专利名称:在网络通信系统中访问控制方法和系统的制作方法
技术领域:
本发明涉及计算机系统领域,尤其涉及一种在网络通信系统中访问控制方法和系 统。
背景技术:
iSCSI (internet Small Computer System Interface,网络小型计算机接口)已 经成为大型企业和中小型企业中的一个流行SAN解决方案。大型企业通常将这些技术应用 于二线和三线数据中心以及大型远程分部。在中小型企业环境中,主数据中心和辅助数据 中心以及大型远程分部通常都会使用iSCSISANs (存储区域网)。iSCSI的另一个主要应用环境是应用服务供应商环境。运行在高性能以太网结构 上的、基于 NFS (Network File System,网络文件系统)的 NAS(Network Attached Storage 网络附属存储)通常为在这个领域占据主流,因为大部分的流量都是基于文件的流量。 iSCSI增加了对受益于SAN的应用软件的无缝支持。现在,由于增加了虚拟服务器软件,这 些应用软件都扩展到云计算环境之中。从当前的应用来看,iSCSI应用主要还是集中在数据中心等前端主机不太多的情 况下。也有一些用户开始将iSCSI协议用于企业数据空间管理和无盘系统。但是此类应 用的客户端数量会以万计算,这就给iSCSI协议支持主机数量和权限管理提出了更高的要 求。gCHAP (Challenge Handshake Authentication Protocol, ^^ 握手认证协议)认证模式时,该CHAP认证在密码选择上提出了很多的要求,要求用户需要 设置两个密码,以用于双向通信,而且每个密码的长度都是有限制的,用户需要记忆较长的 密码,一旦记错,就无法使用存储资源,给使用带来不便;如果用户不是专业的数据管理员, 而是普通职员的话,很可能为了记忆方便将密码设置相对简单,甚至不设密码,会因为密码 的安全级别过低导致信息外泄的问题,降低了存储系统的安全性。由上可以看出,存储系统中对用户身份认证不合理的问题,具体为用户输入的密 码过长,会使用户登录变复杂;用户输入的密码简单,存在信息外泄的隐患。
发明内容
本发明提供一种在网络通信系统中访问控制方法和系统,解决现有技术中密码验 证不合理的问题。为解决上述技术问题,本发明提供了如下技术方案一种在网络通信系统中访问控制方法,包括在当检测到用户需要访问服务器时,客户端采用预先设置的自身的身份信息向所 述服务器发起访问请求;所述服务器从预先记录的身份信息中,查找是否有该客户端的身份信息,并根据 查找结果,对使用该客户端的用户进行访问控制。
4
进一步的,所述方法还具有如下特点所述客户端采用预先设置的自身的身份信 息向所述服务器发起访问请求之前,还包括所述客户端根据预先设置的生成策略,生成自身的身份信息,并将生成的身份信 息通知给所述服务器。进一步的,所述方法还具有如下特点所述客户端的身份信息是根据自身硬件的配置描述信息确定的,其中所述自身硬 件的配置描述信息包括个人计算机的CPU、硬盘、内存、主板和网卡的序列号中至少一个。进一步的,所述方法还具有如下特点所述服务器根据查找结果,对使用该客户端 的用户进行访问控制,包括如果查找到,则根据预先设置的该客户端的身份信息与访问权限的对应关系,为 使用该客户端的用户提供该客户端身份信息所对应的访问权限。进一步的,所述方法还具有如下特点如果所述客户端有至少两个访问权限不同的用户,则在向所述服务器发送所述访 问请求时,所述客户端还向所述服务器通知所述用户的身份信息;所述目标端根据客户端的身份信息确定该客户端的身份信息对应的全部访问权 限,再根据预先记录的该用户的身份信息以该客户端访问时所对应的访问权限,从该全部 访问权限中确定该用户的身份信息对应的最终访问权限,并根据所述最终访问权限为所述 用户提供服务。一种在网络通信系统中访问控制系统,包括客户端和服务器,其中所述客户端,用于在当检测到用户需要访问所述服务器时,采用预先设置的自身 的身份信息向所述服务器发起访问请求;所述服务器,用于从预先记录的身份信息中,查找是否有该客户端的身份信息,并 根据查找结果,对使用该客户端的用户进行访问控制。进一步的,所述系统还具有如下特点所述客户端还包括生成模块,用于在采用预先设置的自身的身份信息向所述服务器发起访问请求之 前,根据预先设置的生成策略,生成自身的身份信息;通知模块,用于将生成的身份信息通知给所述服务器。进一步的,所述系统还具有如下特点所述客户端的身份信息是根据自身硬件的配置描述信息确定的,其中所述自身硬 件的配置描述信息包括个人计算机的CPU、硬盘、内存、主板和网卡的序列号中至少一个。进一步的,所述系统还具有如下特点所述服务器包括查找模块,用于从预先记录的身份信息中,查找是否有该客户端的身份信息;控制模块,用于如果查找到,根据预先设置的该客户端的身份信息与访问权限的 对应关系,为使用该客户端的用户提供该客户端身份信息所对应的访问权限。进一步的,所述系统还具有如下特点所述客户端,还用于在本地有至少两个访问权限不同的用户,在向所述服务器发 送所述访问请求时,还向所述服务器通知所述用户的身份信息;所述服务器,还用于根据客户端的身份信息确定该客户端的身份信息对应的全部 访问权限,再根据预先记录的该用户的身份信息以该客户端访问时所对应的访问权限,从
5该全部访问权限中确定该用户的身份信息对应的最终访问权限,并根据所述最终访问权限 为所述用户提供服务。本发明提供的技术方案,采用客户端的身份信息进行身份认证,达到身份认证的 目的,且无需用户输入较长的密码,使用客户端的身份信息自动完成身份认证,降低用户的 操作压力。
图1为本发明提供的一种在网络通信系统中访问控制系统的结构示意图;图2为图1所示系统实施例中客户端11的结构示意图;图3为图1所示系统实施例中服务器12的结构示意图;图4为本发明提供的一种在网络通信系统中访问控制方法实施例的流程示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对 本发明作进一步的详细描述。图1为本发明提供的一种在网络通信系统中访问控制系统的结构示意图。图1所 示系统包括客户端11和服务器12,其中所述客户端11,用于在当检测到用户需要访问所述服务器12时,采用预先设置的 自身的身份信息向所述服务器12发起访问请求;所述服务器12,用于从预先记录的身份信息中,查找是否有该客户端11的身份信 息,并根据查找结果,对使用该客户端11的用户进行访问控制。图2为图1所示系统实施例中客户端11的结构示意图。图2所示客户端11还包 括生成模块111和通信模块112,其中所述生成模块,用于在采用预先设置的自身的身份信息向所述服务器发起访问请 求之前,根据预先设置的生成策略,生成自身的身份信息;通知模块,用于将生成的身份信息通知给所述服务器。同理,如果是服务器为每个客户端生成了该客户端的身份信息,则服务器会将生 成的身份信息发送给对应的客户端。所述客户端的身份信息是根据自身硬件的配置描述信息确定的,其中所述自身硬 件的配置描述信息包括客户端的CPU、硬盘、内存、主板和网卡的序列号中至少一个。例如,预先设置一个计算表达式,将一个或多个硬件描述信息中的数字和字母代 入该计算表达式得到一段代码,将该代码作为客户端的身份信息。还可以其他算法,如散列 算法,从所提供的信息序列中选取编码来构成身份信息。由于任意两个个人计算机的硬件描述信息都是互异的,所以如果采用同一种计算 表达式且相同硬件的配置描述信息计算的结果是两两互异的,都能够清楚的区分不同的客 户端。无需在增加硬件来生成用于计算身份信息的信息序列了,节省了硬件的成本。其中采用客户端生成自身的身份信息,流程简单,即无需向服务器上报自身的硬 件配置描述信息,而采用服务器生成客户端的身份信息,便于目标端的主动管理。服务器12在该个人计算机的身份信息时,如果查找到,则确定该用户的认证通过,该用户为合法用户,允许为该用户提供存储资源;否则确定后该用户的认证不通过,该 用户为非法用户,拒绝为该用户提供存储资源。图3为图1所示系统实施例中服务器12的结构示意图。图3所示目标端包括查 找模块121和控制模块122,其中查找模块121,用于从预先记录的身份信息中,查找是否有该客户端11的身份信 息;控制模块122,用于如果查找到,根据预先设置的该客户端11的身份信息与访问 权限的对应关系,为使用该客户端11的用户提供该客户端11身份信息所对应的访问权限。其中访问权限可以用存储空间的地址范围来标识或系统中其他划分地址后配置 的地址标识来标记,当然也可以用允许访问的文件名来标识。