一種基于san存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法
【專(zhuān)利摘要】本發(fā)明提供一種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法�,其具體分配過(guò)程為:分配多重角色,即在系統(tǒng)管理任務(wù)中設(shè)立帳號(hào)維護(hù)員�、審計(jì)員、管理員��、用戶共四種角色并賦予相應(yīng)權(quán)限及管理范圍����,該四個(gè)角色間相互制約,根據(jù)特定安全原則實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)權(quán)限分離�����,所述安全原則是指最小特權(quán)原則�����,上述分離的權(quán)限包括對(duì)存儲(chǔ)系統(tǒng)的管理權(quán)限及數(shù)據(jù)訪問(wèn)權(quán)限兩部分�����,當(dāng)攻擊者獲取某個(gè)或兩個(gè)管理角色的口令時(shí)不會(huì)得到對(duì)存儲(chǔ)系統(tǒng)的完全控制����。該一種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法和現(xiàn)有技術(shù)相比�,通過(guò)對(duì)用戶角色資源分配�����,實(shí)現(xiàn)指定用戶對(duì)指定資源的訪問(wèn)和控制�,保證存儲(chǔ)系統(tǒng)操作訪問(wèn)的安全可控;實(shí)用性強(qiáng)��,易于推廣���。
【專(zhuān)利說(shuō)明】—種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)數(shù)據(jù)存儲(chǔ)【技術(shù)領(lǐng)域】����,具體的說(shuō)是一種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法��。
【背景技術(shù)】
[0002]隨著進(jìn)入到信息消費(fèi)時(shí)代后���,數(shù)字信息量呈爆炸性增長(zhǎng)態(tài)勢(shì),對(duì)存儲(chǔ)系統(tǒng)不斷提出更高要求�,隨著信息技術(shù)的普及,社會(huì)活動(dòng)越來(lái)越依賴(lài)信息系統(tǒng)���。隨著信息技術(shù)的迅速發(fā)展��,云計(jì)算�、大數(shù)據(jù)等新興產(chǎn)業(yè)逐漸成形,存儲(chǔ)系統(tǒng)在信息領(lǐng)域所起到的關(guān)鍵作用越來(lái)越受到軍事�����、金融���、政務(wù)等各界����、各領(lǐng)域的關(guān)注���。由于存儲(chǔ)是整個(gè)信息技術(shù)的基礎(chǔ)�����,因此����,存儲(chǔ)產(chǎn)業(yè)與電子政務(wù)、互聯(lián)網(wǎng)���、教育���、衛(wèi)生等多個(gè)行業(yè)及產(chǎn)業(yè)都有密切關(guān)聯(lián)。
[0003]長(zhǎng)期以來(lái)�,普通的存儲(chǔ)系統(tǒng)用戶特權(quán)劃分只有兩級(jí):超級(jí)用戶和普通用戶。超級(jí)用戶具有所有特權(quán)����,普通用戶沒(méi)有特權(quán)。在頻繁的使用過(guò)程中����,出現(xiàn)了大量超級(jí)管理員誤操作、被冒認(rèn)的安全事故�,給用戶帶來(lái)了不可估量的損失。事實(shí)上這種做法完全不符合安全系統(tǒng)的“最小特權(quán)”原則:“最小特權(quán)”要求�,將其所有特權(quán)分解成一組細(xì)料度的特權(quán)子集,定義成不同的“角色”�����,分別賦予不同的用戶���,每個(gè)用戶僅擁有完成其工作所必須的最小特權(quán)�����,這樣完全避免了超級(jí)用戶的誤操作或其身份被假冒而帶來(lái)的安全隱患���。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的技術(shù)任務(wù)是解決現(xiàn)有技術(shù)的不足,提供一種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法�����。
