專利名稱：：存儲(chǔ)資源訪問控制方法、ip存儲(chǔ)系統(tǒng)、存儲(chǔ)設(shè)備和主機(jī)的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及數(shù)據(jù)存儲(chǔ)
技術(shù)領(lǐng)域：
，具體涉及存儲(chǔ)資源訪問控制方法，互聯(lián)網(wǎng)協(xié)議(IP,InternetProtocol)存儲(chǔ)系統(tǒng)，以及該IP存儲(chǔ)系統(tǒng)中的存儲(chǔ)設(shè)備禾口主機(jī)。
背景技術(shù)：
：圖1為現(xiàn)有技術(shù)中IP存儲(chǔ)系統(tǒng)結(jié)構(gòu)示意圖，如圖1所示，該IP存儲(chǔ)系統(tǒng)包括主機(jī)11和存儲(chǔ)設(shè)備12,其中，主機(jī)11和存儲(chǔ)設(shè)備12之間采用因特網(wǎng)小型計(jì)算機(jī)系統(tǒng)接口(iSCSI，InternetSmallComputerSystemInterface)協(xié)議這種基于傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP，TransferControlProtocol/InternetProtocol)的小型計(jì)算機(jī)系統(tǒng)接口(SCSI,SmallComputerSystemInterface)傳豐命協(xié)i義，傳Mr命令和凄欠據(jù)。其中，存儲(chǔ)設(shè)備12包括多個(gè)存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN，StorageAreaNetwork)資源，每個(gè)SAN資源建立在由一個(gè)或多個(gè)石更盤組成的^茲盤陣列上。在用戶使用SAN資源之前，系統(tǒng)管理員對(duì)SAN資源進(jìn)行分配，將SAN資源分配給特定發(fā)起方(Initiator)。當(dāng)用戶請(qǐng)求訪問SAN資源時(shí)，通過主機(jī)11集成的Initiator與存儲(chǔ)設(shè)備12建立連接，從而訪問存儲(chǔ)設(shè)備12中的SAN資源。為了保護(hù)SAN資源的數(shù)據(jù)安全性，不被非法用戶訪問，目前在主機(jī)ll和存儲(chǔ)設(shè)備12之間或者主機(jī)11中設(shè)置加密設(shè)備，對(duì)主機(jī)11發(fā)向存儲(chǔ)設(shè)備12之間的數(shù)據(jù)進(jìn)行加密，那么SAN資源中的數(shù)據(jù)都以加密狀態(tài)存在，從而達(dá)到保護(hù)SAN資源數(shù)據(jù)的目的。但是，對(duì)所有傳輸數(shù)據(jù)進(jìn)行加密，會(huì)降低數(shù)據(jù)存儲(chǔ)效率，大大影響到數(shù)據(jù)存儲(chǔ)性能，而且，加密設(shè)備的增加，也會(huì)提高IP存儲(chǔ)系統(tǒng)的成本。
發(fā)明內(nèi)容有鑒于此，本發(fā)明提供了一種存儲(chǔ)資源訪問控制方法，能夠在無需對(duì)存儲(chǔ)數(shù)據(jù)本身加密的情況下，保證存儲(chǔ)數(shù)據(jù)的安全性。該方法包括存儲(chǔ)設(shè)備接收主機(jī)發(fā)來的用戶請(qǐng)求訪問的存卩渚區(qū)域網(wǎng)絡(luò)SAN資源的用戶密碼；存儲(chǔ)設(shè)備判斷接收的用戶密碼是否與自身保存的與被請(qǐng)求訪問的SAN資源對(duì)應(yīng)的用戶密碼相同，如果相同，則允許所述用戶訪問一皮請(qǐng)求訪問的SAN資源；否則，拒絕所述用戶的訪問。較佳地，所述存儲(chǔ)設(shè)備接收主機(jī)發(fā)來的用戶請(qǐng)求訪問的SAN資源的用戶密碼之前，該方法進(jìn)一步包括設(shè)置用戶密碼的操作，該操作具體為存儲(chǔ)設(shè)備為用戶創(chuàng)建SAN資源后，通過自身提供的用戶接口，接收用戶為SAN資源設(shè)置的用戶密碼，并與所述創(chuàng)建的SAN資源對(duì)應(yīng)保存；或存儲(chǔ)設(shè)備接收主機(jī)發(fā)來的用戶為創(chuàng)建的SAN資源-沒置的用戶密碼，并與所述創(chuàng)建的SAN資源對(duì)應(yīng)保存。較佳地，該方法進(jìn)一步包括修改存儲(chǔ)設(shè)備保存的用戶密碼的操作，該操作具體為存儲(chǔ)設(shè)備接收密碼更改請(qǐng)求，該密碼更改請(qǐng)求包括待修改密碼的SAN資源的當(dāng)前用戶密碼和新用戶密碼，在-驗(yàn)i正接收的當(dāng)前用戶密碼正確后，將所述新用戶密碼與待修改密碼的SAN資源對(duì)應(yīng)保存。較佳地，該方法進(jìn)一步包括刪除存儲(chǔ)設(shè)備保存的用戶密碼的操作，該操作具體為存儲(chǔ)設(shè)備接收密碼更改請(qǐng)求，該密碼更改請(qǐng)求包括待刪除密碼的SAN資源的當(dāng)前用戶密碼，在驗(yàn)證接收的當(dāng)前用戶密碼正確后，將待刪除密碼的SAN資源對(duì)應(yīng)的用戶密碼刪除。其中，所述存儲(chǔ)設(shè)備接收的密碼更改請(qǐng)求為存儲(chǔ)設(shè)備通過自身為用戶提供的用戶接口接收的；或者為從所述主機(jī)接收的。較佳地，存儲(chǔ)設(shè)備接收的所述用戶密碼攜帶在所述主機(jī)對(duì)被請(qǐng)求訪問的SAN資源的登錄請(qǐng)求中；所述允許所述用戶訪問被請(qǐng)求訪問的SAN資源之后，進(jìn)一步包括根據(jù)所述登錄請(qǐng)求建立所述主機(jī)與存儲(chǔ)設(shè)備之間的連接，所述主機(jī)通過所建立的連接訪問被請(qǐng)求訪問的SAN資源。較佳地，所述用戶密碼攜帶在所述登錄請(qǐng)求的保留字段中。較佳地，存儲(chǔ)設(shè)備保存的SAN資源對(duì)應(yīng)的用戶密碼保存在所述SAN資源所在-茲盤陣列上。較佳地，所述用戶密碼保存在所述》茲盤陣列上SAN資源的元數(shù)據(jù)塊中。較佳地，所述存儲(chǔ)設(shè)備判斷接收的用戶密碼是否與自身保存的與所述被請(qǐng)求訪問的SAN資源對(duì)應(yīng)的用戶密碼相同為存儲(chǔ)設(shè)備對(duì)接收的用戶密碼加密，判斷所述加密得到的用戶密碼密文是否與自身^f呆存的與所述被請(qǐng)求訪問的SAN資源對(duì)應(yīng)的用戶密碼密文相同。本發(fā)明提供了另一種存儲(chǔ)資源訪問控制方法，能夠在無需對(duì)存儲(chǔ)數(shù)據(jù)本身加密的情況下，保證存儲(chǔ)數(shù)據(jù)的安全性該方法包括主機(jī)在用戶請(qǐng)求訪問存儲(chǔ)設(shè)備中的SAN資源時(shí)，接收用戶輸入的被請(qǐng)求訪問的SAN資源的用戶密碼，向所述存儲(chǔ)設(shè)備發(fā)送；所述用戶密碼是所述存儲(chǔ)設(shè)備判斷是否允許所述用戶訪問所述被請(qǐng)求訪問的SAN資源的依據(jù)。較佳地，向所述存儲(chǔ)設(shè)備發(fā)送的被請(qǐng)求訪問的SAN資源的用戶密碼攜帶在請(qǐng)求訪問所述SAN資源的登錄請(qǐng)求中。本發(fā)明還提供了一種IP存儲(chǔ)系統(tǒng)中的存儲(chǔ)設(shè)備，能夠在無需對(duì)存儲(chǔ)數(shù)據(jù)本身加密的情況下，保證存儲(chǔ)數(shù)據(jù)的安全性。該存儲(chǔ)設(shè)備包括認(rèn)證模塊和多個(gè)為用戶提供數(shù)據(jù)存儲(chǔ)空間的SAN資源模塊；其中，所述認(rèn)證模塊，用于在收到所在IP存儲(chǔ)系統(tǒng)中主機(jī)發(fā)來的用戶請(qǐng)求訪問的SAN資源模塊的用戶密碼時(shí)，判斷接收的用戶密碼是否與所在存儲(chǔ)設(shè)備維護(hù)的被請(qǐng)求訪問的SAN資源模塊的用戶密碼相同，如果是，則允許所述用戶訪問被請(qǐng)求訪問的SAN資源模塊；否則，拒絕所述用戶的訪問。較佳地，所述SAN資源模塊進(jìn)一步用于保存用戶為自身設(shè)置的所述用戶密碼。較佳地，所述SAN資源模塊中的用戶密碼保存在該SAN資源模塊的元數(shù)據(jù)塊中。較佳地，該存儲(chǔ)設(shè)備進(jìn)一步包括外部接口和密碼設(shè)置模塊；所述外部接口，用于將接收自外部的用戶為SAN資源模塊設(shè)置的用戶密碼發(fā)送給密碼設(shè)置模塊；所述密碼設(shè)置模塊，用于將外部接口接收的所述用戶為SAN資源模塊設(shè)置用戶密碼保存在該SAN資源模塊中。較佳地，所述密碼設(shè)置模塊進(jìn)一步用于，從所述外部接口獲取用戶提供的待修改密碼的SAN資源模塊的當(dāng)前用戶密碼和新用戶密碼，在驗(yàn)證所述當(dāng)前用戶密碼正確的情況下，更新待修改密碼的SAN資源模塊中的用戶密碼；和/或，從所述外部接口獲取用戶提供的待刪除密碼的SAN資源模塊的當(dāng)前用戶密碼，在驗(yàn)證所述當(dāng)前用戶密碼正確的情況下，從待刪除密碼的SAN資源模塊中刪除用戶密碼。其中，所述外部接口為接收用戶輸入的用戶接口，和/或?yàn)榻邮諄碜灾鞑艓譤f言息的主積d妄口。本發(fā)明還提供了一種IP存儲(chǔ)系統(tǒng)中的主機(jī)，能夠在無需對(duì)存儲(chǔ)數(shù)據(jù)本身加密的情況下，保證存儲(chǔ)數(shù)據(jù)的安全性。所述主機(jī)包括密碼接收模塊和發(fā)起方模塊；其中，所述密碼接收模塊，用于在用戶請(qǐng)求訪問所在IP存儲(chǔ)系統(tǒng)的存儲(chǔ)設(shè)備中的SAN資源時(shí)，接收用戶輸入的被請(qǐng)求訪問的SAN資源的用戶密碼；該用戶密碼用于在所述存儲(chǔ)設(shè)備驗(yàn)證是否允許所述用戶訪問被請(qǐng)求訪問的SAN資源；所述發(fā)起方模塊，用于將所述被請(qǐng)求訪問的SAN資源的用戶密碼發(fā)送出去。較佳地，所述發(fā)起方模塊進(jìn)一步用于，將所述被請(qǐng)求訪問的SAN資源的用戶密碼攜帶在請(qǐng)求訪問所述SAN資源的登錄請(qǐng)求中發(fā)送出去。較佳地，所述主機(jī)進(jìn)一步包括密碼設(shè)置模塊，用于將用戶為SAN資源設(shè)置的用戶密碼，通過所述發(fā)起方模塊發(fā)送出去。較佳地，所述密碼設(shè)置模塊進(jìn)一步用于將用戶輸入的待修改密碼的SAN資源的當(dāng)前用戶密碼和新用戶密碼，通過所述發(fā)起方模塊發(fā)送出去；和/或，將待修改密碼的SAN資源的當(dāng)前用戶密碼，通過所述發(fā)起方模塊發(fā)送出去。本發(fā)明還提供了一種IP存儲(chǔ)系統(tǒng)，能夠在無需對(duì)存儲(chǔ)數(shù)據(jù)本身加密的情況下，保證存儲(chǔ)數(shù)據(jù)的安全性。該IP存儲(chǔ)系統(tǒng)包括主機(jī)和存儲(chǔ)設(shè)備；其中，所述主機(jī)，用于在用戶請(qǐng)求訪問SAN資源時(shí)，將所述用戶提供的被請(qǐng)求訪問的SAN資源的用戶密碼發(fā)送給存儲(chǔ)設(shè)備；所述存儲(chǔ)設(shè)備，用于判斷來自主機(jī)的所述用戶密碼是否與自身保存的與所述^皮請(qǐng)求訪問的SAN資源對(duì)應(yīng)的用戶密碼相同，如果相同，則允許所述用戶訪問被請(qǐng)求訪問的SAN資源；否則，拒絕所述用戶的訪問。根據(jù)以上技術(shù)方案可見，本發(fā)明實(shí)施例為每個(gè)SAN資源設(shè)置用戶密碼，且在用戶請(qǐng)求訪問SAN資源時(shí)，根據(jù)用戶沖是供的密碼和SAN資源對(duì)應(yīng)的密碼進(jìn)行密碼驗(yàn)證，只有驗(yàn)證通過才允許用戶訪問SAN資源，從而保證SAN資源中存儲(chǔ)數(shù)據(jù)的安全性。同時(shí)，由于沒有對(duì)SAN資源中的數(shù)據(jù)本身進(jìn)行加密，因此不會(huì)影響數(shù)據(jù)存儲(chǔ)性能。用戶密碼可以保存在SAN資源中，那么，即使SAN資源所在》茲盤陣列被非法獲取，并安裝在另外一個(gè)使用本發(fā)明實(shí)施例提供的IP存儲(chǔ)系統(tǒng)中時(shí)，由于得到磁盤陣列的用戶不知道正確的用戶密碼，因此無法獲得SAN資源中的數(shù)據(jù)，保證了數(shù)據(jù)安全性。此外，將用戶密碼保存在SAN資源所在磁盤陣列的元數(shù)據(jù)塊中，保證用戶密碼不被寫入的數(shù)據(jù)所覆蓋，保證用戶密碼的安全性。圖1為現(xiàn)有技術(shù)中IP存儲(chǔ)系統(tǒng)結(jié)構(gòu)示意圖。圖2為本發(fā)明實(shí)施例中存儲(chǔ)資源訪問控制方法的流程圖。圖3為本發(fā)明實(shí)施例中IP存儲(chǔ)系統(tǒng)的結(jié)構(gòu)示意圖。具體實(shí)施例方式本發(fā)明實(shí)施例提供了一種存儲(chǔ)資源訪問控制方法，其基本思想為主機(jī)在用戶請(qǐng)求訪問SAN資源時(shí)，將所述用戶提供的被請(qǐng)求訪問的SAN資源的用戶密碼發(fā)送給存儲(chǔ)設(shè)備；存儲(chǔ)設(shè)備判斷來自主機(jī)的用戶密碼是否與自身保存的所述被請(qǐng)求訪問的SAN資源的用戶密碼相同，如果相同，則允許所述用戶訪問-故請(qǐng)求訪問的SAN資源；否則，拒絕所述用戶的訪問?？梢姡景l(fā)明實(shí)施例為每個(gè)SAN資源i殳置對(duì)應(yīng)的用戶密碼，且在用戶請(qǐng)求訪問SAN資源時(shí)，根據(jù)用戶提供的密碼和SAN資源對(duì)應(yīng)的密碼進(jìn)行密碼驗(yàn)證，只有驗(yàn)證通過才允許用戶訪問SAN資源，從而保證SAN資源中存儲(chǔ)數(shù)據(jù)的安全性。而且，該方法沒有對(duì)SAN資源中的數(shù)據(jù)本身進(jìn)行加密，因此不會(huì)影響數(shù)據(jù)存儲(chǔ)性能。在實(shí)際中，可以由存儲(chǔ)設(shè)備的操作系統(tǒng)維護(hù)各SAN資源的密碼。但是，一旦SAN資源，例如SAN資源a,所在磁盤陣列被非法獲取，并安裝在另外一個(gè)使用本發(fā)明實(shí)施例提供的存儲(chǔ)資源訪問控制方法的IP存儲(chǔ)系統(tǒng)中時(shí)，由于該IP存儲(chǔ)系統(tǒng)中沒有對(duì)應(yīng)于SAN資源a的用戶密碼，其它用戶可以通過任何一個(gè)Initiator得到SAN資源a中的數(shù)據(jù)。因此，較佳地，本發(fā)明實(shí)施例將SAN資源的用戶密碼保存在SAN資源所在f茲盤陣列中。當(dāng)SAN資源所在硬盤陣列被非法獲取，并安裝在另外一個(gè)IP存儲(chǔ)系統(tǒng)中時(shí)，由于用戶密碼隨磁盤陣列移動(dòng)，因此不知道用戶密碼的其它用戶無法獲得SAN資源中的數(shù)據(jù)，保證了數(shù)據(jù)安全性。下面結(jié)合附圖并舉實(shí)施例，對(duì)本發(fā)明進(jìn)行詳細(xì)描述。圖2示出了本發(fā)明實(shí)施例中存儲(chǔ)資源訪問控制方法的流程圖，如圖2所示，該方法包括以下步驟步驟201:在存儲(chǔ)設(shè)備中為用戶創(chuàng)建SAN資源，存儲(chǔ)設(shè)備通過自身提供的用戶接口接收該用戶輸入的SAN資源的用戶密碼，采用加密算法對(duì)用戶密碼加密，將加密的用戶密碼保存到創(chuàng)建的SAN資源的元數(shù)據(jù)塊(Meta-data)中。其中，元數(shù)據(jù)塊位于SAN資源的最前面，常用于保存SAN資源的基本信息，例如廠商信息。由于元數(shù)據(jù)塊不會(huì)在數(shù)據(jù)存儲(chǔ)中被覆蓋，因此本發(fā)明實(shí)施例將用戶密碼保存在元數(shù)據(jù)塊中，保證了用戶密碼的安全性，進(jìn)而保證數(shù)據(jù)安全性。對(duì)用戶密碼的加密可以釆用MD5加密算法，當(dāng)然也可以根據(jù)需要采用其它加密算法，或者不對(duì)用戶密碼加密。本流程中，用戶密碼的初始設(shè)置是在存儲(chǔ)設(shè)備為用戶創(chuàng)建SAN資源時(shí)完成的。為用戶創(chuàng)建SAN資源是指將多個(gè)磁盤做成磁盤陣列(RAID),然后再在磁盤陣列上劃分出一塊空間，作為SAN資源。在實(shí)際中，用戶密碼的初始設(shè)置時(shí)機(jī)可以比較靈活，但是需要在為用戶創(chuàng)建SAN資源之后，主機(jī)請(qǐng)求訪問SAN資源之前完成。步驟202:用戶請(qǐng)求訪問SAN資源，主機(jī)接收用戶輸入的SAN資源的用戶密碼。步驟203:主機(jī)通過Initiator向存儲(chǔ)設(shè)備發(fā)送請(qǐng)求訪問SAN資源的登錄請(qǐng)求。該登錄請(qǐng)求攜帶待訪問SAN資源標(biāo)識(shí)和待訪問SAN資源的用戶密碼。登錄請(qǐng)求是符合iSCSI協(xié)議的報(bào)文。登錄請(qǐng)求中攜帶的待訪問SAN資源標(biāo)識(shí)可以從登錄請(qǐng)求中的現(xiàn)有目標(biāo)會(huì)話標(biāo)識(shí)句柄(TSIH，TargetSessionIdentifyHandle)字段中獲得，但是現(xiàn)有的登錄請(qǐng)求中沒有用戶密碼字段。較佳地，可以將用戶輸入的用戶密碼攜帶在登錄請(qǐng)求的保留(Reserved)字段中，發(fā)送給存儲(chǔ)設(shè)備。登錄請(qǐng)求中的保留字段為16字節(jié)，因此可以將用戶密碼的長(zhǎng)度限制在16個(gè)數(shù)字和/或字母之內(nèi)，以保證保留字段能夠容納用戶密碼。其中，將用戶密碼攜帶在登錄請(qǐng)求中的好處是可以減少主機(jī)與存儲(chǔ)設(shè)備之間交互信息數(shù)量，最大限度的兼容已有協(xié)議。當(dāng)然，用戶密碼也可以攜帶在登錄請(qǐng)求的數(shù)據(jù)區(qū)(DataSegment)字段。在實(shí)際中，用戶密碼可以單獨(dú)發(fā)送，發(fā)送時(shí)間可以是發(fā)送登錄請(qǐng)求之前或同時(shí)，也可以在發(fā)送登錄請(qǐng)求且存儲(chǔ)設(shè)備要求檢驗(yàn)密碼之后。需要說明的是，本步驟用戶請(qǐng)求訪問SAN資源之前，系統(tǒng)管理員需要將SAN資源分配給主機(jī)中的Initiator,這沖羊主機(jī)中的Initiator才得到SAN資源訪問權(quán)，存儲(chǔ)設(shè)備才可能允許與主機(jī)中的Initiator建立連接。但是，主機(jī)中的Initiator得到訪問權(quán)并不意味著該Initiator發(fā)送登錄請(qǐng)求后就可以訪問相應(yīng)SAN資源，Initiator發(fā)送的登錄請(qǐng)求中必須攜帶待訪問SAN資源的用戶密碼，等待密碼驗(yàn)i正。由于系統(tǒng)管理員將SAN資源分配給主機(jī)中的Initiator的操作并不是本發(fā)明重點(diǎn)，因此本發(fā)明實(shí)施例省略分配SAN資源的描述。步驟204:存儲(chǔ)設(shè)備接收到登錄請(qǐng)求后，采用與步驟202相同的加密算法對(duì)登錄請(qǐng)求攜帶的用戶密碼進(jìn)行加密，得到加密后的用戶密碼。步驟205:從登錄請(qǐng)求中SAN資源標(biāo)識(shí)指示的待訪問SAN資源中獲取加密后的用戶密碼。步驟206:比較步驟204得到的加密后的用戶密碼與步驟205獲取的加密后的用戶密碼，如果相同，則執(zhí)行步驟207;否則，執(zhí)行步驟208。如果存儲(chǔ)設(shè)備保存的用戶密碼以明文形式存在，那么步驟204不需要對(duì)接收的用戶密碼加密，步驟206只需比較用戶密碼明文即可。由于生產(chǎn)廠商對(duì)磁盤陣列的實(shí)現(xiàn)不會(huì)對(duì)外公布，外界無法獲知保存用戶密碼的元數(shù)據(jù)塊的位置和大小。因此，即使不對(duì)用戶密碼加密，也可以保證用戶密碼的安全性。步驟207:接受登錄請(qǐng)求，根據(jù)登錄請(qǐng)求建立主機(jī)與存儲(chǔ)設(shè)備之間的連才妄，主機(jī)通過所建立的連接訪問凈皮請(qǐng)求訪問的SAN資源。本流程結(jié)束。步驟208:拒絕登錄請(qǐng)求，向主機(jī)返回登錄失敗消息。本流程結(jié)束。至此，本流程結(jié)束。圖1示出的實(shí)施例中，存儲(chǔ)設(shè)備側(cè)提供用戶接口，用戶通過用戶接口進(jìn)行用戶密碼的初始設(shè)置。為了進(jìn)一步保證用戶密碼安全性，較佳地，存儲(chǔ)設(shè)備還可以通過用戶接口接收用戶對(duì)密碼的修改。在修改用戶密碼時(shí)，存儲(chǔ)設(shè)備接收密碼更改請(qǐng)求，該密碼更改請(qǐng)求中包括用戶輸入的待修改密碼的SAN資源的當(dāng)前用戶密碼和新用戶密碼，存儲(chǔ)設(shè)備對(duì)接收的當(dāng)前用戶密碼進(jìn)行加密，得到加密后的當(dāng)前用戶密碼，并從待修改密碼的SAN資源的元數(shù)據(jù)塊中獲取加密后的用戶密碼，通過比較兩個(gè)加密后的用戶密碼是否相同，以驗(yàn)i正所述當(dāng)前用戶密碼的正確性，如果正確，則允許纟務(wù)改，此時(shí)將新用戶密碼保存到待修改密碼的SAN資源的元數(shù)據(jù)塊中，完成密碼修改。以上實(shí)施例都是在存儲(chǔ)設(shè)備側(cè)完成初始設(shè)置用戶密碼和》務(wù)改用戶密碼。在實(shí)際中，也可以在主機(jī)側(cè)輸入初始設(shè)置用戶密碼的修改密碼的相關(guān)信息，并發(fā)送給存儲(chǔ)設(shè)備，由存儲(chǔ)設(shè)備完成設(shè)置和修改操作。具體而言，在存儲(chǔ)設(shè)備為用戶創(chuàng)建SAN資源之后，主機(jī)接收用戶為創(chuàng)建的SAN資源設(shè)置的用戶密碼，并發(fā)送給存儲(chǔ)設(shè)備，例如攜帶在密碼更改請(qǐng)求中發(fā)送給存儲(chǔ)設(shè)備，存儲(chǔ)設(shè)備將接收的用戶密碼寫入相應(yīng)SAN資源的元數(shù)據(jù)塊中。這里，只要在主才幾首次訪問SAN資源之前，將該SAN資源的用戶密碼發(fā)送給存儲(chǔ)設(shè)備，完成初始設(shè)置即可。在修改密碼時(shí)，主機(jī)接收用戶輸入的待修改密碼的SAN資源的當(dāng)前用戶密碼和新用戶密碼，并發(fā)送給存儲(chǔ)設(shè)備。存儲(chǔ)設(shè)備判定接收的當(dāng)前用戶密碼與待修改密碼SAN資源中的用戶密碼匹配時(shí)，將新用戶密碼(或者加密處理后的新用戶密碼)存入待修改密碼SAN資源的元數(shù)據(jù)塊。如果判定當(dāng)前用戶密碼與4寺^修改密碼SAN資源中的用戶密碼不匹配，則拒絕修改。在實(shí)際中，在SAN資源重新分配給其它用戶使用之前，由SAN資源的當(dāng)前合法用戶將SAN資源中的存儲(chǔ)數(shù)據(jù)和用戶密碼刪除。這是因?yàn)?，SAN資源的重新分配只是將SAN資源分配給其它的Initiator,^旦并不將用戶密碼也發(fā)送給得到SAN資源的Initiator。那么，沒有用戶密碼，得到SAN資源的Initiator也無法訪問SAN資源中的數(shù)據(jù)。因此，本發(fā)明實(shí)施例需要SAN資源原來的用戶將用戶密碼刪除，該SAN資源才能夠被其它用戶使用。刪除密碼的操作通過存儲(chǔ)設(shè)備接收密碼更改請(qǐng)求實(shí)現(xiàn)，該密碼更改請(qǐng)求可以從存儲(chǔ)設(shè)備的用戶接口接收，也可以從主機(jī)接收。密碼更改請(qǐng)求中包括用戶提供的待刪除密碼的SAN資源的當(dāng)前用戶密碼，經(jīng)存儲(chǔ)設(shè)備驗(yàn)證當(dāng)前用戶密碼正確后，即可執(zhí)行刪除操作。以上通過主機(jī)初始設(shè)置密碼、修改密碼和刪除密碼時(shí)，主機(jī)需要與存儲(chǔ)設(shè)備進(jìn)行信息交互，由于主機(jī)與存儲(chǔ)設(shè)備之間采用iSCSI協(xié)議實(shí)現(xiàn)互通，為了與iSCSI協(xié)議兼容，本發(fā)明實(shí)施例可以仍采用iSCSI報(bào)文格式承載上述初始設(shè)置的用戶密碼、^修改密碼時(shí)的當(dāng)前用戶密碼和新用戶密碼以及刪除密碼時(shí)的當(dāng)前用戶密碼。具體來說，現(xiàn)有的iSCSI報(bào)文中包括操作碼、保留字段和iSCSI協(xié)議規(guī)定的其它必要信息。其中，操作碼表示iSCSI報(bào)文的類型，對(duì)于登錄請(qǐng)求，其搡作碼為0x03;iSCSI報(bào)文中的保留字段供用戶使用。因此，本發(fā)明實(shí)施例中，將iSCSI報(bào)文的操作碼設(shè)置為登錄請(qǐng)求的操作碼0x03,在保留字段中設(shè)置擴(kuò)展命令類型和擴(kuò)展命令參數(shù)，iSCSI報(bào)文中的其它字段根據(jù)iSCSI協(xié)議保持現(xiàn)有設(shè)置。其中，擴(kuò)展命令類型包括密碼初始設(shè)置類型、密碼修改類型和密碼刪除類型，為了與圖2中用于訪問控制的登錄請(qǐng)求兼容，擴(kuò)展命令類型進(jìn)一步包括訪問控制類型。那么存儲(chǔ)設(shè)備就可以根據(jù)其所接收的登錄請(qǐng)求的擴(kuò)展命令類型獲知所要進(jìn)行的操作。表1為本發(fā)明實(shí)施例中iSCSI報(bào)文部分字段設(shè)置示例。<table>tableseeoriginaldocumentpage15</column></row><table>舉個(gè)例子，存儲(chǔ)設(shè)備接到操作碼為0x03的iSCSI報(bào)文，從該報(bào)文的保留字段中獲取擴(kuò)展命令類型為3,擴(kuò)展命令參數(shù)為000XXX,根據(jù)擴(kuò)展命令類型為3，存儲(chǔ)設(shè)備獲知接收的報(bào)文請(qǐng)求進(jìn)行登錄前的密碼驗(yàn)證，那么存儲(chǔ)設(shè)備根據(jù)對(duì)用戶密碼000XXX的驗(yàn)證，判斷是否接受登錄請(qǐng)求。在實(shí)際中，還可以通過設(shè)置不同的iSCSI操作碼區(qū)分操作類型，在這種情況下保留字段中只需設(shè)置擴(kuò)展命令參數(shù)。需要注意的是，操作碼中的l到30已經(jīng)被iSCSI協(xié)議定義，因此可以采用大于30的整數(shù)作為初始設(shè)置密碼、修改密碼、刪除密碼和訪問控制的操作碼。本發(fā)明還提供了一種執(zhí)行以上存儲(chǔ)資源訪問控制方法的1P存儲(chǔ)系統(tǒng)。圖3示出了本發(fā)明實(shí)施例中IP存儲(chǔ)系統(tǒng)的結(jié)構(gòu)示意圖。如圖3所示，該IP存4諸系統(tǒng)包括主^L30和存儲(chǔ)i史備40，其中，主機(jī)30,用于在用戶請(qǐng)求訪問SAN資源時(shí)，將所述用戶提供的被請(qǐng)求訪問的SAN資源的用戶密碼發(fā)送給存儲(chǔ)設(shè)備40;該主機(jī)30可以為個(gè)人計(jì)算機(jī)、個(gè)人數(shù)字助理(PDA,PersonalDigitalAssistant)或筆記本電腦等設(shè)備。存儲(chǔ)設(shè)備40，用于保存每個(gè)SAN資源對(duì)應(yīng)的用戶密碼；判斷來自主機(jī)30的用戶密碼是否與自身保存的與被請(qǐng)求訪問的SAN資源對(duì)應(yīng)的用戶密碼相同，如果相同，則允許所述用戶訪問被請(qǐng)求訪問的SAN資源；否則，拒絕所述用戶的訪問。其中，主機(jī)30具體包括密碼接收模塊31和發(fā)起方模塊32;密碼接收模塊31，用于在用戶請(qǐng)求訪問SAN資源時(shí)，接收用戶輸入的被請(qǐng)求訪問的SAN資源的用戶密碼，發(fā)送給發(fā)起方模塊32;發(fā)起方模塊32,是主機(jī)30中的Initiator,用于將接收的被請(qǐng)求訪問的SAN資源的用戶密碼攜帶在請(qǐng)求訪問所述SAN資源的登錄請(qǐng)求中，發(fā)送給存儲(chǔ)設(shè)備40。其中，存儲(chǔ)設(shè)備40具體包括認(rèn)證模塊41和多個(gè)SAN資源模塊42;SAN資源模塊42即SAN資源所在磁盤陣列，SAN資源模塊42為用戶提供數(shù)據(jù)存儲(chǔ)空間。較佳地，每個(gè)SAN資源模塊42中保存用戶為自身設(shè)置的用戶密碼。優(yōu)選地，用戶密碼保存在SAN資源模塊42的元數(shù)據(jù)塊中。當(dāng)然，在實(shí)際中，也可以將用戶密碼保存在存儲(chǔ)設(shè)備40中其他模塊，由存儲(chǔ)設(shè)備40維護(hù)。認(rèn)證模塊41,用于判斷來自主機(jī)30且由用戶提供的被請(qǐng)求訪問的SAN資源模塊的用戶密碼是否與被請(qǐng)求訪問的SAN資源模塊42中的用戶密碼相同，如果相同，則允許用戶訪問被請(qǐng)求訪問的SAN資源模塊42;否則，拒絕所述用戶訪問。在實(shí)際中，可以在存儲(chǔ)設(shè)備40側(cè)進(jìn)行用戶密碼的初始設(shè)置，較佳地還可以進(jìn)行密碼修改操作和/或密碼刪除操作。在存儲(chǔ)設(shè)備40側(cè)進(jìn)行密碼初始設(shè)置、密碼修改和密碼刪除的情況下，存儲(chǔ)設(shè)備40進(jìn)一步包括用戶接口43和密碼設(shè)置模塊44。其中，用戶接口43，用于在存儲(chǔ)設(shè)備40側(cè)接口用戶輸入的信息，該信息包括存儲(chǔ)設(shè)備40為用戶創(chuàng)建SAN資源模塊42后，用戶為創(chuàng)建的SAN資源模塊42設(shè)置的用戶密碼；在用戶請(qǐng)求修改密碼時(shí)，用戶輸入的待修改密碼的SAN資源模塊42的當(dāng)前用戶密碼和新用戶密碼；在用戶請(qǐng)求刪除密碼時(shí)，用戶輸入的待刪除密碼的SAN資源模塊42的當(dāng)前用戶密碼。密碼設(shè)置模塊44，用于在其所在存儲(chǔ)設(shè)備40為用戶創(chuàng)建SAN資源模塊42后，將用戶接口43接收的用戶為創(chuàng)建的SAN資源模塊42設(shè)置的用戶密碼，保存在被創(chuàng)建的SAN資源模塊42的元數(shù)據(jù)塊中；在用戶請(qǐng)求修改密碼時(shí)，從用戶接口43獲取用戶輸入的待修改密碼的SAN資源模塊的當(dāng)前用戶密碼和新用戶密碼，在驗(yàn)證輸入的當(dāng)前用戶密碼正確的情況下，更新待修改密碼的SAN資源模塊中的用戶密碼；在用戶請(qǐng)求刪除密碼時(shí)，從用戶接口43獲取用戶輸入的待刪除密碼的SAN資源模塊的當(dāng)前用戶密碼，在驗(yàn)證輸入的當(dāng)前用戶密碼正確的情況下，刪除待刪除密碼的SAN資源模塊中的用戶密碼。在實(shí)際中，還可以在主機(jī)30側(cè)請(qǐng)求進(jìn)行用戶密碼的初始設(shè)置，較佳地，還可以進(jìn)行密碼修改和/或密碼刪除。在這種情況下，主機(jī)30進(jìn)一步包括圖3示出密碼設(shè)置模塊33,用于在用戶初始設(shè)置用戶密碼時(shí)，將用戶為SAN資源模塊設(shè)置的用戶密碼，通過發(fā)起方模塊32發(fā)送給存儲(chǔ)設(shè)備40;在修改用戶密碼時(shí)，將用戶輸入的待^^改密碼的SAN資源才莫塊的當(dāng)前用戶密碼和新用戶密碼，通過發(fā)起方模塊32發(fā)送給存儲(chǔ)設(shè)備40;在刪除用戶密碼時(shí)，將用戶輸入的待刪除密碼的SAN資源模塊的當(dāng)前用戶密碼，通過發(fā)起方模塊32發(fā)送給存儲(chǔ)設(shè)備40。同時(shí)，存儲(chǔ)設(shè)備40進(jìn)一步包括圖3示出的主機(jī)接口45,用于將從主機(jī)30接收的與密碼設(shè)置、修改和刪除有關(guān)的信息發(fā)送給密碼設(shè)置模塊44，由密碼設(shè)置模塊44進(jìn)行具體處理，其處理方式從用戶接口43接收信息后的處理方式相同。存儲(chǔ)設(shè)備40中的用戶接口43和主機(jī)接口45可以同時(shí)存在，從而為用戶提供兩種密碼設(shè)置、修改和刪除途徑。由以上所述可以看出，本發(fā)明所提供的存儲(chǔ)資源訪問控制方案，能夠保證存儲(chǔ)數(shù)據(jù)的安全性，在沒有對(duì)SAN資源中的數(shù)據(jù)本身進(jìn)行加密，不會(huì)影響數(shù)據(jù)存儲(chǔ)性能。綜上所述，以上僅為本發(fā)明的較佳實(shí)施例而已，并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。權(quán)利要求1、一種存儲(chǔ)資源訪問控制方法，其特征在于，該方法包括存儲(chǔ)設(shè)備接收主機(jī)發(fā)來的用戶請(qǐng)求訪問的存儲(chǔ)區(qū)域網(wǎng)絡(luò)SAN資源的用戶密碼；存儲(chǔ)設(shè)備判斷接收的用戶密碼是否與自身保存的與被請(qǐng)求訪問的SAN資源對(duì)應(yīng)的用戶密碼相同，如果相同，則允許所述用戶訪問被請(qǐng)求訪問的SAN資源；否則，拒絕所述用戶的訪問。2、如權(quán)利要求l所述的方法，其特征在于，所述存儲(chǔ)設(shè)備接收主機(jī)發(fā)來的用戶請(qǐng)求訪問的SAN資源的用戶密碼之前，該方法進(jìn)一步包括設(shè)置用戶密碼的操作，該操作具體為存儲(chǔ)設(shè)備為用戶創(chuàng)建SAN資源后，通過自身提供的用戶接口，接收用戶為SAN資源設(shè)置的用戶密碼，并與所述創(chuàng)建的SAN資源對(duì)應(yīng)保存；或存儲(chǔ)設(shè)備接收主機(jī)發(fā)來的用戶為創(chuàng)建的SAN資源設(shè)置的用戶密碼，并與所述創(chuàng)建的SAN資源對(duì)應(yīng)保存。3、如權(quán)利要求l所述的方法，其特征在于，該方法進(jìn)一步包括修改存儲(chǔ)設(shè)備保存的用戶密碼的操作，該操作具體為存儲(chǔ)設(shè)備接收密碼更改請(qǐng)求，該密碼更改請(qǐng)求包括待^務(wù)改密碼的SAN資源的當(dāng)前用戶密碼和新用戶密碼，在驗(yàn)證接收的當(dāng)前用戶密碼正確后，將所述新用戶密碼與待修改密碼的SAN資源對(duì)應(yīng)保存。4、如權(quán)利要求l所述的方法，其特征在于，該方法進(jìn)一步包括刪除存儲(chǔ)設(shè)備保存的用戶密碼的才喿作，該操作具體為存儲(chǔ)設(shè)備接收密碼更改請(qǐng)求，該密碼更改請(qǐng)求包括待刪除密碼的SAN資源的當(dāng)前用戶密碼，在驗(yàn)證接收的當(dāng)前用戶密碼正確后，將待刪除密碼的SAN資源對(duì)應(yīng)的用戶密碼刪除。5、如權(quán)利要求3或4所述的方法，其特征在于，所述存儲(chǔ)設(shè)備接收的密碼更改請(qǐng)求為存儲(chǔ)設(shè)備通過自身為用戶提供的用戶接口接收的；或者為從所述主機(jī)接收的。6、如權(quán)利要求l所述的方法，其特征在于，存儲(chǔ)設(shè)備接收的所述用戶密碼攜帶在所述主機(jī)對(duì)被請(qǐng)求訪問的SAN資源的登錄請(qǐng)求中；所述允許所述用戶訪問被請(qǐng)求訪問的SAN資源之后，進(jìn)一步包括根據(jù)所述登錄請(qǐng)求建立所述主機(jī)與存儲(chǔ)設(shè)備之間的連接，所述主機(jī)通過所建立的連接訪問一皮請(qǐng)求訪問的SAN資源。7、如權(quán)利要求6所述的方法，其特征在于，所述用戶密碼攜帶在所述登錄請(qǐng)求的保留字段中。8、如權(quán)利要求l所述的方法，其特征在于，存儲(chǔ)設(shè)備保存的SAN資源對(duì)應(yīng)的用戶密碼保存在所述SAN資源所在磁盤陣列上。9、如權(quán)利要求8所述的方法，其特征在于，所述用戶密碼保存在所述磁盤陣列上SAN資源的元數(shù)據(jù)塊中。10、如譯又利要求1至4和6至9中任意一項(xiàng)所述的方法，其特征在于，所述存儲(chǔ)設(shè)備判斷接收的用戶密碼是否與自身保存的與所述被請(qǐng)求訪問的SAN資源對(duì)應(yīng)的用戶密碼相同為存儲(chǔ)設(shè)備對(duì)接收的用戶密碼加密，判斷所述加密得到的用戶密碼密文是否與自身保存的與所述一皮請(qǐng)求訪問的SAN資源對(duì)應(yīng)的用戶密碼密文相同。11、一種存儲(chǔ)資源訪問控制方法，其特征在于，該方法包括主機(jī)在用戶請(qǐng)求訪問存儲(chǔ)設(shè)備中的SAN資源時(shí)，接收用戶輸入的祐:請(qǐng)求訪問的SAN資源的用戶密碼，向所述存儲(chǔ)設(shè)備發(fā)送；所述用戶密碼是所述存儲(chǔ)設(shè)備判斷是否允許所述用戶訪問所述被請(qǐng)求訪問的SAN資源的依據(jù)。12、如權(quán)利要求11所述的方法，其特征在于，向所述存儲(chǔ)設(shè)備發(fā)送的被請(qǐng)求訪問的SAN資源的用戶密碼攜帶在請(qǐng)求訪問所述SAN資源的登錄請(qǐng)求中。13、一種IP存儲(chǔ)系統(tǒng)中的存儲(chǔ)設(shè)備，其特征在于，該存儲(chǔ)設(shè)備包括認(rèn)證模塊和多個(gè)為用戶提供數(shù)據(jù)存儲(chǔ)空間的SAN資源模塊；其中，所述認(rèn)證;漠塊，用于在收到所在IP存儲(chǔ)系統(tǒng)中主機(jī)發(fā)來的用戶請(qǐng)求訪問的SAN資源模塊的用戶密碼時(shí)，判斷接收的用戶密碼是否與所在存儲(chǔ)設(shè)備維護(hù)的被請(qǐng)求訪問的SAN資源模塊的用戶密碼相同，如果是，則允許所述用戶訪問被請(qǐng)求訪問的SAN資源才莫塊；否則，拒絕所述用戶的訪問。14、如權(quán)利要求13所述的存儲(chǔ)設(shè)備，其特征在于，所述SAN資源模塊進(jìn)一步用于保存用戶為自身設(shè)置的所述用戶密碼。15、如權(quán)利要求14所述的存儲(chǔ)設(shè)備，其特征在于，所述SAN資源模塊中的用戶密碼保存在該SAN資源模塊的元數(shù)據(jù)塊中。16、如權(quán)利要求13所述的存儲(chǔ)設(shè)備，其特征在于，該存儲(chǔ)設(shè)備進(jìn)一步包括外部接口和密碼設(shè)置模塊；所述外部接口，用于將接收自外部的用戶為SAN資源模塊設(shè)置的用戶密碼發(fā)送給密碼設(shè)置模塊；所述密碼設(shè)置模塊，用于將外部接口接收的所述用戶為SAN資源模塊設(shè)置用戶密碼保存在該SAN資源模塊中。17、如權(quán)利要求16所述的存儲(chǔ)設(shè)備，其特征在于，所述密碼設(shè)置模塊進(jìn)一步用于，從所述外部接口獲取用戶提供的待修改密碼的SAN資源模塊的當(dāng)前用戶密碼和新用戶密碼，在-瞼證所述當(dāng)前用戶密碼正確的情況下，更新待》務(wù)改密碼的SAN資源一莫塊中的用戶密碼；和/或，從所述外部接口獲取用戶提供的待刪除密碼的SAN資源模塊的當(dāng)前用戶密碼，在驗(yàn)證所述當(dāng)前用戶密碼正確的情況下，從待刪除密碼的SAN資源模塊中刪除用戶密碼。18、如權(quán)利要求16或17所述的存儲(chǔ)設(shè)備，其特征在于，所述外部接口為接收用戶輸入的用戶接口，和/或?yàn)榻邮諄碜灾鳈C(jī)信息的主機(jī)接口。19、一種IP存儲(chǔ)系統(tǒng)中的主機(jī)，其特征在于，所述主機(jī)包括密碼接收模塊和發(fā)起方模塊；所述密碼接收模塊，用于在用戶請(qǐng)求訪問所在IP存儲(chǔ)系統(tǒng)的存儲(chǔ)設(shè)備中的SAN資源時(shí)，接收用戶輸入的被請(qǐng)求訪問的SAN資源的用戶密碼；該用戶密碼用于在所述存儲(chǔ)設(shè)備驗(yàn)證是否允許所述用戶訪問被請(qǐng)求訪問的SAN資源；所述發(fā)起方模塊，用于將所述被請(qǐng)求訪問的SAN資源的用戶密碼發(fā)送出去。20、如權(quán)利要求19所述的主機(jī)，其特征在于，所述發(fā)起方模塊進(jìn)一步用于，將所述被請(qǐng)求訪問的SAN資源的用戶密碼攜帶在請(qǐng)求訪問所述SAN資源的登錄請(qǐng)求中發(fā)送出去。21、如權(quán)利要求19所述的主機(jī)，其特征在于，所述主機(jī)進(jìn)一步包括密碼設(shè)置模塊，用于將用戶為SAN資源設(shè)置的用戶密碼，通過所述發(fā)起方模塊發(fā)送出去。22、如權(quán)利要求21所述的主機(jī)，其特征在于，所述密碼設(shè)置模塊進(jìn)一步用于將用戶輸入的待4多改密碼的SAN資源的當(dāng)前用戶密碼和新用戶密碼，通過所述發(fā)起方模塊發(fā)送出去；和/或，將待修改密碼的SAN資源的當(dāng)前用戶密碼，通過所述發(fā)起方模塊發(fā)送出去。23、一種IP存^f諸系統(tǒng)，其特征在于，該1P存儲(chǔ)系統(tǒng)包括主沖兒和存儲(chǔ)-設(shè)備；其中，所述主機(jī)，用于在用戶請(qǐng)求訪問SAN資源時(shí)，將所述用戶提供的被請(qǐng)求訪問的SAN資源的用戶密碼發(fā)送給存儲(chǔ)設(shè)備；所述存儲(chǔ)設(shè)備，用于判斷來自主機(jī)的所述用戶密碼是否與自身保存的與所述一皮請(qǐng)求訪問的SAN資源對(duì)應(yīng)的用戶密碼相同，如果相同，則允許所述用戶訪問被請(qǐng)求訪問的SAN資源；否則，拒絕所述用戶的訪問。全文摘要本發(fā)明公開了一種存儲(chǔ)資源訪問控制方法，該方法包括存儲(chǔ)設(shè)備接收主機(jī)發(fā)來的用戶請(qǐng)求訪問的存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)資源的用戶密碼；存儲(chǔ)設(shè)備判斷接收的用戶密碼是否與存儲(chǔ)設(shè)備保存的與所述被請(qǐng)求訪問的SAN資源對(duì)應(yīng)的用戶密碼相同，如果相同，則允許所述用戶訪問被請(qǐng)求訪問的SAN資源；否則，拒絕所述用戶的訪問。本發(fā)明還公開了另一種存儲(chǔ)資源訪問控制方法、一種IP存儲(chǔ)系統(tǒng)以及IP存儲(chǔ)系統(tǒng)中的存儲(chǔ)設(shè)備和主機(jī)。使用本發(fā)明能夠在無需對(duì)存儲(chǔ)數(shù)據(jù)本身加密的情況下，保證存儲(chǔ)數(shù)據(jù)的安全性。文檔編號(hào)H04L9/32GK101291345SQ200810114278公開日2008年10月22日申請(qǐng)日期2008年6月2日優(yōu)先權(quán)日2008年6月2日發(fā)明者余劍聲,飛夏申請(qǐng)人:杭州華三通信技術(shù)有限公司