存储资源的安全共享制造技术

提供了一种计算机系统(100)，该计算机系统(100)允许基础设施即服务(IaaS)系统的多个不同用户共享存储设施(500)，同时保持用户之间的安全性分隔。还提供了一种被配置为在计算机系统中使用的控制器(150)以及相应的方法和计算机程序。计算机系统(100)包括逻辑块(101)和控制器(150)，该逻辑块(101)包括一个或多个执行指令的处理单元，该逻辑块(101)被配置为通过第一接口(102)发出从存储器读取和向存储器写入的请求，该控制器被配置为：实现到存储器(500)的通信链路；实现到第二计算机系统(200)的通信链路(300)，并从第二计算机系统(200)接收标识逻辑块(101)的当前用户的信息；以及通过第一接口(102)从逻辑块(101)接收从存储器读取和向存储器写入的请求并完成请求。第一接口(102)是逻辑块(101)与控制器(150)之间的专用物理接口，由此控制器(150)可以确定通过第一接口(102)的通信是与逻辑块(101)的通信。控制器(150)被配置为使用由第二计算机系统(200)标识的逻辑块(101)的当前用户被允许使用的存储器(500)的一个或多个存储位置来完成从存储器读取和向存储器写入的请求。

【技术实现步骤摘要】
【国外来华专利技术】存储资源的安全共享
本专利技术涉及用于安全地共享由多个不同用户使用的存储资源的计算机系统和方法。
技术介绍
基础设施即服务(IaaS)由诸如Compute和等各种“云”提供商提供。利用IaaS服务，物理计算基础设施的中央池在安全性分隔(separation)的情况下由多个独立客户(或“用户”)使用，以确保任何给定客户的数据和进程(process)与任何其他客户的数据和进程隔离开。这种隔离(isolation)需要在任何给定时间点和不同时间点都适用。这是因为一个客户(客户A)在第一时间(T1)使用的计算基础结构可能随后被另一个客户(客户B)在稍后的时间(T2)使用。客户B的进程必须不能访问客户A的数据，或者客户A的进程必须不能持续到时间T2并获得对客户B的数据的访问(或修改客户B的进程的行为)。现有的IaaS使用虚拟化层或虚拟机监控程序层(hypervisorlayer)来实施这种隔离。虚拟化技术允许IaaS提供商限定隔离的“虚拟机”，每个虚拟机可以由不同的客户使用。除了在任何给定的时间点相互隔离虚拟机之外，虚拟化技术还负责通过实本文档来自技高网...

【技术保护点】
1.一种在服务器系统中使用的计算机系统(100)，所述服务系统向多个不同的用户提供计算资源，所述计算机系统包括：/n逻辑块(101)，包括执行指令的一个或多个处理单元，所述逻辑块被配置为通过第一接口(102)发出从存储器读取和向存储器写入的请求；以及/n控制器(150)，其被配置为：/n实现到存储器(500)的通信链路；/n实现到第二计算机系统(200)的通信链路(300)，并从第二计算机系统接收标识逻辑块的当前用户的信息；以及/n通过第一接口从逻辑块接收从存储器读取和向存储器写入的请求，并完成请求；/n其中，所述第一接口(102)是逻辑块与控制器之间的专用物理接口，由此所述控制器能够确定通过...

【技术特征摘要】
【国外来华专利技术】20180112 GB 1800530.61.一种在服务器系统中使用的计算机系统(100)，所述服务系统向多个不同的用户提供计算资源，所述计算机系统包括：
逻辑块(101)，包括执行指令的一个或多个处理单元，所述逻辑块被配置为通过第一接口(102)发出从存储器读取和向存储器写入的请求；以及
控制器(150)，其被配置为：
实现到存储器(500)的通信链路；
实现到第二计算机系统(200)的通信链路(300)，并从第二计算机系统接收标识逻辑块的当前用户的信息；以及
通过第一接口从逻辑块接收从存储器读取和向存储器写入的请求，并完成请求；
其中，所述第一接口(102)是逻辑块与控制器之间的专用物理接口，由此所述控制器能够确定通过第一接口的通信是与逻辑块的通信；以及
其中，所述控制器被配置为使用由第二计算机系统标识的逻辑块的当前用户被允许使用的存储器的一个或多个存储位置来完成从存储器读取和向存储器写入的请求。


2.根据权利要求1所述的计算机系统，其中，所述控制器被配置为响应于从第二计算机系统接收到标识逻辑块的后续用户的信息而使用逻辑块的后续用户被允许使用的存储器的一个或多个预定存储位置完成来自逻辑块的从存储器读取和向存储器写入的请求。


3.根据权利要求1或权利要求2所述的计算机系统，还包括：所述逻辑块与控制器之间的控制连接，其中，所述控制器被配置为使用所述控制连接来上电或复位逻辑块。


4.根据权利要求3所述的计算机系统，其中，所述控制器被配置为响应于从第二计算机系统接收到用于上电或复位逻辑块的指令而上电或复位逻辑块。


5.根据权利要求3或4所述的计算机系统，其中，所述控制器被配置为响应于从第二计算机系统接收到配置逻辑块以供逻辑块的后续用户使用的指令而上电或复位逻辑块。


6.根据权利要求5所述的计算机系统，其中，配置逻辑块以供后续用户使用的所述指令包括标识逻辑块的后续用户的信息。


7.根据权利要求5或权利要求6所述的计算机系统，其中，配置逻辑块以供后续用户使用的所述指令包括用于所述控制器在复位逻辑块之前停止从逻辑块向存储器传送从存储器读取和向存储器写入的请求。


8.根据前述权利要求中的任一项所述的计算机系统，其中，所述逻辑块被配置为当所述逻辑块通过第一接口发出从存储器读取和向存储器写入的请求时指定一个或多个预定存储位置，并且其中，所述控制器被配置为将由逻辑块指定的预定存储位置转换为由第二计算机系统标识的逻辑块的用户被允许使用的用户特定的存储位置，并使用所述用户特定的存储位置完成请求。


9.根据权利要求8所述的计算机系统，其中，所述逻辑块在逻辑上硬接线以在所述逻辑块发出从存储器读取和向存储器写入的请求时指定所述一个或多个预定存储位置。


10.根据权利要求1至7中的任一项所述的计算机系统，其中，所述控制器被配置为向逻辑块提供由第二计算机系统标识的逻辑块的当前用户被允许使用的用户特定的存储位置，并且其中，所述逻辑块被配置为在所述逻辑块发出从存储器读取和向存储器写入的请求时指定所述用户特定的存储位置。


11.根据权利要求10所述的计算机系统，其中，所述控制器还被配置为验证由逻辑块指定的存储位置匹配于与由第二计算机系统标识的逻辑块的当前用户相关联的用户特定的存储位置。


12.根据权利要求10或11所述的计算机系统，其中，所述逻辑块被配置为在逻辑块的上电或复位时从控制器请求所述逻辑块被允许使用的用户特定的存储位置。


13.根据权利要求12所述的计算机系统，其中，所述逻辑块在逻辑上硬连线以在逻辑块的上电或复位时从控制器请求所述逻辑块被允许使用的用户特定的存储位置。


14.根据前述权利要求中的任一项所述的计算机系统，其中，所述控制器包括用于与网络进行通信的网络接口，并且其中，所述控制器被配置为通过第一接口将经由网络接口从网络接收的网络数据发送至逻辑块，并且经由网络接口将通过第一接口从逻辑块接收的网络数据发送至网络。


15.根据权利要求14所述的计算机系统，其中，所述控制器被配置为根据由第二计算机系统标识的逻辑块的当前用户，对通过第一接口发送到逻辑块和从逻辑块接收的网络数据施加预定的用户特定的网络访问规则。


16.根据权利要求14或15所述的计算机系统，其中，所述逻辑块被配置为通过第一接口发送和接收网络数据。


17.根据权利要求14至16中的任一项所述的计算机系统，其中，所述逻辑块被配置为根据第一通信协议通过第一接口发出从存储器读取和向存储器写入的请求，并且其中，所述逻辑块被配置为根据第二通信协议通过第一接口发送和接收网络数据。


18.根据权利要求17所述的计算机系统，其中，所述第一通信协议和第二通信协议在所述第一接口上被复用。


19.根据权利要求17所述的计算机系统，其中，所述第一通信协议经由第二通信协议被隧道化，或者其中，所述第二通信协议经由第一通信协议被隧道化。


20.根据权利要求14或15所述的计算机系统，其中，所述逻辑块被配置为通过逻辑块与控制器之间的第二接口来发送和接收网络数据。


21.根据权利要求14至20中的任一项所述的计算机系统，其中，所述存储器包括基于网络的存储器，并且其中，所述控制器可以被配置为通过网络接口使用基于网络的存储器完成从存储器读取和向存储器写入的请求。


22.根据前述权利要求中的任一项所述的计算机系统，其中，所述逻辑块被配置为在逻辑块的...

【专利技术属性】
技术研发人员：H·哈里森，D·加菲尔德，
申请(专利权)人：格里森技术有限责任公司，
类型：发明
国别省市：英国;GB