专利名称:访问控制方法、单元及网络设备的制作方法
技术领域:
本发明涉及因特网小型计算机系统接口 ( iSCSI, Internet Small Computer System Interface )技术领域,具体涉及一种iSCSI访问控制方法、单元及网 络设备。
背景技术:
小型计算机系统接口 ( SCSI, Small Computer System Interface)标准体 系定义了应用主机和外部设备之间读写操作的过程,外部设备包括^兹盘、-兹 带、光盘、打印机、扫描仪等。SCSI标准体系的参考模型是一个典型的客 户端-服务器模型,在SCSI体系结构中,通常把客户端称为发起端(Initiator) 如应用主机,Initiator发送服务请求;把服务器称为目标端(Target)如 外部设备,Target接收、响应服务请求。Initiator和Target之间可以使用不 同的物理连"J妄方式来通讯。
iSCSI是一种基于传输控制协议/因特网协议(TCP/IP, Transfer Control Protocol/Internet Protocol)的SCSI传车lr十办i义,即Initiator和Target利用互 联网来传输SCSI命令和数据。目前,iSCSI协议主要用于应用主机和存储 系统的数据传输。图1为iSCSI的典型应用环境,如图l所示,应用主机 集成iSCSI initiator模块,存储系统中的存储控制器集成iSCSI target模块。 应用主机把SCSI命令和/或数据封装在iSCSI报文中,通过IP网络发送给 存储控制器,存储控制器对每个iSCSI报文进行处理,取出报文中的数据 并写入到存储介质如磁盘拒中。
为了进一步提数据的安全性,iSCSI协议中引入了 一些IP通信领域的安 全才几制如质询握手协i义(CHAP, Challenge Handshake AuthenticationProtocol)、安全远程密码(SRP, Secure Remote Protocol)等,来实现对应 用主机安全认证,从而实现Initiator的访问控制、对数据的保护等。
图2为一个带有安全认证的iSCSI Initiator和Target建立会话的消息流 程示意图,如图2所示,其具体步骤如下
步骤201:应用主机根据配置在自身的存储控制系统的iSCSI接口地址 如IP地址、MAC地址和TCP端口,启动iSCSI target的发现过程,通过 该发现过程获取授权给自身的iSCSI Target列表。
步骤202:应用主机确定要登录的Target,与要登录的Target建立TCP/IP 连接。
步骤203:应用主机向要登录的Target发送登录请求报文,该报文中的 操作码指明当前需要进行安全认证方式协商。
步骤204:安全认证方式协商成功,存储系统向应用主机返回登录响应报文。
步骤205:应用主机接收登录响应报文,向存储系统发送登录请求报文, 该报文中的操作码指明当前需要进行操作方式协商。
步骤206:存储系统收到该登录请求报文,与应用主机进行操作方式协 商,协商成功,存储系统向应用主机返回登录响应才艮文,双方建立会话通道。
步骤207:应用主机开始向存储系统传输数据。
步骤208:数据传输完成后,应用主机向存储系统发送登录退出请求报 文,存储系统向应用主机返回登录退出响应报文,会话结束。
可以看出,Initiator和Target之间建立会话的过程中,除了基于Initiator Name和Target Name的对应关系来进行数据访问外,就是进行安全认证。 但是,如果有黑客利用一些手段获取合法的Initiator信息如initiator Name 和安全认证密码后,向存储系统发送登录请求,则仍然可以与Target建立会 话,从而达到访问存储资源的目的,这样数据就不能被很好地保护。同时, 如果黑客大量发送登录请求,则存储系统的CPU要不停地响应这些请求, 所以CPU利用率就会升高,这样将会影响正常的存储业务。
发明内容
本发明实施例提供一种访问控制方法、单元及网络设备,实现iSCSI存储 数据保护且提高iSCSI存储系统处理存储业务工作效率。 本发明实施例的技术方案是这样实现的
一种访问控制方法,用于存储系统与发起端之间的网络设备上或者存储系 统前端的网络设备上,该方法包括
在iSCSI会话中,侦听发起端与目标端之间交互的报文,根据报文中的发 起端信息,或者目标端信息,或者发起端信息和目标端信息,建立用以区分合 法与非法发起端的ACL表项,根据建立的ACL表项对发起端进行访问控制。
所述侦听发起端与目标端之间交互的报文为侦听发起端与目标端在目标 端发现过程中交互的报文;
所述建立ACL表项包括
根据发起端发起的报文中的发起端名称、发起端MAC地址、发起端IP地 址、iSCSI接口 IP地址、iSCSI接口 MAC地址中的至少两项,建立ACL表项。
所述根据建立的ACL表项对发起端进行访问控制包括侦听到发起端在目 标端发现过程中发来的报文,判断报文中的发起端名称、发起端MAC地址、 发起端IP地址、iSCSI接口 IP地址、iSCSI接口 MAC地址是否与ACL表项部 分匹配,若是,拒绝发起端访问目标端;否则,允许发起端访问目标端。
所述侦听发起端与目标端之间交互的报文为侦听发起端与目标端在正常 会话过程中交互的报文;
所述建立ACL表项包括
根据发起端发起的报文中的发起端MAC地址、发起端IP地址、目标端 MAC地址、目标端IP地址中的至少一项,建立ACL表项。
所述根据建立的ACL表项对发起端进行访问控制包括侦听到发起端在正 常会话过程中发来的报文,判断报文中的发起端MAC地址、发起端IP地址、
目标端MAC地址、目标端IP地址是否与ACL表项全部匹配,若是,允许发 起端访问目标端;否则,拒绝发起端访问目标端。 所述建立ACL表项进一步包括
将发起端到目标端之间的路由信息加入该已建立的ACL表项中。 所述路由信息为入端口信息、入端口所在VLAN信息、入端口所属网段信
息中的一种或任意组合。
所述根据建立的ACL表项对发起端进行访问控制之后进一步包括 检测到发起端与目标端之间的会话结束,老化或删除与发起端信息对应的
ACL表项。
一种访问控制单元,位于存储系统与发起端之间的网络设备上或者存储系 统前端的网络设备上,该单元包括
ACL建立模块,在iSCSI会话中,侦听发起端与目标端之间交互的报文, 根据报文中的发起端信息,或者目标端信息,或者发起端和目标端信息,建立 ACL表项;
ACL过滤模块,根据建立的ACL表项对发起端进行访问控制。 所述ACL建立模块包括
第一ACL建立模块,侦听到发起端在目标端发现过程中发起的报文,根据 报文中的发起端信息,或者目标端信息,或者发起端和目标端信息,建立第一 ACL表项;
第二ACL建立模块,侦听到发起端在正常会话过程中发起的报文,根据报 文中的发起端信息,或者目标端信息,或者发起端信息和目标端信息建立第二 ACL表项。
所述ACL建立模块进一步包括
路由侦听模块,将发起端到目标端间的路由信息加入与发起端信息对应的 ACL表项。
所述ACL过滤模块包括
第一ACL过滤模块,侦听到发起端在目标端发现过程中发起的报文,判断
报文中的发起端信息、目标端信息是否与第一ACL表项部分匹配,若是,拒绝 发起端访问目标端;否则,允许发起端访问目标端;
第二ACL过滤模块,侦听到发起端在正常会话过程中发起的报文,判断报 文中的发起端信息和目标端信息是否与第二 ACL表项全部匹配,若是,允许发 起端访问目标端;否则,拒绝发起端访问目标端。
所述单元进一步包括ACL维护模块,侦听到发起端与目标端之间的会话 结束,老化或删除与发起端信息对应的ACL表项。
该单元位于目标端所在存储系统中的前端交换机上,或者位于目标端所在 存储系统接入IP网络的接入设备上。
所述ACL建立模块进一步包括将发起端到iSCSI访问控制单元的入端口 信息、入端口所在虚拟局域网VLAN信息、入端口所属网段信息中的一种或任 意组合,加入ACL表项中的子模块。
一种网络设备,包括硬件平台以及运行于硬件平台上的因特网小型计算 机系统接口 iSCSI访问控制软件,该iSCSI访问控制软件在硬件平台上运行时, 控制该网络设备执行如下方法
