CN105893456B - 地理围栏感知的计算基础设施的分离的方法和系统 - Google Patents

地理围栏感知的计算基础设施的分离的方法和系统 Download PDF

Info

Publication number
CN105893456B
CN105893456B CN201610082900.4A CN201610082900A CN105893456B CN 105893456 B CN105893456 B CN 105893456B CN 201610082900 A CN201610082900 A CN 201610082900A CN 105893456 B CN105893456 B CN 105893456B
Authority
CN
China
Prior art keywords
data
storage equipment
computation requests
calculating
geographically positioned
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610082900.4A
Other languages
English (en)
Other versions
CN105893456A (zh
Inventor
S·埃达
D·希尔德布兰德
V·米塔尔
W·W·奥文
S·R·帕蒂尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN105893456A publication Critical patent/CN105893456A/zh
Application granted granted Critical
Publication of CN105893456B publication Critical patent/CN105893456B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/182Distributed file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Data Mining & Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本公开的实施例涉及地理围栏感知的计算基础设施。提供了一种用于使能在地理上定位的存储设备内建立的计算基础设施的分离的机制。做出关于计算请求是否源自与在地理上定位的存储设备的地理位置相同的地理位置的确定。响应于计算请求源自与在地理上定位的存储设备的地理位置不同的地理位置,做出关于计算请求是否符合管理在地理上定位的存储设备的管理要求的确定。响应于计算请求符合管理在地理上定位的存储设备的要求,做出关于计算请求是否仅针对数据取回的确定。响应于计算请求仅针对数据取回,从在地理上定位的存储设备的数据存储装置收集所请求的数据,并且向请求客户端发送所请求的数据。

Description

地理围栏感知的计算基础设施的分离的方法和系统
技术领域
本申请总体上涉及一种改进的数据处理装置和方法,并且更具体地涉及用于地理围栏感知的计算基础设施的机制。
背景技术
在当今的互连计算机网络的全局系统中,信息技术(IT)已经变得非常依赖于数据,并且关于实体的相应的起源或位置以及管理在地理上分布的对象存储命名空间内的该位置处的基础设施的任何法律,在数据放置、维护、计算分析的分离等方面确保每个实体的法规遵从、审查和安全。
传统上,对象存储用于备份、归档、数据挖掘、搜索、查找、分析等。与传统的计算基础设施相比,这一非结构化或原始数据在更长的时期期间驻留在数据存储装置中。图1描绘传统的对象存储架构的示例。传统的对象存储架构100包括由客户端设备120和122经由负载平衡器124可访问的两个在地理上不同的基础设施102和112。基础设施102和112中的每个基础设施还包括两个节点组。第一节点组104和114包括用于从客户端设备120和122到存储命名空间中的分布式负载处理/请求处理的代理节点104a-104n以及114a-114n。第二节点组106和116(即存储命名空间)包括负责向磁盘或存储子系统写入的存储节点106a-106n以及116a-116n并且在本说明性架构中仅用作存储单元储存库。然而,为了从第二节点组106和116中的存储节点106a-106n以及116a-116n取回的原始数据中分析或提取任何有意义的信息,必须向客户端120和122或者向另外的客户端126或者向计算节点128发回数据以用于分析。
随着具有内置的对象存储架构的嵌入式计算基础设施的演进,向存储单元卸载利用存储在这些计算基础设施中的数据的计算,而不是使用用于计算目的的传统的客户端设备。图2描绘对象存储架构中的嵌入式计算引擎的示例。如同图1所示的架构,图2的嵌入式计算引擎对象存储架构200包括由客户端设备220和222经由负载平衡器224可访问的两个地理上不同的基础设施202和212。基础设施202和212中的每个基础设施还包括两个节点组。第一节点组204和214包括用于从客户端设备220和222到存储命名空间中的分布式负载处理/请求处理的代理节点204a-204n以及214a-214n。第二节点组206和216(即存储命名空间)包括负责向磁盘或存储子系统写入的存储节点206a-206n以及216a-216n。
然而,除了普通的基础设施,嵌入式计算引擎对象存储基础实施200还包括分别在第二节点组206和216内被示出的软件引擎208和218。在替选实施例中,软件引擎208和218可以驻留在第一节点组204和214中。利用软件引擎208和218,可以由软件引擎208或218来实现客户端设备220或222所需要的任何计算或分析。然而,客户端设备220和222的用户必须设计用于执行计算或分析的计算算法并且必须在原始请求时向软件引擎208或218部署或传递计算算法。然后,软件引擎208或218向客户端设备220或222的请求用户发送回计算的结果。因此,嵌入式计算引擎对象存储架构200不同于图1的传统的对象存储架构100之处在于,嵌入式计算引擎对象存储架构200执行数据的计算或分析不需要任何传统的客户端或计算节点。也就是说,第二节点组206和216用作计算节点并且向用户返回任何结果。
然而,通过图2的嵌入式计算引擎对象存储架构,可能存在具有不同的法律、政策等的两个国家共享存储命名空间的情况、以及根据存储命名空间驻留在其中的相应的国家法律、政策等来管理驻留在存储命名空间中的数据的情况。然而,两个国家可以具有指示用于组合项目的驻留在存储命名空间中的数据的共享的条约,这样的条约可以阻止与关联于存储命名空间相同的地理位置处的软件引擎执行任何计算算法。也就是说,两个国家仅可利用数据,并且访问命名空间的地理位置外部的存储命名空间的任何国家不可以使用利用在与关联于存储命名空间的相同的地理位置处的软件引擎的计算算法来执行任何分析或计算。
在这一场景中,在分离计算基础设施(即存储节点自身用作计算基础设施)方面存在问题,这是因为无法将某个国家所拥有的计算算法管理成仅限于该特定国家,而不部署到嵌入在对象存储装置中的共享的计算基础架构上。因此,到存储单元的这样的计算卸载产生安全问题,其中不能保护计算分析算法,以便与和软件引擎驻留在其中的在地理上不同的基础设施在此的国家相关联的相应政策和/或法律一致。相反,与利用相同存储单元/命名空间的各个国家分享计算分析算法,这防止分享相同的存储单元/命名空间的不同国家之间的计算资源分离。
发明内容
在一个说明性实施例中,提供了一种在数据处理系统中用于使能建立在地理上定位的存储设备内的计算基础设施的分离的方法。说明性实施例确定计算请求是否源自于与在地理上定位的存储设备的地理位置相同的地理位置。说明性实施例响应于计算请求源自与在地理上定位的存储设备的地理位置不同的地理位置,确定计算请求是否符合管理在地理上定位的存储设备的管理要求。说明性实施例响应于计算请求符合管理在地理上定位的存储设备的要求,确定计算请求是否仅针对数据取回。说明性实施例响应于计算请求仅针对数据取回,从在地理上定位的存储设备的数据存储装置收集所请求的数据。说明性实施例向请求客户端发送所请求的数据。
因此,说明性实施例使得能够处理仅针对数据的计算请求,只要与在地理上定位的存储设备相关联的管理要求指示计算请求是符合的。也就是说,在说明性实施例中,管理要求为针对在地理上定位的存储设备的地理定位所实施的政策、在地理上定位的存储设备驻留在其中的国家的法律、或者在地理上定位的存储设备驻留在其中的国家与至少一个其他国家之间的协议中的至少一项。因此,如果计算请求符合政策、法律和/或协议,则处理仅针对数据的请求。
另外地,说明性实施例响应于计算请求不是仅针对数据取回,确定计算请求是否针对数据和计算卸载。说明性实施例响应于计算请求针对数据和计算卸载,从在地理上定位的存储设备的数据存储装置收集所请求的数据。说明性实施例向与在地理上定位的存储设备分离的计算设备发送所取回的数据以及与计算请求一起被包括的计算方法。在说明性实施例中,与在地理上定位的存储设备分离的计算设备为请求客户端、另一标识的客户端、或计算节点中的至少一项。另外,说明性实施例使得能够处理针对数据和计算卸载的计算请求,只要与在地理上定位的存储设备相关联的管理请求指示计算请求是符合的。因此,如果计算请求符合政策、法律和/或协议,则处理仅针对数据的请求。
说明性实施例响应于计算请求不是仅针对数据取回,确定计算请求是否用于数据和计算卸载。说明性实施例响应于计算请求不是针对数据和计算卸载,识别计算请求是用于使用在地理上定位的存储设备的嵌入式计算基础设施的分析或计算。说明性实施例从在地理上定位的存储设备的数据存储装置收集所请求的数据。说明性实施例使用所包括的计算算法以及在地理上定位的存储设备的嵌入式计算基础设施,来执行在计算请求中所标识的所请求的分析或计算。说明性实施例向请求客户端发送分析或计算的结果。另外,说明性实施例使得能够处理针对使用在地理上定位的存储设备的嵌入式计算基础设施的分析或计算的计算请求,只要与在地理上定位的存储设备相关联的管理请求指示计算请求是符合的。因此,如果计算请求符合政策、法律和/或协议,则处理仅针对数据的请求。
说明性实施例确定管理要求是否指示:对于非地理始发的计算请求,要去除在地理上定位的存储设备上执行的分析或计算的任何痕迹。说明性实施例响应于管理要求指示要去除在地理上定位的存储设备上执行的分析或计算的任何痕迹,去除计算请求、所执行的计算、以及在地理上定位的存储设备上存在的计算的任何结果的任何残余。因此,说明性实施例基于管理要求的政策、法律和/或协议来提供在地理上定位的存储设备的保护,使得计算算法对于其他地理用户不可见,计算的结果对于所有日志隐藏,并且审核存储节点,使得一旦结果被发送回请求实体,就从存储节点删除请求、计算、或计算的结果的任何残留。
在说明性实施例中,由说明性实施例来接收和传递计算请求,以将与计算请求相关联的元数据与已验证的授权信息的集合相比较,来确定即将传入的计算请求是否为对在地理上定位的存储设备的授权访问,以及响应于授权计算请求,向地理围栏策略实现模块传递计算请求。
在说明性实施例中,与计算请求相关联的元数据为地理位置(来源国)、公司或企业、客户端设备、或者用户身份中的至少一项。
在其他说明性实施例中,提供了一种包括具有计算机可读程序的计算机可用或可读介质的计算机程序产品。计算机可读程序当在计算设备上执行时,引起计算设备执行以上关于方法说明性实施例所给出的操作中的各种操作以及操作的组合。
在又一说明性实施例中,提供了一种系统/装置。系统/装置可以包括一个或多个处理器以及耦合到一个或多个处理器的存储器。存储器可以包括指令,指令在由一个或多个处理器执行时,引起一个或多个处理器执行以上关于方法说明性实施例给出的操作中的各种操作以及操作的组合。
将描述本发明的这些以及其他特征和优点,或者本领域技术人员鉴于对本发明的示例实施例的以下详细描述将很清楚本发明的这些以及其他特征和优点。
附图说明
在结合附图阅读时,通过参考对说明性实施例的以下详细描述,可以最佳地理解本发明以及其优选使用模式和另外的目的及优点,在附图中:
图1描绘传统的对象存储架构的示例;
图2描绘对象存储架构中的嵌入式计算引擎的示例;
图3是说明性实施例的一些方面能够实现在其中的分布式数据处理系统的示例图;
图4是说明性实施例的一些方面能够实现在其中的计算设备的示例框图;
图5描绘了根据一个说明性实施例的使能在存储单元内构建的计算基础设施的分离的地理围栏感知的计算机制的功能框图;以及
图6A、6B和6C描绘了根据说明性实施例的使能在存储单元内构建的计算基础设施的分离的操作。
具体实施方式
说明性实施例提供了一种地理围栏感知的计算机制,其使能在存储单元内构建的计算基础设施的分离,存储单元帮助管理从由某个国家所拥有的存储节点上的原始数据的大的集合中提取特定的信息集合的计算算法,使得能够仅根据与该特定的国家相关联的政策、法律、协议等(下文中可以称为管理要求)来执行用于提取这样的信息的这样的计算算法。地理围栏感知的计算机制还依据由管理员注释的管理要求或者行业要求来提供计算算法和公共对象存储计算层的强健的安全行进维护、访问限制等。
例如,在一个实施例中,如果承载需要数据、对象、元数据、属性等的计算算法的请求源自特定的地理位置,并且由位于或者被指定用于该相应位置的存储节点来服务,则地理围栏感知的计算机制使得能够向存储单元卸载计算并且向用户提供计算的结果。在另一实施例中,如果承载需要数据、对象、元数据、属性等的计算算法的请求源自特定的地理位置并且需要位于另一位置或者由不同策略管理的存储节点的共享数据,则地理围栏感知的计算机制丢弃计算请求并且使用错误来响应,该错误指示计算算法由于管理要求而不能够执行和/或不存在用于使用存储节点的嵌入式计算基础设施的充分的许可。在又一实施例中,如果由多个国家所拥有但是被没有负责请求的特定国家的地理策略管理的嵌入式计算基础设施共享它们的相应的计算基础架构但是不共享计算算法,则地理围栏感知的计算机制使得能够由承载数据、对象、元数据、属性等的软件引擎和计算基础设施来执行计算请求并且因此执行计算算法。然而,地理围栏感知的计算机制设置存储节点的软件引擎和计算基础设施,使得计算算法对于其他地理用户不可见,计算的结果对于所有日志隐藏,并且审核存储节点,使得一旦结果被发送回请求实体,就从存储节点删除请求、计算、或计算的结果的任何残留。
在开始说明性实施例的各个方面的讨论之前,首先应当理解,贯穿本说明书的术语“机制”用于指代执行各种操作、功能等的本发明的元素。本文中所使用的术语“机制”可以是说明性实施例的功能或方面的为装置、程序或计算机程序产品形式的实现。在程序的情况下,由一个或多个设备、装置、计算机、数据处理系统等来实现程序。在计算机程序产品的情况下,由一个或多个硬件设备来执行在计算机程序产品中或上所实施的计算机代码或指令表示的逻辑器件,以便实现与具体的“机制”相关联的功能或者执行与具体的“机制”相关联的操作。因此,本文中所描述的机制可以实现为专用硬件、在通用硬件上执行的软件、存储在介质上的软件指令(使得指令由专用或通用硬件很容易可读取)、用于执行功能的程序或方法、或者以上的任意组合。
本说明书和权利要求书可以关于说明性实施例的特定的特征和元素来利用术语“一”、“至少一个”以及“中的一个或多个”。应当理解,这些术语和短语意在陈述在特定的说明性实施例中存在特定的特征或元素中的至少一个,但是也可以存在多于一个。也就是说,这些术语/短语并非意在将说明书或权利要求书限制为存在单个特征/元素或者要求存在多个这样的特征/元素。相反,这些术语/短语仅要求至少单个特征/元素,其中多个这样的特征/元素的可能性在说明书和权利要求书的范围内。
另外,应当理解,下面的描述使用用于说明性实施例的各种元素的多个各种示例以进一步说明说明性实施例的示例实现并且帮助理解说明性实施例的机制。这些示例意图是非限制性的并且不排除用于实现说明性实施例的机制的各种可能性。本领域普通技术人员鉴于本说明书应当清楚,可以存在用于这些各种元素的很多其他替选实现,其可以在没有偏离本发明的精神和范围的情况下,用于补充或取代本文中所提供的示例。
因此,可以在很多不同类型的数据处理环境中使用说明性实施例。为了提供用于描述说明性实施例的具体的元素和功能性的上下文,下文中提供图3和4作为在其中可以实现说明性实施例的方面的示例环境。应当理解,图3和4仅是示例,而非意在断言或暗示关于能够实现在其中本发明的方面或实施例的环境的任何限制。可以在不偏离本发明的精神和范围的情况下,对所描绘的环境做出很多修改。
图3描绘了说明性实施例的方面可以实现在其中的示例分布式数据处理系统的图形表示。分布式数据处理系统300可以包括说明性实施例的方面可以实现在其中的计算机的网络。分布式数据处理系统300包含至少一个网络302,其为用于提供在分布式数据处理系统300内连接在一起的各种设备与计算机之间的通信链路的介质。网络302可以包括连接,诸如有线通信链路、无线通信链路、或光纤电缆。
在所描绘的示例中,服务器304和服务器306连同存储单元308和存储单元309连接到网络302。另外,客户端310、312和314也连接到网络302。这些客户端310、312和314可以是例如个人计算机、网络计算机等。在所描绘的示例中,服务器304向客户端310、312和314提供数据,诸如根文件、操作系统图像和应用。客户端310、312和314在所描绘的示例中对到服务器304的客户端。分布式数据处理系统300可以包括另外的服务器、客户端和其他未示出的设备。
在所描绘的示例中,分布式数据处理系统300为表示使用传输控制协议/因特网协议(TCP/IP)彼此通信的网络和网关的世界范围的集合的具有网络302的因特网。因特网的核心是主节点或主机计算机之间的高速数据通信线路的骨干,包括路由数据和消息的数以千计的商用、政府、教育和其他计算机系统。当然,分布式数据处理系统300还可以被实现为包括大量不同类型的网络,诸如例如内联网、局域网(LAN)、广域网(WAN)等。如以上所指出的,图3意图作为示例,而非作为对于本发明的不同实施例的架构限制,并且因此图3所示的特定元件不应当被认为是限制本发明的说明性实施例能够实现在其中的环境。
图4是说明性实施例的方面能够实现在其中的示例数据处理系统的框图。数据处理系统400为实现用于本发明的说明性实施例的过程的计算机可使用的代码或者指令能够位于其中的计算机的示例,诸如图3中的服务器304、存储单元308和客户端310。
在所描绘的示例中,数据处理系统400采用集线器架构,其包括北桥及存储器控制器集线器(NB/MCH)402和南桥及输入/输出(I/O)控制器集线器(SB/ICH)404。处理单元406、主存储器408和图形处理器410连接到NB/MCH 402。图形处理器410可以通过加速图形端口(AGP)连接到NB/MCH 402。
在所描绘的示例中,局域网(LAN)适配器412连接到SB/ICH 404。音频适配器416、键盘及鼠标适配器420、调制解调器422、随机存取存储器(ROM)424、硬盘驱动器(HDD)426、CD-ROM驱动器430、通用串行总线(USB)端口和其他通信端口432、以及PCI/PCIe设备434通过总线438和总线440连接到SB/ICH 404。PCI/PCIe设备可以包括例如以太网适配器、插入卡和用于笔记本计算机的PC卡。PCI使用卡总线控制器,而PCIe不使用卡总线控制器。ROM424可以是例如闪存基本收入/输出系统(BIOS)。
HDD 426和CD-ROM驱动器430通过总线440连接到SB/ICH 404。HDD 426和CD-ROM430可以使用例如集成驱动电子(IDE)或串行高级技术附件(SATA)接口。超I/O(SIO)设备436可以连接到SB/ICH 404。
操作系统运行在处理单元406上。操作系统协调并且提供对图4中的数据处理系统400内的各种部件的控制。作为客户端,操作系统可以是市面上可获得的操作系统,诸如Windows面向对象的编程系统(诸如JavaTM编程系统)可以结合操作系统来运行并且提供从在数据处理系统400上执行的JavaTM程序或应用到操作系统的调用。
作为服务器,数据处理系统400可以是例如IBM eServerTM 计算机系统、基于PowerTM处理器的计算机系统等,以运行高级交互式执行操作系统或操作系统。数据处理系统400可以是包括处理单元406中的多个处理器的对称多处理器(SMP)系统。替选地,可以采用单处理器系统。
用于操作系统、面向对象的编程系统以及应用或程序的指令位于存储设备(诸如HDD 426)上,并且可以被加载到主存储器408中以用于由处理单元406来执行。可以由处理单元406使用计算机可用程序代码来执行本发明的说明性实施例的过程,计算机可用程序代码可以位于例如存储器(诸如例如主存储器408、ROM 424)中或者一个或多个外围设备426和430中。
总线系统(诸如图4所示的总线438或总线440)可以包括一条或多条总线。当然,可以使用任何类型的通信构造或架构来实现总线系统,通信构造或架构提供在附接到通信构造或架构的部件或设备之间的数据传送。通信单元(诸如图4的调制解调器422或网络适配器412)可以包括用于传输和接收数据的一个或多个设备。存储器可以是例如主存储器408、ROM 424、或者诸如在图4中的NB/MCH 402中找到的高速缓存。
本领域普通技术人员应当理解,图3和4中的硬件可以取决于实现而变化。可以使用其他内部硬件或外围设备(诸如闪存存储器、等效非易失性存储器、或光盘驱动器等)来补充或代替图3和4中所描绘的硬件。另外,在不偏离本发明的精神和范围的情况下,说明性实施例的过程可以应用于多处理器数据处理系统,而非先前提及的SMP系统。
另外,数据处理系统400可以采用大量不同的数据处理系统中的任何形式,包括:客户端计算设备、服务器计算设备、平板计算机、膝上型计算机、电话或其他通信设备、个人数字助理(PDA)等。在一些说明性示例中,数据处理系统400可以是配备有闪存存储器以提供用于存储例如操作系统文件和/或用户生成的数据的非易失性存储器的便携式计算设备。本质上,数据处理系统400可以是任何已知的或稍后开发的数据处理系统,而没有架构限制。
图5描绘了根据一个说明性实施例的使能在存储单元内构建的计算基础设施的分离的地理围栏感知的计算机制的功能框图。在地理上定位的存储设备500为存储单元(诸如图3的存储单元308)的示例。在地理上定位的存储设备500包括地理围栏感知的计算机制502和数据存储装置504。使能在存储单元内构建的计算基础设施的分离的地理围栏感知的计算机制502包括请求接收模块506、地理围栏策略实现模块508、计算实现模块510、痕迹去除模块512和数据取回/响应模块514。在操作中,请求接收模块506从用户接收计算请求。根据说明性实施例,计算请求可以源自能够访问在地理上定位的存储设备500的任何客户端设备。然而,由于在地理上定位的存储设备500为由两个或多个国家按照预先布置的协议共享的存储设备,所以请求接收模块506执行关于对在地理上定位的存储设备500的授权访问的每个即将传入的计算请求的初始检查。在执行这一检查时,请求接收模块506将和计算请求相关联的元数据(元数据指示地理位置(来源国)、公司或企业、客户端设备、用户身份、或者任何其他授权信息)与数据结构516中的已经验证的授权信息518相比较,以确保仅能够访问在地理上定位的存储设备500的那些个体具有在地理上定位的存储设备500中处理的其计算请求。因此,如果请求接收模块506未能授权即将传入的计算请求,则请求接收模块506拒绝计算请求并且向请求用户发送错误,该错误指示用于使用在地理上定位的存储设备500的不充分许可。然而,如果请求接收模块506授权即将传入的计算请求,则请求接收模块506向地理围栏策略实现模块508传递计算请求。
在接收到计算请求时,地理围栏策略实现模块508确定与计算请求相关联的地理位置信息是否与在地理上定位的存储设备500的地理位置信息相同。如果计算请求源自与在地理上定位的存储设备500的地理位置相同的地理位置,并且如果计算请求仅针对数据,则地理围栏策略实现模块508向数据取回/响应模块514转发计算请求。数据取回/响应模块514从数据存储装置504收集所请求的数据并且使用所请求的数据来响应计算请求。如果计算请求针对数据和计算卸载,则地理围栏策略实现模块508向数据取回/响应模块514转发计算请求和计算算法。数据取回/响应模块514从数据存储装置504收集所请求的数据并且使用所请求的数据和计算算法来向请求客户端或者向其他标识的客户端或计算节点响应/转发计算请求以用于分析或计算。如果计算请求是用于使用在地理上定位的存储设备500的嵌入式计算基础设施/资源522的分析或计算,则地理围栏策略实现模块508向计算实现模块510转发计算请求和计算算法。计算实现模块510从数据存储装置504收集所请求的数据,使用所包括的计算算法和在地理上定位的存储设备500的嵌入式计算基础设施/资源522来执行所请求的分析和/或计算,并且经由数据取回/响应模块514利用分析和/或计算的结果来响应用户。
如果计算请求源自与在地理上定位的存储设备500的地理位置不同的地理位置,则地理围栏策略实现模块508确定计算请求是否符合数据结构516中所存储的、管理在地理上定位的存储设备500的管理要求520。管理要求520可以指示源自与在地理上定位的存储设备500的地理位置相同的地理位置的计算请求能够访问在地理上定位的存储设备500上的数据,从在地理上定位的存储设备500获取数据并且向另一客户端或计算节点卸载数据和所包括的计算算法以用于分析或计算,并且利用在地理上定位的存储设备500的嵌入式计算基础设施/资源522来执行数据的分析或计算。然而,对于源自与在地理上定位的存储设备500的地理位置不同的地理位置的计算请求,管理要求520可以指示用户仅能够访问在地理上定位的存储设备500上的数据,用户可以从在地理上定位的存储设备500获取数据并且向另一客户端或计算节点卸载数据和所包括的计算算法以用于分析或计算,用户可以访问数据,或者用户可以利用在地理上定位的存储设备500的嵌入式计算基础设施/资源522来执行数据的分析或计算,其可以包括从在地理上定位的存储设备500去除计算和计算的任何结果的所有痕迹。
因此,如果计算请求仅针对数据并且管理要求520指示数据共享是许可的,则地理围栏策略实现模块508向数据取回/响应模块514转发计算请求。数据取回/响应模块514从数据存储装置504收集所请求的数据并且利用所请求的数据来响应计算请求。如果计算请求仅针对数据并且管理要求520指示数据共享是不许可的,则地理围栏策略实现模块508拒绝计算请求并且经由数据取回/响应模块514向请求用户发送错误,该错误指示用于使用在地理上定位的存储设备500的不充分的许可。
如果计算请求针对数据和计算卸载并且管理要求520指示数据共享和计算卸载是许可的,则地理围栏策略实现模块508向数据取回/响应模块514转发计算请求和计算算法。数据取回/响应模块514从数据存储装置504收集所请求的数据并且利用所请求的数据和计算算法来响应请求客户端或者向另一标识的客户端或计算节点,或者向请求客户端或者向另一标识的客户端或计算节转发计算请求,以用于分析或计算。如果计算请求针对数据和计算卸载并且管理要求520指示数据共享和计算卸载是不许可的,则地理围栏策略实现模块508拒绝计算请求并且经由数据取回/响应模块514向请求用户发送错误,该错误指示用于使用在地理上定位的存储设备500的不充分的许可。
如果计算请求是用于利用在地理上定位的存储设备500的嵌入式计算基础设施/资源522的分析或计算,并且管理要求520指示嵌入式计算是许可的,则地理围栏策略实现模块508向计算实现模块510转发计算请求和计算算法。计算实现模块510从数据存储装置504收集所请求的数据,利用所包括的计算算法和在地理上定位的存储设备500的嵌入式计算基础设施/资源522来执行所请求的分析和/或计算,并且经由数据取回/响应模块514利用分析和/或计算的结果来响应用户。如果计算请求是用于利用在地理上定位的存储设备500的嵌入式计算基础设施/资源522的分析或计算,并且管理要求520指示嵌入式计算是不许可的,则地理围栏策略实现模块508拒绝计算请求并且经由数据取回/响应模块514向请求用户发送错误,该错误指示用于使用在地理上定位的存储设备500的不充分的许可。
作为执行嵌入式计算的另外的部件,管理要求520还可以指示对于非地理上起源的计算请求,去除在地理上定位的存储设备500上执行的分析或计算的任何痕迹,使得计算算法对于其他地理用户不可见,计算的结果对于所有日志隐藏,并且审核存储节点。也就是说,在向请求实体发送回结果之后,痕迹去除模块512执行使得在地理上定位的存储设备500上存在计算请求、计算、或计算的结果的任何残留。
本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本发明操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如JAVA、Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本发明的各个方面。
这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
图6A、6B和6C描绘了根据说明性实施例的使能在地理上定位的存储设备内构建的计算基础设施的分离的操作。在操作开始时,由在地理上定位的存储设备的处理器执行的地理围栏感知的计算机制的请求接收模块从用户接收计算请求(步骤602)。根据说明性实施例,计算请求可以源自能够访问在地理上定位的存储设备的任何客户端设备。然而,由于在地理上定位的存储设备是由两个或多个国家在预先布置的协议下共享的存储设备,所以请求接收模块确定即将传入的计算请求是否为对在地理上定位的存储设备的授权的访问(步骤604)。在执行这一检查时,请求接收模块将关联于计算请求的元数据(元数据指示地理位置(来源国)、公司或企业、客户端设备、用户身份、或者任何其他授权信息)与和地理围栏感知的计算机制相关联的数据结构中的已经验证的授权信息的集合相比较,以确保仅能够访问在地理上定位的存储设备的那些个体具有由在地理上定位的存储设备中处理的其计算请求。
如果在步骤604请求接收模块未能授权即将传入的计算请求,则请求接收模块拒绝计算请求并且向请求用户发送指示用于使用在地理上定位的存储设备的不充分的许可的错误(步骤606),之后操作终止。如果在步骤604请求接收模块授权即将传入的计算请求,则请求接收模块向地理围栏感知的计算机制的地理围栏策略实现模块传递计算请求(步骤608)。在接收到计算请求时,地理围栏策略实现模块确定与计算请求相关联的地理位置信息是否与在地理上定位的存储设备的地理位置信息相同(步骤610)。如果在步骤610地理围栏策略实现模块确定计算请求源自与在地理上定位的存储设备的地理位置相同的地理位置,则地理围栏策略实现模块确定计算请求是否仅针对数据(步骤612)。如果在步骤612处地理围栏策略实现模块确定计算请求仅针对数据,则地理围栏策略实现模块向地理围栏感知的计算机制中的数据取回/响应模块转发计算请求(步骤614)。数据取回/响应模块从在地理上定位的存储设备的数据存储装置收集所请求的数据(步骤616)并且使用所请求的数据来响应计算请求(步骤618),之后操作终止。
如果在步骤612地理围栏策略实现模块确定计算请求不是仅针对数据,则地理围栏策略实现模块确定计算请求是否针对数据和计算卸载(步骤620)。如果在步骤620地理围栏策略实现模块确定计算请求针对数据和计算卸载,则地理围栏策略实现模块向数据取回/响应模块转发计算请求和计算算法(步骤622)。数据取回/响应模块从数据存储装置收集所请求的数据(步骤624)并且使用所请求的数据和计算算法向请求客户端或者另一标识的客户端或计算节点响应,或者向请求客户端或者另一标识的客户端或计算节点转发计算请求,以用于分析或计算(步骤626),之后操作终止。
如果在步骤620地理围栏策略实现模块确定计算请求不是针对数据和通信卸载,而是针对利用在地理上定位的存储设备的嵌入式计算基础设施/资源的分析或计算,则地理围栏策略实现模块向地理围栏感知的计算机制中的计算实现模块转发计算请求和计算算法(步骤628)。计算实现模块从数据存储装置收集所请求的数据(步骤630),利用所包括的计算算法和在地理上定位的存储设备的嵌入式计算基础设施/资源来执行所请求的分析和/或计算(步骤632),并且经由数据取回/响应模块利用分析和/或计算的结果来响应用户(步骤633),之后操作终止。
如果在步骤610计算划分策略实现模块确定计算请求源自与在地理上定位的存储设备的地理位置不同的地理位置,则地理围栏策略实现模块确定计算请求是否符合管理在地理上定位的存储设备的管理要求(即政策、法律、协议等)(步骤634)。如以上所说明的,管理要求可以指示源自与在地理上定位的存储设备的地理位置相同的地理位置的计算请求能够访问在地理上定位的存储设备上的数据,从在地理上定位的存储设备获取数据,并且向另一客户端或计算节点卸载数据和所包括的计算算法,以用于分析或计算,并且利用在地理上定位的存储设备的嵌入式计算基础设施/资源来执行数据的分析或计算。
然而,对于源自与在地理上定位的存储设备的地理位置不同的地理位置的计算请求,管理要求可以指示用户仅能够访问在地理上定位的存储设备上的数据,用户可以从在地理上定位的存储设备获取数据,并且向另一客户端或计算节点卸载数据和所包括的计算算法以用于分析或计算,用户可以访问数据,或者用户可以利用在地理上定位的存储设备的嵌入式计算基础设施/资源来执行数据的分析或计算,其可以包括从在地理上定位的存储设备去除计算和计算的任何结果的所有痕迹。
如果在步骤634计算请求未能符合管理要求并且因此是不许可的,则地理围栏策略实现模块拒绝计算请求并且经由数据取回/响应模块向请求用户发送指示用于使用在地理上定位的存储设备的不充分的许可的错误(步骤636),之后操作终止。
如果在步骤634计算请求符合管理要求并且因此是许可的,则地理围栏策略实现模块确定计算请求仅针对数据(步骤638)。如果在步骤638地理围栏策略实现模块确定计算请求仅针对数据并且管理要求指示数据共享是许可的,则地理围栏策略实现模块向地理围栏感知的计算机制中的数据取回/响应模块转发计算请求(步骤640)。数据取回/响应模块从在地理上定位的存储设备的数据存储装置收集所请求的数据(步骤642)并且利用所请求的数据来响应计算请求(步骤644)。之后操作终止。
如果在步骤638处地理围栏策略实现模块确定计算请求不是仅针对数据,则地理围栏策略实现模块确定计算请求针对数据和计算卸载(步骤646)。如果在步骤646地理围栏策略实现模块确定计算请求针对数据和计算卸载,并且管理要求指示数据共享和计算卸载是许可的,则地理围栏策略实现模块向数据取回/响应模块转发计算请求和计算算法(步骤648)。数据取回/响应模块从数据存储装置收集所请求的数据(步骤650)并且使用所请求的数据和计算算法来响应请求客户端或者另一识别的客户端或计算节点,或者向请求客户端或者另一识别的客户端或计算节点转发计算请求,以用于分析或计算(步骤652),之后操作终止。
如果在步骤646地理围栏策略实现模块确定计算请求没有针对数据和计算卸载而是用于利用在地理上定位的存储设备的嵌入式计算基础设施/资源的分析或计算,并且管理要求指示嵌入式计算是许可的,则地理围栏策略实现模块向地理围栏感知的计算机制中的计算实现模块转发计算请求和计算算法(步骤654)。计算实现模块从数据存储装置收集所请求的数据(步骤656),利用所包括的计算算法和在地理上定位的存储设备的嵌入式计算基础设施/资源来执行所请求的分析和/或计算(步骤658),并且经由数据取回/响应模块利用分析和/或计算的结果来响应用户(步骤660)。
从步骤660,地理围栏实现模块确定管理要求是否指示针对非地理上始发的计算请求,去除在地理上定位的存储设备上执行的分析或计算的任何痕迹(步骤662),使得计算算法对于其他地理用户不可见,计算的结果对于所有日志隐藏,并且审核存储节点。如果在步骤662地理围栏策略实现模块未能标识要去除在地理上定位的存储设备上执行的分析或计算的所有痕迹,则操作终止。然而,如果在步骤662地理围栏策略实现模块识别出要去除在地理上定位的存储设备上执行的分析或计算的所有痕迹,则地理围栏策略实现模块指示地理围栏感知的计算机制中的痕迹去除模块去除在地理上定位的存储设备上存在的计算请求、计算、或计算的结果的任何残留(步骤664),之后操作终止。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
因此,说明性实施例提供了用于在存储单元内构建的计算基础设施的分离的机制,其有助于管理从由某个国家所拥有的存储节点上的原始数据的大的集合中提取信息的特定集合的计算算法,使得可以仅根据与该特定国家相关联的管理要求来执行用于提取这样的信息的这样的计算算法。地理围栏感知的计算机制还依据由管理员注释的管理要求或者行业要求来提供计算算法和公共对象存储计算层的强健的安全行进维护、访问限制等。
如以上所指出的,应当理解,说明性实施例可以采用完全硬件实施例、完全软件实施例或者包含硬件和软件元素二者的实施例的形式。在一个示例实施例中,用软件或程序代码来实现说明性实施例的机制,其包括但不限于固件、驻留软件、微代码等。
适合用于存储和/或执行程序代码的数据处理系统包括直接或通过系统总线间接耦合到存储器元件的至少一个处理器。存储器元件可以包括在程序代码的实际执行期间采用的本地存储器、大容量存储装置、提供至少一些程序代码的暂时存储以便减小在执行期间必须从大容量存储装置取回代码的次数的高速缓存存储器。
输入/输出或I/O设备(包括但不限于键盘、显示器、指示设备等)可以直接或者通过中间I/O控制器耦合到系统。网络适配器也可以耦合到系统以使得数据处理系统能够变为通过中间专用或公共网络耦合到其他数据处理系统或远程打印机或存储设备。调制解调器、线缆调制解调器和以太网卡仅是当前可用的几种类型的网络适配器。
本发明的说明书已经出于说明和描述的目的而进行呈现,并且并非意在穷举本发明或将本发明限于所公开的形式。在没有偏离所描述的实施例的范围和精神的情况下,本领域普通技术人员将很清楚很多修改和变型。选择和描述实施例以便最佳地解释本发明的原理、实际应用,并且使得本领域其他技术人员能够理解本发明的各种实施例的各种修改适合所预期的特定用途。本文中所使用的术语被选择为最佳地解释实施例的原理、实际应用或者在市场上找到的技术之上的技术改进,或者以使得本领域其他技术人员能够理解本文中所公开的实施例。

Claims (17)

1.一种在数据处理系统中用于使能在地理上定位的存储设备内建立的计算基础设施的分离的方法,所述方法包括:
通过由所述在地理上定位的存储设备的处理器执行的地理围栏感知的计算机制中的地理围栏策略实现模块,确定计算请求是否源自与所述在地理上定位的存储设备的地理位置相同的地理位置;
响应于所述计算请求源自与所述在地理上定位的存储设备的所述地理位置不同的地理位置,由所述地理围栏策略实现模块确定所述计算请求是否符合管理所述在地理上定位的存储设备的管理要求;
响应于所述计算请求符合管理所述在地理上定位的存储设备的所述要求,由所述地理围栏策略实现模块确定所述计算请求是否仅针对数据取回;
响应于所述计算请求仅针对数据取回,由所述地理围栏感知的计算机制中的数据取回/响应模块从所述在地理上定位的存储设备的数据存储装置收集所请求的数据;以及由所述数据取回/响应模块向请求客户端发送所取回的数据;
响应于所述计算请求不是仅针对数据取回,由所述地理围栏策略实现模块确定所述计算请求是否针对数据和计算卸载;
响应于所述计算请求针对数据和计算卸载,由数据取回/响应模块从所述在地理上定位的存储设备的所述数据存储装置收集所请求的数据;以及
由所述数据取回/响应模块向与所述在地理上定位的存储设备分离的计算设备发送所取回的数据和与所述计算请求一起被包括的计算算法。
2.根据权利要求1所述的方法,其中所述管理要求为以下各项中的至少一项:针对所述在地理上定位的存储设备的所述地理位置所实施的策略、所述在地理上定位的存储设备驻留在其中的国家的法律、或者所述在地理上定位的存储设备驻留在其中的国家与至少一个其他国家之间的协议。
3.根据权利要求1所述的方法,其中与所述在地理上定位的存储设备分离的所述计算设备是以下各项中的至少一项:所述请求客户端、另一标识的客户端、或计算节点。
4.根据权利要求1所述的方法,还包括:
响应于所述计算请求不是仅针对数据取回,由所述地理围栏策略实现模块确定所述计算请求是否针对数据和计算卸载;
响应于所述计算请求不是针对数据和计算卸载,由所述地理围栏策略实现模块识别所述计算请求是用于利用所述在地理上定位的存储设备的嵌入式计算基础设施的分析或计算;
由所述地理围栏感知的计算机制中的计算实现模块从所述在地理上定位的存储设备的所述数据存储装置收集所请求的数据;
由所述计算实现模块利用所包括的计算算法和所述在地理上定位的存储设备的所述嵌入式计算基础设施,执行在所述计算请求中标识的所请求的分析或计算;以及
由所述计算实现模块向所述请求客户端发送所述分析或所述计算的结果。
5.根据权利要求4所述的方法,还包括:
由所述地理围栏策略实现模块确定所述管理要求是否指示:对于非地理上始发的计算请求,要去除在所述在地理上定位的存储设备上执行的所述分析或所述计算的任何痕迹;以及
响应于所述管理要求指示要去除在所述在地理上定位的存储设备上执行的所述分析或所述计算的任何痕迹,由所述地理围栏感知的计算机制中的痕迹去除模块去除所述计算请求、所执行的计算以及所述在地理上定位的存储设备上存在的所述计算的结果的任何残余。
6.根据权利要求1所述的方法,其中所述计算请求由所述地理围栏感知的计算机制中的请求接收模块来接收,所述请求接收模块在所述方法中向所述地理围栏策略实现模块传递所述计算请求,所述方法包括:
由所述请求接收模块通过将与所述计算请求相关联的元数据与已验证的授权信息的集合相比较,确定即将传入的计算请求是否为对所述在地理上定位的存储设备的授权访问;以及
由所述请求接收模块响应于授权所述计算请求而向所述地理围栏策略实现模块传递所述计算请求。
7.根据权利要求1所述的方法,其中与所述计算请求相关联的元数据为以下各项中的至少一项:来源国的地理位置、公司或企业、客户端设备、或者用户身份。
8.一种用于使能在地理上定位的存储设备内建立的计算基础设施的分离的计算机系统,所述计算机系统包括在其中存储有计算机可读程序的计算机可读存储介质,其中所述计算机可读程序当在计算设备上执行时引起所述计算设备:
确定计算请求是否源自与在地理上定位的存储设备的地理位置相同的地理位置;
响应于所述计算请求源自与所述在地理上定位的存储设备的所述地理位置不同的地理位置,确定所述计算请求是否符合管理所述在地理上定位的存储设备的管理要求;
响应于所述计算请求符合管理所述在地理上定位的存储设备的所述要求,确定所述计算请求是否仅针对数据取回;
响应于所述计算请求仅针对数据取回,从所述在地理上定位的存储设备的数据存储装置收集所请求的数据;以及向请求客户端发送所取回的数据;
响应于所述计算请求不是仅针对数据取回,由所述地理围栏策略实现模块确定所述计算请求是否针对数据和计算卸载;
响应于所述计算请求针对数据和计算卸载,由数据取回/响应模块从所述在地理上定位的存储设备的所述数据存储装置收集所请求的数据;以及
由所述数据取回/响应模块向与所述在地理上定位的存储设备分离的计算设备发送所取回的数据和与所述计算请求一起被包括的计算算法。
9.根据权利要求8所述的计算机系统,其中所述管理要求是以下各项中的至少一项:针对所述在地理上定位的存储设备的所述地理位置所实施的策略、所述在地理上定位的存储设备驻留在其中的国家的法律、或者所述在地理上定位的存储设备驻留在其中的国家与至少一个其他国家之间的协议。
10.根据权利要求8所述的计算机系统,其中与所述在地理上定位的存储设备分离的所述计算设备是以下各项中的至少一项:所述请求客户端、另一标识的客户端、或计算节点。
11.根据权利要求8所述的计算机系统,其中所述计算机可读程序还引起所述计算设备:
响应于所述计算请求不是仅针对数据取回,确定所述计算请求是否针对数据和计算卸载;
响应于所述计算请求不是针对数据和计算卸载,识别所述计算请求是用于利用所述在地理上定位的存储设备的嵌入式计算基础设施的分析或计算;
从所述在地理上定位的存储设备的所述数据存储装置收集所请求的数据;
利用所包括的计算算法和所述在地理上定位的存储设备的所述嵌入式计算基础设施,执行在所述计算请求中标识的所请求的分析或计算;以及
向所述请求客户端发送所述分析或所述计算的结果。
12.根据权利要求11所述的计算机系统,其中所述计算机可读程序还引起所述计算设备:
确定所述管理要求是否指示:对于非地理上始发的计算请求,要去除在所述在地理上定位的存储设备上执行的所述分析或所述计算的任何痕迹;以及
响应于所述管理要求指示要去除在所述在地理上定位的存储设备上执行的所述分析或所述计算的任何痕迹,去除所述计算请求、所执行的计算以及所述在地理上定位的存储设备上存在的所述计算的结果的任何残余。
13.一种用于使能在地理上定位的存储设备内建立的计算基础设施的分离的装置,包括:
处理器;以及
存储器,所述存储器耦合到所述处理器,其中所述存储器包括指令,所述指令在由所述处理器执行时引起所述处理器:
确定计算请求是否源自与在地理上定位的存储设备的地理位置相同的地理位置;
响应于所述计算请求源自与所述在地理上定位的存储设备的所述地理位置不同的地理位置,确定所述计算请求是否符合管理所述在地理上定位的存储设备的管理要求;
响应于所述计算请求符合管理所述在地理上定位的存储设备的所述要求,确定所述计算请求是否仅针对数据取回;
响应于所述计算请求仅针对数据取回,从所述在地理上定位的存储设备的数据存储装置收集所请求的数据;以及向请求客户端发送所取回的数据;
响应于所述计算请求不是仅针对数据取回,由所述地理围栏策略实现模块确定所述计算请求是否针对数据和计算卸载;
响应于所述计算请求针对数据和计算卸载,由数据取回/响应模块从所述在地理上定位的存储设备的所述数据存储装置收集所请求的数据;以及
由所述数据取回/响应模块向与所述在地理上定位的存储设备分离的计算设备发送所取回的数据和与所述计算请求一起被包括的计算算法。
14.根据权利要求13所述的装置,其中所述管理要求是以下各项中的至少一项:针对所述在地理上定位的存储设备的所述地理位置所实施的策略、所述在地理上定位的存储设备驻留在其中的国家的法律、或者所述在地理上定位的存储设备驻留在其中的国家与至少一个其他国家之间的协议。
15.根据权利要求13所述的装置,其中与所述在地理上定位的存储设备分离的所述计算设备是以下各项中的至少一项:所述请求客户端、另一标识的客户端、或计算节点。
16.根据权利要求13所述的装置,其中所述指令还引起所述处理器:
响应于所述计算请求不是仅针对数据取回,确定所述计算请求是否针对数据和计算卸载;
响应于所述计算请求不是针对数据和计算卸载,识别所述计算请求是用于利用所述在地理上定位的存储设备的嵌入式计算基础设施的分析或计算;
从所述在地理上定位的存储设备的所述数据存储装置收集所请求的数据;
利用所包括的计算算法和所述在地理上定位的存储设备的所述嵌入式计算基础设施,执行在所述计算请求中标识的所请求的分析或计算;以及
向所述请求客户端发送所述分析或所述计算的结果。
17.根据权利要求16所述的装置,其中所述指令还引起所述处理器:
确定所述管理要求是否指示:对于非地理上始发的计算请求,要去除在所述在地理上定位的存储设备上执行的所述分析或所述计算的任何痕迹;以及
响应于所述管理要求指示要去除在所述在地理上定位的存储设备上执行的所述分析或所述计算的任何痕迹,去除所述计算请求、所执行的计算以及所述在地理上定位的存储设备上存在的所述计算的结果的任何残余。
CN201610082900.4A 2015-02-12 2016-02-05 地理围栏感知的计算基础设施的分离的方法和系统 Active CN105893456B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/620,717 2015-02-12
US14/620,717 US9641971B2 (en) 2015-02-12 2015-02-12 Geo-fencing aware separation of compute infrastructure built within a geographically located storage device

Publications (2)

Publication Number Publication Date
CN105893456A CN105893456A (zh) 2016-08-24
CN105893456B true CN105893456B (zh) 2019-03-29

Family

ID=56621606

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610082900.4A Active CN105893456B (zh) 2015-02-12 2016-02-05 地理围栏感知的计算基础设施的分离的方法和系统

Country Status (2)

Country Link
US (1) US9641971B2 (zh)
CN (1) CN105893456B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10015173B1 (en) * 2015-03-10 2018-07-03 Symantec Corporation Systems and methods for location-aware access to cloud data stores
KR102069691B1 (ko) * 2017-04-19 2020-01-23 한국전자통신연구원 메타데이터 관리 시스템 및 방법
US10721166B2 (en) 2017-12-08 2020-07-21 International Business Machines Corporation Ensuring data locality for secure transmission of data
US12014065B2 (en) 2020-02-11 2024-06-18 Pure Storage, Inc. Multi-cloud orchestration as-a-service
US11226776B2 (en) 2020-02-28 2022-01-18 International Business Machines Corporation Zone storage data placement
US11509721B2 (en) * 2021-01-31 2022-11-22 Salesforce.Com, Inc. Cookie-based network location of storage nodes in cloud

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7681791B1 (en) * 2005-12-28 2010-03-23 Brett Beveridge Efficient inventory and information management
JP2009080674A (ja) * 2007-09-26 2009-04-16 Hitachi Ltd 制御装置、アクセス制御方法、及びストレージノード
US8095656B2 (en) 2009-11-16 2012-01-10 International Business Machines Corportion Geo-positionally based data access security
US8676593B2 (en) 2010-09-23 2014-03-18 International Business Machines Corporation Geographic governance of data over clouds
US8656454B2 (en) 2010-12-01 2014-02-18 Microsoft Corporation Data store including a file location attribute
US8682955B1 (en) 2010-12-31 2014-03-25 Emc Corporation Fully automated cloud tiering controlled by an orchestration layer based on dynamic information
WO2012142088A1 (en) 2011-04-12 2012-10-18 Citrix Systems, Inc. Server remotely executing an application using geographic location data of a mobile device
KR101544485B1 (ko) 2011-04-25 2015-08-17 주식회사 케이티 클라우드 스토리지 시스템에서 복수개의 복제본을 분산 저장하는 방법 및 장치
US9052939B2 (en) 2011-05-27 2015-06-09 Red Hat, Inc. Data compliance management associated with cloud migration events
US20130212130A1 (en) 2012-02-15 2013-08-15 Flybits, Inc. Zone Oriented Applications, Systems and Methods
EP2725491B1 (en) 2012-10-26 2019-01-02 Western Digital Technologies, Inc. A distributed object storage system comprising performance optimizations
US9633216B2 (en) 2012-12-27 2017-04-25 Commvault Systems, Inc. Application of information management policies based on operation with a geographic entity
CN104202717A (zh) * 2013-02-21 2014-12-10 周良文 以基本单位短程围栏的信息平台及应用方法
US8775485B1 (en) 2013-03-15 2014-07-08 Joyent, Inc. Object store management operations within compute-centric object stores
CN103916818A (zh) * 2014-04-09 2014-07-09 北京百度网讯科技有限公司 基于地理围栏技术的定位方法和移动终端
CN104219305B (zh) * 2014-09-02 2018-06-08 百度在线网络技术(北京)有限公司 基于位置信息的业务处理方法和装置
US9408063B2 (en) * 2014-09-15 2016-08-02 Intel Corporation Jurisdiction-based adaptive communication systems and methods

Also Published As

Publication number Publication date
US20160241995A1 (en) 2016-08-18
US9641971B2 (en) 2017-05-02
CN105893456A (zh) 2016-08-24

Similar Documents

Publication Publication Date Title
CN105893456B (zh) 地理围栏感知的计算基础设施的分离的方法和系统
US10313352B2 (en) Phishing detection with machine learning
CN104580344B (zh) 用于生成资源访问控制决策的方法和系统
CN103729250B (zh) 用于选择被配置为满足一组要求的数据节点的方法和系统
CN110024357A (zh) 使用分布式分类帐进行数据处理的系统和方法
CN105989275B (zh) 用于认证的方法和系统
CN104106241A (zh) 生成安全名称记录的系统和方法
CN104067265A (zh) 用于支持在云中的安全应用部署的系统和方法
CN110113188A (zh) 跨子域通信运维方法、总运维服务器和介质
US20220277075A1 (en) Using orchestrators for false positive detection and root cause analysis
CN109088909B (zh) 一种基于商户类型的服务灰度发布方法及设备
US11005718B2 (en) Determining capabilities of cognitive entities in a distributed network based on application of cognitive protocols
CN107580032B (zh) 数据处理方法、装置及设备
US11270024B2 (en) Secure data monitoring utilizing secure private set intersection
CN109154968A (zh) 用于组织内的安全且高效的通信的系统和方法
US20200364541A1 (en) Separating public and private knowledge in ai
US20220188437A1 (en) Data Access Monitoring and Control
CN105069366B (zh) 一种账户登录和管理方法及装置
CN116601630A (zh) 通过动态蜜罐数据库响应生成防御目标数据库攻击
CN110069911A (zh) 访问控制方法、装置、系统、电子设备和可读存储介质
US20200402061A1 (en) Cryptocurrency transaction pattern based threat intelligence
Katsini et al. Foreplan: supporting digital forensics readiness planning for Internet of vehicles
CN105871749A (zh) 一种基于路由器的网络访问控制方法、系统及相关设备
US20190087909A1 (en) Technology platform dispatch system
US11736336B2 (en) Real-time monitoring of machine learning models in service orchestration plane

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant