公开了使用在加入集群的节点与作为所述集群的有效部分的任何单个节点之间的认证来促进在集群中的任何有效节点之间的安全组播通信的系统和方法。根据实施例,集群密钥用于为集群内通信提供安全性。实施例的集群密钥由已经为集群的部分的节点与加入集群的节点仅在这两个节点互相彼此认证之后共享。实施例的所述互相认证握手实施其中会话密钥由两个节点计算的协议,从而提供可共享集群密钥的安全手段。根据实施例,通过具有所述集群密钥,所述集群中的每个节点能够与所述集群中的任何其它节点或者单独地(例如单播)或者共同地(例如组播)安全通信。
【技术实现步骤摘要】
【国外来华专利技术】用于提供安全组播集群内通信的系统和方法
本专利技术大体涉及集群内通信,并且更具体而言,涉及提供安全组播集群内通信。
技术介绍
存在其中一集群中的不同节点彼此通信的各种系统配置,其中节点为可操作以提供所期望的功能、服务或运算或其部分并且可与其它节点配合以形成集群的操作单元(例如基于处理器的系统)。例如,数据存储系统常常包括存在于该数据存储系统的不同节点处的多个存储装置。此类数据存储系统可使用多种存储架构(诸如网络附接存储(NAS)环境、存储区域网络(SAN)、直接附接存储环境及其组合)来实现。数据存储系统的节点可包括基于处理器的系统,诸如文件服务器系统、家用计算机、计算机工作站等。在不同节点处的存储装置可包括磁盘驱动器、闪速存储器、光学存储器等。可根据存储架构将从所述存储装置中选择的一些存储装置组织成存储阵列。承载存储阵列中的存储装置以及其它联网装置的节点可因此包括可配合地操作以提供数据存储系统的节点集群。为了作为集群来操作,集群中的节点彼此通信。此类通信可包括各种点对点通信(例如单个节点对单个节点或单播通信)和组播通信(例如单个节点对多个节点)。因此,为了有效地配合以提供所期望的操作,集群中的每个节点可需要具有与该集群中的任何和所有其它节点通信的能力。然而,此类通信可能会穿行于不安全的链接,诸如公共或其它网络链接(例如互联网、公用电话交换网(PSTN)、局域网(LAN)、城域网(MAN)、广域网(WAN)等)。通过此类不安全的链接运载的此类通信可易受拦截、窃听、篡改、监控、嗅探、中间人攻击、中继攻击、重放攻击等的影响。因此,各种安全协议已经在过去实施以促进在集群中的节点之间的通信(即集群内通信)。例如,集群中的节点已实现安全套接字层(SSL)和传输层安全(TLS)安全协议,以保证集群内通信安全。SSL和TLS为密码协议,其通过将非对称密码技术用于私有和加密钥的消息认证码以求消息可靠性来提供通信安全。然而,这些安全协议为点对点安全协议。即,针对每个节点对,采用唯一的密钥集。因此,安全组播通信无法通过使用SSL和TLS安全协议来提供。虽然已经开发出用于保证组播通信安全的协议,但是迄今为止此类协议还无法针对组播通信提供足够的安全性并且还没有充分地适应节点与集群的动态关联。已经用于提供通信的安全性的一个此类协议为JGROUPS。JGROUPS提供组播协议,其中在传输协议之上增加“分组”层。为了针对组播通信提供安全性,JGROUPS实施其AUTH和ENCRYPT协议。然而AUTH协议仅使用单个基于令牌的认证(例如在不安全的链接之上传送的密码或其它认证凭证)来提供单向认证(即仅一个节点认证另一个),因此窃听者可以监控通信并且模拟安全握手(例如重放攻击)以建立虚假的认证。ENCRYPT协议使用集群密钥(clusterKey)来加密所有组播通信。然而,ENCRYPT协议的集群密钥被提供给提供其自己的公共密钥并且要求集群密钥的任何节点。因此,即使利用由JGROUPS实现的AUTH和ENCRYPT协议,中间人亦可轻易地加入集群并且因此针对组播通信所提供的安全性具有略微空洞。
技术实现思路
本专利技术针对使用在加入集群的节点与作为该集群的有效部分的任何单个节点之间的认证来促进该集群中的任何有效节点之间的安全组播通信的系统和方法。根据本专利技术的实施例,集群密钥(例如对称密码密钥)用于提供集群内通信的安全。实施例的所述集群密钥由已经为集群的部分的节点与加入集群的节点仅在这两个节点互相彼此认证之后共享。实施例的互相认证握手实施其中会话密钥由两个节点计算的协议,或与与该协议关联,从而在会话密钥尚未经网络或其它连接传送的情况下促进在节点之间的安全链接。根据本专利技术的实施例,会话密钥被已经为集群的部分的节点用来与加入集群的节点在这两个节点互相彼此认证之后安全地共享集群密钥。通过具有集群密钥,集群中的每个节点能够与该集群中的任何其它节点或者单独安全通信(例如单播)或者共同安全通信(例如组播)。从上文可以了解,本专利技术的实施例通过在集群中的任何节点上进行认证来促进节点加入集群。本专利技术的实施例不依赖公钥基础设施或证书的使用来提供节点的认证。因此,避免了在PKI或管理证书中所涉及的配置和维护。然而,即使在定制或调适于用在组播通信的集群环境的新方法中,本文的实施例仍可利用可用认证协议、密钥协定协议和/或加密算法或其部分,以利用良好测试的并且完全基于证明文件的技术。一旦被认证,就与整个节点集群建立针对所加入的节点的信任。即,加入集群的节点作为加入的逻辑单元本质上得到集群的认证。由此,根据本文的实施例不必要针对在集群中的每一个节点或甚至多于一个节点来认证加入集群的节点,如在实施点对点类型协议的方式中所要求的。一旦加入,集群中的节点能够使用包括单播和组播消息传送的各种消息传送技术与集群中的其它节点通信。针对本专利技术的实施例的操作,在点对点类型协议中不容易实施组播通信技术。上文已相当宽泛地概述了本专利技术的特征和技术优势以便更好地理解下面的对本专利技术的详细的描述。本专利技术的额外的特征和优势将在下文中描述,这形成本专利技术的权利要求的主题。本领域技术人员应了解,可容易地利用所公开的概念和具体的实施例作为用于修改或设计用于执行本专利技术的相同用途的其它结构的基础。本领域技术人员也应意识到,此类等效构造不脱离在所附的权利要求中陈述的本专利技术的精神和范围。新颖的特征被认作本专利技术的特性,就其组织和操作方法而论,以及进一步的目标和优势将从下列在结合附图考虑的描述被更好地理解。然而,应清楚地理解提供每个附图仅用于说明和描述的目的,而不意欲作为限定本专利技术的限制。附图说明为了更完整理解本专利技术,现在参考结合附图作出的下列说明,其中:图1A和图1B示出根据本专利技术实施例的适于使一集群中的每个节点能够安全地与该集群中的任何其它节点通信的系统的框图。图2示出根据本专利技术实施例的使一集群中的每个节点能够安全地与该集群中的任何其它节点通信的高层处理流程的梯形图。图3示出根据本专利技术实施例的使一集群中的每个节点能够安全地与该集群中的任何其它节点通信的更详细的处理流程的梯形图。具体实施方式下面提供本文所使用的特定术语的意义的简述,以便帮助读者更好地理解下列论述中描述的本专利技术的概念。虽然下文提供针对特定术语的一般意义,应了解的是针对本文某术语的额外的意义可在下文所论述的特定实施例的上下文中而提供。本文所使用的集群为一组链接或另外关联的节点,其可一起操作以提供在许多方面中所期望的功能、服务或运算,从而形成单个逻辑实体。节点为联网装置操作单元,诸如基于处理器的系统(例如计算机、网络家电等)和关联的指令集(例如软件、固件、应用程序等),其可操作以提供所期望的功能、服务或运算或其部分并且可与其它节点配合以形成集群。集群内通信为在集群中的两个或多个节点之间的诸如单播通信和组播通信的通信。单播通信为将一个或多个消息或信息发送至单个网络目的地(例如节点)。组播通信为通过单个传输将一个或多个消息或信息发送至多个网络目的(例如节点)。如本文所使用的,认证为一方(例如节点)确认另一方(例如另一节点)的身份的过程,而互相认证为两方(例如节点)确认彼此的身份的过程。认证握手为在两方(例如节点)之间的消息的对话试图认证一方或另一方(认证)或者本文档来自技高网...
【技术保护点】
一种用于为集群中的多个节点提供安全组播通信能力的方法,所述方法包括:在加入所述集群的节点与作为所述集群的有效部分的任何单个节点之间执行互相认证会话;以及如果所述互相认证成功,那么使用针对所述互相认证会话的唯一的安全通信信道将集群机密传送至加入所述集群的所述节点,其中所述集群机密使加入所述集群的所述节点成为集群节点并且使所述集群节点能够与作为所述集群的有效部分的每一个其它节点安全地通信。
【技术特征摘要】
【国外来华专利技术】2011.08.25 US 13/218,1861.一种用于提供安全组播通信能力的方法,所述方法包括:通过第一联网计算设备执行与作为集群的有效部分的第二联网计算设备的认证握手,从而导致与所述第二联网计算设备的成功互相认证;通过所述第一联网计算设备使用针对所述互相认证的唯一的安全通信信道从所述第二联网计算设备接收经加密的集群机密;以及通过所述第一联网计算设备使用在所述认证握手期间生成的会话密钥来对所述集群机密进行解密,其中所述集群机密使所述第一联网计算设备能够与所述第二联网计算设备以及作为所述集群的有效部分的多个联网计算设备中每一个其它联网计算设备安全地通信。2.根据权利要求1所述的方法,其中,所述集群机密包括对称密码密钥。3.根据权利要求1所述的方法,进一步包括:通过所述第一联网计算设备确定第三联网计算设备是否已退出所述集群;以及当所述第三联网计算设备被确定为已退出所述集群时,通过所述第一联网计算设备执行与作为所述集群的有效部分的所述多个联网计算设备中的一个联网计算设备的互相认证握手,来获取新的集群机密。4.根据权利要求1所述的方法,其中,作为所述集群的有效部分的所述第二联网计算设备为一对等节点。5.根据权利要求1所述的方法,进一步包括:通过所述第一联网计算设备向所述第二联网计算设备以及作为所述集群的有效部分的多个联网计算设备中的任何联网计算设备发送利用集群机密安全保护的一个或多个通信。6.根据权利要求5所述的方法,其中,所述一个或多个通信包括单播通信和组播通信中的至少一个。7.一种用于提供安全组播通信能力的设备,包括:用于执行与作为集群的有效部分的多个联网计算设备中的一个联网计算设备的认证握手,从而导致与该联网计算设备的成功互相认证的单元;用于使用针对所述互相认证的唯一的安全通信信道从所述一个联网计算设备接收经加密的集群机密的单元;以及用于使用在所述认证握手期间生成的会话密钥来对所述集群机密进行解密的单元,其中所述集群机密使得能够与所述一个联网计算设备以及作为所述集群的有效部分的多个联网计算设备中每一个其它联网计算设备进行安全通信。8.根据权利要求7所述的用于提供安全组播通信能力的设备,其中,所述集群机密包括对称密码密钥。9.根据权利要求7所述的用于提供安全组播通信能力的设备,进一步包括:用于确定所述多个联网计算设备中的另一联网计算设备是否已退出所述集群的单元;以...
【专利技术属性】
技术研发人员:菲利普·布莱恩·克莱,
申请(专利权)人:网络存储技术公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。