一种远程存储系统安全访问的控制方法和装置与流程

本发明涉及计算机技术领域，尤其涉及一种远程存储系统安全访问的控制方法和装置。

背景技术：

目前，ssd固态硬盘应用越来越广，以存储阵列为基础的存储服务器可以作为资源池，供应用服务器访问。

当应用扩展，想为远程的应用服务器提供存储服务器时，方便了远程访问，但也带来了安全问题。现有的以口令为基础的身份认证显得有些脆弱，容易受到远程的非法访问攻击。

技术实现要素：

本发明实施例提供了一种远程存储系统安全访问的控制方法和装置，解决了现有的以口令为基础的身份认证显得有些脆弱，容易受到远程的非法访问攻击的技术问题，达到了提高远程存储数据的安全性以及合理管理存储空间的技术效果。

鉴于上述问题，提出了本申请实施例以便提供一种远程存储系统安全访问的控制方法和装置。

第一方面，本发明提供了一种远程存储系统安全访问的控制方法，应用于一远程存储系统，所述远程存储系统与一主机服务器远程连接，其中，所述主机服务器内设置有一可信模块，其特征在于，所述方法包括：主机服务器发送访问所述远程存储系统的第一请求，其中，所述第一请求中包括所述主机服务器的第一身份id信息，且所述第一身份id信息由所述可信模块生成，并存储在所述可信模块内；所述远程存储系统根据所述身份id信息验证所述主机服务器是否合法；当验证合法时，所述远程存储系统发送第一访问id给所述主机服务器，且所述远程存储系统建立第一验证关系，其中第一验证关系为所述第一身份id信息、所述远程存储系统的第二身份id信息、访问id信息相对应；当主机服务器发送访问所述远程存储系统的第二请求时，所述远程存储系统验证所述第二请求中的所述第一验证关系是否合法；当合法时，所述远程存储系统允许所述主机服务器访问所述远程存储系统。

优选的，所述当验证合法时，所述远程存储系统发送第一访问id给所述主机服务器，还包括：所述远程存储系统将第一存储空间分配给所述主机服务器。

优选的，所述远程存储系统根据所述身份id信息验证所述主机服务器是否合法，还包括：所述主机服务器使用公钥算法进行签名，所述远程存储系统对所述签名进行验证。

优选的，所述方法还包括：所述第二身份id信息由远程存储系统中的ssd硬盘的控制器随机生成，并存储在所述ssd硬盘中。

优选的，所述方法还包括：所述可信模块为硬件模块，所述硬件模块存储所述主机服务器的第一身份id信息。

优选的，所述方法还包括：主机服务器具有第一用户验证单元，所述第一用户验证单元用于验证所述使用者的生物特征。

优选的，所述方法还包括：所述主机服务器通过密文的方式将数据存储到所述远程存储系统。

第二方面，本发明提供了一种远程存储系统安全访问的控制装置，所述装置包括：

第一发送单元，所述第一发送单元用于主机服务器发送访问所述远程存储系统的第一请求，其中，所述第一请求中包括所述主机服务器的第一身份id信息，且所述第一身份id信息由所述可信模块生成，并存储在所述可信模块内；

第一验证单元，所述第一验证单元用于所述远程存储系统根据所述身份id信息验证所述主机服务器是否合法；

第二发送单元，所述第二发送单元用于当验证合法时，所述远程存储系统发送第一访问id给所述主机服务器，且所述远程存储系统建立第一验证关系，其中第一验证关系为所述第一身份id信息、所述远程存储系统的第二身份id信息、访问id信息相对应；

