技術(shù)領(lǐng)域

本發(fā)明涉及部署iSCSI參數(shù)，并且更具體地，涉及用于在無盤啟動環(huán)境中安全和遠(yuǎn)程部署iSCSI參數(shù)的架構(gòu)。?

背景技術(shù)

存儲區(qū)域網(wǎng)或SAN是保持?jǐn)?shù)據(jù)的重要部分。傳統(tǒng)地，存儲區(qū)域網(wǎng)由連接在專用光纖信道網(wǎng)中的一個或多個服務(wù)器和一個或多個數(shù)據(jù)存儲裝置組成。光纖信道網(wǎng)具有物理限制和其他確保數(shù)據(jù)安全的安全措施。典型地，距離限制確保與存儲裝置通信的服務(wù)器足夠近，使得外人不具有到存儲裝置的訪問權(quán)。?

在典型的客戶端計算機中，稱為小型計算機系統(tǒng)接口(“SCSI”)的通信協(xié)議用于與例如盤驅(qū)動器之類的裝置通信。最近，稱為因特網(wǎng)SCSI(“iSCSI”)的新協(xié)議用于允許訪問存儲區(qū)域網(wǎng)裝置和經(jīng)過長距離、通過局域網(wǎng)、廣域網(wǎng)、因特網(wǎng)或其他類似網(wǎng)絡(luò)訪問其他計算裝置。這些網(wǎng)絡(luò)通常是公共的，并且典型地使用實際的傳輸控制協(xié)議/因特網(wǎng)協(xié)議(“TCP/IP”)協(xié)議。因為iSCSI在TCP/IP之上操作，并且在TCP/IP網(wǎng)絡(luò)上的大部分網(wǎng)絡(luò)業(yè)務(wù)量可由未授權(quán)用戶截取，所以關(guān)注安全。?

已經(jīng)使用例如挑戰(zhàn)握手認(rèn)證協(xié)議(“challenge?handshake?authenticationprotocol，CHAP”)、安全遠(yuǎn)程口令(“SRP”)、因特網(wǎng)協(xié)議安全(“IPSec”)、數(shù)字證書等多種安全措施解決了在iSCSI網(wǎng)絡(luò)上的安全通信。每個安全措施具有固有的優(yōu)點和缺點。大多數(shù)安全措施取決于認(rèn)證和加密的各種組合。加密依靠源和目標(biāo)知道的加密密鑰，所述密鑰用于解鎖加密并且允許解密。認(rèn)證還依靠例如在源和目標(biāo)的用戶名和口令之類的安全參數(shù)的驗證。因為在公共網(wǎng)絡(luò)上發(fā)送的任何敏感參數(shù)可被未授權(quán)用戶通過對公共網(wǎng)絡(luò)的訪問截獲，所以將例如加密密鑰之類的敏感參數(shù)發(fā)送到客戶端和服務(wù)器存在安全問題。雖然在建筑物中的專用網(wǎng)絡(luò)可比公共網(wǎng)絡(luò)更安全，但是即使對于專用網(wǎng)絡(luò)的用戶，也可能存在雇主不希望雇員得到的私人或敏感材料。?

用于具有對于計算機是本地的盤或其他數(shù)據(jù)存儲裝置的計算機的一個解決方案是使用數(shù)據(jù)存儲介質(zhì)部署密鑰和參數(shù)。典型地，這樣的計算機包括：計算機的機箱中的硬盤或其他數(shù)據(jù)存儲裝置。例如，當(dāng)使用CD或其他介質(zhì)部署iSCSI軟件時，可通過數(shù)據(jù)存儲裝置上的軟件存儲例如加密密鑰之類的敏感參數(shù)。但是，該方法要求物理介質(zhì)的分發(fā)、要求人將介質(zhì)安裝在每個機器上、并需要用于讀取介質(zhì)的部件。?

在存儲區(qū)域網(wǎng)系統(tǒng)中，最近使用刀片中心和其他服務(wù)器，其不具有本地數(shù)據(jù)存儲裝置。數(shù)據(jù)存儲裝置可與計算機或服務(wù)器分離，并使用存儲區(qū)域網(wǎng)連接。在使用iSCSI或iSCSI和光纖信道的組合的存儲區(qū)域網(wǎng)中，可能使用iSCSI訪問數(shù)據(jù)存儲裝置。典型地，此類型的安排要求用于防止對數(shù)據(jù)存儲裝置、服務(wù)器和其他裝置的不希望訪問的安全措施。但是，因為通過iSCSI網(wǎng)絡(luò)發(fā)送敏感系數(shù)具有安全風(fēng)險，所以對無盤服務(wù)器部署敏感系數(shù)是個問題。由于無盤計算機典型地不具有內(nèi)部盤或其他用于讀取本地可拆卸存儲介質(zhì)的部件，所以不能經(jīng)由一些可拆卸存儲介質(zhì)加載敏感參數(shù)。?

一種用于將敏感參數(shù)加載到無盤計算裝置上的方法是，物理連接到無盤計算裝置的輸入/輸出接口(“I/O”)，然后對每個無盤計算裝置手動加載敏感參數(shù)。然后可將參數(shù)與其他關(guān)鍵產(chǎn)品數(shù)據(jù)存儲在非易失性存儲器中。敏感參數(shù)的手動加載是安全的，但是耗時并且要求人親自訪問每個無盤計算裝置并進(jìn)行到裝置的連接。通過公共網(wǎng)絡(luò)部署參數(shù)，例如向動態(tài)主機配置協(xié)議(“DHCP”)服務(wù)器配置參數(shù)然后動態(tài)主機配置協(xié)議服務(wù)器在初始化期間將參數(shù)發(fā)送到iSCSI啟動器，允許自動控制參數(shù)部署，但是不安全。?

通過以上描述，應(yīng)當(dāng)清楚，存在對向無盤計算機裝置部署敏感通信參數(shù)的設(shè)備、系統(tǒng)和方法的需要。有益地，這樣的設(shè)備、系統(tǒng)和方法將以可擴展數(shù)據(jù)結(jié)構(gòu)、通過安全連接對無盤計算裝置和服務(wù)器部署敏感通信參數(shù)，而不需要通過公共網(wǎng)絡(luò)傳遞這樣的敏感系數(shù)。?

發(fā)明內(nèi)容

在第一方面，本發(fā)明相應(yīng)地提供一種設(shè)備，用于向無盤計算裝置部署敏感通信參數(shù)，所述設(shè)備包括：參數(shù)結(jié)構(gòu)模塊，配置為以可擴展數(shù)據(jù)結(jié)構(gòu)存儲一個或多個因特網(wǎng)小型計算機系統(tǒng)接口(“iSCSI”)通信參數(shù)，所述可擴展數(shù)據(jù)結(jié)構(gòu)配置為存儲一組基本參數(shù)設(shè)置和一組擴展的參數(shù)設(shè)置；鏈接模塊，配?置為在物理安全連接上向無盤計算裝置建立安全鏈接；以及部署模塊，配置為在安全連接上將可擴展數(shù)據(jù)結(jié)構(gòu)部署到無盤計算裝置中的非易失性存儲器，其中所述非易失性存儲器配置為在啟動序列期間將可擴展數(shù)據(jù)結(jié)構(gòu)提供的敏感iSCSI通信參數(shù)提供到無盤計算裝置的CPU。?