硬碟安全訪問控制方法和硬碟的製作方法
2023-12-02 19:08:46 2
硬碟安全訪問控制方法和硬碟的製作方法
【專利摘要】本發明實施例提供一種硬碟安全訪問控制方法和硬碟。本發明硬碟安全訪問控制方法,硬碟包括IP接口和控制板,所述方法包括:IP接口接收用戶的訪問數據包,並將訪問數據包發送給控制板;控制板對訪問數據包進行解包,分解出鑑權數據包;鑑權數據包包括用戶的訪問權限信息;根據存儲的安全策略檢測所述用戶的訪問權限信息,確定用戶的訪問是否合法;安全策略中記錄有用戶的訪問權限信息和硬碟內各個扇區的扇區標識的對應關係;若用戶的訪問合法,則使用安全算法對用戶的訪問數據包進行安全校驗;若安全校驗通過,則根據扇區標識允許用戶對硬碟中對應扇區內的數據進行訪問。本發明實施例提高了對硬碟訪問的安全性。
【專利說明】硬碟安全訪問控制方法和硬碟
【技術領域】
[0001] 本發明實施例涉及計算機【技術領域】,尤其涉及一種硬碟安全訪問控制方法和硬 盤。
【背景技術】
[0002] 現有的硬碟數據訪問控制技術是基於上層應用和上層設備的,例如在存儲設 備中,普通的塊設備存儲把磁碟整合為一個獨立冗餘磁碟陣列(Redundant Array of Independent Disks,簡稱RAID)組,在RAID上劃分出條帶,在條帶上劃分出邏輯單元 (Logic Unit,簡稱LUN)然後映射給上層主機,主機層通過文件系統或者其他設備系統管理 存儲數據(例如使用設備的資料庫);或者硬碟直接安裝在簡單的計算機系統中,作業系統 通過文件系統對硬碟上的數據存放和訪問方式提供管理。
[0003] 現有的分布式存儲Key-Value存儲系統是一種基於對象的存儲系統,在該 存儲系統中,把所有的數據劃分成小的對象,然後基於散列算法存放到分布式哈希表 (Distributed Hash Table,簡稱DHT)環的幾個位置,這樣用戶可以通過Key來找到對象所 對應的數據,對數據實現訪問。該存儲系統可以實現多個用戶對同一套存儲系統的同時訪 問,為了實現多個用戶的數據訪問隔離,保護數據的安全,該系統會在用戶訪問的接口上實 現一個邏輯層,該邏輯層可以讓不同用戶能夠且只能夠訪問自己所被分配的數據範圍,而 不能訪問其他用戶的數據。
[0004] 現有技術的Key-Value存儲設備的實現原理其實也是一種邏輯的隔離。邏輯設計 上具有不安全性:通過系統中的用戶管理層實現對所有用戶訪問的管理,必須確保用戶的 訪問接口是唯一併且安全的,用戶的訪問必須通過該接口鑑權以後才能獲得對相關數據的 訪問;如果系統的訪問接口不唯一,一樣可以訪問到所有用戶的數據,或者系統存在相關漏 洞後,任何數據都是可以被訪問的。
【發明內容】
[0005] 本發明實施例提供一種硬碟安全訪問控制方法和硬碟,以解決現有技術中對硬碟 訪問的安全問題。
[0006] 第一方面,本發明實施例提供一種硬碟安全訪問控制方法,所述硬碟包括IP接口 和控制板,所述方法包括:
[0007] 所述IP接口接收用戶的訪問數據包,並將所述訪問數據包發送給所述控制板;
[0008] 所述控制板對所述訪問數據包進行解包,分解出鑑權數據包;所述鑑權數據包包 括用戶的訪問權限信息;
[0009] 根據存儲的安全策略檢測所述用戶的訪問權限信息,確定所述用戶的訪問是否合 法;所述安全策略中記錄有用戶的訪問權限信息和硬碟內各個扇區的扇區標識的對應關 系;
[0010] 若所述用戶的訪問合法,則使用安全算法對所述訪問數據包進行安全校驗; toon] 若所述安全校驗通過,則根據所述扇區標識允許所述用戶對硬碟中對應扇區內的 數據進行訪問。
[0012] 結合第一方面,在第一方面的第一種實現方式中所述根據存儲的安全策略檢測所 述用戶的訪問權限信息,確定所述用戶的訪問是否合法,包括:
[0013] 將所述用戶的訪問權限信息與所述對應關係中的用戶的訪問權限信息進行匹配; 若匹配成功,則所述用戶的訪問合法;若匹配不成功,則所述用戶的訪問不合法。
[0014] 結合第一方面、或第一方面的第一種實現方式,在第一方面的第二種實現方式中, 所述方法,還包括:
[0015] 預先在所述控制板中建立所述用戶對應的計算策略,所述計算策略為對所述用戶 的訪問數據包進行安全校驗時使用安全算法的策略。
[0016] 結合第一方面的第二種實現方式,在第一方面的第三種實現方式中,所述使用安 全算法對所述用戶的訪問數據包進行安全校驗,包括:
[0017] 對於所述用戶的每次訪問,根據所述計算策略選擇不同的所述安全算法或不同的 所述安全算法的組合對所述訪問數據包進行安全校驗。
[0018] 結合第一方面、或第一方面的第一?第三任一種實現方式,在第一方面的第四種 實現方式中,當多個所述硬碟提供數據給同一個用戶時,各個所述硬碟通過相同的所述安 全算法對所述用戶的訪問數據包進行安全校驗;或,各個所述硬碟通過不同的所述安全算 法對所述用戶的訪問數據包進行安全校驗。
[0019] 第二方面,本發明實施例提供一種硬碟,包括IP接口和控制板,
[0020] 所述IP接口,用於接收用戶的訪問數據包,並將所述訪問數據包發送給所述控制 板;
[0021] 所述控制板,包括:
[0022] 解包模塊,用於對所述訪問數據包進行解包,分解出鑑權數據包;所述鑑權數據包 包括用戶的訪問權限信息;
[0023] 檢測模塊,用於根據存儲的安全策略檢測所述用戶的訪問權限信息,確定所述用 戶的訪問是否合法;所述安全策略中記錄有用戶的訪問權限信息和硬碟內各個扇區的扇區 標識的對應關係;
[0024] 安全校驗模塊,用於若所述用戶的訪問合法,則使用安全算法對所述訪問數據包 進行安全校驗;
[0025] 訪問執行模塊,用於若所述安全校驗通過,則根據所述扇區標識允許所述用戶對 硬碟中對應扇區內的數據進行訪問。
[0026] 結合第二方面,在第二方面的第一種實現方式中,所述檢測模塊,具體用於:
[0027] 將所述用戶的訪問權限信息與所述對應關係中的用戶的訪問權限信息進行匹配; 若匹配成功,則所述用戶的訪問合法;若匹配不成功,則所述用戶的訪問不合法。
[0028] 結合第二方面、或第二方面的第一種實現方式,在第二方面的第二種實現方式中, 所述控制板,還包括:
[0029] 安全策略建立模塊,用於預先在所述控制板中建立所述用戶對應的計算策略,所 述計算策略為對所述用戶的訪問數據包進行安全校驗時使用安全算法的策略。
[0030] 結合第二方面的第二種實現方式,在第二方面的第三種實現方式中,所述安全校 驗模塊,具體用於:
[0031] 對於所述用戶的每次訪問,根據所述計算策略選擇不同的所述安全算法或不同的 所述安全算法的組合對所述訪問數據包進行安全校驗。
[0032] 本發明實施例硬碟安全訪問控制方法和硬碟,所述硬碟包括IP接口和控制板,通 過所述IP接口接收用戶的訪問數據包,並將所述訪問數據包發送給所述控制板;所述控制 板對所述訪問數據包進行解包,分解出鑑權數據包;所述鑑權數據包包括用戶的訪問權限 信息;根據存儲的安全策略檢測所述用戶的訪問權限信息,確定所述用戶的訪問是否合法; 所述安全策略中記錄有用戶的訪問權限信息和硬碟內各個扇區的扇區標識的對應關係;若 所述用戶的訪問合法,則使用安全算法對所述訪問數據包進行安全校驗;若所述安全校驗 通過,則根據所述扇區標識允許所述用戶對硬碟中對應扇區內的數據進行訪問,實現了用 戶對硬碟訪問的安全控制,提高了訪問的安全性,解決了現有技術中對硬碟訪問的安全問 題。
【專利附圖】
【附圖說明】
[0033] 為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現 有技術描述中所需要使用的附圖作一簡單地介紹。
[0034] 圖1為本發明硬碟安全訪問控制方法實施例一的流程圖;
[0035] 圖2為本發明硬碟安全訪問控制方法實施例一的安全訪問控制層的邏輯架構示 意圖;
[0036] 圖3為本發明硬碟實施例一的結構示意圖;
[0037] 圖4為本發明硬碟實施例二的結構示意圖;
[0038] 圖5為本發明硬碟設備實施例的結構示意圖。
【具體實施方式】
[0039] 為使本發明實施例的目的、技術方案和優點更加清楚,下面將結合本發明實施例 中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例是 本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員 在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。
[0040] 圖1為本發明硬碟安全訪問控制方法實施例一的流程圖,圖2為本發明硬碟安全 訪問控制方法實施例一的安全訪問控制層的邏輯架構示意圖,本實施例的執行主體為智能 硬碟,例如是基於IP接口的硬碟。所述硬碟可以通過軟體和硬體實現。如圖1所示,所述 硬碟包括IP接口和控制板,本實施例的方法可以包括:
[0041] 步驟101、IP接口接收用戶的訪問數據包,並將訪問數據包發送給控制板。
[0042] 步驟102、控制板對訪問數據包進行解包,分解出鑑權數據包;鑑權數據包包括用 戶的訪問權限信息。
[0043] 具體地,例如在基於IP接口的硬碟中,硬碟通過IP接口實現對外的數據訪問,那 麼該硬碟的IP接口具備類似計算機網絡節點的連結性,硬碟本身也具備一定的計算能力, 本發明在硬碟控制板上設置安全晶片,該安全晶片對硬碟每個扇區(不同的扇區可以對應 不同的用戶)實現加密和權限驗證,基於該控制板上晶片的計算和存儲能力實現對本硬碟 所有訪問的鑑權,所有不合法的訪問都不會被執行。
[0044] 現有的對硬碟中數據的訪問控制都在上層的邏輯層次對訪問進行控制,若通過鑑 權則所有上層下發到硬碟的讀寫命令都會被執行沒有任何制約。而本發明的硬碟安全訪問 控制是在硬碟上實現的,如圖2所示,通過安全訪問控制層對用戶的訪問進行鑑權,經過鑑 權的訪問可以執行,如果不能通過,硬碟會拒絕訪問。
[0045] 在硬碟的控制板上使用計算晶片和存儲晶片實現"安全訪問控制層",計算晶片、 存儲晶片和安全晶片可以通過同一個晶片實現,也可以是幾個不同的晶片實現的,如圖2 所示,安全訪問控制層在硬碟的I/O處理路徑上,由四個主要的層次決定:安全訪問協議解 包層、扇區標識表庫層、算法庫層和訪問執行層,訪問執行層之後還包括硬碟讀寫實現層, 該層可以採用現有的硬碟對讀寫的實現方式,步驟102可以在安全訪問協議解包層上實 現,對用戶的訪問數據包進行解包,把訪問數據包中包含有用戶的訪問權限信息的鑑權數 據包分解出來,給下層使用。
[0046] 步驟103、根據存儲的安全策略檢測用戶的訪問權限信息,確定用戶的訪問是否合 法;安全策略中記錄有用戶的訪問權限信息和硬碟內各個扇區的扇區標識的對應關係。
[0047] 具體地,步驟103可以在扇區標識表庫層上實現,訪問權限信息例如包括用戶可 以訪問的扇區的扇區標識、用戶使用的安全算法等;安全策略中記錄有用戶的訪問權限信 息和硬碟內各個扇區的扇區標識的對應關係,所述對應關係如用戶1的訪問權限對應扇區 標識1,用戶2的訪問權限對應扇區標識2等,則可以根據安全策略中的對應關係檢測確定 訪問權限信息確定用戶的訪問是否合法,如訪問權限信息中的扇區標識與該訪問權限信息 與扇區標識的對應關係中的扇區標識一致,則認為是合法的,否則不合法。
[0048] 步驟104、若用戶的訪問合法,則使用安全算法對用戶的訪問數據包進行安全校 驗。
[0049] 具體地,步驟104可以在算法庫層上實現,若檢測到用戶的訪問合法,則使用安全 算法對用戶的訪問數據包進行安全校驗,可以使用現有技術中的校驗方式進行校驗。算法 庫層存儲對用戶的訪問進行安全校驗的安全算法。
[0050] 步驟105、若安全校驗通過,則根據所述扇區標識允許用戶對硬碟中對應扇區內的 數據進行訪問。
[0051] 具體地,步驟105可以在訪問執行層上實現,若安全校驗通過,則允許用戶對硬碟 中對應扇區內的數據進行訪問。
[0052] 本發明實施例實現硬碟內最終數據存放用戶的真正安全隔離。
[0053] 本發明是完全基於最終用戶,而非面對使用該硬碟的任何設備和邏輯層次,具有 設備無關性和邏輯獨立性;該架構結構簡單,容易實現。
[0054] 本實施例的硬碟包括固態硬碟以及其他存儲設備,或增加 IP接口和安全晶片的 傳統硬碟。
[0055] 本實施例,所述硬碟包括IP接口和控制板,通過所述IP接口接收用戶的訪問數據 包,並將所述訪問數據包發送給所述控制板;所述控制板對所述訪問數據包進行解包,分解 出鑑權數據包;所述鑑權數據包包括用戶的訪問權限信息;根據存儲的安全策略檢測所述 用戶的訪問權限信息,確定所述用戶的訪問是否合法;所述安全策略中記錄有用戶的訪問 權限信息和硬碟內各個扇區的扇區標識的對應關係;若所述用戶的訪問合法,則使用安全 算法對所述訪問數據包進行安全校驗;若所述安全校驗通過,則根據所述扇區標識允許所 述用戶對硬碟中對應扇區內的數據進行訪問,實現了用戶對硬碟訪問的安全控制,提高了 訪問的安全性,解決了現有技術中對硬碟訪問的安全問題。
[0056] 在本發明硬碟安全訪問控制方法實施例二中,在方法實施例一的基礎上,本實施 例的方法,根據存儲的安全策略檢測用戶的訪問權限信息,確定用戶的訪問是否合法,包 括:
[0057] 將用戶的訪問權限信息與對應關係中的用戶的訪問權限信息進行匹配;若匹配成 功,則用戶的訪問合法;若匹配不成功,則用戶的訪問不合法。
[0058] 具體地,可以在扇區標識表庫層上實現對本硬碟中所有的扇區進行標識,設置不 同的扇區標識與用戶的訪問權限的對應關係,如用戶1的訪問權限對應扇區標識1,用戶2 的訪問權限對應扇區標識2等,將所述用戶的訪問權限信息與硬碟內各個扇區的扇區標識 對應的用戶的訪問權限信息進行匹配,通過匹配可以實現不同用戶的訪問隔離。
[0059] 可選地,所述方法,還包括:
[0060] 預先在所述控制板中建立用戶對應的計算策略,計算策略為對用戶的訪問數據包 進行安全校驗時使用安全算法的策略。
[0061] 可選地,使用安全算法對用戶的訪問數據包進行安全校驗,包括:
[0062] 對於用戶的每次訪問,根據所述計算策略選擇不同的安全算法或不同的安全算法 的組合對訪問數據包進行安全校驗。
[0063] 具體地,在算法庫層中,可以建立用戶對應的計算策略,可以對存儲的多個安全算 法實現策略的管理,可以指定不同的算法管理不同的扇區,在基於磁碟的多用戶系統中,各 個用戶可以選擇特定的算法來管理自己的數據區域;還可以對一些特定的區域實現多個不 同算法的重疊校驗,以增加安全性。
[0064] 對於用戶的每次訪問,通過計算策略可以選擇不同的安全算法或不同的安全算法 的組合對訪問數據包進行安全校驗。即對於用戶的每次訪問使用的安全算法可以是"一次 性",也可以是"多次性";其中,"一次性"是指一次有效,即每次訪問使用的安全算法不同, 多次性是指多次訪問使用的安全算法相同,一次性可以實現比較高的安全度。
[0065] 可選地,當多個所述硬碟提供數據給同一個用戶時,各個所述硬碟通過相同的所 述安全算法對所述用戶的訪問數據包進行安全校驗;或,各個所述硬碟通過不同的所述安 全算法對所述用戶的訪問數據包進行安全校驗。
[0066] 具體地,當多個硬碟提供數據給同一個用戶時,多個硬碟可以只提供硬碟存儲能 力中的部分扇區去組成該用戶的私有存儲空間,那麼對每塊硬碟的數據訪問控制可以通過 同樣的安全算法實現,也可以通過不同的安全算法實現,這可以由算法庫層中的安全策略 來實現。
[0067] 本實施例,可以實現以硬碟的磁頭的訪問扇區為最小粒度的隔離和安全,也是說, 支持的用戶數量在邏輯上是可以達到一個硬碟內所有正常訪問的扇區數目為極限(一個 用戶對應一個扇區)。多個硬碟可以對等加密,實現對同一用戶使用相同的安全算法;或不 對等的加密,實現對同一用戶使用不同的算法,最終實現了用戶對硬碟訪問的安全控制,提 高了訪問的安全性,解決了現有技術中對硬碟訪問的安全問題。
[0068] 圖3為本發明硬碟實施例一的結構示意圖,如圖3所示,本實施例的硬碟30,包括 IP接口 31和控制板32,所述IP接口 31,用於接收用戶的訪問數據包,並將所述訪問數據包 發送給所述控制板;
[0069] 所述控制板32,包括:解包模塊301、檢測模塊302、安全校驗模塊303和訪問執行 模塊304,其中,解包模塊301,用於對所述訪問數據包進行解包,分解出鑑權數據包;所述 鑑權數據包包括用戶的訪問權限信息;檢測模塊302,用於根據存儲的安全策略檢測所述 用戶的訪問權限信息,確定所述用戶的訪問是否合法;所述安全策略中記錄有用戶的訪問 權限信息和硬碟內各個扇區的扇區標識的對應關係;安全校驗模塊303,用於若所述用戶 的訪問合法,則使用安全算法對所述訪問數據包進行安全校驗;訪問執行模塊304,用於若 所述安全校驗通過,則根據所述扇區標識允許所述用戶對硬碟中對應扇區內的數據進行訪 問。
[0070] 本實施例的硬碟,可以用於執行圖1所示方法實施例的技術方案,其實現原理和 技術效果類似,此處不再贅述。
[0071] 圖4為本發明硬碟實施例二的結構示意圖,如圖4所示,本實施例的硬碟在圖3所 示硬碟結構的基礎上,進一步地,檢測模塊302,具體用於:
[0072] 將所述用戶的訪問權限信息與所述對應關係中的用戶的訪問權限信息進行匹配; 若匹配成功,則所述用戶的訪問合法;若匹配不成功,則所述用戶的訪問不合法。
[0073] 可選地,所述控制板32,還包括:
[0074] 安全策略建立模塊305,用於預先在所述控制板中建立所述用戶對應的計算策略, 所述計算策略為對所述用戶的訪問數據包進行安全校驗時使用安全算法的策略。
[0075] 可選地,安全校驗模塊303,具體用於:
[0076] 對於所述用戶的每次訪問,根據所述計算策略選擇不同的所述安全算法或不同的 所述安全算法的組合對所述訪問數據包進行安全校驗。
[0077] 本實施例的硬碟,可以用於執行方法實施例二的技術方案,其實現原理和技術效 果類似,此處不再贅述。
[0078] 圖5為本發明硬碟設備實施例的結構示意圖。如圖5所示,本實施例提供的硬碟 設備50包括IP接口 501和控制板502,其中控制板502包括處理器5020和存儲器5021 ; 其中,IP接口 501用於接收用戶的訪問數據包,並將所述訪問數據包發送給所述控制板;存 儲器5021存儲數據和執行指令,當硬碟設備50運行時,處理器5020與存儲器5021之間通 信,處理器5020調用存儲器5021中的執行指令,用於執行以下操作 :
[0079] 對所述訪問數據包進行解包,分解出鑑權數據包;所述鑑權數據包包括用戶的訪 問權限信息;
[0080] 根據存儲的安全策略檢測所述用戶的訪問權限信息,確定所述用戶的訪問是否合 法;所述安全策略中記錄有用戶的訪問權限信息和硬碟內各個扇區的扇區標識的對應關 系;
[0081] 若所述用戶的訪問合法,則使用安全算法對所述訪問數據包進行安全校驗;
[0082] 若所述安全校驗通過,則根據所述扇區標識允許所述用戶對硬碟中對應扇區內的 數據進行訪問。
[0083] 可選地,所述處理器5020,還用於:
[0084] 將所述用戶的訪問權限信息與所述對應關係中的用戶的訪問權限信息進行匹配; 若匹配成功,則所述用戶的訪問合法;若匹配不成功,則所述用戶的訪問不合法。
[0085] 可選地,所述處理器5020,還用於:
[0086] 預先在所述控制板中建立所述用戶對應的計算策略,所述計算策略為對所述用戶 的訪問數據包進行安全校驗時使用安全算法的策略。
[0087] 可選地,所述處理器5020,還用於:
[0088] 對於所述用戶的每次訪問,根據所述計算策略選擇不同的所述安全算法或不同的 所述安全算法的組合對所述訪問數據包進行安全校驗。
[0089] 可選地,所述處理器5020,還用於:
[0090] 當多個所述硬碟提供數據給同一個用戶時,各個所述硬碟通過相同的所述安全算 法對所述用戶的訪問數據包進行安全校驗;或,各個所述硬碟通過不同的所述安全算法對 所述用戶的訪問數據包進行安全校驗。
[0091] 本實施例的硬碟設備,用於執行任一方法實施例所述的技術方案,其實現原理和 技術效果類似,此處不再贅述。
[0092] 在本申請所提供的幾個實施例中,應該理解到,所揭露的設備和方法,可以通過其 它的方式實現。例如,以上所描述的設備實施例僅僅是示意性的,例如,所述單元或模塊的 劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或模塊 可以結合或者可以集成到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或 討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口,設備或模塊的間接耦 合或通信連接,可以是電性,機械或其它的形式。
[0093] 所述作為分離部件說明的模塊可以是或者也可以不是物理上分開的,作為模塊顯 示的部件可以是或者也可以不是物理模塊,即可以位於一個地方,或者也可以分布到多個 網絡單元上。可以根據實際的需要選擇其中的部分或者全部模塊來實現本實施例方案的目 的。
[0094] 本領域普通技術人員可以理解:實現上述各方法實施例的全部或部分步驟可以通 過程序指令相關的硬體來完成。前述的程序可以存儲於一計算機可讀取存儲介質中。該程 序在執行時,執行包括上述各方法實施例的步驟;而前述的存儲介質包括:ROM、RAM、磁碟 或者光碟等各種可以存儲程序代碼的介質。
[〇〇95] 最後應說明的是:以上各實施例僅用以說明本發明的技術方案,而非對其限制; 儘管參照前述各實施例對本發明進行了詳細的說明,本領域的普通技術人員應當理解:其 依然可以對前述各實施例所記載的技術方案進行修改,或者對其中部分或者全部技術特徵 進行等同替換;而這些修改或者替換,並不使相應技術方案的本質脫離本發明各實施例技 術方案的範圍。
【權利要求】
1. 一種硬碟安全訪問控制方法,所述硬碟包括IP接口和控制板,其特徵在於,所述方 法包括: 所述IP接口接收用戶的訪問數據包,並將所述訪問數據包發送給所述控制板; 所述控制板對所述訪問數據包進行解包,分解出鑑權數據包;所述鑑權數據包包括用 戶的訪問權限信息; 根據存儲的安全策略檢測所述用戶的訪問權限信息,確定所述用戶的訪問是否合法; 所述安全策略中記錄有用戶的訪問權限信息和硬碟內各個扇區的扇區標識的對應關係; 若所述用戶的訪問合法,則使用安全算法對所述訪問數據包進行安全校驗; 若所述安全校驗通過,則根據所述扇區標識允許所述用戶對硬碟中對應扇區內的數據 進行訪問。
2. 根據權利要求1所述的方法,其特徵在於,所述根據存儲的安全策略檢測所述用戶 的訪問權限信息,確定所述用戶的訪問是否合法,包括: 將所述用戶的訪問權限信息與所述對應關係中的用戶的訪問權限信息進行匹配;若匹 配成功,則所述用戶的訪問合法;若匹配不成功,則所述用戶的訪問不合法。
3. 根據權利要求1-2任一項所述的方法,其特徵在於,所述方法,還包括: 預先在所述控制板中建立所述用戶對應的計算策略,所述計算策略為對所述用戶的訪 問數據包進行安全校驗時使用安全算法的策略。
4. 根據權利要求3所述的方法,其特徵在於,所述使用安全算法對所述用戶的訪問數 據包進行安全校驗,包括: 對於所述用戶的每次訪問,根據所述計算策略選擇不同的所述安全算法或不同的所述 安全算法的組合對所述訪問數據包進行安全校驗。
5. 根據權利要求1-4任一項所述的方法,其特徵在於,當多個所述硬碟提供數據給同 一個用戶時,各個所述硬碟通過相同的所述安全算法對所述用戶的訪問數據包進行安全校 驗;或,各個所述硬碟通過不同的所述安全算法對所述用戶的訪問數據包進行安全校驗。
6. -種硬碟,所述硬碟包括IP接口和控制板,其特徵在於, 所述IP接口,用於接收用戶的訪問數據包,並將所述訪問數據包發送給所述控制板; 所述控制板,包括: 解包模塊,用於對所述訪問數據包進行解包,分解出鑑權數據包;所述鑑權數據包包括 用戶的訪問權限信息; 檢測模塊,用於根據存儲的安全策略檢測所述用戶的訪問權限信息,確定所述用戶的 訪問是否合法;所述安全策略中記錄有用戶的訪問權限信息和硬碟內各個扇區的扇區標識 的對應關係; 安全校驗模塊,用於若所述用戶的訪問合法,則使用安全算法對所述訪問數據包進行 安全校驗; 訪問執行模塊,用於若所述安全校驗通過,則根據所述扇區標識允許所述用戶對硬碟 中對應扇區內的數據進行訪問。
7. 根據權利要求6所述的硬碟,其特徵在於,所述檢測模塊,具體用於: 將所述用戶的訪問權限信息與所述對應關係中的用戶的訪問權限信息進行匹配;若匹 配成功,則所述用戶的訪問合法;若匹配不成功,則所述用戶的訪問不合法。
8. 根據權利要求6-7任一項所述的硬碟,其特徵在於,所述控制板,還包括: 安全策略建立模塊,用於預先在所述控制板中建立所述用戶對應的計算策略,所述計 算策略為對所述用戶的訪問數據包進行安全校驗時使用安全算法的策略。
9. 根據權利要求8所述的硬碟,其特徵在於,所述安全校驗模塊,具體用於: 對於所述用戶的每次訪問,根據所述計算策略選擇不同的所述安全算法或不同的所述 安全算法的組合對所述訪問數據包進行安全校驗。
【文檔編號】G06F21/79GK104063641SQ201410284498
【公開日】2014年9月24日 申請日期:2014年6月23日 優先權日:2014年6月23日
【發明者】李熠斌 申請人:華為技術有限公司