专利名称:iSCSI和光纤通道认证的制作方法
技术领域:
本发明一般涉及存储区域网络。更具体地说,本发明提供用于iSCSI 和光纤通道存储区域网络的认证机制。
背景技术:
因特网小型计算机系统接口 (iSCSI)允许用因特网协议(IP)网络将 SCSI设备连接到存储区域网络(SAN)。例如,iSCSI启动器可以被连接 到IP网络上的光纤通道交换机。光纤通道交换机可以被连接到光纤通道存 储区域网络上的多个主机和磁盘阵列。
在传统实现方式中,在允许各种实体建立连接之前,通过让光纤通道 交换机认证这些实体而提供安全性。例如,iSCSI启动器将与光纤通道交 换机执行认证交换以将其本身认证到光纤通道交换机。诸如磁盘阵列之类 的存储区域网络也将必须将它们本身认证到光纤通道交换机。
诸如磁盘阵列之类的光纤通道存储区域网络也将必须在允许各种实体 建立连接之前认证这些实体。例如,连接到磁盘阵列的主机将与磁盘阵列 执行认证交换以将其本身认证到该磁盘阵列。但是,让认证在许多不同的 实体处执行会导致各种低效率。
因此,希望提供用于改善连接到光纤通道存储区域网络的认证启动器 的能力的方法和装置。
发明内容
提供了用于认证连接到光纤通道存储区域网络的iSCSI启动器的方法 和装置。iSCSI启动器通过一个或多个光纤通道交换机执行与诸如光纤通 道主机或磁盘阵列之类的光纤通道目标的认证交换。在光纤通道交换机处 不再需要诸如密码信息之类的认证信息,相反,认证信息可以聚集在光纤通道目标处。
在一个实施例中,提供了一种光纤通道交换机。该光纤通道交换机连 接到因特网小型计算机系统接口 (iSCSI)启动器和光纤通道目标。所述光
纤通道交换机包括iSCSI接口、处理器和光纤通道接口。 iSCSI接口被配 置为从启动器接收第一认证协商消息。所述认证协商消息标识多个认证算 法。处理器耦合到iSCSI接口。处理器被配置为将第一认证协商消息转换 成用于光纤通道机构的第二认证协商消息。光纤通道接口被配置为将第二 认证协商消息从光纤通道交换机发送到光纤通道目标。第二认证协商消息 对应于第一认证协商消息。
在另一个实施例中,描述了一种用于提供启动器和光纤通道目标之间 的认证的方法。在光纤通道交换机处从连接到该光纤通道交换机的启动器 接收第一认证协商消息。所述认证协商消息标识多个认证算法。将第二认 证协商消息从光纤通道交换机发送到光纤通道目标。第二认证协商消息对 应于第一认证协商消息。在光纤通道交换机处从光纤通道目标接收第一认 证挑战消息。该认证挑战消息包括随机序列。将第二认证挑战消息发送到 启动器。第二认证挑战消息对应于第一认证挑战消息。
在另一个实施例中,提供了一种数据中心。该数据中心包括iSCSI启 动器、光纤通道磁盘阵列和光纤通道交换机。光纤通道交换机连接到 iSCSI启动器和光纤通道磁盘阵列。光纤通道交换机被配置为从启动器接 收第一认证协商消息并且将第二认证协商消息发送到光纤通道磁盘阵列。 光纤通道磁盘阵列使用第二认证协商消息和用于iSCSI启动器的密码信息 来开始认证iSCSI启动器。
在另一个实施例中,提供了一种金融数据存储区域网络。该金融数据 存储区域网络包括iSCSI启动器、光纤通道主机、光纤通道磁盘阵列和光 纤通道交换机。光纤通道交换机连接到iSCSI启动器和光纤通道磁盘阵 歹U。光纤通道交换机被配置为从启动器接收第一认证协商消息并且将第二 认证协商消息发送到光纤通道磁盘阵列。光纤通道磁盘阵列使用第二认证 协商消息和用于iSCSI启动器的密码信息来开始认证iSCSI启动器。
通过参照说明书的剩余部分和附图,可以实现对本发明的特性和优点的进一步理解。
通过结合附图参照下面的描述,本发明可以被最好地理解,附图用于 说明本发明的具体实施例。
图l是示出存储区域网络的图解表示。
图2是示出iSCSI启动器和光纤通道交换机之间的认证的事务图。
图3是示出光纤通道交换机和光纤通道目标主机/磁盘之间的认证的事务图。
图4是示出密码管理的图解表示。
图5是示出启动器目标认证的事务图。
图6是示出启动器目标密码管理的图解表示。
图7是示出光纤通道交换机处的消息处理的流程图。
图8是示出光纤通道交换机的图解表示。
具体实施例方式
现在将详细参考本发明的一些具体实施例,包括发明人为了实现本发 明所考虑最好模式。这些具体实施例的示例在附图中示出。虽然结合这些 具体实施例描述本发明,但是将会了解到,不希望将本发明限制为所描述 的实施例。相反,希望覆盖由所附权利要求书所限定的可以包括在本发明 的精神和范围内的替换物、修改和等同物。
例如,将在光纤通道网络和因特网SCSI (iSCSI)的环境下描述本发 明的技术。但是,应该注意,本发明的技术可以应用到光纤通道和iSCSI 的各种不同变体和风格。在下面的描述中,给出了许多具体细节以提供对 本发明的全面理解。可以在没有这些具体细节中的一些或者全部这些具体 细节的情况下实践本发明。在其他示例中,未详细描述公知的处理操作, 以免不必要地模糊本发明。
此外,为了清楚起见,有时将以单数形式描述本发明的技术和机制。 但是,应该注意,除非另外表明,否则一些实施例可以包括技术的多次迭代或者机制的多次例化。例如,处理器用于各种环境。但是,将会知道, 也可以使用多个处理器,而同时保持在本发明的范围内。
因特网小型计算机系统接口 (iSCSI)允许SCSI设备通过具有光纤通 道和IP接口两者的光纤通道交换机连接到存储区域网络(SAN)。光纤通 道交换机允许iSCSI启动器与存储区域网络设备通信。
认证是一种允许诸如光纤通道交换机之类的实体来验证诸如磁盘阵列 或启动器之类的其他实体的身份的安全机制。经常在存储区域网络的多个 实体处提供认证能力。例如,光纤通道交换机通常设有这样的机制,该机 制用于在iSCSI启动器和光纤通道磁盘阵列被允许与交换机建立连接之前 认证iSCSI启动器和光纤通道磁盘阵列。在光纤通道交换机处保持用于各 种iSCSI启动器和光纤通道磁盘阵列的密码。磁盘阵列也设有在允许建立 连接之前认证光纤通道主机和iSCSI启动器的机制。在光纤通道交换机和 iSCSI启动器之间运行认证交换。也在存储区域网络设备和光纤通道交换 机之间以及不同的存储区域网络设备之间运行认证交换。用于iSCSI启动
器和光纤通道主机的密码被保持在磁盘阵列处以允许认证。
即使正在认证诸如iSCSI启动器之类的同一设备,也在多个实体处执 行认证。在多个地方进行认证导致管理的低效和复杂性。在一些示例中, 使用诸如RADIUS服务器之类的集中密码管理服务器以允许某种简化。但 是,即使利用RADIUS服务器,也必须在多个实体处配置设定。
因此,本发明的技术考虑提供组合的iSCSI认证和光纤通道认证。可 以用单个认证交换在光纤通道设备处认证iSCSI启动器。不必再在许多实 体处保持密码。根据各种实施例,仅在光纤通道磁盘阵列处保持密码。认 证聚集在终端设备处。在光纤通道交换机处也可以选择性地提供对认证的 支持。
诸如磁盘阵列之类的光纤通道终端设备能够iSCSI启动器,而不是仅 仅光纤通道交换机。在光纤通道交换机处不再需要认证配置。
图1是使用本发明技术的存储区域网络的一个示例的图解表示。交换 机101耦合到交换机103和105以及主机111、主机117和存储器121。在 一个实施例中,主机111是服务器系统或客户端系统,而存储器121是诸如单个磁盘或者独立磁盘冗余阵列(RAID)之类的任何存储子系统。交 换机105耦合到交换机107。在典型的实现方式中,交换机101-109仅提 供对流量流的恰好的过程统计信息,例如所传输的总帧数或帧计数。交换 机107连接到主机113,交换机103连接到存储资源123。交换机103还连 接到IP网络上的iSCSI启动器131和133。交换机109连接到主机115、 交换机107、存储资源153和外部网络151,网络151可能使用或者可能 不使用光纤通道。为了让主机111访问外部网络151,可以使用穿过交换 机105的路径。应该注意,任何包括处理器、存储器和到光纤通道构造的 连接的装置都可以称为光纤通道交换机。
