CN103870768A - 磁盘阵列与计算机或存储介质之间的认证方法及系统 - Google Patents

磁盘阵列与计算机或存储介质之间的认证方法及系统 Download PDF

Info

Publication number
CN103870768A
CN103870768A CN201210540049.7A CN201210540049A CN103870768A CN 103870768 A CN103870768 A CN 103870768A CN 201210540049 A CN201210540049 A CN 201210540049A CN 103870768 A CN103870768 A CN 103870768A
Authority
CN
China
Prior art keywords
disk array
storage medium
credible
authentication information
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201210540049.7A
Other languages
English (en)
Inventor
牛中盈
陕振
张淑萍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING AEROSPACE AIWEI ELECTRONIC TECHNOLOGY Co Ltd
Beijing Institute of Computer Technology and Applications
Original Assignee
BEIJING AEROSPACE AIWEI ELECTRONIC TECHNOLOGY Co Ltd
Beijing Institute of Computer Technology and Applications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING AEROSPACE AIWEI ELECTRONIC TECHNOLOGY Co Ltd, Beijing Institute of Computer Technology and Applications filed Critical BEIJING AEROSPACE AIWEI ELECTRONIC TECHNOLOGY Co Ltd
Priority to CN201210540049.7A priority Critical patent/CN103870768A/zh
Publication of CN103870768A publication Critical patent/CN103870768A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors

Abstract

本发明提供一种可信磁盘阵列与计算机或存储介质之间的认证方法及系统,该方法包括:步骤1,当计算机或存储介质接入所述可信磁盘阵列时,所述可信磁盘阵列的磁盘阵列控制模块通过磁盘阵列控制器模块对所述可信磁盘阵列进行控制,对所述计算机与所述存储介质利用密码认证算法进行相互认证;步骤2,通过所述可信磁盘阵列认证的计算机或存储介质,认证为可信计算机或可信存储介质,允许其接入所述可信磁盘阵列;否则认证为非法计算机或非法存储介质,阻止其接入所述可信磁盘阵列。本发明能实现磁盘阵列与可信计算机、磁盘阵列与内部存储介质之间的可信认证,以保证磁盘阵列、存储介质上的数据不被非法访问。

Description

磁盘阵列与计算机或存储介质之间的认证方法及系统
技术领域
本发明涉及计算机信息存储技术和安全技术领域,尤其涉及一种可信磁盘阵列与计算机或存储介质之间的认证方法及系统。
背景技术
作为一种大容量、可靠的数据存储设备,磁盘阵列已经得到了广泛的应用。磁盘阵列中集中存放了大量的数据信息,在绝大多数应用中,系统对磁盘阵列的整体安全性具有非常高的要求。
现有的磁盘阵列未遵循可信计算机体系架构,不能实现可信信任链从可信计算机向磁盘阵列传递,磁盘阵列也不能对其内部的固态盘、磁盘等存储介质实施可信认证,设备在数据安全性方面还存在一定的隐患,如:不能阻止系统管理员通过恶意更换磁盘的方式获取数据。
发明内容
本发明的目的在于提供一种可信磁盘阵列与计算机或存储介质之间的认证方法及系统,能实现数据存储的安全要求,通过磁盘阵列控制器模块与内部所有存储介质、计算机之间的可信认证,进一步保证磁盘阵列上的数据、存储介质上的数据不被非法访问。
为实现上述目的,本发明提供一种可信磁盘阵列与计算机或存储介质之间的认证方法,该方法包括:
步骤1,当计算机或存储介质接入所述可信磁盘阵列时,所述可信磁盘阵列的磁盘阵列控制模块通过磁盘阵列控制器模块对所述可信磁盘阵列进行控制,对所述计算机与所述存储介质利用密码认证算法进行相互认证;
步骤2,通过所述可信磁盘阵列认证的计算机或存储介质,认证为可信计算机或可信存储介质,允许其接入所述可信磁盘阵列;否则认证为非法计算机或非法存储介质,阻止其接入所述可信磁盘阵列。
进一步的,所述步骤1包括:
步骤11,所述磁盘阵列控制器模块通过主机接口通道连接所述计算机,并向所述计算机发送认证信息,所述计算机利用所述密码认证算法处理所述认证信息后发送二次认证信息;
步骤12,处理器通过桥片接收所述二次认证信息,并利用所述密码认证算法对所述二次认证信息进行认证,根据认证结果通过桥片发送控制命令;
步骤13,所述磁盘阵列控制器模块通过主机接口通道接收所述控制命令,并根据所述控制命令接收和发送所述计算机的数据,即判定该计算机为可信计算机,或拒绝接收和发送所述计算机的数据,即判定该计算机为非法计算机。
所述磁盘阵列控制模块的SCSI目标器驱动控制所述主机接口通道发送所述可信磁盘阵列发送给所述计算机的认证信息,接收所述计算机发送给所述可信磁盘阵列的二次认证信息;所述认证信息是所述磁盘阵列控制器模块的TCM模块利用其存储的认证密钥及相应密码算法生成的。
进一步的,所述步骤1还包括:
步骤111,所述磁盘阵列控制器模块通过存储介质接口通道连接所述存储介质,发送认证信息,所述存储介质的存储控制模块利用密码认证算法处理所述认证信息后生成二次认证信息;
步骤112,处理器通过桥片接收所述二次认证信息,并利用所述密码认证算法对所述二次认证信息进行认证,根据认证结果通过桥片发送控制命令;
步骤113,所述磁盘阵列控制器模块通过存储介质接口通道接收所述控制命令,并根据所述控制命令接收和发送所述存储介质的数据,即判定该存储介质为可信存储介质,或拒绝接收和发送所述存储介质的数据,即判定该存储介质为非法存储介质。
所述磁盘阵列控制模块的SAS接口通道驱动控制存储介质接口通道发送所述可信磁盘阵列发送给所述存储介质的认证信息,接收所述存储介质发送给所述可信磁盘阵列的二次认证信息;
所述认证信息是所述磁盘阵列控制器模块的TCM模块利用其存储的认证密钥及相应密码算法生成的;
所述二次认证信息是所述存储介质的存储控制模块利用其存储的认证密钥及相应密码算法生成的。
为实现上述目的,本发明还提供一种可信磁盘阵列与计算机或存储介质之间进行认证的认证系统,该系统包括:
认证模块,用于当计算机或存储介质接入所述可信磁盘阵列时,所述可信磁盘阵列的磁盘阵列控制模块通过磁盘阵列控制器模块对所述可信磁盘阵列进行控制,对所述计算机与所述存储介质利用密码认证算法进行相互认证;
处理模块,用于将通过所述可信磁盘阵列认证的计算机或存储介质,认证为可信计算机或可信存储介质,允许其接入所述可信磁盘阵列;否则认证为非法计算机或非法存储介质,阻止其接入所述可信磁盘阵列。
进一步的,所述认证模块包括:
磁盘阵列控制器模块,用于通过主机接口通道连接所述计算机,并向所述计算机发送认证信息,所述计算机利用所述密码认证算法处理所述认证信息后发送二次认证信息;
处理器模块,用于通过桥片接收所述二次认证信息,并利用所述密码认证算法对所述二次认证信息进行认证,根据认证结果通过桥片发送控制命令;
磁盘阵列控制器判定模块,用于通过主机接口通道接收所述控制命令,并根据所述控制命令接收和发送所述计算机的数据,判定该计算机为可信计算机,或拒绝接收和发送所述计算机的数据,判定该计算机为非法计算机。
所述磁盘阵列控制模块的SCSI目标器驱动控制所述主机接口通道发送所述可信磁盘阵列发送给所述计算机的认证信息,接收所述计算机发送给所述可信磁盘阵列的二次认证信息;
所述认证信息是所述磁盘阵列控制器模块的TCM模块利用其存储的认证密钥及相应密码算法生成的。
进一步的,所述认证模块还包括:
第二磁盘阵列控制器模块,用于通过存储介质接口通道连接所述存储介质,发送认证信息,所述存储介质的存储控制模块利用密码认证算法处理所述认证信息后生成二次认证信息;
第二处理器模块,用于通过桥片接收所述二次认证信息,并利用所述密码认证算法对所述二次认证信息进行认证,根据认证结果通过桥片发送控制命令;
第二磁盘阵列控制器判定模块,用于通过存储介质接口通道接收所述控制命令,并根据所述控制命令接收和发送所述存储介质的数据,判定该存储介质为可信存储介质,或拒绝接收和发送所述存储介质的数据,判定该存储介质为非法存储介质。
所述磁盘阵列控制模块的SAS接口通道驱动控制存储介质接口通道发送所述可信磁盘阵列发送给所述存储介质的认证信息,接收所述存储介质发送给所述可信磁盘阵列的二次认证信息;
所述认证信息是所述磁盘阵列控制器模块的TCM模块利用其存储的认证密钥及相应密码算法生成的;
所述二次认证信息是所述存储介质的存储控制模块利用其存储的认证密钥及相应密码算法生成的。
本发明的有益功效在于,
1.可实现磁盘阵列与可信计算机间相互的可信认证,实现可信信任链从可信计算机向可信磁盘阵列的传递,一方面防止未经认证的主机非法访问可信磁盘阵列,另一方面,防止未经认证的磁盘阵列接入可信计算机,造成存储在该未认证磁盘阵列上的数据的失控、泄密。
2.可实现磁盘阵列与磁盘阵列内部存储介质间相互的可信认证,一方面防止未经认证的磁盘阵列非法读取可信存储介质上的数据,另一方面,防止未经认证的存储介质接入磁盘阵列,造成存储在该未认证存储介质上的数据的失控、泄密。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
附图说明
图1是本发明的可信磁盘阵列与计算机或存储介质之间的认证方法流程图;
图2是本发明的可信磁盘阵列与计算机或存储介质之间的认证系统示意图;
图3是本发明的磁盘阵列控制器模块示意图;
图4是本发明的磁盘阵列控制模块示意图;
图5是本发明的固态盘示意图。
具体实施方式
图1是本发明的可信磁盘阵列与计算机或存储介质之间的认证方法流程图。如图1所示,该方法包括:
步骤1,当计算机或存储介质接入所述可信磁盘阵列时,所述可信磁盘阵列的磁盘阵列控制模块通过磁盘阵列控制器模块对所述可信磁盘阵列进行控制,对所述计算机与所述存储介质利用密码认证算法进行相互认证;
步骤2,通过所述可信磁盘阵列认证的计算机或存储介质,认证为可信计算机或可信存储介质,允许其接入所述可信磁盘阵列;否则认证为非法计算机或非法存储介质,阻止其接入所述可信磁盘阵列。
进一步的,所述步骤1包括:
步骤11,所述磁盘阵列控制器模块通过主机接口通道连接所述计算机,并向所述计算机发送认证信息,所述计算机利用密码认证算法处理所述认证信息后发送二次认证信息;
步骤12,处理器通过桥片接收所述二次认证信息,并利用所述密码认证算法对所述二次认证信息进行认证,根据认证结果通过桥片发送控制命令;
步骤13,所述磁盘阵列控制器模块通过主机接口通道接收所述控制命令,并根据所述控制命令接收和发送所述计算机的数据,即判定该计算机为可信计算机,或拒绝接收和发送所述计算机的数据,即判定该计算机为非法计算机。
所述磁盘阵列控制模块的SCSI目标器驱动控制所述主机接口通道发送所述可信磁盘阵列发送给所述计算机的认证信息,接收所述计算机发送给所述可信磁盘阵列的二次认证信息;所述认证信息是所述磁盘阵列控制器模块的TCM模块利用其存储的认证密钥及相应密码算法生成的。
进一步的,所述步骤1还包括:
步骤111,所述磁盘阵列控制器模块通过存储介质接口通道连接所述存储介质,发送认证信息,所述存储介质的存储控制模块利用密码认证算法处理所述认证信息后生成二次认证信息;
步骤112,处理器通过桥片接收所述二次认证信息,并利用认证算法对所述二次认证信息进行认证,根据认证结果通过桥片发送控制命令;
步骤113,所述磁盘阵列控制器模块通过存储介质接口通道接收所述控制命令,并根据所述控制命令接收和发送所述存储介质的数据,即判定该存储介质为可信存储介质,或拒绝接收和发送所述存储介质的数据,即判定该存储介质为非法存储介质。
所述磁盘阵列控制模块的SAS接口通道驱动控制存储介质接口通道发送所述可信磁盘阵列发送给所述存储介质的认证信息,接收所述存储介质发送给所述可信磁盘阵列的二次认证信息;
所述认证信息是所述磁盘阵列控制器模块的TCM模块利用其存储的认证密钥及相应密码算法生成的;
所述二次认证信息是所述存储介质的存储控制模块利用其存储的认证密钥及相应密码算法生成的。
图2是本发明的可信磁盘阵列与计算机或存储介质之间的认证系统示意图。如图2所示,该系统包括:
认证模块100,用于当计算机或存储介质接入所述可信磁盘阵列时,所述可信磁盘阵列的磁盘阵列控制模块通过磁盘阵列控制器模块对所述可信磁盘阵列进行控制,对所述计算机与所述存储介质利用所述密码认证算法进行相互认证;
处理模块200,用于将通过所述可信磁盘阵列认证的计算机或存储介质,认证为可信计算机或可信存储介质,允许其接入所述可信磁盘阵列;否则认证为非法计算机或非法存储介质,阻止其接入所述可信磁盘阵列。
进一步的,所述认证模块100包括:
磁盘阵列控制器模块110,用于通过主机接口通道连接所述计算机,并向所述计算机发送认证信息,所述计算机利用所述密码认证算法处理所述认证信息后发送二次认证信息;
处理器模块120,用于通过桥片接收所述二次认证信息,并利用所述密码认证算法对所述二次认证信息进行认证,根据认证结果通过桥片发送控制命令;
磁盘阵列控制器判定模块130,用于通过主机接口通道接收所述控制命令,并根据所述控制命令接收和发送所述计算机的数据,判定该计算机为可信计算机,或拒绝接收和发送所述计算机的数据,判定该计算机为非法计算机。
所述磁盘阵列控制模块的SCSI目标器驱动控制所述主机接口通道发送所述可信磁盘阵列发送给所述计算机的认证信息,接收所述计算机发送给所述可信磁盘阵列的二次认证信息;
所述认证信息是所述磁盘阵列控制器模块的TCM模块利用其存储的认证密钥及相应密码算法生成的。
进一步的,所述认证模块100还包括:
第二磁盘阵列控制器模块210,用于通过存储介质接口通道连接所述存储介质,发送认证信息,所述存储介质的存储控制模块利用密码认证算法处理所述认证信息后生成二次认证信息;
第二处理器模块220,用于通过桥片接收所述二次认证信息,并利用所述密码认证算法对所述二次认证信息进行认证,根据认证结果通过桥片发送控制命令;
第二磁盘阵列控制器判定模块230,用于通过存储介质接口通道接收所述控制命令,并根据所述控制命令接收和发送所述存储介质的数据,即判定该存储介质为可信存储介质,或拒绝接收和发送所述存储介质的数据,即判定该存储介质为非法存储介质。
所述第二磁盘阵列控制模块的SAS接口通道驱动控制存储介质接口通道发送所述可信磁盘阵列发送给所述存储介质的认证信息,接收所述存储介质发送给所述可信磁盘阵列的二次认证信息;
所述认证信息是所述磁盘阵列控制器模块的TCM模块利用其存储的认证密钥及相应密码算法生成的;
所述二次认证信息是所述存储介质的存储控制模块利用其存储的认证密钥及相应密码算法生成的。
其中磁盘阵列控制模块,控制磁盘阵列控制器模块对接入所述可信磁盘阵列的计算机或存储介质进行认证;
磁盘阵列控制器模块,对所述计算机或存储介质进行认证。
所述磁盘阵列控制器模块包括:
主机接口通道,用于连接可信计算机和可信磁盘阵列,接收和发送可信磁盘阵列与可信计算机间的认证信息,可以是FC、iSCSI或IB通道;
存储介质接口通道,用于连接可信存储介质和可信磁盘阵列,接收和发送可信磁盘阵列与可信存储介质间的认证信息;
处理器,用于接收主机接口通道、存储介质接口通道发送来的认证信息,并通过相关认证算法对所述认证信息进行认证,认证通过后,处理器向主机接口通道和存储介质接口通道发送控制命令,允许后两者分别接收或发送来自可信计算机和可信存储介质的数据。
TCM模块,TCM模块存储可信磁盘阵列的认证密钥及相应密码算法,在处理器的控制下,TCM模块利用其存储的认证密钥及相应密码算法生成可信磁盘阵列的认证信息,该认证信息经主机接口通道和存储介质接口通道发送给可信计算机和可信存储介质,由此,可信计算机和可信存储介质可以对可信磁盘阵列进行认证。
数据加密模块,用于提供数据加解密功能,对处理器发送来的数据进行加解密后返回给处理器。
所述磁盘阵列控制模块包括:
SCSI目标器驱动,用于控制主机接口通道,接收和发送可信磁盘阵列与可信计算机间的认证信息
逻辑卷加密驱动,用于控制数据加密模块,对接收自可信计算机的数据进行加密,对从可信存储介质读出的加密数据进行解密。
SAS接口通道驱动,用于控制存储介质接口通道,接收和发送可信磁盘阵列与可信存储介质间的认证信息。
所述存储介质包括:
存储控制模块,用于存储相关的认证密钥及相应密码算法,利用其存储的认证密钥及相应密码算法生成二次认证信息。
磁盘阵列控制器模块通过FC、IB或iSCSI通道与可信计算机互连,通过SAS通道与可信存储介质互连,是磁盘阵列控制模块的运行平台,对可信磁盘阵列进行控制,实现可信计算机与可信磁盘阵列之间相互的可信认证、可信磁盘阵列与可信存储介质之间相互的可信认证。
相比现有通用磁盘阵列,磁盘阵列控制器模块增加了TCM模块和数据加密模块,磁盘阵列控制模块增加了SCSI目标器驱动模块、SAS通道卡驱动和逻辑卷加密驱动模块,可信存储介质增加了存储控制模块。
TCM模块存储可信磁盘阵列的认证密钥及相应密码算法,通过其认证密钥及相应密码算法生成的认证信息,可信计算机、可信存储介质可认证可信磁盘阵列,防止非法磁盘阵列接入可信计算机或访问可信存储介质。
数据加密模块存储加密密钥和相应加解密算法,通过其加密密钥和相应加解密算法,逻辑卷加密驱动模块可对存储在可信存储介质上的数据进行加解密,确保数据的机密性。
SCSI目标器驱动模块与可信计算机进行交互,在可信计算机接入可信磁盘阵列时对可信计算机进行认证,防止非法主机访问可信磁盘阵列。
SAS通道卡驱动与可信存储介质交互,在可信存储介质接入可信磁盘阵列时对可信存储介质进行认证,防止非法存储介质接入可信磁盘阵列。
存储控制模块存储可信存储介质的认证密钥及相应密码算法,通过其认证密钥及相应密钥算法,可信磁盘阵列可认证可信存储介质,防止非法存储介质接入可信磁盘阵列。
磁盘阵列控制器模块物理上连通可信计算机、可信存储介质,是磁盘阵列控制模块的运行平台,与磁盘阵列控制模块协同实现可信磁盘阵列与可信计算机、可信存储介质间的相互认证。
图3是本发明的磁盘阵列控制器模块示意图。如图3所示,由处理器、BIOS、桥片、内存、主机接口通道、SAS接口通道、TCM模块、数据加密模块组成。主机接口通道连接可信计算机和可信磁盘阵列,接收和发送可信磁盘阵列与可信计算机间的认证信息,可以是FC、iSCSI或IB通道。存储介质接口通道连接可信存储介质和可信磁盘阵列,接收和发送可信磁盘阵列与可信存储介质间的认证信息。处理器通过桥片与其它模块互连,接收主机接口通道、存储介质接口通道发送来的二次认证信息,处理器采用事先约定的认证算法,如基于公钥的认证算法对可信计算机、可信存储介质发送来的二次认证信息进行认证,认证通过后,处理器向主机接口通道和存储介质接口通道发送控制命令,允许后两者分别接收或发送来自可信计算机和可信存储介质的数据。BIOS存储可信磁盘阵列控制器模块配置参数、内存模块临时存放认证信息和中间处理结果。TCM模块存储可信磁盘阵列的认证密钥及相应密码算法,在处理器的控制下,TCM模块利用其存储的认证密钥及相应密码算法生成可信磁盘阵列的认证信息,该认证信息经主机接口通道和存储介质接口通道发送给可信计算机和可信存储介质,由此,可信计算机和可信存储介质可以对可信磁盘阵列进行认证。数据加密模块提供数据加解密功能,对处理器发送来的数据进行加解密后返回给处理器。
图4是本发明的磁盘阵列控制模块示意图。如图4所示,由SCSI目标器驱动、逻辑卷加密驱动、RAID调度模块、SAS接口通道驱动、磁盘阵列管理配置模块构成。SCSI目标器驱动控制主机接口通道,接收和发送可信磁盘阵列与可信计算机间的认证信息;SAS接口通道驱动控制存储介质接口通道,接收和发送可信磁盘阵列与可信存储介质间的认证信息。逻辑卷加密驱动控制数据加密模块,对接收自可信计算机的数据进行加密,对从可信存储介质读出的加密数据进行解密。RAID调度模块将数据发送给多个存储接口通道,实现数据在多个可信存储介质上的分布存储;磁盘阵列管理配置模块对SCSI目标器驱动、逻辑卷加密驱动、RAID调度模块、SAS接口通道驱动的状态参数进行配置。
可信存储介质可以是可信磁盘或可信固态盘,可信存储介质除了支持一般SCSI操作命令外,还支持可信存储命令。图5是本发明的固态盘示意图。如图5所示,其由微处理器模块、缓存模块、SAS接口控制模块、存储控制模块、Flash控制模块、Flash存储阵列构成,各模块通过片上总线模块互连。Flash控制模块控制Flash存储阵列,从Flash存储阵列写入和读出数据。SAS接口控制模块接收和发送可信磁盘阵列与可信固态盘之间的认证信息。从可信磁盘阵列接收来的认证信息经片上总线模块发送给微处理器,微处理器采用事先约定的认证算法,如基于公钥的认证算法对可信磁盘阵列发送来的认证信息进行认证,认证通过后,微处理器向SAS接口控制模块发送控制命令,允许后者接收来自可信磁盘阵列的数据。缓存模块临时存放认证信息和中间处理结果。存储控制模块存储可信固态盘的认证密钥及相应密码算法,在微处理器的控制下,存储控制模块利用其存储的认证密钥及相应密码算法生成可信固态盘的二次认证信息,该二次认证信息经SAS接口控制模块发送给可信磁盘阵列,由此,可信磁盘阵列可以对可信固态盘进行认证。
可信磁盘阵列通过可信认证技术实现可信磁盘阵列与可信计算机之间、可信磁盘阵列与可信存储介质之间的相互安全、可靠认证,通过综合应用加密、防窃取、访问控制等多种关键的数据保护技术,增强可信磁盘阵列自身的安全性及信息系统的安全性,实现可信磁盘阵列的可信接入、访问受控。其典型应用模式如5所示,通过以太网络与可信计算机相连,向多台可信计算机提供设备级数据共享,通过安全增强的iSCSI协议与可信之机之间进行可信认证,实现信任链从可信计算机向可信磁盘阵列、可信磁盘阵列向可信存储介质的传递。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (10)

1.一种可信磁盘阵列与计算机或存储介质之间的认证方法,其特征在于,包括:
步骤1,当计算机或存储介质接入所述可信磁盘阵列时,所述可信磁盘阵列的磁盘阵列控制模块通过磁盘阵列控制器模块对所述可信磁盘阵列进行控制,对所述计算机与所述存储介质利用密码认证算法进行相互认证;
步骤2,通过所述可信磁盘阵列认证的计算机或存储介质,认证为可信计算机或可信存储介质,允许其接入所述可信磁盘阵列;否则认证为非法计算机或非法存储介质,阻止其接入所述可信磁盘阵列。
2.如权利要求1所述的可信磁盘阵列的认证方法,其特征在于,所述步骤1包括:
步骤11,所述磁盘阵列控制器模块通过主机接口通道连接所述计算机,并向所述计算机发送认证信息,所述计算机利用所述密码认证算法处理所述认证信息后发送二次认证信息;
步骤12,处理器通过桥片接收所述二次认证信息,并利用所述密码认证算法对所述二次认证信息进行认证,根据认证结果通过桥片发送控制命令;
步骤13,所述磁盘阵列控制器模块通过主机接口通道接收所述控制命令,并根据所述控制命令接收和发送所述计算机的数据,判定该计算机为可信计算机,或拒绝接收和发送所述计算机的数据,判定该计算机为非法计算机。
3.如权利要求2所述的可信磁盘阵列的认证方法,其特征在于,
所述磁盘阵列控制模块的SCSI目标器驱动控制所述主机接口通道发送所述可信磁盘阵列发送给所述计算机的认证信息,接收所述计算机发送给所述可信磁盘阵列的二次认证信息;
所述认证信息是所述磁盘阵列控制器模块的TCM模块利用其存储的认证密钥及相应密码算法生成的。
4.如权利要求1所述的可信磁盘阵列的认证方法,其特征在于,所述步骤1还包括:
步骤111,所述磁盘阵列控制器模块通过存储介质接口通道连接所述存储介质,发送认证信息,所述存储介质的存储控制模块利用密码认证算法处理所述认证信息后生成二次认证信息;
步骤112,处理器通过桥片接收所述二次认证信息,并利用所述密码认证算法对所述二次认证信息进行认证,根据认证结果通过桥片发送控制命令;
步骤113,所述磁盘阵列控制器模块通过存储介质接口通道接收所述控制命令,并根据所述控制命令接收和发送所述存储介质的数据,判定该存储介质为可信存储介质,或拒绝接收和发送所述存储介质的数据,判定该存储介质为非法存储介质。
5.如权利要求4所述的可信磁盘阵列的认证方法,其特征在于,
所述磁盘阵列控制模块的SAS接口通道驱动控制存储介质接口通道发送所述可信磁盘阵列发送给所述存储介质的认证信息,接收所述存储介质发送给所述可信磁盘阵列的二次认证信息;
所述认证信息是所述磁盘阵列控制器模块的TCM模块利用其存储的认证密钥及相应密码算法生成的;
所述二次认证信息是所述存储介质的存储控制模块利用其存储的认证密钥及相应密码算法生成的。
6.一种可信磁盘阵列与计算机或存储介质之间进行认证的认证系统,其特征在于,包括:
认证模块,用于当计算机或存储介质接入所述可信磁盘阵列时,所述可信磁盘阵列的磁盘阵列控制模块通过磁盘阵列控制器模块对所述可信磁盘阵列进行控制,对所述计算机与所述存储介质利用密码认证算法进行相互认证;
处理模块,用于将通过所述可信磁盘阵列认证的计算机或存储介质,认证为可信计算机或可信存储介质,允许其接入所述可信磁盘阵列;否则认证为非法计算机或非法存储介质,阻止其接入所述可信磁盘阵列。
7.如权利要求6所述的可信磁盘阵列的认证系统,其特征在于,所述认证模块包括:
磁盘阵列控制器模块,用于通过主机接口通道连接所述计算机,并向所述计算机发送认证信息,所述计算机利用所述密码认证算法处理所述认证信息后发送二次认证信息;
处理器模块,用于通过桥片接收所述二次认证信息,并利用所述密码认证算法对所述二次认证信息进行认证,根据认证结果通过桥片发送控制命令;
磁盘阵列控制器判定模块,用于通过主机接口通道接收所述控制命令,并根据所述控制命令接收和发送所述计算机的数据,判定该计算机为可信计算机,或拒绝接收和发送所述计算机的数据,判定该计算机为非法计算机。
8.如权利要求7所述的可信磁盘阵列的认证系统,其特征在于,所述磁盘阵列控制模块的SCSI目标器驱动控制所述主机接口通道发送所述可信磁盘阵列发送给所述计算机的认证信息,接收所述计算机发送给所述可信磁盘阵列的二次认证信息;
所述认证信息是所述磁盘阵列控制器模块的TCM模块利用其存储的认证密钥及相应密码算法生成的。
9.如权利要求6所述的可信磁盘阵列的认证系统,其特征在于,所述认证还包括:
第二磁盘阵列控制器模块,用于通过存储介质接口通道连接所述存储介质,发送认证信息,所述存储介质的存储控制模块利用密码认证算法处理所述认证信息后生成二次认证信息;
第二处理器模块,用于通过桥片接收所述二次认证信息,并利用所述密码认证算法对所述二次认证信息进行认证,根据认证结果通过桥片发送控制命令;
第二磁盘阵列控制器判定模块,用于通过存储介质接口通道接收所述控制命令,并根据所述控制命令接收和发送所述存储介质的数据,判定该存储介质为可信存储介质,或拒绝接收和发送所述存储介质的数据,判定该存储介质为非法存储介质。
10.如权利要求9所述的可信磁盘阵列的认证系统,其特征在于,所述磁盘阵列控制模块的SAS接口通道驱动控制存储介质接口通道发送所述可信磁盘阵列发送给所述存储介质的认证信息,接收所述存储介质发送给所述可信磁盘阵列的二次认证信息;
所述认证信息是所述磁盘阵列控制器模块的TCM模块利用其存储的认证密钥及相应密码算法生成的;
所述二次认证信息是所述存储介质的存储控制模块利用其存储的认证密钥及相应密码算法生成的。
CN201210540049.7A 2012-12-13 2012-12-13 磁盘阵列与计算机或存储介质之间的认证方法及系统 Pending CN103870768A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210540049.7A CN103870768A (zh) 2012-12-13 2012-12-13 磁盘阵列与计算机或存储介质之间的认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210540049.7A CN103870768A (zh) 2012-12-13 2012-12-13 磁盘阵列与计算机或存储介质之间的认证方法及系统

Publications (1)

Publication Number Publication Date
CN103870768A true CN103870768A (zh) 2014-06-18

Family

ID=50909290

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210540049.7A Pending CN103870768A (zh) 2012-12-13 2012-12-13 磁盘阵列与计算机或存储介质之间的认证方法及系统

Country Status (1)

Country Link
CN (1) CN103870768A (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5867736A (en) * 1996-03-29 1999-02-02 Lsi Logic Corporation Methods for simplified integration of host based storage array control functions using read and write operations on a storage array control port
CN1620005A (zh) * 2003-11-18 2005-05-25 华为技术有限公司 一种安全发送传输密钥的方法
CN1832489A (zh) * 2006-04-19 2006-09-13 杭州华为三康技术有限公司 一种对目的磁盘进行访问的方法和扩展磁盘容量的系统
CN101165696A (zh) * 2006-10-16 2008-04-23 中国长城计算机深圳股份有限公司 一种基于安全计算机的安全认证方法
CN101221482A (zh) * 2007-01-12 2008-07-16 承奕科技股份有限公司 由固态存储子系统组成的磁盘阵列系统
CN101512539A (zh) * 2005-04-01 2009-08-19 思科技术公司 iSCSI和光纤通道认证
CN101546249A (zh) * 2008-03-26 2009-09-30 中兴通讯股份有限公司 磁盘阵列在线容量扩展方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5867736A (en) * 1996-03-29 1999-02-02 Lsi Logic Corporation Methods for simplified integration of host based storage array control functions using read and write operations on a storage array control port
CN1620005A (zh) * 2003-11-18 2005-05-25 华为技术有限公司 一种安全发送传输密钥的方法
CN101512539A (zh) * 2005-04-01 2009-08-19 思科技术公司 iSCSI和光纤通道认证
CN1832489A (zh) * 2006-04-19 2006-09-13 杭州华为三康技术有限公司 一种对目的磁盘进行访问的方法和扩展磁盘容量的系统
CN101165696A (zh) * 2006-10-16 2008-04-23 中国长城计算机深圳股份有限公司 一种基于安全计算机的安全认证方法
CN101221482A (zh) * 2007-01-12 2008-07-16 承奕科技股份有限公司 由固态存储子系统组成的磁盘阵列系统
CN101546249A (zh) * 2008-03-26 2009-09-30 中兴通讯股份有限公司 磁盘阵列在线容量扩展方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
许先斌 等: "基于iSCSI 协议的存储区域网研究", 《计算机工程与设计》 *
谢长生 等: "磁盘阵列控制器的设计与原型实现", 《小型微型计算机系统》 *

Similar Documents

Publication Publication Date Title
US9875368B1 (en) Remote authorization of usage of protected data in trusted execution environments
CN107908574B (zh) 固态盘数据存储的安全保护方法
US8898477B2 (en) System and method for secure firmware update of a secure token having a flash memory controller and a smart card
US8966580B2 (en) System and method for copying protected data from one secured storage device to another via a third party
CN101588245B (zh) 一种身份认证的方法、系统及存储设备
CN107563213B (zh) 一种防存储设备数据提取的安全保密控制装置
CN104951409A (zh) 一种基于硬件的全盘加密系统及加密方法
US20090276474A1 (en) Method for copying protected data from one secured storage device to another via a third party
CN112560058B (zh) 基于智能密码钥匙的ssd分区加密存储系统及其实现方法
CN104200156A (zh) 一种基于龙芯处理器的可信加密系统
JP2008524753A5 (zh)
CN104956620B (zh) 用于验证和密钥交换的方法、装置和计算机可读存储媒体
CN101122942A (zh) 数据安全读取方法及其安全存储装置
CN112084472B (zh) 一种多用户安全存储的实时动态认证方法
CN103971426A (zh) 一种基于psam安全控制的门禁系统及其安全门禁方法
CN107911221B (zh) 固态盘数据安全存储的密钥管理方法
CN102346716B (zh) 硬盘存储设备的加密方法和解密方法及其加解密系统
US20090187770A1 (en) Data Security Including Real-Time Key Generation
CN103136126A (zh) 一种可保障数据安全性的数据安全存储设备的实现方法
CN104363093A (zh) 通过动态授权码对文件数据加密的方法
CN106778326A (zh) 一种实现移动存储设备保护的方法及系统
CN103944721A (zh) 一种基于web的保护终端数据安全的方法和装置
TWI789291B (zh) 用於認證在儲存裝置和主機裝置之間的資料傳輸之模組和方法
CN102215108A (zh) 一种采用usb智能密钥的加密卡认证授权方法和加密卡
KR101327193B1 (ko) 사용자 접근추적이 가능한 이동식 저장매체 보안 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20140618

RJ01 Rejection of invention patent application after publication