一种面向多数据中心的安全体系实现方法.pdf

摘要
申请专利号：	CN201410349288.3	申请日：	2014.07.22
公开号：	CN104104683A	公开日：	2014.10.15
当前法律状态：	撤回	有效性：	无权
法律详情：	发明专利申请公布后的视为撤回IPC(主分类):H04L 29/06申请公布日:20141015\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20140722\|\|\|公开
IPC分类号：	H04L29/06; H04L29/08	主分类号：	H04L29/06
申请人：	浪潮电子信息产业股份有限公司
发明人：	刘变红; 袁鹏飞; 吴庆民
地址：	250101 山东省济南市高新区舜雅路1036号
优先权：
专利代理机构：	济南信达专利事务所有限公司 37100	代理人：	姜明
PDF下载：	PDF下载

内容摘要

本发明公开了一种面向多数据中心的安全体系实现方法，包括如下步骤：于每个数据中心安装一个管理服务器，多个数据中心之间的管理服务器通过管理网络进行互联；按照一定的逻辑关系将系统划分为复数个问题域，每个问题域中会包含多个对象，对象与对象之间相互作用，有机结合；用户在客户端发起存储对象操作请求，HTTPClient发送请求给管理服务器，管理服务器接收信息并CIM-XML解码；进行安全机制验证以及用户权限验证。本发明面向多数据中心的安全体系对整个存储网络进行统一的安全管理，实现对所有节点状态和节点存储对象状态信息的安全保证，能够保证多元化环境的数据安全，以及实现用户方便管理。

权利要求书

1.  一种面向多数据中心的安全体系实现方法，其特征在于，包括如下步骤：
于每个数据中心安装一个管理服务器，多个数据中心之间的管理服务器通过管理网络进行互联；
按照一定的逻辑关系将系统划分为复数个问题域，每个问题域中会包含多个对象，对象与对象之间相互作用，有机结合；
用户在客户端发起存储对象操作请求，HTTP Client发送请求给管理服务器，管理服务器接收信息并CIM-XML解码；
进行安全机制验证以及用户权限验证。

2.  如权利要求1所述面向多数据中心的安全体系实现方法，其特征在于，所述进行安全机制验证以及用户权限验证具体包括有以下步骤：
面向多数据中心的安全体系的安全认证；
面向多数据中心的授权；
面向多数据中心的通信安全。

3.  如权利要求2所述面向多数据中心的安全体系实现方法，其特征在于，所述面向多数据中心的授权过程是指对用户进行某项操作的权限授予过程。

4.  如权利要求3所述面向多数据中心的安全体系实现方法，其特征在于，所述面向多数据中心的授权过程具体包括：
a) 资源对象的授权：
b) 命令授权。

5.  如权利要求4所述面向多数据中心的安全体系实现方法，其特征在于：在面向多数据中心的安全体系中存在着本地用户和远程用户；其中，本地用户和远程用户采用的是服务器端对客户端进行的认证方式。

说明书

一种面向多数据中心的安全体系实现方法
技术领域
本发明属于计算机技术领域，涉及一种面向多数据中心的安全体系实现方法。
背景技术
计算机及性领域中，科学计算领域中的科学数据呈现爆炸式增长，未来的科学计算将以数据为中心，海量的科学数据分布在各种自治管理域中的异构存储资源上，使得用户对这些科学数据的访问变得非常复杂、低效，所以必须为用户提供行之有效的方法，实现方便、高效、透明、统一的数据访问。
面向多数据中心的安全体系是要对多个数据中心的数据存储实现统一管理并且保证数据安全。客户数据中心现在以及未来均将呈现出存储系统的多元化趋势，多元化包括存储设备的多元化、存储网络的多元化、数据类型的多元化等。为了对多元化的环境进行数据安全保证及实现用户方便管理，需要对此进行研究，以提供一种方案，以保证多元化环境的数据安全，并保证用户方便管理。
发明内容
为解决上述问题，本发明的目的在于提供一种面向多数据中心的安全体系实现方法，以保证多元化环境的数据安全，以及实现用户方便管理。
为实现上述目的，本发明的技术方案为：
一种面向多数据中心的安全体系实现方法，包括如下步骤：
于每个数据中心安装一个管理服务器，多个数据中心之间的管理服务器通过管理网络进行互联；
按照一定的逻辑关系将系统划分为复数个问题域，每个问题域中会包含多个对象，对象与对象之间相互作用，有机结合；
用户在客户端发起存储对象操作请求，HTTP Client发送请求给管理服务器，管理服务器接收信息并CIM-XML解码；
进行安全机制验证以及用户权限验证。
进一步地，所述进行安全机制验证以及用户权限验证具体包括有以下步骤：
面向多数据中心的安全体系的安全认证；
面向多数据中心的授权；
面向多数据中心的通信安全。
进一步地，所述面向多数据中心的授权过程是指对用户进行某项操作的权限授予过程。
进一步地，所述面向多数据中心的授权过程具体包括：
a) 资源对象的授权：
b) 命令授权。
进一步地，在面向多数据中心的安全体系中存在着本地用户和远程用户；其中，本地用户和远程用户采用的是服务器端对客户端进行的认证方式。
相较于现有技术，本发明一种面向多数据中心的安全体系实现方法面向多数据中心的安全体系对整个存储网络进行统一的安全管理，实现对所有节点状态和节点存储对象状态信息的安全保证，能够保证多元化环境的数据安全，以及实现用户方便管理。
附图说明
图1是本发明的流程图示。
图2是本发明的数据流程图示。
图3是本发明数据传输示意图。
图4是本发明问题域划分示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
本发明一种面向多数据中心的安全体系实现方法采用面向对象的设计思想，将存储环境理解成是由大量的对象组成，这些对象即是多数据中心统一存储管理软件需要元素。面向多数据中心的安全体系是对对象本身及对象与对象之间的关系的安全管理，从而实现整个存储环境的安全体系管理。
参照图1所示，本发明一种面向多数据中心的安全体系实现方法包括如下步骤：
于每个数据中心安装一个管理服务器，多个数据中心之间的管理服务器通过管理网络进行互联；本发明实施例中，管理服务器在整个管理体系部署中是对等的。
按照一定的逻辑关系将系统划分为复数个问题域，每个问题域中会包含多个对象，对象与对象之间相互作用，有机结合；具体地，将系统按照技术、应用范围等逻辑将系统划分为若干个问题域。存储环境中可以将对象分为与存储架构相关的、与存储介质相关的、与设备相关的等。
用户在客户端发起存储对象操作请求，HTTP Client发送请求给管理服务器，管理服务器接收信息并CIM-XML解码。
进行安全机制验证以及用户权限验证；
判断操作节点是否为本分中心节点，如果不是，则发送操作请求到其他中心管理服务器上；如果是，则判断本分中心节点是否是对数据库信息获取；(按获取位置分为数据库获取和终端获取)；如果终端获取需要判断要操作节点的型号，根据型号来决定和该存储节点的连接交互方式；
被管理对象层整理返回结果，管理服务器CIM-XML层封装结果并返回到客户端；客户端接收到CIM-XML数据，解析后获取相关数据。
本发明实施例中，所述进行安全机制验证以及用户权限验证具体包括有以下步骤：
面向多数据中心的安全体系的安全认证；
面向多数据中心的授权；
面向多数据中心的通信安全。
具体地，面向多数据中心的安全体系的安全认证过程如下：
认证是在允许用户访问系统之前对用户进行的身份合法性验证的过程，在面向多数据中心的安全体系中存在着本地用户和远程用户。本地用户和远程用户采用的是服务器端对客户端进行的认证方式。对于客户端，也可以对服务器端的合法性进行验证，以此来提高数据的安全性。
针对本地用户认证，其采用本地认证的方式。本地认证是基于系统内连接，不经过网络端口，建立连接时所使用的是进程间的套接字。这种连接虽然使用HTTP基本认证机制，即使用用户名和密码来验证，但此时用户已经登录于系统之上了，因此不再需要提供密码，减少了密码被盗取的危险。存储管理服务器端接受系统本身在用户登录时已经做过的认证结果。因此，在本地客户端的请求中仅包含用户的登录名，而不包括相应的口令，存储管理服务器端使用客户端所在进程所关联的用户名。
针对远程用户认证，需要通过网络，经HTTP 或者HTTPS端口来进行访问。服务器端会通过用户的请求以及本身的配置来选择使用相应的认证方式。HTTP端口只能选择使用基本认证，而HTTPS端口对基本认证和证书认证方式都适用。
而针对客户端认证，客户端可以通过服务器端的证书对其身份进行认证。在建立客户端连接时，可以包含有一个信任库以及一个有效的认证回调函数，是客户具有验证服务器端的能力。如果服务器端的证书过期或是不在客户端的信任库中，连接便会被中止。服务器端证书过期，可以通过删除证书再重启的方式，这样相应的便会生成一个新的证书。
面向多数据中心的授权过程是指对用户进行某项操作的权限授予过程。为了数据安全的保障，当访问系统资源对象以及运行命令的时候都会涉及到用户权限的授予与检查。具体包括：
a) 资源对象的授权：
存储管理系统中的资源对象分为静态资源和动态资源。静态资源存储在资源库中，采用访问控制的原理来进行管理静态资源。而对动态资源的访问，首先确定客户端用户是否有权限执行它所请求的操作，服务端通过请求者、指定用户、特权用户、服务端所在用户的管理加强对系统资源的管理；
b) 命令授权；
存储管理系统中的大部分命令都是以客户端的形式，通过与服务器端建立本地连接进行通信。这类命令首先需通过本地认证，然后向服务器端发送请求。在这种情况下，通过对客户端进行一定的授权检查，看客户端用户是否具有某种特殊权限，从而提高系统的安全性。
面向多数据中心的通信安全有三种方式：对称密钥的加密方式，公钥加密，协商加密方式。存储管理系统中，采用基于 SSL 的数据传输方式。对于客户端主动请求以及服务器端的事件机制均支持这种传输方式。
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

资源描述

《一种面向多数据中心的安全体系实现方法.pdf》由会员分享，可在线阅读，更多相关《一种面向多数据中心的安全体系实现方法.pdf（7页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104104683A43申请公布日20141015CN104104683A21申请号201410349288322申请日20140722H04L29/06200601H04L29/0820060171申请人浪潮电子信息产业股份有限公司地址250101山东省济南市高新区舜雅路1036号72发明人刘变红袁鹏飞吴庆民74专利代理机构济南信达专利事务所有限公司37100代理人姜明54发明名称一种面向多数据中心的安全体系实现方法57摘要本发明公开了一种面向多数据中心的安全体系实现方法，包括如下步骤于每个数据中心安装一个管理服务器，多个数据中心之间的管理服务器通过管理网络进行互联；按照一。

2、定的逻辑关系将系统划分为复数个问题域，每个问题域中会包含多个对象，对象与对象之间相互作用，有机结合；用户在客户端发起存储对象操作请求，HTTPCLIENT发送请求给管理服务器，管理服务器接收信息并CIMXML解码；进行安全机制验证以及用户权限验证。本发明面向多数据中心的安全体系对整个存储网络进行统一的安全管理，实现对所有节点状态和节点存储对象状态信息的安全保证，能够保证多元化环境的数据安全，以及实现用户方便管理。51INTCL权利要求书1页说明书3页附图2页19中华人民共和国国家知识产权局12发明专利申请权利要求书1页说明书3页附图2页10申请公布号CN104104683ACN10410468。

3、3A1/1页21一种面向多数据中心的安全体系实现方法，其特征在于，包括如下步骤于每个数据中心安装一个管理服务器，多个数据中心之间的管理服务器通过管理网络进行互联；按照一定的逻辑关系将系统划分为复数个问题域，每个问题域中会包含多个对象，对象与对象之间相互作用，有机结合；用户在客户端发起存储对象操作请求，HTTPCLIENT发送请求给管理服务器，管理服务器接收信息并CIMXML解码；进行安全机制验证以及用户权限验证。2如权利要求1所述面向多数据中心的安全体系实现方法，其特征在于，所述进行安全机制验证以及用户权限验证具体包括有以下步骤面向多数据中心的安全体系的安全认证；面向多数据中心的授权；面向多数。

4、据中心的通信安全。3如权利要求2所述面向多数据中心的安全体系实现方法，其特征在于，所述面向多数据中心的授权过程是指对用户进行某项操作的权限授予过程。4如权利要求3所述面向多数据中心的安全体系实现方法，其特征在于，所述面向多数据中心的授权过程具体包括A资源对象的授权B命令授权。5如权利要求4所述面向多数据中心的安全体系实现方法，其特征在于在面向多数据中心的安全体系中存在着本地用户和远程用户；其中，本地用户和远程用户采用的是服务器端对客户端进行的认证方式。权利要求书CN104104683A1/3页3一种面向多数据中心的安全体系实现方法技术领域0001本发明属于计算机技术领域，涉及一种面向多数据中心。

5、的安全体系实现方法。背景技术0002计算机及性领域中，科学计算领域中的科学数据呈现爆炸式增长，未来的科学计算将以数据为中心，海量的科学数据分布在各种自治管理域中的异构存储资源上，使得用户对这些科学数据的访问变得非常复杂、低效，所以必须为用户提供行之有效的方法，实现方便、高效、透明、统一的数据访问。0003面向多数据中心的安全体系是要对多个数据中心的数据存储实现统一管理并且保证数据安全。客户数据中心现在以及未来均将呈现出存储系统的多元化趋势，多元化包括存储设备的多元化、存储网络的多元化、数据类型的多元化等。为了对多元化的环境进行数据安全保证及实现用户方便管理，需要对此进行研究，以提供一种方案，以。

6、保证多元化环境的数据安全，并保证用户方便管理。发明内容0004为解决上述问题，本发明的目的在于提供一种面向多数据中心的安全体系实现方法，以保证多元化环境的数据安全，以及实现用户方便管理。0005为实现上述目的，本发明的技术方案为一种面向多数据中心的安全体系实现方法，包括如下步骤于每个数据中心安装一个管理服务器，多个数据中心之间的管理服务器通过管理网络进行互联；按照一定的逻辑关系将系统划分为复数个问题域，每个问题域中会包含多个对象，对象与对象之间相互作用，有机结合；用户在客户端发起存储对象操作请求，HTTPCLIENT发送请求给管理服务器，管理服务器接收信息并CIMXML解码；进行安全机制验证以。

7、及用户权限验证。0006进一步地，所述进行安全机制验证以及用户权限验证具体包括有以下步骤面向多数据中心的安全体系的安全认证；面向多数据中心的授权；面向多数据中心的通信安全。0007进一步地，所述面向多数据中心的授权过程是指对用户进行某项操作的权限授予过程。0008进一步地，所述面向多数据中心的授权过程具体包括A资源对象的授权B命令授权。0009进一步地，在面向多数据中心的安全体系中存在着本地用户和远程用户；其中，本说明书CN104104683A2/3页4地用户和远程用户采用的是服务器端对客户端进行的认证方式。0010相较于现有技术，本发明一种面向多数据中心的安全体系实现方法面向多数据中心的安全。

8、体系对整个存储网络进行统一的安全管理，实现对所有节点状态和节点存储对象状态信息的安全保证，能够保证多元化环境的数据安全，以及实现用户方便管理。附图说明0011图1是本发明的流程图示。0012图2是本发明的数据流程图示。0013图3是本发明数据传输示意图。0014图4是本发明问题域划分示意图。具体实施方式0015为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。0016本发明一种面向多数据中心的安全体系实现方法采用面向对象的设计思想，将存储环境理解成是由大量的对象组成，这些对象。

9、即是多数据中心统一存储管理软件需要元素。面向多数据中心的安全体系是对对象本身及对象与对象之间的关系的安全管理，从而实现整个存储环境的安全体系管理。0017参照图1所示，本发明一种面向多数据中心的安全体系实现方法包括如下步骤于每个数据中心安装一个管理服务器，多个数据中心之间的管理服务器通过管理网络进行互联；本发明实施例中，管理服务器在整个管理体系部署中是对等的。0018按照一定的逻辑关系将系统划分为复数个问题域，每个问题域中会包含多个对象，对象与对象之间相互作用，有机结合；具体地，将系统按照技术、应用范围等逻辑将系统划分为若干个问题域。存储环境中可以将对象分为与存储架构相关的、与存储介质相关的、。

10、与设备相关的等。0019用户在客户端发起存储对象操作请求，HTTPCLIENT发送请求给管理服务器，管理服务器接收信息并CIMXML解码。0020进行安全机制验证以及用户权限验证；判断操作节点是否为本分中心节点，如果不是，则发送操作请求到其他中心管理服务器上；如果是，则判断本分中心节点是否是对数据库信息获取；按获取位置分为数据库获取和终端获取；如果终端获取需要判断要操作节点的型号，根据型号来决定和该存储节点的连接交互方式；被管理对象层整理返回结果，管理服务器CIMXML层封装结果并返回到客户端；客户端接收到CIMXML数据，解析后获取相关数据。0021本发明实施例中，所述进行安全机制验证以及用。

11、户权限验证具体包括有以下步骤面向多数据中心的安全体系的安全认证；面向多数据中心的授权；说明书CN104104683A3/3页5面向多数据中心的通信安全。0022具体地，面向多数据中心的安全体系的安全认证过程如下认证是在允许用户访问系统之前对用户进行的身份合法性验证的过程，在面向多数据中心的安全体系中存在着本地用户和远程用户。本地用户和远程用户采用的是服务器端对客户端进行的认证方式。对于客户端，也可以对服务器端的合法性进行验证，以此来提高数据的安全性。0023针对本地用户认证，其采用本地认证的方式。本地认证是基于系统内连接，不经过网络端口，建立连接时所使用的是进程间的套接字。这种连接虽然使用HT。

12、TP基本认证机制，即使用用户名和密码来验证，但此时用户已经登录于系统之上了，因此不再需要提供密码，减少了密码被盗取的危险。存储管理服务器端接受系统本身在用户登录时已经做过的认证结果。因此，在本地客户端的请求中仅包含用户的登录名，而不包括相应的口令，存储管理服务器端使用客户端所在进程所关联的用户名。0024针对远程用户认证，需要通过网络，经HTTP或者HTTPS端口来进行访问。服务器端会通过用户的请求以及本身的配置来选择使用相应的认证方式。HTTP端口只能选择使用基本认证，而HTTPS端口对基本认证和证书认证方式都适用。0025而针对客户端认证，客户端可以通过服务器端的证书对其身份进行认证。在建。

13、立客户端连接时，可以包含有一个信任库以及一个有效的认证回调函数，是客户具有验证服务器端的能力。如果服务器端的证书过期或是不在客户端的信任库中，连接便会被中止。服务器端证书过期，可以通过删除证书再重启的方式，这样相应的便会生成一个新的证书。0026面向多数据中心的授权过程是指对用户进行某项操作的权限授予过程。为了数据安全的保障，当访问系统资源对象以及运行命令的时候都会涉及到用户权限的授予与检查。具体包括A资源对象的授权存储管理系统中的资源对象分为静态资源和动态资源。静态资源存储在资源库中，采用访问控制的原理来进行管理静态资源。而对动态资源的访问，首先确定客户端用户是否有权限执行它所请求的操作，服。

14、务端通过请求者、指定用户、特权用户、服务端所在用户的管理加强对系统资源的管理；B命令授权；存储管理系统中的大部分命令都是以客户端的形式，通过与服务器端建立本地连接进行通信。这类命令首先需通过本地认证，然后向服务器端发送请求。在这种情况下，通过对客户端进行一定的授权检查，看客户端用户是否具有某种特殊权限，从而提高系统的安全性。0027面向多数据中心的通信安全有三种方式对称密钥的加密方式，公钥加密，协商加密方式。存储管理系统中，采用基于SSL的数据传输方式。对于客户端主动请求以及服务器端的事件机制均支持这种传输方式。0028以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。说明书CN104104683A1/2页6图1图2说明书附图CN104104683A2/2页7图3图4说明书附图CN104104683A。

展开阅读全文