-
Gebiet der
Erfindung
-
Die
vorliegende Erfindung betrifft im Allgemeinen Netzwerksysteme und
insbesondere verteilte Dateisysteme. Die vorliegende Erfindung betrifft
im Einzelnen Sicherheitsmerkmale für den Zugriff auf verteilte
Dateisysteme.
-
Hintergrund
der Erfindung
-
In
universellen Computersystemen, wie etwa jene, die Versionen des
Unix-Betriebssystem (OS) unterstützen,
können
Anwendungen mittels einer Gruppe von Betriebssystemdiensten, die
ein Dateisystem enthalten, auf Daten zugreifen, die auf Plattenlaufwerken
gespeichert sind (Unix ist ein eingetragenes Warenzeichen, das ausschließlich durch
die Open Group lizenziert ist). Ein Dateisystem kann durch ein Computersystem
verwendet werden, um eine große
Sammlung von Dateien in einzelnen Dateien und Dateiverzeichnissen
zu organisieren und diese Dateien in Speichereinheiten wie z.B.
Platten abzubilden. Dateisysteme umfassen zwei Hauptkomponenten,
die Programme, die die physische Darstellung der Dateien steuern,
und die Dateien selbst, die auf der Platte gespeichert werden.
-
In
einer verteilten Computerumgebung können mehrere Computersysteme
mittels eines Datenübertragungsnetzwerks
oder anderer Kopplungseinrichtungen untereinander verbunden sein
und Dateien mittels eines verteilten Dateisystems gemeinsam nutzen.
Eine Dateisystem-Exporteinrichtung wird typischerweise an dem Serverknoten
betrieben (das Computersystem, das den Zugriff auf die Platte steuert,
die die Dateisystemdaten enthält),
während
eine Dateisystem-Importeinrichtung typischerweise an dem Client-Knoten
betrieben wird (andere Computersysteme, die verwendet werden, um
auf die Dateien, die sich auf der Platte befinden, zuzugreifen).
Zugriffe auf gemeinsam genutzte Dateien durch Benutzer an Client-Knoten
werden als "Fern"-Zugriffe bezeichnet. Zugriffe
auf gemeinsam genutzte Dateien durch Benutzer am Serverknoten werden
als "lokale" Zugriffe bezeichnet.
-
Das
Netzwerk-Dateisystem ist auf einem Server oder in einem Knoten eines
Netzwerks gespeichert, wobei auf den Server oder Knoten von Client-Endgeräten (d.h.
Benutzer-Computer) zugegriffen werden kann, die typischerweise per
Fernverbindung mit dem Netzwerk verbunden sind. Die eigentliche
Verbindung kann eine leitungsgestützte Verbindung wie in einem
auf Ethernet basierenden Standard-Lokalnetz (LAN) oder eine drahtlose
Verbindung wie ein virtuelles privates Bluetooth-Netzwerk (VPN) sein. Der Prozess des
Zugriffs auf ein Dateisystem über
die Client-Endgeräte
wird als "Einbinden eines
Dateisystems" bezeichnet.
Wenn ein Dateisystem eingebunden ist, liest das Steuerprogramm bestimmte
Informationen von der Platte, die das Layout von Objekten des Dateisystems
betreffen. Aus diesen Informationen bildet das Dateisystem Datenstrukturen,
die als "virtuelle
Dateisysteme" (virtual filesystem – vfs) bekannt
sind. Jedes Mal, wenn eine Datei geöffnet oder für einen
Zugriff zur Verfügung gestellt
wird, erzeugt das Dateisystem eine Datenstruktur, die als ein "vnode" (v-Knoten) bezeichnet wird
und an das vfs angehängt
wird.
-
Jede
Struktur vnode enthält
Informationen über
eine bestimmte Datei und enthält
Verweise auf physische Datenstrukturen des Dateisystems. Die physischen
Datenstrukturen des Dateisystems enthalten Informationen wie z.B.
den Eigentümer
der Datei, die Größe der Datei,
das Datum und den Zeitpunkt der Erzeugung der Datei und die Lage
der Dateiblöcke
auf der Platte. Dateisysteme enthalten interne Daten, so genannte
Metadaten, um Dateien zu verwalten. Zu Metadaten können Daten
zählen,
die Folgendes angeben: wo jeder Datenblock einer Datei gespeichert
ist, wo speichermodifizierte Versionen einer Datei gespeichert sind;
und die Berechtigungsangaben und die Eigentümer einer Datei.
-
Da
immer mehr Firmen entfernte/per Netzwerkzugriff erreichbare verteilte
Dateisysteme verwenden, um Dateien/Dokumente, von denen einige sensible
Informationen enthalten, elektronisch zu speichern und später wieder
abzurufen, wird die Sicherheit verteilter Dateisysteme immer wichtiger.
Die Familie der IP-Sicherheitsstandards
(IPSec) wurde eingeführt
und liefert zwei primäre
Sicherheitsmerkmale: Nachweis der Identität (authentication) und Verschlüsselung.
Mit anderen Worten, IPSec stellt sicher, dass Sende- und Empfangseinrichtungen
wirklich diejenigen sind, die sie vorgeben zu sein, und IPSec ermöglicht,
dass Daten unmittelbar verwürfelt werden
können,
so dass sie unverständlich
sind, wenn sie abgehört
werden.
-
Die
meisten Systeme verwenden deswegen einen Nachweis der Identität des Benutzers
während der
ursprünglichen
Einbindung, der typischerweise die Prüfung eines Benutzerkennworts
usw. einschließt.
Kennwortschutz und ähnliche
Sicherheitsmaßnahmen
sind dafür
berüchtigt,
geknackt zu werden und können
leicht überwunden
werden, wobei die Industrie erkannt hat, dass kennwortgeschützte Systeme
einen sehr geringen Schutz für
sensible Dateien darstellen, nachdem ein allgemeiner Zugang auf
das Dateisystem erreicht wurde.
-
Fortgeschrittene
Hacker erlangen außerdem Zugang
zu den Dateien, die in dem Dateisystem gespeichert sind, indem sie
eine Übertragung
während einer
berechtigten Einbindung abhören
und einfach die Daten, während
sie vom Dateisystem zum Client-System übertragen
werden, kopieren. Das geschieht, weil bei den meisten kennwortgeschützten verteilten
Dateisystemen dann, nachdem die mehreren Ebenen des Sicherheits-Anmeldens
abgeschlossen sind (Kennwortüberprüfung usw.),
die eigentliche Übertragung
der Dateien von dem Dateisystem im Klartext erfolgt. Dadurch sind
dann, wenn die Übertragung
sehr sensible Daten enthält,
zusätzliche
Sicherheitsmaßnahmen
erforderlich, um sicherzustellen, dass die Klartext-Daten nicht
verfügbar
gemacht werden können,
indem die Datei einfach während
der Übertragung
kopiert wird.
-
Die
Leichtigkeit, mit der die Sicherheit der sensiblen Informationen
durch dieses zuletzt genannte Verfahren beeinträchtigt werden kann, hängt in gewissem
Umfang von dem Medium ab, das von berechtigten Benutzern verwendet
wird, um das Dateisystem einzubinden bzw. um darauf zuzugreifen.
Ein drahtloser Zugang bzw. eine drahtlose Übertragung ist z.B. typischerweise
anfälliger
auf Abhören und
Knacken als verdrahtete (leitungsgestützte) Netzwerkmedien. Doch
selbst das Standard-Ethernet kann leicht abgehört werden, ohne dass dies erkannt
wird, und deswegen ist das Standard-Ethernet ebenfalls eine unsichere
Möglichkeit,
sensible Daten zu übermitteln.
-
Wie
oben erwähnt
wurde, hat die Industrie auf die wachsende Notwendigkeit der Sicherheit
im Übertragungsmedium
reagiert durch Anwenden einer starken Verschlüsselung auf alle übertragenen Daten
während
des Einbindens des Dateisystems. Es gibt gegenwärtig verschiedene Verschlüsselungsalgorithmen
und -standards (z.B. Sicherheit der drahtlosen Transportschicht),
die entwickelt wurden, um eine Sicherheit für die Übertragungen zwischen Client-System/Knoten
und dem Server, der das Dateisystem beherbergt, zu gewährleisten.
Die Verwendung einer starken Verschlüsselung bringt für das Client-System
und den Server beim gesamten Verkehr eine beträchtliche Verarbeitungslast
mit sich. Die Gesamtleistung des Systems verschlechtert sich, und
es entstehen erhebliche Kosten in den Firmen, die eine systemweite
Verschlüsselung
für den
Zugang auf ihr Dateisystem realisieren möchten. Die Verschlüsslung wird
in den Übertragungsmechanismus
eingebaut und auf den gesamten Verkehr zwischen dem Client-System
und dem Server angewendet, obwohl der Großteil des Verkehrs möglicherweise
nicht diesen Grad der Sicherheit erfordert (z.B. nichtsensible Informationen/Dateien).
-
Die
Verwendung von drahtlosen Systemen für den Zugriff auf Dateisysteme
nimmt zu, da die Firmen einen Fernzugriff für Benutzer bereitstellen, die mobil
sein können
und sich aus der Ferne mit dem Netzwerk verbinden möchten. Drahtlose
Verbindungen sind jedoch stärker
anfällig
auf Knacken als leitungsgestützte
Verbindungen. Einige drahtlose Benutzer verwenden WTLS, von diesem
Sicherheitsmerkmal ist jedoch bekannt, dass es einen verhältnismäßig geringen
Grad der Sicherheit darstellt. Eine Lösung erfordert eine Dateneinkapselung/Verschlüsselung
des virtuellen privaten Netzwerks (VPN), um auf sensible Daten zuzugreifen,
selbst wenn die Mehrzahl der Clients auf das Dateisystem über Token Ring
zugreift. Diese VPN-Dateneinkapselung würde außerdem die Geschwindigkeit
der Server nachteilig beeinflussen, da sie alle Daten verschlüsselt und
entschlüsselt.
-
Es
ist außerdem
möglich,
VPNs oder Server in einem VPN zu konfigurieren, um die IP-Adressen oder
Teilnetze zu erkennen und lediglich eine Verschlüsselung bei bestimmten Teilnetzen
zu fordern. Ein Problem besteht bei dieser Lösung darin, dass der Administrator
des Servers des verteilten Dateisystems jeden drahtlosen Knoten
kennen muss, der sich nicht im Netzwerk befindet. Wenn ein drahtloses Netzwerk
durch eine Organisation in ihrer Abteilung eingerichtet wird, müsste der
Serveradministrator über
das drahtlose Netzwerk informiert werden, so dass das Teilnetz der
VPN-Liste der IP-Adressen hinzugefügt wird.
-
Keith
Brown, "Web Security:
Putting Secure Front End on your COM+ Distributed Applications", MSDN magazine,
Juni 2000, beschreibt die Verwendung der IIS-Metabasis, um die Verwendung
des HTTPS-Protokolls zu fordern. Die IIS-Metabasis wird verwendet,
um anzuweisen, dass der Client das HTTPS-Protokoll verwendet.
-
Im
Hinblick auf das Vorhergehende wird bei der vorliegenden Erfindung
erkannt, dass es wünschenswert
wäre, ein
Verfahren, ein System und ein Datenverarbeitungssystem zu haben,
die eine verbesserte Einbindungssicherheit dynamisch realisieren,
wenn ein Zugang auf sensible Dateien in einem verteilten Dateisystem
gefordert wird. Ein Verfahren und ein System, die immer dann eine
sichere Einbindung automatisch schaffen würden, wenn während einer
laufenden Sitzung auf sensible Dateien/Daten zugegriffen wird, wäre eine
willkommene Verbesserung. Es wäre
ferner wünschenswert,
dass die sichere Einbindung nahtlos ausgeführt wird, so dass der berechtigte
Benutzer Zugang zu der sensiblen Datei erhält, ohne einen Prozess der
Trennung und des Nachweises der Identität bei der Neueinbindung ausführen zu
müssen,
wobei die sensible Datei vor einem unberechtigten Zugriff geschützt ist,
indem die sensible Datei über
eine sicherere Einbindung geleitet wird.
-
BESCHREIBUNG
DER ERFINDUNG
-
Es
werden ein Verfahren, ein System und ein Computerprogrammprodukt
beschrieben, die eine verbesserte Einbindungssicherheit eines Dateisystems
dynamisch realisieren, wenn ein Zugang auf sensible Dateien in einem
Netzwerk-Dateisystem gefordert wird. Das Client-System löst eine
Standard-Einbindung und einen Identitätsnachweisprozess für den Zugriff
auf Dateien des Dateisystems aus. Wenn der Benutzer des Client-Systems
versucht, auf eine speziell gekennzeichnete sensible Datei zuzugreifen,
führt der
Server einen Softwarecode aus, der die aktuelle Einbindung beendet.
Der Server wird neu konfiguriert, um alle Versuche der Neueinbindung
des Servers von der IP-Adresse, die dem Client zugehörig ist,
zu einem sicheren Anschluss zu leiten. Wenn eine Sitzung durch den
Server beendet wird, ist das Client-System so programmiert, dass es automatisch
versucht, den Server erneut einzubinden. Der Server erkennt die
IP-Adresse des Client während
der Neueinbindungsoperation und leitet den Client zu dem sicheren
Anschluss.
-
Eine
sichere Einbindung wird auf diese Weise immer dann automatisch geschaffen,
wenn während
einer laufenden Sitzung, die durch eine Standardeinbindung ausgelöst wurde,
auf sensible Dateien/Daten zugegriffen wird. Dann wird eine Wegeleitung über eine
sichere Einbindung nahtlos ausgeführt, so dass der berechtigte
Benutzer einen Zugriff auf die sensible Datei erhält, ohne
dass eine wesentliche Verzögerung
oder eine wahrnehmbare Trennung erfolgt, die eine von Benutzer ausgelöste Neueinbindung
und Identitätsnachweisprozesse
erfordert. Währenddessen
ist die sensible Datei vor einem unberechtigten Zugriff geschützt, indem
sie über
die Einbindung mit höherer
Sicherheit, die hergestellt wurde, geleitet wird.
-
KURZBESCHREIBUNG
DER ZEICHNUNGEN
-
Die
Erfindung wird nun lediglich beispielhaft unter Bezugnahme auf die
beigefügten
Zeichnungen beschrieben, in denen:
-
1A ein
Prinzipschaltplan eines Datenverarbeitungssystems ist, in dem die
Merkmale der Erfindung realisiert werden können;
-
1B eine
Blockdarstellung der Dateien in dem Dateisystem von 1 ist,
die ein Sicherheitskennzeichen aufweisen, das einen erforderlichen Grad
der Sicherheit gemäß einer
Ausführungsform der
Erfindung angibt;
-
2 ein
Prinzipschaltplan eines verteilten Netzwerks ist, in dem Merkmale
der Erfindung gemäß einer
Ausführungsform
der Erfindung realisiert sein können;
-
3A ein
Ablaufplan des Prozesses ist, durch den einem Client während eines
Zugriffs über eine
Standardeinbindung ein Zugriff auf sensible Dateien gemäß einer
Ausführungsform
der Erfindung bereitgestellt wird;
-
die 3B und 3C Ablaufpläne der Prozesse
sind, durch die ein Server Client-Anforderungen für einen
Zugriff auf sensible Dateien überwacht und
steuert, um sicherzustellen, dass der Zugriff auf diese Dateien
gemäß einer
Ausführungsform
der Erfindung über
einen sicheren Kanal geleitet wird; und
-
4 ein
Prinzipschaltplan ist, der logische Komponenten zur nahtlosen Ausführung einer
Umschaltung einer Client-Sitzung an einem Dateisystem von einem
nichtsicheren Standardkanal zu einem sicheren Kanal während einer
einzigen fortgesetzten Sitzung gemäß einer Ausführungsform
der Erfindung veranschaulicht.
-
GENAUE BESCHREIBUNG
DER ERFINDUNG
-
Es
erfolgt nun eine Bezugnahme auf die Figuren und insbesondere auf 1A,
in der ein Prinzipschaltplan eines Computersystems dargestellt ist, das
entweder als ein Server, der das verteilte Dateisystem enthält, oder
als ein Client-System,
das zum Einbinden des Servers verwendet wird, in dem das verteilte
Dateisystem enthalten ist, verwendet werden kann. Das Computersystem 100 umfasst
den Prozessor 102 und den Speicher 104, die über einen Systembus/eine
Systemverbindung 110 verbunden sind. Das Computersystem 100 umfasst
außerdem die
Eingabe/Ausgabe-(E/A) Kanalsteuereinheit (Channel Controller – CC) 109,
die an die Verbindung 110 angeschlossen ist. Die E/A-CC 109 erzeugt
eine Verbindung mit E/A-Einheiten 106, die eine redundante
Anordnung von Platten (RAID) 114 enthalten. Die RAID 114 speichert
Befehle und Daten, die in den Speicher geladen werden, wenn sie
von den Anwendungen, die durch den Prozessor ausgeführt werden, benötigt werden.
Gemäß der dargestellten
Ausführungsform
stellt die RAID 114 das Speichermedium für die Vielzahl
von Dateien dar, die das Dateisystem 112 bilden.
-
Das
Computersystem 100 umfasst ferner Netzwerkverbindungseinheiten 108,
die u.a. einen leitungsgestützten
Modem, einen drahtlosen Modem und Ethernet-Karten enthalten können. Ein Zugriff von und auf
E/A-Einheiten 106 und Netzwerkverbindungseinheiten 108 werden über die
E/A-Kanalsteuereinheit
(E/A-CC) 109 geleitet, die eine Logik enthält, um bei
Bedarf einen automatischen Neuaufbau einer Einbindung zum/vom Computersystem 100 über einen "sicheren" Weg/Kanal/Anschluss
auszuführen,
wie im Folgenden beschrieben wird.
-
Das
Computersystem 100 enthält
ein Betriebssystem (OS) 122, eine Dateisystem-Softwareanwendung 124,
einen Einbindungscode 125 und eine Netzwerk-Sicherheitserweiterung
für ein
verteiltes Dateisystem (DFNSE) 126. Die Dateisystem-Softwareanwendung 124 schafft
den grundlegenden Zugang zum Dateisystems 112 sowie dessen
Verwaltung und Aktualisierung, wenn das Computersystem 100 verwendet
wird, um ein Dateisystem 112 zu beherbergen.
-
Wenn
sich die Dateisystem-Softwareanwendung 124 in einem Client-System
befindet, enthält
sie eine Client-Version des Einbindungscodes 125 zum Ausführen einer
Einbindung und zur automatischen Neueinbindung des Servers, der
das Dateisystem beherbergt. In der dargestellten Ausführungsform wird
der Prozess der automatischen Neueinbindung immer dann durch das
Client-System ausgeführt, wenn
eine hergestellte Einbindung mit dem Server unterbrochen wird bzw.
verloren geht, ohne dass der Client eine Einbindung des Servers
beendet hat. In der beschriebenen Ausführungsform kann der Server einen
FYN-Befehl ausgeben, um eine aktuelle Einbindung zu beenden und
dadurch den Client zu veranlassen, eine Neueinbindung des Servers
auszulösen.
Der FYN-Befehl wird in Reaktion auf einen Zugriff auf bestimmte
Dateien ausgegeben, die spezielle Sicherheitsschutzmaßnahmen
erfordern, wie im Folgenden genauer erläutert wird.
-
Bezugnehmend
auf 1A und die Beschreibung der Dateisystem-Softwareanwendung 124,
enthält
die Dateisystem-Softwareanwendung 124,
wenn sie in einem Server ausgeführt
wird, einen Code zum Empfangen, Verwalten und Prüfen von Berechtigungsinformationen
von verschiedenen Benutzern und Client-Systemen, einen Code zum
Verwalten des Dateisystems 112 und einen Code zum selektiven
Auslösen
einer Sicherheitssoftware und der zugehörigen Reaktion, die als Netzwerksicherheitserweiterung
für ein
verteiltes Dateisystem (DFNSE) 126 bezeichnet wird. Die
DFNSE 126 stellt das Wesen der erfinderischen Merkmale
dar, die hier vorhanden sind, und die Ausführung des DFNSE 126 auf
einem Server wird nachfolgend unter Bezugnahme auf die 3A bis 3C und 4A beschrieben. Die DFNSE 126 legt
grundlegend fest, mit welchem Sicherheitsgrad ein Zugang für spezielle
Dateien des Dateisystems 112 zugelassen/berechtigt ist
und wann die Maßnahmen
der erhöhten
Sicherheit der Erfindung ausgelöst
werden.
-
In 2 ist
ein beispielhaftes Netzwerk dargestellt, das mehrere untereinander
verbundene Computersysteme umfasst, die ähnlich wie Computersysteme 100 von 1 konfiguriert sein können und vorteilhaft verwendet
werden, um entweder die Server- oder die Client-Funktionalität zum Beherbergen
eines verteilten Dateisystems bzw. zum Zugriff darauf bereitzustellen.
Das Netzwerk 200 umfasst ein verteiltes Dateisystem 202,
das auf drei (oder mehr) miteinander verbundenen Servern 203 eingerichtet
ist. Das Netzwerk 200 enthält außerdem eine Vielzahl von Client-Systemen 201,
die über
eine Netzwerkhauptleitung 210 mit dem verteilten Dateisystem 202 verbunden
sind. Die Netzwerkhauptleitung 210 umfasst ein oder mehrere
Systeme mit Netzwerkanschlussfähigkeit
(Teilnetzwerke), die gemäß Netzwerkprotokollen,
wie etwa Ethernet oder Token Ring, konfiguriert sein können. Diese
Teilnetzwerke können
z.B. leitungsgestützte
oder drahtlose Lokalnetze (LAN) oder großflächige Netze (WAN) wie etwa
das Internet sein. Darüber
hinaus können Teilnetzwerke
auch Lichtwellenleiter-Netzwerke enthalten.
-
Das
verteile Dateisystem 202 ist über einen oder mehrere Anschlüsse (nicht
gezeigt) an wenigstens einem der Server 203 direkt mit
der Netzwerkhauptleitung 210 verbunden. Das Client-System 201 kann
entweder direkt mit der Netzwerkhauptleitung (per Drahtleitung)
oder über
ein drahtloses Medium, das durch eine drahtlose Antenne 207 dargestellt
ist, zur Datenübertragung
angeschlossen sein. Die Client-Systeme 201 greift auf das
verteilte Dateisystem 202 über eines der verschiedenen
verfügbaren
Medien unter Verwendung einer der verschiedenen Netzwerkkonfigurationen
zu, wovon jede einen unterschiedlichen Grad der Anfälligkeit
auf Knacken besitzt. Dadurch kann das Client-System 201 über ein nichtsicheres
drahtloses Netzwerk 227 auf das Dateisystem 202 zugreifen
und dieses einbinden, oder das Client-System 201 kann das
Dateisystem 202 unter Verwendung eines sicheren Lichtwellenleiter-Netzwerks 225 einbinden.
Zur Vereinfachung der Beschreibung der Erfindung wird angenommen,
dass das drahtlose Netzwerk 227 ein nichtsicheres Standard-Netzwerk
ohne Verschlüsselung
und das Lichtwellenleiter-Netzwerk 225 eine spezielle gesicherte Verbindung
mit Verschlüsselung
ist. Jede Verbindung wird über
verschiedene Anschlüsse
geleitet, die an dem Server 203 zur Verfügung stehen,
bei dem die Einbindung des Dateisystems 202 unterstützt wird.
-
1B veranschaulicht
eine Blockdarstellung des Dateisystems 202 mit einer genaueren
Darstellung der Dateien, die das Dateisystem 202 bilden. Wie
gezeigt ist, umfasst das Dateisystem 202 einen Steuerungsblock 131 und
eine Vielzahl von Dateien 132 a bis n, wovon jede eine
Metadatenkennzeichnung 112 mit einem Kopfsatz/Kennungsfeld 334 und einem
Sicherheitsfeld 336 enthält. Das Kopfsatz/Kennungsfeld 334 enthält Informationen über die
Dateikennung und die Benutzer, die Zugriff auf die Datei haben.
Das Sicherheitsfeld ist ein Einzelbitfeld, das den Grad der Sicherheit,
der dieser Datei zugeschrieben ist, und demzufolge den Typ des zulässigen Benutzerzugriffs
angibt. Gemäß der dargestellten
Ausführungsform
werden bestimmte Dateien, die den höchsten Sicherheitsgrad erfordern
und bei denen ein Zugriff nur auf eine gesicherte Einbindung beschränkt ist
(z.B. die Dateien 1 und 3), in dem Sicherheitsfeld 336 ihrer
entsprechenden Metadaten mit "1" gekennzeichnet.
Andere Dateien, die nicht in dieser Weise gekennzeichnet sind (die
z.B. mit "0" gekennzeichnet sind)
sind normal (z.B. Datei 2), und auf diese kann durch jeden berechtigten
Benutzer ohne eine spezielle gesicherte Einbindung zugegriffen werden.
-
Wie
oben erwähnt
wurde, führt
die Erfindung einen verbesserten Sicherheitsmechanismus ein, der in
der dargestellten Ausführungsform
als DFNSE (Netzwerksicherheitserweiterung für verteilte Dateisysteme) bezeichnet
ist. Bei DFNSE ist der Dateisystem-Server in der Lage, aus den Datei-Berechtigungsangaben,
die einer Datei oder einem Verzeichnis zugehörig sind, den Grad der Netzwerksicherheit
abzuleiten, der erforderlich ist, wenn ein Zugriff auf die Datei
durch bestimmte Benutzer bereitgestellt wird. DFNSE ist eine Anwendung/Prozedur
zur Verbesserung der Dateisystemsicherheit auf Serverebene. Demzufolge
muss bei DFNSE lediglich der Server Kenntnis über die Netzwerkverbindungen
oder Adapter besitzen, die durch den Server verwendet werden.
-
Eine
spezielle Hardware, Logik- und Softwarekomponenten sind in jedem
Server vorgesehen, der in der Lage ist, eine Einbindung für das Dateisystem
bereitzustellen, um DFNSE zu realisieren. 4 ist ein
Prinzipschaltplan, der einige dieser Komponenten veranschaulicht.
Wie in 4 dargestellt ist, kann der Server 203 mit
zwei Ethernet-Netzwerkadaptern (oder Anschlüssen) versehen sein: en0 403, der
sicher ist, und en1 405, der nicht sicher ist. In einer
Ausführungsform
ist die Netzwerktopologie, die hinter diesen Adaptern vorhanden
ist, konsistent. Das heißt,
das ausgewählte
Teilnetzwerk schafft selbst die Sicherheit, und der Server ist in
der Lage, anhand des erforderlichen Grads der Sicherheit zwischen
Teilnetzwerken dynamisch auszuwählen.
In einer anderen Ausführungsform
werden bei dem sicheren Adapter en0 403 eine zusätzliche
Verschlüsselung
oder andere Sicherheitsmerkmale bereitgestellt.
-
En0 403 verbindet
mit einem Lichtwellenleiter-Netzwerk 225, das verwendet
wird, um alle sensiblen Daten zu leiten, während en1 405 mit
einem leitungsgestützten
Standard-Netzwerk 221 auf Ethernetbasis verbunden ist und
zum Leiten der gesamten anderen (nicht sensiblen) Datenübertragung
verwendet wird. En1 405 ist der Standardanschluss zum Einbinden
des Dateisystem-Servers.
Bei der beispielhaften Ausführungsform
wird angenommen, dass die Einfachheit, mit der das Standard-Ethernet abgehört werden
kann, ohne dass dies erkannt wird, das Ethernet zu einer unsicheren
Möglichkeit
zum Leiten von sensiblen Daten macht. Während einer Einbindung des
Dateisystems verfolgt der Server, der eine genaue Kenntnis über die
Dateiberechtigungen 334 und den Sicherheitsgrad 336 für jede Datei
besitzt, den Benutzerzugriff und legt anhand der Dateiberechtigungen,
die für
die Dateien, auf die zugegriffen werden soll, vorhanden sind, fest,
wann der Client zu veranlassen ist, auf das sichere Netzwerk umzuschalten.
Gemäß der dargestellten
Ausführungsform ist
die Netzwerktopologie sowohl für
sichere als auch nichtsichere Wege konsistent, so dass keine zusätzliche
Hardware und/oder Aktualisierungen des Leitprotokolls erforderlich
sind, um unterschiedliche Topologien während der Umschaltung von dem
nichtsicheren zu dem sicheren Teilnetzwerk zu berücksichtigen.
-
Der
Server 203 von 4 enthält außerdem eine Einbindungssteuereinheit 407,
die herkömmliche
Operationen zur Unterstützung
der Einbindung und des Lösens
der Einbindung für
das Dateisystem 202 sowie die Konfiguration der Neueinbindung gemäß den Merkmalen
der vorliegenden Erfindung ausführt.
Die Einbindungssteuereinheit 407 enthält die DFNSE 126 und
ist vorzugsweise als Softwarecode, der auf dem Server 203 ausgeführt wird,
realisiert. Durch eine Funktion der DFNSE 126 wird die Einbindungssteuereinheit 407 veranlasst,
eine Anforderung für
eine Einbindung entweder über
den Standardanschluss En1 405 oder den gesicherten Anschluss
En0 403 zu leiten. Der Server 203 enthält außerdem ein
Verschlüsselungsmodul 409,
das in Verbindung mit der DFNSE 126 und dem Anschluss En0 403 verwendet
wird, wenn am gesicherten Anschluss eine Verschlüsselung ausgeführt wird.
-
Wenn
am Server 203 eine Anforderung für einen Zugriff auf eine sensible
Operation empfangen wird, markiert die Einbindungssteuereinheit 407 während eines
Dateisystemzugriffs, die IP-Adresse des Client als eine Adresse,
die einen Zugriff auf sensible Daten benötigt. Der Server 203 unterbricht
dann die laufende Verbindung (d.h., der Server sendet einen Befehl
FYN an den Client). Der Client versucht automatisch eine Neuverbindung,
und die Einbindungssteuereinheit 407 erkennt die IP-Adresse
des Client während
der Neueinbindung. Die Sitzung des Client wird dann zu einem sicheren
SSL-Anschluss geleitet. Während
der primäre
Zugriff über
den Standardanschluss erfolgt, wird somit der Zugriff dynamisch
zu dem sicheren SSL-Anschluss umgeschaltet, wenn ein Zugriff auf
sensible Daten/Dateien gefordert wird.
-
In 3B ist
ein Ablaufplan des Prozesses dargestellt, durch den die durch Software
realisierten DFNSE-Sicherheitsmerkmale in der oben genannten Hardware/Logik-Konfiguration
des Servers, der das Dateisystem beherbergt, realisiert werden.
Der Prozess beginnt mit einer Anforderung einer Standardeinbindung,
die am Standardanschluss des Servers von einem Client empfangen
wird, wie im Block 321 gezeigt ist. Der Benutzer wird nach
Daten zum Nachweis der Identität
(Kennwort usw.) gefragt, und die IP-Adresse des Client-Systems wird
aus dem Datenpaket abgerufen, wie im Block 323 angegeben
ist. Eine Sitzung wird am Standardanschluss begonnen und sowohl
die IP-Adresse als
auch die Daten zum Nachweis der Identität des Benutzers werden in einer Parameterdatei
gespeichert, die mit der bestimmten Sitzung verknüpft ist,
wie im Block 325 gezeigt ist. Nachdem die Sitzung aufgebaut
wurde, überwacht die
Serverlogik, die mit Zugriffsberechtigungen usw. verbunden ist,
die Wechselwirkungen des Benutzers, wie im Block 327 gezeigt
ist, und im Block 329 wird festgestellt, ob der Benutzer
einen Zugriff auf eine sensible Datei fordert.
-
Der
Server, der eine Client-Anforderung nach einer Datei erfüllt, ist
mit der Berechtigung/Berechtigungsnachweisen des Benutzers an dem
entfernten Client und den Berechtigungsangaben der Datei, auf die
zugegriffen wird, programmiert. Wenn die Datei, auf die zugegriffen
wird, nicht sensibel ist, wird dem Benutzer an dem Standardanschluss
ein normaler Zugriff gewährt,
wie im Block 331 gezeigt ist. Wenn jedoch die Datei, die
von dem Client angefordert wird, eine sensible Datei ist, die einen
Kanal mit höherer
Sicherheit erfordert, bevor ein Zugriff gewährt werden kann, erfolgt im
Block 333 eine nächste Feststellung,
ob der Benutzer eine geeignete Zugriffsberechtigung besitzt, um
auf die Datei zuzugreifen. Wenn der Benutzer die geeignete Zugriffsberechtigung
nicht besitzt, wird die Anforderung abgelehnt, wie im Block 335 gezeigt
ist. Wenn jedoch die Berechtigungsnachweise des Benutzers angeben, dass
der Benutzer eine Berechtigung besitzt, auf die bestimmte Datei zuzugreifen,
wird das DFNSE-Sicherheitsprotokoll aktiviert, wie im Block 337 gezeigt ist.
Die Aktivierung der DFNSE bewirkt, dass der Server ein Lösen der
Einbindung des Client veranlasst, indem er einen Befehl FYN an den
Client ausgibt und gleichzeitig einen Anschluss mit höherer Sicherheit konfiguriert,
um die Neueinbindung von dem Client, der die IP-Adresse besitzt, die mit den Sitzungsparametern
gespeichert wurde, zu akzeptieren. Der Server stellt dann einen
gesicherten Zugriff auf die Datei über den gesicherten Anschluss
bereit, wie im Block 339 gezeigt ist.
-
3A ist
ein Ablaufplan der Prozesse, die bei der Realisierung der Erfindung
hauptsächlich
aus der Sicht des Benutzers/Client-Systems beteiligt sind. Der Prozess
beginnt, wenn ein Benutzer (über das
Client-System) einen Server einbindet, der das Dateisystem beherbergt,
wie im Block 302 dargestellt ist, und einen Zugriff auf
das Dateisystem fordert, wie im Block 304 gezeigt ist.
Wenn der Client anfangs das NFS-Dateisystem einbindet, wird die
Einbindung vorzugsweise über
eine Standard-TCP-Verbindung ausgeführt. Die Verbindung kann z.B.
mit dem allgemein bekannten NFS-Anschluss des 2048 bestehen. Der
Server besitzt einen logischen Abhör-Verbindungsendpunkt (listening socket),
der mit diesem Anschluss verbunden ist, und arbeitet gemäß dem (nichtsicheren)
Standardprotokoll. Bei der dargestellten Ausführungsform ist bemerkenswert,
dass das Standardprotokoll durch das DFNSE-Protokoll erweitert ist,
das dann ausgeführt
wird, wenn Zugriffe auf sensible Dateien gefordert werden.
-
Wenn
eine Verbindung vom Client gefordert wird, dupliziert sich der logische
Abhör-Verbindungsendpunkt
grundsätzlich
selbst und stellt die Verbindung mit dem entfernten Server her.
Der logische Abhör-Verbindungsendpunkt
bleibt dann geöffnet,
um weitere Verbindungsanforderungen zu behandeln. Der Nachweis der
Identität
des Client wird eingeleitet, wie im Block 306 gezeigt ist,
und es wird im Block 308 festgestellt, ob der Nachweis
der Identität
des Client erfolgreich war. Wenn der Prozess des Nachweises der
Identität
des Client/Benutzers erfolglos war, wird der Zugriff auf das Dateisystem
abgewiesen und die Einbindung wird gelöst, wie im Block 310 gezeigt
ist. Anschließend
endet der Prozess, wie im Block 311 angegeben ist. Ansonsten
wird eine Sitzung eröffnet, und
dem Benutzer wird Zugriff auf das Dateisystem gewährt, wie
im Block 309 gezeigt ist.
-
Das
Client-System überwacht
die Verbindung nach Unterbrechungen, wie im Block 312 gezeigt
ist, und stellt fest, wie im Block 314 angegeben ist, ob
die Verbindung nicht reagiert oder an der Serverseite vorzeitig
unterbrochen wurde (d.h. im Idealfall dann, wenn ein von Server
ausgegebener Befehl FYN empfangen wird). Wenn die Verbindung nicht
reagiert oder unterbrochen ist, löst der Client eine Neueinbindung
aus, die zu dem Anschluss geleitet wird, die vom Server angegeben
ist, wie im Block 316 angegeben ist.
-
Die
erneute Verbindung in Reaktion auf eine vom Server ausgelöstes Lösen der
Einbindung wird vor allem zu einem sicheren Anschluss am Server geleitet,
obwohl der tatsächliche
Anschluss dem Client-System unbekannt sein kann. Unter Verwendung der
Sicherheitsprotokolle des DFNSE und anhand der Kenntnis, welcher
Anschluss sicher ist und ob die Sitzung einen sicheren Anschluss
erfordert, kann der Server fordern, dass der Client eine Neueinbindung über einen
sicheren Anschluss ausführt.
Der Client kann z.B. veranlasst werden, die Neueinbindung unter
Verwendung eines Anschlusses auszuführen, der unter dem SSL-Protokolls
betrieben wird. Vor allem ist keine Benutzeraktion erforderlich,
um die Neueinbindung und die Anschlussumschaltprozeduren auszuführen. Die Überwachung
der Ausführung
der Einbindung auf der Serverseite und der nachfolgenden Neueinbindung
erfolgen als Hintergrundprozesse am Client-System, und der Benutzer
(Client) wird über das
Umschalten zu einem Anschluss mit höherer Sicherheit nicht informiert.
-
Eine
genauere Darstellung der internen Verarbeitung, die für das Umleiten über einen
Anschluss mit höherer
Sicherheit auf der Serverseite erforderlich ist, ist durch den Ablaufplan
von 3C angegeben. Der Prozess beginnt, wenn ein Zugriff
auf eine sensible Datei durch DFNSE erkannt wird, wie im Block 351 gezeigt
ist. Der Server prüft
die Sicherheit des gegenwärtigen
Anschlusses, wie im Block 352 angegeben ist. Im Block 354 wird
festgestellt, ob die Sicherheit des gegenwärtigen Anschlusses für das Zugreifen
auf die angeforderte Datei ausreichend ist (in Abhängigkeit
davon, wie sensibel die Datei ist, was in der dargestellten Ausführungsform
durch Lesen des Sicherheitsbits der Datei abgeleitet wird). Wenn
die Sicherheit des gegenwärtigen
Anschlusses für
das Zugreifen auf die angeforderte Datei ausreichend ist, wird der
Zugriff gewährt,
wie im Block 356 gezeigt ist.
-
In
einer alternativen Ausführungsform
kann die Neueinbindungsfunktion wahlweise automatisch sein und der
Prozess kann eine nächste
Bestimmung erfordern, ob das Merkmal der automatischen Neueinbindung
freigegeben ist. Wenn bei dieser alternativen Ausführungsform
die Möglichkeit
der automatischen Neueinbindung nicht freigegeben ist, wird der Benutzer
dann aufgefordert, eine Neueinbindung über eine sichere Einbindung
auszuführen.
-
Wenn
die Anschlusssicherheit unzureichend ist, reagiert in der dargestellten
Ausführungsform
von 3C der Server, indem er einen Anschluss mit höherer Sicherheit
(z.B. En0) für
diese Sitzung auswählt,
wie im Block 358 gezeigt ist. Der Server nimmt einen Speicherauszug
des Nachweises der Identität und
der Einbindungsparameter der Sitzung, einschließlich der IP-Adresse des Client,
und überträgt diese
Parameter an die Steuerlogik des Anschlusses mit höherer Sicherheit,
wie im Block 360 gezeigt ist. Die Übertragung erfolgt mit einer
sehr geringen Latenz, und der Anschluss mit höherer Sicherheit wird dadurch
automatisch konfiguriert, um eine Neueinbindung von diesem Client
zu empfangen und die Unterstützung
der ablaufenden Sitzung fortzusetzen. Nachdem der sichere Anschluss
konfiguriert wurde, wird die entsprechende Anschlussnummer gemeinsam
mit der IP-Adresse des Client an die Einbindungssteuereinheit gegeben.
Der Server beendet die Einbindung an dem ersten Standardanschluss
und stellt die Sitzung über
den Anschluss mit höherer
Sicherheit wieder her, wenn eine Neueinbindung von dem Client empfangen
wird, wie im Block 362 gezeigt ist.
-
In
Reaktion auf den Server, der die ursprüngliche Einbindung beendet,
löst der
Client vor allem die Neueinbindung aus, die durch den Benutzer zu dem
zweiten gesicherten Anschluss geleitet wird. Dies stellt die ursprüngliche
Sitzung des Client wieder her, jedoch über den zweiten Anschluss.
Die Wiederherstellung der Verbindung beinhaltet die Prüfung der
IP-Adresse des Client und ihre Anpassung an den Anschluss, der vorbereitet
ist, die Verbindung von dieser IP-Adresse zu empfangen. Der gesamte Prozess
erfolgt im Hintergrund und deswegen wird aus der Sicht des Benutzers
ein nahtloses Umschalten von Anschlüssen ausgeführt.
-
In
einer alternativen Ausführungsform
wird der Grad der Sicherheit, der einer bestimmten Datei zugeschrieben
werden kann, durch den Benutzer festgelegt (oder von ausgewählten Client-Systemen), denen
ein Zugriff auf die bestimmte Datei gewährt wird. Wenn die Zugriffsberechtigungen
der Datei nur auf den Administrator des Dateisystems beschränkt sind,
ist somit der Grad der Sicherheit hoch, während eine Dateizugriffsberechtigung,
die an normale Angestellte erteilt wird, einen verhältnismäßig niedrigen Grad
der erforderlichen Sicherheit angibt. Die Festlegung des Sicherheitsgrads
für eine
Datei wird ausgeführt,
wenn der Benutzer anfangs die Datei erzeugt und die Zugriffsberechtigung
dieser Datei zuweist. Nachdem die Datei in dem Dateisystem angeordnet wurde,
beinhaltet die Datei automatisch den Netzwerksicherheitsschutz,
der festgelegt wurde. Bei dieser Ausführung sind die vorhandenen
Dateiberechtigungen an Dateien in dem Dateisystem (z.B. UNIX -rwx,rwx,rwx
für Benutzer,
Gruppe, andere) in dem hier bereitgestellten Sicherheitsmodell enthalten, ohne
dass eine ausführliche
Systemadministration und Systemkonfiguration erforderlich sind.
Deswegen wird durch die vorliegende Erfindung die Notwendigkeit
der Neukonfigurierung von vorhandenen Dateisystemen für jede einzelne
Datei entbehrlich. Bei der Erfindung besteht außerdem keine Forderung, sensible
Dateien zu einem sicheren Server zu verlagern.