專利名稱:在多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)上使用虛擬專用網(wǎng)保護(hù)數(shù)據(jù)空間的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)領(lǐng)域,更具體地說,涉及在多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)上使 用虛擬專用網(wǎng)保護(hù)數(shù)據(jù)空間。
背景技術(shù):
持續(xù)開發(fā)超級計(jì)算機(jī)和其他多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)來應(yīng)付復(fù)雜的計(jì)算作業(yè)。一種類 型的多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)是大規(guī)模并行計(jì)算機(jī)系統(tǒng)。國際商業(yè)機(jī)器公司(IBM)以名稱Blue Gene (藍(lán)色基因)開發(fā)了一系列此類大型并行計(jì)算機(jī)。Blue Gene/L系統(tǒng)是一種其中計(jì)算 節(jié)點(diǎn)的當(dāng)前最大數(shù)目為65,536的高密度可伸縮系統(tǒng)。Blue Gene/L節(jié)點(diǎn)包括具有2個CPU 和存儲器的單個ASIC (專用集成電路)。整個計(jì)算機(jī)容納在64個機(jī)架或機(jī)柜中,每個機(jī)架 中具有32個節(jié)點(diǎn)板。諸如Blue Gene之類的計(jì)算機(jī)系統(tǒng)包含大量節(jié)點(diǎn),每個節(jié)點(diǎn)都有自己的處理器和 本地存儲器。所述節(jié)點(diǎn)與若干通信網(wǎng)絡(luò)相連。通信網(wǎng)絡(luò)將各節(jié)點(diǎn)連接成邏輯樹網(wǎng)絡(luò)。在所 述邏輯樹網(wǎng)絡(luò)中,各節(jié)點(diǎn)與位于樹頂部的輸入-輸出(I/O)節(jié)點(diǎn)相連。在Blue Gene中,每 個節(jié)點(diǎn)卡具有兩個計(jì)算節(jié)點(diǎn),每個計(jì)算節(jié)點(diǎn)具有兩個處理器。節(jié)點(diǎn)板上安放16個節(jié)點(diǎn)卡, 而每個機(jī)架上安放32個節(jié)點(diǎn)板。節(jié)點(diǎn)板上具有插槽,用于安插2個I/O卡,每個I/O卡具 有2個I/O節(jié)點(diǎn)??梢栽谂cI/O節(jié)點(diǎn)通信的虛擬樹網(wǎng)絡(luò)中配置兩個節(jié)點(diǎn)板上的節(jié)點(diǎn)。諸如Blue Gene之類的多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)支持內(nèi)存數(shù)據(jù)庫(in memorydatabase)。 內(nèi)存數(shù)據(jù)庫是其中數(shù)據(jù)庫的某個部分或整個數(shù)據(jù)庫完全駐留在存儲器中而非大容量存儲 裝置中的數(shù)據(jù)庫。內(nèi)存數(shù)據(jù)庫可針對數(shù)據(jù)庫搜索或查詢提供極其快速的響應(yīng)。對于所有 計(jì)算機(jī)系統(tǒng)而言,需要關(guān)心的問題是數(shù)據(jù)安全性。某些現(xiàn)有技術(shù)的數(shù)據(jù)安全性技術(shù)可能無 法在并行計(jì)算機(jī)系統(tǒng)上,尤其是在帶有內(nèi)存數(shù)據(jù)庫的并行計(jì)算機(jī)系統(tǒng)上有效實(shí)現(xiàn)或輕松實(shí) 現(xiàn)。在沒有有效的方法來提供數(shù)據(jù)安全性的情況下,多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)將繼續(xù)受到數(shù) 據(jù)安全性降低以及計(jì)算機(jī)系統(tǒng)效率降低的困擾。
發(fā)明內(nèi)容
描述了一種用于在并行計(jì)算機(jī)系統(tǒng)上使用連接系統(tǒng)節(jié)點(diǎn)的虛擬專用網(wǎng)提供數(shù)據(jù) 安全性的裝置和方法。訪問建立機(jī)制在所述節(jié)點(diǎn)中建立訪問控制數(shù)據(jù),所述訪問控制數(shù)據(jù) 描述了哪些虛擬網(wǎng)絡(luò)受保護(hù)以及何種應(yīng)用有權(quán)訪問受保護(hù)的虛擬網(wǎng)絡(luò)。這允許在系統(tǒng)內(nèi)實(shí) 現(xiàn)針對公共數(shù)據(jù)的查詢、數(shù)據(jù)傳輸或數(shù)據(jù)遷移。當(dāng)應(yīng)用訪問受保護(hù)的虛擬網(wǎng)絡(luò)上的數(shù)據(jù)時, 網(wǎng)絡(luò)訪問機(jī)制確定數(shù)據(jù)受到保護(hù)并攔截?cái)?shù)據(jù)訪問。位于內(nèi)核中的所述網(wǎng)絡(luò)訪問機(jī)制還可根 據(jù)對所述虛擬網(wǎng)絡(luò)嘗試的訪問的種類而執(zhí)行規(guī)則。例如,如果應(yīng)用嘗試對專用網(wǎng)絡(luò)進(jìn)行數(shù) 據(jù)查詢,則內(nèi)核可終止該應(yīng)用或向該應(yīng)用返回錯誤代碼。在所示實(shí)例中,所述訪問控制機(jī)制 通過系統(tǒng)調(diào)用提供對受保護(hù)數(shù)據(jù)的訪問。在受保護(hù)的網(wǎng)絡(luò)上僅允許授權(quán)的訪問??梢酝ㄟ^ 對系統(tǒng)內(nèi)核中的所述訪問控制機(jī)制的系統(tǒng)調(diào)用來進(jìn)行對專用網(wǎng)絡(luò)的授權(quán)訪問。所述訪問控制機(jī)制通過訪問控制列表或其他安全策略實(shí)施有關(guān)可通過系統(tǒng)分發(fā)哪些數(shù)據(jù)的策略決策。