DE602004002401T2 - Verfahren und vorrichtung zur erweiterung der netzwerksicherheit in einem verteilten dateisystem - Google Patents

Verfahren und vorrichtung zur erweiterung der netzwerksicherheit in einem verteilten dateisystem Download PDF

Info

Publication number
DE602004002401T2
DE602004002401T2 DE602004002401T DE602004002401T DE602004002401T2 DE 602004002401 T2 DE602004002401 T2 DE 602004002401T2 DE 602004002401 T DE602004002401 T DE 602004002401T DE 602004002401 T DE602004002401 T DE 602004002401T DE 602004002401 T2 DE602004002401 T2 DE 602004002401T2
Authority
DE
Germany
Prior art keywords
file
access
secure
port
logic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE602004002401T
Other languages
English (en)
Other versions
DE602004002401D1 (de
Inventor
Marie Susann Austin KEOHANE
Francis Gerald Austin MCBREARTY
Patrick Shawn Buda MULLEN
Kelley Jessica Hutto MURILLO
Meng-Han Johnny Austin SHIEH
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE602004002401D1 publication Critical patent/DE602004002401D1/de
Application granted granted Critical
Publication of DE602004002401T2 publication Critical patent/DE602004002401T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Description

  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft im Allgemeinen Netzwerksysteme und insbesondere verteilte Dateisysteme. Die vorliegende Erfindung betrifft im Einzelnen Sicherheitsmerkmale für den Zugriff auf verteilte Dateisysteme.
  • Hintergrund der Erfindung
  • In universellen Computersystemen, wie etwa jene, die Versionen des Unix-Betriebssystem (OS) unterstützen, können Anwendungen mittels einer Gruppe von Betriebssystemdiensten, die ein Dateisystem enthalten, auf Daten zugreifen, die auf Plattenlaufwerken gespeichert sind (Unix ist ein eingetragenes Warenzeichen, das ausschließlich durch die Open Group lizenziert ist). Ein Dateisystem kann durch ein Computersystem verwendet werden, um eine große Sammlung von Dateien in einzelnen Dateien und Dateiverzeichnissen zu organisieren und diese Dateien in Speichereinheiten wie z.B. Platten abzubilden. Dateisysteme umfassen zwei Hauptkomponenten, die Programme, die die physische Darstellung der Dateien steuern, und die Dateien selbst, die auf der Platte gespeichert werden.
  • In einer verteilten Computerumgebung können mehrere Computersysteme mittels eines Datenübertragungsnetzwerks oder anderer Kopplungseinrichtungen untereinander verbunden sein und Dateien mittels eines verteilten Dateisystems gemeinsam nutzen. Eine Dateisystem-Exporteinrichtung wird typischerweise an dem Serverknoten betrieben (das Computersystem, das den Zugriff auf die Platte steuert, die die Dateisystemdaten enthält), während eine Dateisystem-Importeinrichtung typischerweise an dem Client-Knoten betrieben wird (andere Computersysteme, die verwendet werden, um auf die Dateien, die sich auf der Platte befinden, zuzugreifen). Zugriffe auf gemeinsam genutzte Dateien durch Benutzer an Client-Knoten werden als "Fern"-Zugriffe bezeichnet. Zugriffe auf gemeinsam genutzte Dateien durch Benutzer am Serverknoten werden als "lokale" Zugriffe bezeichnet.
  • Das Netzwerk-Dateisystem ist auf einem Server oder in einem Knoten eines Netzwerks gespeichert, wobei auf den Server oder Knoten von Client-Endgeräten (d.h. Benutzer-Computer) zugegriffen werden kann, die typischerweise per Fernverbindung mit dem Netzwerk verbunden sind. Die eigentliche Verbindung kann eine leitungsgestützte Verbindung wie in einem auf Ethernet basierenden Standard-Lokalnetz (LAN) oder eine drahtlose Verbindung wie ein virtuelles privates Bluetooth-Netzwerk (VPN) sein. Der Prozess des Zugriffs auf ein Dateisystem über die Client-Endgeräte wird als "Einbinden eines Dateisystems" bezeichnet. Wenn ein Dateisystem eingebunden ist, liest das Steuerprogramm bestimmte Informationen von der Platte, die das Layout von Objekten des Dateisystems betreffen. Aus diesen Informationen bildet das Dateisystem Datenstrukturen, die als "virtuelle Dateisysteme" (virtual filesystem – vfs) bekannt sind. Jedes Mal, wenn eine Datei geöffnet oder für einen Zugriff zur Verfügung gestellt wird, erzeugt das Dateisystem eine Datenstruktur, die als ein "vnode" (v-Knoten) bezeichnet wird und an das vfs angehängt wird.
  • Jede Struktur vnode enthält Informationen über eine bestimmte Datei und enthält Verweise auf physische Datenstrukturen des Dateisystems. Die physischen Datenstrukturen des Dateisystems enthalten Informationen wie z.B. den Eigentümer der Datei, die Größe der Datei, das Datum und den Zeitpunkt der Erzeugung der Datei und die Lage der Dateiblöcke auf der Platte. Dateisysteme enthalten interne Daten, so genannte Metadaten, um Dateien zu verwalten. Zu Metadaten können Daten zählen, die Folgendes angeben: wo jeder Datenblock einer Datei gespeichert ist, wo speichermodifizierte Versionen einer Datei gespeichert sind; und die Berechtigungsangaben und die Eigentümer einer Datei.
  • Da immer mehr Firmen entfernte/per Netzwerkzugriff erreichbare verteilte Dateisysteme verwenden, um Dateien/Dokumente, von denen einige sensible Informationen enthalten, elektronisch zu speichern und später wieder abzurufen, wird die Sicherheit verteilter Dateisysteme immer wichtiger. Die Familie der IP-Sicherheitsstandards (IPSec) wurde eingeführt und liefert zwei primäre Sicherheitsmerkmale: Nachweis der Identität (authentication) und Verschlüsselung. Mit anderen Worten, IPSec stellt sicher, dass Sende- und Empfangseinrichtungen wirklich diejenigen sind, die sie vorgeben zu sein, und IPSec ermöglicht, dass Daten unmittelbar verwürfelt werden können, so dass sie unverständlich sind, wenn sie abgehört werden.
  • Die meisten Systeme verwenden deswegen einen Nachweis der Identität des Benutzers während der ursprünglichen Einbindung, der typischerweise die Prüfung eines Benutzerkennworts usw. einschließt. Kennwortschutz und ähnliche Sicherheitsmaßnahmen sind dafür berüchtigt, geknackt zu werden und können leicht überwunden werden, wobei die Industrie erkannt hat, dass kennwortgeschützte Systeme einen sehr geringen Schutz für sensible Dateien darstellen, nachdem ein allgemeiner Zugang auf das Dateisystem erreicht wurde.
  • Fortgeschrittene Hacker erlangen außerdem Zugang zu den Dateien, die in dem Dateisystem gespeichert sind, indem sie eine Übertragung während einer berechtigten Einbindung abhören und einfach die Daten, während sie vom Dateisystem zum Client-System übertragen werden, kopieren. Das geschieht, weil bei den meisten kennwortgeschützten verteilten Dateisystemen dann, nachdem die mehreren Ebenen des Sicherheits-Anmeldens abgeschlossen sind (Kennwortüberprüfung usw.), die eigentliche Übertragung der Dateien von dem Dateisystem im Klartext erfolgt. Dadurch sind dann, wenn die Übertragung sehr sensible Daten enthält, zusätzliche Sicherheitsmaßnahmen erforderlich, um sicherzustellen, dass die Klartext-Daten nicht verfügbar gemacht werden können, indem die Datei einfach während der Übertragung kopiert wird.
  • Die Leichtigkeit, mit der die Sicherheit der sensiblen Informationen durch dieses zuletzt genannte Verfahren beeinträchtigt werden kann, hängt in gewissem Umfang von dem Medium ab, das von berechtigten Benutzern verwendet wird, um das Dateisystem einzubinden bzw. um darauf zuzugreifen. Ein drahtloser Zugang bzw. eine drahtlose Übertragung ist z.B. typischerweise anfälliger auf Abhören und Knacken als verdrahtete (leitungsgestützte) Netzwerkmedien. Doch selbst das Standard-Ethernet kann leicht abgehört werden, ohne dass dies erkannt wird, und deswegen ist das Standard-Ethernet ebenfalls eine unsichere Möglichkeit, sensible Daten zu übermitteln.
  • Wie oben erwähnt wurde, hat die Industrie auf die wachsende Notwendigkeit der Sicherheit im Übertragungsmedium reagiert durch Anwenden einer starken Verschlüsselung auf alle übertragenen Daten während des Einbindens des Dateisystems. Es gibt gegenwärtig verschiedene Verschlüsselungsalgorithmen und -standards (z.B. Sicherheit der drahtlosen Transportschicht), die entwickelt wurden, um eine Sicherheit für die Übertragungen zwischen Client-System/Knoten und dem Server, der das Dateisystem beherbergt, zu gewährleisten. Die Verwendung einer starken Verschlüsselung bringt für das Client-System und den Server beim gesamten Verkehr eine beträchtliche Verarbeitungslast mit sich. Die Gesamtleistung des Systems verschlechtert sich, und es entstehen erhebliche Kosten in den Firmen, die eine systemweite Verschlüsselung für den Zugang auf ihr Dateisystem realisieren möchten. Die Verschlüsslung wird in den Übertragungsmechanismus eingebaut und auf den gesamten Verkehr zwischen dem Client-System und dem Server angewendet, obwohl der Großteil des Verkehrs möglicherweise nicht diesen Grad der Sicherheit erfordert (z.B. nichtsensible Informationen/Dateien).
  • Die Verwendung von drahtlosen Systemen für den Zugriff auf Dateisysteme nimmt zu, da die Firmen einen Fernzugriff für Benutzer bereitstellen, die mobil sein können und sich aus der Ferne mit dem Netzwerk verbinden möchten. Drahtlose Verbindungen sind jedoch stärker anfällig auf Knacken als leitungsgestützte Verbindungen. Einige drahtlose Benutzer verwenden WTLS, von diesem Sicherheitsmerkmal ist jedoch bekannt, dass es einen verhältnismäßig geringen Grad der Sicherheit darstellt. Eine Lösung erfordert eine Dateneinkapselung/Verschlüsselung des virtuellen privaten Netzwerks (VPN), um auf sensible Daten zuzugreifen, selbst wenn die Mehrzahl der Clients auf das Dateisystem über Token Ring zugreift. Diese VPN-Dateneinkapselung würde außerdem die Geschwindigkeit der Server nachteilig beeinflussen, da sie alle Daten verschlüsselt und entschlüsselt.
  • Es ist außerdem möglich, VPNs oder Server in einem VPN zu konfigurieren, um die IP-Adressen oder Teilnetze zu erkennen und lediglich eine Verschlüsselung bei bestimmten Teilnetzen zu fordern. Ein Problem besteht bei dieser Lösung darin, dass der Administrator des Servers des verteilten Dateisystems jeden drahtlosen Knoten kennen muss, der sich nicht im Netzwerk befindet. Wenn ein drahtloses Netzwerk durch eine Organisation in ihrer Abteilung eingerichtet wird, müsste der Serveradministrator über das drahtlose Netzwerk informiert werden, so dass das Teilnetz der VPN-Liste der IP-Adressen hinzugefügt wird.
  • Keith Brown, "Web Security: Putting Secure Front End on your COM+ Distributed Applications", MSDN magazine, Juni 2000, beschreibt die Verwendung der IIS-Metabasis, um die Verwendung des HTTPS-Protokolls zu fordern. Die IIS-Metabasis wird verwendet, um anzuweisen, dass der Client das HTTPS-Protokoll verwendet.
  • Im Hinblick auf das Vorhergehende wird bei der vorliegenden Erfindung erkannt, dass es wünschenswert wäre, ein Verfahren, ein System und ein Datenverarbeitungssystem zu haben, die eine verbesserte Einbindungssicherheit dynamisch realisieren, wenn ein Zugang auf sensible Dateien in einem verteilten Dateisystem gefordert wird. Ein Verfahren und ein System, die immer dann eine sichere Einbindung automatisch schaffen würden, wenn während einer laufenden Sitzung auf sensible Dateien/Daten zugegriffen wird, wäre eine willkommene Verbesserung. Es wäre ferner wünschenswert, dass die sichere Einbindung nahtlos ausgeführt wird, so dass der berechtigte Benutzer Zugang zu der sensiblen Datei erhält, ohne einen Prozess der Trennung und des Nachweises der Identität bei der Neueinbindung ausführen zu müssen, wobei die sensible Datei vor einem unberechtigten Zugriff geschützt ist, indem die sensible Datei über eine sicherere Einbindung geleitet wird.
  • BESCHREIBUNG DER ERFINDUNG
  • Es werden ein Verfahren, ein System und ein Computerprogrammprodukt beschrieben, die eine verbesserte Einbindungssicherheit eines Dateisystems dynamisch realisieren, wenn ein Zugang auf sensible Dateien in einem Netzwerk-Dateisystem gefordert wird. Das Client-System löst eine Standard-Einbindung und einen Identitätsnachweisprozess für den Zugriff auf Dateien des Dateisystems aus. Wenn der Benutzer des Client-Systems versucht, auf eine speziell gekennzeichnete sensible Datei zuzugreifen, führt der Server einen Softwarecode aus, der die aktuelle Einbindung beendet. Der Server wird neu konfiguriert, um alle Versuche der Neueinbindung des Servers von der IP-Adresse, die dem Client zugehörig ist, zu einem sicheren Anschluss zu leiten. Wenn eine Sitzung durch den Server beendet wird, ist das Client-System so programmiert, dass es automatisch versucht, den Server erneut einzubinden. Der Server erkennt die IP-Adresse des Client während der Neueinbindungsoperation und leitet den Client zu dem sicheren Anschluss.
  • Eine sichere Einbindung wird auf diese Weise immer dann automatisch geschaffen, wenn während einer laufenden Sitzung, die durch eine Standardeinbindung ausgelöst wurde, auf sensible Dateien/Daten zugegriffen wird. Dann wird eine Wegeleitung über eine sichere Einbindung nahtlos ausgeführt, so dass der berechtigte Benutzer einen Zugriff auf die sensible Datei erhält, ohne dass eine wesentliche Verzögerung oder eine wahrnehmbare Trennung erfolgt, die eine von Benutzer ausgelöste Neueinbindung und Identitätsnachweisprozesse erfordert. Währenddessen ist die sensible Datei vor einem unberechtigten Zugriff geschützt, indem sie über die Einbindung mit höherer Sicherheit, die hergestellt wurde, geleitet wird.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die Erfindung wird nun lediglich beispielhaft unter Bezugnahme auf die beigefügten Zeichnungen beschrieben, in denen:
  • 1A ein Prinzipschaltplan eines Datenverarbeitungssystems ist, in dem die Merkmale der Erfindung realisiert werden können;
  • 1B eine Blockdarstellung der Dateien in dem Dateisystem von 1 ist, die ein Sicherheitskennzeichen aufweisen, das einen erforderlichen Grad der Sicherheit gemäß einer Ausführungsform der Erfindung angibt;
  • 2 ein Prinzipschaltplan eines verteilten Netzwerks ist, in dem Merkmale der Erfindung gemäß einer Ausführungsform der Erfindung realisiert sein können;
  • 3A ein Ablaufplan des Prozesses ist, durch den einem Client während eines Zugriffs über eine Standardeinbindung ein Zugriff auf sensible Dateien gemäß einer Ausführungsform der Erfindung bereitgestellt wird;
  • die 3B und 3C Ablaufpläne der Prozesse sind, durch die ein Server Client-Anforderungen für einen Zugriff auf sensible Dateien überwacht und steuert, um sicherzustellen, dass der Zugriff auf diese Dateien gemäß einer Ausführungsform der Erfindung über einen sicheren Kanal geleitet wird; und
  • 4 ein Prinzipschaltplan ist, der logische Komponenten zur nahtlosen Ausführung einer Umschaltung einer Client-Sitzung an einem Dateisystem von einem nichtsicheren Standardkanal zu einem sicheren Kanal während einer einzigen fortgesetzten Sitzung gemäß einer Ausführungsform der Erfindung veranschaulicht.
  • GENAUE BESCHREIBUNG DER ERFINDUNG
  • Es erfolgt nun eine Bezugnahme auf die Figuren und insbesondere auf 1A, in der ein Prinzipschaltplan eines Computersystems dargestellt ist, das entweder als ein Server, der das verteilte Dateisystem enthält, oder als ein Client-System, das zum Einbinden des Servers verwendet wird, in dem das verteilte Dateisystem enthalten ist, verwendet werden kann. Das Computersystem 100 umfasst den Prozessor 102 und den Speicher 104, die über einen Systembus/eine Systemverbindung 110 verbunden sind. Das Computersystem 100 umfasst außerdem die Eingabe/Ausgabe-(E/A) Kanalsteuereinheit (Channel Controller – CC) 109, die an die Verbindung 110 angeschlossen ist. Die E/A-CC 109 erzeugt eine Verbindung mit E/A-Einheiten 106, die eine redundante Anordnung von Platten (RAID) 114 enthalten. Die RAID 114 speichert Befehle und Daten, die in den Speicher geladen werden, wenn sie von den Anwendungen, die durch den Prozessor ausgeführt werden, benötigt werden. Gemäß der dargestellten Ausführungsform stellt die RAID 114 das Speichermedium für die Vielzahl von Dateien dar, die das Dateisystem 112 bilden.
  • Das Computersystem 100 umfasst ferner Netzwerkverbindungseinheiten 108, die u.a. einen leitungsgestützten Modem, einen drahtlosen Modem und Ethernet-Karten enthalten können. Ein Zugriff von und auf E/A-Einheiten 106 und Netzwerkverbindungseinheiten 108 werden über die E/A-Kanalsteuereinheit (E/A-CC) 109 geleitet, die eine Logik enthält, um bei Bedarf einen automatischen Neuaufbau einer Einbindung zum/vom Computersystem 100 über einen "sicheren" Weg/Kanal/Anschluss auszuführen, wie im Folgenden beschrieben wird.
  • Das Computersystem 100 enthält ein Betriebssystem (OS) 122, eine Dateisystem-Softwareanwendung 124, einen Einbindungscode 125 und eine Netzwerk-Sicherheitserweiterung für ein verteiltes Dateisystem (DFNSE) 126. Die Dateisystem-Softwareanwendung 124 schafft den grundlegenden Zugang zum Dateisystems 112 sowie dessen Verwaltung und Aktualisierung, wenn das Computersystem 100 verwendet wird, um ein Dateisystem 112 zu beherbergen.
  • Wenn sich die Dateisystem-Softwareanwendung 124 in einem Client-System befindet, enthält sie eine Client-Version des Einbindungscodes 125 zum Ausführen einer Einbindung und zur automatischen Neueinbindung des Servers, der das Dateisystem beherbergt. In der dargestellten Ausführungsform wird der Prozess der automatischen Neueinbindung immer dann durch das Client-System ausgeführt, wenn eine hergestellte Einbindung mit dem Server unterbrochen wird bzw. verloren geht, ohne dass der Client eine Einbindung des Servers beendet hat. In der beschriebenen Ausführungsform kann der Server einen FYN-Befehl ausgeben, um eine aktuelle Einbindung zu beenden und dadurch den Client zu veranlassen, eine Neueinbindung des Servers auszulösen. Der FYN-Befehl wird in Reaktion auf einen Zugriff auf bestimmte Dateien ausgegeben, die spezielle Sicherheitsschutzmaßnahmen erfordern, wie im Folgenden genauer erläutert wird.
  • Bezugnehmend auf 1A und die Beschreibung der Dateisystem-Softwareanwendung 124, enthält die Dateisystem-Softwareanwendung 124, wenn sie in einem Server ausgeführt wird, einen Code zum Empfangen, Verwalten und Prüfen von Berechtigungsinformationen von verschiedenen Benutzern und Client-Systemen, einen Code zum Verwalten des Dateisystems 112 und einen Code zum selektiven Auslösen einer Sicherheitssoftware und der zugehörigen Reaktion, die als Netzwerksicherheitserweiterung für ein verteiltes Dateisystem (DFNSE) 126 bezeichnet wird. Die DFNSE 126 stellt das Wesen der erfinderischen Merkmale dar, die hier vorhanden sind, und die Ausführung des DFNSE 126 auf einem Server wird nachfolgend unter Bezugnahme auf die 3A bis 3C und 4A beschrieben. Die DFNSE 126 legt grundlegend fest, mit welchem Sicherheitsgrad ein Zugang für spezielle Dateien des Dateisystems 112 zugelassen/berechtigt ist und wann die Maßnahmen der erhöhten Sicherheit der Erfindung ausgelöst werden.
  • In 2 ist ein beispielhaftes Netzwerk dargestellt, das mehrere untereinander verbundene Computersysteme umfasst, die ähnlich wie Computersysteme 100 von 1 konfiguriert sein können und vorteilhaft verwendet werden, um entweder die Server- oder die Client-Funktionalität zum Beherbergen eines verteilten Dateisystems bzw. zum Zugriff darauf bereitzustellen. Das Netzwerk 200 umfasst ein verteiltes Dateisystem 202, das auf drei (oder mehr) miteinander verbundenen Servern 203 eingerichtet ist. Das Netzwerk 200 enthält außerdem eine Vielzahl von Client-Systemen 201, die über eine Netzwerkhauptleitung 210 mit dem verteilten Dateisystem 202 verbunden sind. Die Netzwerkhauptleitung 210 umfasst ein oder mehrere Systeme mit Netzwerkanschlussfähigkeit (Teilnetzwerke), die gemäß Netzwerkprotokollen, wie etwa Ethernet oder Token Ring, konfiguriert sein können. Diese Teilnetzwerke können z.B. leitungsgestützte oder drahtlose Lokalnetze (LAN) oder großflächige Netze (WAN) wie etwa das Internet sein. Darüber hinaus können Teilnetzwerke auch Lichtwellenleiter-Netzwerke enthalten.
  • Das verteile Dateisystem 202 ist über einen oder mehrere Anschlüsse (nicht gezeigt) an wenigstens einem der Server 203 direkt mit der Netzwerkhauptleitung 210 verbunden. Das Client-System 201 kann entweder direkt mit der Netzwerkhauptleitung (per Drahtleitung) oder über ein drahtloses Medium, das durch eine drahtlose Antenne 207 dargestellt ist, zur Datenübertragung angeschlossen sein. Die Client-Systeme 201 greift auf das verteilte Dateisystem 202 über eines der verschiedenen verfügbaren Medien unter Verwendung einer der verschiedenen Netzwerkkonfigurationen zu, wovon jede einen unterschiedlichen Grad der Anfälligkeit auf Knacken besitzt. Dadurch kann das Client-System 201 über ein nichtsicheres drahtloses Netzwerk 227 auf das Dateisystem 202 zugreifen und dieses einbinden, oder das Client-System 201 kann das Dateisystem 202 unter Verwendung eines sicheren Lichtwellenleiter-Netzwerks 225 einbinden. Zur Vereinfachung der Beschreibung der Erfindung wird angenommen, dass das drahtlose Netzwerk 227 ein nichtsicheres Standard-Netzwerk ohne Verschlüsselung und das Lichtwellenleiter-Netzwerk 225 eine spezielle gesicherte Verbindung mit Verschlüsselung ist. Jede Verbindung wird über verschiedene Anschlüsse geleitet, die an dem Server 203 zur Verfügung stehen, bei dem die Einbindung des Dateisystems 202 unterstützt wird.
  • 1B veranschaulicht eine Blockdarstellung des Dateisystems 202 mit einer genaueren Darstellung der Dateien, die das Dateisystem 202 bilden. Wie gezeigt ist, umfasst das Dateisystem 202 einen Steuerungsblock 131 und eine Vielzahl von Dateien 132 a bis n, wovon jede eine Metadatenkennzeichnung 112 mit einem Kopfsatz/Kennungsfeld 334 und einem Sicherheitsfeld 336 enthält. Das Kopfsatz/Kennungsfeld 334 enthält Informationen über die Dateikennung und die Benutzer, die Zugriff auf die Datei haben. Das Sicherheitsfeld ist ein Einzelbitfeld, das den Grad der Sicherheit, der dieser Datei zugeschrieben ist, und demzufolge den Typ des zulässigen Benutzerzugriffs angibt. Gemäß der dargestellten Ausführungsform werden bestimmte Dateien, die den höchsten Sicherheitsgrad erfordern und bei denen ein Zugriff nur auf eine gesicherte Einbindung beschränkt ist (z.B. die Dateien 1 und 3), in dem Sicherheitsfeld 336 ihrer entsprechenden Metadaten mit "1" gekennzeichnet. Andere Dateien, die nicht in dieser Weise gekennzeichnet sind (die z.B. mit "0" gekennzeichnet sind) sind normal (z.B. Datei 2), und auf diese kann durch jeden berechtigten Benutzer ohne eine spezielle gesicherte Einbindung zugegriffen werden.
  • Wie oben erwähnt wurde, führt die Erfindung einen verbesserten Sicherheitsmechanismus ein, der in der dargestellten Ausführungsform als DFNSE (Netzwerksicherheitserweiterung für verteilte Dateisysteme) bezeichnet ist. Bei DFNSE ist der Dateisystem-Server in der Lage, aus den Datei-Berechtigungsangaben, die einer Datei oder einem Verzeichnis zugehörig sind, den Grad der Netzwerksicherheit abzuleiten, der erforderlich ist, wenn ein Zugriff auf die Datei durch bestimmte Benutzer bereitgestellt wird. DFNSE ist eine Anwendung/Prozedur zur Verbesserung der Dateisystemsicherheit auf Serverebene. Demzufolge muss bei DFNSE lediglich der Server Kenntnis über die Netzwerkverbindungen oder Adapter besitzen, die durch den Server verwendet werden.
  • Eine spezielle Hardware, Logik- und Softwarekomponenten sind in jedem Server vorgesehen, der in der Lage ist, eine Einbindung für das Dateisystem bereitzustellen, um DFNSE zu realisieren. 4 ist ein Prinzipschaltplan, der einige dieser Komponenten veranschaulicht. Wie in 4 dargestellt ist, kann der Server 203 mit zwei Ethernet-Netzwerkadaptern (oder Anschlüssen) versehen sein: en0 403, der sicher ist, und en1 405, der nicht sicher ist. In einer Ausführungsform ist die Netzwerktopologie, die hinter diesen Adaptern vorhanden ist, konsistent. Das heißt, das ausgewählte Teilnetzwerk schafft selbst die Sicherheit, und der Server ist in der Lage, anhand des erforderlichen Grads der Sicherheit zwischen Teilnetzwerken dynamisch auszuwählen. In einer anderen Ausführungsform werden bei dem sicheren Adapter en0 403 eine zusätzliche Verschlüsselung oder andere Sicherheitsmerkmale bereitgestellt.
  • En0 403 verbindet mit einem Lichtwellenleiter-Netzwerk 225, das verwendet wird, um alle sensiblen Daten zu leiten, während en1 405 mit einem leitungsgestützten Standard-Netzwerk 221 auf Ethernetbasis verbunden ist und zum Leiten der gesamten anderen (nicht sensiblen) Datenübertragung verwendet wird. En1 405 ist der Standardanschluss zum Einbinden des Dateisystem-Servers. Bei der beispielhaften Ausführungsform wird angenommen, dass die Einfachheit, mit der das Standard-Ethernet abgehört werden kann, ohne dass dies erkannt wird, das Ethernet zu einer unsicheren Möglichkeit zum Leiten von sensiblen Daten macht. Während einer Einbindung des Dateisystems verfolgt der Server, der eine genaue Kenntnis über die Dateiberechtigungen 334 und den Sicherheitsgrad 336 für jede Datei besitzt, den Benutzerzugriff und legt anhand der Dateiberechtigungen, die für die Dateien, auf die zugegriffen werden soll, vorhanden sind, fest, wann der Client zu veranlassen ist, auf das sichere Netzwerk umzuschalten. Gemäß der dargestellten Ausführungsform ist die Netzwerktopologie sowohl für sichere als auch nichtsichere Wege konsistent, so dass keine zusätzliche Hardware und/oder Aktualisierungen des Leitprotokolls erforderlich sind, um unterschiedliche Topologien während der Umschaltung von dem nichtsicheren zu dem sicheren Teilnetzwerk zu berücksichtigen.
  • Der Server 203 von 4 enthält außerdem eine Einbindungssteuereinheit 407, die herkömmliche Operationen zur Unterstützung der Einbindung und des Lösens der Einbindung für das Dateisystem 202 sowie die Konfiguration der Neueinbindung gemäß den Merkmalen der vorliegenden Erfindung ausführt. Die Einbindungssteuereinheit 407 enthält die DFNSE 126 und ist vorzugsweise als Softwarecode, der auf dem Server 203 ausgeführt wird, realisiert. Durch eine Funktion der DFNSE 126 wird die Einbindungssteuereinheit 407 veranlasst, eine Anforderung für eine Einbindung entweder über den Standardanschluss En1 405 oder den gesicherten Anschluss En0 403 zu leiten. Der Server 203 enthält außerdem ein Verschlüsselungsmodul 409, das in Verbindung mit der DFNSE 126 und dem Anschluss En0 403 verwendet wird, wenn am gesicherten Anschluss eine Verschlüsselung ausgeführt wird.
  • Wenn am Server 203 eine Anforderung für einen Zugriff auf eine sensible Operation empfangen wird, markiert die Einbindungssteuereinheit 407 während eines Dateisystemzugriffs, die IP-Adresse des Client als eine Adresse, die einen Zugriff auf sensible Daten benötigt. Der Server 203 unterbricht dann die laufende Verbindung (d.h., der Server sendet einen Befehl FYN an den Client). Der Client versucht automatisch eine Neuverbindung, und die Einbindungssteuereinheit 407 erkennt die IP-Adresse des Client während der Neueinbindung. Die Sitzung des Client wird dann zu einem sicheren SSL-Anschluss geleitet. Während der primäre Zugriff über den Standardanschluss erfolgt, wird somit der Zugriff dynamisch zu dem sicheren SSL-Anschluss umgeschaltet, wenn ein Zugriff auf sensible Daten/Dateien gefordert wird.
  • In 3B ist ein Ablaufplan des Prozesses dargestellt, durch den die durch Software realisierten DFNSE-Sicherheitsmerkmale in der oben genannten Hardware/Logik-Konfiguration des Servers, der das Dateisystem beherbergt, realisiert werden. Der Prozess beginnt mit einer Anforderung einer Standardeinbindung, die am Standardanschluss des Servers von einem Client empfangen wird, wie im Block 321 gezeigt ist. Der Benutzer wird nach Daten zum Nachweis der Identität (Kennwort usw.) gefragt, und die IP-Adresse des Client-Systems wird aus dem Datenpaket abgerufen, wie im Block 323 angegeben ist. Eine Sitzung wird am Standardanschluss begonnen und sowohl die IP-Adresse als auch die Daten zum Nachweis der Identität des Benutzers werden in einer Parameterdatei gespeichert, die mit der bestimmten Sitzung verknüpft ist, wie im Block 325 gezeigt ist. Nachdem die Sitzung aufgebaut wurde, überwacht die Serverlogik, die mit Zugriffsberechtigungen usw. verbunden ist, die Wechselwirkungen des Benutzers, wie im Block 327 gezeigt ist, und im Block 329 wird festgestellt, ob der Benutzer einen Zugriff auf eine sensible Datei fordert.
  • Der Server, der eine Client-Anforderung nach einer Datei erfüllt, ist mit der Berechtigung/Berechtigungsnachweisen des Benutzers an dem entfernten Client und den Berechtigungsangaben der Datei, auf die zugegriffen wird, programmiert. Wenn die Datei, auf die zugegriffen wird, nicht sensibel ist, wird dem Benutzer an dem Standardanschluss ein normaler Zugriff gewährt, wie im Block 331 gezeigt ist. Wenn jedoch die Datei, die von dem Client angefordert wird, eine sensible Datei ist, die einen Kanal mit höherer Sicherheit erfordert, bevor ein Zugriff gewährt werden kann, erfolgt im Block 333 eine nächste Feststellung, ob der Benutzer eine geeignete Zugriffsberechtigung besitzt, um auf die Datei zuzugreifen. Wenn der Benutzer die geeignete Zugriffsberechtigung nicht besitzt, wird die Anforderung abgelehnt, wie im Block 335 gezeigt ist. Wenn jedoch die Berechtigungsnachweise des Benutzers angeben, dass der Benutzer eine Berechtigung besitzt, auf die bestimmte Datei zuzugreifen, wird das DFNSE-Sicherheitsprotokoll aktiviert, wie im Block 337 gezeigt ist. Die Aktivierung der DFNSE bewirkt, dass der Server ein Lösen der Einbindung des Client veranlasst, indem er einen Befehl FYN an den Client ausgibt und gleichzeitig einen Anschluss mit höherer Sicherheit konfiguriert, um die Neueinbindung von dem Client, der die IP-Adresse besitzt, die mit den Sitzungsparametern gespeichert wurde, zu akzeptieren. Der Server stellt dann einen gesicherten Zugriff auf die Datei über den gesicherten Anschluss bereit, wie im Block 339 gezeigt ist.
  • 3A ist ein Ablaufplan der Prozesse, die bei der Realisierung der Erfindung hauptsächlich aus der Sicht des Benutzers/Client-Systems beteiligt sind. Der Prozess beginnt, wenn ein Benutzer (über das Client-System) einen Server einbindet, der das Dateisystem beherbergt, wie im Block 302 dargestellt ist, und einen Zugriff auf das Dateisystem fordert, wie im Block 304 gezeigt ist. Wenn der Client anfangs das NFS-Dateisystem einbindet, wird die Einbindung vorzugsweise über eine Standard-TCP-Verbindung ausgeführt. Die Verbindung kann z.B. mit dem allgemein bekannten NFS-Anschluss des 2048 bestehen. Der Server besitzt einen logischen Abhör-Verbindungsendpunkt (listening socket), der mit diesem Anschluss verbunden ist, und arbeitet gemäß dem (nichtsicheren) Standardprotokoll. Bei der dargestellten Ausführungsform ist bemerkenswert, dass das Standardprotokoll durch das DFNSE-Protokoll erweitert ist, das dann ausgeführt wird, wenn Zugriffe auf sensible Dateien gefordert werden.
  • Wenn eine Verbindung vom Client gefordert wird, dupliziert sich der logische Abhör-Verbindungsendpunkt grundsätzlich selbst und stellt die Verbindung mit dem entfernten Server her. Der logische Abhör-Verbindungsendpunkt bleibt dann geöffnet, um weitere Verbindungsanforderungen zu behandeln. Der Nachweis der Identität des Client wird eingeleitet, wie im Block 306 gezeigt ist, und es wird im Block 308 festgestellt, ob der Nachweis der Identität des Client erfolgreich war. Wenn der Prozess des Nachweises der Identität des Client/Benutzers erfolglos war, wird der Zugriff auf das Dateisystem abgewiesen und die Einbindung wird gelöst, wie im Block 310 gezeigt ist. Anschließend endet der Prozess, wie im Block 311 angegeben ist. Ansonsten wird eine Sitzung eröffnet, und dem Benutzer wird Zugriff auf das Dateisystem gewährt, wie im Block 309 gezeigt ist.
  • Das Client-System überwacht die Verbindung nach Unterbrechungen, wie im Block 312 gezeigt ist, und stellt fest, wie im Block 314 angegeben ist, ob die Verbindung nicht reagiert oder an der Serverseite vorzeitig unterbrochen wurde (d.h. im Idealfall dann, wenn ein von Server ausgegebener Befehl FYN empfangen wird). Wenn die Verbindung nicht reagiert oder unterbrochen ist, löst der Client eine Neueinbindung aus, die zu dem Anschluss geleitet wird, die vom Server angegeben ist, wie im Block 316 angegeben ist.
  • Die erneute Verbindung in Reaktion auf eine vom Server ausgelöstes Lösen der Einbindung wird vor allem zu einem sicheren Anschluss am Server geleitet, obwohl der tatsächliche Anschluss dem Client-System unbekannt sein kann. Unter Verwendung der Sicherheitsprotokolle des DFNSE und anhand der Kenntnis, welcher Anschluss sicher ist und ob die Sitzung einen sicheren Anschluss erfordert, kann der Server fordern, dass der Client eine Neueinbindung über einen sicheren Anschluss ausführt. Der Client kann z.B. veranlasst werden, die Neueinbindung unter Verwendung eines Anschlusses auszuführen, der unter dem SSL-Protokolls betrieben wird. Vor allem ist keine Benutzeraktion erforderlich, um die Neueinbindung und die Anschlussumschaltprozeduren auszuführen. Die Überwachung der Ausführung der Einbindung auf der Serverseite und der nachfolgenden Neueinbindung erfolgen als Hintergrundprozesse am Client-System, und der Benutzer (Client) wird über das Umschalten zu einem Anschluss mit höherer Sicherheit nicht informiert.
  • Eine genauere Darstellung der internen Verarbeitung, die für das Umleiten über einen Anschluss mit höherer Sicherheit auf der Serverseite erforderlich ist, ist durch den Ablaufplan von 3C angegeben. Der Prozess beginnt, wenn ein Zugriff auf eine sensible Datei durch DFNSE erkannt wird, wie im Block 351 gezeigt ist. Der Server prüft die Sicherheit des gegenwärtigen Anschlusses, wie im Block 352 angegeben ist. Im Block 354 wird festgestellt, ob die Sicherheit des gegenwärtigen Anschlusses für das Zugreifen auf die angeforderte Datei ausreichend ist (in Abhängigkeit davon, wie sensibel die Datei ist, was in der dargestellten Ausführungsform durch Lesen des Sicherheitsbits der Datei abgeleitet wird). Wenn die Sicherheit des gegenwärtigen Anschlusses für das Zugreifen auf die angeforderte Datei ausreichend ist, wird der Zugriff gewährt, wie im Block 356 gezeigt ist.
  • In einer alternativen Ausführungsform kann die Neueinbindungsfunktion wahlweise automatisch sein und der Prozess kann eine nächste Bestimmung erfordern, ob das Merkmal der automatischen Neueinbindung freigegeben ist. Wenn bei dieser alternativen Ausführungsform die Möglichkeit der automatischen Neueinbindung nicht freigegeben ist, wird der Benutzer dann aufgefordert, eine Neueinbindung über eine sichere Einbindung auszuführen.
  • Wenn die Anschlusssicherheit unzureichend ist, reagiert in der dargestellten Ausführungsform von 3C der Server, indem er einen Anschluss mit höherer Sicherheit (z.B. En0) für diese Sitzung auswählt, wie im Block 358 gezeigt ist. Der Server nimmt einen Speicherauszug des Nachweises der Identität und der Einbindungsparameter der Sitzung, einschließlich der IP-Adresse des Client, und überträgt diese Parameter an die Steuerlogik des Anschlusses mit höherer Sicherheit, wie im Block 360 gezeigt ist. Die Übertragung erfolgt mit einer sehr geringen Latenz, und der Anschluss mit höherer Sicherheit wird dadurch automatisch konfiguriert, um eine Neueinbindung von diesem Client zu empfangen und die Unterstützung der ablaufenden Sitzung fortzusetzen. Nachdem der sichere Anschluss konfiguriert wurde, wird die entsprechende Anschlussnummer gemeinsam mit der IP-Adresse des Client an die Einbindungssteuereinheit gegeben. Der Server beendet die Einbindung an dem ersten Standardanschluss und stellt die Sitzung über den Anschluss mit höherer Sicherheit wieder her, wenn eine Neueinbindung von dem Client empfangen wird, wie im Block 362 gezeigt ist.
  • In Reaktion auf den Server, der die ursprüngliche Einbindung beendet, löst der Client vor allem die Neueinbindung aus, die durch den Benutzer zu dem zweiten gesicherten Anschluss geleitet wird. Dies stellt die ursprüngliche Sitzung des Client wieder her, jedoch über den zweiten Anschluss. Die Wiederherstellung der Verbindung beinhaltet die Prüfung der IP-Adresse des Client und ihre Anpassung an den Anschluss, der vorbereitet ist, die Verbindung von dieser IP-Adresse zu empfangen. Der gesamte Prozess erfolgt im Hintergrund und deswegen wird aus der Sicht des Benutzers ein nahtloses Umschalten von Anschlüssen ausgeführt.
  • In einer alternativen Ausführungsform wird der Grad der Sicherheit, der einer bestimmten Datei zugeschrieben werden kann, durch den Benutzer festgelegt (oder von ausgewählten Client-Systemen), denen ein Zugriff auf die bestimmte Datei gewährt wird. Wenn die Zugriffsberechtigungen der Datei nur auf den Administrator des Dateisystems beschränkt sind, ist somit der Grad der Sicherheit hoch, während eine Dateizugriffsberechtigung, die an normale Angestellte erteilt wird, einen verhältnismäßig niedrigen Grad der erforderlichen Sicherheit angibt. Die Festlegung des Sicherheitsgrads für eine Datei wird ausgeführt, wenn der Benutzer anfangs die Datei erzeugt und die Zugriffsberechtigung dieser Datei zuweist. Nachdem die Datei in dem Dateisystem angeordnet wurde, beinhaltet die Datei automatisch den Netzwerksicherheitsschutz, der festgelegt wurde. Bei dieser Ausführung sind die vorhandenen Dateiberechtigungen an Dateien in dem Dateisystem (z.B. UNIX -rwx,rwx,rwx für Benutzer, Gruppe, andere) in dem hier bereitgestellten Sicherheitsmodell enthalten, ohne dass eine ausführliche Systemadministration und Systemkonfiguration erforderlich sind. Deswegen wird durch die vorliegende Erfindung die Notwendigkeit der Neukonfigurierung von vorhandenen Dateisystemen für jede einzelne Datei entbehrlich. Bei der Erfindung besteht außerdem keine Forderung, sensible Dateien zu einem sicheren Server zu verlagern.

Claims (18)

  1. Verfahren zum Gewährleisten der Sicherheit bei der Übertragung von wenigstens einer ersten Datei, wobei das Verfahren zur Verwendung in einem Datenverarbeitungssystem vorgesehen ist, das Folgendes umfasst: (1) ein Speichermedium, in welchem die wenigstens eine erste Datei gespeichert ist, die eine voreingestellte Zugangsberechtigung besitzt, (2) wenigstens einen ersten Standardanschluss und einen zweiten sicheren Anschluss zum Verbinden des Datenverarbeitungssystems mit externen Client-Systemen, (3) eine Logik zur wahlweisen Umlenkung der Übertragung der wenigstens einen Datei über den ersten Anschluss und den zweiten Anschluss, und (4) eine Neukonfigurationslogik zum Konfigurieren des ersten Standardanschlusses und des zweiten gesicherten Anschlusses zum Unterstützen einer Einbindung durch das Client-System, wobei das Verfahren Folgendes umfasst: in Reaktion auf eine Anforderung nach einem Zugriff auf die erste Datei durch das externe Client-System Prüfen der voreingestellten Zugangsberechtigung der ersten Datei; und wenn die voreingestellte Zugangsberechtigung der ersten Datei angibt, dass für die erste Datei ein gesicherter Zugang erforderlich ist, dynamische Umlenkung einer Übertragung der ersten Datei zu dem externen Client-System über den zweiten Anschluss, wobei der Schritt der dynamischen Weglenkung umfasst: zunächst Konfigurieren des zweiten sicheren Anschlusses, um eine erneute Operation des Einbindens, die von dem Client-System empfangen wird, zu unterstützen; Beenden einer aktuellen Einbindung an dem ersten Standardanschluss mit dem Client-System; und Speichern von Sitzungsparametern der aktuellen Einbindung, um eine nahtlose Fortsetzung der Sitzung an dem zweiten sicheren Anschluss zu ermöglichen.
  2. Verfahren nach Anspruch 1, das ferner umfasst: Leiten der Übertragung der ersten Datei über den ersten Standardanschluss, wenn die voreingestellte Zugangsberechtigung angibt, dass ein normaler Zugang ausreichend ist.
  3. Verfahren nach Anspruch 1, das ferner umfasst: Freigeben einer ersten Einbindung des Datenverarbeitungssystems über den ersten Standardanschluss; und Freigeben einer zweiten Einbindung des Datenverarbeitungssystems über den zweiten sicheren Anschluss nur dann, wenn die erste Datei einen gesicherten Zugang erfordert.
  4. Verfahren nach Anspruch 1, wobei das Datenverarbeitungssystem ferner ein Verschlüsselungsmodul umfasst, das dem zweiten gesicherten Anschluss zugeordnet ist, wobei der Schritt der dynamischen Umlenkung umfasst: zunächst Verschlüsseln der ersten Datei unter Verwendung des Verschlüsselungsmoduls.
  5. Verfahren nach Anspruch 4, wobei der Schritt des Konfigurierens und Speicherns Folgendes enthält: Abrufen einer IP-Adresse des Client-Systems; Anordnen der IP-Adresse in einer Konfiguration des zweiten sicheren Anschlusses, wobei der zweite sichere Anschluss eine erneute Operation des Einbindens von dem Client-System automatisch erkennt und die Sitzung mit dem Client-System wiederherstellt.
  6. Verfahren nach Anspruch 1, wobei die voreingestellte Zugangsberechtigung ein Bit in Metadaten ist, die mit der ersten Datei verknüpft sind, und das Verfahren ferner das Lesen eines Wertes dieses Bits umfasst, um zu bewerten, ob die erste Datei einen sicheren Zugang erfordert.
  7. Verfahren nach Anspruch 1, wobei durch die voreingestellte Zugangsberechtigung eine Identitätsprüfung durchgeführt wird, um festzustellen, welche speziellen Benutzer berechtigt sind, über einen gesicherten Zugang auf die erste Datei zuzugreifen, wobei das Verfahren ferner die folgenden Schritte umfasst: Vergleichen eines Benutzer des Client-Systems mit einem speziellen Benutzer, der eine Berechtigung zum Zugriff auf die Datei besitzt; und wenn der Benutzer einer der speziellen Benutzer ist, automatisches Auslösen einer Umleitung einer Übertragung der ersten Datei über den zweiten sicheren Anschluss.
  8. Verfahren nach Anspruch 1, wobei der erste Standardanschluss über ein erstes nichtgesichertes Netzwerk mit dem Client-System verbindet und der zweite sichere Anschluss über ein zweites gesichertes Netzwerk mit dem Client-System verbindet.
  9. Verfahren nach Anspruch 1, wobei: das Datenverarbeitungssystem ein Server in einem Netzwerk ist, das ein erstes Teilnetz, das den ersten Standardanschluss mit dem Client-System verbindet, und ein zweites Teilnetz, das den zweiten sicheren Anschluss mit dem Client-System verbindet, aufweist; die erste Datei in einem Dateisystem gespeichert ist; der Prüfschritt ein Zugreifen auf das Dateisystem und das Lokalisieren der ersten Datei enthält; und der Umlenkungsschritt das Übertragen der Datei über das zweite Teilnetz, wenn die Datei einen sicheren Zugang erfordert, und das Übertragen der ersten Datei über das zweite Teilnetz, wenn die erste Datei keinen sicheren Zugang erfordert, enthält.
  10. System zum Gewährleisten der Sicherheit bei der Übertragung von wenigstens einer ersten Datei zur Verwendung in einem Datenverarbeitungssystem, das umfasst: (1) ein Speichermedium, in welchem die wenigstens eine Datei gespeichert ist, die eine voreingestellte Zugangsberechtigung besitzt, (2) wenigstens einen ersten Standardanschluss und einen zweiten sicheren Anschluss zum Verbinden des Datenverarbeitungssystems mit externen Client-Systemen und (3) eine Logik zur wahlweisen Umlenkung der Übertragung der wenigstens einen Datei über den ersten Anschluss und den zweiten Anschluss, wobei das System umfasst: eine Logik, die auf eine Anforderung zum Zugriff auf die erste Datei durch das externe Client-System anspricht, um die voreingestellte Zugangsberechtigung der ersten Datei zu prüfen; eine Neukonfigurationslogik zum Konfigurieren des ersten Standardanschlusses und des zweiten sicheren Anschlusses zum Unterstützen einer Einbindung durch das Client-System; und wenn die voreingestellte Zugangsberechtigung der ersten Datei angibt, dass für die erste Datei ein gesicherter Zugang erforderlich ist, eine Logik zur dynamischen Umlenkung einer Übertragung der ersten Datei zu dem externen Client-System über den zweiten Anschluss, wobei die Logik zur dynamischen Umlenkung umfasst: eine Logik, um zunächst den zweiten sicheren Anschluss zu konfigurieren, um eine erneute Operation des Einbindens zu unterstützen, die von dem Client-System empfangen wird; eine Logik zum Beenden einer aktuellen Einbindung an dem ersten Standardanschluss mit dem Client-System; und eine Logik zum Speichern von Sitzungsparametern des aktuellen Einbindens, um eine nahtlose Fortsetzung der Sitzung an dem zweiten sicheren Anschluss zu ermöglichen.
  11. System nach Anspruch 10, das ferner Folgendes umfasst: eine Logik zur Umlenkung der Übertragung der ersten Datei über den ersten Standardanschluss, wenn die voreingestellte Zugangsberechtigung angibt, dass ein normaler Zugang ausreichend ist.
  12. System nach Anspruch 10, das ferner Folgendes umfasst: eine Logik, die eine erste Einbindung des Datenverarbeitungssystems über den ersten Standardanschluss ermöglicht; und eine Logik, die eine zweite Einbindung des Datenverarbeitungssystems über den zweiten sicheren Anschluss nur dann ermöglicht, wenn die erste Datei einen gesicherten Zugang erfordert.
  13. System nach Anspruch 10, wobei das Datenverarbeitungssystem ferner ein Verschlüsselungsmodul umfasst, das dem zweiten gesicherten Anschluss zugeordnet ist, wobei die Logik zur dynamischen Umlenkung umfasst: eine Logik, um zunächst die erste Datei unter Verwendung des Verschlüsselungsmoduls zu verschlüsseln.
  14. System nach Anspruch 10, wobei der Konfigurierungs- und Speicherungsschritt enthält: eine Logik zum Abrufen einer IP-Adresse des Client-Systems; eine Logik zum Einsetzen der IP-Adresse in einer Konfiguration des zweiten sicheren Anschlusses, wobei der zweite sichere Anschluss eine erneute Operation des Einbindens von dem Client-System automatisch erkennt und die Sitzung mit dem Client-System wiederherstellt.
  15. System nach Anspruch 10, wobei die voreingestellte Zugangsberechtigung ein Bit in Metadaten ist, die mit der ersten Datei verknüpft sind, und das System ferner das Lesen eines Wertes des Bits umfasst, um zu bewerten, ob die erste Datei einen sicheren Zugang erfordert.
  16. System nach Anspruch 10, wobei durch die voreingestellte Zugangsberechtigung eine Identitätsprüfung durchgeführt wird, um festzustellen, welchen speziellen Benutzern ein Zugang zu der ersten Datei über einen gesicherten Zugang gestattet ist, wobei das System ferner Folgendes umfasst: eine Logik zum Vergleichen eines Benutzers des Client-Systems mit den speziellen Benutzern, die eine Zulassung für den Zugang zu der Datei besitzen; und wenn der Benutzer einer der speziellen Benutzer ist, eine Logik, um eine Umlenkung einer Übertragung der ersten Datei über den zweiten sicheren Anschluss automatisch auszulösen.
  17. System nach Anspruch 10, wobei der erste Standardanschluss über ein erstes ungesichertes Netzwerk mit dem Client-System und der zweite sichere Anschluss über ein zweites gesichertes Netzwerk mit dem Client-System verbunden ist.
  18. System nach Anspruch 10, wobei: das Datenverarbeitungssystem ein Server in einem Netzwerk ist, das ein erstes Teilnetz, das den ersten Standardanschluss mit dem Client-System verbindet, und ein zweites Teilnetz, das den zweiten sicheren Anschluss mit dem Client-System verbindet, aufweist; die erste Datei in einem Dateisystem gespeichert ist; die Logik zum Prüfen ein Mittel zum Zugreifen auf das Dateisystem und zum Lokalisieren der ersten Datei enthält; und die Logik zur Umlenkung ein Mittel zum Übertragen der Datei über das zweite Teilnetz, wenn die Datei einen sicheren Zugang erfordert, und zum Übertragen der ersten Datei über das zweite Teilnetz, wenn die erste Datei keinen sicheren Zugang erfordert, enthält.
DE602004002401T 2003-05-22 2004-04-15 Verfahren und vorrichtung zur erweiterung der netzwerksicherheit in einem verteilten dateisystem Expired - Lifetime DE602004002401T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US443675 2003-05-22
US10/443,675 US7917751B2 (en) 2003-05-22 2003-05-22 Distributed filesystem network security extension
PCT/GB2004/001629 WO2004104902A1 (en) 2003-05-22 2004-04-15 Distributed filesystem network security extension

Publications (2)

Publication Number Publication Date
DE602004002401D1 DE602004002401D1 (de) 2006-10-26
DE602004002401T2 true DE602004002401T2 (de) 2007-09-20

Family

ID=33450477

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004002401T Expired - Lifetime DE602004002401T2 (de) 2003-05-22 2004-04-15 Verfahren und vorrichtung zur erweiterung der netzwerksicherheit in einem verteilten dateisystem

Country Status (12)

Country Link
US (1) US7917751B2 (de)
EP (1) EP1625524B1 (de)
JP (1) JP4602981B2 (de)
KR (1) KR100906119B1 (de)
CN (1) CN100530207C (de)
AT (1) ATE339733T1 (de)
BR (1) BRPI0410569B1 (de)
CA (1) CA2525249C (de)
DE (1) DE602004002401T2 (de)
IL (1) IL172054A (de)
TW (1) TWI282229B (de)
WO (1) WO2004104902A1 (de)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7124171B1 (en) * 2002-05-23 2006-10-17 Emc Corporation In a networked computing cluster storage system and plurality of servers sharing files, in the event of server unavailability, transferring a floating IP network address from first server to second server to access area of data
US7480700B2 (en) * 2004-04-27 2009-01-20 Apple Inc. Method and system for retrieval and usage of remote entry points
US7827294B2 (en) 2004-05-06 2010-11-02 American Express Travel Related Services Company, Inc. System and method for dynamic security provisioning of computing resources
US20060031326A1 (en) * 2004-07-06 2006-02-09 Francis Ovenden Managing personal communications from a calendar scheduling application
US7640346B2 (en) * 2005-02-01 2009-12-29 Microsoft Corporation Dispatching network connections in user-mode
JP4722519B2 (ja) * 2005-03-25 2011-07-13 株式会社日立製作所 計算機システム及びストレージサーバ、検索サーバ、端末装置並びに検索方法
US7742498B2 (en) 2005-05-17 2010-06-22 At&T Intellectual Property Ii, L.P. Method and apparatus for routing a call to a dual mode wireless device
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
JP4600762B2 (ja) * 2005-08-31 2010-12-15 ソニー株式会社 情報処理装置および方法、並びにプログラム
KR100810368B1 (ko) * 2006-07-10 2008-03-07 주식회사 한글과 컴퓨터 그룹 내 문서에 대한 유출 방지 및 접근 제어 시스템
US8874907B1 (en) * 2007-09-28 2014-10-28 Symantec Operating Corporation Controlling access to an NFS share
US8560833B2 (en) * 2010-10-29 2013-10-15 Aruba Networks, Inc. Automatic secure client access
US8959113B2 (en) 2011-03-30 2015-02-17 Open Text S.A. System, method and computer program product for managing tabulated metadata
US9477739B2 (en) 2011-09-23 2016-10-25 Hybrid Logic Ltd System for live-migration and automated recovery of applications in a distributed system
US10311027B2 (en) 2011-09-23 2019-06-04 Open Invention Network, Llc System for live-migration and automated recovery of applications in a distributed system
US9483542B2 (en) 2011-09-23 2016-11-01 Hybrid Logic Ltd System for live-migration and automated recovery of applications in a distributed system
US9547705B2 (en) * 2011-09-23 2017-01-17 Hybrid Logic Ltd System for live-migration and automated recovery of applications in a distributed system
US10331801B2 (en) 2011-09-23 2019-06-25 Open Invention Network, Llc System for live-migration and automated recovery of applications in a distributed system
US9501543B2 (en) 2011-09-23 2016-11-22 Hybrid Logic Ltd System for live-migration and automated recovery of applications in a distributed system
GB2495079A (en) 2011-09-23 2013-04-03 Hybrid Logic Ltd Live migration of applications and file systems in a distributed system
TW201351194A (zh) * 2012-06-07 2013-12-16 Askey Computer Corp 可攜式電子裝置的資料保護方法及其電腦程式產品
US8635668B1 (en) * 2012-07-11 2014-01-21 International Business Machines Corporation Link analysis tool for security information handling system
US8806575B2 (en) 2012-07-11 2014-08-12 International Business Machines Corporation Network selection tool for information handling system
US8898769B2 (en) 2012-11-16 2014-11-25 At&T Intellectual Property I, Lp Methods for provisioning universal integrated circuit cards
US8959331B2 (en) 2012-11-19 2015-02-17 At&T Intellectual Property I, Lp Systems for provisioning universal integrated circuit cards
US9513803B2 (en) * 2012-12-21 2016-12-06 Intel Corporation Tagging in a storage device
US9699141B2 (en) * 2013-04-03 2017-07-04 Symantec Corporation Method and apparatus for integrating security context in network routing decisions
US9036820B2 (en) 2013-09-11 2015-05-19 At&T Intellectual Property I, Lp System and methods for UICC-based secure communication
US9124573B2 (en) 2013-10-04 2015-09-01 At&T Intellectual Property I, Lp Apparatus and method for managing use of secure tokens
US9208300B2 (en) 2013-10-23 2015-12-08 At&T Intellectual Property I, Lp Apparatus and method for secure authentication of a communication device
US9240994B2 (en) * 2013-10-28 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for securely managing the accessibility to content and applications
US9313660B2 (en) 2013-11-01 2016-04-12 At&T Intellectual Property I, Lp Apparatus and method for secure provisioning of a communication device
US9240989B2 (en) 2013-11-01 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for secure over the air programming of a communication device
US9413759B2 (en) 2013-11-27 2016-08-09 At&T Intellectual Property I, Lp Apparatus and method for secure delivery of data from a communication device
CN103905466B (zh) * 2014-04-22 2017-01-11 郭伟 一种存储系统数据访问控制系统及其方法
US9713006B2 (en) 2014-05-01 2017-07-18 At&T Intellectual Property I, Lp Apparatus and method for managing security domains for a universal integrated circuit card
US9628486B2 (en) * 2014-10-23 2017-04-18 Vormetric, Inc. Access control for data blocks in a distributed filesystem
US10558818B2 (en) * 2017-02-22 2020-02-11 Red Hat, Inc. Supporting security access controls in an overlay filesystem
US11042641B2 (en) 2018-09-11 2021-06-22 Amari.Ai Incorporated Deployment and communications gateway for deployment, trusted execution, and secure communications
EP4106290A1 (de) * 2021-06-17 2022-12-21 Deutsche Telekom AG Verfahren zum betrieb einer verteilten anwendung

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6850252B1 (en) * 1999-10-05 2005-02-01 Steven M. Hoffberg Intelligent electronic appliance system and method
US5758334A (en) 1995-07-05 1998-05-26 International Business Machines Corporation File system remount operation with selectable access modes that saves knowledge of the volume path and does not interrupt an executing process upon changing modes
US6006018A (en) * 1995-10-03 1999-12-21 International Business Machines Corporation Distributed file system translator with extended attribute support
US6081610A (en) * 1995-12-29 2000-06-27 International Business Machines Corporation System and method for verifying signatures on documents
JPH09305682A (ja) 1996-05-13 1997-11-28 Sony Corp 通信装置
JPH10124427A (ja) 1996-06-19 1998-05-15 At & T Corp 自動的にネットワーク再構成を行なうためのシステムおよび方法
US5903732A (en) * 1996-07-03 1999-05-11 Hewlett-Packard Company Trusted gateway agent for web server programs
JPH10171879A (ja) 1996-12-06 1998-06-26 Purosupaa Kurieiteibu:Kk 商品販売システム、その情報通信方法およびその記録媒体
JPH10229459A (ja) 1996-12-09 1998-08-25 Nippon Telegr & Teleph Corp <Ntt> 有料情報の送出方法、その装置および記録媒体
CN1225186A (zh) * 1996-12-18 1999-08-04 亚历山大S·奥伦斯坦 用于从远程站访问应用服务程序的安全系统
US6405315B1 (en) * 1997-09-11 2002-06-11 International Business Machines Corporation Decentralized remotely encrypted file system
US5931947A (en) * 1997-09-11 1999-08-03 International Business Machines Corporation Secure array of remotely encrypted storage devices
US6631402B1 (en) * 1997-09-26 2003-10-07 Worldcom, Inc. Integrated proxy interface for web based report requester tool set
US6058400A (en) * 1998-04-28 2000-05-02 Sun Microsystems, Inc. Highly available cluster coherent filesystem
JP2000010921A (ja) 1998-06-19 2000-01-14 Nec Corp 通信方法および通信システム、並びに記録媒体
JP2000067120A (ja) 1998-08-19 2000-03-03 Nec Corp プログラムダウンロードによるインターネット迂回ルートの自動確立装置および方法
JP2000076336A (ja) 1998-08-31 2000-03-14 Fujitsu Ltd 電子決済認証システム及び電子商取引サービスプロバイダ装置
US6289462B1 (en) * 1998-09-28 2001-09-11 Argus Systems Group, Inc. Trusted compartmentalized computer operating system
US6772333B1 (en) * 1999-09-01 2004-08-03 Dickens Coal Llc Atomic session-start operation combining clear-text and encrypted sessions to provide id visibility to middleware such as load-balancers
US6782418B1 (en) * 2000-01-24 2004-08-24 General Electric Company Method and apparatus for secure data file uploading
US6952780B2 (en) * 2000-01-28 2005-10-04 Safecom A/S System and method for ensuring secure transfer of a document from a client of a network to a printer
KR20010096814A (ko) * 2000-04-14 2001-11-08 홍기융 전자서명 인증기반 파일시스템 해킹방지용 보안커널 방법
US6947556B1 (en) * 2000-08-21 2005-09-20 International Business Machines Corporation Secure data storage and retrieval with key management and user authentication
US7010689B1 (en) * 2000-08-21 2006-03-07 International Business Machines Corporation Secure data storage and retrieval in a client-server environment
US7089585B1 (en) * 2000-08-29 2006-08-08 Microsoft Corporation Method and system for authorizing a client computer to access a server computer
US7003799B2 (en) * 2001-01-30 2006-02-21 Hewlett-Packard Development Company, L.P. Secure routable file upload/download across the internet
US7073055B1 (en) * 2001-02-22 2006-07-04 3Com Corporation System and method for providing distributed and dynamic network services for remote access server users
US6678828B1 (en) * 2002-07-22 2004-01-13 Vormetric, Inc. Secure network file access control system
US6931530B2 (en) * 2002-07-22 2005-08-16 Vormetric, Inc. Secure network file access controller implementing access control and auditing
US7143288B2 (en) * 2002-10-16 2006-11-28 Vormetric, Inc. Secure file system server architecture and methods
US7565533B2 (en) * 2002-11-05 2009-07-21 Sun Microsystems, Inc. Systems and methods for providing object integrity and dynamic permission grants
US8683031B2 (en) * 2004-10-29 2014-03-25 Trustwave Holdings, Inc. Methods and systems for scanning and monitoring content on a network

Also Published As

Publication number Publication date
JP2007503652A (ja) 2007-02-22
DE602004002401D1 (de) 2006-10-26
BRPI0410569A (pt) 2006-06-20
CN1791878A (zh) 2006-06-21
ATE339733T1 (de) 2006-10-15
CA2525249A1 (en) 2004-12-02
WO2004104902A1 (en) 2004-12-02
KR20060015714A (ko) 2006-02-20
EP1625524B1 (de) 2006-09-13
US7917751B2 (en) 2011-03-29
CA2525249C (en) 2011-03-29
JP4602981B2 (ja) 2010-12-22
TW200507570A (en) 2005-02-16
CN100530207C (zh) 2009-08-19
BRPI0410569B1 (pt) 2016-08-23
IL172054A0 (en) 2011-08-01
EP1625524A1 (de) 2006-02-15
IL172054A (en) 2012-09-24
KR100906119B1 (ko) 2009-07-07
US20040236745A1 (en) 2004-11-25
TWI282229B (en) 2007-06-01

Similar Documents

Publication Publication Date Title
DE602004002401T2 (de) Verfahren und vorrichtung zur erweiterung der netzwerksicherheit in einem verteilten dateisystem
DE60121483T2 (de) Sicherheitkommunikationsverfahren, System und Vorrichtung welche erlauben den Sicherheitstyp zu wechseln
EP3195556B1 (de) Verteilte datenspeicherung mittels berechtigungstoken
DE69932003T2 (de) System und Verfahren zur Kontrolle einer Netzwerkverbindung
DE10197063B4 (de) Verfahren und Einrichtung zum Verhindern eines unberechtigen Zugriffs durch ein Netzwerkgerät
DE19983331B4 (de) Verfahren und Vorrichtung zum Bereitstellen einer Datenverwaltung für ein mit einem Netzwerk gekoppelten Speichersystem
DE602005000943T2 (de) Verfahren und Vorrichtung zur sicheren Übertragung von Inhalten mit Urheberschutz
DE60019997T2 (de) Ggesicherte Kommunikation mit mobilen Rechnern
DE112008001436T5 (de) Sichere Kommunikation
WO2019129642A1 (de) Sicheres ablegen und zugreifen von dateien mit einer webanwendung
EP1612636A1 (de) Verfahren zur Datenarchivierung mit automatischer Ver- und Entschlüsselung
EP3077952A1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems
DE19741239A1 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE60307652T2 (de) Verfahren und System zur gesicherten Inhaltsüberlieferung
EP3078177A1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems mit hilfe eines modifizierten domain name systems (dns)
DE102016115193A1 (de) Verfahren zur sicheren Datenhaltung in einem Computernetzwerk
EP3266186B1 (de) Netzwerkgerät und verfahren zum zugriff einer netzwerkkomponente auf ein datennetz
DE102017121648B3 (de) Verfahren zum anmelden eines benutzers an einem endgerät
DE102018105495B4 (de) Verfahren und System zum Ermitteln einer Konfiguration einer Schnittstelle
DE112020003730T5 (de) Zugriffsverwaltung zur aktivierung von sicherheit in einer speichereinheit
DE112020003720T5 (de) Zugriffsverwaltung zur aktivierung von sicherheit auf einem host-system
DE10107883A1 (de) Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem
WO2007025724A2 (de) Verfahren zur verbesserung der vertrauenswürdigkeit von elektronischen geräten und datenträger dafür
EP4270863B1 (de) Sichere wiederherstellung privater schlüssel
DE102017012249A1 (de) Mobiles Endgerät und Verfahren zum Authentifizieren eines Benutzers an einem Endgerät mittels mobilem Endgerät

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8320 Willingness to grant licences declared (paragraph 23)