[发明专利]访问控制方法和装置

说明书

技术领域

本申请涉及通信领域，具体而言，涉及访问控制方法和装置。

背景技术

随着网络技术的发展，基于网络的存储系统得到了广泛的应用。例如，因特网小型计算机系统接口（Internet Small Computer System Interface，简称为iSCSI）存储系统因其具有容量大、性能高、扩展性能好等优点，已经得到了广泛的应用。

iSCSI技术是基于小型计算机系统接口（Small Computer Systems Interface，简称为SCSI）技术发展起来的，该SCSI技术是被磁盘、磁带等设备广泛采用的存储标准。并且，iSCSI沿用了传输控制协议/因特网协议（Transmission Control Protocol/Internet Protocol，简称为TCP/IP）,SCSI和TCP/IP技术为iSCSI的扩展提供了技术基础。

iSCSI协议定义了在TCP/IP网络发送、接收数据块（block）级的存储数据的规则和方法。发送端将SCSI命令和数据封装到TCP/IP包中通过网络转发，接收端收到该TCP/IP包之后，将其还原为SCSI命令和数据并执行，完成之后将返回的SCSI命令和数据再封装到TCP/IP包中再传送回发送端。整个过程在用户看来，使用远端的存储设备就象访问本地的SCSI设备一样。支持iSCSI技术的服务器和存储设备能够直接连接到现有的IP交换机和路由器上，因此iSCSI技术具有易于安装、成本低廉、不受地理限制、良好的互操作性等优势。

iSCSI在实际应用中也存在着问题。由于iSCSI的设计标准是在不受信任的广域网环境中使用，iSCSI技术的核心是在TCP/IP网络上传输SCSI协议，使得SCSI命令和数据可以在普通以太网络上进行传输，由IP网络负责其传输的可靠性。这就使得iSCSI也不得不面临IP网络中的安全性问题，例如身份伪装、伪造信息插入、数据删除/修改、窃听、数据分析等。在iSCSI存储系统中没有进行任何访问认证控制，无法保护iSCSI卷不被非法访问，容易造成数据泄密。对于其他网络存储系统，其也存在于iSCSI相似的问题。

针对相关技术中基于网络的存储系统没有访问控制机制的问题，目前尚未提出有效的解决方案。

发明内容

本申请提供了一种访问控制方法和装置，以至少解决基于网络的存储系统没有访问控制机制的问题。

根据本申请的一个方面，提供了一种访问控制方法，包括：获取控制策略，其中，所述控制策略包括：进程访问存储服务器端上的存储卷的权限；在所述进程访问所述存储卷的情况下，根据所述控制策略中的权限对所述访问进行控制。

优选地，根据所述控制策略中的权限对所述访问进行控制包括：根据所述进程的信息从所述控制策略中查找所述进程对应的权限，其中，所述进程的信息包括以下至少之一：所述进程的进程名、所述进程的签名哈希值；根据所述控制策略中的所述进程对应的权限对所述访问进行控制。

优选地，在根据所述进程的信息查找所述进程对应的权限之后，所述方法还包括：在从所述控制策略中未查找到所述进程对应的权限的情况下，拒绝所述访问。

优选地，获取所述控制策略包括：从所述服务器端获取所述控制策略，其中，所述服务器端提供用于管理所述控制策略的接口，所述管理包括以下至少之一：添加、修改、删除。

优选地，所述方法还包括：获取连接参数；根据所述连接参数对所述映射进行管理，其中，所述管理包括以下至少之一：将所述存储卷挂载到本地以形成所述映射、移除所述映射、在连接所述存储卷失败的情况下重新挂载所述存储卷。

优选地，所述进程的子进程通过权限继承获得与所述进程访问所述存储卷相同的权限。

优选地，所述存储卷包括因特网小型计算机系统接口存储卷。

优选地，所述权限包括以下至少之一：所述进程是否被允许从所述存储卷读取数据、所述进程是否被允许向所述存储卷写入数据、所述进程是否被允许修改所述存储卷上的数据、所述进程是否被允许执行所述存储卷上的数据。

根据本申请的另一个方面，还提供了一种访问控制装置，包括：第一获取模块，用于获取控制策略，其中，所述控制策略包括：进程访问存储服务器端上的存储卷的权限；控制模块，用于在所述进程访问所述存储卷的情况下，根据所述控制策略中的权限对所述访问进行控制。