[发明专利]安全高性能多级安全数据库系统和方法

说明书

技术领域

本发明通常涉及网络系统，并更特别涉及安全高性能多级安全数据库系统和方法。

背景技术

通常，基于网络的服务和交易通常需要经由通信网络，例如互联网传输敏感数据。通过安全网关处理，并通过内网数据库存储的敏感信息的量经相同通信网络，例如国际互联网和/或任何其它类型的外网通常可访问。

这些安全网关和数据库通常缓慢处理大型数据文件(例如，元数据和数据)，并且数据文件在每个安全域(在相同协议下管理的网络上的计算机和器件集合)中经常复制以便共享，其向系统添加复杂性和配置管理问题，导致增加降低系统性能的高延迟。

结果，需要安全网关和数据库的改善的数据传送系统。

发明内容

根据一个或更多实施例，在此公开的系统和方法提供从数据分离元数据、在存储区域网络(SAN)环境中将原始数据加密和存储而在安置于多级安全网关后面的专用服务器中存储元数据，该多级安全网关控制访问SAN中特殊文件需要的授权和解密密钥。

本公开的一个或更多实施例提供减少在多级安全(MLS)信息共享环境中复制数据的需要，通过减小处理的数据的大小改善MLS网关性能，并在使用专用光纤信道从MLS数据库重获大型数据文件时改善性能，而维护并改善高保障。

本公开的一个或更多实施例减少每个安全域的分离SAN存储的需要，这在遍及安全级共享时导致大型操作的财务节省，减少数据复制的需要，并改善MLS网关控制的大型数据传送的性能。在一方面中，这允许小型元数据文件的处理以便访问控制，而不是处理大型数据文件。

根据本公开一个或更多实施例，MLS网络结构提供有效机构，从而遍及具有高保障的多个安全级共享大型数据文件。在复制数据的副本需要减少的情况下，具有多个安全分类的数据可在相同存储区域中共存，这导致在MLS环境中需要的存储的量减少。在一方面中，一旦MLS网关授权该会话，那么具有综合加密的磁盘控制器适合紧接着存储加密数据和紧接着检索解密。MLS网关通过直接控制到相关元数据的访问更有效控制到合适数据文件的访问。这改善性能并增强安全性。由于专用存储网络连接(例如，光纤信道)、解密密钥、没有元数据混合在一起的数据与适合控制到MLS SAN系统访问的高保障MLS网关提供的多层防御，因此未授权的访问显著减少。

根据本公开的一个实施例，经由一个或更多网络传送数据的系统包括适合与该一个或更多网络通信的存储区域网络(SAN)、适合经第一存储网络连接(例如，第一光纤信道)向存储区域网络发送数据的第一组件、适合经第二存储网络连接(例如，第二光纤信道)向存储区域网络发送数据的第二组件，以及适合控制第一和第二组件和存储区域网络之间的数据发送的网关组件。存储区域网络适合从数据分离元数据，并将元数据存储在安置于网关组件后面的安全服务器中。

在一方面中，存储区域网络可适合在从元数据数据库分离的另一数据库中加密和存储数据。在另一方面中，网关组件可包含适合控制访问该存储区域网络中数据的一个或更多授权和解密密钥的多级安全网关。在另一实施例中，网关组件可包含适合控制从一个或更多不同安全域访问存储区域网络中数据的多级安全网关。

在一个实施中，该系统进一步包含元数据控制器，该元数据控制器适合从数据分离元数据、在第一数据库中存储元数据，并在第二数据库中存储没有元数据的数据。信道切换机构可适合在元数据控制器和第一组件、第二组件、第一数据库和第二数据库的一个或更多之间发送数据。该信道切换机构可包括适合通过元数据控制器控制的一个或更多共享的存储网络端口，并且使用该共享的存储网络端口通过元数据控制器监视。该共享的存储网络端口可通过元数据控制器启动以便使用，并且该共享存储网络端口可在不使用时通过元数据控制器禁用。

本发明的范畴通过包括在该章节作为参考的权利要求定义。通过考虑下面的一个或更多实施例的详细描述，向本领域技术人员给予本公开实施例的更完整理解及其额外优点的实现。对首先简要描述的附图做出参考。

附图说明

图1示出根据本公开实施例的保护网络数据的系统的框图。

图2示出根据本公开实施例的安全数据库系统的框图。

图3示出根据本公开实施例的多级安全系统的框图。

图4A-4R示出根据本公开一个或更多实施例在多个主机中共享数据的处理中各种操作。

图5示出实施本公开一个或更多实施例的计算机/控制器系统的框图。

本公开的实施例和它们的优点通过参考下面的详细描述最优理解。应认识到相似参考号用来确认在附图的一个或更多中图解的相似器件。

具体实施方式