专利名称:一种针对云存储系统的授权及管理方法
技术领域:
本方法应用于云存储系统,针对涉及云存储系统远程管理的安全性和商用云存储系统的用户授权。
背景技术:
企业数据的急剧膨胀使海量存储面临严峻的挑战,对于各类行业的企业用户而言,爆炸性增长的海量数据,对于存储系统的容量、可靠性等提出了更高的要求。传统的存储构架扩展性较差,其过于复杂的存储构架和备份方法难以满足用户日渐增长的数据管理和容灾需求。现在,云存储作为新兴的技术理念,给存储业带来了深远影响。云存储系统是一个能够提供海量存储空间,并支持灵活扩展、高性能访问的文件共享存储平台。商用云存储系统以其稳定和易维护必将成为用户的首选。云存储系统配置根据用户的需要可能会经常发生变化,而且系统的管理人员也不像传统系统那样局限于特定的地点,远程、异地的管理成为一种常态,而这种管理方式下管理的安全性变得十分重要,尤其是对提供公共云存储业务的系统而言,如何进行安全而灵活的管理显得尤为重要。同时,商业存储系统通常以容量大小、节点数量等计价,目前多通过软license的系统授权方式实现容量及节点控制,这种方式比较容易破解,对于昂贵的云存储系统来说, 这是不可接受的。
发明内容
本发明的目的是提供一种针对云存储系统的授权及管理方法。本发明的目的是按以下方式实现的,鉴于现有技术中存在的以上问题,本方法使用独立的授权管理设备以及相应的系统软件模块来实现系统的授权管理并用来保证系统远程管理的安全性。针对云存储系统的授权及管理方法,包括授权认证模块和独立的授权管理设备, 授权认证模块内嵌在云存储系统中,以保证外部的授权设备与云存储系统的任一节点能够实施安全接入并进行相关权限的认证;云存储系统中设置独立的授权管理设备,将该授权管理设备接入系统节点或系统管理节点后,通过认证实现对系统构建规模的授权管理和系统管理时的安全性;
云存储系统内嵌的授权认证模块是云存储系统授权及管理的核心,内容包括
授权认证模块以本地及远程的方式与外部的授权管理设备建立连接,并进行权限认证,授权认证模块所进行的权限认证包括系统的授权管理权限和系统的接入管理权限; 系统的授权管理权限包括前期系统规模的授权及后期扩容授权的管理;系统的接入管理权限是对接入系统用户的权限管理;授授权认证模块分主模块和子模块,都内置于系统中,主模块安装在云存储系统的主节点服务器上,子模块安装在云存储系统的其他节点服务器上,主模块中预置与授权管理设备对应的密钥,用于授权设备的认证;
独立的授权管理设备以云存储系统支持的接口方式与系统建立连接,包括USB、蓝牙、 IS0-7816 接口方式;
独立的授权管理设备支持主流的对称算法和非对称算法的加解密,保证加解密的过程不被监测,保证授权过程难以破解;
独立的授权管理设备设置有非易失性安全介质,用于存储相应的系统授权信息以及签名/验签的密钥;
独立的授权管理设备的非易失性安全介质中存有该系统的授权信息,包括与授权认证模块对应的密钥、系统规模上限信息以及口令认证信息;
在进行系统的构建和升级时只能使用本地方式,授权管理设备与云存储系统的任一节点连接,授权认证模块通过系统各节点上的子模块查询是否有授权管理设备接入云存储系统,如果有,授权认证模块会提取系统中的相关硬件信息并发送给授权管理设备,授权管理设备将硬件信息与存储的系统上限信息拼接加密后返回给授权认证模块,授权认证模块解密信息后,比较硬件信息并从中获取相关的系统信息,根据硬件信息的比较结果将系统信息应用于云存储系统;否则,系统将无法构建或升级。本发明的优异效果是在将独立的授权管理设备接入到系统节点或系统远程管理节点,通过与系统的授权认证模块进行认证后,一方面可以使用户获取系统的安全管理权限,对系统接入用户的使用权限进行管理,保证远程管理的安全性,另一方面可以根据设备中相应的授权信息构建用户的云存储系统或者对系统进行升级扩容。
图1是云存储系统与独立的授权管理设备间的连接方式图; 图2是系统构建流程图3是系统本地管理平台验证流程图; 图4是系统远程管理平台验证流程图。
具体实施例方式参照附图对本法的方法作以下详细的说明
该方法涉及两个不可分割的两个部分系统的授权认证模块和独立的授权管理设备, 其中
1)系统的授权认证模块
该模块使独立授权管理设备可以与云存储系统任一节点的安全接入,包括存储系统的内部节点和系统的管理平台节点,实现系统的权限认证并保证本地及远程管理时的安全;
该模块所进行的权限认证包括系统的授权管理权限和系统的接入管理权限;系统的授权管理权限包括系统构建时系统规模(容量大小、节点数量)的授权和系统升级时系统扩容能力的授权;系统的接入管理权限是在系统使用时管理接入用户的权限,在验证管理平台的有效性,可以对接入系统的用户进行管理,而且管理平台与系统间通过密文方式通信,从而保证了远程管理时的安全性。2)独立的授权管理设备
该设备可以以云存储系统支持的接口方式与系统建立连接,如USB、蓝牙、WIFI、 IS0-7816等接口方式;
该设备支持主流的对称算法和非对称算法的加解密,保证加解密的过程不被监测,保证授权过程难以破解。该设备有非易失性安全介质,用于存储相应系统信息以及签名/验签的密钥;任何与系统连接的计算机在连接该设备并通过口令认证后都可以成为系统的管理平台。系统的授权认证模块分主模块和子模块,都内置于系统中,主模块安装在云存储系统的主节点服务器上,子模块安装在云存储系统的其他节点服务器上。主模块中预置与授权管理设备对应的密钥,用于授权设备的认证。独立的授权管理设备的非易失性安全介质中存有该系统的授权信息,包括与授权认证模块对应的密钥、系统规模上限信息以及口令认证信息等。图1中的小虚线显示了独立的授权管理设备与云存储系统可能的连接方式。图2显示了系统的构建流程。在进行系统的构建和升级时只能使用本地方式,授权管理设备与云存储系统的任一节点连接。授权认证模块通过系统各节点上的子模块查询是否有授权管理设备接入云存储系统。如果有,授权认证模块会提取系统中的相关硬件信息并发送给授权管理设备,授权管理设备将硬件信息与存储的系统上限信息拼接加密后返回给授权认证模块,授权认证模块解密信息后,比较硬件信息并从中获取相关的系统信息, 根据硬件信息的比较结果将系统信息应用于云存储系统;否则,系统将无法构建或升级。图3是本地管理时系统管理平台验证流程。此时授权管理设备直接接在云存储系统上,这种情况下,只需要授权管理设备通过授权认证模块的认证,管理平台就能够对系统进行管理和相关设置,认证过程与系统构建时基本相同。图4显示了远程管理时系统管理平台验证流程。此时授权管理设备与管理平台所在的机器连接,机器要与云存储系统建立连接。首先,管理平台要进行授权管理设备的口令认证,通过后管理平台连接云存储系统;建立连接后授权管理设备通过授权认证模块的认证,认证通过后,管理平台接入系统,授权管理设备与授权认证模块进行密钥交互过程; 最后管理平台与云存储系统的通信都采用密文的方式进行,这样就保证了远程管理的安全性。
权利要求
1. 一种针对云存储系统的授权及管理方法,其特征在于包括授权认证模块和独立的授权管理设备,授权认证模块内嵌在云存储系统中,以保证外部的授权设备与云存储系统的任一节点能够实施安全接入并进行相关权限的认证;云存储系统中设置独立的授权管理设备,将该授权管理设备接入系统节点或系统管理节点后,通过认证实现对系统构建规模的授权管理和系统管理时的安全性;云存储系统内嵌的授权认证模块是云存储系统授权及管理的核心,内容包括 授权认证模块以本地及远程的方式与外部的授权管理设备建立连接,并进行权限认证,授权认证模块所进行的权限认证包括系统的授权管理权限和系统的接入管理权限; 系统的授权管理权限包括前期系统规模的授权及后期扩容授权的管理;系统的接入管理权限是对接入系统用户的权限管理;授授权认证模块分主模块和子模块,都内置于系统中,主模块安装在云存储系统的主节点服务器上,子模块安装在云存储系统的其他节点服务器上,主模块中预置与授权管理设备对应的密钥,用于授权设备的认证;独立的授权管理设备以云存储系统支持的接口方式与系统建立连接,包括USB、蓝牙、 IS0-7816 接口方式;独立的授权管理设备支持主流的对称算法和非对称算法的加解密,保证加解密的过程不被监测,保证授权过程难以破解;独立的授权管理设备设置有非易失性安全介质,用于存储相应的系统授权信息以及签名/验签的密钥;独立的授权管理设备的非易失性安全介质中存有该系统的授权信息,包括与授权认证模块对应的密钥、系统规模上限信息以及口令认证信息;在进行系统的构建和升级时只能使用本地方式,授权管理设备与云存储系统的任一节点连接,授权认证模块通过系统各节点上的子模块查询是否有授权管理设备接入云存储系统,如果有,授权认证模块会提取系统中的相关硬件信息并发送给授权管理设备,授权管理设备将硬件信息与存储的系统上限信息拼接加密后返回给授权认证模块,授权认证模块解密信息后,比较硬件信息并从中获取相关的系统信息,根据硬件信息的比较结果将系统信息应用于云存储系统;否则,系统将无法构建或升级。
全文摘要
一种针对云存储系统的授权及管理方法,包括授权认证模块和独立的授权管理设备,授权认证模块内嵌在云存储系统中,以保证外部的授权设备与云存储系统的任一节点能够实施安全接入并进行相关权限的认证;云存储系统中设置独立的授权管理设备,在将独立的授权管理设备接入到系统节点或系统远程管理节点后,通过与系统的授权认证模块进行认证后,一方面可以使用户获取系统的安全管理权限,对系统接入用户的使用权限进行管理,保证远程管理的安全性,另一方面可以根据设备中相应的授权信息构建用户的云存储系统或者对系统进行升级扩容。
文档编号H04L29/06GK102170452SQ20111012994
公开日2011年8月31日 申请日期2011年5月19日 优先权日2011年5月19日
发明者张在贵, 张立强 申请人:浪潮电子信息产业股份有限公司