用于在光纤通道网络中将交换机彼此连接的端口在这里称为非构造端 口。非构造端口包括交换机间端口 (E端口)。用于将交换机连接到主机 的端口在这里称为构造端口 (F端口)。在一个示例中,E端口用于将交 换机105连接到交换机107,而F端口用于将交换机107连接到主机 1B。类似地,构造环端口 (FL端口)用于将交换机103连接到存储资源 123。
根据各种实施例,从主机111传输到网络151或者存储资源153的分 组包括诸如交换标识符、序列或者序号之类的参数。交换标识符可以提供 关于分组属于什么交换的信息。序列可以提供关于分组属于该交换的什么 部分的信息,而序号可以提供关于分组应该如何排序的信息。序号可以用 于允许光纤通道分组的按次序传递。
存储资源123和153可以通过FL端口分别耦合到交换机103和109 的构造环。构造环通常包括多个存储设备。在一个示例中,环是允许半双 工框架中的8个或16个设备连接的小型计算机系统接口 (SCSI)环。
图2是示出iSCSI启动器201和光纤通道交换机211之间的认证交换 的图解表示。在一个示例中,该交换是Diffie Hellman挑战握手认证协议 (DHCHAP)交换。
DHCHAP是用可选的Diffie-Hellman算法所增强的基于密码的认证和 密钥管理协议。DHCHAP提供iSCSI启动器201和交换机211之间的单向 或双向认证。根据各种实施例,iSCSI启动器201发送认证协商消息231。在认证协 商消息231中,iSCSI启动器201发送其自己的名称以及所提议的用于剩 余部分交换的认证协议和参数的列表。认证协议和参数的列表包括诸如 SHA1和MD5之类的可能的散列函数和可能使用的Di迅e-Hellman群组标 识符的列表。光纤通道交换机211以挑战消息233进行响应。
挑战消息包括交换机211的名称、散列函数和从启动器201所提议的 DH群组标识符中所选择的DH群组标识符。挑战消息233还包括挑战值 (例如唯一随机序列)禾n DH参数。iSCSI启动器发送响应235到交换机 211。然后交换机211验证该响应,以认证启动器201。
图3是示出光纤通道交换机和光纤通道目标主机/磁盘之间的认证交换 的图解表示。在一个示例中,交换是Diffie Hellman挑战握手认证协议 (DHCHAP)交换。
DHCHAP是用可选的Diffie-Hellman算法所增强的基于密码的认证和 密钥管理协议。DHCHAP提供光纤通道交换机和光纤通道目标之间的单向 或双向认证。为了用DHCHAP协议来认证,每个实体都具有对共享秘密 的访问权限。在一些示例中,第三方实体允许远程用户认证和结算。
根据各种实施例,光纤通道目标主机/磁盘301与光纤通道交换机321 执行构造登入交换341。发送各种配置消息以将目标301连接到交换机 321。认证交换开始于目标301发送认证协商消息343。在认证协商消息 343中,目标301发送其自己的名称以及所提议的用于剩余部分交换的认 证协议和参数的列表。认证协议和参数的列表包括诸如SHA1禾n MD5之 类的可能的散列函数和可能使用的Diffie-Hellman群组标识符的列表。光 纤通道交换机321以挑战消息345进行响应。
挑战消息包括交换机321的名称、散列函数和从目标301所提议的 DH群组标识符中所选择的DH群组标识符。挑战消息345还包括挑战值 (例如唯一随机序列)和DH参数。目标发送响应347,响应347具有用 挑战值所计算的结果。目标还发送其自己的DH参数。对于双向交换来 说,响应347还可以包括挑战值。
如果认证成功,则交换机321以成功完成消息349进行答复以指示目标己被认证。目标也可以以成功完成消息351进行响应。
虽然描述了一个特定认证交换,但是应该认识到,可以使用各种交换 和变体。可以交换可选的参数或者另外的值。支持双向和单向认证。在许 多示例中,目标和交换机用其他实体所提供的共享秘密和挑战值来独立地 计算和验证响应值。在两个实体之间,不必在网络上传输共享秘密。
图4是示出诸如密码之类的认证信息的保持的图解表示。交换机411 (SW1)连接到iSCSI启动器401 (II)和403 (12)。交换机411还连接 到存储设备421 (Dl)。应该注意,交换机411可以通过一个或多个中间 交换机连接到存储器421。在一个实施例中,交换机411是连接到存储区 域网络的光纤通道交换机。存储器421可以是包括多个物理磁盘的磁盘阵 列421。存储器421连接到主机423 (Hl)。
根据各种实施例,交换机411连接到IP网络上的iSCSI启动器401和 403。交换机411连接到光纤通道存储区域网络上的存储器421。存储器 421类似地连接到光纤通道存储区域网络上的光纤通道主机423。
在典型的实现方式中,需要系统管理员来配置交换机411以保持认证 信息,例如用于iSCSI启动器401和403以及用于存储器421的密码。也 需要系统管理员来配置存储器421以保持认证信息,例如用于交换机411 以及用于主机423的密码。密码管理可能变得非常麻烦。此外,存储设备 421不是直接认证存储设备421上的设备访问信息。
诸如RADIUS之类的密码管理服务允许密码信息的集中管理。但是, 诸如交换机411和存储器421之类的单独实体仍然必须用RADIUS参数来 配置。此外,需要用于所有存储区域网络交换机的覆盖网络。具有另外的 网络增加了系统复杂性。
图5是示出iSCSI启动器和光纤通道目标之间的认证交换的图解表 示。iSCSI启动器和光纤通道目标之间的任何认证交换在这里都被称为组 合iSCSI-FC认证交换。在一个示例中,组合交换是组合Diffie Hellman挑 战握手认证协议(DHCHAP)交换。根据各种实施例,组合交换提供 iSCSI启动器501和光纤通道目标521之间的单向或双向认证。
根据各种实施例,iSCSI启动器501将认证协商消息541发送到光纤通道交换机511。在认证协商消息541中,iSCSI启动器501发送其自己的 名称以及所提议的用于剩余部分交换的认证协议和参数的列表。认证协议 和参数的列表包括诸如SHA1和MD5之类的可能的散列函数和可能使用 的Diffie-Hellman群组标识符的列表。光纤通道交换机511将认证协商消 息543转发到光纤通道目标521。认证协商消息543可以基本上与认证协 商消息541类似,或者可以包括基于网络格式的修改。光纤通道521以挑 战消息545进行响应。
挑战消息包括目标521的名称、散列函数和从启动器501所提议的 DH群组标识符中所选择的DH群组标识符。挑战消息545还包括挑战值 (例如唯一随机序列)和DH参数。挑战消息545可以被修改并作为挑战 消息547转发到iSCSI启动器501。 iSCSI启动器发送响应549到交换机 511。交换机511将响应549作为答复消息551转发到目标521。然后目标 521验证该响应,以认证启动器501。
如果认证成功,则目标521发送成功完成消息553以指示目标已被认 证。目标也可以以成功完成消息351进行响应。
虽然描述了一个特定认证交换,但是应该认识到,可以使用各种交换 和变体。可以交换可选的参数或者另外的值。支持双向和单向认证。在许 多示例中,目标和交换机用其他实体所提供的共享秘密和挑战值来独立地 计算和验证响应值。
图6是示出诸如密码之类的认证信息的保持的图解表示。交换机611 (SW1)连接到iSCSI启动器601 (II)和603 (12)。交换机611还连接 到存储设备621 (Dl)。应该注意,交换机611可以通过一个或多个中间 交换机连接到存储器621。在一个实施例中,交换机611是连接到存储区 域网络的光纤通道交换机。存储器621可以是包括多个物理磁盘的磁盘阵 列621。存储器621连接到主机623 (Hl)。
根据各种实施例,交换机611连接到IP网络上的iSCSI启动器601和 603。交换机611连接到光纤通道存储区域网络上的存储器621。存储器 621类似地连接到光纤通道存储区域网络上的光纤通道主机623。
根据各种实施例,不必再在交换机611处保持诸如用于iSCSI启动器601和603之类的认证信息。存储器621被配置为保持认证信息,例如用 于交换机611、启动器601和603以及主机623的密码。密码管理变得目 标确定。此外,存储设备621直接认证存储设备621上的设备访问信息。 仍然可以使用诸如RADIUS之类的密码管理服务,但是这些服务不要求 了。
图7是示出用于在光纤通道交换机处处理组合认证的技术的流程图。 在步骤701,从iSCSI启动器701接收散列算法列表。散列算法列表可以 包括iSCSI启动器所支持的散列算法。在步骤703,认证协商消息被转发 到适当的光纤通道目标。光纤通道目标可以是诸如光纤通道主机或磁盘阵 列之类的实体。认证协商消息包括关于散列算法支持的信息。
在步骤705,从光纤通道目标接收挑战消息。挑战消息可以包括公钥 信息以及光纤通道所提供的随机序列。在步骤707,挑战消息被转发到 iSCSI启动器。在步骤709,从iSCSI启动器接收响应消息。在步骤711, 包括在响应消息中的信息被作为答复消息转发到光纤通道目标。如果认证 成功,则在步骤713接收成功消息。在步骤715,诸如磁盘存取之类的 iSCSI操作可以开始。
图8是可以与本发明的技术和机制一起使用的光纤通道交换机的一个 实例的图解表示。虽然将描述一种特定配置,但是应该注意,各种交换机 和路由器配置都是可用的。交换机801可以包括一个或多个监管器
(supervisor) 811。根据各种实施例,监管器811具有其自己的处理器、 存储器和存储资源。
线路卡803、 805和807可以通过接口电路863、 865和867以及底板 815与活跃(active)监管器811通信。根据各种实施例,每个线路卡包括 多个端口,这些端口可以充当用于与外部光纤通道网络实体851和853通 信的输入端口或者输出端口。底板815可以提供用于线路卡和监管器之间 的所有流量的通信通道。单独的线路卡803和807也可以通过光纤通道端 口 843和847耦合到外部光纤通道网络实体851和853。
外部光纤通道网络实体851和853可以是诸如其他光纤通道交换机、 磁盘、RAID、磁带库或者服务器之类的节点。光纤通道交换机也可以包括具有ip端口 885和887的线路卡875和877。在一个示例中,IP端口 885耦合到外部IP网络实体855。线路卡875和877也具有到底板815的 接口 895和897。
应该注意,交换机可以支持任何数目的线路卡和监管器。在所示实施 例中,仅单个监管器连接到底板815,并且该单个监管器与许多不同的线 路卡通信。活跃监管器811可以被配置或者设计为运行多个应用,例如路 由应用、域管理器应用、系统管理器应用和企业应用。
根据一个实施例,路由应用被配置为在认识到分组已被转发到下一跳 之后向发送者提供信用。企业应用可以被配置为跟踪缓冲的数目和所使用 的信用的数目。域管理器应用可以用于指派光纤通道存储区域网络中的 域。各种监管器应用也可以被配置为提供诸如用于各种光纤通道协议层的 流控制、信用管理和服务质量(QoS)功能之类的功能。
另外,虽然描述了一个示例性交换机,但是可以以各种网络设备(例 如服务器)以及各种介质实现上述实施例。例如,用于实现上述发明的指 令和数据可以存储在磁盘驱动器、硬盘驱动器、软盘、服务器计算机或者 远程联网的计算机中。因此,当前的实施例被认为是说明性的而非限制性 的,并且本发明不局限于这里所给出的细节,而是可以在所附权利要求书 的范围和等同物内修改。
虽然参照其具体实施例具体示出并描述了本发明,但是本领域技术人 员将会了解,可以对所公开实施例的形式和细节做出改变而不脱离本发明 的精神或范围。例如,本发明的实施例可以采用各种网络协议和体系结 构。因此希望本发明被解释为包括落在本发明的真正精神和范围内的所有 变体和等同物。
权利要求
1. 一种光纤通道交换机,其连接到因特网小型计算机系统接口(iSCSI)启动器和光纤通道目标,所述光纤通道交换机包括iSCSI接口,其被配置为从启动器接收第一认证协商消息,所述认证协商消息标识多个认证算法;处理器,其耦合到所述iSCSI接口,该处理器被配置为将所述第一认证协商消息转换成用于光纤通道机构的第二认证协商消息;以及光纤通道接口,其被配置为将所述第二认证协商消息从所述光纤通道交换机发送到所述光纤通道目标,所述第二认证协商消息对应于所述第一认证协商消息。
2. 如权利要求1所述的光纤通道交换机,其中所述光纤通道接口还被配置为在所述光纤通道交换机处从所述光纤通道目标接收第一认证挑战消 息,所述认证挑战消息包括随机序列。
3. 如权利要求2所述的光纤通道交换机,其中所述iSCSI接口还被配 置为将第二认证挑战消息发送到所述启动器,所述第二认证挑战消息对应 于所述第一认证挑战消息。
4. 如权利要求3所述的光纤通道交换机,其中所述iSCSI接口还被配 置为从所述启动器接收第一响应消息。
5. 如权利要求4所述的光纤通道交换机,其中所述光纤通道接口还被 配置为将第二响应消息发送到所述光纤通道目标,所述第二响应消息对应 于所述第一响应消息,其中所述第二响应消息用于向所述光纤通道目标验 证所述启动器。
6. 如权利要求1所述的光纤通道交换机,其中与所述光纤通道交换机 和所述启动器相关联的密码由所述光纤通道目标保持。
7. 如权利要求6所述的光纤通道交换机,其中所述第一认证协商消息 标识多个散列算法。
8. 如权利要求7所述的光纤通道交换机,其中所述第一认证挑战消息 包括公钥和所述随机序列。
9. 如权利要求1所述的光纤通道交换机,其中所述启动器是因特网小型计算机系统接口 (iSCSI)启动器。
10. 如权利要求9所述的光纤通道交换机,其中所述光纤通道目标是 光纤通道存储区域网络磁盘阵列。
11. 如权利要求1所述的光纤通道交换机,其中认证消息和响应消息 基于光纤通道目标是否支持组合认证而被选择性地转发到光纤通道目标。
12. 如权利要求1所述的光纤通道交换机,其中认证是双向的。
13. —种用于提供启动器和光纤通道目标之间的认证的方法,该方法包括在光纤通道交换机处从连接到所述光纤通道交换机的启动器接收第一认证协商消息,所述认证协商消息标识多个认证算法;将第二认证协商消息从所述光纤通道交换机发送到所述光纤通道目 标,所述第二认证协商消息对应于所述第一认证协商消息;在所述光纤通道交换机处从所述光纤通道目标接收第一认证挑战消 息,该认证挑战消息包括随机序列;以及将第二认证挑战消息发送到所述启动器,所述第二认证挑战消息对应 于所述第一认证挑战消息。
14. 如权利要求13所述的方法,还包括 从所述启动器接收第一响应消息;将第二响应消息发送到所述光纤通道目标,所述第二响应消息对应于 所述第一响应消息,其中所述第二响应消息用于向所述光纤通道目标验证所述启动器。
15. 如权利要求13所述的方法,其中与所述光纤通道交换机和所述启 动器相关联的密码由所述光纤通道交换机保持。
16. 如权利要求15所述的方法,其中所述第一认证协商消息标识多个 散列算法。
17. 如权利要求16所述的方法,其中所述第一认证挑战消息包括公钥 和所述随机序列。
18. 如权利要求13所述的方法,其中所述启动器是因特网小型计算机系统接口 (iSCSI)启动器。
19. 如权利要求18所述的方法,其中所述光纤通道目标是光纤通道存 储区域网络磁盘阵列。
20. 如权利要求13所述的方法,其中认证消息和响应消息基于光纤通 道目标是否支持组合认证而被选择性地转发到光纤通道目标。
21. 如权利要求13所述的方法,其中认证是双向的。
22. —种用于提供启动器和光纤通道目标之间的认证的存储区域网络 交换机,该存储区域网络交换机包括用于在光纤通道交换机处从连接到所述光纤通道交换机的启动器接收 第一认证协商消息的装置,所述认证协商消息标识多个认证算法;用于将第二认证协商消息从所述光纤通道交换机发送到所述光纤通道 目标的装置,所述第二认证协商消息对应于所述第一认证协商消息;用于在所述光纤通道交换机处从所述光纤通道目标接收第一认证挑战消息的装置,所述认证挑战消息包括随机序列;以及用于将第二认证挑战消息发送到所述启动器的装置,所述第二认证挑 战消息对应于所述第一认证挑战消息。
23. 如权利要求22所述的存储区域网络交换机,还包括 用于从所述启动器接收第一响应消息的装置;用于将第二响应消息发送到所述光纤通道目标的装置,所述第二响应 消息对应于所述第一响应消息,其中所述第二响应消息用于向所述光纤通 道目标验证所述启动器。
24. —种数据中心,包括 因特网小型计算机系统接口 (iSCSI)启动器; 光纤通道磁盘阵列;以及光纤通道交换机,其连接到所述iSCSI启动器和所述光纤通道磁盘阵列,所述光纤通道交换机被配置为从所述启动器接收第一认证协商消息并 且将第二认证协商消息发送到所述光纤通道磁盘阵列,其中所述光纤通道磁盘阵列使用所述第二认证协商消息和用于所述iSCSI启动器的密码信息 来开始认证所述iSCSI启动器。
25. —种金融数据存储区域网络,包括 因特网小型计算机系统接口 (iSCSI)启动器; 光纤通道主机;光纤通道磁盘阵列;以及光纤通道交换机,其连接到所述iSCSI启动器和所述光纤通道磁盘阵 列,所述光纤通道交换机被配置为从所述启动器接收第一认证协商消息并 且将第二认证协商消息发送到所述光纤通道磁盘阵列,其中所述光纤通道 磁盘阵列使用所述第二认证协商消息和用于所述iSCSI启动器的密码信息 来开始认证所述iSCSI启动器。
26. 如权利要求25所述的金融数据存储区域网络,其中在所述iSCSI 启动器和所述光纤通道磁盘阵列之间执行双向认证。
27. 如权利要求25所述的金融数据存储区域网络,其中所述光纤通道 磁盘阵列被配置为存储用于所述iSCSI启动器和所述光纤通道主机的密码{曰息。
全文摘要
提供了用于认证连接到光纤通道存储区域网络的iSCSI启动器的方法和装置。iSCSI启动器通过一个或多个光纤通道交换机执行与诸如光纤通道主机或磁盘阵列之类的光纤通道目标的认证交换。在光纤通道交换机处不再需要诸如密码信息之类的认证信息,相反,认证信息可以聚集在光纤通道目标处。
文档编号H04L9/32GK101512539SQ200680006581
公开日2009年8月19日 申请日期2006年3月27日 优先权日2005年4月1日
发明者沙旦·弥沙 申请人:思科技术公司