第二验证单元，所述第二验证单元用于当主机服务器发送访问所述远程存储系统的第二请求时，所述远程存储系统验证所述第二请求中的所述第一验证关系是否合法；

第一访问单元，所述第一访问单元用于当合法时，所述远程存储系统允许所述主机服务器访问所述远程存储系统。

优选的，所述装置还包括：

第一分配单元，所述第一分配单元用于所述远程存储系统将第一存储空间分配给所述主机服务器。

优选的，所述装置还包括：

第三验证单元，所述第三验证单元用于所述主机服务器使用公钥算法进行签名，所述远程存储系统对所述签名进行验证。

优选的，所述装置还包括：

第一存储单元，所述第一存储单元用于所述第二身份id信息由远程存储系统中的ssd硬盘的控制器随机生成，并存储在所述ssd硬盘中。

优选的，所述装置还包括：

第二存储单元，所述第二存储单元用于所述可信模块为硬件模块，所述硬件模块存储所述主机服务器的第一身份id信息。

优选的，所述装置还包括：

第四验证单元，所述第四验证单元用于主机服务器具有第一用户验证单元，所述第一用户验证单元用于验证所述使用者的生物特征。

优选的，所述装置还包括：

第三存储单元，所述第三存储单元用于所述主机服务器通过密文的方式将数据存储到所述远程存储系统。

第三方面，本发明提供了一种远程存储系统安全访问的控制装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现以下步骤：主机服务器发送访问所述远程存储系统的第一请求，其中，所述第一请求中包括所述主机服务器的第一身份id信息，且所述第一身份id信息由所述可信模块生成，并存储在所述可信模块内；所述远程存储系统根据所述身份id信息验证所述主机服务器是否合法；当验证合法时，所述远程存储系统发送第一访问id给所述主机服务器，且所述远程存储系统建立第一验证关系，其中第一验证关系为所述第一身份id信息、所述远程存储系统的第二身份id信息、访问id信息相对应；当主机服务器发送访问所述远程存储系统的第二请求时，所述远程存储系统验证所述第二请求中的所述第一验证关系是否合法；当合法时，所述远程存储系统允许所述主机服务器访问所述远程存储系统。

本申请实施例中的上述一个或多个技术方案，至少具有如下一种或多种技术效果：

1.本申请实施例提供的一种远程存储系统安全访问的控制方法和装置，通过主机服务器发送访问所述远程存储系统的第一请求，其中，所述第一请求中包括所述主机服务器的第一身份id信息，且所述第一身份id信息由所述可信模块生成，并存储在所述可信模块内；所述远程存储系统根据所述身份id信息验证所述主机服务器是否合法；当验证合法时，所述远程存储系统发送第一访问id给所述主机服务器，且所述远程存储系统建立第一验证关系，其中第一验证关系为所述第一身份id信息、所述远程存储系统的第二身份id信息、访问id信息相对应；当主机服务器发送访问所述远程存储系统的第二请求时，所述远程存储系统验证所述第二请求中的所述第一验证关系是否合法；当合法时，所述远程存储系统允许所述主机服务器访问所述远程存储系统。解决了现有的以口令为基础的身份认证显得有些脆弱，容易受到远程的非法访问攻击的技术问题，达到了提高远程存储数据的安全性以及合理管理存储空间的技术效果。

2.本申请实施例通过主机服务器具有第一用户验证单元，所述第一用户验证单元用于验证所述使用者的生物特征。进一步解决了现有的以口令为基础的身份认证显得有些脆弱，容易受到远程的非法访问攻击的技术问题，可以达到通过访问记录可以追查到访问主机服务器和访问人，防止非法访问，也防止用户操作的抵赖的技术效果。

3.本申请使用的存储服务器标识id即所述第二身份id信息，由ssd硬盘的控制器生成，并存储在ssd硬盘内。比如：利用芯片内部的真随机数发生器生成的一串随机数。根据应用模式的不同，可以将存储服务器作为一个设备，使用一个标识id；也可以每个ssd硬盘设置一个标识id，以达到进行更细颗粒的应用和管理的技术效果。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

图1为本发明实施例中一种远程存储系统安全访问的控制方法的流程示意图；

图2为本发明实施例中一种远程存储系统安全访问的控制装置的结构示意图；

图3为本发明实施例中另一种远程存储系统安全访问的控制装置的结构示意图。

附图标号说明：总线300，接收器301，处理器302，发送器303，存储器304，总线接口306。

具体实施方式

本发明实施例提供了一种远程存储系统安全访问的控制方法和装置，用于解决现有的以口令为基础的身份认证显得有些脆弱，容易受到远程的非法访问攻击的技术问题，本发明提供的技术方案总体思路如下：

在本发明实施例的技术方案中，通过主机服务器发送访问所述远程存储系统的第一请求，其中，所述第一请求中包括所述主机服务器的第一身份id信息，且所述第一身份id信息由所述可信模块生成，并存储在所述可信模块内；所述远程存储系统根据所述身份id信息验证所述主机服务器是否合法；当验证合法时，所述远程存储系统发送第一访问id给所述主机服务器，且所述远程存储系统建立第一验证关系，其中第一验证关系为所述第一身份id信息、所述远程存储系统的第二身份id信息、访问id信息相对应；当主机服务器发送访问所述远程存储系统的第二请求时，所述远程存储系统验证所述第二请求中的所述第一验证关系是否合法；当合法时，所述远程存储系统允许所述主机服务器访问所述远程存储系统。达到了提高远程存储数据的安全性以及合理管理存储空间的技术效果。

下面通过附图以及具体实施例对本发明技术方案做详细的说明，应当理解本申请实施例以及实施例中的具体特征是对本申请技术方案的详细的说明，而不是对本申请技术方案的限定，在不冲突的情况下，本申请实施例以及实施例中的技术特征可以相互组合。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

为了更清楚公开本申请实施例所提供的一种3d打印人工骨的制造方法，下面介绍一些术语。

tpm(trustedplatformmodule)：安全芯片是指符合tpm(可信赖平台模块)标准的安全芯片，它能有效地保护pc、防止非法用户访问。

mac地址：mac(mediaaccesscontrol或者mediumaccesscontrol)地址，意译为媒体访问控制，或称为物理地址、硬件地址，用来定义网络设备的位置。在osi模型中，第三层网络层负责ip地址，第二层数据链路层则负责mac地址。因此一个主机会有一个mac地址，而每个网络位置会有一个专属于它的ip地址。

nvme(non-volatilememoryexpress)：是一种建立在m.2接口上的类似ahci的一种协议,是专门为闪存类存储设计的协议。

实施例一

图1为本发明实施例中一种远程存储系统安全访问的控制方法的流程示意图。如图1所示，所述方法应用于一远程存储系统，所述远程存储系统与一主机服务器远程连接，其中，所述主机服务器内设置有一可信模块，其特征在于，所述方法包括：

步骤110:主机服务器发送访问所述远程存储系统的第一请求，其中，所述第一请求中包括所述主机服务器的第一身份id信息，且所述第一身份id信息由所述可信模块生成，并存储在所述可信模块内；

进一步的，所述可信模块为硬件模块，所述硬件模块存储所述主机服务器的第一身份id信息。

具体而言，所述第一请求为所述主机服务器向所述远程存储系统发送的请求信息，用于访问所述远程存储系统，其中，所述第一请求中携带所述主机服务器的id信息，也就是用于证明自身身份的证明信息，即所述第一身份id信息，并且所述第一身份id信息存储在所述可信模块上，其中所述可信模块为硬件模块，比如tpm(trustedplatformmodule)，或tcm(trustedcryptographymodule)。该模块具有唯一身份标识id，并且负责进行密钥存储和密钥管理。换言之，在所述主机服务器需要访问所述远程存储系统的情况下，所述主机服务器获取存储在所述可信模块中的所述第一身份id信息，并携带所述第一身份id信息，向所述远程存储系统发送所述第一请求，使得所述远程存储系统在接收到所述第一请求时，获得所述第一身份id信息，从而对其进行后续步骤的判断。

进一步的，所述主机服务器通过nvme协议接口实现对ssd的访问，在初始化阶段或第一次访问ssd时，由ssd负责对主机服务器进行身份认证；认证通过后，进行初始化配置，并保持必要的相关信息。主机的每个数据访问命令，均带有主机的标识id；标识号可以通过nvme的命令扩展域传送，也可以通过扩展命令发出整条命令。

步骤120:所述远程存储系统根据所述第一身份id信息验证所述主机服务器是否合法；

进一步的，验证所述身份id信息是否合法具体时通过所述主机服务器使用公钥算法进行签名，所述远程存储系统对所述签名进行验证。

具体而言，所述公钥算法通常用于加密会话密钥、验证数字签名，或加密可以用相应的私钥解密的数据，通过上述公钥算法对所述主机服务器进行验证，判断所述第一身份id信息是否合法。