通常情况下,每个客户端的使用用户通常固定为一人,所以只要服务器将该客户 端的身份信息与使用该客户端的用户的访问权限建立对应关系即可,而当个人计算机有至 少两个访问权限不同的用户时,为了明确区分用户的访问权限,需要进行如下处理所述客户端,还用于在本地有至少两个访问权限不同的用户,在向所述服务器发 送所述访问请求时,还向所述服务器通知所述用户的身份信息;所述服务器,还用于根据客户端的身份信息确定该客户端的身份信息对应的全部 访问权限,再根据预先记录的该用户的身份信息以该客户端访问时所对应的访问权限,从 该全部访问权限中确定该用户的身份信息对应的最终访问权限,并根据所述最终访问权限 为所述用户提供服务。在本实施例中,客户端通过自身的身份信息代替现有技术中用户输入的身份信 息,与服务器完成身份认证,使得在客户端通过身份验证后,用户即可成功访问,无需用户 记忆访问目标端的身份验证信息,自动完成身份认证,实现快速访问用户自身的存储资源。其中上述访问控制系统可以具体应用于存储系统中,在存储系统中,客户端为个 人计算机,服务器为存储装置。当然,也可以为其他通信系统,即网络的通信方式采用服务 器-客户端的方式,且客户端的使用为专人专机的方式,即每台客户端所使用的用户是固 定的,如公司内的PC机等,例如应用在邮箱登陆系统、论坛登陆系统的场景。本发明提供的系统实施例,采用客户端的身份信息进行身份认证,达到身份认证 的目的,且无需用户输入较长的密码,使用客户端的身份信息自动完成身份认证,降低用户 的操作压力。图4为本发明提供的一种在网络通信系统中访问控制方法实施例的流程示意图。 结合图1 3所示的系统实施例,图4所示方法实施例包括步骤401、在当检测到用户需要访问服务器时,客户端采用预先设置的自身的身份 信息向所述服务器发起访问请求;步骤402、所述服务器从预先记录的身份信息中,查找是否有该客户端的身份信 息;步骤403、所述服务器根据查找结果,对使用该客户端的用户进行访问控制。下面对本发明提供的方法实施例作进一步介绍其中在步骤401之前,所述方法还包括如下步骤所述客户端根据预先设置的生成策略,生成自身的身份信息,并将生成的身份信息通知给所述服务器。进一步的,所述客户端的身份信息是根据自身硬件的配置描述信息确定的,其中 所述自身硬件的配置描述信息包括个人计算机的CPU、硬盘、内存、主板和网卡的序列号中 至少一个。其中步骤403具体包括如果查找到,则根据预先设置的该客户端的身份信息与访问权限的对应关系,为 使用该客户端的用户提供该客户端身份信息所对应的访问权限。进一步的,所述方法还包括如果所述客户端有至少两个访问权限不同的用户,则在向所述服务器发送所述访 问请求时,所述客户端还向所述服务器通知所述用户的身份信息;所述目标端根据客户端的身份信息确定该客户端的身份信息对应的全部访问权 限,再根据预先记录的该用户的身份信息以该客户端访问时所对应的访问权限,从该全部 访问权限中确定该用户的身份信息对应的最终访问权限,并根据所述最终访问权限为所述 用户提供服务。其中上述访问控制方法可以具体应用于存储系统中,在存储系统中,客户端为个 人计算机,服务器为存储装置。当然,也可以为其他通信系统,即网络的通信方式采用服务 器-客户端的方式,且客户端的使用为专人专机的方式,即每台客户端所使用的用户是固 定的,如公司内的PC机等,例如应用在邮箱登陆系统、论坛登陆系统的场景。本发明提供的方法实施例,采用客户端的身份信息进行身份认证,达到身份认证 的目的,且无需用户输入较长的密码,使用客户端的身份信息自动完成身份认证,降低用户 的操作压力。本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程 序流程来实现,所述计算机程序可以存储于一计算机可读存储介质中,所述计算机程序在 相应的硬件平台上(如系统、设备、装置、器件等)执行,在执行时,包括方法实施例的步骤 之一或其组合。可选地,上述实施例的全部或部分步骤也可以使用集成电路来实现,这些步骤可 以被分别制作成一个个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电 路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现, 它们可以集中在单个的计算装置上,也可以分布在多个计算装置所组成的网络上。上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为 独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。上述提到的计算机 可读取存储介质可以是只读存储器,磁盘或光盘等。以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何 熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵 盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。
