专利名称:用于向无盘计算装置部署因特网小型计算机系统接口参数的设备、系统和方法
技术领域:
本发明涉及部署iSCSI参数,并且更具体地,涉及用于在无盘启动环境中安全和远程部署iSCSI参数的架构。
背景技术:
存储区域网或SAN是保持数据的重要部分。传统地,存储区域网由连接 在专用光纤信道网中的一个或多个服务器和一个或多个数据存储装置组成。 光纤信道网具有物理限制和其他确保数据安全的安全措施。典型地,距离限 制确保与存储装置通信的服务器足够近,使得外人不具有到存储装置的访问权。在典型的客户端计算机中,称为小型计算机系统接口 ("SCSI")的通信协议用于与例如盘驱动器之类的装置通信。最近,称为因特网scsi( "iscsr) 的新协议用于允许访问存储区域网装置和经过长距离、通过局域网、广域网、 因特网或其他类似网络访问其他计算装置。这些网络通常是公共的,并且典型地使用实际的传输控制协议/因特网协议("TCP/IP")协议。因为iSCSI在 TCP/IP之上操作,并且在TCP/IP网络上的大部分网络业务量可由未授权用 户截耳又,所以关注安全。已经使用例如4兆战握手认证协议("challenge handshake authentication protocol, CHAP")、安全远程口令("SRP")、因特网协议安全("IPSec")、数 字证书等多种安全措施解决了在iSCSI网络上的安全通信。每个安全措施具有固有的优点和缺点。大多数安全措施取决于认证和加密的各种组合。加密 依靠源和目标知道的加密密钥,所述密钥用于解锁加密并且允许解密。认证 还依靠例如在源和目标的用户名和口令之类的安全参数的验证。因为在公共 网络上发送的任何敏感参数可被未授权用户通过对公共网络的访问截获,所 以将例如加密密钥之类的敏感参数发送到客户端和服务器存在安全问题。虽 然在建筑物中的专用网络可比公共网络更安全,但是即使对于专用网络的用 户,也可能存在雇主不希望雇员得到的私人或敏感材料。用于具有对于计算机是本地的盘或其他数据存储装置的计算机的一个解 决方案是使用数据存储介质部署密钥和参数。典型地,这样的计算机包括计算机的机箱中的硬盘或其他数据存储装置。例如,当使用CD或其他介质 部署iSCSI软件时,可通过数据存储装置上的软件存储例如加密密钥之类的敏感参数。但是,该方法要求物理介质的分发、要求人将介质安装在每个机 器上、并需要用于读取介质的部件。在存储区域网系统中,最近使用刀片中心和其他服务器,其不具有本地 数据存储装置。数据存储装置可与计算机或服务器分离,并使用存储区域网连接。在使用iSCSI或iSCSI和光纤信道的组合的存储区域网中,可能使用 iSCSI访问数据存储装置。典型地,此类型的安排要求用于防止对数据存储装 置、服务器和其他装置的不希望访问的安全措施。但是,因为通过iSCSI网 络发送敏感系数具有安全风险,所以对无盘服务器部署敏感系数是个问题。 由于无盘计算机典型地不具有内部盘或其他用于读取本地可拆卸存储介质的 部件,所以不能经由 一 些可拆卸存储介质加载敏感参数。一种用于将敏感参数加载到无盘计算装置上的方法是,物理连接到无盘 计算装置的输入/输出接口 ("I/O"),然后对每个无盘计算装置手动加载敏感 参数。然后可将参数与其他关键产品数据存储在非易失性存储器中。敏感参 数的手动加载是安全的,但是耗时并且要求人亲自访问每个无盘计算装置并 进行到装置的连接。通过公共网络部署参数,例如向动态主机配置协议 ("DHCP")服务器配置参数然后动态主机配置协议服务器在初始化期间将参 数发送到iSCSI启动器,允许自动控制参数部署,但是不安全。通过以上描述,应当清楚,存在对向无盘计算机装置部署敏感通信参数 的设备、系统和方法的需要。有益地,这样的设备、系统和方法将以可扩展 数据结构、通过安全连接对无盘计算装置和服务器部署敏感通信参数,而不 需要通过公共网络传递这样的敏感系数。发明内容在第一方面,本发明相应地提供一种设备,用于向无盘计算装置部署敏 感通信参数,所述设备包括参数结构模块,配置为以可扩展数据结构存储一个或多个因特网小型计算机系统接口 ( "iscsr)通信参数,所述可扩展数据结构配置为存储一组基本参数设置和一组扩展的参数设置;链接模块,配置为在物理安全连接上向无盘计算装置建立安全链接;以及部署模块,配置 为在安全连接上将可扩展数据结构部署到无盘计算装置中的非易失性存储 器,其中所述非易失性存储器配置为在启动序列期间将可扩展数据结构提供 的敏感iSCSI通信参数提供到无盘计算装置的CPU。优选地,部署^^莫块配置为独立于无盘计算装置的操作系统的操作而部署 可扩展数据结构。设备还包括公共路径模块,配置为通过到无盘计算装置的不安全连接,发送具有一个或多个不敏感iSCSI通信参数的可扩展数据结构。优选地,公共路径模块还包括DHCP模块,该DHCP模块配置为将具有 不敏感iSCSI通信参数的可扩展数据结构发送到动态主机配置协议 ("DHCP")服务器,该动态主机配置协议服务器配置为将可扩展数据结构发 送到无盘计算装置。优选地,公共路径模块配置为在初始化序列期间将具有不敏感iSCSI通 信参数的可扩展数据结构发送到无盘计算装置。优选地,安全连接包括监视模块,该监视模块配置为也与多个无盘计算 装置传送环境要素。优选地,安全连接包括远程管理适配器("RSAII"),该远程管理适配器 配置为也与多个无盘计算装置传送环境数据。该设备还可包括存储器分配模块,该存储器分配模块配置为部署可扩展 数据结构的已扩展版本,该可扩展数据结构具有重新分配非易失性存储器的 参数设置。优选地,存储分配模块还配置为发送为了重新分配的非易失性存储器内 的存储而配置的数字证书。可提供一种设备,用于向无盘计算装置部署敏感通信参数,所述设备包 括安全链接模块,配置为在物理安全连接上建立无盘计算装置和计算机之 间的安全链接;接收模块,配置为接收处于可扩展数据结构的一个或多个敏 感因特网小型计算机系统接口 ( "iSCSI")通信参数,所述可扩展数据结构包 括一组基本参数设置和一组扩展的参数设置;以及存储模块,配置为将一个 或多个敏感iSCSI通信参数存储在无盘计算装置中的非易失性存储器中,其 中所述非易失性存储器配置为在启动序列期间将可扩展数据结构提供的一个 或多个敏感iSCSI通信参数提供到无盘计算装置中的CPU。设备还可包括iSCSI通信模块,该iSCSI通信模块配置为接收来自CPU 的敏感iSCSI通信参数,以建立无盘计算装置和iSCSI目标之间的安全iSCSI通信会话。优选地,iSCSI通信模块还配置为接收从DHCP服务器发送来的不敏感 iSCSI通信参数。优选地,iSCSI目标装置是具有用于无盘计算装置的操作系统的数据存 储装置。