用于存储装置的安全访问控制的系统、方法和计算机程序产品制造方法及图纸

提供了一种用于访问存储装置的方法，所述方法包括：由存储装置接收基于块的存储访问命令和密码保护的访问控制信息；其中基于块的存储访问命令和密码保护的访问控制信息与至少一个固定尺寸的数据块和客户端相关联；通过使用存储装置和安全实体可访问的秘密密钥来处理密码保护的访问控制信息的至少一部分；以及响应于处理的结果，选择性地执行基于块的存储访问命令。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及用于访问存储装置的方法、系统和计算机程序产品。
技术介绍
现代存储系统利用小计算机系统接口(SCSI)协议用于在诸如但不限于主机计算机和存储单元那样的设备之间传送数据。基于块的命令(诸如但不限于SCSI块命令)被使用来访问用于存储固定尺寸的数据块的基于块的存储单元。一个或多个数据块形成逻辑单元(LUN)，而每个固定尺寸的数据块通过逻辑块地址被寻址。基于块的SCSI命令没有用于访问控制的内置机制。换句话说，基于块的SCSI命令协议不提供可以规定或强制对于位于某个逻辑块地址的给定的固定尺寸数据块的访问控制的机制。没有这样的访问控制机制在可以把多个主机连接到多个存储单元的存储域网(SAN)中导致了实际的限制。在现代的SAN中，单个(共享的)存储装置可以把多个客户端的数据存储在多个逻辑单元中，其中每个客户端应当访问由存储装置提供服务的逻辑单元的子集。许多现代SAN由光纤通道交换结构(Switched Fabric)实施。图1显示环境80，环境80包括多个计算机10-18、多个服务器30-34、交换结构40和多个存储装置50-56。计算机10-18经由网络20被连接到服务器30-34。网络20还经由防火墙22被连接到互联网26。服务器30-34中的每个服务器经由一个或多个主机总线适配器(HBA)被连接到交换结构40，而存储装置50-56经由一个或多个FC主机适配器(HA)被连接到交换结构交换机40。计算机10-18中的计算机可以把对于接收文件的请求发送到服-->务器30-34中的服务器。该服务器可以接收请求，和作为应答，生成对于接收被存储在存储装置50-56中的存储系统内的一个或多个固定尺寸的数据块的一个或多个请求。服务器可以生成用来访问一个或多个固定尺寸的数据块的一个或多个基于块的SCSI命令。在这些SAN中，分区和可替换地或附加地，逻辑单元屏蔽，被使用来提供访问控制机制。这些机制是基于限制HBA与HA端口之间的连接性和通过特定的HA端口和HBA端口的逻辑单元的可访问性。结构分区包括把光纤通道交换结构划分成区域，其中如果两个节点都属于公共区域的话，结构节点可以仅仅与另一个结构节点通信。节点可通过它们的光纤通道结构地址或通过它们的世界范围端口名称(WWPN)被识别。逻辑单元屏蔽包括保持规定可以访问存储逻辑单元的主机HBA端口的访问控制列表。N_端口_ID虚拟化(NPIV)是用于虚拟化HBA端口从而使能根据虚拟机而不是根据物理机器进行分区和LUN屏蔽的标准。光纤通道安全协议(FC-SP)标准(由技术委员会T11拥有)规定用于提供在结构中的节点之间的数据交换的安全通道的标准。结构分区和逻辑单元屏蔽未充分地适合于现代计算环境，其中一个或多个虚拟机可以由单个主机托管，特别是在把虚拟机(或虚拟机部分)动态地分配给主机计算机的环境下。基于对象的存储装置(OSD)系统把数据组织为可变尺寸的对象。数据单元不是通过逻辑块地址被访问，而是通过对象识别信息被访问。ANSI T10 OSD标准规定不适合于支持固定尺寸的数据单元且也不使用基于块的SCSI命令的基于对象的访问控制机制。大多数现有的系统以及各种现代系统不是OSD系统。它们可以通过基于块的存储访问命令被访问。所以需要提供用于访问基于块的存储装置的有效方法、系统和计算机程序产品。
技术实现思路
一种用于访问存储装置的方法，该方法包括：由存储装置接收-->基于块的存储访问命令和密码保护的访问控制信息；其中基于块的存储访问命令和密码保护的访问控制信息与至少一个固定尺寸的数据块以及与客户端相关联；通过使用存储装置和安全实体可访问的秘密密钥来处理密码保护的访问控制信息的至少一部分；以及响应于处理的结果来选择性地执行基于块的存储访问命令。方便地，基于块的存储访问命令与至少一个固定尺寸的数据块相关联，以及其中密码保护的访问控制信息与包括所述至少一个固定尺寸的数据块和附加的固定尺寸的数据块的逻辑单元相关联。方便地，密码保护的访问控制信息包括能力信息和验证标记；其中所述处理包括通过使用验证标记和秘密密钥来至少认证能力信息。方便地，该方法还包括通过使用第一链路发送秘密密钥，而通过第二链路接收基于块的存储访问命令。方便地，基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。方便地，基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。方便地，基于块的存储访问命令是网络块设备(NBD)命令。附图说明从以下结合附图所做的详细说明中，将更全面地懂得和理解本专利技术，其中：图1显示现有技术环境；图2显示按照本专利技术的实施例的环境；图3显示按照本专利技术的实施例的环境；图4显示按照本专利技术的实施例的、在各种实体之间的逻辑连接；图5显示按照本专利技术的实施例的、用于访问存储装置的方法；图6显示按照本专利技术的实施例的、用于访问存储装置的方法；以及-->图7显示按照本专利技术的实施例的、用于访问存储装置的方法。具体实施方式用于访问基于块的存储装置的方法、系统和计算机程序产品。根据规定客户端对于一个或多个固定尺寸的数据块的访问权限的访问控制策略，访问可被许可或拒绝。多个固定尺寸的数据块之一可以形成逻辑单元或逻辑单元的一部分。客户端和访问控制的定义可以随实施方案而变化。客户端的访问权限可以动态地改变。客户端可以是物理服务器、虚拟机或另一个逻辑实体。下面提到的设备、方法和计算机程序产品本质上是逻辑的，而不是物理的。起到客户端作用的实体是灵活的，它可以以相当任意的方式被选择用于任何实施方案。基于块的方法使用比基于对象的方法更简单的和小得多的存储访问命令。对于描述对象所需要的元数据的数量比对于描述一个或多个块所需要的元数据的数量大得多。为了便于说明起见，以下的某些例子将涉及到SCSI命令。本领域技术人员将会理解，本专利技术可应用于其它基于块的存储访问命令。例如，基于块的存储访问命令可以是在通用并行文件存储(GPFS)系统中使用来访问虚拟共享的盘(VSD)的GPFS命令。GPFS通过从在多个盘(或多个存储装置)上的各个文件“剥离”固定尺寸的数据块和并行地读出和/或写入这些块而提供高性能I/O。另外，GPFS可以以单个I/O操作读出或写入大的数据块。GPFS的虚拟共享盘(VSD)部件支持三种配置--存储访问网络(SAN)附加模型、VSD服务器模型和混合模型。为了说明简单起见，示出SAN附加模型。本领域技术人员将会理解，所示出的方法、系统和计算机程序产品可以应用到这三种配置的任一种配置。对于另一个例子，当使用网络块设备(NBD)协议时，可以应用所示出的方法、系统和计算机程序产品。NBD在本地客户端上仿真一个块设备，诸如硬盘或硬盘分区，但通过网络连接到提供真实的物-->理备份的远程服务器。NBD可被使用来把基于块的命令从NBD客户端传送到位于远程服务器中的NBD设备(它接着执行基于块的命令)，以及作为应答，接收状态和数据。NBD协议在SCSI层之上，在较高的Unix/Linux块设备层运行，因此消除了在通过网络把通用的块命令发送到存储系统之前把通用的块命令转换成基于块的SCSI命令的需要。图2显示按照本专利技术的实施例的环境90。环境90包括适于参加访问控制策略的实施的安全管理器70。另外本文档来自技高网...

【技术保护点】
一种用于访问存储装置的方法，所述方法包括：　由存储装置接收基于块的存储访问命令和密码保护的访问控制信息；其中基于块的存储访问命令和密码保护的访问控制信息与至少一个固定尺寸的数据块和客户端相关联；　通过使用存储装置和安全实体可访问 的秘密密钥来处理密码保护的访问控制信息的至少一部分；以及　响应于处理的结果，选择性地执行基于块的存储访问命令。

【技术特征摘要】
【国外来华专利技术】US 2006-6-5 11/422,0961.一种用于访问存储装置的方法，所述方法包括：由存储装置接收基于块的存储访问命令和密码保护的访问控制信息；其中基于块的存储访问命令和密码保护的访问控制信息与至少一个固定尺寸的数据块和客户端相关联；通过使用存储装置和安全实体可访问的秘密密钥来处理密码保护的访问控制信息的至少一部分；以及响应于处理的结果，选择性地执行基于块的存储访问命令。2.按照权利要求1的方法，其中密码保护的访问控制信息与包括所述至少一个固定尺寸的数据块和附加的固定尺寸的数据块的逻辑单元的至少一部分相关联。3.按照权利要求1或2的方法，其中密码保护的访问控制信息包括能力信息和验证标记；其中处理步骤包括：通过使用验证标记和秘密密钥来至少认证能力信息。4.按照权利要求1、2或3的方法，还包括：通过使用第一链路来接收秘密密钥，而通过第二链路接收基于块的存储访问命令。5.按照权利要求1到4的任一项的方法，其中基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。6.按照权利要求1到5的任一项的方法，其中基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。7.一种用于访问存储装置的方法，所述方法包括：把对于接收与至少一个固定尺寸的数据块和客户端相关联的访问控制信息的请求发送到安全实体；接收访问控制信息和能力密钥；基于所接收的访问控制信息和能力密钥，生成密码保护的访问控制信息；以及提供与密码保护的访问控制信息相关联的基于块的存储访问命令。8.按照权利要求7的方法，其中发送步骤包括：利用第一链路，而提供步骤包括利用第二链路。9.按照权利要求7或8的方法，其中基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。10.按照权利要求7、8或9的方法，其中基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。11.一种计算机程序产品，包括计算机可使用媒体，所述计算机可使用媒体包括计算机可读程序，其中计算机可读程序在计算机上被执行时使得计算机进行：接收基于块的存储访问命令和密码保护的访问控制信息；其中基于块的存储访问命令和密码保护的访问控制信息与至少一个固定尺寸的数据块和客户端相关联；通过使用存储装置和安全实体可访问的秘密密钥来处理密码保护的访问控制信息的至少一部分；以及响应于处理的结果，选择性地执行基于块的存储访问命令。12.按照权利要求11的计算机程序产品，其中基于块的存储访问命令与至少一个固定尺寸的数据块相关联，以及其中密码保护的访问控制信息与包括所述至少一个固定尺寸的数据块和附加的固定尺寸的数据块的逻辑单元相关联。13.按照权利要求11或12的计算机程序产品，其中密码保护的访问控制信息包括能力信息和验证标记；其中计算机可读程序在计算机上被执行时使得计算机通过使用验证标记和秘密密钥来至少认证能力信息。14.按照权利要求11、12或13的任一项的计算机程序产品，其中计算机可读程序在计算机上被执行时使得计算机通过使用第一链路来接收秘密密钥，而通过第二链路来接收基于块的存储访问命令。15.按照权利要求11到14的任一项的计算机程序产品，其中基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。16.按照权利要求11到15的任一项的计算机程序产品，其中基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。17.一种计算机程序产品，包括计算机可使用媒体，所述计算机可使用媒体包括计算机可读程序，其中计算机可读程序在计算机上被执行时使得计算机进行：把对于接收与至少一个固定尺寸的数据块和客户端相关联的访问控制信息的请求发送到安全实体；接收访问控制信息和能力密钥；基于访问控制信息和能力密钥，生成密码保护的访问控制信息；以及提供与密码保护的访问控制信息相关...

【专利技术属性】
技术研发人员：M菲科特，D纳欧，M罗德赫，J萨特安，西旺塔尔，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：US[美国]