一種數據中心及其訪問方法
2023-05-07 06:31:16
一種數據中心及其訪問方法
【專利摘要】本發明公開了一種基於網絡存儲的數據中心及其訪問方法,涉及網絡存儲【技術領域】。本發明公開的方法包括,數據中心收到用戶主機發起的訪問請求時,數據中心的管理伺服器對所述用戶主機進行身份認證;若所述用戶主機通過身份認證,則所述訪問請求所要訪問的網絡存儲設備判斷所述訪問請求是否為授權操作,若所述訪問請求為授權操作,則進行相應的處理。本發明還公開了一種數據中心。本申請技術方案提高了系統性能。
【專利說明】一種數據中心及其訪問方法
【技術領域】
[0001]本發明涉及網絡存儲【技術領域】,具體涉及一種基於網絡存儲的數據中心及其訪問方法。
【背景技術】
[0002]存儲系統是從主機中分離出來的,把獨立的存儲系統和傳統的用戶設備用網絡連接起來通過網絡進行訪問和管理,這就是網絡存儲。網絡存儲技術是基於數據存儲的一種通用網絡術語,網絡存儲結構大致分為三種:直連式存儲(DAS),網絡存儲設備(NAS)和存儲網絡(SAN)。數據中心的主要存儲單元是連接磁碟陣列的高性能iSCSI存儲節點和應用NAS技術的網絡化光碟庫,磁碟陣列具有較高的存取性能和因引入冗餘而帶來的可靠性,主要存放當前應用的數據,向廣大用戶提供「在線」的數據服務。而巨大數量的歷史數據則由刻錄設備備份在光碟片上,通過網絡化光碟庫提供數據服務。網絡化光碟庫是應用於數據中心的一種特色存儲設備,它是實現數據中心層次化存儲的關鍵。
[0003]存儲管理伺服器負責分散的存儲設備和數據的集中管理與維護,同時它也是一臺元數據伺服器,用於查詢檢索並為用戶的應用程式提供直接訪問存儲設備所需的元數據。存儲管理伺服器是數據中心一定程度上實現存儲虛擬化的關鍵,實際的數據傳輸過程對用戶而言是透明的,他們訪問數據中心就像訪問本地硬碟一樣。另外數據中心的存儲設備支持動態的「熱插拔」,即插即用,方便數據中心的擴展與維護,保障了 24X7的服務。
【發明內容】
[0004]本發明所要解決的技術問題是,提供一種數據中心及其訪問方法,以解決數據中心安全性低的問題。
[0005]為了解決上述問題,本發明公開了一種數據中心的訪問方法,包括:
[0006]數據中心收到用戶主機發起的訪問請求時,數據中心的管理伺服器對所述用戶主機進行身份認證;
[0007]若所述用戶主機通過身份認證,則所述訪問請求所要訪問的網絡存儲設備判斷所述訪問請求是否為授權操作,若所述訪問請求為授權操作,則進行相應的處理。
[0008]可選地,上述方法中,所述訪問請求所要訪問的網絡存儲設備判斷所述訪問請求是否為授權操作,若所述訪問請求為授權操作,則進行相應的處理的過程包括:
[0009]所述訪問請求所要訪問的網絡存儲設備根據所述用戶主機的文件訪問權限,判斷所述用戶主機是否具有操作權限;
[0010]若所述用戶主機具有操作權限,則所述訪問請求所要訪問的網絡存儲設備根據所述用戶主機的用戶標識信息確定用戶主機所屬的用戶階梯,按照所確定的用戶階梯的行為模式庫,得到所述訪問請求對應的用戶行為,進行相應的操作。
[0011]可選地,上述方法中,
[0012]所述用戶標識信息包括用戶標示符和/或組標示符。
[0013]可選地,上述方法中,
[0014]所述用戶階梯包括:只讀用戶、讀寫用戶、管理員和系統用戶。
[0015]可選地,所述訪問請求所要訪問的網絡存儲設備得到所述訪問請求對應的用戶行為後,該方法還包括:
[0016]識別所述用戶行為是否為「本體」;
[0017]若識別所述用戶行為為「本體」,再進行相應的操作。
[0018]本發明還公開了一種數據中心,至少包括一個管理伺服器及多個網絡存儲設備,其中,所述管理伺服器,對發起訪問請求的用戶主機進行身份認證;
[0019]所述網絡存儲設備,在對本網絡存儲設備發起訪問請求的用戶主機通過身份認證時,判斷所述訪問請求是否為授權操作,並在所述訪問請求為授權操作時,進行相應的處理。
[0020]可選地,上述數據中心中,所述網絡存儲設備包括:
[0021]文件訪問權限處理單元,根據通過身份認證的用戶主機的文件訪問權限,判斷所述用戶主機是否具有操作權限;
[0022]用戶階梯處理單元,在所述用戶主機具有操作權限時,根據所述用戶主機的用戶標識信息確定用戶主機所屬的用戶階梯,按照所確定的用戶階梯的行為模式庫,得到所述訪問請求對應的用戶行為,進行相應的操作。
[0023]可選地,上述數據中心中,所述用戶標識信息包括用戶標示符和/或組標示符。
[0024]可選地,上述數據中心中,所述用戶階梯包括:只讀用戶、讀寫用戶、管理員和系統用戶。
[0025]可選地,上述數據中心中,所述網絡存儲設備得到所述訪問請求對應的用戶行為後,還識別所述用戶行為是否為「本體」,並在識別出所述用戶行為為「本體」時,再進行相應的操作。
[0026]本申請技術方案採用基於IP的存儲技術,實現了用戶繞過伺服器直接訪問存儲設備的存儲結構,該結構相對於伺服器存儲能夠提供更高的系統性能。另外,優選方案提出的基於生物免疫思想的安全機制能有效阻止對數據中心存儲節點(即各網絡存儲設備)的異常訪問和操作,且異常檢測系統的引入對系統性能只產生很小的影響。
【專利附圖】
【附圖說明】
[0027]圖1是本發明提出的數據中心的安全機制示意圖;
[0028]圖2是附網存儲節點的多層免疫模型圖。
【具體實施方式】
[0029]為使本發明的目的、技術方案和優點更加清楚明白,下文將結合附圖對本發明技術方案作進一步詳細說明。需要說明的是,在不衝突的情況下,本申請的實施例和實施例中的特徵可以任意相互組合。
[0030]實施例1
[0031]目前,數據中心的體系結構設計的核心思想是使存儲數據不經過伺服器在用戶和存儲設備間直接傳輸。這種採用繞過伺服器的非對稱存儲結構,可以大大提高系統性能,但由於存儲設備都暴露在用戶網絡中,因此在安全性上不如「中心化」的存儲系統。
[0032]針對上述問題,本申請發明人考慮可以利用IP自身的安全機制如IPSec、SSL等對存儲數據加密傳輸以保證數據安全性。例如,在訪問授權方面,存儲設備首先進行身份認證(例如使用帳號/密碼方式或CHAP)確保主機是授權用戶,然後採用類似基於對象的存儲設備的安全機制判斷該操作是否授權。
[0033]基於上述思想,本實施例提供一種數據中心及其訪問方法,主要包括如下操作:
[0034]數據中心收到用戶主機發起的訪問請求時,數據中心的管理伺服器對該用戶主機進行身份認證;
[0035]若該用戶主機通過身份認證,則訪問請求所要訪問的網絡存儲設備判斷訪問請求是否為授權操作,若訪問請求為授權操作,則進行相應的處理。
[0036]具體地,用戶主機首先要通過管理伺服器的認證並獲得相應權限才可以訪問網絡存儲設備,如圖1所示。管理伺服器根據安全策略,確定用戶主機請求的操作是否合法,如果用戶主機的請求合法,管理伺服器將授予主機代表訪問權限的證書。用戶主機將請求和證書一併發送給對應的網絡存儲設備。如果網絡存儲設備驗證該操作確是管理伺服器授權的操作就執行,如果不是授權的操作,則拒絕執行。其中,證書的完整性與真實性可以由管理伺服器和網絡存儲設備的共享密鑰來保證。
[0037]—些優選方案,在非中心化數據存儲系統中的存儲節點(即網絡存儲設備)中引入安全機制,該安全機制起著與生物免疫系統相類似的作用,以防止網絡中數據遭到病毒的入侵以及異常行為的破壞。例如,為基於優化的Iinux系統的NAS設備建立多層免疫模型,如圖2所示。這樣,用戶認證層利用帳號和密碼的限制,可以阻擋未經過身份驗證的用戶進入系統;文件權限層對不同的用戶設置不同的文件訪問權限,可以拒絕用戶未被授權的文件操作,穿過前面兩層屏障的用戶操作附帶著用戶的必要信息(即用戶標識信息),如用戶標示符(user id, uid)、組標示符(group id, gid)等。在用戶階梯層,「用戶分階」根據用戶標識信息把他們分為只讀用戶、讀寫用戶、管理員和系統用戶等,不同的用戶處於不同的階梯上,在相應的階梯中保存有該階用戶正常的合法的行為模式庫,用戶的操作命令按照分階信息被發送到各自對應的階梯中進行處理。具體操作過程如下:
[0038]訪問請求所要訪問的網絡存儲設備根據用戶主機的文件訪問權限,判斷用戶主機具有操作權限(即確定該訪問請求通過了用戶認證層和文件權限層);
[0039]訪問請求所要訪問的網絡存儲設備根據該用戶主機的用戶標識信息確定用戶主機所屬的用戶階梯,按照所確定的用戶階梯的行為模式庫,得到訪問請求對應的用戶行為,進行相應的操作。
[0040]另外,還可以在各用戶階梯上布置異常檢測系統,主要用於分析用戶命令請求的系統調用序列,識別「本體」和「異體」,用戶行為若被識別為「本體」,則讓其穿過第三道屏障被系統執行;若識別為「異體」,則進行免疫,禁止運行。即訪問請求所要訪問的網絡存儲設備得到該訪問請求對應的用戶行為後,還需要識別用戶行為是否為「本體」,若識別用戶行為為「本體」,再進行相應的操作。
[0041]實施例2
[0042]本實施例提供一種數據中心,至少包括一個管理伺服器及多個網絡存儲設備。
[0043]其中,管理伺服器,對發起訪問請求的用戶主機進行身份認證;
[0044]網絡存儲設備,在對本網絡存儲設備發起訪問請求的用戶主機通過身份認證時,判斷訪問請求是否為授權操作,並在訪問請求為授權操作時,進行相應的處理。
[0045]具體地,上述網絡存儲設備又包括:文件訪問權限處理單元,根據通過身份認證的用戶主機的文件訪問權限,判斷用戶主機是否具有操作權限;
[0046]用戶階梯處理單元,在用戶主機具有操作權限時,根據用戶主機的用戶標識信息(例如用戶標示符和/或組標示符)確定用戶主機所屬的用戶階梯,按照所確定的用戶階梯的行為模式庫,得到訪問請求對應的用戶行為,進行相應的操作。
[0047]本實施例中,用戶階梯包括:只讀用戶、讀寫用戶、管理員和系統用戶等。
[0048]還有一些方案提出,上述網絡存儲設備得到訪問請求對應的用戶行為後,可以識別用戶行為是否為「本體」,並在識別出用戶行為為「本體」時,再進行相應的操作。
[0049]要說明的是,本實施例提供的數據中心可以按照上述實施例1的方法進行訪問,故本實施例提供的數據中心的其他詳細操作可以參見上述實施例1的相應內容,在此不再贅述。
[0050]以上所述,僅為本發明的較佳實例而已,並非用於限定本發明的保護範圍。凡在本發明的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本發明的保護範圍之內。
【權利要求】
1.一種數據中心的訪問方法,其特徵在於, 數據中心收到用戶主機發起的訪問請求時,數據中心的管理伺服器對所述用戶主機進行身份認證; 若所述用戶主機通過身份認證,則所述訪問請求所要訪問的網絡存儲設備判斷所述訪問請求是否為授權操作,若所述訪問請求為授權操作,則進行相應的處理。
2.如權利要求1所述的方法,其特徵在於,所述訪問請求所要訪問的網絡存儲設備判斷所述訪問請求是否為授權操作,若所述訪問請求為授權操作,則進行相應的處理的過程包括: 所述訪問請求所要訪問的網絡存儲設備根據所述用戶主機的文件訪問權限,判斷所述用戶主機是否具有操作權限; 若所述用戶主機具有操作權限,則所述訪問請求所要訪問的網絡存儲設備根據所述用戶主機的用戶標識信息確定用戶主機所屬的用戶階梯,按照所確定的用戶階梯的行為模式庫,得到所述訪問請求對應的用戶行為,進行相應的操作。
3.如權利要求2所述的方法,其特徵在於, 所述用戶標識信息包括用戶標示符和/或組標示符。
4.如權利要求2所述的方法,其特徵在於, 所述用戶階梯包括:只讀用戶、讀寫用戶、管理員和系統用戶。
5.如權利要求2至4任一項所述的方法,其特徵在於,所述訪問請求所要訪問的網絡存儲設備得到所述訪問請求對應的用戶行為後,該方法還包括: 識別所述用戶行為是否為「本體」; 若識別所述用戶行為為「本體」,再進行相應的操作。
6.一種數據中心,至少包括一個管理伺服器及多個網絡存儲設備,其特徵在於, 所述管理伺服器,對發起訪問請求的用戶主機進行身份認證; 所述網絡存儲設備,在對本網絡存儲設備發起訪問請求的用戶主機通過身份認證時,判斷所述訪問請求是否為授權操作,並在所述訪問請求為授權操作時,進行相應的處理。
7.如權利要求6所述的數據中心,其特徵在於,所述網絡存儲設備包括: 文件訪問權限處理單元,根據通過身份認證的用戶主機的文件訪問權限,判斷所述用戶主機是否具有操作權限; 用戶階梯處理單元,在所述用戶主機具有操作權限時,根據所述用戶主機的用戶標識信息確定用戶主機所屬的用戶階梯,按照所確定的用戶階梯的行為模式庫,得到所述訪問請求對應的用戶行為,進行相應的操作。
8.如權利要求7所述的數據中心,其特徵在於, 所述用戶標識信息包括用戶標示符和/或組標示符。
9.如權利要求7所述的數據中心,其特徵在於, 所述用戶階梯包括:只讀用戶、讀寫用戶、管理員和系統用戶。
10.如權利要求7至9任一項所述的數據中心,其特徵在於, 所述網絡存儲設備得到所述訪問請求對應的用戶行為後,還識別所述用戶行為是否為「本體」,並在識別出所述用戶行為為「本體」時,再進行相應的操作。
【文檔編號】H04L29/06GK104363229SQ201410648036
【公開日】2015年2月18日 申請日期:2014年11月14日 優先權日:2014年11月14日
【發明者】曹玲玲 申請人:浪潮(北京)電子信息產業有限公司