專利名稱:避免安全沖突的協(xié)調(diào)網(wǎng)絡(luò)啟動(dòng)器管理的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù),尤其涉及一種機(jī)制,在其中密切地協(xié)調(diào)對(duì)負(fù)責(zé)與網(wǎng)絡(luò)化目標(biāo)設(shè)備進(jìn)行通信的啟動(dòng)器的安全配置以避免安全沖突。
背景技術(shù):
計(jì)算技術(shù)已改變了我們工作和游戲的方式。在典型的配置中,計(jì)算系統(tǒng)通過局部總線耦合至各種硬件設(shè)備用于優(yōu)化操作。這類設(shè)備可包括,例如,磁和/或光盤驅(qū)動(dòng)器、打印機(jī)、傳真機(jī)、掃描儀、照相機(jī)等等。計(jì)算系統(tǒng)使用由硬件設(shè)備認(rèn)可的標(biāo)準(zhǔn)通信協(xié)議與連接的硬件設(shè)備的每一個(gè)進(jìn)行通信。
一種用于在計(jì)算系統(tǒng)與其各種連接的硬件設(shè)備之間進(jìn)行通信的常用通信協(xié)議是并行接口標(biāo)準(zhǔn),稱為“小型計(jì)算機(jī)系統(tǒng)接口”(簡(jiǎn)稱“SCSI”)。SCSI允許計(jì)算系統(tǒng)與其各種外圍設(shè)備之間進(jìn)行有效的數(shù)據(jù)塊傳輸。然而,SCSI的確具有某些限制。具體地,使用SCSI的數(shù)據(jù)傳輸與其它數(shù)據(jù)傳輸機(jī)制相比相對(duì)較慢。此外,與龐大的網(wǎng)絡(luò)相比,SCSI的電纜長(zhǎng)度相對(duì)較短。因此,如果以最純的形式采用SCSI,則硬件設(shè)備通常必須靠近計(jì)算系統(tǒng)。
對(duì)SCSI的一種實(shí)現(xiàn)被稱為“因特網(wǎng)SCSI”(簡(jiǎn)稱“iSCSI”)。iSCSI是一種標(biāo)準(zhǔn),它允許標(biāo)準(zhǔn)SCSI命令和響應(yīng)通過諸如以太網(wǎng)和因特網(wǎng)等任一基于IP的網(wǎng)絡(luò)來傳遞。計(jì)算系統(tǒng)包括一“啟動(dòng)器”(可以是硬件或軟件),它使用iSCSI標(biāo)準(zhǔn)啟動(dòng)與目標(biāo)設(shè)備的通信。具體地,如需要,對(duì)SCSI消息進(jìn)行分段,并使用因特網(wǎng)協(xié)議(IP)頭進(jìn)行封裝,其中,正確地分段且封裝的SCSI消息通過IP網(wǎng)絡(luò)發(fā)送。目標(biāo)設(shè)備然后使用基于IP網(wǎng)絡(luò)上的iSCSI標(biāo)準(zhǔn)提取并執(zhí)行SCSI命令,然后返回響應(yīng),如果有的話。
iSCSI標(biāo)準(zhǔn)允許SCSI命令較長(zhǎng)距離地傳送。因此,目標(biāo)設(shè)備可以遠(yuǎn)離其關(guān)聯(lián)的計(jì)算系統(tǒng)或系統(tǒng)。因此,目標(biāo)設(shè)備可以更容易地被共享,并且不需要弄亂關(guān)聯(lián)的計(jì)算系統(tǒng)所占用的本地空間。另外,許多典型的IP網(wǎng)絡(luò)以高頻操作。iSCSI甚至可以支持在每秒千兆比特的范圍內(nèi)操作的以太網(wǎng)。因此,iSCSI即使在較長(zhǎng)距離上允許比簡(jiǎn)單地使用SCSI通常所允許的更高速的數(shù)據(jù)傳輸。
然而,通過基于IP的網(wǎng)絡(luò)傳輸iSCSI命令比通過局部總線簡(jiǎn)單地使用SCSI引入更大的安全威脅。例如,iSCSI命令可能被截取、竊聽或劫走。因此,對(duì)于敏感的iSCSI通信,通常使用與IP調(diào)用的IPSec兼容的安全標(biāo)準(zhǔn),用于消息的驗(yàn)證和/或加密。
然而,IPSec具有許多安全配置選項(xiàng)。例如,IPSec支持多種加密算法、包括關(guān)于要加密消息的哪一部分以及要采用哪種類型的驗(yàn)證的選項(xiàng)。必須使用適當(dāng)?shù)腎PSec安全信息配置負(fù)責(zé)與目標(biāo)設(shè)備進(jìn)行通信的啟動(dòng)器,以使該通信如所期望地被保護(hù)并可由目標(biāo)設(shè)備解釋。在具有多個(gè)啟動(dòng)器的計(jì)算系統(tǒng)中,通常不考慮該計(jì)算系統(tǒng)中的其它啟動(dòng)器的安全配置來配置啟動(dòng)器。因此,有時(shí)候在啟動(dòng)器的安全配置之間引起沖突。這些沖突可能會(huì)使啟動(dòng)器不像所預(yù)期地那樣起作用,或者甚至完全不起作用。當(dāng)由不同的銷售商供應(yīng)啟動(dòng)器時(shí),這類沖突的風(fēng)險(xiǎn)將尤其重大。
因此,在其中計(jì)算系統(tǒng)上的多個(gè)啟動(dòng)器可以使用安全信息以一個(gè)啟動(dòng)器的安全信息不與任一其它啟動(dòng)器的安全信息沖突的方式來正確配置的機(jī)制將是有利的。
發(fā)明內(nèi)容
本領(lǐng)域的現(xiàn)有狀態(tài)的上述問題由本發(fā)明的原理克服,本發(fā)明是針對(duì)一種抽象模塊,該模塊以在所有的啟動(dòng)器安全信息中沒有沖突的方式來方便若干個(gè)驅(qū)動(dòng)器之間的安全配置。每一啟動(dòng)器可使用由硬件設(shè)備認(rèn)可的諸如iSCSI等具體標(biāo)準(zhǔn)建立與一個(gè)或多個(gè)目標(biāo)硬件設(shè)備的通信。
該抽象模塊展示一種可用于配置任一啟動(dòng)器的公用接口。抽象模塊通過這一公用接口接收指示,該指示表示要配置所選擇的一個(gè)啟動(dòng)器來與所選擇的目標(biāo)設(shè)備進(jìn)行通信。例如,可以響應(yīng)于來自應(yīng)用或用戶與所選擇的目標(biāo)設(shè)備進(jìn)行通信的明確請(qǐng)求來提供該指示??蛇x地,也可以在與所選擇的目標(biāo)設(shè)備進(jìn)行通信的明確的應(yīng)用或用戶請(qǐng)求之前來提供該指示。例如,可以在初始化計(jì)算機(jī)系統(tǒng)時(shí)接收該指示。例如,目標(biāo)設(shè)備可以是磁和/或光盤驅(qū)動(dòng)器、打印機(jī)、傳真機(jī)、掃描儀、照相機(jī)等等。
抽象模塊然后從一公用數(shù)據(jù)庫(kù)中檢索安全信息,該數(shù)據(jù)庫(kù)包括與對(duì)多個(gè)啟動(dòng)器的任何一個(gè)配置安全相關(guān)的信息。該數(shù)據(jù)庫(kù)可以是,例如,MICROSOFTACTIVE DIRECTORY或ISNS數(shù)據(jù)庫(kù)。安全信息可以是,例如,IPSec安全配置設(shè)置。
抽象模塊然后使用檢索的安全信息為選擇的啟動(dòng)器標(biāo)識(shí)安全配置。標(biāo)識(shí)的安全配置信息甚至可以與所檢索的安全信息相同,而不作出任何操縱。如果抽象模塊確定所標(biāo)識(shí)的配置設(shè)置不會(huì)導(dǎo)致與其它啟動(dòng)器的任一個(gè)的沖突,則抽象模塊使用標(biāo)識(shí)的安全配置來配置所選擇的啟動(dòng)器。因此,可以配置所選擇的啟動(dòng)器以與目標(biāo)硬件設(shè)備進(jìn)行通信,而不降低其它啟動(dòng)器通信的能力。
下文將描述本發(fā)明的另外的特征,通過閱讀描述,能夠部分清楚本發(fā)明的另外的特征,或通過本發(fā)明的實(shí)踐學(xué)到。本發(fā)明的特征和優(yōu)點(diǎn)可以通過所附權(quán)利要求書中特別指出的儀器和組合來實(shí)現(xiàn)并獲取。閱讀以下描述和所附權(quán)利要求書,可以完全明白本發(fā)明的這些和其它特征,或者可以通過后文所陳述的本發(fā)明的實(shí)踐學(xué)到。
為描述能獲取本發(fā)明的上述和其它特征的方式,參考在附圖中說明的特定實(shí)施例來對(duì)上文簡(jiǎn)要描述的本發(fā)明進(jìn)行更具體的描述。應(yīng)當(dāng)理解,這些附圖僅描述了本發(fā)明的典型實(shí)施例,因此不應(yīng)考慮為對(duì)其范圍的限制,通過使用附圖以額外的特征和細(xì)節(jié)描述并解釋本發(fā)明,附圖中圖1示出了可以實(shí)現(xiàn)本發(fā)明的特征的合適的計(jì)算系統(tǒng)。
圖2示出了一個(gè)網(wǎng)絡(luò)環(huán)境,其中啟動(dòng)器抽象模塊以在每一啟動(dòng)器的安全設(shè)置之間沒有沖突的方式對(duì)每一啟動(dòng)器配置安全設(shè)置;以及圖3示出了依照本發(fā)明的原理用于啟動(dòng)器抽象模塊對(duì)每一啟動(dòng)器配置安全設(shè)置的方法的流程圖。
具體實(shí)施例方式
本發(fā)明的原理涉及一種以橫跨所有啟動(dòng)器在安全信息中沒有沖突的方式在多個(gè)啟動(dòng)器之中方便安全配置的抽象模塊。每一啟動(dòng)器使用一具體標(biāo)準(zhǔn)建立與一個(gè)或多個(gè)目標(biāo)硬件設(shè)備的通信。抽象模塊展現(xiàn)可用于配置任一啟動(dòng)器的公用接口。
抽象模塊通過這一公用接口接收指示,該指示表示要配置一個(gè)啟動(dòng)器配置以與所選擇的目標(biāo)設(shè)備進(jìn)行通信,并從一公用數(shù)據(jù)庫(kù)檢索安全信息,該數(shù)據(jù)庫(kù)包括與對(duì)多個(gè)啟動(dòng)器的任一個(gè)配置安全相關(guān)的信息。抽象模塊使用檢索的信息對(duì)所選擇的啟動(dòng)器標(biāo)識(shí)安全配置,并且如果關(guān)聯(lián)的安全設(shè)置不會(huì)導(dǎo)致與其它啟動(dòng)器的任一個(gè)的沖突,則使用標(biāo)識(shí)的安全配置來配置所選擇的啟動(dòng)器。因此,可以配置所選擇的啟動(dòng)器以與目標(biāo)硬件設(shè)備進(jìn)行通信,而不降低其它啟動(dòng)器進(jìn)行通信的能力。
本發(fā)明范圍內(nèi)的實(shí)施例包括用于承載或在其上儲(chǔ)存計(jì)算機(jī)可執(zhí)行指令或數(shù)據(jù)結(jié)構(gòu)的計(jì)算機(jī)可讀媒質(zhì)。這類計(jì)算機(jī)可讀媒質(zhì)可以是可由通用或?qū)S糜?jì)算機(jī)訪問的任一可用媒質(zhì)。作為示例而非局限,這類計(jì)算機(jī)可讀媒質(zhì)可包括物理計(jì)算機(jī)可讀媒質(zhì),如RAM、ROM、EEPROM、CD-ROM或其它光盤存儲(chǔ)、磁盤存儲(chǔ)或其它磁存儲(chǔ)設(shè)備、或可用來以計(jì)算機(jī)可執(zhí)行指令或數(shù)據(jù)結(jié)構(gòu)的形式攜帶或儲(chǔ)存所期望的的程序代碼手段并可由通用或?qū)S糜?jì)算機(jī)訪問的任意其它媒質(zhì)。
當(dāng)通過網(wǎng)絡(luò)或另一通信連接(或者硬布線、或者無線、或硬布線和無線的組合)向計(jì)算機(jī)傳輸或提供信息時(shí),計(jì)算機(jī)適當(dāng)?shù)貙⒃撨B接視為計(jì)算機(jī)可讀媒質(zhì)。由此,任一這類連接適當(dāng)?shù)胤Q為計(jì)算機(jī)可讀媒質(zhì)。上述的組合也應(yīng)當(dāng)包括在計(jì)算機(jī)可讀媒質(zhì)的范圍內(nèi)。計(jì)算機(jī)可執(zhí)行指令包括,如,促使通用計(jì)算機(jī)、專用計(jì)算機(jī)或?qū)S锰幚碓O(shè)備執(zhí)行某些功能或功能組的指令和數(shù)據(jù)。計(jì)算機(jī)可執(zhí)行指令可以是,例如,二進(jìn)制、諸如匯編語(yǔ)言的中間格式指令或甚至是源代碼。盡管并非所需,但本發(fā)明將在計(jì)算機(jī)可執(zhí)行指令的一般上下文環(huán)境中描述,計(jì)算機(jī)可執(zhí)行指令如程序模塊,由網(wǎng)絡(luò)環(huán)境中的計(jì)算機(jī)執(zhí)行。一般而言,程序模塊包括例程、程序、對(duì)象、組件、數(shù)據(jù)結(jié)構(gòu)等等,執(zhí)行特定的任務(wù)或?qū)崿F(xiàn)特定的抽象數(shù)據(jù)類型。
本領(lǐng)域的技術(shù)人員可以理解,本發(fā)明可以在具有多種類型計(jì)算機(jī)系統(tǒng)構(gòu)造的網(wǎng)絡(luò)計(jì)算環(huán)境中實(shí)踐,包括個(gè)人計(jì)算機(jī)、手持式設(shè)備、多處理器系統(tǒng)、基于微處理器或可編程消費(fèi)者電子設(shè)備、網(wǎng)絡(luò)PC、小型機(jī)、大型機(jī)等等。本發(fā)明也可以在分布式計(jì)算環(huán)境中實(shí)踐,其中,任務(wù)由通過通信網(wǎng)絡(luò)連接(或者通過硬布線鏈路、或者通過無線鏈路、或通過硬布線或無線鏈路的組合)的本地和遠(yuǎn)程處理設(shè)備來執(zhí)行。在分布式計(jì)算環(huán)境中,程序模塊可以位于本地和遠(yuǎn)程存儲(chǔ)器存儲(chǔ)設(shè)備中。
圖1以常規(guī)計(jì)算機(jī)120形式示出了可在其中采用本發(fā)明的原理的合適的計(jì)算環(huán)境。計(jì)算機(jī)120包括處理單元121、系統(tǒng)存儲(chǔ)器122以及將包括系統(tǒng)存儲(chǔ)器122的各類系統(tǒng)組件耦合至處理單元121的系統(tǒng)總線123。
系統(tǒng)總線123可以是若干種總線結(jié)構(gòu)類型的任一種,包括存儲(chǔ)器總線或存儲(chǔ)器控制器、外圍總線以及使用各類總線結(jié)構(gòu)的局部總線。系統(tǒng)存儲(chǔ)器包括只讀存儲(chǔ)器(ROM)124和隨機(jī)存取存儲(chǔ)器(RAM)125?;据斎?輸出系統(tǒng)(BIOS)126,包含如在啟動(dòng)時(shí)協(xié)助在計(jì)算機(jī)120內(nèi)的元件之間傳輸信息的基本例程,可儲(chǔ)存在ROM 124中。
計(jì)算機(jī)120也可包括用于對(duì)磁硬盤139進(jìn)行讀寫的磁硬盤驅(qū)動(dòng)器127、用于對(duì)可移動(dòng)磁盤129進(jìn)行讀寫的磁盤驅(qū)動(dòng)器128以及用于對(duì)可移動(dòng)光盤131如CD-ROM或其它光媒質(zhì)進(jìn)行讀寫的光盤驅(qū)動(dòng)器130。磁硬盤驅(qū)動(dòng)器127、磁盤驅(qū)動(dòng)器128以及光盤驅(qū)動(dòng)器130分別通過硬盤驅(qū)動(dòng)器接口132、磁盤驅(qū)動(dòng)器接口133和光盤驅(qū)動(dòng)器接口134連接至系統(tǒng)總線123。驅(qū)動(dòng)器及其相關(guān)的計(jì)算機(jī)可讀媒質(zhì)為計(jì)算機(jī)120提供了計(jì)算機(jī)可執(zhí)行指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊和其它數(shù)據(jù)的非易失存儲(chǔ)。盡管這里描述的示例環(huán)境采用了磁硬盤139、可移動(dòng)磁盤129以及可移動(dòng)光盤131,然而也可以使用用于儲(chǔ)存數(shù)據(jù)的其它類型的計(jì)算機(jī)可讀媒質(zhì),包括盒式磁帶、閃存卡、數(shù)字視頻盤、Bernoulli盒式磁盤、RAM、ROM等等。
包括一個(gè)或多個(gè)程序模塊的程序代碼手段可儲(chǔ)存在硬盤139、磁盤129、光盤131、ROM 124或RAM 125中,包括操作系統(tǒng)135、一個(gè)或多個(gè)應(yīng)用程序136、其它程序模塊137以及程序數(shù)據(jù)138。用戶可以通過鍵盤140、定位設(shè)備142或其它輸入設(shè)備(未示出),如麥克風(fēng)、操縱桿、游戲墊、圓盤式衛(wèi)星天線、掃描儀等等向計(jì)算機(jī)120輸入命令和信息。這些和其它輸入設(shè)備通常通過耦合至系統(tǒng)總線123的串行端口接口146連接到處理單元121。可選地,輸入設(shè)備也可以通過其它接口連接,如并行端口、游戲端口或通用串行總線(USB)。監(jiān)視器147或另一顯示設(shè)備也通過接口,如視頻適配器148連接到系統(tǒng)總線123。除監(jiān)視器之外,個(gè)人計(jì)算機(jī)通常包括其它外圍輸出設(shè)備(未示出),如揚(yáng)聲器和打印機(jī)。
計(jì)算機(jī)120可以在使用到一個(gè)或多個(gè)遠(yuǎn)程計(jì)算機(jī),如遠(yuǎn)程計(jì)算機(jī)149a和149b的邏輯連接的網(wǎng)絡(luò)化環(huán)境中操作。遠(yuǎn)程計(jì)算機(jī)149a和149b的每一個(gè)可以是另一個(gè)人計(jì)算機(jī)、服務(wù)器、路由器、網(wǎng)絡(luò)PC、對(duì)等設(shè)備或其它公用網(wǎng)絡(luò)節(jié)點(diǎn),并通常包括許多或所有上述與計(jì)算機(jī)120相關(guān)的元件,盡管在圖1中僅示出了存儲(chǔ)器存儲(chǔ)設(shè)備150a和150b及其關(guān)聯(lián)的應(yīng)用程序136a和136b。圖1描述的邏輯連接包括局域網(wǎng)(LAN)151和廣域網(wǎng)(WAN)152,這里示出作為示例而非局限。這類網(wǎng)絡(luò)環(huán)境常見于辦公室范圍或企業(yè)范圍計(jì)算機(jī)網(wǎng)絡(luò)、內(nèi)聯(lián)網(wǎng)以及因特網(wǎng)。
當(dāng)在LAN網(wǎng)絡(luò)環(huán)境中使用時(shí),計(jì)算機(jī)120通過網(wǎng)絡(luò)接口或適配器153連接至局域網(wǎng)151。當(dāng)在廣域網(wǎng)網(wǎng)絡(luò)環(huán)境中使用時(shí),計(jì)算機(jī)120可包括調(diào)制解調(diào)器154、無線鏈路或其它裝置,用于通過廣域網(wǎng)152,如因特網(wǎng)建立通信。調(diào)制解調(diào)器154可以是內(nèi)置或外置的,通過串行端口接口146連接至系統(tǒng)總線123。在網(wǎng)絡(luò)化環(huán)境中,描述的與計(jì)算機(jī)120相關(guān)的程序模塊或其部分可儲(chǔ)存在遠(yuǎn)程存儲(chǔ)器存儲(chǔ)設(shè)備中??梢岳斫?,示出的網(wǎng)絡(luò)連接是示例性的,也可以使用通過廣域網(wǎng)152建立通信的其它裝置。
盡管圖1代表了本發(fā)明的一個(gè)合適的操作環(huán)境,本發(fā)明的原理可以在能夠?yàn)g覽到網(wǎng)絡(luò)站點(diǎn)的任一計(jì)算系統(tǒng)中采用。圖1所示的計(jì)算系統(tǒng)僅為說明性的,決不表示可實(shí)現(xiàn)本發(fā)明的各種環(huán)境的甚至一小部分。在描述和權(quán)利要求書中,“計(jì)算系統(tǒng)”被被廣泛地定義為任一硬件組件或能夠使用軟件來執(zhí)行一個(gè)或多個(gè)功能的組件。計(jì)算系統(tǒng)的示例包括桌面計(jì)算機(jī)、膝上計(jì)算機(jī)、個(gè)人數(shù)字助理(PDA)、電話或具有處理能力的任一其它系統(tǒng)或設(shè)備。
圖2示出了可采用本發(fā)明的原理的網(wǎng)絡(luò)環(huán)境200。網(wǎng)絡(luò)環(huán)境200包括可通過網(wǎng)絡(luò)240與多個(gè)不同的目標(biāo)硬件設(shè)備250進(jìn)行通信的計(jì)算系統(tǒng)201。計(jì)算系統(tǒng)201可以是,例如,上述的計(jì)算機(jī)120或任一其它計(jì)算系統(tǒng)。
目標(biāo)硬件設(shè)備250可包括任一硬件設(shè)備,如磁和/或光盤設(shè)備、打印機(jī)、傳真機(jī)、掃描儀、照相機(jī)等等。在說明性實(shí)施例中,計(jì)算系統(tǒng)可與由水平省略號(hào)255表示的潛在的其它設(shè)備之中的目標(biāo)硬件設(shè)備251到254進(jìn)行通信。然而,無論是通過網(wǎng)絡(luò)還是本地地連接到計(jì)算系統(tǒng),計(jì)算系統(tǒng)可以能夠與其它數(shù)量的目標(biāo)硬件設(shè)備進(jìn)行通信。
可用于與目標(biāo)硬件設(shè)備進(jìn)行通信的一個(gè)標(biāo)準(zhǔn)被稱為因特網(wǎng)SCSI(簡(jiǎn)稱為“iSCSI”)。如上所述,iSCSI是允許標(biāo)準(zhǔn)SCSI命令和響應(yīng)通過諸如以太網(wǎng)和因特網(wǎng)的任一基于IP的網(wǎng)絡(luò)傳遞的標(biāo)準(zhǔn)。SCSI是一種并行接口標(biāo)準(zhǔn),稱為“小型計(jì)算機(jī)系統(tǒng)接口”(簡(jiǎn)稱為“SCSI”)。SCSI允許計(jì)算系統(tǒng)與其各種外圍設(shè)備之間有效的塊傳輸。盡管SCSI用于到計(jì)算系統(tǒng)的外圍設(shè)備的有效塊傳輸,然而使用SCSI的數(shù)據(jù)傳輸相對(duì)較慢。此外,SCSI電纜在長(zhǎng)度上有限制。因此,SCSI本身通常用于非常本地的外圍設(shè)備。另一方面,iSCSI要快得多,且允許目標(biāo)硬件設(shè)備位于網(wǎng)絡(luò)上的任一處。然而,iSCSI通信對(duì)通過網(wǎng)絡(luò)進(jìn)行通信所所固有的截聽和其它安全風(fēng)險(xiǎn)更為敏感。
計(jì)算系統(tǒng)201包括由水平省略號(hào)234表示的潛在的其它啟動(dòng)器之中的多個(gè)啟動(dòng)器231到233,盡管計(jì)算系統(tǒng)201也可具有三個(gè)以下的啟動(dòng)器。每一啟動(dòng)器可以是諸如插板等硬件組件,或者可以是在運(yùn)行時(shí)刻在存儲(chǔ)器內(nèi)例示的軟件啟動(dòng)器。無論如何,配置啟動(dòng)器以響應(yīng)于需要來自較高層模塊210的通過網(wǎng)絡(luò)與目標(biāo)設(shè)備的通信的請(qǐng)求,通過網(wǎng)絡(luò)240與目標(biāo)設(shè)備250進(jìn)行通信。啟動(dòng)器可以是,例如,iSCSI啟動(dòng)器,盡管并非所需。
較高層模塊210可以是應(yīng)用程序,如,應(yīng)用程序136之一,或者可以是其它程序模塊137之一。不管所使用的啟動(dòng)器如何,較高層模塊210也可呈現(xiàn)單個(gè)統(tǒng)一的用戶接口來使用。也可以有多個(gè)較高層模塊,它們可促使任一給定的啟動(dòng)器與目標(biāo)設(shè)備進(jìn)行通信。啟動(dòng)器230的每一個(gè)可以是,例如,程序模塊137之一。網(wǎng)絡(luò)240可以是任一網(wǎng)絡(luò),或者跨越多個(gè)計(jì)算系統(tǒng),或者在單個(gè)系統(tǒng)內(nèi)。如果啟動(dòng)器是iSCSI啟動(dòng)器,網(wǎng)絡(luò)可以是,例如,基于因特網(wǎng)協(xié)議(IP)的網(wǎng)絡(luò),包括以太網(wǎng)、令牌環(huán)網(wǎng)絡(luò)、因特網(wǎng)等等。
如上所述,每一啟動(dòng)器230可具有其自己的安全配置設(shè)置。例如,如果啟動(dòng)器230是iSCSI啟動(dòng)器,安全配置設(shè)置可以是,例如,IPSec配置設(shè)置。啟動(dòng)器抽象模塊220在任一較高層模塊(如,較高層模塊210)和啟動(dòng)器230之間進(jìn)行調(diào)節(jié),并強(qiáng)迫各種啟動(dòng)器230的任何配置設(shè)置之間的一致性。因此,啟動(dòng)器230保留其期望的功能,因?yàn)閱?dòng)器抽象模塊220確保沒有安全設(shè)置沖突。
啟動(dòng)器抽象模塊220包括抽象組件222,它包含強(qiáng)迫所有啟動(dòng)器230之間的安全配置設(shè)置一致性的邏輯。抽象組件222可通過API 223與啟動(dòng)器230進(jìn)行通信(反之亦然)。抽象組件可通過API 221與較高層模塊210進(jìn)行通信(反之亦然)??扇芜x地,抽象組件220也可高速緩存安全信息。這一高速緩存允許不具備非易失存儲(chǔ)器的硬件卡在每次系統(tǒng)加電時(shí)維持正確的安全配置。高速緩存也允許使用同樣的卡來代替該卡,并且不需要使用該安全信息來對(duì)新的卡進(jìn)行重編程。
每一啟動(dòng)器230可以在安裝和/或加電過程中,或者在出現(xiàn)某一其它事件時(shí),向抽象組件222注冊(cè)。注冊(cè)可涉及啟動(dòng)器的標(biāo)識(shí)符以及當(dāng)前安全設(shè)置上的潛在通知。在任一情況下,抽象組件222具有啟動(dòng)器的記錄,并可以確定啟動(dòng)器是否需要更新的配置信息。圖2的體系結(jié)構(gòu)的操作以及圖2的剩余的特征將參考圖3來進(jìn)一步地詳細(xì)描述。
圖3示出了用于配置計(jì)算機(jī)系統(tǒng)以安全地通過網(wǎng)絡(luò)與目標(biāo)設(shè)備進(jìn)行通信的方法300的流程圖。方法300由抽象組件222執(zhí)行,它包含以避免啟動(dòng)器之間的沖突的方式對(duì)啟動(dòng)器的每一個(gè)設(shè)置安全配置設(shè)置(如,IPSee設(shè)置)的邏輯。
抽象組件222展現(xiàn)可用于配置多個(gè)啟動(dòng)器的任一個(gè)的公用接口(行動(dòng)301)。這一公用接口在圖2中被表示為應(yīng)用程序接口(API)221。
在某一點(diǎn),抽象組件222通過公用接口接收指示(行動(dòng)302),該指示表示要配置從多個(gè)啟動(dòng)器中選擇的啟動(dòng)器以與所選擇的目標(biāo)設(shè)備進(jìn)行通信。該指示也可表示多個(gè)(或甚至是所有)啟動(dòng)器要與所選擇的目標(biāo)設(shè)備進(jìn)行通信。該指示本身可以由抽象組件222認(rèn)可的任一方式標(biāo)識(shí)該目標(biāo)硬件設(shè)備。例如,如果啟動(dòng)器230是iSCSI啟動(dòng)器,則該指示可使用目標(biāo)硬件設(shè)備的入口或IP地址來標(biāo)識(shí)該硬件。例如,可以響應(yīng)于來自應(yīng)用或用戶的與所選擇的目標(biāo)設(shè)備進(jìn)行通信的明確請(qǐng)求來提供該指示??蛇x地,可以在要與所選擇的目標(biāo)設(shè)備進(jìn)行通信的任一應(yīng)用或用戶明確請(qǐng)求之前提供該指示。例如,可以在初始化計(jì)算機(jī)系統(tǒng)時(shí)接收指示。
在任一情況下,方法300包括一面向結(jié)果的功能性步驟(步驟310),它用于促使所選擇的啟動(dòng)器與所選擇的目標(biāo)設(shè)備進(jìn)行通信,使得所選擇的啟動(dòng)器的安全配置不與其它多個(gè)啟動(dòng)器沖突。這一面向結(jié)果的功能性步驟可包括用于實(shí)現(xiàn)指定的結(jié)果的任何對(duì)應(yīng)的行動(dòng)。然而,在所示實(shí)施例中,步驟310包括對(duì)應(yīng)的行動(dòng)311到314。與如在步驟310中指定的對(duì)一個(gè)目標(biāo)設(shè)備設(shè)定配置設(shè)置并發(fā)地,抽象組件222也可對(duì)其它目標(biāo)設(shè)備設(shè)定配置設(shè)置,尤其是在如果為了確保啟動(dòng)器230之間沒有沖突而需要這么做的時(shí)候。
具體地,抽象組件222從公用目錄檢索安全信息(行動(dòng)311),該公用目錄包括與啟動(dòng)器230的任一個(gè)的安全配置設(shè)置相關(guān)的信息。數(shù)據(jù)庫(kù)可以是,例如分布式數(shù)據(jù)庫(kù),如MICROSOFTACTIVE DIRECTORY、因特網(wǎng)存儲(chǔ)名服務(wù)(ISNS)數(shù)據(jù)庫(kù)或者可能是諸如注冊(cè)表的本地存儲(chǔ)。包含在數(shù)據(jù)庫(kù)中的信息可包括IPSec信息、詢問驗(yàn)證協(xié)議(CHAP)或基于證書的驗(yàn)證信息。分布式數(shù)據(jù)庫(kù)可由具有啟動(dòng)器抽象模塊220的實(shí)例的不同于計(jì)算系統(tǒng)210的計(jì)算系統(tǒng)共享。數(shù)據(jù)庫(kù)也可以是本地持久存儲(chǔ),其中,先前高速緩存了來自公用數(shù)據(jù)庫(kù)的信息用于將來配置啟動(dòng)器230。數(shù)據(jù)庫(kù)也可以是分布式數(shù)據(jù)庫(kù)和持久存儲(chǔ)的組合。
啟動(dòng)器抽象模塊220然后對(duì)要被配置以與所選擇的目標(biāo)硬件設(shè)備進(jìn)行通信的所選擇的啟動(dòng)器標(biāo)識(shí)安全配置。這一安全配置可包括從數(shù)據(jù)庫(kù)檢索的安全信息,并由抽象組件對(duì)其進(jìn)行某些潛在的進(jìn)一步處理。在某些情況下,可使用來自公用數(shù)據(jù)庫(kù)的信息預(yù)配置啟動(dòng)器。
啟動(dòng)器抽象模塊220然后確定標(biāo)識(shí)的安全配置不會(huì)導(dǎo)致所選擇的啟動(dòng)器與其它啟動(dòng)器的任一個(gè)沖突(行動(dòng)313)。如果的確存在沖突(行動(dòng)313中的是),則抽象組件222或者重配置其它啟動(dòng)器使得沖突被消除,或者對(duì)所選擇的啟動(dòng)器標(biāo)識(shí)另一安全配置,或者兩者都完成。如果不存在沖突(行動(dòng)313中的否),則抽象組件222使用標(biāo)識(shí)的安全配置來配置所選擇的啟動(dòng)器(行動(dòng)314)。
IPSec安全的配置設(shè)置包括是否使用密鑰、是否期望隧道模式、使用哪一加密算法以及其它已知的IPSec設(shè)置選項(xiàng)。抽象組件222然后可將正確的安全設(shè)置給予配置模塊262。例如,如果安全信息是用于使用iSCSI進(jìn)行通信的IPSec設(shè)置,則配置模塊262可以是軟件啟動(dòng)器的TCP/IP配置模塊。當(dāng)通信時(shí),軟件啟動(dòng)器可使用由操作系統(tǒng)提供的TCP/IP協(xié)議棧。如果啟動(dòng)器是硬件啟動(dòng)器,則硬件啟動(dòng)器可包括其自己的協(xié)議棧(如,其自己的TCP/IP棧),并由此可響應(yīng)于來自啟動(dòng)器抽象模塊220的指令配置其自己的存儲(chǔ)器。當(dāng)通信時(shí),硬件啟動(dòng)器可使用其自己的內(nèi)部TCP/IP棧。
因此,描述了一種機(jī)制,其中,抽象模塊220強(qiáng)迫單個(gè)計(jì)算機(jī)系統(tǒng)上所有啟動(dòng)器之間的安全設(shè)置中的一致性。因此,啟動(dòng)器之間不引發(fā)任何沖突,而允許網(wǎng)絡(luò)上配置的目標(biāo)硬件設(shè)備和計(jì)算系統(tǒng)之間的安全且快速的數(shù)據(jù)傳輸。
本發(fā)明可以在不脫離其精神或本質(zhì)特征的情況下以其它具體的形式實(shí)施。描述的實(shí)施例被認(rèn)為在各方面僅作說明而非局限。因此,本發(fā)明的范圍由所附權(quán)利要求書而非上述描述來指示。處于權(quán)利要求的等效技術(shù)方案的意義和范圍之內(nèi)的所有變化都包含在其范圍之內(nèi)。
權(quán)利要求
1.在包括多個(gè)啟動(dòng)器的計(jì)算機(jī)系統(tǒng)中,每一啟動(dòng)器用于啟動(dòng)通過網(wǎng)絡(luò)與目標(biāo)設(shè)備的通信,一種配置所述計(jì)算機(jī)系統(tǒng)以通過網(wǎng)絡(luò)安全地與目標(biāo)設(shè)備進(jìn)行通信的方法,其特征在于,所述方法包括以下行動(dòng),所述行動(dòng)由一以避免所述多個(gè)啟動(dòng)器之間的安全沖突的方式配置所述多個(gè)啟動(dòng)器的每一個(gè)的抽象模塊執(zhí)行展現(xiàn)一可用于配置所述多個(gè)啟動(dòng)器的任意一個(gè)的公用接口的行動(dòng);通過所述公用接口接收指示的行動(dòng),所述指示表示要配置一從所述多個(gè)啟動(dòng)器中選擇的啟動(dòng)器以與一選擇的目標(biāo)設(shè)備進(jìn)行通信;從一數(shù)據(jù)庫(kù)檢索安全信息的行動(dòng),所述數(shù)據(jù)庫(kù)包括與對(duì)所述多個(gè)啟動(dòng)器的任意一個(gè)配置安全相關(guān)的信息;使用所檢索的安全信息標(biāo)識(shí)所選擇的啟動(dòng)器的安全配置的行動(dòng);確定所標(biāo)識(shí)的安全配置將不導(dǎo)致所選擇的啟動(dòng)器與所述多個(gè)啟動(dòng)器中其它任意一個(gè)沖突的行動(dòng);以及使用所標(biāo)識(shí)的安全配置來配置所選擇的啟動(dòng)器的行動(dòng)。
2.如權(quán)利要求1所述的方法,其特征在于,所標(biāo)識(shí)的安全配置與所檢索的安全信息不同。
3.如權(quán)利要求1所述的方法,其特征在于,所標(biāo)識(shí)的安全配置與所檢索的安全信息相同。
4.如權(quán)利要求1所述的方法,其特征在于,所檢索的安全信息包括IPSec配置信息。
5.如權(quán)利要求1所述的方法,其特征在于,所檢索的安全信息包括CHAP配置信息。
6.如權(quán)利要求1所述的方法,其特征在于,配置所選擇的啟動(dòng)器以促使與所述目標(biāo)設(shè)備發(fā)生使用iSCSI的通信。
7.如權(quán)利要求1所述的方法,其特征在于,從數(shù)據(jù)庫(kù)檢索安全信息的所述行動(dòng)包括從一現(xiàn)用目錄檢索所述安全信息的行動(dòng)。
8.如權(quán)利要求1所述的方法,其特征在于,所選擇的啟動(dòng)器是硬件啟動(dòng)器。
9.如權(quán)利要求1所述的方法,其特征在于,所選擇的啟動(dòng)器是軟件啟動(dòng)器。
10.如權(quán)利要求1所述的方法,其特征在于,檢索安全信息的所述行動(dòng)響應(yīng)于所述抽象模塊接收所述指示而發(fā)生。
11.如權(quán)利要求1所述的方法,其特征在于,響應(yīng)于與所選擇的目標(biāo)設(shè)備進(jìn)行通信的請(qǐng)求,通過所述公用接口接收所述指示。
12.如權(quán)利要求1所述的方法,其特征在于,在與所選擇的目標(biāo)設(shè)備進(jìn)行通信的任一明確請(qǐng)求之前,通過所述公用接口接收所述指示。
13.如權(quán)利要求12所述的方法,其特征在于,響應(yīng)于初始化所述計(jì)算機(jī)系統(tǒng),通過所述公用接口接收所述指示。
14.在包括多個(gè)啟動(dòng)器的計(jì)算系統(tǒng)中,每一啟動(dòng)器用于啟動(dòng)通過網(wǎng)絡(luò)與目標(biāo)設(shè)備的通信,一種用于配置所述計(jì)算機(jī)系統(tǒng)以通過網(wǎng)絡(luò)安全地與目標(biāo)設(shè)備進(jìn)行通信的方法,其特征在于,所述方法包括以下由一以避免所述多個(gè)啟動(dòng)器之間的安全沖突的方式配置所述多個(gè)啟動(dòng)器的每一個(gè)的抽象模塊執(zhí)行的展現(xiàn)一可用于配置所述多個(gè)啟動(dòng)器中的任意一個(gè)的公用接口的行動(dòng);通過所述公用接口接收指示的行動(dòng),所述指示表示要配置一從所述多個(gè)啟動(dòng)器中選擇的啟動(dòng)器以與一選擇的目標(biāo)設(shè)備進(jìn)行通信;用于促使所選擇的啟動(dòng)器與所選擇的目標(biāo)設(shè)備進(jìn)行通信的步驟,使得所選擇的啟動(dòng)器的安全配置不與所述其它多個(gè)啟動(dòng)器沖突。
15.如權(quán)利要求14所述的方法,其特征在于,促使所選擇的啟動(dòng)器與所選擇的目標(biāo)設(shè)備進(jìn)行通信的所述步驟還包括以下行動(dòng)從一數(shù)據(jù)庫(kù)檢索安全信息的行動(dòng),所述數(shù)據(jù)庫(kù)包括與對(duì)所述多個(gè)啟動(dòng)器中的任意一個(gè)配置安全相關(guān)的信息;使用所檢索的安全信息標(biāo)識(shí)所選擇的啟動(dòng)器的安全配置的行動(dòng);確定所標(biāo)識(shí)的安全信息將不導(dǎo)致所選擇的啟動(dòng)器與所述多個(gè)啟動(dòng)器中的其它的任意一個(gè)沖突的行動(dòng);以及使用所標(biāo)識(shí)的安全配置來配置所選選擇的啟動(dòng)器的行動(dòng)。
16.如權(quán)利要求15所述的方法,其特征在于,所標(biāo)識(shí)的安全配置與所檢索的安全信息不同。
17.如權(quán)利要求15所述的方法,其特征在于,所標(biāo)識(shí)的安全配置與所檢索的安全信息相同。
18.如權(quán)利要求15所述的方法,其特征在于,所檢索的安全信息包括IPSec配置信息。
19.如權(quán)利要求15所述的方法,其特征在于,所檢索的安全信息包括CHAP配置信息。
20.如權(quán)利要求15所述的方法,其特征在于,配置所選擇的啟動(dòng)器以促使使用iSCSI與所述目標(biāo)設(shè)備的通信出現(xiàn)。
21.如權(quán)利要求15所述的方法,其特征在于,從數(shù)據(jù)庫(kù)檢索安全信息的所述行動(dòng)包括從一現(xiàn)用目錄檢索所述安全信息的行動(dòng)。
22.如權(quán)利要求15所述的方法,其特征在于,所選擇的啟動(dòng)器是硬件啟動(dòng)器。
23.如權(quán)利要求15所述的方法,其特征在于,所選擇的啟動(dòng)器是軟件啟動(dòng)器。
24.一種在包括多個(gè)啟動(dòng)器的計(jì)算機(jī)系統(tǒng)中使用的計(jì)算機(jī)程序產(chǎn)品,每一啟動(dòng)器用于啟動(dòng)通過網(wǎng)絡(luò)與目標(biāo)設(shè)備的通信,所述計(jì)算機(jī)程序產(chǎn)品用于實(shí)現(xiàn)一種配置所述計(jì)算機(jī)系統(tǒng)以通過網(wǎng)絡(luò)安全地與目標(biāo)設(shè)備進(jìn)行通信的方法,所述計(jì)算機(jī)程序產(chǎn)品包括一個(gè)或多個(gè)在其上儲(chǔ)存了計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀媒質(zhì),其特征在于,當(dāng)由所述計(jì)算系統(tǒng)的一個(gè)或多個(gè)處理器執(zhí)行所述指令時(shí),促使所述計(jì)算系統(tǒng)執(zhí)行以下行動(dòng)例示一抽象模塊并促使所述抽象模塊執(zhí)行以下行動(dòng)的行動(dòng)展現(xiàn)一可用于配置所述多個(gè)啟動(dòng)器的任一個(gè)的公用接口的行動(dòng);通過所述公用接口接收指示的行動(dòng),所述指示表示要配置一從所述多個(gè)啟動(dòng)器中選擇的啟動(dòng)器以與一選擇的目標(biāo)設(shè)備進(jìn)行通信;從一數(shù)據(jù)庫(kù)檢索安全信息的行動(dòng),所述數(shù)據(jù)庫(kù)包括與所述多個(gè)啟動(dòng)器的任一個(gè)的配置安全相關(guān)的信息;使用所檢索的安全信息標(biāo)識(shí)所選擇的啟動(dòng)器的安全配置的行動(dòng);確定所標(biāo)識(shí)的安全配置將不導(dǎo)致所選擇的啟動(dòng)器與所述多個(gè)啟動(dòng)器的其它的任一個(gè)沖突的行動(dòng);以及使用所標(biāo)識(shí)的安全配置來配置所選擇的啟動(dòng)器的行動(dòng)。
25.如權(quán)利要求24所述的計(jì)算機(jī)程序產(chǎn)品,其特征在于,所述一個(gè)或多個(gè)計(jì)算機(jī)可讀媒質(zhì)是物理存儲(chǔ)器媒質(zhì)。
26.如權(quán)利要求25所述的計(jì)算機(jī)程序產(chǎn)品,其特征在于,所述一個(gè)或多個(gè)計(jì)算機(jī)可讀媒質(zhì)是持久存儲(chǔ)器。
27.如權(quán)利要求25所述的計(jì)算機(jī)程序產(chǎn)品,其特征在于,所述一個(gè)或多個(gè)計(jì)算機(jī)可讀媒質(zhì)是易失系統(tǒng)存儲(chǔ)器。
28.如權(quán)利要求24所述的計(jì)算機(jī)程序產(chǎn)品,其特征在于,所檢索的安全信息包括IPSec配置信息。
29.如權(quán)利要求24所述的計(jì)算機(jī)程序產(chǎn)品,其特征在于,所檢索的安全信息包括CHAP配置信息。
30.一種在包括多個(gè)啟動(dòng)器的計(jì)算機(jī)系統(tǒng)總使用的計(jì)算機(jī)程序產(chǎn)品,每一啟動(dòng)器用于啟動(dòng)通過網(wǎng)絡(luò)與目標(biāo)設(shè)備的通信,所述計(jì)算機(jī)程序產(chǎn)品用于實(shí)現(xiàn)一種配置所述計(jì)算機(jī)系統(tǒng)以通過網(wǎng)絡(luò)安全地與目標(biāo)設(shè)備進(jìn)行通信的方法,所述計(jì)算機(jī)程序產(chǎn)品包括一個(gè)或多個(gè)在其上儲(chǔ)存了計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀媒質(zhì),其特征在于,當(dāng)由所述計(jì)算系統(tǒng)的一個(gè)或多個(gè)處理器執(zhí)行所述指令時(shí),促使所述計(jì)算系統(tǒng)例示多個(gè)啟動(dòng)器,每一啟動(dòng)器能夠與所述多個(gè)目標(biāo)設(shè)備的至少一個(gè)進(jìn)行通信;一抽象模塊,它被配置成展現(xiàn)一可用于配置所述多個(gè)啟動(dòng)器的任一個(gè)的公用接口;通過所述通用接口接收指示,所示指示表示要配置一從所述多個(gè)啟動(dòng)器中選擇的啟動(dòng)器以與一選擇的目標(biāo)設(shè)備進(jìn)行通信;從一數(shù)據(jù)庫(kù)檢索安全信息,所述數(shù)據(jù)庫(kù)包括與所述多個(gè)啟動(dòng)器的任一個(gè)的配置安全相關(guān)的信息;響應(yīng)于接收所述指示,使用所檢索的安全信息標(biāo)識(shí)所選擇的啟動(dòng)器的安全配置;以及如果所標(biāo)識(shí)的安全信息將不導(dǎo)致所選擇的啟動(dòng)器與所述多個(gè)啟動(dòng)器的其它的任一個(gè)沖突,則使用所標(biāo)識(shí)的安全配置來配置所選擇的啟動(dòng)器。
31.如權(quán)利要求30所述的計(jì)算機(jī)程序產(chǎn)品,其特征在于,所述一個(gè)或多個(gè)計(jì)算機(jī)可讀媒質(zhì)還在其上儲(chǔ)存了計(jì)算機(jī)可執(zhí)行指令,當(dāng)由所述計(jì)算系統(tǒng)的一個(gè)或多個(gè)處理器執(zhí)行所示指令時(shí),促使所述計(jì)算系統(tǒng)例示一軟件模塊,它被配置成向所述公用接口提交所述指示。
32.如權(quán)利要求30所述的計(jì)算機(jī)程序產(chǎn)品,其特征在于,所述一個(gè)或多個(gè)計(jì)算機(jī)可讀媒質(zhì)是物理存儲(chǔ)器媒質(zhì)。
33.如權(quán)利要求32所述的計(jì)算機(jī)程序產(chǎn)品,其特征在于,所述一個(gè)或多個(gè)計(jì)算機(jī)可讀媒質(zhì)是持久存儲(chǔ)器。
34.如權(quán)利要求32所述的計(jì)算機(jī)程序產(chǎn)品,其特征在于,所述一個(gè)或多個(gè)計(jì)算機(jī)可讀媒質(zhì)是易失系統(tǒng)存儲(chǔ)器。
全文摘要
一種抽象模塊,它以橫跨所有啟動(dòng)器在安全信息中沒有沖突的方式方便了多個(gè)啟動(dòng)器之中的安全配置。該抽象模塊展現(xiàn)一可用于配置任一啟動(dòng)器的公用接口;通過該公用接口接收指示,該指示表示要配置啟動(dòng)器中所選擇的一個(gè)以與一選擇的目標(biāo)設(shè)備進(jìn)行通信;并從一公用數(shù)據(jù)庫(kù)檢索安全信息,該數(shù)據(jù)庫(kù)包括與多個(gè)啟動(dòng)器的任一個(gè)的配置安全相關(guān)的信息。該抽象模塊使用檢索的安全信息對(duì)所選擇的啟動(dòng)器標(biāo)識(shí)安全配置,并且如果該設(shè)置不會(huì)導(dǎo)致與任一其它啟動(dòng)器的沖突,則使用所標(biāo)識(shí)的安全配置來配置所選擇的啟動(dòng)器。
文檔編號(hào)G06F11/30GK1595867SQ200410077178
公開日2005年3月16日 申請(qǐng)日期2004年9月8日 優(yōu)先權(quán)日2003年9月8日
發(fā)明者A·M·沃維克, B·D·阿波巴 申請(qǐng)人:微軟公司