分散ファイルシステム・ネットワーク・セキュリティ拡張
【課題】 分散ファイルシステム上の機密ファイルに対してアクセスが要求された場合に、高いマウント・セキュリティを動的に実装する方法、システム、およびデータ処理システムを提供する。
【解決手段】 ネットワーク・ファイルシステム上の機密ファイルに対してアクセスが要求された場合に、ファイルシステムの高いマウント・セキュリティを動的に実装するセキュリティ・プロトコル。クライアント・システムのユーザが、特別にタグを付けた機密ファイルにアクセスしようとすると、ファイルシステムをホストするサーバが、現在のマウントを終了させるソフトウエア・コードを実行し、サーバ・ポートを再構成して、よりセキュアなポートを介してクライアントからの再マウントを受け入れるようにする。サーバが再構成したサーバ・ポートに、クライアントのIPアドレスが与えられ、再マウント動作中にこのIPアドレスを照合する。セキュアなマウントへの切り替えはシームレスに完了するので、コストの高い暗号化および他のリソースを消費するセキュリティ機構によってサーバに負担をかけることなく、許可ユーザは機密ファイルに対するアクセスを許される。ユーザによって著しい遅延は経験されず、同時に、機密ファイルは、クライアント・システムへの送信中に不正な捕捉から保護される。
【解決手段】 ネットワーク・ファイルシステム上の機密ファイルに対してアクセスが要求された場合に、ファイルシステムの高いマウント・セキュリティを動的に実装するセキュリティ・プロトコル。クライアント・システムのユーザが、特別にタグを付けた機密ファイルにアクセスしようとすると、ファイルシステムをホストするサーバが、現在のマウントを終了させるソフトウエア・コードを実行し、サーバ・ポートを再構成して、よりセキュアなポートを介してクライアントからの再マウントを受け入れるようにする。サーバが再構成したサーバ・ポートに、クライアントのIPアドレスが与えられ、再マウント動作中にこのIPアドレスを照合する。セキュアなマウントへの切り替えはシームレスに完了するので、コストの高い暗号化および他のリソースを消費するセキュリティ機構によってサーバに負担をかけることなく、許可ユーザは機密ファイルに対するアクセスを許される。ユーザによって著しい遅延は経験されず、同時に、機密ファイルは、クライアント・システムへの送信中に不正な捕捉から保護される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般にネットワーク・システムに関し、具体的には、分散ファイルシステムに関する。更に具体的には、本発明は、分散ファイルシステムにアクセスするためのセキュリティ機構に関する。
【背景技術】
【0002】
Unixオペレーティング・システム(OS)のバージョンをサポートするもの等の汎用コンピューティング・システムにおいて、アプリケーションは、ファイルシステムを含む1組のオペレーティング・システム・サービスによって、ディスク・ドライブ上に格納されたデータにアクセスすることができる(Unixは、The Open Groupによって独占的にライセンスされる登録商標である)。ファイルシステムは、コンピュータ・システムによって用いられて、大きなファイル集合を個々のファイルまたはファイルのディレクトリへと組織化し、それらのファイルをディスク等のストレージ・デバイスにマッピングすることができる。ファイルシステムは、2つの主なコンポーネントを含む。すなわち、ファイルの物理的表現を制御するプログラム、および、ディスク上に格納されるファイル自体である。
【0003】
分散コンピューティング環境においては、多数のコンピューティング・システムが、通信ネットワークまたは他の結合設備を介して相互接続されることができ、分散ファイルシステムによってファイルを共有することができる。ファイルシステムのエクスポータは、通常、サーバ・ノード(ファイルシステム・データを含むディスクに対するアクセスを制御するコンピューティング・システム)上で実行され、一方、ファイルシステムのインポータは、通常、クライアント・ノード(ディスク上のファイルにアクセスするために用いられる他のコンピューティング・システム)上で実行される。クライアント・ノード上でユーザによって行われる共有ファイルに対するアクセスを、「リモート」アクセスと呼ぶ。サーバ・ノード上でユーザによって行われる共有ファイルに対するアクセスを、「ローカル」アクセスと呼ぶ。
【0004】
ネットワーク・ファイルシステムは、ネットワークのサーバまたはノード上に格納され、サーバまたはノードは、通常はリモートでネットワークにリンクされているクライアント端末(すなわちユーザ・コンピュータ)からアクセス可能である。実際のリンクは、標準的なイーサネットに基づいたローカル・エリア・ネットワーク(LAN)におけるような有線リンク、または、ブルートゥース仮想プライベート・ネットワーク(VPN)等の無線リンクとすることができる。クライアント端末によってファイルシステムにアクセスするプロセスを、「ファイルシステムのマウント」と呼ぶ。ファイルシステムをマウントする場合、ファイルシステムの制御プログラムは、ファイルシステム・オブジェクトのレイアウトに関する特定の情報をディスクから読み取る。この情報から、ファイルシステムは、「仮想ファイルシステム」またはVfsとして知られるデータ構造を構築する。ファイルを開くたびに、またはファイルがアクセス可能となるたびに、ファイルシステムは、「vノード」と呼ばれるデータ構造を作成する。これは、vfsにチェーンされている。
【0005】
各vノードは、所与のファイルに関する情報を含み、物理的なファイル・システム・データ構造に対する参照を含む。物理的なファイル・システム・データ構造は、ファイルの所有者、ファイルのサイズ、ファイル作成の日時、およびディスク上のファイルのブロックの位置等の情報を含む。ファイルシステムは、ファイルを管理するため、メタデータと呼ばれる内部データを含む。メタデータは、ファイルの各データ・ブロックが格納されている場所、ファイルのメモリ変更バージョンが格納されている場所、ならびにファイルの許可および所有者を示すデータを含むことができる。
【0006】
ますます多くの企業が、リモート/ネットワーク−アクセス可能分散ファイルシステムを用いて、機密情報を有するものを含むファイル/文書を電子的手段によって格納し、後でそれを検索するようになっているので、分散ファイルシステムのセキュリティがいっそう重要になっている。標準のIPセキュリティ(IPSec)スイートが導入されて、2つの主なセキュリティ機構を提供している。すなわち認証および暗号化である。換言すると、IPSecは、送信側および受信側の機械が本当にそれら自身が主張する通りであるかを保証し、更に、IPSecは、実行中にデータをスクランブルすることを可能とし、データは傍受された場合に理解不可能となるようになっている。
【発明の開示】
【発明が解決しようとする課題】
【0007】
このため、ほとんどのシステムでは、最初のマウントの間にユーザを認証する必要があり、これは通常、ユーザ・パスワードの検証等を含む。しかしながら、パスワードの保護および同様のセキュリティ対策は、クラッキングに対して無防備であることが知られており、容易に危険にさらされる恐れがある。いったんファイルシステムに対する一般的なアクセスが得られると、パスワードで保護されたシステムでは、機密ファイルに対して極めてわずかな保護しか与えられないことが、この業界において認められている。
【0008】
また、更に高度なハッカーは、認証されたマウントの間に送信に侵入し、データがファイルシステムからクライアント・システムに送信されている際にそのデータを単にコピーすることによって、ファイルシステム上に格納されたファイルに対するアクセスを得る。これが発生する理由は、ほとんどのパスワード保護による分散ファイルシステムでは、いったんセキュリティ・ログインのいくつかのレベル(パスワード認証等)が完了すると、ファイルシステムからのファイルの実際の送信が平文で行われるからである。このため、極めて機密性の高いデータが送信に含まれる場合は、追加のセキュリティ対策を取って、単に送信中にファイルをコピーすることでは平文データが利用可能にならないことを確実にする必要がある。
【0009】
この後者の方法によって、機密情報のセキュリティを危険にさらすことがどのくらい容易であるかは、ある程度、許可ユーザがファイルシステムのマウント/アクセスを行うために用いる媒体に依存する。例えば、無線アクセス/送信は通常、有線ネットワーク媒体よりも盗聴およびクラッキングの可能性が高い。しかしながら、標準的なイーサネットでさえ、検出されることなく容易に破ることができる。このため、標準的なイーサネットは、機密データをルーティングするための選択肢としては安全でない。
【0010】
上述のように、この業界では、ファイルシステムのマウント中に全ての送信データに厳しい暗号化を課すことによって、送信媒体上のセキュリティに対する必要性の高まりに応えている。現在、いくつかの暗号化アルゴリズムおよび規格(例えば無線トランスポート・レイヤ・セキュリティ)が、クライアント・システム/ノードと、ファイルシステムをホストするサーバとの間の送信にセキュリティを提供するように設計されている。厳しい暗号化を利用すると、全てのトラヒックについて、クライアント・システムおよびサーバに厳しい処理の負担がかかることは避けられない。システムの全体的な性能は低下し、ファイルシステムへのアクセスのためにシステム全体の暗号化を実施したい企業では著しいコストがかかる。暗号化は、通信機構に組み込まれ、クライアント・システムとサーバとの間の全てのトラヒックに適用されるが、トラヒックの大部分はそのレベルのセキュリティを必要としない場合がある(例えば機密でない情報/ファイル)。
【0011】
移動中であり、ネットワークにリモートで接続したいことがあるユーザに対して企業がリモート・アクセスを提供するために、無線システムを利用したファイルシステムへのアクセスが増えている。しかしながら、無線接続は、有線接続よりもクラッキングを受けやすい。一部の無線ユーザはWTLSを用いるが、このセキュリティ機構は、セキュリティ・レベルが比較的弱いことが知られている。1つの解決策では、クライアントの大部分がトークン・リングによってファイルシステムにアクセスしている場合であっても、機密データにアクセスするために仮想プライベート・ネットワーク(VPN)データ・カプセル化/暗号化を必要とする。更に、このVPNデータ・カプセル化では、サーバが全てのデータを暗号化し復号するので、サーバの速度にマイナスの影響を与える恐れがある。
【0012】
また、VPNまたはVPN上のサーバが、IPアドレスまたはサブネットを認識し、ある特定のサブネット上でのみ暗号化を要求するように、それらを構成することも可能である。この解決策に伴う1つの問題は、分散ファイルシステム・サーバの管理者が、ネットワーク内に存在しない全ての無線ノードについて知らなければならないことである。無線ネットワークが部門内のある組織によって設置された場合、その無線ネットワークについてサーバ管理者に認識させて、サブネットをIPアドレスのVPNリストに追加することができるようにする必要がある。
【0013】
前述のことに鑑み、本発明は、分散ファイルシステム上の機密ファイルに対してアクセスが要求された場合に、高いマウント・セキュリティを動的に実装する方法、システム、およびデータ処理システムを有すると望ましいということを認識している。進行中のセッションの間に機密ファイル/データがアクセスされようとした場合にはいつでもセキュアなマウントを自動的に提供する方法およびシステムは、歓迎される改善であろう。更に、セキュアなマウントがシームレスに完了して、許可ユーザが切断および再マウント認証プロセスを経験することなく機密ファイルに対するアクセスを受けながら、いっそうセキュアなマウントを介して機密ファイルをルーティングすることによって不正な捕捉から機密ファイルを保護すれば、望ましいであろう。
【課題を解決するための手段】
【0014】
開示されるのは、ネットワーク・ファイルシステム上の機密ファイルに対してアクセスが要求された場合に、ファイルシステムの高いマウント・セキュリティを動的に実装する方法、システム、およびコンピュータ・プログラム・プロダクトである。クライアント・システムは、ファイルシステムのファイルに対するアクセスのために、標準的なマウントおよび認証プロセスを開始する。クライアント・システムのユーザが、特別にタグを付けた機密ファイルにアクセスしようとすると、サーバは、現在のマウントを終了させるソフトウエア・コードを実行する。サーバは、クライアントに関連したIPアドレスからサーバを再マウントしようとするいかなる試みも、セキュアなポートにルーティングするように再構成される。サーバによってセッションが終了すると、クライアント・システムは、サーバを再マウントする試みを自動的に行うようにプログラムされる。サーバは、再マウント動作の間にクライアントのIPアドレスを認識し、クライアントをセキュアなポートにルーティングする。
【0015】
このため、標準的なマウントで開始された進行中のセッションの間に機密ファイル/データがアクセスされようとした場合はいつでも、セキュアなマウントを自動的に提供する。次いで、セキュアなマウントを介したルーティングがシームレスに完了し、許可ユーザは機密ファイルに対するアクセスを受け、著しい遅延は経験されず、ユーザが開始する再マウントおよび認証プロセスを必要とする明らかな切断も経験されない。その間、確立されたよりセキュアなマウントを介して機密ファイルをルーティングすることによって、機密ファイルは不正な捕捉から保護されている。
【0016】
これより、本発明について、添付図面を参照して、一例としてのみ説明する。
【発明を実施するための最良の形態】
【0017】
ここで図面、特に図1を参照すると、コンピュータ・システムのブロック図が示されている。これは、分散ファイルシステムをホストするサーバまたは分散ファイルシステムをホストするサーバをマウントするために用いられるクライアント・システムのいずれかとして利用可能である。コンピュータ・システム100は、システム・バス/相互接続110を介して接続されたプロセッサ102およびメモリ104を含む。また、コンピュータ・システム100は、相互接続110に結合された入力/出力(I/O)チャネル・コントローラ(CC)109も含む。I/O CC109は、冗長ディスク・アレイ(RAID)114を含む、I/Oデバイス106に対する接続を提供する。RAID114は、プロセッサによって実行されているアプリケーションの必要に応じてメモリにロードされる命令およびデータを格納する。例示的な実施形態によれば、RAID114は、ファイルシステム112を構成する複数のファイルのためのストレージ媒体を提供する。
【0018】
更に、コンピュータ・システム100は、ネットワーク接続デバイス108を含む。これは、とりわけ、有線モデム、無線モデム、イーサネット・カードを含むことができる。I/Oデバイス106およびネットワーク接続デバイス108とのアクセスは、I/Oチャネル・コントローラ(I/O CC)109を介してルーティングされる。I/O CC109は、必要な場合に「セキュアな」経路/チャネル/ポートを介してコンピュータ・システム100へのマウントおよびシステム100からのマウントの自動的な再確立を完了するための論理を含む。これについては以下で更に説明する。
【0019】
コンピュータ・システム100は、オペレーティング・システム(OS)122、ファイルシステム・ソフトウエア・アプリケーション124、マウント・コード125、および分散ファイルシステム・ネットワーク・セキュリティ拡張(DFNSE)126を含む。ファイルシステム・ソフトウエア・アプリケーション124は、コンピュータ・システム100がファイルシステム112をホストするために利用されている場合に、ファイルシステム112の基本的なアクセス、維持、および更新を提供する。
【0020】
クライアント・システム内にある場合、ファイルシステム・ソフトウエア・アプリケーション124は、ファイルシステムをホストするサーバのマウントおよび自動的な再マウントを完了するためのマウント・コード125のクライアント・バージョンを含む。例示的な実施形態では、クライアントがサーバのアンマウントを完了することなく、サーバによる確立されたマウントが分断された/失われた場合はいつでも、クライアント・システムによって自動的な再マウント・プロセスが実施される。記載する実施形態では、サーバは、FYNコマンドを発行して現在のマウントを終了させ、これによって、クライアントにサーバの再マウントを開始させることができる。FYNコマンドは、特別なセキュリティ保護を必要とする特定のファイルに対するアクセスに応じて発行される。これについては以下で更に詳細に説明する。
【0021】
図1およびファイルシステム・ソフトウエア・アプリケーション124の説明に戻ると、サーバ内で実行された場合、ファイルシステム・ソフトウエア・アプリケーション124は、様々なユーザおよびクライアント・システムの資格証明情報の受信、維持、および検証のためのコード、ファイルシステム112を維持するためのコード、ならびに、セキュリティ・ソフトウエアおよび関連する応答を選択的に開始するためのコードを含み、これを分散ファイルシステム・ネットワーク・セキュリティ拡張(DFNSE)126と呼ぶ。DFNSE126は、本発明の特徴の根幹を提供する。以下に、図4乃至図7を参照して、サーバ上でのDFNSE126の実行について説明する。基本的なレベルでは、DFNSE126は、ファイルシステム112の特定のファイルについてどのレベルのセキュリティ・アクセスを許可するか、および、本発明の高いセキュリティ対策をいつ開始するかを決定する。
【0022】
ここで図3を参照すると、多数の相互接続コンピュータ・システムを含む例示的なネットワークが示されている。このコンピュータ・システムは、図1のコンピュータ・システム100と同様に構成することができ、分散ファイルシステムをホストするかまたはそれにアクセスするためのサーバもしくはクライアントのいずれかの機能を与えるように、好都合に用いられる。ネットワーク200は、3つ(またはそれ以上)の相互接続されたサーバ203上でホストされる分散ファイルシステム202を含む。また、ネットワーク200は、ネットワーク・バックボーン210を介して分散ファイルシステム202に接続された複数のクライアント・システム201を含む。ネットワーク・バックボーン210は、1つ以上のネットワーク接続システム(またはサブネットワーク)を含み、これは、イーサネットまたはトークンリング等のネットワーク・プロトコルに従って構成することができる。これらのサブネットワークは、例えば、有線もしくは無線のローカル・エリア・ネットワーク(LAN)、またはインターネット等のワイド・エリア・ネットワーク(WAN)とすることができる。更に、サブネットワークは、光ファイバ・ネットワークも含むことができる。
【0023】
分散ファイルシステム202は、サーバ203の少なくとも1つでの1つ以上のポート(図示せず)を介して、ネットワーク・バックボーン210に直接結合されている。クライアント・システム201は、ネットワーク・バックボーンに直接結合する(有線)か、または、無線アンテナ207等の無線媒体を介した通信によって接続することができる。クライアント・システム201は、クラッキングの受けやすさがそれぞれ異なっている様々なネットワーク構成の1つを利用した様々な利用可能媒体の1つを介して、分散ファイルシステム202にアクセスする。このため、クライアント・システム201は、セキュアでない無線ネットワーク227を介してファイルシステム202にアクセスし、これをマウントする場合がある。また、クライアント・システム201は、セキュアな光ファイバ・ネットワーク225を用いてファイルシステム202をマウントする場合がある。本発明の説明を簡略にするため、無線ネットワーク227は、暗号化を行っていない標準的なセキュアでないネットワークであると想定し、一方、光ファイバ・ネットワーク225は、暗号化を行う特別でセキュアな接続であると想定する。各接続は、ファイルシステム202のマウントがサポートされるサーバ203に利用可能なポートの異なる1つを介してルーティングされる。
【0024】
図2は、ファイルシステム202のブロック図であり、ファイルシステム202を構成するファイルの更なる詳細を示す。図示のように、ファイルシステム202は、制御ブロック131および複数のファイル132a〜nを含む。ファイル132a〜nの各々は、ヘッダ/識別子フィールド334およびセキュリティ・フィールド336を有するメタデータ・タグ112を含む。ヘッダ/IDフィールド334は、ファイルIDおよびファイルに対するアクセスを有するユーザに関する情報を含む。セキュリティ・フィールドは、単一ビット・フィールドであり、当該ファイルに適用可能なセキュリティ・レベル、すなわち許可されたユーザ・アクセスのタイプを示す。例示的な実施形態によれば、最も高いレベルのセキュリティを必要とし、セキュアなマウントでのみアクセスされるように制限されるいくつかのファイル(例えばファイル1および3)は、各メタデータのセキュリティ・フィールド336において、「1」のタグが付いている。このタグが付いていない(すなわち0のタグが付いている)他のファイルは、通常(例えばファイル2)であり、特別なセキュアなマウントを行わずに、いかなる許可ユーザによってもアクセスすることができる。
【0025】
上述のように、本発明は、強化したセキュリティ機構を導入する。例示的な実施形態では、これをDFNSE(分散ファイルシステム・ネットワーク・セキュリティ拡張)と呼ぶ。DFNSEによって、ファイルシステム・サーバは、特定のユーザによるファイルへのアクセスを提供する場合に必要なネットワーク・セキュリティのレベルを、ファイルまたはディレクトリに関連したファイル許可から推論することができる。DFNSEは、サーバレベルでファイルシステムのセキュリティを強化するアプリケーションまたは手順である。従って、DFNSEを用いた場合、サーバが用いているネットワーク接続またはアダプタを知る必要があるのは、サーバだけである。
【0026】
DFNSEを実装するために、ファイルシステムへのマウントを与えることができる各サーバ内には、特定のハードウエア、論理、およびソフトウエア・コンポーネントが設けられる。図7は、これらのコンポーネントのいくつかを示すブロック図である。図7に示すように、サーバ203は、2つのイーサネット・ネットワーク・アダプタ(またはポート)、すなわち、セキュアなen0 403およびセキュアでないen1 405を備えることができる。一実施形態では、これらのアダプタの背後にあるネットワーク・トポロジは一貫性がある。すなわち、選択されたサブネットワーク自体がセキュリティを提供し、サーバは、必要なセキュリティ・レベルに基づいて、サブネットワークの中から動的に選択することができる。別の実施形態では、セキュアなアダプタen0 403によって、追加の暗号化または他のセキュリティ機構が与えられる。
【0027】
en0 403は、全ての機密データをルーティングするために利用されるファイバ・ネットワーク225に接続し、en1 405は、標準的なイーサネットに基づいた有線ネットワーク221に接続し、他の全ての(機密でない)データ通信をルーティングするために利用される。en1 405は、ファイルシステムのサーバをマウントするためのデフォルト・ポートである。例示的な実施形態では、標準的なイーサネットは、検出されることなく容易に破ることができるために、機密データをルーティングするための選択肢としてイーサネットは安全でないことが想定される。ファイルシステムのマウントの間に、各ファイルごとにファイル許可334およびセキュリティ・レベル336を詳しく知っているサーバは、ユーザ・アクセスを追跡し、アクセスされるファイルについて所定位置にあるファイル許可に基づいて、いつクライアントを安全なネットワークに切り替えさせるかを決定する。例示的な実施形態によれば、ネットワーク・トポロジは、セキュアなルートおよびセキュアでないルートの双方について一貫性があるので、セキュアでないサブネットワークからセキュアなサブネットワークに切り替えるときに、異なるトポロジを考慮した、ハードウエアまたはルーティング・プロトコルの追加の更新は不要である。
【0028】
図7のサーバ203は、マウント・コントローラ407も含む。これは、ファイルシステム202のための従来のマウント・サポートおよびアンマウント動作、ならびに本発明の特徴に従う再マウント構成を実行する。マウント・コントローラ407は、DFNSE126を含み、好ましくは、サーバ203上で実行するソフトウエア・コードとして具現化される。DFNSE126は、マウント・コントローラ407をトリガするように動作して、標準的なポートEn1 405またはセキュアなポートEN0 403のいずれかを介して、マウントの要求をルーティングする。また、サーバ203は、セキュアなポート上で暗号化を実施する場合に、DFNSE126およびEn0 403と関連付けて用いられる暗号化モジュール409を含む。
【0029】
ファイルシステム・アクセスの間、サーバ203において機密動作に対するアクセスの要求が受信されると、マウント・コントローラ407は、クライアントのIPアドレスを、機密データへのアクセスを必要とするものとしてマークする。次いで、サーバ203は、現在の接続を切断する(すなわち、サーバはクライアントにFYNを送信する)。クライアントは、自動的に再接続しようとし、マウント・コントローラ407は、再マウントの間にクライアントのIPアドレスを認識する。そして、クライアントのセッションは、セキュアなSSLポートへ向けられる。このように、主なアクセスは標準的なポートを介して与えられるが、機密データ/ファイルに対するアクセスが必要な場合には、アクセスはセキュアなSSLポートに動的に切り替えられる。
【0030】
ここで図5に移ると、ファイルシステムをホストするサーバの上述のハードウエア/論理構成内でソフトウエアによるDFNSEセキュリティ機構を実装するプロセスのフローチャートが示されている。このプロセスは、ブロック321に示すように、サーバの標準的なポートにおいて、クライアントからの標準的なマウント要求を受信することから始まる。ブロック323に示すように、ユーザに認証データ(パスワード等)を要求し、データ・パケットからクライアント・システムのIPアドレスを検索する。ブロック325に示すように、標準的なポート上でセッションを開き、IPアドレスおよびユーザの認証データの双方を、この特定のセッションにリンクされたパラメータ・ファイル内に格納する。ブロック327に示すように、いったんセッションを確立すると、アクセス許可等に関連付けられたサーバ論理が、ユーザのインタラクションを監視し、ブロック329において、ユーザが機密ファイルに対するアクセスを要求しているか否かを判定する。
【0031】
ファイルに対するクライアントの要求を満足させているサーバには、リモート・クライアント上のユーザの認証/資格証明およびアクセスされているファイルの許可がプログラムされている。アクセスされているファイルが機密でない場合、ブロック331に示すように、標準的なポート上でユーザに通常のアクセスを提供する。しかしながら、クライアントが要求しているファイルが、アクセスを許可する前にもっとセキュアなチャネルを必要とする機密ファイルである場合、次に、ブロック333において、ユーザがファイルにアクセスするための適正なアクセス許可を有するか否かを判定する。ユーザが適正なアクセス許可を有しない場合、ブロック335において、要求を拒絶する。しかしながら、ユーザの資格証明によって、ユーザがその特定のファイルにアクセスする許可を有することが示された場合、ブロック337において、DFNSEセキュリティ・プロトコルを活性化する。DFNSEの活性化によって、サーバは、クライアントにFYNを発行することによりクライアントのアンマウントを強制的に行い、同時に、よりセキュアなポートを構成して、セッション・パラメータと共に保管したIPアドレスを有するクライアントからの再マウントを受容する。次いで、ブロック339に示すように、サーバは、セキュアなポートを介して、ファイルに対するセキュアなアクセスを提供する。
【0032】
図4は、主にユーザ/クライアント・システムの観点からの、本発明の実施に伴うプロセスのフローチャートである。このプロセスが開始するのは、ブロック302に示すように、ユーザが(クライアント・システムを介して)、まず、ファイルシステムをホストするサーバをマウントし、ブロック304に示すように、ファイルシステムに対するアクセスを要求した場合である。クライアントが最初にNFSファイルシステムをマウントする場合、マウントはデフォルトにより標準的なTCP接続上で完了する。例えば、接続は、周知のNFSポート2048に対して行うことができる。サーバは、このポートに結合されたリスニング・ソケットを有し、標準的な(セキュアでない)プロトコルに従って動作する。留意すべきことは、例示的な実施形態において、機密ファイルに対するアクセスが要求された場合に実施されるDFNSEプロトコルによって標準的なプロトコルが強化されていることである。
【0033】
クライアントから接続が要求されると、サーバのリスニング・ソケットは、基本的にそれ自体を複写し、接続をリモート・クライアントに制限する。そして、リスニング・ソケットは、他の接続要求を処理するためにオープンの状態を維持する。ブロック306に示すように、クライアントの認証を開始し、ブロック308において、クライアントの認証が成功したか否かを判定する。クライアント/ユーザの認証プロセスが成功でない場合、ブロック310に示すように、ファイルシステムに対するアクセスを拒絶し、マウントを切断する。次いで、ブロック311に示すように、プロセスは終了する。さもなければ、ブロック309に示すように、セッションを開き、ファイルシステムに対するアクセスをユーザに与える。
【0034】
ブロック312に示すように、クライアント・システムは、切断がないかどうか接続を監視し、ブロック314に示すように、接続が反応しなくなったか、またはサーバ側で早まって切断されたかを判定する(すなわち、理想的には、サーバ発行のFYNが受信された時である)。接続が無反応または切断された場合、ブロック316に示すように、クライアントは再マウントを開始し、これはサーバが示すポートにルーティングされる。
【0035】
留意すべきことは、サーバによるマウント中止に応答した再接続は、サーバにおけるセキュアなポート上に向けられるが、クライアント・システムは実際のポートを知らなくてもよいことである。DFNSEのセキュリティ・プロトコルを利用して、更に、どのポートがセキュアであるかの知識、および、セッションがセキュアなポートを必要とするか否かに基づいて、サーバは、クライアントがセキュアなポート上で再マウントすることを要求することができる。例えば、クライアントは、セキュア・ソケット・レイヤを実行しているポートを利用して再マウントさせることができる。留意すべきことは、再マウントおよびポート切り替え手順を完了させるために、ユーザ・アクションは必要ないということである。サーバ側のアンマウントおよび以降の再マウントのための監視は、全て、クライアント・システムにおける背景プロセスとして行われ、ユーザ(クライアント)には、よりセキュアなポートへの切り替えは認識されない。
【0036】
図6のフローチャートによって、サーバ側でよりセキュアなポートを介した再ルーティングを行うために必要な内部処理の詳細を例示する。このプロセスは、ブロック351において、機密ファイルに対するアクセスがDFNSEによって識別された場合に開始する。ブロック352において、サーバは、現在のポートのセキュリティを調べる。ブロック354において、現在のポートのセキュリティが、要求されたファイルにアクセスするために充分であるか否かを判定する(どのくらいファイルの機密性が高いかに依存し、例示的な実施形態では、ファイルのセキュリティ・ビットを読み取ることによって推定される)。現在のポートのセキュリティが、要求されたファイルにアクセスするために充分である場合、ブロック356に示すように、アクセスを与える。
【0037】
1つの代替的な実施形態では、再マウント機能は選択的に自動化することができ、プロセスは、次に、自動再マウントのための機能がイネーブルされているか否かを判定する必要がある。この代替的な実施形態では、自動再マウント機能がイネーブルされていない場合、ユーザは実際に、セキュアなマウントを介して再マウントするよう指示される。
【0038】
図6の例示的な実施形態に戻ると、ポートのセキュリティが不十分である場合、ブロック358に示すように、サーバはこれに応答して、このセッションのためによりセキュアなポート(例えばEn0)を選択する。ブロック360に示すように、サーバは、クライアントのIPアドレスを含む、セッションの認証およびマウント・パラメータのスナップショットを取得し、これらのパラメータをよりセキュアなポートの制御論理に転送する。転送は、極めてわずかなレイテンシで行われ、従って、もっとセキュアなポートは、そのクライアントから再マウントを受信し、進行中のセッションをサポートし続けるように自動的に構成される。セキュアなポートを構成した後に、対応するポート番号が、クライアントのIPアドレスと共に、マウント・コントローラに与えられる。ブロック362に示すように、サーバは、第1の標準的なポート上のマウントを終了させ、クライアントから再マウントを受信した場合、よりセキュアなポートを介したセッションを再確立する。
【0039】
留意すべきことは、サーバが最初のマウントを終了させたことに応答して、クライアントが再マウントを開始し、これはユーザによって第2のセキュアなリンクに向けられることである。これによって、クライアントの最初のセッションが再確立されるが、これは第2のポートを介している。接続の再確立は、クライアントのIPアドレスをチェックし、そのIPアドレスからの接続を受信するようにセットアップされたポートとそのIPアドレスを照合することを伴う。プロセス全体は背景において行われ、このため、ユーザの観点からは、ポートのシームレスな切り替えが完了する。
【0040】
1つの代替的な実施形態では、特定のファイルに適用されるセキュリティのレベルは、その特定のファイルに対するアクセスを与えられたユーザ(または選択されたクライアント・システム)によって決定される。従って、ファイル・アクセス許可がファイルシステムの管理者のみに限定されているならば、セキュリティ・レベルは高く、一方、ファイル・アクセス許可が一般の従業員に与えられていることは、必要なセキュリティ・レベルが比較的低いことを示す。ファイルのセキュリティ・レベルの決定は、ユーザが最初にファイルを作成し、そのファイルにアクセス許可を割り当てた場合に完了する。いったんファイルがファイルシステム内に置かれると、ファイルは適切なネットワーク・セキュリティ保護を自動的に承継する。この実施によって、ファイルシステム内のファイル上の既存のファイル許可(例えばユーザ、グループ、他のためのUNIX−rwx、rwx、rwx)は、拡張的なシステム管理および構成を必要とすることなく、本明細書において与えられるセキュリティ・モデルに組み込まれる。このため、本発明では、ファイルごとに既存のファイルシステムを再構成する必要がない。本発明によって、機密ファイルをセキュアなサーバへと移動させる必要もなくなる。
【図面の簡単な説明】
【0041】
【図1】本発明の特徴を実施可能なデータ処理システムのブロック図である。
【図2】本発明の一実施形態に従った、図1のファイルシステム内のファイルのブロック図であり、必要なレベルのセキュリティを示すセキュリティ・タグを有する。
【図3】本発明の一実施形態に従った、本発明の特徴を実施可能な分散ネットワークのブロック図である。
【図4】本発明の一実施形態に従った、標準的なマウントを介したアクセス中にクライアントに機密ファイルへのアクセスを与えるプロセスのフローチャートである。
【図5】本発明の一実施形態に従った、サーバがクライアントによる機密ファイルへのアクセス要求を監視して、それらのファイルへのアクセスがセキュアなチャネルを介してルーティングされることを保証するプロセスのフローチャートである。
【図6】本発明の一実施形態に従った、サーバがクライアントによる機密ファイルへのアクセス要求を監視して、それらのファイルへのアクセスがセキュアなチャネルを介してルーティングされることを保証するプロセスのフローチャートである。
【図7】本発明の一実施形態に従った、単一の継続セッションの間に標準的なセキュアでないチャネルからセキュアなチャネルへとファイルシステム上のクライアント・セッションの切り替えをシームレスに完了するための論理コンポーネントを示すブロック図である。
【図1A】
【図1B】
【技術分野】
【0001】
本発明は、一般にネットワーク・システムに関し、具体的には、分散ファイルシステムに関する。更に具体的には、本発明は、分散ファイルシステムにアクセスするためのセキュリティ機構に関する。
【背景技術】
【0002】
Unixオペレーティング・システム(OS)のバージョンをサポートするもの等の汎用コンピューティング・システムにおいて、アプリケーションは、ファイルシステムを含む1組のオペレーティング・システム・サービスによって、ディスク・ドライブ上に格納されたデータにアクセスすることができる(Unixは、The Open Groupによって独占的にライセンスされる登録商標である)。ファイルシステムは、コンピュータ・システムによって用いられて、大きなファイル集合を個々のファイルまたはファイルのディレクトリへと組織化し、それらのファイルをディスク等のストレージ・デバイスにマッピングすることができる。ファイルシステムは、2つの主なコンポーネントを含む。すなわち、ファイルの物理的表現を制御するプログラム、および、ディスク上に格納されるファイル自体である。
【0003】
分散コンピューティング環境においては、多数のコンピューティング・システムが、通信ネットワークまたは他の結合設備を介して相互接続されることができ、分散ファイルシステムによってファイルを共有することができる。ファイルシステムのエクスポータは、通常、サーバ・ノード(ファイルシステム・データを含むディスクに対するアクセスを制御するコンピューティング・システム)上で実行され、一方、ファイルシステムのインポータは、通常、クライアント・ノード(ディスク上のファイルにアクセスするために用いられる他のコンピューティング・システム)上で実行される。クライアント・ノード上でユーザによって行われる共有ファイルに対するアクセスを、「リモート」アクセスと呼ぶ。サーバ・ノード上でユーザによって行われる共有ファイルに対するアクセスを、「ローカル」アクセスと呼ぶ。
【0004】
ネットワーク・ファイルシステムは、ネットワークのサーバまたはノード上に格納され、サーバまたはノードは、通常はリモートでネットワークにリンクされているクライアント端末(すなわちユーザ・コンピュータ)からアクセス可能である。実際のリンクは、標準的なイーサネットに基づいたローカル・エリア・ネットワーク(LAN)におけるような有線リンク、または、ブルートゥース仮想プライベート・ネットワーク(VPN)等の無線リンクとすることができる。クライアント端末によってファイルシステムにアクセスするプロセスを、「ファイルシステムのマウント」と呼ぶ。ファイルシステムをマウントする場合、ファイルシステムの制御プログラムは、ファイルシステム・オブジェクトのレイアウトに関する特定の情報をディスクから読み取る。この情報から、ファイルシステムは、「仮想ファイルシステム」またはVfsとして知られるデータ構造を構築する。ファイルを開くたびに、またはファイルがアクセス可能となるたびに、ファイルシステムは、「vノード」と呼ばれるデータ構造を作成する。これは、vfsにチェーンされている。
【0005】
各vノードは、所与のファイルに関する情報を含み、物理的なファイル・システム・データ構造に対する参照を含む。物理的なファイル・システム・データ構造は、ファイルの所有者、ファイルのサイズ、ファイル作成の日時、およびディスク上のファイルのブロックの位置等の情報を含む。ファイルシステムは、ファイルを管理するため、メタデータと呼ばれる内部データを含む。メタデータは、ファイルの各データ・ブロックが格納されている場所、ファイルのメモリ変更バージョンが格納されている場所、ならびにファイルの許可および所有者を示すデータを含むことができる。
【0006】
ますます多くの企業が、リモート/ネットワーク−アクセス可能分散ファイルシステムを用いて、機密情報を有するものを含むファイル/文書を電子的手段によって格納し、後でそれを検索するようになっているので、分散ファイルシステムのセキュリティがいっそう重要になっている。標準のIPセキュリティ(IPSec)スイートが導入されて、2つの主なセキュリティ機構を提供している。すなわち認証および暗号化である。換言すると、IPSecは、送信側および受信側の機械が本当にそれら自身が主張する通りであるかを保証し、更に、IPSecは、実行中にデータをスクランブルすることを可能とし、データは傍受された場合に理解不可能となるようになっている。
【発明の開示】
【発明が解決しようとする課題】
【0007】
このため、ほとんどのシステムでは、最初のマウントの間にユーザを認証する必要があり、これは通常、ユーザ・パスワードの検証等を含む。しかしながら、パスワードの保護および同様のセキュリティ対策は、クラッキングに対して無防備であることが知られており、容易に危険にさらされる恐れがある。いったんファイルシステムに対する一般的なアクセスが得られると、パスワードで保護されたシステムでは、機密ファイルに対して極めてわずかな保護しか与えられないことが、この業界において認められている。
【0008】
また、更に高度なハッカーは、認証されたマウントの間に送信に侵入し、データがファイルシステムからクライアント・システムに送信されている際にそのデータを単にコピーすることによって、ファイルシステム上に格納されたファイルに対するアクセスを得る。これが発生する理由は、ほとんどのパスワード保護による分散ファイルシステムでは、いったんセキュリティ・ログインのいくつかのレベル(パスワード認証等)が完了すると、ファイルシステムからのファイルの実際の送信が平文で行われるからである。このため、極めて機密性の高いデータが送信に含まれる場合は、追加のセキュリティ対策を取って、単に送信中にファイルをコピーすることでは平文データが利用可能にならないことを確実にする必要がある。
【0009】
この後者の方法によって、機密情報のセキュリティを危険にさらすことがどのくらい容易であるかは、ある程度、許可ユーザがファイルシステムのマウント/アクセスを行うために用いる媒体に依存する。例えば、無線アクセス/送信は通常、有線ネットワーク媒体よりも盗聴およびクラッキングの可能性が高い。しかしながら、標準的なイーサネットでさえ、検出されることなく容易に破ることができる。このため、標準的なイーサネットは、機密データをルーティングするための選択肢としては安全でない。
【0010】
上述のように、この業界では、ファイルシステムのマウント中に全ての送信データに厳しい暗号化を課すことによって、送信媒体上のセキュリティに対する必要性の高まりに応えている。現在、いくつかの暗号化アルゴリズムおよび規格(例えば無線トランスポート・レイヤ・セキュリティ)が、クライアント・システム/ノードと、ファイルシステムをホストするサーバとの間の送信にセキュリティを提供するように設計されている。厳しい暗号化を利用すると、全てのトラヒックについて、クライアント・システムおよびサーバに厳しい処理の負担がかかることは避けられない。システムの全体的な性能は低下し、ファイルシステムへのアクセスのためにシステム全体の暗号化を実施したい企業では著しいコストがかかる。暗号化は、通信機構に組み込まれ、クライアント・システムとサーバとの間の全てのトラヒックに適用されるが、トラヒックの大部分はそのレベルのセキュリティを必要としない場合がある(例えば機密でない情報/ファイル)。
【0011】
移動中であり、ネットワークにリモートで接続したいことがあるユーザに対して企業がリモート・アクセスを提供するために、無線システムを利用したファイルシステムへのアクセスが増えている。しかしながら、無線接続は、有線接続よりもクラッキングを受けやすい。一部の無線ユーザはWTLSを用いるが、このセキュリティ機構は、セキュリティ・レベルが比較的弱いことが知られている。1つの解決策では、クライアントの大部分がトークン・リングによってファイルシステムにアクセスしている場合であっても、機密データにアクセスするために仮想プライベート・ネットワーク(VPN)データ・カプセル化/暗号化を必要とする。更に、このVPNデータ・カプセル化では、サーバが全てのデータを暗号化し復号するので、サーバの速度にマイナスの影響を与える恐れがある。
【0012】
また、VPNまたはVPN上のサーバが、IPアドレスまたはサブネットを認識し、ある特定のサブネット上でのみ暗号化を要求するように、それらを構成することも可能である。この解決策に伴う1つの問題は、分散ファイルシステム・サーバの管理者が、ネットワーク内に存在しない全ての無線ノードについて知らなければならないことである。無線ネットワークが部門内のある組織によって設置された場合、その無線ネットワークについてサーバ管理者に認識させて、サブネットをIPアドレスのVPNリストに追加することができるようにする必要がある。
【0013】
前述のことに鑑み、本発明は、分散ファイルシステム上の機密ファイルに対してアクセスが要求された場合に、高いマウント・セキュリティを動的に実装する方法、システム、およびデータ処理システムを有すると望ましいということを認識している。進行中のセッションの間に機密ファイル/データがアクセスされようとした場合にはいつでもセキュアなマウントを自動的に提供する方法およびシステムは、歓迎される改善であろう。更に、セキュアなマウントがシームレスに完了して、許可ユーザが切断および再マウント認証プロセスを経験することなく機密ファイルに対するアクセスを受けながら、いっそうセキュアなマウントを介して機密ファイルをルーティングすることによって不正な捕捉から機密ファイルを保護すれば、望ましいであろう。
【課題を解決するための手段】
【0014】
開示されるのは、ネットワーク・ファイルシステム上の機密ファイルに対してアクセスが要求された場合に、ファイルシステムの高いマウント・セキュリティを動的に実装する方法、システム、およびコンピュータ・プログラム・プロダクトである。クライアント・システムは、ファイルシステムのファイルに対するアクセスのために、標準的なマウントおよび認証プロセスを開始する。クライアント・システムのユーザが、特別にタグを付けた機密ファイルにアクセスしようとすると、サーバは、現在のマウントを終了させるソフトウエア・コードを実行する。サーバは、クライアントに関連したIPアドレスからサーバを再マウントしようとするいかなる試みも、セキュアなポートにルーティングするように再構成される。サーバによってセッションが終了すると、クライアント・システムは、サーバを再マウントする試みを自動的に行うようにプログラムされる。サーバは、再マウント動作の間にクライアントのIPアドレスを認識し、クライアントをセキュアなポートにルーティングする。
【0015】
このため、標準的なマウントで開始された進行中のセッションの間に機密ファイル/データがアクセスされようとした場合はいつでも、セキュアなマウントを自動的に提供する。次いで、セキュアなマウントを介したルーティングがシームレスに完了し、許可ユーザは機密ファイルに対するアクセスを受け、著しい遅延は経験されず、ユーザが開始する再マウントおよび認証プロセスを必要とする明らかな切断も経験されない。その間、確立されたよりセキュアなマウントを介して機密ファイルをルーティングすることによって、機密ファイルは不正な捕捉から保護されている。
【0016】
これより、本発明について、添付図面を参照して、一例としてのみ説明する。
【発明を実施するための最良の形態】
【0017】
ここで図面、特に図1を参照すると、コンピュータ・システムのブロック図が示されている。これは、分散ファイルシステムをホストするサーバまたは分散ファイルシステムをホストするサーバをマウントするために用いられるクライアント・システムのいずれかとして利用可能である。コンピュータ・システム100は、システム・バス/相互接続110を介して接続されたプロセッサ102およびメモリ104を含む。また、コンピュータ・システム100は、相互接続110に結合された入力/出力(I/O)チャネル・コントローラ(CC)109も含む。I/O CC109は、冗長ディスク・アレイ(RAID)114を含む、I/Oデバイス106に対する接続を提供する。RAID114は、プロセッサによって実行されているアプリケーションの必要に応じてメモリにロードされる命令およびデータを格納する。例示的な実施形態によれば、RAID114は、ファイルシステム112を構成する複数のファイルのためのストレージ媒体を提供する。
【0018】
更に、コンピュータ・システム100は、ネットワーク接続デバイス108を含む。これは、とりわけ、有線モデム、無線モデム、イーサネット・カードを含むことができる。I/Oデバイス106およびネットワーク接続デバイス108とのアクセスは、I/Oチャネル・コントローラ(I/O CC)109を介してルーティングされる。I/O CC109は、必要な場合に「セキュアな」経路/チャネル/ポートを介してコンピュータ・システム100へのマウントおよびシステム100からのマウントの自動的な再確立を完了するための論理を含む。これについては以下で更に説明する。
【0019】
コンピュータ・システム100は、オペレーティング・システム(OS)122、ファイルシステム・ソフトウエア・アプリケーション124、マウント・コード125、および分散ファイルシステム・ネットワーク・セキュリティ拡張(DFNSE)126を含む。ファイルシステム・ソフトウエア・アプリケーション124は、コンピュータ・システム100がファイルシステム112をホストするために利用されている場合に、ファイルシステム112の基本的なアクセス、維持、および更新を提供する。
【0020】
クライアント・システム内にある場合、ファイルシステム・ソフトウエア・アプリケーション124は、ファイルシステムをホストするサーバのマウントおよび自動的な再マウントを完了するためのマウント・コード125のクライアント・バージョンを含む。例示的な実施形態では、クライアントがサーバのアンマウントを完了することなく、サーバによる確立されたマウントが分断された/失われた場合はいつでも、クライアント・システムによって自動的な再マウント・プロセスが実施される。記載する実施形態では、サーバは、FYNコマンドを発行して現在のマウントを終了させ、これによって、クライアントにサーバの再マウントを開始させることができる。FYNコマンドは、特別なセキュリティ保護を必要とする特定のファイルに対するアクセスに応じて発行される。これについては以下で更に詳細に説明する。
【0021】
図1およびファイルシステム・ソフトウエア・アプリケーション124の説明に戻ると、サーバ内で実行された場合、ファイルシステム・ソフトウエア・アプリケーション124は、様々なユーザおよびクライアント・システムの資格証明情報の受信、維持、および検証のためのコード、ファイルシステム112を維持するためのコード、ならびに、セキュリティ・ソフトウエアおよび関連する応答を選択的に開始するためのコードを含み、これを分散ファイルシステム・ネットワーク・セキュリティ拡張(DFNSE)126と呼ぶ。DFNSE126は、本発明の特徴の根幹を提供する。以下に、図4乃至図7を参照して、サーバ上でのDFNSE126の実行について説明する。基本的なレベルでは、DFNSE126は、ファイルシステム112の特定のファイルについてどのレベルのセキュリティ・アクセスを許可するか、および、本発明の高いセキュリティ対策をいつ開始するかを決定する。
【0022】
ここで図3を参照すると、多数の相互接続コンピュータ・システムを含む例示的なネットワークが示されている。このコンピュータ・システムは、図1のコンピュータ・システム100と同様に構成することができ、分散ファイルシステムをホストするかまたはそれにアクセスするためのサーバもしくはクライアントのいずれかの機能を与えるように、好都合に用いられる。ネットワーク200は、3つ(またはそれ以上)の相互接続されたサーバ203上でホストされる分散ファイルシステム202を含む。また、ネットワーク200は、ネットワーク・バックボーン210を介して分散ファイルシステム202に接続された複数のクライアント・システム201を含む。ネットワーク・バックボーン210は、1つ以上のネットワーク接続システム(またはサブネットワーク)を含み、これは、イーサネットまたはトークンリング等のネットワーク・プロトコルに従って構成することができる。これらのサブネットワークは、例えば、有線もしくは無線のローカル・エリア・ネットワーク(LAN)、またはインターネット等のワイド・エリア・ネットワーク(WAN)とすることができる。更に、サブネットワークは、光ファイバ・ネットワークも含むことができる。
【0023】
分散ファイルシステム202は、サーバ203の少なくとも1つでの1つ以上のポート(図示せず)を介して、ネットワーク・バックボーン210に直接結合されている。クライアント・システム201は、ネットワーク・バックボーンに直接結合する(有線)か、または、無線アンテナ207等の無線媒体を介した通信によって接続することができる。クライアント・システム201は、クラッキングの受けやすさがそれぞれ異なっている様々なネットワーク構成の1つを利用した様々な利用可能媒体の1つを介して、分散ファイルシステム202にアクセスする。このため、クライアント・システム201は、セキュアでない無線ネットワーク227を介してファイルシステム202にアクセスし、これをマウントする場合がある。また、クライアント・システム201は、セキュアな光ファイバ・ネットワーク225を用いてファイルシステム202をマウントする場合がある。本発明の説明を簡略にするため、無線ネットワーク227は、暗号化を行っていない標準的なセキュアでないネットワークであると想定し、一方、光ファイバ・ネットワーク225は、暗号化を行う特別でセキュアな接続であると想定する。各接続は、ファイルシステム202のマウントがサポートされるサーバ203に利用可能なポートの異なる1つを介してルーティングされる。
【0024】
図2は、ファイルシステム202のブロック図であり、ファイルシステム202を構成するファイルの更なる詳細を示す。図示のように、ファイルシステム202は、制御ブロック131および複数のファイル132a〜nを含む。ファイル132a〜nの各々は、ヘッダ/識別子フィールド334およびセキュリティ・フィールド336を有するメタデータ・タグ112を含む。ヘッダ/IDフィールド334は、ファイルIDおよびファイルに対するアクセスを有するユーザに関する情報を含む。セキュリティ・フィールドは、単一ビット・フィールドであり、当該ファイルに適用可能なセキュリティ・レベル、すなわち許可されたユーザ・アクセスのタイプを示す。例示的な実施形態によれば、最も高いレベルのセキュリティを必要とし、セキュアなマウントでのみアクセスされるように制限されるいくつかのファイル(例えばファイル1および3)は、各メタデータのセキュリティ・フィールド336において、「1」のタグが付いている。このタグが付いていない(すなわち0のタグが付いている)他のファイルは、通常(例えばファイル2)であり、特別なセキュアなマウントを行わずに、いかなる許可ユーザによってもアクセスすることができる。
【0025】
上述のように、本発明は、強化したセキュリティ機構を導入する。例示的な実施形態では、これをDFNSE(分散ファイルシステム・ネットワーク・セキュリティ拡張)と呼ぶ。DFNSEによって、ファイルシステム・サーバは、特定のユーザによるファイルへのアクセスを提供する場合に必要なネットワーク・セキュリティのレベルを、ファイルまたはディレクトリに関連したファイル許可から推論することができる。DFNSEは、サーバレベルでファイルシステムのセキュリティを強化するアプリケーションまたは手順である。従って、DFNSEを用いた場合、サーバが用いているネットワーク接続またはアダプタを知る必要があるのは、サーバだけである。
【0026】
DFNSEを実装するために、ファイルシステムへのマウントを与えることができる各サーバ内には、特定のハードウエア、論理、およびソフトウエア・コンポーネントが設けられる。図7は、これらのコンポーネントのいくつかを示すブロック図である。図7に示すように、サーバ203は、2つのイーサネット・ネットワーク・アダプタ(またはポート)、すなわち、セキュアなen0 403およびセキュアでないen1 405を備えることができる。一実施形態では、これらのアダプタの背後にあるネットワーク・トポロジは一貫性がある。すなわち、選択されたサブネットワーク自体がセキュリティを提供し、サーバは、必要なセキュリティ・レベルに基づいて、サブネットワークの中から動的に選択することができる。別の実施形態では、セキュアなアダプタen0 403によって、追加の暗号化または他のセキュリティ機構が与えられる。
【0027】
en0 403は、全ての機密データをルーティングするために利用されるファイバ・ネットワーク225に接続し、en1 405は、標準的なイーサネットに基づいた有線ネットワーク221に接続し、他の全ての(機密でない)データ通信をルーティングするために利用される。en1 405は、ファイルシステムのサーバをマウントするためのデフォルト・ポートである。例示的な実施形態では、標準的なイーサネットは、検出されることなく容易に破ることができるために、機密データをルーティングするための選択肢としてイーサネットは安全でないことが想定される。ファイルシステムのマウントの間に、各ファイルごとにファイル許可334およびセキュリティ・レベル336を詳しく知っているサーバは、ユーザ・アクセスを追跡し、アクセスされるファイルについて所定位置にあるファイル許可に基づいて、いつクライアントを安全なネットワークに切り替えさせるかを決定する。例示的な実施形態によれば、ネットワーク・トポロジは、セキュアなルートおよびセキュアでないルートの双方について一貫性があるので、セキュアでないサブネットワークからセキュアなサブネットワークに切り替えるときに、異なるトポロジを考慮した、ハードウエアまたはルーティング・プロトコルの追加の更新は不要である。
【0028】
図7のサーバ203は、マウント・コントローラ407も含む。これは、ファイルシステム202のための従来のマウント・サポートおよびアンマウント動作、ならびに本発明の特徴に従う再マウント構成を実行する。マウント・コントローラ407は、DFNSE126を含み、好ましくは、サーバ203上で実行するソフトウエア・コードとして具現化される。DFNSE126は、マウント・コントローラ407をトリガするように動作して、標準的なポートEn1 405またはセキュアなポートEN0 403のいずれかを介して、マウントの要求をルーティングする。また、サーバ203は、セキュアなポート上で暗号化を実施する場合に、DFNSE126およびEn0 403と関連付けて用いられる暗号化モジュール409を含む。
【0029】
ファイルシステム・アクセスの間、サーバ203において機密動作に対するアクセスの要求が受信されると、マウント・コントローラ407は、クライアントのIPアドレスを、機密データへのアクセスを必要とするものとしてマークする。次いで、サーバ203は、現在の接続を切断する(すなわち、サーバはクライアントにFYNを送信する)。クライアントは、自動的に再接続しようとし、マウント・コントローラ407は、再マウントの間にクライアントのIPアドレスを認識する。そして、クライアントのセッションは、セキュアなSSLポートへ向けられる。このように、主なアクセスは標準的なポートを介して与えられるが、機密データ/ファイルに対するアクセスが必要な場合には、アクセスはセキュアなSSLポートに動的に切り替えられる。
【0030】
ここで図5に移ると、ファイルシステムをホストするサーバの上述のハードウエア/論理構成内でソフトウエアによるDFNSEセキュリティ機構を実装するプロセスのフローチャートが示されている。このプロセスは、ブロック321に示すように、サーバの標準的なポートにおいて、クライアントからの標準的なマウント要求を受信することから始まる。ブロック323に示すように、ユーザに認証データ(パスワード等)を要求し、データ・パケットからクライアント・システムのIPアドレスを検索する。ブロック325に示すように、標準的なポート上でセッションを開き、IPアドレスおよびユーザの認証データの双方を、この特定のセッションにリンクされたパラメータ・ファイル内に格納する。ブロック327に示すように、いったんセッションを確立すると、アクセス許可等に関連付けられたサーバ論理が、ユーザのインタラクションを監視し、ブロック329において、ユーザが機密ファイルに対するアクセスを要求しているか否かを判定する。
【0031】
ファイルに対するクライアントの要求を満足させているサーバには、リモート・クライアント上のユーザの認証/資格証明およびアクセスされているファイルの許可がプログラムされている。アクセスされているファイルが機密でない場合、ブロック331に示すように、標準的なポート上でユーザに通常のアクセスを提供する。しかしながら、クライアントが要求しているファイルが、アクセスを許可する前にもっとセキュアなチャネルを必要とする機密ファイルである場合、次に、ブロック333において、ユーザがファイルにアクセスするための適正なアクセス許可を有するか否かを判定する。ユーザが適正なアクセス許可を有しない場合、ブロック335において、要求を拒絶する。しかしながら、ユーザの資格証明によって、ユーザがその特定のファイルにアクセスする許可を有することが示された場合、ブロック337において、DFNSEセキュリティ・プロトコルを活性化する。DFNSEの活性化によって、サーバは、クライアントにFYNを発行することによりクライアントのアンマウントを強制的に行い、同時に、よりセキュアなポートを構成して、セッション・パラメータと共に保管したIPアドレスを有するクライアントからの再マウントを受容する。次いで、ブロック339に示すように、サーバは、セキュアなポートを介して、ファイルに対するセキュアなアクセスを提供する。
【0032】
図4は、主にユーザ/クライアント・システムの観点からの、本発明の実施に伴うプロセスのフローチャートである。このプロセスが開始するのは、ブロック302に示すように、ユーザが(クライアント・システムを介して)、まず、ファイルシステムをホストするサーバをマウントし、ブロック304に示すように、ファイルシステムに対するアクセスを要求した場合である。クライアントが最初にNFSファイルシステムをマウントする場合、マウントはデフォルトにより標準的なTCP接続上で完了する。例えば、接続は、周知のNFSポート2048に対して行うことができる。サーバは、このポートに結合されたリスニング・ソケットを有し、標準的な(セキュアでない)プロトコルに従って動作する。留意すべきことは、例示的な実施形態において、機密ファイルに対するアクセスが要求された場合に実施されるDFNSEプロトコルによって標準的なプロトコルが強化されていることである。
【0033】
クライアントから接続が要求されると、サーバのリスニング・ソケットは、基本的にそれ自体を複写し、接続をリモート・クライアントに制限する。そして、リスニング・ソケットは、他の接続要求を処理するためにオープンの状態を維持する。ブロック306に示すように、クライアントの認証を開始し、ブロック308において、クライアントの認証が成功したか否かを判定する。クライアント/ユーザの認証プロセスが成功でない場合、ブロック310に示すように、ファイルシステムに対するアクセスを拒絶し、マウントを切断する。次いで、ブロック311に示すように、プロセスは終了する。さもなければ、ブロック309に示すように、セッションを開き、ファイルシステムに対するアクセスをユーザに与える。
【0034】
ブロック312に示すように、クライアント・システムは、切断がないかどうか接続を監視し、ブロック314に示すように、接続が反応しなくなったか、またはサーバ側で早まって切断されたかを判定する(すなわち、理想的には、サーバ発行のFYNが受信された時である)。接続が無反応または切断された場合、ブロック316に示すように、クライアントは再マウントを開始し、これはサーバが示すポートにルーティングされる。
【0035】
留意すべきことは、サーバによるマウント中止に応答した再接続は、サーバにおけるセキュアなポート上に向けられるが、クライアント・システムは実際のポートを知らなくてもよいことである。DFNSEのセキュリティ・プロトコルを利用して、更に、どのポートがセキュアであるかの知識、および、セッションがセキュアなポートを必要とするか否かに基づいて、サーバは、クライアントがセキュアなポート上で再マウントすることを要求することができる。例えば、クライアントは、セキュア・ソケット・レイヤを実行しているポートを利用して再マウントさせることができる。留意すべきことは、再マウントおよびポート切り替え手順を完了させるために、ユーザ・アクションは必要ないということである。サーバ側のアンマウントおよび以降の再マウントのための監視は、全て、クライアント・システムにおける背景プロセスとして行われ、ユーザ(クライアント)には、よりセキュアなポートへの切り替えは認識されない。
【0036】
図6のフローチャートによって、サーバ側でよりセキュアなポートを介した再ルーティングを行うために必要な内部処理の詳細を例示する。このプロセスは、ブロック351において、機密ファイルに対するアクセスがDFNSEによって識別された場合に開始する。ブロック352において、サーバは、現在のポートのセキュリティを調べる。ブロック354において、現在のポートのセキュリティが、要求されたファイルにアクセスするために充分であるか否かを判定する(どのくらいファイルの機密性が高いかに依存し、例示的な実施形態では、ファイルのセキュリティ・ビットを読み取ることによって推定される)。現在のポートのセキュリティが、要求されたファイルにアクセスするために充分である場合、ブロック356に示すように、アクセスを与える。
【0037】
1つの代替的な実施形態では、再マウント機能は選択的に自動化することができ、プロセスは、次に、自動再マウントのための機能がイネーブルされているか否かを判定する必要がある。この代替的な実施形態では、自動再マウント機能がイネーブルされていない場合、ユーザは実際に、セキュアなマウントを介して再マウントするよう指示される。
【0038】
図6の例示的な実施形態に戻ると、ポートのセキュリティが不十分である場合、ブロック358に示すように、サーバはこれに応答して、このセッションのためによりセキュアなポート(例えばEn0)を選択する。ブロック360に示すように、サーバは、クライアントのIPアドレスを含む、セッションの認証およびマウント・パラメータのスナップショットを取得し、これらのパラメータをよりセキュアなポートの制御論理に転送する。転送は、極めてわずかなレイテンシで行われ、従って、もっとセキュアなポートは、そのクライアントから再マウントを受信し、進行中のセッションをサポートし続けるように自動的に構成される。セキュアなポートを構成した後に、対応するポート番号が、クライアントのIPアドレスと共に、マウント・コントローラに与えられる。ブロック362に示すように、サーバは、第1の標準的なポート上のマウントを終了させ、クライアントから再マウントを受信した場合、よりセキュアなポートを介したセッションを再確立する。
【0039】
留意すべきことは、サーバが最初のマウントを終了させたことに応答して、クライアントが再マウントを開始し、これはユーザによって第2のセキュアなリンクに向けられることである。これによって、クライアントの最初のセッションが再確立されるが、これは第2のポートを介している。接続の再確立は、クライアントのIPアドレスをチェックし、そのIPアドレスからの接続を受信するようにセットアップされたポートとそのIPアドレスを照合することを伴う。プロセス全体は背景において行われ、このため、ユーザの観点からは、ポートのシームレスな切り替えが完了する。
【0040】
1つの代替的な実施形態では、特定のファイルに適用されるセキュリティのレベルは、その特定のファイルに対するアクセスを与えられたユーザ(または選択されたクライアント・システム)によって決定される。従って、ファイル・アクセス許可がファイルシステムの管理者のみに限定されているならば、セキュリティ・レベルは高く、一方、ファイル・アクセス許可が一般の従業員に与えられていることは、必要なセキュリティ・レベルが比較的低いことを示す。ファイルのセキュリティ・レベルの決定は、ユーザが最初にファイルを作成し、そのファイルにアクセス許可を割り当てた場合に完了する。いったんファイルがファイルシステム内に置かれると、ファイルは適切なネットワーク・セキュリティ保護を自動的に承継する。この実施によって、ファイルシステム内のファイル上の既存のファイル許可(例えばユーザ、グループ、他のためのUNIX−rwx、rwx、rwx)は、拡張的なシステム管理および構成を必要とすることなく、本明細書において与えられるセキュリティ・モデルに組み込まれる。このため、本発明では、ファイルごとに既存のファイルシステムを再構成する必要がない。本発明によって、機密ファイルをセキュアなサーバへと移動させる必要もなくなる。
【図面の簡単な説明】
【0041】
【図1】本発明の特徴を実施可能なデータ処理システムのブロック図である。
【図2】本発明の一実施形態に従った、図1のファイルシステム内のファイルのブロック図であり、必要なレベルのセキュリティを示すセキュリティ・タグを有する。
【図3】本発明の一実施形態に従った、本発明の特徴を実施可能な分散ネットワークのブロック図である。
【図4】本発明の一実施形態に従った、標準的なマウントを介したアクセス中にクライアントに機密ファイルへのアクセスを与えるプロセスのフローチャートである。
【図5】本発明の一実施形態に従った、サーバがクライアントによる機密ファイルへのアクセス要求を監視して、それらのファイルへのアクセスがセキュアなチャネルを介してルーティングされることを保証するプロセスのフローチャートである。
【図6】本発明の一実施形態に従った、サーバがクライアントによる機密ファイルへのアクセス要求を監視して、それらのファイルへのアクセスがセキュアなチャネルを介してルーティングされることを保証するプロセスのフローチャートである。
【図7】本発明の一実施形態に従った、単一の継続セッションの間に標準的なセキュアでないチャネルからセキュアなチャネルへとファイルシステム上のクライアント・セッションの切り替えをシームレスに完了するための論理コンポーネントを示すブロック図である。
【図1A】
【図1B】
【特許請求の範囲】
【請求項1】
少なくとも第1のファイルの送信のためのセキュリティを与える方法であって、データ処理システムにおいて用いられ、前記データ処理システムが、(1)予め設定されたアクセス許可を有する前記少なくとも第1のファイルが格納されたストレージ媒体、(2)前記データ処理システムを外部のクライアント・システムに接続するための少なくとも第1の標準的なポートおよび第2のセキュアなポート、ならびに(3)前記第1のポートおよび前記第2のポートを介して前記少なくとも1つのファイルの送信を選択的にルーティングするための論理を含み、前記方法が、
前記外部のクライアント・システムによる前記第1のファイルに対するアクセスの要求に応答して、前記第1のファイルの前記予め設定されたアクセス許可をチェックするステップと、
前記第1のファイルの前記予め設定されたアクセス許可が、前記第1のファイルにセキュアなアクセスが必要であることを示す場合、前記第1のファイルの送信を前記第2のポートを介して外部のクライアント・システムへと動的にルーティングするステップと、
を含む、方法。
【請求項2】
前記予め設定されたアクセス許可が、通常のアクセスで充分であることを示す場合、前記第1のファイルの前記送信を前記第1の標準的なポートを介してルーティングするステップを更に含む、請求項1に記載の方法。
【請求項3】
前記第1の標準的なポートを介して前記データ処理システムの第1のマウントをイネーブルするステップと、
前記第1のファイルがセキュアなアクセスを必要とする場合にのみ、前記第2のセキュアなポートを介して前記データ処理システムの第2のマウントをイネーブルするステップと、
を更に含む、請求項1に記載の方法。
【請求項4】
前記データ処理システムが、更に、前記第2のセキュアなポートに関連付けた暗号化モジュールを含み、前記動的にルーティングするステップが、前記暗号化モジュールを用いて最初に前記第1のファイルを暗号化するステップを含む、請求項1に記載の方法。
【請求項5】
前記データ処理システムが、前記クライアント・システムによるマウントをサポートするための前記第1の標準的なポートおよび前記第2のセキュアなポートを構成するための再構成論理を更に含み、前記動的にルーティングするステップが、
最初に、前記クライアント・システムから受信した再マウント動作をサポートするように前記第2のセキュアなポートを構成するステップと、
前記クライアント・システムによる前記第1の標準的なポート上での現在のマウントを終了させるステップと、
前記第2のセキュアなポート上での前記セッションのシームレスな継続を可能とするために前記現在のマウントのセッション・パラメータを格納するステップと、
を含む、請求項1に記載の方法。
【請求項6】
前記構成および格納するステップが、
前記クライアント・システムのIPアドレスを検索するステップと、
前記クライアント・システムからの再マウント動作を自動的に認識し、前記クライアント・システムとの前記セッションを再確立する前記第2のセキュアなポートの構成に前記IPアドレスを配置するステップと、
を含む、請求項5に記載の方法。
【請求項7】
前記予め設定されたアクセス許可が、前記第1のファイルにリンクされたメタデータ内のビットであり、前記方法が、前記ビットの値を読み取って前記第1のファイルがセキュアなアクセスを必要とするか否かを評価するステップを更に含む、請求項1に記載の方法。
【請求項8】
前記予め設定されたアクセス許可が、どの特定のユーザがセキュアなアクセスを介して前記第1のファイルにアクセスを許可されているかの識別を含み、前記方法が、
前記クライアント・システムのユーザと、前記ファイルにアクセスする許可を有する前記特定のユーザとを比較するステップと、
前記ユーザが前記特定のユーザの一人である場合、前記第2のセキュアなポートを介した前記第1のファイルの送信の再ルーティングを自動的に開始するステップと、
を更に含む、請求項1に記載の方法。
【請求項9】
前記第1の標準的なポートが、第1のセキュアでないネットワークを介して前記クライアント・システムに接続し、前記第2のセキュアなポートが、第2のセキュアなネットワークを介して前記クライアント・システムに接続する、請求項1に記載の方法。
【請求項10】
前記データ処理システムが、前記第1の標準的なポートを前記クライアント・システムに接続する第1のサブネットおよび前記第2のセキュアなポートを前記クライアント・システムに接続する第2のサブネットを有するネットワーク内のサーバであり、
前記第1のファイルがファイルシステム内に格納され、
前記チェックするステップが、前記ファイルシステムにアクセスし前記第1のファイルを位置付けるステップを含み、
前記ルーティングするステップが、前記ファイルがセキュアなアクセスを必要とする場合に前記第2のサブネットを介して前記ファイルを送信するステップ、および、前記第1のファイルがセキュアなアクセスを必要としない場合に前記第1のサブネットを介して前記第1のファイルを送信するステップを含む、請求項1に記載の方法。
【請求項11】
少なくとも第1のファイルの送信のためのセキュリティを与えるシステムであって、データ処理システムにおいて用いられ、前記データ処理システムが、(1)予め設定されたアクセス許可を有する前記少なくとも第1のファイルが格納されたストレージ媒体、(2)前記データ処理システムを外部のクライアント・システムに接続するための少なくとも第1の標準的なポートおよび第2のセキュアなポート、ならびに(3)前記第1のポートおよび前記第2のポートを介して前記少なくとも1つのファイルの送信を選択的にルーティングするための論理を含み、前記システムが、
前記外部のクライアント・システムによる前記第1のファイルに対するアクセスの要求に応答して、前記第1のファイルの前記予め設定されたアクセス許可をチェックするための論理と、
前記第1のファイルの前記予め設定されたアクセス許可が、前記第1のファイルにセキュアなアクセスが必要であることを示す場合、前記第1のファイルの送信を前記第2のポートを介して外部のクライアント・システムへと動的にルーティングするための論理と、
を含む、システム。
【請求項12】
前記予め設定されたアクセス許可が、通常のアクセスで充分であることを示す場合、前記第1のファイルの前記送信を前記第1の標準的なポートを介してルーティングするための論理を更に含む、請求項11に記載のシステム。
【請求項13】
前記第1の標準的なポートを介して前記データ処理システムの第1のマウントをイネーブルするための論理と、
前記第1のファイルがセキュアなアクセスを必要とする場合にのみ、前記第2のセキュアなポートを介して前記データ処理システムの第2のマウントをイネーブルするための論理と、
を更に含む、請求項11に記載のシステム。
【請求項14】
前記データ処理システムが、更に、前記第2のセキュアなポートに関連付けた暗号化モジュールを含み、前記動的にルーティングするための論理が、前記暗号化モジュールを用いて最初に前記第1のファイルを暗号化するための論理を含む、請求項11に記載のシステム。
【請求項15】
前記データ処理システムが、前記クライアント・システムによるマウントをサポートするための前記第1の標準的なポートおよび前記第2のセキュアなポートを構成するための再構成論理を更に含み、前記動的にルーティングするための論理が、
最初に、前記クライアント・システムから受信した再マウント動作をサポートするように前記第2のセキュアなポートを構成するための論理と、
前記クライアント・システムによる前記第1の標準的なポート上での現在のマウントを終了させるための論理と、
前記第2のセキュアなポート上での前記セッションのシームレスな継続を可能とするために前記現在のマウントのセッション・パラメータを格納するための論理と、
を含む、請求項11に記載のシステム。
【請求項16】
前記構成および格納するための論理が、
前記クライアント・システムのIPアドレスを検索するための論理と、
前記クライアント・システムからの再マウント動作を自動的に認識し、前記クライアント・システムとの前記セッションを再確立する前記第2のセキュアなポートの構成に前記IPアドレスを配置するための論理と、
を含む、請求項15に記載のシステム。
【請求項17】
前記予め設定されたアクセス許可が、前記第1のファイルにリンクされたメタデータ内のビットであり、前記システムが、前記ビットの値を読み取って前記第1のファイルがセキュアなアクセスを必要とするか否かを評価することを更に含む、請求項11に記載のシステム。
【請求項18】
前記予め設定されたアクセス許可が、どの特定のユーザがセキュアなアクセスを介して前記第1のファイルにアクセスを許可されているかの識別を含み、前記システムが、
前記クライアント・システムのユーザと、前記ファイルにアクセスする許可を有する前記特定のユーザとを比較するための論理と、
前記ユーザが前記特定のユーザの一人である場合、前記第2のセキュアなポートを介した前記第1のファイルの送信の再ルーティングを自動的に開始するための論理と、
を更に含む、請求項11に記載のシステム。
【請求項19】
前記第1の標準的なポートが、第1のセキュアでないネットワークを介して前記クライアント・システムに接続し、前記第2のセキュアなポートが、第2のセキュアなネットワークを介して前記クライアント・システムに接続する、請求項11に記載のシステム。
【請求項20】
前記データ処理システムが、前記第1の標準的なポートを前記クライアント・システムに接続する第1のサブネットおよび前記第2のセキュアなポートを前記クライアント・システムに接続する第2のサブネットを有するネットワーク内のサーバであり、
前記第1のファイルがファイルシステム内に格納され、
前記チェックするための論理が、前記ファイルシステムにアクセスし前記第1のファイルを位置付けるための手段を含み、
前記ルーティングするための論理が、前記ファイルがセキュアなアクセスを必要とする場合に前記第2のサブネットを介して前記ファイルを送信し、前記第1のファイルがセキュアなアクセスを必要としない場合に前記第1のサブネットを介して前記第1のファイルを送信するための手段を含む、請求項11に記載のシステム。
【請求項1】
少なくとも第1のファイルの送信のためのセキュリティを与える方法であって、データ処理システムにおいて用いられ、前記データ処理システムが、(1)予め設定されたアクセス許可を有する前記少なくとも第1のファイルが格納されたストレージ媒体、(2)前記データ処理システムを外部のクライアント・システムに接続するための少なくとも第1の標準的なポートおよび第2のセキュアなポート、ならびに(3)前記第1のポートおよび前記第2のポートを介して前記少なくとも1つのファイルの送信を選択的にルーティングするための論理を含み、前記方法が、
前記外部のクライアント・システムによる前記第1のファイルに対するアクセスの要求に応答して、前記第1のファイルの前記予め設定されたアクセス許可をチェックするステップと、
前記第1のファイルの前記予め設定されたアクセス許可が、前記第1のファイルにセキュアなアクセスが必要であることを示す場合、前記第1のファイルの送信を前記第2のポートを介して外部のクライアント・システムへと動的にルーティングするステップと、
を含む、方法。
【請求項2】
前記予め設定されたアクセス許可が、通常のアクセスで充分であることを示す場合、前記第1のファイルの前記送信を前記第1の標準的なポートを介してルーティングするステップを更に含む、請求項1に記載の方法。
【請求項3】
前記第1の標準的なポートを介して前記データ処理システムの第1のマウントをイネーブルするステップと、
前記第1のファイルがセキュアなアクセスを必要とする場合にのみ、前記第2のセキュアなポートを介して前記データ処理システムの第2のマウントをイネーブルするステップと、
を更に含む、請求項1に記載の方法。
【請求項4】
前記データ処理システムが、更に、前記第2のセキュアなポートに関連付けた暗号化モジュールを含み、前記動的にルーティングするステップが、前記暗号化モジュールを用いて最初に前記第1のファイルを暗号化するステップを含む、請求項1に記載の方法。
【請求項5】
前記データ処理システムが、前記クライアント・システムによるマウントをサポートするための前記第1の標準的なポートおよび前記第2のセキュアなポートを構成するための再構成論理を更に含み、前記動的にルーティングするステップが、
最初に、前記クライアント・システムから受信した再マウント動作をサポートするように前記第2のセキュアなポートを構成するステップと、
前記クライアント・システムによる前記第1の標準的なポート上での現在のマウントを終了させるステップと、
前記第2のセキュアなポート上での前記セッションのシームレスな継続を可能とするために前記現在のマウントのセッション・パラメータを格納するステップと、
を含む、請求項1に記載の方法。
【請求項6】
前記構成および格納するステップが、
前記クライアント・システムのIPアドレスを検索するステップと、
前記クライアント・システムからの再マウント動作を自動的に認識し、前記クライアント・システムとの前記セッションを再確立する前記第2のセキュアなポートの構成に前記IPアドレスを配置するステップと、
を含む、請求項5に記載の方法。
【請求項7】
前記予め設定されたアクセス許可が、前記第1のファイルにリンクされたメタデータ内のビットであり、前記方法が、前記ビットの値を読み取って前記第1のファイルがセキュアなアクセスを必要とするか否かを評価するステップを更に含む、請求項1に記載の方法。
【請求項8】
前記予め設定されたアクセス許可が、どの特定のユーザがセキュアなアクセスを介して前記第1のファイルにアクセスを許可されているかの識別を含み、前記方法が、
前記クライアント・システムのユーザと、前記ファイルにアクセスする許可を有する前記特定のユーザとを比較するステップと、
前記ユーザが前記特定のユーザの一人である場合、前記第2のセキュアなポートを介した前記第1のファイルの送信の再ルーティングを自動的に開始するステップと、
を更に含む、請求項1に記載の方法。
【請求項9】
前記第1の標準的なポートが、第1のセキュアでないネットワークを介して前記クライアント・システムに接続し、前記第2のセキュアなポートが、第2のセキュアなネットワークを介して前記クライアント・システムに接続する、請求項1に記載の方法。
【請求項10】
前記データ処理システムが、前記第1の標準的なポートを前記クライアント・システムに接続する第1のサブネットおよび前記第2のセキュアなポートを前記クライアント・システムに接続する第2のサブネットを有するネットワーク内のサーバであり、
前記第1のファイルがファイルシステム内に格納され、
前記チェックするステップが、前記ファイルシステムにアクセスし前記第1のファイルを位置付けるステップを含み、
前記ルーティングするステップが、前記ファイルがセキュアなアクセスを必要とする場合に前記第2のサブネットを介して前記ファイルを送信するステップ、および、前記第1のファイルがセキュアなアクセスを必要としない場合に前記第1のサブネットを介して前記第1のファイルを送信するステップを含む、請求項1に記載の方法。
【請求項11】
少なくとも第1のファイルの送信のためのセキュリティを与えるシステムであって、データ処理システムにおいて用いられ、前記データ処理システムが、(1)予め設定されたアクセス許可を有する前記少なくとも第1のファイルが格納されたストレージ媒体、(2)前記データ処理システムを外部のクライアント・システムに接続するための少なくとも第1の標準的なポートおよび第2のセキュアなポート、ならびに(3)前記第1のポートおよび前記第2のポートを介して前記少なくとも1つのファイルの送信を選択的にルーティングするための論理を含み、前記システムが、
前記外部のクライアント・システムによる前記第1のファイルに対するアクセスの要求に応答して、前記第1のファイルの前記予め設定されたアクセス許可をチェックするための論理と、
前記第1のファイルの前記予め設定されたアクセス許可が、前記第1のファイルにセキュアなアクセスが必要であることを示す場合、前記第1のファイルの送信を前記第2のポートを介して外部のクライアント・システムへと動的にルーティングするための論理と、
を含む、システム。
【請求項12】
前記予め設定されたアクセス許可が、通常のアクセスで充分であることを示す場合、前記第1のファイルの前記送信を前記第1の標準的なポートを介してルーティングするための論理を更に含む、請求項11に記載のシステム。
【請求項13】
前記第1の標準的なポートを介して前記データ処理システムの第1のマウントをイネーブルするための論理と、
前記第1のファイルがセキュアなアクセスを必要とする場合にのみ、前記第2のセキュアなポートを介して前記データ処理システムの第2のマウントをイネーブルするための論理と、
を更に含む、請求項11に記載のシステム。
【請求項14】
前記データ処理システムが、更に、前記第2のセキュアなポートに関連付けた暗号化モジュールを含み、前記動的にルーティングするための論理が、前記暗号化モジュールを用いて最初に前記第1のファイルを暗号化するための論理を含む、請求項11に記載のシステム。
【請求項15】
前記データ処理システムが、前記クライアント・システムによるマウントをサポートするための前記第1の標準的なポートおよび前記第2のセキュアなポートを構成するための再構成論理を更に含み、前記動的にルーティングするための論理が、
最初に、前記クライアント・システムから受信した再マウント動作をサポートするように前記第2のセキュアなポートを構成するための論理と、
前記クライアント・システムによる前記第1の標準的なポート上での現在のマウントを終了させるための論理と、
前記第2のセキュアなポート上での前記セッションのシームレスな継続を可能とするために前記現在のマウントのセッション・パラメータを格納するための論理と、
を含む、請求項11に記載のシステム。
【請求項16】
前記構成および格納するための論理が、
前記クライアント・システムのIPアドレスを検索するための論理と、
前記クライアント・システムからの再マウント動作を自動的に認識し、前記クライアント・システムとの前記セッションを再確立する前記第2のセキュアなポートの構成に前記IPアドレスを配置するための論理と、
を含む、請求項15に記載のシステム。
【請求項17】
前記予め設定されたアクセス許可が、前記第1のファイルにリンクされたメタデータ内のビットであり、前記システムが、前記ビットの値を読み取って前記第1のファイルがセキュアなアクセスを必要とするか否かを評価することを更に含む、請求項11に記載のシステム。
【請求項18】
前記予め設定されたアクセス許可が、どの特定のユーザがセキュアなアクセスを介して前記第1のファイルにアクセスを許可されているかの識別を含み、前記システムが、
前記クライアント・システムのユーザと、前記ファイルにアクセスする許可を有する前記特定のユーザとを比較するための論理と、
前記ユーザが前記特定のユーザの一人である場合、前記第2のセキュアなポートを介した前記第1のファイルの送信の再ルーティングを自動的に開始するための論理と、
を更に含む、請求項11に記載のシステム。
【請求項19】
前記第1の標準的なポートが、第1のセキュアでないネットワークを介して前記クライアント・システムに接続し、前記第2のセキュアなポートが、第2のセキュアなネットワークを介して前記クライアント・システムに接続する、請求項11に記載のシステム。
【請求項20】
前記データ処理システムが、前記第1の標準的なポートを前記クライアント・システムに接続する第1のサブネットおよび前記第2のセキュアなポートを前記クライアント・システムに接続する第2のサブネットを有するネットワーク内のサーバであり、
前記第1のファイルがファイルシステム内に格納され、
前記チェックするための論理が、前記ファイルシステムにアクセスし前記第1のファイルを位置付けるための手段を含み、
前記ルーティングするための論理が、前記ファイルがセキュアなアクセスを必要とする場合に前記第2のサブネットを介して前記ファイルを送信し、前記第1のファイルがセキュアなアクセスを必要としない場合に前記第1のサブネットを介して前記第1のファイルを送信するための手段を含む、請求項11に記載のシステム。
【図2】
【図3A】
【図3B】
【図3C】
【図4】
【図3A】
【図3B】
【図3C】
【図4】
【公表番号】特表2007−503652(P2007−503652A)
【公表日】平成19年2月22日(2007.2.22)
【国際特許分類】
【出願番号】特願2006−530468(P2006−530468)
【出願日】平成16年4月15日(2004.4.15)
【国際出願番号】PCT/GB2004/001629
【国際公開番号】WO2004/104902
【国際公開日】平成16年12月2日(2004.12.2)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
【公表日】平成19年2月22日(2007.2.22)
【国際特許分類】
【出願日】平成16年4月15日(2004.4.15)
【国際出願番号】PCT/GB2004/001629
【国際公開番号】WO2004/104902
【国際公開日】平成16年12月2日(2004.12.2)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
[ Back to top ]