【技术实现步骤摘要】
【国外来华专利技术】具有安全对象复制的对象存储系统
本公开整体涉及数据存储,并且在更具体的示例中,涉及分布式数据存储。
技术介绍
通常,分布式存储系统用于以具有预定冗余级别的分布式且容错的方式存储大量(例如,太字节、拍字节、艾字节等)数据,诸如对象或文件。一些现有对象存储系统存储由对象标识符与文件系统引用的数据对象。这通常可以允许对象存储系统以灵活的方式超过文件系统的存储容量的最大极限,使得例如可以根据应用程序、系统和/或企业需求来添加或移除存储容量,同时随着系统增长而减少性能下降。因此,常常为大型存储系统选择对象存储系统。此类大型存储系统通常将对象存储系统中存储的数据对象分布在多个存储元件(诸如例如硬盘)或多个部件(诸如包括多个此类存储元件的存储节点)上。然而,随着此种分布式对象存储系统中的存储元件的数量增加,这些存储元件中的一个或多个存储元件的故障概率同样增加。为了应对该问题,分布式对象存储系统通常使用一定程度的冗余,这允许系统应对一个或多个存储元件的故障而不丢失数据。在其最简单的形式中,对象存储级别的冗余通过复制来实现,这意味着将数据对象的多个副本存储在分布式对象存储系统的多个存储元件上。当存储数据对象的副本的存储元件中的一个存储元件发生故障时,仍然可以从保持副本的另一个存储元件恢复该数据对象。在一些存储系统中,用于实现冗余的数据对象的复制由管理员监督或作为自动化系统任务进行监督,并且对于应用程序员和由存储系统支持的其它用户而言可能在很大程度上不可见。例如,在托管的存储模型中,复制过程可被设计成符合定义的服 ...
【技术保护点】
1.一种存储系统,包括:/n至少一个处理器;/n至少一个存储器,所述至少一个存储器耦接到所述至少一个处理器;/n多个存储节点,所述多个存储节点被配置为接收数据对象;/n控制器节点,所述控制器节点存储在所述至少一个存储器中并能够由所述至少一个处理器执行以与所述多个存储节点进行通信以用于读取和写入数据对象;/n验证器,所述验证器存储在所述至少一个存储器中并能够由所述至少一个处理器执行以识别用于读取在对象存储操作中请求的识别的数据对象的用户凭证,所述用户凭证具有用户类型,所述用户类型选自所有者用户类型和复制用户类型;和/n加密引擎,所述加密引擎存储在所述至少一个存储器中并能够基于所述用户类型由所述至少一个处理器选择性地执行,以在响应于所述用户类型是所述复制用户类型而从所述多个存储节点中的至少一个存储节点读取所述识别的数据对象时加密所述识别的数据对象,/n其中所述控制器节点还能够执行以读取所述识别的数据对象来执行所述对象存储操作。/n
【技术特征摘要】
【国外来华专利技术】20180612 US 16/006,8161.一种存储系统,包括:
至少一个处理器;
至少一个存储器,所述至少一个存储器耦接到所述至少一个处理器;
多个存储节点,所述多个存储节点被配置为接收数据对象;
控制器节点,所述控制器节点存储在所述至少一个存储器中并能够由所述至少一个处理器执行以与所述多个存储节点进行通信以用于读取和写入数据对象;
验证器,所述验证器存储在所述至少一个存储器中并能够由所述至少一个处理器执行以识别用于读取在对象存储操作中请求的识别的数据对象的用户凭证,所述用户凭证具有用户类型,所述用户类型选自所有者用户类型和复制用户类型;和
加密引擎,所述加密引擎存储在所述至少一个存储器中并能够基于所述用户类型由所述至少一个处理器选择性地执行,以在响应于所述用户类型是所述复制用户类型而从所述多个存储节点中的至少一个存储节点读取所述识别的数据对象时加密所述识别的数据对象,
其中所述控制器节点还能够执行以读取所述识别的数据对象来执行所述对象存储操作。
2.根据权利要求1所述的存储系统,其中:
所述验证器还能够执行以识别用于将所述识别的数据对象写入到所述多个存储节点中的至少一个存储节点的所述用户凭证;
所述存储系统还包括解密引擎,所述解密引擎存储在所述至少一个存储器中并能够基于所述用户类型由所述至少一个处理器选择性地执行,以在响应于所述用户类型是所述复制用户类型而将所述识别的数据对象写入到所述多个存储节点中的至少一个存储节点时解密所述识别的数据对象;并且
所述控制器节点还能够执行以写入所述识别的数据对象来执行所述对象存储操作。
3.根据权利要求2所述的存储系统,其中:
所述控制器节点还能够执行以从不同的存储系统接收所述识别的数据对象;并且
当所述识别的数据对象被接收时,所述识别的数据对象被加密。
4.根据权利要求3所述的存储系统,其中所述加密引擎、所述解密引擎和所述不同的存储系统各自包括公共加密密钥。
5.根据权利要求2所述的存储系统,其中:
所述验证器、所述加密引擎和所述解密引擎被包括在与所述控制器节点通信的代理应用程序中;并且
在读取或写入所述识别的数据对象之前,由所述代理应用程序处理所述对象存储操作。
6.根据权利要求2所述的存储系统,其中:
所述控制器节点还能够执行以将用于所述对象存储操作的所述用户类型设定成用于未由应用程序用户发起的系统任务的所述复制用户类型;
所述控制器节点还包括对象存储代理,所述对象存储代理被配置用于:
发送符合简单存储服务应用程序协议接口的超文本传送协议(HTTP)调用;
使用GET操作从第一存储节点读取所述识别的数据对象;以及
使用PUT操作将所述识别的数据对象写入到第二存储节点;
响应于所述用户类型是所述复制用户类型,在所述GET操作期间通过所述加密引擎选择性地路由所述识别的数据对象,并且在所述PUT操作期间通过所述解密引擎选择性地路由所述识别的数据对象;并且
所述HTTP调用被加密以用于在所述多个存储节点之间路由,而与加密引擎加密所述识别的数据对象无关。
7.根据权利要求1所述的存储系统,其中:
所述用户类型是与由所述验证器处理的所述对象存储操作相关联的标记;
所述标记的第一值为所述所有者用户类型;并且
所述标记的第二值为所述复制用户类型。
8.根据权利要求1所述的存储系统,还包括高速缓存存储器,所述高速缓存存储器用于在对象存储操作期间将所述识别的数据对象存储在所述控制器节点中,其中所述加密引擎还能够执行以在被存储在所述高速缓存存储器中之前加密所述识别的数据对象。
9.一种计算机实现的方法,包括:
发起用于读取和写入识别的数据对象的对象存储操作;
从第一存储节点读取所述识别的数据对象;
当从所述...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。