專利名稱:用于配置防火墻的方法����、系統(tǒng)和計(jì)算機(jī)程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)處理領(lǐng)域。更具體地����,本發(fā)明涉及軟件產(chǎn)品的 分發(fā)。
背景技術(shù):
軟件產(chǎn)品的分發(fā)是非常耗時(shí)的活動���,尤其是在包括大量計(jì)算機(jī) (或端點(diǎn))的數(shù)據(jù)處理系統(tǒng)中���。典型的示例是具有數(shù)百個(gè)端點(diǎn)的大 型網(wǎng)絡(luò)���,其中不斷地安裝�����、升級或移除軟件產(chǎn)品(例如���,為了追趕 信息技術(shù)的開發(fā)或?yàn)榱诉m應(yīng)組織改變)。
為此�����,軟件分發(fā)應(yīng)用通常用于從系統(tǒng)的中心站自動分發(fā)軟件產(chǎn) 品。通常�,軟件分發(fā)應(yīng)用控制生成軟件包,每個(gè)軟件包都適于實(shí)施 相應(yīng)軟件產(chǎn)品的所需條件(例如��,安裝��、升級或移除)�。然后,將 軟件包分發(fā)給所選端點(diǎn)���,并且在每個(gè)端點(diǎn)上應(yīng)用該軟件包以便安裝�����、 升級或移除軟件產(chǎn)品��。在市場上可獲得的商業(yè)軟件分發(fā)應(yīng)用的示例
是IBM公司的"IBMTivoli配置管理器或ITCM"�����。
安全性問題在最近幾年也變得非常重要����。在這方面��,當(dāng)前的焦 點(diǎn)已經(jīng)從服務(wù)器側(cè)轉(zhuǎn)移到客戶端側(cè)(客戶端最近成為很多有害代碼 或惡意入侵者的攻擊目標(biāo))。為此�,安全性應(yīng)用(諸如防火墻)通 常用于控制端點(diǎn)的任何通信。特別地����,防火墻可以安裝在每個(gè)端點(diǎn) 上(以控制與其他計(jì)算機(jī)進(jìn)行通信);而且��,防火墻可以安裝在私 有網(wǎng)絡(luò)的路由器上(以控制私有網(wǎng)絡(luò)的每個(gè)端點(diǎn)與其外部的其他計(jì) 算機(jī)進(jìn)行通信)���。在這兩種情況下�����,防火墻可以保護(hù)端點(diǎn)(單獨(dú)地 或?qū)⑺接芯W(wǎng)絡(luò)作為整體)免受來自于不可信計(jì)算機(jī)的攻擊。
因此���,不論軟件產(chǎn)品(被分發(fā)到特定端點(diǎn))何時(shí)需要與其他計(jì) 算機(jī)通信��,相應(yīng)的防火墻都必須在軟件產(chǎn)品可以使用之前被正確配置�。
為此����,已經(jīng)提出的 一種方法是令每個(gè)端點(diǎn)的最終用戶手動配置 他/她的防火墻��。然而����,最終用戶一般不具有執(zhí)行該任務(wù)所需的技能���。
而且��,最終用戶可以為他們的端點(diǎn)選擇不同的防火墻配置�����;這可能
導(dǎo)致與全局安全性策略(例如��,企業(yè)級)的沖突����。在任何情況下�,
對每個(gè)端點(diǎn)(或路由器)必須重復(fù)相同的操作;為每個(gè)防火墻花費(fèi) 的時(shí)間乘以系統(tǒng)防火墻的數(shù)量�,在非常大的系統(tǒng)中這一時(shí)間將使該 處理令人無法忍受。
已經(jīng)提出的另 一 方法是在嘗試未授權(quán)的通信的任何時(shí)候��,令防 火墻警告最終用戶。在該情況下��,提示最終用戶決定該通信是否可 以被允許或拒絕(臨時(shí)或永久)���。然而���,該解決方案面臨著上面指 出的相同缺點(diǎn)。實(shí)際上�����,最終用戶通常不理解防火墻提供的警告的 意義����;而且,最終用戶可以在他們的端點(diǎn)上允許不同的通信(即使 與全局安全性策略沖突)�。在任何情況下,該過程都是耗時(shí)的(同 時(shí)警告經(jīng)常令最終用戶煩惱)�����。
已經(jīng)提出了用于使防火墻配置自動化的某些方案(例如�����,借助 于腳本)����。然而,這些解決方案完全是獨(dú)立的��、與上述軟件分發(fā)過 程沒有任何聯(lián)系���。在任何情況下�����,總是需要手工操作來定義所需的 防火墻配置�����,并且準(zhǔn)備用于其操作的相應(yīng)腳本��。
反之亦然��,文檔US-A-2005/262501 (在法律允許的最大程度上 將該公開內(nèi)容的全文通過引用合并于此)公開了軟件分發(fā)應(yīng)用��,其 中軟件包也可以用于配置軟件產(chǎn)品�。然而����,該配置僅涉及與軟件包 一起分發(fā)的(或之前分發(fā)的)相同軟件產(chǎn)品��。
發(fā)明內(nèi)容
一般來說�����,本公開內(nèi)容基于利用相應(yīng)安全性產(chǎn)品所需的安全配 置分發(fā)軟件產(chǎn)品的思想�����。
特別地��,本發(fā)明的不同方面提供記載在獨(dú)立權(quán)利要求中的方案��。 本發(fā)明的優(yōu)選實(shí)施方式記載在從屬權(quán)利要求中�。更具體地�����,本發(fā)明的一個(gè)方面提出了一種用于向數(shù)據(jù)處理系統(tǒng)
中的一組數(shù)據(jù)處理實(shí)體(諸如端點(diǎn))分發(fā)軟件產(chǎn)品的方法���;該系統(tǒng)包括一組安全性應(yīng)用(諸如防火墻)�����,其適于控制實(shí)體的通信����。該方法開始于以下步驟為了允許在實(shí)體上執(zhí)行軟件產(chǎn)品而確定該安全性應(yīng)用的目標(biāo)配置����。繼而,構(gòu)建適于實(shí)施軟件產(chǎn)品和目標(biāo)配置的一個(gè)(或者多個(gè))軟件包�。該方法通過在系統(tǒng)中分發(fā)軟件包而繼續(xù),從而使得軟件包應(yīng)用于在每個(gè)實(shí)體上實(shí)施軟件產(chǎn)品以及每個(gè)安全性應(yīng)用的目標(biāo)配置�。
在本發(fā)明的一個(gè)實(shí)施方式中,將單個(gè)軟件包分發(fā)到每個(gè)端點(diǎn)���,其中對該軟件包進(jìn)行應(yīng)用�����,從而實(shí)施安裝于其上的軟件產(chǎn)品和安全性應(yīng)用的目標(biāo)配置�。
此外或備選地��,將單個(gè)軟件包再次分發(fā)到每個(gè)端點(diǎn)����,其中對該軟件包進(jìn)行應(yīng)用�����,從而實(shí)施軟件產(chǎn)品和安裝于相應(yīng)網(wǎng)絡(luò)的一個(gè)或多個(gè)網(wǎng)橋單元(諸如路由器)上的安全性應(yīng)用的目標(biāo)配置����。
作為進(jìn)一步的改進(jìn)�����,在允許執(zhí)行軟件產(chǎn)品的目標(biāo)配置之前或之后�,通過比較其他實(shí)體(諸如準(zhǔn)備服務(wù)器)上的其他安全性應(yīng)用的兩個(gè)不同條件,來確定實(shí)施目標(biāo)配置所需的命令�����。
同 一 區(qū)分過程還可以用于確定實(shí)施軟件產(chǎn)品所需的其他命令和資源�。
在不同的實(shí)施方式中,通過監(jiān)視其他實(shí)體上的軟件產(chǎn)品的通信�,來確定用于實(shí)施目標(biāo)配置的命令。
優(yōu)選地�����,在該情況下����,沒有安全性應(yīng)用控制其他實(shí)體的通信�����。
通常,將區(qū)分過程再次用于確定作為實(shí)施軟件產(chǎn)品的結(jié)果的一組可執(zhí)行模塊��,這些模塊安裝在其他實(shí)體上�����,從而丟棄不涉及這些可執(zhí)行模塊的通信�。
本發(fā)明的另一方面提出了用于執(zhí)行上述方法的計(jì)算機(jī)程序。
本發(fā)明的不同方面提出了相應(yīng)的系統(tǒng)���。
參考以下具體的說明書����,僅通過非限制性指示方式�����,結(jié)合附圖閱讀該指示將更好地理解本發(fā)明本身����、其他特征以及其優(yōu)勢�,在附
圖中
圖1是可應(yīng)用根據(jù)本發(fā)明實(shí)施方式的方案的數(shù)據(jù)處理系統(tǒng)的示意性框圖2示出了示例性系統(tǒng)計(jì)算機(jī)的功能框圖�;圖3是對根據(jù)本發(fā)明實(shí)施方式的軟件包進(jìn)行建模的類圖;以及圖4是表示可以用于實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施方式的方案的不同組件的作用的協(xié)作圖�。
具體實(shí)施例方式
特別地參考圖1,示出了具有分布式架構(gòu)的數(shù)據(jù)處理系統(tǒng)100�。系統(tǒng)100實(shí)現(xiàn)軟件分發(fā)基礎(chǔ)設(shè)施(例如,基于上述ITCM)��。
特別地�����,準(zhǔn)備服務(wù)器105作為中心站操作以用于定義����、測試以及構(gòu)建將用于在系統(tǒng)100中實(shí)施軟件產(chǎn)品所需的條件(即,安裝�����、升級或移除它們)的軟件包���。當(dāng)必須安裝/升級軟件產(chǎn)品時(shí)���,相應(yīng)的軟件包嵌入其鏡像��,包括安裝/升級軟件產(chǎn)品所需的資源�,諸如可執(zhí)行模塊�、庫��、配置表���、數(shù)據(jù)庫等(通常���,是以壓縮文件的形式)。在任何情況下����,軟件包包括命令,該命令指定將執(zhí)行用于實(shí)施軟件產(chǎn)品的動作(諸如添加�����、刪除或更新文件�、注冊表?xiàng)l目等)。
分發(fā)服務(wù)器IIO控制從準(zhǔn)備服務(wù)器105(充當(dāng)提供所需軟件包的源主機(jī))分發(fā)軟件包到多個(gè)端點(diǎn)115����。為此����,分發(fā)服務(wù)器110和端點(diǎn)115通過網(wǎng)絡(luò)120 (例如�,基于因特網(wǎng)的全球網(wǎng)絡(luò))進(jìn)行通信。更具體地���,可以通過分發(fā)服務(wù)(例如����,包括基于IBM公司的"Tivoli管理框架或TMF��,�,的、"多路分發(fā)或MDIST2"服務(wù))��,以推送模式將軟件包部署到端點(diǎn)115;以斷開方式(其中根據(jù)預(yù)定義的計(jì)劃將一組軟件包部署到所選端點(diǎn)115),或以實(shí)時(shí)方式(響應(yīng)于通過命令行接口或CLI輸入的特定請求)操作來獲得該結(jié)果��。備選地�����,端點(diǎn)115可以直接從準(zhǔn)備服務(wù)器105以"拉取"模式下載所需的軟件包。在任何情況下�,軟件包繼而應(yīng)用于每個(gè)端點(diǎn)115,從而實(shí)施相應(yīng)的軟件產(chǎn)品�����。
端點(diǎn)115可以包括獨(dú)立計(jì)算機(jī)����,其與其他計(jì)算機(jī)直接通信。備選地��,端點(diǎn)115可以包括其他網(wǎng)絡(luò)125 (例如����,基于LAN的私有網(wǎng)絡(luò))的節(jié)點(diǎn)�����;在該情況下�,每個(gè)私有網(wǎng)絡(luò)125的端點(diǎn)115通過路由器130與其他計(jì)算機(jī)通信。特別地��,(獨(dú)立)端點(diǎn)115直接與分發(fā)服務(wù)器105通信����,同時(shí)���,(聯(lián)網(wǎng)的)端點(diǎn)115通過相應(yīng)的路由器130與分發(fā)服務(wù)器105通信。
每個(gè)獨(dú)立端點(diǎn)115與其他計(jì)算機(jī)的任何通信都由個(gè)人防火墻控制�����,該防火墻安裝在獨(dú)立端點(diǎn)115本身上����。同樣,每個(gè)已聯(lián)網(wǎng)端點(diǎn)115與其私有網(wǎng)絡(luò)125外部的其他計(jì)算機(jī)的任何通信都由外部防火墻控制�����,該防火墻安裝在相應(yīng)的路由器130上(同時(shí)�,同一私有網(wǎng)絡(luò)125的端點(diǎn)115中的通信通常不受限制)。
通常�����,(個(gè)人/外部)防火墻是利用不同的安全性級別對兩個(gè)環(huán)境進(jìn)行隔離的軟件應(yīng)用����。特別地,防火墻在該兩個(gè)環(huán)境之間實(shí)現(xiàn)預(yù)定義的連接策略。例如����,防火墻可以指定對較安全環(huán)境的哪個(gè)軟件程序進(jìn)行授權(quán),來發(fā)起與較不安全的環(huán)境的其他計(jì)算機(jī)的通信會話����,以及指定對較安全環(huán)境的哪個(gè)軟件程序授權(quán)來監(jiān)聽來自于較不安全環(huán)境的其他計(jì)算機(jī)的請求(然后,該較不安全環(huán)境的其他計(jì)算機(jī)被允許發(fā)起與較安全環(huán)境的通信會話)����。這樣,防火墻可以保護(hù)較安全環(huán)境免受來自于較不安全環(huán)境的攻擊����。
現(xiàn)在參考圖2,以200表示上述系統(tǒng)的通用計(jì)算機(jī)(即��,準(zhǔn)備服務(wù)器���、分發(fā)服務(wù)器、端點(diǎn)或路由器)��。計(jì)算機(jī)200由多個(gè)單元組成�����,該多個(gè)單元并行連接至系統(tǒng)總線205 (具有適于根據(jù)系統(tǒng)中計(jì)算機(jī)200的實(shí)際功能進(jìn)行擴(kuò)展的結(jié)構(gòu))。詳細(xì)地��, 一個(gè)或多個(gè)微處理器(nP) 210控制計(jì)算機(jī)200的操作����;RAM215由微處理器210直接用作工作存儲器,并且ROM 220存儲用于引導(dǎo)計(jì)算機(jī)200的基本代碼����。多個(gè)外圍設(shè)備(通過各自的接口 )群集在本地總線225周圍。特別地�����,大容量存儲器包括一個(gè)或多個(gè)硬盤230以及用于讀取
9CD-ROM 240的驅(qū)動器235�。而且,計(jì)算機(jī)200包括輸入單元245(例如���,鍵盤和鼠標(biāo))�����,以及輸出單元250 (例如��,監(jiān)視器和打印機(jī))��。網(wǎng)絡(luò)適配器255用于將計(jì)算機(jī)200接入系統(tǒng)���。網(wǎng)橋單元260將系統(tǒng)總線205與本地總線225接口連接���。每個(gè)微處理器210和網(wǎng)橋單元260可以操作為請求接入系統(tǒng)總線205以便傳輸信息的主控代理。仲裁器265管理對系統(tǒng)總線205進(jìn)行互斥接入的許可���。
如下詳細(xì)描述��,在根據(jù)本發(fā)明實(shí)施方式的方案中����,利用所需的防火墻配置(例如�����,由相同軟件包中的附加命令定義)分發(fā)軟件產(chǎn)
口口C o
這樣�,對每個(gè)防火墻自動配置而不需要相應(yīng)最終用戶的任何干預(yù)����。然后�,可能為多個(gè)防火墻選擇相同的配置����;這防止了全局安全性策略沖突的任何風(fēng)險(xiǎn)。在任何情況下�,提出的方案非常簡單并且在時(shí)間上是有效的。而且�,還可能避免針對最終用戶的任何惱人(當(dāng)沒有授權(quán)分發(fā)的軟件產(chǎn)品執(zhí)行特定通信時(shí)由防火墻提供的)警告。
參考圖3,利用相應(yīng)的類圖對可以用于實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施方式的方案的軟件包的結(jié)構(gòu)進(jìn)行建模����。該類圖通過它的類以及類之間的交互提供結(jié)構(gòu)的靜態(tài)表示;每個(gè)類表示封裝特定屬性(定義其屬性)以及方法(顯示可用于其他類的功能)的結(jié)構(gòu)實(shí)體����,如分別針對類名稱、屬性以及方法被劃分為三個(gè)框的矩形所指示的���。
特別地���,通用軟件包將相應(yīng)的類"SoftwarePackage (軟件包)"實(shí)例化。該類"SoftwarePackage"擴(kuò)展了類"Container (容器)",如由帶有中空三角形尖端的箭頭表示的相應(yīng)關(guān)系所指示的����,這意味著(源)類"SoftwarePackage"繼承了 (目標(biāo))類"Container"的功能�。類"Container"由一個(gè)或多個(gè)類"Action (動作)"組成��,如由以中空菱形開始的箭頭表示的相應(yīng)聚合所指示的����,這意味著"源"類"Container"具有(目標(biāo))類"Action"。
類"Action"定義了將在端點(diǎn)上執(zhí)行的相應(yīng)動作��;類"Action"顯示了一系列屬性(整體表示為"condition"),這些屬性指定了為允許執(zhí)行動作而待滿足的條件�;例如,動作可能受到端點(diǎn)硬件和/或軟件參數(shù)的制約(諸如�����,它們的工作存儲器容量����、它們的操作系統(tǒng)
等)。類"Container"定義了共享默認(rèn)行為的動作集合�。類"Container"還通過添加其他屬性("StopOnFailure")擴(kuò)展了類"Action",這使得動作的結(jié)果能夠制約該集合中依賴于其的任何動作的執(zhí)行。
類"Action"直接實(shí)現(xiàn)了由軟件分發(fā)應(yīng)用直接支持的自包含動作(例如���,指定端點(diǎn)的重啟)��。類"Action"還由定義了特定動作類型的其他類來擴(kuò)展����。
特別地�����,類"NativeAction (本地動作)����,,實(shí)現(xiàn)了本地動作�,其特定于端點(diǎn)并且不基于軟件分發(fā)應(yīng)用。另一個(gè)類"AddObject (添加對象)"用于向端點(diǎn)添加可安裝的對象����。類"AddObject"顯示了一系列屬性,這些屬性用于控制相應(yīng)對象的版本��;特別地�,屬性"replaceIFExisting"指定了可以替換之前存在的對象,屬性"replaceIFNewer"指定了僅可以替換舊版本的對象��,并且屬性"removeIFModified"指定了當(dāng)修改時(shí)必須移除之前存在的對象�����。類"AddObject"依次由針對待添加的特定對象類型的不同的類來擴(kuò)展;例如���,類"AddFile (添加文件)����,�,、類"AddDirectory (添加目錄)"和類"AddLink (添加鏈接)"分別用于復(fù)制端點(diǎn)上的文件����、用于在相應(yīng)的文件系統(tǒng)中創(chuàng)建目錄以及用于在它們的桌面上提供鏈接。相反�����,類"RemoveObject (移除對象)"(擴(kuò)展類"Action")用于從端點(diǎn)移除相應(yīng)的對象�。
類"AddObject"和類"RemoveObjcet"涉及類"Object(對象),����,,如由以開放尖端結(jié)束的箭頭表示的相應(yīng)關(guān)聯(lián)所指示�,這意味著(源)類"AddObject"和類"RemoveObjcet"知曉(目標(biāo))類"Object"。類"Object"對應(yīng)于待添加或待移除的對象;類"Object"顯示了屬性"isShared",該屬性指示該對象是否可以在多個(gè)軟件包中共享�。類"Object"依次由針對特定對象類型的不同的類來擴(kuò)展。例如�,類"File (文件)"(針對帶復(fù)制或刪除的文件)指定了屬性"source(源)"(指示可獲得文件的位置)、屬性"destination (目的)"(指示必須將文件復(fù)制到何處)以及屬性"compressionMethod"(指示如何壓縮文件)�����;另 一示例是類"Directory (目錄)"(針對待創(chuàng) 建或銷毀的目錄)���,其指定了屬性"source"(指示可獲得目錄的位 置)和屬性"destination"(指示必須在何處創(chuàng)建目錄)。
在根據(jù)本發(fā)明的實(shí)施方式的方案中����,利用適于實(shí)現(xiàn)防火墻配置 的分發(fā)的附加類來擴(kuò)展上述軟件包的結(jié)構(gòu)。特別地�,類 "AddFirewallConfiguration (添加防火墻配置)"擴(kuò)展了類 "AddObject"來實(shí)現(xiàn)配置防火墻所需的動作。另一個(gè)類 "FirewallConfiguration (防火墻配置)"擴(kuò)展了類"Object"用于實(shí) 現(xiàn)將被應(yīng)用于防火墻的配置�����。
通常��,在相應(yīng)的簡檔中定義防火墻配置��。例如,防火墻的配置 可以包括添加訪問許可(用于發(fā)起與另一計(jì)算機(jī)的直接通信會話的 軟件產(chǎn)品)�;通常,每個(gè)訪問許可指定了何時(shí)需要通信(日期和時(shí) 間)�、嘗試發(fā)起通信會話的軟件程序名稱、軟件程序試圖聯(lián)系的計(jì) 算機(jī)的目的地IP地址���、針對可信區(qū)域��、因特網(wǎng)或以上兩者是否需要 許可�����、是否允許�、拒絕或是否留待最終用戶決定通信��,以及在后一 情況下���,針對下次請求是否必須記住該決定�����。
防火墻的配置還可以包括添加高級訪問許可(用于發(fā)起與另一 計(jì)算機(jī)的間接通信會話的軟件產(chǎn)品)���;通常�,每個(gè)高級訪問許可指 定了何時(shí)需要通信(日期和時(shí)間)��、嘗試使用另一 (網(wǎng)橋)軟件程 序發(fā)起通信會話的軟件程序名稱�����、實(shí)際發(fā)起通信會話的網(wǎng)橋軟件程 序�����、網(wǎng)橋軟件程序試圖聯(lián)系的計(jì)算機(jī)的目的地IP地址�����、針對可信區(qū) 域����、因特網(wǎng)或以上兩者是否需要許可����、是否允許、拒絕或是否留待 最終用戶決定通信���,以及在后一情況下���,針對下次請求是否必須記 Y主該決定����。
而且�����,防火墻的配置可以包括進(jìn)入許可的添加(用于監(jiān)聽來自 于發(fā)起與軟件產(chǎn)品的通信會話的其他計(jì)算機(jī)的請求的軟件產(chǎn)品)����; 通常,每個(gè)進(jìn)入許可指定了何時(shí)需要通信(日期和時(shí)間)����、嘗試發(fā) 起該通信會話的計(jì)算才幾的源IP地址和端口號、將響應(yīng)于該嘗試而聯(lián) 系的計(jì)算才幾的目的地IP地址和端口號�����、以及可以用于該通信的協(xié)議類型��。
用于配置防火墻(用于允許執(zhí)行相應(yīng)的軟件產(chǎn)品)的命令的文
本定義示例是 Package
Add firewall configuration
configuration
access_permission
application name = myApplication destination ip = myDestinationl zone—type = trusted action = allow
advanced—access_permission
application—name = myApplication bridge—application—name = myBridge destination ip = myDestination2 zone—type = trusted action = allow
end
incoming permission
source—ip = mySourcelp source_port = mySourcePort destination—ip = myDestinationlp destination port = myDestinationPort protocol = myProtocol
end
end
end
end
在該情況下, "myApplication���,
該軟件包用于配置防火墻以對軟件程序 授權(quán)從而發(fā)起與IP地址"myDestinationl"處的計(jì)
算機(jī)進(jìn)行通信會話�����,并且授權(quán)以通過網(wǎng)橋軟件程序"myBridge"發(fā)起與IP地址"myDestination2"處的計(jì)算機(jī)的通信會話(兩者都處于 可信區(qū)域中)��;而且���,配置防火墻以對通信會話進(jìn)行授權(quán)���,該通信 會話由IP地址"mySourcelp,�,處的計(jì)算機(jī)在端口 "mySourceProt,�, 上針對IP地址"myDestinationlp����,,處�、在端口 "myDestinationPort,�����, 上使用協(xié)議"myProtocol"的計(jì)算機(jī)發(fā)起�。
現(xiàn)在考慮圖4,示出了表示可以用于實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施方式的 方案的不同組件作用的協(xié)作圖400���。該附圖描述了系統(tǒng)的靜態(tài)結(jié)構(gòu)
(通過相應(yīng)的組件)以及其動態(tài)行為(通過一系列交換的消息,每 個(gè)消息表示相應(yīng)的動作�,以符號"A"開頭的序列號來表示)。 特別地����,準(zhǔn)備服務(wù)器105包括反向工程工具405 (例如,基于
"ITCM"的"AutoPack"服務(wù))����;反向工程工具405通常用于檢測 準(zhǔn)備服務(wù)器105上的改變,并且繼而自動構(gòu)建包括重現(xiàn)這些改變所 需命令的軟件包����。為此,反向工程工具405具有掃描儀410;掃描儀 410用于為準(zhǔn)備服務(wù)器105拍攝初始快照����,該初始快照繼而被保存在 相應(yīng)的庫415中(動作"A1.快照拍攝")。通常�����,初始快照包括文 件�����、目錄、注冊表?xiàng)l目�、可用服務(wù)等的指示;在該情況下���,利用防 火墻配置的指示(例如��,它們的簡檔)來擴(kuò)展該初始快照�。待分發(fā) 的(參考)軟件產(chǎn)品420在準(zhǔn)備服務(wù)器105上實(shí)施為與端點(diǎn)上所需 的條件相同的條件(動作"A2.實(shí)施")����。然后手工配置安裝在準(zhǔn)備 服務(wù)器105上的(參考)防火墻425,從而允許參考軟件產(chǎn)品420 執(zhí)行(動作"A3.配置")��。此時(shí)�,掃描儀410為準(zhǔn)備服務(wù)器105拍 攝結(jié)束快照��,該結(jié)束快照再次被保存到庫415中(動作"A4.快照拍 攝����,,)��。反向工程工具405的區(qū)分引擎430比較結(jié)束快照和初始快 照(從庫415提取),從而確定針對從初始快照的條件轉(zhuǎn)變?yōu)榻Y(jié)束 快照的條件將要執(zhí)行的動作���;區(qū)分引擎430繼而定義執(zhí)行這些動作 所需的命令����,這些命令保存在相應(yīng)庫435中(動作"A5.比較")���。 特別地�,某些命令用于實(shí)施參考軟件產(chǎn)品420�,同時(shí)其他命令用于配 置參考防火墻425;為此,區(qū)分引擎430配備由特定的附加件(在圖 中未示出)����,該附加件使用比較不同的防火墻配置。
14這樣����,自動獲得配置防火墻所需的命令。這包括準(zhǔn)備服務(wù)器105 上的單個(gè)參考防火墻425的配置��;因此�����,可以由具有適當(dāng)技能的操 作員來執(zhí)行該操作。在任何情況下�����, 一旦參考防火墻425已經(jīng)正確 配置���,則其可以自動復(fù)制其配置而沒有任何錯(cuò)誤風(fēng)險(xiǎn)��。
備選地����,可能禁用參考防火墻425 (動作"A6.禁用")����。參考 軟件產(chǎn)品420( —旦在準(zhǔn)備服務(wù)器105上實(shí)施)繼而以測試模式連續(xù) 執(zhí)行,從而運(yùn)用其大部分功能�����。在該階段���,參考軟件產(chǎn)品420通常 與其他計(jì)算機(jī)進(jìn)行通信(動作"A7.通信");總是允許該通信(因 為禁用了參考防火墻425 )��,從而避免了參考軟件產(chǎn)品420的任何執(zhí) 行錯(cuò)誤。然而��,同時(shí)���,網(wǎng)絡(luò)監(jiān)視器440 (包括反向工程工具405的另 一附加件)監(jiān)視準(zhǔn)備服務(wù)器105與其他計(jì)算機(jī)的通信���;繼而將因此 檢測到的通信保存在相應(yīng)日志中(動作"A8.監(jiān)視")。例如����,網(wǎng)絡(luò) 監(jiān)視器440可以包括嗅探器,其攔截準(zhǔn)備服務(wù)器105的所有通信���。
優(yōu)選地��,網(wǎng)絡(luò)監(jiān)視器440過濾檢測到的通信�,從而丟棄與參考 軟件產(chǎn)品420的執(zhí)行不相關(guān)的那些通信�。通過類似于上面描述的區(qū) 分過程(為了簡便以相同的序列號表示)可以自動獲取所需的結(jié)果。 特別地�,掃描儀410再次為準(zhǔn)備服務(wù)器105拍攝初始快照(動作"A1. 快照拍攝")。然后����,在準(zhǔn)備服務(wù)器105上實(shí)施參考軟件產(chǎn)品420 (動作"A2.實(shí)施")���;然而,在該情況下��,不執(zhí)行動作來配置參考 防火墻425?�,F(xiàn)在���,掃描儀410為準(zhǔn)備服務(wù)器105拍攝結(jié)束快照(動 作"A4.快照拍攝���,,)��。區(qū)分引擎430再次比較結(jié)束快照和初始快照 (來自于庫415),從而確定用于實(shí)施參考軟件產(chǎn)品420所需的命令 (動作"A5.比較")�;相同的操作還提供作為參考軟件產(chǎn)品420實(shí) 施結(jié)果被添加到準(zhǔn)備服務(wù)器105的參考軟件產(chǎn)品420的任何可執(zhí)行 模塊的指示。將該信息傳遞到網(wǎng)絡(luò)監(jiān)視器440����,繼而僅注冊由涉及參 考軟件產(chǎn)品420的上述可執(zhí)行模塊創(chuàng)建的過程的通信。
區(qū)分引擎430分析從日志445中提取的通信���,從而確定用于對 其進(jìn)行授權(quán)的方式配置防火墻的待執(zhí)行動作�;區(qū)分引擎430繼而定 義用于執(zhí)行這些動作所需的命令,這些命令再次被保存到庫435中(動作"A10.轉(zhuǎn)換")����;為此���,區(qū)分引擎430配備有適于將經(jīng)曰志 記錄的通信轉(zhuǎn)換為用于配置防火墻的相應(yīng)命令的其他附加件(在圖 中未示出)���。
這樣,以完全自動的方式獲得了用于配置防火墻所需的命令���, 而無需任何人工干預(yù)���。不論如何,假設(shè)已經(jīng)正確運(yùn)用參考軟件產(chǎn)品 420���,獲得的結(jié)果在很多實(shí)際的情況下提供可接受的準(zhǔn)確度��。
可用于分發(fā)任何軟件程序的資源存儲在另一庫450中���。構(gòu)建器 455從庫435提取用于實(shí)施所需軟件產(chǎn)品的命令的定義和其防火墻 配置,并且從庫450加載相應(yīng)的資源(用于安裝/升級軟件產(chǎn)品)�����。 繼而,構(gòu)建器455通過嵌入所需的資源并且添加相應(yīng)的命令來創(chuàng)建 待分發(fā)的軟件包��;將如此獲得的軟件包存儲在庫460中(動作"All. 構(gòu)建����,,)���??梢葬槍Υ职l(fā)的任何其他軟件重復(fù)相同過程(連同相 應(yīng)的防火墻配置)�����。
現(xiàn)在轉(zhuǎn)向分發(fā)服務(wù)器110�,分發(fā)管理器465生成分發(fā)計(jì)劃(每個(gè) 計(jì)劃包括指定所需端點(diǎn)115上特定軟件包的應(yīng)用的活動列表)。根 據(jù)指定訂閱參考模型的每個(gè)端點(diǎn)所需的配置(根據(jù)其作用標(biāo)識的) 的預(yù)定義的參考模型�����,可以通過專用服務(wù)(諸如"ITCM���,��,的"改變 管理器或CM")以斷開的方式創(chuàng)建該計(jì)劃��;備選地����,可以以運(yùn)4亍時(shí) 方式(響應(yīng)于命令行請求)來創(chuàng)建該計(jì)劃��,從而每次手工向一組端 點(diǎn)115分發(fā)所選的軟件包����。在任何情況下,分發(fā)管理器465通過相 應(yīng)的服務(wù)(諸如"ITCM"的"活動計(jì)劃器管理器或APM")提交每 個(gè)計(jì)劃的執(zhí)行����,其控制相應(yīng)活動的執(zhí)行;作為結(jié)果����,在計(jì)劃中指定 的每個(gè)軟件包從其庫460中被提取,并且繼而被分發(fā)到所需的端點(diǎn) 115 (動作"A12.分發(fā)")�����。備選地����,準(zhǔn)備服務(wù)器105顯示了下載服 務(wù)467;經(jīng)授權(quán)的端點(diǎn)115可以訪問下載服務(wù)467,從而選擇繼而下 載到其中的所需的軟件包(動作"A13.下載")����。
系統(tǒng)的通用端點(diǎn)115包括應(yīng)用引擎470 (諸如"ITCM����,,的"軟 件安裝引擎或SIE"服務(wù))����。應(yīng)用引擎470在端點(diǎn)115上實(shí)施每個(gè)接 收的軟件包的應(yīng)用(動作"A14.應(yīng)用")。這包括該軟件包中指定命令的執(zhí)行�����,需要這些命令來達(dá)到相應(yīng)軟件產(chǎn)品所需的條件(即�����, 安裝���、升級或移除)���。作為結(jié)果����,在端點(diǎn)115上安裝�����、升級或移除
軟件產(chǎn)品(在圖中一般地以475表示)�����。同時(shí)����,相同軟件包的應(yīng)用 包括執(zhí)行命令�,需要這些命令來配置安裝在端點(diǎn)115上的個(gè)人防火 墻480,用于允許軟件產(chǎn)品475的執(zhí)行(動作"A15.配置")。為此, 應(yīng)用引擎470配備有適于與個(gè)人防火墻480交互的附加件(在圖中 未示出)���。
此外或備選地���,軟件包的應(yīng)用可以包括執(zhí)行其他命令,需要這 些命令來配置安裝在相應(yīng)路由器130上的外部防火墻485���,其總是用 于允許軟件產(chǎn)品475的執(zhí)行(動作"A16.配置")��。在該情況下��, 應(yīng)用引擎470配備有用于與外部防火墻485遠(yuǎn)程交互的另一附加件 (在圖中未示出)�����;例如����,應(yīng)用引擎470通過預(yù)定義的URL (通常 為http:〃192.168丄l )或安全服務(wù)(提供連接至具有更新外部防火 墻485配置的授權(quán)的路由器130所需的證書)與路由器130進(jìn)行通 信。
應(yīng)該指出��,通過適當(dāng)?shù)匦薷能浖职l(fā)應(yīng)用的功能可以獲取所需 的結(jié)果�����,其總是可用于配置分發(fā)的相同軟件產(chǎn)品�����,如在上述文檔 US-A-2005/262501中描述的��;特別地���,需要擴(kuò)展該文檔中描述的功 能以允許相應(yīng)的防火墻配置(本地位于相同端點(diǎn)上或遠(yuǎn)程位于它們 的路由器上)以及所需軟件產(chǎn)品的分發(fā)�。
本質(zhì)上,為了滿足本地以及具體需求��,本領(lǐng)域的技術(shù)人員可以 對上述方案應(yīng)用很多邏輯和/或物理修改和改變����。更具體地,盡管已 經(jīng)參考本發(fā)明的優(yōu)選實(shí)施方式以 一定程度的特殊性描述了本發(fā)明���, 但是應(yīng)該理解��,形式和細(xì)節(jié)上的各種省略���、替代和改變以及其他實(shí) 施方式都是可能的��。特別地�,甚至可以在不需要用于提供對上述方 案徹底理解的前述內(nèi)容中記載的具體細(xì)節(jié)(諸如數(shù)字示例)的情況 下實(shí)現(xiàn)提出的方案;相反�,可以省略或簡化公知的特征,從而不因 為不必要的詳情而使得描述變得模糊�。而且,其本意在于聯(lián)系本發(fā) 明的任何公開實(shí)施方式描述的具體元件和/或方法步驟可以作為 一般設(shè)計(jì)選擇而合并在任何其他實(shí)施方式中�。
特別地,提出的方案利用等同方法來實(shí)現(xiàn)其本身(通過使用類
似的步驟�、移除不必要的某些步驟或添加其他可選的步驟)�����;而且��, 可以以不同的順序��、同時(shí)或以交織的方式(至少部分地)執(zhí)行步驟����。 上述軟件分發(fā)基礎(chǔ)設(shè)施不必以限制性方式解釋�。例如,如果準(zhǔn) 備服務(wù)器和分發(fā)服務(wù)器合并到單個(gè)計(jì)算機(jī)中���,或如果軟件包具有等 同的結(jié)構(gòu)(諸如多段類型)�,則應(yīng)用類似考慮��;而且��,當(dāng)分發(fā)軟件 包時(shí)���,可以對其進(jìn)4于動態(tài)構(gòu)建��,或可以以任^可其他方式(例如����, <又
以推送模式或以拉取模式)控制軟件包的分發(fā)。
盡管可以在軟件產(chǎn)品(以最寬泛的理解)第一次安裝時(shí)實(shí)現(xiàn)提
出方案的典型應(yīng)用����,但是并不禁止在對該軟件產(chǎn)品升級、移除��、配 置或更一般地實(shí)施在端點(diǎn)上時(shí)應(yīng)用相同的方法�。而且,即使已經(jīng)在 前述中參考了防火墻���,也不以限制性方式解釋該內(nèi)容(相同方案也 可以應(yīng)用于適于控制端點(diǎn)通信的任何安全性應(yīng)用)��;同樣����,在防火 墻簡檔中定義的上述類型的許可并不代表全部情況�,可以將以任何 其他方式配置的防火墻用于控制相應(yīng)端點(diǎn)的任何通信���。
不排除將多個(gè)軟件包分發(fā)到相同的端點(diǎn)(例如�����,利用用于實(shí)施 軟件產(chǎn)品的軟件包和用于實(shí)施相應(yīng)防火墻配置的另一軟件包)�����。而 且��,對應(yīng)端點(diǎn)群組具有不同的防火墻配置也是可能的(針對分發(fā)的 相同軟件產(chǎn)品)�����;在該情況下�����,可以以單個(gè)軟件包(依賴于端點(diǎn)類 型)或以不同的軟件包提供相應(yīng)的不同命令��。
在不脫離本方案原理的情況下�,可以在由相應(yīng)端點(diǎn)用于與網(wǎng)絡(luò) 外部進(jìn)行通信的通用網(wǎng)絡(luò)的網(wǎng)關(guān)、交換機(jī)����、或更一般地任何(多個(gè)) 等同網(wǎng)橋單元上安裝外部防火墻。另外�����,在該情況下,不排除提供 用于在端點(diǎn)上實(shí)施軟件產(chǎn)品以及在路由器上實(shí)施相應(yīng)防火墻配置的 不同軟件包的可能性����。
在任何情況下,可以通過僅配置個(gè)人防火墻�、僅配置外部防火 墻或同時(shí)配置兩者來實(shí)現(xiàn)提出的方案。
如果將等同工具用于確定將參考防火墻從其初始條件轉(zhuǎn)向其結(jié)束條件(由用于允許執(zhí)行參考軟件產(chǎn)品的參考防火墻的配置隔離) 所需的命令�,則應(yīng)用相同的考慮。而且���,并不阻止將該過程僅應(yīng)用 于參考防火墻的配置�����,甚至在無須在準(zhǔn)備服務(wù)器(可以將準(zhǔn)備服務(wù) 器的初始和結(jié)束快照限制于參考防火墻的簡檔)上實(shí)施該參考軟件
產(chǎn)品的情況下����;例如��,可以以任何其他方式(甚至手工地)定義用 于實(shí)施所需軟件產(chǎn)品的軟件包�,并且繼而通過添加用于實(shí)施相應(yīng)防 火墻配置所需的命令來完成該軟件包�����。
如果以任何其他方式(例如,通過鉤子技術(shù))監(jiān)視參考軟件產(chǎn) 品的通信或如果利用等同過程確定了用于配置防火墻的相應(yīng)命令��, 則應(yīng)用類似考慮�����。
當(dāng)然�,在該情況下,在準(zhǔn)備服務(wù)器上可以根本沒有參考防火墻; 備選地���,可以為參考防火墻提供包裝器(wrapper),包裝器支持所 有通信�,但是會將不被允許的那些通信都記入日志(通過區(qū)分引擎 對它們進(jìn)一步分析)��。
的通信的過程(與參考軟件產(chǎn)品的可執(zhí)行模塊相關(guān)聯(lián))���;例如��,可 以從參考軟件產(chǎn)品的簽名中提取或甚至手工輸入所需信息��。在任何 情況下��,該特征不是嚴(yán)格必需的并且可以在簡化實(shí)現(xiàn)中將其省略����。 本質(zhì)上,在任何其他計(jì)算機(jī)上(例如��,系統(tǒng)的啞端點(diǎn))上應(yīng)用 用于對防火墻配置的定義進(jìn)行自動化的所提出的技術(shù)是可能的��。無 論如何��,用于實(shí)施所需防火墻配置的命令的手工定義處于本方案的 范圍內(nèi)�����。
如果以不同的方式對程序(可以用于實(shí)現(xiàn)本發(fā)明的每個(gè)實(shí)施方 式)結(jié)構(gòu)化���,或如果提供了附加的模塊或功能�����,則應(yīng)用類似的考慮; 同樣��,存儲器結(jié)構(gòu)可以是其他類型或可以由等同實(shí)體(不必包括物 理存儲介質(zhì))替換����。在任何情況下�,程序可以采用適于由任何數(shù)據(jù) 處理系統(tǒng)使用或結(jié)合任何數(shù)據(jù)處理系統(tǒng)使用的任何形式���,諸如外部 或駐留軟件����、固件或微代碼(例如在將編譯的或解釋的目標(biāo)代碼或 源代碼中)。而且�����,可以在任何計(jì)算機(jī)可用介質(zhì)上提供程序����;該介質(zhì)可以是適于包含、存儲�����、通信���、傳播或傳遞程序的任何元件���。例
如,該介質(zhì)可以是電��、磁、光�、電磁、紅外或半導(dǎo)體類型���;此類介 質(zhì)的示例是固定盤(其中可以預(yù)加載程序)��、可移動盤��、帶�、卡����、 導(dǎo)線、光纖���、無線連接��、網(wǎng)絡(luò)����、廣播波等�。在任何情況下,根據(jù)本 發(fā)明的方案使得利用具有不同架構(gòu)的應(yīng)用(例如,在單個(gè)服務(wù)器上 工作)��、硬件結(jié)構(gòu)(例如��,集成在半導(dǎo)體材料的芯片中)或軟件和 硬件的組合來實(shí)現(xiàn)其本身�。
提出的方法還可以在具有不同拓樸或包括等同單元(例如,基 于本地網(wǎng)絡(luò))的系統(tǒng)上執(zhí)行�����。而且���,每個(gè)計(jì)算機(jī)可以具有另一結(jié)構(gòu) 或可以包括類似的元件(諸如,臨時(shí)存儲程序或其一部分以減少在 執(zhí)行期間對大容量存儲器的訪問的高速緩沖存儲器)��;在任何情況 下��,以任何代碼執(zhí)行實(shí)體(諸如PDA���、移動電話等)�����、或其組合(諸 如客戶端/服務(wù)器架構(gòu)��、網(wǎng)格計(jì)算基礎(chǔ)設(shè)施等)替換計(jì)算機(jī)都是可能的����。
權(quán)利要求
1.一種用于向數(shù)據(jù)處理系統(tǒng)中的一組數(shù)據(jù)處理實(shí)體分發(fā)軟件產(chǎn)品的方法(A1-A16),所述系統(tǒng)包括一組安全性應(yīng)用����,其適于控制所述實(shí)體的通信,其中所述方法包括以下步驟為了允許在所述實(shí)體上執(zhí)行所述軟件產(chǎn)品���,來確定(A1-A10)所述安全性應(yīng)用的目標(biāo)配置�,構(gòu)建(A11)適于實(shí)施所述軟件產(chǎn)品和所述目標(biāo)配置的至少一個(gè)軟件包��,以及在所述系統(tǒng)中分發(fā)(A12-A16)所述至少一個(gè)軟件包�,來使得所述至少一個(gè)軟件包應(yīng)用于在每個(gè)實(shí)體上實(shí)施所述軟件產(chǎn)品以及每個(gè)安全性應(yīng)用的所述目標(biāo)配置。
2. 根據(jù)權(quán)利要求1所述的方法(A1-A16)���,其中安全性應(yīng)用安 裝在每個(gè)實(shí)體上��,構(gòu)建所述至少一個(gè)軟件包的步驟(All)包括構(gòu)建(All )單個(gè)軟件包�����,所述單個(gè)軟件包適于在實(shí)體上實(shí)施所 述軟件產(chǎn)品和所述安全性應(yīng)用的所述目標(biāo)配置���,并且 分發(fā)所述至少一個(gè)軟件包的步驟(A12-A16)包括 向每個(gè)實(shí)體分發(fā)(A12-A15)所述軟件包�,以使得所述實(shí)體上的 軟件包應(yīng)用于在所述實(shí)體上實(shí)施所述軟件產(chǎn)品以及安裝在所述實(shí)體 上的所述安全性應(yīng)用的所述目標(biāo)配置�。
3. 根據(jù)權(quán)利要求1或2所述的方法(A1-A16),其中所述實(shí)體 的至少 一部分在一組網(wǎng)絡(luò)中耦合,所述網(wǎng)絡(luò)中的每個(gè)包括至少 一個(gè) 網(wǎng)橋單元����,所述網(wǎng)絡(luò)的所述實(shí)體通過所述至少一個(gè)網(wǎng)橋單元與所述 網(wǎng)絡(luò)的外部通信,并且其中將安全性應(yīng)用安裝在每個(gè)網(wǎng)橋單元上用 于控制所述網(wǎng)絡(luò)實(shí)體的通信�,構(gòu)建所述至少一個(gè)軟件包的步驟(All ) 包括構(gòu)建(All)單個(gè)軟件包,所述單個(gè)軟件包適于在所述實(shí)體上實(shí) 標(biāo)配置����,并且其中分發(fā)所述至少一個(gè)軟件包的步驟(A12-A16)包括 向每個(gè)實(shí)體分發(fā)(A12�, A13, A14, A16)所述軟件包�,以使得及安裝在所述至少一個(gè)網(wǎng)橋單元上的所述安全性應(yīng)用的所述目標(biāo)配 置。
4. 根據(jù)權(quán)利要求1到3中任一項(xiàng)所述的方法(A1-A16),其中 確定所述目標(biāo)配置的步驟(A1-A10)包括檢測(Al)其他實(shí)體的開始條件����,所述其他實(shí)體包括適于控制 所述其他實(shí)體的通信的其他安全性應(yīng)用,配置(A3)所述其他安全性應(yīng)用�,所述安全性應(yīng)用用于允許在 所述其他實(shí)體上執(zhí)行所述軟件產(chǎn)品,檢測(A4)所述其他實(shí)體的結(jié)束條件���,以及確定(A5)用于根據(jù)所述開始條件和所述結(jié)束條件之間的比較�����, 將所述其他安全性應(yīng)用從所述開始條件轉(zhuǎn)變?yōu)樗鼋Y(jié)束條件的一組 命令��,并且其中構(gòu)建所述至少一個(gè)軟件包的步驟(All)包括 向所述至少一個(gè)軟件包添加(All)命令的指示���。
5. 根據(jù)權(quán)利要求4所述的方法(A1-A16),其中確定所述目標(biāo) 配置的步驟(A1-A10)進(jìn)一步包括在所述開始條件的所述檢測(Al)和所述結(jié)束條件的所述檢測 (A4)之間����,在所述其他實(shí)體上實(shí)施(A2)所述軟件產(chǎn)品�,以及確定(A5)用于根據(jù)所述開始條件和所述結(jié)束條件之間的比較 在所述其他實(shí)體上實(shí)施所述安全產(chǎn)品的一組其他命令,并且其中構(gòu)建所述至少一個(gè)軟件包的步驟(All)包括向所述至少一個(gè)軟件包添加(All)所述其他命令的指示以及執(zhí) 行所述其他命令所需的每個(gè)資源����。
6. 根據(jù)權(quán)利要求1到3中任一項(xiàng)所述的方法(A1-A16),其中 確定所述目標(biāo)配置的步驟(A1-A10)包括監(jiān)視(A8-A9)執(zhí)行所述軟件產(chǎn)品的其他實(shí)體的通信,以及確定(A10)用于配置所述安全性應(yīng)用以支持所監(jiān)視的通信的一 組命令����,并且其中構(gòu)建所述至少一個(gè)軟件包的步驟(All)包括 向所述至少一個(gè)軟件包添加(All)所述命令的指示。
7. 根據(jù)權(quán)利要求6所述的方法(A1-A16),其中監(jiān)視所述其他 實(shí)體的通信的步驟(A8-A9)包括監(jiān)視(A8)不具有控制所述其他實(shí)體的通信的安全性應(yīng)用的所 述其他實(shí)體的所述通信���。
8. 根據(jù)權(quán)利要求6或7所述的方法(A1-A16)�,進(jìn)一步包括以 下步驟檢測(Al)所述其他實(shí)體的開始條件,在所述其他實(shí)體上實(shí)施(A2)所述軟件產(chǎn)品��,檢測(A4)所述其他實(shí)體的結(jié)束條件���,以及作為根據(jù)所述開始條件和所述結(jié)束條件之間的比較實(shí)施所述軟 件產(chǎn)品的結(jié)果����,確定(A5)安裝在所述其他實(shí)體上的一組可執(zhí)行模 塊��,并且其中監(jiān)視所述其他實(shí)體的通信的步驟(A8-A9)包括 丟棄(A9)不涉及所述可執(zhí)行模塊的所述其他實(shí)體的所述通信���。
9. 一種計(jì)算機(jī)程序(400),用于當(dāng)所述計(jì)算機(jī)程序在數(shù)據(jù)處理 器系統(tǒng)(100)上執(zhí)行時(shí)執(zhí)行根據(jù)權(quán)利要求1到8中任一項(xiàng)所述的方 法(A1-A16)��。
10. —種系統(tǒng)(100),包括用于執(zhí)行根據(jù)權(quán)利要求1到8中任 一項(xiàng)所述的方法(A1-A16)的步驟的裝置(400)����。
全文摘要
提出了一種用于向數(shù)據(jù)處理系統(tǒng)中的一組數(shù)據(jù)處理實(shí)體(諸如端點(diǎn))分發(fā)軟件產(chǎn)品的方案(A1-A16)�;該系統(tǒng)包括一組安全性應(yīng)用(諸如防火墻)�����,其適于控制實(shí)體的通信���。相應(yīng)的方法開始于以下步驟為了允許在實(shí)體上執(zhí)行軟件產(chǎn)品�����,確定該安全性應(yīng)用的目標(biāo)配置��。繼而構(gòu)建適于實(shí)施軟件產(chǎn)品和目標(biāo)配置的一個(gè)(或多個(gè))軟件包(A11)��。該方法通過在系統(tǒng)中分發(fā)(A12-A16)軟件包而繼續(xù)����,從而使得軟件包應(yīng)用于在每個(gè)實(shí)體上實(shí)施軟件產(chǎn)品以及每個(gè)安全性應(yīng)用的目標(biāo)配置。
文檔編號G06F9/445GK101657793SQ200880011067
公開日2010年2月24日 申請日期2008年3月4日 優(yōu)先權(quán)日2007年4月5日
發(fā)明者A·加羅, L·皮切蒂, M·塞利, M·塞奇 申請人:國際商業(yè)機(jī)器公司