买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:EMC知识产权控股有限公司
摘要:本发明涉及用于在多租户保护存储部署中防止数据泄露尝试的基于本地数据互联网协议IP的网络安全的系统和方法。数据存储设备包括通告的IP地址、逻辑数据存储装置和资源请求处理器。逻辑数据存储装置包括对象存储装置。资源请求处理器获得数据访问请求,其包括目的地IP地址并且请求存储在对象存储装置中的一部分数据。资源请求处理器基于多因素授权做出允许访问该部分数据的确定。多因素授权至少部分地基于目的地IP地址与该部分数据之间的关联。响应于该确定,资源请求处理器将该部分数据提供至在数据访问请求中指定的请求者。
主权项:1.一种数据存储设备,包括:多个通告的互联网协议IP地址;逻辑数据存储装置,包括对象存储装置;和资源请求处理器,其被编程为:获得包括目的地IP地址的数据访问请求,所述数据访问请求请求存储在所述对象存储装置中的一部分数据,基于多因素授权来做出允许访问所述部分数据的确定,其中所述多因素授权至少部分地基于所述目的地IP地址与所述部分数据之间的关联,以及响应于所述确定,将所述部分数据提供至所述数据访问请求中指定的请求者,其中所述多因素授权包括:将所述目的地IP地址与所述多个通告的IP地址中的通告的IP地址进行匹配,以获得匹配的通告的IP地址;和确定所述匹配的通告的IP地址与所述部分数据相关联,其中确定所述匹配的通告的IP地址与所述部分数据相关联包括:获得与所述匹配的通告的IP地址相关联的通用唯一标识符UUID;获得与所述UUID相关联的命名空间标识符集;获得与所述部分数据相关联的命名空间标识符;和将所获得的与所述部分数据相关联的命名空间标识符和与所述UUID相关联的所述命名空间标识符集中的命名空间标识符进行匹配。
全文数据:在多租户保护存储部署中防止数据泄露企图的基于本地数据IP的网络安全的系统和方法技术领域本公开的各实施例涉及数据存储领域。背景技术计算设备生成、使用和存储数据。数据例如可以是与任何文件相关联的图像、文档、网页或元数据。数据可以本地存储在计算设备的永久存储装置上和或可以远程存储在另一计算设备的永久存储装置上。发明内容在一个方面,根据本发明的一个或多个实施例的数据存储设备包括通告的互联网协议IP地址;逻辑数据存储装置,其包括对象存储装置;和资源请求处理器。资源请求处理器:获得数据访问请求,该数据访问请求包括目的地IP地址并且请求存储在对象存储装置中的一部分数据;基于多因素授权确定允许访问该部分数据;响应于该确定,将该部分数据提供至在数据访问请求中指定的请求者。该多因素授权至少部分地基于目的地IP地址与该部分数据之间的关联。在一个方面,根据本发明的一个或多个实施例的操作数据存储设备的方法包括:由数据存储设备获得数据访问请求,该数据访问请求包括目的地IP地址并且请求存储在目标存储装置中的一部分数据;基于多因素授权确定允许访问该部分数据;以及响应于该确定,将该部分数据提供至在数据访问请求中指定的请求者。该多因素授权至少部分地基于目的地IP地址与该部分数据之间的关联。在一个方面,根据本发明的一个或多个实施例的非暂时性计算机可读介质包括计算机可读程序代码,该计算机可读程序代码在由计算机处理器执行时使计算机处理器能够执行用于操作数据存储设备的方法,该方法包括:由数据存储设备获得数据访问请求,该数据访问请求包括目的地IP地址并且请求存储在目标存储装置中的一部分数据;基于多因素授权确定允许访问该部分数据;以及响应于该确定,将该部分数据提供至在数据访问请求中指定的请求者。该多因素授权至少部分地基于目的地IP地址与该部分数据之间的关联。附图说明将参考附图描述本发明的某些实施例。然而,附图仅通过示例的方式示出了本发明的某些方面或实施方式,而并不意味着对权利要求的范围加以限制。图1A示出了根据本发明的一个或多个实施例的系统的图。图1B示出了根据本发明的一个或多个实施例的示例租户的租户资源的图。图1C示出了根据本发明的一个或多个实施例的租户资源的命名空间的图。图1D示出了根据本发明的一个或多个实施例的对象存储装置的图。图1E示出了根据本发明的一个或多个实施例的租户资源到通告的IP地址映射的图。图1F示出了根据本发明的一个或多个实施例的租户资源到证书映射的图。图1G示出了根据本发明的一个或多个实施例的租户资源到请求者IP地址映射的图。图1H示出了根据本发明的一个或多个实施例的通用唯一标识符UUID映射的图。图1I示出了根据本发明的一个或多个实施例的版本控制的通告的IP地址映射的图。图1J示出了根据本发明的一个或多个实施例的租户资源到通告的IP地址映射的图。图2示出了根据本发明的一个或多个实施例的数据访问请求的图。图3示出了根据本发明的一个或多个实施例的操作数据存储设备的方法的流程图。图4示出了根据本发明的一个或多个实施例的执行多因素授权的方法的流程图。图5示出了根据本发明的一个或多个实施例的确定通告的IP地址是否被授权的方法的流程图。图6示出了根据本发明的一个或多个实施例的获得与通告的IP地址相关联的UUID的方法的流程图。图7A示出了示例系统的图。图7B示出了分别存储在图7A所示的数据存储设备中并且与图7A所示的每个客户端相关联的命名空间的图。图7C示出了图7A中所示的数据存储设备的缓存的图。图7D示出了由图7A中所示的客户端B和数据存储设备执行的操作的序列图。具体实施方式现在将参照附图详细说明本发明的具体实施方式。在本发明实施方式的以下详细说明中,阐述了许多具体细节,以便更透彻地理解本发明。但是,对于本领域普通技术人员来说显而易见的是,实践本发明时可以无需这些具体细节。在其他实例中未详细说明公知的特征,以避免不必要的复杂说明。在以下对图1A-6的说明中,本发明的多种实施例中参照某个附图说明的任何部件可以等同于参照任何其他附图说明的一个或多个以类似方式命名的部件。为了简洁起见,不会参照每个附图重复说明这些部件。因此,每个附图的部件的每种实施例通过引用结合在此,并假定其可选地存在于具有一个或多个以类似方式命名的部件的每个其他附图中。此外,根据本发明的多种实施例,对附图部件的任何说明应理解为可选的实施例,这种可选的实施例可以是除相对于任何其他附图中以类似方式命名的相应部件说明的实施例之外的实施例,与这些实施例结合实施,或者代替这些实施方式。一般来说,本发明的实施例涉及用于管理对象存储装置的方法、设备和系统。更具体来说,所述方法、设备和系统可以提供用于限制对对象存储装置中的数据进行访问的功能。当数据访问请求满足多因素授权中的所有要求时,才提供对数据的访问。在本发明的一个或多个实施例中,所述多因素授权可以是,至少部分基于,请求针对数据存储设备中存储数据的访问设备的互联网协议IP地址、在数据访问请求中所包含的证书credential,以及用于发送该数据访问请求的分组的目的地IP地址。在不偏离本发明的前提下,所述多因素授权可以基于其他因素、另外的因素或更少的因素。图1A示出了根据本发明的一个或多个实施例的系统。该系统可以包括客户端100,客户端存储和或读取在数据存储设备110中的数据。客户端100可以是计算设备。这些计算设备例如可以是移动电话、平板电脑、笔记本电脑、台式电脑或服务器。在不偏离本发明的前提下,客户端100可以是其他类型的计算设备。客户端100可以经由通信链路可操作地连接至数据存储设备110。通信链路可以是提供可操作连接的任何类型的链路,诸如直接链接、间接链接、无线网络或有线网络。直接链接例如可以是经由单个有线缆线的端口到端口连接。间接链接例如可以是经由多个线缆和中介通信设备的端口到端口链接。中介通信设备可以是集线器、中继器、路由器,或任何其他类型的通信设备。无线网络例如可以是包括一个或多个无线链接诸如IEEE802.11顺应性链接的网络。有线网络例如可以是诸如互联网的网络。在不偏离本发明的前提下,客户端100和数据存储设备110可以通过任何其他类型的通信链接或其组合来链接。客户端100可以经由在客户端100与数据存储设备110之间的可操作连接从数据存储设备110读取数据和或将数据存储至数据存储设备110。例如,客户端100可以将数据存储至数据存储设备110来将其数据备份,通过将数据转移至数据存储设备110来腾出存储空间,或者通过将数据存储在数据存储设备110中以供其他客户端访问该数据。在本发明的一个或多个实施例中,每一个客户端可以与一个在存储数据至数据存储设备或从数据存储设备提取数据方面拥有特权的租户相关联。为从数据存储设备110提取数据,每一个与特定租户相关联的客户端可以经配置以将请求发送至数据存储设备中的一个特定的通告IP地址,该IP地址与该特定租户相关联并且包含与该特定租户相关联的证书。数据存储设备110可以是计算设备。计算设备例如可以是服务器和或云资源。在不偏离本发明的前提下,数据存储设备110可以是其他类型的计算设备。数据存储设备110可以允许客户端将数据存储在数据存储设备110上和或从数据存储设备110提取数据。在允许提取数据之前,数据存储设备110可以对来自客户端的数据访问请求进行多因素授权。如果数据访问请求没有通过该多因素授权,数据存储设备110可以不将所请求的数据提供给客户端。在本发明的一个或多个实施例中,数据存储设备可以是包括非暂时性计算机可读存储装置、存储器例如,随机访问存储器和一个或多个处理器的物理设备。处理器可以是包含电路的硬件处理器。在本发明的一个或多个实施例中,处理器可以是中央处理单元、risk处理器、数字信号处理器、分组处理器、网络处理器、场可编程门阵列或任何其他类型的数字处理器。存储器可以是包含电路的硬件。在本发明的一个或多个实施例中,存储器可以是随机访问存储器。非暂时性存储装置可以包含指令集,也被称作计算机可读程序代码,指令集在由一个或多个处理器执行时使得数据存储设备执行在本申请和图3至图6中所描述的功能。尽管在图1A中图示为单个设备,在不偏离本发明的前提下,数据存储设备110可以实施为利用多个不同计算设备资源的逻辑设备。在本发明的一个或多个实施例中,数据存储设备可以实施为云服务。例如,数据存储设备可以实施为在非暂时性介质上存储的计算代码,所述计算代码在由云计算系统执行时使得云计算系统执行在本申请中描述和图3至图6中示出的功能。数据存储设备110可以包括用于存储数据的数据存储装置120、处理数据访问请求的资源请求处理器149以及数据存储设备110对数据存储设备110和客户端100均连接到的网络广泛通告的经通告的IP地址180。数据存储设备110的每一个组件在下文论述。数据存储装置120可以存储来自客户端100的数据并将所存储的数据与各租户相关联。数据存储装置120可以包括用于存储数据的对象存储装置132以及说明在每一个租户的对象存储装置132中存储的数据的租户资源121。关于租户资源的其他细节,见图1B。关于对象存储装置132的其他细节,见图1C。资源请求处理器149可以处理来自租户的数据访问请求。更具体来说,资源请求处理器149可先对每一个数据访问请求进行多因素授权,然后才能响应于该请求而提供所请求的数据。响应于接收到数据访问请求,资源请求处理器149可以执行图3至图6中的方法。资源请求处理器149可以包括将租户资源映射到多因素授权中各元素的映射数据150、将通用唯一标识符UUID映射到与每一个租户相关联的命名空间的UUID映射、将由每一个经通告的IP地址接收的数据访问请求映射到UUID的版本控制的经通告的IP地址映射,以及包括将由每一个经通告的IP地址接收的数据访问请求映射到UUID的版本控制条目的版本控制的缓存175。关于前述映射或缓存的其他细节,见图1E-1J。在本发明的一个或多个实施例中,前述映射中的每一个可以指定关联关系。经通告的IP地址180可以是数据存储设备110对数据存储设备110所附接的网络所通告的IP地址。在通告IP地址之前,发送到所通告的IP地址180中的任何一个地址的分组可以经由网络被转发至数据存储设备110。因此,尽管数据存储设备可以是单个逻辑设备,但是其仍可以接收被发送到多个不同IP地址的IP流量。图1B示出了根据本发明的一个或多个实施例的租户A资源122A的实例。租户A资源122A可以是说明在对象存储装置中存储的与租户A关联的数据的数据结构。租户资源121,图1A包括关于每一个租户的相似租户资源数据。与每一个租户相关联的每一个租户资源可以是识别与该租户相关联的文件和或对象的数据结构。例如,租户A资源122A指定数个命名空间123A-123N。每一个命名空间可以与不同的系统相关联,用于组织或唯一地命名在对象存储装置132,图1A中存储的文件或数据对象。每一个命名空间可以包括使得被请求的数据能够从对象存储装置132,图1A被提取的信息。每一个命名空间可以与命名空间标识符未示出相关联,以使得该命名空间区别于租户A资源中的其他命名空间。图1C示出了根据本发明的一个或多个实施例的命名空间A123A的实例。命名空间A123A包括将文件的名称与对象存储装置的一个或多个UUID相关联的数个映射124A-124N。图1D示出了根据本发明的一个或多个实施例的对象存储装置132。如本文所使用,对象存储装置是将数据作为对象管理的数据存储架构。对象存储装置的每一个对象可以包括数据和UUID。每一个对象可以包括用于在该对象中存储数据的数个字节。在本发明的一个或多个实施例中,对象存储装置不包括文件系统。在本发明的一个或多个实施例中,对象存储装置132是包括链接形成单个逻辑存储装置的任何数目的物理和或云资源的逻辑存储装置。物理资源例如可以是硬盘、固态硬盘或任何其他类型的永久性存储装置。云资源可以是包括链接和或联结形成逻辑存储装置的可操作的任何数目的物理存储设备的第二逻辑存储装置。第二逻辑存储装置可以包括冗余或其他数据完整性特征,用于确保物理存储元件中的任何一个故障不会导致在逻辑存储装置中存储的数据丢失。云资源的第二逻辑存储装置的物理资源可以在除了数据存储设备以外的分别可操作地连接至数据存储设备的数个计算设备上实现物理分离。在本发明的一个或多个实施例中,对象存储装置132是删除重复的deduplicated存储装置。如本文所使用,删除重复的存储装置指的是试图通过不存储相同文件或位图案的多个副本来减少所需的存储空间量的存储装置。而是,当新的文件或位图案被发送到对象存储装置以用于存储时,存储装置可以将该新的文件或位图案的全部或一部分与在该对象存储装置中存储的文件或位图案进行比较。如果该新的文件或位图案或其一部分与已经在该对象存储装置中存储的文件或位图案或其一部分相匹配,该新的文件或位图案或其一部分将不会被存储在对象存储装置中并且该已经存储的文件或位图案或其一部分会与在存储请求中所包含的文件名相关联以便稍后提取。换言之,可以添加租户资源的新的命名空间条目但并没有实际将在数据存储请求中所包含的数据存储在对象存储装置中。该新的命名空间条目可以说明包含在数据存储请求中所包含数据的预先存在的对象的名称。在本发明的一个或多个实施例中,在对象存储装置132中存储的文件或位图案可以与一个租户或多个租户相关联。例如,如果单个租户请求将唯一的文件存储在对象存储装置中,该对象存储装置将存储该唯一的文件并且仅将所存储的唯一的文件与该单个租户的资源相关联。但是,如果在该唯一的文件已经存储在对象存储装置中之后第二个租户请求将该唯一的文件存储在该对象存储装置中,该对象存储装置将不会将该唯一的文件的第二副本存储在对象存储装置中,也不会将第二副本与第二租户相关联。而是,对象存储装置132会仅将所存储的唯一文件与单个租户以外的第二租户相关联。因此,如果第一租户和第二租户都请求将唯一的文件存储在对象存储装置中,与每一个租户相关联的租户资源121,图1A中的每一个将包括在由每一个租户指定的文件名与含有所存储的文件的数据例如135、137,图1D相关联的对象存储装置132的UUID之间的映射。因此,通过使用由任一租户给予该文件的文件名或其他标识符或将该文件名映射至该对象存储装置的UUID的对应租户资源,就可以从对象存储装置132提取该文件的数据。图1E至图1G示出在多因素授权过程中所用的租户资源和不同类型的数据之间的映射的实例。前述映射中的每一个可以由租户提供或可以生成作为数据存储在数据存储设备中。例如,当与租户相关联的客户端请求将数据存储在数据存储设备中时,除了存储该数据以外,数据存储设备可以产生在新存储的租户资源与经通告的IP地址、与该租户相关联的证书和或与该租户相关联的请求者IP地址之间的映射。作为多因素授权的一部分,当客户端试图访问新存储的数据时,可以使用前述的映射。在本发明的一个或多个实施例中,前述映射中的每一个可以规定关联关系。图1E示出租户资源到经通告的IP地址的映射151的实例。前述映射可以包括数个映射152A、153A,每一个映射将租户资源152B、153B映射至数据存储装置的经通告的IP地址152C、153C。租户资源152B、153B例如可以指定租户资源121,图1A的命名空间。图1F示出租户资源到证书映射155的实例。前述映射可以包括数个映射156A、157A,每一个映射将租户资源156B、157B映射至与该租户相关联的证书156C、157C。租户资源156B、157B例如可以指定租户资源121,图1A的命名空间。图1G示出租户资源到请求者IP地址映射160的实例。前述映射可以包括数个映射161A、162A,每一个映射将租户资源161B、162B映射至与该租户相关联的请求者IP地址161C、162C。租户资源161B、162B例如可以指定租户资源121,图1A的命名空间。尽管作为多因素授权过程的一部分可以使用图1E至图1G中示出的映射,但是这样做有可能增加对于数据存储设备的计算上或存储访问方面的负担。具体来说,在图1E至图1G中示出的映射的每一个可以将租户资源映射至用作多因素授权过程的一部分的一条或多条授权信息。但是,这样做需要逆转映射,这需要遍历前述所有映射,计算费用非常高。换言之,数据访问请求将包括用作多因素授权一部分的授权信息,但是前述映射没有直接将授权信息映射到文件名或其他标识符。在本发明的一个或多个实施例中,数据存储设备110可以包括将UUID映射至租户资源的一个或多个命名空间的UUID映射、将数据存储设备的经通告的IP地址映射至一个或多个UUID的版本控制的经通告的IP地址映射,以及版本控制在数据存储设备的经通告的IP地址与一个或多个UUID之间的映射的版本控制缓存。前述映射缓存中的每一个可以用于减少用于执行数据访问请求的多因素授权的计算带宽存储访问方面的要求,并从而改善数据存储设备的性能。更具体来说,前述映射缓存可以消除每当需要执行多因素授权时为执行多因素授权而将图1E至图1G中所示的映射中的任何一个逆转的需要。在本发明的一个或多个实施例中,仅在数据被存储在对象存储装置中时产生前述映射。在本发明的一个或多个实施例中,仅在数据存储设备启动时产生前述缓存。图1H示出UUID映射165的实例。前述映射可以包括数个映射166A、167A,每一个映射将UUID166B、167B映射至数据存储设备的租户资源121,图1的命名空间ID166C、167C。命名空间ID中的每一个可以属于不同的租户资源例如,121,图1。UUID映射165有助于确定哪一个租户的命名空间包括所查询的UUID。图1I示出版本控制的经通告的IP地址映射170的实例。前述映射可以包括数个映射172A、173A,每一个映射将经通告的IP地址172B、173B映射至数据存储设备的对象存储装置的UUID172C、173C。版本控制的经通告的IP地址映射170有助于确定对象存储装置的哪一个UUID与所查询的经通告的IP地址相关联。此外,版本控制的经通告的IP地址映射170可以包括版本ID171。每当前述映射被更新时,版本号可以递增。图1J示出版本控制的缓存175的实例。前述缓存可以包括数个映射176A、177A,每一个映射将经通告的IP地址176B、177B映射至数据存储设备的对象存储装置的UUID176C、173C。版本控制的缓存175有助于确定将对象存储装置的哪一个UUID与所查询的经通告的IP地址相关联。此外,每一个映射176A、177A可以包括版本ID176F、177F。如下文关于图6所论述,可以将映射的版本ID176F、177F与版本控制的经通告的IP地址映射170的版本ID171,图1I相比较以确定映射176A、177A是否是最新的。图2示出了根据本发明的一个或多个实施例的数据访问请求200的图示。数据访问请求200可以由客户端发送至数据存储设备以请求在对象存储装置中存储的数据。数据访问请求200可以包括目的地IP地址201、证书202、请求者IP地址203以及文件名204或其他与请求者想要获得的数据相关联的标识符。证书202可以是密码或访问所请求的数据所需的其他信息。图3示出了根据本发明的一个或多个实施例的流程图。图3所示的方法可以用于根据本发明一个或多个实施例提供在数据存储设备的对象存储装置中存储的数据。图3所示的方法例如可以由资源请求处理器149,图1A来执行。在步骤300中,获得数据访问请求。该数据访问请求可以通过从客户端接收数据访问请求来获得。该数据访问请求可以包括在图2中示出的数据访问请求的所有组件。在步骤310中,执行数据访问请求的多因素授权。可以使用图4中所示的方法来执行多因素授权。在步骤320中,基于多因素授权确定对所请求数据的访问是否通过授权。如果访问通过授权,方法前进至步骤330。如果访问没有通过授权,方法前进至步骤340。在步骤330中,提供所请求的数据。可以通过将由数据访问请求指定的在对象存储装置中存储的数据发送给请求者来提供该数据。该请求者可以是客户端。在步骤340中,不提供所请求的数据,数据存储装置通过指示出所请求的数据不存在来对该请求做出响应。图4示出了根据本发明的一个或多个实施例的流程图。可以使用图4中示出的方法来执行根据本发明一个或多个实施例的多因素授权。图4所示的方法例如可以由资源请求处理器149,图1A来执行。在不偏离本发明的前提下,可以通过数据存储设备的不同组件来执行该方法。在步骤400中,从关于图3论述的数据访问请求获得授权信息。授权信息可以包括目的地IP地址、证书、请求者IP地址以及文件名或所请求数据的其他指示符。在步骤410中,确定证书是否通过授权。如果证书通过授权,方法前进至步骤420。如果证书没有通过授权,方法前进至步骤450。在本发明的一个或多个实施例中,通过将在数据访问请求中所包含的证书与和每一个租户相关的证书进行比较来确定证书是否通过授权。如果证书与和至少一个租户相关联的证书不匹配,证书被确定为没有通过授权。在本发明的一个或多个实施例中,证书是密码、位序列或由租户提供的其他数据文件。在步骤420中,确定请求者IP地址是否通过授权。如果请求者IP地址通过授权,方法前进至步骤430。如果请求者IP地址没有通过授权,方法前进至步骤450。在本发明的一个或多个实施例中,通过将在数据访问请求中所包含的证书与和证书相关联的IP地址集合中的一个IP地址相关联来确定请求者IP地址是否通过授权。如果请求者IP地址与IP地址集合中的IP地址不匹配,确定请求者IP地址没有通过授权。如果请求者IP地址与IP地址集合中的IP地址匹配,确定请求者IP地址通过授权。在本发明的一个或多个实施例中,与证书相关联的IP地址集合由租户来提供。换言之,租户可以提供租户想要访问在数据存储设备中存储的租户的数据的IP地址列表。在步骤430中,确定与数据访问请求的目的地IP地址匹配的经通告的IP地址是否通过授权。如果所匹配的经通告的IP地址通过授权,方法前进至步骤440。如果所匹配的经通告的IP地址没有通过授权,方法前进至步骤450。在本发明的一个或多个实施例中,通过在图5中所示的方法来确定所匹配的经通告的IP地址是否通过授权。在步骤440中,确定数据访问请求通过授权。方法可在步骤440之后结束。在步骤450中,数据访问请求被确定为没有通过授权。方法可在步骤450之后结束。图5示出了根据本发明的一个或多个实施例的流程图。根据本发明的一个或多个实施例,可以使用图5中示出的方法来确定所匹配的经通告的IP地址是否通过授权。图5所示的方法例如可以由资源请求处理器149,图1A来执行。在不偏离本发明的前提下,可以通过数据存储设备的不同组件来执行该方法。在步骤500中,从版本控制缓存获得与目的地IP地址匹配的经通告的IP地址所关联的UUID。可以通过图6所示的方法从缓存获得UUID。在步骤510中,从UUID映射获得和UUID相关联的命名空间ID的集合。在本发明的一个或多个实施例中,通过将UUID与由UUID映射规定的映射相匹配来获得命名空间ID。每一个映射可以规定一个或多个命名空间ID。每一个匹配的映射的命名空间ID可以被集合并用作命名空间ID集合。在步骤520中,获得与在数据访问请求中所包含的文件名或其他数据识别信息相关联的命名空间ID。可以通过将文件名或其他识别信息与租户资源相比较来获得相关联的命名空间ID。更具体来说,可以搜寻与在数据访问请求中所包含的证书相关联的租户资源集合的命名空间中的每一者,以识别包含该文件名或识别信息的命名空间。可以使用包含该文件名或识别信息的命名空间的命名空间ID来作为相关联的命名空间ID。在步骤530中,确定与该文件名相关联的命名空间ID是否匹配命名空间ID集合中的一个。如果与该文件名相关联的命名空间ID匹配该命名空间ID集合中的命名空间ID中的一个,方法前进至步骤540。如果和该文件名相关联的命名空间ID没有和命名空间ID集合中的命名空间ID中的一个匹配,方法前进至步骤550。在步骤540中,和该数据访问请求的目的地IP地址匹配的经通告的IP地址被确定为通过授权。方法可在步骤540之后结束。在步骤550中,和该数据访问请求的目的地IP地址相匹配的经通告的IP地址被确定为没有通过授权。方法可在步骤550之后结束。图6示出了根据本发明的一个或多个实施例的流程图。根据本发明的一个或多个实施例可以使用图6中所示的方法来从版本控制的缓存获得UUID。图6所示的方法例如可以由资源请求处理器149,图1A来执行。在不偏离本发明的前提下,可以通过数据存储设备的不同组件来执行该方法。在步骤600中,经通告的IP地址被匹配至版本控制缓存的条目。在步骤610中,确定所匹配的条目的版本ID是否匹配版本控制的经通告的IP地址映射中的版本ID。在本发明的一个或多个实施例中,版本控制的经通告的IP地址映射的版本ID是映射的所有条目的版本号。如果所匹配的条目的版本ID匹配映射的版本ID,方法前进至步骤620。如果所匹配的条目的版本ID不匹配映射的版本ID,方法前进至步骤630。在步骤620中,使用版本控制的缓存的识别条目的UUID。在步骤630中,获得来自版本控制的经通告的IP地址映射的UUID。通过将经通告的IP地址匹配至映射中的一个来获得UUID。可以使用由所匹配的映射规定的UUID来作为所获得的UUID。在步骤640中,基于从版本控制的经通告的IP地址映射获得的UUID和从映射获得的UUID来更新版本控制缓存识别的条目。具体来说,缓存的条目的UUID由映射的条目的UUID来替换,缓存的条目的版本ID由映射的版本ID来替换。在步骤650中,使用版本控制的经通告的IP地址映射的条目的UUID。方法可在步骤650之后结束。以下为一实例。包括该实例,是出于解释性目的而非限制性。实例1图7A至图7D示出根据本发明的实施例的数据存储设备700的解释性实例。数据存储设备700与图1A中示出的数据存储设备相似,并且被配置成执行相似功能。图7A示出在数据存储设备700与客户端A703和客户端B704之间的图示连接。客户端中每一个可以经由网络连接可操作地连接至数据存储设备700。数据存储设备700可以通告多个IP地址。更具体来说,数据存储设备700可以通告IP地址A701和IP地址B702。客户端A703可以经编程以将数据访问请求发送至经通告的IP地址A701,客户端B704可以经编程以将数据访问请求发送至经通告的IP地址B702。数据存储设备700可以包括分别与客户端A和客户端B相关联的租户资源。更具体来说,数据存储设备700可以包括说明过去由客户端A存储而现在由数据存储设备存储的文件的客户端A命名空间725、说明过去由客户端B存储而现在由数据存储设备存储的文件的客户端B命名空间730,以及经通告的IP地址映射740,如图7B和图7C所示。经通告的IP地址映射可以说明在对象存储装置中存储的只有当在数据访问请求中包括对应的经通告的IP地址时才可访问的区段。图7D示出由客户端B和数据存储设备执行的操作的序列图。在第一操作中,客户端B形成数据访问请求760。数据访问请求指明原先由客户端A存储而现在在数据存储设备中包括的文件虎.doc727。换言之,由客户端B生成的数据访问请求760请求访问原先由客户端A存储而现在在数据存储设备中的文件。数据访问请求760包括可由数据存储设备用于在提供对所请求的文件虎.doc727的访问之前执行多因素授权的多条信息。这些信息包括租户A访问证书761、被发送数据访问请求760的IP地址即被发送至经通告的IP地址B762的IP地址,以及发出数据访问请求760的IP地址即来自客户端A763IP地址的地址。如图所示,数据访问请求760包括两条试图绕过数据存储设备安全性特征的授权信息。第一条是正在从客户端A763的IP地址发送数据访问请求760。换言之,客户端B正在哄骗包括该数据访问请求的分组的IP地址,使得看起来包括该数据访问请求的分组来自客户端A。第二条是数据访问请求760包括租户A的访问证书即租户A访问证书761而不是租户B。换言之,客户端B已经获得了客户端A的访问证书,并且正试图使用这些访问证书来访问在数据存储设备中由客户端A存储的文件。一旦产生,客户端B会将数据访问请求760发送至数据存储设备。响应于接收到数据访问请求760,数据存储设备执行图3至图6中所示的方法。数据存储设备首先将在数据访问请求760中所包括的租户A访问证书761匹配到在数据存储设备770中存储的租户A访问证书的副本。因此,在该请求中所包括的访问证书满足多因素授权的第一步。数据存储设备然后将发出数据访问请求的IP地址即来自客户端A763的IP地址的地址发送至在数据存储设备771中存储的客户端A的IP地址。因此,在数据访问请求中所包括的客户端A的被哄骗的IP地址满足多因素授权的第二步。数据存储设备然后将发出数据访问请求的IP地址即被发送至经通告的IP地址B762的IP地址发送至在图7C中示出的经通告的IP地址映射740中的映射B745。但是,指示被发送至经通告的IP地址B762的任何数据访问请求的映射B745可以仅访问在数据存储设备中存储的区段中的一部分。所述区段的该部分不包括重建由该数据访问请求所指明的虎.doc文件所需的区段。响应于确定所请求的文件无法被重建,数据存储设备通过指示所请求的文件即虎.doc不存在对客户端B704,图7A做出响应。因此,如图7A至图7D所示,根据本发明实施例的数据访问设备能够防止未通过授权的对文件的访问,即使当请求者拥有文件的访问证书并哄骗客户端的IP地址其通过授权可以访问该文件的情况也能防范。可以使用由在数据存储设备中的一个或多个处理器执行的指令来实施本发明的一个或多个实施例。另外,此类指令可以对应于在一个或多个非暂时性计算机可读介质上存储的计算机可读指令。本发明的一个或多个实施例可以实现以下中的一种或多种:1防止在对象存储装置中存储的数据不会受到未通过授权的访问;2基于多因素授权区分对于在对象存储装置中存储的数据的访问;3防止数据被未经授权的客户端通过将从其IP地址发送的分组贴错误标签来使其IP地址能够通过授权来访问在对象存储装置中存储的数据的方式访问;4通过使用仅仅在数据存储设备启动时构建的版本控制缓存来减少执行多因素授权时对于计算带宽存储访问的要求;以及5通过使用用户不需要记住的被动信息例如目的地请求者IP地址来作为多因素授权的一部分来减少客户端的认知负担。虽然本发明是参照有限数量的实施例说明的,但是受益于本公开的本领域技术人员能理解,可以设计出不脱离本文中所公开的本发明范围的其他实施方式。因此,本发明的范围仅由所附权利要求限定。
权利要求:1.一种数据存储设备,包括:多个通告的互联网协议IP地址;逻辑数据存储装置,包括对象存储装置;和资源请求处理器,其被编程为:获得包括目的地IP地址的数据访问请求,所述数据访问请求请求存储在所述对象存储装置中的一部分数据,基于多因素授权来做出允许访问所述部分数据的确定,其中所述多因素授权至少部分地基于所述目的地IP地址与所述部分数据之间的关联,以及响应于所述确定,将所述部分数据提供至所述数据访问请求中指定的请求者。2.根据权利要求1所述的数据存储设备,其中所述多因素授权包括:将所述目的地IP地址与所述多个通告的IP地址中的通告的IP地址进行匹配,以获得匹配的通告的IP地址;和确定所述匹配的通告的IP地址与所述部分数据相关联。3.根据权利要求2所述的数据存储设备,其中确定所述匹配的通告的IP地址与所述部分数据相关联包括:获得与所述匹配的通告的IP地址相关联的通用唯一标识符UUID;获得与所述UUID相关联的命名空间标识符集;获得与所述部分数据相关联的命名空间标识符;和将所获得的与所述部分数据相关联的命名空间标识符和与所述UUID相关联的所述命名空间标识符集中的命名空间标识符进行匹配。4.根据权利要求3所述的数据存储设备,其中获得所述UUID包括:识别与所述匹配的通告的IP地址相关联的版本控制的缓存的条目;执行由所述版本控制的缓存的所述条目指定的第一版本号与由版本控制的通告的IP地址映射集指定的第二版本号之间的比较;基于所述比较来更新所述版本控制的缓存的所述条目;和使用由所述版本控制的通告的IP地址映射集指定的UUID作为所获得的UUID。5.根据权利要求3所述的数据存储设备,其中所述UUID包括使得能够从所述对象存储装置获得所述部分数据的信息。6.根据权利要求3所述的数据存储设备,其中获得与所述部分数据相关联的所述命名空间标识符包括:将包括在所述数据访问请求中的证书与多个租户资源中的第一租户资源进行匹配,其中所述多个租户资源中的所述第一租户资源指定第一多个命名空间。7.根据权利要求6所述的数据存储设备,其中所述多个租户资源中的第二租户资源指定第二多个命名空间。8.根据权利要求7所述的数据存储设备,其中所述第一多个命名空间中的第一命名空间包括第一组UUID,其中所述第二多个命名空间中的第二命名空间包括第二组UUID,其中所述第一组UUID中的UUID与所述第二组UUID中的UUID相同。9.根据权利要求2所述的数据存储设备,其中所述多因素授权还包括:将所述请求中包括的证书和与所述部分数据相关联的证书进行匹配。10.根据权利要求9所述的数据存储设备,其中所述多因素授权还包括:将所述请求者的IP地址和与所述部分数据相关联的请求者IP地址进行匹配。11.根据权利要求1所述的数据存储设备,其中数据包括:与第一租户相关联的第一数据;与第二租户相关联的第二数据;和与所述第一租户和所述第二租户均相关联的第三数据。12.根据权利要求11所述的数据存储设备,其中所述数据访问请求包括与从由所述第一租户和所述第二租户组成的组中选择的一者相关联的证书。13.根据权利要求1所述的数据存储设备,其中所述多个通告的IP地址致使寻址到所述多个IP地址中的任何IP地址的网络流量被发送至所述数据存储设备。14.一种操作数据存储设备的方法,包括:通过所述数据存储设备,获得包括目的地IP地址的数据访问请求,所述数据访问请求请求存储在对象存储装置中的一部分数据,基于多因素授权来做出允许访问所述部分数据的确定,其中所述多因素授权至少部分地基于所述目的地IP地址与所述部分数据之间的关联,以及响应于所述确定,将所述部分数据提供至在所述数据访问请求中指定的请求者。15.根据权利要求14所述的方法,其中所述多因素授权包括:通过所述数据存储设备,将所述目的地IP地址与所述数据存储设备的多个通告的IP地址中的通告的IP地址进行匹配,以获得匹配的通告的IP地址;和通过所述数据存储设备,确定所述匹配的通告的IP地址与所述部分数据相关联。16.根据权利要求15所述的方法,其中确定所述匹配的通告的IP地址与所述部分数据相关联包括:通过所述数据存储设备,获得与所述匹配的通告的IP地址相关联的通用唯一标识符UUID;通过所述数据存储设备,获得与所述UUID相关联的命名空间标识符集;通过所述数据存储设备,获得与所述部分数据相关联的命名空间标识符;和通过所述数据存储设备,将所获得的与所述部分数据相关联的命名空间标识符和与所述UUID相关联的所述命名空间标识符集中的命名空间标识符进行匹配。17.根据权利要求16所述的方法,其中获得所述UUID包括:通过所述数据存储设备,识别与所述匹配的通告的IP地址相关联的版本控制的缓存的条目;通过所述数据存储设备,在由所述版本控制的缓存的所述条目指定的第一版本号与由版本控制的通告的IP地址映射集指定的第二版本号之间进行比较;和通过所述数据存储设备,基于所述比较来更新所述版本控制的缓存的所述条目。18.一种包括计算机可读程序代码的非暂时性计算机可读介质,所述计算机可读程序代码在由计算机处理器执行时使得所述计算机处理器能够执行用于操作数据存储设备的方法,所述方法包括:通过所述数据存储设备,获得包括目的地IP地址的数据访问请求,所述数据访问请求请求存储在对象存储装置中的一部分数据,基于多因素授权来做出允许访问所述部分数据的确定,其中所述多因素授权至少部分地基于所述目的地IP地址与所述部分数据之间的关联,以及响应于所述确定,将所述部分数据提供至在所述数据访问请求中指定的请求者。19.根据权利要求18所述的非暂时性计算机可读介质,其中所述多因素授权包括:通过所述数据存储设备,将所述目的地IP地址与所述数据存储设备的多个通告的IP地址中的通告的IP地址进行匹配,以获得匹配的通告的IP地址;和通过所述数据存储设备,确定所述匹配的通告的IP地址与所述部分数据相关联。20.根据权利要求19所述的非暂时性计算机可读介质,其中确定所述匹配的通告的IP地址与所述部分数据相关联包括:通过所述数据存储设备,获得与所述匹配的通告的IP地址相关联的通用唯一标识符UUID;通过所述数据存储设备,获得与所述UUID相关联的命名空间标识符集;通过所述数据存储设备,获得与所述部分数据相关联的命名空间标识符;和通过所述数据存储设备,将所获得的与所述部分数据相关联的命名空间标识符和与所述UUID相关联的所述命名空间标识符集中的命名空间标识符进行匹配。
百度查询: EMC知识产权控股有限公司 在多租户保护存储部署中防止数据泄露企图的基于本地数据IP的网络安全的系统和方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。