《一种存储系统访问控制方法.pdf》由会员分享,可在线阅读,更多相关《一种存储系统访问控制方法.pdf(5页完整版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 103607450 A (43)申请公布日 2014.02.26 CN 103607450 A (21)申请号 201310582276.0 (22)申请日 2013.11.20 H04L 29/08(2006.01) H04L 29/06(2006.01) H04L 9/32(2006.01) G06F 21/62(2013.01) (71)申请人 浪潮电子信息产业股份有限公司 地址 250014 山东省济南市高新区舜雅路 1036 号 (72)发明人 张延枫 张宇 (54) 发明名称 一种存储系统访问控制方法 (57) 摘要 本发明提供一种存储系统访问控制方法, 。
2、其 具体实现过程为 : 设置三层构架, 即上层、 中层和 下层, 下层通过虚拟化模块完成物理存储设备的 同一虚拟化, 得虚拟存储空间, 然后将虚拟存储空 间映射给中层, 中层通过 LUN 隔离模块将 LUN 映 射不同的区域, 该一种存储系统访问控制方法和 现有技术相比, 保护各个系统上的有价值的数据, 防止其他前端系统未经授权访问数据或者破坏数 据, 安全性好, 实用性强, 易于推广。 (51)Int.Cl. 权利要求书 1 页 说明书 2 页 附图 1 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书1页 说明书2页 附图1页 (10)申请公布号 CN 10360。
3、7450 A CN 103607450 A 1/1 页 2 1. 一种存储系统访问控制方法, 其特征在于, 其具体实现过程为 : 设置三层构架, 即上 层、 中层和下层, 下层通过虚拟化模块完成物理存储设备的同一虚拟化, 得虚拟存储空间, 然后将虚拟存储空间映射给中层, 中层通过LUN隔离模块将LUN映射不同的区域, 其中虚拟 化模块实现存储系统中物理存储设备的统一虚拟化 ; LUN 隔离模块用来控制某个前端主机 访问特定的 LUN, 实现不同的前端应用服务器访问 LUN 时的逻辑隔离, 保证多个存储系统中 前端主机不能相互访问数据, 以免造成数据破坏。 2. 根据权利要求 1 所述的一种存储。
4、系统访问控制方法, 其特征在于, 所述中层和上层 之间针对不同的访问方式进行 LUN 的访问, 这里的不同的访问方式是指身份认证模块方式 访问和交换分区模块方式访问。 3. 根据权利要求 2 所述的一种存储系统访问控制方法, 其特征在于, 所述身份认证模 块用来实现存储系统中前端主机和存储设备之间的安全通信, 防止没有经过身份认证的前 端主机访问存储设备。 4. 根据权利要求 2 所述的一种存储系统访问控制方法, 其特征在于, 所述交换分区模 块是用来在光纤中设置障碍阻止光纤环境中设备之间的相互访问。 权 利 要 求 书 CN 103607450 A 2 1/2 页 3 一种存储系统访问控制方。
5、法 技术领域 0001 本发明涉及通信信息技术领域, 具体的说是一种有效解决 SAN 存储系统中未经授 权的前端系统访问数据问题的存储系统访问控制方法。 背景技术 0002 存储区域网络 (SAN) 是一种高速网络或子网络, 提供在计算机与存储系统之间的 数据传输。存储设备是指一个或多个用以存储计算机数据的磁盘设备。一个 SAN 网络由 负责网络连接的通信结构、 负责组织连接的管理层、 存储部件以及计算机系统构成, 从而保 证数据传输的安全性和力度。 0003 目前构建 SAN 的解决方案中主要存在三种协议 : FC(光纤通道协议) , Infiniband 和 iSCSI。 0004 FC 。
6、是结合传统通道技术和网络技术的串行互联技术, 使其可以在长距离上实现 可靠数据传输, 但是其昂贵的设备和管理成本成为制约 FC SAN 的最大问题。InfiniBand 规范 (IBA) 采用基于通道的点对点连接, 可以应用于服务器内部通信、 互连、 服务器与存储 设备、 存储设备之间互连, 但是初期投入和成本过高, 距大规模应用仍有一段距离。由于 iSCSI 是 SCSI 和 TCP/IP 技术的结合, 可以充分利用现有 IP 网络和成熟的 TCP/IP 技 术。 0005 在 SAN 存储系统中, 存储设备连接到很多前端应用系统上, 在关系到国计民生和 国家战略安全的领域, 运行关键行业业。
