一种存储安全访问控制方法、装置及介质与流程

1.本技术涉及通信领域，特别是涉及一种存储安全访问控制方法、装置及介质。


背景技术：

2.小型计算机系统接口(internet small computer system interface，iscsi)是一种基于传输控制协议/网际协议(transmission control protocol/internet protocol，tcp/ip)的存储协议，通过iscsi建立和管理ip存储设备、主机和客户机等之间的相互连接。在存储对话中，请求的发起端被称为客户端(initiator)，请求的处理端被称为存储端(target)。在客户端连接存储端之后，可访问存储端下的所有逻辑单元号(lun)。
3.目前存储侧iscsi服务对逻辑单元号的访问粒度限制在存储端粒度，即客户端可访问存储端下的所有逻辑单元号，但无法限制客户端对某个逻辑单元号的访问。
4.由此可见，提供一种实现客户端对某个逻辑单元号的单独访问的方法，是本领域人员亟待解决的技术问题。


技术实现要素：

5.本技术的目的是提供一种实现客户端对某个逻辑单元号的单独访问的存储安全访问控制方法、装置及介质。
6.为解决上述技术问题，本技术提供一种存储安全访问控制方法，应用于由客户端和存储端组成的通信存储系统中的所述客户端，包括：
7.向所述存储端发送登录指令；
8.接收所述存储端发送的加密认证，其中，所述存储端在验证所述登录指令后生成所述加密认证；
9.当通过所述加密认证后，向所述存储端的逻辑单元号发送所述客户端的限定名称进行绑定，以使所述存储端绑定所述限定名称并将所述客户端对应的配置信息存储至存储池；
10.向所述存储端发送扫描指令，以使所述存储端将所述客户端对应的所述逻辑单元号的数据信息加载至内存；
11.访问所述内存存储的所述数据信息。
12.优选地，所述的存储安全访问控制方法，所述向所述存储端发送登录指令之前，还包括：
13.接收所述用户的用户名与密码；
14.判断所述用户名与所述密码是否正确；
15.若正确，进入所述向所述存储端发送登录指令的步骤。
16.优选地，所述的存储安全访问控制方法，所述接收所述存储端发送的加密认证，包括：
17.接收所述存储端发送的用于表征挑战式握手认证的请求；
18.响应所述请求以完成所述挑战式握手认证。
19.为解决上述技术问题，本技术还提供一种存储安全访问控制方法，应用于由客户端和存储端组成的通信存储系统中的所述存储端，包括：
20.接收所述客户端发送登录指令；
21.向所述客户端发送加密认证；
22.当所述客户端通过所述加密认证后，接收所述客户端发送的限定名称；
23.将所述限定名称与逻辑单元号进行绑定，并将所述客户端对应的配置信息存储至存储池；
24.接收所述客户端发送的扫描指令；
25.将所述客户端对应的所述逻辑单元号的数据信息加载至内存，以使所述客户端访问所述内存中存储的所述数据信息。
26.优选地所述的存储安全访问控制方法，所述接收所述客户端发送登录指令之后，还包括：
27.验证所述登录指令对应的用户名和密码是否正确；
28.若正确，进入向所述客户端发送加密认证的步骤；
29.若错误，向所述客户端发送提示信息。
30.优选地，所述的存储安全访问控制方法，所述加密认证为挑战式握手认证协议认证。
31.为解决上述技术问题，本技术还提供一种存储安全访问控制装置，应用于由客户端和存储端组成的通信存储系统中的所述客户端，包括：
32.发送登录指令模块，用于向所述存储端发送登录指令；
33.接收模块，用于接收所述存储端发送的加密认证，其中，所述存储端在验证所述登录指令后生成所述加密认证；
34.发送绑定信息模块，用于当通过所述加密认证后，向所述存储端的逻辑单元号发送所述客户端的限定名称进行绑定，以使所述存储端绑定所述限定名称并将所述客户端对应的配置信息存储至存储池；
35.扫描模块，用于向所述存储端发送扫描指令，以使所述存储端将所述客户端对应的所述逻辑单元号的数据信息加载至内存；
36.访问模块，用于访问所述内存存储的所述数据信息。
37.为解决上述技术问题，本技术还提供一种存储安全访问控制装置，应用于由客户端和存储端组成的通信存储系统中的所述存储端，包括：
38.接收登录指令模块，用于接收所述客户端发送登录指令；
39.发送认证模块，用于向所述客户端发送加密认证；
40.接收信息模块，用于当所述客户端通过所述加密认证后，接收所述客户端发送的限定名称；
41.绑定模块，用于将所述限定名称与逻辑单元号进行绑定，并将所述客户端对应的配置信息存储至存储池；
42.接收扫描指令模块，用于接收所述客户端发送的扫描指令；
43.存储模块，用于将所述客户端对应的所述逻辑单元号的数据信息加载至内存，以
使所述客户端访问所述内存中存储的所述数据信息。
44.为解决上述技术问题，本技术提供一种存储安全访问控制装置，包括：
45.存储器，用于存储计算机程序；
46.处理器，用于执行所述计算机程序时实现上述存储安全访问控制方法的步骤。
47.为解决上述技术问题，本技术提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述存储安全访问控制方法的步骤。
48.本技术所提供的存储安全访问控制方法，应用于由客户端和存储端组成的通信存储系统中的客户端，包括：向存储端发送登录指令；接收存储端发送的加密认证，其中，存储端在验证登录指令后生成加密认证；当通过加密认证后，向存储端的逻辑单元号发送客户端的限定名称进行绑定，以使存储端绑定限定名称并将客户端对应的配置信息存储至存储池；向存储端发送扫描指令，以使存储端将客户端对应的逻辑单元号信息加载至内存；访问内存存储的逻辑单元号信息。客户端可访问的逻辑单元号的信息是存储端存储入内存的，与客户端对应绑定的，通过这种方法，不同的客户端可访问存储在同一存储端下的不同的逻辑单元号的信息，逻辑单元号之间实现了隔离。
49.另外，本技术还提供一种存储安全访问控制方法，应用于由客户端和存储端组成的通信存储系统中的所述存储端，本技术还提供一种装置及计算机可读存储介质，与上述方法对应，效果同上。
附图说明
50.为了更清楚地说明本技术实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
51.图1为本技术实施例提供的一种存储安全访问控制方法流程图；
52.图2为本技术实施例提供的另一种存储安全访问控制方法流程图；
53.图3为本技术实施例提供的一种存储安全访问控制装置示意图；
54.图4为本技术实施例提供的另一种存储安全访问控制装置示意图；
55.图5为本技术实施例提供的另一种存储安全访问控制装置的结构图。
具体实施方式
56.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本技术保护范围。
57.本技术的核心是提供一种存储安全访问控制方法、装置及介质。
58.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。
59.图1为本技术实施例提供的一种存储安全访问控制方法流程图，应用于由客户端和存储端组成的通信存储系统中的客户端，包括：
60.步骤s11：向存储端发送登录指令；
61.步骤s12：接收存储端发送的加密认证，其中，存储端在验证登录指令后生成加密认证；
62.步骤s13：当通过加密认证后，向存储端的逻辑单元号发送客户端的限定名称进行绑定，以使存储端绑定限定名称并将客户端对应的配置信息存储至存储池；
63.步骤s14：向存储端发送扫描指令，以使存储端将客户端对应的逻辑单元号的数据信息加载至内存；
64.步骤s15：访问内存存储的数据信息。
65.iscsi是一种基于tcp/ip的小型计算机系统接口(small computer system interface，scsi)传输协议，也即客户端(initiator)和存储端(target)之间通过互联网来传输scsi命令和数据。本实施例提到的逻辑单元号(logical unit number，lun)是挂载在存储端下的逻辑卷，一个存储端可以包括多个lun，而且每个lun的属性可以有所区别，比如lun#0可以是磁盘，lun#1可以是其他设备。在分布式存储系统中，lun是创建的逻辑卷。
66.步骤s11客户端向存储端发送登录指令，存储端处理该登录指令，存储端需要认证客户端是否拥有登录权限。
67.由于在实际应用环境下，某些客户端需要限制登录用户的身份，某些客户端不需要指定登录用户的身份，任何用户都可以查询。因此本实施例不限制存储端处理登录请求时是否核实登录用户的身份信息。例如，若存储端识别出当前客户端限制登录用户的身份，存储端检测当前登录指令配置的用户名及密码是否正确；若存储端识别出当前客户端不需要限制登录用户的身份，存储端接收到短路指令后则直接进入下一步。
68.存储端对登录请求进行验证之后，向客户端发送加密认证，步骤s12，客户端接收加密认证信息。本实施例不限制加密认证类型，可实现客户端与存储端之间的互相身份认证即可。
69.优选地，加密认证基于挑战握手认证协议(challenge handshake authentication protocol，chap)，挑战握手认证协议是在网络物理连接后进行连接安全性验证的协议。它比另一种协议密码验证程序(pap)更加可靠。挑战握手认证协议(chap)通过三次握手周期性的校验对端的身份，在初始链路建立时完成，可以在链路建立之后的任何时候重复进行。
70.客户端接收所述存储端发送的用于表征挑战式握手认证的请求；
71.响应所述请求以完成所述挑战式握手认证。
72.当客户端完成加密认证后，进入步骤s13，客户端向存储端的逻辑单元号发送客户端的限定名称进行绑定，以使逻辑单元号绑定限定名称并将客户端对应的配置信息存储至存储池。客户端的限定名称指的是iscsi限定名称(internet small computer system interface qualified name，iqn)，一个iqn标签可以绑定一个或多个lun。iqn绑定用户信息后直接写入存储池的对象中，所有属于该存储池的存储节点共享该配置信息。
73.逻辑单元号绑定iqn后进入步骤s14，客户端向存储端发送扫描指令，存储端接收到扫描指令后将客户端对应的逻辑单元号的数据信息加载至内存；只有客户端拥有访问权限的逻辑单元号的数据信息才会被加载入内存，客户端没有访问权限的逻辑单元号的数据信息不会被加载，因此，保证了逻辑单元号之间的隔离，不会导致数据泄露的安全问题。进
入步骤s15客户端通过访问存储于内存的逻辑单元号的数据信息实现客户端的存储安全访问。
74.通过本技术所提供的存储安全访问控制方法，应用于由客户端和存储端组成的通信存储系统中的客户端，客户端可访问的逻辑单元号的信息是存储端存储入内存的，与客户端对应绑定的，只有客户端拥有访问权限，才能够存储入内存，通过这种方法，不同的客户端可访问存储在同一存储端下的不同的逻辑单元号的信息，逻辑单元号之间实现了隔离，同时降低了客户端对逻辑单元号访问的粒度，提升存储端的安全性。
75.根据上述实施例，若存储端识别出当前客户端限制登录用户的身份，上述存储安全访问控制方法，步骤s11向存储端发送登录指令之前，还包括：
76.接收用户的用户名与密码；
77.判断用户名与密码是否正确；
78.若正确，进入向存储端发送登录指令的步骤。
79.客户端接收到用户的用户名与密码之后，校验用户名与密码是否正确，若正确，则进入下一步，若不正确，则结束本次存储访问请求。本实施例的目的是在客户端向存储端发送登录指令之前，先对登录用户的身份进行校验，保证此次访问的安全性。
80.根据上述实施例，本技术还提供一种存储安全访问控制方法，应用于由客户端和存储端组成的通信存储系统中的存储端，图2为本技术实施例提供的另一种存储安全访问控制方法流程图，如图2所示，包括：
81.步骤s21：接收客户端发送登录指令；
82.步骤s22：向客户端发送加密认证；
83.步骤s23：当客户端通过加密认证后，接收客户端发送的限定名称；
84.步骤s24：将限定名称与逻辑单元号进行绑定，并将客户端对应的配置信息存储至存储池；
85.步骤s25：接收客户端发送的扫描指令；
86.步骤s26：将客户端对应的逻辑单元号的数据信息加载至内存，以使客户端访问内存中存储的数据信息。
87.本技术提供的存储安全访问控制方法应用于由客户端和存储端组成的通信存储系统中的存储端，在正常运行状态下，客户端需要与存储端建立连接，客户端通过建立的连接向存储端发送scsi请求，当逻辑单元号挂载在存储端下时，实现客户端与存储端的逻辑单元号的交互。一个存储端可以包括多个lun，而且每个lun的属性可以有所区别，比如lun#0可以是磁盘，lun#1可以是其他设备。在分布式存储系统中，lun是创建的逻辑卷。
88.具体地，存储端接收客户端发送登录指令；存储端处理登录指令后，向客户端发送加密认证；当客户端通过加密认证后，存储端接收客户端发送的限定名称；存储端将限定名称与逻辑单元号进行绑定，并将客户端对应的配置信息存储至存储池；当存储端接收到客户端发送的扫描指令后，存储端将客户端对应的逻辑单元号的数据信息加载至内存，以使客户端访问内存中存储的数据信息。由于客户端可访问的逻辑单元号的信息是存储端存储入内存的，与客户端对应绑定的，只有客户端拥有访问权限，才能够存储入内存，通过这种方法，逻辑单元号之间实现了隔离，不同的客户端可访问存储在同一存储端下的不同的逻辑单元号的信息，同时降低了客户端对逻辑单元号访问的粒度，提升存储端的安全性。
89.根据上述实施例，当客户端需要对登录用户的身份进行限制，为了进一步保障安全访问，本实施例提供一种优选方案，存储安全访问控制方法，步骤s21接收客户端发送登录指令之后，还包括：
90.验证登录指令对应的用户名与密码是否正确；
91.若正确，进入向客户端发送加密认证的步骤；
92.若错误，向客户端发送提示信息。
93.存储端接收到登录指令后，验证登录指令中包含的用户名与密码是否正确，若正确，则进入步骤s22，若错误，则向客户端发送提示信息，提示客户端登录用户信息错误，并结束本次访问请求。本实施例通过在存储端对登录用户进行身份校验，提高访问的安全性。
94.在上述实施例中，对于应用于由客户端和存储端组成的通信存储系统中的客户端的存储安全访问控制方法进行了详细描述，本技术还提供一种是基于功能模块的角度的存储安全访问控制装置对应的实施例。
95.图3为本技术实施例提供的一种存储安全访问控制装置示意图，应用于由客户端和存储端组成的通信存储系统中的客户端，如图3所示，包括：
96.发送登录指令模块31，用于向存储端发送登录指令；
97.接收模块32，用于接收存储端发送的加密认证，其中，存储端在验证登录指令后生成加密认证；
98.发送绑定信息模块33，用于当通过加密认证后，向存储端的逻辑单元号发送客户端的限定名称进行绑定，以使存储端绑定限定名称并将客户端对应的配置信息存储至存储池；
99.扫描模块34，用于向存储端发送扫描指令，以使存储端将客户端对应的逻辑单元号的数据信息加载至内存；
100.访问模块35，用于访问内存存储的数据信息。
101.具体地，发送登录指令模块31向存储端发送登录指令；接收模块32接收存储端发送的加密认证，其中，存储端在验证登录指令后生成加密认证；发送绑定信息模块33当通过加密认证后，向存储端的逻辑单元号发送客户端的限定名称进行绑定，以使存储端绑定限定名称并将客户端对应的配置信息存储至存储池；扫描模块34向存储端发送扫描指令，以使存储端将客户端对应的逻辑单元号的数据信息加载至内存；访问模块35访问内存存储的数据信息，客户端可访问的逻辑单元号的信息是存储端存储入内存的，与客户端对应绑定的，只有客户端拥有访问权限，才能够存储入内存，通过这种方法，不同的客户端可访问存储在同一存储端下的不同的逻辑单元号的信息，逻辑单元号之间实现了隔离，同时降低了客户端对逻辑单元号访问的粒度，提升存储端的安全性。
102.由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。
103.在上述实施例中，对于应用于由客户端和存储端组成的通信存储系统中的存储端的存储安全访问控制方法进行了详细描述，本技术还提供一种是基于功能模块的角度的存储安全访问控制装置对应的实施例。
104.图4为本技术实施例提供的另一种存储安全访问控制装置示意图，应用于由客户端和存储端组成的通信存储系统中的存储端，如图4所示，存储安全访问控制装置包括：
105.接收登录指令模块41，用于接收客户端发送登录指令；
106.发送认证模块42，用于向客户端发送加密认证；
107.接收信息模块43，用于当客户端通过加密认证后，接收客户端发送的限定名称；
108.绑定模块44，用于将限定名称与逻辑单元号进行绑定，并将客户端对应的配置信息存储至存储池；
109.接收扫描指令模块45，用于接收客户端发送的扫描指令；
110.存储模块46，用于将客户端对应的逻辑单元号的数据信息加载至内存，以使客户端访问内存中存储的数据信息。
111.具体地，接收登录指令模块41接收客户端发送登录指令；发送认证模块42向客户端发送加密认证；接收信息模块43当客户端通过加密认证后，接收客户端发送的限定名称；绑定模块44将限定名称与逻辑单元号进行绑定，并将客户端对应的配置信息存储至存储池；接收扫描指令模块45接收客户端发送的扫描指令；存储模块46将客户端对应的逻辑单元号的数据信息加载至内存，以使客户端访问内存中存储的数据信息。由于客户端可访问的逻辑单元号的信息是存储端存储入内存的，与客户端对应绑定的，只有客户端拥有访问权限，才能够存储入内存，通过这种方法，逻辑单元号之间实现了隔离，不同的客户端可访问存储在同一存储端下的不同的逻辑单元号的信息，同时降低了客户端对逻辑单元号访问的粒度，提升存储端的安全性。
112.由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。
113.图5为本技术实施例提供的另一种存储安全访问控制装置的结构图，如图5所示，存储安全访问控制装置包括：存储器50，用于存储计算机程序；
114.处理器51，用于执行计算机程序时实现如上述实施例存储安全访问控制方法的步骤。
115.本实施例提供的存储安全访问控制装置可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
116.其中，处理器51可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器51可以采用数字信号处理器(digital signal processor，dsp)、现场可编程门阵列(field－programmable gate array，fpga)、可编程逻辑阵列(programmable logic array，pla)中的至少一种硬件形式来实现。处理器51也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称中央处理器(central processing unit，cpu)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器51可以在集成有图像处理器(graphics processing unit，gpu)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器51还可以包括人工智能(artificial intelligence，ai)处理器，该ai处理器用于处理有关机器学习的计算操作。
117.存储器50可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器50还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器50至少用于存储以下计算机程序501，其中，该计算机程序被处理器51加载并执行之后，能够实现前述任一实施例公开的存储安
全访问控制方法的相关步骤。另外，存储器50所存储的资源还可以包括操作系统502和数据503等，存储方式可以是短暂存储或者永久存储。其中，操作系统502可以包括windows、unix、linux等。数据503可以包括但不限于实现存储安全访问控制方法所涉及到的数据等。
118.在一些实施例中，存储安全访问控制装置还可包括有显示屏52、输入输出接口53、通信接口54、电源55以及通信总线56。
119.本领域技术人员可以理解，图5中示出的结构并不构成对存储安全访问控制装置的限定，可以包括比图示更多或更少的组件。
120.本技术实施例提供的存储安全访问控制装置，包括存储器和处理器，处理器在执行存储器存储的程序时，能够实现如下方法：存储安全访问控制方法；由于客户端可访问的逻辑单元号的信息是存储端存储入内存的，与客户端对应绑定的，只有客户端拥有访问权限，才能够存储入内存，通过这种方法，逻辑单元号之间实现了隔离，不同的客户端可访问存储在同一存储端下的不同的逻辑单元号的信息，同时降低了客户端对逻辑单元号访问的粒度，提升存储端的安全性。
121.最后，本技术还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述存储安全访问控制方法实施例(可以是客户端侧对应的方法、也可以是存储端对应的方法)中记载的步骤。
122.可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(randomaccess memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
123.本实施例提供的计算机可读存储介质，其上存储有计算机程序，当处理器执行该程序时，可实现以下方法：存储安全访问控制方法；由于客户端可访问的逻辑单元号的信息是存储端存储入内存的，与客户端对应绑定的，只有客户端拥有访问权限，才能够存储入内存，通过这种方法，逻辑单元号之间实现了隔离，不同的客户端可访问存储在同一存储端下的不同的逻辑单元号的信息，同时降低了客户端对逻辑单元号访问的粒度，提升存储端的安全性。
124.以上对本技术所提供的存储安全访问控制方法、装置及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。
125.还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那
些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。