[发明专利]一种NVMe-oF存储系统的数据安全保护方法及装置

说明书

本发明公开了一种NVMe‑oF存储系统的数据安全保护方法及装置，涉及存储技术领域。所述方法包括：通过监控主机与存储系统间的连接获取数据访问请求消息；数据访问请求消息中包含有存储访问操作指令；解析数据访问请求消息，确定主机的存储访问操作指令；根据主机与存储系统间的连接及存储访问操作指令，确定主机与对应存储系统的预设访问规则，并在预设访问权限规则中确定主机的存储访问权限的类型，根据存储访问权限的类型，处理主机的存储访问操作指令；其中，预设访问规则中预先设置了主机的标识信息、对应的至少一个存储访问对象的标识信息，及主机对所述至少一个存储访问对象的存储访问权限的类型。本申请用以提高数据安全性。

技术领域

本发明涉及存储技术领域，具体涉及一种NVMe-oF存储系统的数据安全保护方法及装置。

背景技术

固态驱动器(Solid-State Drive，SSD)正在取代了传统的硬盘驱动器(HardDiskDrive，HDD)，迅速成为现代IT基础设施的主要存储元件。SSD提供非常低的延迟、高数据读取/写入吞吐量以及可靠的用户数据存储。NVMe-oF(Non-Volatile Memory expressover Fabrics，光纤高速非易失性存储器)是一项新兴技术，其允许数百甚至数千个高速非易失性存储器(NVMe)SSD通过以太网连接。NVMe-oF协议实现了远程直接连接存储实施。这允许大量的SSD连接到远程主机。NVMe-oF协议使用远程直接存储器访问(RDMA)协议来提供用于携带NVMe命令、数据和响应的可靠传输服务。

NVMe-oF协议建立在NVMe基础规格说明书定义的NVM subsystem(非易失性存储子系统)架构之上。一个NVM subsystem表示一个1至64K个用于访问命名空间(namespace)的控制器(controller)的集合。controller可以通过1到64K个NVM subsystem端口(ports)与主机们相关联。

随着NVMe-oF协议在存储行业的应用不断推广，其安全性也越来越受到重视。目前，在NVMe-oF的存储系统中，通过主机NVMe限定名(NVMe QualifiedName，NQN)和NVMsubsystemNQN之间的映射来控制主机对各命名空间(namespace)的访问权限。但是，这种简单的通过NVMe命令空间映射进行权限控制的方式器控制力度粗糙，并且缺乏访问权限的限制，存储系统的数据安全性较差。

发明内容

本发明提供一种NVMe-oF存储系统的数据安全保护方法及装置，用以提高存储系统的数据安全性。

为实现上述目的，本发明的技术方案如下：

本发明实施例提供了一种NVMe-oF存储系统的数据安全保护方法，包括：获取数据访问请求消息；所述数据访问请求消息中包含有存储访问操作指令、主机的标识信息及对应的目标存储访问对象的标识信息；

解析所述数据访问请求消息，确定所述主机的存储访问操作指令、主机的标识信息及对应的目标存储访问对象的标识信息；

根据所述主机的标识信息、对应的目标存储访问对象的标识信息及存储访问操作指令，确定所述主机与对应存储系统的预设访问规则，并在预设访问权限规则中确定所述主机的存储访问权限的类型，根据所述存储访问权限的类型，处理所述主机的存储访问操作指令；其中，所述预设访问规则中预先设置了主机的标识信息、对应的至少一个存储访问对象的标识信息，及所述主机对所述至少一个存储访问对象的存储访问权限的类型。

可选地，所述据所述主机的标识信息、对应的目标存储访问对象的标识信息及存储访问操作指令，确定所述主机与对应存储系统的预设访问规则包括：

根据所述主机的标识信息、对应的目标存储访问对象的标识信息及存储访问操作指令，按照所述预设访问规则的设置顺序，查找所述预设访问规则，若查找出匹配项，则将所述匹配项确定为所述主机与对应存储系统的预设访问规则；