CN101512539B - iSCSI和光纤通道认证 - Google Patents
iSCSI和光纤通道认证 Download PDFInfo
- Publication number
- CN101512539B CN101512539B CN2006800065813A CN200680006581A CN101512539B CN 101512539 B CN101512539 B CN 101512539B CN 2006800065813 A CN2006800065813 A CN 2006800065813A CN 200680006581 A CN200680006581 A CN 200680006581A CN 101512539 B CN101512539 B CN 101512539B
- Authority
- CN
- China
- Prior art keywords
- fibre channel
- authentication
- message
- starter
- iscsi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 239000000835 fiber Substances 0.000 title claims abstract description 190
- 238000000034 method Methods 0.000 claims abstract description 16
- 239000007858 starting material Substances 0.000 claims description 85
- 230000004044 response Effects 0.000 claims description 21
- 230000007246 mechanism Effects 0.000 claims description 10
- 239000013307 optical fiber Substances 0.000 claims description 9
- 238000013500 data storage Methods 0.000 claims description 5
- 238000003491 array Methods 0.000 claims 2
- 239000003999 initiator Substances 0.000 abstract description 4
- 238000007726 management method Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 240000004859 Gamochaeta purpurea Species 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Abstract
提供了用于认证连接到光纤通道存储区域网络的iSCSI启动器的方法和装置。iSCSI启动器通过一个或多个光纤通道交换机执行与诸如光纤通道主机或磁盘阵列之类的光纤通道目标的认证交换。在光纤通道交换机处不再需要诸如密码信息之类的认证信息,相反,认证信息可以聚集在光纤通道目标处。
Description
技术领域
本发明一般涉及存储区域网络。更具体地说,本发明提供用于iSCSI和光纤通道存储区域网络的认证机制。
背景技术
因特网小型计算机系统接口(iSCSI)允许用因特网协议(IP)网络将SCSI设备连接到存储区域网络(SAN)。例如,iSCSI启动器可以被连接到IP网络上的光纤通道交换机。光纤通道交换机可以被连接到光纤通道存储区域网络上的多个主机和磁盘阵列。
在传统实现方式中,在允许各种实体建立连接之前,通过让光纤通道交换机认证这些实体而提供安全性。例如,iSCSI启动器将与光纤通道交换机执行认证交换以将其本身认证到光纤通道交换机。诸如磁盘阵列之类的存储区域网络也将必须将它们本身认证到光纤通道交换机。
诸如磁盘阵列之类的光纤通道存储区域网络也将必须在允许各种实体建立连接之前认证这些实体。例如,连接到磁盘阵列的主机将与磁盘阵列执行认证交换以将其本身认证到该磁盘阵列。但是,让认证在许多不同的实体处执行会导致各种低效率。
因此,希望提供用于改善连接到光纤通道存储区域网络的认证启动器的能力的方法和装置。
发明内容
提供了用于认证连接到光纤通道存储区域网络的iSCSI启动器的方法和装置。iSCSI启动器通过一个或多个光纤通道交换机执行与诸如光纤通道主机或磁盘阵列之类的光纤通道目标的认证交换。在光纤通道交换机处不再需要诸如密码信息之类的认证信息,相反,认证信息可以聚集在光纤通道目标处。
在一个实施例中,提供了一种光纤通道交换机。该光纤通道交换机连接到因特网小型计算机系统接口(iSCSI)启动器和光纤通道目标。所述光纤通道交换机包括iSCSI接口、处理器和光纤通道接口。iSCSI接口被配置为从启动器接收第一认证协商消息。所述认证协商消息标识多个认证算法。处理器耦合到iSCSI接口。处理器被配置为将第一认证协商消息转换成用于光纤通道机构的第二认证协商消息。光纤通道接口被配置为将第二认证协商消息从光纤通道交换机发送到光纤通道目标。第二认证协商消息对应于第一认证协商消息。
在另一个实施例中,描述了一种用于提供启动器和光纤通道目标之间的认证的方法。在光纤通道交换机处从连接到该光纤通道交换机的启动器接收第一认证协商消息。所述认证协商消息标识多个认证算法。将第二认证协商消息从光纤通道交换机发送到光纤通道目标。第二认证协商消息对应于第一认证协商消息。在光纤通道交换机处从光纤通道目标接收第一认证挑战消息。该认证挑战消息包括随机序列。将第二认证挑战消息发送到启动器。第二认证挑战消息对应于第一认证挑战消息。
在另一个实施例中,提供了一种数据中心。该数据中心包括iSCSI启动器、光纤通道磁盘阵列和光纤通道交换机。光纤通道交换机连接到iSCSI启动器和光纤通道磁盘阵列。光纤通道交换机被配置为从启动器接收第一认证协商消息并且将第二认证协商消息发送到光纤通道磁盘阵列。光纤通道磁盘阵列使用第二认证协商消息和用于iSCSI启动器的密码信息来开始认证iSCSI启动器。
在另一个实施例中,提供了一种金融数据存储区域网络。该金融数据存储区域网络包括iSCSI启动器、光纤通道主机、光纤通道磁盘阵列和光纤通道交换机。光纤通道交换机连接到iSCSI启动器和光纤通道磁盘阵列。光纤通道交换机被配置为从启动器接收第一认证协商消息并且将第二认证协商消息发送到光纤通道磁盘阵列。光纤通道磁盘阵列使用第二认证协商消息和用于iSCSI启动器的密码信息来开始认证iSCSI启动器。
通过参照说明书的剩余部分和附图,可以实现对本发明的特性和优点的进一步理解。
附图说明
通过结合附图参照下面的描述,本发明可以被最好地理解,附图用于说明本发明的具体实施例。
图1是示出存储区域网络的图解表示。
图2是示出iSCSI启动器和光纤通道交换机之间的认证的事务图。
图3是示出光纤通道交换机和光纤通道目标主机/磁盘之间的认证的事务图。
图4是示出密码管理的图解表示。
图5是示出启动器目标认证的事务图。
图6是示出启动器目标密码管理的图解表示。
图7是示出光纤通道交换机处的消息处理的流程图。
图8是示出光纤通道交换机的图解表示。
具体实施方式
现在将详细参考本发明的一些具体实施例,包括发明人为了实现本发明所考虑最好模式。这些具体实施例的示例在附图中示出。虽然结合这些具体实施例描述本发明,但是将会了解到,不希望将本发明限制为所描述的实施例。相反,希望覆盖由所附权利要求书所限定的可以包括在本发明的精神和范围内的替换物、修改和等同物。
例如,将在光纤通道网络和因特网SCSI(iSCSI)的环境下描述本发明的技术。但是,应该注意,本发明的技术可以应用到光纤通道和iSCSI的各种不同变体和风格。在下面的描述中,给出了许多具体细节以提供对本发明的全面理解。可以在没有这些具体细节中的一些或者全部这些具体细节的情况下实践本发明。在其他示例中,未详细描述公知的处理操作,以免不必要地模糊本发明。
此外,为了清楚起见,有时将以单数形式描述本发明的技术和机制。但是,应该注意,除非另外表明,否则一些实施例可以包括技术的多次迭代或者机制的多次例化。例如,处理器用于各种环境。但是,将会知道,也可以使用多个处理器,而同时保持在本发明的范围内。
因特网小型计算机系统接口(iSCSI)允许SCSI设备通过具有光纤通道和IP接口两者的光纤通道交换机连接到存储区域网络(SAN)。光纤通道交换机允许iSCSI启动器与存储区域网络设备通信。
认证是一种允许诸如光纤通道交换机之类的实体来验证诸如磁盘阵列或启动器之类的其他实体的身份的安全机制。经常在存储区域网络的多个实体处提供认证能力。例如,光纤通道交换机通常设有这样的机制,该机制用于在iSCSI启动器和光纤通道磁盘阵列被允许与交换机建立连接之前认证iSCSI启动器和光纤通道磁盘阵列。在光纤通道交换机处保持用于各种iSCSI启动器和光纤通道磁盘阵列的密码。磁盘阵列也设有在允许建立连接之前认证光纤通道主机和iSCSI启动器的机制。在光纤通道交换机和iSCSI启动器之间运行认证交换。也在存储区域网络设备和光纤通道交换机之间以及不同的存储区域网络设备之间运行认证交换。用于iSCSI启动器和光纤通道主机的密码被保持在磁盘阵列处以允许认证。
即使正在认证诸如iSCSI启动器之类的同一设备,也在多个实体处执行认证。在多个地方进行认证导致管理的低效和复杂性。在一些示例中,使用诸如RADIUS服务器之类的集中密码管理服务器以允许某种简化。但是,即使利用RADIUS服务器,也必须在多个实体处配置设定。
因此,本发明的技术考虑提供组合的iSCSI认证和光纤通道认证。可以用单个认证交换在光纤通道设备处认证iSCSI启动器。不必再在许多实体处保持密码。根据各种实施例,仅在光纤通道磁盘阵列处保持密码。认证聚集在终端设备处。在光纤通道交换机处也可以选择性地提供对认证的支持。
诸如磁盘阵列之类的光纤通道终端设备能够iSCSI启动器,而不是仅仅光纤通道交换机。在光纤通道交换机处不再需要认证配置。
图1是使用本发明技术的存储区域网络的一个示例的图解表示。交换机101耦合到交换机103和105以及主机111、主机117和存储器121。在一个实施例中,主机111是服务器系统或客户端系统,而存储器121是诸如单个磁盘或者独立磁盘冗余阵列(RAID)之类的任何存储子系统。交换机105耦合到交换机107。在典型的实现方式中,交换机101-109仅提供对流量流的恰好的过程统计信息,例如所传输的总帧数或帧计数。交换机107连接到主机113,交换机103连接到存储资源123。交换机103还连接到IP网络上的iSCSI启动器131和133。交换机109连接到主机115、交换机107、存储资源153和外部网络151,网络151可能使用或者可能不使用光纤通道。为了让主机111访问外部网络151,可以使用穿过交换机105的路径。应该注意,任何包括处理器、存储器和到光纤通道构造的连接的装置都可以称为光纤通道交换机。
用于在光纤通道网络中将交换机彼此连接的端口在这里称为非构造端口。非构造端口包括交换机间端口(E端口)。用于将交换机连接到主机的端口在这里称为构造端口(F端口)。在一个示例中,E端口用于将交换机105连接到交换机107,而F端口用于将交换机107连接到主机113。类似地,构造环端口(FL端口)用于将交换机103连接到存储资源123。
根据各种实施例,从主机111传输到网络151或者存储资源153的分组包括诸如交换标识符、序列或者序号之类的参数。交换标识符可以提供关于分组属于什么交换的信息。序列可以提供关于分组属于该交换的什么部分的信息,而序号可以提供关于分组应该如何排序的信息。序号可以用于允许光纤通道分组的按次序传递。
存储资源123和153可以通过FL端口分别耦合到交换机103和109的构造环。构造环通常包括多个存储设备。在一个示例中,环是允许半双工框架中的8个或16个设备连接的小型计算机系统接口(SCSI)环。
图2是示出iSCSI启动器201和光纤通道交换机211之间的认证交换的图解表示。在一个示例中,该交换是Diffie Hellman挑战握手认证协议(DHCHAP)交换。
DHCHAP是用可选的Diffie-Hellman算法所增强的基于密码的认证和密钥管理协议。DHCHAP提供iSCSI启动器201和交换机211之间的单向或双向认证。
根据各种实施例,iSCSI启动器201发送认证协商消息231。在认证协商消息231中,iSCSI启动器201发送其自己的名称以及所提议的用于剩余部分交换的认证协议和参数的列表。认证协议和参数的列表包括诸如SHA1和MD5之类的可能的散列函数和可能使用的Diffie-Hellman群组标识符的列表。光纤通道交换机211以挑战消息233进行响应。
挑战消息包括交换机211的名称、散列函数和从启动器201所提议的DH群组标识符中所选择的DH群组标识符。挑战消息233还包括挑战值(例如唯一随机序列)和DH参数。iSCSI启动器发送响应235到交换机211。然后交换机211验证该响应,以认证启动器201。
图3是示出光纤通道交换机和光纤通道目标主机/磁盘之间的认证交换的图解表示。在一个示例中,交换是Diffie Hellman挑战握手认证协议(DHCHAP)交换。
DHCHAP是用可选的Diffie-Hellman算法所增强的基于密码的认证和密钥管理协议。DHCHAP提供光纤通道交换机和光纤通道目标之间的单向或双向认证。为了用DHCHAP协议来认证,每个实体都具有对共享秘密的访问权限。在一些示例中,第三方实体允许远程用户认证和结算。
根据各种实施例,光纤通道目标主机/磁盘301与光纤通道交换机321执行构造登入交换341。发送各种配置消息以将目标301连接到交换机321。认证交换开始于目标301发送认证协商消息343。在认证协商消息343中,目标301发送其自己的名称以及所提议的用于剩余部分交换的认证协议和参数的列表。认证协议和参数的列表包括诸如SHA1和MD5之类的可能的散列函数和可能使用的Diffie-Hellman群组标识符的列表。光纤通道交换机321以挑战消息345进行响应。
挑战消息包括交换机321的名称、散列函数和从目标301所提议的DH群组标识符中所选择的DH群组标识符。挑战消息345还包括挑战值(例如唯一随机序列)和DH参数。目标发送响应347,响应347具有用挑战值所计算的结果。目标还发送其自己的DH参数。对于双向交换来说,响应347还可以包括挑战值。
如果认证成功,则交换机321以成功完成消息349进行答复以指示目标已被认证。目标也可以以成功完成消息351进行响应。
虽然描述了一个特定认证交换,但是应该认识到,可以使用各种交换和变体。可以交换可选的参数或者另外的值。支持双向和单向认证。在许多示例中,目标和交换机用其他实体所提供的共享秘密和挑战值来独立地计算和验证响应值。在两个实体之间,不必在网络上传输共享秘密。
图4是示出诸如密码之类的认证信息的保持的图解表示。交换机411(SW1)连接到iSCSI启动器401(I1)和403(I2)。交换机411还连接到存储设备421(D1)。应该注意,交换机411可以通过一个或多个中间交换机连接到存储器421。在一个实施例中,交换机411是连接到存储区域网络的光纤通道交换机。存储器421可以是包括多个物理磁盘的磁盘阵列421。存储器421连接到主机423(H1)。
根据各种实施例,交换机411连接到IP网络上的iSCSI启动器401和403。交换机411连接到光纤通道存储区域网络上的存储器421。存储器421类似地连接到光纤通道存储区域网络上的光纤通道主机423。
在典型的实现方式中,需要系统管理员来配置交换机411以保持认证信息,例如用于iSCSI启动器401和403以及用于存储器421的密码。也需要系统管理员来配置存储器421以保持认证信息,例如用于交换机411以及用于主机423的密码。密码管理可能变得非常麻烦。此外,存储设备421不是直接认证存储设备421上的设备访问信息。
诸如RADIUS之类的密码管理服务允许密码信息的集中管理。但是,诸如交换机411和存储器421之类的单独实体仍然必须用RADIUS参数来配置。此外,需要用于所有存储区域网络交换机的覆盖网络。具有另外的网络增加了系统复杂性。
图5是示出iSCSI启动器和光纤通道目标之间的认证交换的图解表示。iSCSI启动器和光纤通道目标之间的任何认证交换在这里都被称为组合iSCSI-FC认证交换。在一个示例中,组合交换是组合Diffie Hellman挑战握手认证协议(DHCHAP)交换。根据各种实施例,组合交换提供iSCSI启动器501和光纤通道目标521之间的单向或双向认证。
根据各种实施例,iSCSI启动器501将认证协商消息541发送到光纤通道交换机511。在认证协商消息541中,iSCSI启动器501发送其自己的名称以及所提议的用于剩余部分交换的认证协议和参数的列表。认证协议和参数的列表包括诸如SHA1和MD5之类的可能的散列函数和可能使用的Diffie-Hellman群组标识符的列表。光纤通道交换机511将认证协商消息543转发到光纤通道目标521。认证协商消息543可以基本上与认证协商消息541类似,或者可以包括基于网络格式的修改。光纤通道521以挑战消息545进行响应。
挑战消息包括目标521的名称、散列函数和从启动器501所提议的DH群组标识符中所选择的DH群组标识符。挑战消息545还包括挑战值(例如唯一随机序列)和DH参数。挑战消息545可以被修改并作为挑战消息547转发到iSCSI启动器501。iSCSI启动器发送响应549到交换机511。交换机511将响应549作为答复消息551转发到目标521。然后目标521验证该响应,以认证启动器501。
如果认证成功,则目标521发送成功完成消息553以指示目标已被认证。目标也可以以成功完成消息351进行响应。
虽然描述了一个特定认证交换,但是应该认识到,可以使用各种交换和变体。可以交换可选的参数或者另外的值。支持双向和单向认证。在许多示例中,目标和交换机用其他实体所提供的共享秘密和挑战值来独立地计算和验证响应值。
图6是示出诸如密码之类的认证信息的保持的图解表示。交换机611(SW1)连接到iSCSI启动器601(I1)和603(I2)。交换机611还连接到存储设备621(D1)。应该注意,交换机611可以通过一个或多个中间交换机连接到存储器621。在一个实施例中,交换机611是连接到存储区域网络的光纤通道交换机。存储器621可以是包括多个物理磁盘的磁盘阵列621。存储器621连接到主机623(H1)。
根据各种实施例,交换机611连接到IP网络上的iSCSI启动器601和603。交换机611连接到光纤通道存储区域网络上的存储器621。存储器621类似地连接到光纤通道存储区域网络上的光纤通道主机623。
根据各种实施例,不必再在交换机611处保持诸如用于iSCSI启动器601和603之类的认证信息。存储器621被配置为保持认证信息,例如用于交换机611、启动器601和603以及主机623的密码。密码管理变得目标确定。此外,存储设备621直接认证存储设备621上的设备访问信息。仍然可以使用诸如RADIUS之类的密码管理服务,但是这些服务不要求了。
图7是示出用于在光纤通道交换机处处理组合认证的技术的流程图。在步骤701,从iSCSI启动器701接收散列算法列表。散列算法列表可以包括iSCSI启动器所支持的散列算法。在步骤703,认证协商消息被转发到适当的光纤通道目标。光纤通道目标可以是诸如光纤通道主机或磁盘阵列之类的实体。认证协商消息包括关于散列算法支持的信息。
在步骤705,从光纤通道目标接收挑战消息。挑战消息可以包括公钥信息以及光纤通道所提供的随机序列。在步骤707,挑战消息被转发到iSCSI启动器。在步骤709,从iSCSI启动器接收响应消息。在步骤711,包括在响应消息中的信息被作为答复消息转发到光纤通道目标。如果认证成功,则在步骤713接收成功消息。在步骤715,诸如磁盘存取之类的iSCSI操作可以开始。
图8是可以与本发明的技术和机制一起使用的光纤通道交换机的一个实例的图解表示。虽然将描述一种特定配置,但是应该注意,各种交换机和路由器配置都是可用的。交换机801可以包括一个或多个监管器(supervisor)811。根据各种实施例,监管器811具有其自己的处理器、存储器和存储资源。
线路卡803、805和807可以通过接口电路863、865和867以及底板815与活跃(active)监管器811通信。根据各种实施例,每个线路卡包括多个端口,这些端口可以充当用于与外部光纤通道网络实体851和853通信的输入端口或者输出端口。底板815可以提供用于线路卡和监管器之间的所有流量的通信通道。单独的线路卡803和807也可以通过光纤通道端口843和847耦合到外部光纤通道网络实体851和853。
外部光纤通道网络实体851和853可以是诸如其他光纤通道交换机、磁盘、RAID、磁带库或者服务器之类的节点。光纤通道交换机也可以包括具有IP端口885和887的线路卡875和877。在一个示例中,IP端口885耦合到外部IP网络实体855。线路卡875和877也具有到底板815的接口895和897。
应该注意,交换机可以支持任何数目的线路卡和监管器。在所示实施例中,仅单个监管器连接到底板815,并且该单个监管器与许多不同的线路卡通信。活跃监管器811可以被配置或者设计为运行多个应用,例如路由应用、域管理器应用、系统管理器应用和企业应用。
根据一个实施例,路由应用被配置为在认识到分组已被转发到下一跳之后向发送者提供信用。企业应用可以被配置为跟踪缓冲的数目和所使用的信用的数目。域管理器应用可以用于指派光纤通道存储区域网络中的域。各种监管器应用也可以被配置为提供诸如用于各种光纤通道协议层的流控制、信用管理和服务质量(QoS)功能之类的功能。
另外,虽然描述了一个示例性交换机,但是可以以各种网络设备(例如服务器)以及各种介质实现上述实施例。例如,用于实现上述发明的指令和数据可以存储在磁盘驱动器、硬盘驱动器、软盘、服务器计算机或者远程联网的计算机中。因此,当前的实施例被认为是说明性的而非限制性的,并且本发明不局限于这里所给出的细节,而是可以在所附权利要求书的范围和等同物内修改。
虽然参照其具体实施例具体示出并描述了本发明,但是本领域技术人员将会了解,可以对所公开实施例的形式和细节做出改变而不脱离本发明的精神或范围。例如,本发明的实施例可以采用各种网络协议和体系结构。因此希望本发明被解释为包括落在本发明的真正精神和范围内的所有变体和等同物。
Claims (23)
1.一种光纤通道交换机,其连接到因特网小型计算机系统接口iSCSI启动器和光纤通道目标,所述光纤通道交换机包括:
iSCSI接口,其被配置为从启动器接收第一认证协商消息,所述认证协商消息标识多个认证算法;
处理器,其耦合到所述iSCSI接口,该处理器被配置为将所述第一认证协商消息转换成用于光纤通道机构的第二认证协商消息;以及
光纤通道接口,其被配置为将所述第二认证协商消息从所述光纤通道交换机发送到所述光纤通道目标,所述第二认证协商消息对应于所述第一认证协商消息,
其中,所述光纤通道目标使用所述第二认证协商消息以及存储在所述光纤通道目标处的用于所述iSCSI启动器的密码信息来执行对所述iSCSI启动器的组合的iSCSI和光纤通道认证。
2.如权利要求1所述的光纤通道交换机,其中所述光纤通道接口还被配置为在所述光纤通道交换机处从所述光纤通道目标接收第一认证挑战消息,所述认证挑战消息包括随机序列。
3.如权利要求2所述的光纤通道交换机,其中所述iSCSI接口还被配置为将第二认证挑战消息发送到所述启动器,所述第二认证挑战消息对应于所述第一认证挑战消息。
4.如权利要求3所述的光纤通道交换机,其中所述iSCSI接口还被配置为从所述启动器接收第一响应消息。
5.如权利要求4所述的光纤通道交换机,其中所述光纤通道接口还被配置为将第二响应消息发送到所述光纤通道目标,所述第二响应消息对应于所述第一响应消息,其中所述第二响应消息用于向所述光纤通道目标验证所述启动器。
6.如权利要求1所述的光纤通道交换机,其中与所述光纤通道交换机和所述启动器相关联的密码由所述光纤通道目标保持。
7.如权利要求6所述的光纤通道交换机,其中所述第一认证协商消息标识多个散列算法。
8.如权利要求2所述的光纤通道交换机,其中所述第一认证挑战消息包括公钥和所述随机序列。
9.如权利要求1所述的光纤通道交换机,其中所述光纤通道目标是光纤通道存储区域网络磁盘阵列。
10.如权利要求1所述的光纤通道交换机,其中基于所述光纤通道目标是否支持组合的iSCSI和光纤通道认证而向所述光纤通道目标选择性地转发认证消息和响应消息。
11.如权利要求1所述的光纤通道交换机,其中认证是双向的。
12.一种用于提供因特网小型计算机系统接口iSCSI启动器和光纤通道目标之间的认证的方法,该方法包括:
在光纤通道交换机处从连接到所述光纤通道交换机的iSCSI启动器接收第一认证协商消息,所述认证协商消息标识多个认证算法;
将第二认证协商消息从所述光纤通道交换机发送到所述光纤通道目标,所述第二认证协商消息对应于所述第一认证协商消息;
在所述光纤通道交换机处从所述光纤通道目标接收第一认证挑战消息,该认证挑战消息包括随机序列;以及
将第二认证挑战消息发送到所述启动器,所述第二认证挑战消息对应于所述第一认证挑战消息,
其中,所述光纤通道目标使用所述第二认证协商消息以及存储在所述光纤通道目标处的用于所述启动器的密码信息来执行对所述启动器的组合的iSCSI和光纤通道认证。
13.如权利要求12所述的方法,还包括:
从所述启动器接收第一响应消息;
将第二响应消息发送到所述光纤通道目标,所述第二响应消息对应于所述第一响应消息,其中所述第二响应消息用于向所述光纤通道目标验证所述启动器。
14.如权利要求12所述的方法,其中与所述光纤通道交换机和所述启动器相关联的密码由所述光纤通道目标保持。
15.如权利要求14所述的方法,其中所述第一认证协商消息标识多个散列算法。
16.如权利要求15所述的方法,其中所述第一认证挑战消息包括公钥和所述随机序列。
17.如权利要求12所述的方法,其中所述光纤通道目标是光纤通道存储区域网络磁盘阵列。
18.如权利要求12所述的方法,其中基于所述光纤通道目标是否支持组合的iSCSI和光纤通道认证而向所述光纤通道目标选择性地转发认证消息和响应消息。
19.如权利要求12所述的方法,其中认证是双向的。
20.一种数据中心系统,包括:
因特网小型计算机系统接口iSCSI启动器;
光纤通道磁盘阵列;以及
光纤通道交换机,其连接到所述iSCSI启动器和所述光纤通道磁盘阵列,所述光纤通道交换机被配置为从所述启动器接收第一认证协商消息并且将第二认证协商消息发送到所述光纤通道磁盘阵列,所述第二认证协商消息对应于所述第一认证协商消息,
其中,所述光纤通道磁盘阵列使用所述第二认证协商消息和存储在所述光纤通道磁盘阵列处的用于所述iSCSI启动器的密码信息来执行对所述iSCSI启动器的组合的iSCSI和光纤通道认证。
21.一种金融数据存储区域网络,包括:
因特网小型计算机系统接口iSCSI启动器;
光纤通道主机;
光纤通道磁盘阵列;以及
光纤通道交换机,其连接到所述iSCSI启动器和所述光纤通道磁盘阵列,所述光纤通道交换机被配置为从所述启动器接收第一认证协商消息并且将第二认证协商消息发送到所述光纤通道磁盘阵列,所述第二认证协商消息对应于所述第一认证协商消息,
其中,所述光纤通道磁盘阵列使用所述第二认证协商消息和存储在所述光纤通道磁盘阵列处的用于所述iSCSI启动器的密码信息来执行对所述iSCSI启动器的组合的iSCSI和光纤通道认证。
22.如权利要求21所述的金融数据存储区域网络,其中在所述iSCSI启动器和所述光纤通道磁盘阵列之间执行双向认证。
23.如权利要求21所述的金融数据存储区域网络,其中所述光纤通道磁盘阵列被配置为存储用于所述iSCSI启动器和所述光纤通道主机的密码信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/097,613 | 2005-04-01 | ||
| US11/097,613 US8594083B2 (en) | 2005-04-01 | 2005-04-01 | iSCSI and fibre channel authentication |
| PCT/US2006/011473 WO2006107678A2 (en) | 2005-04-01 | 2006-03-27 | Iscsi and fibre channel authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101512539A CN101512539A (zh) | 2009-08-19 |
| CN101512539B true CN101512539B (zh) | 2012-10-03 |
Family
ID=37070389
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800065813A Active CN101512539B (zh) | 2005-04-01 | 2006-03-27 | iSCSI和光纤通道认证 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8594083B2 (zh) |
| EP (1) | EP1864441B1 (zh) |
| CN (1) | CN101512539B (zh) |
| WO (1) | WO2006107678A2 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7870317B2 (en) * | 2005-04-29 | 2011-01-11 | Network Appliance, Inc. | Storage processor for handling disparate requests to transmit in a storage appliance |
| JP4354492B2 (ja) * | 2007-01-31 | 2009-10-28 | 富士通株式会社 | ディスクドライブ診断装置 |
| US8627418B2 (en) * | 2007-03-23 | 2014-01-07 | Pmc-Sierra, Inc. | Controlled discovery of san-attached SCSI devices and access control via login authentication |
| AT506735B1 (de) * | 2008-04-23 | 2012-04-15 | Human Bios Gmbh | Verteilte datenspeicherungseinrichtung |
| CN103870768A (zh) * | 2012-12-13 | 2014-06-18 | 北京计算机技术及应用研究所 | 磁盘阵列与计算机或存储介质之间的认证方法及系统 |
| US8966586B2 (en) | 2013-01-27 | 2015-02-24 | International Business Machines Corporation | Authentication within OpenFlow network |
| US8943233B1 (en) * | 2013-02-22 | 2015-01-27 | Pmc-Sierra Us, Inc. | Link negotiation method for enabling communication between serial attached small computer interface (SAS) storage devices |
| CN106406761A (zh) * | 2016-09-18 | 2017-02-15 | 安徽爱她有果电子商务有限公司 | 一种网络计算机存储系统排队方法 |
| US11621927B2 (en) * | 2020-11-23 | 2023-04-04 | Mellanox Technologies, Ltd. | Authentication and data lane control |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6683883B1 (en) * | 2002-04-09 | 2004-01-27 | Sancastle Technologies Ltd. | ISCSI-FCP gateway |
| CN2660801Y (zh) * | 2003-11-24 | 2004-12-01 | 深圳市聚灵智能网络有限公司 | 无盘服务器集群系统 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7024695B1 (en) * | 1999-12-30 | 2006-04-04 | Intel Corporation | Method and apparatus for secure remote system management |
| EP1133132B1 (en) * | 2000-03-10 | 2007-07-25 | Alcatel Lucent | Method to perfom end-to-end authentication, and related customer premises network termination and access network server |
| AU2002248158A1 (en) * | 2000-11-02 | 2002-08-12 | Pirus Networks | Tcp/udp acceleration |
| US6965559B2 (en) * | 2001-10-19 | 2005-11-15 | Sun Microsystems, Inc. | Method, system, and program for discovering devices communicating through a switch |
| US6845403B2 (en) * | 2001-10-31 | 2005-01-18 | Hewlett-Packard Development Company, L.P. | System and method for storage virtualization |
| US20030105830A1 (en) * | 2001-12-03 | 2003-06-05 | Duc Pham | Scalable network media access controller and methods |
| US7200610B1 (en) * | 2002-04-22 | 2007-04-03 | Cisco Technology, Inc. | System and method for configuring fibre-channel devices |
| US7287269B2 (en) * | 2002-07-29 | 2007-10-23 | International Buiness Machines Corporation | System and method for authenticating and configuring computing devices |
| US7231518B1 (en) * | 2003-03-28 | 2007-06-12 | Cisco Technology, Inc. | System and method for authenticating a storage device for use with driver software in a storage network |
| US7805525B2 (en) * | 2003-04-30 | 2010-09-28 | Hewlett-Packard Development Company, L.P. | System and method for processing fibre channel (FC) layer service requests in an FC network |
| JP2005284437A (ja) * | 2004-03-29 | 2005-10-13 | Hitachi Ltd | ストレージ装置 |
| JP2005310025A (ja) * | 2004-04-26 | 2005-11-04 | Hitachi Ltd | ストレージ装置、計算機システムおよびイニシエータ認可方法 |
| US8612632B2 (en) * | 2004-08-18 | 2013-12-17 | Lsi Corporation | Systems and methods for tag information validation in wide port SAS connections |
| US7461398B2 (en) * | 2004-10-21 | 2008-12-02 | At&T Intellectual Property I, L.P., By Transfer Of Ownership From At&T Delaware Intellectual Property, Inc. | Methods, systems, and computer program products for dynamic management of security parameters during a communications session |
| JP4550557B2 (ja) * | 2004-11-24 | 2010-09-22 | 株式会社日立製作所 | フィルタ定義管理方法、フィルタ定義管理装置、および、ストレージエリアネットワーク |
-
2005
- 2005-04-01 US US11/097,613 patent/US8594083B2/en active Active
-
2006
- 2006-03-27 EP EP06739938.6A patent/EP1864441B1/en active Active
- 2006-03-27 CN CN2006800065813A patent/CN101512539B/zh active Active
- 2006-03-27 WO PCT/US2006/011473 patent/WO2006107678A2/en active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6683883B1 (en) * | 2002-04-09 | 2004-01-27 | Sancastle Technologies Ltd. | ISCSI-FCP gateway |
| CN2660801Y (zh) * | 2003-11-24 | 2004-12-01 | 深圳市聚灵智能网络有限公司 | 无盘服务器集群系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1864441A2 (en) | 2007-12-12 |
| EP1864441A4 (en) | 2016-11-16 |
| WO2006107678A3 (en) | 2009-05-07 |
| US20060221985A1 (en) | 2006-10-05 |
| US8594083B2 (en) | 2013-11-26 |
| WO2006107678A2 (en) | 2006-10-12 |
| EP1864441B1 (en) | 2019-11-06 |
| CN101512539A (zh) | 2009-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101512539B (zh) | iSCSI和光纤通道认证 | |
| CN109361517B (zh) | 一种基于云计算的虚拟化云密码机系统及其实现方法 | |
| JP6118778B2 (ja) | 移動中のデータをセキュア化するためのシステムおよび方法 | |
| US20080195740A1 (en) | Maintaining session state information in a client server system | |
| US10659441B2 (en) | Dynamically managing, from a centralized service, valid cipher suites allowed for secured sessions | |
| US20170149748A1 (en) | Secure Group Messaging and Data Steaming | |
| JP2009540408A (ja) | 記憶装置に対するセキュア・アクセス制御のためのシステム、方法、およびコンピュータ・プログラム | |
| CA2414869A1 (en) | Method and apparatus for providing computer services | |
| CN101218626A (zh) | 通过“我附近的人”来捕捉联系人 | |
| CN105634720B (zh) | 一种加密安全配置文件的方法、终端设备和系统 | |
| US11870760B2 (en) | Secure virtual personalized network | |
| US20090185685A1 (en) | Trust session management in host-based authentication | |
| CN103997405B (zh) | 一种密钥生成方法及装置 | |
| US11895227B1 (en) | Distributed key management system with a key lookup service | |
| US11522842B2 (en) | Central trust hub for interconnectivity device registration and data provenance | |
| CN102904904A (zh) | 提高软交换调度系统安全性的方法 | |
| EP1832043B1 (en) | Devices and methods for initializing secure communications with lightweight devices | |
| CA3102920A1 (en) | A secure method to replicate on-premise secrets in a computing environment | |
| US11520937B2 (en) | NVMe over fabrics authentication system | |
| CN115622715B (zh) | 一种基于令牌的分布式存储系统、网关和方法 | |
| Alomari et al. | Towards optimal synchronization in NFV‐based environments | |
| US11310235B1 (en) | Internet of things system based on security orientation and group sharing | |
| US20220286439A1 (en) | Multi-independent level security for high performance computing and data storage systems | |
| US11363072B1 (en) | Identifying and mitigating vulnerable security policies | |
| JP2024510881A (ja) | マルチクラウド環境における量子鍵配送 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |