CN100349156C - 用于格式化、传播、和执行策略简讯并用于在计算装置的网络管理中监视策略的一致性的装置和方法 - Google Patents
用于格式化、传播、和执行策略简讯并用于在计算装置的网络管理中监视策略的一致性的装置和方法 Download PDFInfo
- Publication number
- CN100349156C CN100349156C CNB028222806A CN02822280A CN100349156C CN 100349156 C CN100349156 C CN 100349156C CN B028222806 A CNB028222806 A CN B028222806A CN 02822280 A CN02822280 A CN 02822280A CN 100349156 C CN100349156 C CN 100349156C
- Authority
- CN
- China
- Prior art keywords
- mentioned
- news
- brief
- action
- machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了一种装置和方法,其用于计算装置的大型网络的集中策略管理。所述装置包括运行在已登记计算机上、收集策略简讯并向系统管理员报告关联性的大量分布式客户机。所述系统管理员可以通过管理接口查看相关消息,并向分布式客户机展开所建议的行动,在该处执行所述行动以实施所述简讯的技术方案。
Description
技术领域
本发明涉及了网络管理技术。尤其是,本发明涉及了一种策略公布、传播及用于计算装置的大型网络的管理的实施的装置和方法。
背景技术
在每个企业里的信息技术(IT)管理员,都面临着一个令人畏缩的任务,即在其管区中管理几十、几百、或几千台机器上的软件和硬件。由于每天所宣布的不兼容性、补丁、和策略的简讯(advisory),所述任务远远不止于收集(acquistion)和安装。甚至是简单地保持知道企业所使用的硬件及软件产品的所有潜在的问题情况,都需要一个以上的专职职位。响应用户的抱怨而处理那些情况进一步增加了繁重的需求。因此,需要IT经理必须预见到特定企业里很快就要出现的情况,并在其导致重大问题之前做出处理那些情况的计划。这就引起了对下述技术的迫切需求,即,使IT经理能够明白指定内部网络中的硬件和软件的配置,留意所述策略简讯、更新、不兼容性和与特定企业相关的补丁,并使那些策略简讯、更新、及补丁与所述企业的特定装置相匹配。
Donoho et al在号码为6,256,664的美国专利中公开了一种技术,即,使大量计算机和相关的通信基础设施能够提供一种新的通信过程。该过程允许信息提供者把信息传播给全体信息消费者。该信息能够被指向那些已经准确地表明需要该信息的那些用户。所述指向,可以以其他通讯协议所无法取得的信息为基础,因为诸如,根据其他协议所述指向需要每个潜在的接收者暴露敏感信息,或根据其他协议所述指向需要每个潜在的接收者暴露这样一种信息,该信息在利用仅根据对消费者计算机、其内容、及本地环境的熟悉就能得到的数据经过大量计算之后就可得到。
该过程能够提供现代生活中各种问题的有效解决方案,包括现代计算机的自动化技术支持。在技术支持的应用中,所公开的发明允许提供者准确地联系到在大量消费者群体中的那些特定计算机,所述计算机呈现出硬件、软件、系统设置、数据、及本地环境的特定组合,并把更正已知在这种环境中影响计算机的问题的合适的补救方法提供给那些计算机的用户。
图1是根据现有技术示出了用于计算相关信息传递的通信系统的示意性框图。用户控制在其计算机101中运行的建议读取器来订阅三家建议提供者站点103-105。相应的建议以数字文档形式被引入到他的计算机中,在该计算机中建议读取器检查简讯的关联性。这些数字文档被称为简讯。从Internet102到计算机的传输是完全单向的。没有关于用户机器的信息反馈给所述建议提供者。建议典型地由三部分组成:(1)一个用关联语言所写的关联子句,由建议读取器对其进行估算以确定建议的关联性;(2)一个用来提供解释性内容的消息体,其向建议消费者解释何种条件下有关联,为何涉及到了所述建议消费者,以及何种行动被推荐;及(3)一行动按钮,用来向建议消费者提供能够激活所推荐的行动的自动化执行。
然而,在消费者环境中,计算机用户能够接受处于所述过程的控制下,获知存在何种问题并应用解决办法,而在企业环境中,通常是这种情况,即,不同意计算机的终端用户管理。替代地,通常集中管理计算机,并且系统管理员负责维护可用的配置并避免企业范围(enterprise-wide)的问题。
人们期望这样一种技术,其在计算机的大型网络中提供集中建议管理。
人们还期望这种技术提供一管理接口,其中该接口能够向所有相关计算机显示网络中所有计算机的相关简讯并展开所建议的行动。
人们还期望,这种管理接口允许系统管理员管理建议提供者站点的预定,监视所展开的行动的状态并监视网络中的计算机的状态。
人们还期望,这种技术能够在问题出现之前自动应用所需要的管理任务来解决容易受影响的机器的问题。
发明内容
提供了一种用于大型网络的集中建议管理的系统和方法,其中若干分布式客户机运行在已登记的计算机上,收集简讯并把关联性报告给中心服务器。系统管理员可以通过管理接口查看相关消息,并向分布式客户机展开所建议的行动,在此执行所述行动以应用所述简讯的解决方案。
在本发明的优选实施例中,公开了一种集中建议管理系统,其包括多个分布式客户机,一个中心服务器,一个中心数据库,及一个管理接口。所述分布式客户机从多个建议提供者站点收集简讯并把简讯的关联性报告给中心服务器。系统管理员能够查看相关简讯的详细内容并向相关计算机的分布式客户机展开所建议的行动,在该处执行所述行动以应用所述简讯中所提供的解决方案。
在又一同等优选实施例中,公开了一种集中建议管理系统,其包括多个分布式客户机,一个镜像服务器,一个中心服务器,一个中心数据库,及一个管理接口。
在又一同等优选实施例中,公开了一种带有一个分布式客户机的集中建议管理系统,其中所述分布式客户机包括完成下述功能的各种部件,诸如收集简讯、验证简讯、估算简讯的关联性、向中心服务器登记计算机、向中心服务器报告关联性、从中心服务器接收消息、从中心服务器收集所展开的行动、及执行所展开的行动。
在其他同等优选实施例中,公开了一种用于为大型计算机网络提供集中建议管理的方法。所述方法包括步骤:
·计算机上的分布式客户机向中心服务器登记;
·系统管理员向建议提供者站点签署已登记的计算机;
·分布式客户机从已订阅的建议提供者站点收集简讯;
·分布式客户机把关联性报告给所述中心服务器;
·所述系统管理员利用管理接口查看相关简讯;
·所述系统管理员向分布式计算机展开简讯所建议的行动;及
·分布式客户机执行所展开的行动以实施简讯的解决方案。
所述方案还可以包括一个管理分布式客户机订阅建议提供者站点的步骤。其还可以包括一步骤来监视所展开行动的状态。可选地,其还可以包括一步骤来监视已注册计算机的状态。
附图说明
图1是示出了一种计算相关信息传递的通信系统的示意性框图;
图2是根据本发明示出了在大型计算机网络中的一种典型建议管理系统的框图;
图3是根据本发明示出了在大型网络中的其他建议管理系统的框图;
图4是根据本发明示出了分布式客户机的主要功能的框图;
图5是根据本发明示出了管理接口的主要功能的方框图;
图6是根据本发明示出了一种用于提供集中建议管理的方法600的流程图;
图6A是根据本发明示出了用于方法600的额外步骤的流程图;
图6B是根据本发明示出了用于方法600的又一步骤的流程图;及
图6C是根据本发明示出了用于方法600的又一步骤的流程图。
具体实施方式
集中建议管理系统
图2是根据本发明一个优选实施例示出了在大型计算机网络中的一种建议管理系统的框图。所述集中建议管理系统包括若干分布式客户机201-203;一中心服务器222;一中心数据库223,及一管理接口224。
分布式客户机被安装到每个机器中,以便在系统内进行管理。每个分布式客户机,通过Inernet 221来访问若干建议提供者站点211-213并接收和聚集详细说明已知问题情况的简讯。所述客户机还监视其所安装的计算机的配置和状态,以便查看是否出现了某些预定的情况,并在出现了这种情况时发送消息给中心服务器222。所述分布式客户机根据几个已定义的交互,以常规方式与中心服务器222进行通信,并可以从中心服务器222获取详细说明了所述分布式客户机需要执行的行动消息,修改计算机。通常,所述分布式客户机默默地运行,不需计算机终端用户的任何直接干预。
所述中心服务器222由许多包括Web(网页)服务器的交互应用程序、GGI-BIN应用程序、及数据库服务器组成。所述中心服务器协调到个人计算机和来自个人计算机的信息的转播、关于个人计算机的信息的存储和检索、及为系统管理员的信息的提供。通常,所述中心服务器组成部分默默地运行,不需所述管理员的任何直接干预。在中等规模的展开中,由单个服务器主管(host)所述服务器过程。在大规模的展开中,或许下述做法比较有效,即把所述服务器分成多个在独立的服务器上进行的过程,或把网络分成几个管理子域。
中心数据库223存储关于个人计算机的、关于被灵敏监视的简讯的、和关于历史和行动状态的数据。所述中心服务器的交互主要对这种数据库有用,即,典型地该数据库是一标准的微软(Microsoft)产品(基于MSDE或SQL服务器数据库引擎)。
所述管理接口224是一个应用程序,其构成了在常规操作中管理系统的唯一的可视部分。其使系统管理员纵览网络中计算机的状态,如果他们中的任意一个显示出了某种问题或情况,则识别出是哪一个,并命令那些计算机、或一个子集或他们,采取行动来纠正这种情形。管理接口224可以运行在任一通过网络访问所述中心服务器222的机器上。
图3是根据本发明又一优选实施例示出了在计算机的大型网络中的建议管理系统的框图。该系统包括多个分布式客户机301-303,一个镜像服务器304,一个中心服务器322,一个中心数据库323,及一个管理接口324。
分布式客户机被安装到每个机器上,以便在本发明的系统中进行管理。每个所述分布式客户机301-303都访问镜像服务器304以收集建议消息。所述分布式客户机还监视其所安装的计算机的配置和状态,以便查看是否出现了某些预定情况,并在出现了这种情况时发送一消息给所述中心服务器322。所述分布式客户机,根据几个已定义的交互,以常规方式与中心服务器322进行通信,并可以从中心服务器322获取详细说明了所述分布式客户机需要执行的行动的消息以修改计算机。通常,所述分布式客户机默默地运行,不需计算机终端用户的任何直接干预。
所述镜像服务器304通过Internet 321从多个建议提供者站点311-313处收集建议信息,并接收和聚集详细说明已知问题情况的简讯。
所述中心服务器322,是许多包括一Web(网页)服务器、CGI-BIN应用程序、及数据库服务器的交互应用程序。所述中心服务器协调到个人计算机和来自个人计算机的信息的转播、关于个人计算机的信息的存储和检索、及为系统管理员的信息的提供。
中心数据库323存储关于个人计算机的、关于被灵敏监视的简讯的、和关于历史和行动状态的数据。所述中心服务器的交互主要对这种数据库有用,即,典型地该数据库是一标准的微软(Microsoft)产品(基于MSDE或SQL服务器数据库引擎)。
所述管理接口324是一个应用程序,其构成了在常规操作中管理系统的唯一的可视部分。它基本上是个管理接口,使系统管理员纵览网络中计算机的状态,如果它们中的任意一个显示出了某种问题或情况有的话,则识别是它们中的哪一个,并命令那些计算机、或一个子集或他们,采取行动来纠正这种情形。
分布式客户机
分布式客户机被安装到在建议管理系统中所管理的每个机器上。其负责收集简讯、研究其在其上运行的机器的配置、并确定是否有些简讯与该计算机的配置相关。所述分布式客户机把关联性状态通知中心服务器,并执行管理接口所命令的行动。但是不管其能力(power)和完善度(sophistication),分布式客户机通常都是一个小应用程序,例如大约2MB,意欲在所管理的计算机上插入一觉察不到的载入,利用很少的网络资源,且是安全可靠的,并基本上不需要管理,诸如,肯定不需要终端用户或在站点的管理。
根据本发明,分布式客户机在建议管理系统中具有8个不同的功能。这些功能被总结在表1中。
表1分布式客户机的功能
| 收集 | 从建议提供者站点收集简讯 |
| 验证 | 核实消息的可靠性 |
| 估算 | 针对计算机的配置检查简讯的关联性 |
| 登记 | 向中心服务器标识计算机 |
| 报告 | 把计算机关联性事件报告给中心服务器 |
| 接收 | 从中心服务器接收消息 |
| 收集行动 | 从中心服务器收集行动请求 |
| 行动 | 执行行动以改变计算机的配置 |
图4是根据本发明另一优选实施例示出了分布式客户机400的主要功能的框图。所述功能包括:收集简讯401,验证简讯402,估算关联性403,登记404,报告405,接收406,收集行动407,及执行行动408。
收集简讯401
系统管理员利用管理接口把该组织中的计算机签署到各种建议提供者站点。定期连接到所述站点并使其本地建议内容与那些站点的内容同步,是分布式客户机所做的事情。为了做这些,分布式客户机在每个站点的报头文件(masthead file)中进行搜索。在计算机中,所述报头文件保存在分布式客户机所安装的文件夹中。分布式客户机从所述报头文件中提取提供所述内容的位置的URL。接着其利用HTTP命令来获取任一新建议内容。
验证消息402
分布式客户机检查建议内容是否可靠,即,由真正的建议提供者站点所有者用数字进行签名。
估算关联性403
分布式客户机分析所述简讯并获知需要估算计算机配置的哪一方面以确定那些简讯的关联性。接着,所述分布式客户机细查所述计算机配置以确定实际配置是否与关联子句相匹配。注意到这种细查定期进行是重要的,以便当系统配置改变时,关联性估算的结果也能够改变。
登记404
运行分布式客户机的计算机,不必被限制为始终在一个地方,或者甚至在一个虚拟LAN(局域网)内。为了调节这种动态行为,所述管理系统需要分布式客户机在其运行并准备进行通信时向中心服务器标识其自己。该过程叫做登记。所述管理系统指定给分布式客户机一个唯一的计算机ID以便在通信中标识其自己。
报告405
当分布式客户机检测到一些建议已经变得相关了时,它就报告给中心服务器发生了关联性事件。其对变得相关的建议连同其自己的计算机ID进行标识。
接收406
所述分布式客户机接收中心服务器发送给它的消息(通过在端口6603的默认)。如下所述,这些消息能够包含来自登记过程或某处理请求的计算机ID,诸如一“马上收集行动”的请求。
收集行动407
响应于从分布式客户机接收指示关联性事件的信息,所述系统管理员在管理接口查看所推荐的行动。如果所述管理员决定传播所述行动,则在行动站点发出(place)行动请求。分布式客户机以定期的方式从行动站点收集行动请求,并且有时,响应中心服务器的提示,还能够收集通常时间表之外的请求。
执行行动408
一旦接收一经过验证的行动请求,所述分布式客户机就执行所请求的行动。
注意到,分布式客户机超出了消费者程序以包括注册、报告、接收、及收集行动步骤。这些反映了在企业环境中系统管理员的需求与期望。
管理接口
图5是根据本发明其他优选实施例示出的管理接口的主要功能的方框图。管理接口500是管理系统的可视部分,被系统管理员用来维护整个企业中的计算机。所述主要功能包括:管理订阅501,显示建议信息502,展开行动503,监视行动504,及监视计算机状态505。
管理订阅501
所述建议管理系统访问企业外部的内容提供者所创建的建议内容,例如一硬件或软件供应,并把其从建议提供者站点带入企业。
建议管理系统可以在初始设置期间订阅一些预定站点。为了访问除了那些自动设置的任一其他建议提供者站点,系统管理员必须发起对那些站点的订阅。
目前,有两种方法发起对建议提供者站点的订阅。第一种方法是,通过从已订阅站点所传递的简讯,提供企业建议提供者站点对适于企业计算机的推荐。然后,系统管理员可以简单地双击在建议消息体中的合适的行动链接,接着发起了订阅。
发起订阅的另外一个办法需要更多概念上的理解。通常,发起订阅需要从想要的内容提供者处获取那个建议提供者站点的报头文件,并且向所述管理接口适当地宣布所述文件。和中心服务器的报头文件所带有的内容一样,建议提供者站点的报头文件含有关于服务器URL的信息和站点操作的频率的信息并且其将被用数字签名。然而,不像所述中心服务器报头文件,该报头文件不是由企业而是由内容提供者组织对其签名。
如果系统管理员知道提供用于分布式客户机的内容的建议提供者站点,并想要订阅管理系统以利用所述内容,他可以通过下载的Web浏览器获取报头文件。通常在有名的网站上或在内容提供者的网站上,有一个含有报头文件的超连接的网页。通过双击该链接,从该站点下载所述报头文件到运行所述Web浏览器的计算机上。
现在,管理员准备利用管理接口发起订阅。接着,管理员选择他想订阅企业中的哪一个计算机作为所述建议提供者站点。他可以把所有的分布式客户机签署到该站点,或者是一个根据机器特性的子集。他可以选择分布式客户机检查建议提供者站点的频率并收集新的简讯,这通常是每日同步,但是还可以做出其他选择。
向建议提供者站点的分布式客户机的订阅,连同建议收集频率,能够通过管理接口进行修改。如果不再用订阅了,则系统管理员还可以通过从那些被订阅的列表中删除所述建议提供者站点来取消订阅。
显示简讯502
当简讯在网络中的某处变得相关了时,管理接口就能够被用来查看关于这些消息的简要信息。所述简要信息可以包括:(1)建议名称及数字建议ID,两者均由建议的作者指定给所述建议消息;(2)建议提供者站点,其是所述建议的起源;及(3)与该消息相关的网络中的计算机的数量。
管理员还可以利用管理接口查看消息的详细信息,其通常包括相关计算机的列表、所述问题的一个英语解释及提供一自动解决方案的一行动。
展开行动503
当所述管理员选择采取一被推荐的行动时,给他几种关于它的展开的选择,包括:行动目标,行动消息,行动时间表,和执行控制。
行动目标,详细说明了要在其上展开所述行动的计算机。所述管理员可以选择向在企业网上的所有计算机、或所有相关计算机、或手动选择的计算机展开所述行动。
当所述行动正在进行时,所述行动消息需要一个有效的用户指示,以用特定的消息提醒用户,并提供某些关于信息显示的交互特征。所述用户可以能够查看所推荐的行动的详细内容,并可以取消所推荐的行动。
当所展开的行动在目标计算机上运行时,行动时间表允许管理员进行控制。所述管理员还可以指定一个到期时间以在行动寿命上加上一个限制。
所述执行控制允许管理员在行动的调用、重试和某些在后任务之后控制行动的状态。
一旦所述管理员指定了这些选项,他就输入签字密码以展开行动。
监视行动504
在把行动列入时间表后,所述中心服务器就试图用信号通知个人计算机行动正在等其处理。理论上,分布式客户机从行动服务器收集行动信息并执行。事实上,在用信号进行通知的时候,有些计算机可能断电了并且其他的计算机可能是变化的,因此至少某些行动可能不被立即执行。
所述管理接口能够被用来观察所展开行动的状态,是待决、正在运行、成功完成还是失败。所述管理员还能够查看所展开行动的详细信息,诸如他在展开行动时所指定的各种选项。他还可以停止还没有进行完的以前所展开的行动。
监视计算机状态505
虽然,典型地,所述建议管理系统被配置成一大规模预防性维护工具,其还具有几个特征,即允许分析并显示计算机配置信息。实际上,所述管理接口能够查询在企业网中的计算机关于作为管理员所设置的非常大规模的特性,并跨过域中的所有机器获得一关于那些所选的特性的实时响应。管理员能利用关联语言来编写表达式,其中所述表达式能够对机器上的硬件和软件的相当多的特性进行命名,并且他能够命令企业网中的计算机求出这些表达式的值并返回所述结果值。
下述例子说明了一“OS”计算机特性事实上是由关联子句产生的:
Name of operating system &″″& release of operating system &″″& build number ofoperating system as string
其意思是,事实上该特性是由适当的关联表达式所产生并用空格所分开的三个信息的一个连接。
管理员可以规定,通过为所述新特性指定一名字并输入合适的关联子句,产生一个通过其能例行公事地估算每个分布式客户机的表达式,来向中心数据库添加新计算机特性。这可能是非常有用的,因为它不仅能够访问硬件特性还能访问登记目录以及甚至是在终端用户计算机上的特定文件中的数据。
在添加了新特性之后,在所述域中的分布式客户机自动计算相应关联表达式的值并把其返回给中心数据库。
所述管理接口能够访问在网络上的所有计算机的列表。就每个特定计算机来说,管理员可以查看所检索到的特性、和订阅信息、关联性、相关历史、或行动。所述订阅信息包括所述计算机已经订阅的建议提供者站点。所述相关信息包括当前和所述计算机相关的建议消息的列表。所述相关历史信息包括曾经与计算机相关的所有建议消息的列表。所述行动信息包括已经在计算机上展开过的所有行动的列表。
图6,是根据本发明的一个实施例所示出的一种用于提供大型计算机网络的集中建议管理的方法600的流程图。所述方法的一个典型的执行包括步骤:
·步骤601:在每个计算机上运行的分布式客户机向中心服务器登记;
·步骤602:管理员利用管理接口把所述计算机签署到多个建议提供者站点;
·步骤603:运行在每个计算机上的分布式客户机从建议提供者站点收集简讯;
·步骤604:运行在每个计算机上的分布式客户机把相关简讯报告给所述中心服务器;
·步骤605:所述系统管理员查看相关消息的详细内容;
·步骤606:所述系统管理员向与所述建议相关的分布式计算机展开行动;及
·步骤607:接收行动的分布式客户机在收到建议后执行所述行动。
在其他同等优选的实施例中,所述方法还包括一个如图6A所示出的步骤:
·步骤620:管理员监视对每个计算机所展开的行动的状态。
在其他同等优选的实施例中,所述方法还包括一个如在图6B中所示出的步骤:
·步骤640:管理员监视每个计算机的状态。
在其他同等优选的实施例中,所述方法还包括一个如在图6A中所示出的步骤:
·步骤620:管理员管理网络中的每个计算机对建议提供者站点的订阅。
客户机/服务器通信
在分布式客户机和诸如建议提供者服务器、镜像服务器、登记服务器、报告服务器、及行动服务器这样的各种服务器之间有几种通信模式。
所述建议提供者服务器是提供建议提供者站点订阅的Web服务器。他们可以是企业网本地的或是所提供的允许直接的外部Web访问的外部网络。
在很多企业中,直接的Web访问是不允许的。代替的,使用一个代理服务器。在很多种情况下,所述代理需要密码级的验证。对这种企业来说,所述系统的实施例需要安装并运行一个镜像服务器。这还提供了带宽管理优势。
所述登记服务器是中心服务器的一个组成部分,其处理分布式客户机的登记请求和中心服务器的其他组成部分的服务器到客户机的通信请求。
报告服务器也是中心服务器的一个组成部分,其处理个人计算机的关联事件的报告并到中心数据库对他们进行分析。
所述行动服务器也是中心服务器的一个组成部分,其接收管理接口的行动请求并把其提供给个人分布式客户机。
虽然这些组成部件是在这里被分别描述的,但是他们通常物理地寄存在一个机器上。然而,值得记住所述系统能够被容易地重置,以便诸如,镜像服务器、报告服务器、和行动服务器在他们自己的服务器箱(server box)上。以该方法分解系统的能力,可以是根据网络带宽的使用及在展开中所支持计算机的数量两者的缩放性的一个重要的特征,并且还对管理的分割有用。
所述分布式客户机,在位于其所安装的文件夹内的报头文件中,查找建议提供者站点的URL。通过记录在中心服务器报头文件中的URL,能够到达位于所述登记簿中的其他服务器。这些报头文件都受管理接口的控制。
在分布式客户机和这些服务器之间的特定的通信模式包括建议收集通信量(traffic)、登记通信量、报告通信量、及行动通信量。
当禁用镜像时,所述分布式客户机直接利用HTTP来访问每个建议提供者服务器。首先所述镜像包括一个对目录列表的请求,其中该目录列表告诉分布式客户机在该站点哪些内容是可用的;所述分布式客户机请求所有的新内容,并且建议提供者服务器发送一个含有所有所请求内容的单独的建议摘要。这种信息的典型的大小是每条建议不超过大约2千字节。
在启用镜像时,所述分布式客户机利用HTTP直接访问所述镜像服务器,请求将通过一个直接访问经由Internet被传递给特定建议提供者站点(假设)的内容。如果所述镜像服务器在LAN的内部,这就节省了Internet访问的费用并提供了被认为是被提高了的安全性。在不允许计算机不用密码验证就直接访问Internet的网络中,必须启用镜像。
分布式客户机利用HTTP把分布式客户机以前计算机的ID和辅助信息发送给登记服务器。所述分布式客户机经由HTTP把其以前计算机的ID和辅助信息发送给登记服务器。所述登记服务器通过发送一个UDP消息来响应所述分布式客户机(通过对端口6603的默认),指示所述分布式客户机的新计算机ID和辅助信息。
所述分布式客户机利用HTTP POST操作发送一简单文本文件给所述报告服务器。所述文本文件以一目了然的格式,含有所有自先前的关联估算以来在所述计算机上的关联状态中的改变的列表。
所述分布式客户机利用含有计算机ID的HTTP请求来收集行动请求,其中所述行动请求是所述建议提供者服务器针对所述分布式客户机而特别提出来的。
注意到由于客户机/服务器通信是通过URL所指引的,所以有可能重置任一或所有的HTTP请求以变成HTTPS请求,或有可能重置所述URL,以便HTTP请求利用端口号而不是默认的端口80和81。这可以提供额外的安全性好处。
在系统中,所述分布式客户机发起大多数通信。其在所述报头文件中保存了一个由参数控制的时间表。例如,一个建议提供者站点报头文件含有对该站点进行收集的推荐频率,并且中心服务器报头文件含有登记、及行动收集的推荐频率。
然而,有些例外。所述中心服务器能通过报告服务器发送一个UDP消息给一指定分布式客户机,告诉所述分布式客户机立即收集行动或立即收集简讯。此外,所述管理接口还允许系统管理员不考虑站点发行人的建议提供者站点订阅策略,例如,增加或降低收集的频率或抑制收集只在每天的某些时间发生。
当如果没有网络连接时,所述分布式客户机简单地执行其他估算循环,检查在所述计算机中的当前建议集中任一建议消息的关联性。在循环结束时,如果任一简讯在那时是相关的,那么其试图把关联性反馈给报告服务器。
消息验证
所述管理系统,利用基于数字加密技术的保密公共秘钥基础结构(PKI)签名机制,验证某些消息。事实上,PKI技术是用来保护建议内容和行动内容两者的完整性的。
站点作者用数字对建议提供者站点到分布式客户机的通信进行签名。所述签名必须与站点的报头文件相匹配,其在系统管理员把分布式客户机签署道所述站点时被置于所述分布式客户机的安装文件夹内。
所述行动服务器用数字对每条消息进行签名。因此,如果在分布式客户机端的所述签名验证失败,该消息就被忽略并废除。所述签名必须与行动站点的报头文件相匹配,其中所述报头文件是在安装分布式客户机时被置于Windows登记簿中的。
为了把中心服务器的任一行动请求传播到分布式客户机,操作管理接口的人必须输入签名密码。该要求是用来防止未经授权的用户利用管理接口传播不适当的行动。
由于所述PKI和签名密码所充当的重要角色,保护好公共/私人秘钥对和密码只对特定受信任的人暴露是非常重要的。
行动性能
分布式客户机应管理接口操作者的请求在计算机上执行行动。这些行动能够 诸如,改变计算机所订阅的建议提供者站点,或系统管理任务,诸如改变计算机上的时钟以与中心服务器的时钟一致,或他们能包括下载和安装一个文件。这种行动是用一种行动脚本语言(Action Scripting Language)来详细说明的,其提供了影响计算机的行动说明书,如下:
·文件:删除,移动,或复制特定文件;
·注册:设置或删除注册目录;
·命令:运行DOS命令或Visual Basic或JavaScritpt命令;及
·DLL:删除,添加,或提交各种DLL模块。
还可以把提供过程管理的行动规定为:
·建议Ops:删除,关闭,或恢复一建议消息;
·站点Ops:订阅或取消订阅一建议提供者站点;
·收集Ops:改变所收集的表或强制立即收集;及
·估算:强制立即对简讯进行关联性估算。
作为脚本语言,所述语言含有提供有条件执行的流程控制功能:
如果{继续}继续(Continue if{condition})Continue if{condition}:如果条件为真就继续。
当{继续}时中止(Pause while{condition}):直到条件为假才不继续。
所述行动脚本语言(Action Scripting Language)还提供多种用户接口工具,使得分布式客户机能够与用户交互,诸如,browseto,其在指定URL处打开浏览窗口。在建议管理系统的很多实施例中,系统管理员不想把用户牵涉到所述过程中,虽然很容易设想到这种牵涉是有价值的情况,部分上由于它能直接查明具有特定特性的计算机。
此外,所述行动能够被间接关联,以便,在考虑执行他们时如果他们仍相关的话,他们仅被用在某一计算机上。这就避免了遇到下述这样的问题,即在收到了解决所述问题的行动请求时,解决不再在所述机器上出现的问题。
所述行动可以是预定的,以便他们仅仅在当地时间的每天的某个时间对某个计算机实施。这使得在人们已经在晚上回家之后进行所述行动成为可能,不管“夜晚”可能在什么时区。
简而言之,所述分布式客户机提供了一组强大的行动,在时序安排的切合实际的上下文内,并注意了连续的关联性。
网络通信量的考虑
上面所描述的实施例,已经被用做高响应率的少量客户机/服务器过程,其使系统管理员纵览网络的最新状态,而同时保持了高的主计算机性能和低的网络通信量。为了理解这是如何完成的,必须考虑下述因素。
第一,建议管理系统只对计算机状态的变化有反应。其尽最大努力来报告现在的关联性与在先前估算循环中的是如何不同的。因为每天很少有关联事件发生,所以分布式客户机在大多数时间都不向服务器报告任何东西。实际上,如果在特定的一天里没有关联事件,则唯一的交互可能是登记、每小时的行动收集、及一个或两个对每个所订阅站点的建议收集。在那天,所述与登记和行动收集有关的总的网络通信量,可以低于几千字节。
第二,所述建议收集过程也只对建议提供者站点的状态变化有反应,以便尽最大努力只报告不是先前由分布式客户机所下载的新简讯。如果在特定的一天里没有新消息,则在那天,所述与建议收集有关的总的网络通信量,可以低于几千字节。
第三,在上面所描述的方法,即,当没有需要处理的问题时,总带宽消费量是绝对最小并低于甚至在间歇拨号连接上运行计算机的雷达。
第四,当有要处理的问题时,在上面所描述的所述方法也是高效的。单个消息是非常紧凑的:一条建议消息的大小通常低于2千字节,一登记请求低于200字节,一登记答复小于400字节,以及一管理性报告低于2千字节。而且,数据压缩被用在可能使用它的建议提供者服务器中,其包括标准文本压缩算法和客户端包括程序。
最后,在大型组织中,网络带宽的节约比率导致了客观的收益,其值得额外的努力来利用镜像避免每个分布式客户机到达公共Internet的需要和通过Internet下载其所有内容。
总之,在大多数企业环境中,利用上面所描述的方法每个分布式客户机的带宽使用,与诸如e-mail(电子邮件)、网上冲浪、和基于页面的数据输入这样的过程的现有带宽使用相比,是可以忽略的。
安全考虑
因为分布式客户机能够改变在其上运行的计算机的配置,包括删除和更新文件,所以必须考虑它的安全性。
分布式客户机仅向报告服务器报告,仅接收行动服务器的行动请求。它不容易损坏以那些服务器命名的URL,因为他们被包含在基本上防伪的用数字进行签名的报头文件中。而且,用数字对来自那些服务器的内容进行签名,这样也能基本上防伪。这些因素暗示了IP电子欺骗或DNS电子攻击不可能有效。带有防火墙的网络和其他所有可能的安全措施相联合,将更加安全。
虽然好像没有必要,但是通过几个我们仅在此简要描述的容易理解的预防措施,提高分布式客户机和中心服务器之间通信过程的安全性是可能的。本发明包含了两种策略。
第一种策略是,关闭公共访问。这就防止了任一在分布式客户机和公共Internet之间的直接交互。系统管理员有几种选择。他可以运行一镜像服务器,以便没有个人分布式客户机需要访问公共Internet。可替换地,他可以改写中心服务器报头文件和建议提供者站点报头文件中的URL,以便他们利用未知的端口号,或他们能中断相应于最近指定的分布式客户机端口号组防火墙端口。
第二种策略是,安全公共访问。该策略允许公共Internet的使用,但是通过不仅确保将通过Internet被传输的文档的验证而且确保实际连接的保密性和安全性,使访问更加安全。系统管理员能够改写中心服务器报头文件中的URL,以利用HTTPS而不是HTTP。那么在分布式客户机和中心服务器之间的所有的交易,都被用数字加密,并由此用和保护现代电子商务交易同样的方法受到保护。
虽然在此参照优选实施例对本发明进行了描述,但是本领域的技术人员将很容易地明白其他应用可以取代在此所列出的,而不脱离本发明的精神和范围。
因此,本发明将仅受到包含在下面的权利要求的限制。
Claims (31)
1.一种装置,其用于格式化、传播、和执行策略简讯并用于在计算装置的网络管理中监视策略的一致性,其包括:
一个管理接口;
多个分布式客户机,每一个都运行在相应的网络计算装置上;
由多个简讯提供者站点提供的多个简讯;及
一个协议,其用于在网路上传播上述简讯;
其中上述管理接口传送来自所述分布式客户机的报告;
其中每个上述分布式客户机包括用于收集上述简讯并处理上述简讯的装置;和
其中上述简讯正式把计算装置的情形作为对象并正式规定了对此所采取的行动。
2.根据权利要求1的所述装置,还包括:
一个中心服务器,其被连至中心数据库,上述中心服务器把数据存入上述中心数据库或从中取出数据。
3.根据权利要求2的所述装置,还包括:
一个镜像服务器,其从全球网络收集建议提供者站点的建议内容,其中每个上述分布式客户机都从上述镜像服务器收集相关简讯。
4.根据权利要求3的所述装置,其中每个上述分布式客户机,在自动检索上述分布式客户机在其上运行的计算装置的特性时,通过估算上述建议消息的关联性子句,确定建议信息的关联性。
5.根据权利要求的4的所述装置,其中上述关联性子句是用形式描述语言所写的。
6.根据权利要求4的所述装置,其中上述管理接口还包括:
用于添加、修改、或取消上述分布式客户机所订阅的一个或更多建议提供者站点的装置。
7.根据权利要求6的所述装置,其中上述管理接口还包括:
用于选择一组计算装置、指定行动消息、时序安排、和当展开相关建议消息所提议的行动时控制执行的装置。
8.根据权利要求7的所述装置,其中上述管理接口还包括:
用于安全地向一选定组的上述分布式客户机展开相关建议消息的行动。
9.根据权利要求8的所述装置,其中上述管理接口还包括:
用于监视所展开行动的状态的装置。
10.根据权利要求9的所述装置,其中上述管理接口还包括:
用于停止先前所展开的尚没有完成执行的行动的装置。
11.根据权利要求10的装置,其中上述管理接口还包括:
在行动正被展开并执行时用于监视每个计算装置的状态的装置。
12.根据权利要求11的装置,其中上述用于监视的装置允许上述系统管理员利用
一种形式描述语言来定义并检索计算装置的定制特性。
13.一种装置,其用于格式化、传播、和答复关于计算装置网络中元件的状态的查询,其包括:
一个管理控制台;
一个通用语言,用于在形式上表示关于计算装置的状态的查询;
一个协议,用于通过网络传播查询;
多个分布式客户机,每个都运行在网络化计算装置上;
其中,任一上述客户机都包括用于从多个站点收集查询并获取对上述查询的答复的装置;和
其中上述管理接口传送来自上述分布式客户机的报告。
14.一种分布式客户机,用于计算装置网络的网路策略管理系统中的计算机,其包括:
用于从多个建议提供者站点收集简讯的装置;
用于确定上述简讯的关联性的装置;和
用于把关联性报告给中心服务器的装置;
其中上述分布式客户机,利用用于收集简讯的上述装置从上述多个建议提供者站点收集简讯;和
其中上述分布式客户机,通过上述用于确定关联性的装置,确定上述简讯的关联性,并且其中上述分布式客户机可以通过上述用于报告的装置报告相关简讯。
15.根据权利要求14的所述分布式客户机,还包括:
用于从上述中心服务器收集行动的装置;和
执行上述行动的装置;
其中上述分布式客户机利用上述用于收集的装置,从上述中心服务器中检索上述行动,并利用用于执行的上述装置执行上述行动。
16.根据权利要求15的所述分布式客户机,其中每个上述简讯包括:
一个关联子句,是用一种形式描述语言所写的以规定确定何时上述简讯是相关的标准;
一个信息,其提供解释上述简讯的解释性内容;和
一个行动,其提供了一个解决方案。
17.根据权利要求15的所述分布式客户机,其中在确定上述简讯与上述计算机相关时才施行上述行动。
18.根据权利要求15的所述分布式客户机,其中上述行动能够被限定,以便在满足了通过计算可核实的条件时能够执行。
19.根据权利要求15的所述分布式客户机,其中在从管理接口展开时用数字对上述行动签名。
20.根据权利要求15的所述分布式客户机,其中上述行动是任一由下述组成的组:删除,移动,或复制指定文件;
设置或删除登记目录;
执行脚本命令;
删除,添加,或提交各种DLL模块;
删除,关闭或恢复一简讯;
订阅或不订阅一建议提供者站点;
改变一个收集时间表或强制立即收集;和
强制立即估算简讯的关联性。
21.一种通信方法,用于管理计算装置网络的网络策略,其包括步骤:
通过多个分布式客户机向中心服务器登记多个计算机,每个上述多个分布式客户机都运行在上述计算机上中的一者上;
为每个已登记的计算机把上述分布式客户机签署到多个建议提供者站点;
为每个已登记的计算机通过上述分布式客户机从上述建议提供者站点处收集多个简讯;
把由运行在上述已登记的计算机上的上述分布式客户机所确定的上述简讯的关联性报告给上述中心服务器;
系统管理员利用管理接口上查看述简讯;
向所选的一组计算机展开所选的行动,通过上述系统管理员,向上述中心服务器利用上述管理接口;和
通过运行在上述已登记的计算机上的上述分布式客户机执行所展开的行动,以实施解决方案。
22.根据权利要求21的所述方法,还包括步骤:
上述系统管理员利用管理接口监视上述所展开行动的状态。
23.根据权利要求21的所述方法,还包括步骤:
上述系统管理员利用上述管理接口监视每个已注册计算机的状态。
24.根据权利要求21的所述方法,还包括步骤:
上述系统管理员利用上述管理接口管理每个已登记计算机向建议提供者站点的订阅。
25.根据权利要求21的所述方法,其中每个上述简讯包括:
一个关联子句,是用一种形式描述语言所写的以规定确定何时上述简讯是相关的标准;
一个信息,其提供解释上述简讯的解释性内容;和
一个行动,其提供了一个解决方案,该方案能够由上述中心服务器从一管理接口展开并执行。
26.根据权利要求21的所述方法,其中在确定上述简讯与上述计算机相关时才施行上述行动。
27.根据权利要求21的所述方法,其中上述行动能够被列入时间表,以便它只在每天的某个时间执行。
28.根据权利要求21的所述方法,其中在从管理接口展开时用数字对上述行动签名。
29.根据权利要求21的所述方法,其中上述行动是任一由下述组成的组:
删除,移动,或复制指定文件;
设置或删除登记目录;
执行脚本命令;
删除,添加,或提交各种DLL模块;
删除,关闭或恢复一简讯;
订阅或不订阅一建议提供者站点;
改变一个收集时间表或强制立即收集;和
强制立即估算简讯的关联性。
30.根据权利要求21的所述方法,其中在确定上述简讯与上述计算机相关时才施行上述行动。
31.根据权利要求21的所述方法,其中上述行动能够被限定,以便在满足了通过计算可核实的条件时能够执行。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US33842701P | 2001-11-09 | 2001-11-09 | |
| US60/338,427 | 2001-11-09 | ||
| US35899602P | 2002-02-21 | 2002-02-21 | |
| US60/358,996 | 2002-02-21 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1585937A CN1585937A (zh) | 2005-02-23 |
| CN100349156C true CN100349156C (zh) | 2007-11-14 |
Family
ID=26991186
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB028222806A Expired - Lifetime CN100349156C (zh) | 2001-11-09 | 2002-11-12 | 用于格式化、传播、和执行策略简讯并用于在计算装置的网络管理中监视策略的一致性的装置和方法 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP1451710A4 (zh) |
| JP (1) | JP4504680B2 (zh) |
| CN (1) | CN100349156C (zh) |
| CA (1) | CA2463753A1 (zh) |
| WO (1) | WO2003040944A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7398272B2 (en) * | 2003-03-24 | 2008-07-08 | Bigfix, Inc. | Enterprise console |
| US8161149B2 (en) | 2007-03-07 | 2012-04-17 | International Business Machines Corporation | Pseudo-agent |
| US8966110B2 (en) | 2009-09-14 | 2015-02-24 | International Business Machines Corporation | Dynamic bandwidth throttling |
| US9432405B2 (en) * | 2014-03-03 | 2016-08-30 | Microsoft Technology Licensing, Llc | Communicating status regarding application of compliance policy updates |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6023507A (en) * | 1997-03-17 | 2000-02-08 | Sun Microsystems, Inc. | Automatic remote computer monitoring system |
| US6145001A (en) * | 1995-05-19 | 2000-11-07 | Telogy Networks, Inc. | Network management gateway |
| US6256664B1 (en) * | 1998-09-01 | 2001-07-03 | Bigfix, Inc. | Method and apparatus for computed relevance messaging |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW292365B (en) * | 1995-05-31 | 1996-12-01 | Hitachi Ltd | Computer management system |
| US6151643A (en) * | 1996-06-07 | 2000-11-21 | Networks Associates, Inc. | Automatic updating of diverse software products on multiple client computer systems by downloading scanning application to client computer and generating software list on client computer |
| US5978845A (en) * | 1997-03-25 | 1999-11-02 | Sun Microsystems, Inc. | Network management relay mechanism |
| US6123737A (en) * | 1997-05-21 | 2000-09-26 | Symantec Corporation | Push deployment of software packages using notification transports |
| US6763517B2 (en) * | 2001-02-12 | 2004-07-13 | Sun Microsystems, Inc. | Automated analysis of kernel and user core files including searching, ranking, and recommending patch files |
-
2002
- 2002-11-12 WO PCT/US2002/036644 patent/WO2003040944A1/en active Application Filing
- 2002-11-12 CN CNB028222806A patent/CN100349156C/zh not_active Expired - Lifetime
- 2002-11-12 JP JP2003542501A patent/JP4504680B2/ja not_active Expired - Fee Related
- 2002-11-12 CA CA002463753A patent/CA2463753A1/en not_active Abandoned
- 2002-11-12 EP EP02802906A patent/EP1451710A4/en not_active Withdrawn
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6145001A (en) * | 1995-05-19 | 2000-11-07 | Telogy Networks, Inc. | Network management gateway |
| US6023507A (en) * | 1997-03-17 | 2000-02-08 | Sun Microsystems, Inc. | Automatic remote computer monitoring system |
| US6256664B1 (en) * | 1998-09-01 | 2001-07-03 | Bigfix, Inc. | Method and apparatus for computed relevance messaging |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2463753A1 (en) | 2003-05-15 |
| JP2005508553A (ja) | 2005-03-31 |
| JP4504680B2 (ja) | 2010-07-14 |
| CN1585937A (zh) | 2005-02-23 |
| EP1451710A1 (en) | 2004-09-01 |
| WO2003040944A1 (en) | 2003-05-15 |
| EP1451710A4 (en) | 2009-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110716832B (zh) | 业务运行的监控告警方法、系统、电子设备及存储介质 | |
| CN104615852B (zh) | 针对保障网上预约挂号秩序及提高号源使用效率的方法 | |
| US6463457B1 (en) | System and method for the establishment and the utilization of networked idle computational processing power | |
| US7373553B2 (en) | Computer support network with customer portal to monitor incident-handling status by vendor's computer service system | |
| US7159237B2 (en) | Method and system for dynamic network intrusion monitoring, detection and response | |
| EP0929025A1 (en) | Password updating apparatus and recording medium used therefor | |
| US20080263626A1 (en) | Method and system for logging a network communication event | |
| JP2006221376A (ja) | プラント緊急時情報表示システムと方法、Webサーバ | |
| WO2005114464A2 (en) | System and method for providing remediation management | |
| JP2005501325A (ja) | ネットワーク型コンピュータデバイスのコンフィギュレーション情報を遠隔的に問い合わせて、安全に測定し、かつ安全に伝達する方法 | |
| EP3704585B1 (en) | Consumer threat intelligence service | |
| CN105009121A (zh) | 预测存储服务 | |
| CN101160906A (zh) | 涉及跨分布式目录的组成员资格的访问授权的方法和系统 | |
| CN100359850C (zh) | 远程计算机服务的系统及方法 | |
| US20200366633A1 (en) | Distributed messaging aggregation and response | |
| KR20090013930A (ko) | 기업 it 보안 업무 관리 시스템 및 방법 | |
| US20100017494A1 (en) | Formalizing, diffusing and enforcing policy advisories and monitoring policy compliance in the management of networks | |
| CN102508773A (zh) | 基于ie内核的web业务系统仿真监控方法及装置 | |
| CN109947844B (zh) | 一种基于医疗区块链的医疗数据管理系统 | |
| CN100349156C (zh) | 用于格式化、传播、和执行策略简讯并用于在计算装置的网络管理中监视策略的一致性的装置和方法 | |
| CN112699136B (zh) | 一种跨链存证方法及相关装置 | |
| CN109150875A (zh) | 反爬虫方法、装置、电子设备及计算机可读存储介质 | |
| CN113421052A (zh) | 数据共享管理方法、系统、及计算机可读存储介质 | |
| CA2733222A1 (en) | Management of communications from stolen devices | |
| JP2007065774A (ja) | アカウント不正使用抑制装置およびアカウント不正使用抑制プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: INTERNATIONAL BUSINESS MACHINES CORP. Free format text: FORMER OWNER: BIGFIX INC. Effective date: 20110525 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: CALIFORNIA STATE, THE USA TO: NEW YORK, THE USA |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20110525 Address after: American New York Patentee after: International Business Machines Corp. Address before: California, USA Patentee before: BIGFIX, Inc. |
|
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20071114 |