一種存儲目標器以及面向存儲目標器的存儲安全保護方法

專利名稱：：一種存儲目標器以及面向存儲目標器的存儲安全保護方法
技術領域：
：本發明用于解決保護大型存儲系統安全的問題，屬于存儲技術和信息安全的交叉
技術領域：
，尤其涉及一種存儲目標器以及面向存儲目標器的存儲安全保護方法。
背景技術：
：當前存儲系統面臨較嚴峻的安全保護問題，安全存儲技術是研究和應用的熱點問題。現有安全存儲技術主要包括六個方面文件系統加密、新型磁盤結構、高效密鑰管理系統、可恢復數據系統、安全中間件與多層安全結構系統、分區與掩碼。文件系統加密采用在文件系統層中對文件數據加密的方法保證存儲系統中數據的保密性，但存在效率低、安全保護功能弱、容易被攻擊者跳過和適應系統變化能力差等問題。在新型磁盤結構方面，主要是PDL實驗室提出的NASD和SelfSecuringStorage,以主動方式保護磁盤中數據的安全性，但其存在需要使用智能磁盤、磁盤負擔重、缺乏整體安全防護等問題。PASIS系統中將文件分成N部分存放在不同的存儲設備中，使用P-M-N算法，要求訪問者得到多于M部分數據才能訪問文件數據，系統中只要有P部分安全的數據就能恢復整個文件數據，但由于該系統釆用冗余換取數據安全性，系統開銷大，存儲效率低。安全中間件系統SiRiUS可應用于任何網絡存儲系統，通過截獲和轉換訪問數據系統調用實現安全功能，但該類系統存在系統效率低，安全性差等問題。SAN系統中可以使用分區與掩碼的方法實現系統安全，有主機、交換機和存儲控制器三個層次的實現方法，但其存在專用性強等問題，不能適應系統環境的變化。總的來說現有安全存儲技術存在專效率低的問題，存儲系統I/O性能損失平均在25%以上，無法滿足大型存儲系統高性能的需求。存儲目標器是大型存儲系統中的重要部件，負責接收上層的數據訪問請求，訪問和管理磁盤數據，包含最接近底層磁盤的管理軟件層。也是保護存儲系統數據安全性的最直接和最后的屏障，同時在此實現安全功能能有效地避免存儲系統的I/O性能瓶頸，分散安全開銷，實現安全存儲系統性能的優化。但存儲目標器本身的運算功能有限，虛報保護的數據量非常龐大，采用常用安全技術會造成較大的安全開銷，嚴重影響存儲系統的I/O性能。存儲目標器的安全特性分析如圖1所示，現有的存儲目標器的工作流程如下負責沖矣收上層的邀:據訪問請求，分析數據訪問請求，將其轉換成相應的命令，操作和管理磁盤數據。存儲目標器需完成的功能相對筒單，但大型存儲系統中磁盤保存的數據量非常龐大，所需的安全保護開銷4艮大，其安全特性如下1、功能簡單存儲系統中的命令數量很有限，存儲目標器所需處理的數據訪問請求種類也較少，相應的安全保護開銷也較小，這給實現高效安全保護系統帶來了很大的便利。2、數據量龐大存儲系統需要保存海量數據，釆用現有安全技術時，幾乎需要給每個數據單元都生成相應的安全規則、密鑰、安全標識等信息，安全數據量非常龐大，造成安全系統效率較低，嚴重影響了安全存儲系統的1/0性能。
