CN101188558A - 访问控制方法、单元及网络设备 - Google Patents
访问控制方法、单元及网络设备 Download PDFInfo
- Publication number
- CN101188558A CN101188558A CNA2007101790159A CN200710179015A CN101188558A CN 101188558 A CN101188558 A CN 101188558A CN A2007101790159 A CNA2007101790159 A CN A2007101790159A CN 200710179015 A CN200710179015 A CN 200710179015A CN 101188558 A CN101188558 A CN 101188558A
- Authority
- CN
- China
- Prior art keywords
- originating end
- list item
- acl
- message
- originating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种访问控制方法、单元及网络设备。方法包括:在iSCSI会话中,侦听发起端与目标端之间交互的报文,根据报文中的发起端信息,或者目标端信息,或者发起端和目标端信息,建立ACL表项,根据建立的ACL表项对发起端进行访问控制。本发明避免了非法Initiator对存储系统的恶意攻击,对存储系统中的数据提供了有效保护,提高了存储系统的CPU处理正常存储业务的工作效率。
Description
技术领域
本发明涉及因特网小型计算机系统接口(iSCSI,Internet Small ComputerSystem Interface)技术领域,具体涉及一种iSCSI访问控制方法、单元及网络设备。
背景技术
小型计算机系统接口(SCSI,Small Computer System Interface)标准体系定义了应用主机和外部设备之间读写操作的过程,外部设备包括磁盘、磁带、光盘、打印机、扫描仪等。SCSI标准体系的参考模型是一个典型的客户端-服务器模型,在SCSI体系结构中,通常把客户端称为发起端(Initiator)如:应用主机,Initiator发送服务请求;把服务器称为目标端(Target)如:外部设备,Target接收、响应服务请求。Initiator和Target之间可以使用不同的物理连接方式来通讯。
iSCSI是一种基于传输控制协议/因特网协议(TCP/IP,Transfer ControlProtocol/Internet Protocol)的SCSI传输协议,即Initiator和Target利用互联网来传输SCSI命令和数据。目前,iSCSI协议主要用于应用主机和存储系统的数据传输。图1为iSCSI的典型应用环境,如图1所示,应用主机集成iSCSI initiator模块,存储系统中的存储控制器集成iSCSI target模块。应用主机把SCSI命令和/或数据封装在iSCSI报文中,通过IP网络发送给存储控制器,存储控制器对每个iSCSI报文进行处理,取出报文中的数据并写入到存储介质如:磁盘柜中。
为了进一步提数据的安全性,iSCSI协议中引入了一些IP通信领域的安全机制如:质询握手协议(CHAP,Challenge Handshake AuthenticationProtocol)、安全远程密码(SRP,Secure Remote Protocol)等,来实现对应用主机安全认证,从而实现Initiator的访问控制、对数据的保护等。
图2为一个带有安全认证的iSCSI Initiator和Target建立会话的消息流程示意图,如图2所示,其具体步骤如下:
步骤201:应用主机根据配置在自身的存储控制系统的iSCSI接口地址如:IP地址、MAC地址和TCP端口,启动iSCSI target的发现过程,通过该发现过程获取授权给自身的iSCSI Target列表。
步骤202:应用主机确定要登录的Target,与要登录的Target建立TCP/IP连接。
步骤203:应用主机向要登录的Target发送登录请求报文,该报文中的操作码指明当前需要进行安全认证方式协商。
步骤204:安全认证方式协商成功,存储系统向应用主机返回登录响应报文。
步骤205:应用主机接收登录响应报文,向存储系统发送登录请求报文,该报文中的操作码指明当前需要进行操作方式协商。
步骤206:存储系统收到该登录请求报文,与应用主机进行操作方式协商,协商成功,存储系统向应用主机返回登录响应报文,双方建立会话通道。
步骤207:应用主机开始向存储系统传输数据。
步骤208:数据传输完成后,应用主机向存储系统发送登录退出请求报文,存储系统向应用主机返回登录退出响应报文,会话结束。
可以看出,Initiator和Target之间建立会话的过程中,除了基于InitiatorName和Target Name的对应关系来进行数据访问外,就是进行安全认证。但是,如果有黑客利用一些手段获取合法的Initiator信息如:initiator Name和安全认证密码后,向存储系统发送登录请求,则仍然可以与Target建立会话,从而达到访问存储资源的目的,这样数据就不能被很好地保护。同时,如果黑客大量发送登录请求,则存储系统的CPU要不停地响应这些请求,所以CPU利用率就会升高,这样将会影响正常的存储业务。
发明内容
本发明实施例提供一种访问控制方法、单元及网络设备,实现iSCSI存储数据保护且提高iSCSI存储系统处理存储业务工作效率。
本发明实施例的技术方案是这样实现的:
一种访问控制方法,用于存储系统与发起端之间的网络设备上或者存储系统前端的网络设备上,该方法包括:
在iSCSI会话中,侦听发起端与目标端之间交互的报文,根据报文中的发起端信息,或者目标端信息,或者发起端信息和目标端信息,建立用以区分合法与非法发起端的ACL表项,根据建立的ACL表项对发起端进行访问控制。
所述侦听发起端与目标端之间交互的报文为:侦听发起端与目标端在目标端发现过程中交互的报文;
所述建立ACL表项包括:
根据发起端发起的报文中的发起端名称、发起端MAC地址、发起端IP地址、iSCSI接口IP地址、iSCSI接口MAC地址中的至少两项,建立ACL表项。
所述根据建立的ACL表项对发起端进行访问控制包括:侦听到发起端在目标端发现过程中发来的报文,判断报文中的发起端名称、发起端MAC地址、发起端IP地址、iSCSI接口IP地址、iSCSI接口MAC地址是否与ACL表项部分匹配,若是,拒绝发起端访问目标端;否则,允许发起端访问目标端。
所述侦听发起端与目标端之间交互的报文为:侦听发起端与目标端在正常会话过程中交互的报文;
所述建立ACL表项包括:
根据发起端发起的报文中的发起端MAC地址、发起端IP地址、目标端MAC地址、目标端IP地址中的至少一项,建立ACL表项。
所述根据建立的ACL表项对发起端进行访问控制包括:侦听到发起端在正常会话过程中发来的报文,判断报文中的发起端MAC地址、发起端IP地址、目标端MAC地址、目标端IP地址是否与ACL表项全部匹配,若是,允许发起端访问目标端;否则,拒绝发起端访问目标端。
所述建立ACL表项进一步包括:
将发起端到目标端之间的路由信息加入该已建立的ACL表项中。
所述路由信息为入端口信息、入端口所在VLAN信息、入端口所属网段信息中的一种或任意组合。
所述根据建立的ACL表项对发起端进行访问控制之后进一步包括:
检测到发起端与目标端之间的会话结束,老化或删除与发起端信息对应的ACL表项。
一种访问控制单元,位于存储系统与发起端之间的网络设备上或者存储系统前端的网络设备上,该单元包括:
ACL建立模块,在iSCSI会话中,侦听发起端与目标端之间交互的报文,根据报文中的发起端信息,或者目标端信息,或者发起端和目标端信息,建立ACL表项;
ACL过滤模块,根据建立的ACL表项对发起端进行访问控制。
所述ACL建立模块包括:
第一ACL建立模块,侦听到发起端在目标端发现过程中发起的报文,根据报文中的发起端信息,或者目标端信息,或者发起端和目标端信息,建立第一ACL表项;
第二ACL建立模块,侦听到发起端在正常会话过程中发起的报文,根据报文中的发起端信息,或者目标端信息,或者发起端信息和目标端信息建立第二ACL表项。
所述ACL建立模块进一步包括:
路由侦听模块,将发起端到目标端间的路由信息加入与发起端信息对应的ACL表项。
所述ACL过滤模块包括:
第一ACL过滤模块,侦听到发起端在目标端发现过程中发起的报文,判断报文中的发起端信息、目标端信息是否与第一ACL表项部分匹配,若是,拒绝发起端访问目标端;否则,允许发起端访问目标端;
第二ACL过滤模块,侦听到发起端在正常会话过程中发起的报文,判断报文中的发起端信息和目标端信息是否与第二ACL表项全部匹配,若是,允许发起端访问目标端;否则,拒绝发起端访问目标端。
所述单元进一步包括:ACL维护模块,侦听到发起端与目标端之间的会话结束,老化或删除与发起端信息对应的ACL表项。
该单元位于目标端所在存储系统中的前端交换机上,或者位于目标端所在存储系统接入IP网络的接入设备上。
所述ACL建立模块进一步包括:将发起端到iSCSI访问控制单元的入端口信息、入端口所在虚拟局域网VLAN信息、入端口所属网段信息中的一种或任意组合,加入ACL表项中的子模块。
一种网络设备,包括:硬件平台以及运行于硬件平台上的因特网小型计算机系统接口iSCSI访问控制软件,该iSCSI访问控制软件在硬件平台上运行时,控制该网络设备执行如下方法:
从iSCSI会话双方发起端和目标端交互的报文中获取至少两个标识用以标示该iSCSI会话;
根据上述两个标识建立访问控制列表ACL表项;
当发现有新的iSCSI报文到达设备时,根据预定的访问控制策略,利用上述ACL表项确定该报文是否合法。
所述ACL表项包括第一和第二ACL表项,其中,第一ACL表项在iSCSI发现过程中建立,第二ACL表项在正常会话过程中建立。
所述第一ACL表项对应第一访问控制策略,第二ACL表项对应第二访问控制策略,且第一访问控制策略、第二访问控制策略不相同。
所述第一访问控制策略为:与第一ACL表项部分匹配则过滤,第二访问控制策略为:与第二ACL表项非全部匹配则过滤。
所述第一ACL表项包括:发起端名称、发起端媒体访问控制MAC地址、发起端IP地址、iSCSI接口IP地址、iSCSI接口MAC地址中的至少两项;
所述第二ACL表项包括:发起端MAC地址、发起端IP地址、目标端MAC地址、目标端IP地址中的至少一项。
所述第一ACL表项和第二ACL表项进一步包括:发起端到网络设备的入端口信息、入端口所在虚拟局域网VLAN信息、入端口所属网段信息中的一种或任意组合。
与现有技术相比,本发明实施例通过在iSCSI会话过程中,侦听发起端与目标端之间交互的报文,根据报文中的发起端信息,或者目标端信息,或者发起端信息和目标端信息,建立ACL表项,根据建立的ACL表项对发起端进行访问控制,避免了在合法Initiator与Target会话过程中,非法Initiator对存储系统的恶意攻击,实现了对存储数据的有效保护,且提高了存储系统处理正常存储业务的工作效率。
附图说明
图1为现有的典型的iSCSI应用环境示意图;
图2为现有的带有安全认证的iSCSI Initiator和Target会话过程的消息流程示意图;
图3为本发明实施例提供的在iSCSI Initiator和Target会话过程中建立ACL表项的流程图;
图4为本发明实施例提供的利用建立的第一ACL表项对Initiator的Target发现过程进行访问控制的流程图;
图5为本发明实施例提供的利用建立的第二ALC表项对Inititor的正常会话过程进行访问控制的流程图;
图6为本发明实施例提供的iSCSI访问控制单元的结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
在本发明中,将iSCSI会话分为两个阶段,第一阶段是,为了获取授权Target列表的Target发现过程;第二阶段是,为了建立应用主机和存储系统之间的会话通道、以及利用建立的会话通道进行数据传输的正常会话过程。
图3为本发明实施例提供的在iSCSI Initiator和Target会话过程中建立访问控制列表(ACL)表项的流程图,本实施例中提到的访问控制单元可以是存储系统的前端网络设备如:存储系统中的前端交换机,也可以是存储系统与发起端之间的网络设备如:存储系统接入IP网的接入设备,如图3所示,其具体步骤如下:
本实施例中,为了区分在Target发现过程中和在正常会话过程中建立的ACL表项,将在Target发现过程中建立的ACL表项统称为第一ACL表项,将在正常会话过程中建立的ACL表项统称为第二ACL表项。
步骤301:应用主机根据配置在自身的存储系统的iSCSI接口地址如:IP地址、MAC地址和TCP端口,启动iSCSI Target的发现过程,向存储系统发送登录请求报文,以获取存储系统授权给自身的Target列表。
步骤302:访问控制单元侦听到登录请求报文,从报文的PDU部分获取Initiator Name、Initiator媒体访问控制(MAC,Media Access Control)地址、Initiator IP地址、iSCSI接口IP地址、iSCSI接口MAC地址,建立第一ACL表项。
本步骤中建立的第一ACL表项包括:Initiator Name、Initiator MAC地址、Initiator IP地址、iSCSI接口IP地址、iSCSI接口MAC地址,且ACL过滤规则为:部分匹配。
这里,将ACL过滤规则设定为部分匹配的含义是:若一个Initiator发来了针对iSCSI Target发现过程的报文,则若该报文中的Initiator Name、Initiator MAC地址、Initiator IP地址、iSCSI接口IP地址、iSCSI接口MAC地址与每一条第一ACL表项都全部不匹配,则认为该Initiator为新的合法Initiator,允许其访问存储系统;若该报文中的Initiator Name、Initiator MAC地址、Initiator IP地址、iSCSI接口IP地址、iSCSI接口MAC地址与某一条第一ACL表项全部匹配,则认为该Initiator为正在进行Target发现过程的合法Initiator,允许其访问存储系统;若该报文中的Initiator Name、InitiatorMAC地址、Initiator IP地址、iSCSI接口IP地址、iSCSI接口MAC地址与某一条第一ACL表项只有部分匹配,则认为该Initiator为非法Initiator,拒绝其访问存储系统。
步骤303:访问控制单元侦听到Target发现过程结束,将建立的第一ACL表项下发到本地配置,使得该第一ACL表项生效。
步骤304:应用主机从存储系统授权给自身的Target列表中选择一个Target,作为当前要登录的Target。
步骤305:应用主机与当前要登录的Target建立TCP/IP连接。
步骤306:应用主机向存储系统发送登录请求报文,报文中携带InitiatorMAC地址、Initiator IP地址和要登录Target IP地址,该报文中的操作码指明当前需要进行安全认证方式协商。
步骤307:访问控制单元侦听到登录请求报文,从报文的PDU部分获取Initiator MAC地址、Initiator IP地址和Target MAC地址、Target IP地址,建立第二ACL表项。
执行本步骤后,第二ACL表项包括:Initiator MAC地址、Initiator IP地址、以及Initiator要登录的Target MAC地址、Target IP地址,且ACL过滤规则为:非全部匹配。
这里ACL过滤规则为非全部匹配的含义是:只有Initiator在正常会话过程中发来的报文中的Initiator MAC地址、Initiator IP地址、Target MAC地址、Target IP地址与某一条第二ACL表项完全匹配,该Initiator才被认为是合法Initiator;否则,认为该Initiator为非法Initiator。
步骤308:访问控制单元侦听到存储系统返回的登录响应报文,检测到该报文携带安全认证方式协商结果,判断该结果是否指示安全认证方式协商成功,若是,执行步骤310;否则,执行步骤309。
步骤309:访问控制单元根据登录响应报文中携带的Initiator MAC地址、Initiator IP地址在自身查找到匹配的第一、第二ACL表项,老化或删除该第一、第二ACL表项,本流程结束。
步骤310:访问控制单元向应用主机转发登录响应报文。
步骤311:应用主机接收登录响应报文,向存储系统发送登录请求报文,该报文携带Initiator MAC地址、Initiator IP地址以及要登录的Target IP地址、Target MAC地址,该报文中的操作码指明当前需要进行操作方式协商。
步骤312:访问控制单元侦听到存储系统返回的登录响应报文,检测到该报文携带操作方式协商结果,判断该结果是否指示操作方式协商成功,若是,执行步骤314;否则,执行步骤313。
步骤313:访问控制单元根据登录响应报文中携带的Initiator MAC地址、Initiator IP地址,在自身查找到对应的第一、第二ACL表项,老化或删除该第一、第二ACL表项,本流程结束。
步骤314:访问控制单元根据登录响应报文中携带的Target MAC地址、Target IP地址、Initiator MAC地址、Initiator IP地址在自身查找到匹配的第二ACL表项即:步骤307中建立的第二ACL表项,将该第二ACL表项下发到本地配置,使得第二ACL表项生效,将该登录响应报文转发给应用主机,应用主机和存储系统之间的会话通道建立。
当第一、第二ACL表项配置生效后,就可利用第一、第二ACL表项对Initiator端发来的报文进行过滤。
在实际应用中,若要加快ACL过滤速度,第一ACL表项中也可只包括:Initiator Name、Initiator MAC地址、Initiator IP地址、iSCSI接口IP地址、iSCSI接口MAC地址中的任意两项或任意三项或任意四项;第二ACL表项中可只包括:Initiator MAC地址、Initiator IP地址、Target MAC地址、TargetIP地址中的任意一项或任意两项或任意三项。
图4为本发明实施例提供的利用图3所示实施例中建立的第一ACL表项对Initiator的Target发现过程进行访问控制的流程图,如图4所示,其具体步骤如下:
步骤401:访问控制单元侦听到Initiator端在iSCSI Target发现过程中发来的报文,则从报文中获取Initiator Name、Initiator MAC地址、Initiator IP地址、iSCSI接口IP地址、iSCSI接口MAC地址。
步骤402:访问控制单元判断从报文中获取的Initiator Name、InitiatorMAC地址、Initiator IP地址、iSCSI接口IP地址、iSCSI接口MAC地址是否与一条第一ACL表项部分匹配,若是,执行步骤403;否则,执行步骤404。
若报文中的Initiator Name、Initiator MAC地址、Initiator IP地址、iSCSI接口IP地址、iSCSI接口MAC地址与访问控制单元上存在的某一条第一ACL表项部分匹配,则确定该报文为非法Initiator发来的。
步骤403:访问控制单元丢弃报文,本流程结束。
步骤404:访问控制单元根据报文中的Target IP地址将报文转发给存储系统。
图5为本发明实施例提供的利用建立的ACL表项对Initiator的正常会话过程进行访问控制的流程图,如图5所示,其具体步骤如下:
步骤501:访问控制单元侦听到Initiator端在正常会话过程中发来的报文,从报文中获取Initiator MAC地址、Initiator IP地址、Target MAC地址、Target IP地址。
本步骤中的报文既可以是消息报文,也可以是数据报文。
步骤502:访问控制单元判断从报文中获取的Initiator MAC地址、Initiator IP地址、Target MAC地址、Target IP地址是否与一条第二ACL表项全部匹配,若是,执行步骤504;否则,执行步骤503。
步骤503:访问控制单元丢弃报文,本流程结束。
步骤504:访问控制单元根据报文中的Target MAC地址、Target IP地址将报文转发给Target。
在实际应用中,黑客有可能将合法的Initiator Name、Initiator MAC地址、Initiator IP地址、甚至Target Name、Target MAC地址、Target IP地址信息都盗取到,此时访问控制单元就无法过滤掉黑客发来的携带所盗取的Initiator信息,或者Initiator和Target信息的报文了。为了解决该问题,可以在ACL表项中加入合法的Initiator到Target的路由信息如:Initiator发来的报文在访问控制单元上的入端口、该入端口所在的VLAN标识、该入端口所属的网段等信息中的一种或任意组合,这样访问控制单元在收到报文时,可将该报文中的Initiator Name、Initiator MAC地址、Initiator IP地址,或者Initiator MAC地址、Initiator IP地址、Target MAC地址、Target IP地址信息和该报文的路由信息都进行ACL过滤。由于黑客虽然模拟了合法Initiator Name、Initiator MAC地址、Initiator IP地址,但是黑客的真实MAC地址、IP地址毕竟与合法Initiator MAC地址、Initiator IP地址不同,因此黑客到Target的路由必然与合法Initiator到Target的路由不同,从而可以将黑客发来的报文过滤掉。
当数据传输完成时,应用主机会向存储系统发送登录退出请求报文,存储系统收到该登录退出请求报文后,向应用主机返回登录退出响应报文,访问控制单元侦听到登录退出响应报文,从报文的PDU部分获取Target MAC地址、Target IP地址、Initiator MAC地址、Initiator IP地址,老化或删除与获取的Initiator MAC地址、Initiator IP地址对应的第一ACL表项,同时,老化或删除与Target MAC地址、Target IP地址、Initiator MAC地址、InitiatorIP地址对应的第二ACL表项。
图6为本发明实施例提供的iSCSI访问控制单元的结构示意图,如图6所示,其主要包括:ACL建立模块61、ACL过滤模块62和ACL维护模块63,其中:
ACL建立模块61:在iSCSI会话中,侦听Initiator与Target之间交互的报文,从报文中获取Initiator信息,或者获取Initiator信息和Initiator登录的Target信息,建立ACL表项。
在实际应用中,ACL建立模块61可以由:第一ACL建立模块611、第二ACL建立模块612和路由侦听模块613,各模块的主要功能如下:
第一ACL建立模块611:侦听到应用主机在iSCSI Target发现过程中向存储系统发起的登录请求报文,则从报文的PDU部分获取Initiator Name、Initiator MAC地址、Initiator IP地址、iSCSI接口IP地址、iSCSI接口MAC地址,并建立第一ACL表项。
第二ACL建立模块612:侦听到携带操作码指示当前需要进行安全认证方式协商的登录请求报文,从报文的PDU部分获取Initiator MAC地址、Initiator IP、Target MAC地址、Target IP地址,并建立第二ACL表项。
路由侦听模块613:将Initiator到Target间的路由信息如:Initiator发来的报文在访问控制单元上的入端口信息、入端口所在VLAN标识、入端口所属网段信息加入与Initiator MAC地址、Initiator IP地址对应的第一和第二ACL表项。
ACL过滤模块62:侦听到Initiator发来的报文,根据已建立的ACL表项对报文进行过滤。
在实际应用中,ACL过滤模块62可以由第一ACL过滤模块621和第二ACL过滤模块622组成,各模块的主要功能如下:
第一ACL过滤模块621:侦听到Initiator在Target发现过程中发来的报文,从报文中获取Initiator Name、Initiator MAC地址、Initiator IP地址、iSCSI接口IP地址、iSCSI接口MAC地址,判断获取的Initiator Name、Initiator MAC地址、Initiator IP地址、iSCSI接口IP地址、iSCSI接口MAC地址是否与一条第一ACL表项部分匹配,若是,拒绝Initiator访问Targer;否则,允许Initiator访问Target。
第二ACL过滤模块622:侦听到Initiator在正常会话过程中发来的报文,从报文的PDU部分获取Initiator MAC地址、Initiator IP地址和Target MAC地址、Target IP地址,判断获取的Initiator MAC地址、Initiator IP地址和Target MAC地址、Target IP地址是否与一条第二ACL表项全部匹配,若是,允许Initiator访问Target;否则,拒绝Initiator访问Target。
ACL维护模块63:侦听到Initiator与Target之间的会话结束,删除或老化与Initiator MAC地址、Initiator IP地址对应的ACL表项包括:第一ACL表项和第二ACL表项。
本发明实施例还提供了一种网络设备,包括:硬件平台以及运行于硬件平台上的iSCSI访问控制软件,该iSCSI访问控制软件在硬件平台上运行时,控制该网络设备执行如图3-5所示实施例提供的方法。
以上所述仅为本发明的过程及方法实施例,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (21)
1.一种访问控制方法,用于存储系统与发起端之间的网络设备上或者存储系统前端的网络设备上,其特征在于,该方法包括:
在因特网小型计算机系统接口iSCSI会话中,侦听发起端与目标端之间交互的报文,根据报文中的发起端信息,或者目标端信息,或者发起端信息和目标端信息,建立用以区分合法与非法发起端的访问控制列表ACL表项,根据建立的ACL表项对发起端进行访问控制。
2.如权利要求1所述的方法,其特征在于,所述侦听发起端与目标端之间交互的报文为:侦听发起端与目标端在目标端发现过程中交互的报文;
所述建立ACL表项包括:
根据发起端发起的报文中的发起端名称、发起端媒体访问控制MAC地址、发起端IP地址、iSCSI接口IP地址、iSCSI接口MAC地址中的至少两项,建立ACL表项。
3.如权利要求2所述的方法,其特征在于,所述根据建立的ACL表项对发起端进行访问控制包括:侦听到发起端在目标端发现过程中发来的报文,判断报文中的发起端名称、发起端MAC地址、发起端IP地址、iSCSI接口IP地址、iSCSI接口MAC地址是否与ACL表项部分匹配,若是,拒绝发起端访问目标端;否则,允许发起端访问目标端。
4.如权利要求1所述的方法,其特征在于,所述侦听发起端与目标端之间交互的报文为:侦听发起端与目标端在正常会话过程中交互的报文;
所述建立ACL表项包括:
根据发起端发起的报文中的发起端MAC地址、发起端IP地址、目标端MAC地址、目标端IP地址中的至少一项,建立ACL表项。
5.如权利要求4所述的方法,其特征在于,所述根据建立的ACL表项对发起端进行访问控制包括:侦听到发起端在正常会话过程中发来的报文,判断报文中的发起端MAC地址、发起端IP地址、目标端MAC地址、目标端IP地址是否与ACL表项全部匹配,若是,允许发起端访问目标端;否则,拒绝发起端访问目标端。
6.如权利要求1所述的方法,其特征在于,所述建立ACL表项进一步包括:
将发起端到目标端之间的路由信息加入该已建立的ACL表项中。
7.如权利要求6所述的方法,其特征在于,所述路由信息为入端口信息、入端口所在虚拟局域网VLAN信息、入端口所属网段信息中的一种或任意组合。
8.如权利要求1所述的方法,其特征在于,所述根据建立的ACL表项对发起端进行访问控制之后进一步包括:
检测到发起端与目标端之间的会话结束,老化或删除与发起端信息对应的ACL表项。
9.一种访问控制单元,位于存储系统与发起端之间的网络设备上或者存储系统前端的网络设备上,其特征在于,该单元包括:
访问控制列表ACL建立模块,在因特网小型计算机系统接口iSCSI会话中,侦听发起端与目标端之间交互的报文,根据报文中的发起端信息,或者目标端信息,或者发起端和目标端信息,建立ACL表项;
ACL过滤模块,根据建立的ACL表项对发起端进行访问控制。
10.如权利要求9所述的单元,其特征在于,所述ACL建立模块包括:
第一ACL建立模块,侦听到发起端在目标端发现过程中发起的报文,根据报文中的发起端信息,或者目标端信息,或者发起端和目标端信息,建立第一ACL表项;
第二ACL建立模块,侦听到发起端在正常会话过程中发起的报文,根据报文中的发起端信息,或者目标端信息,或者发起端信息和目标端信息建立第二ACL表项。
11.如权利要求9所述的单元,其特征在于,所述ACL建立模块进一步包括:
路由侦听模块,将发起端到目标端间的路由信息加入与发起端信息对应的ACL表项。
12.如权利要求10所述的单元,其特征在于,所述ACL过滤模块包括:
第一ACL过滤模块,侦听到发起端在目标端发现过程中发起的报文,判断报文中的发起端信息、目标端信息是否与第一ACL表项部分匹配,若是,拒绝发起端访问目标端;否则,允许发起端访问目标端;
第二ACL过滤模块,侦听到发起端在正常会话过程中发起的报文,判断报文中的发起端信息和目标端信息是否与第二ACL表项全部匹配,若是,允许发起端访问目标端;否则,拒绝发起端访问目标端。
13.如权利要求9所述的单元,其特征在于,所述单元进一步包括:ACL维护模块,侦听到发起端与目标端之间的会话结束,老化或删除与发起端信息对应的ACL表项。
14.如权利要求9所述的单元,其特征在于,该单元位于目标端所在存储系统中的前端交换机上,或者位于目标端所在存储系统接入IP网络的接入设备上。
15.如权利要求9所述的单元,其特征在于,所述ACL建立模块进一步包括:将发起端到iSCSI访问控制单元的入端口信息、入端口所在虚拟局域网VLAN信息、入端口所属网段信息中的一种或任意组合,加入ACL表项中的子模块。
16.一种网络设备,其特征在于,包括:硬件平台以及运行于硬件平台上的因特网小型计算机系统接口iSCSI访问控制软件,该iSCSI访问控制软件在硬件平台上运行时,控制该网络设备执行如下方法:
从iSCSI会话双方发起端和目标端交互的报文中获取至少两个标识用以标示该iSCSI会话;
根据上述两个标识建立访问控制列表ACL表项;
当发现有新的iSCSI报文到达设备时,根据预定的访问控制策略,利用上述ACL表项确定该报文是否合法。
17.如权利要求16所述的网络设备,其特征在于,所述ACL表项包括第一和第二ACL表项,其中,第一ACL表项在iSCSI发现过程中建立,第二ACL表项在正常会话过程中建立。
