專利名稱:用于計算機網(wǎng)絡(luò)上復(fù)制的存儲設(shè)備的安全系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及但不限于網(wǎng)絡(luò)存儲技術(shù)、在線存儲安全方法、復(fù)制的存儲器系統(tǒng)以及負載均衡過程領(lǐng)域。
背景技術(shù):
如圖3中所示,存儲設(shè)備已經(jīng)從服務(wù)器的保護后面“急速地走到”與網(wǎng)絡(luò)直接連接,而不是通過存儲服務(wù)器與網(wǎng)絡(luò)連接。在舊的網(wǎng)絡(luò)存儲方案中,存儲服務(wù)器(34)在計算機網(wǎng)絡(luò)(31)(如局域網(wǎng)(LAN)或因特網(wǎng))上向一個或多個客戶機系統(tǒng)(32、33)提供對一個或多個存儲資源(35)的訪問。在這一舊的安排中,存儲服務(wù)器能為客戶機實施訪問存儲資源的特權(quán),或拒絕訪問或修改在資源中存儲的數(shù)據(jù)。
使用較新的網(wǎng)絡(luò)存儲設(shè)備,這些設(shè)備能直接與計算機網(wǎng)絡(luò)(31)接口而無需存儲服務(wù)器的干預(yù)性支持,客戶機(32、33)現(xiàn)在可以在文件管理器(38)的極少量干預(yù)下訪問駐留在網(wǎng)絡(luò)存儲設(shè)備(“NSD”)(36、37)上的數(shù)據(jù)。
然而,當由客戶機訪問這一數(shù)據(jù)時,仍需要提供適當?shù)脑L問控制、保密性和數(shù)據(jù)完整性。即使硬件安排已經(jīng)從舊的基于存儲服務(wù)器的安排改進了,但保護企業(yè)數(shù)據(jù)、數(shù)據(jù)庫、Web(萬維網(wǎng))對象和程序文件的需求沒有改變。
此外,還需要限制由于破壞安全性造成的損壞的機制和過程。對于單個存儲設(shè)備,這樣的安全問題有些已經(jīng)解決,如所有權(quán)、授權(quán)以及認證方案。然而,需要這樣的在線存儲系統(tǒng),它們允許有效地從安全性破壞和硬件故障中恢復(fù)起來,還需要使這些存儲設(shè)備具有高度的可用性和可伸縮性。
復(fù)制是一個眾所周知的過程,用于在網(wǎng)絡(luò)存儲安排中提供快速數(shù)據(jù)恢復(fù)、高可用性、以及存儲系統(tǒng)可伸縮性。復(fù)制包括建立和管理數(shù)據(jù)、文件及數(shù)據(jù)庫的復(fù)制版本。這組復(fù)制品不僅在初始時從原件拷貝,而且連續(xù)地被同步以反映原件的當前狀態(tài)。這樣,利用圖4的增強安排(40)中所示復(fù)制管理器(41),對原始數(shù)據(jù)的修改或增加被“復(fù)制”到復(fù)制品中。
于是,在該圖中,原始數(shù)據(jù)庫可以存儲在第一NSD(36)上,而復(fù)制品可以在第二NSD(37)上被管理。為使同時丟失原始和復(fù)制數(shù)據(jù)二者的最可能性最小,復(fù)制品通常被保存在地理上與原件分離的結(jié)構(gòu)中,從而在一處的事件,如洪水、地震、斷電等,將不會帶走所有復(fù)制品。為達到高可用性,文件管理器(38)可以快速重新配置,以在這種事件之后使用復(fù)制品代替原件。
在這種安排中提供了可伸縮性,因為復(fù)制管理器(41)可以把原件的各部分分布到多個存儲設(shè)備上,從而實現(xiàn)由多個存儲設(shè)備上的多個部分組成的一個復(fù)制品。隨著原始數(shù)據(jù)量的增長,也可以容易地以附加的存儲設(shè)備來添加復(fù)制數(shù)據(jù)的增加部分。為了快速恢復(fù)某些(或全部)原始數(shù)據(jù),復(fù)制管理器(41)可以把對數(shù)據(jù)的全部訪問指向適當?shù)膹?fù)制部分。
如圖5中所示,數(shù)據(jù)處理系統(tǒng)往往把數(shù)據(jù)組織成邏輯卷(51)。每個邏輯卷有一個或多個聚合器(52),它們負責把一個或多個部分(54-59)組合起來。每個部分可以單獨存儲在一個存儲設(shè)備(503)上,或者與其他部分一起存儲在一個存儲設(shè)備(501、502)上。一個“通過”層(500)提供硬件到軟件的映射和接口,這樣,從軟件訪問邏輯卷的角度看,不同類型存儲設(shè)備(例如硬盤驅(qū)動器、RAM、高速緩存、可卸存儲器、磁帶等)出現(xiàn)在可同等訪問和很好組織的邏輯卷中。復(fù)制系統(tǒng),如眾所周知的IBMLotus Notes產(chǎn)品,能很好地處置這種網(wǎng)絡(luò)存儲器安排內(nèi)的復(fù)制。
現(xiàn)有安全系統(tǒng)允許受控制地訪問和修改網(wǎng)絡(luò)存儲設(shè)備中的數(shù)據(jù),或者是通過舊式安排中的存儲服務(wù)器(34),或者對直接連接的存儲設(shè)備(36、37)在硬件(例如設(shè)備)級由所有權(quán)進行控制。這樣,如果一個特定NSD的安全性被泄露,則整個NSD的數(shù)據(jù)可能丟失或受到破壞。
所以,在本領(lǐng)域需要一個進行安全系統(tǒng)復(fù)制的在線數(shù)據(jù)存儲安排,它不易受設(shè)備級安全性破壞的影響,同時又保持這種復(fù)制的存儲系統(tǒng)的高可用性、快速恢復(fù)和可伸縮性。
發(fā)明內(nèi)容
我們已開發(fā)了一個系統(tǒng)和方法,用于向存儲在復(fù)制網(wǎng)絡(luò)存儲設(shè)備上的存儲分區(qū)提供訪問安全性。每個分區(qū)伴有與文件管理器共享的多個密鑰之一。文件管理器的作用是一個密鑰管理器,向請求訪問特定分區(qū)的客戶機頒發(fā)憑證。所頒發(fā)的憑證包括要由該客戶機訪問的分區(qū)的網(wǎng)絡(luò)地址。
該文件管理器能使一個原件分區(qū)無效,如果那個分區(qū)的安全性受到破壞的話,并開始把所有新的請求重定向到復(fù)制的、未受損害的分區(qū),其作法是提供帶有指向復(fù)制品地址的憑證以代替指向原件分區(qū)的地址。
當一個客戶機向網(wǎng)絡(luò)存儲設(shè)備呈交一個憑證,在允許該客戶機對地址指定的分區(qū)內(nèi)數(shù)據(jù)進行請求的行動之前,該設(shè)備驗證該憑證的有效性。這允許存儲設(shè)備拒絕基于已過期或已放棄的密鑰的憑證。如果一個密鑰已過期或被放棄,則文件管理器和存儲設(shè)備可以從可信來源得到新的密鑰,或者使用專有的或“標準的”過程,如Diffie-Hellman過程相互地產(chǎn)生一個密鑰。
在另一個實施例變體中,文件管理器在決定要把客戶機定向到哪個復(fù)制品時可以考慮文件管理器和存儲設(shè)備之間共享的密鑰的截止時間。這樣,文件管理器可以試圖發(fā)布使用具有剩余最長可用有效期的密鑰的那些憑證。
在我們的新系統(tǒng)和方法的增強型實施例中,文件管理器可以考慮已經(jīng)發(fā)出的訪問一個特定分區(qū)的憑證個數(shù),并可以通過發(fā)布帶有指向復(fù)制品分區(qū)的地址的憑證來把訪問分布到復(fù)制品,從而向該結(jié)構(gòu)安排提供負載平衡功能并增強系統(tǒng)性能和響應(yīng)能力。
在另一個增強型實施例中,負載管理器與復(fù)制管理器合作,在檢測到未授權(quán)用戶入侵或請求訪問一個分區(qū)時,可以隔離一個分區(qū)只供未授權(quán)用戶使用并把所有來自被授權(quán)用戶的請求重定向到其他復(fù)制品分區(qū)。這樣便允許未授權(quán)用戶的活動看起來是正常地進行,從而使系統(tǒng)管理員可以收集關(guān)于該用戶及其活動的信息。在這一增強性實施例的一個變體中,未授權(quán)用戶可以被定向到使用一個分區(qū),它包含偽數(shù)據(jù)代替真正的復(fù)制品數(shù)據(jù)。在這一增強性實施例的又一個變體中,一個分區(qū)可被隔離開來供測試和開發(fā)使用,在新程序或服務(wù)的功能已被證實之后,重新允許把改變復(fù)制到被隔離的分區(qū)。
通過支持分區(qū)級的訪問控制,避免了整個存儲設(shè)備無效,因為在安全性破壞的情況中每個分區(qū)可能會單獨變成無效。通過支持復(fù)制,使高可用性、可伸縮性以及快速數(shù)據(jù)恢復(fù)受到支持。我們的新系統(tǒng)和方法還實現(xiàn)了負載平衡、對未授權(quán)用戶活動的強化系統(tǒng)管理員控制以及測試和開發(fā)活動等附加功能。
下文的詳細描述結(jié)合這里呈現(xiàn)的附圖將提供對本發(fā)明的完全的說明。
圖1描繪一般性計算平臺體系結(jié)構(gòu),如個人計算機、Web應(yīng)用服務(wù)器計算機、企業(yè)服務(wù)器、個人數(shù)字助理、允許Web的無線電話、或其他基于處理器的設(shè)備。
圖2顯示伴隨圖1的一般性體系結(jié)構(gòu)的軟件和固件的一般性組織。
圖3顯示較新的結(jié)構(gòu)安排,其中的存儲設(shè)備能直接與計算機網(wǎng)絡(luò)接口不需由存儲服務(wù)器干預(yù)。
圖4擴大了圖3的結(jié)構(gòu)安排以說明復(fù)制概念和功能。
圖5提供存入各分區(qū)的數(shù)據(jù)組織和那些分區(qū)到實際存儲設(shè)備的映射的圖形表示。
圖6顯示密鑰在文件管理器和網(wǎng)絡(luò)存儲設(shè)備之間的共享。
圖7顯示我們的在文件管理器和每個數(shù)據(jù)分區(qū)之間共享密鑰的方法。
圖8顯示文件管理器、客戶機、多個密鑰及分區(qū)相互作用的高級視圖。
圖9提供在文件管理器、存儲設(shè)備、客戶機、可信密鑰源、以及認證和授權(quán)引擎當中進行的過程的更詳細展示。
具體實施例方式
優(yōu)選地,我們的新系統(tǒng)和方法是作為在公知的計算平臺(如個人計算機、Web應(yīng)用服務(wù)器、企業(yè)服務(wù)器和Web瀏覽器)上已經(jīng)存在的軟件的一個特性或補充來實現(xiàn)的。這些通用的計算平臺包括個人計算機以及便攜式計算平臺,如個人數(shù)字助理(“PDA”)、允許Web的無線電話,以及其他類型的個人信息管理(“PIM”)設(shè)備。
所以,考慮一下其實現(xiàn)范圍的跨度可以從高端Web服務(wù)器或企業(yè)服務(wù)器平臺到個人計算機再到便攜式PDA或允許Web的無線電話的計算平臺一般化體系結(jié)構(gòu)是有用處的。
轉(zhuǎn)到圖1,圖中顯示一個一般化體系結(jié)構(gòu),包括中央處理單元(1)(“CPU”),它通常由微處理器(2)伴隨隨機存取存儲器(“RAM”)(4)和只讀存儲器(“ROM”)(5)構(gòu)成。往往CPU(1)還具有高速緩存(3)和可編程閃速ROM(6)。微處理器(2)和各類CPU存儲器之間的接口(7)往往稱作“局部總線”,但也可以是更普通的或工業(yè)標準總線。
許多計算平臺還具有一個或多個存儲器驅(qū)動器(9),如硬盤驅(qū)動器(“HDD”)、軟盤驅(qū)動器、光盤驅(qū)動器(CD、CD-R、CD-RW、DVD、DVD-R)等,以及專有盤或帶驅(qū)動器(如Iomega Zip[TM]和Jaz[TM],AddonicsSuper Disk[TM]等)。此外,某些存儲設(shè)備可以通過計算機網(wǎng)絡(luò)訪問。
根據(jù)計算平臺的預(yù)期功能,許多計算平臺還具有一個或多個通信接口(10)。例如,個人計算機往往具有高速串行端口(RS-232、RS-422等)、增強型并行端口(“EPP”)、以及一個或多個通用串行總線(“USB”)端口。該計算平臺還可能具有局域網(wǎng)(“LAN”)接口,如Ethernet(以太網(wǎng))卡,以及其他高速接口,如高性能串行總線IEEE-1394。
無線電話和無線網(wǎng)絡(luò)PDA等計算平臺還可能具有與天線的射頻“RF”接口。在一些情況中,計算平臺也可能具有紅外線數(shù)據(jù)傳輸(IrDA)接口。
計算平臺往往裝備一個或多個內(nèi)部擴展插槽(11),如工業(yè)標準體系結(jié)構(gòu)(“ISA”)、增強型工業(yè)標準體系結(jié)構(gòu)(“EISA”)、外圍部件互連(“PCI”)或?qū)S薪涌诓宀?,用于增加其他硬件,如聲卡、存儲器卡以及圖形加速器。
此外,許多單元,如膝上計算機和PDA具有一個或多個外部擴展插槽(12),允許用戶有能力容易地安裝和卸掉硬件擴展設(shè)備,如PCMCIA卡,SmartMedia卡,以及各種專有模塊,如可卸硬盤驅(qū)動器,CD驅(qū)動器和軟盤驅(qū)動器。
存儲器驅(qū)動器(9)、通信接口(10)、內(nèi)部擴展插槽(11)以及外部擴展插槽(12)往往通過標準的或工業(yè)的開放總線體系結(jié)構(gòu)(8)與CPU(1)互連,如ISA、EISA或PCI。在許多情況中,總線(8)可能是專有設(shè)計。
計算平臺通常具有一個或多個用戶輸入設(shè)備,如鍵盤或小鍵(16)、鼠標器或定向設(shè)備(17)和/或觸摸屏顯示器(18)。在個人計算機的情況中,全尺寸鍵盤往往具有鼠標器或定向設(shè)備,如跟蹤球或Track Point[TM]。在允許Web的無線電話的情況中,簡單的小鍵盤可能具有一個或多個特殊功能鍵。在PDA的情況中,通常提供觸摸屏(18),往往帶有手寫識別能力。
此外,該計算平臺還配備有送話器(19),如允許Web的無線電話的送話器或個人計算機的送話器。這一送話器可以用于只是報告音頻和聲音信號,它還可以用于輸入用戶的選擇,如使用語音識別進行網(wǎng)站的語音導(dǎo)航,或自動撥打電話號碼。
許多計算平臺還裝備有攝像設(shè)備(100),如靜態(tài)數(shù)碼相機或全運動視頻數(shù)碼攝像機。對于大多數(shù)計算機平臺,還提供一個或多個用戶輸出設(shè)備,如顯示器(13)。顯示器(13)可以采取許多形式,包括陰極射線管(“CRT”)、薄膜晶體管(“TFT”)陣列或簡單的一組發(fā)光二極管(“LED”)或液晶顯示(“LCD”)指示器等。
計算平臺還往往配備有一個或多個揚聲器(14)和/或報警器(15)。揚聲器(14)可以用于再生音頻和音樂,如無線電話揚聲器或個人計算機揚聲器。報警器(15)可以采取簡單的鳴笛聲發(fā)生器或蜂鳴器的形式,這在某些設(shè)備如PDA和PIM上通常會看到。
這些用戶輸入和輸出設(shè)備可以通過專用總線結(jié)構(gòu)和/或接口直接與CPU(1)互連(8′,8″),或者它們可以通過一個或多個工業(yè)開放式總線(如ISA、EISA、PCI等)互連。
計算平臺還具有一個或多個軟件和固件(101)程序以實現(xiàn)計算平臺的希望功能。
轉(zhuǎn)到圖2,圖中給出在這一范圍的計算平臺上軟件和固件(101)的一般化組織的更詳細情況。在計算平臺上可以提供一個或多個操作系統(tǒng)(OS)本機應(yīng)用程序(23),諸如文字處理器、電子表格、聯(lián)系管理工具程序、地址薄、日歷、郵件客戶機、演示、財會程序等。
此外,還可以提供一個或多個“可移植的”或不依賴設(shè)備的程序(24),它們必須由OS本機的針對平臺的解釋器(25)來解釋,如Java[TM]腳本和程序。
此外,計算平臺往往具有某種形式的Web瀏覽器或微瀏覽器(26),它們還可以包括一個或多個對瀏覽器的擴展,如瀏覽器插件(27)。
往往向計算設(shè)備提供一個操作系統(tǒng)(20),如Microsoft Windows[TM]、UNIX、IBM OS/2[TM]、LINUX、MAC OS[TM]或其他針對平臺的操作系統(tǒng)。較小的設(shè)備,如PDA和無線電話,可以裝備其他形式的操作系統(tǒng),如實時操作系統(tǒng)(“RTOS”)或掌上計算的PalmOS[TM]。
往往提供一組基本輸入、輸出功能(“BIOS”)和硬件設(shè)備驅(qū)動器(21),以允許操作系統(tǒng)(20)和程序連接與控制由計算平臺提供的特定硬件功能。
此外,通常許多計算平臺具有一個或多個嵌入的固件程序(22),它們由作為外圍設(shè)備一部分的板上或“嵌入”的微處理器執(zhí)行,這些外圍設(shè)備如微控制器或硬驅(qū)動器、通信處理器、網(wǎng)絡(luò)接口卡或聲像卡。
這樣,圖1和圖2在一般意義上描述了廣泛種類的計算平臺上的各種硬件部件、軟件和固件程序,這些計算平臺包括但不限于個人計算機、PDA、PIM、允許Web的電話以及其他設(shè)備,如Web TV[TM]單元。這樣,我們把注意力轉(zhuǎn)向?qū)Ρ景l(fā)明的說明,它涉及優(yōu)選地作為這樣的計算平臺上的軟件和固件實現(xiàn)的過程和方法。本領(lǐng)域技術(shù)人員將容易理解,下述方法和過程可以代之以部分地或全部地作為硬件功能實現(xiàn)而不偏離本發(fā)明的精神和范圍。
現(xiàn)在把我們的注意力轉(zhuǎn)向?qū)Ρ景l(fā)明方法及其相關(guān)部件的描述。在一個實施例中,它可以作為添加到現(xiàn)有的軟件、插件或這類系統(tǒng)的其他可擴展手段上的一組協(xié)作軟件產(chǎn)品,在文件管理器、網(wǎng)絡(luò)存儲設(shè)備以及客戶計算機上執(zhí)行。這些軟件產(chǎn)品可以按“標準”的或?qū)S械姆绞脚c本技術(shù)領(lǐng)域公知的其他系統(tǒng)交互作用,如存儲復(fù)制管理器、計算機網(wǎng)絡(luò)產(chǎn)品和硬件、認證和授權(quán)引擎以及可信密鑰源。例如,本發(fā)明可以作為客戶機系統(tǒng)上Netscape的Navigator Web瀏覽器的插件,作為對來自IBM的網(wǎng)絡(luò)存儲設(shè)備的固件擴展,作為對文件管理器(如IBM的WebSphere企業(yè)服務(wù)器產(chǎn)品)的軟件擴展,作為對復(fù)制管理器產(chǎn)品(如IBM的Lotus Notes產(chǎn)品)的軟件擴展來實現(xiàn)。這些擴展和插件可以進行專門的修改以適應(yīng)于與認證和授權(quán)服務(wù)器產(chǎn)品(如WebSphere)協(xié)作,和使用通用的或?qū)S械木W(wǎng)絡(luò)設(shè)施和協(xié)議在結(jié)構(gòu)安排的各部件之間進行通信,這些協(xié)議如傳輸控制協(xié)議/因特網(wǎng)協(xié)議(“TCP/IP”)、數(shù)據(jù)加密標準(“DES”)、以太網(wǎng)和各種無線網(wǎng)絡(luò)協(xié)議和標準。然而,應(yīng)該認識到,這些只是用于實現(xiàn)本發(fā)明的適用和可用技術(shù)、協(xié)議和方法中的一小部分。
在我們的用于復(fù)制存儲器結(jié)構(gòu)安排的新的安全系統(tǒng)中,文件管理器和一個或多個網(wǎng)絡(luò)存儲設(shè)備共享密鑰,盡管該文件管理器并不作為用于NSD的存儲服務(wù)器(例如,它不是放置在存儲設(shè)備和計算機網(wǎng)絡(luò)之間)。
在如圖6中所示的結(jié)構(gòu)安排(60)中,請求訪問存儲設(shè)備(36)上一個對象的客戶機(32、33)首先向文件管理器(38)發(fā)出請求。文件管理器(38)進行客戶機認證(62)、授權(quán)(61)和訪問檢驗,并向該客戶機給予一個憑證,它由存儲設(shè)備(36)和文件管理器(8)共享的密鑰(63)加密。
然后,該客戶機把這一請求發(fā)送給存儲設(shè)備(36),它在其后驗證這個已經(jīng)使用密鑰(63)發(fā)送給它的請求。如果該密鑰曾經(jīng)是只與該存儲設(shè)備關(guān)聯(lián)的密鑰,并且密鑰(63)已經(jīng)被泄漏了,那么在該存儲設(shè)備上的數(shù)據(jù)也可能被泄漏,于是所給予的訪問這一設(shè)備的訪問憑證將被認為是無效的。
不是讓一個密鑰的泄漏造成整個存儲設(shè)備的無效,我們的新方法和結(jié)構(gòu)安排(70)使一組N個密鑰(73)與存儲設(shè)備(36)上的每個分區(qū)P1,P2,…,Pn(71)關(guān)聯(lián)(72)。通過使用可信密鑰源(74)的密鑰建立過程或文件管理器與網(wǎng)絡(luò)存儲設(shè)備之間的相互密鑰產(chǎn)生過程(如Diffie-Hellman過程或類似過程),這些密鑰與文件管理器(38)共享。每個文件管理器(38)可以與多個存儲設(shè)備的多個分區(qū)共享密鑰,盡管我們的附圖只是顯示了一個存儲設(shè)備。利用這種結(jié)構(gòu)安排和方法,如果由一文件管理器和一給定分區(qū)共享的一個密鑰被泄漏了,安全性的破壞只限于那個分區(qū),不會使對整個存儲設(shè)備的訪問變?yōu)闊o效。
每個共享密鑰還能用于有效地使未完成的憑證無效。如果對大量對象的訪問許可發(fā)生變化,則已由文件管理器給予的未完成的憑證可能在其后對該改變無效,以防止訪問其訪問許可已經(jīng)改變的那些對象。這一無效是通過在文件管理器和該分區(qū)所在存儲設(shè)備之間的產(chǎn)生新密鑰來完成的。
我們的新的結(jié)構(gòu)安排和過程支持高可用性和可伸縮性,這在于連到網(wǎng)絡(luò)上的存儲設(shè)備可被復(fù)制,如圖8中所示(80)。文件管理器(82)使密鑰(Key1,Key2,…Keyn)與每個原件分區(qū)(P1,P2,…,Pn)關(guān)聯(lián),以及使密鑰(Key1′,Key2′,…Keyn)與復(fù)制品分區(qū)(P1′,P2′,…,Pn′)關(guān)聯(lián)。一組或多組復(fù)制件可以與更多的密鑰關(guān)聯(lián),盡管圖8只顯示了一組復(fù)制品分區(qū)和密鑰。
在我們的方法的一些實施例中,復(fù)制品分區(qū)密鑰和原件分區(qū)密鑰的密鑰值不同,盡管在其他實施例中它們可以相等,但在提供動態(tài)負載平衡能力方面有些降低(下文討論)。
當文件管理器(82)向請求(84)訪問一個分區(qū)(如P1)(如對該分區(qū)讀或?qū)憯?shù)據(jù))的客戶機(83)給予憑證(85)時,所建立的憑證包括該客戶機為訪問該數(shù)據(jù)所必須去的原件分區(qū)(85)或復(fù)制品分區(qū)(85′)的地址。例如,在利用因特網(wǎng)協(xié)議(“IP”)的實施例中,憑證中提供的地址可以是被訪問分區(qū)所在NSD的IP地址。由于復(fù)制分區(qū)通常與原件分區(qū)處在不同的NSD上,所以通常對原件分區(qū)和復(fù)制品分區(qū)使用(和給予)不同的IP地址。
通過在憑證中提供客戶機被定向分區(qū)的地址,文件管理器可以使一個原件分區(qū)無效并可以把新的請求重定向到復(fù)制品分區(qū),從而提供即時數(shù)據(jù)恢復(fù)和安全性追索。
它還允許文件管理器管理由容納特性原件分區(qū)或復(fù)制品分區(qū)的特定設(shè)備服務(wù)的負載或請求量。當文件管理器發(fā)出新的憑證時考慮下列因素以提供負載平衡和使需要憑證刷新的次數(shù)減至最少(a)對特定分區(qū)未完成的憑證的總數(shù),從而使負載分布在不同的復(fù)制品當中;以及(b)在決定該客戶機要被定向到哪個復(fù)制品時該共享密鑰的有效時段,這樣文件管理器能避免因不及時處理造成的由于共享密鑰過期而使憑證過期。
現(xiàn)在轉(zhuǎn)到圖9,圖中更詳細地顯示客戶機、文件服務(wù)器及網(wǎng)絡(luò)存儲設(shè)備之間的交互作用(90)。客戶機(90)向文件管理器(82)提交訪問特定分區(qū)Pn的請求(92)。該文件管理器可以局部地進行客戶機認證和授權(quán),例如使用被授權(quán)客戶機行動的局部列表,或者以一個或多個認證和授權(quán)引擎(61、62)進行認證和授權(quán)操作(98)。
如果該用戶被認證和授權(quán)進行在分區(qū)Pn上的請求活動,則文件管理器(82)根據(jù)復(fù)制品的安全有效性(例如哪個復(fù)制品仍然有效和未被泄漏)以及向每個復(fù)制品發(fā)出的憑證的未完成個數(shù),確定該客戶機使用哪個分區(qū)復(fù)制品(或原件)。然后,文件管理器組裝一個憑證,其中包括容納該客戶機被定向的分區(qū)復(fù)制品(或原件分區(qū))的NSD的地址。然后,這一憑證被返回(93)到客戶機,它然后把該憑證轉(zhuǎn)發(fā)(94)到被指定地址的容納該分區(qū)復(fù)制品(或原件)Pn的NSD(91)。
該NSD周期性地與文件管理器進行校核,查看是否NSD存儲的分區(qū)的任何密鑰都已經(jīng)被撤銷。如果一個密鑰尚未被撤銷,則NSD對憑證的加密部分解密,并驗證該憑證與客戶機試圖進行的訪問相一致。如果該憑證仍然有效,而且試圖進行的訪問與該憑證一致,則NSD(91)允許該客戶機(96)進行對分區(qū)Pn的訪問或行動。
在驗證(95)一個憑證的有效性時,如果NSD(91)確定在目標分區(qū)Pn和文件管理器之間共享的密鑰已經(jīng)過期或已被泄漏,則可進行一個過程建立新的共享密鑰。
在先前的描述中,如果在驗證(95)憑證時確定一個分區(qū)的安全性已被破壞,則該驗證能被拒絕,這將導(dǎo)致NSD拒絕該客戶機的訪問,然后由客戶機從文件管理器請求新的憑證。然后,文件管理器發(fā)出一個新的憑證,其地址指向所請求分區(qū)的未被泄漏的復(fù)制品。
在我們的過程的一個變體實施例中,能對未授權(quán)用戶(如黑客)進行跟蹤和控制,無需警告用戶他們在受到檢測,也不會在他們的初始訪問過程中進一步泄漏數(shù)據(jù)。在這一變體中,如果確定一個用戶正在試圖訪問一個他或她未被授權(quán)訪問的分區(qū),則訪問可被允許到該分區(qū)的一個特定復(fù)制品。于是,其他被授權(quán)的用戶將被定向到其他復(fù)制品,從而使未授權(quán)用戶的分區(qū)被隔離。復(fù)制管理器還會被配置成不去復(fù)制被隔離分區(qū)內(nèi)造成的改變。
然后,未授權(quán)用戶將被允許看上去是正常地訪問被隔離區(qū),盡管系統(tǒng)管理員會被告警這一訪問,從而他們能監(jiān)視該用戶的行動并試圖定位該用戶。通過避免公開拒絕訪問該分區(qū),未授權(quán)用戶不知道他或她已被檢測,可能會繼續(xù)他或她預(yù)想的行動,從而給系統(tǒng)管理員以定位和識別該用戶的機會。
在這一過程的另一變體中,其中一個分區(qū)已被隔離,供一未授權(quán)用戶訪問,該用戶可以被重定向到一個含有“偽”的或假的據(jù)的看起來正常的分區(qū)。例如,如果一個未授權(quán)用戶試圖訪問一個分區(qū),該分區(qū)含有關(guān)于軍事或政府運作的敏感數(shù)據(jù),他或他可以被定位到一個非復(fù)制品分區(qū),其中包含的數(shù)據(jù)看起來是正確的和真實的,但事實上是不正確的,從而向可能的“黑客”提供錯誤信息。
在這一變體的更傳統(tǒng)的應(yīng)用中,具有受限特權(quán)的某些用戶可以被允許訪問和修改一個分區(qū)的副本的內(nèi)容,該分區(qū)是對用戶操作隔離的分區(qū)。在對其他復(fù)制品分區(qū)復(fù)制他或她的改變時,系統(tǒng)管理員能觀察和同意這些改變,從而使任何不希望的改變被封鎖從而免于復(fù)制。這在許多場合會是有用的,如測試一個新的服務(wù)器應(yīng)用的環(huán)境,該應(yīng)用必須修改一個復(fù)制服務(wù)器的內(nèi)容。該應(yīng)用能在一個被隔離的分區(qū)(例如該數(shù)據(jù)庫的一個被隔離的復(fù)制品)上執(zhí)行,然后由管理員檢驗對數(shù)據(jù)庫的改變。如果所有結(jié)果是可以接受的,則管理員能去掉被隔離分區(qū)上的復(fù)制塊,而復(fù)制管理器將使該分區(qū)的所有其他副本同步到這一改變上。
盡管針對本發(fā)明一個或多個實施例的某些方面進行了詳細描述,本領(lǐng)域技術(shù)人員將會理解,可以對所示實施例進行改變而不偏離本發(fā)明的范圍,包括但不限于使用替代的編程方法,利用替代的計算機網(wǎng)絡(luò)技術(shù),使用公用/專用密鑰對,密鑰建立和共享協(xié)議等。所以,本發(fā)明的范圍應(yīng)由下列權(quán)利要求確定。
權(quán)利要求
1.一種在有至少一個原始數(shù)據(jù)分區(qū)和一個或多個復(fù)制數(shù)據(jù)分區(qū)而且每個分區(qū)存儲在有網(wǎng)絡(luò)地址的存儲器中的一個復(fù)制網(wǎng)絡(luò)存儲器域中的方法,該方法包含使每個分區(qū)與一個密鑰關(guān)聯(lián);在所述存儲設(shè)備和一個文件管理器之間共享所述密鑰;響應(yīng)來自客戶機的訪問一個分區(qū)的請求,所述文件管理器選擇該客戶機定向的分區(qū)并發(fā)出一個由與選定分區(qū)關(guān)聯(lián)的密鑰加密的憑證,該憑證中包括存儲選定分區(qū)的存儲設(shè)備的網(wǎng)絡(luò)地址;以及由所述客戶機使用所述憑證訪問所述選定分區(qū)。
2.如權(quán)利要求1提出的方法,其中所述訪問所述選定分區(qū)的步驟進一步包含由所述存儲設(shè)備驗證所述憑證的有效性,并且只有當所述憑證被證實時才允許所述客戶機訪問。
3.如權(quán)利要求2中提出的方法,其中所述驗證憑證的步驟進一步包含如果由客戶機呈交的憑證被一個密鑰加密,而該密鑰遭到無效、過期或泄漏三種情況之一,則拒絕所述發(fā)請求客戶機的訪問。
4.如權(quán)利要求3中提出的方法,其中所述驗證憑證的步驟進一步包含建立新的共享密鑰。
5.如權(quán)利要求4中提出的方法,其中所述建立新的共享密鑰的步驟包含進行Diffie-Hellman過程。
6.如權(quán)利要求1中提出的方法,其中所述選擇客戶機定向的分區(qū)的步驟包含在分區(qū)原件和復(fù)制品當中確定現(xiàn)有的負載水平,并選擇負載最小的分區(qū)。
7.如權(quán)利要求1中提出的方法,其中所述選擇客戶機定向的分區(qū)的步驟包含選擇一個有效的、未被泄漏的分區(qū)原件或復(fù)制品。
8.如權(quán)利要求1中提出的方法,其中所述選擇客戶機定向的分區(qū)的步驟包含檢測由未授權(quán)或未認證用戶試圖對一分區(qū)的訪問,并隔離一個分區(qū)供那個用戶專用。
9.如權(quán)利要求1中提出的方法,其中所述選擇客戶機定向的分區(qū)的步驟包含檢測由未授權(quán)或未認證用戶試圖對一分區(qū)的訪問并選擇一個分區(qū),它不是所請求分區(qū)的原件或真實復(fù)制品。
10.如權(quán)利要求1中提出的方法,其中所述選擇客戶機定向的分區(qū)的步驟包含檢測由指定的進行測試或開發(fā)的客戶機請求的對一分區(qū)的訪問,并隔離一個分區(qū)供那個用戶專用。
11.如權(quán)利要求10中提出的方法,進一步包含一旦完成由所述進行測試或開發(fā)的客戶機進行的訪問便使所述被隔離分區(qū)與其復(fù)制品同步。
12.一種以軟件編碼的計算機可讀介質(zhì),該軟件用于有至少一個原始數(shù)據(jù)分區(qū)和一個或多個復(fù)制數(shù)據(jù)分區(qū)而且每個分區(qū)存儲在具有網(wǎng)絡(luò)地址的存儲器中的一個復(fù)制網(wǎng)絡(luò)存儲器域中,該軟件完成的步驟包含使每個分區(qū)與一個密鑰關(guān)聯(lián);在所述存儲設(shè)備和一個文件管理器之間共享所述密鑰;響應(yīng)來自客戶機的訪問一個分區(qū)的請求,所述文件管理器選擇該客戶機定向的分區(qū)并發(fā)出一個由與選定的分區(qū)關(guān)聯(lián)的密鑰加密的憑證,該憑證中包括存儲選定分區(qū)的存儲設(shè)備的網(wǎng)絡(luò)地址;以及由所述客戶機使用所述憑證訪問所述選定分區(qū)。
13.如權(quán)利要求12中提出的介質(zhì),其中用于訪問所述選定分區(qū)的所述軟件進一步包含軟件用于由所述存儲設(shè)備驗證所述憑證的有效性并且只有當所述憑證被證實時才允許所述客戶機訪問。
14.如權(quán)利要求13中提出的介質(zhì),其中用于驗證憑證的所述軟件進一步包含軟件用于如果由客戶機呈交的憑證被一個密鑰加密,而該密鑰遭遇到無效、過期或泄漏三種情況之一,則拒絕所述發(fā)請求客戶機的訪問。
15.如權(quán)利要求14中提出的介質(zhì),其中用于驗證憑證的所述軟件進一步包含用于建立新的共享密鑰的軟件。
16.如權(quán)利要求15中提出的介質(zhì),其中用于建立新的共享密鑰的所述軟件包含用于進行Diffie-Hellman過程的軟件。
17.如權(quán)利要求12中提出的介質(zhì),其中用于選擇客戶機定向的分區(qū)的所述軟件包含用于在分區(qū)原件和復(fù)制品當中確定現(xiàn)有的負載水平并選擇負載最小的分區(qū)的軟件。
18.如權(quán)利要求12中提出的介質(zhì),其中用于選擇客戶機定向的分區(qū)的所述軟件包含用于選擇一個有效的、未被泄漏的分區(qū)原件或復(fù)制品的軟件。
19.如權(quán)利要求12中提出的介質(zhì),其中用于選擇客戶機定向的分區(qū)的所述軟件包含用于檢測由未授權(quán)或未認證用戶試圖對一分區(qū)的訪問,并隔離一個分區(qū)供那個用戶專用的軟件。
20.如權(quán)利要求12中提出的介質(zhì),其中用于選擇客戶機定向的分區(qū)的所述軟件包含用于檢測由未授權(quán)或未認證用戶試圖對一分區(qū)的訪問并選擇一個分區(qū),它不是所請求分區(qū)的原件或真實復(fù)制品的軟件。
21.如權(quán)利要求12中提出的介質(zhì),其中用于選擇客戶機定向的分區(qū)的所述軟件包含用于檢測由指定的進行測試或開發(fā)的客戶機請求的對一分區(qū)的訪問,并隔離一個分區(qū)供那個用戶專用的軟件。
22.如權(quán)利要求21中提出的介質(zhì),進一步包含一旦完成由所述進行測試或開發(fā)的客戶機進行的訪問便使所述被隔離分區(qū)與其復(fù)制品同步。
23.一種在有至少一個原始數(shù)據(jù)分區(qū)和一個或多個復(fù)制數(shù)據(jù)分區(qū)而且每個分區(qū)存儲在具有網(wǎng)絡(luò)地址的存儲器中的一個復(fù)制網(wǎng)絡(luò)存儲器域中的安全系統(tǒng),該系統(tǒng)包含與每個分區(qū)關(guān)聯(lián)的密鑰,每個密鑰在文件管理器和存儲一分區(qū)的存儲設(shè)備之間共享;可由文件管理器操作的分區(qū)選擇器,用于響應(yīng)來自客戶機的訪問一個分區(qū)的請求,選擇客戶機定向的原件或復(fù)制品分區(qū);憑證生成器和發(fā)送器,被配置成建立由選定分區(qū)的存儲設(shè)備和文件管理器共享的密鑰加密的憑證,所述憑證包括與存儲選定分區(qū)的存儲裝置對應(yīng)的網(wǎng)絡(luò)地址;以及分區(qū)訪問控制器,適于接收來自請求訪問一分區(qū)的客戶機的所述已發(fā)出的憑證,評估用于簽署該憑證的密鑰的有效性和允許由發(fā)請求的客戶機對所請求分區(qū)的訪問操作。
24.如權(quán)利要求23中提出的系統(tǒng),其中所述訪問控制器包含憑證有效性保持器,被配置成與所述文件管理器確定密鑰的有效性。
25.如權(quán)利要求23中提出的系統(tǒng),其中所述分區(qū)訪問控制器進一步包含密鑰建立器,被配置成獲取一個與一分區(qū)關(guān)聯(lián)的在存儲設(shè)備和文件管理器之間共享的新的密鑰。
26.如權(quán)利要求25中提出的系統(tǒng),其中所述密鑰建立器適于進行Diffie-Hellman過程。
27.如權(quán)利要求23中提出的系統(tǒng),其中所述分區(qū)選擇器包含負載確定器,用于確定分區(qū)原件和復(fù)制品當中的現(xiàn)有負載水平,以及最小負載分區(qū)選擇器。
28.如權(quán)利要求23中提出的系統(tǒng),其中所述分區(qū)選擇器進一步適用于檢測由未授權(quán)或未認證用戶試圖對一分區(qū)的訪問并隔離一個分區(qū)供那個用戶專用。
29.如權(quán)利要求23中提出的系統(tǒng),其中所述分區(qū)選擇器進一步適用于檢測由未授權(quán)或未認證用戶試圖對一分區(qū)的訪問并選擇一個分區(qū),它不是所請求分區(qū)的原件或真實復(fù)制品。
30.如權(quán)利要求23中提出的系統(tǒng),其中所述分區(qū)選擇器適用于檢測由指定進行測試和開發(fā)的客戶機提出的訪問一分區(qū)的請求并隔離一個分區(qū)供那個用戶專用。
31.如權(quán)利要求30中提出的系統(tǒng),進一步包含一個分區(qū)復(fù)制品同步器,用于一旦完成由所述進行測試或開發(fā)的客戶機進行的訪問便使所述被隔離分區(qū)與其復(fù)制品同步。
全文摘要
本發(fā)明提供一種用于計算機網(wǎng)絡(luò)上復(fù)制的存儲設(shè)備的安全系統(tǒng)和方法。通過把網(wǎng)絡(luò)存儲設(shè)備的復(fù)制存儲器域內(nèi)的每個數(shù)據(jù)分區(qū)與多個與文件管理器共享的多個密鑰之一相關(guān)聯(lián),由文件管理器向?qū)σ环謪^(qū)發(fā)出訪問請求的客戶機發(fā)出一個憑證。該憑證包括該客戶機的行動定向的分區(qū)的網(wǎng)絡(luò)地址。存儲設(shè)備周期性地與文件管理器確認共享密鑰的有效性。通過應(yīng)用于發(fā)布憑證和確定每個憑證中包括的分區(qū)地址的邏輯過程和評估,該文件管理器可以使分區(qū)單個地無效,在對原件和復(fù)制品分區(qū)的訪問之間提供負載平衡,以及提供安全功能,如隔離由未授權(quán)用戶訪問的分區(qū)和跟蹤未授權(quán)用戶,或者用于測試目的。
文檔編號G06F21/00GK1487423SQ0315386
公開日2004年4月7日 申請日期2003年8月25日 優(yōu)先權(quán)日2002年9月30日
發(fā)明者K·K·耶萊佩迪, K K 耶萊佩迪 申請人:國際商業(yè)機器公司