一种数据中心及其访问方法技术

技术编号:11044997 阅读:96 留言:0更新日期:2015-02-18 11:19
本发明专利技术公开了一种基于网络存储的数据中心及其访问方法,涉及网络存储技术领域。本发明专利技术公开的方法包括,数据中心收到用户主机发起的访问请求时,数据中心的管理服务器对所述用户主机进行身份认证;若所述用户主机通过身份认证,则所述访问请求所要访问的网络存储设备判断所述访问请求是否为授权操作,若所述访问请求为授权操作,则进行相应的处理。本发明专利技术还公开了一种数据中心。本申请技术方案提高了系统性能。

【技术实现步骤摘要】

本专利技术涉及网络存储
,具体涉及一种基于网络存储的数据中心及其访问方法
技术介绍
存储系统是从主机中分离出来的,把独立的存储系统和传统的用户设备用网络连接起来通过网络进行访问和管理,这就是网络存储。网络存储技术是基于数据存储的一种通用网络术语,网络存储结构大致分为三种:直连式存储(DAS),网络存储设备(NAS)和存储网络(SAN)。数据中心的主要存储单元是连接磁盘阵列的高性能iSCSI存储节点和应用NAS技术的网络化光盘库,磁盘阵列具有较高的存取性能和因引入冗余而带来的可靠性,主要存放当前应用的数据,向广大用户提供“在线”的数据服务。而巨大数量的历史数据则由刻录设备备份在光盘片上,通过网络化光盘库提供数据服务。网络化光盘库是应用于数据中心的一种特色存储设备,它是实现数据中心层次化存储的关键。 存储管理服务器负责分散的存储设备和数据的集中管理与维护,同时它也是一台元数据服务器,用于查询检索并为用户的应用程序提供直接访问存储设备所需的元数据。存储管理服务器是数据中心一定程度上实现存储虚拟化的关键,实际的数据传输过程对用户而言是透明的,他们访问数据中心就像访问本地硬盘一样。另外数据中心的存储设备支持动态的“热插拔”,即插即用,方便数据中心的扩展与维护,保障了 24X7的服务。
技术实现思路
本专利技术所要解决的技术问题是,提供,以解决数据中心安全性低的问题。 为了解决上述问题,本专利技术公开了一种数据中心的访问方法,包括: 数据中心收到用户主机发起的访问请求时,数据中心的管理服务器对所述用户主机进行身份认证; 若所述用户主机通过身份认证,则所述访问请求所要访问的网络存储设备判断所述访问请求是否为授权操作,若所述访问请求为授权操作,则进行相应的处理。 可选地,上述方法中,所述访问请求所要访问的网络存储设备判断所述访问请求是否为授权操作,若所述访问请求为授权操作,则进行相应的处理的过程包括: 所述访问请求所要访问的网络存储设备根据所述用户主机的文件访问权限,判断所述用户主机是否具有操作权限; 若所述用户主机具有操作权限,则所述访问请求所要访问的网络存储设备根据所述用户主机的用户标识信息确定用户主机所属的用户阶梯,按照所确定的用户阶梯的行为模式库,得到所述访问请求对应的用户行为,进行相应的操作。 可选地,上述方法中, 所述用户标识信息包括用户标示符和/或组标示符。 可选地,上述方法中, 所述用户阶梯包括:只读用户、读写用户、管理员和系统用户。 可选地,所述访问请求所要访问的网络存储设备得到所述访问请求对应的用户行为后,该方法还包括: 识别所述用户行为是否为“本体”; 若识别所述用户行为为“本体”,再进行相应的操作。 本专利技术还公开了一种数据中心,至少包括一个管理服务器及多个网络存储设备,其中,所述管理服务器,对发起访问请求的用户主机进行身份认证; 所述网络存储设备,在对本网络存储设备发起访问请求的用户主机通过身份认证时,判断所述访问请求是否为授权操作,并在所述访问请求为授权操作时,进行相应的处理。 可选地,上述数据中心中,所述网络存储设备包括: 文件访问权限处理单元,根据通过身份认证的用户主机的文件访问权限,判断所述用户主机是否具有操作权限; 用户阶梯处理单元,在所述用户主机具有操作权限时,根据所述用户主机的用户标识信息确定用户主机所属的用户阶梯,按照所确定的用户阶梯的行为模式库,得到所述访问请求对应的用户行为,进行相应的操作。 可选地,上述数据中心中,所述用户标识信息包括用户标示符和/或组标示符。 可选地,上述数据中心中,所述用户阶梯包括:只读用户、读写用户、管理员和系统用户。 可选地,上述数据中心中,所述网络存储设备得到所述访问请求对应的用户行为后,还识别所述用户行为是否为“本体”,并在识别出所述用户行为为“本体”时,再进行相应的操作。 本申请技术方案采用基于IP的存储技术,实现了用户绕过服务器直接访问存储设备的存储结构,该结构相对于服务器存储能够提供更高的系统性能。另外,优选方案提出的基于生物免疫思想的安全机制能有效阻止对数据中心存储节点(即各网络存储设备)的异常访问和操作,且异常检测系统的引入对系统性能只产生很小的影响。 【附图说明】 图1是本专利技术提出的数据中心的安全机制示意图; 图2是附网存储节点的多层免疫模型图。 【具体实施方式】 为使本专利技术的目的、技术方案和优点更加清楚明白,下文将结合附图对本专利技术技术方案作进一步详细说明。需要说明的是,在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。 实施例1 目前,数据中心的体系结构设计的核心思想是使存储数据不经过服务器在用户和存储设备间直接传输。这种采用绕过服务器的非对称存储结构,可以大大提高系统性能,但由于存储设备都暴露在用户网络中,因此在安全性上不如“中心化”的存储系统。 针对上述问题,本申请专利技术人考虑可以利用IP自身的安全机制如IPSec、SSL等对存储数据加密传输以保证数据安全性。例如,在访问授权方面,存储设备首先进行身份认证(例如使用账号/密码方式或CHAP)确保主机是授权用户,然后采用类似基于对象的存储设备的安全机制判断该操作是否授权。 基于上述思想,本实施例提供,主要包括如下操作: 数据中心收到用户主机发起的访问请求时,数据中心的管理服务器对该用户主机进行身份认证; 若该用户主机通过身份认证,则访问请求所要访问的网络存储设备判断访问请求是否为授权操作,若访问请求为授权操作,则进行相应的处理。 具体地,用户主机首先要通过管理服务器的认证并获得相应权限才可以访问网络存储设备,如图1所示。管理服务器根据安全策略,确定用户主机请求的操作是否合法,如果用户主机的请求合法,管理服务器将授予主机代表访问权限的证书。用户主机将请求和证书一并发送给对应的网络存储设备。如果网络存储设备验证该操作确是管理服务器授权的操作就执行,如果不是授权的操作,则拒绝执行。其中,证书的完整性与真实性可以由管理服务器和网络存储设备的共享密钥来保证。 —些优选方案,在非中心化数据存储系统中的存储节点(即网络存储设备)中引入安全机制,该安全机制起着与生物免疫系统相类似的作用,以防止网络中数据遭到病毒的入侵以及异常行为的破坏。例如,为基于优化的Iinux系统的NAS设备建立多层免疫模型,如图2所示。这样,用户认证层利用账号和密码的限制,可以阻挡未经过身份验证的用户进入系统;文件权限层对不同的用户设置不同的文件访问权限,可以拒绝用户未被授权的文件操作,穿过前面两层屏障的用户操作附带着用户的必要信息(即用户标识信息),如用户标示符(user id, uid)、组标示符(group id, gid)等。在用户阶梯层,“用户分阶”根据用户标识信息把他们分为只读用户、读写用户、管理员和系统用户等,不同的用户处于不同的阶梯上,在相应的阶梯中保存有该阶用户正常的合法的行为模式库,用户的操作命令按照分阶信息被发送到各自对应的阶梯中进行处理。具体操作过程如下: 访问请求所要访问的网络存储设备根据用户主机的文件访问权限,判断用户主机具有操作权限(即确定该访问请求通过了用户本文档来自技高网...

【技术保护点】
一种数据中心的访问方法,其特征在于,数据中心收到用户主机发起的访问请求时,数据中心的管理服务器对所述用户主机进行身份认证;若所述用户主机通过身份认证,则所述访问请求所要访问的网络存储设备判断所述访问请求是否为授权操作,若所述访问请求为授权操作,则进行相应的处理。

【技术特征摘要】
1.一种数据中心的访问方法,其特征在于, 数据中心收到用户主机发起的访问请求时,数据中心的管理服务器对所述用户主机进行身份认证; 若所述用户主机通过身份认证,则所述访问请求所要访问的网络存储设备判断所述访问请求是否为授权操作,若所述访问请求为授权操作,则进行相应的处理。2.如权利要求1所述的方法,其特征在于,所述访问请求所要访问的网络存储设备判断所述访问请求是否为授权操作,若所述访问请求为授权操作,则进行相应的处理的过程包括: 所述访问请求所要访问的网络存储设备根据所述用户主机的文件访问权限,判断所述用户主机是否具有操作权限; 若所述用户主机具有操作权限,则所述访问请求所要访问的网络存储设备根据所述用户主机的用户标识信息确定用户主机所属的用户阶梯,按照所确定的用户阶梯的行为模式库,得到所述访问请求对应的用户行为,进行相应的操作。3.如权利要求2所述的方法,其特征在于, 所述用户标识信息包括用户标示符和/或组标示符。4.如权利要求2所述的方法,其特征在于, 所述用户阶梯包括:只读用户、读写用户、管理员和系统用户。5.如权利要求2至4任一项所述的方法,其特征在于,所述访问请求所要访问的网络存储设备得到所述访问请求对应的用户行为后,该方法还包括: 识别所述用户行为是否为“本...

【专利技术属性】
技术研发人员:曹玲玲
申请(专利权)人:浪潮北京电子信息产业有限公司
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1