定用户主机所属的用户阶梯,按照所确定的用户阶梯的行为模式库,得到访问请求对应的用户行为,进行相应的操作。
[0047]本实施例中,用户阶梯包括:只读用户、读写用户、管理员和系统用户等。
[0048]还有一些方案提出,上述网络存储设备得到访问请求对应的用户行为后,可以识别用户行为是否为“本体”,并在识别出用户行为为“本体”时,再进行相应的操作。
[0049]要说明的是,本实施例提供的数据中心可以按照上述实施例1的方法进行访问,故本实施例提供的数据中心的其他详细操作可以参见上述实施例1的相应内容,在此不再赘述。
[0050]以上所述,仅为本发明的较佳实例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种数据中心的访问方法,其特征在于, 数据中心收到用户主机发起的访问请求时,数据中心的管理服务器对所述用户主机进行身份认证; 若所述用户主机通过身份认证,则所述访问请求所要访问的网络存储设备判断所述访问请求是否为授权操作,若所述访问请求为授权操作,则进行相应的处理。
2.如权利要求1所述的方法,其特征在于,所述访问请求所要访问的网络存储设备判断所述访问请求是否为授权操作,若所述访问请求为授权操作,则进行相应的处理的过程包括: 所述访问请求所要访问的网络存储设备根据所述用户主机的文件访问权限,判断所述用户主机是否具有操作权限; 若所述用户主机具有操作权限,则所述访问请求所要访问的网络存储设备根据所述用户主机的用户标识信息确定用户主机所属的用户阶梯,按照所确定的用户阶梯的行为模式库,得到所述访问请求对应的用户行为,进行相应的操作。
3.如权利要求2所述的方法,其特征在于, 所述用户标识信息包括用户标示符和/或组标示符。
4.如权利要求2所述的方法,其特征在于, 所述用户阶梯包括:只读用户、读写用户、管理员和系统用户。
5.如权利要求2至4任一项所述的方法,其特征在于,所述访问请求所要访问的网络存储设备得到所述访问请求对应的用户行为后,该方法还包括: 识别所述用户行为是否为“本体”; 若识别所述用户行为为“本体”,再进行相应的操作。
6.一种数据中心,至少包括一个管理服务器及多个网络存储设备,其特征在于, 所述管理服务器,对发起访问请求的用户主机进行身份认证; 所述网络存储设备,在对本网络存储设备发起访问请求的用户主机通过身份认证时,判断所述访问请求是否为授权操作,并在所述访问请求为授权操作时,进行相应的处理。
7.如权利要求6所述的数据中心,其特征在于,所述网络存储设备包括: 文件访问权限处理单元,根据通过身份认证的用户主机的文件访问权限,判断所述用户主机是否具有操作权限; 用户阶梯处理单元,在所述用户主机具有操作权限时,根据所述用户主机的用户标识信息确定用户主机所属的用户阶梯,按照所确定的用户阶梯的行为模式库,得到所述访问请求对应的用户行为,进行相应的操作。
8.如权利要求7所述的数据中心,其特征在于, 所述用户标识信息包括用户标示符和/或组标示符。
9.如权利要求7所述的数据中心,其特征在于, 所述用户阶梯包括:只读用户、读写用户、管理员和系统用户。
10.如权利要求7至9任一项所述的数据中心,其特征在于, 所述网络存储设备得到所述访问请求对应的用户行为后,还识别所述用户行为是否为“本体”,并在识别出所述用户行为为“本体”时,再进行相应的操作。
【文档编号】H04L29/06GK104363229SQ201410648036
【公开日】2015年2月18日 申请日期:2014年11月14日 优先权日:2014年11月14日
【发明者】曹玲玲 申请人:浪潮(北京)电子信息产业有限公司