發明內容本發明的目的是解決現有安全存儲系統存在的安全開銷大、I/O性能低等問題，提供一種面向存儲目標器的使用快速人工免疫算法，實現海量數據的存儲安全保護方法，以及一種既能實現安全保護目的又能減少安全存儲系統的1/0性能損失的安全存儲目標器。實現本發明目的的技術方案是，一種面向存儲目標器的存儲安全保護方法，包括下列步驟1、接收數據訪問請求；2、分析數據訪問請求，3、將請數據訪問求轉換成相應的命令；4、返回數據；在上述步驟2和步驟3之間還有安全檢測步驟，用于檢測非法數據訪問請求，并將其丟棄。所述安全^r測步驟具體可包括下列步驟(1)安全信息提取提取操作命令、數據標識和目標器標識信息；(2)安全信息轉換將操作命令轉換成三位的二進制串，目標器標識轉換成五位的二進制串，數據標識轉換成八位的二進制串，共使用16位二進制串表示一個數據訪問請求中的安全信息，從而將數據訪問請求轉換成16位的訪問串；(3)挑選檢測器選擇能識別非法數據訪問請求的檢測器；(4)檢查訪問串判斷訪問串是否與檢測器匹配，決定訪問串對應的數據訪問請求是否為合法。上述步驟(3)進一步包括下列步驟(3.1)定義匹配閾值r作為判斷檢測器與自體(存儲系統中的合法訪問串)是否匹配的標準；(3.2)當存儲系統中的數據發生變化時，將新增和被刪除自體(總稱為差異自體)分別保存于SA與SD中，生成能識別差異自體的差異檢測元。上述步驟(4)進一步包括下列步驟(4.1)將訪問串分成動作和對象兩個組分，動作組分包含訪問串的設備標識和操作命令兩個部分，對象組分包含訪問串中的數據標識；(4.2)才艮據公式dw"fc/z&sx三^+2》r朋drpl2r*ccand22/*々，判斷檢測器d與訪問串x兩者是否匹配；其中，"和"是兩個參H，滿足《+"=1;r^是訪問串中動作組分與檢測器中對應子區間的子匹配度，為動作組分與檢測器中對應子區間對應相同子串的最大長度，iv由公式max{&Irfc三3/2Z—+1wc/Aw勺=《/or_/=+&—l計算才尋出；rw是訪問串中對象組分與檢測器中對應子區間的子匹配度，為對象組分與檢測器中對應子區間相同子串的最大長度，rp2由公式max{尸*IVr*}^三3/S/—q+1""c/3乂S/—r+lswc/zxm=</,^十算;jt尋出/orm=…，z.+q—1a/=…'+q—1本發明首先通過檢查存儲目標器中訪問請求的合法性，保護存儲系統的安全；利用存儲系統中眾多存儲目標器間的分布式運行環境，實現分布式存儲安全保護方式，減少存儲安全的開銷；使用人工免疫算法，實現訪問請求的檢查功能，使得存儲目標器中的訪問控制模塊能高效識別非法訪問請求，減少了安全開銷；改進現有人工免疫算法，使其能針對存儲目標器中訪問請求的特點，適應多邊的運行環境，高效、準確的識別出非法訪問請求；最終安全的存儲目標器實現機制。該發明針對存儲目標器中訪問請求的特點，減少了安全開銷，實現了高效、準確的訪問控制功能。實現本發明方法發明目的的裝置如下一種存儲目標器，包括接收數據訪問請求裝置、分析數據訪問請求裝置、將請數據訪問求轉換成相應的命令的裝置和返回數據裝置；其特征在于，在上述分析數據訪問請求裝置和將請數據訪問求轉換成相應的命令的裝置之間還有快速安全模塊，用于用于判斷存儲目標器接收到數據訪問請求的合法性，檢測出非法數據訪問請求，并將其丟棄。所述快速安全模塊具體可包括下列模塊安全信息提取模塊用于提取搡作命令、數據標識和目標器標識信息；安全信息轉換模塊用于將操作命令轉換成三位的二進制串，目標器標識轉換成五位的二進制串，數椐標識轉換成八位的二進制串，共使用16位二進制串表示一個數據訪問請求中的安全信息，從而將數據訪問請求轉換成16位的訪問串；檢測器挑選模塊用于選擇能識別非法數據訪問請求的檢測器；訪問串檢查模塊用于判斷訪問串是否與檢測器匹配，決定訪問串對應的數據訪問請求是否為合法。