一种连续接入网关,为远程移动计算用户提供集中存储数据的安全存取,不需要进行VPN连接或直接连接到数据所属的LAN。缓存服务器单独运行,或与连续接入网关结合使用,以提供集中存储数据的分布式存取。所述缓存服务器对集中存储数据的去重版本进行本地存储,并可与连续接入网关交互,以保持缓存与集中数据存储器的一致性。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及对集中存储的数据提供数据存取,特别地,涉及对集中存储的数据提供安全有效的存取。
技术介绍
传统数据存储系统被设计为用于集中存储、管理和搜索。这种系统的实例包括备份服务器、文件服务器、文档存储库(例如,SharePoint、Documentum等)。这些系统一般位于防火墙之后的企业数据中心内,仅可用于通过LAN (局域网)或通过通常在诸如因特网的WAN (wide are network,广域网)上的 VPN (virtual private network,虚拟私有网络)与企业网络连接的用户。保持数据集中较为困难,因为有几点需要考虑:(I)远程站点的激增、(2)移动用户的存在、(3)智能手机及其他移动设备的激增。首先,需要存取可能集中存储的数据的公司可能有多个远程站点。这些站点可通过专用WAN连接或通过因特网上的VPN与中心站点连接。但是,若WAN连接的延迟,通过WAN从中心站点存取数据可能较为困难或缓慢。第二,公司可能有移动和远程用户,这些用户与因特网连接时不一定通过VPN连接与中心站点连接。第三,这些远程用户中的许多用户可能使用诸如智能手机和平板电脑的移动设备,其不具备通过VPN连接的能力,或其连接为间歇性连接。
技术实现思路
本文所述的方法和系统可用于从并非通过VPN或LAN与企业网络直接连接的设备对一个或多个防火墙后的,例如,企业数据中心中的集中存储数据进行安全、可靠、有效和泛在存取。本文所述的某些实施方式具有两个主要装置:连续接入网关和去重数据缓存服务器。连续梓入网关连续接入网关(Constant Access Gateway, CAG)可提供以下优点:1.对企业数据的泛在、安全存取,不需要进行VPN连接或打开任何进入防火墙端n2.用现有认证机制进行多级和多因素认证3.内置 加密4.支持多个同时连接的可扩展系统5.逻辑数据流方向的可配置存取,支持流入或流出,或两者均支持6.基于用户、位置或其他可识别元数据的可配置存取去重数据缓存服务器去重数据缓存服务器(下文称为“缓存服务器”)包括以唯一数据对象或唯一数据块的形式存储的数据的去重存储库。所述数据为基于缓存服务器服务的站点的存取需求而智能化建立和管理的缓存。缓存服务器的某些特征为:1.分布式缓存:缓存服务器可分布在除中心站点之外的一个或多个远程站点中,使数据存取更快更可靠;2.去重数据:所有数据都以去重形式存储,确保每个站点中仅存储唯一对象或唯一块。这使数据存储更有效,并增加了可存储于缓存服务器的每个站点的有用数据的量;3.WAN效能:仅将唯一块或唯一对象传输给缓存服务器;4.缓存缺失的智能处理:系统保留各个潜在数据源的图。在请求的数据并非处于缓存之内的情况下(“缓存缺失”),缓存服务器可基于成本、延迟和/或其他因素从最可用来源中检索缺失数据;5.数据块的预填充:系统支持在需要数据块之前将其推出,以加快远程站点中的预期未来存取;6.数据块的刷新:系统支持基于自定义安全策略、缓存中数据块的龄期和/或其他因素在远程缓存服务器中刷新数据。附图说明 为了更完整地理解本专利技术,现在将结合附图参考以下说明,在附图中:图1为根据特定实施方式的连续接入网关的示例部署的网络图。图2为根据特定实施方式的连续接入网关和去重数据缓存服务器的示例部署的网络图。图3为根据特定实施方式的连续接入网关的示例部署的流程图。具体实施例方式连续梓入网关如图1所示,连续接入网关(Constant Access Gateway, CAG) 100使数据以安全的、认证的和基于策略的方式传输到防火墙102后的数据存储器104,和从防火墙102后的数据存储器104传输。CAG可基于软件和/或硬件,具有到可用于实施本专利技术中所描述的能力的一个或多个处理器和存储器的入口。CAG100可置于防火墙102与因特网108之间的DMZ (非军事区)内,可替代地,其可置于可通过公共IP地址可达因特网上的任何位置。连梓讨稈移动或远程设备106连接到因特网108。这些设备可包括便携数字助理(PDA)、膝上型计算机、蜂窝电话、平板电脑、远程站点上的服务器和其他计算设备。移动或远程设备位于防火墙102之外,因此在不打开防火墙102上的进入端口的情况下,无法直接访问数据存储器104,打开防火墙102上的进入端口存在安全风险。相反,CAG100起移动设备106与数据存储器104之间的代理的作用。CAG100具有数据存储器104的私有接口,还具有因特网108的接口。这种设置使CAG能在移动设备与数据存储器104之间创建“虚拟连接”,具体如下:1.数据存储器104与在防火墙后启动的CAG100建立出站连接。该连接称为控制信道,并用于在CAG100与数据存储器104之间进行消息传输。CAG100与数据存储器104之间的某些或所有通信都通过初始安全密钥交换进行加密;2.CAG100对数据存储器104的连接进行认证,以验证(validate)数据存储器104有权连接至CAG100。该认证可使用预先分配的令牌、证书、用户名/密码组合或其他认证机制进行;3.移动或远程设备发起至CAG100的连接,请求连接到数据存储器104。移动设备可利用标准因特网浏览器或专门被配置为使能该连接的其他软件进行连接;4.CAG100认证该请求,以检验发送者的身份,并确定是否对被请求连接授权。认证/授权将在下文详细说明;5.如果连接请求被授权,CAG100首先将连接请求添加到内部队列,为其分配唯一标识符。CAG随后将连接请求在安全控制信道上转发给数据存储器104,至少利用分配的唯一标识符识别请求;6.在控制信道上接收到请求时,数据存储器104先根据各种因素对请求进行认证和授权;a.请求连接的设备是否被授权通过CAG进行连接b.请求连 接的设备是否已提供了必要的认证信息,例如:用户名/密码、设备访问令牌或其他相似的认证机制;7.认证后,数据存储器104确定请求连接的移动或远程设备可用的资源,将这些资源发布给设备,随后向CAG100发起出站连接请求,用唯一标识符识别该请求;8.从数据存储器接收到出站连接请求后,CAG100利用唯一标识符在其内部队列中找到未决连接的匹配。在找到匹配后,CAG100将CAG和移动设备之间的连接与CAG和数据存储器之间的连接“接合”在一起。网关100随后通知移动设备106,到数据存储器104的虚拟连接可用;9.虚拟连接建立之后,CAG100将来自移动设备的所有数据路由到数据存储器104,并将来自数据存储器的所有数据路由到移动设备。因此,移动设备和数据存储器可互相通信,好像它们通过套接字连接而直接连接一样。图3示出了在移动设备300与数据中心301之间建立虚拟连接的过程。首先,数据中心使用作为配置的一部分而指定的连接参数建立到CAG303的出站连接302。这在数据中心301与CAG303之间建立安全控制信道。随后,当移动设备300连接到CAG303时,CAG通过已经建立的安全控制信道与数据中心301通信。如果移动设备300的用户为授权用户,且策略设置允许通过CAG进行远程连接,则接受连接。否则,拒绝连接。如果移动设备300的用户为授权用户,则数据中心301为该用户建立到CAG303的专用连接304,从而在移动设备本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:普恩尼什·希奥德赫里,桑贾伊·贾殷,
申请(专利权)人:科派恩股份有限公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。