此處的描述和實(shí)例針對諸如Blue Gene體系結(jié)構(gòu)之類的大規(guī)模并行計(jì)算機(jī)系統(tǒng), 但是此處的權(quán)利要求明確擴(kuò)展到在網(wǎng)絡(luò)結(jié)構(gòu)中布置多個處理器的其他并行計(jì)算機(jī)系統(tǒng)。從第一方面來看,本發(fā)明提供了一種多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng),所述系統(tǒng)包括多個計(jì)算 節(jié)點(diǎn),所述多個計(jì)算節(jié)點(diǎn)通過多個虛擬網(wǎng)絡(luò)相連,每個計(jì)算節(jié)點(diǎn)都包括處理器和存儲器;訪 問建立機(jī)制,其配置所述計(jì)算節(jié)點(diǎn)上的訪問控制數(shù)據(jù)以指示所述多個虛擬網(wǎng)絡(luò)中的至少一 個虛擬網(wǎng)絡(luò)為虛擬專用網(wǎng);以及訪問控制機(jī)制,其根據(jù)所述訪問控制數(shù)據(jù)來控制通過所述 多個虛擬網(wǎng)絡(luò)對所述多個計(jì)算節(jié)點(diǎn)上的存儲器中的數(shù)據(jù)的訪問。優(yōu)選地,本發(fā)明提供了一種多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng),其中所述多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)為大 規(guī)模并行計(jì)算機(jī)系統(tǒng)。優(yōu)選地,本發(fā)明提供了一種多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng),其中所述訪問建立機(jī)制配置類路 由表以建立所述多個虛擬網(wǎng)絡(luò)。優(yōu)選地,本發(fā)明提供了一種多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng),其中從以下項(xiàng)選擇所述訪問控制 數(shù)據(jù)類標(biāo)識ID、指示所述類ID為專用的專用標(biāo)志,以及列出被授權(quán)訪問所述虛擬專用網(wǎng) 的應(yīng)用的可用性列表。優(yōu)選地,本發(fā)明提供了一種多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng),其中所述訪問控制機(jī)制位于所述 計(jì)算節(jié)點(diǎn)的系統(tǒng)內(nèi)核中并允許通過對所述系統(tǒng)內(nèi)核的系統(tǒng)調(diào)用來訪問被授權(quán)的應(yīng)用。優(yōu)選地,本發(fā)明提供了一種多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng),其中所述訪問控制機(jī)制攔截未被 授權(quán)訪問所述虛擬專用網(wǎng)上的數(shù)據(jù)的應(yīng)用的讀/寫操作并生成失敗指示。優(yōu)選地,本發(fā)明提供了一種多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng),其中所述多個計(jì)算節(jié)點(diǎn)布置在虛 擬樹網(wǎng)中并進(jìn)一步包括與所述樹網(wǎng)的頂部相連以允許所述計(jì)算節(jié)點(diǎn)與大規(guī)模并行計(jì)算機(jī) 系統(tǒng)的服務(wù)節(jié)點(diǎn)通信的I/O節(jié)點(diǎn)。從另一方面來看,本發(fā)明提供了一種計(jì)算機(jī)實(shí)現(xiàn)的用于在多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)中使 用虛擬網(wǎng)絡(luò)提供數(shù)據(jù)安全性的方法,所述方法包括以下步驟確定要保護(hù)的節(jié)點(diǎn);通過配 置計(jì)算節(jié)點(diǎn)上的訪問控制數(shù)據(jù)以指示多個虛擬網(wǎng)絡(luò)之一為虛擬專用網(wǎng)來建立虛擬專用網(wǎng), 從而使所確定的節(jié)點(diǎn)成為受保護(hù)的節(jié)點(diǎn);以及根據(jù)所述虛擬專用網(wǎng)上的節(jié)點(diǎn)內(nèi)的系統(tǒng)內(nèi)核 中的所述訪問控制數(shù)據(jù),通過訪問控制機(jī)制提供對所述節(jié)點(diǎn)的保護(hù)。優(yōu)選地,本發(fā)明提供了一種方法,其中所述多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)為大規(guī)模并行計(jì)算 機(jī)系統(tǒng)。優(yōu)選地,本發(fā)明提供了一種方法,所述方法還包括以下步驟允許一個或多個應(yīng)用 通過對所述系統(tǒng)內(nèi)核中的所述訪問控制機(jī)制的系統(tǒng)調(diào)用來訪問受保護(hù)的節(jié)點(diǎn)。優(yōu)選地,本發(fā)明提供一種方法,其中建立虛擬專用網(wǎng)的步驟包括配置類路由表以 建立所述多個虛擬網(wǎng)絡(luò)。優(yōu)選地,本發(fā)明提供了一種方法,其中從以下項(xiàng)選擇所述訪問控制數(shù)據(jù)類標(biāo)識 ID、指示所述類ID為專用的專用標(biāo)志,以及列出被授權(quán)訪問所述虛擬專用網(wǎng)的應(yīng)用的可用 性列表。優(yōu)選地,本發(fā)明提供了一種方法,其中所述訪問控制機(jī)制攔截未被授權(quán)訪問所述 虛擬專用網(wǎng)上的數(shù)據(jù)的應(yīng)用的讀/寫操作并生成失敗指示。從另一方面來看,本發(fā)明提供了一種用于在多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)中使用虛擬網(wǎng)絡(luò)提
5供數(shù)據(jù)安全性的方法,所述方法包括以下步驟確定大規(guī)模并行計(jì)算機(jī)系統(tǒng)中要保護(hù)的節(jié) 點(diǎn);通過配置類路由表以建立多個虛擬網(wǎng)絡(luò),以及通過配置計(jì)算節(jié)點(diǎn)上的訪問控制數(shù)據(jù)以 指示所述多個虛擬網(wǎng)絡(luò)之一為虛擬專用網(wǎng)來建立虛擬專用網(wǎng),從而使所確定的節(jié)點(diǎn)成為受 保護(hù)的節(jié)點(diǎn);通過攔截未被授予訪問虛擬專用網(wǎng)上的數(shù)據(jù)的應(yīng)用的讀/寫操作并生成失敗 指示,來根據(jù)所述節(jié)點(diǎn)內(nèi)的系統(tǒng)內(nèi)核中的訪問控制數(shù)據(jù)經(jīng)由訪問控制機(jī)制為所述虛擬專用 網(wǎng)上的節(jié)點(diǎn)提供保護(hù);以及允許一個或多個應(yīng)用通過對所述系統(tǒng)內(nèi)核中的所述訪問控制機(jī) 制的系統(tǒng)調(diào)用來訪問受保護(hù)的節(jié)點(diǎn)。從另一方面來看,本發(fā)明提供了一件計(jì)算機(jī)可讀制品,所述制品包括訪問建立機(jī) 制,其配置使用多個虛擬網(wǎng)絡(luò)相連的多個計(jì)算節(jié)點(diǎn)上的訪問控制數(shù)據(jù),其中所述訪問控制 數(shù)據(jù)指示虛擬網(wǎng)絡(luò)為虛擬專用網(wǎng)以及何種應(yīng)用有權(quán)訪問所述虛擬專用網(wǎng);訪問控制機(jī)制, 其根據(jù)所述訪問控制數(shù)據(jù)來控制通過所述多個虛擬網(wǎng)絡(luò)對所述多個計(jì)算節(jié)點(diǎn)上的存儲器 中的數(shù)據(jù)的訪問;以及有形計(jì)算機(jī)可記錄介質(zhì),其承載所述訪問建立機(jī)制和所述訪問控制 機(jī)制。優(yōu)選地,本發(fā)明提供了一件制品,其中所述訪問建立機(jī)制配置類路由表以建立多 個虛擬網(wǎng)絡(luò)。優(yōu)選地,本發(fā)明提供了一件制品,其中從以下項(xiàng)選擇所述訪問控制數(shù)據(jù)類標(biāo)識 ID、指示所述類ID為專用的專用標(biāo)志,以及列出被授權(quán)訪問所述虛擬專用網(wǎng)的應(yīng)用的可用 性列表。優(yōu)選地,本發(fā)明提供了一件制品,其中所述訪問控制機(jī)制位于所述計(jì)算節(jié)點(diǎn)的系 統(tǒng)內(nèi)核中并允許通過對所述系統(tǒng)內(nèi)核的系統(tǒng)調(diào)用來訪問被授權(quán)的應(yīng)用。優(yōu)選地,本發(fā)明提供了一件制品,其中所述訪問控制機(jī)制攔截未被授權(quán)訪問所述 虛擬專用網(wǎng)上的數(shù)據(jù)的應(yīng)用的讀/寫操作并生成失敗指示。優(yōu)選地,本發(fā)明提供了一件制品,其中所述多個計(jì)算節(jié)點(diǎn)布置在虛擬樹網(wǎng)中并進(jìn) 一步包括與所述樹網(wǎng)的頂部相連以允許所述計(jì)算節(jié)點(diǎn)與大規(guī)模并行計(jì)算機(jī)系統(tǒng)的服務(wù)節(jié) 點(diǎn)通信的I/O節(jié)點(diǎn)。通過下面更詳細(xì)的描述,以及如附圖所示,上述和其他特征和優(yōu)點(diǎn)將變得顯而易 見。
將結(jié)合附圖對本發(fā)明進(jìn)行描述,其中相同的標(biāo)號指示相同的元素,這些附圖是圖1是大規(guī)模并行計(jì)算機(jī)系統(tǒng)的方塊圖;圖2是大規(guī)模并行計(jì)算機(jī)系統(tǒng)中的計(jì)算節(jié)點(diǎn)的方塊圖;圖3示出布置成虛擬樹網(wǎng)的計(jì)算節(jié)點(diǎn)的方塊圖;圖4示出用于在大規(guī)模并行計(jì)算機(jī)系統(tǒng)中的虛擬樹網(wǎng)上傳送的數(shù)據(jù)分組;圖5示出其中一個虛擬網(wǎng)絡(luò)為受保護(hù)的網(wǎng)絡(luò)或是大規(guī)模并行計(jì)算機(jī)系統(tǒng)中的虛 擬專用網(wǎng)的三個虛擬樹網(wǎng);圖6是表示大規(guī)模并行計(jì)算機(jī)系統(tǒng)中的訪問控制數(shù)據(jù)的表;圖7是用于使用大規(guī)模并行計(jì)算機(jī)系統(tǒng)上的虛擬專用網(wǎng)在并行計(jì)算機(jī)系統(tǒng)上提 供數(shù)據(jù)安全性的方法的方法流程圖;以及
6
圖8是示出圖7中的步驟730的一個可能實(shí)施方式的方法流程圖。
具體實(shí)施例方式本文中的說明和權(quán)利要求涉及用于在并行計(jì)算機(jī)系統(tǒng)上使用連接系統(tǒng)節(jié)點(diǎn)的虛 擬專用網(wǎng)提供數(shù)據(jù)安全性的方法和裝置。訪問建立機(jī)制建立節(jié)點(diǎn)中描述哪些虛擬網(wǎng)絡(luò)為專 用網(wǎng)絡(luò)以及何種應(yīng)用有權(quán)訪問受保護(hù)的專用網(wǎng)絡(luò)的訪問控制數(shù)據(jù)。任意節(jié)點(diǎn)可通過網(wǎng)絡(luò)訪 問公共數(shù)據(jù)或開放數(shù)據(jù)。這允許在系統(tǒng)內(nèi)實(shí)現(xiàn)公共數(shù)據(jù)的查詢、數(shù)據(jù)傳輸或數(shù)據(jù)遷移。當(dāng) 應(yīng)用訪問虛擬專用網(wǎng)上的數(shù)據(jù)時,網(wǎng)絡(luò)訪問機(jī)制確定數(shù)據(jù)受到保護(hù)并攔截?cái)?shù)據(jù)訪問。位于 內(nèi)核中的所述網(wǎng)絡(luò)訪問機(jī)制還根據(jù)對虛擬網(wǎng)絡(luò)嘗試的訪問種類執(zhí)行規(guī)則。例如,如果應(yīng)用 嘗試對專用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)查詢,則內(nèi)核可終止該應(yīng)用或向該應(yīng)用返回錯誤代碼。在下面所示的實(shí)例中,所述訪問控制機(jī)制提供對受保護(hù)節(jié)點(diǎn)上的受保護(hù)數(shù)據(jù)的訪 問。在計(jì)算節(jié)點(diǎn)的虛擬專用網(wǎng)上僅允許授權(quán)的訪問。可通過對內(nèi)核中的所述訪問控制機(jī)制 的系統(tǒng)調(diào)用來對專用網(wǎng)絡(luò)進(jìn)行授權(quán)的訪問。所述訪問控制機(jī)制通過訪問控制列表(或其他 安全策略)實(shí)施有關(guān)可通過系統(tǒng)分發(fā)哪些數(shù)據(jù)的策略決策。將根據(jù)由國際商業(yè)機(jī)器公司 (IBM)開發(fā)的Blue Gene/L大規(guī)模并行計(jì)算機(jī)描述此處的實(shí)例。圖1示出表示諸如Blue Gene/L計(jì)算機(jī)系統(tǒng)之類的大規(guī)模并行計(jì)算機(jī)系統(tǒng)100的 方塊圖。Blue Gene/L系統(tǒng)是其中計(jì)算節(jié)點(diǎn)的最大數(shù)目為65,536的可伸縮系統(tǒng)。每一節(jié) 點(diǎn)110具有專用集成電路(ASIC) 112,還稱為BlueGene/L計(jì)算芯片112。計(jì)算芯片合并有 兩個處理器或中央處理器單元(CPU)并安裝于節(jié)點(diǎn)子卡114上。節(jié)點(diǎn)通常還具有512兆字 節(jié)的本地存儲器(未示出)。節(jié)點(diǎn)板120容納32個各自具有節(jié)點(diǎn)110的節(jié)點(diǎn)子卡114。因 此,每一節(jié)點(diǎn)板具有32個節(jié)點(diǎn),每一節(jié)點(diǎn)具有2個處理器,以及用于每一處理器的關(guān)聯(lián)存儲 器。機(jī)架130為含有32個節(jié)點(diǎn)板120的外殼。節(jié)點(diǎn)板120中的每一個用中間板連接器134 連接到中間板印刷電路板132中。中間板132在機(jī)架內(nèi)部并且未在圖1中示出。整個Blue Gene/L計(jì)算機(jī)系統(tǒng)將容納于64個機(jī)架130或機(jī)柜中,每個機(jī)架130或機(jī)柜中均具有32個 節(jié)點(diǎn)板120。整個系統(tǒng)然后將具有65,536個節(jié)點(diǎn)及131,072個CPU (64個機(jī)架X 32個節(jié)點(diǎn) 板X 32個節(jié)點(diǎn)X2個CPU)。Blue Gene/L計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)可被描述為具有I/O節(jié)點(diǎn)表面的計(jì)算節(jié)點(diǎn)核心,其 中每個I/O節(jié)點(diǎn)具有連接到服務(wù)節(jié)點(diǎn)140的I/O處理器。I/O節(jié)點(diǎn)170沒有本地存儲裝置。 I/O節(jié)點(diǎn)經(jīng)由邏輯樹網(wǎng)絡(luò)連接至計(jì)算節(jié)點(diǎn)并且還通過千兆位以太網(wǎng)(見下圖2)具有功能性 廣域網(wǎng)能力。千兆位以太網(wǎng)連接至位于節(jié)點(diǎn)板120上的處理從服務(wù)節(jié)點(diǎn)160到多個節(jié)點(diǎn)的 通信的I/O節(jié)點(diǎn)170中的I/O處理器(或Blue Gene/L鏈路芯片)。Blue Gene/L系統(tǒng)具有 一個或多個連接至節(jié)點(diǎn)板120的I/O節(jié)點(diǎn)170。I/O處理器可被配置為與8個、32個或64 個節(jié)點(diǎn)進(jìn)行通信。服務(wù)節(jié)點(diǎn)通過與計(jì)算節(jié)點(diǎn)上的鏈路卡通信來使用千兆位以太網(wǎng)控制連通 性。除了 I/O節(jié)點(diǎn)不連接至環(huán)狀網(wǎng)絡(luò)以外,到I/O節(jié)點(diǎn)的連接類似于到計(jì)算節(jié)點(diǎn)的連接。再次參考圖1,計(jì)算機(jī)系統(tǒng)100包括服務(wù)節(jié)點(diǎn)140,其處理使用軟件加載節(jié)點(diǎn)并控 制整個系統(tǒng)的操作。服務(wù)節(jié)點(diǎn)140通常為諸如使用控制臺(未示出)執(zhí)行Linux的IBM PSeries服務(wù)器之類的微型計(jì)算機(jī)系統(tǒng)。服務(wù)節(jié)點(diǎn)140使用控制系統(tǒng)網(wǎng)絡(luò)150連接至計(jì)算 節(jié)點(diǎn)110的機(jī)架130??刂葡到y(tǒng)網(wǎng)絡(luò)提供針對Blue Gene/L系統(tǒng)的控制、測試及應(yīng)用基礎(chǔ)結(jié) 構(gòu)。控制系統(tǒng)網(wǎng)絡(luò)150包括為大規(guī)模并行計(jì)算機(jī)系統(tǒng)提供必要通信的各種網(wǎng)絡(luò)接口。下文
7進(jìn)一步描述網(wǎng)絡(luò)接口。服務(wù)節(jié)點(diǎn)140通過專用于系統(tǒng)管理的控制系統(tǒng)網(wǎng)絡(luò)130進(jìn)行通信??刂葡到y(tǒng)網(wǎng)絡(luò) 150包括與位于節(jié)點(diǎn)板120上的Ido芯片180相連的專用100_Mb/s以太網(wǎng),所述節(jié)點(diǎn)板120 處理從服務(wù)節(jié)點(diǎn)160到多個節(jié)點(diǎn)的通信。該網(wǎng)絡(luò)有時稱為JTAG網(wǎng)絡(luò),因?yàn)樗褂肑TAG協(xié) 議進(jìn)行通信。節(jié)點(diǎn)板120上的計(jì)算節(jié)點(diǎn)110的所有控制、測試和應(yīng)用均通過與服務(wù)節(jié)點(diǎn)通 信的JTAG端口進(jìn)行管理。所述服務(wù)節(jié)點(diǎn)包括用于分配和調(diào)度計(jì)算節(jié)點(diǎn)上的工作進(jìn)程和數(shù)據(jù)放置的作業(yè)調(diào) 度器142。所述服務(wù)節(jié)點(diǎn)還包括訪問建立機(jī)制144,訪問建立機(jī)制144建立訪問控制數(shù)據(jù) (以下參考圖2進(jìn)行描述)以建立虛擬信道和設(shè)置何種應(yīng)用有權(quán)訪問專用網(wǎng)絡(luò)信道上的數(shù) 據(jù)。圖2示出了上面介紹的示例性計(jì)算節(jié)點(diǎn)的方塊圖。