本發明通過在存儲目標器內設置—快速安全模塊，檢測非法數據訪問請求，并將其丟棄，存儲目標器既能滿足安全保護的需要又具有很高的效率。本發明的有益效果在于1、使用人工免疫算法實現高效的快速安全模塊，改變現有安全存儲系統效率低、1/0性能損失大等問題，構成高效的安全存儲目標器。2、針對存儲目標器的特點，改進現有人工免疫算法，生成差異檢測元，快速適應存儲系統中數據的變化帶來的安全隱患。3、針對存儲目標器的特點，設計混合匹配度計算法，高效的識別非法訪問串，構建快速安全模塊。4、在存儲目標器中增加安全模塊，構成安全存儲目標器，能有效地消除性能瓶頸，g安全開銷，優化安全模塊的開銷，為構成安全存儲系統提供良好的&出。附困說明圖1是現有技術中存儲目標器的結構圖圖2是本發明存儲目標器的結構圖圖3是本發明快速安全模塊的結構圖圖4是檢測器選擇的流程圖圖5是由SA生成差異檢測元的流程圖圖6是由SD生成差異檢測元的流程圖圖7是訪問串檢查步驟的流程圖圖8是實現安全存儲目標器后的Lustre系統結構圖圖9是安全存儲目標器的1/0性能測試結果圖具體實施方式實施例1如圖2所示，一種存儲目標器，包括接收數據訪問請求裝置、分析數據訪問請求裝置、將請數據訪問求轉換成相應的命令的裝置和返回數據裝置；還有快速安全模塊，用于判斷存儲目標器接收到凄t據訪問請求的合法性，檢測出非法數據訪問請求，并將其丟棄。本實施例在現有存儲目標器的基礎上，增加快速安全模塊，構成安全存儲目標器。快速安全模塊包括安全信息提取模塊、安全信息轉換模塊、檢測器挑選模塊和訪問串檢查模塊等主要功能，其結構如圖3所示。快速安全模塊中各功能的說明如表1所示。表1快速安全模塊中的功能模塊模塊名稱作用安全信息提取模塊提取存儲目標器接收到的數據訪問請求中的安全信息安全信息轉換模塊將提取出的安全信息轉換為二進制形式的字符串檢測器挑選模塊依據對安全存儲目標器的合法數據訪問請求，挑選用于檢測數據訪問請求合法性的檢測器訪問串檢查模塊檢測訪問串是否與檢測器匹配，判斷所對應數據訪問請求的合法性實施例2如圖2所示，一種面向存儲目標器的存儲安全保護方法，包括下列步驟1、接收數據訪問請求；2、分析數據訪問請求，3、將請數據訪問求轉換成相應的命令；4、返回數據；在步驟2和步驟3之間還有安全檢測步驟，用于檢測非法數據訪問請求，并將其丟棄。如圖3所示，安全^全測步驟具體可包括下列步驟(1)安全信息提取提取操作命令、數據標識和目標器標識信息；(2)安全信息轉換將操作命令轉換成三位的二進制串，目標器標識轉換成五位的二進制串，數據標識轉換成八位的二進制串，共使用16位二進制串表示一個數據訪問請求中的安全信息，從而將數據訪問請求轉換成16位的訪問串；(3)挑選檢測器選擇能識別非法數據訪問請求的檢測器；(4)檢查訪問串判斷訪問串是否與檢測器匹配，決定訪問串對應的數據訪問請求是否為合法。下面本發明詳細描述各功能的實現方法，給出其中的關鍵算法和結構。1、安全信息提取步驟不同存儲系統中存儲目標器所接收的數據訪問請求格式、命令種類等各不相同，包含大量各類信息，但所有的數據訪問請求均包含操作命令、數據標識和目標器標識等信息，判斷數據訪問請求合法性時僅需要這些信息，安全信息提取功能負責將這三類信息從數據訪問請求中提取出來，為檢查數據訪問請求的合法性提供基礎。2、安全信息轉換步驟為了提高檢查數據訪問請求合法性的效率和準確性，需要對安全信息進行轉換，本發明將操作命令轉換成三位的二進制串，目標器標識轉換成五位的二進制串，數據標識轉換成八位的二進制串，共使用16位二進制串表示一個數據訪問請求中的安全信息，從而將凄t據訪問請求轉換成16位的訪問串。3、檢測器挑選步驟挑選檢測器功能負責選擇能識別非法數據訪問請求的檢測器，現有算法多用于網絡入侵檢測等系統中，能高效保護靜態系統的安全性。但存儲系統中保存的數據量非常巨大，數據不斷改變，破壞了現有算法高效運行的基礎，造成檢測漏洞和誤檢。本發明針對存儲系統的特點，設計快速適應數據變化的選擇檢測器算法，挑選檢測器識別非法訪問串，生成差異檢測元快速適應系統的變化，消除檢測漏洞和誤檢。挑選檢測器時需依據存儲系統中的合法訪問串，本發明將其定義為自體集S。下面分別給出選擇4企測器和生成差異4企測元的流程。*檢測器挑選步驟在選擇檢測器時，本發明首先定義匹配閾值r作為判斷檢測器與自體是否匹配的標準，選擇檢測器的算法流程如圖4所示，具體如下①生成一個初始檢測器；②檢查于S中自體的匹配度；③比較是否超過r值；④如果沒有超過r值，選擇出一個檢測器；如果超過r值，返回步驟①；⑤檢測器數量超過設定值；(D如果超過設定值，結束選擇檢測器流程；否則返回步驟①。*生成差異4會測元當存儲系統中的數據發生變化時，將新增和被刪除自體(總稱為差異自體)分別保存于SA與SD中，生成能識別差異自體的差異檢測元，快速適應自體的變化，避免重新選擇檢測器的大量開銷，縮短檢測漏洞和誤檢存在的時間。識別新增和被刪除自體時，僅需要特征子串和起始位置兩個因素，本發明用三元組給出差異檢測元的定義如下。定義l:差異才全測元(m"position,type),nii表示一個長度為i的特征子串，position為nu用于識別差異自體時的起始位置，type表示差異檢測元的類型(O表示用于識別新增自體、為l表示用于識別被刪除自體)。差異檢測元要高效的識別差異自體，它們之間應具有較高的匹配度，本發明定義生成閾值作為判斷它們之間是否匹配的標準。定義2:生成閾值rn,r"e7V且7^A;《/，差異4全測元與新增和凈皮刪除自體之間的最小匹配度。生成差異檢測元的算法流程如圖4和5所示。由SA生成差異檢測元的流程具體流程如下a.提取SA中的自體；c.檢測包含該檢測元中特征子串的其余二進制串均是否已在SN或SA中；d.如果是，設置type岣；否則執行步驟b;e.保存該差異4企測元；f.檢測是否有未檢查的檢測元；g.如果沒有，結束；如果還有執行步驟b。由SD生成差異4企測元的流程具體流程如下a.提取SA中的自體；b.提取i〉r^的4企測元；c.檢測與檢測器的匹配度是否不超過ivd.如果是，設置type=l;否則執行步驟b;e.保存該差異4企測元；f.檢測是否有未檢查的檢測元；g.如果沒有，結束；如果還有執行步驟b。當快速安全模塊空閑后，使用SA和SD更新SN,清空檢測器集，重新選擇檢測器。4、檢查訪問串檢查訪問串功能負責判斷訪問串是否與檢測器匹配，決定訪問串對應的數據訪問請求是否為合法。其中關鍵的是計算檢測器與訪問串間的匹配度，現有匹配算法存在匹配度計算方法單一、無法適應存儲設備中訪問串的特點和檢測要求，存在檢測效率和準確性偏低等問題。本發明引入組分區分方法，分析訪問串中不同組分的數據特點和檢測要求，設計混合匹配度計算法，滿足對不同組分的不同檢測要求，提高檢測準確性和效率。