[发明专利]一种基于硬件信息的存储系统访问的双向认证方法及装置

说明书

本发明提供一种基于硬件信息的存储系统访问的双向认证方法及装置，所述方法步骤：获取主机及存储的硬件信息分别保存到对方系统中；主机访问存储将自身硬件信息哈希值计算出主机硬件识别码，与认证信息生成主机认证包发送给存储进行比对，在比对不通过时，拒绝主机访问；将存储硬件信息计算出存储硬件识别码，放入存储认证包发送给主机进行比对，在比对不通过时，放弃访问存储；从存储硬件识别码中获取存储硬件信息，与主机自身的硬件信息计算出组合硬件识别码，放入主机认证响应包中发送给存储进行认证，在比对不通过时，拒绝该主机访问，以及比对通过时，允许该主机访问。本发明实现存储与主机之间的双向认证，三重验证硬件信息保证访问安全。

技术领域

本发明属于存储安全技术领域，具体涉及一种基于硬件信息的存储系统访问的双向认证方法及装置。

背景技术

随着云计算、物联网、移动计算等技术的发展和应用领域的不断拓宽，现代信息技术在社会生产生活中的引领作用越来越突出，信息技术手段在社会各领域中的支撑功能越来越重要。与此同时，无论是信息的提供者还是访问者，对信息的安全要求及重视程度越来越高，人们对信息安全的要求已超出了传统定义中的保密性、完整性、可靠性、可用性和不可抵赖性这五大要素。业务系统的数据是数据中心的核心资产，业务数据主要存储在存储系统上，存储系统成为了当前数据中心的核心基础设施。目前，针对存储系统的恶意攻击和业务数据的非法获取，呈逐年上升之势，所以对存储系统的保护越来越重要。这其中绕过存储系统的认证措施，未经许可的使用存储和非法的访问存储系统是黑客最常见的攻击存储系统的方式。

存储系统对于主机系统访问的认证方式属于通用的机机认证方式，即业务系统提供用户名和密码的认证方式，存储系统获取到主机系统提供的用户名和密码后，与预先存储在自身系统内的用户名和密码进行匹配，验证通过后，主机系统就可以正常访问存储系统了。这种认证方式目前暴露出的安全问题，已经越来越大了。首先是认证信息容易被破解。用户名一般设置为简单的字符串，很容易被猜测到。密码的长度如果较短或者密码的复杂度较低，密码很容易被暴力破解。既使增加密码的长度和增强密码的复杂度，密码也很难逃过恶意程序通过彩虹表进行破解。

目前对于认证信息被破解的问题，一般是引入额外的认证方式(例如：软件证书等)，组成多因素认证，这样黑客即使破解了用户名和密码，想再绕过另外的认证方式就比较难了，增加了非法访问者获取存储系统访问能力的难度，但软件证书等额外认证信息也存在泄漏的问题。其次是一些非法访问者，通过其它途径(例如：社会工程学或钓鱼网址)获得了认证信息，然后通过自开发的恶意系统仿冒合法主机系统盗取或破坏存储系统的数据。目前存储系统对于这种仿冒行为，一直缺乏合理的应对方案，多是在数据被盗或被毁后才被发觉，造成的损失已无法弥补。同时，主机系统也无法避免自己要访问的存储系统被仿冒，以致自身访问数据的真实性和完整性无法保证。

此为现有技术的不足，因此，针对现有技术中的上述缺陷，提供一种基于硬件信息的存储系统访问的双向认证方法及装置，是非常有必要的。

发明内容

针对现有技术的上述现有存储系统对于主机系统的访问认证方式存在安全问题，以及存储系统被仿冒，导致主机系统无法获取真实数据的缺陷，本发明提供一种基于硬件信息的存储系统访问的双向认证方法及装置，以解决上述技术问题。

第一方面，本发明提供一种基于硬件信息的存储系统访问的双向认证方法，包括如下步骤：

S1.获取要对存储系统进行访问的主机系统及存储系统自身的硬件信息，并将各自的硬件信息取哈希值后，预先设置保存到对方系统中；

S2.当有主机系统访问存储系统时，该主机系统将自身硬件信息哈希值，根据与存储系统约定的第一算法计算出主机硬件识别码，再将主机硬件识别码与认证信息生成主机认证数据包发送给存储系统进行比对，存储系统在比对不通过时，拒绝该主机系统访问；