專利名稱：一種針對云存儲系統(tǒng)的授權(quán)及管理方法
技術(shù)領(lǐng)域：
本方法應(yīng)用于云存儲系統(tǒng)，針對涉及云存儲系統(tǒng)遠(yuǎn)程管理的安全性和商用云存儲系統(tǒng)的用戶授權(quán)。
背景技術(shù)：
企業(yè)數(shù)據(jù)的急劇膨脹使海量存儲面臨嚴(yán)峻的挑戰(zhàn)，對于各類行業(yè)的企業(yè)用戶而言，爆炸性增長的海量數(shù)據(jù)，對于存儲系統(tǒng)的容量、可靠性等提出了更高的要求。傳統(tǒng)的存儲構(gòu)架擴(kuò)展性較差，其過于復(fù)雜的存儲構(gòu)架和備份方法難以滿足用戶日漸增長的數(shù)據(jù)管理和容災(zāi)需求。現(xiàn)在，云存儲作為新興的技術(shù)理念，給存儲業(yè)帶來了深遠(yuǎn)影響。云存儲系統(tǒng)是一個能夠提供海量存儲空間，并支持靈活擴(kuò)展、高性能訪問的文件共享存儲平臺。商用云存儲系統(tǒng)以其穩(wěn)定和易維護(hù)必將成為用戶的首選。云存儲系統(tǒng)配置根據(jù)用戶的需要可能會經(jīng)常發(fā)生變化，而且系統(tǒng)的管理人員也不像傳統(tǒng)系統(tǒng)那樣局限于特定的地點(diǎn)，遠(yuǎn)程、異地的管理成為一種常態(tài)，而這種管理方式下管理的安全性變得十分重要，尤其是對提供公共云存儲業(yè)務(wù)的系統(tǒng)而言，如何進(jìn)行安全而靈活的管理顯得尤為重要。同時，商業(yè)存儲系統(tǒng)通常以容量大小、節(jié)點(diǎn)數(shù)量等計價，目前多通過軟license的系統(tǒng)授權(quán)方式實現(xiàn)容量及節(jié)點(diǎn)控制，這種方式比較容易破解，對于昂貴的云存儲系統(tǒng)來說， 這是不可接受的。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種針對云存儲系統(tǒng)的授權(quán)及管理方法。本發(fā)明的目的是按以下方式實現(xiàn)的，鑒于現(xiàn)有技術(shù)中存在的以上問題，本方法使用獨(dú)立的授權(quán)管理設(shè)備以及相應(yīng)的系統(tǒng)軟件模塊來實現(xiàn)系統(tǒng)的授權(quán)管理并用來保證系統(tǒng)遠(yuǎn)程管理的安全性。針對云存儲系統(tǒng)的授權(quán)及管理方法，包括授權(quán)認(rèn)證模塊和獨(dú)立的授權(quán)管理設(shè)備， 授權(quán)認(rèn)證模塊內(nèi)嵌在云存儲系統(tǒng)中，以保證外部的授權(quán)設(shè)備與云存儲系統(tǒng)的任一節(jié)點(diǎn)能夠?qū)嵤┌踩尤氩⑦M(jìn)行相關(guān)權(quán)限的認(rèn)證；云存儲系統(tǒng)中設(shè)置獨(dú)立的授權(quán)管理設(shè)備，將該授權(quán)管理設(shè)備接入系統(tǒng)節(jié)點(diǎn)或系統(tǒng)管理節(jié)點(diǎn)后，通過認(rèn)證實現(xiàn)對系統(tǒng)構(gòu)建規(guī)模的授權(quán)管理和系統(tǒng)管理時的安全性；
云存儲系統(tǒng)內(nèi)嵌的授權(quán)認(rèn)證模塊是云存儲系統(tǒng)授權(quán)及管理的核心，內(nèi)容包括
授權(quán)認(rèn)證模塊以本地及遠(yuǎn)程的方式與外部的授權(quán)管理設(shè)備建立連接，并進(jìn)行權(quán)限認(rèn)證，授權(quán)認(rèn)證模塊所進(jìn)行的權(quán)限認(rèn)證包括系統(tǒng)的授權(quán)管理權(quán)限和系統(tǒng)的接入管理權(quán)限； 系統(tǒng)的授權(quán)管理權(quán)限包括前期系統(tǒng)規(guī)模的授權(quán)及后期擴(kuò)容授權(quán)的管理；系統(tǒng)的接入管理權(quán)限是對接入系統(tǒng)用戶的權(quán)限管理；授授權(quán)認(rèn)證模塊分主模塊和子模塊，都內(nèi)置于系統(tǒng)中，主模塊安裝在云存儲系統(tǒng)的主節(jié)點(diǎn)服務(wù)器上，子模塊安裝在云存儲系統(tǒng)的其他節(jié)點(diǎn)服務(wù)器上，主模塊中預(yù)置與授權(quán)管理設(shè)備對應(yīng)的密鑰，用于授權(quán)設(shè)備的認(rèn)證；
獨(dú)立的授權(quán)管理設(shè)備以云存儲系統(tǒng)支持的接口方式與系統(tǒng)建立連接，包括USB、藍(lán)牙、 IS0-7816 接口方式；
獨(dú)立的授權(quán)管理設(shè)備支持主流的對稱算法和非對稱算法的加解密，保證加解密的過程不被監(jiān)測，保證授權(quán)過程難以破解；
獨(dú)立的授權(quán)管理設(shè)備設(shè)置有非易失性安全介質(zhì)，用于存儲相應(yīng)的系統(tǒng)授權(quán)信息以及簽名/驗簽的密鑰；
獨(dú)立的授權(quán)管理設(shè)備的非易失性安全介質(zhì)中存有該系統(tǒng)的授權(quán)信息，包括與授權(quán)認(rèn)證模塊對應(yīng)的密鑰、系統(tǒng)規(guī)模上限信息以及口令認(rèn)證信息；
在進(jìn)行系統(tǒng)的構(gòu)建和升級時只能使用本地方式，授權(quán)管理設(shè)備與云存儲系統(tǒng)的任一節(jié)點(diǎn)連接，授權(quán)認(rèn)證模塊通過系統(tǒng)各節(jié)點(diǎn)上的子模塊查詢是否有授權(quán)管理設(shè)備接入云存儲系統(tǒng)，如果有，授權(quán)認(rèn)證模塊會提取系統(tǒng)中的相關(guān)硬件信息并發(fā)送給授權(quán)管理設(shè)備，授權(quán)管理設(shè)備將硬件信息與存儲的系統(tǒng)上限信息拼接加密后返回給授權(quán)認(rèn)證模塊，授權(quán)認(rèn)證模塊解密信息后，比較硬件信息并從中獲取相關(guān)的系統(tǒng)信息，根據(jù)硬件信息的比較結(jié)果將系統(tǒng)信息應(yīng)用于云存儲系統(tǒng)；否則，系統(tǒng)將無法構(gòu)建或升級。本發(fā)明的優(yōu)異效果是在將獨(dú)立的授權(quán)管理設(shè)備接入到系統(tǒng)節(jié)點(diǎn)或系統(tǒng)遠(yuǎn)程管理節(jié)點(diǎn)，通過與系統(tǒng)的授權(quán)認(rèn)證模塊進(jìn)行認(rèn)證后，一方面可以使用戶獲取系統(tǒng)的安全管理權(quán)限，對系統(tǒng)接入用戶的使用權(quán)限進(jìn)行管理，保證遠(yuǎn)程管理的安全性，另一方面可以根據(jù)設(shè)備中相應(yīng)的授權(quán)信息構(gòu)建用戶的云存儲系統(tǒng)或者對系統(tǒng)進(jìn)行升級擴(kuò)容。


圖1是云存儲系統(tǒng)與獨(dú)立的授權(quán)管理設(shè)備間的連接方式圖； 圖2是系統(tǒng)構(gòu)建流程圖3是系統(tǒng)本地管理平臺驗證流程圖； 圖4是系統(tǒng)遠(yuǎn)程管理平臺驗證流程圖。
具體實施例方式參照附圖對本法的方法作以下詳細(xì)的說明
該方法涉及兩個不可分割的兩個部分系統(tǒng)的授權(quán)認(rèn)證模塊和獨(dú)立的授權(quán)管理設(shè)備， 其中
1)系統(tǒng)的授權(quán)認(rèn)證模塊
該模塊使獨(dú)立授權(quán)管理設(shè)備可以與云存儲系統(tǒng)任一節(jié)點(diǎn)的安全接入，包括存儲系統(tǒng)的內(nèi)部節(jié)點(diǎn)和系統(tǒng)的管理平臺節(jié)點(diǎn)，實現(xiàn)系統(tǒng)的權(quán)限認(rèn)證并保證本地及遠(yuǎn)程管理時的安全；
該模塊所進(jìn)行的權(quán)限認(rèn)證包括系統(tǒng)的授權(quán)管理權(quán)限和系統(tǒng)的接入管理權(quán)限；系統(tǒng)的授權(quán)管理權(quán)限包括系統(tǒng)構(gòu)建時系統(tǒng)規(guī)模(容量大小、節(jié)點(diǎn)數(shù)量)的授權(quán)和系統(tǒng)升級時系統(tǒng)擴(kuò)容能力的授權(quán)；系統(tǒng)的接入管理權(quán)限是在系統(tǒng)使用時管理接入用戶的權(quán)限，在驗證管理平臺的有效性，可以對接入系統(tǒng)的用戶進(jìn)行管理，而且管理平臺與系統(tǒng)間通過密文方式通信，從而保證了遠(yuǎn)程管理時的安全性。2)獨(dú)立的授權(quán)管理設(shè)備
該設(shè)備可以以云存儲系統(tǒng)支持的接口方式與系統(tǒng)建立連接，如USB、藍(lán)牙、WIFI、 IS0-7816等接口方式；
該設(shè)備支持主流的對稱算法和非對稱算法的加解密，保證加解密的過程不被監(jiān)測，保證授權(quán)過程難以破解。該設(shè)備有非易失性安全介質(zhì)，用于存儲相應(yīng)系統(tǒng)信息以及簽名/驗簽的密鑰；任何與系統(tǒng)連接的計算機(jī)在連接該設(shè)備并通過口令認(rèn)證后都可以成為系統(tǒng)的管理平臺。系統(tǒng)的授權(quán)認(rèn)證模塊分主模塊和子模塊，都內(nèi)置于系統(tǒng)中，主模塊安裝在云存儲系統(tǒng)的主節(jié)點(diǎn)服務(wù)器上，子模塊安裝在云存儲系統(tǒng)的其他節(jié)點(diǎn)服務(wù)器上。主模塊中預(yù)置與授權(quán)管理設(shè)備對應(yīng)的密鑰，用于授權(quán)設(shè)備的認(rèn)證。獨(dú)立的授權(quán)管理設(shè)備的非易失性安全介質(zhì)中存有該系統(tǒng)的授權(quán)信息，包括與授權(quán)認(rèn)證模塊對應(yīng)的密鑰、系統(tǒng)規(guī)模上限信息以及口令認(rèn)證信息等。圖1中的小虛線顯示了獨(dú)立的授權(quán)管理設(shè)備與云存儲系統(tǒng)可能的連接方式。圖2顯示了系統(tǒng)的構(gòu)建流程。在進(jìn)行系統(tǒng)的構(gòu)建和升級時只能使用本地方式，授權(quán)管理設(shè)備與云存儲系統(tǒng)的任一節(jié)點(diǎn)連接。授權(quán)認(rèn)證模塊通過系統(tǒng)各節(jié)點(diǎn)上的子模塊查詢是否有授權(quán)管理設(shè)備接入云存儲系統(tǒng)。如果有，授權(quán)認(rèn)證模塊會提取系統(tǒng)中的相關(guān)硬件信息并發(fā)送給授權(quán)管理設(shè)備，授權(quán)管理設(shè)備將硬件信息與存儲的系統(tǒng)上限信息拼接加密后返回給授權(quán)認(rèn)證模塊，授權(quán)認(rèn)證模塊解密信息后，比較硬件信息并從中獲取相關(guān)的系統(tǒng)信息， 根據(jù)硬件信息的比較結(jié)果將系統(tǒng)信息應(yīng)用于云存儲系統(tǒng)；否則，系統(tǒng)將無法構(gòu)建或升級。圖3是本地管理時系統(tǒng)管理平臺驗證流程。此時授權(quán)管理設(shè)備直接接在云存儲系統(tǒng)上，這種情況下，只需要授權(quán)管理設(shè)備通過授權(quán)認(rèn)證模塊的認(rèn)證，管理平臺就能夠?qū)ο到y(tǒng)進(jìn)行管理和相關(guān)設(shè)置，認(rèn)證過程與系統(tǒng)構(gòu)建時基本相同。圖4顯示了遠(yuǎn)程管理時系統(tǒng)管理平臺驗證流程。此時授權(quán)管理設(shè)備與管理平臺所在的機(jī)器連接，機(jī)器要與云存儲系統(tǒng)建立連接。首先，管理平臺要進(jìn)行授權(quán)管理設(shè)備的口令認(rèn)證，通過后管理平臺連接云存儲系統(tǒng)；建立連接后授權(quán)管理設(shè)備通過授權(quán)認(rèn)證模塊的認(rèn)證，認(rèn)證通過后，管理平臺接入系統(tǒng)，授權(quán)管理設(shè)備與授權(quán)認(rèn)證模塊進(jìn)行密鑰交互過程； 最后管理平臺與云存儲系統(tǒng)的通信都采用密文的方式進(jìn)行，這樣就保證了遠(yuǎn)程管理的安全性。
權(quán)利要求
1. 一種針對云存儲系統(tǒng)的授權(quán)及管理方法，其特征在于包括授權(quán)認(rèn)證模塊和獨(dú)立的授權(quán)管理設(shè)備，授權(quán)認(rèn)證模塊內(nèi)嵌在云存儲系統(tǒng)中，以保證外部的授權(quán)設(shè)備與云存儲系統(tǒng)的任一節(jié)點(diǎn)能夠?qū)嵤┌踩尤氩⑦M(jìn)行相關(guān)權(quán)限的認(rèn)證；云存儲系統(tǒng)中設(shè)置獨(dú)立的授權(quán)管理設(shè)備，將該授權(quán)管理設(shè)備接入系統(tǒng)節(jié)點(diǎn)或系統(tǒng)管理節(jié)點(diǎn)后，通過認(rèn)證實現(xiàn)對系統(tǒng)構(gòu)建規(guī)模的授權(quán)管理和系統(tǒng)管理時的安全性；云存儲系統(tǒng)內(nèi)嵌的授權(quán)認(rèn)證模塊是云存儲系統(tǒng)授權(quán)及管理的核心，內(nèi)容包括 授權(quán)認(rèn)證模塊以本地及遠(yuǎn)程的方式與外部的授權(quán)管理設(shè)備建立連接，并進(jìn)行權(quán)限認(rèn)證，授權(quán)認(rèn)證模塊所進(jìn)行的權(quán)限認(rèn)證包括系統(tǒng)的授權(quán)管理權(quán)限和系統(tǒng)的接入管理權(quán)限； 系統(tǒng)的授權(quán)管理權(quán)限包括前期系統(tǒng)規(guī)模的授權(quán)及后期擴(kuò)容授權(quán)的管理；系統(tǒng)的接入管理權(quán)限是對接入系統(tǒng)用戶的權(quán)限管理；授授權(quán)認(rèn)證模塊分主模塊和子模塊，都內(nèi)置于系統(tǒng)中，主模塊安裝在云存儲系統(tǒng)的主節(jié)點(diǎn)服務(wù)器上，子模塊安裝在云存儲系統(tǒng)的其他節(jié)點(diǎn)服務(wù)器上，主模塊中預(yù)置與授權(quán)管理設(shè)備對應(yīng)的密鑰，用于授權(quán)設(shè)備的認(rèn)證；獨(dú)立的授權(quán)管理設(shè)備以云存儲系統(tǒng)支持的接口方式與系統(tǒng)建立連接，包括USB、藍(lán)牙、 IS0-7816 接口方式；獨(dú)立的授權(quán)管理設(shè)備支持主流的對稱算法和非對稱算法的加解密，保證加解密的過程不被監(jiān)測，保證授權(quán)過程難以破解；獨(dú)立的授權(quán)管理設(shè)備設(shè)置有非易失性安全介質(zhì)，用于存儲相應(yīng)的系統(tǒng)授權(quán)信息以及簽名/驗簽的密鑰；獨(dú)立的授權(quán)管理設(shè)備的非易失性安全介質(zhì)中存有該系統(tǒng)的授權(quán)信息，包括與授權(quán)認(rèn)證模塊對應(yīng)的密鑰、系統(tǒng)規(guī)模上限信息以及口令認(rèn)證信息；在進(jìn)行系統(tǒng)的構(gòu)建和升級時只能使用本地方式，授權(quán)管理設(shè)備與云存儲系統(tǒng)的任一節(jié)點(diǎn)連接，授權(quán)認(rèn)證模塊通過系統(tǒng)各節(jié)點(diǎn)上的子模塊查詢是否有授權(quán)管理設(shè)備接入云存儲系統(tǒng)，如果有，授權(quán)認(rèn)證模塊會提取系統(tǒng)中的相關(guān)硬件信息并發(fā)送給授權(quán)管理設(shè)備，授權(quán)管理設(shè)備將硬件信息與存儲的系統(tǒng)上限信息拼接加密后返回給授權(quán)認(rèn)證模塊，授權(quán)認(rèn)證模塊解密信息后，比較硬件信息并從中獲取相關(guān)的系統(tǒng)信息，根據(jù)硬件信息的比較結(jié)果將系統(tǒng)信息應(yīng)用于云存儲系統(tǒng)；否則，系統(tǒng)將無法構(gòu)建或升級。
全文摘要
一種針對云存儲系統(tǒng)的授權(quán)及管理方法，包括授權(quán)認(rèn)證模塊和獨(dú)立的授權(quán)管理設(shè)備，授權(quán)認(rèn)證模塊內(nèi)嵌在云存儲系統(tǒng)中，以保證外部的授權(quán)設(shè)備與云存儲系統(tǒng)的任一節(jié)點(diǎn)能夠?qū)嵤┌踩尤氩⑦M(jìn)行相關(guān)權(quán)限的認(rèn)證；云存儲系統(tǒng)中設(shè)置獨(dú)立的授權(quán)管理設(shè)備，在將獨(dú)立的授權(quán)管理設(shè)備接入到系統(tǒng)節(jié)點(diǎn)或系統(tǒng)遠(yuǎn)程管理節(jié)點(diǎn)后，通過與系統(tǒng)的授權(quán)認(rèn)證模塊進(jìn)行認(rèn)證后，一方面可以使用戶獲取系統(tǒng)的安全管理權(quán)限，對系統(tǒng)接入用戶的使用權(quán)限進(jìn)行管理，保證遠(yuǎn)程管理的安全性，另一方面可以根據(jù)設(shè)備中相應(yīng)的授權(quán)信息構(gòu)建用戶的云存儲系統(tǒng)或者對系統(tǒng)進(jìn)行升級擴(kuò)容。
文檔編號H04L29/06GK102170452SQ20111012994
公開日2011年8月31日 申請日期2011年5月19日 優(yōu)先權(quán)日2011年5月19日
發(fā)明者張在貴, 張立強(qiáng) 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司