权利要求
一种在网络通信系统中访问控制方法,其特征在于,包括在当检测到用户需要访问服务器时,客户端采用预先设置的自身的身份信息向所述服务器发起访问请求;所述服务器从预先记录的身份信息中,查找是否有该客户端的身份信息,并根据查找结果,对使用该客户端的用户进行访问控制。
2.根据权利要求1所述的方法,其特征在于,所述客户端采用预先设置的自身的身份 信息向所述服务器发起访问请求之前,还包括所述客户端根据预先设置的生成策略,生成自身的身份信息,并将生成的身份信息通 知给所述服务器。
3.根据权利要求1或2所述的方法,其特征在于,所述客户端的身份信息是根据自身硬件的配置描述信息确定的,其中所述自身硬件的 配置描述信息包括个人计算机的CPU、硬盘、内存、主板和网卡的序列号中至少一个。
4.根据权利要求1所述的方法,其特征在于,所述服务器根据查找结果,对使用该客户 端的用户进行访问控制,包括如果查找到,则根据预先设置的该客户端的身份信息与访问权限的对应关系,为使用 该客户端的用户提供该客户端身份信息所对应的访问权限。
5.根据权利要求4所述的方法,其特征在于,如果所述客户端有至少两个访问权限不同的用户,则在向所述服务器发送所述访问请 求时,所述客户端还向所述服务器通知所述用户的身份信息;所述目标端根据客户端的身份信息确定该客户端的身份信息对应的全部访问权限,再 根据预先记录的该用户的身份信息以该客户端访问时所对应的访问权限,从该全部访问权 限中确定该用户的身份信息对应的最终访问权限,并根据所述最终访问权限为所述用户提 供服务。
6.一种在网络通信系统中访问控制系统,其特征在于,包括客户端和服务器,其中所述客户端,用于在当检测到用户需要访问所述服务器时,采用预先设置的自身的身 份信息向所述服务器发起访问请求;所述服务器,用于从预先记录的身份信息中,查找是否有该客户端的身份信息,并根据 查找结果,对使用该客户端的用户进行访问控制。
7.根据权利要求6所述的系统,其特征在于,所述客户端还包括生成模块,用于在采用预先设置的自身的身份信息向所述服务器发起访问请求之前, 根据预先设置的生成策略,生成自身的身份信息;通知模块,用于将生成的身份信息通知给所述服务器。
8.根据权利要求6或7所述的系统,其特征在于所述客户端的身份信息是根据自身硬件的配置描述信息确定的,其中所述自身硬件的 配置描述信息包括个人计算机的CPU、硬盘、内存、主板和网卡的序列号中至少一个。
9.根据权利要求6所述的系统,其特征在于,所述服务器包括查找模块,用于从预先记录的身份信息中,查找是否有该客户端的身份信息;控制模块,用于如果查找到,根据预先设置的该客户端的身份信息与访问权限的对应 关系,为使用该客户端的用户提供该客户端身份信息所对应的访问权限。
10.根据权利要求9所述的系统,其特征在于,所述客户端,还用于在本地有至少两个访问权限不同的用户,在向所述服务器发送所 述访问请求时,还向所述服务器通知所述用户的身份信息;所述服务器,还用于根据客户端的身份信息确定该客户端的身份信息对应的全部访问 权限,再根据预先记录的该用户的身份信息以该客户端访问时所对应的访问权限,从该全 部访问权限中确定该用户的身份信息对应的最终访问权限,并根据所述最终访问权限为所 述用户提供服务。
全文摘要
本发明提供一种在网络通信系统中访问控制方法和系统,解决现有技术中密码验证不合理的问题。所述方法,包括在当检测到用户需要访问服务器时,客户端采用预先设置的自身的身份信息向所述服务器发起访问请求;所述服务器从预先记录的身份信息中,查找是否有该客户端的身份信息,并根据查找结果,对使用该客户端的用户进行访问控制。本发明提供的技术方案可应用于存储资源的访问控制。
文档编号H04L29/06GK101917438SQ20101026060
公开日2010年12月15日 申请日期2010年8月23日 优先权日2010年8月23日
发明者吴庆民, 张会健 申请人:浪潮(北京)电子信息产业有限公司