CN101449275A - 用于存储装置的安全访问控制的系统、方法和计算机程序产品 - Google Patents
用于存储装置的安全访问控制的系统、方法和计算机程序产品 Download PDFInfo
- Publication number
- CN101449275A CN101449275A CNA2007800183956A CN200780018395A CN101449275A CN 101449275 A CN101449275 A CN 101449275A CN A2007800183956 A CNA2007800183956 A CN A2007800183956A CN 200780018395 A CN200780018395 A CN 200780018395A CN 101449275 A CN101449275 A CN 101449275A
- Authority
- CN
- China
- Prior art keywords
- control information
- access control
- block
- cryptoguard
- block based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
Abstract
提供了一种用于访问存储装置的方法,所述方法包括:由存储装置接收基于块的存储访问命令和密码保护的访问控制信息;其中基于块的存储访问命令和密码保护的访问控制信息与至少一个固定尺寸的数据块和客户端相关联;通过使用存储装置和安全实体可访问的秘密密钥来处理密码保护的访问控制信息的至少一部分;以及响应于处理的结果,选择性地执行基于块的存储访问命令。
Description
技术领域
本发明涉及用于访问存储装置的方法、系统和计算机程序产品。
背景技术
现代存储系统利用小计算机系统接口(SCSI)协议用于在诸如但不限于主机计算机和存储单元那样的设备之间传送数据。
基于块的命令(诸如但不限于SCSI块命令)被使用来访问用于存储固定尺寸的数据块的基于块的存储单元。一个或多个数据块形成逻辑单元(LUN),而每个固定尺寸的数据块通过逻辑块地址被寻址。
基于块的SCSI命令没有用于访问控制的内置机制。换句话说,基于块的SCSI命令协议不提供可以规定或强制对于位于某个逻辑块地址的给定的固定尺寸数据块的访问控制的机制。
没有这样的访问控制机制在可以把多个主机连接到多个存储单元的存储域网(SAN)中导致了实际的限制。在现代的SAN中,单个(共享的)存储装置可以把多个客户端的数据存储在多个逻辑单元中,其中每个客户端应当访问由存储装置提供服务的逻辑单元的子集。
许多现代SAN由光纤通道交换结构(Switched Fabric)实施。图1显示环境80,环境80包括多个计算机10-18、多个服务器30-34、交换结构40和多个存储装置50-56。计算机10-18经由网络20被连接到服务器30-34。网络20还经由防火墙22被连接到互联网26。
服务器30-34中的每个服务器经由一个或多个主机总线适配器(HBA)被连接到交换结构40,而存储装置50-56经由一个或多个FC主机适配器(HA)被连接到交换结构交换机40。
计算机10-18中的计算机可以把对于接收文件的请求发送到服务器30-34中的服务器。该服务器可以接收请求,和作为应答,生成对于接收被存储在存储装置50-56中的存储系统内的一个或多个固定尺寸的数据块的一个或多个请求。服务器可以生成用来访问一个或多个固定尺寸的数据块的一个或多个基于块的SCSI命令。
在这些SAN中,分区和可替换地或附加地,逻辑单元屏蔽,被使用来提供访问控制机制。这些机制是基于限制HBA与HA端口之间的连接性和通过特定的HA端口和HBA端口的逻辑单元的可访问性。结构分区包括把光纤通道交换结构划分成区域,其中如果两个节点都属于公共区域的话,结构节点可以仅仅与另一个结构节点通信。节点可通过它们的光纤通道结构地址或通过它们的世界范围端口名称(WWPN)被识别。逻辑单元屏蔽包括保持规定可以访问存储逻辑单元的主机HBA端口的访问控制列表。
N_端口_ID虚拟化(NPIV)是用于虚拟化HBA端口从而使能根据虚拟机而不是根据物理机器进行分区和LUN屏蔽的标准。
光纤通道安全协议(FC-SP)标准(由技术委员会T11拥有)规定用于提供在结构中的节点之间的数据交换的安全通道的标准。
结构分区和逻辑单元屏蔽未充分地适合于现代计算环境,其中一个或多个虚拟机可以由单个主机托管,特别是在把虚拟机(或虚拟机部分)动态地分配给主机计算机的环境下。
基于对象的存储装置(OSD)系统把数据组织为可变尺寸的对象。数据单元不是通过逻辑块地址被访问,而是通过对象识别信息被访问。ANSI T10 OSD标准规定不适合于支持固定尺寸的数据单元且也不使用基于块的SCSI命令的基于对象的访问控制机制。
大多数现有的系统以及各种现代系统不是OSD系统。它们可以通过基于块的存储访问命令被访问。所以需要提供用于访问基于块的存储装置的有效方法、系统和计算机程序产品。
发明内容
一种用于访问存储装置的方法,该方法包括:由存储装置接收基于块的存储访问命令和密码保护的访问控制信息;其中基于块的存储访问命令和密码保护的访问控制信息与至少一个固定尺寸的数据块以及与客户端相关联;通过使用存储装置和安全实体可访问的秘密密钥来处理密码保护的访问控制信息的至少一部分;以及响应于处理的结果来选择性地执行基于块的存储访问命令。
方便地,基于块的存储访问命令与至少一个固定尺寸的数据块相关联,以及其中密码保护的访问控制信息与包括所述至少一个固定尺寸的数据块和附加的固定尺寸的数据块的逻辑单元相关联。
方便地,密码保护的访问控制信息包括能力信息和验证标记;其中所述处理包括通过使用验证标记和秘密密钥来至少认证能力信息。
方便地,该方法还包括通过使用第一链路发送秘密密钥,而通过第二链路接收基于块的存储访问命令。
方便地,基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。
方便地,基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。
方便地,基于块的存储访问命令是网络块设备(NBD)命令。
附图说明
从以下结合附图所做的详细说明中,将更全面地懂得和理解本发明,其中:
图1显示现有技术环境;
图2显示按照本发明的实施例的环境;
图3显示按照本发明的实施例的环境;
图4显示按照本发明的实施例的、在各种实体之间的逻辑连接;
图5显示按照本发明的实施例的、用于访问存储装置的方法;
图6显示按照本发明的实施例的、用于访问存储装置的方法;以及
图7显示按照本发明的实施例的、用于访问存储装置的方法。
具体实施方式
用于访问基于块的存储装置的方法、系统和计算机程序产品。根据规定客户端对于一个或多个固定尺寸的数据块的访问权限的访问控制策略,访问可被许可或拒绝。多个固定尺寸的数据块之一可以形成逻辑单元或逻辑单元的一部分。客户端和访问控制的定义可以随实施方案而变化。客户端的访问权限可以动态地改变。客户端可以是物理服务器、虚拟机或另一个逻辑实体。
下面提到的设备、方法和计算机程序产品本质上是逻辑的,而不是物理的。起到客户端作用的实体是灵活的,它可以以相当任意的方式被选择用于任何实施方案。
基于块的方法使用比基于对象的方法更简单的和小得多的存储访问命令。对于描述对象所需要的元数据的数量比对于描述一个或多个块所需要的元数据的数量大得多。
为了便于说明起见,以下的某些例子将涉及到SCSI命令。本领域技术人员将会理解,本发明可应用于其它基于块的存储访问命令。例如,基于块的存储访问命令可以是在通用并行文件存储(GPFS)系统中使用来访问虚拟共享的盘(VSD)的GPFS命令。GPFS通过从在多个盘(或多个存储装置)上的各个文件“剥离”固定尺寸的数据块和并行地读出和/或写入这些块而提供高性能I/O。另外,GPFS可以以单个I/O操作读出或写入大的数据块。
GPFS的虚拟共享盘(VSD)部件支持三种配置--存储访问网络(SAN)附加模型、VSD服务器模型和混合模型。为了说明简单起见,示出SAN附加模型。本领域技术人员将会理解,所示出的方法、系统和计算机程序产品可以应用到这三种配置的任一种配置。
对于另一个例子,当使用网络块设备(NBD)协议时,可以应用所示出的方法、系统和计算机程序产品。NBD在本地客户端上仿真一个块设备,诸如硬盘或硬盘分区,但通过网络连接到提供真实的物理备份的远程服务器。NBD可被使用来把基于块的命令从NBD客户端传送到位于远程服务器中的NBD设备(它接着执行基于块的命令),以及作为应答,接收状态和数据。NBD协议在SCSI层之上,在较高的Unix/Linux块设备层运行,因此消除了在通过网络把通用的块命令发送到存储系统之前把通用的块命令转换成基于块的SCSI命令的需要。
图2显示按照本发明的实施例的环境90。
环境90包括适于参加访问控制策略的实施的安全管理器70。另外,服务器30’-34’还适于生成与密码保护的访问控制信息相关联的基于块的命令。
典型地,密码保护的访问控制信息与可包括许多固定尺寸块的逻辑单元或逻辑单元的一部分相关联,而基于块的存储访问命令涉及到在该逻辑单元内或在该逻辑单元的一部分内的一个或多个固定尺寸块。
应当指出,密码保护的访问控制信息以及访问控制信息不一定必须包括客户端识别信息。方便地,安全管理器响应于客户端的身份来选择哪个访问控制信息发送到客户端,但所述身份并不包括在访问控制信息中,而且也不被提供在由客户端生成的密码保护的访问控制信息中。
环境90包括多个计算机10-18、多个服务器30’-34’、存储域网络40’(它可以是交换结构SAN)和多个存储装置50-56。
计算机10-18经由网络20被连接到服务器30’-34’。网络20也经由防火墙22被连接到互联网26。
应当指出,安全管理器70可以位于不同的位置,以及可以以各种方式被连接到不同的计算机、服务器和存储单元。
还应当指出,多个安全管理器可以被分配每组服务器和存储装置。还应当指出,安全管理器可以由集中式架构或由分布式架构来表征,以及安全管理器的各个部分可以处在不同的服务器、计算机和网络中。例如,安全管理器可以被嵌入到服务器中或被嵌入到托管一个或多个虚拟机的计算机中,以及可以取作为分布式应用运行的分布式应用的形式。
按照本发明的实施例,安全管理器70可以被嵌入到一个或多个服务器和/或被嵌入到一个或多个存储装置中。
安全管理器70可以被连接到存储域网络40’,但不一定必须如此。安全管理器可以经由不属于存储访问网40’的链路被连接到服务器30’-34’和存储装置50-56。在服务器30’-34’及存储装置50-56和安全管理器70之间连接的虚线代表这些链路。
假设安全管理器70是可信的实体。因此,它可以按照预定的协议工作;它可以适当地存储秘密密钥和可以实施访问控制策略。存储装置50-56也是可信的。假设每个存储装置能够遵循协议和适当地存储秘密密钥。
服务器,诸如服务器34’,可以托管希望对某个固定尺寸的数据块(例如,属于被存储在存储装置56中的逻辑单元51的数据块57-k)执行某个操作(诸如但不限于,读操作或写操作)的客户端(例如,客户端11)。
客户端11可以从安全管理器70请求证书。假设客户端11被授权对于数据块57-k执行所请求的操作,安全管理器70将通过把包括能力信息和能力密钥的证书返回到客户端11而进行回答。
方便地,证书不依赖于客户端的身份或它的位置。证书可被客户端使用来通过使用传送基于块的命令和数据的任何联网机制从任何物理位置访问逻辑单元51中的一个或多个固定尺寸块。因此,基于证书的解决方案适合于动态服务器环境,而且也使得它不依赖于被用作为传输层的网络技术。
能力信息规定客户端11对于数据块57-k的访问权限,但典型地按逻辑单元规定能力信息。应当指出,可以针对逻辑单元的每一部分规定能力信息,其中该部分包括一个或多个固定尺寸的数据块。能力信息是公共的。它可以是位图(其中每个比特值确定是否允许某种类型的操作),但它也可以具有其它格式。
能力密钥是秘密的。它可以通过把数学函数(诸如,密码单向函数)施加到能力信息上和施加到在安全管理器70与存储装置56之间共享的秘密密钥上而被计算。
客户端11接收能力密钥和能力信息,以及通过使用能力密钥而计算验证标记。验证标记的结构和用法依赖于用来在客户端11与存储装置56之间输送信息的传输层的安全水平。
例如,如果存储域网40’利用提供诸如FC-SP安全通道那样的安全通道的安全机制,则验证标记可以从客户端11发送到存储装置56。如果例如存储域网40’是不太安全的,则验证标记和/或附加信息可被计算,以便避免证书在从客户端11发送到存储装置56之前被重放。
客户端11然后把基于块的存储访问命令以及能力信息和验证标记发送到存储装置56。
存储装置56接收基于块的存储访问命令、能力信息和验证标记,以及使用验证标记和秘密密钥来至少认证能力信息。
如果验证是成功的,则执行所请求的命令。否则--拒绝基于块的存储访问命令。
图3显示按照本发明的实施例的环境100。
计算机10’-18’被连接到存储域网40’。因此,它们可以托管可访问一个或多个存储装置的客户端。这个客户端可以与安全管理器通信,计算验证标记,和把基于块的存储访问命令以及密码保护的访问控制信息发送到存储装置。
为了简化说明起见,假设客户端13(被托管在计算机10’上)希望对于属于逻辑单元55的固定尺寸的数据块55-j执行某个操作(诸如但不限于,读操作或写操作),以及逻辑单元55被存储在存储装置54中。
客户端13将从安全管理器70请求证书。假设客户端13被授权对于数据块55-j执行所请求的操作,则安全管理器70将通过把包括能力信息和能力密钥的证书返回到客户端13来应答。
能力信息规定客户端13对于数据块55-j或对于整个逻辑单元55的访问权限。
能力密钥可以通过把数学函数(诸如,密码单向函数)施加到能力信息上和施加到在安全管理器70与存储装置54之间共享的秘密密钥上而被计算(由安全管理器70)。
客户端13接收能力密钥和能力信息,以及通过使用能力密钥而计算验证标记。验证密钥的结构和用法依赖于在客户端13与存储装置54之间的链路的安全水平。
客户端13然后把应当由存储装置54执行的基于块的存储访问命令以及它从安全管理器70接收的能力信息和它计算的验证标记发送到存储装置54。
存储装置56接收基于块的存储访问命令、能力信息和验证标记(或代表验证标记的信息),并使用验证标记以及秘密密钥来至少认证能力信息。
如果验证是成功的,则执行所请求的命令。否则--拒绝基于块的存储访问命令。
方便地,如果基于块的存储访问命令是基于块的SCSI命令,则它可以是SCSI I/O命令、存储控制器命令、用于复制服务的SCSI命令、以及SCSI控制类型命令。
SCSI I/O命令可包括以它们的各种形式的READ(读)命令和WRITE(写)命令以及可被看作为暗示写(例如,FORMAT_UNITSCSI命令)的SCSI命令。对于这些I/O SCSI命令,可以按照目标为特定的逻辑单元的操作组,规定很大的一组访问权限。
控制器的命令可包括REPORT LUNS命令。对于这样的命令,能力信息应当规定目标为该命令的逻辑单元(例如,LUN零)。这样的能力实施是/否策略(客户端是否可以对于控制器执行特定的命令)。
可以由块设备通过使用标准EXTENDED COPY(扩展的拷贝)命令或通过使用特定于零售商的命令类型来支持用于复制服务的SCSI命令,以及机制也可应用于它们。机制也可被使用来实施对于诸如INQUIRY(询问)和SEND DIAGNOSTIC(发送诊断)那样的控制类型命令的访问。
图4显示按照本发明的实施例的、在各种实体之间的逻辑连接。
图4显示诸如虚拟机111和113那样的客户端、存储域网140、安全管理器160、存储装置接口52-1、和被存储在存储装置52中的两个逻辑单元51与53。
应当指出,包括客户端和逻辑单元的各种逻辑实体可被托管或被存储在可以以各种方式互相连接的物理设备,以及在存储域网140的前面或后面可以有一个或多个网络,诸如但不限于网络20。
方便地,虚拟机可以由图1的计算机10-18中的一个计算机托管,或由服务器30’-34’中的一个服务器托管。虚拟机111和113通过使用与密码保护的访问控制信息相关联的基于块的存储访问命令与存储装置52通信。
虚拟机111可以通过一系列步骤访问固定尺寸的数据块,诸如块51-m。它首先把对于接收与虚拟机111和与块51-m(或与逻辑单元51)相关的访问控制信息的请求发送到安全管理器70。
在接收到来自安全管理器160的访问控制信息后,虚拟机111生成与基于块的存储访问命令相关联的密码保护的访问控制信息。所述信息和命令(也称为打包的基于块的存储访问命令)通过存储域网140发送到存储装置52,特别是发送到存储装置接口52-1。存储装置接口52-1使用秘密密钥来确定是否应当执行基于块的存储访问命令。
方便地,虚拟机111通过第一链路(诸如链路163)发送打包的基于块的存储访问命令,同时它通过另一个链路(诸如链路162)与安全管理器160交换信息。
图5显示按照本发明的实施例的、用于访问存储装置的方法200。
方法200的各个步骤可以由存储装置实现,但这不一定必须如此。
方法200从由存储装置接收基于块的存储访问命令和密码保护的访问控制信息的步骤220开始。基于块的存储访问命令和密码保护的访问控制信息与一个或多个固定尺寸的逻辑块相关联。
方便地,基于块的存储访问命令与一个或多个固定尺寸块相关联,以及其中密码保护的访问控制信息与可包括多个固定尺寸的数据块--它包括该一个或多个固定尺寸的数据块以及附加的固定尺寸的数据块--的逻辑单元或逻辑单元的一部分相关联。
步骤220后面是通过使用存储装置和安全实体可访问的秘密密钥而处理密码保护的访问控制信息的至少一部分的步骤230。方便地,基于块的存储访问命令和受到保护的访问控制信息通过与在其上发送共享的秘密的通信链路不同的通信链路被接收。
方便地,密码保护的访问控制信息包括能力信息和验证标记,以及步骤230包括通过使用验证标记和秘密密钥至少认证能力信息。
步骤230后面是响应于处理的结果来选择性地执行基于块的存储访问命令的步骤240。因此,如果认证成功,则执行基于块的存储访问命令。
图6显示按照本发明的实施例的、用于访问存储装置的方法300。
方法300的各个步骤可以由客户端实施,但这不一定必须如此。
方法300从把对于接收与一个或多个固定尺寸的逻辑块和客户端相关联的访问控制信息的请求发送到安全实体的步骤320开始。
步骤320后面是接收访问控制信息的步骤330。
步骤330后面是响应于访问控制信息生成密码保护的访问控制信息的步骤340。步骤340通常包括利用由安全实体提供的能力密钥。
步骤340后面是提供与密码保护的访问控制信息相关联的基于块的存储访问命令的步骤350。
方便地,步骤320包括利用第一链路,而步骤340包括利用第二链路。
方便地,步骤340包括通过存储域网提供基于块的存储访问命令。
图7显示按照本发明的实施例的、用于访问存储装置的方法400。
方法400的各个步骤可以通过诸如客户端那样的实体、安全实体和存储装置的组合来实现,但这不一定必须如此。
方法400从把对于接收与至少一个固定尺寸的数据块和客户端相关联的访问控制信息的请求发送到安全实体的步骤410开始。该至少一个固定尺寸的数据块可以形成逻辑单元或逻辑单元的一部分。
步骤410后面是提供访问控制信息的步骤420。步骤420也包括提供诸如能力密钥那样的附加信息。
步骤420后面是响应于访问控制信息和响应于能力密钥来生成密码保护的访问控制信息的步骤430。
步骤430后面是把与密码保护的访问控制信息相关联的基于块的存储访问命令发送到存储装置的步骤440。
步骤440后面是由存储装置接收基于块的存储访问命令和密码保护的访问控制信息的步骤450。步骤450也包括通过使用存储装置和安全实体可访问的秘密密钥而至少处理密码保护的访问控制信息的一部分。
步骤450后面是响应于处理的结果来选择性地执行基于块的存储访问命令的步骤460。
下面图解说明打包的SCSI命令的各种示例性格式。基于块的SCSI命令可包括命令参数和数据:[命令参数,数据]。
如果例如基础传输层被保护和保证消息整体性和真实性、抗重放和防止中间人攻击,则打包的SCSI命令可以是[命令参数,能力信息,有效性]数据,而验证标记可以是FKcap(安全令牌)。安全令牌是由存储装置选择的传输安全通道的独特的标识符。Kcap是能力密钥,函数F是施加到能力密钥上的数学函数。
如果例如基础传输没有被保护,则打包的SCSI命令将是:[命令参数,能力信息,数据][FKcap(安全令牌,命令参数,能力信息,数据)],其中这里安全令牌可以是独特的每个命令的现时(nonce),以及可能用于抗重放的其它字段。FKcap代表通过使用证书密钥而施加的密码函数。
此外,本发明可以取从计算机可使用的或计算机可读的媒体可访问的计算机程序产品的形式,上述媒体提供由计算机或任何指令执行系统或结合计算机或任何指令执行系统使用的程序代码。出于本说明的目的,计算机可使用的或计算机可读的媒体可以是可包含、存储、通信、传播、或传输由指令执行系统、设备、或装置或结合指令执行系统、设备、或装置使用的程序的任何设备。
媒体可以是电子、磁、光、电磁、红外、或半导体系统(或设备或装置)或传播媒体。计算机可读媒体的例子包括半导体或固态存储器、磁带、可拆卸计算机盘、随机存取存储器(RAM)、只读存储器(ROM)、刚性磁盘和光盘。光盘的当前例子包括光盘-只读存储器(CD-ROM)、光盘-读/写(CD-R/W)、和DVD。
适用于存储和/或执行程序代码的数据处理系统将包括至少一个处理器,该处理器直接地或通过系统总线间接地耦合到存储器单元,存储器单元可包括在程序代码的实际执行期间被采用的本地存储器、海量存储装置、和高速缓存存储器,这些存储器提供了至少某些程序代码的临时存储,以便减小在执行期间必须从海量存储装置检索代码的次数。
输入/输出或I/O设备(包括但不限于,键盘、显示器、指向装置等等)可直接地或通过介入的I/O控制器被耦合到系统。
网络适配器也可以被耦合到系统,使得数据处理系统能够变为通过介入的专用或公共网络被耦合到其它数据处理系统或远程打印机或存储装置。调制解调器、电缆调制解调器和以太网卡仅仅是几种当前可得到的网络适配器。
本领域普通技术人员将会想到对于这里描述的方案的改变、修改和其它实施方案,而不背离所要求的本发明的精神和范围。
因此,本发明不是由前面的说明性描述规定,而是由以下的权利要求的精神和范围规定。
Claims (35)
1.一种用于访问存储装置的方法,所述方法包括:
由存储装置接收基于块的存储访问命令和密码保护的访问控制信息;其中基于块的存储访问命令和密码保护的访问控制信息与至少一个固定尺寸的数据块和客户端相关联;
通过使用存储装置和安全实体可访问的秘密密钥来处理密码保护的访问控制信息的至少一部分;以及
响应于处理的结果,选择性地执行基于块的存储访问命令。
2.按照权利要求1的方法,其中密码保护的访问控制信息与包括所述至少一个固定尺寸的数据块和附加的固定尺寸的数据块的逻辑单元的至少一部分相关联。
3.按照权利要求1或2的方法,其中密码保护的访问控制信息包括能力信息和验证标记;其中处理步骤包括:
通过使用验证标记和秘密密钥来至少认证能力信息。
4.按照权利要求1、2或3的方法,还包括:
通过使用第一链路来接收秘密密钥,而通过第二链路接收基于块的存储访问命令。
5.按照权利要求1到4的任一项的方法,其中基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。
6.按照权利要求1到5的任一项的方法,其中基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。
7.一种用于访问存储装置的方法,所述方法包括:
把对于接收与至少一个固定尺寸的数据块和客户端相关联的访问控制信息的请求发送到安全实体;
接收访问控制信息和能力密钥;
基于所接收的访问控制信息和能力密钥,生成密码保护的访问控制信息;以及
提供与密码保护的访问控制信息相关联的基于块的存储访问命令。
8.按照权利要求7的方法,其中发送步骤包括:利用第一链路,而提供步骤包括利用第二链路。
9.按照权利要求7或8的方法,其中基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。
10.按照权利要求7、8或9的方法,其中基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。
11.一种计算机程序产品,包括计算机可使用媒体,所述计算机可使用媒体包括计算机可读程序,其中计算机可读程序在计算机上被执行时使得计算机进行:
接收基于块的存储访问命令和密码保护的访问控制信息;其中基于块的存储访问命令和密码保护的访问控制信息与至少一个固定尺寸的数据块和客户端相关联;
通过使用存储装置和安全实体可访问的秘密密钥来处理密码保护的访问控制信息的至少一部分;以及
响应于处理的结果,选择性地执行基于块的存储访问命令。
12.按照权利要求11的计算机程序产品,其中基于块的存储访问命令与至少一个固定尺寸的数据块相关联,以及其中密码保护的访问控制信息与包括所述至少一个固定尺寸的数据块和附加的固定尺寸的数据块的逻辑单元相关联。
13.按照权利要求11或12的计算机程序产品,其中密码保护的访问控制信息包括能力信息和验证标记;其中计算机可读程序在计算机上被执行时使得计算机通过使用验证标记和秘密密钥来至少认证能力信息。
14.按照权利要求11、12或13的任一项的计算机程序产品,其中计算机可读程序在计算机上被执行时使得计算机通过使用第一链路来接收秘密密钥,而通过第二链路来接收基于块的存储访问命令。
15.按照权利要求11到14的任一项的计算机程序产品,其中基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。
16.按照权利要求11到15的任一项的计算机程序产品,其中基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。
17.一种计算机程序产品,包括计算机可使用媒体,所述计算机可使用媒体包括计算机可读程序,其中计算机可读程序在计算机上被执行时使得计算机进行:
把对于接收与至少一个固定尺寸的数据块和客户端相关联的访问控制信息的请求发送到安全实体;
接收访问控制信息和能力密钥;
基于访问控制信息和能力密钥,生成密码保护的访问控制信息;以及
提供与密码保护的访问控制信息相关联的基于块的存储访问命令。
18.按照权利要求17的计算机程序产品,其中计算机可读程序在计算机上被执行时使得计算机通过第一链路发送对于接收与至少一个固定尺寸的数据块相关联的访问控制信息的请求,以及通过第二链路提供与密码保护的访问控制信息相关联的基于块的存储访问命令。
19.按照权利要求17或18的计算机程序产品,其中基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。
20.按照权利要求17、18或19的计算机程序产品,其中基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。
21.一种具有数据访问能力的系统,所述系统包括:
存储装置,所述存储装置包括存储媒体和存储装置接口,所述存储装置接口适于接收基于块的存储访问命令和密码保护的访问控制信息;其中基于块的存储访问命令和密码保护的访问控制信息与至少一个固定尺寸的逻辑块和客户端相关联;其中存储装置适于通过使用存储装置和安全实体可访问的秘密密钥来处理密码保护的访问控制信息的至少一部分以及响应于处理的结果来选择性地执行基于块的存储访问命令。
22.按照权利要求21的系统,其中密码保护的访问控制信息与包括所述至少一个固定尺寸的逻辑块和附加的固定尺寸的块的逻辑单元的至少一部分相关联。
23.按照权利要求21或22的系统,其中密码保护的访问控制信息包括能力信息和验证标记;其中存储装置适于通过使用验证标记和秘密密钥而至少认证能力信息。
24.按照权利要求21、22或23的系统,适于通过使用第一链路来接收秘密密钥,而通过第二链路来接收基于块的存储访问命令。
25.按照权利要求21到24的任一项的系统,其中基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。
26.按照权利要求21到25的任一项的系统,其中基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。
27.一种系统,包括主机计算机和接口;其中接口适于接收访问控制信息;其中主机计算机适于托管客户端的至少一部分,所述客户端适于把对于接收与至少一个固定尺寸的数据块和客户端相关联的访问控制信息的请求发送到安全实体;响应于访问控制信息和能力密钥,生成密码保护的访问控制信息;以及提供与密码保护的访问控制信息相关联的基于块的存储访问命令。
28.按照权利要求27的系统,其中系统适于利用第一链路发送请求,以及还适于利用第二链路提供基于块的存储访问命令。
29.按照权利要求27或28的系统,其中基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。
30.按照权利要求27、28或29的系统,其中基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。
31.一种用于访问存储装置的方法,所述方法包括:
把对于接收与至少一个固定尺寸的数据块和客户端相关联的访问控制信息的请求发送到安全实体;
提供访问控制信息和能力密钥;
基于访问控制信息和能力密钥,生成密码保护的访问控制信息;
把与密码保护的访问控制信息相关联的基于块的存储访问命令发送到存储装置;
由存储装置接收基于块的存储访问命令和密码保护的访问控制信息;
通过使用存储装置和安全实体可访问的秘密密钥来处理密码保护的访问控制信息的至少一部分;以及
响应于处理的结果来选择性地执行基于块的存储访问命令。
32.按照权利要求31的方法,其中密码保护的访问控制信息包括能力信息和验证标记;其中处理步骤包括通过使用验证标记和秘密密钥来至少认证能力信息。
33.按照权利要求31或32的方法,还包括:通过使用第一链路来接收秘密密钥,而通过第二链路来接收基于块的存储访问命令。
34.按照权利要求31、32或33的方法,其中基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。
35.按照权利要求31、32、33或34的方法,其中基于块的存储访问命令是基于块的通用并行文件系统虚拟共享盘(GPFS/VSD)命令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/422,096 US20080022120A1 (en) | 2006-06-05 | 2006-06-05 | System, Method and Computer Program Product for Secure Access Control to a Storage Device |
| US11/422,096 | 2006-06-05 | ||
| PCT/EP2007/055390 WO2007141206A2 (en) | 2006-06-05 | 2007-06-01 | System, method and computer program product for secure access control to a storage device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101449275A true CN101449275A (zh) | 2009-06-03 |
| CN101449275B CN101449275B (zh) | 2011-11-30 |
Family
ID=38669544
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800183956A Expired - Fee Related CN101449275B (zh) | 2006-06-05 | 2007-06-01 | 用于存储装置的安全访问控制的系统和方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20080022120A1 (zh) |
| EP (1) | EP2027554A2 (zh) |
| JP (1) | JP2009540408A (zh) |
| CN (1) | CN101449275B (zh) |
| IL (1) | IL195212A0 (zh) |
| WO (1) | WO2007141206A2 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102164177A (zh) * | 2011-03-11 | 2011-08-24 | 浪潮(北京)电子信息产业有限公司 | 一种集群共享存储池的方法、装置及系统 |
| CN109684860A (zh) * | 2018-12-29 | 2019-04-26 | 杭州宏杉科技股份有限公司 | 一种基于业务关系的数据加密方法及装置 |
| CN111447275A (zh) * | 2020-03-26 | 2020-07-24 | 深圳市中盛瑞达科技有限公司 | 存储系统和存储装置 |
| WO2021048701A1 (en) * | 2019-09-11 | 2021-03-18 | International Business Machines Corporation | Concurrent enablement of encryption on an operational path at a host port |
| US11188658B2 (en) | 2019-09-11 | 2021-11-30 | International Business Machines Corporation | Concurrent enablement of encryption on an operational path at a storage port |
| US11308243B2 (en) | 2019-09-11 | 2022-04-19 | International Business Machines Corporation | Maintenance of access for security enablement in a storage device |
| US11354455B2 (en) | 2019-09-11 | 2022-06-07 | International Business Machines Corporation | Maintenance of access for security enablement on a host system |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11237956B2 (en) * | 2007-08-13 | 2022-02-01 | Digital Kiva, Inc. | Apparatus and system for object-based storage solid-state device |
| US7970919B1 (en) * | 2007-08-13 | 2011-06-28 | Duran Paul A | Apparatus and system for object-based storage solid-state drive and method for configuring same |
| US9824006B2 (en) | 2007-08-13 | 2017-11-21 | Digital Kiva, Inc. | Apparatus and system for object-based storage solid-state device |
| CN101316273B (zh) * | 2008-05-12 | 2012-08-22 | 华中科技大学 | 一种分布式安全存储系统 |
| US8140853B2 (en) | 2008-07-01 | 2012-03-20 | International Business Machines Corporation | Mutually excluded security managers |
| US8375227B2 (en) | 2009-02-02 | 2013-02-12 | Microsoft Corporation | Abstracting programmatic representation of data storage systems |
| JP4972670B2 (ja) * | 2009-06-05 | 2012-07-11 | 株式会社日立製作所 | 仮想計算機システム、そのアクセス制御方法及び通信装置 |
| US8442228B2 (en) | 2010-04-06 | 2013-05-14 | MicroTechnologies LLC | Multi-class switching system and associated method of use |
| US9147081B2 (en) * | 2010-07-27 | 2015-09-29 | Infinidat Ltd. | Method of access control to stored information and system thereof |
| US9571576B2 (en) | 2010-11-30 | 2017-02-14 | International Business Machines Corporation | Storage appliance, application server and method thereof |
| US8839375B2 (en) * | 2012-05-25 | 2014-09-16 | Microsoft Corporation | Managing distributed operating system physical resources |
| US9094739B2 (en) | 2012-10-31 | 2015-07-28 | Unicorn Government, Inc. | Internet protocol switching system and associated method of use |
| CN103248623B (zh) * | 2013-04-18 | 2017-02-08 | 广东一一五科技股份有限公司 | 在线存储区域访问控制方法及系统 |
| US9374324B2 (en) | 2014-03-14 | 2016-06-21 | International Business Machines Corporation | Determining virtual adapter access controls in a computing environment |
| US9424216B2 (en) | 2014-03-14 | 2016-08-23 | International Business Machines Corporation | Ascertaining configuration of a virtual adapter in a computing environment |
| US9916263B2 (en) * | 2015-08-06 | 2018-03-13 | International Business Machines Corporation | Access of virtual machines to storage area networks |
| US10911483B1 (en) * | 2017-03-20 | 2021-02-02 | Amazon Technologies, Inc. | Early detection of dedicated denial of service attacks through metrics correlation |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5048085A (en) * | 1989-10-06 | 1991-09-10 | International Business Machines Corporation | Transaction system security method and apparatus |
| US5420998A (en) * | 1992-04-10 | 1995-05-30 | Fujitsu Limited | Dual memory disk drive |
| US5557765A (en) * | 1994-08-11 | 1996-09-17 | Trusted Information Systems, Inc. | System and method for data recovery |
| JPH10260939A (ja) * | 1997-03-19 | 1998-09-29 | Fujitsu Ltd | コンピュータネットワークのクライアントマシン認証方法,クライアントマシン,ホストマシン及びコンピュータシステム |
| US6049877A (en) * | 1997-07-16 | 2000-04-11 | International Business Machines Corporation | Systems, methods and computer program products for authorizing common gateway interface application requests |
| US6405312B1 (en) * | 1998-09-04 | 2002-06-11 | Unisys Corporation | Kerberos command structure and method for enabling specialized Kerbero service requests |
| CZ295455B6 (cs) * | 1998-10-14 | 2005-08-17 | Amecon Czech, S. R. O. | Způsob ochrany dat, uložených na paměťových médiích výpočetních systémů, a zařízení k provádění tohoto způsobu |
| US6643774B1 (en) * | 1999-04-08 | 2003-11-04 | International Business Machines Corporation | Authentication method to enable servers using public key authentication to obtain user-delegated tickets |
| US6449719B1 (en) * | 1999-11-09 | 2002-09-10 | Widevine Technologies, Inc. | Process and streaming server for encrypting a data stream |
| US6971016B1 (en) * | 2000-05-31 | 2005-11-29 | International Business Machines Corporation | Authenticated access to storage area network |
| US7012706B1 (en) * | 2000-10-10 | 2006-03-14 | Nexpress Digital Llc | System and method for interfacing with multiple production scanners |
| US7072057B1 (en) * | 2000-10-10 | 2006-07-04 | Nexpress Digital Llc | System and method for interfacing with a production scanner |
| US6915391B2 (en) * | 2000-12-15 | 2005-07-05 | International Business Machines Corporation | Support for single-node quorum in a two-node nodeset for a shared disk parallel file system |
| US7134138B2 (en) * | 2001-02-15 | 2006-11-07 | Emc Corporation | Methods and apparatus for providing security for a data storage system |
| JP2002278838A (ja) * | 2001-03-15 | 2002-09-27 | Sony Corp | メモリアクセス制御システム、デバイス管理装置、パーティション管理装置、メモリ搭載デバイス、およびメモリアクセス制御方法、並びにプログラム記憶媒体 |
| EP1407358B1 (en) * | 2001-06-06 | 2006-07-26 | Yahoo! Inc. | System and method for controlling access to digital content, including streaming media |
| US7729495B2 (en) * | 2001-08-27 | 2010-06-01 | Dphi Acquisitions, Inc. | System and method for detecting unauthorized copying of encrypted data |
| US20030135465A1 (en) * | 2001-08-27 | 2003-07-17 | Lee Lane W. | Mastering process and system for secure content |
| US7672903B2 (en) * | 2001-08-27 | 2010-03-02 | Dphi Acquisitions, Inc. | Revocation method and apparatus for secure content |
| US7110982B2 (en) * | 2001-08-27 | 2006-09-19 | Dphi Acquisitions, Inc. | Secure access method and system |
| US7024427B2 (en) * | 2001-12-19 | 2006-04-04 | Emc Corporation | Virtual file system |
| US7451217B2 (en) * | 2002-12-19 | 2008-11-11 | International Business Machines Corporation | Method and system for peer-to-peer authorization |
| US20040148360A1 (en) * | 2003-01-24 | 2004-07-29 | Hewlett-Packard Development Company | Communication-link-attached persistent memory device |
| JP4513271B2 (ja) * | 2003-03-20 | 2010-07-28 | 富士ゼロックス株式会社 | アクセス制御装置および方法 |
| US7590643B2 (en) * | 2003-08-21 | 2009-09-15 | Microsoft Corporation | Systems and methods for extensions and inheritance for units of information manageable by a hardware/software interface system |
| US7822976B2 (en) * | 2007-03-08 | 2010-10-26 | Kinghood Technology Co., Ltd. | Network data security system and protecting method thereof |
-
2006
- 2006-06-05 US US11/422,096 patent/US20080022120A1/en not_active Abandoned
-
2007
- 2007-06-01 WO PCT/EP2007/055390 patent/WO2007141206A2/en active Application Filing
- 2007-06-01 JP JP2009513657A patent/JP2009540408A/ja active Pending
- 2007-06-01 CN CN2007800183956A patent/CN101449275B/zh not_active Expired - Fee Related
- 2007-06-01 EP EP07729791A patent/EP2027554A2/en not_active Withdrawn
-
2008
- 2008-11-11 IL IL195212A patent/IL195212A0/en unknown
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102164177A (zh) * | 2011-03-11 | 2011-08-24 | 浪潮(北京)电子信息产业有限公司 | 一种集群共享存储池的方法、装置及系统 |
| CN109684860A (zh) * | 2018-12-29 | 2019-04-26 | 杭州宏杉科技股份有限公司 | 一种基于业务关系的数据加密方法及装置 |
| WO2021048701A1 (en) * | 2019-09-11 | 2021-03-18 | International Business Machines Corporation | Concurrent enablement of encryption on an operational path at a host port |
| US11188658B2 (en) | 2019-09-11 | 2021-11-30 | International Business Machines Corporation | Concurrent enablement of encryption on an operational path at a storage port |
| US11188659B2 (en) | 2019-09-11 | 2021-11-30 | International Business Machines Corporation | Concurrent enablement of encryption on an operational path at a host port |
| US11308243B2 (en) | 2019-09-11 | 2022-04-19 | International Business Machines Corporation | Maintenance of access for security enablement in a storage device |
| US11354455B2 (en) | 2019-09-11 | 2022-06-07 | International Business Machines Corporation | Maintenance of access for security enablement on a host system |
| GB2603350A (en) * | 2019-09-11 | 2022-08-03 | Ibm | Concurrent enablement of encryption of an operational path at a host port |
| GB2603350B (en) * | 2019-09-11 | 2023-01-11 | Ibm | Concurrent enablement of encryption of an operational path at a host port |
| CN111447275A (zh) * | 2020-03-26 | 2020-07-24 | 深圳市中盛瑞达科技有限公司 | 存储系统和存储装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080022120A1 (en) | 2008-01-24 |
| WO2007141206A3 (en) | 2008-02-07 |
| WO2007141206A2 (en) | 2007-12-13 |
| EP2027554A2 (en) | 2009-02-25 |
| IL195212A0 (en) | 2009-08-03 |
| CN101449275B (zh) | 2011-11-30 |
| JP2009540408A (ja) | 2009-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101449275B (zh) | 用于存储装置的安全访问控制的系统和方法 | |
| US9237131B2 (en) | Virtual private storage array service for cloud servers | |
| US8392682B2 (en) | Storage security using cryptographic splitting | |
| CN101983379B (zh) | 盘驱动器数据加密 | |
| CA2728895C (en) | Secure high performance multi-level security database systems and methods | |
| US8719594B2 (en) | Storage availability using cryptographic splitting | |
| US20100125730A1 (en) | Block-level data storage security system | |
| US20110289383A1 (en) | Retrieving data from a dispersed storage network in accordance with a retrieval threshold | |
| US20150212887A1 (en) | Rebuilding a data revision in a dispersed storage network | |
| US20100153703A1 (en) | Storage security using cryptographic splitting | |
| US20140164790A1 (en) | Storage security using cryptographic splitting | |
| US9384149B2 (en) | Block-level data storage security system | |
| US20140108797A1 (en) | Storage communities of interest using cryptographic splitting | |
| US20100161981A1 (en) | Storage communities of interest using cryptographic splitting | |
| AU2009313728A1 (en) | Storage communities of interest using cryptographic splitting | |
| US20100162032A1 (en) | Storage availability using cryptographic splitting | |
| JP2011048661A (ja) | 仮想サーバ暗号化システム | |
| US8135980B2 (en) | Storage availability using cryptographic splitting | |
| CN110633125A (zh) | 一种基于云平台存储的集成管理平台及管理方法 | |
| US20100161964A1 (en) | Storage communities of interest using cryptographic splitting | |
| AU2009313746A1 (en) | Storage security using cryptographic splitting | |
| CN114238938B (zh) | 一种pcie密码卡虚拟化配置管理方法 | |
| US20100162005A1 (en) | Storage communities of interest using cryptographic splitting | |
| CN107517268A (zh) | 一种基于san存储的数据操作方法、装置及系统 | |
| US20160337374A1 (en) | Access of a service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111130 Termination date: 20120601 |