[发明专利]用于存储装置的安全访问控制的系统、方法和计算机程序产品

说明书

技术领域

本发明涉及用于访问存储装置的方法、系统和计算机程序产品。 

背景技术

现代存储系统利用小计算机系统接口(SCSI)协议用于在诸如但不限于主机计算机和存储单元那样的设备之间传送数据。 

基于块的命令(诸如但不限于SCSI块命令)被使用来访问用于存储固定尺寸的数据块的基于块的存储单元。一个或多个数据块形成逻辑单元(LUN)，而每个固定尺寸的数据块通过逻辑块地址被寻址。 

基于块的SCSI命令没有用于访问控制的内置机制。换句话说，基于块的SCSI命令协议不提供可以规定或强制对于位于某个逻辑块地址的给定的固定尺寸数据块的访问控制的机制。 

没有这样的访问控制机制在可以把多个主机连接到多个存储单元的存储域网(SAN)中导致了实际的限制。在现代的SAN中，单个(共享的)存储装置可以把多个客户端的数据存储在多个逻辑单元中，其中每个客户端应当访问由存储装置提供服务的逻辑单元的子集。 

许多现代SAN由光纤通道交换结构(Switched Fabric)实施。图1显示环境80，环境80包括多个计算机10-18、多个服务器30-34、交换结构40和多个存储装置50-56。计算机10-18经由网络20被连接到服务器30-34。网络20还经由防火墙22被连接到互联网26。 

服务器30-34中的每个服务器经由一个或多个主机总线适配器(HBA)被连接到交换结构40，而存储装置50-56经由一个或多个FC主机适配器(HA)被连接到交换结构交换机40。 

计算机10-18中的计算机可以把对于接收文件的请求发送到服 务器30-34中的服务器。该服务器可以接收请求，和作为应答，生成对于接收被存储在存储装置50-56中的存储系统内的一个或多个固定尺寸的数据块的一个或多个请求。服务器可以生成用来访问一个或多个固定尺寸的数据块的一个或多个基于块的SCSI命令。 

在这些SAN中，分区和可替换地或附加地，逻辑单元屏蔽，被使用来提供访问控制机制。这些机制是基于限制HBA与HA端口之间的连接性和通过特定的HA端口和HBA端口的逻辑单元的可访问性。结构分区包括把光纤通道交换结构划分成区域，其中如果两个节点都属于公共区域的话，结构节点可以仅仅与另一个结构节点通信。节点可通过它们的光纤通道结构地址或通过它们的世界范围端口名称(WWPN)被识别。逻辑单元屏蔽包括保持规定可以访问存储逻辑单元的主机HBA端口的访问控制列表。 

N_端口_ID虚拟化(NPIV)是用于虚拟化HBA端口从而使能根据虚拟机而不是根据物理机器进行分区和LUN屏蔽的标准。 

光纤通道安全协议(FC-SP)标准(由技术委员会T11拥有)规定用于提供在结构中的节点之间的数据交换的安全通道的标准。 

结构分区和逻辑单元屏蔽未充分地适合于现代计算环境，其中一个或多个虚拟机可以由单个主机托管，特别是在把虚拟机(或虚拟机部分)动态地分配给主机计算机的环境下。 

基于对象的存储装置(OSD)系统把数据组织为可变尺寸的对象。数据单元不是通过逻辑块地址被访问，而是通过对象识别信息被访问。ANSI T10OSD标准规定不适合于支持固定尺寸的数据单元且也不使用基于块的SCSI命令的基于对象的访问控制机制。 

大多数现有的系统以及各种现代系统不是OSD系统。它们可以通过基于块的存储访问命令被访问。所以需要提供用于访问基于块的存储装置的有效方法、系统和计算机程序产品。 

发明内容

一种用于访问存储装置的方法，该方法包括：由存储装置接收 基于块的存储访问命令和密码保护的访问控制信息；其中基于块的存储访问命令和密码保护的访问控制信息与至少一个固定尺寸的数据块以及与客户端相关联；通过使用存储装置和安全实体可访问的秘密密钥来处理密码保护的访问控制信息的至少一部分；以及响应于处理的结果来选择性地执行基于块的存储访问命令。 

方便地，基于块的存储访问命令与至少一个固定尺寸的数据块相关联，以及其中密码保护的访问控制信息与包括所述至少一个固定尺寸的数据块和附加的固定尺寸的数据块的逻辑单元相关联。 

方便地，密码保护的访问控制信息包括能力信息和验证标记；其中所述处理包括通过使用验证标记和秘密密钥来至少认证能力信息。 

方便地，该方法还包括通过使用第一链路发送秘密密钥，而通过第二链路接收基于块的存储访问命令。 

方便地，基于块的存储访问命令是基于块的小计算机系统接口(SCSI)命令。