圖2還表示I/O節(jié)點(diǎn)的方塊圖, 所述I/O節(jié)點(diǎn)與計(jì)算節(jié)點(diǎn)具有相同的總體結(jié)構(gòu)。計(jì)算節(jié)點(diǎn)與I/O節(jié)點(diǎn)之間的一個顯著區(qū)別 是以太網(wǎng)適配器226與I/O節(jié)點(diǎn)上的控制系統(tǒng)相連,但是計(jì)算節(jié)點(diǎn)中不使用此適配器。圖 2的計(jì)算節(jié)點(diǎn)110包括多個計(jì)算機(jī)處理器210,每個處理器都具有算術(shù)邏輯單元(ALU) 211 和存儲器管理單元(MMU)212。處理器210通過高速存儲器總線215與隨機(jī)存取存儲器 (RAM) 214相連。與高速存儲器總線215相連的還有總線適配器217??偩€適配器217與擴(kuò) 展總線218相連,擴(kuò)展總線218與計(jì)算節(jié)點(diǎn)的其他組件相連。再次參考圖2,RAM 214中存儲有類路由表221、訪問控制數(shù)據(jù)222、應(yīng)用223和包 含將在下面描述的訪問控制機(jī)制的操作系統(tǒng)內(nèi)核224。類路由表221存儲用于在集合網(wǎng)絡(luò) (collective network)或?qū)⒃谙旅娓敿?xì)地描述的樹網(wǎng)上路由數(shù)據(jù)分組的數(shù)據(jù)。訪問控 制數(shù)據(jù)222是由訪問控制機(jī)制用于控制對下面所述的專用數(shù)據(jù)的訪問的信息。應(yīng)用223是 由控制系統(tǒng)加載到節(jié)點(diǎn)以執(zhí)行指定任務(wù)的用戶軟件應(yīng)用程序、進(jìn)程或作業(yè)。應(yīng)用程序通常 與相鄰節(jié)點(diǎn)上運(yùn)行的應(yīng)用程序并行運(yùn)行。操作系統(tǒng)內(nèi)核224是計(jì)算機(jī)程序指令和例程的模 塊,應(yīng)用程序可使用該模塊訪問計(jì)算節(jié)點(diǎn)的其他資源。大規(guī)模并行計(jì)算機(jī)中的計(jì)算節(jié)點(diǎn)上 的操作系統(tǒng)所執(zhí)行的任務(wù)的數(shù)量和復(fù)雜程度通常小于典型獨(dú)立式計(jì)算機(jī)上的操作系統(tǒng)所 執(zhí)行的任務(wù)的數(shù)量和復(fù)雜程度。因此,與通用計(jì)算機(jī)的操作系統(tǒng)或?qū)iT針對特定大規(guī)模并 行計(jì)算機(jī)上的操作開發(fā)的操作系統(tǒng)相比,這些操作系統(tǒng)可以非常輕量,可以說是一種精簡 版本。可以有效地改進(jìn)、精簡以用于計(jì)算節(jié)點(diǎn)的操作系統(tǒng)包括UNIX、LinuX、MiCrOSOft XP、 AIX、IBM的i5/0S以及本領(lǐng)域的技術(shù)人員將想到的其他操作系統(tǒng)。圖2的計(jì)算機(jī)節(jié)點(diǎn)110包括若干用于實(shí)現(xiàn)與大規(guī)模并行計(jì)算機(jī)的其他節(jié)點(diǎn)的數(shù)據(jù) 通信的通信適配器226、228、230、232。此類數(shù)據(jù)通信可以通過RS-232連接,通過諸如USB 之類的外部總線,通過諸如IP網(wǎng)絡(luò)之類的數(shù)據(jù)通信網(wǎng)絡(luò)以串行方式執(zhí)行,或者通過本領(lǐng)域 的技術(shù)人員將想到的其他方式執(zhí)行。通信適配器實(shí)現(xiàn)硬件級數(shù)據(jù)通信,以此方式,一臺計(jì)算 機(jī)可以直接或通過網(wǎng)絡(luò)將數(shù)據(jù)通信發(fā)送到另一計(jì)算機(jī)。圖2的實(shí)例中的數(shù)據(jù)通信適配器包括千兆位以太網(wǎng)適配器226,其將實(shí)例I/O節(jié)點(diǎn) 110與千兆位以太網(wǎng)234耦合以實(shí)現(xiàn)數(shù)據(jù)通信。在Blue Gene中,此通信鏈路僅在I/O節(jié)點(diǎn) 上使用并且不在計(jì)算節(jié)點(diǎn)上連接。千兆位以太網(wǎng)是在IEEE 802. 3標(biāo)準(zhǔn)中定義的網(wǎng)絡(luò)傳輸 標(biāo)準(zhǔn),提供每秒1千兆位的數(shù)據(jù)速率(1吉比特)。千兆位以太網(wǎng)是在多模光纜、單模光纜或 非屏蔽雙絞線上工作的以太網(wǎng)的變型。
8
圖2的實(shí)例中的數(shù)據(jù)通信適配器包括JTAG從屬(slave)電路228,其將計(jì)算節(jié)點(diǎn) 110與JTAG主電路耦合以通過JTAG網(wǎng)絡(luò)236進(jìn)行數(shù)據(jù)通信。JTAG是名為標(biāo)準(zhǔn)測試訪問端 口與邊界掃描體系結(jié)構(gòu)的IEEE 1149. 1標(biāo)準(zhǔn)的俗稱,用于使用邊界掃描測試印刷電路板的 測試訪問端口。通過JTAG從屬電路228的JTAG邊界掃描可有效地配置計(jì)算節(jié)點(diǎn)110中的 處理器寄存器和存儲器。圖2的實(shí)例中的數(shù)據(jù)通信適配器包括點(diǎn)到點(diǎn)網(wǎng)絡(luò)適配器230,其將計(jì)算節(jié)點(diǎn)110與 網(wǎng)絡(luò)238耦合以進(jìn)行數(shù)據(jù)通信。在Blue Gene中,點(diǎn)到點(diǎn)網(wǎng)絡(luò)通常被配置為三維環(huán)狀或網(wǎng) 狀。點(diǎn)到點(diǎn)適配器230通過六個雙向鏈路238 +X、-X、+Y、-Y、+Z和-Z提供三個通信軸χ、 y和ζ上六個方向的數(shù)據(jù)通信。環(huán)狀網(wǎng)將計(jì)算節(jié)點(diǎn)邏輯地連接成類似晶格的結(jié)構(gòu),所述結(jié)構(gòu) 允許每個計(jì)算節(jié)點(diǎn)110與其最近的6個相鄰節(jié)點(diǎn)進(jìn)行通信。圖2的實(shí)例中的數(shù)據(jù)通信適配器包括集合網(wǎng)絡(luò)或樹網(wǎng)適配器232,其將計(jì)算節(jié)點(diǎn) 110與被配置為二進(jìn)制樹的網(wǎng)絡(luò)240耦合以進(jìn)行數(shù)據(jù)通信。該網(wǎng)絡(luò)有時還稱為集合網(wǎng)絡(luò)。 集合網(wǎng)絡(luò)適配器232通過三個雙向鏈路提供數(shù)據(jù)通信兩個到子節(jié)點(diǎn)的鏈路以及一個到父 節(jié)點(diǎn)(未示出)的鏈路。每個節(jié)點(diǎn)的集合網(wǎng)絡(luò)適配器232具有額外硬件以支持針對集合網(wǎng) 絡(luò)的操作。再次參考圖2,集合網(wǎng)絡(luò)240在整個Blue Gene機(jī)器的計(jì)算節(jié)點(diǎn)上擴(kuò)展,允許將數(shù) 據(jù)從任意節(jié)點(diǎn)發(fā)送到所有其他節(jié)點(diǎn)(廣播)或節(jié)點(diǎn)子集。每個節(jié)點(diǎn)通常具有三個鏈路一 個或兩個到子節(jié)點(diǎn)的鏈路,以及與父節(jié)點(diǎn)相連的第三鏈路。算術(shù)和邏輯硬件內(nèi)置于集合網(wǎng) 絡(luò)中以支持包括取最小、取最大、求和、逐位邏輯“或”、逐位邏輯“與”以及逐位邏輯“異或” 的整數(shù)約減運(yùn)算。集合網(wǎng)絡(luò)還用于全局?jǐn)?shù)據(jù)廣播,而不是沿著環(huán)網(wǎng)上的環(huán)傳輸數(shù)據(jù)。對于 “一到多”通信,從軟件角度來看,緊鄰3D環(huán)網(wǎng)上具有巨大的改進(jìn)。圖3示出了在圖2中示為240的集合網(wǎng)絡(luò)或樹網(wǎng)的一部分。集合網(wǎng)絡(luò)或樹網(wǎng)300 通過控制系統(tǒng)網(wǎng)絡(luò)150與服務(wù)節(jié)點(diǎn)140相連。樹網(wǎng)300是一組在邏輯樹結(jié)構(gòu)中與I/O節(jié)點(diǎn) 170相連的計(jì)算節(jié)點(diǎn)110。I/O節(jié)點(diǎn)170與一個或多個計(jì)算節(jié)點(diǎn)110相連。計(jì)算節(jié)點(diǎn)1 312 和節(jié)點(diǎn)2 314都直接與I/O節(jié)點(diǎn)170相連并形成均在節(jié)點(diǎn)1 312和節(jié)點(diǎn)2 314之下相連的 一組節(jié)點(diǎn)的樹頂或第一層311。節(jié)點(diǎn)1 312是樹網(wǎng)的頂部并具有位于第二層317的子節(jié)點(diǎn) 3 316和子節(jié)點(diǎn)4 318。類似地,節(jié)點(diǎn)3 316具有位于第三層325的子節(jié)點(diǎn)7 322和子節(jié)點(diǎn) 8 324。為了簡潔而未示出許多子節(jié)點(diǎn),但是樹網(wǎng)300可以包含具有任意層數(shù)的任意數(shù)量的 節(jié)點(diǎn)。用戶分區(qū)是為了執(zhí)行用戶應(yīng)用而形成的一組節(jié)點(diǎn)。當(dāng)形成用戶分區(qū)時,將針對該 分區(qū)形成一個獨(dú)立的集合網(wǎng)絡(luò);所述集合網(wǎng)絡(luò)包括該分區(qū)中的所有節(jié)點(diǎn)(不包括任何其他 分區(qū)中的節(jié)點(diǎn))。在所述集合網(wǎng)絡(luò)中,每個節(jié)點(diǎn)都包含類路由表,類路由表與通過網(wǎng)絡(luò)發(fā)送 的每個數(shù)據(jù)分組內(nèi)小標(biāo)頭字段結(jié)合使用來確定類。類用于局部地確定分組的路由。通過此 技術(shù),在單個物理網(wǎng)絡(luò)中虛擬化多個被稱為虛擬信道的獨(dú)立集合網(wǎng)絡(luò),其中虛擬網(wǎng)絡(luò)具有 一個或多個I/O節(jié)點(diǎn)。兩個標(biāo)準(zhǔn)類實(shí)例是將一小組計(jì)算節(jié)點(diǎn)連接到I/O節(jié)點(diǎn)的類以及包括 系統(tǒng)中的所有計(jì)算節(jié)點(diǎn)的類。圖4示出用于在大規(guī)模并行計(jì)算機(jī)系統(tǒng)100 (圖1)中的樹網(wǎng)240(圖2)上傳輸?shù)?數(shù)據(jù)分組400。每個數(shù)據(jù)分組400都包括類410和數(shù)據(jù)420。類410用于確定分組的路由 以通過集合網(wǎng)絡(luò)(圖2,240)在虛擬信道(將在下面介紹)上傳輸數(shù)據(jù)420。類410與類路由表221結(jié)合使用以確定如何將數(shù)據(jù)分組400路由到樹網(wǎng)上的適當(dāng)節(jié)點(diǎn)。圖5表示多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)中的計(jì)算節(jié)點(diǎn)100的一部分。使用上述集合網(wǎng)絡(luò)在多 個虛擬信道510、512、514或樹網(wǎng)中排列計(jì)算節(jié)點(diǎn)110。在該實(shí)例中,虛擬信道512被指定為 “專用”。這意味著對虛擬信道的訪問被限于內(nèi)核。此處所述的訪問建立機(jī)制144將虛擬信 道512建立為專用信道。圖6示出了表示多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)中的訪問控制數(shù)據(jù)222的表。如上面參考圖2 所述,訪問控制數(shù)據(jù)222位于計(jì)算節(jié)點(diǎn)110的存儲器中。訪問控制數(shù)據(jù)222包括與集合網(wǎng) 絡(luò)上創(chuàng)建的每個虛擬網(wǎng)絡(luò)關(guān)聯(lián)的數(shù)據(jù)。所述訪問控制數(shù)據(jù)包括類或虛擬網(wǎng)絡(luò)ID 610、專用 標(biāo)志612和可用性列表614。在圖6中所示的實(shí)例中,列出圖5中示出的三個虛擬網(wǎng)絡(luò)列表 的訪問控制數(shù)據(jù)。所述訪問控制數(shù)據(jù)包括三個網(wǎng)絡(luò)的虛擬網(wǎng)絡(luò)ID,即VNO 616、VN1618和 VN2 620。在此處所示的實(shí)例中,專用標(biāo)志622具有值“否”,這指示虛擬網(wǎng)絡(luò)Vm不是專用 網(wǎng)絡(luò)。由于該虛擬網(wǎng)絡(luò)不是專用網(wǎng)絡(luò),因此可用性列表624指示該網(wǎng)絡(luò)可用于“所有”應(yīng)用 或進(jìn)程。該表可包含任何適當(dāng)?shù)臄?shù)據(jù)以指示網(wǎng)絡(luò)可用于所有應(yīng)用。此外,專用標(biāo)志628具 有值“是”,這指示虛擬網(wǎng)絡(luò)VNl是專用網(wǎng)絡(luò)。由于該虛擬網(wǎng)絡(luò)是專用網(wǎng)絡(luò),因此可用性列 表630包含被授權(quán)訪問相應(yīng)虛擬專用網(wǎng)的那些進(jìn)程或應(yīng)用的進(jìn)程或應(yīng)用ID。所述進(jìn)程或應(yīng) 用ID是在多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)上執(zhí)行的進(jìn)程和應(yīng)用的某種類型的標(biāo)識符。備選地,應(yīng)用列表 630可以是指向包含被授權(quán)訪問虛擬專用網(wǎng)上的數(shù)據(jù)的一系列進(jìn)程或應(yīng)用的適當(dāng)數(shù)據(jù)結(jié)構(gòu) 的鏈接。圖7示出了用于在多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)上使用虛擬專用網(wǎng)提供數(shù)據(jù)空間保護(hù)的方 法700。方法700中的步驟優(yōu)選地由服務(wù)節(jié)點(diǎn)140中的訪問建立機(jī)制144(圖1)和計(jì)算節(jié) 點(diǎn)110中的訪問控制機(jī)制222(圖2)執(zhí)行。第一步是確定要保護(hù)的節(jié)點(diǎn)(步驟710)。由系 統(tǒng)管理員或由針對受保護(hù)的數(shù)據(jù)空間請求一組受保護(hù)的節(jié)點(diǎn)的應(yīng)用啟動程序確定受保護(hù) 的節(jié)點(diǎn)。下一步是建立虛擬專用網(wǎng)以保護(hù)所確定的節(jié)點(diǎn)(步驟720)。接下來,通過在節(jié)點(diǎn) 上運(yùn)行的系統(tǒng)內(nèi)核中的訪問控制機(jī)制為虛擬專用網(wǎng)中的節(jié)點(diǎn)提供保護(hù)(步驟730)。然后通 過對內(nèi)核的系統(tǒng)調(diào)用來允許應(yīng)用訪問虛擬專用網(wǎng)中受保護(hù)的節(jié)點(diǎn)(步驟740)。隨后所述方 法完成。圖8示出了用于通過大規(guī)模并行計(jì)算機(jī)系統(tǒng)上的內(nèi)核中的訪問控制機(jī)制為虛擬 專用網(wǎng)上的節(jié)點(diǎn)提供保護(hù)的方法730。方法730是方法700中步驟730的示例性實(shí)現(xiàn)。方 法730中的步驟優(yōu)選地由計(jì)算節(jié)點(diǎn)110中的訪問控制機(jī)制222 (圖2)執(zhí)行。在Blue Gene 中,通過消息處理接口(MPI)庫完成對集合網(wǎng)絡(luò)的存儲器訪問,所述庫使用具有到最終位 置的正確類路由信息路由的標(biāo)頭構(gòu)建分組。所述分組然后被復(fù)制到樹存儲地址以便在網(wǎng)絡(luò) 上廣播。方法730是訪問控制機(jī)制監(jiān)視該樹存儲地址以查看對受保護(hù)虛擬專用網(wǎng)的未授權(quán) 訪問的操作。訪問控制機(jī)制首先接收讀/寫分組(步驟810)。如果所述讀/寫分組的地址 不在受保護(hù)的存儲器空間(不在虛擬專用網(wǎng)內(nèi))內(nèi)(步驟820 =否),則訪問控制機(jī)制將允 許讀/寫繼續(xù)(步驟830)。所述方法隨后完成。如果所述讀/寫分組的地址在受保護(hù)的存 儲器空間(在虛擬專用網(wǎng)內(nèi))內(nèi)(步驟820 =是),則訪問控制機(jī)制將攔截讀/寫并生成失 敗指示(步驟840)。所述方法隨后完成。此處描述了用于在并行計(jì)算機(jī)系統(tǒng)上使用連接系統(tǒng)節(jié)點(diǎn)的虛擬網(wǎng)絡(luò)提供數(shù)據(jù)安 全性的裝置和方法。網(wǎng)絡(luò)訪問機(jī)制確定何時訪問受保護(hù)的虛擬網(wǎng)絡(luò)上的數(shù)據(jù)并攔截?cái)?shù)據(jù)訪問以有效地在多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)上提供數(shù)據(jù)空間安全性。 本領(lǐng)域的技術(shù)人員將理解,可以在權(quán)利要求的范圍之內(nèi)做出許多變型。因此,盡管 上面具體示出并描述了本披露,但是本領(lǐng)域的技術(shù)人員將理解,可以在不偏離權(quán)利要求范 圍的情況下做出這些和其他形式與細(xì)節(jié)上的更改。
權(quán)利要求
一種多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng),所述系統(tǒng)包括多個計(jì)算節(jié)點(diǎn),所述多個計(jì)算節(jié)點(diǎn)通過多個虛擬網(wǎng)絡(luò)相連,每個計(jì)算節(jié)點(diǎn)都包括處理器和存儲器;訪問建立機(jī)制,其配置所述計(jì)算節(jié)點(diǎn)上的訪問控制數(shù)據(jù)以指示所述多個虛擬網(wǎng)絡(luò)中的至少一個虛擬網(wǎng)絡(luò)為虛擬專用網(wǎng);以及訪問控制機(jī)制,其根據(jù)所述訪問控制數(shù)據(jù)來控制通過所述多個虛擬網(wǎng)絡(luò)對所述多個計(jì)算節(jié)點(diǎn)上的存儲器中的數(shù)據(jù)的訪問。
2.如權(quán)利要求1中所述的多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng),其中所述多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)為大規(guī)模并 行計(jì)算機(jī)系統(tǒng)。
3.如權(quán)利要求1中所述的多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng),其中所述訪問建立機(jī)制配置類路由表以 建立所述多個虛擬網(wǎng)絡(luò)。
4.如權(quán)利要求1中所述的多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng),其中從以下項(xiàng)選擇所述訪問控制數(shù)據(jù) 類標(biāo)識ID、指示所述類ID為專用的專用標(biāo)志,以及列出被授權(quán)訪問所述虛擬專用網(wǎng)的應(yīng)用 的可用性列表。
5.如權(quán)利要求1中所述的多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng),其中所述訪問控制機(jī)制位于所述計(jì)算節(jié) 點(diǎn)的系統(tǒng)內(nèi)核中并允許通過對所述系統(tǒng)內(nèi)核的系統(tǒng)調(diào)用來訪問被授權(quán)的應(yīng)用。
6.如權(quán)利要求1中所述的多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng),其中所述訪問控制機(jī)制攔截未被授權(quán)訪 問所述虛擬專用網(wǎng)上的數(shù)據(jù)的應(yīng)用的讀/寫操作并生成失敗指示。
7.如權(quán)利要求1中所述的多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng),其中所述多個計(jì)算節(jié)點(diǎn)布置在虛擬樹網(wǎng) 中并進(jìn)一步包括與所述樹網(wǎng)的頂部相連以允許所述計(jì)算節(jié)點(diǎn)與大規(guī)模并行計(jì)算機(jī)系統(tǒng)的 服務(wù)節(jié)點(diǎn)通信的I/O節(jié)點(diǎn)。
8.一種計(jì)算機(jī)實(shí)現(xiàn)的用于在多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)中使用虛擬網(wǎng)絡(luò)提供數(shù)據(jù)安全性的方 法,所述方法包括以下步驟確定要保護(hù)的節(jié)點(diǎn);通過配置計(jì)算節(jié)點(diǎn)上的訪問控制數(shù)據(jù)以指示多個虛擬網(wǎng)絡(luò)之一為虛擬專用網(wǎng)來建立 虛擬專用網(wǎng),從而使所確定的節(jié)點(diǎn)成為受保護(hù)的節(jié)點(diǎn);以及根據(jù)所述虛擬專用網(wǎng)上的節(jié)點(diǎn)內(nèi)的系統(tǒng)內(nèi)核中的所述訪問控制數(shù)據(jù),通過訪問控制機(jī) 制提供對所述節(jié)點(diǎn)的保護(hù)。
9.如權(quán)利要求8中所述的計(jì)算機(jī)實(shí)現(xiàn)的方法,其中所述多節(jié)點(diǎn)計(jì)算機(jī)系統(tǒng)為大規(guī)模并 行計(jì)算機(jī)系統(tǒng)。
10.如權(quán)利要求8中所述的計(jì)算機(jī)實(shí)現(xiàn)的方法,還包括以下步驟允許一個或多個應(yīng)用通過對所述系統(tǒng)內(nèi)核中的所述訪問控制機(jī)制的系統(tǒng)調(diào)用來訪問 受保護(hù)的節(jié)點(diǎn)。
11.如權(quán)利要求8中所述的計(jì)算機(jī)實(shí)現(xiàn)的方法,其中建立虛擬專用網(wǎng)的步驟包括配置 類路由表以建立所述多個虛擬網(wǎng)絡(luò)。
12.如權(quán)利要求8中所述的計(jì)算機(jī)實(shí)現(xiàn)的方法,其中從以下項(xiàng)選擇所述訪問控制數(shù)據(jù) 類標(biāo)識ID、指示所述類ID為專用的專用標(biāo)志,以及列出被授權(quán)訪問所述虛擬專用網(wǎng)的應(yīng)用 的可用性列表。
13.如權(quán)利要求8中所述的計(jì)算機(jī)實(shí)現(xiàn)的方法,其中所述訪問控制機(jī)制攔截未被授權(quán)訪問所述虛擬專用網(wǎng)上的數(shù)據(jù)的應(yīng)用的讀/寫操作并生成失敗指示。
14. 一種可加載到數(shù)字計(jì)算機(jī)的內(nèi)部存儲器中的包括軟件代碼部分的計(jì)算機(jī)程序產(chǎn) 品,當(dāng)所述產(chǎn)品在計(jì)算機(jī)上運(yùn)行時,所述軟件代碼部分用于執(zhí)行如權(quán)利要求8至13中所述 的發(fā)明。
全文摘要
一種方法和裝置,其使用虛擬專用網(wǎng)在并行計(jì)算機(jī)系統(tǒng)上提供數(shù)據(jù)安全性。訪問建立機(jī)制在節(jié)點(diǎn)中建立訪問控制數(shù)據(jù),所述訪問控制數(shù)據(jù)描述了保護(hù)哪些虛擬網(wǎng)絡(luò)以及哪些應(yīng)用有權(quán)訪問受保護(hù)的虛擬網(wǎng)絡(luò)。當(dāng)應(yīng)用訪問受保護(hù)的虛擬網(wǎng)絡(luò)上的數(shù)據(jù)時,網(wǎng)絡(luò)訪問機(jī)制確定數(shù)據(jù)受到保護(hù)并攔截?cái)?shù)據(jù)訪問。在內(nèi)核中的網(wǎng)絡(luò)訪問機(jī)制還可根據(jù)對虛擬網(wǎng)絡(luò)嘗試的訪問的種類來執(zhí)行規(guī)則??梢酝ㄟ^對內(nèi)核中的訪問控制機(jī)制的系統(tǒng)調(diào)用進(jìn)行對專用網(wǎng)絡(luò)的授權(quán)訪問。所述訪問控制機(jī)制通過訪問控制列表或其他安全策略實(shí)施有關(guān)可通過系統(tǒng)分發(fā)哪些數(shù)據(jù)的策略決策。
文檔編號G06F21/00GK101925907SQ200980102729
公開日2010年12月22日 申請日期2009年1月13日 優(yōu)先權(quán)日2008年1月23日
發(fā)明者A·彼得斯, A·西德尼克, B·E·史密斯, C·J·阿切爾, G·R·里卡德 申請人:國際商業(yè)機(jī)器公司