-
HINTERGRUND
-
1. Gebiet der vorliegenden
Erfindung
-
Die
vorliegende Erfindung betrifft im allgemeinen den Bereich der Datenverarbeitung
und im besonderen ein Verfahren und die Ausführung eines gesicherten oder
authentifizierten Zugangs zu einem Storage Area Network, speziell
einem Storage Area Network, das die Anforderungen eines Fibre Channel erfüllt.
-
2. Geschichte
der verwandten Technik
-
Im
Bereich der Datenverarbeitung hat die schnell wachsende Anzahl der
datenintensiven Anwendungen einen scheinbar unstillbaren Bedarf
an Ursprungsdaten-Speicherkapazität hervorgerufen. Um die Anforderungen
von Anwendungen wie Daten-Lagerhaltung, Daten-Gewinnung, Verarbeitung von
Online-Transaktionen und Multimedia-Browsing im Internet oder Intranet
zu erfüllen,
wird jedes Jahr etwa das Doppelte an zusätzlicher Speicherkapazität benötigt. Gleichzeitig
steigt auch die Anzahl der Netzwerkverbindungen für Server-Speicher-Untersysteme
rapide an. Mit dem Entstehen der Client-Vernetzung, datenintensiven
Computeranwendungen und elektronischen Kommunikationsanwendungen
bekamen beinahe alle im Netzwerk gespeicherten Daten für die Ausführung der
Aufgaben eine entscheidende Bedeutung. Da man zunehmend darauf angewiesen ist,
auf im Netzwerk gespeicherte Daten zugreifen zu können, stoßen die
traditionellen Server-Speichersysteme
an ihre Grenzen. So wird das Hinzufügen von zusätzlichem Speicher, die Versorgung
von mehr Anwendern und die Sicherung von mehr Daten zu einer nie
endenden Aufgabe. Der parallele Geräteschnittstellenbus (Small
Computer System Interface Bus, SCSI-Bus), der häufig für die Verbindung zwischen Server
und Speicher in lokalen Netzen (Local Area Networks, LAN) verwendet
wird, erlegt dem Netzwerkspeicher massive Beschränkungen auf. Um diese Beschränkungen
zusammenzulegen, werden traditionell LAN-Verbindungen für die Sicherung
des Server-Speichers verwendet, was die nutzbare Client-Bandbreite
senkt.
-
Das
Storage Area Network (SAN) ist eine neu entstehende Datenübertragungs-Plattform,
die Server und Speicher mit Geschwindigkeiten im Gigabaud-Bereich
miteinander verbindet. SAN soll die durch die SCSI-Architekturen
auferlegten Bandbreiten-Engpässe
und Skalierbarkeitsgrenzen beseitigen, indem die LAN-Netzwerkmodelle
in die grundlegenden Komponenten der Serverleistung und Massenspeicherkapazität integriert
werden. Das Fibre-Channel-Protokoll ist ein weit verbreiteter offener Standard
für die
SAN-Umgebung. Fibre-Channel kombiniert
hohe Bandbreite und große
Skalierbarkeit mit der Unterstützung
verschiedener Protokolle, darunter SCSI und IP, über eine einzige physische
Verbindung. Deshalb kann das SAN sowohl als Serververbindung als
auch als direkte Verbindung zu Speichervorrichtungen und Speicherfeldern
dienen.
-
Leider
bedingt die Offenheit, die zumindest teilweise für die zunehmende Vorherrschaft
der Storage Area Networks mit Fibre-Channel verantwortlich ist,
ein möglicherweise
schwerwiegendes Sicherheitsproblem für eine immense Anzahl großer (und kleiner)
wertvoller Datenbanken mit sich. Als offener Standard ist das Fibre-Channel-Netzwerk
für viele der
Sicherheitsprobleme des Internet anfällig. Ein böswilliger Hacker, der die Kontrolle über einen
an eine Fibre-Channel-Vermittlungsstelle angeschlossenen Host-Bus- Adapter erlangt hat,
könnte
Daten überall
im SAN verändern,
löschen
oder anderweitig beschädigen.
Ein nicht autorisierter Nutzer, der Zugang zu einem an das Fibre-Channel-Netz
angeschlossenen Element erlangt, kann eine Fibre-Channel-Vermittlungsstelle
auf mindestens drei Arten negativ beeinflussen. Erstens könnte der
Nutzer Software schreiben, die eine bestehende Geräteschnittstelle
der Fibre-Channels für
die Beeinträchtigung der
Netz-Betriebsumgebung nutzt. Zweitens könnte der Nutzer auf Geräteebene
Treiber installieren, die versuchen, die Betriebsumgebung auf der
physischen und Signal-Schnittstellenebene des Fibre-Channel (FC-PH)
zu beeinträchtigen.
Drittens könnte
der Nutzer einen verfälschten
Host-Bus-Adapter installieren, der Hardware oder Mikrocode enthält, welcher
versucht, die Betriebsumgebung des Netzes auf FC-PH-Ebene auszunutzen.
-
Deshalb
wäre es
höchst
wünschenswert,
einen sicheren und kostengünstigen
Mechanismus zu realisieren, der die Integrität von Transaktionen auf einem
SAN-Netzwerk sicherstellt. Im Stand der Technik existieren dazu
verschiedene Verfahren.
-
In
der Patentanmeldung WO 00/29 954 A1 ist ein Zugriffsverfahren in
einem SAN-Netzwerk beschrieben, bei dem der Zugriff über Zugriffstabellen gesteuert
wird, in denen die Host-IDs (Identifiers) der zugreifenden Rechner
abgelegt sind. Die Host-IDs dienen dabei als Passwörter. Jedoch
findet keine kryptologisch gesicherte Authentifizierung statt.
-
Das
Challenge Response Verfahren ist in Menezes, J. u.a.: „Handbook
of applied cryptography",
Boca Raton, u.a.: CRC Press 1997, ISBN: 0-8493-8523-7, S. 400-403, beschrieben. Bei
diesem Verfahren ist die Authentifizierung durch die Anfrage des
Systems und die Antwort des Nutzers charakterisiert.
-
In
der Patentschrift
US
52 37 611 A ist ein Verfahren zum Aufbau einer verschlüsselten
Verbindung beschrieben, wobei zwei Rechner die gleichen Passwort-Tabellen
besitzen, ein Wert aus einer Tabelle gelesen, zur Gegenstelle übertragen,
und mit einem Wert aus der anderen Tabelle verglichen wird. Dieser
Vergleichswert wird jedoch nicht zurückgesendet, sondern es wird
das vorangegangene Verfahren spiegelbildlich wiederholt.
-
ZUSAMMENFASSUNG
DER ERFINDUNG
-
Die
vorliegende Erfindung beschreibt ein Verfahren und System für einen
authentifizierten Zugang zu einem Storage Area Network (SAN).
-
Zunächst wird
als Reaktion auf eine Zugangsanforderung (Login-Anforderung) ein Passwort aus einem
ersten Exemplar einer Passwort-Tabelle abgerufen,
wobei das erste Exemplar der Passwort-Tabelle in einer Vermittlungsstelle
gespeichert ist und einem Vermittlungsstellenanschluss entspricht.
Das Passwort wird dazu verwendet, eine Antwort aus dem ersten Exemplar
der Passwort-Tabelle abzurufen. Die Antwort wird entsprechend eines
ersten Exemplars einer Vermittlungsstelle gespeicherten Codeschlüssels verschlüsselt. Danach
wird das verschlüsselte
Passwort an den Knoten gesendet, der einen Zugang zum SAN anfordert,
wo es entsprechend einem im Knoten gespeicherten zweiten Exemplar
des Codeschlüssels
entschlüsselt
wird. Das entschlüsselte
Passwort wird dazu verwendet, eine Antwort aus einem im Knoten gespeicherten
zweiten Exemplar der Passwort-Tabelle abzurufen. Die Antwort wird
entsprechend dem zweiten Exemplar des Codeschlüssels verschlüsselt und
zum Vermittlungsstellenanschluss zurückgesendet. Danach wird die vom
Knoten empfangene Antwort mit dem aus dem ersten Exemplar der Passwort-Tabelle
ermittelten Antwort verglichen. Der Zugang zum SAN wird gewährt, wenn
die beiden Antworten übereinstimmen, ansonsten
wird er verweigert. Das Verfahren enthält außerdem einen Mechanismus zum
Erzeugen von Codes auf der Grundlage von Hardware-Seriennummern
(oder anderen eindeutigen Werten) und das Vergleichen der Seriennummern
mit zuvor gespeicherten Codes, um festzustellen, ob sich die Hardware-Seriennummern
verändert
haben, sowie für das
Gewähren
oder Verweigern des Zugangs zum SAN auf der Grundlage dieser Feststellung.
-
KURZE BESCHREIBUNG
DER ZEICHNUNGEN
-
Weitere
Aufgaben und Vorteile der Erfindung ergeben sich aus der folgenden
detaillierten Beschreibung und den angefügten Zeichnungen, in denen:
-
1A eine
Ausführungsform
eines Storage Area Network zeigt, das für die Realisierung der vorliegenden
Erfindung geeignet ist;
-
1B das
Fibre-Channel-Netz des Netzwerks von 1A detaillierter
zeigt;
-
2 ein
Blockschaltbild eines Datenverarbeitungs-Systems ist, das als Knoten
zum Anschluss an das Storage Area Network von 1 geeignet
ist;
-
3 ein
vereinfachtes Blockschaltbild ist, das eine Verbindung zwischen
einer Netzvermittlungsstelle im Storage Area Network und einem Endpunktknoten
zeigt;
-
4 die
Software-Komponenten des Authentifizierungsmechanismus für ein Storage
Area Network nach einer Ausführungsform
der vorliegenden Erfindung darstellt; und
-
5 ein
Flussdiagramm ist, das ein Authentifizierungsverfahren eines Storage
Area Network nach einer Ausführungsform
der vorliegenden Erfindung darstellt.
-
Bei
der Erfindung sind verschiedenen Modifikationen und alternative
Formen möglich,
von denen spezifische Ausführungsformen
als Beispiel in den Zeichnungen dargestellt und hier im folgenden
detailliert beschrieben werden. Dabei gilt grundsätzlich, dass
die hier dargestellten Zeichnungen und detaillierten Beschreibungen
die Erfindung nicht auf die spezifisch dargestellte Ausführungsform
begrenzen sollen, sondern die Erfindung deckt im Gegenteil sämtliche
Modifikationen, gleichwertige Vorrichtungen und Alternativen ab,
die den Geist und den Umfang der vorliegenden Erfindung wie durch
die anhängenden
Ansprüche
definiert erfüllen.
-
DETAILLIERTE
BESCHREIBUNG DER ERFINDUNG
-
In
den 1A und 1B wird
eine Ausführungsform
eines für
die Umsetzung der Erfindung geeigneten Datenverarbeitungs-Netzwerks 100 dargestellt.
Das Netzwerk 100 enthält
ein Storage Area Network (SAN) 105, das vorzugsweise Fibre-Channel-kompatibel
ist. Fibre-Channel ist eine skalierbare Übertragungsschnittstellentechnologie
für Daten
(zur Zeit überwiegend
mit einer Datenübertragungsrate von
1 GB/s realisiert), die mehrere allgemeine Übertragungsprotokolle abbildet,
darunter Internet-Protokoll (IP) und SCSI, wodurch es in einer einzigen
Anschlusstechnologie eine Hochleistungs-Ein-/Ausgabe mit der Netzwerkfunktionalität vereinigen
kann. Fibre-Channel ist ein Satz durch ANSI und ISO definierter
offener Standards. Detaillierte Informationen über die verschiedenen Fibre-Channel-Standards sind über das
ANSI Accredited Standards Committee (ASC) X3T11 (ww.t11.org) erhältlich,
das hauptsächlich
für das
Fibre-Channel-Projekt verantwortlich ist. Auf diese Standards wird
in dieser Patentschrift kollektiv als der Fibre-Channel-Standard
oder die Fibre-Channel-Spezifikation verwiesen. Fibre-Channel funktioniert
sowohl über
Kupfer- als auch
Lichtwellenleiterkabel mit Verbindungslängen von bis zu 10 Kilometern,
und es unterstützt
verschiedene interoperable Topologien wie Punkt-zu-Punkt-, Entscheidungs-Schleifen und Vermittlungsstellen-Topologien (sowie
deren Kombinationen).
-
Die
abgebildete Ausführungsform
von SAN 105 enthält
einen Satz Knoten 120, die durch ein Fibre-Channel-Netz 101 untereinander
verbunden sind. Die Knoten 120 des Netzwerks 100 können jede
beliebige Vielfalt von Geräten
oder Systemen enthalten, darunter wie in 1A gezeigt
ein oder mehrere Datenverarbeitungs-Systeme (Computer) 102,
Magnetband-Untersysteme 104,
RAID-Vorrichtungen 106, Platten-Untersysteme 108, Fibre-Channel-Entscheidungsschleifen
(FCAL) 110 und andere geeignete Datenspeicher- und Datenverarbeitungs-Vorrichtungen.
Ein oder mehrere Knoten 120 des Netzwerks 100 können an
ein mit Referenznummer 103 bezeichnetes externes Netzwerk
angeschlossen werden. Das externe Netzwerk 103 kann ein
lokales Netz (LAN) oder ein IP-gestütztes Netzwerk wie das Internet
sein. In der Regel enthält
das Fibre-Channel-Netz 101 ein oder mehrere zusammengeschaltete
Fibre-Channel-Vermittlungsstelle 130, von denen jeder einen
Satz Fibre-Channel-Anschlüsse 140 enthält. Jeder
Anschluss 140 enthält
in der Regel einen Steckverbinder, einen Sender, einen Empfänger und eine
unterstützende
Logik für
ein Ende einer Fibre-Channel-Verbindung
und kann außerdem
einen Controller enthalten. Die Anschlüsse 140 dienen als Zwischenverstärker für alle anderen
Anschlüsse 140 im
Netz 101. Eine Beschreibung der Fibre-Channel-Anschlüsse entsprechend
ihrer Topologie: Ein F-Anschluss bezeichnet einen Vermittlungsstellenanschluss
(wie in 1B gezeigt), ein L- oder NL-Anschluss
bezeichnet eine Verbindung mit Entscheidungs-Schleife (in 1B nicht
gezeigt) und ein FL-Anschluss bezeichnet einen Verbindungs-Anschluss
zwischen einer Entscheidungs-Schleife und einer Vermittlungsstelle.
Die Anschlüsse 140 kommunizieren
miteinander auf eine standardisierte, von ihrer Topologie unabhängigen Weise,
so dass der Fibre-Channel
die Kommunikation zwischen unterschiedlichen Topologien unterstützen kann.
-
In 2 wird
ein Blockschaltbild der Ausführungsform
eines Datenverarbeitungs-Systems (Computer) 102 gezeigt,
welches als Knoten 120 des Netzwerks 100 dienen
kann. Man bedenke, dass 2 zwar spezifisch die Datenverarbeitung 102 beschreibt,
die beschriebene Architektur aber allen Knoten 120 des
Netzwerks 100 gemeinsam ist. So kann jeder Knoten 120 einen
oder mehrere Prozessoren einen Systembus, Systemspeicher, einen E/A-Bus
und E/A-Adapter mit einen Host-Bus-Adapter (HBA) enthalten, geeignet
für den
Anschluss an einen Anschluss 140 einer Fibre-Channel- Vermittlungsstelle,
wie unten speziell im Hinblick auf den Computer 102 beschrieben.
Die dargestellte Ausführungsform
des Computers 102 enthält
einen oder mehrere Prozessoren 200a bis 200n (hier
generisch oder kollektiv als Prozessor(en) 200 bezeichnet),
die über
einen Systembus 204 zusammengeschaltet sind. Die Prozessoren 200 können als
RISC-Prozessoren ausgeführt
sein, wie die PowerPC®-Prozessorenfamilie der IBM Corporation.
In anderen Ausführungsformen
können
die Prozessoren 200 Sparc®-Prozessoren von Sun
Microsystems, x86-kompatible Prozessoren wie die der Pentium®-Prozessorenfamilie
der Intel Corporation oder beliebige andere geeignete Prozessor-Architekturen sein.
-
Die
Prozessoren 200 sind über
den Systembus 204 mit einem Systemspeicher 206 verbunden. Der
Systemspeicher kann Betriebssystem-Software (oder Teile davon) enthalten,
wie das AIX®-Betriebssystem
von IBM, verschiedene Betriebssysteme auf UNIX®-Grundlage
oder ein Windows®-Betriebssystem von Microsoft. Der Systembus 204 ist über eine Host-Brücke 208 an
einen E/A-Bus 209 angeschlossen. In der dargestellten Ausführungsform
sind die Host-Brücke 208 und
der E/A-Bus 209 kompatibel mit dem Peripheriekomponenten-Schnittstellenprotokoll (PCI-Protokoll), wie in
PCI Local Bus Specification Rev. 2.2 spezifiziert, erhältlich bei
der PCI Special Interest Group unter (www.pcisig.com). Der PCI-konforme
E/A-Bus 209 stellt einen prozessorunabhängigen Datenpfad zwischen den
Prozessoren 200 und verschiedenen Peripherieeinheiten her,
darunter ein Netzadapter 212 und Grafikadapter 214.
An den E/A-Bus 209 können
noch andere Peripherieeinheiten wie zum Beispiel eine Festplatte
angeschlossen werden. Außerdem
kann an den Bus 209 eine Brücke zwischen PCI und PCI (nicht
abgebildet) angeschlossen werden, um einen oder mehrere zusätzliche PCI-konforme
Busse zur Verfügung
zu stellen. Eine Brücke 216 stellt
eine Schnittstelle zwischen dem PCI-E/A-Bus 209 und einem ISA-Bus
(Industry Standard Architecture Bus) 218 her, an den über einen E/A-Adapter 220 verschiedene
E/A-Einheiten wie eine Maus 222, eine Tastatur 224 und
ein Diskettenlaufwerk 226 angeschlossen sind.
-
Die
dargestellte Ausführungsform
des Computers 102 enthält
einen an den PCI-E/A-Bus 209 angeschlossenen Fibre-Channel-HBA 210.
Der HBA 210 verfügt über einen
Steckverbinder und eine unterstützende
Logik, die zum Anschluss eines Knotens 120 wie ein Computer 102 an
das Fibre-Channel-Netz 101 geeignet ist. Genauer gesagt
stellt der HBA 210 in 3 einen
Steckverbinder dar, der über eine
Verbindung 303 an einen Anschluss 140 einer Fibre-Channel-Vermittlungsstelle 130 innerhalb
des Fibre-Channel-Netzes 101 angeschlossen werden kann.
Die Verbindung 303 kann entsprechend der Fibre-Channel-Spezifikation
als Kupfer oder Lichtwellenleiterkabel ausgeführt sein.
-
Die
Fibre-Channel-Spezifikation setzt voraus, dass ein Knoten 120 immer
dann eine Netzanmeldung durchführt,
wenn ein Computer (oder anderer Knoten) versucht, eine Verbindung
zwischen zwei Endpunkten des Netzes 101 herzustellen. Als
offener Standard bietet die durch die Fibre-Channel-Spezifikation definierte
Netzanmeldung aber keinen sicheren Mechanismus, um sicherzustellen,
dass der Zugang zum SAN 105 autorisiert ist. Wenn einem
nichtautorisierten Nutzer der Zugang zum HBA 210 gelingt,
eventuell über
ein externes Netzwerk 103 wie das Internet, ist die Sicherheit
aller Daten auf dem SAN 105 gefährdet. Die vorliegende Erfindung
beabsichtigt ein stark authentifiziertes Verfahren und einen Mechanismus,
um das Risiko eines nichtautorisierten Zugangs zum Fibre-Channel-konformen
SAN 105 zu minimieren. Dieses Verfahren kann in die spezifizierte
Netzanmelde-Sequenz des Fibre-Channel selbst integriert sein oder
als Teil eines erweiterten Anmeldedienstes (Extended Login Service,
ELS) ausgeführt
werden. Der ELS ist ein vom Fibre-Channel spezifiziertes Dienstprogramm,
das Erweiterungen der bestehenden spezifizierten Anmeldesequenz
des Fibre-Channel realisieren kann.
-
In
den 3 und 4 werden Blockschaltbilder von
Hardware- bzw. Software-Komponenten gezeigt, welche wie hier beschrieben
zusammen mit einer authentifizierten Anmeldesequenz zum Fibre-Channel-Netz
verwendet werden. In der dargestellten Ausführungsform bilden ein Knoten 120 und eine
Vermittlungsstelle 130 eine Fibre-Channel-Verbindung. Genauer
gesagt ist ein HBA 210 an Knoten 120 über ein
Kupfer- oder Lichtwellenleiterkabel 303 mit einem Vermittlungsstellenanschluss 140 der
Vermittlungsstelle verbunden. Der Knoten 120 enthält eine
nichtflüchtige
Speichervorrichtung 302 und einen Systemspeicher 206,
auf die ein Host-Bus-Adapter 210 über einen oder mehrere Busse
zugreifen kann. Ähnlich
enthält
die Vermittlungsstelle 130 auf der Vermittlungsstellenseite
der Verbindung eine nichtflüchtige
Speichervorrichtung 304 und einen Vermittlungsstellen-Speicher 306,
auf die der Vermittlungsstellenanschluss 140 zugreifen
kann.
-
In
der dargestellten Ausführungsform
enthält das
Fibre-Channel-Netz 101 eine
Schlüsselserver-Anwendung 408,
die zum Erzeugen von Codeschlüsseln
und Passwort-Tabellen entsprechend der vorliegenden Erfindung verantwortlich
ist. Der Schlüsselserver 408,
der vorzugsweise nur von einem Administrator oder Nutzer mit privilegiertem
Zugang zur Anwendung bedient wird, erstellt die Schlüsselerzeugungs-Agenten 404 und 414 auf
dem Knoten 120 (aus als Host 120 bezeichnet) bzw.
der Vermittlungsstelle 130. In einer Ausführungsform
ist der Schlüsselserver 408 für die Erzeugung
von Schlüsseln
und Passwort-Tabellen für
jedes Knoten-Anschluss-Paar im Netz 100 verantwortlich.
Der Schlüsselserver 408 wird
vorzugsweise periodisch ausgeführt,
um als zusätzliche
Sicherheitsmaßnahme
neue Codeschlüssel
und Passwort-Tabellen zu erzeugen. In der bevorzugten Ausführungsform
werden für
jedes Knoten-Anschluss-Paar ein eindeutiger Codeschlüssel und
eine Passwort-Tabelle erzeugt. Ein Exemplar des Schlüssels und
der Passwort-Tabelle für
jedes Knoten-Anschluss-Paar wird sowohl auf Host-Seite (in 4 durch
die Host-Passwort-Tabelle 402 dargestellt) als auch auf
Vermittlungsstellen-Seite (Vermittlungsstellen-Passwort-Tabelle 412) gespeichert.
Die Passwort-Tabellen 402 und 412, die den vom
Schlüsselserver 408 erzeugten
Schlüssel enthalten
können,
werden vorzugsweise in den nichtflüchtigen Speichervorrichtungen 302 und 304 gespeichert,
um den Verlust von Schlüssel
und Tabelle beim Ausschalten der Stromzufuhr der entsprechenden
Vorrichtung zu verhindern. Die Schlüsselerzeugungs-Agenten (oder
Teile von ihnen) sind hingegen bei ihrer Ausführung in der Regel im Systemspeicher 206 oder
der Vermittlungsstellen-Speicher 306 gespeichert. Der Schlüssel und
die Passwort-Tabellen 402 und 412 sind vorzugsweise
an einem geheimen Ort der nichtflüchtigen Speichervorrichtungen 302 und 304 gespeichert.
Dieser geheime Ort ist nur den im Host 120 bzw. Vermittlungsstelle 130 gespeicherten
Schlüsselerzeugungs-Agenten 404 und 414 bekannt.
-
Die
vom Schlüsselserver 408 erzeugten Codeschlüssel und
Passwort-Tabellen müssen über einen
zuverlässigen
Mechanismus an die verschiedenen Hosts übertragen werden. In einer
Ausführungsform
könnten
die Schlüssel
und Passwort-Tabellen
erzeugt, auf einer tragbaren Speichervorrichtung wie einer Diskette
gespeichert und dann an jedem Host durch einen Administrator oder
einen anderen privilegierten und vertrauenswürdigen Nutzer manuell installiert
werden. In einer anderen Ausführungsform
könnten
die Schlüssel
und Passwort-Tabellen an jeden Host 120 mittels einer vertrauenswürdigen und
vorzugsweise verschlüsselten
Verbindung über
ein externes Netzwerk übertragen
werden. Es könnte
zum Beispiel eine sichere IP-Verbindung verwendet werden, um die
verschiedenen Schlüssel
und Passwort-Tabellen an jeden Knoten 120 zu verteilen. Diese
Verteilermethode selbst könnte
innerhalb einer Anwendung ausgeführt
werden, die wie eine passwortgeschützte Anwendung ebenfalls einen
sicheren Zugang erfordert.
-
Neben
dem unten detaillierter beschriebenen Authentifizierungs-Verfahren
kann die Erfindung die Verwendung einer bindenden Software/Hardware beinhalten,
um den Zugang zum Fibre-Channel-Netz 101 weiter zu sichern.
Allgemein enthält
die Bindefunktion die Erzeugung eines bindenden Codes auf der Grundlage
einer eindeutigen Nummer (wie der Seriennummer), über die
jeder Endpunkt einer Hardware-Vorrichtung verfügt. Beim Hochfahren eines Systems
oder einer Software-Rücksetzung
vergleicht die Software den bindenden Code jeder Verbindung mit
der Seriennummer (oder anderen eindeutigen Nummer) jeder angeschlossenen
Hardware-Vorrichtung.
Entspricht der Code nicht der zugehörigen Seriennummer, wird die
Verbindung zum SAN abgebrochen und ein Administrator informiert.
-
In 5 wird
ein Flussdiagramm einer Ausführungsform
eines Authentifizierungs-Mechanismus und Verfahren 500 für das betrachtete
Fibre-Channel-Netz dargestellt. Das Verfahren 500 kann
als Computerprogramm-Produkt (Software) ausgeführt werden, wobei ein Satz
von einem Prozessor ausführbarer
Befehle für
die Zugangs-Authentifizierung zum SAN 105 auf einem computerlesbaren
Medium wie einer Diskette, CD-ROM, Festplatte, Magnetbandspeicher,
einer nichtflüchtigen
Speichervorrichtung wie einem PROM, EEPROM oder Flash-Speicher oder in
einem zu einem oder mehreren Prozessoren gehörenden Systemspeicher oder
Cachespeicher gespeichert werden. Verschiedene Teile der Software
können
von einem Prozessor auf einem Knoten 120 ausgeführt werden,
während
andere von einem Prozessor in einer Vermittlungsstelle 130 des Netzwerks 100 ausgeführt werden
können. Ähnlich können verschiedene
Teile einer Software-Ausführung
des Verfahrens 500 Teile der SAN-Software-Schnittstelle 416 der
Vermittlungsstelle oder der Software-Schnittstelle 406 des
Knotens umfassen. In einer Ausführungsform
(wie in 4 gezeigt) geschieht die Authentifizierung
durch die Software-Schnittstellen 406 und 416 auf
beiden Seiten der Verbindung. Die Software-Schnittstelle des Host überwacht,
ob Vorgänge
im Host Teile des Authentifizierungs-Mechanismus auslösen. Wird
zum Beispiel ein Hochfahren oder eine Software-Rücksetzung
festgestellt (Block 502), liest (Block 504) die Software-Schnittstelle 406 des
Host eine Kenn-Nummer der Host-Vorrichtung (wie die Seriennummer). Aus
der Seriennummer kann die Software-Schnittstelle 406 einen
bindenden Code erzeugen und den erzeugten bindenden Code mit dem
beim ursprünglichen
Erzeugen der bindenden Codes (wie bei der ersten Installation des
Hosts 120) gespeicherten Code vergleichen (Block 506).
Falls der erzeugte bindende Code nicht mit dem gespeicherten bindenden Code übereinstimmt,
wird die Software-Schnittstelle gesperrt (Block 508), und
der Systemadministrator wird informiert. Der bindende Code kann
durch die Einbeziehung zusätzlicher
Informationen in den Code noch weiter verbessert werden. Bei der
ursprünglichen
Erzeugung des bindenden Codes können
ein Zeitstempel und Datumsstempel verwendet werden. Wenn der während eines
späteren
Hochfahrens oder einer Software- Rücksetzung
festgestellte Zeitstempel und Datumsstempel zeitmäßig nicht
größer (später) sind
als der ursprünglich
festgestellte Datums- und Zeitstempel, kann die Software unterbrochen
werden. Diese Hardware-/Software-Bindung verhindert, dass ein nichtautorisierter
Nutzer einen autorisierten HBA physisch durch einen nichtautorisierten
HBA austauscht, um einen nichtautorisierten Zugang zum SAN 105 zu
erhalten. Ähnlich
verhindern die bindenden Codes, dass ein nichtautorisierter Nutzer
eine nicht autorisierte Version einer Software-Schnittstelle 406 installiert,
um Zugang zum SAN 105 zu erhalten. So bietet der beschriebene
Binde-Mechanismus einen zusätzlichen
Grad an Sicherheit für
das SAN 105. Bei einer Hochfahr-Sequenz oder einer Software-Rücksetzung ist der nichtautorisierte
HBA und/oder die Software-Schnittstelle nicht in der Lage, die erforderlichen
bindenden Codes zu lesen, wodurch der Zugang zur Schlüsselerzeugungs-Anwendung
verhindert wird, ohne die der Nutzer keinen Zugang zum SAN 105 erhält.
-
Falls
eine Hochfahr-Sequenz erfolgreich durchgeführt wurde und der bindende
Code jeder Hardware-Vorrichtung überprüft wurde
(und keine Software-Rücksetzung
durchgeführt
wird), überwacht
die Software-Schnittstelle 406, ob ein Ereignis vorliegt,
das eine authentifizierte Netz-Anmeldesequenz entsprechend der vorliegenden
Erfindung auslöst.
Vorzugsweise wird die authentifizierte Anmeldesequenz bei jeder
regulären
Vermittlungsstellen-Anmeldung und bei jedem unregulären Vermittlungsstellen-Ereignis
(Anmeldung oder Abmeldung) gestartet. Beim Eintreten eines solchen
Ereignisses fordert die Software-Schnittstelle 406 eine
Anmeldung zur Vermittlungsstelle 130 an (Block 510).
Als Reaktion darauf erzeugt einer Software-Schnittstelle 416 an
Vermittlungsstelle 130 einen zufälligen Hash-Zugriff (Block 512)
auf die Passwort-Tabelle 412. Nun wird auf der Grundlage
des zufälligen
Hash-Zugriffs ein Passwort aus der Passwort-Tabelle 412 abgerufen.
Dieses Passwort stellt selbst einen Hash-Zugriff auf die Passwort-Tabelle 412 dar.
Die Software-Schnittstelle 416 ermittelt aus der Tabelle 412 eine Antwort,
die dem durch das gelesene Passwort dargestellten Hash-Zugriff entspricht.
Die Software-Schnittstelle 416 speichert
(Block 516) diese Antwort lokal und verschlüsselt (Block 518)
das entsprechende Passwort gemäß dem an
einem geheimen und vorzugsweise nichtflüchtigen Ort auf Vermittlungsstelle 130 gespeicherten
Codeschlüssel.
Nun wird das verschlüsselte
Passwort an den Host 120 gesendet (Block 520),
wo die Software-Schnittstelle 406 das Passwort entsprechend
ihrem lokal gespeicherten Exemplars des Codeschlüssels (der mit der Vermittlungsstelle 130 gespeicherten
Codeschlüssel übereinstimmt)
entschlüsselt
(Block 522) und das entschlüsselte Passwort für einen
Hash-Zugriff auf die
Passwort-Tabelle 402 des Hosts verwendet. Der Speicherort
der Host-Passwort-Tabelle 402 und der Ort der Vermittlungsstelle-Passwort-Tabelle 412 sind nur
der entsprechenden Software-Schnittstelle bekannt. Beim Abrufen
des Passworts aus ihrer Passwort-Tabelle 402 verschlüsselt (Block 524)
die Software-Schnittstelle 406 die Antwort entsprechend
ihrem lokal gespeicherten Codeschlüssel und sendet die Antwort
zurück
an die Vermittlungsstelle 130. Beim Empfangen der verschlüsselten
Antwort des Host 120 entschlüsselt sie die Software-Schnittstelle 416 mit
dem Codeschlüssel
und vergleicht die empfangene Antwort mit der in Block 516 gespeicherten Antwort.
Stimmen die Antworten überein,
erlaubt (Block 530) die Software-Schnittstelle 416 die
Anmeldung am Fibre-Channel-Netz 101 und bestätigt dem anfordernden
Nutzer die erfolgreiche Anmeldung. Stimmen die Antworten nicht überein,
wird die Netzanmeldung verweigert (Block 528), und der
Zugang des Nutzers zum Netz 101 wird verhindert.
-
Auf
diese Weise bietet das beschriebene Authentifizierungs-Verfahren eine auf
Aktion und Reaktion beruhende Form eines autorisierten Zugangs zu einer
geschützten
oder kritischen Ressource wie einem SAN 105. Für die Authentifizierung
mit Aktion und Reaktion müssen
sich beide Parteien einer Verbindung auf ein gemeinsames Passwort
(oder Passwörter)
einigen. Da die Einigung auf einem gemeinsamen und verschlüsselten
Mechanismus beruht, verhindert die Authentifizierung wirksam, dass
ein "Schnüffler" das Passwort (die
Passwörter)
stiehlt, weil die Passwörter
in verschlüsseltem
Format über die
Verbindung gesendet werden.
-
Fachleute
werden aus dieser Darlegung ersehen, dass die vorliegende Erfindung
einen stark authentifizierten Zugang zu einem Fibre-Channel-SAN
beabsichtigt. Die in der detaillierten Beschreibung und den Zeichnungen
gezeigten und beschriebenen Formen der Erfindung sind nur als derzeit
bevorzugte Beispiele zu werten. Die folgenden Ansprüche sind
großzügig zu interpretieren,
so dass sie alle Variationen der dargelegten bevorzugten Ausführungsformen
umfassen.