国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      保護交換結(jié)構(gòu)存儲區(qū)域網(wǎng)絡(luò)中節(jié)點端口訪問的方法和裝置的制作方法

      文檔序號:7651198閱讀:210來源:國知局
      專利名稱:保護交換結(jié)構(gòu)存儲區(qū)域網(wǎng)絡(luò)中節(jié)點端口訪問的方法和裝置的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明一般地涉及數(shù)據(jù)處理系統(tǒng)。更具體地說,本發(fā)明涉及用于保護對交換結(jié)構(gòu)(fabric)存儲區(qū)域網(wǎng)絡(luò)中的節(jié)點端口的訪問的計算機實現(xiàn)的方法,裝置和計算機程序產(chǎn)品。
      背景技術(shù)
      交換結(jié)構(gòu)存儲區(qū)域網(wǎng)絡(luò)(SAN)是用于互連可用于一個或多個聯(lián)網(wǎng)服務(wù)器的存儲相關(guān)資源的專用網(wǎng)絡(luò)。SAN通常與局域網(wǎng)(LAN)和廣域網(wǎng)(WAN)分離。SAN通常的特征是成員存儲外圍設(shè)備之間的高互連數(shù)據(jù)速率。SAN通常還具有的特征是高度伸縮的體系結(jié)構(gòu)。SAN同時包括用于硬件管理、監(jiān)視和配置的硬件和軟件。
      光纖通道(FC)存儲區(qū)域網(wǎng)絡(luò)(SAN)非常易于受到未授權(quán)代理的預(yù)謀和偶然的損害。當光纖通道存儲區(qū)域網(wǎng)絡(luò)(FC SAN)受到損害時,未授權(quán)的代理可以竊取、更改或毀壞包含在附加存儲設(shè)備中的數(shù)據(jù)。光纖通道存儲區(qū)域網(wǎng)絡(luò)受到損害的方式主要有兩種(1)對包括存儲區(qū)域網(wǎng)絡(luò)自身的任何組件的未授權(quán)訪問;或(2)對任何能夠訪問包括存儲區(qū)域網(wǎng)絡(luò)的任何組件的網(wǎng)絡(luò)附加系統(tǒng)的未授權(quán)訪問。
      連接到光纖通道存儲區(qū)域網(wǎng)絡(luò)的主機可以惡意地嘗試獲取對其未被授權(quán)的存儲組件的訪問。此類攻擊稱為欺騙,其中未授權(quán)的實體或代理嘗試通過某種欺騙手段來表現(xiàn)為授權(quán)的實體或代理。在以下兩種情況中可以使用欺騙來獲取對存儲區(qū)域網(wǎng)絡(luò)存儲組件的未授權(quán)訪問(1)進行欺騙的主機系統(tǒng)可以獲取對光纖通道(FC)交換機的未授權(quán)訪問,并使用任何其他可見主機的全球端口名(WWPN)作為其分配的WWPN以獲取對存儲子系統(tǒng)端口的未授權(quán)訪問,或(2)具有對光纖通道交換機的授權(quán)訪問的進行欺騙的主機系統(tǒng)使用與其分配的WWPN不同的可見WWPN來獲取對存儲子系統(tǒng)端口的未授權(quán)訪問。
      可見WWPN是主機可以在登錄到光纖通道交換機時通過查詢公知的名稱服務(wù)器服務(wù)而獲得的那些WWPN。這些WWPN是位于光纖通道交換機活動區(qū)域(包含所有可以互相連接的主機端口和存儲端口)中的WWPN。WWPN是主機端口(即,主機總線適配器(HBA))的可編程功能,并且具有此方面知識的系統(tǒng)程序員可以相對容易地將其編程為任何值。

      發(fā)明內(nèi)容
      本發(fā)明公開了一種用于保護交換結(jié)構(gòu)存儲區(qū)域網(wǎng)絡(luò)中的節(jié)點端口訪問的計算機實現(xiàn)的方法、裝置和計算機程序產(chǎn)品。指定結(jié)構(gòu)端口標識符和節(jié)點端口標識符的允許的組合。節(jié)點端口接收訪問所述節(jié)點端口的請求。從所述請求確定節(jié)點端口標識符,所述節(jié)點端口標識符標識了正在嘗試訪問所述節(jié)點端口的設(shè)備。確定標識所述設(shè)備通過其傳輸所述請求的結(jié)構(gòu)端口的結(jié)構(gòu)端口標識符。如果所述結(jié)構(gòu)端口標識符和節(jié)點端口標識符形成允許的組合,則允許訪問所述節(jié)點端口。


      在所附權(quán)利要求中說明了被認為是本發(fā)明特性的新穎特征。但是,當結(jié)合附圖閱讀時,通過參考以下對示例性實施例的詳細說明,可以最佳地理解發(fā)明本身及其優(yōu)選使用方式、進一步的目的和優(yōu)點,這些附圖是圖1是根據(jù)本發(fā)明的示例性實施例的包括使用交換結(jié)構(gòu)連接在一起的多個節(jié)點的存儲區(qū)域網(wǎng)絡(luò)的方塊圖;圖2示出了根據(jù)本發(fā)明的示例性實施例的關(guān)聯(lián)表;圖3示出了根據(jù)本發(fā)明的示例性實施例的名稱服務(wù)器表;圖4是示出了根據(jù)本發(fā)明的示例性實施例的生成關(guān)聯(lián)表并在將關(guān)聯(lián)表導(dǎo)入交換機和存儲子系統(tǒng)后強制所有設(shè)備登錄回結(jié)構(gòu)和存儲子系統(tǒng)的高級流程圖;圖5是示出了根據(jù)本發(fā)明的示例性實施例的將對結(jié)構(gòu)的訪問僅限于授權(quán)設(shè)備的高級流程圖;圖6是示出了根據(jù)本發(fā)明的示例性實施例的接收設(shè)備將對接收設(shè)備的訪問僅限于那些授權(quán)的請求設(shè)備的高級流程圖;圖7A和7B是共同示出了根據(jù)本發(fā)明的示例性實施例的交換機將對接收設(shè)備的訪問僅限于那些授權(quán)的請求設(shè)備的高級流程圖;以及圖8是根據(jù)本發(fā)明的用于實現(xiàn)圖1的任何數(shù)據(jù)處理系統(tǒng)的數(shù)據(jù)處理系統(tǒng)的方塊圖。