[0005]本發(fā)明的技術(shù)方案是按以下方式實(shí)現(xiàn)的���,該一種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法�,其具體分配過(guò)程為:
分配多重角色����,即在系統(tǒng)管理任務(wù)中設(shè)立帳號(hào)維護(hù)員、審計(jì)員�、管理員、用戶共四種角色并賦予相應(yīng)權(quán)限及管理范圍���,該四個(gè)角色間相互制約��,根據(jù)特定安全原則實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)權(quán)限分離�����,所述安全原則是指最小特權(quán)原則�,上述分離的權(quán)限包括對(duì)存儲(chǔ)系統(tǒng)的管理權(quán)限及數(shù)據(jù)訪問(wèn)權(quán)限兩部分,當(dāng)攻擊者獲取某個(gè)或兩個(gè)管理角色的口令時(shí)不會(huì)得到對(duì)存儲(chǔ)系統(tǒng)的完全控制����。
[0006]所述帳號(hào)維護(hù)員權(quán)限包括系統(tǒng)狀態(tài)、帳號(hào)管理兩部分內(nèi)容:系統(tǒng)狀態(tài)�,實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)基本狀態(tài)信息查看;帳號(hào)管理實(shí)現(xiàn)對(duì)所有帳號(hào)管理和維護(hù)�����,包括列表獲取�����、添加帳號(hào)����、刪除帳號(hào)、編輯帳號(hào)���、重置密碼�、修改密碼功能,其中列表獲取用于實(shí)現(xiàn)對(duì)所有用戶帳號(hào)信息獲?���?�;添加帳號(hào)用于實(shí)現(xiàn)對(duì)用戶帳號(hào)添加����;刪除帳號(hào)用于實(shí)現(xiàn)對(duì)所有帳號(hào)刪除;編輯帳號(hào)用于實(shí)現(xiàn)對(duì)所有帳號(hào)信息編輯�����;重置密碼用于實(shí)現(xiàn)對(duì)所有帳號(hào)密碼重置��;修改密碼用于實(shí)現(xiàn)對(duì)所有帳號(hào)密碼修改��。
[0007]所述管理員分為只讀管理員和配置管理員兩種����,只讀管理員只有查閱存儲(chǔ)資源及配置情況;配置管理員不僅有讀的權(quán)限��,同時(shí)可對(duì)存儲(chǔ)資源進(jìn)行靈活配置;該管理員的權(quán)限包括資源管理����、主機(jī)管理、網(wǎng)絡(luò)管理�����、系統(tǒng)管理及帳號(hào)管理五部分: 資源管理實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)磁盤(pán)��、存儲(chǔ)池��、邏輯卷資源模塊管理��;主機(jī)管理實(shí)現(xiàn)映射協(xié)議及由資源到映射Iun轉(zhuǎn)換管理�,配置管理員角色賦予資源到指定用戶角色,具體的Iun映射和資源訪問(wèn)控制是由用戶角色控制����;網(wǎng)絡(luò)管理實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)連接管理;系統(tǒng)管理實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)系統(tǒng)模塊管理����;帳號(hào)管理包括可對(duì)所有用戶帳號(hào)信息獲取的列表獲取、只能對(duì)自身登錄帳號(hào)進(jìn)行密碼修改的修改密碼功能���。
[0008]所述審計(jì)員實(shí)現(xiàn)對(duì)帳號(hào)維護(hù)員新創(chuàng)建的帳號(hào)賦予權(quán)限���,同時(shí)可對(duì)系統(tǒng)自身行為����、操作行為�����、訪問(wèn)行為等進(jìn)行審計(jì)與跟蹤��,識(shí)別系統(tǒng)狀態(tài)�,以便風(fēng)險(xiǎn)評(píng)估���,重新調(diào)整策略��,保障系統(tǒng)安全��;該審計(jì)員權(quán)限包括系統(tǒng)狀態(tài)�、日志審計(jì)����、帳號(hào)管理三部分內(nèi)容�,其中系統(tǒng)狀態(tài)可實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)基本狀態(tài)信息查看��;日志審計(jì)��,系統(tǒng)會(huì)將所有角色操作日志記錄并由審計(jì)員進(jìn)行日志審計(jì)����,實(shí)現(xiàn)對(duì)系統(tǒng)自身行為、操作行為����、訪問(wèn)行為等進(jìn)行審計(jì)與跟蹤,實(shí)現(xiàn)對(duì)問(wèn)題定位和風(fēng)險(xiǎn)評(píng)估�;帳號(hào)管理包括列表獲取、修改密碼�、權(quán)限分配功能:列表獲取實(shí)現(xiàn)對(duì)所有用戶帳號(hào)信息獲取��;修改密碼對(duì)自身登錄帳號(hào)進(jìn)行密碼修改�;權(quán)限分配對(duì)新創(chuàng)建的帳號(hào)進(jìn)行角色分配,可分配為帳號(hào)維護(hù)員���、審計(jì)員��、管理員���、用戶共四種角色��。
[0009]所述用戶角色����,實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)訪問(wèn)權(quán)限控制���,通過(guò)審計(jì)員對(duì)用戶角色權(quán)限指派���,達(dá)到指定用戶可實(shí)現(xiàn)對(duì)指定資源訪問(wèn)控制的目的,該用戶角色權(quán)限包括系統(tǒng)狀態(tài)�����、賬號(hào)管理�、訪問(wèn)控制三部分��,其中系統(tǒng)狀態(tài)實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)基本狀態(tài)信息查看�;帳號(hào)管理包括實(shí)現(xiàn)對(duì)所有用戶帳號(hào)信息獲取的列表獲取、只能對(duì)自身登錄帳號(hào)進(jìn)行密碼修改的修改密碼功能�;訪問(wèn)控制用于對(duì)被分配的資源使用控制,達(dá)到對(duì)客戶端訪問(wèn)存儲(chǔ)設(shè)備指定資源控制的目的����。
[0010]所述管理員及用戶賬號(hào)為使用者創(chuàng)建或刪除的的����,其創(chuàng)建過(guò)程為:
a)登錄帳號(hào)維護(hù)員帳號(hào)�,添加新帳號(hào);
b)登錄審計(jì)員帳號(hào)�,為新添加帳號(hào)賦予權(quán)限;
c)對(duì)新帳號(hào)權(quán)限判斷����,如果是帳號(hào)維護(hù)員或?qū)徲?jì)員則進(jìn)入i,如果是管理員則進(jìn)入山如果是用戶則進(jìn)入e;
d)分配管理員類(lèi)型�,為只讀或配置權(quán)限,進(jìn)入i;
e)判斷是否為用戶分配資源��,是則進(jìn)入f����,否則進(jìn)入i;
f)判斷是否存在配置管理員帳號(hào),是則進(jìn)入h���,否則進(jìn)入g����;
g)提示創(chuàng)建配置管理員帳號(hào),進(jìn)入i;
h)登錄配置管理員帳號(hào)���,為該用戶分配可訪問(wèn)資源�,進(jìn)入i;
i)結(jié)束��;
其刪除過(guò)程為:
a)登錄帳號(hào)維護(hù)員帳號(hào)����;
b)執(zhí)行帳號(hào)刪除操作;
c)判斷是否是最后一個(gè)帳號(hào)維護(hù)員或?qū)徲?jì)員帳號(hào)���,是則進(jìn)入d�,否則進(jìn)入e��;
d)提示最后一個(gè)帳號(hào)維護(hù)員或?qū)徲?jì)員帳號(hào)不能被刪除��,進(jìn)入h;
e)刪除配置中帳號(hào)信息�����,進(jìn)入f;
f)判斷要被刪除帳號(hào)是否正在使用�,是則進(jìn)入g,否則進(jìn)入h;
g)強(qiáng)制登出被刪除帳號(hào)����,進(jìn)入h;
h)結(jié)束。[0011]本發(fā)明與現(xiàn)有技術(shù)相比所產(chǎn)生的有益效果是:
本發(fā)明的一種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法實(shí)現(xiàn)對(duì)管理網(wǎng)絡(luò)�、數(shù)據(jù)網(wǎng)絡(luò)訪問(wèn)權(quán)限控制和分配;幫助客戶實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)的安全訪問(wèn)�����,避免出現(xiàn)超級(jí)用戶的誤操作或其身份被假冒而帶來(lái)的安全隱患�;通過(guò)對(duì)用戶角色資源分配,實(shí)現(xiàn)指定用戶對(duì)指定資源的訪問(wèn)和控制��,保證存儲(chǔ)系統(tǒng)操作訪問(wèn)的安全可控�����;實(shí)用性強(qiáng)����,易于推廣。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0012]附圖1是本發(fā)明的多重角色分配示意圖�。
[0013]附圖2是本發(fā)明中創(chuàng)建帳號(hào)過(guò)程流程圖。
[0014]附圖3是本發(fā)明中刪除帳號(hào)過(guò)程流程圖�。
【具體實(shí)施方式】
[0015]下面結(jié)合附圖對(duì)本發(fā)明的一種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法作以下詳細(xì)說(shuō)明���。
[0016]如附圖1所示,一種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法�����,其具體分配過(guò)程為: 分配多重角色�����,即在系統(tǒng)管理任務(wù)中設(shè)立帳號(hào)維護(hù)員����、審計(jì)員、管理員����、用戶共四種角
色并賦予相應(yīng)權(quán)限及管理范圍,該四個(gè)角色間相互制約�,根據(jù)特定安全原則實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)權(quán)限分離,所述安全原則是指最小特權(quán)原則�����,上述分離的權(quán)限包括對(duì)存儲(chǔ)系統(tǒng)的管理權(quán)限及數(shù)據(jù)訪問(wèn)權(quán)限兩部分�����,當(dāng)攻擊者獲取某個(gè)或兩個(gè)管理角色的口令時(shí)不會(huì)得到對(duì)存儲(chǔ)系統(tǒng)的完全控制����。
[0017]所述帳號(hào)維護(hù)員權(quán)限包括系統(tǒng)狀態(tài)、帳號(hào)管理兩部分內(nèi)容:系統(tǒng)狀態(tài)��,實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)基本狀態(tài)信息查看���;帳號(hào)管理實(shí)現(xiàn)對(duì)所有帳號(hào)管理和維護(hù)��,包括列表獲取�、添加帳號(hào)�����、刪除帳號(hào)��、編輯帳號(hào)�、重置密碼、修改密碼功能�,其中列表獲取用于實(shí)現(xiàn)對(duì)所有用戶帳號(hào)信息獲取�;添加帳號(hào)用于實(shí)現(xiàn)對(duì)用戶帳號(hào)添加��;刪除帳號(hào)用于實(shí)現(xiàn)對(duì)所有帳號(hào)刪除����;編輯帳號(hào)用于實(shí)現(xiàn)對(duì)所有帳號(hào)信息編輯�;重置密碼用于實(shí)現(xiàn)對(duì)所有帳號(hào)密碼重置;修改密碼用于實(shí)現(xiàn)對(duì)所有帳號(hào)密碼修改��。
[0018]所述管理員分為只讀管理員和配置管理員兩種�����,只讀管理員只有查閱存儲(chǔ)資源及配置情況���;配置管理員不僅有讀的權(quán)限���,同時(shí)可對(duì)存儲(chǔ)資源進(jìn)行靈活配置;該管理員的權(quán)限包括資源管理��、主機(jī)管理�、網(wǎng)絡(luò)管理、系統(tǒng)管理及帳號(hào)管理五部分:
資源管理實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)磁盤(pán)����、存儲(chǔ)池�����、邏輯卷資源模塊管理;主機(jī)管理實(shí)現(xiàn)映射協(xié)議及由資源到映射Iun轉(zhuǎn)換管理�,配置管理員角色賦予資源到指定用戶角色,具體的Iun映射和資源訪問(wèn)控制是由用戶角色控制��;網(wǎng)絡(luò)管理實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)連接管理�����;系統(tǒng)管理實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)系統(tǒng)模塊管理���;帳號(hào)管理包括可對(duì)所有用戶帳號(hào)信息獲取的列表獲取�、只能對(duì)自身登錄帳號(hào)進(jìn)行密碼修改的修改密碼功能��。
[0019]所述審計(jì)員實(shí)現(xiàn)對(duì)帳號(hào)維護(hù)員新創(chuàng)建的帳號(hào)賦予權(quán)限�����,同時(shí)可對(duì)系統(tǒng)自身行為�����、操作行為、訪問(wèn)行為等進(jìn)行審計(jì)與跟蹤����,識(shí)別系統(tǒng)狀態(tài),以便風(fēng)險(xiǎn)評(píng)估����,重新調(diào)整策略,保障系統(tǒng)安全��;該審計(jì)員權(quán)限包括系統(tǒng)狀態(tài)����、日志審計(jì)、帳號(hào)管理三部分內(nèi)容�,其中系統(tǒng)狀態(tài)可實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)基本狀態(tài)信息查看;日志審計(jì)��,系統(tǒng)會(huì)將所有角色操作日志記錄并由審計(jì)員進(jìn)行日志審計(jì)�,實(shí)現(xiàn)對(duì)系統(tǒng)自身行為、操作行為���、訪問(wèn)行為等進(jìn)行審計(jì)與跟蹤�����,實(shí)現(xiàn)對(duì)問(wèn)題定位和風(fēng)險(xiǎn)評(píng)估�����;帳號(hào)管理包括列表獲取���、修改密碼、權(quán)限分配功能:列表獲取實(shí)現(xiàn)對(duì)所有用戶帳號(hào)信息獲?���。恍薷拿艽a對(duì)自身登錄帳號(hào)進(jìn)行密碼修改�����;權(quán)限分配對(duì)新創(chuàng)建的帳號(hào)進(jìn)行角色分配��,可分配為帳號(hào)維護(hù)員��、審計(jì)員���、管理員�、用戶共四種角色��。
[0020]所述用戶角色,實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)訪問(wèn)權(quán)限控制�,通過(guò)審計(jì)員對(duì)用戶角色權(quán)限指派,達(dá)到指定用戶可實(shí)現(xiàn)對(duì)指定資源訪問(wèn)控制的目的����,該用戶角色權(quán)限包括系統(tǒng)狀態(tài)、賬號(hào)管理���、訪問(wèn)控制三部分���,其中系統(tǒng)狀態(tài)實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)基本狀態(tài)信息查看;帳號(hào)管理包括實(shí)現(xiàn)對(duì)所有用戶帳號(hào)信息獲取的列表獲取��、只能對(duì)自身登錄帳號(hào)進(jìn)行密碼修改的修改密碼功能�����;訪問(wèn)控制用于對(duì)被分配的資源使用控制���,達(dá)到對(duì)客戶端訪問(wèn)存儲(chǔ)設(shè)備指定資源控制的目的����。
[0021]如附圖2、圖3所示�����,存儲(chǔ)系統(tǒng)出廠時(shí)�,默認(rèn)有且只有一個(gè)帳號(hào)維護(hù)員和一個(gè)審計(jì)員,出廠時(shí)無(wú)管理員及用戶帳號(hào)�����,客戶必須通過(guò)帳號(hào)維護(hù)員創(chuàng)建新的帳號(hào)����,并通過(guò)審計(jì)員賦予新帳號(hào)權(quán)限�����,如果賦予新帳號(hào)的權(quán)限是管理員角色����,則可通過(guò)新賦予的管理員角色帳號(hào)登錄存儲(chǔ)系統(tǒng),并實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)管理��;如果賦予新帳號(hào)權(quán)限是用戶角色���,則可登錄配置管理員帳號(hào)��,并對(duì)新賦予的用戶角色帳號(hào)分配資源��,實(shí)現(xiàn)指定用戶角色對(duì)存儲(chǔ)設(shè)備指定資源訪問(wèn)的控制和分配���。
[0022]存儲(chǔ)系統(tǒng)可添加多個(gè)帳號(hào)維護(hù)員或?qū)徲?jì)員����,在刪除過(guò)程中必須保證系統(tǒng)中有一個(gè)帳號(hào)維護(hù)員和一個(gè)審計(jì)員存在�,管理員和用戶角色可都刪除。
[0023]對(duì)于帳號(hào)維護(hù)員��、審計(jì)員角色來(lái)說(shuō)����,相同角色的權(quán)限是一致的(即所有的帳號(hào)維護(hù)員權(quán)限是相同的)。
[0024]管理員可分為只讀管理員和配置管理員��,只讀管理員對(duì)資源只有只讀權(quán)限�����,配置管理員可對(duì)資源進(jìn)行配置管理維護(hù)�����。
[0025]每個(gè)用戶角色對(duì)資源的訪問(wèn)控制范圍不同,具體范圍是由配置管理員分配�����。
[0026]帳號(hào)維護(hù)員可對(duì)所有帳號(hào)密碼重置��、修改��,其它角色登錄后只能對(duì)自身登錄的帳號(hào)密碼進(jìn)行修改���。
[0027]所有角色操作都會(huì)記錄到日志中�����,日志審計(jì)只能由審計(jì)員角色來(lái)管理,識(shí)別系統(tǒng)狀態(tài)�,以便風(fēng)險(xiǎn)評(píng)估,重新調(diào)整安全策略����,保障系統(tǒng)安全。
[0028]事件流程�����。
[0029]I)創(chuàng)建帳號(hào)。
[0030]a)登錄(帳號(hào)維護(hù)員)帳號(hào)���,添加新帳號(hào)��;
b)登錄(審計(jì)員)帳號(hào)�,為新添加帳號(hào)賦予權(quán)限����;
c)對(duì)新帳號(hào)權(quán)限判斷,如果是帳號(hào)維護(hù)員或?qū)徲?jì)員則進(jìn)入i�����,如果是管理員則進(jìn)入山如果是用戶則進(jìn)入e;
d)分配管理員類(lèi)型��,為只讀或配置權(quán)限��,進(jìn)入i;
e)判斷是否為用戶分配資源���,是則進(jìn)入f�����,否則進(jìn)入i;
f)判斷是否存在(配置管理員)帳號(hào)��,是則進(jìn)入h�����,否則進(jìn)入g�;
g)提示創(chuàng)建(配置管理員)帳號(hào),進(jìn)入i;
h)登錄(配置管理員)帳號(hào)����,為該用戶分配可訪問(wèn)資源,進(jìn)入i;
i)結(jié)束�。
[0031]2)刪除帳號(hào)。[0032]a)登錄(帳號(hào)維護(hù)員)帳號(hào)�����;
b)執(zhí)行帳號(hào)刪除操作��;
c)判斷是否是最后一個(gè)(帳號(hào)維護(hù)員I審計(jì)員)帳號(hào)���,是則進(jìn)入山否則進(jìn)入e;
d)提示最后一個(gè)(帳號(hào)維護(hù)員I審計(jì)員)帳號(hào)不能被刪除�,進(jìn)入h;
e)刪除配置中帳號(hào)信息����,進(jìn)入f;
f)判斷要被刪除帳號(hào)是否正在使用(即被登錄)�����,是則進(jìn)入g���,否則進(jìn)入h;
g)強(qiáng)制登出被刪除帳號(hào)�����,進(jìn)入h;
h)結(jié)束�����。
[0033]以上所述僅為本發(fā)明的實(shí)施例而已�����,凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改�、等同替換、改進(jìn)等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�����。
【權(quán)利要求】
1.一種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法�,其特征在于其具體分配過(guò)程為:分配多重角色,即在系統(tǒng)管理任務(wù)中設(shè)立帳號(hào)維護(hù)員��、審計(jì)員��、管理員��、用戶共四種角色并賦予相應(yīng)權(quán)限及管理范圍���,該四個(gè)角色間相互制約�,根據(jù)特定安全原則實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)權(quán)限分離�,所述安全原則是指最小特權(quán)原則,上述分離的權(quán)限包括對(duì)存儲(chǔ)系統(tǒng)的管理權(quán)限及數(shù)據(jù)訪問(wèn)權(quán)限兩部分��,當(dāng)攻擊者獲取某個(gè)或兩個(gè)管理角色的口令時(shí)不會(huì)得到對(duì)存儲(chǔ)系統(tǒng)的完全控制��。
2.根據(jù)權(quán)利要求1所述的一種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法�,其特征在于:所述帳號(hào)維護(hù)員權(quán)限包括系統(tǒng)狀態(tài)、帳號(hào)管理兩部分內(nèi)容:系統(tǒng)狀態(tài)�,實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)基本狀態(tài)信息查看;帳號(hào)管理實(shí)現(xiàn)對(duì)所有帳號(hào)管理和維護(hù)�����,包括列表獲取�、添加帳號(hào)、刪除帳號(hào)�、編輯帳號(hào)、重置密碼�、修改密碼功能,其中列表獲取用于實(shí)現(xiàn)對(duì)所有用戶帳號(hào)信息獲?���。惶砑訋ぬ?hào)用于實(shí)現(xiàn)對(duì)用戶帳號(hào)添加�;刪除帳號(hào)用于實(shí)現(xiàn)對(duì)所有帳號(hào)刪除;編輯帳號(hào)用于實(shí)現(xiàn)對(duì)所有帳號(hào)信息編輯�;重置密碼用于實(shí)現(xiàn)對(duì)所有帳號(hào)密碼重置;修改密碼用于實(shí)現(xiàn)對(duì)所有帳號(hào)密碼修改�����。
3.根據(jù)權(quán)利要求2所述的一種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法,其特征在于:所述管理員分為只讀管理員和配置管理員兩種�����,只讀管理員只有查閱存儲(chǔ)資源及配置情況��;配置管理員不僅有讀的權(quán)限�����,同時(shí)可對(duì)存儲(chǔ)資源進(jìn)行靈活配置����;該管理員的權(quán)限包括資源管理、主機(jī)管理��、網(wǎng)絡(luò)管理���、系統(tǒng)管理及帳號(hào)管理五部分: 資源管理實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)磁盤(pán)�、存儲(chǔ)池��、邏輯卷資源模塊管理�����;主機(jī)管理實(shí)現(xiàn)映射協(xié)議及由資源到映射Iun轉(zhuǎn)換管理,配置管理員角色賦予資源到指定用戶角色��,具體的Iun映射和資源訪問(wèn)控制是由用戶角色控制����;網(wǎng)絡(luò)管理實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)連接管理�;系統(tǒng)管理實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)系統(tǒng)模塊管理;帳號(hào)管理包括可對(duì)所有用戶帳號(hào)信息獲取的列表獲取��、只能對(duì)自身登錄帳號(hào)進(jìn)行密碼修改的修改密碼功能��。
4.根據(jù)權(quán)利要求3所述的一種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法����,其特征在于:所述審計(jì)員實(shí)現(xiàn)對(duì)帳號(hào)維護(hù) 員新創(chuàng)建的帳號(hào)賦予權(quán)限,同時(shí)可對(duì)系統(tǒng)自身行為��、操作行為��、訪問(wèn)行為等進(jìn)行審計(jì)與跟蹤�,識(shí)別系統(tǒng)狀態(tài),以便風(fēng)險(xiǎn)評(píng)估����,重新調(diào)整策略,保障系統(tǒng)安全;該審計(jì)員權(quán)限包括系統(tǒng)狀態(tài)�、日志審計(jì)、帳號(hào)管理三部分內(nèi)容�,其中系統(tǒng)狀態(tài)可實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)基本狀態(tài)信息查看;日志審計(jì)��,系統(tǒng)會(huì)將所有角色操作日志記錄并由審計(jì)員進(jìn)行日志審計(jì)�����,實(shí)現(xiàn)對(duì)系統(tǒng)自身行為�����、操作行為�����、訪問(wèn)行為等進(jìn)行審計(jì)與跟蹤����,實(shí)現(xiàn)對(duì)問(wèn)題定位和風(fēng)險(xiǎn)評(píng)估;帳號(hào)管理包括列表獲取��、修改密碼�、權(quán)限分配功能:列表獲取實(shí)現(xiàn)對(duì)所有用戶帳號(hào)信息獲?���?;修改密碼對(duì)自身登錄帳號(hào)進(jìn)行密碼修改;權(quán)限分配對(duì)新創(chuàng)建的帳號(hào)進(jìn)行角色分配��,可分配為帳號(hào)維護(hù)員���、審計(jì)員、管理員����、用戶共四種角色。
5.根據(jù)權(quán)利要求4所述的一種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法���,其特征在于:所述用戶角色���,實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)訪問(wèn)權(quán)限控制,通過(guò)審計(jì)員對(duì)用戶角色權(quán)限指派����,達(dá)到指定用戶可實(shí)現(xiàn)對(duì)指定資源訪問(wèn)控制的目的,該用戶角色權(quán)限包括系統(tǒng)狀態(tài)����、賬號(hào)管理���、訪問(wèn)控制三部分,其中系統(tǒng)狀態(tài)實(shí)現(xiàn)對(duì)存儲(chǔ)系統(tǒng)基本狀態(tài)信息查看����;帳號(hào)管理包括實(shí)現(xiàn)對(duì)所有用戶帳號(hào)信息獲取的列表獲取、只能對(duì)自身登錄帳號(hào)進(jìn)行密碼修改的修改密碼功能�����;訪問(wèn)控制用于對(duì)被分配的資源使用控制��,達(dá)到對(duì)客戶端訪問(wèn)存儲(chǔ)設(shè)備指定資源控制的目的�����。
6.根據(jù)權(quán)利要求5所述的一種基于SAN存儲(chǔ)系統(tǒng)的多重權(quán)限分配方法,其特征在于:所述管理員及用戶賬號(hào)為使用者創(chuàng)建或刪除的的�,其創(chuàng)建過(guò)程為: a)登錄帳號(hào)維護(hù)員帳號(hào),添加新帳號(hào)���; b)登錄審計(jì)員帳號(hào)��,為新添加帳號(hào)賦予權(quán)限��; c)對(duì)新帳號(hào)權(quán)限判斷�,如果是帳號(hào)維護(hù)員或?qū)徲?jì)員則進(jìn)入i,如果是管理員則進(jìn)入山如果是用戶則進(jìn)入e; d)分配管理員類(lèi)型��,為只讀或配置權(quán)限���,進(jìn)入i; e)判斷是否為用戶分配資源����,是則進(jìn)入f�����,否則進(jìn)入i; f)判斷是否存在配置管理員帳號(hào)����,是則進(jìn)入h�,否則進(jìn)入g; g)提示創(chuàng)建配置管理員帳號(hào)��,進(jìn)入i; h)登錄配置管理員帳號(hào)�,為該用戶分配可訪問(wèn)資源,進(jìn)入i; i)結(jié)束�����; 其刪除過(guò)程為: a)登錄帳號(hào)維護(hù)員帳號(hào); b)執(zhí)行帳號(hào)刪除操作���; c)判斷是否是最后一個(gè)帳號(hào)維護(hù)員或?qū)徲?jì)員帳號(hào)����,是則進(jìn)入d���,否則進(jìn)入e���; d)提示最后一個(gè)帳號(hào)維護(hù)員或?qū)徲?jì)員帳號(hào)不能被刪除,進(jìn)入h; e)刪除配置中帳號(hào)信息�����,進(jìn)入f; f)判斷要被刪除帳號(hào)是否正在使用�����,是則進(jìn)入g����,否則進(jìn)入h���; g)強(qiáng)制登出被刪除帳號(hào),進(jìn)入h; h)結(jié)束��。
【文檔編號(hào)】G06F21/62GK103763369SQ201410023393
【公開(kāi)日】2014年4月30日 申請(qǐng)日期:2014年1月20日 優(yōu)先權(quán)日:2014年1月20日
【發(fā)明者】袁鵬飛, 吳慶民, 何中辰 申請(qǐng)人:浪潮電子信息產(chǎn)業(yè)股份有限公司