CN101316273A - 一种分布式安全存储系统 - Google Patents
一种分布式安全存储系统 Download PDFInfo
- Publication number
- CN101316273A CN101316273A CN200810047679.4A CN200810047679A CN101316273A CN 101316273 A CN101316273 A CN 101316273A CN 200810047679 A CN200810047679 A CN 200810047679A CN 101316273 A CN101316273 A CN 101316273A
- Authority
- CN
- China
- Prior art keywords
- access control
- memory device
- control entry
- entry
- storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
一种分布式安全存储系统,属于计算机存储技术领域,目的在于克服现有基于证书的安全存储系统中安全管理器负载重,用户权限管理复杂的问题。本发明包括连入网络的应用客户端、存储设备、安全与策略管理器和元数据服务器;安全与策略管理器存储并管理全系统的访问控制项、访问控制策略和规则,依据全系统访问控制项、访问控制策略和规则对存储设备进行访问策略控制和权限控制,包括改变访问控制项的优先级和继承规则、添加和删除访问控制项。本发明将集中授权分散到存储节点,避免安全管理器的性能瓶颈,解决了用户权限管理复杂的问题,将身份管理和访问控制相结合消除了存取控制冗余和安全漏洞,适用于构建大规模高性能的安全存储系统。
Description
技术领域
本发明属于计算机存储技术领域,具体涉及一种分布式安全存储系统。
背景技术
科学计算、空间探索、电子商务和多媒体应用对建立高性能海量信息存储系统提出了需求,未来的存储系统其规模将达到PB级,一些重要的应用要求存储系统带宽达到1TB/S以上。PB级高性能存储系统具有成百上千的存储设备,同时对大量用户提供并发和突发的服务,这些因素和敏感数据的存在对实现PB级存储系统的安全提出了挑战。
最近几年对PB级存储系统的构建技术和安全机制进行了大量研究,目前已经构建和正在使用的海量存储系统多由三个主要的组件组成:应用客户端、元数据服务器和存储设备,存储设备可以是附网存储设备(Network-Attached Storage Device,NASD)或对象存储设备(ObjectStorage Device,OSD),存储设备直连到网络上,元数据和数据分离。这种结构,被证明是构建PB级存储系统的一种有效的解决方案。
然而,这种设计导致存储设备上不再存储任何访问权限和授权信息,这些信息通常存储在元数据服务器上,应用客户端在访问存储设备前必须获得元数据服务器的授权,基于此架构的当前广泛应用的解决方案就是基于证书的访问控制(CBAC,Credential-Based Access Control)模型。CBAC模型要求应用客户端在访问存储设备前必须从元数据服务器获得相应的权能证书,该权能证书赋予应用客户端访问存储设备上资源的权限,并由元数据服务器和存储设备之间共享的秘密或由元数据服务器的私钥签名保证权能证书不被非法用户伪造和篡改。存储设备收到应用客户端请求和相应的权能证书后,首先验证权能证书的有效性和是否存在越权请求,验证通过则执行客户请求。
CBAC模型的特点导致其存在不可解决的缺陷:(1)由于元数据服务器要为每一个应用客户端对每一个访问对象的请求生成一个权能证书,在一个拥有成千上万用户的大规模存储系统中,将在元数据服务器上产生大量的负载,增加应用客户端访问元数据服务器的延迟,在高性能的存储系统中,元数据服务器要在短时间内产生成千上万的权能证书几乎是不可能的;(2)CBAC模型强调了对应用客户端的授权和访问控制,而没有考虑用户权限管理的问题,而在数据量大,类型多样,变化频繁以及用户数量多,调动频繁的PB级存储系统中,用户的权限管理将变得更加复杂和难于维护,大大降低系统的安全性和可靠性。(3)CBAC模型中,元数据服务器管理和认证用户,存储设备依据元数据服务器授予应用客户端的权能证书进行访问控制,这种身份管理和访问控制相分离的方式带来了存取控制冗余和安全漏洞,降低了系统的安全性,如:增加了生成和验证权能证书操作,传递中的权能证书易受攻击。
初期的CBAC采用细粒度的授权证书,每个权能证书一次只对一个用户和一个访问对象授权,减少元数据服务器生成权能证书数量的一个方法就是扩展权能证书的功能,加州大学圣克鲁兹分校存储系统研究中心的研究人员提出了扩展证书的思想,单个权能证书可以同时对多个用户和多个被访问文件授权,然而,采用这种粗粒度权能证书的方案并没有根本解决上述提到的问题,反而增加了系统的复杂性。基于以上分析,基于证书的访问控制模型可以为小规模存储系统提供较好的访问控制,而不适用于高性能的PB级存储系统,需要新的访问控制模型的提出。
发明内容
本发明提出一种分布式安全存储系统,目的在于克服现有基于证书的安全存储系统中安全管理器负载重,用户权限管理复杂的问题,并消除现有系统中的存取控制冗余和安全漏洞,满足信息量大,数据种类复杂,用户多的大规模、高性能信息存储系统的安全需求。
本发明的一种分布式安全存储系统,包括连入网络的应用客户端、存储设备、安全与策略管理器和元数据服务器;应用客户端、安全与策略管理器、元数据服务器和存储设备之间采用iSCSI协议进行通信;应用客户端和安全与策略管理器、元数据服务器之间采用TCP/IP协议通信;存储设备为对象存储设备或附网存储设备,对外提供标准的对象接口或文件接口,为用户提供存储服务;元数据服务器对多个存储设备进行管理、将用户数据映射到多个存储设备上,控制存储设备间的负载平衡;其特征在于:
所述应用客户端、存储设备、安全与策略管理器和元数据服务器以及所有用户均为本系统的成员,各成员至少拥有一个数字身份证书;
所述存储设备以及存储设备中的存储数据具有与其关联的访问控制项;
所述安全与策略管理器存储并管理全系统的访问控制策略和规则,依据全系统访问控制策略和规则对存储设备进行访问策略控制和权限控制,包括改变访问控制项的优先级和继承规则,添加、修改和删除访问控制项。
所述的分布式安全存储系统,其特征在于:
所述数字身份证书包含成员标识符、所属角色标识符以及证书有效期限;数字身份证书为由公钥机制的证书授权中心发放的授权证书或者是由基于身份的密钥机制的密钥生成中心发放的标识证书;
所述访问控制项定义成员或角色对存储设备以及存储数据所具有的访问权限;访问控制项包括成员访问控制项和角色访问控制项,分别对应于对成员的访问控制和对角色的访问控制;成员访问控制项具有比角色访问控制项更高的优先级;具有访问权限控制的成员通过对访问控制项的添加、删除和修改可以实现权限的授予、回收和变更。
所述的分布式安全存储系统,其特征在于:
访问控制项以列表的方式进行组织,分为成员访问控制项列表和角色访问控制项列表;
存储设备上的存储数据继承所在存储设备的访问控制项;
用户的身份证书以智能卡形式实现。
所述的分布式安全存储系统,其特征在于:所述元数据服务器和安全与策略管理器在同一台计算机上实现。
对本发明的系统访问包括以下步骤:
(1)用户在应用客户端对访问请求进行签名,或安全与策略管理器对访问请求进行签名,向存储设备提交访问请求和请求签名;
(2)存储设备在收到访问请求时,首先验证数字身份证书的有效性,数字身份证书由成员提交给存储设备,或者是存储设备事先保存的,或者存储设备依据成员身份信息构造出来;
验证成员请求签名,确认成员身份;
依据成员身份、成员所属的角色以及与被访问存储设备或存储数据关联的访问控制项进行访问控制;
(3)具有访问权限控制的成员或安全与策略管理器通过对访问控制项的添加、删除和修改可以实现权限的授予、回收和变更;若存储设备收到授权请求则在本存储设备或所存储数据的访问控制列表中添加相应的访问控制项;收到权限回收请求则删除本存储设备或所存储数据的相应访问控制项;收到权限变更请求则用新的权限许可替换被访问存储设备或所存储数据的相应访问控制项的原权限许可。
与基于证书的安全存储系统及其访问控制方法不同,本发明将成员访问权限与被访问存储设备或所存储数据关联,存储设备在接受成员访问时只需验证成员身份,依据成员身份、所属的角色以及与被访问存储设备或所存储数据关联的访问控制项进行访问控制。本发明考虑了成员访问权限集中放置带来的性能瓶颈和管理复杂的问题,并强调了成员访问存储系统时的实名制问题,具有以下优点:
1.本系统各成员之间交互或系统外设备在进入系统时必须具有合法有效的身份证书,大大加强了系统的安全性。
2.存储设备依据与被访问存储设备或所存储数据关联的访问控制项进行访问控制,成员在访问存储设备以前不需要向安全管理器请求权能证书,解决了安全管理器的性能瓶颈问题。
3.成员访问权限与被访问存储设备或所存储数据关联,并允许访问控制项的继承,当生成新的存储数据、删除存储数据或改变存储数据的访问权限时,避免了使用和更新庞大的成员权限列表,只需修改被访问存储设备或所存储数据的相应访问控制项即可,从而降低了大规模存储系统中权限管理的复杂性。
本发明有效地利用了存储设备的计算能力,将集中式的授权操作分散到存储节点,避免了传统安全存储系统中安全管理器的性能瓶颈,解决了大规模存储系统中成员权限管理复杂的问题,依据成员身份证书而不是权能证书进行访问控制消除了传统安全存储系统中身份管理和访问控制相分离带来的存取控制冗余和安全漏洞,提高了系统的安全性,适用于构建大规模高性能的安全存储系统。
附图说明
图1为本发明的结构示意图;
图2为访问本发明的流程示意图;
图3为成员或角色访问控制项格式;
图4为成员或角色访问控制项列表格式;
图5为设置访问控制项命令格式。
具体实施方式
下面结合附图给出存储节点采用对象存储设备时本发明的具体实施例,2005年1月美国国家标准局批准了INCITS所属T10技术委员会提交的OSD(Object-based Storage Device)标准第一版,即SCSI对象存储命令标准。T10OSD标准定义了一个基于证书的访问控制模型,本实施例对T10OSD标准进行了扩展,需要指出的是本发明也适用于异构存储的情况,即存储设备可以是对象存储设备、附网存储设备以及其它存储设备中的一种或几种。
图1为本发明的分布式安全存储系统结构示意图,包括应用客户端、存储设备、安全与策略管理器和元数据服务器四个部分。
图2为访问本发明的流程示意图,步骤如下:
(1)用户在应用客户端对访问请求进行签名,或安全与策略管理器对访问请求进行签名,向存储设备提交访问请求和请求签名;
(2)存储设备验证成员身份,
A.验证数字身份证书的有效性;
B.验证成员请求签名
(3)存储设备验证成员权限
A.搜索与被访问存储设备或所存储数据关联的成员访问控制项列表,若搜索到成员标识符与当前成员标识符匹配的访问控制项,则依据该访问控制项的权限许可做出授权判定;否则
B.搜索与访问对象关联的角色访问控制项列表,若搜索到角色标识符与当前角色标识符匹配的访问控制项,则依据该访问控制项的权限许可做出授权判定;否则拒绝访问;
(4)设置访问控制项
具有访问权限控制的成员或安全与策略管理器通过设置访问控制项命令更新与存储设备或所存储数据关联的访问控制项,实现授予,修改和回收用户或角色权限。
图3为与存储设备或所存储数据关联的访问控制项格式,访问控制项包括成员访问控制项和角色访问控制项两种,分别指定了成员和角色对被访问存储设备或其存储数据所具有的访问权限。
访问控制项长30字节,每字节有8位;
成员(或角色)标识符字段为25字节长,指定成员(或角色)的标识。成员标识符为成员名或整数值,如客户端序号、存储设备序号、安全与策略管理器、元数据服务器以及各用户名称;角色标识符为角色名,如角色A、角色B...,或管理员、普通用户;
权限许可字段为5字节长,指定该访问控制项的成员(或角色)对被访问存储设备或其存储数据所具有的访问权限,如读、写、删除、创建等。
图4为以列表形式组织的访问控制项,包括列表类型字段、访问控制项数字段和访问控制项字段,各字段定义如下:
列表类型字段占用首字节的低4位,指定该列表的类型,值为1h表示成员访问控制列表,值为2h表示角色访问控制列表,其中xh指十六进制数。
访问控制项数字段为2字节长,指定列表所包括的访问控制项数目。
访问控制项字段包括任意个长30字节的访问控制项,每个访问控制项为图3所示成员或角色访问控制项,当列表类型字段值为1h时访问控制项字段存储成员访问控制项,当列表类型字段值为2h时访问控制项字段存储角色访问控制项。
图5为本发明的设置访问控制项指令格式,该指令用于具有访问权限控制的成员或安全与策略管理器对访问控制项进行检索和设置,该指令支持的操作包括获取、添加、删除和修改访问控制项。本条指令与T10OSD指令集兼容,共占用200字节,前10个字节同T10OSD指令,其中第0字节是值为7Fh的操作码字段,第1字节是控制字节,第8、9字节为服务行为字段,值8890h为本发明定义的设置访问控制项指令。第10字节开始为服务内容特定字段,如图5所示,各字段定义如下:
1)选项字节,定义同T10OSD指令。
2)获取列表类型字段占用第11字节的高4位,用来指定要获取的访问控制项列表类型,1h表示要获取的是成员访问控制项列表,2h表示要获取的是角色访问控制项列表。
3)设置列表类型字段占用第11字节的低4位,用来指定要设置访问控制项列表类型,1h表示要设置的是成员访问控制项列表,2h表示要设置的是角色访问控制项列表。
4)时戳控制字段占用第12字节,定义同T10OSD指令。
第13~15字节保留。
5)分区标识符字段占用第16~23字节,用户对象标识符字段占用第24~31字节,定义同T10OSD指令。分区标识符字段和用户对象标识符字段指定要操作的访问控制项所关联的存储在设备上的数据对象。
第32~51字节保留。
6)获取访问控制列表数字段占用第52~53字节,指定一次要获取的访问控制项数目,为0表示没有访问控制项要被检索,为FFFF表示检索全部的访问控制单元。
7)获取访问控制项列表偏移字段占用第54~57字节,指定要获取的访问控制项列表的首字节相对于数据输出缓冲区首字节的偏移字节数。
8)获取访问控制项列表分配长度字段占用第58~61字节,指定被分配用来接收检索到的访问控制项的字节数。
9)检索访问控制列表偏移字段占用第62~65字节,指定了包含被检索到的访问控制项列表相对于数据输入缓冲区首字节的字节偏移量。
10)设置访问控制项数字段占用第66~67字节,指定一次要设置的访问控制项的个数,为0表示没有访问控制项要被设置,为FFFF表示设置全部的访问控制项。
11)设置访问控制项列表偏移字段占用第68~71字节,指定要被设置的访问控制项列表的位置相对于数据输出缓冲区首字节的字节偏移量。
第72~199字节保留。
Claims (4)
1.一种分布式安全存储系统,包括连入网络的应用客户端、存储设备、安全与策略管理器和元数据服务器;应用客户端、安全与策略管理器、元数据服务器和存储设备之间采用iSCSI协议进行通信;应用客户端和安全与策略管理器、元数据服务器之间采用TCP/IP协议通信;存储设备为对象存储设备或附网存储设备,对外提供标准的对象接口或文件接口,为用户提供存储服务;元数据服务器对多个存储设备进行管理、将用户数据映射到多个存储设备上,控制存储设备间的负载平衡;其特征在于:
所述应用客户端、存储设备、安全与策略管理器和元数据服务器以及所有用户均为本系统的成员,各成员至少拥有一个数字身份证书;
所述存储设备以及存储设备中的存储数据具有与其关联的访问控制项;
所述安全与策略管理器存储并管理全系统的访问控制策略和规则,依据全系统访问控制策略和规则对存储设备进行访问策略控制和权限控制,包括改变访问控制项的优先级和继承规则,添加、修改和删除访问控制项。
2.如权利要求1所述的分布式安全存储系统,其特征在于:
所述数字身份证书包含成员标识符、所属角色标识符以及证书有效期限;数字身份证书为由公钥机制的证书授权中心发放的授权证书或者是由基于身份的密钥机制的密钥生成中心发放的标识证书;
所述访问控制项定义成员或角色对存储设备以及存储数据所具有的访问权限;访问控制项包括成员访问控制项和角色访问控制项,分别对应于对成员的访问控制和对角色的访问控制;成员访问控制项具有比角色访问控制项更高的优先级;具有访问权限控制的成员通过对访问控制项的添加、删除和修改可以实现权限的授予、回收和变更。
3.如权利要求1或2所述的分布式安全存储系统,其特征在于:
访问控制项以列表的方式进行组织,分为成员访问控制项列表和角色访问控制项列表;
存储设备上的存储数据继承所在存储设备的访问控制项;
用户的身份证书以智能卡形式实现。
4.如权利要求3所述的分布式安全存储系统,其特征在于:所述元数据服务器和安全与策略管理器在同一台计算机上实现。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810047679.4A CN101316273B (zh) | 2008-05-12 | 2008-05-12 | 一种分布式安全存储系统 |
| US12/425,407 US8352731B2 (en) | 2008-05-12 | 2009-04-17 | Secure decentralized storage system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810047679.4A CN101316273B (zh) | 2008-05-12 | 2008-05-12 | 一种分布式安全存储系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101316273A true CN101316273A (zh) | 2008-12-03 |
| CN101316273B CN101316273B (zh) | 2012-08-22 |
Family
ID=40107112
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810047679.4A Expired - Fee Related CN101316273B (zh) | 2008-05-12 | 2008-05-12 | 一种分布式安全存储系统 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8352731B2 (zh) |
| CN (1) | CN101316273B (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997823A (zh) * | 2009-08-17 | 2011-03-30 | 联想(北京)有限公司 | 一种分布式文件系统及其数据访问方法 |
| CN102231693A (zh) * | 2010-04-22 | 2011-11-02 | 北京握奇数据系统有限公司 | 访问权限的管理方法及装置 |
| CN102387179A (zh) * | 2010-09-02 | 2012-03-21 | 联想(北京)有限公司 | 分布式文件系统及其结点、存储方法和存储控制方法 |
| CN101605137B (zh) * | 2009-07-10 | 2012-08-22 | 中国科学技术大学 | 安全分布式文件系统 |
| CN103905466A (zh) * | 2014-04-22 | 2014-07-02 | 郭伟 | 一种存储系统数据访问控制系统及其方法 |
| CN104937895A (zh) * | 2013-01-18 | 2015-09-23 | Lg电子株式会社 | 在无线通信系统中控制访问的方法和设备 |
| WO2016065556A1 (zh) * | 2014-10-29 | 2016-05-06 | 北京麓柏科技有限公司 | 软件定义存储系统、方法及其集中控制设备 |
| CN106506668A (zh) * | 2016-11-23 | 2017-03-15 | 山东浪潮云服务信息科技有限公司 | 一种基于分布式存储实现对象存储的方法 |
| CN103975324B (zh) * | 2011-04-21 | 2017-03-15 | 瓦欧尼斯系统有限公司 | 访问权限管理系统及方法 |
| US9679148B2 (en) | 2011-01-27 | 2017-06-13 | Varonis Systems, Inc. | Access permissions management system and method |
| WO2018076763A1 (zh) * | 2016-10-27 | 2018-05-03 | 上海亿账通区块链科技有限公司 | 区块链上交易的方法、系统、电子装置及存储介质 |
| CN108197493A (zh) * | 2017-12-30 | 2018-06-22 | 中建材信息技术股份有限公司 | 一种公有云系统的升级方法 |
| CN108255422A (zh) * | 2017-12-28 | 2018-07-06 | 浪潮通用软件有限公司 | 一种存储方法和存储装置 |
| CN110892403A (zh) * | 2017-05-03 | 2020-03-17 | 尤尼斯康通用身份控制股份有限公司 | 安全地访问数据的方法 |
| CN111079187A (zh) * | 2019-12-23 | 2020-04-28 | 江苏恒宝智能系统技术有限公司 | 一种智能卡及其文件管理方法 |
| CN111245933A (zh) * | 2020-01-10 | 2020-06-05 | 上海德拓信息技术股份有限公司 | 一种基于日志的对象存储追加写实现方法 |
| CN111383378A (zh) * | 2020-03-11 | 2020-07-07 | 合肥鼎方信息科技有限公司 | 基于区块链架构的门禁识别系统信息节点互联方法 |
| CN113574528A (zh) * | 2019-03-15 | 2021-10-29 | 微软技术许可有限责任公司 | 提供针对did数据的遵守策略的存储 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9032016B2 (en) * | 2010-01-20 | 2015-05-12 | Xyratex Technology Limited—A Seagate Company | Communication method and apparatus |
| TW201211822A (en) * | 2010-09-07 | 2012-03-16 | Qsan Technology Inc | Role-based access control method in iSCSI storage subsystem |
| US8667592B2 (en) * | 2011-03-15 | 2014-03-04 | Symantec Corporation | Systems and methods for looking up anti-malware metadata |
| US9626527B2 (en) * | 2013-11-04 | 2017-04-18 | Gemalto Sa | Server and method for secure and economical sharing of data |
| WO2017194473A1 (en) * | 2016-05-09 | 2017-11-16 | Bio-Itech Bv | Electronic laboratory notebook system and method |
| CN111212138B (zh) * | 2019-12-31 | 2022-11-22 | 曙光信息产业(北京)有限公司 | 一种跨站点存储系统及数据信息访问方法 |
| US11520909B1 (en) * | 2020-03-04 | 2022-12-06 | Wells Fargo Bank, N.A. | Role-based object identifier schema |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7013485B2 (en) * | 2000-03-06 | 2006-03-14 | I2 Technologies U.S., Inc. | Computer security system |
| US7237027B1 (en) * | 2000-11-10 | 2007-06-26 | Agami Systems, Inc. | Scalable storage system |
| US20060174352A1 (en) * | 2001-07-25 | 2006-08-03 | Seagate Technology Llc | Method and apparatus for providing versatile services on storage devices |
| US7124192B2 (en) * | 2001-08-30 | 2006-10-17 | International Business Machines Corporation | Role-permission model for security policy administration and enforcement |
| US7774611B2 (en) * | 2002-05-06 | 2010-08-10 | Hewlett-Packard Development Company, L.P. | Enforcing file authorization access |
| US20040243828A1 (en) * | 2003-05-30 | 2004-12-02 | Aguilera Marcos K. | Method and system for securing block-based storage with capability data |
| US8280926B2 (en) * | 2003-08-05 | 2012-10-02 | Sepaton, Inc. | Scalable de-duplication mechanism |
| JP4397675B2 (ja) * | 2003-11-12 | 2010-01-13 | 株式会社日立製作所 | 計算機システム |
| US8769126B2 (en) * | 2004-06-24 | 2014-07-01 | International Business Machines Corporation | Expanded membership access control in a collaborative environment |
| US8646044B2 (en) * | 2005-04-28 | 2014-02-04 | Microsoft Corporation | Mandatory integrity control |
| CN100367727C (zh) * | 2005-07-26 | 2008-02-06 | 华中科技大学 | 一种可扩展的基于对象的存储系统及其控制方法 |
| US7818783B2 (en) * | 2006-03-08 | 2010-10-19 | Davis Russell J | System and method for global access control |
| US7984066B1 (en) * | 2006-03-30 | 2011-07-19 | Emc Corporation | Mandatory access control list for managed content |
| US20080022120A1 (en) * | 2006-06-05 | 2008-01-24 | Michael Factor | System, Method and Computer Program Product for Secure Access Control to a Storage Device |
| CN101821725B (zh) * | 2007-06-25 | 2013-09-25 | 戴尔产品有限公司 | 带有目标侧识别和路由表上载的存储区域网络 |
-
2008
- 2008-05-12 CN CN200810047679.4A patent/CN101316273B/zh not_active Expired - Fee Related
-
2009
- 2009-04-17 US US12/425,407 patent/US8352731B2/en not_active Expired - Fee Related
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605137B (zh) * | 2009-07-10 | 2012-08-22 | 中国科学技术大学 | 安全分布式文件系统 |
| CN101997823B (zh) * | 2009-08-17 | 2013-10-02 | 联想(北京)有限公司 | 一种分布式文件系统及其数据访问方法 |
| CN101997823A (zh) * | 2009-08-17 | 2011-03-30 | 联想(北京)有限公司 | 一种分布式文件系统及其数据访问方法 |
| CN102231693A (zh) * | 2010-04-22 | 2011-11-02 | 北京握奇数据系统有限公司 | 访问权限的管理方法及装置 |
| CN102387179A (zh) * | 2010-09-02 | 2012-03-21 | 联想(北京)有限公司 | 分布式文件系统及其结点、存储方法和存储控制方法 |
| CN102387179B (zh) * | 2010-09-02 | 2016-08-10 | 联想(北京)有限公司 | 分布式文件系统及其结点、存储方法和存储控制方法 |
| US10476878B2 (en) | 2011-01-27 | 2019-11-12 | Varonis Systems, Inc. | Access permissions management system and method |
| US9679148B2 (en) | 2011-01-27 | 2017-06-13 | Varonis Systems, Inc. | Access permissions management system and method |
| US10102389B2 (en) | 2011-01-27 | 2018-10-16 | Varonis Systems, Inc. | Access permissions management system and method |
| CN103975324B (zh) * | 2011-04-21 | 2017-03-15 | 瓦欧尼斯系统有限公司 | 访问权限管理系统及方法 |
| CN104937895A (zh) * | 2013-01-18 | 2015-09-23 | Lg电子株式会社 | 在无线通信系统中控制访问的方法和设备 |
| US9900727B2 (en) | 2013-01-18 | 2018-02-20 | Lg Electronics Inc. | Method and apparatus for controlling access in wireless communication system |
| CN104937895B (zh) * | 2013-01-18 | 2018-04-24 | Lg电子株式会社 | 在无线通信系统中控制访问的方法和设备 |
| CN103905466B (zh) * | 2014-04-22 | 2017-01-11 | 郭伟 | 一种存储系统数据访问控制系统及其方法 |
| CN103905466A (zh) * | 2014-04-22 | 2014-07-02 | 郭伟 | 一种存储系统数据访问控制系统及其方法 |
| WO2016065556A1 (zh) * | 2014-10-29 | 2016-05-06 | 北京麓柏科技有限公司 | 软件定义存储系统、方法及其集中控制设备 |
| WO2018076763A1 (zh) * | 2016-10-27 | 2018-05-03 | 上海亿账通区块链科技有限公司 | 区块链上交易的方法、系统、电子装置及存储介质 |
| CN106506668B (zh) * | 2016-11-23 | 2019-07-16 | 浪潮云信息技术有限公司 | 一种基于分布式存储实现对象存储的方法 |
| CN106506668A (zh) * | 2016-11-23 | 2017-03-15 | 山东浪潮云服务信息科技有限公司 | 一种基于分布式存储实现对象存储的方法 |
| CN110892403A (zh) * | 2017-05-03 | 2020-03-17 | 尤尼斯康通用身份控制股份有限公司 | 安全地访问数据的方法 |
| CN110892403B (zh) * | 2017-05-03 | 2023-08-15 | 尤尼斯康通用身份控制股份有限公司 | 安全地访问数据的方法 |
| CN108255422A (zh) * | 2017-12-28 | 2018-07-06 | 浪潮通用软件有限公司 | 一种存储方法和存储装置 |
| CN108197493A (zh) * | 2017-12-30 | 2018-06-22 | 中建材信息技术股份有限公司 | 一种公有云系统的升级方法 |
| CN113574528A (zh) * | 2019-03-15 | 2021-10-29 | 微软技术许可有限责任公司 | 提供针对did数据的遵守策略的存储 |
| CN111079187A (zh) * | 2019-12-23 | 2020-04-28 | 江苏恒宝智能系统技术有限公司 | 一种智能卡及其文件管理方法 |
| CN111079187B (zh) * | 2019-12-23 | 2022-04-01 | 恒宝股份有限公司 | 一种智能卡及其文件管理方法 |
| CN111245933A (zh) * | 2020-01-10 | 2020-06-05 | 上海德拓信息技术股份有限公司 | 一种基于日志的对象存储追加写实现方法 |
| CN111383378B (zh) * | 2020-03-11 | 2021-07-30 | 合肥鼎方信息科技有限公司 | 基于区块链架构的门禁识别系统信息节点互联方法 |
| CN111383378A (zh) * | 2020-03-11 | 2020-07-07 | 合肥鼎方信息科技有限公司 | 基于区块链架构的门禁识别系统信息节点互联方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8352731B2 (en) | 2013-01-08 |
| US20090282240A1 (en) | 2009-11-12 |
| CN101316273B (zh) | 2012-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101316273B (zh) | 一种分布式安全存储系统 | |
| CN108696496B (zh) | 多协议访问控制方法及存储系统 | |
| CN102651775B (zh) | 基于云计算的多租户共享对象管理的方法、设备及系统 | |
| CN106127075B (zh) | 一种云存储环境下基于隐私保护的可搜索加密方法 | |
| Gobioff | Security for a high performance commodity storage subsystem | |
| CN101674334B (zh) | 一种网络存储设备的访问控制方法 | |
| CN102571771B (zh) | 一种云存储系统的安全认证方法 | |
| CN104580395B (zh) | 一种基于现存云存储平台的多云协同存储中间件系统 | |
| EP3561636A1 (en) | Record level data security | |
| CN101621518A (zh) | 一种权限管理方法 | |
| CN103067491A (zh) | 一种实现文件共享的方法及装置 | |
| CA3177369C (en) | Method and system for a data custodian implemented as an entity-centric, resource-oriented database within a shared cloud platform | |
| Peng et al. | A peer-to-peer file storage and sharing system based on consortium blockchain | |
| CN107145531B (zh) | 分布式文件系统及分布式文件系统的用户管理方法 | |
| CN107612910A (zh) | 一种分布式文件数据访问方法及系统 | |
| CN106161654A (zh) | 一种云教育系统 | |
| CN113011960A (zh) | 基于区块链的数据访问方法、装置、介质及电子设备 | |
| Pan et al. | An Attribute‐Based Access Control Policy Retrieval Method Based on Binary Sequence | |
| CN108062277B (zh) | 一种电子凭据数据访问方法、装置及系统 | |
| CN105721560A (zh) | 统一会员中心用户登录密码安全存储系统及方法 | |
| TWI701930B (zh) | 用於管理密碼的方法、裝置和電腦儲存介質 | |
| Weixian et al. | Design of Collaborative Control Scheme between On-chain and Off-chain Power Data | |
| He et al. | Fine-grained access control policy in blockchain-enabled edge computing | |
| Ding et al. | A scheme for confidentiality protection of OpenID authentication mechanism | |
| Ying | Research on multi-level security of shibboleth authentication mechanism |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120822 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |