CN112507319A - 一种NVMe-oF存储系统的数据安全保护方法及装置 - Google Patents

一种NVMe-oF存储系统的数据安全保护方法及装置 Download PDF

Info

Publication number
CN112507319A
CN112507319A CN202011319813.9A CN202011319813A CN112507319A CN 112507319 A CN112507319 A CN 112507319A CN 202011319813 A CN202011319813 A CN 202011319813A CN 112507319 A CN112507319 A CN 112507319A
Authority
CN
China
Prior art keywords
host
storage
access
storage access
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011319813.9A
Other languages
English (en)
Inventor
朱承高
徐林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jinan Huaxin Suangu Information Technology Co ltd
Original Assignee
Jinan Huaxin Suangu Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jinan Huaxin Suangu Information Technology Co ltd filed Critical Jinan Huaxin Suangu Information Technology Co ltd
Priority to CN202011319813.9A priority Critical patent/CN112507319A/zh
Publication of CN112507319A publication Critical patent/CN112507319A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种NVMe‑oF存储系统的数据安全保护方法及装置,涉及存储技术领域。所述方法包括:通过监控主机与存储系统间的连接获取数据访问请求消息;数据访问请求消息中包含有存储访问操作指令;解析数据访问请求消息,确定主机的存储访问操作指令;根据主机与存储系统间的连接及存储访问操作指令,确定主机与对应存储系统的预设访问规则,并在预设访问权限规则中确定主机的存储访问权限的类型,根据存储访问权限的类型,处理主机的存储访问操作指令;其中,预设访问规则中预先设置了主机的标识信息、对应的至少一个存储访问对象的标识信息,及主机对所述至少一个存储访问对象的存储访问权限的类型。本申请用以提高数据安全性。

Description

一种NVMe-oF存储系统的数据安全保护方法及装置
技术领域
本发明涉及存储技术领域,具体涉及一种NVMe-oF存储系统的数据安全保护方法及装置。
背景技术
固态驱动器(Solid-State Drive,SSD)正在取代了传统的硬盘驱动器(HardDiskDrive,HDD),迅速成为现代IT基础设施的主要存储元件。SSD提供非常低的延迟、高数据读取/写入吞吐量以及可靠的用户数据存储。NVMe-oF(Non-Volatile Memory expressover Fabrics,光纤高速非易失性存储器)是一项新兴技术,其允许数百甚至数千个高速非易失性存储器(NVMe)SSD通过以太网连接。NVMe-oF协议实现了远程直接连接存储实施。这允许大量的SSD连接到远程主机。NVMe-oF协议使用远程直接存储器访问(RDMA)协议来提供用于携带NVMe命令、数据和响应的可靠传输服务。
NVMe-oF协议建立在NVMe基础规格说明书定义的NVM subsystem(非易失性存储子系统)架构之上。一个NVM subsystem表示一个1至64K个用于访问命名空间(namespace)的控制器(controller)的集合。controller可以通过1到64K个NVM subsystem端口(ports)与主机们相关联。
随着NVMe-oF协议在存储行业的应用不断推广,其安全性也越来越受到重视。目前,在NVMe-oF的存储系统中,通过主机NVMe限定名(NVMe QualifiedName,NQN)和NVMsubsystemNQN之间的映射来控制主机对各命名空间(namespace)的访问权限。但是,这种简单的通过NVMe命令空间映射进行权限控制的方式器控制力度粗糙,并且缺乏访问权限的限制,存储系统的数据安全性较差。
发明内容
本发明提供一种NVMe-oF存储系统的数据安全保护方法及装置,用以提高存储系统的数据安全性。
为实现上述目的,本发明的技术方案如下:
本发明实施例提供了一种NVMe-oF存储系统的数据安全保护方法,包括:获取数据访问请求消息;所述数据访问请求消息中包含有存储访问操作指令、主机的标识信息及对应的目标存储访问对象的标识信息;
解析所述数据访问请求消息,确定所述主机的存储访问操作指令、主机的标识信息及对应的目标存储访问对象的标识信息;
根据所述主机的标识信息、对应的目标存储访问对象的标识信息及存储访问操作指令,确定所述主机与对应存储系统的预设访问规则,并在预设访问权限规则中确定所述主机的存储访问权限的类型,根据所述存储访问权限的类型,处理所述主机的存储访问操作指令;其中,所述预设访问规则中预先设置了主机的标识信息、对应的至少一个存储访问对象的标识信息,及所述主机对所述至少一个存储访问对象的存储访问权限的类型。
可选地,所述据所述主机的标识信息、对应的目标存储访问对象的标识信息及存储访问操作指令,确定所述主机与对应存储系统的预设访问规则包括:
根据所述主机的标识信息、对应的目标存储访问对象的标识信息及存储访问操作指令,按照所述预设访问规则的设置顺序,查找所述预设访问规则,若查找出匹配项,则将所述匹配项确定为所述主机与对应存储系统的预设访问规则;
若没有查找出匹配项,则将所述预设访问规则中的预设默认规则项确定为所述主机与对应存储系统的预设访问规则。
可选地,在所述通过监控主机与存储系统间的连接获取数据访问请求消息之前,还包括:
获取所述主机发送的连接建立请求消息;所述连接建立请求消息中携带有所述主机的身份验证信息、主机的标识信息及目标存储访问对象的标识信息;
根据所述连接建立请求消息中的所述主机的身份验证信息及主机的标识信息,验证所述主机的合法性;
在所述主机合法时,根据所述主机的标识信息、目标存储访问对象的标识信息及所述主机与对应存储系统的预设访问权限规则,确定是否允许所述主机与对应的存储系统建立连接;
若允许,则触发所述存储系统建立与所述主机间的连接。
可选地,所述主机的标识信息包括:主机的NVMe限定名NQN;
所述目标存储访问对象的标识信息包括:目标存储访问对象的NQN。
可选地,所述主机的身份验证信息包括:主机的互联网协议IP地址及媒体存取控制位MAC地址。
可选地,所述根据所述连接建立请求消息中的所述主机的身份验证信息及主机的标识信息,验证所述主机的合法性包括:
根据所述连接建立请求消息中的主机的IP地址、所述主机MAC地址及主机的NQN在预设身份验证规则中确定出所述主机对应的身份访问权限的类型;其中,预设身份验证规则中设定了不同主机的身份访问权限的类型;
在所述主机对应的身份访问权限的类型为允许并不报警,或允许并报警时,则确定所述主机合法;
在所述主机对应的身份访问权限的类型为阻断并不报警,或阻断并报警时,则确定所述主机不合法。
可选地,所述根据所述连接建立请求消息中的主机的IP地址、所述主机MAC地址及主机的NQN在预设身份验证规则中确定出所述主机对应的身份访问权限的类型包括:
根据所述连接建立请求消息中的主机的IP地址、所述主机MAC地址及主机的NQN,按照预设身份验证规则的设置顺序,依次在预设身份验证规则中查找,若找出与所述主机的IP地址、所述主机MAC地址及主机的NQN相匹配的一项,则在匹配项中确定出所述主机对应的身份访问权限的类型;
若没有查找出与所述连接建立请求消息中的主机的IP地址、所述主机MAC地址及主机的NQN相匹配的一项,则在预设身份验证规则的预设默认规则中确定出所述主机对应的身份访问权限的类型。
可选地,在保护模式时,所述根据所述存储访问权限的类型,处理所述主机的存储访问操作指令包括:
在所述存储访问权限的类型为允许并不报警时,允许所述存储系统执行所述主机的存储访问操作指令;或者,
在所述存储访问权限的类型为允许并报警时,允许所述存储系统执行所述主机的存储访问操作指令,并报警;或者,
在所述存储访问权限的类型为阻断并报警时,阻断所述存储系统执行所述主机的存储访问操作指令,并报警;或者,
在所述存储访问权限的类型为阻断并不报警时,阻断所述存储系统执行所述主机的存储访问操作指令,并且不报警。
可选地,在审计模式时,所述根据所述存储访问权限的类型,处理所述主机的存储访问操作指令包括:
在所述存储访问权限的类型为允许并不报警时,允许所述存储系统执行所述主机的存储访问操作指令;或者,
在所述存储访问权限的类型为允许并报警时,允许所述存储系统执行所述主机的存储访问操作指令,并报警;或者,
在所述存储访问权限的类型为阻断并报警时,允许所述存储系统执行所述主机的存储访问操作指令,并报警;或者,
在所述存储访问权限的类型为阻断并不报警时,允许所述存储系统执行所述主机的存储访问操作指令,并且不报警。
进一步地,本发明实施例提供了一种数据安全保护装置,包括:
获取单元,用于通过监控主机与存储系统间的连接获取数据访问请求消息;所述数据访问请求消息中包含有存储访问操作指令;
确定单元,用于解析所述数据访问请求消息,确定所述主机的存储访问操作指令;
处理单元,用于根据所述主机与存储系统间的连接及存储访问操作指令,确定所述主机与对应存储系统的预设访问规则,并在预设访问权限规则中确定所述主机的存储访问权限的类型,根据所述存储访问权限的类型,处理所述主机的存储访问操作指令;其中,所述预设访问规则中预先设置了主机的标识信息、对应的至少一个存储访问对象的标识信息,及所述主机对所述至少一个存储访问对象的存储访问权限的类型。
可选地,处理单元,具体用于根据所述主机与存储系统间的连接确定所述主机的标识信息及目标存储访问对象的标识信息;
根据所述主机的标识信息及目标存储访问对象的标识信息及存储访问操作指令,按照所述预设访问规则的设置顺序,查找所述预设访问规则,若查找出匹配项,则将所述匹配项确定为所述主机与对应存储系统的预设访问规则;
若没有查找出匹配项,则将所述预设访问规则中的预设默认规则项确定为所述主机与对应存储系统的预设访问规则。
可选地,获取单元,还用于获取所述主机发送的连接建立请求消息;所述连接建立请求消息中携带有所述主机的身份验证信息、主机的标识信息及目标存储访问对象的标识信息;
处理单元,还用于根据所述连接建立请求消息中的所述主机的身份验证信息及主机的标识信息,验证所述主机的合法性;
确定单元,还用于在所述主机合法时,根据所述主机的标识信息、目标存储访问对象的标识信息及所述主机与对应存储系统的预设访问权限规则,确定是否允许所述主机与对应的存储系统建立连接;
处理单元,还用于若允许所述主机与对应的存储系统建立连接,则允许允许所述存储系统建立与所述主机间的连接。
可选地,所述主机的标识信息包括:主机的NQN;所述目标存储访问对象的标识信息包括:目标存储访问对象的NQN。
可选地,所述主机的身份验证信息包括:主机的IP地址及MAC地址。
可选地,所述处理单元,具体用于根据所述连接建立请求消息中的主机的IP地址、所述主机MAC地址及主机的NQN在预设身份验证规则中确定出所述主机对应的身份访问权限的类型;其中,预设身份验证规则中设定了不同主机的身份访问权限的类型;
在所述主机对应的身份访问权限的类型为允许并不报警,或允许并报警时,则确定所述主机合法;
在所述主机对应的身份访问权限的类型为阻断并不报警,或阻断并报警时,则确定所述主机不合法。
可选地,所述处理单元,具体用于根据所述连接建立请求消息中的主机的IP地址、所述主机MAC地址及主机的NQN,按照预设身份验证规则的设置顺序,依次在预设身份验证规则中查找,若找出与所述主机的IP地址、所述主机MAC地址及主机的NQN相匹配的一项,则在匹配项中确定出所述主机对应的身份访问权限的类型;
若没有查找出与所述连接建立请求消息中的主机的IP地址、所述主机MAC地址及主机的NQN相匹配的一项,则在预设身份验证规则的预设默认规则中确定出所述主机对应的身份访问权限的类型。
可选地,所述处理单元,具体用于在工作模式为保护模式时,所述根据所述存储访问权限的类型,处理所述主机的存储访问操作指令包括:
在所述存储访问权限的类型为允许并不报警时,允许所述存储系统执行所述主机的存储访问操作指令;或者,
在所述存储访问权限的类型为允许并报警时,允许所述存储系统执行所述主机的存储访问操作指令,并报警;或者,
在所述存储访问权限的类型为阻断并报警时,阻断所述存储系统执行所述主机的存储访问操作指令,并报警;或者,
在所述存储访问权限的类型为阻断并不报警时,阻断所述存储系统执行所述主机的存储访问操作指令,并且不报警。
可选地,所述处理单元,具体用于在工作模式为审计模式时,所述根据所述存储访问权限的类型,处理所述主机的存储访问操作指令包括:
在所述存储访问权限的类型为允许并不报警时,允许所述存储系统执行所述主机的存储访问操作指令;或者,
在所述存储访问权限的类型为允许并报警时,允许所述存储系统执行所述主机的存储访问操作指令,并报警;或者,
在所述存储访问权限的类型为阻断并报警时,允许所述存储系统执行所述主机的存储访问操作指令,并报警;或者,
在所述存储访问权限的类型为阻断并不报警时,允许所述存储系统执行所述主机的存储访问操作指令,并且不报警。
进一步地,本发明实施例提供了一种电子设备,包括:存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现上述实施例所述方法的步骤。
通过上述技术方案,本申请公开了一种NVMe-oF存储系统的数据安全保护方法及装置,所述方法包括:通过监控主机与存储系统间的连接获取数据访问请求消息;所述数据访问请求消息中包含有存储访问操作指令;解析所述数据访问请求消息,确定所述主机的存储访问操作指令;根据所述主机与存储系统间的连接及存储访问操作指令,确定所述主机与对应存储系统的预设访问规则,并在预设访问权限规则中确定所述主机的存储访问权限的类型,根据所述存储访问权限的类型,处理所述主机的存储访问操作指令;其中,所述预设访问规则中预先设置了主机的标识信息及对应的至少一个存储访问对象的标识信息,及所述主机对所述至少一个存储访问对象的存储访问权限的类型。这样一来,在本申请中,通过获取数据访问请求消息,解析数据访问请求消息得到存储访问操作指令,此时可以根据存储访问操作指令及主机与存储系统间的连接获知此主机与对应存储系统的预设访问规则,进而在此预设访问规则中确定主机的存储访问权限的类型,根据存储访问权限的类型处理主机的存储访问操作指令。这样先可以对存储访问操作指令进行存储访问权限的类型进行确定,在主机不具有使存储系统根据存储访问操作指令对其目标存储访问对象进行相应的操作时,并不会执行存储访问操作指令,进而可以防止误操作或恶意入侵对存储子系统内存储的数据的破坏,提高了数据的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本发明实施例提供的一种NVMe-oF存储系统的结构示意图;
图2为本发明实施例提供的一种NVMe-oF存储系统的数据安全保护方法的流程示意图;
图3为本发明实施例提供的另一种NVMe-oF存储系统的数据安全保护方法的流程示意图;
图4为本发明实施例提供的一种数据安全保护装置的结构示意图;
图5为本发明实施例的一种电子设备的结构示意图;
图6为本发明实施例的另一种电子设备的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明,本发明实施例中所有方向性指示(诸如上、下、左、右、前、后)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
另外,在本发明中如涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“连接”、“固定”等应做广义理解,例如,“固定”可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系,除非另有明确的限定。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
另外,本发明各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
目前,在NVMe-oF(Non-Volatile Memory express overFabrics,光纤高速非易失性存储器)的存储系统中,通过主机NVMe限定名NQN(NVMe Qualified Name,NQN)和NVMsubsystem NQN之间的映射来控制主机对各命名空间(namespace)的访问权限。但是,这种简单的通过NVMe命令空间映射进行权限控制的方式器控制力度粗糙,并且缺乏访问权限的限制,存储系统的数据安全性较差。
在本申请中,通过获取数据访问请求消息,解析数据访问请求消息得到存储访问操作指令,此时可以根据存储访问操作指令及主机与存储系统间的连接获知此主机与对应存储系统的预设访问规则,进而在此预设访问规则中确定主机的存储访问权限的类型,根据存储访问权限的类型处理主机的存储访问操作指令。这样先可以对存储访问操作指令进行存储访问权限的类型进行确定,在主机不具有使存储系统根据存储访问操作指令对其目标存储访问对象进行相应的操作时,并不会执行存储访问操作指令,进而可以防止误操作或恶意入侵对存储子系统内存储的数据的破坏,提高了数据的安全性。
图1是NVMe-oF存储系统的结构示意图。如图1所示,在本申请中的NVMe-oF存储系统中包含有存储控制器,数据安全保护装置,多个存储子系统及交换设备。存储控制器可以通过交换设备与每个存储子系统建立连接,以便对存储子系统进行数据的访问操作。其中,存储子系统中包含有NVMe SSD。存储控制器通过NVMe-oF协议与主机通信。在本申请中,下面内容描述的存储访问对象其实就是主机要访问的存储子系统。
如图2所示,本发明提供了一种NVMe-oF存储系统的数据安全保护方法,包括:
步骤S101、通过监控主机与存储系统间的连接获取数据访问请求消息。
其中,数据访问请求消息中包含有存储访问操作指令。
具体的,在存储系统与主机进行数据传输时,需要存储系统与主机先建立连接,数据安全保护装置可以监控此连接,获取传输的相关消息。在主机需要对目标存储访问对象进行访问操作时,通过连接向存储系统发送数据访问请求消息。此时,数据安全保护装置监控主机与存储系统间的连接,可以获取到数据访问请求消息。
需要说明的是,主机在向存储系统发送数据访问请求消息之前,需要将标示出对目标存储访问对象进行哪些访问操作的存储访问操作指令添加至数据访问请求消息中。
示例性的,主机a的目标存储访问对象为存储子系统1,且对存储子系统1进行写操作,此时,可以将标示出对存储子系统1进行写操作存储访问操作指令添加至数据访问请求消息中,发送至存储系统。此时数据安全保护装置通过监控主机与存储系统间的连接,获取到此数据访问请求消息。
步骤S102、解析数据访问请求消息,确定主机的存储访问操作指令。
具体的,数据安全保护装置在获取到数据访问请求消息后,解析此数据访问请求消息,从而获取其内携带的主机的存储访问操作指令。
步骤S103、根据主机与存储系统间的连接及存储访问操作指令,确定主机与对应存储系统的预设访问规则,并在预设访问权限规则中确定所述主机的存储访问权限的类型,根据存储访问权限的类型,处理主机的存储访问操作指令。
其中,预设访问规则中预先设置了主机的标识信息、对应的至少一个存储访问对象的标识信息,及主机对所述至少一个存储访问对象的存储访问权限的类型。
具体的,数据安全保护装置根据主机与存储系统间的连接,可以获取主机的标识信息的值,及其对应的目标存储访问对象的标识信息的值,进而可以根据主机的标识信息的值,其对应的目标存储访问对象的标识信息的值,及存储访问操作指令查找预设访问规则,确定出主机与对应存储系统的预设访问规则。在确定出主机与对应存储系统的预设访问规则后,可以在主机与对应存储系统的预设访问规则中确定出该主机的存储访问权限的类型,进而可以根据存储访问权限的类型,对主机的存储访问操作指令进行相应的处理。
需要说明的是,存储系统与主机建立的每个连接均会对应一个存储子系统,即为,主机与存储系统建立的连接是为了主机对存储系统内的存储子系统进行访问,一个连接对应一个存储子系统。在主机与存储系统建立连接时,会将其需访问的存储子系统的标识信息发送给存储系统,此时在数据安全保护装置确定主机可以对该存储子系统访问时,则允许存储系统建立与主机的连接,这样,主机可以通过此连接,将相应的存储访问指令通过存储系统发送至存储子系统,进行相应的读写等操作。存储系统在建立与主机间的连接时,会将此连接对应的主机的标识信息、该主机的目标存储子系统的标识信息进行存储,以便主机在通过此连接传输消息时,存储系统可以获知是哪个主机针对哪个存储子系统传输的消息。因此,数据安全保护装置可以根据主机与存储系统间的连接,从存储系统中获知此连接对应的主机的标识信息及存储子系统的标识信息,其中获取的存储子系统的标识信息即为目标存储访问对象的标识信息。
需要说明的是,预设访问规则是安全管理员根据实际需求预设设置的。在预设访问规则中预先设置了各个主机对应的存储访问对象,及对每个存储访问对象的访问操作的权限。例如,主机a对应的存储访问对象为存储子系统1,且对存储子系统1的写操作的权限的类型为允许并不并报警,对存储子系统1的格式化操作的权限的类型为阻断并报警。也就是说,主机a对目标存储访问对象具有写的权限,并没有格式化的权限。
进一步地,根据主机与存储系统间的连接及存储访问操作指令,确定主机对应的预设访问规则包括:
根据主机与存储系统间的连接,确定主机的标识信息及目标存储访问对象的标识信息。根据主机的标识信息、对应的目标存储访问对象的标识信息及存储访问操作指令,按照预设访问规则的设置顺序,查找预设访问规则,若查找出匹配项,则将匹配项确定为所述主机与对应存储系统的预设访问规则;若没有查找出匹配项,则将预设访问规则中的预设默认规则项确定为主机与对应存储系统的预设访问规则。
在本实施例中,在存储系统建立与主机的连接时,会将主机的标识信息及对应的目标存储子系统的标识信息相应的进行存储,以标记此连接用于哪个主机对哪个存储子系统的访问。因此数据安全保护装置可以根据主机与存储系统间的连接查找到此连接对应的主机的标识信息,及存储子系统的标识信息即为目标存储访问对象的标识信息。主机发送的数据访问请求消息中携带的存储访问操作指令用于表示出主机需对目标存储访问对象进行的访问操作。这样,数据安全保护装置在获取了主机的标识信息,目标存储访问对象的标识信息后,可以根据主机的标识信息,目标存储访问对象的标识信息,及存储访问操作指令查找预设访问规则。由于有多条预设访问规则,可以按照预设访问规则的设置顺序,将主机的标识信息的值,目标存储访问对象的标识信息的值及存储访问操作指令依次与预设访问规则的各项进行比对。若在预设访问规则中查找出与此主机的标识信息的值,目标存储访问对象的标识信息的值,及存储访问操作指令标示的访问操作相同的一项,即为查找出匹配项,则可以在此匹配项中确定为该主机与对应存储系统的预设访问规则,从而可以在该主机与对应存储系统的预设访问规则中确定出该主机的存储访问权限的类型。其中,在匹配项中记录了主机的标识信息,主机对应的存储访问对象的标识信息,主机的访问操作,及该访问操作的权限类型即存储访问权限的类型。
若在预设访问规则中没有查找出与此主机的标识信息的值,目标存储访问对象的标识信息的值,及存储访问操作指令标示的访问操作相同的一项,则可以将预设访问规则中的预设默认规则项确定为主机与对应存储系统的预设访问规则。此时,可以在该预设默认规则中确定出该主机的存储访问权限的类型。
需要说明的是,安全管理员在预设访问规则时,可以在预设访问规则中指定一项为默认规则,从而可以在没有匹配时,按照此默认规则确定该主机的存储访问权限的类型。
可选地,主机的标识信息包括:主机的NQN(NVMe QualifiedName,NVMe限定名)。目标存储访问对象的标识信息包括:目标存储访问对象的NQN。
示例性的,假设安全管理员预先设置的访问规则如下:
1、Host(主机)NQN:H-NQN-A,Sub(存储访问对象)NQN:S-NQN-1,OPC(operationcode,操作码):WRITE(写操作),应对:允许并报警。
2、HostNQN:H-NQN-A,Sub NQN:S-NQN-1,OPC:FORMAT(格式化),应对:阻断并报警。
3、Host NQN:H-NQN-A,Sub NQN:S-NQN-1,OPC:Any(任何操作),应对:允许并不报警。
4、HostNQN:Any,Sub NQN:Any,OPC:Any,应对:阻断并报警,其中,此项为默认规则。
需要说明的是,应对即为存储访问权限的类型。
数据安全保护装置通过监控主机A与存储系统间的连接,获取到主机A的数据访问请求消息后,解析此消息,得到主机A的存储访问操作指令。并且,数据安全保护装置根据主机A与存储系统间的连接,可以获取到主机A的标识信息及主机A的目标存储访问对象的标识信息。假设主机A的标识信息为H-NQN-A,主机A对应的目标存储访问对象的标识信息为S-NQN-1。若存储访问操作指令表示主机A对目标存储访问对象进行写操作,则数据安全保护装置解析存储访问操作指令,可以获知主机A需对目标存储访问对象进行写操作。此时,数据安全保护装置可以根据主机A的标识信息H-NQN-A,目标存储访问对象的标识信息S-NQN-1,及存储访问操作指令按照预设访问规则的设置顺序,进行查找,从而可以查找出预设访问规则的第一项与主机A的标识信息H-NQN-A,目标存储访问对象的标识信息S-NQN-1,及存储访问操作指令项匹配,此时,可以将预设访问规则的第一项确定为主机A对应的预设访问规则。根据此主机A对应的预设访问规则可以确定出主机A的存储访问权限的类型为允许并报警,此时,允许存储系统执行主机A的存储访问操作指令,即为执行写操作指令,并且数据安全保护装置需要报警。
若存储访问操作指令表示主机A对目标存储访问对象进行读操作,则数据安全保护装置解析存储访问操作指令,可以获知主机A需对目标存储访问对象进行读操作。此时,数据安全保护装置可以根据主机A的标识信息H-NQN-A,目标存储访问对象的标识信息S-NQN-1,及存储访问操作指令按照预设访问规则的设置顺序,进行查找,从而可以查找出预设访问规则中第三项与主机A的标识信息H-NQN-A,目标存储访问对象的标识信息S-NQN-1,及存储访问操作指令项相匹配,可以将预设访问规则的第三项确定为主机A对应的预设访问规则。根据此主机A对应的预设访问规则可以确定出主机A的存储访问权限的类型为允许并不报警,此时,允许存储系统执行主机A的存储访问操作指令,即为执行读操作指令,并且数据安全保护装置不需要报警。
在上述例子中,只有主机H-NQN-A和存储访问对象S-NQN-1的连接是允许的,其他都会被默认规则第四项规则阻止。并且,主机H-NQN-A没有对S-NQN-1进行格式化的权利,而进行写操作是会引起数据安全保护装置的报警,其他的操作则没有限制。通过在数据安全保护装置上部署这样的规则,就可以防止用户不小心格式化S-NQN-1对应的Namespace。如果需要对S-NQN-1提供写保护,则只需要更改上述预设访问规则的第一项。修改如下:
Host NQN:H-NQN-A,Sub NQN:S-NQN-1,OPC:WRITE,应对:阻断并报警
HostNQN:H-NQN-A,Sub NQN:S-NQN-1,OPC:FORMAT,应对:阻断并报警
HostNQN:H-NQN-A,Sub NQN:S-NQN-1,OPC:Any,应对:允许并不报警
HostNQN:Any,Sub NQN:Any,OPC:Any,应对:阻断并报警,其中,此项为默认规则。
进一步的,数据安全保护装置的工作模式有两种,一种为保护模式,另一种为审计模式。在审计模式时,数据安全保护装置并不阻止存储系统对主机发送的消息的执行,只是在检测出异常时,报警,并不影响系统的正常运行。而保护模式则是在检测出可疑时,会阻断消息的进一步执行,会影响系统的正常运行。当数据安全保护装置工作在保护模式时,对存储系统起到了保护作用。也就是说不符合规则的访问可能被禁止。同时,也有可能起到负面作用。比如规则制定有错误,阻止了正常访问。或者数据安全保护装置性能不够快,增加了存储系统的延时。数据安全保护装置由安全管理员预先设置,可以将保护模式设置为默认模式。
需要说明的是,为了降低保护模式出现错误的概率,可以将数据安全保护装置在审计模式下先运行,在确定没有错误时,可以在切换至保护模式。
此时,上述根据存储访问权限的类型处理主机的存储访问操作指令的具体实现方式会根据数据安全保护装置的工作模式不同而不同。具体如下:
在工作模式为保护模式时,根据存储访问权限的类型,处理主机的存储访问操作指令包括:
在存储访问权限的类型为允许并不报警时,允许存储系统执行主机的存储访问操作指令。或者,
在存储访问权限的类型为允许并报警时,允许存储系统执行主机的存储访问操作指令,并报警。或者,
在存储访问权限的类型为阻断并报警时,阻断存储系统执行主机的存储访问操作指令,并报警。或者,
在存储访问权限的类型为阻断并不报警时,阻断存储系统执行主机的存储访问操作指令,并且不报警。
即为,在数据安全保护装置的工作模式为保护模式时,根据存储访问权限的类型,允许或阻断存储系统对主机的存储访问操作指令的执行。在存储访问权限的类型为允许并不报警时,说明存储系统可以执行主机的存储访问操作指令,此时允许存储系统执行存储访问操作指令,即为不阻断存储系统执行存储访问操作指令,以便对主机的目标存储访问对象进行相应的访问操作。在存储访问权限的类型为允许并报警时,说明允许存储系统执行主机的存储访问操作指令,但是数据安全保护装置还需报警,告知用户。此时数据安全保护装置允许存储系统发送执行存储访问操作指令,以便对主机的目标存储访问对象进行相应的访问操作。并且在允许存储系统执行存储访问操作指令时,还需进行报警,以便告知用户。在存储访问权限的类型为阻断并报警时,说明存储系统不能执行主机的存储访问操作指令。此时数据安全保护装置可以阻断存储系统执行存储访问操作指令,以便存储系统不再执行主机的存储访问操作指令。并且在阻断存储系统执行存储访问操作指令时,还进行报警,以便告知用户。在存储访问权限的类型为阻断并不报警时,说明存储系统不能执行主机的存储访问操作指令。此时数据安全保护装置阻断存储系统执行存储访问操作指令,以便存储系统不再执行主机的存储访问操作指令,并且无需报警。
在工作模式为审计模式时,根据存储访问权限的类型,处理主机的存储访问操作指令包括:
在存储访问权限的类型为允许并不报警时,允许存储系统执行主机的存储访问操作指令。或者,
在存储访问权限的类型为允许并报警时,允许存储系统执行主机的存储访问操作指令,并报警。或者,
在存储访问权限的类型为阻断并报警时,允许存储系统执行主机的存储访问操作指令,并报警。或者,
在存储访问权限的类型为阻断并不报警时,允许存储系统执行主机的存储访问操作指令,并且不报警。
具体的,在审计模式中,数据安全保护装置需允许存储系统执行主机的存储访问操作指令,但是在发现问题时,需要报警。数据安全保护装置工作在审计模式进行的操作可参考其工作在保护模式,在此不再赘述。
这样,通过上述步骤,可以通过对存储访问权限的检测,防止恶意入侵和用户的误操作,提高数据的安全性。
进一步的,如图3所示,在上述步骤S101之前,还包括:
步骤S104、获取主机发送的连接建立请求消息。
其中,连接建立请求消息中携带有主机的身份验证信息、主机的标识信息及目标存储访问对象的标识信息。
具体的,主机在对存储系统进行数据访问前,需要先与存储系统建立连接。此时,主机可以将其自身的标识信息、身份验证信息及目标存储访问对象的标识信息添加至连接建立请求消息中,向存储系统发送连接建立请求消息。数据安全保护装置可以从存储系统中获取到连接建立请求消息。
步骤S105、根据连接建立请求消息中的主机的身份验证信息及主机的标识信息,验证主机的合法性。
具体的,数据安全保护装置解析连接建立请求消息,获取其内携带的主机的身份验证信息及主机的标识信息,根据主机的身份验证信息及主机的标识信息,对主机进行一致性检测,进而验证主机的合法性。
可选地,主机的身份验证信息包括:主机的IP(InternetProtocol,互联网协议)地址及MAC(MediaAccess Control,媒体存取控制位)地址。
此时,根据连接建立请求消息中的主机的身份验证信息及主机的标识信息,验证主机的合法性包括:
根据连接建立请求消息中的主机的IP地址、主机MAC地址及主机的NQN在预设身份验证规则中确定出主机对应的身份访问权限的类型。在主机对应的身份访问权限的类型为允许并不报警,或允许并报警时,则确定主机合法。在主机对应的身份访问权限的类型为阻断并不报警,或阻断并报警时,则确定主机不合法。
其中,预设身份验证规则中设定了不同主机的身份访问权限的类型。
需要说明的是,针对存储系统,安全管理员可以根据实际需求预先设定可以访问该存储系统的所有主机的信息,包括主机的IP地址,MAC地址,主机的NQN等。即为,安全管理员可以预先设置身份验证规则,在预设身份验证规则中预先设置了每个主机的IP地址、MAC地址,主机的NQN信息,及对应的身份访问权限的类型。
也就是说,对主机的合法性验证,通过检测主机的IP地址、MAC地址及主机的NQN来实现。此时,数据安全保护装置解析连接建立请求消息,可以解析出其内的主机IP地址,MAC地址及主机的NQN。此时,数据安全保护装置可以根据解析出的主机IP地址、MAC地址及主机NQN查找预设身份验证规则,确定出主机对应的身份访问权限的类型。其中,身份访问权限的类型为允许并不报警,或者允许并报警,或者阻断并报警或者阻断并不报警。在主机对应的身份访问权限的类型为允许并报警或者允许并不报警时,可以确定此主机为合法主机。在主机对应的身份访问权限的类型为阻断并报警或者阻断并不报警时,可以确定此主机为不合法主机。
进一步地,根据连接建立请求消息中的主机的IP地址、主机MAC地址及主机的NQN在预设身份验证规则中确定出主机对应的身份访问权限的类型包括:
根据连接建立请求消息中的主机的IP地址、主机MAC地址及主机的NQN,按照预设身份验证规则的设置顺序,依次在预设身份验证规则中查找,若找出与所述主机的IP地址、主机MAC地址及主机的NQN相匹配的一项,则在匹配项中确定出主机对应的身份访问权限的类型;
若没有查找出与连接建立请求消息中的主机的IP地址、主机MAC地址及主机的NQN相匹配的一项,则在预设身份验证规则中的预设默认规则中确定出所述主机对应的身份访问权限的类型。
在本实施例中,预设身份验证规则设置有多条,数据安全保护装置在获取了连接建立请求消息中的主机IP地址、MAC地址及主机的NQN之后,可以按照预设身份验证规则的设置顺序,依次查找预设身份验证规则中是否有与从连接建立请求消息中解析出的主机IP地址、MAC地址及主机的NQN相匹配的一项。如果有,则可以在此匹配项中查找出主机对应的身份访问权限的类型。如果没有相匹配的一项,则可以将预设身份验证规则中的预设默认规则确定为匹配项,在此预设默认规则中确定出主机对应的身份访问权限的类型。
需要说明的是,在设置身份验证规则时,可以将主机的IP地址、MAC地址及主机的NQN设置在一个规则中,作为一项规则内的不同参数,对主机进行合法性的检测。也可以将上述三个参数分为两个子规则内的参数,例如,将主机的IP地址、MAC地址设置在一个子规则中,作为此子规则内的参数,此时可以认为是对主机的IP地址及MAC地址的一致性进行检测。并将主机的IP地址与主机的NQN设置在一个子规则中,作为此子规则内的两个参数,此时可以认为是对主机的IP地址及主机的NQN的一致性进行检测,通过上述两个子规则对主机进行合法性的检测。只有通过两个子规则确定的身份访问权限的类型均为允许并不报警或者允许并报警,才能确定此主机为合法主机,否则为不合法主机。
示例性的,假设安全管理员预设先设置的身份验证规则包含IP地址及MAC地址子规则,及IP地址及主机的NQN子规则。在本例中,以IP地址及MAC地址子规则为例进行说明,具体如下:
IP地址及MAC地址子规则为:
1、IP:IP-A,MAC:MAC-A,应对:允许并不报警
2、IP:IP-B,MAC:MAC-B,应对:允许并不报警
3、IP:Any,MAC:Any,应对:阻断并报警,其中,该项为默认规则。
若主机A、主机B及主机C均需访问存储系统。此时,主机A、主机B及主机C向存储系统发送连接建立请求消息。其中,主机A发送的连接建立请求消息中携带有主机A的IP地址,MAC地址,主机A的NQN等信息。主机B发送的连接建立请求消息中携带有主机B的IP地址,MAC地址,主机B的NQN等信息。主机C发送的连接建立请求消息中携带有主机C的IP地址,MAC地址,主机C的NQN等信息。假设主机A的IP地址为IP-A,MAC地址为MAC-A,主机B的IP地址为IP-B,MAC地址为MAC-B,主机C使用主机B的IP地址,即为主机C的IP地址为IP-B,MAC地址为MAC-C。数据安全保护装置可以从存储系统中获取连接建立请求消息,解析各个连接建立请求消息,从而可以分别获取主机A,主机B及主机C的身份验证信息及标识信息。由于预设身份验证规则分为两个子规则,即为主机的IP地址与MAC地址一致性检测的子规则,及主机的IP地址与主机的NQN一致性检测的子规则。数据安全保护装置可以根据解析的主机A,主机B及主机C的IP地址及MAC地址对主机A,主机B及主机C进行主机的IP地址与MAC地址一致性的检测。根据解析的主机A,主机B及主机C的IP地址及主机的NQN对主机A,主机B及主机C进行主机的IP地址与主机的NQN一致性的检测。在数据安全保护装置对主机A的IP地址与MAC地址一致性检测时,将主机A的IP地址与MAC地址与按照预设IP地址及MAC地址子规则的设置顺序,依次与预设IP地址及MAC地址子规则中的各项进行比较,查找出主机A的IP地址与MAC地址与预设IP地址及MAC地址子规则的第一项相匹配,则在第一项中可以确定主机A对应的IP地址与MAC地址的身份访问权限的类型为允许并不报警,说明主机A的IP地址与MAC地址一致。然后可以进一步检测主机A的IP地址与主机A的NQN是否一致。而主机A的IP地址与主机A的NQN是否一致的检测,跟上述主机A的IP地址与MAC地址是否一致的检测类似,在此不再赘述。假设主机A的对应的IP地址与NQN的身份访问权限的类型为允许并不报警,说明主机A的IP地址与主机A的NQN一致,则可以确定出主机A为合法主机。
需要说明的是,在本例中,主机的IP地址与主机的NQN是否一致的检测,跟上述主机的IP地址与MAC地址是否一致的检测类似,在此不再赘述。
同理,数据安全保护装置对主机B的IP地址与MAC地址一致性检测时,将主机B的IP地址与MAC地址与按照预设IP地址及MAC地址子规则的设置顺序,依次与预设IP地址及MAC地址子规则中的各项进行比较,查找出主机B的IP地址与MAC地址与预设IP地址及MAC地址子规则的第二项相匹配,则在第二项中可以确定主机B对应的IP地址与MAC地址的身份访问权限的类型为允许并不报警,说明主机B的IP地址与MAC地址一致。然后可以进一步检测主机B的IP地址与主机B的NQN是否一致。假设主机B的对应的IP地址与NQN的身份访问权限为阻断并报警,说明主机B的IP地址与主机B的NQN不一致,则可以确定出主机B为不合法主机,报警。
同理,数据安全保护装置对主机C的IP地址与MAC地址一致性检测时,将主机C的IP地址与MAC地址与按照预设IP地址及MAC地址子规则的设置顺序,依次与预设IP地址及MAC地址子规则中的各项进行比较,查找出没有与主机C的IP地址与MAC地址相匹配的一项,则将预设IP地址及MAC地址子规则中的默认规则项即为第三项确定为主机C的匹配项,则在第三项中可以确定主机C对应的IP地址与MAC地址的身份访问权限的类型为阻断并报警,说明主机C的IP地址与MAC地址不一致,此时可以直接确定出主机C为不合法主机,报警。
需要说明的是,如果主机经常需要升级主机硬件则主机的MAC地址可能发生变化,例如主机B的网卡被更换,主机B的MAC地址会发生变化。此时可以修改预设IP地址及MAC地址子规则,去除IP:IP-B,MAC:MAC-B的一致性检查,即为将IP地址及MAC地址子规则修改为如下内容:
1、IP:IP-A,MAC:MAC-A,应对:允许并不报警。
2、IP:IP-B,MAC:Any,应对:允许并不报警。
3、IP:Any,MAC:Any,应对:阻断并报警,其中,该项为默认规则。
或者,
1、IP:IP-A,MAC:MAC-A,应对:允许并不报警。
2、IP:IP-B,MAC:MAC-B,应对:允许并不报警。
3、IP:IP-B,MAC:
Figure BDA0002792524610000201
应对:允许并报警。其中,
Figure BDA0002792524610000202
表示非主机B的MAC地址。
4、IP:Any,MAC:Any,应对:阻断并报警,其中,该项为默认规则。
需要说明的是,预设身份验证规则的形式并不限制上述内容描述的几种形式,还可以是其他形式,本申请对此不做限制。
步骤S106、在主机合法时,根据主机的标识信息、目标存储访问对象的标识信息及主机与对应存储系统的预设访问权限规则,确定是否允许主机与对应的存储系统建立连接。
具体的,数据安全保护装置在确定主机合法后,需要进一步确定该主机是否可以访问其需要访问的目标存储访问对象,如果可以访问,则说明主机可以与对应的存储系统间建立连接以便访问目标存储访问对象。如果不可以访问,则说明主机没有权限对该目标存储访问对象进行访问操作,则阻断存储系统与主机间建立连接的操作。
此时,数据安全保护装置可以根据主机的标识信息、目标存储访问对象的标识信息查找预设访问权限规则,如果在预设访问权限规则中可以找到与主机的标识信息及目标存储访问对象的标识信息相匹配的一项,且该匹配项的存储访问权限的类型为允许并不报警,或者允许并报警,则确定允许主机与对应的存储系统间建立连接。
如果匹配项的存储访问权限的类型为阻断并不报警,或者阻断并报警,则确定阻断主机与对应的存储系统间建立连接。
其中,数据安全保护装置如何根据主机的标识信息、目标存储访问对象的标识信息查找预设访问权限规则,可以参考上述步骤S103,在此不再赘述。
如上例所述,数据安全保护装置在检测到主机A为合法主机后,可以根据主机A的标识信息H-NQN-A,目标存储访问对象的标识信息S-NQN-1,查找预设访问规则,其中,安全管理员预先设置的访问规则如下:
1、Host(主机)NQN:H-NQN-A,Sub(存储子系统)NQN:S-NQN-1,OPC(operationcode,操作码):WRITE(写操作),应对:允许并报警。
2、HostNQN:H-NQN-A,Sub NQN:S-NQN-1,OPC:FORMAT(格式化),应对:阻断并报警。
3、Host NQN:H-NQN-A,Sub NQN:S-NQN-1,OPC:Any(任何操作),应对:允许并不报警。
4、HostNQN:Any,Sub NQN:Any,OPC:Any,应对:阻断并报警,其中,此项为默认规则。
数据安全保护装置按照预设访问规则的设置顺序,依次进行查找,确定出第一项为主机A的匹配项,即为第一项中记录的主机NQN及存储访问对象NQN与主机A的标识信息H-NQN-A,目标存储访问对象的标识信息S-NQN-1相同,此时,可以直接在此匹配项获取到存储访问权限的类型,此存储访问权限的类型为允许不报警,则说明主机A可以访问其目标存储访问对象,则确定允许主机与对应的存储系统间建立连接。
需要说明的是,预设访问规则内需检测的参数并不限于上述主机的标识信息、目标存储访问对象的标识信息、存储访问操作指令等,还可以包含其他参数,例如,命名空间的标识信息等,安全管理员可以根据实际需求设置,本申请对此不做限制。
需要说明的是,身份验证访问规则需检测的参数并不限于主机的IP地址、MAC地址、主机的QNQ,还可以是其他参数,例如主机对应的端口号等,安全管理员可以根据实际需求设置,本申请对此不做限制。
步骤S107、若是,则允许存储系统建立与主机间的连接。
具体的,在确定允许主机与对应的存储系统间建立连接时,可以允许主机与存储系统间建立连接建立。这样通过上述步骤,可以实现在主机与对应存储系统建立连接期间对主机进行合法性验证,从而可以防止黑客盗用主机的NQN连接存储系统,窃取信息,提高数据的安全性。
进一步地,在工作模式为保护模式,且检测出主机不合法时,阻断存储系统与主机之间建立连接。
在本申请中,通过获取数据访问请求消息,解析数据访问请求消息得到存储访问操作指令,此时可以根据存储访问操作指令及主机与存储系统间的连接获知此主机与对应存储系统的预设访问规则,进而在此预设访问规则中确定主机的存储访问权限的类型,根据存储访问权限的类型处理主机的存储访问操作指令。这样先可以对存储访问操作指令进行存储访问权限的类型进行确定,在主机不具有使存储系统根据存储访问操作指令对其目标存储访问对象进行相应的操作时,并不会执行存储访问操作指令,进而可以防止误操作或恶意入侵对存储子系统内存储的数据的破坏,提高了数据的安全性。
如图4所示,本发明提供了一种数据安全保护装置400,包括:
获取单元401,用于通过监控主机与存储系统间的连接获取数据访问请求消息。
其中,数据访问请求消息中包含有存储访问操作指令。
确定单元402,用于解析数据访问请求消息,确定主机的存储访问操作指令。
处理单元403,用于根据主机与存储系统间的连接及存储访问操作指令,确定所述主机与对应存储系统的预设访问规则,并在预设访问权限规则中确定所述主机的存储访问权限的类型,根据所述存储访问权限的类型,处理所述主机的存储访问操作指令。
其中,预设访问规则中预先设置了主机的标识信息、对应的至少一个存储访问对象的标识信息,及所述主机对所述至少一个存储访问对象的存储访问权限的类型。
具体的,处理单元403,具体用于根据所述主机与存储系统间的连接确定所述主机的标识信息及目标存储访问对象的标识信息;根据所述主机的标识信息及目标存储访问对象的标识信息及存储访问操作指令,按照所述预设访问规则的设置顺序,查找所述预设访问规则,若查找出匹配项,则将所述匹配项确定为所述主机与对应存储系统的预设访问规则;若没有查找出匹配项,则将所述预设访问规则中的预设默认规则项确定为所述主机与对应存储系统的预设访问规则。
进一步地,处理单元403,具体用于在工作模式为保护模式时,所述根据所述存储访问权限的类型,处理所述主机的存储访问操作指令包括:
在所述存储访问权限的类型为允许并不报警时,允许所述存储系统执行所述主机的存储访问操作指令;或者,在所述存储访问权限的类型为允许并报警时,允许所述存储系统执行所述主机的存储访问操作指令,并报警;或者,在所述存储访问权限的类型为阻断并报警时,阻断所述存储系统执行所述主机的存储访问操作指令,并报警;或者,在所述存储访问权限的类型为阻断并不报警时,阻断所述存储系统执行所述主机的存储访问操作指令,并且不报警。
在工作模式为审计模式时,所述根据所述存储访问权限的类型,处理所述主机的存储访问操作指令包括:
在所述存储访问权限的类型为允许并不报警时,允许所述存储系统执行所述主机的存储访问操作指令;或者,在所述存储访问权限的类型为允许并报警时,允许所述存储系统执行所述主机的存储访问操作指令,并报警;或者,在所述存储访问权限的类型为阻断并报警时,允许所述存储系统执行所述主机的存储访问操作指令,并报警;或者,在所述存储访问权限的类型为阻断并不报警时,允许所述存储系统执行所述主机的存储访问操作指令,并且不报警。
进一步地,获取单元401,还用于获取主机发送的连接建立请求消息。
其中,连接建立请求消息中携带有所述主机的身份验证信息、主机的标识信息及目标存储访问对象的标识信息。
可选地,主机的标识信息包括:主机的NQN;目标存储访问对象的标识信息包括:目标存储访问对象的NQN。
可选地,主机的身份验证信息包括:主机的IP地址及MAC地址。
处理单元403,还用于根据连接建立请求消息中的主机的身份验证信息及主机的标识信息,验证所述主机的合法性。
具体的,处理单元403,具体用于根据所述连接建立请求消息中的主机的IP地址、所述主机MAC地址及主机的NQN在预设身份验证规则中确定出所述主机对应的身份访问权限的类型;在所述主机对应的身份访问权限的类型为允许并不报警,或允许并报警时,则确定所述主机合法;在所述主机对应的身份访问权限的类型为阻断并不报警,或阻断并报警时,则确定所述主机不合法。
其中,预设身份验证规则中设定了不同主机的身份访问权限的类型。
进一步地,处理单元403,具体用于根据所述连接建立请求消息中的主机的IP地址、所述主机MAC地址及主机的NQN,按照预设身份验证规则的设置顺序,依次在预设身份验证规则中查找,若找出与所述主机的IP地址、所述主机MAC地址及主机的NQN相匹配的一项,则在匹配项中确定出所述主机对应的身份访问权限的类型;
若没有查找出与所述连接建立请求消息中的主机的IP地址、所述主机MAC地址及主机的NQN相匹配的一项,则在预设身份验证规则的预设默认规则中确定出所述主机对应的身份访问权限的类型。
确定单元402,还用于在所述主机合法时,根据所述主机的标识信息、目标存储访问对象的标识信息及所述主机与对应存储系统的预设访问权限规则,确定是否允许所述主机与对应的存储系统建立连接。
处理单元403,还用于在确定单元402确定允许主机与对应存储系统建立连接时,则允许存储系统建立与主机间的连接。
在本申请中,通过获取数据访问请求消息,解析数据访问请求消息得到存储访问操作指令,此时可以根据存储访问操作指令及主机与存储系统间的连接获知此主机与对应存储系统的预设访问规则,进而在此预设访问规则中确定主机的存储访问权限的类型,根据存储访问权限的类型处理主机的存储访问操作指令。这样先可以对存储访问操作指令进行存储访问权限的类型进行确定,在主机不具有使存储系统根据存储访问操作指令对其目标存储访问对象进行相应的操作时,并不会执行存储访问操作指令,进而可以防止误操作或恶意入侵对存储子系统内存储的数据的破坏,提高了数据的安全性。
图5是根据一示例性实施例示出的一种电子设备600的框图。如图5所示,该电子设备600可以包括:处理器601,存储器602。该电子设备600还可以包括多媒体组件603,输入/输出(I/O)接口604,以及通信组件605中的一者或多者。
其中,处理器601用于控制该电子设备600的整体操作,以完成上述的NVMe-oF存储系统的数据安全保护方法中的全部或部分步骤。存储器602用于存储各种类型的数据以支持在该电子设备600的操作,这些数据例如可以包括用于在该电子设备600上操作的任何应用程序或方法的指令,以及应用程序相关的数据,例如联系人数据、收发的消息、图片、音频、视频等等。该存储器602可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static RandomAccess Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-OnlyMemory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。多媒体组件603可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器602或通过通信组件605发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口604为处理器601和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件605用于该电子设备600与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(NearField Communication,简称NFC),2G、3G、4G、NB-IOT、eMTC、或其他5G等等,或它们中的一种或几种的组合,在此不做限定。因此相应的该通信组件605可以包括:Wi-Fi模块,蓝牙模块,NFC模块等等。
在一示例性实施例中,电子设备600可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable GateArray,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述的NVMe-oF存储系统的数据安全保护方法。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的NVMe-oF存储系统的数据安全保护方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器602,上述程序指令可由电子设备600的处理器601执行以完成上述的NVMe-oF存储系统的数据安全保护方法。
图6是根据一示例性实施例示出的一种电子设备500的框图。例如,电子设备500可以被提供为一服务器。参照图6,电子设备500包括处理器510,其数量可以为一个或多个,以及存储器520,用于存储可由处理器710执行的计算机程序。存储器520中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理器510可以被配置为执行该计算机程序,以执行上述的NVMe-oF存储系统的数据安全保护方法。
另外,电子设备500还可以包括电源组件530和通信组件540,该电源组件530可以被配置为执行电子设备500的电源管理,该通信组件540可以被配置为实现电子设备500的通信,例如,有线或无线通信。此外,该电子设备500还可以包括输入/输出(I/O)接口550。电子设备500可以操作基于存储在存储器520的操作系统,例如Windows ServerTM,Mac OSXTM,UnixTM,LinuxTM等等。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的NVMe-oF存储系统的数据安全保护方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器520,上述程序指令可由电子设备500的处理器510执行以完成上述的NVMe-oF存储系统的数据安全保护方法。
在另一示例性实施例中,还提供一种计算机程序产品,该计算机程序产品包含能够由可编程的装置执行的计算机程序,该计算机程序具有当由该可编程的装置执行时用于执行上述的NVMe-oF存储系统的数据安全保护方法的代码部分。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是在本发明的构思下,利用本发明说明书及附图内容所作的等效结构变换,或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。

Claims (11)

1.一种NVMe-oF存储系统的数据安全保护方法,其特征在于,包括:
通过监控主机与存储系统间的连接获取数据访问请求消息;所述数据访问请求消息中包含有存储访问操作指令;
解析所述数据访问请求消息,确定所述主机的存储访问操作指令;
根据所述主机与存储系统间的连接及存储访问操作指令,确定所述主机与对应存储系统的预设访问规则,并在预设访问权限规则中确定所述主机的存储访问权限的类型,根据所述存储访问权限的类型,处理所述主机的存储访问操作指令;其中,所述预设访问规则中预先设置了主机的标识信息、对应的至少一个存储访问对象的标识信息,及所述主机对所述至少一个存储访问对象的存储访问权限的类型。
2.根据权利要求1所述的方法,其特征在于,所述根据主机与存储系统间的连接及存储访问操作指令,确定所述主机与对应存储系统的预设访问规则包括:
根据所述主机与存储系统间的连接确定所述主机的标识信息及目标存储访问对象的标识信息;
根据所述主机的标识信息、目标存储访问对象的标识信息及存储访问操作指令,按照所述预设访问规则的设置顺序,查找所述预设访问规则,若查找出匹配项,则将所述匹配项确定为所述主机与对应存储系统的预设访问规则;
若没有查找出匹配项,则将所述预设访问规则中的预设默认规则项确定为所述主机与对应存储系统的预设访问规则。
3.根据权利要求1所述的方法,其特征在于,在所述监控主机与存储系统间的连接获取数据访问请求消息之前,还包括:
获取所述主机发送的连接建立请求消息;所述连接建立请求消息中携带有所述主机的身份验证信息、主机的标识信息及目标存储访问对象的标识信息;
根据所述连接建立请求消息中的所述主机的身份验证信息及主机的标识信息,验证所述主机的合法性;
在所述主机合法时,根据所述主机的标识信息、目标存储访问对象的标识信息及所述主机与对应存储系统的预设访问权限规则,确定是否允许所述主机与对应的存储系统建立连接;
若是,则允许所述存储系统建立与所述主机间的连接。
4.根据权利要求3所述的方法,其特征在于,所述主机的标识信息包括:主机的NVMe限定名NQN;
所述目标存储访问对象的标识信息包括:目标存储访问对象的NQN。
5.根据权利要求4所述的方法,其特征在于,所述主机的身份验证信息包括:主机的互联网协议IP地址及媒体存取控制位MAC地址。
6.根据权利要求5所述的方法,其特征在于,所述根据所述连接建立请求消息中的所述主机的身份验证信息及主机的标识信息,验证所述主机的合法性包括:
根据所述连接建立请求消息中的主机的IP地址、所述主机MAC地址及主机的NQN在预设身份验证规则中确定出所述主机对应的身份访问权限的类型;其中,预设身份验证规则中设定了不同主机的身份访问权限的类型;
在所述主机对应的身份访问权限的类型为允许并不报警,或允许并报警时,则确定所述主机合法;
在所述主机对应的身份访问权限的类型为阻断并不报警,或阻断并报警时,则确定所述主机不合法。
7.根据权利要求6所述的方法,其特征在于,所述根据所述连接建立请求消息中的主机的IP地址、所述主机MAC地址及主机的NQN在预设身份验证规则中确定出所述主机对应的身份访问权限的类型包括:
根据所述连接建立请求消息中的主机的IP地址、所述主机MAC地址及主机的NQN,按照预设身份验证规则的设置顺序,依次在预设身份验证规则中查找,若找出与所述主机的IP地址、所述主机MAC地址及主机的NQN相匹配的一项,则在匹配项中确定出所述主机对应的身份访问权限的类型;
若没有查找出与所述连接建立请求消息中的主机的IP地址、所述主机MAC地址及主机的NQN相匹配的一项,则在预设身份验证规则的预设默认规则中确定出所述主机对应的身份访问权限的类型。
8.根据权利要求1-7任一项所述的方法,其特征在于,
在保护模式时,所述根据所述存储访问权限的类型,处理所述主机的存储访问操作指令包括:
在所述存储访问权限的类型为允许并不报警时,允许所述存储系统执行所述主机的存储访问操作指令;或者,
在所述存储访问权限的类型为允许并报警时,允许所述存储系统执行所述主机的存储访问操作指令,并报警;或者,
在所述存储访问权限的类型为阻断并报警时,阻断所述存储系统执行所述主机的存储访问操作指令,并报警;或者,
在所述存储访问权限的类型为阻断并不报警时,阻断所述存储系统执行所述主机的存储访问操作指令,并且不报警。
9.根据权利要求1-7任一项所述的方法,其特征在于,
在审计模式时,所述根据所述存储访问权限的类型,处理所述主机的存储访问操作指令包括:
在所述存储访问权限的类型为允许并不报警时,允许所述存储系统执行所述主机的存储访问操作指令;或者,
在所述存储访问权限的类型为允许并报警时,允许所述存储系统执行所述主机的存储访问操作指令,并报警;或者,
在所述存储访问权限的类型为阻断并报警时,允许所述存储系统执行所述主机的存储访问操作指令,并报警;或者,
在所述存储访问权限的类型为阻断并不报警时,允许所述存储系统执行所述主机的存储访问操作指令,并且不报警。
10.一种数据安全保护装置,其特征在于,包括:
获取单元,用于通过监控主机与存储系统间的连接获取数据访问请求消息;所述数据访问请求消息中包含有存储访问操作指令;
确定单元,用于解析所述数据访问请求消息,确定所述主机的存储访问操作指令;
处理单元,用于根据所述主机与存储系统间的连接及存储访问操作指令,确定所述主机与对应存储系统的预设访问规则,并在预设访问权限规则中确定所述主机的存储访问权限的类型,根据所述存储访问权限的类型,处理所述主机的存储访问操作指令;其中,所述预设访问规则中预先设置了主机的标识信息、对应的至少一个存储访问对象的标识信息,及所述主机对所述至少一个存储访问对象的存储访问权限的类型。
11.一种电子设备,其特征在于,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现权利要求1-9中任一项所述方法的步骤。
CN202011319813.9A 2020-11-23 2020-11-23 一种NVMe-oF存储系统的数据安全保护方法及装置 Pending CN112507319A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011319813.9A CN112507319A (zh) 2020-11-23 2020-11-23 一种NVMe-oF存储系统的数据安全保护方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011319813.9A CN112507319A (zh) 2020-11-23 2020-11-23 一种NVMe-oF存储系统的数据安全保护方法及装置

Publications (1)

Publication Number Publication Date
CN112507319A true CN112507319A (zh) 2021-03-16

Family

ID=74959452

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011319813.9A Pending CN112507319A (zh) 2020-11-23 2020-11-23 一种NVMe-oF存储系统的数据安全保护方法及装置

Country Status (1)

Country Link
CN (1) CN112507319A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114265554A (zh) * 2021-12-22 2022-04-01 苏州浪潮智能科技有限公司 Nvme限定名映射方法、计算机设备和存储介质
CN115048681A (zh) * 2022-05-10 2022-09-13 黄建邦 数据安全保护方法、装置、目标设备及存储介质
WO2023124127A1 (zh) * 2021-12-31 2023-07-06 浪潮(北京)电子信息产业有限公司 一种主机与存储系统的通信连接方法、装置、设备及介质

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114265554A (zh) * 2021-12-22 2022-04-01 苏州浪潮智能科技有限公司 Nvme限定名映射方法、计算机设备和存储介质
CN114265554B (zh) * 2021-12-22 2023-08-15 苏州浪潮智能科技有限公司 Nvme限定名映射方法、计算机设备和存储介质
WO2023124127A1 (zh) * 2021-12-31 2023-07-06 浪潮(北京)电子信息产业有限公司 一种主机与存储系统的通信连接方法、装置、设备及介质
CN115048681A (zh) * 2022-05-10 2022-09-13 黄建邦 数据安全保护方法、装置、目标设备及存储介质
CN115048681B (zh) * 2022-05-10 2024-02-20 黄建邦 数据安全保护方法、装置、目标设备及存储介质

Similar Documents

Publication Publication Date Title
KR102274617B1 (ko) 제어 데이터 패킷을 보호하기 위한 시스템 및 그에 관한 방법
CN112507319A (zh) 一种NVMe-oF存储系统的数据安全保护方法及装置
JP2020095753A (ja) マルウェアのランタイム中の自動検出
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
US8185639B2 (en) Server identification in storage networks
JP2006501581A (ja) サーバ管理コプロセッササブシステム内部のtcpaによる信頼性の高いプラットフォームモジュール機能のカプセル化
US8856918B1 (en) Host validation mechanism for preserving integrity of portable storage data
US20210091976A1 (en) System For Controlling Network Access Of Terminal Based On Tunnel And Method Thereof
CN111898124B (zh) 进程访问控制方法和装置、存储介质及电子设备
KR102407136B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2009051336A1 (en) Apparatus and method for managing terminal users
KR102379720B1 (ko) 가상화 단말에서 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
JP2018509692A (ja) 選択的なブロックベースの完全性保護技法
JP2023078262A (ja) 改良されたデータ制御及びアクセスの方法及びシステム
WO2016173267A1 (zh) 一种完整性校验方法和装置
US11941264B2 (en) Data storage apparatus with variable computer file system
CN114257404B (zh) 异常外联统计告警方法、装置、计算机设备和存储介质
US10637877B1 (en) Network computer security system
JP7404223B2 (ja) 不正なメモリダンプ改変を防ぐシステムおよび方法
US20240028713A1 (en) Trust-based workspace instantiation
US11954333B2 (en) Secured firmware with anti-malware
US11323482B2 (en) Methods, systems, and media for protecting computer systems from user-created objects
US20220255906A1 (en) System For Protecting Control Data Packet And Method Pertaining To Same
JP6992531B2 (ja) 端末装置、データ共有システム及びデータ共有方法
CN118094623A (zh) 日志的可信处理方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination