本發(fā)明涉及一種存儲(chǔ)數(shù)據(jù)的訪問(wèn)技術(shù)，尤其是涉及一種基于usbkey數(shù)字證書(shū)認(rèn)證的ipsan訪問(wèn)控制方法及裝置。

背景技術(shù)：

隨著intemet(互聯(lián)網(wǎng))環(huán)境下企業(yè)數(shù)據(jù)的爆炸性增長(zhǎng)、企業(yè)商務(wù)模式的轉(zhuǎn)變和以數(shù)據(jù)為本的企業(yè)知識(shí)產(chǎn)權(quán)價(jià)值的體現(xiàn)，傳統(tǒng)的信息存儲(chǔ)方式已經(jīng)無(wú)法滿足新的需求，存儲(chǔ)區(qū)域網(wǎng)絡(luò)化(storageareanetwork，san)成為了it技術(shù)新的研究亮點(diǎn)。san使得scsi(smallcomputersystemsinterface，小型計(jì)算機(jī)系統(tǒng)接口)協(xié)議應(yīng)用于高速數(shù)據(jù)傳輸網(wǎng)絡(luò)成為可能，這種傳輸以數(shù)據(jù)塊級(jí)別(block-level)在多個(gè)數(shù)據(jù)存儲(chǔ)網(wǎng)絡(luò)間進(jìn)行。

iscsi(internetsmallcomputersysteminterface，網(wǎng)絡(luò)小型計(jì)算機(jī)系統(tǒng)接口)通過(guò)ip地址、主機(jī)系統(tǒng)和存儲(chǔ)設(shè)備的名稱、內(nèi)部/外部chap(challengehandshakeauthenticationprotocol，ppp(點(diǎn)對(duì)點(diǎn)協(xié)議)詢問(wèn)握手認(rèn)證協(xié)議)身份驗(yàn)證等方式限制訪問(wèn)，從而保證存儲(chǔ)安全，實(shí)行多種iscsi身份驗(yàn)證方式似乎讓人不知所從。

在iscsi網(wǎng)絡(luò)中，chap身份認(rèn)證方式即是“用戶賬號(hào)+口令”方式，這種認(rèn)證方式使用起來(lái)簡(jiǎn)單、方便，但是可靠性最差，一旦盜用者通過(guò)某種方式獲得了他人的賬號(hào)、密碼，則該用戶的數(shù)據(jù)安全將無(wú)法得到保障。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于克服現(xiàn)有iscsi網(wǎng)絡(luò)中chap身份認(rèn)證安全性差的的缺陷，提供一種基于usbkey數(shù)字證書(shū)認(rèn)證的ipsan訪問(wèn)控制方法及裝置，以保障用戶的數(shù)據(jù)訪問(wèn)安全。

為實(shí)現(xiàn)上述目的，本發(fā)明提出如下技術(shù)方案：一種基于usbkey數(shù)字證書(shū)認(rèn)證的ipsan訪問(wèn)控制方法，包括：iscsi啟動(dòng)程序發(fā)起登錄請(qǐng)求命令時(shí)，客戶端通過(guò)與遠(yuǎn)程服務(wù)器通信進(jìn)行usbkey身份認(rèn)證，若服務(wù)器通過(guò)認(rèn)證判斷當(dāng)前用戶合法，則客戶端通過(guò)認(rèn)證并被允許登錄。

優(yōu)選地，所述客戶端通過(guò)與遠(yuǎn)程服務(wù)器通信進(jìn)行usbkey身份認(rèn)證的過(guò)程包括：

s1，客戶端將自身的證書(shū)發(fā)送給遠(yuǎn)程服務(wù)器進(jìn)行身份認(rèn)證，

s2，遠(yuǎn)程服務(wù)器端接收客戶端證書(shū)并驗(yàn)證，驗(yàn)證客戶端證書(shū)的合法性，若合法，則返回認(rèn)證成功信息給客戶端。

優(yōu)選地，在所述步驟s1之前，還包括：

客戶端與遠(yuǎn)程服務(wù)器建立連接；

客戶端驗(yàn)證遠(yuǎn)程服務(wù)器的合法性。

優(yōu)選地，所述客戶端與遠(yuǎn)程服務(wù)器建立連接的過(guò)程包括：

客戶端向遠(yuǎn)程服務(wù)器端發(fā)送客戶端hello消息；

遠(yuǎn)程服務(wù)器回應(yīng)服務(wù)器hello消息給客戶端，則兩者建立起連接。

優(yōu)選地，所述客戶端驗(yàn)證遠(yuǎn)程服務(wù)器的合法性的過(guò)程包括：

在服務(wù)器端發(fā)送完hello消息給客戶端之后，發(fā)送自身的證書(shū)消息以及請(qǐng)求驗(yàn)證客戶端身份消息，并發(fā)送服務(wù)器hello完成消息給客戶端；

客戶端根據(jù)服務(wù)器傳過(guò)來(lái)的所述服務(wù)器證書(shū)消息，驗(yàn)證服務(wù)器的合法性。

優(yōu)選地，所述服務(wù)器的合法性包括：服務(wù)器證書(shū)是否過(guò)期，發(fā)行服務(wù)器證書(shū)的ca是否可靠。

優(yōu)選地，所述s1具體包括：所述客戶端的認(rèn)證模塊將usbkey中用戶信息讀取出來(lái)，并將所述用戶信息發(fā)送到遠(yuǎn)程服務(wù)器進(jìn)行身份認(rèn)證，并且發(fā)送客戶端驗(yàn)證服務(wù)器返回信息給服務(wù)器，最后發(fā)送客戶端hello完成消息給遠(yuǎn)程服務(wù)器。

優(yōu)選地，所述s2中，遠(yuǎn)程服務(wù)器端通過(guò)檢索其管理的用戶信息列表來(lái)判斷當(dāng)前用戶是否合法；且遠(yuǎn)程服務(wù)器端驗(yàn)證客戶端證書(shū)的合法性具體包括：驗(yàn)證客戶的證書(shū)使用日期是否有效，為客戶提供證書(shū)的ca是否可靠，發(fā)行ca的公鑰能否正確解開(kāi)客戶證書(shū)的發(fā)行ca的數(shù)字簽名，檢查客戶的證書(shū)是否在證書(shū)黑名單中，根據(jù)客戶端證書(shū)dn查找數(shù)據(jù)檢驗(yàn)是否有對(duì)應(yīng)的用戶存在。

本發(fā)明還提供了另外一種技術(shù)方案：一種基于usbkey數(shù)字證書(shū)認(rèn)證的ipsan訪問(wèn)控制裝置，所述裝置包括：客戶端和遠(yuǎn)程服務(wù)器，所述客戶端在iscsi啟動(dòng)程序發(fā)起登錄請(qǐng)求命令時(shí)與遠(yuǎn)程服務(wù)器通信進(jìn)行usbkey身份認(rèn)證，所述遠(yuǎn)程服務(wù)器中具有服務(wù)器認(rèn)證模塊，所述服務(wù)器認(rèn)證模塊用于對(duì)客戶端進(jìn)行usbkey身份認(rèn)證并返回認(rèn)證消息給客戶端。

優(yōu)選地，所述客戶端中對(duì)應(yīng)具有客戶端認(rèn)證模塊，用于對(duì)遠(yuǎn)程服務(wù)器的合法性進(jìn)行認(rèn)證。

與現(xiàn)有技術(shù)相比，本發(fā)明在initiator(啟動(dòng)程序)登錄時(shí)，加入usbkey數(shù)字證書(shū)認(rèn)證方式，通過(guò)對(duì)登錄用戶的合法性進(jìn)行校驗(yàn)，進(jìn)而對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行強(qiáng)身份認(rèn)證保護(hù)，可靠性高，且保障了用戶的數(shù)據(jù)安全。

附圖說(shuō)明

圖1是本發(fā)明的流程示意圖；

圖2是本發(fā)明的原理示意圖；

圖3是圖1中步驟2的流程示意圖；

圖4是圖1中步驟3的流程示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明的附圖，對(duì)本發(fā)明實(shí)施例的技術(shù)方案進(jìn)行清楚、完整的描述。

結(jié)合圖1和圖2所示，本發(fā)明實(shí)施例所揭示的一種基于usbkey數(shù)字證書(shū)認(rèn)證的ipsan訪問(wèn)控制方法，包括：

步驟1，在iscsiinitiator發(fā)起程序發(fā)起登錄請(qǐng)求命令時(shí)，首先，本地客戶端與遠(yuǎn)程服務(wù)器端建立起連接。

具體地，客戶端向服務(wù)器端發(fā)送客戶端hello消息，服務(wù)器向客戶端回應(yīng)服務(wù)器hello消息，否則產(chǎn)生一個(gè)錯(cuò)誤信息并斷開(kāi)連接，也就是說(shuō)，若客戶端接收不到服務(wù)器端返回回的hello消息，則會(huì)產(chǎn)生一個(gè)錯(cuò)誤信息，兩者就建立不上連接。

步驟2，客戶端與服務(wù)器端建立上連接后，客戶端驗(yàn)證遠(yuǎn)程服務(wù)器的合法性。

結(jié)合圖3所示，步驟2具體包括以下步驟：

步驟201，服務(wù)器端在發(fā)送完hello消息之后，接著發(fā)送自身的證書(shū)消息以及請(qǐng)求驗(yàn)證客戶端身份消息，然后發(fā)送服務(wù)器hello完成消息，表示hello消息階段已經(jīng)結(jié)束，服務(wù)器等待客戶端的返回消息。

步驟202，客戶端利用服務(wù)器傳過(guò)來(lái)的證書(shū)信息驗(yàn)證服務(wù)器的合法性。

其中，服務(wù)器的合法性包括：服務(wù)器證書(shū)是否過(guò)期，發(fā)行服務(wù)器證書(shū)的ca(certificateauthority，證書(shū)授權(quán)機(jī)構(gòu))是否可靠。

如果服務(wù)器合法性驗(yàn)證沒(méi)有通過(guò)，則客戶端與服務(wù)器端通信斷開(kāi)連接；如果合法性驗(yàn)證通過(guò)，則進(jìn)入步驟3。

步驟3，客戶端通過(guò)與遠(yuǎn)程服務(wù)器通信進(jìn)行usbkey身份認(rèn)證，驗(yàn)證客戶端用戶的合法性。

結(jié)合圖4所示，步驟3具體包括：

步驟301，客戶端將自身的證書(shū)發(fā)送給遠(yuǎn)程服務(wù)器進(jìn)行身份認(rèn)證。

具體地，客戶端的認(rèn)證模塊將usbkey中用戶信息讀取出來(lái)，并將用戶信息發(fā)送到遠(yuǎn)程服務(wù)器進(jìn)行身份認(rèn)證，并且一并發(fā)送客戶端驗(yàn)證服務(wù)器返回信息給服務(wù)器，最后發(fā)送客戶端hello完成消息給遠(yuǎn)程服務(wù)器。

步驟302，遠(yuǎn)程服務(wù)器端接收客戶端證書(shū)并驗(yàn)證，驗(yàn)證客戶端證書(shū)的合法性。

具體地，遠(yuǎn)程服務(wù)器端通過(guò)檢索其管理的用戶信息列表來(lái)判斷當(dāng)前用戶是否合法，若合法，則返回認(rèn)證成功信息給initiator客戶端。

客戶合法性驗(yàn)證過(guò)程具體包括：客戶的證書(shū)使用日期是否有效；為客戶提供證書(shū)的ca是否可靠；發(fā)行ca的公鑰能否正確解開(kāi)客戶證書(shū)的發(fā)行ca的數(shù)字簽名；檢查客戶的證書(shū)是否在證書(shū)黑名單中；根據(jù)客戶端證書(shū)dn查找數(shù)據(jù)，檢驗(yàn)是否有對(duì)應(yīng)的用戶存在等等。

通過(guò)上述身份認(rèn)證步驟，若檢驗(yàn)沒(méi)有通過(guò)，則客戶端與服務(wù)器端通信立刻中斷；若驗(yàn)證條件均滿足，則服務(wù)器判斷當(dāng)前用戶合法，即認(rèn)證完成，服務(wù)器端發(fā)送認(rèn)證信息及認(rèn)證完成消息給客戶端，客戶端啟動(dòng)，即客戶端被系統(tǒng)允許登錄。

結(jié)合圖2所示，本發(fā)明所揭示的一種基于usbkey數(shù)字證書(shū)認(rèn)證的ipsan訪問(wèn)控制裝置，包括：客戶端和遠(yuǎn)程服務(wù)器，客戶端中具有客戶端認(rèn)證模塊，用于在iscsi啟動(dòng)程序發(fā)起登錄請(qǐng)求命令時(shí)，及客戶端與遠(yuǎn)程服務(wù)器建立連接(即與遠(yuǎn)程服務(wù)器通信)之后對(duì)遠(yuǎn)程服務(wù)器的合法性進(jìn)行usbkey身份驗(yàn)證，具體連接及驗(yàn)證過(guò)程詳見(jiàn)上述步驟1和步驟2中的描述。

遠(yuǎn)程客戶端中具有服務(wù)器認(rèn)證模塊，用于在客戶端驗(yàn)證遠(yuǎn)程服務(wù)器合法之后對(duì)客戶端進(jìn)行usbkey身份認(rèn)證并返回認(rèn)證消息給客戶端。服務(wù)器對(duì)客戶端的用戶合法性驗(yàn)證過(guò)程詳見(jiàn)上述步驟3的描述。

本發(fā)明的技術(shù)內(nèi)容及技術(shù)特征已揭示如上，然而熟悉本領(lǐng)域的技術(shù)人員仍可能基于本發(fā)明的教示及揭示而作種種不背離本發(fā)明精神的替換及修飾，因此，本發(fā)明保護(hù)范圍應(yīng)不限于實(shí)施例所揭示的內(nèi)容，而應(yīng)包括各種不背離本發(fā)明的替換及修飾，并為本專利申請(qǐng)權(quán)利要求所涵蓋。