一种面向多数据中心的安全体系实现方法
【专利摘要】本发明公开了一种面向多数据中心的安全体系实现方法,包括如下步骤:于每个数据中心安装一个管理服务器,多个数据中心之间的管理服务器通过管理网络进行互联;按照一定的逻辑关系将系统划分为复数个问题域,每个问题域中会包含多个对象,对象与对象之间相互作用,有机结合;用户在客户端发起存储对象操作请求,HTTPClient发送请求给管理服务器,管理服务器接收信息并CIM-XML解码;进行安全机制验证以及用户权限验证。本发明面向多数据中心的安全体系对整个存储网络进行统一的安全管理,实现对所有节点状态和节点存储对象状态信息的安全保证,能够保证多元化环境的数据安全,以及实现用户方便管理。
【专利说明】一种面向多数据中心的安全体系实现方法
【技术领域】
[0001] 本发明属于计算机【技术领域】,涉及一种面向多数据中心的安全体系实现方法。
【背景技术】
[0002] 计算机及性领域中,科学计算领域中的科学数据呈现爆炸式增长,未来的科学计 算将以数据为中心,海量的科学数据分布在各种自治管理域中的异构存储资源上,使得用 户对这些科学数据的访问变得非常复杂、低效,所以必须为用户提供行之有效的方法,实现 方便、高效、透明、统一的数据访问。
[0003] 面向多数据中心的安全体系是要对多个数据中心的数据存储实现统一管理并且 保证数据安全。客户数据中心现在以及未来均将呈现出存储系统的多元化趋势,多元化包 括存储设备的多元化、存储网络的多元化、数据类型的多元化等。为了对多元化的环境进行 数据安全保证及实现用户方便管理,需要对此进行研究,以提供一种方案,以保证多元化环 境的数据安全,并保证用户方便管理。
【发明内容】
[0004] 为解决上述问题,本发明的目的在于提供一种面向多数据中心的安全体系实现方 法,以保证多元化环境的数据安全,以及实现用户方便管理。
[0005] 为实现上述目的,本发明的技术方案为: 一种面向多数据中心的安全体系实现方法,包括如下步骤: 于每个数据中心安装一个管理服务器,多个数据中心之间的管理服务器通过管理网络 进行互联; 按照一定的逻辑关系将系统划分为复数个问题域,每个问题域中会包含多个对象,对 象与对象之间相互作用,有机结合; 用户在客户端发起存储对象操作请求,HTTP Client发送请求给管理服务器,管理服务 器接收信息并CIM-XML解码; 进行安全机制验证以及用户权限验证。
[0006] 进一步地,所述进行安全机制验证以及用户权限验证具体包括有以下步骤: 面向多数据中心的安全体系的安全认证; 面向多数据中心的授权; 面向多数据中心的通信安全。
[0007] 进一步地,所述面向多数据中心的授权过程是指对用户进行某项操作的权限授予 过程。
[0008] 进一步地,所述面向多数据中心的授权过程具体包括: a) 资源对象的授权: b) 命令授权。
[0009] 进一步地,在面向多数据中心的安全体系中存在着本地用户和远程用户;其中,本 地用户和远程用户采用的是服务器端对客户端进行的认证方式。
[0010] 相较于现有技术,本发明一种面向多数据中心的安全体系实现方法面向多数据中 心的安全体系对整个存储网络进行统一的安全管理,实现对所有节点状态和节点存储对象 状态信息的安全保证,能够保证多元化环境的数据安全,以及实现用户方便管理。
【专利附图】
【附图说明】
[0011] 图1是本发明的流程图示。
[0012] 图2是本发明的数据流程图示。
[0013] 图3是本发明数据传输示意图。
[0014] 图4是本发明问题域划分示意图。
【具体实施方式】
[0015] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对 本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并 不用于限定本发明。
[0016] 本发明一种面向多数据中心的安全体系实现方法采用面向对象的设计思想,将存 储环境理解成是由大量的对象组成,这些对象即是多数据中心统一存储管理软件需要元 素。面向多数据中心的安全体系是对对象本身及对象与对象之间的关系的安全管理,从而 实现整个存储环境的安全体系管理。
[0017] 参照图1所示,本发明一种面向多数据中心的安全体系实现方法包括如下步骤: 于每个数据中心安装一个管理服务器,多个数据中心之间的管理服务器通过管理网络 进行互联;本发明实施例中,管理服务器在整个管理体系部署中是对等的。
[0018] 按照一定的逻辑关系将系统划分为复数个问题域,每个问题域中会包含多个对 象,对象与对象之间相互作用,有机结合;具体地,将系统按照技术、应用范围等逻辑将系统 划分为若干个问题域。存储环境中可以将对象分为与存储架构相关的、与存储介质相关的、 与设备相关的等。
[0019] 用户在客户端发起存储对象操作请求,HTTP Client发送请求给管理服务器,管理 服务器接收信息并CIM-XML解码。