存儲設備中需要保存大量數據，對應的數據標識數量龐大，為了提高基于免疫安全存儲設備的1/0性能，要求檢測該部分時有較高的檢測效率。存儲設備中設備個數有限，對應的設備標識數據量不大，但對判斷訪問串的合法性很重要，因此檢測設備標識時應有很高的準確性。存儲設備中操作命令的種類有限，但對于判斷訪問串的合法性很重要，需要較精確的檢測訪問串中的操作命令部分。本發明將訪問串分成動作和對象兩個組分，動作組分包含訪問串的設備標識和操作命令兩個部分，對象組分包含訪問串中的數據標識。檢測訪問串中的動作組分時應具有很好的準確性，而檢測對象組分時應有較高的檢測效率。本發明定義當檢測器d與訪問串X滿足/>式1時，兩者匹配公式l:<iwa/c//esx三rpl>rflwdrplandrp2》r*々其中"和〃是兩個參數，滿足"+/=1。公式l中包含兩個條件最小匹配度條件和最小比重條件，只有當兩者同時成立時，4企測器與訪問串匹配。最小匹配度條件要求所有組分子匹配度之和不小于系統設置的匹配閾值。最小比重條件2盧a且2》r*p,設置組分子匹配度所占匹配閾值的最小比重。r-是訪問串中動作組分與檢測器中對應子區間的子匹配度，為動作組分與檢測器中對應子區間對應相同子串的最大長度，r。,由公式2計算。公式2:max{rt|V^}^三3/S/-^+1swc/x乂=^/ory=/，'..，/+rfc_1IV是訪問串中對象組分與檢測器中對應子區間的子匹配度，為對象組分與檢測器中對應子區間相同子串的最大長度，rp2由公式3計算。八氣3maxhIVrft}q三S/-rt+1<3"c/r+l//2a/x附=《/o尸附=/,…，z'+r4-1/—乂…,_/+^—1實現基于免疫訪問控制功能時，不僅僅要比較檢測器是否與訪問串匹配，還要比較差異檢測元是否與訪問串匹配，本發明設計混合檢測算法，避免存儲設備中數據變化導致的誤檢和檢測漏，算法流程如圖5，具體如下a.提取一個檢測器；b.使用混合匹配度計算法判斷是否與訪問串匹配；c.如果匹配，提取type-0的差異檢測元；如果不匹配，執行步驟g;d.判斷匹配度是否超過r"e.如果沒有超過r。，則訪問串對應的是非法數據訪問請求f.如果超過n，則出訪問串對應的是合法數據訪問請求；g.判斷還有未提取的檢測器；h.如果有，執行步驟a;否則，提取type=l的差異檢測元；i.判斷匹配度是否超過n，j.如果沒有超過r。，則訪問串對應的是合法數據訪問請求k.如果超過rn,則出訪問串對應的是非法數據訪問請求。本發明在開源存儲區域網系統Lustre上實現安全存儲目標器，測試其性能。Lustre運行于Linux平臺，由主機(Client)、元凄t據服務器(MDS)和面向對象存儲目標器(0ST)三個部件組成，使用portals協議實現部件間的通訊。本發明測試時三個模塊均運行于同一臺計算機中，系統的配置如表1所示。表l測試環境的配置<table>tableseeoriginaldocumentpage17</column></row><table>本發明修改Lustre中OST模塊的代碼，實現快速安全模塊，修改后的Lustre系統結構如圖6所示首先建立PR0C通道，讀取外部程序輸入的SN。在OST模塊中增加實現訪問控制功能的頭文件，設置匹配閾值為8、"和"的值均為0.5、rpl和rp2相同為4，系統中保存32個4全測器；分析OST的通訊信息，實現安全信息提取和轉換函數，提取數據訪問請求中的操作命令、主機標識和數據對象標識等信息，分別轉換成動作組分和對象組分兩個8位二進制串，構成16位的二進制訪問串。最后修改OST模塊中接收數據訪問請求函數OST-Handle的代碼，在執行訪問請求前調用安全信息提取函數和轉換函數，構建訪問串，使用混合檢測算法，判斷訪問串的合法性，決定是否允許對應的數據訪問請求執行。使用Iozone做為測試工具，分別使用大小為4K、8K、16K、32K、64K、128K、256K和512K數據塊讀512K的文件，使用大小為4K、8K、16K、32K、64K、128K、256K、512K和1024K的數據塊寫1M的文件，測試實現安全存儲目標器前后Lustre系統的I/O性能，測試結果如圖7所示。從圖7中可以發現，實現安全存儲目標器后，Lustre系統的讀性能下降在10%以內，寫性能下降在8%左右，表明所實現的安全存儲目標器具有很高的效率，能較好的保i踏儲系統的1/0性能。權利要求1、一種存儲目標器，包括接收數據訪問請求裝置、分析數據訪問請求裝置、將請數據訪問求轉換成相應的命令的裝置和返回數據裝置；其特征在于，在上述分析數據訪問請求裝置和將請數據訪問求轉換成相應的命令的裝置之間還有快速安全模塊，用于用于判斷存儲目標器接收到數據訪問請求的合法性，檢測出非法數據訪問請求，并將其丟棄。2、根據權利要求l所述的存儲目標器，其特征在于，所述快速安全模塊具體包括下列模塊安全信息提取模塊用于提取操作命令、數據標識和目標器標識信息；安全信息轉換it塊用于將操作命令轉換成三位的二進制串，目標器標識轉換成五位的二進制串，數據標識轉換成八位的二進制串，共使用16位二進制串表示一個數據訪問請求中的安全信息，從而將數據訪問請求轉換成16位的訪問串；檢測器挑選模塊用于選擇能識別非法數據訪問請求的檢測器；訪問串檢查模塊用于判斷訪問串是否與檢測器匹配，決定訪問串對應的數據訪問請求是否為合法。3、一種面向存儲目標器的存儲安全保護方法，包括下列步驟①接收數據訪問請求；②分析數據訪問請求；③將請數據訪問求轉換成相應的命令；④返回數據；其特征在于，在上述步驟②和步驟③之間還有安全檢測步驟，用于檢測非法數據訪問請求，并將其丟棄。4、根據權利要求3所迷的存儲安全保護方法，其特征在于，所述安全檢測步驟具體可包括下列步驟(1)安全信息提取提取操作命令、數據標識和目標器標識信息；(2)安全信息轉換將操作命令轉換成三位的二進制串，目標器標識轉換成五位的二進制串，數據標識轉換成八位的二進制串，共使用16位二進制串表示一個數據訪問請求中的安全信息，從而將數據訪問請求轉換成16位的訪問串；(3)挑選檢測器選擇能識別非法數據訪問請求的檢測器；(4)檢查訪問串判斷訪問串是否與檢測器匹配，決定訪問串對應的數據訪問請求是否為合法。5、根據權利要求4所述的存儲安全保護方法，其特征在于，上述步驟(3)進一步包括下列步驟(3.1)定義匹配閾值r作為判斷檢測器與自體是否匹配的標準；(3.2)當存儲系統中的數據發生變化時，將新增和被刪除自體分別保存于SA與SD中，生成能識別差異自體的差異檢測元。6、根據權利要求4所述的存儲安全保護方法，其特征在于，上迷步驟(4)進一步包括下列步驟比較差異檢測元是否與訪問串匹配。7、根據權利要求4所述的存儲安全保護方法，其特征在于，上述步驟(4)進一步包括下列步驟(4.1)將訪問串分成動作和對象兩個組分，動作組分包含訪問串的設備標識和操作命令兩個部分，對象組分包含訪問串中的數據標識；(4.2)根據公式dmofcZ/esx三,pl+。2》rawt/rpl2r*aand22r*〃，判斷才企觀'J器d與i方問串x兩者是否匹配；其中，"和"是兩個參數，滿足"+^=1;rp是訪問串中動作組分與檢測器中對應子區間的子匹配度，為動作組分與檢測器中對應子區間對應相同子串的最大長度，rpl由公式maxIVr*}^三3/S/—^+1swc/2x乂—-c^./ory=i,…，i+^—1"i十算得出；r,，2是訪問串中對象組分與檢測器中對應子區間的子匹配度，為對象組分與檢測器中對應子區間相同子串的最大長度，iv由公式maxhIWA}q三S/-q+1aw<i3JS/-r+1smc/if/zo^、=t/,計/orm=,/+rA—1awt//=y'，'，y'+4—1算得出。8、根據權利要求4所述的存儲安全保護方法，其特征在于，上述步驟(3.1)進一步包括下列步驟①生成一個初始檢測器；②檢查于S中自體的匹配度；③比較是否超過r值；④如果沒有超過r值，選擇出一個檢測器；如果超過r值，返回步驟①；⑤;^測器數量超過設定值；⑥如果超過設定值，結束選擇檢測器流程；否則返回步驟①。9、根據權利要求5所述的存儲安全保護方法，其特征在于，由SA生成差異檢測元的流程具體流程如下a.提取SA中的自體；b.提取i〉rn的^r測元；c.檢測包含該檢測元中特征子串的其余二進制串均是否已在SN或SA中；d.如果是，設置type-0;否則執行步驟b;e.保存該差異4企測元；f.檢測是否有未檢查的檢測元；g.如果沒有，結束；如果還有執行步驟b;由SD生成差異;f全測元的流程具體流程如下a.提取SA中的自體；b.提取i〉rn的;^r測元；c.檢測與檢測器的匹配度是否不超過r，'d.如果是，設置type^;否則執行步驟b;e.保存該差異4全測元；f.檢測是否有未檢查的檢測元；g.如果沒有，結束；如果還有執行步驟b。10、根據權利要求6所述的存儲安全保護方法，其特征在于，所述步驟(4)中進一步包括下列步驟a.提取一個檢測器；b.使用混合匹配度計算法判斷是否與訪問串匹配；c.如果匹配，提取type-0的差異檢測元；如果不匹配，執行步驟g;d.判斷匹配度是否超過L,e.如果沒有超過"，則訪問串對應的是非法數據訪問請求f.如果超過r。，則出訪問串對應的是合法數據訪問請求；g.判斷還有未提取的檢測器；h.如果有，執行步驟a;否則，提取type=l的差異檢測元;i.判斷匹配度是否超過h，j.如果沒有超過rn,則訪問串對應的是合法數據訪問請求k.如果超過r。，則出訪問串對應的是非法數據訪問請求。全文摘要本發明涉及一種存儲目標器以及面向存儲目標器的存儲安全保護方法，本發明目的的技術方案是，一種面向存儲目標器的存儲安全保護方法，包括下列步驟1.接收數據訪問請求；2.分析數據訪問請求，3.將請數據訪問求轉換成相應的命令；4.返回數據；其特征在于，在上述步驟2和步驟3之間還有安全檢測步驟，用于檢測非法數據訪問請求，并將其丟棄。該發明針對存儲目標器中訪問請求的特點，減少了安全開銷，實現了高效、準確的訪問控制功能。文檔編號H04L29/08GK101335614SQ200810100798公開日2008年12月31日申請日期2008年5月13日優先權日2008年5月13日發明者夏惠芬,濤蔡,鞠時光申請人:江蘇大學