[发明专利]一种存储系统数据访问控制系统及其方法

摘要

本发明公开了一种存储系统数据访问控制系统及其方法，系统包括安全策略服务器，应用服务器及访问安全代理，存储安全网关以及存储系统四个逻辑功能部件；其依据安全策略生成访问数据块的安全载荷信息，数据安全载荷的传输和存储，解析协议获取安全载荷，依据安全载荷计算并验证访问请求的合法性，并控制对数据的访问是否允许或拒绝。本发明通过在存储系统数据访问协议层上增加安全载荷，并利用安全代理软件对安全载荷进行解析，并根据安全载荷实施对数据的访问控制，能够真正做到对数据访问强度更高，粒度更细的安全控制。

主权项

一种存储系统数据访问控制系统，其特征在于：包括安全策略服务器，应用服务器及访问安全代理，存储安全网关以及存储系统；所述安全策略服务器负责配置和保存所有数据访问的安全策略，数据的安全属性将根据依据针对该数据的访问控制策略制定并生成；安全策略则依据具体的应用环境数据访问安全需求由安全管理人员制定并配置；所述应用服务器及访问安全代理：应用服务器是运行有数据访问需求的应用程序的系统或接收来自客户端的数据访问请求的实体，应用服务器运行访问安全代理实现对存储安全网关和存储系统的数据访问，包括应用服务器自身的IO子系统和存储系统驱动模块；访问安全代理则负责对用户的数据访问请求进行处理，包括安全载荷的生成和封装，并转换为IO请求，通过底层驱动程序实际操作存储系统的物理存储设备或虚拟存储设备，并响应访问请求；所述存储安全网关是一个逻辑功能实体，位于存储系统和应用服务器及访问安全代理之间，存储安全网关是软件实现的功能部件或者是采用硬件方式的存储网关类设备；存储安全网关负责对数据安全载荷进行解析，依据安全载荷计算并验证数据的访问是否符合安全策略，并依据验证结果对访问请求进行控制，允许或拒绝对数据的访问；所述存储系统包括物理或虚拟的存储设备；其是数据访问请求实际操作数据的物理或虚拟存储设备，其是数据的主要存储地；所述应用服务器及访问安全代理包括安全协议扩展模块、安全载荷管理模块、安全策略缓存和虚拟端口驱动及IO传输模块；在应用服务器上的安全协议扩展模块负责将IO请求进行底层传输协议层的封装，将安全载荷与数据块封装为存储传输协议层能够识别的数据包；安全协议扩展模块同安全载荷管理模块进行通信，获取安全载荷信息；安全协议扩展模块维护安全载荷以及安全策略缓存，已减少访问安全策略库的次数；安全协议扩展模块还负责将数据包重新封装为存储系统所支持的传输协议进行传输，以兼容不同的存储系统；所述安全载荷管理模块进行数据安全载荷和访问安全载荷的计算，有效性验证以及合法性验证；应用服务器上的安全载荷管理模块负责根据安全策略中包含的请求方主体安全属性信息计算后生产数据安全载荷以及访问安全载荷；应用服务器上的安全策略缓存用于将从安全策略服务器获取的安全策略缓存到本地，并供本地查询和判断使用；所述虚拟端口驱动及IO传输模块：由应用服务器的IO子系统通过虚拟端口的方式提供对底层存储设备的驱动，负责将操作系统的数据访问请求转换为存储设备识别的IO请求，并通过驱动程序传输到存储系统上。