7、务的信息系统能否可靠运转将直接影响到社会安定 和国家安全, 存储系统是我国金融、 电信等应用领域中的重要信息化设备, 存储系统的安全 对国家经济运行安全、 社会安全和国家战略安全有着重要的作用。 0006 基于此, 本发明提供一种可应用于 SAN 存储系统, 保护各个系统上的有价值的数 据, 防止其他前端系统未经授权访问数据, 或者破坏数据的存储系统访问控制方法。 发明内容 0007 本发明的技术任务是解决现有技术的不足, 提供一种有效解决 SAN 存储系统中未 经授权的前端系统访问数据问题的存储系统访问控制方法。 0008 本发明的技术方案是按以下方式实现的, 该一种存储系统访问控制方法, 。
8、其具体 实现过程为 : 设置三层构架, 即上层、 中层和下层, 下层通过虚拟化模块完成物理存储设备 的同一虚拟化, 得虚拟存储空间, 然后将虚拟存储空间映射给中层, 中层通过 LUN 隔离模块 将 LUN 映射不同的区域, 其中虚拟化模块实现存储系统中物理存储设备的统一虚拟化 ; LUN 隔离模块用来控制某个前端主机访问特定的 LUN, 实现不同的前端应用服务器访问 LUN 时 的逻辑隔离, 保证多个存储系统中前端主机不能相互访问数据, 以免造成数据破坏。 0009 所述中层和上层之间针对不同的访问方式进行 LUN 的访问, 这里的不同的访问方 式是指身份认证模块方式访问和交换分区模块方式访问。
9、。 0010 所述身份认证模块用来实现存储系统中前端主机和存储设备之间的安全通信, 防 说 明 书 CN 103607450 A 3 2/2 页 4 止没有经过身份认证的前端主机访问存储设备。 0011 所述交换分区模块是用来在光纤中设置障碍阻止光纤环境中设备之间的相互访 问。 0012 本发明与现有技术相比所产生的有益效果是 : 本发明的一种存储系统访问控制方法用于 SAN 存储系统, 保护各个系统上的有价值的 数据, 防止其他前端系统未经授权访问数据或者破坏数据, 安全性好, 实用性强, 易于推广。 附图说明 0013 附图 1 是本发明的实现结构示意图。 具体实施方式 0014 下面结合。
10、附图对本发明的一种存储系统访问控制方法作详细说明。 0015 本发明提供一种存储系统访问控制方法, 该访问控制方法通常用于 SAN 存储系 统, 由于在 SAN 存储系统中存储设备被连接到很多前端系统上, 因此, 必须保护各个系统上 的有价值的数据, 防止其他前端系统未经授权访问数据, 或者破坏数据。 该方法可以有效解 决 SAN 存储系统中, 未经授权的前端系统访问数据的问题。如附图 1 所示, 其具体实现过程 为 : 设置三层构架, 即上层、 中层和下层, 下层通过虚拟化模块完成物理存储设备的同一虚 拟化, 得虚拟存储空间, 然后将虚拟存储空间映射给中层, 中层通过 LUN 隔离模块将 L。
11、UN 映 射不同的区域, 其中虚拟化模块实现存储系统中物理存储设备的统一虚拟化 ; LUN 隔离模 块用来控制某个前端主机访问特定的 LUN, 实现不同的前端应用服务器访问 LUN 时的逻辑 隔离, 保证多个存储系统中前端主机不能相互访问数据, 以免造成数据破坏。 0016 所述中层和上层之间针对不同的访问方式进行 LUN 的访问, 这里的不同的访问方 式是指身份认证模块方式访问和交换分区模块方式访问。 0017 所述身份认证模块用来实现存储系统中前端主机和存储设备之间的安全通信, 防 止没有经过身份认证的前端主机访问存储设备。 0018 所述交换分区模块是用来在光纤中设置障碍阻止光纤环境中设。
12、备之间的相互访 问。 0019 底层 (即上述下层) 存储设备通过直接映射的方式将逻辑单元映射给统一中层。底 层的存储设备通过虚拟磁盘和 WWN 或发起端名字进行绑定, 然后将虚拟磁盘映射到中层融 合存储服务器上, 进行统一虚拟化。 0020 统一中层通过 LUN 隔离统一虚拟化后得到的虚拟存储空间进行划分, 得到多个逻 辑单元, 然后根据上层应用服务器的业务类型, 将 LUN 映射到不同的区域。 0021 上层和统一中层之间, 如果是采用 FC 方式进行存储系统的访问, 则通过交换分区 进行端口和 WWN 的绑定不同区域内的服务器无法访问非授权存储资源。如果是使用 IP 连 接方式, 应用服务器与统一中层可选择性地采用挑战握手认证协议 CHAP 等身份认证方式 进行验证。 0022 除说明书所述的技术特征外, 均为本专业技术人员的公知技术。 说 明 书 CN 103607450 A 4 1/1 页 5 图 1 说 明 书 附 图 CN 103607450 A 5 。