CN103905466A - 一种存储系统数据访问控制系统及其方法 - Google Patents
一种存储系统数据访问控制系统及其方法 Download PDFInfo
- Publication number
- CN103905466A CN103905466A CN201410163416.5A CN201410163416A CN103905466A CN 103905466 A CN103905466 A CN 103905466A CN 201410163416 A CN201410163416 A CN 201410163416A CN 103905466 A CN103905466 A CN 103905466A
- Authority
- CN
- China
- Prior art keywords
- security
- data
- storage
- access
- load
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种存储系统数据访问控制系统及其方法,系统包括安全策略服务器,应用服务器及访问安全代理,存储安全网关以及存储系统四个逻辑功能部件;其依据安全策略生成访问数据块的安全载荷信息,数据安全载荷的传输和存储,解析协议获取安全载荷,依据安全载荷计算并验证访问请求的合法性,并控制对数据的访问是否允许或拒绝。本发明通过在存储系统数据访问协议层上增加安全载荷,并利用安全代理软件对安全载荷进行解析,并根据安全载荷实施对数据的访问控制,能够真正做到对数据访问强度更高,粒度更细的安全控制。
Description
技术领域
本发明涉及信息技术中的信息安全领域,尤其涉及在数据存储系统中对数据的访问控制技术。
背景技术
在云计算环境下,数据存储系统架构发生很大的变化,面临更复杂的应用和服务场景,比如存储虚拟化技术的应用,云存储服务的出现,使得用户的数据在存储系统中往往会面临更多来自互联网和云计算系统内部的威胁。传统的针对数据的访问控制方法主要在应用层和服务层实现,这就使得很难抵御这种开放环境所带来的安全威胁。
当前针对数据存储系统的安全方法主要包括访问控制列表(ACL)、身份认证、数据加密等。这些方法存在一些问题。首先,这类方法控制粒度较粗,主要应用在存储系统的设备层,而不是对数据本身的访问做控制,比如ACL访问控制策略只能控制基于访问设备IP地址的访问连接,不能直接细粒度控制用户对数据的访问,对于攻击者而言很容易通过IP地址欺骗绕过安全策略。身份验证机制是对应用服务器与目标存储设备之间的认证,比如使用CHAP协议,这种方法不能控制应用服务器上的具体用户或应用对数据的访问。其次,这些方法主要在应用层实现,很容易被恶意程序攻击,造成安全控制被旁路或直接篡改授权信息。比如数据加密方法,当授权信息被非法获取,非法用户能够直接获得加密密钥,加密方法就失去效果。
在存储系统技术领域,存储系统架构可以简单的分为SAN、NAS和DAS三种,但以SAN和NAS在实际的企业级存储环境中应用最为广泛。存储系统主要的访问协议和操作指令集主要由SCSI标准规范。其中iSCSI协议作为在TCP/IP网络上传输SCSI指令集的协议也已经在2003年有IETF工作组进行标准化并获得了主流厂商的大力推广和应用。
在信息安全技术领域,和存储系统相关的信息安全技术仍然是同应用在通用的信息系统中的安全技术类似。目前针对存储系统的数据安全及访问控制方法,主要集中在应用层实现的传统安全方法和技术,主要包括认证技术、授权技术、访问控制和数据的加解密技术等。应用在存储系统中的认证和授权技术主要包括CHAP,RADIUS等,这类认证机制主要作用于构成存储系统的应用服务器和网络连接设备之间,比如光纤通道交换机等。通过在设备之间设置相同的密码,通过挑战-握手协议来进行双向认证,确保接入的设备是合法的。另外,kerberos认证协议也可以在存储系统中应用来实现更强的认证和授权,但这类技术的应用本身和通用信息系统类似,并不是直接应用在存储系统中。
应用在存储系统中的访问控制技术主要通过VLAN技术以及ACL列表实现,其主要目的是创建网络层的隔离,将数据流量和其他网络流量分隔,同时也能够基于IP地址来控制接入到存储网络中的访问设备。
数据的加解密技术通常包括两种,一种是数据的静态加密,一种是数据的传输加密。一种常用的方法是在存储系统中应用IPsec技术,它工作在IP数据包层,能够提供身份验证(比CHAP更强),还能提供数据传输的端到端加密。另外,一些加密网关设备能够提供数据的静态加密,使得数据在写入存储设备之前就已经被加密。
现有技术的主要问题集中在两个方面,一是这类技术主要是传统安全技术在存储系统的应用层上的实现,没有和存储系统自身的特点相结合,应用层面临的安全问题,这类技术仍然会面临。比如一旦在应用层上ACL控制列表被篡改或基于VLAN的安全配置规则设置不合理,就容易造成数据安全风险。尤其是在存储系统越来越开放的情况下,这类应用层安全问题对存储系统带来的安全威胁更大,而现有的技术并没有针对性考虑减少风险。其次,是这类技术往往是对设备一级的认证和控制,很难对数据本身进行细粒度和更为严格的安全控制,比如CHAP认证技术和ACL技术,均是在对接入的服务器设备和交换机设备之间进行身份认证,ACL是基于网络层对接入IP地址进行控制实现网络流量的隔离,并不是真正对数据操作本身进行访问控制。
数据加解密和IPsec等技术,由于应用成本相对较高,管理和配置也比较复杂,且一定程度上影响性能,在存储系统中的应用还并不广泛。在安全性方面,这类技术也存在局限性,比如数据加解密技术是一种被动防御技术,其安全性主要依赖对密钥的管理和对用户使用密钥的授权,因此也依赖于应用层安全,如果加解密密钥管理不完善或者应用层对用户的授权和认证等被攻破,数据加解密将会形同虚设。
发明内容
针对上述问题,本发明提出一种安全强度更高的存储系统数据访问控制方法,其采用本发明提供的存储系统数据访问控制系统,通过在存储系统数据访问协议层上增加安全载荷,并利用安全代理软件对安全载荷进行解析,并根据安全载荷实施对数据的访问控制,能够真正做到对数据访问强度更高,粒度更细的安全控制。
本发明通过直接增加数据安全载荷,并在数据访问的协议层依据安全载荷实施控制,能够对块级别的数据进行细粒度访问控制。这种方法直接在数据存储系统的底层增加安全控制,在数据底层存取协议上进行安全扩展,因此安全强度更高。可以有效防止应用层安全威胁对传统安全方法的攻击或旁路问题,解决目前已有的应用在存储系统安全方法的局限性。
本发明采用下述的技术方案:
首先本发明提供了一种存储系统数据访问控制系统,该系统能实现的功能是:依据安全策略生成访问数据块的安全载荷信息,数据安全载荷的传输和存储,解析协议获取安全载荷,依据安全载荷计算并验证访问请求的合法性,并控制对数据的访问是否允许或拒绝。该系统包括安全策略服务器,应用服务器及访问安全代理,存储安全网关以及存储系统四个逻辑功能部件;
所述安全策略服务器负责配置和保存所有数据访问的安全策略,数据的安全属性将根据依据针对该数据的访问控制策略制定并生成;安全策略则依据具体的应用环境数据访问安全需求由安全管理人员制定并配置;
所述应用服务器及访问安全代理:应用服务器是运行有数据访问需求的应用程序的系统或接收来自客户端的数据访问请求的实体,应用服务器运行访问安全代理实现对存储安全网关和存储系统的数据访问,包括应用服务器自身的IO子系统和存储系统驱动模块;访问安全代理则负责对用户的数据访问请求进行处理,包括安全载荷的生成和封装,并转换为IO请求,通过底层驱动程序实际操作存储系统的物理存储设备或虚拟存储设备,并响应访问请求;
所述存储安全网关是一个逻辑功能实体,位于存储系统和应用服务器及访问安全代理之间,存储安全网关是软件实现的功能部件或者是采用硬件方式的存储网关类设备;存储安全网关负责对数据安全载荷进行解析,依据安全载荷计算并验证数据的访问是否符合安全策略,并依据验证结果对访问请求进行控制,允许或拒绝对数据的访问;
所述存储系统包括物理或虚拟的存储设备;其是数据访问请求实际操作数据的物理或虚拟存储设备,其是数据的主要存储地。
具体地,所述安全策略服务器包括安全策略管理模块和安全策略库;安全策略管理模块接收并响应对安全策略的查询请求,安全策略库则保存系统中用户及应用的数据访问策略。
具体地,所述应用服务器及访问安全代理包括安全协议扩展模块、安全载荷管理模块、安全策略缓存和虚拟端口驱动及IO传输模块;
在应用服务器上的安全协议扩展模块负责将IO请求进行底层传输协议层的封装,将安全载荷与数据块封装为存储传输协议层能够识别的数据包;安全协议扩展模块同安全载荷管理模块进行通信,获取安全载荷信息;安全协议扩展模块维护安全载荷以及安全策略缓存,已减少访问安全策略库的次数;安全协议扩展模块还负责将数据包重新封装为存储系统所支持的传输协议进行传输,以兼容不同的存储系统;所述安全载荷管理模块进行数据安全载荷和访问安全载荷的计算,有效性验证以及合法性验证;
应用服务器上的安全载荷管理模块负责根据安全策略中包含的请求方主体安全属性信息计算后生产数据安全载荷以及访问安全载荷;
应用服务器上的安全策略缓存用于将从安全策略服务器获取的安全策略缓存到本地,并供本地查询和判断使用;
所述虚拟端口驱动及IO传输模块:由应用服务器的IO子系统通过虚拟端口的方式提供对底层存储设备的驱动,负责将操作系统的数据访问请求转换为存储设备识别的IO请求,并通过驱动程序传输到存储系统上。
具体地,所述存储安全网关包括安全协议扩展模块、安全载荷管理模块、访问控制实施模块、虚拟存储管理模块、安全策略缓存和存储网络传输模块;
存储安全网关上的安全协议扩展模块负责将IO请求进行底层传输协议层的封装,将安全载荷与数据块封装为存储传输协议层能够识别的数据包;安全协议扩展模块同安全载荷管理模块进行通信,获取安全载荷信息;安全协议扩展模块维护安全载荷以及安全策略缓存,已减少访问安全策略库的次数;在存储安全网关上实现的安全协议扩展模块还负责从标准存储传输协议或安全扩展的存储传输协议的数据包中解析安全载荷信息,并将安全载荷信息发送给安全载荷管理模块进行处理;该模块还负责将数据包重新封装为存储系统所支持的传输协议进行传输,以兼容不同的存储系统;
存储安全网关上的安全载荷管理模块主要进行数据安全载荷和访问安全载荷的计算,有效性验证以及合法性验证;存储安全网关上的安全载荷管理模块负责根据安全策略中包含的请求方主体安全属性信息计算后生产数据安全载荷以及访问安全载荷,同时还要进行安全载荷的有效性验证,合法性验证等操作;
所述访问控制实施模块由存储安全网关实现,负责执行访问控制允许或拒绝访问请求并进行应答;
虚拟存储管理模块由存储安全网关实现,利用存储虚拟化技术管理物理存储设备;负责接收来自应用服务器的数据IO请求,并进行IO请求解析;还负责物理设备地址的映射,虚拟端口管理,并对数据块进行封装和转发,按照所连接的存储网络识别的传输格式发送到存储系统上;同时其还管理存储安全网关同安全策略服务器的连接和通信;
存储安全网关上的安全策略缓存用于将从安全策略服务器获取的安全策略缓存到本地,并供本地查询和判断使用;
所述存储网络传输模块负责数据块传输;根据存储网络接口的不同实现不同传输协议。
采用前面提供的系统,本发明提供了一种存储系统数据访问控制方法,该控制方法包括两个基本流程分别为数据安全载荷的生成和存储流程,数据访问控制流程;
所述数据安全载荷的生成和存储流程的步骤如下:
1)应用服务器收到数据存储请求,访问安全代理截获请求后将同安全策略服务器交互,传递数据存储的请求方参数,安全策略服务器将依据请求者身份标识获取该请求者的安全属性,和请求数据相关的安全属性,以及授权信息,并根据密码算法生成数据安全载荷;
2)访问安全代理将依据事先配置的不同传输模式,传输模式包括异步模式和同步模式,将数据安全载荷封装并发送到存储安全网关;如果采用同步模式,则采用安全扩展协议,将需要存储的数据块连同安全载荷进行封装,并发送到存储安全网关;如果采用异步方式,则数据安全载荷并不立即发送,而是在IO操作的间隙,由标准的存储传输协议封装为标准数据块发送;
3)存储安全网关进行协议解析,获取数据安全载荷,并验证数据安全载荷的有效性,在同步模式下,存储安全网关直接将数据安全载荷连同数据块一起通过存储网络协议封装后传输到存储系统;
4)存储系统将带有数据安全载荷的数据块保存在实际物理存储设备上;
所述数据访问控制流程的步骤如下:
1)应用服务器接收到数据访问请求,访问安全代理根据访问请求方安全属性,访问密钥等信息依据密码算法生成访问安全载荷;请求方安全属性可以通过查询安全策略服务器或在本地缓存获取,请求方安全属性可以根据具体的应用环境安全需求而确定;
2)访问安全代理将依据事先配置的不同发送策略,发送策略包括异步模式和同步模式,将访问安全载荷封装并发送到存储安全网关;如果采用同步模式,则通过安全扩展协议,将访问安全载荷连同数据操作请求进行封装,并发送到存储安全网关;如果采用异步方式,则访问安全载荷将在IO操作的间隙,由标准存储传输协议封装为标准数据块发送;
3)存储安全网关进行协议解析,获取访问安全载荷,首先验证访问安全载荷的有效性。如果访问安全载荷无效则拒绝本次访问,返回应答;如果有效,则继续进行合法性验证;存储安全网关将查询安全策略服务器,获取所请求数据的安全属性,以及匹配的安全策略,并根据数据安全属性和安全策略验证访问安全载荷的合法性,如果合法,则将数据访问请求传输到存储系统,如果非法,则直接拒绝请求并应答;
4)存储系统响应存储安全网关的数据访问请求,执行数据操作,返回应答数据。
本发明相比于现有的安全技术手段,本发明具有如下优势:
(1)具有更高的安全强度,通过在存储传输协议层针对数据块级别增加用于访问控制的安全载荷,使得访问控制在存储系统协议层实现,避免了应用层实现的风险和脆弱性,能够解决传统的在应用层实施访问控制列表ACL容易被旁路和欺骗的不足,因此对数据访问控制的安全强度更高。
(2)访问控制的粒度更细:能够控制到数据块级别,并且安全载荷信息能够实现多种访问控制机制,比如自主和强制访问控制以及基于角色的访问控制等。
(3)该方案能够解决在应用服务器被黑客或恶意代码控制后,仍然能够有效防止对数据的非法访问。比如通过实现独立的存储安全网关和安全管理中心,可以有效将安全威胁的防护分担到安全强度更高系统上。存储安全网关和安全管理中心联合就能够有效防止应用服务器被攻击后,对存储系统数据的非法访问。
(4)该方案具有良好可扩展性,通过缓存机制,以及安全载荷与数据块的不同保存方式,能够将访问控制机制进一步延伸到存储系统内部,比如raid控制器层,达到更高的安全强度,以满足不同的安全需求,安全控制的强度也能够根据需要扩展。
(5)性能影响小,通过缓存机制和同步异步传输机制,能够减少安全载荷的验证对IO操作的性能影响。在具体环境中可以根据实际需求和配置选择不同的实现方式。
本发明针对现有存储系统的数据安全技术存在的局限性,提出了一种利用存储访问协议的安全扩展技术,将数据安全载荷直接附加在数据块上,并通过安全代理软件对协议进行解析,并依据安全载荷中的访问控制信息对数据的访问进行验证,使得对数据的安全控制能够直接体现在数据的存取过程中。相比原有方法,该发明直接在存储系统底层实现,并更接近数据存取访问和操作的过程,因此能够有效增强存储系统数据访问的安全性。
附图说明
图1为本发明的系统功能结构图。
图2为本发明其安全载荷的两种传输模式示意图。
图3为本发明的数据访问及验证原理示意图。
图4为本发明的系统逻辑功能结构图。
图5为本发明一具体实施例的数据安全载荷生成及存储流程图;
图6为本发明的一种数据安全属性定义图(生成数据安全载荷的安全属性内容);
图7为本发明一具体实施例的数据访问控制流程图;
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明主要在存储系统数据块的传输层及协议层实现数据安全载荷,实现了对数据块级别细粒度的访问控制。本发明依据安全策略生成访问数据块的安全载荷信息,数据安全载荷的传输和存储,解析协议获取安全载荷,依据安全载荷计算并验证访问请求的合法性,并控制对数据的访问是否允许或拒绝。本发明提供了一种实现上述功能的系统以及方法流程。
本发明所设计的系统即一种存储系统数据访问控制系统,该系统包括安全策略服务器,应用服务器及访问安全代理,存储安全网关以及存储系统四个逻辑功能部件,其中安全策略服务器作为安全管理中心。
参照图1,下面对上述四个逻辑功能部件作详细描述:
1)安全策略服务器(安全管理中心):安全策略服务器(或安全管理中心)负责配置和保存所有数据访问的安全策略,数据的安全属性将根据依据针对该数据的访问控制策略制定并生成。安全策略则依据具体的应用环境数据访问安全需求由安全管理人员制定并配置。
2)应用服务器及访问安全代理:应用服务器是运行有数据访问需求的应用程序的系统或接收来自客户端的数据访问请求的实体,应用服务器运行访问安全代理实现对存储安全网关和存储系统的数据访问,包括应用服务器自身的IO子系统和存储系统驱动模块(在具体实现中,可以是SCSI端口驱动程序或虚拟端口驱动)。访问安全代理则负责对用户的数据访问请求进行处理,包括安全载荷的生成和封装,并转换为IO请求,通过底层驱动程序实际操作存储系统的物理存储设备或虚拟存储设备,并响应访问请求。
3)存储安全网关:它是一个逻辑功能实体,位于存储系统和应用服务器及访问安全代理之间,可以是软件实现的功能部件或采用硬件方式的存储网关类设备。存储安全网关负责对数据安全载荷进行解析,依据安全载荷计算并验证数据的访问是否符合安全策略,并依据验证结果对访问请求进行控制,允许或拒绝对数据的访问。本发明中的存储安全代理能够实现存储协议级的安全载荷信息封装、解析及转发。
4)存储系统(包括物理或虚拟的存储设备):数据访问请求实际操作数据的物理或虚拟存储设备,比如存储网络SAN或分布式文件存储系统(NAS等)构成。它是数据的主要存储地。通常在实际的存储系统中,还包括存储网络设备和RAID控制器等设备,本发明不考虑存储系统具体实现形式,能够兼容不同的存储系统物理或虚拟的存储设备。
参照图4,具体介绍本系统中各逻辑功能部件的结构,各逻辑功能部件的各组成模块之间的连接采用通用网络连接。
如图4所示,安全策略服务器包括安全策略管理模块和安全策略库;应用服务器及访问安全代理包括安全协议扩展模块、安全载荷管理模块、安全策略缓存和虚拟端口驱动及IO传输模块;存储安全网关包括安全协议扩展模块、安全载荷管理模块、访问控制实施模块、虚拟存储管理模块、安全策略缓存和存储网络传输模块。下面对上述各逻辑功能部件的各组成模块作详细介绍。
1)安全策略管理模块接收并响应对安全策略的查询请求,安全策略库则保存系统中用户及应用的数据访问策略。
2)安全协议扩展模块:负责将IO请求进行底层传输协议层的封装,将安全载荷与数据块封装为存储传输协议层能够识别的数据包。安全协议扩展模块同安全载荷管理模块进行通信,获取安全载荷信息。安全协议扩展模块维护安全载荷以及安全策略缓存,已减少访问安全策略库的次数。在存储安全网关上实现的安全协议扩展模块还负责从标准存储传输协议或安全扩展的存储传输协议的数据包中解析安全载荷信息,并将安全载荷信息发送给安全载荷管理模块进行处理。该模块还负责将数据包重新封装为存储系统所支持的传输协议进行传输,以兼容不同的存储系统。
3)安全载荷管理模块:主要进行数据安全载荷和访问安全载荷的计算,有效性验证以及合法性验证。安全载荷管理模块主要由访问安全代理和存储安全网关实现。应用服务器上的安全载荷管理负责根据安全策略中包含的请求方主体安全属性信息计算后生产数据安全载荷以及访问安全载荷。存储安全网关上的安全载荷管理模块则除了安全载荷的生成之外,还要进行安全载荷的有效性验证,合法性验证等操作。
4)访问控制实施模块:由存储安全网关实现,负责执行访问控制允许或拒绝访问请求并进行应答。
5)安全策略缓存:用于将从安全策略服务器获取的安全策略缓存到本地,并供本地查询和判断使用。
6)虚拟端口驱动及IO传输模块:由应用服务器的IO子系统通过虚拟端口的方式提供对底层存储设备的驱动,负责将操作系统的数据访问请求转换为存储设备识别的IO请求,并通过驱动程序传输到底层存储设备上。
7)虚拟存储管理模块:由存储安全网关实现,利用存储虚拟化技术管理物理存储设备。负责接收来自应用服务器的数据IO请求,并进行IO请求解析。它还负责物理设备地址的映射,虚拟端口管理,并对数据块进行封装和转发,按照所连接的存储网络识别的传输格式发送到后端物理设备。它还管理存储安全网关同安全策略服务器的连接和通信。
8)存储网络传输模块:负责数据块传输。根据存储网络接口的不同实现不同传输协议。比如采用IP-SAN架构时使用iSCSI协议,采用FC-SAN架构时采用FCP协议。
上述四个逻辑功能部件之间的交互构成本发明的两个基本流程:数据安全载荷的生成和存储流程,以及数据访问控制流程,如图1所示。
下面详细介绍本发明提供的一种存储系统数据访问控制方法,该控制方法包括两个基本流程分别为数据安全载荷的生成和存储流程,以及数据访问控制流程。
一、数据安全载荷的生成及存储流程:
1)应用服务器收到数据存储请求,访问安全代理截获请求后将同安全策略服务器交互,传递数据存储的请求方参数(包括请求者的身份标识),安全策略服务器将依据请求者身份标识获取该请求者的安全属性,和请求数据相关的安全属性,以及授权信息,并根据密码算法生成数据安全载荷。
2)访问安全代理将依据事先配置的不同传输策略(异步和同步模式),将数据安全载荷封装并发送到存储安全网关。如果采用同步模式,则采用安全扩展协议,将需要存储的数据块连同安全载荷进行封装,并发送到存储安全网关。如果采用异步方式,则数据安全载荷并不立即发送,而是在IO操作的间隙,由标准的存储传输协议封装为标准数据块发送。两种传输方式的处理区别如图2所示。
3)存储安全网关进行协议解析,获取数据安全载荷,并验证数据安全载荷的有效性,在同步模式下,存储安全网关直接将数据安全载荷连同数据块一起通过存储网络协议封装后传输到存储系统。
4)存储系统将带有数据安全载荷的数据块保存在实际物理存储设备上。
二、数据访问控制流程(参照图3)
1)应用服务器接收到数据访问请求,访问安全代理根据访问请求方安全属性,访问密钥等信息依据密码算法生成访问安全载荷。请求方安全属性可以通过查询安全策略服务器或在本地缓存获取。请求方安全属性可以根据具体的应用环境安全需求而确定。
2)访问安全代理将依据事先配置的不同发送策略(异步和同步模式),将访问安全载荷封装并发送到存储安全网关。如果采用同步模式,则通过安全扩展协议,将访问安全载荷连同数据操作请求进行封装,并发送到存储安全网关。如果采用异步方式,则访问安全载荷将在IO操作的间隙,由标准存储传输协议封装为标准数据块发送。
3)存储安全网关进行协议解析,获取访问安全载荷,首先验证访问安全载荷的有效性。如果访问安全载荷无效则拒绝本次访问,返回应答。如果有效,则继续进行合法性验证。存储安全网关将查询安全策略服务器,获取所请求数据的安全属性,以及匹配的安全策略。并根据数据安全属性和安全策略验证访问安全载荷的合法性。如果合法,则将数据访问请求传输到存储系统。如果非法,则直接拒绝请求并应答。
4)存储系统响应存储安全网关的数据访问请求,执行数据操作,返回应答数据。
参照图5,给出本发明一种典型的数据安全载荷的生成和存储流程:
主要实现步骤描述如下:
1.应用服务器接收到用户应用程序产生数据写请求,访问安全代理截获请求后,向安全策略服务器查询安全策略,参数为请求方主体身份标识。
2.安全策略服务器根据该请求中请求方主体身份标识,查询该请求方对写入数据的安全策略,并生成数据的安全属性,返回给应用服务器上的访问安全代理安全属性主要包括数据的属主信息,安全等级,访问控制信息(包括访问密钥,授权信息等),以及其他预留信息(比如数据类型)。如一种数据安全属性定义如图6所示:
3.访问安全代理根据安全属性信息生成数据安全载荷,生成方式采用密码算法,比如SHA-256,或其他采用密钥方式的hash算法生成(密钥由用户事先指定或由安全管理员进行配置)。
4.访问安全代理将数据块和数据安全载荷封装为存储传输协议识别的数据包,比如在FC-SAN或IP-SAN环境中,封装为标准的iSCSI/SCSI协议识别的数据包或封装为扩展的iSCSi/SCSI协议数据包。访问安全代理将数据包发送给存储安全网关。
5.存储安全网关解析协议并获取安全载荷和数据块,验证安全载荷的有效性。安全载荷的验证可以根据具体应用环境进行简化,比如直接验证其CRC校验码,或根据原始信息验证其摘要值的正确性。
6.存储安全网关按照所连接的存储系统传输协议对数据包进行封装并传输到存储系统。这里可以有两种不同的实现方式,一种是将数据安全载荷和数据块同时进行封装并传输,一种是只传输数据块,存储安全网关同时建立并保存数据安全载荷的副本以及和数据块的索引。(注:安全载荷与数据块同时传输并保持的实现方式能够支持在存储系统实现的访问控制功能,也就是说存储系统也可以直接实现存储安全网关的功能,这种实现方式更具有灵活性和扩展性,并且具有更好的安全强度)
7.存储系统执行数据包操作指令,写入数据安全载荷和数据块内容。
参照图7,给出本发明一种典型的数据访问控制流程。
主要实现步骤如下:
1.应用服务器接收到用户应用程序的数据访问请求。应用服务器的访问安全代理截获该请求,并根据缓存的和访问请求方关联的安全属性信息生成访问安全载荷。访问安全载荷的生成内容主要包括:请求方安全级别,请求方访问密钥。访问安全载荷的生成方法同数据安全载荷相同。如果本地缓存信息不匹配,可以查询安全策略数据库获取请求方的关联安全属性。
2.访问安全代理利用扩展的iSCSi/SCSI协议或扩展的安全iSCSi/SCSI协议封装访问安全载荷并发送到存储安全网关。
3.存储安全网关解析协议并获取访问安全载荷,验证访问安全载荷的有效性。
4.存储安全网关首先会查询本地缓存,是否有匹配的安全策略和访问数据的安全属性,如果没有,则查询安全策略服务器,获取该请求匹配的安全策略和数据安全属性。
5.安全策略服务器根据请求参数查询并返回匹配的安全策略和数据安全属性。
9.存储安全网关根据数据安全属性及安全策略,验证访问安全载荷的合法性。
10.如果访问请求合法,则存储安全网关按照所连接的存储系统底层传输协议对请求进行封装并发送数据操作指令
11.存储系统执行访问操作指令,读取并返回数据块。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (5)
1.一种存储系统数据访问控制系统,其特征在于:包括安全策略服务器,应用服务器及访问安全代理,存储安全网关以及存储系统;
所述安全策略服务器负责配置和保存所有数据访问的安全策略,数据的安全属性将根据依据针对该数据的访问控制策略制定并生成;安全策略则依据具体的应用环境数据访问安全需求由安全管理人员制定并配置;
所述应用服务器及访问安全代理:应用服务器是运行有数据访问需求的应用程序的系统或接收来自客户端的数据访问请求的实体,应用服务器运行访问安全代理实现对存储安全网关和存储系统的数据访问,包括应用服务器自身的IO子系统和存储系统驱动模块;访问安全代理则负责对用户的数据访问请求进行处理,包括安全载荷的生成和封装,并转换为IO请求,通过底层驱动程序实际操作存储系统的物理存储设备或虚拟存储设备,并响应访问请求;
所述存储安全网关是一个逻辑功能实体,位于存储系统和应用服务器及访问安全代理之间,存储安全网关是软件实现的功能部件或者是采用硬件方式的存储网关类设备;存储安全网关负责对数据安全载荷进行解析,依据安全载荷计算并验证数据的访问是否符合安全策略,并依据验证结果对访问请求进行控制,允许或拒绝对数据的访问;
所述存储系统包括物理或虚拟的存储设备;其是数据访问请求实际操作数据的物理或虚拟存储设备,其是数据的主要存储地。
2.根据权利要求1所述的存储系统数据访问控制系统,其特征在于:所述安全策略服务器包括安全策略管理模块和安全策略库;安全策略管理模块接收并响应对安全策略的查询请求,安全策略库则保存系统中用户及应用的数据访问策略。
3.根据权利要求1所述的存储系统数据访问控制系统,其特征在于:所述应用服务器及访问安全代理包括安全协议扩展模块、安全载荷管理模块、安全策略缓存和虚拟端口驱动及IO传输模块;
在应用服务器上的安全协议扩展模块负责将IO请求进行底层传输协议层的封装,将安全载荷与数据块封装为存储传输协议层能够识别的数据包;安全协议扩展模块同安全载荷管理模块进行通信,获取安全载荷信息;安全协议扩展模块维护安全载荷以及安全策略缓存,已减少访问安全策略库的次数;安全协议扩展模块还负责将数据包重新封装为存储系统所支持的传输协议进行传输,以兼容不同的存储系统;所述安全载荷管理模块进行数据安全载荷和访问安全载荷的计算,有效性验证以及合法性验证;
应用服务器上的安全载荷管理模块负责根据安全策略中包含的请求方主体安全属性信息计算后生产数据安全载荷以及访问安全载荷;
应用服务器上的安全策略缓存用于将从安全策略服务器获取的安全策略缓存到本地,并供本地查询和判断使用;
所述虚拟端口驱动及IO传输模块:由应用服务器的IO子系统通过虚拟端口的方式提供对底层存储设备的驱动,负责将操作系统的数据访问请求转换为存储设备识别的IO请求,并通过驱动程序传输到存储系统上。
4.根据权利要求1所述的存储系统数据访问控制系统,其特征在于:所述存储安全网关包括安全协议扩展模块、安全载荷管理模块、访问控制实施模块、虚拟存储管理模块、安全策略缓存和存储网络传输模块;
存储安全网关上的安全协议扩展模块负责将IO请求进行底层传输协议层的封装,将安全载荷与数据块封装为存储传输协议层能够识别的数据包;安全协议扩展模块同安全载荷管理模块进行通信,获取安全载荷信息;安全协议扩展模块维护安全载荷以及安全策略缓存,已减少访问安全策略库的次数;在存储安全网关上实现的安全协议扩展模块还负责从标准存储传输协议或安全扩展的存储传输协议的数据包中解析安全载荷信息,并将安全载荷信息发送给安全载荷管理模块进行处理;该模块还负责将数据包重新封装为存储系统所支持的传输协议进行传输,以兼容不同的存储系统;
存储安全网关上的安全载荷管理模块主要进行数据安全载荷和访问安全载荷的计算,有效性验证以及合法性验证;存储安全网关上的安全载荷管理模块负责根据安全策略中包含的请求方主体安全属性信息计算后生产数据安全载荷以及访问安全载荷,同时还要进行安全载荷的有效性验证,合法性验证等操作;
所述访问控制实施模块由存储安全网关实现,负责执行访问控制允许或拒绝访问请求并进行应答;
虚拟存储管理模块由存储安全网关实现,利用存储虚拟化技术管理物理存储设备;负责接收来自应用服务器的数据IO请求,并进行IO请求解析;还负责物理设备地址的映射,虚拟端口管理,并对数据块进行封装和转发,按照所连接的存储网络识别的传输格式发送到存储系统上;同时其还管理存储安全网关同安全策略服务器的连接和通信;
存储安全网关上的安全策略缓存用于将从安全策略服务器获取的安全策略缓存到本地,并供本地查询和判断使用;
所述存储网络传输模块负责数据块传输;根据存储网络接口的不同实现不同传输协议。
5.一种存储系统数据访问控制方法,其特征在于:该控制方法包括两个基本流程分别为数据安全载荷的生成和存储流程,数据访问控制流程;
所述数据安全载荷的生成和存储流程的步骤如下:
1)应用服务器收到数据存储请求,访问安全代理截获请求后将同安全策略服务器交互,传递数据存储的请求方参数,安全策略服务器将依据请求者身份标识获取该请求者的安全属性,和请求数据相关的安全属性,以及授权信息,并根据密码算法生成数据安全载荷;
2)访问安全代理将依据事先配置的不同传输模式,传输模式包括异步模式和同步模式,将数据安全载荷封装并发送到存储安全网关;如果采用同步模式,则采用安全扩展协议,将需要存储的数据块连同安全载荷进行封装,并发送到存储安全网关;如果采用异步方式,则数据安全载荷并不立即发送,而是在IO操作的间隙,由标准的存储传输协议封装为标准数据块发送;
3)存储安全网关进行协议解析,获取数据安全载荷,并验证数据安全载荷的有效性,在同步模式下,存储安全网关直接将数据安全载荷连同数据块一起通过存储网络协议封装后传输到存储系统;
4)存储系统将带有数据安全载荷的数据块保存在实际物理存储设备上;
所述数据访问控制流程的步骤如下:
1)应用服务器接收到数据访问请求,访问安全代理根据访问请求方安全属性,访问密钥等信息依据密码算法生成访问安全载荷;请求方安全属性可以通过查询安全策略服务器或在本地缓存获取,请求方安全属性可以根据具体的应用环境安全需求而确定;
2)访问安全代理将依据事先配置的不同发送策略,发送策略包括异步模式和同步模式,将访问安全载荷封装并发送到存储安全网关;如果采用同步模式,则通过安全扩展协议,将访问安全载荷连同数据操作请求进行封装,并发送到存储安全网关;如果采用异步方式,则访问安全载荷将在IO操作的间隙,由标准存储传输协议封装为标准数据块发送;
3)存储安全网关进行协议解析,获取访问安全载荷,首先验证访问安全载荷的有效性。如果访问安全载荷无效则拒绝本次访问,返回应答;如果有效,则继续进行合法性验证;存储安全网关将查询安全策略服务器,获取所请求数据的安全属性,以及匹配的安全策略,并根据数据安全属性和安全策略验证访问安全载荷的合法性,如果合法,则将数据访问请求传输到存储系统,如果非法,则直接拒绝请求并应答;
4)存储系统响应存储安全网关的数据访问请求,执行数据操作,返回应答数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410163416.5A CN103905466B (zh) | 2014-04-22 | 2014-04-22 | 一种存储系统数据访问控制系统及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410163416.5A CN103905466B (zh) | 2014-04-22 | 2014-04-22 | 一种存储系统数据访问控制系统及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103905466A true CN103905466A (zh) | 2014-07-02 |
| CN103905466B CN103905466B (zh) | 2017-01-11 |
Family
ID=50996620
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410163416.5A Active CN103905466B (zh) | 2014-04-22 | 2014-04-22 | 一种存储系统数据访问控制系统及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103905466B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105701233A (zh) * | 2016-02-18 | 2016-06-22 | 焦点科技股份有限公司 | 一种优化服务器缓存管理的方法 |
| CN106453274A (zh) * | 2016-09-22 | 2017-02-22 | 华北水利水电大学 | 一种智能数据安全管理控制系统和控制方法 |
| CN107180172A (zh) * | 2017-04-19 | 2017-09-19 | 上海海加网络科技有限公司 | 一种基于USBKey数字证书认证的IPSAN访问控制方法及装置 |
| CN107517268A (zh) * | 2017-09-05 | 2017-12-26 | 郑州云海信息技术有限公司 | 一种基于san存储的数据操作方法、装置及系统 |
| CN108139722A (zh) * | 2015-08-05 | 2018-06-08 | Abb瑞士股份有限公司 | 对自动化系统的安全移动访问 |
| CN108683523A (zh) * | 2018-04-24 | 2018-10-19 | 国家电网公司信息通信分公司 | 一种基于网络虚拟化的sdn架构 |
| CN109040135A (zh) * | 2014-11-21 | 2018-12-18 | 华为技术有限公司 | 数据同步方法及其装置 |
| CN109246134A (zh) * | 2016-08-25 | 2019-01-18 | 杭州数梦工场科技有限公司 | 一种报文控制方法和装置 |
| CN110392015A (zh) * | 2018-04-17 | 2019-10-29 | 网宿科技股份有限公司 | 一种处理业务请求的方法和系统 |
| CN110692223A (zh) * | 2017-07-14 | 2020-01-14 | 日立数据管理有限公司 | 用于控制对数据存储系统的用户访问的方法、设备和系统 |
| WO2021189229A1 (en) * | 2020-03-24 | 2021-09-30 | Citrix Systems, Inc. | Inter-application relevance management for application virtualization platform |
| CN115378659A (zh) * | 2022-07-28 | 2022-11-22 | 中国电子科技集团公司第三十研究所 | 基于用户身份的高可靠文件加密和细粒度访问控制方法 |
| CN115622729A (zh) * | 2022-08-19 | 2023-01-17 | 中国电子科技集团公司第三十研究所 | 一种iSCSI协议数据安全加固方法及网关 |
| US12008099B2 (en) | 2022-04-19 | 2024-06-11 | Fort Robotics, Inc. | Method for safety responses to security policy violations |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040236745A1 (en) * | 2003-05-22 | 2004-11-25 | International Business Machines Corporation | Distributed filesystem network security extension |
| CN1744523A (zh) * | 2005-08-26 | 2006-03-08 | 南京邮电大学 | 一种面向移动代理网管的安全保护方法 |
| CN101316273A (zh) * | 2008-05-12 | 2008-12-03 | 华中科技大学 | 一种分布式安全存储系统 |
| CN102339234A (zh) * | 2011-07-12 | 2012-02-01 | 迈普通信技术股份有限公司 | 一种协议栈运行装置和方法 |
| CN102377740A (zh) * | 2010-08-12 | 2012-03-14 | 西门子公司 | 一种工业访问控制方法及装置 |
| CN103297441A (zh) * | 2013-06-25 | 2013-09-11 | 福建伊时代信息科技股份有限公司 | 访问控制方法和装置 |
-
2014
- 2014-04-22 CN CN201410163416.5A patent/CN103905466B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040236745A1 (en) * | 2003-05-22 | 2004-11-25 | International Business Machines Corporation | Distributed filesystem network security extension |
| CN1744523A (zh) * | 2005-08-26 | 2006-03-08 | 南京邮电大学 | 一种面向移动代理网管的安全保护方法 |
| CN101316273A (zh) * | 2008-05-12 | 2008-12-03 | 华中科技大学 | 一种分布式安全存储系统 |
| CN102377740A (zh) * | 2010-08-12 | 2012-03-14 | 西门子公司 | 一种工业访问控制方法及装置 |
| CN102339234A (zh) * | 2011-07-12 | 2012-02-01 | 迈普通信技术股份有限公司 | 一种协议栈运行装置和方法 |
| CN103297441A (zh) * | 2013-06-25 | 2013-09-11 | 福建伊时代信息科技股份有限公司 | 访问控制方法和装置 |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109040135A (zh) * | 2014-11-21 | 2018-12-18 | 华为技术有限公司 | 数据同步方法及其装置 |
| CN108139722A (zh) * | 2015-08-05 | 2018-06-08 | Abb瑞士股份有限公司 | 对自动化系统的安全移动访问 |
| US10862886B2 (en) | 2015-08-05 | 2020-12-08 | Abb Schweiz Ag | Secure mobile access for automation systems |
| CN108139722B (zh) * | 2015-08-05 | 2020-06-05 | Abb瑞士股份有限公司 | 工业自动化系统及其安全移动访问方法 |
| CN105701233B (zh) * | 2016-02-18 | 2018-12-14 | 南京焦点领动云计算技术有限公司 | 一种优化服务器缓存管理的方法 |
| CN105701233A (zh) * | 2016-02-18 | 2016-06-22 | 焦点科技股份有限公司 | 一种优化服务器缓存管理的方法 |
| CN109246134A (zh) * | 2016-08-25 | 2019-01-18 | 杭州数梦工场科技有限公司 | 一种报文控制方法和装置 |
| CN109246134B (zh) * | 2016-08-25 | 2021-04-06 | 杭州数梦工场科技有限公司 | 一种报文控制方法和装置 |
| CN106453274A (zh) * | 2016-09-22 | 2017-02-22 | 华北水利水电大学 | 一种智能数据安全管理控制系统和控制方法 |
| CN107180172A (zh) * | 2017-04-19 | 2017-09-19 | 上海海加网络科技有限公司 | 一种基于USBKey数字证书认证的IPSAN访问控制方法及装置 |
| CN110692223B (zh) * | 2017-07-14 | 2022-01-21 | 日立数据管理有限公司 | 用于控制对数据存储系统的用户访问的方法、设备和系统 |
| CN110692223A (zh) * | 2017-07-14 | 2020-01-14 | 日立数据管理有限公司 | 用于控制对数据存储系统的用户访问的方法、设备和系统 |
| CN107517268A (zh) * | 2017-09-05 | 2017-12-26 | 郑州云海信息技术有限公司 | 一种基于san存储的数据操作方法、装置及系统 |
| CN110392015A (zh) * | 2018-04-17 | 2019-10-29 | 网宿科技股份有限公司 | 一种处理业务请求的方法和系统 |
| CN110392015B (zh) * | 2018-04-17 | 2022-01-21 | 网宿科技股份有限公司 | 一种处理业务请求的方法和系统 |
| CN108683523B (zh) * | 2018-04-24 | 2021-05-14 | 国家电网有限公司信息通信分公司 | 一种基于网络虚拟化的sdn架构 |
| CN108683523A (zh) * | 2018-04-24 | 2018-10-19 | 国家电网公司信息通信分公司 | 一种基于网络虚拟化的sdn架构 |
| WO2021189229A1 (en) * | 2020-03-24 | 2021-09-30 | Citrix Systems, Inc. | Inter-application relevance management for application virtualization platform |
| US11347528B2 (en) | 2020-03-24 | 2022-05-31 | Citrix Systems, Inc. | Inter-application relevance management for application virtualization platform |
| US11853781B2 (en) | 2020-03-24 | 2023-12-26 | Citrix Systems, Inc. | Inter-application relevance management for application virtualization platform |
| US12008099B2 (en) | 2022-04-19 | 2024-06-11 | Fort Robotics, Inc. | Method for safety responses to security policy violations |
| CN115378659A (zh) * | 2022-07-28 | 2022-11-22 | 中国电子科技集团公司第三十研究所 | 基于用户身份的高可靠文件加密和细粒度访问控制方法 |
| CN115378659B (zh) * | 2022-07-28 | 2024-04-16 | 中国电子科技集团公司第三十研究所 | 基于用户身份的高可靠文件加密和细粒度访问控制方法 |
| CN115622729A (zh) * | 2022-08-19 | 2023-01-17 | 中国电子科技集团公司第三十研究所 | 一种iSCSI协议数据安全加固方法及网关 |
| CN115622729B (zh) * | 2022-08-19 | 2024-06-25 | 中国电子科技集团公司第三十研究所 | 一种iSCSI协议数据安全加固方法及网关 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103905466B (zh) | 2017-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103905466B (zh) | 一种存储系统数据访问控制系统及其方法 | |
| Yu et al. | A view about cloud data security from data life cycle | |
| US7904565B2 (en) | System for providing security in a network comprising communications devices | |
| CN106888084B (zh) | 一种量子堡垒机系统及其认证方法 | |
| KR102460694B1 (ko) | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| US20100250921A1 (en) | Authorizing a Login Request of a Remote Device | |
| CN103927489A (zh) | 一种数据可信存储的系统及其方法 | |
| CN102546664A (zh) | 用于分布式文件系统的用户与权限管理方法及系统 | |
| CN105007302B (zh) | 一种移动终端数据存储方法 | |
| US7231518B1 (en) | System and method for authenticating a storage device for use with driver software in a storage network | |
| CN103248479A (zh) | 云存储安全系统、数据保护以及共享方法 | |
| JP2004185623A (ja) | ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム | |
| TW201215070A (en) | Key Management Systems and methods for shared secret ciphers | |
| KR102439881B1 (ko) | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| US11805104B2 (en) | Computing system operational methods and apparatus | |
| CN103095720A (zh) | 一种基于会话管理服务器的云存储系统的安全管理方法 | |
| CN110351263A (zh) | 一种基于超级账本fabric的物联网认证方法 | |
| CN1901452A (zh) | 用于网络单元认证的多层次和多因素安全证书管理 | |
| KR20190030317A (ko) | 블록체인을 이용한 사물인터넷 보안 시스템 및 보안 방법 | |
| CN115333840B (zh) | 资源访问方法、系统、设备及存储介质 | |
| KR102460695B1 (ko) | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| CN111611620B (zh) | 一种访问平台的访问请求处理方法及相关装置 | |
| KR20190091511A (ko) | 난수에 기초한 데이터 메시지 인증 | |
| CN106453313A (zh) | 基于云计算平台的虚拟机安全验证系统及方法 | |
| CN112825521A (zh) | 区块链应用可信身份管理方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20221028 Address after: No. 259-10, Hengxue Road, Fangqiao Street, Fenghua District, Ningbo, Zhejiang 315000 (self declaration) Patentee after: Ningbo Qianchuan Technology Co.,Ltd. Address before: Room 701, Unit 6, Building 2, Yard 35, Chaonei South Street, Dongcheng District, Beijing 100005 Patentee before: Guo Wei |
|
| TR01 | Transfer of patent right |