用于计算机网络上复制的存储设备的安全系统和方法

专利名称：用于计算机网络上复制的存储设备的安全系统和方法
技术领域：
本发明涉及但不限于网络存储技术、在线存储安全方法、复制的存储器系统以及负载均衡过程领域。
背景技术：
如图3中所示，存储设备已经从服务器的保护后面“急速地走到”与网络直接连接，而不是通过存储服务器与网络连接。在旧的网络存储方案中，存储服务器(34)在计算机网络(31)(如局域网(LAN)或因特网)上向一个或多个客户机系统(32、33)提供对一个或多个存储资源(35)的访问。在这一旧的安排中，存储服务器能为客户机实施访问存储资源的特权，或拒绝访问或修改在资源中存储的数据。
使用较新的网络存储设备，这些设备能直接与计算机网络(31)接口而无需存储服务器的干预性支持，客户机(32、33)现在可以在文件管理器(38)的极少量干预下访问驻留在网络存储设备(“NSD”)(36、37)上的数据。
然而，当由客户机访问这一数据时，仍需要提供适当的访问控制、保密性和数据完整性。即使硬件安排已经从旧的基于存储服务器的安排改进了，但保护企业数据、数据库、Web(万维网)对象和程序文件的需求没有改变。
此外，还需要限制由于破坏安全性造成的损坏的机制和过程。对于单个存储设备，这样的安全问题有些已经解决，如所有权、授权以及认证方案。然而，需要这样的在线存储系统，它们允许有效地从安全性破坏和硬件故障中恢复起来，还需要使这些存储设备具有高度的可用性和可伸缩性。
复制是一个众所周知的过程，用于在网络存储安排中提供快速数据恢复、高可用性、以及存储系统可伸缩性。复制包括建立和管理数据、文件及数据库的复制版本。这组复制品不仅在初始时从原件拷贝，而且连续地被同步以反映原件的当前状态。这样，利用图4的增强安排(40)中所示复制管理器(41)，对原始数据的修改或增加被“复制”到复制品中。
于是，在该图中，原始数据库可以存储在第一NSD(36)上，而复制品可以在第二NSD(37)上被管理。为使同时丢失原始和复制数据二者的最可能性最小，复制品通常被保存在地理上与原件分离的结构中，从而在一处的事件，如洪水、地震、断电等，将不会带走所有复制品。为达到高可用性，文件管理器(38)可以快速重新配置，以在这种事件之后使用复制品代替原件。
在这种安排中提供了可伸缩性，因为复制管理器(41)可以把原件的各部分分布到多个存储设备上，从而实现由多个存储设备上的多个部分组成的一个复制品。随着原始数据量的增长，也可以容易地以附加的存储设备来添加复制数据的增加部分。为了快速恢复某些(或全部)原始数据，复制管理器(41)可以把对数据的全部访问指向适当的复制部分。
如图5中所示，数据处理系统往往把数据组织成逻辑卷(51)。每个逻辑卷有一个或多个聚合器(52)，它们负责把一个或多个部分(54-59)组合起来。每个部分可以单独存储在一个存储设备(503)上，或者与其他部分一起存储在一个存储设备(501、502)上。一个“通过”层(500)提供硬件到软件的映射和接口，这样，从软件访问逻辑卷的角度看，不同类型存储设备(例如硬盘驱动器、RAM、高速缓存、可卸存储器、磁带等)出现在可同等访问和很好组织的逻辑卷中。复制系统，如众所周知的IBMLotus Notes产品，能很好地处置这种网络存储器安排内的复制。
现有安全系统允许受控制地访问和修改网络存储设备中的数据，或者是通过旧式安排中的存储服务器(34)，或者对直接连接的存储设备(36、37)在硬件(例如设备)级由所有权进行控制。这样，如果一个特定NSD的安全性被泄露，则整个NSD的数据可能丢失或受到破坏。
所以，在本领域需要一个进行安全系统复制的在线数据存储安排，它不易受设备级安全性破坏的影响，同时又保持这种复制的存储系统的高可用性、快速恢复和可伸缩性。

发明内容
我们已开发了一个系统和方法，用于向存储在复制网络存储设备上的存储分区提供访问安全性。每个分区伴有与文件管理器共享的多个密钥之一。文件管理器的作用是一个密钥管理器，向请求访问特定分区的客户机颁发凭证。所颁发的凭证包括要由该客户机访问的分区的网络地址。
该文件管理器能使一个原件分区无效，如果那个分区的安全性受到破坏的话，并开始把所有新的请求重定向到复制的、未受损害的分区，其作法是提供带有指向复制品地址的凭证以代替指向原件分区的地址。
当一个客户机向网络存储设备呈交一个凭证，在允许该客户机对地址指定的分区内数据进行请求的行动之前，该设备验证该凭证的有效性。这允许存储设备拒绝基于已过期或已放弃的密钥的凭证。如果一个密钥已过期或被放弃，则文件管理器和存储设备可以从可信来源得到新的密钥，或者使用专有的或“标准的”过程，如Diffie-Hellman过程相互地产生一个密钥。
在另一个实施例变体中，文件管理器在决定要把客户机定向到哪个复制品时可以考虑文件管理器和存储设备之间共享的密钥的截止时间。这样，文件管理器可以试图发布使用具有剩余最长可用有效期的密钥的那些凭证。
在我们的新系统和方法的增强型实施例中，文件管理器可以考虑已经发出的访问一个特定分区的凭证个数，并可以通过发布带有指向复制品分区的地址的凭证来把访问分布到复制品，从而向该结构安排提供负载平衡功能并增强系统性能和响应能力。
在另一个增强型实施例中，负载管理器与复制管理器合作，在检测到未授权用户入侵或请求访问一个分区时，可以隔离一个分区只供未授权用户使用并把所有来自被授权用户的请求重定向到其他复制品分区。这样便允许未授权用户的活动看起来是正常地进行，从而使系统管理员可以收集关于该用户及其活动的信息。在这一增强性实施例的一个变体中，未授权用户可以被定向到使用一个分区，它包含伪数据代替真正的复制品数据。在这一增强性实施例的又一个变体中，一个分区可被隔离开来供测试和开发使用，在新程序或服务的功能已被证实之后，重新允许把改变复制到被隔离的分区。
通过支持分区级的访问控制，避免了整个存储设备无效，因为在安全性破坏的情况中每个分区可能会单独变成无效。通过支持复制，使高可用性、可伸缩性以及快速数据恢复受到支持。我们的新系统和方法还实现了负载平衡、对未授权用户活动的强化系统管理员控制以及测试和开发活动等附加功能。


下文的详细描述结合这里呈现的附图将提供对本发明的完全的说明。
图1描绘一般性计算平台体系结构，如个人计算机、Web应用服务器计算机、企业服务器、个人数字助理、允许Web的无线电话、或其他基于处理器的设备。
图2显示伴随图1的一般性体系结构的软件和固件的一般性组织。
图3显示较新的结构安排，其中的存储设备能直接与计算机网络接口不需由存储服务器干预。
图4扩大了图3的结构安排以说明复制概念和功能。
图5提供存入各分区的数据组织和那些分区到实际存储设备的映射的图形表示。
图6显示密钥在文件管理器和网络存储设备之间的共享。
图7显示我们的在文件管理器和每个数据分区之间共享密钥的方法。
图8显示文件管理器、客户机、多个密钥及分区相互作用的高级视图。
图9提供在文件管理器、存储设备、客户机、可信密钥源、以及认证和授权引擎当中进行的过程的更详细展示。
具体实施例方式
优选地，我们的新系统和方法是作为在公知的计算平台(如个人计算机、Web应用服务器、企业服务器和Web浏览器)上已经存在的软件的一个特性或补充来实现的。这些通用的计算平台包括个人计算机以及便携式计算平台，如个人数字助理(“PDA”)、允许Web的无线电话，以及其他类型的个人信息管理(“PIM”)设备。
所以，考虑一下其实现范围的跨度可以从高端Web服务器或企业服务器平台到个人计算机再到便携式PDA或允许Web的无线电话的计算平台一般化体系结构是有用处的。
转到图1，图中显示一个一般化体系结构，包括中央处理单元(1)(“CPU”)，它通常由微处理器(2)伴随随机存取存储器(“RAM”)(4)和只读存储器(“ROM”)(5)构成。往往CPU(1)还具有高速缓存(3)和可编程闪速ROM(6)。微处理器(2)和各类CPU存储器之间的接口(7)往往称作“局部总线”，但也可以是更普通的或工业标准总线。
许多计算平台还具有一个或多个存储器驱动器(9)，如硬盘驱动器(“HDD”)、软盘驱动器、光盘驱动器(CD、CD-R、CD-RW、DVD、DVD-R)等，以及专有盘或带驱动器(如Iomega Zip[TM]和Jaz[TM]，AddonicsSuper Disk[TM]等)。此外，某些存储设备可以通过计算机网络访问。
根据计算平台的预期功能，许多计算平台还具有一个或多个通信接口(10)。例如，个人计算机往往具有高速串行端口(RS-232、RS-422等)、增强型并行端口(“EPP”)、以及一个或多个通用串行总线(“USB”)端口。该计算平台还可能具有局域网(“LAN”)接口，如Ethernet(以太网)卡，以及其他高速接口，如高性能串行总线IEEE-1394。
无线电话和无线网络PDA等计算平台还可能具有与天线的射频“RF”接口。在一些情况中，计算平台也可能具有红外线数据传输(IrDA)接口。
计算平台往往装备一个或多个内部扩展插槽(11)，如工业标准体系结构(“ISA”)、增强型工业标准体系结构(“EISA”)、外围部件互连(“PCI”)或专有接口插槽，用于增加其他硬件，如声卡、存储器卡以及图形加速器。
此外，许多单元，如膝上计算机和PDA具有一个或多个外部扩展插槽(12)，允许用户有能力容易地安装和卸掉硬件扩展设备，如PCMCIA卡，SmartMedia卡，以及各种专有模块，如可卸硬盘驱动器，CD驱动器和软盘驱动器。
存储器驱动器(9)、通信接口(10)、内部扩展插槽(11)以及外部扩展插槽(12)往往通过标准的或工业的开放总线体系结构(8)与CPU(1)互连，如ISA、EISA或PCI。在许多情况中，总线(8)可能是专有设计。
计算平台通常具有一个或多个用户输入设备，如键盘或小键(16)、鼠标器或定向设备(17)和/或触摸屏显示器(18)。在个人计算机的情况中，全尺寸键盘往往具有鼠标器或定向设备，如跟踪球或Track Point[TM]。在允许Web的无线电话的情况中，简单的小键盘可能具有一个或多个特殊功能键。在PDA的情况中，通常提供触摸屏(18)，往往带有手写识别能力。
此外，该计算平台还配备有送话器(19)，如允许Web的无线电话的送话器或个人计算机的送话器。这一送话器可以用于只是报告音频和声音信号，它还可以用于输入用户的选择，如使用语音识别进行网站的语音导航，或自动拨打电话号码。
许多计算平台还装备有摄像设备(100)，如静态数码相机或全运动视频数码摄像机。对于大多数计算机平台，还提供一个或多个用户输出设备，如显示器(13)。显示器(13)可以采取许多形式，包括阴极射线管(“CRT”)、薄膜晶体管(“TFT”)阵列或简单的一组发光二极管(“LED”)或液晶显示(“LCD”)指示器等。
计算平台还往往配备有一个或多个扬声器(14)和/或报警器(15)。扬声器(14)可以用于再生音频和音乐，如无线电话扬声器或个人计算机扬声器。报警器(15)可以采取简单的鸣笛声发生器或蜂鸣器的形式，这在某些设备如PDA和PIM上通常会看到。
这些用户输入和输出设备可以通过专用总线结构和/或接口直接与CPU(1)互连(8′，8″)，或者它们可以通过一个或多个工业开放式总线(如ISA、EISA、PCI等)互连。
计算平台还具有一个或多个软件和固件(101)程序以实现计算平台的希望功能。
转到图2，图中给出在这一范围的计算平台上软件和固件(101)的一般化组织的更详细情况。在计算平台上可以提供一个或多个操作系统(OS)本机应用程序(23)，诸如文字处理器、电子表格、联系管理工具程序、地址薄、日历、邮件客户机、演示、财会程序等。
此外，还可以提供一个或多个“可移植的”或不依赖设备的程序(24)，它们必须由OS本机的针对平台的解释器(25)来解释，如Java[TM]脚本和程序。
此外，计算平台往往具有某种形式的Web浏览器或微浏览器(26)，它们还可以包括一个或多个对浏览器的扩展，如浏览器插件(27)。
往往向计算设备提供一个操作系统(20)，如Microsoft Windows[TM]、UNIX、IBM OS/2[TM]、LINUX、MAC OS[TM]或其他针对平台的操作系统。较小的设备，如PDA和无线电话，可以装备其他形式的操作系统，如实时操作系统(“RTOS”)或掌上计算的PalmOS[TM]。
往往提供一组基本输入、输出功能(“BIOS”)和硬件设备驱动器(21)，以允许操作系统(20)和程序连接与控制由计算平台提供的特定硬件功能。
此外，通常许多计算平台具有一个或多个嵌入的固件程序(22)，它们由作为外围设备一部分的板上或“嵌入”的微处理器执行，这些外围设备如微控制器或硬驱动器、通信处理器、网络接口卡或声像卡。
这样，图1和图2在一般意义上描述了广泛种类的计算平台上的各种硬件部件、软件和固件程序，这些计算平台包括但不限于个人计算机、PDA、PIM、允许Web的电话以及其他设备，如Web TV[TM]单元。这样，我们把注意力转向对本发明的说明，它涉及优选地作为这样的计算平台上的软件和固件实现的过程和方法。本领域技术人员将容易理解，下述方法和过程可以代之以部分地或全部地作为硬件功能实现而不偏离本发明的精神和范围。
现在把我们的注意力转向对本发明方法及其相关部件的描述。在一个实施例中，它可以作为添加到现有的软件、插件或这类系统的其他可扩展手段上的一组协作软件产品，在文件管理器、网络存储设备以及客户计算机上执行。这些软件产品可以按“标准”的或专有的方式与本技术领域公知的其他系统交互作用，如存储复制管理器、计算机网络产品和硬件、认证和授权引擎以及可信密钥源。例如，本发明可以作为客户机系统上Netscape的Navigator Web浏览器的插件，作为对来自IBM的网络存储设备的固件扩展，作为对文件管理器(如IBM的WebSphere企业服务器产品)的软件扩展，作为对复制管理器产品(如IBM的Lotus Notes产品)的软件扩展来实现。这些扩展和插件可以进行专门的修改以适应于与认证和授权服务器产品(如WebSphere)协作，和使用通用的或专有的网络设施和协议在结构安排的各部件之间进行通信，这些协议如传输控制协议/因特网协议(“TCP/IP”)、数据加密标准(“DES”)、以太网和各种无线网络协议和标准。然而，应该认识到，这些只是用于实现本发明的适用和可用技术、协议和方法中的一小部分。
在我们的用于复制存储器结构安排的新的安全系统中，文件管理器和一个或多个网络存储设备共享密钥，尽管该文件管理器并不作为用于NSD的存储服务器(例如，它不是放置在存储设备和计算机网络之间)。
在如图6中所示的结构安排(60)中，请求访问存储设备(36)上一个对象的客户机(32、33)首先向文件管理器(38)发出请求。文件管理器(38)进行客户机认证(62)、授权(61)和访问检验，并向该客户机给予一个凭证，它由存储设备(36)和文件管理器(8)共享的密钥(63)加密。
然后，该客户机把这一请求发送给存储设备(36)，它在其后验证这个已经使用密钥(63)发送给它的请求。如果该密钥曾经是只与该存储设备关联的密钥，并且密钥(63)已经被泄漏了，那么在该存储设备上的数据也可能被泄漏，于是所给予的访问这一设备的访问凭证将被认为是无效的。
不是让一个密钥的泄漏造成整个存储设备的无效，我们的新方法和结构安排(70)使一组N个密钥(73)与存储设备(36)上的每个分区P1，P2，…，Pn(71)关联(72)。通过使用可信密钥源(74)的密钥建立过程或文件管理器与网络存储设备之间的相互密钥产生过程(如Diffie-Hellman过程或类似过程)，这些密钥与文件管理器(38)共享。每个文件管理器(38)可以与多个存储设备的多个分区共享密钥，尽管我们的附图只是显示了一个存储设备。利用这种结构安排和方法，如果由一文件管理器和一给定分区共享的一个密钥被泄漏了，安全性的破坏只限于那个分区，不会使对整个存储设备的访问变为无效。
每个共享密钥还能用于有效地使未完成的凭证无效。如果对大量对象的访问许可发生变化，则已由文件管理器给予的未完成的凭证可能在其后对该改变无效，以防止访问其访问许可已经改变的那些对象。这一无效是通过在文件管理器和该分区所在存储设备之间的产生新密钥来完成的。
我们的新的结构安排和过程支持高可用性和可伸缩性，这在于连到网络上的存储设备可被复制，如图8中所示(80)。文件管理器(82)使密钥(Key1，Key2，…Keyn)与每个原件分区(P1，P2，…，Pn)关联，以及使密钥(Key1′，Key2′，…Keyn)与复制品分区(P1′，P2′，…，Pn′)关联。一组或多组复制件可以与更多的密钥关联，尽管图8只显示了一组复制品分区和密钥。
在我们的方法的一些实施例中，复制品分区密钥和原件分区密钥的密钥值不同，尽管在其他实施例中它们可以相等，但在提供动态负载平衡能力方面有些降低(下文讨论)。
当文件管理器(82)向请求(84)访问一个分区(如P1)(如对该分区读或写数据)的客户机(83)给予凭证(85)时，所建立的凭证包括该客户机为访问该数据所必须去的原件分区(85)或复制品分区(85′)的地址。例如，在利用因特网协议(“IP”)的实施例中，凭证中提供的地址可以是被访问分区所在NSD的IP地址。由于复制分区通常与原件分区处在不同的NSD上，所以通常对原件分区和复制品分区使用(和给予)不同的IP地址。
通过在凭证中提供客户机被定向分区的地址，文件管理器可以使一个原件分区无效并可以把新的请求重定向到复制品分区，从而提供即时数据恢复和安全性追索。
它还允许文件管理器管理由容纳特性原件分区或复制品分区的特定设备服务的负载或请求量。当文件管理器发出新的凭证时考虑下列因素以提供负载平衡和使需要凭证刷新的次数减至最少(a)对特定分区未完成的凭证的总数，从而使负载分布在不同的复制品当中；以及(b)在决定该客户机要被定向到哪个复制品时该共享密钥的有效时段，这样文件管理器能避免因不及时处理造成的由于共享密钥过期而使凭证过期。
现在转到图9，图中更详细地显示客户机、文件服务器及网络存储设备之间的交互作用(90)。客户机(90)向文件管理器(82)提交访问特定分区Pn的请求(92)。该文件管理器可以局部地进行客户机认证和授权，例如使用被授权客户机行动的局部列表，或者以一个或多个认证和授权引擎(61、62)进行认证和授权操作(98)。
如果该用户被认证和授权进行在分区Pn上的请求活动，则文件管理器(82)根据复制品的安全有效性(例如哪个复制品仍然有效和未被泄漏)以及向每个复制品发出的凭证的未完成个数，确定该客户机使用哪个分区复制品(或原件)。然后，文件管理器组装一个凭证，其中包括容纳该客户机被定向的分区复制品(或原件分区)的NSD的地址。然后，这一凭证被返回(93)到客户机，它然后把该凭证转发(94)到被指定地址的容纳该分区复制品(或原件)Pn的NSD(91)。
该NSD周期性地与文件管理器进行校核，查看是否NSD存储的分区的任何密钥都已经被撤销。如果一个密钥尚未被撤销，则NSD对凭证的加密部分解密，并验证该凭证与客户机试图进行的访问相一致。如果该凭证仍然有效，而且试图进行的访问与该凭证一致，则NSD(91)允许该客户机(96)进行对分区Pn的访问或行动。
在验证(95)一个凭证的有效性时，如果NSD(91)确定在目标分区Pn和文件管理器之间共享的密钥已经过期或已被泄漏，则可进行一个过程建立新的共享密钥。
在先前的描述中，如果在验证(95)凭证时确定一个分区的安全性已被破坏，则该验证能被拒绝，这将导致NSD拒绝该客户机的访问，然后由客户机从文件管理器请求新的凭证。然后，文件管理器发出一个新的凭证，其地址指向所请求分区的未被泄漏的复制品。
在我们的过程的一个变体实施例中，能对未授权用户(如黑客)进行跟踪和控制，无需警告用户他们在受到检测，也不会在他们的初始访问过程中进一步泄漏数据。在这一变体中，如果确定一个用户正在试图访问一个他或她未被授权访问的分区，则访问可被允许到该分区的一个特定复制品。于是，其他被授权的用户将被定向到其他复制品，从而使未授权用户的分区被隔离。复制管理器还会被配置成不去复制被隔离分区内造成的改变。
然后，未授权用户将被允许看上去是正常地访问被隔离区，尽管系统管理员会被告警这一访问，从而他们能监视该用户的行动并试图定位该用户。通过避免公开拒绝访问该分区，未授权用户不知道他或她已被检测，可能会继续他或她预想的行动，从而给系统管理员以定位和识别该用户的机会。
在这一过程的另一变体中，其中一个分区已被隔离，供一未授权用户访问，该用户可以被重定向到一个含有“伪”的或假的据的看起来正常的分区。例如，如果一个未授权用户试图访问一个分区，该分区含有关于军事或政府运作的敏感数据，他或他可以被定位到一个非复制品分区，其中包含的数据看起来是正确的和真实的，但事实上是不正确的，从而向可能的“黑客”提供错误信息。
在这一变体的更传统的应用中，具有受限特权的某些用户可以被允许访问和修改一个分区的副本的内容，该分区是对用户操作隔离的分区。在对其他复制品分区复制他或她的改变时，系统管理员能观察和同意这些改变，从而使任何不希望的改变被封锁从而免于复制。这在许多场合会是有用的，如测试一个新的服务器应用的环境，该应用必须修改一个复制服务器的内容。该应用能在一个被隔离的分区(例如该数据库的一个被隔离的复制品)上执行，然后由管理员检验对数据库的改变。如果所有结果是可以接受的，则管理员能去掉被隔离分区上的复制块，而复制管理器将使该分区的所有其他副本同步到这一改变上。
尽管针对本发明一个或多个实施例的某些方面进行了详细描述，本领域技术人员将会理解，可以对所示实施例进行改变而不偏离本发明的范围，包括但不限于使用替代的编程方法，利用替代的计算机网络技术，使用公用/专用密钥对，密钥建立和共享协议等。所以，本发明的范围应由下列权利要求确定。
权利要求
1.一种在有至少一个原始数据分区和一个或多个复制数据分区而且每个分区存储在有网络地址的存储器中的一个复制网络存储器域中的方法，该方法包含使每个分区与一个密钥关联；在所述存储设备和一个文件管理器之间共享所述密钥；响应来自客户机的访问一个分区的请求，所述文件管理器选择该客户机定向的分区并发出一个由与选定分区关联的密钥加密的凭证，该凭证中包括存储选定分区的存储设备的网络地址；以及由所述客户机使用所述凭证访问所述选定分区。
2.如权利要求1提出的方法，其中所述访问所述选定分区的步骤进一步包含由所述存储设备验证所述凭证的有效性，并且只有当所述凭证被证实时才允许所述客户机访问。
3.如权利要求2中提出的方法，其中所述验证凭证的步骤进一步包含如果由客户机呈交的凭证被一个密钥加密，而该密钥遭到无效、过期或泄漏三种情况之一，则拒绝所述发请求客户机的访问。
4.如权利要求3中提出的方法，其中所述验证凭证的步骤进一步包含建立新的共享密钥。
5.如权利要求4中提出的方法，其中所述建立新的共享密钥的步骤包含进行Diffie-Hellman过程。
6.如权利要求1中提出的方法，其中所述选择客户机定向的分区的步骤包含在分区原件和复制品当中确定现有的负载水平，并选择负载最小的分区。
7.如权利要求1中提出的方法，其中所述选择客户机定向的分区的步骤包含选择一个有效的、未被泄漏的分区原件或复制品。
8.如权利要求1中提出的方法，其中所述选择客户机定向的分区的步骤包含检测由未授权或未认证用户试图对一分区的访问，并隔离一个分区供那个用户专用。
9.如权利要求1中提出的方法，其中所述选择客户机定向的分区的步骤包含检测由未授权或未认证用户试图对一分区的访问并选择一个分区，它不是所请求分区的原件或真实复制品。
10.如权利要求1中提出的方法，其中所述选择客户机定向的分区的步骤包含检测由指定的进行测试或开发的客户机请求的对一分区的访问，并隔离一个分区供那个用户专用。
11.如权利要求10中提出的方法，进一步包含一旦完成由所述进行测试或开发的客户机进行的访问便使所述被隔离分区与其复制品同步。
12.一种以软件编码的计算机可读介质，该软件用于有至少一个原始数据分区和一个或多个复制数据分区而且每个分区存储在具有网络地址的存储器中的一个复制网络存储器域中，该软件完成的步骤包含使每个分区与一个密钥关联；在所述存储设备和一个文件管理器之间共享所述密钥；响应来自客户机的访问一个分区的请求，所述文件管理器选择该客户机定向的分区并发出一个由与选定的分区关联的密钥加密的凭证，该凭证中包括存储选定分区的存储设备的网络地址；以及由所述客户机使用所述凭证访问所述选定分区。
13.如权利要求12中提出的介质，其中用于访问所述选定分区的所述软件进一步包含软件用于由所述存储设备验证所述凭证的有效性并且只有当所述凭证被证实时才允许所述客户机访问。
14.如权利要求13中提出的介质，其中用于验证凭证的所述软件进一步包含软件用于如果由客户机呈交的凭证被一个密钥加密，而该密钥遭遇到无效、过期或泄漏三种情况之一，则拒绝所述发请求客户机的访问。
15.如权利要求14中提出的介质，其中用于验证凭证的所述软件进一步包含用于建立新的共享密钥的软件。
16.如权利要求15中提出的介质，其中用于建立新的共享密钥的所述软件包含用于进行Diffie-Hellman过程的软件。
17.如权利要求12中提出的介质，其中用于选择客户机定向的分区的所述软件包含用于在分区原件和复制品当中确定现有的负载水平并选择负载最小的分区的软件。
18.如权利要求12中提出的介质，其中用于选择客户机定向的分区的所述软件包含用于选择一个有效的、未被泄漏的分区原件或复制品的软件。
19.如权利要求12中提出的介质，其中用于选择客户机定向的分区的所述软件包含用于检测由未授权或未认证用户试图对一分区的访问，并隔离一个分区供那个用户专用的软件。
20.如权利要求12中提出的介质，其中用于选择客户机定向的分区的所述软件包含用于检测由未授权或未认证用户试图对一分区的访问并选择一个分区，它不是所请求分区的原件或真实复制品的软件。
21.如权利要求12中提出的介质，其中用于选择客户机定向的分区的所述软件包含用于检测由指定的进行测试或开发的客户机请求的对一分区的访问，并隔离一个分区供那个用户专用的软件。
22.如权利要求21中提出的介质，进一步包含一旦完成由所述进行测试或开发的客户机进行的访问便使所述被隔离分区与其复制品同步。
23.一种在有至少一个原始数据分区和一个或多个复制数据分区而且每个分区存储在具有网络地址的存储器中的一个复制网络存储器域中的安全系统，该系统包含与每个分区关联的密钥，每个密钥在文件管理器和存储一分区的存储设备之间共享；可由文件管理器操作的分区选择器，用于响应来自客户机的访问一个分区的请求，选择客户机定向的原件或复制品分区；凭证生成器和发送器，被配置成建立由选定分区的存储设备和文件管理器共享的密钥加密的凭证，所述凭证包括与存储选定分区的存储装置对应的网络地址；以及分区访问控制器，适于接收来自请求访问一分区的客户机的所述已发出的凭证，评估用于签署该凭证的密钥的有效性和允许由发请求的客户机对所请求分区的访问操作。
24.如权利要求23中提出的系统，其中所述访问控制器包含凭证有效性保持器，被配置成与所述文件管理器确定密钥的有效性。
25.如权利要求23中提出的系统，其中所述分区访问控制器进一步包含密钥建立器，被配置成获取一个与一分区关联的在存储设备和文件管理器之间共享的新的密钥。
26.如权利要求25中提出的系统，其中所述密钥建立器适于进行Diffie-Hellman过程。
27.如权利要求23中提出的系统，其中所述分区选择器包含负载确定器，用于确定分区原件和复制品当中的现有负载水平，以及最小负载分区选择器。
28.如权利要求23中提出的系统，其中所述分区选择器进一步适用于检测由未授权或未认证用户试图对一分区的访问并隔离一个分区供那个用户专用。
29.如权利要求23中提出的系统，其中所述分区选择器进一步适用于检测由未授权或未认证用户试图对一分区的访问并选择一个分区，它不是所请求分区的原件或真实复制品。
30.如权利要求23中提出的系统，其中所述分区选择器适用于检测由指定进行测试和开发的客户机提出的访问一分区的请求并隔离一个分区供那个用户专用。
31.如权利要求30中提出的系统，进一步包含一个分区复制品同步器，用于一旦完成由所述进行测试或开发的客户机进行的访问便使所述被隔离分区与其复制品同步。
全文摘要
本发明提供一种用于计算机网络上复制的存储设备的安全系统和方法。通过把网络存储设备的复制存储器域内的每个数据分区与多个与文件管理器共享的多个密钥之一相关联，由文件管理器向对一分区发出访问请求的客户机发出一个凭证。该凭证包括该客户机的行动定向的分区的网络地址。存储设备周期性地与文件管理器确认共享密钥的有效性。通过应用于发布凭证和确定每个凭证中包括的分区地址的逻辑过程和评估，该文件管理器可以使分区单个地无效，在对原件和复制品分区的访问之间提供负载平衡，以及提供安全功能，如隔离由未授权用户访问的分区和跟踪未授权用户，或者用于测试目的。
文档编号G06F21/00GK1487423SQ0315386
公开日2004年4月7日 申请日期2003年8月25日 优先权日2002年9月30日
发明者K·K·耶莱佩迪, K K 耶莱佩迪 申请人:国际商业机器公司