[0020] 进行安全机制验证以及用户权限验证; 判断操作节点是否为本分中心节点,如果不是,则发送操作请求到其他中心管理服务 器上;如果是,则判断本分中心节点是否是对数据库信息获取;(按获取位置分为数据库获 取和终端获取);如果终端获取需要判断要操作节点的型号,根据型号来决定和该存储节 点的连接交互方式; 被管理对象层整理返回结果,管理服务器CM-XML层封装结果并返回到客户端;客户 端接收到CIM-XML数据,解析后获取相关数据。
[0021] 本发明实施例中,所述进行安全机制验证以及用户权限验证具体包括有以下步 骤: 面向多数据中心的安全体系的安全认证; 面向多数据中心的授权; 面向多数据中心的通信安全。
[0022] 具体地,面向多数据中心的安全体系的安全认证过程如下: 认证是在允许用户访问系统之前对用户进行的身份合法性验证的过程,在面向多数据 中心的安全体系中存在着本地用户和远程用户。本地用户和远程用户采用的是服务器端对 客户端进行的认证方式。对于客户端,也可以对服务器端的合法性进行验证,以此来提高数 据的安全性。
[0023] 针对本地用户认证,其采用本地认证的方式。本地认证是基于系统内连接,不经过 网络端口,建立连接时所使用的是进程间的套接字。这种连接虽然使用HTTP基本认证机 制,即使用用户名和密码来验证,但此时用户已经登录于系统之上了,因此不再需要提供密 码,减少了密码被盗取的危险。存储管理服务器端接受系统本身在用户登录时已经做过的 认证结果。因此,在本地客户端的请求中仅包含用户的登录名,而不包括相应的口令,存储 管理服务器端使用客户端所在进程所关联的用户名。
[0024] 针对远程用户认证,需要通过网络,经HTTP或者HTTPS端口来进行访问。服务器 端会通过用户的请求以及本身的配置来选择使用相应的认证方式。HTTP端口只能选择使用 基本认证,而HTTPS端口对基本认证和证书认证方式都适用。
[0025] 而针对客户端认证,客户端可以通过服务器端的证书对其身份进行认证。在建立 客户端连接时,可以包含有一个信任库以及一个有效的认证回调函数,是客户具有验证服 务器端的能力。如果服务器端的证书过期或是不在客户端的信任库中,连接便会被中止。月艮 务器端证书过期,可以通过删除证书再重启的方式,这样相应的便会生成一个新的证书。
[0026] 面向多数据中心的授权过程是指对用户进行某项操作的权限授予过程。为了数 据安全的保障,当访问系统资源对象以及运行命令的时候都会涉及到用户权限的授予与检 查。具体包括: a) 资源对象的授权: 存储管理系统中的资源对象分为静态资源和动态资源。静态资源存储在资源库中,采 用访问控制的原理来进行管理静态资源。而对动态资源的访问,首先确定客户端用户是否 有权限执行它所请求的操作,服务端通过请求者、指定用户、特权用户、服务端所在用户的 管理加强对系统资源的管理; b) 命令授权; 存储管理系统中的大部分命令都是以客户端的形式,通过与服务器端建立本地连接进 行通信。这类命令首先需通过本地认证,然后向服务器端发送请求。在这种情况下,通过对 客户端进行一定的授权检查,看客户端用户是否具有某种特殊权限,从而提高系统的安全 性。
[0027] 面向多数据中心的通信安全有三种方式:对称密钥的加密方式,公钥加密,协商加 密方式。存储管理系统中,采用基于SSL的数据传输方式。对于客户端主动请求以及服务 器端的事件机制均支持这种传输方式。
[0028] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精 神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
【权利要求】
1. 一种面向多数据中心的安全体系实现方法,其特征在于,包括如下步骤: 于每个数据中心安装一个管理服务器,多个数据中心之间的管理服务器通过管理网络 进行互联; 按照一定的逻辑关系将系统划分为复数个问题域,每个问题域中会包含多个对象,对 象与对象之间相互作用,有机结合; 用户在客户端发起存储对象操作请求,HTTP Client发送请求给管理服务器,管理服务 器接收信息并CIM-XML解码; 进行安全机制验证以及用户权限验证。
2. 如权利要求1所述面向多数据中心的安全体系实现方法,其特征在于,所述进行安 全机制验证以及用户权限验证具体包括有以下步骤: 面向多数据中心的安全体系的安全认证; 面向多数据中心的授权; 面向多数据中心的通信安全。
3. 如权利要求2所述面向多数据中心的安全体系实现方法,其特征在于,所述面向多 数据中心的授权过程是指对用户进行某项操作的权限授予过程。
4. 如权利要求3所述面向多数据中心的安全体系实现方法,其特征在于,所述面向多 数据中心的授权过程具体包括: a) 资源对象的授权: b) 命令授权。
5. 如权利要求4所述面向多数据中心的安全体系实现方法,其特征在于:在面向多数 据中心的安全体系中存在着本地用户和远程用户;其中,本地用户和远程用户采用的是服 务器端对客户端进行的认证方式。
【文档编号】H04L29/08GK104104683SQ201410349288
【公开日】2014年10月15日 申请日期:2014年7月22日 优先权日:2014年7月22日
【发明者】刘变红, 袁鹏飞, 吴庆民 申请人:浪潮电子信息产业股份有限公司