设备还可包括BIOS模块,该BIOS模块配置为在启动序列期间从非易失 性存储器检索一个或多个iSCSI通信参数。可提供系统,用于向无盘计算装置部署敏感通信参数,所述系统包括 计算机;无盘计算装置;因特网小型计算机系统接口 ("iSCSI")目标装置; 连接无盘计算装置和iSCSI目标装置的存储区域网,其中所述存储区域网至 少使用iSCSI进行部分通信;参数结构模块,配置为以可扩展数据结构存储 一个或多个iSCSI通信参数,该可扩展数据结构被配置为存储一组基本参数 设置和一组扩展的参数设置;链接模块,配置为在物理安全连接上建立计算 机和无盘计算装置之间的安全链接;部署模块,配置为在安全连接上从计算 机到无盘计算装置部署可扩展数据结构;以及存储模块,配置为将一个或多 个敏感iSCSI通信参数存储在无盘计算装置的非易失性存储器中,其中所述 非易失性存储器配置为在启动序列期间将可扩展数据结构提供的敏感iSCSI 通信参数提供到无盘计算装置中的CPU。系统还包括iSCSI通信模块,该iSCSI通信模块配置为接收敏感iSCSI 通信参数,以建立无盘计算装置和iSCSI目标装置之间的安全iSCSI通信会话。优选地,iSCSI通信模块还配置为接收从DHCP服务器发送来的不敏感 iSCSI通信参数。系统还可包括公共路径模块,该公共路径模块配置为通过不安全连接将 具有一个或多个iSCSI通信参数的可扩展数据结构发送到无盘计算装置。系统还可包括在无盘计算装置中的基板管理控制器("BMC"),其配置 为接收可扩展数据结构,并将可扩展数据结构的一个或多个敏感iSCSI通信 参数存储在非易失性存储器中。优选地,可扩展数据结构的通信参数包括与使用挑战握手认证协议("CHAP")、安全远程口令("SRP")协议和因特网协议安全("IPSec")协 议中的 一个的安全通信兼容的参数。优选地,无盘计算装置是刀片中心中的刀片服务器。 优选地,iSCS目标包括通用数据存储装置。还可提供一种信号承载介质,该信号承载介质确实包含可由数字处理设 备执行的机器可读指令的程序,以执行向无盘计算装置部署敏感通信参数的 操作,该操作包括以数据结构存储一个或多个因特网小型计算机系统接口 ("iSCSI")通信参数;在物理安全连接上向无盘计算装置建立安全链接;以 及在安全连接上将数据结构部署到无盘计算装置中的非易失性存储器,其中 所述非易失性存储器配置为在启动序列期间将数据结构提供的敏感iSCSI通 信参数提供到无盘计算装置的CPU。优选地,独立于无盘计算装置的操作系统的操作而部署数据结构。优选地,指令还包括用于将带有一个或多个不敏感iSCSI通信参数的数 据结构通过不安全连接发送到无盘计算装置的操作。信号承载介质还包括将具有不敏感iSCSI通信参数的数据结构发送到 DHCP服务器的操作,其中DHCP服务器配置为将数据结构发送到一个或多 个无盘计算装置。信号承载介质还包括在初始化序列期间将具有不敏感iSCSI通信参数的 数据结构发送到无盘计算装置的操作。信号承载介质还包括接收来自CPU的iSCSI通信参数的操作,以建立无 盘计算装置和iSCSI目标之间的安全iSCSI通信。数的操作。优选地,数据结构的iSCSI通信参数包括与使用挑战握手认证协议 ("CHAP")、安全远程口令("SRP,,)协议、以及因特网协议安全("IPSec") 协议中的一个的安全通信兼容的参数。优选地,指令还包括用于部署数据结构的已扩展版本的操作,该数据结 构具有参数设置,以重新分配非易失性存储器来存储数字证书。优选地,指令还包括在启动序列期间从非易失性存储器检索一个或多个 iSCSI通信参数的操作。信号承载介质还可包括通过安全证明的认证和验证建立安全连接的操作。另一方面,提过了一种方法,用于配置无盘计算装置的因特网小型计算机系统接口 ("iSCSr)网络,该方法包括确定具有多个无盘计算装置的用 户的iSCSI参数安全简档;定义配置为存储一组基础参数设置和满足iSCSI 参数安全简档的一组扩展的参数设置的可扩展数据结构;以及执行配置软件, 配置为以可扩展数据结构存储一个或多个iSCSI通信参数;在物理安全连 接上建立到在网络中配置的每个无盘计算装置的链接;以及在安全连接上将 可扩展数据结构部署到所配置的每个无盘计算装置中的非易失性存储器,其 中所述非易失性存储器配置为在启动序列期间将可扩展数据结构提供的敏感 iSCSI通信参数提供到无盘计算装置的CPU。该方法还包括对每个无盘计算装置测试启动序列,以确保符合iSCSI参 数安全简档。在又一方面,提供了一种计算机程序,包括计算机程序代码,以当加载 到计算机系统中并在其上执行时,引起所述计算机系统执行根据第二方面的 方法的所有步骤。响应于现有技术,并且具体地,响应于现有可用方法尚未完全解决的安 全地向无盘通信装置部署iSCSI通信参数的现有技术的问题和需要,已经开 发了本发明的优选实施例。相应地,已经开发了本发明的优选实施例,以提 供用于向无盘计算装置安全地部署iSCSI通信参数的设备、系统和方法,其 克服了现有技术中许多或所有上述缺点。向无盘计算装置部署iSCSI通信参数的设备配备有包含配置为功能地执 行以下必需步骤的多个模块的逻辑单元以可扩展数据结构存储iSCSI通信 参数,并在安全链接上将数据结构部署到无盘计算装置。这些在描述的实施 例中的模块包括参数结构模块,其以可扩展数据结构存储一个或多个iSCSI 通信参数,所述可扩展数据结构配置为存储一组基本参数设置和一组扩展的 参数设置。包括链接模块,用于在物理安全连接上对无盘计算装置建立安全 链接。包括部署模块,用于在安全连接上将可扩展数据结构部署到无盘计算 装置中的非易失性存储器。非易失性存储器配置为在启动序列期间将可扩展 数据结构提供的敏感iSCSI通信参数提供到无盘计算装置的CPU。在一个实施例中,设备的部署模块独立于无盘计算装置的操作系统的操 作而部署可扩展数据结构。在另一实施例中,设备还包括公共路径模块,其通过不安全连接,发送具有一个或多个不敏感iSCSI通信参数的可扩展数据结构到无盘计算装置。在又一实施例中,公共路径模块包括DHCP模块,其 将具有不敏感iSCSI通信参数的可扩展数据结构发送到动态主机配置协议 ("DHCP")服务器,该动态主机配置协议服务器配置为将可扩展数据结构发 送到无盘计算装置。在又一实施例中,公共路径模块在初始化序列期间将具 有不敏感iSCSI通信参数的可扩展数据结构发送到无盘计算装置。在一个实施例中,安全连接包括监视模块,该监视模块配置为与多个无 盘计算装置传送环境要素和iSCSI通信参数。在另一实施例中,安全连接包括远程管理适配器("RSAir),该远程管理适配器配置为与多个无盘计算装置传送环境数据和iSCSI通信参数。在又一实施例中,设备还包括存储器分配模块,其部署可扩展数据结构 的已扩展版本,该可扩展数据结构具有重新分配非易失性存储器的参数设置。 在另一实施例中,存储分配模块还发送为了重新分配的非易失性存储器内的 存储而配置的数字证书。在另一实施例中,包括一种设备,用于向无盘计算装置部署敏感通信参数。所述设备包括安全链接模块,其在物理安全连接上建立无盘计算装置 和计算机之间的安全链接。包括接收模块,接收处于可扩展数据结构中的一个或多个敏感iSCSI通信参数,所述可扩展数据结构包括一组基本参数设置 和一组扩展的参数设置。设备包括存储模块,其将一个或多个敏感iSCSI通 信参数存储在无盘计算装置中的非易失性存储器。非易失性存储器配置为在 启动序列期间将可扩展数据结构提供的一个或多个敏感iSCSI通信参数提供 到无盘计算装置的CPU。在一个实施例中,设备还配置为包括iSCSI通信模块,其接收来自CPU 的敏感iSCSI通信参数,以建立无盘计算装置和iSCSI目标之间的安全iSCSI 通信会话。在又一实施例中,iSCSI通信模块接收从DHCP服务器发送来的 不敏感iSCSI通信参数。在另一实施例中,iSCSI目标装置是具有用于无盘计 算装置的操作系统的数据存储装置。在一个实施例中,设备包括BIOS模块, 其在启动序列期间从非易失性存储器检索一个或多个iSCSI通信参数。还呈现本发明的优选实施例的系统,用于部署敏感通信参数。系统可实 现为计算机、无盘计算装置、iSCSI目标、以及连接无盘计算装置和iSCSI 目标装置的存储区域网,其中所述存储区域网至少使用iSCSI部分地通信。具体地,系统包括参数结构模块,其以可扩展数据结构存储一个或多个iSCSI 通信参数,该可扩展数据结构被配置为存储一组基本参数设置和一组扩展的 参数设置。系统包括链接模块,其在物理安全连接上建立计算机和无盘计算 装置之间的安全链接。系统包括部署模块,其在安全连接上将可扩展数据结 构从计算机部署到无盘计算装置。系统还包括存储模块,其将可扩展数据结 构的 一个或多个敏感iSCSI通信参数存储在无盘计算装置的非易失性存储器。非易失性存储器配置为在启动序列期间将可扩展数据结构提供的敏感iSCSI 通信参数提供到无盘计算装置中的CPU。系统还可包括iSCSI通信模块,其接收敏感iSCSI通信参数,以建立无 盘计算装置和iSCSI目标装置之间的安全iSCSI通信会话。在一个实施例中, iSCSI通信模块接收从DHCP服务器发送来的不敏感iSCSI通信参数。在一个实施例中,系统还可包括公共路径模块,其通过不安全连接将具 有一个或多个iSCSI通信参数的可扩展数据结构发送到无盘计算装置。在另 一实施例中,系统还可包括在无盘计算装置中的基板管理控制器("BMC"), 其接收可扩展数据结构,并将可扩展数据结构的一个或多个敏感iSCSI通信 参数存储在非易失性存储器中。在另一实施例中,可扩展数据结构的通信参 数包括与使用CHAP、 SRP协议和IPSec协议中的一个的安全通信兼容的参 数。在一个实施例中,无盘计算装置是刀片中心中的刀片服务器。在另一实 施例中,iSCS目标是通用数据存储装置。还呈现本发明的优选实施例的方法,用于向无盘计算装置部署敏感通信 的操作呈现的功能所必需的步骤。在一个实施例中,方法包括以数据结构存储一个或多个iSCSI通信参数。该方法还包括在物理安全连接上建立到无盘 计算装置的安全链接,以及在安全连接上向无盘计算装置中的非易失性存储 器部署数据结构。非易失性存储器配置为在启动序列期间将数据结构提供的 敏感iSCSI通信参数提供到无盘计算装置的CPU。在一个实施例中,方法包括通过不安全连接,发送具有一个或多个不敏 感iSCSI通信参数的数据结构到无盘计算装置。在又一实施例中,方法包括 将具有不敏感iSCSI通信参数的数据结构发送到DHCP服务器,该DHCP服 务器配置为将数据结构发送到一个或多个无盘计算装置。在另一实施例中,方法包括在初始化序列期间将具有不敏感iSCSI通信参数的数据结构发送到 无盘计算装置。在一个实施例中,数据结构的iSCSI通信参数包括与使用挑战握手认证 协议("CHAP")、安全远程口令("SRP")协议、因特网协议安全("IPSec") 协议中的一个的安全通信兼容的参数。在另一实施例中,方法包括部署数据 结构的已扩展版本,该数据结构具有重新分配非易失性存储器以存储数字证 书的参数设置。在又一实施例中,方法包括通过安全证明的认证和验证建立 安全连接。还呈现了本发明的优选实施例的一种方法,用于配置无盘计算装置的 iSCSI网络。在公开的实施例中的该方法基本上包括实现以上关于所述设备和 系统的操作呈现的功能所必需的步骤。在一个实施例中,该方法包括确定 具有多个无盘计算装置的用户的iSCSI参数安全简档;定义配置为存储一组 基础参数设置和满足iSCSI参数安全简档的一组扩展的参数设置的可扩展数 据结构;以及执行配置软件。配置软件以可扩展数据结构存储一个或多个 iSCSI通信参数。配置软件在物理安全连接上建立到在网络中配置的每个无盘 计算装置的链接。配置软件还在安全连接上将可扩展数据结构部署到被配置 的每个无盘计算装置中的非易失性存储器。非易失性存储器配置为在启动序 列期间将可扩展数据结构提供的敏感iSCSI通信参数提供到无盘计算装置的 CPU。在另一实施例中,方法包括对每个无盘计算装置测试启动序列,以确 保符合iSCSI参数安全简档。贯穿该说明书对于特征、优点的参考或相似的语言不表示可通过本发明 实现的全部特征和优点应在或在本发明的任意单个实施例中。相反,指示特 征和优点的语言被理解为表示关于实施例描述的特定特征、优点或特性包括 在本发明的至少一个实施例中。因此,贯穿该说明书的特征和优点的描述以 及类似语言可以但是不必需指相同的实施例。此外,所描述的本发明的特征、优点和特性可以一个或多个实施例中任 何适当的方式组合。本领域的技术人员将认识到可实施本发明而不需要具体 实施例的一个或多个特定特征或优点。在其他示例中,可以在特定实施例中 认识到附加特征和优点可能不在本发明的所有实施例中呈现。
现在将只以示例方法、通过参考附图描述本发明的优选实施例,其中 图1是图解根据本发明的优选实施例,用于对无盘计算装置部署敏感iSCSI通信参数的系统的 一个实施例的示意框图;图2是图解根据本发明的优选实施例,用于对无盘计算装置部署敏感 iSCSI通信参数的设备的一个实施例的示意框图;图3是图解根据本发明的优选实施例,用于对无盘计算装置部署敏感和 不敏感iSCSI通信参数的设备的实施例的示意框图;图4是图解根据本发明的优选实施例,用于对无盘计算装置部署敏感和 不敏感iSCSI通信参数的设备的替代实施例的示意框图;图5是图解根据本发明的优选实施例,用于对无盘计算装置部署敏感 iSCSI通信参数的方法的 一个实施例的示意流程图;图6是图解根据本发明的优选实施例,用于对无盘计算装置部署敏感和 不敏感iSCSI通信参数的方法的实施例的示意流程图;图7是图解根据本发明的优选实施例,用于部署敏感iSCSI通信参数以 重新分配无盘计算装置中的非易失性存储器并发送数字证书的方法的一个实 施例的示意流程图。
具体实施方式
已将在本说明书中描述的许多功能单元标记为模块,以便更特别地强调 它们的实现独立性。例如,可将模块实现为包括定制(custom) VLSI电路或 门列阵的硬件电路、例如逻辑芯片的现货半导体、晶体管或其他分立原件。 模块还可被实现为可编程硬件装置,例如现场可编程门阵列、可编程阵列逻 辑、可编程逻辑装置等。模块还可被实现为通过各种类型处理器执行的软件。可执行的代码的识 别模块可例如包括一个或多个计算机指令的物理或逻辑块,例如所述计算机 指令可被组织为对象、过程或函数。然而,识别模块的可执行部分不需在物 理上被置于一起,但是可包括存储在不同位置中的不同的指令,其中所述不 同的位置上的指令当逻辑上结合在一起上时构成该模块,并实现该模块声明 的目的。确实地,可执行代码的模块可为单个指令或许多指令,并且甚至可在若 干不同的代码段上、在不同的程序中以及跨越若干存储装置分布。类似地,可操作数据可被识别并在此在模块中说明,并且可被以任何适合形式嵌入并 被组织在任何适当类型的数据结构中。可将可操作数据集合为单个数据集,或可将其分配在包括不同存储装置的不同位置上,并且可(至少部分地)只 存在为在系统或网络上的电信号。整个该说明书对于"一个实施例"、"实施例"或类似语言表示关于实施 例描述的特定特征、结构或特性包括在本发明的至少一个实施例中。因此, 在整个说明书中的术语"在一个实施例中"、"在实施例中,,和类似语言可以 但不限于全部指示相同的实施例。对于信号承载介质的参考可采取能够生成信号、引起信号被产生或引起 在数字处理设备上的机器可读指令的程序的执行的任何形式。信号承载截至可被实现为传输线、致密盘、数字视频盘、磁带、柏努利(Bernoulli)驱动 器、磁盘。穿孔卡片、快闪存储器、集成电路、或其他数字处理设备存储装置。此外,描述的本发明的特征、结构或特性可以在一个或多个实施例中的 任意适当形式组合。在以下描述中。提供了许多具体细节,例如编程、软件 模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电 路、硬件芯片等,以提供对本发明的实施例的彻底理解。但是,本领域的技 术人员将认识到可不需要一个或多个具体细节或通过其他方法、组件、材料 等实施本发明。在其他实例中,未示出或具体描述已知的结构、材料或操作, 以避免混淆本发明的方面。图1描绘了根据本发明的优选实施例,用于对无盘计算装置部署敏感 iSCSI通信参数的系统100的一个实施例的示意框图。系统100包括连接到存 储区域网("SAN,, ) 104的计算机102。计算机102可为服务器、个人计算机、 膝上型计算机等。计算机102可包括包含操作系统的映像的盘或其他内部数 据存储装置,以允许计算机独立于通过存储区域网104链接到计算机102的 任何数据存储装置106而启动。数据存储装置106可为硬盘、CD刻录机、磁 带驱动器、光驱动器或其他任何数据存储装置。数据存储装置106可包含操 作系统的映像、关于无盘计算装置108的启动和操作的数据、来自客户端的 数据或任何其他数据。操作系统100还包括连接到存储区域网104的无盘计算装置108。按照 定义,无盘计算装置108不具有包含操作系统的映像(image)的盘或其他内部数据存储装置,并且优选地,与包含操作系统的映像的数据存储装置106 通信,以便启动。为了在启动之前建立与数据存储装置106的连接,无盘计算装置108通过SAN 104或其他连接进行通信。此外,计算机102和无盘计算装置108典型地连接到计算机网络110, 该计算机网络110可连接到其他装置,例如工作站112、个人计算机114或打 印机116。典型地,计算机网络110包括TCP/IP通信,并可允许未授权用户 访问计算机网络110上的敏感数据。在一个实施例中,计算机网络110包括 与因特网的通信,其可允许计算机网络110外部的未授权用户访问在计算机 网络110上的数据。在另一实施例中,计算机网络110具有到SAN 104的访 问权,并且包括iSCSI通信。如果无盘计算装置108和数据存储装置106之间的通信协议是iSCSI,则 连接不安全。不安全的通信协议要求某种安全协议,例如CHAP、 SRP、 IPSec、 数字证书或其他适当的安全协议,以防止不希望的第三方的闯入或监视。在一些安全协议中,将在会话等级启动安全。在该类型的安全系统中, 交换例如用户名和口令的安全证明(credential )。 一旦源和目标交换了证明, 则假设目标和源之间的通信安全并且可交换数据。在其他安全系统中,使用 加密来交换数据。在加密协议中,典型地在源和目标上使用专用加密密钥和 加密算法,以加密在源和目标之间发送的数据的分组。另一安全协议涉及由 可信任的第三方发布的数字证书。第三方确保源和目标是可相信的并且有效。 在源和目标之间开始安全通信之前,源和目标需要具有例如适当证明、加密 密钥、数字证书、装置识别号("IDs")以及其他参数之类的敏感通信参数。为了确保安全通信,典型地以安全方式将安全参数发送到源和目标。在 iSCSI环境中,使用iSCSI或其他不安全协议的例如证明、加密密钥、装置ID 之类的敏感iSCSI通信参数的分发呈现安全风险。使用手动连接或通过DHCP 服务器分发将敏感iSCSI参数分发到无盘计算装置108的传统方法具有不希 望的安全风险。本实施例的优势在于通过物理安全连接,部署敏感iSCSI通 信参数到无盘计算装置108。无盘计算装置108可为刀片中心中的刀片或可为服务器集合(farm)中 的无盘服务器。刀片形式的无盘计算装置108典型地与监视模块("MM") 118通信。监视模块118可以与多个刀片通信,并典型地监视刀片的健康状况。 典型的监视模块118能够动力循环(power cycle)刀片、监视例如温度之类的环境要素、发送警报或进行其他相关任务。本领域的技术人员将认识到典型的监视模块118的其他功能。监视模块118还可与计算机102通信。在一 个实施例中,监视模块118和计算机102是相同的装置。在另一实施例中, 监视模块118和计算机102是相互通信的分离装置。在一个实施例中,无盘计算装置108是服务器集合中的服务器,并且通 过管理适配器("RSAII" )118与计算机102通信。RSAII 118还可监视一个 或多个服务器的健康状况,并监视和传达服务器的环境要素。在本实施例中,计算机102和无盘计算装置108之间的连接包括物理安 全连接120。在一个实施例中,物理安全连接120包括监视模块118。在另一 实施例中,物理安全连接120包括RSA II 118。物理安全连接120可称为与 带内(in-band)连接相反的带外(out-of-band)连接。典型地,带外连接包 括反向(back)信道,该反向信道典型地发送控制命令,但也可发送数据。 带外连接典型地独立于连接到带外连接的无盘计算装置108的操作系统的操 作。带外连接典型地独立于无盘计算装置108或在带外连接上被控制的其他 装置而得到功率。带外连接可用于调试、诊断问题、重启计算机、维护、监 视和传达环境要素等。相反,带内连接包括到因特网110、 SAN 104或其他计算机网络110的连 接。典型地,带内连接包括因特网协议("IP")业务量,其中其他装置可具 有访问权以截取除了企图的目标以外的通信。典型的带内连接包括高带宽连 接并且用于发送数据,但是控制命令也可通过带内连接发送。本领域的技术 人员将认识到适于计算机102和无盘操作装置108之间的带外通信的其他物 理安全连接120独立于无盘计算装置108上的操作系统,并且其不向未授权 的用户暴露所发送的数据。为了建立无盘计算装置108和数据存储装置106之间的安全通信,在开 始通信会话之前,向无盘计算装置108部署iSCSI通信参数。通过公共或不 安全网络(104、 110)传递敏感iSCSI通信参数会向不希望的闯入和检测暴 露iSCSI参数。为了避免通过不安全网络(104、 110)向无盘计算装置108 发送敏感iSCSI通信参数,在物理安全连接120上向无盘计算装置108发送 参数。优选地,物理安全连接120是独立于无盘计算装置108的操作系统的 带外连接,不向未授权用户暴露数据,也不引起安全风险。在本实施例中,计算机102包括部署向导(wizard) 122,配置以可扩展数据结构向无盘计算装置108部署iSCSI参数。通过在物理安全连接上利用 敏感iSCSI通信参数部署可扩展数据结构,能够以避免耗时的手动部署和引 起安全风险的带内部署的、结构化的、安全的方法部署敏感的iSCSI通信参 数。此外,利用iSCSI通信参数部署该可扩展数据结构提供了对于有效iSCSI参数部署的标准结构。在一个实施例中,通过监视器模块118在物理安全连接120上、从具有 部署向导122的计算机102部署敏感iSCSI参数。在另一实施例中,计算机 102和监视器模块118是相同的装置,并且包括部署向导122。在另一实施例 中,计算机102是通过监视模块118或RSA II 118,与无盘计算机装置108 通信的独立计算机。本领域的技术人员将认识到对于具有在物理安全连接120 上与无盘计算机装置108通信的部署向导122的计算机102的其他方法。图2是图解根据本发明的优选实施例,用于向无盘计算装置108部署敏 感iSCSI通信参数的设备200的一个实施例的示意框图。设备200包括具有 在物理安全连接120上与无盘计算机装置108通信的部署向导122的计算机 102。在一个实施例中,物理安全连接120包括监视模块118或远程管理适配 器118。在另一实施例中,无盘计算装置108包括控制包含关键产品数据 ("VPD")的非易失性存储器204的BMC 202。典型地,物理安全连接120包括BMC202,并且BMC202与非易失性存 储器204通信。可从计算机102通过MM/RSAII 108向BMC 202发送例如敏 感iSCSI通信参数之类的信息,其中BMC202将参数存储在非易失性存储器 204中。在一个实施例中,通过在部署向导122和BMC202之间传递的安全 证明的授权和认证建立物理安全连接120。典型地,BMC 202是监视无盘计算装置108的健康状况和良好运行的控 制器。BMC202可监视温度、装置状态、电压、CPU212利用等,并可发送 警报。此外,BMC202可接收参数、装置序列号、版本号和其他关键产品数 据,并将VPD存储在非易失性存储器204中。典型地,独立于无盘计算装置 108的其他组件供电BMC 202。在一个实施例中,从向物理安全连接、带外 连接120提供功率的源向BMC 202供电。优选地,BMC 202接收iSCSI通信 参数,并将参数存储在非易失性存储器204中。典型地,非易失性存储器204很小,并且对于BMC202是可访问的。在一个实施例中,非易失性存储器204在BMC 202的独占控制之下,并可从 BMC202或带外连接120接收功率。在另一实施例中,可通过CPU212的基 本输入/输出系统("BIOS")访问非易失性存储器202。典型地,非易失性存 储器204用于存储包括iSCSI参数的关键产品数据。在本实施例中,计算机102包括部署向导122。部署向导122包括参数 结构模块206、链接模块208和部署模块210。参数结构模块206配置为将一 个或多个iSCSI通信参数以可扩展数据结构216存储。优选地,可扩展数据 结构216配置为以基本数据结构218存储一组基本参数设置和以扩展的数据 结构220存储一组扩展的参数设置。在一个实施例中,可扩展数据结构216 包括具有大约420字节的基本数据结构218。每个字节被典型地定义,并且 包含不同的iSCSI参数。在一个实施例中,基本数据结构218存储诸如用于 CHAP、 IPSec和SRP安全协议的参数之类的公共iSCSI参数。公共iSCSI参 数可包括目标装置的逻辑单元编号("LUN,,)、 IP地址、目标ID、加密密钥、 口令等。在一个实施例中,基本数据结构218为多于一个iSCSI目标106保持iSCSI 通信参数。在另一实施例中,基本数据结构218包含对于两个iSCSI目标106 的iSCSI参数,和如果初级目标106不可用或如果不能建立安全通信,则包 含用于用信号通知启动器(initiator) 214尝试建立与次级目标106的安全通 信的参数。本领域的技术人员将认识到包含敏感iSCSI通信参数的基本数据 结构218的其他参数和配置。在一个实施例中,基本数据结构218包括用于用信号通知扩展可扩展数 据结构216的标记。扩展的数据结构220可包含除了在基本数据结构21中定 义的那些以外的附加数据。iSCSI硬件制造商可使用扩展的数据结构220传递 专用于特定制造商的需要的其他参数。例如,可将制造商的数字证书与用信 号通知BMC 202重新分配无盘计算装置108中的非易失性存储器204以适应 数字证书的存储的标记,存储在扩展的数据结构220中。在另一实施例中, 扩展的数据结构220可包含使能用于iSCSI硬件的专有功能的标记和/或参数。 本领域的技术人员将认识到除了具有iSCSI参数的基本数据结构218中的数 据之外,还有适于以扩展的数据结构220发送的其他适当数据。部署向导122还包括链接模块208,配置为在物理安全连接120上建立 到无盘计算装置108的安全连接。在一个实施例中,链接模块208可通过在物理安全连接120上发送数据建立安全链接。在另 一实施例中,链接模块208 可使用安全证明的认证和验证物理安全连接120上建立安全连接。在另一个 实施例中,链接模块208可通过加密数据在物理安全连接120上建立安全链 接。本领域的技术人员将认识到用于在物理安全连接120上建立安全链接的 链接模块208的其他方法。部署向导122也包括部署模块210,配置来向非易失性存储器204在物 理安全连接120上部署具有敏感iSCSI通信参数的可扩展数据结构216。优选 地, 一旦链接模块208已经对无盘计算装置108建立了安全连接,则部署模 块210部署可扩展数据结构216,典型地,部署模块210对BMC202部署可 扩展数据结构216,并且BMC 202将来自可扩展数据结构216的敏感iSCSI 通信参数存储在非易失性存储器204中。在一个实施例中,BMC202将可扩 展数据结构216存储在非易失性存储器204中。非易失性存储器204配置为在启动序列期间向无盘计算装置108的CPU 212的BIOS,提供由可扩展数据结构216提供的敏感iSCSI通信参数。在一 个实施例中,BMC 202从非易失性存储器204检索敏感iSCSI参数,并当BIOS (CPU) 212请求时发送敏感iSCSI参数。在另一实施例中,BIOS (CPU) 212直接从非易失性存储器204中检索敏感iSCSI参数。无盘计算装置108包括iSCSI启动器214, iSCSI启动器214配置为在 SAN 104上与iSCSI目标106通信。iSCSI目标106可为具有操作系统的映像 的数据存储装置106、其他通用数据存储装置106、或其他适当的iSCSI装置。 BIOS 212的启动序列将敏感iSCSI通信参数发送iSCSI启动器214,使得iSCSI 启动器214可与包含操作系统的映像的数据存储装置106建立安全通信。一 旦iSCSI启动器214建立与数据存储装置106的安全通信(未示出),则BIOS 212可将操作系统加载到无盘计算装置108的RAM,以完成在无盘计算装置 108上的操作系统的启动。该处理在此称为启动序列。类似地,iSCSI启动器214可使用存储在非易失性存储器204中的iSCSI 通信参数,建立与另一数据存储装置106或其他iSCSI目标的通信。在安全 不重要的地方, 一旦建立与包含操作系统的数据存储装置106的链接,iSCSI 启动器214可从数据存储装置106访问其他iSCSI参数,所述数据存储装置 106存储用于建立到其他iSCSI装置的通信链接的操作系统。本领域的技术人 员将认识到,为了更安全通信或其组合,可使用部署模块210在物理安全连接120上向非易失性存储器204传递其中可将iSCSI参数存储到数据存储装 置106上的其他应用。在一个实施例中,部署向导122部署具有独立于操作系统操作的敏感 iSCSI通信参数的可扩展数据结构216。优选地,部署向导122在其中加载了 操作系统的启动序列之前部署可执行数据结构216。在另一实施例中,在操 作系统运行的同时部署向导122部署可执行数据结构216,但是独立于操作 系统的操作。在又一实施例中,部署向导122部署可执行数据结构216而不 需要CPU 212或BIOS 212执行的任何处理。图3是图解根据本发明的优选实施例,用于对无盘计算装置108部署敏 感和不敏感iSCSI通信参数的设备300的实施例的示意框图。设备300包括 具有部署向导122的计算机102,所述部署向导122在安全连接120上通过 MM/RSA 118与无盘计算装置108通信,并且具有基本数据结构218和扩展 的数据结构220的可扩展数据结构216实质上如关于图2所描述的那样。此 外,同样实质上类似于关于图2描述的类似编号的模块,无盘计算装置108 包括BMC202、非易失性存储器204、 BIOS ( CPU ) 212、 iSCSI启动器214, 并且部署向导122包括参数结构模块206、链接模块208和部署模块210。在本实施例中,部署向导122包括公共路径模块302,其通过不安全连 接304将一个或多个不敏感iSCSI通信参数发送到无盘计算装置108。可通过 可扩展数据结构216存储一个或多个不敏感iSCSI通信参数。不安全连接304 可包括例如SAN104、计算机网络110、因特网之类的带内连接。在一个实施例中,公共路径模块302包括DHCP模块306,该DHCP模 块306配置为将具有不敏感iSCSI通信参数的可扩展数据结构216发送到动 态主机配置协议("DHCP")服务器308,该动态主机配置协议("DHCP") 服务器308配置为将可扩展数据结构216发送到无盘计算装置108。在另一 实施例中,DHCP服务器308将具有不敏感iSCSI通信参数的可扩展数据结 构216发送到iSCSI启动器214。在一个实施例中,DHCP模块306在一个时间发送可扩展数据结构,然 后DHCP服务器308在初始化序列期间将可扩展数据结构216发送到iSCSI 启动器214。在另一实施例中,DHCP服务器308在BIOS 212的启动序列期 间将可扩展数据结构216发送到iSCSI启动器214。在又一实施例中,公共路 径模块302从计算机102将可扩展数据结构216发送到iSCSI启动器214,而不需发送到DHCP服务器308。本领域的技术人员将认识到将可扩展数据结 构216中的不敏感iSCSI通信参数发送到无盘计算装置108的其他方法。敏感iSCSI通信参数是用户认为敏感的iSCSI参数。任何给定的参数是 否被认为是敏感,取决于应用和用户的安全考虑。任何iSCSI参数可被认为 是敏感或不敏感的。例如中央情报局("CIA")的政府机构可认为在任何其 操作中使用的全部iSCSI通信参数为敏感,并且可希望经由物理安全连接120 将所有这样的参数发送到非易失性存储器204。在另一实施例中,商店业主可认为一些数据事务不敏感,并且可在不安全路径304上发送用于建立与有 iSCSI能力的数据存储装置106的通信链接的iSCSI通信参数,或将参数存储 在具有操作系统的映像的数据存储装置106上。在一个实施例中,BIOS 212 注意到在可扩展数据结构216中的字段中的空值,并创建"哑元(dummy)" 块,以信号通知iSCSI启动器214要从DHCP服务器308接收某些iSCSI通 信参数,其中可扩展数据结构216具有存储在非易失性存储器202上的敏感 iSCSI通信参数。在一个实施例中,部署向导122包括配置为部署可扩展数据结构216的 已扩展版本的存储器分配模块310,该可扩展数据结构216具有重新分配非 易失性存储器的参数设置。在另一实施例中,存储器分配模块310还发送为 了重新分配的非易失性存储器204内的存储而配置的数字证书。例如,与基 础数据结构218相比,数字证书可较大(典型地420字节),所以当要使用利 用数字签名的通信时,存储器分配模块310发送标记以重新分配非易失性存 储器204来适应数字证书。在又一实施例中,存储器分配模块310发送多个 数字证书和用于重新分配非易失性存储器204来适应多个数字证书的标记。在一个实施例中,因为可扩展数据结构216创建可在工业范围使用的统 一架构,所以包括小基本数据结构218和可扩展数据结构216的可扩展数据 结构216对于部署敏感和不敏感iSCSI参数两者是有利的。在这样的数据结 构中,公共iSCSI参数被分配基础数据结构218中的位置。其他定制或专门 iSCSI参数可被存储在可定制的扩展数据结构220中。不同的供应商可定制扩 展数据结构216以适应他们的需要。在一个实施例中,DHCP模块306向DHCP服务器308部署iSCSI通信 参数,并且iSCSI启动器214接收参数。在此实施例中,部署向导122不通 过物理安全连接120部署iSCSI参数。在此实施例中,用户可认为部署的iSCSI参数不敏感。部署向导120可使用可扩展数据结果216部署iSCSI参数。本 领域的技术人员将认识到在物理安全连接120上、在不安全连接304或组合 上部署iSCSI参数以获取满足用户需要的iSCSI参数部署的其他配置。图4是图解根据本发明的优选实施例,用于对无盘计算装置108部署敏 感和不敏感iSCSI通信参数的设备400的替代实施例的示意框图。设备400 包括具有部署向导122的计算机102,所述部署向导122在物理安全连接120 上通过MM/RSAI1 118与无盘计算装置108通信,并且具有基本数据结构218 和扩展的数据结构220的可扩展数据结构216实质上如关于图2所描述的那 样。此外,同样实质上类似于关于图2描述的类似编号的模块,无盘计算装 置108包括BMC202、非易失性存储器204、 BIOS (CPU) 212、 iSCSI启动 器214、 DHCP服务器308和不安全路径304。设备400包括安全链接模块402、接收模块404、存储模块406、 iSCSI 通信模块408和BIOS模块410。安全链接模块402配置为在物理安全连接 120上建立无盘计算机装置108和计算机102之间的安全链接。典型地,安 全链接模块402建立通过物理安全连接120到BMC 202的链接。接收模块404配置为接收可扩展数据结构216中的一个或更多敏感iSCSI 通信参数。可扩展数据结构216典型地包括基本数据结构218中的一组基本 敏感iSCSI通信参数设置,并且可包括扩展的数据结构220中的一组扩展的 敏感iSCSI通信参数设置。存储模块406配置为将一个或多个敏感iSCSI通信参数存储在非易失性 存储器204中。非易失性存储器204实质上类似于以上关于图2描述的非易 失性存储器204。典型地,存储模块406与BMC202相关联。在一个实施例中,设备400包括iSCSI通信模块408,该iSCSI通信模块 408配置为从CPU 212接收敏感iSCSI通信参数,以建立无盘计算装置108 和iSCSI目标装置106之间的安全iSCSI通信会话。典型地,iSCSI启动器214 接收来自CPU 212的敏感iSCSI通信参数。然后iSCSI启动器214连接与例 如包含操作系统的映像的数据存储装置106或通用数据存储装置106之类的 iSCSI目标106的安全通信。在一个实施例中,设备400包括BIOS模块410,其配置为在启动序列期 间从非易失性存储器204检索一个或多个敏感iSCSI通信参数。在另一实施 例中,在操作系统运行后^r索iSCSI通信参数。在一个实施例中,BMC 202从非易失性存储器204检索敏感iSCSI通信参数,而BIOS模块410从BMC 202检索敏感iSCSI通信参数。在另一实施例中,BIOS模块410直接从非易 失性存储器204检索敏感iSCSI通信参数。在另一实施例中,除了从非易失性存储器204检索的敏感iSCSI通信参 数以外,iSCSI通信模块408还接收从DHCP服务器308发送来的不敏感iSCSI 通信参数。然后iSCSI启动器214使用敏感和不敏感iSCSI通信参数建立与 iSCSI目标106的安全通信。在iSCSI启动器214和iSCSI目标106之间的安 全iSCSI通信可包括例如CHAP、 SRP、 IPSec、数字证书或其他适当的安全 协议之类的通信协议,以防止不希望的第三方访问或监视。iSCSI启动器214 可为软件启动器或硬件启动器。后面的示意流程图一般以逻辑流程图进行陈述。这样,描绘的顺序和标 记的步骤指示本方法的一个实施例。可构思在功能、逻辑或效果上等同于图 解方法的一个或多个步骤或其部分的其他步骤和方法。此外,所釆用的形式 和符号提供为解释方法的逻辑步骤,并且理解为不限制方法的范围。虽然在 流程图中可采用各种箭头类型和线类型,但是不将它们理解为限制相应方法 的范围。事实上, 一些箭头或其他连接器可仅用于指示方法的逻辑流。例如,箭头可指示所描绘的方法的列举步骤之间的不特定持续时间的等 待或监视时间段。此外,其中特定方法发生的顺序可能或不能严格地符合所 示的相应步骤的顺序。图5是图解根据本发明的优选实施例,用于对无盘计算装置108部署敏 感iSCSI通信参数的方法500的一个实施例的示意流程图。方法500开始502, 且部署向导122中的参数结构模块206以可扩展数据结构216存储504 —个 或多个iSCSI通信参数。可扩展数据结构216包括处于基本数据结构218中 的敏感iSCSI通信参数,并且可包括处于扩展的数据结构220中的定制iSCSI 通信参数。链接模块208在物理安全连接120上建立506对无盘计算装置108的安 全链接,而部署模块210随后向非易失性存储器204部署508包含敏感iSCSI 通信参数的可扩展数据结构216,并且方法500结束510。图6是图解根据本发明的优选实施例,用于对无盘计算装置108部署敏 感和不#丈感iSCSI通信参数的方法600的实施例的示意流程图。方法600开 始602,且部署向导122中的参数结构模块206以可扩展数据结构216存储604 —个或多个iSCSI通信参数。链接模块208在物理安全连接120上建立 606对无盘计算装置108的安全链接,而部署模块210随后向非易失性存储 器204部署608包含敏感iSCSI通信参数的可扩展数据结构216。公共路径模块302然后确定610是否存在要被部署的不敏感iSCSI通信 参数。如果公共路径模块302确定610存在要部署的不敏感参数,则DCHP 模块306向DHCP服务器308部署612不敏感iSCSI通信参数。然后BIOS (CPU) 212开始614无盘计算装置108中的启动序列。如果公共路径模块 302确定610无要部署的不敏感参数存在,则DCHP模块306不部署任何参 数,并且然后BIOS (CPU) 212开始启动序列。然后BIOS模块410从非易 失性存储器204检索616敏感iSCSI通信参数。然后BIOS ( CPU ) 212开启 618 iSCSI启动器214。如果存在不敏感iSCSI通信参数,则iSCSI通信模块 408接收618从DCHP服务器308发送来的不敏感iSCSI通信参数。iSCSI 通信模块408使用iSCSI通信参数启动620 iSCSI启动器214和例如数据存储 装置106之类的iSCSI目标106之间的安全通信,且方法600结束622。图7是图解根据本发明的优选实施例,用于部署敏感iSCSI通信参数以 重新分配无盘计算装置108中的非易失性存储器204并用于发送数字证书的 方法700的一个具体实施例的示意流程图。方法700开始702,且部署向导 122中的参数结构模块206以可扩展数据结构216存储704 —个或多个iSCSI 通信参数。链接模块208在物理安全连接120上建立706对无盘计算装置108 的安全链接。然后部署模块210向非易失性存储器204部署708包含敏感 iSCSI通信参数的可扩展数据结构216。然后存储器分配模块310确定710是否存在要部署的数字证书。如果存 储器分配模块310确定710存在要部署的数字证书,则存储器分配模块310 发送712命令以重新分配非易失性存储器204并且部署714要被存储在非易 失性存储器204中的数字证书。然后BIOS ( CPU) 212开始716无盘计算装 置108中的启动序列。如果存储器分配模块310确定710无要部署的数字证 书存在,则存储器分配模块310不发送712命令以重新分配非易失性存储器 204,且BIOS (CPU) 212然后开始716无盘计算装置108中的启动序列。 然后BIOS模块410从非易失性存储器204检索718敏感iSCSI通信参数。然 后CPU 212开启720 iSCSI启动器214。 iSCSI通信模块408使用iSCSI通傢 参数(包括可能存在数字证书)启动720 iSCSI启动器2l4和例如数据存储装置106之类的iSCSI目标106之间的安全通信,并且方法700结束722。本发明可实现为其他具体形式而不背离其实质特性。仅作为说明性而非 限制性考虑所描述的实施例。
权利要求
1.一种设备,用于向无盘计算装置部署敏感通信参数,所述设备包括参数结构模块,配置为以可扩展数据结构存储一个或多个因特网小型计算机系统接口(“iSCSI”)通信参数,所述可扩展数据结构配置为存储一组基本参数设置和一组扩展的参数设置;链接模块,其配置为在物理安全连接上建立到无盘计算装置的安全链接;以及部署模块,其配置为在安全连接上将可扩展数据结构部署到无盘计算装置中的非易失性存储器,其中所述非易失性存储器配置为在启动序列期间将可扩展数据结构提供的敏感iSCSI通信参数提供到无盘计算装置的CPU。
2. 如权利要求l所述的设备,其中所述部署模块配置为独立于无盘计算 装置的操作系统的操作而部署可扩展数据结构。
3. 如权利要求1或2所述的设备,还包括公共路径模块,其配置为通过 到无盘计算装置的不安全连接,发送具有一个或多个不敏感iSCSI通信参数 的可扩展数据结构。
4. 如前面任意一项权利要求所述的设备,其中所述公共路径模块还包括 DHCP模块,该DHCP模块配置为将具有不敏感iSCSI通信参数的可扩展数 据结构发送到动态主机配置协议("DHCP")服务器,该动态主机配置协议服 务器配置为将可扩展数据结构发送到无盘计算装置。
5. 如前面任意一项权利要求所述的设备,其中所述公共路径模块配置为 在初始化序列期间将具有不敏感iSCSI通信参數的可扩展数据结构发送到无 盘计算装置。
6. 如前面任意一项权利要求所述的设备,其中所述安全连接包括监视模 块,该监视模块配置为也与多个无盘计算装置传送环境要素。
7. 如前面任意一项权利要求所述的设备,其中所述安全连接包括远程管 理适配器("RSAir),该远程管理适配器配置为也与多个无盘计算装置通信 环境数据,此外还包括存储器分配模块,该存储器分配模块配置为部署可扩 展数据结构的已扩展版本,该可扩展数据结构具有重新分配非易失性存储器 的参数设置;其中所述存储器分配模块还配置为发送为了重新分配的非易失 性存储器内的存储而配置的数字证书。
8. —种方法,用于配置无盘计算装置的因特网小型计算机系统接口("iSCSr)网络,该方法包括确定具有多个无盘计算装置的用户的iSCSI参数安全简档; 定义配置为存储一组基础参数设置和满足iSCSI参数安全简档的一组扩 展的参数设置的可扩展数据结构;以及 执行配置软件,该配置软件被配置为 以可扩展数据结构存储一个或多个iSCSI通信参数; 在物理安全连接上建立到在网络中配置的每个无盘计算装置的链接;以及在安全连接上将可扩展数据结构部署到所配置的每个无盘计算装置中的 非易失性存储器,其中所述非易失性存储器配置为在启动序列期间将可扩展 数据结构提供的敏感iSCSI通信参数提供到无盘计算装置的CPU。
9. 如权利要求8所述的方法,还包括对每个无盘计算装置测试启动序列, 以确保符合iSCSI参数安全简档。
10. —种计算机程序,包括计算机程序代码,以当加载到计算机系统中 并在其上执行时,引起所述计算机系统执行根据权利要求8或权利要求9所 述的方法的所有步骤。
全文摘要
公开了设备、系统和方法,用于向无盘计算装置部署敏感通信参数。包括参数结构模块,用于以可扩展数据结构10存储一个或多个因特网小型计算机系统接口(“iSCSI”)通信参数,所述可扩展数据结构10配置为存储一组基本参数设置和一组扩展的参数设。包括链接模块,用于在物理安全连接上建立到无盘计算装置的安全链接。包括部署模块,用于在安全连接上将可扩展数据结构部署到15无盘计算装置中的非易失性存储器。非易失性存储器配置为在启动序列期间将可扩展数据结构提供的敏感iSCSI通信参数提供到无盘计算装置的CPU。
文档编号H04L29/06GK101331734SQ200680047296
公开日2008年12月24日 申请日期2006年12月8日 优先权日2005年12月15日
发明者威廉·G·霍兰, 托马斯·布雷, 斯科特·N·邓纳姆, 斯科特·R·纳尔逊, 杰西·P·阿罗约, 格雷戈里·W·戴克, 约瑟夫·E·博兰, 约瑟普·科斯, 西奥多·B·沃伊诺维科 申请人:国际商业机器公司