示该iSCSI会话;
根据上述两个标识建立访问控制列表ACL表项;
当发现有新的iSCSI报文到达设备时,根据预定的访问控制策略,利用上 述ACL表项确定该报文是否合法。
所述ACL表项包括第一和第二ACL表项,其中,第一ACL表项在iSCSI 发现过程中建立,第二ACL表项在正常会话过程中建立。
所述第一 ACL表项对应第一访问控制策略,第二 ACL表项对应第二访问 控制策略,且第一访问控制策略、第二访问控制策略不相同。
所述第一访问控制策略为与第一 ACL表项部分匹配则过滤,第二访问控 制策略为与第二ACL表项非全部匹配则过滤。
所述第一ACL表项包括发起端名称、发起端媒体访问控制MAC地址、
发起端IP地址、iSCSI接口IP地址、iSCSI接口 MAC地址中的至少两项;
所述第二 ACL表项包括发起端MAC地址、发起端IP地址、目标端MAC 地址、目标端IP地址中的至少一项。
所述第一 ACL表项和第二 ACL表项进一 步包括发起端到网络设备的 入端口信息、入端口所在虚拟局域网VLAN信息、入端口所属网段信息中 的一种或任意组合。
与现有技术相比,本发明实施例通过在iSCSI会话过程中,侦听发起端 与目标端之间交互的报文,根据报文中的发起端信息,或者目标端信息,或 者发起端信息和目标端信息,建立ACL表项,根据建立的ACL表项对发起 端进行访问控制,避免了在合法Initiator与Target会话过程中,非法Initiator 对存储系统的恶意攻击,实现了对存储数据的有效保护,且提高了存储系统 处理正常存储业务的工作效率。
图1为现有的典型的iSCSI应用环境示意图2为现有的带有安全认证的iSCSI Initiator和Target会话过程的消息 流程示意图3为本发明实施例提供的在iSCSI Initiator和Target会话过程中建立 ACL表项的流程图4为本发明实施例提供的利用建立的第一 ACL表项对Initiator的 Target发现过程进行访问控制的流程图5为本发明实施例提供的利用建立的第二 ALC表项对Inititor的正常 会话过程进行访问控制的流程图6为本发明实施例提供的iSCSI访问控制单元的结构示意图。
具体实施例方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。在本发明中,将iSCSI会话分为两个阶段,第一阶段是,为了获取授权 Target列表的Target发现过程;第二阶段是,为了建立应用主机和存储系统 之间的会话通道、以及利用建立的会话通道进行数据传输的正常会话过程。
图3为本发明实施例提供的在iSCSI Initiator和Target会话过程中建立 访问控制列表(ACL)表项的流程图,本实施例中提到的访问控制单元可以 是存储系统的前端网络设备如存储系统中的前端交换机,也可以是存储系 统与发起端之间的网络设备如存储系统接入IP网的接入设备,如图3所 示,其具体步骤如下
本实施例中,为了区分在Target发现过程中和在正常会话过程中建立的 ACL表项,将在Target发现过程中建立的ACL表项统称为第一 ACL表项, 将在正常会话过程中建立的ACL表项统称为第二 ACL表项。
步骤301:应用主机根据配置在自身的存储系统的iSCSI接口地址如 IP地址、MAC地址和TCP端口 ,启动iSCSI Target的发现过程,向存储系 统发送登录请求报文,以获取存储系统授权给自身的Target列表。
步骤302:访问控制单元侦听到登录请求报文,从报文的PDU部分获 取Initiator Name 、 Initiator々某体i方问4空制(MAC, Media Access Control);也 址、Initiator IP地址、iSCSI接口 IP地址、iSCSI接口 MAC地址,建立第一 ACL表项。
本步骤中建立的第一 ACL表项包括Initiator Name、 Initiator MAC地 址、Initiator IP地址、iSCSI接口IP地址、iSCSI接口 MAC地址,且ACL 过滤〗见则为部分匹配。
这里,将ACL过滤规则设定为部分匹配的含义是若一个Initiator发 来了针对iSCSI Target发现过程的才艮文,则若该报文中的Initiator Name、 Initiator MAC地址、Initiator IP地址、iSCSI接口 IP地址、iSCSI接口 MAC 地址与每一条第一 ACL表项都全部不匹配,则认为该Initiator为新的合法 Initiator,允许其访问存储系统;若该才艮文中的Initiator Name、 Initiator MAC 地址、Initiator IP地址、iSCSI接口 IP地址、iSCSI接口 MAC地址与某一条
第一 ACL表项全部匹配,则认为该Initiator为正在进行Target发现过程的 合法Initiator,允许其访问存储系统;若该才艮文中的Initiator Name、 Initiator MAC地址、Initiator IP地址、iSCSI接口 IP地址、iSCSI接口 MAC地址与 某一条第一 ACL表项只有部分匹配,则认为该Initiator为非法Initiator,拒 绝其访问存储系统。
步骤303:访问控制单元侦听到Target发现过程结束,将建立的第一 ACL表项下发到本地配置,使得该第一 ACL表项生效。
步骤304:应用主机从存储系统授权给自身的Target列表中选择一个 Target,作为当前要登录的Target 。
步骤305:应用主机与当前要登录的Target建立TCP/IP连接。
步骤306:应用主机向存储系统发送登录请求才艮文,才艮文中携带Initiator MAC地址、Initiator IP地址和要登录Target IP地址,该报文中的才喿作码指 明当前需要进行安全认证方式协商。
步骤307:访问控制单元侦听到登录请求报文,从报文的PDU部分获 取Initiator MAC地址、Initiator IP地址和Target MAC地址、Target IP地址, 建立第二 ACL表项。
执行本步骤后,第二ACL表项包括Initiator MAC地址、Initiator IP 地址、以及Initiator要登录的Target MAC地址、Target IP地址,且ACL过 滤夫见则为非全部匹配。
这里ACL过滤规则为非全部匹配的含义是只有Initiator在正常会话 过程中发来的报文中的Initiator MAC地址、Initiator IP地址、Target MAC 地址、Target IP地址与某一条第二 ACL表项完全匹配,该Initiator才被认 为是合'法Initiator; 否贝'j , ^人为^i亥Initiator为一^ '法Initiator。
步骤308:访问控制单元侦听到存储系统返回的登录响应净艮文,检测到 该报文携带安全认证方式协商结果,判断该结果是否指示安全认证方式协商 成功,若是,执行步骤310;否则,执行步骤309。
步骤309:访问控制单元根据登录响应报文中携带的Initiator MAC地
址、InitiatorIP地址在自身查找到匹配的第一、第二ACL表项,老化或删除 该第一、第二ACL表项,本流程结束。
步骤310:访问控制单元向应用主机转发登录响应报文。
步骤311:应用主机接收登录响应报文,向存储系统发送登录请求报文, 该报文携带Initiator MAC地址、Initiator IP地址以及要登录的Target IP地 址、Target MAC地址,该报文中的操作码指明当前需要进行操作方式协商。
步骤312:访问控制单元侦听到存储系统返回的登录响应报文,检测到 该报文携带操作方式协商结果,判断该结果是否指示操作方式协商成功,若 是,执行步骤314;否则,执行步骤313。
步骤313:访问控制单元4艮据登录响应4艮文中携带的Initiator MAC地 址、Initiator IP地址,在自身查找到对应的第一、第二ACL表项,老化或删 除该第一、第二ACL表项,本流程结束。
步骤314:访问控制单元根据登录响应报文中携带的Target MAC地址、 Target IP地址、Initiator MAC地址、Initiator IP地址在自身查找到匹配的第 二ACL表项即步骤307中建立的第二 ACL表项,将该第二ACL表项下 发到本地配置,使得第二ACL表项生效,将该登录响应报文转发给应用主 机,应用主机和存储系统之间的会话通道建立。
当第一、第二 ACL表项配置生效后,就可利用第一、第二ACL表项对 Initiator端发来的才艮文进行过滤。
在实际应用中,若要加快ACL过滤速度,第一 ACL表项中也可只包括 Initiator Name、 Initiator MAC地址、Initiator IP地址、iSCSI接口 IP地址、 iSCSI接口 MAC地址中的任意两项或任意三项或任意四项;第二ACL表项 中可只包括Initiator MAC地址、Initiator IP地址、Target MAC地址、Target IP地址中的任意一项或任意两项或任意三项。
图4为本发明实施例提供的利用图3所示实施例中建立的第一 ACL表 项对Initiator的Target发现过程进行访问控制的流程图,如图4所示,其具 体步骤如下
步骤401:访问控制单元侦听到Initiator端在iSCSI Target发现过程中 发来的报文,则从才艮文中获取Initiator Name、 Initiator MAC地址、Initiator IP 地址、iSCSI接口IP地址、iSCSI接口 MAC地址。
步骤402:访问控制单元判断从报文中获取的Initiator Name、 Initiator MAC地址、Initiator IP地址、iSCSI接口IP地址、iSCSI接口 MAC地址是 否与一条第一 ACL表项部分匹配,若是,执行步骤403;否则,执行步骤 404。
若报文中的Initiator Name、 Initiator MAC地址、Initiator IP地址、iSCSI 接口 IP地址、iSCSI接口 MAC地址与访问控制单元上存在的某一条第一 ACL表项部分匹配,则确定该报文为非法Initiator发来的。
步骤403:访问控制单元丟弃报文,本流程结束。
步骤404:访问控制单元根据报文中的Target IP地址将报文转发给存储 系统。
图5为本发明实施例提供的利用建立的ACL表项对Initiator的正常会 话过程进行访问控制的流程图,如图5所示,其具体步骤如下
步骤501:访问控制单元侦听到Initiator端在正常会话过程中发来的报 文,从才艮文中获取Initiator MAC地址、Initiator IP地址、Target MAC地址、 Target IP地址。
本步骤中的报文既可以是消息报文,也可以是数据报文。
步骤502:访问控制单元判断乂人才艮文中获取的Initiator MAC地址、 Initiator IP地址、Target MAC地址、Target IP地址是否与 一条第二 ACL表 项全部匹配,若是,执行步骤504;否则,执行步骤503。
步骤503:访问控制单元丟弃才艮文,本流程结束。
步骤504:访问控制单元才艮据报文中的Target MAC地址、Target IP地 址将纟艮文转发给Target。
在实际应用中,黑客有可能将合法的Initiator Name、 Initiator MAC地 址、Initiator IP地址、甚至Target Name、 Target MAC地址、Target IP地址
信息都盗取到,此时访问控制单元就无法过滤掉黑客发来的携带所盗取的
Initiator信息,或者Initiator和Target信息的报文了 。为了解决该问题,可 以在ACL表项中加入合法的Initiator到Target的路由信息如Initiator发来 的报文在访问控制单元上的入端口 、该入端口所在的VLAN标识、该入端 口所属的网段等信息中的 一种或任意组合,这样访问控制单元在收到报文 时,可将该才艮文中的Initiator Name、 Initiator MAC地址、Initiator IP地址, 或者Initiator MAC地址、Initiator IP地址、Target MAC地址、Target IP地 址信息和该报文的路由信息都进行ACL过滤。由于黑客虽然模拟了合法 Initiator Name、 Initiator MAC地址、Initiator IP地址,但是黑客的真实MAC 地址、IP地址毕竟与合法Initiator MAC地址、Initiator IP地址不同,因此黑 客到Target的路由必然与合法Initiator到Target的路由不同,从而可以将黑 客发来的报文过滤掉。
当数据传输完成时,应用主机会向存储系统发送登录退出请求报文,存 储系统收到该登录退出请求报文后,向应用主机返回登录退出响应报文,访 问控制单元侦听到登录退出响应报文,从报文的PDU部分获取Target MAC 地址、Target IP地址、Initiator MAC地址、Initiator IP地址,老化或删除与 获取的Initiator MAC地址、Initiator IP地址对应的第一 ACL表项,同时, 老化或删除与Target MAC地址、Target IP地址、Initiator MAC地址、Initiator IP地址对应的第二 ACL表项。
图6为本发明实施例提供的iSCSI访问控制单元的结构示意图,如图6 所示,其主要包括ACL建立模块61、 ACL过滤模块62和ACL维护模块 63,其中
ACL建立模块61:在iSCSI会话中,侦听Initiator与Target之间交互 的报文,从报文中获取Initiator信息,或者获取Initiator信息和Initiator登 录的Target信息,建立ACL表项。
在实际应用中,ACL建立模块61可以由第一 ACL建立模块611、第 二 ACL建立模块612和路由侦听模块613,各模块的主要功能如下
第一 ACL建立模块611:侦听到应用主机在iSCSI Target发现过程中向 存储系统发起的登录请求报文,则从报文的PDU部分获取Initiator Name、 Initiator MAC地址、Initiator IP地址、iSCSI接口 IP地址、iSCSI接口 MAC 地址,并建立第一ACL表项。
第二 ACL建立模块612:侦听到携带操作码指示当前需要进行安全认 证方式协商的登录请求报文,从报文的PDU部分获取Initiator MAC地址、 Initiator IP、 Target MAC地址、Target IP地址,并建立第二ACL表项。
路由侦听才莫块613:将Initiator到Target间的^各由信息如Initiator发 来的报文在访问控制单元上的入端口信息、入端口所在VLAN标识、入端 口所属网段信息加入与Initiator MAC地址、Initiator IP地址对应的第 一和第 二 ACL表项。
ACL过滤模块62:侦听到Initiator发来的报文,根据已建立的ACL表 项对4艮文进行过滤。
在实际应用中,ACL过滤模块62可以由第一 ACL过滤模块621和第 二ACL过滤模块622组成,各模块的主要功能如下
第一 ACL过滤模块621:侦听到Initiator在Target发现过程中发来的报 文,从才艮文中获取Initiator Name、 Initiator MAC地址、Initiator IP地址、iSCSI 接口 IP地址、iSCSI接口 MAC地址,判断获取的Initiator Name、 Initiator MAC 地址、Initiator IP地址、iSCSI接口 IP地址、iSCSI接口 MAC地址是否与一 条第一 ACL表项部分匹配,若是,拒绝Initiator访问Targer;否则,允许 Initiator访问Target 。
第二 ACL过滤模块622:侦听到Initiator在正常会话过程中发来的报文, 从报文的PDU部分获取Initiator MAC地址、Initiator IP地址和Target MAC 地址、Target IP地址,判断获取的Initiator MAC地址、Initiator IP地址和 Target MAC地址、Target IP地址是否与 一条第二 ACL表项全部匹配,若是, 允i午Initiator "i方问Target;否则,拒绝Initiator i方问Target。
ACL维护模块63:侦听到Initiator与Target之间的会话结束,删除或老化与Initiator MAC地址、Initiator IP地址对应的ACL表项包括第一 ACL 表项和第二 ACL表项。
本发明实施例还提供了一种网络设备,包括硬件平台以及运行于硬件平 台上的iSCSI访问控制软件,该iSCSI访问控制软件在硬件平台上运行时,控 制该网络设备执行如图3-5所示实施例提供的方法。
以上所述仅为本发明的过程及方法实施例,并不用以限制本发明,凡在 本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在 本发明的保护范围之内。
权利要求
1、一种访问控制方法,用于存储系统与发起端之间的网络设备上或者存储系统前端的网络设备上,其特征在于,该方法包括在因特网小型计算机系统接口iSCSI会话中,侦听发起端与目标端之间交互的报文,根据报文中的发起端信息,或者目标端信息,或者发起端信息和目标端信息,建立用以区分合法与非法发起端的访问控制列表ACL表项,根据建立的ACL表项对发起端进行访问控制。
2、 如权利要求l所述的方法,其特征在于,所述侦听发起端与目标端之间 交互的报文为侦听发起端与目标端在目标端发现过程中交互的报文;所述建立ACL表项包括根据发起端发起的报文中的发起端名称、发起端媒体访问控制MAC地址、 发起端IP地址、iSCSI接口IP地址、iSCSI接口 MAC地址中的至少两项,建 立ACL表项。
3、 如权利要求2所述的方法,其特征在于,所述根据建立的ACL表项对 发起端进行访问控制包括侦听到发起端在目标端发现过程中发来的报文,判 断报文中的发起端名称、发起端MAC地址、发起端IP地址、iSCSI接口IP地 址、iSCSI接口 MAC地址是否与ACL表项部分匹配,若是,拒绝发起端访问 目标端;否则,允许发起端访问目标端。
4、 如权利要求l所述的方法,其特征在于,所述侦听发起端与目标端之间 交互的报文为侦听发起端与目标端在正常会话过程中交互的报文;所述建立ACL表项包括根据发起端发起的报文中的发起端MAC地址、发起端IP地址、目标端 MAC地址、目标端IP地址中的至少一项,建立ACL表项。
5、 如权利要求4所述的方法,其特征在于,所述根据建立的ACL表项对 发起端进行访问控制包括侦听到发起端在正常会话过程中发来的报文,判断 报文中的发起端MAC地址、发起端IP地址、目标端MAC地址、目标端IP地址是否与ACL表项全部匹配,若是,允许发起端访问目标端;否则,拒绝发起 端i方问目标端。
6、 如权利要求1所述的方法,其特征在于,所述建立ACL表项进一步包括将发起端到目标端之间的路由信息加入该已建立的ACL表项中。
7、 如权利要求6所述的方法,其特征在于,所述路由信息为入端口信息、 入端口所在虚拟局域网VLAN信息、入端口所属网段信息中的一种或任意组合。
8、 如权利要求l所述的方法,其特征在于,所述根据建立的ACL表项对 发起端进行访问控制之后进一步包括检测到发起端与目标端之间的会话结束,老化或删除与发起端信息对应的 ACL表项。
9、 一种访问控制单元,位于存储系统与发起端之间的网络设备上或者存储 系统前端的网络设备上,其特征在于,该单元包括访问控制列表ACL建立模块,在因特网小型计算机系统接口 iSCSI会话中, 侦听发起端与目标端之间交互的报文,根据报文中的发起端信息,或者目标端 信息,或者发起端和目标端信息,建立ACL表项;ACL过滤模块,根据建立的ACL表项对发起端进行访问控制。
10、 如权利要求9所述的单元,其特征在于,所述ACL建立模块包括 第一ACL建立模块,侦听到发起端在目标端发现过程中发起的报文,根据报文中的发起端信息,或者目标端信息,或者发起端和目标端信息,建立第一 ACL表项;第二ACL建立模块,侦听到发起端在正常会话过程中发起的报文,根据报 文中的发起端信息,或者目标端信息,或者发起端信息和目标端信息建立第二 ACL表项。
11、 如权利要求9所述的单元,其特征在于,所述ACL建立^t块进一步包括路由侦听模块,将发起端到目标端间的路由信息加入与发起端信息对应的 ACL表项。
12、 如权利要求IO所述的单元,其特征在于,所述ACL过滤模块包括 第一ACL过滤模块,侦听到发起端在目标端发现过程中发起的报文,判断报文中的发起端信息、目标端信息是否与第一ACL表项部分匹配,若是,拒绝 发起端访问目标端;否则,允许发起端访问目标端;第二ACL过滤模块,侦听到发起端在正常会话过程中发起的报文,判断报 文中的发起端信息和目标端信息是否与第二 ACL表项全部匹配,若是,允许发 起端访问目标端;否则,拒绝发起端访问目标端。
13、 如权利要求9所述的单元,其特征在于,所述单元进一步包括ACL 维护模块,侦听到发起端与目标端之间的会话结束,老化或删除与发起端信息 对应的ACL表项。
14、 如权利要求9所述的单元,其特征在于,该单元位于目标端所在存储 系统中的前端交换机上,或者位于目标端所在存储系统接入IP网络的接入设备 上。
15、 如权利要求9所述的单元,其特征在于,所述ACL建立模块进一步包 括将发起端到iSCSI访问控制单元的入端口信息、入端口所在虚拟局域网 VLAN信息、入端口所属网段信息中的一种或任意组合,加入ACL表项中的子 模块。
16、 一种网络设备,其特征在于,包括硬件平台以及运行于硬件平台上 的因特网小型计算机系统接口 iSCSI访问控制软件,该iSCSI访问控制软件在 硬件平台上运行时,控制该网络设备执行如下方法从iSCSI会话双方发起端和目标端交互的报文中获取至少两个标识用以标 示该iSCSI会话;根据上述两个标识建立访问控制列表ACL表项;当发现有新的iSCSI报文到达设备时,根据预定的访问控制策略,利用上 述ACL表项确定该报文是否合法。
17、 如权利要求16所述的网络设备,其特征在于,所述ACL表项包括第一和第二 ACL表项,其中,第一 ACL表项在iSCSI发现过程中建立,第二ACL 表项在正常会话过程中建立。
18、 如权利要求17所述的网络设备,其特征在于,所述第一ACL表项对 应第一访问控制策略,第二 ACL表项对应第二访问控制策略,且第一访问控制 策略、第二访问控制策略不相同。
19、 如权利要求18所述的网络设备,其特征在于,所述第一访问控制策略 为与第一 ACL表项部分匹配则过滤,第二访问控制策略为与第二ACL表 项非全部匹配则过滤。
20、 如权利要求17所述的网络设备,其特征在于,所述第一ACL表项包 括发起端名称、发起端媒体访问控制MAC地址、发起端IP地址、iSCSI接 口IP地址、iSCSI接口 MAC地址中的至少两项;所述第二 ACL表项包括发起端MAC地址、发起端IP地址、目标端MAC 地址、目标端IP地址中的至少一项。
21、 如权利要求20所述的网络设备,其特征在于,所述第一ACL表项和 第二 ACL表项进一步包括发起端到网络设备的入端口信息、入端口所在虚拟 局域网VLAN信息、入端口所属网段信息中的一种或任意组合。
全文摘要
本发明公开了一种访问控制方法、单元及网络设备。方法包括在iSCSI会话中,侦听发起端与目标端之间交互的报文,根据报文中的发起端信息,或者目标端信息,或者发起端和目标端信息,建立ACL表项,根据建立的ACL表项对发起端进行访问控制。本发明避免了非法Initiator对存储系统的恶意攻击,对存储系统中的数据提供了有效保护,提高了存储系统的CPU处理正常存储业务的工作效率。
文档编号H04L12/56GK101188558SQ20071017901
公开日2008年5月28日 申请日期2007年12月7日 优先权日2007年12月7日
发明者万晓兰 申请人:杭州华三通信技术有限公司