进一步的，主机服务器具有第一用户验证单元，所述第一用户验证单元用于验证所述使用者的生物特征。

具体而言，可信模块与所述主机服务器绑定，可信模块内部生成并存储唯一标识id，并且公钥密钥和数据加密密钥都存放在所述可信模块内部，非法攻击者无法获取。通过所述第一用户验证单元验证所述使用者的生物特征，保证访问所述远程存储系统的主机服务器的安全，举例而言，服务器使用者，需要使用指纹、虹膜、人脸等生物特征进行开机和登录。这样，主机标识是唯一的、密码存储和管理是安全的、服务器主机的使用者也是安全的。从而使得访问所述远程存储系统的主机服务器是安全的，使用主机服务器的用户也是安全的。同时可以达到通过访问记录可以追查到访问主机服务器和访问人，防止非法访问，也防止用户操作的抵赖的技术效果。

步骤130:当验证合法时，所述远程存储系统发送第一访问id给所述主机服务器，且所述远程存储系统建立第一验证关系，其中第一验证关系为所述第一身份id信息、所述远程存储系统的第二身份id信息、访问id信息相对应；

进一步的，所述远程存储系统将第一存储空间分配给所述主机服务器；所述第二身份id信息由远程存储系统中的ssd硬盘的控制器随机生成，并存储在所述ssd硬盘中。

具体而言，由于一台主机服务器可以访问多个ssd硬盘，一个ssd硬盘也可能被允许多个服务器主机访问，所以，每个主机应有一个身份id，即所述第一身份id信息，这个身份id应该是区别于其他任何机器的独特而唯一的。每个ssd或者ssd服务器设置有一个id，即所述第二身份id信息，这个id也应该是区别于其他任何机器或存储服务器的独特而唯一的。目前通常是使用网络ip或mac地址来作为标识id，但网络ip或mac地址都是可以修改的，存在一定的安全风险。

而本申请使用的存储服务器标识id即所述第二身份id信息，由ssd硬盘的控制器生成，并存储在ssd硬盘内。比如：利用芯片内部的真随机数发生器生成的一串随机数。根据应用模式的不同，可以将存储服务器作为一个设备，使用一个标识id；也可以每个ssd硬盘设置一个标识id，以进行更细颗粒的应用和管理。

步骤140:当主机服务器发送访问所述远程存储系统的第二请求时，所述远程存储系统验证所述第二请求中的所述第一验证关系是否合法；

步骤150:当合法时，所述远程存储系统允许所述主机服务器访问所述远程存储系统。

具体而言，在步骤140和步骤150中，所述第二请求为所述主机服务器第二次访问所述远程存储系统时发送的请求，当所述主机服务器在进行第二次访问所述远程存储系统时，所述远程存储系统对所述第二请求中的所述第一验证关系是否合法，所述第一验证关系为所述第一身份id信息、所述远程存储系统的第二身份id信息、访问id信息相对应，如果验证通过，允许该主机进行数据相关的访问；如果身份认证不通过，则拒绝来自所述主机服务器访问的数据访问。

进一步的，所述主机服务器通过密文的方式将数据存储到所述远程存储系统。

具体而言，所述主机服务器的数据，以密文形式存储到远程存储系统上，其他服务器无法访问。当一个服务器想访另外一个服务器放置在远程存储系统上的数据时，要先获得原始主机的授权，获得授权后的服务器才可以访问该数据。

实施例2

基于与前述实施例中一种远程存储系统安全访问的控制方法同样的发明构思，本发明还提供一种远程存储系统安全访问的控制装置，如图2所示，包括：

第一发送单元，所述第一发送单元用于主机服务器发送访问所述远程存储系统的第一请求，其中，所述第一请求中包括所述主机服务器的第一身份id信息，且所述第一身份id信息由所述可信模块生成，并存储在所述可信模块内；

第一验证单元，所述第一验证单元用于所述远程存储系统根据所述身份id信息验证所述主机服务器是否合法；

第二发送单元，所述第二发送单元用于当验证合法时，所述远程存储系统发送第一访问id给所述主机服务器，且所述远程存储系统建立第一验证关系，其中第一验证关系为所述第一身份id信息、所述远程存储系统的第二身份id信息、访问id信息相对应；

第二验证单元，所述第二验证单元用于当主机服务器发送访问所述远程存储系统的第二请求时，所述远程存储系统验证所述第二请求中的所述第一验证关系是否合法；

第一访问单元，所述第一访问单元用于当合法时，所述远程存储系统允许所述主机服务器访问所述远程存储系统。

优选的，所述装置还包括：

第一分配单元，所述第一分配单元用于所述远程存储系统将第一存储空间分配给所述主机服务器。

优选的，所述装置还包括：

第三验证单元，所述第三验证单元用于所述主机服务器使用公钥算法进行签名，所述远程存储系统对所述签名进行验证。

优选的，所述装置还包括：

第一存储单元，所述第一存储单元用于所述第二身份id信息由远程存储系统中的ssd硬盘的控制器随机生成，并存储在所述ssd硬盘中。

优选的，所述装置还包括：

第二存储单元，所述第二存储单元用于所述可信模块为硬件模块，所述硬件模块存储所述主机服务器的第一身份id信息。

优选的，所述装置还包括：

第四验证单元，所述第四验证单元用于主机服务器具有第一用户验证单元，所述第一用户验证单元用于验证所述使用者的生物特征。

优选的，所述装置还包括：

第三存储单元，所述第三存储单元用于所述主机服务器通过密文的方式将数据存储到所述远程存储系统。

前述图1实施例1中的一种远程存储系统安全访问的控制方法的各种变化方式和具体实例同样适用于本实施例的一种远程存储系统安全访问的控制装置，通过前述对一种远程存储系统安全访问的控制方法的详细描述，本领域技术人员可以清楚的知道本实施例中一种远程存储系统安全访问的控制装置的实施方法，所以为了说明书的简洁，在此不再详述。

实施例3

基于与前述实施例中一种远程存储系统安全访问的控制方法同样的发明构思，本发明还提供一种远程存储系统安全访问的控制装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，该程序被处理器执行时实现前文所述一种远程存储系统安全访问的控制方法的任一方法的步骤。

其中，在图3中，总线架构(用总线300来代表)，总线300可以包括任意数量的互联的总线和桥，总线300将包括由处理器302代表的一个或多个处理器和存储器304代表的存储器的各种电路链接在一起。总线300还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口306在总线300和接收器301和发送器303之间提供接口。接收器301和发送器303可以是同一个元件，即收发机，提供用于在传输介质上与各种其他装置通信的单元。

处理器302负责管理总线300和通常的处理，而存储器304可以被用于存储处理器302在执行操作时所使用的信息。

本申请实施例中的上述一个或多个技术方案，至少具有如下一种或多种技术效果：

1.本申请实施例提供的一种远程存储系统安全访问的控制方法和装置，通过主机服务器发送访问所述远程存储系统的第一请求，其中，所述第一请求中包括所述主机服务器的第一身份id信息，且所述第一身份id信息由所述可信模块生成，并存储在所述可信模块内；所述远程存储系统根据所述身份id信息验证所述主机服务器是否合法；当验证合法时，所述远程存储系统发送第一访问id给所述主机服务器，且所述远程存储系统建立第一验证关系，其中第一验证关系为所述第一身份id信息、所述远程存储系统的第二身份id信息、访问id信息相对应；当主机服务器发送访问所述远程存储系统的第二请求时，所述远程存储系统验证所述第二请求中的所述第一验证关系是否合法；当合法时，所述远程存储系统允许所述主机服务器访问所述远程存储系统。解决了现有的以口令为基础的身份认证显得有些脆弱，容易受到远程的非法访问攻击的技术问题，达到了提高远程存储数据的安全性以及合理管理存储空间的技术效果。

2.本申请实施例通过主机服务器具有第一用户验证单元，所述第一用户验证单元用于验证所述使用者的生物特征。进一步解决了现有的以口令为基础的身份认证显得有些脆弱，容易受到远程的非法访问攻击的技术问题，可以达到通过访问记录可以追查到访问主机服务器和访问人，防止非法访问，也防止用户操作的抵赖的技术效果。

3.本申请使用的存储服务器标识id即所述第二身份id信息，由ssd硬盘的控制器生成，并存储在ssd硬盘内。比如：利用芯片内部的真随机数发生器生成的一串随机数。根据应用模式的不同，可以将存储服务器作为一个设备，使用一个标识id；也可以每个ssd硬盘设置一个标识id，以达到进行更细颗粒的应用和管理的技术效果。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程信息处理设备的处理器以产生一个机器，使得通过计算机或其他可编程信息处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程信息处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程信息处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。