本公开提供一种装置,其用于识别用户设备对存储服务器中数据的访问请求。所述装置确定响应所述请求的响应数据的敏感度等级,确定所述响应的安全上下文,并通过对所述响应数据的敏感度等级和所述响应的安全上下文应用策略,确定针对所述响应要执行的路由操作。所述装置执行针对所述响应的所述路由操作。
【技术实现步骤摘要】
【国外来华专利技术】
本公开涉及网络路由决策,具体而言,其涉及将安全上下文集成到网络路由决策中。
技术介绍
企业(如商业组织)能存储可包含敏感内容的数据。例如,企业数据可包含机密客户信息、敏感研究文档、专利设计等内容。企业用户(如企业雇员)可能希望远程使用这些企业数据。例如,某用户可能正在出差,可能使用平板电脑和酒店的公用网络访问其企业电子邮件账户,而电子邮件中可能包含敏感的企业数据。所述企业可能希望控制敏感数据的数据流,其并不希望企业用户使用公用网络访问敏感数据。传统解决方案会对用户设备实施安全代理,防止未经授权访问敏感数据。不过,有些用户设备并不具备运行安全代理的能力,也就无法阻止这些用户设备访问敏感数据。也有些常规解决方案使用专用的服务器或其他网络设备监视并控制数据访问。但是,额外安装启用服务器和网络设备会导致运营成本增加。有些传统解决方案使用路由器根据成本和可用性决定网络路径。通常,此类路由器并不具有相应智能,控制哪些操作可执行、哪些用户可执行这些操作,以及哪些数据可用于执行这些操作。
技术实现思路
在一个具体实施中,描述了一种将安全上下文集成到网络路由决策中的装置。一种示例性装置可包括存储器和耦接到存储器的处理设备。在一个实施例中,所述装置首先识别用户设备对存储服务器数据的访问请求。随后,所述装置确定要求访问数据的敏感度等级,以及访问请求的安全上下文,接着,对数据的敏感度等级和访问请求的安全上下文应用一种策略,决定要针对访问请求执行的路由操作。然后,所述装置针对访问请求执行路由操作。在一个具体实施中,所述装置对数据的敏感度等级和访问请求的安全上下文应用所述策略,选择一条或多条路由器路径,响应所述访问请求,并执行路由动作。所述装置使用所选路由路径中的一个或多个路由器将数据发送到用户设备。在一个具体实施中,所述装置根据耦接到路由器的数据存储器中存储的网络信息选择一条或多条安全路由器路径。在一个具体实施中,所述装置通过阻止用户设备访问数据执行路由操作。在一个具体实施中,所述装置通过以下方式确定数据的敏感度等级:通过对有效负载数据执行散列计算散列值,然后使用散列值查询数据分类服务,得到数据的敏感度等级。在一个具体实施中,所述装置识别与访问请求相关联的用户设备的安全等级,并识别与访问请求要访问的目标网络相关联的安全等级,从而确定访问请求的安全上下文。在一个具体实施中,用户设备的安全等级和与目标网络相关联的安全等级存储在耦接到所述装置的数据存储器中。另外,还描述了一种将安全上下文集成到网络路由决策中的非暂态计算机可读存储介质。一种示例性非暂态计算机可读存储介质,其包括使处理设备执行如下操作的指令:识别来自用户设备对存储服务器中数据的访问请求;确定数据的敏感度等级和访问请求的安全上下文;对数据的敏感度等级和访问请求的安全上下文应用一种策略,确定针对访问请求要执行的路由操作。所述处理设备执行针对访问请求的路由操作。另外,还描述了一种将安全上下文集成到网络路由决策中的方法。在一个实施例中,一种方法包括:识别用户设备对存储服务器中数据的访问请求;确定数据的敏感度等级和访问请求的安全上下文;对数据的敏感度等级和访问请求的安全上下文应用一种策略,确定针对访问请求要执行的路由操作;执行针对访问请求的路由操作。【附图说明】通过以下详细说明以及本公开各种具体实施的附图,可以更完整地了解本公开内容。图1所示为根据各种具体实施的系统架构示例。图2所示为控制模块的具体实施的框图。图3所示为将安全上下文集成到网络路由决策中的一种方法的具体实施的流程图。图4所示为可执行本文所述一个或多个操作的示例计算机系统的框图。【具体实施方式】本文根据各种具体实施描述了将安全上下文集成到网络路由决策中的方法和装置。根据数据访问请求响应的安全上下文,通过路由器实现数据流的控制。安全上下文的实例可包括但不限于访问请求响应中数据的敏感度、与响应相关联的网络安全性、用以接收访问请求的用户设备的安全性等。例如,如果响应数据高度敏感,并且如果认为网络和/或用户设备不安全,则路由器可能会阻止高度敏感的响应数据流向用户设备。本公开的具体实施可根据响应的安全上下文选择路由,然后使用路由器自动实施策略,控制数据流。具体实施可针对不同响应选择不同的路由。具体实施能控制可实施哪些操作响应访问请求、可使用哪些用户设备和网络执行这些操作,以及可使用哪些数据执行这些操作。图1所示为示例系统架构100,本公开的具体实施可在该架构中实施。系统架构100可包括一个或多个机器130、140、160、180,一个或多个路由器110A-D、一个或多个交换机150A-B,以及通过一个或多个网络120A-C连接的一个或多个用户设备104A-B。网络120A-C可包括一个或多个局域网(LAN)、一个或多个无线网络、一个或多个移动通信网络、一个或多个广域网(WAN)(如互联网)或类似通信系统,或者此类网络的组合。网络120A-C可包括一个或多个联网设备和/或计算设备,如有线设备和无线设备。例如,网络120C可为专用网络。专用网络在下文中称为内部网络。例如,企业可在内部环境105中提供并管理内部网络120C。例如,企业可为实体但不限于任何个人、商业组织(如公司)、教育机构(如学院和大学)等。网络120A-B可为公用网络。网络120A可为W1-Fi网络。W1-Fi是一种允许电子设备通过网络以无线方式交换数据的技术。用户设备104A可为可通过无线接入点代理器132使用W1-Fi连接到网络资源(如互联网)的设备。无线接入点(WAP)代理132允许用户设备104A使用Wi_Fi或相关标准连接到有线网络。无线接入点代理132可由任何类型的计算设备托管,包括服务器计算机、网关连接计算机、台式机、笔记本电脑或类似计算设备。无线接入点代理132可创建热点,所述热点是能通过无线局域网提供互联网访问的地点,所述无线局域网使用路由器110A接入互联网服务提供商的链接。热点通常使用W1-Fi技术。在旅馆、机场、咖啡店、零售店和其他各种公共设施中都能找到热点。无线接入点代理132可由第三方(例如旅馆、机场、咖啡店、零售店、各种其他公共设施等)提供并维护。用户设备104A-B可为计算设备,如台式计算机、机顶盒、游戏机、电视机、便携式计算设备(例如,但不限于移动电话、个人数字助理(PDA)、便携式媒体播放器、上网本、笔记本电脑、电子图书阅读器等等)。所述机器140、160可包括存储服务器143A-B,用于将数据171A-B作为文件存储在存储设备(例如,数据存储器170A-B)上。所述机器140、160、180可包括但不限于任何数据处理设备,如服务器计算机、网关计算机、台式机、笔记本电脑、大型计算机、个人数字助理、手持设备或被配置用于处理数据的其他任何设备。所述存储服务器143A-B可通过一个或多个交换机150A-B耦接到网络120C。所述数据存储器170A-B可为大容量存储设备,如磁盘存储设备和光盘存储设备、固态硬盘(SSD)或硬盘驱动器。在一个具体实施中,所述系统架构100包括分布式文件系统,该分布式文件系统可为包括一个或多个机器140、160和一个或多个数据存储器170A-B的网络附加存储文件系统。存储服务器143A-本文档来自技高网...
【技术保护点】
一种方法,包括:识别用户设备对存储服务器上数据的访问请求;由路由器确定响应所述请求的响应数据的敏感度等级;由所述路由器确定所述响应的安全上下文;通过对所述响应数据敏感度等级和所述响应安全上下文应用策略,由所述路由器确定针对所述响应要执行的路由操作;由所述路由器针对所述响应执行所述路由操作。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:D·班纳吉,
申请(专利权)人:赛门铁克公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。