促成对等覆盖网络中的数据访问控制的制作方法

文档序号:7990211阅读:202来源:国知局
促成对等覆盖网络中的数据访问控制的制作方法
【专利摘要】提供了用于促成对等或其他类似覆盖网络中的数据访问控制的方法和装置。存储数据对象的对等节点可接收对所存储的数据对象的访问请求,并且可使用该数据对象中包括的路由机制来在该网络中定位与该数据对象相关联的访问控制列表。该对等节点可基于访问控制列表来确定所请求的访问是否被授权,并且可基于该确定来准许或拒绝访问。存储访问控制列表的对等节点可从存储数据对象的对等节点接收对与关联于该数据对象的访问控制有关的信息的请求。存储访问控制列表的对等节点随后可发送所请求的与关联于该数据对象的访问控制有关的信息。
【专利说明】促成対等覆盖网络中的数据访问控制
【背景技术】
[0001]领域
[0002]本文公开的各特征一般涉及对等覆盖网络,并且至少ー些特征涉及用于促成对等覆盖网络中的数据访问控制的设备和方法。
[0003]背景
[0004]对等(g卩,P2P)和其他类似覆盖网络包括在各对等体之间划分任务或工作负载的分布式应用架构。这样的对等覆盖网络可被构建在底层网络(诸如利用网际协议(IP)的网络)之上。
[0005]一般而言,对等体是应用中特权相同的、均等的參与者,并且通常被称为形成对等节点网络。各对等节点彼此协作以提供服务并维护该网络。对等节点通常使得它们的资源(诸如处理能力、盘存储或网络带宽)的一部分直接可供其他网络參与者使用,而无需服务器或稳定主机的集中协调。一般而言,对等节点既是资源的提供者又是资源的消费者,这与只有服务器提供而客户机消费的传统客户机-服务器模型形成对比。
[0006]对等网络和类似网络可出于应用的低成本可伸縮性和易于部署而被用于许多环境中。例如,在家庭环境中,多个节点可在对等网络中连接在一起,诸如计算机、电视机、蜂窝电话、打印机或具有用于传达和共享数据的网络接ロ能力的其他设备。通常,这样的网络是相对开放的,从而允许各设备(即,节点)随意加入和离开。在这样的网络的一些实现中,用户的数据可按分布式方式存储在该网络中的远程节点上,这对用户而言可以是已知或未知的。结果,一些用户可能不完全信任该覆盖的数据存储能力,除非能保证用户的数据将不会以未授权方式被访问(例如,读和/或修改)。数据所有者因而可能能够指定定义谁能访问所存储的数据对象的访问控制。
[0007]因为没有服务器或稳定主机的集中协调来促成集中式地实现的访问控制列表,所以常规对等覆盖网络中的每ー数据对象可包含它自己的相应访问控制列表,其指示该特定数据对象的访问控制策略。访问控制列表被附到每一数据对象(例如,文件)以指定该相应数据对象的访问信息。然而,在每ー数据对象具有它自己的访问控制列表的情况下,存储开销相对很大。另外,因为访问控制列表増加了数据对象的大小,所以在各对等节点之间传送该数据对象所需的带宽增加了。因此,需要用于促成对于不由服务器或稳定主机集中式地协调的对等覆盖网络和类似覆盖网络中的数据对象的访问控制的系统、设备和/或方法。
[0008]概述
[0009]各特征提供用于促成对于对等覆盖网络中的数据对象的访问控制的对等节点。一个特征提供在其中存储数据对象的对等节点。这样的对等节点可包括各自耦合到处理电路的通信接口和存储介质。通信接ロ适于促成在对等覆盖网络上的通信。存储介质可包括存储在其中的数据对象,其中该数据对象包括适于用来在该对等覆盖网络中定位与该数据对象相关联的访问控制列表的路由机制。
[0010]根据各实现,处理电路可适于从发出请求的对等节点接收访问存储介质中的数据对象的请求。处理电路可以使用随数据对象包括的路由机制来定位对等覆盖网络中的访问控制列表,并且可基于该访问控制列表来确定发出请求的对等节点所请求的访问是否被授权。基于访问控制列表是否授权所请求的访问,处理电路可向发出请求的对等节点准许或拒绝对数据对象的访问。
[0011]根据ー特征,还提供了在接入終端中操作的用于促成对于对等覆盖网络中的数据对象的访问控制的方法。例如,数据对象可被存储在存储介质中。该数据对象可包括适于在该对等覆盖网络内定位与该数据对象相关联的访问控制列表的路由机制。可从发出请求的对等节点接收访问所存储的数据对象的请求。对等节点随后可以使用随数据对象包括的路由机制来定位对等覆盖网络中的访问控制列表,并且可基于该访问控制列表来确定发出请求的对等节点所请求的访问是否被授权。可基于访问控制列表是否授权所请求的访问来向发出请求的对等节点准许或拒绝对该数据对象的访问。
[0012]附加特征提供存储适于促成对于对等覆盖网络中数据对象的访问控制的访问控制列表的对等节点。这样的对等节点可包括各自耦合到处理电路的通信接口和存储介质。通信接ロ可适于促成在对等覆盖网络上的通信。存储介质可包括存储在其中的访问控制列表,其中该访问控制列表适于指示对至少一个相关联的数据对象的访问控制。
[0013]处理电路可适于从存储与该访问控制列表相关联的数据对象的对等节点接收第一传输。该第一传输可包括对与关联于该数据对象的访问控制有关的信息的请求。例如,该第一传输可包括对访问控制列表的请求或请求关于发出请求的对等节点所请求的对数据对象的访问是否被授权的指示的查询。处理电路随后可响应于第一传输来向存储数据对象的对等节点发送第二传输。该第二传输可包括所请求的与关联于该数据对象的访问控制有关的信息。
[0014]根据ー特征,还提供了在接入終端中操作的用于促成对于对等覆盖网络中的数据对象的访问控制的方法。例如,访问控制列表可被存储在存储介质中。访问控制列表可适于指示对至少一个相关联的数据对象的访问控制。可从存储与该访问控制列表相关联的数据对象的对等节点接收第一传输。该第一传输可包括对与关联于该数据对象的访问控制有关的信息的请求。此外,可响应于该第一传输向存储该数据对象的对等节点发送第二传输。该第二传输可包括所请求的与关联于该数据对象的访问控制有关的信息。
[0015]附图简述
[0016]图1是示出包括没有被服务器或稳定主机集中式地协调的覆盖网络的网络的框图,其中数据对象可存储在该覆盖网络的各节点之间。
[0017]图2示出了用于促成对已存储在没有被服务器或稳定主机集中式地协调的覆盖网络中的数据对象的访问控制的网络环境。
[0018]图3是示出用于促成对存储在对等或类似覆盖网络中的数据对象的访问控制的至少ー些步骤的示例的流程图。
[0019]图4是示出根据至少一个实现的对等节点的组件选集的框图。
[0020]图5是示出在存储数据对象的对等节点上操作的用于促成对于对等覆盖网络中所存储的数据对象的访问控制的方法的至少ー个实现的示例的流程图。
[0021]图6是示出在存储访问控制列表(ACL)的对等节点上操作的用于促成对存储在对等覆盖网络中的数据对象的访问控制的方法的至少ー个实现的示例的流程图。
[0022]详细描述[0023]在以下描述中,给出了具体细节以提供对所描述的实现的透彻理解。然而,本领域普通技术人员将理解,没有这些具体细节也可实践各种实现。例如,电路可能以框图形式示出,以免使这些实现湮没在不必要的细节中。在其他实例中,公知的电路、结构和技术可能被详细示出以免湮没所描述的实现。
[0024]措辞“示例性”在本文中用于表示“用作示例、实例或解说”。本文中描述为“示例性”的任何实现或实施例不必被解释为优于或胜过其他实施例或实现。同样,术语“实施例”并不要求所有实施例都包括所讨论的特征、优点、或工作模式。本文中使用的术语“对等覆盖网络”和“对等节点” g在被宽泛地解释。例如,“对等覆盖网络”可以指没有被服务器或稳定主机集中式地协调的且包括在各对等体之间划分任务或工作负载的分布式应用架构的覆盖网络。此外,“对等节点”可以指促成对等覆盖网络上的通信的设备。“对等节点”的示例可包括打印机、平板计算机、电视机、移动电话、个人数字助理、个人媒体播放器、膝上型计算机、笔记本计算机、台式计算机等。
[0025]综览
[0026]一个特征促成对存储在对等覆盖网络中的数据对象的访问控制。对于对等覆盖网络中存储的需要访问控制的每ー数据对象,向其添加路由机制。此路由机制指定访问控制列表(ACL)在对等覆盖网络中的位置,该访问控制列表指定该数据对象的访问策略。该数据对象(包括路由机制)随后被存储在对等覆盖网络中,并且最終可被存储在各对等节点之一上。稍后,在另ー对等节点请求访问该数据对象吋,存储该数据对象的对等节点将使用该数据对象中的路由机制来从对等覆盖网络中检索与访问控制列表(ACL )所指定的访问策略有关的信息。存储该数据对象的对等节点可认证请求访问该数据对象的对等节点的身份,并且可确定发出请求的对等节点的身份是否被允许执行所请求类型的访问。如果根据访问控制列表(ACL)该访问是允许的,则存储该数据对象的对等节点可准许访问。如果根据访问控制列表(ACL)该访问是不允许的,则存储该数据对象的对等节点可拒绝访问。
[0027]示例性网络环境
[0028]图1是示出包括没有被服务器或稳定主机集中式地协调的覆盖网络的网络100的框图,其中数据对象可存储在该覆盖网络的各节点之间。覆盖网络可包括构建在另ー网络之上的对等覆盖网络102。在一些示例中,对等覆盖网络102可被实现成在通信协议栈的最高层(例如,应用层)进行操作。这样的对等覆盖网络102可利用任何类型的底层网络(诸如网际协议网络)以允许覆盖网络102上的多个对等节点104A-104F彼此通信。底层网络可包括任何数量的网络类型,诸如广域网(WAN)、局域网(LAN)、无线网络(例如,WffAN, WLAN)和/或任何其他类型的网络。
[0029]对等节点104A-104F可包括适于经由对等覆盖网络102通信的任何设备。这样的设备可包括适于促成经由对等覆盖网络102的通信的中间件层。作为示例而非限定,对等节点可包括诸如打印机104A、平板计算机104B、电视机104C、移动电话、个人数字助理、以及个人媒体播放器104D、膝上型和笔记本计算机104E、和/或台式计算机104F之类的设备。
[0030]采用对等覆盖网络102,对等节点104A-104F中的每ー个能够与其他对等节点104A-104F进行通信,而无需服务器或稳定主机的集中协调。例如,对等节点104A-104F中的每ー个可使它们的资源(例如,处理能力、盘存储、网络带宽)的一部分可供其他对等节点使用,并且可利用另ー对等节点的资源的一部分,而无需服务器或稳定主机来进行集中协调。在至少ー些实现中,对等节点104A-104F中的至少ー些可以将数据对象存储在对等覆盖网络102中。当数据对象被存储在对等覆盖网络102中时,采用与该数据对象相关联的标识符来在需要访问该数据对象时在对等网络中定位该数据对象。随后通过将该数据对象存储在其他对等节点104A-104F之一处来将该数据对象存储在对等覆盖网络102内。使用例如分布式散列表(DHT),对等覆盖网络可以采用对象的标识符来将消息和请求路由到正确的对等节点。
[0031 ] 在示例性网络环境中促成访问控制
[0032]根据ー特征,数据对象的所有者可以指定对存储在对等网络覆盖102中的该数据对象的访问控制。即,对等节点104A-104F和/或它的用户可以指定什么其他对等节点和/或其他用户被授权访问其已存储在对等覆盖网络102中的数据对象。图2示出了用于促成对已存储在没有被服务器或稳定主机集中式地协调的覆盖网络(诸如对等覆盖网络102)中的数据对象的访问控制的网络环境。当数据对象被存储在对等覆盖网络102中时,它可最终被存储在对等节点202 (它在图2中被标识为存储该数据对象的对等节点)上。
[0033]根据ー特征,与该数据对象相关联的访问控制列表(ACL)被存储在对等覆盖网络102中作为独立于所存储的数据对象的分开的数据对象。如图2的示例中所示,访问控制列表(ACL)可被存储在对等节点204处,它被示为存储ACL的对等节点。在一些实现中,存储ACL的对等节点204不是集中式节点或指定的管理节点。即,存储ACL的对等节点204不担当可存储所有访问控制列表(ACL)的集中式节点,并且不被实现成存储与对等覆盖网络102中的所有数据对象相关联的访问控制列表(ACL)。相反,与对等覆盖网络102中的多个不同的数据对象相关联的多个访问控制列表(ACL)可被存储在对等覆盖网络102内的多个不同的对等节点处。因而,不同的对等节点可以储存与不同的数据对象相关联的ACL。应当注意,在一些实现中,存储数据对象的对等节点202和存储ACL的对等节点204可以是同一对等节点,但该数据对象和访问控制列表(ACL)是作为分开的对象来存储的。參考图1中示出的网络100,对等节点104A-104F中的任一个可构成存储数据对象的对等节点202和/或存储ACL的对等节点204。在一些情况下,对等节点104A-104F中的两个或更多个可被用来存储与对等覆盖网络102中的不同的数据对象相关联的不同的相应访问控制列表(ACL),从而造成该两个或更多个对等节点104A-104F中的姆ー个构成了存储ACL的对等节点204。
[0034]访问控制列表(ACL)适于指定对存储在对等节点202处的数据对象的访问策略。根据至少一些实现,对等覆盖网络102可以指定访问控制列表(ACL)的格式,使得对等覆盖网络102上的每ー对等节点的中间件能理解所指定的格式。访问控制列表(ACL)可以指定对等覆盖网络102中的对等节点、用户和/或用户群是否能获得某ー类型的访问(例如,读、读/写)。
[0035]仍然參考图2,具有某种形式的访问控制并且存储在对等节点202处的数据对象包括路由机制(诸如位置指示符),其指示在对等覆盖网络102中如何和/或在何处寻找访问控制列表(ACL)。根据至少ー些实现,随该数据对象包括的路由机制可包括已随该数据对象包括的统ー资源标识符(URI),以用于在对等覆盖网络102中定位相关联的访问控制列表(ACL)。
[0036]一个或多个对等节点随后可请求经由对等覆盖网络102访问所存储的数据对象。这样的对等节点在图2中被示为发出请求的对等节点206。使用与该数据对象相关联的标识符,对等覆盖网络102将该请求定向或路由到存储该数据对象的对等节点202。在至少ー些实现中,对等覆盖网络采用分布式散列表(DHT)来发现具有相关联标识符的数据对象位于覆盖网络的何处。如本文所使用的,访问请求可包括对各级访问之ー的请求,包括但不限于读访问或读/修改访问(即读/写访问)。
[0037]—般而言,在发出请求的对等节点206发送对数据对象的访问请求吋,存储该数据对象的对等节点202可以采用随所存储的数据对象包括的路由机制来确定相关联的访问控制列表的位置。存储对等节点202可以向存储该ACL的对等节点204发送请求以获得访问控制列表和/或该访问控制列表指示发出请求的对等节点206被授权根据所请求的访问级别(例如,读访问、读/写访问)来访问该数据对象的验证。
[0038]例如,如果该数据对象包括存储在对等覆盖网络102中的文档,则发出请求的对等节点206可请求从该对等网络访问该文档(例如,读或读/写)。存储该文档的对等节点202可以采用已被添加到该文档的路由机制来发送对与该文档相关联的访问控制列表(ACL)的访问请求。在一些实现中,对等节点202可从存储访问控制列表(ACL)的对等节点204获得访问控制列表(ACL)的副本,并可确定该访问控制列表(ACL)是否指示发出请求的对等节点206被授权如所请求的那样读或修改该文档。
[0039]转向图3,示出了解说用于促成对存储在对等或类似覆盖网络中的数据对象的访问控制的至少ー些步骤的示例的流程图。在该示例中,图2的存储数据对象的对等节点202、存储ACL的对等节点204、以及发出请求的对等节点206被用于说明目的。最初,在步骤302,对等节点202可接收并存储某ー其他对等节点已存储在对等覆盖网络中的数据对象。在该示例中,对数据对象的访问可限于对等覆盖网络中的ー个或多个对等节点。因此,在对等节点204处接收并存储与所存储的数据对象相关联的访问控制列表(ACL),如在步骤304处所示。
[0040]在步骤306,发出请求的对等节点206可请求经由对等覆盖网络访问该数据对象,该请求被覆盖网络定向到或路由到存储该数据对象的对等节点202。。在接收到该请求之后,存储该数据对象的对等节点202可在步骤308认证发出请求的对等节点206的身份。这样的认证可包括用于认证在通信网络中与另ー设备通信的设备的任何常规手段,并且可由存储该数据对象的对等节点202或对等覆盖网络中的另ー对等节点来执行。作为示例而非限制,可以使用常规数字签名认证、质询-响应认证等来认证发出请求的对等节点206。
[0041]在存储该数据对象的对等节点202认证了发出请求的对等节点206之后,存储该数据对象的对等节点202可以检索所请求的数据对象,并且在步骤310,可根据该数据对象确定如何和/或在何处寻找与该数据对象相关联的访问控制列表(ACL)。例如,该数据对象可包括路由机制(诸如位置指示符),其指示在对等覆盖网络中如何和/或在何处寻找访问控制列表(ACL)。如上所述,随该数据对象包括的路由机制可包括能用于在对等覆盖网络内定位相关联的访问控制列表(ACL)的统ー资源标识符(URI)。根据至少一个实现,对等覆盖网络可适于采用ー个或多个分布式散列表(DHT)来路由给定路由机制(例如,URI)的消息和请求。
[0042]在步骤312,存储该数据对象的对等节点202可以经由对等覆盖网络发送请求以获得访问控制列表(ACL)或至少其副本。在步骤314,存储访问控制列表(ACL)的对等节点204可检索访问控制列表(ACL)并可将它(或其副本)发送给存储数据对象的对等节点202。
[0043]在步骤316,存储数据对象的对等节点202接收访问控制列表(ACL)并确定该访问控制列表(ACL)是否授权发出请求的对等节点206如所请求地那样访问该数据对象。如果访问控制列表(ACL)指示发出请求的对等节点206被授权如所请求地那样访问该数据对象,则在318,存储该数据对象的对等节点202可准许该请求。然而,如果访问控制列表(ACL)指示发出请求的对等节点206未被授权如所请求地那样访问该数据对象,贝U在318,存储该数据对象的对等节点202可拒绝该请求。
[0044]注意,图3所示出的实现包括存储数据对象的对等节点202通过获得访问控制列表(ACL)或其副本并使用该访问控制列表(ACL)确定发出请求的对等节点206是否被授权访问该数据对象,来直接确定所请求的访问是否被授权。然而,注意,在各替换实现中,存储数据对象的对等节点202可通过从另一对等节点接收关于访问控制列表是否授权所请求的访问的指示,来间接确定所请求的访问是否被授权。例如,另ー对等节点可被用来标识访问控制列表(ACL)是否指示发出请求的对等节点206被授权访问该数据对象,并且可将结果传达给存储该数据对象的对等节点202。
[0045]例如,在一些实现中,存储访问控制列表(ACL)的对等节点204可以标识访问控制列表(ACL)是否向发出请求的对等节点206准许所请求的访问,并且可向对等节点202发送关于该访问是否被允许的指示。在其他实现中,存储数据对象的对等节点202或存储访问控制列表(ACL)的对等节点可采用对等覆盖网络中的另ー对等节点来标识访问控制列表(ACL)是否向发出请求的对等节点206准许所请求的访问。根据各实现中的任一个实现,存储数据对象的对等节点202可根据如直接确定的或如另ー对等节点所报告的、由访问控制列表(ACL)所指示的授权访问来准许或拒绝所请求的访问。
[0046]示例性对等节点
[0047]图4是示出根据至少一个实现的对等节点400的组件选集的框图。对等节点400可包括耦合至通信接ロ 404和存储介质406的处理电路402。
[0048]处理电路402被安排成获得、处理和/或发送数据,控制数据访问和存储,发布命令,以及控制其他期望操作。在至少ー个实施例中,处理电路402可包括被配置成实现由适当的介质提供的期望编程的电路系统。例如,处理电路402可被实现为处理器、控制器、多个处理器和/或被配置成执行包括例如软件和/或固件指令在内的可执行指令的其他结构、和/或硬件电路系统中的一者或多者。处理电路402的实施例可包括被设计成执行本文中所描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑组件、分立的门或晶体管逻辑、分立的硬件组件、或其任何组合。通用处理器可以是微处理器,但在替换方案中,处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以实现为计算组件的组合,诸如DSP与微处理器的组合、数个微处理器、与DSP核心协作的ー个或更多个微处理器、或任何其他此类配置。处理电路402的这些示例是为了解说,并且还设想了落在本公开范围内的其他合适的配置。
[0049]通信接ロ 404被配置成促成对等节点400的无线和/或有线通信。例如,通信接ロ404可被配置成与对等覆盖网络`中的其他对等节点进行信息的双向通信。通信接ロ 404可耦合到天线并且可包括无线收发机电路,包括用于与对等覆盖网络进行无线通信的至少ー个发射机408和/或至少ー个接收机410(例如,一个或多个发射机/接收机链),和/或可包括网络接ロ卡(NIC)、串行或并行连接、通用串行总线(USB )接ロ、火线接ロ、Thunderbolt(雷电)接ロ、或用干与公共和/或私有网络进行通信的任何其他合适的安排。
[0050]存储介质406可表示用于存储诸如处理器可执行代码或指令(例如,软件、固件)、电子数据、数据库、或其他数字信息之类的编程和/或数据的ー个或更多个设备。存储介质406可以是能被通用或专用处理器访问的任何可用介质。作为示例而非限定,存储介质406可包括只读存储器(例如,ROM、EPROM、EEPROM),随机存取存储器(RAM)、磁盘存储介质、光存储介质、闪存设备、和/或其他用于存储信息的非瞬态计算机可读介质。存储介质406可被耦合至处理电路402以使得处理电路402能从/向存储介质406读取信息和写入信息。在替换方案中,存储介质406可被整合到处理电路402。
[0051]根据对等节点400的一个或多个特征,处理电路402可适于执行与上文參照图1-3描述的各种对等节点(例如,对等节点104A-104F、202、204和/或206)有关的任何或所有过程、功能、步骤和/或例程。如本文中所使用的,与处理电路402相关的术语“适干”可以是指处理电路402被进行了配置、采用、实现、或编程中的一个或多个以执行根据各种特征的特定过程、功能、步骤和/或例程。
[0052]图5是示出在存储数据对象的对等节点(诸如对等节点400)上操作的用于促成对于对等覆盖网络(例如,图1和2中的网络102)中所存储的数据对象的访问控制的方法的至少ー个实现的示例的流程图。參考图4和5两者,在步骤502,数据对象可被接收并存储。例如,处理电路402可经由通信接ロ 404从对等覆盖网络接收数据对象,并且可将接收到的数据对象存储在存储介质406中。该数据对象包括适于被用来在对等覆盖网络中定位相关联的访问控制列表的路由机制。这样的路由机制适于定位相关联的访问控制列表而不依赖于集中式服务器或稳定主机。作为示例而非限制,路由机制可包括统ー资源标识符(URI)。
[0053]在步骤504,对等节点400可从发出请求的对等节点接收对所存储的数据对象的访问请求。例如,处理电路402可经由通信接ロ 404接收对等覆盖网络上的通信,该通信可请求访问(例如,读访问、读/写访问)存储在存储介质406中的数据对象。在至少ー些实现中,处理电路402可适于使用任何常规认证算法来认证发出请求的对等节点。
[0054]在步骤506,对等节点400可使用随所存储的数据对象包括的路由机制来定位访问控制列表(ACL)。例如,处理电路402可从存储介质406检索该数据对象,并且可标识随该数据对象包括的路由机制数据。使用该路由机制数据,处理电路402可在对等覆盖网络中定位相关联的访问控制列表(ACL)。例如,路由机制数据可以指定该访问控制列表的位置(例如,地址),处理电路402可向该位置发送用于获得访问控制列表(ACL)的消息。在另一示例中,路由机制数据可以指定该访问控制列表(ACL)在对等覆盖网络中的身份(例如,名称),并且处理电路402可使用所指定的身份在对等覆盖网络上发送对该访问控制列表(ACL)的请求。
[0055]在定位到相关联的访问控制列表(ACL)后,在步骤508,对等节点400可以基于该相关联的访问控制列表(ACL)确定发出请求的对等节点所请求的访问是否被授权。在至少ー个实现中,对等节点400可获得访问控制列表(ACL)或其副本,并确定该访问控制列表(ACL)是否指示所请求的访问被授权给发出请求的对等节点。例如,处理电路可以使用通信接ロ 404通过对等覆盖网络`发送对访问控制列表(ACL)的请求。响应于该请求,处理电路402可经由通信接ロ 404接收访问控制列表(ACL)或其副本。在接收到访问控制列表(ACL)后,处理电路可分析接收到的访问控制列表(ACL)以确定它是否指示发出请求的对等节点被授权如所请求地那样访问该数据对象。
[0056]在至少ー些实现中,对等节点400可在从对等覆盖网络获得了与所存储的数据对象相关联的访问控制列表(ACL)之后,将该访问控制列表(ACL)的副本进行高速缓存。例如,处理电路402可以将所获得的访问控制列表(ACL)的副本储存在存储介质406中。在经常在对等覆盖网络中请求对数据对象的访问的情形中,存储相关联的访问控制列表(ACL)可降低用于执行对流行的数据对象的访问控制的带宽使用以及往返等待时间。
[0057]在ー个或多个其他实现中,在步骤508,对等节点400可通过从另一对等节点接收指示来确定所请求的访问是否被授权。例如,处理电路402可经由通信接ロ 404向对等覆盖网络中的存储访问控制列表(ACL)的对等节点发送查询。该查询可以请求关于对数据对象的请求访问是否被授权给发出请求的对等节点的指示。在这样的实现中,存储访问控制列表(ACL)的对等节点或对等覆盖网络上的某一其他对等节点可以分析访问控制列表(ACL)以确定它是否指示发出请求的对等节点被授权如所请求地那样访问该数据对象。分析访问控制列表(ACL)的对等节点可向对等节点400发送指示,处理电路402因此经由通信接ロ404接收该指示并确定接收到的指示是表示所请求的访问被授权还是未被授权。
[0058]在步骤510,对等节点400可基于访问控制列表是否授权所请求的访问来向发出请求的对等节点准许或拒绝对数据对象的访问。例如,如果处理电路402从访问控制列表(ACL)或从基于访问控制列表(ACL)的接收到的指示确定发出请求的对等节点被授权以所请求的方式来访问该数据对象,则处理电路402可向发出请求的对等节点准许所请求的访问。然而,如果处理电路402确定发出请求的对等节点未被授权以所请求的方式访问该数据对象,则处理电路402可向发出请求的对等节点拒绝所请求的访问。
[0059]图6是示出在存储访问控制列表(ACL)的对等节点(诸如对等节点400)上操作的用于促成对于对等覆盖网络(例如,图1和2中的网络102)中所存储的数据对象的访问控制的方法的至少ー个实现的示例`的流程图。參考图4和6两者,在步骤602,访问控制列表可被接收并存储。例如,处理电路402可经由通信接ロ 404从对等覆盖网络接收访问控制列表,并且可将接收到的访问控制列表存储在存储介质406中。对等节点400可不担当所有访问控制列表的集中式对等节点,或所存储的访问控制列表也可不与对等覆盖网络中的所有数据对象相关联。相反,对等节点400可担当对等覆盖网络中存储各自与对等覆盖网络中的一个或多个相应数据对象相关联的相应访问控制列表的多个对等节点之一。
[0060]访问控制列表可适于指示对等覆盖网络中相关联的数据对象的访问控制。在ー些实现中,访问控制列表可适于指示对等覆盖网络中多个相关联的数据对象的访问控制。访问控制列表还适于通过与ー个或多个相关联的数据对象中的每ー个一起存储的路由机制在对等覆盖网络中被定位。如本文所讨论的,在至少ー些实现中,这样的路由机制可包括统ー资源标识符(URI)。
[0061]在步骤604,对等节点400可从存储与访问控制列表相关联的数据对象的对等节点接收第一传输,其中该第一传输包括对与关联于该数据对象的访问控制有关的信息的请求。例如,处理电路402可经由通信接ロ 404接收第一传输。响应于接收到该第一传输,在步骤606,对等节点400可向存储该数据对象的对等节点发送第二传输,其中该第二传输包括所请求的与关联于该数据对象的访问控制有关的信息。例如,处理电路402可经由通信接ロ 404在对等覆盖网络上发送该第二传输。
[0062]在至少ー个实现中,对与关联于该数据对象的访问控制有关的信息的请求可包括对访问控制列表的请求。对访问控制列表的此类请求可仅仅是对访问控制列表的访问请求、对访问控制列表的副本的请求、和/或对实际访问控制列表数据对象的请求。在这样的实现中,对等节点400所发送的第二传输可包括所请求的访问控制列表信息。
[0063]在ー个或多个其他实现中,对与关联于该数据对象的访问控制有关的信息的请求可包括查询,该查询请求关于发出请求的对等节点所请求的对数据对象的访问是否被访问控制列表(ACL)授权的指示。在这样的实现中,处理电路402可分析访问控制列表(ACL)来确定该访问控制列表是否指示发出请求的对等节点所请求的访问被授权。对等节点400可随后发送具有所请求的指示的第二传输,该指示表示发出请求的对等节点所请求的访问是否被授权。
[0064]图1、2、3、4、5和/或6中解说的组件、步骤、特征和/或功能中的一者或更多者可以被重新安排和/或组合成单个组件、步骤、特征或功能,或可以实施在若干组件、步骤、或功能中。还可添加更多的元件、组件、步骤、和/或功能而不会脱离本公开的范围。图1、2和/或4中所解说的装置、设备、组件和/或传输框架可配置成执行图3、5和/或6中描述的方法、特征、或步骤中的一者或更多者。本文中描述的新颖算法还可以高效地实现在软件中和/或嵌入在硬件中。
[0065]另外,注意到至少一些实现是作为被描绘为流图、流程图、结构图、或框图的过程来描述的。尽管流程图可能会把诸操作描述为顺序过程,但是这些操作中有许多能够并行或并发地执行。另外,这些操作的次序可以被重新安排。过程在其操作完成时终止。过程可以对应于方法、函数、规程、子例程、子程序等。当过程对应于函数时,其終止对应于该函数返回到调用方函数或主函数。
[0066]此外,各实施例可由`硬件、软件、固件、中间件、微代码、或其任何组合来实现。当在软件、固件、中间件或微码中实现吋,执行必要任务的程序代码或代码段可被存储在诸如存储介质或其它存储之类的机器可读介质中。处理器可以执行这些必要的任务。代码段可表示规程、函数、子程序、程序、例程、子例程、模块、软件包、类,或是指令、数据结构、或程序语句的任何组合。通过传递和/或接收信息、数据、自变量、參数、或存储器内容,一代码段可被耦合到另一代码段或硬件电路。信息、自变量、參数、数据等可以经由包括存储器共享、消息传递、令牌传递、网络传输等任何合适的手段被传递、转发、或传输。
[0067]术语“机器可读介质”、“计算机可读介质”和/或“处理器可读介质”可包括,但不限于,便携或固定的存储设备、光学存储设备、以及能够存储、包含或携帯指令和/或数据的各种其他非瞬态介质。因此,本文中描述的各种方法可部分或全部地由可存储在“机器可读介质”、“计算机可读介质”和/或“处理器可读介质”中并由ー个或多个处理器、机器和/或设备执行的指令和/或数据来实现。
[0068]结合本文中公开的示例描述的方法或算法可直接在硬件中、在能由处理器执行的软件模块中、或在这两者的组合中以处理単元、编程指令、或其他指示的形式实施,并且可包含在单个设备中或跨多个设备分布。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。存储介质可耦合到处理器以使得该处理器能从/向该存储介质读写信息。替换地,存储介质可以被整合到处理器。
[0069]本领域技术人员将可进ー步领会,结合本文中公开的实施例描述的各种解说性逻辑框、模块、电路、和算法步骤可被实现为电子硬件、计算机软件、或两者的组合。为清楚地解说硬件与软件的这一可互換性,各种解说性组件、框、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。
[0070]本文中所描述的实施例的各种特征可实现于不同系统中而不会脱离本公开的范围。应注意,以上实施例仅是示例,且并不应被解释成限定本公开。这些实施例的描述旨在解说,而并非g在限定权利要求的范围。由此,本发明的教导可以现成地应用于其他类型的装置,并且许多替换、修改、和变`形对于本领域技术人员将是显而易见的。
【权利要求】
1.ー种对等节点,包括: 通信接ロ,所述通信接ロ适于促成在对等覆盖网络上的通信; 存储介质,所述存储介质包括存储在其中的数据对象,其中所述数据对象包括适于用来在所述对等覆盖网络中定位与所述数据对象相关联的访问控制列表的路由机制;以及耦合到所述通信接口和所述存储介质的处理电路,所述处理电路适于: 从发出请求的对等节点接收对所述存储介质中的数据对象的访问请求; 使用随所述数据对象包括的路由机制来在所述对等覆盖网络中定位所述访问控制列表; 基于所述访问控制列表确定所述发出请求的对等节点所请求的访问是否被授权;以及基于所述访问控制列表是否授权所请求的访问,向所述发出请求的对等节点准许或拒绝对所述数据对象的访问。
2.如权利要求1所述的对等节点,其特征在干,随所述数据对象包括的路由机制包括统ー资源标识符(URI)。
3.如权利要求1所述的对等节点,其特征在于,所述路由机制适于在所述对等覆盖网络中定位所述数据对象而无需使用集中式服务器或稳定主机。
4.如权利要求1所述的对等节点,其特征在于,所述处理电路还适于: 获得所述访问控制列表;以及 分析所述访问控制列表以确定所述访问控制列表是否指示所述发出请求的对等节点所请求的访问被授权。`
5.如权利要求1所述的对等节点,其特征在于,所述处理电路还适于: 向存储所述访问控制列表的对等节点发送查询,其中所述查询请求关于所述发出请求的对等节点所请求的访问是否被授权的指示;以及 接收表示所述发出请求的对等节点所请求的访问是否被授权的指示。
6.如权利要求5所述的对等节点,其特征在于,表示所述发出请求的对等节点所请求的访问是否被授权的所述指示是从以下之一接收到的:存储所述访问控制列表的对等节点或所述对等覆盖网络的另ー对等节点。
7.如权利要求1所述的对等节点,其特征在于,所述处理电路还适于: 将与所述数据对象相关联的访问控制列表的副本高速缓存在所述存储介质中。
8.如权利要求1所述的对等节点,其特征在于: 所述存储介质还包括与所述数据对象相关联的访问控制列表;以及 随所述数据对象包括的路由机制指示所述访问控制列表位于所述对等节点处。
9.如权利要求1所述的对等节点,其特征在于,所述处理电路还适于认证所述发出请求的对等节点。
10.一种在对等节点上操作的方法,包括: 将数据对象存储在存储介质中,其中所述数据对象包括适于用来在对等覆盖网络中定位与所述数据对象相关联的访问控制列表的路由机制; 从发出请求的对等节点接收访问所存储的数据对象的请求; 使用随所述数据对象包括的路由机制来在所述对等覆盖网络中定位所述访问控制列表;基于所述访问控制列表确定所述发出请求的对等节点所请求的访问是否被授权;以及 基于所述访问控制列表是否授权所请求的访问,向所述发出请求的对等节点准许或拒绝对所述数据对象的访问。
11.如权利要求10所述的方法,其特征在于,随所述数据对象包括的路由机制包括统ー资源标识符(URI)。
12.如权利要求10所述的方法,其特征在于,基于所述访问控制列表确定所述发出请求的对等节点所请求的访问是否被授权包括: 获得所述访问控制列表;以及 分析所述访问控制列表以确定所述访问控制列表是否指示所述发出请求的对等节点所请求的访问被授权。
13.如权利要求10所述的方法,其特征在于,基于所述访问控制列表确定所述发出请求的对等节点所请求的访问是否被授权包括: 向存储所述访问控制列表的对等节点发送查询,其中所述查询请求关于所述发出请求的对等节点所请求的访问是否被授权的指示;以及 接收表示所述发出请求的对等节点所请求的访问是否被授权的指示。
14.如权利要求13所述的方法,其特征在于,接收表示所述发出请求的对等节点所请求的访问是否被授权的指示包括: 从存储所述访问控制列表的对等节点接收所述指示。
15.如权利要求13所述的方法,其特征在于,接收表示所述发出请求的对等节点所请求的访问是否被授权的指示包括: 从所述对等网络的另一对等节点接收所述指示。
16.如权利要求10所述的方法,其特征在于,还包括: 将与所述数据对象相关联的访问控制列表的副本高速缓存在所述存储介质中。
17.如权利要求10所述的方法,其特征在于,还包括: 认证所述发出请求的对等节点。
18.—种对等节点,包括: 用于将数据对象存储在存储介质中的装置,其中所述数据对象包括适于用来在对等覆盖网络中定位与所述数据对象相关联的访问控制列表的路由机制; 用于从发出请求的对等节点接收访问所存储的数据对象的请求的装置; 用于使用随所述数据对象包括的路由机制来在所述对等覆盖网络中定位所述访问控制列表的装置; 用于基于所述访问控制列表确定所述发出请求的对等节点所请求的访问是否被授权的装置;以及 用于基于所述访问控制列表是否授权所请求的访问,向所述发出请求的对等节点准许或拒绝对所述数据对象的访问的装置。
19.ー种包括在对等节点上操作的指令的处理器可读介质,所述指令在由处理器执行时使所述处理器: 将数据对象存储在存储介质中,其中所述数据对象包括适于用来在对等覆盖网络中定位与所述数据对象相关联的访问控制列表的路由机制;从发出请求的对等节点接收访问所存储的数据对象的请求; 使用随所述数据对象包括的路由机制来在所述对等覆盖网络中定位所述访问控制列表; 基于所述访问控制列表确定所述发出请求的对等节点所请求的访问是否被授权;以及基于所述访问控制列表是否授权所请求的访问,向所述发出请求的对等节点准许或拒绝对所述数据对象的访问。
20.—种对等节点,包括: 通信接ロ,所述通信接ロ适于促成在对等覆盖网络上的通信; 存储介质,所述存储介质包括存储在其中的访问控制列表,其中所述访问控制列表适于指示对至少一个相关联的数据对象的访问控制;以及 耦合到所述通信接口和所述存储介质的处理电路,所述处理电路适于: 从存储与所述访问控制列表相关联的数据对象的对等节点接收第一传输,其中所述第ー传输包括对与关联于所述数据对象的访问控制有关的信息的请求;以及 响应于所述第一传输向存储所述数据对象的对等节点发送第二传输,其中所述第二传输包括所请求的与关联于所述数据对象的访问控制有关的信息。
21.如权利要求20所述的对等节点,其特征在于,所述通信接ロ适于促成所述对等覆盖网络上的通信,而无需使用集中式服务器或稳定主机。`
22.如权利要求20所述的对等节点,其特征在于,所述访问控制列表适于使用与所述至少ー个相关联的数据对象一起存储的路由机制来在所述对等覆盖网络中被定位。
23.如权利要求22所述的对等节点,其特征在于,所述路由机制包括统ー资源标识符(URI)0
24.如权利要求20所述的对等节点,其特征在于,所述访问控制列表适于指示所述对等覆盖网络中存储的多个不同的数据对象的访问控制。
25.如权利要求20所述的对等节点,其特征在于,所述处理电路还适于: 接收包括对所述访问控制列表的请求的第一传输。
26.如权利要求25所述的对等节点,其特征在于,所述处理电路还适于: 向存储所述数据对象的对等节点发送包括所述访问控制列表的第二传输。
27.如权利要求20所述的对等节点,其特征在于,所述处理电路还适于: 接收包括查询的第一传输,所述查询请求关于发出请求的对等节点所请求的对所述数据对象的访问是否被授权的指示。
28.如权利要求27所述的对等节点,其特征在于,所述处理电路还适于: 分析所述访问控制列表以确定所述访问控制列表是否指示所述发出请求的对等节点所请求的访问被授权;以及 发送包括所请求的表示所述发出请求的对等节点所请求的访问是否被授权的指示的第二传输。
29.—种在对等节点上操作的方法,包括: 将访问控制列表存储在存储介质中,其中所述访问控制列表适于指示对等覆盖网络中至少ー个相关联的数据对象的访问控制; 从存储与所述访问控制列表相关联的数据对象的对等节点接收第一传输,其中所述第ー传输包括对与关联于所述数据对象的访问控制有关的信息的请求;以及 响应于所述第一传输向存储所述数据对象的对等节点发送第二传输,其中所述第二传输包括所请求的与关联于所述数据对象的访问控制有关的信息。
30.如权利要求29所述的方法,其特征在于,所述访问控制列表适于使用与所述至少一个相关联的数据对象一起存储的路由机制来在所述对等覆盖网络中被定位。
31.如权利要求30所述的方法,其特征在于,所述路由机制包括统ー资源标识符(URI)0
32.如权利要求29所述的方法,其特征在于,接收包括对与关联于所述数据对象的访问控制有关的信息的请求的所述第一传输包括: 接收包括对所述访问控制列表的请求的第一传输。
33.如权利要求32所述的方法,其特征在干,发送包括所请求的与关联于所述数据对象的访问控制有关的信息的所述第二传输包括: 向存储所述数据对象的对等节点发送包括所述访问控制列表的第二传输。
34.如权利要求29所述的方法,其特征在于,接收请求与关联于所述数据对象的访问控制有关的信息的所述第一传输包括: 接收查询,所述查询请求关于发出请求的对等节点所请求的对所述数据对象的访问是否被授权的指示。
35.如权利要求34所述的方法,其特征在干,发送包括所请求的与关联于所述数据对象的访问控制有关的信息的所述第二传输包括: 分析所述访问控制列表以确定所述访问控制列表是否指示所述发出请求的对等节点所请求的访问被授权;以及 发送包括所请求的表示所述发出请求的对等节点所请求的访问是否被授权的指示的第二传输。
36.ー种对等节点,包括: 用于将访问控制列表存储在存储介质中的装置,其中所述访问控制列表适于指示对等覆盖网络中至少ー个相关联的数据对象的访问控制; 用于从存储与所述访问控制列表相关联的数据对象的对等节点接收第一传输的装置,其中所述第一传输包括对与关联于所述数据对象的访问控制有关的信息的请求;以及 用于响应于所述第一传输向存储所述数据对象的对等节点发送第二传输的装置,其中所述第二传输包括所请求的与关联于所述数据对象的访问控制有关的信息。
37.ー种包括在对等节点上操作的指令的处理器可读介质,所述指令在由处理器执行时使所述处理器: 将访问控制列表存储在存储介质中,其中所述访问控制列表适于指示对等覆盖网络中至少ー个相关联的数据对象的访问控制; 从存储与所述访问控制列表相关联的数据对象的对等节点接收第一传输,其中所述第ー传输包括对与关联于所述数据对象的访问控制有关的信息的请求;以及 响应于所述第一传输向存储所述数据对象的对等节点发送第二传输,其中所述第二传输包括所请求的与关联于所述数据对象的访问控制有关的信息。
【文档编号】H04L29/08GK103563330SQ201280025000
【公开日】2014年2月5日 申请日期:2012年5月23日 优先权日:2011年5月23日
【发明者】Y·毛, V·纳拉亚南 申请人:高通股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1