CN101331734A - 用于向无盘计算装置部署因特网小型计算机系统接口参数的设备、系统和方法 - Google Patents

用于向无盘计算装置部署因特网小型计算机系统接口参数的设备、系统和方法 Download PDF

Info

Publication number
CN101331734A
CN101331734A CNA2006800472966A CN200680047296A CN101331734A CN 101331734 A CN101331734 A CN 101331734A CN A2006800472966 A CNA2006800472966 A CN A2006800472966A CN 200680047296 A CN200680047296 A CN 200680047296A CN 101331734 A CN101331734 A CN 101331734A
Authority
CN
China
Prior art keywords
iscsi
data structure
parameter
module
extended data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2006800472966A
Other languages
English (en)
Other versions
CN101331734B (zh
Inventor
杰西·P·阿罗约
约瑟夫·E·博兰
托马斯·布雷
约瑟普·科斯
格雷戈里·W·戴克
斯科特·N·邓纳姆
威廉·G·霍兰
西奥多·B·沃伊诺维科
斯科特·R·纳尔逊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN101331734A publication Critical patent/CN101331734A/zh
Application granted granted Critical
Publication of CN101331734B publication Critical patent/CN101331734B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)
  • Hardware Redundancy (AREA)
  • Communication Control (AREA)

Abstract

公开了设备、系统和方法,用于向无盘计算装置部署敏感通信参数。包括参数结构模块,用于以可扩展数据结构10存储一个或多个因特网小型计算机系统接口(“iSCSI”)通信参数,所述可扩展数据结构10配置为存储一组基本参数设置和一组扩展的参数设。包括链接模块,用于在物理安全连接上建立到无盘计算装置的安全链接。包括部署模块,用于在安全连接上将可扩展数据结构部署到15无盘计算装置中的非易失性存储器。非易失性存储器配置为在启动序列期间将可扩展数据结构提供的敏感iSCSI通信参数提供到无盘计算装置的CPU。

Description

用于向无盘计算装置部署因特网小型计算机系统接口参数的设备、系统和方法
技术领域
本发明涉及部署iSCSI参数,并且更具体地,涉及用于在无盘启动环境中安全和远程部署iSCSI参数的架构。
背景技术
存储区域网或SAN是保持数据的重要部分。传统地,存储区域网由连接在专用光纤信道网中的一个或多个服务器和一个或多个数据存储装置组成。光纤信道网具有物理限制和其他确保数据安全的安全措施。典型地,距离限制确保与存储装置通信的服务器足够近,使得外人不具有到存储装置的访问权。
在典型的客户端计算机中,称为小型计算机系统接口(“SCSI”)的通信协议用于与例如盘驱动器之类的装置通信。最近,称为因特网SCSI(“iSCSI”)的新协议用于允许访问存储区域网装置和经过长距离、通过局域网、广域网、因特网或其他类似网络访问其他计算装置。这些网络通常是公共的,并且典型地使用实际的传输控制协议/因特网协议(“TCP/IP”)协议。因为iSCSI在TCP/IP之上操作,并且在TCP/IP网络上的大部分网络业务量可由未授权用户截取,所以关注安全。
已经使用例如挑战握手认证协议(“challenge handshake authenticationprotocol,CHAP”)、安全远程口令(“SRP”)、因特网协议安全(“IPSec”)、数字证书等多种安全措施解决了在iSCSI网络上的安全通信。每个安全措施具有固有的优点和缺点。大多数安全措施取决于认证和加密的各种组合。加密依靠源和目标知道的加密密钥,所述密钥用于解锁加密并且允许解密。认证还依靠例如在源和目标的用户名和口令之类的安全参数的验证。因为在公共网络上发送的任何敏感参数可被未授权用户通过对公共网络的访问截获,所以将例如加密密钥之类的敏感参数发送到客户端和服务器存在安全问题。虽然在建筑物中的专用网络可比公共网络更安全,但是即使对于专用网络的用户,也可能存在雇主不希望雇员得到的私人或敏感材料。
用于具有对于计算机是本地的盘或其他数据存储装置的计算机的一个解决方案是使用数据存储介质部署密钥和参数。典型地,这样的计算机包括:计算机的机箱中的硬盘或其他数据存储装置。例如,当使用CD或其他介质部署iSCSI软件时,可通过数据存储装置上的软件存储例如加密密钥之类的敏感参数。但是,该方法要求物理介质的分发、要求人将介质安装在每个机器上、并需要用于读取介质的部件。
在存储区域网系统中,最近使用刀片中心和其他服务器,其不具有本地数据存储装置。数据存储装置可与计算机或服务器分离,并使用存储区域网连接。在使用iSCSI或iSCSI和光纤信道的组合的存储区域网中,可能使用iSCSI访问数据存储装置。典型地,此类型的安排要求用于防止对数据存储装置、服务器和其他装置的不希望访问的安全措施。但是,因为通过iSCSI网络发送敏感系数具有安全风险,所以对无盘服务器部署敏感系数是个问题。由于无盘计算机典型地不具有内部盘或其他用于读取本地可拆卸存储介质的部件,所以不能经由一些可拆卸存储介质加载敏感参数。
一种用于将敏感参数加载到无盘计算装置上的方法是,物理连接到无盘计算装置的输入/输出接口(“I/O”),然后对每个无盘计算装置手动加载敏感参数。然后可将参数与其他关键产品数据存储在非易失性存储器中。敏感参数的手动加载是安全的,但是耗时并且要求人亲自访问每个无盘计算装置并进行到装置的连接。通过公共网络部署参数,例如向动态主机配置协议(“DHCP”)服务器配置参数然后动态主机配置协议服务器在初始化期间将参数发送到iSCSI启动器,允许自动控制参数部署,但是不安全。
通过以上描述,应当清楚,存在对向无盘计算机装置部署敏感通信参数的设备、系统和方法的需要。有益地,这样的设备、系统和方法将以可扩展数据结构、通过安全连接对无盘计算装置和服务器部署敏感通信参数,而不需要通过公共网络传递这样的敏感系数。
发明内容
在第一方面,本发明相应地提供一种设备,用于向无盘计算装置部署敏感通信参数,所述设备包括:参数结构模块,配置为以可扩展数据结构存储一个或多个因特网小型计算机系统接口(“iSCSI”)通信参数,所述可扩展数据结构配置为存储一组基本参数设置和一组扩展的参数设置;链接模块,配置为在物理安全连接上向无盘计算装置建立安全链接;以及部署模块,配置为在安全连接上将可扩展数据结构部署到无盘计算装置中的非易失性存储器,其中所述非易失性存储器配置为在启动序列期间将可扩展数据结构提供的敏感iSCSI通信参数提供到无盘计算装置的CPU。
优选地,部署模块配置为独立于无盘计算装置的操作系统的操作而部署可扩展数据结构。
设备还包括公共路径模块,配置为通过到无盘计算装置的不安全连接,发送具有一个或多个不敏感iSCSI通信参数的可扩展数据结构。
优选地,公共路径模块还包括DHCP模块,该DHCP模块配置为将具有不敏感iSCSI通信参数的可扩展数据结构发送到动态主机配置协议(“DHCP”)服务器,该动态主机配置协议服务器配置为将可扩展数据结构发送到无盘计算装置。
优选地,公共路径模块配置为在初始化序列期间将具有不敏感iSCSI通信参数的可扩展数据结构发送到无盘计算装置。
优选地,安全连接包括监视模块,该监视模块配置为也与多个无盘计算装置传送环境要素。
优选地,安全连接包括远程管理适配器(“RSA II”),该远程管理适配器配置为也与多个无盘计算装置传送环境数据。
该设备还可包括存储器分配模块,该存储器分配模块配置为部署可扩展数据结构的已扩展版本,该可扩展数据结构具有重新分配非易失性存储器的参数设置。
优选地,存储分配模块还配置为发送为了重新分配的非易失性存储器内的存储而配置的数字证书。
可提供一种设备,用于向无盘计算装置部署敏感通信参数,所述设备包括:安全链接模块,配置为在物理安全连接上建立无盘计算装置和计算机之间的安全链接;接收模块,配置为接收处于可扩展数据结构的一个或多个敏感因特网小型计算机系统接口(“iSCSI”)通信参数,所述可扩展数据结构包括一组基本参数设置和一组扩展的参数设置;以及存储模块,配置为将一个或多个敏感iSCSI通信参数存储在无盘计算装置中的非易失性存储器中,其中所述非易失性存储器配置为在启动序列期间将可扩展数据结构提供的一个或多个敏感iSCSI通信参数提供到无盘计算装置中的CPU。
设备还可包括iSCSI通信模块,该iSCSI通信模块配置为接收来自CPU的敏感iSCSI通信参数,以建立无盘计算装置和iSCSI目标之间的安全iSCSI通信会话。
优选地,iSCSI通信模块还配置为接收从DHCP服务器发送来的不敏感iSCSI通信参数。
优选地,iSCSI目标装置是具有用于无盘计算装置的操作系统的数据存储装置。
设备还可包括BIOS模块,该BIOS模块配置为在启动序列期间从非易失性存储器检索一个或多个iSCSI通信参数。
可提供系统,用于向无盘计算装置部署敏感通信参数,所述系统包括:计算机;无盘计算装置;因特网小型计算机系统接口(“iSCSI”)目标装置;连接无盘计算装置和iSCSI目标装置的存储区域网,其中所述存储区域网至少使用iSCSI进行部分通信;参数结构模块,配置为以可扩展数据结构存储一个或多个iSCSI通信参数,该可扩展数据结构被配置为存储一组基本参数设置和一组扩展的参数设置;链接模块,配置为在物理安全连接上建立计算机和无盘计算装置之间的安全链接;部署模块,配置为在安全连接上从计算机到无盘计算装置部署可扩展数据结构;以及存储模块,配置为将一个或多个敏感iSCSI通信参数存储在无盘计算装置的非易失性存储器中,其中所述非易失性存储器配置为在启动序列期间将可扩展数据结构提供的敏感iSCSI通信参数提供到无盘计算装置中的CPU。
系统还包括iSCSI通信模块,该iSCSI通信模块配置为接收敏感iSCSI通信参数,以建立无盘计算装置和iSCSI目标装置之间的安全iSCSI通信会话。
优选地,iSCSI通信模块还配置为接收从DHCP服务器发送来的不敏感iSCSI通信参数。
系统还可包括公共路径模块,该公共路径模块配置为通过不安全连接将具有一个或多个iSCSI通信参数的可扩展数据结构发送到无盘计算装置。
系统还可包括在无盘计算装置中的基板管理控制器(“BMC”),其配置为接收可扩展数据结构,并将可扩展数据结构的一个或多个敏感iSCSI通信参数存储在非易失性存储器中。
优选地,可扩展数据结构的通信参数包括与使用挑战握手认证协议(“CHAP”)、安全远程口令(“SRP”)协议和因特网协议安全(“IPSec”)协议中的一个的安全通信兼容的参数。
优选地,无盘计算装置是刀片中心中的刀片服务器。
优选地,iSCS目标包括通用数据存储装置。
还可提供一种信号承载介质,该信号承载介质确实包含可由数字处理设备执行的机器可读指令的程序,以执行向无盘计算装置部署敏感通信参数的操作,该操作包括:以数据结构存储一个或多个因特网小型计算机系统接口(“iSCSI”)通信参数;在物理安全连接上向无盘计算装置建立安全链接;以及在安全连接上将数据结构部署到无盘计算装置中的非易失性存储器,其中所述非易失性存储器配置为在启动序列期间将数据结构提供的敏感iSCSI通信参数提供到无盘计算装置的CPU。
优选地,独立于无盘计算装置的操作系统的操作而部署数据结构。
优选地,指令还包括用于将带有一个或多个不敏感iSCSI通信参数的数据结构通过不安全连接发送到无盘计算装置的操作。
信号承载介质还包括将具有不敏感iSCSI通信参数的数据结构发送到DHCP服务器的操作,其中DHCP服务器配置为将数据结构发送到一个或多个无盘计算装置。
信号承载介质还包括在初始化序列期间将具有不敏感iSCSI通信参数的数据结构发送到无盘计算装置的操作。
信号承载介质还包括接收来自CPU的iSCSI通信参数的操作,以建立无盘计算装置和iSCSI目标之间的安全iSCSI通信。
信号承载介质还包括接收从DHCP服务器发送来的不敏感iSCSI通信参数的操作。
优选地,数据结构的iSCSI通信参数包括与使用挑战握手认证协议(“CHAP”)、安全远程口令(“SRP”)协议、以及因特网协议安全(“IPSec”)协议中的一个的安全通信兼容的参数。
优选地,指令还包括用于部署数据结构的已扩展版本的操作,该数据结构具有参数设置,以重新分配非易失性存储器来存储数字证书。
优选地,指令还包括在启动序列期间从非易失性存储器检索一个或多个iSCSI通信参数的操作。
信号承载介质还可包括通过安全证明的认证和验证建立安全连接的操作。
另一方面,提过了一种方法,用于配置无盘计算装置的因特网小型计算机系统接口(“iSCSI”)网络,该方法包括:确定具有多个无盘计算装置的用户的iSCSI参数安全简档;定义配置为存储一组基础参数设置和满足iSCSI参数安全简档的一组扩展的参数设置的可扩展数据结构;以及执行配置软件,配置为:以可扩展数据结构存储一个或多个iSCSI通信参数;在物理安全连接上建立到在网络中配置的每个无盘计算装置的链接;以及在安全连接上将可扩展数据结构部署到所配置的每个无盘计算装置中的非易失性存储器,其中所述非易失性存储器配置为在启动序列期间将可扩展数据结构提供的敏感iSCSI通信参数提供到无盘计算装置的CPU。
该方法还包括对每个无盘计算装置测试启动序列,以确保符合iSCSI参数安全简档。
在又一方面,提供了一种计算机程序,包括计算机程序代码,以当加载到计算机系统中并在其上执行时,引起所述计算机系统执行根据第二方面的方法的所有步骤。
响应于现有技术,并且具体地,响应于现有可用方法尚未完全解决的安全地向无盘通信装置部署iSCSI通信参数的现有技术的问题和需要,已经开发了本发明的优选实施例。相应地,已经开发了本发明的优选实施例,以提供用于向无盘计算装置安全地部署iSCSI通信参数的设备、系统和方法,其克服了现有技术中许多或所有上述缺点。
向无盘计算装置部署iSCSI通信参数的设备配备有包含配置为功能地执行以下必需步骤的多个模块的逻辑单元:以可扩展数据结构存储iSCSI通信参数,并在安全链接上将数据结构部署到无盘计算装置。这些在描述的实施例中的模块包括参数结构模块,其以可扩展数据结构存储一个或多个iSCSI通信参数,所述可扩展数据结构配置为存储一组基本参数设置和一组扩展的参数设置。包括链接模块,用于在物理安全连接上对无盘计算装置建立安全链接。包括部署模块,用于在安全连接上将可扩展数据结构部署到无盘计算装置中的非易失性存储器。非易失性存储器配置为在启动序列期间将可扩展数据结构提供的敏感iSCSI通信参数提供到无盘计算装置的CPU。
在一个实施例中,设备的部署模块独立于无盘计算装置的操作系统的操作而部署可扩展数据结构。在另一实施例中,设备还包括公共路径模块,其通过不安全连接,发送具有一个或多个不敏感iSCSI通信参数的可扩展数据结构到无盘计算装置。在又一实施例中,公共路径模块包括DHCP模块,其将具有不敏感iSCSI通信参数的可扩展数据结构发送到动态主机配置协议(“DHCP”)服务器,该动态主机配置协议服务器配置为将可扩展数据结构发送到无盘计算装置。在又一实施例中,公共路径模块在初始化序列期间将具有不敏感iSCSI通信参数的可扩展数据结构发送到无盘计算装置。
在一个实施例中,安全连接包括监视模块,该监视模块配置为与多个无盘计算装置传送环境要素和iSCSI通信参数。在另一实施例中,安全连接包括远程管理适配器(“RSA II”),该远程管理适配器配置为与多个无盘计算装置传送环境数据和iSCSI通信参数。
在又一实施例中,设备还包括存储器分配模块,其部署可扩展数据结构的已扩展版本,该可扩展数据结构具有重新分配非易失性存储器的参数设置。在另一实施例中,存储分配模块还发送为了重新分配的非易失性存储器内的存储而配置的数字证书。
在另一实施例中,包括一种设备,用于向无盘计算装置部署敏感通信参数。所述设备包括:安全链接模块,其在物理安全连接上建立无盘计算装置和计算机之间的安全链接。包括接收模块,接收处于可扩展数据结构中的一个或多个敏感iSCSI通信参数,所述可扩展数据结构包括一组基本参数设置和一组扩展的参数设置。设备包括存储模块,其将一个或多个敏感iSCSI通信参数存储在无盘计算装置中的非易失性存储器。非易失性存储器配置为在启动序列期间将可扩展数据结构提供的一个或多个敏感iSCSI通信参数提供到无盘计算装置的CPU。
在一个实施例中,设备还配置为包括iSCSI通信模块,其接收来自CPU的敏感iSCSI通信参数,以建立无盘计算装置和iSCSI目标之间的安全iSCSI通信会话。在又一实施例中,iSCSI通信模块接收从DHCP服务器发送来的不敏感iSCSI通信参数。在另一实施例中,iSCSI目标装置是具有用于无盘计算装置的操作系统的数据存储装置。在一个实施例中,设备包括BIOS模块,其在启动序列期间从非易失性存储器检索一个或多个iSCSI通信参数。
还呈现本发明的优选实施例的系统,用于部署敏感通信参数。系统可实现为:计算机、无盘计算装置、iSCSI目标、以及连接无盘计算装置和iSCSI目标装置的存储区域网,其中所述存储区域网至少使用iSCSI部分地通信。具体地,系统包括参数结构模块,其以可扩展数据结构存储一个或多个iSCSI通信参数,该可扩展数据结构被配置为存储一组基本参数设置和一组扩展的参数设置。系统包括链接模块,其在物理安全连接上建立计算机和无盘计算装置之间的安全链接。系统包括部署模块,其在安全连接上将可扩展数据结构从计算机部署到无盘计算装置。系统还包括存储模块,其将可扩展数据结构的一个或多个敏感iSCSI通信参数存储在无盘计算装置的非易失性存储器。非易失性存储器配置为在启动序列期间将可扩展数据结构提供的敏感iSCSI通信参数提供到无盘计算装置中的CPU。
系统还可包括iSCSI通信模块,其接收敏感iSCSI通信参数,以建立无盘计算装置和iSCSI目标装置之间的安全iSCSI通信会话。在一个实施例中,iSCSI通信模块接收从DHCP服务器发送来的不敏感iSCSI通信参数。
在一个实施例中,系统还可包括公共路径模块,其通过不安全连接将具有一个或多个iSCSI通信参数的可扩展数据结构发送到无盘计算装置。在另一实施例中,系统还可包括在无盘计算装置中的基板管理控制器(“BMC”),其接收可扩展数据结构,并将可扩展数据结构的一个或多个敏感iSCSI通信参数存储在非易失性存储器中。在另一实施例中,可扩展数据结构的通信参数包括与使用CHAP、SRP协议和IPSec协议中的一个的安全通信兼容的参数。
在一个实施例中,无盘计算装置是刀片中心中的刀片服务器。在另一实施例中,iSCS目标是通用数据存储装置。
还呈现本发明的优选实施例的方法,用于向无盘计算装置部署敏感通信参数。在所公开的实施例中的方法基本上包括实现以上关于所述设备和系统的操作呈现的功能所必需的步骤。在一个实施例中,方法包括以数据结构存储一个或多个iSCSI通信参数。该方法还包括在物理安全连接上建立到无盘计算装置的安全链接,以及在安全连接上向无盘计算装置中的非易失性存储器部署数据结构。非易失性存储器配置为在启动序列期间将数据结构提供的敏感iSCSI通信参数提供到无盘计算装置的CPU。
在一个实施例中,方法包括通过不安全连接,发送具有一个或多个不敏感iSCSI通信参数的数据结构到无盘计算装置。在又一实施例中,方法包括将具有不敏感iSCSI通信参数的数据结构发送到DHCP服务器,该DHCP服务器配置为将数据结构发送到一个或多个无盘计算装置。在另一实施例中,方法包括在初始化序列期间将具有不敏感iSCSI通信参数的数据结构发送到无盘计算装置。
在一个实施例中,数据结构的iSCSI通信参数包括与使用挑战握手认证协议(“CHAP”)、安全远程口令(“SRP”)协议、因特网协议安全(“IPSec”)协议中的一个的安全通信兼容的参数。在另一实施例中,方法包括部署数据结构的已扩展版本,该数据结构具有重新分配非易失性存储器以存储数字证书的参数设置。在又一实施例中,方法包括通过安全证明的认证和验证建立安全连接。
还呈现了本发明的优选实施例的一种方法,用于配置无盘计算装置的iSCSI网络。在公开的实施例中的该方法基本上包括实现以上关于所述设备和系统的操作呈现的功能所必需的步骤。在一个实施例中,该方法包括:确定具有多个无盘计算装置的用户的iSCSI参数安全简档;定义配置为存储一组基础参数设置和满足iSCSI参数安全简档的一组扩展的参数设置的可扩展数据结构;以及执行配置软件。配置软件以可扩展数据结构存储一个或多个iSCSI通信参数。配置软件在物理安全连接上建立到在网络中配置的每个无盘计算装置的链接。配置软件还在安全连接上将可扩展数据结构部署到被配置的每个无盘计算装置中的非易失性存储器。非易失性存储器配置为在启动序列期间将可扩展数据结构提供的敏感iSCSI通信参数提供到无盘计算装置的CPU。在另一实施例中,方法包括对每个无盘计算装置测试启动序列,以确保符合iSCSI参数安全简档。
贯穿该说明书对于特征、优点的参考或相似的语言不表示可通过本发明实现的全部特征和优点应在或在本发明的任意单个实施例中。相反,指示特征和优点的语言被理解为表示关于实施例描述的特定特征、优点或特性包括在本发明的至少一个实施例中。因此,贯穿该说明书的特征和优点的描述以及类似语言可以但是不必需指相同的实施例。
此外,所描述的本发明的特征、优点和特性可以一个或多个实施例中任何适当的方式组合。本领域的技术人员将认识到可实施本发明而不需要具体实施例的一个或多个特定特征或优点。在其他示例中,可以在特定实施例中认识到附加特征和优点可能不在本发明的所有实施例中呈现。
附图说明
现在将只以示例方法、通过参考附图描述本发明的优选实施例,其中:
图1是图解根据本发明的优选实施例,用于对无盘计算装置部署敏感iSCSI通信参数的系统的一个实施例的示意框图;
图2是图解根据本发明的优选实施例,用于对无盘计算装置部署敏感iSCSI通信参数的设备的一个实施例的示意框图;
图3是图解根据本发明的优选实施例,用于对无盘计算装置部署敏感和不敏感iSCSI通信参数的设备的实施例的示意框图;
图4是图解根据本发明的优选实施例,用于对无盘计算装置部署敏感和不敏感iSCSI通信参数的设备的替代实施例的示意框图;
图5是图解根据本发明的优选实施例,用于对无盘计算装置部署敏感iSCSI通信参数的方法的一个实施例的示意流程图;
图6是图解根据本发明的优选实施例,用于对无盘计算装置部署敏感和不敏感iSCSI通信参数的方法的实施例的示意流程图;
图7是图解根据本发明的优选实施例,用于部署敏感iSCSI通信参数以重新分配无盘计算装置中的非易失性存储器并发送数字证书的方法的一个实施例的示意流程图。
具体实施方式
已将在本说明书中描述的许多功能单元标记为模块,以便更特别地强调它们的实现独立性。例如,可将模块实现为包括定制(custom)VLSI电路或门列阵的硬件电路、例如逻辑芯片的现货半导体、晶体管或其他分立原件。模块还可被实现为可编程硬件装置,例如现场可编程门阵列、可编程阵列逻辑、可编程逻辑装置等。
模块还可被实现为通过各种类型处理器执行的软件。可执行的代码的识别模块可例如包括一个或多个计算机指令的物理或逻辑块,例如所述计算机指令可被组织为对象、过程或函数。然而,识别模块的可执行部分不需在物理上被置于一起,但是可包括存储在不同位置中的不同的指令,其中所述不同的位置上的指令当逻辑上结合在一起上时构成该模块,并实现该模块声明的目的。
确实地,可执行代码的模块可为单个指令或许多指令,并且甚至可在若干不同的代码段上、在不同的程序中以及跨越若干存储装置分布。类似地,可操作数据可被识别并在此在模块中说明,并且可被以任何适合形式嵌入并被组织在任何适当类型的数据结构中。可将可操作数据集合为单个数据集,或可将其分配在包括不同存储装置的不同位置上,并且可(至少部分地)只存在为在系统或网络上的电信号。
整个该说明书对于“一个实施例”、“实施例”或类似语言表示关于实施例描述的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书中的术语“在一个实施例中”、“在实施例中”和类似语言可以但不限于全部指示相同的实施例。
对于信号承载介质的参考可采取能够生成信号、引起信号被产生或引起在数字处理设备上的机器可读指令的程序的执行的任何形式。信号承载截至可被实现为传输线、致密盘、数字视频盘、磁带、柏努利(Bernoulli)驱动器、磁盘。穿孔卡片、快闪存储器、集成电路、或其他数字处理设备存储装置。
此外,描述的本发明的特征、结构或特性可以在一个或多个实施例中的任意适当形式组合。在以下描述中。提供了许多具体细节,例如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等,以提供对本发明的实施例的彻底理解。但是,本领域的技术人员将认识到可不需要一个或多个具体细节或通过其他方法、组件、材料等实施本发明。在其他实例中,未示出或具体描述已知的结构、材料或操作,以避免混淆本发明的方面。
图1描绘了根据本发明的优选实施例,用于对无盘计算装置部署敏感iSCSI通信参数的系统100的一个实施例的示意框图。系统100包括连接到存储区域网(“SAN”)104的计算机102。计算机102可为服务器、个人计算机、膝上型计算机等。计算机102可包括包含操作系统的映像的盘或其他内部数据存储装置,以允许计算机独立于通过存储区域网104链接到计算机102的任何数据存储装置106而启动。数据存储装置106可为硬盘、CD刻录机、磁带驱动器、光驱动器或其他任何数据存储装置。数据存储装置106可包含操作系统的映像、关于无盘计算装置108的启动和操作的数据、来自客户端的数据或任何其他数据。
操作系统100还包括连接到存储区域网104的无盘计算装置108。按照定义,无盘计算装置108不具有包含操作系统的映像(image)的盘或其他内部数据存储装置,并且优选地,与包含操作系统的映像的数据存储装置106通信,以便启动。为了在启动之前建立与数据存储装置106的连接,无盘计算装置108通过SAN 104或其他连接进行通信。
此外,计算机102和无盘计算装置108典型地连接到计算机网络110,该计算机网络110可连接到其他装置,例如工作站112、个人计算机114或打印机116。典型地,计算机网络110包括TCP/IP通信,并可允许未授权用户访问计算机网络110上的敏感数据。在一个实施例中,计算机网络110包括与因特网的通信,其可允许计算机网络110外部的未授权用户访问在计算机网络110上的数据。在另一实施例中,计算机网络110具有到SAN 104的访问权,并且包括iSCSI通信。
如果无盘计算装置108和数据存储装置106之间的通信协议是iSCSI,则连接不安全。不安全的通信协议要求某种安全协议,例如CHAP、SRP、IPSec、数字证书或其他适当的安全协议,以防止不希望的第三方的闯入或监视。
在一些安全协议中,将在会话等级启动安全。在该类型的安全系统中,交换例如用户名和口令的安全证明(credential)。一旦源和目标交换了证明,则假设目标和源之间的通信安全并且可交换数据。在其他安全系统中,使用加密来交换数据。在加密协议中,典型地在源和目标上使用专用加密密钥和加密算法,以加密在源和目标之间发送的数据的分组。另一安全协议涉及由可信任的第三方发布的数字证书。第三方确保源和目标是可相信的并且有效。在源和目标之间开始安全通信之前,源和目标需要具有例如适当证明、加密密钥、数字证书、装置识别号(“IDs”)以及其他参数之类的敏感通信参数。
为了确保安全通信,典型地以安全方式将安全参数发送到源和目标。在iSCSI环境中,使用iSCSI或其他不安全协议的例如证明、加密密钥、装置ID之类的敏感iSCSI通信参数的分发呈现安全风险。使用手动连接或通过DHCP服务器分发将敏感iSCSI参数分发到无盘计算装置108的传统方法具有不希望的安全风险。本实施例的优势在于通过物理安全连接,部署敏感iSCSI通信参数到无盘计算装置108。
无盘计算装置108可为刀片中心中的刀片或可为服务器集合(farm)中的无盘服务器。刀片形式的无盘计算装置108典型地与监视模块(“MM”)118通信。监视模块118可以与多个刀片通信,并典型地监视刀片的健康状况。典型的监视模块118能够动力循环(power cycle)刀片、监视例如温度之类的环境要素、发送警报或进行其他相关任务。本领域的技术人员将认识到典型的监视模块118的其他功能。监视模块118还可与计算机102通信。在一个实施例中,监视模块118和计算机102是相同的装置。在另一实施例中,监视模块118和计算机102是相互通信的分离装置。
在一个实施例中,无盘计算装置108是服务器集合中的服务器,并且通过管理适配器(“RSA II”)118与计算机102通信。RSA II 118还可监视一个或多个服务器的健康状况,并监视和传达服务器的环境要素。
在本实施例中,计算机102和无盘计算装置108之间的连接包括物理安全连接120。在一个实施例中,物理安全连接120包括监视模块118。在另一实施例中,物理安全连接120包括RSA II 118。物理安全连接120可称为与带内(in-band)连接相反的带外(out-of-band)连接。典型地,带外连接包括反向(back)信道,该反向信道典型地发送控制命令,但也可发送数据。带外连接典型地独立于连接到带外连接的无盘计算装置108的操作系统的操作。带外连接典型地独立于无盘计算装置108或在带外连接上被控制的其他装置而得到功率。带外连接可用于调试、诊断问题、重启计算机、维护、监视和传达环境要素等。
相反,带内连接包括到因特网110、SAN 104或其他计算机网络110的连接。典型地,带内连接包括因特网协议(“IP”)业务量,其中其他装置可具有访问权以截取除了企图的目标以外的通信。典型的带内连接包括高带宽连接并且用于发送数据,但是控制命令也可通过带内连接发送。本领域的技术人员将认识到适于计算机102和无盘操作装置108之间的带外通信的其他物理安全连接120独立于无盘计算装置108上的操作系统,并且其不向未授权的用户暴露所发送的数据。
为了建立无盘计算装置108和数据存储装置106之间的安全通信,在开始通信会话之前,向无盘计算装置108部署iSCSI通信参数。通过公共或不安全网络(104、110)传递敏感iSCSI通信参数会向不希望的闯入和检测暴露iSCSI参数。为了避免通过不安全网络(104、110)向无盘计算装置108发送敏感iSCSI通信参数,在物理安全连接120上向无盘计算装置108发送参数。优选地,物理安全连接120是独立于无盘计算装置108的操作系统的带外连接,不向未授权用户暴露数据,也不引起安全风险。
在本实施例中,计算机102包括部署向导(wizard)122,配置以可扩展数据结构向无盘计算装置108部署iSCSI参数。通过在物理安全连接上利用敏感iSCSI通信参数部署可扩展数据结构,能够以避免耗时的手动部署和引起安全风险的带内部署的、结构化的、安全的方法部署敏感的iSCSI通信参数。此外,利用iSCSI通信参数部署该可扩展数据结构提供了对于有效iSCSI参数部署的标准结构。
在一个实施例中,通过监视器模块118在物理安全连接120上、从具有部署向导122的计算机102部署敏感iSCSI参数。在另一实施例中,计算机102和监视器模块118是相同的装置,并且包括部署向导122。在另一实施例中,计算机102是通过监视模块118或RSA II 118,与无盘计算机装置108通信的独立计算机。本领域的技术人员将认识到对于具有在物理安全连接120上与无盘计算机装置108通信的部署向导122的计算机102的其他方法。
图2是图解根据本发明的优选实施例,用于向无盘计算装置108部署敏感iSCSI通信参数的设备200的一个实施例的示意框图。设备200包括具有在物理安全连接120上与无盘计算机装置108通信的部署向导122的计算机102。
在一个实施例中,物理安全连接120包括监视模块118或远程管理适配器118。在另一实施例中,无盘计算装置108包括控制包含关键产品数据(“VPD”)的非易失性存储器204的BMC 202。
典型地,物理安全连接120包括BMC 202,并且BMC 202与非易失性存储器204通信。可从计算机102通过MM/RSA II 108向BMC 202发送例如敏感iSCSI通信参数之类的信息,其中BMC 202将参数存储在非易失性存储器204中。在一个实施例中,通过在部署向导122和BMC 202之间传递的安全证明的授权和认证建立物理安全连接120。
典型地,BMC 202是监视无盘计算装置108的健康状况和良好运行的控制器。BMC 202可监视温度、装置状态、电压、CPU 212利用等,并可发送警报。此外,BMC 202可接收参数、装置序列号、版本号和其他关键产品数据,并将VPD存储在非易失性存储器204中。典型地,独立于无盘计算装置108的其他组件供电BMC 202。在一个实施例中,从向物理安全连接、带外连接120提供功率的源向BMC 202供电。优选地,BMC 202接收iSCSI通信参数,并将参数存储在非易失性存储器204中。
典型地,非易失性存储器204很小,并且对于BMC 202是可访问的。在一个实施例中,非易失性存储器204在BMC 202的独占控制之下,并可从BMC 202或带外连接120接收功率。在另一实施例中,可通过CPU 212的基本输入/输出系统(“BIOS”)访问非易失性存储器202。典型地,非易失性存储器204用于存储包括iSCSI参数的关键产品数据。
在本实施例中,计算机102包括部署向导122。部署向导122包括参数结构模块206、链接模块208和部署模块210。参数结构模块206配置为将一个或多个iSCSI通信参数以可扩展数据结构216存储。优选地,可扩展数据结构216配置为以基本数据结构218存储一组基本参数设置和以扩展的数据结构220存储一组扩展的参数设置。在一个实施例中,可扩展数据结构216包括具有大约420字节的基本数据结构218。每个字节被典型地定义,并且包含不同的iSCSI参数。在一个实施例中,基本数据结构218存储诸如用于CHAP、IPSec和SRP安全协议的参数之类的公共iSCSI参数。公共iSCSI参数可包括目标装置的逻辑单元编号(“LUN”)、IP地址、目标ID、加密密钥、口令等。
在一个实施例中,基本数据结构218为多于一个iSCSI目标106保持iSCSI通信参数。在另一实施例中,基本数据结构218包含对于两个iSCSI目标106的iSCSI参数,和如果初级目标106不可用或如果不能建立安全通信,则包含用于用信号通知启动器(initiator)214尝试建立与次级目标106的安全通信的参数。本领域的技术人员将认识到包含敏感iSCSI通信参数的基本数据结构218的其他参数和配置。
在一个实施例中,基本数据结构218包括用于用信号通知扩展可扩展数据结构216的标记。扩展的数据结构220可包含除了在基本数据结构21中定义的那些以外的附加数据。iSCSI硬件制造商可使用扩展的数据结构220传递专用于特定制造商的需要的其他参数。例如,可将制造商的数字证书与用信号通知BMC 202重新分配无盘计算装置108中的非易失性存储器204以适应数字证书的存储的标记,存储在扩展的数据结构220中。在另一实施例中,扩展的数据结构220可包含使能用于iSCSI硬件的专有功能的标记和/或参数。本领域的技术人员将认识到除了具有iSCSI参数的基本数据结构218中的数据之外,还有适于以扩展的数据结构220发送的其他适当数据。
部署向导122还包括链接模块208,配置为在物理安全连接120上建立到无盘计算装置108的安全连接。在一个实施例中,链接模块208可通过在物理安全连接120上发送数据建立安全链接。在另一实施例中,链接模块208可使用安全证明的认证和验证物理安全连接120上建立安全连接。在另一个实施例中,链接模块208可通过加密数据在物理安全连接120上建立安全链接。本领域的技术人员将认识到用于在物理安全连接120上建立安全链接的链接模块208的其他方法。
部署向导122也包括部署模块210,配置来向非易失性存储器204在物理安全连接120上部署具有敏感iSCSI通信参数的可扩展数据结构216。优选地,一旦链接模块208已经对无盘计算装置108建立了安全连接,则部署模块210部署可扩展数据结构216,典型地,部署模块210对BMC 202部署可扩展数据结构216,并且BMC 202将来自可扩展数据结构216的敏感iSCSI通信参数存储在非易失性存储器204中。在一个实施例中,BMC 202将可扩展数据结构216存储在非易失性存储器204中。
非易失性存储器204配置为在启动序列期间向无盘计算装置108的CPU212的BIOS,提供由可扩展数据结构216提供的敏感iSCSI通信参数。在一个实施例中,BMC 202从非易失性存储器204检索敏感iSCSI参数,并当BIOS(CPU)212请求时发送敏感iSCSI参数。在另一实施例中,BIOS(CPU)212直接从非易失性存储器204中检索敏感iSCSI参数。
无盘计算装置108包括iSCSI启动器214,iSCSI启动器214配置为在SAN 104上与iSCSI目标106通信。iSCSI目标106可为具有操作系统的映像的数据存储装置106、其他通用数据存储装置106、或其他适当的iSCSI装置。BIOS 212的启动序列将敏感iSCSI通信参数发送iSCSI启动器214,使得iSCSI启动器214可与包含操作系统的映像的数据存储装置106建立安全通信。一旦iSCSI启动器214建立与数据存储装置106的安全通信(未示出),则BIOS212可将操作系统加载到无盘计算装置108的RAM,以完成在无盘计算装置108上的操作系统的启动。该处理在此称为启动序列。
类似地,iSCSI启动器214可使用存储在非易失性存储器204中的iSCSI通信参数,建立与另一数据存储装置106或其他iSCSI目标的通信。在安全不重要的地方,一旦建立与包含操作系统的数据存储装置106的链接,iSCSI启动器214可从数据存储装置106访问其他iSCSI参数,所述数据存储装置106存储用于建立到其他iSCSI装置的通信链接的操作系统。本领域的技术人员将认识到,为了更安全通信或其组合,可使用部署模块210在物理安全连接120上向非易失性存储器204传递其中可将iSCSI参数存储到数据存储装置106上的其他应用。
在一个实施例中,部署向导122部署具有独立于操作系统操作的敏感iSCSI通信参数的可扩展数据结构216。优选地,部署向导122在其中加载了操作系统的启动序列之前部署可执行数据结构216。在另一实施例中,在操作系统运行的同时部署向导122部署可执行数据结构216,但是独立于操作系统的操作。在又一实施例中,部署向导122部署可执行数据结构216而不需要CPU 212或BIOS 212执行的任何处理。
图3是图解根据本发明的优选实施例,用于对无盘计算装置108部署敏感和不敏感iSCSI通信参数的设备300的实施例的示意框图。设备300包括具有部署向导122的计算机102,所述部署向导122在安全连接120上通过MM/RSA 118与无盘计算装置108通信,并且具有基本数据结构218和扩展的数据结构220的可扩展数据结构216实质上如关于图2所描述的那样。此外,同样实质上类似于关于图2描述的类似编号的模块,无盘计算装置108包括BMC 202、非易失性存储器204、BIOS(CPU)212、iSCSI启动器214,并且部署向导122包括参数结构模块206、链接模块208和部署模块210。
在本实施例中,部署向导122包括公共路径模块302,其通过不安全连接304将一个或多个不敏感iSCSI通信参数发送到无盘计算装置108。可通过可扩展数据结构216存储一个或多个不敏感iSCSI通信参数。不安全连接304可包括例如SAN 104、计算机网络110、因特网之类的带内连接。
在一个实施例中,公共路径模块302包括DHCP模块306,该DHCP模块306配置为将具有不敏感iSCSI通信参数的可扩展数据结构216发送到动态主机配置协议(“DHCP”)服务器308,该动态主机配置协议(“DHCP”)服务器308配置为将可扩展数据结构216发送到无盘计算装置108。在另一实施例中,DHCP服务器308将具有不敏感iSCSI通信参数的可扩展数据结构216发送到iSCSI启动器214。
在一个实施例中,DHCP模块306在一个时间发送可扩展数据结构,然后DHCP服务器308在初始化序列期间将可扩展数据结构216发送到iSCSI启动器214。在另一实施例中,DHCP服务器308在BIOS 212的启动序列期间将可扩展数据结构216发送到iSCSI启动器214。在又一实施例中,公共路径模块302从计算机102将可扩展数据结构216发送到iSCSI启动器214,而不需发送到DHCP服务器308。本领域的技术人员将认识到将可扩展数据结构216中的不敏感iSCSI通信参数发送到无盘计算装置108的其他方法。
敏感iSCSI通信参数是用户认为敏感的iSCSI参数。任何给定的参数是否被认为是敏感,取决于应用和用户的安全考虑。任何iSCSI参数可被认为是敏感或不敏感的。例如中央情报局(“CIA”)的政府机构可认为在任何其操作中使用的全部iSCSI通信参数为敏感,并且可希望经由物理安全连接120将所有这样的参数发送到非易失性存储器204。在另一实施例中,商店业主可认为一些数据事务不敏感,并且可在不安全路径304上发送用于建立与有iSCSI能力的数据存储装置106的通信链接的iSCSI通信参数,或将参数存储在具有操作系统的映像的数据存储装置106上。在一个实施例中,BIOS 212注意到在可扩展数据结构216中的字段中的空值,并创建“哑元(dummy)”块,以信号通知iSCSI启动器214要从DHCP服务器308接收某些iSCSI通信参数,其中可扩展数据结构216具有存储在非易失性存储器202上的敏感iSCSI通信参数。
在一个实施例中,部署向导122包括配置为部署可扩展数据结构216的已扩展版本的存储器分配模块310,该可扩展数据结构216具有重新分配非易失性存储器的参数设置。在另一实施例中,存储器分配模块310还发送为了重新分配的非易失性存储器204内的存储而配置的数字证书。例如,与基础数据结构218相比,数字证书可较大(典型地420字节),所以当要使用利用数字签名的通信时,存储器分配模块310发送标记以重新分配非易失性存储器204来适应数字证书。在又一实施例中,存储器分配模块310发送多个数字证书和用于重新分配非易失性存储器204来适应多个数字证书的标记。
在一个实施例中,因为可扩展数据结构216创建可在工业范围使用的统一架构,所以包括小基本数据结构218和可扩展数据结构216的可扩展数据结构216对于部署敏感和不敏感iSCSI参数两者是有利的。在这样的数据结构中,公共iSCSI参数被分配基础数据结构218中的位置。其他定制或专门iSCSI参数可被存储在可定制的扩展数据结构220中。不同的供应商可定制扩展数据结构216以适应他们的需要。
在一个实施例中,DHCP模块306向DHCP服务器308部署iSCSI通信参数,并且iSCSI启动器214接收参数。在此实施例中,部署向导122不通过物理安全连接120部署iSCSI参数。在此实施例中,用户可认为部署的iSCSI参数不敏感。部署向导120可使用可扩展数据结果216部署iSCSI参数。本领域的技术人员将认识到在物理安全连接120上、在不安全连接304或组合上部署iSCSI参数以获取满足用户需要的iSCSI参数部署的其他配置。
图4是图解根据本发明的优选实施例,用于对无盘计算装置108部署敏感和不敏感iSCSI通信参数的设备400的替代实施例的示意框图。设备400包括具有部署向导122的计算机102,所述部署向导122在物理安全连接120上通过MM/RSA II 118与无盘计算装置108通信,并且具有基本数据结构218和扩展的数据结构220的可扩展数据结构216实质上如关于图2所描述的那样。此外,同样实质上类似于关于图2描述的类似编号的模块,无盘计算装置108包括BMC 202、非易失性存储器204、BIOS(CPU)212、iSCSI启动器214、DHCP服务器308和不安全路径304。
设备400包括安全链接模块402、接收模块404、存储模块406、iSCSI通信模块408和BIOS模块410。安全链接模块402配置为在物理安全连接120上建立无盘计算机装置108和计算机102之间的安全链接。典型地,安全链接模块402建立通过物理安全连接120到BMC 202的链接。
接收模块404配置为接收可扩展数据结构216中的一个或更多敏感iSCSI通信参数。可扩展数据结构216典型地包括基本数据结构218中的一组基本敏感iSCSI通信参数设置,并且可包括扩展的数据结构220中的一组扩展的敏感iSCSI通信参数设置。
存储模块406配置为将一个或多个敏感iSCSI通信参数存储在非易失性存储器204中。非易失性存储器204实质上类似于以上关于图2描述的非易失性存储器204。典型地,存储模块406与BMC 202相关联。
在一个实施例中,设备400包括iSCSI通信模块408,该iSCSI通信模块408配置为从CPU 212接收敏感iSCSI通信参数,以建立无盘计算装置108和iSCSI目标装置106之间的安全iSCSI通信会话。典型地,iSCSI启动器214接收来自CPU 212的敏感iSCSI通信参数。然后iSCSI启动器214连接与例如包含操作系统的映像的数据存储装置106或通用数据存储装置106之类的iSCSI目标106的安全通信。
在一个实施例中,设备400包括BIOS模块410,其配置为在启动序列期间从非易失性存储器204检索一个或多个敏感iSCSI通信参数。在另一实施例中,在操作系统运行后检索iSCSI通信参数。在一个实施例中,BMC 202从非易失性存储器204检索敏感iSCSI通信参数,而BIOS模块410从BMC202检索敏感iSCSI通信参数。在另一实施例中,BIOS模块410直接从非易失性存储器204检索敏感iSCSI通信参数。
在另一实施例中,除了从非易失性存储器204检索的敏感iSCSI通信参数以外,iSCSI通信模块408还接收从DHCP服务器308发送来的不敏感iSCSI通信参数。然后iSCSI启动器214使用敏感和不敏感iSCSI通信参数建立与iSCSI目标106的安全通信。在iSCSI启动器214和iSCSI目标106之间的安全iSCSI通信可包括例如CHAP、SRP、IPSec、数字证书或其他适当的安全协议之类的通信协议,以防止不希望的第三方访问或监视。iSCSI启动器214可为软件启动器或硬件启动器。
后面的示意流程图一般以逻辑流程图进行陈述。这样,描绘的顺序和标记的步骤指示本方法的一个实施例。可构思在功能、逻辑或效果上等同于图解方法的一个或多个步骤或其部分的其他步骤和方法。此外,所采用的形式和符号提供为解释方法的逻辑步骤,并且理解为不限制方法的范围。虽然在流程图中可采用各种箭头类型和线类型,但是不将它们理解为限制相应方法的范围。事实上,一些箭头或其他连接器可仅用于指示方法的逻辑流。
例如,箭头可指示所描绘的方法的列举步骤之间的不特定持续时间的等待或监视时间段。此外,其中特定方法发生的顺序可能或不能严格地符合所示的相应步骤的顺序。
图5是图解根据本发明的优选实施例,用于对无盘计算装置108部署敏感iSCSI通信参数的方法500的一个实施例的示意流程图。方法500开始502,且部署向导122中的参数结构模块206以可扩展数据结构216存储504一个或多个iSCSI通信参数。可扩展数据结构216包括处于基本数据结构218中的敏感iSCSI通信参数,并且可包括处于扩展的数据结构220中的定制iSCSI通信参数。
链接模块208在物理安全连接120上建立506对无盘计算装置108的安全链接,而部署模块210随后向非易失性存储器204部署508包含敏感iSCSI通信参数的可扩展数据结构216,并且方法500结束510。
图6是图解根据本发明的优选实施例,用于对无盘计算装置108部署敏感和不敏感iSCSI通信参数的方法600的实施例的示意流程图。方法600开始602,且部署向导122中的参数结构模块206以可扩展数据结构216存储604一个或多个iSCSI通信参数。链接模块208在物理安全连接120上建立606对无盘计算装置108的安全链接,而部署模块210随后向非易失性存储器204部署608包含敏感iSCSI通信参数的可扩展数据结构216。
公共路径模块302然后确定610是否存在要被部署的不敏感iSCSI通信参数。如果公共路径模块302确定610存在要部署的不敏感参数,则DCHP模块306向DHCP服务器308部署612不敏感iSCSI通信参数。然后BIOS(CPU)212开始614无盘计算装置108中的启动序列。如果公共路径模块302确定610无要部署的不敏感参数存在,则DCHP模块306不部署任何参数,并且然后BIOS(CPU)212开始启动序列。然后BIOS模块410从非易失性存储器204检索616敏感iSCSI通信参数。然后BIOS(CPU)212开启618iSCSI启动器214。如果存在不敏感iSCSI通信参数,则iSCSI通信模块408接收618从DCHP服务器308发送来的不敏感iSCSI通信参数。iSCSI通信模块408使用iSCSI通信参数启动620iSCSI启动器214和例如数据存储装置106之类的iSCSI目标106之间的安全通信,且方法600结束622。
图7是图解根据本发明的优选实施例,用于部署敏感iSCSI通信参数以重新分配无盘计算装置108中的非易失性存储器204并用于发送数字证书的方法700的一个具体实施例的示意流程图。方法700开始702,且部署向导122中的参数结构模块206以可扩展数据结构216存储704一个或多个iSCSI通信参数。链接模块208在物理安全连接120上建立706对无盘计算装置108的安全链接。然后部署模块210向非易失性存储器204部署708包含敏感iSCSI通信参数的可扩展数据结构216。
然后存储器分配模块310确定710是否存在要部署的数字证书。如果存储器分配模块310确定710存在要部署的数字证书,则存储器分配模块310发送712命令以重新分配非易失性存储器204并且部署714要被存储在非易失性存储器204中的数字证书。然后BIOS(CPU)212开始716无盘计算装置108中的启动序列。如果存储器分配模块310确定710无要部署的数字证书存在,则存储器分配模块310不发送712命令以重新分配非易失性存储器204,且BIOS(CPU)212然后开始716无盘计算装置108中的启动序列。然后BIOS模块410从非易失性存储器204检索718敏感iSCSI通信参数。然后CPU 212开启720iSCSI启动器214。iSCSI通信模块408使用iSCSI通信参数(包括可能存在数字证书)启动720iSCSI启动器214和例如数据存储装置106之类的iSCSI目标106之间的安全通信,并且方法700结束722。
本发明可实现为其他具体形式而不背离其实质特性。仅作为说明性而非限制性考虑所描述的实施例。

Claims (10)

1.一种设备,用于向无盘计算装置部署敏感通信参数,所述设备包括:
参数结构模块,配置为以可扩展数据结构存储一个或多个因特网小型计算机系统接口(“iSCSI”)通信参数,所述可扩展数据结构配置为存储一组基本参数设置和一组扩展的参数设置;
链接模块,其配置为在物理安全连接上建立到无盘计算装置的安全链接;以及
部署模块,其配置为在安全连接上将可扩展数据结构部署到无盘计算装置中的非易失性存储器,其中所述非易失性存储器配置为在启动序列期间将可扩展数据结构提供的敏感iSCSI通信参数提供到无盘计算装置的CPU。
2.如权利要求1所述的设备,其中所述部署模块配置为独立于无盘计算装置的操作系统的操作而部署可扩展数据结构。
3.如权利要求1或2所述的设备,还包括公共路径模块,其配置为通过到无盘计算装置的不安全连接,发送具有一个或多个不敏感iSCSI通信参数的可扩展数据结构。
4.如前面任意一项权利要求所述的设备,其中所述公共路径模块还包括DHCP模块,该DHCP模块配置为将具有不敏感iSCSI通信参数的可扩展数据结构发送到动态主机配置协议(“DHCP”)服务器,该动态主机配置协议服务器配置为将可扩展数据结构发送到无盘计算装置。
5.如前面任意一项权利要求所述的设备,其中所述公共路径模块配置为在初始化序列期间将具有不敏感iSCSI通信参数的可扩展数据结构发送到无盘计算装置。
6.如前面任意一项权利要求所述的设备,其中所述安全连接包括监视模块,该监视模块配置为也与多个无盘计算装置传送环境要素。
7.如前面任意一项权利要求所述的设备,其中所述安全连接包括远程管理适配器(“RSA II”),该远程管理适配器配置为也与多个无盘计算装置通信环境数据,此外还包括存储器分配模块,该存储器分配模块配置为部署可扩展数据结构的已扩展版本,该可扩展数据结构具有重新分配非易失性存储器的参数设置;其中所述存储器分配模块还配置为发送为了重新分配的非易失性存储器内的存储而配置的数字证书。
8.一种方法,用于配置无盘计算装置的因特网小型计算机系统接口(“iSCSI”)网络,该方法包括:
确定具有多个无盘计算装置的用户的iSCSI参数安全简档;
定义配置为存储一组基础参数设置和满足iSCSI参数安全简档的一组扩展的参数设置的可扩展数据结构;以及
执行配置软件,该配置软件被配置为:
以可扩展数据结构存储一个或多个iSCSI通信参数;
在物理安全连接上建立到在网络中配置的每个无盘计算装置的链接;以及
在安全连接上将可扩展数据结构部署到所配置的每个无盘计算装置中的非易失性存储器,其中所述非易失性存储器配置为在启动序列期间将可扩展数据结构提供的敏感iSCSI通信参数提供到无盘计算装置的CPU。
9.如权利要求8所述的方法,还包括对每个无盘计算装置测试启动序列,以确保符合iSCSI参数安全简档。
10.一种计算机程序,包括计算机程序代码,以当加载到计算机系统中并在其上执行时,引起所述计算机系统执行根据权利要求8或权利要求9所述的方法的所有步骤。
CN2006800472966A 2005-12-15 2006-12-08 用于向无盘计算装置部署因特网小型计算机系统接口参数的设备和方法 Expired - Fee Related CN101331734B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/300,961 2005-12-15
US11/300,961 US7882562B2 (en) 2005-12-15 2005-12-15 Apparatus, system, and method for deploying iSCSI parameters to a diskless computing device
PCT/EP2006/069479 WO2007068658A1 (en) 2005-12-15 2006-12-08 Apparatus, system, and method for deploying iscsi parameters to a diskless computing device

Publications (2)

Publication Number Publication Date
CN101331734A true CN101331734A (zh) 2008-12-24
CN101331734B CN101331734B (zh) 2011-12-07

Family

ID=37846039

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006800472966A Expired - Fee Related CN101331734B (zh) 2005-12-15 2006-12-08 用于向无盘计算装置部署因特网小型计算机系统接口参数的设备和方法

Country Status (8)

Country Link
US (1) US7882562B2 (zh)
EP (1) EP1961182B1 (zh)
JP (1) JP2009519527A (zh)
CN (1) CN101331734B (zh)
AT (1) ATE505015T1 (zh)
DE (1) DE602006021227D1 (zh)
TW (1) TW200746751A (zh)
WO (1) WO2007068658A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571926A (zh) * 2011-12-19 2012-07-11 杭州瑞网广通信息技术有限公司 一种网络存储系统及其启动方法
CN105721534A (zh) * 2014-12-17 2016-06-29 广达电脑股份有限公司 因特网小型计算机系统接口启动参数部署系统及其方法
CN106598560A (zh) * 2015-10-16 2017-04-26 广达电脑股份有限公司 基于iSCSI的操作系统映像部署及无磁盘启动的方法
CN112860187A (zh) * 2021-02-09 2021-05-28 联想(北京)有限公司 外接存储设备的访问方法及装置、设备、存储介质

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8386797B1 (en) 2002-08-07 2013-02-26 Nvidia Corporation System and method for transparent disk encryption
WO2007142053A1 (ja) * 2006-06-05 2007-12-13 Nec Corporation 監視装置、監視システム、監視方法およびプログラム
US20080028034A1 (en) * 2006-07-25 2008-01-31 Andrew Currid Method for mapping an iscsi target name to a storage resource based on an initiator hardware class identifier
US7526619B1 (en) * 2006-09-05 2009-04-28 Nvidia Corporation Method for providing emulated flexible magnetic storage medium using network storage services
US8250626B2 (en) * 2006-11-03 2012-08-21 International Business Machines Corporation Securing data accessed by a software package pre-loaded on a computer system
JP5121212B2 (ja) * 2006-11-17 2013-01-16 キヤノン株式会社 管理装置、管理装置の制御方法、及び当該制御方法をコンピュータに実行させるためのコンピュータプログラム
US8627418B2 (en) * 2007-03-23 2014-01-07 Pmc-Sierra, Inc. Controlled discovery of san-attached SCSI devices and access control via login authentication
US8245022B2 (en) * 2007-06-01 2012-08-14 Dell Products L.P. Method and system to support ISCSI boot through management controllers
US8010809B1 (en) * 2007-06-22 2011-08-30 Qlogic, Corporation Method and system for securing network data
CN101291202B (zh) * 2008-05-30 2011-05-04 成都市华为赛门铁克科技有限公司 数据传输路径的管理方法和主机服务器
US8549274B2 (en) * 2010-04-14 2013-10-01 Jade Quantum Technologies, Inc. Distributive cache accessing device and method for accelerating to boot remote diskless computers
CN101944129B (zh) * 2010-09-21 2012-08-29 广东威创视讯科技股份有限公司 无盘系统及其工作站,工作站构建本地根文件系统的方法
CN102479302A (zh) * 2010-11-24 2012-05-30 鸿富锦精密工业(深圳)有限公司 密码保护系统及方法
US8655978B2 (en) * 2011-07-05 2014-02-18 Jade Quantum Technologies, Inc. Diskless PC network communication agent system
CN103164635A (zh) * 2011-12-15 2013-06-19 中国银联股份有限公司 基于扩展参数集的安全性信息交互系统、装置及方法

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5349643A (en) 1993-05-10 1994-09-20 International Business Machines Corporation System and method for secure initial program load for diskless workstations
US5884024A (en) 1996-12-09 1999-03-16 Sun Microsystems, Inc. Secure DHCP server
US6587836B1 (en) 1997-09-26 2003-07-01 Worldcom, Inc. Authentication and entitlement for users of web based data management programs
US6697868B2 (en) 2000-02-28 2004-02-24 Alacritech, Inc. Protocol processing stack for use with intelligent network interface device
US6212563B1 (en) 1998-10-01 2001-04-03 3Com Corporation Method and system for setting and managing externally provided internet protocol addresses using the dynamic host configuration protocol
US7069590B1 (en) * 2000-02-17 2006-06-27 Microsoft Corporation System and method for protecting data streams in hardware components
US20020161848A1 (en) 2000-03-03 2002-10-31 Willman Charles A. Systems and methods for facilitating memory access in information management environments
US7725558B2 (en) 2000-07-26 2010-05-25 David Dickenson Distributive access controller
US7313614B2 (en) 2000-11-02 2007-12-25 Sun Microsystems, Inc. Switching system
US6728875B1 (en) 2000-11-09 2004-04-27 International Business Machines Corporation Network station suitable for identifying and prioritizing network adapters
GB2372849B (en) 2001-02-28 2003-05-07 3Com Corp Method for determining master or slave mode in a storage server subnet
US20020199205A1 (en) 2001-06-25 2002-12-26 Narad Networks, Inc Method and apparatus for delivering consumer entertainment services using virtual devices accessed over a high-speed quality-of-service-enabled communications network
US6988193B2 (en) 2001-06-28 2006-01-17 International Business Machines Corporation System and method for creating a definition for a target device based on an architecture configuration of the target device at a boot server
US7403987B1 (en) 2001-06-29 2008-07-22 Symantec Operating Corporation Transactional SAN management
US7404000B2 (en) 2001-09-28 2008-07-22 Emc Corporation Protocol translation in a storage system
US6845403B2 (en) 2001-10-31 2005-01-18 Hewlett-Packard Development Company, L.P. System and method for storage virtualization
US6959373B2 (en) 2001-12-10 2005-10-25 Incipient, Inc. Dynamic and variable length extents
US7548975B2 (en) 2002-01-09 2009-06-16 Cisco Technology, Inc. Methods and apparatus for implementing virtualization of storage within a storage area network through a virtual enclosure
US7089587B2 (en) 2002-04-04 2006-08-08 International Business Machines Corporation ISCSI target offload administrator
US7483945B2 (en) 2002-04-19 2009-01-27 Akamai Technologies, Inc. Method of, and system for, webcasting with just-in-time resource provisioning, automated telephone signal acquisition and streaming, and fully-automated event archival
US20040078521A1 (en) 2002-10-17 2004-04-22 International Business Machines Corporation Method, apparatus and computer program product for emulating an iSCSI device on a logical volume manager
US20040103220A1 (en) 2002-10-21 2004-05-27 Bill Bostick Remote management system
US20040177133A1 (en) 2002-11-12 2004-09-09 Next Generation Broadband Intelligent configuration bridge system and method for adding supplemental capabilities to an existing high speed data infrastructure
US7240212B2 (en) 2003-02-18 2007-07-03 Ubs Painewebber, Inc. Method and system for secure alert messaging
US7127602B1 (en) * 2003-02-21 2006-10-24 Cisco Technology, Inc. iSCSI computer boot system and method
US6857069B1 (en) 2003-03-24 2005-02-15 Cisco Technology, Inc. Modified operating system boot sequence for iSCSI device support
US7363356B1 (en) * 2003-03-24 2008-04-22 Cisco Technology, Inc. Boot modification of registry data for iSCSI network boot operations
US7337219B1 (en) 2003-05-30 2008-02-26 Aol Llc, A Delaware Limited Liability Company Classifying devices using a local proxy server
US7460672B2 (en) 2003-07-18 2008-12-02 Sanrad, Ltd. Method for securing data storage in a storage area network
US7593996B2 (en) 2003-07-18 2009-09-22 Netapp, Inc. System and method for establishing a peer connection using reliable RDMA primitives
US7716323B2 (en) 2003-07-18 2010-05-11 Netapp, Inc. System and method for reliable peer communication in a clustered storage system
US7953819B2 (en) 2003-08-22 2011-05-31 Emc Corporation Multi-protocol sharable virtual storage objects
US20050138346A1 (en) 2003-08-28 2005-06-23 Cauthron David M. iSCSI boot drive system and method for a scalable internet engine
US7778422B2 (en) 2004-02-27 2010-08-17 Microsoft Corporation Security associations for devices
JP2005284497A (ja) * 2004-03-29 2005-10-13 Hitachi Ltd 中継装置、管理サーバ、中継方法および認証方法
US8027335B2 (en) 2004-05-05 2011-09-27 Prodea Systems, Inc. Multimedia access device and system employing the same
FI20040978A0 (fi) 2004-07-13 2004-07-13 Nokia Corp Järjestelmä, menetelmä, verkkokohteet ja tietokoneohjelmat dynaamisen isäntäkonfigurointikäytännön kehyksen konfiguroinnin hallitsemiseksi
US7584272B2 (en) 2004-10-19 2009-09-01 Lsi Corporation Method and apparatus for fully automated iSCSI target configuration
US7711826B2 (en) 2005-03-22 2010-05-04 Cisco Technology, Inc. Remote survivable DHCP for a DHCP relay agent
US20070180509A1 (en) 2005-12-07 2007-08-02 Swartz Alon R Practical platform for high risk applications

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571926A (zh) * 2011-12-19 2012-07-11 杭州瑞网广通信息技术有限公司 一种网络存储系统及其启动方法
CN102571926B (zh) * 2011-12-19 2015-12-02 杭州瑞网广通信息技术有限公司 一种网络存储系统及其启动方法
CN105721534A (zh) * 2014-12-17 2016-06-29 广达电脑股份有限公司 因特网小型计算机系统接口启动参数部署系统及其方法
TWI581589B (zh) * 2014-12-17 2017-05-01 廣達電腦股份有限公司 網際網路小型電腦系統介面啓動參數部署系統及其方法
US9934050B2 (en) 2014-12-17 2018-04-03 Quanta Computer Inc. System and method for network-based ISCSI boot parameter deployment
CN106598560A (zh) * 2015-10-16 2017-04-26 广达电脑股份有限公司 基于iSCSI的操作系统映像部署及无磁盘启动的方法
CN112860187A (zh) * 2021-02-09 2021-05-28 联想(北京)有限公司 外接存储设备的访问方法及装置、设备、存储介质
CN112860187B (zh) * 2021-02-09 2023-03-21 联想(北京)有限公司 外接存储设备的访问方法及装置、设备、存储介质

Also Published As

Publication number Publication date
EP1961182A1 (en) 2008-08-27
TW200746751A (en) 2007-12-16
WO2007068658A1 (en) 2007-06-21
ATE505015T1 (de) 2011-04-15
EP1961182B1 (en) 2011-04-06
DE602006021227D1 (de) 2011-05-19
US7882562B2 (en) 2011-02-01
CN101331734B (zh) 2011-12-07
US20070143611A1 (en) 2007-06-21
JP2009519527A (ja) 2009-05-14

Similar Documents

Publication Publication Date Title
CN101331734B (zh) 用于向无盘计算装置部署因特网小型计算机系统接口参数的设备和方法
CN106549750B (zh) 以计算机实施的方法与使用其的系统、及计算机程序产品
US10289837B2 (en) Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium
US8254579B1 (en) Cryptographic key distribution using a trusted computing platform
CN202795383U (zh) 一种保护数据的设备和系统
TWI673658B (zh) 威脅事件監控系統及相關方法、電腦可讀媒體以及計算裝置
CN102624699A (zh) 一种保护数据的方法和系统
US20080183712A1 (en) Capacity on Demand Computer Resources
CN103069771A (zh) 用于可管理性、安全路由和端点访问的方法、装置和系统
US20200136809A1 (en) Systems and methods for decentralized distributed storage using blockchain
US20070136589A1 (en) Identification and authentication system and method
TWI779711B (zh) 分散式安全通信系統、資訊處置系統及用於提供分散式安全通信之方法
US20190109829A1 (en) Apparatus and method for storing device data in internet-of-things environment
US7644266B2 (en) Apparatus, system, and method for message level security
CN107659621B (zh) 一种raid控制卡配置方法及装置
CN114189515B (zh) 基于sgx的服务器集群日志获取方法和装置
US8171302B2 (en) Method and system for creating a pre-shared key
KR101103611B1 (ko) 데이터의 원격 중개 및 분산 제어 시스템
US11601262B2 (en) Distributed key management system
CN114780327A (zh) 一种服务器监控方法、资产管理方法和pcie卡
KR102111493B1 (ko) Tpm을 활용한 신뢰 플랫폼 개발 교육을 위한 키트
CN115618366B (zh) 用于服务器的验证方法及装置
CN113761602B (zh) 用于可移除存储介质的加密密钥
CN111698299B (zh) Session对象复制方法、装置、分布式微服务架构及介质
CN117201070A (zh) 一种服务器日志获取方法、发送方法及相应装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20111207

Termination date: 20201208

CF01 Termination of patent right due to non-payment of annual fee