18.如权利要求17所述的网络设备,其特征在于,所述第一ACL表项对应第一访问控制策略,第二ACL表项对应第二访问控制策略,且第一访问控制策略、第二访问控制策略不相同。
19.如权利要求18所述的网络设备,其特征在于,所述第一访问控制策略为:与第一ACL表项部分匹配则过滤,第二访问控制策略为:与第二ACL表项非全部匹配则过滤。
20.如权利要求17所述的网络设备,其特征在于,所述第一ACL表项包括:发起端名称、发起端媒体访问控制MAC地址、发起端IP地址、iSCSI接口IP地址、iSCSI接口MAC地址中的至少两项;
所述第二ACL表项包括:发起端MAC地址、发起端IP地址、目标端MAC地址、目标端IP地址中的至少一项。
21.如权利要求20所述的网络设备,其特征在于,所述第一ACL表项和第二ACL表项进一步包括:发起端到网络设备的入端口信息、入端口所在虚拟局域网VLAN信息、入端口所属网段信息中的一种或任意组合。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101790159A CN101188558B (zh) | 2007-12-07 | 2007-12-07 | 访问控制方法、单元及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101790159A CN101188558B (zh) | 2007-12-07 | 2007-12-07 | 访问控制方法、单元及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101188558A true CN101188558A (zh) | 2008-05-28 |
| CN101188558B CN101188558B (zh) | 2010-12-01 |
Family
ID=39480755
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101790159A Active CN101188558B (zh) | 2007-12-07 | 2007-12-07 | 访问控制方法、单元及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101188558B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917458A (zh) * | 2010-07-12 | 2010-12-15 | 杭州华三通信技术有限公司 | 一种向客户机发送网络引导程序的方法及装置 |
| CN101951327A (zh) * | 2010-07-02 | 2011-01-19 | 中兴通讯股份有限公司 | 一种iSCSI网络系统以及检测网络故障的方法 |
| CN102281263A (zh) * | 2010-06-13 | 2011-12-14 | 杭州华三通信技术有限公司 | 一种建立iSCSI会话的方法和iSCSI发起方 |
| CN105635235A (zh) * | 2014-12-01 | 2016-06-01 | 阿里巴巴集团控股有限公司 | 访问控制方法和用于访问控制的网络节点 |
| CN107395615A (zh) * | 2017-08-11 | 2017-11-24 | 杭州迪普科技股份有限公司 | 一种打印机安全防护的方法和装置 |
| CN107968825A (zh) * | 2017-11-28 | 2018-04-27 | 新华三技术有限公司 | 一种报文转发控制方法及装置 |
| CN112087534A (zh) * | 2020-09-12 | 2020-12-15 | 洪世协 | 一种简便可溯源无线路由器实现方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100452795C (zh) * | 2004-01-16 | 2009-01-14 | 英业达股份有限公司 | 利用iSCSI协议访问逻辑设备的方法 |
-
2007
- 2007-12-07 CN CN2007101790159A patent/CN101188558B/zh active Active
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281263A (zh) * | 2010-06-13 | 2011-12-14 | 杭州华三通信技术有限公司 | 一种建立iSCSI会话的方法和iSCSI发起方 |
| CN102281263B (zh) * | 2010-06-13 | 2014-10-22 | 杭州华三通信技术有限公司 | 一种建立iSCSI会话的方法和iSCSI发起方 |
| CN101951327A (zh) * | 2010-07-02 | 2011-01-19 | 中兴通讯股份有限公司 | 一种iSCSI网络系统以及检测网络故障的方法 |
| CN101951327B (zh) * | 2010-07-02 | 2014-04-30 | 中兴通讯股份有限公司 | 一种iSCSI网络系统以及检测网络故障的方法 |
| CN101917458A (zh) * | 2010-07-12 | 2010-12-15 | 杭州华三通信技术有限公司 | 一种向客户机发送网络引导程序的方法及装置 |
| CN101917458B (zh) * | 2010-07-12 | 2013-12-11 | 杭州华三通信技术有限公司 | 一种向客户机发送网络引导程序的方法及装置 |
| CN105635235A (zh) * | 2014-12-01 | 2016-06-01 | 阿里巴巴集团控股有限公司 | 访问控制方法和用于访问控制的网络节点 |
| CN105635235B (zh) * | 2014-12-01 | 2018-10-09 | 阿里巴巴集团控股有限公司 | 访问控制方法和用于访问控制的网络节点 |
| CN107395615A (zh) * | 2017-08-11 | 2017-11-24 | 杭州迪普科技股份有限公司 | 一种打印机安全防护的方法和装置 |
| CN107968825A (zh) * | 2017-11-28 | 2018-04-27 | 新华三技术有限公司 | 一种报文转发控制方法及装置 |
| CN107968825B (zh) * | 2017-11-28 | 2021-06-29 | 新华三技术有限公司 | 一种报文转发控制方法及装置 |
| CN112087534A (zh) * | 2020-09-12 | 2020-12-15 | 洪世协 | 一种简便可溯源无线路由器实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101188558B (zh) | 2010-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101188558B (zh) | 访问控制方法、单元及网络设备 | |
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| CN101277308B (zh) | 一种隔离内外网络的方法、认证服务器及接入交换机 | |
| JP5029701B2 (ja) | 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置 | |
| JP4168052B2 (ja) | 管理サーバ | |
| US20120204264A1 (en) | Method, apparatus and system for detecting botnet | |
| US8201221B2 (en) | Data transmission control on network | |
| CN104426837B (zh) | Ftp的应用层报文过滤方法及装置 | |
| JP2003528484A (ja) | 異なるネットワーク間で安全にデータ交換する方法およびトランザクションインタフェース | |
| WO2006095438A1 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
| WO2009037700A2 (en) | Remote computer access authentication using a mobile device | |
| CN101018233B (zh) | 会话的控制方法及控制装置 | |
| CN101378395A (zh) | 一种防止拒绝访问攻击的方法及装置 | |
| CN101309272A (zh) | 认证服务器及虚拟专用网的移动通信终端接入控制方法 | |
| WO2016202007A1 (zh) | 一种设备运维方法及系统 | |
| WO2009140889A1 (zh) | 一种数据传输控制方法以及数据传输控制装置 | |
| CN101022458B (zh) | 会话的控制方法及控制装置 | |
| US9608973B2 (en) | Security management system including multiple relay servers and security management method | |
| CN101984693A (zh) | 终端接入局域网的监控方法和监控装置 | |
| WO2008155428A1 (en) | Firewall control system | |
| CN111526150A (zh) | 关于单集群或多集群云电脑远程运维端口零信任自动化规则放行平台及放行方法 | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| CN101697550A (zh) | 一种双栈网络访问权限控制方法和系统 | |
| CN101820414A (zh) | 一种主机接入控制系统及方法 | |
| CN109040225A (zh) | 一种动态端口桌面接入管理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |