CN109561063A - 更新存储域网络中的iSCSI客户端的登录凭证 - Google Patents
更新存储域网络中的iSCSI客户端的登录凭证 Download PDFInfo
- Publication number
- CN109561063A CN109561063A CN201810054503.5A CN201810054503A CN109561063A CN 109561063 A CN109561063 A CN 109561063A CN 201810054503 A CN201810054503 A CN 201810054503A CN 109561063 A CN109561063 A CN 109561063A
- Authority
- CN
- China
- Prior art keywords
- client
- iscsi
- authentication
- logging
- response message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Abstract
本公开涉及更新存储域网络(SAN)中的iSCSI客户端的登录凭证。在示例中,iSNS服务器可以向iSCSI目标设备发送目标通知,目标通知包括用于使目标设备更新针对iSCSI客户端的登录凭证的目标侧记录的指令。iSNS服务器可以从iSCSI目标设备接收第一目标响应消息。作为响应,iSNS服务器可以向iSCSI目标设备提供用于iSCSI客户端的经更新的登录凭证。iSNS服务器可以接收第二目标响应消息。作为响应,iSNS服务器可以向iSCSI客户端发送客户端通知以便更新登录凭证的客户端侧记录。iSNS服务器可以接收第一客户端响应消息。作为响应,iSNS服务器可以向iSCSI客户端提供经更新的登录凭证。
Description
背景技术
互联网小型计算机系统接口(iSCSI)是用于链接数据存储设施的基于互联网协议(IP)的存储联网标准。iSCSI可以通过TCP/IP网络提供对存储设备的块级访问。iSCSI可以用于通过局域网(LAN)、广域网(WAN)或因特网的位置无关的数据存储和检索。
附图说明
为了更好地理解解决方案,现在将单纯通过示例的方式参照随附各图来描述实施例,其中:
图1是用于更新iSCSI客户端的登录凭证的示例计算环境的框图;
图2是用于更新存储域网络(SAN)中的iSCSI客户端的登录凭证的示例系统的框图;
图3是更新SAN中的iSCSI客户端的登录凭证的示例方法的框图;以及
图4是在机器可读存储介质中包括用于更新SAN中的iSCSI客户端的登录凭证的指令的示例系统的框图。
具体实施方式
iSCSI是可以允许组织向存储阵列中合并存储而同时为主机(诸如网络服务器)提供本地附连的盘的假象的存储域网络(SAN)协议。iSCSI协议可以允许客户端(称为发起者)向远程服务器上的SCSI存储设备(目标)发送SCSI命令。
由于iSCSI在标准以太网上运行并且使用具有公知端口数目的TCP/IP协议,所以它易受欺骗和其它攻击。为了在某种程度上防止这一点,iSCSI标准使用授权、验证和加密来指定。典型地,企业网络可以使用基于双向挑战-握手验证协议(CHAP)的验证,其中iSCSI服务器(目标)和iSCSI客户端(发起者)二者可以在就任何I/O进行事务处理之前验证彼此。然而,因为这些验证仅实施一次,并且在客户端与服务器之间共享的秘密(其一旦经配置可能绝不改变)是静态的,所以它们不满足政府规范和服从要求。一般地,一些政府规范可以要求以规律的基础改变密钥或秘密。手动改变这些密钥或秘密可以牵涉到相当大量的工作,特别是随着结构尺寸的增加尤其如此,并且可以牵涉到针对顾客的停工期。不必说,这不是合期望的场景。
为了解决这些技术挑战,本文描述的示例提供了一种用于更新存储域网络(SAN)中的iSCSI客户端的登录凭证的机制。在示例中,互联网存储名称服务(iSNS)服务器可以向存储域网络中的互联网小型计算机系统接口(iSCSI)目标设备发送目标通知,该目标通知包括用于使iSCSI目标设备更新针对iSCSI客户端的登录凭证的目标侧记录的指令。iSNS服务器可以从iSCSI目标设备接收针对目标通知的第一目标响应消息。响应于第一目标响应消息,iSNS服务器可以向iSCSI目标设备提供用于iSCSI客户端的经更新的登录凭证。iSNS服务器可以从iSCSI目标设备接收第二目标响应消息,该第二目标响应消息指示用于iSCSI客户端的登录凭证的目标侧记录已经更新。响应于第二目标响应消息,iSNS服务器可以向iSCSI客户端发送客户端通知,该客户端通知包括用于使iSCSI客户端更新其登录凭证的客户端侧记录的指令。iSNS服务器可以从iSCSI客户端接收针对客户端通知的第一客户端响应消息。响应于第一客户端响应消息,iSNS服务器可以向iSCSI客户端提供经更新的登录凭证。iSNS服务器可以从iSCSI客户端接收第二客户端响应消息,该第二客户端响应消息指示其登录凭证的客户端侧记录已经更新。经更新的凭证可以由iSCSI客户端可使用以便登录至iSCSI目标设备。
图1是用于更新iSCSI客户端的登录凭证的示例计算环境100的框图。计算环境100可以包括iSCSI客户端102、iSNS服务器104和iSCSI目标设备106。尽管在图1中示出了仅一个iSCSI客户端、一个iSNS服务器和一个iSCSI目标设备,但是本公开的其它示例可以包括多于一个iSCSI客户端、多于一个iSNS服务器和多于一个iSCSI目标设备。
iSCSI客户端102可以是能够执行机器可读指令的任何类型的计算设备。iSCSI客户端102的示例可以包括而不限于服务器、虚拟机、可组成的基础设施器具、融合或超融合器具、存储阵列控制器、支架级系统、台式计算机、笔记本计算机、平板计算机、瘦客户端、移动设备、个人数字助手(PDA)、平板手机等等。在示例中,iSCSI客户端102可以被称为iSCSI发起者。
iSCSI目标设备106可以是计算设备、存储设备或其组合。例如,iSCSI目标设备106可以包括而不限于服务器、台式计算机、笔记本计算机、平板计算机、瘦客户端、移动设备、个人数字助手(PDA)等等。在另一个示例中,iSCSI目标设备106可以是内部存储设备、外部存储设备或者网络附连的存储设备。iSCSI目标设备106的其它示例可以包括硬盘驱动、存储盘(例如,CD-ROM、DVD等)、存储带、固态驱动、USB驱动、串行高级技术附件(SATA)盘驱动、光纤信道(FC)盘驱动、串联附连SCSI(SAS)盘驱动、磁带驱动、光学点唱机等。在其它示例中,iSCSI目标设备106可以是直接附连存储(DAS)设备、网络附连存储(NAS)设备、非昂贵盘的冗余阵列(RAID)、数据归档存储系统或者通过存储域网络(SAN)的基于块的设备。在一个示例中,iSCSI目标设备106可以是存储阵列,所述存储阵列可以包括一个或多个存储驱动器(例如,硬盘驱动、固态驱动等)。
在示例中,由iSCSI目标设备106提供的物理存储空间可以被表示为逻辑存储空间。这样的逻辑存储空间(还称为“逻辑卷”、“虚拟盘”或“存储卷”)可以使用“逻辑单元号”(LUN)来标识。在另一个实例中,由iSCSI目标设备106提供的物理存储空间可以被表示为多个逻辑卷(“iSCSI目标”)。在这样的情况下,每一个逻辑存储空间(“iSCSI目标”)可以通过单独的LUN来指代。例如,如果iSCSI目标设备106是物理盘,LUN可以指代整个物理盘或者物理盘或盘卷的子集。在另一个示例中,如果iSCSI目标设备106是包括多个存储盘驱动的存储阵列,由盘驱动提供的物理存储空间可以聚集为逻辑存储空间。可以将经聚集的逻辑存储空间划分为多个逻辑存储卷,其中每一个逻辑存储卷可以通过单独的LUN来引用。因而,LUN可以用于标识物理盘设备中的个体或集群以用于通过与小型计算机系统接口(SCSI)、互联网小型计算机系统接口(iSCSI)或光纤信道(FC)相关联的协议进行寻址。因而,在示例中,iSCSI目标设备106可以包括一个或多个iSCSI目标。
iSCSI客户端102、iSNS服务器104和iSCSI目标106可以例如经由网络通信。网络可以是无线或有线网络。网络可以例如包括局域网(LAN)、广域网(WAN)、城域网(MAN)、存储域网络(SAN)、校园域网络(CAN)等等。另外,网络可以是公共网络(例如,因特网)或私人网络(例如,内联网)。在示例中,网络可以是iSCSI网络。
iSCSI客户端102可以经由合适的接口或协议与iSCSI目标设备106通信,所述接口或协议诸如但不限于互联网小型计算机系统接口(iSCSI)、光纤信道、光纤连接(FICON)、超SCSI以及通过以太网的ATA。在实例中,iSCSI客户端102可以通过网络向iSCSI目标设备106发送SCSI命令。
互联网存储名称服务(iSNS)服务器104可以提供用于一个或多个结构上的所有iSCSI节点(例如,iSCSI客户端102和iSCSI目标设备106)的集中式名称服务。iSNS服务器104可以使用互联网存储名称服务协议来维护关于网络上的有效iSCSI设备(例如,iSCSI客户端102和iSCSI目标设备106)的信息,包括其IP地址、iSCSI节点名称和门户群组。iSNS协议可以使得能够实现IP存储网络上的iSCSI设备的自动化发现和管理。iSCSI发起者(例如,102)可以询问iSNS服务器104以便发现iSCSI目标设备(例如,106)。
如本文中所使用,“服务器”可以是指由处理器执行并且可以处理通过网络接收的来自其它(客户端)计算机的请求的计算机程序(机器可读指令)或过程。在示例中,iSNS服务器可以包括可以处理例如来自iSCSI设备的请求的计算机程序(机器可读指令)或过程。
在示例中,iSNS服务器104可以包括通知引擎120、响应引擎122和凭证引擎124。
引擎120、122和124可以是实现本文描述的引擎的功能性的硬件和编程的任何组合。在本文描述的示例中,硬件和编程的这样的组合可以以数个不同的方式实现。例如,用于引擎的编程可以是存储在至少一个非暂时性机器可读存储介质上的处理器可执行指令,并且用于引擎的硬件可以包括执行那些指令的至少一个处理资源。处理资源可以包括能够执行机器可读指令的任何电路,诸如而不限于,处理器、协处理器、微处理器、中央处理单元(CPU)、微控制器等。在一些示例中,硬件还可以包括至少部分地实现iSNS服务器104的至少一个引擎的其它电子电路(例如,ASIC、CPLD、FPGA、分立逻辑电路等)。在一些示例中,所述至少一个机器可读存储介质可以存储指令,所述指令在由所述至少一个处理资源执行时至少部分地实现iSNS服务器104的一些或全部引擎。在这样的示例中,iSNS服务器104可以包括存储指令的所述至少一个机器可读存储介质以及执行指令的所述至少一个处理资源。
在示例中,iSNS服务器104上的通知引擎可以向网络(例如,SAN)上的iSCSI目标设备106发送目标通知。目标通知可以是指令接收方(即,iSCSI目标设备106)更新用于iSCSI客户端102的登录凭证的目标侧记录的消息。目标侧记录是由目标设备106维护的登录凭证的记录,其反映了iSCSI目标设备106对登录凭证是什么的当前理解。在示例中,去往iSCSI目标设备106的目标通知可以基于预限定的频率周期性地发送。在示例中,每当在iSNS服务器104上生成经更新的登录凭证时,可以发送去往iSCSI目标设备106的目标通知。在示例中,从iSNS服务器104到iSCSI目标设备106的目标通知可以由用户触发或发送。在示例中,去往iSCSI目标设备106的目标通知可以经由带内网络接入来发送。如本文中所使用,“带内”网络接入可以是指一种网络使用,其中相同网络可以用于监视和控制数据网络并且传达不用于该数据网络的管理或控制的数据分组。在示例中,在带内网络接入期间,网络管理信息(例如,经由简单网络管理协议(SNMP)分组)可以与正常数据分组(即,其内容不涉及该网络的管理或控制的数据分组)行进相同的网络路径。在示例中,目标通知可以包括状态改变通知(SCN)。
响应于目标通知,iSNS服务器104可以从iSCSI目标设备106接收第一目标响应消息。在示例中,第一目标响应消息可以包括来自iSCSI目标设备106的用于使iSNS服务器104提供针对iSCSI客户端102的经更新的登录凭证的请求。
响应于第一目标响应消息,iSNS服务器104可以向iSCSI目标设备106提供用于iSCSI客户端102的经更新的登录凭证。在示例中,用于iSCSI客户端102的登录凭证可以以周期性基础在iSNS服务器104上更新。经更新的登录凭证可以存储在iSNS服务器104中的数据库中。在示例中,数据库可以包括轻型目录访问协议(LDAP)数据库。在示例中,经更新的登录凭证可以在iSNS服务器104上自动生成,例如,以周期性基础来自动生成。在示例中,经更新的登录凭证可以在iSNS服务器104上由用户生成。在示例中,经更新的登录凭证可以以经加密的形式(例如,利用AES-256位加密)存储在iSNS服务器104上。在示例中,登录凭证可以包括基于挑战-握手验证协议(CHAP)的凭证。基于CHAP的凭证是基于CHAP协议。CHAP验证是基于挑战和响应的概念。对等体(验证方)挑战调用方(被验方)以证明其身份。CHAP通过使用三向握手来核验客户端的身份。这在建立初始链路的时间处发生。核验是基于共享的秘密(诸如,客户端的密码)。在链路建立阶段的完成之后,验证方向对等体发送“挑战”消息。对等体利用值做出响应,所述值使用单向散列函数在组合的挑战和秘密上进行计算。验证方对照其自身的期望的散列值的计算来检查响应。如果值匹配,验证方确认验证;否则,它应当终止连接。
在从iSNS服务器104接收到经更新的登录凭证之后,iSCSI目标设备106可以基于所接收的经更新的凭证来更新其登录凭证的目标侧记录。例如,iSCSI目标设备106可以将经更新的凭证存储在目标侧记录中,覆写凭证的之前版本。一旦用于iSCSI客户端102的登录凭证已经在iSCSI目标设备106上更新,iSNS服务器104就可以从iSCSI目标设备106接收第二目标响应消息,第二目标响应消息指示用于iSCSI客户端102的登录凭证已经更新。
响应于第二目标响应消息,iSNS服务器104可以向iSCSI客户端102发送客户端通知。客户端通知可以是指令接收方(即,iSCSI客户端102)更新由iSCSI客户端102使用以便登录至iSCSI目标设备106的登录凭证的客户端侧记录的消息。客户端侧记录是由iSCSI客户端102维护的用于登录至iSCSI目标设备106的其自身的登录凭证的记录,并且客户端侧记录反映了iSCSI客户端102对登录凭证是什么的当前理解。在示例中,去往iSCSI客户端102的客户端通知可以经由带内网络接入来发送。在示例中,客户端通知可以包括状态改变通知(SCN)。在示例中,响应于客户端通知,iSCSI客户端102与iSCSI目标设备106之间的现有会话可以由iSCSI客户端102暂停。
响应于客户端通知,iSNS服务器104可以从iSCSI客户端102接收第一客户端响应消息。在示例中,第一客户端响应消息可以包括来自iSCSI客户端102的用于使iSNS服务器104提供针对iSCSI客户端102的经更新的登录凭证的请求。
响应于第一客户端响应消息,iSNS服务器104可以向iSCSI客户端102提供与之前提供给iSCSI目标设备106相同的经更新的登录凭证。这确保了iSCSI客户端102和iSCSI目标设备106具有相同的经更新的登录凭证。
在从iSNS服务器104接收到经更新的登录凭证之后,iSCSI客户端102可以基于所接收的经更新的凭证来更新其登录凭证的客户端侧记录。例如,iSCSI客户端102可以将经更新的凭证存储在客户端侧记录中,覆写凭证的之前版本。一旦登录凭证已经在iSCSI客户端102上更新,iSNS服务器104就可以从iSCSI客户端102接收第二客户端响应消息,第二客户端响应消息指示登录凭证已经更新。
在示例中,经更新的凭证可以由iSCSI客户端102使用以便登录或再登录至iSCSI目标设备106。
图2是用于更新存储域网络(SAN)中的iSCSI客户端的登录凭证的示例系统200的框图。在示例中,系统200可以由任何适合的设备来实现,如本文关于例如图1的iSNS服务器104所述。
在示例中,系统200可以包括通知引擎120、响应引擎122和凭证引擎124,如以上关于图1所述。
在示例中,响应于用于系统上的iSCSI客户端的经更新的登录凭证的生成,通知引擎可以向存储域网络中的互联网小型计算机系统接口(iSCSI)目标设备发送目标通知以便更新用于iSCSI客户端的登录凭证。作为响应,响应引擎可以从iSCSI目标设备接收针对目标通知的第一目标响应消息。响应于第一目标响应消息,凭证引擎可以向iSCSI目标设备提供用于iSCSI客户端的经更新的登录凭证。作为响应,响应引擎可以从iSCSI目标设备接收第二目标响应消息,第二目标响应消息指示用于iSCSI客户端的登录凭证已经更新。
响应于第二目标响应消息,通知引擎可以向iSCSI客户端发送客户端通知以便更新登录凭证。作为响应,响应引擎可以从iSCSI客户端接收针对客户端通知的第一客户端响应消息。响应于第一客户端响应消息,凭证引擎可以向iSCSI客户端提供经更新的登录凭证。作为响应,响应引擎可以从iSCSI客户端接收第二客户端响应消息,第二客户端响应消息指示登录凭证已经更新。
图3是用于更新存储域网络(SAN)中的iSCSI客户端的登录凭证的示例方法300的框图。在下文描述的方法300可以完全地或者部分地在系统上执行,所述系统诸如图1的iSNS服务器104和图2的系统200。然而,其它适合的网络或计算设备也可以执行方法300。在框302处,互联网存储名称服务(iSNS)服务器可以向存储域网络中的互联网小型计算机系统接口(iSCSI)目标设备发送目标通知,目标通知包括更新用于iSCSI客户端的登录凭证的目标侧记录的指令。在框304处,iSNS服务器104可以从iSCSI目标设备接收针对目标通知的第一目标响应消息。在框306处,响应于第一目标响应消息,iSNS服务器可以向iSCSI目标设备提供用于iSCSI客户端的经更新的登录凭证。在框308处,iSNS服务器可以从iSCSI目标设备接收第二目标响应消息,第二目标响应消息指示用于iSCSI客户端的登录凭证的目标侧记录已经更新。在框310处,响应于第二目标响应消息,iSNS服务器可以向iSCSI客户端发送客户端通知,客户端通知包括更新其登录凭证的客户端侧记录的指令。在框312处,iSNS服务器可以从iSCSI客户端接收针对客户端通知的第一客户端响应消息。在框314处,响应于第一客户端响应消息,iSNS服务器可以向iSCSI客户端提供经更新的登录凭证。在框316处,iSNS服务器可以从iSCSI客户端接收第二客户端响应消息,第二客户端响应消息指示其登录凭证的客户端侧记录已经更新。经更新的凭证可以由iSCSI客户端可使用以便登录至iSCSI目标设备。
图4是在机器可读存储介质中包括用于更新存储域网络(SAN)中的iSCSI客户端的登录凭证的指令的示例系统400的框图。系统400包括通过系统总线通信耦合的处理器402和机器可读存储介质404。在示例中,系统400可以类似于图1的网络设备106或者图2的网络设备200。处理器402可以是解释并且执行存储在机器可读存储介质404中的机器可读指令的任何类型的中央处理单元(CPU)、微处理器或处理逻辑。机器可读存储介质404可以是可以存储信息和机器可读指令的随机存取存储器(RAM)或另一种类型的动态存储设备,所述机器可读指令可以由处理器402执行。例如,机器可读存储介质404可以是同步DRAM(SDRAM)、双倍数据速率(DDR)、Rambus DRAM(RDRAM)、Rambus RAM等,或者储存存储器介质,诸如软盘、硬盘、CD-ROM、DVD、笔驱动等等。在示例中,机器可读存储介质可以是非暂时性机器可读介质。
机器可读存储介质404可以存储指令406、408、410、412、414、416、418和420。在示例中,指令406可以由处理器402执行,由互联网存储名称服务(iSNS)服务器向存储域网络中的互联网小型计算机系统接口(iSCSI)目标设备发送目标通知,目标通知包括用于使iSCSI目标设备更新针对iSCSI客户端的登录凭证的目标侧记录的指令。指令408可以由处理器402执行以便通过iSNS服务器从iSCSI目标设备接收针对目标通知的第一目标响应消息。指令410可以由处理器402执行以便响应于第一目标响应消息而通过iSNS服务器向iSCSI目标设备提供用于iSCSI客户端的经更新的登录凭证。指令412可以由处理器402执行以便通过iSNS服务器从iSCSI目标设备接收第二目标响应消息,第二目标响应消息指示用于iSCSI客户端的登录凭证的目标侧记录已经更新。指令414可以由处理器402执行以便通过iSNS服务器发送客户端通知,客户端通知包括用于使iSCSI客户端响应于第二目标响应消息而更新其登录凭证的客户端侧记录的指令。指令416可以由处理器402执行以便通过iSNS服务器从iSCSI客户端接收针对客户端通知的第一客户端响应消息。指令418可以由处理器402执行以便通过iSNS服务器响应于第一客户端响应消息而向iSCSI客户端提供经更新的登录凭证。指令420可以由处理器402执行以便通过iSNS服务器从iSCSI客户端接收第二客户端响应消息,第二客户端响应消息指示其登录凭证的客户端侧记录已经更新。
出于解释简单的目的,将图3的示例方法示出为串行执行,然而,要理解和领会到,当前以及其它示例不受所图示的次序的限制。图1、2和4的示例系统,以及图3的方法可以以包括计算机可执行指令(诸如程序代码)的计算机程序产品的形式实现,所述计算机可执行指令可以在任何适合的计算设备上与适合的操作系统(例如,微软Windows®、Linux®、UNIX®等等)相结合地运行。本解决方案的范围内的示例还可以包括程序产品,程序产品包括用于实施或者具有存储在其上的计算机可执行指令或数据结构的非暂时性计算机可读介质。这样的计算机可读介质可以是可以由通用或专用计算机访问的任何可用介质。作为示例,这样的计算机可读介质可以包括RAM、ROM、EPROM、EEPROM、CD-ROM、磁盘存储或其它存储设备、或者任何其它介质,其可以用于承载或存储计算机可执行指令的形式的期望程序代码,并且其可以由通用或专用计算机访问。计算机可读指令还可以从存储器访问并且由处理器执行。
应当指出,以上描述的本解决方案的示例仅用于说明的目的。尽管已经结合其具体示例描述了解决方案,但是众多修改可以是可能的,而没有实质地脱离本文描述的主题的教导和优点。可以做出其它替换、修改和改变,而没有脱离本解决方案的精神。在该说明书(包括任何随附的权利要求、摘要和附图)中公开的所有特征和/或如此公开的任何方法或过程的所有步骤都可以以任何组合进行组合,除了其中这样的特征和/或步骤中的至少一些相互排除的组合之外。
Claims (20)
1.一种方法,包括:
通过互联网存储名称服务(iSNS)服务器向存储域网络中的互联网小型计算机系统接口(iSCSI)目标设备发送目标通知,所述目标通知包括用于使iSCSI目标设备更新针对iSCSI客户端的登录凭证的目标侧记录的指令;
通过iSNS服务器从iSCSI目标设备接收针对目标通知的第一目标响应消息;
响应于第一目标响应消息,通过iSNS服务器向iSCSI目标设备提供用于iSCSI客户端的经更新的登录凭证;
通过iSNS服务器从iSCSI目标设备接收第二目标响应消息,第二目标响应消息指示用于iSCSI客户端的登录凭证的目标侧记录已经更新;
响应于第二目标响应消息,通过iSNS服务器向iSCSI客户端发送客户端通知,客户端通知包括用于使iSCSI客户端更新其登录凭证的客户端侧记录的指令;
通过iSNS服务器从iSCSI客户端接收针对客户端通知的第一客户端响应消息;
响应于第一客户端响应消息,通过iSNS服务器向iSCSI客户端提供经更新的登录凭证;
通过iSNS服务器从iSCSI客户端接收第二客户端响应消息,第二客户端响应消息指示其登录凭证的客户端侧记录已经更新,其中经更新的凭证由iSCSI客户端可使用以便登录至iSCSI目标设备。
2.权利要求1所述的方法,其中去往iSCSI目标设备的目标通知基于预限定的频率而发送。
3.权利要求1所述的方法,其中每当在iSNS服务器上生成经更新的登录凭证时,就发送去往iSCSI目标设备的目标通知。
4.权利要求1所述的方法,其中去往iSCSI目标设备的目标通知由用户发送。
5.权利要求1所述的方法,其中经更新的登录凭证在iSNS服务器上自动生成。
6.权利要求1所述的方法,其中响应于客户端通知,由iSCSI客户端暂停iSCSI客户端与iSCSI目标设备之间的现有会话。
7.一种系统,包括:
通知引擎,响应于系统上的经更新的登录凭证的生成而向存储域网络中的互联网小型计算机系统接口(iSCSI)目标设备发送目标通知,目标通知包括用于使iSCSI目标设备更新针对iSCSI客户端的登录凭证的目标侧记录的指令;
响应引擎,从iSCSI目标设备接收针对目标通知的第一目标响应消息;
凭证引擎,响应于第一目标响应消息而向iSCSI目标设备提供用于iSCSI客户端的经更新的登录凭证;
所述响应引擎从iSCSI目标设备接收第二目标响应消息,第二目标响应消息指示用于iSCSI客户端的登录凭证的目标侧记录已经更新;
所述通知引擎响应于第二目标响应消息而向iSCSI客户端发送客户端通知,客户端侧通知包括用于使iSCSI客户端更新其登录凭证的客户端侧记录的指令;
所述响应引擎从iSCSI客户端接收针对客户端通知的第一客户端响应消息;
所述凭证引擎响应于第一客户端响应消息而向iSCSI客户端提供经更新的登录凭证;以及
所述响应引擎从iSCSI客户端接收第二客户端响应消息,第二客户端响应消息指示其登录凭证的客户端侧记录已经更新。
8.权利要求7所述的系统,其中去往iSCSI目标设备的目标通知经由带内网络接入来发送。
9.权利要求7所述的系统,其中第一目标响应消息包括来自iSCSI目标设备的提供经更新的登录凭证的请求。
10.权利要求7所述的系统,其中经更新的登录凭证以经加密的形式存储在iSNS服务器上。
11.权利要求7所述的系统,其中经更新的登录凭证存储在iSNS服务器中的数据库中。
12.权利要求11所述的系统,其中数据库包括轻型目录访问协议(LDAP)数据库。
13.一种包括指令的非暂时性机器可读存储介质,所述指令由处理器可执行以便:
通过互联网存储名称服务(iSNS)服务器向存储域网络中的互联网小型计算机系统接口(iSCSI)目标设备发送目标通知,目标通知包括用于使iSCSI目标设备更新针对iSCSI客户端的登录凭证的目标侧记录的指令;
通过iSNS服务器从iSCSI目标设备接收针对目标通知的第一目标响应消息;
响应于第一目标响应消息,通过iSNS服务器向iSCSI目标设备提供用于iSCSI客户端的经更新的登录凭证;
通过ISNS服务器从iSCSI目标设备接收第二目标响应消息,第二目标响应消息指示用于iSCSI客户端的登录凭证的目标侧记录已经更新;
响应于第二目标响应消息,通过iSNS服务器向iSCSI客户端发送客户端通知,客户端通知包括用于使iSCSI客户端更新其登录凭证的客户端侧记录的指令;
通过iSNS服务器从iSCSI客户端接收针对客户端通知的第一客户端响应消息;
响应于第一客户端响应消息,通过iSNS服务器向iSCSI客户端提供经更新的登录凭证;以及
通过iSNS服务器从iSCSI客户端接收第二客户端响应消息,第二客户端响应消息指示其登录凭证的客户端侧记录已经更新。
14.权利要求13所述的存储介质,其中登录凭证包括挑战-握手验证协议(CHAP)凭证。
15.权利要求13所述的存储介质,其中经更新的登录凭证由用户在iSNS服务器上生成。
16.权利要求13所述的存储介质,其中存储域网络包括iSCSI网络。
17.权利要求13所述的存储介质,其中第一客户端响应消息包括来自iSCSI客户端的提供经更新的登录凭证的请求。
18.权利要求13所述的存储介质,其中经更新的登录凭证在iSNS服务器上周期性地自动生成。
19.权利要求13所述的存储介质,其中经由带内网络接入来发送去往iSCSI客户端的客户端通知。
20.权利要求13所述的存储介质,其中目标通知包括状态改变通知(SCN)。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/714668 | 2017-09-25 | ||
US15/714,668 US10461929B2 (en) | 2017-09-25 | 2017-09-25 | Updating login credentials of an iSCSI client in a storage area network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109561063A true CN109561063A (zh) | 2019-04-02 |
CN109561063B CN109561063B (zh) | 2021-05-07 |
Family
ID=65809122
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810054503.5A Active CN109561063B (zh) | 2017-09-25 | 2018-01-19 | 用于更新登录凭证的方法、系统以及介质 |
Country Status (2)
Country | Link |
---|---|
US (1) | US10461929B2 (zh) |
CN (1) | CN109561063B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113422784A (zh) * | 2021-07-12 | 2021-09-21 | 苏州达家迎信息技术有限公司 | 登录凭证的更新方法、装置、计算机设备及存储介质 |
CN113722690A (zh) * | 2021-09-08 | 2021-11-30 | 北京华鼎博视数据信息技术有限公司 | 数据发送、接收以及凭证记录方法、设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7367050B2 (en) * | 2004-03-29 | 2008-04-29 | Hitachi, Ltd. | Storage device |
US7853994B2 (en) * | 2006-06-29 | 2010-12-14 | Hitachi, Ltd. | Computer system and method of updating authentication information of computer system |
CN103902225A (zh) * | 2012-12-26 | 2014-07-02 | 中国电信股份有限公司 | 存储资源集中管理的方法与系统 |
CN104486110A (zh) * | 2014-12-09 | 2015-04-01 | 上海爱数软件有限公司 | 一种基于rpc协议的统一存储资源管理方法 |
US9516016B2 (en) * | 2013-11-11 | 2016-12-06 | Pure Storage, Inc. | Storage array password management |
US20170139619A1 (en) * | 2014-07-14 | 2017-05-18 | Huawei Technologies Co., Ltd. | Storage array automatic configuration method, apparatus and storage system |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1695174A1 (en) * | 2003-12-17 | 2006-08-30 | Matsushita Electric Industrial Co., Ltd. | Methods and apparatuses for distributing system secret parameter group and encrypted intermediate key group for generating content encryption and decryption deys |
JP2007072521A (ja) * | 2005-09-02 | 2007-03-22 | Hitachi Ltd | 記憶制御システム及び記憶制御装置 |
GB2495550A (en) * | 2011-10-14 | 2013-04-17 | Ubiquisys Ltd | An access point that can be used to establish connections with UE devices using both cellular and wifi air interfaces |
-
2017
- 2017-09-25 US US15/714,668 patent/US10461929B2/en active Active
-
2018
- 2018-01-19 CN CN201810054503.5A patent/CN109561063B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7367050B2 (en) * | 2004-03-29 | 2008-04-29 | Hitachi, Ltd. | Storage device |
US7853994B2 (en) * | 2006-06-29 | 2010-12-14 | Hitachi, Ltd. | Computer system and method of updating authentication information of computer system |
CN103902225A (zh) * | 2012-12-26 | 2014-07-02 | 中国电信股份有限公司 | 存储资源集中管理的方法与系统 |
US9516016B2 (en) * | 2013-11-11 | 2016-12-06 | Pure Storage, Inc. | Storage array password management |
US20170139619A1 (en) * | 2014-07-14 | 2017-05-18 | Huawei Technologies Co., Ltd. | Storage array automatic configuration method, apparatus and storage system |
CN104486110A (zh) * | 2014-12-09 | 2015-04-01 | 上海爱数软件有限公司 | 一种基于rpc协议的统一存储资源管理方法 |
Non-Patent Citations (1)
Title |
---|
朱裕如: "基于ISCSI协议的网络存储登录管理系统", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113422784A (zh) * | 2021-07-12 | 2021-09-21 | 苏州达家迎信息技术有限公司 | 登录凭证的更新方法、装置、计算机设备及存储介质 |
CN113722690A (zh) * | 2021-09-08 | 2021-11-30 | 北京华鼎博视数据信息技术有限公司 | 数据发送、接收以及凭证记录方法、设备 |
CN113722690B (zh) * | 2021-09-08 | 2023-11-10 | 北京华鼎博视数据信息技术有限公司 | 数据发送、接收以及凭证记录方法、设备 |
Also Published As
Publication number | Publication date |
---|---|
US10461929B2 (en) | 2019-10-29 |
CN109561063B (zh) | 2021-05-07 |
US20190097797A1 (en) | 2019-03-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11044088B2 (en) | System and method for rotating client security keys | |
US20230007003A1 (en) | Systems and methods for organizing devices in a policy hierarchy | |
US10466933B1 (en) | Establishing a persistent connection with a remote secondary storage system | |
US8473585B1 (en) | Multi-threaded optimization for data upload | |
US20210119983A1 (en) | Structure of policies for evaluating key attributes of encryption keys | |
CN111523108B (zh) | 用于加密密钥管理、联合和分配的系统和方法 | |
US20160269364A1 (en) | Client services for applied key management systems and processes | |
US10917239B2 (en) | Policy-enabled encryption keys having ephemeral policies | |
US11539663B2 (en) | System and method for midserver facilitation of long-haul transport of telemetry for cloud-based services | |
CN109643281A (zh) | 数据加密和解密的系统和方法 | |
JP2009540408A (ja) | 記憶装置に対するセキュア・アクセス制御のためのシステム、方法、およびコンピュータ・プログラム | |
CN109510856A (zh) | 通过存储域网络中的目标设备对交替主要成员端口的标识 | |
CN112134956A (zh) | 一种基于区块链的分布式物联网指令管理方法和系统 | |
CN104811473B (zh) | 一种创建虚拟非易失性存储介质的方法、系统及管理系统 | |
US11228486B2 (en) | Methods for managing storage virtual machine configuration changes in a distributed storage system and devices thereof | |
US10931653B2 (en) | System and method for hierarchy manipulation in an encryption key management system | |
US20170126908A1 (en) | Robust mesh printer network with distributed queue management | |
US20130227568A1 (en) | Systems and methods involving virtual machine host isolation over a network | |
WO2017147341A1 (en) | System and method for associating encryption key management policy with device activity | |
CN109561063A (zh) | 更新存储域网络中的iSCSI客户端的登录凭证 | |
US11165663B2 (en) | Network management using a distributed ledger | |
Schorradt et al. | On the feasibility of secure logging for industrial control systems using blockchain | |
WO2017183089A1 (ja) | 計算機、計算機システム、およびプログラム | |
WO2023069106A1 (en) | Methods and systems for managing user authentication in iiot environments using hardware tokens | |
JP2020096308A (ja) | デジタル割符方式を利用した認証システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |