CN107533439A - 存储器存取控制方法和系统 - Google Patents
存储器存取控制方法和系统 Download PDFInfo
- Publication number
- CN107533439A CN107533439A CN201580079048.9A CN201580079048A CN107533439A CN 107533439 A CN107533439 A CN 107533439A CN 201580079048 A CN201580079048 A CN 201580079048A CN 107533439 A CN107533439 A CN 107533439A
- Authority
- CN
- China
- Prior art keywords
- node
- memory block
- attached
- asked
- data set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/0223—User address space allocation, e.g. contiguous or non contiguous base addressing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1483—Protection against unauthorised use of memory or access to memory by checking the subject access rights using an access-table, e.g. matrix or list
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1416—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
- G06F12/1425—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
- G06F12/1441—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1052—Security improvement
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
提供一种存储器存取控制方法和系统,其中分配一个或多个存储器区块以保存数据集的数据,并将所述一个或多个存储器区块与和所述数据集相关的元数据以及和允许存取所述一个或多个存储器区块以将所述存储器区块附接到节点相关的策略相关联。在从请求实体接收到存取所分配的存储器区块以将所请求的存储器区块附接到节点的请求时,执行所述策略以在考虑到一组存储器区块已经附接到所述节点的情况下确定是否允许存取所请求的存储器区块以将所请求的存储器区块附接到所述节点。
Description
背景技术
计算机系统可以具有大量的计算核心。计算核心经由存储器结构连接。计算核心可能希望存取存储器。存储器可以是非易失性的,因此可以用作数据的存储装置以及用于处理器的存储器。因此,将通常作为存储层和主存储器层的事物汇聚到单个层中。存在对于每个计算核心可以存取的存储器(或特定存储器区域)的一定级别的控制。可能是计算核心单独存取存储器和/或可能是计算核心共享存储器。这也适用于多租户计算机系统的情况,其中分配给系统的不同核心的租户希望存取包括共享存储器的存储器。
附图说明
为了更完整的理解,下面将参考附图描述各种示例,其中:
图1是根据本公开的节点的示例的框图;
图2是根据本公开的网络的示例的框图;以及
图3是根据本公开的可以采用的过程的示例说明。
具体实施方式
本文描述的一些示例提供了用于控制处理和/或管理存储器的方式的节点和方法。根据本公开,应用层可以与身份系统和存储器管理系统链接以确定是否允许对存储器的存取。
参考图1、图2和图3进一步描述本主题。应当注意,说明书和附图仅仅示出了本主题的原理。因此可以理解,虽然在本文没有明确描述或显示,但是可以设计出体现本主题的原理的各种布置。此外,本文中所有记载本主题的原理和示例的陈述及其具体示例旨在涵盖其等同物。
计算机系统可以用于分析或处理数据。可以将不同的数据群组组织到数据集中。分析进程可以应用于单个数据集或多个数据集。然后,分析进程可以在附加数据集中创建结果。例如,一个数据集可以包含智能仪表数据,第二数据集包含包括地址的客户信息。分析进程可以例如为每个区域(例如,邮政编码)生成功率使用信息,并创建包含该信息的新数据集。不同的分析可以为每个客户生成记账信息,其中所有记录都存储在单独的数据集中。每个数据集可以具有自己的安全性要求,并且可以具有不同的所有者。运行分析进程的实体可以与拥有数据集的实体不同。
在系统级,当使用基于非易失性存储器的汇聚的存储装置和主存储器层时,每个数据集可以由其中存储数据集数据的一个或多个存储器区块来支持。存储器区块可以是给定大小的连续存储器地址的集合并且在存储器网络内的给定存储单元内。使用数据集并在节点上运行的分析进程需要能够读取包含数据的存储器区块。创建新数据集或更新数据集的分析进程需要能够读取并写入包含数据集的数据的存储器区块。对存储器的存取可以被最小化到足以运行分析进程的量。
图1示出了根据本公开的节点100(例如,计算节点)。节点100包括接收模块102,用于从请求实体接收存取数据集的请求103。例如,请求可以是使用多个数据集运行分析进程,并将输出置于一个或多个数据集中(这些数据集可以重叠)。接收模块102可以通过查看来自分析系统105、212的元数据来确定(通过某种方法)哪些存储器区块与数据集相关联。存储器请求模块104可以从存储器管理器107、208获得每个存储器区块的存取信息(被称为策略)。策略执行模块106执行策略以确定是否允许存取所请求的存储器区块(例如,通过检查所有策略是正确的)。如果确定允许存取,则策略执行模块106可以请求109存储器网络将存储器区块附接到节点(例如,计算节点)。策略执行模块106还可以将关于附接的存储器的信息存储在存储装置108中。分析进程110可以在节点上运行,存取数据集并将数据写入到数据集,并且根据请求。一旦分析进程结束,存储器释放处理器112可以移除对存储器的存取。节点100可以运行针对存储器存取的多个并发请求103。策略执行模块106完全知道经由存储装置108附接到节点的存储器。
节点100可以是连接到存储器网络的大量节点之一。这样的网络的示例在图2中示出。在图2所示的示例中,节点100可以是存储器网络200中的多个计算节点(CN)202a、202b中的一个。计算节点202a、202b可以连接到存储器网络200中。存储器网络200可以将存储器存取路由到存储器节点(MN)204a、204b。
节点100本身可以被定义为多个核心。例如,节点100可以是片上系统(SoC)中的多个核心。在另一示例中,节点100可以是单个核心。节点100可以被定义为在存储器网络200上分离的计算单元。
参考图2所示的示例,存储器网络200可以包括一个或多个存储器存取控制(MAC)功能206a、206b。存储器存取控制功能206a、206b可以被配置为控制存储器存取,使得特定计算节点可以存取在特定计算节点执行任务时所述计算节点期望能够存取的一组存储器地址。存储器存取控制功能206a、206b可以位于存储器网络200内或计算节点202a、202b的边缘。
计算节点202a、202b可以运行它们自己的软件栈,其可以包括操作系统(OS)。存储器存取控制功能206a、206b可以在计算节点202a、202b的软件栈的控制之外。存储器网络200还可以包括配置MAC的存储器配置点(MCP)。存储器配置点可以是远程处理器,在计算节点100上的安全环境(例如策略执行模块106)中运行的安全进程(其可以与软件栈分离;例如受处理器上的保护),或者可以在存储器管理器(MM)107、208内,在这种情况下,策略执行模块106充当(MM)208的代理。
存储器网络200可以包括存储器管理器208以管理存储器并且分配地址范围用于给定目的。存储器管理器208可以将存储器组织到存储器区块(MB)210a、210b、210c、210d中,或者其可以在适当的时间分配地址范围或地址范围集合。存储器区块210a、210b、210c、210d可以表示地址范围。存储器区块210a、210b、210c、210d可以具有足够的尺寸,使得存储器结构可以被配置为控制对该区块的存取。在示例中,存储器区块210a、210b、210c、210d可以是兆字节或千兆字节的数量级。
分析系统105、212可以在连接到存储器网络的节点上运行。分析系统105、212包括管理功能,以允许数据集被创建、存储、扩展、删除和/或处理。当执行这些动作时,可能存在存储器区块(MB)的分配以包含数据集的数据。这可能涉及向MM发送针对一组MB的请求以覆盖数据集的预测大小。数据集可以具有与之相关联的所有者和一组存取控制规则。
分析系统212可以被编码。根据本公开,分析系统212可以包括调度器214,当代表分析所有者(AO)计算分析(A)时,所述调度器214附接与在其上运行分析的数据集相关联的存储器区块210a、210b、210c、210d。调度器214可以向核心分配分析进程或任务。以这种方式,调度器214知道在运行分析(例如,在图1中的接收模块102和存储器请求模块104中)时哪些数据集以及因此哪些存储器区块被附接到给定的节点。调度器214还可以发起适当的设置,例如使用分析的所有者的身份通过适当的路线来附接存储器区块。
图3是根据本公开采用的过程的示例性图示,现在将对其进行描述(还参考图1和图2)。在图3中,框300-304涉及可以在分析系统105、212中执行的过程,并且框306-312涉及可以在节点100中执行的过程。
在框300处,分析系统105、212从数据集的拥有实体接收为数据集分配存储器的请求。例如,分析系统105、212可以接收创建数据集或者扩展数据集(例如,增加数据集的大小)的请求。创建数据集的请求可以具有与其相关联的策略(包括元数据),并且可以包括请求的存储器的量的指示。扩展数据集的请求可以包括元数据(例如,数据集名称),并且可以提供对策略的引用和请求的附加存储器。分析系统212可以存储位于数据集和存储器区块之间的关联性。在框302处,存储器管理器107、208分配一个或多个存储器区块(例如,210a、210b、210c或210d)来保存数据集的数据。例如,存储器管理器107、208可以分配一个或多个存储器区块以满足请求的存储器大小。存储器管理器107、208还将数据集的策略和元数据与所分配的一个或多个存储器区块相关联(即,存储器管理器107、208可以将策略和元数据链接到所分配的一个或多个存储器区块)。换句话说,当存储器区块被分配时,存储器区块与元数据和策略相关联。该策略涉及允许存取所分配的一个或多个存储器区块。以这种方式,可以通过创建位于应用程序和存储器管理之间的交互来将控制添加到存储器被处理的方式中。例如,这可能涉及扩展与每个存储器区块相关联的策略信息和元数据以包括与数据集相关的元数据。
存储器管理器107、208可以在安全环境中存储位于存储器区块、元数据和策略之间的关系。
与数据集相关的元数据可以包括与数据集相关联的信息、数据集的拥有实体、分析请求者等。
与数据集的拥有实体相关联的信息可以包括身份表示。身份表示可以包括唯一地识别数据拥有实体的信息,例如唯一标识符和与拥有实体相关联的其他信息。与数据集的拥有实体相关联的信息可以包括识别拥有实体的信息(其可以被称为“ownersID”),与拥有实体相关联的组织(或组织的一部分)(其可以被称为“ownersOrg”),组织内的拥有实体的位置,组织内的拥有实体的角色,拥有实体的认证,和/或与拥有实体相关联的任何其他信息。
与数据集相关联的信息可以包括数据集的名称,与数据集相关联的类别(或描述数据集的任何其他信息),数据集的来源,数据集的使用属性,数据集的分类级别(例如秘密、机密、受限、未分类、无限制等)和/或用于控制的任何其他信息。数据集的使用属性可以控制数据的使用。例如,使用属性可以指定可以使用数据集的某些情况或应用,导出控件(例如,数据集的原产国以及数据集是否可以在该国家以外使用),收集数据的目的(如营销、财务等),被允许存取或使用数据的实体(或实体的一部分),可以连接到数据集的进程类型,数据生命周期信息(如到数据集的连接可以持续/超时多长时间),和/或任何其他使用属性。
拥有实体可以是分析系统212内的用户。拥有实体可以负责维护身份信息,或者身份信息可以来自不同的来源(例如,雇员数据库)。
前面提到的使用属性可以将对数据集的存取,并因此对存储器区块的存取,限制到管理数据的特定分析系统。这也可以将分析系统限制到特定的软件栈,该特定的软件栈例如通过被链接到受信引导过程的证实以及由分析系统供应商定义的证实白名单来定义。
与数据集相关的元数据可以是一组元数据对的形式,例如一组“属性-值”对。在示例中,属性可以是“公司”,值可以是“公司A”,它们一起构成一个属性-值对。元数据可以包括共享联盟标签,指示对特定实体允许的共享。
与允许存取支持数据集的存储器区块(通过将存储器区块经过存储器网络200附接到节点)有关的策略可以基于与数据集相关联的许可级别。与数据集相关联的许可级别可以是“只读”、“只写”或“读/写”之一。在示例中,存取数据集的请求可以是在特定许可级别处存取数据集的请求(例如,取决于该数据集是否将被更新)。例如,策略可以包括将实体的身份映射到许可级别的规则。在一个示例中,策略可以包括对于一个实体的“只读”许可级别(表示该实体具有存取数据集但不修改数据集的许可),同时策略可以包括另一实体的“读/写”许可级别(表示该实体具有存取数据集并对其进行修改的许可)。类似地,对于实体的“只写”许可级别表示该实体具有写入数据集但不读取数据集的许可。
在框304处,分析系统105、212将与数据集相关联的策略和元数据存储在存储器管理器107、208内,具有到针对该数据集所分配的一个或多个存储器区块的链接。然后,将存储器分配给数据集以存储数据。
然后可以使用数据集。数据集最初可以由将数据存储到存储器中的进程使用(例如,分析或数据加载进程)。数据集可以稍后用作分析进程的输入。然而,应当理解,数据集的其他用途是可能的并且可以按照任何顺序使用。
在框306中,接收模块102可以接收存取(或连接到)数据集的请求。该请求可以涉及以特定许可级别存取数据集,例如以只读模式或读/写模式。请求可以由分析所有者提供,并且可能涉及对数据集执行分析进程。
在框308中,接收模块102可以确定哪些存储器区块被分配给(或关联于)所请求的数据集。换句话说,接收模块102可以确定哪些存储器区块是所请求的存储器区块。
在框310中,存储器请求模块104可以从存储器管理器107、208获得与所请求的存储器区块相关联的策略。
在框312处,当从请求实体接收到存取所请求的存储器区块以附接到节点(例如,计算节点)的请求103(如上所述,通过接收模块102和存储器请求模块104转换)时,考虑到(即,依赖于)一组存储器区块已经附接(或链接)到该节点,策略执行模块106执行策略以确定是否允许请求实体存取支持所请求的数据集的所分配的存储器区块,以将所分配的存储器区块附接到节点。例如,策略执行模块106可以检查策略得到满足(例如,通过检查策略的规则或要求得到满足或维护),检查分析所有者被允许存取所请求的存储器区块,并且可以检查在哪个许可级别处进行存取。策略可以指定元数据(或属性值)匹配进程,策略执行模块106可以执行所述元数据匹配进程以确定是否允许存取所请求的存储器区块。以下将提供更详细的示例。
在一些示例中,执行策略以确定是否允许请求实体存取支持所请求的数据集的存储器区块以附接到节点,可以涉及策略执行模块106将与所请求的存储器区块相关联的元数据和与当前从节点能够存取的存储器区块相关联的元数据进行比较。当前能够存取的存储器区块以及相关联的策略和元数据可以被存储在存储装置108中并可从存储装置108取回。
在一个示例中,策略可以被写入以要求所请求的存储器区块是系统存储器还是属于与已经附接到节点的存储器区块相同的组织。在另一示例中,策略可以被写入以要求已经附接到节点的存储器区块与所请求的存储器区块处于相同的分类级别或更高的分类级别。在另一示例中,策略可以被写入以做出如下要求:如果在其上运行分析进程的节点由在某个地理区域内运营的组织拥有并且没有连接到不具有地理限制的读/写模式的其他存储器区块,则请求实体可以存取存储器区块以附接到节点。策略可以允许具有特定认证的请求实体将数据“撤销机密(declassify)”并将特定结果移动到较少受控的存储器区块并且因此移动到相关联的数据集。
在一些示例中,执行策略以确定是否允许请求实体存取支持所请求的数据集的存储器区块以附接到节点,这可以涉及策略执行模块106检查节点的证实(例如,确定节点的软件栈是否运行正常)。在一些示例中,与允许请求实体存取所请求的存储器区块相关的策略可以基于与数据集相关联的许可级别(如上所述)。在这种情况下,执行策略以确定是否允许存取支持所请求的数据集的存储器区块以附接到该节点可以涉及检查在节点上已经能够存取的存储器区块的许可级别。
在一些示例中,策略可以指定已经附接到节点以被允许存取的存储器区块所要求的许可级别。例如,策略可以指定:在所请求的存储器区块是只读存储器区块的情况下,如果在节点上已经能够存取的存储器区块是读/写存储器区块,则允许将所请求的存储器区块附接到该节点。
在一些示例中,执行策略以确定是否允许存取所请求的存储器区块以附接到节点可以涉及对与所请求的存储器区块相关联的元数据和与已经附接到节点的具有相同许可级别的存储器区块相关联的元数据进行比较。在示例中,策略可以被写入以要求要附接的所请求的可写存储器区块与当前能够从节点存取的存储器区块具有相同的所有者组织。
策略可以包括如下规则:考虑到节点的所有其他附接的存储器区块,指定何时能够以只读方式将所请求的存储器区块附接到节点。例如,如果附接到节点的可写区块具有相同的使用和数据类型标签,则所请求的存储器区块可以作为可读区块被附接到节点。
类似地,策略可以包括用于以读/写或只写方式附接所请求的存储器区块的规则。例如,可以存在两个数据集,其中之一可以包括传感器数据(例如,传感器ID、位置和数据),另一个可以包括识别传感器所有者的个人数据。策略可以允许传感器数据的一般使用,并且还可以具有仅允许传感器数据和个人数据附接在一起的规则(例如,如由在元数据中的属性所识别的),其中任何附接的可写数据集在其元数据中具有个人信息标签并且具有在个人数据集中定义的使用限制匹配。该规则还可以实施可读或可写数据集具有指定如下的规则:只有在附接到节点的其他可写数据集也具有这些属性时,才将所述可读或可写数据集附接到该节点,否则将不允许将与数据集相关联的存储器区块附接到该节点。
在另一示例中,如果附接到节点的存储器区块的分析进程由不可信的第三方拥有,则策略可以允许以只读方式存取所请求的存储器区块。在另一示例中,策略可以在附接到节点的所有其他存储器区块是只读时允许存取所请求的存储器区块。
策略执行模块106可以检查附接到节点的可写存储器区块具有适当的策略来控制进一步的数据流,以便允许将所请求的存储器区块附接到节点。例如,策略执行模块106可以检查附接到节点的每个可写存储器区块具有如下策略:限制对给定一组组织的存取,或者排除一些组织以便允许将所请求的存储器区块附接到节点。在另一示例中,策略执行模块106可以检查每个可写模块具有这样的策略:当数据集的存储器区块具有限制其他可写存储器区块附接到由组织拥有的节点或排除某些组织的约束性策略时,只允许该数据集的存储器区块以只读模式或可写地附接。
执行策略以确定是否允许存取所请求的存储器区块以附接到节点的其他示例可以涉及确定当前附接到节点的存储器区块是否与所请求的存储器区块兼容,如果所请求的存储器区块要附接到节点上,则确定当前附接到节点的存储器区块是否满足安全性要求,等等。策略执行模块106可以确保与附接到节点的存储器区块相关联的所有策略以及被请求的存储器区块的那些策略都被维持。
如果发现不允许对所请求的存储器区块的存取以附接到节点(例如,如果策略的要求不能够通过附接得到满足或维持),则可能拒绝存取所请求的存储器区块以附接到节点的请求。如果被拒绝,则所请求的存储器区块将不被附接到节点(即,所请求的存储器区块将不被添加到附接到节点上的存储器区块)。在请求被拒绝(或失败)的情况下,策略执行模块106可以向请求实体返回具有故障代码的信号109,以使得请求实体能够确定拒绝或失败的原因。
在另一方面,如果发现所请求的存储器区块满足策略的要求,则可以允许将存储器区块附接到节点的请求。如果被允许,则策略执行模块106可以通过存储器网络传送信号109,具有将所请求的存储器区块附接到节点(即,将所请求的存储器区块添加到附接到节点的存储器区块)的指令。然后,所请求的存储器区块将被附接到节点(即,添加到附接到节点的存储器区块)。一旦处理并允许了存取存储器区块以进行附接的请求,网络的存储器配置点可以按照正常的方式配置存储器存取控制块。
在允许请求实体存取所请求的存储器区块以附接到节点的情况下,策略执行模块106可以使请求实体能够根据策略存取所请求的存储器区块。例如,策略执行模块106可以使得请求实体能够以适当的许可级别(如上所述)存取所请求的存储器区块。
策略执行模块106可以允许请求实体存取所请求的存储器区块,直到出现重置(例如,标志),或者直到请求实体尝试附接将违反所请求的存储器区块的策略的其他存储器区块。
标志可以包含在元数据中,并且可以用信号表示当执行策略时要执行的操作。标志可以提供时间行为。例如,标志可以是重置标志,其在执行策略时重置对数据集的存取。当多于一个实体请求将被分配到给定节点的存储器区块时,可能会发生重置。例如,如果第一请求实体已经针对各种数据集获得对存储器区块的存取,并且第二请求实体尝试使用相同的节点来运行其分析进程,则可以移除对具有设置了所述标志的那些存储器区块的存取。
在另一示例中,标志可以是定时器标志,其可以在特定时段期满时阻止或允许对数据集的存取。在另一示例中,在从未知实体或未知身份集(例如,未知系统和分析所有者)接收到存取数据的请求的情况下,标志可以用信号表示阻止或撤销对存储器地址的存取。标志或与标志相关联的活动可以经由寄存器或其他消息传送机制传送到在节点100上运行的软件。标志可能会触发消息。例如,该标志可能被配置为返回“连接”或“不连接”消息。消息还可能包括错误信息。
标志可以与策略一起存储在存储装置108中,并且可以被保持在MAC中。当请求实体请求存取存储器区块以附接到节点并且存取被准许时,可以从存储器管理器107、208提供标志。这些标志可能会被作为策略执行的一部分执行。可以使用来自MAC系统的存储器映射错误寄存器来标记对存储器存取的任何丢失的后果和原因。
可以存在根据本公开执行的某些管理动作。例如,与数据集相关联的策略或所有权(例如,如果拥有实体离开组织)可以在任何点被更新或改变,并且这可能导致保存数据集的数据的存储器区块的策略和所有权的改变。可以向数据集添加额外的存储器区块。
存储器管理器107、208和存储器配置点可以能够保留活动的记录等。可以存在执行的特定安全动作。例如,可以保护存储器系统中的部件之间的消息传送。
根据本公开,提供一种存储器管理器,用于分配一个或多个存储器区块以保存数据集的数据,并且将所述一个或多个存储器区块与以下相关联:与所述数据集相关的元数据以及与允许存取所述一个或多个存储器区块以将所述存储器区块添加到附接到节点的一组存储器区块相关的策略。
根据本公开,提供一种节点,其包括策略执行模块,用于在从请求实体接收到存取分配的存储器区块以将所请求的存储器区块添加到附接到节点的一组存储器区块的请求时,执行所述策略,以便取决于已经附接到节点的一组存储器区块来确定是否允许存取所请求的存储器区块以将所请求的存储器区块添加到节点。
根据本公开,提供一种包括存储器管理器以及包括所述策略执行模块的节点的系统。
根据本公开,提供一种编码有能够由处理器执行的指令的非瞬态机器可读存储介质。机器可读存储介质包括用于执行本文描述的方法的至少一部分的指令。所述方法可以与任何其他程序结合使用。
本公开中的示例可以作为方法、系统或机器可读指令来提供,例如,软件、硬件、固件等的任何组合。这样的机器可读指令可以被包括在其中或其上具有机器可读程序代码的机器可读存储介质(包括但不限于磁盘存储装置、CD-ROM、光学存储装置等)上。
参考根据本公开的示例的方法、装置和系统的流程图和/或框图来描述本公开。虽然上述流程图显示了特定的执行次序,但执行次序可以与所描述的次序不同。关于一个流程图描述的框可以与另一流程图的框组合。应当理解,流程图和/或框图中的每个流和/或框以及流程图和/或框图中的流和/或框的组合可以通过机器可读指令来实现。
机器可读指令可以例如由通用计算机、专用计算机、嵌入式处理器或其他可编程数据处理设备的处理器执行,以实现在说明书和附图中描述的功能。例如,处理装置或处理器可以执行机器可读指令。因此,装置和设备的功能模块可以由执行存储于存储器中的机器可读指令的处理器或者根据嵌入在逻辑电路中的指令进行操作的处理器来实现。术语“处理器”应该被广泛地解释为包括处理单元、中央处理单元(CPU)、专用集成电路(ASIC)、逻辑单元、可编程门阵列等。可以通过单个处理器来执行方法和功能模块或将该方法和功能模块划分到若干处理器中执行。
这样的机器可读指令还可以被存储在机器可读存储装置中,其可以引导计算机或其他可编程数据处理设备按照特定模式操作。
这样的机器可读指令还可以被加载到计算机或其他可编程数据处理设备上,从而计算机或其他可编程数据处理设备执行一系列操作以产生计算机实现的处理,因此在计算机或其他可编程设备上执行的指令提供用于实现由流程图中的流和/或框图中的框指定的功能的单元。
虽然已经参考特定示例描述了方法、装置和相关方面,但是在不背离本公开的精神和范围的情况下,可以进行各种修改、改变、省略和替换。应当注意,上述示例说明而不是限制本文所描述的内容,并且本领域技术人员将能够设计许多替代实现方式而不背离所附权利要求的范围。例如,来自一个示例的特征或框可以与另一示例的特征/框组合或由另一示例的特征/框替换。
词语“包括”不排除存在除了权利要求中所列的元素之外的元素,“一(a)”或“一个(an)”不排除多个,并且单个处理器或其他单元可以实现权利要求中引述的若干单元的功能。
任何从属权利要求的特征可以与任何独立权利要求或其他从属权利要求的特征组合。
Claims (15)
1.一种方法,包括:
分配一个或多个存储器区块以保存数据集的数据,并且将所述一个或多个存储器区块与和所述数据集相关的元数据以及和允许存取所述一个或多个存储器区块以将所述存储器区块附接到节点相关的策略相关联;
在从请求实体接收到用于存取所分配的存储器区块以将所请求的存储器区块附接到节点的请求时,执行所述策略以在考虑到一组存储器区块已经附接到所述节点的情况下确定是否允许存取所请求的存储器区块以将所请求的存储器区块附接到所述节点。
2.根据权利要求1所述的方法,其中,
与所述数据集相关的元数据包括与所述数据集的拥有实体相关联的信息和/或与所述数据集相关联的信息。
3.根据权利要求2所述的方法,其中,
与所述数据集的拥有实体相关联的信息包括识别所述拥有实体的信息和/或识别与所述拥有实体相关联的组织的信息。
4.根据权利要求2所述的方法,其中,
与所述数据集相关联的信息包括所述数据集的名称、与所述数据集相关联的类别、所述数据集的来源、所述数据集的使用属性和/或针对所述数据集的分类级别。
5.根据权利要求1所述的方法,其中,
执行所述策略以确定是否允许存取所请求的存储器区块以附接到所述节点包括:
将与所请求的存储器区块相关联的元数据和与附接到所述节点的所述一组存储器区块相关联的元数据进行比较。
6.根据权利要求1所述的方法,其中,
与允许存取所请求的存储器区块以附接到所述节点相关的策略是基于与所述数据集相关联的许可级别的。
7.根据权利要求6所述的方法,其中,
执行所述策略以确定是否允许存取所请求的存储器区块以附接到所述节点包括:
检查附接到所述节点的所述一组存储器区块的许可级别,以确定是否允许存取所请求的存储器区块以附接到所述节点。
8.根据权利要求1所述的方法,其中,
执行所述策略以确定是否允许存取所请求的存储器区块以附接到所述节点包括:
确定来自所述请求实体的用于存取所请求的存储器区块以附接到所述节点的请求是否被允许。
9.根据权利要求8所述的方法,包括:
如果所述请求实体的请求被允许,则允许将所请求的存储器区块附接到所述节点。
10.根据权利要求9所述的方法,其中,
允许将所请求的存储器区块附接到所述节点包括:
根据所述策略来允许将所请求的存储器区块附接到所述节点。
11.根据权利要求1所述的方法,其中
执行所述策略以确定是否允许存取所请求的存储器区块到所述节点包括:
确定所请求的存储器区块是否与附接到所述节点的存储器区块兼容;和/或
确定所请求的存储器区块如果被附接到所述节点是否满足安全性要求。
12.根据权利要求1所述的方法,包括:
在安全环境中存储所分配的一个或多个存储器区块以及相关联的元数据和策略。
13.一种系统,包括:
存储器管理器,用于分配一个或多个存储器区块以保存数据集的数据,并且将所述一个或多个存储器区块与和所述数据集相关的元数据以及和允许存取所述一个或多个存储器区块以将所述一个或多个存储器区块附接到节点相关的策略相关联;以及
包括策略执行模块的节点,所述策略执行模块用于在从请求实体接收到用于存取所分配的存储器区块以将所请求的存储器区块附接到节点的请求时,执行所述策略,以便取决于已经附接到所述节点的一组存储器区块来确定是否允许存取所请求的存储器区块以将所请求的存储器区块附接到所述节点。
14.根据权利要求13所述的节点,其中,所述策略执行模块用于检查所述节点的证实。
15.一种编码有能够由处理器执行的指令的非瞬态机器可读存储介质,所述机器可读存储介质包括:
分配一个或多个存储器区块以存储数据集的数据,并且将所述一个或多个存储器区块与和所述数据集相关的元数据以及和允许存取所述一个或多个存储器区块以将所述一个或多个存储器区块附接到节点相关的策略相关联;以及
指令,用于在从请求实体接收到用于验证存取所分配的存储器区块以将所请求的存储器区块附接到节点的请求时,实现所述策略以确定是否验证存取所请求的存储器区块以附接到所述节点。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2015/067603 WO2017016616A1 (en) | 2015-07-30 | 2015-07-30 | Memory access control method and system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107533439A true CN107533439A (zh) | 2018-01-02 |
Family
ID=53776600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580079048.9A Pending CN107533439A (zh) | 2015-07-30 | 2015-07-30 | 存储器存取控制方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20180067848A1 (zh) |
| EP (1) | EP3292472A1 (zh) |
| CN (1) | CN107533439A (zh) |
| WO (1) | WO2017016616A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10963167B2 (en) * | 2017-12-29 | 2021-03-30 | Thales Dis France Sa | Method, first device, second device and system for managing access to data |
| US20190235773A1 (en) * | 2019-04-09 | 2019-08-01 | Mark Schmisseur | Concept for accessing computer memory of a memory pool |
| US11237749B2 (en) * | 2019-06-06 | 2022-02-01 | EMC IP Holding Company LLC | System and method for backup data discrimination |
| US11507473B2 (en) | 2019-10-30 | 2022-11-22 | EMC IP Holding Company LLC | System and method for efficient backup generation |
| US11586506B2 (en) | 2019-10-30 | 2023-02-21 | EMC IP Holding Company LLC | System and method for indexing image backups |
| US11475159B2 (en) | 2019-10-30 | 2022-10-18 | EMC IP Holding Company LLC | System and method for efficient user-level based deletions of backup data |
| US11593497B2 (en) | 2019-10-30 | 2023-02-28 | EMC IP Holding Company LLC | System and method for managing sensitive data |
| US11687595B2 (en) | 2019-10-30 | 2023-06-27 | EMC IP Holding Company LLC | System and method for searching backups |
| US20220404804A1 (en) * | 2021-06-16 | 2022-12-22 | Fisher-Rosemount Systems, Inc. | Security Services in a Software Defined Control System |
| US11953996B1 (en) | 2023-01-20 | 2024-04-09 | Dell Products L.P. | Method and system for selectively preserving data generated during application access |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1237252A (zh) * | 1997-09-04 | 1999-12-01 | 布尔有限公司 | 用于在多处理器数据处理系统中分配存储器的方法 |
| CN1484169A (zh) * | 2002-06-19 | 2004-03-24 | 阿尔卡塔尔加拿大公司 | 有共享程序存储器的多处理器计算设备 |
| CN101133396A (zh) * | 2005-01-24 | 2008-02-27 | 国际商业机器公司 | 用于在多处理器环境中管理对共享资源的存取的方法 |
| US20090193212A1 (en) * | 2008-01-30 | 2009-07-30 | Kabushiki Kaisha Toshiba | Fixed length memory block management apparatus and control method thereof |
| US20130073854A1 (en) * | 2011-09-21 | 2013-03-21 | Onyx Privacy, Inc. | Data storage incorporating crytpographically enhanced data protection |
| WO2015065434A1 (en) * | 2013-10-31 | 2015-05-07 | Hewlett-Packard Development Company, L.P. | Trusted function based data access security control |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB9912494D0 (en) * | 1999-05-28 | 1999-07-28 | Hewlett Packard Co | Configuring computer systems |
| GB2411261B (en) * | 2004-02-20 | 2007-07-11 | Hewlett Packard Development Co | Standalone memory device and system and method using such device |
| US20080271110A1 (en) * | 2007-04-25 | 2008-10-30 | Hewlett-Packard Development Company, L.P. | Systems and Methods for Monitoring Compliance With Standards or Policies |
| US7734974B2 (en) * | 2007-07-11 | 2010-06-08 | Arm Limited | Serial scan chain control within an integrated circuit |
| US8938589B2 (en) * | 2010-01-28 | 2015-01-20 | Hewlett-Packard Development Company, L. P. | Interface methods and apparatus for memory devices using arbitration |
| US20160246711A9 (en) * | 2010-01-28 | 2016-08-25 | Hewlett-Packard Development Company, L. P. | Interface methods and apparatus for memory devices |
| US9122535B2 (en) * | 2011-11-22 | 2015-09-01 | Netapp, Inc. | Optimizing distributed data analytics for shared storage |
| US9767045B2 (en) * | 2014-08-29 | 2017-09-19 | Memory Technologies Llc | Control for authenticated accesses to a memory device |
| US10289568B2 (en) * | 2016-07-07 | 2019-05-14 | Microsoft Technology Licensing, Llc | Application-driven storage systems for a computing system |
-
2015
- 2015-07-30 US US15/573,662 patent/US20180067848A1/en not_active Abandoned
- 2015-07-30 EP EP15745459.6A patent/EP3292472A1/en not_active Ceased
- 2015-07-30 CN CN201580079048.9A patent/CN107533439A/zh active Pending
- 2015-07-30 WO PCT/EP2015/067603 patent/WO2017016616A1/en active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1237252A (zh) * | 1997-09-04 | 1999-12-01 | 布尔有限公司 | 用于在多处理器数据处理系统中分配存储器的方法 |
| CN1484169A (zh) * | 2002-06-19 | 2004-03-24 | 阿尔卡塔尔加拿大公司 | 有共享程序存储器的多处理器计算设备 |
| CN101133396A (zh) * | 2005-01-24 | 2008-02-27 | 国际商业机器公司 | 用于在多处理器环境中管理对共享资源的存取的方法 |
| US20090193212A1 (en) * | 2008-01-30 | 2009-07-30 | Kabushiki Kaisha Toshiba | Fixed length memory block management apparatus and control method thereof |
| US20130073854A1 (en) * | 2011-09-21 | 2013-03-21 | Onyx Privacy, Inc. | Data storage incorporating crytpographically enhanced data protection |
| WO2015065434A1 (en) * | 2013-10-31 | 2015-05-07 | Hewlett-Packard Development Company, L.P. | Trusted function based data access security control |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180067848A1 (en) | 2018-03-08 |
| EP3292472A1 (en) | 2018-03-14 |
| WO2017016616A1 (en) | 2017-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107533439A (zh) | 存储器存取控制方法和系统 | |
| US20220075889A1 (en) | System of decentralized Zero-Trust services for creating, using and analyzing securely commingled Self-Governing data sets | |
| US10339123B2 (en) | Data management for tenants | |
| US11163749B2 (en) | Managing multiple locks for data set members in a data set index | |
| US10585726B2 (en) | Parameter-sharing apparatus and method | |
| US9430665B2 (en) | Dynamic authorization to features and data in JAVA-based enterprise applications | |
| CN104216662B (zh) | 用于跨远程复制关系的卷布置的方法和系统 | |
| CN103823830A (zh) | 用于销毁敏感信息的方法和系统 | |
| CN108388604A (zh) | 用户权限数据管理装置、方法及计算机可读存储介质 | |
| US11811839B2 (en) | Managed distribution of data stream contents | |
| JP2005031834A (ja) | データ配置に制限を設けるデータ処理方法、記憶領域制御方法、および、データ処理システム。 | |
| CA2966537A1 (en) | Database security | |
| CN102426523A (zh) | 多维对象 | |
| US11682003B2 (en) | Systems and methods for charitable giving using blockchain cryptocurrency | |
| US9208332B2 (en) | Scoped resource authorization policies | |
| JP2008508577A5 (zh) | ||
| US9342251B2 (en) | Data integrity protection in storage volumes | |
| EP2947848B1 (en) | System and method for granting permission for a machine action | |
| CN105683928A (zh) | 多承租人企业资源规划系统中的数据高速缓存策略 | |
| US9111114B1 (en) | Method of transforming database system privileges to object privileges | |
| US9361351B2 (en) | Data management via active and inactive table space containers | |
| US8140476B2 (en) | Statistical quality monitoring and enhancement | |
| EP3945478A1 (en) | Method and system for managing a plurality of networks of vehicles | |
| US11665174B2 (en) | Method and system for multi-tiered, multi-compartmented DevOps | |
| US20170061380A1 (en) | Computerized system and method for controlling electronic distribution of compensation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180102 |
|
| WD01 | Invention patent application deemed withdrawn after publication |