WO2015032059A1

WO2015032059A1 - 存储系统及数据操作请求处理方法

Info

Publication number: WO2015032059A1
Application number: PCT/CN2013/083024
Authority: WO
Inventors: 李胜; 易永江
Original assignee: 华为技术有限公司
Priority date: 2013-09-05
Filing date: 2013-09-05
Publication date: 2015-03-12
Also published as: CN103718186A; EP2902940A1; CN103718186B; EP2902940B1; EP2902940A4; US20150302024A1; US9753941B2

Abstract

本发明实施例提供了一种存储系统及数据操作请求处理方法。该方法应用于具有"一次写入多次读取"（Write Once Read Many，WORM）的功能的存储系统中，该方法包括：接收应用服务器发送的数据操作请求，所述数据操作请求用于对存储于所述存储系统中的数据进行变更；获取实时时钟与参考时钟的时间差，其中，所述实时时钟用于为所述存储系统提供系统时间，所述参考时钟在系统运行过程中无法被修改；判断所述时间差是否大于所述参考时钟的时间精度累计误差；若所述时间差大于所述时间精度累计误差，则拒绝执行所述数据操作请求。本发明实施例提供的数据操作请求处理方法能够提高存储于存储系统中的数据的安全性。

Description

存储系统及数据操作请求处理方法技术领域

[0001] 本发明涉及存储技术领域，尤其涉及存储系统及数据操作请求处理方法。

背景技术

[0002] 现代企业需要存储的重要文件越来越多，为了满足企业对这些重要文件的查询需求，以及为了满足相关存储法规对文件审计的要求，越来越多的存储系统支持 "一次写入多次读取" ( Write Once Read Many, WORM ) 的功能。支持 WORM功能的存储系统能够为用户指定的文件设定保护期限 ,在该保护期限内，该文件的安全属性通常被设置为只读属性。在保护期限内，该文件只能被读取而不能被修改或删除。当达到该文件的保护期限时，才可以根据用户的需求对该文件的安全属性进行修改或删除。并且，通常，在文件的保护期限内，用户也不能对设定的保护期限进行修改，以最大限度的保证文件的安全性。

[0003] 文件的保护期限与存储系统的系统时钟密切相关，文件的保护期限是根据存储系统的系统时钟计算获得的。如果存储系统的系统时钟被恶意更改，文件的实际保护期限则会被改变，则文件的安全属性和文件内容就可能被变更，进而影响了文件的安全性。

[0004] 现有技术中，为了保证存储系统有一个可信的系统时钟，通常会在存储系统的控制器中的南桥中集成一个实时时钟（Real Time Clock, RTC )。实时时钟是指能够像时钟一样输出实际时间的电子设备，实时时钟一般可以是集成电路，因此也可称为时钟芯片。实时时钟通常可以应用在个人电脑、服务器、存储系统或嵌入式系统等需要精确时间的系统中。当存储系统的控制器中的处理器上电时，处理器读取南桥芯片中集成的 RTC的时间，将 RTC的时间作为存储系统的系统时钟。然而，现有技术中，入侵者很容易通过修改集成在南桥芯片中的 RTC时钟来达到修改存储系统的系统时钟的目的，从而达到修改文件的保护期限的目的，影响了文件的安全性。

发明内容

[0005] 本发明实施例中提供了一种数据操作请求处理方法及存储系统，能够提高存储系统中存储的数据的安全性。

[0006] 第一方面，本发明实施例提供了一种存储系统，该存储系统为具有 "一次写入多次读取" ( Wr i te Once Read Many, WORM ) 的功能的存储系统，包括存储设备和控制器，所述存储设备用于存储数据，所述控制器包括实时时钟、参考时钟和处理器。所述实时时钟用于为所述存储系统提供系统时间。所述参考时钟用于对所述存储系统的系统时间进行校验。所述参考时钟在系统运行过程中无法被修改。所述处理器用于接收应用服务器发送的数据操作请求，所述数据操作请求用于对存储于所述存储设备中的数据进行变更；获取所述实时时钟与所述参考时钟的时间差；判断所述时间差是否大于所述参考时钟的时间精度累计误差；若所述时间差大于所述时间精度累计误差，则拒绝执行所述数据操作请求。

[0007] 结合第一方面，在第一种可能的实现方式中，所述存储系统还包括：单板管理控制器（Board Manage Cont ro l ler , BMC ), 用于读取所述参考时钟的时间寄存器的值，获得所述参考时钟的时间。所述处理器具体用于读取实时时钟的时间寄存器的值，以获得所述实时时钟的时间，通过所述 BMC与南桥芯片之间的通信通道获得所述参考时钟的时间，并根据所述实时时钟的时间以及所述参考时钟的时间获得所述时间差。

[0008] 结合第一方面以及第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述处理器还用于：若所述时间差不大于所述时间精度累计误差，则判断所述实时时钟的当前时间是否大于所述数据操作请求指向的数据的保护时间；若所述实时时钟的当前时间大于所述保护时间，则执行所述数据操作请求。

[0009] 结合第一方面的第二种可能的实现方式，在第三种可能的实现方式中, 所述处理器还用于若所述实时时钟的当前时间不大于所述保护时间，则拒绝执行所述数据操作请求。

[0010] 结合第一方面或者第一方面的第一种至第三种任意一种可能的实现方式，在第四种可能的实现方式中，所述处理器还用于：按照设定的时间间隔判断所述时间差是否大于所述参考时钟的时间精度累计误差；若所述时间差大于所述时间精度累计误差，则将所述实时时钟的时间与所述参考时钟的时间保持同步。

[0011] 结合第一方面或者第一方面的第一种至第四种任意一种可能的实现方式，在第五种可能的实现方式中，所述处理器还用于根据所述存储系统的生命周期以及所述参考时钟的时间精度误差来确定所述参考时钟的时间精度累计误差。

[0012] 结合第一方面或者第一方面的第一种至第四种任意一种可能的实现方式，在第六种可能的实现方式中，所述处理器还用于根据所述存储系统的运行时间以及所述参考时钟的时间精度误差来确定所述参考时钟的时间精度累计误差。

[0013] 结合第一方面或者第一方面的第一种至第六种任意一种可能的实现方式，在第七种可能的实现方式中，所述存储系统还包括备电设备，该备电设备用于在所述存储系统掉电时，为所述实时时钟以及所述参考时钟提供电源。

[0014] 第二方面，本发明实施例提供了一种数据操作请求处理方法，该方法应用于具有 "一次写入多次读取" ( Write Once Read Many, WORM ) 的功能的存储系统中，该方法包括：接收应用服务器发送的数据操作请求，所述数据操作请求用于对存储于所述存储系统中的数据进行变更；获取实时时钟与参考时钟的时间差，其中，所述实时时钟用于为所述存储系统提供系统时间，所述参考时钟在系统运行过程中无法被修改；判断所述时间差是否大于所述参考时钟的时间精度累计误差；若所述时间差大于所述时间精度累计误差，则拒绝执行所述数据操作请求。

[0015] 结合第二方面，在第一种可能的实现方式中，所述获取实时时钟与参考时钟的时间差包括：读取所述实时时钟的时间寄存器的值以获得所述实时时钟的时间；通过南桥芯片与单板管理控制器（ Board Manage Controller, BMC ) 之间的通信通道获得所述参考时钟的时间；比较所述实时时钟的时间与所述参考时钟的时间，获得所述实时时钟与所述参考时钟的时间差。

[0016] 结合第二方面或第二方面的第一种可能的实现方式，在第二种可能的实现方式中，该方法还包括：若所述时间差不大于所述时间精度累计误差，则判断所述实时时钟的当前时间是否大于所述数据操作请求指向的数据的保护时间；若所述实时时钟的当前时间大于所述保护时间，则执行所述数据操作请求。

[0017] 结合第二方面的第二种可能的实现方式，在第三种可能的实现方式中，该方法还包括：若所述实时时钟的当前时间不大于所述保护时间，则拒绝执行所述数据操作请求。

[0018] 结合第二方面或第二方面的第一种至第三种任意一种可能的实现方式，在第四种可能的实现方式中，该方法还包括：按照设定的时间间隔判断所述时间差是否大于所述参考时钟的时间精度累计误差；若所述时间差大于所述时间精度累计误差，则将所述实时时钟的时间与所述参考时钟的时间保持同步。

[0019] 结合第二方面或第二方面的第一种至第四种任意一种可能的实现方式，在第五种可能的实现方式中，该方法还包括：根据所述存储系统的生命周期以及所述参考时钟的时间精度误差确定所述参考时钟的时间精度累计误差。

[0020] 结合第二方面或第二方面的第一种至第四种任意一种可能的实现方式，在第六种可能的实现方式中，该方法还包括：根据所述存储系统的运行时间以及所述参考时钟的时间精度误差来确定所述参考时钟的时间精度累计误差。

[0021] 第三方面，本发明实施例提供了一种非短暂性的机器可读介盾，用于存储可执行上述方法的计算机指令。

[0022] 本发明实施例提供的存储系统，包括了在存储系统运行过程中无法被修改的参考时钟，并通过将实时时钟与参考时钟的时间差与参考时钟的时间精度累计误差进行比较来判断是否执行对存储于存储系统中的数据的变更操作 , 从而能够防止因实时时钟被恶意修改而导致的存储系统中存储的数据被恶意变更，提高了存储的数据的安全性。附图说明

[0023] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作筒单的介绍。

[0024] 图 1是本发明实施例提供的一种存储系统的应用场景示意图；

[0025] 图 1本发明实施例提供的一种的存储系统中的控制器的结构示意图；

[0026] 图 3为本发明实施例提供的一种数据操作请求处理方法的流程图；

[0027] 图 4 为本发明实施例提供的一种存储系统的系统时钟维护方法的流程图。具体实施方式

[0028] 为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。

[0029] 图 1是本发明实施例提供的一种存储系统的应用场景示意图。如图 1 所示，在该应用场景下，应用服务器 110通过连接设备与存储系统 100进行通信。应用服务器 110中可以安装有操作系统以及其他应用程序。应用服务器 110 可以通过连接设备向存储系统 100发送数据操作请求，用于对存储系统 100中的数据进行修改或读取等操作。其中，应用服务器 110可以包括数据库服务器、邮件服务器等应用服务器。连接设备可以包括当前技术已知的存储系统和应用服务器之间的任何接口，如光纤交换机、以太网交换机或者其他现有的交换机。根据这种连接方式，应用服务器 110可以通过光纤通道、以太网或其他通信方式与存储系统 100通信。应用服务器 110可以有多个。

[0030] 时间服务器 120是一种网络服务器。时间服务器 120从原子钟、 GPS 时钟或另一时间服务器等获得时间信息，并将获得的时间信息通过网络 ( Internet )传递给网络设备，例如存储系统 100 , 从而能够为用户提供精确、标准、安全和可靠的时间服务。

[0031] 存储系统 100为支持 "一次写入多次读取" ( Write Once Read Many, WORM ) 的功能的存储系统。存储系统 100包括控制器 105以及磁盘 108。其中，控制器 105用于根据应用服务器 110发送的操作请求对磁盘 108中存储的数据进行操作。磁盘 108用于存储数据。可以理解的是，磁盘 108可以为一个，也可以有多个。需要说明的是，磁盘 108仅仅是本发明实施例中所示的存储设备的一种示例，除了磁盘之外，存储设备还可以包括廉价磁盘阵列（Redundant Arrays of Inexpensive Disks, RAID )、磁盘条 ( Just a Bunch Of Disks, JBOD )、直接存取存储器（Direct Access Storage Device, DASD ) 的一个或多个互连的磁盘驱动器，其中，直接存取存储器可以包括诸如磁带库、一个或多个存储单元的磁带存储设备。在本发明实施例中不对存储系统 100中的存储设备进行限定。

[0032] 存储系统 100将从时间服务器 120获得的网络时间作为系统时钟。在存储系统 100的运行过程中，存储系统 100通过时间同步协议使存储系统 100 的系统时钟与时间服务器 120保持时间同步，并将系统时钟作为磁盘 108中存储的数据的存储期限的判断依据。时间同步协议包括但不限于网络时间协议 (Network Time Protocol, NTP)、筒单网络时间协议 ( Simple Network Time Protocol, SNTP )以及精确时间协议 (Precision Timing Protocol, PTP)。其中， PTP 是 IEEE 1588 标准的筒称， IEEE1588标准的全称是 "网络测量和控制系统的精密时钟同步协议标准（ IEEE 1588 Precision Clock Synchronization Protocol )"。

[0033] 图 2为本发明实施例提供的一种存储系统的控制器结构示意图。如图 2所示，控制器 105可以包括：处理器 200、存储器 205、南桥芯片（ South Bridge ) 210、实时时钟（ Real Time Clock, RTC ) 215、单板管理控制器（ Board Manage Controller, BMC ) 220、参考时钟 225、电源 230以及电池 235。其中，处理器 200与存储器 205之间通过内存总线进行通信。处理器 200与南桥芯片 210通过通信总线通信，其中，通信总线可以包括高速外围组件互联（Peripheral Component Interconnect Express, PCI-E ) 总线或直接媒体接口（Direct Media Interface, DMI ) 总线等通信总线。

[0034] 存储器 205 ,用于存放程序 2051。存储器 205可能包含高速 RAM存储器，也可能还包括非易失性存储器（non-volatile memory ), 例如至少一个磁盘存储器。可以理解的是,存储器 205可以为随机存储器（Random-Access Memory, RAM) , 磁碟、硬盘、光盘、固态硬盘（ Solid State Disk, SSD )或者非易失性存储器等各种可以存储程序代码的非短暂性的（ non-transitory )机器可读介盾 , 在此不做限定。

[0035] 程序 2051可以包括程序代码 , 所述程序代码包括计算机操作指令。 [0036] 南桥芯片 210用于负责处理器 200与外部设备之间的通信，以实现处理器对外设部件互连标准 (Peripheral Component Interconnect, PCI)接口设备、通用串行总线（ Universal Serial Bus, USB )接口设备、实时时钟（ Real Time Clock, RTC )等设备的控制。此外，南桥芯片 210还可以通过串行 ATA ( Serial Advanced Technology Attachment, SATA )接口连接磁盘 108。南桥芯片包括但不限于集成南桥，例如平台控制中枢（Platform Controller Hub, PCH)。

[0037] 实时时钟 215可以是南桥芯片 210中内嵌的一个实时时钟功能电路，是存储系统的系统时钟的时钟源。在实际应用中，在存储系统 100初始上电时，可以通过时间同步协议将实时时钟 215的初始时间与时间服务器 120的时间保持一致。例如，在 tl时刻，处理器 200可以根据 NTP协议向时间服务器 120 发送同步报文，该同步报文于 t2时刻到达时间服务器 120, 时间服务器 120于 t3时刻向处理器 200返回所述同步报文的响应报文，该响应报文中携带有 t2时刻和 t3时刻的时间信息，该响应 ·ί艮文于 t4时刻到达处理器 200。处理器 200可以计算 [(_t2-tl)+(t3-t4)]/2的值，将计算获得的值作为实时时钟 215与时间服务器 120的时间差 A t。处理器 200可以通过读取实时时钟 215的时间寄存器的值获得实时时钟 215的当前时间 T1 , 并将 Tl- A t的值写入实时时钟 215的时间寄存器，作为实时时钟 215的初始时间。通过上述方式可以将实时时钟 215的初始时间与时间服务器 120的时间保持一致。在存储系统运行过程中，实时时钟 215也可以通过时间同步协议与时间服务器 120保持时间同步，从而能够为存储系统提供准确的系统时间。

[0038] 由于实时时钟 215集成在南桥芯片 210中，实时时钟 215的读写 10 地址是对任何人公开的，因此，处理器 200可以通过 inb 或 outb指令对 RTC 215 的时钟寄存器进行访问。例如，处理器 200可以通过 inb指令读取 RTC 215的时钟寄存器的值，获得 RTC 215的当前时间，并将 RTC 215的时间作为系统时钟的当前时间。处理器 200还可以通过 outb指令修改 RTC 215的时钟寄存器的值，以修改 RTC 215的时间，从而达到修改系统时钟的时间的目的。可以理解的是，实时时钟 215的时间是以 XXXX年 XX月 XX日 XX时 XX分 XX秒的格式呈现的。

[0039] 由于处理器 200可以通过 outb指令修改 RTC 215的时钟寄存器的值，且 RTC215在存储系统运行过程中通常与时间服务器 120的时间保持同步，因此入侵者可以通过修改 RTC 215的时钟寄存器的值修改 RTC 215的时间，达到修改系统时间的目的。入侵者还可以通过修改存储系统 100与时间服务器 120之间的网络连接，将存储系统 100与虚假的时间服务器连接，从而通过时间同步协议使得 RTC 215的时间与虚假的时间服务器的时间保持同步，以达到修改系统时间的目的。因此在存储系统 100运行的过程中， RTC 215的时间可能被恶意修改。

[0040] 单板管理控制器 220, 用于对控制器单板的管理，包括对控制器中的电源管理、参数配置以及维护等。单板管理控制器 220可以是一颗嵌入式处理器。单板管理控制器 220可以通过串口或先入先出（ First In First Out, FIFO ) 接口与南桥芯片 210进行通信。

[0041] 参考时钟 225 , 用于对所述存储系统的系统时间进行校验。参考时钟 225 可以是一颗独立的具有实时时钟功能的芯片或者一个独立的实时时钟功能电路模块。在本发明实施例中，在存储系统 100运行过程中，参考时钟 225无法被修改。参考时钟 225的时间也是以 XXXX年 XX月 XX日 XX时 XX分 XX秒的格式呈现的。参考时钟 225的时间精度比实时时钟 215的时间精度高，通常参考时钟 225的时间精度为几个 ppm,其中， lppm等于百万分之一（即 lppm=l * l()-⁶ )。通常，参考时钟 225的时间精度误差比较小，例如，参考时钟 225的时间精度为 ± 2ppm, 根据这种方式，参考时钟 225运行 1秒，存在小于 2ppm的误差。可以理解的是，实际应用中，由于参考时钟 225的时间精度要求比较高，因此，参考时钟 225的时间精度误差可以不超过 ± 5 ppm。根据设定的参考时钟 225的时间精度误差可以获得所述存储系统中参考时钟 225的时间精度累计误差。例如，若参考时钟 225的时间精度误差为 5ppm,则以一年为 365天为例进行计算，参考时钟 225 在一年内的时间精度误差的总和大约为： 60*60*24* 365*5* 1Ο-⁶=157· 68秒。根据这种方式，参考时钟 225运行 365天，允许的误差的最大值为 157. 68秒。

[0042] 参考时钟 225提供有一个外部访问接口，该外部访问接口可以是集成电路（ Inter-Integrated Circuit,I2C )接口。单板管理控制器 220通过参考时钟 225 提供的外部访问接口对参考时钟 225进行控制，例如，单板管理控制器 220可以通过参考时钟 225提供的 I 2C接口读取或修改参考时钟 225的时间寄存器的值，其中 I 2C接口可以为一种串行通信总线接口。在本发明实施例中，由于参考时钟 225并没有集成在南桥芯片 210中，因此，处理器 200无法通过 inb或 outb指令对参考时钟 225的时钟寄存器进行访问。处理器 200可以通过南桥芯片 210与单板管理控制器 220之间的通信通道获得参考时钟 225的时间寄存器的值，以获取参考时钟 225的时间。

[0043] 在本发明实施例中，当存储系统 100初次上电时，管理员可以通过单板管理控制器 220的管理接口启动参考时钟 225的时间管理程序，通过单板管理控制器 220与参考时钟 225之间的 I 2C接口，将参考时钟 225的初始时间设定为与实时时钟 215的时间一致。其中，参考时钟 225的时间管理程序可以存储在单板管理控制器 220的程序存储器中。在将参考时钟 225的初始时间设定后，删除参考时钟 225的时间管理程序，使参考时钟 225的时间无法被更改，以便参考时钟 225能够为存储系统 100提供一个准确的校验时间。

[0044] 电源 230 , 用于给控制器 105供电，以实现对实时时钟 115和参考时钟 225供电，使实时时钟 215和参考时钟 225能够正常计时。

[0045] 电池 235 , 用于当存储系统 100出现故障，电源 230无法供电时，为实时时钟 215和参考时钟 225提供电源。电池 235可以是锂电池。需要说明的是，电池 235仅仅是备电设备的一种示例，实际应用中，备电设备还可以包括超级电容等供电器件。

[0046] 处理器 200 , 可能是一个中央处理器 CPU , 或者是特定集成电路 ( Application Specific Integrated Circuit, ASIC ), 或者是被配置成实施本发明实施例的一个或多个集成电路。在本发明实施例中，处理器 200用于执行程序，具体可以执行下述图 3至图 5所示的方法实施例中的相关步骤。

[0047] 图 3为本发明实施例提供的一种数据操作请求处理方法的流程图。该方法可以应用于图 1中所示的存储系统 100中，其中，存储系统 100为支持 "一次写入多次读取" ( Write Once Read Many, WORM )的功能的存储系统。该方法可以由图 1或图 2中所示的存储系统 100的控制器 105来执行，具体的可以由控制器 105中的处理器 200来执行。下面将结合图 1及图 2对图 3中所示的方法进行描述。如图 3所示，该方法可以包括：

[0048] 在步骤 300中，存储系统 100接收应用服务器 110发送的数据操作请求，所述数据操作请求用于对存储于存储系统 100中的数据进行变更。其中，本发明实施例中描述的存储于存储系统 100 中的数据是指已经写入存储系统 100 , 并在设定的保护期限内能只能进行读取操作的数据。换一种表达方式，本发明实施例中描述的数据是指在设定的保护期限内具有只读属性的数据。本发明实施例中描述的对数据的变更包括对数据的修改、删除或增加等除了读取操作之外的能够使已存储的数据内容产生变化的操作。

[0049] 在步骤 310中，存储系统 100获取实时时钟 215与参考时钟 225的时间差。其中，所述实时时钟 215与时间服务器 120同步，所述参考时钟 225的时间在存储系统 100运行过程中无法被修改。

[0050] 在存储系统 100接收到应用服务器 110发送的数据操作请求后，为了确定实时时钟 215的时间没有被恶意修改，存储系统 100可以获取实时时钟 215 与参考时钟 225的时间差，通过参考时钟 225对实时时钟 215的时间进行校验。具体的，存储系统 100的处理器 200可以通过图 4所述的方法流程获得获取实时时钟 215与参考时钟 225的时间差。如图 4所示，该方法包括：

[0051] 在步骤 400中，存储系统 100读取实时时钟 215的时钟寄存器的值，以获得所述实时时钟 215的时间。具体的，处理器 200可以通过 inb指令读取 RTC 215的时钟寄存器的值，获得 RTC 215的当前时间。例如 RTC215的时间可以为： 2015年 01月 01 日 23时 00分 00秒。

[0052] 在步骤 405中，存储系统 100通过 BMC 220与南桥芯片 210之间的通信通道获得参考时钟 225的时间。由于参考时钟 225由 BMC 220进行管理， BMC 220可以通过参考时钟 225与 BMC 220之间的 I 2C接口读取参考时钟 225的时间寄存器的值，以获得参考时钟 225的当前时间。从而，处理器 200可以通过 BMC 220与南桥芯片 210之间的通信通道从 BMC 220处获得参考时钟 225的当前时间。例如，处理器 200通过通信通道向 BMC220发起读取参考时钟 225时间的请求， BMC 220根据处理器 200的请求读取参考时钟 225的寄存器的值，再通过该通信通道将参考时钟 225的寄存器的值返回给处理器 200 , 从而处理器 200能够知道参考时钟 225的当前时间。参考时钟 225的当前时间可以为： 2013 年 01月 01 日 01时 00分 00秒。

[0053] 在步骤 410中，存储系统 100根据实时时钟 21 5的时间以及参考时钟 225的时间获得所述时间差。具体的，处理器 200可以才居实时时钟 215的时间与参考时钟 225的时间的差值获得实时时钟 215与参考时钟 225的时间差。例如，在上述示例中，实时时钟 215与参考时钟 225的时间差可以为： 201 5年 01月 01 日 23时 00分 00秒与 201 3年 01月 01 日 01时 00分 00秒的差值，根据这种方式，实时时钟 215与参考时钟 225的时间差为 17542小时。

[0054] 在步骤 310中，存储系统 100判断所述时间差是否大于参考时钟 225 的时间精度累计误差。在一种实施方式中，参考时钟 225的时间精度累计误差可以预先设定，具体的，可以预先根据存储系统 100的生命周期与参考时钟 225 的时间精度误差来确定参考时钟 225的时间精度累计误差。例如，若存储系统 100的生命周期为 10年，若如前示例，参考时钟 225的时间精度误差为 ± 5微秒，参考时钟 225运行一年的时间精度误差为 157. 68秒，则参考时钟 225的时间精度累计误差为： 10年 * 157. 68秒 /年 =1576. 8秒。

[0055] 在另一种实施方式中，参考时钟 225的时间精度累计误差还可以根据存储系统 100的运行时间以及参考时钟 225的时间精度误差来确定。具体的，可以记录存储系统 100初始上电运行时参考时钟 225的初始时间，并通过计算收到数据操作请求时参考时钟 225的当前时间与参考时钟 225的初始时间的差值来获得存储系统 100的运行时间，进而能够根据存储系统 100的运行时间与参考时钟 225的时间精度误差获得参考时钟 225的时间精度累计误差。例如，若存储系统 100当前运行了 5年，且参考时钟 225运行一年的时间精度误差为 157. 68秒，则参考时钟 225的时间精度累计误差为： 5年 * 157. 68秒 /年 =788. 4 秒。在本发明实施例中不对参考时钟 225的时间精度累计误差的获得方式进行限定。

[0056] 在获得实时时钟 215与参考时钟 225的时间差后，处理器 200可以判断将该时间差与参考时钟 225的时间精度累计误差进行比较，判断所述时间差是否大于参考时钟 225的时间精度累计误差。例如，如前述示例，实时时钟 215 与参考时钟 225的时间差为 17542小时，参考时钟 225的时间精度累计误差为 1576. 8秒，则实时时钟 21 5与参考时钟 225的时间差大于参考时钟 225的时间精度累计误差。如果所述时间差大于参考时钟 225的时间精度累计误差，则该方法进入步骤 315 ,如果所述时间差不大于参考时钟 225的时间精度累计误差，则该方法进入步骤 320。

[0057] 在步骤 315中，存储系统 100拒绝执行所述数据操作请求。由于如前所述，在存储系统 100运行过程中， RTC 215可能被恶意修改，而参考时钟 225 在存储系统 100运行过程中无法被修改，参考时钟 225在存储系统 100运行过程中也不与时间服务器 120保持同步。因此，参考时钟 225的时间不存在被恶意修改的可能，参考时钟 225的时间比实时时钟 215的时间更可信。在本发明实施例中，若在步骤 310中，处理器 200判断实时时钟 215与参考时钟 225的时间差大于参考时钟 225的时间精度累计误差，则说明实时时钟 215已经被恶意修改。为了保护存储系统 100中存储的数据的安全性，存储系统 100可以拒绝执行所述数据操作请求，拒绝根据接收的数据操作请求对存储与存储系统 100中的数据进行变更。

[0058] 可以理解的是，若所述实时时钟 215和参考时钟 225的时间差大于所述参考时钟 225的时间精度累计误差时，存储系统 100在拒绝执行所述数据操作请求的同时，还可以发出告警，并将实时时钟 215的时间同步为参考时钟 225 的时间，从而达到修正存储系统 100的系统时钟的目的。

[0059] 在步骤 320中，存储系统 100判断实时时钟 215的当前时间是否大于所述数据操作请求指向的数据的保护期限。例如，若为了满足数据存储法规的要求，数据操作请求要变更的数据的保护期限为 2015年 01月 01 日 00时 00 分 00秒，也就是说，该数据需要到 2015年 01月 01 日 00时 00分 00秒后才能被修改或删除。若在步骤 310中，存储系统 100判断实时时钟 215与参考时钟 225的时间差不大于参考时钟 225的时间精度累计误差，则存储系统 100需要进一步判断实时时钟 215的当前时间是否大于所述数据操作请求指向的数据的保护期限，如果实时时钟 215的当前时间不大于所述数据操作请求指向的数据的保护期限，则说明该数据操作请求指向的数据还处于保护期限内，不能对该数据进行修改或删除操作，则该方法进入步骤 315 , 存储系统 100拒绝执行所述数据操作请求。如果实时时钟 215的当前时间大于所述数据操作请求指向的数据的保护期限，则说明该数据操作请求指向的数据已经过了保护期限，可以对该数据进行修改或删除等变更操作。

[0060] 例如：若实时时钟 215的当前时间为 2013年 01月 01 日 00时 00分

00秒，数据操作请求要变更的数据的保护期限为 2015年 01月 01 日 00时 00 分 00秒，则说明该数据还处于保护期限内，则进入步骤 315 , 存储系统 100拒绝执行所述数据操作请求。若实时时钟 215的当前时间为 201 3年 01月 01 日 00时 00分 00秒，数据操作请求要变更的数据的保护期限为 2012年 01月 01 日 00时 00分 00秒，则说明该数据已经过了保护期限，该方法进入步骤 325。

[0061] 在步骤 325中，存储系统 100执行所述数据操作请求。例如，存储系统 100可以根据所述数据操作请求对存储的数据进行删除或修改等能够改变已存储的数据内容的变更操作。

[0062] 本发明实施例所述的数据操作请求的处理方法中，当存储系统 100 接收到应用服务器发送的数据操作请求时，存储系统 100通过参考时钟 225的时间对实时时钟 215的时间进行校-验 , 若实时时钟 215与参考时钟 225的时间差大于参考时钟 225的时间精度累计误差，则拒绝执行所述数据操作请求。由于参考时钟 225在存储系统运行过程中无法被修改，因此，参考时钟 225的时间比实时时钟 215的时间更为准确。本发明实施例通过将实时时钟 215与参考时钟 225的时间差与参考时钟 225的时间精度累计误差进行比较来判断是否执行对数据的变更操作 , 从而能够防止因实时时钟 215被恶意修改而导致的存储系统中存储的数据被恶意变更，提高了存储的数据的安全性。

[0063] 在另一方面，为了使存储系统 100有一个更可靠的系统时钟，本发明实施例还提供了一种对存储系统 100的系统时钟进行维护的方法，该方法依然可以由图 1或图 1中所示的存储系统 100中的控制器 105来执行。下面结合图 1及图 2对图 4中的方法进行描述，如图 4所示，该方法包括：

[0064] 在步骤 405中，控制器 105监测存储系统 100的运行时间。具体的，可以在存储系统 100初始上电时开始监控存储系统 100的运行时间，其中，存储系统 100的系统时钟的初始时间为实时时钟 215的初始时间，实时时钟 215 的初始时间为存储系统 100初始上电时同步的时间服务器 120的时间。换一种表达方式，存储系统 100的系统时钟的初始时间与存储系统 100初始上电时时间服务器 120的时间相同。本领域人员可以知道，在存储系统 100的运行过程中，实时时钟 215会与时间服务器 120保持同步。

[0065] 在步骤 410中，控制器 105可以判断存储系统 100的运行时间是否达到设置的时间。可以理解的是，可以设置一个固定时间周期，例如 1个月或 6 个月等等，当然，设置的时间也可以不是一个固定的时间周期，例如可以设置为运行到 XX年 XX月 XX日。在此不对设置的时间做限定。如果运行时间达到设置时间，则该方法进入步骤 415 , 否则返回步骤 405 , 继续监测存储系统 100 的运行时间。

[0066] 在步骤 415中，控制器 105获取实时时钟 215与参考时钟 225的时间差，其中，所述实时时钟 215与时间服务器 120同步，所述参考时钟 225在系统运行过程中无法被修改。步骤 415与图 3中步骤 305类似，具体可以参见前述对图 3中步骤 305的描述。

[0067] 在步骤 420 中，控制器 105判断所述时间差是否大于参考时钟 225 的时间精度累计误差。若所述时间差大于参考时钟 225的时间精度累计误差，该方法进入步骤 425 , 否则，返回执行步骤 405 , 继续监测存储系统 100的运行时间。步骤 420与图 3中步骤 310类似，具体可以参见前述对图 3中步骤 310 的描述。

[0068] 在步骤 425中，控制器 105发出告警，并将实时时钟 215的时间同步为参考时钟 225的时间。由于参考时钟 225的时间精度通常比实时时钟 215的时间精度高，且在系统运行的过程中参考时钟 225无法被修改，因此参考时钟 225的时间更加准确。为了给存储系统 100提供一个更准确的系统时间，存储系统 100可以在系统的运行时间达到设置的时间时，利用参考时钟 225对实时时钟 215进行校正。

[0069] 通过图 4所示的系统时钟的维护方法，本发明实施例提供的存储系统 100的系统时钟不仅与时间服务器 120保持同步，同时还利用参考时钟 225对实时时钟 215进行校正，从而使存储系统 100有一个更加准确的系统时间。

[0070] 本发明实施例中，对参考时钟和系统时钟的具体形式并不进行限定。在另一种情形下，例如，在存储系统 100中包含多个嵌入式 CPU的情况下，还可以在多个嵌入式 CPU下增加实时时钟，根据这种方式，一个存储系统中可以有多个实时时钟。在这种情形下，在第一种方式中，可以通过选举的方式，确定一个实时时钟为该存储系统的系统时钟的时钟源。当处理数据操作请求或需要根据校正系统时钟时，可以根据将多个实时时钟的时间进行比较，若所述多个实时时钟中半数以上的时钟的时间相同，则将该半数以上实时时钟的时间作为参考时钟。在第二种方式中，还可以通过将存储系统中的多个实时时钟的时间进行比较，若所述多个实时时钟中半数以上的时钟的时间相同，则将该半数以上实时时钟的时间作为该存储系统的系统时间，以为存储系统提供一个可靠、准确的系统时间。

[0071] 可以理解的是，本发明实施例同样适用于包含文件系统的存储系统中，换一种表达方式，本发明实施例所述的数据还可以以文件的形式存储于存储系统中。无论是针对存储系统中的数据块的操作还是对存储系统中的文件的操作 , 均可适用本发明实施例所述的方法。

[0072] 需要说明的是，本申请所提供的实施例仅仅是示意性的。所属领域的技术人员可以清楚地了解到，为了描述的方便和筒洁，在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。在本发明实施例、权利要求以及附图中揭示的特征可以独立存在也可以组合存在。在本发明实施例中以硬件形式描述的特征可以通过软件来执行，反之亦然。在此不做限定。

Claims

权利要求

1、一种存储系统，所述存储系统为具有 "一次写入多次读取" ( Write Once Read Many, WORM ) 的功能的存储系统，其特征在于，包括：

存储设备，用于存储数据；

控制器，包括：

实时时钟，用于为所述存储系统提供系统时间；

参考时钟，用于对所述存储系统的系统时间进行校验，所述参考时钟在系统运行过程中无法被修改；

处理器，用于接收应用服务器发送的数据操作请求，所述数据操作请求用于对存储于所述存储设备中的数据进行变更；

获取所述实时时钟与所述参考时钟的时间差；

判断所述时间差是否大于所述参考时钟的时间精度累计误差；

若所述时间差大于所述时间精度累计误差，则拒绝执行所述数据操作请求。

2、根据权利要求 1所述的存储系统，其特征在于，还包括：

单板管理控制器（ Board Manage Controller, BMC ), 用于读取所述参考时钟的时间寄存器的值，获得所述参考时钟的时间；

所述处理器具体用于：

读取实时时钟的时间寄存器的值，以获得所述实时时钟的时间；通过所述 BMC与南桥芯片之间的通信通道获得所述参考时钟的时间；根据所述实时时钟的时间以及所述参考时钟的时间获得所述时间差。

3、根据权利要求 1-2任意一项所述的存储系统，其特征在于，所述处理器还用于：

若所述时间差不大于所述时间精度累计误差，则判断所述实时时钟的当前时间是否大于所述数据操作请求指向的数据的保护时间；

若所述实时时钟的当前时间大于所述保护时间，则执行所述数据操作请求。

4、根据权利要求 3所述的存储系统，其特征在于，所述处理器还用于：若所述实时时钟的当前时间不大于所述保护时间，则拒绝执行所述数据操作请求。

5、根据权利要求 1-4任意一项所述的存储系统，其特征在于，所述处理器还用于：

按照设定的时间间隔判断所述时间差是否大于所述参考时钟的时间精度累计误差；

若所述时间差大于所述时间精度累计误差，则将所述实时时钟的时间与所述参考时钟的时间保持同步。

6、根据权利要求 1-5任意一项所述的存储系统，其特征在于，所述处理器还用于根据所述存储系统的生命周期以及所述参考时钟的时间精度误差来确定所述参考时钟的时间精度累计误差。

7、根据权利要求 1-5任意一项所述的存储系统，其特征在于，所述处理器还用于根据所述存储系统的运行时间以及所述参考时钟的时间精度误差来确定所述参考时钟的时间精度累计误差。

8、根据权利要求 1-7任意一项所述的存储系统，其特征在于，还包括：备电设备，用于在所述存储系统掉电时，为所述实时时钟以及所述参考时钟提供电源。

9、一种数据操作请求处理方法，所述方法应用于具有 "一次写入多次读取" ( Write Once Read Many, WORM ) 的功能的存储系统中，其特征在于，所述方法包括：

接收应用服务器发送的数据操作请求，所述数据操作请求用于对存储于所述存储系统中的数据进行变更；

获取实时时钟与参考时钟的时间差，其中，所述实时时钟用于为所述存储系统提供系统时间，所述参考时钟在系统运行过程中无法被修改；

10、根据权利要求 9所述的方法，其特征在于，所述获取实时时钟与参考时钟的时间差包括：

读取所述实时时钟的时间寄存器的值以获得所述实时时钟的时间；通过南桥芯片与单板管理控制器（ Board Manage Controller, BMC )之间的通信通道获得所述参考时钟的时间；比较所述实时时钟的时间与所述参考时钟的时间，获得所述实时时钟与所述参考时钟的时间差。

11. 根据权利要求 9-10任意一项所述的方法，其特征在于，还包括：若所述时间差不大于所述时间精度累计误差，则判断所述实时时钟的当前时间是否大于所述数据操作请求指向的数据的保护时间；

12. 根据权利要求 11所述的方法，其特征在于，还包括：

若所述实时时钟的当前时间不大于所述保护时间，则拒绝执行所述数据操作请求。

13. 根据权利要求 9-12任意一项所述的方法，其特征在于，还包括：按照设定的时间间隔判断所述时间差是否大于所述参考时钟的时间精度累计误差；

14. 根据权利要求 9-13任意一项所述的方法，其特征在于，还包括：根据所述存储系统的生命周期以及所述参考时钟的时间精度误差确定所述参考时钟的时间精度累计误差。

15. 根据权利要求 9-13任意一项所述的方法，其特征在于，还包括：根据所述存储系统的运行时间以及所述参考时钟的时间精度误差来确定所述参考时钟的时间精度累计误差。