专利名称:保护交换结构存储区域网络中节点端口访问的方法和装置的制作方法
技术领域:
本发明一般地涉及数据处理系统。更具体地说,本发明涉及用于保护对交换结构(fabric)存储区域网络中的节点端口的访问的计算机实现的方法,装置和计算机程序产品。
背景技术:
交换结构存储区域网络(SAN)是用于互连可用于一个或多个联网服务器的存储相关资源的专用网络。SAN通常与局域网(LAN)和广域网(WAN)分离。SAN通常的特征是成员存储外围设备之间的高互连数据速率。SAN通常还具有的特征是高度伸缩的体系结构。SAN同时包括用于硬件管理、监视和配置的硬件和软件。
光纤通道(FC)存储区域网络(SAN)非常易于受到未授权代理的预谋和偶然的损害。当光纤通道存储区域网络(FC SAN)受到损害时,未授权的代理可以窃取、更改或毁坏包含在附加存储设备中的数据。光纤通道存储区域网络受到损害的方式主要有两种(1)对包括存储区域网络自身的任何组件的未授权访问;或(2)对任何能够访问包括存储区域网络的任何组件的网络附加系统的未授权访问。
连接到光纤通道存储区域网络的主机可以恶意地尝试获取对其未被授权的存储组件的访问。此类攻击称为欺骗,其中未授权的实体或代理尝试通过某种欺骗手段来表现为授权的实体或代理。在以下两种情况中可以使用欺骗来获取对存储区域网络存储组件的未授权访问(1)进行欺骗的主机系统可以获取对光纤通道(FC)交换机的未授权访问,并使用任何其他可见主机的全球端口名(WWPN)作为其分配的WWPN以获取对存储子系统端口的未授权访问,或(2)具有对光纤通道交换机的授权访问的进行欺骗的主机系统使用与其分配的WWPN不同的可见WWPN来获取对存储子系统端口的未授权访问。
可见WWPN是主机可以在登录到光纤通道交换机时通过查询公知的名称服务器服务而获得的那些WWPN。这些WWPN是位于光纤通道交换机活动区域(包含所有可以互相连接的主机端口和存储端口)中的WWPN。WWPN是主机端口(即,主机总线适配器(HBA))的可编程功能,并且具有此方面知识的系统程序员可以相对容易地将其编程为任何值。
发明内容
本发明公开了一种用于保护交换结构存储区域网络中的节点端口访问的计算机实现的方法、装置和计算机程序产品。指定结构端口标识符和节点端口标识符的允许的组合。节点端口接收访问所述节点端口的请求。从所述请求确定节点端口标识符,所述节点端口标识符标识了正在尝试访问所述节点端口的设备。确定标识所述设备通过其传输所述请求的结构端口的结构端口标识符。如果所述结构端口标识符和节点端口标识符形成允许的组合,则允许访问所述节点端口。
在所附权利要求中说明了被认为是本发明特性的新颖特征。但是,当结合附图阅读时,通过参考以下对示例性实施例的详细说明,可以最佳地理解发明本身及其优选使用方式、进一步的目的和优点,这些附图是图1是根据本发明的示例性实施例的包括使用交换结构连接在一起的多个节点的存储区域网络的方块图;图2示出了根据本发明的示例性实施例的关联表;图3示出了根据本发明的示例性实施例的名称服务器表;图4是示出了根据本发明的示例性实施例的生成关联表并在将关联表导入交换机和存储子系统后强制所有设备登录回结构和存储子系统的高级流程图;图5是示出了根据本发明的示例性实施例的将对结构的访问仅限于授权设备的高级流程图;图6是示出了根据本发明的示例性实施例的接收设备将对接收设备的访问仅限于那些授权的请求设备的高级流程图;图7A和7B是共同示出了根据本发明的示例性实施例的交换机将对接收设备的访问仅限于那些授权的请求设备的高级流程图;以及图8是根据本发明的用于实现图1的任何数据处理系统的数据处理系统的方块图。
具体实施例方式
本发明的示例性实施例是一种用于保护交换结构存储区域网络中的节点端口访问的计算机实现的方法、装置和计算机程序产品。所述计算机实现的方法、装置和计算机程序产品包括对授权的结构端口(F端口)标识符和节点端口(N端口)标识符进行编码的关联表。这些标识符优选地是端口名称,如全球端口名(WWPN)。
关联表在存储区域网络的结构中建立到交换机的授权主机和存储物理连通性。例如,关联表可以包括指定F端口WWPN为ABCD123456789ABB和N端口WWPN为ABCD123456789ABC的表项。在此实例中,如果具有为ABCD123456789ABC的N端口WWPN的节点通过具有为ABCD123456789ABB的F端口WWPN的交换机端口登录到结构,则存储子系统或主机将允许该节点访问所述主机或存储子系统。如果具有为ABCD123456789ABC的N端口WWPN的节点通过具有不是ABCD123456789ABB的F端口WWPN的交换机端口登录到结构,则将不允许所述节点访问存储子系统或主机。
所有授权的全球端口名在存储区域网络中都是唯一的。因此,所有包含在关联表中的F端口和N端口对也是唯一的。本发明的示例性实施例可以检测来自未授权主机的复制任何N端口或F端口WWPN的任何尝试,因为未授权的主机将使用与合法主机使用的F端口不同的F端口来连接到结构。因此,未授权主机使用的复制N端口WWPN和F端口的组合将不匹配包含在关联表中的任何允许的对。
节点通过访问交换机并执行结构登录(FLOGI)请求来登录到结构。需要FLOGI请求以便节点端口建立与交换机的会话并因此建立与结构的会话。
由交换机在请求FLOGI时实施对结构的安全访问。当节点端口请求FLOGI时,节点端口必须将其WWPN提供给交换机。根据本发明的示例性实施例,所有FLOGI请求在完成之前都首先进行验证。为了由交换机验证FLOGI请求,交换机首先判定发出请求的节点端口提供了哪个N端口WWPN。交换机然后判定通过其F端口中的哪个F端口接收FLOGI,并标识该F端口的WWPN。节点端口提供的WWPN和通过其接收请求的WWPN形成“接收对”。
交换机然后在存储在交换机中的关联表内查找发出请求的N端口提供的WWPN,以便定位包括该N端口WWPN的F端口/N端口对。在关联表中找到的WWPN的F端口/N端口对定义了“授权对”。如果接收对匹配授权对,则处理FLOGI请求并且交换机将N端口登录到结构。
如果接收对不匹配授权对,则拒绝FLOGI请求并不对其进行处理。在这种情况下,不会将N端口登录到结构。
通过要求所有节点首先使用上述FLOGI过程正确登录到结构来实施对存储子系统的安全访问。一旦节点正确登录到结构,节点就可以执行端口登录(PLOGI)请求以便尝试登录到特定存储子系统或其他目标主机。需要端口登录来建立与存储子系统或其他目标主机的会话。本发明的示例性实施例提供了两个不同的用于维护对存储子系统的安全访问的实施例。
在第一个实施例中,将关联表的副本存储在每个存储子系统中。当存储子系统接收到PLOGI请求时,存储子系统从PLOGI请求头部获取源标识符(SID)。存储子系统然后从交换机名称服务器获取与该SID关联的F端口WWPN。存储子系统然后在存储在其中的关联表内查找F端口WWPN以定位包括该F端口WWPN的F端口/N端口对。存储子系统判定与PLOGI请求一起提供的N端口WWPN是否匹配与在关联表中找到的F端口WWPN配对的N端口WWPN。如果N端口WWPN匹配,则存储子系统验证和处理PLOGI请求以允许发出请求的节点登录到存储子系统。如果N端口WWPN不匹配(指示主机WWPN欺骗尝试),则拒绝所述PLOGI请求并且不会将发出请求的节点登录到存储子系统。
在第二个实施例中,由交换机而不是存储子系统本身来进行验证。在此实施例中,交换机查找来自N端口的PLOGI请求。当交换机检测到发送到特定存储子系统的PLOGI请求时,交换机从该PLOGI请求获取源标识符(SID),然后使用该SID从交换机的名称服务器表来确定与所述SID关联的F端口WWPN。交换机然后在存储于其中的关联表内查找F端口WWPN来定位包括该F端口WWPN的F端口/N端口对。交换机判定与PLOGI请求一起提供的N端口WWPN是否匹配与在关联表中发现的F端口WWPN配对的N端口WWPN。如果N端口WWPN匹配,则交换机验证所述PLOGI请求并将其传输到存储子系统以进行正常处理。如果N端口WWPN不匹配(指示主机WWPN欺骗尝试),则交换机通过丢弃请求并且不将其转发到存储子系统来拒绝所述PLOGI请求。
图1是根据本发明的示例性实施例的包括使用交换结构连接在一起的多个节点的存储区域网络的方块图。图1示出了根据本发明的存储区域网络(SAN)100。SAN 100包括多个设备,如主机102、主机104、存储子系统106和存储子系统108。
SAN 100优选为光纤通道网络,尽管其他类型的交换结构网络可以用于实现SAN 100。光纤通道是存储区域网络中用于传输数据的协议套件。光纤通道是一种由美国国家标准学会(ANSI)定义并由计算机和海量存储设备制造商协会开发的体系结构。光纤通道为需要很高宽带的海量存储设备和其他外围设备而设计。光纤通道使用光纤来连接设备,支持高数据传输速率。在光纤通道技术规范(ANSI文档编号ANSI/INCITS 373,标题为Information Technology-Fibre Channel Framing and SignalingInterface(FC FS))中可以找到有关光纤通道的其他信息。
每个设备都使用至少一个光纤通道链路连接到交换结构110。例如,主机102使用链路102a连接到结构110。主机104使用链路104a和104b连接到结构110;存储子系统106使用链路106a连接到结构110;存储子系统108使用链路108a和108b连接到结构110。
每个设备都通过包括在其中的光纤通道节点端口(即,N端口)连接到其光纤通道链路。主机102包括N端口1 112。主机104包括N端口2 114和N端口3 116。存储子系统106包括N端口4 118。存储子系统108包括N端口5 120和N端口6 122。
每个N端口使用包括在结构110中的结构端口(即,F端口)连接到结构110。这样,设备通过使用光纤通道通信链路将包括在设备中的N端口连接到包括在结构中的F端口来连接到结构。
N端口1 112使用光纤通道通信链路102a连接到F端口1 124。N端口2 114使用光纤通道通信链路104a连接到F端口2 126。N端口3 116使用光纤通道通信链路104b连接到F端口3 128。N端口4 118使用光纤通道通信链路106a连接到F端口4 130。N端口5 120使用光纤通道通信链路108a连接到F端口5 132。N端口6 122使用光纤通道通信链路108b连接到F端口6 134。
每个主机包括至少一个主机总线适配器(HBA)。当主机包括多个HBA时,主机可以使用其HBA中的任何HBA来与结构通信。主机102包括通过N端口1 112、通信链路102a和F端口1 124与结构110通信的HBA 135。
主机104包括通过N端口2 114、通信链路104a和F端口2 126与结构110通信的HBA 136。主机104还包括通过N端口3 116、通信链路104b和F端口3 128与结构110通信的HBA 137。
每个存储子系统都包括至少一个目标总线适配器(TBA)。当存储子系统包括多个TBA时,存储子系统可以使用其TBA中的任何TBA来与结构通信。
存储子系统106包括通过N端口4 118、通信链路106a和F端口4 130与结构110通信的TBA 138。存储子系统108包括通过N端口5 120、通信链路108a和F端口5 132与结构110通信的TBA 139。存储子系统108还包括通过N端口6 122、通信链路108b和F端口6 134与结构110通信的TBA 140。
结构110包括一个或多个交换机(如交换机141)以便通过结构110来交换网络分组。虽然示出了一个交换机,但是结构中通常包括许多交换机。在示例性实施例中,每个交换机都是符合光纤通道技术规范的光纤通道(FC)交换机。
关联表存储在结构中的每个交换机内。在示出的实例中,关联表144存储在交换机141中。此外,还可以将关联表的副本存储在存储子系统中。例如,将关联表144存储在存储子系统106和存储子系统108中。
名称服务器表也存储在每个交换机中。名称服务器表146存储在交换机141中。
图2示出了根据本发明的示例性实施例的关联表。关联表144包括授权的F端口/N端口名称对。将每个F端口的名称(如全球端口名(WWPN))和其授权的N端口的名称(如WWPN)存储在每个表项中。存储在关联表144的每个表项中的WWPN定义了授权对。
例如,F端口1 124连接到N端口1 112。因此,F端口1 124的WWPN和N端口1 112的WWPN存储在表项202中。在示出的实例中,F端口1 124的WWPN是1234ABCD5678ABCD,而N端口1 112的WWPN是ABCD23456789CDEF。因此,为1234ABCD5678ABCD的F端口WWPN和为ABCD23456789CDEF的N端口WWPN形成授权对。
作为另一个实例,F端口2 126连接到N端口2 114。因此,F端口2 126的WWPN和N端口2 114的WWPN存储在表项204中。在示出的实例中,F端口2 126的WWPN是DEFCBCDE4567A456,而N端口2 114的WWPN是345678901234A345。这样,为DEFCBCDE4567A456的F端口WWPN和为345678901234A345的N端口WWPN形成授权对。
作为最后的实例,F端口6 134连接到N端口6 122。因此,F端口6 134的WWPN和N端口6 122的WWPN存储在表项206中。在示出的实例中,F端口6 134的WWPN是EFCABAB12345D456,而N端口6 122的WWPN是1112AACCCDEEFA1C4。这样,为EFCABAB12345D456的F端口WWPN和为1112AACCCDEEFA1C4的N端口WWPN形成授权对。
图3示出了根据本发明的示例性实施例的名称服务器表。名称服务器表中的每个表项包括F端口和N端口WWPN的每个授权对以及表项的N端口的主机源标识符(SID)。
表项302包括表项202(参见图2)的授权F端口/N端口对以及N端口1 112的主机源标识符(SID)。表项304包括表项204(参见图2)的授权F端口/N端口对以及N端口2 114的主机源标识符(SID)。表项306包括表项206(参见图2)的授权F端口/N端口对以及N端口6 122的主机源标识符(SID)。
图4是示出根据本发明的示例性实施例的生成关联表并在将关联表导入交换机和存储子系统后强制所有设备登录回结构和存储子系统的高级流程图。过程如方块400所示开始,此后转到示出了生成关联表的方块402。关联表包括F端口名和N端口名的授权对。接着,方块404示出了所有交换机和/或存储子系统导入关联表。
然后,方块406示出了重新启动所有交换机。重新启动所有交换机强制所有主机和存储子系统使用结构登录(FLOGI)请求登录回结构。因此,方块408示出每个存储子系统使用端口登录(PLOGI)请求强制所有主机登录回该存储子系统。然后,过程终止,如方块410所示。
图5是示出了根据本发明的示例性实施例的将对结构的访问仅限于授权设备的高级流程图。过程开始,如方块500所示,此后转到方决502,方块502示出了光纤通道(FC)交换机接收登录到光纤通道交换机的F端口之一的FLOGI请求。F端口具有特定的名称,如全球端口名(WWPN)。请求包括发送该请求的主机的N端口的特定WWPN。接着,方块504示出了光纤通道交换机从请求中收集主机的N端口的WWPN。包括在请求中的WWPN和F端口的WWPN形成“接收对”。
然后,方块506示出了光纤通道交换机访问其关联表以查找包括请求N端口WWPN的对。光纤通道交换机获取表中与发出请求的N端口的WWPN配对的F端口WWPN。从关联表中获取的对形成“授权对”。
然后,过程转到方块508,其示出了判定接收对是否匹配授权对。如果接收对不匹配授权对,则过程转到方块510,方块510示出了光纤通道交换机拒绝FLOGI请求。然后,过程终止,如方决512所示。
再次参考方块508,如果判定接收对确实匹配授权对,则过程转到示出光纤通道交换机接受FLOGI请求的方块514。接着,方块516示出光纤通道交换机创建主机的N端口的源ID(SID)并将主机的N端口WWPN及其SID存储在光纤通道交换机的名称服务器表中。此后,方块518示出了光纤通道交换机将SID发送到主机,以便主机可以在通过主机的N端口的未来通信中使用该SID。然后,过程终止,如方块512所示。
图6是示出了根据本发明的示例性实施例的接收设备将对接收设备的访问仅限于那些授权的请求设备的高级流程图。过程开始,如方块600所示,此后转到方块602,其示出了接收设备(如主机或存储子系统)通过请求设备(如主机或存储子系统)的N端口从请求设备接收PLOGI请求以登录到接收设备。所述请求包括发出请求的N端口的特定WWPN和源标识符(SID)。接着,方块604示出了接收设备从该请求收集发出请求的N端口的WWPN和SID。
过程然后转到方块606,方块606示出了接收设备访问其交换机中的名称服务器表并为包括在PLOGI请求中的SID从表中获取F端口WWPN。包括在请求中的N端口WWPN和从名称服务器表中获取的F端口WWPN形成了“接收对”。方块608然后示出了接收设备访问其关联表以查找包括请求中包含的N端口WWPN的对。接收设备获取与请求N端口的WWPN一起包括在表中的F端口的WWPN。从表中获取的对形成“授权对”。
过程然后转到示出判定接收对是否匹配授权对的方块610。如果判定接收对不匹配授权对,则过程转到示出接收设备拒绝PLOGI请求的方块612。过程然后终止,如方块614所示。再次参考方块610,如果判定接收对匹配授权对,则过程转到示出接收设备接受PLOGI请求的方块616。过程然后终止,如方块614所示。
图7A和7B是共同示出了根据本发明的示例性实施例的交换机将对接收设备的访问仅限于那些授权的请求设备的高级流程图。过程开始,如方块700所示,此后转到方块702,方块702示出了请求设备(如主机或存储子系统)通过发出请求的设备的N端口做出登录到特定接收设备(如主机或存储子系统)的PLOGI请求。该请求包括发出请求的N端口的特定WWPN和特定源标识符(SID)。接着,方块704示出交换机打开PLOGI请求的头部并收集包括在头部中的WWPN。然后,方块706示出交换机使用请求中提供的SID来查询交换机的名称服务器表,以从中获取与包括在请求中的此SID关联的N端口WWPN。
过程然后转到方块708,其示出了判定从请求中获取的N端口WWPN是否匹配从名称服务器表中获取的N端口WWPN。如果判定从请求中获取的N端口WWPN不匹配从名称服务器表中获取的N端口WWPN,则过程转到示出交换机丢弃PLOGI请求帧的方块710。然后过程终止,如方块712所示。
再次参考方块708,如果判定从请求中获取的N端口WWPN确实匹配从名称服务器表中获取的N端口WWPN,则过程转到方块714,方块714示出了交换机从名称服务器表中查找与请求SID关联的F端口WWPN。接着,方块716示出从请求中获取的N端口WWPN和从名称服务器表中获取的F端口WWPN形成“接收对”。方块718然后示出交换机访问其关联表以查找包括请求中包含的N端口WWPN的N端口/F端口对。从表中获取的N端口/F端口对形成“授权对”。
过程然后转到示出判定接收对是否匹配授权对的方块720。如果判定接收对不匹配授权对,则过程转到示出交换机丢弃PLOGI请求帧的方块722。然后过程终止,如方块712所示。
再次参考方块720,如果判定接收对确实匹配授权对,则过程转到示出交换机授权PLOGI请求的方块724。方块726然后示出交换机将PLOGI请求帧发送到其目的地。然后过程终止,如方块712所示。
图8是根据本发明的用于实现图1的任何数据处理系统的数据处理系统的方块图。数据处理系统800可以是包括多个连接到系统总线806的处理器802和804的对称多处理器(SMP)系统。备选地,可以使用单处理器系统。在示出的实例中,处理器804是服务处理器。同样连接到系统总线806的是提供到本地存储器809的接口的存储器控制器/高速缓存808。I/O总线桥810连接到系统总线806并提供到I/O总线812的接口。存储器控制器/高速缓存808和I/O总线桥810可以如所示出的那样集成。
连接到I/O总线812的外围组件互连(PCI)总线桥814提供了到PCI本地总线816的接口。许多I/O适配器(如调制解调器818)可以连接到PCI总线816。典型的PCI总线实现将支持四个PCI扩展槽或附加连接器。可以通过调制解调器818和光纤通道主机总线适配器820提供到其他计算机的通信链路。主机总线适配器(HBA)820使得数据处理系统800能够通过光纤通道链路880从结构110发送和接收消息。
其他PCI总线桥822和824为其他PCI总线826和828提供了接口,从所述接口可以支持其他调制解调器或网络适配器。按照此方式,数据处理系统800允许到多个网络计算机的连接。
存储器映射的图形适配器830和硬盘832也可以如图所示直接或间接地连接到I/O总线812。
本发明的示例性实施例的优点有很多。本发明的示例性实施例提供了防止存储子系统和设备WWPN受到欺骗的安全解决方案。
本发明的示例性实施例需要SAN管理员生成简单的表,以便通过定义授权的N端口/F端口对来定义授权的连接。
例如,本发明的示例性实施例可以通过FC交换机操作环境,和/或存储子系统端口接口微码来实现。
本发明的示例性实施例不依赖于任何特定硬件、软件或操作系统,并且可以容易地部署在包括异类主机、交换机和存储子系统的SAN中。
本发明的示例性实施例在现有光纤通道NCITS T11工作组协议标准中工作。
本发明可以采取完全硬件实施例、完全软件实施例或包含硬件和软件元素两者的实施例的形式。在一个优选实施例中,本发明以软件实现,所述软件包括但不限于固件、驻留软件、微代码等。
此外,本发明可以采取可从计算机可用或计算机可读介质访问的计算机程序产品的形式,所述计算机可用或计算机可读介质提供了可以被计算机或任何指令执行系统使用或与计算机或任何指令执行系统结合的程序代码。出于此描述的目的,计算机可用或计算机可读介质可以是任何能够包含、存储、传送、传播或传输由指令执行系统、装置或设备使用或与所述指令执行系统、装置或设备结合的程序的有形装置。
所述介质可以是电、磁、光、电磁、红外线或半导体系统(或装置或设备)或传播介质。计算机可读介质的实例包括半导体或固态存储器、磁带、可移动计算机盘、随机存取存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。光盘的当前实例包括光盘-只读存储器(CD-ROM)、光盘-读/写(CR-R/W)和DVD。
适合于存储和/或执行程序代码的数据处理系统将包括至少一个通过系统总线直接或间接连接到存储器元件的处理器。所述存储器元件可以包括在程序代码的实际执行期间采用的本地存储器、大容量存储装置以及提供至少某些程序代码的临时存储以减少必须在执行期间从大容量存储装置检索代码的次数的高速缓冲存储器。
输入/输出或I/O设备(包括但不限于键盘、显示器、指点设备等)可以直接或通过中间I/O控制器与系统相连。
网络适配器也可以被连接到系统以使所述数据处理系统能够通过中间专用或公共网络变得与其他数据处理系统或远程打印机或存储设备相连。调制解调器、电缆调制解调器和以太网卡只是几种当前可用的网络适配器类型。
出于示例和说明目的给出了对本发明的描述,并且所述描述并非旨在是穷举的或是将本发明限于所公开的形式。对于本领域的技术人员来说,许多修改和变化都将是显而易见的。实施例的选择和描述是为了最佳地解释本发明的原理、实际应用,并且当适合于所构想的特定使用时,使得本领域的其他技术人员能够理解本发明的具有各种修改的各种实施例。
权利要求
1.一种在存储区域网络中的计算机实现的方法,所述存储区域网络包括用于保护对存储节点端口的访问的交换结构,所述计算机实现的方法包括指定结构端口标识符和节点端口标识符的授权的组合;从设备接收访问特定存储节点端口的请求;从所述请求确定标识正在尝试访问所述特定存储节点端口的所述设备的节点端口标识符;确定标识所述设备通过其传输所述请求的结构端口的结构端口标识符;以及判定所述结构端口标识符和所述节点端口标识符是否形成授权的组合。
2.根据权利要求1的计算机实现的方法,还包括响应于判定所述结构端口标识符和所述节点端口标识符对确实形成了授权的组合,允许所述设备访问所述特定存储节点端口;以及响应于判定所述结构端口标识符和所述节点端口标识符对没有形成授权的组合,禁止所述设备访问所述特定存储节点端口。
3.根据权利要求1的计算机实现的方法,其中所述确定标识所述设备通过其传输所述请求的结构端口的结构端口标识符的步骤还包括确定标识所述设备通过其登录到所述结构上的结构端口的结构端口标识符。
4.根据权利要求1的计算机实现的方法,还包括将结构端口标识符和节点端口标识符的所述授权的组合存储在所述结构中的每个交换机内;由第一交换机接收访问所述特定存储节点端口的所述请求;由所述第一交换机判定所述结构端口标识符和所述节点端口标识符是否形成授权的组合;响应于由所述第一交换机判定所述结构端口标识符和所述节点端口标识符对确实形成了授权的组合,将所述请求转发到所述特定存储节点端口;所述特定存储节点端口允许访问所述节点端口以响应所述特定存储节点端口接收到所述请求;以及响应于由所述第一交换机判定所述结构端口标识符和所述节点端口标识符对没有形成授权的组合,由所述第一交换机丢弃所述请求,其中所述特定存储节点端口不会接收或处理所述请求,并且其中禁止对所述特定存储节点端口的访问。
5.根据权利要求1的计算机实现的方法,还包括将结构端口标识符和节点端口标识符的所述授权的组合存储在所述特定存储节点端口中;由所述特定存储节点端口接收访问所述特定存储节点端口的所述请求;由所述特定存储节点端口判定所述结构端口标识符和所述节点端口标识符是否形成授权的组合;响应于由所述特定存储节点端口判定所述结构端口标识符和所述节点端口标识符对确实形成了授权的组合,由所述特定存储节点端口处理所述请求,其中允许对所述特定存储节点端口的访问;以及响应于由所述特定存储节点端口判定所述结构端口标识符和所述节点端口标识符对没有形成授权的组合,由所述特定存储节点端口丢弃所述请求,其中禁止对所述特定存储节点端口的访问。
6.根据权利要求1的计算机实现的方法,其中所述从设备接收访问特定存储节点端口的请求的步骤还包括从设备接收登录到所述特定存储节点端口中的端口登录请求。
7.根据权利要求1的计算机实现的方法,还包括在接收访问所述特定存储节点端口的所述请求之前,由所述结构中的交换机内的第二结构端口接收所述设备访问所述结构的请求;由所述交换机从所述请求来确定标识正在尝试访问所述结构的所述设备的第二节点端口标识符;由所述交换机确定标识所述第二结构端口的第二结构端口标识符;以及判定所述第二结构端口标识符和所述第二节点端口标识符是否形成授权的组合。
8.根据权利要求7的计算机实现的方法,还包括响应于判定所述第二结构端口标识符和所述第二节点端口标识符形成授权的组合,由所述交换机处理登录到所述结构的所述请求,其中所述设备登录到所述结构;以及响应于判定所述第二结构端口标识符和所述第二节点端口标识符没有形成授权的组合,由所述交换机丢弃登录到所述结构的所述请求,其中通过所述结构端口访问所述结构被禁止。
9.一种在存储区域网络中的装置,所述存储区域网络包括用于保护对存储节点端口的访问的交换结构,所述装置包括结构端口标识符和节点端口标识符的授权的组合;特定存储节点端口,所述特定存储节点端口从设备接收访问特定存储节点端口的请求;所述特定存储节点端口从所述请求来确定标识正在尝试访问所述特定存储节点端口的所述设备的节点端口标识符;所述特定存储节点端口确定标识所述设备通过其传输所述请求的结构端口的结构端口标识符;以及所述特定存储节点端口判定所述结构端口标识符和所述节点端口标识符是否形成授权的组合。
10.根据权利要求9的装置,还包括响应于判定所述结构端口标识符和所述节点端口标识符对确实形成了授权的组合,所述特定存储节点端口允许所述设备访问所述特定存储节点端口;以及响应于判定所述结构端口标识符和所述节点端口标识符对没有形成授权的组合,所述特定存储节点端口禁止所述设备访问所述特定存储节点端口。
11.根据权利要求9的装置,其中所述特定存储节点端口确定标识所述设备通过其传输所述请求的结构端口的结构端口标识符的步骤还包括所述特定存储节点端口确定标识所述设备通过其登录到所述结构上的结构端口的结构端口标识符。
12.根据权利要求9的装置,还包括所述结构包括交换机,所述交换机用于在其中存储结构端口标识符和节点端口标识符的所述授权的组合;所述交换机在所述特定存储节点端口接收访问所述特定存储节点端口的所述请求之前拦截所述请求;所述交换机判定所述结构端口标识符和所述节点端口标识符是否形成授权的组合;响应于由所述交换机判定所述结构端口标识符和所述节点端口标识符对确实形成了授权的组合,所述交换机将所述请求转发到所述特定存储节点端口;所述特定存储节点端口允许访问所述节点端口以响应所述特定存储节点端口接收到所述请求;以及响应于由所述交换机判定所述结构端口标识符和所述节点端口标识符对没有形成授权的组合,所述交换机丢弃所述请求,其中所述特定存储节点端口不会接收或处理所述请求,并且其中禁止对所述特定存储节点端口的访问。
13.根据权利要求9的装置,其中特定存储节点端口从设备接收访问特定存储节点端口的请求还包括特定存储节点端口从设备接收登录到所述特定存储节点端口中的端口登录请求。
14.根据权利要求9的装置,还包括在所述特定存储节点端口接收访问所述特定存储节点端口的所述请求之前,由所述结构中的交换机内的第二结构端口接收所述设备访问所述结构的请求;所述交换机从所述请求来确定标识正在尝试访问所述结构的所述设备的第二节点端口标识符;所述交换机确定标识所述第二结构端口的第二结构端口标识符;以及所述交换机判定所述第二结构端口标识符和所述第二节点端口标识符是否形成授权的组合。
15.根据权利要求14的装置,还包括响应于判定所述第二结构端口标识符和所述第二节点端口标识符形成授权的组合,所述交换机处理登录到所述结构的所述请求,其中所述设备登录到所述结构;以及响应于判定所述第二结构端口标识符和所述第二节点端口标识符没有形成授权的组合,所述交换机丢弃登录到所述结构的所述请求,其中通过所述结构端口访问所述结构被禁止。
全文摘要
本发明公开了一种用于保护交换结构存储区域网络中的节点端口访问的计算机实现的方法、装置和计算机程序产品。指定结构端口标识符和节点端口标识符的允许的组合。节点端口接收访问所述节点端口的请求。从所述请求确定节点端口标识符,所述节点端口标识符标识了正在尝试访问所述节点端口的设备。确定标识所述设备通过其传输所述请求的结构端口的结构端口标识符。如果所述结构端口标识符和节点端口标识符形成允许的组合,则允许访问所述节点端口。
文档编号H04L12/24GK101047594SQ200710091549
公开日2007年10月3日 申请日期2007年3月27日 优先权日2006年3月28日
发明者B·S·巴内特, M·E·兰特, D·G·艾森豪威尔 申请人:国际商业机器公司