      具體實施例方式
      本發(fā)明的示例性實施例是一種用于保護交換結(jié)構(gòu)存儲區(qū)域網(wǎng)絡(luò)中的節(jié)點端口訪問的計算機實現(xiàn)的方法、裝置和計算機程序產(chǎn)品。所述計算機實現(xiàn)的方法、裝置和計算機程序產(chǎn)品包括對授權(quán)的結(jié)構(gòu)端口(F端口)標識符和節(jié)點端口(N端口)標識符進行編碼的關(guān)聯(lián)表。這些標識符優(yōu)選地是端口名稱,如全球端口名(WWPN)。
      關(guān)聯(lián)表在存儲區(qū)域網(wǎng)絡(luò)的結(jié)構(gòu)中建立到交換機的授權(quán)主機和存儲物理連通性。例如,關(guān)聯(lián)表可以包括指定F端口WWPN為ABCD123456789ABB和N端口WWPN為ABCD123456789ABC的表項。在此實例中,如果具有為ABCD123456789ABC的N端口WWPN的節(jié)點通過具有為ABCD123456789ABB的F端口WWPN的交換機端口登錄到結(jié)構(gòu),則存儲子系統(tǒng)或主機將允許該節(jié)點訪問所述主機或存儲子系統(tǒng)。如果具有為ABCD123456789ABC的N端口WWPN的節(jié)點通過具有不是ABCD123456789ABB的F端口WWPN的交換機端口登錄到結(jié)構(gòu),則將不允許所述節(jié)點訪問存儲子系統(tǒng)或主機。
      所有授權(quán)的全球端口名在存儲區(qū)域網(wǎng)絡(luò)中都是唯一的。因此,所有包含在關(guān)聯(lián)表中的F端口和N端口對也是唯一的。本發(fā)明的示例性實施例可以檢測來自未授權(quán)主機的復(fù)制任何N端口或F端口WWPN的任何嘗試,因為未授權(quán)的主機將使用與合法主機使用的F端口不同的F端口來連接到結(jié)構(gòu)。因此,未授權(quán)主機使用的復(fù)制N端口WWPN和F端口的組合將不匹配包含在關(guān)聯(lián)表中的任何允許的對。
      節(jié)點通過訪問交換機并執(zhí)行結(jié)構(gòu)登錄(FLOGI)請求來登錄到結(jié)構(gòu)。需要FLOGI請求以便節(jié)點端口建立與交換機的會話并因此建立與結(jié)構(gòu)的會話。
      由交換機在請求FLOGI時實施對結(jié)構(gòu)的安全訪問。當節(jié)點端口請求FLOGI時,節(jié)點端口必須將其WWPN提供給交換機。根據(jù)本發(fā)明的示例性實施例,所有FLOGI請求在完成之前都首先進行驗證。為了由交換機驗證FLOGI請求,交換機首先判定發(fā)出請求的節(jié)點端口提供了哪個N端口WWPN。交換機然后判定通過其F端口中的哪個F端口接收FLOGI,并標識該F端口的WWPN。節(jié)點端口提供的WWPN和通過其接收請求的WWPN形成“接收對”。
      交換機然后在存儲在交換機中的關(guān)聯(lián)表內(nèi)查找發(fā)出請求的N端口提供的WWPN,以便定位包括該N端口WWPN的F端口/N端口對。在關(guān)聯(lián)表中找到的WWPN的F端口/N端口對定義了“授權(quán)對”。如果接收對匹配授權(quán)對,則處理FLOGI請求并且交換機將N端口登錄到結(jié)構(gòu)。
      如果接收對不匹配授權(quán)對,則拒絕FLOGI請求并不對其進行處理。在這種情況下,不會將N端口登錄到結(jié)構(gòu)。
      通過要求所有節(jié)點首先使用上述FLOGI過程正確登錄到結(jié)構(gòu)來實施對存儲子系統(tǒng)的安全訪問。一旦節(jié)點正確登錄到結(jié)構(gòu),節(jié)點就可以執(zhí)行端口登錄(PLOGI)請求以便嘗試登錄到特定存儲子系統(tǒng)或其他目標主機。需要端口登錄來建立與存儲子系統(tǒng)或其他目標主機的會話。本發(fā)明的示例性實施例提供了兩個不同的用于維護對存儲子系統(tǒng)的安全訪問的實施例。
      在第一個實施例中,將關(guān)聯(lián)表的副本存儲在每個存儲子系統(tǒng)中。當存儲子系統(tǒng)接收到PLOGI請求時,存儲子系統(tǒng)從PLOGI請求頭部獲取源標識符(SID)。存儲子系統(tǒng)然后從交換機名稱服務(wù)器獲取與該SID關(guān)聯(lián)的F端口WWPN。存儲子系統(tǒng)然后在存儲在其中的關(guān)聯(lián)表內(nèi)查找F端口WWPN以定位包括該F端口WWPN的F端口/N端口對。存儲子系統(tǒng)判定與PLOGI請求一起提供的N端口WWPN是否匹配與在關(guān)聯(lián)表中找到的F端口WWPN配對的N端口WWPN。如果N端口WWPN匹配,則存儲子系統(tǒng)驗證和處理PLOGI請求以允許發(fā)出請求的節(jié)點登錄到存儲子系統(tǒng)。如果N端口WWPN不匹配(指示主機WWPN欺騙嘗試),則拒絕所述PLOGI請求并且不會將發(fā)出請求的節(jié)點登錄到存儲子系統(tǒng)。
      在第二個實施例中,由交換機而不是存儲子系統(tǒng)本身來進行驗證。在此實施例中,交換機查找來自N端口的PLOGI請求。當交換機檢測到發(fā)送到特定存儲子系統(tǒng)的PLOGI請求時,交換機從該PLOGI請求獲取源標識符(SID),然后使用該SID從交換機的名稱服務(wù)器表來確定與所述SID關(guān)聯(lián)的F端口WWPN。交換機然后在存儲于其中的關(guān)聯(lián)表內(nèi)查找F端口WWPN來定位包括該F端口WWPN的F端口/N端口對。交換機判定與PLOGI請求一起提供的N端口WWPN是否匹配與在關(guān)聯(lián)表中發(fā)現(xiàn)的F端口WWPN配對的N端口WWPN。如果N端口WWPN匹配,則交換機驗證所述PLOGI請求并將其傳輸?shù)酱鎯ψ酉到y(tǒng)以進行正常處理。如果N端口WWPN不匹配(指示主機WWPN欺騙嘗試),則交換機通過丟棄請求并且不將其轉(zhuǎn)發(fā)到存儲子系統(tǒng)來拒絕所述PLOGI請求。
      圖1是根據(jù)本發(fā)明的示例性實施例的包括使用交換結(jié)構(gòu)連接在一起的多個節(jié)點的存儲區(qū)域網(wǎng)絡(luò)的方塊圖。圖1示出了根據(jù)本發(fā)明的存儲區(qū)域網(wǎng)絡(luò)(SAN)100。SAN 100包括多個設(shè)備,如主機102、主機104、存儲子系統(tǒng)106和存儲子系統(tǒng)108。
      SAN 100優(yōu)選為光纖通道網(wǎng)絡(luò),盡管其他類型的交換結(jié)構(gòu)網(wǎng)絡(luò)可以用于實現(xiàn)SAN 100。光纖通道是存儲區(qū)域網(wǎng)絡(luò)中用于傳輸數(shù)據(jù)的協(xié)議套件。光纖通道是一種由美國國家標準學(xué)會(ANSI)定義并由計算機和海量存儲設(shè)備制造商協(xié)會開發(fā)的體系結(jié)構(gòu)。光纖通道為需要很高寬帶的海量存儲設(shè)備和其他外圍設(shè)備而設(shè)計。光纖通道使用光纖來連接設(shè)備,支持高數(shù)據(jù)傳輸速率。在光纖通道技術(shù)規(guī)范(ANSI文檔編號ANSI/INCITS 373,標題為Information Technology-Fibre Channel Framing and SignalingInterface(FC FS))中可以找到有關(guān)光纖通道的其他信息。
      每個設(shè)備都使用至少一個光纖通道鏈路連接到交換結(jié)構(gòu)110。例如,主機102使用鏈路102a連接到結(jié)構(gòu)110。主機104使用鏈路104a和104b連接到結(jié)構(gòu)110;存儲子系統(tǒng)106使用鏈路106a連接到結(jié)構(gòu)110;存儲子系統(tǒng)108使用鏈路108a和108b連接到結(jié)構(gòu)110。
      每個設(shè)備都通過包括在其中的光纖通道節(jié)點端口(即,N端口)連接到其光纖通道鏈路。主機102包括N端口1 112。主機104包括N端口2 114和N端口3 116。存儲子系統(tǒng)106包括N端口4 118。存儲子系統(tǒng)108包括N端口5 120和N端口6 122。
      每個N端口使用包括在結(jié)構(gòu)110中的結(jié)構(gòu)端口(即,F(xiàn)端口)連接到結(jié)構(gòu)110。這樣,設(shè)備通過使用光纖通道通信鏈路將包括在設(shè)備中的N端口連接到包括在結(jié)構(gòu)中的F端口來連接到結(jié)構(gòu)。
      N端口1 112使用光纖通道通信鏈路102a連接到F端口1 124。N端口2 114使用光纖通道通信鏈路104a連接到F端口2 126。N端口3 116使用光纖通道通信鏈路104b連接到F端口3 128。N端口4 118使用光纖通道通信鏈路106a連接到F端口4 130。N端口5 120使用光纖通道通信鏈路108a連接到F端口5 132。N端口6 122使用光纖通道通信鏈路108b連接到F端口6 134。
      每個主機包括至少一個主機總線適配器(HBA)。當主機包括多個HBA時,主機可以使用其HBA中的任何HBA來與結(jié)構(gòu)通信。主機102包括通過N端口1 112、通信鏈路102a和F端口1 124與結(jié)構(gòu)110通信的HBA 135。
      主機104包括通過N端口2 114、通信鏈路104a和F端口2 126與結(jié)構(gòu)110通信的HBA 136。主機104還包括通過N端口3 116、通信鏈路104b和F端口3 128與結(jié)構(gòu)110通信的HBA 137。
      每個存儲子系統(tǒng)都包括至少一個目標總線適配器(TBA)。當存儲子系統(tǒng)包括多個TBA時,存儲子系統(tǒng)可以使用其TBA中的任何TBA來與結(jié)構(gòu)通信。
      存儲子系統(tǒng)106包括通過N端口4 118、通信鏈路106a和F端口4 130與結(jié)構(gòu)110通信的TBA 138。存儲子系統(tǒng)108包括通過N端口5 120、通信鏈路108a和F端口5 132與結(jié)構(gòu)110通信的TBA 139。存儲子系統(tǒng)108還包括通過N端口6 122、通信鏈路108b和F端口6 134與結(jié)構(gòu)110通信的TBA 140。
      結(jié)構(gòu)110包括一個或多個交換機(如交換機141)以便通過結(jié)構(gòu)110來交換網(wǎng)絡(luò)分組。雖然示出了一個交換機,但是結(jié)構(gòu)中通常包括許多交換機。在示例性實施例中,每個交換機都是符合光纖通道技術(shù)規(guī)范的光纖通道(FC)交換機。
      關(guān)聯(lián)表存儲在結(jié)構(gòu)中的每個交換機內(nèi)。在示出的實例中,關(guān)聯(lián)表144存儲在交換機141中。此外,還可以將關(guān)聯(lián)表的副本存儲在存儲子系統(tǒng)中。例如,將關(guān)聯(lián)表144存儲在存儲子系統(tǒng)106和存儲子系統(tǒng)108中。
      名稱服務(wù)器表也存儲在每個交換機中。名稱服務(wù)器表146存儲在交換機141中。
      圖2示出了根據(jù)本發(fā)明的示例性實施例的關(guān)聯(lián)表。關(guān)聯(lián)表144包括授權(quán)的F端口/N端口名稱對。將每個F端口的名稱(如全球端口名(WWPN))和其授權(quán)的N端口的名稱(如WWPN)存儲在每個表項中。存儲在關(guān)聯(lián)表144的每個表項中的WWPN定義了授權(quán)對。
      例如,F(xiàn)端口1 124連接到N端口1 112。因此,F(xiàn)端口1 124的WWPN和N端口1 112的WWPN存儲在表項202中。在示出的實例中,F(xiàn)端口1 124的WWPN是1234ABCD5678ABCD,而N端口1 112的WWPN是ABCD23456789CDEF。因此,為1234ABCD5678ABCD的F端口WWPN和為ABCD23456789CDEF的N端口WWPN形成授權(quán)對。
      作為另一個實例,F(xiàn)端口2 126連接到N端口2 114。因此,F(xiàn)端口2 126的WWPN和N端口2 114的WWPN存儲在表項204中。在示出的實例中,F(xiàn)端口2 126的WWPN是DEFCBCDE4567A456,而N端口2 114的WWPN是345678901234A345。這樣,為DEFCBCDE4567A456的F端口WWPN和為345678901234A345的N端口WWPN形成授權(quán)對。
      作為最后的實例,F(xiàn)端口6 134連接到N端口6 122。因此,F(xiàn)端口6 134的WWPN和N端口6 122的WWPN存儲在表項206中。在示出的實例中,F(xiàn)端口6 134的WWPN是EFCABAB12345D456,而N端口6 122的WWPN是1112AACCCDEEFA1C4。這樣,為EFCABAB12345D456的F端口WWPN和為1112AACCCDEEFA1C4的N端口WWPN形成授權(quán)對。
      圖3示出了根據(jù)本發(fā)明的示例性實施例的名稱服務(wù)器表。名稱服務(wù)器表中的每個表項包括F端口和N端口WWPN的每個授權(quán)對以及表項的N端口的主機源標識符(SID)。
      表項302包括表項202(參見圖2)的授權(quán)F端口/N端口對以及N端口1 112的主機源標識符(SID)。表項304包括表項204(參見圖2)的授權(quán)F端口/N端口對以及N端口2 114的主機源標識符(SID)。表項306包括表項206(參見圖2)的授權(quán)F端口/N端口對以及N端口6 122的主機源標識符(SID)。
      圖4是示出根據(jù)本發(fā)明的示例性實施例的生成關(guān)聯(lián)表并在將關(guān)聯(lián)表導(dǎo)入交換機和存儲子系統(tǒng)后強制所有設(shè)備登錄回結(jié)構(gòu)和存儲子系統(tǒng)的高級流程圖。過程如方塊400所示開始,此后轉(zhuǎn)到示出了生成關(guān)聯(lián)表的方塊402。關(guān)聯(lián)表包括F端口名和N端口名的授權(quán)對。接著,方塊404示出了所有交換機和/或存儲子系統(tǒng)導(dǎo)入關(guān)聯(lián)表。
      然后,方塊406示出了重新啟動所有交換機。重新啟動所有交換機強制所有主機和存儲子系統(tǒng)使用結(jié)構(gòu)登錄(FLOGI)請求登錄回結(jié)構(gòu)。因此,方塊408示出每個存儲子系統(tǒng)使用端口登錄(PLOGI)請求強制所有主機登錄回該存儲子系統(tǒng)。然后,過程終止,如方塊410所示。
      圖5是示出了根據(jù)本發(fā)明的示例性實施例的將對結(jié)構(gòu)的訪問僅限于授權(quán)設(shè)備的高級流程圖。過程開始,如方塊500所示,此后轉(zhuǎn)到方?jīng)Q502,方塊502示出了光纖通道(FC)交換機接收登錄到光纖通道交換機的F端口之一的FLOGI請求。F端口具有特定的名稱,如全球端口名(WWPN)。請求包括發(fā)送該請求的主機的N端口的特定WWPN。接著,方塊504示出了光纖通道交換機從請求中收集主機的N端口的WWPN。包括在請求中的WWPN和F端口的WWPN形成“接收對”。
      然后,方塊506示出了光纖通道交換機訪問其關(guān)聯(lián)表以查找包括請求N端口WWPN的對。光纖通道交換機獲取表中與發(fā)出請求的N端口的WWPN配對的F端口WWPN。從關(guān)聯(lián)表中獲取的對形成“授權(quán)對”。
      然后,過程轉(zhuǎn)到方塊508,其示出了判定接收對是否匹配授權(quán)對。如果接收對不匹配授權(quán)對,則過程轉(zhuǎn)到方塊510,方塊510示出了光纖通道交換機拒絕FLOGI請求。然后,過程終止,如方?jīng)Q512所示。
      再次參考方塊508,如果判定接收對確實匹配授權(quán)對,則過程轉(zhuǎn)到示出光纖通道交換機接受FLOGI請求的方塊514。接著,方塊516示出光纖通道交換機創(chuàng)建主機的N端口的源ID(SID)并將主機的N端口WWPN及其SID存儲在光纖通道交換機的名稱服務(wù)器表中。此后,方塊518示出了光纖通道交換機將SID發(fā)送到主機,以便主機可以在通過主機的N端口的未來通信中使用該SID。然后,過程終止,如方塊512所示。
      圖6是示出了根據(jù)本發(fā)明的示例性實施例的接收設(shè)備將對接收設(shè)備的訪問僅限于那些授權(quán)的請求設(shè)備的高級流程圖。過程開始,如方塊600所示,此后轉(zhuǎn)到方塊602,其示出了接收設(shè)備(如主機或存儲子系統(tǒng))通過請求設(shè)備(如主機或存儲子系統(tǒng))的N端口從請求設(shè)備接收PLOGI請求以登錄到接收設(shè)備。所述請求包括發(fā)出請求的N端口的特定WWPN和源標識符(SID)。接著,方塊604示出了接收設(shè)備從該請求收集發(fā)出請求的N端口的WWPN和SID。
      過程然后轉(zhuǎn)到方塊606,方塊606示出了接收設(shè)備訪問其交換機中的名稱服務(wù)器表并為包括在PLOGI請求中的SID從表中獲取F端口WWPN。包括在請求中的N端口WWPN和從名稱服務(wù)器表中獲取的F端口WWPN形成了“接收對”。方塊608然后示出了接收設(shè)備訪問其關(guān)聯(lián)表以查找包括請求中包含的N端口WWPN的對。接收設(shè)備獲取與請求N端口的WWPN一起包括在表中的F端口的WWPN。從表中獲取的對形成“授權(quán)對”。
      過程然后轉(zhuǎn)到示出判定接收對是否匹配授權(quán)對的方塊610。如果判定接收對不匹配授權(quán)對,則過程轉(zhuǎn)到示出接收設(shè)備拒絕PLOGI請求的方塊612。過程然后終止,如方塊614所示。再次參考方塊610,如果判定接收對匹配授權(quán)對,則過程轉(zhuǎn)到示出接收設(shè)備接受PLOGI請求的方塊616。過程然后終止,如方塊614所示。
      圖7A和7B是共同示出了根據(jù)本發(fā)明的示例性實施例的交換機將對接收設(shè)備的訪問僅限于那些授權(quán)的請求設(shè)備的高級流程圖。過程開始,如方塊700所示,此后轉(zhuǎn)到方塊702,方塊702示出了請求設(shè)備(如主機或存儲子系統(tǒng))通過發(fā)出請求的設(shè)備的N端口做出登錄到特定接收設(shè)備(如主機或存儲子系統(tǒng))的PLOGI請求。該請求包括發(fā)出請求的N端口的特定WWPN和特定源標識符(SID)。接著,方塊704示出交換機打開PLOGI請求的頭部并收集包括在頭部中的WWPN。然后,方塊706示出交換機使用請求中提供的SID來查詢交換機的名稱服務(wù)器表,以從中獲取與包括在請求中的此SID關(guān)聯(lián)的N端口WWPN。
      過程然后轉(zhuǎn)到方塊708,其示出了判定從請求中獲取的N端口WWPN是否匹配從名稱服務(wù)器表中獲取的N端口WWPN。如果判定從請求中獲取的N端口WWPN不匹配從名稱服務(wù)器表中獲取的N端口WWPN,則過程轉(zhuǎn)到示出交換機丟棄PLOGI請求幀的方塊710。然后過程終止,如方塊712所示。
      再次參考方塊708,如果判定從請求中獲取的N端口WWPN確實匹配從名稱服務(wù)器表中獲取的N端口WWPN,則過程轉(zhuǎn)到方塊714,方塊714示出了交換機從名稱服務(wù)器表中查找與請求SID關(guān)聯(lián)的F端口WWPN。接著,方塊716示出從請求中獲取的N端口WWPN和從名稱服務(wù)器表中獲取的F端口WWPN形成“接收對”。方塊718然后示出交換機訪問其關(guān)聯(lián)表以查找包括請求中包含的N端口WWPN的N端口/F端口對。從表中獲取的N端口/F端口對形成“授權(quán)對”。
      過程然后轉(zhuǎn)到示出判定接收對是否匹配授權(quán)對的方塊720。如果判定接收對不匹配授權(quán)對,則過程轉(zhuǎn)到示出交換機丟棄PLOGI請求幀的方塊722。然后過程終止,如方塊712所示。
      再次參考方塊720,如果判定接收對確實匹配授權(quán)對,則過程轉(zhuǎn)到示出交換機授權(quán)PLOGI請求的方塊724。方塊726然后示出交換機將PLOGI請求幀發(fā)送到其目的地。然后過程終止,如方塊712所示。
      圖8是根據(jù)本發(fā)明的用于實現(xiàn)圖1的任何數(shù)據(jù)處理系統(tǒng)的數(shù)據(jù)處理系統(tǒng)的方塊圖。數(shù)據(jù)處理系統(tǒng)800可以是包括多個連接到系統(tǒng)總線806的處理器802和804的對稱多處理器(SMP)系統(tǒng)。備選地,可以使用單處理器系統(tǒng)。在示出的實例中,處理器804是服務(wù)處理器。同樣連接到系統(tǒng)總線806的是提供到本地存儲器809的接口的存儲器控制器/高速緩存808。I/O總線橋810連接到系統(tǒng)總線806并提供到I/O總線812的接口。存儲器控制器/高速緩存808和I/O總線橋810可以如所示出的那樣集成。
      連接到I/O總線812的外圍組件互連(PCI)總線橋814提供了到PCI本地總線816的接口。許多I/O適配器(如調(diào)制解調(diào)器818)可以連接到PCI總線816。典型的PCI總線實現(xiàn)將支持四個PCI擴展槽或附加連接器。可以通過調(diào)制解調(diào)器818和光纖通道主機總線適配器820提供到其他計算機的通信鏈路。主機總線適配器(HBA)820使得數(shù)據(jù)處理系統(tǒng)800能夠通過光纖通道鏈路880從結(jié)構(gòu)110發(fā)送和接收消息。
      其他PCI總線橋822和824為其他PCI總線826和828提供了接口,從所述接口可以支持其他調(diào)制解調(diào)器或網(wǎng)絡(luò)適配器。按照此方式,數(shù)據(jù)處理系統(tǒng)800允許到多個網(wǎng)絡(luò)計算機的連接。
      存儲器映射的圖形適配器830和硬盤832也可以如圖所示直接或間接地連接到I/O總線812。
      本發(fā)明的示例性實施例的優(yōu)點有很多。本發(fā)明的示例性實施例提供了防止存儲子系統(tǒng)和設(shè)備WWPN受到欺騙的安全解決方案。
      本發(fā)明的示例性實施例需要SAN管理員生成簡單的表,以便通過定義授權(quán)的N端口/F端口對來定義授權(quán)的連接。
      例如,本發(fā)明的示例性實施例可以通過FC交換機操作環(huán)境,和/或存儲子系統(tǒng)端口接口微碼來實現(xiàn)。
      本發(fā)明的示例性實施例不依賴于任何特定硬件、軟件或操作系統(tǒng),并且可以容易地部署在包括異類主機、交換機和存儲子系統(tǒng)的SAN中。
      本發(fā)明的示例性實施例在現(xiàn)有光纖通道NCITS T11工作組協(xié)議標準中工作。
      本發(fā)明可以采取完全硬件實施例、完全軟件實施例或包含硬件和軟件元素兩者的實施例的形式。在一個優(yōu)選實施例中,本發(fā)明以軟件實現(xiàn),所述軟件包括但不限于固件、駐留軟件、微代碼等。
      此外,本發(fā)明可以采取可從計算機可用或計算機可讀介質(zhì)訪問的計算機程序產(chǎn)品的形式,所述計算機可用或計算機可讀介質(zhì)提供了可以被計算機或任何指令執(zhí)行系統(tǒng)使用或與計算機或任何指令執(zhí)行系統(tǒng)結(jié)合的程序代碼。出于此描述的目的,計算機可用或計算機可讀介質(zhì)可以是任何能夠包含、存儲、傳送、傳播或傳輸由指令執(zhí)行系統(tǒng)、裝置或設(shè)備使用或與所述指令執(zhí)行系統(tǒng)、裝置或設(shè)備結(jié)合的程序的有形裝置。
      所述介質(zhì)可以是電、磁、光、電磁、紅外線或半導(dǎo)體系統(tǒng)(或裝置或設(shè)備)或傳播介質(zhì)。計算機可讀介質(zhì)的實例包括半導(dǎo)體或固態(tài)存儲器、磁帶、可移動計算機盤、隨機存取存儲器(RAM)、只讀存儲器(ROM)、硬磁盤和光盤。光盤的當前實例包括光盤-只讀存儲器(CD-ROM)、光盤-讀/寫(CR-R/W)和DVD。
      適合于存儲和/或執(zhí)行程序代碼的數(shù)據(jù)處理系統(tǒng)將包括至少一個通過系統(tǒng)總線直接或間接連接到存儲器元件的處理器。所述存儲器元件可以包括在程序代碼的實際執(zhí)行期間采用的本地存儲器、大容量存儲裝置以及提供至少某些程序代碼的臨時存儲以減少必須在執(zhí)行期間從大容量存儲裝置檢索代碼的次數(shù)的高速緩沖存儲器。
      輸入/輸出或I/O設(shè)備(包括但不限于鍵盤、顯示器、指點設(shè)備等)可以直接或通過中間I/O控制器與系統(tǒng)相連。
      網(wǎng)絡(luò)適配器也可以被連接到系統(tǒng)以使所述數(shù)據(jù)處理系統(tǒng)能夠通過中間專用或公共網(wǎng)絡(luò)變得與其他數(shù)據(jù)處理系統(tǒng)或遠程打印機或存儲設(shè)備相連。調(diào)制解調(diào)器、電纜調(diào)制解調(diào)器和以太網(wǎng)卡只是幾種當前可用的網(wǎng)絡(luò)適配器類型。
      出于示例和說明目的給出了對本發(fā)明的描述,并且所述描述并非旨在是窮舉的或是將本發(fā)明限于所公開的形式。對于本領(lǐng)域的技術(shù)人員來說,許多修改和變化都將是顯而易見的。實施例的選擇和描述是為了最佳地解釋本發(fā)明的原理、實際應(yīng)用,并且當適合于所構(gòu)想的特定使用時,使得本領(lǐng)域的其他技術(shù)人員能夠理解本發(fā)明的具有各種修改的各種實施例。
      權(quán)利要求
      1.一種在存儲區(qū)域網(wǎng)絡(luò)中的計算機實現(xiàn)的方法,所述存儲區(qū)域網(wǎng)絡(luò)包括用于保護對存儲節(jié)點端口的訪問的交換結(jié)構(gòu),所述計算機實現(xiàn)的方法包括指定結(jié)構(gòu)端口標識符和節(jié)點端口標識符的授權(quán)的組合;從設(shè)備接收訪問特定存儲節(jié)點端口的請求;從所述請求確定標識正在嘗試訪問所述特定存儲節(jié)點端口的所述設(shè)備的節(jié)點端口標識符;確定標識所述設(shè)備通過其傳輸所述請求的結(jié)構(gòu)端口的結(jié)構(gòu)端口標識符;以及判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符是否形成授權(quán)的組合。
      2.根據(jù)權(quán)利要求1的計算機實現(xiàn)的方法,還包括響應(yīng)于判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符對確實形成了授權(quán)的組合,允許所述設(shè)備訪問所述特定存儲節(jié)點端口;以及響應(yīng)于判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符對沒有形成授權(quán)的組合,禁止所述設(shè)備訪問所述特定存儲節(jié)點端口。
      3.根據(jù)權(quán)利要求1的計算機實現(xiàn)的方法,其中所述確定標識所述設(shè)備通過其傳輸所述請求的結(jié)構(gòu)端口的結(jié)構(gòu)端口標識符的步驟還包括確定標識所述設(shè)備通過其登錄到所述結(jié)構(gòu)上的結(jié)構(gòu)端口的結(jié)構(gòu)端口標識符。
      4.根據(jù)權(quán)利要求1的計算機實現(xiàn)的方法,還包括將結(jié)構(gòu)端口標識符和節(jié)點端口標識符的所述授權(quán)的組合存儲在所述結(jié)構(gòu)中的每個交換機內(nèi);由第一交換機接收訪問所述特定存儲節(jié)點端口的所述請求;由所述第一交換機判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符是否形成授權(quán)的組合;響應(yīng)于由所述第一交換機判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符對確實形成了授權(quán)的組合,將所述請求轉(zhuǎn)發(fā)到所述特定存儲節(jié)點端口;所述特定存儲節(jié)點端口允許訪問所述節(jié)點端口以響應(yīng)所述特定存儲節(jié)點端口接收到所述請求;以及響應(yīng)于由所述第一交換機判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符對沒有形成授權(quán)的組合,由所述第一交換機丟棄所述請求,其中所述特定存儲節(jié)點端口不會接收或處理所述請求,并且其中禁止對所述特定存儲節(jié)點端口的訪問。
      5.根據(jù)權(quán)利要求1的計算機實現(xiàn)的方法,還包括將結(jié)構(gòu)端口標識符和節(jié)點端口標識符的所述授權(quán)的組合存儲在所述特定存儲節(jié)點端口中;由所述特定存儲節(jié)點端口接收訪問所述特定存儲節(jié)點端口的所述請求;由所述特定存儲節(jié)點端口判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符是否形成授權(quán)的組合;響應(yīng)于由所述特定存儲節(jié)點端口判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符對確實形成了授權(quán)的組合,由所述特定存儲節(jié)點端口處理所述請求,其中允許對所述特定存儲節(jié)點端口的訪問;以及響應(yīng)于由所述特定存儲節(jié)點端口判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符對沒有形成授權(quán)的組合,由所述特定存儲節(jié)點端口丟棄所述請求,其中禁止對所述特定存儲節(jié)點端口的訪問。
      6.根據(jù)權(quán)利要求1的計算機實現(xiàn)的方法,其中所述從設(shè)備接收訪問特定存儲節(jié)點端口的請求的步驟還包括從設(shè)備接收登錄到所述特定存儲節(jié)點端口中的端口登錄請求。
      7.根據(jù)權(quán)利要求1的計算機實現(xiàn)的方法,還包括在接收訪問所述特定存儲節(jié)點端口的所述請求之前,由所述結(jié)構(gòu)中的交換機內(nèi)的第二結(jié)構(gòu)端口接收所述設(shè)備訪問所述結(jié)構(gòu)的請求;由所述交換機從所述請求來確定標識正在嘗試訪問所述結(jié)構(gòu)的所述設(shè)備的第二節(jié)點端口標識符;由所述交換機確定標識所述第二結(jié)構(gòu)端口的第二結(jié)構(gòu)端口標識符;以及判定所述第二結(jié)構(gòu)端口標識符和所述第二節(jié)點端口標識符是否形成授權(quán)的組合。
      8.根據(jù)權(quán)利要求7的計算機實現(xiàn)的方法,還包括響應(yīng)于判定所述第二結(jié)構(gòu)端口標識符和所述第二節(jié)點端口標識符形成授權(quán)的組合,由所述交換機處理登錄到所述結(jié)構(gòu)的所述請求,其中所述設(shè)備登錄到所述結(jié)構(gòu);以及響應(yīng)于判定所述第二結(jié)構(gòu)端口標識符和所述第二節(jié)點端口標識符沒有形成授權(quán)的組合,由所述交換機丟棄登錄到所述結(jié)構(gòu)的所述請求,其中通過所述結(jié)構(gòu)端口訪問所述結(jié)構(gòu)被禁止。
      9.一種在存儲區(qū)域網(wǎng)絡(luò)中的裝置,所述存儲區(qū)域網(wǎng)絡(luò)包括用于保護對存儲節(jié)點端口的訪問的交換結(jié)構(gòu),所述裝置包括結(jié)構(gòu)端口標識符和節(jié)點端口標識符的授權(quán)的組合;特定存儲節(jié)點端口,所述特定存儲節(jié)點端口從設(shè)備接收訪問特定存儲節(jié)點端口的請求;所述特定存儲節(jié)點端口從所述請求來確定標識正在嘗試訪問所述特定存儲節(jié)點端口的所述設(shè)備的節(jié)點端口標識符;所述特定存儲節(jié)點端口確定標識所述設(shè)備通過其傳輸所述請求的結(jié)構(gòu)端口的結(jié)構(gòu)端口標識符;以及所述特定存儲節(jié)點端口判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符是否形成授權(quán)的組合。
      10.根據(jù)權(quán)利要求9的裝置,還包括響應(yīng)于判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符對確實形成了授權(quán)的組合,所述特定存儲節(jié)點端口允許所述設(shè)備訪問所述特定存儲節(jié)點端口;以及響應(yīng)于判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符對沒有形成授權(quán)的組合,所述特定存儲節(jié)點端口禁止所述設(shè)備訪問所述特定存儲節(jié)點端口。
      11.根據(jù)權(quán)利要求9的裝置,其中所述特定存儲節(jié)點端口確定標識所述設(shè)備通過其傳輸所述請求的結(jié)構(gòu)端口的結(jié)構(gòu)端口標識符的步驟還包括所述特定存儲節(jié)點端口確定標識所述設(shè)備通過其登錄到所述結(jié)構(gòu)上的結(jié)構(gòu)端口的結(jié)構(gòu)端口標識符。
      12.根據(jù)權(quán)利要求9的裝置,還包括所述結(jié)構(gòu)包括交換機,所述交換機用于在其中存儲結(jié)構(gòu)端口標識符和節(jié)點端口標識符的所述授權(quán)的組合;所述交換機在所述特定存儲節(jié)點端口接收訪問所述特定存儲節(jié)點端口的所述請求之前攔截所述請求;所述交換機判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符是否形成授權(quán)的組合;響應(yīng)于由所述交換機判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符對確實形成了授權(quán)的組合,所述交換機將所述請求轉(zhuǎn)發(fā)到所述特定存儲節(jié)點端口;所述特定存儲節(jié)點端口允許訪問所述節(jié)點端口以響應(yīng)所述特定存儲節(jié)點端口接收到所述請求;以及響應(yīng)于由所述交換機判定所述結(jié)構(gòu)端口標識符和所述節(jié)點端口標識符對沒有形成授權(quán)的組合,所述交換機丟棄所述請求,其中所述特定存儲節(jié)點端口不會接收或處理所述請求,并且其中禁止對所述特定存儲節(jié)點端口的訪問。
      13.根據(jù)權(quán)利要求9的裝置,其中特定存儲節(jié)點端口從設(shè)備接收訪問特定存儲節(jié)點端口的請求還包括特定存儲節(jié)點端口從設(shè)備接收登錄到所述特定存儲節(jié)點端口中的端口登錄請求。
      14.根據(jù)權(quán)利要求9的裝置,還包括在所述特定存儲節(jié)點端口接收訪問所述特定存儲節(jié)點端口的所述請求之前,由所述結(jié)構(gòu)中的交換機內(nèi)的第二結(jié)構(gòu)端口接收所述設(shè)備訪問所述結(jié)構(gòu)的請求;所述交換機從所述請求來確定標識正在嘗試訪問所述結(jié)構(gòu)的所述設(shè)備的第二節(jié)點端口標識符;所述交換機確定標識所述第二結(jié)構(gòu)端口的第二結(jié)構(gòu)端口標識符;以及所述交換機判定所述第二結(jié)構(gòu)端口標識符和所述第二節(jié)點端口標識符是否形成授權(quán)的組合。
      15.根據(jù)權(quán)利要求14的裝置,還包括響應(yīng)于判定所述第二結(jié)構(gòu)端口標識符和所述第二節(jié)點端口標識符形成授權(quán)的組合,所述交換機處理登錄到所述結(jié)構(gòu)的所述請求,其中所述設(shè)備登錄到所述結(jié)構(gòu);以及響應(yīng)于判定所述第二結(jié)構(gòu)端口標識符和所述第二節(jié)點端口標識符沒有形成授權(quán)的組合,所述交換機丟棄登錄到所述結(jié)構(gòu)的所述請求,其中通過所述結(jié)構(gòu)端口訪問所述結(jié)構(gòu)被禁止。
      全文摘要
      本發(fā)明公開了一種用于保護交換結(jié)構(gòu)存儲區(qū)域網(wǎng)絡(luò)中的節(jié)點端口訪問的計算機實現(xiàn)的方法、裝置和計算機程序產(chǎn)品。指定結(jié)構(gòu)端口標識符和節(jié)點端口標識符的允許的組合。節(jié)點端口接收訪問所述節(jié)點端口的請求。從所述請求確定節(jié)點端口標識符,所述節(jié)點端口標識符標識了正在嘗試訪問所述節(jié)點端口的設(shè)備。確定標識所述設(shè)備通過其傳輸所述請求的結(jié)構(gòu)端口的結(jié)構(gòu)端口標識符。如果所述結(jié)構(gòu)端口標識符和節(jié)點端口標識符形成允許的組合,則允許訪問所述節(jié)點端口。
      文檔編號H04L12/24GK101047594SQ200710091549
      公開日2007年10月3日 申請日期2007年3月27日 優(yōu)先權(quán)日2006年3月28日
      發(fā)明者B·S·巴內(nèi)特, M·E·蘭特, D·G·艾森豪威爾 申請人:國際商業(yè)機器公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1