一种存储管理系统以及存储管理系统的管理方法与流程

本申请涉及数据存储技术领域，特别是涉及一种存储管理系统以及存储管理系统的管理方法。

背景技术：

随着大数据时代的到来，存储系统从原有的统一存储，逐渐发展成为分布式存储。现有的存储系统中，通常包括存储系统管理模块、存储数据管理以及多个存储节点。其中，存储系统管理模块主要是用于对存储系统本身进行管理，比如，对检测存储节点之间的通信网络是否通顺、检测是否存在坏盘、监控存储系统本身是否出现异常以及出现异常问题时及时进行处理等；而存储数据管理主要用于对存储节点上的数据进行增加、删除、修改、查询等管理操作；存储节点主要用于存储数据。

随着存储系统的日益庞大，现有存储系统的日常管理过程中，缺乏存储系统管理模块以及存储数据管理模块访问存储节点的安全把控，这使得如何保证存储系统管理模块以及存储数据管理模块对于存储节点的访问安全成为越来越重要的问题。

技术实现要素：

为了解决上述问题，本申请实施例提供了一种存储管理系统以及存储管理系统的管理方法，以提高存储系统管理模块以及存储数据管理模块访问存储节点的安全性。

第一方面，本申请实施例提供了一种存储管理系统，该存储管理系统包括：

存储系统管理模块，存储数据管理模块，证书管理模块以及存储节点；

所述存储系统管理模块，用于向所述存储节点发送第一认证信息，所述第一认证信息包含所述存储节点发送的第一认证证书；

所述存储数据管理模块，用于向所述存储节点发送第二认证信息，所述第二认证信息包含所述存储节点发送的第二认证证书；

所述存储节点，用于接收所述第一认证信息，并利用所述第一认证信息中的第一认证证书对所述存储系统管理模块进行合法性验证，若验证通过，则允许所述存储系统管理模块对所述存储节点进行访问，接收所述第二认证信息，并利用所述第二认证信息中的第二认证证书对所述存储数据管理模块进行合法性验证，若验证通过，则允许所述存储数据管理模块对所述存储节点进行访问；

所述证书管理模块，用于对认证证书进行管理；

其中，所述第一认证证书以及第二认证证书是由所述证书管理模块创建的。

在一些可能的实施方式中，所述证书管理模块，具体用于创建、删除、更新认证证书，并将所述认证证书中的第一认证证书以及第二认证证书提供给所述存储节点。

在一些可能的实施方式中，所述存储系统管理模块与所述存储节点之间通过基于安全套接字层的超文本传输协议https协议进行数据通信，所述存储数据管理模块与所述存储节点之间通过所述https协议进行数据通信。

在一些可能的实施方式中，所述存储系统管理模块，还用于向所述存储节点发送第一证书获取请求；

所述存储数据管理模块，还用于向所述存储节点发送第二证书获取请求；

所述存储节点，还用于接收所述第一证书获取请求以及所述第二证书获取请求，并基于所述第一证书获取请求向所述存储系统管理模块发送所述第一认证证书，基于所述第二证书获取请求向所述存储数据管理模块发送所述第二认证证书。

在一些可能的实施方式中，所述证书管理模块，还用于将所述存储节点对应的认证证书，扩展到扩容存储节点上。

第二方面，本申请实施例还提供了一种存储管理系统的管理方法，所述方法可以应用于上述存储管理系统中，该方法包括：

存储节点将证书管理模块创建的第一认证证书发送给存储系统管理模块；

所述存储节点将所述证书管理模块创建的第二认证证书发送给存储数据管理模块；

所述存储节点接收所述存储系统管理模块发送的第一认证信息，并利用所述第一认证信息中包含的第一认证证书对所述存储系统管理模块进行合法性验证；

所述存储节点接收所述存储系统管理模块发送的第二认证信息，并利用所述第二认证信息中包含的第二认证证书对所述存储数据管理模块进行合法性验证。

在一些可能的实施方式中，，所述方法还包括：

所述存储节点接收所述存储系统管理模块发送的第一证书获取请求，以及所述存储数据管理模块发送的第二证书获取请求；

所述存储节点基于所述第一证书获取请求向所述存储系统管理模块发送所述第一认证证书；

所述存储节点基于所述第二证书获取请求向所述存储数据管理模块发送所述第二认证证书。

在本申请实施例的上述实现方式中，存储管理系统包括存储系统管理模块，存储数据管理模块，证书管理模块以及存储节点，其中，存储系统管理模块，用于向存储节点发送第一认证信息，该第一认证信息包含存储节点发送的第一认证证书；存储数据管理模块，用于向存储节点发送第二认证信息，第二认证信息包含存储节点发送的第二认证证书；存储节点，用于接收第一认证信息，并利用第一认证信息中的第一认证证书对存储系统管理模块进行合法性验证，若验证通过，则允许所述存储系统管理模块对所述存储节点进行访问，接收第二认证信息，并利用第二认证信息中的第二认证证书对存储数据管理模块进行合法性验证，若验证通过，则允许所述存储数据管理模块对所述存储节点进行访问；证书管理模块，用于对认证证书进行管理，其中，第一认证证书以及第二认证证书是由证书管理模块创建的。可见，在存储系统管理模块或者存储数据管理模块访问存储节点时，存储节点会利用认证证书对存储系统管理模块或存储数据管理模块进行合法性验证，并且是在验证通过的情况下，才允许存储系统管理模块或存储数据管理模块对该存储节点进行访问，从而可以提高存储系统管理模块以及存储数据管理模块访问存储节点的安全性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本申请实施例中一种存储管理系统的结构示意图；

图2为本申请实施例中一种存储管理系统的管理方法的流程示意图。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面将结合附图对本申请实施例中的各种非限定性实施方式进行示例性说明。显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

参阅图1，图1示出了本申请实施例中一种存储管理系统的结构示意图。需要说明的是，如图1所示，存储管理系统中包含多个存储节点，为了便于描述方案，本实施例中基于一个存储节点的角度对本实施例的技术方案进行详细说明，而对于其它存储节点的实施方式，与所描述存储节点类似，可参照理解。具体的，该存储管理系统可以包括：

存储系统管理模块、存储数据管理模块、证书管理模块以及存储节点。

当存储系统管理模块以及存储数据管理模块需要访问存储节点时，存储系统管理模块以及存储数据管理模块可以先获得认证证书，以便于存储节点能够根据该认证证书确定存储系统管理模块以及存储数据管理模块是否合法。在一种获取认证证书的示例性实现方式中，存储系统管理模块可以向存储节点发送第一证书获取请求，存储节点可以响应接收到的第一证书获取请求，从证书管理模块获得第一认证证书，并将该第一认证证书发送给存储系统管理模块；类似的，存储数据管理模块可以向存储节点发送第二证书获取请求，存储节点可以响应接收到的第二证书获取请求，从证书管理模块处获得第二认证证书，并将该第二认证证书发送给存储数据管理模块。

其中，证书管理模块可以基于访问存储节点的存储系统管理模块的域名预先创建认证证书。这样，存储节点可以将第一证书获取请求中包含的域名发送给证书管理模块，由证书管理模块从其所创建的认证证书中查找出与该域名对应的第一认证证书，并将该第一认证证书发送给存储节点，以便于存储节点将该第一认证证书发送给存储系统管理模块。

类似的，存储节点若接收到第二证书获取请求，则可以将该第二证书获取请求中包含的域名发送给证书管理模块，由证书管理模块从其所创建的认证证书中查找出与该域名对应的第二认证证书，并将该第二认证证书发送给存储节点，以便于存储节点将该第二认证证书发送给存储数据管理模块。

值的注意的是，此处仅作为示例性说明，并不用于对本实施例存储节点获取认证证书的实施方式进行限定，比如，存储节点在获取认证证书时，可以从存储节点本身存储的多个认证证书中获取到第一认证证书以及第二认证证书。

在一种获取认证证书的示例性实现方式中，认证证书可以存储于存储节点上，而证书管理模块用于对存储节点上存储的认证证书进行管理，比如创建、更新、删除认证证书等。此时，若存储系统管理模块或者存储数据管理模块向该存储节点发送证书获取请求时，存储节点可以基于该请求中所包含的域名，在自身存储的认证证书中查找出与该域名对应的认证证书，并将所查找出的认证证书发送给存储系统管理模块或者存储数据管理模块。

另外，对于可以用于管理认证证书的证书管理模块，除了可以根据存储系统管理模块的域名创建认证证书之外，还可以对认证证书进行删除、更新等操作。比如，若访问存储节点的存储数据管理模块的域名发生改变，则存储数据管理模块访问存储节点的请求中所包含的域名也会发生变化，为了保证存储数据管理模块能够正常访问存储节点，证书管理模块需要为该存储节点对已有的认证证书进行适应性的更新。

存储系统管理模块在接收到存储节点发送的第一认证证书后，可以向存储节点发送第一认证信息，该第一认证信息中包含存储系统管理模块发送的第一认证证书。这样，存储节点在接收到该第一认证信息后，可以利用该第一认证信息所包含的第一认证证书对存储系统管理模块进行合法性验证。比如，验证第一认证证书是否过期，或者第一认证证书上的域名是否与存储系统管理模块相匹配等。若验证通过，则存储节点允许存储系统管理模块对存储节点进行访问；而若验证不通过，则存储节点可以拒绝为存储系统管理模块提供访问服务，比如，可以拒绝响应存储系统管理模块发送的针对于存储节点的服务访问请求，或者断开与存储系统管理模块之间建立的通信连接等。

与存储系统管理模块类似，存储数据管理模块在接收到存储节点发送的第二认证证书后，可以向存储节点发送第二认证信息，该第二认证信息中可以包含存储系统管理模块发送的第二认证证书。这样，存储节点可以利用接收到的第二认证信息所包含的第二认证证书，对存储数据管理模块进行合法性验证。若验证通过，则允许存储数据管理模块对存储节点进行访问，具体为允许存储数据管理模块对存储节点上的数据进行增加、删除、修改、查询等操作；而若验证不通过，则拒绝存储数据管理模块对存储节点上的数据进行操作。

在一些可能的实施方式中，存储系统管理模块与存储节点之间可以基于https(hypertexttransferprotocoloversecuresocketlayer，基于安全套接字层的超文本传输协议)协议进行数据通信。即，存储系统管理模块与存储节点之间在进行第一证书获取请求以及第一认证信息的交互时，可以基于https协议。而在存储数据管理模块与存储节点之间，也可以基于https协议进行数据通信。

在一些可能的应用场景中，为了增加存储系统的存储容量，可能还需要在原有的存储节点的基础上，添加扩容的存储节点，则为了保证扩容存储节点与其它存储节点的有效与统一，存储证书管理模块可以将其它存储节点对应的认证证书，扩展到扩容存储节点上。这样，当存储系统管理模块或者存储数据管理模块访问扩容存储节点时，存储证书管理模块可以为存储系统管理模块或者存储数据管理模块分配对应的认证证书，以便于扩容存储节点后续对存储系统管理模块或者存储数据管理模块进行合法性验证。

本实施例中，存储管理系统包括存储系统管理模块，存储数据管理模块，证书管理模块以及存储节点，其中，存储系统管理模块，用于向存储节点发送第一认证信息，该第一认证信息包含存储节点发送的第一认证证书；存储数据管理模块，用于向存储节点发送第二认证信息，第二认证信息包含存储节点发送的第二认证证书；存储节点，用于接收第一认证信息，并利用第一认证信息中的第一认证证书对存储系统管理模块进行合法性验证，若验证通过，则允许所述存储系统管理模块对所述存储节点进行访问，接收第二认证信息，并利用第二认证信息中的第二认证证书对存储数据管理模块进行合法性验证，若验证通过，则允许所述存储数据管理模块对所述存储节点进行访问；证书管理模块，用于对认证证书进行管理，其中，第一认证证书以及第二认证证书是由证书管理模块创建的。可见，在存储系统管理模块或者存储数据管理模块访问存储节点时，存储节点会利用认证证书对存储系统管理模块或存储数据管理模块进行合法性验证，并且是在验证通过的情况下，才允许存储系统管理模块或存储数据管理模块对该存储节点进行访问，从而可以提高存储系统管理模块以及存储数据管理模块访问存储节点的安全性。

此外，本申请是实施例还提供了一种存储管理系统的管理方法，该方法可以应用于上述实施例中所述的存储管理系统中。参阅图2，图2示出了本申请实施例中一种存储管理系统的管理方法的流程示意图，该方法具体可以包括：

s201：存储系统管理模块向存储节点发送第一证书获取请求。

s202：存储数据管理模块向存储节点发送第二证书获取请求。

s203：存储节点响应第一证书获取请求，将证书管理模块创建的第一认证证书发送给存储系统管理模块。

在一种可能的实施方式中，证书管理模块可以创建并存储认证证书，则存储节点在接收到第一证书获取请求后，可以将该第一证书获取请求中所包含的域名发送给证书管理模块，由证书管理模块根据该域名从多个认证证书中查询出与该域名对应的第一认证证书，并将该第一认证证书发送给存储节点，以便于存储节点将该第一认证证书转发给存储系统管理模块。

而在另一种可能的实施方式中，证书管理模块在创建认证证书后，可以将其所创建的认证证书发送给存储节点，则存储节点在接收到第一证书获取请求后，可以根据第一证书获取请求中包含的域名，从自身存储的多个认证证书中查询出与该域名对应的第一认证证书，并将该第一认证证书发送给存储系统管理模块。

s204：存储节点响应第二证书获取请求，将证书管理模块创建的第二认证证书发送给存储数据管理模块。

与步骤s203类似，若认证证书存储于证书管理模块中，则证书管理模块在确定出第二认证证书后，可以将第二认证证书发送给存储节点，再由存储节点转发至存储数据管理模块中；若认证证书存储于存储节点中，在存储节点在确定出第一认证证书后，可以将该第二认证证书发送给存储数据管理模块中。

s205：存储系统管理模块向存储节点发送第一认证信息，该第一认证信息中包含第一认证证书。

s206：存储数据管理模块向存储节点发送第二认证信息，该第二认证信息中包含第二认证证书。

s207：存储节点基于第一认证信息中包含的第一认证证书，对存储系统管理模块进行合法性验证，若验证通过，则允许存储系统管理模块访问该存储节点。

本实施例中，存储节点在接收到该第一认证信息后，可以利用该第一认证信息所包含的第一认证证书对存储系统管理模块进行合法性验证。比如，验证第一认证证书是否过期，或者第一认证证书上的域名是否与存储系统管理模块相匹配等。若验证通过，则存储节点允许存储系统管理模块对存储节点进行访问；而若验证不通过，则存储节点可以拒绝为存储系统管理模块提供访问服务，比如，可以拒绝响应存储系统管理模块发送的针对于存储节点的服务访问请求，或者断开与存储系统管理模块之间建立的通信连接等。

s208：存储节点基于第二认证信息中包含的第二认证证书，对存储数据统管理模块进行合法性验证，若验证通过，则允许存储数据管理模块访问该存储节点。

本实施例中，存储节点可以利用接收到的第二认证信息所包含的第二认证证书，对存储数据管理模块进行合法性验证。若验证通过，则允许存储数据管理模块对存储节点进行访问，具体为允许存储数据管理模块对存储节点上的数据进行增加、删除、修改、查询等操作；而若验证不通过，则拒绝存储数据管理模块对存储节点上的数据进行操作。

本实施例中，在存储系统管理模块或者存储数据管理模块访问存储节点时，存储节点会利用认证证书对存储系统管理模块或存储数据管理模块进行合法性验证，并且是在验证通过的情况下，才允许存储系统管理模块或存储数据管理模块对该存储节点进行访问，从而可以提高存储系统管理模块以及存储数据管理模块访问存储节点的安全性。

本申请实施例中提到的“第一认证证书”、“第一证书获取请求”、“第一认证信息”等名称中的“第一”只是用来做名字标识，并不代表顺序上的第一。该规则同样适用于“第二”等。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如只读存储器(英文：read-onlymemory，rom)/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者诸如路由器等网络通信设备)执行本申请各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于方法实施例和设备实施例而言，由于其基本相似于系统实施例，所以描述得比较简单，相关之处参见系统实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的，其中作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅是本申请示例性的实施方式，并非用于限定本申请的保护范围。