一種面向多數(shù)據(jù)中心的安全體系實現(xiàn)方法
【專利摘要】本發(fā)明公開了一種面向多數(shù)據(jù)中心的安全體系實現(xiàn)方法，包括如下步驟：于每個數(shù)據(jù)中心安裝一個管理服務器，多個數(shù)據(jù)中心之間的管理服務器通過管理網(wǎng)絡(luò)進行互聯(lián)；按照一定的邏輯關(guān)系將系統(tǒng)劃分為復數(shù)個問題域，每個問題域中會包含多個對象，對象與對象之間相互作用，有機結(jié)合；用戶在客戶端發(fā)起存儲對象操作請求，HTTPClient發(fā)送請求給管理服務器，管理服務器接收信息并CIM-XML解碼；進行安全機制驗證以及用戶權(quán)限驗證。本發(fā)明面向多數(shù)據(jù)中心的安全體系對整個存儲網(wǎng)絡(luò)進行統(tǒng)一的安全管理，實現(xiàn)對所有節(jié)點狀態(tài)和節(jié)點存儲對象狀態(tài)信息的安全保證，能夠保證多元化環(huán)境的數(shù)據(jù)安全，以及實現(xiàn)用戶方便管理。
【專利說明】一種面向多數(shù)據(jù)中心的安全體系實現(xiàn)方法

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于計算機【技術(shù)領(lǐng)域】，涉及一種面向多數(shù)據(jù)中心的安全體系實現(xiàn)方法。

【背景技術(shù)】
[0002] 計算機及性領(lǐng)域中，科學計算領(lǐng)域中的科學數(shù)據(jù)呈現(xiàn)爆炸式增長，未來的科學計 算將以數(shù)據(jù)為中心，海量的科學數(shù)據(jù)分布在各種自治管理域中的異構(gòu)存儲資源上，使得用 戶對這些科學數(shù)據(jù)的訪問變得非常復雜、低效，所以必須為用戶提供行之有效的方法，實現(xiàn) 方便、高效、透明、統(tǒng)一的數(shù)據(jù)訪問。
[0003] 面向多數(shù)據(jù)中心的安全體系是要對多個數(shù)據(jù)中心的數(shù)據(jù)存儲實現(xiàn)統(tǒng)一管理并且 保證數(shù)據(jù)安全。客戶數(shù)據(jù)中心現(xiàn)在以及未來均將呈現(xiàn)出存儲系統(tǒng)的多元化趨勢，多元化包 括存儲設(shè)備的多元化、存儲網(wǎng)絡(luò)的多元化、數(shù)據(jù)類型的多元化等。為了對多元化的環(huán)境進行 數(shù)據(jù)安全保證及實現(xiàn)用戶方便管理，需要對此進行研究，以提供一種方案，以保證多元化環(huán) 境的數(shù)據(jù)安全，并保證用戶方便管理。


【發(fā)明內(nèi)容】

[0004] 為解決上述問題，本發(fā)明的目的在于提供一種面向多數(shù)據(jù)中心的安全體系實現(xiàn)方 法，以保證多元化環(huán)境的數(shù)據(jù)安全，以及實現(xiàn)用戶方便管理。
[0005] 為實現(xiàn)上述目的，本發(fā)明的技術(shù)方案為： 一種面向多數(shù)據(jù)中心的安全體系實現(xiàn)方法，包括如下步驟： 于每個數(shù)據(jù)中心安裝一個管理服務器，多個數(shù)據(jù)中心之間的管理服務器通過管理網(wǎng)絡(luò) 進行互聯(lián)； 按照一定的邏輯關(guān)系將系統(tǒng)劃分為復數(shù)個問題域，每個問題域中會包含多個對象，對 象與對象之間相互作用，有機結(jié)合； 用戶在客戶端發(fā)起存儲對象操作請求，HTTP Client發(fā)送請求給管理服務器，管理服務 器接收信息并CIM-XML解碼； 進行安全機制驗證以及用戶權(quán)限驗證。
[0006] 進一步地，所述進行安全機制驗證以及用戶權(quán)限驗證具體包括有以下步驟： 面向多數(shù)據(jù)中心的安全體系的安全認證； 面向多數(shù)據(jù)中心的授權(quán)； 面向多數(shù)據(jù)中心的通信安全。
[0007] 進一步地，所述面向多數(shù)據(jù)中心的授權(quán)過程是指對用戶進行某項操作的權(quán)限授予 過程。
[0008] 進一步地，所述面向多數(shù)據(jù)中心的授權(quán)過程具體包括： a) 資源對象的授權(quán)： b) 命令授權(quán)。
[0009] 進一步地，在面向多數(shù)據(jù)中心的安全體系中存在著本地用戶和遠程用戶；其中，本 地用戶和遠程用戶采用的是服務器端對客戶端進行的認證方式。
[0010] 相較于現(xiàn)有技術(shù)，本發(fā)明一種面向多數(shù)據(jù)中心的安全體系實現(xiàn)方法面向多數(shù)據(jù)中 心的安全體系對整個存儲網(wǎng)絡(luò)進行統(tǒng)一的安全管理，實現(xiàn)對所有節(jié)點狀態(tài)和節(jié)點存儲對象 狀態(tài)信息的安全保證，能夠保證多元化環(huán)境的數(shù)據(jù)安全，以及實現(xiàn)用戶方便管理。

【專利附圖】

【附圖說明】
[0011] 圖1是本發(fā)明的流程圖示。
[0012] 圖2是本發(fā)明的數(shù)據(jù)流程圖示。
[0013] 圖3是本發(fā)明數(shù)據(jù)傳輸示意圖。
[0014] 圖4是本發(fā)明問題域劃分示意圖。

【具體實施方式】
[0015] 為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下結(jié)合附圖及實施例，對 本發(fā)明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并 不用于限定本發(fā)明。
[0016] 本發(fā)明一種面向多數(shù)據(jù)中心的安全體系實現(xiàn)方法采用面向?qū)ο蟮脑O(shè)計思想，將存 儲環(huán)境理解成是由大量的對象組成，這些對象即是多數(shù)據(jù)中心統(tǒng)一存儲管理軟件需要元 素。面向多數(shù)據(jù)中心的安全體系是對對象本身及對象與對象之間的關(guān)系的安全管理，從而 實現(xiàn)整個存儲環(huán)境的安全體系管理。
[0017] 參照圖1所示，本發(fā)明一種面向多數(shù)據(jù)中心的安全體系實現(xiàn)方法包括如下步驟： 于每個數(shù)據(jù)中心安裝一個管理服務器，多個數(shù)據(jù)中心之間的管理服務器通過管理網(wǎng)絡(luò) 進行互聯(lián)；本發(fā)明實施例中，管理服務器在整個管理體系部署中是對等的。
[0018] 按照一定的邏輯關(guān)系將系統(tǒng)劃分為復數(shù)個問題域，每個問題域中會包含多個對 象，對象與對象之間相互作用，有機結(jié)合；具體地，將系統(tǒng)按照技術(shù)、應用范圍等邏輯將系統(tǒng) 劃分為若干個問題域。存儲環(huán)境中可以將對象分為與存儲架構(gòu)相關(guān)的、與存儲介質(zhì)相關(guān)的、 與設(shè)備相關(guān)的等。
[0019] 用戶在客戶端發(fā)起存儲對象操作請求，HTTP Client發(fā)送請求給管理服務器，管理 服務器接收信息并CIM-XML解碼。
[0020] 進行安全機制驗證以及用戶權(quán)限驗證； 判斷操作節(jié)點是否為本分中心節(jié)點，如果不是，則發(fā)送操作請求到其他中心管理服務 器上；如果是，則判斷本分中心節(jié)點是否是對數(shù)據(jù)庫信息獲取；（按獲取位置分為數(shù)據(jù)庫獲 取和終端獲?。蝗绻K端獲取需要判斷要操作節(jié)點的型號，根據(jù)型號來決定和該存儲節(jié) 點的連接交互方式； 被管理對象層整理返回結(jié)果，管理服務器CM-XML層封裝結(jié)果并返回到客戶端；客戶 端接收到CIM-XML數(shù)據(jù)，解析后獲取相關(guān)數(shù)據(jù)。
[0021] 本發(fā)明實施例中，所述進行安全機制驗證以及用戶權(quán)限驗證具體包括有以下步 驟： 面向多數(shù)據(jù)中心的安全體系的安全認證； 面向多數(shù)據(jù)中心的授權(quán)； 面向多數(shù)據(jù)中心的通信安全。
[0022] 具體地，面向多數(shù)據(jù)中心的安全體系的安全認證過程如下： 認證是在允許用戶訪問系統(tǒng)之前對用戶進行的身份合法性驗證的過程，在面向多數(shù)據(jù) 中心的安全體系中存在著本地用戶和遠程用戶。本地用戶和遠程用戶采用的是服務器端對 客戶端進行的認證方式。對于客戶端，也可以對服務器端的合法性進行驗證，以此來提高數(shù) 據(jù)的安全性。
[0023] 針對本地用戶認證，其采用本地認證的方式。本地認證是基于系統(tǒng)內(nèi)連接，不經(jīng)過 網(wǎng)絡(luò)端口，建立連接時所使用的是進程間的套接字。這種連接雖然使用HTTP基本認證機 制，即使用用戶名和密碼來驗證，但此時用戶已經(jīng)登錄于系統(tǒng)之上了，因此不再需要提供密 碼，減少了密碼被盜取的危險。存儲管理服務器端接受系統(tǒng)本身在用戶登錄時已經(jīng)做過的 認證結(jié)果。因此，在本地客戶端的請求中僅包含用戶的登錄名，而不包括相應的口令，存儲 管理服務器端使用客戶端所在進程所關(guān)聯(lián)的用戶名。
[0024] 針對遠程用戶認證，需要通過網(wǎng)絡(luò)，經(jīng)HTTP或者HTTPS端口來進行訪問。服務器 端會通過用戶的請求以及本身的配置來選擇使用相應的認證方式。HTTP端口只能選擇使用 基本認證，而HTTPS端口對基本認證和證書認證方式都適用。
[0025] 而針對客戶端認證，客戶端可以通過服務器端的證書對其身份進行認證。在建立 客戶端連接時，可以包含有一個信任庫以及一個有效的認證回調(diào)函數(shù)，是客戶具有驗證服 務器端的能力。如果服務器端的證書過期或是不在客戶端的信任庫中，連接便會被中止。月艮 務器端證書過期，可以通過刪除證書再重啟的方式，這樣相應的便會生成一個新的證書。
[0026] 面向多數(shù)據(jù)中心的授權(quán)過程是指對用戶進行某項操作的權(quán)限授予過程。為了數(shù) 據(jù)安全的保障，當訪問系統(tǒng)資源對象以及運行命令的時候都會涉及到用戶權(quán)限的授予與檢 查。具體包括： a) 資源對象的授權(quán)： 存儲管理系統(tǒng)中的資源對象分為靜態(tài)資源和動態(tài)資源。靜態(tài)資源存儲在資源庫中，采 用訪問控制的原理來進行管理靜態(tài)資源。而對動態(tài)資源的訪問，首先確定客戶端用戶是否 有權(quán)限執(zhí)行它所請求的操作，服務端通過請求者、指定用戶、特權(quán)用戶、服務端所在用戶的 管理加強對系統(tǒng)資源的管理； b) 命令授權(quán)； 存儲管理系統(tǒng)中的大部分命令都是以客戶端的形式，通過與服務器端建立本地連接進 行通信。這類命令首先需通過本地認證，然后向服務器端發(fā)送請求。在這種情況下，通過對 客戶端進行一定的授權(quán)檢查，看客戶端用戶是否具有某種特殊權(quán)限，從而提高系統(tǒng)的安全 性。
[0027] 面向多數(shù)據(jù)中心的通信安全有三種方式：對稱密鑰的加密方式，公鑰加密，協(xié)商加 密方式。存儲管理系統(tǒng)中，采用基于SSL的數(shù)據(jù)傳輸方式。對于客戶端主動請求以及服務 器端的事件機制均支持這種傳輸方式。
[0028] 以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精 神和原則之內(nèi)所作的任何修改、等同替換和改進等，均應包含在本發(fā)明的保護范圍之內(nèi)。
【權(quán)利要求】
1. 一種面向多數(shù)據(jù)中心的安全體系實現(xiàn)方法，其特征在于，包括如下步驟： 于每個數(shù)據(jù)中心安裝一個管理服務器，多個數(shù)據(jù)中心之間的管理服務器通過管理網(wǎng)絡(luò) 進行互聯(lián)； 按照一定的邏輯關(guān)系將系統(tǒng)劃分為復數(shù)個問題域，每個問題域中會包含多個對象，對 象與對象之間相互作用，有機結(jié)合； 用戶在客戶端發(fā)起存儲對象操作請求，HTTP Client發(fā)送請求給管理服務器，管理服務 器接收信息并CIM-XML解碼； 進行安全機制驗證以及用戶權(quán)限驗證。
2. 如權(quán)利要求1所述面向多數(shù)據(jù)中心的安全體系實現(xiàn)方法，其特征在于，所述進行安 全機制驗證以及用戶權(quán)限驗證具體包括有以下步驟： 面向多數(shù)據(jù)中心的安全體系的安全認證； 面向多數(shù)據(jù)中心的授權(quán)； 面向多數(shù)據(jù)中心的通信安全。
3. 如權(quán)利要求2所述面向多數(shù)據(jù)中心的安全體系實現(xiàn)方法，其特征在于，所述面向多 數(shù)據(jù)中心的授權(quán)過程是指對用戶進行某項操作的權(quán)限授予過程。
4. 如權(quán)利要求3所述面向多數(shù)據(jù)中心的安全體系實現(xiàn)方法，其特征在于，所述面向多 數(shù)據(jù)中心的授權(quán)過程具體包括： a) 資源對象的授權(quán)： b) 命令授權(quán)。
5. 如權(quán)利要求4所述面向多數(shù)據(jù)中心的安全體系實現(xiàn)方法，其特征在于：在面向多數(shù) 據(jù)中心的安全體系中存在著本地用戶和遠程用戶；其中，本地用戶和遠程用戶采用的是服 務器端對客戶端進行的認證方式。
【文檔編號】H04L29/08GK104104683SQ201410349288
【公開日】2014年10月15日 申請日期:2014年7月22日 優(yōu)先權(quán)日:2014年7月22日
【發(fā)明者】劉變紅, 袁鵬飛, 吳慶民 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司