CN1809056A - 以iSCSI为基础的存储设备存取控管系统及其方法 - Google Patents
以iSCSI为基础的存储设备存取控管系统及其方法 Download PDFInfo
- Publication number
- CN1809056A CN1809056A CN 200510004539 CN200510004539A CN1809056A CN 1809056 A CN1809056 A CN 1809056A CN 200510004539 CN200510004539 CN 200510004539 CN 200510004539 A CN200510004539 A CN 200510004539A CN 1809056 A CN1809056 A CN 1809056A
- Authority
- CN
- China
- Prior art keywords
- client
- access control
- back plate
- keyholed back
- order
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种以iSCSI(internet SCSI,即因特网小计算机系统接口,以下称为iSCSI)为基础的存储设备存取控管系统及其方法,利用在服务器端预先建立起有关客户端的存取控管数据,以使客户端发出命令时,能够对客户端所能存取或指定存取的存储设备进行控管回应;通过此机制将可进一步让服务器端掌握多个客户端同时存取的控管主动权,如此一来,当有多个客户端对同一存储设备进行存取时,服务器端能够通过主动的存取控管来改善数据存取控管的问题。
Description
技术领域
本发明涉及一种存取控管系统及其方法,特别是指一种以iSCSI(internetSCSI,即因特网小计算机系统接口,以下称为iSCSI)为基础、并且能够通过服务器端主动对客户端的存取进行控管的系统及其方法。
背景技术
iSCSI实现了通过TCP/IP在因特网上传输SCSI指令的技术,使位于因特网中的远程使用者可通过iSCSI来存取任何在因特网中的其它存储设备,如:硬盘、光驱等可通过SCSI命令11进行数据存取的存储设备,此外iSCSI也已能提供对远程使用者的认证,因此可大幅增加远程数据存取的安全性。
一般来说,在iSCSI基础的客户端10可以通过两种联机模式来与远程的服务器端20进行联机,此两种联机模式分别为:发现区段模式(discoverysession mode)以及一般区段模式(normal session mode)。位于客户端10的使用者仅需要通过此两种模式来下达命令11,便能够使远程的服务器端20传回所需的信息内容(如:存储设备信息或是需求数据):
(1)发现区段模式,主要提供客户端10用来发现(搜寻)在服务器端20所有可用的存储设备。
当客户端10发出此种模式的命令11之后,将由服务器端20负责将所有可用的存储设备信息内容传回给客户端10,当客户端10完全接收到服务器端20的回应之后,便完成发现区段模式的运作,结束与服务器端20之间的联机。
(2)一般区段模式,主要提供客户端10可对服务器端20上的存储设备进行指定的数据存取,此种模式通常必须在客户端10已经向服务器端20执行过发现区段模式后才能够被执行。
使用者仅需要根据发现区段模式所回应的结果,便可以知道目前所存在可存取的存储设备有哪些,进而通过一般区段模式下达命令11,对指定的存储设备进行数据存取。
整个公知的以iSCSI为基础的存取控管系统运作示意如图1A中所示,基本上就是由客户端10向服务器端20发出命令11(可能是发现区段模式或者是一般区段模式),之后由服务器端20的命令/回应处理模块21回传一般回应211给客户端10,完成交互的运作。
然而,依照公知的运作概念,当客户端10执行发现区段模式的时候,服务器端20会将所有可用的存储设备信息全部传回给任何发出命令11的客户端10;而当客户端10执行一般区段模式的时候,服务器端20也会无条件提供客户端10所指定的存储设备的存取权限,以便让客户端10可以顺利进行数据存取。即便可以通过iSCSI本身所提供的使用者认证机制来局部限制某些使用者的数据存取权限,但是所有可供存取的存储设备信息依然完全被暴露在客户端10之前,对于储存在服务器端20存储设备上的各项数据来说,依然存在被非法存取或者破坏的隐忧。
因此,有关以iSCSI为基础的存储设备存取控管的部分,事实上应该交由服务器端20来掌握更多的主控权,以确实地防止来自客户端10所造成的数据存取问题,进而提升服务器端20数据的隐密性及安全性。如何实现上述目标应是目前的重要课题。
发明内容
