技術領域

本發(fā)明涉及計算機存儲介質的訪問權限控制技術，尤其是一種磁盤陣列及其訪問權限控制方法與裝置、服務器及服務器系統。

背景技術

隨著計算機技術的發(fā)展與用戶對存儲性能要求的日益提高，計算機系統的存儲介質由早期的軟盤、內置硬盤逐漸發(fā)展到現在的外置磁盤陣列。磁盤陣列是一種將多臺硬磁盤驅動器按照一定要求組成一個整體所形成的系統，整個磁盤陣列統一由陣列控制器管理。與現有的存儲介質相比，磁盤陣列大大提高了計算機系統的存儲容量，并且，由于構成磁盤陣列的多臺磁盤驅動器可并行工作，提高了數據傳輸率，從而提高了計算機系統的工作性能，目前已經成為網絡服務器普遍采用的存儲介質。

隨著存儲介質的發(fā)展，雖然計算機系統的存儲性能與工作性能得到了逐步提高，但是，存儲介質對計算機的訪問權限控制能力卻逐漸變弱。例如：最初的軟盤上設置有撥碼開關，用戶可以通過設置撥碼開關來控制計算機對軟盤的訪問權限，即：讀寫權限。而現有的磁盤陣列自身卻不具有對計算機的訪問權限控制能力，只能基于邏輯卷預先設置服務器的使用權限。具體地，將磁盤陣列中的每個磁盤分別映射為一個邏輯卷，并為每個邏輯卷分配一個唯一的邏輯卷號碼(Logical?Unit?Number，以下簡稱：LUN)，在將磁盤陣列應用于服務器之前，通過磁盤陣列的配置工具，分別針對各LUN，預先設置每個LUN標識的邏輯卷可以被哪些服務器所使用。通過該方式配置的對磁盤陣列的使用權限單一，未對該使用權限進行具體限制，例如：將使用權限限制為只讀不可寫，將使用權限限制為特定?用戶等，從而使得不具有對邏輯卷的使用權限的服務器無法讀取該LUN對應的磁盤上的數據，而具有對該邏輯卷的使用權限的服務器即擁有該邏輯卷的所有權限，包括：可讀、可寫。

在實現本發(fā)明的過程中，發(fā)明人發(fā)現：現有技術沒有對磁盤陣列進行具體的訪問權限限制，在授予某服務器對磁盤陣列的邏輯卷的可讀權限時，就需要給予該服務器對相應邏輯卷的所有權限，包括不必要的可寫權限，這至少存在如下問題：無法防止病毒入侵磁盤陣列，并且也無法避免黑客惡意篡改存儲在磁盤陣列上的數據，無法保證磁盤陣列上數據的安全性；另外，現有技術是在邏輯卷使用之前，裝配(mount)邏輯卷時設置其訪問權限，或者在邏輯卷裝配好后通過文件系統設置其訪問權限，在使用邏輯卷的過程中，無法再對通過上述兩種方式設置的邏輯卷訪問權限進行更改，實現不靈活。

發(fā)明內容

本發(fā)明實施例所要解決的技術問題是：現有技術通過磁盤陣列配置工具配置對磁盤陣列的使用權限時，沒有對磁盤陣列進行具體的訪問權限限制。

根據本發(fā)明的第一個方面，提供了一種磁盤陣列的訪問權限控制方法，包括：

磁盤陣列接收服務器發(fā)送的訪問邏輯卷的訪問請求，該訪問請求中攜帶有服務器標識、邏輯卷標識與訪問屬性；

所述磁盤陣列查詢表示各邏輯卷許可訪問權限的許可權限表，根據所述許可權限表，獲取與所述訪問請求中攜帶的邏輯卷標識對應的許可權限；

判斷與所述邏輯卷標識對應的許可權限是否支持所述訪問屬性；

在與所述邏輯卷標識對應的許可權限支持所述訪問屬性時，查詢表示各服務器對所述磁盤陣列的各邏輯卷的訪問權限的訪問權限表，所述訪問權限表包括服務器標識、邏輯卷標識與訪問權限之間的對應關系；

當所述服務器標識及所述邏輯卷標識對應的訪問權限大于所述邏輯卷標識對應的許可權限時，或，當所述服務器標識及所述邏輯卷標識對應的訪問權限不支持所述訪問屬性時；所述磁盤陣列拒絕所述服務器以所述訪問屬性所記載的方式訪問所述邏輯卷。

根據本發(fā)明的第二個方面，提供了一種磁盤陣列的訪問權限控制裝置，包括：

訪問權限表存儲模塊，用于存儲表示各服務器對所述磁盤陣列的各邏輯卷的訪問權限的訪問權限表，所述訪問權限表包括服務器標識、邏輯卷標識與訪問權限之間的對應關系；

接入控制模塊，用于接收服務器發(fā)送的訪問邏輯卷的訪問請求，查詢所述訪問權限表，在與所述訪問請求中攜帶的服務器標識及邏輯卷標識對應的訪問權限?不支持所述訪問請求中攜帶的訪問屬性時，拒絕所述服務器以所述訪問屬性所記載的方式訪問所述邏輯卷；

許可權限表存儲模塊，用于存儲表示各邏輯卷許可權限的許可權限表，在與所述邏輯卷標識對應的許可權限不支持所述訪問屬性時，或者，在與所述服務器標識及邏輯卷標識對應的訪問權限不支持所述訪問屬性或大于所述邏輯卷標識對應的許可權限時，所述服務器不被允許以所述訪問屬性所記載的方式訪問所述邏輯卷；