鉴于以上的问题,本发明的目的主要在于提供一种以iSCSI为基础的存储设备存取控管系统及其方法,通过在服务器端预先建立起有关客户端的存取控管数据,便能够在客户端发出命令时,对不同客户端所能存取或者指定存取的存储设备提供不同的控管回应,进而达到提升服务器端数据隐密性及数据安全性的功效。
因此,为达到上述目的,本发明所揭示的以iSCSI为基础的存储设备存取控管系统,其特征在于:在服务器端还包含命令/回应处理模块可存取的存取控管数据,可用以根据客户端执行的命令,提供控管信息给命令/回应处理模块进行处理,以生成控管回应给该客户端,达到由服务器端主动控管各个客户端所能够存取的存储设备的目的。
至于在以iSCSI为基础的存储设备存取控管方法上,则包含下列步骤:首先,加载在服务器端预先建立的存取控管数据;当有客户端联机时,读取客户端的客户端识别码;当客户端为控管的客户端时,解析客户端的命令;并根据命令由存取控管数据读取控管信息并处理生成控管回应给客户端,并结束客户端的联机,由此达到由服务器端主动控管各个客户端所能够存取的存储设备的目的。
根据上述的以iSCSI为基础的存储设备存取控管系统及其方法,其中该存取控管数据至少包含该客户端识别码、一用户名称、一用户密码及一可存取存储设备。
根据上述的以iSCSI为基础的存储设备存取控管系统及其方法,其中该可存取存储设备通过附加数据的方式增加新的存储设备至该存取控管数据中。
根据上述的以iSCSI为基础的存储设备存取控管系统及其方法,其中该命令为发现区段模式或为一般区段模式。
根据上述的以iSCSI为基础的存储设备存取控管方法,其中当该客户端为设定控管的该客户端时,解析该客户端的该命令的步骤还包含利用该客户端的该用户名称及该用户密码进行认证的步骤。
根据上述的以iSCSI为基础的存储设备存取控管方法,其中该根据该命令由该存取控管数据读取一控管信息并处理生成一控管回应给该客户端并结束该客户端的联机的步骤还包含下列步骤:当该命令为发现区段模式时,根据该客户端识别码搜寻该存取控管数据中预设的一存取控管记录;返回该客户端所有可存取的存储设备的该控管信息,以进行回应处理;及产生该控管回应传回给该客户端。
根据上述的以iSCSI为基础的存储设备存取控管方法,其中该根据该命令由该存取控管数据读取一控管信息并处理生成一控管回应给该客户端并结束该客户端的联机的步骤还包含下列步骤:当该命令为一般区段模式时,根据该客户端识别码搜寻该客户端所指定的该存取控管记录;返回该客户端所指定的该控管信息,以进行回应处理;及产生该控管回应传回给该客户端。
有关本发明的特征与实际运作,现配合附图和最佳实施例详细说明如下,以进一步阐明本发明的目的、构造、特征、及功能。
附图说明
图1A是公知的以iSCSI为基础的存取控管系统运作的示意图;
图1B是本发明的以iSCSI为基础的存取控管系统运作的示意图;
图2A至图2C是本发明的以iSCSI为基础的存取控管方法运作的流程图;及
图3A至图3B是本发明的存取控管数据实施例的示意图。
其中,附图标记说明如下:
10 客户端 11 命令 20 服务器端
21 命令/回应处理模块 211 一般回应
212 控管回应 22 存取控管数据 221 控管信息
300 增加一客户端可存取存储设备
310 新增一列客户端可存取存储设备
320 存取控管记录
步骤100 加载在服务器端预先建立的一存取控管数据
步骤110 有一客户端联机
步骤120 继续等待该客户端联机
步骤130 读取该客户端的一客户端识别码
步骤140 为控管的该客户端
步骤150 该客户端通过认证
步骤160 解析该客户端的一命令
步骤170 根据该命令由该存取控管数据读取一控管信息并处理生成
一控管回应给该客户端并结束该客户端的联机
步骤171 根据该客户端识别码搜寻预设的一存取控管记录
步骤172 有可存取的存储设备
步骤173 返回该控管信息进行回应处理
步骤174 产生该控管回应传回给该客户端
步骤175 根据该客户端识别码搜寻指定的一存取控管记录
步骤176 为该客户端可存取
具体实施方式
本发明提供一种以iSCSI为基础的存储设备控管系统及其方法,可通过服务器端20的主动控管,来对发出命令的客户端给予不同存储设备存取的控管回应。
图1A是公知的iSCSI存取控管系统运作的示意图。如图中所示,客户端10与服务器端20之间的存取关系完全没有受到任何来自服务器端20的控管,因此不论客户端10发出什么样的命令,都能够获得到一般回应211,但是这对于储存在存储设备中的数据来说,无疑会增加许多被暴露或被破坏的风险。
本发明的存取控管系统,如图1B所示。相较于公知的存取控管系统来说,本发明的存取控管系统增加了一个可供命令/回应处理模块21主动读取的存取控管数据22,可以依照客户端10所发出的不同命令提供不同的控管信息给命令/回应处理模块21,然后经由命令/回应处理模块21的处理后,产生不同的控管回应给客户端10。
此时,不同客户端10的不同使用者将会根据服务器端20所传回的不同控管回应,而看到服务器端20中不同的存储设备被显示于客户端10(当命令为发现区段模式时),进而执行服务器端20中不同的存取设备存取(当命令为一般区段模式时)。
在存取控管数据22中,至少包含有客户端识别码、用户名称、用户密码以及可存取存储设备等数据。也就是当客户端10与服务器端20进行联机时,通过对客户端识别码的识别,便能够轻易由所记载的可存取存储设备中知道此客户端10有哪些对应的可存取存储设备。
另外,此一存取控管数据22可以随着存取需求而进行扩充及调整,我们可以采取如图3A中所示的附加数据(append a datum)方式,将所需要新增给客户端10的存储设备直接新增至某一存取控管记录320,或者也能够采取如图3B中所示的新增列(insert a row)方式,将所需要新增为一列新的存取控管记录320给客户端10的存储设备新增至存取控管数据22中。
至于客户端10所发出的命令,一般又可被分为两种模式:一是用来发现(搜寻)在服务器端20所有可用的存储设备的命令,称为发现区段模式;另一是提供客户端10可对服务器端20上的存储设备进行指定的数据存取的命令,又称为一般区段模式。通常,当客户端10第一次联机至服务器端20时,必须先通过发现区段模式的命令来获取在服务器端20上所有可用的存储设备的信息,接着才能够继续通过一般区段模式的命令来直接存取数据。
图2A至图2C是本发明存取控管方法的运作流程图。
图2A的主要运作流程如下:
首先,加载在服务器端20预先建立的存取控管数据22(步骤100),实际上便是在服务器端20启动时执行读取存取控管数据22的程序;接着判断是否有客户端10联机(步骤110)?若无客户端10进行联机,则继续等待客户端10的联机(步骤120),当有客户端10联机至服务器端20时,则先读取客户端10所具有的客户端识别码(步骤130);然后判断是否为控管的客户端10(步骤140)?其判断的方式便是在存取控管数据22的存取控管记录中搜寻是否具有相同的客户端识别码。如果没有,则表示客户端10不属于服务器端20的控管对像,此种情况下将直接结束所有对客户端10的其它运作;反之如果有的话,则表示服务器端20可以控管联机的客户端10,此时将继续进行对客户端10的认证作业(步骤150),由于每个客户端10可能会有多个用户进行操作,因此服务器端20还必须对每个用户先进行认证。
判断客户端20是否通过认证?如果在存取控管数据22的存取控管记录中对应客户端10上并没有对应的用户时,此时则同样会结束对客户端10的其它运作;倘若用户名称与用户密码均能符合存取控管数据22中的存取控管记录时,便进一步对客户端10所传来的命令进行解析(步骤160),然后根据命令由存取控管数据22读取控管信息并处理生成控管回应给客户端10并结束客户端10的联机(步骤170)。
控管信息,一般就是简单的允许命令或拒绝命令的信息。当客户端10所欲进行存取的存储设备为存取控管数据22中存取控管记录所允许的设备时,便会传回允许命令的控管信息给命令/回应处理模块21;当客户端10所欲存取的存储设备不是存取控管数据22中存取控管记录所允许的设备时,将传回拒绝命令的控管信息给命令/回应处理模块21。
对于步骤170的部分,如前所述,由于从客户端10所发出的命令通常又分为发现区段模式以及一般区段模式两种,不同的命令模式将分别具有如图2B以及图2C所示的两种不同的运作流程,说明如下:
图2B为当服务器端20接收到来自客户端10所发出的发现区段模式时,所产生的运作流程。首先,根据客户端识别码搜寻预设的存取控管记录320(步骤171);然后判断是否找到发出命令的客户端10对应的可存取的存储设备(步骤172);当搜寻到对应的存取控管记录时,则返回对应的控管信息给命令/回应处理模块21进行回应处理(步骤173);否则,若没有找到客户端10对应的可存取的存储设备时,则继续搜寻存取控管数据22,若有一个以上的搜寻结果时,则依序传回给命令/回应处理模块21;然后由命令/回应处理模块21负责解析该控管信息,并转换产生对应的控管回应传回给客户端10(步骤174)。如此,客户端10便可以获得有关服务器端20上可存取的存储设备的详细数据。
图2C是当服务器端20接收到来自客户端10所发出的一般区段模式时,所产生的运作流程。此时,首先根据客户端识别码搜寻指定的存取控管记录(步骤175),若有需要时还可以根据用户名称及用户密码来进一步筛选可用的存储设备;判断客户端10可存取的存储设备是否被找到(步骤176),如果找到,则同样进入如图2B中的步骤173及步骤174,返回对应的控管信息给命令/回应处理模块21进行回应处理,若有搜寻结果时,则传回给命令/回应处理模块21,然后由命令/回应处理模块21负责解析该控管信息,并转换产生对应的控管回应传回给客户端10;如果没有找到的话,则强迫客户端退出登录,并结束整个运作流程。
虽然本发明以前述较佳实施例揭示如上,然而其并非用以限定本发明,任何本领域的技术人员,在不脱离本发明的精神和范围内,可进行更动与润饰。因此本发明的专利保护范围以所附的权利要求书为准。
Claims (11)
1、一种以iSCSI为基础的存储设备存取控管系统,用于一客户端与一服务器端之间的联机存取控管,在该服务器端中具有一命令/回应处理模块,负责对该客户端发出的一命令进行处理,并提供对应的回应给该客户端以实现存取控管,其特征在于,该服务器端还包含该命令/回应处理模块可存取的一存取控管数据,用以根据该客户端执行的该命令,提供一控管信息给该命令/回应处理模块进行处理,以生成一控管回应给该客户端。
2、如权利要求1所述的以iSCSI为基础的存储设备存取控管系统,其中该存取控管数据至少包含一客户端识别码、一用户名称、一用户密码及一可存取存储设备。
3、如权利要求2所述的以iSCSI为基础的存储设备存取控管系统,其中该可存取存储设备可通过附加数据的方式增加新的存储设备至该存取控管数据中。
4、如权利要求1所述的以iSCSI为基础的存储设备存取控管系统,其中该命令为发现区段模式或为一般区段模式。
5、一种以iSCSI为基础的存储设备存取控管方法,用于一客户端与一服务器端之间的联机存取控管,该服务器端负责对该客户端发出的一命令进行处理,并提供对应的回应给该客户端以实现存取控管,其中包含下列步骤:
加载在服务器端预先建立的一存取控管数据;
当有该客户端联机时,读取该客户端的一客户端识别码;
当该客户端为控管的该客户端时,解析该客户端的一命令;及
根据该命令由该存取控管数据读取一控管信息,并处理生成一控管回应给该客户端,并结束该客户端的联机。
6、如权利要求5所述的以iSCSI为基础的存储设备存取控管方法,其中该存取控管数据至少包含该客户端识别码、一用户名称、一用户密码及一可存取存储设备。
7、如权利要求6所述的以iSCSI为基础的存储设备存取控管方法,其中该可存取存储设备通过附加数据的方式增加新的存储设备至该存取控管数据中。
8、如权利要求5所述的以iSCSI为基础的存储设备存取控管方法,其中该命令为发现区段模式或为一般区段模式。
9、如权利要求5所述的以iSCSI为基础的存储设备存取控管方法,其中当该客户端为设定控管的该客户端时,解析该客户端的该命令的步骤还包含利用该客户端的该用户名称及该用户密码进行认证的步骤。
10、如权利要求5所述的以iSCSI为基础的存储设备存取控管方法,其中该根据该命令由该存取控管数据读取一控管信息并处理生成一控管回应给该客户端并结束该客户端的联机的步骤还包含下列步骤:
当该命令为发现区段模式时,根据该客户端识别码搜寻该存取控管数据中预设的一存取控管记录;
返回该客户端所有可存取的存储设备的该控管信息,以进行回应处理;及
产生该控管回应传回给该客户端。
11、如权利要求5所述的以iSCSI为基础的存储设备存取控管方法,其中该根据该命令由该存取控管数据读取一控管信息并处理生成一控管回应给该客户端并结束该客户端的联机的步骤还包含下列步骤:
当该命令为一般区段模式时,根据该客户端识别码搜寻该客户端所指定的该存取控管记录;
返回该客户端所指定的该控管信息,以进行回应处理;及
产生该控管回应传回给该客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510004539 CN1809056A (zh) | 2005-01-18 | 2005-01-18 | 以iSCSI为基础的存储设备存取控管系统及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510004539 CN1809056A (zh) | 2005-01-18 | 2005-01-18 | 以iSCSI为基础的存储设备存取控管系统及其方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1809056A true CN1809056A (zh) | 2006-07-26 |
Family
ID=36840745
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200510004539 Pending CN1809056A (zh) | 2005-01-18 | 2005-01-18 | 以iSCSI为基础的存储设备存取控管系统及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1809056A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102088373A (zh) * | 2009-12-03 | 2011-06-08 | 财团法人资讯工业策进会 | 用于监控一硬件的一数据的监控方法及监控装置 |
| CN101022425B (zh) * | 2007-04-02 | 2012-05-23 | 杭州华三通信技术有限公司 | 基于iscsi的存储资源的分配方法 |
| CN101789927B (zh) * | 2009-01-23 | 2013-01-16 | 联想(北京)有限公司 | 客户端、服务端、系统及数据访问方法 |
-
2005
- 2005-01-18 CN CN 200510004539 patent/CN1809056A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022425B (zh) * | 2007-04-02 | 2012-05-23 | 杭州华三通信技术有限公司 | 基于iscsi的存储资源的分配方法 |
| CN101789927B (zh) * | 2009-01-23 | 2013-01-16 | 联想(北京)有限公司 | 客户端、服务端、系统及数据访问方法 |
| CN102088373A (zh) * | 2009-12-03 | 2011-06-08 | 财团法人资讯工业策进会 | 用于监控一硬件的一数据的监控方法及监控装置 |
| CN102088373B (zh) * | 2009-12-03 | 2013-10-09 | 财团法人资讯工业策进会 | 用于监控一硬件的一数据的监控方法及监控装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1097772C (zh) | 在安全存储区中保护应用程序数据的方法和装置 | |
| US8938781B1 (en) | Systems and methods for managing user permissions | |
| CN1728149A (zh) | 用于发现并连接到数据源的方法、系统和装置 | |
| CN101034981A (zh) | 一种网络访问控制系统及其控制方法 | |
| CN1893372A (zh) | 用于授权的方法与系统 | |
| CN1828621A (zh) | 基于环境的程序认证 | |
| WO2002095588B1 (en) | Decentralized virus scanning for stored data | |
| CN1701315A (zh) | 数据库访问控制方法、控制装置及代理处理服务器装置 | |
| CN100351828C (zh) | 基于分布式文件系统的文件存储系统及其文件访问方法 | |
| CN101075873A (zh) | 内容输入方法及其系统 | |
| CN1815946A (zh) | 一种实现数字信息安全存取的方法 | |
| EP2184690A1 (en) | Federated search system based on multiple search engines | |
| CN1933401A (zh) | 处理装置及处理方法 | |
| CN112860778B (zh) | 桌面应用程序的数据库管理方法、装置、设备和介质 | |
| CN1645799A (zh) | 基于远程代理的分布式统一数据存取系统 | |
| CN1845119A (zh) | 认证信息的存储、管理与代理认证的方法和系统 | |
| CN1495637A (zh) | 数字信息输入装置 | |
| CN1677302A (zh) | 用于获取资源使用日志的方法和系统以及计算机产品 | |
| CN1866225A (zh) | 一种移动存储设备的映射方法 | |
| CN1829949A (zh) | 用于将多个安全组表示为单个数据对象的系统和方法 | |
| CN1925402A (zh) | iSCSI鉴权方法、其发起设备和目标设备及鉴权方法 | |
| CN1809056A (zh) | 以iSCSI为基础的存储设备存取控管系统及其方法 | |
| CN1745372A (zh) | 验证设备、方法及程序 | |
| CN1530862A (zh) | 用于对电子数据的使用进行认证的用户对象 | |
| CN1265299C (zh) | 监视控制系统、被管理侧装置、管理侧装置及其监视控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |